专利名称:操作控制单元的方法及控制单元的制作方法
技术领域:
本发明涉及一种操作控制单元的方法,并且涉及一种控制单元,其特别用于汽车应用。
背景技术:
CU(Control Unit,控制单元)控制电子、电或机电系统的操作。在试图保持需要被开发和制造的不同控制单元的数目尽可能低时,公知的是将“标准化”的控制单元用于特定的应用。这种控制单元具有存储器,其允许存储唯一(unique)或特定的数据,这些数据使该控制单元适合于它特定的工作条件或参数,例如适合于它所被使用的特定车辆类型。
如果在车辆的系列生产期间确定数据应该被更改以使CU及相应系统适合于经修正的参数,那么使用可擦除的存储器来存储唯一或特定的数据允许在以后更改该特定数据。
这种可更改或可擦除的唯一的数据的问题是未授权的更改是可能的。未授权的更改可导致修改执行相应的功能所必须的参数或者甚至切断该功能。现在将以门控制单元作为典型例子来描述该问题。
DCU(Door Control Unit,门控制单元)具体控制电动窗驱动器,通过该电动窗驱动器,窗可从关闭位置向打开位置移位,反之亦然。在现代车辆中,电动窗驱动器不直接连接到由车辆占用者激励以便于打开或关闭车窗的开关。相反,该电动窗驱动器(可能还有该开关)被连接到总线系统,这些组件经由该总线系统相互通信。一个总线系统的例子是CAN总线。
除了简单地打开和关闭相应的窗之外,DCU亦日益被用于提供关于相应的窗和/或相应的车门的附加功能。这种功能的一个例子是防挤功能,其防止当窗被向其关闭位置驱动时部分车辆占用者被挤在窗框和相应的窗之间。该防挤功能可根据在该窗关闭期间应用到该窗(或电动窗驱动器的马达)的最大容许驱动力(或最大容许电流)来实施。超过该最大容许驱动力(或该最大容许电流)可被解释为不能容许的条件,其可能由该窗在它的路径中遇到障碍所引起,例如车辆占用者身体的一部分。然后,该窗的关闭被立刻停止。
这种防挤功能的细节取决于某些参数,其特定于每个车辆类型。一个参数是当该窗在其框中移位时发生的摩擦。另一个参数是被相应的车辆制造认为是可容许的驱动力。这些参数被存储在该DCU的存储器中。这允许制造在很大程度上标准化的DCU,其然后通过将对车辆类型唯一的数据存储在存储器中而为相应的车辆类型来定制。如果在车辆系列生产期间确定数据应该被更改以使电动窗驱动器和DCU的操作适合于经修订的参数,则这进一步允许在以后更改该唯一的数据。
如果该唯一的数据被未授权的或无意的访问所更改或擦除,那么这种访问可导致修改执行相应功能所必须的参数或者甚至切断该功能。在上述DCU例子中,切断该防挤功能显然是不理想的。
在现有技术中,所做的尝试是只有当某个诊断代码经由总线系统被发送时才允许访问该存储器。然而,由于两个原因仍然有未授权的或无意的对该存储器的访问的危险。第一,仍然有经由该总线系统发送的并且打算用于与相应CU不同的组件的消息被相应的CU错误解释为诊断代码的危险。这是由于这样的事实多个组件经由该总线系统通信,从而导致多个不同的消息经由该总线系统被发送。所有这些消息被该CU“偷听”。第二,当出于服务目的访问该CU时仍然有特定参数(在上述例子中关于防挤功能的)被无意更改的危险。这种访问可被进行以便于读取故障存储器,表示出错或不寻常工作条件的数据被储存在其中,或者以便于更新控制与该CU相关联的系统操作的程序。
发明内容
本发明的目的是只可靠地允许被授权的人员访问到CU的特定数据,并且防止对被认为是与该CU和由该CU控制的系统的正确工作有关的数据的任何无意或者未授权的访问。
为此,本发明提供一种操作控制单元(CU)的方法,其包含如下步骤首先,上电复位被执行。然后,在该复位后的预定时间段内该CU使得起动消息的条件下,该CU进入诊断模式,在该模式下,与诊断单元的诊断通信可被建立。如果在预定时间段内没有起动消息被接收,那么该CU进入正常工作模式。本发明基于该思想来使用两种不同的CU工作模式。在正常工作模式中,CU以其常规方式工作。在该工作模式中,没有诊断通信可被建立,并且没有对唯一的数据的访问是可能的。在诊断模式中,对该唯一的数据的访问是可能的。通过两种方式来防止无意进入该诊断模式。首先,在上电复位之后起动消息需要被接收。这防止该CU在正常工作期间进入诊断模式,因为上电复位(其被限定为中断电力供应几秒钟)仅在很少的场合被执行。其次,该起动消息需要在上电复位之后的预定(典型地非常短)时间段内被接收。这进一步限制了无意进入诊断模式的危险。针对对唯一的数据的无意或未授权访问的附加安全性是通过使用用于该诊断模式的通信协议来实现的,该协议不同于在工作模式中所使用的通信协议。由于用于该诊断模式的通信协议不被用于其它目的,所以车辆制造者和修理或服务厂不需要具有对该通信协议的访问,从而防止了对唯一的数据的访问。
本发明还提供了一种控制单元,其具有被指定存储对相应车辆类型唯一的数据的存储器,允许在第一协议下经由总线系统来通信以便于CU正常工作的的第一通信模块,和允许在第二协议下经由该总线系统来通信以便于访问存储器的第二通信模块。关于用这种CU所实现的优越性,参考上述说明。
本发明的有利方面被限定在从属权利要求中。
本发明将参照附图中所示出的示例性实施例来描述。在附图中,图1示意性地示出根据本发明的CU;图2是被提供有如图1所示的CU的车辆的示意图;以及图3是示出根据本发明的方法步骤的块图。
具体实施例方式
以下将参照门控制单元(DCU)来描述本发明。然而,显然本发明亦涉及其它种类的控制单元。
图1示意性地示出DCU 10,其在车辆中被使用,特别用于控制和操作电动窗驱动器。其它功能可包含对用于车门的中央关闭系统(CC)的控制或者对车辆内部照明系统的控制。
门控制单元10被连接到总线系统12,其优选地为LIN(LocalInterconnect Network,局部互联网络)总线。其它控制单元,例如CCU 14(Central Control Unit,中央控制单元)或其它车门的DCU(请看图2),经由该LIN总线相互通信。LIN协议被用于该通信。因此,该DCU包含第一通信模块16,其适合于在该LIN协议下通信并且与控制模块18连接,控制模块18控制电动窗驱动器的工作,具体来说是控制驱动可移位窗的马达20的工作(请看图2)。
此外,DCU 10还包含存储器21,优选地为EEPROM,其含有对相应车辆类型唯一或特定的数据。为了说明的目的,在下文中假定存储器21含有表示电动窗驱动器的防挤功能细节的数据,具体来说,应用到该窗的最大容许关闭力。然而,存储器21可含有其它特定数据。最后,DCU 10包含用于开关24的输入22,该开关可由试图打开或关闭该窗的车辆占用者来激励。
应注意,第一通信模块16只适合于在LIN协议下通信,并且只适合于DCU的正常工作。“正常工作”包括窗的打开和关闭以及某些服务功能,如读取作为控制模块18的一部分的故障存储器的内容。
DCU 10进一步含有第二通信模块26,其也被连接到LIN总线12,但只适合于在SCI(Serial Connection Interface,串行连接接口)协议下通信。第二通信模块26被连接到存储器21,从而使它的内容可以以任何其它方式被读取,更改,删除或修改。
在正常条件下(通过接通点火来开启车辆以及该车辆的随后工作),通信只经由第一通信模块16进行。第二通信模块26是不激活的并且因此不能经由LIN总线12被寻址。
如果上电复位被执行(请看图3),则第二通信模块26以预定时间段“监听”是否收到起动消息,所述上电复位涉及以足够的时间中断来自电池的电供应以确保没有电残留在该电系统中并且随后重新建立电供应。这种起动消息将从临时连接到LIN总线12的外部诊断单元发送。该预定时间段通常尽可能地短,并且长度刚好足够允许该诊断单元发送该起动消息。200ms或者更短的时间段应该是足够的。
如果在上电复位之后的预定时间段内没有起动消息被接收,那么第二通信模块26保持是不激活,并且第一通信模块16开始工作。DCU 10仍然处于它的正常工作条件。
如果在该预定时间段内收到起动消息,那么第二通信模块26开始SCI协议,并且诊断单元被准许在该SCI协议下对存储器21中所包含的数据进行访问,从而如果需要的话允许该诊断单元更改这些数据。DCU 10现在处于诊断模式。
如果在预定时间段没有来自该诊断单元的诊断数据被接收,那么对存储器21的访问被中断并且该诊断模式被终止。还可提供的是该诊断单元以预定间隔发送诊断期(session)打开消息,其通知第二通信模块要继续该诊断模式。然后如果在预定时间段没有诊断期打开消息被接收,那么该诊断模式将被终止。该诊断模式也可响应于收到明确的诊断模式终止消息而被终止。
该诊断模式终止之后,DCU(经由第一通信模块)的正常工作被使能,并且LIN协议被开始。
可提供的是第二通信模块被结合到第一模块中以便于通过第一通信模块接收起动消息来使能或开始,而不是在上电复位之后让第二通信模块“监听”该起动消息。此外,该起动消息可以是DCU输入的预定条件而不是经由LIN总线12所发送的特定消息。
通过以上描述应该理解用于使存储器21的内容被保护以不被未授权和/或无意访问影响的方式和方法同样也适用于其它控制单元,例如马达控制单元,太阳屋顶控制单元,可转换屋顶控制单元等。
参考数字列表10门控制单元(DCU)12LIN总线14中央控制单元16第一通信模块18控制模块20马达21存储器22输入24开关26第二通信模块。
权利要求
1.一种操作控制单元(CU)的方法,其包含下列步骤执行上电复位;如果在所述复位之后的预定时间段内所述CU(10)收到起动消息,那么所述CU(10)进入诊断模式,在该诊断模式中与诊断单元的诊断通信可被建立;如果在所述预定时间段内没有收到起动消息,那么所述CU(10)进入正常工作模式。
2.如权利要求1的方法,其中第一协议被用于在正常工作模式中与所述CU(10)通信,并且不同于所述第一协议的第二协议被用于在所述诊断模式中与所述CU(10)通信。
3.如权利要求2的方法,其中所述第一协议是LIN协议。
4.如权利要求2或权利要求3的方法,其中所述第二协议是SCI协议。
5.如前述权利要求中任何一项的方法,其中在进入所述诊断模式之后所述CU(10)核实诊断数据是否继续被接收,并且在没有收到诊断数据预定时间段后终止所述诊断模式。
6.如前述权利要求中任何一项的方法,其中在进入所述诊断模式之后所述CU(10)核实诊断期打开消息是否被定期接收,并且如果在预定时间段没有诊断期打开消息被接收,则终止所述诊断模式。
7.如前述权利要求中任何一项的方法,其中在收到诊断模式终止消息之后所述CU(10)终止所述诊断模式。
8.如前述权利要求中任何一项的方法,其中所述诊断模式允许更改所述CU(10)的工作参数。
9.如权利要求8的方法,其中所述CU(10)控制与车门相关联的系统的工作并且其中所述工作参数包含防挤功能的参数。
10.如前述权利要求中任何一项的方法,其中总线系统(12)被用于与所述CU(10)的通信。
11.如权利要求10的方法,其中所述总线系统(12)是LIN总线(局部互联网络总线)。
12.如前述权利要求中任何一项的方法,其中所述起动消息经由所述总线系统(12)来发送。
13.如前述权利要求1到11中任何一项的方法,其中所述起动消息由关于CU(10)的输入的特定条件来限定。
14.一种控制单元(CU),具有存储器(21),其被指定用于存储对相应车辆类型唯一的数据;第一通信模块(16),其允许在第一协议下经由总线系统(12)通信以便于所述CU(10)的正常工作;以及第二通信模块(26),其允许在第二协议下经由所述总线系统(12)通信以便于访问所述存储器(21)。
15.如权利要求14的控制单元,其中所述存储器(21)是EEPROM。
16.如权利要求14的控制单元,其中所述存储器(21)是适合于模拟EEPROM的闪控制器(flash controller)。
17.如前述权利要求14到16中任何一项的控制单元,其中它是门控制单元。
全文摘要
一种操作控制单元(10)的方法,其包含下列步骤首先,执行上电复位。然后,如果在所述复位之后的预定时间段内所述CU(10)收到起动消息,则所述CU(10)进入诊断模式,在诊断模式中与诊断单元的诊断通信可被建立。如果在所述预定时间段内没有起动消息被接收,则所述CU(10)进入正常工作模式。适合于由本方法操作的CU(10)具有存储器(21),其被指定用于存储对相应车辆类型唯一的数据;第一通信模块(16),其在第一协议下允许经由总线系统(12)的通信以便于所述CU(10)的正常工作;以及第二通信模块(26),其在第二协议下允许经由所述总线系统(12)的通信以便于访问所述存储器。
文档编号G06F11/267GK1691592SQ20051006628
公开日2005年11月2日 申请日期2005年4月26日 优先权日2004年4月27日
发明者劳伦特·迪布瓦, 菲利普·拉乌尔, 格哈德·默施 申请人:阿文美驰有限责任公司