分布式通信系统和对应通信方法

专利名称：分布式通信系统和对应通信方法
技术领域：
本发明总体涉及通信网络系统的架构。
更具体地说，本发明涉及一种分布式通信系统的节点，具体地说 是电子控制单元，所述分布式通信系统具有多个节点，具体地说是具 有至少一个失败静默节点，所述节点由通信介质互连，具体地说是由 至少一个信道以及至少一个可选的另一信道(通过这种用词方式，覆
盖了单个信道系统直到N个信道系统))互连。
本发明还涉及一种用于对多个节点之间的通信进行监视的方法， 具体地说是对至少一个未受保护的节点与至少一个失败静默节点之间 的通信进行监视的方法，所述通信基于被分配给至少一个通信控制器 的至少一个以周期时间触发的通信介质访问调度。
背景技术：
用于安全性关键汽车应用的可靠通信网络典型地依赖于以时间 触发的通信协议，比如下列基于根据预定时分多址(TDMA)方案的 广播消息的通信协议
-TTP/C (^以时间触发的协议类C;参见"TTP/C Specification", version1.1, edition 1.4.3.19， November 2003， TTTech Computertechnik AG; http:〃www.tttech.com/)或 - FlexRay (参见 "FlexRay Communications System Protocol Specification", version 2.0, June 2004, FlexRay Consortium; http:〃www.flexray.com/ or "The FlexRay Protocol", Electrical & ComputerEngineering,CarnegiMellon; http:〃www.ece. emu.edu/~ece549/lectures/l 5一flexray.pdf)。 通过提供冗余通信信道和对抗非法传输的保护(例如通过总线监 护)来实现可靠通信。更具体地说，安全性关键应用要求节点之一或通信架构中的单次 故障可以不禁止其它无故障节点之间的通信。它们依赖于使用至少两 个冗余通信信道，并且依赖于故障节点的失败静默行为。
可以通过保护通信信道在时域中不会遭受到非法传输的监控单
元(比如总线监护)(参见"FlexRay Communications System Bus guardian Specification", version 2.0, June 2004, FlexRay Consortium; http:〃www.flexray.com/)来实现故障节点的失败静默行为。
通常，用于安全性关键应用的通信网络应该与其它网络分离，但 某些时候由于成本的原因，需要使用单个网络，以用于安全性关键应 用和非关键应用。
此外，某些时候由于成本原因，仅使用失败静默节点是不可接受 的。这导致了混合型网络包括失败静默节点和没有任何保护的标准节 点。这种网络中的标准节点仅连接到通信信道之一，并且因此，单个 故障标准节点无法防止与安全性关键应用有关的失败静默节点之间的 通信。
图l示出具有总线拓扑的-这种混合型网络N的示例。在本示例中， 三个节点N1、 N2、 N3与安全性关键应用有关。这三个节点N1、 N2、 N3与通信信道C1、 C2二者连接，并且必须表现为失败静默的。两个 另外节点Sl、 S2不属于安全性关键应用，并且出于成本原因，这两 个节点S1、 S2被实现为不表现为失败静默的标准节点。
图2示出了这种标准节点Sl、 S2的原理性架构。这种标准节点 Sl、 S2包括
-主机H，具体地说是主机计算机或主机控制器，其运行所述应用，
-通信控制器CC，其实现通信协议，以及
-收发器单元T，其提供至通信网络N的接口，具体地说是
--至第一通信信道C1的接口 (在第一标准节点Sl不被分配给
安全性关键应用的情况下)或者
--至第二通信信道C2的接口 (在第二标准节点S2不被分配给 安全性关键应用的情况下)。 从图2可以进一步得知，主机H和通信控制器CC通过以下形式来交换信号
-配置和控制信息CI (从主机H到通信控制器CC)，以及 状态信息SI (从通信控制器CC到主机H)
(在多数实现中，主机控制器H和通信控制器CC可以被集成到
单片硅中)。
在通信控制器CC与收发器T之间交换的数据信号RxD、 TxD、 TxEN'包括
-接收到的数据信号RxD
(从收发器T到通信控制器CC)， -传输数据输入信号TxD
(从通信控制器CC到收发器T)，以及 -传输使能信号TxEN'
(从通信控制器CC到收发器T)。
两个标准节点S1、 S2 (如图2详细示出)仅连接到通信信道C1、 C2之一；更详细地说，
-第一标准节点Sl仅连接到第一通信信道Cl，以及 -第二标准节点S2仅连接到第二通信信道C2。 通过这种方法，单个故障标准节点(在图1中，潜在地为标准节 点Sl或标准节点S2)无法影响两个通信信道(在图1中为第一通信 信道Cl和第二通信信道C2)，并且因此，即使节点的子集不表现为 失败静默的，也可以满足安全性关键应用的需求。
这种分布式通信网络系统的启动典型地依赖于特定消息在节点 的子集之间的交换。如果这种消息交换受到来自故障节点的消息的影 响，则启动可能被禁止。以下描述基于FlexRay群组的启动，但所描 述的缺点也适用于其它通信协议。
在FlexRay系统中，由通信群组中的节点的预定子集来执行冷启 动。这些所谓的冷启动节点中的每一个可以充当 -主导冷启动节点，其发起群组的启动，或 -随从冷启动节点，其同步于由主导冷启动节点所建立的调度。 在唤醒之后，冷启动节点首先在监听时段监听通信信道。如果冷
10启动节点从另一冷启动节点接收到一对有效启动帧，则冷启动节点根 据该冷启动节点而推导其调度和时钟校正。为了允许网络甚至在电缆 故障的情况下启动， 一个通信信道上的通信足以应付这种情况。
仅当冷启动节点在所述监听时段期间没有检测到任何通信信道 上的活动时，冷启动节点才假设必须发起群组启动，并且通过发送启 动帧而充当主导冷启动节点。
集成节点(即非冷启动节点)也必须首先监听通信信道。它们可 以仅在它们已经从至少两个冷启动节点接收到有效启动帧对之后才开 始进行发送。这将确保启动不受来自集成节点的传输的影响。故障集 成节点可以随时(包括启动)开始进行发送。
如果总线监护可用，则总线监护可以防止在启动期间的这种故障
传输，但在图1所示的混合型网络中，仅失败静默节点N1、 N2、 N3 装配有总线监护。在这种网络中，故障标准节点Sl、 S2可能随时发 送有效消息或无效消息。
即使仅连接到一个通信信道C1或C2，这种故障也可能导致冷启 动节点在监听时段期间接收到帧，因此使得冷启动节点假设出一个已 在运行的网络。结果，没有冷启动节点将充当主导冷启动节点，并且 因此，将不发起群组启动。
在所描述的情形中，单个故障标准节点将能够完全禁止群组启动。
总之，只要与非关键应用有关的不受保护的节点仅连接到一个通 信信道，则混合型网络就可以包含这些节点。这种方法的缺点在于， 在没有总线监护的保护的情况下，来自这种节点的非法传输可能禁止 网络启动。
关于有关现有技术文献，参考现有技术文献JP 02-075046，其目 的在于，通过使得每一主机自身能够监视节点的活动状态来避免与不 活动的节点进行不必要的通信。
现有技术文献EP 1 355 461 A2描述了通过总线监护进行的 FlexRay系统的唤醒、FlexRay系统的启动以及FlexRay系统的保护。
关于本发明的技术背景，可以进一步参考以下文献-现有技术文献EP 1 355 461 A2，其涉及了通过总线监护进行的 FlexRay系统的唤醒，FlexRay系统的启动以及FlexRay系统的保 护；
-现有技术文献JP 05-075668，其披露了一种握手方法，通过该方 法，接收系统依据其缓冲器的级别来控制数据流；使用控制代码或 控制信号来防止发送系统发送其它数据；
-现有技术文献JP 09-130874，其描述了通过中央处理单元(CPU)
(利用潜在不同的通信协议)选择两个可能的通信路径之一； -现有技术文献US 2005/0141565 Al，其涉及一种用于在分布式通 信系统中同步时钟的方法，更具体地说，涉及FlexRay系统的多方 面，例如时钟同步或总线监护；
-现有技术文献WO 2004/105326 A2,其披露了一种特殊的以时间 触发的通信系统和通信方法，用于启用双信道通信网络中的两个独 立单信道节点的同步启动。
-王见有技术文献"X-by-wire systems and time-triggered protocols"; http:〃user.it.uu.se/~annikak/exjobb/TTP—and_xbywire.pdf。
无论上述所有努力如何，问题依然是总线监护需要昂贵的数据 接口来保护通信介质不会遭受到通信控制器的定时失败，具体地说， 保护通信信道在时域中不会遭受到非法传输。

发明内容
鉴于上述缺点和不足，并且考虑所讨论的现有技术，本发明的目 的在于进一步开发一种本技术领域中所描述的通信系统以及一种本技 术领域中所描述的对应通信方法，以使得在不提供任何总线监护的情 况下能够实现保护通信介质不会遭受通信控制器的定时失败，具体地 说，有限地保护通信信道在时域中不会遭受到非法传输。
本发明的目的通过一种包括权利要求1的特征的节点以及一种包
括权利要求8的特征的方法来实现。在各个从属权利要求中公开了本 发明的有利实施例和良好改进。
本发明原理上基于以下构思在具有对非法传输的高敏感度的阶段期间，具体地说是在通信系统的通信启动期间，防止节点的任何传 输。
更具体地说，本发明参照以下构思基于现有信息，由独立于节 点的通信控制器的主机单元来提供对于通信群组或通信系统的状态的 附加检查。作为这种检査的结果，启用或者禁用节点的传输。可以在 启动期间执行所述检查(所谓的启动保护)，但是也可以在正常操作期 间、或者在其它关键阶段期间、或者在其它关键情况下(比如在通信 群组或通信系统的关断期间)执行所述检查。
甚至更具体地说，本发明原理上基于用于通信网络的高效启动保 护的构思，，更具体地说，本发明提出了一种用于在所述通信网络的启 动期间防止来自混合型通信网络的非法传输的有效手段，所述混合型 通信网络包括失败静默节点和不受保护的标准节点。在这种情况下， 在没有总线监护的情况下保护启动不受到故障节点影响。
这可以通过以下操作来实现防止通信节点的传输，直到主机计 算机已经检测到成功的通信启动。更具体地说，在已经对节点进行初 始化之后，主机计算机 -禁用任何传输，以及 -检查网络启动是否己经成功。
仅在已经满足针对成功网络启动的指示之后，主机计算机才通过 节点启用传输。这样，按以下方式提供了冗余在将启用来自节点的 传输之前，该节点的主机和通信控制器二者必须对成功通信启动达成 一致。
与现有技术文献02-075046不同的是，本发明提出了防止故障通 信节点的非法通信；故障通信节点的这种非法通信可能干扰其它无故 障节点之间的通信，从而可能危及整个通信网络的启动。
根据本发明的装置以及根据本发明的方法可应用于与安全性关 键应用无关的节点，并且因此，不需要如同总线监护所提供的那样的 完全保护。
可以实现本发明的可能扩展，以用于同样在正常操作期间(即在 己经执行启动之后)对节点至FlexRay群组的同步进行监控。如果节点至FlexRay群组的同步已经恶化到不再允许来自该节点的传输的程 度，则该节点的通信控制器将进入正常被动状态。在这种状态下，仍 然进行接收，但不允许传输。用于从正常活动状态到正常被动状态的 这种过渡的条件是可配置的。
这种情况的示例将是所有节点没有接收到同步帧或启动帧。在 这种情况下，所有节点应该优选地进入正常被动状态，并且冷启动节 点之一应该优选地发起冷启动。将不进入正常被动状态并且将继续在 这种情况下进行发送的单一故障通信控制器可以防止网络执行启动。
通过观测关于接收到的同步帧以及启动帧的数目的信息，并且通 过监视通信控制器的状态，主机可以有利地检测通信控制器是否在应 该进入正常被动状态的情况下却未进入正常被动状态。在这种情况下， 主机可以有利地防止来自这个故障通信控制器的传输。
本发明还涉及一种分布式故障容忍和/或以时间触发的通信系统， 其具有如上所述的至少一个节点，具体地说，通信启动需要所述节点。
本发明还涉及一种计算机程序产品， -其能够在至少一个计算机上运行，具体地说是在至少一个微处理 器上运行，例如在如上所述的主机单元上运行，以及 -其被编程，以执行如上所述的方法。
根据本发明的优选实施例，所述计算机程序产品可以被存储在至 少一个只读存储器(ROM)模块、至少一个随机存取存储器(RAM) 模块、或至少一个闪存模块上。
本发明最终涉及对如上所述的至少一个节点、和/或如上所述的至 少一个分布式通信系统、和/或如上所述的方法、和/或如上所述的至 少一个计算机程序产品的应用，以用于确保所述节点的时域中的差错 抑制，具体地说是用于保护至少一个双信道环境不会遭受到非法传输。
本发明可以在半导体连接性汽车总线系统的技术领域中实现，例 如在控制器区域网络(CAN)平台或FlexRay平台上、和/或基于汽车 媒体访问控制协议(MAC)和/或参照芯片数据传递来实现；更具体 地说，本发明可以在具有集成的FlexRay通信控制器的低成本微控制 器中实现，以用于汽车通信系统，其提供网络启动保护作为区别特征。
1

如上所述，存在若千选项以通过有利的方式来实施并且改进本发
明的教导。为此，参照分别从属于权利要求1、权利要求8和权利要
求14的权利要求；以下将通过示例的方式参照优选实施例并且参照附 图更详细地解释本发明的其它实现方式、特征和优点，在附图中
图1以根据现有技术的FlexRay群组拓扑的示例性形式示意性示 出通信系统的实施例；
图2示意性示出根据现有技术的标准电子控制单元或标准节点的 架构的实施例，所述标准电子控制单元或标准节点是图1的通信系统 的一部分；
图3以根据本发明的FlexRay群组拓扑的示例性形式示意性示出 故障容忍的以时间触发的通信系统的实施例，所述通信系统根据本发 明的方法而操作；
图4示意性示出根据本发明的扩展标准电子控制单元或扩展标准 节点的架构的实施例，所述扩展标准电子控制单元或扩展标准节点是 图3的故障容忍的以时间触发的通信系统的一部分，并且根据本发明 的方法而操作；
图5示意性示出图4的扩展标准电子控制单元或扩展标准节点进 行操作的方法的步骤，具体地说是参照传输控制的方面；以及
图6示意性示出图4的扩展标准电子控制单元或扩展标准节点进 行操作的方法的步骤，具体地说是参照传输使能信号监控的方面。
对于图1至图6中的对应部分使用相同的附图标记。
具体实施例方式
图3至图6所示的本发明提供了一种具有成本效益的分布式网络 系统(=通信群组或通信系统400)以及一种在所述通信群组或通信系 统400内保护通信启动不会遭受到故障通信节点的非法传输的方法。
通过本发明，改进了通信网络400的可用性，通信网络400包括 失败静默节点200和不受保护的扩展标准节点IOO的组合。与现有技
15术中通过总线监护进行保护不同的是，本发明的方法可以应用于标准 收发器电路，其不需要附加的控制输入部分来启用传输或者禁用传输。
图3示出包括FlexRay群组拓扑的混合型网络400的实施例。在 本实施例中，兰个节点200与安全性关键应用有关。这三个节点200 与通信信道300、 310二者连接，并且必须表现为失败静默。两个另外 的节点IOO不属于安全性关键应用，并且出于成本的原因，这两个节 点IOO被实现为不表现为失败静默的扩展标准节点。
图4示出具有启动保护的这种所建议的扩展标准节点100的原理 性架构。这种扩展标准节点IOO包括
-主机130，具体地说是主机计算机或主机控制器，其运行所述应 用，
-通信控制器120，其实现通信协议，和/或者提供本发明的方法所 使用的状态信息，以及
-收发器单元IIO，其提供至通信网络400的物理接口，具体地说 是
-至第一通信信道300的接口 (在第一标准节点IOO不被分配 给安全性关键应用的情况下)或
-至第二通信信道310的接口 (在第二标准节点IOO不被分配 给安全性关键应用的情况下)。 从图4可以进一步得知，主机130和通信控制器120通过以下形 式来交换信号
-配置和控制信息CI (从主机130到通信控制器120)，以及 -状态信息SI (从通信控制器120到主机130)
(在很多实现中，主机控制器130和通信控制器120可以被集成 到单片硅中)。
在通信控制器120与收发器110之间交换的数据信号RxD、TxD、 TxEN包括
-接收到的数据信号RxD
(从收发器IIO到通信控制器120)，以及 -传输数据输入信号TxD(从通信控制器120到收发器110)。
从图4可以得知，被实现为AND门的逻辑元件140的主要功能 是仅当两个部分使能信号TXE1 (来自通信控制器120)和TXE2 (来 自主机130)被激活时，才启用传输。
通过以下项，主机130能够启用或者禁用传输路径TP: -被布置在收发器110、通信控制器120与主机130之间的AND 门140，以及
-在主机130与AND门140之间的附加输出信号TXE2。
此外，在扩展标准节点100中，主机130: -可以监控来自通信控制器120的发送使能信号TXE1的激活，以 及
-由此，即使主机130己经禁用传输(基于通信控制器120经由信 号SI所提供的状态信息)，也可以检测到通信控制器120尝试进行 发送；这包括在启动期间进行传输。 换言之，主机130例如在启动期间监视通信控制器120是否进行 发送，并且主机130对将发送使能信号TXE1从通信控制器120到收 发器110的传播进行控制。
相应地，发送使能信号TXE1受控于通信控制器120，而不是主 机130，但是通过附加输出信号TXE2和AND门140，主机130对将 发送使能信号TXE1从通信控制器120到收发器110的传播进行控制。 此外，在扩展的标准节点100中，主机130使用通信控制器120 所提供的状态信息SI来判断是否已经完成(即结束)FlexRay群组400 的启动，并且判断是否可以启用本地通信控制器120的传输。
作为以下信号的结果，将实际传输使能信号TxEN从AND门140 发送到收发器110:
-在通信控制器120与AND门140之间的发送使能信号TXEl; 以及
-在主机130与AND门140之间的附加输出信号TXE2。 两个扩展标准节点100(如图4详细示出)仅连接到通信信道300、 310之一；更详细地说，-第一扩展标准节点100仅连接到第一通信信道300，以及
-第二扩展标准节点100仅连接到第二通信信道310。 图5示出关于传输控制(即关于状态信息SI的检査)以及关于传
输的禁用和/或传输的启用的本发明的方法步骤的对应流程图
在初始化(=图5中的步骤[i])之后，禁用传输(=图5中的步骤 [ii]);将状态信息SI从通信控制器120取出到主机130 (=图5中的步 骤[iii]);在启动未完成(即未结束(=在图5中的步骤[iv]之后的标号 "-"))的情况下，过程通过循环返回路径而回到状态信息SI的取出 (=图5的步骤[iii])之前；在启动完成(即结束(=在图5中的步骤[iv] 之后的标号"+ "))的情况下，启用传输(=图5中的步骤[v])。
为了有可能再次禁用传输，在步骤[v]之后，可以提供对来自通信 控制器120的状态信息SI的连续监控，因此允许随时启用并且禁用传 输，以同样在(除了启动之外的)正常操作期间提供保护。
图6示出关于从AND门140到收发器110的传输使能信号TxEN (具体地说是通信控制器120、主机单元130与AND门140之间的第 一部分传输数据使能信号TXE1)的监控的本发明的方法步骤的流程 图
在初始化(=图6中的步骤[a])之后，迸行对于来自通信控制器 120的传输使能信号TXE1的转变的检查(=图6中的步骤[b]);在传 输使能信号TEX1为不活动(-图6中的步骤[c]之后的标号"-")的情 况下，过程通过循环返回路径而回到对来自通信控制器120的传输使 能信号TXE1的转变(=图6中的步骤[b])的检査之前；在传输使能 信号TXE1是活动(=图6中的步骤[c]之后的标号"+ ")的情况下， 进行对来自主机130的传输使能信号TxE2的检査(=图6中的步骤 [d]);在启用传输(-图6中的步骤[e]的标号"+")的情况下，过程通 过循环返回路径而回到对来自通信控制器120的传输使能信号TEX1 的转变(=图6中的步骤[b])的检查之前；在不启用传输(=图6中的 步骤[e]之后的标号"-")的情况下，指示出错(=图6中的步骤[f]); 这种差错指示可以用于诊断目的。
图5所描述的处理在主机130处运行，并且在主机130与AND门140之间发送第二部分传输数据使能信号TxE2 (=附加输出信号)。 主机130检查由通信控制器120提供的状态信息SI。所述状态信息SI 确定是否允许传输。
最终，可以利用不同级别的独立性而将该状态信息SI从通信控制 器120提供给主机130:通信控制器120向主机130报告指示己经完成(即已经结束) 启动的通信控制器内部状态。
甚至在故障的情况下，这种方法也依赖于通信控制器120内部的 某些功能。通信控制器120向主机130提供己经从其接收到有效启动帧 对的冷启动节点200的数量，主机130检查是否已经接收到来自至少 最小数量的冷启动节点200的有效启动帧对。
通信协议定义了在允许节点100、 200进行发送之前必须从其接 收启动帧对的冷启动节点200的最小数目。对于每一接收到的帧，通信控制器120向主机130提供帧头， 该帧头至少包含帧ID[标识号]、循环ID[标识号]、以及启动帧的指示。
通过可以受至少一个循环冗余校验[CRC]和保护的这种信息，主 机130可以独立地检查是否已经接收到来自至少最小数目的冷启动节 点200的有效启动帧对。
在这种情况下，主机130需要这种CRC校验和，以检查接收到 的帧头是否有效；否则，单个比特差错(例如在通信介质处或者在通 信控制器120内部)可以例如将非启动帧改变为启动帧，因此使得在 主机130处进行独立检查变得没有意思。
发送节点生成CRC校验和，并且将其添加至报头，并且接收节 点无法生成CRC校验和。计算循环冗余校验[CRC]，以用于提供给主 机130的所有报头信息，或者至少提供给待保护的报头信息的子集。
通过CRC校验和，在接收节点处的通信控制器120和主机130 可以执行独立的有效性检査。
通过后一实施例[3]，可以实现故障通信控制器120与主机130之 间的最大独立性。
19[4] [1]至[3]的组合，例如主机130确定从不同冷启动节点200 接收的启动帧对的数目，并且使用该信息来验证通信控制器120所报 告的状态。
在所有情况[l]、 [2]、 [3]、 [4]下，只有在满足指示节点100可以 在不干扰启动的情况下开始进行发送的条件时，主机130才能够通过 激活主机130与AND门140之间的附加输出信号TXE2来启用传输。
可以选择这种条件，从而在无故障的情况下，主机130不晚于第 一通信周期的开始时启用进行传输，所述第一通信周期由通信控制器 120用于传输。
总之，本发明保护网络400不会遭受到由其它节点100、 200所 执行的可能对协议机制(比如通信启动)造成干扰的非法传输。通信 启动所需的节点100、 200可以是失败静默的(=附图标记200)，但并 非一定必须如此(=附图标记100)。附图标记
100 未被分配给安全性关键应用的扩展标准节点
110扩展标准节点100的总线驱动器，具体地说是收发器单元
120扩展标准节点100的通信控制器
130 扩展标准节点100的主机单元，具体地说是主机计算机或主机 控制器
140扩展标准节点100的逻辑元件，具体地说是AND门
200 被分配给安全性关键应用的节点或冷启动节点
300通信介质的第一部分，具体地说是第一通信信道
310通信介质的第二部分，具体地说是第二通信信道
400混合型通信网络或通信系统，包括扩展标准节点100以及被分
配给安全性关键应用的节点200
Cl 通信介质的第一部分，具体地说是第一通信信道(=现有技术 实施例；参见图1、图2)
C2 通信介质的第二部分，具体地说是第二通信信道(-现有技术 实施例；参见图1、图2)
CC 实现通信协议的通信控制器(-现有技术实施例；参见图2)
CI 从主机单元到通信控制器的配置和控制信息，
H主机单元，具体地说是主机计算机或主机控制器
(=现有技术实施例；参见图2) N 具有总线拓扑的混合型通信网络，具体地说是采取FlexRay群 组的形式(=现有技术实施例；参见图l) Nl 被分配给安全性关键应用的第一节点
(=现有技术实施例；参见图1) N2 被分配给安全性关键应用的第二节点
(=现有技术实施例；参见图1) N3 被分配给安全性关键应用的第三节点
(=现有技术实施例；参见图1) RxD从总线驱动器到通信控制器的接收数据输出信号 Sl 未被分配给安全性关键应用的第一标准节点(=现有技术实施例；参见图l、图2)
S2 未被分配给安全性关键应用的第二标准节点
(=现有技术实施例；参见图l、图2) SI 从通信控制器到主机单元的状态数据或状态信息 T 总线驱动器，具体地说是收发器单元，提供至通信网络N(具 体地说是第一通信信道C1或第二通信信道C2)的物理接口 (=现有 技术实施例；参见图2)
TxD从通信控制器到总线驱动器的发送数据输入信号
TXE1在通信控制器120、主机单元130与逻辑元件140之间的第一
部分发送数据使能信号
TxE2在主机单元130与逻辑元件140之间的第二部分发送数据使能 信号，具体地说是附加输出信号
TxEN从逻辑元件140到总线驱动器110的发送数据使能信号 TxEN'从通信控制器CC到总线驱动器T的发送数据使能信号
(=现有技术实施例；参见图2) TP 在总线驱动器与通信信道之间的传输路径
2权利要求
1. 一种分布式通信系统(400)的节点(100)，具体地说是一种电子控制单元，所述分布式通信系统(400)具有多个节点(100、200)，具体地说具有至少一个失败静默节点(200)，所述节点(100、200)由通信介质(300、310)互连，具体地说由至少一个信道(300)和至少一个可选的另一信道(310)互连，其特征在于防止节点(100)在具有对非法传输的高敏感度的阶段期间的任何传输，具体地说防止节点(100)在通信系统(400)的通信启动期间的任何传输。
2. 根据权利要求1的节点，其特征在于-针对通信系统(400)的状态的至少一次检查，具体地说至少一 次附加检查，所述检查由所述节点(100)的至少一个主机单元(130) 来提供，所述主机单元(130)独立于所述节点(100)的至少一个 通信控制器(120)，以及-作为检查的结果，启用或者禁用节点(100)的任何传输，具体 地说，防止节点(100)的任何传输，直到己经检测到所述通信系 统(400)的通信的启动。
3. 根据权利要求1或2的节点，其特征在于至少一个总线驱 动器(110)，具体地说，至少一个收发器单元-被连接到-所述通信控制器(120)，以及--所述通信介质(300、 310)， -受控于至少一个逻辑元件(140)，具体地说由至少一个逻辑元件 (140)进行启用并且禁用，至少一个逻辑元件(140)具体为至少 一个AND门，-被提供有—从所述通信控制器(120)发送的至少一个发送数据输入信 号(TxD)，以及-从所述逻辑元件(140)发送的至少一个发送数据使能信号(TxEN)，以及-被设计用于-经由所述通信介质(300、 310)进行发送和接收，以及 -将至少一个接收数据输出信号(RxD)发送到通信控制器 (120)，其中，所述主机单元(130)-通过所述逻辑元件(140)连接到所述总线驱动器(110)， 以及-连接到所述通信控制器(120),以及 -被设计用于—从所述通信控制器(120)接收至少一个状态信息(SI)，以 及--将至少一个配置和控制信息(CI)传递到所述通信控制器 (120)。
4. 根据权利要求3的节点，其特征在于-至少一个电源单元，具体地说至少一个电池，所述至少一个电源单元与地连接，并且与总线驱动器(110)连接，和/或-至少一个电压调节器，与以下设备中的一个或多个连接，具体地为多个电压调节器分别与以下设备中的一个或多个连接-所述电源单元，—所述总线驱动器(110)，-所述通信控制器(120)，和/或—所述主机单元(130)。
5. 根据权利要求1至4中至少一项的节点，其特征在于，所述 逻辑元件(140)只有在以下信号被激活时启用所述节点(100)的任何传输-来自通信控制器(120)的至少一个第一部分发送数据使能信号 (TXE1)，以及-来自所述主机单元(130)的至少一个第二部分发送数据使能信号(TxE2)，具体地说至少一个附加输出信号。
6. 根据权利要求1至5中至少一项的节点，其特征在于，将所 述逻辑元件(140)布置在所述总线驱动器(110)、所述通信控制器(120) 和所述主机单元(30)之间，以使得所述主机单元(130):-能够监控来自所述通信控制器(120)的第一部分发送数据使能 信号(TXE1)的激活，-能够将第二部分发送数据使能信号(TxE2)发送到所述逻辑元 件(140)，以及、基于来自所述通信控制器(120)的所述状态信息(SI)，即使所 述主机单元(130)已经被禁用传输，也能够检测所述通信控制器 (120)是否尝试发送，具体为所述通信控制器(120)是否尝试在 启动期间进行发送。
7. —种分布式故障容忍和/或以时间触发的通信系统(400)，具 有根据权利要求1至6中至少一项的至少一个节点(100)，所述节点(100)具体需要用于通信启动。
8. —种用于监视多个节点(100、 200)之间的通信的方法，具 体为监视至少一个未受保护的节点(100)与至少一个失败静默节点(200)之间的通信的方法，所述通信基于被分配给至少一个通信控制 器(120)的至少一个以周期时间触发的通信介质访问调度， 其特征在于防止未受保护的节点(100)在具有对非法传输的高敏感度的阶 段期间的任何传输，具体为防止未受保护的节点(100)在通信系统 (400)的通信启动期间的任何传输。
9. 根据权利要求8的方法，其特征在于-至少一次状态检査，具体为至少一次附加状态检查，所述状态检 查由至少一个主机单元(130)来提供，所述主机单元(130)独立 于所述通信控制器(120)，以及-作为所述状态检查的结果，启用或者禁用未受保护的节点(100) 的任何传输，具体为防止所述未受保护的节点(100)的任何传输， 直到已经检测到通信的启动。
10. 根据权利要求8或9的方法，其特征在于，通过禁用传输并且通过启用传输来控制传输，具体为通过以下步骤来控制传输[i] 发起；[ii] 禁用传输；[iii] 将状态信息(SI)从所述通信控制器(120)取出到至少一 个主机单元(130);[iv] 确定通信系统(400)的通信的启动是未完成还是已完成-在通信系统(400)的通信的启动未完成的情况下，再次取出所 述状态信息(SI);-在通信系统(400)的通信的启动已完成的情况下，[v] 启用所述传输。
11. 根据权利要求8至10中至少一项的方法，其特征在于，连 续监控来自所述通信控制器(120)的所述状态信息(SI)，从而允许 随时启用以及禁用所述未受保护的节点(100)的传输，具体地说，为 了在以下情况下提供保护在正常操作期间、或者在至少一个关键阶 段期间、或者在至少一个关键情况下，比如在通信系统(400)的启动 期间或者在所述通信系统(400)的关断期间。
12. 根据权利要求8至U中至少一项的方法，其特征在于，对 从所述通信控制器(120)发送的至少一个第一部分发送数据使能信号(TXE1)进行监控，具体地说是通过以下步骤进行监控[a] 发起；[b] 检査来自所述通信控制器(120)的至少一个第一部分发送 数据使能信号(TXE1)的转变；[c] 确定所述第一部分发送数据使能信号(TXE1)是不活动的还是活动的-在所述第一部分发送数据使能信号(TXE1)是不活动的情况下， 返回到检查来自所述通信控制器(120)的第一部分发送数据使能 信号(TXE1)的转变之前；-在第一部分发送数据使能信号(TXE1)是活动的情况下， [d]检查所述通信控制器(120)所提供的状态信息(SI)，所述状态信息(SI)确定是否允许所述未受保护的节点(100)的传输；[e] 确定是否启用所述传输-在启用所述传输的情况下，返回到检查来自所述通信控制器(120)的所述第一部分发送数据使能信号(TXE1)的转变之前； -在不启用传输的情况下，[f] 指示至少一个差错。
13. 根据权利要求8至12中至少一项的方法，其特征在于，利 用不同级别的独立性而将所述状态信息(SI)从所述通信控制器(120) 提供给所述主机单元(130)，具体地说是-所述通信控制器(120)向所述主机单元(130)报告所述通信控 制器(120)的至少一个内部状态，所述至少一个内部状态指示所 述启动已经完成，和/或者-所述通信控制器(120)向所述主机单元(130)提供从不同节点 (200)接收到的有效启动帧对的数目，以及所述主机单元(130) 检査是否已经接收到来自至少一个最小数目的冷启动节点(200) 的有效启动帧对，-对于每一接收到的帧，所述通信控制器(120)向所述主机单元 (130)提供帧头，所述帧头至少包含-至少一个帧ID[标识号]，—至少一个循环ID[标识号]，和/或--至少一个启动帧的指示，和/或 -生成至少一个校验和，具体地说是至少一个循环冗余校验和 CRC，并将所述至少一个校验和添加到各个启动帧的报头中的至少 一个子集，其中，所述校验和使得所述主机单元(130)能够检查 所述各个启动帧的帧头的正确性和/或有效性。
14. 一种能够在至少一台计算机上运行的计算机程序产品，具体 地说是在至少一个微处理器上，例如在主机单元(130)上，其特征在 于将所述计算机程序产品编程为执行根据权利要求8至13中至少 一项的方法。
15. 根据权利要求14的计算机程序产品，其特征在于，所述计 算机程序被存储在-至少一个只读存储器ROM模块上，-至少一个随机存取存储器RAM模块上，或-至少一个闪存单元上。
16. 根据权利要求1至6中至少一项的至少一个节点(100)禾口/ 或根据权利要求7的至少一个分布式通信系统(400)和/或根据权利 要求8至13中至少一项的方法和/或根据权利要求14或15的至少一 个计算机程序产品的应用，用于确保所述节点(100)的时域中的差错 抑制，具体地说是用于保护至少一个双信道(300、 310)环境不会遭 受非法传输。
全文摘要
为了进一步开发通信系统(400)以及对应的通信方法，以便在不提供任何总线监护的情况下能够实现保护通信介质(300、310)不会遭受节点(100)的通信控制器(120)的定时失效，具体地说是有限地保护通信信道(300、310)在时域中不会遭受非法传输，建议防止节点(100)在具有对非法传输的高敏感度的阶段期间的任何传输，具体地说是防止节点(100)在通信系统(400)的通信启动期间的任何传输。
文档编号H04L12/40GK101491018SQ200780027069
公开日2009年7月22日 申请日期2007年7月9日 优先权日2006年7月19日
发明者彼得·福尔曼, 曼弗雷德·秦克, 马库斯·鲍迈斯特 申请人:Nxp股份有限公司