CAN總線的功能安全問(wèn)題
摘要:汽車的功能安全是當(dāng)前汽車技術(shù)發(fā)展的重點(diǎn)之一,也是車廠競(jìng)爭(zhēng)的利器。安全的實(shí)現(xiàn)與通信有關(guān),現(xiàn)在90%以上的車用CAN總線來(lái)實(shí)現(xiàn)控制用的通信。已經(jīng)發(fā)現(xiàn)CAN總線有高錯(cuò)幀漏檢和長(zhǎng)的等效離線與真正離線的機(jī)制性隱患,本文對(duì)這2種隱患的發(fā)生概率及其后果作了進(jìn)一步分析,漏檢的錯(cuò)幀可能最多是原數(shù)據(jù)的33倍或1/33,等效離線造成的失效概率在誤碼率為10-5時(shí)可達(dá)到16.8/h(總線利用率40%,速率500 kbps、平均幀長(zhǎng)100位)。如先發(fā)生錯(cuò)幀漏檢,應(yīng)用收下錯(cuò)幀,又發(fā)生離線,阻斷正確幀的改正作用,應(yīng)用將長(zhǎng)時(shí)間工作于錯(cuò)誤狀態(tài)下,是十分危險(xiǎn)的。
關(guān)鍵詞:CAN;錯(cuò)幀漏檢;離線;功能安全
引言
ISO26262道路車輛的功能安全國(guó)際標(biāo)準(zhǔn)已經(jīng)通過(guò)。車企實(shí)施這項(xiàng)標(biāo)準(zhǔn)是自利的事,因?yàn)榭梢詼p少出事故后的賠償損失,同時(shí)也是爭(zhēng)取客戶的競(jìng)爭(zhēng)手段之一。所以,回顧已有的實(shí)踐是非常必要的。參考文獻(xiàn)指出,ISO26262強(qiáng)調(diào)了安全的管理與安全的文化理念。安全不再僅是一種事后的風(fēng)險(xiǎn)評(píng)估,他還建議用參考文獻(xiàn)系統(tǒng)原理性過(guò)程的風(fēng)險(xiǎn)分析方法(system theoretic processhazard analysis method)實(shí)施ISO262 62。在這種方法中人、組織、機(jī)器等相互之間信息傳遞出錯(cuò)的過(guò)程及其風(fēng)險(xiǎn)都要加以評(píng)估。作為車輛控制設(shè)備間的信息傳遞,當(dāng)前的車輛中主要是CAN總線,CAN總線幀的丟失、錯(cuò)幀漏檢、送達(dá)次序的錯(cuò)誤、超過(guò)時(shí)限等帶來(lái)的風(fēng)險(xiǎn)均應(yīng)定量地分析。
筆者在本刊就CAN總線的隱患發(fā)表過(guò)若干文章,簡(jiǎn)單地講,主要有2個(gè)致命的隱患:非常大的錯(cuò)幀漏檢率,比Bosch公司聲稱的大幾個(gè)數(shù)量級(jí);由于協(xié)議規(guī)則間的不匹配,連續(xù)出錯(cuò)造成的等效離線,可能的持續(xù)時(shí)間很長(zhǎng)。這2種錯(cuò)誤單獨(dú)發(fā)生就會(huì)影響安全性,如果連著發(fā)生風(fēng)險(xiǎn)就更大:發(fā)生第1個(gè)故障時(shí)應(yīng)用會(huì)收下錯(cuò)誤的原始數(shù)據(jù),接著發(fā)生的第2個(gè)故障將阻斷數(shù)據(jù)刷新,從而使應(yīng)用的錯(cuò)誤持續(xù)一段時(shí)間,造成系統(tǒng)的安全事故。
1 錯(cuò)幀漏檢造成的值域失誤
圖1是發(fā)生位錯(cuò)(bit flip)而產(chǎn)生錯(cuò)幀漏檢的2個(gè)例子,具體構(gòu)造方法可見(jiàn)參考文獻(xiàn)。它們都滿足差錯(cuò)Ec=U·G,其中G是CAN總線的CRC生成多項(xiàng)式G=(110o,0101,1001,1001)。圖中,Ec=U·G=(1000,0010,0001,1100,1110,1001)。由于Ec是G的倍數(shù),所以CRC檢驗(yàn)不出錯(cuò)。
構(gòu)造錯(cuò)幀漏檢的例子時(shí),第1個(gè)1的作用是確保填充規(guī)則在第6位后發(fā)生,這個(gè)1既可以是發(fā)生在DLC中的代碼,也可以視為數(shù)據(jù)域中填充進(jìn)來(lái)的1。所以它的值可以不考慮作Tx與Rx的值。在此種情況下,如果第1個(gè)位錯(cuò)發(fā)生在Tx的第2位,收到的Rx值將是Tx的33倍,或者1/33。如果將第1次位錯(cuò)發(fā)生在1后面幾位,Rx值也會(huì)比Tx變化很多倍。
評(píng)論