用于基于功能类型对将由通信网络的电子设备使用的帧进行检查并使用这些帧中包含的参数的设备和方法

摘要

本发明涉及一种用于检查由电子设备(O1)接收的比特组的帧的设备(D)，所述电子设备(O1)连接到通信网络(RC)并使用至少一个称为非安全类型的本地功能。所述设备(D)包括检查装置(MC)，万一接收自所述网络(RC)的帧中的至少一个比特组出现错误，检查装置(MC)被配置成强制电子设备(O1)按原样使用所接收帧中表示所述电子设备(O1)使用的非安全类型本地功能的参数的至少每个比特组。

说明书

技术领域

本发明涉及能够经由通信网络相互间进行通信的电子设备，更确切地 涉及对这样的电子设备所接收的帧进行检查。

背景技术

某些通信网络包含通信电子设备所并行连接到的总线。然后经由该总 线，通过复用帧在通信电子设备之间进行数据交换。术语“帧”在此表示 比特组的单位，对于比特组中的至少一些，比特组表示由电子设备中的本 地功能使用的参数采用的值。

在这些网络之中，可以特别列举CAN LS(“Controller Area Network Low  Speed控制器局域网低速”)、或者CAN HS(“Controller Area Network High  Speed控制器局域网高速”)、或者VAN(“Vehicle Area Network车辆局域 网络”)、或者LIN(“Local Interconnect Network本地互连网络)或者FlexRay 那些类型。在许多区域并且特别是在车辆(可能是汽车类型)的区域使用 这样的网络。

如本领域技术人员所知晓的，之前所列举的通信网络交换的电子设备 发展的信息帧所处的环境可能被外部元素(例如，电磁干扰)或者连接到 承担有信息数据传输的物理层的内部错误(例如时钟漂移或者封装问题) 干扰。这些可能具有暂时性质的干扰导致了帧比特中的错误。这些错误构 成了一般被称为电子缺陷的大约90％，剩余10％涉及永久性问题(例如， 束切断(bundle cut)、断路或者接地)。

为了容许电子设备检测它们接收的帧中的错误，在帧中加入安全信息， 该安全信息例如是CRC(循环冗余检查)、校验和和/或过程计数。当电子 设备接收到帧时，其从其所包含的比特开始，计算之前列举的安全信息， 然后将该计算出的安全信息与所考虑的帧中的安全信息进行比较。在一致 的情况下，帧被认为是有效，而在存在一个或多个差异的情况下，帧被认 为是错误(或者无效)的。

当接收的帧是错误的时，电子设备的面向应用层(例如英语中被称为 “Fault Handling CAN”)承担有向这个电子设备供应替换帧(或者覆盖帧)， 该替换帧包括旨在作为缺省的一个或多个参数值，以使其包括的本地应用 功能处于被称为退化(degraded)的模式中。换句话说，在帧中检测到一个 或多个错误的情况下，强制需要该错误帧中所包含的信息的每个本地应用 使用缺省值而非实际接收的真实值。

不幸的是，可能发生的是，在某些使用期阶段，当某些应用被强制使 用替换(或者叠加)帧中所包括的缺省参数值时，它们不再呈现最佳功能。 这可能特别由于以下事实：在某些情况下，替换帧的某些缺省参数值迫使 某些应用以与其他动作不兼容或者几乎不兼容的方式来执行，该其他动作 是该同一替换帧的其他参数的缺省值所容许的。这也可能是由于覆盖值没 有反映真实状态，在该真实状态中发现了“发射器”功能，从而非代表性 的缺省值的“消费者”(或者“用户”或者“接收器”)功能采用了不适应 于车辆使用期的现实状况的行为。

为了改善该状况，当然可以以系统的方式并且实时地为每个错误帧计 算它所包含的每一参数的相互兼容缺省值，但这将引起(在恒定的计算能 力下)电子设备的运行速度的(十分)显著下降，与它们一些本地应用所 需要的反应时间不兼容。

因此本发明具有在不要求电子设备计算能力显著增加的情况下改善该状况的 问题。

发明内容

首先为此目的提出一种设备，该设备用于检查由电子部件接收的比特 组的帧，该电子部件适于连接到通信网络并使用至少一个称为非安全类型 的本地功能，并且该设备包括检查装置，该检查装置被设计为在接收自网 络的帧中的至少一个比特组中存在错误的情况下，强制所述电子设备按原 样使用该接收帧中表示所述电子设备使用的非安全类型的本地功能的参数 的至少每个比特组(包括错误的那些)。

根据本发明的设备可以包括其他可以分别或者组合采用的特性，并且 特别地；

-它可以包括分析装置，该分析装置被设计为对使用所检测的错误比 特组的每个本地功能的类型进行确定，以这样方式以向所述检查装置指出 所确定的类型。作为一种变型，存在可以被设计为对使用检测的错误比特 组的每个本地功能的类型进行确定的检查装置；

-作为变型，其检查装置可以被设计为，在由电子设备检测到接收的 帧包含表示非安全本地功能的参数的至少一个组，然后由电子设备做出决 定将所检测的错误帧替换为包括具有选择值的替换比特组的替换帧的情况 下，强制电子设备按原样使用所检测的错误帧中表示至少一个非安全功能 的参数的至少每个比特组而不是使用该替换帧中包含的替换比特组；

-其检查装置还可以被设计为，在接收自网络的帧中表示被称为安全 类型的本地功能的参数的至少一个比特组存在错误的情况下，强制所述电 子设备使用具有选择值的替换比特组而不是该错误的安全比特组；

-每个选择值可以是缺省的预定义值。

本发明还提出一种旨在连接到通信网络的电子设备，并且本发明包括 用于检查上述类型的帧的设备。

本发明还提出一种方法，该方法用于检查由电子部件接收的比特组的 帧，该电子部件适于连接到通信网络并使用至少一个称为非安全类型的本 地功能，并且该方法包括在检测到接收自网络的帧中至少一组比特存在错 误的情况下，强制所述电子设备按原样使用所接收帧中表示该电子设备所 使用的非安全类型的本地功能的参数的至少每个比特组(包括错误的那 些)。

该方法还包括，在检测到接收自网络的帧中表示本地安全功能的参数 的至少一个比特组存在错误的情况下，强制所述电子设备使用具有选择值 的替换比特组而不是错误的安全比特组。

本发明特别适合于(然而并非限制方式)与车辆(可能是汽车类型的 车辆)结合的通信网络。

附图说明

本发明的其他特性和优点将从下列详细说明的查阅和附图中显现，其 中：

图1以功能方式示意性图解了通信网络的一部分，该网络包括三个电 子设备并行连接到的总线，其中的一个设备中设置有用于根据本发明对帧 进行检查的设备的示例性实施例。

附图不仅可以用于使本发明完整，而且根据情况需要，有助于本发明 的定义。

具体实施方式

本发明具有提供一种与互通的电子设备O1相关联的对帧进行检查的 设备D的特殊问题，该互通的电子设备O1并行连接到通信网络RC的总 线BU。

在下文中通过非限制示例的方式，认为通信网络RC是CAN LS(“控 制器局域网低速”)类型的网络。然而，本发明不局限于该类型的通信网 络。事实上，它涉及设置有总线的每一类型的通信网络，并且特别地，涉 及CAN HS(“控制器局域网高速”)、VAN(“车辆局域网”)、LIN(“本地 互连网络”)和FlexRay类型的网络。

此外，在下文中通过非限制示例的方式，认为RC网络是车辆的一部 分，可以是汽车类型(例如轿车)的车辆的一部分。然而，本发明不局限 于这一应用。事实上，它尤其是涉及包括至少一个RC通信网络的陆地车 辆、船舶和飞机以及工业设施。

图1示意性说明了RC(通信)网络的一部分，该RC网络包括总线 BU，一些互通的电子设备Oj并行连接到总线BU上并通过复用帧来交换 信息。在非限制示例中，图示了三个电子设备O1到O3(j＝1到3)连接到 总线BU，更确切地说，连接到其分别称作“CAN_L”和“CAN_H”的第 一CH电线和第二CL电线，并且专用于数字数据(或者比特)的帧的传递。 然而，RC网络的元件设备Oj的数量不限于三个。事实上，该数量必须至 少等于两个，因此才能有帧的交换。

本发明具有提供一种检查帧的设备D所产生的问题，该设备旨在耦合 到电子设备Oj。在图1所说明的非限制示例中，只有第一电子设备O1耦 合到设备(用于检查帧)D。然而，一些甚至全部的电子设备可以耦合到 RC网络中的设备(用于检查帧)D。在一般方式中，有利的是，使用由其 所包含的非安全应用AP使用的至少一个被称为非安全类型的本地功能的 每个电子设备都耦合到设备D。

重要的是注意，短语(“电子设备Oj耦合到设备D”)在此表示以下事 实：电子设备Oj内部装配有设备D(如以非限制方式所说明的)，并且电 子设备Oj连接到设备D。从而，根据本发明的设备D可以以电子电路、 软件(或者电子数据处理)模块或者电子电路和软件模块的组合的形式来 实现。

当电子设备内部装备有设备D时，后者(D)可以被例如嵌入(如所 说明的)到包括在该电子设备上运行的每个应用AP的应用层CA，并且 后者(D)连接到组合了物理层和协议层CPP的单元。

同样重要的是注意，短语“非安全类型的功能”在此表示由AP应用 使用的、在该功能在运作时不能够损害人员或者设备块的安全的功能。在 车辆的情况下，其涉及例如专用于编码的防止启动的应用的功能或者专用 于空气调节的应用的功能或者专用于(在排气管路上的)污染控制的应用 的功能。此外，这里短语“安全类型的功能”表示由应用使用的、当该功 能在运作时能够损害人员或者设备块的安全的功能。在车辆的情况下，其 可以涉及例如专用于速度控制或者专用于制动(例如，紧急制动或者ABS) 的应用的功能，或者专用于轨迹控制(例如，ESP)的应用的功能，或者专 用于封闭式前灯的应用的功能，或者专用于动力转向的应用的功能，或者 专用于“发动机罩下的热事件”(在无运行的情况下有破坏发动机的风险) 的应用的功能，或者专用于速度限制或者坡起辅助的应用的功能。

如图1示意性和功能性说明的，根据本发明的设备D至少包括检查装 置MC，该检查装置MC用于每一次与之相关联的电子设备O1从RC网络 接收到帧时进行干预。

更确切地说，每一次电子设备O1从RC网络接收到帧，该帧包括至少 一个比特组中的错误，该检查装置MC用来迫使电子设备O1按原样使用 接收帧中包含的并且表示电子设备O1的应用AP所使用的非安全类型本地 功能的参数的至少每个比特组。

换句话说，当帧是错误的时，检查装置MC命令其电子设备O1，更确 切地说，命令后者(O1)的每个应用AP使用该错误帧中包含的所有非安 全参数的值，即使它们中的一些是错误的。

每个错误比特组一般由CPP单元(例如，承担有对CRC的计算的CPP 单元或者承担有对校验和的计算的CPP单元)的协议层中的至少一个来检 测，然后由这个协议层向设备D指出每个错误比特组。注意，用于管理故 障(或者错误)(“或者fault handling CAN”)的功能也可以检测与发射参 数的功能的应用层中与运作问题相关联的错误(在这种情况下，复用网络 中循环的帧的一致性是正确的，因此协议层未检测到异常，但是例如，比 特字段可能位于功能范围之外)。

例如，并且如以非限制方式所示的，设备D可以包括分析装置MA， 分析装置MA承担有对使用错误比特组的每个本地功能的类型进行确定， 该错误比特组由协议层用信号通知和指出。所记得的是，本地功能类型不 是安全就是非安全的。然后分析装置MA被承担向该检查装置MC指出每 个错误比特组以及必须使用该比特组表示的参数值的本地功能的确定类 型。

注意，在一种变型中，检查装置MC可以被设计为本身对使用了由协 议层检测和指出的错误比特组的每个本地功能的类型进行确定。

在如上所述的示例性实施例中，设备D承担有对错误帧进行检查以做 出强加的决定，该决定涉及使用或不使用该帧所包含的比特组。

然而，在一种变型中，电子设备O1，以及更确切地说，电子设备O1 的应用层中的一个(例如，用于管理故障(或者错误)的层(“或者fault  handling CAN”)可以承担(通过构造)在检测出错误帧的情况下做出决 定。例如，可以以这样的方式设计该应用层，以至决定由包括替换比特组 的替换(或者覆盖)帧来替换检测到的错误帧，该替换比特组具有所选择 的(缺省的或者通过计算出的)值。

在这种情况下，检查装置MC监测由之前列举的应用层生成的替换帧， 以此方式来强制电子设备O1按原样使用所检测的错误帧中表示至少一个 非安全功能的参数的至少每个比特组，包括错误的那些比特组，而不是使 用由该应用层提供的替换帧中包含的每个相应替换比特组。换句话说，检 查装置MC位于等级大于应用层的决策层。注意，检查装置MC可以在它 们拒绝替换接收比特组的情况下来批准使用替换帧中表示安全功能的参数 并且已经被替换比特组替换的比特组，或者防止使用替换帧中表示安全功 能的参数并且已经被替换比特组替换的比特组(在该情况下，有关应用不 具有安全功能的参数值)。

注意在一种变型中或者也作为一种补充，检查装置MC还可以被设计 成，当RC网络的接收帧在表示本地安全功能的参数的至少一个比特组上 包含错误时，强制其电子设备O1使用具有选择值的替换比特组，而不是使 用错误的安全比特组。

在该情况下，为比特组选择的每个值可以是缺省的预定义值(例如存 储在参数/功能的相应值表中的)。

还要注意的是，非安全接收功能不使用最近接收的有效值，而是使用 在复用网络中循环的真实信息。如果当帧是错误的时该真实信息演变了， 则非安全接收功能考虑该演变。

现在将要描述本发明实施方式的示例，其中第一电子设备O1是计算 机，该计算机控制混合动力类型车辆的发动机或者内燃机的发动机的停止 和启动，并且包括编码的防止启动应用AP(或者ADC)，第二电子设备 O2是称作BSI(built-in systems interface内置系统接口)的计算机，并且 第三电子设备O3是称作HPCU的计算机。最末者(HPCU)是监管混合动 力类型车辆的电气网络的设备。它检查电动机，还对来自连接到网络的不 同计算机的请求和信息进行综合(例如，它考虑特别是通过CMM(齿轮箱 和巡航控制的计算机)实现的不同处理，确定由驾驶员所请求的发动机耦 合。

所记得的是，当第一电子设备O1(CMM)和第二电子设备O2(BSI) 之间的通信(帧的交换)不再被确保处于最佳方式时(这是(例如，在CMM 的非授权改变期间)违规的特征)，ADC应用经由阻止喷射来许可对车辆 的启动的阻止。当决定阻止喷射时，称第一电子设备O1(CMM)被锁定。 相反地，当没有决定阻止喷射时，称第一电子设备O1(CMM)被解锁。

第一电子设备O1(CMM)为了确定其是否应当阻止其本身，它在RC 网络上定期向第二电子设备O2(BSI)发送解锁请求，并检查后者应该回 送给它的响应。如果该响应与其期望的一致，则第一电子设备O1(CMM) 保持解锁。在相反的情况下，它被锁定从而防止车辆的启动。

由ADC应用强加的第一电子设备O1(CMM)和第二电子设备O2(BSI) 之间的帧交换只应当发生在使用期中以下唯一情况下：当内燃机处于切断 或者停转(stalled)状态时。当发动机处于由停止和启动应用决定的(临时 的)停止状态时，不会进行该帧交换，以当驾驶员要求再启动车辆时不冒 阻止车辆的再启动的风险。

为了确定内燃机所处的状态(并因而发起或不发起与第二电子设备O2 (BSI)的ADC通信)，ADC应用需要两个部分的信息：发动机工作过程 期间的值(rpm/min)和由第三电子设备O3(HPCU)在RC网络中控制和 发射的、称作“停止发动机请求”的参数的过程期间的状态。当第三电子 设备O3(HPCU)请求内燃机停止时，参数“停止发动机请求”的状态是 有效的，相反情况下则是非有效的。

应当理解的是，当发动机工作是零而且第三电子设备O3(HPCU)在 RC网络中请求并发出内燃机的临时停止时，第一电子设备O1(CMM)认 为热发动机处于停止状态。因此不发起ADC应用与第二电子设备O2(BSI) 之间的通信，也没有锁定第一电子设备O1(CMM)的风险。另一方面， 当发动机工作是零而且第三电子设备O3(HPCU)在RC网络中没有请求 和发送内燃机的临时停止时，第一电子设备O1(CMM)认为热发动机处 于切断/停转状态。因此发起ADC应用和第二电子设备O2(BSI)之间的 通信，并且在来自第二电子设备O2(BSI)的响应不符合或者缺失的情况 下，可以锁定第一电子设备O1(CMM)。

如果由第三电子设备O3(HPCU)发送的、用于请求内燃机临时停止 的帧在总线BU上由于物理上或者协议上的干扰而被破坏，则帧在第一电 子设备O1(CMM)内变成错误的。例如，它可以包括发动机工作的禁用 值(例如，接收值等于8100rpm/min，而授权值范围在0和8000rpm/min 之间)。在这情况下并且在缺少本发明的实施方式的情况下，第一电子设备 O1(CMM)销毁错误帧，并且将其替换为替换帧，该替换帧包含用于其包 含的所有参数的缺省值。然后ADC应用将使用替换帧的内容。现在，后者 包含缺省值，发信号通知参数“停止发动机请求”处于非有效状态，并且 后者发起与第二电子设备O2(BSI)的通信，该通信的结果是第一电子设 备O1(CMM)的非期望锁定。

当实施了本发明时不会发生这种情况，由于设备D强制第一电子设备 O1(CMM)使用包含在接收的错误帧中的发动机工作(非安全参数)的错 误的(或者破坏的)并因此真实的值，而非使用缺省替换值，因而容许第 一电子设备O1(CMM)不被不必要地锁定。

注意，在ADC应用情况下本发明的实施例只是许多其他示例之中的 个示例。

同样重要的是注意，本发明还可以从用于检查帧的方法的角度来考虑， 该方法尤其是可以是借助于之前介绍的类型的用于检查帧的设备D来实 现。因为根据本发明的该方法的实施方式提供的功能与之前介绍的设备D 提供的功能一致，所以在下文中仅仅介绍该方法提供的主要功能的组合。

这方法包括，在电子设备O1从RC网络接收的帧中检测到在至少一个 比特组上的错误的情况下，强制电子设备O1按原样使用接收帧中表示该电 子设备O1所使用的非安全类型本地功能的参数的至少每个比特组。

本发明不限于如上单纯通过示例的方式所述的用于检查帧的设备的实 施例、电子设备的实施例和用于检查帧的方法的实施例，本发明包括本领 域技术人员可以设想处于所附权利要求的范围内的全部变型。