專利名稱:操作控制單元的方法及控制單元的制作方法
技術領域:
本發(fā)明涉及一種操作控制單元的方法�,并且涉及一種控制單元,其特別用于汽車應用�。
背景技術:
CU(Control Unit,控制單元)控制電子�、電或機電系統(tǒng)的操作。在試圖保持需要被開發(fā)和制造的不同控制單元的數(shù)目盡可能低時��,公知的是將“標準化”的控制單元用于特定的應用。這種控制單元具有存儲器����,其允許存儲唯一(unique)或特定的數(shù)據(jù),這些數(shù)據(jù)使該控制單元適合于它特定的工作條件或參數(shù)��,例如適合于它所被使用的特定車輛類型��。
如果在車輛的系列生產(chǎn)期間確定數(shù)據(jù)應該被更改以使CU及相應系統(tǒng)適合于經(jīng)修正的參數(shù)�,那么使用可擦除的存儲器來存儲唯一或特定的數(shù)據(jù)允許在以后更改該特定數(shù)據(jù)。
這種可更改或可擦除的唯一的數(shù)據(jù)的問題是未授權的更改是可能的���。未授權的更改可導致修改執(zhí)行相應的功能所必須的參數(shù)或者甚至切斷該功能?�,F(xiàn)在將以門控制單元作為典型例子來描述該問題�。
DCU(Door Control Unit�����,門控制單元)具體控制電動窗驅動器�,通過該電動窗驅動器,窗可從關閉位置向打開位置移位����,反之亦然。在現(xiàn)代車輛中�����,電動窗驅動器不直接連接到由車輛占用者激勵以便于打開或關閉車窗的開關�。相反,該電動窗驅動器(可能還有該開關)被連接到總線系統(tǒng)��,這些組件經(jīng)由該總線系統(tǒng)相互通信��。一個總線系統(tǒng)的例子是CAN總線����。
除了簡單地打開和關閉相應的窗之外,DCU亦日益被用于提供關于相應的窗和/或相應的車門的附加功能��。這種功能的一個例子是防擠功能����,其防止當窗被向其關閉位置驅動時部分車輛占用者被擠在窗框和相應的窗之間。該防擠功能可根據(jù)在該窗關閉期間應用到該窗(或電動窗驅動器的馬達)的最大容許驅動力(或最大容許電流)來實施����。超過該最大容許驅動力(或該最大容許電流)可被解釋為不能容許的條件,其可能由該窗在它的路徑中遇到障礙所引起,例如車輛占用者身體的一部分���。然后���,該窗的關閉被立刻停止。
這種防擠功能的細節(jié)取決于某些參數(shù)��,其特定于每個車輛類型����。一個參數(shù)是當該窗在其框中移位時發(fā)生的摩擦。另一個參數(shù)是被相應的車輛制造認為是可容許的驅動力���。這些參數(shù)被存儲在該DCU的存儲器中�。這允許制造在很大程度上標準化的DCU����,其然后通過將對車輛類型唯一的數(shù)據(jù)存儲在存儲器中而為相應的車輛類型來定制。如果在車輛系列生產(chǎn)期間確定數(shù)據(jù)應該被更改以使電動窗驅動器和DCU的操作適合于經(jīng)修訂的參數(shù)�,則這進一步允許在以后更改該唯一的數(shù)據(jù)。
如果該唯一的數(shù)據(jù)被未授權的或無意的訪問所更改或擦除��,那么這種訪問可導致修改執(zhí)行相應功能所必須的參數(shù)或者甚至切斷該功能�。在上述DCU例子中����,切斷該防擠功能顯然是不理想的���。
在現(xiàn)有技術中,所做的嘗試是只有當某個診斷代碼經(jīng)由總線系統(tǒng)被發(fā)送時才允許訪問該存儲器�����。然而�,由于兩個原因仍然有未授權的或無意的對該存儲器的訪問的危險。第一�����,仍然有經(jīng)由該總線系統(tǒng)發(fā)送的并且打算用于與相應CU不同的組件的消息被相應的CU錯誤解釋為診斷代碼的危險��。這是由于這樣的事實多個組件經(jīng)由該總線系統(tǒng)通信���,從而導致多個不同的消息經(jīng)由該總線系統(tǒng)被發(fā)送�。所有這些消息被該CU“偷聽”��。第二��,當出于服務目的訪問該CU時仍然有特定參數(shù)(在上述例子中關于防擠功能的)被無意更改的危險。這種訪問可被進行以便于讀取故障存儲器����,表示出錯或不尋常工作條件的數(shù)據(jù)被儲存在其中,或者以便于更新控制與該CU相關聯(lián)的系統(tǒng)操作的程序�����。
發(fā)明內(nèi)容
本發(fā)明的目的是只可靠地允許被授權的人員訪問到CU的特定數(shù)據(jù)���,并且防止對被認為是與該CU和由該CU控制的系統(tǒng)的正確工作有關的數(shù)據(jù)的任何無意或者未授權的訪問����。
為此��,本發(fā)明提供一種操作控制單元(CU)的方法�����,其包含如下步驟首先��,上電復位被執(zhí)行���。然后����,在該復位后的預定時間段內(nèi)該CU使得起動消息的條件下,該CU進入診斷模式��,在該模式下����,與診斷單元的診斷通信可被建立。如果在預定時間段內(nèi)沒有起動消息被接收����,那么該CU進入正常工作模式���。本發(fā)明基于該思想來使用兩種不同的CU工作模式�����。在正常工作模式中�,CU以其常規(guī)方式工作���。在該工作模式中,沒有診斷通信可被建立,并且沒有對唯一的數(shù)據(jù)的訪問是可能的�。在診斷模式中���,對該唯一的數(shù)據(jù)的訪問是可能的。通過兩種方式來防止無意進入該診斷模式����。首先,在上電復位之后起動消息需要被接收�。這防止該CU在正常工作期間進入診斷模式,因為上電復位(其被限定為中斷電力供應幾秒鐘)僅在很少的場合被執(zhí)行�。其次,該起動消息需要在上電復位之后的預定(典型地非常短)時間段內(nèi)被接收�。這進一步限制了無意進入診斷模式的危險。針對對唯一的數(shù)據(jù)的無意或未授權訪問的附加安全性是通過使用用于該診斷模式的通信協(xié)議來實現(xiàn)的�����,該協(xié)議不同于在工作模式中所使用的通信協(xié)議����。由于用于該診斷模式的通信協(xié)議不被用于其它目的,所以車輛制造者和修理或服務廠不需要具有對該通信協(xié)議的訪問����,從而防止了對唯一的數(shù)據(jù)的訪問。
本發(fā)明還提供了一種控制單元�,其具有被指定存儲對相應車輛類型唯一的數(shù)據(jù)的存儲器��,允許在第一協(xié)議下經(jīng)由總線系統(tǒng)來通信以便于CU正常工作的的第一通信模塊�,和允許在第二協(xié)議下經(jīng)由該總線系統(tǒng)來通信以便于訪問存儲器的第二通信模塊�����。關于用這種CU所實現(xiàn)的優(yōu)越性����,參考上述說明。
本發(fā)明的有利方面被限定在從屬權利要求中���。
本發(fā)明將參照附圖中所示出的示例性實施例來描述。在附圖中��,圖1示意性地示出根據(jù)本發(fā)明的CU�;圖2是被提供有如圖1所示的CU的車輛的示意圖;以及圖3是示出根據(jù)本發(fā)明的方法步驟的塊圖���。
具體實施例方式
以下將參照門控制單元(DCU)來描述本發(fā)明�。然而�����,顯然本發(fā)明亦涉及其它種類的控制單元。
圖1示意性地示出DCU 10��,其在車輛中被使用��,特別用于控制和操作電動窗驅動器�����。其它功能可包含對用于車門的中央關閉系統(tǒng)(CC)的控制或者對車輛內(nèi)部照明系統(tǒng)的控制�。
門控制單元10被連接到總線系統(tǒng)12,其優(yōu)選地為LIN(LocalInterconnect Network�,局部互聯(lián)網(wǎng)絡)總線。其它控制單元���,例如CCU 14(Central Control Unit��,中央控制單元)或其它車門的DCU(請看圖2)��,經(jīng)由該LIN總線相互通信���。LIN協(xié)議被用于該通信。因此��,該DCU包含第一通信模塊16,其適合于在該LIN協(xié)議下通信并且與控制模塊18連接�,控制模塊18控制電動窗驅動器的工作,具體來說是控制驅動可移位窗的馬達20的工作(請看圖2)���。
此外����,DCU 10還包含存儲器21��,優(yōu)選地為EEPROM�����,其含有對相應車輛類型唯一或特定的數(shù)據(jù)����。為了說明的目的,在下文中假定存儲器21含有表示電動窗驅動器的防擠功能細節(jié)的數(shù)據(jù)�,具體來說����,應用到該窗的最大容許關閉力。然而�,存儲器21可含有其它特定數(shù)據(jù)。最后����,DCU 10包含用于開關24的輸入22����,該開關可由試圖打開或關閉該窗的車輛占用者來激勵��。
應注意��,第一通信模塊16只適合于在LIN協(xié)議下通信����,并且只適合于DCU的正常工作?��!罢9ぷ鳌卑ù暗拇蜷_和關閉以及某些服務功能���,如讀取作為控制模塊18的一部分的故障存儲器的內(nèi)容。
DCU 10進一步含有第二通信模塊26�����,其也被連接到LIN總線12���,但只適合于在SCI(Serial Connection Interface��,串行連接接口)協(xié)議下通信�。第二通信模塊26被連接到存儲器21,從而使它的內(nèi)容可以以任何其它方式被讀取���,更改�,刪除或修改���。
在正常條件下(通過接通點火來開啟車輛以及該車輛的隨后工作)��,通信只經(jīng)由第一通信模塊16進行����。第二通信模塊26是不激活的并且因此不能經(jīng)由LIN總線12被尋址��。
如果上電復位被執(zhí)行(請看圖3)���,則第二通信模塊26以預定時間段“監(jiān)聽”是否收到起動消息�����,所述上電復位涉及以足夠的時間中斷來自電池的電供應以確保沒有電殘留在該電系統(tǒng)中并且隨后重新建立電供應。這種起動消息將從臨時連接到LIN總線12的外部診斷單元發(fā)送。該預定時間段通常盡可能地短����,并且長度剛好足夠允許該診斷單元發(fā)送該起動消息。200ms或者更短的時間段應該是足夠的��。
如果在上電復位之后的預定時間段內(nèi)沒有起動消息被接收��,那么第二通信模塊26保持是不激活�,并且第一通信模塊16開始工作。DCU 10仍然處于它的正常工作條件�。
如果在該預定時間段內(nèi)收到起動消息,那么第二通信模塊26開始SCI協(xié)議�����,并且診斷單元被準許在該SCI協(xié)議下對存儲器21中所包含的數(shù)據(jù)進行訪問�����,從而如果需要的話允許該診斷單元更改這些數(shù)據(jù)��。DCU 10現(xiàn)在處于診斷模式�����。
如果在預定時間段沒有來自該診斷單元的診斷數(shù)據(jù)被接收,那么對存儲器21的訪問被中斷并且該診斷模式被終止�����。還可提供的是該診斷單元以預定間隔發(fā)送診斷期(session)打開消息�����,其通知第二通信模塊要繼續(xù)該診斷模式���。然后如果在預定時間段沒有診斷期打開消息被接收�����,那么該診斷模式將被終止��。該診斷模式也可響應于收到明確的診斷模式終止消息而被終止���。
該診斷模式終止之后,DCU(經(jīng)由第一通信模塊)的正常工作被使能��,并且LIN協(xié)議被開始�。
可提供的是第二通信模塊被結合到第一模塊中以便于通過第一通信模塊接收起動消息來使能或開始,而不是在上電復位之后讓第二通信模塊“監(jiān)聽”該起動消息���。此外�����,該起動消息可以是DCU輸入的預定條件而不是經(jīng)由LIN總線12所發(fā)送的特定消息�����。
通過以上描述應該理解用于使存儲器21的內(nèi)容被保護以不被未授權和/或無意訪問影響的方式和方法同樣也適用于其它控制單元����,例如馬達控制單元��,太陽屋頂控制單元��,可轉換屋頂控制單元等��。
參考數(shù)字列表10門控制單元(DCU)12LIN總線14中央控制單元16第一通信模塊18控制模塊20馬達21存儲器22輸入24開關26第二通信模塊��。
權利要求
1.一種操作控制單元(CU)的方法��,其包含下列步驟執(zhí)行上電復位�����;如果在所述復位之后的預定時間段內(nèi)所述CU(10)收到起動消息,那么所述CU(10)進入診斷模式���,在該診斷模式中與診斷單元的診斷通信可被建立�;如果在所述預定時間段內(nèi)沒有收到起動消息�,那么所述CU(10)進入正常工作模式。
2.如權利要求1的方法��,其中第一協(xié)議被用于在正常工作模式中與所述CU(10)通信��,并且不同于所述第一協(xié)議的第二協(xié)議被用于在所述診斷模式中與所述CU(10)通信��。
3.如權利要求2的方法�����,其中所述第一協(xié)議是LIN協(xié)議���。
4.如權利要求2或權利要求3的方法��,其中所述第二協(xié)議是SCI協(xié)議�����。
5.如前述權利要求中任何一項的方法���,其中在進入所述診斷模式之后所述CU(10)核實診斷數(shù)據(jù)是否繼續(xù)被接收��,并且在沒有收到診斷數(shù)據(jù)預定時間段后終止所述診斷模式��。
6.如前述權利要求中任何一項的方法���,其中在進入所述診斷模式之后所述CU(10)核實診斷期打開消息是否被定期接收����,并且如果在預定時間段沒有診斷期打開消息被接收,則終止所述診斷模式����。
7.如前述權利要求中任何一項的方法,其中在收到診斷模式終止消息之后所述CU(10)終止所述診斷模式���。
8.如前述權利要求中任何一項的方法���,其中所述診斷模式允許更改所述CU(10)的工作參數(shù)。
9.如權利要求8的方法�,其中所述CU(10)控制與車門相關聯(lián)的系統(tǒng)的工作并且其中所述工作參數(shù)包含防擠功能的參數(shù)。
10.如前述權利要求中任何一項的方法���,其中總線系統(tǒng)(12)被用于與所述CU(10)的通信����。
11.如權利要求10的方法,其中所述總線系統(tǒng)(12)是LIN總線(局部互聯(lián)網(wǎng)絡總線)��。
12.如前述權利要求中任何一項的方法���,其中所述起動消息經(jīng)由所述總線系統(tǒng)(12)來發(fā)送�。
13.如前述權利要求1到11中任何一項的方法�����,其中所述起動消息由關于CU(10)的輸入的特定條件來限定����。
14.一種控制單元(CU),具有存儲器(21)�����,其被指定用于存儲對相應車輛類型唯一的數(shù)據(jù)����;第一通信模塊(16)���,其允許在第一協(xié)議下經(jīng)由總線系統(tǒng)(12)通信以便于所述CU(10)的正常工作;以及第二通信模塊(26)�,其允許在第二協(xié)議下經(jīng)由所述總線系統(tǒng)(12)通信以便于訪問所述存儲器(21)。
15.如權利要求14的控制單元���,其中所述存儲器(21)是EEPROM�����。
16.如權利要求14的控制單元,其中所述存儲器(21)是適合于模擬EEPROM的閃控制器(flash controller)����。
17.如前述權利要求14到16中任何一項的控制單元,其中它是門控制單元�����。
全文摘要
一種操作控制單元(10)的方法�����,其包含下列步驟首先,執(zhí)行上電復位����。然后,如果在所述復位之后的預定時間段內(nèi)所述CU(10)收到起動消息����,則所述CU(10)進入診斷模式,在診斷模式中與診斷單元的診斷通信可被建立�����。如果在所述預定時間段內(nèi)沒有起動消息被接收�����,則所述CU(10)進入正常工作模式��。適合于由本方法操作的CU(10)具有存儲器(21)��,其被指定用于存儲對相應車輛類型唯一的數(shù)據(jù)���;第一通信模塊(16)�����,其在第一協(xié)議下允許經(jīng)由總線系統(tǒng)(12)的通信以便于所述CU(10)的正常工作����;以及第二通信模塊(26),其在第二協(xié)議下允許經(jīng)由所述總線系統(tǒng)(12)的通信以便于訪問所述存儲器�。
文檔編號G06F11/267GK1691592SQ20051006628
公開日2005年11月2日 申請日期2005年4月26日 優(yōu)先權日2004年4月27日
發(fā)明者勞倫特·迪布瓦, 菲利普·拉烏爾, 格哈德·默施 申請人:阿文美馳有限責任公司