本公開涉及汽車通信，特別是涉及保護(hù)通信總線免受不安全的車輛系統(tǒng)的影響的系統(tǒng)和方法。

背景技術(shù)：

控制器局域網(wǎng)絡(luò)(can總線)經(jīng)常用于車輛內(nèi)的各種車輛系統(tǒng)(例如發(fā)動機(jī)控制單元(ecu))之間的通信。與can總線連接的每個系統(tǒng)通常能夠?qū)?shù)據(jù)傳輸?shù)絚an總線上，并且接收已由其它連接的系統(tǒng)傳輸?shù)絚an總線上的數(shù)據(jù)。因此can總線通信容易受到多種類型的中斷的影響。損壞的車輛系統(tǒng)可能以巨大量的不必要或無效的消息來對can總線“發(fā)送垃圾”，從而防止有效消息被發(fā)送。在一些情況下，損壞的車輛系統(tǒng)可能發(fā)送“欺騙”有效消息的消息，從而導(dǎo)致接收這些消息的其他車輛系統(tǒng)的不期望的操作。這種中斷可能發(fā)生在車輛系統(tǒng)有故障的情況下，或也可能是為了中斷連接到can總線的車輛系統(tǒng)的正常操作的有意黑客攻擊或惡意破壞的結(jié)果。

技術(shù)實現(xiàn)要素：

本公開內(nèi)容的系統(tǒng)、方法和設(shè)備各自具有若干創(chuàng)新方面，其中沒有單獨一個為本文所公開的期望屬性全部負(fù)責(zé)。所示出的實現(xiàn)方式僅是示例而不用于限制。貫穿附圖，同樣的附圖標(biāo)記一般標(biāo)識同樣的部件(除非上下文以其它方式進(jìn)行指出)。

在一個實施例中，描述了一種用于車輛系統(tǒng)和安全通信總線之間的通信系統(tǒng)。所述系統(tǒng)可以包括微控制器和收發(fā)器，所述收發(fā)器被配置為向所述通信總線發(fā)送傳輸數(shù)據(jù)，從所述通信總線接收數(shù)據(jù)，以及將從所述通信總線接收的數(shù)據(jù)發(fā)送到所述微控制器。通過所述微控制器的輸出和所述收發(fā)器的傳輸數(shù)據(jù)的輸入之間的硬件分離可以防止所述微控制器向所述收發(fā)器傳輸數(shù)據(jù)。

在另一個實施例中，描述了一種用于車輛系統(tǒng)和安全通信總線之間的通信方法。所述方法可以包括提供微控制器和提供收發(fā)器，所述收發(fā)器被配置為向所述通信總線發(fā)送傳輸數(shù)據(jù)，從所述通信總線接收數(shù)據(jù)，以及將從所述通信總線接收的數(shù)據(jù)發(fā)送到所述微控制器。所述方法還可以包括通過硬件將所述收發(fā)器的傳輸數(shù)據(jù)的輸入從所述微控制器的輸出分離，以防止所述微控制器向所述收發(fā)器傳輸數(shù)據(jù)。

在另一個實施例中，描述了一種車輛。所述車輛可以包括安全can總線和多個can節(jié)點。每個can節(jié)點可以包括微控制器和被配置為與所述微控制器通信的收發(fā)器。所述多個can節(jié)點中的至少一個可以包括所述微控制器的輸出和所述收發(fā)器傳輸數(shù)據(jù)的輸入之間的硬件分離。

附圖說明

現(xiàn)在將參照附圖結(jié)合各種實現(xiàn)方式來描述本技術(shù)的上述方面以及其他特征、方面和優(yōu)點。然而，所示的實現(xiàn)方式僅是示例而并不旨在限制。在整個附圖中，除非上下文另有說明，否則相似的符號通常標(biāo)識相似的部件。要指出的是，附圖的相對尺寸可能未按比例繪制。

圖1是根據(jù)示例性實施例描繪的can總線及其與各種車輛系統(tǒng)的連接的框圖。

圖2是根據(jù)示例性實施例描繪的集成在車輛通信系統(tǒng)內(nèi)的只聽配置中的can節(jié)點的框圖。

具體實施方式

下面描述涉及用于描述本公開內(nèi)容的創(chuàng)新性方面的目的的某些實現(xiàn)方式。然而，本領(lǐng)域普通技術(shù)人員將容易認(rèn)識到可以以許多不同的方式來應(yīng)用本文中的教導(dǎo)。所描述的實施例可以結(jié)合用于車輛系統(tǒng)之間通信的任何通信總線來實現(xiàn)。

圖1是根據(jù)示例性實施例描繪了can總線100及其與各種車輛系統(tǒng)102、104的連接的框圖。can是用于車輛通信的公知系統(tǒng)，并且通常用于各種市售車輛中。通常，can總線100使用高壓線106和低壓線108作為差分對通過差分信令在各種車輛系統(tǒng)102、104之間傳輸數(shù)據(jù)。數(shù)據(jù)可以經(jīng)由can節(jié)點110、112傳輸?shù)杰囕v系統(tǒng)102、104并由車輛系統(tǒng)102，104接收。如下面參考圖2更詳細(xì)地討論的，can節(jié)點可以包括包含收發(fā)器的電路，所述收發(fā)器被配置為將消息從車輛系統(tǒng)102，104發(fā)送到所述can總線100以及將從所述can總線100接收的消息發(fā)送到車輛系統(tǒng)102、104。

任意數(shù)量的車輛系統(tǒng)102、104都可以與can總線100通信。在一些實施例中，ecu可以通過一個或多個can總線通信。在電動車輛中，can總線可以運載去向高電壓或其他電池控制系統(tǒng)以及來自高電壓或其他電池控制系統(tǒng)的通信。在一些實施例中，車輛變速器、電動機(jī)控制器、功率逆變器、安全氣囊控制系統(tǒng)、防抱死制動系統(tǒng)、巡航控制、動力轉(zhuǎn)向、電動車窗、門、音頻系統(tǒng)或使用電子通信的車輛的任何其他系統(tǒng)可以經(jīng)由can總線100進(jìn)行通信。與至少一個can總線連接的一些車輛系統(tǒng)102也可以連接到因特網(wǎng)114。例如，在一些實施例中，遠(yuǎn)程信息處理單元，集成gps、導(dǎo)航系統(tǒng)、遠(yuǎn)程診斷系統(tǒng)、車載安全系統(tǒng)、信息娛樂系統(tǒng)或汽車的涉及無線連接或數(shù)據(jù)傳輸?shù)娜魏纹渌K都可以連接到互聯(lián)網(wǎng)。車輛系統(tǒng)102可以經(jīng)由如gsm、gprs、wlan、wi-fi、li-fi、lte、蜂窩網(wǎng)絡(luò)、藍(lán)牙等協(xié)議中的任何一個或組合連接到因特網(wǎng)114或任何其他網(wǎng)絡(luò)。

與因特網(wǎng)114或任何其它網(wǎng)絡(luò)的連接可能通過提供接入點威脅車輛內(nèi)的通信安全，通過所述接入點其他人可以訪問并且可能遠(yuǎn)程地改變或侵入車輛系統(tǒng)102。在一些方面，車輛系統(tǒng)102可以以影響車輛系統(tǒng)102的can總線的正常路線的方式被改變。不期望的can總線傳輸能夠?qū)е萝囕v操作的重大問題。例如，如果車輛系統(tǒng)或微控制器被改變以對所述can總線100“發(fā)送垃圾”，或通過所述can總線100發(fā)送大量不必要或無意義的消息，則可能阻止其他有效和必要的消息的發(fā)送，從而負(fù)面影響車輛性能。在其他情況下，互聯(lián)網(wǎng)連接的系統(tǒng)102可能提供遠(yuǎn)程訪問以及改變安全車輛系統(tǒng)104的方式，否則由于安全車輛系統(tǒng)104僅連接到所述can總線100因此安全車輛系統(tǒng)104是安全的。此外，can總線100具有有限的帶寬并且對中斷通信高度敏感，因為即使放置在can總線100上的隨機(jī)數(shù)據(jù)也可能對各種連接的系統(tǒng)造成重大損壞。

在一些實施例中，可能需要安全車輛系統(tǒng)104與一些不安全車輛系統(tǒng)102進(jìn)行通信。因此，完全分離系統(tǒng)是不可行的解決方案。替代地，更好的解決方案是對互聯(lián)網(wǎng)連接的系統(tǒng)102采用“只聽”配置，由此可以禁止具有與因特網(wǎng)114的連接的車輛系統(tǒng)102向can總線100發(fā)送任何信息，同時車輛系統(tǒng)102仍被允許接收來自can總線100的信息。只聽配置可以用被配置為禁止車輛系統(tǒng)102向其can節(jié)點110發(fā)送傳輸數(shù)據(jù)或者禁止節(jié)點110內(nèi)的微控制器向相關(guān)聯(lián)的收發(fā)器發(fā)送傳輸數(shù)據(jù)的軟件來創(chuàng)建。然而，軟件解決方案通常是不充分的，因為它們也可以被遠(yuǎn)程地?fù)魯』蚋淖?。如下面將參考圖2所描述的，相對于軟件實現(xiàn)的只聽模式，只聽硬件配置可以為安全can總線100提供更可靠的安全性。

圖2是根據(jù)示例性實施例描繪集成在車輛通信系統(tǒng)內(nèi)的只聽配置中的can節(jié)點200的框圖。can節(jié)點200可以被配置為促進(jìn)車輛系統(tǒng)202和can總線204之間的通信。can節(jié)點200可以包括微控制器206和收發(fā)器208。在一些實施例中，can節(jié)點200可以包括至少一個印刷電路板(pcb)，其可以構(gòu)成所述微控制器206和/或所述收發(fā)器208的至少一部分。微控制器206可以直接或間接地與車輛系統(tǒng)202通信。微控制器206和車輛系統(tǒng)202之間的通信可以包括從所述車輛系統(tǒng)202發(fā)送以被傳輸?shù)絚an總線204的傳輸數(shù)據(jù)以及來自所述can總線的從所述微控制器206發(fā)送到所述車輛系統(tǒng)202的接收數(shù)據(jù)。所述can收發(fā)器208可以與所述can總線204通信。在一些實施例中，所述can收發(fā)器208可以被配置為將從所述微控制器206接收的數(shù)據(jù)直接發(fā)送到所述can總線204，以及將從所述can總線204接收的傳輸數(shù)據(jù)直接發(fā)送到所述微控制器206。can收發(fā)器208還可以被配置為將來自所述can總線204的接收數(shù)據(jù)轉(zhuǎn)換為與所述微控制器206兼容的級別或格式和/或?qū)碜运鑫⒖刂破?06的接收數(shù)據(jù)轉(zhuǎn)換為與所述can總線204兼容的級別或格式。

在所述can節(jié)點200內(nèi)，所述微控制器206和所述收發(fā)器208可以被配置為與彼此直接或間接通信。在一些實施例中，can微控制器206可以包括傳輸數(shù)據(jù)輸出214和接收數(shù)據(jù)輸入212。在一些實施例中，can收發(fā)器208可以包括傳輸數(shù)據(jù)輸入216和接收數(shù)據(jù)輸出210。在所述收發(fā)器208處從所述can總線204接收的接收數(shù)據(jù)因此可以通過收發(fā)器208的接收數(shù)據(jù)輸出210和微控制器206的接收數(shù)據(jù)輸入212之間的電連接被發(fā)送到所述微控制器206。類似地，所述微控制器206發(fā)送到所述can總線204的傳輸數(shù)據(jù)可以通過所述微控制器206的傳輸數(shù)據(jù)輸出214和所述收發(fā)器208的傳輸數(shù)據(jù)輸入216之間的電連接被發(fā)送到收發(fā)器208。在一些實施例中，上面所述的輸出210、214和輸入212、216可以包括任何類型的物理電連接，例如金屬針、柱、插頭和插座連接器、端子塊、pcb的焊盤、電線、或能夠用作電氣部件之間的電連接器的任何其它結(jié)構(gòu)。

在一些實施例中，用于車輛系統(tǒng)202的只聽配置可以通過在微控制器206和收發(fā)器208之間的硬件分離218物理地實現(xiàn)。兩個元件之間的硬件分離意味著在元件之間沒有電子流動的導(dǎo)電路徑。硬件分離218可以比微控制器206、收發(fā)器208或車輛系統(tǒng)202中的軟件的只聽模式更有效，因為它可以完全禁止消息在接收器208處被接收以及被發(fā)送到can總線204，即使這些消息是由于軟件錯誤或?qū)浖Ｗo(hù)措施的有意攻擊而被發(fā)送的。

硬件分離218可以以各種物理實現(xiàn)中的任意一種添加到can節(jié)點200。在一些實施例中，硬件分離218可以發(fā)生在微控制器206、收發(fā)器208和/或微控制器206和收發(fā)器208之間的電連接器處或它們內(nèi)部，以及微控制器206，收發(fā)器208，和/或電連接器之間的任意界面。在一些實施例中，硬件分離218可以是以從連接器插頭物理移除的引腳和/或在所述can節(jié)點電路內(nèi)切割的導(dǎo)線的形式存在。在一些實施例中，連接器插頭可以被制造為不具有傳輸數(shù)據(jù)的引腳或者具有以其它方式切斷的傳輸數(shù)據(jù)連接，以使得可以在不必移除任何電路的情況下應(yīng)用只聽硬件配置。在微控制器206和/或收發(fā)器208包括至少一個pcb的實施例中，硬件分離218可以包括電路元件，例如移除跳線、未被填充的跳線、未連接到pcb其他電路的焊盤或信號跡線、或被配置和/或成形以便將微控制器206的傳輸數(shù)據(jù)輸出214與所述收發(fā)器208的任何輸入分離的任何其它pcb元件。在一些實施例中，經(jīng)由硬件來分離傳輸數(shù)據(jù)輸出214和傳輸數(shù)據(jù)輸入216可以通過改變商用電路以移除連接來執(zhí)行，或者可以通過制造配置有未連接、斷開或缺失的元件(該元件通常用于所述can總線上的can節(jié)點數(shù)據(jù)傳輸)的定制電路來執(zhí)行。

現(xiàn)參考圖1和圖2，具有硬件分離218的一個或多個can節(jié)點200可以被選擇性地使用并且通過can總線與沒有硬件分離218的其他節(jié)點112連接，以使得安全和不安全的車輛系統(tǒng)可以安全地通過單一的can總線100連接。在一些實施例中，在安全車輛系統(tǒng)104和非安全車輛系統(tǒng)102之間可能需要一定程度的通信。例如，一個非安全車輛系統(tǒng)102可以是儀表板信息娛樂單元，其功能可以包括導(dǎo)航以及發(fā)動機(jī)狀態(tài)或性能通知。為了提供導(dǎo)航功能，信息娛樂單元102可能需要到因特網(wǎng)114的連接，從而使得信息娛樂單元102為不安全系統(tǒng)。為了提供發(fā)動機(jī)狀態(tài)或性能通知，信息娛樂單元102可以要求經(jīng)由動力系統(tǒng)can總線100傳遞的來自安全車輛系統(tǒng)104(諸如ecu)的信息的輸入。在這種情況下，信息娛樂系統(tǒng)102可以通過硬件分離的can節(jié)點200、110連接到所述動力系統(tǒng)can總線100，因為其僅需要從動力系統(tǒng)can總線100接收信息以進(jìn)行操作。ecu104可以利用非硬件分離的can節(jié)點112連接到動力系統(tǒng)can總線100，因為其需要將信息傳輸?shù)絼恿ο到y(tǒng)can總線100上并且接收信息以使系統(tǒng)按照預(yù)期操作。因此，這種配置允許信息娛樂系統(tǒng)102接收所需的ecu數(shù)據(jù)，同時安全地保持所述can總線100和ecu104的安全性免于不期望的外部訪問。

前述描述和權(quán)利要求可以將元件或特征稱為“連接”或“耦合”在一起。如本文所使用的，除非另有明確說明，“連接”是指一個元件/特征直接或間接連接到另一元件/特征，并且不一定是機(jī)械的。同樣，除非另有明確說明，“耦合”是指一個元件/特征直接或間接耦合到另一元件/特征，并且不一定是機(jī)械的耦合。因此，盡管圖中所示的各種示意圖描繪了元件和組件的示例布置，但是在實際實施例中可以存在額外的中間元件、設(shè)備、特征或組件(假設(shè)所描繪的電路的功能不受不利影響)。在某些情況下存在諸如“一個或多個”、“至少”、“但不限于”或其他類似短語的擴(kuò)展詞語和短語不應(yīng)理解為意味著在實例中意圖或要求較狹窄的情況，其中這樣的擴(kuò)展短語可以不存在。

本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以使用各種不同的技術(shù)和技術(shù)中的任何一種來表示信息和信號。例如，貫穿以上描述可以參考的數(shù)據(jù)、指令、命令、信息、信號、傳輸和消息可以由電壓、電流、電磁波、磁場或粒子、光場或粒子或其任何組合來表示。

所屬領(lǐng)域的技術(shù)人員進(jìn)一步應(yīng)當(dāng)理解，結(jié)合本文中所揭示的方面而描述的各種說明性邏輯塊、模塊、核、處理器、裝置電路和算法步驟中的任一者可實施為電子硬件(例如，數(shù)字實施方案，模擬實現(xiàn)或兩者的組合，其可以使用源編碼或一些其他技術(shù)來設(shè)計)，包含指令的各種形式的程序或設(shè)計代碼(為了方便，這里可以稱為“軟件”或“軟件模塊”)，或兩者的組合。為了清楚地說明硬件和軟件的這種可互換性，上面已經(jīng)在其功能方面大致地描述了各種說明性組件、塊、模塊、電路和步驟，這樣的功能性是實現(xiàn)為硬件還是軟件取決于特定應(yīng)用和施加在整個系統(tǒng)上的設(shè)計限制。本領(lǐng)域技術(shù)人員可以針對每個特定應(yīng)用以不同的方式實現(xiàn)所描述的功能，但是這種實現(xiàn)決定不應(yīng)被理解為脫離本公開的范圍。

提供對實現(xiàn)本公開的先前描述是使得本領(lǐng)域任何技術(shù)人員能夠制作或使用本公開的過程和系統(tǒng)。對這些實施方式的各種修改對于本領(lǐng)域技術(shù)人員將是顯而易見的，并且在不脫離本公開的過程和系統(tǒng)的精神或范圍內(nèi)，本文定義的一般原理可以應(yīng)用于其他實施方式。因此，本公開的過程和系統(tǒng)不旨在限于本文所示的實施方案，而是符合與本文公開的原理和新穎特征一致的最寬范圍。