色偷偷偷久久伊人大杳蕉,色爽交视频免费观看,欧美扒开腿做爽爽爽a片,欧美孕交alscan巨交xxx,日日碰狠狠躁久久躁蜜桃

x
x

關(guān)于CAN隱患的爭辯

發(fā)布時間:2010-1-22 16:17    發(fā)布者:李寬
關(guān)鍵詞: CAN , 隱患 , 爭辯
關(guān)于CAN隱患的爭辯始于本刊發(fā)表的2篇文章,一是“CAN總線系統(tǒng)中的一種安全隱患”,一是“CAN消極報錯發(fā)送節(jié)點變?yōu)殡x線狀態(tài)的故障“。這2篇文章在送稿前已經(jīng)發(fā)給國內(nèi)外的一些專家征求意見,尚未有反駁的意見。由于此事聯(lián)系重大,涉及許多單位的利益,例如芯片供應(yīng)商、開發(fā)工具供應(yīng)商、ECU供應(yīng)商、汽車制造商、高層協(xié)議供應(yīng)商、高層協(xié)議產(chǎn)品提供商、各類服務(wù)提供商等等,為了防止這些單位由于既得利益的驅(qū)動有意無意地淡化疑問的嚴(yán)重性,須要一個獨立的代表第三者利益的機構(gòu)來考察與評判疑問能不能存在,及其危害性。這個第三方利益就是終端用戶,例如汽車的駕駛與乘用人員、行人及與此有關(guān)的保險公司、道路管理單位等。因此,不僅應(yīng)該告知CAN產(chǎn)業(yè)的有關(guān)方,也應(yīng)告知利益有關(guān)方,才能得到正確的恰如其分的應(yīng)對;诖朔N考慮,筆者將2篇文章的英文稿送美國國家交通部公路交通安全管理處 (U.S.Department of Transportation,National Highwav Traffic Safety Administration)的網(wǎng)絡(luò)熱線,提請他們留心。后來這件事大概由他們轉(zhuǎn)到了國際標(biāo)準(zhǔn)化組織(ISO)。ISO的TC/22/SC3負(fù)責(zé)車用通信有關(guān)業(yè)務(wù),其TC/22/SC3/WG1/TF1的組長是CiA的主席Zeltwanger先生。CiA曾有人作了回復(fù),筆者也作了答復(fù),最后由 Zeltwanger。先生轉(zhuǎn)來對此疑問的正式聲明作為答復(fù)。這是對疑問的答復(fù),并不是對個人的答復(fù),這個聲明是由ISO中國CAN專家組轉(zhuǎn)來的。(它的英文全文見本刊站點 www.mesnet.com.cn。)下面是Bosch聲明要素與筆者的觀點,在引述Bosch聲明時將力求準(zhǔn)確。

Bosch聲明的標(biāo)題是“它不是隱患,而是特色”(It's not a bug,it's a feature!)。在引用參考文獻(xiàn)[1—2]時說,“在那2篇文章中有一些對CAN協(xié)議故障約束機制,特別是對由消極報錯狀態(tài)下看到本地錯的關(guān)切! 在CAN總線上網(wǎng)絡(luò)流量很高以致連續(xù)幀之間不再有空閑時間時,以及消極報錯節(jié)點看到本地錯(即未被其他節(jié)點看到的錯)時,它將不能完成其消極報錯標(biāo)志。后果是這個節(jié)點將不再能收發(fā)幀,直到它遇到空閑時間或其他節(jié)點發(fā)的主動報錯幀。消極報錯狀態(tài)的發(fā)送節(jié)點會由此而使出錯計數(shù)器加上去,直到達(dá)到離線狀態(tài)! 這是CAN協(xié)議故意要達(dá)到的行為。……2種要領(lǐng)企圖處理的是1個并不存在的疑問!

上述引述與原文略有差異?偩上空閑的分布是不受控制的,尖峰負(fù)載也是不可控的,即使有部分空閑也不能保證消極報錯幀正確結(jié)束。尖峰負(fù)載是由消息到達(dá)時間的本質(zhì)決定的,事件觸發(fā)消息的到達(dá)時間是隨機的,周期性消息的到達(dá)時間隨本地時鐘而變。例如,有2個原始相位相差5 ms的消息,它們的振蕩器相差200×lO-6,它們的相位差在25 s后就消散了。在某個公倍數(shù)時間點上,所有的消息就會有接近O的相位差,就形成CAN調(diào)度分析最壞響應(yīng)時間時假定的最壞峰值負(fù)載。這種差異不影響對 Bosch聲明的進(jìn)一步分析。就聲明的上述表述而言,“特色”、“故意要達(dá)到的行為”等語句實際上同意了等效離線和真實離線后果的存在,后面還有 Bosch對此行為的直接描述。不過,Bosch并不認(rèn)為此后果是有害的,而是強調(diào)此后果的有利方面。

它說:“故障約束機制的目的是防止 有故障的節(jié)點干擾其余節(jié)點間的通信!比缓蠼忉屃诉M(jìn)入消極報錯狀態(tài)或離線狀態(tài)就可以達(dá)到上述目的。并說“1個因REC而進(jìn)入消極報錯狀態(tài)的接收節(jié)點在成功收到1個無錯的消息后,它能切換回主動報錯狀態(tài)(見故障約束準(zhǔn)則8),使它能至少再發(fā)1次主動報錯幀!痹谡?wù)摽偩負(fù)載應(yīng)小于50%后,它說“尖峰負(fù)荷典型地是由總線上的擾動造成,此時通信要中斷一段時間,待發(fā)的傳送會累積起來。當(dāng)擾動結(jié)束時,所有這些待發(fā)的消息將按它們的標(biāo)識符一個接一個送出!绻麛_動是由有故障節(jié)點引起,并在節(jié)點進(jìn)入消極報錯狀態(tài)結(jié)束,那么故障約束機制想要的功能是把該節(jié)點保持在消極報錯狀態(tài),至少讓被該干擾推遲的所有消息發(fā)完,即尖峰負(fù)荷結(jié)束。

在這里,尖峰負(fù)荷并不隨著干擾的消散而消散,CAN作為一種事件觸發(fā)協(xié)議,負(fù)荷的分布完全是隨機的,50%負(fù)載的約束并不能防止 等效離線或真實離線狀況的出現(xiàn),參考文獻(xiàn)[1]中引述的例子已證明了這一點。Bosch把引入消極報錯狀態(tài)的好壞后果混為一談。當(dāng)節(jié)點進(jìn)入消極報錯狀態(tài)后其報錯幀全是隱位,本來可以不再干擾其他節(jié)點的正常通信,沒有必要讓它退出通信。此外,在這一段表述中可以清楚地看到,CAN故障約束機制要讓被該干擾推遲的所有消息發(fā)完,至少要禁止消極報錯狀態(tài)節(jié)點發(fā)送(不管消極報錯狀態(tài)節(jié)點待發(fā)的消息優(yōu)先級多高),這印證了參考文獻(xiàn)[1-2]的分析,但是它未提及接收也被禁止了。

現(xiàn)在大家都認(rèn)識到引入消極報錯狀態(tài)是一個積極的要領(lǐng),對此并無異議。而bosch只看到故障約束機制設(shè)計的有利方面,未留心到它在幀同步上造成通信服務(wù)缺失的后果。在聲明中對此只字未提。那么通信服務(wù)缺失的后果能不能是一個故障或bug?這應(yīng)該由用戶根據(jù)其對運用 能不能有害來確定,并不能因把它稱為“特色”而改動。進(jìn)一步研究表明存在后果嚴(yán)重的可能性;镜木索是:車內(nèi)存在嚴(yán)重的電源傳導(dǎo)干擾(ISO7637干擾類型D→CAN收發(fā)器在電源跌落時CANH— CANL差減少,會有寫“0”讀回“1”的bit錯→CAN協(xié)議發(fā)覺錯后發(fā)報錯幀的規(guī)定(即能重復(fù)發(fā)報錯幀)→CAN協(xié)議在報錯標(biāo)志中發(fā)覺 bit錯時出錯計數(shù)器+8的規(guī)定。一個較長時問跌落就可以將節(jié)點推入消極報錯狀態(tài)(消極報錯狀態(tài)并非罕見)。然后一次本地故障把它推入失去服務(wù)能力的狀態(tài)。CAN總線失去服務(wù)后對運用 的危害的仿真已有文章報道,如在彎道上的外沖或急轉(zhuǎn)。而故障約束機制設(shè)計上的這個bug是造成這一危險的因素中的關(guān)鍵一環(huán)。

失去服務(wù)能力的后果破壞了實時控制運用 的基礎(chǔ)——正時性(timeliness)。現(xiàn)在許多運用 只容許少量數(shù)據(jù)的丟失,而且能容許數(shù)據(jù)丟失的運用 已經(jīng)考慮了消息的冗余,若要考慮這樣長時間的失去服務(wù)能力,數(shù)據(jù)的冗余就要多得更多,這將顯著添加總線上的流量。要考慮這個bug,又要符合Bosch的50%的限定,使運用 進(jìn)入更加為難的境地。

安全標(biāo)準(zhǔn)IEC61508、EN50159將在汽車行業(yè)推行,在執(zhí)行這類標(biāo)準(zhǔn)時要從可靠性角度作故障的危害與風(fēng)險分析。由于一個小故障會引起一個元件出錯或失效,元件的錯或失效造成部件出錯或失效,然后造成子系統(tǒng)出錯或失效,從而造成更上一層系統(tǒng)出錯或失效。必須分析清楚這個鏈并研究其出錯或失效的概率,才能判斷這個最原始的錯能不能會對安全構(gòu)成威脅。CAN的這個故障是引起系統(tǒng)失效的一個非常典型的故障。在一般通信系統(tǒng)中,一個本地錯引起1幀的丟失,如該運用 上可容忍,失效的后果到此為止。然而CAN的這個故障有可能引起100個左右不同接收幀的丟失。不僅如此,它使該節(jié)點的所有幀都暫時不能發(fā)送,也就是說會影響到其他的控制系統(tǒng)的功能。例如,對CAN總線掛上ECU節(jié)點的不同方案,不能發(fā)送發(fā)動機轉(zhuǎn)速信號就會影響變速器、ABS、ASR、空調(diào),輪速信號不能發(fā)送就可能影響電噴、變速器、ASR,變速比信號不能發(fā)送就會影響到電噴、ASR、廢氣再循環(huán),含有網(wǎng)關(guān)的儀表板單元不能正常發(fā)送可能引起發(fā)動機不能點火。也就是說,由一個本地故障轉(zhuǎn)為一個節(jié)點失效,然后又轉(zhuǎn)為若干個功能失效。有些功能的失效會影響能耗或排放,或使設(shè)備運行不平穩(wěn),但有的功能會影響制動和轉(zhuǎn)向。

CAN總線失去服務(wù)能力會導(dǎo)致控制系統(tǒng)的失效。車輛是一個運動的物體,控制系統(tǒng)的失效會變?yōu)檫\動的失控,從而引起安全疑問。這對所有人都是沉重的壓力,采取審慎與觀望的態(tài)度是符合情理的,但如果CAN失去服務(wù)能力的流程存在,這個后果是回避不了的。

Bosch對惡性后果并未提及,這表示他們并未意識到這一點。參考文獻(xiàn)[1]提到,這一等效離線或真實離線的開始源于消極報錯狀態(tài)節(jié)點的消極報錯幀沒有足夠的時間結(jié)束。但可能的情景遠(yuǎn)超過Bosch在CAN2.O規(guī)范中的描述,如果他們原來就已知有如此多的情景,就會把這些情景都包括在CAN2.O中。他們也沒有提醒過作調(diào)度分析工具軟件的人們,由于任何優(yōu)先級的消息在此隱患發(fā)作時都失去服務(wù)能力,且進(jìn)入消極報錯狀態(tài)不是罕見的事,那么調(diào)度的效果就很小了 ——木桶的底是漏的,其余板長短的影響已退居次要地位甚至失去意義。bug影響了工具理論基礎(chǔ)的完整性,調(diào)度的結(jié)果不能保證,就不能最終保證控制功能的實現(xiàn)。網(wǎng)上尚未見到Bosch有任何關(guān)于節(jié)點因故障約束機制設(shè)計而推遲收發(fā)的類似這次聲明的報道。因此,由于未充分估計到故障會引起如此壞的后果,只能說這是一個bug。

實際上,消極報錯狀態(tài)下出現(xiàn)壞后果及失去服務(wù)能力的毛病是可以克服的。參考文獻(xiàn)[1]提出了2種要領(lǐng),也是Bosch聲明提到的2種要領(lǐng)。其實還存在其他可能的處理方案,例如將消極報錯幀分界符內(nèi)的顯位不視為錯而視為超載幀的請求。此時經(jīng)超載幀與其他節(jié)點的報錯幀重合,可以使消極報錯狀態(tài)節(jié)點快速和其他節(jié)點取得同步,但這樣做犧牲了超載幀占用的帶寬,并使其他節(jié)點蒙受一次出錯的不白之冤。所以參考文獻(xiàn)[1]提出的是較好的方案。在保持引入消極報錯狀態(tài)的優(yōu)點時不必死抱

它的缺點。失去服務(wù)能力的疑問得以防止,由于這個因素造成的對CAN消息負(fù)載率的限定也可減少,這樣對大多數(shù)人都有優(yōu)點。

已有的大量CAN運用 ,特別是那些現(xiàn)場條件較好,本身并非安全攸關(guān)的運用 (即使在汽車內(nèi),也有許多節(jié)點與安全聯(lián)系不大),對CAN隱患的討論不要恐慌,只需對自己的環(huán)境和運用 作評估,必要時補充作些測試即可。

對CAN隱患的討論并不是要徹底否定CAN。盡管CAN尚有其他疑問與不足,甚至較為嚴(yán)重的疑問,但它仍然是當(dāng)前最好的協(xié)議。CAN最突出的優(yōu)點是出錯自動重發(fā)功能。很久以來,關(guān)于事件觸發(fā)協(xié)議與時間觸發(fā)協(xié)議孰優(yōu)孰劣的討論中人們傾向于認(rèn)為時間觸發(fā)協(xié)議更為可靠,后者更適用于線控系統(tǒng)。但是研究表明,由于出錯自動重發(fā)功能的存在,CAN的消息不正確概率比重復(fù)送2次消息的TTCAN小多個數(shù)量級。有理由相信時間觸發(fā)的其他協(xié)議也會在類似的比較中顯得遜色,除非它們采用更為復(fù)雜的上層糾錯要領(lǐng)。上述bug使CAN的這一巨大性價比優(yōu)勢變得無用,所以對CAN執(zhí)行 改良是非常有價值的,F(xiàn)在誰作改良,誰就能處理當(dāng)前的急需,也就有機會在未來勝出,這是一個重新洗牌的機會。這一爭辯由于Bosch的聲明而使事情變得明朗,國際國內(nèi)對此作出自己的結(jié)論的時間已經(jīng)同步。

綜合上述分析,筆者依然認(rèn)為它是一個隱患。對我國IC、ECU、整車廠來說,必須加以重視并及時采取行動。決策是一個博弈的流程,落后將動搖消費者的信任,導(dǎo)致十分被動的境地。

參考文獻(xiàn)

1. 楊福宇 CAN 總線系統(tǒng)中的一種安全隱患 [期刊論文] -單片機嵌入式系統(tǒng)應(yīng)用2009(1)
2. 楊福宇 CAN 消極報錯發(fā)送節(jié)點變?yōu)殡x線狀態(tài)的故障 2009(5)
3. Corno F A Multi-level Approach to the Ependability Analysis of CAN Networks for Automotive Applications 2004
4. Broster Ian.Burns Alan Rodr′?guez?Navas Guillermo.Comparing Real?time Communication under Electromagnetic Interference 2004
5. 劉亞飛 控制器局域網(wǎng)協(xié)議(CAN)技術(shù)隱患分析 2009(2)

作者:重慶工業(yè)自動化儀表研究所 楊福宇  來源:《單片機與嵌入式系統(tǒng)應(yīng)用 》 2009(6)
本文地址:http://www.54549.cn/thread-7887-1-1.html     【打印本頁】

本站部分文章為轉(zhuǎn)載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀點和對其真實性負(fù)責(zé);文章版權(quán)歸原作者及原出處所有,如涉及作品內(nèi)容、版權(quán)和其它問題,我們將根據(jù)著作權(quán)人的要求,第一時間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權(quán)所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復(fù) 返回頂部 返回列表