Dlaczego w pojazdach jest wiele autobusów CAN?

17

Istnieje szereg pytań dotyczących magistrali CAN, ale żadne (o ile wiem) nie wyjaśnia, dlaczego w pojeździe jest kilka autobusów CAN. Z tego, co rozumiem, wiele różnych węzłów można podłączyć do jednej magistrali CAN, więc nie jestem pewien, dlaczego potrzebowałbyś więcej niż jednego. Moje jedyne myśli to:

A. istnieje dość niewielki limit liczby węzłów, które można podłączyć do pojedynczej magistrali CAN. Ale w takim przypadku wyobrażam sobie, że musi istnieć jakieś połączenie między CAN, aby można było przeprowadzić arbitraż i sprawdzanie błędów (CAN SPEC 2.0).

- lub -

B. Węzły są traktowane priorytetowo jako systemy pierwotne, wtórne i trzeciorzędne, a każdy poziom ma swoją własną magistralę CAN, a poziomy te zawierają tylko urządzenia, które są niezależne od siebie pod względem funkcjonalności. Hamulce IE, sterowanie silnikiem, światła zewnętrzne, zamki znajdują się w głównej szynie. Radio, klimatyzacja, kontrola siedzenia, są na dodatkowej magistrali itp.

Gdyby ktoś mógł wyjaśnić / wyjaśnić, byłbym bardzo wdzięczny. Z góry dziękuję.

can-bus Moeman69
źródło
1
Wprawdzie niewiele o tym wiem, ale myślałem, że jest tylko jedna magistrala, ponieważ jest tylko jedno połączenie - port OBDII. Jak adresowane są oddzielne autobusy? Co je rozdziela?
JPhi1618
@ JPhi1618 Szczerze mówiąc sam niewiele wiem, dlatego pytam. Rozmawiałem z ochroną pojazdów równorzędnych za pośrednictwem magistrali CAN po tym, jak wrócił z imprezy w Hackathon, gdzie się wychowano, i znaleźliśmy liczbę osób wspominających, że większość pojazdów ma wiele autobusów CAN. Zgadzam się, że jedyne znane mi połączenie to port OBDII. Jest tu kilka postów, w których ludzie wspominali, że jest ich wiele. ( mechanics.stackexchange.com/questions/8559/obd2-and-can-bus - am6sigma wspomina o tym w odpowiedzi).
Moeman69
Znalazłem tę dyskusję, która mówi: Aby zażądać danych, musisz uzgadniać z bramą CAN, negocjować ustawienia połączenia, żądać zestawu danych z określonego urządzenia CAN i czytać zwrócone dane. Przy odpowiednich żądaniach możesz uzyskać dostęp do danych z dowolnej z 3 magistral z jednego połączenia - więc twój CBT może zażądać prędkości obrotowej od sterownika silnika, licznika kilometrów od zestawu wskaźników, położenia okna z kontrolera przednich prawych drzwi itp . Wygląda to jak kluczem jest „brama”.
JPhi1618
@ JPhi1618 Ahh dziękuję. Nigdy nie widziałem tej strony. Wygląda również na to, że moja myśl B była w pewnym stopniu poprawna, ponieważ instrumenty są połączone w klastry z różnymi autobusami. Jednak bramka CAN wydaje się być unikalna dla pojazdów VW i niekoniecznie jest standardem. Mogę sobie tylko wyobrazić, że inne pojazdy mają podobne urządzenie i konfigurację, ale jest to wyłącznie spekulacja. Chciałbym móc PM ludzi, ponieważ są tacy, jak wspomniałem, którzy mają wiedzę z pierwszej ręki na temat wielu autobusów.
Moeman69

Odpowiedzi:

17

Magistrale CAN są przede wszystkim osobne

  • zarządzać zatorami
  • zmniejszyć obawy dotyczące systemów krytycznych dla bezpieczeństwa
  • mieć większą kontrolę nad tym, kto może uzyskać dostęp do różnych autobusów

Proste pojazdy będą miały dwie magistrale CAN, jedną dla silnika i systemów bezpieczeństwa, a drugą dla elementów sterowania nadwoziem (oświetlenie, wrażenia użytkownika itp.).

Złożone pojazdy będą miały oddzielną magistralę dla systemów wpływających na ruch pojazdu, na przykład tempomat ze wspomaganiem radarowym, systemy parkowania, prowadzenie po pasie itp., A także dodatkowe systemy dla funkcji użytkownika wykraczających poza proste elementy sterowania, takie jak systemy rozrywki samochodowej.

Chociaż autobusy mogą być udostępniane, istnieje kilka powodów, aby tego nie robić:

Przekrwienie

Nawet szybkie magistrale CAN nie mają nieograniczonej przepustowości, a w rzeczywistości w porównaniu z nowoczesnymi systemami komunikacyjnymi są bardzo wolne. Wciąż jednak jest wiele danych, które muszą przenosić, a większość z nich ma krytyczne znaczenie czasowe, więc utrzymanie niskiego wykorzystania pozwala na szybsze dostarczanie wiadomości (mniej kolizji), co oznacza, że ​​wiadomości w czasie rzeczywistym docierają na czas, a nie późno .

Testowanie

Systemy o kluczowym znaczeniu dla bezpieczeństwa są często oddzielone od innych systemów, co ogranicza testowanie. Wszystkie urządzenia podłączone do magistrali o znaczeniu krytycznym dla bezpieczeństwa muszą mieć wyższy standard działania, a zatem testowania w celu upewnienia się, że nie spowodują problemów w magistrali o znaczeniu krytycznym dla bezpieczeństwa. Dzięki oddzielnej magistrali nadwozia możesz mieć nieco niższe standardy, ponieważ awaria nie spowoduje problemów związanych z bezpieczeństwem, dlatego testy są ograniczone.

Zamiast łączyć wszystko w jednym autobusie i upewniać się, że wszystko jest zgodne z wyższymi standardami, oddzielne autobusy pozwalają projektantom na segmentację autobusu i obniżenie kosztów.

Przepisy branżowe są trudne, szczególnie z powodu problemów z przepustnicą i innych problemów z napędem elektrycznym, które w przeszłości miały miejsce w branży. Dzięki oddzieleniu systemów krytycznych od systemów niekrytycznych ustalenie, co poszło nie tak po fakcie, i rozwiązanie tego problemu staje się znacznie łatwiejsze, a także mniej prawdopodobne, ponieważ istnieje mniej urządzeń, które mogłyby zakłócać prawidłowe działanie systemu bezpieczeństwa.

Kontrola

Gdy moddery odkryły, że mogą zmienić zarządzanie silnikiem i inne komputery za pomocą jednego interfejsu, producenci pojazdów pracowali nad oddzieleniem złącza diagnostycznego i jego magistrali od reszty autobusów samochodowych oraz za pomocą bramki przesyłali tylko te wiadomości, na które zezwolili dostęp użytkownika i garażu do. Zwykle mają dodatkowe funkcje pozwalające na dostęp do własnego technika, a wielu nawet dodaje kolejną magistralę do złącza diagnostycznego, ale bez publikowania szczegółów wiadomości, dzięki czemu mogą mieć dostęp do wyższej prędkości, zachowując jednocześnie zgodność wsteczną z diagnostycznymi przepisami dotyczącymi emisji.

Rozdzielenie magistrali pozwala im jednak nieco lepiej kontrolować, kto ma łatwy dostęp do komputerów pokładowych za pomocą prostego złącza diagnostycznego.

Dodatkowa złożoność

Złożoność wprowadzona przez dodatkowe magistrale jest obsługiwana przez kontroler bramy. W niektórych pojazdach jest to kontroler nadwozia i często ma inne połączenia magistrali, takie jak LIN. Powoduje to przekazywanie komunikatów między autobusami, dzięki czemu na przykład po podłączeniu urządzenia diagnostycznego urządzenie ma dostęp do wszystkich istotnych informacji diagnostycznych w całym pojeździe.

Adam Davis
źródło
1
Zgadzam się z twoimi uwagami, ale bardziej podkreślałbym „bezpieczeństwo” niż „testowanie”. Sterowniki krytyczne dla bezpieczeństwa są izolowane od pozostałych przez bramę, która filtruje i ogranicza komunikację między magistralami do określonego podzbioru. Odtwarzacz DVD nie powinien być w stanie kontrolować przerw lub poduszek powietrznych (po przejęciu go dobrze spreparowanym pendrive'em) lub przypadkowo narazić magistrali CAN, logicznie lub elektrycznie. Strategia jest taka sama, jak w przypadku każdej sieci LAN z serwerami o kluczowym znaczeniu, których nie wystawiłbyś na działanie Internetu. Testy idą jak dotąd; izolacja jest głupia.
Peter - Przywróć Monikę
@ PeterA.Schneider Nie zgadzam się z tobą, ale pracowałem nad modułem nadwozia dla dużych pojazdów Forda z roku modelowego 09 i chociaż pożądany wynik mógł zostać zwiększony lub można było zweryfikować bezpieczeństwo, dowody były testowane, aw przypadku tego modułu, skracając czas testowania. Rzeczywistość jest taka, że ​​testowanie pojedynczego złożonego modułu może zająć miesiące we wszystkich jego wewnętrznych permutacjach, a testowanie pojedynczego kompletnego roku autobusu pojazdu. Można to zrównoważyć ze znacznymi kosztami, ale nawet kilka tygodni jest niedopuszczalne. Rozdzielenie magistrali umożliwia prostsze i szybsze testowanie.
Adam Davis
@ PeterA.Schneider Pozwala to na pełniejsze przetestowanie modułów i autobusów, co zwiększa bezpieczeństwo, ale głównym celem było skrócenie czasu projektowania przy jednoczesnym zachowaniu określonego standardu bezpieczeństwa - a nie zwiększenie bezpieczeństwa. Sposób, w jaki moduły są zaprojektowane, a przekazywanie wiadomości jest zaprojektowane, jest małe prawdopodobieństwo, że ponownie flashowany odtwarzacz DVD na szynie silnika może spowodować problem. Sprzęt łączący magistralę zapobiega atakowi DOS na poziomie krzemu, a mikrokontrolerów łączących się z tym sprzętem nie można programować za pomocą oprogramowania.
Adam Davis,
@ PeterA.Schneider Być może może to być semantyka lub rozróżnienie bez różnicy, ale jeśli producent zażąda pojedynczej magistrali, systemy można zaprojektować z takim samym poziomem bezpieczeństwa, jaki istnieje w osobnych magistralach. Czas rozwoju jest jedyną rzeczą, która naprawdę ucierpi. Na szczęście dodatkowy koszt oddzielnych autobusów jest niski, w przeciwnym razie projektowalibyśmy jeden autobus, gdyby koszt oddzielnych autobusów był zbyt duży.
Adam Davis
8

Gdy mówimy konkretnie o CAN, odpowiedź nie jest żadna z powyższych.

W systemie CAN węzły nie rozmawiają bezpośrednio ze sobą, zamiast tego system oparty jest na komunikatach. Każda wiadomość ma priorytet oparty na jej adresie, który określa, kto może mówić. Kto kiedykolwiek ma wiadomość priorytetową, przekazuje wiadomość wszystkim i kto kiedykolwiek jej potrzebuje, wczytuje ją.

Istnieją pewne ograniczenia dotyczące liczby węzłów, ale limit ten jest elektryczny, a nie funkcją rzeczywistej magistrali.

Powodem jest to, że duża prędkość CAN jest bardzo skomplikowana elektrycznie ze względu na jej prędkość. (Mogę mówić o liniach transmisyjnych, integralności sygnału, kodach pośredniczących i terminacji, ale jest to znacznie więcej niż to, czego potrzebuje ta odpowiedź). To komplikuje projekt, a moduły, które go używają, są droższe. Co więcej, nie wszystko wymaga szybkiej szyjki szybkiej magistrali CAN. System magistrali CAN jest zwykle podzielony na trzy magistrale: niską prędkość, średnią prędkość i dużą prędkość.

  • Szybka magistrala CAN łączy wszystkie ważne systemy. Silnik, ABS, poduszka powietrzna, skrzynia biegów, nadwozie. Komputer Body służy następnie jako brama między innymi autobusami.
  • Średnia prędkość CAN jest zwykle stosowana do funkcji samochodu, takich jak oświetlenie zewnętrzne, elektrozaczepy, lusterka elektryczne itp.
  • Niska prędkość CAN odbiera pozostałe niekrytyczne systemy. Mogą to być oświetlenie wnętrza, rozrywka itp.

Jak wspomniano wcześniej, magistrala CAN używa adresów komunikatów zamiast adresów węzłów. Na przykład prędkość pojazdu byłaby komunikatem. Ten komunikat jest przesyłany przez jednostkę ABS i ma dość wysoki priorytet. Silnik, poduszka powietrzna, skrzynia biegów i nadwozie są zainteresowane wiadomością i czytają ją. Po odebraniu wiadomości nadwozie ponownie przesyła wiadomość przez inne autobusy. Autobusy o niższej prędkości zwykle nie potrzebują aktualizacji tak często jak autobus o dużej prędkości, więc Ciało aktualizuje je tylko od czasu do czasu.

Jeśli moduł potrzebuje informacji, które nie są często przesyłane, moduł może zażądać informacji. Konstrukcja magistrali jest taka, że ​​gdy żądane są dane, moduł posiadający informacje wie tylko, że informacja jest potrzebna, a nie kto jej potrzebuje.

Bramą nie musi być Ciało, może to być Zestaw wskaźników lub inny komputer.

vini_i
źródło
Dzięki za solidną odpowiedź. Bardzo dobrze znam wiadomości CAN i arbitraż wiadomości. Wydaje mi się, że pytanie, którego tak naprawdę szukam, to czy wiadomości na jednej CAN (powiedzmy o niskiej prędkości niekrytycznej CAN) widzianej przez węzły podłączone do innej CAN (jak na przykład systemy o wysokiej prędkości CAN)? Wyobrażam sobie, że system mógłby działać idealnie dobrze, gdyby wszystkie urządzenia były podłączone do jednej CAN, ponieważ system arbitrażowy z natury zajmowałby się priorytetem wiadomości. Lub nawet jeśli różne CAN zostały połączone. Czy jest to tylko kwestia konieczności i kosztów, że są oddzielni?
Moeman69
@ Moeman69 Tak. W samochodzie może być ponad sto różnych węzłów. Wyposażenie ich wszystkich w szybką sieć CAN byłoby kosztowne. Spowodowałoby to również zatłoczenie autobusu i dałoby znacznie więcej punktów awarii w systemie krytycznym.
vini_i
2

Jednym z powodów jest ładnie podsumowane w tej kreskówce z 2003 roku:

wprowadź opis zdjęcia tutaj

(„Znaleziono nowe urządzenie: Airbus A310. Rozpocząć automatyczną konfigurację? [Start] [Anuluj]”)

Podobne ataki rzeczywiście zostały ostatnio zgłoszone. Posiadanie komponentów o krytycznym znaczeniu dla bezpieczeństwa na oddzielnej magistrali, która jest dostępna tylko przez dobrze skonfigurowaną bramę, znacznie zmniejsza prawdopodobieństwo przypadkowych problemów, takich jak powyższy, i znacznie utrudnia hakowanie.

Peter - Przywróć Monikę
źródło