- 博客(26)
- 收藏
- 关注
RSS订阅原创 对“智能网联汽车 组合驾驶辅助系统安全要求“国标徵求意见稿的反馈 -要帮助车厂
本文针对《智能网联汽车组合驾驶辅助系统安全要求》国家标准征求意见稿提出两点关键意见:一是通信系统IP故障后果可能被不当地归咎于车厂,指出CAN和以太网协议本身存在的设计缺陷(如CAN的busoff机制和以太网200ms链路重建时间)可能导致测试失败,但责任归属难以区分;二是标准要求车厂提供功能安全设计细节存在泄密风险,建议采用实测为主的替代方案,提出了包含电磁干扰测试和可控通信中断测试的具体方法。作者强调应通过实际测试而非设计审查来验证功能安全性,以保护车厂技术机密并确保公平性。
2025-12-30 11:34:46
447
原创 EtherCAT在人形机器人上应用的局限V2
摘要:本文分析了EtherCAT在人形机器人应用中的局限性,重点探讨了基于100BASE-TX的EtherCAT通信在电磁干扰环境下可能出现的link down问题。研究表明,汽车行业因功能安全要求未采用EtherCAT是一个警示。通过分析LAN9253和TI83822等器件的数据手册,发现100BASE-TX在电磁干扰下易出现信号失真、同步失败等问题,导致至少330ms的通信中断,这远超机器人控制系统的安全响应时间要求。此外,干扰还可能引发CRC校验漏检,导致错误指令持续执行,对高安全性要求的机器人应用构
2025-11-20 11:16:14
936
原创 Conflict in Data Field of CAN XL V1
摘要: 2022年11月发布的CAN XL协议存在单点故障风险:若接收端关键位出错,接收方会误判帧格式,导致CAN XL与CAN FD控制器冲突。由于两者电压规范不同(CAN XL快模式与CAN FD标准电平不兼容),总线可能出现短路,错误持续时间延长。文章分析了五种关键位错误场景(ID填充、IDE、FDF、XLF等),指出这些错误会触发CAN FD控制器发送错误帧,而CAN XL协议不允许快模式下中断,最终导致总线电平冲突和节点失步。 关键词:CAN总线、CAN XL、车载通信
2025-11-13 16:57:47
545
原创 汽车电子弯道超车的道在哪里?(二)加密方法
本文提出了一种新型汽车CAN总线加密方法,旨在解决现有方案(如AES128)的带宽占用和高成本问题。该方法通过利用CAN帧未占用比特位实现隐式加密,采用四组密钥(数据加密、滚动码、授权码和车辆专属密码)组合来增加暴力破解难度,无需额外通信负载。相比传统方案,本方法可降低芯片成本10-20%,执行时间缩短至1ms以内。同时讨论了黑客攻击路径及相应防御机制,包括白名单控制和密钥同步设计。该方案可能冲击现有硬件加密MCU市场,为汽车电子领域提供更具成本效益的安全解决方案。
2025-11-07 15:04:03
805
原创 CAN入侵检测系统IDS不行,用扩充白名单机制保证汽车功能安全需求
文章摘要 本文针对汽车CAN总线信息安全问题,提出传统入侵检测系统(IDS)难以满足功能安全要求(漏防率需达到10-7/h),指出基于异常统计的分析方法正确率需达10-13,实际难以实现。作者揭示了现有CAN加密方案(如SecOC)的局限性,包括无法阻止报错帧攻击和未经信道传送的DoS攻击。创新性提出"扩充白名单"机制,通过在ECU启动前校验程序长度和校验和,确保数据来源、时间特性等安全属性,可有效阻断多数程序修改类攻击。同时建议取消Error passive和busoff机制以对抗特定
2025-10-21 09:56:48
854
原创 10BASE-T1S存在问题,还不能胜过CAN
10BASE-T1S总线协议在汽车应用中存在多项技术缺陷:支线节点在干扰下会产生共振导致误码,而终端节点无此问题,造成网络数据不一致;其共模抑制比指标虽高但实际产品未达标,在ISO7637-3标准干扰测试下仍可能产生误码;PLCA调度协议存在时间抖动和丢帧问题;扰码器设计不当反而增加误码率。这些问题使其在功能安全性上无法达到CAN的水平。当前测试方法(DPI/BCI)与实际车载环境存在高达58%的性能差异,特别是总线供电方式存在隐患。建议谨慎评估10BASE-T1S的适用性,优先考虑改进现有协议而非盲目跟从
2025-10-08 11:11:56
1189
原创 Achilles‘ Heel of 100Base-T1:Link re-establish time of 200ms
摘要: 本文分析了100BASE-T1以太网在车载应用中的关键问题,特别是其200ms链路重建时间(link re-establish time)难以满足汽车功能安全需求(如制动/转向系统要求ms级中断恢复)。研究表明,传统以太网误码率(BER)定义(IEEE 802标准)未考虑电磁干扰(EMI)影响,而车载环境中ISO 7637-3波形3A/3B的干扰会导致共模电压达±25V,通过共模扼流圈不对称性转化为差分噪声,引发符号错误和链路失效。测试显示,连续干扰可能导致多链路失效,使环网冗余机制失效。相比CAN
2025-08-13 17:15:18
1111
原创 给CAN从业者的三个忠告
优快云上某CAN博客谈BUSOFF有记录的读者在1万以上,相信实际上有更多的CAN从业者,为更好交流,我提出了三个忠告:1不要迷信BOSCH;2要加强交流增加你的影响力,不播种是一定没有收获的;3要防欧美图穷匕现。每点都以例说明,例如我写的BUSOFF补充了其形成的原因与过程及实例。提了些从简入繁的改进建议。
2025-07-28 11:36:16
480
原创 我对车规MCU的建议
摘要: 文章指出车规MCU设计缺陷是导致车辆功能安全问题(如行驶中熄火、CAN通信失效等)的核心原因。通过路虎、大众等案例分析,揭示了故障与MCU指令执行错误、RAM数据异常的关联性。作者建议改进MCU设计,采用双区RAM和协处理机动态校验CAN参数,以缩短故障恢复时间。同时批评当前双核锁步MCU(如MPC5643L)存在寄存器翻转保护不足、依赖关断作为安全手段等缺陷,可能导致残留故障和系统静默失效。解决方案需结合实时纠错与冗余设计,提升功能安全等级。 (字数:149)
2025-07-19 16:28:03
786
原创 为什么要改掉CAN的error passive和bus off V1
文章摘要: 本文指出CAN协议中的error passive和BUS OFF状态存在安全隐患,违背功能安全原则。当节点因干扰进入这些状态时,控制系统闭环(如刹车、转向)会变为开环,导致失控风险。通过分析辐射干扰(如ISO7637-3定义的场景)对CAN收发器的影响,揭示了干扰如何通过输入阻抗差异和线缆长度差转化为位错,进而触发BUS OFF。实例显示,一次继电器开关干扰即可导致通信中断,而特斯拉Model 3的漏帧现象进一步佐证了这一风险。作者建议取消BUS OFF,改用active error frame
2025-07-08 17:19:50
1096
原创 以太网的BER=1e-10预设条件不含EMI干扰 V2
摘要:本文是对以太网BER=1e-10预设条件不含EMI干扰的修正分析,重点关注共模干扰转为串模干扰的机制。研究发现共模电感的不对称性是主要干扰源,在100BASE-T1系统中,ACT45L共模电感产生的串模干扰可达1.59V,超过收发器最大输出1.25V。100BASE-TX系统同样存在类似问题,XH1198FNL变压器产生的1.3V串模电压超过规范要求的0.95-1.05mV范围。研究表明,现有共模抑制设计难以满足高干扰环境下的信号完整性要求,特别是在60V及以上干扰源情况下必然导致通信错误。 关键词:
2025-07-02 11:52:51
821
原创 以太网的BER=1e-10预设条件不含EMI干扰 V1
摘要:研究发现汽车用以太网100BASE-T1的误码率(BER=1e-10)预设值仅针对无电磁干扰(EMI)环境,而实际车载环境需面对ISO7637-3标准中的3A/3B波形干扰。分析表明,线缆上25V共模电压会因元器件1%参数不对称性累积产生0.5V差模干扰,导致符号错误和时钟同步失效,进而引发扰码器失步和LINK故障。LINK恢复需200ms,严重影响自动驾驶关键功能。需采用屏蔽线或光纤以降低干扰,但会增加成本,挑战以太网的成本优势。该研究为理解2016年宝马推迟新车发布及车辆事故原因提供了新视角。(1
2025-06-23 15:47:33
930
原创 Conflict in CAN XL system due to DLC receiving error V2
摘要: CAN XL系统中由于DLC接收错误引发的冲突问题被发现,导致接收端可能提前或滞后进入SIC模式,与发送端的快速模式同时运行,造成硬件冲突(如电流过载)。该设计缺陷在误码率6.9e-6、总线负载40%时,系统故障率高达1.04e-3/h,远超ASIL B安全要求(1e-7/h)。冲突可能导致数据丢失、不一致甚至硬件损坏。研究指出,现有CAN XL协议在数据段无法实现错误报告,根源在于慢速与快速模式收发器不兼容。文中提出一种新型收发器设计方案,通过支持±1V/0V差分电压实现类似以太网的3B2T编码,
2025-06-20 18:16:07
779
原创 车用EE架构演释对CAN的影响 2020-8-19
车用EE架构演释对CAN的影响 2020-8-19杨福宇 yfy812@163.com现在对车用EE架构的变化路径看法大致上统一了。代表性的是Bosch的说法(引自佐思汽研发布《2019-2020 智能汽车计算平台与系统架构研究报告》智能汽车E/E架构研究:特斯拉遥遥领先,传统车企发力猛追):从现在的分散的以信息Domain的系统,过渡到强ECU的中心化域,再到跨Domain的Zone ECU。再下一步是计算中心与云。与此对应,通信系统也有变化,要从CAN 过渡到CAN 与以太网共存。首先,演变
2020-11-10 10:05:55
741
1
原创 国家兴亡匹夫有责,从神九用到CAN总线讲起(17)辨证法
国家兴亡匹夫有责,从神九用到CAN总线讲起(17)辨证法这是8年前的的博客,找,新人在20多年的CAN应用中,不乏许多重要的应用项目,例如在几个卫星项目,飞机项目,以及一些先进的车控项目。怎样看待这些项目的成败与风险是要用辨证法的观点的。辨证法首先要承认新技术对社会前进的推动作用,每一种新技术都因为与原有技术比较有明显的经济效益才会被广泛接受。在60年代时发卫星,其控制技术的简单化与今天相比不知差了多远,那时的控制程序行数甚至远小于现在的一个游戏程序。但没有人会否定那些人作出的贡献,那些人付出的努力以及
2020-10-17 11:54:37
240
原创 国家兴亡匹夫有责,从神九用到CAN总线讲起(1)希望在你们身上
国家兴亡匹夫有责,从神九用到CAN总线讲起(1)希望在你们身上2012年6月神九升天蛟龙下海深深地鼓舞着中国人:别人能做到的事我们现在也能做到了,特别是那些能为国家实现这些壮举的人是何等年轻,可以预期在未来的磨练里他们会更成熟更老练,会做得越来越好,也就是预示着我们的明天会越来越辉煌。我关心着后续的报道,因为我一直在研究CAN,看到其中关于神九用到CAN总线的事有二条,:1.九问“神九”精装修远超老前辈_北青网“舱载医监设备主机、数管分系统中央单元、航天员语音处理组件……中国航天科技集团公司九院77
2020-10-08 11:56:24
477
1
原创 CAN应用系统者的责任
CAN应用系统者的责任 杨福宇 yfy812@163.com 2020-9-15安全不安全现在已经有了国际标准,一般工业上采用的是ISO61508,介绍见[exida,IEC 61508 Overview Report, Version 2.0, January 2, 2006]。汽车电子方面采用的是ISO26262,[Qi Van Eikema Hommes,ASSESSMENT OF THE ISO 26262 STANDARD, “ROAD VEHICLES –FUNCTIONAL S
2020-09-15 11:13:11
307
原创 CAN FD 变速带来的问题
CAN FD 变速带来的问题 2019-10-24杨福宇 yfy812@163.comCAN FD用到2种速率,他们的转换过程涉及3个关键位:FDF,res,BRS,见图它采用的机制是:○1在FDF和res位间有一个硬同步;○2在BRS位采样点前后实行不同的位速率tq。采样位置不同造成出错的可能:在理想状态下,FD的缺陷是BRS位,采样点之后按高速位的ps2开始下一位。但是不同ECU中设计的采样位置是不能保证相同的,例如a厂ECU的采样点定在75%,b厂定在85%,那么相差10%,假定低速位
2020-09-03 10:08:21
2402
原创 为什么ISO CAN FD依然达不到功能安全的要求 V1
为什么ISO CAN FD依然达不到功能安全的要求 V1. 2020-8-1 杨福宇 email: yfy812@163.com当你的控制系统作功能安全评估时,不可避开通信系统的安全指标。ISO CAN FD已经对CAN的错帧漏检作了较多的修补,例如○1更长的CRC多项式,可以把填充位也算进去,从而避免填充规则的不对称执行造成的收发位流的错位引起CRC计算中出现错误增多;○2引入了格雷码的填充位计数器及其奇偶校验位,格式校验位,以更多的校验来避免漏检。但是这些措施依然有漏洞。这些漏洞造成的漏检率的
2020-08-06 11:42:03
650
原创 CAN EOF6的不一致性错 v2
CAN EOF6的不一致性错 v2 杨福宇 yfy812@163.com节点发现的错的类型有二种,一种是全局性错,即所有节点同时发现错,一种是本地的局部错,即只有本节点发现错。无论哪种错,都要能使其它节点能获得报错引起的警示,从而大家都丢弃这个帧。CAN协议规定,接收节点查错查到EOF6(EOF的第6位),如果有错就丢弃帧并从EOF7开始报错,如果没错就收下帧;发送节点查错查到EOF7,如果有错就从下一位开始报错并在总线空闲后重发。CAN发生在EOF6的局部错,它有可能造成接收节点之间数据的
2020-06-22 09:53:08
722
原创 CAN的等效离线故障v2
can的等效离线故障v2 杨福宇 yfy812@163.comFault-degradation 表示系统出错时性能降级运行,尽量保存可用的功能,维持功能安全。这一概念在CAN开发时就有了,只是后来被更为重视。CAN为了满足性能下降时不是突然的,所以设计了运行的3种状态:主动报错(Error active);消极报错(Error passive)和离线(Bus off)。主动报错状态时,主动报错标志(active error flag)是6个D(显位),通过破坏填充位规则,使全体节点都知道,大
2020-06-10 09:36:59
1764
原创 CAN错帧漏检率达不到功能安全的要求v2
CAN错帧漏检率达不到功能安全的要求v2 2019-9-2 杨福宇 yfy812@163.com错帧漏检是指帧内发生了错误但是没有被协议的所有检错机制查出来。这样的帧就被接收节点收下,就会引起应用使用错误数据,导致功能性错误或失效。CAN的主要查错机制是CRC检验,在CAN 中CRC校验失效的2个原因是:○1.由于填充位规则的非对称执行,收发帧的有效数据位产生了错位,在进行CRC计算时相当于引入了大量的错,错的数目超过了CAN的CRC的检验能力(HD=6),造成CAN的错帧漏检率很高。○2
2020-06-05 09:35:35
1031
原创 毛刺与CAN功能安全的关系 v2.
毛刺与CAN功能安全的关系 v2.CAN协议中有关毛刺处理的不完善有可能引起功能安全问题,对实时通信而言功能安全有2个重要得内容,一是在规定的时限内帧的内容能否送达,其二是是否有错帧被漏检。毛刺都会破坏这二个要求。CAN是事件触发的通信协议,它根据消息的优先等级和节点的状态自动地调度消息的传送。一个连有许多节点的CAN系统必须经过的最坏响应时间分析,才能确定在规定的时限内帧的内容能否送达。最坏响应时间是指节点内消息已经就绪之后,到实际送达接收节点所需要的时间,例如一个周期为10ms的控制消息能否在10
2020-06-02 11:43:33
1490
原创 关心can的功能安全
[单片机的can接口难达到功能安全的要求](我写了一些文件,发表在doc88上,无下载积分要求。http://www.doc88.com/p-11073342632941.html can毛刺与功能安全的关系 v2http://www.doc88.com/p-99016634564136.html can等效离线故障v2http://www.doc88.com/p-99016634564137.html Can错帧漏检率达不到功能安全的要求 v2http://www.doc88.com/p-3314
2020-06-01 11:15:11
777
Conflict in Data Field of CAN XL V1 2022.doc
2024-08-09
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人