CAN总线的功能安全问题

摘要：汽车的功能安全是当前汽车技术发展的重点之一，也是车厂竞争的利器。安全的实现与通信有关，现在90％以上的车用CAN总线来实现控制用的通信。已经发现CAN总线有高错帧漏检和长的等效离线与真正离线的机制性隐患，本文对这2种隐患的发生概率及其后果作了进一步分析，漏检的错帧可能最多是原数据的33倍或1／33，等效离线造成的失效概率在误码率为10-5时可达到16．8／h(总线利用率40％，速率500 kbps、平均帧长100位)。如先发生错帧漏检，应用收下错帧，又发生离线，阻断正确帧的改正作用，应用将长时间工作于错误状态下，是十分危险的。
关键词：CAN；错帧漏检；离线；功能安全

引言
ISO26262道路车辆的功能安全国际标准已经通过。车企实施这项标准是自利的事，因为可以减少出事故后的赔偿损失，同时也是争取客户的竞争手段之一。所以，回顾已有的实践是非常必要的。参考文献指出，ISO26262强调了安全的管理与安全的文化理念。安全不再仅是一种事后的风险评估，他还建议用参考文献系统原理性过程的风险分析方法(system theoretic processhazard analysis method)实施ISO262 62。在这种方法中人、组织、机器等相互之间信息传递出错的过程及其风险都要加以评估。作为车辆控制设备间的信息传递，当前的车辆中主要是CAN总线，CAN总线帧的丢失、错帧漏检、送达次序的错误、超过时限等带来的风险均应定量地分析。
笔者在本刊就CAN总线的隐患发表过若干文章，简单地讲，主要有2个致命的隐患：非常大的错帧漏检率，比Bosch公司声称的大几个数量级；由于协议规则间的不匹配，连续出错造成的等效离线，可能的持续时间很长。这2种错误单独发生就会影响安全性，如果连着发生风险就更大：发生第1个故障时应用会收下错误的原始数据，接着发生的第2个故障将阻断数据刷新，从而使应用的错误持续一段时间，造成系统的安全事故。

1 错帧漏检造成的值域失误
图1是发生位错(bit flip)而产生错帧漏检的2个例子，具体构造方法可见参考文献。它们都满足差错Ec=U·G，其中G是CAN总线的CRC生成多项式G=(110o，0101，1001，1001)。图中，Ec=U·G=(1000，0010，0001，1100，1110，1001)。由于Ec是G的倍数，所以CRC检验不出错。

构造错帧漏检的例子时，第1个1的作用是确保填充规则在第6位后发生，这个1既可以是发生在DLC中的代码，也可以视为数据域中填充进来的1。所以它的值可以不考虑作Tx与Rx的值。在此种情况下，如果第1个位错发生在Tx的第2位，收到的Rx值将是Tx的33倍，或者1／33。如果将第1次位错发生在1后面几位，Rx值也会比Tx变化很多倍。