【摘 要】汽車總線技術隨著汽車行業(yè)技術現代化升級也進一步深入汽車設計研究領域，在控制器之間通信交互的應用中更普遍廣泛。網絡拓撲結構作為總線網絡設計最重要的一環(huán)，如何合理地將配置的各控制器連接起來實現較高的通信性能，并且盡可能防止網絡故障導致的信息流傳遞故障，這是工程設計人員必須考慮的方面。文章基于電氣系統架構及總線拓撲設計原則提出一種提高信息傳輸安全性的冗余的拓撲設計，對現有應用的設計做出優(yōu)化方案。

【關鍵詞】汽車總線；拓撲結構設計；安全性設計

中圖分類號：U463.6 文獻標識碼：A 文章編號：1003-8639（ 2024 ）10-0055-03

Security Design Based on Automotive Bus

LI Xiaolin，ZHOU Min，LI Linze，MENG Xin，XIE Jihong

（SAIC GM Wuling Automobile Co.，Ltd.，Liuzhou 545007，China）

【Abstract】Automotive bus technology with the automotive industry technology modernisation and upgrading also further penetrate into the field of automotive design and research，in the application of communication and interaction between controllers is more common and widespread. Network topology as the most important part of the bus network design，how to reasonably connect the configuration of the various controllers to achieve high communication performance，and as far as possible to prevent network failure caused by the information flow transmission failure，which is necessary for engineering designers to consider. This paper proposes a redundant topology design to improve the safety of information transmission based on the electrical system architecture and bus topology design principles，and makes an optimisation plan for the design of existing applications.

【Key words】automotive bus；topology structure design；security design

作者簡介

李曉琳（1997—），女，助理工程師，從事新能源汽車三電系統、底盤功能架構及網絡設計工作。

近年來，汽車行業(yè)的電子技術更進一步地向現代化升級，電動化、智能化、網聯化、共享化的發(fā)展方向已成為未來汽車的發(fā)展趨勢。面對日益復雜的電氣結構，傳統總線單一的點對點通信方式已不足以支撐整車通信的需要，因此各種類型的多網段新型設計方案涌現。然而各控制器通過總線連接成的通信網絡系統若存在某些故障時，會導致網絡上的一或多個控制器無法工作和通信，引發(fā)功能失效。因此，本文基于總線網絡拓撲結構現狀分析來優(yōu)化拓撲設計方案，解決上述問題。

1 汽車總線網絡拓撲結構現狀分析

1.1 常見的總線網絡拓撲結構

總線網絡通信系統中將各控制器ECU連接起來的方式和形式稱為總線網絡拓撲結構，是以電子電氣系統中各ECU之間的通信關系為基準設計的[1]。在CAN通信技術廣泛應用于汽車結構中后，已極少存在依靠單個ECU實現整個功能的情況，每個ECU都需要從其他ECU中接收某些信息，從而各個ECU通過網絡通信關系被連接在一起成為一張通信網，并且是以相互之間的信息傳遞搭建功能邏輯關系，使得整車智能化在一定程度上得以實現。根據總線網絡拓撲設計原則，需要考慮網絡負載率、網段節(jié)點數量、傳輸效率等方面的設計，選擇合理結構是非常必要的，對降低整車線束長度及成本、增加通信網絡可靠性、提高通信性能有重要的作用。目前常見的網絡拓撲有以下幾種，如圖1所示。

1.2 現狀分析

環(huán)形結構上的控制器是以串行的方式連接在總線上，結構相對較為簡單，可連接上百個節(jié)點進行通信，但存在的明顯缺陷是數據都必須經由中間的控制器進行轉發(fā)，如總線上存在一個節(jié)點故障就會使得整個網絡進入癱瘓狀態(tài)。盡管研發(fā)人員用各種方法優(yōu)化，如使用其他多重環(huán)路來規(guī)避此種缺陷，但又會出現整個網絡結構復雜程度高、測試難度大、設計實現代價較高的短板[2]。

總線形結構上，每個控制器并行接在總線上進行通信，沿著總線任何一個控制器發(fā)出的信號都可以被傳輸給總線上的其他任何一個控制器接收。這種連接形式的好處是：如果總線上的某一個控制器因為自身故障或損壞不會影響到其他控制器的信息傳輸，從某種程度上可以避免因一個控制器失效導致網絡通信癱瘓的情況發(fā)生。

星形結構則存在一個最中心的控制器，連接在總線上的任意2個節(jié)點信息流傳輸都必須要經過中心節(jié)點傳遞，一旦中心節(jié)點可靠性不強，出現故障則整個網絡通信系統全都會受到影響，因此對中心節(jié)點的可靠性要求也會相應提高。同時此種結構中心節(jié)點與其余各個節(jié)點連接的線束較長，增加了整車的成本[3]。

綜上所述，一個較為理想的網絡拓撲設計方案應具備網絡可靠性高、網絡復雜程度適宜、通信效率高、連接線束較短、網段節(jié)點數量適中等特點。因此，市面上常見多數采用總線形結構的方案以及相關的混合形網絡結構。

2 CAN網絡拓撲的安全性設計

2.1 研究意義

當前汽車行業(yè)內的純電動汽車的通信方式依舊是以CAN網絡為主流，尤其是三電相關的動力和底盤相關的功能控制，控制器之間的信息交流也是通過CAN總線交換。若總線上的控制器或線束鏈路出現異常，將會導致車輛的功能直接失效，嚴重時甚至會直接導致車輛癱瘓無法啟動或行駛。而在所有常見的CAN網絡故障中，偶發(fā)的CAN網絡故障則是最危險且最難以排查解決的問題。因此，研發(fā)人員聚焦于優(yōu)化CAN網絡拓撲結構的方法，降低CAN網絡故障出現的幾率和故障出現時對車上乘員的安全風險。目前大多數整車廠提出的方案總結為以下兩種。

1）零件內部存在2個CAN收發(fā)器并設計2套區(qū)分主次但功能一致的CAN通信程序，線束對應零件主次CAN收發(fā)器建立2套CAN線。

2）車輛重點控制器設計一個功能一致的備用控制器。車輛正常時，備用控制器只接收信號不發(fā)送信號?？刂破鞴收蠒r，備用控制器開始介入整車通信，發(fā)送和接收信號，替代故障的控制器。

本文基于上述的第2種方案提出一種純電動汽車的車-云一體化網絡的冗余結構，解決CAN網絡異常時功能失效的問題，同步達成降低CAN網絡故障幾率的效果。

2.2 車-云一體化網絡冗余結構

本方案基于總線形的網絡拓撲結構提出新的冗余方法，即采用域控制器的架構思想，冗余域控制器設計，同時應用云端的遠程控制功能，在應對車輛CAN網絡突發(fā)異常時安全處理，結構示意如圖2所示。移動通信模塊通過CAN網絡連接中央域控制器和執(zhí)行器，中央域控制器通過CAN網絡連接執(zhí)行器，同時通過以太網連接區(qū)域控制器，區(qū)域控制器通過CAN網絡連接區(qū)域內的執(zhí)行器，從而實現中央域控制器對執(zhí)行器控制的冗余設計，防止單一控制線路的故障導致車輛功能的癱瘓。云端控制器實時監(jiān)控通信流程，一旦發(fā)現某一段信息流出現故障則介入控制，是為了增加冗余，防止通信異常中斷。

安裝在車上的移動通信模塊是為了與云端通信，實現車輛數據收集及車輛遠程控制目的，通過移動通信模塊采集車輛的實時信息并傳輸到云端，云端中存在中央域控制器中的基礎算法，并以此形成一個虛擬控制器且能夠與車端的中央域控制器連接生成控制指令。云端控制器實時監(jiān)控通信流程，若出現中央域控制器交互轉發(fā)命令的信息流故障，則云端控制器介入車輛控制，完成中央域控制器的控制指令；若信息流恢復傳輸流轉，則云端控制器退出車輛控制，指令傳輸控制權交回中央域控制器。云端模擬控制器在車輛發(fā)生故障時采集獲取補充信息，包括車輛的實時位置信息、車輛操作過程信息、車輛故障識別信息、歷史維修記錄、雷達監(jiān)測信息、故障前的操作指令信息以及故障時的實時車速指標。云端主動介入控制時，若云端能夠替代受影響控制器完成車輛行駛，則云端與中央域控制器根據云端輔助駕駛原則驅動車輛；若云端不能夠替代受影響控制器完成車輛行駛，則云端強行介入車輛控制命令并對中央域控制器的干擾指令進行封鎖?；诂F在5G通信的通信速度與未來更加強大的通信能力，云端介入控制車輛完全能夠實現。但由于云端通信存在延時，所以云端虛擬控制器只能作為最后的控制手段控制車輛。

中央域控制器獲取、下發(fā)、轉發(fā)不同區(qū)域控制器之間的交互信息進行流轉控制，交互轉發(fā)命令通過CAN和以太網混合網絡結構實現，中央域控制器通過CAN網絡控制執(zhí)行器，同時通過以太網對區(qū)域控制器下達控制指令，區(qū)域控制器再通過CAN網絡對執(zhí)行器進行控制。中央域控制器集成所有區(qū)域控制器的基本功能算法及網關功能。在區(qū)域控制器正常時，中央域控制器只作為網關使用，轉發(fā)不同域控制器之間的交互信息。當某個或多個區(qū)域控制器故障時，由中央域控制器介入數據的分析計算并控制車輛。由于中央域控制器存在基礎的區(qū)域控制器的算法，所以車輛依舊可以進行基礎的功能實現。區(qū)域控制器將中央域控制器的命令下發(fā)到各個執(zhí)行器執(zhí)行對應的指令信息，同時將需要與其他執(zhí)行器交互的信息傳至區(qū)域控制器中，由中央域控制器進行交互轉發(fā)命令實現這一過程。執(zhí)行器為車輛的信息采Fwaml3VOr5Wd+qUcQAZytQ==集及功能執(zhí)行模塊，只具備簡單的分析能力。云端控制器的算法實時監(jiān)控這一信息流傳輸過程是否存在故障，一旦出現，則介入到車輛控制命令中。上述冗余網絡結構控制流轉方法流程如圖3所示。

2.3 冗余結構的優(yōu)勢

基于上文描述的控制方法，表1為圖2冗余設計的網絡架構在模擬各時間T內發(fā)生網絡故障的概率試驗時，傳統無冗余的總線形結構的方法與本文描述的冗余設計在CAN節(jié)點為10個的故障發(fā)生情況。

可以看出，通過本文所述的冗余設計，使故障的發(fā)生率明顯低于傳統CAN網絡的設計，且能夠保證信息的穩(wěn)定性，用于車輛駕駛時能夠極大地提高車輛CAN網絡的穩(wěn)定性及車輛使用的安全性。表2為模擬車輛故障發(fā)生時的實際情況以及車輛狀態(tài)。

故障1為動力底盤的控制線路發(fā)生故障，在發(fā)生故障時，傳統的CAN網絡無法傳遞控制指令，導致拋錨，而本方法通過云端的輔助控制能夠完成駕駛任務。故障2為制動控制線路故障，本方法仍然通過云端輔助完成駕駛。故障3是控制總線路發(fā)生故障，云端介入控制，但由于云端信息的短暫延遲僅僅造成車輛擦傷。故障4是控制總線路發(fā)生故障，云端介入控制，由于車輛故障嚴重，強制執(zhí)行靠邊停車，而傳統方法的CAN網絡無法彌補故障，發(fā)生車輛毀損。

由此可驗證，本文所述CAN網絡拓撲的冗余設計可有效降低因CAN網絡故障率導致的車輛重要功能失效而影響車上乘員生命安全的風險概率，降低CAN網絡通信系統癱瘓幾率，有效提高了網絡通信性能及可靠性。

3 結論

總線網絡拓撲結構之于整車的意義相當于規(guī)劃對于城市建設的重要性，決定著汽車網絡通信系統的設計品質，合理的布局設計以及識別風險、降低風險對于整車而言，可以實現更高的駕駛安全性及電氣性能、更可靠的整車性能。因此，對于CAN網絡設計工程師而言，從系統層級的思維出發(fā)，多方面、多角度地布局考慮設計方案是十分必要的。

參考文獻：

[1] 曲鳳麗. 汽車網絡研究及CAN總線網絡拓撲的優(yōu)化[D].杭州：浙江大學，2008.

[2] 王瑋，初洪超. 汽車CAN總線拓撲結構設計[J]. 汽車實用技術，2016（5）：127-129.

[3] 涂金林. 電動汽車CAN網絡系統的設計與實現[D]. 成都：電子科技大學，2016.

（編輯 楊凱麟）