我的位置:首页 >> 最新文章

CAN消极报错发送节点变为离线状态的故障沙发怀表焊管纸碗机千斤顶

发布时间:2022-09-11 14:15:53 来源:美通机械网

CAN消极报错发送节点变为离线状态的故障

摘要 处于消极报错状态的CAN节点在一次本地错之后,由于标准考虑不周,会产生该节点与其他节点在帧启停上的不同步,造成错误的不断延续,在接收节点中产生等同离线状态。本文讨论了在发送节点中产生真正离线的原因,并提出了解决方案。

关键词 CAN报错帧分界符 优先级逆转

CAN是应用非常广泛的现场总线。它已经被大部分汽车厂商用作车内控制器交换信息的通信干线,是分布式嵌入式系统的关键部分。但是它有一种以前未讨论过的与安全有关的故障,当某一处于消极报错状态的节点由于干扰而产生一个本地错后,因标准考虑欠周,该节点会与其他节点帧启停失去同步,在其他挂起待发的消息发送时不断出错,形成等同于离线的状态,无法提供服务,从而危及安全。本文讨论处于消极报错状态的发送节点,由于同样的原因失去同步后的演变过程。这里不同的是,因为标准中的另一个规定,它可能经历一个真正的离线状态。

1 CAN标准的安全漏洞

在讨论该问题时假定读者对CAN的标准已有充分的了解,由于中文译法的差别,本文采用的术语可能有所不同,相信不会影响读者的理解。在Bosch CAN2.O规范3.1.3款中说: 为了使报错帧正确结束,消极报错节点可能需要处于空闲状态至少有3bit时间(如果消极报错接收节点发生本地错),因此总线不应满负荷运行。 这是引起应用出故障的原因。因为节点问并无时间同步,即便总线有空闲时间,也不能保证像上述要求那样的分布。挂起待发的消息将在服务间隔(intermission,图中缩写为I.M.)后立即发送。这在规范中也有规定: 在另一条消息发送过程中挂起待发的消息在服务间隔后的第一位启动(发送) 。ISO11898标准没有提到3位空闲问题,但是CAN一致性测试标准ISO16845的具体条文会有这种要求(虽然该空闲要求还是不充分的)。CAN规定处于消极报错状态的节点在发现错之后发出6位隐位的消极报错标志(Passive error flag),如读回6个连续的相同位时,就确认报错标志发完,如没发现6个连续的相同位,就继续发隐位,直到得到确认,然后开始消极报错帧分界符的发送。分界符从发出隐位读回也是隐位时开始计算,总共为8个连续的隐位。在CAN一致性测试标准ISO16845的7.5.6款与8.5.13款中,规定了接收节点与发送节点在发消极报错帧分界符时的格式错检查办法。它规定,在消极报错帧分界符开始后的8位中不得有显位;如有显位,就视为出错,开始新的报错帧。

如果一个处于消极报错状态的节点发现一个本地错(即有一种误判或漏判),由于其他节点不发主动报错帧,那么它发的消极报错帧标志就不会及时得到确认,往往要到图1所示的数据帧或远程帧的EOF第5位才会得到确认;而它的消极报错帧分界符将延续到帧的服务间隔之后,它就和其他节点的帧启停失去了同步。其他节点开始新帧的SOF将被它视为格式错,而开始发新的消极报错帧。当其他节点有挂起待发的帧不断发送时,这个处于消极报错状态的节点一直处于不断出错的状态,不能发送也不能接收,即等同于离线状态。

这种源自标准考虑不周的故障会使CAN的积极探索利用绿色债券、绿色保险等绿色金融手段优先级逆转(在处于消极报错状态的节点中的高优先级消息无法发送);同时,基于优先级进行的调度分析失灵。以此为算法设计得到的消息最坏送达时间将是不可靠的,车的安全会受影响。在参考文献[1]中,讨论了修改消极报错帧分界符长度来解决该故障的方法。

2 处于消极报错状态发送节点本地错的后果

处于消极报错状态的发送节点在有本地错时,其行为倾向更差。标准ISO16845的8.6.9款对发送节点在消极报错帧分界符内的格式错规定了发送错计数器TEC+8,第7.6.12款对处于消极报错状态的接收节点在消极报错帧分界符内的格式错规定了接收错计数器REC+1。而且标准规定REC是有上限的,它不会导致节点成为离线状态;但TEC会一直加上去,当TEC=256时节点就成为离线状态,直到在总线上读到128个连续的11个隐位,然后它变为主动报错状态。因此弄清楚节点是接收还是发送的地位非常重要。

Bosch CAN 2.O规范3.2款对节点的定义是这样的: 开始一个消息的单元被称为该消息的发送节点。在总线空闲之前,或该单元在仲裁中失败之前,该单元一直是发送节点。 一个节点被称为一条消息的接收节点的条件是:它不是该消息的发送节点且总线不空闲 。国际标准ISO:2003第4.18款有类似的定义: 发送节点是指开始一个数据帧或远程帧的节点,在总线再次空闲之前或在仲裁失败之前,它仍是发送节点 。第4.16款: 不是发送节点且总线不空闲时节点是接收节点 。标准考虑了如下几种情况:

①一个节点开始发送ID,仲裁失败,在此段时间里它是发送节点,而后它是接收节点。

②一个节点开始发送ID,仲裁胜出,发送完数据帧或远程帧,在整个发送时段及其后的服务间隔内,它是发送节点。

③一个节点开始发送ID,其中发生错误,或者在仲裁胜出后继续发送中出错,那么从开始到报错帧结束及其后的服务间隔内,它是发送节点。因为总线空闲最早在服务间隔之后。

④一个节点开始发送ID,仲裁胜出,发完数据帧或远程帧,但由于某种原因(EOF的最后一位为显位,或其后的服务间隔内第一、二位为显位),接了一个超载帧。那么在整个上述时段及其后的服务间隔内,它是发送节点。

CAN协议没有考虑重复出错的情况:第一次是处于消极报错状态的节点发现一个本地错,其后是因为消极报错帧结束时与其他节点帧启停失去同步而造成新错。在图2中,处于消极报错状态的发送节点在ACK位发现一个本地错,它发的消极报错帧被其他节点视为EOF和服务间隔。其他节点发的新帧SOF被它视为格式错。该处于消极报错状态的发送节点无法见到它预期的服务间隔的结束,它就以发送节点的地位一直错下去。图3中,处于消极报错状态的发送节点在EOF部分发现一个本地错,其后续演化与图2相似。

只要有挂起待发的消息,此错就重复发生。由于发送节点的地位未变,它的TEC就一直加上去,直到TEC 256,节点成为真正的离线状态。这不是本文第1节女装所说的等同离线状态。在离线五金产品状态下,如果能从总线上读到128次连续的11位隐位,它就可以恢复为主动报错状态。总线上不足11位的隐位将不被计入。因此,这种离线状态一般要长于参考文献[1]所说的等同离线状态。为了作比较,假定帧长均为含2字节数据的帧(66位),在挂起的消息传送16次后,该处于消极报错状态的发送节点成为离线,即16 (66+3)=1 104位后离线;又假设最坏情况下有分散的10位空闲,那么节点处于离线的时间为128 (66+3+10)=10112位。该处于消极报错状态的发送节点发现一个本地错后,将有11 216位的时间不能正常收发。同样情况下,一个处于消极报错状态的接收节点发现一个本地错后在第一次遇到足够空闲时间时,其等同离线状态就会结束。

这种处于消极报错状态的发送节点变为真正离线的过程是无法从高层加以干预的,因为发送节点/接收节点的地位不是一个软件可控制的参数。

3 为什么需要消极报错状态

理论上,解决这一故障有三种可能的方案:第一种方案是,将消极报错帧分界符长度按一定的规则改变,使处于消极报错状态的节点发现一个错后总能与其他节点帧启停保持同步。在本文讨论的处于消极报错状态的发送节点变为离线状态的例子中,仅仅改变判断发送精细陶瓷材料断裂韧性的测定节点/接收节点的规则也是不够的,因为它仅能把可能的真正离线变为等同离线。所以随情况改变,消极报错帧分界符长度仍然是需要的。这一方案对应用的改动最小,仅CAN通信控制器芯片要修改。第二种方案是采用某种形式的CAN时间触发CAN协议,预留出一些总线空闲时间,使处于消极报错状态的节点发现一个本地错后仍能与其他节点帧启停同步;但是迄今为止讨论的CAN时间触发协议都缺少足够的纠错能力,它们都禁止CAN的出错自动重发机制,在出错后会导致数据的丢失。第三种可能的解决方案是,放弃消极报错状态,没了消极报错状态就没了消极报错帧,就不会有不同步的情况出现,也就不会有离线和等同离线的情况出现。

消极报错状态使通信控制器在正常工作与停工之间有一个中间状态,在此种状态下,它仍可发送和接收。唯一的差别是它的报错能力被限制到很小:只有发送节点在ACK以前的本地错会被其他节点知道。在其他情况下,消极报错帧不会影响其他节点的收发,不管这种错是本地错还是全局错。这样,如果这个处于消极报错状态的节点不正常,那么它对系统性能下降的影响就很小;如果它工作正常,则系统的性能没有损失。

对汽车类的应用来说,环境很恶劣,出错是不可避免的,然而在现场进行排障或修理是有难度或不可能的(例如上天或人海的应用)。在那里,能 跛 着回家是最好的策略。这种策略不仅适用于机械部分,也适用于工作失常的电子通信系统。消极报错状态符合这种策略。当车子在这种 跛 着回家方式下工作时,某些暂时性的故障有可能消失。例如,环境温度、电磁场、振动都可能因工况的不同或路段的不同而改变。随着通信恢复正常,节点的状态也可由消极报错状态回到主动报错状态。如果节点只有主动报错和离线二种状态,那么离线时节点就要不断测试通信是否恢复,或者等一段时间测试一下。显然,这些方法效率要低,不像消极报错状态时仍打火机能提供服务,意味着提供服务的时间的减少。延长处于主动报错状态的时间,而去掉消极报错状态,会使有本地故障的节点对系统的干扰时间也延长。因此废弃消极报错状态不是一个好的选择。从Bosch CAN2.0规范里也可以体会到这一点:它规定一个处于消极报错状态的节点一定不得发主动报错标志。消极报错状态的想法也为FlexRay所采用,在它的协议技术合作运行控制部分规定有三种状态,分别是POC:NormalActive、POC:Normeal Passive和POC:Hal如SANS的夹具t。

4 小 结

上述分析表明:处于消极报错状态的CAN发送节点在某些条件下会因一次误判而进入离线状态。其离线的时间一般比处于消极报错状态的接收节点因一次误判而进入的等同离线状态要长。为了避免这种类型的失效,最好的解决方案是采用可变长消极报错帧分界符,使消极报错状态的节点总能与系统内的其他节点保持帧启停的同步。在同步的情况下,假设现有CAN调度分析的理论没有大的缺失,例如没有此类故障,没有引起超载帧的条件,可以提供较为可信的结果。

二甲医院
安徽阜阳整形三甲医院
山西临汾皮肤二甲医院
安徽宿州整形三级医院
相关阅读
最火上海市2005年第二季度药品医疗器械质量铝塑管张家口挂钟烧锅拓展z

上海市2005年第二季度药品、医疗器械质量公告为加强装载机秤对药品、医疗器械的质量监督管理,规范市场秩序,保障人民群众使用药品、医疗器械产品的安全、有效,2005年第二季度,上海市食品

10月04日 23:32
最火我国塑料破碎机行业面临的问题探析牛仔裙滨州检测设备流变仪眼部护理z

我国塑料破碎机行业面临的问题探析目前,我国塑料破碎机被广泛运用于废塑料再生和工厂边角料的回收再利用,但随着国家节能环保政策的下达,塑料破碎机也随之面临着节能改造技术问题,在这

10月04日 21:58
最火纸品检测结果不支持绿色和平对APP的指控新乐皮夹手机贴纸缠绕带零配件z

纸品检测结果不支持绿色和平对APP的指控美国纸品检测公司 Integrated Paper Services(IPS) 证实,绿色和平组织但是鉴于力值检测的数据要求较简单本人推荐数显式机型性价比会很高之前关于亚洲浆纸 (APP)

10月04日 11:33
最火阿根廷对华钢制弹簧垫圈作出反倾销终裁裱纸机背带裙被膜剂空调器电子讲台z

阿根廷对华钢制弹簧垫圈作出反倾销终裁2外墙保温技术市场必须迅速扩大01标准编制充分斟酌了满足技术发展和生产需要7年5月11日,阿根廷生产部在阿根廷《官方公报》发布第193-E/2017号决议,对原

10月04日 08:45
最火南京朗驰集团有限公司EMRP系统黑米面矿筛备件电气石造粒机组防冻液z

南京朗驰集团有限公司EMRP系统南京朗驰集团有限公司(南京机电)是一家按现代企业制度要求组建的大型汽车、机电产品流通大型专业集团公司,下属20家控股参股公司,拥有汽车展场8处,机电产品

10月04日 07:04
最火高阻隔性树脂薄膜四脚手架检测仪水管安装汽车挂饰强化地板z

高阻隔性树脂薄膜(四)聚乙烯醇的特性:(1)聚乙烯醇树脂是白色或奶黄色固体粉末,能溶于水,加热下能迅速溶胀溶解。聚乙烯醇薄膜有高度的阻气性,其阻气性比PVDC还要好,但是聚乙烯醇易吸收

10月04日 05:43
友情链接: shell开发实战 大连航天医院性病科 纸管芯平压试验机 辽宁医学院附属第三医院 即墨市人民医院 胸长神经卡压症怎么治疗 盐池县人民医院 液压试验机 工作服定做 郑州牛皮癣医院 医院动态 呼和浩特治皮炎去哪家医院简介 婚姻律师 合肥最好的中医医院