用于对汽车切换结构网络中节点重新编程的系统和方法

摘要

一种用于使用诊断接口对汽车切换结构网络中的节点重新编程的系统和方法。该切换结构网络多个节点，该多个节点通过用于在其之间传送数据的通信链路联接。该多个节点包括至少一个目标节点。该目标节点包括处理器、收发信机和存储器。该存储器包括可擦除存储器部分和受保护存储器部分。在重新编程的时间段期间，当目标节点擦除当前的软件构件并且将新的软件构件存储到其可擦除存储器部分中时，目标节点中的处理器从执行可擦除存储器部分中的指令切换到执行受保护存储器部分中的指令。诊断接口适于将新的软件构件传送到目标节点。

说明书

本申请要求在2004年10月14日提交的题为“System and Method for Reprogramming Nodes in an Automotive Switch Fabric Network”的临 时申请Serial No.60/618,726的优先权，其是本发明的同族申请并且通 过引用的方式将其整体内容并入在此处。

技术领域

本发明通常涉及交通工具中的通信网络，特别地，涉及一种用于 使用诊断接口对汽车切换结构网络中的节点重新编程的系统和方法。

背景技术

在2001年8月31日提交的题为“Vehicle Active Network”的共 同受让的美国专利申请serial no.09/945,581、公开号US 20030043793 (通过引用的方式将其整体内容并入在此处)，介绍了包括切换结构 的有源网络的概念。该切换结构是互连的切换设备或节点的网络。控 制设备、传感器、执行器等耦合到该切换结构，并且该切换结构协助 这些耦合的设备之间的通信。

该耦合的设备可以是指示灯、交通工具控制系统、交通工具安全 系统以及舒适和便利系统。用于致动(一个或多个)设备的命令可由 耦合到切换结构的控制元件生成，并且经由切换结构节点传递到该(一 个或多个)设备。

在交通工具切换结构网络的背景中，存在如下挑战，即，如何输 送数据跨越切换结构网络，用于对切换结构节点重新编程，并且在刷 新存储器时保持通信。需要在更新软件构件时对切换结构节点重新编 程的能力以及在诊断检测到错误或问题时重新编程的能力。

因此，所需的是，提供一种系统和方法，用于克服前述问题的大 部分(如果不是全部的话)或者使前述问题中的大部分(如果不是全 部的话)最小，特别是在对汽车切换结构网络中的节点重新编程的领 域中。

附图说明

图1是说明了交通工具切换结构网络的实施例的框图；

图2是说明了连接到多个接口和设备的部分切换结构网络的示 图；

图3是说明了连接到诊断设备和接口的部分切换结构网络的示 图；

图4是说明了切换结构网络中的目标节点的构件的一个实施例的 示图；

图5是说明了切换结构网络中的目标节点的两个存储器部分的示 图；并且

图6是说明了可以在目标节点的重新编程过程中交换的消息的类 型的一个实施例的消息流图。

尽管本发明容许多种修改方案和替换形式，在附图中示出了作为 示例的具体实施例，并且此处将对其进行详细描述。然而，应当理解， 本发明不应限于所公开的特定形式。相反地，本发明应涵盖如附属权 利要求限定的本发明的精神和范围内的所有修改方案、等同方案和替 换方案。

具体实施方式

描述了一种用于使用诊断设备和接口对汽车切换结构网络中的节 点重新编程的系统和方法。总而言之，使用诊断设备将包含软件构件 的一个或多个记录文件下载到汽车切换结构网络中的远端节点。通过 网关节点将重新编程指令和(一个或多个)记录文件从诊断设备和接 口路由至目标切换结构节点。在每个目标切换结构节点中创建两个分 立的存储器部分。一个存储器部分是可擦除的并且包含标准的切换结 构网络软件和应用程序(代码块)。另一存储器部分是永久的并且包 含删节的切换结构软件，其允许节点用作独立切换装置(引导块)。

在一个实施例中，下载过程开始于诊断设备指令目标节点发起重 新编程会话。该节点将从代码块切换到引导块，同时继续用作网络中 的独立切换装置。诊断设备可被配置为分析当前现有的软件构件，以 确定邻接的存储器块，并且发送关于需要擦除的每个存储器块的单独 的擦除刷新消息。目标节点将按照指令擦除存储器，并且随后向诊断 设备发送确认。然后诊断设备向目标节点发送一个或多个记录文件， 该目标节点在验证校验和之后将数据复制到存储器。在所有记录均被 发送之后，诊断设备发送代码块的入口点，并且指令目标节点恢复正 常操作。然后目标节点从引导块切换回代码块，并且重新启动应用程 序。

现在转到附图，图1说明了包括网络22的交通工具20，多种交 通工具设备24a～d经由各自的接口26a～d耦合到该网络22。交通工 具设备24a～d可以是与多种交通工具功能系统和子系统结合使用的传 感器、执行器和处理器，所述功能诸如但不限于，诊断、节气门线控 应用、制动和转向控制、自适应悬架、电源附件控制、通信、娱乐等 等。设备24a～d可以在交通工具外部或内部。图1的实施例包括外部 设备24a和若干内部设备24b～d。

接口26a～d是用于将特定的交通工具设备24a～d耦合到网络22 的任何适当的接口，并且可以是有线接口、光接口、无线接口或其组 合。交通工具设备24a～d特别适于提供一个或多个与交通工具20相 关联的功能。这些交通工具设备24a～d可以是诸如传感器的产生数据 的设备、诸如执行器的消耗数据的设备，或者是产生和消耗数据的处 理设备。在一个实施例中，外部设备24a是诊断设备，该诊断设备允 许用户同交通工具的网络交换数据，如下文将进一步解释的。由交通 工具设备24a～d产生的数据或者提供给交通工具设备24a～d的数据、 以及由网络22承载的数据，独立于交通工具设备24a～d自身的功能。 即，接口26a～d提供耦合的设备24a～d同网络22之间的独立的数据 交换。

设备24a～d同接口26a～d之间的连接可以是有线连接或无线连 接。图1说明了诊断设备24a同其接口26a之间的两种类型的连接，即 有线连接25和无线连接27。在无线连接中，设备24a和接口26a包括 无线通信收发信机，其允许单元经由光或者射频传输相互通信。此外， 接口26a可以是单一设备，或者作为单一组件并入，作为网关节点30a 的一部分。无论连接类型或组件类型是怎样的，对诊断设备24a的接 口26a应通过鉴权、安全和加密过程对设备24a到网络22的链接进行 仲裁。

网络22可以包括切换结构28，其定义了交通工具设备24a～d之 间的多个通信路径。该通信路径允许交通工具设备24a～d之间的多个 同时的对等通信、一对多通信、多对多通信等。在交通工具20的操作 过程中，例如，设备24a和24d之间的数据交换可以利用交通工具设 备24a、24d之间的任何可用的(一个或多个)路径。在操作中，通过 切换结构28的单一路径可以承载一个交通工具设备24a和另一交通工 具设备24d之间的所有单一数据通信，或者若干通信路径可以承载部 分数据通信。后继的通信可以使用相同的路径或者由网络22的随后状 态所规定的其他路径。这提供了优于总线架构的可靠性和速度优点， 其中总线架构提供设备之间的单一通信路径，并且因此在单一路径故 障时将发生故障。而且，可以使用切换结构28中的通信路径，同时进 行其他设备24b、24c之间的通信。

网络22可以遵守传输控制协议/互联网(TCP/IP)、异步传输模 式(ATM)、Infiniband、RapidIO或者其他的分组数据协议。这样， 网络22利用这样的数据分组，该数据分组具有固定的或可变的长度且 由可适用的协议定义。例如，如果网络22使用异步传输模式(ATM) 通信协议，则使用ATM标准数据信元。

内部交通工具设备24b～d不需要是离散的设备。相反地，该设备 可以是交通工具的系统或子系统，并且可以包括一个或多个遗留的通 信媒体，即，遗留的总线架构，诸如Controller Area Network(控制器 局域网络)(CAN)协议、SAE J1850通信标准，Local Interconnect Network(局域互连网络)(LIN)协议、FLEXRAY通信系统标准、 Media Oriented System Transport(媒体定向系统传输)或MOST协议、 或者相似的总线结构。在该实施例中，各个接口26b～26d可被配置为 代理或者网关，用于允许网络22同遗留设备之间的通信。

参考图2，根据本发明的一个实施例的有源网络22包括具有节点 30a～h的切换结构28，该节点30a～h经由各个接口26a～d以通信方 式耦合多个设备24a～d。连接媒体32使节点30a～h互连。连接媒体 32可以是诸如导线或光纤的有线媒体、诸如自由光或射频的无线媒体、 或者其组合。此外，结合切换结构28的定义以广义方式使用了术语“节 点”，以包括许多个智能结构，用于在网络22中传递数据分组，而不 需要仲裁器或其他网络控制器，并且所述术语“节点”可以包括：切 换装置、智能切换装置、路由器、桥、网关等。例如，在图2所示的 实施例中，节点30可以是网关节点，其将诊断接口26a(和诊断设备 24a)连接到切换结构28。数据以数据分组的形式、由节点30a～h引 导被承载通过网络22。

节点30a～h和连接媒体32的协同操作定义了以通信方式耦合到 网络22的设备24a～d之间的多个通信路径。例如，路由34定义了从 网关节点30a到目标节点30g的通信路径。如果沿路由34存在中断、 抑制了从网关节点30a到目标节点30g的数据分组通信，例如，如果 一个或多个节点处于满负荷或已经变为被禁用的、或者在沿路由34联 接节点的连接媒体中存在中断，则可以使用新的路由，其被说明为36。 路由36可以被动态生成或者预先定义，作为可行的通信路径，以确保 网关节点30a和目标节点30g之间的通信。

某些应用可能需要对切换结构28中的一个或多个节点30a～h重 新编程。图3所示的实施例和拓扑有利地允许升级或更换切换结构28 中的软件和代码的能力，包括对驻留在节点30a～h中的软件和代码重 新编程。图3示出了可以同诊断设备24a交互的用户42。诊断设备24a 包含软件管理器40，该管理器40包括指令，该指令用于发起和控制切 换结构28中软件和代码的升级或更换的重新编程过程。诊断设备24a 经由有线链路25或者无线链路27连接到诊断接口26a。诊断接口26a 通过节点30a～h中的一个，例如，网关节点30a，将诊断设备24a耦 合到交通工具网络22。在一个实施例中，诊断接口26与切换结构网络 28中的节点30a～h是分离的。然而，在其他的实施例中，诊断接口 26a及其功能可以并入到网关节点30a中。

切换结构28中的每个节点30a～h包含软件构件，用于实现节点 30a～h同设备24a～d之间的数据通信。用户42可以使用诊断设备24a 和系统管理器40发送命令，用于升级或更换切换结构28中的软件和 代码，包括对驻留在节点30a～h中的软件和代码重新编程。为了说明 本发明，假设用户42需要对驻留在目标节点30g中的软件构件重新编 程。图4示出了可能需要新的软件构件的目标节点30g的一个实施例。

为了说明目标节点30g的功能和适应性，示出了包括多个输入/输 出端口50a～d，尽管也可以使用分离的输入和输出端口。取决于应用， 在网络22中可以使用具有更多或更少端口的目标节点30g的多种配 置。目标节点30g包括处理器52、至少一个收发信机54和存储器56。 存储器56包括可擦除存储器部分62和受保护存储器部分64。处理器 52被配置为传送控制和执行指令，该指令来自驻留在可擦除存储器部 分62或受保护存储器部分64中的软件构件。可擦除存储器部分62包 含软件构件(代码块)集合，用于操作目标节点30g在切换结构28中 进行正常的数据通信和操作。在一个实施例中，如图5所示，可擦除 存储器部分62中的软件构件可以包括用于应用层72、网络层74和链 路(或总线)层78的完整的软件。可擦除存储器部分62还可以包括 嵌入的分布式系统管理(DSM)构件76，其可以满足或遵从来自系统 管理器40的请求。DSM构件76可被配置为工作在层72、74、78中的 一个或多个。

受保护存储器部分64包含软件构件(引导块)集合，其包括用于 将软件构件安全和可靠地加载到可擦除存储器部分62的功能。在一个 实施例中，如图5所示，驻留在受保护存储器部分64上的软件构件包 括：刷新存储器加载器模块80、系统管理器代理82(其可以同系统管 理器40通信)、以及用于网络层84和链路(或总线)层88的标准构 件。受保护存储器部分64还可以包括嵌入的分布式系统管理(DSM) 构件86，其与可擦除存储器部分62中的DSM构件76相似。受保护存 储器部分64不能由用户42、诊断设备24a或系统管理器40擦除。也 不可以通过驻留在可擦除存储器部分62上的软件构件访问受保护存储 器部分64。

在目标节点30g启动时，应直接控制到驻留在受保护存储器部分 64上的软件构件，包括上文提及的刷新存储器加载器模块80。如果刷 新存储器加载器模块80未能初始化目标节点30g中的硬件，则目标节 点30g可被配置为进入低功率待机状态。在一个实施例中，刷新存储 器加载器80，在节点启动时，将确定有效软件构件是否驻留在可擦除 存储器部分62上(或者该有效软件构件是否是可用的)。这将确保可 擦除存储器部分62中的损坏的软件构件或部分软件构件不会使目标节 点30g死锁。通过检查存储在可擦除存储器部分62中的规定位置的密 钥号码，可以实现该确定操作。如果密钥号码存储在规定位置，则可 将处理器50配置为将目标节点30g的控制从执行驻留在其受保护存储 器部分64上的软件构件切换到执行驻留在其可擦除存储器部分62上 的软件构件。

然而，如果密钥号码未存储在规定位置，则刷新存储器加载器80 可以假设，可擦除存储器部分62中的软件构件不是有效的，并且发送 需要对目标节点30g重新编程的通知。可以将该通知发送到网关节点 30a，该网关节点30a随后将请求转发到驻留在诊断设备24a上的系统 管理器40。然后刷新存储器加载器80应保持处于空闲状态，以等待来 自系统管理器40的指令，从而发起可擦除存储器部分62中的软件构 件的重新编程，如下文中更加详细解释的。

因此，诊断系统可被配置为允许系统管理器40查询切换结构28 中的每个节点30a～h，以确定是否需要对节点重新编程。在一个实施 例中，系统管理器40可以通过向网关节点30a发送状态请求消息，发 起关于目标节点30g的状态对话。然后网关节点30a将状态请求消息 路由至目标节点30g。随后可以将目标节点30g配置为，通过向网关节 点30a传送状态响应消息来响应该状态请求消息，然后该网关节点30a 可以将该消息转发回到系统管理器40。取决于状态响应消息的内容， 用户42可以判定对特定的目标节点30g编程。

图6是说明了在对目标节点30g的重新编程中用户42可能采用的 步骤序列的一个实施例的消息流图。该消息流图示出了可以在用户42、 (驻留在诊断设备24a上的)系统管理器40、网关节点30a和目标节 点30g之间交换的消息。用户42可以使用系统管理器42，通过选择待 重新编程的目标节点30g的结点标识，发起重新编程操作(箭头102)。 然后用户42可以从主机文件系统中将记录文件加载到系统管理器40 中(箭头104)。

然后，驻留在诊断设备24a上的系统管理器40将发起关于目标节 点30g的下载会话。在一个实施例中，系统管理器40可以通过诊断接 口26a向网关节点30a发送发起下载会话消息(箭头106)。然后网关 节点30a将发起下载会话消息路由至目标节点30g(箭头108)。

响应于接收发起下载会话消息，包括处理器50目标节点30g可被 配置为，从执行驻留在其可擦除存储器部分62上的软件构件切换到执 行驻留在其受保护存储器部分64上的软件构件。如上文提及的，优选 的是，可擦除存储器部分62和受保护存储器部分64中的软件构件至 少包括用于网络层74、分布式系统管理(DSM)构件76和链路(或总 线)层78的标准软件构件。这将使正常的网络功能以不间断的方式继 续。然而，在目标节点30g上运行的任何应用程序将是不可用的。在 将控制从驻留在其可擦除存储器部分62上的软件构件切换到驻留在其 受保护存储器部分64上的软件构件的切换之后，目标节点30g可以向 网关节点30a发送确认下载会话消息(箭头110)，该网关节点30a随 后将该消息转发到系统管理器40(箭头112)。

在接收到来自目标节点30g的确认之后，系统管理器40将向网关 节点30a发送关于需要擦除的每个存储器块的擦除刷新命令(箭头 114)。诊断设备24a可被配置为，分析当前的软件构件并且发送一个 或多个命令，用于擦除可擦除存储器部分62中的某些或所有存储器块。 网关节点30a将擦除刷新命令路由至目标节点30g(箭头116)。在接 收到擦除刷新命令时，目标节点30g将擦除命令中的对应存储器位置。 然后目标节点30g可以向网关节点30a发送确认擦除刷新命令(箭头 118)，该网关节点30a随后将该消息转发到系统管理器40(箭头120)。

然后系统管理器40可以向网关节点30a发送新的编译软件构件集 合(箭头122)。网关节点30a将该新的编译的软件构件集合路由至目 标节点30g(箭头124)。然后目标节点30g可以向网关节点30a发送 对新的软件构件的确认(箭头126)，该网关节点30a随后将该消息转 发到系统管理器40(箭头128)。系统管理器40可以重复下载软件构 件的过程，直至目标节点30g接收到所有必需的构件。

然后系统管理器40可以向网关节点30a发送检查数据消息(箭头 130)。在一个实施例中，检查数据消息包括关于新下载软件构件的校 验和。网关节点30a将该检查数据消息路由至目标节点30g(箭头132)。 然后目标节点30g将计算关于进入其可擦除存储器部分62中的新的软 件构件集合的校验和，并且将其同自系统管理器40接收的校验和比较。 假设该校验和相匹配，则目标节点30g随后将该新的软件构件集合写 入到其可擦除存储器部分62中。然后目标节点30g可以向网关节点30a 发送确认检查数据消息(箭头134)，该网关节点30a随后将该消息转 发到系统管理器40(箭头136)。

然后系统管理器40可以向网关节点30a发送入口点消息(箭头 138)。在一个实施例中，入口点消息包括关于代码块的入口点。网关 节点30a将该入口点消息路由至目标节点30g(箭头140)。作为响应， 目标节点30a向网关节点30a发送确认入口点消息(箭头142)，该网 关节点30a随后将该消息转发到系统管理器40(箭头144)。

在接收到关于入口点消息的确认时，系统管理器40可通知用户 42下载操作成功完成，并且向用户42提供恢复或重置目标节点30g的 选项(箭头146)。用户42可能希望推迟节点的恢复，直至完成其他 节点的诊断。然而，当用户42希望恢复节点时，用户42可以向系统 管理器40选择恢复选项(箭头148)。此时，系统管理器40随后可将 恢复操作消息发送到网关节点30a(箭头150)。然后网关节点30a将 该恢复操作消息路由至目标节点30g(箭头152)。

在接收到恢复操作消息之后，包括处理器50的目标节点30g将从 执行驻留在其受保护存储器部分64上的软件构件切换到执行驻留在其 可擦除存储器部分62上的软件构件。这将允许目标节点30g上的应用 程序的正常操作再次运行。然后目标节点30g可以向网关节点30a发 送确认恢复操作消息(箭头154)，该网关节点30a随后将该消息转发 到系统管理器40(箭头156)。然后系统管理器40可以向用户42警 告自目标节点30g接收到确认(箭头158)。

描述了一种用于使用诊断接口对汽车切换结构网络中的节点重新 编程的系统和方法。使用诊断设备，以将包含软件构件的一个或多个 记录文件下载到汽车切换结构网络中的远端节点。通过网关节点，将 重新编程指令和记录文件从诊断设备和接口路由至目标切换结构节 点。在每个切换结构节点中，创建两个分立的存储器部分。一个存储 器部分是可擦除的，并且包含标准的切换结构网络软件和应用程序(代 码块)。另一存储器部分是永久的，并且包含删节的切换结构软件， 其允许节点用作独立切换装置(引导块)。该节点将从代码块切换到 引导块，同时继续用作网络中的独立切换装置。目标节点将按照指令 擦除存储器，并且随后向诊断设备发送确认。然后诊断设备向目标节 点发送一个或多个记录文件，该目标节点在验证校验和之后将数据复 制到存储器。然后目标节点从引导块切换回代码块，并且重新启动应 用程序。上文对本发明的描述仅是示例性的，并且不应限制由本申请 提请的任何专利的范围。本发明仅由所附权利要求的范围和精神限定。