汽车的电器网络系统及电器网络系统的操作方法

摘要

本发明尤其涉及具有经至少一个数据总线相互通信的控制装置的汽车的电器网络系统。为了提高已知电器网络系统的可靠性，建议额定状态存储装置，其中优选以额定状态列表的形式存储对设置在电器网络中的控制装置及在该控制装置中分别存在的数据状态的说明。查询装置经至少一个数据总线请求设置在电器网络中的控制装置，查询在相关控制装置中实际存在的数据状态，并优选存储查询结果。查询优选借助于诊断协议实现，且查询结果尤其以实际状态列表的形式被存储。比较装置比较存储在额定状态存储装置中的数据状态与查询装置确定的数据状态。措施装置在数据状态存在差异时发起至少一个措施，尤其在需要的情况下发起确述汽车安全行驶运行的措施。

说明书

技术领域

本发明涉及根据权利要求1前序部分的一种具有经由至少一个数据总线相互通信的控制装置的汽车的电器网络系统。

背景技术

在已知的汽车中，所谓的汽车定制信息(Fahrzeugauftrag)在汽车生产时被中央地存放在一控制装置中，并且作为备份被冗余地存储在另一控制装置中。汽车定制信息借助于产品描述代码(如车型代码、漆和座垫代码、以及特别/套装配备代码)和附加信息(如生产时间、工厂和维修代码)来描述汽车的配置，并且应当总是对应于汽车的当前装备状态。汽车定制信息被汽车外部的诊断、编程和编码系统尤其是在车间中使用。因此，这些信息以及描述汽车配置的所有其他信息被称为汽车的配置数据。

除了这些中央配置信息之外，特定于控制装置的信息，如硬件或硬件变体、软件、其数据、其编码的标识，制造商说明和控制装置的序列号，控制装置的订购零件号以及汽车的车架号也被存储在相应的控制装置中。因此，这些信息以及标识汽车各个控制装置的所有其他信息被称为相关控制装置的供应数据。

具有不同供应数据的不同汽车可以具有相同的配置数据。

发明内容

本发明的任务在于改善已知电器网络系统的可靠性。

这个任务通过根据本发明的电器网络系统以及根据本发明的用于操作根据本发明的电器网络系统的方法来实现。本发明的有利实施方式是各个从属权利要求的主题。

对于根据本发明的具有经由至少一个数据总线相互通信的控制装置的汽车的电器网络系统，设置额定状态存储装置。

在额定状态存储装置中存储关于设置在电器网络中的控制装置以及在这些控制装置中分别存在的数据状态的说明。这优选以额定状态列表的形式实现。

查询装置经由该至少一个数据总线向位于电器网络中的控制装置进行请求，并查询在相关控制装置中分别实际存在的数据状态。查询的结果优选被查询装置存储。查询优选借助于诊断协议进行，并且查询结果尤其以实际状态列表的形式被存储。

比较装置将存储在额定状态存储装置中的数据状态与由查询装置所确定的数据状态进行比较，并且措施装置在数据状态偏离的情况下发起至少一个措施，尤其是在需要时发起保证汽车安全运行的措施。

通过根据本发明的措施，可以可靠地确定是否进行了对电器网络系统的改变。针对其兼容和/或安全效应对这些改变进行分析，并且根据分析结果可以推导出用于避免损坏的措施。

在根据本发明的一种实施方式中，额定状态存储装置设置在具有在数据技术上外部的汽车访问(例如尤其是经由以太网或CAN的访问)的控制装置中。

在本发明的一种实施方式中，在额定状态存储装置中存储控制装置、优选是所有控制装置的配置和/或供应数据。该存储尤其是在汽车生产商的工厂中汽车生产之后或在专业车间中维修之后进行。

在本发明的一种扩展方案中，汽车定制信息属于配置数据，汽车定制信息尤其借助于产品描述代码(如车型代码、漆和座垫代码、特别/套装配备代码、生产时间以及在可能的情况下还有工厂和维修代码)来描述相关汽车的配置和当前装备状态。

在本发明的一种实施方式中，控制装置的供应数据包括其特定于控制装置的信息，如硬件或硬件变体、软件、数据，编码的标识，制造商，序列号，订购零件号和/或相关汽车的车架号。

在本发明的另一实施方式中，控制装置的配置和/或供应数据只有在授权检验之后才能被存储在额定状态存储装置中。

在本发明的一种实施方式中，控制装置的改变的配置和/或供应数据的历史被存储在额定状态存储装置中。由此例如可以有针对性地将电器网络系统退回到先前的一个软件和/或硬件状态。

在本发明的一种扩展方案中，在汽车运行期间定期地将存储在额定状态存储装置中的数据状态与由查询装置所确定的数据状态进行比较。

在本发明的一种实施方式中，涉及非电气/电子汽车装备的数据(如车顶行李架、儿童座位、滑雪板袋或杯托)也属于配置数据和/或供应数据。

在本发明的一种实施方式中，存储在额定状态存储装置中的配置和/或供应数据确定电子操作说明书的哪些相应部分被显示给驾驶员，尤其是在故障情况下。

根据本发明的用于操作这样的电器网络系统的方法的特征在于，在第一步骤中确定在电器网络中存在哪些控制装置以及哪些供应和/或配置数据被存储在各自的控制装置中。优选地，同样还确定经由至少一个数据总线中哪个数据总线能到达相应的控制装置，其中所确定的控制装置、所确定的供应和/或配置数据以及在可能的情况下对于可达到性的说明优选借助于路由信息被存储在参考列表中。

在第二步骤中，经由存在的所有数据总线对设置在电器网络中的每一个控制装置进行请求，并且查询在各自控制装置中存储的供应和/或配置数据。该查询优选通过电器网络诊断协议实现，并且查询结果以实际列表的形式被存储。

在第三步骤中检查在第一步骤中确定的控制装置中的每一个是否都可以在第二步骤中被请求，和/或在第二步骤中是否可以请求在第一步骤中未被确定的一个或多个其他控制装置，和/或在第一步骤中为相应控制装置确定的供应和/或配置数据是否对应于在第二步骤中所确定的那些供应和/或配置数据。

在第四步骤中，如果在第二步骤和在第三步骤中所确定的控制装置之间以及/或者在第二步骤和第三步骤中所确定的供应和/或配置数据之间存在偏差时，启动一个措施，尤其地在需要的情况下启动确保汽车安全行驶运行的措施。

在根据本发明的方法的一种实施方式中，在汽车制造商的工厂中制造好汽车之后或者在车间中修改汽车之后执行第一步骤，尤其是在授权检查之后执行。

在根据本发明的方法的一种实施方式中，第二、第三和第四步骤在汽车运行期间执行，尤其是在启动汽车发动机时执行或者周期性地在特定时间间隔之后执行。

在根据本发明的方法的一种扩展方案中，在第二步骤中没有应答的那些控制装置还借助于诊断协议直接被寻址。如果它们是能能请求的，则存储在相应控制装置中的供应和/或配置数据被查询。

在本发明的一种实施方式中，在第二步骤和第三步骤中所确定的控制装置之间和/或在第二步骤和第三步骤中所确定的供应和/或配置数据之间的偏差通过预定的过程控制的兼容性和/或风险检查而被分析。根据该分析，导致一个措施，如尤其是：无动作、记录到故障存储器中、记录到相关控制装置的供应和/或配置数据中、通知驾驶者、通知从属性的控制装置或功能、解除一个或多个功能、忽略一个或多个数据总线上的特定消息以及/或者阻止发动机启动。

在本发明的一个实施例中，一个或多个电器网络用户，如软件功能和/或控制装置，向中央数据存储器或额定状态存储装置调用数据以使用。

软件功能和/或控制装置对存储在额定状态存储装置中的配置数据和关系的使用的一些例子包括：

-设置在电器网络系统中的Flexray模块(优选是在电器网络的中央网关(CGW)中)借助于存储在额定状态存储装置中的拓扑信息检查ZGW上的哪些Flexray端子应当被占用以及哪些实际上被占用。未被占用的Flexray端子被切断，以便防止电气干扰。

-设置在电器网络系统中的主安全模块(MSM)(优选在ZGW中)向额定状态存储装置要求所有汽车安全相关的控制装置的列表。

-设置在电器网络系统中的诊断主机从额定状态存储装置调用所有能够活动地将其故障存储器的内容传送到中央故障存储器的控制装置的列表。

-设置在电器网络系统中的电子操作说明在汽车的机头单元(Headunit)或组合仪表中只插入对于相关汽车的具体配置数据而言确实重要的信息(不插入用于在该具体汽车中未使用的特殊装备的令人不解的使用说明)。

-设置在电器网络系统中的诊断路由功能(优选在CGW中)基于存储在额定状态存储装置中的拓扑信息构造相应的路由表。

-设置在电器网络系统中的用于汽车设置个性化(PIA)的功能(如座椅和反光镜位置、个人电台、电话号码等)基于额定状态存储装置中的相应信息制定具有包含个性化数据的那些控制装置的列表。

-设置在电器网络系统中的功能“能量控制”借助于额定状态存储装置中的相应配置数据(如尤其是相关控制装置的能量消耗以及关系“功能依赖性”和“功能等级”)切断不需要的功能/负载。

-设置在电器网络系统中的智能诊断功能借助于故障事件和存储在额定状态存储装置中的关系“功能依赖性”和“功能等级”来分析特定故障对汽车功能的可用性的影响。

在本发明的另一实施例中，一个或多个电器网络用户(如软件功能和/或控制装置)在中央数据存储器或额定状态存储装置中发生改变时被通知。

在上述电器网络用户的通知之后，它们以前面描述的方式使用存储在额定状态存储装置中的改变后的配置数据和关系。电气落用户在该实施例中不必再周期性地查询配置数据和关系以获取可能的改变，而是在数据改变时被通知并然后一次性地调配这些数据。

具体实施方式

以下将借助于实施例更详细地描述本发明。

在电器网络的中央位置处，优选是在具有(例如经由以太网或CAN的)外部的汽车入口的控制装置中，关于整个电器网络的配置和供应数据被存储，如汽车定制信息、控制装置的配置数据和关于所使用的传感器和执行器的信息。同样，在该中央位置处，识别信息(如汽车车架号、维护数据、技术数据、关于数据总线的说明、关于各个控制装置的软件和硬件使用状态的信息以及关于整个汽车的软件和硬件使用状态的综合信息)涉及各个控制装置的序列号、关于动力管理的信息(例如是发生器还是消耗器)、电消耗、关于切断等的优先顺序、关于控制装置和总线的技术可能性的信息(例如传输带宽、支持的音频/视频编解码器等)或涉及关于功能和控制装置的兼容性的信息。此外，配置和供应数据可以针对非电气/电子装备，例如车顶行李架、滑雪板袋、杯托。

根据本发明的电器网络系统通过提供汽车中的相应过程控制而使得能够管理汽车中、尤其是在控制装置上可用的功能，以便支持功能的例如动态的登陆/退出以及电器网络用户对功能的查询。

此外，优选地，不同实体(如尤其是控制装置)之间的关系(例如物理连接、功能依赖性等)被中央地存储。这些关系使得能够进一步地分析电器网络系统，例如分析电器网络拓扑或诊断路由表。

在该实施例中，所有数据可以在授权检验之后经由中央控制装置的数据技术上外部的汽车入口而被馈入和读出。

通过外部实体(如授权的汽车车间、制造商工厂、汽车内的可信赖的控制装置)传输到中央控制装置并且在行驶运行中不被改变的这个数据状态被称为额定状态。而实际状态是在汽车运行期间在任意时刻通过查询电器网络用户(如尤其是控制装置或车载系统)经由汽车总线产生的数据实况。除了控制装置的该查询、即向车载系统查询配置或供应数据(取原理：Pull-Prinzip)之外，这些本身相应的数据可以被存储在中央的配置和供应数据存储器中(推原理：Push-Prinzip)并同样也被查询。

为了能够跟踪汽车中配置和供应改变，在中央的控制装置中存储变化，使得对于每个任意时刻借助于这些历史数据状态能够重构在该时刻有效的电器网络配置。这些历史数据状态也可以被用于来例如在编程情况下将汽车回退到限定的一个过去的状态(回退恢复)。

取决于存储在中央控制装置中的配置或供应数据的电器网络用户/功能可以在数据状态改变时被通知，并且可以因此专门读取所需要的信息。

该实施例的电器网络系统具有经由中央的控制装置相互连接的不同的光学和电气的数据总线。这个中央控制装置还用作为用于服务、车间和其他通信/诊断系统的对汽车的入口。数据总线可以涉及以太网数据总线或CAN数据总线。中央控制装置不必强制性地直接连接到在汽车中使用的所有数据总线，但是以这种方式可以在总线负荷和查询持续时间方面使来自控制装置的对配置和供应数据的并行查询优化。

在该实施例中，为了确保电器网络系统的兼容性和可靠性，借助于存储在中央控制装置中的供应和配置信息确定额定状态和实际状态之间的差异。

这通过以下方法实现：

在该例子中，电器网络系统中控制装置之间的通信基于用于汽车的诊断协议而实现。但是也能想到使用另一协议，如以太网协议或CAN协议。

在该实施例中，该方法分别通过两个事件启动。在第一种情况下，外部的实体(如授权的汽车工场、制造商工厂中的实体或汽车内可信赖的控制装置)通过经由中央控制装置的数据技术上外部的汽车入口操控中央控制装置来发起该方法的执行。

在第二种情况下，该方法在汽车内部在发生特定事件时(例如在发动器启动之后或者周期性地在预定时间间隔之后)由中央控制装置启动。

在根据该实施例启动该方法之后，在中央控制装置中运行以下步骤：

生成根据额定状态可用的所有控制装置的列表(额定状态列表)，包括经由哪些数据总线能到达各控制装置的路由信息，以便在查询时间和总线负荷方面对查询进行优化。

通过在所有必需的数据总线上的广播，借助于诊断协议对电器网络用户、尤其是控制装置的供应和配置数据进行查询。

如果参考列表中的各个控制装置对该广播不应答，则通过附加地直接寻址这些控制装置，来借助于诊断协议对这些控制装置的数据进行查询。

然后，生成实际存在的所有控制装置的列表(实际状态列表)，包括来自对供应查询的应答的供应和配置信息。这个列表可以被授权的外部实体或内部功能读出。

通过比较根据额定状态和根据实际状态可用的控制装置而得到以下结果：

情形a)：相关控制装置没有应答；但是其根据额定状态存在于电器网络系统中：

相关控制装置在该情况下被视为失灵或未使用。

情形b)：相关控制装置对广播进行了应答；但是它没有在额定状态列表中出现：

相关控制装置被认为是附加地未授权装入的。

情形c)：相关控制装置进行了应答，并且其出现在额定状态列表中；但是根据实际状态列表的供应和配置数据不同于根据额定状态列表的供应和配置数据，例如不同的硬件序列号、不同的软件版本、不同的配置参数、不同的编码等。

相关控制装置被认为是未经授权更换、编程或配置的。

上述结果被记录在相关控制装置的实际状态列表中；基于具体结果，推导确保汽车即使在非兼容配置的情况下也安全地行驶运行的一个或多个合适措施。为此在中央控制装置中设置用于兼容性或风险检查的相应过程控制。可能的措施例如可以是：记录到相关控制装置的后来可以通过工场中的服务部门被读取的故障存储器中、记录到供应或配置数据中、通知驾驶员、通知从属性的控制装置/功能、清除特定的功能、忽略数据总线上的特定消息和/或阻止发动机启动。在个别情况下，适当的也可以是不发起任何措施。

在该实施例的方法中，额定状态只能由可信赖的实体(服务部门、工厂等)存储在中央控制装置中，并且被保护以防止操纵(例如通过签名、加密)。此外，适当的是，对电器网络的经授权的更改(硬件和软件更改、配置更改)被记录在额定状态中。