摘要 假冒錯是指一條消息被誤收為另一條消息，它有很大的危害性。本文討論了產生此類錯的可能原因，分析了FlexRay協議對抗假冒錯的機制，針對CAN協議提出了一種解決方案。在無需增加軟硬件的條件下，CAN協議也可以獲得良好的抗假冒錯能力，對CAN協議在安全性要求高的系統中的應用有重要的價值。
關鍵詞 假冒錯 FlexRay CAN

    在嵌入式系統里，通信是骨干部分，通信系統的錯會引起整個嵌入式系統的故障。在通信系統里，假冒錯(Masquerade fault)是指一種冒名頂替性質的故障，即發(fā)送時的一條消息被誤收為另一種格式上合法的消息。此種錯的后果顯然是不能接受的，因為接收節(jié)點會把完全無關的數據進行解讀，例如把制動踏板的位置解釋為加速踏板的位置。在這種類型的應用中，由于控制方案對信號的突變有安全設計，機器本身的慣性也有濾波的效果，而且在很短的周期內又有正確的消息送來，在大多數情況下除了造成不適感覺外，不會造成很嚴重的后果。但如果這是會影響到最終執(zhí)行的信號，那么如果在需要剎車時變?yōu)榧佑?，就會造成事故。在有些平時信號更新較慢的系統里，誤信號也可能造成新的問題。例如為了在啟動瞬間防止電池電壓跌落過大，要錯開負荷，像汽車把空調暫時關閉，若誤認為是打開信號，就會違背設計意圖，造成新的干擾源。又如行車中誤開車鎖，則會帶來新的風險。診斷系統中的誤信號也會帶來令人難以解釋的現象，浪費維修的人力物力，且損害品牌的聲譽。在安全攸關的需要冗余的系統里，這種冒名錯會使表決機制失效。因此對車用通信協議中的假冒錯進行研究有重要的意義，它是解決車用嵌入式系統可靠性的關鍵之一?，F有的主流車內通信協議是CAN，它還沒有采用足夠的措施可對抗假冒錯。新的FlexRay協議有了這方面的措施，但是否足夠還有待商榷。

1 假冒錯
    一條消息在整個發(fā)送／接收的過程中會受到干擾，從而產生數據位的改變。為了不被誤收，現有的通信協議都有一些檢錯的措施，例如在傳送的幀尾部附加校驗數據。一般來說，較多采用循環(huán)冗余校驗(CRC)方法，CRC生成多項式的長度與需要的檢錯Hamming距離以及需要處理的數據長度有關。CRC算法的Hamming距離是指碼MIDP2．O基礎上擴充實現了JSRl20、JSRl35部分功能。該平臺已經在多款MTK6225平臺手機上運行。字中無法用CRC算法檢測出的出錯位的個數。因此一個協議選用的CRC多項式反映了它要保證的Hamming距離。如果發(fā)生的位錯誤太多，CRC檢驗會產生漏判，把錯誤幀判為正常幀。例如CAN協議采用的15位CRC生成多項式在CAN的最大數據幀長度內Hamming距離為6。即CRC可檢驗幀內5位錯誤。不過CAN的CRC是在去掉填充位后計算的，由于填充位而造成Hamming距離下降是一個設計上的失誤，這在后面介紹。
    當考慮假冒錯時，要分析漏檢的情況。第一種是干擾時間很長，出錯位數太多，超出了CRC檢驗的能力；第二種是通信控制器在發(fā)幀以前數據已有變化，而變化后的數據有了合法的身份，CRC檢驗只是保證這一假冒者不被錯發(fā)。在這二種情況下，都可能產生假冒錯。在CAN中如果數據位錯誤發(fā)生在消息的ID部分就產生了假冒錯，就有可能把剎車當成加油。下面進一步討論產生假冒錯的情況。
1．1 數據傳送鏈
    從數據的產生到數據的利用的角度來看，通信不只是由一個通信控制器(cc)到另一個通信控制器的過程，它還包括由主機(host)到通信控制器的來回過程，這個過程同樣會出錯。一般的通信干擾分析大多數著眼于來自空間的幅射干擾對串行傳輸的影響，這當然是很重要的途徑，但在采取一定措施后，可以得到緩解，例如用屏蔽電纜、雙絞線、屏蔽的ECU外殼等。在汽車環(huán)境里電源的傳導干擾很大，國際標準ISO7637列出了典型的傳導干擾形式，它們的波形上升或下降沿很陡，不但在正電壓方向超出電源電壓很多倍，而且會在負電壓方向超出很多倍。電源的用)程序走飛的例子常有所聞，這說明在電源部分防范不夠的主機，完全有可能失常，包括將數據傳輸到cc的過程。所以車用控制器組件要通過抗電源傳導干擾的測試。大部分host到cc的傳送用的是并行方式，例如以字節(jié)方式把內容(ID、數據等)寫入cc的有關寄存器里。也有少數采用串行方式，例如Microchip公司的MCP2515型號CAN通信控制器，它采用SPI串行接口來傳送。即使將來大量使用32位MCU，這二種方式很可能依然會并存：帶cc的host在MCU內部用字節(jié)交換數據；分立的host與cc可以采用并行或串行方式。但是host在計算時用的最小單位是字節(jié)，即使用串口送到cc，它也要有用并行方式寫入的部分。當電源傳導干擾引起傳送失常時，這二種傳送可能出錯的位數是不同的。由于并行方式時l字節(jié)8位同時受干擾，出錯的位數就較多，其后果看來就像突發(fā)錯(burst error)。串行時可能先錯一位，但如果干擾的持續(xù)時間長，就可能形成多位錯，其后果也是突發(fā)錯。當然，一般host并行讀寫的過程較快，同樣的干擾持續(xù)時間內可能有多次寫入，出錯就較多。
    對于空間干擾，例如電磁場或重粒子流干擾，對傳送出錯的影響與上述分析不同，需要進一步研究，但后果是一樣的。
1．2 出錯位數
    既然大部分host到cc的傳送總經過并行方式，那么非常短時的干擾有可能引起的錯就是1個字節(jié)的錯。并行傳送時由于各位線路電路結構的同一性，同一極性信號的出錯可能性相同，不同極性信號則不太可能同時翻轉，所以傳送內容的不同會影響出錯位數。此時最壞的情形就是8位全為1或全為O，同時發(fā)生翻轉。Host寫一條消息一般不止寫1字節(jié)到cc。由此看來，對抗假冒錯的CRC Hamming距離最好為9。當然，即使能保證8位錯能檢出，由于要保護的數據不止1字節(jié)，這種對抗假冒錯的CRC只是消除了一次干擾。從實際數據來看全O或全1的數據只占極少數，所以較小的Hamming距離仍有較大的攔截錯誤的概率。[!--empirenews.page--]

2 FlexRay對抗假冒錯的措施
    FlexRay是新興的車用通信協議，它是因CAN協議在帶寬和可靠性不足的情況下發(fā)展起來的，主要滿足汽車線控技術(x—by—wire)的要求。在線控系統中，不再有機械或液壓的后備，所有的操作都由電信號通過總線傳送來實現，因此對通信的可靠性要求更高。為了對抗假冒錯，和過去的技術相比，FlexRay協議添加了幀頭的CRC檢驗。
    FlexRay的幀頭部段由5位的先導、11位的幀ID、7位的數據長度、11位的頭部CRC校驗和以及6位的時鐘周期計數構成。如果校驗未通過，幀就判作出錯而不予接收。5位的先導是保留位、數據區(qū)前導標志位、空幀標志位、同步幀標志位、啟動幀標志位。頭部CRC校驗覆蓋的范圍僅包括同步幀標志位、啟動幀標志位、幀ID和數據長度。在FlexRay發(fā)送節(jié)點中頭部CRC校驗和是離線計算好并在組態(tài)時提供給cc的，接收節(jié)點的cc則根據收到的在覆蓋域的以及CRC校驗和的比特流計算CRC校驗和。頭部CRC校驗的生成多項式為：

   
    其計算初值為0x01A。該頭部CRC校驗保證覆蓋的20位內Hamming距離為6。由于接收節(jié)點的cc是根據收到的在覆蓋域的以及CRC校驗和的比特流計算CRC校驗和，如果出錯的位數較多，有可能減少此項檢驗的有效性，在FlexRay波特率較高的情況下，出錯位數多是可能的。這里被保護的數據內容是：同步幀標志表明本幀是否是用于時鐘同步；啟動幀標志表明本幀是否是啟動時用的；幀ID在靜態(tài)段時是時間片(slot)的編號，在動態(tài)段內為優(yōu)先級編號，在網絡的同一簇內每一個幀有1個ID；數據長度在組態(tài)時也是確定了的。因此在組態(tài)時可以離線算好CRC校驗和。如果在應用時這些內容不管何種原因發(fā)生了破壞，接收者就可以發(fā)現。
    FlexRay在發(fā)送時間片的實際使用權上還加以控制，即有與節(jié)點cc相配的總線監(jiān)守(bus guardian)，用以對抗Babbling Idiot錯?？偩€監(jiān)守在調度規(guī)定的時刻開啟發(fā)送通道，允許cc發(fā)送，否則cc是送不出去的。消息以廣播方式送到各節(jié)點，若接收也以時間片確定的話，假冒是很難的，除非總線監(jiān)守與該節(jié)點的cc都出了錯。但是FlexRay的總線監(jiān)守并不保護發(fā)生在動態(tài)段的不準時發(fā)送，如果因為干擾，在周期內某節(jié)點cc的時間片指針vSlotCounter出了錯，就有不準時的消息傳送；若同時傳送的ID也錯，假冒錯就會發(fā)生，vSlotCounter要等到新的時鐘同步消息時再復位為1。
    FlexRay對數據區(qū)前導標志和空幀標志未作頭部CRC校驗的覆蓋，這可能引起問題。數據區(qū)前導標志用于標明數據區(qū)開始部分是否包含有消息ID(在動態(tài)段發(fā)送的幀)或者網絡管理向量(在靜態(tài)段發(fā)送的幀)?？諑瑯酥居糜跇嗣鲾祿^(qū)的數據是否可按原來的規(guī)定使用或者是空幀。網絡管理向量是一個選項，作為應用的數據由host寫入，為高一層的協議提供服務，目前還未有規(guī)定。顯然這二位如果出錯，頭部CRC校驗可以通過，但數據區(qū)的解釋都會完全不同，其性質就是一種假冒錯。雖然幀的發(fā)送節(jié)點未變，但是卻是一個假幀代替了原來的幀。發(fā)生在這二位的錯如果在節(jié)點發(fā)送幀以前就已有，那么幀尾部的CRC校驗將不能檢測出錯。如上一節(jié)所分析，這種情況是有可能存在的。如果是在發(fā)送過程中產生的，那么幀尾部的CRC校驗將有可能檢測出錯。
    FlexRay幀尾部的CRC校驗和為24位，它由發(fā)送節(jié)點的cc生成，覆蓋由頭部保留位到數據區(qū)的最后一位，FlexRay的2個信道采用不同的CRC計算初值。覆蓋區(qū)長度在2 048位時Hamming距離為6，覆蓋區(qū)長度為4 094位時Hamming距離為4。在汽車環(huán)境里，與CAN相比這一Hamming距離似不夠。因為它們都要面對同樣的機械設備，即同樣的干擾。如圖l所示，ISO7637中的試驗脈沖1，對電源為12 V的系統，Us為一75～一100 V，tr為1μs，假定硬件無法在此時間內將它衰減到足夠小，那么FlexRay將有10位受影響；td為2 ms，硬件應能克服電源的跌落。與此對比，CAN僅1位受影響。又如圖2所示，試驗脈沖3a，Us為一112～一150 V，tr為(5±1．5)ns，td為O．1μs，td允差的上下限為(+O．1，0)，t1為100μs，t4為10 ms。對這種高頻干擾，驅動器會有收發(fā)錯，CAN的比特采樣間隔為1μs，采到O．1μs錯誤的概率小，而FlexRay的位間隔為0．1μs，采到O．1μs錯誤的概率就大。由此看來，在帶寬增加時，出錯的概率增加多倍，而報錯的能力并未增加多倍。為了成功應用，必須對硬件的抗干擾能力做大的提高。

[!--empirenews.page--]

3 CAN對抗假冒錯的措施
    CAN協議的CRC檢驗是在加入與去掉填充位后進行的，因此其報錯能力受填充位的影響很大，要靠CRC來對抗發(fā)生在傳送中誤碼形成的假冒錯是不夠的。因為傳送中的比特錯在接收節(jié)點可能引起后面比特流的錯誤解釋，從而把填充位誤作數據而未剔除，或將數據位解讀為填充位誤剔除，如圖3所示。此時原來發(fā)送的比特流會向前或向后錯一位，從而形成大量的誤碼(最壞的情況下，錯位之后對CRC而言均為誤碼)，很容易超出CRC的有效檢錯范圍，造成CRC的漏檢(將錯幀誤判為有效幀)，由于填充過程的影響，單個比特錯的后果被放大了。所幸的是CAN還有其他的判錯手段，例如格式錯，那些漏過CRC校驗的幀還可能被攔下。通過仿真，由CRC與各種判錯手段綜合的結果其漏判率還是比較小的，約為O．1×10-6，但是，并不是CAN協議所聲稱的可以攔截5個以下的單個比特錯(HD=6)。

    CAN協議的2．0B版采用32位的仲裁區(qū)，它可以自動區(qū)分采用11位ID的消息(標準格式)或29位ID的消息(擴展格式)。如果在cc發(fā)送之前或發(fā)送中ID及另三位內容有變化，就有假冒發(fā)生的可能性。
    CAN總線可以用ID的重新分配實現對假冒錯的預防，這種重新分配的可能性在于29位的ID空間非常大，即使用去一部分對抗假冒錯，剩余的部分依然足夠消息的分配。對29位ID中取一部分作數字簽名，這個數字簽名為離線時用CRC生成的校驗和。因此，仲裁域內發(fā)生等于該CRC生成多項式的Hamming距離個比特同時錯才會有一個假冒錯。小于Hamming距離的比特錯將是無效ID，該消息將被接收節(jié)點的過濾器濾掉，從而使假冒錯無法產生影響。雖然在這里并沒有進行接收ID的校驗計算，因ID分配已經考慮了有效ID之間的距離，所以固定的接收濾波器足以防止假冒錯。這樣，無需增加軟硬件的開銷，CAN便可以實現與FlexRay同樣的抗假冒錯功能。數字簽名的生成方法，可以在現有的資料中選用，或者重新設計。例如參考文獻，若取16階的生成多項式，29位ID中去掉16位作數字簽名后還剩13位，應能滿足應用之需，須知FlexRay僅定義了ll位的ID。也可以取更短的數字簽名，例如和FlexRay相同的11位CRC生成多項式(它的CRC校驗覆蓋區(qū)為31位，Hamming距離為6)，以留出更多的可用消息種類。重新設計時可以參考BCH碼的設計方法設計生成多項式，以保證所需的Hamming距離。選用16階的CRC生成多項式時，它可以保證15位頭部Hamming距離為8，在仲裁域ID的前13位內因CAN填充規(guī)則造成1位錯被放大為多位錯的情況，被檢出的概率就增大。該多項式為：

    
    選用16位CRC校驗和時留給消息種類的大小為213=8 192種。采用上述方案，CAN在對抗假冒錯上要比FlexRay的方法簡單。
    CAN仲裁域里的SRR、IDE和RTR位的誤碼可能引起通信控制器對輸入比特流的解釋變化，但是可以采取措施防止假冒錯。首先，如果仲裁域第12位、13位發(fā)生誤碼，就有可能在CAN2．0B的標準格式和擴展格式間產生轉換(如擴展格式誤為標準格式)，那么節(jié)點對此時發(fā)生的假冒未加保護，因此應避免在系統里使用標準格式。標準格式誤為擴展格式的情況，因幀長等被解釋為ID，被濾波器及CAN的其他檢錯措施攔下的可能性增大。其次，在RTR位的誤碼將數據幀誤為遠程幀時接收節(jié)點收不到數據，屬于故障一靜默(fault—silent)，是一般容錯理論所要求的，遠程幀請求誤為數據幀時，有可能引起不良后果，這是另一個問題，但同時存在的假冒錯將由濾波器攔截住。
    添加ID的數字簽名并不改變原來的消息的優(yōu)先級分配，因為優(yōu)先級只在ID的前面部分確定好了。因此，采用不同數字簽名的消息可以在同一系統里應用，只要收發(fā)節(jié)點的約定一致即可。但是，隨便混用會使ID之間的距離變小。所以對一個高層協議，為了保證抗假冒錯的能力不變，應該采用統一的CRC生成多項式。從OEM廠的總體利益看，開放其協議的數字簽名方式較為有利。

4 小 結
    假冒錯在應用中是不能接受的，與一般數據錯造成消息數據量上的變化不同，它可能造成消息質的變化。本文從信息傳遞的整個流程出發(fā)，討論受干擾時的比特出錯量，從而作為分析抗假冒錯措施的依據。作為新一代的車用通信協議FlexRay，其頭部CRC校驗的覆蓋面似嫌不足，由于帶寬的增加誤碼率可能增大；尾部CRC檢驗也可能不夠，從而仍有漏過假冒錯的可能。本文討論的CAN的抗假冒錯方案實現比較簡單，可以提升CAN的可靠度。需要指出，CAN的抗假冒錯方案是基于出錯時被丟棄的原理，它并不報錯，發(fā)送節(jié)點無法知道已發(fā)送了錯幀，從而進行重發(fā)。所以對那些重要的消息，在應用上仍要設置其他的保障措施。例如，預定時限到而未收到數據則通知應用層，或請求發(fā)送。由于CAN填充位規(guī)則對CRC的干擾，使CRC攔截誤碼的能力下降，這是不理想的地方。雖然由CAN各種檢錯機制造成的漏檢很小，但對一些重要的消息還應添加額外的校驗。CAN的消息數據比較短，一般只有一二字節(jié)。添加1個8位的CRC校驗是一種可行的方法，在ECU增加的軟件開銷不會太大，但可進一步提高CAN的可信度。
    對于較小的或專用的系統，也可以用本文的方案把固定的事件信號加數字簽名一起傳送，以提高通信的可靠性。例如開關信號分別用2個ID來表示1或O，傳送時還有數據1或O，這樣用多重檢錯方法來防止CAN的CRC檢驗的軟肋。