摘要：随着整车智能化及集成化程度的提高，汽车总线可能出现瞬时崩溃的情况，随即会自动恢复，此时出现少数模块暂时掉线并弹出警示标识，整车功能可正常使用。通过对实车进行问题复现，并用Vehicle SPY3录取分析总线数据，发现总线所有模块几乎都掉线20ms，通过对外接设备进行相应的插接操作，出现总线瞬时崩溃的现象。总线瞬时崩溃的情况在有外接设备时偶发出现，但是在不外接设备后就不再出现，故锁定根本原因为插拔外接设备时导致总线短路而造成瞬时崩溃。为了保证车辆功能安全，文章也分析了总线瞬时崩溃对车辆功能的影响，并深入评估车辆功能的恢复和正常使用的情况。

汽车总线的稳定性在汽车功能稳定性中至关重要。随着整车智能化及集成化程度的提高，总线数据也日趋复杂，当大量的数据出现问题或者丢失时，汽车总线可能出现崩溃的情况。如果汽车出现总线长时间掉线问题，一般会造成汽车部分功能故障。汽车通常会出现瞬时掉线，持续时间为20~200ms之间，当出现这种情况的掉线时，可能会导致部分车辆模块瞬间功能异常并弹出警示，但实际功能却不受影响。基于以上问题，文章通过汽车总线仿真测试软件（VehicleSpy3）录取并分析实车总线数据，确定总线瞬时崩溃的原因，同时分析总线瞬时崩溃对车辆功能的影响，并深入评估车辆功能的恢复和正常使用的情况。

1 汽车总线瞬时崩溃问题分析

项目进行期间出现了“仪表盘弹出请检修制动牵引力”问题，随即进行问题分析，到实车阶段发现仪表盘一直显示该问题，但是汽车制动牵引力可正常使用，汽车无其他故障。

故录取总线数据后，对总线数据进行相应的分析，发现总线上许多模块都出现了短暂的掉线，并且掉线状态持续的时间很短，约为20ms左右，如图1红框中所示。

1.1 CAN总线的故障原因分析

CAN总线是一种现场总线，连接在CAN总线上的控制单元通常是通过2根数据导线彼此相连。2根导线是双导线并互相缠绕，称为CAN-H和CAN-L，双绞线对称信号，抗干扰能力强，适用于环境比较恶劣的条件。

分析数据后发现，总线上的数据出现在20ms内丢失1~2帧数据的情况。模块集体丢帧这类问题大概率的原因是物理连接问题引起，特别是有外接线束或者设备的情况下，如果存在接触不良、短接、虚接、短地等情况都有可能出现。

其中仪表盘弹窗提示“请检修牵引力”，逻辑如下：电子刹车控制模块是安全件，对于信号改变的识别比较敏锐，只要监控到总线掉线，即多条相关信号不在线，如Ax/Ay（传感器X/Y轴加速度）等，就会禁用掉TCS（牵引力制动系统）/ESC（电子车身稳定性控制系统），此时电子刹车控制模块只请求了毫秒级的故障提示，继而会在仪表盘显示请维修牵引力。

CAN总线的故障共分为3类：

1）电源故障。由于电源系统电压低，引起控制器无法正常工作。

2）节点故障。通过数据总线实现的控制单元网络的节点为网络的各个电控单元，可能存在电控单元本身有故障。

3）链路故障。可能由于车机震动、系统未正确加装等原因导致总线的物理层出现故障，即传输系统的链路不通畅，无法正常通讯。链路故障又分为以下3种，如表1所示。

该问题发生原因可能是CAN线断路导致的，但是该问题现象只保持了20ms左右，随即恢复正常，如果是线路断路导致，问题现象应该一直存在，故可排除是由于CAN线断路导致的。

当电阻缺失时，负载会减小，导致线路电流加大，线路会一直处于总线保护中，问题现象也会一直存在，故可以排除由于电阻缺失导致CAN线路故障。

问题发生的原因还可能是CAN线短路导致，为了查明是否由于CAN线短路导致该问题的发生，需要对问题现象进行复现，以下为3种复现的工况及手法。

工况一：正常状态下，启动汽车，通过对整车启动过程进行复现，查看仪表盘是否弹出警示；

工况二：怀疑外接设备导致，故插拔数据录取工具进行复现；

工况三：尝试短接高速CAN线的CAN-H和CAN-L。

1.2 问题复现分析

分别在上述工况下对问题现象进行复现，通过复现，确认问题发生的根本原因。

1.2.1 工况一描述

不做任何相关的其他触发操作，只是正常启动汽车后，观察仪表盘是否弹出请检修制动牵引力的警示，并观察是否有其他现象。

1.2.2 工况二描述

由于插拔外接设备时问题现象会偶然复现，故分析认为在插拔外接设备时，在某种特定工况下会导致总线掉线。因此仪表盘弹出请检修制动牵引力问题的提示很可能是由于外接设备导致，外接设备及连接方式，如图2所示。

针对该情况，分析插拔外接设备，以确定导致问题现象发生时，外接设备的状态。通过复现对比，仪表盘弹窗出现“请检修牵引力”的提示，从而复现出问题发生时的状况。

首先数据录取设备接口与汽车延长端口相连接，复现的状态为外接设备拔出的过程较慢，端口的针脚之间容易出现误接触，从而容易产生问题现象。

1.2.3 工况三描述

尝试短接高速CAN线的CAN-H和CAN-L，分别对应引脚中的6/14脚，如图3所示。在短接过程中，需要保证只是短暂的短接，避免由于时间过长影响车辆状况。短接的方式为：先用金属丝的一端连在引脚6上，然后用金属丝的另一端去触碰引脚14，再瞬间拿开，从而实现短暂短接的工况。

在短接过程中，我们尽量保证短暂接触后立即断开，之后从数据中看到，当短接时间为25ms左右时，仪表盘弹出“请检修制动牵引力”的提示，与问题出现时的现象一致。

1.3 复现结果

你针对以上3种复现工况，为了避免不同车辆因素的干扰，只使用一台试验车进行3种工况的复现操作。通过对上述3种工况进行相应的复现，并统计复现的次数及频率，经过一段时间得到结果，如表2所示。

从复现结果可以看出，在正常启动汽车时，复现的概率为0，表示在该复现工况下，问题现象不会出现，可以排除车辆总线自身会掉线的可能性。

当插拔外接设备进行复现时，发现问题现象可以复现，但是频次较低，发生该现象的可能性是在插拔外接设备时，不一定会出现问题现象，而在插接过程中，2个接口之间处于某种接插状态时，才会导致问题现象的发生。通过多次分析及试验，发现在2个接口缓慢拔出的过程中，某些针脚处于连接状态，而某些针脚处于断开状态，在这种针脚连接状态下，可能会出现问题现象的发生。

在短接的CAN-H和CAN-L时，发现复现频次很高，短接的方式如复现工况中描述，基本只要进行短时间的短接，就会造成问题现象的出现。

通过对以上的复现工况及复现结果进行分析，由于短接高速CAN线时，都会出现问题现象，而在插拔外接设备的过程中，会出现由于针脚误触而导致问题现象发生，而问题发生时实际车辆只连接外接设备，而没有自己短接的可能性存在，所以基本锁定总线掉线的原因是由于插拔外接设备时，总线偶然出现短接20ms左右造成的。

来源：智能汽车电子与软件

码上报名

AutoSec 2022 第六届中国汽车网络安全周暨汽车数据安全展火热报名中

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车？

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架，我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级（OTA）技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术，为汽车行业提供最优质的学习交流服务，并依托强大的产业及专家资源，致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动，拥有数十个智能汽车创新技术的精品专题社群，覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家，已经服务上万名智能汽车行业上下游产业链从业者。专属社群有：信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等，现专题社群仍然开放，入满即止。

扫描二维码添加微信，根据提示，可以进入有意向的专题交流群，享受最新资讯及与业内专家互动机会。

谈思实验室，为汽车科技赋能，推动产业创新发展！