【摘 要】汽车总线技术随着汽车行业技术现代化升级也进一步深入汽车设计研究领域，在控制器之间通信交互的应用中更普遍广泛。网络拓扑结构作为总线网络设计最重要的一环，如何合理地将配置的各控制器连接起来实现较高的通信性能，并且尽可能防止网络故障导致的信息流传递故障，这是工程设计人员必须考虑的方面。文章基于电气系统架构及总线拓扑设计原则提出一种提高信息传输安全性的冗余的拓扑设计，对现有应用的设计做出优化方案。

【关键词】汽车总线；拓扑结构设计；安全性设计

中图分类号：U463.6 文献标识码：A 文章编号：1003-8639（ 2024 ）10-0055-03

Security Design Based on Automotive Bus

LI Xiaolin，ZHOU Min，LI Linze，MENG Xin，XIE Jihong

（SAIC GM Wuling Automobile Co.，Ltd.，Liuzhou 545007，China）

【Abstract】Automotive bus technology with the automotive industry technology modernisation and upgrading also further penetrate into the field of automotive design and research，in the application of communication and interaction between controllers is more common and widespread. Network topology as the most important part of the bus network design，how to reasonably connect the configuration of the various controllers to achieve high communication performance，and as far as possible to prevent network failure caused by the information flow transmission failure，which is necessary for engineering designers to consider. This paper proposes a redundant topology design to improve the safety of information transmission based on the electrical system architecture and bus topology design principles，and makes an optimisation plan for the design of existing applications.

【Key words】automotive bus；topology structure design；security design

作者简介

李晓琳（1997—），女，助理工程师，从事新能源汽车三电系统、底盘功能架构及网络设计工作。

近年来，汽车行业的电子技术更进一步地向现代化升级，电动化、智能化、网联化、共享化的发展方向已成为未来汽车的发展趋势。面对日益复杂的电气结构，传统总线单一的点对点通信方式已不足以支撑整车通信的需要，因此各种类型的多网段新型设计方案涌现。然而各控制器通过总线连接成的通信网络系统若存在某些故障时，会导致网络上的一或多个控制器无法工作和通信，引发功能失效。因此，本文基于总线网络拓扑结构现状分析来优化拓扑设计方案，解决上述问题。

1 汽车总线网络拓扑结构现状分析

1.1 常见的总线网络拓扑结构

总线网络通信系统中将各控制器ECU连接起来的方式和形式称为总线网络拓扑结构，是以电子电气系统中各ECU之间的通信关系为基准设计的[1]。在CAN通信技术广泛应用于汽车结构中后，已极少存在依靠单个ECU实现整个功能的情况，每个ECU都需要从其他ECU中接收某些信息，从而各个ECU通过网络通信关系被连接在一起成为一张通信网，并且是以相互之间的信息传递搭建功能逻辑关系，使得整车智能化在一定程度上得以实现。根据总线网络拓扑设计原则，需要考虑网络负载率、网段节点数量、传输效率等方面的设计，选择合理结构是非常必要的，对降低整车线束长度及成本、增加通信网络可靠性、提高通信性能有重要的作用。目前常见的网络拓扑有以下几种，如图1所示。

1.2 现状分析

环形结构上的控制器是以串行的方式连接在总线上，结构相对较为简单，可连接上百个节点进行通信，但存在的明显缺陷是数据都必须经由中间的控制器进行转发，如总线上存在一个节点故障就会使得整个网络进入瘫痪状态。尽管研发人员用各种方法优化，如使用其他多重环路来规避此种缺陷，但又会出现整个网络结构复杂程度高、测试难度大、设计实现代价较高的短板[2]。

总线形结构上，每个控制器并行接在总线上进行通信，沿着总线任何一个控制器发出的信号都可以被传输给总线上的其他任何一个控制器接收。这种连接形式的好处是：如果总线上的某一个控制器因为自身故障或损坏不会影响到其他控制器的信息传输，从某种程度上可以避免因一个控制器失效导致网络通信瘫痪的情况发生。

星形结构则存在一个最中心的控制器，连接在总线上的任意2个节点信息流传输都必须要经过中心节点传递，一旦中心节点可靠性不强，出现故障则整个网络通信系统全都会受到影响，因此对中心节点的可靠性要求也会相应提高。同时此种结构中心节点与其余各个节点连接的线束较长，增加了整车的成本[3]。

综上所述，一个较为理想的网络拓扑设计方案应具备网络可靠性高、网络复杂程度适宜、通信效率高、连接线束较短、网段节点数量适中等特点。因此，市面上常见多数采用总线形结构的方案以及相关的混合形网络结构。

2 CAN网络拓扑的安全性设计

2.1 研究意义

当前汽车行业内的纯电动汽车的通信方式依旧是以CAN网络为主流，尤其是三电相关的动力和底盘相关的功能控制，控制器之间的信息交流也是通过CAN总线交换。若总线上的控制器或线束链路出现异常，将会导致车辆的功能直接失效，严重时甚至会直接导致车辆瘫痪无法启动或行驶。而在所有常见的CAN网络故障中，偶发的CAN网络故障则是最危险且最难以排查解决的问题。因此，研发人员聚焦于优化CAN网络拓扑结构的方法，降低CAN网络故障出现的几率和故障出现时对车上乘员的安全风险。目前大多数整车厂提出的方案总结为以下两种。

1）零件内部存在2个CAN收发器并设计2套区分主次但功能一致的CAN通信程序，线束对应零件主次CAN收发器建立2套CAN线。

2）车辆重点控制器设计一个功能一致的备用控制器。车辆正常时，备用控制器只接收信号不发送信号。控制器故障时，备用控制器开始介入整车通信，发送和接收信号，替代故障的控制器。

本文基于上述的第2种方案提出一种纯电动汽车的车-云一体化网络的冗余结构，解决CAN网络异常时功能失效的问题，同步达成降低CAN网络故障几率的效果。

2.2 车-云一体化网络冗余结构

本方案基于总线形的网络拓扑结构提出新的冗余方法，即采用域控制器的架构思想，冗余域控制器设计，同时应用云端的远程控制功能，在应对车辆CAN网络突发异常时安全处理，结构示意如图2所示。移动通信模块通过CAN网络连接中央域控制器和执行器，中央域控制器通过CAN网络连接执行器，同时通过以太网连接区域控制器，区域控制器通过CAN网络连接区域内的执行器，从而实现中央域控制器对执行器控制的冗余设计，防止单一控制线路的故障导致车辆功能的瘫痪。云端控制器实时监控通信流程，一旦发现某一段信息流出现故障则介入控制，是为了增加冗余，防止通信异常中断。

安装在车上的移动通信模块是为了与云端通信，实现车辆数据收集及车辆远程控制目的，通过移动通信模块采集车辆的实时信息并传输到云端，云端中存在中央域控制器中的基础算法，并以此形成一个虚拟控制器且能够与车端的中央域控制器连接生成控制指令。云端控制器实时监控通信流程，若出现中央域控制器交互转发命令的信息流故障，则云端控制器介入车辆控制，完成中央域控制器的控制指令；若信息流恢复传输流转，则云端控制器退出车辆控制，指令传输控制权交回中央域控制器。云端模拟控制器在车辆发生故障时采集获取补充信息，包括车辆的实时位置信息、车辆操作过程信息、车辆故障识别信息、历史维修记录、雷达监测信息、故障前的操作指令信息以及故障时的实时车速指标。云端主动介入控制时，若云端能够替代受影响控制器完成车辆行驶，则云端与中央域控制器根据云端辅助驾驶原则驱动车辆；若云端不能够替代受影响控制器完成车辆行驶，则云端强行介入车辆控制命令并对中央域控制器的干扰指令进行封锁。基于现在5G通信的通信速度与未来更加强大的通信能力，云端介入控制车辆完全能够实现。但由于云端通信存在延时，所以云端虚拟控制器只能作为最后的控制手段控制车辆。

中央域控制器获取、下发、转发不同区域控制器之间的交互信息进行流转控制，交互转发命令通过CAN和以太网混合网络结构实现，中央域控制器通过CAN网络控制执行器，同时通过以太网对区域控制器下达控制指令，区域控制器再通过CAN网络对执行器进行控制。中央域控制器集成所有区域控制器的基本功能算法及网关功能。在区域控制器正常时，中央域控制器只作为网关使用，转发不同域控制器之间的交互信息。当某个或多个区域控制器故障时，由中央域控制器介入数据的分析计算并控制车辆。由于中央域控制器存在基础的区域控制器的算法，所以车辆依旧可以进行基础的功能实现。区域控制器将中央域控制器的命令下发到各个执行器执行对应的指令信息，同时将需要与其他执行器交互的信息传至区域控制器中，由中央域控制器进行交互转发命令实现这一过程。执行器为车辆的信息采Fwaml3VOr5Wd+qUcQAZytQ==集及功能执行模块，只具备简单的分析能力。云端控制器的算法实时监控这一信息流传输过程是否存在故障，一旦出现，则介入到车辆控制命令中。上述冗余网络结构控制流转方法流程如图3所示。

2.3 冗余结构的优势

基于上文描述的控制方法，表1为图2冗余设计的网络架构在模拟各时间T内发生网络故障的概率试验时，传统无冗余的总线形结构的方法与本文描述的冗余设计在CAN节点为10个的故障发生情况。

可以看出，通过本文所述的冗余设计，使故障的发生率明显低于传统CAN网络的设计，且能够保证信息的稳定性，用于车辆驾驶时能够极大地提高车辆CAN网络的稳定性及车辆使用的安全性。表2为模拟车辆故障发生时的实际情况以及车辆状态。

故障1为动力底盘的控制线路发生故障，在发生故障时，传统的CAN网络无法传递控制指令，导致抛锚，而本方法通过云端的辅助控制能够完成驾驶任务。故障2为制动控制线路故障，本方法仍然通过云端辅助完成驾驶。故障3是控制总线路发生故障，云端介入控制，但由于云端信息的短暂延迟仅仅造成车辆擦伤。故障4是控制总线路发生故障，云端介入控制，由于车辆故障严重，强制执行靠边停车，而传统方法的CAN网络无法弥补故障，发生车辆毁损。

由此可验证，本文所述CAN网络拓扑的冗余设计可有效降低因CAN网络故障率导致的车辆重要功能失效而影响车上乘员生命安全的风险概率，降低CAN网络通信系统瘫痪几率，有效提高了网络通信性能及可靠性。

3 结论

总线网络拓扑结构之于整车的意义相当于规划对于城市建设的重要性，决定着汽车网络通信系统的设计品质，合理的布局设计以及识别风险、降低风险对于整车而言，可以实现更高的驾驶安全性及电气性能、更可靠的整车性能。因此，对于CAN网络设计工程师而言，从系统层级的思维出发，多方面、多角度地布局考虑设计方案是十分必要的。

参考文献：

[1] 曲凤丽. 汽车网络研究及CAN总线网络拓扑的优化[D].杭州：浙江大学，2008.

[2] 王玮，初洪超. 汽车CAN总线拓扑结构设计[J]. 汽车实用技术，2016（5）：127-129.

[3] 涂金林. 电动汽车CAN网络系统的设计与实现[D]. 成都：电子科技大学，2016.

（编辑 杨凯麟）