基于MCU与RCU校验的动力系统防盗控制系统及方法与流程

基于mcu与rcu校验的动力系统防盗控制系统及方法
技术领域
1.本发明涉及汽车防盗技术领域，具体是指一种基于mcu与rcu校验的动力系统防盗控制系统及方法。


背景技术：

2.过去的汽车一般都是只要打着火就可以将汽车开走，这对于汽车的防盗可以说毫无用处，因为不论何人，只要将点火机关卸下，将两根点火的导线连在一起，就可以顺利将汽车启动。但是随着时代的发展以及偷盗车辆事件的增多，汽车锁也运用了电子技术，将电子技术运用到了汽车防盗系统中。
3.一般汽车发动机的防盗系统有两个结构划分不同的部分，一个是控制部分，一个是执行部分，控制部分就是信息输入识别的部分，首先信息会输入到防盗系统并存储信息中去，然后汽车编码驱动后才能正常打火，编码和鉴别是关系到汽车能否正常启动的核心，经历了编码和鉴别后，才进入执行阶段，汽车防盗电子锁的编码运用的是二进制和十进制，负责鉴别编码的部分会对存储和编码的密码进行校对，只有编码和存储部分的密码全部正确后，才能正常驱动。执行依靠的是继电器的工作，继电器控制汽车点火的线路。
4.当前市面上常见的汽车防盗锁有很多种，比如按键式电子锁、触摸式电子锁等，目前运用最多的是电子钥匙。
5.轿车上多采用的是电子钥匙式电子锁系统，整个电子钥匙由密码发射、读取线路、防盗系统以及指示灯组成，最核心的部分也就是电子钥匙的防盗系统(英文简称ecu)，它是整个防盗系统至关重要的部分。电子钥匙里电子密码发射器，数据发射时，将直接联系到车上的电控单元；读取线路是钥匙里面的线路圈，负责传递编码的数字信号，也就是编码正确与否的判断工作。当用电子钥匙开启车门锁孔时，钥匙中的发射器就会发送密码，读取线路就会与车内的电控单元双向传取信号，ecu进行鉴别和运算，只有编码发射器与ecu双向认证成功后，汽车发动机才能顺利打火。


技术实现要素：

6.本发明为了解决上述的各种问题，提供了一种基于mcu与rcu校验的动力系统防盗控制系统及方法的实现，该方法能对线控底盘车的动力系统即mcu和rcu进行防盗验证，从而实现特种线控底盘的动力系统防盗。
7.为解决上述技术问题，本发明提供的技术方案为：一种基于mcu与rcu校验的动力系统防盗控制系统及方法，其核心主要由mcu与rcu通过种子/应答校验完成，在验证发起条件满足的情况下，mcu向rcu发起一组验证随机数，rcu根据验证随机数与自身存储的sk(secret key密钥)，通过xtea算法计算一组应答数，发送给mcu；同时，mcu也将通过此随机数与自身存储的sk通过xtea算法求得一组应答数，并将自身求得的应答数与rcu发来的应答数进行比较。
8.进一步，如果验证成功，mcu将发送验证授权使能信号(stat_mcureleased＝2)给
vcu，vcu将该信号转发给rcu；
9.进一步，如果验证正在进行中，mcu不允许扭矩输出，同时将发送验证授权结果未定义状态(stat_mcureleased＝0)给vcu；
10.进一步，如果验证失败，将导致mcu进入锁定状态，mcu不允许扭矩输出，同时将发送验证授权结果锁定状态(stat_mcureleased＝1)给vcu。
11.进一步，在mcu锁定状态(stat_mcureleased＝1)下，vcu还应通过rcu发来的启动请求(ssbstart)判断是否应发起重验证请求给mcu。
12.更进一步，上述验证过程应通过主/从通讯模式进行，其中mcu应作为通讯主节点，rcu应作为通讯从节点，且vcu与bcm起到mcu与rcu间通信网关的作用，即vcu作为mcu与bcm间的网关，负责ev can与chassis can间的验证信息交互；bcm作为vcu与rcu间的网关，负责chassis can与body can间的验证信息交互。
13.更进一步，当满足以下两种条件时则mcu应发起验证请求，条件1：车辆由off或acc状态进入ign/crank状态，mcu检测到vcu_mode跳变入0x02行车模式且未进行过认证(stat_mcureleased＝0)；条件2：车辆已经处于ign/crank状态，mcu检测到vcu_mode为0x02行车模式且mcu将电机锁定为不可工作状态(stat_mcureleased＝1)，驾驶员踩下制动踏板同时按下start按键，档位处于p/n档(vcu检测到ssbstart＝1)。此时，mcu应检测到vcu发来的重验证请求状态为高(req_reauthen＝1)。
14.更进一步，在满足验证条件后，需要经过5个步骤的验证过程来完成mcu到rcu的种子/应答验证方式。
15.步骤1：mcu检测到满足发起条件后等待一定时间，通过ev can发送随机数(种子)给vcu(mcu_immocode)，vcu通过chassis can将种子转发给bcm，bcm通过body can将随机数转发给rcu。
16.步骤2：mcu通过xtea加密算法和sk计算随机数对应的应答数。
17.步骤3：rcu如果处于无钥匙启动或紧急启动状态且钥匙验证通过，应发送rcu验证状态:钥匙验证通过(authentication_status＝validkey)。并通过xtea加密算法和sk计算应答数(response)。rcu验证状态和应答数应通过body can发送给bcm，bcm通过chassis can转发给vcu，vcu通过ev can转发给mcu。
18.进一步，如果rcu当前状态忙(authentication_status＝busy)，或虽然钥匙验证已完成但验证结果不通过(authentication_status＝not valid)，应通过body can发送rcu验证状态和负反馈应答数(6bytes 0xff)给bcm，bcm通过chassis can将负反馈信息转发给vcu，vcu通过ev can转发给mcu。
19.步骤4：mcu通过校验rcu应答信息判定是否可使能电机。如果mcu计算的应答数与rcu发来的应答数一致，mcu判断可以使能电机，并发送验证授权使能结果(stat_mcureleased＝2)给vcu；
20.步骤5：在验证过程中如果遇到rcu应答信息与预期不一致，mcu将保持发送验证授权未定义(stat_mcureleased＝0)信息给vcu。并且mcu将根据不同的错误应答信息执行不同的流程，详见故障处理。如果多次验证不成功，mcu将停止验证，进入锁定状态。mcu发送锁定状态(stat_mcureleased＝1)给vcu，vcu通过bcm网关将验证结果转发给rcu。
21.更进一步，经过上述验证后，满足以下三个条件之一则验证流程结束，条件1：验证
成功；条件2：验证故障导致锁定,重验证nvcuchallengereqretry_1次后仍然失败；条件3：下电条件满足。
22.本发明与现有技术相比的优点在于：
23.(1)本发明中rcu与mcu除了应使用相同的xtea加密算法，还应当使用相同的密钥(sk:secret key)来完成加密，并将sk存储在oem的下线数据库中，从而使得mcu和rcu在下线时通过诊断服务进行学习并写入非易失存储器中。
24.(2)本发明采用标准且通用的mcu sk写入流程即通过uds协议(iso14229)利用线下诊断仪工具写入mcu的eeprom进行存储/读取。
25.(3)本发明充分考虑到mcu会因偶尔故障出现重启现象，因此本发明提出mcu重启时应能保证之前的immo验证结果不丢失，重启后无需重新发起认证。
附图说明
26.图1为本发明的mcu与rcu种子/应答认证流程图。
27.图2为本发明的应答数比较结果不一致导致的验证过程失败流程示意图。
28.图3为本发明的钥匙验证失败导致的验证过程失败流程示意图。
29.图4为本发明的rcu繁忙导致的验证过程失败流程示意图。
30.图5本本发明的mcu未收到响应导致的验证过程失败流程示意图。
31.图6为本发明的vcu发起重新验证过程失败流程示意图。
具体实施方式
32.下面结合附图和实施例对本发明做进一步的详细说明。
33.本发明目前是针对特种线控底盘动力系统防盗的控制方法，但在认证过程中会出现各类的偶然故障，因此本发明在实施过种中具体提到了应答数不一致故障、钥匙验证不通过故障、rcu繁忙故障、mcu未收到响应故障、vcu未收到种子故障等重大故障的处理方式。
34.如图1所示，其认证过程为在验证发起条件满足的情况下，mcu向rcu发起一组验证随机数，rcu根据验证随机数与自身存储的sk(secret key密钥)，通过xtea算法计算一组应答数，发送给mcu；同时，mcu也将通过此随机数与自身存储的sk通过xtea算法求得一组应答数，并将自身求得的应答数与rcu发来的应答数进行比较。
35.如果验证成功，mcu将发送验证授权使能信号(stat_mcureleased＝2)给vcu，vcu将该信号转发给rcu；
36.如果验证正在进行中，mcu不允许扭矩输出，同时将发送验证授权结果未定义状态(stat_mcureleased＝0)给vcu；
37.如果验证失败，将导致mcu进入锁定状态，mcu不允许扭矩输出，同时将发送验证授权结果锁定状态(stat_mcureleased＝1)给vcu。
38.另，在mcu锁定状态(stat_mcureleased＝1)下，vcu还应通过rcu发来的启动请求(ssbstart)判断是否应发起重验证请求给mcu。
39.如图2所示，如果在认证过程中，mcu检测到rcu发送的信息与自身计算的应答数不匹配，mcu判断验证不成功，验证授权信号保持未定义(stat_mcureleased＝0)，等待tmcuauthdelayretry后重新发送随机数进行验证。如果尝试nmcuchallengereqretry_2次
后仍未成功，mcu停止此次尝试。记录dtc，将mcu锁定在电机不使能状态。并通过stat_mcureleased＝1信号通知vcu和rcu。vcu接收到stat_mcureleased＝1信号，将禁止整车上高压，直到下一次发起条件满足并验证通过。
40.如图3所示，如果在验证过程中mcu收到rcu钥匙验证不通过状态时，mcu应停止校验流程，记录dtc，将mcu锁定在电机不使能状态。并通过stat_mcureleased＝1信号通知vcu和rcu。vcu接收到stat_mcureleased＝1信号，将禁止整车上高压，直到下一次发起条件满足并验证通过。
41.如图4所示，当mcu收到rcu繁忙状态时，mcu应保持验证授权信号未定义(stat_mcureleased＝0)，等待tmcuauthdelayretry后重新发送随机数进行验证。尝试验证nmcuchallengereqretry_1次，超过此次数mcu应停止校验流程，记录dtc，将mcu锁定在电机不使能状态。并通过stat_mcureleased＝1信号通知vcu和rcu。vcu接收到stat_mcureleased＝1信号，将禁止整车上高压，直到下一次发起条件满足并验证通过。
42.如图5所示，如果在验证过程中mcu在tkeystatusrx时间内未检测到rcu应答，mcu判断验证不成功，等待tmcuauthdelayretry后重新发送随机数进行验证。如果尝试nmcuchallengereqretry_1次后仍未成功，mcu停止此次尝试，记录dtc，将mcu锁定在电机不使能状态。并通过stat_mcureleased＝1信号通知vcu和rcu。
43.如图6所示，vcu发起重验证请求后，如未收到mcu的种子请求，tvcuauthdelayretry后再次发起重认证请求，尝试nvcuchallengereqretry_1次后，停止尝试。
44.以上对本发明及其实施方式进行了描述，这种描述没有限制性，附图中所示的也只是本发明的实施方式之一，实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示，在不脱离本发明创造宗旨的情况下，不经创造性的设计出与该技术方案相似的结构方式及实施例，均应属于本发明的保护范围。