詹克旭

(博世華域轉(zhuǎn)向系統(tǒng)有限公司,上海 201821)

無鑰匙進(jìn)入及啟動系統(tǒng),簡稱PEPS (Passive Entry Passive Start)系統(tǒng),它采用先進(jìn)的RFID無線射頻技術(shù)和車輛身份編碼識別系統(tǒng),實現(xiàn)無需按動遙控器即可進(jìn)入車內(nèi)以及一鍵啟動發(fā)動機等功能[1].當(dāng)駕駛員攜帶智能鑰匙進(jìn)入車輛附近的有效范圍內(nèi),車輛會自動檢測鑰匙并進(jìn)行身份識別.如果身份識別成功,相應(yīng)門鎖會解除防盜并自動打開.當(dāng)駕駛員進(jìn)入車內(nèi)時,車輛會自動檢測鑰匙是否位于主駕位置.如果檢測成功,駕駛員想要啟動車輛,只需通過按下啟動按鈕即可.在整個開門上車到啟動車輛過程,駕駛員都無需拿出車鑰匙.PEPS系統(tǒng)的應(yīng)用,給用戶帶來更加舒適的體驗以及更為安全的保障.與傳統(tǒng)的鑰匙相比,具有更高的防盜性能,并給駕駛員帶來了舒適、便利的全新駕車體驗.

1 PEPS系統(tǒng)構(gòu)成

無鑰匙進(jìn)入及啟動系統(tǒng)由智能鑰匙、主控制器、一鍵啟動、車門把手、電子轉(zhuǎn)向鎖( ESCL)等組成,主控制器采用LIN總線與其他模塊通訊[2,3].

1.1 LIN總線

LIN (Local Interconnect Network)是一種低成本的串行通訊網(wǎng)絡(luò),用于實現(xiàn)汽車中的分布式電子系統(tǒng)控制.LIN的目標(biāo)是為現(xiàn)有汽車網(wǎng)絡(luò)(例如CAN總線)提供輔助功能,因此LIN總線是一種輔助的總線網(wǎng)絡(luò).在不需要CAN總線的帶寬和多功能的場合,使用LIN總線可大大節(jié)省成本[4–6].

在PEPS系統(tǒng)中,主控制器有三路LIN,通過三路LIN實現(xiàn)相應(yīng)的控制功能.其系統(tǒng)構(gòu)成如圖1所示.

圖1 LIN網(wǎng)絡(luò)的構(gòu)成

LIN1: 實現(xiàn)主控制器與門鎖控制模塊(DCU)的通訊;

LIN2: 實現(xiàn)主控制器與電源管理單元(EBS)和發(fā)動機防盜單元(IMMO)的通訊;

LIN3: 實現(xiàn)主控制器與低頻控制單元(LFU)和電子轉(zhuǎn)向鎖(ESCL)的通訊.

1.2 主控制器

當(dāng)拉動車門把手時,主控制器產(chǎn)生125 KHz低頻信號,并通過射頻接收器接收智能鑰匙發(fā)送433 MHz的高頻認(rèn)證信號對智能鑰匙進(jìn)行身份識別.主控制器主要實現(xiàn)了對射頻響應(yīng)信號的接受及低頻詢問信號的產(chǎn)生和發(fā)送、CAN總線通信、發(fā)動機防盜認(rèn)證、電源模塊和ESCL認(rèn)證等功能.

1.3 智能鑰匙

為了保證在任意角度智能鑰匙均能接收到的低頻信號,智能鑰匙內(nèi)安裝三維全向125 KHz的低頻接收天線.智能鑰匙驗證低頻信號合法后,為了完成身份識別,將產(chǎn)生433.92 MHz的高頻認(rèn)證信號向外發(fā)送.

1.4 一鍵啟動

遙控鑰匙認(rèn)證后,通過按下啟停按鈕啟動車輛.

1.5 門把手

門把手由一個低頻天線和微動開關(guān)組成,當(dāng)駕駛員拉動汽車門把時,低頻天線產(chǎn)生低頻磁場在門把手周圍特定區(qū)域內(nèi)發(fā)射低頻信號.

1.6 電子轉(zhuǎn)向鎖(ESCL)

電子轉(zhuǎn)向鎖通過LIN總線進(jìn)行學(xué)習(xí)和通訊,轉(zhuǎn)向鎖的解鎖和閉鎖通過內(nèi)置的小型電機通過驅(qū)動鎖舌的伸縮動作來實現(xiàn).

2 PEPS工作原理

2.1 無鑰匙進(jìn)入

當(dāng)駕駛員按下門把手上的按鍵后,會觸發(fā)主控制器驅(qū)動門把手上的低頻天線發(fā)送125 KHz低頻認(rèn)證信號,具有身份識別的智能鑰匙接收到低頻信號后,與智能鑰匙中保存的身份識別信息進(jìn)行比較,如果一致,智能鑰匙將被喚醒.為了保證車輛發(fā)出的喚醒信號在有效范圍內(nèi)的任何方位都能檢測到,智能鑰匙上采用三維全向天線能.為了提高安全性,智能鑰匙被喚醒后發(fā)送433 MHz高頻信號,這些信號都經(jīng)過加密處理.車輛會將內(nèi)部保存的信息同接收到的信號相比較,若相同,則表明驗證通過,進(jìn)行解鎖[7].駕駛員在無需掏出鑰匙的情況下,通過拉門把手上車.無鑰匙進(jìn)入工作原理見圖2所示.

圖2 無鑰匙進(jìn)入工作原理

2.2 無鑰匙啟動

駕駛員進(jìn)入車內(nèi)后,按下啟停按鈕,主控制器驅(qū)動低頻天線向外發(fā)送125 kHz低頻信號.智能鑰匙將接收到的低頻信號與智能鑰匙保存的信息對比,識別通過后智能鑰匙發(fā)射433.92 MHz高頻加密信號.主控制器將接收到的高頻加密信號進(jìn)行解密、認(rèn)證.如果與系統(tǒng)內(nèi)部的存儲信息相吻合,則表示鑰匙辨識成功.為了確保非法用戶無法使用車輛,只有當(dāng)識別成功后才能啟動發(fā)動機,否則如果鑰匙識別錯誤或使用了非法鑰匙,則發(fā)動機將不能起動.再啟動發(fā)動機之前,還要進(jìn)行ESCL的加密通信來驅(qū)動鎖舌至解鎖位置、EMS加密防盜通信,最后才能啟動車輛.無鑰匙啟動工作原理見圖3所示.

圖3 無鑰匙啟動工作原理

3 PEPS學(xué)習(xí)匹配

由于PEPS系統(tǒng)通過低頻和射頻的雙向通信,汽車與智能鑰匙之間需要完成復(fù)雜的雙向身份認(rèn)證.為了保障系統(tǒng)的安全性,實現(xiàn)系統(tǒng)的雙向身份認(rèn)證,需要在車輛和遙控鑰匙交付之前進(jìn)行學(xué)習(xí)匹配工作.本系統(tǒng)采用基于UDS協(xié)議的診斷服務(wù)進(jìn)行學(xué)習(xí)匹配,通過一定的診斷流程,將主控制器與EMS(發(fā)動機ECU)、智能鑰匙、ESCL進(jìn)行學(xué)習(xí)匹配.

3.1 UDS協(xié)議

UDS協(xié)議即ISO14229統(tǒng)一診斷服務(wù)(Unified Diagnostic Services),是診斷服務(wù)的規(guī)范化標(biāo)準(zhǔn),比如讀取故障碼應(yīng)該向汽車ECU發(fā)什么指令,讀數(shù)據(jù)流又是發(fā)什么指令.作為診斷儀與汽車ECU之間進(jìn)行診斷通信必不可少的一部分,一系列的診斷服務(wù)在診斷規(guī)范中被描述.診斷規(guī)范定義了診斷儀和汽車ECU之間的請求響應(yīng)規(guī)則、以及對于請求報文汽車ECU的處理行為.汽車CAN診斷遵循ISO15765標(biāo)準(zhǔn),其中應(yīng)用層遵循ISO15765-3標(biāo)準(zhǔn),作為CAN通訊軟件設(shè)計的一個重要部分,汽車ECU需要解析這些收到的報文,從而得出完整的診斷服務(wù)[8,9].

本系統(tǒng)診斷服務(wù)參考ISO 14229標(biāo)準(zhǔn)[10].為了讓汽車ECU能夠執(zhí)行相應(yīng)的操作,通過診斷儀(Tester)將診斷服務(wù)發(fā)送給汽車ECU.主控制器與遙控鑰匙匹配學(xué)習(xí)必須至少支持如表1所示的診斷服務(wù).

3.1.1 診斷會話控制(10)

診斷會話控制服務(wù)由Tester發(fā)起請求,ECU響應(yīng)請求,請求第一個字節(jié)為服務(wù)0x10,第二個字節(jié)為模式定義,表示ECU處于不同的診斷會話模式,在Tester請求不同模中,其中1代表默認(rèn)會話模式,2代表編程模式,3代表擴展會話模式.對于本方案學(xué)習(xí)過程中使用到的安全訪問(27)和例程控制(31)必須在擴展會話模式下才能進(jìn)行.

表1 診斷服務(wù)表

3.1.2 安全訪問(27)

安全訪問的引入,是為了對受限于訪問安全的一些功能進(jìn)行保護,如例程控制、學(xué)習(xí)匹配等,避免對汽車的安全性造成風(fēng)險.安全訪問的概念使用“種子”和“密鑰”來實現(xiàn).

Tester請求ECU解鎖首先發(fā)送“RequestSeed”服務(wù)報文.ECU發(fā)送一個種子進(jìn)行響應(yīng),此種子是密鑰計算算法的輸入?yún)?shù).Tester使用該種子計算出相應(yīng)的密鑰.

第二步,Tester通過發(fā)送包含密鑰的“SendKey”服務(wù)報文給ECU來請求比較密鑰.ECU須將此密鑰與內(nèi)部存儲或計算的密鑰進(jìn)行比較,如果兩數(shù)相符,ECU啟動(解鎖)Tester對特定服務(wù)和資料的訪問權(quán)限.如果兩數(shù)不相符,此訪問被認(rèn)為是一次錯誤的訪問嘗試.安全訪問流程如圖4所示.

圖4 安全訪問流程

為了系統(tǒng)的安全性,一般采用兩級安全訪問策略,本系統(tǒng)匹配學(xué)習(xí)需要兩級安全進(jìn)入才可以實現(xiàn).

3.1.3 例程控制(31)

Tester使用本服務(wù)啟動或停止ECU內(nèi)存中的例程和請求例程結(jié)果.例程由兩字節(jié)的例程標(biāo)識來確定,為啟動例程,必須使用例程控制服務(wù)——啟動例程(31 01).如果ECU支持停止例程的操作,則必須使用例程控制服務(wù)——停止例程(31 02),本方案中無需停止例程操作.

根據(jù)例程標(biāo)識的不同,對PEPS系統(tǒng)進(jìn)行不同的操作,以達(dá)到學(xué)習(xí)匹配的目的.本方案將會使用到發(fā)送VIN&SC、匹配EMS、學(xué)習(xí)遙控鑰匙、復(fù)位ESCL、學(xué)習(xí)ESCL等,為了方便理解,假定以上功能對應(yīng)的例程標(biāo)識分別為0x0001、0x0002、0x0003、0x0004、0x0005,具體設(shè)置根據(jù)OEM來設(shè)定.

3.2 匹配EMS

在匹配主控制器和EMS時,需要學(xué)習(xí)以下數(shù)據(jù):

1) VIN: 汽車身份識別碼,OEM定義.主控制器將VIN存在EEPROM中,通過診斷服務(wù)($22/$2E)讀取或修改

2) SC: 由VIN碼產(chǎn)生,用于安全進(jìn)入使用.算法SC=f(VIN)由OEM控制.

3) SK: 主控制器與EMS認(rèn)證的密鑰,EMS學(xué)習(xí)過程中由Tester設(shè)備隨機產(chǎn)生,并學(xué)習(xí)給主控制器與EMS.

4) OUTCODE為主控制器產(chǎn)生的隨機數(shù),INCODE=f2(SC,OUTCODE),函數(shù) f1()和 f2()由OEM控制.

為了保證PEPS系統(tǒng)的安全性,本方案采用兩級安全進(jìn)入的工作方式,具體匹配EMS流程如圖5所示,具體步驟如下:

1) Tester設(shè)備一級解鎖;

2) Tester設(shè)備發(fā)送VIN碼和SC給主控制器;

3) Tester設(shè)備二級解鎖,主控制器隨機產(chǎn)生outcode并返回給Tester設(shè)備;

4) Tester設(shè)備根據(jù)接收到的outcode和SC計算incode,并將incode返回給主控制器;

5) 主控制器檢查incode是否合法,若不合法則此次安全進(jìn)入不成功,主控制器回復(fù)負(fù)響應(yīng),等待下次學(xué)習(xí)指令,Tester設(shè)備提示“安全進(jìn)入失敗”;

6) 主控制器檢查incode是否合法,若合法則此次安全進(jìn)入成功,主控制器回復(fù)負(fù)響應(yīng),Tester設(shè)備提示“主控制器安全解除狀態(tài)”;

7) Tester設(shè)備接收到“主控制器安全解除狀態(tài)”信息以后,隨機產(chǎn)生SK,進(jìn)行匹配EMS;

8) Tester設(shè)備向主控制器發(fā)匹配EMS指令,將SK信息寫入主控制器;

9) Tester設(shè)備向EMS發(fā)匹配EMS指令,將SC和SK信息寫入EMS;

10) EMS判斷SC和SK的合法性(非全0和全F),若合法則保存,并向Tester設(shè)備回復(fù)正響應(yīng).

圖5 匹配EMS

3.3 匹配鑰匙和ESCL

與匹配EMS方法相同,為了保證系統(tǒng)的安全性,匹配鑰匙和匹配ESCL同樣采用兩級安全進(jìn)入的工作方式,具體流程如圖6所示:

1) 二級解鎖成功后進(jìn)行鑰匙學(xué)習(xí);

2) 鑰匙學(xué)習(xí)成功后進(jìn)行ESCL復(fù)位命令,主控制器通過LIN總線進(jìn)行LIN診斷操作來復(fù)位ESCL.

3) 復(fù)位成功后,發(fā)送ESCL學(xué)習(xí)命令,ESCL的學(xué)習(xí)通過LIN診斷實現(xiàn).

圖6 匹配鑰匙和ESCL

4 實驗分析

經(jīng)過UDS服務(wù)的診斷學(xué)習(xí)后,智能鑰匙已經(jīng)與PEPS系統(tǒng)匹配成功.為了驗證經(jīng)過學(xué)習(xí)匹配的智能鑰匙的功能,測試人員對無鑰匙進(jìn)入和啟動功能進(jìn)行了大量測試,以驗證系統(tǒng)的穩(wěn)定性.

1) 無鑰匙進(jìn)入功能: 測試人員在車門鎖好的情況下,攜帶智能鑰匙到車門前并撥動門把手,此時車門被打開.經(jīng)過數(shù)次測試均能正常開啟車門,沒有出現(xiàn)無法開啟車門的情況,符合無鑰匙進(jìn)入功能的要求;

2) 無鑰匙啟動功能: 攜帶智能鑰匙的測試人員進(jìn)入車門后,按下一鍵啟動按鈕,車輛可以正常啟動.經(jīng)反復(fù)多次啟動測試,車輛均能正常啟動,沒有出現(xiàn)無法啟動的情況,符合無鑰匙啟動功能的要求.

由于具備PEPS功能的汽車只能識別與其配對成功的智能鑰匙,本系統(tǒng)設(shè)計的學(xué)習(xí)匹配有一套完善的安全機制,因此其他未學(xué)習(xí)匹配的職能鑰匙并不能開啟車輛,對整車的安全性提供了保障.

經(jīng)過驗證,系統(tǒng)運行穩(wěn)定、有效性好,正確率達(dá)到了百分之百.同時,系統(tǒng)的安全性高,未經(jīng)過學(xué)習(xí)匹配的智能鑰匙無法開啟車門,進(jìn)入車輛后也無法啟動車輛.此外,該系統(tǒng)可以根據(jù)需要增加智能鑰匙數(shù)量,最大匹配鑰匙數(shù)量為3,系統(tǒng)具有良好的易用性和可擴展性等優(yōu)點.

5 結(jié)論和展望

本文詳細(xì)介紹PEPS的工作原理和安全認(rèn)證方法.作為實現(xiàn)汽車與智能鑰匙之間可以完成復(fù)雜的雙向身份認(rèn)證的有效的前提,通過對UDS協(xié)議的診斷服務(wù)的詳細(xì)介紹,提供了一種有效的學(xué)習(xí)匹配方法.

UDS協(xié)議作為汽車ECU開發(fā)中必不可缺的組成部分,無論在汽車診斷、系統(tǒng)升級還是在學(xué)習(xí)匹配過程中,都發(fā)揮著重要的作用.一個完善的UDS協(xié)議學(xué)習(xí)匹配方法,提高了系統(tǒng)的易用性和安全性,對整個PEPS系統(tǒng)的開發(fā)有著重要的意義.基于UDS協(xié)議的PEPS系統(tǒng)安全認(rèn)證方法在國內(nèi)某平臺車型上已經(jīng)得到了較好的應(yīng)用,并具有高度可擴展性和可維護性.相信隨著汽車產(chǎn)業(yè)的不斷發(fā)展,PEPS系統(tǒng)會進(jìn)一步的普及,本文介紹的安全性方案將會在越來越多的車型上應(yīng)用.