T-BOX的全稱為Telematics Box ,遠程/車載通信模塊,是一個集成車身網絡和無線通訊功能的智能終端設備,T-BOX實現了多媒體車機與TSP以及互聯網之間的無線路由器. 使得用戶有機會遠程訪問。車輛所配備的各ECU,實現對車輛的啟停發動機、開關空調、開關天窗、開關后備箱門、開關車門、閃燈鳴笛等遠程控制。并且TBOX設計有 MCU 來接收處理CAN消息,直接訪問車輛所配備的各ECU。
通常的T-Box控制器的結構圖如下所示。
▲圖 T-Box控制器爆炸圖
▲圖 T-Box硬件系統框圖
那T-Box有哪些功能呢?下面來詳細說一說。
01. 安全策略
系統安全目標是通過符合TBox應用場景的身份權限管理和訪問控制機制,正確地響應授權操作和處理異常行為,對抗針對系統的溢出攻擊、暴力破解、中間人攻擊、重放、篡改、偽造等多種安全威脅,保證系統文件和數據的可用性、保密性、完整性和可審計性,保證對各類資源的正常訪問,以及保證系統在惡意攻擊下仍然能夠按照預期正常運行。
首先是安全啟動,MCU支持Secure Boot,該模式啟動后,MCU采用硬件算法確保啟動后的ROM中所保存的程序是用戶所期望的,其策略包括在做MCU升級包的時候,會生成Boot Key,升級時將其存放到HSM區域,MCU升級完成后設置Secure Boot模式生效,啟動時計算的Boot Key與HSM中保存的Boot Key比對。
其次是應用軟件安全,應用安全目標是要保證TBox上的運行的服務或應用程序具備相應的保密性、完整性的防護措施,可以對抗逆向分析、反編譯、篡改、非授權訪問等各種針對應用的安全威脅,并確保應用產生、使用的數據得到安全的處理以及TBox的應用或服務與相關服務器之間通信的安全性,保證應用在提供服務時,以及應用在啟動、升級、運行等各個模式下的安全性。
然后是數據存儲安全,數據安全目標是要保證TBox所采集、存儲、處理、傳輸的數據的安全性,確保數據的機密性、完整性和可用性得到有效的防護,同時具有清除機制,保護數據生命周期各環節的安全性,具體要求如下:
1. 使用SELinux的權限控制保證數據只能被授權應用訪問;
2. 利用Openssl和TrustZone提供的加密接口對數據進行加密或簽名,保證完整性;
3. 利用TrustZone提供的接口對機密數據(Private key ,password…)進行存儲;
4. MCU側使用HSM對機密數據進行存儲和加密。
再次是通信安全,對內通信是指各個ECU之間的通信。其安全目標是根據應用場景在不同ECU通信和數據交換時,保證ECU不向電子電氣系統發送偽造、重放等攻擊方式的指令和數據,不非法占用內部總線資源,保證車內子系統和數據的保密性、完整性,以及在收到非法指令和數據時具有異常處理機制,保證ECU的功能正常,具體要求如下:TBox對以太網連接提供防火墻機制,實現對報文的安全過濾;TBox對CANFD連接提供白名單機制,實現對CANFD信號的安全過濾。
對外的話通信安全包括TBox與蜂窩網絡的通信,與移動終端間的短距離通信(如:BT等),以及與其它車輛和路側設施等的通信。對外通信安全的目標是根據應用場景在TBox與外部網絡或設備建立通信連接時或在通信以及數據交換時,采取必要的認證、加密和完整性校驗手段,對抗嗅探、中間人攻擊、重放等多種針對通信的安全威脅,保證數據的保密性、完整性以及通信的質量,具體要求如下:1. TBox對移動網絡連接提供防火墻機制,實現對報文的安全過濾;2. PU與OTA Server,TSP Server之間數據通信前實施基TLS1.2的雙向認證。
02. 遠程控制
1. 遠程控制車窗
用戶通過手機APP遠程控制車窗,TBox接收到遠程控制車窗的命令后,如果整車總線處于休眠狀態,則先喚醒整車網絡,否則直接同時發送鑒權認證和控制車窗控制指令,并將執行結果以及失敗原因反饋到TSP。
該功能進入的前提條件為車輛速度≤2km/h且車輛擋位處于P擋位。在該條件下,當T-box狀態機為running或者listen,收到喚醒指令且收到遠程控制車窗指令,則T-box會將車窗控制指令發送給車身控制器,車身控制器則執行車窗控制指令。
整體的流程圖如下所示。
▲圖 遠程車窗控制流
2. 遠程控制門鎖
用戶通過手機APP遠程控制車門鎖,TBox接收到遠程控制門鎖的命令后,如果整車總線處于休眠狀態,則先喚醒整車網絡,否則直接同時發送鑒權認證和上鎖/解鎖控制指令,并將執行結果以及失敗原因反饋到TSP。
該功能進入的前提條件為車輛速度≤2km/h且車輛擋位處于P擋位。在該條件下,當T-box狀態機為running或者listen,收到喚醒指令且收到遠程控制門鎖指令,則T-box會將車窗控制指令發送給車身控制器,車身控制器則執行門鎖控制指令。
整體的流程圖如下所示。
▲圖 遠程門鎖控制流
除了車窗和門鎖控制,還有其他類似的遠程控制功能,比如遠程充電控制、遠程車門控制、遠程尋車、遠程空調控制、遠程控制凈化器、遠程座椅加熱控制等等。
03. 遠程車輛監控
1 車輛狀態上報
當車輛被非法入侵BDCM發出非法入侵報警后,TBox采集車身狀態信息和報警標志上傳到TSP,TSP同步給APP報警信息,并通知車主。
當車輛被異常移動,如碰撞、拖車、溜車等,觸發TBox的G-sensor閾值,TBox將車身數據和報警標志上傳給TSP,TSP將報警信息同步給APP并通知客戶。
該功能觸發的前提條件為車輛處于鎖車狀態;車輛擋位為P擋; 觸發G-sensor閾值喚醒T-Box;GNSS位置相較于listen/sleep前位置移動≥600m。
功能的流程圖如下所示。
▲圖 車輛狀態上報流
2 車輛信息周期上報
TBox采集車輛狀態、位置等相關信息,周期性的上報到TSP。該功能在整車上高壓正常,且T-box處于功能正常狀態。
▲圖 車輛信息周期上報流
3 緊急求救功能eCall
eCall有兩種發起的方式,一種是主動發起的方式,這種方式是由車上的人員主動觸發車上的eCall按鈕發起的;另外一種方式是被動發起。由于交通事故碰撞等原因導致車上的安全氣囊彈出,TBox收到報文后,自動撥打eCall電話。
車輛被碰撞之后或者手動按下SOS按鍵時,TBox采集車輛位置信息和車輛信息上傳至TSP,而后自動撥打救援中心電話建立通話,并把通話過程顯示在CID。
功能的執行流程如下所示。
a. eCall系統會在汽車啟動后啟動,并完成所有初始化;
b. 手動或被動觸發eCall后,LTE中的modem上的所有其他通訊暫停,并且Mic和Spk都將切換到eCall服務,將其他音源mute;
c. 車上的eCall系統基本同時和急救系統建立數據與語音通訊鏈路;
d. 當急救中心后臺收到eCall請求, eCall系統會首先上傳MSD數據;
e. 當MSD數據從傳輸成功后,接通車輛與急救中心的語音鏈接,車上人員與急救中心后臺人員通話;
f. 急救中心后臺自動解析MSD數據,并根據MSD數據內容及時調度最近的救援;
g. 當急救中心后臺發現數據有誤時,可重復請求MSD數據直到數據正確為止;
▲圖 緊急呼叫流
04. OTA功能
Tbox支持軟件在線升級功能,負責自己和域內其它ETH節點的升級。在Tbox軟件中會部署第三方提供的升級管理模塊,負責升級包下載、備份、還原、升級狀態管控、從節點升級包傳輸,同時還部署程序安裝模塊,負責Tbox自身固件和軟件的刷寫。
OTA升級方式主要有以下三種:
主動升級:由車主在HU大屏上點擊設置,進入版本查詢與升級,主動發起版本查詢、下載、升級事宜,并且相應步驟都應給用戶充分都提示和確認,多用于用戶在取消推送升級后進行手動發起OTA升級。
推送升級:由OTA升級服務器后臺推送版本升級,車主在HU大屏貨手機APP上上點擊確認,下載、升級由后臺OTA升級程序自動完成,過程中給用戶一次性授權提示和操作,多用于重大功能更新迭代,提高OTA升級覆蓋率。
靜默升級:主要用來強制性修復重大bug,上電滿足版本查詢和下載條件后Tbox就運行OTA功能,進行查詢和下載,下載完成后等待升級條件滿足,條件滿足后進行強制性升級,升級時間段多選擇在半夜12點后。
OTA都升級軟件包有以下兩種:
差分升級包:差分升級包是指在當前版本之上有新版本可升級,且版本跨度不大,更改內容比較小,制作差分升級包來供設備升級,從而達到節省升級時間、提高升級效率、節約流量、內存占用小的目的。
全量升級包:全量升級包則是一個完整的升級包,適用于版本跨度大,更改內容較多,升級重要內容的版本,優點是安全、穩定,缺點是軟件包大,下載時間長,升級時長。
其中主動升級的流程為例,其流程如下。
查詢、下載
1、車主點擊中控大屏中的設置選項,進入查詢版本功能;
2、T-box收到IDCM發出都版本查詢指令,搜集車輛ECU都版本信息;
3、T-box將搜集到都ECU版本信息上報給OTA升級服務器;
4、OTA升級服務器收到版本信息后,進行版本比對,如有新版本則發送版本信息和下載地址到T-box,否則回復無新版本可更新;
5、T-box判斷上次軟件下載是否完成,如果完成則等待授權條件滿足后,Tbox發送升級授權請求到授權模塊,否則繼續上次未完成的下載流程(授權條件:車速低于10km/h);
6、授權模塊發送授權結果給T-box,T-box將授權結果上傳到OTA升級服務器;
7、T-box通過OTA升級服務器下發的地址下載升級包;
8、T-box上報下載升級包結果(如果下載失敗,本次升級結束);
9、T-box校驗升級包的合法性以及完整性;
10、T-box上報并在相關顯示模塊上顯示升級包的合法校驗結果(如果校驗失敗,則本次升級結束);
升級
1、用戶在中控大屏上點擊開始升級;
2、Tbox收到指令后開始執行升級任務;
3、Tbox升級結束,T-box將升級結果發送給IDCM,并重啟;
4、Tbox上報升級結果到OTA升級服務器;
5、OTA升級服務器同步升級結果到手機APP。
轉自汽車ECU開發
