智能家居

标题: 从神九用到CAN总线讲起（1）--希望在你们身上 [打印本页]

作者: 邢远 时间: 2013-7-28 23:16
标题: 从神九用到CAN总线讲起（1）--希望在你们身上
国家兴亡匹夫有责，从神九用到CAN总线讲起（1）--希望在你们身上

2012年6月神九升天蛟龙下海深深地鼓舞着中国人：别人能做到的事我们现在也能做到了，特别是那些能为国家实现这些壮举的人是何等年轻，可以预期在未来的磨练里他们会更成熟更老练，会做得越来越好，也就是预示着我们的明天会越来越辉煌。

我关心着后续的报道，因为我一直在研究CAN，看到其中关于神九用到CAN总线的事有二条，：

1. 九问“神九”精装修远超老前辈_北青网

“舱载医监设备主机、数管分系统中央单元、航天员语音处理组件……中国航天科技集团公司九院771所是我国微电子和计算机领域的核心研制生产单位，这些由该所研制的与神舟九号飞行任务配套的产品均为飞行和返回的重要设备。

舱载医监设备主机安装在载人飞船舱内大底区，也就是航天员座椅下面，是航天员生理信息测量系统的数据处理中心，相当于航天员的“临床护士”，通过“听诊器”——CAN通讯系统，负责对各个航天员的“心电、呼吸、血压、体温”四项生理健康指标信号进行实时接收，再通过总线传输至仪表系统显示，完成飞行期间对航天员的医学监督与医学保障。”

2. “手眼通天”神九相约天宫-仪表板,航天员,人机交互,减振器,检漏仪-北方网-新闻中心

“2011年春节刚过，在510所载人机电室的低频实验室里，正紧张的进行着神舟九号飞船仪表设备正样件落焊后的出所测试，这是设备交付的最后一个关口。一个身影坐在几台手控设备前，正逐一进行着手控指令的通讯测试，他不是一名普通的测试人员，而是510所载人航天机电研究室主任——李文新。

李文新承担了载人二期辅助仪表的研制和部分关键技术的攻关，组织完成了新一代辅助仪表原理样机、初样设备和正样设备的研制。其中，CAN总线作为新一代仪表总线已应用到神舟九号飞船和目标飞行器上。”

我猜想，实际的应用还不止这些，因为从工程角度，用尽量少的技术品种在开发、维护、培训是较合理的。

各位从我以前发表的博客可以知道，我关注的面很窄，就是CAN通信协议，不过CAN实在用得太广了，只要你开车，你就在用到CAN。国外也有用于上天下海的例子，就是今天，别人也在用，沿用别人的经验是非常自然的事。不过从我的观点来看，CAN是有安全隐患的，我在博客里写了，也写了些文章，在“单片机与嵌入式系统应用”杂志上发表了。为了使这种风险减低，我是有责任重申我的观点，这是国家兴亡匹夫有责之责。是不是炒冷饭？不是的，因为那是关系航天员的安危，关系到我国航天事业的大事，我宁愿被彻底驳回，直到放心为止。

我发现的CAN安全隐患有二条，第一，它的错帧漏检率很大，即错误的帧未查出来，溜过去了你还不知道。远非Bosch声村称的错帧率*4.7*10-11，早已有人提到为1.3*10-7，我的数据为1.0*10-7：

M.S. Thesis : Eushiuan Tran，”Multi-Bit flip Vulnerabilities in the Controller Area Network Protocol” Carnegie Mellon University Pittsburgh, PA, May 1999 [online] http://www.cs.cmu.edu/~koopman/thesis/etran.ps.qz accessed at 2007-12-31。

Simulations of the widely used Controller Area Network (CAN) protocol indicate that this problem can cause a double-bit error to result in a 1.3 x 10-7 probability of undetected corruption.

我提出了重构可疑帧的方法，简要中文版见：杨福宇,“CAN协议的错帧漏检率改进“，《单片机与嵌入式系统应用》，2011,  No.9，p.8-11，详细的英文版见Fuyu YANG, On Residual Error Probability of CAN Protocol, http://www.frogenyozurt.com/wp-c ... or-Probabilioty.pdf。

第二，在error passive状态会产生未预计到的通信连续出错而收发中断的状态，有可能达到数十毫秒，就如病人虽还在岗位上但未在工作。中文见：杨福宇,“CAN总线中的一种安全隐患“，《单片机与嵌入式系统应用》，2009,  No.1，p.20-22 , 杨福宇,“CAN消极报错发送节点变为离线状态的故障“，《单片机与嵌入式系统应用》，2009,  No.5，p18-20, 杨福宇,“关于CAN隐患的争辨“，《单片机与嵌入式系统应用》，2009,  No.6，p.5-7，英文见Fuyu Yang, “An Undiscovered Safety Related Fault in CAN”:

http://www.techonline.com/learning/techpaper/212902174。Fuyu Yang, “A Bus off Case of CAN Error Passive Transmitter”:

http://www.techonline.com/learning/techpaper/212902170。

我在发表之前，曾在网上搜索国内外从事CAN应用与研究的专家，先将文章发给能联系上的国内专家，不久再发可以送达的国外专家。在2008年以后数次在上海举行的汽车电子会议上，征询他们收到文章后的看法，但是没有见到实质性的响应（支持或反驳），这令我很失望。但是，没有实质性的反驳使我增强了信心。2011年11月上海工博会上我遇到了CiA(CAN in Automation)协会的会长Holger Zeltwanger，我问他文章收到没有，有什么看法。他说收到了，欢迎这样讨论，认为我研究得很深，建议我关注一下CAN FD。这当然是外交辞令，但至少没有反驳，相反，CAN FD中已经把CRC检验部分作了修改，不是证明了原来的CAN CRC方法有毛病吗，可惜旧错有改，并未改好，又添新错。详见：杨福宇,“有关CAN FD的评论“，《单片机与嵌入式系统应用》，2012,  No.7，p.34-36。

对于这种反应，我唯有等待，我想换位思考：许多人士是太忙了，无暇顾及，我是做过项目的，知道当项目压在头上时，你会被它淹没，没有机会重起炉灶的。现在如果承认CAN 不安全，谁来担损失，谁给你更安全的替代物？每一个人都被现实绑架了。

换位思考是有局限的，它不能成为不作为的理由。过去，烟草业是为国家积累资金出了大力的，但现在中国也有越来越多的认认同吸烟有害健康，所以要选烟草业有关的科学院院士都遭人反对。这说明人是有立场的，用“国家损失”或“农业损失”是对抗不了“人的生命是第一位“的。同样的道理用到CAN安全问题上，在损失和安全中必须有选择。

CAN 问题的发现是打开一个重新洗牌的机会：我们不是经常说不掌握核心技术吗？当别人的核心技术有一环断了，影响到整体时，你的改进不是使我们的差距大为缩小吗？

你不是要找内需吗？当CAN有问题时，我们造车的需要不是很大的内需吗？

我们不是要避免低价的同质化竞争吗？要知道低价的同质化竞争的根源是人才的低价的同质化，创新就可以避免同质化。

抱残守缺，明知有问题而不作为实际上是希望等别人先解决问题，背靠大树好乘凉。这种想法会害了自己，不知自己已立于危墙之下，随时可能遭灾，没有脚踏实地而站在别人肩上的人，巨人摔跤了你会跌得更痛！

我们的国家经过改革开放三十年的发展，新一代学者已经成长，你们不应当因循守旧。从我2009年公开发表来已经4年，算算该有一批研究生毕业了，他们可能会思想开放，更能接受新的事物。寄希望于未来有更多的人能同意我的吸烟有害健康的比喻。我希望有更多的电子工程师关心CAN 安全问题，虽然你未必以此为业，至少你要关心你开的车是不是安全，没有车也要想到可能有别人的车伤到你。所以你应该参与讨论与解决问题的。

理解CAN 安全问题并不难，我将尽力深入浅出把问题给你讲清楚，这是我新一批博客要做的事。

年轻是多么美好，精力充沛，跌倒了可以重来。我偶尔去张江的电影院看电影，一般是乘白天人少的时侯去，散场时看到满街的二三十岁的年轻人，似乎自己也年轻了，有一种感动是别人很难理解的。当我年轻的时候，万事都那么难，1961年的时候我为了计算一个四连杆机构的非线性误差，那时没有计算器，只有一个手摇的计算机，再找了一本十位三角函数表，算一下，查些表，这中间的输入输出非常容易错，因为对着密密麻麻的表和长长的数据，很快就疲劳而出错，只要有一个错，就不准确，甚至前功尽弃。这件工作足足花了一个星期。而现在，你只需要写好程序，几秒钟就得到结果，而且不会错。再举个例子，我们当时要看国外的文章，要等到国外的书或杂志寄到中国，然后内部复制（当时还没有复印）分发到单位，有的要等数年之后，而现在甚至在会还没开，只要你知道作者并与他联系上，就可学到最新的知识。技术的发展、国家的开放为年轻人提供了多好的条件啊！你们没有理由不大大地超越我们。

满街的二三十岁的年轻人在国家的高科技园区工作，也让我特别的高兴，因为说到底国家的未来在年轻人，他们能担当就表示国家的兴旺已是指日可待。

欢迎光临智能家居 (https://bbs.mywll.com/)