T-BOX的全称为Telematics Box ,远程/车载通信模块,是一个集成车身网络和无线通讯功能的智能终端设备,T-BOX实现了多媒体车机与TSP以及互联网之间的无线路由器. 使得用户有机会远程访问。车辆所配备的各ECU,实现对车辆的启停发动机、开关空调、开关天窗、开关后备箱门、开关车门、闪灯鸣笛等远程控制。并且TBOX设计有 MCU 来接收处理CAN消息,直接访问车辆所配备的各ECU。
通常的T-Box控制器的结构图如下所示。
▲图 T-Box控制器爆炸图
▲图 T-Box硬件系统框图
那T-Box有哪些功能呢?下面来详细说一说。
01.
安全策略
系统安全目标是通过符合TBox应用场景的身份权限管理和访问控制机制,正确地响应授权操作和处理异常行为,对抗针对系统的溢出攻击、暴力破解、中间人攻击、重放、篡改、伪造等多种安全威胁,保证系统文件和数据的可用性、保密性、完整性和可审计性,保证对各类资源的正常访问,以及保证系统在恶意攻击下仍然能够按照预期正常运行。
首先是安全启动,MCU支持Secure Boot,该模式启动后,MCU采用硬件算法确保启动后的ROM中所保存的程序是用户所期望的,其策略包括在做MCU升级包的时候,会生成Boot Key,升级时将其存放到HSM区域,MCU升级完成后设置Secure Boot模式生效,启动时计算的Boot Key与HSM中保存的Boot Key比对。
其次是应用软件安全,应用安全目标是要保证TBox上的运行的服务或应用程序具备相应的保密性、完整性的防护措施,可以对抗逆向分析、反编译、篡改、非授权访问等各种针对应用的安全威胁,并确保应用产生、使用的数据得到安全的处理以及TBox的应用或服务与相关服务器之间通信的安全性,保证应用在提供服务时,以及应用在启动、升级、运行等各个模式下的安全性。
然后是数据存储安全,数据安全目标是要保证TBox所采集、存储、处理、传输的数据的安全性,确保数据的机密性、完整性和可用性得到有效的防护,同时具有清除机制,保护数据生命周期各环节的安全性,具体要求如下:
1. 使用SELinux的权限控制保证数据只能被授权应用访问;
2. 利用Openssl和TrustZone提供的加密接口对数据进行加密或签名,保证完整性;
3. 利用TrustZone提供的接口对机密数据(Private key ,password…)进行存储;
4. MCU侧使用HSM对机密数据进行存储和加密。
再次是通信安全,对内通信是指各个ECU之间的通信。其安全目标是根据应用场景在不同ECU通信和数据交换时,保证ECU不向电子电气系统发送伪造、重放等攻击方式的指令和数据,不非法占用内部总线资源,保证车内子系统和数据的保密性、完整性,以及在收到非法指令和数据时具有异常处理机制,保证ECU的功能正常,具体要求如下:TBox对以太网连接提供防火墙机制,实现对报文的安全过滤;TBox对CANFD连接提供白名单机制,实现对CANFD信号的安全过滤。
对外的话通信安全包括TBox与蜂窝网络的通信,与移动终端间的短距离通信(如:BT等),以及与其它车辆和路侧设施等的通信。对外通信安全的目标是根据应用场景在TBox与外部网络或设备建立通信连接时或在通信以及数据交换时,采取必要的认证、加密和完整性校验手段,对抗嗅探、中间人攻击、重放等多种针对通信的安全威胁,保证数据的保密性、完整性以及通信的质量,具体要求如下:1. TBox对移动网络连接提供防火墙机制,实现对报文的安全过滤;2. PU与OTA Server,TSP Server之间数据通信前实施基TLS1.2的双向认证。
02.
远程控制
1. 远程控制车窗
用户通过手机APP远程控制车窗,TBox接收到远程控制车窗的命令后,如果整车总线处于休眠状态,则先唤醒整车网络,否则直接同时发送鉴权认证和控制车窗控制指令,并将执行结果以及失败原因反馈到TSP。
该功能进入的前提条件为车辆速度≤2km/h且车辆挡位处于P挡位。在该条件下,当T-box状态机为running或者listen,收到唤醒指令且收到远程控制车窗指令,则T-box会将车窗控制指令发送给车身控制器,车身控制器则执行车窗控制指令。
整体的流程图如下所示。
▲图 远程车窗控制流
2. 远程控制门锁
用户通过手机APP远程控制车门锁,TBox接收到远程控制门锁的命令后,如果整车总线处于休眠状态,则先唤醒整车网络,否则直接同时发送鉴权认证和上锁/解锁控制指令,并将执行结果以及失败原因反馈到TSP。
该功能进入的前提条件为车辆速度≤2km/h且车辆挡位处于P挡位。在该条件下,当T-box状态机为running或者listen,收到唤醒指令且收到远程控制门锁指令,则T-box会将车窗控制指令发送给车身控制器,车身控制器则执行门锁控制指令。
整体的流程图如下所示。
▲图 远程门锁控制流
除了车窗和门锁控制,还有其他类似的远程控制功能,比如远程充电控制、远程车门控制、远程寻车、远程空调控制、远程控制净化器、远程座椅加热控制等等。
03.
远程车辆监控
1 车辆状态上报
当车辆被非法入侵BDCM发出非法入侵报警后,TBox采集车身状态信息和报警标志上传到TSP,TSP同步给APP报警信息,并通知车主。
当车辆被异常移动,如碰撞、拖车、溜车等,触发TBox的G-sensor阈值,TBox将车身数据和报警标志上传给TSP,TSP将报警信息同步给APP并通知客户。
该功能触发的前提条件为车辆处于锁车状态;车辆挡位为P挡; 触发G-sensor阈值唤醒T-Box;GNSS位置相较于listen/sleep前位置移动≥600m。
功能的流程图如下所示。
▲图 车辆状态上报流
2 车辆信息周期上报
TBox采集车辆状态、位置等相关信息,周期性的上报到TSP。该功能在整车上高压正常,且T-box处于功能正常状态。
▲图 车辆信息周期上报流
3 紧急求救功能eCall
eCall有两种发起的方式,一种是主动发起的方式,这种方式是由车上的人员主动触发车上的eCall按钮发起的;另外一种方式是被动发起。由于交通事故碰撞等原因导致车上的安全气囊弹出,TBox收到报文后,自动拨打eCall电话。
车辆被碰撞之后或者手动按下SOS按键时,TBox采集车辆位置信息和车辆信息上传至TSP,而后自动拨打救援中心电话建立通话,并把通话过程显示在CID。
功能的执行流程如下所示。
a. eCall系统会在汽车启动后启动,并完成所有初始化;
b. 手动或被动触发eCall后,LTE中的modem上的所有其他通讯暂停,并且Mic和Spk都将切换到eCall服务,将其他音源mute;
c. 车上的eCall系统基本同时和急救系统建立数据与语音通讯链路;
d. 当急救中心后台收到eCall请求, eCall系统会首先上传MSD数据;
e. 当MSD数据从传输成功后,接通车辆与急救中心的语音链接,车上人员与急救中心后台人员通话;
f. 急救中心后台自动解析MSD数据,并根据MSD数据内容及时调度最近的救援;
g. 当急救中心后台发现数据有误时,可重复请求MSD数据直到数据正确为止;
▲图 紧急呼叫流
04.
OTA功能
Tbox支持软件在线升级功能,负责自己和域内其它ETH节点的升级。在Tbox软件中会部署第三方提供的升级管理模块,负责升级包下载、备份、还原、升级状态管控、从节点升级包传输,同时还部署程序安装模块,负责Tbox自身固件和软件的刷写。
OTA升级方式主要有以下三种:
主动升级:由车主在HU大屏上点击设置,进入版本查询与升级,主动发起版本查询、下载、升级事宜,并且相应步骤都应给用户充分都提示和确认,多用于用户在取消推送升级后进行手动发起OTA升级。
推送升级:由OTA升级服务器后台推送版本升级,车主在HU大屏货手机APP上上点击确认,下载、升级由后台OTA升级程序自动完成,过程中给用户一次性授权提示和操作,多用于重大功能更新迭代,提高OTA升级覆盖率。
静默升级:主要用来强制性修复重大bug,上电满足版本查询和下载条件后Tbox就运行OTA功能,进行查询和下载,下载完成后等待升级条件满足,条件满足后进行强制性升级,升级时间段多选择在半夜12点后。
OTA都升级软件包有以下两种:
差分升级包:差分升级包是指在当前版本之上有新版本可升级,且版本跨度不大,更改内容比较小,制作差分升级包来供设备升级,从而达到节省升级时间、提高升级效率、节约流量、内存占用小的目的。
全量升级包:全量升级包则是一个完整的升级包,适用于版本跨度大,更改内容较多,升级重要内容的版本,优点是安全、稳定,缺点是软件包大,下载时间长,升级时长。
其中主动升级的流程为例,其流程如下。
查询、下载
升级
-end-
分享不易,恳请点个【👍】和【在看】
