Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 26021-2 道路车辆 — 报废激活 — 第2部分:通信要求
通过车辆诊断总线激活烟火装置的数据链路协议和消息结构
1. 通信架构与协议栈
ISO 26021-2定义了报废激活工具与车辆烟火控制单元之间的通信要求。该标准规定了分层协议架构,该架构在车辆现有诊断总线上运行——通常为基于ISO 11898的控制器局域网总线,或较旧车辆基于ISO 14230的传统关键字协议2000。该协议设计在ISO 14229(统一诊断服务)定义的现有车辆诊断会话框架内运行。
ISO 26021-2通信协议并未定义新的物理层。相反,它规定了在现有诊断传输协议之上运行的应用层消息和会话管理规则。这一设计决策最大限度地降低了实施复杂度,并确保与现有车辆诊断基础设施的兼容性。
协议栈包含四个层:物理层(CAN或K线)、数据链路层(ISO 11898-1或ISO 14230-1)、传输层(CAN对应ISO 15765-2,KWP2000对应ISO 14230-2)以及ISO 26021-2定义的应用层。应用层定义了专用于烟火装置激活的服务标识符和数据标识符,区别于用于排放和动力总成诊断的标准UDS诊断服务。
| 协议层 | 标准 | 功能 |
|---|---|---|
| 物理层 | ISO 11898-2(高速CAN)或ISO 9141(K线) | 电信号电平、总线终端、连接器引脚定义 |
| 数据链路层 | ISO 11898-1(CAN)或ISO 14230-1(KWP2000) | 帧格式化、仲裁、错误检测、重传 |
| 传输层 | ISO 15765-2(CAN)或ISO 14230-2(KWP2000) | 多帧消息的分段、重组、流控制 |
| 应用层 | ISO 26021-2 | 激活服务请求、设备状态查询、会话管理 |
| 烟火会话层 | ISO 26021-2(会话0x07) | 具有提升安全权限的扩展诊断会话,用于起爆 |
通信协议强制执行严格的会话状态管理。只有在诊断工具成功建立了扩展诊断会话(会话0x07)并完成安全访问(基于ISO 14229-1的种子-密钥认证)后,激活命令才被接受。任何偏差——会话超时、安全访问失败或消息序列无效——都会立即锁定激活功能,需要重新建立会话。
2. 消息结构与激活序列
ISO 26021-2为三类通信定义了具体消息格式:(1)系统信息查询——获取烟火装置清单、点火管电阻和车辆特定起爆参数;(2)激活命令——触发单个装置或装置组的起爆;(3)状态报告——确认起爆成功、记录故障码和报告系统自检结果。
激活命令结构化为带有分配给烟火激活的专用程序标识符的UDS程序控制服务。该命令携带参数,指定要激活的装置及其顺序。车辆响应一个初步状态,指示激活请求是否被接受、正在等待验证检查或已被拒绝并附带诊断故障码说明原因。成功激活后,车辆报告每个寻址装置的起爆结果。
ISO 26021-2的一个关键工程特性是”空转”或”模拟模式”功能。激活工具可以发出仅查询命令,返回预期的激活结果而不实际起爆任何烟火装药。该模式对于培训、系统验证和激活前故障排除极为宝贵,无需承担实际起爆的成本、噪声和危险。
3. 安全与认证要求
安全关键通信需要强大的安全机制。ISO 26021-2要求在接受任何激活命令之前进行双因素认证。第一个因素是使用ISO 14229-1的种子-密钥算法的会话级安全访问,其中工具从车辆请求随机种子,使用制造商特定算法计算预期密钥,并将其发送回进行验证。第二个因素是消息级签名,必须附加到每个激活命令上以防止重放攻击。
消息签名使用滚动计数器和在整个激活命令消息(包括计数器值)上计算的CRC-32校验和。车辆维护自己的计数器,并拒绝任何计数器值与预期序列不匹配的命令。该机制防止攻击者记录和重放从不同车辆或先前激活会话捕获的有效激活命令。该标准还规定了连续激活命令之间的最小时间延迟,以防止烟火控制单元点火电路的热过载。
ISO 26021-2中的安全机制不是可选项——它们是强制要求。实施忽略或削弱这些安全控制的烟火激活系统会产生直接的安全隐患,因为未经授权的烟火装置激活可能导致严重人身伤害或死亡。系统集成商必须验证其工具和车辆端实施正确执行了所有指定的安全检查。
常见问题
问题1:ISO 26021-2通信能否在CAN FD上运行?
ISO 26021-2最初针对传统CAN(11位和29位标识符)制定。但实践中已通过将应用层消息原封不动地映射到CAN FD帧上实现了CAN FD兼容性。预计该标准将在未来修订版中正式采纳CAN FD。
ISO 26021-2最初针对传统CAN(11位和29位标识符)制定。但实践中已通过将应用层消息原封不动地映射到CAN FD帧上实现了CAN FD兼容性。预计该标准将在未来修订版中正式采纳CAN FD。
问题2:如果激活过程中通信链路中断会发生什么?
如果传输层检测到超时(在P2超时窗口内无响应,通常为50 ms),激活工具必须中止并重新建立诊断会话。车辆端实施必须在会话完整性丢失时终止任何进行中的激活序列。
如果传输层检测到超时(在P2超时窗口内无响应,通常为50 ms),激活工具必须中止并重新建立诊断会话。车辆端实施必须在会话完整性丢失时终止任何进行中的激活序列。
问题3:协议如何处理多个烟火控制单元?
每个PCU具有唯一的CAN标识符。激活工具使用寻址诊断请求与每个PCU单独通信。ECU寻址方案遵循ISO 15765-4的物理和功能寻址惯例。
每个PCU具有唯一的CAN标识符。激活工具使用寻址诊断请求与每个PCU单独通信。ECU寻址方案遵循ISO 15765-4的物理和功能寻址惯例。
问题4:安全算法是标准化的还是制造商特定的?
种子-密钥算法本身是制造商特定的,未在ISO 26021-2中发布。该标准仅定义了种子传输和密钥响应的机制。每家车辆制造商开发并保护自己的算法作为知识产权。激活工具开发者必须通过许可协议从制造商处获取这些算法。
种子-密钥算法本身是制造商特定的,未在ISO 26021-2中发布。该标准仅定义了种子传输和密钥响应的机制。每家车辆制造商开发并保护自己的算法作为知识产权。激活工具开发者必须通过许可协议从制造商处获取这些算法。
