符合国六排放监控要求的车载终端设计

钱国平 夏宝华 武锡斌 刘莲芳 田俊涛

（北京福田汽车股份有限公司 北京市 102206）

在我国，互联网汽车正处于高速发展，智能网络设备在汽车上的应用越来越广泛。T-Box 做为现代智能网联系统中一个非常重要的部件，目前对于车辆接入智能网联系统来说，国家是没有强制的标准要求汽车整车制造产商将汽车整车接入智能网联系统，但是汽车整车制造厂商对于上市车辆接入智能网联系统，这事实上已经是一个默认的标配了。

对于重型商用车辆（本案简称重卡），为了保护生态防止车辆尾气污染大气，2018年我国国家环境生态部和国家市场监督总局联合制定发布了《GB17691-2018 重型车国六排放标准》（本案简称国六标准）[1]，标准强制规定重型商用车辆必须安装车载终端用以收集车辆发动机尾气排放等相关数据，并将采集数据实时上传到国家平台、企业平台以及地方平台，以便国家环境部门能实时监控重卡尾气排放即时调整我国生态环境保护策略。

因此T-Box 将做为重卡强制安装的车载终端，其除了实现上代远程信息系统（Telecommunication-Informatics，Telematics）功能外，还必须按照国六标准实时收集数据并将数据上传到相关的平台。

1 当前的现状与本案目标

1.1 分析现状与T-Box功能说明

做为实现远程控制功能的车载部件，T-Box 部件首先是接入车辆的控制器局域网络（Controller Area Network，CAN），连接车身控制模块（Body Control Module，BCM）、发动机控制单元（EngineControl Unit，ECM）和其他电子控制单元（Electronic Control Unit，ECU），其次T-Box 部署全球定位系统（Global Positioning System，GPS）和移动无线上网模块，可以实现定位车辆位置和方便地接入远程信息服务供应商（Telematics Service Provider，TSP）。因此可以说T-Box 是接入智能网联系统的重要部件：如果以TSP 角色来透视T-Box，T-Box 就是接入智能网联的车辆化身。

以T-Box 配备的移动无线上网模块的制式来划分，可以将T-Box分为第二代移动通信（the 2nd Generation mobile communication technology，2G）/ 第三代移动通信（the 3rd Generation mobile communication technology，3G）和4G T-Box。2G/3G 时代的T-Box，甚至4G 时代的一些厂家的低成本T-Box 解决方案，设计时大多是采用微型控制单元（Micro Control Unit，MCU）+调制解调器（modem）的方案，我们叫做上代T-Box，其典型系统框图如图1。

图1显示了上代T-Box 原型的系统框图：MCU 是T-Box 主要部件，负责执行T 远程控制车辆行为；modem 负责移动无线上网；MCU 与modem 之间使用通用异步收发传输器（Universal Asynchronous Receiver Transmitter，UART）进行数据通信[2]。

1.2 T-Box需要覆盖国六标准的基本要求

解读国六标准对于车载终端T-Box 的技术基本要求：

（1）采集：对于CAN 数据的采集频率1 赫兹(Hertz，Hz)；

（2）上传：数据使用传输控制协议/网际协议（Transmission Control Protocol/Internet Protocol，TCP/IP）封包上传到平台，传输协议基于新能源《国标GB-32960》[3]；

（3）备份：数据传输失败需实时保存到T-Box 内，至少保存7 天的数据，以及掉电数据都要存在；

（4）加密：对于安全定义，车载终端对应传输、存储的数据是必须加密的，采用非对称加密算法，必须使用RSA 算法和国密SM2 算法，且一定是硬件芯片对私钥进行严格保护。

1.3 上代T-Box的缺陷

基于国六标准定义，因为上代T-Box 在技术实现手段和设计方法的落后，对于软件架构与实现以及硬件体系方案，特别是：

（1）CAN 数据实时采集与处理；

（2）TCP/IP 协议封包；

（3）加密与安全实现。

单片机方式的程序代码是几乎不能构造和实现这些功能的，因此方案实现成功的可能性是零。所以目前上代T-Box 是无法适应国六标准定义的基本要求。

1.4 本案的目标

本案在分析了上代T-Box 技术局限和设计落后的现状，提出：需要重新设计一种新架构的T-Box，拟使用微型处理器单元（Micro Process Unit，MPU）加MCU 的方案，这样就能继承上代T-Box 的功能，又能覆盖国六标准的定义。

新设计的国六标准4G T-Box 解决方案，我们将使用高成熟度的模块化设计思想与实现方法，从结构防水处理、硬件体系结构、软件构造框架三个方面深入与渗透模块化设计并切实实现[4]。对于上代T-Box 可以分化做为一个子模块集成到模块化的4G T-Box 中，这样对于上代T-Box 是继承，并且拓展新的模块化功能，这样就可以“既能继承上代T-Box 的功能，又能全部覆盖国六标准的定义”。这也就是本案的最终极目标。

2 覆盖国六标准的T-Box设计方案

2.1 结构防水设计方案

根据GB17691-2018 中描述对排放的要求为进入防护（Ingress Protection，IP）54 等级，要求T-Box 结构方案满足IP54 的防尘防水等级。本案结构设计方案如图2。

图1：上代T-Box 系统框图

图2：结构设计图

结构组件说明如表1所示。

表1：结构组件说明表

本案结构设中接口部位有3 件防水环组件，IP54 的防尘防水等级。

2.2 硬件设计方案

本案的硬件框图如图3。

图3：硬件框图

本案硬件设计优势：

（1）使用模块化设计思想指导硬件体系设计，内部总线实现自定义接口，现在使用4G 模块，未来扩展到基于蜂窝的车辆互联（Cellular-Vehicle to Everything，C-C2X）和第五代移动通信的引脚对引脚（the 5th Generation mobile communication technology pin to pin，5G pin2pin）模块，这样的设计思想减小硬件设计风险和降低硬件设计成本。

（2）硬件设计中也考虑到了低功耗蓝牙（Bluetooth Low Energy，BLE）以及无线局域网（Wi-Fi），当车辆有需要规划智能蓝牙钥匙[5]功能，因有硬件体系的支撑，软件系统可以很快地迭代出智能蓝牙钥匙业务功能。

（3）移动无线上网模块是4G 全网通，在国内完全兼容移动、电信和联通三大运营商，设备运维时将不受运营商身份识别卡（Subscriber Identity Module，SIM）卡和移动网络制式限制，集团公司对于T-Box 运营管理很是方便。

2.3 软件设计方案

本案软件框图如图4。

本案软件设计优势：

（1）软件设计中，充分考虑了兼容性与开发性以及完全性，设备有硬件加密芯片，可以保证设备不受外界地网络攻击；同时兼容性和开放性的设计思想，便于未来扩充功能软件模块的植入，也以开放的接口便于第三方软件的集成。

（2）全面支持空中升级（Over The Air，OTA），有整车OTA的设计实现思想，若车辆其他ECU 支持通过CAN 或车载以太网（Ethernet）升级协议，则T-Box 便能将这些ECU 的升级纳入OTA框架内，极大地方便了4S 店以及研发对于车辆的技术支持。

（3）对于CAN 矩阵（Matrix）以及各种车型的匹配，软件具有自适应框架，设备的安装不局限与某台车辆或某种型号绑死关系，软件可以通过一定的策略自动匹配CAN Matrix 以适配所有车型。

3 安全访问与加密解密实现

3.1 加密解密实现

国六标准要求车载平台传输数据到平台时，需要将数据加密后再上传，且需要将使用硬件方式对加密私钥进行保护。本案在硬件设计中部署硬加密芯片来实现硬件安全模块（Hardware Security Module，HSM），私钥保存在硬件芯片中。

通常设计HSM 时，大多数解决方案都是接入MPU。从图3可以看到，本案HSM 通过通用型之输入输出（General-purpose input/output，GPIO）与MCU 通信，这一点上本案的HSM 解决方案与众不同。这样做并非标新立异，其目的是为MPU 节省宝贵的GPIO资源，另外从安全的角度看MPU 使用加密解密的具体操作实现是透过MCU 与HSM 芯片来完成的，MCU 与HSM 芯片具体完成加密解密的交互。这样在MPU 与HSM 之间MCU 充当了T-Box 的防火墙作用，可以防止外部设备直接攻击MPU 的加密解密行为。本案数据加密与解密处理实现流程如图5。

由图5可以看到：

图4：软件框图

图5：加密解密流程图

图6：T-Box 24 小时休眠电流统计图

（1）MPU 在执行加密流程时，步骤4 请求MCU 在HSM 芯片完成具体数据加密过程；

（2）MPU 在执行解密流程时，步骤3 请求MCU 在HSM 芯片完成具体数据解密密过程；

对于MPU 来说，请求MCU 完成加密和解密过程，程序代码实现就像调用本地应用程序接口（Application Programming Interface，API）一样，毋需多余的处理过程。

3.2 安全访问

T-Box 系统在实现时充分的考虑了入侵防御系统（Intrusion Prevention System，IPS），数据在交换传输进行中，IPS 主动对数据进行扫描，如实时发现恶意数据和恶意攻击行为，IPS 就立即开启主动防御策略：

（1）记录攻击行为的IP 地址以及物理地址（Media Access Control Address，MAC 地址）并写入T-Box 防火墙黑名单内；

（2）主动关闭当前无线数据网络，切断当前的攻击行为。然后T-Box 重新请求modem 发起新的拨号动作请求数据网络重新分配IP 地址。

（3）请求MCU 立即结束当前与ECU 的会话，MCU 重新请求CAN 通信的种子（seed），并重新计算CAN 通信密钥，与ECU重新建立新的会话。

对于网络攻击，本案能实现国六标准过检11 大项44 小项测试项目，如表2所列。

表2：国六安全访问测试项目

4 休眠电流控制原理

4.1 休眠电流要求

在完成论述国六标准T-Box 设计方案之后，另外问题是要解决休眠电流满足集团公司企业标准。T-Box 与车机等其他车载设备最大的区别是：当车辆处于辅助设备供电关闭（Accessory OFF，ACC Off）状态，车辆闭锁后，车机要求是进入彻底下电状态，此时车机不再消耗电力；而T-Box 则要进入休眠状态，T-Box 主中央处理器单元（Central Process Unit，CPU）不再工作，T-Box 整机处于休眠状态，依旧消耗电力。[6]

T-Box 整机处于休眠状态时，若休眠电流消耗电力比较大，会造成车辆馈电问题，这样会导致：

（1）严重损害车辆电池使用寿命；

（2）电池馈电后，下次车辆打火会失败。

集团公司企业标准要求装车后的T-Box 满足：额定工作电压为12 伏特（Volt，V）时，休眠电流<=3mA，长期休眠待机保证车辆30 天内电池不馈电。

4.2 休眠电力消耗计算

车载电子电器设备的功率计算公式如下：

式中：

P 是功率。度量单位是瓦（watt，w），符号是w。

U 是额定电压，度量单位是伏特，符号是V。

I 是额定电流，度量单位是安培（Ampere，A），符号是A。

假设设备额定工作电压为1V，额定工作电流为1A，那么设备功率使用式（1）计算为：

车载电子电器设备的电力消耗计算公式如下：

式中：

W 是用电量，也就是本案中提及的电力消耗。度量单位是度，即千瓦·时。

P 是功率。度量单位是瓦（watt，w），符号是w。

t 是工作时间，度量单位是小时

注解：

1 度 = 1 千瓦（kilowatt，kw）·时 = 1，000 瓦（watt, w）·时。

假设额定工作电压为1V，额定工作电流为1A，那么1w =1V*1A。

根据福田企业T-Box 标准，那么T-Box 休眠后休眠电流<=3mA，那么T-Box 休眠后额定功率要求不能超过：

休眠30 天电力消耗为：

4.3 本案T-Box满足要求

本案设计的T-Box 为MPU+MCU 解决方案，车辆进入ACC Off状态且锁车后，T-Box 进入休眠状态，此时：

（1）MCU 是下电状态，不再消耗车辆电池电力；

（2）MPU 是主CPU+modem 集成模组，主CPU 工作频率为0不再消耗车辆电池电力。而modem 根据第三代合作伙伴计划（3rd generation partnership project，3GPP）的规格定义，modem 进入休眠时modem 应该处于非连续性接收（Discontinuous Reception，DRX）节电工作模式。

由以上可以看出此时整个T-Box 只有modem 处于DRX 节电工作模式，其他部件都是下电状态或工作频率为0，那么T-Box 的休眠是的额定平均工作电流就是modem 的额定平均工作电流。那么T-Box 的电力消耗也就是modem 的电力消耗。

表3列出某公司EC20 模组休眠时modem 最大的额定工作电流。

表3：modem 休眠额定工作电流表

从表3我们可以看出EC20 模组处于休眠状态时，modem 在节电工作模式下分别注册到2G/3G/4G 网络时，其额定工作电流<3mA。这也就是说T-Box 整体休眠电流<3mA，满足福田企业标准。

4.4 T-Box静默升级电力消耗

为了进一步说明本案T-Box 休眠电流满足<3mA 的标准，对于休眠中的T-Box 我们派发一项静默升级任务：该升级任务需要将T-Box 从休眠中唤醒[7]进入工作状态，从平台下载软件包，完成自身软件更新，然后继续进入休眠。此过程T-Box 需要在工作态工作10 分钟，默认工作态平均工作电流为150mA。我们来看看这10 分种的静默升级任务对于24 小时统计T-Box 平均休眠电流的影响是否依旧满足福田企业标准：休眠电流<3mA

假定T-Box 处于4G LTE FDD PF=128 制式下休眠状态，这种模式下T-Box 的休眠电流为1.9mA。

理论推导计算方法是这样的：T-Box 的10 分钟静默升级的电力消耗=24 小时平均增加的电力消耗。

根据以上理论依据，列出方程式如下：

式中：

U0T-Box 唤醒后额定工作电压，本案中为12V。

I0T-Box 升级中平均工作电流，本案中为150mA，即0.15A。

t0T-Box 本次升级花费时间，本案中为10 分钟，即1/6 小时。

U1T-Box 休眠后后额定工作电压，本案中为12V。

I1T-Box 本次静默升级花费的电力平均到24 小时休眠电流统计中增的影响部分，本案中需要理论推导计算出来。

t1T-Box 休眠统计时间，本案中为24 小时。

将以上值代入式（3）中，建立方程式如下：

解式（4）求得：

即本次静默升级任务给24 小时休眠的T-Box 平均电流统计带来了1.042mA 的增加量。那么本次T-Box 24 小时休眠电流统计消耗为（含10 分钟的静默升级任务）：

可以看出，本案T-Box 在24 小时休眠电流统计中，即使有长达10 分钟的突发静默升级任务，休眠电流满足福田企业标准。其电力消耗能满足长期休眠待机保证车辆30 天内电池不馈电的福田企业标准。

4.5 实验验证

接下来，我们使用电流表计在线测量统计一下T-Box 样件在24 小时内休眠平均电流。电流表计24 小时实时采集休眠中T-Box电流统计图如图6。

根据电流表计算测试结果：24 小时内平均电流为1.9266mA，小于3mA，满足福田企业标准。

5 结论

目前市场上的T-Box 多是MCU+Modem 框架设计，这是一种低端低成本设计方案，对于OTA/数据网络/Telematic 等业务的支持非常受限，比如实现一些高级Telematcis 功能要使用一些高级的智能网联协议如下一代Telematics 协议（Next Generation Telematics Protocol，NGTP）/消息队列遥测传输协议（Message Queuing Telemetry Transport，MQTT）等，这类设备的软件几乎是无法实现。本案的T-Box是MPU+MCU+加密芯片方案，MPU是开放CPU（open CPU），可以加载嵌入式Linux 操作系统[8]，这样MPU 有操作系统支持就可以方便地设计和扩充软件模块，且全面支持各种智能网联协议。从智能化的角度看，本案的T-Box 可以追平与跨越现有智能网联的设备与概念[9]。

本案T-Box 在设计之初对于上代T-Box 的功能并非摒弃，而是考虑继承了上代T-Box 的所有功能，例如：对于智能化卡车管理，提供远程配置接口，不限于数据远程配置，也支持短信（Short Message Service，SMS）配置实现，在边远山区或数据网络不方便的地区，SMS 的支持可以确保T-Box 永远都能连接到集团公司TSP，保证任何一台激活的T-Box 不失联。

方案在设计时也充分解读了新能源车辆的标准以及国六重卡标准，无论从方案理念还是方案的具体实现，本案T-Box 都符合国六标准。