符合國六排放監控要求的車載終端設計

錢國平 夏寶華 武錫斌 劉蓮芳 田俊濤

（北京福田汽車股份有限公司 北京市 102206）

在我國，互聯網汽車正處于高速發展，智能網絡設備在汽車上的應用越來越廣泛。T-Box 做為現代智能網聯系統中一個非常重要的部件，目前對于車輛接入智能網聯系統來說，國家是沒有強制的標準要求汽車整車制造產商將汽車整車接入智能網聯系統，但是汽車整車制造廠商對于上市車輛接入智能網聯系統，這事實上已經是一個默認的標配了。

對于重型商用車輛（本案簡稱重卡），為了保護生態防止車輛尾氣污染大氣，2018年我國國家環境生態部和國家市場監督總局聯合制定發布了《GB17691-2018 重型車國六排放標準》（本案簡稱國六標準）[1]，標準強制規定重型商用車輛必須安裝車載終端用以收集車輛發動機尾氣排放等相關數據，并將采集數據實時上傳到國家平臺、企業平臺以及地方平臺，以便國家環境部門能實時監控重卡尾氣排放即時調整我國生態環境保護策略。

因此T-Box 將做為重卡強制安裝的車載終端，其除了實現上代遠程信息系統（Telecommunication-Informatics，Telematics）功能外，還必須按照國六標準實時收集數據并將數據上傳到相關的平臺。

1 當前的現狀與本案目標

1.1 分析現狀與T-Box功能說明

做為實現遠程控制功能的車載部件，T-Box 部件首先是接入車輛的控制器局域網絡（Controller Area Network，CAN），連接車身控制模塊（Body Control Module，BCM）、發動機控制單元（EngineControl Unit，ECM）和其他電子控制單元（Electronic Control Unit，ECU），其次T-Box 部署全球定位系統（Global Positioning System，GPS）和移動無線上網模塊，可以實現定位車輛位置和方便地接入遠程信息服務供應商（Telematics Service Provider，TSP）。因此可以說T-Box 是接入智能網聯系統的重要部件：如果以TSP 角色來透視T-Box，T-Box 就是接入智能網聯的車輛化身。

以T-Box 配備的移動無線上網模塊的制式來劃分，可以將T-Box分為第二代移動通信（the 2nd Generation mobile communication technology，2G）/ 第三代移動通信（the 3rd Generation mobile communication technology，3G）和4G T-Box。2G/3G 時代的T-Box，甚至4G 時代的一些廠家的低成本T-Box 解決方案，設計時大多是采用微型控制單元（Micro Control Unit，MCU）+調制解調器（modem）的方案，我們叫做上代T-Box，其典型系統框圖如圖1。

圖1顯示了上代T-Box 原型的系統框圖：MCU 是T-Box 主要部件，負責執行T 遠程控制車輛行為；modem 負責移動無線上網；MCU 與modem 之間使用通用異步收發傳輸器（Universal Asynchronous Receiver Transmitter，UART）進行數據通信[2]。

1.2 T-Box需要覆蓋國六標準的基本要求

解讀國六標準對于車載終端T-Box 的技術基本要求：

（1）采集：對于CAN 數據的采集頻率1 赫茲(Hertz，Hz)；

（2）上傳：數據使用傳輸控制協議/網際協議（Transmission Control Protocol/Internet Protocol，TCP/IP）封包上傳到平臺，傳輸協議基于新能源《國標GB-32960》[3]；

（3）備份：數據傳輸失敗需實時保存到T-Box 內，至少保存7 天的數據，以及掉電數據都要存在；

（4）加密：對于安全定義，車載終端對應傳輸、存儲的數據是必須加密的，采用非對稱加密算法，必須使用RSA 算法和國密SM2 算法，且一定是硬件芯片對私鑰進行嚴格保護。

1.3 上代T-Box的缺陷

基于國六標準定義，因為上代T-Box 在技術實現手段和設計方法的落后，對于軟件架構與實現以及硬件體系方案，特別是：

（1）CAN 數據實時采集與處理；

（2）TCP/IP 協議封包；

（3）加密與安全實現。

單片機方式的程序代碼是幾乎不能構造和實現這些功能的，因此方案實現成功的可能性是零。所以目前上代T-Box 是無法適應國六標準定義的基本要求。

1.4 本案的目標

本案在分析了上代T-Box 技術局限和設計落后的現狀，提出：需要重新設計一種新架構的T-Box，擬使用微型處理器單元（Micro Process Unit，MPU）加MCU 的方案，這樣就能繼承上代T-Box 的功能，又能覆蓋國六標準的定義。

新設計的國六標準4G T-Box 解決方案，我們將使用高成熟度的模塊化設計思想與實現方法，從結構防水處理、硬件體系結構、軟件構造框架三個方面深入與滲透模塊化設計并切實實現[4]。對于上代T-Box 可以分化做為一個子模塊集成到模塊化的4G T-Box 中，這樣對于上代T-Box 是繼承，并且拓展新的模塊化功能，這樣就可以“既能繼承上代T-Box 的功能，又能全部覆蓋國六標準的定義”。這也就是本案的最終極目標。

2 覆蓋國六標準的T-Box設計方案

2.1 結構防水設計方案

根據GB17691-2018 中描述對排放的要求為進入防護（Ingress Protection，IP）54 等級，要求T-Box 結構方案滿足IP54 的防塵防水等級。本案結構設計方案如圖2。

圖1：上代T-Box 系統框圖

圖2：結構設計圖

結構組件說明如表1所示。

表1：結構組件說明表

本案結構設中接口部位有3 件防水環組件，IP54 的防塵防水等級。

2.2 硬件設計方案

本案的硬件框圖如圖3。

圖3：硬件框圖

本案硬件設計優勢：

（1）使用模塊化設計思想指導硬件體系設計，內部總線實現自定義接口，現在使用4G 模塊，未來擴展到基于蜂窩的車輛互聯（Cellular-Vehicle to Everything，C-C2X）和第五代移動通信的引腳對引腳（the 5th Generation mobile communication technology pin to pin，5G pin2pin）模塊，這樣的設計思想減小硬件設計風險和降低硬件設計成本。

（2）硬件設計中也考慮到了低功耗藍牙（Bluetooth Low Energy，BLE）以及無線局域網（Wi-Fi），當車輛有需要規劃智能藍牙鑰匙[5]功能，因有硬件體系的支撐，軟件系統可以很快地迭代出智能藍牙鑰匙業務功能。

（3）移動無線上網模塊是4G 全網通，在國內完全兼容移動、電信和聯通三大運營商，設備運維時將不受運營商身份識別卡（Subscriber Identity Module，SIM）卡和移動網絡制式限制，集團公司對于T-Box 運營管理很是方便。

2.3 軟件設計方案

本案軟件框圖如圖4。

本案軟件設計優勢：

（1）軟件設計中，充分考慮了兼容性與開發性以及完全性，設備有硬件加密芯片，可以保證設備不受外界地網絡攻擊；同時兼容性和開放性的設計思想，便于未來擴充功能軟件模塊的植入，也以開放的接口便于第三方軟件的集成。

（2）全面支持空中升級（Over The Air，OTA），有整車OTA的設計實現思想，若車輛其他ECU 支持通過CAN 或車載以太網（Ethernet）升級協議，則T-Box 便能將這些ECU 的升級納入OTA框架內，極大地方便了4S 店以及研發對于車輛的技術支持。

（3）對于CAN 矩陣（Matrix）以及各種車型的匹配，軟件具有自適應框架，設備的安裝不局限與某臺車輛或某種型號綁死關系，軟件可以通過一定的策略自動匹配CAN Matrix 以適配所有車型。

3 安全訪問與加密解密實現

3.1 加密解密實現

國六標準要求車載平臺傳輸數據到平臺時，需要將數據加密后再上傳，且需要將使用硬件方式對加密私鑰進行保護。本案在硬件設計中部署硬加密芯片來實現硬件安全模塊（Hardware Security Module，HSM），私鑰保存在硬件芯片中。

通常設計HSM 時，大多數解決方案都是接入MPU。從圖3可以看到，本案HSM 通過通用型之輸入輸出（General-purpose input/output，GPIO）與MCU 通信，這一點上本案的HSM 解決方案與眾不同。這樣做并非標新立異，其目的是為MPU 節省寶貴的GPIO資源，另外從安全的角度看MPU 使用加密解密的具體操作實現是透過MCU 與HSM 芯片來完成的，MCU 與HSM 芯片具體完成加密解密的交互。這樣在MPU 與HSM 之間MCU 充當了T-Box 的防火墻作用，可以防止外部設備直接攻擊MPU 的加密解密行為。本案數據加密與解密處理實現流程如圖5。

由圖5可以看到：

圖4：軟件框圖

圖5：加密解密流程圖

圖6：T-Box 24 小時休眠電流統計圖

（1）MPU 在執行加密流程時，步驟4 請求MCU 在HSM 芯片完成具體數據加密過程；

（2）MPU 在執行解密流程時，步驟3 請求MCU 在HSM 芯片完成具體數據解密密過程；

對于MPU 來說，請求MCU 完成加密和解密過程，程序代碼實現就像調用本地應用程序接口（Application Programming Interface，API）一樣，毋需多余的處理過程。

3.2 安全訪問

T-Box 系統在實現時充分的考慮了入侵防御系統（Intrusion Prevention System，IPS），數據在交換傳輸進行中，IPS 主動對數據進行掃描，如實時發現惡意數據和惡意攻擊行為，IPS 就立即開啟主動防御策略：

（1）記錄攻擊行為的IP 地址以及物理地址（Media Access Control Address，MAC 地址）并寫入T-Box 防火墻黑名單內；

（2）主動關閉當前無線數據網絡，切斷當前的攻擊行為。然后T-Box 重新請求modem 發起新的撥號動作請求數據網絡重新分配IP 地址。

（3）請求MCU 立即結束當前與ECU 的會話，MCU 重新請求CAN 通信的種子（seed），并重新計算CAN 通信密鑰，與ECU重新建立新的會話。

對于網絡攻擊，本案能實現國六標準過檢11 大項44 小項測試項目，如表2所列。

表2：國六安全訪問測試項目

4 休眠電流控制原理

4.1 休眠電流要求

在完成論述國六標準T-Box 設計方案之后，另外問題是要解決休眠電流滿足集團公司企業標準。T-Box 與車機等其他車載設備最大的區別是：當車輛處于輔助設備供電關閉（Accessory OFF，ACC Off）狀態，車輛閉鎖后，車機要求是進入徹底下電狀態，此時車機不再消耗電力；而T-Box 則要進入休眠狀態，T-Box 主中央處理器單元（Central Process Unit，CPU）不再工作，T-Box 整機處于休眠狀態，依舊消耗電力。[6]

T-Box 整機處于休眠狀態時，若休眠電流消耗電力比較大，會造成車輛饋電問題，這樣會導致：

（1）嚴重損害車輛電池使用壽命；

（2）電池饋電后，下次車輛打火會失敗。

集團公司企業標準要求裝車后的T-Box 滿足：額定工作電壓為12 伏特（Volt，V）時，休眠電流<=3mA，長期休眠待機保證車輛30 天內電池不饋電。

4.2 休眠電力消耗計算

車載電子電器設備的功率計算公式如下：

式中：

P 是功率。度量單位是瓦（watt，w），符號是w。

U 是額定電壓，度量單位是伏特，符號是V。

I 是額定電流，度量單位是安培（Ampere，A），符號是A。

假設設備額定工作電壓為1V，額定工作電流為1A，那么設備功率使用式（1）計算為：

車載電子電器設備的電力消耗計算公式如下：

式中：

W 是用電量，也就是本案中提及的電力消耗。度量單位是度，即千瓦·時。

P 是功率。度量單位是瓦（watt，w），符號是w。

t 是工作時間，度量單位是小時

注解：

1 度 = 1 千瓦（kilowatt，kw）·時 = 1，000 瓦（watt, w）·時。

假設額定工作電壓為1V，額定工作電流為1A，那么1w =1V*1A。

根據福田企業T-Box 標準，那么T-Box 休眠后休眠電流<=3mA，那么T-Box 休眠后額定功率要求不能超過：

休眠30 天電力消耗為：

4.3 本案T-Box滿足要求

本案設計的T-Box 為MPU+MCU 解決方案，車輛進入ACC Off狀態且鎖車后，T-Box 進入休眠狀態，此時：

（1）MCU 是下電狀態，不再消耗車輛電池電力；

（2）MPU 是主CPU+modem 集成模組，主CPU 工作頻率為0不再消耗車輛電池電力。而modem 根據第三代合作伙伴計劃（3rd generation partnership project，3GPP）的規格定義，modem 進入休眠時modem 應該處于非連續性接收（Discontinuous Reception，DRX）節電工作模式。

由以上可以看出此時整個T-Box 只有modem 處于DRX 節電工作模式，其他部件都是下電狀態或工作頻率為0，那么T-Box 的休眠是的額定平均工作電流就是modem 的額定平均工作電流。那么T-Box 的電力消耗也就是modem 的電力消耗。

表3列出某公司EC20 模組休眠時modem 最大的額定工作電流。

表3：modem 休眠額定工作電流表

從表3我們可以看出EC20 模組處于休眠狀態時，modem 在節電工作模式下分別注冊到2G/3G/4G 網絡時，其額定工作電流<3mA。這也就是說T-Box 整體休眠電流<3mA，滿足福田企業標準。

4.4 T-Box靜默升級電力消耗

為了進一步說明本案T-Box 休眠電流滿足<3mA 的標準，對于休眠中的T-Box 我們派發一項靜默升級任務：該升級任務需要將T-Box 從休眠中喚醒[7]進入工作狀態，從平臺下載軟件包，完成自身軟件更新，然后繼續進入休眠。此過程T-Box 需要在工作態工作10 分鐘，默認工作態平均工作電流為150mA。我們來看看這10 分種的靜默升級任務對于24 小時統計T-Box 平均休眠電流的影響是否依舊滿足福田企業標準：休眠電流<3mA

假定T-Box 處于4G LTE FDD PF=128 制式下休眠狀態，這種模式下T-Box 的休眠電流為1.9mA。

理論推導計算方法是這樣的：T-Box 的10 分鐘靜默升級的電力消耗=24 小時平均增加的電力消耗。

根據以上理論依據，列出方程式如下：

式中：

U0T-Box 喚醒后額定工作電壓，本案中為12V。

I0T-Box 升級中平均工作電流，本案中為150mA，即0.15A。

t0T-Box 本次升級花費時間，本案中為10 分鐘，即1/6 小時。

U1T-Box 休眠后后額定工作電壓，本案中為12V。

I1T-Box 本次靜默升級花費的電力平均到24 小時休眠電流統計中增的影響部分，本案中需要理論推導計算出來。

t1T-Box 休眠統計時間，本案中為24 小時。

將以上值代入式（3）中，建立方程式如下：

解式（4）求得：

即本次靜默升級任務給24 小時休眠的T-Box 平均電流統計帶來了1.042mA 的增加量。那么本次T-Box 24 小時休眠電流統計消耗為（含10 分鐘的靜默升級任務）：

可以看出，本案T-Box 在24 小時休眠電流統計中，即使有長達10 分鐘的突發靜默升級任務，休眠電流滿足福田企業標準。其電力消耗能滿足長期休眠待機保證車輛30 天內電池不饋電的福田企業標準。

4.5 實驗驗證

接下來，我們使用電流表計在線測量統計一下T-Box 樣件在24 小時內休眠平均電流。電流表計24 小時實時采集休眠中T-Box電流統計圖如圖6。

根據電流表計算測試結果：24 小時內平均電流為1.9266mA，小于3mA，滿足福田企業標準。

5 結論

目前市場上的T-Box 多是MCU+Modem 框架設計，這是一種低端低成本設計方案，對于OTA/數據網絡/Telematic 等業務的支持非常受限，比如實現一些高級Telematcis 功能要使用一些高級的智能網聯協議如下一代Telematics 協議（Next Generation Telematics Protocol，NGTP）/消息隊列遙測傳輸協議（Message Queuing Telemetry Transport，MQTT）等，這類設備的軟件幾乎是無法實現。本案的T-Box是MPU+MCU+加密芯片方案，MPU是開放CPU（open CPU），可以加載嵌入式Linux 操作系統[8]，這樣MPU 有操作系統支持就可以方便地設計和擴充軟件模塊，且全面支持各種智能網聯協議。從智能化的角度看，本案的T-Box 可以追平與跨越現有智能網聯的設備與概念[9]。

本案T-Box 在設計之初對于上代T-Box 的功能并非摒棄，而是考慮繼承了上代T-Box 的所有功能，例如：對于智能化卡車管理，提供遠程配置接口，不限于數據遠程配置，也支持短信（Short Message Service，SMS）配置實現，在邊遠山區或數據網絡不方便的地區，SMS 的支持可以確保T-Box 永遠都能連接到集團公司TSP，保證任何一臺激活的T-Box 不失聯。

方案在設計時也充分解讀了新能源車輛的標準以及國六重卡標準，無論從方案理念還是方案的具體實現，本案T-Box 都符合國六標準。