专栏首页FreeBufCAN总线简介:如何以编程方式控制汽车

CAN总线简介:如何以编程方式控制汽车

最近,我正与Voyage公司的朋友合作研究,以实现福特Fusion空调系统(A/C)的编程控制。目前,Voyage公司正努力打造自动驾驶的终极目标:能够以低廉的价格成本和广泛的投放范围,把世界任何地方有用车需求的人们安全自动地送达目的地。对Voyage来说,在真正实现不需司机的无人驾驶之后,必须给予后座乘客对车辆关键功能的访问控制权。

Voyage Auto:硅谷自动自动驾驶出租车初创公司,由专注机器学习、人工智能等方面的在线培训机构Udacity于2017年4月成立,在无人驾驶领域,Voyage将与谷歌、特斯拉、Uber展开竞争。目前,Voyage已完成首轮种子融资和测试车辆外观研发。

CAN-Bus简介

CAN-Bus全称为“控制器局域网总线技术(Controller Area Network-Bus)”,是ISO国际标准化的串行通信协议,最早由德国BOSCH公司1983年开发,并最终成为国际标准(ISO 11898),是全球应用最广泛的现场总线之一。 在北美和西欧,CAN总线协议已经成为汽车计算机控制系统和嵌入式工业控制网络的标准协议。

现代汽车拥有大量控制系统,这些控制系统基于web技术开发并在多种微服务处理中发挥作用,如安全气囊、刹车、巡航控制、电动助力转向、音响系统、电动车窗、门、后视镜调整按钮、电池和充电系统等。这些系统需要相互通信和状态读取,因此CAN-Bus协议被开发并派上用场,如同为汽车配置了神经系统。

可以把CAN-Bus认为是汽车用来进行传感器数据传递的简单网络,它完美地集成了各种复杂部件,从而在汽车使用中展示和实现了各种我们所想所愿的各种新型功能。以下为1988年款的宝马8系,这是全球第一台采用CAN总线的汽车:

自动驾驶汽车与其CAN-Bus

随着自动驾驶技术的的飞速发展,CAN-Bus的应用概念也变得非常普及。为什么呢?因为很多自动驾驶公司并不会大规模地从头制造无人汽车,而是把关注点放在编程控制车辆方面。而通过汽车CAN-Bus协议的逆向工程分析,无人汽车工程师可以利用软件方式实现对汽车的命令发送控制,如转向、加速和刹车等。

通过使用类似激光雷达(LIDAR)这样的传感器,无人汽车就具备了超凡的“感知”世界的能力,车内微型PC可以就引导、加速、刹车等动作做出决定。因为自动驾驶技术的要求非常高,因而Voyage选择了福特Fusion电传线控方式(drive-by-wire!)来传递汽车控制讯号。可以点此阅读更多内容。

破解福特Fusion的CAN-Bus

开始破解福特Fusion温度控制系统时,《汽车黑客手册》成了我的研究参考首选。在深入之前,让我们来看看《汽车黑客手册》第2章描述的三个重要概念:总线协议、CAN总线协议、CAN帧。

CAN-Bus

CAN协议自1994年以来就成为了美国汽车和轻卡的一个行业标准,但分别在2001年和2008年才陆续成为欧盟和美国汽车工业制造的强制性标准。总体来说,CAN-Bus分为一条CAN high (CANH) 线和一条CAN low (CANL)线,通过差分信号传输,当信号传递进入时,CAN在CANH线中升压信号保持高电平,而在CANL中降压等量信号形成低电平状态。

这种差分信号传输方式一般用于对噪声有容错能力要求的环境,如汽车制动系统和生产制造行业中。以下为示波器中观察到的原始CAN信号:

也就是说,通过CAN-Bus传输的数据包不是标准的,每个CAN-Bus数据包包括四个主要部分:

Arbitration ID :用于标识发起通信请求的设备ID广播消息,并且任何一个设备组件都能发起多个Arbitration ID,如果两个CAN数据包同一时间在总线Bus内传输,则Arbitration ID较小的数据包先获得总线使用权,先被传输。 Identifier extension(标识符扩展,IDE) :对标准CAN协议来说,这个数据位总是为o; Data length code (数据长度代码,DLC): 代表数据的大小,从0到8字节不等; Data(数据): 传输数据本身,标准CAN总线可以承载最大数据包为8字节,但有些系统也强制使用8字节进行数据包填充。

标准CAN包格式

CAN帧

一辆车内有多种CAN总线,为了实现A/C系统的打开和关闭,我们需要找到正确的CAN运行总线,以福特Fusion来说,其中至少标记有4个总线,其中3个为运行500kbps的高速率CAN总线HS1、HS2、HS3,1个为运行125kbps的中速CAN总线MS。

OBD-II接口具备两种这类型CAN总线:HS1和HS2,但为了以防一些恶意命令,它们都是被阻断状态的。但在来自Voyage的Alan帮助下,我们彻底把OBD-II这个限制问题翻转解决了,我们发现了直接访问HS1、HS2、HS3和MS的方式。关键在于OBD-II接口背后,一个所有总线汇总,叫做网关模块(Gateway Module)的部件上。以下为Voyage第一辆无人驾驶出租车Homer后座控制接口概览:

由于A/C系统可以通过汽车的媒体界面(SYNC)进行更改,所以,我们直奔MS中速总线而去。但是我们如何才能让电脑可以读写CAN数据包呢?答案就是SocketCAN,这是一个由大众公司向Linux内核基金会研发的开源CAN驱动和网络栈协议集。

我们可以把车辆的GND、MSCANH、MSCANL3条线连接到Kvaser Leaf Light HSv2和CANable设备中,然后在另一端,使用安装有较新版本Linux内核的电脑连接,把CAN总线作为网络设备识别加载:

modprobe can modprobe kvaser_usb ip link set can0 type can bitrate 1250000 ifconfig can0 up

Kvaser Leaf Light HSv2亚马逊售价300美金,CANable在Tindie售价25美金,以下为中速总线MSCAN部件图:

GND:地线,公共接地线; MSCAN:中速总线,也称飞思卡尔控制器局域网总线,是BOSCH公司定义的CAN2.0和CAN3.0协议下的CAN总线控制器,是当前汽车控制器中流行的CAN控制框架。MSCANH、MSCANL为其高电平和低电平线。 Kvaser Leaf Light HSv2是一个用于CAN的单通道USB接口,它能够方便地把几个接口连接到标准的PC机上。

加载之后,我们可以尝试使用candump can0命令,分析其中的流量情况:

can0 33A [8] 00 00 00 00 00 00 00 00 can0 415 [8] 00 00 C4 FB 0F FE 0F FE can0 346 [8] 00 00 00 03 03 00 C0 00 can0 348 [8] 00 00 00 00 00 00 00 00 can0 167 [8] 72 7F FF 10 00 19 F8 00 can0 3E0 [8] 00 00 00 00 80 00 00 00 can0 167 [8] 72 7F FF 10 00 19 F7 00 can0 34E [8] 00 00 00 00 00 00 00 00 can0 358 [8] 00 00 00 00 00 00 00 00 can0 3A4 [8] 00 00 00 00 00 00 00 00 can0 216 [8] 00 00 00 00 82 00 00 00 can0 3AC [8] FF FF FF FF FF FF FF FF can0 415 [8] 00 00 C8 FA 0F FE 0F FE can0 083 [8] 00 00 00 00 00 01 7E F4 can0 2FD [8] D4 00 E3 C1 08 52 00 00 can0 3BC [8] 0C 00 08 96 01 BB 27 00 can0 167 [8] 72 7F FF 10 00 19 F7 00 can0 3BE [8] 00 20 AE EC D2 03 54 00 can0 333 [8] 00 00 00 00 00 00 00 00 can0 42A [8] D6 5B 70 E0 00 00 00 00 can0 42C [8] 05 51 54 00 90 46 A4 00 can0 33B [8] 00 00 00 00 00 00 00 00 can0 42E [8] 93 00 00 E1 78 03 CD 40 can0 42F [8] 7D 04 00 2E 66 04 01 77 can0 167 [8] 72 7F FF 10 00 19 F7 00 can0 3E7 [8] 00 00 00 00 00 00 00 00 can0 216 [8] 00 00 00 00 82 00 00 00 can0 415 [8] 00 00 CC F9 0F FE 0F FE can0 3A5 [8] 00 00 00 00 00 00 00 00 can0 3AD [8] FF FF FF FF FF FF FF FF can0 50B [8] 1E 12 00 00 00 00 00 00

但是,这相当于观察声音信号振幅一样,很难从中发现动作和行为模式。在此,我们需要使用工具cansniffer对频率进行等效化分析,cansniffer显示的一串数据包ID号,可以帮助我们在CAN帧数据区变化时进行准确定位。有了这个功能,我们就能分辨出哪些数据包是应该丢弃的,而哪些又是与我们问题相关的。

CANSniffer:一款收发CAN格式数据包的分析软件,通过串口与外部设备交互,用于分析串口数据包。

以下是cansniffer在MS中速总线的抓包示例,我们正在对所有通过串口的数据包进行过滤,只需要CAN id为355、356和358的数据包。同时,通过按下汽车空气调节按钮后观察数据包变化情况,发现001C00000000代表了该按钮的开关作用。

控制汽车空调系统(A/C系统)

接下来就是把A/C系统功能连接到我们运行于汽车内的微型PC,该PC为机器人操作系统(ROS),而幸运的是,利用前述提及的SocketCAN和ROS中的一个模块,就能很容易实现连接和操作。而且用socketcan_bridge方式可以将我们的CAN数据帧转换成ROS可接收的消息格式。完美!

以下就是A/C系统功能数据包解码方式的一个示例:

if frame.id == 0×356: raw_data = unpack(‘BBBBBBBB’, frame.data) fan_speed = raw_data[1] / 4 driver_temp = parse_temperature(raw_data[2:4]) passenger_temp = parse_temperature(raw_data[4:6])

由此生成的数据被存储在名为CelsiusReport.msg的文件中:

bool auto bool system_on bool unit_on bool dual bool max_cool bool max_defrost bool recirculation bool head_fan bool feet_fan bool front_defrost bool rear_defrost string driver_tempstring passenger_temp

在按下汽车A/C系统相关功能的按钮之后,我们将得到以下这个对应的代码清单:

CONTROL_CODES = { ‘ac_toggle’: 0x5C, ‘ac_unit_toggle’: 0×14, ‘max_ac_toggle’: 0×38, ‘recirculation_toggle’: 0x3C, ‘dual_temperature_toggle’: 0×18, ‘passenger_temp_up’: 0×24, ‘passenger_temp_down’: 0×28, ‘driver_temp_up’: 0x1C, ‘driver_temp_down’: 0×20, ‘auto’: 0×34, ‘wheel_heat_toggle’: 0×78, ‘defrost_max_toggle’: 0×64, ‘defrost_toggle’: 0x4C, ‘rear_defrost_toggle’: 0×58, ‘body_fan_toggle’: 0×04, ‘feet_fan_toggle’: 0x0C, ‘fan_up’: 0x2C, ‘fan_down’: 0×30, }

现在,我们就可以直接将以上字符串对应的数据代码发往ROS节点,由它将这些数据信息转换成汽车可以识别的特殊代码:

rostopic pub /celsius_control celsius/CelsiusControl ac_toggle

研究结果

好了,我们可以向CAN总线发送相应的CAN代码了,这种代码控制方式与我们调节汽车空调A/C系统的外置按钮是一样的效果。这也意味着,在无人驾驶汽车的后座,我们可以实现以手机APP方式远程控制改变汽车的车内温度了。成功了!

本文分享自微信公众号 - FreeBuf(freebuf),作者:clouds

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-06-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 分析一个跨平台DDOS僵尸网络

    从最近“恶意软件必须死”的帖子了解到一些关于DNS放大攻击相关的LINUX恶意软件样本。我对linux恶意软件的研究非常感兴趣,而且这个很特别,因为他有一个DD...

    FB客服
  • rtfraptor:从恶意RTF文件中提取OLEv1对象的工具

    rtfraptor是一个简单的工具,通过提取OLEv1对象分析恶意RTF文件。它的工作原理是运行Word并拦截对OLEv1函数的调用。从内存中转储原始OLE对象...

    FB客服
  • 安全分析 | 两个VMware Workstation中的TOCTOU漏洞

    前两天,VMware发布了一份安全公告,并修复了VMware ESXi、Workstation、Fusion和NSX-T中的六个安全漏洞。其中有两个漏洞属于TO...

    FB客服
  • windows 为什么驱动模块加载后可以删除而应用模块不可以

    MmFlushImageSection,如果返回True,则可以删除,该函数在WRK中的说明是

    kkindof
  • AkShare-股票数据-科创板报告

    科创板(The Science and Technology Innovation Board; STAR Market) [1] ,是由国家主席习近平于20...

    AkShare
  • 高效的选择:将键盘上的大小写锁定键 CapsLock 与退出键 Esc 交换位置

    如果你习惯使用 Shift 切换大小写,那么在你左手小指处的 caps lock 大小写锁定键几乎没有用武之地。

    Piper蛋窝
  • 私人订制属于自己的Linux系统

    init通过调用/etc/inittab这个配置文件,然后再去执行/etc/rc.d/rc.sysinit的系统初始化脚本

    常见_youmen
  • AkShare-股票数据-注册制审核-创业板

    深交所10日消息,近日,深交所在做好常态化疫情防控基础上,举办注册制首期改制上市实务研讨培训班,来自25家拟上市企业的36位董事长、总经理、实际控制人等参加。深...

    AkShare
  • 基于web页面开发串口程序界面---代码实现

    后台web框架和串口操作采用的是Python语言,其中web框架使用的是tornado。

    MiaoGIS
  • mysql datetime查询异常

    异常:Value '0000-00-00 00:00:00' can not be represented as java.sql.Timestamp (201...

    WindWant

扫码关注云+社区

领取腾讯云代金券