阻止非法修改发动机控制软件或控制系统的系统和方法技术领域
在此公开的实施例涉及发动机控制系统。更具体地,在此公开的实施例涉
及用于阻止对如冷藏运输应用程序的发动机控制软件或发动机控制系统进行非
法修改的系统和方法。
背景技术
现有的冷藏运输的应用程序,例如运输制冷系统(TRS,transfort
refrigerationsystem)、辅助动力单元(APU,auxiliary)等,可以包括用于
提供动力的发动机。发动机可被冷藏运输应用程序的控制器所控制,从而符合
环境保护局(EPA,EnvironmentProtectionAgency)的规定。
发明内容
在此公开的实施例涉及用于阻止对如冷藏运输应用程序的发动机控制软件
或发动机控制系统进行非法修改的系统和方法。
特别地,在此描述的实施例阻止非法方无意或有意地修改能够例如潜在地
绕过在冷藏运输应用程序中执行的排放策略的用于控制发动机或发动机系统的
发动机控制软件。相应地,例如EPA第四阶段不可超过(NTE,not-to-exceed)
的规定的排放策略被所述冷藏运输应用程序所维护。
在一个实施例中,提供了发动机控制系统。所述发动机控制系统包括具有
发动机和控制器的动力单元。所述控制器用于通过发动机激活信号激活发动机
以及用于使用发动机控制软件控制发动机。所述控制器包括用于连接动力单元
的继电器。所述控制用于检测非法修改事件。当所述控制器检测到非法修改事
件时,所述继电器用于阻止发动机激活信号传递到所述动力单元。
在另一个实施例中,提供了用于发动机控制系统的方法。所述发动机控制
系统包括具有发动机的动力单元,和用于通过发动机激活信号激活发动机和用
于使用发动机控制软件控制发动机的控制器。所述控制器包括用于连接动力单
元的继电器。所述方法包括当继电器接收发动机执行信号时激活继电器至开启
状态。所述方法也包括当继电器处于开启状态且在收到发动机激活信号时,继
电器发送发动机激活信号至用于启动发动机的动力单元。
在此描述的实施例不局限于传输冷藏应用程序。更准确地,为了对发动机
进行使用的任何应用程序,这些实施例可被提供用于阻止对发动机控制软件或
发动机控制系统的非法修改。
这些实施例能阻止非法方为了以超过使用者定义的参数和/或超过发动机
性能的方式运转发动机而执行对发动机控制软件或发动机控制系统的非法修
改。
进一步地,在此描述的实施例对发动机控制软件或发动机控制系统的非法
修改提供了实体证据。相应地,技术服务员或类似技术服务员的人员可判定由
客户提出的责任和/或保修索赔是否为有效的索赔。
本发明的其他方面通过考虑具体实施方式和随附的附图将变得显而易见。
附图说明
现在参考具有如示出相对部件的参考编号的图。
图1为根据一个实施例的具有运输冷藏单元的卡车的侧视图。
图2为根据一个实施例的发动机控制系统的框图示意图。
图3示出了为了启动附图2中示出的发动机控制系统的发动机的过程的一
个实施例的流程图。
具体实施方式
在此公开的实施例涉及用于阻止对如冷藏运输应用程序的发动机控制软件
或发动机控制系统进行非法修改的系统和方法。
特别地,在此描述的实施例阻止非法方无意或有意地修改能够例如潜在地
绕过在冷藏运输应用程序中执行的排放策略的用于控制发动机或发动机系统的
发动机控制软件。相应地,用于冷藏运输应用程序例如EPA第四阶段不可超过
(NTE,not-to-exceed)的规定的排放策略被所述冷藏运输应用程序所维护。
当在此提供的实施例是针对用于卡车的运输冷藏单元(TRU,transport
refrigerationunit)时,应当理解的是,在此描述的实施例可被用于任何如冷
藏运输系统(拖车(如,在平板车上的货车等)、集装箱(如,在平板车上的
的集装箱,联合运输的集装箱等),卡车,棚车船上集装箱,航空货运舱,长
途运输的卡车驾驶室等)、辅助动力系统等的冷藏运输应用程序。
此外,在此描述的实施例不局限于传输冷藏应用程序。更准确地,为了对
发动机进行使用的任何应用程序,这些实施例可被提供用于阻止对发动机控制
软件或发动机控制系统的非法修改。
这些实施例能阻止非法方执行对发动机控制软件或发动机控制系统的非法
修改以便以超过用于定义参数和/或超过发动机性能的方式运转发动机。
进一步地,在此描述的实施例对发动机控制软件或发动机控制系统的非法
修改提供了实体证据。相应地,技术服务员或类似技术服务员的人员可判定由
客户提出的责任和/或保修索赔是否为有效的索赔。
本发明的其他方面通过说明书和附图的详细说明将变得显而易见。
参考图1,具有TRU15的卡车5被示出。卡车5包括驾驶室14和包括负载
或货物空间12的拖车10。TRU15被设置在拖车10的一个末端。
TRU15包括位于货物空间12的蒸发器部分18和安装在拖车10的前壁的冷
凝器部分20。TRU15也包括TRU控制器22、发动机驱动压缩器24、和TRU发动
机26。TRU控制器22用于控制包括TRU发动机26的发动机控制的TRU15的运
行以便符合EPA的排放规定。
图1中示出的TRU发动机26位于TRU15的内部,在其他的实施例中,TRU
发动机26可被设置在TRU15的外部,例如在附属于拖车10的独立的发电机组
内或在驾驶室14内。
TRU发动机26可为机械柴油发动机。在一些实施例中,TRU发动机26是大
型发动机(如,大于25马力的发动机)。在其他实施例中,TRU发动机26是
小型发动机(如,小于25马力的发动机)。
TRU15从货物空间12中提取相对较暖的空气,然后冷却空气并将冷空气输
送回货物空间12内。离开TRU15的冷空气一般能够被引导至拖车10的天花板
40内。TRU15用于在整个货物空间12内实质均匀地分配冷空气从而确保货物空
间12可均匀冷却。
图2示出了发动机控制系统200的框图示意图,发动机控制系统200可被
用于在例如图1示出的TRU15的冷藏运输应用程序内。发动机控制系统200包
括控制器205和动力单元250。控制器205可为例如TRU控制器,就像附图1
示出的TRU控制器22。控制器205用于控制包括动力单元250的发动机控制的
冷藏运输应用程序的操作。发动机控制系统200被描述为与运输冷藏应用程序
一起使用,应当理解的是,在此描绘的实施例可在使用发动机的任何程序中。
控制器205包括电路板210和继电器220。电路板210可以包括用于控制
冷藏运输应用程序的操作的处理器(未示出)、储存器(未示出)、计时器(未
示出)和输入/输出(I/O)接口(未示出),所述冷藏运输应用程序包括动力
单元250的发动机控制以便符合EPA的排放规定。包括用于控制动力单元250
的操作的发动机控制算法的不同控制算法可被储存在电路板210的储存器中并
通过电路板210的处理器被执行。
电路板210包括用于将冷藏运输应用程序中的不同部件连接至控制器205
中的多个引脚211a-n。在一些实施例中,提供了引脚211a和211b,用于通过
可选择的引脚212a和212b把控制器205连接至继电器220。引脚211a用于发
送大型发动机执行信号。引脚211b用于发送小型发动机执行信号。引脚211c
用于通过连接215将发动机激活信号发送至继电器220,引脚221d用于在可选
择反馈连接232被连接到引脚211d和继电器220时接收从继电器220输出的任
何信号。引脚211e-211n的每一个可被用于控制器205的其他执行方面,或可
以根本不被使用。
在一些实施例中,电路板210可执行大型发动机控制算法和/或小型发动机
控制算法。当动力单元250的发动机单元的发动机275具有大于25马力的动力,
大型发动机控制算法可控制动力单元250的操作从而符合排放规定。当发动机
275具有小于或等25马力的动力时,小型发动机控制算法可控制动力单元250
的操作从而符合排放规定。
在这个实施例中,电路板210用于通过引脚211a发送大型发动机执行信号
从而执行大型发动机控制算法,电路板210用于通过引脚211b发送小型发动机
执行信号从而执行小型发动机控制算法。
在安装过程中,连接212a和212b可在引脚211a和212b之间被连接至继
电器220。当大型发动机(例如,大于25马力的发动机)被作为发动机275安
装时,这种安装程序可移除连接212b以便阻止通过引脚211b执行的小型发动
机控制算法控制发动机275的运行。当小型发动机(例如,小于25马力的发动
机)被作为发动机275安装时,这种安装程序可移除连接212a以便阻止通过引
脚211a执行的大型发动机控制算法控制发动机275的运行。
继电器220被设置来用于阻止对发动机控制软件或发动机控制系统200的
非法修改。在这个实施例中,继电器220包括开关222和电磁线圈224。
继电器220用于接收通过连接212a从引脚211a发出的大型发动机执行信
号或通过连接212b从引脚211b发出的小型发动机执行信号。继电器220也被
用于接收通过连接215从引脚211c发出的发动机激活信号。
当电磁线圈224接收小型或大型执行信号时,开关222被配置为处于开启
状态。当电磁线圈不接收小型或大型发动执行信号时,开关222被配置为处于
关闭状态。当开关222处于开启状态且继电器220接收来自引脚211c的发动机
激活信号时,继电器220用于通过连接230将发动机激活信号传递到动力单元
250的停止电磁线圈260。当可选择反馈连接232被连接至继电器220和电路板
210的引脚211d之间时,不论发动机激活信号是否被发送至动力单元250,继
电器220都可提供反馈至电路板210。
在这个实施例中,继电器220被设置在控制器205中,在其他的实施例中,
继电器220被设置在动力单元250中或设置在动力单元250和控制器205的外
部。
动力单元250包括停止电磁线圈260和发动机单元270。当从继电器220
发送的发动机激活信号被接收时,停止电磁线圈260用于激活发动机单元270。
特别地,当发动机激活信号未被接收时,停止电磁线圈260可被用于对发动机
275减少燃料供应。
发动机单元270包括发动机275。在一些实施例中,发动机275为对冷藏
运输应用程序提供动力的机械柴油发动机。取决于用户需求,发动机275可为
大型发动机(例如,大于25马力的发动机)或小型发动机(小于25马力的发
动机)。
在操作过程中,用户不会察觉在电路板210或继电器220上的引脚211a
和211b的操作。在安装过程中,取决于被安装的发动机为大型发动机或小型发
动机,安装程序将会选择引脚212a和继电器220之间的连接或引脚212b和继
电器220之间的连接。
在用于冷藏运输应用程序中的传统发动机控制系统中,发动机控制系统不
包括控制器的电路板和动力单元之间的继电器,发动机激活信号从电路板被直
接发送到停止电磁线圈。同样,储存于电路板210的储存器里的传统发动机控
制算法并不是为了把小型和/或大型发动机执行信号提供至引脚211a和211b
而设置的。
相应地,将改进的或传统的发动机控制算法安装至发动机控制系统200的
任何有意或无意的尝试,或修改发动机控制系统200的配置的尝试将会阻止控
制器205发送发动机激活信号至停止电磁线圈260,因此阻止发动机275启动。
这可阻止绕过在冷藏运输应用程序的发动机控制算法中执行的排放策略的无意
或有意的尝试。相应地,例如EPA第四阶段不可超过(NTE,not-to-exceed)
的规定的排放策略被所述冷藏运输应用程序所维护。
在一些实施例中,当反馈连接232被设置于继电器220和引脚211d之间时,
在连接215发送发动机激活信号而反馈连接232没有把相同的发动机激活信号
传递到引脚211d的时候,控制器的处理器,例如电路板210中的处理器,可判
定错误已经产生。控制器205可用于通知用户发动机控制系统200产生错误。
图3示出了为了启动图2中示出的发动机控制系统200的发动机275的过
程300的一个实施例的流程图。该过程从305开始,继电器220决定发动机执
行信号被从电路板210的引脚211a中还是从电路板210的引脚211b中接收。
在310,如果发动机执行信号被接收,电磁线圈224被激活,从而设置开关222
进入开启状态。
在315,继电器220等待来自电路板210的引脚211c的发动机激活信号。
在320,如果发动机激活信号被接收,继电器220用于将发动机激活信号传递
到停止电磁线圈260。在325,当发动机激活信号被停止电磁线圈260接收时,
停止电磁线圈260被激活,从而启动发动机275。
在一些实施例中,当反馈连接232被设置在引脚211d和继电器220之间时,
任何从继电器220输出的信号被发送回到电路板210的引脚211d。当发动机激
活信号从引脚211c被发送到继电器220但发动机激活信号未被引脚211d所接
收时,控制器205的处理器,例如电路板210中的处理器,可被用于判定发动
机控制系统错误在330已经发生。在335,控制器205可接着通知用户发动机
控制系统产生错误。
通过流程300,任何有意或无意的将改进的或传统的发动机控制算法安装
至发动机控制系统200的尝试,或修改发动机控制系统200的配置的尝试将会
阻止控制器205发送发动机激活信号至停止电磁线圈260,从而阻止发动机275
启动。这为已经发生在发动机控制软件或发动机控制系统200的非法(无意或
有意)修改提供了实体证据。
相应地,这些实施例可阻止无意或有意的绕过在发动机控制系统200的发
动机控制算法中执行的排放策略的尝试。相应地,当被使用在例如冷藏运输应
用程序中时,例如EPA第四阶段不可超过(NTE,not-to-exceed)的规定的排
放策略可以被发动机控制系统200所维护。
实施方式:
应当注意的是实施方式1-9中的任何特征可以和实施方式10-15中的任何
特征组合。
1.一种发动机控制系统,其特征在于,包括:
发动机的动力单元;以及
用于通过发动机激活信号激活发动机以及使用发动机控制软件控制发动机
的控制器,所述控制器包括与所述动力单元相连接的继电器,
其中,所述控制器用于检测非法修改事件,以及
所述继电器用于在所述控制器检测到非法修改事件时阻止发动机激活信
号传递到所述动力单元。
2.根据实施方式1所述的发动机控制系统,其特征在于:
所述非法修改事件为对所述发动机控制软件的非法修改。
3.根据实施方式1-2中任一项所述的发动机控制系统,其特征在于:
所述非法修改事件为对所述发动机控制系统的非法修改。
4.根据实施方式1-3中任一项所述的发动机控制系统,其特征在于:
所述动力单元包括停止电磁线圈,所述继电器被连接至所述停止电磁线圈,
并且所述继电器用于在所述控制器没有检测到非法修改事件时发送发动机激活
信号至停止电磁线圈。
5.根据实施方式1-4中任一项所述的发动机控制系统,其特征在于:
所述控制器包括连接至继电器的电路板,所述电路板用于在所述控制器没
有检测到非法修改事件时发送发动机激活信号至所述继电器。
6.根据实施方式5所述的发动机控制系统,其特征在于:
所述继电器包括具有启动状态和关闭状态的开关,以及用于接收来自电路
板的发动机执行信号和用于在接收发动机执行信号时改变所述开关至开启状态
的电磁线圈。
7.根据实施方式6所述的发动机控制系统,其特征在于:当所述开关处于
开启状态时,所述继电器用于发送发动机激活信号至所述动力单元;当所述开
关处于关闭状态时,所述继电器用于阻止发动机激活信号传递至所述动力单元。
8.根据实施方式6-7所述的发动机控制系统,其特征在于:所述控制器包
括用于把来自所述电路板的发动机执行信号传递至所述电磁线圈的第一连接,
还用于把来自所述电路板的发动机激活信号传递至所述开关的第二连接。
9.根据实施方式5-8所述的发动机控制系统,其特征在于:所述控制器包
括用于在所述继电器传递发动机激活信号至所述动力单元时将来自所述继电器
的发动机激活信号发送至所述电路板的反馈连接。
10.一种用于发动机控制系统的方法,所述发动机控制系统包括具有发动机
的动力单元,和用于通过发动机激活信号激活发动机以及使用发动机控制软件
控制发动机的控制器,所述控制器包括连接至动力单元的继电器,其特征在于,
所述方法包括:
当继电器接收发动机执行信号时激活继电器至开启状态;以及
当继电器处于开启状态且收到发动机激活信号时,继电器发送发动机激活
信号至动力单元从而启动发动机。
11.根据实施方式10所述的方法,进一步包括:
当继电器不接收发动机执行信号时将继电器改变为关闭状态;以及
当所述继电器处于关闭状态时,所述继电器阻止发动机激活信号传递到所
述动力单元。
12.根据实施方式10-11任一项所述的方法,进一步包括:
当所述继电器处于开启状态且所述继电器正发送所述发动机激活信号至所
述动力单元时,通过反馈连接发送来自所述继电器的所述发动机激活信号至所
述控制器的电路板。13.根据实施方式12所述的方法,进一步包括:
当所述电路板发送发动机执行信号以及发动机激活信号至继电器,且所述
电路板没有通过反馈连接接收来自继电器的发动机激活信号时,所述控制器判
定发动机控制系统产生错误。
14.根据实施方式13所述的方法,进一步包括:
当所述控制器判定所述发动机控制系统产生错误时,通知用户所述发动机
控制系统产生错误。
15.根据权利要求10-14任一项所述的方法,进一步包括:
所述控制器的电路板发送发动机执行信号至所述继电器的电磁线圈从而
将开关激活到处于开启状态;
所述控制器的所述电路板发送发动机激活信号至所述开关;以及
当开关处于开启状态且在收到发动机激活信号时,所述开关发送发动机激
活信号至所述动力单元从而启动所述发动机。
对于前述的说明,应当理解的是,细节的修改,特别是所使用的构造材料
和形状、尺寸以及零件的配置等等的修改不会偏离本发明的保护范围。这意味
着说明书和描绘的实施方式仅仅是示例性的,本发明真正的范围和精神由权利
要求书的广泛含义所表明。