用于隔离控制器局域网络中的故障的方法和设备.pdf

本发明涉及用于隔离控制器局域网络中的故障的方法和设备。控制器局域网络(CAN)包括多个CAN元件，该多个CAN元件包括通信总线和多个控制器。用于监测的方法包括周期性地确定矢量，其中每个矢量包括在过滤窗期间检测到的控制器中的无效控制器。时间过滤周期性确定的矢量的内容，以确定故障记录矢量。通过将故障记录矢量与基于用于CAN的网络拓扑确定的故障表征矢量相比较来隔离CAN上的故障。

权利要求书1.   一种用于监测包括多个CAN元件的控制器局域网络(CAN)的方法，所述多个CAN元件包括通信总线和多个控制器，所述方法包括：周期性地确定矢量，每个矢量包括在过滤窗期间检测到的所述控制器中的无效控制器；时间过滤所述周期性确定的矢量的内容，以确定故障记录矢量；以及通过将所述故障记录矢量与基于用于所述CAN的网络拓扑确定的故障表征矢量相比较来隔离所述CAN上的故障。2.   根据权利要求1所述的方法，其中，隔离所述CAN上的故障包括隔离与所述CAN的通信链路、电力链路和接地链路中的一个相关的故障。3.   根据权利要求1所述的方法，其中，时间过滤所述周期性确定的矢量的内容以确定故障记录矢量包括：时间过滤所述周期性确定的矢量，以确定包括所述控制器中的无效控制器的故障记录矢量。4.   根据权利要求3所述的方法，其中，时间过滤所述周期性确定的矢量以确定包括所述控制器中的无效控制器的故障记录矢量包括：时间过滤所述周期性确定的矢量，以确定包括所述CAN控制器中的在所述过滤窗中的一个过滤窗期间未能在所述CAN上发送消息的CAN控制器的故障记录矢量。5.   根据权利要求1所述的方法，其中，周期性地确定矢量，每个矢量包括在过滤窗期间检测到的所述控制器中的无效控制器，包括：将所述CAN控制器中的在所述过滤窗中的一个完整过滤窗期间未能在所述CAN上发送消息的任何CAN控制器检测为无效。6.   根据权利要求1所述的方法，其中，通过将所述故障记录矢量与基于用于所述CAN的网络拓扑确定的故障表征矢量相比较来隔离所述CAN上的故障包括：通过将被包含在所述故障记录矢量中的一组控制器与多个故障表征矢量相比较来隔离所述CAN上的故障；以及基于被包含在所述故障记录矢量中的该组控制器与被包含在所述故障表征矢量之一中的一组控制器之间的一致来隔离所述CAN上的故障。7.   一种用于监测包括多个CAN元件的控制器局域网络(CAN)的方法，所述多个CAN元件包括通信总线和多个控制器，所述方法包括：周期性地确定矢量，每个矢量包括在过滤窗期间检测到的所述控制器中的无效控制器；基于与所述矢量中的连续矢量的时间过滤相关的结果确定故障记录矢量；通过将所述故障记录矢量与和用于所述CAN的网络拓扑相关的多个故障表征矢量相比较来隔离所述CAN上的故障。8.   一种用于隔离控制器局域网络(CAN)中的故障的方法，包括：基于在当前过滤窗期间在所述CAN上发送消息的能力将配置为在所述CAN上通信的多个控制器中的每个控制器识别为有效或无效；通过将包括所述识别的无效控制器的故障记录矢量与基于用于所述CAN的网络拓扑的可达性分析确定的多个故障表征矢量相比较来隔离所述CAN上的故障。9.   根据权利要求8所述的方法，包括当所述控制器中的一个控制器在所述当前过滤窗期间在所述CAN上成功地发送消息时，将所述控制器识别为有效。10.   根据权利要求8所述的方法，其中，基于在所述当前过滤窗期间在所述CAN上发送消息的能力将每个控制器识别为无效包括：当所述控制器中的一个控制器在先前过滤窗的整个周期期间未能在所述CAN上发送消息时，将所述控制器识别为无效。

说明书用于隔离控制器局域网络中的故障的方法和设备
相关申请的交叉引用
该申请要求2013年9月16日提交的美国临时申请No.61/878,538的权益，该美国临时申请在此并入作为参考。
技术领域
该公开涉及控制器局域网络中的通信和与之相关的故障隔离。
背景技术
在该部分中的声明仅提供与本公开相关的背景信息。因此，这样的声明不旨在构成现有技术的承认。
车辆系统包括多个子系统，作为示例包括发动机、变速器、乘坐/操纵、制动、HVAC和乘员保护。多个控制器可用于监测和控制子系统的操作。控制器可构造成经由控制器局域网络(CAN)通信，以响应于操作者命令、车辆操作状态和外部状况协调车辆的操作。故障可出现在经由CAN总线实现通信的控制器的其中一个中。
已知的CAN系统采用总线拓扑用于所有控制器之间的通信连接，该总线拓扑可包括线性拓扑、星形拓扑或星形与线性拓扑的组合。已知的高速CAN系统采用线性拓扑，然而已知的低速CAN系统采用星形与线性拓扑的组合。已知的CAN系统采用分开的电力拓扑和接地拓扑，用于对所有控制器的电力线和接地线。已知的控制器通过在CAN总线上的不同周期发送的消息彼此通信。诸如CAN的网络的拓扑指的是元件的布置。物理拓扑描述包括链路和节点的物理元件的布置或布局。逻辑拓扑描述采用链路的节点之间的网络内的数据消息流或功率流。
已知的系统检测在接收消息的控制器处的故障，利用在控制器的交互层的信号监督和信号超时监测实现对消息的故障检测。故障可被报告为通信丢失。这样的检测系统通常不能识别故障的根本原因，并且不能区别瞬时故障与间歇故障。一种已知的系统需要分别监测硬件和网络的物理拓扑的尺寸细节，以监测和检测网络中的通信故障。
发明内容
控制器局域网络(CAN)包括多个CAN元件，该多个CAN元件包括通信总线和多个控制器。用于监测CAN的方法包括周期性地确定矢量，其中，每个矢量包括在过滤窗期间检测的控制器中的无效控制器。时间过滤周期性确定的矢量的内容，以确定故障记录矢量。通过将故障记录矢量与基于用于CAN的网络拓扑确定的故障表征矢量相比较来隔离CAN上的故障。
本发明提供以下技术方案：
1. 一种用于监测包括多个CAN元件的控制器局域网络(CAN)的方法，所述多个CAN元件包括通信总线和多个控制器，所述方法包括：
周期性地确定矢量，每个矢量包括在过滤窗期间检测到的所述控制器中的无效控制器；
时间过滤所述周期性确定的矢量的内容，以确定故障记录矢量；以及
通过将所述故障记录矢量与基于用于所述CAN的网络拓扑确定的故障表征矢量相比较来隔离所述CAN上的故障。
2. 根据方案1所述的方法，其中，隔离所述CAN上的故障包括隔离与所述CAN的通信链路、电力链路和接地链路中的一个相关的故障。
3. 根据方案1所述的方法，其中，时间过滤所述周期性确定的矢量的内容以确定故障记录矢量包括：时间过滤所述周期性确定的矢量，以确定包括所述控制器中的无效控制器的故障记录矢量。
4. 根据方案3所述的方法，其中，时间过滤所述周期性确定的矢量以确定包括所述控制器中的无效控制器的故障记录矢量包括：时间过滤所述周期性确定的矢量，以确定包括所述CAN控制器中的在所述过滤窗中的一个过滤窗期间未能在所述CAN上发送消息的CAN控制器的故障记录矢量。
5. 根据方案1所述的方法，其中，周期性地确定矢量，每个矢量包括在过滤窗期间检测到的所述控制器中的无效控制器，包括：将所述CAN控制器中的在所述过滤窗中的一个完整过滤窗期间未能在所述CAN上发送消息的任何CAN控制器检测为无效。
6. 根据方案1所述的方法，其中，通过将所述故障记录矢量与基于用于所述CAN的网络拓扑确定的故障表征矢量相比较来隔离所述CAN上的故障包括：
通过将被包含在所述故障记录矢量中的一组控制器与多个故障表征矢量相比较来隔离所述CAN上的故障；以及
基于被包含在所述故障记录矢量中的该组控制器与被包含在所述故障表征矢量之一中的一组控制器之间的一致来隔离所述CAN上的故障。
7. 根据方案1所述的方法，其中，将所述故障记录矢量与基于用于所述CAN的网络拓扑确定的故障表征矢量相比较包括：将所述故障记录矢量与基于用于所述CAN的所述网络拓扑的可达性分析确定的故障表征矢量相比较。
8. 一种用于监测包括多个CAN元件的控制器局域网络(CAN)的方法，所述多个CAN元件包括通信总线和多个控制器，所述方法包括：
周期性地确定矢量，每个矢量包括在过滤窗期间检测到的所述控制器中的无效控制器；
基于与所述矢量中的连续矢量的时间过滤相关的结果确定故障记录矢量；
通过将所述故障记录矢量与和用于所述CAN的网络拓扑相关的多个故障表征矢量相比较来隔离所述CAN上的故障。
9. 根据方案8所述的方法，其中，隔离所述CAN上的故障包括隔离与所述CAN的通信链路、电力链路和接地链路中的一个相关的故障。
10. 根据方案8所述的方法，其中，基于与所述矢量中的连续矢量的时间过滤相关的结果确定故障记录矢量包括：时间过滤所述矢量中的所述连续矢量，以确定包括所述控制器中的无效控制器的故障记录矢量。
11. 根据方案10所述的方法，其中，时间过滤所述矢量中的所述连续矢量以确定包括所述控制器中的无效控制器的故障记录矢量包括：时间过滤所述矢量中的连续矢量，以确定包括所述CAN控制器中的在所述过滤窗中的一个完整过滤窗期间未能在所述CAN上发送消息的CAN控制器的故障记录矢量。
12. 根据方案8所述的方法，其中，周期性地确定矢量，每个矢量包括在过滤窗期间检测到的所述控制器中的无效控制器，包括：将所述CAN控制器中的在所述过滤窗中的一个完整过滤窗期间未能在所述CAN上发送消息的任何CAN控制器检测为无效。
13. 根据方案8所述的方法，其中，通过将所述故障记录矢量与基于用于所述CAN的网络拓扑确定的故障表征矢量相比较来隔离所述CAN上的故障包括：
通过将被包含在所述故障记录矢量中的一组控制器与多个故障表征矢量相比较来隔离所述CAN上的故障；以及
基于被包含在所述故障记录矢量中的该组控制器与被包含在所述故障表征矢量之一中的一组控制器之间的一致来隔离所述CAN上的故障。
14. 根据方案8所述的方法，其中，将所述故障记录矢量与基于用于所述CAN的网络拓扑确定的故障表征矢量相比较包括：将所述故障记录矢量与基于用于所述CAN的所述网络拓扑的可达性分析确定的故障表征矢量相比较。
15. 一种用于隔离控制器局域网络(CAN)中的故障的方法，包括：
基于在当前过滤窗期间在所述CAN上发送消息的能力将配置为在所述CAN上通信的多个控制器中的每个控制器识别为有效或无效；
通过将包括所述识别的无效控制器的故障记录矢量与基于用于所述CAN的网络拓扑的可达性分析确定的多个故障表征矢量相比较来隔离所述CAN上的故障。
16. 根据方案15所述的方法，包括当所述控制器中的一个控制器在所述当前过滤窗期间在所述CAN上成功地发送消息时，将所述控制器识别为有效。
17. 根据方案15所述的方法，其中，基于在所述当前过滤窗期间在所述CAN上发送消息的能力将每个控制器识别为无效包括：当所述控制器中的一个控制器在先前过滤窗的整个周期期间未能在所述CAN上发送消息时，将所述控制器识别为无效。
18. 根据方案15所述的方法，还包括扩展所述过滤窗，以包括在隔离所述CAN上的故障之前的当先前无效的控制器重新激活时的先前过滤窗。
19. 根据方案15所述的方法，还包括延迟所述隔离所述CAN上的故障，直到在所述当前过滤窗期间将所述控制器中的一个控制器识别为无效时的随后过滤窗结束为止。
附图说明
现在将作为示例参考附图描述一个或多个实施例，其中：
图1图示根据本公开的包括具有控制器局域网络(CAN)总线和例如控制器的多个节点的CAN的车辆；
图2图示根据本公开的与图1的CAN类似的集成控制器局域网络，该集成控制器局域网络包括具有线缆的CAN总线、例如控制器的多个节点和数据链路控制；
图3图示根据本公开的时间线，该时间线包括被过滤窗分开并与数据过滤相关的多个时序事件，以确定CAN中正确的表征故障；
图4图示根据本公开的示例性CAN，该示例性CAN包括分别经由链路连接的控制器、监测控制器、电源、电池星形和地；
图5图示根据本公开的CAN监测例程，该CAN监测例程采用数据过滤，以检测并隔离CAN中的通信故障；
图6图示根据本公开的以监测包括检测连接至CAN总线的控制器中的一个控制器是否无效的控制器状态的控制器有效监督例程；以及
图7图示根据本公开的确定故障候选、即断开链路、线短路或采用故障表征矢量的有故障的控制器的故障隔离例程。
具体实施方式
现在参考其中显示仅为了图示某些示例性实施例并且不是为了限制所述某些示例性实施例的附图，图1示意性地图示了包括控制器局域网络(CAN)50的车辆8，该控制器局域网络(CAN)50包括CAN总线15和多个节点，即控制器10、20、30和40。术语“节点”指的是信号地连接至CAN总线15并且能够发送、接收或转发CAN总线15上的信息的任何有效电子装置。控制器10、20、30和40中的每个控制器信号地连接至CAN总线15，并且电连接至电力网60和接地网70。控制器10、20、30和40中的每个控制器包括电子控制器或构造成监测或控制车辆8的子系统的操作并经由CAN总线15通信的其他车载装置。在一个实施例中，控制器中的一个控制器、例如控制器40构造成监测CAN50和CAN总线15，并且在此可被称作是CAN控制器或监测器。CAN50的图示实施例是CAN的非限制性示例，其可用在多种系统构造中的任何一种。
CAN总线15包括多个通信链路，包括在控制器10与20之间的第一通信链路51、在控制器20与30之间的第二通信链路53和在控制器30与30之间的第三通信链路55。电力网60包括例如电池的电源62，该电源62电连接至第一电力总线64和第二电力总线66，以经由电力链路给控制器10、20、30和40提供电功率。如所示地，电源62经由以串联构造布置的电力链路连接至第一电力总线64和第二电力总线66，其中，电力链路69使第一与第二电力总线64与66连接。第一电力总线64经由以星形构造布置的电力链路连接至控制器10和20，其中，电力链路61使第一电力总线64与控制器10连接，并且电力链路63使第一电力总线64连接至控制器20。第二电力总线66经由以星形构造布置的电力链路连接至控制器30和40，其中，电力链路65使第二电力总线66与控制器30连接，并且电力链路67使第二电力总线66连接至控制器40。接地网70包括车辆接地72，该车辆接地72连接至第一接地总线74和第二接地总线76，以经由接地链路给控制器10、20、30和40提供电接地。如所示地，车辆接地72经由以串联构造布置的接地链路连接至第一接地总线74和第二接地总线76，其中，接地链路79使第一与第二接地总线74与76连接。第一接地总线74经由以星形构造布置的接地链路连接至控制器10和20，其中，接地链路71使第一接地总线74与控制器10连接，并且接地链路73使第一接地总线74连接至控制器20。第二接地总线76经由以星形构造布置的接地链路连接至控制器30和40，其中，接地链路75使第二接地总线76与控制器30连接，并且接地链路77使第二接地总线76连接至控制器40。在相似的效果的情况下可采用用于控制器10、20、30和40以及CAN总线15的通信、电力和接地的分布的其他拓扑。
控制模块、模块、控制、控制器、控制单元、ECU、处理器和类似的术语指的是一个或多个专用集成电路(ASIC)、电子电路、执行一种或多种软件或固件程序或例程的中央处理单元(优选地微处理器)和相关的存储器和储存器(只读、可编程只读、随机存取、硬盘等)、组合逻辑电路、输入/输出电路和装置、合适的信号调节和缓冲电路、以及提供所描述的功能性的其它的部件中的任何一个或各种组合。软件、固件、程序、指令、例程、代码、算法和类似的术语指的是包括校准和查阅表的任何指令集。控制模块具有执行以提供所期望的功能的一组控制例程。例程诸如由中央处理单元执行，并可运行以监测来自感测装置及其他网络控制模块的输入，和执行控制与诊断例程以控制致动器的操作。可在进行的发动机和车辆操作期间每隔一定时间、例如每隔100微秒、3.125、6.25、12.5、25和100毫秒执行例程。替代性地，例程可响应于事件的发生而执行。
控制器10、20、30和40中的每个控制器经由CAN总线15横跨CAN50发射和接收消息，其中，消息传输速率对于控制器中的不同控制器以不同的周期发生。CAN消息具有已知的预定格式，其在一个实施例中包括帧开始(SOF)、标识符(11位标识符)、单远程传输请求(RTR)、显性单标识符扩展(IDE)、保留位(r0)、4位数据长度码(DLC)、多达64位数据(DATA)、16位循环冗余校验(CDC)、2位应答(ACK)、7位帧结束(EOF)和3位帧间空间(IFS)。CAN消息可被已知错误破坏，包括填充错误、形式错误、ACK错误、位1错误、位0错误和CRC错误。错误用于生成包括主动错误（error-active）状态、被动错误（error-passive）状态和总线关断（bus-off）错误状态中的一个的错误警告状态。基于检测的总线错误帧的增量、即增加的总线错误计数，指定主动错误状态、被动错误状态和总线关断错误状态。已知的CAN总线协议包括提供网络范围数据一致性，这可导致局部错误的全局化。这允许有故障的非静默控制器破坏CAN总线15上的源于控制器中的另一控制器的消息。有故障的非静默控制器在此被称做是故障激活控制器。
图2示意性地图示了与参考图1所示的CAN50类似的集成控制器局域网络250，该集成控制器局域网络250包括：CAN总线215，其包括线缆201和203；多个节点，例如控制器210、220、230和240；以及数据链路连接器(DLC)205。当在线缆中的一根线缆上、例如在控制器210与220之间的线缆201上存在断线故障时，控制器210通过线缆203干扰控制器220、230和240的总线通信。这可使控制器220、230和240进入总线关断状态，并且可被检测为无效节点。然而，控制器210不可进入总线关断状态。
图3示意性地图示了包括被过滤窗303、305和307分开的多个时序事件302、304、306和308的时间线300。时间线300与数据过滤相关，以确定示例性CAN中正确的故障征兆。根据以下关系选择对于过滤窗303、305和307的经过的过滤时间：
Max {Thi, i=1,…, N} + 2* Busoff_Reset_Delay       [1]
其中，Thi是对于控制器ECUi(i=1，…，n)的有效监督的超时值，并且可校准，
Busoff_Reset_Delay是可校准的值(缺省为160ms)，并且
ECUi表示链接至CAN总线的控制器中的各独立控制器，例如参考图1所示的链接至CAN215的控制器210、220、230和240。
用于选择经过的过滤时间的该过程用于确保的是，经受引起通信故障的外部干扰的正常操作的控制器(ECU)有机会从由干扰引起的总线关断状态恢复。如所示地，事件302为初始事件，其后跟随过滤窗303。在事件304处，控制器中的一个控制器当其对于先前过滤窗303的整个周期未激活时被检测为无效。控制器当其发送CAN消息时被认为是有效的，并且当其在过滤窗期间未能发送CAN消息时被认为是无效的。在过滤窗305之后的事件306处，确定是否存在任何新无效的控制器。如果这样，则故障检测与分析延迟，直到随后的过滤窗307结束为止。在事件308处，如果先前无效的控制器中的一个控制器从无效状态恢复并重新激活，则过滤窗扩展，以包括在执行故障检测之前的用于控制器无效检测的先前窗口和当前窗口。因此，过滤窗可如参考EQ.[1]所描述地选择，以包括由于诸如参考图2所描述的单线断开故障的外部事件而变成无效的控制器。
导致CAN总线上丢失的CAN消息的通信故障可以是控制器中的一个的故障、CAN总线的通信链路中的一个的故障、电力网的电力链路中的一个的故障或接地网的接地链路中的一个的故障的结果。可形成包括通信拓扑、电力拓扑和接地拓扑的拓扑图形。在断开链路排除的情况下对拓扑图形中的每个拓扑图形进行可达性分析。拓扑图形的可达性分析的一个实施例参考图4描述如下。
图4图示了用于示例性CAN400的网络拓扑，该示例性CAN400包括如所示经由通信链路401、电力链路411和接地链路421连接的控制器ECU1 402、ECU2 404和ECU3 406、监测控制器(监测器)408、电源410、电池星形412和地414。监测器408观察指示各种故障集的征兆，每个故障集具有包括一组无效控制器的对应故障表征。监测功能示出为由监测器408执行，但应理解的是，由于能在任何或所有控制器节点观察CAN总线上的任何消息，所以通信总线上的任何或所有控制器ECU1 402、ECU2 404、ECU3 406和监测器408可构造成执行故障诊断。
对网络拓扑生成故障模型，并且故障模型包括由用于多种故障中的每个故障的监测控制器观察的多种征兆和多个对应的故障表征矢量Vfinactive。故障表征矢量Vfinactive中的每个故障表征矢量包括与之相关的一组观察到的无效的控制器。与参考图4描绘的网络拓扑相关的示例性故障模型包括参考表1的下列，其中，用于CAN400的网络拓扑包括控制器402[ECU1]、404[ECU2]和406[ECU3]、监测器408[ECUM]、电源410[PS]、电池星形412[BS]和地414[G]。采用网络拓扑的可达性分析得到故障模型，其中，独立地引起各征兆，并且监测通信，以确定控制器中的哪个控制器对每个征兆无效。

第一故障集f1可包括一个ECU1 402与电池星形412之间的断开的电力链路411、ECU1 402与地414之间的断开的接地链路421、ECU1 402与ECU2 404之间的断开的通信链路401和ECU1 402的故障的征兆，对应的故障表征矢量Vfinactive包括无效的ECU1 402。第二故障集f2可包括一个ECU2 404与电池410之间的断开的电力链路411、ECU2 404与地414之间的断开的接地链路421和ECU2 404的故障的征兆，对应的故障表征矢量Vfinactive包括无效的ECU2 404。第三故障集f3可包括一个ECU3 406与电池星形412之间的断开的电力链路411、ECU3 406与地414之间的断开的接地链路421和ECU3 406的故障的征兆，对应的故障表征矢量Vfinactive包括无效的ECU3 406。第四故障集f4可包括ECU2 404与ECU3 406之间的断开的通信链路401的征兆，对应的故障表征矢量Vfinactive包括无效的ECU1 402和ECU2 404。第五故障集f5可包括电池410与电池星形412之间的断开的电力链路411的征兆，对应的故障表征矢量Vfinactive包括无效的ECU1 402和ECU3 406。第六故障集f6可包括监测器408与ECU3 406之间的断开的通信链路401的征兆，对应的故障表征矢量Vfinactive包括无效的ECU1 402、ECU2 404和ECU3 406。可采用CAN的拓扑图形的可达性分析根据CAN系统的特定体系结构形成其他故障表征矢量Vfinactive。包括故障诊断的监测功能可在任何或所有控制器ECU1 402、ECU2 404、ECU3 406和监测器408中执行，以便如果有的话，则识别通信链路401、电力链路411和接地链路421中的故障和识别无效控制器。这允许合适的故障集和征兆与对应的故障表征矢量Vfinactive的形成，以隔离CAN中的单个可执行的故障。
CAN监测例程500通过生成包括VECU的系统模型而执行故障检测和隔离，该VECU表示包括一个或多个监测节点的CAN中的一组控制器，该一个或多个监测节点可包括一个或多个控制器和/或监测控制器。控制器中的每个控制器发射可具有不同的周期或重复率的一组消息。例如参考图4所示的拓扑图形分别包括通信总线、电力总线和接地总线的拓扑Gbus、Gbat和Ggnd。故障集F可包括每个控制器节点故障、每个总线链路断开故障、每个电力链路断开故障、每个接地链路断开故障及对于拓扑图形的其他故障。对于故障集F中的每个故障f，操作前训练生成由与每个故障f相关的一组无效控制器组成的故障表征矢量Vfinactive。故障表征矢量Vfinactive用于隔离故障。
图5示意性地示出了CAN监测例程500，该CAN监测例程500采用数据过滤，以获得在总线上是否存在错误帧的正确故障征兆，并基于正确的故障征兆和系统拓扑进行故障隔离，以检测并隔离CAN中的通信故障。CAN监测例程500如在此所描述地周期性地执行。提供表2作为图5的例程500的关键，其中，数字标记的块和对应的功能陈述如下。

与CAN监测例程500的执行相关的可校准参数包括如下：
Td，其为CAN监测例程500的执行间隔，在一个实施例中具有100ms的缺省值，并且优选地总是小于与总线关断事件相关的重置延迟(BusOff_Reset_Delay)，该重置延迟是具有160ms的缺省值的可校准值；
N，其为CAN中的控制器的总数量；
C_Th，其是作为与例程的当前迭代相关的用于诊断的时间窗的循环数的阈值，具有根据以下关系的缺省值：
(2*BusOff_Reset_Delay+max{Thi，i=1，…，N})/Td
其中，Thi是ECUi(i=1，…，N)的有效监督的超时值并且可校准，并且为Thi=max{2.5*(ECUi的监督消息周期)，250ms}；
矢量C_Inactive指的是在例程的当前迭代期间保持无效的所有控制器的集；以及
矢量P_Inactive指的是在例程的先前迭代期间保持无效的所有控制器的集。
在开始当前迭代(501)的执行时，调用控制器有效监督例程，以获得对于相关控制器的控制器有效报告(502)。在此参考图6描述了控制器有效监督例程的一个实施例。评估控制器有效报告(504)，并且当所有控制器有效时(504)(1)，将诊断触发器Diag_trigger设定成等于0(506)，并且当前迭代结束(540)。当不是所有的控制器有效时(504)(0)，检查诊断触发器，以确定其是否为0(Diag_trigger=0？)(510)。当诊断触发器为零时(510)(1)，多个变量初始化如下(512)：
设定诊断触发器=1；
设定N_Cycle=0；
设定Fault_num=0；
设定F_flag1=0；
设定F_flag2=0；
矢量C_Inactive={ECU_i：Sleep[i]=0}；
对于所有ECU_i，设定Active[i]=0；以及
设定P_Inactive=空。
当前迭代于是结束(540)。
当诊断触发器不为零时(510)(0)，循环计数器N_Cycle按1递增，并且通过去除任何有效的控制器更新矢量C_Inactive(514)。
评估循环计数器N_Cycle，以确定其是否已达到计数器阈值C_Th(516)。当循环计数器N_Cycle未达到计数器阈值C_Th时(516)(0)，当前迭代结束(540)。
当循环计数器N_Cycle已达到计数器阈值C_Th时(516)(1)，循环计数器N_Cycle重置至零，并且有效指示器Active[i]对于所有控制器重置至零(518)。
系统确定在最近的N_Cycle重置之前保持无效的控制器中的任何一个现在是否变成有效，即是否有任何控制器被包含在矢量P_Inactive中，但未被包含在矢量C_Inactive中(520)。如果这样(520)(1)，则如下设定各项：矢量C_Inactive变成仅同时被包含在矢量C_Inactive和矢量P_Inactive中的控制器的逻辑交集。以下项设定如下(522)：
矢量P_Inactive=空；
Fault_num=0；
F_Flag1=1；以及
F_Flag2=0。
当前迭代于是结束(504)。若为否(520)(0)，则系统检查，以确定在最近的N_Cycle重置之前有效的任何控制器现在是否保持无效，即，任何控制器是否没有被包含在矢量P_Inactive中但被包含在矢量C_Inactive中(524)。若为否(524)(0)，则检查F_Flag2的值，以确定其是否等于1(526)。若为否(526)(0)，则更新矢量P_Inactive，以包括C_Inactive的内容，并且更新矢量C_Inactive，以包括所有当前未休眠的控制器(538)，并且当前迭代结束(540)。如果这样(524)(1)，则检查F_Flag1的值，以确定其是否等于1(528)。当F_Flag1不为1时(528)(0)，将F_Flag2设定为1(530)。更新矢量P_Inactive，以包括矢量C_Inactive的内容，并且更新矢量C_Inactive，以包括所有当前未休眠的控制器(538)，并且当前迭代结束(540)。利用变量F_Flag1和F_Flag2对于C_Th个循环使故障的诊断延迟，以允许任何这样的故障的效果充分显现。如果F_Flag1为1(528)(1)，则将F_Flag1重置为零，将F_Flag2重置为零，并且故障计数器Fault_num递增(532)。存储所有当前已知的故障信息用于故障诊断，其包括生成故障记录矢量如下：
R_Inactive[Fault_num]=矢量C_Inactive并且
对于所有的ECU_i，R_Sleep[Fault_Num][i]=Sleep[i](534)。
通过调用故障隔离例程执行故障诊断(536)，其一个实施例参考图7被描述，在此之后，当前迭代结束(540)。
当F_Flag2等于1时(526)(1)，例程继续，包括将F_Flag1重置为零，将F_Flag2重置为零，并且故障计数器Fault_num递增(532)。所有当前已知的故障信息存储用于故障诊断。当F_Flag2不等于1时(526)(0)，更新矢量P_Inactive，以包括矢量C_Inactive的内容，并且更新矢量C_Inactive，以包括所有当前未休眠的控制器(538)，并且当前迭代结束(540)。
图6示意性地图示了控制器有效监督例程600，以监测控制器状态，包括检测连接至CAN总线的控制器中的一个是否无效。执行控制器有效监督例程600，以基于监测源于CAN中的控制器的通信而获得控制器有效的报告。提供表3作为图6的控制器有效监督例程600的关键，其中，数字标记的块和对应的功能陈述如下。

在每个点火循环中的控制器有效监督例程600的第一次执行(602)时，对于ECU_i的有效监督的超时值Ti根据以下关系初始化：
Ti=Thi/Td                                        [2]
其中，i表示特定的ECU_i，其中，i=1，…，N；
N表示CAN中的控制器的总数量；
Thi是用于ECU_i的有效监督的可校准的超时值；以及
Td是主例程、即CAN监测例程500的执行周期。
其他初始化的项包括用于i=1，…，N的控制器中的每个控制器的标志，其设定如下：
Active[i]=0，并且
Sleep[i]=0。
因此，在每个点火循环中的该例程的第一次执行的开始，控制器既未被标明为有效状态也未被标明为休眠状态。
如果Ti对于任何i都大于一，则超时值Ti按1递减，即，Ti=Ti-1(604)，并且系统监测以确定是否已从控制器中的任何一个收到任何新的消息(606)。如果这样(606)(1)，如参考EQ.[2]所描述地，对于已从其收到消息的特定ECU_i将有效标志Active[i]设定为(=1)，并且超时值Ti重新初始化(608)。在继续中，或者如果没有从控制器中的任何控制器收到新消息(606)(0)，则评估超时值Ti，以确定对于控制器中的任何一个是否已达到零的值(610)，并且如果这样(610)(1)，则对于尚未从其收到消息的任何特定的控制器ECU_i将有效标志Active[i]重置为(=0)(612)。若为否(610)(0)，或者如所描述地在重置有效标志Active[i]之后，确定控制器ECU_i中的任何控制器是否没有参与任何有效局部网络(614)，并且如果这样(614)(1)，则将有效标志Active[i]重置成0，并将休眠标志Sleep[i]设定为1(616)。
否则(614)(0)，将休眠标志Sleep[i]重置成0(618)，并且在结果返回至控制器有效监督例程600的情况下，该迭代结束(620)。
图7图示了故障隔离例程700的实施例，以采用故障表征矢量Vfinactive确定故障候选，即断开链路、线短路或有故障的控制器，其示例参考图4描述。提供表4作为图7的故障隔离例程700的关键，其中，数字标记的块和对应的功能陈述如下。

故障隔离例程700初始化各项，包括清空故障候选矢量FC和先前的故障候选矢量pre-FC(701)。检索来自CAN监测例程500的故障信息，包括故障记录矢量R_Inactive[Fault_num]、记录的故障数(Fault_num)和记录的无效和休眠的控制器，如下(702)：
对于所有ECU_i，R_Inactive[k]
R_Sleep[k][i]
k=1，…，Fault_num
i=1，…N。
此外，系统拓扑评估确定对于每个故障f的故障表征矢量Vfinactive，以表明无效控制器的对应集。故障指数k被初始化成1(704)。例程为每个故障指数k确定一个故障候选作为F的子集S，使得S在具有满足以下关系的|S|≥k的集之中最小(按大小测量)：
R_Inactive[k]=(Uf∈s)∩{ECU_i：R_Sleep[k][i]=0}，并且如果k>1，则RPre_FC，RS。
因此，故障候选的表征集中的那些未休眠的控制器应是无效的，不在故障候选的表征集中的其他未休眠的控制器应是有效的，并且当另一故障已出现时任何先前的故障候选应是当前故障候选集的一部分(即，k>1)(706)。
将Pre_FC集设定成等于当前FC集(708)，并且查询系统以确定是否已评估所有的故障(k<Fault_num？)(710)。如果尚未评估所有的故障(710)(0)，则故障指数k递增(k=k+1)(712)，并且操作通过对递增的故障指数k执行块706和708继续。
这样，将被包含在故障记录矢量中的控制器与被包含在所有故障表征矢量Vfinactive中的控制器相比较，以基于与故障表征矢量Vfinactive中的一个一致来识别并隔离故障。
当已评估所有的故障时(710)(1)，将故障候选集FC输出至CAN监测例程500(714)，并且故障隔离例程700的该迭代结束(716)，以使操作返回至CAN监测例程500。
CAN系统用于实现在例如车辆的系统中的控制器之间的信号通信。在此描述的故障隔离过程允许CAN系统中的电源单个故障、多个故障和间歇故障（包括通信总线、电源和接地中的故障）的定位和隔离。
本公开已描述了某些优选的实施例及所述某些优选实施例的变型。本领域的技术人员在阅读和理解说明书时可想到另外的变型和变更。因此，本公开不应局限于作为设想用于实施本公开的最佳模式而公开的特定实施例，而是本公开应包括落入所附权利要求的范围内的所有实施例。