UDS多帧传输与流控策略在车内通信的应用

UDS多帧传输与流控策略：如何让车载通信“既快又稳”？

你有没有想过，一辆智能汽车在做OTA升级时，成千上万字节的固件数据是怎么通过一根带宽只有500kbps的CAN总线安全送达ECU的？更神奇的是，为什么低端MCU不会因为接收太快而“卡死”，高端域控制器又能全速跑满带宽？

答案就藏在UDS多帧传输机制和它的“节拍控制器”——流控策略中。

今天我们就来拆解这套被广泛用于FOTA刷写、参数标定、故障日志读取等关键场景的技术组合拳。它不是简单的“分包发送”，而是一套精密设计的动态协商系统，堪称车载通信中的“交通调度中心”。

为什么单帧不够用？从8字节说起

我们先回到起点：经典CAN帧最多承载8个数据字节。而在UDS协议下，第一个字节还得留给协议控制信息（PCI），真正能传用户数据的空间只剩7字节。

这意味着：
- 一个1KB的配置文件需要发约143帧；
- 一次完整的Flash擦写指令可能携带几万字节代码；
- ADAS模块的日志动辄几十KB。

如果一股脑全扔出去，轻则接收方缓冲区溢出，重则直接导致ECU任务阻塞、看门狗复位——这可不是修bug，是“爆ECU”。

于是ISO 15765-2（也就是常说的ISO-TP，传输层协议）登场了。它是UDS运行于CAN之上的“隐形支柱”，专门解决大块数据的安全搬运问题。

多帧怎么传？三类帧协同作战

UDS多帧传输的本质，是把大数据切成小片，像流水线一样有序传送。整个过程靠三种CAN帧配合完成：

首帧（First Frame, FF）—— 开场白

标志一次多帧传输的开始，结构如下：

字节	内容
0	`0x10`+ 高4位长度（Length High）
1	低8位长度（Length Low）
2~7	第一批有效数据

比如要传1000字节（0x03E8），首帧PCI就是0x13 E8，后面跟着前6字节数据。接收方一看就知道：“哦，总共要收1000字节，准备好了。”

✅小知识：首帧最大可表示4095字节（12位长度字段）。超过怎么办？可以用扩展模式（如29位CAN ID + 更长PCI格式），理论上支持到4GB！

连续帧（Consecutive Frame, CF）—— 搬运工

从第二段开始，每帧都是CF。格式简洁明了：

字节	内容
0	`0x20`+ 序列号SN（0~F循环）
1~7	数据片段

序列号SN用4位表示（0~15），自动递增。例如：
- 第二帧：0x21 ...
- 第三帧：0x22 ...
- …
- 第十七帧：又回到0x20（SN=0）

接收端靠这个SN判断是否丢包或乱序。一旦发现跳号，立刻终止传输并返回负响应码（NRC）。

流控帧（Flow Control Frame, FC）—— 节奏指挥官

这才是整套机制的灵魂所在。FC由接收方主动发出，告诉发送方：“你现在可以发几个？每个间隔多久？”

其结构为：

字节	含义
0	`0x30`（PCI类型）
1	FS：流控状态
2	BS：块大小（Block Size）
3	STmin：最小间隔时间

别看只有3个参数，它们决定了整个通信的质量和效率。

流控策略的核心：三个参数定乾坤

1. FS（Flow Status）—— 我现在能不能接？

值	含义	行为
0	ContinueToSend	“继续发！”
1	Wait	“等等，我忙不过来”
2	Overflow	“救命！缓存炸了！”

最常见的就是FS=1（Wait）。比如ECU正在执行一次耗时的Flash写操作，无法处理新数据，就会回一个Wait帧。发送方收到后暂停发送，等待下一个FC再继续。

这种“暂停-恢复”机制，极大提升了系统的鲁棒性。

2. Block Size（BS）—— 一次让你发几个？

BS定义了每次允许发送的连续帧数量。典型设置有：

BS = 0：不限制块大小，相当于“一直发到底”。适合高性能链路（如诊断仪直连）。
BS = 5~10：常用折中值，平衡效率与负载。
BS = 1：极端保守模式，每发一帧都要等一次FC，通信效率低但最安全。

举个例子：
若BS=5，STmin=20ms，则发送方每次最多连发5个CF，然后必须停下来等下一组FC指令。

这就避免了弱端ECU被“数据洪流”冲垮。

3. STmin —— 别太密集，给我喘口气

STmin规定两个CF之间的最小时间间隔，单位视数值而定：

范围	单位	示例
0x00~0x7F	毫秒	0x0A → 10ms
0xF1~0xF9	100μs步进	0xF2 → 200μs
0xFA~0xFF	保留	—

假设某ECU Flash编程周期为15ms，那你就不能设STmin=5ms，否则数据还没写完下一帧就来了。合理做法是设STmin ≥ 15ms，确保底层有足够时间处理。

🔍调试贴士：如果你发现刷写中途频繁出现Wait帧，优先检查STmin是否小于目标ECU的关键处理周期。

实战代码：手动生成一个流控帧

下面是一个典型的C语言实现，常用于ECU侧诊断服务响应：

/** * 发送流控帧（FC） * @param fs: Flow Status (0=Continue, 1=Wait, 2=Overflow) * @param block_size: 允许发送的CF数量，0表示无限 * @param st_min: 最小间隔时间（ms 或 100us） */ void SendFlowControlFrame(uint8_t fs, uint8_t block_size, uint8_t st_min) { CanMessage fc_msg; fc_msg.id = 0x7E8; // 标准响应ID（依实际网络配置） fc_msg.dlc = 3; // 数据长度固定为3字节 fc_msg.data[0] = 0x30; // PCI Type = 3 (Flow Control) fc_msg.data[1] = fs; fc_msg.data[2] = block_size; fc_msg.data[3] = st_min; CanTransmit(&fc_msg); LogDebug("【FC】发送流控帧: FS=%d, BS=%d, STmin=0x%02X", fs, block_size, st_min); }

调用示例：

// 接收到首帧后，根据当前负载决定流控策略 if (IsFlashBusy()) { SendFlowControlFrame(1, 0, 0); // Wait状态 } else { SendFlowControlFrame(0, 5, 0x0A); // Continue，允许发5帧，间隔10ms }

这段代码看似简单，实则是保障系统稳定的关键防线。

真实场景还原：一次FOTA刷写的幕后流程

让我们以整车OTA升级为例，看看这些机制是如何协作的：

请求下载
- 诊断工具发送RequestDownload，附带固件大小（如128KB）；
- ECU准备接收缓冲区，并确认地址空间可用。
启动传输
- 工具发送首帧（FF），PCI含总长度0x1F 40（80000字节）；
- ECU解析后，评估自身能力：CPU负载高、Flash写入慢 → 决定限速。
流控协商
- ECU回复FC：FS=0, BS=3, STmin=0x14（即20ms）；
- 工具记下规则：每次最多发3帧，每帧至少隔20ms。
分批搬运
- 工具连发3个CF（SN=1,2,3）；
- 暂停，等待下一个FC；
- ECU处理完部分数据后，再发新的FC允许继续。
临时挂起
- 若此时车辆进入点火关闭阶段，ECU可发FS=1让传输暂停；
- 待电源恢复后再继续，无需重传已收数据。
完成校验
- 所有数据接收完毕，ECU计算CRC；
- 返回正响应或错误码。

整个过程就像两个人搬砖：一个人搬，一个人喊“停一下我还没摆好”。节奏虽慢，但从不摔砖。

它解决了哪些工程痛点？

✅ 痛点1：数据太大传不了

传统方法只能传短报文。借助多帧机制，哪怕几MB的Bootloader也能走标准CAN通道完成刷新。

✅ 痛点2：小马拉大车

不同ECU性能差异巨大。仪表MCU可能主频仅24MHz，而智驾域控达GHz级。流控机制让“弱者”有权说“慢点来”，实现异构系统下的公平通信。

✅ 痛点3：总线拥堵

没有流控时，大量CF帧瞬间涌向总线，极易引发仲裁冲突或延迟敏感信号（如刹车信号）丢失。通过STmin调节流量密度，可显著降低总线负载峰值。

✅ 痛点4：死锁风险

若发送方一直等不到FC怎么办？UDS规定了多个超时参数：
-N_Bs：等待流控帧的最大时间（通常500ms~2s）
-N_Cs：连续帧之间最大间隔
-N_As：发送后的响应等待时间

任一超时即中断会话，防止系统僵死。

工程师的最佳实践清单

项目	推荐做法
STmin 设置	≥ 接收方最慢处理周期（如EEPROM写入时间）
Block Size	高性能链路设为0；资源紧张设为1~5
BS=0 的使用	仅在点对点高速连接中启用，避免广播式滥用
Wait帧触发条件	CPU负载 > 80%，内存不足，外设忙
超时配置	N_Bs ≥ 1.5 × 网络往返延迟，留出余量
错误处理	检测到SN重复、跳变、非法PCI时立即终止并返回NRC
安全性	在未通过`SecurityAccess`解锁前，禁止写类服务的多帧传输