最新のCANバス機能強化を適用してセキュアで信頼性の高い車載用高速通信を実現

長年にわたり、設計者は自動車のさまざまなサブシステムと電子制御ユニット（ECU）間の信頼性の高い通信を実現するために、コントローラエリアネットワーク（CAN）に依存してきました。ただし、オンボードネットワークノードの数が増加するにつれて、求められるデータスループット、および低レイテンシや高度なセキュリティの需要も増加しました。しかも、サイズ、重量、およびコストの厳しい制約の範囲内ですべてを実現する必要があります。それでも、多くの設計者は、ネットワークトポロジを変更しないことを好みます。幸いなことに、CAN仕様および関連ICソリューションの継続的な改善のおかげで変更の必要はありません。

別のネットワークトポロジへの移行は、これまでの投資が失われるだけでなく、設計者の学習曲線の上昇を待っていたのでは設計に遅延が生じる可能性があるという難しさがあります。ただし、高スループットを実現するCANフレキシブルデータレート（FD）などのCAN仕様の機能強化、リークや干渉に対処するパーシャルネットワーキングなどの技術の使用、高データレートで信頼性の高い通信を確保するより厳しいタイミングマージンの使用、およびセキュリティの強化を再検討することで、そのような困難を回避することができます。

また、CANトランシーバメーカーも、さらに統合化されたソリューションにより自ら設計要件に対応しています。このようなソリューションは、CANの機能強化を組み込んで、先進的なドライバ支援システム（ADAS）、パワートレイン、およびインフォテイメントなどの最新アプリケーションに、より優れたサービスを提供しています。

この記事では、CANとその機能強化について簡単に説明し、CAN FDのようなより高度なバージョンへの移行を管理する方法などを取り上げます。さらに、適切なCANソリューションを紹介し、それらを使用してデータレートの高速化、信頼性の向上、およびセキュリティの向上を実現する方法について説明します。

CANフレキシブルデータレート

最新の自動車にはより多くのエレクトロニクスが搭載されているので、設計者はより高い性能を求めますが、完全に異なるネットワークに移行する代わりに、CAN FDをはじめとするCANの機能強化を活用することができます。この機能強化では、最大5Mbit/sのレートが提供されます。対照的に、ISO 11898規格で定義された元のCAN仕様は1Mbit/s（最大）でした。そのデータレート制限により、自動車設計者は車両内にCANネットワークデバイスや接続をさらに追加する必要がありました。これは、必然的に配線、電力損失、および重量の増加につながりました。

CAN FD規格はこの帯域幅のジレンマを解決し、データレートを公称条件で2Mbit/s、プログラミングモードで5Mbit/sに引き上げました。この主要なCAN機能強化によりフレームレートも変更され、データフィールドが8バイトから64バイトに増加しました。これにより、データ集約型アプリケーションをより効果的にサポートできるようになります（図1）。

図1：2012年に更新されたCAN FD規格は、ペイロードのデータバイトの最大数を8バイトから64バイトに拡大した。（画像提供：Microchip Technology）

従来のCANからCAN FDへの移行

先進運転支援システム（ADAS）などに使用されるカメラやセンサの追加により、車載ネットワーク全体で伝送されるデータの量は増え続けています。高速のCAN FDネットワークは確かに役立ちますが、開発中により高い精度が要求されます。たとえば、データ速度が上昇すると、ビット値を安定化させるために使用できるマージンが迅速に収縮します。これにより、エラーの可能性が高まり、CAN固有の信頼性が損なわれます。

また、CANネットワーク内の高速データ転送により生成される干渉リーク電流などの問題もあります。さらに、従来のCANとともにCAN FDシステムを実装すると、ハイブリッドネットワーク配列に起因するエラーが発生する可能性があり、これを防止するという大きな課題が生じます。

これらの問題の一部に対処するために、Microchip TechnologyはMCP2561/2FD高速CANトランシーバを発売しました。このデバイスは、先行製品のMCP2561/2と同様のコア機能を提供しますが、CAN FDに必要な高データレートをサポートするために、保証されたループ遅延対称性を追加しています（図2）。これにより、最大伝播遅延を短縮して、長時間のネットワーク接続やCANバス上のノード数増加をサポートします。具体的に言うと、MCP2561/2FD CANトランシーバの最大伝播遅延は120ナノ秒（ns）です。

図2：MCP2561/2FD CANトランシーバには、長時間のネットワーク接続やCANバス上のノード数増加を可能にする保証されたループ対称性があります。（画像提供：Microchip Technology）

Microchipおよび他のCANトランシーバサプライヤは、ISO 11898-2:2016規格に準拠したパーシャルネットワーキングメカニズムも実装しています。パーシャルネットワーキングは、選択的なウェイクアップ機能と自律バスバイアスをサポートすることにより、従来のCANから高速のCAN FDシステムにスムーズに移行できます。

たとえば、NXP SemiconductorsのTJA1145高速CANトランシーバは、最大2Mbit/sのデータレートをサポートし、FDパッシブと呼ばれる選択的なウェイクアップ機能によりパーシャルネットワークを組み込んでいます。これにより、CAN FDメッセージを通信する必要のない通常のCANコントローラが、CAN FD通信中にスリープ/スタンバイモードを保持することができ、バスエラーを生成することがありません。

最終的に、すべてのCANコントローラが高速CANバス規格に準拠する必要があります。これにより、すべてのCANバスノードがFDアクティブノードになります。ただし、それまでは、パーシャルネットワーキングが従来のCANとCAN FD間のギャップを埋める役割を果たします。

NXPは、高精度の発振器を使用してCAN FDメッセージを動的にフィルタリングするCAN FDシールド技術も提供しています。パーシャルネットワーキングと同様に、FDシールド機能を備えたCANトランシーバは、既存のトランシーバにドロップイン置き換えが可能なため、ソフトウェアの変更は必要ありません。NXPは、車載オープンシステムアーキテクチャ（AUTOSAR）を使用してFDシールド技術の評価を完了し、主な車載用OEMおよびティア1サプライヤにサンプルを提供しています。

小型CANトランシーバを使用したバス保護

データレートの高速化に加えて、設計者はBOMコストと基板スペースを削減する高度に統合化されたCANソリューションを活用できます。ただし、デバイスや他の高感度エレクトロニクスが互いに近接しているため、干渉したり、干渉を受けやすくなったりしないよう注意する必要があります。したがって、電磁妨害（EMI）とノイズイミュニティは重要な特性です。多くの場合、CANトランシーバは、ディスクリートフィルタ、コモンモードチョーク、および過渡電圧抑制（TVS）デバイスを使用して、ESDやEMIを中心とした問題に対処します。

CANバス用TVSの重要項目の詳細については、「TVSダイオード保護の設計によりCANバスの信頼性を向上させる」を参照してください。

ただし、自動車設計者は、CANベースの設計において重量とコストを削減する方法をますます求めています。たとえば、Texas InstrumentsのTCAN1042およびTCAN1051トランシーバは、厳しいノイズイミュニティ要件に準拠しつつ、チョークを取り除いて部品点数を削減しました（図3）。

図3：TCAN1042 CANトランシーバは、CANの堅牢性を強化する保護機能を提供し、車載用HVAC制御モジュールやRFスマートリモート制御などのアプリケーションで使用されています。（画像提供：Texas Instruments）

高頻度のバス障害および静電気放電（ESD）に対する保護は、CANシステムにおいて極めて重要です。現在、CANシステムは12ボルト、24ボルト、および48ボルトの車載用電池要件、さらに24ボルトの産業用電源に対応しています。出力信号の優れたマッチングにより、CANバスピンをDC電圧への短絡から保護します。

TCAN1042およびTCAN1051トランシーバは、最大±15キロボルト（kV）のESD保護を提供します。これにより、外部TVSダイオードが必要ではなくなる可能性があります。また、設計者はTCAN1042DEVM評価モジュールを使用することにより、これらのCANトランシーバの性能を迅速かつ簡単に評価できます。このモジュールは、CANバス終端、CANバスフィルタリング、および保護コンセプトに関する情報も提供します。

CANの最先端領域：セキュリティ

ECUをリンクするCANベースの車載ネットワークは、比較的シンプルで簡単に使用できます。ただし、1つのECUのセキュリティが侵害されると、車両全体がハッキングに対して脆弱になります。CAN通信保護として一般的に知られているオプションは、暗号および複雑なキーの管理を備えたメッセージ認証コード（MAC）メカニズムに基づいています。ただし、CANメッセージの暗号化は、CANバス負荷、メッセージレイテンシ、および消費電力を増加させます。また、現在インストールされているCANコントローラの処理能力が不足しているため、車載ネットワークをアップグレードしてセキュアなCAN通信を実現することは困難です。

最新のCANトランシーバには、帯域幅オーバーヘッド、遅延、および処理負荷を回避するよりシンプルなメカニズムが搭載されています。これらのセキュアなCANトランシーバはメッセージIDをフィルタリングできるため、侵害されているECUが元々割り当てられていないIDでメッセージを送信しようとすると、トランシーバはCANバスへのメッセージ送信を拒否します（図4）。CANトランシーバは、なりすまし防止に加えて、侵害されているECUからのメッセージを無効化することにより、不正変更およびフラッディング攻撃を防ぐこともできます。

図4：CANネットワークを保護すると同時にレイテンシおよび帯域幅要件を低減するため、最新のトランシーバはメッセージIDをフィルタリングしています。（画像提供：NXP Semiconductors）

これらのCANトランシーバは、暗号を使用することなく、フラッディング、なりすまし、および不正変更に対するセキュリティを提供します。メッセージがバス上で無効化され、エラーフラグがアクティブになると、トランシーバはサイバーインシデントを検出することができます。次に、セキュアなCANトランシーバは、一時的にCANバスからローカルホストを切断します。

ただし、セキュリティ上の脅威が検出されない場合、CANトランシーバは標準の高速CANトランシーバのように動作します。言い換えると、これらのセキュアなCANトランシーバは、同様のパッケージで標準CANトランシーバのドロップイン置き換え品として使用できます。

NXPのようなサプライヤが提供しているのは、セキュリティ機能全部をハードウェアで実装することです。これにより、CANトランシーバのセキュリティ操作をCANコントローラから独立して実行できます。結果として、ECU上のソフトウェア変更の必要性と、それに関連するECUの動作中断のリスクを回避できます。

さらに、セキュアなCANトランシーバは、バス上のセキュリティインシデントをレポートするためにログを保存します。これらのCANトランシーバは、自らの設定更新も保護できるため、侵入検出システムとして機能できます。

結論

CANバスは1983年に誕生しましたが、この記事で説明したように、自動車電子機器設計者の通信要件にうまく適応しています。何よりもまず、CANトランシーバは、より高速なCAN FDネットワークへの移行という大きな変化を迎えています。第2に、CANトランシーバは、コモンモードチョークやTVSダイオードなどの外部部品を排除することにより、BOMコストや設計フットプリントを削減すると同時に信頼性を向上させています。最後に、CANトランシーバは、セキュリティ機能をトランシーバハードウェア内に組み込むことにより、CANバスを保護するのに一役買っています。これは、ただCANバスを保護するだけでなく、コネクテッドカーの未来も守ります。