Applicare i più recenti miglioramenti del bus CAN per comunicazioni sicure e affidabili nel settore automotive ad alta velocità

Per assicurare comunicazioni affidabili tra i vari sottosistemi elettronici di un'auto e le ECU (unità di controllo elettronico), per molti anni i progettisti si sono affidati allo standard CAN (Controller Area Network). Tuttavia, l'aumento del numero di nodi sul veicolo ha portato con sé anche la domanda di un flusso di dati maggiore, di una minore latenza e di una sicurezza più avanzata, contenendo però dimensioni, peso e costi. Molti progettisti preferirebbero comunque non cambiare le topologie di rete e, grazie ai costanti miglioramenti alla specifica CAN e alle relative soluzioni di circuiti integrati, possono evitare eventuali transizioni.

Passare a un'altra topologia di rete è difficile perché implica la perdita degli investimenti già fatti e potenziali ritardi nella progettazione a seguito dell'incremento delle conoscenze. Ancora una volta, tali problemi possono essere evitati grazie a miglioramenti alla specifica CAN come il CAN Flexible Data-Rate (FD) per un maggiore throughput, a tecniche come il collegamento in rete parziale per gestire perdite e interferenze, all'uso di margini di temporizzazione più stretti per garantire comunicazioni affidabili a velocità di trasmissione dati più elevate e una maggiore sicurezza.

Inoltre, anche i fornitori di transceiver CAN hanno risposto ai requisiti di progettazione con soluzioni più integrate che incorporano i miglioramenti CAN per far fronte in modo più adeguato ad applicazioni emergenti come i sistemi avanzati di assistenza alla guida (ADAS), i gruppi propulsori e l'infotainment di nuova generazione.

Questo articolo prende brevemente in esame la tecnologia CAN, i suoi miglioramenti e come i progettisti possono gestire la transizione a iterazioni più avanzate, come CAN FD. Verranno presentate soluzioni CAN idonee e verrà illustrato come utilizzarle per ottenere velocità di trasmissione dati più elevate, maggiore affidabilità e maggiore sicurezza.

CAN Flexible Data-Rate

A seguito dell'aumento dell'elettronica sui veicoli, i progettisti hanno bisogno di prestazioni più elevate ma, invece di passare a una rete completamente diversa, possono sfruttare i miglioramenti dello standard CAN, a partire da CAN FD. CAN FD consente velocità fino a 5 Mbit/s, rispetto a 1 Mbit/s (max) per la specifica CAN originale definita nella norma ISO 11898. Questa limitazione della velocità di trasmissione dati ha costretto i progettisti del settore ad aggiungere più dispositivi di rete CAN e connessioni all'interno del veicolo, il che ha inevitabilmente aumentato il numero dei cavi, le perdite di potenza e il peso.

Lo standard CAN FD risolve il dilemma della larghezza di banda portando la velocità dei dati a 2 Mbit/s in condizioni nominali e a 5 Mbit/s in modalità di programmazione. In questo importante miglioramento dello standard CAN è integrata una modifica della frequenza dei frame che aumenta il campo dei dati da 8 a 64 byte per un supporto più efficace delle applicazioni ad alta intensità di dati (Figura 1).

Figura 1: Lo standard CAN FD, aggiornato nel 2012, estende da 8 a 64 il numero massimo di byte di dati nel carico utile. (Immagine per gentile concessione di Microchip Technology)

Transizione dallo standard CAN classico a CAN FD

L'aggiunta di telecamere e sensori, compresi quelli per i sistemi avanzati di assistenza alla guida (ADAS), fa aumentare la quantità di dati trasportati attraverso le reti interne dei veicoli. Le reti CAN FD a velocità più elevate possono essere utili, ma richiedono una maggiore precisione durante la fase di sviluppo. A velocità dei dati superiori, ad esempio, il margine disponibile per stabilizzare il valore dei bit si riduce rapidamente, aumentando il potenziale di errori e compromettendo l'affidabilità intrinseca dello standard CAN.

Vi sono poi problemi come la corrente di dispersione di interferenza che può essere generata da una maggiore velocità di trasporto dati all'interno della rete CAN. Inoltre, l'implementazione di un sistema CAN FD accanto allo standard CAN classico rappresenta una sfida significativa per evitare che un'impostazione ibrida della rete introduca degli errori.

Per aiutare a risolvere alcuni di questi problemi, Microchip Technology ha introdotto il transceiver CAN ad alta velocità MCP2561/2FD. Questo dispositivo offre le stesse caratteristiche chiave del suo predecessore, MCP2561/2, ma aggiunge una simmetria garantita del ritardo dell'anello a supporto delle maggiori velocità di trasmissione dati richieste per CAN FD (Figura 2). Questo, a sua volta, riduce il ritardo massimo di propagazione per supportare connessioni di rete più lunghe e un maggior numero di nodi sul bus CAN. Nello specifico, il transceiver CAN MCP2561/2FD ha un ritardo di propagazione massimo di 120 ns.

Figura 2: Il transceiver CAN MCP2561/2FD ha una simmetria dell'anello garantita che consente connessioni di rete più lunghe e più nodi sul bus CAN. (Immagine per gentile concessione di Microchip Technology)

Microchip e altri fornitori di transceiver CAN stanno implementando anche il meccanismo di connettività di rete parziale conforme alla norma ISO 11898-2:2016. La connettività di rete parziale assicura una transizione regolare dai classici sistemi CAN a sistemi CAN FD a velocità più elevate, supportando funzionalità di riattivazione selettiva e polarizzazione autonoma del bus.

Ad esempio, il transceiver CAN ad alta velocità TJA1145 di NXP Semiconductors supporta velocità di trasmissione dati fino a 2 Mbit/s e incorpora una connettività di rete parziale tramite una funzione di riattivazione selettiva chiamata FD Passive. Permette ai normali controller CAN che non hanno bisogno di comunicare messaggi CAN FD di rimanere in modalità di sospensione/standby durante la comunicazione CAN FD, senza generare errori del bus.

Alla fine, tutti i controller CAN dovranno essere conformi allo standard bus CAN ad alta velocità, trasformando tutti i nodi bus CAN in nodi FD Active. Fino a quel momento, però, il divario tra CAN classico e CAN FD sarà colmato da una connettività di rete parziale.

NXP offre anche la tecnologia CAN FD Shield che filtra dinamicamente i messaggi CAN FD tramite un oscillatore ad alta precisione. Come per la connettività di rete parziale, i transceiver CAN che utilizzano la funzionalità FD Shield rappresentano un'alternativa drop-in ai transceiver esistenti e quindi non richiedono modifiche al software. NXP ha completato la valutazione della sua tecnologia FD Shield con l'Automotive Open Systems Architecture (AUTOSAR) e sta mettendo i campioni a disposizione dei principali OEM automobilistici e dei fornitori di primo livello.

Protezione bus con transceiver CAN più piccoli

Oltre a velocità di trasmissione dati più rapide, i progettisti possono sfruttare soluzioni CAN altamente integrate che riducono i costi della distinta base e lo spazio su scheda. Tuttavia, i dispositivi si trovano spesso vicini l'uno all'altro e ad altri dispositivi elettronici sensibili, quindi bisogna fare attenzione che non causino o diventino suscettibili alle interferenze. Le interferenze elettromagnetiche (EMI) e l'immunità al rumore sono quindi caratteristiche importanti. Spesso, per contrastare i problemi ESD ed EMI, i transceiver CAN utilizzano filtri discreti, bobine di arresto di modo comune e dispositivi di soppressione di tensioni transitorie (TVS).

Per ulteriori informazioni sull'importante argomento della soppressione di tensioni transitorie per bus CAN, vedere "Protezione integrata con diodi TVS per migliorare l'affidabilità del bus CAN".

Tuttavia, i progettisti del settore automotive sono sempre più alla ricerca di soluzioni per ridurre peso e costi nei progetti basati su CAN. Ad esempio, i transceiver TCAN1042 e TCAN1051 di Texas Instruments hanno eliminato la bobina di arresto per ridurre il numero di componenti, pur rispettando i severi requisiti di immunità al rumore (Figura 3).

Figura 3: Il transceiver CAN TCAN1042 fornisce funzioni di protezione per migliorare la robustezza dello standard CAN e viene utilizzato in applicazioni come i moduli di controllo HVAC automotive e i telecomandi intelligenti RF. (Immagine per gentile concessione di Texas Instruments)

La protezione contro guasti del bus e scariche elettrostatiche (ESD) elevate è fondamentale nei sistemi CAN che ora soddisfano i requisiti di batterie a 12, 24 e 48 V nei veicoli, nonché di alimentatori industriali a 24 V. Mette i pin del bus CAN al riparo da tensioni corto-c.c. con una migliore corrispondenza dei segnali di uscita.

I transceiver TCAN1042 e TCAN1051 forniscono una protezione ESD fino a ±15 kV, che potenzialmente elimina la necessità di diodi TVS esterni. Inoltre, i progettisti possono valutare rapidamente e facilmente le prestazioni di questi transceiver CAN con il modulo di valutazione TCAN1042DEVM, che fornisce anche informazioni sui concetti di terminazione, filtraggio e protezione del bus CAN.

La prossima frontiera dello standard CAN è la sicurezza

Le reti dei veicoli basate su CAN per il collegamento delle ECU sono relativamente semplici e facili da usare. Tuttavia, una singola ECU la cui sicurezza sia compromessa può rendere l'intero veicolo vulnerabile agli attacchi. Un'opzione ampiamente nota per la protezione delle comunicazioni CAN si basa sul meccanismo del codice di autenticazione dei messaggi (MAC) che utilizza la crittografia e la gestione di chiavi complesse. Tuttavia, la crittografia dei messaggi CAN aumenta il carico del bus CAN, la latenza dei messaggi e il consumo energetico. Inoltre, la mancanza di potenza di calcolo nei controller CAN attualmente installati rende difficile aggiornare le reti dei veicoli per comunicazioni CAN sicure.

I transceiver CAN più recenti sono dotati di meccanismi più semplici che evitano il problema del sovraccarico della larghezza di banda, i ritardi e il carico di elaborazione. Questi transceiver CAN sicuri possono filtrare gli ID dei messaggi, quindi se una ECU compromessa tenta di inviare un messaggio con un ID che originariamente non le era stato assegnato, il transceiver può rifiutarsi di trasmetterlo al bus CAN (Figura 4). Oltre a impedire tentativi di spoofing, un transceiver CAN può scongiurare attacchi di manomissione e flooding invalidando il messaggio della ECU compromessa.

Figura 4: Per ridurre i requisiti di latenza e larghezza di banda e proteggere la rete CAN, i transceiver più recenti filtrano gli ID dei messaggi. (Immagine per gentile concessione di NXP Semiconductors)

Questi transceiver CAN forniscono sicurezza contro flooding, spoofing e manomissioni senza usare la crittografia. Sono in grado di rilevare un incidente informatico se il messaggio viene invalidato sul bus con un flag di errore attivo. Successivamente, il transceiver CAN sicuro scollega temporaneamente l'host locale dal bus CAN.

Tuttavia, se non viene rilevata alcuna minaccia alla sicurezza si comporta come un normale transceiver CAN ad alta velocità. In altre parole, questi transceiver CAN sicuri possono essere un'alternativa drop-in ai transceiver CAN standard in un contenitore simile.

Fornitori come NXP stanno implementando le funzionalità di sicurezza interamente nell'hardware, permettendo di eseguire operazioni di sicurezza dei transceiver CAN indipendentemente dai controller CAN. Questo, a sua volta, evita di dover modificare il software sulla ECU e il relativo rischio di interferire nel suo funzionamento.

Inoltre, il transceiver CAN sicuro tiene un registro per segnalare gli incidenti di sicurezza sul bus. Questi transceiver CAN possono anche proteggere i propri aggiornamenti di configurazione e fungere quindi da sistema di rilevamento delle intrusioni.

Conclusione

Il bus CAN è stato introdotto nel 1983 ma, come ha dimostrato questo articolo, si è adattato bene alle esigenze di comunicazione dei progettisti elettronici del settore automotive. I transceiver CAN stanno attraversando una trasformazione, spostandosi verso le reti CAN FD a velocità più elevate. Stanno migliorando l'affidabilità riducendo allo stesso tempo i costi della distinta base e l'ingombro del progetto grazie all'eliminazione di componenti esterni come le bobine di arresto di modo comune e i diodi TVS. Infine, stanno contribuendo a rendere sicuro il bus CAN incorporando funzionalità di sicurezza nell'hardware del transceiver. Quest'ultimo non costituisce solo una garanzia per il bus CAN, ma anche per il futuro dell'auto connessa.