Pas de laatste verbeteringen in de CAN-bustechnologie toe voor betrouwbare, veilige en snelle communicatie in automotive netwerken

Ontwerpers in de auto-industrie werken al jaren met CAN's (Controller Area Networks) voor betrouwbare communicatie tussen de verschillende subsystemen en elektronische controle-units (ECU's). Er komen echter steeds meer netwerkknooppunten. Er zijn hogere doorvoersnelheden nodig en er is behoefte aan lagere latency en meer geavanceerde beveiliging. En dat graag klein, lichtgewicht en betaalbaar. Toch zouden de meeste ontwerpers de netwerktopologieën liever niet aanpassen. En dat hoeft ook niet, want CAN-specificaties zijn gestaag beter geworden, net als de bijbehorende IC-oplossingen.

Overstappen op een nieuwe netwerktopologie is lastig: investeringen gaan verloren, en de nieuwe leercurve voor de ontwerpers betekent een risico voor de planning. Er is een alternatief: kijk eens naar hogere CAN-specs. Denk hierbij aan CAN Flexible Data-Rate (FD) voor snellere gegevensdoorvoer, overweeg technieken als deelnetwerken om lekkages en ruis op te vangen, pas strakkere timingmarges toe om betrouwbare communicatie te garanderen bij hogere data-rates en kijk ook naar sterkere beveiliging.

Leveranciers van CAN-transceivers spelen ook in op ontwerpvereisten met meer geïntegreerde oplossingen die verschillende CAN-verbeteringen bevatten voor opkomende toepassingen, bijvoorbeeld in geavanceerde systemen voor rijondersteuning, aandrijfketens en infotainmentsystemen.

Dit artikel gaat in op het CAN-systeem en de verbeteringen en bespreekt hoe ontwerpers om kunnen gaan met de overstap naar meer geavanceerde modellen, zoals de CAN FD. Er worden diverse geschikte CAN-oplossingen voorgesteld, inclusief manieren om ze toe te passen voor snellere gegevensdoorvoer, hogere betrouwbaarheid en sterkere beveiliging.

CAN Flexible Data-Rate

Voertuigen hebben tegenwoordig steeds meer elektronica aan boord en ontwerpers hebben behoefte aan krachtigere prestaties. Maar overstappen op een compleet ander netwerk is niet nodig: ze kunnen verbeterde CAN's inzetten, om te beginnen CAN FD. CAN FD levert snelheden tot 5 Mbits/s, in vergelijking met de originele CAN-specificatie van (maximaal) 1 Mbit/s, zoals die is vastgelegd in ISO 11898. De beperkte datasnelheid dwong ontwerpers in de auto-industrie om meer CAN-netwerkapparaten en verbindingen in te bouwen in het voertuig, wat onvermijdelijk leidde tot meer bedrading, meer verliezen en meer gewicht.

De CAN FD-standaard verhelpt dit bandbreedteprobleem met snelheden tot 2 Mbits/s (nominaal) en 5 Mbits/s in de programmeermodus. Deze enorme CAN-verbetering gaat samen met een aangepaste frame rate, waarmee het gegevensveld omhoog gaat van 8 bytes tot 64 bytes. Zo kunnen gegevensintensieve toepassingen effectiever worden ondersteund (afbeelding 1).

Afbeelding 1: De CAN FD-standaard, bijgewerkt in 2012, verhoogt het maximale aantal bytes in de payload van 8 naar 64 bytes. (Bron afbeelding: Microchip Technology)

Overstappen van de traditionele CAN-technologie naar CAN FD

Auto's krijgen steeds meer camera's en sensoren, inclusief voor de geavanceerde systemen voor rijondersteuning. De hoeveelheid data die wordt overgedragen via netwerken in een voertuig blijft dan ook groeien. CAN FD-netwerken kunnen helpen met hun hogere overdrachtssnelheden, maar ze vragen wel om meer nauwkeurigheid tijdens de ontwikkeling. Bij hogere snelheden is er bijvoorbeeld al snel minder marge om de bitwaarde te stabiliseren, wat het risico op fouten vergroot en de inherente betrouwbaarheid van het CAN-systeem ondermijnt.

Ook kan er storende lekstroom optreden door de hogere overdrachtssnelheid in het CAN-netwerk. Daarnaast is het een uitdaging om een CAN FD-systeem parallel met traditionele CAN in te zetten, omdat het niet eenvoudig is om fouten te vermijden in zo'n hybride netwerkarchitectuur.

Microchip Technology heeft de snelle CAN-transceiver MCP2561/2FD speciaal ontworpen om dit soort problemen op te lossen. De kernfuncties van het apparaat zijn ongewijzigd ten opzichte van zijn voorganger, de MCP2561/2. De transceiver heeft echter een gegarandeerd symmetrische lusvertraging om de snellere gegevensoverdracht van CAN FD te ondersteunen (afbeelding 2). Dit zorgt weer voor een kleinere maximale propagatievertraging, wat langere netwerkverbindingen mogelijk maakt en meer nodes op de CAN-bus. De MCP2561/2FD CAN-transceiver heeft een maximale propagatievertraging van slechts 120 nanoseconden (ns).

Afbeelding 2: De MCP2561/2FD CAN-transceiver heeft gegarandeerde lussymmetrie. Dit maakt langere netwerkverbindingen mogelijk en meer nodes op de CAN-bus. (Bron afbeelding: Microchip Technology)

Microchip en andere leveranciers van CAN-transceivers implementeren ook het deelnetwerkmechanisme, in overeenstemming met ISO 11898-2:2016. Deelnetwerken zorgen voor een soepele overgang van traditionele CAN-systemen naar de snellere CAN FD-technologie, omdat ze selectieve wake-up ondersteunen en autonome voormagnetisering van de bus.

De snelle TJA1145 CAN-transceiver van NXP Semiconductors ondersteunt bijvoorbeeld datasnelheden tot 2 Mbits/s en werkt met deelnetweren via FD Passive, een selectieve wekfunctie. De transceiver laat standaard CAN-controllers – die geen CAN FD-berichten hoeven te versturen – in slaapstand blijven tijdens de CAN FD-communicatie, zonder dat dit busfouten genereert.

Uiteindelijk moeten alle CAN-controllers voldoen aan de standaard voor snelle CAN-bussen, zodat alle CAN-busnodes FD Active nodes worden. Tot die tijd kan het gat tussen de traditionele CAN-technologie en de moderne CAN FD worden opgevuld met deelnetwerken.

NXP biedt ook CAN FD Shield-technologie, die de CAN FD-berichten dynamisch filtert met een bijzonder nauwkeurige oscillator. Net als bij een deelnetwerk bieden de CAN-transceivers met FD Shield-functie een gebruiksklare vervanging van de bestaande transceivers, zodat de software niet hoeft te worden gewijzigd. NXP heeft de beoordeling van zijn FD Shield-technologie uitgevoerd met de Automotive Open Systems Architecture (AUTOSAR). De samples zijn beschikbaar voor grote automotive OEM's en Tier 1-leveranciers.

Busbeveiliging met kleinere CAN-transceivers

Naast de hogere overdrachtssnelheden kunnen ontwerpers ook profiteren van sterk geïntegreerde CAN-oplossingen, voor lagere kosten voor de stuklijst en ruimtebesparing op het board. De apparaten zitten vaak echter dicht bij elkaar en bij andere gevoelige elektronica. Het is dus belangrijk dat ze geen storing veroorzaken, of hier zelf kwetsbaar voor zijn. Hiervoor zijn de kenmerken voor elektromagnetische interferentie (EMI) en immuniteit van belang. Om problemen met statische elektriciteit en elektromagnetische interferentie op te lossen, gebruiken CAN-transceivers vaak discrete filters, common-mode spoelen en TVS-apparaten die de overspanningen onderdrukken.

Als u meer wilt weten over het belang van TVS voor CAN-bustoepassingen, lees dan het (Engelstalige) artikel "Design-In TVS Diode Protection to Enhance CAN Bus Reliability".

Automotive ontwerpers zijn echter steeds meer op zoek naar manieren om het gewicht en ook de kosten terug te dringen in CAN-based design. Bij de transceivers TCAN1042 en TCAN1051 van Texas Instruments is de smoorspoel bijvoorbeeld verwijderd om het aantal componenten terug te dringen, terwijl ze nog wel steeds voldoen aan de strenge eisen voor immuniteit tegen ruis (afbeelding 3).

Afbeelding 3: De TCAN1042 CAN- biedt beschermende functies die de belastbaarheid van de CAN verhogen. Hij wordt gebruikt in toepassingen als klimaatregelingen in voertuigen en intelligente RF-afstandsbedieningen. (Bron afbeelding: Texas Instruments)

De beveiliging tegen busfouten en elektrostatische ontladingen (ESD) is essentieel in CAN-systemen, die inmiddels worden ingezet in systemen met 12, 24 en 48 volt in voertuigen en met 24 volt in industriële voedingen. De beveiliging beschermt de pinnen van de CAN-bus tegen kort-naar-DC spanningen, met behulp van een betere matching van de output-signalen.

De transceivers TCAN1042 en TCAN1051 leveren een ESD-bescherming tot ±15 kilovolts (kV), waarmee TVS-diodes eventueel overbodig worden. Daarnaast kunnen ontwerpers de prestaties van deze CAN-transceivers snel en eenvoudig beoordelen met een evaluatiemodule, de TCAN1042DEVM voor inzicht in de afsluiting, filtering en beveiligingsconcepten.

De volgende stap voor CAN-technologie: beveiliging

Geïntegreerde voertuignetwerken op CAN-basis om ECU's te koppelen zijn relatief eenvoudig en gebruiksvriendelijk. Eén enkele ECU met een beveiligingsprobleem maakt echter wel het hele voertuig kwetsbaar voor hackers. Een bekende optie om de communicatie per CAN te beveiligen is gebaseerd op het MAC-mechanisme, voor 'message authentication code' om berichten te bevestigen. Dit maakt gebruik van cryptografie en ingewikkeld sleutelbeheer. Versleuteling verhoogt echter de belasting van de CAN-bussen, de latency van berichten en het energieverbruik. Ook het upgraden van ingebouwde netwerken voor veilige CAN-communicatie wordt een probleem, omdat de huidig geïnstalleerde CAN-controllers hiervoor niet voldoende rekenkracht hebben.

Nieuwere CAN-transceivers worden geleverd met eenvoudigere mechanismes, die de problemen met bandbreedtegebruik, vertragingen en verwerkingslast omzeilen. Deze veilige CAN-transceivers kunnen bericht-ID's filteren. Als een gehackte ECU probeert om een bericht te verzenden met een ID die oorspronkelijk niet hieraan was toegewezen, kan de transceiver weigeren om het bericht door te sturen aan de CAN-bus (afbeelding 4). Door het bericht van de gehackte ECU te weigeren, gaat de CAN-transeiver spoofing, manipulatie en flooding-aanvallen tegen.

Afbeelding 4: Om vertraging en bandbreedteverbruik te verminderen bij de beveiliging van het CAN-netwerk, gebruiken nieuwere transceivers een filter voor bericht-ID's. (Bron afbeelding: NXP Semiconductors)

Deze CAN-transceivers bieden ook zonder cryptografie beveiliging tegen verschillende aanvallen, inclusief flooding, spoofing en gegevensmanipulatie. Ze kunnen een cyberincident detecteren als het bericht op de bus wordt geweigerd en het markeren met een actieve foutvlag. Vervolgens koppelt de veilige CAN-transceiver tijdelijk de lokale host los van de CAN-bus.

Als er geen bedreiging wordt gedetecteerd, werken de CAN-transceivers als standaard snelle CAN-transceivers. Kortom: er is geen extra werk vereist om standaard transceivers in een soortgelijk pakket te vervangen door deze gebruiksklare veilige uitvoeringen.

Leveranciers als NXP implementeren hiermee de beveiligingsfunctie volledig in de hardware, zodat veiligheidsoperaties voor de CAN-transceivers onafhankelijk van de CAN-controllers kunnen worden uitgevoerd. Dit maakt softwarewijzigingen op de ECU overbodig, en voorkomt dus ook het risico van aanpassingen aan de ECU-werking.

Bovendien houdt de veilige CAN-transceiver een log bij om de veiligheidsincidenten op de bus te rapporteren. Deze CAN-transceivers kunnen ook hun eigen configuratie-updates beveiligen. Zo fungeren ze direct als een inbraakdetectiesysteem.

Conclusie

De CAN-bus stamt al uit 1983, maar zoals we hebben gezien in dit artikel, gaat de technologie met zijn tijd mee. CAN-bussen zijn nog steeds uitermate geschikt voor de communicatievereisten in het automotive elektronicadesign. Ten eerste wordt de technologie sneller, met de overstap op de CAN FD-netwerken. Ten tweede leveren CAN-transceivers meer betrouwbaarheid, bij lagere materiaalkosten en minder ruimtegebruik, doordat ze externe componenten als common-mode spoelen en TVS-diodes overbodig maken. En tot slot versterken CAN-transceivers de beveiliging van de CAN-bus, met ingebouwde beveiligingsfunctionaliteiten in de hardware van de transceiver. Hiermee is niet alleen de CAN-bus beveiligd, maar ook de toekomst van verbonden voertuigen.