Bezpečný přenos dat v propojených vozidlech – páteř moderní mobility

Z moderních vozidel se postupně staly propojené high-tech systémy. Zejména autonomní řízení generuje velké objemy dat, která je třeba přenášet v reálném čase. Bezpečný přenos těchto datových toků je zásadní, protože výpadek nebo chyba v datové komunikaci může mít v kritických bezpečnostních situacích vážné následky. Aby se takovým výpadkům zabránilo, výrobci automobilů a jejich dodavatelé investují do spolehlivých technologií přenosu dat značné prostředky. Jaké technologie to jsou a co je činí tak bezpečnými?

Příval dat a rostoucí požadavky

Množství dat generovaných ve vozidle již několik let neustále roste. Senzory pro asistenční systémy řidiče (Advanced Driver Assistance Systems, ADAS) – od kamer přes radary až po lidar – generují datový tok v rozsahu gigabitů. Dnešní vozidla testující vysoce automatizovanou jízdu již dosahují rychlosti přenosu dat kolem 5 Gbit/s (přibližně 625 MB/s). Jednotlivé kamery s vysokým rozlišením tak v tomto případě mohou vyžadovat šířky pásma až 3,5 Gbit/s. Tento obrovský příval dat musí být ve vozidle distribuován bez prodlení, aby centrální řídicí jednotky („Vehicle Computer“, počítače vozidla) mohly ve zlomcích sekundy učinit správná rozhodnutí. Nové funkce zároveň vyžadují stále vyšší spolehlivost datových cest: Časově kritické informace, jako jsou brzdové povely nebo varování před kolizí, nesmí být v žádném případě ztraceny ani doručeny se zpožděním. Klíčovými požadavky na palubní sítě jsou tedy vysoká šířka pásma, spolehlivost/bezpečnost a nízká latence. Pro splnění těchto požadavků se moderní vozidla stále více spoléhají na standardizovanou palubní síť založenou na Ethernetu. Oproti dosavadním heterogenním sítím (CAN, LIN, FlexRay, MOST atd.) nabízí Ethernet škálovatelnost a díky novým rozšířením protokolu i mechanismy pro co nejlepší latenci a zabezpečení proti výpadkům. Některá dnešní vozidla mají více než 150 řídicích jednotek, které si vyměňují data. Bez výkonné sítě by bylo téměř nemožné tuto rostoucí složitost zvládnout.

Datové kabely a konektory

Datové kabely ve vozidle jsou páteří moderních architektur palubních sítí. Dnes se používají převážně kroucené měděné kabely, které jsou obvykle navrženy jako jednopárový Ethernet (Single Pair Ethernet, SPE). Výhodou kroucených párů je, že lze výrazně omezit rušení a přeslechy. Výběrem nestíněné a stíněné varianty lze realizovat vhodnou koncepci EMC (elektromagnetické kompatibility). V prostředí s vysokou úrovní rušení (např. v blízkosti elektromotorů) se často používají stíněné kroucené dvojlinky, zatímco nestíněné kabely šetří hmotnost a náklady v „klidnějších“ oblastech. Důležitá je také mechanická odolnost: Kabely vozidla musí mnoho let odolávat vibracím, teplotním výkyvům a vlhkosti, aniž by ztratily kvalitu přenosu. Stejně důležité jsou i konektory. Na jejich odolnosti záleží, zda datové spoje zůstanou dlouhodobě stabilní, a to i při vystavení vibracím. Na rozdíl od oblasti budov, kde se běžně používají konektory RJ45, sází automobilový průmysl na speciální, robustní konektorové systémy. Tyto konektory mají šroubová nebo zajišťovací spojení, která spolehlivě zabraňují nechtěnému uvolnění při vibracích. Takové konektory s vysokou výkonností splňují všechny běžné automobilové standardy a mohou být použity s různými typy kabelů (STP, UTP apod.). Pro bezpečnostně kritické aplikace (např. autonomní jízdní funkce) existují dodatečné zajišťovací mechanismy, jako je CPA (Connector Position Assurance), které zabraňují neúmyslnému uvolnění konektoru a zacvaknou se pouze tehdy, když je spojení plně zasunuto. Tyto hardwarové inovace dodavatelů zajišťují, že datové cesty zůstávají trvale stabilní i v náročných podmínkách. Do budoucna se již diskutuje o optických technologiích přenosu dat, které jsou nejen ideální pro extrémní šířky pásma, ale mají také obrovskou elektromagnetickou kompatibilitu.

Protokoly, standardy a výbory 

Jako komunikační „jazyk“ sítí vozidel se etabloval Ethernet, který byl přizpůsoben specifickým požadavkům ve vozidle. Na rozdíl od klasického Ethernetu, např. v kanceláři (se čtyřmi páry vodičů), se ve vozidle používá Single Pair Ethernet (SPE), tzv. Automotive Ethernet, tj. Ethernet prostřednictvím pouze jednoho krouceného páru vodičů, který šetří místo a hmotnost a je vhodný zejména pro stísněné a náročné podmínky ve vozidle.

Zásadní roli zde hrají standardy: Zajišťují bezproblémovou součinnost komponentů od různých výrobců, definují závazná výkonnostní a zkušební kritéria a umožňují spolehlivou škálovatelnost nových technologií do velkosériové výroby. Bez mezinárodně uznávaných standardů, jako jsou normy IEEE nebo testovací specifikace organizace OPEN Alliance, by jednotnou, bezpečnou a kompatibilní komunikaci ve vozidle založenou na Ethernetu šlo jen stěží realizovat; zejména při přísných požadavcích na rychlost přenosu dat a při vysokých nárocích na kvalitu moderních vozidel. Pro OEM a dodavatele jsou tyto standardy nepostradatelné, protože umožňují minimalizovat rizika vývoje, splnit požadavky certifikací a dlouhodobě zajistit návratnost technologických investic.

Tyto standardy zároveň zajišťují, že kritické systémy jako nouzové brzdění, asistent udržování jízdního pruhu nebo autonomní rozhodování vozidla mohou být spolehlivě řízeny prostřednictvím standardizovaných a robustních komunikačních cest, což je základní stavební prvek funkční bezpečnosti a bezchybného provozu v bezpečnostně kritických architekturách vozidel.

Důležitými normami jsou:

➔100BASE-T1 (IEEE 802.3bw) – 100 Mbit/s po jedné kroucené dvojlince z mědi. Již několik let se používá v sériově vyráběných vozidlech, např. pro data z kamer a senzorů.

➔1000BASE-T1 (IEEE 802.3bp) – 1 Gbit/s po jedné kroucené dvojlince z mědi. Slouží jako gigabitová páteřní síť ve vozidle, prostřednictvím které může několik řídicích jednotek (ECU) komunikovat vysokou rychlostí. Gigabitový Ethernet se dnes používá například pro centrální sítě infotainmentu a fúzi senzorů ADAS.

➔2,5/5/10GBASE-T1 (IEEE 802.3ch) – 2,5/5/10 Gbit/s po jedné kroucené dvojlince z mědi. Slouží jako multigigabitová páteřní síť ve vozidle, prostřednictvím které může několik řídicích jednotek (ECU) komunikovat vysokou rychlostí.

➔10BASE-T1S (IEEE 802.3cg) – 10 Mbit/s po jedné kroucené dvojlince z mědi s multidrop sběrnicí. Tento standard umožňuje připojení několika senzorů/aktorů ke společnému kabelu, čímž se šetří kabeláž a hmotnost. Norma 10BASE-T1S je vhodná zejména pro jednoduché senzory/aktory v zónových architekturách, takže ne každý malý uzel potřebuje vlastní kabel k centrálnímu přepínači.

Dalším důležitým standardem je ISO 26262 (funkční bezpečnost): Tato mezinárodní norma upravuje funkční bezpečnost elektrických a elektronických systémů v silničních vozidlech a stanoví, jakým způsobem se musí systematicky identifikovat, posuzovat a minimalizovat rizika. Síťové komponenty pro funkce kritické z hlediska bezpečnosti musí být klasifikovány podle takzvaných úrovní ASIL (Automotive Safety Integrity Levels) – od ASIL A (nízké riziko) po ASIL D (nejvyšší riziko). Společnost NXP, světový přední výrobce polovodičů se silným zaměřením na automobilové aplikace, nabízí například 1000BASE-T1 transceiver, což je přenosový modul pro gigabitovou komunikaci přes jediný kroucený měděný pár založený na Ethernetu, který je kompatibilní s ASIL-B. Tento transceiver je navržen speciálně pro použití v bezpečnostně kritických automobilových architekturách a podporuje rozšířené diagnostické a bezpečnostní funkce, jako je integrovaná chybová tolerance a sledování stavu. Tyto komponenty jsou důležité pro bezpečnost, protože zajišťují spolehlivý přenos důležitých údajů, například pro řízení, brzdění nebo zabránění kolizi, a to i v případě poruchy. Bezproblémová komunikace mezi systémy je základním předpokladem pro rozpoznání poruch a přerušení chybových cest.

Redundance a funkční bezpečnost

Vysoké přenosové rychlosti samy o sobě nestačí. Sítě musí být také zabezpečené pro případ výpadku. Podle normy ISO 26262 nesmí žádná jednotlivá porucha vést ke ztrátě funkce kritické z hlediska bezpečnosti. V architektuře E/E se proto používají koncepty redundance. Jedním z nich je fyzická redundance: Kritické senzory nebo aktory (např. u systémů Steer-by-Wire) jsou k řídicím jednotkám připojeny přes dva nezávislé datové kabely. Pokud selže jedno spojení, přebírá jeho funkci druhé. Dále jsou to protokolové redundance, např. prostřednictvím replikace rámců: Každý bezpečnostně kritický datový paket je současně odesílán dvěma různými cestami v síti (definováno ve standardu IEEE 802.1CB, který je součástí rozšíření Time-Sensitive Networking). Příjemce použije první bezchybný paket a duplikáty zahodí. Time-Sensitive Networking (TSN), rozšíření standardu IEEE 802.1 pro deterministický, časově kritický přenos dat, díky časové synchronizaci, časově řízenému přenosu dat a řízení toku umožňuje deterministickou komunikaci s velmi nízkou latencí. To znamená, že funkce brzdění nebo řízení mohou být zpracovávány také prostřednictvím sítě Ethernet, aniž by docházelo ke zpoždění nebo ztrátám paketů, které by vedly k nebezpečným situacím.

Zónová architektura jako model budoucnosti

Dalším trendem je zónová architektur E/E. Místo mnoha dílčích doménových řídicích jednotek (pro motor, podvozek, karoserii atd.) se používá několik centrálních vysoce výkonných počítačů a tzv. zónových řídicích jednotek v oblastech vozidla (vpředu, vzadu, vlevo, vpravo). Tyto zónové řídicí jednotky sdružují senzory a aktory ve své oblasti a komunikují s centrálním počítačem prostřednictvím vysoce výkonných datových kabelů. Automotive Ethernet je klíčovou technologií pro připojení zón k centrálnímu počítači (často jako gigabitová páteřní síť). Jednoduchá sběrnice 10BASE-T1S zároveň propojuje v rámci zóny místní senzory a aktory. Tato kombinace výrazně snižuje délku, složitost a hmotnost kabeláže, protože už ne každý senzor potřebuje vlastní kabel až do centrální jednotky. Zónová architektura také významně přispívá k funkční bezpečnosti: Lokální poruchy, například vadný senzor nebo vadné připojení, zůstávají omezeny na příslušnou zónu a nemají vliv na celou síť vozidla. Jasné oddělení odpovědností v rámci zón umožňuje lepší diagnostiku a lokalizaci poruch, a tím i rychlejší reakci na poruchy. Kromě toho lze redundanci cíleněji realizovat, a to tak, že jsou bezpečnostně kritické funkce zajištěny ve více zónách současně. Tato modularizace zajišťuje, že vozidlo může být v případě selhání kontrolovaně přivedeno do bezpečného stavu. To je také hlavní požadavek normy ISO 26262 a autonomního řízení.