先進運転支援システム（ADAS）を支えるEthernet TSN規格

近年の車載電子システムは、交通事故の減少に大きく貢献しています。今後は先進運転支援システム（ADAS）の改良による安全性の更なる向上が大きなトレンドになってきますが、そういったシステムでは大量のデータの転送と処理が必要になります。緊急ブレーキ、衝突回避、車線逸脱警告などのADASアプリケーションを組み合わせて完全自動運転へと向かう中、システムはますます複雑になり、予測可能なレイテンシ、そして帯域幅の保証がこれまで以上に重要となってきます。たとえば高精細カメラで細部まで明瞭な高品位イメージを撮影すれば、さまざまな周囲状況を検出して対処できます。更に、高性能レーダー/LIDARを使用すると周囲の物体の距離と方角を判定できます。これらのアプリケーションでは、車両全体に設置されたセンサーから大量のデータを収集して処理し、意思決定を実行します。これほど大量のデータを扱うには高速なネットワーク・コネクティビティが必要であり、現在のSoC設計ではEthernetの採用によってこの課題を解決しています。しかしこれらシステムの要求を満たすには単にパフォーマンスだけでなく、レイテンシを予測できること、そして帯域幅が保証されることも必要となります。

IEEEではTSN（Time Sensitive Networking）ワーキング・グループがいくつかのTSN規格を発表しており、現在もリアルタイム・ネットワーキングを必要とするアプリケーション（状況に応じて車両を能動的に制御し、歩行者や他の車両との衝突を回避したりするアクティブADASなど）での利用を想定して新しいEthernet仕様の定義を進めています。本稿では、車載SoCに向けたEthernet TSN規格についてご説明した後、TSNへの対応を容易にするオートモーティブ規格認証済みEthernet IPをご紹介します。

TSN規格策定の背景

ADASなどの安全系アプリケーションでリアルタイム・ネットワーキングが必要とされるようになった現在、理想的な選択肢として注目されているのがEthernet TSN規格です。ADASを実現するには多くのシステムを同期する必要があり、そのためにネットワーク上で大量のデータ転送が発生します。たとえば緊急ブレーキ・システムの場合、ブレーキの制動距離とドライバーの反応時間を考慮に入れる必要があります。衝突回避システムが障害物を検出したら、ドライバーに通知が送られ、ブレーキ・システムが作動します。ブレーキの作動に遅れがあってはならないため、検出システムとブレーキ・システムの通信は文字通り死活的に重要であるといえます。

Ethernet TSNの前身としてまず登場したのが、Ethernet AVB（Audio Video Bridging）規格です。AVBは主に車載インフォテインメントや車載ネットワーク・システムなどのオーディオ/ビデオ・アプリケーションでの利用を想定して策定されました。AVB準拠ネットワークでは、ラジオの音声、インフォテインメント・システムのビデオ、車両のコマンド・センターからのデータ、そして診断機能からのファイル転送をブリッジ接続した共通のネットワークにストリームとして流します。これらのネットワークにもレイテンシに対する制約はありますが、自動ブレーキ・システムなど安全系ADASアプリケーションの場合、データ・レイテンシに対する要求はその比ではなく、しかもADASアプリケーションでは扱うデータ量が桁違いに大きくなります。こうした理由により、IEEEの委員会はワーキング・グループの名称をTSNに変更し、元々AVBとして定義された機能の拡張に着手しました。このTSNワーキング・グループがこれまでに策定した規格を表1に示します。

Time-Aware Shaper（タイム・アウェア・シェーパー）

車載ネットワークの設計では、予測可能なレイテンシが保証される必要があります。このようなネットワークを「エンジニアード・ネットワーク」と呼びます。タイム・アウェア・シェーパーはエンジニアード・ネットワークで使用され、タイミング・クリティカルな（TC）トラフィック・キューがブロックされないようにスケジューリングします。これは、タイム・ゲートを利用してタイミング・クリティカルでない（NTC）データをブロックしながら、TCデータを滞りなく送信するという方法で実現します（図1）。ゲートを開閉する間隔は、IEEE 802.1Qbvスケジューラのロジックで決定します。タイム・アウェア・シェーパーはEthernet MACに実装します。

Preemption（プリエンプション）

プリエンプションもTCデータ・ストリームのレイテンシを削減するために使用します。プリエンプションに対応したEthernetネットワークでは、NTCデータ・フレームに割り込んでTCデータ・フレームを送信できます。TCデータ・フレームが宛先に到達すると、中断していたNTCデータ・フレームの送信を再開します。分割されたデータ・フレームは、元の状態に戻してから送信を再開します（図2）。

ここで、緊急ブレーキ・システムの例を考えてみましょう。2つのEthernet MACがTCデータ・フレーム（緑）とNTCデータ・フレーム（オレンジ）を送信します。プリエンプション対応MACを使用すると、緑のフレームの方がオレンジのフレームよりも優先的に送信され、リアルタイムに宛先に到達します。これにより、ネットワーク上を流れる他のデータ・フレームの影響を受けることなく、システムはリアルタイムにブレーキを作動させることができます。TCデータ・フレームがNTCデータ・フレームをプリエンプションすることで、レイテンシが大幅に改善します。しかしそれ以上に重要なのは、レイテンシが予測可能になるということです。

Cyclic Queuing and Forwarding（サイクリック・キューイング/フォワーディング）

サイクリック・キューイング/フォワーディングは、ネットワーク・トポロジに関係なく既知のレイテンシをサポートします。この規格は、ブリッジを経由してもネットワーク・レイテンシがなるべく一定となるようにすることを目的としています（図3）。IEEE P802.1Qch - Cyclic Queuing and Forwarding Amendmentのページには、「ネットワーク・トポロジにかかわらず、ブリッジを経由したネットワーク全体で確定的な遅延を容易に計算できるようにする送信選択アルゴリズムを規定します。これは既存の手法を改良したもので、ブリッジ接続したLAN全体でネットワーク遅延の計算を大幅に簡略化し、伝送ジッタを削減し、確定的サービスのプロビジョニングを容易にします」と書かれています。

Per Stream Filtering and Policing（ストリーム単位のフィルタリングとポリシング）

ストリーム単位のフィルタリングとポリシングでは、ネットワーク内のコンポーネントが事前に合意した規則に準拠しているかどうかをブリッジ（またはエンドポイント・コンポーネント）が検出できるようにします。たとえばあるノードに一定の帯域幅を割り当てておいて、コンポーネントの故障や悪意のある行為によってこの帯域幅を超えた場合、ネットワークを保護するためのアクションを実行できます。この規格には、フレームのカウント、フィルタリング、ポリシングなどを実行する手順が含まれます。特に重要なのがポリシングおよびフィルタリングの機能で、これらを使用して問題のある転送を検出および除去することによって、ネットワークの堅牢性とセキュリティが向上します。

Frame Replication and Elimination（フレームの複製と除去）

フレームの複製と除去はシームレスなデータ冗長性をサポートします。たとえばCRC（巡回冗長検査）エラー、断線、コネクタの緩みなどによって発生した問題を検出して影響を軽減します。この規格は、TCデータ・フレームにシーケンス番号を追加してフレームを複製します。複製したフレームは、ネットワークの別々の経路を移動します。ネットワーク内のブリッジなどの結合点でこれら別々のパスが合流すると、重複したフレームがストリームから除去されます。このようにして、アプリケーションはフレームをアウトオブオーダーで受信することができます（図4）。

たとえばアダプティブ・クルーズ・コントロール（ACC）が一定の速度と車間距離を維持するように制御システムに信号を送信する場合、この信号と他のアプリケーションからの信号がシームレスに転送されるように、ネットワークに別々の経路を作成します。これらの信号が再び合流した時点で重複したフレームは除去されるため、中断のない信号伝送が可能です。IEEEはフレームの複製と除去に関して3つの実装を定義しています（信号の送信側がトーカー、受信側がリスナー）。

• トーカーが複製し、リスナーが重複を除去
• ブリッジが複製し、リスナーが重複を除去
• ブリッジが複製し、ブリッジが重複を除去

Enhanced Generic Precise Timing Protocol（拡張gPTP）

拡張gPTPは、ネットワーク全体でクロックを同期することによってクロック冗長性をサポートします。クロック同期の方法には、シングル・グランド・マスターとマルチ・グランド・マスターの2つがあります。システムには、クロックを同期するマスターとネットワーク全体でルート・タイミングを参照するグランド・マスターが1つずつあります。シングル・グランド・マスター・モデルでは、クロック時刻情報はネットワークのあるセグメントに属するリスナーに送信されてから、同じネットワーク上の他のセグメントに伝達されます。正確なクロック時刻を知っているのはグランド・マスターのみです。マルチ・グランド・マスター・モデルでは、クロック時刻はいろいろな方向でネットワーク全体に送信されます。このため、何らかの中断があってもネットワーク全体で正確なクロック時刻を知ることができます。

ここまでご紹介したTSN仕様、およびIEEE P802.1QccやP802.1Qcrなどの仕様は、ADASアプリケーションで必要とされるリアルタイム・ネットワーキングの要件を満たすことを目標として策定が進められてきました。最初は診断およびソフトウェア・アップデート用にEthernetが導入され、その後、車載インフォテインメント・システムやハイエンドの民生オーディオ/ビジュアル・システム向けにEthernet AVBが導入されました。現在、TSNはハイエンドのADAS SoCに欠かせない存在となっており、SoCに統合するIPの側にもTSNへの対応が求められるようになっています。

まとめ

エアバッグ、横滑り防止装置（ESC）からアダプティブ・クルーズ・コントロール（ACC）などの先進運転支援システム（ADAS）へと安全系技術が発展を続ける中、広い帯域幅と予測可能なレイテンシが必要とされています。これと同時に、最新のADASアプリケーションにはより高性能な車載半導体が使われるようになっています。これらのシステムを接続する方法はいくつもありますが、高いデータ・レート、実証済みの信頼性とインターオペラビリティ、そしてTSN規格の策定が要因となってEthernetが車載SoCの有線接続技術として台頭しています。タイミング・クリティカルなアプリケーションには、TSNは欠かせない要素です。予測可能なレイテンシおよび帯域幅の保証に対する自動車業界の要求の高まりに応えるため、以前のEthernet AVB（Audio Video Bridging）仕様を拡張する形でIEEE TSNワーキング・グループによって定義されたのが、新しいTSN仕様（複数のタイム・アウェア・シェーパー、プリエンプション、サイクリック・キューイング/フォワーディング、ストリーム単位のフィルタリングとポリシング、フレームの複製と除去、拡張gPTP）です。

民生品の電子機器とは異なり、車載電子機器とそのSoCおよびIPコンポーネントは機能安全規格ISO 26262、信頼性規格AEC-Q100、更には品質管理などオートモーティブ特有の厳格な基準に適合する必要があります。ISO 26262認証では、適用すべきASIL（Automotive Safety Integrity Level）ごとに必要なプロセス、開発工程、基準、および安全計画がすべて定義されています。ASILにはA、B、C、Dの4段階があり、最も高い機能安全が要求されるのがASIL Dです。SoCおよびIPは、非常に低い故障率（単位：dppm。1 dppmは100万個のデバイスに対して不良品が1個）を達成できるようにテストする必要があります。

オートモーティブ認証済みIPを採用すると、TSNを容易に実装でき、SoCレベルのISO 26262認証にかかる時間を短縮できます。特にシノプシスDesignWare Ethernet Quality-of-Silicon（QoS）IPはISO 26262認証済みAutomotive Safety PackageによりASIL Bに対応しており、2.5GまでのEthernetスピード、リアルタイム・ネットワーキング、IEEE AVBおよびTSN規格をサポートしています。