ゲートウェイECU|車載ネットワークを統合する中枢

2025.10.14

ゲートウェイECU

ゲートウェイECUは、車両内に複数存在する制御用ネットワーク(CAN、LIN、Ethernetなど)を相互接続し、メッセージを振り分け、必要に応じて変換・フィルタリングする中核の電子制御ユニットである。ドメイン間や車内外の通信経路を統合し、車載機能の複雑化とデータ量の増大に対応するため、ルーティング、セキュリティ、診断、OTAなどの横断機能を一手に担う。

Table Of Contents

役割と基本機能

ゲートウェイECUの主機能は、①バス間ルーティング(メッセージの転送・中継)、②プロトコル間ゲートウェイ(CAN⇔Ethernetなどの相互接続)、③フィルタリングと負荷制御(帯域保護、優先度制御)、④時刻同期と遅延管理、⑤車外接続のハブ化(テレマティクス、診断)である。これにより、機能横断の協調制御とサービス拡張性が確保される。

対応プロトコルとバス構成

従来のCAN、CAN FD、LINに加え、低遅延・高帯域を提供する車載Ethernet(100BASE-T1/1000BASE-T1)を中核に据える構成が増えている。アプリケーション層ではDoIPやSOME/IPを介したサービス連携が主流で、レガシーではFlexRayの橋渡しにも対応する設計がある。ネットワーク設計では、負荷率、メッセージ周期、ジッタ、エラーフレーム耐性を指標化し、ゲートウェイルールを静的・動的に最適化する。

セキュリティ(Secure Gateway)

ゲートウェイECUは攻撃面の集約点であり、ファイアウォール、IDS/IPS、メッセージ認証、鍵管理、アクセス制御が必須である。Secure BootとOTA署名検証でソフトウェアの正当性を保証し、HSMにより暗号演算と秘密鍵の耐タンパ保護を行う。外部サービス連携ではTLSと証明書ローテーションの運用設計が求められる。

診断・整備とOTA

UDS/DoIP経由でECU群のDTC、フリーズフレーム、ログを集約し、整備機器からのアクセスを適正化する。OTAはFOTA/SOTAの両輪で、差分配信、段階的ロールアウト、ロールバック、状態監視を組み合わせる。ゲートウェイは更新編成、依存関係解決、電源イベント時のリカバリ制御を統括する。

ハードウェア構成

マルチコアMCU/SoC、車載Ethernet/CAN/LINトランシーバ、絶縁回路、PMIC、外部メモリで構成される。リアルタイムOSと高機能OSの混載や、仮想化でドメイン分離を行う事例も多い。熱設計、ESD/EMC対策、コネクタの信頼性、車両電源の突入・クランキング電圧変動対策、低消費電力ウェイク機能が重要である。

機能安全・規格適合

ISO 26262に基づくASIL割り当て(多くはASIL-B/C相当の要素を含む)と、ISO/SAE 21434に基づくサイバーセキュリティプロセスが前提である。ソフトウェア基盤はAUTOSAR Classic/Adaptiveを併用し、ASPICEによる成熟度管理を適用する。法規ではUN ECE R155/R156への適合が車外接続やOTAの条件となる。

設計の要点(性能と拡張性)

帯域計画はEthernetバックボーンのヘッドルーム確保、CAN FDのピーク負荷時遅延、ブリッジ経路のホップ数と遅延予算を基礎に行う。QoS、シェーピング、レートリミット、メッセージ集約で混雑を抑え、ブロードキャスト/マルチキャストの拡散を制御する。サービス追加を見越し、ルールベースからポリシーベースへの移行余地を設計に織り込む。

テスト・検証戦略

モデル/シミュレーション、ネットワークエミュレーション、HILでリアルタイム特性と故障注入(バスオフ、フレーム欠落、遅延)を評価する。プロトコル適合性試験、相互接続試験に加え、ペネトレーションテストと脅威シナリオ演習でサイバー耐性を実証する。OTAはステージング車両群による段階試験と監査ログの完全性確認が要諦である。

データ管理と時刻同期

イベントログは容量・書込み耐久を考慮し循環管理し、重要データは署名・暗号化する。時刻同期はネットワーク特性に応じてPTP(gPTP)やCAN時刻配布を組み合わせ、クロックドリフトと再同期の影響を最小化する。これによりクロスドメイン協調制御の一貫性が担保される。

中央集約型E/Eへの移行

ドメインからゾーン、さらには中央計算へと移る過程で、ゲートウェイECUは物理集約の要所として機能し続ける。将来的にはスイッチ/ルータ機能とサービスオーケストレーションを統合する「サービスゲートウェイ」化が進む。

EV・商用車での特徴

EVでは高電圧系の監視や充電通信(ISO 15118等)との連携、商用車では車隊管理や遠隔診断との統合が進む。過酷温度・振動環境と長寿命要求に合わせた冗長設計が採られる。

整備現場での留意点

セキュリティゲートウェイによるアクセス制限により、認証済みの診断ツール、トークン管理、ログの取り扱いが重要となる。適切な手順により安全・確実にECU更新と診断を行うことが求められる。

コメント(β版)