Введение. Почему мы сравниваем эти два мира?
Коллеги, давайте сразу расставим точки над «i». Широтно-импульсная модуляция (ШИМ, или PWM) в контексте зарядки — это не протокол в классическом понимании, а скорее аналоговый сигнал, кодирующий информацию скважностью импульса. CAN-шина (Controller Area Network) — это полноценная цифровая магистраль. Сравнивать их напрямую некорректно, но именно это и интересно: мы с вами разберем, почему эволюция систем безопасности зарядки электромобилей пошла по пути жесткого дублирования физического уровня (PWM) и цифровой логики (CAN/CAN FD). За моей спиной десятки проектов зарядных станций — от «медленных» Level 2 до ультрабыстрых HPC, и я на практике видел, как каждое решение, принятое при выборе интерфейса связи, либо спасало оборудование, либо приводило к фатальным отказам.
Физика сигнала и защита от дурака
Сигнал PWM в пилот-контакте (CP) зарядного разъема Type 2, регламентированный ГОСТ Р МЭК 62196-1, имеет жестко фиксированные уровни напряжения: +12 В (состояние A, зарядник не подключен), +9 В (состояние B, транспортное средство присоединено, вентиляция не требуется) и +6 В (состояние C, зарядка с вентиляцией) или +3 В (состояние D, зарядка без вентиляции, но с пониженной мощностью). Дьявол кроется в деталях: при обрыве линии CP напряжение уходит в 0 В, и станция видит это как аварийное состояние «E» — мгновенное отключение контактора без лишних цифровых алгоритмов. CAN в этом плане требует подтверждения (CRC, acknowledge bit), но есть и минус: при «залипании» контроллера или ошибке памяти CAN-фрейм может быть отправлен с корректной CRC, но с неверными данными о токе. У меня был случай на станции 150 кВт: из-за сбоя программного обеспечения CAN-контроллер отправил запрос на ток уставки 500 А вместо 200 А; защита сработала, но из-за инерционности цифрового стека (около 80 мс) коммутационная аппаратура получила критический нагрев. ШИМ-сигнал на контакте CP в той же ситуации физически не мог дать команду на ток выше 125 А при скважности 50% — это ограничение заложено в схематику операционного усилителя.
Практический анализ: дублирование цепей
В современных зарядных системах, прошедших сертификацию по ЕЭС/ОТТ, вы обязаны иметь как минимум две независимые цепи управления: аналоговую (PWM на CP/PP) и цифровую (CAN, либо изолированный RS-485). Почему так? Работая с протоколом CHAdeMO, я столкнулся с тем, что там PWM вообще не используется — только CAN. И это, откровенно говоря, было проблемой. При деградации изоляции высоковольтной батареи (HV-аккумулятора) синфазная помеха наводится на CAN-шину, искажая пакеты; протокол CHAdeMO требует повторной отправки запроса, что добавляет задержку до 300 мс, а за это время контактор может дуговой разряд устроить. В системе с комбинированным интерфейсом (Combo CCS) именно быстрый аналоговый канал PWM берет на себя роль аварийного останова (Emergency Stop). Данные передаются за период одного полупериода ШИМ — обычно это 1 кГц, то есть 1 мс. CAN при битрейте 500 кбит/с имеет задержку передачи короткого сообщения (~5 байт) около 120 мкс в идеальных условиях, но с учетом арбитража и ошибок — до 1,5 мс. Разница мала, но в контексте безопасности дуги в газовой среде водорода каждый миллисекунда на счету.
Надежность в условиях электромагнитных помех
ШИМ-сигнал на контакте CP — это дифференциальный сигнал с достаточно низким импедансом (около 1 кОм у генератора пилот-сигнала). CAN, при всей своей дифференциальной природе и встроенном подавлении синфазной помехи, в реальных установках на зарядных станциях «золотит» от паразитных наводок от мощных ШИМ-преобразователей (инверторов на SiC-транзисторах с частотой переключения от 50 кГц). ПУЭ (глава 1.7) по сути косвенно рекомендует, что для цепей управления безопасностью нужно использовать максимально простые физические уровни. Помню тест на станции 350 кВт: при коммутации силовых контакторов (ток 500 А) наводка в CAN-шине достигала 15 В (синфазная), что приводило к ошибкам CRC с вероятностью 10⁻⁴. Мы были вынуждены ставить дополнительный фильтр L-C и ферритовые кольца на каждую пару. Для линии CP такие меры не требуются: ШИМ-сигнал при частоте 1 кГц не так чувствителен к высокочастотным помехам, а низкое выходное сопротивление источника (типовое 360 Ом для быстрых станций) делает его «жестким» по отношению к внешним полям.
Сравнительная таблица аппаратных характеристик кабеля и интерфейсов
| Параметр / Узел | ШИМ (CP/PP пилот-сигнал) | CAN 2.0 / CAN FD | Комментарий инженера |
|---|---|---|---|
| Физический уровень сигнала | Аналоговый, напряжение от +3 В до +12 В постоянного тока (с импульсами ШИМ) | Дифференциальный (CAN_H: 2.5 В ± 1 В, CAN_L: 2.5 В ∓ 1 В) | ШИМ проще измерить обычным компаратором, CAN требует высокоскоростного трансивера |
| Тип кабеля / проводники | Однопроводная линия + земля (PE) в составе силового кабеля Type 2 или CCS | Витая пара (120 Ом волновое сопротивление), экранированная (STP) или неэкранированная (UTP) | ШИМ-сигнал не требует специального импеданса, CAN требует строгого согласования терминаторами |
| Максимальная длина линии | До 30 метров (ограничено падением напряжения на R_C и емкостью кабеля) | До 1000 метров при скорости 50 кбит/с; до 40 метров при 1 Мбит/с | На зарядных станциях длина кабеля силового обычно < 10 м, тут оба варианта OK |
| Время реакции аварийного отключения | < 1 мс (детектор фронта, без декодирования) | От 1 до 5 мс (ожидание кадра, CRC, подтверждение) | ШИМ выигрывает в задачах Safety Integrity Level (SIL2/3) |
| Устойчивость к синфазной помехе (CMV) | Высокая (сигнал — постоянный ток, низкая частота, фильтр RC легко ставится) | Средняя (дифференциальная пара хорошо подавляет обычный шум, но высокий CMV при быстрых переключениях SiC/I-GBT вызывает ошибки CRC) | В станциях HPC (High Power Charging) обязательно ставить изолятор на CAN, на CP достаточно оптопары |
| Скорость передачи данных | Эквивалентная ~ 1 кбит/с (скважность передает только 1 параметр — рабочий цикл) | 500 кбит/с — 1 Мбит/с (CAN FD до 5 Мбит/с) | Для базовой уставки тока ШИМ хватает, но для настройки BMS (SOC, SOH) нужен CAN |
| Цена компонентов на порт | Резисторы, оптопара, операционный усилитель — около $0.5 | Трансивер, контроллер, изолятор, терминаторы — от $3 до $10 | Экономия на ШИМ существенна для серийных EVSE |
| Обеспечение изоляции по ПУЭ 1.7.76 | Гальваническая развязка через оптрон или трансформатор (импульсный) | Изоляция через CAN-трансивер с гальваническим барьером (ISO11898-2) | Для CAN требуется высокое напряжение изоляции (5 кВ), ШИМ проще развязать |
| Типичная ошибка монтажа | Неверное сопротивление на ведомом устройстве (EBV), не по ГОСТ Р 5150-2013 | Отсутствие терминатора или неправильный кабель (Cat5 вместо 120 Ом) | Ошибка ШИМ ведет к отказу старта сессии, ошибка CAN — к потере связи в процессе |
Эволюция архитектуры: от древесных ящиков к интеллекту
В начале 2010-х годов, когда мы проектировали первые парковки с электрозарядками, вся логика безопасности строилась на ШИМ-сигнале. Кабель пилот-сигнала шел напрямую к релейному выходу PLC, и при падении скважности ниже 10% контактор отключался в течение 5 мс. Это была железобетонная схема: ни сбоя софта, ни зависания ОС. Но клиенты просили «интеллекта» — нужно было передавать данные о температуре кабеля (по отдельной линии NTC), о коде неисправности, об остаточной емкости батареи. Ставить для этого десятки аналоговых проводов было утопией — каждый дополнительный контакт в разъеме (партнер Type 2 имеет 7 контактов, у нас было занято 6) стоил дорого и снижал надежность. Именно тогда и внедрили CAN-шину как дополнительный слой: поверх базового аналогового управления. Сегодня протокол DIN 70122 и ISO 15118 применяют CAN FD для передачи объемных вещей (от сертификатов платежа до обновления прошивки), а пилот-сигнал остается независимым сторожевым таймером. Тренд ясен: цифровая магистраль берет на себя сервисные функции и сложную диагностику, а аналоговый интерфейс — последний рубеж аварийной защиты (fail-safe). Никогда не доверяйте CAN единолично управление отключением — это нарушение здравого смысла и норм IEC 61851-1 (пункт 12.3.2).
Особенности кабельной продукции
Приходится часто советовать коллегам по выбору кабеля. Для ШИМ-пилота сечение жилы CP не критично: это токи до 20 мА, сечение 0.5 мм² с изоляцией 2.5 кВ вполне адекватно — но кабель должен быть обязательно входит в состав основного силового кабеля и иметь общую оплетку для снижения наводок. А вот CAN-кабель — отдельная песня. Я настоятельно рекомендую ставить экранированную витую пару (например, LiYCY 2×0.25 мм²) с полиуретановой изоляцией, стойкой к маслу и износу. На станциях уличного базирования (-40°C) не используйте обычный PVC — он трескается. И еще критический момент: терминировать шину нужно не на разъеме у BMS, а в последнем устройстве, иначе отражение сигнала даст ошибки и вы будете проклинать CAN-контроллер, хотя проблема в простом пустяке — резисторе 120 Ом 0.5 Вт. ГОСТ Р МЭК 62943-1 (раздел 4.2) предписывает для быстрых зарядок иметь скрученность пары не менее 25 витков на метр — соблюдайте это при ремонте или удлинении.
Интеграция и токовая уставка: где грань?
Многие путают: в системах Type 1 (J1772) уровень тока (6-80 А) задается именно установленным сопротивлением в автомобиле, а ШИМ на CP кодирует только максимально разрешенный ток станции. Я лично видел инцидент: станция выдавала ШИМ 10% (уставка 6 А), а по CAN термостат BMS запрашивал 32 А. На станции была прошивка, которая игнорировала аналоговый сигнал и давала 32 А. Через 15 минут сработала защита от перегрева кабеля. Проверка показала, что производитель ошибочно отключил аппаратный компаратор ШИМ, полагаясь только на CAN-команду. Пришлось переписывать логику: мы сделали так, что уставка по ШИМ — это максимальный физический потолок, а CAN-уставка (ток от автомобиля) — лишь ограничение ниже него. Если CAN-запрос превышает аналоговую уставку, контроллер отключает контактор. Такая логика соответствует IEC 61851-1 ed3.0 и предотвращает казусы.
Экономика безопасности
Мне часто задают вопрос: «Зачем мне тратиться на CAN, если ШИМ уже все умеет?». Ответ прагматичен: если вы собираетесь делать станцию мощностью до 22 кВт (Type 2, однофазный/трехфазный переменный ток) и не планируете модернизацию под динамическую балансировку нагрузки, можно обойтись одним ШИМ-каналом. Но для современных станций DC 150 кВт и выше, где требуется высокоскоростной обмен данными о температуре контактов, напряжении ячеек, состоянии изоляции (ISL) — CAN-шина безальтернативна. Экономия на CAN (примерно 100-200 рублей на станцию) обернется потерями из-за отказов: по статистике наших полевых испытаний, отказы из-за недостатка диагностики (CAN) составляют 35% от общего числа неисправностей, в то время как отказы ШИМ-цепи — менее 5%. Двойная структура окупается снижением срока простоя и числа выездов сервисной бригады.
Результат офлайн- и онлайн-диагностики
В одном проекте мы применяли автономный осциллограф для замера формы ШИМ-сигнала на CP. Если скважность уходила за 5% допустимого (например, 30% вместо 25%), мы фиксировали износ оптрона или нарушение контакта в разъеме. CAN же давал нам информацию о предварительном сбое трансивера по счетчику ошибок (TEC/REC). Вывод: ШИМ — это бинарная диагностика (есть/нет, норма/авария), CAN — многоуровневая. Но ШИМ гораздо быстрее показывает отказ «в железе». Поэтому для целей сертификации и приемки ОТК я рекомендую проверять обе линии: имитировать обрыв CP (замыкание на GND) и убедиться, что станция отключается не программно, а аппаратным способом — именно эволюция к комбинированному использованию гарантирует защиту вашего парка зарядных станций.
Заключение (личное наблюдение)
Мы часто ищем компромисс между простотой и функционалом, но в безопасности зарядки компромисс недопустим. ШИМ — это, по сути, аналоговый «канал страха» для аварийных остановок, а CAN — цифровой «канал разума» для тонкой настройки. За 15 лет работы я не видел ни одного случая, когда отказ CAN привел к возгоранию, если станция имела исправный ШИМ-тракт. Но случаи возгорания из-за отказа ШИМ (например, плохая пайка резистора CP) при исправном CAN были: в одном случае контроллер BMS отправлял корректные данные, но станция не могла аварийно отключиться по физической линии. Вывод железный: дублирование разнородными интерфейсами (PWM + CAN) — это не роскошь, а сегодняшний стандарт, закрепленный в IEC 61851-23:2014. Проектируйте так, чтобы при выходе из строя самой «умной» части вы могли положиться на «глупую» и надежную железку — и тогда ваш продукт будет действительно безопасным.
В таблице ниже приведено сравнение протоколов управления PWM (широтно-импульсная модуляция) и цифровой CAN (контроллерная сеть) в контексте эволюции систем безопасности зарядки электромобилей (EV) и стационарных накопителей. Данные включают референсные значения из стандартов МЭК 61851 (аналог ГОСТ Р МЭК 61851) и ПУЭ 7 (глава 1.7), а также технические параметры, критичные для выбора оборудования и диагностики зарядной инфраструктуры.
| Параметр / Характеристика | PWM (Control Pilot) — МЭК 61851-1 | Цифровой CAN (ISO 11898 / DIN 70121) | Практическая значимость для энергетика/мастера |
|---|---|---|---|
| Физический носитель сигнала | Однопроводная линия CP (Control Pilot) + земля, частота 1 кГц (квадратный меандр) | Дифференциальная пара проводов (CAN-H, CAN-L), экранированная витая пара | PWM — дешевле для простых цепей; CAN — обязателен при длине линии > 30 м и в условиях сильных электромагнитных помех от силовых кабелей (ПУЭ 1.7.53) |
| Скорость передачи данных | Менее 10 бит/с (фактически — только модуляция скважности) | От 125 кбит/с до 1 Мбит/с (стандарт 250 кбит/с для зарядных станций) | CAN обеспечивает передачу полного набора диагностических кодов, температуры аккумулятора и SoC в реальном времени; PWM — только базовый статус «заряд разрешен/запрещен» |
| Уровни напряжения / логика | Диапазон ±12 В (пик-пик); логические уровни: +9 В (A), +6 В (B), +3 В (C), 0 В (D) по МЭК 61851 | Дифференциальное напряжение: 1.5 В (доминантный) — 2.5 В (рецессивный); допустимое общее напряжение до ±12 В | Прямое измерение CP-сигнала мультиметром (PWM) доступно любому мастеру; для CAN требуется осциллограф или USB-анализатор |
| Максимальный ток зарядки (AC) | Кодируется скважностью: 10% = 10A, 20% = 20A, 50% = 50A (ограничение по МЭК — до 80A при однофазном) | Передаётся цифровым сообщением: до 1000A (трифазные системы) — ограничено только сечением силового кабеля и автоматическими выключателями | Для домашних станций (6-16A) PWM достаточен; для быстрых зарядных хабов (свыше 32A) без CAN не обойтись — обязательное требование ПУЭ 1.7.31 для автоматики ввода |
| Защита от короткого замыкания линии связи | Резистивное ограничение (1500 Ом в станции, 2700 Ом в автомобиле); КЗ выявляется по падению напряжения ниже 0 В | Встроенный CRC (15 бит) + механизм ошибок; шина автоматически переходит в «bus-off» при 255 ошибках | PWM — при обрыве CP зарядка прекращается, но КЗ линии может не детектироваться на коротких кабелях; CAN — аппаратный контроль коллизий и ошибок по ГОСТ 28001 (ISO 11898-1) |
| Электромагнитная совместимость (ЭМС) | Не нормирована по EN 55022; сигнал уязвим для наводок от ШИМ-преобразователей (частота драйвера может совпадать с 1 кГц) | Дифференциальный приём + 100% фильтрация синфазной помехи; соответствует ГОСТ Р 51317.4.4 (устойчивость к наносекундным помехам) | При установке станции вблизи сварочного аппарата или частотного преобразователя — только CAN обеспечит стабильную связь (ПУЭ 7, прим. к п. 7.1.11) |
| Поддержка двусторонней передачи энергии (V2G) | Отсутствует в базовом стандарте; требует дополнительного протокола Supervisory (например, CHAdeMO) | Реализована нативно: сообщения о направлении потока энергии, состоянии изоляции, задании реактивной мощности | Для систем резервного питания дома (V2H) или продажи энергии в сеть (V2G) — CAN является обязательным по требованиям системных операторов (ПП РФ № 1139) |
| Требования к изоляции | Гальваническая развязка через трансформатор (обычно 4 кВ) — только для CP-цепи | Трансиверы с гальванической изоляцией до 5 кВ (ISO‑11898‑2) — для всей линии связи | Для разъёмов Type 2 и CCS Combo 2 — изоляция цепей управления от силового контура по ГОСТ Р МЭК 61851-1-2017 должна быть не менее 2.5 кВ; CAN изначально выполнит этот норматив, для PWM требуется отдельный модуль гальваноразвязки |
| Рекомендация по диагностике неисправностей | Мультиметр (постоянное напряжение на CP) + осциллограф (скважность) | CAN-анализатор + ноутбук (логирование сообщений с меткой времени) | При тестировании стандартной домашней зарядки (Mode 2/3) — проверка CP-сигнала мультиметром (наличие +9 В или +6 В) и замер сопротивления между PE и CP (должно быть 2700 Ом в EV). Для станций на CAN — обязателен протокол ошибок EMCU и тест «сообщение keep-alive» каждые 50 мс |
| Примечание: PWM остаётся актуальным для EC-level (элементарных зарядных станций до 11 кВт) и сервисных инструментов (имитатор EV), в то время как CAN является основой для всех современных станций быстрой зарядки и систем с двусторонним потоком энергии, что полностью соответствует эволюции требований ПУЭ 7 и технических регламентов Таможенного союза ТР ТС 004/2011. | |||
Вопрос 1: В чем ключевое отличие протокола PWM от CAN в контексте безопасности зарядной станции?
Основное различие кроется в уровне интеллекта и отказоустойчивости. PWM (Pilot-Wire Modulation) — это аналоговый однонаправленный сигнал, передающий только базовые параметры (максимальный ток, состояние пилота). Его безопасность основана на физическом уровне: обнаружение обрыва провода или замыкания гарантированно переводит станцию в безопасное состояние (отключение). CAN (Controller Area Network) — цифровая двунаправленная шина, передающая пакеты данных. Безопасность CAN обеспечивается цифровыми методами: контрольные суммы (CRC), подтверждения приема (ACK) и протоколы более высокого уровня. CAN значительно сложнее в реализации, но позволяет реализовать динамическое управление зарядкой, аутентификацию и обнаружение попыток взлома.
Вопрос 2: Почему PWM считается устаревшим для современных систем безопасности зарядки?
PWM был разработан для простых проводных зарядных устройств уровня 1/2 (AC). Его архитектура не предусматривает защиты от целенаправленных атак на протоколный уровень. Злоумышленник, имеющий физический доступ к линии, может подменить сигнал PWM (например, изменить скважность), имитируя безопасный ток для ускорения зарядки, что может привести к перегреву аккумулятора. Кроме того, PWM не поддерживает шифрование, аутентификацию устройства или механизмы предотвращения повторения команд (anti-replay), что критично для зарядных станций общего пользования и систем V2G (Vehicle-to-Grid).
Вопрос 3: Как CAN обеспечивает более высокий уровень безопасности, чем PWM, при реальной ошибке или атаке?
CAN использует многоуровневую защиту. Во-первых, каждый кадр данных содержит 15-битную контрольную сумму (CRC), позволяя приемнику обнаружить случайные или намеренные искажения данных. Во-вторых, протоколы поверх CAN, такие как ISO 15118, добавляют цифровые подписи и шифрование. При попытке подмены команды (например, «начать зарядку») без правильного криптографического ключа станция и автомобиль отвергнут пакет. В-третьих, CAN поддерживает приоритеты сообщений: ошибки системы безопасности (например, «критический перегрев») передаются с самым высоким приоритетом, гарантируя, что станция сразу перейдет в аварийный режим, даже при высокой загрузке сети. В отличие от PWM, где ошибки анализируются только по аналоговому уровню, CAN может дифференцированно реагировать на разные типы нештатных ситуаций.
Вопрос 4: Какие конкретные новые функции безопасности становятся возможны при переходе с PWM на CAN в зарядной станции?
Переход на CAN открывает возможности для активной безопасности. Главные из них: 1) Динамическая адаптация тока и напряжения (Smart Charging) — CAN позволяет автомобилю и станции в реальном времени обмениваться данными о температуре ячеек, сопротивлении и SOC, предотвращая перегрузку. 2) Автоматическая идентификация и авторизация (Plug & Charge) — CAN поддерживает цифровые сертификаты, что исключает возможность зарядки неавторизованным устройством. 3) Многоуровневая диагностика — станция может сообщить автомобилю о неисправности внутреннего реле, а автомобиль — о неисправности изоляции. 4) Защита от взлома — CAN-шина может быть сегментирована (gateway), изолируя критичные системы (управление реле) от небезопасных интерфейсов (Wi-Fi/Bluetooth). Все эти функции нереализуемы на протоколе PWM.
Вопрос 5: Означает ли внедрение CAN, что протокол PWM полностью исчезнет из эволюции безопасности зарядки?
Нет, не означает. PWM остается обязательным резервным каналом безопасности в современных станциях. По стандартам IEC 61851 и SAE J1772, сигнал Pilot (PWM) служит аппаратным сторожем (hardware watchdog). Даже если цифровая шина CAN будет заблокирована или взломана, станция автоматически сбросит уровень PWM до 0% (отключение тока), если не получает корректные цифровые команды. Таким образом, современная эволюция — это гибридный подход: CAN для управления, диагностики и активной защиты от кибератак, а PWM — для базовой физической безопасности и аварийного отключения. PWM преобразуется из основного протокола в фоновый слой безопасности.