Rückwirkungsfreiheit mit Halbleitern im Auto sicherstellen

Wir leben in einem Zeitalter der zunehmenden Digitalisierung und der dringenden Notwendigkeit, Emissionen zu reduzieren. Dies wirkt sich auch auf unsere Mobilität aus. Fahrzeuge haben eine ständige Verbindung mit der Cloud und erhalten in regelmäßigen Abständen Aktualisierungen ihrer Software. Dies hat signifikanten Einfluss auf die Kommunikationsebene der E/E-Architektur, welche sich in ein Zonen-Konzept mit Zentralcomputer entwickelt. Die Elektrifizierung des Antriebsstranges führt zu einem Energiebordnetz (EBN) mit mehreren Spannungsklassen und Quellen, was neue Konzepte einer dezentralisierten Energieverteilung im Fahrzeug ermöglicht. Den größten Einfluss auf das Energiebordnetz und die damit verbundenen elektrischen und elektronischen Systeme haben jedoch die zunehmende Anzahl der Fahrerassistenzsysteme, X-by-Wire-Systeme und das automatisierte Fahren. Diese bedingen die Berücksichtigung aller Aspekte der funktionalen Sicherheit im System. Der Mensch in einem solchen Fahrzeug muss sich sicher fühlen und dem Zusammenspiel der Systeme vertrauen können. Man spricht hier von zuverlässiger Elektronik (Dependable Electronics), welche Systeme ermöglicht, die unter allen Bedingungen hoch verfügbar, zuverlässig, robust, sicher und gesichert funktionieren. Auf den ersten Blick mag jeder einzelne dieser Trends nur Teilbereiche der E/E Architektur betreffen, aber die Summe dieser Trends hat erheblichen Einfluss auf die Architekturentwicklung des Energiebordnetzes (Bild 1).

Heutige Systeme sind in der Regel fail-passive ausgeführt. Das bedeutet, dass in einem Fehlerfall das einzelne System stromlos in einen sicheren Zustand geht und vom Gesamtsystem isoliert wird, um negative Rückwirkung auf das Gesamtsystem zu vermeiden. Im Gegenzug muss der Fahrer als Rückfallebene die Funktion unmittelbar übernehmen und je nach Fehlerfall das Fahrzeug in den sicheren Zustand überführen. Dies verlangt somit einen Fahrer und einen mechanischen Zugriff des Fahrers auf das System, was jedoch bei X-by-Wire-Systemen bzw. bei automatisierten Fahrzeugen nicht mehr gegeben ist. Um selbständig in einer gewissen Zeit das Fahrzeug in den sicheren Zustand zu überführen, muss daher in solchen Fällen die Summe der Systeme hochverfügbar sein: die Systeme müssen fail-active oder fail-operational sein. Somit vermeiden oder entschärfen hochverfügbare Systeme nicht nur potenzielle Fehlerfälle, sondern sie ermöglichen sicheres automatisiertes Fahren unter allen Bedingungen.

Eine elementare Komponente hochverfügbarer Systeme ist das Energiebordnetz. Es stellt die Energieversorgung der einzelnen sicherheitsrelevanten Fahrzeugfunktionen wie Bremsen, Lenken, Umgebung sensieren etc. sicher und muss demzufolge auch hochverfügbar sein. Es erbt die erhöhten funktionalen Sicherheitsanforderungen der sicherheitsrelevanten Fahrzeugfunktionen und unterliegt entsprechend den gleichen Entwicklungsanforderungen nach ISO 26262:2018. Diese funktionale Sicherheitsanforderung einer hochverfügbaren Energieversorgung hat jedoch eine signifikante Auswirkung auf die Architektur des Energiebordnetzes mit komplett neuen Anforderungen, die Halbleiter basierte Lösungsansätze und Funktionalitäten erfordert.

Aus den funktionalen Sicherheitsanforderungen der sicherheitsrelevanten Fahrzeugfunktionen (z. B. automatisiertes Fahren, X-by-Wire) leitet sich eine Verfügbarkeitsanforderung des Energiebordnetzes (EBN) in ASIL D ab. Bild 2 zeigt schematisch, vereinfacht und beispielhaft ein dekomponiertes 12-V-EBN, welches aus einer QM-Domain und aus zwei verfügbaren, ausreichend unabhängigen Teilenergiebordnetzen in ASIL B(D) besteht. Die drei Teilbordnetze sind entsprechend ihrer ASIL-Allokation farblich gekennzeichnet.

Die sicherheitsrelevanten Funktionen die hochverfügbar sein müssen, sind entsprechend redundant ausgeführt und werden jeweils aus dem verfügbaren Teilenergiebordnetz (Teil-EBN) versorgt. Diese sind mit dem Farbcode „Verfügbar“ dargestellt. Gleichzeitig können die sicherheitsrelevanten Funktionen Quelle für eine Überspannung oder Unterspannung im EBN sein. Diese Fehlerquellen dürfen nicht auf das EBN rückwirken und müssen mit der Integrität ASIL B entsprechend der Verfügbarkeitsanforderung an das Teil-EBN vermieden werden. Die Rückwirkungsfreiheit muss sichergestellt werden und ist entsprechend mit dem Farbcode „Rückwirkungsfreiheit“ dargestellt.

Ein Energiespeicher pro verfügbares Teil-EBN sichert die verfügbare Energie und Leistung zumindest für das Minimum Risk Manöver nach einem Erstfehler bis zum Erreichen des sicheren Zustands des Fahrzeugs sicher. Die ständige Überwachung des Ladezustands “State of Health” sowie eine Leistungsvoraussage sind unabdingbar. Auch hier muss die Rückwirkungsfreiheit auf das EBN im Falle eines Fehlers abgesichert werden.

Im Bild 2 stellt der Generator die benötigte Energie im Normalzustand klassisch zur Versorgung zur Verfügung – und zwar ohne dedizierte Verfügbarkeitsanforderung. Seine Rückwirkungsfreiheit hinsichtlich Unterspannung aber auch Überspannung auf die verfügbaren EBN muss jedoch abgesichert werden. Zudem sind eine Vielzahl von Standardlasten ohne dedizierte Sicherheitsanforderungen – hier als QM-Funktionen gekennzeichnet – an das Energiebordnetz angebunden. Aus unterschiedlichen Gründen müssen diese aus dem verfügbaren EBN versorgt werden. Zugleich können diese in vielen Fällen die Rückwirkungsfreiheit auf das Energiebordnetz mit der entsprechenden Integrität ASIL B nicht sicherstellen.

Für alle Lasten, deren Rückwirkungsfreiheit auf das EBN nicht ausreichend ist, bzw. wenn die Rückwirkungsfreiheit der Teilbordnetze untereinander sichergestellt werden muss, werden entsprechend der ISO 26262:2018 sogenannte Sicherheitsmechanismen oder auch Sicherheitselemente eingeführt. Das Sicherheitselement (SE) muss das verfügbare Teil-Energiebordnetz vor Fehlern wie z. B. Unterspannung bzw. Überspannung schützen und die sichere Weiterleitung der Energie an die verfügbaren sicherheitsrelevanten Funktionen gewährleisten.

Eine wesentliche Anforderung an das Sicherheitselement ist die schnelle Erkennung, die schnelle Reaktion und das sichere Isolieren eines Fehlers. Entsprechend muss das SE einen Messwert wie z. B Strom oder Spannung sensieren, den Messwert interpretieren und agieren, um den Energiefluss zum Fehler zu trennen.

Standardisierungen wie die ISO 16750-2 oder spezifische OEM-Liefervorschriften für elektrische und elektronische Komponenten in Kraftfahrzeugen schreiben vor, solche Fehler binnen 100 µs bis 500 µs zu isolieren. Diese Eigenschaft des schnellen und sicheren Trennens erfüllt weder eine klassische Schmelzsicherung noch ein Relais. Eine Schmelzsicherung trennt einen Fehlerstrom innerhalb von 10 ms bis 100 ms, und ein Relay benötigt hierfür Zeiten zwischen 1 ms bis 10 ms. Für Halbleiterschalter stellt diese zeitliche Anforderung allerdings kein Problem dar, denn es lassen sich Trennzeiten erzielen, die typischerweise im unteren zweistelligen Mikrosekundenbereich liegen. Zudem integrieren intelligente Halbleiterschalter die Fähigkeit, ohne Zuhilfenahme einer weiteren Komponente wie beispielsweise eines Mikrocontrollers zu sensieren, zu interpretieren und zu agieren. Sie sind im Vergleich zu einem Relais autark in der Lage, den Energiefluss auf Basis eines Überstroms oder einer Unterspannung zu trennen. Und natürlich sind die Halbleiter konform zur ISO 26262:2018 – inklusive erweiterte Diagnosefähigkeit zur Abdeckung von Fehlermodi.

Wenn aber ein intelligenter Halbleiterschalter als SE im Energiebordnetz aufgrund der funktionalen Sicherheitsanforderungen zum Einsatz kommen muss, dann ist es sinnvoll, zur Systemkostenoptimierung weitere Komponenten wie z. B. die schon oben erwähnte Schmelzsicherung zu ersetzen und deren Funktion des Kabelschutzes übernehmen. Diese Integration des Kabelschutzes ist in einem intelligenten Halbleiterschalter auf Basis einer Strom-Zeit-Funktion implementiert. Dabei ist darauf zu achten, dass der Schutz auf Basis einer Strommessung im Zeitbereich und einer Transformation in den Temperaturbereich durch eine digitale Verarbeitung entsprechend der Kabelisotherme erfolgt. Aufgrund einer sehr genauen Strommessung, einstellbaren Kabelisothermen sowie deutlich geringeren Produktionsstreuungen und Alterungseffekten von Halbleitern im Vergleich zu Schmelzsicherungen können deutlich geringere Kabelschutztoleranzen erzielt werden. Diese erhöhte Genauigkeit erlaubt es in spezifischen Fällen bei gleichen Lastbedingungen, einen dünneren Kabelquerschnitt zu wählen. Somit übernimmt der intelligente Halbleiterschalter nicht nur die Funktionalität der Schmelzsicherung, sondern er übt diese auch deutlich besser aus und hilft, Systemkosten zu senken. Auch hier ist die Funktion konform zur ISO 26262:2018, da immer mehr OEMs ein thermisches Ereignis im Rahmen der ISO 26262:2018 bewerten.

Im Vergleich zur Schmelzsicherung weist ein intelligenter Halbleiterschalter einen gewissen Eigenstromverbrauch auf, der erforderlich ist, um Energie zu leiten. Allerdings besteht logischerweise die Anforderung, diesen Eigenstromverbrauch möglichst gering zu halten. Dies gilt umso mehr, wenn das Fahrzeug im Parkmodus ist und über den Halbleiterschalter einzelne Lasten dauerhaft bei geringer Stromaufnahme versorgt werden müssen.

Um den geringen Eigenstromverbrauch im Parkmodus sicherzustellen, ist ein dedizierter Betriebsmodus, Idle-Mode, in den intelligenten Halbleiterschalter implementiert. In diesem Betriebsmodus liegt der Eigenstromverbrauch im unteren zweistelligen Mikroampere-Bereich, typischerweise unter 30 µA. Im Parkmodus darf der Idle-Mode zu keinen Abstrichen in den integrierten Schutzfunktionen und Funktionalitäten führen. So muss weiterhin der Kabelschutz gewährleistet sein, und es darf zu keinen nennenswerten Spannungseinbrüchen führen, sollte die Last ihren Nominalstrom benötigen.

Mit dem EiceDRIVER 2ED2410-EM, bringt Infineon einen intelligenten High-Side MOSFET Gate-Treiber auf den Markt, der eine schnelle Fehlererkennung und -isolation innerhalb von typischerweise 20 µs ermöglicht, einen einstellbarem Kabelschutz sowie einen Idle-Mode für den Fahrzeug-Parkmodus aufweist. Zu diesem Gate-Treiber passt die 40-V-n-Kanal-MOSFET-Familie OptiMOS. Zusammen ergibt diese Kombination das notwendige Sicherheitselement für Lastströme von 30 A bis zu mehreren 100 A.

Der Gate-Treiber hat zwei Ausgangskanäle, um verschiedene MOSFET-Strukturen zu unterstützen, entweder in Back-to-Back-Konfiguration mit gemeinsamer Source und einem Vorladepfad oder mit einem gemeinsamen Drain-Anschluss. Eine hohe Gate-Strom-Fähigkeit ermöglicht ein schnelles Ein- und Ausschalten mehrerer paralleler MOSFETs, um Ströme von mehreren 100 A tragen zu können. Dies gewährleistet auch, dass Fehler innerhalb 100 µs bis 500 µs isoliert (typ. 20 µs) werden können und die Rückwirkungsfreiheit ermöglicht wird. Ströme lassen sich in beide Richtungen messen, während gleichzeitig die Drain-Source-Spannung überwacht wird, um zum Beispiel einen offenen Lastzustand zu identifizieren. Zudem hat dieser Gate-Treiber einen Arbeitsbereich bis zu einem Minimum von 3 V zum Bestehen der Kaltstartanforderungen entsprechend der ISO16750-2 bzw. der OEM-Lastenhefte.

Software-definierte Fahrzeuge werden in der Zukunft durch die Cloud-Anbindung eine kontinuierliche Optimierung der Fahrzeugfunktionen und der Fahrzeugsicherheit ermöglichen. Vorausschauende Wartung von Systemen oder Ausfall-Antizipation von Komponenten, welche zum Beispiel bereits in der Luftfahrt Standard sind, werden auch im Automobil immer mehr an Bedeutung gewinnen. Besonders interessant könnten dabei Diagnose-Zyklen während eines Ladevorgangs werden. Hierbei könnten an den Halbleiterschnittstellen Diagnose-Daten gesammelt, in der Cloud verarbeitet und mit der Flotte verglichen werden, um Schlussfolgerungen auf das Altern der Systeme zu ermöglichen oder Wartungsintervalle zu optimieren.