Bild 1: der Akkusatz eines Elektrofahrzeugs. Das Batteriemanagement-System hält den Energiespeicher in einem sicheren Betriebszustand. (Bild: Adobe Stock 246051224)
Die Welt befindet sich inmitten einer Revolution des Verkehrswesens. Dank der in den vergangenen zwei Jahrzehnten erzielten Fortschritte im Bereich der Lithium-Ionen-Batterietechnologie ist mittlerweile eine Zukunft vorstellbar, in der Autos, Motorräder, Lastwagen und Busse durch in Akkusätzen gespeicherte Elektrizität angetrieben werden.
Parallel dazu steht die Reduzierung des CO2-Ausstoßes der Energiewirtschaft in vielen Teilen der Welt ganz oben auf der Prioritätenliste. Den Schadstoffausstoß eines Fahrzeugs zu reduzieren, ist außerdem bei der ursprünglichen Energieerzeugung wesentlich einfacher, als wenn bei den einzelnen Fahrzeugen angesetzt wird. Sollen die Ziele der CO2-Reduzierung erreicht werden, muss der Großteil der Transportsysteme elektrifiziert sein. Die Verteilung der Kosten für die Entwicklung und Produktion von Elektrofahrzeugen (EVs) auf die wachsende Zahl geplanter EVs bewirkt, dass die Kaufpreise der EVs rapide fallen und sich dem Preisniveau von Fahrzeugen mit Verbrennungsmotor annähern.
Eck-Daten Sicherheitsanforderungen für Batteriesysteme in Elektrofahrzeuge'
Die Sicherheitsanforderungen für Batteriesysteme in Elektrofahrzeuge sind hoch und vielschichtig, auch hinsichtlich mechanischer und thermischer Gesichtspunkte. Functional-Safety-Überlegungen sind aber auch für das Batteriemanagement-System anzustellen. Gerade das BMS hält den Energiespeicher in einem sicheren Betriebsbereich, indem es Spannung und Temperatur der Zellen überwacht. Redundante Kommunikations-Protokolle und Batterieüberwachungs-ASICs sorgen hier für Fehlertoleranz und gewährleisten den einwandfreien Betriebszustand und die Sicherheit des Batteriesatzes.
Das sind die Sicherheitsanforderungen an ein Batteriesystem
Die Sicherheitsanforderungen, die an ein Batteriesystem in einem Pkw gestellt werden, sind überaus vielschichtig. Zunächst gibt es eine Reihe wichtiger traditioneller Aspekte zur elektrischen Sicherheit, um das Produktionspersonal, die Fahrzeugeigner sowie das in den Werkstätten und im Recycling tätige Personal vor dem Kontakt mit hohen Spannungen und vor elektrischen Schlägen zu schützen. Hinzu kommen mechanische Gesichtspunkte, um die Batterien vor Einstichen und anderen Beschädigungen zu schützen und ein Austreten von Flüssigkeiten und Gasen aus den Batteriezellen zu verhindern.
Auch in thermischer Hinsicht gibt es Sicherheitsaspekte im Zusammenhang mit dem Design von Batteriesätzen, denn für einen sicheren und möglichst effizienten Betrieb dürfen Lithium-Ionen-Akkus nicht dem Temperaturbereich ausgesetzt sein, der in Fahrzeugen mit Verbrennungsmotor vorkommt. Functional-Safety-Überlegungen sind überdies auch für das elektrische System anzustellen, das die Batterie in einem sicheren Betriebsbereich hält, während das Fahrzeug benutzt oder geladen wird.
Spannungs- und Temperaturüberwachung für die Batteriezellen
Lithium-Ionen-Akkus (Bild 1) dürfen nur in einem bestimmten Temperatur- und Betriebsspannungsbereich zum Einsatz kommen, um ein Optimum an Performance und einen möglichst sicheren Betrieb zu gewährleisten. Dieser Bereich ist für jede Lithium-Ionen-Batteriechemie anders. Außerhalb dieses sicheren Bereichs können in der Batterie unerwünschte Nebeneffekte auftreten, die eine übermäßige Eigenerwärmung und langfristig auch interne Kurzschlüsse zur Folge haben können. Zu starke Eigenerwärmung sowie Kurzschlüsse im Inneren der Batterie wiederum können das erste Anzeichen eines thermischen Durchgehens sein, das ein klares Sicherheitsrisiko darstellt. Um Batteriesätze in dem besagten sicheren Betriebsbereich zu halten, gibt es Batterieüberwachungs-ASICs, die zum Messen und Übermitteln von Informationen über die Spannung, die Temperatur und den Stromfluss an eine Batterieüberwachungs-Einheit dienen.
In einem elektrifizierten Pkw können 16, 96, 128 oder auch mehr Batteriezellen vorhanden sein, die alle gemessen werden müssen, und bei Nutzfahrzeugen kann die Zahl sogar doppelt so hoch sein. In derart großen Systemen gibt es viele fehleranfällige Leiterplattenverbindungen zwischen der Batterie und dem Überwachungs-ASIC oder für die Kommunikation zwischen den ASICs. Unter anderem kann die Verbindung zu einem Sensor unterbrochen sein oder die Kommunikation schlägt fehl. Ohne die nötigen Messungen und Kommunikationsvorgänge aber ist das Batteriekontrollsystem gleichsam blind und kann den Zustand der Akkus nicht mehr kontrollieren.
Funktionale Sicherheit nach ISO 26262
Es gehört zum Komplex der funktionalen Sicherheit, Fehlfunktionen wie etwa Kommunikationsausfälle oder defekte Verbindungen zwischen Batteriezelle und Sensor zur Abwendung gefährlicher Zustände zu erkennen und zu beheben.
Die funktionale Sicherheit wiederum ist ein Bestandteil der umfassenden Sicherheit im Zusammenhang mit der Vermeidung und Abmilderung potenzieller gefährlicher Ereignisse infolge von Fehlfunktionen elektronischer Systeme. In der Automobilindustrie definieren die Normen der Reihe ISO 26262 die Standards für die funktionale Sicherheit von Straßenfahrzeugen. Sie geben den aktuellen Stand der Technik und die bewährten Verfahrensweisen im Zusammenhang mit der funktionalen Sicherheit bei der Entwicklung sicherheitsrelevanter Systeme für Pkw, Lkw, Busse und Motorräder wieder.
In einigen Automobilsystemen kann ein Verlust der Funktionalität keine Gefahr heraufbeschwören. Kommt es hier zu einer Fehlfunktion, geht das System in einen sicheren Zustand über, in dem die Elektronik abschaltet und in der Armaturentafel eine entsprechende Meldung erscheint. In anderen Systemen dagegen kann eine Fehlfunktion oder ein Totalausfall der Funktionalität potenziell ein gefährliches Ereignis zur Folge haben. Bei Systemen, die sich nicht einfach abschalten lassen, können die Sicherheitsziele die Spezifikation einer Forderung nach „sicherheitsrelevanter Verfügbarkeit“ beinhalten. In einem solchen Fall kann die Beständigkeit gegen bestimmte Arten von Fehlern im System für eine bestimmte Zeitspanne gefordert sein, um gefährliche Vorkommnisse abzuwenden.
Unter sicherheitsrelevanter Verfügbarkeit ist in diesem Zusammenhang die Fähigkeit des Systems zu verstehen, die Sicherheits-Funktionalität für eine gewisse Zeit aufrecht zu erhalten, auch wenn bestimmte Fehlerzustände aufgetreten sind. Diese Fehlertoleranz befähigt das System, länger mit einem akzeptablen Sicherheitsniveau funktionsfähig zu bleiben. Teil 10, Abschnitt 12 der Norm ISO 26262 bietet Systementwicklern Handreichungen bezüglich der Forderungen nach sicherheitsrelevanter Verfügbarkeit.
Zurück zum Batterieüberwachungs-Subsystem: Die Messpunkte für die Spannung und die Temperatur der Batteriezelle sind mit dem Batterieüberwachungs-ASIC verbunden, und die Messwerte werden in kurzen Zeitabständen vom Steuerungs-Prozessor eingelesen, um den aktuellen Zustand der Batterie zu bestimmen und dafür zu sorgen, dass der sichere Betriebsbereich nicht verlassen wird. In Hochspannungs-Batteriesätzen sind die Überwachungs-ASICs gestapelt angeordnet und jedes ASIC misst mehrere Zellen parallel. Befehle und Daten gelangen dabei über eine isolierte Kommunikations-Schnittstelle von ASIC zu ASIC, wie in Bild 2 gezeigt.
Redundanzorientiertes Design
Sollte es während der Fahrt zu einer Leitungsunterbrechung zwischen dem Batteriezellen-Eingangs-Pin und der Leiterplatte kommen, kann die Funktionalität des Batterieüberwachungs-Systems verlorengehen, was potenziell einen gefährlichen Zustand zur Folge haben kann. Die Batterieüberwachungs-ASICs der Familien BQ79606A-Q1 und BQ79616-Q1 von Texas Instruments enthalten deshalb Vorkehrungen für eine ringförmige Kommunikations-Struktur sowie einen redundanten Pfad zum Messen der Batteriespannung, der für Fehlertoleranz beim Auftreten von Fehlern dieser Art sorgt, sodass das System den einwandfreien Betriebszustand und die Sicherheit des Batteriesatzes weiter überwachen kann.
Bild 3 zeigt die Beschaltung des BQ79616-Q1 mit einer bidirektionalen Ringkonfiguration. Kommt es hier zu einem Funktionsfehler, einer Leitungsunterbrechung oder einem Kurzschluss zwischen zwei der Batterieüberwachungs-ASICs, kann der Steuerungs-Prozessor dennoch weiter mit allen ASICs kommunizieren, indem jeweils die Richtung der Nachrichtenübertragung hin- und hergewechselt wird. Obwohl die normale Kommunikation in diesem Fall gestört ist, kann das System seine Verfügbarkeit dank der Fehlertoleranz der Ring-Kommunikation weiter aufrechterhalten. Die Spannungs- und Temperaturinformationen aus den Batteriemodulen werden dabei weiter übertragen.
Ein weiteres Feature der TI-Bausteine BQ79606-Q1 und BQ79616-Q1 ist der redundante ADC-Messpfad unter Verwendung der mit der Batteriezelle verbundenen Zellenausgleichs-Eingänge. Aus Bild 4 sind die Verbindungen von der Batteriezelle zu den Eingangs-Pins VC und CB ersichtlich. Im Normalfall ermöglichen die CB-Pins einen DC-Laststrom für die jeweilige Zelle, um die Spannungen zwischen den Zellen auszugleichen.
Im regulären Messbetrieb sind sowohl der Haupt-ADC-Pfad über VC als auch der redundante ADC-Pfad über CB mit der Batteriezelle verbunden und können die Zellenspannung messen. Wenn es zu einem Fehler wie etwa einer unterbrochenen VC-Verbindung zu RCB oder zu einer Unterbrechung im RVC-Widerstand kommt, wird die Spannung der Batteriezelle weiter über den CB-ADC-Pfad gemessen. Obwohl hier also der normale Spannungsmesspfad gestört ist, kann das System seine Verfügbarkeit dank der Fehlertoleranz des redundanten ADC-Pfads wahren, ohne dass die Spannungsinformationen aus den Batteriemodulen verlorengehen.
Die Ringkommunikation und die redundanten Übertragungswege gehören ebenso wie eine breite Palette von Diagnosefunktionen zur Detektierung von Kommunikations- und Verbindungsfehlern beim Erfassen der Spannung und Temperatur von EV-Batterien zum Ausstattungsumfang der Bausteinfamilie BQ79606-Q1 und BQ79616-Q1 von TI, die für systematische Functional-Safety-Anwendungen bis ASIL D (Automotive Safety Integrity Level) geeignet sind. (na)
Systems Engineer, Battery Management Systems , bei Texas Instruments
