Log in Join free

Funktionale Sicherheit: Ein Leitfaden für Ihr BMS

Die Automobilindustrie durchläuft einen rasanten Wandel. Mit dem Aufstieg von Elektrofahrzeugen (EVs) und fortschrittlichen Fahrerassistenzsystemen (

author avatar

0 Followers
20, Nov 25 6 min read 0 comments 15 views
Bookmark Report
Funktionale Sicherheit: Ein Leitfaden für Ihr BMS

Die Automobilindustrie durchläuft einen rasanten Wandel. Mit dem Aufstieg von Elektrofahrzeugen (EVs) und fortschrittlichen Fahrerassistenzsystemen (ADAS) werden die elektronischen Systeme in unseren Autos immer komplexer. Diese Komplexität bringt jedoch neue Herausforderungen mit sich, insbesondere im Hinblick auf die Sicherheit. Ein winziger Fehler in der Software oder ein Defekt in einer Hardwarekomponente kann schwerwiegende Folgen haben. Hier kommt die funktionale Sicherheit ins Spiel – ein entscheidendes Konzept, das sicherstellt, dass die elektronischen Systeme eines Fahrzeugs auch bei einem Ausfall zuverlässig funktionieren.

In diesem Artikel erklären wir, was funktionale Sicherheit ist, warum sie für Batteriemanagementsysteme (BMS) in Elektrofahrzeugen so wichtig ist und wie Sicherheitstests dazu beitragen, die höchsten Standards zu erfüllen. Sie werden verstehen, wie ein systematischer Ansatz zur Risikobewertung und -minderung dazu beiträgt, sicherere und zuverlässigere Fahrzeuge für uns alle zu entwickeln.

Was ist Funktionale Sicherheit?

Funktionale Sicherheit ist der Teil der Gesamtsicherheit eines Systems, der von der korrekten Funktion sicherheitsrelevanter elektrischer, elektronischer und programmierbarer elektronischer Systeme abhängt. Das Hauptziel besteht darin, unannehmbare Risiken zu vermeiden, die durch Fehlfunktionen dieser Systeme entstehen könnten. Anders ausgedrückt: Wenn etwas schiefgeht, muss das System in einen sicheren Zustand übergehen oder in einem sicheren Modus weiterarbeiten, um Schäden für Menschen, Eigentum oder die Umwelt zu verhindern.

Der wichtigste Standard in der Automobilindustrie für funktionale Sicherheit ist die ISO 26262. Diese Norm bietet einen umfassenden Rahmen für den gesamten Lebenszyklus sicherheitsrelevanter Systeme, von der Konzeption über die Entwicklung und Produktion bis hin zur Stilllegung. Sie definiert Prozesse, Methoden und Arbeitsergebnisse, die erforderlich sind, um ein angemessenes Sicherheitsniveau zu erreichen.

Ein zentrales Konzept der ISO 26262 ist der Automotive Safety Integrity Level (ASIL). Der ASIL ist eine Risikoklassifizierungsstufe, die angibt, wie streng die Sicherheitsanforderungen für eine bestimmte Komponente oder Funktion sind. Die Einstufung reicht von ASIL A (niedrigste Stufe) bis ASIL D (höchste Stufe). Die Bewertung basiert auf drei Faktoren:

  1. Schweregrad (Severity): Wie schwer wären die Verletzungen bei einem Systemausfall?
  2. Exposition (Exposure): Wie wahrscheinlich ist es, dass eine gefährliche Situation eintritt?
  3. Beherrschbarkeit (Controllability): Kann der Fahrer die Situation im Falle eines Fehlers noch kontrollieren?

Je höher der ASIL, desto strengere Maßnahmen müssen während des Entwicklungsprozesses ergriffen werden, um Fehler zu vermeiden und zu beherrschen. Für ein Batteriemanagementsystem, das für die Sicherheit der Hochvoltbatterie verantwortlich ist, wird oft ein hoher ASIL-Wert (typischerweise ASIL C oder D) angestrebt.

Funktionale Sicherheit und Batteriemanagementsysteme (BMS)

Ein Batteriemanagementsystem ist das Gehirn des Batteriesystems eines Elektrofahrzeugs. Es überwacht und steuert kritische Parameter wie Spannung, Strom und Temperatur, um die Batterie vor Schäden zu schützen und ihre Lebensdauer zu maximieren. Ein Ausfall des BMS kann katastrophale Folgen haben, darunter thermisches Durchgehen (Thermal Runaway), Brand oder sogar eine Explosion der Batterie.

Aus diesem Grund ist die funktionale Sicherheit für ein BMS von größter Bedeutung. Ein funktional sicheres BMS muss in der Lage sein, potenzielle Gefahren frühzeitig zu erkennen und geeignete Gegenmaßnahmen einzuleiten. Zu den wichtigsten Sicherheitsfunktionen eines BMS gehören:

  • Über- und Unterspannungsschutz: Das BMS verhindert, dass die Zellspannungen gefährliche Grenzen überschreiten. Wenn eine Zelle überladen wird, kann dies zu internen Kurzschlüssen und thermischem Durchgehen führen. Eine Tiefentladung kann die Zelle dauerhaft beschädigen.
  • Überstromschutz: Das System überwacht den Lade- und Entladestrom und greift ein, wenn die Werte zu hoch sind, um Schäden an den Zellen und der Verkabelung zu verhindern.
  • Temperaturmanagement: Das BMS überwacht die Temperatur der Batteriezellen. Bei Überhitzung kann es die Leistung drosseln oder das Kühlsystem aktivieren, um einen sicheren Betriebszustand wiederherzustellen.
  • Isolationsüberwachung: Es stellt sicher, dass die Hochvoltbatterie sicher vom Fahrzeugchassis isoliert ist, um das Risiko von Stromschlägen zu minimieren.

Um diese Sicherheitsziele zu erreichen, muss die Entwicklung eines BMS den strengen Anforderungen der ISO 26262 folgen. Dies umfasst die Durchführung einer Gefahren- und Risikoanalyse (HARA), die Ableitung von Sicherheitszielen und die Implementierung von Sicherheitsmechanismen in Hardware und Software.

Der Prozess der BMS-Sicherheitsentwicklung nach ISO 26262

Die Entwicklung eines ASIL-konformen BMS ist ein hochstrukturierter Prozess. Er beginnt lange vor dem ersten Zeilencode und erfordert eine durchgängige Dokumentation und Verifizierung in jeder Phase.

Phase 1: Konzept und Systemdesign

Alles beginnt mit der Gefahren- und Risikoanalyse (HARA). Hier werden potenzielle Gefahren identifiziert, die durch Fehlfunktionen des BMS entstehen könnten. Für jede Gefahr wird der ASIL bestimmt. Basierend darauf werden die funktionalen Sicherheitsanforderungen (Functional Safety Requirements, FSR) definiert, die beschreiben, was das System tun muss, um sicher zu sein.

Phase 2: Hardware- und Softwareentwicklung

Die Sicherheitsanforderungen werden dann in technische Sicherheitsanforderungen (Technical Safety Requirements, TSR) für Hardware und Software zerlegt.

  • Hardware: Entwickler müssen redundante Komponenten (z. B. zwei Mikrocontroller) oder Diagnosemechanismen implementieren, um Hardwarefehler zu erkennen. Die Auswahl der Bauteile muss den Zuverlässigkeitsanforderungen des ermittelten ASIL entsprechen. Metriken wie die Single-Point Fault Metric (SPFM) und die Latent Fault Metric (LFM) helfen dabei, die Robustheit der Hardware gegenüber Ausfällen zu bewerten.
  • Software: Die Softwarearchitektur muss so gestaltet sein, dass Fehler eingedämmt werden können (Freedom from Interference). Dies bedeutet, dass sicherheitskritische Softwareteile von nicht-kritischen Teilen getrennt sind, sodass ein Fehler in einem nicht-kritischen Teil die Sicherheitsfunktionen nicht beeinträchtigen kann. Strenge Codierungsrichtlinien (wie MISRA C) und intensive Tests sind unerlässlich.

Phase 3: Integration und Tests

Nach der Entwicklung von Hard- und Software werden diese integriert und auf verschiedenen Ebenen getestet:

  • Unit-Tests: Jede Softwareeinheit wird isoliert getestet.
  • Integrationstests: Das Zusammenspiel verschiedener Software- und Hardwarekomponenten wird überprüft.
  • Systemtests: Das gesamte BMS wird als Einheit getestet, um sicherzustellen, dass es alle funktionalen und sicherheitstechnischen Anforderungen erfüllt.

Diese Tests sind nicht nur dazu da, Fehler zu finden. Sie dienen auch als Nachweis, dass die Sicherheitsziele erreicht wurden – ein entscheidender Teil der ISO 26262-Konformität.

BMS Sicherheitstests: Der Schlüssel zur Zuverlässigkeit

BMS Sicherheitstests sind ein unverzichtbarer Bestandteil des Entwicklungsprozesses. Ihr Ziel ist es, nachzuweisen, dass das BMS alle in der HARA identifizierten Gefahren beherrscht und die definierten Sicherheitsanforderungen erfüllt. Diese Tests gehen weit über einfache Funktionstests hinaus. Sie simulieren gezielt Fehlerzustände und extreme Betriebsbedingungen, um die Reaktion des Systems zu überprüfen. Wichtige Testarten umfassen Hardware-in-the-Loop (HIL)-Tests, bei denen das reale BMS mit einer simulierten Batterie und Fahrzeugumgebung verbunden wird, sowie Fehlereinbringungstests (Fault Injection Testing), bei denen gezielt elektrische Fehler oder fehlerhafte Sensordaten eingespeist werden. Durch diese rigorosen Prüfverfahren stellen Entwickler sicher, dass das BMS auch unter unvorhergesehenen Umständen robust und sicher bleibt, was für die Zertifizierung nach ISO 26262 und die Gewährleistung der Fahrzeugsicherheit von entscheidender Bedeutung ist.

Ein sicherer Weg in die Zukunft

Funktionale Sicherheit ist kein optionales Extra, sondern eine grundlegende Notwendigkeit für die Entwicklung moderner Fahrzeugelektronik, insbesondere für kritische Systeme wie das BMS. Die Einhaltung von Normen wie der ISO 26262 gewährleistet einen systematischen und nachvollziehbaren Ansatz zur Risikominimierung.

Für Unternehmen wie Mira-ee, die sich auf die Entwicklung fortschrittlicher Batterietechnologien spezialisieren, ist ein tiefes Verständnis der funktionalen Sicherheit entscheidend. Es ermöglicht nicht nur die Entwicklung sicherer und zuverlässiger Produkte, sondern schafft auch Vertrauen bei Kunden und Partnern in einer Branche, in der Sicherheit an erster Stelle steht. Indem wir die Prinzipien der funktionalen Sicherheit in jeden Schritt unseres Entwicklungsprozesses integrieren, tragen wir dazu bei, die Elektromobilität sicherer und für alle zugänglicher zu machen.

Share blog posts from your blog
Top
Share blog posts from your blog
Comments (0)
Login to post.