Sicherheitsaspekte bei der Implementierung von Niederspannungsbatterien (12 V)

 

In der Vergangenheit wurden Fahrzeuge mit Verbrennungsmotor mit einer 12-Volt-Blei-Säure-Batterie ausgeliefert. Diese Batterie versorgt alle elektrischen Systeme des Fahrzeugs mit Strom. Dazu gehören Systeme wie Infotainmentsysteme, Scheinwerfer und Blinker, Kraftstoffeinspritzung und Zündsysteme, Lenkmotoren und Hydraulikpumpen der Bremsen, um nur einige zu nennen.

Bleisäurebatterien werden seit über hundert Jahren verwendet, sind gut bekannt und verfügen über effiziente Lieferketten. Im Vergleich zu neueren Batterietechnologien haben sie jedoch einige Nachteile: Sie haben eine geringere Energiedichte und sind daher relativ schwer, sie lassen sich nur langsam aufladen, ihre Nennkapazität hängt von der Entladerate ab und sie sind etwas unzuverlässig. Ihre Zuverlässigkeit wird in erster Linie durch die niedrige Zyklenzahl von typischerweise 500-1000 Zyklen beeinträchtigt, was zu einer kurzen Lebensdauer führt.

Bleisäurebatterien sind auch in gewissem Maße gesundheitsgefährdend. Blei ist für viele Organismen giftig und beeinträchtigt insbesondere die menschliche Fortpflanzung. Das ist der Hauptgrund, warum viele Länder auf der ganzen Welt Maßnahmen ergreifen, um die Verwendung von Blei in vielen Produkten zu verbieten. Die europäische REACH-Verordnung regelt, welche chemischen Stoffe in der EU verwendet werden dürfen. Die REACH-Zulassungsbestimmungen sollen sicherstellen, dass diese Stoffe schrittweise durch weniger gefährliche Alternativen ersetzt werden, sofern dies möglich ist. Im Rahmen dieser Gesetzgebung werden Blei-Säure-Batterien höchstwahrscheinlich verboten und möglicherweise schon im Jahr 2030 durch Lithium-Ionen-Batterien ersetzt. Dies entspricht in gewisser Weise dem vorgeschlagenen Verbot von Neufahrzeugen mit Verbrennungsmotor.

Die relativ hohe Ausfallrate einer Bleibatterie wird bis zu einem gewissen Grad durch den Einsatz einer doppelt redundanten 12-Volt-Bordnetzarchitektur gemildert. Durch den Einsatz einer Batterie in Kombination mit einer vom Verbrennungsmotor angetriebenen Lichtmaschine verfügt ein Fahrzeug über eine redundante Stromquelle zur Versorgung aller elektrischen Systeme des Fahrzeugs. Fällt die Batterie aus, während der Motor läuft, kann die Lichtmaschine die elektrischen Systeme des Fahrzeugs mit Strom versorgen, zumindest bis der Motor abgestellt wird. Ebenso kann die Batterie bei einem Ausfall der Lichtmaschine die elektrischen Systeme des Fahrzeugs für eine begrenzte Zeit mit Strom versorgen, bis sie erschöpft ist. Nicht alle Ausfallarten werden durch diese Architektur abgemildert. So kann beispielsweise ein Kurzschluss in der Batterie oder der Lichtmaschine das gesamte 12-V-Netz lahm legen.

Bei Elektrofahrzeugen ohne Verbrennungsmotor gibt es keine Lichtmaschine, die diese Redundanz bietet. Eine gängige Lösung zur Bereitstellung einer geeigneten Redundanz ist bei diesen Fahrzeugen der Einsatz einer Bleibatterie in Verbindung mit einem DCDC-Wandler, der die hohen Spannungen der Antriebsbatterie auf 12 V für das Stromnetz heruntertransformiert. Diese DCDC-Wandler können als Analogie zur Lichtmaschine in Fahrzeugen mit Verbrennungsmotor betrachtet werden, d. h. sie sind nur aktiv, wenn die Antriebsbatterie "eingeschaltet" ist.

Diese Lösung ist jedoch durch die Verwendung einer Bleibatterie begrenzt, die aufgrund ihrer geringen Zyklenzahl im Vergleich zu den anderen Elementen des Fahrzeugs ein deutlich höheres Ausfallrisiko aufweist. Elektrofahrzeuge sind von ihrer Konstruktion her zuverlässiger, da weniger bewegliche Teile einem hohen Verschleiß ausgesetzt sind. Durch den Einsatz einer Bleibatterie wird diese inhärente Zuverlässigkeit des Fahrzeugs verringert, da sie das schwächste Glied in der Zuverlässigkeits-/Garantiekette ist.

Vor diesem Hintergrund und dem bevorstehenden Verbot von Blei-Säure-Batterien suchen viele Fahrzeughersteller jetzt nach robusten und zuverlässigen Lösungen, um Blei-Säure-Batterien zu ersetzen. Darüber hinaus besteht ein dringender Bedarf an einer hochintegrierten Stromversorgung, um die sicherheitskritischen Funktionen von hochautomatisierten/autonomen Fahrzeugen und x-by-wire-Funktionen zu unterstützen. Die Lithium-Ionen-Batterietechnologie stellt die attraktivste Lösung dar, da sie eine hohe Integrität (gemäß ASIL D) und Zuverlässigkeit (mit potenziell mehr als 10 000 Zyklen) bietet. Die Fahrzeughersteller haben auch Erfahrung mit der Lithium-Ionen-Technologie aus der Entwicklung von Antriebsbatterien.

Die Einführung einer neuen Batterietechnologie ist keine triviale Aufgabe, zumal 12-V-Batterien bisher als einfache Handelsware behandelt wurden, so wie es auch bei Komponenten wie Fahrzeugreifen der Fall ist. Die Anforderungen an ein kosteneffizientes und hoch integres Design sind widersprüchlich. Integrität hat ihren Preis, und der Anwendungsfall einer 12-V-Batterie unterscheidet sich stark von dem einer Traktionsbatterie mit höherer Spannung. Eatron hat sich diesen Herausforderungen gestellt und ist eine Partnerschaft mit globalen Zellherstellern und globalen Fahrzeugherstellern eingegangen, um eine kosteneffiziente Best-in-Class-Lösung in hohen Stückzahlen zu produzieren, die die heute und in Zukunft in Fahrzeugen benötigten Funktionen bietet.

Obwohl die Entwicklung einer kosteneffizienten Lösung nicht unwichtig ist, besteht die größte Herausforderung in der Bereitstellung eines sicheren Produkts mit hoher Integrität. Derzeit gibt es nur wenige Richtlinien, die sich auf die Sicherheit von elektrochemischen Geräten in Kraftfahrzeugen beziehen. Die derzeitige Sicherheitsnorm für Kraftfahrzeuge, ISO 26262, bezieht sich auf die Abschwächung des Fehlverhaltens elektrischer und elektronischer Systeme, bei denen das Produkt über eine spezifische Steuerungs- und Betätigungsfunktion auf Fahrzeugebene verfügt und bei denen eine fahrerinduzierte Steuerbarkeit in Betracht gezogen werden kann. Gefährdungen, die sich auf mechanische und elektrochemische Komponenten (oder Unterkomponenten) beziehen, werden als "andere Technologien" eingestuft, und als solche werden nur wenige Hinweise gegeben. Batterien sind von Natur aus passiv gesteuerte elektrochemische Geräte, die außer dem Anschluss an das Stromnetz bzw. der Trennung vom Stromnetz über ein Batteriemanagementsystem kaum Steuerungsmöglichkeiten auf Fahrzeugebene bieten. Dieses Defizit in der Normung ist bekannt, und die Automobilbranche arbeitet derzeit an einer neuen Richtlinie ISO/TR 9968, um die Entwicklung "sicherer" Batterien zu unterstützen. Diese Richtlinie ist in erster Linie auf Traktionsbatterieanwendungen ausgerichtet, könnte aber auch auf die Entwicklung von Powernet-Batteriekonzepten zugeschnitten werden.

Die sicherheitsrelevanten Eigenschaften von Stromversorgungsbatterien fallen in zwei unterschiedliche und manchmal widersprüchliche Bereiche, die Schutz- und Verfügbarkeitsthemen berücksichtigen. Diese Eigenschaften werden in der Regel als Sicherheitsziele beschrieben, die festgelegt werden, um die mit den Gefahren der Batterie verbundenen Risiken zu beherrschen oder zu mindern.

Die Sicherheitsziele für den Schutz beziehen sich auf die Vermeidung von Batterieausgasungen und Bränden. Die Gefahren im Zusammenhang mit Bränden von Elektrofahrzeugbatterien aufgrund eines thermischen Durchgehens und der vorangehenden Ausgasung giftiger Chemikalien sind wohl bekannt. Ein gängiges Sicherheitskonzept zur Bewältigung dieser Gefahren besteht darin, die Bedingungen, die zu dem gefährlichen Ereignis führen, zu verhindern, da es kein praktikables Konzept gibt, das den Brand oder die Ausgasung stoppen kann, wenn sie bereits eingetreten sind. Es wird auch an Technologien für Festkörperbatterien geforscht, die günstigere thermische Eigenschaften haben. Bei Lithium-Ionen-Batterien sind die Folgen eines thermischen Ereignisses bei Traktionsbatterien weitaus dramatischer als bei den kleineren Powernet-Batterien, was zu zusätzlichen Minderungsstrategien wie der Ableitung der giftigen Gase aus der Fahrgastzelle führt. Allerdings kann sich der Standort der Antriebsbatterien innerhalb des Fahrgastraums befinden, was zu einer ähnlichen Einstufung des Schweregrads und der anschließenden Einstufung des gefährlichen Ereignisses (ASIL) führt, die normalerweise mit ASIL B oder ASIL C bewertet wird.

Die Ursachen für die thermischen Ereignisse können als innerhalb oder außerhalb der Batterie liegend eingestuft werden. Externe Ursachen könnten beispielsweise Umgebungsbedingungen wie hohe Umgebungstemperaturen und hoher Stromfluss aufgrund des Ladens oder Entladens der Batterie sein, die zu einer übermäßigen Zellentemperatur und schließlich zum Brand führen. Interne Ursachen können z. B. eine übermäßige Entladung und anschließende Ladung der Batterie sein, die zu Lithiumplattierung, Dendritenwachstum (einschließlich Kupferdendritenwachstum bei NMC-Batterien) und internen Kurzschlüssen innerhalb der Batterie führen. Das Laden bei niedrigen Temperaturen kann ähnliche thermische Kurzschlüsse zur Folge haben. In all diesen Anwendungsfällen besteht ein typisches Sicherheitskonzept darin, die Batterie vom Stimulus zu trennen, bevor die Gefahr eintreten kann, d. h. das Laden oder Entladen der Batterie zu stoppen. Der Abschaltmechanismus für Antriebsbatterien wird aufgrund der typischen hohen Zyklusrate und des hohen Stromflusses in der Regel als mechanisches Schütz implementiert, wobei diese Technologie ihre eigenen gefährlichen Fehlermodi hat, wie z. B. das Verschweißen des Schützes. Dies führt dazu, dass sowohl am Plus- als auch am Minuspol Schütze und zusätzlich eine Pyrosicherung erforderlich sind, um die Abschaltung bei extremen Fehlerszenarien, wie z. B. einem Fahrzeugunfall, sicherzustellen. Trennmechanismen für Stromversorgungsanwendungen benötigen aufgrund der niedrigen Zyklusrate und des geringeren Stromflusses in der Regel nicht dieses Maß an Schutz, so dass in der Regel einfache Relais oder MOSFETS verwendet werden.

Bei einer Traktionsbatterie kann das Schutzkonzept emergente Gefahren aufweisen, die sich auf den Verlust der Beschleunigung und/oder den Verlust der Rückspeisung beziehen und typischerweise mit ASIL B bewertet werden. Bei Powernet beziehen sich die emergenten Gefahren auf die Sicherheitsziele für die Verfügbarkeit, die später in diesem Artikel erörtert werden. Diese emergenten Gefahren müssen bei der Einstufung (ASIL) des Schutzkonzepts berücksichtigt werden, insbesondere wenn man die Fehlalarme der Sicherheitsmechanismen in Betracht zieht. Dies könnte dazu führen, dass das Schutzkonzept höher eingestuft werden muss, damit es mit den Verfügbarkeitsanforderungen des Gesamtsystems übereinstimmt. Wenn beispielsweise die Verfügbarkeitsanforderungen mit ASIL D eingestuft werden, können Falschmeldungen im Zusammenhang mit den Schutzfunktionen diese Verfügbarkeitsanforderungen verletzen, so dass die Schutzfunktion von ASIL B auf ASIL D hochgestuft werden muss.

Die Verfügbarkeitsanforderungen an eine Powernet-Batterie können weitaus komplexer sein als die der Antriebsbatterie. Die Powernet-Batterie muss unter Umständen verfügbar sein, um die sicherheitskritischen Funktionen von hochautomatisierten/autonomen und x-by-wire-Fahrzeugen zu unterstützen. Es kann auch notwendig sein, vorherzusagen, ob die Batterie in Zukunft für eine bestimmte Dauer Strom liefern kann, um sicherzustellen, dass der Fahrer in der Lage ist, die automatisierten Funktionen rechtzeitig zu übernehmen. Wie bereits beschrieben, wird das Fahrzeugverfügbarkeitskonzept in der Regel sowohl durch den DCDC-Wandler der Traktionsbatterie als auch durch die Netzbatterie unterstützt. Die DCDC-Wandler werden jedoch in der Regel für einen niedrigeren ASIL-Wert entwickelt, typischerweise ASIL A oder QM. Dies liegt möglicherweise daran, dass der DCDC-Wandler auf der Grundlage einer bereits vorhandenen industriellen Implementierung weiterentwickelt wurde oder ursprünglich nicht zur Unterstützung einer hohen ASIL-Funktionalität im Fahrzeug entwickelt wurde. In diesem Fall wird üblicherweise eine Dekompositionsstrategie angewandt, bei der sowohl die Netzbatterie als auch der DCDC-Wandler zur Unterstützung von Funktionen mit höherem ASIL-Wert verwendet werden. Dies hat den zusätzlichen Vorteil, dass es keine Einzelpunktausfälle gibt, die zu einem sofortigen totalen Verlust der Verfügbarkeit führen könnten. Wenn ein Ausfall auftritt, kann das Fahrzeug eine Strategie mit verminderter Verfügbarkeit anwenden, aber mit einer niedrigeren ASIL.

Eine weitere Anforderung an die Verfügbarkeit der Powernet-Batterie besteht darin, dass sie immer "eingeschaltet" sein und das Powernet mit geeigneter Energie versorgen muss, auch wenn sich das Fahrzeug in einem Modus mit geringer Leistung befindet, z. B. wenn es verschlossen und unbeaufsichtigt ist und die Antriebsbatterie abgeklemmt ist. Ein Grund dafür, dass das System immer eingeschaltet sein muss, könnte die Versorgung des Fahrzeugzugangssystems sein, z. B. des schlüssellosen Zugangssystems. Die Herausforderung bei diesem Anwendungsfall besteht darin, sicherzustellen, dass dieser Betriebsmodus eine sehr geringe Ruhestromaufnahme hat, um die Verfügbarkeit der Batterie so lange wie möglich zu verlängern. Außerdem muss in diesen niedrigen Ruhestrommodi eine Schutzfunktion bereitgestellt werden. Eatron hat sich mit Mikrocontroller-Herstellern und Anbietern von batteriespezifischen ASICs zusammengetan, um ein hocheffizientes Hardware-Design zur Unterstützung dieser Stromsparmodi zu gewährleisten.

Bei Antriebsbatterien ist ein niedriger Ruhezustand in der Regel nicht erforderlich, der Zellenausgleich und die Temperaturkontrolle der Batterie könnten vor der Abschaltung geplant werden. Und sobald die Batterie abgeschaltet ist, besteht möglicherweise keine Notwendigkeit für einen aktiven Schutz, da die Batterie bereits abgeklemmt ist und keine weiteren Abhilfemaßnahmen möglich sind.

Einige Anforderungen an die Verfügbarkeit von Netzbatterien sind an sich schon potenziell gefährlich. Ein gängiges Konzept besteht darin, die Batterie vollständig entladen zu lassen, um das Verfügbarkeitsfenster so lange wie möglich zu verlängern. Bei einer stark entladenen Netzbatterie ist es unwahrscheinlich, dass das Fahrzeug sicher gefahren werden kann, aber das Feststellbremssystem könnte gelöst und das Fahrzeug bewegt werden. Unter diesen Bedingungen ist es auch wichtig, ein Nachladen zu verhindern, das zu einer Brand- oder Ausgasungsgefahr führen könnte. Außerdem würde die Batterie das Ende ihrer Lebensdauer erreichen, so dass Garantiefaktoren berücksichtigt werden müssen. Dies ist ein anderer Anwendungsfall als ein typisches Traktionsbatteriekonzept, das darauf abzielt, die Batterie immer in einem Zustand zu halten, der ein Wiederaufladen ermöglicht.

Zusammenfassend lässt sich sagen, dass sich die Anwendungsfälle und Betriebsmodi von Powernet-Batterien stark von denen von Traktionsbatterien unterscheiden. Durch die Bereitstellung einer hochintegrierten 12-V-Batterie sind Fahrzeughersteller in der Lage, Fahrzeuge mit hochautomatisierten und autonomen Funktionen sicher einzusetzen. Die Lithium-Ionen-Technologie ist die praktikabelste Lösung, und Eatron bietet das Know-how für die Entwicklung und Lieferung eines hochintegrierten Batteriemanagementsystems.

Sie können mehr über das 12V-Batteriemanagementsystem von Eatron erfahren, indem Sie https://eatron.com/12v_bms/ besuchen.

Gareth Price, Direktor für Garantie und Sicherheit bei Eatron Technologies.

Bei Eatron entwickeln wir intelligente Softwarelösungen für das Batteriemanagement, die sowohl in den Endgeräten als auch in der Cloud eingesetzt werden können. Wenn Sie daran interessiert sind, mehr darüber zu erfahren, klicken Sie auf "Sprechen Sie mit einem Experten" und füllen Sie das Kontaktformular aus oder senden Sie direkt eine E-Mail an info@eatron.com.