Dieser TechLetter soll das komplexe Thema der Bewertung der funktionalen Sicherheit und dessen Anwendung auf Batterien auf einfache und didaktische Weise darstellen. Dieses Thema wird von mehreren Normen abgedeckt, von denen die meisten aus der ISO 61508 abgeleitet sind. Wir konzentrieren uns hier auf zwei Normen:
-
- ISO 13849, deren Ziel es ist, kritische Sicherheitsfunktionen für Maschinen zu gewährleisten.
- ISO 26262, deren Ziel es ist, die Sicherheit elektronischer Funktionen in Straßenfahrzeugen zu gewährleisten;
Wir werden ihre Gemeinsamkeiten und Unterschiede betrachten und eine Umsetzung der Norm ISO 26262 im Fall von WATTALPS-Batterien untersuchen.
ISO 26262-Prozess im Vergleich zu ISO 13849
Als WATTALPS versuchte, die Unterschiede zwischen den Prozessen nach ISO 26262 und ISO 13849 zusammenzufassen, fanden wir keine bessere Erklärung als die von Michael Kieviet von CAN Automation, die wir daher hier zitieren:„Wenn Komponenten für Personenkraftwagen und in Maschinen verwendet werden sollen, muss ein gemeinsames Verständnis über die wichtigsten Unterschiede in den Normen bestehen. Tatsächlich umfasst die ISO 26262 zehn Teile mit insgesamt fast 400 Seiten. Im Vergleich dazu besteht die ISO 13849 nur aus zwei Teilen mit etwa 200 Seiten und vielen Verweisen auf die IEC 61508 mit sieben Teilen und zusätzlichen 700 Seiten. Dies vermittelt nur einen subjektiven Eindruck vom Aufwand. Der Hauptunterschied liegt in der Philosophie hinter den Normen. Die Sicherheitsfunktion in Maschinen ist in der Regel eine zusätzliche Funktionalität, die den Prozess nicht steuert. Das bedeutet, dass die Maschine auch dann noch funktioniert, wenn die Sicherheitskomponenten entfernt werden. Dies erfordert zusätzliche Komponenten und natürlich zusätzliche Kosten, um ein sicheres System zu erhalten. Die ISO 26262 zielt darauf ab, die Funktionskomponente als eigensichere Vorrichtung bereitzustellen. Dies sollte die Teilekosten senken, aber die Entwicklungskosten erhöhen.
WATTALPS hat sich dafür entschieden, seine Elektronik gemäß ISO 26262 zu entwickeln, um seinen Kunden ein Höchstmaß an Sicherheit zu einem angemessenen Preis zu bieten.
Risikoanalyse
Beide Standards beginnen mit einer Risikoanalyse. Diese Risikoanalyse hängt von der Anwendung ab:
-
- Befinden sich Personen in der Nähe der Batterie?
- Sind diese Personen durch andere Maßnahmen vor einem Batterieunfall geschützt?
- Gibt es eine Möglichkeit, diese Menschen im Falle eines Batterieunfalls vor Verletzungen zu schützen (einfache/schwierige Evakuierung, zusätzliche passive Schutzmaßnahmen usw.)?
Die Risikoanalyse wird ohne Berücksichtigung der zum Schutz von Personen hinzugefügten Sicherheitsmechanismen durchgeführt. Sie ermöglicht eine grobe Einschätzung des tatsächlichen Risikos, wenn keine Maßnahmen zur funktionalen Sicherheit des Systems getroffen werden.
Diese Risikobewertung ermöglicht es, Zielzuverlässigkeitsniveaus für die zugehörigen Sicherheitsfunktionen festzulegen. Die folgende Tabelle zeigt die verschiedenen Zuverlässigkeitsniveaus für eine Vielzahl von Normen zur funktionalen Sicherheit. Sie gibt auch eine Annäherung an die Gleichwertigkeit der Sicherheitsniveaus zwischen den Normen an (z. B. entspricht ISO 13849 PL e in etwa ISO 26262 ASIL-D).
Quelle: https://en.wikipedia.org/wiki/Automotive_Safety_Integrity_Level
Sowohl für die Norm ISO 26262 als auch für die Norm ISO 13849 werden die Risiken anhand von drei Kriterien bewertet:
-
- Exposition: Bezeichnet die Zeit, während der Personen dem Risiko ausgesetzt sind, wenn die Batterie verwendet wird (d. h. geladen oder entladen wird).
- Schweregrad: stellt die Folgen eines gefährlichen Ausfalls des Batteriesystems dar
- Kontrollierbarkeit: stellt die Wahrscheinlichkeit dar, die Folgen des gefährlichen Ausfalls zu begrenzen oder zu vermeiden (Evakuierung, Fahren an einem sicheren Ort…)
Ein Ereignis mit hoher Exposition, hoher Schwere und geringer Kontrollierbarkeit führt zu einer Bewertung von ASIL-D gemäß ISO 26262 und PL-e gemäß ISO 13849. Im Gegensatz dazu führt eine geringe Exposition, geringe Schwere und hohe Kontrollierbarkeit zu einer Risikobewertung von PL-A gemäß ISO 13849 und keinem ASIL-Level gemäß ISO 26262.
Zuverlässigkeits-Parameter
Nachdem das Risiko für jedes gefährliche Ereignis bewertet wurde, wird für jedes Sicherheitsziel ein Zuverlässigkeitsziel festgelegt. Nachstehend finden Sie ein Teilbeispiel für eine Baggerbatterie auf einer Baustelle im Freien mit ISO 26262:
| Sicherheitsziel | Unerwünschtes Ereignis | ASIL-Stufe |
| Feuer | Brand aufgrund von Überspannung durch falsche Zellenspannungsmessung | B |
| Brand aufgrund von Übertemperatur aufgrund falscher Zellentemperaturmessung | B | |
| Brand aufgrund von Überstrom durch falsche Strommessung | B |
Jede Funktion, die zum Schutz vor den oben aufgeführten unerwarteten Ereignissen entwickelt wurde, muss dann die in der Norm festgelegten Zuverlässigkeitsmetriken als Funktion der Risikobewertung (ASIL- oder PL-Stufen) einhalten.
-
- Für ISO 13849Diese Kennzahlen sind:
- MTTFd: Mittlere Zeit bis zum gefährlichen Ausfall (siehe Ausfallratentabelle unten)
- DC: Diagnosedeckung, spiegelt die Fähigkeit des Systems wider, gefährliche Ausfälle zu erkennen.
- Kategorien: Die Architektur des Systems kann je nach angestrebtem PL-Level und den Metriken MTTFd und DC festgelegt werden (siehe Grafik unten).
- Für ISO 13849Diese Kennzahlen sind:
-
- Für ISO 26262Es wird keine Architektur vorgeschrieben, sondern es werden zusätzliche Metriken verwendet, um zu überprüfen, ob die Zuverlässigkeit des gesamten Systems auf dem gewünschten Niveau liegt:
- SPFM: Single Point Fault Metric (Einzelpunktfehlermetrik) bewertet die Robustheit eines Elements gegenüber einem einzelnen Fehler aufgrund seiner Konstruktion oder aufgrund der Abdeckung durch einen Sicherheitsmechanismus.
- LFM: Latent Fault Metric (Metrik für latente Fehler) bewertet die Robustheit eines Elements gegenüber einem latenten Fehler (Fehler, der erst sichtbar wird, wenn das unerwartete Ereignis eintritt).
- PMHF: Probabilistische Metrik für zufällige Hardwareausfälle, bewertet das Restrisiko einer Verletzung des Sicherheitsziels (siehe Ausfallratentabelle unten)
- Für ISO 26262Es wird keine Architektur vorgeschrieben, sondern es werden zusätzliche Metriken verwendet, um zu überprüfen, ob die Zuverlässigkeit des gesamten Systems auf dem gewünschten Niveau liegt:
| ISO 26262 | Ausfallrate (PMHF) | ISO 13849 | Ausfallrate (MTTFd) |
| PL a | <10-4/h | ||
| PL b | <10-5/h | ||
| PL c | <3×10-5/h | ||
| ASIL A | (<10-6/h) | PL d | <10-6/h |
| ASIL B, C | <10-7/h | PL e | <10-7/h |
| ASIL D | <10-8/h |
WATTALPS ISO 26262 ASIL B/C BMS-Entwicklung
Das WATTALPS-Batteriemanagementsystem umfasst folgende Funktionen:
-
- Batteriesicherheitsmanagement (BSM)
- Batteriemodularitätsmanagement (BMM)
- Batterieschnittstellenmanagement (BIM)
- Batterie-Wärmemanagement (BTM)
- Batteriekonnektivitätsmanagement (BCM).
Das Batteriesicherheitsmanagement (BSM) wurde gemäß den Anforderungen der Norm ISO 26262 ASIL C für funktionale Sicherheit entwickelt.
Das Batteriesystem wird als „System außerhalb des Kontexts“ betrachtet, damit es in verschiedene mögliche Anwendungen integriert werden kann. Das WATTALPS BSM verfügt über die Fähigkeit, die Hauptbatterieschütze zu öffnen, um die Batterie in einen sicheren Zustand zu versetzen. Um die Batterie in einem sicheren Betriebsbereich zu halten, sind die folgenden Komponenten im BSM enthalten:
-
- Slave-Platine und Anschluss an Batteriemodul
- Master-Platine, Software und Kommunikation zur Slave-Platine
- Anschlussdose
- Batterieheizungsmanagement
- Erkennung des Füllstands einer dielektrischen Flüssigkeit
- Schnittstelle zur Anwendung im Falle einer Fehlererkennung.
Hier finden Sie einen Auszug aus den Kennzahlen von WATTALPS BSM, die von einem spezialisierten Unternehmen bewertet wurden, das mit WATTALPS in diesem Bereich zusammenarbeitet.
| Unerwünschtes Ereignis | SPFM* | LFM* | PMHF* | Erreichbare ASIL* |
| Brand aufgrund von Überspannung durch falsche Zellenspannungsmessung | 99,64% | 98,13% | 7,25×10-9 | D |
| Brand aufgrund von Übertemperatur aufgrund falscher Zellentemperaturmessung | 99,23% | 97,99% | 6,06×10-9 | D |
| Brand aufgrund von Überstrom durch falsche Strommessung | 98,15% | 96,78% | 2,42×10-8 | C |
* Diese Kennzahlen gelten für eine bestimmte Konfiguration und ein bestimmtes Missionsprofil und können je nach Anwendung variieren.
Alle Sicherheitsfunktionen der WATTALPS-Batterien wurden für eine maximale Anwendungsspannung von 800 V bewertet, entwickelt und validiert. Neben seinem BSM hat WATTALPS die Sicherheit in den Mittelpunkt seiner Entwicklung gestellt, mit:
-
- Höchste Qualität und höchste Sicherheit von den besten Lieferanten
- Keine Gefahr eines Kurzschlusses aufgrund von Leckagen im Flüssigkeitskühlsystem
- Keine Ausbreitung thermischer Instabilität auf Modul- und Batterieebene
- Robustes Gehäuse nach IP67 für raue Umgebungen (Stöße, Vibrationen, Staub, Salznebel, Feuchtigkeit…)
- Hochgradig validierte und getestete Produkte;
Wenn Sie sich näher mit dem Thema elektronische Funktionssicherheit befassen möchten, können Sie diese Dokumente von Cadence oder TI lesen.
