Die Evolution des Energiebordnetzes
19. OCT 2022
Neue Sicherheitsanforderungen durch hochautomatisiertes Fahren
Die Entwicklung von Straßenfahrzeugen schreitet in der aktuellen Zeit rasant voran. Die gesetzlichen Vorgaben ändern sich (Beispielsweise CO2 Reduktionsvorgaben); Neue Fahr- und Komfortfunktionen kommen hinzu und bestehende, teilweise noch mechanische Funktionen werden erweitert und zunehmend elektrifiziert. Das Energiebordnetz stellt als zentrales Infrastrukturelement das Rückgrat des Fahrzeugs dar, weshalb diesem auch, im Hinblick auf die Fahrzeugweiterentwicklung, eine besondere Beachtung geschenkt werden sollte.
Durch die Entstehung und Weiterentwicklung von neuen Fahrzeugfunktionen durchlebt das Bordnetz eine Neubewertung. Bestehende Komponenten entfallen und neue kommen hinzu (z.B. der Einsatz von neuen Batterietechnologien oder der Einsatz von DCDC Wandlern anstelle des konventionellen Generators).
Beispielabbildung elektrischer Sensoren zur Umsetzung neuer Kundenfunktionen
Spannend ist daher vor allem wie mit der Veränderung des Energiebordnetzes umzugehen ist. Sind aktuell gültige „proven in use“ Argumentationen weiterhin anwendbar? Welchen Einfluss haben die neu verwendeten und zu Entwickelnden Bordnetzarchitekturen auf bestehende Anforderungen? Welche Mechanismen werden nötig, um die geänderten Anforderungen zu erfüllen? Und viele weitere Fragen die nur mit einer detaillierten Analyse und mit einem sehr guten Verständnis des Gesamtsystems erfolgreich gelöst werden können.
Steigende Komplexität in der Verkabelung und der Einsatz neuer Komponenten um auf die veränderten (Sicherheits-) Anforderungen reagieren zu können sind Folgen für das Energiebordnetz. Daneben müssen auch auf dieser Ebene Sicherheitskonzepte neu erstellt bzw. bewertet werden. Die Umsetzung der Anforderungen der Funktionalen Sicherheit ist ein entscheidender Faktor bei der Evolution und Weiterentwicklung des Energiebordnetzes.
Bereits aktuelle Fahrzeuge beinhalten Funktionen, die Anforderungen an die Verfügbarkeit der Energieversorgung stellen. Heutzutage sind beispielweise Licht, Wischer, Bremse oder Lenkungsunterstützung als sicherheitsrelevant einzustufen.
Als Grundlage zur Sicherstellung von Funktionen wird die ISO26262:2018 verwenden. Diese stellt des Weiteren klare Anforderungen an die Definition und Umsetzung sicherheitsrelevanter Fahrfunktionen. So gibt sie unter anderem vor, dass nicht-sicherheitsrelevanten Fahrfunktionen keinen Einfluss auf sicherheitsrelevante Funktionen haben dürfen. Falls ein negativer Einfluss nicht ausgeschlossen werden kann, müssen Mechanismen vorgesehen werden, die die Rückwirkungsfreiheit gewährleisten.
Betrachtet man nun automatisierte Fahrfunktionen so resultieren je nach SAE Level des Fahrzeugs und je nach Anwendungsfall (Operational Design Domain) deutlich gestiegene Anforderungen an die Verfügbarkeit von gewissen Funktionen. So wird zum Beispiel teilweise ein sicherer Betrieb auch nach dem Auftreten eines ersten Fehlers notwendig. Je nach Architektur und Gesamtkonzept können oder auch müssen diese Anforderungen auf das Energiebordnetz allokiert werden.
Um ein gemeinsames Verständnis für die kommenden Herausforderungen und zu erfüllenden Anforderungen zu entwickeln, wurde die VDA 450 Projektgruppe „Energiebordnetze für hochautomatisiertes Fahren“ ins Leben gerufen, an der OEMs und Zulieferer beteiligt sind. Ziel ist es, ein generischer Sicherheitskonzept zu entwickeln, die Sicherheitsanforderungen abzuleiten und auf Systemelemente zu allokieren.
Konventionelle Energiebordnetzarchitektur. Die zu stellen Frage: Sind hiermit alle neuen Fahrfunktionen im Fahrzeug umsetzbar?
Ein beispielhaftes hierarchisches Vorgehen einer solchen Anforderungsableitung und die Allokation auf die gemeinsam genutzte Ressource Energiebordnetz, könnte wie auf nachfolgender Abbildung dargestellt aussehen.
Beispielhafte Anforderungsableitung bis zu den Komponenten des Energiebordnetzes
Die aktiven und passiven Komponenten im Energiebordnetz müssen jeweils diese Anforderungen erfüllen. Daher sind die Fehlermodi für zufällige und systematische Fehler dieser Komponenten in den Sicherheitsbetrachtungen mit zu berücksichtigen.
Zur Vermeidung der systematischen Fehler müssen die Anforderungen der ISO26262:2018 erfüllt werden, sowie die Fehlermodi im Design, Produktentstehungs- und Fertigungsprozesse verifizierbar identifiziert und mit einbezogen werden.
Die zufälligen Hardwarefehler der Energiebordnetzkomponenten müssen identifiziert, analysiert, und deren Auswirkung bewertet werden. Das Resultat wird in den geforderten Metriken der ISO26262:2018 der jeweiligen Fahrzeugfunktion mit einbezogen.
Einer der wohl bekanntes Fehlerfälle, der eine direkte Rückwirkung auf andere Sicherheitsanforderungen haben kann, ist der elektrische Kurzschluss einer Leitung bzw. einer Komponente gegen Fahrzeugmasse. Daraus kann eine kritische Unterspannung für eine bestimmte Zeit im kompletten Energiebordnetz resultieren und damit einen Funktionsausfall aller sicherheitsrelevanter Komponenten die Folge sein. In vielen Fahrzeugen sind nach dem Stand der Technik Schmelzsicherungen verbaut, um die Leitung vor Brand oder Ähnlichem zu schützen. Problematisch kann es jedoch werden, wenn die Schmelzsicherung nicht schnell genug auslöst bzw. das Energiebordnetz nicht passend ausgelegt ist, den kritischen Spannungseinbruch zu unterbinden. Passiert dies während eines energieaufwändigen Fahrmanövers, kann im Extremfall ein Total-Ausfall des elektrischen Bordnetzes zu schwerwiegenden Folgen führen. Ob es zu solch einem Szenario kommen kann, hängt von vielen Faktoren ab und muss Fahrzeugarchitekturabhängig bewertet werden.
Zeit-/Spannungsdiagramm zur Darstellung von Betriebsgrenzen für Komponenten im 12V Bordnetz
Einige Fahrzeughersteller verbauen für diese bekannten Fehlerfälle Halbleiter, die innerhalb von Millisekunden den Energiezufluss zu einem Kurzschluss verhindern können und dadurch das Bordnetz stabil halten. Durch unter anderem solche zusätzlichen Mechanismen lassen sich zonale Architekturen leichter umsetzen, da der Einfluss sicherheitsrelevanter Komponenten aufeinander und der Einfluss nicht-sicherheitsrelevanter auf sicherheitsrelevante Komponenten lokal unterbunden werden kann. Allerdings führen diese zusätzlichen Mechanismen zu steigenden Kosten und machen Neubewertungen bestehender proven in use Argumentationen notwendig. Die zu stellende Frage ist, an welchen Stellen solche Mechanismen nötig sind bzw. ob konventionelle Lösungsansätze diese Aufgabe nicht auch weiterhin zuverlässig erfüllen können.
LEONI steht seinen Kunden als Systempartner auch für Belange der Evolution des Energiebordnetzes zur Verfügung und unterstützt hier von der Konzeptphase bis zur Serie.
Haben Sie Fragen?
Wir helfen Ihnen gerne weiter und freuen uns auf Ihre Anfrage.
Telefon +49 9321 304-0
E-mail blog@leoni.com
