Sicheres Bordnetz für Autonomes Fahren

Future supply net will need to provide for Fail-Operational connectivity to electrical energy and data in the vehicle. New base requirements for the electrical supply net arise with the highly automated driving functions. Special focus needs to be taken on failures of other functions that interfere with the FUSI relevant functions of the highly automated driving. First concept for failure isolation is therefore discussed. Redundant supply as a technical safety concept is highly accepted, however limitations need to be taken into account and applicability is not as simple as it may seem.

Übergang von Fail-Save zu Fail-Operational
Schon seit langem ist die immer größer werdende Spreizung innerhalb der Fahrzeugklassen bei etablierten Automobilherstellern zu beobachten. Eine weitere Dimension im "Bordnetzvariantenraum" stellt sich aktuell durch die Realisierung von hochautomatisierten bis hin zu autonomen Fahrfunktionen mit ihren neuen Anforderungen bezüglich der funktionalen Sicherheit. Bereits die Einführung von hochautomatisierten Fahrfunktionen erfordert insofern einen Quantensprung in der Systemarchitektur von Bordnetzten, als dass mit dem Übergang von Fail Save zum verfügbarkeitsrelevanten Fail Operational das Energieversorgungsnetzwerk unmittelbar in die Sicherheitsbetrachtungen einer (elektronischen) Funktion einbezogen werden muss. Mit dem technisch als auch organisatorisch bisher so schön gekapselten Eigenleben der Elektrik könnte in Zukunft also Schluss sein, zumindest wenn man bezüglich Kosten- und Entwicklungsaufwand zu effizienten und anforderungsgerechten Lösungen kommen möchte.

Neue Basisanforderungen
Vor dem Hintergrund der neuen Funktionen, insbesondere der des hochautomatisierten beziehungsweise autonomen Fahrens, sollen im Folgenden die Basisanforderungen an Bordnetze hinterfragt werden. Das Speichern, Verteilen und Absichern der Zukunft muss schlussendlich diese Basisanforderungen erfüllen. Zur Vereinfachung wird im Folgenden unter dem Begriff Versorgungsbordnetz das physische Bordnetz plus Speicher, Wandler und Verteiler verstanden.

Die bekannten Basisanforderungen an das Versorgungsbordnetz setzen auf der obersten Ebene zwei grundsätzliche Prämissen voraus: So besagt Basisanforderung eins, dass das Versorgungsbordnetz die Versorgung der Funktionen mit Informationen und elektrischer Energie sicherstellen muss. Basisanforderung zwei verlangt, dass das Versorgungsbordnetz gegen Überlast, die zu exothermen Reaktionen führen kann, abgesichert sein muss.

Zu den bekannten Basisanforderungen ergeben sich nun zwei neue Basisanforderungen, auf die hier ein besonderes Augenmerk gelegt werden soll. Jene dritte Basisanforderung lautet, dass im Bordnetz Fehler rückwirkungsfrei (Interferenzfrei nach ISO 26262) isoliert werden müssen.

Oder mit anderen Worten: Ein Fehler an einer beliebigen Stelle des Versorgungsbordnetzes muss bezüglich der Sicherheitsziele rückwirkungsfrei so getrennt werden, dass die sicherheitsrelevanten Funktionen nicht beeinträchtigt werden. Es ist also sicherzustellen, dass ein Fehler einer nicht-sicherheitsrelevanten Funktion (wie beispielsweise der Kurzschluss eines PTC-Zuheizers) keine Rückwirkungseffekte auf die hochautomatisierten bzw. autonomen Fahrfunktionen hat. 

Hinzu kommt eine vierte Basisanforderung:  Nicht nur für die elektronische Funktion, sondern auch für das Versorgungsbordnetz des Fahrzeugs ist eine Diagnoseabdeckung vorzusehen, bezugnehmend auf die ASIL-Einstufung der zu versorgenden Funktion , da ein Ausfall der Energieversorgung für Fail-Operational Funktionen des hochautomatisierten Fahrens direkt zu einer Verletzung der Sicherheitsziele führt.

Vor dem Hintergrund dieser neuen Basisanforderungen, die direkt mit den Sicherheitszielen des hochverfügbaren Bordnetzes in Verbindung stehen, stellt sich nun die Frage, inwieweit konventionelle Bordnetzlösungen diesem erweiterten Basisanforderungskatalog gerecht werden können.

Die Schmelzsicherung ist eine (zu) einfache Lösung
Die bisher zur Absicherung von Verbrauchern des Versorgungsbordnetzes standardmäßig eingesetzte Schmelzsicherung tangiert alle vier Basisanforderungen. Zu frühes Auslösen (beispielsweise durch Alterung) tangiert Basisanforderung 1, also die Sicherstellung einer konstanten Versorgungsverfügbarkeit, zu spätes Auslösen Basisanforderung 2, den Schutz gegen thermische Vorfälle.

Bisher wenig betrachtet wurde das Verhältnis zu Basisanforderung drei, der Interferenzfreiheit: Zur Veranschaulichung dieses Zusammenhangs sind in Bild 2 die Eigenschaften und die Auswirkung eines Kurzschlusses in Matrizenschreibweise dargestellt, im aufgeführten Beispiel für eine 80 A Maxi-Sicherung:

Bild 1: Matrix zur Berechnung des relativen Spannungsabfalls in Batterie und Hauptversorgung bei hartem Kurzschluss hinter einer 80 A Maxi Sicherung.

In Bild 2 ist zu erkennen, dass wegen der thermischen Trägheit der Sicherung für 100 ms Spannungseinbrüche im Versorgungsbordnetz um 7 bis 11 V auftreten können. Solch ein Spannungseinbruch in der Hauptversorgungsebene zieht erhebliche Rückwirkungen nach sich. So werden alle spannungssensitiven Verbraucher gleichzeitig ausfallen, es sei denn, diese besitzen eine redundante Versorgung aus einer sekundären Quelle und der Spannungsabfall in der primären Versorgung wird durch ein zusätzliches, sehr schnelles Schaltelement (MOSFET) von der primären Quelle entkoppelt.

Bild 2: Die 100 A Sicherung kann den Kurzschluss an der sekundären Versorgung der Lenkung nicht rückwirkungsfrei trennen. Die Sensoren 1 bis n fallen gleichzeitig aus.  

Wurde bisher die Rückwirkung der Sicherungsfunktion auf eine Batterie betrachtet, so verschärft sich dieser Effekt, wenn die speisende Quelle zum Beispiel ein DC/DC-Wandler ohne große leistungsstarker Batterie im Ausgangskreis ist, welches beispielsweise im 48 V Spannungsbordnetz der Fall sein kann. Ein DC/DC-Wandler ist typischerweise nicht in der Lage, den zum Auslösen einer großen Sicherung notwendigen Kurzschlussstrom zu liefern, es sei denn, dieser wird mit negativer Kostenimplikation überdimensioniert.  

Es bleibt festzuhalten, dass die konventionelle Schmelzsicherung der Basisanforderung der rückwirkungsfreien (interferenzfreien) Isolation von Fehlern, zumindest für hohe Sicherungswerte, nicht gerecht werden kann. Dies hat erheblichen Einfluss auf mögliche Architekturansätze des Energieversorgungsbordnetzes.

Konzepte mit konventionellen Schmelzsicherungen sind zudem bezüglich Basisanforderung 4, der Diagnoseabdeckung, schlecht aufgestellt. Bisher bekannte Diagnosen beschränken sich darauf zu erkennen, ob eine Schmelzsicherung ausgelöst hat oder nicht. Ob eine Schmelzsicherung unter Impulslasten gealtert ist oder ob sich wegen thermischer Beanspruchung die Auslösekennlinie verschoben hat und damit die Auslösung kurz bevorsteht, ist aktuell technisch nicht diagnostizierbar.

Redundante Versorgung als Allerheilmittel?!
Geht man von dem folgenden Szenario aus:

  • Eine FUSI Funktion bestehe aus n Modulen (Unterfunktionen), deren Versagen jeweils zur Verletzung des Sicherheitsziels führt
  • Die n Module seine  jeweils redundant über zwei einzeln abgesicherte Pfade mit zwei unabhängigen Quellen verbunden

So sei die folgende Hypothese formuliert:                                                           

Werden beide redundanten Versorgungspfade der n Module jeweils mit Schmelzsicherungen abgesichert, so kann das System keine funktionale Sicherheit gemäß ASIL D (oder C) bieten.

Begründung: Ein Totalausfall eines Moduls und/oder größerer Kurzschluss (beide Versorgungspfade beeinträchtigt) kann zum Ausfall aller Module führen (Common Cause Fehler), da keine rückwirkungsfreie Trennung des Fehlers auf beiden Pfaden erfolgen kann.

Hier muss also über alternative und diverse Absicherungskonzepte nachgedacht werden, insbesondere über elektronische Absicherung mit definierter, geringer Wechselwirkung im Energiebordnetz!

Autor

Dipl.Ing. Michael Wortberg

Diese Veranstaltungen könnten Sie auch interessieren

Conference
in English
2. International VDI Conference - Charging Infrastructure for Electromobility

06.11. - 07.11.2019
Amsterdam

This conference will engage with the challenges presented by the needs of electric vehicles and how to intelligently build up the charging infrastructure to run them.

Informieren & Buchen

Der für Sie ausgewählte Bereich

  • Automobil
    IT-Security