专利汇可以提供SICHERHEITSARCHITEKTUR, BATTERIE SOWIE EIN KRAFTFAHRZEUG MIT EINER ENTSPRECHENDEN BATTERIE专利检索,专利查询,专利分析的服务。并且The invention relates to security architecture, a battery and a motor vehicle having a corresponding battery which can in particular be used to combine battery packs of a lower security integrity level into a battery system having a higher security integrity level. According to the invention, there is a security architecture for at least two batteries, wherein each battery comprises at least one electrochemical cell (102). The at least two batteries are each combined with at least one data processing unit to form a respective module. The security architecture according to the invention is configured such that input signals of at least one second module are processed by the at least one data processing unit of at least one first module.,下面是SICHERHEITSARCHITEKTUR, BATTERIE SOWIE EIN KRAFTFAHRZEUG MIT EINER ENTSPRECHENDEN BATTERIE专利的具体信息内容。
Beschreibung
Titel
Sicherheitsarchitektur, Batterie sowie ein Kraftfahrzeug mit einer entsprechenden Batterie
Die vorliegende Erfindung betrifft eine Sicherheitsarchitektur, eine Batterie sowie ein Kraftfahrzeug mit einer entsprechenden Batterie, welche insbesondere einsetzbar sind, um Batteriepacks eines geringeren Sicherheitsintegritätslevels zu einem Batteriesystem mit einem höheren Sicherheitsintegritätslevel zu kombinieren.
Stand der Technik Für die Energieversorgung von elektrischen Antrieben in Elektro- und
Hybridfahrzeugen werden häufig Hochvolt-Lithium-Ionen-Batterien eingesetzt. Diese Batterien weisen durch ihre Chemie ein Gefährdungspotential auf. So kann es beispielsweise bei einer Überschreitung von Betriebsgrenzen zu einem Batteriebrand oder zum Austritt von gefährlichen chemischen Substanzen kommen.
Sicherheitsrelevante Betriebsgrenzen sind beispielsweise:
- obere Schwelle für die Ladung (Spannung) einer Batteriezelle,
- untere Schwelle für die Ladung (Spannung) einer Batteriezelle,
- obere Schwelle für die Temperatur einer Batteriezelle,
- obere Schwelle für den Ladestrom einer Batterie (temperaturabhängig).
Die Ladung und die Entladung einer Batterie werden durch ein
Batteriemanagementsystem (BS) so geregelt, dass die Sicherheit unter gegebenen Anforderungen gewährleistet wird. Hierfür müssen die Sensorik, die Logik und die Aktuatorik entsprechend den Sicherheitsanforderungen bzw. dem Sicherheitsintegritätslevel (AS IL [= Automotive Safety Integrity Level] der ISO 26262) ausgelegt sein. Eine Überschreitung der Betriebsgrenzen wird üblicherweise durch Überwachungsfunktionen z. B. in der zentralen Logik überwacht.
Für Hybridfahrzeuge werden häufig nur kleinere Batterien benötigt. Aufgrund des geringeren Energieinhalts müssen diese unter Umständen nur einem geringen ASIL B genügen.
Batterien für Elektrofahrzeuge müssen hingegen aufgrund ihres höheren
Gefährdungspotentials einem höheren ASIL C oder D genügen. Das hat oft große Auswirkungen auf die Softwareprozesse und die Hardwarestruktur. Das ist insbesondere deshalb nachteilig, weil aus diesem Grunde herkömmlicherweise in Abhängigkeit der Sicherheitsanforderungen verschiedene Batteriesysteme eingesetzt werden mussten.
Offenbarung der Erfindung Erfindungsgemäß ist daher eine Sicherheitsarchitektur für mindestens zwei
Batterien vorgesehen, wobei es die Sicherheitsarchitektur ermöglicht, zwischen einem ASIL-B-Modus und einem ASIL-C- bzw. -D-Modus umzuschalten. Die Batterien umfassen jeweils zumindest eine elektro-chemische Zelle. Darüber hinaus ist zumindest ein Teil der Batterien mit mindestens einer
Datenverarbeitungseinheit, z. B. einer Logik, kombiniert. Die mindestens eine
Datenverarbeitungseinheit und die mit ihr kombinierte Batterie bilden ein Modul. Die Datenverarbeitungseinheit ist vorzugsweise Teil eines BMS.
Erfindungsgemäß ist die Sicherheitsarchitektur derart eingerichtet, dass durch die mindestens eine Datenverarbeitungseinheit mindestens eines ersten Moduls
Eingangssignale mindestens eines zweiten Moduls verarbeitet werden. Ein besonderer Vorteil einer solchen Sicherheitsarchitektur besteht darin, dass die Eingangssignale redundant überwacht werden können, selbst wenn die einzelnen Module lediglich einer geringen Sicherheitsanforderung, wie z. B. ASIL B, genügen. Vorzugsweise lässt sich in einem Batteriesystem mit mindestens zwei Modulen zwischen verschiedenen Sicherheitsanforderungen umschalten.
Als vorteilhaft erweist es sich, wenn die Eingangssignale des mindestens einen zweiten Moduls dem mindestens einen ersten Modul über einen Bus von einem Sensor des mindestens einen zweiten Moduls oder über eine CAN-Verbindung (CAN = Controlle Area Network) zwischen dem mindestens einen ersten und zweiten Modul bereitgestellt werden.
In einer bevorzugten Ausführungsform der Erfindung ist vorgesehen, dass ein Abschaltpfad, insbesondere eine Aktuatorik, eines Moduls durch
Ausgangssignale eines anderen Moduls aktivierbar ist. Dadurch wird
vorteilhafterweise erreicht, dass die Aktuatorik ausreichend redundant ausgelegt ist.
In einer anderen bevorzugten Ausführungsform der Erfindung ist vorgesehen, dass eine Auswertung der Eingangssignale durch redundante
Datenverarbeitungseinheiten erfolgt. Ein besonderer Vorteil dieser
Ausführungsform besteht darin, dass ein hoher ASIL bezüglich
Sicherheitsfunktionen, beispielsweise bei der Überwachung von Schwellwerten, gewährleistet wird.
Eine weitere bevorzugte Ausführungsform sieht vor, dass die
Sicherheitsarchitektur derart eingerichtet ist, dass ein Modul Eingangssignale aller anderen Module erhält und diese redundant auswertet. Mit dieser
Ausgestaltung wird vorteilhafterweise erreicht, dass die Sicherheitsarchitektur als Master-Slave-Architektur aufgebaut ist. Hierbei erweist es sich als vorteilhaft, wenn ein Modul als Master-Modul eingesetzt wird. Das Master-Modul empfängt in einer bevorzugten Ausführungsform die Sensorsignale aller anderen Module (Slave-Module). Der besondere Vorteil einer Master-Slave-Architektur besteht insbesondere darin, dass eine Auswertung der Eingangssignale durch redundante Datenverarbeitungseinheiten erfolgt.
Noch eine andere bevorzugte Ausführungsform sieht vor, dass bei der
Übertragung der Eingangssignale von dem mindestens einen zweiten Modul zu dem mindestens einen ersten Modul die Datenverarbeitungseinheit des mindestens einen zweiten Moduls als„Gateway" wirkt. Als vorteilhaft erweist es sich, wenn durch geeignete Maßnahmen sichergestellt wird, dass die
Eingangssignale nicht oder nicht unerkannt manipuliert werden können. Als vorteilhaft erweist es sich auch, wenn zur Plausibilisierung eines Stromwerts eines ersten Moduls ein Stromwert des Stromsensors mindestens eines zweiten Moduls als Redundanzwert dient. Dadurch ist es auch bei höherer
Sicherheitsanforderung nicht erforderlich, die Module mit mehreren
Stromsensoren auszustatten, um die vorgeschriebene Redundanz zu erreichen. Bei geringer Sicherheitsanforderung wird vorzugsweise der Stromsensor einzeln plausibilisiert, bei höherer Sicherheitsanforderung dient ein Stromwert des mindestens einen zweiten Moduls als Redundanzwert.
Eine weitere bevorzugte Ausführungsform sieht vor, dass die
Sicherheitsarchitektur derart eingerichtet ist, dass von dem mindestens einen zweiten Modul Minimal- und/oder Maximalwerte von Sensoren als
Plausibilitätswerte übertragen werden. Vorzugsweise wird das durch einen zusätzlichen Logikbaustein in der Sensorlogik des mindestens einen zweiten Moduls umgesetzt. Die Minimal- und/oder Maximalwerte werden in dieser Ausführungsform als Plausibilitätswerte ausgewertet.
In noch einer anderen bevorzugten Ausführungsform ist vorgesehen, dass zumindest ein Teil der Sensoren in zumindest einem Teil der Module redundant vorhanden ist und ein Signalweg eines Sensors durch ein erstes Modul und ein Signalweg eines redundant vorhandenen Sensors durch ein zweites Modul ausgewertet wird. Als vorteilhaft erweist es sich hierbei, dass die Signale der in einem ersten Modul redundant vorhandenen Sensoren durch zwei verschiedene Module ausgewertet werden.
Eine andere bevorzugte Ausführungsform sieht vor, dass jedes Modul genau eine Aktuatorik umfasst und die Redundanz der Aktuatorik dadurch erreicht wird, dass die Aktuatorik des mindestens einen zweiten Moduls durch
Ausgangssignale des mindestens einen ersten Moduls ansteuerbar ist. Dies ist insbesondere deshalb von Vorteil, da durch die Kombination der Aktuatoriken der mindestens einen ersten und zweiten Module die erforderliche Redundanz erreicht wird, ohne dass jedes einzelne Modul mit einer redundanten Aktuatorik ausgestattet sein muss.
Ein weiterer Aspekt der Erfindung betrifft eine Batterie, die mit einer
Sicherheitsarchitektur kombiniert ist, wobei die Sicherheitsarchitektur derart eingerichtet ist, dass durch die mindestens eine Datenverarbeitungseinheit mindestens eines ersten Moduls Eingangssignale mindestens eines zweiten Moduls verarbeitet werden. Vorzugsweise handelt es sich bei der Batterie um eine Lithium-Ionen-Batterie oder die Batterie umfasst elektrochemische Zellen, die als Lithium-Ionen-Batteriezellen ausgebildet sind.
Ein anderer Aspekt der Erfindung betrifft ein Kraftfahrzeug mit einem elektrischen Antriebsmotor zum Antreiben des Kraftfahrzeugs und einer mit dem elektrischen Antriebsmotor verbundenen oder verbindbaren Batterie gemäß dem im voranstehenden Absatz beschriebenen Erfindungsaspekt. Die Batterie ist jedoch nicht auf einen solchen Einsatzzweck eingeschränkt, sondern kann auch in anderen elektrischen Systemen eingesetzt werden.
Durch die Erfindung wird eine Erweiterung der Sicherheitsarchitektur realisiert, bei der zwei oder mehr Batteriepacks, das heißt Batterien mit BMS, mit geringer
Sicherheitsanforderung, wie etwa ASIL B, zu einem Batteriesystem mit höherer Sicherheitsanforderung, wie etwa ASIL C oder D, kombiniert werden. Das hat insbesondere den Vorteil, dass mit den gleichen Modulen Systeme mit verschiedenem ASIL aufgebaut werden können, ohne die Architektur der Grundmodule für jeden ASIL variieren zu müssen.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben und in der Beschreibung beschrieben. Zeichnungen
Ausführungsbeispiele der Erfindung werden anhand der Zeichnungen und der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Figur 1 eine Sicherheitskette für eine Batterie, Figur 2 eine Veranschaulichung einer beispielhaften Kombination zweier
ASIL-B-Module zu einem ASIL-C- bzw. ASIL-D-Modul,
Figur 3 eine Veranschaulichung einer beispielhaften Kombination zweier
ASIL-B-Module mit redundanter Sensorik zu einem ASIL-C- bzw. ASIL-D-Modul, und
Figur 4 eine als Master-Slave-Architektur realisierte Sicherheitsarchitektur. Ausführungsformen der Erfindung
Nachfolgend soll die Erfindung anhand von Grundmodulen, die dem
Sicherheitsintegritätslevel ASIL B genügen, in größerem Detail beschrieben werden. Das Ausführungsbeispiel beschreibt die Erfindung anhand einer beispielhaften Kombination 200 zweier ASIL-B-Module zu einem ASIL-C- bzw. ASIL-D-Modul. Dabei ist die Erfindung nicht auf diese spezielle
Sicherheitsanforderung eingeschränkt.
Im Folgenden wird vorausgesetzt, dass eine Sicherheitskette 100 mit Hard- und Software existiert, bestehend zumindest aus elektro-chemischen Zellen 102, mindestens einem Sensor 104, mindestens einer Logik 106 und mindestens einem Aktor 108, wobei die Sicherheitskette 100 ASIL B genügt (vgl. Figur 1 ).
Software-Sicherheitsarchitektur
Die Software-Sicherheitsarchitektur der beispielhaften Ausführungsform ermöglicht es, zwischen dem ASIL-B-Modus und dem ASIL-C- bzw. -D-Modus umzuschalten. Im Falle des höheren ASIL-Modus müssen im ersten Grundmodul 202 zusätzlich die Eingangssignale des zweiten Grundmoduls 204 verarbeitet bzw. überwacht werden. Zudem ist es von Vorteil, wenn der Abschaltpfad des zweiten Grundmoduls 204 über dessen Aktuatorik über Ausgänge des ersten Grundmoduls 202 aktiviert werden kann. Hardware-Architektur Sensorik
In Figur 2 ist eine Veranschaulichung einer beispielhaften Kombination zweier ASIL-B-Module zu einem ASIL-C- bzw. ASIL-D-Modul wiedergegeben. Das erste Grundmodul 202 muss die Sensorsignale des zweiten Grundmoduls 204 einlesen können. Das kann entweder über einen zweiten Bus vom Sensor 214 des zweiten Grundmoduls 204 oder z. B. über die CAN-Verbindung zwischen beiden Grundmodulen 202, 204 erfolgen, wobei die Logik 216 des zweiten Grundmoduls 204 als„Gateway" fungiert. In einer bevorzugten Ausführungsform ist vorgesehen, dass durch zusätzliche Maßnahmen abgesichert wird, dass dieses„Gateway" die Signale nicht unerkannt verfälschen kann.
Für die Strommessung hat eine solche Kombination der beiden Grundmodule 202, 204 den Vorteil, dass ein Stromsensor pro Grundmodul 202, 204 ausreicht. Für ASIL B wird jeder Sensor 104, 214 einzeln plausibilisiert, für ASIL C oder ASIL D dient der Stromwert des zweiten Grundmoduls 204 als Redundanzwert.
Für die Spannungsmessung ist in einer beispielhaften Ausführungsform ebenfalls eine reduzierte Version vorgesehen, bei der nicht alle Zellspannungen vom ersten Grundmodul 202 an das zweite Grundmodul 204 übertragen werden, sondern z. B. über einen zusätzlichen Baustein in der Sensorlogik des zweiten Grundmoduls 204 nur die Minimal- und Maximalwerte der Spannungen (oder anderer Messwerte) übertragen werden. Diese werden dann anstelle einer vollständigen Redundanz als Plausibilitätswerte über die redundante Logik 106 des ersten Grundmoduls 202 überwacht.
Für die Spannungs- und Temperaturmessung wäre auch eine erweiterte Version denkbar, bei der die Sensorik 304, 314 (CSC = Cell Supervisor Circuit) redundant vorhanden ist, wie in Figur 3 wiedergegeben. Bei dieser beispielhaften
Ausführungsform wird je ein Signalweg 318, 320, 322, 324 von dem ersten Grundmodul 202 und dem zweiten Grundmodul 204 ausgewertet. Logik
Die Auswertung der Signale erfolgt über redundante Logiken 106, 216. Damit ist ein hoher ASIL bezüglich der Sicherheitsfunktionen, beispielsweise bei der Überwachung auf Überschreitungen von Schwellwerten, möglich.
Grundsätzlich ist dabei eine Master-Slave-Architektur 400 denkbar, bei der eine von n Logiken als Master 416 arbeitet, der die redundante Auswertung der Sensorsignale von zumindest einem Teil, vorzugsweise aber von allen anderen Slaves 406 durchführt (vgl. Figur 4). Zumindest bei der als Master 416 arbeitenden Logik kann es sich um ein Steuergerät handeln.
Bei dieser beispielhaften Ausführungsform erfolgt eine Abschaltung direkt über ein oder mehrere Aktoren 408 oder zusätzlich über eine Abschaltanforderung an die Slaves 406 über einen verbindenden Kommunikationsbus.
Aktuatorik
Für die Gewährleistung eines hohen ASIL bei der Aktuatorik (Abschaltung über Hauptschütze) muss diese ausreichend redundant ausgelegt sein und/oder deren Funktionalität über Diagnosen abgesichert werden. Das kann z. B. mittels eines Abschaltpfadtests realisiert werden, wie bei EGAS-Systemen (EGAS = Elektronisches Gaspedal).
Wenn die Abschaltung aus dem ersten Grundmodul 202 auch die Aktuatorik (Hauptschütze) des zweiten Grundmoduls 204 ansteuern kann, ist in einer bevorzugten Ausführungsform vorgesehen, dass je nach Ausfallrate der Aktuatorik diese je Grundmodul 202, 204 auf ein Hauptschütz reduziert wird. Für ASIL B kann ein Hauptschütz ausreichend sein, was zu einer Kostenreduktion führen würde. Für ASIL C und D wären dann jedoch bei Kombination zweier Grundmodule 202, 204 zwei Hauptschütze verfügbar, womit eine Redundanz sichergestellt wird.
Die Erfindung beschränkt sich in ihrer Ausführungsform nicht auf die vorstehend angegebenen bevorzugten Ausführungsbeispiele. Vielmehr ist eine Anzahl von Varianten denkbar, die von der erfindungsgemäßen Sicherheitsarchitektur, der erfindungsgemäßen Batterie und dem erfindungsgemäßen Kraftfahrzeug auch bei grundsätzlich anders gearteten Ausführungen Gebrauch macht.
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种基于Web的移动瘦终端访问控制方法、系统及瘦终端 | 2020-05-08 | 736 |
数据网安全防护方法、装置、计算机设备和存储介质 | 2020-05-11 | 955 |
基于负载均衡的智能电力终端的多级管理系统及认证方法 | 2020-05-12 | 638 |
用于执行轨道车辆的紧急制动的制动设备和方法 | 2020-05-15 | 65 |
一种智能网联交通系统的固定路径服务系统 | 2020-05-11 | 614 |
一种高安全可信移动终端安全体系架构及安全服务方法 | 2020-05-11 | 113 |
用于防喷器控制的安全性完整性等级(SIL)评级系统 | 2020-05-14 | 621 |
泛在电力物联网环境下的用电信息安全传输步骤与方法 | 2020-05-13 | 438 |
一种智能照明系统及其安全设计方法 | 2020-05-13 | 974 |
一种应用于电力公司的调控智能网络化交互系统 | 2020-05-11 | 179 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。