Engineering Bordnetz: Neue Sicherheitsanforderungen durch hochautomatisiertes Fahren

Ein Gastbeitrag von Leoni

Anbieter zum Thema

Gleich mehrere technische Trends sorgen dafür, dass Bordnetze für Fahrzeuge neu konzipiert werden müssen. Was dabei beachtet werden muss und ob es eine Plattform-Architektur geben kann.

Konventionelle Energiebordnetzarchitektur.
Konventionelle Energiebordnetzarchitektur.
(Bild: Leoni)

Das Bordnetz wird momentan neu bewertet, getrieben durch neue Sicherheitsanforderungen, den Versuch Gewicht zu sparen (geringere CO2-Emissionen) oder neue Fahr- und Komfortfunktionen wie Fahrerassistenzsysteme. Einige Komponenten entfallen und neue kommen hinzu (z. B. moderne Batterietechnik oder der Einsatz von DC/DC-Wandlern anstelle des konventionellen Generators). Interessant ist vor allem, wie sich dadurch das Energiebordnetzes verändert und wie damit umzugehen ist.

Eine komplexer werdende Verkabelung und die neue Komponenten zur Energieverteilung beeinflussen den Aufbau des Energiebordnetzes. Daneben müssen auch auf dieser Ebene Sicherheitskonzepte neu erstellt bzw. bewertet werden. Die Funktionale Sicherheit und die daraus abgeleiteten Anforderungen sind ein entscheidender Faktor bei der Evolution und Weiterentwicklung des Energiebordnetzes.

ISO 26262 als Grundlage

Heutzutage sind beispielsweise Licht, Wischer, Bremse oder Lenkunterstützung als sicherheitsrelevant einzustufen. Damit muss die Energieversorgung dieser Systeme und Komponenten sichergestellt werden. Als Grundlage wird die ISO 26262:2018 verwendet. Diese stellt des Weiteren klare Anforderungen an die Definition und Umsetzung sicherheitsrelevanter Fahrfunktionen. So gibt sie unter anderem vor, dass nicht-sicherheitsrelevante Fahrfunktionen keinen Einfluss auf sicherheitsrelevante Funktionen haben dürfen. Falls ein negativer Einfluss nicht ausgeschlossen werden kann, müssen Mechanismen vorgesehen werden, die die Rückwirkungsfreiheit gewährleisten.

Betrachtet man nun automatisierte Fahrfunktionen, so resultieren je nach SAE-Level des Fahrzeugs und je nach Anwendungsfall (Operational Design Domain) deutlich gestiegene Anforderungen an die Verfügbarkeit von gewissen Funktionen. So wird zum Beispiel ein sicherer Betrieb teilweise auch nach dem Auftreten eines ersten Fehlers notwendig. Je nach Architektur und Gesamtkonzept können oder müssen diese Anforderungen auf das Energiebordnetz übertragen werden.

Projektgruppe „Energiebordnetze“ beim VDA

Um ein gemeinsames Verständnis für die kommenden Herausforderungen und zu erfüllenden Anforderungen zu entwickeln, wurde die Projektgruppe VDA 450 „Energiebordnetze für hochautomatisiertes Fahren“ ins Leben gerufen, an der OEMs und Zulieferer beteiligt sind. Ziel ist es, ein generisches Sicherheitskonzept zu entwickeln, die Sicherheitsanforderungen abzuleiten und auf Systemelemente bereitzustellen. Eine Empfehlung der Arbeitsgruppe wird für das dritte Quartal 2022 erwartet.

Die aktiven und passiven Komponenten im Energiebordnetz müssen jeweils diese Anforderungen erfüllen. Daher sind die Fehlermodi für zufällige und systematische Fehler dieser Komponenten in den Sicherheitsbetrachtungen mit zu berücksichtigen.

Zur Vermeidung der systematischen Fehler müssen die Anforderungen der ISO 26262:2018 erfüllt werden, sowie die Fehlermodi im Design, Produktentstehungs- und Fertigungsprozesse verifizierbar identifiziert und mit einbezogen werden.

Kurzschluss als häufigster Fehlerfall

Die zufälligen Hardwarefehler der Energiebordnetzkomponenten müssen identifiziert, analysiert und deren Auswirkung bewertet werden. Das Resultat wird in den geforderten Metriken der ISO 26262:2018 der jeweiligen Fahrzeugfunktion mit einbezogen.

Einer der wohl bekanntesten Fehlerfälle, der eine direkte Rückwirkung auf andere Sicherheits-Anforderungen haben kann, ist der elektrische Kurzschluss einer Leitung bzw. einer Komponente gegen Fahrzeugmasse. Daraus kann eine kritische Unterspannung für eine bestimmte Zeit im kompletten Energiebordnetz resultieren, was einen Funktionsausfall aller sicherheitsrelevanter Komponenten zur Folge haben könnte. In vielen Fahrzeugen sind nach dem Stand der Technik Schmelzsicherungen verbaut, um die Leitung vor Brand oder Ähnlichem zu schützen. Problematisch kann es jedoch werden, wenn die Schmelzsicherung nicht schnell genug auslöst bzw. das Energiebordnetz nicht passend ausgelegt ist, um den kritischen Spannungseinbruch zu unterbinden.

Passiert dies während eines energieaufwändigen Fahrmanövers, kann im Extremfall ein Total-Ausfall des elektrischen Bordnetzes resultieren, was wiederum zu schwerwiegenden Folgen führen kann. Ob es zu solch einem Szenario kommen kann, hängt von vielen Faktoren ab und muss abhängig von der Fahrzeugarchitektur bewertet werden.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Halbleiter statt Schmelzsicherung

Einige Fahrzeughersteller verbauen für diese bekannten Fehlerfälle Halbleiter, die innerhalb von Millisekunden den Energiezufluss zu einem Kurzschluss verhindern können und dadurch das Bordnetz stabil halten. In manchen Architekturen sind 14 Halbleiter verbaut, es gibt aber Bordnetze die komplett ohne Schmelzsicherungen konzipiert sind.

Durch unter anderem solche zusätzlichen Mechanismen lassen sich zonale Architekturen leichter umsetzen, da der Einfluss sicherheitsrelevanter Komponenten aufeinander und der Einfluss nicht-sicherheitsrelevanter auf sicherheitsrelevante Komponenten lokal unterbunden werden kann.

Individueller Ansatz

Allerdings führen diese zusätzlichen Mechanismen zu steigenden Kosten und machen Neubewertungen bestehender „proven-in-use“ Argumente notwendig. Entwickler von Bordnetzen müssen darüber nachdenken, an welchen Stellen solche Mechanismen nötig sind bzw. ob konventionelle Lösungsansätze diese Aufgabe nicht auch weiterhin zuverlässig erfüllen können.

Eine Bordnetz-Plattform, die über mehrere Modellreihen und Varianten genutzt werden kann, wäre sinnvoll. Damit könnten die spezifischen Wünsche der OEMs über den gesamten Lebenszyklus des Fahrzeugs erfüllt werden. Doch das ist aufgrund der Ausstattungen und der verschiedenen Komponenten im Fahrzeug selbst nur schwer möglich. Die Infrastruktur eines Fahrzeugs muss also weiterhin individuell betrachtet werden. (sp)

(ID:48398205)