Funktionale Sicherheit Eine ganze Branche unter Strom

Steuergerät im Portfolio trägt maßgeblich zur Systemsicherheit bei.
Steuergeräte im Portfolio tragen maßgeblich zur Systemsicherheit bei.

Um sicherere und zuverlässigere Fahrzeuge zu entwickeln, ist mit der Norm ISO 26262 für den Automobil-Bereich ein eigener Standard in Kraft getreten, der alle Aktivitäten zur Entwicklung sicherheitsrelevanter E/E-Systeme im Fahrzeug umfasst. Für den elektromechanischen Antriebsstrang hat die TTTech Automotive GmbH nach ISO 26262 entwickelte Steuergeräte im Portfolio und trägt somit maßgeblich zur Systemsicherheit bei.

Mit der Veröffentlichung eines großen Teils von ISO 26262 ist im November 2011 in der Automobilindustrie eine verbindliche Norm für sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen in Kraft getreten. Sie definiert die Funktionssicherheit dieser Systeme anwendungsgerecht für den Fahrzeug-Lebenszyklus und wurde im Zuge ihrer Entstehung zunächst auf Pkw und leichte Nutzfahrzeuge bis 3,5 t Gesamtgewicht eingeschränkt. Die Norm ist von der IEC 61508 abgeleitet und berücksichtigt den von Industrieanlagen abweichenden Sicherheitslebenszyklus sowie die Tatsache, dass sicherheitsrelevante und nicht sicherheitsrelevante Funktionen im Automobilbereich oft ineinandergreifen und sich daher nicht einfach voneinander abgrenzen lassen.

Für die Gültigkeit der ISO 26262 gibt es eine jeweils dreijährige „Freeze“-Frist, so dass frühestens im November 2014 eine neue Version andiskutiert werden wird. Unterdessen jedoch wird bereits umfassend an der Adaption der Norm für weitere Fahrzeugbereiche, wie etwa Motorräder, aber auch Nutzfahrzeuge und Busse, gearbeitet. Namhafte Nutzfahrzeug-Hersteller gehen inzwischen von einer Einführung bis 2016 aus.

Nicht nur diese Veränderung, sondern auch eine weitere Tendenz wird die Anforderungen in puncto Sicherheit im Nutzfahrzeug-Bereich in den kommenden Jahren weiter erhöhen: Die deutlich zunehmende Elektrifizierung von Antrieben bei Bussen und Verteiler-Lkw im Kommunalbereich, die vor allem bei niedrigen Tageskilometerleistungen sinnvoll ist.

TTTech Automotive GmbH, eine Tochtergesellschaft der TTTech Computertechnik AG, verfügt über ein Portfolio an generischen und kundenspezifischen Steuergeräten zur Überwachung und Regelung elektromechanischer Antriebsstränge für Pkw, Nutzfahrzeuge und Spezialfahrzeuge. Steuergeräte und Systemlösungen der TTTech Automotive GmbH finden bereits heute in verschiedenen Projekten Verwendung und stellen dort ihre Funktion und Robustheit unter Beweis. Das Leistungsspektrum des Unternehmens umfasst außerdem noch die Unterstützung des Kunden in allen Belangen, die ISO 26262 betreffend, sowie im Bedarfsfall die Abstimmung mit Zertifizierungsbehörden.

ASIL-C-Sicherheitsmodul für E-Antriebe

Mit der Elektrifizierung des Antriebsstrangs im Kfz ergeben sich zahlreiche neue Herausforderungen im Bereich der Systemsicherheit. Das sei kurz an einem Beispiel näher erläutert.

Einerseits sind eine ganze Reihe neuer elektrischer und elektronischer Komponenten im Einsatz, die beachtliche Leistungen auf die Antriebsräder übertragen. Dazu zählt zum Beispiel der Umrichter, der mit Mikrosekunden-schnellen Schaltvorgängen die Spannung einer Hochvolt-Batterie auf die Phasen eines Elektromotors schaltet. Das dadurch erzeugte Drehmoment ließe sich prinzipiell in jeder Fahrsituation mit bisher nicht gekannter Dynamik zwischen maximalem Vortrieb und extremer Verzögerung umschalten. Andererseits gilt es neue potenzielle Fehlerfälle zu vermeiden sowie deren Auswirkung zu minimieren, so dass sie für den Fahrer beherrschbar werden.

Bei einem zweimotorigen Antrieb an einer Achse ohne mechanisches Differenzial ist es möglich, gezielt unterschiedliche Momente am linken und rechten Antriebsrad zu erzeugen – das sogenannte Torque Vectoring. Das verbessert die Querdynamik bei Kurvenfahrten und kann zur Stabilisierung eingesetzt werden. Allerdings kann im Fehlerfall eine ungünstige Momentenverteilung zu für den Fahrer unbeherrschbaren Fahrsituationen führen. Wegen der meist nicht vorhandenen Möglichkeit einer mechanischen Kraftflussunterbrechung ist das vom Elektromotor generierte Moment sowohl bei ein- als auch zweimotorigen Antrieben die entscheidende Führungsgröße für die Formulierung der Sicherheitsziele des elektrischen Antriebsstrangs. Finden die in ISO 26262 definierten Prozesse auf den elektrischen Antriebsstrang eines Elektro- oder Hybridfahrzeugs Anwendung, so folgen daraus ganz konkrete Anforderungen an die Auslegung des Systems. So muss eine sicherheitsrelevante Momentenabweichung, beispielsweise die ungewollte Beschleunigung oder Verzögerung des Fahrzeugs bei einem einmotorigen Antrieb mit dem „Automotive Safety Integrity Level“ (ASIL) C, verhindert werden – bei einem zweimotorigen Antrieb (wegen der Auswirkung auf die Querdynamik) mit dem höchsten Integritäts-Level ASIL D. Um ISO 26262 zu erfüllen, muss die Einhaltung der Sicherheitsziele auch im Fehlerfall gewährleistet sein.

Das von TTTech Automotive entwickelte „Safety Control Module“ (SCM) ist ein unabhängiges, für den Motorenbau konzipiertes und im Fahrzeug bereits in Serie befindliches Sicherheitsmodul, welches durch Auswertung der elektrischen Signale direkt an den Motorphasen das vom Elektromotor erzeugte Moment misst und bei einer sicherheitsrelevanten Momentenabweichung den sicheren Zustand herstellt. Das SCM verfügt daher über mehrere Abschaltpfade, die in jedem Fahrzyklus auf ihre Wirksamkeit hin überprüft werden. Ausgeklügelte Diagnosemechanismen sowie eine robuste und im Fahrbetrieb erprobte Parametrierung lassen sich an verschiedene Elektromotortypen, aber auch für Asynchronmaschinen, anpassen. Die leistungsstarke „Dualcore Lockstep CPU“ im SCM garantiert nicht nur eine sichere Ausführung für die Sicherheitsfunktionen (derzeit ASIL C – künftig bis ASIL D), sondern bietet auch das Potenzial für kundenspezifische Erweiterungen in der Zukunft (zum Beispiel Momentenkoordinator). Auch die Einbindung von Software-Modulen unterschiedlicher Hersteller und mit unterschiedlichen Sicherheitsanforderungen ist durch die Kombination von AUTOSAR-Basis-Software und von TTTech Automotive entwickelten Safety-Software-Erweiterungen möglich, weil die „Freedom from Interference“ gemäß ISO 26262 gewährleistet ist.