DE102022002080B3 - Battery for a vehicle electrical system - Google Patents

Battery for a vehicle electrical system Download PDF

Info

Publication number
DE102022002080B3
DE102022002080B3 DE102022002080.7A DE102022002080A DE102022002080B3 DE 102022002080 B3 DE102022002080 B3 DE 102022002080B3 DE 102022002080 A DE102022002080 A DE 102022002080A DE 102022002080 B3 DE102022002080 B3 DE 102022002080B3
Authority
DE
Germany
Prior art keywords
protection switch
battery
microcontroller
microcontrollers
discharge protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102022002080.7A
Other languages
German (de)
Inventor
Stefan Ruehle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Mercedes Benz Group AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mercedes Benz Group AG filed Critical Mercedes Benz Group AG
Priority to DE102022002080.7A priority Critical patent/DE102022002080B3/en
Application granted granted Critical
Publication of DE102022002080B3 publication Critical patent/DE102022002080B3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H7/00Emergency protective circuit arrangements specially adapted for specific types of electric machines or apparatus or for sectionalised protection of cable or line systems, and effecting automatic switching in the event of an undesired change from normal working conditions
    • H02H7/18Emergency protective circuit arrangements specially adapted for specific types of electric machines or apparatus or for sectionalised protection of cable or line systems, and effecting automatic switching in the event of an undesired change from normal working conditions for batteries; for accumulators
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/05Details with means for increasing reliability, e.g. redundancy arrangements
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H5/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal non-electric working conditions with or without subsequent reconnection
    • H02H5/04Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal non-electric working conditions with or without subsequent reconnection responsive to abnormal temperature
    • H02H5/041Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal non-electric working conditions with or without subsequent reconnection responsive to abnormal temperature additionally responsive to excess current

Landscapes

  • Charge And Discharge Circuits For Batteries Or The Like (AREA)
  • Secondary Cells (AREA)

Abstract

Die Erfindung betrifft eine Batterie (6, 7), umfassend einen Zellenstapel (10) aus mehreren in Reihe geschalteten galvanischen Einzelzellen, der über einen Ladeschutzschalter (13) und einen Entladeschutzschalter (14) mit dem Bordnetz (21, 24) verbindbar ist, einen ersten Microcontroller (15) und einen zweiten Microcontroller (17), die voneinander unabhängig zur Überwachung von Daten einschließlich Strömen, Spannungen und Temperaturen des Zellenstapels (10) konfiguriert sind, wobei beide Microcontroller (15, 17) jeweils einen Aktivierungsausgang (CCB) für das Öffnen des Ladeschutzschalters (13) aufweisen, wobei beide Microcontroller (15, 17) jeweils einen Aktivierungsausgang (DCB) für das Öffnen des Entladeschutzschalters (14) aufweisen, wobei der zweite Microcontroller (17) unterschiedlich zum ersten Microcontroller (15) ausgebildet ist, wobei die Aktivierungsausgänge (CCB) für das Öffnen des Ladeschutzschalters (13) über ein ODER-Glied (18) logisch miteinander verknüpft und mit dem Ladeschutzschalter (13) verbunden sind, wobei die Aktivierungsausgänge (DCB) für das Öffnen des Entladeschutzschalters (14) über ein weiteres ODER-Glied (19) logisch miteinander verknüpft und zusätzlich über ein Verzögerungsglied (20) mit dem Entladeschutzschalter (14) verbunden sind, so dass dieser nach einer vorgegebenen Zeitverzögerung öffnet, wenn zumindest einer der beiden Microcontroller (15, 17) anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter (14) zu öffnen ist, wobei das Verzögerungsglied (20) über ein weiteres ODER-Glied (22) mit dem Entladeschutzschalter (14) verbunden ist, wobei die Aktivierungsausgänge (DCB) der beiden Microcontroller (15, 17) für das Öffnen des Entladeschutzschalters (14) ferner über ein UND-Glied (23) miteinander logisch verknüpft sind, dessen Ausgang ebenfalls auf das weitere ODER-Glied (22) gelegt ist, so dass der Entladeschutzschalter (14) entweder sofort öffnet, wenn beide Microcontroller (15, 17) anhand der von ihnen ermittelten Daten übereinstimmend entscheiden, dass der Entladeschutzschalter (14) zu öffnen ist, oder nach der vorgegebenen Zeitverzögerung öffnet, wenn nur einer der beiden Microcontroller (15, 17) anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter (14) zu öffnen ist.The invention relates to a battery (6, 7), comprising a cell stack (10) made up of several galvanic individual cells connected in series, which can be connected to the vehicle electrical system (21, 24) via a charging protection switch (13) and a discharging protection switch (14). first microcontroller (15) and a second microcontroller (17) independently configured to monitor data including currents, voltages and temperatures of the cell stack (10), both microcontrollers (15, 17) each having an enable output (CCB) for the Opening the charging protection switch (13), both microcontrollers (15, 17) each having an activation output (DCB) for opening the discharging protection switch (14), the second microcontroller (17) being designed differently from the first microcontroller (15), wherein the activation outputs (CCB) for opening the charging protection switch (13) are logically linked to one another via an OR element (18) and connected to the charging protection switch (13), the activation outputs (DCB) for opening the discharging protection switch (14) being connected via a another OR element (19) are logically linked with one another and additionally connected to the discharge protection switch (14) via a delay element (20), so that this opens after a specified time delay if at least one of the two microcontrollers (15, 17) based on the from The data determined by it decides that the discharge protection switch (14) is to be opened, with the delay element (20) being connected to the discharge protection switch (14) via a further OR element (22), with the activation outputs (DCB) of the two microcontrollers (15 , 17) for opening the discharge protection switch (14) are also logically linked to one another via an AND element (23), the output of which is also applied to the further OR element (22), so that the discharge protection switch (14) either opens immediately , if both microcontrollers (15, 17) decide based on the data they have determined that the discharge protection switch (14) is to be opened, or opens after the specified time delay if only one of the two microcontrollers (15, 17) based on the determined data decides that the discharge protection switch (14) is to be opened.

Description

Die Erfindung betrifft eine Batterie für ein Bordnetz eines Fahrzeugs gemäß dem Oberbegriff des Anspruchs 1.The invention relates to a battery for a vehicle electrical system according to the preamble of claim 1.

Hochautomatisierte Fahrfunktionen (beispielsweise Steer-by-Wire ohne mechanische Rückfallebene) fordern ein Bordnetz mit einer Leistungsbereitstellung mit ASIL D.Highly automated driving functions (e.g. steer-by-wire without a mechanical fallback level) require an on-board network with ASIL D power supply.

Dies ist eine sogenannte ASIL Anforderung auf Verfügbarkeit, die beispielsweise mit zwei redundanten Komponenten erreicht werden kann. Bei einer Dekomposition werden zwei möglichst unterschiedliche Umsetzungen der Leistungsbereitstellungsfunktion benötigt, denen beiden ASIL B(D) oder ASIL C(D) zugewiesen wird. Hierfür werden beispielsweise zwei unterschiedliche Komponenten verwendet. Es wird gefordert, dass die Batterie eines Bordnetzes für hochautomatisierte Fahrfunktionen sich selbst mit ASIL B vor gefährlichen Betriebszuständen sichert; gleichzeitig soll jedoch das Bordnetz mit ASIL B/C (D) sicher mit Leistung versorgt werden. Dies stellt einen Konflikt zweier gegenläufiger Sicherheitsziele dar.This is a so-called ASIL requirement for availability, which can be achieved with two redundant components, for example. In a decomposition, two implementations of the service provision function that are as different as possible are required, both of which are assigned ASIL B(D) or ASIL C(D). Two different components are used for this, for example. It is required that the battery of an on-board network for highly automated driving functions protects itself against dangerous operating states with ASIL B; at the same time, however, the vehicle electrical system should be reliably supplied with power with ASIL B/C (D). This represents a conflict between two conflicting security goals.

DE 10 2018 210 943 B4 beschreibt ein Bordnetz für ein Fahrzeug mit

  • - einem ersten Bordnetzteil und einem zweiten Bordnetzteil, wobei der zweite Bordnetzteil ein Hauptnetz und ein Redundanz-Netz aufweist,
  • - mit zumindest einem ersten sicherheitsrelevanten Verbraucher im Hauptnetz,
  • - mindestens einem zum ersten sicherheitsrelevanten Verbraucher redundanten zweiten sicherheitsrelevanten Verbraucher im Redundanz-Netz,
  • - einem ersten Trennelement zum Trennen des Hauptnetzes von dem Redundanz-Netz,
  • - einer Energieversorgung für die Verbraucher, die einen Gleichspannungswandler umfasst, der mit dem ersten Bordnetzteil und dem zweiten Bordnetzteil verbunden und im Redundanz-Netz angeordnet ist, so dass über den ersten Gleichspannungswandler eine Versorgung des Redundanz-Netzes mit elektrischer Energie sichergestellt ist, wenn dieses durch das erste Trennelement vom Hauptnetz getrennt ist, wobei
  • - im Hauptnetz nicht-sicherheitsrelevante Verbraucher angeordnet sind und das Hauptnetz ein erstes Unternetz und ein zweites Unternetz aufweist und zumindest ein Teil der nicht-sicherheitsrelevanten Verbraucher im ersten Unternetz angeordnet ist, wobei die beiden Unternetze durch ein zweites Trennelement voneinander trennbar sind und
  • - der zweite Bordnetzteil eine Bordnetzbatterie aufweist, die in dem ersten Unternetz angeordnet ist.
DE 10 2018 210 943 B4 describes a vehicle electrical system for a vehicle
  • - a first on-board power supply and a second on-board power supply, the second on-board power supply having a main network and a redundancy network,
  • - with at least one first safety-relevant consumer in the main network,
  • - at least one second safety-relevant consumer redundant to the first safety-relevant consumer in the redundancy network,
  • - a first separating element for separating the main network from the redundancy network,
  • - An energy supply for the consumers, which includes a DC-DC converter, which is connected to the first on-board power supply and the second on-board power supply and is arranged in the redundancy network, so that the first DC-DC converter ensures that the redundancy network is supplied with electrical energy when it is separated from the main network by the first isolating element, wherein
  • - non-safety-relevant loads are arranged in the main network and the main network has a first sub-network and a second sub-network and at least some of the non-safety-relevant loads are arranged in the first sub-network, with the two sub-networks being separable from one another by a second separating element and
  • - The second on-board power supply has an on-board power supply battery, which is arranged in the first sub-network.

DE 10 2011 076 757 A1 beschreibt eine Sicherheitsarchitektur, eine Batterie sowie ein Kraftfahrzeug mit einer entsprechenden Batterie, welche insbesondere einsetzbar sind, um Batteriepacks eines geringeren Sicherheitsintegritätslevels zu einem Batteriesystem mit einem höheren Sicherheitsintegritätslevel zu kombinieren. Hierfür ist eine Sicherheitsarchitektur für mindestens zwei Batterien vorgesehen, wobei jede Batterie jeweils mindestens eine elektro-chemische Zelle umfasst. Die mindestens zwei Batterien sind jeweils mit mindestens einer Datenverarbeitungseinheit zu jeweils einem Modul kombiniert. Die Sicherheitsarchitektur ist dabei derart eingerichtet, dass durch die mindestens eine Datenverarbeitungseinheit mindestens eines ersten Moduls Eingangssignale mindestens eines zweiten Moduls verarbeitet werden. DE 10 2011 076 757 A1 describes a safety architecture, a battery and a motor vehicle with a corresponding battery, which can be used in particular to combine battery packs with a lower safety integrity level into a battery system with a higher safety integrity level. A safety architecture for at least two batteries is provided for this purpose, with each battery comprising at least one electrochemical cell. The at least two batteries are each combined with at least one data processing unit to form a module. The safety architecture is set up in such a way that the at least one data processing unit of at least one first module processes input signals of at least one second module.

DE 10 2010 041 492 A1 beschreibt ein Verfahren und eine Anordnung zur Überwachung mindestens einer Batterie, eine Batterie mit einer solchen Anordnung sowie ein Kraftfahrzeug mit einer entsprechenden Batterie, welche insbesondere einsetzbar sind zur sicheren Überwachung des Batteriezustandes bei reduziertem Hardwareaufwand. Hierfür wird vorgeschlagen, die mindestens eine Batterie dadurch zu überwachen, indem Messgrößen von zumindest einer der mindestens einen Batterie durch mindestens eine Datenverarbeitungseinrichtung ausgewertet werden, und dass mindestens eine Überwachung von über eine Kommunikationsverbindung zwischen der mindestens einen Batterie und der mindestens einen Datenverarbeitungseinrichtung ausgetauschten Signalen erfolgt. DE 10 2010 041 492 A1 describes a method and an arrangement for monitoring at least one battery, a battery with such an arrangement and a motor vehicle with a corresponding battery, which can be used in particular for reliable monitoring of the battery condition with reduced hardware complexity. To this end, it is proposed to monitor the at least one battery by evaluating measured variables from at least one of the at least one battery using at least one data processing device, and for at least one monitoring of signals exchanged via a communication link between the at least one battery and the at least one data processing device to take place.

DE 37 43 962 A1 beschreibt eine Stromversorgung einer elektronischen Schaltung in einem Fahrzeug mit einer Batterie des Fahrzeugs, einem zwischen der Batterie und der Schaltung eingefügten Trennschalter und einem die Stromlieferung einschaltenden und abschaltenden Schalter, z. B. das Zündschloss. Eine vom Schalter steuerbare Verzögerungsschaltung steuert nach dem Abschalten der Stromlieferung verzögert den Trennschalter in seinen sperrenden Zustand. DE 37 43 962 A1 describes a power supply of an electronic circuit in a vehicle with a battery of the vehicle, a circuit breaker inserted between the battery and the circuit and a switch switching the power supply on and off, e.g. B. the ignition lock. After the power supply has been switched off, a delay circuit which can be controlled by the switch controls the isolating switch into its blocking state with a delay.

DE 10 2017 218 734 A1 beschreibt ein Hochspannungs-Batteriesystem mit einem Batteriemodul und zumindest zwei Schaltelementen, wobei durch die Schaltelemente eine elektrische Verbindung des Batteriemoduls mit einem Spannungsnetz schaltbar ist. Das Hochspannungs-Batteriesystem umfasst ferner eine erste Erfassungseinheit, durch die ein erster Zellspannungsmesswert einer Zellspannung des Batteriemoduls erfassbar ist, und eine erste Auswertungseinheit, durch die anhand eines Vergleichs des ersten Zellspannungsmesswerts mit einem ersten Schwellenwert ein erstes Steuersignal erzeugbar ist. Dabei ist anhand des ersten Steuersignals ein Schaltsignal erzeugbar. Das Schaltsignal ist an zumindest eine erste Ansteuerungseinheit für das erste Schaltelement und an eine zweite Ansteuerungseinheit für das zweite Schaltelement übertragbar, wobei in Abhängigkeit von dem Schaltsignal das erste und das zweite Schaltelement unabhängig voneinander schaltbar sind. DE 10 2017 218 734 A1 describes a high-voltage battery system with a battery module and at least two switching elements, wherein an electrical connection of the battery module to a voltage network can be switched by the switching elements. The high-voltage battery system also includes a first detection unit, through which a first cell voltage measured value of a cell voltage of the Battery module can be detected, and a first evaluation unit, by means of a comparison of the first cell voltage measured value with a first threshold value, a first control signal can be generated. A switching signal can be generated using the first control signal. The switching signal can be transmitted to at least one first control unit for the first switching element and to a second control unit for the second switching element, the first and second switching elements being switchable independently of one another as a function of the switching signal.

EP 1 107 344 A1 beschreibt eine Schutzschaltung zum Schützen einer wiederaufladbaren Batterie vor einem durch längeres Überladen verursachten Batterieausfall und ein in diese Schaltung eingebautes Schutzelement. Eine Hauptschutzschaltung ist mit einer Hauptsteuereinrichtung zum Abschalten eines ersten FET oder eines zweiten FET ausgestattet, wenn Überladung, Überentladung oder übermäßiger Entladestrom erfasst wird. Eine Unterschutzschaltung ist mit einer Untersteuereinrichtung zum Abschalten eines dritten FET ausgestattet, wenn die Anti-Überladungsfunktion der Hauptsteuereinrichtung nicht richtig arbeitet. EP 1 107 344 A1 describes a protection circuit for protecting a rechargeable battery from battery failure caused by prolonged overcharging and a protection element incorporated in this circuit. A main protection circuit is provided with a main controller for turning off a first FET or a second FET when overcharge, overdischarge, or excessive discharge current is detected. A sub-protection circuit is equipped with a sub-controller for turning off a third FET when the anti-overcharge function of the main controller does not work properly.

CN 2 09 600 311 U beschreibt ein redundantes Batteriemanagementsystem auf Basis von Doppelchips. Das System besteht aus mehreren Kollektoren, einer Gesamtsammelsteuereinheit, einem Batteriesteuermodul und einer Hauptsteuereinheit, wobei der Kollektor mit einer Batterieeinheit des Batteriemoduls verbunden ist; ein zusätzliches Überwachungsmodul ist ebenfalls vorhanden. Das zusätzliche Überwachungsmodul ist so konfiguriert, dass es die Spannung, den Strom und die Temperatur der Batterieeinheit unabhängig voneinander abtastet und berechnet. Die Probenahmedaten werden an die Hauptsteuereinheit gesendet. Das Hauptsteuergerät dient zum Empfang von zwei Gruppen von Daten von der Haupterfassungssteuereinheit und dem Hilfsüberwachungsmodul. Die Hauptsteuereinheit wird zum Empfangen der beiden Datengruppen, zum Vergleichen und Analysieren der beiden Datengruppen sowie zum Erzeugen und Senden eines Signals an das Batteriesteuermodul verwendet, um eine Lade- und Entladeschleife des Batteriemoduls zu unterbrechen, wenn der Differenzwert physikalischer Daten in den beiden Datengruppen einen festgelegten Schwellenwert überschreitet. CN 2 09 600 311 U describes a redundant battery management system based on dual chips. The system consists of multiple collectors, an overall collection control unit, a battery control module and a main control unit, with the collector connected to a battery unit of the battery module; an additional monitoring module is also available. The additional monitoring module is configured to independently sample and calculate the voltage, current and temperature of the battery pack. The sampling data is sent to the main control unit. The main controller serves to receive two sets of data from the main acquisition controller and the auxiliary monitor module. The main control unit is used to receive the two groups of data, to compare and analyze the two groups of data, and to generate and send a signal to the battery control module to interrupt a charge and discharge loop of the battery module when the difference value of physical data in the two groups of data exceeds a specified threshold.

US 2019 / 0 031 042 A1 beschreibt ein Verfahren zum Betreiben eines Batteriesystems zum Bereitstellen elektrischer Energie für ein Fahrzeug. Es werden Sensorsignale erzeugt, die physikalische Größen einzelner Zellen und/oder einzelner Module mindestens einer Batterie des Batteriesystems repräsentieren. Die Sensorsignale werden an eine erste und eine zweite Systemsteuerung übertragen. Sowohl die erste als auch die zweite Systemsteuerung werten die Sensorsignale aus und steuern das Batteriesystem in Abhängigkeit von entsprechenden Auswertungsergebnissen. Die erste Systemsteuerung wird in Kombination mit einer ersten Überwachungseinrichtung betrieben und die zweite Systemsteuerung wird in Kombination mit einer zweiten Überwachungseinrichtung betrieben. Die erste Überwachungsvorrichtung überwacht einen Betrieb des zweiten Systemcontrollers und die zweite Überwachungsvorrichtung überwacht einen Betrieb des ersten Systemcontrollers. Abhängig von Überwachungsergebnissen der ersten Überwachungseinrichtung und der zweiten Überwachungseinrichtung wird das Batteriesystem gesteuert.US 2019/0 031 042 A1 describes a method for operating a battery system for providing electrical energy for a vehicle. Sensor signals are generated that represent the physical variables of individual cells and/or individual modules of at least one battery in the battery system. The sensor signals are transmitted to a first and a second system controller. Both the first and the second system control evaluate the sensor signals and control the battery system depending on the corresponding evaluation results. The first system controller operates in combination with a first monitor and the second system controller operates in combination with a second monitor. The first monitor monitors an operation of the second system controller, and the second monitor monitors an operation of the first system controller. The battery system is controlled depending on the monitoring results of the first monitoring device and the second monitoring device.

US 2014 / 0 108 896 A1 beschreibt eine Fehlererfassungsvorrichtung eines Dual-Controller-Systems. Die erste Steuerung empfängt Erfassungsdaten von einem Sensor, um erste Daten zu berechnen und zu erzeugen, und gibt endgültige Daten aus, wenn kein Fehler erfasst wird, indem die ersten Daten mit zweiten Daten verglichen werden, die von einer zweiten Steuerung übertragen werden. Der CAN-Transceiver empfängt die endgültigen Daten von der ersten Steuerung und sendet die endgültigen Daten über einen CAN-Bus. Die zweite Steuerung empfängt die Erfassungsdaten von dem Sensor, um zweite Daten zu berechnen und zu erzeugen, und sendet an die erste Steuerung ein Unterbrechungssignal, das eine Ausgabe der endgültigen Daten verhindert, wenn ein Fehler durch Vergleichen der zweiten Daten mit den zurückgemeldeten endgültigen Daten vom CAN-Transceiver erkannt wird. Dementsprechend wird die Ausgangsübertragung zum Fahrzeug gesteuert und die Stabilität und Zuverlässigkeit der Ausgangsdaten erhöht.US 2014/0 108 896 A1 describes an error detection device of a dual controller system. The first controller receives detection data from a sensor to calculate and generate first data and outputs final data when no fault is detected by comparing the first data with second data transmitted from a second controller. The CAN transceiver receives the final data from the first controller and sends the final data over a CAN bus. The second controller receives the detection data from the sensor to calculate and generate second data, and sends the first controller an interrupt signal that prevents output of the final data when an error is detected by comparing the second data with the final data reported back from the CAN transceiver. Accordingly, the output transmission to the vehicle is controlled, and the stability and reliability of the output data is increased.

Der Erfindung liegt die Aufgabe zu Grunde, eine neuartige Batterie für ein Bordnetz eines Fahrzeugs anzugeben.The invention is based on the object of specifying a new type of battery for a vehicle electrical system.

Die Aufgabe wird erfindungsgemäß gelöst durch eine Batterie für ein Bordnetz eines Fahrzeugs gemäß Anspruch 1.The object is achieved according to the invention by a battery for a vehicle electrical system according to claim 1.

Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.Advantageous configurations of the invention are the subject matter of the dependent claims.

Eine erfindungsgemäße Batterie für ein Bordnetz eines Fahrzeugs umfasst einen Zellenstapel aus mehreren in Reihe geschalteten galvanischen Einzelzellen, wobei der Zellenstapel über einen Ladeschutzschalter und einen Entladeschutzschalter mit dem Bordnetz verbindbar ist, ferner einen ersten Microcontroller und einen zweiten Microcontroller, wobei beide Microcontroller voneinander unabhängig zur Überwachung und/oder Validierung von Daten einschließlich Strömen, Spannungen und Temperaturen des Zellenstapels konfiguriert sind, wobei beide Microcontroller ferner dazu konfiguriert sind, ihre Daten gegenseitig zu validieren, wobei beide Microcontroller jeweils einen Aktivierungsausgang für das Öffnen des Ladeschutzschalters aufweisen, wobei beide Microcontroller ferner jeweils einen Aktivierungsausgang für das Öffnen des Entladeschutzschalters aufweisen. Erfindungsgemäß ist der zweite Microcontroller unterschiedlich zum ersten Microcontroller ausgebildet, wobei die Aktivierungsausgänge für das Öffnen des Ladeschutzschalters über ein ODER-Glied logisch miteinander verknüpft und mit dem Ladeschutzschalter verbunden sind, wobei die Aktivierungsausgänge für das Öffnen des Entladeschutzschalters über ein weiteres ODER-Glied logisch miteinander verknüpft und zusätzlich über ein Verzögerungsglied mit dem Entladeschutzschalter verbunden sind, so dass dieser nach einer vorgegebenen Zeitverzögerung öffnet, wenn zumindest einer der beiden Microcontroller anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter zu öffnen ist.A battery according to the invention for an on-board network of a vehicle comprises a cell stack made up of several galvanic individual cells connected in series, the cell stack being able to be connected to the on-board network via a charging protection switch and a discharging protection switch, and also a first microcontroller and a second microcontroller, the two microcontrollers being used independently of one another for monitoring and/or validating data including currents, voltages and temperatures of the cell stack are configured, with both microcontrollers also being configured to mutually validate their data, with both microcontrollers each having an activation output for opening the charge protection switch, with both microcontrollers also each having an activation output for opening the discharge protection switch. According to the invention, the second microcontroller is designed differently from the first microcontroller, with the activation outputs for opening the charging protection switch being logically linked to one another via an OR element and connected to the charging protection switch, the activation outputs for opening the discharging protection switch being logically linked to one another via a further OR element and also being connected to the discharging protection switch via a delay element, so that it opens after a predetermined time delay if at least one of the two microcontrollers decides on the basis of the data it has determined that the discharging protection switch is to be opened .

In einer Ausführungsform ist der Zellenstapel über eine Reihenschaltung aus einer Sicherung, dem Ladeschutzschalter und dem Entladeschutzschalter mit dem Bordnetz verbindbar.In one embodiment, the cell stack can be connected to the vehicle electrical system via a series connection made up of a fuse, the charging protection switch and the discharging protection switch.

In einer Ausführungsform sind der Ladeschutzschalter und der Entladeschutzschalter jeweils als Feldeffekttransistoren ausgebildet, die antiseriell geschaltet sind, so dass ihre Bodydioden in entgegengesetzten Richtungen leitend sind.In one embodiment, the charging protection switch and the discharging protection switch are each designed as field effect transistors that are connected in anti-series fashion, so that their body diodes are conductive in opposite directions.

In einer Ausführungsform Batterie ist ferner ein Batterieüberwachungschip vorgesehen, der zur Überwachung von Zellspannungen von Einzelzellen des Zellenstapels, einer Temperatur der Zellen, und eines Stroms durch den Zellenstapel konfiguriert ist, wobei der erste Microcontroller zur Validierung der vom Batterieüberwachungschip bereitgestellten Daten konfiguriert ist.In one battery embodiment, a battery monitoring chip is also provided, which is configured to monitor cell voltages of individual cells of the cell stack, a temperature of the cells, and a current through the cell stack, the first microcontroller being configured to validate the data provided by the battery monitoring chip.

In einer Ausführungsform weist der zweite Microcontroller eine integrierte Batterieüberwachungsfunktionalität auf.In one embodiment, the second microcontroller has an integrated battery monitoring functionality.

In einer Ausführungsform ist der zweite Microcontroller zur Überwachung einer Spannung aller Zellen des Zellenstapels in Reihenschaltung, einer Spannung an einem Batterieplus-Anschluss, eines Stroms durch den Zellenstapel und einer Temperatur der Zellen konfiguriert.In one embodiment, the second microcontroller is configured to monitor a voltage of all cells of the cell stack in series, a voltage at a battery positive terminal, a current through the cell stack, and a temperature of the cells.

In einer Ausführungsform entsprechen der erste Microcontroller und optional der Batterieüberwachungschip ASIL C(D), und der zweite Microcontroller entspricht ASIL B(D).In one embodiment, the first microcontroller and optionally the battery monitor chip are ASIL C(D) compliant and the second microcontroller is ASIL B(D) compliant.

In einer Ausführungsform beträgt die vorgegebene Zeitverzögerung zwei Minuten.In one embodiment, the predetermined time delay is two minutes.

In einer Ausführungsform weist der erste Microcontroller eine Kommunikationsschnittstelle auf, die als ein CAN-Transceiver ausgebildet ist, über die vom ersten Microcontroller ein Fehler signalisierbar ist, wobei der zweite Microcontroller einen Warnausgang aufweist, der dazu konfiguriert ist, bei Aktivierung die Kommunikationsschnittstelle des ersten Microcontrollers abzuschalten oder in einen reinen Empfangsbetrieb zu schalten.In one embodiment, the first microcontroller has a communication interface, which is designed as a CAN transceiver, via which an error can be signaled by the first microcontroller, with the second microcontroller having a warning output which is configured to switch off the communication interface of the first microcontroller when activated or to switch to a pure receive mode.

Erfindungsgemäß ist das Verzögerungsglied über ein weiteres ODER-Glied mit dem Entladeschutzschalter verbunden, wobei die Aktivierungsausgänge der beiden Microcontroller für das Öffnen des Entladeschutzschalters ferner über ein UND-Glied miteinander logisch verknüpft sind, dessen Ausgang ebenfalls auf das weitere ODER-Glied gelegt ist, so dass der Entladeschutzschalter entweder sofort öffnet, wenn beide Microcontroller anhand der von ihnen ermittelten Daten übereinstimmend entscheiden, dass der Entladeschutzschalter zu öffnen ist, oder nach der vorgegebenen Zeitverzögerung öffnet, wenn nur einer der beiden Microcontroller anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter zu öffnen ist.According to the invention, the delay element is connected to the discharge protection switch via a further OR element, with the activation outputs of the two microcontrollers for opening the discharge protection switch also being logically linked to one another via an AND element, the output of which is also applied to the further OR element, so that the discharge protection switch either opens immediately if both microcontrollers decide based on the data they have determined that the discharge protection switch is to be opened, or opens after the specified time delay if only one of the two microcontrollers based on the data determined by it decides that the discharge protection switch is to be opened.

Die vorliegende Erfindung stellt ein Batteriemanagementsystem für 12V Li-lonen-Bordnetzbatterien bereit. Hierbei werden zwei Batterien zur Redundanz eingesetzt, da jedoch beide Batterien auf der gleichen Hardware und Software aufsetzen, kann in herkömmlichen Lösungen ein systematischer Fehler nicht ausgeschlossen werden, so dass sich keine Redundanz ergeben würde. Erfindungsgemäß ist daher vorgesehen, einen zweiten internen Microcontroller der Batterie zu nutzen, um einen separaten Teil des Batteriemanagementsystems darzustellen. Damit wird das Batteriemanagementsystem in zwei Teile unterteilt, die sich gegenseitig überwachen können und unterschiedliche Aspekte abdecken können. Sollte es hier dann zu einem Fehler oder Unterschied der beiden Teilsysteme kommen, kann eine Warnung ausgegeben und über ein Verzögerungsglied die Batterie noch eine Zeitlang, beispielsweise 2 Minuten, zum sicheren Abstellen des Fahrzeugs angeschlossen bleiben und erst danach der Ladeschutzschalter und der Entladeschutzschalter geöffnet werden.The present invention provides a battery management system for 12V Li-ion on-board batteries. In this case, two batteries are used for redundancy, but since both batteries are based on the same hardware and software, a systematic error cannot be ruled out in conventional solutions, so that no redundancy would result. According to the invention, it is therefore provided to use a second internal microcontroller of the battery in order to represent a separate part of the battery management system. This divides the battery management system into two parts that can monitor each other and cover different aspects. If there is an error or a difference between the two subsystems, a warning can be issued and the battery can remain connected via a delay element for a while, for example 2 minutes, to ensure that the vehicle is safely switched off and only then can the charging protection switch and the discharging protection switch be opened.

Anstatt einer Redundanz auf Systemebene zweier unabhängiger 12V Li-Ion Bordnetzbatterien verfolgt der erfindungsgemäße Ansatz das Ziel, die Redundanz auf Komponentenebene darzustellen.Instead of redundancy at the system level of two independent 12V Li-Ion vehicle electrical system batteries, the approach according to the invention pursues the goal of representing redundancy at the component level.

Ausführungsbeispiele der Erfindung werden im Folgenden anhand von Zeichnungen näher erläutert.Exemplary embodiments of the invention are explained in more detail below with reference to drawings.

Dabei zeigen:

  • 1 eine schematische Ansicht eines Hochvoltnetzes eines Fahrzeugs und zweier damit verbundener Niederspannungs-Bordnetze,
  • 2 eine schematische Ansicht einer Ausführungsform einer Niederspannungs-Batterie, und
  • 3 eine schematische Ansicht einer weiteren Ausführungsform einer Niederspannungs-Batterie.
show:
  • 1 a schematic view of a high-voltage network of a vehicle and two associated low-voltage vehicle electrical systems,
  • 2 a schematic view of an embodiment of a low-voltage battery, and
  • 3 a schematic view of another embodiment of a low-voltage battery.

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.Corresponding parts are provided with the same reference symbols in all figures.

1 ist eine schematische Ansicht eines Hochvoltnetzes 1 eines Fahrzeugs, beispielsweise eines elektrisch angetriebenen Fahrzeugs, mit einer Hochvoltbatterie 2, die über einen Trennschalter 3 mit dem Hochvoltnetz 1 verbunden ist. Ferner sind zwei oder mehr Niederspannungs-Bordnetze 21, 24, beispielsweise 12V-Bordnetze vorgesehen, die der Versorgung von Verbrauchern 4, 5, beispielsweise sicherheitsrelevanter Verbraucher, insbesondere Steer-By-Wire und/oder Brake-by-Wire, dienen. Die zwei oder mehr Niederspannungs-Bordnetze 21, 24 können durch einen Schalter verbindbar/trennbar sein, dies ist jedoch nicht notwendig. Jedes der Niederspannungs-Bordnetze 21, 24 enthält eine jeweilige Batterie, insbesondere eine Niederspannungs-Batterie 6, 7, und ist über einen jeweiligen Gleichspannungswandler 8, 9 an das Hochvoltnetz 1 angeschlossen. Die Verbraucher 4, 5 des Fahrzeugs versorgen sich selektiv aus einem oder aus beiden Niederspannungs-Bordnetzen 21, 24. Beim Versagen eines der beiden Niederspannungs-Bordnetze 21, 24 wird das redundante/verbleibende Niederspannungs-Bordnetz 21, 24 verwendet. 1 is a schematic view of a high-voltage network 1 of a vehicle, for example an electrically powered vehicle, with a high-voltage battery 2 which is connected to the high-voltage network 1 via a circuit breaker 3 . Furthermore, two or more low-voltage vehicle electrical systems 21, 24, for example 12V vehicle electrical systems, are provided, which are used to supply consumers 4, 5, for example safety-related consumers, in particular steer-by-wire and/or brake-by-wire. The two or more low-voltage vehicle electrical systems 21, 24 can be connected/disconnected by a switch, but this is not necessary. Each of the low-voltage vehicle electrical systems 21, 24 contains a respective battery, in particular a low-voltage battery 6, 7, and is connected to the high-voltage network 1 via a respective DC-DC converter 8, 9. The consumers 4, 5 of the vehicle are supplied selectively from one or from both low-voltage vehicle electrical systems 21, 24. If one of the two low-voltage vehicle electrical systems 21, 24 fails, the redundant/remaining low-voltage vehicle electrical system 21, 24 is used.

Beide Niederspannungs-Bordnetze 21, 24 umfassen jeweils eine Niederspannungs-Batterie 6, 7, insbesondere eine Li-lonen Batterie, die jeweils mindestens einen Trennschalter zum Eigenschutz aufweist. Der Gleichspannungswandler 8, 9 hat keine Sicherheitsziele hinsichtlich Verfügbarkeit, jedoch hat die Niederspannungs-Batterie 6, 7 Sicherheitsziele hinsichtlich Verfügbarkeit. Daher werden vom Fahrzeug Sicherheitsanforderungen an die Verfügbarkeit der Niederspannungs-Batterie 6, 7 gestellt. Dadurch entstehen Anforderungen an die Unabhängigkeit der beiden Niederspannungs-Batterien 6, 7. Abhängige Fehler, bei denen in beiden Niederspannungs-Batterien 6, 7 der gleiche Fehler auftritt, müssen verhindert werden, um einen gleichzeitigen Ausfall beider Niederspannungs-Batterien 6, 7 sicher ausschließen zu können. Dies widerspricht der Verwendung des gleichen Typs für beide Niederspannungs-Batterien 6, 7 und erfordert normalerweise eine völlig unabhängige Komponente. Durch die Realisierung zweier unabhängiger Entscheidungswege innerhalb jeder Niederspannungs-Batterie 6, 7 wird dieser Unabhängigkeit Rechnung getragen, ohne zwei völlig unterschiedliche, unabhängige Niederspannungs-Batterie 6, 7 einsetzen und entwickeln zu müssen. Daher lässt sich die gleiche, oder eine ähnliche Niederspannungs-Batterie 6, 7 sowohl auf Primär-, als auch auf Sekundärseite (Hauptnetz und Redundanznetz) einsetzen.Both low-voltage electrical systems 21, 24 each include a low-voltage battery 6, 7, in particular a Li-ion battery, each having at least one circuit breaker for self-protection. The DC-DC converter 8, 9 has no safety targets in terms of availability, but the low-voltage battery 6, 7 has safety targets in terms of availability. The vehicle therefore places safety requirements on the availability of the low-voltage battery 6 , 7 . This creates requirements for the independence of the two low-voltage batteries 6, 7. Dependent errors in which the same error occurs in both low-voltage batteries 6, 7 must be prevented in order to reliably rule out a simultaneous failure of both low-voltage batteries 6, 7. This contradicts using the same type for both low voltage batteries 6, 7 and normally requires a completely independent component. This independence is taken into account by the realization of two independent decision paths within each low-voltage battery 6, 7, without having to use and develop two completely different, independent low-voltage batteries 6, 7. The same or a similar low-voltage battery 6, 7 can therefore be used both on the primary and on the secondary side (main network and redundant network).

Ein sicherer Zustand (safe state) einer Niederspannungs-Batterie 6, 7 eines Niederspannungs-Bordnetzes 21 im Sinne der vorliegenden Erfindung soll folgende Merkmale umfassen:

  • - ein Ladeschutzschalter der Niederspannungs-Batterie 6, 7 wird geöffnet,
  • - die Niederspannungs-Batterie 6, 7 deklariert bei einem erkannten Fehler in der Redundanz ihr Lebensdauerende (EoL - end of life),
  • - es wird eine sogenannte Rotbewarnung an den Fahrer des Fahrzeugs ausgegeben. Dies bedeutet eine Aufforderung zum sofortigen sicheren Anhalten und eine Funktionsabschaltung mit einem Übergang in den batterielosen Betrieb;
  • - mit einer vorgegebenen Verzögerung von beispielsweise zwei Minuten wird ein Entladeschutzschalter der Niederspannungs-Batterie 6, 7 geöffnet, um innerhalb der Verzögerungszeit ein sicheres Anhalten sicherzustellen.
A safe state (safe state) of a low-voltage battery 6, 7 of a low-voltage vehicle electrical system 21 within the meaning of the present invention should include the following features:
  • - a charging protection switch of the low-voltage battery 6, 7 is opened,
  • - the low-voltage battery 6, 7 declares its end of life (EoL - end of life) when a fault is detected in the redundancy,
  • - A so-called red warning is issued to the driver of the vehicle. This means an immediate safe stop request and a functional shutdown with a transition to battery-free operation;
  • - With a predetermined delay of two minutes, for example, a discharge protection switch of the low-voltage battery 6, 7 is opened to ensure safe stopping within the delay time.

Die vorliegende Erfindung realisiert eine systemseitige Unabhängigkeit und/oder Redundanz hinsichtlich systematischer Fehler innerhalb einer Komponente, insbesondere einer Niederspannungs-Batterie 6, 7, so dass diese, in aus Gründen der Verfügbarkeit redundant zweikanalig ausgeführten Niederspannungs-Bordnetzen 21, 24 unverändert in beiden Kanälen eingesetzt werden kann.The present invention implements a system-side independence and/or redundancy with regard to systematic faults within a component, in particular a low-voltage battery 6, 7, so that it can be used unchanged in both channels in low-voltage vehicle electrical systems 21, 24 that are designed redundantly with two channels for reasons of availability.

Bei den betrachteten Niederspannungs-Bordnetzen 21, 24 trägt der Gleichspannungswandler 8, 9 nicht zur Verfügbarkeit bei; diese muss rein durch die Niederspannungs-Batterie 6, 7 (beispielsweise LiBB - 12V Lithium-Ionen-Bordnetzbatterie) sichergestellt werden (Systemeigenschaft).In the case of the low-voltage vehicle electrical systems 21, 24 under consideration, the DC-DC converter 8, 9 does not contribute to availability; this must be ensured purely by the low-voltage battery 6, 7 (for example LiBB—12V lithium-ion vehicle electrical system battery) (system property).

Beispielsweise kann im Fahrzeugbau die Anforderung zur Reduktion der Varianz im Fahrzeug durch Verwendung einheitlicher Hardware und Software bestehen, was einer Unabhängigkeit diametral entgegensteht.For example, in vehicle construction there may be a requirement to reduce variance in the vehicle by using uniform hardware and software, which is diametrically opposed to independence.

2 ist eine schematische Ansicht einer Niederspannungs-Batterie 6. Die Niederspannungs-Batterie 6 umfasst einen Zellenstapel 10, dessen Minuspol über einen Shunt 11 mit Masse, das heißt Klemme 31 KL31 verbunden ist, und dessen Pluspol über eine Reihenschaltung aus einer Sicherung 12, einem Ladeschutzschalter 13 und einem Entladeschutzschalter 14 mit Klemme 30 KL30 (Batterieplus) verbunden ist. 2 is a schematic view of a low-voltage battery 6. The low-voltage Battery 6 comprises a cell stack 10 whose negative pole is connected to ground, i.e. terminal 31 KL31, via a shunt 11, and whose positive pole is connected to terminal 30 KL30 (battery positive) via a series connection of a fuse 12, a charging protection switch 13 and a discharge protection switch 14.

Der Ladeschutzschalter 13 und der Entladeschutzschalter 14 können beide als Feldeffekttransistoren ausgebildet sein, die antiseriell geschaltet sind, so dass ihre Bodydioden in entgegengesetzten Richtungen leitend sind.The charging protection switch 13 and the discharging protection switch 14 can both be in the form of field effect transistors which are connected anti-series, so that their body diodes are conductive in opposite directions.

Die Niederspannungs-Batterie 6 umfasst ferner einen ersten Microcontroller 15 (beispielsweise Aurix) und einen Batterieüberwachungschip 16 (Analog Frontend), der beispielsweise zur Überwachung von Zellspannungen U_cell von Einzelzellen des Zellenstapels 10, einer Temperatur T_bat der Zellen, und eines Stroms I_bat2 durch den Zellenstapel 10 konfiguriert ist. Der erste Microcontroller 15 validiert die vom Batterieüberwachungschip 16 bereitgestellten Daten.The low-voltage battery 6 also includes a first microcontroller 15 (for example Aurix) and a battery monitoring chip 16 (analog front end), which is configured, for example, to monitor cell voltages U_cell of individual cells in the cell stack 10, a temperature T_bat of the cells, and a current I_bat2 through the cell stack 10. The first microcontroller 15 validates the data provided by the battery monitoring chip 16 .

Ferner ist ein zweiter Microcontroller 17 vorgesehen, der anders ausgebildet ist als der erste Microcontroller 15. Während der Batterieüberwachungschip 16 als vom ersten Microcontroller 15 separate Einheit ausgebildet ist, weist der zweite Microcontroller 17 eine integrierte Batterieüberwachungsfunktionalität auf, umfassend die Überwachung einer Spannung U_pack aller Zellen des Zellenstapels 10 in Reihenschaltung, einer Spannung U_T30 an Klemme 30 KL30, des Stroms I_bat durch den Zellenstapel 10 und der Temperatur T_bat2 der Zellen. Dabei werden der Strom I_bat und der Strom I_bat2 durch jeweils eigene, redundante Sensoren ermittelt, beispielsweise am Shunt 11. Ebenso werden die Temperaturen T_bat und T_bat2 durch jeweils eigene, redundante Sensoren ermittelt.Furthermore, a second microcontroller 17 is provided, which is designed differently than the first microcontroller 15. While the battery monitoring chip 16 is designed as a separate unit from the first microcontroller 15, the second microcontroller 17 has an integrated battery monitoring functionality, comprising the monitoring of a voltage U_pack of all cells of the cell stack 10 in series connection, a voltage U_T30 at terminal 30 KL30, the current I_bat through the cell stack 10 and the temperature T_bat2 of the cells. The current I_bat and the current I_bat2 are each determined by their own redundant sensors, for example on the shunt 11. The temperatures T_bat and T_bat2 are also determined by their own redundant sensors.

Der erste Microcontroller 15 und der Batterieüberwachungschip 16 entsprechen beispielsweise ASIL C(D).The first microcontroller 15 and the battery monitoring chip 16 correspond to ASIL C(D), for example.

Der zweite Microcontroller 17 entspricht beispielsweise ASIL B(D).The second microcontroller 17 corresponds to ASIL B(D), for example.

Der erste Microcontroller 15 und der zweite Microcontroller 17 sind ferner dazu konfiguriert, ihre Daten gegenseitig zu validieren.The first microcontroller 15 and the second microcontroller 17 are also configured to mutually validate their data.

Der erste Microcontroller 15 und der zweite Microcontroller 17 weisen jeweils einen Aktivierungsausgang CCB für das Öffnen des Ladeschutzschalters 13 auf, die über ein ODER-Glied 18 logisch verknüpft und mit dem Ladeschutzschalter 13 verbunden sind, so dass dieser öffnet, wenn zumindest einer der beiden Microcontroller 15, 17 anhand der von ihm ermittelten Daten entscheidet, dass der Ladeschutzschalter 13 zu öffnen ist.The first microcontroller 15 and the second microcontroller 17 each have an activation output CCB for opening the charging protection switch 13, which is logically linked via an OR element 18 and connected to the charging protection switch 13, so that the latter opens when at least one of the two microcontrollers 15, 17 decides, based on the data it has determined, that the charging protection switch 13 is to be opened.

Der erste Microcontroller 15 und der zweite Microcontroller 17 weisen jeweils einen Aktivierungsausgang DCB für das Öffnen des Entladeschutzschalters 14 auf, die über ein weiteres ODER-Glied 19 logisch verknüpft und zusätzlich über ein Verzögerungsglied 20 mit dem Entladeschutzschalter 14 verbunden sind, so dass dieser nach einer vorgegebenen Zeitverzögerung von beispielsweise zwei Minuten öffnet, wenn zumindest einer der beiden Microcontroller 15, 17 anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter 14 zu öffnen ist.The first microcontroller 15 and the second microcontroller 17 each have an activation output DCB for opening the discharge protection switch 14, which is logically linked via a further OR element 19 and also connected to the discharge protection switch 14 via a delay element 20, so that it opens after a predetermined time delay of, for example, two minutes if at least one of the two microcontrollers 15, 17 decides based on the data it has determined that the discharge protection switch 14 is to be opened.

Der hinsichtlich Verfügbarkeit kritische Pfad ist der Entladeschutzschalter 14, da nur dieser die Spannungsversorgung in Richtung Niederspannungs-Bordnetz 21 unterbinden kann. Der Ladeschutzschalter 13 ist dahingehend als unkritisch zu bewerten.The path that is critical in terms of availability is the discharge protection switch 14 , since only this can prevent the voltage supply in the direction of the low-voltage vehicle electrical system 21 . The charging protection switch 13 is to be rated as non-critical in this regard.

Zur Maximierung der Verfügbarkeit wird der neben dem als Hauptkanal ausgebildeten ersten Microcontroller 15 vorhandener zweiter Microcontroller 17 ertüchtigt, alle Sicherheitsziele hinsichtlich Eigenschutz zu erreichen.In order to maximize availability, the second microcontroller 17 present next to the first microcontroller 15 designed as the main channel is upgraded to achieve all safety goals with regard to self-protection.

Dieser zweite Microcontroller 17 ist dafür auf allen Ebenen (Eingangssignale, Ausgangssignale, Hardware, Software, Entwicklungsprozesse, Spannungsversorgung usw.) vollständig unabhängig zum ersten Microcontroller 15 ausgebildet und mit ASIL B(D) entwickelt.For this purpose, this second microcontroller 17 is designed completely independently of the first microcontroller 15 at all levels (input signals, output signals, hardware, software, development processes, voltage supply, etc.) and developed with ASIL B(D).

Dadurch werden beide Microcontroller 15, 17 unabhängig voneinander in die Lage versetzt, die Eigenschutzziele der Niederspannungs-Batterie 6 zu überwachen und bei der Verletzung dieser Schwellen den Ladeschutzschalter 13 und/oder den Entladeschutzschalter 14 anzusteuern.This enables both microcontrollers 15, 17 independently of one another to monitor the self-protection goals of the low-voltage battery 6 and to activate the charging protection switch 13 and/or the discharging protection switch 14 if these thresholds are violated.

Durch die Logikbeschaltung der Aktivierungsausgänge CCB, DCB der beiden Microcontroller 15, 17 mittels der ODER-Glieder 18, 19 und des Verzögerungsglieds 20 wird ein (möglicherweise fehlerhafter) einkanaliger Durchgriff auf den Entladeschutzschalter 14 unterbunden und durch eine Zeitverzögerung ersetzt.The logic circuitry of the activation outputs CCB, DCB of the two microcontrollers 15, 17 using the OR elements 18, 19 and the delay element 20 prevents a (possibly faulty) single-channel access to the discharge protection switch 14 and replaces it with a time delay.

Da beide Microcontroller 15, 17 sich kontinuierlich gegenseitig sowohl hinsichtlich Ihrer Eingangs- und Ausgangswerte überwachen, ermöglicht dies jedem der beiden Microcontroller 15, 17 die Erkennung einer Fehlentscheidung des jeweils anderen Microcontrollers 15, 17.Since both microcontrollers 15, 17 continuously monitor each other's input and output values, this enables each of the two microcontrollers 15, 17 to detect an incorrect decision by the other microcontroller 15, 17.

Sowohl eine fälschlicherweise ausgelöste Trennanforderung als auch eine fälschlicherweise nicht ausgelöste Trennanforderung für den Ladeschutzschalter 13 und/oder den Entladeschutzschalter 14 können erkannt werden. Beides führt zur Auslösung eines Prozesses zur Erreichung eines sicheren Zustandes, ohne die Verfügbarkeit der Energieversorgung unerwartet zu unterbrechen.Both an erroneously triggered disconnect request and an incorrect one Untriggered disconnect request for the charging protection switch 13 and / or the discharge protection switch 14 can be detected. Both lead to the triggering of a process to achieve a safe state without unexpectedly interrupting the availability of the energy supply.

Hinsichtlich Bewarnung spielt der zweite Microcontroller 17 eine Sonderrolle, da dieser zur Reduktion der Systemkomplexität keine dedizierte Kommunikationsschnittstelle aufweist. Der erste Microcontroller 15 weist hingegen eine Kommunikationsschnittstelle CAN_FD auf, die als ein CAN-Transceiver ausgebildet ist, über die der erste Microcontroller 15 einen Fehler signalisieren kann (Rotbewarnung).With regard to the warning, the second microcontroller 17 plays a special role, since it does not have a dedicated communication interface to reduce the system complexity. The first microcontroller 15, on the other hand, has a communication interface CAN_FD, which is designed as a CAN transceiver, via which the first microcontroller 15 can signal an error (red warning).

Eine Fehlersignalisierung oder Rotbewarnung seitens des zweiten Microcontrollers 17 wird mittels eines Warnausgangs Alert am zweiten Microcontroller 17 durch eine Abschaltung oder das Versetzen in einen reinen Empfangsbetrieb („listen only mode“) der Kommunikationsschnittstelle CAN_FD des ersten Microcontrollers 15 erreicht. Dies unterbindet sicher die Kommunikation in Richtung des Fahrzeugs, was seitens des Fahrzeugs sicher erkannt wird und automatisch eine Rotbewarnung auslöst.An error signal or red warning on the part of the second microcontroller 17 is achieved by means of a warning output Alert on the second microcontroller 17 by switching off or switching to a pure receive mode ("listen only mode") of the communication interface CAN_FD of the first microcontroller 15. This reliably prevents communication in the direction of the vehicle, which is reliably recognized by the vehicle and automatically triggers a red warning.

Der sichere Zustand zeichnet sich dadurch aus, dass:

  • - der Ladeschutzschalter 13 geöffnet und so ein wesentlicher Umfang der Sicherheitsziele des Komponenteneigenschutzes errreicht wird, ohne das Sicherheitsziel der Verfügbarkeit negativ zu beeinflussen,
  • - eine Rotbewarnung und optional Funktionseinschränkungen des Fahrzeugs ausgelöst werden, um einen sicheren Zustand herbeizuführen,
  • - aufgrund der Erkennung eines kritischen Zustands das Lebensdauerende der Komponente, insbesondere der Niederspannungsbatterie 6, 7 nichtflüchtig gespeichert wird,
  • - nach einer vorgegebenen Verzögerung von beispielsweise ein oder mehreren, insbesondere zwei, Minuten der Entladeschutzschalter 14 geöffnet wird.
The safe state is characterized by:
  • - the charging protection switch 13 is opened and thus a significant extent of the safety goals of the component's own protection is achieved without negatively affecting the safety goal of availability,
  • - a red warning and optional functional restrictions of the vehicle are triggered to bring about a safe state,
  • - Due to the detection of a critical state, the end of the service life of the component, in particular the low-voltage battery 6, 7, is stored in non-volatile memory,
  • - After a predetermined delay of, for example, one or more, in particular two minutes, the discharge protection switch 14 is opened.

3 ist eine schematische Ansicht einer weiteren Ausführungsform einer Niederspannungs-Batterie 7, die mit der Ausführungsform gemäß 2 weitgehend übereinstimmt. Es wird daher auf die Beschreibung der 2 verwiesen. Die Ausführungsform gemäß 3 unterscheidet sich jedoch hinsichtlich der Logikbeschaltung der Aktivierungsausgänge CCB, DCB der beiden Microcontroller 15, 17 von der Ausführungsform nach 2. 3 FIG. 12 is a schematic view of another embodiment of a low-voltage battery 7 compatible with the embodiment according to FIG 2 largely agree. It is therefore on the description of 2 referred. The embodiment according to 3 differs from the embodiment according to FIG 2 .

Der erste Microcontroller 15 und der zweite Microcontroller 17 weisen jeweils einen Aktivierungsausgang CCB für das Öffnen des Ladeschutzschalters 13 auf, die über ein ODER-Glied 18 logisch verknüpft und mit dem Ladeschutzschalter 13 verbunden sind, so dass dieser öffnet, wenn zumindest einer der beiden Microcontroller 15, 17 anhand der von ihm ermittelten Daten entscheidet, dass der Ladeschutzschalter 13 zu öffnen ist.The first microcontroller 15 and the second microcontroller 17 each have an activation output CCB for opening the charging protection switch 13, which is logically linked via an OR element 18 and connected to the charging protection switch 13, so that the latter opens when at least one of the two microcontrollers 15, 17 decides, based on the data it has determined, that the charging protection switch 13 is to be opened.

Der erste Microcontroller 15 und der zweite Microcontroller 17 weisen jeweils einen Aktivierungsausgang DCB für das Öffnen des Entladeschutzschalters 14 auf, die über ein weiteres ODER-Glied 19 logisch verknüpft und zusätzlich über ein Verzögerungsglied 20 und ein weiteres ODER-Glied 22 mit dem Entladeschutzschalter 14 verbunden sind. Ferner sind die Aktivierungsausgänge DCB des ersten Microcontrollers 15 und des zweiten Microcontrollers 17 für das Öffnen des Entladeschutzschalters 14 über ein UND-Glied 23 miteinander verbunden, dessen Ausgang ebenfalls auf das weitere ODER-Glied 22 gelegt ist, so dass der Entladeschutzschalter 14 entweder sofort öffnet, wenn beide Microcontroller 15, 17 anhand der von ihnen ermittelten Daten übereinstimmend entscheiden, dass der Entladeschutzschalter 14 zu öffnen, oder nach einer vorgegebenen Zeitverzögerung von beispielsweise zwei Minuten öffnet, wenn nur einer der beiden Microcontroller 15, 17 anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter 14 zu öffnen ist.The first microcontroller 15 and the second microcontroller 17 each have an activation output DCB for opening the discharge protection switch 14, which is logically linked via a further OR element 19 and also connected to the discharge protection switch 14 via a delay element 20 and a further OR element 22. Furthermore, the activation outputs DCB of the first microcontroller 15 and of the second microcontroller 17 for opening the discharge protection switch 14 are connected to one another via an AND element 23, the output of which is also applied to the further OR element 22, so that the discharge protection switch 14 either opens immediately if both microcontrollers 15, 17 decide based on the data they have determined that the discharge protection switch 14 should open, or opens after a predetermined time delay of, for example, two minutes , if only one of the two microcontrollers 15, 17 decides based on the data determined by it that the discharge protection switch 14 is to be opened.

Ein sicherer Zustand der Niederspannungs-Batterie 6, 7 kann beispielsweise zum Schutz gegen zu hohen Strom erforderlich sein.A safe state of the low-voltage battery 6, 7 may be necessary, for example, to protect against excessive current.

Die Niederspannungs-Batterie 6, 7 soll daher Maßnahmen gegen unzulässigen Betrieb infolge zu hohen Stroms, die zu gefährlichen Situationen für Personen (beispielsweise plötzliches Ausgasen) führen können, implementieren. Hierfür werden Ladeströme und Entladeströme durch Öffnen des Ladeschutzschalters 13 und des Entladeschutzschalters 14 unterbrochen. Nach der Fehlerdetektion und dem Abschalten beträgt der durch den Zellenstapel 10 fließende Strom 0.The low-voltage battery 6, 7 should therefore implement measures against impermissible operation as a result of excessive current, which can lead to dangerous situations for people (such as sudden outgassing). For this purpose, charging currents and discharging currents are interrupted by opening the charging protection switch 13 and the discharging protection switch 14 . After fault detection and shutdown, the current flowing through the cell stack 10 is 0.

Der Fehler kann durch beide Microcontroller 15, 17 mittels redundanter Messungen unabhängig voneinander erkannt werden. Falls der Fehler zum Auslösen der Sicherung 12 (beispielsweise einer Schmelzsicherung) führt, kann durch den ersten Microcontroller 15 das Lebensdauerende (EoL - end of life) der Niederspannungs-Batterie 6 signalisiert werden. Im Normalfall erfolgt eine reversible Trennung des Ladeschutzschalters 13 und des Entladeschutzschalters 14 2-kanalig.The error can be detected independently of one another by both microcontrollers 15, 17 by means of redundant measurements. If the fault causes fuse 12 (for example a fuse) to trip, the first microcontroller 15 can signal the end of the service life (EoL—end of life) of the low-voltage battery 6 . In the normal case, there is a reversible separation of the charge protection switch 13 and the discharge protection switch 14 in two channels.

Eine Diskrepanz (Mismatch) zwischen den Messungen der beiden Microcontroller 15, 17 kann von beiden Microcontrollern 15, 17 erkannt und der sichere Zustand angenommen werden.A discrepancy (mismatch) between the measurements of the two microcontrollers 15, 17 can be recognized by both microcontrollers 15, 17 and the safe state can be assumed.

Ein sicherer Zustand der Niederspannungs-Batterie 6, 7 kann ferner beispielsweise zum Schutz gegen zu hohe Spannung erforderlich sein.A safe state of the low-voltage battery 6, 7 can also be required, for example, to protect against excessively high voltage.

Die Niederspannungs-Batterie 6, 7 soll daher Maßnahmen gegen unzulässigen Betrieb infolge zu hoher Spannung, die zu gefährlichen Situationen für Personen (beispielsweise plötzliches Ausgasen) führen können, implementieren. Hierfür werden Ladeströme durch Öffnen des Ladeschutzschalters 13 unterbrochen. Nach der Fehlerdetektion und dem Abschalten beträgt der in den Zellenstapel 10 fließende Strom 0.The low-voltage battery 6, 7 should therefore implement measures against impermissible operation as a result of excessive voltage, which can lead to dangerous situations for people (such as sudden outgassing). For this purpose, charging currents are interrupted by opening the charging protection switch 13 . After fault detection and shutdown, the current flowing in the cell stack 10 is 0.

Der Fehler kann nur durch den ersten Microcontroller 15 auf Basis der Zellspannung U_cell der Einzelzellen erkannt werden.The error can only be detected by the first microcontroller 15 based on the cell voltage U_cell of the individual cells.

Ein Fehler oder eine Diskrepanz (Mismatch) in der Summe der Zellspannungen U_cell, die der Spannung U_pack entsprechen sollte, kann durch den zweiten Microcontroller 17 erkannt und der sichere Zustand angenommen werden.An error or a discrepancy (mismatch) in the sum of the cell voltages U_cell, which should correspond to the voltage U_pack, can be detected by the second microcontroller 17 and the safe state can be assumed.

Ein sicherer Zustand der Niederspannungs-Batterie 6, 7 kann ferner beispielsweise zum Schutz gegen zu hohe Temperatur erforderlich sein.A safe state of the low-voltage battery 6, 7 can also be required, for example, to protect against excessive temperatures.

Die Niederspannungs-Batterie 6, 7 soll daher Maßnahmen gegen unzulässigen Betrieb infolge zu hoher Temperatur, die zu gefährlichen Situationen für Personen (beispielsweise plötzliches Ausgasen) führen können, implementieren. Hierfür werden Ladeströme und Entladeströme unterbrochen. Nach der Fehlerdetektion und dem Abschalten beträgt der durch den Zellenstapel 10 fließende Strom 0.The low-voltage battery 6, 7 should therefore implement measures against impermissible operation as a result of excessive temperatures, which can lead to dangerous situations for people (such as sudden outgassing). For this purpose, charging currents and discharging currents are interrupted. After fault detection and shutdown, the current flowing through the cell stack 10 is 0.

Der Ladeschutzschalter 13 kann durch beide Microcontroller 15, 17 geöffnet werden. Für das Unterbrechen des Stromflusses in der Entladerichtung im Kurzschlussfall kann durch eine Schmelzsicherung eine Einzelfehlertoleranz erreicht werden.The charging protection switch 13 can be opened by both microcontrollers 15, 17. A single fault tolerance can be achieved by using a safety fuse to interrupt the current flow in the discharge direction in the event of a short circuit.

Eine Diskrepanz (Mismatch) zwischen den Messungen der beiden Microcontroller 15, 17 kann von beiden Microcontrollern 15, 17 erkannt und der sichere Zustand angenommen werden.A discrepancy (mismatch) between the measurements of the two microcontrollers 15, 17 can be recognized by both microcontrollers 15, 17 and the safe state can be assumed.

Ein sicherer Zustand der Niederspannungs-Batterie 6, 7 kann ferner beispielsweise zum Schutz gegen das Laden einer tiefentladenen Zelle erforderlich sein.A safe state of the low-voltage battery 6, 7 can also be required, for example, to protect against charging a deeply discharged cell.

Die Niederspannungs-Batterie 6, 7 soll daher Maßnahmen gegen unzulässigen Betrieb infolge des Ladens nach einer Tiefentladung, die zu gefährlichen Situationen für Personen (beispielsweise plötzliches Ausgasen) führen können, implementieren. Hierfür werden Ladeströme unterbrochen. Nach der Fehlerdetektion und dem Abschalten beträgt der in den Zellenstapel 10 fließende Strom 0.The low-voltage battery 6, 7 should therefore implement measures against impermissible operation as a result of charging after a deep discharge, which can lead to dangerous situations for people (e.g. sudden outgassing). For this purpose, charging currents are interrupted. After fault detection and shutdown, the current flowing in the cell stack 10 is 0.

Der Ladeschutzschalter 13 kann durch beide Microcontroller 15, 17 einkanalig geöffnet werden.The charging protection switch 13 can be opened in one channel by both microcontrollers 15, 17.

Die Erfordernisse für einen sicheren Zustand sind von beiden Microcontrollern 15, 17 erkennbar (zweikanalig-unabhängig). Jede Diskrepanz (Mismatch) zwischen den Messungen der beiden Microcontroller 15, 17 führt zum sicheren Zustand.The requirements for a safe state can be recognized by both microcontrollers 15, 17 (two-channel independent). Any discrepancy (mismatch) between the measurements of the two microcontrollers 15, 17 leads to a safe state.

Ferner soll die Niederspannungs-Batterie 6, 7 eine erforderliche Entladung in das Niederspannungs-Bordnetz 21 sicherstellen, sofern eine solche Entladung nicht die Sicherheitserfordernisse der Niederspannungs-Batterie 6, 7 verletzt. Dies betrifft insbesondere einen Fahrbetrieb des Fahrzeugs.Furthermore, the low-voltage battery 6, 7 should ensure a necessary discharge into the low-voltage vehicle electrical system 21, provided that such a discharge does not violate the safety requirements of the low-voltage battery 6, 7. This relates in particular to driving operation of the vehicle.

Die Niederspannungs-Batterie 6, 7 darf ihren Entladepfad nur dann unterbrechen, wenn anderenfalls ihre eigenen ASIL B-Sicherheitserfordernisse verletzt werden würden. Ansonsten soll der Entladepfad der Niederspannungs-Batterie 6, 7 sicher verbunden bleiben.The low-voltage battery 6, 7 may only interrupt its discharge path if its own ASIL B safety requirements would otherwise be violated. Otherwise, the discharge path of the low-voltage battery 6, 7 should remain securely connected.

Beispielsweise soll im Falle eines Überspannungs- oder Überstromfehlers während des Ladens der Niederspannungs-Batterie 6, 7 der Entladepfad verbunden bleiben, so dass die Niederspannungs-Batterie 6, 7 das Niederspannungs-Bordnetz 21 weiter versorgen kann.For example, in the event of an overvoltage or overcurrent error while charging the low-voltage battery 6, 7, the discharge path should remain connected so that the low-voltage battery 6, 7 can continue to supply the low-voltage vehicle electrical system 21.

Dies wird durch die Verknüpfung der Signale der beiden Aktivierungsausgänge DCB der beiden Microcontroller 15, 17 mittels des UND-Glieds 23 einerseits und durch das Verzögerungsglied andererseits sichergestellt, wodurch einkanalige Fehler in Entladerichtung unterbunden werden. Ein Einzelfehler kann somit nicht zu einer sofortigen vollständigen Unterbrechung führen, sondern lediglich zu einem sicheren Zustand.This is ensured by linking the signals of the two activation outputs DCB of the two microcontrollers 15, 17 by means of the AND element 23 on the one hand and by the delay element on the other hand, whereby single-channel errors in the discharge direction are prevented. A single error can therefore not lead to an immediate complete interruption, but only to a safe state.

BezugszeichenlisteReference List

11
Hochvoltnetzhigh-voltage network
22
Hochvoltbatteriehigh-voltage battery
33
Trennschaltercircuit breaker
44
Verbraucherconsumer
55
Verbraucherconsumer
66
Niederspannungs-Batterie, Batterielow-voltage battery, battery
77
Niederspannungs-Batterie, Batterielow-voltage battery, battery
88th
GleichspannungswandlerDC converter
99
GleichspannungswandlerDC converter
1010
Zellenstapelcell stack
1111
Shuntshunt
1212
Sicherungfuse
1313
Ladeschutzschaltercharge protection switch
1414
Entladeschutzschalterdischarge protection switch
1515
erster Microcontrollerfirst microcontroller
1616
Batterieüberwachungschipbattery monitoring chip
1717
zweiter Microcontrollersecond microcontroller
1818
ODER-GliedOR gate
1919
weiteres ODER-Gliedanother OR element
2020
Verzögerungsglieddelay element
2121
Niederspannungs-Bordnetz, BordnetzLow-voltage vehicle electrical system, vehicle electrical system
2222
weitere ODER-Gliedfurther OR element
2323
UND-GliedAND gate
2424
Niederspannungs-Bordnetz, BordnetzLow-voltage vehicle electrical system, vehicle electrical system
AlertAlert
Warnausgangwarning exit
CAN_FDCAN_FD
Kommunikationsschnittstellecommunication interface
CCBCCB
Aktivierungsausgangactivation output
DCBDCB
Aktivierungsausgangactivation output
I_bat, I_bat2I_bat, I_bat2
StromElectricity
KL30KL30
Klemme 30, Batterieplus-AnschlussTerminal 30, battery positive connection
KL31KL31
Klemme 31, MasseTerminal 31, ground
T_bat, T_bat2T_bat, T_bat2
Temperaturtemperature
U_cellU_cell
Zellspannungcell voltage
U_packU_pack
SpannungTension
U_T30U_T30
SpannungTension

Claims (9)

Batterie (6, 7) für ein Bordnetz (21, 24) eines Fahrzeugs, umfassend einen Zellenstapel (10) aus mehreren in Reihe geschalteten galvanischen Einzelzellen, wobei der Zellenstapel (10) über einen Ladeschutzschalter (13) und einen Entladeschutzschalter (14) mit dem Bordnetz (21, 24) verbindbar ist, ferner umfassend einen ersten Microcontroller (15) und einen zweiten Microcontroller (17), wobei beide Microcontroller (15, 17) voneinander unabhängig zur Überwachung und/oder Validierung von Daten einschließlich Strömen, Spannungen und Temperaturen des Zellenstapels (10) konfiguriert sind, wobei beide Microcontroller (15, 17) ferner dazu konfiguriert sind, ihre Daten gegenseitig zu validieren, wobei beide Microcontroller (15, 17) jeweils einen Aktivierungsausgang (CCB) für das Öffnen des Ladeschutzschalters (13) aufweisen, wobei beide Microcontroller (15, 17) jeweils einen Aktivierungsausgang (DCB) für das Öffnen des Entladeschutzschalters (14) aufweisen, wobei die Aktivierungsausgänge (CCB) für das Öffnen des Ladeschutzschalters (13) über ein ODER-Glied (18) logisch miteinander verknüpft und mit dem Ladeschutzschalter (13) verbunden sind, wobei die Aktivierungsausgänge (DCB) für das Öffnen des Entladeschutzschalters (14) über ein weiteres ODER-Glied (19) logisch miteinander verknüpft sind, dadurch gekennzeichnet, dass der zweite Microcontroller (17) unterschiedlich zum ersten Microcontroller (15) ausgebildet ist, wobei die Aktivierungsausgänge (DCB) für das Öffnen des Entladeschutzschalters (14) zusätzlich über ein Verzögerungsglied (20) mit dem Entladeschutzschalter (14) verbunden sind, so dass dieser nach einer vorgegebenen Zeitverzögerung öffnet, wenn zumindest einer der beiden Microcontroller (15, 17) anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter (14) zu öffnen ist, wobei das Verzögerungsglied (20) über ein weiteres ODER-Glied (22) mit dem Entladeschutzschalter (14) verbunden ist, wobei die Aktivierungsausgänge (DCB) der beiden Microcontroller (15, 17) für das Öffnen des Entladeschutzschalters (14) ferner über ein UND-Glied (23) miteinander logisch verknüpft sind, dessen Ausgang ebenfalls auf das weitere ODER-Glied (22) gelegt ist, so dass der Entladeschutzschalter (14) entweder sofort öffnet, wenn beide Microcontroller (15, 17) anhand der von ihnen ermittelten Daten übereinstimmend entscheiden, dass der Entladeschutzschalter (14) zu öffnen ist, oder nach der vorgegebenen Zeitverzögerung öffnet, wenn nur einer der beiden Microcontroller (15, 17) anhand der von ihm ermittelten Daten entscheidet, dass der Entladeschutzschalter (14) zu öffnen ist.Battery (6, 7) for an on-board network (21, 24) of a vehicle, comprising a cell stack (10) made up of several galvanic individual cells connected in series, the cell stack (10) being connectable to the on-board network (21, 24) via a charging protection switch (13) and a discharging protection switch (14), further comprising a first microcontroller (15) and a second microcontroller (17), the two microcontrollers (15, 17) being used independently of one another for monitoring and / or validation of data including currents, voltages and temperatures of the cell stack (10) are configured, both microcontrollers (15, 17) are also configured to mutually validate their data, both microcontrollers (15, 17) each having an activation output (CCB) for opening the charging protection switch (13), both microcontrollers (15, 17) each having an activation output (DCB) for opening the discharging protection switch (14), the activation from outputs (CCB) for opening the charging protection switch (13) are logically linked to one another via an OR element (18) and connected to the charging protection switch (13), the activation outputs (DCB) for opening the discharging protection switch (14) being logically linked to one another via a further OR element (19),characterizedthat the second microcontroller (17) is designed differently from the first microcontroller (15), the activation outputs (DCB) for opening the discharge protection switch (14) being additionally connected to the discharge protection switch (14) via a delay element (20), so that the latter opens after a predetermined time delay if at least one of the two microcontrollers (15, 17) decides on the basis of the data it has determined that the discharge protection switch (14) is to be opened, the delay element (20 ) is connected to the discharge protection switch (14) via a further OR element (22), the activation outputs (DCB) of the two microcontrollers (15, 17) for opening the discharge protection switch (14) also being logically linked to one another via an AND element (23), the output of which is also connected to the further OR element (22), so that the discharge protection switch (14) either opens immediately if both microcontrollers (15, 17) determine using the en data agree that the discharge protection switch (14) is to be opened, or opens after the specified time delay if only one of the two microcontrollers (15, 17) decides on the basis of the data it has determined that the discharge protection switch (14) is to be opened. Batterie (6, 7) nach Anspruch 1, dadurch gekennzeichnet, dass der Zellenstapel (10) über eine Reihenschaltung aus einer Sicherung (12), dem Ladeschutzschalter (13) und dem Entladeschutzschalter (14) mit dem Bordnetz (21, 24) verbindbar ist.battery (6, 7) after claim 1 , characterized in that the cell stack (10) can be connected to the vehicle electrical system (21, 24) via a series circuit comprising a fuse (12), the charging protection switch (13) and the discharging protection switch (14). Batterie (6, 7) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Ladeschutzschalter (13) und der Entladeschutzschalter (14) jeweils als Feldeffekttransistoren ausgebildet sind, die antiseriell geschaltet sind, so dass ihre Bodydioden in entgegengesetzten Richtungen leitend sind.battery (6, 7) after claim 1 or 2 , characterized in that the charging protection switch (13) and the discharge protection switch (14) are each designed as field effect transistors which are connected anti-series, so that their body diodes are conductive in opposite directions. Batterie (6, 7) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ferner ein Batterieüberwachungschip (16) vorgesehen ist, der zur Überwachung von Zellspannungen (U_cell) von Einzelzellen des Zellenstapels (10), einer Temperatur (T_bat) der Zellen, und eines Stroms (I_bat2) durch den Zellenstapel (10) konfiguriert ist, wobei der erste Microcontroller (15) zur Validierung der vom Batterieüberwachungschip (16) bereitgestellten Daten konfiguriert ist.Battery (6, 7) according to one of the preceding claims, characterized in that a battery monitoring chip (16) is also provided, which is configured to monitor cell voltages (U_cell) of individual cells in the cell stack (10), a temperature (T_bat) of the cells, and a current (I_bat2) through the cell stack (10), the first microcontroller (15) being configured to validate the data provided by the battery monitoring chip (16). Batterie (6, 7) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Microcontroller (17) eine integrierte Batterieüberwachungsfunktionalität aufweist.Battery (6, 7) according to one of the preceding claims, characterized in that the second microcontroller (17) has an integrated battery monitoring functionality. Batterie (6, 7) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Microcontroller (17) zur Überwachung einer Spannung (U_pack) aller Zellen des Zellenstapels (10) in Reihenschaltung, einer Spannung (U_T30) an einem Batterieplus-Anschluss (KL30), eines Stroms (I_bat) durch den Zellenstapel (10) und einer Temperatur (T_bat2) der Zellen konfiguriert ist.Battery (6, 7) according to one of the preceding claims, characterized in that the second microcontroller (17) is configured to monitor a voltage (U_pack) of all cells in the cell stack (10) connected in series, a voltage (U_T30) at a battery positive connection (KL30), a current (I_bat) through the cell stack (10) and a temperature (T_bat2) of the cells. Batterie (6, 7) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste Microcontroller (15) und der Batterieüberwachungschip (16) ASIL C(D) entsprechen, und dass der zweite Microcontroller (17) ASIL B(D) entspricht.Battery (6, 7) according to any one of the preceding claims, characterized in that the first microcontroller (15) and the battery monitoring chip (16) are ASIL C(D) compliant and the second microcontroller (17) is ASIL B(D) compliant. Batterie (6, 7) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die vorgegebene Zeitverzögerung zwei Minuten beträgt.Battery (6, 7) according to one of the preceding claims, characterized in that the predetermined time delay is two minutes. Batterie (6, 7) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste Microcontroller (15) eine Kommunikationsschnittstelle (CAN_FD) aufweist, die als ein CAN-Transceiver ausgebildet ist, über die vom ersten Microcontroller (15) ein Fehler signalisierbar ist, wobei der zweite Microcontroller (17) einen Warnausgang (Alert) aufweist, der dazu konfiguriert ist, bei Aktivierung die Kommunikationsschnittstelle (CAN_FD) des ersten Microcontrollers (15) abzuschalten oder in einen reinen Empfangsbetrieb zu schalten.Battery (6, 7) according to one of the preceding claims, characterized in that the first microcontroller (15) has a communication interface (CAN_FD) which is designed as a CAN transceiver via which an error can be signaled by the first microcontroller (15), the second microcontroller (17) having a warning output (Alert) which is configured to switch off the communication interface (CAN_FD) of the first microcontroller (15) when activated or to switch to a pure receive mode.
DE102022002080.7A 2022-06-10 2022-06-10 Battery for a vehicle electrical system Active DE102022002080B3 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022002080.7A DE102022002080B3 (en) 2022-06-10 2022-06-10 Battery for a vehicle electrical system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022002080.7A DE102022002080B3 (en) 2022-06-10 2022-06-10 Battery for a vehicle electrical system

Publications (1)

Publication Number Publication Date
DE102022002080B3 true DE102022002080B3 (en) 2023-07-27

Family

ID=87068369

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022002080.7A Active DE102022002080B3 (en) 2022-06-10 2022-06-10 Battery for a vehicle electrical system

Country Status (1)

Country Link
DE (1) DE102022002080B3 (en)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3743962A1 (en) 1987-12-23 1989-07-13 Siemens Ag Power supply of an electric circuit in a vehicle
EP1107344A1 (en) 1999-05-17 2001-06-13 Matsushita Electric Industrial Co., Ltd. Circuit and device for protecting secondary battery
DE102010041492A1 (en) 2010-09-28 2012-03-29 Robert Bosch Gmbh Method and arrangement for monitoring at least one battery, battery with such an arrangement and a motor vehicle with a corresponding battery
DE102011076757A1 (en) 2011-05-31 2012-12-06 Robert Bosch Gmbh Security architecture, battery and a motor vehicle with a corresponding battery
US20140108896A1 (en) 2011-06-07 2014-04-17 Daesung Electric Co., Ltd. Error detecting device and method of a dual controller system
US20190031042A1 (en) 2016-01-29 2019-01-31 Bombardier Transportation Gmbh Arrangement with Battery System for Providing Electric Energy to a Vehicle
DE102017218734A1 (en) 2017-10-19 2019-05-09 Volkswagen Aktiengesellschaft High voltage operating system and method of operating a high voltage battery system
CN209600311U (en) 2018-12-25 2019-11-08 苏州工业园区和顺电气股份有限公司 Based on dual chip high reliability redundancy battery management system
DE102018210943B4 (en) 2018-07-03 2020-06-25 Leoni Bordnetz-Systeme Gmbh Vehicle electrical system and vehicle

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3743962A1 (en) 1987-12-23 1989-07-13 Siemens Ag Power supply of an electric circuit in a vehicle
EP1107344A1 (en) 1999-05-17 2001-06-13 Matsushita Electric Industrial Co., Ltd. Circuit and device for protecting secondary battery
DE102010041492A1 (en) 2010-09-28 2012-03-29 Robert Bosch Gmbh Method and arrangement for monitoring at least one battery, battery with such an arrangement and a motor vehicle with a corresponding battery
DE102011076757A1 (en) 2011-05-31 2012-12-06 Robert Bosch Gmbh Security architecture, battery and a motor vehicle with a corresponding battery
US20140108896A1 (en) 2011-06-07 2014-04-17 Daesung Electric Co., Ltd. Error detecting device and method of a dual controller system
US20190031042A1 (en) 2016-01-29 2019-01-31 Bombardier Transportation Gmbh Arrangement with Battery System for Providing Electric Energy to a Vehicle
DE102017218734A1 (en) 2017-10-19 2019-05-09 Volkswagen Aktiengesellschaft High voltage operating system and method of operating a high voltage battery system
DE102018210943B4 (en) 2018-07-03 2020-06-25 Leoni Bordnetz-Systeme Gmbh Vehicle electrical system and vehicle
CN209600311U (en) 2018-12-25 2019-11-08 苏州工业园区和顺电气股份有限公司 Based on dual chip high reliability redundancy battery management system

Similar Documents

Publication Publication Date Title
DE102012222208B4 (en) Method for the controlled connection of several on-board network branches of a vehicle, control unit for executing the method and on-board network
DE19855245B4 (en) Redundant power supply for electrical consumers
EP1561269B1 (en) On-board power supply network for supplying at least one consumer having high demands in terms of the availability of the on-board power supply network
DE102013106370B4 (en) Circuit protection
DE69738310T2 (en) Protection circuit and battery unit
EP3669432B1 (en) Shutdown device for an electric supply network
WO2012062255A2 (en) Inherently safe modular battery for accident-prone applications
WO2004016472A1 (en) Controller in a vehicle
DE102005031145A1 (en) Auto power source device
EP2777979A2 (en) Electrical intrinsically safe battery module with ultra-fast discharge circuit and method for monitoring a battery module
EP1378401B1 (en) Electric power supply
DE102007031565A1 (en) Accumulator with a fuse
WO2011121035A1 (en) On-board electrical system for a vehicle and also control apparatus for an on-board electrical system
DE102015107718B4 (en) Device and method for securing an electrical system component of a vehicle electrical system
WO2022002495A1 (en) Method for securing safety-relevant loads in a motor vehicle in particular
DE102008047502A1 (en) Device for energy distribution in electric vehicle, has pyrotechnic switch for irreversible separation of potential transformer i.e. unidirectional direct current/direct current converter, from electrical high voltage-intermediate circuit
EP3578418A1 (en) Motor vehicle electrical system, method for operating same, and fusebox for a motor vehicle electrical system
WO2022002496A1 (en) Device for safeguarding in particular safety-related loads in a motor vehicle
EP4084249B1 (en) Vehicle electrical system, in particular for a motor vehicle
DE10317362B4 (en) Vehicle electrical system and method for operating a vehicle electrical system
DE102018105826B4 (en) ELECTRICAL SUPPLY SYSTEM AND PROCEDURE
EP3698419A1 (en) High-voltage battery system and method for operating a high-voltage battery system
EP2779354B1 (en) Electrical intrinsically safe battery module with pole-reversible output voltage, and a method for monitoring a battery module
DE102022002080B3 (en) Battery for a vehicle electrical system
DE102018221201B4 (en) Motor vehicle control device with a plurality of supply connections for a redundant voltage supply and motor vehicle with the control device and method for operating the control device

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division