DMC5 -; Inverter safety unit (ISU) Informationsblatt

DMC5 – Inverter safety unit (ISU)
Informationsblatt
Version 1.0
BRUSA Elektronik AG
Neudorf 14
CH-9466 Sennwald
+4181 758 19 00
info@brusa.biz
www.brusa.biz

1 EINFÜHRUNG ............................................................................................................... 3
2 WICHTIGE HINWEISE ZUR SICHERHEIT ................................................................... 3
3 INVERTER SAFETY UNIT (ISU) ................................................................................... 4
3.1 Architektur und Gesamtkonzept im Gesamtfahrzeug ....................................................................... 4
3.2 Was bedeutet ISU und warum ist sie notwendig? ............................................................................. 4
3.3 Funktionsweise der ISU ........................................................................................................................ 4
3.4 Einflussgrößen auf Funktionsweise der ISU ...................................................................................... 5
3.5 Warum ISU nur optional? ..................................................................................................................... 5
4 BLOCKSCHALTBILD ................................................................................................... 6
5 VERANTWORTUNGSBEREICHE FÜR GEWÄHRLEISTUNG DER SICHERHEIT ..... 7
eite 2 von 7

Version Datum Name Kommentar
1.0 01.12.2011 Holger Schmidt neues Dokument
1 Einführung
Die Inverter Safety Unit (ISU) ist ein optional integrierbares Sicherheitsmodul des Umrichters DMC5 und
bietet die Möglichkeit, diesen eigensicher zu betreiben.
Dieses Dokument erläutert das Konzept und die Funktionsweise der ISU und zeigt die Möglichkeit einer
kundenspezifischen Weiterentwicklung zum Erlangen der erforderlichen Sicherheitsanforderung für das Gesamtsystem.
2 Wichtige Hinweise zur Sicherheit
Für alle Fahrzeuge, die im öffentlichen Verkehr laut der länderspezifischen Verkehrsordnung betrieben
werden, wird dringend empfohlen, das Sicherheitskonzept in Anlehnung an die geltende
ISO26262 zu entwickeln!
Die Firma BRUSA Elektronik AG kann ausschließlich die Sicherheit des Umrichters in sich gewährleisten
– NICHT die Sicherheit des Gesamtsystems, in welches der Umrichter implementiert wird!
Die ISU wurde nach der geltenden ISO26262 als SEooC (Safety Elements Out Of Context) für ASIL-
C entwickelt. Dies bedeutet, dass Annahmen über Schutzziele des Gesamtsystems getroffen wurden.
Für die Sicherheit des Gesamtsystems ist der Integrator* verantwortlich.
Solange das Sicherheitssystem des Fahrzeugs noch nicht den Anforderungen nach ASIL-C entspricht,
bzw. noch keine Abnahme durch eine zertifizierte Stelle durchgeführt wurde, empfehlen wir
dringend die Installation eines Notfall – Tasters, mit welchem der Fahrer das Fahrzeug jederzeit im
Notfall abschalten kann!
Wir empfehlen, während der Entwicklungszeit ausschließlich geschultem Fachpersonal, welches in
die Gefahren eines Elektrofahrzeugs eingewiesen ist, den Zugang zum Fahrzeug zu gewähren!
* Person oder Unternehmen, welche den Umrichter in ein Fahrzeug – Gesamtsystem integriert und dieses in Verkehr bringt.
eite 3 von 7

3 Inverter safety Unit (ISU)
3.1 Architektur und Gesamtkonzept im Gesamtfahrzeug
Mit der Integration eines elektrischen Antriebs in einem Fahrzeug müssen grundlegende Überlegungen bezüglich
Maßnahmen in der Fahrzeugarchitektur gestellt werden, um Zustände zu überwachen und mit entsprechendem
Einwirken auf Komponenten einen sicheren Zustand zu erreichen.
3.2 Was bedeutet ISU und warum ist sie notwendig?
Die ISU ist als übergeordnete Sicherheitseinrichtung zu betrachten. Da bei elektrischen Antriebssträngen in
der Regel im Fehlerfall keine mechanische Kraftfluss-Unterbrechung vorhanden ist, muss die Sicherheit am
Antriebsstrang anderweitig gewährleistet werden. Das vom Antriebsmotor generierte Moment muss dabei in
allen möglichen Situationen sicher und beherrschbar sein. Die ISU überwacht ständig das erzeugte Drehmoment
des Antriebsmotors und schaltet den Umrichter im Fehlerfall unmittelbar ab.
Steuerungsseitig muss die ISU immer so ausgelegt sein, dass diese unter Berücksichtigung aller möglicher
Fehler und Gefahren ausfallsicher funktioniert und bei Eigenausfall das Fahrzeug in einen sicheren Zustand
versetzt. Folgende Gefahren können z.B. vom Antriebsmotor ausgehen:
Zu starke Rekuparation
Unerwartete Fahrbewegung
Vorzeichenfalsche Fahrbewegung
3.3 Funktionsweise der ISU
Die ISU überwacht die Phasenströme und Phasenspannungen des Antriebsmotors. Daraus wird fortlaufend
ein Drehmoment errechnet (geschätztes Moment), welches mit dem vom Umrichter angeforderten Drehmoment
(Soll-Moment) verglichen wird. Bei einer Verletzung bestimmter parametrierbarer Regeln und Grenzwerte
wird von einem Fehler ausgegangen und der Umrichter unmittelbar abgeschaltet.
Um den Umrichter abzuschalten und das Fahrzeug dadurch in einen sicheren Zustand zu führen, stehen
folgende Abschaltpfade zur Verfügung:
Klemme 15
Klemme 30
Pin ExtAW1 + ExtAW2
Die Ausgänge ENA OUT1 und ENA OUT2 können genutzt werden, um im Fehlerfall weitere Komponenten
(z.B. Verbindung zur HV-Versorgung) abzuschalten.
Das Blockschaltbild in Kapitel 4 zeigt die Kommunikationswege zwischen den einzelnen Antriebskomponenten
und verdeutlicht die getroffenen Aussagen.
eite 4 von 7

3.4 Einflussgrößen auf Funktionsweise der ISU
Verschiedene Antriebskonzepte erfordern unterschiedliche Massnahmen zur Herstellung der Sicherheit.
Vorwiegend der Einsatz zweier Antriebe auf einer Achse (ohne mechanische Kupplung) erfordert einen
enormen Aufwand zur Gewährleistung der Sicherheit. Nach Einschätzung der Firma BRUSA Elektronik AG
wird bei dieser Konstellation bereits ASIL-D benötigt, was wiederum durch das Gesamtsystem gewährleistet
sein muss.
Folgende Tabelle zeigt eine Übersicht der möglichen Antriebskonzepte:
Frontantrieb einzeln und
doppelt
Heckantrieb einzeln und
doppelt
Allradantrieb einzeln und
doppelt
3.5 Warum ISU nur optional?
Grundsätzlich ist die Hardware des Umrichters DMC5 bereits dafür ausgelegt, das Erreichen von ASIL-C zu
ermöglichen. Aufgrund der unterschiedlichsten Kundenanforderungen sowie der verschiedenen Integrations
– Varianten im Fahrzeug ist es jedoch nicht möglich, eine übergreifende ISU zu entwickeln, welche alle Kundenbedürfnisse
abdeckt. Dies wurde in den vorigen Kapitel verdeutlicht.
eite 5 von 7

4 Blockschaltbild
Seite 6 von 7

5 Verantwortungsbereiche für Gewährleistung der Sicherheit
Grundsätzlich ist zu beachten, dass für die Gesamtsicherheit beim Einsatz der Komponenten der Integrator
verantwortlich ist. Dies gilt für den Einsatz im Fahrzeug wie auch auf einem Prüfstand. Einzelheiten hierzu
sind im Abschnitt 10 der geltenden ISO26262 zu finden.
Die Firma BRUSA Elektronik AG bietet Unterstützung bei der Umsetzung der Sicherheitsanforderungen und
wird generell unterstützend wirken. So können parallel zur Entwicklung der Musterstände die Sicherheitsmaßnahmen
stufenweise eingeführt werden
Folgende Grafik zeigt eine mögliche Entwicklungsschiene:
A-Muster
Prototyp Prüfstand / Fahrzeug
ISU ist integriert aber NICHT
aktiviert
B-Muster
Verifikation
Erste Sicherheits-
Erkenntnisse sind bereits in
ISU implementiert
C-Muster
Kundenfahrzeug
Volle Sicherheitsanforderungen
laut ISO26262 sind integriert*
* Um den erforderlichen Sicherheitslevel (ASIL-C oder ASIL-D) zu erreichen, muss ein kundenspezifisches Projekt
gestartet werden. Es empfiehlt sich, für die Beurteilung des Gesamtsystems eine zertifizierte Stelle (z.B.
TÜV) beizuziehen.
Seite 7 von 7