Internationales Verkehrswesen (71) 3 | 2019 72 TECHNOLOGIE Elektromobilität Integrale Sicherheit für Elektrofahrzeuge Elektromobilität, Sicherheit, Cybersecurity, Elektrische Sicherheit, Chemische Sicherheit, Mechanische Sicherheit Für die erfolgreiche Einführung von Fahrzeugen mit alternativen Antriebskonzepten sind zahlreiche Herausforderungen zu meistern. Hierzu gehört für eine gesellschaftliche Akzeptanz auch die Gewährleistung eines mit konventionellen Fahrzeugen vergleichbaren Sicherheitsniveaus. Gefährdungen durch Ursachen, die konventionelle Fahrzeuge nicht betreffen, wie z.B. Batteriebrand, müssen bei Elektrofahrzeugen weitgehend ausgeschlossen werden. Dieser Beitrag umreißt die verschiedenen zu betrachtenden Schwerpunkte eines umfassenden integralen Sicherheitsverständnisses für Elektrofahrzeuge. Lars Schnieder, René S. Hosse A lternative Antriebskonzepte werden zukünftig in immer stärkerem Maße einen Beitrag dazu leisten, die verkehrsbedingten Schadstoffemissionen (Stickoxid, CO 2 und Feinstaub) zu reduzieren. Auch ist mit ihrer Markteinführung die Hoffnung verbunden, die Abhängigkeit der deutschen Volkswirtschaft von fossilen Brennstoffen zu reduzieren. Diese Fahrzeuge schaffen die Grundlage einer nachhaltigen Mobilität und ermöglichen die Verkehrswende. Für die erfolgreiche Einführung von Fahrzeugen mit alternativen Antriebskonzepten sind zahlreiche Herausforderungen zu meistern. Diese sind nicht nur technischer Natur. Vor allem gehör hierzu vor dem Hintergrund der gesellschaftlichen Akzeptanz auch die Gewährleistung eines hohen Sicherheitsniveaus. Das Sicherheitsniveau innovativer Fahrzeugkonzepte muss mindestens genau so gut, wenn nicht gar besser als das konventioneller Fahrzeuge sein. Gefährdungen durch Ursachen, die konventionelle Fahrzeuge nicht betreffen, müssen bei Elektrofahrzeugen weitgehend ausgeschlossen werden. Gefährdungsquellen stellen hier primär das Batteriesystem sowie die vollelektronische Antriebssteuerung dar. So muss unter anderem das Batteriesystem exotherme chemische Reaktionen in der Batterie sicher verhindern. Elektrische Antriebe, elektrische Bauteile und die elektrische Verkabelung sind grundsätzlich nicht weniger sicher als vergleichbare Bauteile bei Benzin- oder Dieselmotoren. Können klassische Antriebssysteme allerdings noch effizient durch mechanische Komponenten gesteuert werden, erfolgt die Regelung von elektrischen Antrieben vollständig mittels elektrischer, elektronischer und programmierbarer elektronischer Systeme (E/ E/ PE-Systeme). Diese erhöhen den Komplexitätsgrad und den Anteil am im Fahrzeug befindlicher sicherheitsrelevanter Software. Die gesellschaftlichen, rechtlichen und vor allem wirtschaftlichen Folgen unsicherer Elektrofahrzeuge können für die Fahrzeughersteller und die Zulieferer verheerend sein. Hier können bereits wenige Videos von sich selbst schnell entzündenden Fahrzeugen einen viralen Effekt im Internet erzeugen. Dieser wirkt sich unmittelbar negativ auf das Ansehen der Firma aus und belastet den Börsenkurs. Aus diesem Grund ist ein umfassendes Sicherheitsverständnis in der Entwicklung innovativer Fahrzeugkonzepte gefordert. Nachfolgend werden die verschiedenen zu betrachtenden Schwerpunkte eines umfassenden integralen Sicherheitsverständnisses für Elektrofahrzeuge umrissen (vgl. Tabelle 1). Elektrische Sicherheit Gegenüber konventionell angetriebenen Fahrzeugen ergeben sich bei Elektro- und Hybridfahrzeugen neue Risikopotenziale insbesondere aus dem vorhandenen Hochvolt-Bordnetz und den eingesetzten Hochvolt-Energiespeichern. Stromschläge müssen vermieden werden. Dies gilt sowohl im Zusammenhang mit Verkehrsunfällen als auch bei Transport, Wartung und Instandhaltung der Fahrzeuge. Im Vordergrund steht hierbei der Schutz von Personen vor spannungsführenden Teilen. Dies wird durch die folgenden technischen Maßnahmen erreicht: • Verhindern direkter Berührungen: Eine direkte Berührung wird durch Verwendung entsprechender Gehäuse, Abdeckungen bzw. geschützter Stecker erreicht. • Verhindern indirekter Berührungen: Durch einen Fehler auftretende Gefährdungen, beispielsweise durch unter Spannung Disziplin Ziel Schutzmaßnahmen Elektrische Sicherheit Vermeidung sicherheitskritischer Systemzustände und Personenschutz Sicherheitsgerichtete Auslegung von Hochvoltsystemen und -komponenten Chemische Sicherheit Vermeidung sicherheitskritischer System-Ausfälle und Personenschutz Schutz vor Austritt von Substanzen und Gasen, Maßnahmen des Eplosions- und Brandschutzes Mechanische Sicherheit Schutz vor mechanischen und umweltrelevanten Einflüssen Konstruktion und Auslegung von Komponenten, Gehäusen und Entwicklung aktiver Sicherheitsfunktionen Funktionale Sicherheit Vermeidung sicherheitskritischer Systemausfälle sicherheitsgerichteter Entwurf sicherheitsrelevanter elektronischer Steuerungssysteme Automotive Cybersecurity Schutz vor unberechtigtem Zugriff Dritter Absicherung sicherheitsrelevanter elektronischer Steuerungssysteme Tabelle 1: Integrale Betrachtung der Sicherheit im Bereich Elektromobilität Internationales Verkehrswesen (71) 3 | 2019 73 Elektromobilität TECHNOLOGIE stehende Gehäuseteile, sind zu verhindern. Hierzu ist es erforderlich, die Isolation zwischen aktiven Hochvoltteilen und Gehäusen entsprechend einschlägigen Standards zu dimensionieren und zu prüfen. Außerdem ist es notwendig, ein Sicherheitskonzept zu entwickeln, das beispielsweise Aspekte wie die Entladedauer des Zwischenkreises und die Implementierung einer Isolationsüberwachung umfasst. Für die zielorientierte Umsetzung der elektrischen Sicherheit sind eine Reihe nationaler und internationaler normativer Vorschriften anzuwenden. Auf Grund der umfassenden und praxisbewährten technischen Regelwerke ist die Umsetzung der elektrischen Sicherheit von Elektrofahrzeugen eine geringe Herausforderung. Chemische Sicherheit Hohe Energiedichten bergen im Falle einer Fehlfunktion erhebliche Gefahren. Dies trifft insbesondere auf die aktuell verwendeten Lithium-Ionen-Batterien zu. Vor diesem Hintergrund ist die nachgewiesene Sicherheit dieser Batteriezellen für ihren Einsatz in Elektrofahrzeugen von zentraler Bedeutung. Die chemische Sicherheit der Einzelzellen wird wesentlich durch die Zellchemie (Kathode, Anode, Elektrolyt) bestimmt. Besonders kritisch ist hierbei das so genannte thermische Durchgehen der Batteriezelle. Dieses thermische Durchgehen wird durch eine zellinterne exotherme Reaktion ausgelöst. Dies kann letztendlich bis zum Brand oder zur Explosion einer Zelle führen. Ausgelöst wird diese Reaktion durch mehrere Einflussfaktoren (vgl. Darstellung in Tabelle 2). Die bei einer exothermen Reaktion freiwerdende Wärme bewirkt eine verstärkte Bereitstellung von Aktivierungsenergie. Dieses führt zu einer kontinuierlich gegebenenfalls zunehmend stärkeren Reaktion. In diesem Zusammenhang wird der Effekt der Selbstbeschleunigung deutlich. Kritisch ist, dass dieser Prozess nicht mehr gestoppt werden kann und es zu einer Zersetzungsreaktion kommt. Andere Zellen, die sich in direkter Nähe zur betroffenen Zelle befinden, werden in Mitleidenschaft gezogen. Auch dort findet dann der gleiche chemische Prozess statt. Zellinterne, intrinsische Maßnahmen bestimmen die Eigensicherheit der Batteriezellen. Zu diesen Maßnahmen gehören beispielsweise keramische Separatoren, temperaturstabile Kathodenmaterialien oder Elektrolytzusätze, die den Flammpunkt erhöhen. Zusätzlich hierzu müssen aber auch Überwachungsfunktionen vorgesehen werden. Diese Gegenmaßnahmen sind in Tabelle 2 den Gefährdungsursachen zugeordnet. Überwachungsfunktionen werden im Zusammenhang mit der Funktionalen Sicherheit diskutiert. Mechanische Sicherheit (strukturelle Integrität) Gerade im Falle eines Unfalls können mechanische Einflüsse die Batterien im Fahrzeug schädigen (siehe Tabelle 1). Hinsichtlich des Crashverhaltens weisen Elektrofahrzeuge positive und negative Eigenschaften auf: • Positiv wirkt sich die Anordnung der Batteriemodule im Unterboden des Fahrzeugs aus. Hierdurch weisen Elektrofahrzeuge eine günstige Verteilung des mechanischen Schwerpunkts im Fahrzeug auf, was sich positiv auf das Überschlagsverhalten des Elektrofahrzeugs auswirkt. • Negativ wirkt sich das geringe Gewicht des Elektrofahrzeugs aus. Um die Reichweite von Elektrofahrzeugen zu erhöhen, werden besondere Leichtbauanforderungen an Elektrofahrzeuge gestellt. Dies stellt besondere Herausforderungen für die Beherrschung eines anzunehmenden Zusammenstoßes mit einem schweren Fahrzeug dar. Insbesondere der letzte Punkt verdeutlicht, dass zukünftig neben der klassischen crashfesten Auslegung von Elektrofahrzeugen auch auf Unfallvermeidung ausgelegte Assistenzsysteme, die auf die Erfordernisse des Stadtverkehrs ausgelegt sind, einen signifikanten Beitrag zur Erhöhung der Sicherheit von Elektrofahrzeugen im Stadtverkehr leisten. Hierbei muss in der Auslegung der Assistenzsysteme der Nachweis erbracht werden, dass diese unbekannte/ unsichere Ereignisse hinreichend sicher beherrschen (vgl. [1] und [2]). Dies ist vor dem Hintergrund der Komplexität urbaner Verkehrsszenarieneine großeHerausforderung. Funktionale Sicherheit Für die Gewährleistung der Sicherheit im Betrieb werden umfassende Sicherheitskonzepte für Gesamtsysteme (elektrischer Antriebsstrang) ausgehend von einer Gefährdungs- und Risikoanalyse (Hazard Analysis and Risk Assessment, HARA) ausgearbeitet. Diese Gefährdungen werden weiter auf die Subsysteme und Komponenten (bspw. Batteriemanagementsystem oder Pulswechselrichter) des elektrischen Antriebsstrangs heruntergebrochen. Die Gefährdungen werden in einem szenariobasierten Ansatz (vgl. [3], [4] und [5]) ermittelt (z. B. das Laden des Fahrzeugs, das Fahren in verschiedenen Verkehrssituationen oder aber der Werkstattaufenthalt). Auf der Grundlage erkannter Gefährdungen werden für den Anwendungszweck geeignete Sicherheitskonzepte abgeleitet, implementiert und getestet. Diese Vorgehensweise kann anhand des Batteriemanagementsystems verdeutlicht werden. Das Batteriemanagementsystem überwacht die Batteriesysteme auf Temperatur, Druck, Art der Gefährdung Folge der Gefährdung Ursache der Gefährdung Gegenmaßnahme (Beispiel) selbstverstärkender Erhitzungsprozess der Batterie durch Bereitstellung von Aktivierungsenergie („thermisches Durchgehen“, bzw. „thermal runaway“) Ausgasung, Rauchentwicklung, Elektrolytaustritt, Explosion, Feuer Kurzschluss (extern): Penetration der Außenhaut des Stromspeichers durch ein Metallteil Panzerung der Batteriemodule, Anordnung der Batteriemodule im Unterboden des Fahrzeugs Kurzschluss (intern): Isolation der Elektroden versagt, da die Temperaturbeständigkeit des Separators überschritten wurde Einsatz von Materialien für den Separator mit hoher Temperaturbeständigkeit Überladung: Freigesetzter Sauerstoff aus der Kathode reagiert exotherm mit Elektrolyt oder Anode. Überwachungselektronik trennt die Zelle von den äußeren Kontakten, bis die zu hohe Spannung nicht mehr anliegt. Tiefentladung: elektrochemisch aktive Materialien in Anode und Kathode geraten in elektrischen Kontakt („Kupferbrücken“), was zu einem Kurzsschluss führt Abschaltung elektrischer Verbraucher bei Unterschreitung eines Grenzwertes der Akkuspannung Erwärmung (durch Umwelt): Versagen der Isolation der Elektroden führt zu Kurzschluss. Temperaturüberwachung, Thermomanagement; Anordnung im Unterboden schützt vor Sonneneinstrahlung Tabelle 2: Betrachtung von Fehlermöglichkeiten und Fehlereinflüssen im Zusammenhang mit der chemischen Sicherheit von Batteriezellen Internationales Verkehrswesen (71) 3 | 2019 74 TECHNOLOGIE Elektromobilität Spannung, Strom, State of Charge (SOC, Ladezustand) und State of Health (SOH). Kritische Zustände wie thermisches Durchgehen (Thermal Runaway) einzelner Zellen werden durch Maßnahmen wie Trennung der Batterie vom Ladesystem oder Regelung der Kühlleistung durch das Batteriemanagementsystem verhindert. Über diese technischen Maßnahmen hinaus sind aber auch angemessene Entwicklungsprozesse zu etablieren, um systematische Fehler in der Realisierung der jeweiligen Produkte zu vermeiden. So werden beispielsweise Sicherheitskonzepte Sicherheitsanalysen unterzogen (zum Beispiel in Form einer Failure Modes and Effects Analysis, FMEA) oder durch unabhängige Personen in der Entwicklung begutachtet. Automotive Cybersecurity Auch die IT-Sicherheit und der Datenschutz sind zentrale Bestandteile für den Erfolg alternativer Antriebskonzepte. Elektrofahrzeuge sind über Ladesäulen mit vielen Infrastrukturkomponenten vernetzt [6]. Sicherheitsfragen betreffen deshalb nicht nur die Elektrofahrzeuge an sich, sondern auch ihre Anbindung an das intelligente Energienetz (Smart Grid) sowie zu Backend-Systemen zur Abrechnung einzelner Ladevorgänge (vgl. Bild 1). Konkrete Bedrohungen ergeben sich beispielsweise hinsichtlich des Schutzes vor Stromdiebstahl, der Verhinderung von Angriffen aber auch bezüglich des Unterbindens des Bildens von Bewegungsprofilen durch die Aufzeichnungen der Ladesäule. Hierfür müssen alle möglichen Bedrohungen strukturiert erfasst und bewertet werden. Die hieraus resultierenden Schutzziele sind Grundlage der Ableitung geeigneter Architekturen (vgl. [7]). Dies wird in einem umfassenden Ansatz auch als „Security in depth“ (tiefgestaffelte Verteidigung) bezeichnet. Bild 1 zeigt diese Modellvorstellung verschiedener unabhängig voneinander auf verschiedenen Systemebenen wirkender Schutzmechanismen, die an eine durchgeschnittene Zwiebel erinnern. Am Ende muss die vollständige und korrekte Umsetzung der zuvor identifizierten Maßnahmen durch verbindlich durchzuführende Testverfahren nachgewiesen werden (vgl. [8]). Vor dem Hintergrund der sich stetig weiter entwickelnden technischen Möglichkeiten der Angreifer ist die Cybersecurity keine Momentaufnahme, sondern eine fortwährende Aufgabe über den gesamten Lebenszyklus der Elektrofahrzeuge. Fazit und Ausblick Die Besonderheiten von Elektrofahrzeugen bergen im normalen Betrieb grundsätzlich keine höheren Risiken für die Sicherheit. Es liegen hierfür umfassende technische Regelwerke für die verschiedenen Aspekte eines integralen Sicherheitsverständnisses vor, deren Einhaltung die Hersteller im Rahmen ihrer Konstruktionspflicht (vgl. hierzu Rechtsprechung im Zusammenhang zu unerlaubten Handlungen nach § 832 BGB nach [9] und [10]) nachweisen. Allerdings müssen auch nach Inverkehrbringen der Elektrofahrzeuge den Nutzern, Haltern und Verkehrsteilnehmern mögliche Gefährdungen bewusst gemacht werden, damit diese potenzielle Gefahren minimieren können. Dies ist Gegenstand der Instruktionspflicht des Herstellers. Notwendig ist das Einhalten von einfachen Verhaltensregeln. Hierbei tritt auch der vorhersehbare Fehlgebrauch (Foreseeable Misuse) in den Vordergrund und ist von den Fahrzeugherstellern und -zulieferern von Beginn an mit zu bedenken und nach Möglichkeit zu vermindern (hinsichtlich der Auswirkungen und der Wahrscheinlichkeit). Letzlich sind auch wirksame Mechanismen der Produktbeobachtung (Produktbeobachtungspflicht) sowie bei erkannten sicherheitsrelevanten Vorkommnissen auch Eskalationspfade bei den Automobilherstellern hinsichtlich der Umsetzung korrektiver Maßnahmen erforderlich (Pflicht zur effektiven Gefahrsteuerung, vgl. [11]). Es wird deutlich, dass die Umsetzung eines integralen Sicherheitsverständnisses für die Akzeptanz bei Inverkehrbringen alternativer Antriebskonzepte eine notwendige aber nicht hinreichende Bedingung ist. Die Automobilindustrie muss dem Lebenszykluskonzept der internationalen Normen folgend in der Betriebsphase der Elektrofahrzeuge durch Felddaten untermauern, dass die bei der initialen Zulassung der Fahrzeuge angenommenen Prämissen (Häufigkeiten und Schwere von Unfällen) in der Praxis tatsächlich gültig sind. Nur auf diese Weise wird eine nachhaltige gesellschaftliche Akzeptanz alternativer Antriebskonzepte erreicht. ■ LITERATUR [1] ISO/ PAS 21448: 2019: Road vehicles - Safety of the intended functionality [2] Schnieder, Lars und René Hosse (2019): Leitfaden Safety of the Intended Functionality - Verfeinerung der Sicherheit der Sollfunktion auf dem Weg zum autonomen Fahren. Springer (Berlin) [3] ISO 26262: 2011 Road vehicles - Functional safety [4] SAE J 2980-2018. Considerations for ISO 26262 ASIL Hazard Classification [5] VDA 702: 2015: Situationskatalog E-Parameter nach ISO 26262-3 [6] Schnieder, Lars (2018): Schutz Kritischer Infrastrukturen im Verkehr - Security Engineering als ganzheitlicher Ansatz. Springer (Berlin) [7] SAE J 3061: 2016-01-14: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems [8] Schnieder, Lars und René Hosse (2018): Leitfaden Automotive Cybersecurity Engineering - Absicherung vernetzter Fahrzeuge auf dem Weg zum autonomen Fahren. Springer (Berlin) [9] Bundesgerichtshof, Urteil v. 09.12.1986, Az.: VI ZR 65/ 86, „Honda-Fall - Motorrad-Lenkerverkleidung“ [10] Bundesgerichtshof, Urteil v. 16.06.2009, Az.: VI ZR 107/ 08, „Airbag- Urteil“ [11] Klindt, Thomas und Boris Handorn (2010): Haftung eines Herstellers für Konstruktions- und Instruktionsfehler. In: Neue Juristische Wochenschau 63 (2010) 16, S. 1105 - 1108 Lars Schnieder, Dr.-Ing. Director Assessment Service Center, ESE Engineering und Software Entwicklung GmbH, Braunschweig lars.schnieder@ese.de René S. Hosse, Dr.-Ing. Lead Assessor Automotive, ESE Engineering und Software Entwicklung GmbH, Braunschweig rene.hosse@ese.de Bild 1: Security in Depth (Zwiebelschalenmodell) Darstellung: Verfasser