Streitschrift - Warum man BMS nicht in Regelkreise einbindet

Also nochmals weil es mir keine Ruhe lässt.

LFP Zelle/n 96 Stück 700kg und reichlich giftige Gase wenn es zum GAU kommt.

Regelkreise hin oder her.

Es gibt folgende Parameter, die irgendwie auf ein Batterieproblem hinweisen können:
Zellspannung jeder einzelnen Zelle
Zelltemperatur jeder einzelnen Zelle
Kurzschluß oder unzulässig hoher Ent/Ladestrom
Gasaustritt innerhalb des Batteriegehäuses
Eventuell Ausdehnungsdruck der Zellen
Das Zellalter

Ich hoffe ich habe nichts vergessen ?

So wie gehen wir das an ? Wir zeichnen ein FMEA Diagramm weil wir das so gelernt haben. Erledigt !

Wir platzieren Sensoren an den Zellen um diese kritischen Parameter zu überwachen.
Wir prüfen die Messung der Sensoren auf Plausibiltät.
Wir schaffen eine Sicherheitseinrichtung, die bei Grenzwertüberschreitung oder fehlerhaften Sensoren das Risiko soweit wie möglich reduziert. (Bis hin zur Alarmierung oder dem Einleiten von Löschhandlungen).
Und wir schaffen Betriebsbedingungen, die die Erreichung kritischer Zustände möglichst verhindert.

• eine Heizung
• ein angeschlossenes Gerät regeln oder abzuschalten

Ein Sensor, dessen Meßwerte profund auf Aktualität und Plausibiltät geprüft worden ist, ist mir in diesem Zusammenhang übrigens viel lieber, als mehrere Sensoren mit unterschiedlichen Meßergebnissen was letzendlich auch nichts anderes als eine “In-Frage-Stellung” ist, Plausibilisierung ist mir hier lieber als die “Mittelwertbildung” von zig Sensoren.

Abgesehen davon, daß namhafte Hersteller nur einen Teil dieser Aufgaben in ihren Produkten realisiert haben, sehe ich hier kein Verbesserungspotential.

Ich haben fertig und wenn es hier nicht zu ernsthaften Vorschlägen kommt erachte ich diesen Thread als wenig nützlich.

Ich habe dich @carolus konkret nach einem Blockdiagramm eines für dich idealen Systems gefragt - passende Antwort dazu habe ich keine erhalten.

Über FMEA, Redundanz und Flugzeugabstürze zu schreiben. Warum nicht. Konkrete umsetzbare Ideen zu liefern, zu recherchieren was kommerzielle (VDE/CE-geprüfte) Anbieter so zu den Kunden stellen, Beurteilungsfehler konkret aufzuzeigen …. Leider Fehlanzeige !

LG, Tom

Du denkst nur an Batterieprobleme.

Was ist mit Defekte des Prozessors, des AD Wandlers, zeitweise gestörter Datenübertragung, Speicherfehler, Kondensatordefekte, NTC Defekte (zeigt immer 28 Grad), Kurzschluss von Sensorkabel, Softwarefehler ?

Oder einfach zu hoch eingestellter Max Spannung im BMS durch Bediener?

Irgend jemand hat oben geschrieben, trotz aller Redundanz wären auch Flugzeuge abgestürzt. Und warum sind die abgestürzt? Wegen Defekte, an die man nicht gedacht hat und für die es keine Redundanz gab.

Vielleicht habe ich das nicht deutlich genug gesagt: es geht mir um Resilienz gegen Defekte, die in der Folge den Akku schädigen.

Es geht mir also nicht um Defekte des Akkus oder um Überwachung des Akkus , um Akkudefekte zu erkennen und einzudämmen.

Die Überwachung auf Akkudefekte kann man machen, muss sich aber dem obigen unterordnen. Das Thema könnte man mal getrennt diskutieren, denn mir ist z.b nicht bekannt, ob man mit Temperaturüberwachung der Akkuzellen einen beginnenden Schaden rechtzeitig erkennen und eindämmen kann.

Es gibt für das von mir kritisierte Problem kein Blockdiagramm, oder wenn doch ist es dadurch beschrieben, wie ich es getan habe: kein Auslesen der Daten aus dem BMS.

Ich wüsste z.b. auch nicht, wie ich dein sehr spezielles System und die der anderen auch nur ungefähr in ein Blockdiagramm bringen könnte.

Konkret umsetzbar ist es ein BMS deiner Wahl aufzubauen oder zu kaufen.

Und ein System mit Wandler, Panels und was weis ich. Lastregelung, nulleinspeisung, untertemperaturfunktionen usw.

Immer wenn ihr eine Messwert vom Akku dazu braucht, lest ihr nicht das bms aus, sondern macht einen Sensor an den akku zusätzlich dafür dran.

(Es gibt auch für Bleiakkus gekegentlich Temperatur sensoren. Die waren auch nicht am Akku angeschlossen, sondern am Laderegler.)

Das heisst für die Temperatur des Akkus einen extra NTC, für die Zellspannungen einen bms-ahnlichen AD Wandler. Oder Einen NEEY, wenn der nicht schon da ist.

Damit könnt ihr alles regeln, überwachen und berücksichtigen, soweit die Software reicht.

Und wenn DA ein Fehler drin ist, dann ist immer noch das heile BMS da.

Völlig egal wenn jeder dieser Fehler zu einer Trennung der Batterie führt !

Hehe ! Also in meinem BMS gibts eine Maximale Max-Spannung - da kann niemand nichts höher einstellen. Und die Firmware ist signiert, also auch patchen hilft da nichts.

Ich fürchte die Schwerkraft. Damit so ein Ding oben bleibt muß vieles stimmen und bestimmt haben vor dem Absturz rote Alarmleuchten geleuchtet. Eine Sicherheitsabschaltung wie bei einer Batterie hilft da leider nichts - nicht mit Resilienz, Redundanz, FMEA oder zusätzlichen Sensoren an den Triebwerken ….

EIN Schutzsystem, das bei Ausfall unter allen Bedingungen “den Stecker zieht”. Jede weitere Redundanz bringt nichts !

Es gibt nur das BMS.

Das bringt genau nichts. Und stell dir vor jemand stellt die Maximaltemperatur in Fahrenheit statt Celsius ein. Und wenn “DA ein Fehler drin ist, ist immer noch das heile BMS da” - wer sagt, daß das BMS heil ist ???

Das Credo kann nur sein - maximaler Schutz der Zellen auch wenn der angeschlossene Laderegler oder die Kommunikation zu diesem gestört ist. Ob Meßwerte des BMS kommuniziert werden oder nicht spielt für mich dabei keine Rolle.
Dazu kommt:

• Risikokompensation “Ach wenn die Temperatur unzulässig ist, habe ich ja noch das BMS - das ignoriere ich mal gleich” vulgo Pilotenfehler
• Common mode failure (passt wohl auch gut auf Flugzeugabstürze)

Im BMS Redundanz einzubauen (am besten anderer Prozessor, andere Programmiersprache, anderer Entwickler, anderer Hersteller, anderer Kabeltyp, ein zweites Relais in Serie, PTC statt NTC, …) - würde meine Batterie zum Mars fliegen dann vielleicht

Zu den Aufgaben eines BMS zähle ich auch ein derating d.h. eine Leistungsbegrenzung und da sich das schwer innerhalb einer Batterie implementieren lässt → Kommunikation mit dem WR.
Dann muß auch der “Notaus-Betriebsschalter” nicht abschalten

Ein Nachtrag: solche und ähnliche Fäden und Posts über das Thema gibts in Unmengen.

Keine einheitliche Funktionalität, Kompatibilitätsprobleme abhängig von jeweiliger Firmwareversion, unbekannter und ungetesteter ( und damit als unsicher geltender ) Code und Funktionalität. Unbekannter Aufgabe und funktion von Variablen, zweifelhafter Umfang der Funktionalität.

Wenn das mal beseitigt wäre, könnte die Diskussion im Sinne des Themas überhaupt erstmal beginnen.

Und die wirklichen Probleme digital geschlossener Regelkreise habe ich hier auf dem ganzen board noch nicht angesprochen gesehen.

So sehr ich dich schätze aber ich kann deinen Argumenten trotzdem nicht ganz folgen. Die Hauptaufgabe ist und bleibt für mich kritische Zustände möglichst zu vermeiden.

Eine Einflußnahme des BMS (noch immer nicht geklärt was das genau ist) auf andere Komponenten um diese kritischen Zustände möglichst zu vermeiden erfordert eine “Einbindung in Regelkreise” um eben regeln zu können solange das möglich ist. Ist dieser Regelkreis gestört (z.B. der Wechselrichter reagiert oder kommuniziert nicht mehr richtig) arbeitet das BMS immer noch im sicheren Bereich (dazu bei mir bald hoffentlich bald auch mit “Environmental Sensor”). “Was wenn” Szenarien müssen natürlich berücksichtigt werden aber sobald irgend ein Meßwert unplausibel wird abzuschalten (auch ohne redundante Spannungs-, Strom-, XY-Messung) und dann vielleicht auch aktiv Sicherheitsmaßnahmen (wie Alarmierung oder Aktivierung von Sicherheitseinrichtungen) ist m.E. völlig ausreichend. Der “Regelkreis” zu einem möglichen Verursacher des Problems (wie Überladung oder Tiefentladung) ist hier für mich eine zusätzliche aber keine behindernde Option.

Das ist nicht schlimm, ich vertrage das.

Wir unterscheiden uns wohl in den Bewertungskriterien für die Details von Situation, Aufgabe und Risiken.

Situation: Ein System aus Batterie, Lade/Entladegerät (evtl.im HV-Bereich) im privaten Bereich

Aufgabe: Reibungsloser Betrieb unter Einhaltung aller Spezifikationen und möglichst hoher Effizienz

Risiken: Risiken in erster Linie durch physikalisch/chemische Prozesse (Zellchemie) hervorgerufen in den meisten Fällen durch Nichtbeachtung der “Aufgaben”. Ein weiteres Risiko wäre eine unnötige Zellalterung oder vermeidbare Zerstörung von Systemkomponenten.

Wie sieht das der “Gesetzgeber”: Geschwindigkeitsbegrenzungen, Airbag, Verbandspaket, ….
oder: Batterieraum (F90), F300 Rauchabsaugung, Abnahme, Brandschutzkonzept, Feuerwehrnotschalter, …..

Unterscheiden sich da unsere Meinungen ?

Kaum. In dem Rahmen nicht merklich.

Der erste Teil des Satzes wird nie passieren. Software wird immer fehlerbehaftet sein. Eigentlich muss man sogar gerade deshalb die Diskussion beginnen und das sehe ich als ein Problem bei digital geschlossenen Regelkreisen. Bei jedem Bestandteil muss man nicht nur mit eigenen Fehlern, sondern auch noch mit sich änderndem Verhalten z.B. durch ein Firmwareupdate rechnen. Man könnte ja denken, dass das Problem bei Produkten vom gleichen Hersteller kleiner ist, aber in der Praxis stimmt ja noch nicht mal das (verschiedene Entwicklerteams, keine Zeit mehr für Integrationstests bei immer komplexer werdenden Szenarien).

Ich sehe auch im referenzierten Thread keine Begründung für den Threadtitel hier. Ich habe den Deye nicht selbst in Betrieb, insofern muss ich ein wenig raten. Ich würde aber sagen, dass es dort mehrere Ursachen gibt und Verschiedenes gemischt wird.
So ist mir nicht klar, ob es wirklich nur um ein im Regelkreis integriertes BMS geht. Ich würde eher sagen, dass es zwei Regelkreise gibt, die erwartungsgemäß nicht absolut identisch agieren. Das BMS gibt einen Sollwert (RCV) vor, hat aber keinen eigenen Aktor. Der Deye hat den Aktor (Ladestrom), priorisiert aber seine eigene Messung (wie weit der Soll- oder IstWert vom BMS überhaupt verwendet wird, ist fraglich). Zudem unterscheiden sich die Messungen, rückwärts gerechnet mit einer Messtoleranz im Bereich von <0,1% vom Momentanwert je Gerät (oben im Thread ist von 70mV die Rede). Ich habe meine Zweifel, dass die Messgeräte der meisten Forumsteilnehmer überhaupt so genau sind.
Dann kommt noch der SoC als berechneter Wert hinzu, wobei mir nicht klar, ob er im dortigen Thread ein Problem darstellt.
Aus Sicht des TE macht der Deye nicht, was er soll, aber vielleicht tut er das doch und nur die Messwertanzeige des BMS ist falsch, oder es ist ein Datentyp/Rundungsfehler bei Übertragung der RCV, oder.... Und das führt mich zurück zum Thema hier: Ohne die Kopplung der Systeme wäre das Problem wahrscheinlich nie aufgefallen. Vielleicht gibt es aber auch kein Problem und die Erwartungshaltung und/oder Messmethoden sind falsch/ungenau, weil z.B. die beiden Spannungen nicht exakt zur gleichen Zeit gemessen werden.
So gesehen kann ich nachvollziehen, warum man ein BMS nicht einbinden sollte, das sind dann aber weniger technische Gründe (abgesehen von der zu berücksichtigenden Komplexität), als vielmehr das mangelnde Verständnis bzw. Definition von Rollen und Fähigkeiten der einzelnen Geräte sowie die Schnittstellen.

Das sehe ich auch so.

Was aber kein Grund ist, die bekannten Methoden zur Fehlerfreiheit bei Software NICHT anzuwenden. Und das wird komplett ignoriert.

Ich empfehle dazu den Ansatz “Quality is free” von Philip Crosby. Und die Methoden der Luftfahhrt.

Sehr richtig.

Und warum zerstört man das Konzept einer Redundanz und verwässert das ganze in einem einzigen Eierlegende-Wollmilchsau-Bastelregelkreis aus unzuverlässigen oder unzureichend getesteten Komponenten und unbekannten Funktionen?

Meiner Ansicht nach gibt es in den allermeisten Fällen eben keine Redundanz, die man folglich auch nicht zerstören kann. Es gibt unterschiedliche Steuer- oder Regelkreise, die jeweils Daten (Soll/Ist) des anderen verwenden.
Wenn sich ein Kreis auf den anderen verlässt oder der Bastler die Grundlagen nicht versteht, gebe ich dir recht ("bitte BMS nicht nicht einbinden"). Wenn man die Daten als zusätzliche Inputs verwendet, kann daraus aber ein Mehrwert an Komfort und Sicherheit entstehen. Dazu zählt auch, den jeweils anderen Kreis zu überwachen. Bei völlig unabhängigen Kreisen geht das im Zweifel nur mit einer weiteren Überwachungsebene.
Und da fangen dann auch die teils kritischen Unterschiede zwischen Basteln und Professionalität an. Leider wird inzwischen auch im Profibereich gebastelt und man hat auch da ein typisches Henne-Ei Problem - um zu verstehen, dass man etwas nicht beherrscht, braucht man oft schon einiges an Wissen.
Ich "befürchte" jedenfalls, wir werden spätestens bei detaillierter Betrachtung unterschiedlicher Meinung zum Threadtitel bleiben, aber das ist ja auch nicht schlimm. In der Praxis und für viele Anwender ohne entsprechende Grundlagen stimme ich dir dennoch zu: "Lasst die Systeme getrennt".

Die Ur-Idee des BMS ist Redundanz, aber es ist gerade modern das nicht mehr so zu sehen.

Ich habe genug professionelle Software gemacht, mit der ich das Thema Fehlerfreiheit mir erarbeiten konnte.

Ich sehe eine Wahrscheinlichkeit, dass ich auf diesem Board am längsten Software gemacht habe (als Zeitpunkt des Beginns) . Was aber in sich natürlich nichts bedeutet. Aber ich habe Kreise gemacht unter Arbeitsschutzgesetz und auch hochwahrscheinlicher Todesfolge bei Fehlfunktion. Und da beschäftigt man sich mit dem Thema Fehlerfreiheit, und den Methoden das so gut es geht sicherzustellen.

Für mich kann EIN BMS keine Redundanz darstellen, sondern nur Teil ein (Sicherheits-)Kaskade sein. Ein redundantes System bedeutet für mich (und Wikipedia), dass ein zweites System die Funktion des ersten mehr oder weniger vollständig übernehmen kann, falls ersteres ausfällt. Das kann man auf unterschiedlichen Ebenen machen, irgendeinen Flaschenhals wird es aber in der Praxis trotzdem immer geben, weil es sonst extrem komplex wird (und durch die Komplexität neue Fehlerquellen reinkommen).
Zum Trennen der Batterie müssten die Aktoren der BMS (Redundanz für Sicherheit) seriell geschaltet werden (d.h. beide müssen sagen "ok"), während eine Ladestromregelung anders aufgebaut wird. D.h. die verantwortlichen Geräte bzw. deren Zusammenschaltung ändern sich auch noch mit der Aufgabe, für die eine Redundanz oder besser gesagt Funktionssicherheit gewünscht ist.

Vollkommen richtig. Das bedeutet aber nicht, dass das gleiche Systeme sind.

Im Falle des Akkus heisst das, das die Last/Ladeegelung sich um Maximal/Minimalspannung, und Einhaltung der Maximalströme kümmern muss. Beispiel anlaufstrom oder Blockierung Handbohrmaschine.

Und wenn das defekt ist, ist noch das BMS da und schützt den Akku. (Der sich nämlich z.B. an einem Kurzschluss so aufreibt, dass er ggf. In Brand geraten kann).

Im falle eines Handys ist das genauso bzw. noch differenzierter. Der Akku hat ein BMS drin, welches klare Abschaltkriterien hat. Das handy kann ( über die Sendeleistung) den Strom in weiten Grenzen steuern. Was es auch tut. Auch mit Rücksicht auf die spezifikation das akku. Und gleichzeitig ist durch das BMS sicherhestellt, dass der handyhersteller nicht etwa heimlich die Szromaufnahme höher auslegt… und für die versagenden Akkus Garantieansprüche stellt. Da dürftest du sehr klar die Redundanz sehen.

Bleibt die Frage offen, wie Bohrmaschine oder Handy erkennen, daß der Akku fast ller geworden ist …. Meine Bohrmaschine legt auch bei fast leerem Akku munter los um dann bei Spannungseinbruch abzuschalten. Meine Handy warnt “noch 2% - Gerät schaltet in 30 Sekunden ab”.

Bleibt die Frage offen, wie Bohrmaschine oder Handy ausser über den Spannungseinbruch den Ladezustand erkennen und ob es nicht redundanter wäre wenn der Akku seinen “Zustand” an die Maschine meldet und sich die Bohrmaschine erst gar nicht mehr einschalten liesse.

Würde ich in mein BMS mehr Redundanz bringen wollen, müsste ich die Zellspannungen und -temperaturen doppelt messen, und ein zweites Hauptrelais in Serie montieren. Das macht für mich aber aufgrund der Tatsache, daß die Einzelspannungsmessungen gegen eine zusätzliche Messung der Gesamtspannung auf Plausibilität geprüft werden wenig Sinn. Beim Hauptrelais sieht das natürlich anders aus, aber gerade WEIL das BMS Einfluß nehmen kann, schaltet dieses im Regelfall immer stromlos und ist auch wesentlich überdimensioniert.

Von “aussen” betrachtet sieht meine Wechselrichter-“Bohrmaschine” nur eine Systemspannung und wie aussagekräftig diese bei 96 in Serie geschaltenen LFP-Zellen ist wissen wir.

Interessant auch, daß (laut KI) aktuelle Handyakkus auch mit einer Datenleitung ausgestattet sind, über die Zyklenzahl, Seriennummer und Restkapazität an das Handy-Motherboard übertragen werden….. +Bat, -Bat, NTC, Datenleitung

Sieht für mich nach einer Einbindung in Regelkreise aus (und das bei nur einer einzigen Zelle) ? Also die “verpönte” Datenleitung aus dem BMS …..

Edit: Ein festklebendes Trennrelais stellt für mich das grösste Sicherheitsrisiko dar. Über den zusätzlichen Regelkreis hat mein BMS trotzdem die Möglichkeit, den Laderegler/verbraucher abzuregeln. Für mich wesentlich relevanter als eine redundante Spannungsmessung !

Diesen Blödsinn kann ich nicht mehr hören. Irgend jemand baut etwas und sagt dass er das zum Zweck X gebaut hat. Und ab dann dürfen alle nur noch diesen Weg wählen, weil dass der “Ur-Gedanke” ist? Wenn die Menschheit so denken würde, würden wir vermutlich immer noch mit Sperr in der Hand Tiere jagen.

Sorry wenn ich dass jetzt was überspitzt ausgedrückt haben. Aber es ist völlig unerheblich was irgendwer mal gesagt/getant oder gedacht hat wofür er etwas gemacht hat. Es gibt kein Ur-Gesetz dass das verlangt!

Aus meiner Sicht ist es völlig bescheuert auf Messwerte zu verzichten die vorliegen. Wie mehr Daten man hat desto besser. Somit ziehe ich auch die Messwerte von einem BMS mit ein.

Es ist immer eine Frage wie man damit umgeht.

Redundanz im BMS isst völlig übertrieben. Es mag sicher Einsatzszenarien geben wo das nicht ausreicht. Ich hoffe du läßt deine Elektroinstallation auch quartalsweise prüfen oder kaufst dir regel mäßig neue Autos sobald neue Sicherheitssystem auf den Markt kommen.

Übrigens sehe ich Redundanz auch eher in "mehrere Akkus” als in Sicherheitsssystemen. Und wenn man echte Redundanz haben möchte, dann sprechen wir von etwas das auch kein BMS liefert. Da müssten zwei BMS arbeiten die sich gegenseitig prüfen etc.

Also ich muss also auch sagen, dass ich deine Meinung nicht teile. Zumindest was das Thema BMS betrifft. Bei den anderen Themen schätze ich dein Fachwissen und die Meinung.

Aber diese hier ist meiner Meinung nach völlig realitätsfremd. Aber ich bin mir sicher das du damit gut umgehen kannst. Man kann auch nicht immer einer Meinung sein, das wäre ja auch schlimm

Richtig. Genauso.

Du willst aber für den Regelkreis die Einzelspanngen haben… dann reicht die GesamtSpannung nicht.

Für Unterspannung der Gesamtspannung reicht das schon. Das wäre auch schon ein Anfang.

Und nur weil Bohrmaschine Hersteller aus Kostengründen, und bei minimalem Risiko beim Akkuverlust, von der Zweikreisigkeit weggehen, muss man das bei Akkugrössen oberhalb 10 kWh nicht genauso machen.

Gibt es denn Ruckwirkungen dieser erfassten daten? Ist die von der BMS Funktionalität schaltungsmäßig getrennt?

Daher mein Spruch: ein BMS ist kein bequemer Bezriebsschalter. Jede bms Abschalrung hat als Störung und Defekt zu gelten, bei der die Ursache beseitigt und das BMS überprüft wird.

Dagegen habe ich dich garnichts. Er darf nur nicht aufgrund von bms Daten arbeiten.

da bin ich übrigens wieder bei dir!