Wenn ich deinen Beitrag lese, geht mir das genauso. Fehlendes Grundwissen, demzufolge falsche Schlussfolgerungen.
Und im sachlichen und höflichen Umgang ist da auch noch viel Luft nach oben.
Ich habe ja die Einzelspannungen und die Vollständigkeit und Korrektheit wird überprüft indem die Summe der Messungen mit der separat gemessenen Gesamtspannung verglichen wird. Fast genauso gut wie spearate Messungen !
Rückwirkung dahingehend, daß das Handy abschaltet weil die Batterie meldet daß sie leer ist 
Es geht nicht um eine bequeme Abschaltung - es geht um die Überprüfung einer Sicherheitseinrichtung und die Abwendung von daraus resultierenden Risken.
Aber nur das BMS kann feststellen, daß sein Relais defekt ist …..
edit: Vor allem geht es aber auch darum, daß Kriterien wie Ladeschlußspannung Bohrmaschinen-like nicht ausreichen, um daraus Rückschlüsse auf das Batterieempfinden ziehen zu können. Das ist wesentlich fehleranfälliger/gefährlicher als ein BMS, das seine errechneten Zustandsdaten nach aussen kommuniziert.
Du sagst es selbst: Fast.
Ich habe schon gesagt, dass ich deine Maßnahmen für ziemlich durchdacht halte.
Und ich bleibe dabei, das im anzunehmenden Fehlerfall eine Redundanz mehr … Substanz für eine ausreichende Funktionalität hat.
Ich verweise das auf meine PN an dich, in der ich dir Hintergrund für meine konsequente Betrachtung gegeben habe.
Wo war ich den unhöflich? Ich habe meine Meinung nieder geschrieben. Die passt dir vielleicht nicht, aber das ist noch kein Zeichen das ich unhöflich bin. Aktuell scheinst du auch der Einzige zu sein mit deiner Meinung, dass ein BMS nur diese eine Aufgabe haben sollte.
Sachlich wurde hier schon viele Gründe genannt. Ich habe z.B. gesagt es wäre dumm Informationen die vorliegen zu ignorieren. Wie mehr infos man hat desto bessere Entscheidungen kann man treffen. Wenn das nicht sachlich ist, sorry.
Ich hab in meinem Leben schon so oft “Urgedanke & Co” gehört. Interessanterweise haben sich die meisten nicht daran gehalten und bessere Produkte und Technologien entwickelt.
Vielleicht bin ich hier der einzige, der zum Zeitpunkt der Einführung von LiIon Akkus schon bis zu 20 Jahre Erfahrung hatte mit Elektronik, Werkzeugmaschinensteuerungen auf Controllerbasis , Methodenentwicklung Anlagensicherheit, sichere Pressensteuerung , Luftfahrtsicherheit usw. usw.
Btw, ich muss(te) andere Meinung haben als andere. Nur so finden man Neues, Lösungen für Probleme die noch keiner gelöst hat. Für mich ist Wissen nicht die Basis, was man wie macht, sondern die zu hinterfragende Basis um Neues zu finden.
Bist aber trotzdem der Meinung, daß keine Datenleitung aus dem BMS herausgehen soll/darf ….
Was passiert denn in deiner redundanten Implementierung wenn das Sicherheitsrelais klebt ? Der Laderegler lädt und lädt bis die Zellen überhitzen weil ja die Ladeschlußspannung noch nicht erreicht ist. Mehr als einen NTC hat der Laderegler leider nicht in die Batterie gehängt und misst nur die “Gesamtemperatur”. Ich frag für einen Freund 
Da redest du aber gleich von zwei Fehlern. Hast du auch dein System auf Sicherheit bei zwei Fehlern hinterfragt? Eine (zweifach) Redundanz kann imho nur einen Fehler abdecken. Dein System deckt solche Fehler ab, in denen für den fall faktisch Zweifachrefundanz drin ist. Die Kreuzüberprufung der Summenspannung beispielsweise.
Naja das “Sicherheitsrelais klebt” wird ja unerkannt zum Dauerzustand.
Eine fehlerhafte (und unerkannte) Spannungsmessung an einer oder mehreren Zellen für sich alleine spielt ja auch keine Rolle es sei denn sie hat eine defekte Zelle betroffen ?!
Zumindest habe ich mir alle denkbaren Fehler überlegt und glaube daß eine doppelte EInzelspannungsmessung keine sinnvolle Verbesserung wäre. Die Information daß die gemessenen Werte unplausibel sind und damit sofort eine Grenzwertüberschreitung = Abschaltung ausgelöst wird erscheint mir ausreichend. Neben den Einzeltemperaturen sind diese Spannungswerte für mich auch die einzigen relevanten Größen. Stellt das BMS aber beim Aufschalten fest, daß offenbar das Relais klebt ist für mich eine Alarmierung des Benutzers nicht ausreichend. Und der Zustand ist wesentlich präkerer als eine (aus welchem Grund auch immer) falsch gemessene Zelle. Darüber hinaus bleibt es dem Laderegler überlassen, selbst irgendwann abzuschalten. Diese Möglichkeit nimmt ihm ja niemand.
Uns beiden ist vollkommen klar, dass das ein sehr übler Fall eines Fehlers ist. Den als Beispiel eines Fehlers zu nehmen zur diskussion uber ein redundantes Sicherheitskonzeptführt führt nur in die irre.
Meiner Kenntnis nach hat in unserem bmsbereich nur @nimbus4 eine ernsthafte Prüfung dafür implementiert.
Kümmern tut sich niemand drum… egal wie oft ich sage “BMS Schalter sind keine Bezriebsschalter”. Weisst du doch. Deswegen ist weder Redundanz noch deine Lösung ein ernsthafter Weg, damit fertig zu werden. Und für die Diskussion bringt es gar nichts.
Was wäre DEIN Beispiel für einen Fehler der durch doppelte Spannungs- und Temperaturmessung erkannt werden würde ?
Es liegen widersprüchliche Meßwerte vor ergo Abschaltung.
Mein BMS verwendet vier “Subsysteme” zur Spannungsmessung Summe(24) = 79.80V + 79.72V + 79.77V + 79.78V rechnet diese Werte zusammen und vergleicht mit der permanent gemessenen Systemspannung.
Kriterien: Plausible Spannungsmessung ? Einzelzellspannungen zulässig ? Abweichungen zum Medianwert des jeweiligen Pakets ?
Abgesehen vom Kabelsalat müsste die Messung an verschiedenen Stellen des Busbars erfolgen denn wenn der einzelne Kabelschuh mit zwei Leitungen abgeht ….
Für mich bringt es mehr an Sicherheit, wenn ich das Hauptrelais stromfrei schalten kann - da nützen mir redundante Spannungsmessungen nichts !
Dein Problem ist aber dass du scheinbar so festgefahren bist mit deiner Meinung, das du alles andere ausblendest. Und das führt leider nicht zu was Neuem. Hinterfragen ist gut, aber offen sein für was anderes auch.
Die Aussage BMS darf nur XXX machen ist veraltet. Damit hat man angefangen und das war auch sicher gut, aber aber das passt nicht mehr in die aktuelle Zeit. Da spielen auch Faktoren wie Wirtschaftlichkeit und Praxistauglichkeit und vieles andere mit rein.
Sehe das Ganze als Produkt. Ich hab ein Akku. Dieses Produkt soll so gebaut sein das es in den meisten relevanten Fällen sich selber schützt und gleichzeitig alle wichtigen und relevanten Infos bereitstellt. Das Ganze muss dabei auch bezahlbar sein.
Und wenn du jetzt den Mega super Dupper Akku mit 3 gegeneitig überwachenden BMSen bauen würdest aber dafür 1000€ oder mehr kostet, dann landet es in der Bedeutungslosigkeit.
Es macht keinen Sinn mehrere sich gegenseitig prüfende System in ein Akku zu bauen. Es reicht wenn das System soweit aufgebaut ist und in den normalen Fällen in einen definierte Zustand verfällt (also Abschaltet). Und das tun Sie auch solange kein Defekt vorliegt oder Schrott verbaut wurde.
Sicher kann man an der ein oder anderen Stelle was verbessern, wie immer.
Sonst müsstest du auch weiter denken, Der Akku müsste Wasser dicht sein, könnte ja mal ein Wasserinbruch geben. Die Zellen müssten in Panzerstahl eingepackt werden, weil ein User könnte ja auch die Idee kommen und ein Nagel einschlagen. etc etc etc
Garkeines. Ich rede nicht vom Erkennen des Fehlers, sondern vom fehlen negativer Auswirkungen.
Und wenn man das wirklich beurteilen wollte, müsste man die beiden konkurrierenden Systeme mit einer kompletten FMEA beurteilen. Jeder mögliche denkbare fehler durchgedacht.
Hilft aber nichts wenn ich das Hauptrelais nach Möglichkeit stromlos schalten möchte. Das wird ohne Datenleitung zum Wechselrichter nicht funktionieren ! Also erst Geschwindigkeit reduzieren um Bremsklötze zu sparen die ich für den Ernstfall haben MUSS
Wenn du die systematischen Methoden zu dem Thema negierst wirst du nur ein Ergebnis bekommen: dein Wunschergebnis.
Die Prämisse, daß keine Information aus dem BMS gelangen darf ist für mich jedenfalls nicht akzeptabel, widersinnig und verschlechtert das System OHNE irgendeinen Mehrwert zu bringen.
Gut genug für die Handbohrmaschine aber nicht für ein System aus Batterie und Wechselrichter imo.
1 „Gefällt mir“
Das hab ich aber so nicht formuliert.
Dann habe ich das falsch verstanden ?
Weiss ich nicht.
Was ich meine, ist Verwendung der vom bms ausgelesenen Daten für eine Rückwirkung ins bms hinein im sinne einer Regelschleife.
Rückwirkung ist ein dehnbarer Begriff.
Natürlich soll jede Verbindung insofern rückwirkungsfrei sein, daß die Sicherheitseinrichtungen des BMS dadurch nicht beeinträchtigt werden oder sogar ausser Gefecht setzen (Überspannungen, Potentialunterschiede etc.).
Eine Rückwirkung besteht aber auch dadurch, daß der Laderegler/Inverter auf “Anraten” des BMS Ladeleistungen anpasst. Das ist ja der gewünschte Nutzen. Der Laderegler/Inverter erhält hier optionale zusätzliche Informationen und kann/soll sich auch weiterhin an die sonstigen Kriterien halten. Also findet hier immer nur eine Regelung “nach unten” statt und alle anderen Grenzparameter bleiben weiterhin gültig. Das BMS erfüllt weiterhin seine Schutzfunktionen und der Laderegler kennt die Grenzwerte der Batterie auch OHNE diese Datenverbindung.
Ich weiß wirklich nicht, was daran verwerflich, schlecht oder riskant sein sollte - ganz im Gegenteil. Es schafft mehr Betriebssicherheit.
Im Fall der Bohrmaschine würde diese dann bei einem leeren Akku eben nicht noch ein paar Runden drehen bis die Spannung wieder einbricht.
Ich habe mehr und mehr das Gefühl, dass einer der größten Unterschiede in den Meinungen schlichtweg aufgrund von unterschiedlich definierten Begriffen entstehen. In guter Dokumentation werden deshalb erst mal die verwendeten Begriffe genauer definiert, das geht aber auch nie vollständig und sehe ich in der Praxis, dass selbst Objekte, die in relativ alten Normen definiert sind (bei mir konkret die von einer IEC abgelöste S88) bei verschiedenen Kunden und selbst innerhalb der Projekte unterschiedlich definiert werden. Auch, weil sich Möglichkeiten und Anforderungen weiterentwickeln und sich vor 30 Jahren noch niemand vorstellen konnte, was irgendwann möglich und gewünscht sein wird.
Womit ich wieder zur Redundanz zurückkomme, denn auch in den angeführten Beispiele sehe ich keine redundanten System sondern zwei Kreise, das BMS ist und bleibt eine Art Sicherheitseinrichtung für den Laderegler. Die eigentliche Frage ist dabei, warum man sie zusammenschaltet. Möchte man ein besseres Gesamtsystem, kommt man nicht um eine Kommunikation herum. D.h. wenn man das BMS nicht als Betriebsschalter missbrauchen möchte (diesbezüglich stimmt dir vermutlich jeder in diesem Thread zu), ist es sehr sinnvoll, wenn das BMS dem Laderegler vorher sagen kann "du, mach mal langsamer, sonst muss ich abschalten".
Wenn jeder für sich arbeitet, steigt die Wahrscheinlichkeit für ungünstige Betriebszustände/Aktionen, eben weil man sich auf die jeweils andere Sicherheitseinrichtung verlässt. Wenn also der Handyhersteller die Stromaufnahme heimlich höher legt, betreibt er eigentlich Sabotage des Gesamtsystems.
Es kommt also immer auf den Zweck an, für den man die Daten aus dem BMS in der Regelung verwendet. Wenn es um das Ausreizen von Toleranzen geht (nach dem Motto, wenns dem anderen nicht passt, wird er schon abschalten), ist das kein sicheres Design. Meist muss man aber einen Kompromiss zwischen Sicherheit und Verfügbarkeit finden. Aus IT-Sicht ist ein ausgeschalteter Computer am sichersten, nur lässt sich schlecht damit arbeiten.
Im Auto habe ich zwei unabhängige Bremskreise und mit beiden sollte ich das Auto zum Stehen bringen. Redundant sind sie trotzdem nicht, denn ich möchte lieber nicht versuchen, die elektrische Handbremse bei 200 zu aktivieren. K.A. was passieren würde (ob die Regelung das verhindert oder die Räder blockieren).
Könntest du bitte mit einem Beispiel helfen? Eine Steuerungsebene, die automatisch Grenzwerte ändert? In der Regel gibt das BMS doch nur Sollwerte vor und das hat keine Rückwirkung auf das BMS.
Wenn der Laderegler NUR die Spannung aus dem BMS verwendet, hat das keinen Einfluss auf die Sicherheit, nur sinkt dabei die Betriebssicherheit (ich meine Verfügbarkeit) (Kommunikationsausfall). Aber selbst bei diesem erst mal trivialen Fall hängt die Beurteilung wieder am Ziel bzw. der Reaktion. Wenn der Laderegler z.B. eine vom BMS als zu hoch gemessene Spannung ignoriert, senkt die redundante Messung die Sicherheit zugunsten der Verfügbarkeit.