Been there done that (allerdings bei 100km/h). Bei VW Modellen führt es zu einer ABS-unterstützten Notbremsung bis zum Stillstand und GsD leuchtenden Bremslichtern 
Hmm, mit welchem System wurde dann notgebremst? Wenn die Hydraulik ausfällt (dafür früher die Seilzug-Handbremse als vollständig eigenständiges System), wie wirkt das ABS auf die elektrisch angetriebenen (?) Bremsbacken der elektrischen Bremse?. Anders gefragt, sorgt die Steuerung dafür, dass bei hoher Geschwindigkeit das zweite (Fallback) System blockiert wird und es bleibt nur das dritte System Karosserie?
Übertragen auf das BMS würde das BMS im Falle einer Sicherheitsabschaltung sich dann auch auf den Laderegler (reduzieren/abbremsen) verlassen, damit die eigenen MOSFET nicht überlastet werden.
Wobei es ja auch die Zweikreisbremsanlage (lt. Wikipedia tatsächlich redundant) gibt. Fahrschule ist lange her, scheinbar ist was falsch hängengeblieben.
Die frühere Funktion einer Feststellbremse, die auch bei Fahrt auf die Räder wirkte hatte praktisch nur bei Schleuderwenden, beim Bergauf-Anfahren, beim Abschleppen und beim Herausschauckeln aus Schneewechten Sinn. Diese Handbremse mit Seilzug ist übrigens nicht bei allen Fahrzeugmodellen ein “vollständig eigenständiges System” sondern teilt sich bei manchen Modellen die Bremsbacken mit der Betriebsbremse.
Die neueren elektrischen Feststellbremsen lassen sich nur bei stehendem Fahrzeug aktivieren (Da leuchten dann auch keine Bremsleuchten). Die ZUSÄTZLICHE Funktion die Betriebsbremsen bei Fahrt zu aktivieren halte ich für sinnvoll auch wenn ich die Funktionen für Schleuderwenden etc. vermisse 
Eine Analogie zum BMS kann ich da jetzt nicht erkennen. Feststellbremse ist und war nie ein Fallback für eine Betriebsbremse.
Womit wir wieder bei Abgrenzung wären - in diesem Fall eben ein gleicher Aktor. Wie ein Releais, das sowohl von Laderegler als auch BMS aktiviert (bei FailSafe=OFF) werden muss (d.h. der sichere Zustand "Bremsen" muss beim Auto im Gegensatz zum LKW mit Druckluftbremse aktiviert werden.
Ich habe in der österreichischen Fahrschule in den 90ern gelernt, dass die Handbremse als Fallback (nicht als Alternative zur Betriebsbremse) dient (wenn die hydraulische Bremse ausfällt), dessen bin ich mir sicher.
Mein aktuelles Fahrzeug aus dem VAG Konzern nutzt die Bremse als Einsparungspotential - früher hatte die Automatik noch die Position "P", da konnte mechanisch gesperrt nix rollen und es war auf den ersten Blick erkennbar. Jetzt wird die Stufe (D/R/P) elektronisch am Lenkrad gewählt und ich muss mich darauf verlassen, dass das Fahrzeug automatisch die Feststellbremse aktiviert und diese auch hält. D.h. eigentlich müsste ich das jedes Mal beim Abstellen über eine am Hebel hinter dem Lenkrad versteckte Kontrollleuchte prüfen.
Der Bezug zum Thread: Wenn durch Kommunikation mit anderen Geräten Einsparpotential im Gutzustand vorhanden ist, wird das irgendwann genutzt und reduziert damit ev. auch Flexibilität. Vielleicht ist man dann irgendwann gezwungen, die Regelkreise zu integrieren. Z.B. warum selbst Spannung messen, wenn man den Wert vom BMS bekommt? Entwickler haben immer weniger Verständnis von dahinterliegenden Zusammenhängen und die Erfahrung zeigt, dass manche Funktionen einfach verschwinden, weil der Entwickler nicht versteht, warum man sie in manchen Fällen doch braucht.
1 „Gefällt mir“
Naja wenn gar nichts mehr bremst. Die eigene Praxis hat gezeigt, daß die Handbremse kaum zu einer Verminderung der Geschwindigkeit beiträgt aber das Fahrzeug schnell aus der Bahn wirft. Für Übungsfahrten musste/muß das Fzg jedenfalls mit einer vom Fahrlehrer zu bedienenden Handbremse ausgestattet sein (weil sie zumindest doch ein wenig Bremswirkung hat). Neuere elektrische Handbremsen sollten dieses Kriterium grundsätzlich auch erfüllen auch wenn sie ein anderes Bremssystem aktivieren.
Beim zweiten Teil bin ich auch ganz bei dir. So scheint mein SH10RT durchaus Spannung und Stromfluß der Batterie zu messen nur sich wenig dafür zu interessieren. Ich habe das an anderer Stelle schon erwähnt: Die Batterie schickt über CAN-Bus Mindest-, Maximal- und Ist-spannung an den WR. Geprüft wird aber nicht gegen eine selbst gemessene Spannung sondern es wird gegen die gemeldete Ist-Spannung überprüft. Das dürfte so definitiv nicht sein und passt genau auf deine Mutmassung. Ich habe das durch absichtliche Manipulation der übermittelten Werte genau so feststellen können werde das aber nochmals überprüfen.
Also min/max/ist 180/240/200 bei effektiv 320V.
1 „Gefällt mir“
Dieser Faden ist ein Musterbeispiel für vden Wildwuchs von (fehlgeleiteten) Software - “Regelkreisen” aufgrund und mit Verwendung von BMS Daten.
Ein BMS soll die anderen Drei auslesen, addieren und an den WR weitergeben? Das ist doch schon im Ansatz falsch.
Richtig wäre, den maximal erlaubten Strom aller 4 BMS auszulesen und den Gesamtstrom dann zu senken, wenn ein BMS höheren Strom als erlaubt/gewünscht meldet. Es kann ja sein, dass ein BMS wegen uberschreitung von Temperatur Grenzen oder Einzelzellspannung niedrigeren Strom braucht als die anderen.
Dieser Wildwuchs ist Grund meiner Kritik. Nicht durchdachte Einzelfunktionen, nicht störungsfreie Implementierung, unbekannter Prufungsstand.
1 „Gefällt mir“
Das Konzept wird ja nicht dadurch komplett sinnlos, nur weil es da einen Einzelfall mit fehlerhafter Implementierung gibt.
Das es richtig umgesetzt werden muss, sollte natürlich eine nicht weiter erwähnenswerte Voraussetzung sein.
Oliver
-
Prämisse war, dass die Schutzabschaltung vom BMS nicht dafür gedacht ist z.B. jeden Tag den Ladevorgang bei voll zu stoppen
-
Prämisse war, dass Daten vom BMS auslesen böse ist und dieses nur Schutz der Batterie machen soll.
Für meine Argumentation hier definiere ich noch ein BSTASS (Batterie (Zellen)-Spannung (Zellen)-Temperatur Auslese (WR/LR)-Steuer System)
Wenn das BSTASS schlecht programmiert / parametrisiert ist hätte man genau das gleiche Problem.
Damit ist es egal ob ein BMS und BSTASS nun das gleiche Gerät sind oder nicht.
Die 2) Prämisse sollte daher eher lauten nehmt kein BMS dass kein ordentliches BSTASS ist!
Und wie oben schon heiß diskutiert würde ich sogar sagen:
Man sollte immer das BMS als zusätzliche Datenquelle für ein separates BSTASS einbinden. Nur somit bekommt man zusätzliche Redundanz.
Also von mir eine Kleine Rangliste:
ok: BMS und BSTASS in einem Gerät, dass anhand von den eigenen BMS-Daten und ausgelesenen WR/LR Daten ordentlich arbeitet.
ok: getrenntes BSTASS Gerät, dass anhand von ausgelesenen BMS-Daten und WR/LR Daten ordentlich arbeitet.
ideal: getrenntes BSTASS Gerät, das selber misst und zusätzlich mit ausgelesenen BMS-Daten und WR/LR Daten ordentlich arbeitet und plausibilisiert.
Das Konzept wird dadurch komplett sinnlos, dass es bisher keinen einzigen Einzelfall gibt, bei der diese Problematik überhaupt nur angedacht, geschweige denn berücksichtigt wurde.
Zumindest alle Fäden auf dem Board mit Problemen zu dem Thema bestätigen die im Faden oben geschriebene Kritik.
1 „Gefällt mir“
Vielleicht schreiben die anderen hier nicht?
Oliver
Schau mal unten rechts die Zahl der Posts. Ich hab die nicht alle selbst geschrieben.
Das sehe ich anders, und habe es in meiner beruflichen Praxis gemacht. Wie willst du anders sicherstellen, dass Messgeräte der Endprüfung von Produkten niemals einen Fehler machen durch ein Messgerät, welches aus der Genauigkeit herausläuft?
(Gelöscht)
Wer wissen will, wie man sowas macht kann das gerne erfragen. Dagegen ist die Zweikanaligkeit, die ich hier vorschlage, nur ein Anfang.
Wer zu dem Thema was grundlegendes Lesen will, kann mal nach Philip B. Crosby googeln.
Stichwort:
Quality is free.
Eine Grundaussage: Masstab für Qualität sind die Kosten des Versagens.
Auch auf die Gefahr, dass es als Selbstbeweihräucherung wahrgenommen wird: Für mich wahr intuitiv immer klar, das beim Aggregieren von mehreren Batteriepacks für die Bestimmung der maximal erlaubten Gesamtladeströme eine Regelschleife notwendig ist. Schon für den Fall nahezu identischer Akkupacks ist die Stromverteilung nicht ideal und bei Parallelbetrieb von unterschiedlich (alten) Packs erst recht. Somit ist ein einfaches Summieren der erlaubten Ladeströme ganz offensichtlich nicht hinreichend.
Ich habe bei meinem BMS deswegen für die Summe der erlaubten Ladeströme der Packs einen Abschwächungsfaktor eingebaut. Für jeden Pack wird jede Sekunde einmal der Ist-Strom gegen den maximal erlaubten Ladestrom verglichen. Wenn der Ist-Wert größer ist, wird der Abschwächungsfaktor reduziert. Der dem WR gemeldetet maximal erlaubte Ladestrom ist dann die “Summe der erlaubten Ladeströme der Packs“ mal den “Abschwächungsfaktor“.
Das ist mit Sicherheit noch keine perfekte Lösung für die Aufgabenstellung ( man könnte z.B. die Stromverteilungsfaktoren zwischen des Packs schätzen und dann als Feedforward-Anteil nutzen ) , sorgt aber dafür, dass sich nach einigen Sekunden ein Wert einpendelt, der für alle Packs akzeptabel ist.
1 „Gefällt mir“
Überhaupt nicht. Du spielst in einer anderen Liga.
Ich beklage im Grunde genommen, dass das ganze Thema darunter leidet, wie vermutet viele Schreiber (und Anwender) der zahlreichen Softwareteile mit dem Thema Gesamtsicherheit umgehen.
Ich sehe ausser deinem keinen einzigen Ansatz, dem ich für die sichere Benutzung trauen würde. Ich habe genug Software im Leben gemacht (es sind tatsachlich mehr als 50 Jahre) und glaube davon einiges zu verstehen.
Beispiele:
Da läuft Software, deren Funktion man nicht kennt, deren Urheber man nicht kennt, der Prufungsstatus man nicht kennt, und in der man keine Funktion überprüfen kann.
Aber beim Verlassen des Hauses die Tür zuschließen….
Vielleicht sollte ich doch mal einen Faden über Softwaresicherheit machen …
1 „Gefällt mir“
Diese Beispiele solltest du zusammen fassen und im ersten Beitrag einfügen. Es werden nicht die letzten sein .
Welche meinst du?
Welches du eben gepostet hast mit dem "Sun 12K" einen Post über meinen. Und Post 166 von dir...
Ich verstehe nicht ganz, was du meinst. Was ich einbinden soll : Ok.
aber wo im ersten beitrag ?
wenn es SoftwareSicherheit ist : ich bin druaf und dran, darüber mal eine Faden oder eine Gesamtdiskussion zu machen.
Als Beispiele warum man ein BMS nicht in Regelkreise einbindet. Du hast doch diese Beispiele selbst hier im Thread gepostet. Und wenn sie gleich auf der ersten Seite im ersten Post stehen kann man gut sehen das sowas auch Probleme mit sich bringen kann. Aber das geht natürlich auch in einem extra Thread.