Diese Aussage kann ich mir nur durch ein fundamentales Missverständniss darüber erkären, was bei der Kommunikation zwischen BMS und WR über CAN im Detail passiert.
Bezogen auf das Pylontech/Victron/SMA Protokoll sieht das so aus, dass der WR mit typ. 1 Hz eine Art heartbeat ( ID 0X305 ) an das BMS sendet und das BMS mit einer Reihe von Datenpaketen antwortet.
Das ganze CVL, DCL, CCL, ... läuft im wesentlichen über ein einziges Paket mit ID 0x351
Die Pack-Strom- und Spannungsmessungen vom BMS wird in einem Paket mit ID 0x356 geschickt.
Wenn nun der WR seine Strom- und Spannungsmessungen mit denen aus Paket ID 0x356 vergleicht und bei einer zu großen Abweichung jeglichen Stromfluss zum/vom BMS unterbricht, hat das keinerlei schädliche Auswirkung auf das BMS.
Wenn kommt es zu einer "falsch positiven" Abschaltung, bei der man natürlich über die Konsequenzen in der konkreten Anlage diskutieren könnte. Das hat dann aber nichts mehr mit BMS-Sicherheit zu tuen.
Der WR hat über diesen CAN bus keinen Zugriff auf irgendwelche Einstellungen des BMS! Warum sollte er auch?
Man könnte jetzt eine "Denial of Service" Attacke gegen das BMS konstruieren, in dem man es mit CAN Nachrichten bombadiert.
Erstens werden durch HW Filter sowieso nur die IDs überhaupt zum MCU durchgereicht, die erwartet werden, und zweitens ( bezogen auf mein BMS ) würde man wenn überhaupt nur den ESP32 "überlasten" können, während alle primären Schutzfunktion unabhängig davon in HW ablaufen.
Deine Aussage ist also schlicht nicht haltbar.
Die Ingenieure bei Texas Instruments haben bei dem AFE, das ich einsetzte, immerhin die Notwendigkeit gesehen eine ganze Reihe von Schutzfunktionen einzubauen:
Insbesondere eine Plausibilisierung gegen "Steckenbleiben" des Multiplexers und eine Möglichkeit die Spannungsreferenz gegen eine zweite zu plausibilisieren.
Ob das aus unmittelbaren Zuverlässigkeitsanalysen der analogen Halbleiter oder mehr aus "pro forma Compliance" zu "Functional Savety" Prinzipien erfolgt ist, kann ich nicht mit Gewissheit beantworten.
Das Ganze hat aber auch noch eine andere Ebene: Wenn ein solches IC solche Schutzfunktionen anbietet, ich sie aber nicht nutze und es zu irgendeinem Zwischenfall kommt, komme ich ganz schnell in die Situation, in der man mir mindestens Fahrlässigkeit unterstellt.
Ich möchte mit einem Juristen keine Diskussion darüber führen, wie wahrscheinlich das "Steckenbleiben" eines Multiplexers ist.
Bei der gegenseitigen Plausibilisierung der Messungen zwischen WR und BMS schlage ich im Grunde das Gleiche vor. Das "Überkreuz-Verbinden" erfolgt nur nicht annalog sondern digital über den CAN-bus.