Dieses Thema kenn ich aus der Zeit, in der man für Pressen Sicherheits Steuerungen konzipieren wollte.
Dazu braucht man aber 3 Parallele Steuerungen, nicht 2. Denn bei zweien brauchst weißt du bei Unterschieden nicht, welche Recht hat.
Zum Thema möchte ich beisteuern,
Es erscheint mir zu verschwimmen, zu welchem Zweck ihr überhaupt "höhere Zuverlässigkeit" braucht: zum Schutz des Akkus oder zur Aufrechterhaltung der Nutzerfunktion.
Ich kann in firefox auf die zweite Seite dieses Threads nicht zugreifen, mit chrome funktioniert es.[quote data-userid="2509" data-postid="233626"]
Dazu braucht man aber 3 Parallele Steuerungen, nicht 2. Denn bei zweien brauchst weißt du bei Unterschieden nicht, welche Recht hat.
Zum Thema möchte ich beisteuern,
Es erscheint mir zu verschwimmen, zu welchem Zweck ihr überhaupt "höhere Zuverlässigkeit" braucht: zum Schutz des Akkus oder zur Aufrechterhaltung der Nutzerfunktion.
[/quote]
3 benötigt man nur, wenn man die Funktion aufrecht erhalten will.
Wenn bei Inkonsistenz eine Abschaltung akzeptabel ist, dann reichen auch 2.
Mir geht es um den Schutz des Akkus bzw. eigentlich möchte ich sogar mich vor dem Akku schützen.
Wenn ein solcher Akku nicht im Worst-case zur Brandbombe würde, sondern einfach nur still und leise defekt gehen würde, könnte man sich den Großteil des Aufwandes schenken.
3 fache Redundanz mit Mehrheitsentscheidung wie in der Luftfahrt sehr ich bei einem "normalen" privaten ESS nicht. Bei einem ESS für kritische Infrastruktur wäre das eine andere Situation
Ich mache es mit firefox, und dies ist die zweite Seite. oder meinst du eine andere Stelle ?
Vollkommen richtig.
Das ist schon richtig, aber was nützt das ?
Du argumentierst sicher, dass die Ausfallwahrscheinlichkeit BEIDER System gleich dem Produkt der beiden Einzelwahrscheinlichkeiten ist. Einverstanden.
Ich argumentiere so, dass die Chance einer NICHTfunktion des Abschaltens gleich dem Prodiukt der beiden einzewahrscheinlichkeiten für ausfall, BMS und EXTERNER Logik ist. Das ist nicht das gleiche wie bei zwei systemen, aber was ist der Unterschied ? Und welchen zusatzaufwand ist das wert?
Wieviele Fälle von Akku versagen kennen wir, wo eine fehlerhafte aussenbecshaltung und ein fehlerhaftes BMS, welches NICHT abschaltete, zu Akku Defekt führte ?
Mir ist diese Betrachtung neu, ich habe bisher nicht an sowas gedacht, und ich finde das hochinteressant. Wobei ich nach erstem Gefühl wenig Erfolgschnacen sehe. Aber man kann sich ja irren... 
Das ist die eine Stelle, die ich meine: Sind die brandauslösenden Ursachen überhaupt vom BMS unterbrechbar ? Und sind sie überhaupt vom BMS erkennbar ? Ich wage nicht zu behaupten, dass es nicht geht, aber mir fällt auch kein Fall ein, wo es geht....
Aber deswegen reden wir ja hier miteinander.
Ich sehe das ganz genauso, schon alleine deswegen, weil ich nur eine ungefähre Vorstellung habe, was sich mittlerweile so alles in "ESS" tummelt.
Ich werde sehr interessiert und sehr gespannt weiter mitlesen.
Mit firefox 130.0 (64-bit) auf Ubuntu komme ich nicht auf die zweite Seite. Um dies hier zu posten muss ich chrome benutzen.
Ein "fieser" Fehler wäre z.B. wenn als Messwert für Zelle 2 immer ein Messwert von Zelle 1 geliefert würde ( z.B. weil die Multiplexer-Logic korrumpiert wurde )
Damit könnte Zelle 2 in Überladung oder Tielentladung gelangen ohne, dass das BMS das direkt merkt.
Unter der Annahme, dass ein solcher Fehler ( z.B. durch einen SEU ) bei 2 getrennten ICs statistisch unabhängig ist, kämen wir für dieses spezifische Szenario damit bei einer Validierung mittels maximaler Abweichungsschwelle von einer Fehlerwahrscheinlichkeit p zu p**2.
Das ist natürlich nur eine Wahrscheinlichkeit für einen Teilfehler.
Andere Fehlerwahrscheinlichkeiten könnten dominant sein, so dass die Redundanz hier möglicherweise nur einen marginalen Einfluß auf die Gesamtfehlerwahrscheinlichkeit hat.
Ich würde genau anders herum argumentieren:
Wir wissen, dass es in den letzten Jahren eine ganze Reihe von "Zwischenfällen" mit Batteriespeichern gab, bei denen nicht bekannt ist, wie die Fehlerkette aussah.
Außerdem müssen wir meines Erachtens davon ausgehen, dass es im Feld BMS-Elektronik gibt, die entweder von vornherein schon Defekte hatte oder im Feld Defekte entwickelt hat.
Wieviele Fälle kennen wir, in denen jemand ein defektes BMS prophylaktisch ausgetauscht hat?
Ich halte es für plausibel das sich die Mengen der "Zwischenfällen" mit Batteriespeichern und die von Defekten bei BMS-Elektonik zumindest überschneiden.
Für die Fälle Überladen und Tiefentladen ( mit den potentiell fatalen Folgen der CU-Korrosion ) ist das definitv der Fall.
Bzgl. Li-Plating ( mit der anschließenden Gefahr von Dendritenbildung ) wegen zu hohem Ladestrom bei zu tiefen Temperaturen ebenso.
Falls das missverständlich war:
Ein ESS bei kritischer Infrastruktur würde man wohl besser als USV bezeichnen.