In Bezug auf Lithium-Ionen-Batteriesystemen stellen sich Hersteller, Nutzer und potenzielle Käufer von Elektrofahrzeugen die Frage: "Wie sicher ist sicher genug?" Die Antwort ist nicht trivial. Im vergangenen Jahr ereignete sich mehrere Wochen nach einem Crash-Test, den die amerikanische NHTSA (National Highway Traffic Safety Administration) durchgeführt hat, ein Batteriebrand in einem Hybridfahrzeug. Ein Elektro-Taxi eines chinesischen Herstellers ging nach einem Unfall mit einem anderen Fahrzeug in Flammen auf - drei Menschen starben. Auch wenn die Unfallursache in beiden Fällen nicht in der Batterie selbst zu suchen war, folgte eine öffentliche Diskussion über die Sicherheit von Elektrofahrzeugen mit Lithium-Ionen-Batterien.
Aus Berichten in den Medien resultiert die Forderung: Risi-ken einer Technologie müssen auf ein gesellschaftlich akzeptiertes Maß reduziert werden. Dabei ist die Schwelle zwischen akzeptablem und nicht akzeptablem Risiko fließend und richtet sich ganz entscheidend an gesellschaftlichen Maßstäben aus. Neue Technologien werden dabei oft kritischer bewertet als bereits etablierte.
Risiko in der Technik
Der Risikobegriff wird in der Ökonomie, der Soziologie, der Psychologie, im Projektmanagement oder der Technik-bewertung unterschiedlich angewendet. Beschränkt man sich auf die Bewertung einer Technologie, so kann das Risiko von technischen Komponenten beziehungsweise Systemen im Wesentlichen durch folgende Merkmale bestimmt werden [1]:
�?� Neuheitsgrad
�?� Ist der Anwendungsbereich neu?
�?� Liegt der Zielanspruch deutlich über dem bisherigen Stand?
�?� Mangelnde Erfahrung mit Technologien und
�?� Zeit- oder Kapazitätsengpässe bei der Zielerreichung.
In der Regel bestehen geringe Risiken bei übernommenen Umfängen aus früheren Entwicklungen, deren Anwendungsbereich hohe �?hnlichkeiten aufweist. Bestehen jedoch Risiken in einem der angegebenen Bereiche, so ist eine Risikoanalyse und -bewertung dringend zu empfehlen. Definitionen des Risikobegriffs sowie Methoden zur Bewertung von Risiken einer Technologie sind in einer Vielzahl von Normen beschrieben.
Im Folgenden werden zwei Normen und ihre Definition gegenübergestellt.
Die ISO 12100 ist eine Norm, die das Risiko im Hinblick auf die Sicherheit von Maschinen beschreibt. Das mit einer bestimmten Gefährdungssituation zusammenhängende Risiko hängt darin von folgenden Elementen ab [2]:
�?� dem Schadensausmaß;
�?� der Eintrittswahrscheinlichkeit dieses Schadens als -Funktion der Gefährdungsexposition einer Person/von Personen, des Eintritts eines Gefährdungsereignisses sowie der technischen und menschlichen Möglichkeiten zur Vermeidung oder Begrenzung des Schadens.
Die ISO 26262 beschreibt das Risiko für ein elektrisches/ elektronische System (E/E-System) für den Einsatz in Straßenfahrzeugen. Unter einem E/E-System versteht man die Wirkkette: Sensorik �?? Steuereinheit �?? Aktuatorik.
Ein Risiko kann beschrieben werden als eine Funktion F, die abhängt von der Häufigkeit f des Auftretens einer Gefährdung, der Kontrollierbarkeit C - der Fähigkeit, eine Gefährdung oder Schaden durch rechtzeitige Reaktionen der beteiligten Personen zu vermeiden - und vom, potenziellen Schadens-ausmaß S, also R = F(f,C,S) [3].
Risiken analysieren und beurteilen
Um eine Risikoanalyse und -beurteilung durchzuführen, ist eine strukturierte Vorgehensweise unerlässlich. Im ersten Schritt muss das System mit seinen Grenzen beziehungsweise Schnittstellen zu anderen Systemen festgelegt und beschrieben werden. Diese Beschreibung beinhaltet unter anderem die bestimmungsgemäße Verwendung, Funktionen und Betriebs-arten, den Personenkreis der mit dem System umgeht, normative und gesetzliche Anforderungen und so weiter.
Im nächsten Schritt geht es darum, zu beschreiben, welche Gefährdungen im Umgang mit dem System auftreten können - sprich: um die Identifikation von Gefährdungen und zugehörigen Gefährdungssituationen. Das erfolgt in der Regel mit unterschiedlichen Methoden wie Brainstorming im Expertenteam oder Moderationstechniken. Ziel ist es, einen möglichst umfangreichen Katalog in Bezug auf potenzielle Gefährdungen zu erstellen. Danach folgt die Bewertung des Risikos jeder identifizierten Gefährdung und Gefährdungssituation unter Zuhilfenahme der Parameter Häufigkeit, Schadensausmaß und Kontrollierbarkeit. Aus der Kombination dieser Parameter ergibt sich das quantifizierte Risiko. Dieses gilt es, durch unterschiedliche Maßnahmen so zu reduzieren, dass es auf Grundlage der eingesetzten Methode als akzeptabel gilt. Als Maßnahmen können organisatorische Maßnahmen - etwa die Qualifizierung von Personen - und konstruktive Maßnahmen bis hin zu Überwachungssystemen herangezogen werden. Wird das Risiko durch ein Überwachungssystem reduziert, ist diesem ein Sicherheitsziel und ein sicherer Zustand zugeordnet. Das Sicherheitsziel beschreibt, welche Gefährdung das Überwachungssystem verhindern soll. Der sichere Zustand dient dazu, dass bei Auftreten einer Fehlfunktion des Überwachungssystem ein Zustand eingenommen wird, der eine "Verletzung" des Sicherheitsziel ausschließt.
Risiko bei Lithium-Ionen-Batteriesystemen
Das Risiko, das von Lithium-Ionen-Batteriesystemen ausgehen kann, hängt im Wesentlichen von der eingesetzten Zell-Chemie und den auf das System wirkenden Einflüssen und Umweltbedingungen ab. Die Chemie der Zelle wird durch die Zellkomponenten wie Anode, Kathode, Separator und dem eingesetzten Elektrolyt beschrieben. Die Bauform der Zellen als Pouch-Zelle, zylindrisch oder prismatisch kann ebenfalls eine Rolle spielen. Bereits implementierte passive Schutzmaßnahmen wie temperaturbeständige Separatoren, Überdruckventile oder zellinterne Strombrecher tragen zur Sicherheit der Zelle bei. Die Kathode weist beispielsweise je nach eingesetzter Chemie ein anderes Oxidationspotenzial auf, sodass sie sich in der Freisetzung von Sauerstoff aufgrund der Zersetzung der Kathode unterscheidet. Das erweist sich als besonders kritisch bei einem hohen SOC (State of Charge) der Zelle, gepaart mit einem Überladen der Batterie. Die Folge ist ein "thermal runaway", eine stark exotherme chemische Reaktion, bei der Energie in Form von Wärme freigesetzt wird und unweigerlich zum Ausgasen und Brand der Zelle führt. Das Risiko, das zum Ablaufen der beschriebenen Reaktion führt, hängt vom verwendeten Kathodenmaterial ab. Ein Vergleich verschiedener Kathodenmaterialien im Hinblick auf die oxidative Stabilität zeigt, dass Lithium-Eisenphosphat (LiFePO4) eine höhere Stabilität aufweist als Lithium-Cobaltdioxid (LiCoO2) [4].
Im Hinblick auf das gesamte Risiko eines Batteriesystems ist es wichtig, das oben genannte zu betrachten. Auch, um das "Basisrisiko" zu bestimmen und zu klären, welche Maßnahmen das Risiko noch weiter reduzieren. In heutigen Lithium-Ionen-Batterien kommen neben passiven Schutzmaßnahmen auf Zell-ebene auch aktive E/E-Steuer- und Regelsysteme in Form von Batteriemanagementsystemen (BMS) zum Einsatz. Diese müssen entsprechend den aus der Zell-Chemie resultierenden Risiken ausgelegt werden.
Daraus leitet sich ab, dass beim Betrachten des Risikos für ein BMS berücksichtig werden muss, welche Zell-Chemie zum Einsatz kommt. Fehlfunktionen im BMS können unweigerlich zu dem bereits beschriebenen "thermal runaway" führen. Das wird klar, wenn man berücksichtigt, dass heutige BMS im Wesentlichen Temperatur, Spannung und Stromfluss überwachen. Ein ungewollter Temperatureintrag durch äußere Einflüsse oder durch einen zu hohen Stromfluss führt zum Temperatur-anstieg in der Zelle. Bleibt dieser durch eine Fehlfunktion des BMS unentdeckt, kann das unter Umständen weitreichende Folgen haben.
Risikoanalyse gestalten
Aus der aufgezeigten Kausalität lässt sich ableiten, dass eine Risikoanalyse für ein BMS so gestaltet werden muss, dass die Risiken auf Zellebene bekannt sind und berücksichtigt werden. Dies gilt auch für die passiven Schutzmaßnahmen. Erst dann können Maßnahmen wie beispielsweise der Einsatz eines E/E-Systems sinnvoll sein, um das Risiko zu minimieren.
Ein möglicher Ansatz, das Gesamtrisiko eines Batterie-systems zu bestimmen, ist die kaskadierte Anwendung von Risikoanalysen. Hier kann die Methodik der ISO 12100 für die Risikobeurteilung auf Batteriesystem und Zellebene einen Beitrag leisten. Klar muss allerdings sein, dass die dort beschriebene Methode für Maschinen und nicht für chemische Systeme geschrieben wurde. Eine allumfassende einheitliche Methode hat sich in der Fahrzeugindustrie bisher nicht durchgesetzt. Letztlich geht es aber darum, einen durchgängigen systemischen Ansatz zu finden. Dieser sollte etablierte methodische Ansätze, die in der ISO 26262 für E/E-Systeme beschrieben sind, berücksichtigen und logisch um die hinzukommenden Risiken erweitern.
Weitere Informationen
[1] Dr.-Ing. Frank E. Wißler (Autor), Dissertation: Ein Verfahren zur Bewertung technischer Risiken in der Phase der Entwicklung komplexer Serienprodukte, Institut für Industrielle Fertigung und Fabrikbetrieb der Universität Stuttgart, 2006
[2] DIN EN ISO 12100: 2010; Sicherheit von Maschinen
[3] ISO 26262:2011; Road vehicles - Functional safety - Part 3: Concept phase
[4] Daniel H. Doughty; Technical Report of NERL; Vehicle Battery Safety Roadmap Guidance, 2012