本发明涉及一种用于机动车电池的电池单体。电池单体包括:电池单体壳,在该电池单体壳中容置电元件。通过两个电连接部可以使电池单体与电池的至少一个另外的电池单体电连接。电池单体的控制装置与电池单体的至少一个功能单元作用连接。此外,本发明涉及一种具有多个这种电池单体的电池、具有电池的机动车和用于运行电池单体的方法。
背景技术:
由现有技术、例如de102010045037a1已知,将多个电池单体组成电池用于提供确定的电压或确定的电流。这种电池当今特别是作为动力电池安装在机动车、例如电动车辆或混合动力车辆中用于提供电驱动能量。
de112010003272t5公开了一种具有集成到电池单体中的传感器元件的电池单体。传感器元件被设计用于,测量电池单体的参数、例如温度、压力、电池单体的电参量和电化学性质。传感器元件可以与通信装置耦联,该通信装置将数据和信息传输给布置在电池单体外部的数据处理装置。然而,电池单体本身还可以配备有用于存储、传输、接收和处理数据的装置。
技术实现要素:
本发明的目的在于,实现一种开头所述类型的改进的电池单体,具有多个这种电池单体的电池,具有这种电池的机动车以及用于运行这种电池单体的方法。
所述目的通过具有权利要求1的特征的电池单体、具有权利要求8的特征的电池、具有权利要求9的特征的机动车以及具有权利要求10的特征的方法来实现。具有本发明的适宜的改进方案的有利的设计方案在从属权利要求中给出。
根据本发明的用于机动车电池的电池单体包括电池单体壳,其中容置电元件。电元件优选设计成二次电池,该二次电池可以被放电以用于向电气部件供电并且在放电之后又可以被充电。其中电元件以本身已知的方式包括例如形式为金属箔的导电体,该导电体被覆以电元件的电极的电化学活性材料。另外,设置电解质以及使电化学的活性材料彼此隔离的分隔件。在这种电元件中,导电体能以堆叠、折叠或卷曲的方式存在,从而电元件还称为单体叠(zellstapel)或单体卷(zellwickel)。
通过电池单体的电连接部可以使电池单体与电池的至少一个另外的电池单体电连接。电池单体的控制装置与电池单体的至少一个功能单元作用连接。其中控制装置尤其可以操控至少一个功能单元和/或从至少一个功能单元以传输的方式获得测量值和/或向至少一个功能单元传输数据。
电池单体的控制装置被设计用于,接收由外部控制装置发出的指令。该指令可以使控制装置与至少一个功能单元相互作用。其中,控制装置包括检查单元,其被设计用于,检查外部控制装置是否具备发出指令的授权。从而可以确保,仅被授权的外部控制装置能以下述方式和方法访问电池单体的控制装置:随后电池单体的控制装置与至少一个功能单元相互作用。以这种方式确保了可靠地进入电池单体的控制装置,并且避免了非法操作配备有控制装置的电池单体。由此实现了改进的电池单体。
通过设置控制装置而赋予了电池单体智能性,即该电池单体设计成所谓的“智能电池”(智能电池单体)。控制装置可以是本地计算单元,其形式例如为微型控制器、专用的集成电路(asic,applicationspecificintegratedcircuit)或fpga(可编程门阵列fieldprogrammablegatearray)。
外部控制装置可以是电池的另一个电池单体的控制装置。然而优选地,外部控制装置设计成上级控制设备,该上级控制设备能用于将指令发送给电池的多个电池单体。
在一种有利的设计方案中,电池单体的至少一个功能单元包括开关元件,其被设计用于断开和建立在电元件的导电体和电连接部中的至少一个之间的导电连接。其中电池单体的控制装置被设计用于,根据外部控制装置的指令来改变开关元件的切换状态。
这样便允许电池单体的电连接部中的至少一个被切换于无电压,而在设置两个开关元件时允许两个电连接部被切换至无电压。从而可以确保,只有在希望的情况下才在电池单体的电连接部上存在电压。这样便能实现特别可靠地运行和处理电池单体。因此,可以无危险地操纵电池单体,其电连接部被切换为无电压。此外,在电池单体出现故障时可以断开在导电体和电连接部中的至少一个之间的导电连接。由此,由电池单体不能再产生危险。
通过断开开关元件——该开关元件切断在导电体和连接部之间的导电连接——在一定程度上使电池单体与电网分开。
从而特别是在组装电池期间——该电池可以包括多个电池单体并且相应地提供高电压——可以确保高压保护。因此,电池尤其可以是高压电池、即具有大于60伏的电压的电池。高压电池尤其可以被设计用于,提供如用于机动车动力电池的电压、即在几百伏范围内的电压。通过断开导电连接还可以在运输状态中——即例如当电池被运向其使用地时——确保了,不会由电池产生与高电压相关的危险。
开关元件——借助该开关元件可以切断在导电体和电池单体的至少一个连接部之间的导电连接——还可以称为电流切断装置(currentinterruptdevice,cid)。这种设计方案优选是电子电流切断装置,该电流切断装置由电池单体的控制装置或计算单元来切换。为此,开关元件尤其可以设计成半导体元件,该半导体元件由电池单体的控制装置加载控制电压以用于预先给定每种切换状态。这一点尤其允许了,在针对性地断开导电连接时考虑多个参数,例如通过在电池单体的控制装置中对切换标准进行判定来考虑多个参数。
另外可以根据指令来闭合开关元件,从而建立导电连接。然后在电池单体的连接部上施加电元件的电压。然而,仅被授权的外部控制装置能用于,实际上借助电池单体内部的控制装置来操纵开关元件、即如希望的那样改变切换状态。上述情况使得对开关元件进行的切换特别可靠。
为了改变开关元件的切换状态、即为了运行这个断路开关,可以设置不同的指令。从而第一指令可以引起断路开关闭合、即使开关元件进入下述切换状态:其中建立在导电体和电元件之间的导电连接。另一个指令可以引起断路开关断开、即切断导电连接。
用于运行开关元件的指令优选被加密,其中在电池中设置多个电池单体时可以为每个电池单体设置各自的密钥。为了提供特别可靠的密钥,每个密钥的长度例如可以为至少24bit。
为了解密,每个指令的密钥可以存储在电池单体的能一次性编程的存储器或otp存储器(otp=onetimeprogrammable)中。检查为被授权的外部控制装置可以从这种存储器读出加密的指令,从而可以由外部控制装置通过将指令发送给电池单体的控制装置来操作开关元件。尽管如此,其中该操作本身保持加密并且因此特别可靠。
此外,特别高的安全性可以通过下述方式实现:用于闭合开关元件的指令以较大程度与用于断开开关元件的指令区分开。例如仅1bit的无意的反转不会导致,执行错误的、即在这种情况下甚至不希望的指令。
下述情况已经被证明是进一步有利的:电池单体的控制装置被设计用于,根据更新地接收到指令而保持开关元件的闭合的切换状态。这种指令还可以称为存活指令、即保持存在的指令,因为否则开关元件断开且电池单体不再将电压提供给连接部。通过执行这种存活指令,确保了电池单体的连续的、受控的功能或电池单体保持在线(am-netz-bleiben)。
尽管如此仍在下述情况下自动断开开关元件、即切断导电连接:未接收依然保持的或保持存在的指令(存活指令)。从而尤其可以确保,在外部控制装置足够长时间地不工作之后切断电池单体。如果电池单体与电池的其它电池单体串联,则上述情况同时导致整个电池切换为无电压。从而,在长时间的休眠状态中总体上确保了在电池单体或电池提供的电压方面的高安全性。另外,这种使运行保持存在的指令优选被加密并且在bit序列方面不同于用于运行开关元件的其它指令。
可以规定,所述指令——保持开关元件的闭合切换状态——必须在预先确定的时间段(例如几秒的时间段)期满之后和/或在预先确定的能量流由电池单体流出或流入到电池单体中之后由电池单体的控制装置来接收,才能不切断在导电体和连接部之间的导电连接。还可以规定,在下述情况下断开开关元件:在这个时间段过去之后或在达到能量流的预先给定的值之后经过另一个时间段和/或另一个能量流流入到电池单体中或从电池单体流出。这一点使得执行存活指令尤其功能可靠。能量流尤其能以瓦秒来确定。
下述情况已经被证明是进一步有利的:电池单体的至少一个功能单元包括开关元件,该开关元件布置在使电元件的导电体彼此连接的导线中。其中在导线中布置电阻元件。电池单体的控制装置被设计用于,根据指令来闭合开关元件。因此使导线中布置的开关元件闭合确保了,电元件的导电体彼此导电连接,其中电流流经电阻元件。这一点导致了电池单体的主动局部放电。
如果希望可以不是仅仅确保在电池单体的电连接部上不再存在电压。而是,由电元件提供的电压可以自动地针对性地降低。尽管不像将电池单体的连接部切换到无电压那样迅速,但可以在处理电池单体时实现特别高的安全性。
这一点尤其适合于下述情况:通过闭合在导线中布置的开关元件,使电池单体深度放电,即如此使得不能随后为电池单体充电。通过这种主动的深度放电,通过寄生或化学效应还禁止了随后的充电。以这种方式切断的电池单体在放电时间期满之后可以无危险地输送至废品处理或回收处,其中电池单体例如可以被拆卸成其组成部件。
另外,用于使电池单体放电、即用于闭合在导线中布置的开关元件的指令优选被加密,并且充分不同于其余用于运行开关元件的指令。例如能以大于10%的比特、特别是大于25%的比特进行区分,以便确保指令的充分的相异性。
另外可以规定,通过指令——其引起在导线中布置的开关元件闭合,不能同时闭合在断开的切换状态下切断在导电体和电连接部之间的导电连接的开关元件。另外,在电池单体(深度)放电时在电池单体的电连接部上不会存在电压。不能进行这个开关元件的闭合尤其可以在主动局部放电时设置,该主动局部放电使得电池单体在随后的充电时不能用。上述情况尤其可以通过下述方式实现:在电池单体的能一次性编程的存储器中对相应的序列进行编程。
电池单体的控制装置优选被设计用于,在接收至少一个预先确定的特殊指令时断开在导电体和至少一个电连接部之间布置的开关元件。该特殊指令可以是一种紧急消息,该紧急消息导致在导电体和电池单体的连接部之间的导电连接被切断。从而可以确保电池单体被可靠地切换到无电压。这一点例如在下述情况下是有利的:电池单体布置在机动车的电池中,并且救援人员在机动车出现事故之后想要将电池切换到无电压。这种形式为紧急消息的特殊指令的长度例如为至少1024bit,从而该指令特别可靠。然而不仅在配备有电池的车辆出现事故时,使用特殊指令或紧急消息是有意义的,电池的每个电池单体对其作出反应。而且在将电池单体或电池切换为运输模式时,可以在没有特别复杂的通信的情况下实现了特别高的安全性。
当电池单体具有在导线中布置的开关元件时,电池单体的控制装置优选被设计用于,在接收至少一个预先确定的特殊指令时闭合在导线中布置的开关元件。这一点用于在处理电池单体或电池时提高安全性,因为通过闭合在导线中布置的开关元件可以最终为电池单体放电。因此可以引起电池单体的最终的储存模式,其中电池单体不能再用于接收或放出电能。相应的特殊指令——其使电池单体不可用——优选可以具有至少2048bit的长度,以便确保特别高的安全性。
下述情况已经被证明是进一步有利的:电池单体的至少一个功能单元包括用于存储数据值的存储器,其中所述数据值规定了能借助电池单体的至少一个传感器装置检测的参数。其中电池单体的控制装置被设计用于,根据指令来访问存储器。通过检测参数可以收集关于电池单体历史的信息并且被记录以用于进行评估。然而在此可以确保,仅允许电池单体的控制装置访问存储器,而不允许外部传感器装置直接访问。从而可以确保,并非所有关于电池单体的数据值都能自由访问。换句话说可以判定,是否能自由访问数据值,并且针对哪些数据值首先应检查外部控制装置的用于询问数据值的授权。由此,电池单体的历史记录是特别可靠的,并且可以确保获得电池单体的值。因此可以无缺漏地且防侵入地记录电池单体历史经历。
当仅通过电池单体的局部控制装置真正地访问存储器时,电池单体的控制装置的损坏导致了,不能再读出所存储的数据。从而可以确保,电池单体的存储器仅与被设置用于电池单体的控制装置共同作用。如果在访问存储器时附加地使用加密,则仅控制装置或微型控制器能访问存储器,该控制装置或微型控制器具有正确的密钥,例如在其本地的、特别是能一次性编程的存储器中。
用于数据值的存储器尤其可以是本地的非易失性存储器,例如形式为闪存、eeprom(electricallyerasableprogrammablereadonlymemory,电可擦可编程只读存储器)、feram(ferroelectricrandomaccessmemory,铁电随机访问存储器)或mram(magnetoresistivesrandomaccessmemory随机存取存储器)。这种非易失性存储器可以设置在控制装置中或在外部连接在其上。
为了读取、添加或存储或改写数据可以分别设置加密指令,其中密钥例如可以存储在控制装置中。因此在电池单体的控制装置中的密钥可以用于在非易失性存储器中加密数据。从而可以确保,例如在非易失性存储器中读写数据仅通过本地控制装置来实现。上述情况确保了在电池单体存储器中存在的数据的特别高的安全性。
下述情况已经被证明是进一步有利的:设置至少一个密钥,借助该密钥为要传输给外部控制装置的信息加密。其中至少一个部分或整个通信可以被加密,例如通过aes-128-加密。附加地或替选地,相对于这种对称加密,还可以使用非对称的加密方法,其中在电池单体中尤其存储多个私有密钥和公开密钥。
例如至少一个私有密钥可以处于电池单体的能一次性编程的存储器(otp存储器)中,从而私有密钥非常难以从外部接触。相反,至少一个公开密钥不仅能存储在电池单体的非易失性存储器中并且附加地存储在otp存储器中。其中公开密钥可以由任意的、被授权与电池单体的控制装置通信的外部控制装置读出。通过使用这种密钥可以确保,由电池单体传输给外部控制装置的信息不能被连带地读取或复制。这一点确保了特别可靠的信息传输。
至少一个密钥还可以用于为要存储在电池单体的存储器中的数据加密。这样,即使在包含数据的存储器被不希望地访问的情况下,也无从读取数据。
优选地,此外设置至少一个密钥,借助所述密钥能为由外部控制装置发送的指令解密。另外,在此尤其可以使用私有密钥,因为在这里便不需要复杂地操作以使为指令加密的密钥保持机密。因此,这种私有密钥在访问电池单体的不同的功能单元时能实现加密的通信。在此,可以为所有的功能单元设置同一个私有密钥。替选地,也可以为每个功能设置相应的私有密钥。
在使用多个密钥时可以规定,电池单体的控制装置在传送相应的消息时通知外部控制装置,哪个(特别是私人)密钥应被用于为下一个、即紧接着的消息加密。因此即使在消息的内容相同时,各个消息的比特序列分别不同。另外,这一点使得在电池单体的控制装置和外部控制装置之间的通信监听变得困难。
另外可以设置分级的安全等级。为此监测单元可以被设计用于,实施访问控制,其中上级的第一指令的事先执行是执行下级的第二指令的前提条件。因此,分别进入较高的层级是接通下一个较低的层级的前提条件。因此直接访问功能——所述功能处于最低层级——只有在认可较高层级上的所有功能之后才能实现。另外,以这种方法在处理电池单体的数据时并且在执行关于电池单体的功能单元的指令时可以确保特别高的安全性。
这种特别是多级防护的功能例如可以为读取数据、补充数据和存储或改写数据预先规定不同的密级。另外,尤其可以与下述情况相关地操纵开关元件,是否事先允许了具有低标准的内容的功能、例如读出数据。
此外下述情况是有利的:电池单体具有能由外部控制装置读出的标识。其尤其可以是识别码,例如公开的数字式识别码。这种识别码的长度可以为至少16bit且特别是至少64bit,从而即使在具有多个电池单体的电池中也能一对一地识别出每个电池单体。这种识别码尤其可以由被授权与电池单体的控制装置通信的任意的外部控制装置读出。
当外部控制装置已经读出这种标识(特别是识别码)时,例如可以针对外部控制装置许可访问信息,该信息涉及开关元件的切换状态和/或电池单体的电压和/或在电池单体充电和/或放电时的电流强度和/或电池单体的温度和/或在电池单体壳内的压力。参量、例如温度和压力在此可以由电池单体的相应的传感器装置来检测,而特别是开关元件的切换状态、电压和电流强度也可以直接由电池单体的控制装置来检测。
用于读出一个或多个前述信息的指令可以公开地被获取。然而也可以规定,首先就相应的信息通信向电池单体的控制装置提出请求,并且在此可以连带地提供相应电池单体的标识或识别码,以便电池单体的控制装置回答相应的状态信息。因此电池的各个电池单体的独立响应可以是发出相应的信息的前提条件。
为每个电池单体设置标识相应地确保了在电池单体的控制装置和外部控制装置之间的特别可靠的且专用的通信。
下述情况已经被证明是进一步有利的:电池单体的控制装置具有至少一个保险元件,该至少一个保险元件布置为在控制装置被机械地篡改时该至少一个保险元件会被损坏。例如控制装置的一个或多个输入端可以与这种保险元件连接,其也称为触发丝(tripdraht)、触发线(tripwire)或保险丝。在控制装置的运行中,(例如在尝试打开控制装置的情况下引起的)这种保险丝的断开被该控制装置识别出。这一点可以在保险元件损坏时立即实现,或在接下来启动或开启控制装置时实现。
控制装置在此优选设计成,将侵入序列或这种数据组写入存储器中。如果发现这种侵入序列,则例如禁止并且相应地不再执行访问存储器,特别是读和/或写。从而尤其可以确保,仅原始的控制装置能响应各个功能单元。
保险元件、例如保险丝可以被埋入控制装置的封装件或模块中,或者围绕该封装件和/或穿过该封装件延伸。另外,这种保险元件可以设计成电路载体上的印制导线。另外,这种保险元件可以设计成半导体器件的最上面的和最下面的金属层的组成部分,该半导体器件属于电池单体的控制装置或形成了电池单体的控制装置。
在尝试打开控制装置或以这种方式篡改控制装置时,尤其损坏或完全弄断至少一个这种保险元件。于是控制装置可以确保,禁止访问电池单体的至少一个功能单元。尤其可以确保,删除所有数据,该数据存储在电池单体的设计成存储器的功能单元中。通过这种保险元件确保了尤其尽可能地避免对电池单体的篡改。这一点保障了电池单体的值。尤其可以确保,在保险丝断开之后不能再对电池单体的存储器进行读取。从而尤其可以确保在电池单体历史方面的特别高的安全性。
根据本发明的电池包括多个根据本发明的、能串联和/或并联的电池单体。
根据本发明的机动车包括至少一个根据本发明的电池。机动车例如可以设计成乘用车、特别是电动车辆或混合动力车辆。另外,机动车还可以是电动摩托车或电动自行车。
另外,电池可以设置在固定的能量存储器系统中。此外可以规定,曾经在机动车中使用的电池可以作为所谓的二次利用电池(second-life-batterie)继续使用,其中电池用于不同类型的使用。特别是在二次利用时例如对电池单体的有效功率的要求可以小于在将电池单体应用于机动车电池时。
根据本发明的方法用于运行机动车电池用的电池单体,该电池单体包括电池单体壳连同容置在电池单体壳中的电元件。每个电池单体具有两个电连接部,通过所述电连接部能使电池单体与电池的至少一个另外的电池单体电连接。电池单体的控制装置与电池单体的至少一个功能单元作用连接。其中,电池单体的控制装置接收由外部控制装置发出的指令。控制装置包括检查单元,所述检查单元检查外部控制装置是否具备发出指令的授权。通过这种方法为智能电池单体提供了(尤其数字式的)安全方案和数据安全方案。另外,该方法涉及运行具有多个电池单体的电池。
针对根据本发明的电池单体描述的优点和优选实施方式还适用于根据本发明的电池、根据本发明的机动车以及根据本发明的方法。
前面在说明书中所述的特征和特征组合以及随后在附图说明中所述的和/或在附图中单独示出的特征和特征组合不仅能在分别给出的组合中、而且还在其它组合中或单独使用,而没有背离本发明的范围。如下的实施方式不仅由本发明包括而且被视为公开:其在附图中未清楚示出和阐述,然而通过分开的特征组合由所阐述的实施方式得出且能产生。
附图说明
本发明的其它优点、特征和细节由权利要求、随后对优选实施例的描述以及借助附图得出。其中示出了:
图1示意性示出了用于机动车电池的电池单体,该电池单体被设计成用于与上级控制设备可靠地通信;
图2示意性示出了根据图1的电池单体的部件;
图3示出了上级控制设备,该上级控制设备被设计用于与多个根据图1的电池单体通信并且该上级控制设备被接通;和
图4示出了上级控制设备,该上级控制设备与电池的电池单体通信。
具体实施方式
在图1中示意性示出了电池单体10,其例如可以安装在机动车的电池28(参照图4)中。电池单体10为此例如可以设计成锂离子电池单体。在机动车中可以用作动力电池的电池28中,通常多个这种电池单体10电串联和/或并联,以便提供相应高的电压和电流。
在这种电池单体10串联时,总地可能出现电池28非常高的电压、甚至几百伏的电压,例如因为多个电池模块导电地彼此连接,该电池模块分别包含多个电池单体10。
电池单体10包括电池单体壳12,该电池单体壳在此示例性地棱柱形地构成。在电池单体壳12内布置电元件14,该电元件包括分别用电化学材料覆层的导电体16、18。在此,由电元件14的包围电化学活性材料和导电体16、18的电极为了简化起见仅示出了引导至电池单体10的第一电连接部20(例如正极)的导电体16和引导至电池单体10的第二电连接部22的导电体18、即引导至负极的导电体18。
在图1中示出的电池单体10中,电元件14可以与连接部20、22中的至少一个电分离。为此设置开关元件24,借助该开关元件能通过下述方式断开在导电体16和连接部20之间的导电连接:断开开关元件24。通过闭合开关元件24又可以建立在导电体16和连接部20之间的导电连接。
类似地,可以设置第二(未示出的)开关元件,借助该第二开关元件可以断开或建立在导电体18和连接部22之间的导电连接。开关元件24——其尤其可以设计成半导体元件——例如由电池单体10的设计成微型控制器26的控制装置来切换。微型控制器26在此同样如开关元件24那样布置在电池单体壳12内。
可由外部控制装置、例如由上级控制设备30向微型控制器26传送指令32,以闭合或打开开关元件24。上级控制设备30还可以称为所谓的智能电池控制器。在此确保了,不是每个外部控制装置都能使微型控制器26执行指令32。因此电池单体10包括检查单元34,借助该检查单元可以检查,外部控制设备30是否具有发出指令32的授权。仅当是这种情况时,微型控制器26才实际上执行指令32,例如闭合最初断开的开关元件24。在断开开关元件24的情况下,在电池单体10的电连接部20、22上不存在电压。因此只有在闭合开关元件24之后,电池单体10才真正接通,从而电元件14的电压施加在电连接部20、22上。
微型控制器26可以通过操控线路36对开关元件24加载控制电压,从而特别是引起开关元件24的断开或闭合。微型控制器26在此不仅与开关元件24作用连接,而且与电池单体10的另外的这种功能单元连接。
例如,微型控制器26通过另一条操控线路38与另一个开关元件40作用连接。所述另一个开关元件40布置在导线42中,该导线使两个导电体16、18彼此连接。在导线42中还布置有电阻元件44。如果微型控制器26操控开关元件40,则可以进行电元件14的放电、特别是深度放电。通过深度放电,可以使电池单体10不能再用。然而,可以无危险地运输电池单体,例如输送至废品处理或回收处。另外,当外部控制设备30将闭合另一个开关元件40的指令32发送给微型控制器26时,在此借助检查单元34检查外部控制设备30的关于发出指令32的授权。为此,例如指令32可以被加密,并且检查单元34被设计用于对指令32进行解密。
可以设置有通信装置以使微型控制器26与外部控制设备30进行通信,通信装置在此示意性示出地设计成无线电天线46,从而适合于与控制设备30无线通信。然而附加地或替选地,也可以设置导线连接的通信。
为了加密整个通信或部分通信,该整个通信或部分通信可以是从控制设备30至微型控制器26的通信和/或从微型控制器26至控制设备30的通信,可以使用不同的加密方法。从而例如可以使用根据aes-128的对称加密。附加地或替选地可以使用根据pgp(prettygoodprivacy)的非对称加密方法。为此在电池单体10中、例如在存储器48中可以存储私人密钥和公开密钥。存储器48可以连接在微型控制器26上。附加地或替选地可以设置存储器50,该存储器集成到微型控制器26或这种计算单元中。
在此,存储器48包括非易失性存储器52和一次性可编程存储器,即otp存储器54(otp=onetimeprogrammable)(参见图2)。
当加密的通信借助于私人密钥和公开密钥时,相应的密钥例如可以在每个存储器52、54中保存至少三份。在此,密钥尤其可以与纠错码(ecc、fehlerkorrekturcode)一起存储。纠错码优选被设计用,查明两个比特差错或差错比特并且校正比特差错或差错比特。
私有密钥优选存在于otp存储器54中,一个或多个公开密钥不仅存在于otp存储器54中而且还处于非易失性存储器52中。这样,公开密钥在下述情况下可以由外部控制设备30读出:该控制设备被授权与微型控制器26进行通信。
特别是私有密钥在操控或读取电池单体10的功能单元方面、例如在操控开关元件24、40方面实现了通信加密。然而还可以借助特别是私有密钥来保障对存储器48的访问。因此,存储器48本身还可以是电池单体10的功能单元之一,微型控制器26与该功能单元作用连接。然而由外部控制设备30访问存储器48不能直接实现,而是通过微型控制器26进行该访问。从而可以借助检查单元34首先确定,是否允许这种访问。
在存储器48中例如可以存储公开的数字式识别码56作为用于每个电池单体10的标识(参见图2),借助该识别码可以一对一地识别出每个电池单体10。这种公开的识别码56尤其可以在存储器48中存储三份,并且其优选与纠错码(ecc)一起存储。这个纠错码优选被设计用于,识别出至少两个比特差错并且校正比特差错。在此,识别码56在otp存储器54中存储三份,并且优选还以备份的形式存储在非易失性存储器52中。
例如识别码56和/或密钥的三重设置用于特别高的安全性。因此例如可以规定,必须读出所有三个识别码56,在三个识别码56一致时才能推断出其正确性。还可以规定按等级读出三个识别码56,其中只有在下述情况下才访问第二识别码56:在读出第一识别码56时错误识别功能已经判定极有可能存在错误。
当检查单元34已经确定外部控制设备30被授权发出指令32时,可以读出识别码56。然后与识别码56一起例如可以将开关元件24、40的状态、电池单体10的电压以及指明了进入电池单体10中或从电池单体10流出的电流的值等被传达给外部控制设备30。
此外,微型控制器26与传感器装置58作用连接,该传感器装置能检测其它与电池单体10相关的参数。例如,可以借助传感器装置58来检测在电池单体壳12内的温度和压力、电元件14的电解质的性质、加速度和/或机械应力或电池单体10承受的力。能借助传感器装置58检测的参数在此存储在存储器48中。可以规定,相应的信息中的几个可以由外部控制设备30读出,只要该外部设备识别出电池单体10的识别码56。这种参数例如可以包括电压、电池单体10的温度和电池单体10的压力。然而可以规定,存储在存储器48中的确定的数据不能容易地公开地使用。从而可以规定,微型控制器26将借助传感器装置58检测的数据以加密的方式存储在存储器48中并且仅允许借助外部控制设备30读出那些外部控制设备得到了授权的数据。
此外可以规定,例如在微型控制器26的otp存储器54中存储特别是三份密钥,优选该密钥还与纠错码一起存储,该密钥用于加密要写入易失性存储器52中的数据并且还用于读出这些数据。由此确保了,仅能通过本地微型控制器26访问存储器48。即使控制设备30被授权与微型控制器26进行通信并且在一定程度上被接通了,实际上对存储器48的访问、进而对加密的且要由微型控制器26解密的数据的访问也是通过本地计算单元进行的。
也可以针对不同的功能设置不同的、特别是私人的密钥。还可以设置分级的安全性,其中只有在释放了紧接着的较低的层级之后才能访问紧接着的较高的层级。通过这种多级防御功能可以提供不同的密级,例如用于在存储器48中存储数据、用于读取数据或用于改写数据。运行开关元件24、40或这种断路开关还可以与事先释放上级的层级相关。
在检查外部控制设备30是否被授权将指令32发出给微型控制器26方面可以规定,指令序列包括外部控制设备30的识别码或这种标识和待响应的电池单体10的识别码56。此外,指令序列可以包括被设置用于操纵开关元件24、40的指令。此外可以规定,用于操纵开关元件24、40的指令32包括电池单体10的时间戳和/或能量值。此外这种时间戳或能量值可以被加密。此外可以规定,指令序列包含纠错码。
当为了操纵开关元件24、40或这种断路开关而在指令32中包含电池单体10的时间戳和/或能量值时,可以确保,不能监听相应的通信和随后不诚实地使用复制的指令。电池单体10能量值可以表明迄今已经被储入电池单体10中和已经由电池单体10发出的能量。
尤其闭合开关元件24是敏感的过程,因为通过该开关元件突然地接通了电池单体10或甚至整个电池28,从而在电池单体10的连接部20、22上或在电池28的高压连接部上存在了电压。因此可以规定,在发出指令32之后——该指令使得微型控制器26闭合开关元件24,在预先确定的时间段期满之后和/或在确定的能量流进入到电池单体10中或从电池单体10流出之后,必须发出更新指令32,才能使开关元件24保持闭合。
为此,检查单元34可以包括功能块60(参见图2),该功能块检查指令32的更新、即发出所谓的存活指令。设置用于检查存活指令的功能块60确保了,在下述情况下自动地切断电池单体10:在相当长的时间上外部控制设备30没有与电池单体10进行通信。即当例如在确定数量的小时和/或瓦秒之后没有由功能块60检测出存活指令时,则必须重新触发微型控制器26的响应功能以闭合开关元件24。
存活指令例如可以包括电池28的所有电池单体10的识别码56(参见图4)。从而可以确保,在更换电池单体10之一时或在预先给定的时间段期满之后或在达到能量流预先确定的值之后进行这类操作时不能进一步运行电池28。从而能尤其尽可能地避免对电池28的篡改。
在图2中说明了,只有在授权62之后例如才允许访问在存储器48中存储的数据或运行开关元件24、40。
借助图3来说明外部控制设备30被接通的可能性。因此可以规定,外部控制设备30事先必须与机动车的其它控制设备通信,才能被授权用于发出指令32。从而,可以设置外部控制设备30与电池管理系统64和附加地或替选地与电池保险盒66、功率电子元件68和/或充电器70通信,才能接通外部控制设备30。在还称为电池接线盒(bjb)的电池保险盒66中设置电池28的高压保护装置。可以规定,只有在交换了这个控制设备或部件的相应的标识之后,外部控制设备30才被接通用于与电池单体10通信。
为此例如可以在电池单体10的非易失性存储器52中存储外部控制设备30的识别码,该识别码包括电池保险盒66和/或充电器70的号码。如果向该控制设备30通知该识别码,则电池单体10的检查单元34可以确定,如下的外部控制设备30与电池单体10通信,该外部控制设备与至少一个另外的图3所示部件属于相同的机动车。然后在接通外部控制设备30之后,尤其可以将用于运行开关元件24、40和用于访问存储器48的指令32从外部控制设备30发送给电池单体10。
在一般地允许了运行断路开关或开关元件24、40的功能之后,可以使用各个用于运行开关元件24、40的指令32。这个指令32的密钥可以与相应的纠错码一起存储在otp存储器54中例如三份,并且在接通外部控制设备30之后由外部控制设备30读出。这个指令32可以包括闭合和断开开关元件24以及用于使开关元件24保持闭合的存活指令。另外,通过借助由接通的控制设备30发出的指令32来闭合开关元件40可以引起电池单体10的放电和特别是深度放电。
如果微型控制器26将数据以加密的方式存储在存储器48中,则即使在接通外部控制设备30之后也仅通过微型控制器26来实现实际的存储器访问。在微型控制器26损坏或损毁时则不能再访问存储器48。特别是不再能读出在非易失性存储器52中存储的数据。
另外可以规定,与电池单体10的识别码56无关地,紧急消息或这种特殊指令72可以引起开关元件24断开(参见图2)。这种特殊指令72可以在下述情况下使用:在具有电池28的机动车出现事故之后,电池28应被切换至无压。相应的紧急消息例如可以为至少1024bit长。附加地或替选地,特殊指令72可以引起电池单体10通过闭合开关元件40的深度放电。
如图1所示,微型控制器26或包括微型控制器26的芯片可以具有例如形式为所谓的保险丝等的保险元件74。这种还称为触发线的保险丝在此在下述情况下断开:有人尝试打开微型控制器26以获得其秘密。微型控制器26在工作中或者立即地、或者在下一次启动之后识别出这一点。于是,微型控制器26可以对非易失性存储器52中和/或在otp存储器54中的侵入序列进行编程。然后,如果微型控制器26在执行访问存储器48之前找到这种侵入序列,则禁止任何其它的存储器访问、即特别是读取和/或写入。还可以确保,删除所有存储在电池单体10的存储器48中的数据。
通过上述的、特别是多级的数字式安全方案,实现了一系列有利的功能。特别是电池单体10的历史能可靠地以加密的方式存储在存储器48中,尽管如此仍优选完整地记录电池单体10的历史过程、例如关于电流、电压、温度等的值。另外确保了安全地进入不同的层级。例如,对电池28或各个电池单体10实施管理的功能管理系统或检查管理系统仅获得了必要的访问手段。特别是,仅被授权的外部计算单元——例如形式为外部控制设备30——可以操纵开关元件24、40。
关于在存储器48中记录或保存数据可以规定,这一点根据指令32实现。然而也可以规定,这种数据存储原则上持续地实现,然而其中借助指令32可以确定,在经过了确定的时间段之后在存储器48中不存储数据,或在那里应存储哪种类型的数据。持续的登录(loggen)或数据记录的接通例如可以通过在otp存储器54中相应的存储位置实现。
另外可以规定,一次性激活或去激活确定的功能。为此特别是还可以在otp存储器54中设置相应的存储位置。这一点例如能够使微型控制器26的运行匹配于相应类型的电池单体10。例如可以切断在确定类型的电池单体10中不需要的特定分析或例程,以便例如节省能量。
此外,在此在下述情况下使电池单体10去激活:电池单体10被打开或毁坏以接近微型控制器26。通过优选首先要接通外部控制设备30,实现了所谓的分配的秘密,这样便提供了对于不希望的调整和防盗保护方面的安全性。另外,对尤其可以设计成功率晶体管的开关元件24、40的操纵在此只有在秘密传输之后才被激活,且优选在确定的时间间隔之后。然后将存活指令重复传达给微型控制器26保证了电池单体10的连续受控的功能或保持在线(am-netz-bleiben)。
由于机动车的外部控制设备30仅能够或被允许作用于已知的或事先被训练的电池单体10,所以另外确保了对原始配件的保护。由此禁止使用伪造的和/或不适合的和/或被盗的电池单体10。另外,确保了在恶意损坏方面的保护,这一点例如通过能借助保险元件74的损坏来判定电池单体10被在外部打开来实现。
另外,通过不与原始状态一致的微型控制器26可以识别出访问存储器的尝试,这是因为微型控制器26能在存储器48中保存侵入序列。在识别出的恶意损坏的情况下,例如可以借助这种侵入序列来确保,在存储器48中保存的数据不能用或被禁止访问。
微型控制器26还可以在存储器48中存储外部控制设备30的识别码。这样便可以明确地解释电池单体10用在哪辆车辆中,并且显示出在该车辆中电池单体10所经历的相应历史。
外部控制设备30也可以存储所有电池单体10的识别码56,从而在交叉比较中可以一对一地追查所有电池单体10的存在历史。这样便保障了电池单体10的值的安全性,特别是用于稍后的在替选应用范围内的使用、即所谓的二次利用。
还可以规定,通过故意地主动地损坏保险元件74(例如利用为保险丝加载相应的电流)或通过指令序列引起电池单体10的主动放电。主动放电可以通过闭合开关元件40实现。同时,在此情况下使得开关元件24不能随后闭合。