Das unsichtbare Sicherheitsnetz: Wie ISO-Normen den Weg von der Ladesäule bis zum Antrieb sichern

Seit der massenhaften Einführung der Elektromobilität hat die Automobilindustrie eine herausfordernde Aufgabe: Die Beherrschung einer großen Anzahl von Hochspannungssystemen in einer Umgebung, die extremen mechanischen und klimatischen Belastungen ausgesetzt ist. Wer heute in ein modernes Elektrofahrzeug steigt, vertraut auf ein komplexes Geflecht aus Normen, das weit über einfache mechanische Prüfungen hinausgeht. Es ist ein Zusammenspiel aus Hardware-Integrität (ISO 6469), funktionaler Logik (ISO 26262), sicherer Kommunikation (ISO 15118) und digitaler Abwehrkraft (ISO 21434).

Der erste Kontakt: Sicherheit an der Schnittstelle (ISO 15118 & IEC 61851) 

Die Sicherheitskette beginnt bereits vor dem ersten Kilometer – an der Ladestation. Wenn ein Fahrer sein Fahrzeug via „Plug & Charge“ (bekannt von Anbietern wie Ionity oder Tesla) anschließt, tritt die ISO 15118 in Aktion. Während die IEC 61851 die physikalische Verbindung und den Basisschutz beim Laden sicherstellt, verhandelt die ISO 15118 die energetischen Parameter. Sie überwacht den gesamten Kommunikationszyklus – vom Einstecken bis zur Abrechnung –, indem sie ein verschlüsseltes Protokoll (TLS) nutzt, um die Authentizität des Fahrzeugzertifikats gegenüber der Ladesäule (EVSE) sicherzustellen.

Inhaltlich legt die Norm fest, wie das Fahrzeug und die Säule ihre physikalischen Grenzen aushandeln: Das Auto übermittelt seinen aktuellen Ladezustand (SoC), die maximal verträgliche Spannung der Batterie und die gewünschte Energiemenge. Während des aktiven Ladens überwacht die ISO 15118 in millisekündlichen Zyklen (Current Demand Res), ob die gelieferte Spannung der angeforderten entspricht. Tritt eine Diskrepanz auf, die auf einen Defekt im Kabel oder einen Isolationsfehler hindeutet, erzwingt das Protokoll einen kontrollierten Abbruch des Ladevorgangs.

Ein zukunftsweisendes Anwendungsbeispiel ist das bidirektionale Laden (V2G) nach der neuen Edition ISO 15118-20. Hier überwacht die Norm nicht nur den Energiefluss in die Batterie, sondern steuert auch die Rückspeisung ins Stromnetz, um dieses bei Überlastung zu stützen. Dabei stellt sie sicher, dass die Entladung nur bis zu einem vom Nutzer definierten Schwellenwert erfolgt, damit die Mobilitätsgarantie des Fahrers stets erhalten bleibt. So wird die ISO 15118 zum digitalen Wächter, der die Hardware-Sicherheit der ISO 6469 mit der intelligenten Netzintegration verknüpft.

Das Sicherheitskonzept im Hintergrund: Funktionale Sicherheit (ISO 26262) 

Die ISO 26262 stellt die "Intelligenz" hinter den mechanisch-elektrischen Systemen dar. Sie ist die Norm für funktionale Sicherheit im Automotive-Sektor. Ihr Ziel ist es, das Risiko von Fehlfunktionen in elektrischen und elektronischen Systemen auf ein Minimum zu reduzieren. Durch die Zuweisung von ASIL-Stufen (Automotive Safety Integrity Level) – von A (niedrig) bis D (kritisch) – wird sichergestellt, dass beispielsweise ein Softwarefehler im Wechselrichter nicht zu einer ungewollten Beschleunigung führt. Sie bildet damit das logische Rückgrat, auf dem die physischen Schutzmaßnahmen der ISO 6469 aufbauen.

Ein Beispiel aus der Praxis verdeutlicht dies am deutlichsten im ASIL D (Automotive Safety Integrity Level), der höchsten Stufe der Risikobewertung: Nehmen wir das elektronische Gaspedal. In einem E-Fahrzeug wird der Fahrerwunsch digital an den Inverter übermittelt. Damit ein Softwarefehler nicht zu einer ungewollten Beschleunigung führt, verlangt die ISO 26262 eine redundante Auslegung. Zwei unabhängige Sensoren messen den Pedalweg. Weichen die Werte voneinander ab, erkennt die Logik den Fehler und schaltet das System in den „Safe State“ (Drehmoment auf Null). Dies schützt nicht nur den Fahrer, sondern verhindert auch, dass der Antriebstrang physisch überlastet wird.

Die Hochvolt-Sicherheit: Die vier Teile der ISO 6469 

Während die Logik über die Software wacht, bildet die ISO 6469 das fundamentale physikalische Rahmenwerk. Sie ist die Norm, die dafür sorgt, dass die bis zu 800 V Gleichspannung dort bleiben, wo sie hingehören: in den orangefarbenen HV-Leitungen.

Der Einstieg in diese Sicherheitsnorm erfolgt über Teil 1, der sich dezidiert mit den wiederaufladbaren Energiespeichersystemen (RESS) befasst. Hier steht der Schutz vor internen Gefahren der Batterie im Vordergrund. Die Norm legt fest, dass unter normalen Betriebsbedingungen weder gefährliche Gase emittiert werden dürfen noch Elektrolyt austreten darf. Es geht primär um die Integrität des Speichers und dessen sichere Verankerung im Fahrzeugheck oder Unterboden.

In Teil 2 verschiebt sich der Fokus auf die operationelle Sicherheit. Da ein Elektroantrieb im Stillstand keine akustischen Rückschlüsse auf seine Betriebsbereitschaft zulässt, schreibt die Norm zwingend eine optische oder akustische Anzeige für den Fahrer vor. Zudem werden hier Schutzmaßnahmen gegen unbeabsichtigtes Anfahren und Fehlbedienungen beim Wechsel der Fahrtrichtung definiert, um die funktionale Sicherheit im täglichen Gebrauch zu gewährleisten.

Der technisch anspruchsvollste Abschnitt ist Teil 3, der den Schutz von Personen gegen elektrischen Schlag regelt. Er definiert die Barrieren, die den Menschen von spannungsführenden Teilen trennen. Das Sicherheitskonzept beruht hier auf einer Kombination aus Basisschutz (Isolierung) und Fehlerschutz. Ein zentrales Element ist die kontinuierliche Überwachung des Isolationswiderstands: Sinkt dieser unter einen kritischen Schwellenwert, muss das System eine Warnung ausgeben oder die HV-Schütze trennen. Der Potentialausgleich sorgt zudem dafür, dass alle leitfähigen Gehäuseteile auf demselben elektrischen Niveau liegen, um gefährliche Berührungsspannungen zu vermeiden.

Abgerundet wird die ISO 6469 durch Teil 4, der die Anforderungen nach einem Kollisionsereignis festlegt. Um Rettungskräfte und Insassen nach einem Unfall zu schützen, muss das Fahrzeug in der Lage sein, die im HV-System gespeicherte Energie innerhalb einer definierten Zeitspanne abzubauen. Üblicherweise muss die Spannung an den HV-Komponenten in weniger als fünf Sekunden auf einen Wert unter fallen.

Die neue Front: Cybersecurity (ISO 21434) 

In einer vernetzten Welt reicht physikalische und funktionale Sicherheit nicht mehr aus. Elektrofahrzeuge tragen mit ihren zahlreichen Schnittstellen in die Aussenwelt ein erhöhtes Risiko. Hier ergänzt die ISO 21434 das Gefüge. Da Fahrzeuge u.a. über die ISO 15118 kommunizieren und Over-the-Air-Updates (OTA) empfangen, müssen sie gegen Hackerangriffe geschützt werden.

Beispielhaft könnte ein Angreifer versuchen, über die Ladesäule Schadsoftware in das Batteriemanagementsystem (BMS) einzuschleusen, um die Kühlung zu manipulieren. Die ISO 21434 schreibt Prozesse vor, die solche Angriffsvektoren identifizieren und durch verschlüsselte Kommunikation und Authentifizierung (ähnlich wie beim Online-Banking) absichern.

Das Zusammenspiel als Garant der störungsfreien Funktion 

Keine dieser Normen steht für sich allein. Wenn ein E-Fahrzeug rekuperiert (Bremsenergie zurückgewinnt), überwacht die ISO 26262 die Plausibilität des Bremsmoments, während die ISO 6469 sicherstellt, dass die dabei entstehenden Spannungsspitzen die Isolierung nicht durchschlagen. Die ISO 15118 sorgt bei Anschluß an das Stromnetz dafür, dass bei bidirektionalem Laden und Entladen die Energiekapazitäten in der Fahrzeugbatterie dem Stromnetz zur Verfügung gestellt werden können (V2G), ohne die Cybersicherheit (ISO 21434) zu kompromittieren.

Die ISO 6469 sichert den elektrischen Zustand des Fahrzeugs, die ISO 26262 bürgt für die Verlässlichkeit der Steuerungslogik und die ISO 15118 gewährleistet eine sichere und intelligente Interaktion mit der Energieinfrastruktur und die Einhaltung der ISO 21434 sorgt dafür, dass die Cybersicherheit nicht kompromittiert wird.

Unzweifelhaft gilt es, eine sehr große Menge weiterer Normen (u.a. Bauteilnormen, Gerätenormen usw.) zu beachten. Diese Grundnormen sichern jedoch zusammen mit horizontalen, Sicherheitsnorm wie der IEC 60664 den sicheren Bau und Betrieb von EV`s insgesamt.