Mobile Maschinen 2/2018

Mittlerweile verweist die „New Mother Regulation“
(EU ‘Mother’ Regulation 167/2013)
in der EU auf die Anwendung von vorherrschenden
Sicherheitsstandards als Vorbedingung
für die Homologation von Traktoren. Doch was
heißt das in der Praxis? In diesem Artikel wird an einem
Beispiel gezeigt, wie sich die Berücksichtigung der Standards
auf den täglichen Arbeitsalltag auswirkt und welche
zusätzlichen Anforderungen und Maßnahmen im Entwicklungsprozess
notwendig sind. Durch das Einbauen
von zusätzlichen Überwachungen verändert sich nicht
nur die Funktion selbst, sondern auch der gesamte Entstehungsprozess:
Eine „Sicherheitskultur“ muss eingeführt
werden, zusätzliche Prozesse werden unabdinglich.
V + S
ruhend
R + S
Fahrtrichtung
Vorwärtskontakt (V)
Sicherheitskontakt (S)
Rückwärtskontakt (R)
01 Richtungshebel
WAS IST SICHERHEITSRELEVANT?
Zum besseren Verständnis der Funktion, wird das Anfahren des Traktors als Beispiel herangezogen. Mit dem Richtungshebel
kann der Fahrer die gewünschte Fahrtrichtung auswählen bzw. zügig wechseln. Während einer Gefahren- und Risikoanalyse
wird jede Funktion daraufhin bewertet, ob im Fehlerfall der Benutzer oder andere Personen gefährdet werden. Wird diese
Frage mit ja beantwortet, so kann die Funktion als sicherheitsrelevant eingestuft werden. Wie viele andere Funktionen im
Zusammenhang mit dem Getriebe erhält das Anfahren über den Richtungshebel ebenso eine sicherheitsrelevante Einstufung.
Dies führt dazu, dass eine Reihe von Maßnahmen durchgeführt werden müssen, um die Funktion abzusichern. Im
dargestellten Beispiel ergibt die Analyse, dass der Befehl zur Richtungsänderung an die Getriebeelektronik nur dann aktiviert
werden darf, wenn sich der Richtungshebel in der entsprechenden Position befindet. Anders formuliert: Der Traktor darf seine
Fahrtrichtung nicht ändern oder anfahren, wenn ein Elektronikfehler auftritt. Folgendes ist dabei zu beachten:
n Die Eingabedaten (Signale, wie z. B. vom Richtungshebel) müssen korrekt sein
n Die Verarbeitung (Auswertung der Signale am Steuergerät) muss korrekt sein
n Die Ausgabedaten (Signale wie z. B. zum Getriebe) müssen korrekt sein
Im dargestellten Beispiel müssen die Eingangssignale vom Fahrtrichtungshebel zuverlässig sein, und die Ausgangssignale zum
Getriebe müssen richtig gesendet werden. Dazu werden die Leitungen überwacht (Kurzschluss, offene Leitung, Plausibilität des
empfangenen Signals). Werden die Daten als Nachrichten über den CAN-Bus übertragen, wird die Empfangszeit überwacht,
sowie eine Prüfsumme über die Nutzdaten errechnet. Die Prüfsumme wird beim Senden mitübertragen, und beim Empfangen
neuberechnet. Anschließend wird die übertragene Prüfsumme, mit der beim Empfang berechneten Daten, verglichen. Wurden
Daten bei der Übertragung verfälscht, kann anhand der Prüfsumme ein Datenübertragungsfehler festgestellt werden. Für die
Verarbeitung werden der Speicher und die Laufzeit der Funktion überwacht. Der größte Teil dieser Überwachung wird bereits
in den Ein-/Ausgabetreibern der Basis-Software durchgeführt.
Bedienanforderung
zugewiesenes Sicherheitsziel
Reaktion des Fahrzeugs
Vorwärts/Rückwärts
Anforderung
SG
Vermeide unerwartetes Anfahren
c
Traktor fährt wie
angefordert
Mensch-Maschine-Schnittstelle
(MMI)
Anforderung:
E/E-System
E/E-System Ausgang:
E/E-System
Richtungshebel
F/R
Shuttle
Anfahren des Traktors
Anfahrfunktion
Proportional Signale
Kupplungsaktuatorik
AgPL r c
02 Systemdarstellung der Anfahrfunktion
www.mobile-maschinen.info Mobile Maschinen 2018/02 61