Mobile Maschinen 2/2018

Weitere Magazine

Info

DAS E-GAS-ÜBERWACHUNGSKONZEPT Ein bewährtes Überwachungskonzept für die eigentliche Funktion stammt aus der Automobilindustrie, das E-Gas-Konzept [Standardisiertes E-Gas-Überwachungskonzept für Benzin- und Diesel-Motorsteuerungen, EGAS Arbeitskreis]. Dies beruht im Wesentlichen darauf, dass die für die Sicherheit wichtigen Zustände viel einfacher zu beschreiben sind, als die Funktion selbst. Im dargestellten Beispiel ist die Proportionalsteuerung für die Kupplungsregelung aufwendig, jedoch der für die Sicherheit relevante Zustand, z. B. „Fahrtrichtungseinstellung im Getriebe gleich Richtungshebel-Position“, viel einfacher zu prüfen. Am Steuergerät werden die Richtungshebel Signale geprüft und die Kommunikation mit dem Getriebe abgesichert. Zusätzlich läuft eine redundante Sicherheitsfunktion, im E-Gas-Konzept „Level- 2-Monitor“ genannt, wobei der Level-2-Monitor nur die Ein- und Ausgangssignale prüft. Lässt die Elektronik fälschlicherweise zu, dass der Richtungshebel nicht mit der angeforderten Getriebefahrtrichtung übereinstimmt, dann wird die Überwachungsfunktion aktiv. V + S Regelung Eingangsverarbeitung Ausgangsverarbeitung Fahrtrichtung Level-2 Monitor 03 Überwachungsfunktion als redundanter Pfad zur eigentlichen Regelung Erkennen die Sicherheitsfunktionen einen Fehler, dann wird das System in den „sicheren Zustand“ überführt. Im dargestellten Beispiel wird die Kommunikation zwischen den Steuergeräten deaktiviert, damit verweilt der Traktor im aktuellen Zustand. Trotz des aufgetretenen Fehlers befindet sich das Fahrzeug im kontrollierbaren Zustand. Für den Kunden, beispielsweise dem Landwirt, ist es durchaus unbefriedigend, wenn die Elektronik den Traktor stilllegt. Um die Verfügbarkeit des Systems nicht zu beeinträchtigen, dürfen lediglich sicherheitskritische Fehler zu einer Abschaltung des Systems führen. DIE SYNCHRONISIERUNG IST VON BEDEUTUNG Bei der Überwachung sind zwei Arten von „korrekt“ zu unterscheiden: n Funktional korrekt, die Überwachung muss den Zustand des Systems richtig erkennen n Zeitlich korrekt, die Überwachung muss den Abgleich des Systemzustands auch „zeitgleich“ (also mit hinreichend wenig Verzögerung) durchführen Eingangssignal V + S ruhend R + S Fahrtrichtung Vorwärtskontakt (V) Sicherheitskontakt (S) Rückwärtskontakt (R) IN_V IN_R IN_S Ausgang 0 0 0 Ruhend 0 0 1 Ruhend 0 1 0 Fehler 0 1 1 Rückwärts 1 0 0 Fehler 1 0 1 Vorwärts 1 1 0 Fehler 1 1 1 Fehler Eingangssignal Vorwärtskontakt 1 t Eingangssignal Sicherheitskontakt 0 t Abtastung Level-2 Monitor Abtastung Funktionsregler 04 Darstellung der möglichen Abtastzeitpunkte von Eingangssignalen Die zeitliche Korrektheit ist ebenso wichtig, wie die funktionale Korrektheit. Beim Level-2-Monitor wird der Systemzustand redundant, zusätzlich zur Regelung selbst, berechnet. Danach wird ein Vergleich durchgeführt: entspricht der Systemzustand, den die Regelung hergestellt hat, den Erwartungen der Überwachung? Sprichwörtlich steckt hier der Teufel im Detail: es gibt viele Übergänge zwischen den Systemzuständen. Die Signale „IN_V“ und „IN_S“ – müssen gleichzeitig gelten – sind in der Phase, in der der Hebel gerade bewegt wird, nicht synchron. Die Normalfunktion kann früher abtasten als die Überwachungsfunktion, was zu einer unterschiedlichen Interpretation der Zustände führen kann. Zeitliche Differenzen zwischen Funktion und Sicherheitsfunktion kann es bei nahezu allen Zustandsübergängen geben. Alle Übergänge müssen daher mit Sorgfalt überdacht und wenn nötig entprellt werden. Im dargestellten Beispiel traten in der Praxis weitere Fehler auf: Es stellte sich heraus, dass die bereits entprellte Überwachungsfunktion immer wieder aktiv wurde, als der Benutzer den Richtungshebel rasch vor und zurück bewegte und damit weitere Asynchronitäten auslöste. Die Überwachungsfunktionen müssen ebenso getestet werden, wie die Regelung selbst. Hier kommt das Entwicklungsteam in eine befremdliche Situation: Hat es doch die größte Sorgfalt daraufgelegt, dass die Systeme korrekt funktionieren – was aber be deutet, dass die Überwachungsfunktion nie aktiv wird. Wie kann also die Überwachungsfunktion getestet werden, wenn man 62 Mobile Maschinen 2018/02 www.mobile-maschinen.info
SMART DIREKTER KONTAKT Daniel Puckmayr, Development Engineer, AVL CD&TE, daniel.puckmayr@avl.com sie nie „in Aktion“ sieht? Es müssen spezielle Tests definiert und ausgeführt werden, in denen Fehlfunktionen simuliert werden: Zur Aktivierung der Überwachungsfunktion werden mittels Fehlerstimuli künstliche Fehler generiert, z. B.: n CAN Manipulation n Laufzeit Manipulation (zusätzliche Software Schalter für Stimuli notwendig) n Hardware Manipulation (Kurschlussdetektion, Leitungsunterbrechung, …) Das gelingt nur mit speziellen Testaufbauten, in denen interne Ein-/Ausgangssignale und der CAN-Bus manipuliert werden können. Viele dieser Tests werden ohnehin durchgeführt, da, unabhängig von der „Funktionalen Sicherheit“, für eine korrekte Diagnose von Fehlfunktionen gesorgt werden muss. Auf be stehende Testaufbauten im Labor (HIL-Tests) kann hierbei zurückgegriffen werden. Aufgrund der Sicherheitsanforderungen bekommen die Tests einen anderen Stellenwert. Es ist unabdingbar einen Teil dieser Tests auch in der Maschine selbst durchzuführen, um die rechtzeitige und korrekte Einleitung des sicheren Zustands zu prüfen. Wir sind dabei, wenn Übersicht entscheidend ist. Area-View-Systeme für Sonderfahrzeuge und Maschinen erhöhen die Produktivität durch schnellere Rangiervorgänge und helfen, Unfälle zu vermeiden. STOLPERSTEINE AUS DER PRAXIS Zusätzlich zu den Entwicklungsaufwänden der dargestellten Sicherungsfunktion sind noch folgende Tätigkeiten notwendig, um die für die Landtechnik relevante Norm ISO 25119 zu erfüllen. Einige Beispiele aus dem Sicherheits-Produktlebenszyklus: n Analyse des Systems auf potentielle Gefahren n Installation einer Sicherheitskultur (Safety Manager, Safety Plan, …) n Ausarbeitung technischer Sicherheitskonzepte n Entwicklung und Validierung von sicherheitsrelevanten Funktionen Diese zusätzlichen Tätigkeiten beinhalten dieselben Risiken wie gewöhnliche Entwicklungsaktivitäten: Aufwände können unterschätzt werden, Umsetzungen können länger dauern, Tests können fehlschlagen, usw. Daher muss die sicherheitsrelevante Entwicklung von Anfang an genauso geplant werden wie die funktionale Umsetzung. Insbesondere muss darauf hingewiesen werden, dass die Aufwände erst dann sichtbar werden, wenn das technische Sicherheitskonzept ausgearbeitet ist. Die naheliegende Idee, zunächst die Funktionen umzusetzen, damit der Kunde rasch Ergebnisse sieht, und erst später die Sicherungsfunktionen einzuführen, ergibt ein sehr ineffizientes Ergebnis (Kosten/Zeit). Die eigentliche Funktion steht dem Kunden zwar früher zur Verfügung, muss aber im schlimmsten Fall überarbeitet werden, wenn sie nicht in das später entworfene Sicherheitskonzept passt. Die oben beschriebene Synchronisierung zwischen Regelung und Level-2-Monitor gelingt einfacher und lückenloser, sowie Zeit und Kosten effizienter, wenn die Übergangsphasen von Beginn an untersucht und entsprechend ausgeführt werden. Wenn die Regelung schon fertig entwickelt ist, ist es schwieriger, alle Übergangssituationen im Nachhinein zu identifizieren. Erst wenn alle Situationen erkannt wurden, können auch Tests dafür installiert werden, um die lückenlose Entprellung systematisch sicherzustellen. Auf diese Weise wird verhindert, dass aufgrund sporadisch auftretender Fehler Freigaben verschoben werden und die Zuverlässigkeit nicht beeinträchtigt wird GEPLANTE SICHERHEIT Die Absicherung von elektronischen Funktionen entsprechend der Norm ISO 25119 ist mittlerweile Stand-der-Technik. Viele potentielle Fehlerquellen können durch die Einführung einer Sicherheitskultur in einem Unternehmen bereits frühzeitig erkannt und dadurch behoben werden. Das Einhalten der Standards erhöht die Sicherheit und schützt bestmöglich vor Produkthaftungsproblemen. Bewährte Konzepte, v. a. das automotive E-Gas-Konzept, können auch im Agrarbereich erfolgreich umgesetzt werden. Wichtig ist, die funktionale Sicherheit von Anfang an im Projekt einzuplanen und im Zeitplan zu berücksichtigen. www.avl.com www.first-sensor.com
Seite 1 und 2:
77221 02 APRIL 2018 ROBUST ■ STAR
Seite 3 und 4:
NEU KONSTRUIERT! Liebe Leserinnen,
Seite 5 und 6:
23. -27. April 2018 SPEZIAL Halle 9
Seite 7 und 8:
NACH DEM RELAUNCH ZWEI IN EINS! DRE
Seite 9 und 10:
Verfügbarkeit, Darstellung, weltwe
Seite 11 und 12: Vielfältige Standardwerkzeuge und
Seite 13 und 14: Der RX 20 ist für Lasten von 1,4 b
Seite 15 und 16: UNIVERSALDREHGEBER FÜR SICHERHEITS
Seite 17 und 18: IDENTITÄT Das preisgekrönte Desig
Seite 19 und 20: Der Alliance 389VF ermöglicht es,
Seite 21 und 22: ROBUSTER OUTDOOR-STECKVERBINDER Ein
Seite 23 und 24: APDS OPTIMIERT FÜR LIDAR-ANWENDUNG
Seite 25 und 26: www.cleanfix.org RADIALREIFEN FÜR
Seite 27 und 28: FEINFÜHLIG TROTZ HOHEM VOLUMENSTRO
Seite 29 und 30: Die KGS Keller Geräte & Service Gm
Seite 31 und 32: Ganz groß, wenn’s eng wird: der
Seite 33 und 34: Seit der Gründung 1967 hat die Nac
Seite 35 und 36: DEUTLICH MEHR KOPFFREIHEIT Das ultr
Seite 37 und 38: FIX & FERTIG Der polnische Schienen
Seite 39 und 40: Ende des Jahres 2016 startete die K
Seite 41 und 42: SEHR SCHMALE EMV-SCHIRMKLAMMERN FÜ
Seite 43 und 44: RK Terminalhalterung ...hochfest, f
Seite 45 und 46: ROHRSCHELLEN IN VIELERLEI VARIANTEN
Seite 47 und 48: Der richtige Reifendruck ist für d
Seite 49 und 50: INDIVIDUELLE INDUSTRIEPROFILE AUS K
Seite 51 und 52: Der Trend zum Elektroantrieb macht
Seite 53 und 54: PETER BECKER, CHEFREDAKTEUR MOBILE
Seite 55 und 56: Am Lagerfahrzeug dient das Modell a
Seite 57 und 58: SIKO greift hier auf ein Know-how z
Seite 59 und 60: SEILZUGSENSOR MIT 8-FACHER LEBENSDA
Seite 61: Mittlerweile verweist die „New Mo
Seite 65 und 66: Produktivität und Effizienz von Ma
Seite 67 und 68: Wieso haben Sie sich dafür entschi
Seite 69 und 70: HYGIENISCHE, LEICHTLÄUFIGE STEHLAG
Seite 71 und 72: MEHR CAD-MODELLE FÜR BEFESTIGUNGST
Seite 73 und 74: VDMA FÖRDERTECHNIK UND INTRALOGIST
Alle anzeigen

Mobile Maschinen 2/2018

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?