Funktionale Sicherheit von mechatronischen Systemen
Contents
1. forderungen und bestimmen die Spezifikation der Teilsysteme bzw em des Gesamtsystems Die festgelegten Funktionen werden logisch verkn pft und in die sicherheitsgerechte technische Systemarchitek tur bestehend aus dem vernetzten Layout der erforderlichen Steuer rechner und Komponenten berf hrt In Tabelle 5 3 sind explizite Ma nahmen bzw Methoden aufgez hlt die in diesen Entwicklungsschritten relevant sind Pflicht f r alle Integrit tsstufen sind konventionelle bzw modellbasierte Methoden zur Lastenhefterstel lung und die f r die Bestimmung des Risikopotenzials Bestimmung des SIL notwendige Risikoanalyse Die f r h here Sicherheitsanforderungen SIL Werte dringend empfoh lene System FMEA bildet eine wichtige S ule des sicherheitsgerechten Entwicklungskon zepts und begleitet die gesamte Spezifikationsphase Tabelle 5 3 Entwicklungsschritt Analyse und Spezifikation der Systemanforderungen und architektur Auswahl von empfohlenen E und dringend empfohlenen DE Entwick lungsmethoden und ma nahmen in Abh ngigkeit des geforderten SIL Methode Ma nahme Systemanalyse und spezifikation Referenz SIL1 SIL2 SIL3 1a Lastenheft Anforderungsanalyse Pflichtenheft 169 DE DE DE 1b Modellbasierte Spezifikation simulationsgest tztes mo 4 3 1 DE DE DE dellbasiertes Lastenheft 2 Systemstrukturanalyse Signalflussplan Schn2. Kriterien Varianten Betriebsanfor Test der Funktionalit t Test des Fehlerverhaltens derung Systemumfang Komponente Teilsystem Gesamtsystem Funktionsaus leicht schwer extrem lastung Umgebungsbe standard erschwert extrem dingungen Umgebungs Temperatur Staub Vibration Sto Feuchte EMV st rfaktoren Pr fungsumfeld Pr fstand realer Einsatz a Pr fverfahren genormt u a in ISO 14982 154 ISO CD 15003 156 und ISO 16750 157 Beispiel f r eine m gliche Extremkonfiguration w ren Worst Case Szenarios die gezielt die ung nstigsten Varianten hinsichtlich Funktionsumfang und Umgebungsbedingungen in Verbindung mit mehreren St rfaktoren als Testbedingungen ausw hlen 4 2 2 2 Methoden zu Test und Validierung von Software Die konventionelle Vorgehensweise f r Test und Validierung von Software teilt sich in statische Analysen und dynamische Tests Grunds tzlich unterscheiden sich die beiden Methodengruppen nach den zu behandelnden Testobjekten Statische Analysen berpr fen Spezifikationsdokumente oder Anforderungsdefinitionen von Softwareprojekten anhand der geforderten Eigenschaften Dynamische Tests dagegen untersuchen das Ver halten ausf hrbarer Software Teile auf die korrekte Funktionalit t oder das Fehlerver halten anhand des laufenden Codes In Tabelle 4 4 sind die statische und dynamische Analyse gegen bergestellt In der Praxis wird meistens versucht die positiven Eigen schaften beider A
3. z B ABS ESP aus Kfz Bereich z B Mehrfachredun danz bei Steer by Wire fall des Systems in Kenntnis gesetzt die Hauptfunktionalit t der Bremse dadurch aber nicht beeintr chtigt wird Bei erkennbarem Ausfall werden durch diese Systeme die Weitergabe falscher Daten fehlerhafte f r Gesamtsystem verhindert Fail Silent bzw Eingriffe das Systeme werden deshalb auch als inte Sicherer Zustand Bild 3 2 Erreichen des sicheren Zustands durch unterschiedliche Fail Safe Strategien nach einem Fehlerfall gere Systeme bezeichnet Systeme mit Fail Operational Verhalten m ssen fehlertolerant ausgelegt sein d h das System h lt nach Erkennen einer Fehlfunktion seine Funktionalit t voll aufrecht Feh lertoleranz liegt vor wenn die durch die externe Systemspezifikation festgelegten Anwen dungsfunktionen auch dann ausfallfrei bleiben wenn in einzelnen Komponenten Fehler 33 3 Funktionale Sicherheit als Teil der konstruktiven Sicherheit im Rahmen der Fehlervorgabe die die Menge der zu tolerierenden Fehler anhand eines Fehlermodells beschreibt auftreten 161 Denkbare Beispiele hierf r sind mehrkanalig redundant ausgef hrte elektronische Lenksysteme Steer by Wire Hier muss das Sys tem auch nach Ausfall eines Kanals durch Einspringen eines zweiten bzw n ten Kanals redundant verf gbar bleiben Zeitverhalten fehlerbeherrschender Ma nahmen Die zentrale Voraussetzung zur Fehlerbeherr
4. 65 5 Sicherstellung der erforderlichen Systemintegrit t Entwicklungskonzept Eine einfach zu realisierende fehlertolerante Struktur Fail Operational ist in Bild 5 4 gezeigt Das 2 kanalige System 1002D ist jeweils mit Einrichtungen zur Selbstpr fung ausger stet wodurch der fehlerhafte Kanal eindeutig bestimmt werden kann Die Funk tionalit t des Gesamtsystems bleibt nach dem ersten Fehler sichergestellt Ein Fehler Sicherheit Sicherheitsfunktionen wie Bild 5 4 2 kanalige fehlertolerante Architektur l002D mit Selbstpr fung Sicherheitsfunktion Warnmeldung Notbe trieb z B Warnmeldungen und Einleiten des Not betriebs werden eingeleitet Auch in diesem Zustand ist das System zwar nicht mehr feh lertolerant f r den Zweitfehler aber immer noch integer Nach dem zweiten Ausfall muss das System demnach Fail Silent abgeschal tet werden Weit verbreitete fehlertolerante Systeme arbeiten mit Entscheidungslogiken so genannten Votern und mehrkanaligen Anordnungen Bild 5 5 Die Eingangsgr en k nnen dabei durch echte Hardware Bild 5 5 3 kanalige fehlertolerante Redundanz gemessen oder analytische Red Architektur 2003 Sicherheitsfunktion undanz ber Prozessmodelle hergeleitet wer Warnmeldung und Notbetrieb den Im dargestellten System mit 2003 Ent scheidung wird der Einfachfehler funktions sicher beherrscht Nach einem Zweitfehler bleibt dieses System zwar noch intege
5. Methode Ma nahme Test der SW Subsysteme Module Referenz SIL 1 SIL 2 SIL 3 1a Funktionstest 4 2 2 2 DE DE DE 1b Black Box Test 4 2 2 2 DE DE DE 2 Probalistischer Test 151 E E 3 Statische Analyse und Test 4 2 2 2 E DE DE 4 Dynamische Analyse und Test 4 2 2 2 E DE DE 5 Schnittstellentest 4 2 2 2 E E DE 6 Performance Test 4 2 2 2 E E DE 7 Software in the Loop 4 3 4 E E 72 5 3 Entwicklungsschritte mit Zuordnung der Methoden und Ma nahmen 5 3 6 Integrationstests der Software und Teilsysteme Komponententests Der breiteste Anwendungsbereich von Entwicklungstests gliedert sich in Komponenten und Integrationstests Komponententests bzw Tests von Teilsystemen verifizieren das korrekte Verhalten der 3 Komponente bez glich ihrer Spezifikationsanforderungen und k n nen ber Black Box Test Funktionstest oder auch statische und dynamische Analyse dann haupts chlich im Anwendungsfall auf Software durchgef hrt werden Die Integrationstests pr fen das zu integrierende System bez glich der Spezifikation der technischen Systemarchitektur und reichen von der Eingliederung der Softwaremo dule in das Softwareprojekt Tests auf die korrekte Softwarearchitektur bis zur Integra tion der einzelnen Teilsysteme wie elektronische Steuerger te Sensorik oder Aktorik in das Gesamtsystem Getestet wird Schnittstel
6. 2 3 s Sls sle 2 g el gt l gt 2 5 2 gt gt gt 52 Benutzer o D sl Sla Sa Sla xli Els schnittstelle 2 x 3 3 2 3 5 ol a amp 2 Q Q 4 8 Mess Laptop Sensorik Er ee D Qo Traktor BUS an Too en P a mn YA 7 Rz EN A N In re din NH OT IM OAA TEEKS MO F Sri NND Ws a Y OD Ger te BUS gi Bild 6 3 Datenfl sse f r Aufzeichnung und Diagnose der Messgr en des Versuchsge spanns mit Sicherheitssensorik des Traktorrechners Anmerkung Die Abrei sicherungen ben tigen jeweils drei Kan le Oberlenker Unterlenker links und rechts henmanagement auf Basis ger teseitiger Traktorsteuerungen realisiert welches ber ver teilte Funktionalit ten der Ger terechner den Traktor hinsichtlich Geschwindigkeit und elektrischer mechanischer sowie hydraulischer Schnittstellen regelt Zum anderen wurde eine Prozessautomatisierung des Traktorrechners entwickelt die den automatischen Wen devorgang am Vorgewende hinsichtlich der L ngsf hrung des Traktor Ger te Gespanns ohne aufwendige Navigation oder Sensorik erm glicht Ger t steuert Traktor mit Reihenautomatik Im Rahmen des Projekts Prozesssicherheit Landmaschinenelektronik wurde in einer parallel entstandenen Forschungsarbeit 7 speziell das Automatisierungspotenzial mobi ler Arbeitsmaschinen untersucht und anhand eines Beispiels f r ger teseitige Traktorsteu erungen behandelt Freimann konzipierte und realisierte in die
7. Entwicklungskonzept marchitektur aufbaut und an das Risikopotenzial angepasste Entwicklungsprozesse postu liert Fail Safe Architektur Entwicklungsschritte Methoden und Ma nahmen werden somit abh ngig von der erforderlichen Systemintegrit t festgelegt Das aktuelle Kapitel stellt einige zum Erreichen der geforderten Systemintegrit t m g lichen Systemarchitekturen vor und beschreibt das Entwicklungskonzept von der Spezifi kation bis zur Validierung Bestehend aus dem Vorgehensmodell und der Zuordnung von Methoden bzw Ma nahmen zu den einzelnen Entwicklungsschritten dient es als Vor schlag f r eine sicherheitsgerechte Entwicklung von mechatronischen Systemen bei mobi len Arbeitsmaschinen und wurde mit dem Stand der Technik und den aktuellen Sicher heitsnormen abgeglichen 5 1 Sicherheitsgerechte Systemarchitektur Innerhalb der zwei Klassen von Fail Safe Strategien Fail Operational und Fail Silent Bild 3 2 gibt es verschiedene Abstufungen von Architekturen f r fehlertolerantes bzw integeres Systemverhalten siehe auch 189 Unterschieden wird nach der verf gbaren Zahl redundanter Signalquellen Kan le der zur Ausl sung der Sicherheitsfunktion not wendigen Anzahl fehlerhafter Signalquellen und interner Vorkehrungen zur Selbstpr fung Die Architekturen werden nach EN 61508 151 mit der jeweiligen Abk rzung X00y x out of y klassifiziert womit man andeutet wie viele x fehlerhafte der y vorhan denen redund
8. Forche J und H H Harms Management hydraulischer Antriebe in mobilen Arbeitsmaschinen VDI MEG Tagung Landtechnik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 239 244 D sseldorf VDI Verlag 2003 35 36 37 38 39 40 41 42 43 44 45 46 dlz Neuheitenreport Erfolgstypen mit neuer Formel dlz 54 2003 H 8 S 74 77 Wilmer H Stufenlose Getriebe im Vergleich Von Funktionen und Unterschieden profi 14 2002 H 7 S 54 56 Puetz C The John Deere AutoPowr Transmission An Infinitely Variable Trans mission for Agricultural Tractors VDI MEG Tagung Landtechnik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 25 30 D sseldorf VDI Verlag 2003 M nch P J Hollstein W D Gruhle und Ch G bel Stufenlose Getriebe und ihr Einsatz in der modernen Landtechnik VDI Tagung Steuerung und Regelung von Fahrzeugen und Motoren AUTOREG 2002 Mannheim 15 16 04 2002 In VDI Berichte 1672 S 29 40 D sseldorf VDI Verlag 2002 Reiter H Innovative Technologien am Traktor durch Elektronikanwendung Land technik 58 2003 H 3 Sonderteil Prof Renius 65 Jahre S 162 164 165 Dittrich T R Hofmann und J Ammann TMS Option f r individuelle Wahl der Bedienung und Fahrstrategie VDI MEG Tagung Landtechnik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 55 59 D sseldorf VDI Verlag 2003 Knechtges H J Trends bei Traktoren und Trans
9. HW Sys SW Funk SW ECU elemente tionscode spezifisch HW Sys SW Funk SW ECU elemente tionscode spezifisch SW Codierung 5 HW Sys i elemente _ Funk ECU a tionscode spezifisch 77 ligente Sensorik bzw Aktorik Die Verteilung der Funktionen auf die einzelnen Subsysteme geschieht in Bild 2 3 Konventioneller Entwicklungsprozess f r elektrisch elektronisch programmierbar elektroni Ea j sche Systeme E E PES Steuereinheiten Aufgabe des Fein entwurfs ist es den Funktionscode Rahmenbedingungen im Gesamt system In der Anforderungsana lyse wird die Anforderungsliste auf systematische Zusammenh nge und Einzelfunktionen umgebro chen Daraufhin bestimmt der funk tionale Grobentwurf die System struktur durch Aufteilung der Funk tionen und Festlegung der internen Schnittstellen Der Architekturent wurf unterteilt das Pflichtenheft in Hardware und Softwareanforde rungen und fixiert dabei die Eigen JE o pa z E O 09 N r pae z Oo 2 E 7 Be N O v gt 5 dp schaften der Systemelemente f r Komponententests Hardware HW Software SW Informationsverarbeitung und intel der Partitionierung auf konkrete 24 2 3 Entwicklungsprozesse und modelle der einzelnen Steuereinheiten die Sicherstellung der Funktionalit t auf Betriebssysteme bene und das Konzept der Datenkommunikation festzulegen Die eig
10. u erst schwerwiegend Sicherheit Schwere Beeintr chtigung die zu schweren Verletzungen bzw zum Tod von Personen f hrt od zum Totalverlust das Systems z B Ausfall der Bremse od Lenkung Motor beschleunigt unge wollt Personenschaden Einhaltung gesetzlicher Vorschriften Grober Versto gegen die gesetzlichen Vorschriften z B schwere Grundwasserverschmutzung schwerer Umweltschaden Kosten Fehler verursacht erheblich Kosten z B Umweltsch den Regressforderungen Tabelle 9 2 Die Auftretenswahrscheinlichkeit A bewertet die Wahrscheinlichkeit des Auftretens der Ursache unter Ber cksichtigung aller wirksamen Vermeidungsma nahmen Wert Beschreibung 1 Unwahrscheinlich System mit langj hriger schadensfreier Erfahrung Vorab 100 ige Pr fung 2 Sehr selten einmal im Leben Bew hrtes System mit langj hriger Serienerfahrung ohne bekannte Fehlermeldungen Selten Bew hrtes System bew hrte Auslegung mit Detail nderungen an bew hrten Teilsystemen Gering einmal im Jahr Bew hrtes System mit Einsatz von Teilsystemen unter ge nderten Bedingungen Hin und wieder System basiert auf fr heren Entwicklungen und Variationen davon Bew hrtes System mit neuen Teilsystemen Gelegentlich mehrmals im Jahr Neues System beinhaltet Neuentwicklung mit Erfahrung bei vergleichbaren Anwendungen M ig Neues System unter Einsatz bisher teilweise problematischer Technologien U
11. 165 Mittlerweile ist sie ein fest etabliertes Werkzeug der qualit ts und sicherheitsge richteten Produktentwicklung nicht nur f r den Automotive Bereich Die Methodik wird mittlerweile fast ausschlie lich durch Softwarel sungen und Rechneranwendung unter st tzt Die FMEA Werkzeuge reichen von Vorlagen f r einfache Tabellen FMEA bis zu spezialisierten Anwendungen zur Systemanalyse wie z B Tools der Fa PLATO 166 und das f r diese Arbeit verwendete Risk RM der Fa APIS 167 Diese Werkzeuge erleichtern die systematische Vorgehensweise und bieten schl ssige Datenbankkonzepte zur Weiterverwendung einmal aufgestellter Teiluntersuchungen Methodische Grunds tze Grunds tzlich unterscheidet man die FMEA in drei verschiedenen Arten Konstruktions FMEA Prozess FMEA und System FMEA Die Konstruktions FMEA untersucht die im Pflichtenheft festgelegten Merkmale eines Produktes w hrend der Entwicklungsphase Mit Hilfe einer reinen Tabellen FMEA wird das Produkt vorwiegend auf Bauteil und Baugruppenebene hinsichtlich des hineinkonstruierten Risikos untersucht 43 4 Entwicklungsmethoden Die Prozess FMEA baut auf den Ergebnissen der Konstruktions FMEA auf Sie unter sucht den Herstellungsprozess auf die Eignung zur Herstellung der geforderten Produktei genschaften Die einzelnen Prozessschritte des Gesamtprozesses werden auf ein ferti gungstechnisches Risiko untersucht Die Haupt Nachteile von konventioneller Konstruktions u
12. John Deere und Case IH beide weggesteuert an Eine bersicht der g ngigen Systeme bietet 93 1 Am Rand des Feldes befindlicher Streifen an dem die landwirtschaftlichen Maschinen gewendet wer den 18 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen Noch einen Schritt weiter gehen die schon unter Kapitel 2 2 1 erw hnten autonom fah renden und prozessautomatisierten Arbeitsmaschinen die durch intelligente Elektronik Teil Prozesse bei der Arbeitserledigung vollst ndig automatisieren siehe dazu noch mal 78 79 Dem Fahrer berbleibt dann lediglich die Aufgabe die Applikation der Arbeits erledigung z B die landwirtschaftlichen Ger te bei Bodenbearbeitung oder Bestellung zu kontrollieren und das Gesamtsystem sicherheitstechnisch zu berwachen Nach Auernhammer leiten sich aus den heute schon realisierten und zuk nftig realisier baren Systemen der Feldrobotik folgende Entwicklungslinien ab die einen zunehmenden Wegfall manueller Bedien und berwachungsfunktionen erm glichen 2 100 e Bemanntes F hrungsfahrzeug mit unbemannten Drohnen z B f r die Kombi nation von Saatbettbereitung und S technik oder Erntemaschinen mit unbemannten Folgemaschinen Unbemannte autonome Fahrzeuge herk mmlicher Bauart z B f r monotone T tigkeiten auf gro en Fl chen Pfl gen oder hohes Automatisierungspotenzial Feldroboter in spezialisierter Bauart welche niedrigste Bodenbelastungen umweltschonende En
13. Renius K Th Grundlagen der Landtechnik Vorlesungsunterlagen des Lehrstuhls f r Landmaschinen Technische Universit t M nchen 2002 e Scheffler M Grundlagen der F rdertechnik Elemente und Triebwerke Braun schweig Verlag Vieweg 1994 Harashima F M Tomizuka und T Fukuda Mechatronics What Is It Why and How An Editorial IEEB ASME Transactions on Mechatronics Vol 1 1996 No 1 S 1 4 UNESCO Chair On Mechatronics and Mechatronics Research and Application Center URL http mecha ee boun edu tr UNESCO United Nations Educational Scientific and Cultural Organization Paris Frankreich 2004 eIsermann R Mechatronische Systeme Grundlagen Berlin Springer Verlag 2002 133 10 Literatur 21 22 23 24 25 26 27 28 29 30 31 32 33 34 134 Entwicklungsmethodik f r mechatronische Systeme VDI Richtlinie VDI 2206 Berlin Beuth Verlag 2004 e Zhang J Ed Automation Technology for Off road Equipment Conference Pro ceedings Chicago Illinois 26 28 07 2002 St Joseph ASAE 2002 H ver N und T Seubert Heutige Fahrerassistenz Systeme und ihr Potenzial f r die Zukunft ATZ 105 2003 H 10 S 956 964 Freymann R M glichkeiten und Grenzen von Fahrerassistenz und Aktiven Sicherheitssystemen Plenarvortrag Tagung Aktive Sicherheit durch Fahrerassistenz Garching 11 12 03 2004 Marwitz H Innovatio
14. bertra gungsrate von max 125 kbit s Will man also die Vorteile zeitgesteuerter Systeme nutzen aber nicht auf etablierte Kommunikationsstandards verzichten k nnte der TTCAN Stan dard in Verbindung mit einer ausfallsicheren fehlertoleranten Netzwerkstruktur als Emp fehlung f r sicherheitskritische Systeme bei mobilen Arbeitsmaschinen gelten Durch geschickte Netzwerkarchitektur k nnen auch im eigentlichen Sinne 1 kanalig arbeitende Systeme zu fehlertoleranten erweitert werden siehe 134 Ein Ansatz f r red undante CAN Kommunikation mit hoher bertragungsrate 1MBit s wird in 135 vor gestellt Eine andere L sung aus dem Kfz Bereich verwendet dynamische Funktionsverla gerung zur Fehlerbehandlung in vernetzten Systemen Kommt es zum Ausfall einer Funk tion oder Komponente kann bedarfsorientiert eine andere Einheit die entsprechende L cke f llen 136 2 3 Entwicklungsprozesse und modelle Die Entwicklungsprozesse f r mechatronische Systeme bei mobilen Arbeitsmaschinen orientieren sich bedingt durch die steigende Komplexit t zunehmend an der Pkw und Nutzfahrzeugindustrie F r die mittelst ndisch gepr gten Unternehmensstrukturen des behandelten Industriezweigs ist ein st ckzahlengerechter Entwicklungsaufwand damit aber schwer zu erreichen Die im Folgenden vorgestellten Entwicklungsprozesse und sys tem bergreifenden Entwicklungsmodelle sollen den Stand der Technik im Automotive Bereich beleuchten und als Grundlage f
15. 125 wird ein diesbez gliches Beispiel f r die Diagnose im breiten Feldeinsatz der Serie vorgestellt F r sicherheitsrelevante Systeme ist es unter Umst nden notwendig die Datenkommu nikation fehlertolerant zu gestalten Grunds tzlich gibt es daf r zwei Ans tze Einmal durch Erweiterung bestehender nicht fehlertoleranter Systeme zu mehrkanaligen Struktu 21 2 Stand der Forschung und Technik ren zum anderen das Zur ckgreifen auf neu entwickelte BUS Derivate die sich Fehlerto leranz als Ziel gesetzt haben Ein weiterer sicherheitstechnischer Aspekt ist die Unter scheidung nach ereignis und zeitgesteuerten Systemen und damit indirekt nach der Ver f gbarkeit des Kommunikationssystems Vorteil der zeitgesteuerten Architektur ist die deterministische Abarbeitung der Kommunikationsprozesse d h es ist jederzeit eindeu tig welche Daten wo und wie kommuniziert werden berlastungen und Engp sse des Kommunikationssystems durch schnell aufeinander folgende Ereignisse wie sie bei ereig nisgesteuerten Systemen z B CAN m glich sind werden dadurch vermieden In Tabelle 2 5 werden gebr uchliche Kommunikationssysteme f r verteilte Systeme gezeigt und nach den wichtigsten sicherheitstechnischen Kriterien unterschieden Tabelle 2 5 bersicht ber Kommunikationssysteme f r die Vernetzung Steuerger te Standards teilweise noch in Entwicklung elektronischer pisch ca 30 pisch ca
16. 24 Lenkanschlag links rechts aU a Zwei Kan le Heben und Senken b Zwei redundante Kan le Bild 6 4 Sensorische Zusatzausr stung des Versuchsgespanns System Die Ger te verarbeiten diesen Wert mit den geometrischen Daten und aktuellen Systemparametern und regeln den Traktor in Fahrgeschwindigkeit und zugewiesenen Schnittstellen so dass sie die eigene Arbeit genau am Applikationspunkt beginnen bzw beenden k nnen Das Prinzip Ger t steuert Traktor unterscheidet sich damit grunds tz lich von den im Stand der Technik beschriebenen zeit weg oder ereignisgelenkten Ablaufsteuerungen Im weiteren Ansatz wurde die Automatik von Freimann durch eine autonome Prozessf hrung an der Kreiselegge beim Reihefahren erweitert Diese erfolgt 81 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik durch Regelung des Drehmoments an der Heckzapfwelle mit der Fahrgeschwindigkeit als Stellgr e F r detaillierte Informationen sei auf 7 verwiesen Die zusammen mit Frei mann entwickelten Automatiken wurden daraufhin in zahlreichen Funktionsversuchen optimiert und mit umfangreichen Sicherheitsabfragen erweitert um eine geeignete Ver suchsplattform in Bezug auf Entwicklung Verifikation und Validierung von MSR Sicher heitsfunktionen zu schaffen F r die Realisierung des Prinzips Ger t steuert Traktor konnte der Traktorrechner Befehle bez glich Soll Geschwindigkeit und Traktor
17. 30 typisch gt 30 CAN low CAN high Kriterium speed speed TTCAN TTP FlexRay Kommunikati ereignisge ereignisge zeitgesteuert zeitgesteuert zeitgesteuert onsablauf steuert steuert anteilig ereig mit dynami nisgesteuert schem Ereig niskanal max bertra 0 125 Mbit s 1 Mbit s 1 Mbit s 5 25 Mbit s 10 Mbit s gungsrate BUS Last max 58 ty max 58 ty max gt 58 max 90 ty max 95 pisch gt 60 empf 40 60 Fehlertoleranz ja 1 Drahtbe nein nein ja 2 kanalige ja 2 kanalige trieb physika Architektur Architektur lisch m glich optional optional Vermeidung nein nein nein ja ja Babbling Id jot 3 Fehlerdiag gut Wiederholung fehlerhaft sehr gut erkennt Bit Sende sehr gut er nose gesendeter Nachrichten und Empfangsfehler kennt Bitfehler Typisches An Komfortelekt Antriebs auf CAN ba hochkritische kritische Sys wendungsbei ronik z B Kli strang z B sierte kriti Systeme teme z B spiel maanlage Motor Ge sche Systeme z B Steer by Brake by triebe Wire Wire Referenz ISO 11898 1 ISO 11898 1 ISO 11898 4 128 129 130 131 u 3 126 u 2 126 126 127 a Blockierung der Kommunikation durch st ndig fehlerhaft sendenden BUS Teilnehmer BUS Monopolisierung Aus oben genannten Gr nden ist der zeitgesteuerten Architektur f r sicherheitsrelevante Anwendungen Vorzug zu g
18. Einige Beispiele von mobilen Arbeitsmaschinen k nnen definitionsgem mehreren Bereichen zugeordnet werden wie z B der Radlader als Teilmenge der Baumaschinen wie auch der F rdermaschinen 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen Wie in 18 beschrieben wurde der Begriff Mechatronics zu Deutsch Mechatronik im Jahre 1969 vom Japaner Ko Kikuchi Pr sident der YASKAWA Electronic Corporation gepr gt Der Hersteller automatisierungstechnischer Produkte wie Servoantriebe und Roboter verstand darunter die elektronische Funktionserweiterung mechanischer Kompo nenten Der Begriff setzt sich zusammen aus Mechanism sp ter Mechanics Mechanik oder allgemeiner Maschinenbau und Electronics Elektronik oder allgemeine Elektro technik und war im Zeitraum 1971 bis 1982 als Handelsname gesch tzt 19 Isermann konkretisiert den Begriff und beschreibt Mechatronik als interdisziplin res Gebiet bei dem die Disziplinen Maschinenbau Elektrotechnik und Informationstechnik zusammen 2 Stand der Forschung und Technik wirken 20 wie es auch in Bild 2 1 gezeigt ist Die Synergien der Zusammenf hrungs prozesse stehen dabei im Vordergrund e Softwaretechnik e Automatisierungstechnik e Kommunikationstechnik Informationstechnik Elektro technik Maschi e Mechanik nenbau e Feinwerktechnik e Fluidmechanik e Mikroelektronik e Leistungselektronik e Nachrichtentechnik e Bild 2 1 Mechat
19. Plausibilisierung sicherheitsrelevanter Parameter kann es im Gegensatz zur direkten sensorischen Erfassung folgende Gr nde geben e Das zu berwachende Signal ist nur mit gro em Aufwand zu erfassen z B bei schwer zug nglichen Messstellen teuerer Sensorik oder schmutzanf lligen schwer zu sch tzenden Einbaustellen Das zu berwachende Signal ist aus anderen schon erfassten Signalen modellbasiert herleitbar wodurch der Aufwand deutlich vermindert wird Meistens sind viele Pro zessgr en ber digitale Kommunikationssysteme f r verschiedene elektronische Steuerger te ohne gro en Aufwand verf gbar die in direktem Zusammenhang mit anderen gesuchten Gr en stehen Das zu berwachende Signal soll fehlertolerant erfasst werden d h es soll zus tzlich zur konventionellen Erfassung mit Hilfe eines oder mehrerer weiterer Kan le durch analytische Redundanz bestimmt werden z B 2003 Architektur Ein Vergleicher kann aus den unterschiedlichen Signalquellen die fehlerhafte diagnostizieren und das richtige Signal Fail Operational bereitstellen siehe Kapitel 5 1 Hinsichtlich der Genauigkeit des indirekt bestimmten Signals gibt es je nach Anwen dungsfall unterschiedliche Anspr che Auch mit Prozessdaten grober Aufl sung k nnen einzelne Systemzust nde oder Gr en abgesch tzt werden wie die beiden folgenden Bei spiele zeigen 110 7 1 berwachung sicherheitsrelevanter Prozessgr en 1 ber die grob aufgel ste
20. Zielhardware generiert werden Die in Bild 6 21 gezeigte Vorgehensweise bei der modellbasierten Entwicklung des Ger terechners mit automatischer Code Generierung ist wie folgt Schon in der Spezifika tionsphase werden die Einzelfunktionen in Matlab Simulink Stateflow umgesetzt und an der Abbildung der Strecke Model in the Loop getestet Zur sp teren Code Generierung m ssen die normalen Simulink Bl cke durch parametrisierbare TargetLink Bl cke im Funktionsmodell ersetzt werden Sind die Ein und Ausg nge sowie die erforderlichen Sende und Empfangstelegramme der CAN Kommunikation festgelegt m ssen diese Objekte aus der speziell entwickelten ESX Blockbibliothek kopiert werden Zus tzlich initialisiert man diese einmalig in den Usercode Modulen 7Z_main und CAN Egge womit das Rahmenmodell an die Ein Ausgabestruktur des Steuerger tes vollst ndig angepasst ist Das eingebettete Softwaremodell wird mit der Modellierung der Strecke zum Gesamtmodell ESX mal erweitert Aus diesem Modell heraus kann einerseits die Programmlogik erneut mit MIL getestet andererseits der Serien Code ber TargetLink unter Zugriff auf den verkn pften Usercode generiert werden Das aus der Programmlogik entstehende Softwareprojekt wird direkt im standardm ig verwendeten Compiler zu einer auf den Flash Speicher des Steuerger ts bertragbaren Datei ESX hex weiterverar beitet W hrend der gesamten Testdurchf hrung MIL Test HIL Test oder realer Versuch k
21. be unerl sslich Einer der wichtigsten g Punkte ist das durchg ngige Prozessmanagement in Verbindung mit der l ckenlosen Dokumentation der Entwicklung Erst dadurch k nnen die getroffenen sicherheitstechnischen Ma nahmen hinsichtlich Systemeigenschaften und Entwicklungs prozess im Falle einer m glichen Beweispflicht durch Gew hrleistung oder Produkthaf tung nachgewiesen werden Einige vorgestellte Methoden implizieren bereits eine umfas sende Dokumentation bei ihrer Anwendung System FMEA Fehlerbaumanalyse andere schreiben dieses explizit vor z B einige Programmierstandards 74 5 3 Entwicklungsschritte mit Zuordnung der Methoden und Ma nahmen Tabelle 5 10 Auswahl von empfohlenen E und dringend empfohlenen DE Entwick lungsmethoden und ma nahmen in Abh ngigkeit des geforderten SIL welche die ge samte Entwicklung begleiten Methode Ma nahme gesamte Entwicklung Referenz SIL 1 SIL 2 SIL 3 1 Dokumentation 151 DE DE DE 2 Prozessmanagement 2 3 DE DE DE 3 Projektmanagement DE DE DE 4 Qualit tsmanagement DE DE DE 5 Erprobte Komponenten Subsysteme Systeme 151 DE DE DE 6 Erprobte Methoden Werkzeuge Prozesse 151 DE DE DE 7a Computerunterst tzte Werkzeuge 151 E E E 7b Checklisten 151 E E E 7c Sonstige formale Methoden 151 E E E 75 6 Anwendungsbeispiel
22. te und des Taskcontrollers Die priorisierte Geschwindigkeit v wird vom Traktorrechner eingeregelt Der Geschwindigkeitswunsch des Fahrers hat h chste Priori t t Dargestellt sind zwei Reihenfahrten mit Einsetzen und Ausheben am Vorgewende sowie die Wendevorg nge ohne Wendeautomatik Hubposition beim Wenden ca 100 7 1 3 3 Fazit Zusammenfassend zeigt Tabelle 7 1 allgemein g ltige unterschiedliche Strategien zur L sung konkurrierender Zugriffe auf System Ressourcen und nennt die wichtigsten Vor und Nachteile der Ans tze Die Art der Ressource die hinsichtlich Zugriffs mehrerer Teil nehmer berwacht werden soll hat gro en Einfluss auf die gew hlte Strategie z B bietet sich f r die Regelung von Geschwindigkeitsanfragen grunds tzlich eine dynamische Prio risierung abh ngig vom Systemzustand der Automatiken an 117 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse Tabelle 7 1 Ans tze f r die Konfliktl sung konkurrierender Zugriffe auf Systemressour cen Unterschieden ist nach Geltungshorizont des berwachungsorgans bergeordnet bzw untergeordnet und Verteilung der Priorit ten auf die Teilnehmer gleichberechtigt fest priorisiert dynamisch priorisiert L sung des Konflikts Beispiel Vorteile Nachteile bergeordnet gleichbe rechtigt bei Unterversorgung gerechte Zur cknahme des lflusses durch den Traktorrechner siehe auch Bild 7 6 alle Anfragen werden bedient
23. unterteilt nach Teilsystemen bzw MSR Sicherheitsfunktionen Beim Durchlaufen des Graphs von links nach rechts wird die behandelte MSR Sicherheitsfunktion nach den Kriterien e Schadenausma S 40 4 2 Konventionelle Methoden f r die Systementwicklung e Aufenthaltsdauer bzw h ufigkeit A e Gefahrenabwendung G und e Eintrittswahrscheinlichkeit W f r das unerw nschte Ereignis bewertet Im Folgenden sollen die Integrit tsklassen erl u tert sowie die wichtigsten Eigenschaften der Kriterien S bis W aufgezeigt werden Die Integrit tsklasse eines Sicherheits Tabelle 4 2 In der Normung verwandte un systems und damit das Ergebnis der Risi terschiedliche Begriffe f r erforderliche In koanalyse bestimmt die F higkeit eine tegrit tsklassen Sicherheitsfunktion unter vorhersehbaren Norm Bezeichnung Begriff Bedingungen korrekt auszuf hren Die EN 61508 152 Safety Integrity Level SIL sicherheitstechnischen Anforderungen hin ISO 13849 153 Performance Level PL sichtlich Entwicklungsprozess und Ausle DIN V 19250 Anforderungsklasse AK 19251 149 150 EN 954 163 Kategorie Cat gung der MSR Sicherheitsfunktionen wer den so festgelegt um die notwendige Risi kominderung zu erf llen In den g ngigen Sicherheitsnormen werden verschiedene Bezeichnungen f r die resultierenden Integrit ts klassen verwendet siehe Tabelle 4 2 Mittlerweile hat sich die Integrit tsklasseneint
24. 2 E DE 5 3 4 Implementierung und Codierung der Software Die eigentliche Implementierung der Software geschieht mittels konventioneller manueller Umsetzung des Softwaredesigns in Serien Code oder ber automatische Code Generierung direkt aus dem Simulationsmodell im Falle einer durchg ngigen modellbasier ten Entwicklung Das Ergebnis dieses Entwicklungsschritts ist der nach Spezifikation programmierte Steuerger te Code der im kompilierten Zustand direkt auf die Ziel Hardware geladen werden kann Die Verwendung von zertifizierten oder erprobten Werkzeugen und h heren Programmiersprachen ist f r eine sicherheitsgerechte Entwicklung unerl sslich Die Anwendung von Softwarestandards die zwar den m gli chen Leistungsumfang einer Sprache einschr nken fehleranf llige Konstrukte aber nicht mehr zulassen befindet sich in immer weiterer Verbreitung Nach Tabelle 5 6 wird die Einhaltung von SW Standards erst ab SIL3 vorgeschrieben grunds tzlich aber auch f r niedrigere Safety Integrity Levels empfohlen 71 5 Sicherstellung der erforderlichen Systemintegrit t Entwicklungskonzept Tabelle 5 6 Entwicklungsschritt Implementierung Codierung der Software Auswahl von empfohlenen E und dringend empfohlenen DE Entwicklungsmethoden und ma nahmen in Abh ngigkeit des geforderten SIL Methode Ma nahme SW Implementierung Codierung Referenz SIL 1 S
25. 2 Ma nahmen zur Gew hrleistung des sicheren Zustands cnneennen 33 3 3 Risikominderung bei mobilen Arbeitsmaschinen ueneenenneennen 34 4 Entwicklungsmeth den seoosooocsoosssooecoooscoossssocesooscsoosssoesesooscoossssoesesosseoossssoesesosseo 37 4 1 berblick ber m gliche Methoden ennnnnnnnnnnnnnnn 38 4 2 Konventionelle Methoden f r die Systementwicklung eee 38 4 2 1 Methoden zur Spezifikation und Systemauslegung ueenneeenn 38 42 1 1 Bystemstr uktitanab Senat sense 38 4 2 1 2 Bestimmung des Gef hrdungspotenzials durch Risikoanalyse 40 4 2 1 3 System FMEA nach VDA 4 2 en nkuenikn 43 4 2 1 4 Methoden zu Spezifikation und Design von Software 47 4 2 2 Methoden f r Test und Valdier ng n u u esen ueneah ea 49 Inhaltsverzeichnis 4 2 2 1 Test von Funktionalit t und Fehlerverhalten mechatronischer Systeme 50 4 2 2 2 Methoden zu Test und Validierung von Software ceennneneenen 50 4 3 Modellbasierte Methoden f r die Softwareentwicklung ueenen 51 4 3 1 Modellbasierte Spezifikation 22a 55 4 3 2 Model in the Loop MIL aaa nen 56 4 3 3 Rapid Control Prototyping RCP ess sesssneseeesseseesrsesesseesseeseesseesseesressresrese 57 4 3 4 S ftware in the Loop SIL ereinen inr ro Ee pE a e aA 58 4 3 5 Automatische Generierung von Serien Code uuunseersseeenseenneeenneesnenenne ne
26. 2002 S 36 40 42 45 131 FlexRay Communications System Protocol Specification Version 2 0 URL http www flexray group com FlexRay Consortium 2004 132 Neumayer R et al Kommunikationsstruktur und Bordnetz des neuen BMW Ser ATZ MTZ Sonderausgabe August 2003 Der neue BMW 5er S 106 107 108 110 112 114 133 Albert A und A Tr chtler Verteilte Fahrdynamikregelung mit zeitgesteuerter Architektur am Beispiel des Bosch Konzeptes VDM 13 Aachener Kolloquium Fahrzeug und Motorentechnik 04 06 10 2004 In Tagungsunterlagen Band 1 S 593 610 Aachen fka Forschungsgesellschaft Kraftfahrwesen mbh Aachen 2004 134 Versmold H und T Gleissner Einfluss des Technologiewandels auf die zuk nftige Gestaltung von Fahrzeugelektronik und Systemarchitekturen 13 Aachener Kollo quium Fahrzeug und Motorentechnik 04 06 10 2004 In Tagungsunterlagen Band 2 S 1591 1605 Aachen fka Forschungsgesellschaft Kraftfahrwesen mbh Aachen 2004 135 Anderl Th Entwicklung und Absicherung der CAN Kommunikation des M nchner Autarken Hybrids mit modellbasierten HIL Simulation VDI MEG Tagung Simula tion und Simulatoren Mobilit t virtuell gestalten Hamburg 15 16 04 2003 In VDI Berichte 1745 S 321 342 D sseldorf VDI Verlag 2003 136 Torlo M und T Bertram Dynamische verteilte Fehlertoleranz in vernetzten Kraft fahrzeugsystemen VDI Tagung Elektronik im Kraftfahrzeug 2001 Baden Baden 27 28 09 2001 In
27. 4 3 Modellbasierte Methoden f r die Softwareentwicklung HIL Systemtest hex ECU Maschinensystem Teilsystem HIL Komponententest hex ECU Processor in the Loop PIL hex Prozessor z B Umwelt Fahrer 2 o R 2 9 c 0 z B Sensorik Aktorik mobile Arbeitsmaschine gt Z 92 7A cxx z B spezifische ECU TE i Too 5 Lvc Zielprozessor z B C167 no 528 Serien Code 2 07 Regelung Steuerung berwachung Algorithmusmodell Simulationsprozessor Z B i386 Maschinenumfeld Maschinensystem Teilsystem z B Logik Steuerger teperipherie z B Modellierung Sensor Aktor Einheit Traktor Ger t Simulation des virtuellen Systems am PC z B Fahrermodell Abbildung der Umweltparameter Model in the Loop MIL l mdl O Software in the Loop SIL dil exe c S Schnittstelle Simulation Realit t Simulationsumgebung Testobjekt z B Evaluation Board z B AD DAKatte z B Rollenpr fstand Bild 4 6 Abgrenzung unterschiedlicher Methoden f r die modellbasierte Entwicklung von Serien Code elektronischer Steuerungen Dargestellt sind zwei grunds tzliche Ans tze mit ihren Varianten Einbindung des zu entwickelten Systems in eine Simulationsumgebung oben und virtuelle Logikentwicklung am Rechner hellgrau unten Der rein virtuelle Test der Logik siehe unterer Bildteil testet dagegen Funktionsmodelle mal im Model in the Loop Test bzw ausf hrbaren komp
28. Aufgabenbereich eines landwirtschaftlichen Ger tes z B der Auf sattelzylinder und der Gebl se lmotor der Drillmaschine kann das Ger t selbstst ndig entscheiden welche Funktion die sicherheitstechnisch wichtigere ist Wird ein Geschwin digkeitsverlust oder der Stillstand dieser Funktion erkannt ndert das Ger t seine Befehle an den Traktor und schaltet auf Notbetrieb Der unwichtige Verbraucher hier der Gebl se antrieb wird abgeschaltet um das korrekte Ausheben der Drillmaschine sicherzustellen Voraussetzung f r diese Vorgehensweise ist das Vorhandensein sicherheitstechnisch ver zichtbarer Funktionen mit ausreichendem Volumenstrombedarf der bei zur ckgewonne ner Verf gbarkeit den Volumenstrommangel beseitigen kann bergeordnete Verteilung durch den Traktorrechner Ein weiterer universeller Ansatz ist die berwachung und eventuelle Anpassung aller geforderten Volumenstr me durch einen bergeordneten Kontrollrechner Im Anwendungsbeispiel wurde diese MSR Sicherheitsfunktion dem Traktorrechner zugeteilt Er berwacht den Status und die gefor derten Volumenstr me f r die hydraulischen Zusatzventile und die Kraftheber und ver gleicht den gesamten Volumenstrombedarf Ogeforders mit dem zur Verf gung stehenden Wert Oyerf gbar Wird der verf gbare Olstrom von dem geforderten berschritten werden die Volumenstr me der Konfigurationsbefehle f r die beaufschlagten Zusatzventile nach Gleichung 6 3 reduziert eine Unterverso
29. Beispiel regelt die Steuereinheit der Drillmaschine untergeordnet beide Funktio nen f r Aufsattelung und Gebl se und kann somit eindeutig entscheiden welche Vorrang haben muss Liegen die Funktionen nicht im Verantwortungsbereich eines Rechners ist die Priorisierung schwieriger Auch der Traktorrechner als bergeordnetes Kontrollorgan kann alleine nicht entscheiden welches der gleichberechtigten Ger te er bevorzugen soll Eine weitere nicht automatisch selbst konfigurierende Ma nahme w re die Bildung einer fest zugewiesenen Rangliste durch den Fahrer Bei dieser bergeordneten festen Priorisie rung liegt es in der Verantwortung des Fahrers die Wichtigkeit der Funktionen auch bei komplexen Zusammenh ngen sicherheitstechnisch objektiv zu beurteilen Eine viel versprechende M glichkeit f r die sicherheitsgerechte Verteilung des hydrau lischen lstroms ist die Mischform aus bergeordneter gleichberechtigter Volumenstrom verteilung mit Priorisierung der wichtigsten sicherheitsrelevanten Verbraucher denen ein Mindeststrom zugesichert wird 7 1 3 2 Konflikte beim gemeinsamen Zugriff auf die Soll Geschwindigkeit Die L sung konkurrierender Zugriffe auf die allgemeine Ressource Fahrgeschwindigkeit erfolgt bergeordnet dynamisch priorisiert durch den Traktorrechner Bild 7 8 Der Traktorrechner bestimmt die Rangordnung der Geschwindigkeitsanfragen je nach Arbeits zustand des anfragenden Ger tes und Ist Zustand der Automatik Anhand des o
30. Bet tigungsstrategien die zwischen Fahrpedal und Fahrhebelbetrieb jeweils mit und ohne Getriebe Motormanagement unter scheiden 39 40 Weitere Konzepte verfolgen die Strategie automatisierter Vorg nge bei Lastschaltge trieben mit ebenfalls elektronisch geregelten Motoren Automatisches Anheben der Dreh 1 Aus der Bet tigungsgeschwindigkeit des Bremspedals erkennt der BA die Notwendigkeit einer Voll bremsung und stellt im Bremskraftverst rker vollen Bremsdruck bereit 30 11 2 Stand der Forschung und Technik zahl Power by Wire beim Zur ckschalten und Absenken der Drehzahl beim Hochschal ten der Lastschaltstufe schont Fahrer und Getriebe durch einen lastunabh ngig sanften Schaltvorgang im John Deere 6020er Traktor 41 Automatisierte Schaltvorg nge der Lastschaltstufen Shift by Wire wurden von den Firmen Deutz Fahr und ZF Friedrichs hafen AG realisiert 42 43 Elektronischer Eingriff in die Betriebsbremse Die Einsatzf lle von mobilen Arbeitsmaschinen bieten noch nicht das standardm ige Umfeld um die Vorteile von elektronisch bet tigten Bremskonzepten so genannten Brake by Wire Systemen zu n tzen Haupts chlich werden diese Systeme bei Nutzfahr zeugen und Pkw mit h heren Endgeschwindigkeiten angewendet wo selektive automati sche Bremseingriffe die aktive Sicherheit der Fahrzeuge verbessern k nnen z B elektro nisches Stabilit tsprogramm ESP Steigen in Zukunft die Transportgeschwindigkeiten mo
31. Drehzahl der Packerringe werden zwar relativ ungenaue Geschwindigkeitswerte des Versuchsgespanns ermittelt ein zu hoher Schlupf der Antriebsr der bzw ein Stopfen des Ringpackers kann aber trotzdem diagnostiziert werden 2 Die logische Verarbeitung der Dr cke der hydraulischen Zusatzventile bietet die M glichkeit die Freigangstellung zu diagnostizieren und den gemeldeten Status plausibilisieren zu k nnen F r Zwecke analytischer Redundanz m ssen hingegen relativ genaue Messwerte herange zogen und mit einem m glichst der Realit t entsprechenden Modell der Strecke verkn pft werden Wie im Kapitel 6 3 1 beschrieben wurde am Versuchstr ger ein Bespiel f r eine fehlertolerante Sensorerfassung mit zwei gemessenen und einem analytisch gewonnen Signal f r die Position der Drillenaufsattelung implementiert Die Risikoanalyse der Pro zessautomatik hatte zwar gezeigt dass eine fehlertolerante Messwerterfassung wie sie hier realisiert wurde f r den vorliegenden Anwendungsfall normalerweise nicht notwen dig ist Aus Demonstrationsgr nden sollte aber ein Fail Operational System realisiert werden wof r die Positionsbestimmung der Aufsattelung ein gutes Beispiel bot Bild 7 4 Der Drehwinkel der Hubwerkskinematik wird durch zwei Hubwinkel und 9 redun dant erfasst Zus tzlich wird durch Integration des Volumenstroms das lvolumen in den Hubzylinder der Aufsattelung errechnet und daraus ein dritter Hubwinkel 03 analytisen PeT geleit
32. Im Fahrzeugbereich hat sich die nach ISO IEC 9899 173 genormte Programmiersprache C am meisten verbreitet Daneben helfen auf dieser Norm aufbauende Softwarestandards bei der sicherheitsgerechten Umsetzung der Funktionen in Steuerger te Code Ein Bei spiel f r Programmierrichtlinien f r sicherheitskritische Anwendungen in C wurde von der Motor Industry Software Reliability Association MISRA entwickelt Bei MISRA C handelt es sich um derzeitig 127 Programmierregeln die potenzielle Fehlerquellen bei der Programmierung beseitigen sollen So werden fehleranf llige Konstrukte verboten die nach C Spezifikation standardm ig zul ssig sind Des Weiteren werden den Standard erg nzende Ratschl ge gegeben Weitere Einzelheiten siehe auch 174 175 Konfigurationsmanagement Die Einflussgr en strukturierter Softwareentwicklung werden durch Projektmanage ment Systemarchitektur Qualit tsmanagement und nicht zuletzt durch das Konfigurati onsmanagement abgedeckt Wesentlich ist dass beim Konfigurationsmanagement das verwendete Werkzeug nicht zur eigentlichen Erstellung der Software sondern zur Steue rung und Automatisierung von Entwicklungs und Produktionsabl ufen der Software sowie zur Dokumentation der Arbeitsfortschritte und Ergebnisse dient 176 Konkret wird der gesamte Evolutionsprozess w hrend des Softwarelebenszyklus mit den Aufgaben Versionsverwaltung Archivierung nderungsverfolgung von Entwicklungsst nden bis zum kontrollie
33. Implementierung in C Code entsprechend angepasst werden Die Vorteile einer durchg ngig modellbasierten Entwicklung von Software lassen sich nur durch eine konsequente Weiterverwendung der entwickelten Funktionsmodelle f r die Codierung des Seriensteuerger ts nutzen Als modernes Hilfsmittel sind automatische Code Generatoren erh ltlich die auf Basis der modellierten und verifizierten Funktionen 59 4 Entwicklungsmethoden normal lesbaren und kommentierten Serien Code f r den entsprechenden Zielprozessor erzeugen 184 185 Nachtr gliche nderungen des Modells k nnen so direkt durch auto matische Umsetzung der Funktionen im Serien Code ber cksichtigt werden Neben der einfacheren Vorgehensweise ergeben sich weitere Vorteile bei Variantenpflege Versions verwaltung und Dokumentation der einzelnen nderungsst nde Der Standardanwendungsbereich automatischer Code Generierung ist die Umsetzung einzelner Funktionsmodule und nicht die vollst ndige Generierung eines kompletten Soft wareprojekts f r ein Steuerger t Das Problem dabei ist die Abbildung steuerger tespezifi scher Funktionen f r Betriebssystem oder Peripherie die nur schwer mit Hilfe des Gene rierungswerkzeugs ber cksichtigt werden k nnen Die generierten Funktionen m ssen deshalb nachtr glich von Hand in das konventionell programmierte Code Ger st einge bettet werden Eine andere M glichkeit welche die spezifischen Funktionen eines Steuer ger ts mit ber
34. Kriterium wird der Aufenthalt von Personen im Gefahrenbereich hinsichtlich zeitlicher Dauer und H ufigkeit spezifiziert Im Unterschied zu station ren Maschinen ist bei mobilen Arbeitsmaschinen zu ber cksichtigen dass sich das Umfeld der Maschine oftmals ndert Es muss deshalb von zwei zu verkn pfenden Aufenthaltsh ufigkeiten aus gegangen werden 1 Potenzielle Gef hrdung aus der Situation Maschine in ver nderlicher Umgebung Die Aufenthaltsh ufigkeit der Maschine in potenziellen Gef hrdungsbereichen in der Umwelt ist ma geblich z B Transportfahrt im Stadtverkehr 2 Potenzielle Gef hrdung aus der Situation Mensch im Aktionsbereich der Maschine Die Aufenthaltsh ufigkeit f r Personen in Gefahrenbereichen der Maschine ist ma geblich z B zus tzliches Bedienpersonal oder Fu g nger Gefahrenabwendung G Die M glichkeiten zur Gefahrenabwendung sind von unterschiedlichen Faktoren abh n gig Der zeitliche Entwicklungsverlauf des Gefahrenzustandes ob pl tzlich oder stetig langsam muss genauso in die Bewertung miteinflie en wie die M glichkeit zur Abwen dung der Gefahr durch potenzielle Fluchtm glichkeiten oder Abschalten des Systems Fail Silent wenn dazu gen gend Zeit besteht Steht ein Arbeitsprozess unter st ndiger Kontrolle von technisch versiertem Fachpersonal und liegt der notwendige Eingriff in die Maschinenf hrung im Bereich einer nat rlichen Reaktion so kann ein Fehler m glicher weise rech
35. Status Work und Engage f r die eigent liche der Arbeitsmaschine vorgesehen Der Work Arbeitserledigung mobilen Status ist als bergangs bzw Vorberei tungszustand zum eigentlichen Arbeitspro zess definiert im Anwendungsbeispiel das Positionieren des Gespanns am Vorge wende Im Zustand Engage erfolgt dann die Erledigung der eigentlichen Arbeit wie hier das Reihefahren bei der Feldbestellung Beim ger tegesteuerten Einsetzvorgang vollzieht jedes Ger t am Beginn der Reihe einen Statuswechsel von Work nach Engage der abh ngig von den unterschied lichen Systemparametern von den Ger ten selbst eingeregelt wird beim Aushubvor gang entsprechend den umgekehrten Wech sel von Engage nach Work Bild 6 6 zeigt den Zustandsgraphen mit bedingten ber g ngen zwischen den Unterzust nden f r den Wechsel der Kreiselegge von Work nach Engage W hrend des Engage Zustandes bestimmen die Geschwindigkeitslimits der Ger te als festgeschriebene Konfigurationsgr e die Arbeitsgeschwindigkeit des Gespanns Ein zig bei Erreichen des Grenzmomentes an der Zapfwelle sendet die Kreiselegge Geschwin digkeitssollwerte an den Traktor Die Funktionalit t der Momentenregelung w hrend des Reihefahrens ist als Programmablaufplan im Bild 6 7 gezeigt 84 6 1 Systembeschreibung und Aufbau der Automatiken Bild 6 7 Pro grammablauf f r die Drehmoment regelung an der Kreiselegge Tor queControl Ge reg
36. aller Ma nahmen ist es den sicheren Zustand des Systems nicht zu verlassen bzw ihn noch vor Ablauf der Fehler toleranzzeit einzuleiten Der sichere Zustand der automatisierten Funktionen des Ver suchstr gers kann stets durch Fail Silent Verhalten der Systeme sichergestellt werden d h Abschalten der Regelung unter Warnmeldung und bergabe der Kontrolle zur ck an den Fahrer Daraus resultieren die im Bild gezeigten Systemparameter f r den sicheren Zustand Herauszustellen ist hier die optionale Fail Safe Konfiguration f r die Schaltung der hydraulischen Zusatzventile entweder auf Blockiert oder Freigang konform zu ISO 11783 117 Je nach Anwendungsfall kann der sichere Betriebszustand eines hydrauli schen Verbrauchers durch die Stellung Blockiert z B Verhindern ungewollter Bewegun gen eines Hubzylinders oder auch Freigang z B Vermeidung zu gro er Massenkr fte beim abrupten Abschalten von rotierenden Systemen mit hoher Tr gheit definiert sein Die Ger terechner bergeben den Fail Safe Schaltzustand ihrer zugeordneten Ventile als Konfigurationseinstellung an den Traktorrechner wo sie zusammen mit den anderen Fail 120 7 3 Sicherheitsgerechtes Verhalten der Teilsysteme im Fehlerfall normaler Betrieb M System berwachung fehlererkennende Ma nahmen Fahrer MSR Sicherheitsfunktionen berwachende Aufgaben berwachende Aufgaben Fehler tritt auf sicherheitskritischer Fehler Be Entdeckung des sicherheitskritis
37. der Zuverl ssigkeiten von Software oder komplexen elektronischen Systemen insbesondere elektronischen Steuerger ten Zentrale Intention der vorliegenden Arbeit ist die Bereitstellung eines sicherheitsgerechten Entwicklungs konzepts f r mechatronische Systeme bei mobilen Arbeitsmaschinen das den Nachweis der geforderten Systemzuverl ssigkeit ber ein dem Risikopotenzial angemessenes methodisches Vorgehen f hrt Der theoretische Hauptteil der Arbeit behandelt die Vorgehensweise und Methodenzu ordnung des Entwicklungskonzepts in Abh ngigkeit zur geforderten Systemintegrit t Das ausgearbeitete Konzept beginnt bei der sicherheitstechnischen Untersuchung des Gesamt systems wobei das Gef hrdungspotenzial und damit der erforderliche Safety Integrity Level SIL ermittelt werden Theoretische Untersuchungsmethoden wie Risikoanalyse und System FMEA stehen dabei im Vordergrund und wurden an den Anwendungsfall mobile Arbeitsmaschine im Arbeitseinsatz angepasst Abh ngig vom resultierenden SIL wird die passende Systemarchitektur ausgew hlt und es werden die geeigneten Entwick lungsma nahmen und methoden den einzelnen Entwicklungsschritten des erarbeiteten V Modells zugeordnet Als Alternative zur konventionellen Methodik werden die Vorteile einer durchg ngig modellbasierten Entwicklung elektronischer Steuerger te herausgear beitet Die Werkzeugkette Matlab Simulink Stateflow wurde daf r von der Spezifikation einzelner Funktionen bis z
38. einer Maschine oder eines Maschinensystems muss das Gef hrdungspotenzial sicherheitskritischer Funktionen bestimmt und die notwendigen Minderungen der Teilrisiken daraus abgeleitet werden Eine Methode der quantitativen Risikobestimmung f r eine spezielle Schutzma nahme ist die im Kapitel 4 2 1 2 beschriebene Risikoanalyse eine Klassifizierungsmethode f r das 34 3 3 Risikominderung bei mobilen Arbeitsmaschinen Sicherheitsrisiko charakterisiert nach Schadensschwere und Auftretenswahrscheinlichkeit des Fehlers Um erforderliche Risikominderungen zu bewerkstelligen stehen unterschiedliche Ma nahmen zur Verf gung siehe Bild 3 4 Durch das Zusammenwirken konstruktiver und hinweisender sicherheitstechnischer Ma nahmen sowie externer Ma nahmen z B die weitr umige Absperrung des Gefahrenbereichs wird das Gesamtrisiko auf einen not wendigen Level reduziert Das Niveau des akzeptablen Risikos einer Schutzma nahme kann abh ngig von der Risikoklasse durch Schwellwerte f r real berechnete Ausfallwahr scheinlichkeiten oder eine dem Risiko angepassten Entwicklungsmethodik nachgewiesen werden Aufgabe eines sicherheitsgerichteten Entwicklungskonzepts sind Festlegung einer angemessenen Systemarchitektur Bestimmung der H he der notwendigen Risiko minderungen und Aufzeigen systematischer bzw methodischer M glichkeiten die gefor derte Risikominderung zu realisieren Das nach allen getroffenen Ma nahmen zur Risiko minderung bestehende v
39. ersetzt werden Speziell unvorhersehbare Ereignisse aus dem Maschinenumfeld sind schwer zu beherrschen Da die Sicherheit umgekehrt aber auch die Verf gbarkeit fahrer loser Systeme meistens stark von der Anzahl der Sicherheitsabfragen abh ngt kann das Risikopotenzial bei angemessenem Aufwand und zufrieden stellender Zuverl ssigkeit nur mit Verringerung des Schadenausma reduziert werden und nicht durch hochkomplexe und umfangreiche Sensorik Will man fahrerlos autonome mobile Arbeitsmaschinen rea lisieren werden somit v llig neue Maschinenkonzepte angedacht werden m ssen z B kleine langsame Einheiten mit dementsprechend wenig Gef hrdungspotenzial Auch heutige Assistenzsysteme mobiler Arbeitsmaschinen arbeiten teilweise autonom bei Regelung des Arbeitsprozesses oder beim Eingriff in die Fahrzeugf hrung binden aber den Fahrer in die berwachung der Systeme mit ein Beispiele sind an realen oder virtuellen Leitlinien gef hrte automatische Lenksysteme Der Fahrer wird mit diesen Sys 122 7 4 Korrekte Interpretation und Verarbeitung des Fahrereingriffs temen entlastet ist aber weiterhin als Supervisor erforderlich Seine wichtigste Funktion ist es vom System unerkannte Fehler oder kritische Zust nde zu entdecken bzw auf Warnmeldungen des Systems zu reagieren In 196 wird die Notwendigkeit aufgezeigt die menschliche Zuverl ssigkeit bei der Entwicklung von X by Wire Systemen zu ber cksichtigen und eine Analysegru
40. gramme in einem Hierar Datenspeicher _1 Datenfluss_2 chiemodell zusammen Weitere Bestandteile sind Bild 4 5 Datenflussdiagramm der Strukturierten Analyse das Data Dictionary und die f r ein allgemeines Informationssystem mit spezieller Sym so genannten Mini Spezifi bolik f r die charakteristischen Systemelemente Funktion kationen Im Data Dictio Datenfluss Datenspeicher und Schnittstelle nary werden die Inhalte der Datenflussdiagramme nie dergeschrieben hier bieten sich die Haupteinsatzm glichkeiten f r computergest tzte Vorgehensweisen Mini Spezifikationen beschreiben das Verhalten von nicht weiter zu de taillierenden Funktionen mit Hilfe von Pseudocode Entscheidungstabellen oder Entschei dungsb umen Software Criticality Analysis SCA Die Software Criticality Analysis ist ein an die Entwicklung von Software angepasstes Verfahren zur Lokalisierung und Analyse sicherheitsrelevanter Softwaremodule 171 48 4 2 Konventionelle Methoden f r die Systementwicklung 172 Das Vorgehen ist hnlich zur vorher beschriebenen FMEA wobei die zur Realisie rung sicherheitsrelevanter Funktionen n tigen Softwaremodule ermittelt und die Auswir kungen m glicher Fehler in diesen Programmteilen aufgezeigt werden Die Software Criticality Analysis identifiziert damit sicherheitsrelevante Softwareteile und bestimmt den n tigen Test und berwachungsaufwand abh ngig vom Risikopotenzial Programmierung nach Softwarestandards
41. nster Landwirtschaftsverlag 2004 Auernhammer H Elektronikeinsatz zur Verbesserung der landwirtschaftlichen Produktion und des Managements in der Pflanzenproduktion KTBL LAV Vortrags tagung Elektronik in der Landwirtschaft Veitsh chheim 12 04 2000 In KTBL Schrift 390 Elektronikeinsatz in der Landwirtschaft S 51 58 Darmstadt KTBL 2000 Gnahm K CAN Bus in sicherheitsrelevanten Anwendungen IIR Konferenz Land technische Fahrzeuge Mannheim 28 29 01 2003 Sulzbach Ts IIR Deutschland GmbH 2003 Mobile Arbeitsmaschinen Studie Teil 1 K nftige Trends in mobilen Arbeits maschinen fluid 37 2003 H 9 S 16 19 Lang Th Mechatronik in Land und mobilen Arbeitsmaschinen IIR Konferenz Landtechnische Fahrzeuge Mannheim 28 29 01 2003 Sulzbach Ts IR Deutsch land GmbH 2003 Harms H H Stand und Entwicklungen der Hydraulik in mobilen Arbeitsmaschi nen Mechatronischer Ansatz liefert neue L sungen VDMA Nachrichten 83 2004 H 3 S 60 61 e Freimann R Automation mobiler Arbeitsmaschinen Ger t steuert Traktor Fortschr Ber VDI Reihe 14 Nr 116 D sseldorf VDI Verlag 2004 Richtlinie 70 156 EWG des Rates vom 6 Februar 1970 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten ber die Betriebserlaubnis f r Kraftfahr zeuge und Kraftfahrzeuganh nger Br ssel Belgien Rat der Europ ischen Gemeinschaften 1970 9 10 11 12 13 14 15 16 1
42. nun mit seiner Dissertationsschrift einen Entwicklungsprozess mit zugeordneten Methoden und Werkzeugen vor um bei mechatronischen Systemen mobiler Arbeitsmaschinen eine angemessene funktionale Sicherheit zu erreichen Nach der systematischen Risiko Absch tzung erfolgt die modellgest tzte Entwicklung der Sicherheitstechnik Die Grundlagen werden z T aus dem Automobilbau und anderen Bereichen abgeleitet und gezielt auf mobile Arbeits maschinen zugeschnitten Die Feldversuche mit provozierten Fehlern weisen aus dass man mit systematischen modellgest tzten Auslegungen f r mechatronische Systeme mobiler Arbeitsmaschi nen einen ausreichend hohen Sicherheitsreifegrad erreichen kann noch bevor das System berhaupt zum ersten Mal in Stahl und Eisen zum Laufen gebracht wird Herr Dr Ing M Martinus entwickelte sich bereits fr hzeitig zu einem kompetenten Fachmann f r die funktionale Sicherheit mechatronischer Systeme Meine Anerken nung und mein besonderer Dank gelten seiner weit berdurchschnittlichen Gesamt leistung die er mit gro er Selbst ndigkeit Umsicht und Beharrlichkeit auf einem sehr neuen Gebiet erreichte Daneben danke ich allen beteiligten Mitarbeitern und F rderern besonders der Deutschen Forschungsgemeinschaft DFG sowie den Firmen AGCO Fendt und Lem ken f r ihre gro z gige Unterst tzung Garching im Dezember 2004 Prof Dr Ing Dr h c Karl Th Renius IV Inhaltsverzeichnis Formelzeichen und A
43. r umlichen Abma en und der Orientierung des Gespanns mit einem vorher vom Fahrer festge legten rechteckigen Wendebereich abgeglichen Bei berlappung des vom Versuchstr ger ben tigten Raums mit dem Sicherheitsstreifen wird der Fail Safe Zustand kontrolliert an gefahren Grundvoraussetzung f r diese MSR Sicherheitsfunktion ist die Positionsbestimmung des Gespanns relativ zur Bearbeitungsgrenze am Feldende basierend auf der Erfassung von Lenkwinkel und wahrer Geschwindigkeit Bild 6 9 unten Der Lenkwinkel wird durch einen induktiven Wegaufnehmer und eine Kurvenscheibe mit proportionaler Kenn linie am rechten Vorderrad erfasst und bedarfsweise ber die Ackermann Gleichung 28 auf die linke Fahrzeugseite bertragen Trotz vorhandenem Radarsensor hat es sich von Vorteil gezeigt als Geschwindigkeitswert die getriebebasierte Geschwindigkeit der Hin terachse zu verwenden Der Radarsensor liefert ein zu hohes Rauschen im niedrigen Geschwindigkeitsbereich Auf Basis des Zweispurmodells 192 wird aus diesen Gr en die Bahnkurve des Versuchstr gers mit Berechnung des Kurswinkels und den ortsfesten Koordinaten xg und yg des Gespannreferenzpunktes Mitte Hinterachse am Vorgewende bestimmt siehe auch Skizze in Bild 6 9 Durch die geringen Fahrgeschwindigkeiten und das Ausbleiben von Zugkr ften beim Wenden k nnen Schr glaufwinkel und Antriebs schlupf mit konstanten Korrekturfaktoren angesetzt und ber cksichtigt werden solange keine sta
44. rmbelastung f r Fahrer Luftverschmutzung starke Ru bildung Kosten 8 Fehler verursacht sehr hohe Kosten z B Austausch von Teilsystemen Schwer Funktionalit t Funktionsf higkeit des Fahrzeugs stark eingeschr nkt schwerwiegender Fehler der ein Weiter arbeiten mit stark reduzierter Leistung oder anderen Einschr nkungen verursacht Eine Repara tur ist in jedem Falle erforderlich z B Fahrzeug im Notlauf mit stark verminderter Leistung Getriebe nur im niederen Gang Arbeitsstillstand Komfort Fehler der eine Ver rgerung des Fahrers ausl st Komfortbereich wird verlassen Erreichen der Schmerzgrenze z B Heizung nicht abschaltbar Fahrzeug bleibt stehen 128 9 1 Bewertungskatalog System FMEA angepasst an mobile Arbeitsmaschinen u erst schwerwiegend Sicherheit Schwere Beeintr chtigung die zu schweren Verletzungen von Personen od zum Totalverlust des Systems f hrt z B Bremsfunktion stark beeintr chtigt Antriebswelle bricht Ausfall der Ser vounterst tzung Einhaltung gesetzlicher Vorschriften Grober Versto gegen die gesetzlichen Vorschriften z B leichte Grundwasserverschmutzung Umweltschaden Kosten Fehler verursacht erhebliche Kosten z B Austausch Motor Totalschaden u erst schwerwiegend Funktionalit t Fehler der zu einem Systemausfall bzw Totalschaden f hrt z B Totalschaden Ausfall K hlsys tem Motorschaden Getriebeschaden
45. wichtiger Komfortsys teme z B Fahrzeug l sst sich nicht abschlie en schlechte Arbeitsqualit t Schwer Sicherheit Grobe Beeintr chtigung die eine Reduzierung der Systemsicherheit zur Folge hat Fehler kann zur Verletzung von Personen oder erheblichen Besch digungen des Systems f hren z B Teil ausfall der Fahrbeleuchtung Einhaltung gesetzlicher Vorschriften Fehler f hrt zu Belastung der Umwelt und macht dringenden Werkstattaufenthalt erforderlich z B starke L rmbelastung f r Fahrer zu starke Ru bildung Kosten 7 Fehler verursacht hohe Kosten z B Tausch der Lichtmaschine Schwer Funktionalit t Funktionsf higkeit des Fahrzeugs stark eingeschr nkt Schwerwiegender Fehler der ein Weiter arbeiten mit stark reduzierter Leistung oder anderen Einschr nkungen verursacht Eine Repara tur ist in jedem Falle erforderlich z B Dreschen mit niedriger Geschwindigkeit Komfort Gewohnte Komfortleistungen sind ausgefallen bzw stark eingeschr nkt z B Kabinenfederung Sitzfederung defekt starke Klapperger usche Schwer Sicherheit Grobe Beeintr chtigung die eine Reduzierung der Systemsicherheit zur Folge hat Fehler kann zur Verletzung von Personen oder erheblichen Besch digungen des Systems f hren z B Bremskraftverst rker defekt Fahrzeug beschleunigt ungewollt Einhaltung gesetzlicher Vorschriften Fehler f hrt zu Umweltverschmutzung und macht dringenden Werkstattaufenthalt erforderlich z B starke L
46. 7 18 19 20 Richtlinie 2003 37 EG des Europ ischen Parlaments und des Rates vom 26 Mai 2003 ber die Typgenehmigung f r land oder forstwirtschaftliche Zugmaschi nen ihre Anh nger und die von ihnen gezogenen auswechselbaren Maschinen sowie f r Systeme Bauteile und selbstst ndige technische Einheiten dieser Fahr zeuge und zur Aufhebung der Richtlinie 74 150 EWG Br ssel Belgien Europ i sches Parlament und Rat der Europ ischen Union 2003 Erdbaumaschinen Grundtypen Begriffe Norm DIN EN ISO 6165 Berlin Beuth Verlag 2002 Erdbaumaschinen Grundtypen Begriffe nderung Al Norm DIN EN ISO 6165 Al Berlin Beuth Verlag 2003 Richtlinie 97 68 EG des Europ ischen Parlaments und des Rates vom 16 Dezember 1997 ber die Angleichung der Rechtsvorschriften der Mitgliedstaaten ber Ma nahmen zur Bek mpfung der Emission von gasf rmigen Schadstoffen und luftverunreinigenden Partikeln aus Verbrennungsmotoren f r mobile Maschinen und Ger te Br ssel Belgien Europ isches Parlament und Rat der Europ ischen Union 1997 Stra enverkehrs Zulassungs Ordnung StVZO URL http www stvzo de Wiesbaden MORAVIA Druck Verlag GmbH 2003 e Kunze G H G hring und K Jacob Baumaschinen Erdbau und Tagebauma schinen Braunschweig Verlag Vieweg 2002 Pfab H Baumaschinen Vorlesungsunterlagen des Lehrstuhls f r Landmaschinen Technische Universit t M nchen 2003
47. Auswirkung Trennung nach sicherheitsgerichteten grau hin terlegte Felder und qualitativen Kriterien Funktionalit t Komfort Wert Beschreibung Kaum wahrnehmbar Sicherheit Keine Beeintr chtigung der Sicherheit Einhaltung gesetzlicher Vorschriften Kein wahrnehmbarer Fehler Kosten Keine Kosten Kaum wahrnehmbar Funktionalit t Keine funktionale Einschr nkung des Systems Komfort Keine Komforteinschr nkung wahrnehmbar Gering Sicherheit Keine Beeintr chtigung der Sicherheit Einhaltung gesetzlicher Vorschriften Fehler hat geringe Auswirkung auf gesetzliche Vorschriften kann vom Fahrer behoben werden z B Kennzeichen verschmutzt Reinigung notwendig Kosten Der Fehler verursacht geringe Kosten z B Austausch von Kleinteilen Gering Funktionalit t Geringf giger Fehler im System der nicht sofort in der Werkstatt behoben werden muss Fehler behebung im Regelservice m glich z B Einstiegsleuchte defekt Komfort Fehler durch den sich der Fahrer nur geringf gig bel stigt f hlt z B Innenbeleuchtung defekt Zigarrenz nder defekt 126 9 1 Bewertungskatalog System FMEA angepasst an mobile Arbeitsmaschinen Gering Sicherheit Keine Beeintr chtigung der Sicherheit Einhaltung gesetzlicher Vorschriften Fehler hat geringe Auswirkung auf gesetzliche Vorschriften und kann von technisch versiertem Fahrer behoben werden z B Kennzeichenbeleuchtu
48. DI Berichte 1716 S 299 304 D sseldorf VDI Verlag 2002 dlz Neuheitenreport Erfolgstypen mit neuer Formel dlz 54 2003 H 8 S 74 77 Comfortip Individualit t serienm ig URL http www deutz fahr de deutsch traktoren agrotronttv comfortip php Wilmer H Deutz Fahr Agrotron TTV 1160 Stufenloser Start in Stufen profi 15 2003 H 4 S 10 17 100 Duluschitz R und J Spilke Hrsg Agrarinformatik Stuttgart Verlag Eugen Ulmer 2002 101 Bak Th und H Jakobsen Agricultural Robotic Platform with Four Wheel Steering for Weed Detection Biosystems Engineering 87 2004 H 2 S 125 136 102 Hoepke E Die IAA Nutzfahrzeuge in Hannover September 2002 ATZ 104 2002 H 9 S 760 762 763 139 10 Literatur 103 Kunert M und A Kretzschmar Fahrzeugrundumsicht mit Radartechnik Kon zepte und Systeme VDI Tagung Elektronik im Kraftfahrzeug 2000 Baden Baden 05 06 10 2000 In VDI Berichte 1547 S 877 895 D sseldorf VDI Verlag 2000 104 Adomat R Fahrerassistenzsysteme Das Auto lernt sehen IIR Konferenz Land technische Fahrzeuge Mannheim 28 29 01 2003 Sulzbach Ts IIR Deutschland GmbH 2003 105 Wehner U K Unger K Schulze und R Zschoppe Aufbau und Auslegung eines Lane Keeping Systems VDI Tagung Elektronik im Kraftfahrzeug 2003 Baden Baden 25 26 09 2003 In VDI Berichte 1789 S 339 349 D sseldorf VDI Verlag 2003 106 Labahn N Anwendung eine
49. Drehzahl zur Verf gung stehende Volumenstrom von 110 l min wird dabei um 37 l min berschritten F r die Versorgung der Zusatzventile bleiben nur 33 l min brig Um der Unterversorgung entgegen zu wirken werden die Volumenstr me der aktiven Ventile 2 und 4 jeweils automatisch um den Faktor O eyf gbar 114 7 1 berwachung sicherheitsrelevanter Prozessgr en O gefordert 33 70 gem Formel 6 3 reduziert unterer Messschrieb Die nderung des daraus resultierenden Schieberwegs der Ventile ist im mittleren Messschrieb gezeigt Beim Ausheben des Heckkrafthebers zum Zeitpunkt 18 s werden die Auswirkungen gra vierender Jetzt ist zus tzlich das Ventil 1 zum Ausheben der Drillenaufsattelung mit 8 1 min bestromt Das Verh ltnis O erf gbar Qgefordert Sinkt weiter und wieder m ssen alle aktiven Ventile in ihrem Volumenstrom beschnitten werden Als meist belasteter Verbrau cher im hydraulischen System wird die sicherheitsrelevante Hubfunktion der Drillma schine durch diese Ma nahme zwar verlangsamt aber doch aufrechterhalten siehe oberer Messschrieb Wie beschrieben fallen die Hubwerke des Versuchstr gers aus systemati schen Gr nden nicht unter die automatische Volumenstromanpassung Der Aufsattelvor gang verl uft deswegen im Vergleich zum Normalbetrieb ohne zus tzlichen Verbraucher am Ventil 4 immer noch leicht verz gert ab treppenf rmiger Verlauf In einer Serienl sung sollten jedoch s mtliche Verbraucher der Arbeit
50. ECU TIIT Ecu rechner u H O j EHR Motor Zapfwelle Seitenkonsole go Traktor BUS II eber propriet r j j j j Frontirat o OUH L neber lektronisch Getriebe Zusatzhydraulik a Standard Gespannmanagement CAN _ Kabel Signal lausustung 0O e ISO 11783 WE ISO 11898 strang leitung Bild 6 2 Elektronikarchitektur des automatisierten Versuchsgespanns griffe des Fahrers zu diagnostizieren Die restlichen Traktorfunktionen Fronthubwerk Konfiguration der Zusatzventile und Heckzapfwelle werden ber an die Traktorspezifika tion angepasste CAN Botschaften auf dem Traktor BUS I abgerufen Die landwirtschaftlichen Ger te wurden mit eigenen elektronischen Steuerger ten Typ ESX 2 Fa Sensor Technik Wiedemann Basis Infineon C167 ausger stet und sind ber einen separaten CAN Ger te BUS in das Konzept eingebunden Die Auslegung dieses CAN Netzwerks ist zur Normung ISO 11783 117 weitestgehend konform mit der Aus nahme fest zugewiesener Teilnehmeradressen ohne automatische Adressvergabe Mit zwei unabh ngigen CAN Controllern fungiert der Traktorrechner MicroAutoBox als Br ckenrechner zwischen Ger te BUS und Traktor BUS I und stellt somit die Kommuni kation zwischen Traktor und Ger ten sicher 78 6 1 Systembeschreibung und Aufbau der Automatiken Die Programmierung der elektronischen Steuerger te des Gespanns basiert auf zwei unterschiedlichen Vorgehensweisen nach konventioneller Umsetzung
51. Forschung und Technik Die Beschreibung des Stands der Technik gliedert sich in vier Themengebiete Zu Beginn werden ma gebliche Eigenschaften von mobilen Arbeitsmaschinen beschrieben und es wird ihr Entwicklungsstand bez glich mechatronisch gestalteter Arbeitsprozesse beleuch tet Schwerpunktm ig werden ausgef hrte Beispiele bei Landmaschinen vorgestellt da sie eine exponierte und beispielhafte Stellung f r mobile Arbeitsmaschinen einnehmen Um Anregungen aus dem Bereich der Kraftfahrzeuge nutzen zu k nnen werden aktuelle bertragbare Entwicklungsprozesse und konzepte f r sicherheitskritische Systeme bei Kfz vorgestellt Auch wenn der Anteil von spezifisch an mobile Arbeitsmaschinen ange passte Normen noch gering ist gibt es doch technologie bergreifende Grundlagennormen und einzelne Anwender Standards die sich der funktionalen Sicherheit widmen und f r mehrere Technologiezweige den Stand der Technik wiederspiegeln Aktuelle Normen und Normungsprojekte die sich um Bereiche funktionaler Sicherheit bem hen werden zum Ende des Kapitels vorgestellt 2 1 Definition der mobilen Arbeitsmaschine Die unterschiedlichen Interpretationen von Zuordnungen mobiler Maschinentechnik zum Bereich mobiler Arbeitsmaschinen lassen keine einheitliche Definition f r mobile Arbeitsmaschinen erkennen Meistens werden unterschiedliche Bereiche des Maschinen baus wie Baumaschinen F rdermaschinen und Landmaschinen zum Bereich mobile Arbeitsmaschinen zusa
52. Ger t steuert Traktor mit Vorgewendeautomatik Ein wichtiger Pr fstein f r die Erarbeitung eines sicherheitsgerechten Entwicklungskon zepts ist die Weiterentwicklung und Untersuchung eines aussagekr ftigen Versuchstr gers in Theorie und Praxis F r die Auswahl eines geeigneten Maschinensystems wurden ver schiedene Kriterien herangezogen Aufbauend auf eine praxisnahe Anwendung sollte Potenzial f r zus tzliche Automatisierungen und Mechatroniken vorhanden sein Das Maschinensystem sollte als ein typisches Beispiel f r den Bereich der mobilen Arbeitsma schinen gelten Eigenheiten wie Kombination von komplexen Arbeitsprozessen mit Fahr funktionalit t Verwendung unterschiedlicher Leistungsschnittstellen mit verschiedenen Technologien und system bergreifende Funktionalit t standen dabei im Vordergrund Die Realisierung zus tzlicher Automatiken speziell unter Einbeziehung sicherheitsrelevanter Systeme sollte dazu beitragen Vorgehen Methoden und Entwicklungsma nahmen anzu passen und im Anschluss das erarbeitete Entwicklungskonzept zu verifizieren Im ersten Teil dieses Kapitels werden Systemstruktur elektronische Ausr stung des Versuchsgespanns und Logik der entwickelten Automatiken vorgestellt Nach der Beschreibung der durchgef hrten System und Risikoanalysen des Anwendungsbeispiels befasst sich der darauf folgende Abschnitt mit ausgew hlten Teilsystemen welche die sicherheitsgerechte Entwicklung des Versuchstr gers verdeutl
53. Hilfe von Frageb gen bzw Kriterienkatalogen so genannten Assessments durchgef hrt Mit Hilfe der ermittelten Reifegradstufe kann die Softwareprozessf higkeit eines Liefe ranten oder auch der eigenen Entwicklungsabteilung standardisiert nachgewiesen werden um die Schwierigkeiten der verteilten Entwicklung zu entsch rfen und qualitativ ausge reifte und sicherheitsgerechte Systeme zu gew hrleisten 26 2 4 Stand der Normung Tabelle 2 6 Durch Assessment festgestellte Reifegrade von Entwicklungsprozessen gem CMMI 140 F r eine definierte Reifegradstufe m ssen alle Forderungen einschlie lich die der niedrigeren Stufen erf llt sein CMMI Beschreibung Optimierend Kontinuierliche Verbesserung etablierter Regelkreis f r die Messung und Verbesserung der Prozesse integraler Bestandteil aller Organisationsprozesse Quantitativ gemanaged Nutzung von Metriken und Kennzahlen instrumentierte Pro zessumgebung und berwachung mit quantitativer Datenerfassung und verwaltung Definiert Definierte Prozesse f r Entwicklung und Management Teilprozesse zusam mengefasst und in unternehmensweites Prozessmodell eingebettet 5 Reifegrad 2 Gemanaged Einfaches Projektmanagement mit entsprechendem Phasenmodell 1 Initial Ad hoc Prozesse ohne formelle Planung und Kontrolle 2 4 Stand der Normung Bevor der aktuelle Stand der Normen und Richtlinien f r eine sicherheitsgerechte Ent wicklu
54. IL 2 SIL 3 1 Wiederverwendbarkeit von SW Modulen Funktionen 151 E DE DE 2 Zertifizierte oder erprobte Werkzeuge DE DE DE H here Programmiersprachen DE DE DE 4a Zustandsdiagramme 151 E DE 4b Entscheidungstabellen Wahrheitstabellen 151 E DE 5 Programmierung nach SW Standards z B MISRA 4 2 1 4 E E DE 6 Model in the Loop 4 3 2 E E E 7 Automatische Code Generierung 4 3 5 E E 8 Konfigurationsmanagement 4 2 1 4 E DE 9 SW Audit ISO 15504 SPICE 2 3 2 E DE 5 3 5 Test der Softwaresubsysteme und module Aufgabe des ersten Entwicklungsschritts der Testseite des V Modells ist die berpr fung der korrekten Softwareumsetzung der Funktionen auf Modulebene Standardmethoden wie Funktionstest oder Black Box Test sind obligatorisch und m ssen in jedem Fall vorgesehen werden siehe Tabelle 5 7 Bei konventioneller Vorge BL hensweise stehen statische Analysen und dynamische Tests im Mittelpunkt der Verifika tion und werden f r Systeme ab SIL2 dringend empfohlen Als modellbasierte Variante ist der Software in the Loop Test eine effektive Methode den programmierten Code noch ohne Zielhardware auf Funktionalit t und Fehlerverhalten zu untersuchen Tabelle 5 7 Entwicklungsschritt Test der Softwaresubsysteme und module Auswahl von empfohlenen E und dringend empfohlenen DE Entwicklungsmethoden und ma nahmen in Abh ngigkeit des geforderten SIL
55. IL3 1a Lastenheft Anforderungsanalyse Pflichtenheft 169 DE DE DE 1b Modellbasierte Spezifikation simulationsgest tztes mo 4 3 1 DE DE DE dellbasiertes Lastenheft 2 System FMEA 4 2 1 3 E DE DE 3a Komponenten FMEA Software FMEA 4 2 1 3 E E DE 3b Fehlerbaumanalyse FTA 168 E E DE 3c Software Criticality Analysis SCA 171 172 E E DE 4 Strukturierte Analyse 4 2 1 4 E E DE 5a Zustandsdiagramme 151 E DE 5b Entscheidungstabellen Wahrheitstabellen 151 E DE 6 Model in the Loop 4 3 2 E E E 7 Rapid Control Prototyping 4 3 3 E E 8 SW Audit ISO 15504 SPICE 2 3 2 E DE 5 3 3 Design der Softwaresubsysteme und module Das Softwaredesign setzt die Spezifikationsdaten der Software in f r die Implementierung und Codierung verwertbare Informationen um Der Fokus liegt dabei auf der strukturellen Gestaltung der Sub systeme und Module als Basis f r die nachfolgende Umsetzung in Serien Code Tabelle 5 5 beinhaltet die Methodenzuordnung f r diesen Entwicklungsschritt Herausragende Punkte sind die Verwendung erprobter Kom JE ponenten und die Wiederverwendbarkeit Um Sicherheit und Qualit t hochzuhalten soll ten grunds tzlich erprobte Hardware und Softwarekomponenten da eingesetzt werden wo Neuentwicklungen eingespart werden k nnen Gerade bei der Softwareentwicklung ist der Aspekt der Wieder und Weiterverwendung von bereits implementierten Funktionen leicht zu be
56. Implementiert in Serien Code Serien Code Funktionen oder Funktionsstrukturen if hubwerk amp amp z_welle z_welle ON else if hubwerk amp amp z_welle z_welle OFF Z L ER pe D5 C oO 2 9 0 c lt eo ES A Typisierung der Eing nge Bild 4 11 Beispiel einer Software in the Loop Simulation mit Einbindung des program mierten Serien Codes in die Gesamtsimulation am Rechner Der Test kompletter Steuerger teprojekte mit der SIL Methode ist allerdings sehr aufwen dig da steuerger tespezifische Funktionen Task Steuerung und Unterschiede bez glich Ganzzahl und Flie kommaarithmetik extra ber cksichtigt werden m ssen 4 3 5 Automatische Generierung von Serien Code Auch wenn die modellierten Funktionen im fr hen Entwicklungsstadium ausgiebig getes tet werden konnten MIL fehlt bei der sp teren konventionell manuellen Codierung die direkte Weiterverwendbarkeit der erstellten Logiken Die erstellten Blockschaltbilder oder Zustandsmaschinen dienen zwar als graphische Spezifikation m ssen aber von Hand in endg ltigen Code f r die Produktion in der Serie umgesetzt werden Das bedeutet einen Bruch und zweigleisiges Vorgehen bei der weiterf hrenden Entwicklungsarbeit hinsicht lich der zwei Linien Modellstruktur und manuelle Umsetzung in C Code Beispiels weise m ssen nach der Codierung gefundene Fehler im entsprechenden Funktionsmodell verbessert und verifiziert parallel dazu die
57. Institut f r Maschinentechnik Lehrstuhl f r Fahrzeugtechnik der Technischen Universit t M nchen Funktionale Sicherheit von mechatronischen Systemen bei mobilen Arbeitsmaschinen Marcus Alexander Martinus Vollst ndiger Abdruck der von der Fakult t f r Maschinenwesen der Technischen Universit t M nchen zur Erlangung des akademischen Grades eines Doktor Ingenieurs genehmigten Dissertation Vorsitzender Univ Prof Dr Ing B R H hn Pr fer der Dissertation 1 Univ Prof Dr Ing Dr h c K Th Renius i R 2 Univ Prof Dr Ing B Hei ing Die Dissertation wurde am 20 09 2004 bei der Technischen Universit t M nchen ein gereicht und durch die Fakult t f r Maschinenwesen am 06 12 2004 angenommen Vorliegende Arbeit erscheint auch im VDI Verlag als Fortschritt Bericht der Reihe 12 Vorwort ie vorliegende Arbeit entstand w hrend meiner T tigkeit als Wissenschaftlicher Mitarbeiter und Assistent am Lehrstuhl f r Landmaschinen ab September 2003 am Lehrstuhl f r Fahrzeugtechnik der Technischen Universit t M nchen Mein erster Dank gilt daher meinem verehrten Lehrer und Doktorvater Herrn Professor Renius f r die wertvolle fachliche Unterst tzung und die freundliche Art seiner Betreuung Meine besondere Wertsch tzung geb hrt der von ihm gew hrten Freiheit und dem damit verbundenen Vertrauen beim Arbeiten an einem h chst interessanten For schungsthema Vielen Dank Herrn Prof Hei ing f r die b
58. Juli 1971 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten ber die Bremsanlagen bestimmter Klassen von Kraftfahrzeugen und deren Anh ngern Br ssel Belgien Europ isches Parla ment und Rat der Europ ischen Union 2001 145 Richtlinie 70 311 EWG des Rates vom 8 Juni 1970 zur Angleichung der Rechts vorschriften der Mitgliedstaaten ber die Lenkanlagen von Kraftfahrzeugen und Kraftfahrzeuganh ngern Br ssel Belgien Europ isches Parlament und Rat der Europ ischen Union 1999 146 Richtlinie 75 321 EWG des Rates vom 20 Mai 1975 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten ber die Lenkanlage von land oder forst wirtschaftlichen Zugmaschinen auf R dern Br ssel Belgien Europ isches Parla ment und Rat der Europ ischen Union 1998 147 Sicherheit von Maschinen Grundbegriffe allgemeine Gestaltungsleits tze Norm DIN EN ISO 12100 Berlin Beuth Verlag 2003 148 Sicherheit von Maschinen Leits tze zur Risikobeurteilung Norm ISO 14121 Berlin Beuth Verlag 1999 149 Leittechnik Grundlegende Sicherheitsbetrachtungen f r MSR Schutzeinrich tungen Vornorm DIN V 19250 Berlin Beuth Verlag 1994 143 10 Literatur 150 Zeittechnik MSR Schutzeinrichtungen Anforderungen und Ma nahmen zur gesicherten Funktion Vornorm DIN V 19251 Berlin Beuth Verlag 1995 151 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer p
59. Konzepte wurden im Vergleich zur her 99 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik Kreiselegge Ringpacker Multifunktions armlehne ECU ECU B use Traktorterminal Ger te BUS ISO 11783 GUI Diagnose ECU Drille Kombiinstrument Micro AutoBox Ventil Tractor ECU BUS Traktor BUS propriet r I A Fahrzeug ECU TIIT Ecu rechner EEE H EHR Motor Zapfwelle Seitenkonsole Heckkraft E a Traktor BUS II propriet r HA E Frontkraft 4 heber Getriebe Emulation Zusatzhydraulik Ventile Standard Gespannmanagement CAN _ Kabel Signal mhirean EI nach ISO 11783 ISO 11898 strang leitung Bild 6 18 Die erweiterte Elektronikarchitektur erm glicht das direkte Ansprechen der Ventile f r die Realisierung der elektronisch geregelten sozialen Durchflussverteilung k mmlichen Hydraulik in Versuchsfahrten untersucht und validiert siehe Kapitel 7 1 3 Die erreichten Ergebnisse unterstreichen die sicherheitstechnische Notwendigkeit der Ver meidung der Unterversorgung einzelner Verbraucher 6 3 3 Modellbasierte Entwicklung des Traktorrechners Geschwindigkeitsregelung In den aufgef hrten Ausschnitten der System und Risikoanalyse f r die automatische Geschwindigkeitsregelung durch den Traktorrechner wurden die sicherheitstechnischen Anforderungen an die Automatisierungen deutlich Am Beispiel der Entwicklung des Traktorrech
60. MEG Tagung Landtechnik 2001 Hannover 09 10 11 2001 In VDI Berichte 1636 S 163 168 D sseldorf VDI Verlag 2001 B hrnsen A Die elektronische Pflugsteuerung Per Tastendruck wenden profi 13 2001 H 1 S 70 73 89 90 91 92 93 94 95 96 97 98 99 Drischt am Hang wie in der Ebene URL http www deutz fahr de deutsch ern temaschinen 5670 balance php Lauingen Deutz Fahr 2003 Neue Technik macht den Hang zur Ebene URL http www claas com de aktu ell berichte produktinformationen montana html Harsewinkel Helmut Claas GmbH 2003 Ostarhild H 22 176 Besucher sorgten f r den unangefochtenen Messeerfolg Eil bote 51 2003 H 28 S 8 17 H llerl H Bergziege f r Fortgeschrittene Forst und Technik 15 2003 H 8 S 40 41 Wilmer H Vorgewende Management Systeme im Vergleich Neues Drehen und Wenden profi 16 2004 H 2 S 66 71 Renius K Th Traktorenentwicklung unter besonderer Ber cksichtigung der Fahr dynamik und Elektronikanwendung In Fortschr Ber VDI Reihe 14 Nr 109 S 1 24 D sseldorf VDI Verlag 2002 Brunotte D und A Stelzer Traktormanagement auf dem Systemfahrzeug XERION VDI MEG Tagung Landtechnik 2001 Hannover 09 10 11 2001 In VDI Berichte 1636 S 35 40 D sseldorf VDI Verlag 2001 Grimm M Variotronic TI Programmierbares Vorgewendemanagement VDI MEG Tagung Landtechnik 2002 Halle 10 11 10 2002 In V
61. Motor und Getriebe 114 sp ter auch unter Einbeziehung von Komfortfunktionen Zusatzhydraulik oder Fahrerschnittstelle 115 Mittlerweile bauen h herschichtige Kommunikationspro tokolle auf den unteren Schichten des CAN Standards auf und standardisieren die anwen dungsspezifische interne wie externe Datenkommunikation Die fahrzeuginterne Kommu nikation zwischen Motor Getriebe und Zusatzaggregaten wird oftmals ber das Protokoll SAE J1939 116 geregelt das aus dem amerikanischen Nutzfahrzeugssektor stammt Ein zus tzlich system bergreifenderer Ansatz stammt aus der Landtechnik und wird im inter nationalen Normungsprojekt ISO 11783 117 auch genannt ISOBUS bearbeitet Das genormte Kommunikationsprotokoll soll elektronische Steuerrechner oder Terminals unterschiedlicher Maschinen Ger te und Hersteller zusammenf hren 118 und findet auch bei Kommunalmaschinen Einsatz 119 Im Baumaschinenbereich wurden basiert auf dem offenen Kommunikationsprotokoll f r Industriemaschinen CANopen 120 Ger teprofile standardisiert welche die Kombination von elektronischen Steuerger ten Sensorik Aktorik und Mensch Maschine Schnittstelle in den Gesamtsystemen erheblich erleichtern sollen 121 Bez glich der definierten bertragung von Diagnosedaten ber CAN Systeme sind zwei relevante Standards ISO 14230 und SAE J 1939 73 122 123 in Anwendung die in einem aktuellen ISO Normungsprojekt ISO DIS 15765 zusammenge f hrt werden sollen 124 In
62. Speicherbedarf Im Anwendungsbeispiel wurden beide Vorge hensweisen verglichen Bild 6 22 Die Dateigr en lagen dabei _ Bild 6 22 Code Effi zienz anhand des Gr Aenvergleichs der kom stark beeinflussen Gut programmierter h ndischer Code pjlierten Hex Files auf sehr hnlichem Niveau Durch geschickte Programmierung auf der einen oder anderen Seite l sst sich die Code Effizienz schneidet jedoch im breiten Anwendungsfeld generell besser ab als automatisch generierter Die Problematik der Code Effizienz wird sich jedoch mit Ausreifen der Generatoren und steigenden Hardwareleistungen weiter verringern Zusam menfassend zeigt folgende Aufstellung die Aspekte die mit einer auf automatischer Code Generierung aufbauender modellbasierten Entwicklungskette verbunden sind Schaffung von gut lesbarem dokumentiertem Serien Code Vermeidung von Programmier und Umsetzungsfehlern fr he Testbarkeit der Funktionen Vereinfachung des nderungsmanagements h here Transparenz der Programmlogiken Erleichterung der Wiederverwendbarkeit der Module Abstraktion der Hardware Verk rzung der Entwicklungszeit automatische Ber cksichtigung von Softwarestandards aber e hoher Initialaufwand bei Anpassung des Erstellungsprozesses an Serienhardware e Code Effizienz zurzeit noch schlechter als bei manueller Codierung Die sicherheitstechnischen Vorteile der Vorgehensweise konnten bei der Entwicklung des Kreiseleggenrechners e
63. St ckzahlen des Automobil Bereichs nicht erreicht werden Es gibt allerdings Ans tze in der Automobilindustrie zuk nftig universell ausgelegte standardisierte Steuerger te mit 20 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen zukunftssicherer Verf gbarkeit und Performance zu entwickeln und hersteller bergreifend zug nglich zu machen F r Hersteller mobiler Arbeitsmaschinen erg be sich somit die Chance auf standardisierte Hardware zur ckzugreifen die in deutlich h heren St ckzah len aufgelegt und den Anforderungen an Steuerger te f r den mobilen Einsatz gerecht wird Aufgrund steigender funktionell und sicherheitstechnisch begr ndeter Anforderun gen an die Prozessorleistung werden wohl mittelfristig Systeme mit 32 Bit Technologie u U mit Flie komma Arithmetik die h ufig auf 16 Bit Mikrocontroller basierenden Standardsysteme mit Ganzzahl Arithmetik abl sen Wo erforderlich kann man sicher heitstechnisch die n tige Fehlertoleranz durch mehrkanalige Anordnung oder R ckfalle benen auch hinsichtlich der Spannungsversorgung erreichen L sungen siehe in 111 Architektur vernetzter Systeme Ein Gro teil des Datenaustauschs komplexer Funktionalit ten bei mobilen Maschinensys temen wird mittlerweile durch elektronische Kommunikationssysteme gel st und ist damit deutlich einfacher darstellbar siehe auch 112 Stand der Technik bei seriellen Kommunikationssystemen sind CAN Netzwerke 113 anfangs zwischen
64. Systemsicherheit und zuverl ssigkeit gezeigt 2 Stand der Forschung und Technik Komponenten und Subsysteme Die Zuverl ssigkeit eines Systems wird in gro en Teilen durch die Zuverl ssigkeiten sei ner Komponenten bzw Teilsysteme sowie durch seine Architektur bzw Struktur bestimmt M chte man von den elektronischen Systemen bei Kfz profitieren liegt das gr te Potenzial im Bereich der Sensoren und Aktoren die grunds tzlich unerl sslich f r den Aufbau mechatronischer Systeme sind siehe zuvor Bild 2 2 In sicherheitskriti schen Systemen verwendet man mehr und mehr fehlertolerante Sensoren die durch mehr kanalige Messwerterfassung das rechtzeitige Diagnostizieren eines Fehlers erm glichen und das System weiterhin verf gbar halten Ein Fehler Sicherheit Dies wird durch unab h ngige redundante Strukturen erreicht wie z B Erfassung von Kraft und Weg bei Bet ti gung eines Fahrpedals oder ber hrungslos arbeitende induktive Positionsaufnehmer mit zwei galvanisch getrennten Signalwegstrukturen 106 Die integrierte Bauweise ber h rungsloser Konzepte beugt Fehlmontage oder Kalibrierungsfehlern vor und ist unempfind lich gegen Verschmutzung und Verschlei 107 Einen berblick gebr uchlicher Senso ren im Kfz und zuk nftige Sensortechnologien gerade f r sicherheitsrelevante Anwen dungsf lle finden sich in 108 und 109 Bei Bet tigungseinheiten f r X by Wire Systeme ergeben sich Zusatzaufgaben auf Grund der feh
65. VDI Berichte 1646 S 99 122 D sseldorf VDI Verlag 2001 137 Das V Modell Planung und Durchf hrung von IT Vorhaben Entwicklungs standard f r IT Systeme des Bundes URL http www v modell iabg de M nchen IABG mbH 2003 142 138 Mutz M et al Ein durchgehender modellbasierter Entwicklungsprozess f r elek tronische Systeme im Automobil VDI Tagung Elektronik im Kraftfahrzeug 2003 Baden Baden 25 26 09 2003 In VDI Berichte 1789 S 43 75 D sseldorf VDI Verlag 2003 139 Informationstechnik Bewertung von Software Prozessen Norm ISO IEC 15504 Berlin Beuth Verlag 2004 140 Welcome to the CMMI Web Site URL http www sei cmu edu cmmi Software Engineering Institute Pittsburgh USA Carnegie Mellon University 2003 141 Richtlinie 98 37 EG des europ ischen Parlamentes und des Rates vom 22 Juni 1998 zur Angleichung der Rechts und Verwaltungsvorschriften der Mitgliedstaaten f r Maschinen Maschinenrichtlinie Br ssel Belgien Kommission der Europ i schen Gemeinschaften 2001 142 Richtlinie 2001 95 EG des Europ ischen Parlaments und des Rates vom 03 Dezember 2001 ber die allgemeine Produktsicherheit Br ssel Belgien Europ i sches Parlament und Rat der Europ ischen Union 2001 143 Klindt Th Bedeutung der EG Maschinenrichtlinie f r Landmaschinen Hersteller Landtechnik 58 2003 H 4 S 258 259 144 Richtlinie 71 320 EWG des Rates vom 26
66. Works Worldwide URL http www mathworks com Natick USA The MathWorks Inc 2004 179 Wohnhaas A und H J Habrock Szenarien und Schritte bei der Einf hrung modellbasierter Methoden in der Kfz Elektronikentwicklung VDI Tagung Elektro nik im Kraftfahrzeug 2000 Baden Baden 05 06 10 2000 In VDI Berichte 1547 S 327 345 D sseldorf VDI Verlag 2000 180 Telelogic Requirements Driven Innovation URL http www telelogic com Malm Schweden Telelogic AB 2004 181 Kokes M und A von Querfurth Methodik zur Spezifikation von Elektronik im Fahrzeug VDI Tagung Elektronik im Kraftfahrzeug 2001 Baden Baden 27 28 09 2001 In VDI Berichte 1646 S 169 179 D sseldorf VDI Verlag 2001 182 dSPACE Solutions for Control URL http www dspace com Paderborn dSPACE GmbH 2004 183 Otterbach R M Eckmann und F Mertens Rapid Control Prototyping neue M glichkeiten und Werkzeuge VDI Tagung Steuerung und Regelung von Fahrzeu gen und Motoren AUTOREG 2004 Wiesloch 02 03 03 2004 In VDI Berichte 1828 S 527 538 D sseldorf VDI Verlag 2004 184 Jungmann M und M Beine Automatische Code Generierung f r sicherheitskriti sche Systeme ATZ MTZ Automotive Engineering Partners Sonderausgabe Septem ber 2003 Automotive Electronics S 50 55 185 Junker F I Mohr und J Schreiber Durch T V best tigt Hoher Oualit tsan spruch des ASCET SD Codegenerators ATZ MTZ Automotive Engin
67. aftfahr zeuge zur G terbef rderung O Anh nger eingeteilt die mit der Option G f r Gel nde fahrzeuge kombiniert werden k nnen dargestellt in Tabelle 2 1 Tabelle 2 1 Fahrzeugklassen nach EG Richtlinie 70 156 EWG 8 Kraftfahrzeuge mit mindestens vier R dern und Anh nger Klasse M Kraftfahrzeuge Klasse N Kraftfahrzeuge Klasse O Anh nger ein zur Personenbef rderung zur G terbef rderung schlie lich Sattelanh nger M1 h chstens acht Sitze au N1 zul ssige Gesamtmasse 01 zul ssige Gesamtmasse Rer dem Fahrersitz von bis zu 3 5t von bis zu 0 75t M2 mehr als acht Sitze au er N2 zul ssige Gesamtmasse 02 zul ssige Gesamtmasse dem Fahrersitz und zul ssige von mehr als 3 5 t bis zu 12t von mehr als 0 75 t bis zu 3 5t Gesamtmasse bis zu 5 t M3 mehr als acht Sitze au er N3 zul ssige Gesamtmasse O3 zul ssige Gesamtmasse dem Fahrersitz und zul ssige von mehr als 12 t von mehr als 3 5 t bis zu 10t Gesamtmasse von mehr als 5t Symbol G Gel ndefahrzeuge O4 zul ssige Gesamtmasse Fahrzeuge der Klassen M und N die f r den Einsatz abseits VON mehr als 10 t der Stra e bestimmt sind k nnen zus tzlich mit dem Symbol G gekennzeichnet werden 2 a Die Bezeichnung eines gel ndeg ngigen Fahrzeugs zur G terbef rderung mit 5 t Gesamtmasse lautet dann z B N2G Mobile Arbeitsmaschinen k nnten nach dieser Definition in die Klassen N1G bis N3G einget
68. alisiert werden weshalb der Traktor BUS II aufgebrochen wurde und die Zusatzventile zusammen mit dem Frontkraft heber separiert wurden Bild 6 18 Die Durchflussbefehle gelangen daraufhin vom Trak torrechner MicroAutoBox ber den Traktor BUS I zum Mess Laptop Dieses verarbeitet die Befehle ber eine CAN Programmierung CANalyzer und schickt sie ber Bosch Te legramme auf den Ventil BUS Da der Fendt Fahrzeugrechner die Diagnoseantworten der Bosch Ventile plausibilisiert mussten diese ber einen zus tzlichen Steuerrechner im Bild gestreift dargestellt auf dem Traktor BUS II emuliert d h durch Software nachge bildet werden Bei dieser Umsetzung konnten nicht alle Verbraucher der Arbeitshydraulik ber ck sichtigt werden Im verwendeten Versuchstraktor sind die Volumenstr me der Kraftheber vorne und hinten aus systematischen Gr nden nicht online konfigurierbar Die eingepr g ten Durchfl sse der Hubwerke wurden jedoch genauso wie die von der Motordrehzahl abh ngige Volumenstromgesamtmenge bei der Bestimmung von Oyerfigbar ber cksich tigt Um die Vorteile beider elektronischer Konzepte zu vereinen w re eine elektronisch realisierte soziale Durchflussverteilung sinnvoll die mit einer zus tzlichen Priorisie rungsm glichkeit des sicherheitsrelevantesten Verbrauchers erweitert werden kann Auch bei hohen berschreitungen des verf gbaren Volumenstroms w re so die Verf gbarkeit der Sicherheitsfunktion sichergestellt Beide
69. anten Kan le zur Ausl sung der Sicherheitsfunktion herangezogen werden Sind interne Diagnosem glichkeiten und Selbstpr fung vorgesehen erh ht sich die Anzahl der verf gbaren Signalquellen um einen Grad was mit dem Zusatz D gekenn zeichnet wird Die Symbole f r die einzelnen in den Illustrationen verwendeten System komponenten und Operatoren sind in der Legende Tabelle 5 1 erkl rt Tabelle 5 1 Legende der Symbole zu den Darstellungen von Musterarchitekturen f r inte gere und fehlertolerante Systeme Symbol Bedeutung Sicherheitsfunktion Warnmeldung und Abschalten bei Fail Silent Systemen Warnmeldung und Notbetrieb bei Fail Operational Systemen Diagnose Selbstpr fung Qualitativer Vergleich zweier Signale Voter Qualitativer Vergleich und Auswahl aus mehreren Signalen Oder Verkn pfung Und Verkn pfung eaea wc Unterbrecher Schalter 64 5 1 Sicherheitsgerechte Systemarchitektur Die 1 kanalige Ausf hrung eines Systems kann nur durch Vorsehen einer Diagnose m glichkeit durch Selbstpr fung D integer ausgelegt werden Architektur loolD Bild 5 1 Durch die interne berwachung wird der sicherheitskritische Fehler erkannt und die Sicherheitsfunktion ausgef hrt Das hei t das System wird unter Fehlermeldung Fail Silent abgeschaltet Eine weit verbreitete Variante ist die 2 kanalige Struktur aus Bild 5 2 wo durch den Vergleich zweier Kan le ei
70. apitel Die aufgef hrten Entwicklungsma nahmen sind grob in die Phasen Spezifikation sowie Test Validierung konform zur linken und rechten Seite des V Modells unterteilt vergleiche Bild 2 4 Zus tzlich sind die angesprochenen Detaillie rungsebenen System Modul oder Komponentenebene aufgef hrt um eine vertikale Einordnung in das V Modell zu erm glichen In den letzten beiden Spalten der Tabelle wird erkl rt ob die Methode oder Ma nahme bei den Entwicklungen des Anwendungs beispiels der vorliegenden Arbeit verwendet und oder weiterentwickelt wurde 4 2 Konventionelle Methoden f r die Systementwicklung Bei der Entwicklungsarbeit l uft der normale Ablauf des Denken und Handelns gr ten teils implizit ab d h unter automatischer Verwendung konventioneller Methoden im Hintergrund ohne sich einer speziellen Methodenwahl bewusst zu sein Die hier ange sprochenen expliziten Methoden beziehen sich auf ein vorher definiertes Ergebnis mit Festschreibung in Formularen Dokumenten oder digitalen Daten und werden den einzel nen Schritten des V Modells zugeordnet Methoden mit konventioneller Vorgehensweise sind alle blichen Methoden die nicht modellbasiert im Sinne von Kapitel 4 3 aufgebaut sind Sie begleiten die Entwicklung von Systemkomponenten Software und Hardware sowie bergeordneten mechatronischen Teil Systemen 4 2 1 Methoden zur Spezifikation und Systemauslegung 4 2 1 1 Systemstrukturanalyse In den ersten Schritten de
71. aschinen mit folgenden Kriterien definiert e Die Erledigung eines Arbeitsprozesses steht im Vordergrund ihrer Funktionalit t e Die eigenst ndige Fortbewegung ist direkte Voraussetzung ihrer Hauptfunk tion en entweder als Teilprozess der Hauptfunktionalit t z B Vorschub eines Stra Benfertigers oder als Nebenfunktion z B Traktor mit G llepumpe station rer Betrieb mit M glichkeit zur Transportfahrt e Die Mobilit t der Maschine darf nicht an festgelegte Bahnen wie z B Schienensys teme Induktionsschleifen etc gebunden sein d h das Arbeitsumfeld der Maschine ist dynamisch ver nderbar und frei w hlbar Es unterliegt in der Regel wechselnden Umwelteinfl ssen Aus dieser Definition ergeben sich verschiedene Konsequenzen bzw Merkmale e Da eine station re Energieversorgung schwer zu realisieren ist wird die ben tigte Energie grunds tzlich aus Speichern bezogen Energieverbrauch Leistungsgewicht etc werden deshalb zu wichtigen Kenngr en e Durch das dynamische Einsatzumfeld muss auf Umweltvertr glichkeit hinsichtlich Schadstoffaussto Elektromagnetischer Vertr glichkeit EMV etc besonders Wert gelegt werden e Das wechselnde Arbeitsumfeld stellt besondere Anforderungen an die Betriebsi cherheit hinsichtlich Bedienpersonen und Unbeteiligten Spezielle Ma nahmen sind bei Teilnahme am ffentlichen Stra enverkehr zu erf llen z B Erf llung der StVZO 13 bei Transportfah
72. assung gezeigt Die sensorisch erfassten Messwerte sowie die wichtigs ten Signale der CAN Kommunikation werden in einem nicht fl chtigen Flash Speicher Ringpuffer der MicroAutoBox zwischengespeichert und k nnen ber die Host Schnitt stelle auf das Mess Laptop ausgelesen werden W hrend die diskreten Daten der traktorseitigen Sicherheitssensorik direkt ber die Eing nge der MicroAutoBox erfasst werden liegt die Verarbeitung der sicherheitsrelevan ten Sensordaten der Ger te im Aufgabenbereich der jeweiligen Ger terechner Die aufbe reiteten Signale werden daraufhin auf dem Ger te BUS f r den Traktorrechner und die anderen Ger terechner zur Verf gung gestellt Tabelle 6 2 nennt die sensorische Zusatzausr stung f r Traktor und Ger te Bild 6 4 zeigt die entsprechende Lokalisierung im Gespann mit korrespondierender Nummerierung 6 1 3 Aufbau der Automatiken Mit der elektronischen Erweiterung des Versuchsgespanns konnten zwei neuartige Auto matiken implementiert werden Zum einen wurde ein vollst ndiges Vorgewende und Rei 79 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik MicroAutoBox Flight Recorder Aufzeichnung von 40 Signalen im Ringpuffer Serielle Host Schnittstelle A 4 b 4 et A A 4 D Be o 0 pemci W Canayzer A AA Kell al Schnittstelle Diagnose 9 gt s 5 x F 3 e nla I g o p als so Ss sja s 2 2 8 SIR ControlDesk ol 8 gt
73. auf die Teilnehmer gleichberechtigt fest priorisiert dynamisch priorisiert unterschieden Beispielsweise kann der bergeordnete Traktor rechner Ressourcen auf untergeordnete Ger te zuteilen und diese dann gleichberechtigt bedienen Andererseits bestimmt ein Ger terechner untergeordnet die feste Priorit t sei ner eigenen hydraulischen Verbraucher 7 1 3 1 Konflikte beim gemeinsamen Zugriff auf den hydraulischen lstrom Wie im Kapitel 6 3 2 beschrieben besteht bei hydraulischer Unterversorgung mehrerer Verbraucher die Gefahr der Verlangsamung der hydraulisch meist belasteten Verbraucher bis hin zum v lligen Stillstand Bild 7 5 zeigt ein Beispiel f r hydraulische Unterversor gung anhand der Aufsattelung der Drillmaschine mit herk mmlicher Differenzdruckrege lung ohne elektronisches LUDV 1 Auch der an den Traktorrechner gestellte spezifische Geschwindigkeitswunsch ist ein Zugriff auf die gemeinsam nutzbare Systemressource Fahrgeschwindigkeit 112 7 1 berwachung sicherheitsrelevanter Prozessgr en ntkraftheber c ze Q T Heckkraftheber 3 Z to I Freigang Ventil IN Ventil 3 l 2 Aufsattelung Spuranrei Ventil 4 Senken 2 Blindstrom 2 Ventil 2 Blockiert 2 Gebl se 7 Heben O dp 0 5 10 15 20 s 30 Zeit Bild 7 5 Unterversorgung der Aufsattelung der Drillmaschine Ventil 1 durch zeitgleiche Beschaltung der brigen Ventile Das Ausheben der Drillmas
74. bersten Messschriebs wird deutlich in welchem Modus die Traktor Ger te Kombination arbeitet Ist der Heckkraftheber und die Drillenaufsattelung ausgehoben 100 befindet man sich im Wendemodus gleichbedeutend mit dem nach ISO 11783 definierten Zustand Work bei abgesenkten Hubwerken im Automatikbetrieb der Reihenfahrt Die Sollwertvorgaben der Ger te sind bei aktivem Automatikbetrieb gleichberechtigt Au er der Kreiselegge haben die Ger te nach erfolgtem Einsetzen d h bei normaler Reihenfahrt keine Geschwindigkeitsw nsche an den Traktor Der jeweilige Sollwert wird in diesem Fall mit don t care belegt Der Traktorrechner w hlt aus den Soll Geschwindigkeiten unterer Messschrieb die niedrigste g ltige aus und regelt diese ber die bersetzungsverstellung am Traktor ein mittlerer Messschrieb Der Fahrer hat h chste Priorit t und kann die Geschwindigkeitsregelung jederzeit bersteuern Im Wendemodus wird die Geschwindig keit alleine durch den Fahrer bestimmt bei Wendeautomatik zus tzlich durch den Taskcontroller 116 7 1 berwachung sicherheitsrelevanter Prozessgr en 100 60 40 20 eckkraftheber Aufsattelung Hubposition O 3 m 3 gt O gt N OQ Geschwindigkeit Geschwindigkeit Vorgaben Zeit Bild 7 8 Priorisierung der niedrigsten g ltigen Geschwindigkeit aus den Sollwertvorga ben der Ger
75. biler Arbeitsmaschinen weiter an werden sich auch hier Anwendungsm glichkeiten mit elektrohydraulischem oder mechanischem Bremseingriff bieten Ausnahmen dazu sind bei der Feldarbeit autonom navigierende Traktor Ger te Kombi nationen mit elektrohydraulischem Bremseingriff wie sie sp ter beschrieben werden Ein Forschungsprojekt der TU Braunschweig besch ftigt sich mit Grundlagen eines Brems managements von Traktoren Kritische Fahrzust nde von Traktor Anh nger Kombinatio nen werden sensiert um daraufhin das Gespann durch automatisch gezielte Bremsein griffe zu stabilisieren 44 Elektronischer Eingriff in die Lenkung Die zuk nftigen Bestrebungen f r Lenksysteme bei Nkw und Pkw beziehen sich auf neu artige Bet tigungskonzepte automatische Lenkeingriffe dynamische Ver nderung der Lenk bersetzung oder Designvorteile durch Reduzierung des Platzbedarfs des Lenksys tems im Gesamtfahrzeugkonzept Um sich diese Vorteile zu Nutze zu machen ist grund s tzlich das Aufbrechen der mechanischen bzw hydraulischen festen Verbindung zwi schen Bet tigungseinheit und lenkbarer Achse Steer by Wire erforderlich Nach Pandit legt Steer by Wire damit den Grundstein f r die Implementierung neuartiger Fahrerassis tenzsysteme und Komfortfunktionen 45 Auch bei mobilen Arbeitsmaschinen werden diese Ziele verfolgt Zus tzlich dazu ergeben sich hier M glichkeiten durch intelligente Lenksysteme in den Arbeitsprozess direkt einzugreifen Die En
76. bk rzungen csssssossssssnsssssnsssnsnunssnsnunsnsnnsnnnsnnnsssnnnnssnnnnnsnnnen VII Kurzfassung Abstracts estds asosiasi sosse sesat saie iiS XIII 1 Einleitung und Aufgabenstellung cossssssosssssonsssssnssssnsnnsnnsnnnssnsnnnnnsnnnsnsnnnnnnsnnnnene 1 1 1 Ausgangssituation und Problemstellung 2000000rseesneeennennnneennnenennenen 2 1 2 Vorgehensweise und Aufbau der Arbeit eeseeesessneeenseennneensnensnnennnnenneenennenenn 3 2 Stand der Forschung und Technik s00ssss00ssssnosssssnsssssnnnnsnsnnnnssnsnnssssnnsssnnnnsnennne 4 2 1 Definition der mobilen Arbeitsmaschine 000000sseesnenennsennnennnenennne nennen 4 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen ueenene 7 2 2 1 Elektronischer Eingriff in die Fahrzeugf hrung ennn 10 2 2 2 Automatisierung von Arbeitsprozessen eueeseessnessenesnnennnnennnnnnnnnennnnennnnnnnnnnenn 15 2 2 3 Komponenten Subsysteme vernetzte Systeme uensennssessssessnnensnnensnnnnnnennn 19 2 3 Entwicklungsprozesse und modelle 02200402000snneensnennnnennnennnnenennennne nenne 23 2 3 1 Konventionelle Vorgehensweise 22unen Ra 24 2 3 2 Verteilte Entwicklung verteilter Systeme sans sera ee 26 24 Stand der Nominiert ee 27 3 Funktionale Sicherheit als Teil der konstruktiven Sicherheit essssrsesonsene 31 3 1 Definition der funktionalen Sieherkelt ae ran 31 3
77. bsstrang und Lenkung von einem immer gr er werdenden Teil an Elektronik bestimmt 29 4 Anwendungen im Automotive Bereich sind haupts chlich Fahrerassistenzsysteme die den Fahrer bei Routineaufgaben entlasten wie z B Adaptive Cruise Control ACC 1 Konventionelle Tempomatfunktion wobei zus tzlich der maximal g ltige Abstand zum vorausfahren den Fahrzeug durch Motormanagement und aktiven Bremseingriff eingeregelt werden kann 23 10 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen oder Systeme der aktiven Sicherheit die versuchen Fahrstabilit t oder Precrash Eigen schaften des Fahrzeugs zu verbessern z B Bremsassistent BA Ein zweiter Aspekt der bei aktuellen Systemarchitekturen festgestellt werden kann betrifft das Umdenken bez glich der Signal bertragung zwischen Sensor und Aktor Wird das Kraftsignal kon ventioneller Sensor Aktor Einheiten direkt mechanisch oder hydraulisch bzw mit mecha nischer oder hydraulischer R ckfallebene bertragen so trennen moderne X by Wire Systeme diese Verbindung auf und ersetzen sie durch diskrete oder digitale elektronische Signale meist ohne mechanische oder hydraulische R ckfallebene Um die Signale zu wandeln m ssen intelligente Sensoren und Aktoren mit integrierter Elektronik verwendet werden Der Energiefluss zwischen Sensor und Aktor des konventionellen Systems wird somit durch einen logischen Informationsfluss ersetzt Betrachtet man beispielsweise ein B
78. ch den Anforderungen der zu entwickelnden Algorithmen Ein Beispiel f r eine Simulationsumgebung ist die Werk 56 4 3 Modellbasierte Methoden f r die Softwareentwicklung zeugkette Matlab Simulink Stateflow 178 die auch im Rahmen dieser Arbeiten verwen det wurde Steuerung IIwert a _ Regelung Aktoren Strecke Sensoren berwachung Mobile Arbeitsmaschine _ Modellierung in der PC Simulation Bild 4 9 Mathematisch logische Abbildung des mechatronischen Systems im Model in the Loop Test Das in der Simulation validierte Reglermodell kann im n chsten Schritt der modellbasier ten Entwicklung mit Hilfe einer Rapid Control Prototyping Umgebung im Fahrzeug online getestet und optimiert werden 4 3 3 Rapid Control Prototyping RCP Der Ausgangspunkt einer Entwicklung nach dem Prinzip Rapid Control Prototyping ist die Abbildung der zu entwickelnden Regler oder Steuerungsstrukturen in der MIL Simu lation Die modellierte Logik soll auf einem echtzeitf higen Entwicklungsrechner im rea len Fahrzeugeinsatz weiterentwickelt werden Das Reglermodell wird daf r konform der Schnittstellen des realen Seriensteuerger tes aus der Gesamtsimulation freigeschnitten und mit werkzeugspezifischen Simulationsbl cken f r Ein und Ausg nge erweitert Bild 4 10 Im g nstigsten Fall parametrisiert man die Ein und Ausgabeschnittstellen I O direkt ber standardm ige Simulationsbl cke Reicht dagegen der Signalbereich
79. chen Fehlers Fehler beherrschung Sicherheitseingriff fehlerbeherrschende Ma nahmen Fahrer MSR Sicherheitsfunktionen Sicherheitsma nahmen Sicherheitsma nahmen Wartung sicherstellen e Warnung akustisch optisch Interpretation von Fehlerspeicher Warnmeldungen e Fail Silent und Warnung Eingriffe in die Fahrzeugf hrung e Fail Operational und Warnung Eingriffe in den Arbeitsprozess ee Gew hrleistung des sicheren Zustands Getriebe bersetzung Neutral Hubwerke Stop Hydraulische Zusatzventile Blockiert oder Freigang Zapfwelle Aus Motor Lehrlaufdrehzahl Bild 7 9 Chronologischer Ablauf f r fehlererkennende und beherrschende Aufgaben des Fahrers und der MSR Sicherheitsfunktionen im automatisierten Traktor Ger te Gespann Safe Einstellungen f r Hubwerke Antriebsstrang und Zapfwellen hinterlegt werden Im Fehlerfall werden die Fail Safe Schaltvorg nge somit nicht durch Direktbefehle der Ger te sondern aus Zeitgr nden durch abgespeicherte Kommandos des Traktorrechners an den Traktor bewerkstelligt Bild 7 10 zeigt die Ausl sung der Fail Safe Schaltung f r die hydraulischen Zusatz ventile nach Auftreten eines im Versuch provozierten sicherheitskritischen Fehlers Die Ventile der Hubvorrichtungen f r die Aufsattelung der Drillmaschine Ventil 1 und die Spuranrei er Ventil 3 werden durch die Sicherheitsfunktion des Traktorrechners automa tisch auf Blockiert geschaltet Die Drehzahl des Gebl ses der D
80. chine und des Heckkrafthe bers wird deutlich verlangsamt geforderte bzw eingepr gte Volumenstr me Qy 8 l min Op 30 l min Oy3 2 l min Oy4 40 l min OFKH OHKH 77 l min Im dargestellten Versuch wurde zus tzlich zum Antrieb des Gebl ses der Drillmaschine ber Ventil 2 ein weiterer dauerbestromter hydraulischer Verbraucher ber eine am Ventil 4 angeschlossene Verstelldrossel simuliert um die Kapazit tsgrenze der hydrauli schen Pumpe leichter zu erreichen Ausgel st durch das Ausheben des Heckkrafthebers ger t das System zum Zeitpunkt 13 s bei einem geforderten Gesamtvolumenstrom von 157 l min mit 47 l min ber dem verf gbaren lstrom in Unterversorgung Die Aufsatte lung kommt zum Stillstand und der Heckkraftheber verlangsamt gleichzeitig seine Bewe gung wodurch ein sicherheitskritischer Fehlerzustand auf Grund zu geringer Seitenf h rungskr fte an der Vorderachse verursacht wird Das erneute Anfahren der Aufsattelung nach 23 s liegt an der Verringerung der Zylinderkraft durch Ausheben des Gesamtsystems ber das Heckhubwerk Verk rzung des Hebelarms Erst mit standardm igem Abschal ten des Gebl seantriebs Ventil 2 entspannt sich endg ltig die Situation In Bild 7 6 ist nun das Verhalten des gleichen Systems mit elektronisch geregelter Durchflussverteilung gezeigt wie es f r das Versuchsgespann entwickelt und realisiert wurde siehe auch Kapitel 6 3 2 Wieder wurde die an Ventil 4 angeschlossene Verstell
81. chner sollte durch Schnittmengenbildung entscheiden wel che Geschwindigkeit eingeregelt wird Da es sich hier um eine innovative Systemausle gung mit wenigen Erfahrungswerten und vielen Fehlerm glichkeiten z B in den Berei chen Datenkommunikation und Sensorik handelt wurde das Auftreten A der Ursache mit acht erh ht immer wiederkehrend unter Ber cksichtigung der bestehenden Vermei dungsma nahme bewertet Zusammen mit der Entdeckungsma nahme Fahrerbeobach tung und eingriff Entdeckenswahrscheinlichkeit E bewertet mit drei d h gut und der kritischsten Topfehlerfolge Personenschaden Bedeutung B u erst schwerwiegend d h Bewertung zehn ergab sich eine RPZ von 240 Als notwendige Abhilfema nahme wurde die Vereinfachung der Strategie durch Priorisierung der niedrigsten geforderten Geschwindigkeit vorgeschlagen A gering d h Bewertung vier Durch die neue Ver meidungsma nahme konnte das Risiko auf eine RPZ von 120 abgesenkt werden 90 6 2 System und Risikoanalyse der Automatisierungen o s FMEA Nr Fehlerm glichkeits und einflussanalyse 0208 E System FMEA Produkt System FMEA Prozess Typ Modell Fertigung Charge Ger t steuert Traktor Sach Nr 01 Verantw mm fr pi Abt System Nr Systemelement Automat Ausheben Sach Nr 01 Verantw mm fr pi Abt regen B eher renerusacten matnahmen A matnehmen E FPZ VT Fehlerfolgen Fehler Fehlerursachen ma nahmen ma nahmen Ges
82. cksichtigt ist die Einbindung dieser Funktionen als Custom Code Bl cke Simulationsbl cke mit konventionell programmierten Benutzer Code in die graphische Programmierung schon vor dem Generierungsprozess Dadurch entsteht ein Simulations ger st welches an das zu bedienende Steuerger t angepasst wurde und als Rahmen f r die eigentlichen Funktionsmodelle fungiert Beim Generierungsprozess wird dann der gesamte Quell Code f r das Steuerger t erzeugt Im Rahmen der Forschungsarbeiten wurde der automatische Code Generator Target Link der Fa dSPACE 182 verwendet und ein komplettes Rahmenmodell f r die Reali sierung von Softwareprojekten einer universell programmierbaren Steuereinheit abgebil det Typ ESX 2 C167 Mikrocontroller Fa Sensor Technik Wiedemann Die Funktionen werden dabei in Matlab Simulink Stateflow entwickelt sind Model in the Loop testbar und k nnen direkt aus der Simulation in den fertigen kompletten Serien Code f r das Steuerger t berf hrt werden siehe auch Kapitel 6 3 4 Gerade bei sicherheitskritischen Anwendungen ist die Zuverl ssigkeit von Entwick lungswerkzeugen von hoher Bedeutung Die automatischen Code Generatoren betrifft dies genauso wie Compiler oder Werkzeuge zur Code bertragung auf das Steuerger t die so genannten Flash Werkzeuge In Sicherheitsnormen wird deshalb die Verwendung von bew hrten bzw zertifizierten Werkzeugen gefordert Beim Nachweis der Betriebsbe w hrtheit der automatischen C
83. der Darstellung aus Platzgr nden verzichtet Aufbau und Funktionsweise sind f r mehr als zwei Verbraucher analog Bild 6 15 Hydraulisch mechani Verbraucher 1 Verbraucher 2 sche Differenzdruckregelung Load Sensing nach 80 Gezeigt ist der Anwendungsfall bei gleich Wechselventil zeitiger Bet tigung der 5 3 Wege 2 schaltet auf p ventile unter der Lastannahme p2 gt p Die Verstellpumpe regelt den Druckabfall am lastdruckh heren Proportionalventil unab h ngig von Ventilstellung Pum pendrehzahl und Druckniveau auf den konstanten Differenzwert Ap s Das Wechselventil meldet dabei der Pumpe den jeweils Druckwaage h chsten Lastdruck zur ck Die Druckwaage des geringer belaste ten Verbrauchers 1 erzeugt die ben tigte Druckdifferenz Ap s an diesem Proportionalventil bei drosselt um p p Druckwaage offen f r Regelgr e Ap s p p gleichzeitiger Drosselung um den Betrag p gt p Reicht der verf gbare Gesamtvolumenstrom der Pumpe aus k nnen alle Verbraucher ohne gegenseitige Beeinflussung versorgt werden Probleme treten auf wenn der gefor derte Gesamtvolumenstrom der Ventile den maximalen F rderstrom der Pumpe ber schreitet Die konventionelle Differenzregelung ger t in Unterversorgung Der Verbrau cher mit dem h chsten Lastdruck verlangsamt seine Bewegung unter Umst nden bis zum Stillstand 96 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen Differenzdruckregelung mit nachge
84. die spezifizierten modellierten Teilfunktionen zu Gesamtfunktionalit ten Steue rung Regelung berwachung zusammengef gt und im Model in the Loop Test weiter entwickelt 55 4 Entwicklungsmethoden 1 JFJ 1 J a Fl 1 1 u en FI 1 2 A wl 1 3 5 Mj 2 6 FI 2 1 7 Mj 3 8 JFJ 3 1 a a 3 2 3 3 4 4 1 Lastenheft Modellierung Zustandsmaschinen Pflichtenheft Regelkreise Funktionsstrukturen Modellbasiertes Lastenheft Modellbasierte Spezifikation Modell bibliotheken Dokumentation spezifikationen Bild 4 8 Prinzip der Vorgehensweise modellbasierter Spezifikation am Rechner Die Erarbeitung eines modellbasierten Lastenhefts am PC bietet die Grundlage systembe schreibender Spezifikationsdatenbanken 4 3 2 Model in the Loop MIL Model in the Loop ist die moderne Bezeichnung f r klassische simulationsbasierte Funk tionsentwicklung So wird z B das simulierte Modell einer zu entwickelnden Logik in die Simulation der Strecke eingebunden und kann am Rechner schon in der fr hen Phase der Entwicklung gefahrlos untersucht werden Das im Bild 4 9 dargestellte typische mecha tronische System einer mobilen Arbeitsmaschine wird demnach komplett virtuell inklu sive Umgebungsparameter Fahrerverhalten und Physik simuliert Die Detaillierung und Genauigkeit der Abbildung der Strecke richtet sich dabei na
85. die zur Realisierung notwendi gen Komponenten Technologien und Entwicklungsprozesse behandelt Aktuelle Stan dards Normungsprojekte und relevante Richtlinien die f r eine sicherheitsgerechte Ent wicklung als Grundlage dienen k nnen runden diesen Abschnitt ab Das Kapitel 3 ist den theoretischen Grundlagen der Sicherheitstechnik f r die Gew hr leistung des sicheren Zustands gewidmet Die funktionale Sicherheit wird als Bestandteil der konstruktiven Sicherheit definiert und es werden Anforderungen bez glich zul ssiger Risiken der mechatronischen Systeme bei mobilen Arbeitsmaschinen aufgestellt Der darauf folgende Teil der Arbeit konzentriert sich auf empfohlene verwendete und weiterentwickelte Entwicklungsmethoden Kapitel 4 und ihre Anordnung im erarbeiteten Entwicklungskonzept Kapitel 5 Abh ngig vom Risikopotenzial der Systeme werden sicherheitsgerechte Systemarchitekturen vorgeschlagen und geeignete Methoden den Ent wicklungsschritten zugeordnet Der Vorteil einer durchg ngig modellbasierten Vorgehens weise wird dabei deutlich gemacht Die Vorgehensweise sollte anhand eines Anwendungsbeispiels verifiziert und weiter entwickelt werden Im Kapitel 6 wird der Versuchstr ger und die sicherheitsgerechte Ent wicklung seiner Automatiken beschrieben Kapitel 7 behandelt die Versuchsdurchf hrung und Validierung des Gesamtsystems und verallgemeinert die Ergebnisse auf den gesamten Bereich der mobilen Arbeitsmaschinen 2 Stand der
86. drossel mit 40 l min versorgt und die brigen Ventile durch ger teseitige Befehle wie im 1 Die eingepr gten lstromwerte der Hubwerke wurden mit 77 l min empirisch aus Versuchen gewonnen und gelten f r Motornenndrehzahl welche durch die Automatik eingestellt wird 113 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse vorigen Beispiel beaufschlagt Im Falle der drohenden Unterversorgung der Ventile durch berschreiten der maximal verf gbaren von der Motordrehzahl abh ngigen lvolumen strom werden die angeforderten Durchfl sse der Ventile zu verh ltnism ig gleichen Tei len vom Traktorrechner reduziert Die L sung des Konflikts l uft damit bergeordnet gleichberechtigt ab u Frontkraftheber Aufsattelung Heckkraftheber Hubposition Freigang A Senken Ventil 1 Schieberstellung Volumenstrom 0 5 10 15 20 S 30 Zeit Bild 7 6 Soziale Durchflussverteilung f r die Zusatzventile bei Unterversorgung Der Traktorrechner erkennt den Mangel an Volumenstrom und verteilt die Ressourcen gerecht auf die bestromten Ventile Auch der h chstbelastete Verbraucher Aufsattelung Ventil 1 wird somit weiterhin versorgt und vor dem Stillstand bewahrt Beim Zeitpunkt 10 s kommt zu den dauerbestromten Ventilen 2 und 4 die Bet tigung des Frontkrafthebers oberer Messschrieb zum Ausheben des Ringpackers mit 77 l min lstrom hinzu Der bei entsprechender
87. e wandelt z B ist die ECE Regelung Nr 13 gleichwertig mit Richtlinie 71 320 EWG Bremsanlagen Die grunds tzlichen Sicherheitsanforderungen der EG Richtlinien werden in techni schen Spezifikationen der internationalen Normung konkretisiert Alle Normen wie DIN 27 2 Stand der Forschung und Technik auf nationaler EN auf europ ischer und ISO auf internationaler Basis sollen den Stand der Technik dokumentieren haben aber keinen Gesetzescharakter und sind somit Emp fehlungen an den Hersteller Die Bedeutung der unterschiedlichen Normungsinstitute ver schiebt sich immer weiter von nationaler Normung in Richtung EN und ISO Zur Verein heitlichung innerhalb der EU ist das Europ ische Komitee f r Normung CEN mit der Erarbeitung harmonisierter europ ischer Normen EN betraut die von allen Mitgliedstaa ten unver ndert als nationale Norm bernommen werden m ssen Entgegenstehende oder davon abweichende nationale Normen sind zur ckzuziehen Der systematische und hier archische Aufbau wird in drei Normentypen gegliedert e Typ A Normen Sicherheits Grundnormen ber Gestaltungsleits tze und allgemeine Aspekte die alle Maschinen in gleicher oder hnlicher Weise betreffen e Typ B Normen Sicherheits Gruppennormen ber Aspekte die mehrere oder eine Reihe von hnlichen Maschinen betreffen oder ber sicherheitsbedingte Einrichtun gen die f r verschiedene Arten von Maschinen verwendet werden k nnen e Typ C Norm
88. e Ergebnisse der System FMEA am Beispiel automatisierter Eingriffe in den Antriebsstrang vorgestellt werden Risikoanalyse f r automatisierte Eingriffe in den Antriebsstrang Die Geschwindigkeitseingriffe durch die beiden implementierten Automatiken wurden im Brainstorming als sicherheitskritisch eingestuft Bei der Automatik Ger t steuert Trak tor senden die landwirtschaftlichen Ger te ihre Sollwerte in Abh ngigkeit vom zu erledi genden Prozessschritt eigener Systemparameter und globaler Umgebungsvariablen ber den Ger te BUS an den Traktorrechner Der Traktorrechner verarbeitet die gestellten Anforderungen und regelt die ermittelte Zielgeschwindigkeit ber Antriebsstrangfunktio nen des Traktors ein Beim automatischen Wendevorgang wird die erforderliche Wende geschwindigkeit direkt durch den Traktorrechner bestimmt Der sicherheitskritische Sys temzustand liegt in beiden F llen im unkontrollierten berfahren der Feldgrenzen durch 88 6 2 System und Risikoanalyse der Automatisierungen die Automatik Im Bild 6 10 ist der Risikograph f r diesen potenziellen Gefahrenzustand Hazard gezeigt Im Bild ist der Pfad f r die Ermitt oder oder lung des _ Safety Integrity Level gezeigt Das Schadenausma des Schadenausma S1 leichte Verletzungen einer Person S2 schwere Verletzungen einer oder mehrerer Personen bzw Tod einer Person S3 Tod mehrerer Personen Hazards wird mit S2 bewertet Die in der Rege
89. e Lenkungskonzepte O P 47 2003 Nr 10 S 650 652 Kutzbach H D Trends in Power and Machinery Journal of Agricultural Engineer ing Research 76 2000 H 3 S 237 247 Lenkautomat f r die M hdrescher Maisernte Landmaschinen Rundschau 27 1975 H 6 S 150 62 63 64 65 66 67 68 69 70 71 72 73 74 75 e Auernhammer H Elektronik in Traktoren und Maschinen M nchen BLV Ver lagsgesellschaft 1989 Diekhans N Automatische Spurf hrung bei Landmaschinen VDI MEG Tagung Landtechnik 2000 Braunschweig 10 11 10 2000 In VDI Berichte 1544 S 337 341 D sseldorf VDI Verlag 2000 Rademacher Th Trends zur Verfahrenstechnik der Druschfruchternte Landtech nik 58 2003 H 6 S 362 363 Benson E R J F Reid und Q Zhang Machine Vision based Guidance System for Agricultural Grain Harvesters using Cut edge Detection Biosystems Engineering 86 2003 H 4 S 389 398 Ballwieser W und R Pudszuhn Wie ein Leitstrahl f r Landmaschinen Automati sche Lenkung f r Traktoren und Erntemaschinen mit Ultraschallsensoren Fluid 34 2000 H 1 S 26 28 K ller K Bodenbearbeitungstechnik In Jahrbuch Agrartechnik 15 2003 S 91 97 280 M nster Landwirtschaftsverlag 2004 B hrnsen A Easytronic f r Aufsattelpflug von Vogel amp Noot Wenden leicht gemacht profi 16 2004 H 9 S 66 67 Klee U und L Hofmann DGPS gest tzte
90. e auf dem Seriensteuerger t implementierte fehlertolerante Sensorerfassung wurde zus tzlich in einem Hardware in the Loop Test validiert und daraufhin im realen Ver suchsgespann in Betrieb genommen siehe dazu Kapitel 7 1 2 Da das realisierte System an zus tzliche relativ aufwendige Sensorik f r die genaue Erfassung des lstroms gebunden ist liegt es nahe nach g nstigeren Alternativen der Volumenstrombestimmung zu suchen Eine M glichkeit liegt in der Verwertung der Diag nosebotschaften der hydraulischen Zusatzventile bez glich der Schieberstellung des Ven tils in Verbindung mit Messung des Druckunterschieds zwischen Pumpendruck und Last druck auf der Heben Seite des Zylinders Aufgrund der Load Sensing Hydraulik des Traktors kann durch diese Gr en mit relativ geringem sensorisch Aufwand auf den tat s chlichen lfluss in oder aus dem Zylinder geschlossen werden siehe auch nachfolgend Gleichung 6 2 Grundvoraussetzung f r diese Vorgehensweise ist die Bestimmung einer genauen Kennlinie f r den ffnungsquerschnitts des Ventils in Abh ngigkeit von der Schieberstellung 6 3 2 Entwicklung einer sicherheitsgerechten Ressourcenverteilung f r den hydraulischen Durchfluss Die System und Risikoanalyse der Funktionalit t Ger t steuert Traktor hat gezeigt dass automatische Zugriffe auf die Traktorarbeitshydraulik Zusatzventile Hubwerke ver sch rfte Anforderungen an die Ressourcenverteilung stellen Die Situation hydrauli
91. e korrekte Interpretation und Verarbeitung des Fahrereingriffs Dieses Kapitel beschreibt die wichtigsten Beispiele f r berwachungsstrategien der Gespannkombination anhand des Versuchskonzepts und verallgemeinert die Ergebnisse auf die Anwendung bei mobilen Arbeitsmaschinen 7 1 berwachung sicherheitsrelevanter Prozessgr en Der gr te Teil der MSR Sicherheitsfunktionen gilt der Kontrolle g ltiger Wertebereiche von sicherheitskritisch eingestuften Prozessgr en wobei die Signale real gemessen oder analytisch hergeleitet werden Ein weiterer Aspekt sind berwachungen konkurrierender Zugriffe auf gemeinsam verf gbare Systemressourcen speziell f r Systeme mit mehreren gleichberechtigten Ger ten 106 7 1 berwachung sicherheitsrelevanter Prozessgr en 7 1 1 berwachung g ltiger Bereiche sicherheitsrelevanter Prozessparameter Klassische Beispiele f r berwachungen g ltiger Wertebereiche sind Begrenzungen der Arbeitsgeschwindigkeiten bei landwirtschaftlichen Bodenbearbeitungsger ten um Quali t tseinbr che der Arbeitserledigung zu vermeiden Im Anwendungsbeispiel sind die Maximalgeschwindigkeiten von Ringpacker Kreiselegge und Drillmaschine ger teseitig limitiert und werden an den Traktorrechner als Geschwindigkeitslimit des jeweiligen Ger ts bergeben Die Geschwindigkeitssollwerte der Ger te werden somit zweifach mit den festgelegten Grenzwerten abgeglichen einmal durch Vergleich im jeweiligen Ger te rechn
92. eben Die M glichkeit vollwertiger Fehlertoleranz durch 2 kanaligen Betrieb ist nur bei TTP und FlexRay einer Weiterentwicklung des im BMW Ser realisierten Kommunikationssystems Byteflight 132 im Protokoll vorgesehen Das auf 22 2 3 Entwicklungsprozesse und modelle CAN basierende TTCAN vereint die zeitgesteuerte Architektur mit ereignisgesteuerten Kommunikationsrahmen wodurch eine Abw rtskompatibilit t zu normalen CAN Syste men gew hrleistet wird H herschichtige Protokolle z B CANopen oder ISO 11783 k nnen somit mit dem Vorteil der deterministischen Kommunikation oder auch weiterhin ereignisgesteuert gefahren werden F r die Fehlereind mmung im Zeitbereich z B BUS Monopolisierung sehen TTP und FlexRay so genannte BUS Guardians vor unabh n gige Instanzen welche die Teilnehmer berwachen und bei Bedarf vom Kommunikations medium trennen und k nnen so in Verbindung mit einer 2 kanaligen Struktur vollwer tige Fehlertoleranz erreichen In 133 werden zu ber cksichtigende Einfl sse f r die Ent wicklung zeitgesteuerter Systeme dargelegt Nachteil ist noch die mangelnde Erfahrung im breiten Anwendungsfall Es bleibt deshalb abzuwarten wie sich die zeitgesteuerten Protokolle speziell TTP und Flexray im Feld etablieren Low speed CAN Systeme sind zwar logisch und physikalisch 2 kanalig ausgelegt haben aber deutliche Nachteile hin sichtlich Echtzeitf higkeit bei schnellen Regelvorg ngen wegen der geringen
93. edacht vorhandene Betriebs und Schnittstellenzu st nde analytisch durch die erfassbaren Signale und Systemvariablen herzuleiten Dazu findet man eine bersicht im Anhang 9 2 7 1 3 Konkurrierende Zugriffe auf Systemressourcen Komplexe Arbeitsprozesse bei mobilen Arbeitsmaschinen erfordern paralleles Arbeiten unterschiedlicher Teilsysteme die h ufig auf gleichartige Leistungsressourcen der Haupt maschine zur ckgreifen m ssen Sto en die verf gbaren Ressourcen an ihre Kapazit ts grenze oder schlie en sich die geforderten Sollwerte gegenseitig aus m ssen die konkur rierenden Zugriffe sicherheitsgerecht gel st werden Dieses kann sowohl bei abgeschlos senen mobilen Maschinensystemen mit hohem Automatisierungsgrad als auch bei auto matisierten offenen Systemen mit anschlie baren Ger ten notwendig sein Hier behan delte Beispiele sind zum einen mehrere hydraulische Verbraucher die mit einem begrenzt verf gbaren Gesamtvolumenstrom der hydraulischen Hauptpumpe auskommen m ssen zum anderen unterschiedliche Geschwindigkeitsw nsche der landwirtschaftlichen Ger te des Versuchstr gers nach dem Prinzip Ger t steuert Traktor Die Versuchsreihen zum Nachweis der berwachung konkurrierender Zugriffe auf Systemressourcen beschr nken sich auf diese zwei allgemein nutzbaren Ressourcen des Traktors und werden jeweils durch den Geltungsbereich des berwachungsorgans bergeordnet untergeord net und die Verteilung der Priorit ten
94. eering Part ners Sonderausgabe September 2003 Automotive Electronics S 61 63 186 Spitzer B Modellbasierter Hardware in the Loop Test von eingebetteten elektro nischen Systemen Diss Universit t Karlsruhe Fakult t f r Elektrotechnik und Informationstechnik 2001 187 W ltermann P H Sch tte und K Diekstall Hardware in the Loop Test verteilter Kfz Elektroniksysteme ATZ 106 2004 H 5 S 416 425 188 Keinath A M Pillin und K Lebert Modulare Testumgebung f r verschiedene Sys temebenen und Prozessphasen ATZ MTZ Automotive Engineering Partners Son derausgabe M rz 2004 Automotive Electronics S 22 25 189 Kirrmann H und K E Gro pietsch Fehlertolerante Steuerungs und Regelungs systeme Automatisierungstechnik 50 2002 H 8 S 362 374 146 190 Sch uffele J und Th Zurawka Automotive Software Engineering Grundlagen Prozesse Methoden und Werkzeuge Wiesbaden Verlag Vieweg 2003 191 Informationsverarbeitung Sinnbilder und ihre Anwendung Norm DIN 66001 Berlin Beuth Verlag 1983 192 Hei ing B Dynamik der Stra enfahrzeuge Vorlesungsunterlagen des Lehrstuhls f r Fahrzeugtechnik Technische Universit t M nchen 2004 193 LSV Die Landwirtschaftliche Sozialversicherung URL http www lsv de Kassel Spitzenverb nde der landwirtschaftlichen Sozialversicherung 2004 194 R b W Vielseitiger Ventilbaukasten mit Wahlm glichkeiten von
95. ehler bedingt Nachbesserung in der Fachwerkstatt z B Schadstoffemission Kosten Der Fehler verursacht mittlere Kosten z B aufwendige Diagnose Mittelschwer Funktionalit t Funktionsf higkeit des Fahrzeugs ist eingeschr nkt Mittelschwerer Fehler am Fahrzeug der ei nen Werkstattaufenthalt bedingt z B Drenmoment zu niedrig hoch zuwenig zuviel Kraftstoff wird eingespritzt Lack bl ttert ab Komfort Fehler durch den sich der Fahrer bel stigt f hlt Funktionseinschr nkung wichtiger Komfortsys teme z B Ausfall der Heizung 127 9 Anhang Mittelschwer Sicherheit Mittelschwere Beeintr chtigung der Systemsicherheit u a bemerkter Ausfall einer Schutzfunk tion Geringes Risiko f r Verletzungen von Personen bzw Sch den z B Allrad Differential sperre nicht verf gbar obwohl angezeigt Motor geht aus Fahrzeug bleibt stehen Einhaltung gesetzlicher Vorschriften Fehler bedingt Ausbesserung in Fachwerkstatt z B Abgaswerte nicht erf llt leichte Ru bil dung L rmbelastung f r die Umwelt Kosten 6 Der Fehler verursacht mittlere Kosten Mittelschwer Funktionalit t Funktionsf higkeit des Fahrzeugs eingeschr nkt mittelschwerer Fehler am System der einen Werkstattaufenthalt bedingt z B Fahrzeug zieht stark auf eine Seite Ausfall von Teilsystemen wie die Tankanzeige Komfort Fehler durch den sich der Fahrer bel stigt f hlt Funktionseinschr nkung
96. ei Wendeman ver gezeigt Bild 7 3 Ein und Aus fahrtsrichtung sind auf Grund des pauschal gesch tzten L ngs und Querschlupfs kon stante Korrekturfaktoren nicht ganz parallel Die berwachung der Position erfolgt 12 5 durch den Traktorrechner und wird nach wendeg Imka nn ISehlE dem erfolgten Ausheben der Ger te am E m Feldende y 0 gestartet Mit diesem Zeit 5 7 5 punkt wird der Ursprung des Koordinaten k systems festgelegt das System befindet p 3 sich im Modus Wenden Im Bild ist die 2 5 Bahn des Referenzpunktes Mitte Hinter achse des Traktors dargestellt Zus tzlich 0 zur Relativposition des Referenzpunktes 2 5 7 5 5 25 025 m 75 wird die Gierrate gewonnen aus Fahrge schwindigkeit Lenkwinkel und Momen tanpollage berechnet Die Integration der den Kurswinkel des Gespanns relativ zum xy Koordinatensys Gierrate ergibt Position x quer zur Reihe Bild 7 3 Positions berwachung relativ zum Vorgewende Die y Koordinate wird mit der maximal zul ssigen Ausdehnung verglichen Dargestellt sind zwei aufeinander folgende tem und damit die zu berwachende geo Wendevorg nge metrische Ausdehnung in y Richtung Wird die vorher zugewiesene Grenze f r den zul ssigen Platz am Vorgewende von bei spielsweise 15 m berschritten wird der Fahrer gewarnt und der sichere Zustand eingelei tet Auf Basis der Positionsbestimmung am Vorgewende wurde eine We
97. eilt werden sind aber aus dem Geltungsbereich dieser Richtlinie ausdr cklich aus genommen Die eigentlichen Vertreter der in dieser Arbeit behandelten mobilen Arbeits maschinen findet man in spezifisch angepassten Produktnormen bzw Richtlinien f r Bau maschinen Land oder Forstmaschinen lof Maschinen und selbstfahrende Arbeitsma schinen siehe Tabelle 2 2 2 Stand der Forschung und Technik Tabelle 2 2 Produktspezifische Normen als Defi Die EG Richtlinie 2003 37 EG 9 nitionsgrundlage f r mobile Arbeitsmaschinen Land und Forst maschinen EG Richtlinie 2003 37 EG 9 Baumaschinen DIN EN ISO 6165 A1 10 11 Mobile Maschinen EG Richtlinie 97 68 EG 12 bezieht sich auf Zugmaschinen Anh nger und gezogene auswechsel bare Maschinen f r den Einsatz in der Land oder Forstwirtschaft schlie t aber Erdbaumaschinen definiert nach ISO 6165 10 11 ausdr cklich aus Auch die EG Richtlinie 97 68 EG 12 f r Ma nah men zur Bek mpfung von Schadstoffemissionen bei mobilen Maschinen kommt f r eine Definition mobiler Arbeitsmaschinen nicht in Betracht Sie fasst zwar Baumaschinen bestimmte F rdermaschinen und Spezialmaschinen zu einem Bereich Arbeitsmaschinen zusammen isoliert aber wiederum Land und Forstmaschinen Ein Grundlagenpapier um den Bereich der mobilen Arbeitsmaschinen festzusetzen fehlt damit In der vorliegenden Arbeit werden somit mobile Arbeitsmaschinen als M
98. eilung der EN 61508 152 mit unterschiedlichen Safety Integrity Levels SIL von SILI bis SIL4 als diskretes Ma der Zuverl ssigkeit bzw sicherheitstechnischen Verantwortung eines Systems durchgesetzt und bildet auch f r vorliegende Arbeit die Grundlage Schadenausma S Durch die Baumstruktur des Risikographs legt die Bestimmung des Schadenausma es schon im ersten Schritt der Untersuchung den groben Bereich des resultierenden SIL fest und hat damit das gr te Gewicht Die Norm weist ausdr cklich darauf hin dass bei Bewertung von S die im Regelfall zu erwartenden Unfallfolgen und blichen Heilungs prozesse vorausgesetzt werden sollen Um eine ehrliche und m glichst objektive Ermitt lung des SIL zu gew hrleisten ist es wichtig diesen Grundsatz zu beachten und bei der Bewertung des Schadenausma es nicht in extreme Szenarios zu fallen In durchgef hrten Risikoanalysen aus den Bereichen mobiler Arbeitsmaschinen und Kfz hat es sich gezeigt dass das Schadenausma S3 auf keinen Fall berschritten wird was mit Beschr nkung der Schadensklassen von S1 bis S3 bei Anpassung des Risiko graphs ber cksichtigt wurde Beispiele f r S3 sind gravierende Auswirkungen durch Unf lle von Gefahrguttransporten oder Omnibussen zur Personenbef rderung Das Scha denausma S2 ist f r die meisten sicherheitskritischen Systeme mobiler Arbeitsmaschinen ausreichend 41 4 Entwicklungsmethoden Aufenthaltsdauer bzw h ufigkeit A Mit diesem
99. ein fehlersi cheres System das auch bei hydraulischer Unterversorgung den sicherheitskritischen Stillstand des h chst belasteten Verbrauchers verhindern kann Hauptanwendungsbereich derartiger Differenzdruckregelungen mit nachgeschalteten Druckwaagen sind Baumaschi nen bei denen die Koordination mehrerer hydraulischer Funktionen auch sicherheitstech nisch schon lange notwendig ist Es ist sicherlich m glich das vorgestellte Prinzip auch in anderen Sparten mobiler Arbeitsmaschinen einzusetzen Die Wirtschaftlichkeit und 1 Mittlerweile etabliert sich die Bezeichnung Lastdruckunabh ngige Durchflussverteilung LUDV gepr gt durch die Fa Bosch Rexroth 97 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik sicherheitstechnische Notwendigkeit ber das Anwendungsbeispiel hinaus waren aber nicht Gegenstand der Untersuchungen Elektronisch geregelte Durchflussverteilung Ein weiteres Konzept zur Realisierung der sozialen oder auch gerechten Ressourcen verteilung des hydraulischen Volumenstroms ist die elektronische Begrenzung des gefor derten Gesamtvolumenstroms bei drohender Unterversorgung und zwar unter Beibehal tung des Aufbaus der konventionellen Load Sensing Arbeitshydraulik F r das Versuchs gespann wurden zwei unterschiedlich wirkende Konzepte entwickelt und in Betrieb genommen Untergeordnete Priorisierung durch den Ger terechner Liegen mehrere hydrauli sche Verbraucher im
100. einer fr hen Phase der Entwicklung bzw Auslegung des automatisierten Arbeitsprozesses im Zusammenspiel mit der Risikoanalyse siehe zuvor e Durchf hrung der Analyse in interdisziplin rer Teamarbeit mit Mitarbeitern aus den Bereichen Entwicklung Versuch Elektronik Qualit tsmanagement und Kunden dienst Systematische Vorgehensweise nach VDA 4 2 siehe unten e Kombination der Teilsysteme ihrer zu erledigenden Teilprozesse und der notwendi gen Einflussgr en bei der Strukturanalyse des Systems Ergebnisdokumentation durch die Verwendung von Systemb umen Funktionsb u men Fehlerb umen Formbl ttern und Bewertungskatalogen 44 4 2 Konventionelle Methoden f r die Systementwicklung Die f nf Schritte der System FMEA Bei Durchf hrung einer FMEA schl gt der VDA eine systematische Vorgehensweise in den f nf Schritten Strukturanalyse Funktionsanalyse Fehleranalyse Risikobewertung und Ma nahmenoptimierung vor welche im Folgenden beschrieben sind Bild 4 3 1 Strukturanalyse 2 Funktionsanalyse 3 Fehleranalyse Hubwerk Hydraulik m DK Br Be Wenden Zylinder ausfahren Stillstand __Zylinder defekt Ger t ausheben Kein Ausheben 4 Risiko bewerten 5 Ma nahmen optimieren FMEA Formblatt nach VDA 96 Bild 4 3 Die f nf Schritte der System FMEA nach VDA 4 Teil 2 Im ersten Schritt der Strukturanalyse wird das Gesamtsystem in die einzelnen Teilsys teme bis hin zu den einzelnen Systemelem
101. einfacher Ausstat tung bis zu Multifunktionsventilen mit CAN Elektronik VDI MEG Tagung Land technik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 225 230 D sseldorf VDI Verlag 2003 195 Fertig G LUDV Steuerungen Fachtagung Antriebs und Steuerungssysteme f r moderne Mobilmaschinen Mannesmann Rexroth AG Lohr a Main Nov 1994 196 Theis I Das Steer by Wire System im Kraftfahrzeug Analyse der menschlichen Zuverl ssigkeit Diss TU M nchen Fakult t f r Maschinenwesen 2002 147
102. eiten b nach links bis auf 2 Arbeitsbreiten b nach rechts xp lt 6 5 m xp gt 6 5 m L3 R ckw rtsfahrt 2 Kurve R3 R ckw rtsfahrt 2 Kurve Invertierung der bersetzung Invertierung der bersetzung Drehen des Gespanns Drehen des Gespanns um weitere 90 links herum um weitere 90 rechts herum gt 260 p lt 80 L4 Ausrichtfahrt R4 Ausrichtfahrt Invertierung der bersetzung Invertierung der bersetzung seitliches Ausrichten des Gespanns seitliches Ausrichten des Gespanns durch den Fahrer auf x X persar durch den Fahrer auf x X persa Dr lt Yard Dr lt Ystar l 5 Automatik bergang Ende der Wendautomatik automatischer Start der Reihenautomatik Linkswende Rechtswende y 0 gt komplett ausgehoben y Start HH Bearbeitungs grenze Rd d Bet tigung Taster S Zielpunkt l Bild 6 9 Zustandsdiagramm und Ablaufdarstellung der Wendeautomatik am Vorgewende Beim Anschlussfahren gilt X Versatz 7 b 87 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik heitstechnische Verbesserungen bringt der teilautomatisierte Wendevorgang aber stark von den u eren Rahmenbedingungen bei der Feldarbeit abh ngt 6 2 System und Risikoanalyse der Automatisierungen Wie in Kapitel 5 gezeigt sind die parallel wirkenden Methoden Risikoanalyse und Sys tem FMEA die wichtigsten theoretischen Analysemethoden w hrend der Spezifikations phase des Entw
103. ektronischen Steuer beitsmaschinen hat sich ger ten mit CAN Schnittstelle eines Herstellers 3 demnach in den letzten sie ben Jahren verdreifacht 1 1 Ausgangssituation und Problemstellung Immer mehr Arbeitsprozesse mobiler Maschinensysteme sind durch automatisierte Vor g nge gepr gt in denen der Fahrer nur noch als bergeordnetes Kontrollorgan fungiert und die Funktionserf llung den verschiedenen Automatiken berlassen kann Sensor und Aktoreinheiten sind hierbei nicht unbedingt zentral koordiniert sondern m glicherweise ber verteilte gleichberechtigte Teilsysteme in die Regelung des system bergreifenden Arbeitsprozesses eingebunden Dieser Trend stellt neue Anforderungen an die Betriebssicherheit da bew hrte mecha nische Systeme durch innovative Mechatronik ersetzt werden und mechanische bzw hydraulische R ckfallebenen in vielen F llen wegfallen Der Entwicklung dieser so genannten elektrisch elektronisch programmierbar elektronischen Systeme E E PES kommt hinsichtlich Erf llung ihrer funktionalen Sicherheit eine besonders gro e Bedeu tung zu Im Moment sind weitestgehend noch keine speziell auf mobile Arbeitsmaschinen zugeschnittene Standards oder angepasste Produktnormen vorhanden Um die Entwick lungsprozesse bei einem vern nftigen Aufwand Nutzen Verh ltnis berschaubar und nachvollziehbar zu belassen aber auch der geforderten funktionalen Sicherheit der Sys teme nicht auf Kosten der Verf gbarkeit Rechnu
104. el war es den 102 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen Code Generator TargetLink Fa dSPACE f r die Codierung des kompletten Software projekts der Kreiselegge zu verwenden Die Schwierigkeit lag dabei in der Nutzung steu erger tespezifischer Funktionen Ein Ausg nge und sonstige BIOS Funktionen die durch spezielle Usercode Bl cke implementiert werden mussten Um eine universelle Plattform auch f r die Ent Rahmenmodell wicklung anderer Logiken gleicher Hardwarebasis 3 Funktionsmodell Software zu erhalten wurde ein auf das Steuerger t ESX 2 ange Matlab Simulink Stateflow passtes Matlab Simulink Rahmenmodell entwickelt in TargetLink Bl cke ESX BIOS Funktionen Usercode das beliebige Funktionsmodelle eingesetzt werden k nnen Bild 6 20 Das Rahmenmodell beinhaltet Model in the Loop MIL dabei die Schnittstelle zu den ben tigten BIOS Funkti Simulation der Strecke onen der ESX Neben Modellierung des Steuerger te MA TAUNK Codes im Funktionsmodell wurden die Regelstrecken gi d 6 20 Rahmenmodell zur f r die Systemparameter der Kreiselegge in das Generierung der ESX Steuerge Gesamtmodell mit aufgenommen um die Untersu r tesoftware Zur Verifikation chung der Logik in der MIL Simulation zu erm gli wurde die Simulation der Regel chen Aus dem eingebetteten Funktionsmodell kann Strecke integriert MIL Tests ber TargetLink der komplette Serien Code f r die
105. eldungen der anderen Teilnehmer dazu plausibel wird der Spuranrei er ausge hoben und durch Sperren eines Sitzventils vor unbeabsichtigtem Absenken gesichert Die Spuranrei erfunktion wird allerdings wegen des aufkommenden GPS gesteuerten Anschlussfahrens an Bedeutung verlieren 7 3 Sicherheitsgerechtes Verhalten der Teilsysteme im Fehlerfall Die notwendigen Aufgaben f r die funktionale Absicherung des automatisierten Traktor Ger te Gespanns verteilen sich auf den Fahrer die implementierten MSR Sicherheits funktionen der Ger terechner und des Traktorrechners sowie die vorhandenen Vorkehrun gen des serienm igen Fahrzeugrechners im Traktor Im Bild 7 9 ist die Aufgabenteilung zwischen Fahrer und elektronisch realisierten MSR Sicherheitsfunktionen von der Sys tem berwachung im Normalbetrieb bis zum Sicherheitseingriff im fehlerbeherrschenden Betrieb dargestellt Sicherheitskritische Zust nde m ssen durch den Fahrer oder die implementierten funk tionalen Sicherheitssysteme erkannt werden Danach liegt es in der Verantwortung des Fahrers und oder der betreffenden MSR Sicherheitsfunktionen die notwendigen fehlerbe herrschenden Ma nahmen einzuleiten Je nach Risikopotenzial reichen diese vom einfa chen Eintrag des Fehlers in einen Fehlerspeicher f r die sp tere Auswertung in der Werk statt bis zur fehlertoleranten Aufrechterhaltung der Funktion durch redundante Strukturen im Fail Operational System mit Warnmeldung an den Fahrer Ziel
106. elgien Europ isches Parlament und Rat der Europ ischen Union 2000 159 Sicherheit von Maschinen Elektrische Ausr stung von Maschinen Teil 1 All gemeine Anforderungen Norm DIN EN 60204 1 Berlin Beuth Verlag 2001 160 Sicherheitstechnische Begriffe f r Automatisierungssysteme VDI Richtlinie VDVVDE 3542 Berlin Beuth Verlag 2000 161 Echtle K Fehlertoleranzverfahren Berlin Springer Verlag 1990 162 Ehrlenspiel K Integrierte Produktentwicklung 2 Auflage M nchen Carl Han ser Verlag 2003 163 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Norm DIN EN 954 Berlin Beuth Verlag 1997 144 164 Oualit tsmanagement in der Automobilindustrie Sicherung der Qualit t vor Serieneinsatz Teil 4 2 System FMEA Norm VDA 4 2 Frankfurt M Verband der Automobilindustrie e V VDA 1996 165 Loos S Systemanalyse Risikoanalyse mit der Methode FMEA nach VDA 4 Teil 2 Seminarunterlage D sseldorf VDI Bildungswerk 1999 166 TOE Total Quality Engineering URL http www plato ag com L beck PLATO AG 2004 167 APIS Informationstechnologien GmbH URL http www apis de W rth Donau APIS Informationstechnologien GmbH 2004 168 Goble W M Control Systems Safety Evaluation amp Reliability 2 Auflage NC USA ISA The Instumentation Systems and Automation Society 1998 169 Projektwirtschaft Projektab
107. elle In Out International Electrotechnical Commission Formelzeichen und Abk rzungen ISO Kfz lof M MI MIL MISRA MSR N NlI NASA Nkw 0 01 OEM PC PIL Pkw PL RCP R FA SAE SCA SF SIL SIL SPICE StVZO SW TMS TR TTCAN TTP UKW UNECE URL International Organization for Standardization Kraftfahrzeug land oder forstwirtschaftlich Fahrzeugklasse Kraftfahrzeuge zur Personenbef rderung Model in the Loop Motor Industry Software Reliability Association Messen Steuern Regeln Fahrzeugklasse Kraftfahrzeuge zur G terbef rderung National Aeronautics and Space Administration Nutzkraftwagen Nutzfahrzeug Fahrzeugklasse Anh nger Original Equipment Manufacturer Personal Computer Processor in the Loop Personenkraftwagen Performance Level Rapid Control Prototyping Risikopriorit tszahl R ckfahreinrichtung Schadenausma Society of Automotive Engineers Software Criticality Analysis Sicherheitsfunktion Software in the Loop Safety Integrity Level Software Process Improvement and Capability Determination Stra enverkehrs Zulassungs Ordnung Software Traktor Management System Technical Report Time Triggered CAN Time Triggered Protocol Ultrakurzwelle United Nations Economic Commission for Europe Uniform Resource Locator Vornorm XI Formelzeichen und Abk rzungen VDA VDI VDMA V Modell W xooy ZW PCMCIA vo hi ret ext LUDV XI Verba
108. elt anhand der Spezifikationsanforderungen der logischen Systemarchitektur Im Gegensatz zu den vorangegange nen Verifikationsma nahmen die jeweils die Resultate einer Entwicklungsphase auf Spe zifikation und Vorgaben berpr fen steht die Validierung f r die Abnahme eines Pro dukts hinsichtlich seines Einsatzzwecks und der Benutzererwartungen Tabelle 5 9 zeigt empfohlene und dringend empfohlene Methoden die in diesem Entwicklungsschritt ihre Anwendung finden Tabelle 5 9 Entwicklungsschritt Systemtest und Validierung Auswahl von empfohlenen E und dringend empfohlenen DE Entwicklungsmethoden und ma nahmen in Abh n gigkeit des geforderten SIL Methode Ma nahme Systemtest und Validierung Referenz SIL 1 SIL 2 SIL 3 1 Probalistischer Test 4 2 2 2 E E 2 Tests im breiten Anwendungsfeld 4 2 2 1 E E E 3 Systemtest 4 2 2 1 DE DE DE 4 EMV Umwelt Vibrationstest 4 2 2 1 E DE DE 5 Test der Funktionalit t 4 2 2 1 DE DE DE 6 Test des Fehlerverhaltens 4 2 2 1 DE DE DE 5 3 8 Universelle Ma nahmen f r die gesamte Entwicklung Die in Tabelle 5 10 genannten Ma nahmen und Methoden sollen F7 den gesamten Entwicklungsvorgang begleiten Die meisten davon f mm sind f r ein sicherheitsgerechtes Systemverhalten aber auch f r 1 2 geforderte Qualit tsma st
109. elt wird das gemessene Dreh moment an der Heckzapfwelle durch die ange forderte Arbeits geschwindigkeit als Stellgr e Sinnbilder nach 191 N Schleifenbegrenzer L Verarbeitung Ein u Ausgabe I Unterprogramm lt gt Verzweigung O Verbinder Ist Status ENGAGE Aktivierung TourqueControl TourqueControl Berechnung AM M_soll M_ist Sollmoment Istmoment v_soll don t care v_soll v_ist v_soll v_ist 0 017 m s v_soll v_ist 0 017 m s Schleifenende Neben dem sicherheitstechnischen Aspekt der Begrenzung des Drehmoments der Kreisel egge ist es mit der vorgestellten Regelung m glich durch Vorgabe eines Drehmoments entsprechend der gew nschten Motorauslastung eine Leistungs bzw Grenzleistungsrege lung an der Zapfwelle zu realisieren 7 85 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik Wendeautomatik am Vorgewende F r die sicherheitstechnische berwachung des Platzbedarfs beim Wenden wurde eine geson derte berwachungsfunktion des Traktorrechners implementiert Um Kollisionen mit Hindernis sen oder Einfahren in Gefahren bereiche z B Bild 6 8 zu ver meiden wird die aktuelle Posi Bild 6 8 Versuchsgespann im aufgesattelten und aus gehobenen Zustand beim Wenden am Feldende Vorge wende Der Sicherheitsabstand zur Bundesstra e wird berwacht tion in Verbindung mit den
110. en Sicherheits Produkt oder Fachnormen mit konkreten Anforderun gen und Schutzma nahmen zu allen signifikanten Gef hrdungen die von einer Maschine oder allen Arten einer Maschinengruppe ausgehen Hierarchisch stehen die Produkt oder Fachnormen Typ C an der Spitze d h nur wenn f r ein System keine Produkt oder Fachnorm vorliegt geben die relevanten Gruppennor men Typ B oder in letzter Instanz die Grundnormen Typ A Entscheidungshilfe Bild 2 5 zeigt eine hierarchisch strukturierte bersicht ber die wichtigsten relevanten Richtlinien Regeln und Normen welche die Grundlage f r einen sicherheitsgerechten Entwicklungsleitfaden f r mechatronische Systeme bei mobilen Arbeitsmaschinen bilden Die zwingend zu erf llenden EG Richtlinien 98 37 EG 141 Maschinenrichtlinie und 2001 95 EG 142 Richtlinie zur allgemeinen Produktsicherheit geben den f r den Her steller bindenden Rahmen vor Dabei sind diese Richtlinien absichtlich bez glich Vorge hensweise und Anwendungsfall sehr unscharf gehalten Der Weg zur sicheren Maschine oder zum sicheren Produkt soll freigestellt bleiben nur das Ziel ist festgeschrieben 143 Die spezieller ausgerichteten EG Richtlinien zu Brems und Lenkanlagen 144 145 ins besondere der dazu geh rige Elektronikanhang Anhang 18 bzw Anhang 6 der entspre chenden ECE Regelung besch ftigen sich mit dem elektronischen Eingriff in die Fahr zeugf hrung und sind f r zuk nftige Entwicklungen se
111. en Steer by Wire Systeme bei schnell fahrenden Arbeitsmaschinen im Transporteinsatz oder Systeme mit autonomer fahrerloser Arbeitserledigung Die gefor derte Fehlertoleranz wird hierbei meistens mit mehrkanalig ausgef hrten Architekturen realisiert siehe Kapitel 5 1 Auch wenn die Prozessautomatiken des verwendeten Versuchstr gers auf Grund der durchgef hrten Risikoanalyse einen Safety Integrity Level von maximal SIL2 erfordern sollen am Beispiel der Aufsattelkinematik der Drillmaschine die Anwendungsm glichkei ten und Realisierung einer SIL3 gen genden fehlertoleranten Sensorerfassung gezeigt werden Bild 6 12 zeigt den prinzipiellen Aufbau der Kinematik f r die Aufsattelung der Drillma schine auf die Kreiselegge Durch Bet tigung des entsprechenden hydraulischen Zusatzventils am Traktor wird der doppelt wirkende Zylinder beaufschlagt und die Drillmaschine im Bild symbolisch dargestellt ber eine parallel gef hrte Kinematik auf die Kreiselegge aufge sattelt 0 entspricht ganz unten eingesetzt 100 ganz oben ausgehoben F r die Architek tur der fehlertoleranten Erfassung der Aufsattel position wurde ein 3 kanaliger Aufbau nach Bild Bild 6 12 Systematischer Aufbau der 5 5 gew hlt Die ersten beiden Kan le gewinnt Aufsattelung der Drillmaschine man durch redundant angebrachte Winkelauf nehmer f r den Hubwinkel a Der dritte Kanal wird durch analytische Redundanz aus dem gemessenen Volumenstrom des Zylinders e
112. endbaren Softwaremodul Bild 4 7 zeigt unterschiedliche Einsatzzeitpunkte modellbasierter Methoden bei der Ent wicklung mechatronischer Systeme Eine durchg ngige Einf hrung zieht einen umfassen Technologiephase Vorentwicklung Serienentwicklung Funktionsmuster Spezifikation Validierung keitsstudien Konzeptfindung Integration Technologie Systementwurf auswahl Prototyping Implementierung a Modellbasierte Spezifikation Modell in the Loop MIL Rapid Control Prototyping RCP E A Automatische Code Generierung E Software in the Loop SIL C I Hardware in the Loop Komponententest HIL HIL Steuerger tetest C i HIL Systemtet C Bild 4 7 Anwendungsphasen modellbasierter Methoden im Entwicklungsprozess f r mechatronische Systeme 54 4 3 Modellbasierte Methoden f r die Softwareentwicklung den Ver nderungsprozess nach sich den es zu managen gilt In 179 werden Szenarios und Schritte f r die Einf hrung vorgeschlagen die auf die Entwicklungsvorg nge bei elektronischen Systemen auch bei mobilen Arbeitsmaschinen angewandt werden k nnen Die folgenden Beschreibungen modellbasierter Methoden sind in der Reihenfolge aufge f hrt in der sie w hrend eines durchg ngig modellbasierten Entwicklungsprozesses ange wandt werden k nnten 4 3 1 Modellbasierte Spezifikation Die modellbasierte Spezifikation ist eine Erweiterung der konventionellen Vorgehens weise mit rechnergest tzten modellbasierten Elem
113. enten Wie im konventionellen Fall liegt ihre Hauptanwendung in der ersten Phase der Serienentwicklung wobei auch Berei che der Vorentwicklung davon profitieren k nnen Schon mit der Konzepterprobung in der Vorentwicklung oder fr her Festlegung der Anforderungen in der Serienentwicklung werden Basisfunktionen definiert und mit Hilfe von Simulationswerkzeugen z B Mat lab Simulink Stateflow 178 abgebildet Die modellbasierten Funktionsbeschreibungen sind direkt an die Funktionalit t des Teilsystems oder der Komponente gekoppelt und wer den in die textbasierte Spezifikation z B mit Hilfe der Softwarel sung DOORS 180 integriert und verwaltet siehe auch Bild 4 8 Bei der konsequenten Anwendung von modellbasierter Spezifikation lassen sich Modellbibliotheken aus Spezifikationsdaten einzelner Funktionen aufbauen Bestands merkmale von modellbasierten Lastenheften sind Textbasierte Informationen wie einzuhaltende Richtlinien qualitative Beschreibun gen und Parametrierungen e Modellbasierte Informationen wie Zustandsmaschinen Regelkreise und mathema tisch logische Funktionsstrukturen Eine durchg ngige Werkzeugkette f r modellbasierte Spezifikation aus dem textbasierten Spezifikationswerkzeug DOORS der mathematisch logischen Simulationsumgebung Matlab Simulink Stateflow und einer zus tzlichen Softwarel sung f r Versions und Konfigurationsmanagement wird ausf hrlich in 181 beschrieben Im weiteren Vorgehen werden
114. enten der Teilsysteme strukturiert hnlich einer St ckliste entsteht dadurch ein Systembaum in der Top Down Analyse Bei Untersu chung eines Arbeitsprozesses wird der Prozess in die einzelnen Teilprozesse bzw Prozess schritte aufgeteilt und in der untersten Ebene durch die beteiligten Einflussgr en 5 Ms beschrieben Die darauf folgende Funktionsanalyse ordnet jedem Teilsystem und Systemelement bzw Teilprozess Prozessschritt und Einflussgr e mindestens eine Funktion bzw ein Merkmal als Voraussetzung zur Funktionserf llung zu Die Funktionen werden in einem Funktionsbaum nach den einzelnen Funktionsbeitr gen der Systemelemente verkn pft so dass ein Funktionsnetz mit logischen Ursache Wirkung Beziehungen entsteht Die Funktionsanalyse bildet die Grundlage f r die anschlie ende Fehleranalyse Hier werden den einzelnen Funktionen Fehlfunktionen zugeordnet Bei Verkn pfung der Fehl funktionen zum Fehlernetz wird ein zentraler Fehler als Basis ausgew hlt welcher mit seinem zugeh rigen Systemelement den Fokus der Analyse und damit die Untersuchungs tiefe bestimmt Diesem Fehler werden auf der rechten Seite seine Ursachen auf der linken Seite seine potenziellen Folgen angeh ngt 45 4 Entwicklungsmethoden Die n chsten Schritte bearbeitet man mit Hilfe des FMEA Formblatts VDA 96 164 Bild 4 4 Nach bertragung des Fehlernetzes in das Formblatt werden die Auswirkungen des Fehlers und der augenblickliche Ist Zustand hin
115. entliche Codierung der Software und Integration auf die Zielhardware erfolgt zuletzt und schlie t die Ent wicklung ab Der gesamte Ablauf wird von Tests auf Komponenten System bzw Sub systemebene begleitet welche Iterationen innerhalb der einzelnen Entwicklungsschritte und unter Umst nden zur ck in die vorherige Entwicklungsphase erforderlich machen k nnen Grunds tzlich gilt es phasen bergreifende Iterationen m glichst zu vermeiden Der Entwicklungsprozess hat zus tzlich die Aufgabe den organisatorischen Rahmen anhand folgender Kriterien festzulegen e die durchzuf hrenden Entwicklungsaktivit ten und deren Reihenfolge e die jeweils entstehenden Teilprodukte e die anzuwendenden Standards Methoden und Werkzeuge e den notwendigen Dokumentationsumfang e die Verteilung der Verantwortlichkeiten e die Abnahme und Fertigstellungskriterien Aktuelle Ans tze verlassen die klassische Linienstruktur und ordnen Spezifikations und Testphasen der einzelnen Entwicklungsst nde gegenseitig zu Etabliert hat sich das so genannte V Modell Vorgehensmodell Urspr nglich handelt es sich um einen Entwick lungsstandard f r IT Systeme des Bundes 137 Mittlerweile wird das V Modell in vielen Bereichen zur Entwicklung von E E PE Systemen verwendet und beschreibt den Weg von der Systemspezifikation bis zur Validierung ber unterschiedliche Detaillierungsebenen siehe Bild 2 4 Die aus der Anforderungsa Testdokumentation Spezi
116. er Entwicklungsleitfaden basierend auf der richtungweisenden EN 61508 mit Ber cksichtigung der anderen Standards aus Bild 2 5 kann daf r die Grundlage bilden 30 3 Funktionale Sicherheit als Teil der konstruktiven Sicherheit Die Vielzahl von verschiedenen Maschinensystemen erschwert eine Standardl sung f r die sicherheitsgerechte Entwicklung mobiler Arbeitsmaschinen Die Anforderungen an die Betriebssicherheit der Systeme differieren untereinander deutlich was durch das breite Anwendungsspektrum unterschiedlicher Arbeitsprozesse begr ndet wird Die geltenden Normen und Richtlinien bieten Hilfe f r konstruktive Basisl sungen durch konventionelle Sicherheitstechnik z B Absicherung von Quetsch und Scherstellen und sind parallel auf den Gro teil mobiler Arbeitsmaschinen anwendbar Die gro en Unterschiede und Pro bleme entstehen dagegen durch neue Entwicklungen hin zu automatisierten Systemen mit verteilter Intelligenz und unterschiedlichsten berwachungsma nahmen hinsichtlich funktionaler Sicherheit wo wenig standardisierte Vorgehensweisen verf gbar sind In diesem Kapitel werden die Ma nahmen funktionaler Sicherheit von der konventio nellen Sicherheitstechnik abgegrenzt und die Eigenheiten auch in Hinblick auf mobile Arbeitsmaschinen thematisiert Die grunds tzlichen M glichkeiten den sicheren Zustand mit unterschiedlichen Ma namen der Fehlerbeherrschung zu erreichen werden aufge zeigt wobei das Thema Risikominderung u
117. er und zus tzlich durch Ber cksichtigung des kleinsten Limits durch den Traktor rechner Zus tzlich hat der Fahrer die M glichkeit die Arbeitsgeschwindigkeit durch ein ber den Taskcontroller eingegebenes Limit pauschal zu begrenzen Im Bild 7 1 ist die Geschwindigkeitsbegrenzung durch ein Taskcontroller Limit Vmax Task auf 5 04 km h gezeigt Bild 7 1 Limitierung der maximal zul ssi gen Geschwindigkeit durch den Taskcon troller und Begren zung des Drehmo ments an der Zapf welle durch Anpas sung der Soll Gesch windigkeit ber die Kreiselegge Darge stellt ist eine Reihen fahrt mit Einsetzen und Ausheben don t care abgek rzt d c bedeutet keine Anfor Geschwindigkeit al didih km h V soll F gge a o a gt nNnNnaoo RA Geschwindigkeit derung 1000 1 min z N z 500 5 250 E c cC D o O 0 Q 340 360 380 400 420 440 S 480 Zeit 107 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse Der mittlere Messschrieb zeigt das Limit des Taskcontrollers sowie die Soll Geschwindig keit des Ger terechners der Kreiselegge Oben befindet sich die durch den Traktorrechner priorisierte Soll Geschwindigkeit v und die eingeregelte Ist Geschwindigkeit v Im unteren Teilbild ist als weiteres Beispiel die berwachung des maximal zul ssigen Drehmoments an der Zapfwelle gezeigt Eine berlastung des Antriebs der Kre
118. ergiesysteme oder optimierte Werkzeuge und Ger te erm gli chen 101 zeigt ein interessantes Beispiel Hinsichtlich der Kombination von Fahrzeugf hrung und Erledigung des Arbeitsprozesses weisen Landmaschinen mit das h chste Automatisierungspotenzial innerhalb der mobilen Arbeitsmaschinen auf Auch deswegen k nnen die besonderen Eigenschaften dieser Sys teme sicherheitstechnisch als beispielhaft f r andere mobile Arbeitsmaschinen gesehen werden 2 2 3 Komponenten Subsysteme vernetzte Systeme Bei der Entwicklung sicherheitsrelevanter mechatronischer Systeme von mobilen Arbeits maschinen k nnen die Erfahrungen aus dem Automotive Bereich hilfreich sein Die Aus wahl der Komponenten und Subsysteme sowie ihre vernetzte Anordnung sind dabei wich tige Faktoren f r eine sicherheitsgerechte Auslegung bis hin zu fehlertoleranten Systemen siehe auch Kapitel 3 2 Zuk nftige Entwicklungen bei Kfz wie z B die Erweiterung bestehender L ngsf hrungssysteme durch automatische Notfallbremsung 102 Erfas sung des Fahrzeugumfelds durch Radartechnik und optische Systeme 103 104 und damit m gliche Unterst tzung des Fahrers durch automatische Querf hrung 105 machen die Notwendigkeit funktionssicherer Systeme deutlich zeigen aber auch Anwendungs m glichkeiten f r mobile Arbeitsmaschinen Im Folgenden werden etablierte Systemkom ponenten und m gliche Architekturen auch mit Anregungen aus dem Bereich der Pkw und Nkw im Hinblick auf die
119. erhalten Mangelhaft 5 Der Fehler kann nur vom technisch versierten Fahrer entdeckt werden Pr fung notwendig z B geringe Niveauabweichung geringer Leistungsverlust leichte Ger uschentwicklung Schlecht 6 Fehler wird routinem ig im Wartungsdienst bemerkt bzw den Fahrer unterst tzende Sensorik w re notwendig Fail Silent Verhalten ohne Warnmeldung z B fehlerhafte Steckverbindung Sehr schlecht 7 Der Fehler wird in der normalen Inspektion aufgrund der vorgeschriebenen Pr f und Durch sichtsma nahmen erkannt z B Undichtheiten Gering 8 Der Fehler ist nur in der Werkstatt durch eine Pr fung zu entdecken z B Kabelverbindung nur teilweise gesteckt Sehr gering 9 Fehler ist nur durch spezielle Pr fungen oder Testabl ufe zu entdecken z B Sto d mpfertest Motortest Unwahrscheinlich 10 Der Fehler wird nicht entdeckt Der Fehler wird nur durch das Eintreten der Top Fehlerfolge ent deckt 9 2 Matrix analytisch herleitbarer Betriebs und Schnittstellenzust nde Wichtige MSR Sicherheitsfunktionen basieren auf Plausibilisierungen sicherheitsrelevan ter Parameter oder der Herleitung von Signalen f r analytische Redundanz Tabelle 9 4 zeigt eine bersicht f r analytisch herleitbare Betriebs und Schnittstellenzust nde die aus zentral verf gbaren sensorisch erfassten oder rechnerisch bestimmten Gr en gewon nen werden k nnen Die bersicht wurde f r den
120. ernahme des Koreferats und Herrn Prof H hn f r die Leitung der Pr fungskommission sowie der m ndlichen Pr fung im Dezember 2004 Herrn Prof Hei ing danke ich dar ber hinaus f r die unkompli zierte und reibungslose Aufnahme der alten LTMler in seinen Lehrstuhl und die damit verbundene M glichkeit die Forschungsprojekte weiter zu f hren Ein herzliches Dankesch n an alle meine Kollegen Ihre Anregungen Hilfestellungen und stets konstruktive Kritik trugen erheblich zum Gelingen der Arbeit bei Ganz besonders danke ich Herrn Freimann f r die gute Zusammenarbeit Seine weit bli ckenden Ideen waren Grundvoraussetzung f r dieses Projekt sein fachliches Wissen und Organisationstalent stets ein Vorbild Allen FTM Kollegen danke ich f r die nette Aufnahme in ihr Institut Sie haben uns den Wechsel aus der LTM Familie durch eine besonders freundschaftliche Atmosph re wirklich leicht gemacht Allen Mitarbeitern der mechanischen und elektrischen Werkstatt danke ich f r die umfangreiche Unterst tzung bei der Ausr stung des Versuchstr gers sowie den Mitar beitern aus Sekretariat und Technik f r die nette Zusammenarbeit Nat rlich m chte ich auch allen Studenten Dank sagen die als Hiwis Semestranden oder Diploman den einen wichtigen Teil der Arbeit f r sich einnehmen Vielen Dank den Firmen AGCO Fendt und Lemken f r die Stellung des Versuchsge spanns und der Deutschen Forschungsgemeinschaft f r die gro z gige Finanzie
121. ertretbare Risiko bleibt als Restrisiko bestehen Akzeptables Risiko ohne Restrisiko Bieiko Schutz ma nahmen Notwendige Risikominderung 77 oe Steigendes Tats chliche Risikominderung Risiko Risiko abgedeckt Teil des Risikos 1 Teil des Risikos durch konstruktive f abgedeckt durch abgedeckt durch Schutzeinrichtungen funktionale Sicher externe Ma nahmen und Warnhinweise J heitssysteme zur Risikominderung Risikominderung durch alle internen Sicherheitssysteme und Schutzeinrichtungen sowie externen Sicherheitsvorkehrungen Bild 3 4 Risikominderung f r ein mechatronisches System durch Ma nahmen konstrukti ver und hinweisender Sicherheitstechnik insbesondere funktionaler Sicherheit und externe Ma nahmen 35 3 Funktionale Sicherheit als Teil der konstruktiven Sicherheit Resultierend aus den in Kapitel 2 1 beschriebenen Charakteristika mobiler Arbeitsmaschi nen entstehen hohe Anforderungen an funktionale Sicherheitsma nahmen zur Risikomin derung der Systeme Gr nde daf r sind beispielsweise hohe Komplexit t der Automatisierungen durch Koordination von Prozessregelung und Fahrfunktion Variantenvielfalt der Leistungsschnittstellen mit unterschiedlichen Technologien Mechanik Hydraulik Elektrik Pneumatik Gesamtfunktionalit t realisiert durch verteilte Systeme Anzahl der elektronischen Steuerger te Datenkommunikation Plug and Play Funktionalit t zwi
122. erungsgruppen e Funktionsanforderungen Funktionalit t berwachungsfunktionen Diagnose m glichkeiten Ausfallstrategien etc Entwicklungsanforderungen Zust ndigkeiten im Entwicklungsprozess und w h rend des Lebenszyklus der Software Dokumentationsumfang verwendete Werk zeuge und Methoden Testm glichkeiten etc Integrationsanforderungen vorhandene Schnittstellen verwendete Hardware Kommunikationssysteme Peripherie des Steuerrechners etc Qualit ts und Sicherheitsanforderungen zu erf llende gesetzliche Vorschriften und Regelwerke Qualit ts und Sicherheitsstandards erforderliche Systemintegrit t Zuverl ssigkeit und Verf gbarkeit Dokumentation etc Applikationsanforderungen erwartete Umgebungsbedingungen St reinfl sse von au en geforderte Robustheit etc Mit Hilfe der Anforderungsanalyse werden die Anforderungen des Lastenhefts in erfor derliche T tigkeiten eines strukturierten Projektplans umgesetzt Als Ergebnis entsteht das so genannte Pflichtenheft Nach DIN 69905 169 sind darin die vom Auftragnehmer erar beiteten Realisierungsvorgaben niedergelegt Sie beschreiben damit die Umsetzung des vom Auftraggeber vorgegebenen Lastenhefts In der Praxis verschmelzen oftmals Lasten heft und Pflichtenheft zu einer zusammenfassenden Dokumentation der Anforderungen Strukturierte Analyse SA Bei der Anwendungsentwicklung innerhalb von elektronischen Informationssystemen spielen strukturierte Methode
123. estellt 7 2 Koordination von Bewegungsabl ufen Bei vielen Arbeitsprozessen greifen komplexe Bewegungsvorg nge unterschiedlicher Ger te oder Werkzeuge zeitlich und r umlich ineinander Andere Maschinen haben nur ein Werkzeug oder Ger t im Einsatz der Arbeitsbereich und die kinematischen Bewe gungsr ume der Applikation teilen sich aber den Raum mit der Tr germaschine Bei die sen Konstellationen ist die Gefahr gro dass Teile des Maschinensystems miteinander oder mit Teilen ihrer Umgebung kollidieren Die kritischen Zust nde k nnen dabei durch Fehler bei den automatisierten Bewegungsabl ufen oder manuelle Bet tigungsfehler her vorgerufen werden Die MSR Sicherheitsfunktionen haben in diesen F llen die Aufgabe manuell geschaltete und automatisierte Bewegungsabl ufe zu berwachen und Kollisio nen zu vermeiden Beispiele sind elektronische Anschl ge hydraulischer Bewegungsfunk tionen von Baumaschinen die die Bahnkurven der Werkzeuge berwachen oder die im 118 7 2 Koordination von Bewegungsabl ufen Folgenden angesprochenen Sicherheitsabfragen die beim verwendeten Versuchstr ger realisiert wurden Koordination von Heckkraftheber und Zapfwellenschaltung Eine einfache M g lichkeit um eine zu gro e Kr pfung der Gelenkwelle zu vermeiden ist in modernen Trak toren teilweise schon Standard Dabei wird die Zapfwelle beim Senken des Heckkrafthe bers erst ab einer vom Fahrer festgelegten Hubposition auto
124. et Die drei Hubwinkel werden im elektronischen Steuerrechner der Drille ausgewer tet und zueinander plausibilisiert Im erkannten Fehlerfall wird f r die Bestimmung des Hubwinkels auf einen anderen intakten Kanal logisch umgeschaltet rekonfiguriert Bild 7 4 Fehlertolerante Posi 80 tionserfassung der Drillenauf 3 Drift sattelung Das fehlerhafte Sig nal wird durch Vergleich dreier 9 Residuen ermittelt und der 2 a0 p 7 ma gebliche Referenzsensor S 20 En rekonfiguriert Dargestellt ist 3 die Rekonfiguration vom aj auf amp 0 2 a wegen Offset bzw Driftfeh 0 15 3 s 60 15 3 s 6 ler des defekten Sensors 1 beim Zeit Zeit Ausheben a Q Ol analytisch ma Olreferenz Im dargestellten Versuch ist die Zeitspanne vom Auftreten des provozierten Fehlers bis zum Wirksamwerden der Sicherheitsfunktion 0 5 s Diese Zeit muss im Ernstfall unterhalb der Fehlertoleranzzeit Fehlerauftreten bis zum kritischen Zustand der betreffenden Anwendung liegen Die Fehlertoleranzzeit f r einen Sensorfehler der Drillenaufsattelung liegt im Bereich von wenigen Sekunden in denen ein Versagen des Aushubs u U zu 111 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse sicherheitskritischen Zust nden f hren k nnte z B ausgel st durch zu geringe Lenk kr fte an der Vorderachse Im Anwendungsbeispiel der automatisierten Traktor Ger te Kombination wurden unterschiedlichste M glichkeiten ang
125. et die MicroAutoBox die Beschleunigungs stufen und regelt ber Fahrhebelkommandos die Soll Geschwindigkeit ein Bild 6 19 Die Intervalle der Soll Ist Abweichungen f r die jeweilige Beschaltung der Stufen I bis IV waren f r Schnelligkeit und Stabilit t der Regelung ausschlaggebend und wurden in der MIL Simulation optimiert Die so entwickelten Reglermodelle konnten in der graphischen Programmierung Abbildung mit Matlab Simulink und der Zustandmaschine Stateflow des Traktorrechners eins zu eins bernommen werden Im folgenden HIL Test des Traktorrechners wurde die MicroAutoBox ber die HIL Umgebung DS1103 der Fa dSPACE in die Echtzeitsimulation des Traktors eingebunden Die f r die Geschwindigkeitsregelung relevanten Ein und Ausg nge wurden nach au en gef hrt und mit den realen Messwerten des Versuchsfahrzeugs abgeglichen Mit der HIL Untersuchung war es m glich den gesamten Steuerrechner mit Programmierung und Peripherie auf seine Spezifikation hin zu testen Nach der Integration der MicroAutoBox in den Traktor wurde die Regelung mittels Rapid Control Prototyping ans reale Fahrzeug angepasst um noch bestehende Fehler der Programmierung zu beseitigen Der Vorteil der verwendeten MicroAutoBox als RCP Hardware zeigte sich bei der Parametrisierung der entwickelten Algorithmen Durch den Online Zugriff auf s mtliche Parameter der Regelung in Echtzeit und der M glichkeit zur 1 Der Favorit 716 bietet vier w hlbare Beschleunigungs
126. ewende oder Feldrand wird mit A2 als relativ h ufig eingestuft Diese Situation ist unter Umst nden bei jedem Wendevor gang auf den hierzulande kleinen Fl chen gegeben Die M glichkeit zur Gefahrenabwendung Bewertung G1 ist f r mobile Arbeitsma schinen da gegeben wo der Fahrer den Prozess berwacht und innerhalb der Fehlertole ranzzeit die sicherheitskritischen Folgen eines eintretenden Fehlers verhindern kann Im Anwendungsbeispiel ist der Fahrer oberstes Kontrollorgan und kann den Hazard unter normalen Bedingungen abwenden Die Eintrittswahrscheinlichkeit des unerw nschten Ereignisses also in diesem Fall der ungewollte Geschwindigkeitssprung der Traktor Ger te Kombination ist mit W3 als relativ hoch bewertet Dadurch wird der noch nicht so hohe Reifegrad des innovativen 89 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik Systems unter Verwendung moderner Technologien und komplexer Zusammenh nge ber cksichtigt Durch Langzeiterfahrungen und angemessene Entwicklungsprozesse k nnte hier die urspr nglich getroffene Bewertung verbessert werden Als Ergebnis der durchgef hrten Risikoanalyse erh lt man eine geforderte Systeminte grit t von SIL2 ein typisches Beispiel f r ein System mit Fail Silent Verhalten Der sicherheitskritische Fehler muss demnach auch unter Einbeziehung der berwachungst tigkeit des Fahrers erkannt und das System unter Ausl sung des Fail Safe in den sicheren Z
127. f r die Aufsattelposition der Drillmaschine mit Bestimmung der Residuen durch analytische Redundanz Auf Basis der Entscheidungsmatrix in Tabelle 6 4 bestimmt der Rechner der Drillma schine die erforderlichen sicherheitstechnischen Ma nahmen Beim Abweichen von jeweils zwei Residuen von Null kann der Fehler eindeutig einem bestimmten Sensor bzw auch der Kinematik der Aufsattelung zugeschrieben werden Die daraus resultierenden Ma nahmen sind die Rekonfiguration des Referenzwertes auf den verbleibenden noch funktionierenden Winkelsensor und die Meldung des sicherheitskritischen Fehlers an den Fahrer Ein Einfachfehler wird somit fehlertolerant abgefangen Bei systematischen Feh lern liegen meistens keine eindeutig interpretierbaren Diagnoseergebnisse vor und sie sind nicht stochastisch vorhersehbar Auch in diesem Fall wird auf den nicht betroffenen Wert 93 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik umgeschaltet bzw beim Abweichen aller drei Residuen die aktuelle Quelle standardm Big Winkelsensor 1 beibehalten In jedem Fall wird eine Warnmeldung ausgegeben Tabelle 6 4 Entscheidungsmatrix der drei Residuen f r die Fehlerdiagnose Der Refe renzwert Oreferenz Wird als g ltiger Winkel interpretiert und weitergegeben Residuum r Residuumr Residuum r3 Diagnose Referenzwert Q 05 amp 1 03 analytisch 2 3_analytisch OReferenz 0 0 0 Kein Fe
128. fikation SW Debuggen EEPROM Simulation SW Performance Test x Komponententests x X X X X X X X X x Software in the Loop X XK X X X X X X X X X X Xx x x Hardware in the Loop x Statische Software Analyse x Dynamische Softwaretests ECU Labortest x X X X X X X X X X X X X x EMV Umwelt Vibrationstests Simulation auf dem Pr fstand X x Xx Xx XxX XxX Xx Worst Case Szenarios Test der Funktionalit t x Test des Fehlerverhaltens X x XxX XxX Xj XxX x XxX XxX Xx Systemtest X XxX XxX XxX X Test im breiten Anwendungsfeld X XK X X X X X X X X X X X X X X X XxX X X XxX XxX x XxX XI X X XxX X X XxX Xx x XxX Xx XxX XxX XxX XxX x trifft zu x trifft bedingt zu 39 4 Entwicklungsmethoden Darstellung mit den Umsatzarten Energie Stoff und Information erleichtert dabei die Definition der Schnittstellen Das Bild zeigt ein allgemeines Anschauungsbeispiel 4 2 1 2 Bestimmung des Gef hrdungspotenzials durch Risikoanalyse Grundlage f r die Bestimmung des Risikopotenzials eines Maschinensystems ist die Untersuchung der einzelnen als sicherheitsrelevant eingestuften Teilsysteme mit der Methode Risikoanalyse wie sie in den Vornormen DIN V 19250 149 und 19251 150 beschrieben is
129. fikation Gesamtsystem Validierung Systemtest nalyse erarbeiteten Funktionen Spezifikation werden auf unterschiedliche i j Funktionseinheiten logisch Spezifikation Subsysteme Integrations pr fung partitioniert und sp ter auf die n tigen Subsysteme verteilt Die eigentliche Umsetzung der Funktionsstrukturen in Form Modulpr fung Software Implementierung Codierung Test Moduldesign von Serien Code geschieht im unteren Teil des V Modells der Softwareentwicklung Den einzelnen Entwicklungsschrit ten sind unterschiedliche an Bild 2 4 Das V Modell f r Entwicklungsprozesse von den entsprechenden Anwen mechatronischen Systemen 25 2 Stand der Forschung und Technik dungsfall angepasste Entwicklungs und Testmethoden zugeordnet Die Testdurchl ufe der rechten Seite des V Modells berpr fen die entsprechenden Spezifikationsanforderun gen auf der linken Seite 2 3 2 Verteilte Entwicklung verteilter Systeme Die steigende Komplexit t der Systeme insbesondere die immer gr er werdende Anzahl der elektronischen Steuerger te und verteilten Funktionalit ten hat eine zunehmend not wendige Spezialisierung der OEM Original Equipment Manufacturer zur Folge Immer mehr wird die Entwicklungsverantwortung einzelner Teilsysteme dem Zulieferer bertra gen Outsourcing Einzelne Teile der Entwicklungsprozesse sind deshalb aber f r den OEM teilweise nicht mehr e
130. g die Fahrstabilit t oder die Erledigung des Arbeitsprozesses nega tiv beeinflusst werden teilweise aktive Ausgleichsysteme eingesetzt welche die seitliche Hangneigung bzw die Steigung oder das Gef lle in L ngsrichtung automatisch ausglei chen Die Neigung der Maschine wird durch eine fahrwerksfeste elektronische Wasser waage erfasst und ber aktives Kippen relevanter Maschinenteile des Maschinenoberwa gens oder der gesamten Maschine ohne Fahrwerk zum Hang hin ausgeregelt In der Landtechnik wird dieses Prinzip bei M hdreschern zur Sicherstellung der Arbeitsqualit t bei der K rner Stroh Trennung angewandt Verschiedene Hersteller bieten Hangausgleichsysteme an bei denen die gesamte Maschine durch Verschr nkung der Endantriebe des Fahrwerks nach oben oder unten eine Schr gstellung relativ zum Fahr werk erf hrt Abh ngig von der Hangneigung wird der M hdrescher und damit die Dreschtechnik und Reinigungsanlage geneigt und gleiche Effektivit t wie in der Ebene sichergestellt Seitenneigungen bis zu 20 und Gef lle bis zu 6 werden so ausgegli chen Das gesamte Schneidwerk folgt sekund r abstandsgeregelt der Bodenkontur 89 90 Ein Beispiel aus der Kommunaltechnik ist der selbstfahrende B schungsm her der Firma Etesia 91 Durch hintereinander angeordnete Triebr der und zum Hang verschieb bare seitliche St tzr der beherrscht er Hanglagen bis zu 34 Besonders in der Forsttech nik werden h chste sicherheitstechnische Anforde
131. g geschlossen gt S gt gt gt gt gt gt gt gt 3 gt 3 3 5 5 theoretische Fahrgeschwindigkeit 2 gt gt gt gt gt gt gt 5 5 5 5 5 5 wahre Geschwindigkeit Radar D 5 S 3 o 5 gt 5 gt wahre Geschwindigkeit Peiseler Rad 3 gt gt Radschlupf Q 5 53 5 Antriebsleistung z gt Leistungssumme 5 gt 5 zugeordnete maximale Leistung gt Ss o zugeordnetes maximales Motormoment o o ols o o o o gt Zugkraft Unterlenker HKH gt 5 5 5 5 5 gt Fahrersitzbelegung o gt Hydraulikleistung gt 8 Pumpenf rdervolumen oc hydraulischer lstrom gt gt ou E hydraulischer Druck Ventil Pumpe gt o Olstrom R cklauf 5 Hydraulikanschl sse gekuppelt S ee Q S S 5 3 hyd Zusatzventile bet tigt Transportst i e gt T Status Zusatzventile Schieberstellung Sa Heckkraftheber Status o 5 3 EHR Position Transportverriegelung 5 5 Volumen aus Integration Q o gt se o o Zapfwellendrehzahl gt gt oo Zapfwellendrehmoment N z DD o 5 gt 53 Zapfwellenleistung S o E Zapfwellen bersetzung 02 o gt gt Zapfwelle Status o 0o 0 0 5 5 5 5 35 gt gt Zapfwellenbet tigung au en 131 10 Literatur B cher sind mit gekennzeichnet 1 2 3 4 5 6 7 8 132 Auernhammer H Pr ziser Ackerbau In Jahrbuch Agrartechnik 16 2004 S 31 38 229 230 M
132. hler a 0 0 0 Systematischer Fehler Q3 analytisch 0 0 0 Systematischer Fehler Qy 0 0 0 Systematischer Fehler a 0 0 0 lt Sensor 1 4 a 0 0 0 lt Sensor 2 4 a 0 0 0 Q Sensor 4 Kinematik 4 a 0 0 0 4 Systematischer Fehler a Die Entscheidungslogik und das Vorgehen bei der Rekonfiguration innerhalb der zul ssi gen Fehlertoleranzzeit wurden in der Model in the Loop Simulation an der simulierten hydraulisch bet tigten Aufsattelkinematik entwickelt und erprobt Bild 6 14 zeigt den Messschrieb einer Simulation W hrend des Aushebens wird nach etwa 3 5 s dem Winkel sensor 1 ein Offset Fehler aufgeschaltet Da das Toleranzband der Residuen 1 und 2 ber 5 100 Aufsattelung Pos r Q l min r 94 Zeit Bild 6 14 Aufsattelvorgang im MIL Test der fehlertoleranten Sensorerfassung Nach Erkennen eines Offset Fehlers am Winkelsensor I Residuum 1 und 2 ungleich Null erfolgt die Rekonfiguration auf den redundanten Sensor 2 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen schritten wird erkennt die Logik den sicherheitskritischen Fehler und wirkt diesem durch Rekonfiguration auf den nicht betroffenen Sensor 2 innerhalb der Fehlertoleranzzeit ent gegen Die Toleranzb nder f r die Residuen von jeweils 5 sind n tig um geringe Abweichungen der Sensoren zueinander bzw Ungenauigkeiten des Prozessmodells zu ber cksichtigen Di
133. hr relevant Das bei der Typgeneh migung anzuwendende Verfahren um die Sicherheit von elektronischen Steuersystemen zu gew hrleisten wird hier beschrieben Um zuk nftigen Anforderungen an Lenksys teme z B hinsichtlich Steer by Wire gerecht zu werden wird die EG Richtlinie 70 311 EWG 145 respektive 75 321 EWG 146 zurzeit erheblich berarbeitet Weiterhin befasst man sich auf Basis des Elektronikanhangs mit dem Neuentwurf einer ECE 28 2 4 Stand der Normung Regelung die von Lenkung und Bremse abweichende komplexe elektronische Eingriffe bei Fahrzeugsystemen behandeln soll Weitere wichtige EG Richtlinien zur Homologation unterschiedlicher Gruppen von mobilen Arbeitsmaschinen siehe Tabelle 2 1 Gesetze Verordnungen national umgesetzte EG Richtlinien Auswahl ao 98 37 EG EG Maschinenrichtlinie 2001 95 EG Produktsicherheit N oo pa 711320 EWG Bremsanlagen 751332 EWG al Lenkanagen 5 S ECE R 79 mit Anhang 6 ECE R 13 mit Anhang 18 EMV bei lof Zugmaschinen bzw 75 321 EWG f r lof Harmonisierte Nationale Internationale Normen Typ A DIN EN ISO 12100 Sicherheit von Maschinen Grundbegriffe allgemeine Gestaltungsleits tze ehemals EN 292 ISO 14121 Sicherheit von Maschinen Leits tze zur Risikobeurteilung ehemals EN 1050 DIN EN 60204 1 Elektrische Ausr stung von Maschinen allgemeine Anforderungen DIN EN 61508 Funktionale Sicherheit siche
134. ichen 6 1 Systembeschreibung und Aufbau der Automatiken 6 1 1 Versuchstr ger und Elektronikkonzept F r die Untersuchung der funktionalen Sicherheit mobiler Arbeitsmaschinen wurde die in Bild 6 1 dargestellte Traktor Ger te Kombination aus Traktor mit Ringpacker im Frontan bau und Kreiselegge mit pneumatischer Drillmaschine im Heckanbau ausgew hlt Die Maschinen wurden gro z giger Weise von den Firmen ACGO Fendt und Lemken f r den 76 6 1 Systembeschreibung und Aufbau der Automatiken a N S Bild 6 1 Automatisierte Traktor Ger te Kombination als Versuchstr ger bei der Arbeit gesamten Zeitraum des Forschungsprojekts zur Verf gung gestellt F r erweiterte Funkti onen und zus tzliche Systemzust nde wurde eine Drillmaschine mit eigenem Fahrwerk ausgew hlt die zur Verk rzung des Hebelarms beim Ausheben hydraulisch auf die Krei selegge aufgesattelt wird Tabelle 6 1 zeigt die wichtigsten technischen Daten des Ver suchsgespanns Tabelle 6 1 Technische Daten des Versuchsge F r die Realisierung automatisierter spanns Zugriffe auf die Traktorfunktionen Traktor hinsichtlich Antriebsstrang und Ger Typ Fendt Favorit 716 teschnittstellen musste die Standard Motor 6 Zyl Turbo Hubraum 5703 cm elektronik des Traktors modifiziert Leistung ECE 118 kW 160 PS werden Da die wichtigsten Funktio Getriebe stufenlos hydrostatisch mecha nen des Favorit 716 ber eine zentrale nisch
135. ichkeiten und Datenverwaltung f r hydraulische 1 Parallelkinematik mit sechs Freiheitsgraden nach Stewart 85 16 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen Funktionen Einmal am Traktor zentral gespeicherte Konfigurationsdaten der Zusatzhy draulik erlauben Zugriff und automatisches Einstellen der ger tespezifischen Prozesspara meter zum sp teren Zeitpunkt Beispielsweise sind die hydraulischen Verstellfunktionen von Anbaupfl gen f r den Fahrer bequem aus der Kabine per Terminal konfigurier und verwaltbar oder werden vom Ger t selbst automatisch abgerufen und dem Fahrer vorge schlagen 87 88 F r die Automatisierung mehrerer hydraulischer Funktionen durch einen Ger terechner geht man einen Schritt weiter In einem Konzept der Firma Reichhardt Steuerungstechnik k nnen s mtliche Bet tigungen eines 9 scharigen Aufsattelpflugs Fa Vogel amp Noot auf jeweils einen Tastendruck f r das Ausheben und Einsetzen reduziert werden Das Aushe ben Wenden und erneute Einsetzen gro er Aufsattelpfl ge erfordert zahlreiche koordi nierte Bet tigungen der Traktorhydraulik und eine hohe Beanspruchung f r den Fahrer Zus tzlich zum Wenden unterst tzt die Automatik bei der Reihenfahrt Ein Ultraschall sensor erfasst die letzte Furche und erm glicht so die Regelung der Querauslenkung zum Traktor siehe 68 Arbeiten mobile Maschinen h ufig in h geligem oder sogar steilem Gel nde und wird durch die Schr gstellun
136. icklungsprozesses Die Bestimmung des Risikopotenzials und die Lokali sierung potenzieller Fehlerquellen bilden damit die Grundlage der nachfolgenden Ent wicklungsschritte Erster Schritt der Untersuchungen ist die Ermittlung sicherheitsrele vanter Systemzust nde aus einem Brainstorming heraus Die Funktionen des gesamten Maschinensystems stehen dabei im Vordergrund Die als kritisch eingestuften Zust nde werden den betreffenden Teilsystemen zugeordnet und mit Hilfe der Risikoanalyse siehe Kapitel 4 2 1 2 untersucht Die komplette Abdeckung aller sicherheitskritischen Teilsys teme l sst ein Profil an geforderten Zuverl ssigkeiten entstehen das sich in den unter schiedlichen Safety Integrity Levels SIL quantitativ niederschl gt Die erforderlichen Integrit ten der Teilsysteme legen damit die Vorgehensweise im weiteren Entwicklungs prozess fest Aufbauend auf die Risikoanalyse ermittelt die System FMEA die potenziel len Fehlerursachen f r die herausgefundenen Szenarios allgemeine Beschreibung der System FMEA in Kapitel 4 2 1 3 Die Quantifizierung der FMEA Fehlerf lle mittels Risikopriorit tszahl RPZ gibt eine direkte Empfehlung f r notwendige zus tzliche Abhilfema nahmen Umgekehrt ist es im fortschreitenden Entwicklungsprozess sinnvoll weitere Risikoanalysen dort anzusetzen wo die FMEA noch unber cksichtigtes Risikopo tenzial aufgedeckt hat Im Folgenden sollen die f r den Versuchstr ger durchgef hrte Risikoanalyse und di
137. iese soweit m glich angewandt F r weitergehende Informationen zu organisationsgebundenen Methoden sei auf 162 verwiesen In diesem Kapitel werden geeignete Methoden f r die Entwicklung von elektronischen Systemen bei mobilen Arbeitsmaschinen vorgestellt die im Rahmen der Forschungsarbei ten erprobt teilweise weiterentwickelt und an den Anwendungsfall angepasst wurden Die Entwicklungsmethoden teilen sich dabei in sachgebundene Methoden mit konventionel ler und modellbasierter Vorgehensweise auf Im Gegensatz zu konventionellen Metho den liegt die gemeinsame Strategie modellbasierter Methoden darin Maschinensysteme und Reglerstrukturen in Simulationen am Rechner zu modellieren und in den einzelnen Schritten innerhalb der Softwareentwicklung miteinander effektiv zu verkn pfen Die auf gestellten Reglermodelle werden anhand der simulierten Strecke wie auch im realen Anwendungsfall spezifiziert entwickelt getestet und f r den endg ltig implementierten Regler im Seriensteuerger t weiterverwendet 37 4 Entwicklungsmethoden 4 1 berblick ber m gliche Methoden F r die sicherheitsgerechte Entwicklung programmierbar elektronischer Systeme steht eine Vielzahl an unterschiedlichen Methoden und Ma nahmen zur Verf gung Tabelle 4 1 soll berblick und Entscheidungshilfe f r die Auswahl geeigneter Methoden bieten und bei der Zuordnung zu einzelnen Entwicklungsschritten helfen Sie dient u a als Leitfaden f r die folgenden Unterk
138. ik hinausge hende sicherheitstechnische Ma nahmen verzichtet werden kann nicht belegte Felder bzw Basisanforderungen f r Cat B In allen brigen F llen bestimmt der entsprechende SIL den Umfang der MSR Sicherheitsfunktion Zum Beispiel f hrt die Risikoanalyse der berwachungseinheit eines ABS Systems ber den Pfad S2 A2 G2 und W2 zu einem Safety Integrity Level SIL2 was als Konsequenz eine Fail Silent Charakteristik des Sys tems erforderlich macht Weitere Beispiele f r Einstufungen von E E PE Systemen nach dem Risikographen ist SIL3 f r fehlertolerant ausgef hrte Steer by Wire Systeme oder SIL 1 f r elektronische Komfortsysteme f r Fensterheber oder Scheibenwischer Die Risikoanalyse verfolgt als Schwerpunkt die Beurteilung einer Gefahrensituation die durch Nichtvorhandensein oder fehlerhaftes Verhalten einer MSR Sicherheitsfunktion entsteht Die Anforderungen daraus k nnen als notwendige Absicherung z B eine Feh lerm glichkeits und einflussanalyse FMEA 164 auf System und oder Komponenten ebene im fr hen Stadium der Systementwicklung erfordern 4 2 1 3 System FMEA nach VDA 4 2 Die Fehlerm glichkeits und einflussanalyse FMEA ist eine Methode daf r potenzielle Fehlerf lle aufzudecken Ursachen und Folgen der Fehler abzuleiten und den Fehler nach seinem Risiko zu klassifizieren Die Methode stammt urspr nglich aus den USA wo sie von der NASA zur systematischen Absicherung der APOLLO Projekte eingesetzt wurde
139. ilierten eingebundenen Code dll oder exe oder direkt eingebundene Quellcode Dateien c oder s im 53 4 Entwicklungsmethoden Software in the Loop Test Beide Methoden MIL und SIL testen den Code auf einem von der Zielhardware abweichenden Simulationsprozessor meist ein PC basiertes System mit spezieller Simulationssoftware z B Matlab Simulink 178 Schon der partielle Einsatz modellbasierter Methoden w hrend der Softwareentwick lung bringt Vorteile wie Erh hung der Anschaulichkeit und Transparenz der Systeme die integrierten funktionellen Testm glichkeiten und damit k rzere Entwicklungszyklen in Technologiephase Vorentwicklung und fr her Serienentwicklung mit sich Der feststell bare Trend modellbasierte Methoden w hrend des gesamten Entwicklungsprozesses ein zusetzen um damit eine durchg ngige Vorgehensweise zu erreichen erzielt weitere direkt damit verbundene Vorteile e Kontinuierliche Bearbeitung der Logik in einem Modell ohne Parallelans tze z B bedingt durch Modellierung und anschlie ende manuelle Programmierung und damit Vermeidung von Inkonsistenzen Br chen und doppelt geleisteter Arbeit e Die Umsetzung der Funktionen Modellierung ist unabh ngig von der Testmethode zu jedem Zeitpunkt der Entwicklung e Erleichterung von Dokumentation und Konfigurationsmanagement durch Verwen dung von Modellbibliotheken w hrend des gesamten Entwicklungsvorgangs vom Lastenheft bis zum fertigen wieder verw
140. in C Code und gra phischer Programmierung mit Matlab Simulink Stateflow F r die Steuerrechner der land wirtschaftlichen Ger te wurden frei programmierbare Steuereinheiten ausgew hlt deren Programmierung mit der Hochsprache C manuell bewerkstelligt wird Die Ein und Aus g nge sowie weitere spezielle Funktionen werden ber ein steuerger teeigenes Betriebs system BIOS angesprochen Da die gr ten Anforderungen im Versuchsgespann bez glich Funktionalit t und Rechenleistung auf den Traktorrechner fallen war hier die Verwendung einer besonderen leistungsf higen Entwicklungshardware hilfreich Mit dem ausgew hlten RCP Werkzeug MicroAutoBox war es m glich die im MIL Test entwickelten Reglerstrukturen in der graphischen Programmierung mit Matlab Simulink Stateflow direkt weiter zu verwenden Zus tzlich brachte die Online Zugriffsm glichkeit auf s mtliche Variablen der MicroAu toBox Logik in Echtzeit erhebliche Vorteile f r Entwicklung und Diagnose mit sich 6 1 2 Messdatenerfassung Als Benutzerschnittstelle Graphical User Interface GUI Diagnosewerkzeug und f r den Zugriff auf in Echtzeit erfassbare oder abgespeicherte Messdaten steht ein Mess Laptop zur Verf gung Es erm glicht die Online Bedienung der MicroAutoBox ber die zugeh rige Software ControlDesk und ist ber die CAN Diagnose Software CANalyzer in die beiden CAN Netzwerke integriert In Bild 6 3 ist der genaue Aufbau der Datenfl sse f r die Messdatenerf
141. insehbar oder nachvollziehbar Um Schnittstellenprobleme zu vermeiden ist eine asynchrone Entwicklung von Teilsystemen nicht mehr m glich Die Synchronisation der verteilten Entwicklung des Systemverbunds erfordert jedoch die Kenntnisse der Entwicklungsprozesse bei den verschiedenen Lieferanten und die M g lichkeit f r den OEM auf Ereignisse der einzelnen Entwicklungsphasen zur ckgreifen zu k nnen siehe auch 138 Wichtiger Aspekt transparenter Entwicklungsvorg nge beim Lieferanten ist die Quanti fizierbarkeit der Entwicklungsprozesse Da die Softwareentwicklung diesbez glich die gr te Herausforderung darstellt sozusagen am schlechtesten messbar ist setzen die Her steller Assessmentverfahren zur Bestimmung des Reifegrads und Identifikation des Ver besserungspotentials von Softwareprozessen ein z B Software Audit nach ISO IEC 15504 139 auch bekannt als SPICE Software Process Improvement and Capability Determination Vorgefertigte mehrstufige Beurteilungsschemata dienen sowohl zu einer unternehmens bergreifend vergleichbaren Bestandsaufnahme des Ist Zustands als auch zur Etablierung eines Verbesserungsprogramms Das weiterentwickelte Prozessmodell CMMI 140 Capability Maturity Model Integration hat den gleichen Ansatz ist aber nicht rein an Softwareentwicklung gebunden und l sst mehr anwendungsspezifische Frei heiten Tabelle 2 6 zeigt die f nf aufeinander aufbauenden Reifegradstufen f r Prozesse Die Bewertung wird mit
142. iselegge und vor allem der in den Boden eingreifenden Messerzinken kann dadurch vermieden werden Aus dem Vergleich des gemessenen Moments Mzy mit der eingestellten F h rungsgr e M7y max gibt die Kreiselegge ihre Soll Geschwindigkeit v 7 Egge als Stell gr e an den Traktorrechner Der relativ geringe Drehmomentgrenzwert von 500 Nm wurde gew hlt um den Einfluss auf die g ltige Soll Geschwindigkeit v 77 Egge deutlich zu machen da eine h here Schwelle bei den gegebenen Bodenbedingungen normal nicht erreicht wurde Viele kinematische Funktionen bei mobilen Arbeitsmaschinen werden hydraulisch bewerkstelligt Die Bilanzierung des hydraulischen lstroms durch Integration von Hin und R ckfluss an der Schnittstelle eines Verbrauchers und Ermittlung des abgegebenen lvolumens kann Leckagen oder andere sicherheitskritische Funktionsfehler ersichtlich machen Bild 7 2 zeigt die berpr fung des in den Zylinder gegebenen Stoffstroms f r die Hubwerkskinematik der Kreiselegge Nach erfolgtem Absenken und Wiederausheben der Aufsattelung d h Aus und Einfahren des Zylinders muss das aufintegrierte lvolu men in einem zul ssigen Toleranzfeld um Null zu liegen kommen Ist die Abweichung zu hoch wird die Sicherheitsfunktion ausgel st in diesem Fall der Stopp der Automatik mit Warnmeldung an den Fahrer Bild 7 2 Bilanzie 100 rung des hydrauli schen lstroms am Ventil 1 Aufsatte 60 lung Dargestellt ist 40 der gemessene Volu menst
143. ithmus als Ursache identifiziert werden kann sondern die Pro grammierung und das Zusammenspiel mehrerer Steuerrechner wird als Abhilfema nahme die weitere Untersuchung mittels detaillierter Teil FMEA vorgeschlagen siehe nderungsstand im Formblatt Genauso wie die Geschwindigkeitsregelung ber Motor und Getriebe wurden auch die anderen Funktionalit ten des Traktorrechners und der drei Ger terechner mit der Methode System FMEA untersucht Die lokalisierten sicherheitstechnischen Schwachstellen der Automatisierungen konnten auf diese Weise nachgebessert oder mit zus tzlichen MSR Sicherheitsfunktionen abgesichert werden 91 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen 6 3 1 Entwicklung einer fehlertoleranten Sensorerfassung Bei der zunehmenden Verbreitung von automatisierten Vorg ngen bei mobilen Arbeitsma schinen werden sich auch Systeme mit hohen sicherheitstechnischen Anforderungen etab lieren wo die reine Fehlererkennung und das darauf folgende sichere Abschalten des Sys tems Fail Silent als fehlerbeherrschende Ma nahmen nicht mehr gen gen Die gefor derte Integrit t wird in diesen F llen mit SIL3 eingestuft und bedingt Fail Operational arbeitende Systeme die nach dem Entdecken eines Fehlers ihre Funktion voll aufrechter halten k nnen auch wenn Teile des Systems fehlerhaft bzw gar nicht mehr arbeiten Bei spiele hierf r w r
144. ittstellen 4 2 1 1 DE DE DE analyse 3 Risikoanalyse Ermittlung des notwendigen SIL 4 2 1 2 DE DE DE 4 System FMEA 4 2 1 3 E DE DE 5 Komponenten FMEA 4 2 1 3 E DE 6 Fehlerbaumanalyse FTA 168 E E DE 5 3 2 Analyse und Spezifikation der Softwareanforderungen und architektur Liegt die technische Systemarchitektur fest wird das Lastenheft des jeweiligen elektronischen Steuerger ts softwaretechnisch analysiert und umgesetzt Aus den funktionellen Anforderungen f r das Steu poz 3 erger t wird die Spezifikation der Softwaresubsysteme und module abgeleitet Wie auch bei der Systemspezifikation sind die Methoden zur Erstellung der Softwarelastenhefte nach Tabelle 5 4 f r alle Integrit ts Levels drin gend empfohlen Der Anwendungsbereich der in dieser Arbeit favorisierten System 69 5 Sicherstellung der erforderlichen Systemintegrit t Entwicklungskonzept FMEA verschiebt sich in diesem Entwicklungsschritt in Richtung sicherheitstechnische Untersuchung von Softwaremodulen und ihrer Komponenten Tabelle 5 4 Entwicklungsschritt Analyse und Spezifikation der Softwareanforderungen und architektur Auswahl von empfohlenen E und dringend empfohlenen DE Entwick lungsmethoden und ma nahmen in Abh ngigkeit des geforderten SIL Methode Ma nahme SW Analyse und SW Spezifikation Referenz SIL1 SIL2 S
145. l 2 Gebl se Oy Olstrom Ventil 3 Spuranrei er O7 Status Ventil 2 Gebl se Status Ventil 3 Spuranrei er Elektrische Leistung Beleuchtung Hubposition Heckkraftheber Anforderung durch den Ringpacker bersetzungsstufe Heckzapfwelle Soll Geschwindigkeit v 17 Packer Status Heckzapfwelle Maximalgeschwindigkeit Pe Packer Anforderung durch die Drillmaschine Hubposition Frontkraftheber j Soll Geschwindigkeit v o77 Drille Anforderung durch den Taskcontroller Maximalgeschwindigkeit v ux Drille Maximalgeschwindigkeit vmax Task Der zus tzliche Informationsaustausch zwischen den Ger terechnern dem Traktorrechner und dem Taskcontroller wird ebenfalls ber den Ger te BUS abgewickelt Neben den Automatikkommandos werden so die gewonnenen Daten der Sicherheitssensorik und andere standardm ig erfasste Systemparameter kommuniziert 1 Der Begriff Ressource beschreibt die Verf gbarkeit von Funktionalit t des Gesamtsystems Energie quelle f r die Teilsysteme hinsichtlich der Grundfunktionen z B Fahren und Schnittstellenbeschal tung bzw konfiguration mechanisch elektrisch hydraulisch pneumatisch vergleiche 7 83 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik Zustand Ist Status WORK e Kommando v_soll don t care e Kommando Position _HKH 100 e Kommando bersetzungsstufe_HZW 1000 1 min e Kommando Status_HZW aus e Kommando Status_V3_Spuranrei er bl
146. l zu erwartenden Unf lle beim Verlassen des zugewiesenen Aufenthaltsdauer A1 selten bis fter A2 h ufig bis dauernd Gefahrenabwendung G1 bedingt m glich G2 kaum m glich Arbeitsbereichs des Gespanns sind Kollisionen mit unbeteiligten Perso nen ans Feld angrenzenden Hinder nissen oder im schwerwiegenderen Eintrittswahrscheinlichkeit W1 sehr gering W2 gering W3 relativ hoch Fall fahrenden Autos auf der potenzi ell angrenzenden Bundesstra e Um die Bewertungskriterien Eintritts Bild 6 10 Risikograph f r die automatische Geschwindigkeitsregelung des Gespanns zur Ermittlung des entsprechenden SIL in D wahrscheinlichkeit und Schadenaus ma nicht zu vermischen sollten keine extremen unwahrscheinlichen Szenarios herangezogen werden Recherchiert man die Pr ventionsberichte der land und forstwirtschaftlichen Berufsgenossenschaften in Deutschland 193 so machen 99 9 aller registrierten Unf lle mit Todesfolge eine betroffene Person aus Diese Statistik recht fertigt eine Einstufung in das Schadenausma S2 schwere Verletzung mehrerer Personen bzw Tod einer Person Weitere Risikoanalysen zeigten dass S2 als standardm ige Bewertung des Schadenausma es f r die meisten Anwendungsf lle mobile Arbeitsma schine beim Arbeitseinsatz herangezogen werden kann Die Aufenthaltsdauer des Versuchsgespanns im Gefahrenbereich bei zu untersuchen dem Szenario also Bereiche nahe der Feldgrenze Vorg
147. leistungsverzweigt Mensch Maschine Schnittstelle Mul Leergewicht 6050 kg tifunktionsarmlehne elektronisch padstang 220mm angesprochen werden konnte hier die Bereifung vorne 540 65 R 28 i i Bereifung hinten 650 65 R 38 geeignete Schnittstelle f r eine Landwirtschaftli che Ger te Arbeitsbreite 3 m Ringpacker Lemken Variopack 110 WDP 70 Gewicht 758 kg Kreiselegge Lemken Zirkon 7 300 Gewicht 1192 kg Antrieb ber Zapfwelle Drillmaschine Lemken Solit r 9 pneumatische Saatverteilung auf Kreiselegge aufsattelbar Leergewicht 930 kg zus tzliche Elektronik gefunden wer den Wie in Bild 6 2 gezeigt wurde der Kabelstrang zwischen Fahrzeug rechner und Multifunktionsarmlehne aufgebrochen und ein Rapid Control Prototyping Rechner MicroAuto Box Fa dSPACE integriert Dieses RCP Werkzeug das als Traktorrech ner im Sinne der ISO 11783 arbeitet ist somit in der Lage die Funktionen der Multifunk tionsarmlehne Getriebeverstellung Neutralschaltung Bet tigung der hydraulischen Zusatzventile und des Heckhubwerks f r den Traktor zu generieren und au erdem Ein 77 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik Kreiselegge Ringpacker Multifunktions armlehne ECU ECU ee re Ger te BUS ISO 11783 GUI Diagnose Traktor BUS propriet r Drille Kombiinstrument MicroAutoBox Traktor a A Fahrzeug
148. lenden mechanischen R ckmeldung der Systemantwort an den Fahrer Das subjektiv empfindbare Bet tigungsverhalten der Mensch Maschine Schnittstelle z B Fahrhebel Steer by Wire Lenkrad oder Joystick f r hydraulische Funktionen muss durch eine eigene integrierte Aktorik simuliert werden Der Sollwertgeber wird damit zur intelli genten Sensor Aktor Einheit erweitert Das elektrohydraulische Bremssystem f r die Mercedes Benz E Klasse simuliert beispielsweise das Pedalverhalten f r den Fahrer durch einen angepassten Verlauf der Pedalkraft ber dem Pedalweg um ein optimales Bremsge f hl zu erhalten 110 Sollwertgeber mit aktiven simulierten R ckmeldungen an den Fahrer sind auch bei Baumaschinen verbreitet wie z B elektrohydraulische Stellhebel mit Force Feedback Bei der Auswahl von elektronischen Steuerger ten f r mobile Arbeitsmaschinen geht man bedingt durch St ckzahlenunterschiede und verschiedene unternehmerische Struktu ren grunds tzlich zweierlei Wege Bei geringen St ckzahlen werden oft universell pro grammierbare ECUs mit Standardl sungen f r Prozessor Speicher und Ein Ausg nge eingesetzt im Gegensatz zu den speziell konfektionierten an den konkreten Anwen dungsfall angepassten Rechnern die erst bei mittlerer und hoher St ckzahl Rentabilit t versprechen Die Vorteile propriet r konfektionierter Hardware liegen in h herer Gestal tungsfreiheit beim Layout und zukunftssicherer Verf gbarkeit wenn auch die hohen
149. lenverhalten Kommunikation Koordination und Zeitverhalten im realen Systemverbund oder als Komponente in der virtuellen Abbil dung des Systemumfelds z B mittels Hardware in the Loop In Tabelle 5 8 sind die wichtigsten Testmethoden f r diesen Entwicklungsschritt aufgef hrt Tabelle 5 8 Entwicklungsschritt Integrationstest und Komponententest Auswahl von empfohlenen E und dringend empfohlenen DE Entwicklungsmethoden und ma nah men in Abh ngigkeit des geforderten SIL Methode Ma nahme Integrationstest Komponententest Referenz SIL 1 SIL 2 SIL 3 1a Funktionstest 4 2 2 2 DE DE DE 1b Black Box Test 4 2 2 2 DE DE DE 2 Probalistischer Test 151 E E 3 Statische Analyse und Test 4 2 2 2 E DE DE 4 Dynamische Analyse und Test 4 2 2 2 E DE DE 5 Software in the Loop 4 3 4 E E 6a Hardware in the Loop 4 3 6 E DE 6b Labortest im Brettaufbau 4 2 2 2 E DE 7 Pr fstandsversuche 4 2 2 1 E E E 8 EMV Umwelt Vibrationstest 4 2 2 1 E DE DE 9 Datenaufzeichnung und analyse 4 2 2 2 E DE DE 2 5 Sicherstellung der erforderlichen Systemintegrit t Entwicklungskonzept 5 3 7 Systemtest und Validierung Im letzten Entwicklungsschritt vor der Freigabe steht der System La ped test und nachfolgend die eigentliche Validierung des Systems bez glich der Benutzeranforderungen Der Systemtest erprobt das Gesamtsystem gezi
150. lichkeit Aufenthaltsdauer Adaptive Cruise Control Analog Digital Digital Analog Anforderungsklasse American Society of Agricultural Engineers Bremsassistent Basic Input Output System IX Formelzeichen und Abk rzungen BUS CAN Cat CEN CMMI D DE DFG DGPS DIN DIS E E E E PES ECE EE EEPROM EG EHR EMV EN ESP EU EWG FKH FMEA G G GPS GUI HIL HKH HW HZW VO IEC Binary Unit System Controller Area Network Kategorie Comit Europ en de Normalisation Capability Maturity Model Integration Diagnosem glichkeit durch Selbstpr fung Dringend empfohlene Entwicklungsmethode oder ma nahme Deutsche Forschungsgemeinschaft Differential Global Positioning System Deutsches Institut f r Normung Draft International Standard Entdeckenswahrscheinlichkeit Empfohlene Entwicklungsmethode oder ma nahme elektrisch elektronisch programmierbar elektronische Systeme Economic Commission for Europe Elektrik Elektronik Electrical Erasable Programmable Read Only Memory Europ ische Gemeinschaft Elektronisch hydraulische Hubwerksregelung Elektromagnetische Vertr glichkeit Europ ische Norm Elektronisches Stabilit tsprogramm Europ ische Union Europ ische Wirtschaftsgemeinschaft Frontkraftheber Fehlerm glichkeits und einflussanalyse Fahrzeugklasse Gel ndefahrzeuge Gefahrenabwendung Global Positioning System Graphical User Interface Hardware in the Loop Heckkraftheber Hardware Heckzapfw
151. lter MSR Sicherheitsfunktionen ueenen 92 6 3 1 Entwicklung einer fehlertoleranten Sensorerfassung 0uu nenne 92 6 3 2 Entwicklung einer sicherheitsgerechten Ressourcenverteilung f r den hydraulischen D rehtllussyv Sc 2 ee 95 VI Inhaltsverzeichnis 6 3 3 Modellbasierte Entwicklung des Traktorrechners Geschwindiskeitsteseligg Are ee ea 100 6 3 4 Modellbasierte Entwicklung des Rechners der Kreiselegge automatische Generierung von Serien Chle nee een east 102 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse sorsesoorenes 106 7 1 berwachung sicherheitsrelevanter Prozessgr en ene 106 7 1 1 berwachung g ltiger Bereiche sicherheitsrelevanter Prozessparameter 107 7 1 2 Plausibilisierung sicherheitsrelevanter Parameter u eneeen 110 7 1 3 Konkurrierende Zugriffe auf Systemressourcen ueeeseessssnssnseenneennennnnenene nenn 112 7 1 3 1 Konflikte beim gemeinsamen Zugriff auf den hydraulischen lstrom 112 7 1 3 2 Konflikte beim gemeinsamen Zugriff auf die Soll Geschwindigkeit 116 U ER 2 0 K Vo RE EIGENER E AEA 117 7 2 Koordination von Bewegungsabl ufen 2200022004220essnnnennnennneennnnenne nennen 118 7 3 Sicherheitsgerechtes Verhalten der Teilsysteme im Fehlerfall 120 7 4 Korrekte Interpretation und Verarbeitung des Fahrereingriffs 122 Zusammenfassu
152. luss Verbraucher 1 Durchfluss Verbraucher 2 Durchfluss Ventil 1 Kreiseleggenaufsattelung Durchfluss Ventil 2 Drillengebl se Durchfluss Ventil 3 Spuranrei er Durchfluss Ventil 4 Blindstrom Verstelldrossel Dichte Formelzeichen und Abk rzungen r S Aushub S Zielpunkt Vist Vmax Vmax Egge Vmax_Packer Vmax_Task Vsoll Vsoll Egge Vsoll Packer Vy XR XVersatz YR Y Start Z Abk rzungen A A ACC AD DA AK ASAE BA BIOS Bedeutung Residuum des Aufsattelwinkels normiert W hrend des Aushubvorgangs zur ckgelegte Strecke Abstand Peilpunkt Bearb grenze Gespannreferenzpunkt Zeit Ausl sezeit der MSR Sicherheitsfunktion Fehlererkennungszeit der MSR Sicherheitsfunktion Zeit bis zum Treffpunkt Bearbeitungsgrenze Arbeitspunkt Zeit f r Wirksamwerden der Sicherheitsma nahmen Spannung Geschwindigkeit Ist Geschwindigkeit maximal zul ssige Geschwindigkeit maximal zul ssige Geschwindigkeit der Kreiselegge maximal zul ssige Geschwindigkeit des Ringpackers maximal zul ssige Geschwindigkeit des Taskcontrollers Sollgeschwindigkeit Sollgeschwindigkeit der Kreiselegge Sollgeschwindigkeit des Ringpackers Volumen f r Ventil 1 Kreiseleggenaufsattelung x Koordinate des Gespannreferenzpunktes seitlicher Versatz des Gespanns beim Wenden y Koordinate des Gespannreferenzpunktes y Koordinate f r automatischen Start des Einsetzvorgangs L nge des Aufsattelzylinders Auftretenswahrschein
153. m bei Geschwindigkeiten ber 10 km h abgeschaltet Bei speziellen Traktoren oder Baumaschinen ist es m glich durch R ckfahreinrichtun gen R FA den Fahrerplatz entgegen der eigentlichen Fahrtrichtung zu drehen und damit die Hauptarbeitsrichtung r ckw rts in den Schubbetrieb umzukehren Bei der L sung f r Fendt Traktoren werden die Lenksignale durch ein kleines Potentiometer in der Armlehne erzeugt und an eine elektronisch gesteuerte Ventileinheit bertragen 50 51 Das konven tionelle Lenkrad wird im R FA Betrieb nicht mitgeschwenkt Bei Baumaschinen wie z B Baggerladern sind Wendeeinrichtungen f r Fahrersitz und hydraulische Bet ti gungselemente in der Kabine hnlich der R FA bei Traktoren schon seit l ngerem ver breitet In den Kommunalfahrzeugen Unimog U 300 U 400 und U 500 gibt es optionale mechanisch realisierte Wechsellenksysteme mit zwei arretierbaren Positionen f r Len kung und Pedallerie links und rechts um die Position des Fahrerplatzes an die verschiede nen Arbeitseins tze anzupassen siehe 52 Mittlerweile erhielt ein Unimog Versuchs fahrzeug mit einem rein elektronisch realisierten System gleicher Funktionalit t erstmals die Stra enzulassung f r Nutzfahrzeuge als Beispiel f r ein vollst ndig implementiertes Steer by Wire siehe auch 25 54 Erweitert man die Lenkbarkeit mobiler Arbeitsmaschinen mit elektronischer Eingriffs m glichkeit auf weitere Achsen des Fahrzeugs ergeben sich neue Funktion
154. matisch zugeschaltet Im Anwendungsbeispiel Ger t steuert Traktor wurde die berwachung erweitert Beim Einsetzen bermittelt der Steuerrechner der Kreiselegge selbst ndig das Einschaltkom mando der Zapfwelle an den Traktorrechner abh ngig von der Hubposition Beim Aushe ben wird zus tzlich die minimale Ausschalth he sichergestellt die ein Stopfen wegen stillstehender Zinken im Boden verhindert Koordination von Aufsattelung und Heckkraftheber F r den ordnungsgem en Aushub der Ger te am Feldende ist es n tig das Ausheben des Heckkrafthebers erst dann zu beginnen wenn die Aufsattelung der Drille eine gewisse Hubh he 60 erreicht hat und der Hebelarm dadurch verk rzt wurde Geschieht das nicht sinkt die vordere Achslast und damit auch die aufbringbaren Seitenf hrungskr fte an der Vorderachse trotz Ballast des Ringpackers dramatisch Der Rechner der Kreiselegge berwacht die Position der Aufsattelung und wartet die besagte Schwelle ab Im Bild 7 8 ist die dem Start der Aufsat telung zugeordnete Hubh he des Heckkrafthebers von 60 erkennbar Koordination von Frontkraftheber und Heckkraftheber Nach erfolgtem Einsetzen des Ringpackers durch den Frontkraftheber ergibt sich eine hnliche Problematik wie beim Aspekt zuvor Durch den schwimmend gef hrten Ringpacker fehlt bei ausgehobener Kreiselegge der Ballast an der Traktorfront wodurch die Seitenf hrungskr fte an der Vor derachse sinken Eine spezielle MSR Sicherheit
155. mmengefasst 4 Damit werden aber auch quasistation r arbei tende Maschinen die im eigentlichen Sinne nicht dazu z hlen mit eingeschlossen z B Melkroboter Baukr ne Seilbahnen etc Weiter gegriffene Ans tze schlie en au erdem die Bereiche Kommunalmaschinen Forstmaschinen sowie Spezialmaschinen Feuerwehr Pistenraupen oder Milit rtechnik mit ein distanzieren sich aber von der Fahrzeugtechnik im Sinne von Land Wasser und Luftfahrzeugen 5 6 Ein anderer Ansatz ist die Klassi fizierung mobiler Arbeitsmaschinen nach ihrer Abgeschlossenheit 7 Abgeschlossene Maschinensysteme sind ab Werk vollst ndig konfiguriert programmiert und damit sofort 4 2 1 Definition der mobilen Arbeitsmaschine einsetzbar z B Radlader Im Gegensatz dazu haben kombinierte Maschinensysteme z B Traktoren offene Schnittstellen hinsichtlich Mechanik Hydraulik Elektrik oder Elektronik und sind zur Arbeitserledigung in der Regel auf externe Ger te angewiesen In den internationalen produktspezifischen Normen und Richtlinien z B bez glich Typgenehmigung oder Betriebserlaubnisverfahren finden sich zwar m gliche Ans tze zur Klassifizierung mobiler Arbeitsmaschinen die nicht direkt spezifizierten Teilseg mente anderer Maschinensysteme sind aber meistens aus dem Geltungsbereich ausge schlossen Nach der EG Richtlinie 70 156 EWG 8 werden Fahrzeuge mit mindestens vier R dern in die Klassen M Kraftfahrzeuge zur Personenbef rderung N Kr
156. mobilen Arbeitsmaschinen unterschiedlichen Elemente sind in der Black Box Darstellung durch die Umsatzarten Energie Stoff und Information miteinander verbunden mechatronisches System eu a Kommunikations Mensch Maschine a gesein 1 system Schnittstelle p777 Informations 7 77 Informations 47777777777 o M ho verarbeitung verarbeitung e l ense T N Me ee ee l Leistungs versorgung i ans Aktoren Sensoren Umgebung l l l i l l Leistungs i l versorgung i l l l i Grundsystem l PEE SE N ENESE S EEE gt Energie En u Sioff notwendige Einheit gt Information optionale Einheit Systemgrenze Bild 2 2 Analyse der Grundstruktur eines mechatronischen Systems vergleiche 21 Jedes mechatronische System besteht aus einem Grundsystem Sensoren Aktoren und einer Informationsverarbeitung Das Grundsystem ist technologieunabh ngig d h es kann beispielsweise aus einer mechanischen elektromechanischen hydraulischen oder pneumatischen Struktur bestehen bzw auch aus Mischformen Das Grundsystem ist ber Energie und Stofffl sse ber die Systemgrenzen hinaus mit anderen Systemen z B der Umgebung anderen mechatronischen Teil Systemen oder auch anderen Grundsyste men verbunden Die Sensoren ermitteln die notwendigen Zustandsgr en des Grundsys tems oder der Umgebung in der das System betrieben wird Sie k nnen als konventionelle Messwertauf
157. n Fronthubwerk ausheben Drillmaschine ausheben Heckhubwerk ausheben Zapfwelle ausschalten Differentialsperre ausschalten Gas wegnehmen Herunterschalten bis zum erneuten Einsetzen des Spuranrei ers und Einschalten der Differentialsperre 93 Die hohe Anzahl von Arbeitsschritten am Vorgewende gerade bei komplexen Trak tor Ger te Kombinationen bieten damit h chstes Automatisierungspotenzial f r Wende vorgang Einsetzen und Ausheben der Ger te 94 Im Rahmen des Forschungsprojektes Traktormanagementsysteme 32 33 wurde zus tzlich zur Regelung des Antriebsstrangs ein anwendungsbezogenes Feldendemanage ment realisiert das den Fahrer durch zeitgesteuerte Automatisierung der Aufgaben Absen ken der Motordrehzahl Pflugausheben Pflugdrehen und Pflugeinsetzen erheblich entlas tet 95 Am Markt erh ltlich sind weiterentwickelte so genannte Vorgewende Manage ment Systeme wo der Fahrer beliebige Arbeitsschritte eines Arbeitsprozesses bez glich hydraulischer Zusatzventile Zapfwellen Hubwerke Wahl der Fahrgeschwindigkeit und der Motordrehzahl frei ausw hlen und in einer Datenbank im Traktor ablegen kann Bei Bedarf k nnen die abgespeicherten Abfolgen im Konzept der Firma AGCO Fendt 96 97 weg zeit oder ereignisgesteuert abh ngig von Hubwerksstellung oder Knopfdruck im Konzept der Firma Deutz Fahr 98 99 rein ereignisgesteuert durch Tasterbet tigung abgerufen werden Weitere Systeme bieten New Holland zeitgesteuert
158. n erledigt der Fahrer ber die um die Darstellung des Taskcontrollers erweiterte Mensch Maschine Schnittstelle z B gew nschtes Geschwindigkeitslimit Fahrgassenschaltung erforderliche Saatmenge etc Die Automatiken entlasten den Fahrer sowohl in einigen seiner Prim raufgaben wie Schaltung der Hubwerke der hydraulischen Ventile oder Ein regeln der korrekten Fahrgeschwindigkeit wie auch bei Sekund raufgaben z B Konfi guration des lstroms Hubh henbegrenzung oder anderen Einstellungen die nun auto matisch von den Ger ten getroffen werden Die Funktionen werden zum einen direkt in den Ger terechnern auf Sinnhaftigkeit der angeforderten Traktorressource berpr ft zum anderen zentral im Traktorrechner vor Generierung des eigentlichen Befehls an den Traktor berwacht In Tabelle 6 3 sind die Zugriffe auf freigegebene Traktorressourcen d h Konfigurationseinstellungen Bet tigungen und Geschwindigkeitsvorgaben aufgelis tet die f r die Automatikkommandos der Ger te und des Taskcontrollers an den Traktor rechner notwendig sind Tabelle 6 3 Zugriffe der Ger te und des Taskcontrollers auf Traktorressourcen bei der Automatisierung Ger t steuert Traktor Traktorressource Traktorressource Anforderung durch die Kreiselegge lstrom Ventil 1 Aufsattelung Qy Soll Geschwindigkeit v j7 Egge Status Ventil 1 Aufsattelung Maximalgeschwindigkeit v ux Egge Olstrom Venti
159. n Entwicklungs methoden Modellbasierte Methoden fokussieren Spezifikation und Design von Software modulen mit Einbeziehung der programmierbaren Hardwaresysteme bei den Testmetho den In partiellen Bereichen des Softwareentwicklungsprozesses wurden in den letzten Jahren immer h ufiger konventionelle Methoden durch modellbasierte ersetzt Unter schiedliche Teilsysteme des mechatronischen Gesamtsystems werden durch Abbildung der Physik und oder Logik meist mit Hilfe einer graphisch strukturierten Darstellungs weise modelliert und in die Entwicklungskette integriert Die durchg ngig modellbasierte Entwicklung von softwarelastigen Systemen ist dagegen noch eine Ausnahme Grunds tz lich gibt es vier verschiedene Vorgehensweisen bzw Einsatzbereiche f r modellbasierte Methoden w hrend eines Entwicklungsprozesses die im Idealfall ineinander greifen 1 Die Abbildung des gesamten Systems einzelner Teilsysteme oder einer Kompo nente rein virtuell am Rechner in der fr hen Phase der Funktionsentwicklung Spe zifikation oder Grobauslegung Beispiele sind modellbasierte Spezifikation Model in the Loop MIL und Software in the Loop SIL 2 Einbindung einzelner Teilsysteme oder Komponenten als reale Hardware in das simulierte Restsystem im so genannten Hardware in the Loop Test HIL 3 Modellierung des Reglers mit Simulationswerkzeugen f r den realen Einsatz im Fahrzeug ber eine Rapid Control Prototyping Umgebung RCP Die Reglerfunkti
160. n Normen zur funktionalen Sicherheit der EN 61508 151 referen 29 2 Stand der Forschung und Technik ziert Der Hauptanspruch dieses Papiers ist die Schaffung einer Grundlage zum Erarbeiten anwendungsbezogener Typ B und Typ C Standards f r die funktionale Sicherheit von E E PE Systemen Die IEC 62061 152 und die ISO 13849 153 folgen diesem Ziel und konzentrieren sich auf die wesentlichen Aspekte f r sicherheitsrelevante Steuerungen bei Maschinen Der Umfang der EN 61508 wird damit deutlich reduziert eine unangepasste Anwendung der Papiere auf mobile Arbeitsmaschinen ist aber noch schwierig Gibt es f r Teilsysteme Fahrzeuggruppen oder spezifische Anwendungen Fachnormen Typ C z B ISO 14982 EMV f r Land und Forstmaschinen 154 so sind diese in der Anwendung priorisiert Auch wenn Normen Regelungen oder Herstellerstandards vor dem Gesetzge ber nicht als bindend erachtet werden muss im Falle der Produkthaftung eine nach dem Stand der Technik erfolgte Entwicklung der Systeme nachgewiesen werden Die besonderen Herausforderungen f r funktionssichere Systeme bei mobilen Arbeits maschinen entstehen durch e die Zusammenf hrung von Arbeitsprozess und Fahrfunktion e die Anforderungen schneller Transportfahrt auf ffentlichen Stra en und e die Vielseitigkeit kombinierbarer Maschinensysteme Genau diese Eigenheiten m ssen bei der Entwicklung der Systeme sicherheitstechnisch ber cksichtigt werden Ein daran angepasst
161. n Zustands e Sicherheit automatisierter und elektronisch geregelter Arbeitsprozesse Prozesssi cherheit Automatisierungstechnik Grundlegende Themenstellung des zu Beginn angesprochenen DFG Projekts war der hier zweitgenannte Punkt n mlich die Prozesssicherheit elektronisch geregelter automatisier ter Systeme 3 2 Ma nahmen zur Gew hrleistung des sicheren Zustands Die VDI Richtlinie VDVVDE 3542 160 definiert den sicheren Zustand als Zustand eines technischen Systems bei dem aufgrund der getroffenen Schutzma nahmen gegen m gliche sicherheitsbezogene Fehlfunktionen das Risiko vertretbar gering ist Bei der Konzeption der MSR Sicherheitsfunktionen m ssen die genauen Merkmale des sicheren Zustands vorher konkret festgelegt werden Grunds tzlich gibt es zwei verschiedene in Bild 3 2 dargestellte Wege der Fehlerbeherrschung den sicheren Zustand eines Systems zu erreichen und damit der Fail Safe Anforderung im Fehlerfall zu gen gen Das System mit Fail Silent Verhalten Sy stemausfall Fail Safe wird unmittelbar nach Erkennen einer Fehlfunktion abgeschaltet Dabei muss sichergestellt sein dass das Abschalten der Funktion keine kritischen Systemzu st nde herbeif hrt Beispiel hierf r ist Fail Silent Fail Operational das Deaktivieren eines fehlerhaften integer fehlertolerant ABS Svst im Kf Fahr Abschalten Funktion wird en me mit R ckfallebene aufrecht erhalten durch eine Fehlermeldung ber den Aus
162. n auf Systemebene zwischen Test seite rechts und Spezifikationsseite links sollten aus Kostengr nden strikt vermieden werden Der eigentliche Softwareentwicklungsprozess wird durch den unteren Teil des V Modells vorgegeben Die Softwareanforderungen werden analysiert die Subsysteme und Module spezifiziert und in Serien Code implementiert Die Tests der Subsysteme auch die Integrationstests des Seriensteuerger ts erm glichen hier zugelassene Rekursionen f r eine Verbesserung der Spezifikation da Spezifikations und Testphase der Komponen tenebene im Entwicklungsvorgang gen gend nahe beisammen liegen 67 5 Sicherstellung der erforderlichen Systemintegrit t Entwicklungskonzept Analyse der Logische Systemarchitektur Validierung bzgl Systemanforderungen Benutzeranforderungen und Spezifikation der und Systemtest logischen Systemarchitektur bzgl Spezifikation Technische Systemarchitektur Integration und Integr Analyse der logischen test der Teilsysteme Systemarchitektur und Spezifikation der tech nischen Systemarchitektur Test der Teilsysteme und Komponenten Softwareentwicklung An Analyse der Software Re TS Integrationstest anforderungen Be der Software und Spezifikation der Integration der Software Softwarearchitektur subsysteme und module Spezifikation der Software subsysteme und module Test der Software subsysteme und module Design der Software subsysteme
163. n eine wichtige Rolle und sind f r jeden komplexen Soft wareentwicklungsprozess unverzichtbar Die wichtigsten Eigenschaften strukturierter Methoden sind e Strukturierte logische und theoretische Vorgehensweise mit Partitionierung einer umfangreichen Problemstellung auf berschaubare Arbeitsvorg nge 47 4 Entwicklungsmethoden e Analyse und Dokumentation des gesamten Systems mit Ber cksichtigung der Umgebung und aller Teilsysteme e Zerlegung von Funktionen und Systemdaten in handliche Einheiten e Strukturiertes Vorgehen nach Checklisten e Grunds tzlich einfaches intuitives und pragmatisches Vorgehen Eine Standardl sung welche die Grundlage f r viele strukturierte Methoden bildet ist die Strukturierte Analyse 170 ein datenflussorientierter Ansatz zur graphischen Beschrei bung der Aufgabenebene eines Informationssystems Bild 4 5 zeigt ein Datenflussdia gramm innerhalb der Strukturierten Analyse f r ein allgemeines Informationssystem Im Diagramm wird der Informationsfluss zwischen den einzelnen Systemelementen und Schnittstellen der Systemgrenzen dargestellt Die Datenfl sse beinhalten Datenfluss_3 Schnittstelle_2 die Voraussetzungen f r Funktionen oder deren Er gebnisse und werden von Datenspeichern System Schnittstelle _1 schnittstellen oder anderen Funktionen bereitgestellt Die Strukturierte Analyse Datenspeicher _2 fasst alle nicht mehr unter Datenfluss_1 teilbaren Datenflussdia
164. n potenzieller Fehler festgestellt werden kann Die n tigen Ma nahmen sind auch in diesem Fall die ausgesprochene Fehlermeldung und das Abschalten des Systems wodurch eine Wei tergabe falscher Systemausg nge vermieden wird Das 1002 System ist somit eine typi sche Anwendung f r gew nschtes Fail Silent Verhalten Bei Systemarchitektur 2002 Bild 5 3 wirkt sich der Vergleich beider Kan le gegenseitig ber Kreuz auf die G ltigkeit des jeweiligen Signals aus F r ein Ausl sen der Sicherheitsfunktion sind in beiden Ver gleichern erkannte Fehler die Voraussetzung wodurch die Verf gbarkeit des Gesamtsys tems gesteigert werden kann Eine festge stellte Abweichung beim Vergleichstest muss aber durch Warnmeldungen angezeigt werden Wie auch bei den vorigen Systemen f hrt ein kritischer Fehler zum integeren Ausfall des Systems da nicht festgestellt werden kann welcher Kanal fehlerhaft ist Das System kann dadurch aber fehlersicher abgeschaltet werden Bild 5 1 I kanalige integere looID Architektur mit Selbstpr fung Sicherheits funktion Warnmeldung und Abschalten Bild 5 2 2 kanalige integere Architektur 1002 mit Vergleich Sicherheitsfunk tion Warnmeldung und Abschalten Bild 5 3 2 kanalige integere Architektur 2002 mit Kreuzvergleich Die Sicher heitsfunktionen Warnmeldung mit Abschalten werden erst bei Ansprechen beider Vergleicher eingeleitet hohe Ver f gbarkeit des Systems
165. nausgereiftes Konzept Erh ht immer wiederkehrend Neues System unter Einsatz neuer unerprobter Technologien Unausgereiftes Konzept er schwerte Einsatzbedingungen Hoch Neuentwicklung ohne jegliche Erfahrung 10 Sehr hoch praktisch bei jedem Einsatz Innovative Systemauslegung mit nicht einsch tzbaren Einsatzbedingungen 129 9 Anhang Tabelle 9 3 Die Entdeckenswahrscheinlichkeit E bewertet die Wahrscheinlichkeit f r eine Entdeckung der Fehlerursachen vor Eintreten der Fehlerfolgen Wert Beschreibung Sehr hoch Der Fehler wird sicher entdeckt Fahrer entdeckt den Fehler und zus tzlich entdeckt das System 1 einen Fehlerzustand und reagiert mit Gegenstrategie oder Anzeige f r den Fahrer Folgen k n nen sicher vermieden werden z B augenscheinlicher Fehler und automatische Pr fung mit Warnmeldung Hoch 2 Der Fehler wird durch das System erkannt und es reagiert mit Gegenstrategie oder Anzeige Warnhinweis f r den Fahrer Fail Operational Verhalten z B fehlertolerantes redundantes Sys tem mit Warnmeldung Gut Augenscheinlicher Fehler der Fehler wird durch den normal aufmerksamen Fahrer bemerkt Fail Silent Verhalten z B starke Ger usche lflecken mechanische R ckfallebene und Warn meldung Befriedigend 4 Der Fehler wird durch spezielle Fahrerpr fungen entdeckt z B Kontrolle der Anzeigelampen starke bis mittlere Niveauabweichung ver ndertes Fahrv
166. nd Prozess FMEA sind e Nichterfassung der funktionalen Zusammenh nge e Unzureichende Dokumentation in der reinen Tabellen FMEA e Schwierige Fokussierung auf den zu untersuchenden Detaillierungsgrad Um diese Nachteile zu beseitigen wurde die Methode zur System FMEA mit methodi scher systematischer Vorgehensweise weiterentwickelt und im Leitfaden VDA 4 Teil 2 164 standardisiert Bei der System FMEA wird das gesamte Produkt bzw der gesamte Prozess als Zusammenschluss logisch vernetzter Teilsysteme bzw Prozessschritte betrachtet Die systematische Methodik erleichtert es dabei den festgelegten Detaillie rungsgrad nicht zu berschreiten und die zu untersuchenden Systeme trotzdem komplett abzuarbeiten Die System FMEA Produkt untersucht Funktionsfehler von Teilsystemen und die daraus resultierenden Ausfallfolgen auf das Gesamtsystem Die System FMEA Prozess behandelt die Prozessschritte eines Arbeitsprozesses anhand der Einflussgr en Mensch Maschine Methode Material und Mitwelt die so genannten 5 Ms Ergebnisse aus der System FMEA k nnen es erfordern Teilsysteme in untergeordneten Teil FMEA bzw einzelne Bauteile oder Prozessschritte in Komponenten FMEA eingehender zu untersuchen Zur Analyse von automatisierten Arbeitsprozessen bei mobilen Arbeitsmaschinen hat sich eine Kombination aus System FMEA Produkt und Prozess mit Beachtung fol gender methodischer Grunds tze bew hrt e Pr ventive Anwendung in
167. nd der Automobilindustrie Verein Deutscher Ingenieure Verband Deutscher Maschinen und Anlagenbau Vorgehensmodell Eintrittswahrscheinlichkeit x out of y Zapfwelle PC Memory Card International Association vorne hinten retract extend Lastdruckunabh ngige Durchflussverteilung Kurzfassung Abstract Zuk nftige mechatronische Systeme von mobilen Arbeitsmaschinen stellen spezielle Anforderungen an ihre funktionale Sicherheit Diesbez glich wurde ein sicherheitsgerich tetes Entwicklungskonzept aus Vorgehensmodell Methoden und Werkzeugen erarbeitet welches die notwendigen Ma nahmen von der Systemsynthese bis zur Validierung beschreibt Als Versuchstr ger diente eine typische Traktor Ger te Kombination in der ber den Stand der Technik hinausgehende Automatisierungsstrategien in Form eines vollst ndigen Vorgewendemanagements sowie der autonomen Prozessf hrung Prinzip Ger t steuert Traktor realisiert wurden Auf Grund von Parallelen in Systemaufbau verwendeten Technologien und dynamischem Arbeitsumfeld steht die ausgew hlte Anwendung beispielhaft f r mobile Arbeitsmaschinen In vorliegender Arbeit wird das Vorgehensmodell des Entwicklungskonzepts zun chst allgemein beschrieben Geeignete teilweise weiterentwickelte Methoden werden vorgestellt und aufbauend auf einer sicher heitsgerechten Systemarchitektur den einzelnen Entwicklungsschritten zugeordnet Ent scheidungskriterium ist dabei das geforderte maximale Risiko
168. ndeautomatik ent wickelt die dem Fahrer die Regelung von Motordrehzahl Wendeschaltung berset zungseinstellung und erneutem Start der Reihenautomatik abnimmt wie ausf hrlicher im Kapitel 6 1 3 behandelt Bei den Versuchsfahrten hat es sich gezeigt dass die Positionsbe 109 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse stimmung allein basierend auf Lenkwinkel und Geschwindigkeit und die damit verbun dene Schr glaufwinkel und Schlupfkompensation im gro en Ma e von verschiedenen Randbedingungen abh ngen Je nach Feuchte Bearbeitungszustand Pflanzenbestand Gel ndeprofil Verschmutzungsgrad des Gespanns und Bef llungszustand des Saatkastens ergeben sich andere Faktoren f r die Ber cksichtigung des Schr glaufwinkels und des Antriebsschlupfes Als Ergebnis kann festgehalten werden dass die entwickelte Wendeau tomatik nur mit zus tzlichen Koppelebenen zur Positionsbestimmung wie GPS Technik oder Beschleunigungsaufnehmer eine hohe Pr zision des Wiedereinsetzens mit lateralen Fehlern im cm Bereich gew hrleisten kann F r die sicherheitstechnische Raum berwa chung des Vorgewendes kann diese L sung jedoch mit einfachen Mitteln eine Vermeidung kritischer Zust nde bewerkstelligen wenn ein gen gend gro er zus tzlicher Sicherheits streifen von z B 1 m normale Bedingungen ohne Gef lle definiert wird 7 1 2 Plausibilisierung sicherheitsrelevanter Parameter F r die indirekte Bestimmung bzw Absch tzung
169. ndlage f r die Auslegung von komplexen Warnsze narios f r den Fahrer gegeben Wird der Fahrer dar ber hinausgehend von automatisierten Eingriffen einer Sicherheitslogik bevormundet z B durch autonome Eingriffe eines Kol lisionsvermeidungssystems in Lenkung und Bremse m ssen diese Eingriffe wegen recht licher und produkthaftungstechnischer Gr nde absolut ausfallsicher realisiert sein Im hier behandelten automatisierten Versuchsgespann erfolgt die Regelung des Haupt arbeitsprozesses zwar autonom der Fahrer muss aber jederzeit die vollst ndige Eingriffs m glichkeit f r Arbeitsprozess und Fahrzeugf hrung behalten Um sicherheitskritische Zust nde zu vermeiden muss er innerhalb der Fehlertoleranzzeit auf einen Fehler auf merksam gemacht werden die Kontrolle ber das System wieder bernehmen und den sicheren Zustand durch etwaige Ma nahmen gew hrleisten k nnen Andererseits muss es dem Fahrer zugestanden sein im eigenen Ermessen Systemparameter auch w hrend des normalen Automatikbetriebs zu ndern Sind die Eingriffe des Fahrers unkritisch f r Sicherheit und Funktionalit t der Automatik wie z B die Verlangsamung der Fahrge schwindigkeit bleibt die Automatik vom Schreibrecht des Fahrers unber hrt und arbeitet weiter Im anderen Fall wird der Fahrer auf seinen funktions oder sicherheitskritischen Eingriff durch Ausl sen des Fail Safe Verhaltens aufmerksam gemacht d h die Automa tik stoppt der Fahrer beh lt aber weite
170. nehmer physisch real vorhanden sein oder durch analytische Software Senso ren so genannte Beobachter implementiert werden Die Informationsverarbeitung hardwareunabh ngige Logik bestimmt die notwendigen Aktionen die n tig sind um die Zustandsgr en hinsichtlich Spezifikation des mechatronischen Systems zu beeinflussen Optional ist sie zum Datenaustausch ber ein Kommunikationssystem mit anderen logi schen Einheiten verbunden ber eine Mensch Maschine Schnittstelle kann dem Benutzer 9 2 Stand der Forschung und Technik die M glichkeit zum Informationsaustausch gegeben werden wodurch die Interaktion zwischen Mensch und mechatronischem System realisiert wird Die Umsetzungen der von der Informationsverarbeitung bestimmten Aktionen erfolgt durch die Aktoren direkt am Grundsystem Die Leistungsversorgung der Systemelemente kann ber die Systemgren zen hinaus durch externe Energiequellen wie im Bild 2 2 dargestellt oder auch intern durch das Grundsystem erfolgen Nach der allgemeinen Beschreibung mechatronischer Systeme soll in den n chsten Unterpunkten der diesbez gliche Stand der Entwicklungen bei mobilen Arbeitsmaschinen aufgezeigt werden Unter anderem wurde in der ersten ASAE Konferenz Automation Technology for Off road Equipment in Chicago 22 deutlich wie facettenreich die Automatisierungsm glichkeiten mobiler Maschinensysteme sind 2 2 1 Elektronischer Eingriff in die Fahrzeugf hrung Gerade bei den En
171. nen im Nutzfahrzeug der Weg zum Fail Safe Truck Referat DaimlerChrysler Innovation Symposium 11 12 06 2002 Sindelfingen e Walliser G et al Elektronik im Kraftfahrzeugwesen Steuerungs Regelungs und Kommunikationssysteme 3 Auflage Renningen Expert Verlag 2002 e Bauer H Chefred Mikroelektronik im Kraftfahrzeug Technische Unterrichtung Gelbe Reihe Stuttgart Robert Bosch GmbH 2001 eBauer H Chefred Kraftfahrtechnisches Taschenbuch 23 Auflage Braun schweig Verlag Vieweg 1999 Rinck St Moderne hydrostatische Antriebssysteme mit Mikroprozessorsteuerun gen f r mobile Arbeitsmaschinen O P 43 1999 H 3 S 154 157 158 160 162 163 Becker A et al Integration von Fahrzeugkomponenten am Beispiel des Verk rzten Anhaltewegs VDI Tagung Reifen Fahrwerk Fahrbahn Hannover 18 19 10 2001 In VDI Berichte 1632 S 373 400 D sseldorf VDI Verlag 2001 Renius K Th und M Martinus Motoren und Getriebe bei Traktoren In Jahrbuch Agrartechnik 16 2004 S 60 66 234 235 M nster Landwirtschaftsverlag 2004 e Seeger J Antriebsstrangstrategien eines Traktors bei schwerer Zugarbeit Diss TU Braunschweig 2001 Forsch Ber Inst f Landmaschinen u Fluidtechnik TU Braunschweig Aachen Shaker Verlag 2001 Wiegandt M und H H Harms Triebstrangmanagement bei Traktoren VDI Tagung Innovative Fahrzeugantriebe Dresden 24 25 10 2002 In VDI Berichte 1704 S 505 521 D sseldorf VDI Verlag 2002
172. ners soll die Anwendung einer modellbasierten Vorgehensweise f r sicher heitsrelevante Systeme gezeigt werden 100 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen Hauptfunktionalit t der Geschwindigkeitsregelung ist die Umsetzung der ermittelten Sollgeschwindigkeit in Stellbefehle an den Fahrzeugrechner des Traktors Mit Hilfe von Eingriffen in den Antriebsstrang bez glich Motordrehzahl Vorw rts R ckw rts Schal tung Beschleunigungsstufen I bis IV und der Einstellung der bersetzung ber die vom Traktorrechner simulierte Fahrhebelauslenkung wird die Sollgeschwindigkeit des Systems am Versuchsgespann eingeregelt Die entsprechenden Signale werden von der MicroAuto Box mit diskreten Ausg ngen f r den Fahrzeugrechner so generiert dass diese sich nicht von denjenigen der normalen Bet tigung der Elemente der Armlehne unterscheiden ver gleiche Systemaufbau in Bild 6 2 Je nach Anwendungsfall ergibt sich die Sollgeschwin digkeit aus ger teseitigen Anforderungen Vorgaben der Wendeautomatik sicherheitstech nischen Ma nahmen oder durch Fahrereingaben Das Verhalten der grafisch programmierten Geschwindigkeitsregelung konnte in einem ersten Schritt in der Model in the Loop Simulation des Traktors modular entwickelt werden Der Traktor wurde mit seinem Antriebsstrang und den notwendigen Tr gheiten mathematisch logisch mit Matlab Simulink abgebildet Abh ngig vom Unterschied von Soll und Istwert der Geschwindigkeit schalt
173. ng unseren era Eo SESS iis 124 9 Anhand ana NOAE A EEEa EEES OESS aE Ras 126 9 1 Bewertungskatalog System FMEA angepasst an mobile Arbeitsmaschinen 126 9 2 Matrix analytisch herleitbarer Betriebs und Schnittstellenzust nde 130 10 Diter lur un AE AE E AS 132 VII Formelzeichen und Abk rzungen Formelzeichen a a A amp A Q2 A2 Q3 analytisch OReferenz ARing b Ap s Si s M ZW_max PI PI P2 P2 Q Q2 Oy Oy Oys Oy4 VII m m bar Pa bar Pa bar Pa bar Pa bar Pa l min l s m s m s l min 1 s l min 1 s l min 1 s l min 1 s kg m Hubwinkel der Aufsattelkinematik Durchflusskoeffizient Querschnittsfl che der Blenden ffnung Hubwinkel der Aufsattelkinematik Sensor 1 Querschnitt der Blenden ffnung Verbraucher 1 Hubwinkel der Aufsattelkinematik Sensor 2 Querschnitt der Blenden ffnung Verbraucher 2 Hubwinkel der Aufsattelkinematik analytisch hergeleitet Hubwinkel der Aufsattelkinematik g ltiger Referenzwert Kolbenringfl che des Aufsattelzylinders Arbeitsbreite Lenkwinkel Druckdifferenz an der Blende Differenzdruckregelung Frequenz Kurswinkel L nge Masse Drehmoment maximal zul ssiges Moment an der Zapfwelle Drehzahl Druck Druck am niederbelasteten Verbraucher Druck vor der Druckwaage Verbraucher 1 Druck am h herbelasteten Verbraucher Druck vor der Druckwaage Verbraucher 2 Durchfluss Durchf
174. ng mobiler mechatronischer Maschinensysteme aufgezeigt werden soll ist es hilf reich einen Blick auf die rechtliche Normen und Richtlinienstruktur in Europa zu wer fen Die Zielsetzung der Europ ischen Union EU l uft auf den Abbau gegenseitiger Handelshemmnisse hinaus Bei Kfz und vielen mobilen Arbeitsmaschinen soll dies ber harmonisierte Vorschriften und durch ein einheitliches Betriebserlaubnisverfahren erreicht werden Fahrzeuge mit einer EG Typgenehmigung werden nur einmal homologisiert k n nen jedoch freiz gig innerhalb aller EU Staaten verkauft bzw ohne erneute Pr fung zuge lassen werden Die EG Typgenehmigung setzt voraus dass f r die einzelnen Systeme Baugruppen und technischen Einheiten harmonisierte technische Vorschriften geschaffen werden die als Richtlinie vom Rat der EU beschlossen werden Die Mitgliedstaaten sind verpflichtet diese EG Richtlinien in ihr nationales Recht zu bernehmen sie sind damit f r den Hersteller bindend Unterhalb der EG Richtlinien der EU stehen die ECE Regelungen der UNECE United Nations Economic Commission for Europe Sie haben empfehlenden Charakter und spiegeln hnlich wie Normen den Stand der Technik wieder Die ECE Regelungen sind nur zwingend anzuwenden wenn die Stra enverkehrs Zulassungs Ordnung StVZO 13 oder eine andere Richtlinie ausdr cklich darauf verweist Oftmals werden ECE Regelun gen die so f r nationales Recht geltend gemacht werden sollen in EG Richtlinien umg
175. ng nicht i O bedingt Lampenwechse Kosten Der Fehler verursacht geringe Kosten z B Austausch von Verschlei teilen Gering Funktionalit t Geringe Funktionseinschr nkung von Bedien und Komfortsystemen geringf giger Fehler am Fahrzeug der nicht sofort in der Werkstatt behoben werden muss Fehlerbehebung im Regelser vice m glich z B Ausfall Au entemperaturanzeige Komfort Fehler durch den sich der Fahrer geringf gig bel stigt f hlt z B Ausfall Sitzheizung Ausfall des Staubfilters Gering Sicherheit Geringe Beeintr chtigung der Systemsicherheit Verletzung von Personen oder Sch den am System sind unter normalen Bedingungen auszuschlie en z B Ablenkung des Fahrers er h hte Bet tigungskr fte Au enspiegel wackelt Einhaltung gesetzlicher Vorschriften Fehler bedingt eine Nachbesserung in der Fachwerkstatt Kosten Der Fehler verursacht mittlere Kosten z B Kraftstoffverbrauch zu hoch Gering Funktionalit t Geringf giger Systemfehler der einen Werkstattaufenthalt bedingt z B T r schwerg ngig Komfort Fehler durch den sich der Fahrer bel stigt f hlt z B Ausfall Klimaanlage Mittelschwer Sicherheit Mittelschwere Beeintr chtigung der Systemsicherheit u a bemerkter Ausfall einer Schutzfunk tion Geringes Risiko f r Verletzungen von Personen bzw Sch den am System z B Motor bremsleistung nicht i O Einhaltung gesetzlicher Vorschriften F
176. ng zu tragen sind neue spezifisch an die Entwicklung von mobilen Arbeitsmaschinen angepasste Vorgehensmodelle n tig 1 Sensor Technik Wiedemann GmbH Kaufbeuren 2 1 2 Vorgehensweise und Aufbau der Arbeit Landmaschinen nehmen eine beispielhafte Stellung bez glich ihrer universellen Ein satzspektren und Komplexit t der maschinellen Arbeitsprozesse unter mobilen Arbeitsma schinen ein Am ehemaligen Lehrstuhl f r Landmaschinen der Technischen Universit t M nchen wurde deshalb ein von der Deutschen Forschungsgemeinschaft DFG unterst tztes Projekt Prozesssicherheit system bergreifender Regelkreise und Automatiken im Betrieb von Traktor Ger te Kombinationen und selbstfahrenden Land maschinen initiiert Ziel war die Erarbeitung eines Entwicklungskonzepts welches die funktionale Sicherheit dieser Systeme sichergestellt 1 2 Vorgehensweise und Aufbau der Arbeit Die vorliegende Arbeit stellt Entwicklungsschritte Methoden und Werkzeuge des Ent wicklungskonzepts f r mechatronische Systeme bei mobilen Arbeitsmaschinen vor befasst sich mit der Entwicklung eines konkreten Beispiels aus der Landtechnik und abs trahiert die Ergebnisse zu allgemeing ltigen Regeln f r die Anwendung bei mobilen Arbeitsmaschinen Zu Beginn der Arbeit Kapitel 2 wird der aktuelle Stand der Technik beschrieben Nach der Abgrenzung des thematischen Rahmens werden Beispiele von mechatronischen Systemen bei mobilen Arbeitsmaschinen vorgestellt und
177. nicht aus muss die Anpassung ber eine externe Signalkonditionierung erfolgen Aus dem angepassten echtzeitf higen Modell wird eine lauff hige Anwendung mit geeigneten I O Schnittstellen aus der Simulation generiert und auf der Echtzeithardware zur Ausf hrung gebracht F r die RCP Hardware werden Rechnersysteme meist Power PC basierte Hochleistungsprozessoren mit weit h herer Leistungsf higkeit als das Seriensteuerger t z B die RCP Hardware MicroAutoBox der Fa dSPACE 182 eingesetzt um Ein schr nkungen der Zielhardware zu vermeiden Ein Sonderfall des normalen Rapid Cont rol Prototyping Fullpass ist die Verwendung eines RCP Systems als Bypass L sung 57 4 Entwicklungsmethoden Fahrer Steuerung IIwert pee Regelung Aktoren Strecke Sensoren berwachung Mobile Arbeitsmaschine _ Modellierung auf Entwicklungshardware _ Realsystem RCP Hardware Funktionsmodell der Regelung Steuerung gt o Hash Zi Bild 4 10 Funktions Prototyping mit Hilfe eines Fullpass RCP Systems Das Modell der zu entwickelten Algorithmen wird auf einer Echtzeithardware ausgef hrt und im realen Fahrzeug online optimiert D E Q D 1 LU i D Konditionierung der Ausg nge D a 5 pe 2 Z Q gej lt O SE Einzelne zu entwickelnde Funktionen werden auf die RCP Hardware ausgelagert wobei das Seriensteuerger t in seinem normalen Betrieb mit Ausnahme der ausgelagerten Funk tionen weiter a
178. niveau f r das betreffende System Vorteile einer durchg ngig modellbasierten Vorgehensweise werden aufgezeigt Abschlie end dokumentieren die Versuchsergebnisse die Validierung der nach dem Ent wicklungskonzept erarbeiteten Automatiken des Versuchstr gers und erlauben die Verall gemeinerung der Ergebnisse auf den gesamten Bereich der mobilen Arbeitsmaschinen Future mechatronic systems of mobile working machinery have special requirements to satisfy functional safety Therefore a safety aligned development concept consisting of process model methods and tools was worked out which describes the required measures from synthesis to validation of mechatronic systems A typical tractor implement combi nation was used as testing object where automation strategies in terms of complete head land management or autonomous process automation Implement Guided Tractor Control above the state of the art were implemented Due to parallels in system archi tecture available technologies and dynamic working circumstances the selected applica tion is exemplary for mobile working machinery This thesis describes generally the process model of the development concept After choice of safety appropriate system architecture suitable partly enhanced methods are introduced and assigned to each devel opment step Therefore the specified maximum risk level for the corresponding system is decision criterion Advantages of a continuous model based approach a
179. nn 59 4 3 6 Hardware in the Loop HD ER 61 5 Sicherstellung der erforderlichen Systemintegrit t Entwicklungskonzept 63 5 1 S eherheitsgerechle Systemarehitekl r uses wa 64 5 2 Vorgehensmodell f r System und Softwareentwicklung een 66 5 3 Entwicklungsschritte mit Zuordnung der Methoden und Ma nahmen 68 5 3 1 Analyse und Spezifikation der Systemanforderungen und architektur 69 5 3 2 Analyse und Spezifikation der Softwareanforderungen und architektur 69 5 3 3 Design der Softwaresubsysteme und module ruusnsensneeseneenneneneennn 70 5 3 4 Implementierung und Codierung der Software seessensnesenenennenennennn 71 5 3 5 Test der Softwaresubsysteme und module 2202200snsensnensnneeensneneennn 72 5 3 6 Integrationstests der Software und Teilsysteme Komponententests 73 5 3 7 Systemtest und Validierung Nu aesnernualin 74 5 3 8 Universelle Ma nahmen f r die gesamte Entwicklung enn 74 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik 76 6 1 Systembeschreibung und Aufbau der Automatiken u22000eenenneeneeeennn 76 6 1 1 Versuchstrager und Elektronikkonzept ua names eek 76 6 1 2 Mess datenerlassine ee ae ale 79 6 1 3 Aufbau der Automatiken 2 2 79 6 2 System und Risikoanalyse der Automatisierungen useneneneneeeenennen 88 6 3 Entwicklung ausgew h
180. nnen die erkannten Softwarefehler direkt im Funktionsmodell beseitigt werden der 103 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik Spezifikation der Programmierung der Kreiselegge Lastenheft berwachungen Ein Ausg nge CAN I O Anpassung MIL Test Modellierung der Funktionen Matlab Simulink Stateflow mal Modellierung der Software f Matlab Simulink Stateflow madl TargetLink ESX Blockbibliothek Blockbibliothek TL_ESX_lib mal parametrisierbare ESX BIOS Funktionen Anpassung Usercode Usercode TL_main c CAN _Egge c TL_main h CAN _Egge h Initialisierung I O Initialisierung CAN Gesamtmodell Software Strecke ESX mdl TargetLink SW Generierung ESX c ESX h Modellierung der Strecke Matlab Simulink mal Tasking EDE Compiler Linker ESX hex HIL Umgebung dSPACE DS1103 HIL Test ESX Serien Flash Vorgang steuerger t WinFlash Einsatz in der Kreiselegge Bild 6 21 Vorgehen bei der automatischen Generierung von Serien Code f r die Kreisel egge Das Einbinden von Usercode Bl cken erm glicht die Verwendung von an die ESX angepassten steuerger tespezifischen BIOS Funktionen bei der Softwaremodellierung Diese Funktionen sind in der entwickelten ESX Blockbibliothek zusammengefasst Matlab Simulink Bl cke digital analog O Variablentypisierung CAN_send CAN_receive etc Serien Code muss so nicht h ndisch
181. nter spezifischen Anforderungen bei mobilen Arbeitsmaschinen behandelt wird 3 1 Definition der funktionalen Sicherheit Die Gesamtsicherheit des Systems Mensch Maschine Umwelt ist bestimmt durch kon struktive und hinweisende Sicherheit Bild 3 1 Konstruktive Sicherheit erreicht man durch unmittelbare und mittelbare Sicherheitstechnik sowie durch Ma nahmen funktio naler Sicherheit K nnen konstruktive L sungen potentielle Gef hrdungen nicht ausrei chend beseitigen muss durch hinweisende Sicherheitstechnik anhand von Gefahrenhin weisen in der technischen Dokumentation gewarnt werden siehe auch 141 31 3 Funktionale Sicherheit als Teil der konstruktiven Sicherheit Wichtigster konstruktiver si Gesamtsicherheit Mensch Arbeitsmaschine Umwelt cherheitstechnischer Leit satz ist es die Verwendung von gef hrlichen Technolo gien und Systeml sungen unmittelbar zu vermeiden z B Schwachstrom statt Starkstrom Noch bestehen den Gef hrdungen begeg Hinweisende Sicherheit nen mittelbare Schutzein Konstruktive Sicherheit e Warntafeln richtungen so dass Perso e Betriebsanleitung nen von den Gefahrenstellen ferngehalten werden z B Schutzabdeckungen bei Konstruktiv erreicht durch Sicherheitstechnik Quetsch und Scherstellen Funktionale Sicherheits Unmittelbar Mittelbar mit Funktional mit ohne Gef hrdung Schutzeinrichtung Sicherheitssystem Systeme leisten ihren Bei t
182. objektive Entscheidung abh ngig von Gesamtkapazit t Einschr nkung aller Funktionen bergeordnet mit fester Priorisierung festgelegte Rangordnung hydrau lischer Verbraucher durch den Fahrer Sicherheitsfunktion verf gbar objektive Entscheidung Ausfall niederpriorer Funktionen Priorisierung u U schwierig bergeordnet mit dyna mischer Priorisierung zustandsabh ngige Priorisierung der niedrigsten Soll Geschwindig keit der Ger terechner durch den teilnehmerunabh ngig Eignung f r allg Ressourcen alle abh ngig vom Priorisierten alle Anfragen werden bedient kein Einfluss auf andere subjektive Entscheidung Effektivit t in der Anwendung untergeordnet gleich berechtigt bei Unterversorgung gerechte Zur cknahme des lflusses durch den Ger terechner meh rere Verbraucher auf dem Ger t Abschalten niederpriorer Ver braucher durch das Ger t selbst mehrere Verbraucher auf dem Ger t siehe Bild 7 7 Sicherheitsfunktion verf gbar kein Einfluss auf andere Ausfall niederpriorer Funktionen Effektivit t in der Anwendung untergeordnet mit fes ter Priorisierung modulunabh ngig kein Einfluss auf andere subjektive Entscheidung Effektivit t in der Anwendung untergeordnet mit dy namischer Priorisie rung konkurrierende Geschwindig keitsw nsche auf einem Ger t nur ein Sollwert wird an den Trak torrechner g
183. ockiert e Kommando Sicherungsventile Spuranrei er offen bergangs bedingung Soll Status ENGAGE Zustand Einsetzpunkt abwarten e Kommando v_soll v_max e Kommando Spuranrei er absenken e Berechnung des Abstands der Bearbeitungsgrenze durch Tastendruck festgelegt bis zum Arbeitspunkt der Kreiselegge Eingriff der Messerkreisel e Berechnung der verbleibenden Zeit tg bis zum Treffpunkt Bearbeitungsgrenze Arbeitspunkt bergangs bedingung tke lt Absetzdauer_Egge Zustand Heckkraftheber absenken e Kommando Position_HKH 0 e Berechnung v_soll abh ngig von verbleibender Absetzzeit und verbleibender Wegdifferenz e Kommando v_soll berechneter Wert e Messung der Absetzzeit der Kreiselegge bergangs bedingung Position HKH lt 90 Zustand Heckzapfwelle einschalten e Kommando Status_HZW ein e Berechnung v_soll e Kommando v_soll berechneter Wert e Warten bis Ist Zustand ENGAGE erreicht u a Position_HKH lt 40 e Messung der Absetzzeit der Kreiselegge und Speicherung f r den n chsten Vorgang Bild 6 6 Zustandsdiagramm f r den Sta tuswechsel von Work arbeitsbereit nach Engage eingesetzt der Kreiseleg gensteuerung Im Rahmen der Normung zur ISO 11783 wurden verschiedene Arbeitszust nde defi niert die f r die Ger te bzw Arbeitsmaschi nen zutreffend sind Neben Zust nden f r Transport Parken und Fehlerstatus sind die
184. ode Generierung ist die Zuverl ssigkeit des Generators des Rahmenmodells und des standardm ig eingesetzten Compilers unter konventioneller Testtiefe nachzuweisen Zum Vergleich ergibt sich bei Verwendung eines zertifizierten Werkzeugs eine geringere Testtiefe aber nur bez glich des eigentlichen Generierungspro zesses Die gewohnten Entwicklungstests der brigen Ebenen bez glich Funktionalit t Fehlerverhalten und Spezifikation m ssen wie gewohnt durchgef hrt werden Damit wird der Vorteil zertifizierter Werkzeuge relativiert 60 4 3 Modellbasierte Methoden f r die Softwareentwicklung Eine durchg ngige modellbasierte Softwareentwicklung bietet das Potenzial sowohl die Sicherheit als auch die Zuverl ssigkeit von E E PE Systemen zu verbessern Haupt grund daf r ist die stetige Weiterentwicklung und Testbarkeit der Funktionsmodule auf einer durchg ngigen Plattform von der Spezifikation bis zur Implementierung mit auto matischer Umsetzung eins zu eins in Serien Code 4 3 6 Hardware in the Loop HIL Der Hardware in the Loop Test ist eine effektive Methode die entwickelten Steuerungen Regelungen oder berwachungen auf ihre Funktionalit t und Zuverl ssigkeit zu testen Grundlagen siehe 186 Dabei k nnen unterschiedliche Schnittstellenlagen zwischen vir tuellem System Loop und realem Teil System Hardware ausgew hlt werden Im Gegensatz zum virtuellen MIL Test k nnen die programmierten Algorithmen auf der end g l
185. onen und parameter k nnen ber eine Echtzeithardware mit Benutzerschnittstelle an der realen Strecke getestet und angepasst werden 4 Die Verwendung eines automatischen Code Generators welche erst die durchg n gige Entwicklung der Steuerger teprogrammierung durch die Umsetzung der Regler modellierung in Serien Code erm glicht Punkt eins und zwei der Aufz hlung verzweigen sich in unterschiedliche Methoden MIL SIL oder HIL mit differierenden Systemgrenzen Bild 4 6 versucht diese oft verwendeten Begriffe von einander abzugrenzen und erkl rt die gebr uchlichen Varianten davon Beim Hardware in the Loop Test oberer Bildteil wird in allen Varianten hexadezimaler Code hex d h kompilierter Serien Code auf dem Zielprozessor in einer Simulationsumge bung getestet Die Schnittstellendefinition Simulation Realit t der HIL Umgebung erstreckt sich vom simulationslastigsten Fall dem Processor in the Loop Test bis zum hardwarelastigsten Fall der Einbindung des kompletten Maschinensystems ber Pr f standsversuche HIL Systemtest Beispielhaft sind drei verschiedene Schnittstellen zwi schen virtueller Simulation und realem System im Bild eingezeichnet 1 Bei modellbasierter Regelungstechnik werden mit Hilfe von physikalischer Modellierung von Teilsyste men so genannte Zustandsbeobachter entwickelt die das Verhalten eines Teilsystems plausibilisieren oder sogar vorausschauend beurteilen k nnen siehe auch Kapitel 6 3 1 52
186. ort 2000 Norm ISO 14230 Berlin Beuth Verlag 2000 123 Recommended Practice for a Serial Control and Communications Vehicle Net work Application Layer Diagnostics Norm SAE J1939 73 Berlin Beuth Verlag 2001 124 Road Vehicles Diagnostics on Controller Area Networks CAN Normentwurf ISO DIS 15765 Berlin Beuth Verlag 2003 125 Schlingmann N Diagnose im Feldeinsatz bei CLAAS VDI MEG Tagung Land technik 2004 Dresden 07 08 10 2004 In VDI Berichte 1855 S 145 150 D ssel dorf VDI Verlag 2004 126 Stra enfahrzeuge Austausch digitaler Informationen Steuerger tenetz CAN f r schnellen Datenaustausch Norm ISO 11898 Berlin Beuth Verlag 2003 141 10 Literatur 127 F hrer Th et al TTCAN Zeitgesteuerter Nachrichtenverkehr im CAN Netzwerk VDI Tagung Elektronik im Kraftfahrzeug 2001 Baden Baden 27 28 09 2001 In VDI Berichte 1646 S 43 52 D sseldorf VDI Verlag 2001 128 Plankensteiner M St Poledna und G St ger Das zeitgesteuerte Protokoll TTP ATZ MTZ Automotive Engineering Partners Sonderausgabe September 2002 Automotive Electronics S 60 63 129 Time Triggered Protocol TTP C High Level Specification Document Protocol Version 1 1 URL http www tttech com Wien sterreich TTTech Computer technik AG 2003 130 Heinecke H et al FexRay ein Kommunikationssystem f r das Automobil der Zukunft Elektronik Sonderheft Automotive September
187. pann 5 pl tzlicher Falsche Gesch Anfangsstand 08 05 02 berf hrt Gassto windigkeit wird Schnittmenge Fahrer 3 240 Feldgrenze beim Aushub priorisiert g ltiger Geschw beobachtung und vorgang Intervalle eingriff Kollision mit nderungsstand 03 06 02 Hindernis niedrigste 4 s o 3 120 Geschwindig gilt Personen Ist Geschwin Anfangsstand 08 05 02 schaden digkeit fehler Zuverl ssige 5 Plausibilisierung 2 100 haft Sensorik Geschwindig keitsmessung Traktor Ger t Automatik Anfangsstand 08 05 02 stoppt nicht Lastenheft Fahrer 3 240 Programmierung beobachtung und eingriff nderungsstand 03 06 02 Teil FMEA Is o 31 erforderlich Bild 6 11 Auszug aus dem FMEA Formblatt VDA 96 164 der System FMEA Ger t steuert Traktor Bewertungskatalog f r B A und E siehe Anhang 9 1 Die potenzielle Fehlerursache Automatik stoppt nicht kann ebenfalls einen pl tzlichen Gassto am Feldende bewirken Dieser Fehler ist im Programmablauf der Automatik begr ndet und daher abh ngig vom Lastenheft der Programmierung der Ger terechner oder des Traktorrechners Da sonst keine weitere Vermeidungsma nahme vorgesehen ist ist auch hier mit einem entsprechend hohen Auftreten zu rechnen A 8 Wie im vorigen Beispiel liegt eine m gliche Fehlerentdeckung in der Verantwortung des Fahrers E 3 und das Gesamtrisiko ebenfalls im kritischen Bereich RPZ 240 Nachdem hier nicht nur ein einzelner Algor
188. portfahrzeugen Landtechnik 58 2003 H 6 S 370 372 Hommel R R Lutz und W Baur Bew hrte Getriebetechnik mit einem H chstma an Komfort Das automatisierte 4 fach Lastschaltgetriebe mit Komfortkupplung f r Same Deutz Fahr Agrotron Traktoren VDI MEG Tagung Landtechnik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 19 23 D sseldorf VDI Ver lag 2003 Wilmer H Deutz Fahr Agrotron 210 Gro e Klasse profi 15 2003 H 12 S 44 46 Wiegandt M und H H Harms Grundlagen eines Bremsmanagements f r Trakto ren VDI MEG Tagung Landtechnik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 61 66 D sseldorf VDI Verlag 2003 Pandit M Steer by Wire Wo stehen wir ATZ 101 1999 H 11 S 914 Gies St und M Schachner Neue Funktionalit ten durch elektronifizierte Lenksys teme 13 Aachener Kolloquium Fahrzeug und Motorentechnik 04 06 10 2004 In Tagungsunterlagen Band 2 S 1479 1500 Aachen fka Forschungsgesellschaft Kraftfahrwesen mbh Aachen 2004 135 10 Literatur 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 136 Rieger W Aktivlenkung f r aktive Sicherheit ATZ MTZ Sonderausgabe Mai 2003 System Partners S 69 72 K hn P et al Die Aktivlenkung Das fahrdynamische Lenksystem des neuen Ser ATZ MTZ Sonderausgabe August 2003 Der neue BMW Ser S 96 105 Neunaber M Exklusiver Fahrbe
189. r Spezifikationsphase k n System 2 nen die allgemeinen Sys temfunktionen mit Hilfe _ System der _Systemstrukturana grenze gt Energie gt Stoff gt Information lyse aus den Anforderun Bild 4 1 Allgemeiner Signalflussplan zweier Systeme mit gen entwickelt und in Energie Stoff und Informationsfl ssen Funktionsgruppen und modulen mit Hilfe eines Signalflussplans Bild 4 1 angeordnet werden Die Black Box 38 4 2 Konventionelle Methoden f r die Systementwicklung Tabelle 4 1 Entwicklungsmethoden f r die Elektronikentwicklung eine Auswahl Methode Ma nahme Test Validierung Modulebene Komponentenebene konventionell Simulation weiterentwickelt verwendet Modellbasierte Spezifikation x modellbasiert Lastenheft Anforderungsanalyse x x SW bezogen Systemstrukturanalyse x x x IHW bezogen x Risikoanalyse System FMEA x Fehlerbaumanalyse x x x x x x Systemebene x x Xx Xx x X XxX XxX X Xx x x x x x x systembezogen Strukturierte Analyse x Model in the Loop x Rapid Control Prototyping x x X X X X X XxX X Xx Komponenten FMEA x Automat Code Generierung Software Criticality Analysis x erprobte Hardware SW Standards SW Konfigurationsmanagement x SW Audit x x x x x x x x x x x x x x x x Spezi
190. r es kann aber nicht festgestellt werden welcher der brigen Kan le fehlerhaft ist d h das System ist dann abzuschalten Der Ausbau zu h heren Fehlersicherheiten wird durch Hin zuf gen weiterer redundanter Kan le realisiert z B 2004 Architektur Die erforderliche Systemintegrit t bestimmt als Resultat der Risikoanalyse die notwen dige Systemarchitektur hinsichtlich ihrer Fehlertoleranz siehe Tabelle 5 2 5 2 Vorgehensmodell f r System und Softwareentwicklung Die in Kapitel 4 2 1 2 beschriebene Risikoanalyse bestimmt die sicherheitstechnisch erforderlichen Integrit tsklassen Safety Integrity Levels der einzelnen MSR Sicher heitsfunktionen des Gesamtsystems F r die Entwicklung der MSR Sicherheitsfunktionen gilt es nun die geforderte Systemintegrit t anhand angemessener Methoden und Ma nah men innerhalb eines sicherheitsgerechten Entwicklungsprozesses sicherzustellen Dabei 66 5 2 Vorgehensmodell f r System und Softwareentwicklung Tabelle 5 2 Systemarchitektur abh ngig von der geforderten Systemintegrit t Safety In tegrity Level SIL Geforderte Integrit t Architektur Verhalten Bemerkung Referenz SIL1 1001 Integrit t durch ausfallsichere Komponenten SIL1 SIL2 1001D integer Fehler wird erkannt Bild 5 1 SIL2 1002 integer typisch f r ABS Bild 5 2 SIL2 2002 integer Bild 5 3 SIL2 SIL3 1002D fehlertolerant Einfachfehler wird aufgefangen Bild 5 4 SIL3 2003 fehlertolerant t
191. r dem Lenksystem zugef hrt spricht man von automatischen Lenksystemen wobei man die Navigation nach realen und virtuellen Leitlinien unterscheidet 60 In der Landwirtschaft gibt es einige Beispiele f r die Navi gation nach realen Leitlinien Tabelle 2 4 zeigt eine Auswahl geeigneter Sensorik die auch bei Baumaschinen oder in der Kommunaltechnik hnlich Anwendung findet Tabelle 2 4 Prinzipien f r die Erfassung realer Leitlinien bei der landwirtschaftlichen Feldarbeiit Prinzip Sensorik Beispiel Kontaktschalter Kraftmesser oder Lenkautomatik durch Ertasten der Pflan mechanisch taktiler Taster zenreihen im M hdrescher oder H cks lervorsatz bei der Maisernte 61 62 Laufzeitmessung reflektierter Laser Bestandskante von Getreide gegen ber aisd strahlen der abgeernteten Fl che 63 64 5 Kameraerfassung Vergleich be Bestandskantenerkennung bei der Mais wachsene unbewachsene Bereiche ernte 65 Abstandsmessung durch linienf r Schwaderkennung von Halmgut und Be mig angeordnete Ultraschallsensorik stimmung des Fl chenschwerpunkts 66 akustisch Abstandsmessung durch punktf rmig Bestimmung des Abstands des Pflugrah angeordnete Ultraschallsensorik mens zur Furchenkante beim Onland pfl gen 67 68 Bei der Navigation nach virtuellen Leitlinien wird der Sollkurs nicht direkt aus senso risch gewonnenen Umgebungsdaten eingeregelt sondern vorher durch Strategie festge legt Die meist ve
192. r einen sp ter in der Arbeit beschriebenen Leitfa den f r die Entwicklung elektrisch elektronisch programmierbar elektronischer Systeme E E PES von mobilen Arbeitsmaschinen dienen Speziell an die Anwendungsf lle bei 23 2 Stand der Forschung und Technik mobilen Arbeitsmaschinen angepasste Entwicklungskonzepte insbesondere mit Hinblick auf die funktionale Sicherheit der Systeme sind dem Autor nicht bekannt 2 3 1 Konventionelle Vorgehensweise In den konventionellen Entwicklungsprozessen werden die einzelnen Teilsysteme oft getrennt voneinander entwickelt und sp ter unter genauen Schnittstellenvorgaben in das Gesamtsystem integriert Eine asynchrone Entwicklung von Teilsystemen ist damit m g lich Innerhalb der Teilsysteme nimmt die Software einen immer gr eren Anteil der Funktionalit t der Systeme ein Eine Trennung der Entwicklungsprozesse f r Software und hardwarelastige Systemelemente muss aber vermieden werden Design und Konzep tion von Software und Hardwaremodulen sind parallel anzugehen In Bild 2 3 wird ein Beispiel f r einen konventionellen Entwicklungsprozess f r E E PE Systeme gezeigt Anforderungsbeschreibung Die Entwicklung eines mechatroni schen Teil Systems beginnt mit Anforderungsanalyse der Beschreibung der Anforderun gen hinsichtlich Funktionalit t und Funktionaler Grobentwurf k Architekturentwurf HW Sys SW Funk SW ECU elemente tionscode spezifisch Partitionierung
193. rag zur konstruktiven Si Bild 3 1 Funktionale Sicherheit komplexer Systeme bei cherheit mit berwachung mobilen Arbeitsmaschinen der Systeme durch MSR Si cherheitsfunktionen Mes sen Steuern Regeln Sicherheitskritische Fehler m ssen dabei rechtzeitig erkannt wer den damit der sichere Zustand durch geeignete Fail Safe Strategien erreicht werden kann bzw nicht verlassen wird Die in dieser Arbeit betrachtete funktionale Sicherheit ist laut Normung und Fachwelt definiert als Teil der Gesamtssicherheit eines Systems der aus der korrekten Funktionalit t des MSR Sicherheitssystems resultiert welches mit Hilfe durch f hrbarer Aktionen den sicheren Zustand des Gesamtsystems ansteuert bzw aufrechter h lt Dabei kann das Sicherheitssystem intern durch elektrisch elektronisch programmier bar elektronische Systeme auf anderen Technologien basierende Systeme oder auch durch externe Einrichtungen zur Risikominderung realisiert werden 151 Mittlerweile hat sich der Begriff funktionale Sicherheit als eine zus tzliche Kompo nente konstruktiver Sicherheit durchgesetzt Die funktionale Sicherheit mechatronischer Systeme mobiler Arbeitsmaschinen gliedert sich anwendungsbezogen in die beiden Hauptbereiche e Sicherheit elektronischer Eingriffe in die Fahrzeugf hrung Fahrsicherheit durch Assistenzsysteme aktive Sicherheitssysteme u U basierend auf X by Wire Tech nologie 32 3 2 Ma nahmen zur Gew hrleistung des sichere
194. rake by Wire System so wird die mechanisch hydraulische Kraft bertragung zwischen Bremspedal und Bremsaktorik also die Wirkkette Bremskraftverst rker Leitungssystem und Bremszylinder durch eine elektronische Signal bertragung zwischen Pedal und Aktor ausgetauscht Elektronischer Eingriff in Motor und Getriebe Durch den anhaltenden Trend zu elektronisch geregelten Dieselmotoren und stufenlosen Getrieben bei Traktoren 31 wurden intelligente Managementsysteme f r den Antriebs strang m glich die einerseits verbrauchsoptimierte andererseits leistungsoptimierte Betriebsbereiche bei den unterschiedlichsten Einsatzf llen zur Verf gung stellen 32 33 In Weiterf hrung dieser Forschungsarbeiten werden die Ergebnisse auch auf andere mobile Arbeitsmaschinen wie z B Hydraulikbagger bertragen 34 Durch Verheiratung intelligenter Antriebsstrangkonzepte mit neuen M glichkeiten bei der Gestaltung der Mensch Maschine Schnittstelle kann der Fahrer unterschiedliche Bet tigungskonzepte und Fahrstrategien flexibel bestimmen und miteinander kombinieren 35 36 Um auto matische Managementfunktionen zu erm glichen setzt die Firma John Deere bei den Traktoren der 6000er und 7000er Baureihe auf stufenlose hydrostatisch leistungsver zweigte Getriebe mit ber CAN vernetzten elektronischen Steuereinheiten f r Motor Getriebe und Fahrerschnittstelle 37 38 AGCO Fendt realisierte mit ihrem Traktor Management System TMS vier unterschiedliche
195. rarbeitet und nachgewiesen werden Im Zusammenhang mit der Zuverl ssigkeit der Werkzeuge h rt man oft den Ruf nach zertifizierten L sungen f r Code Generator und Compiler Bei durchgef hrten Untersuchungen wurde die Verifika tion anhand geforderter Spezifikation und korrekter Umsetzung der Programmierung durch den Code Generator auf Basis konventioneller Testma nahmen vollzogen Zertifi zierte Werkzeuge w rden jedoch den Testaufwand nur teilweise bis gar nicht verringern Das korrekte Arbeiten der nicht zertifizierten Tools wird demnach mit dem Funktions nachweis der fertig programmierten Steuerung proven in use begr ndet 105 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse Die entwickelten MSR Sicherheitsfunktionen wurden zuerst in Simulationen getestet und sp ter sukzessive am realen Versuchsgespann in Betrieb genommen Wo es m glich war wurde versucht die sicherheitstechnischen berwachungen in statischen Standversuchen oder Fahrversuchen ohne Ger te zu verifizieren Die eigentliche Validierung wurde mit der gesamten Traktor Ger te Kombination in zahlreichen Versuchsfahrten auf dem insti tutseigenen Versuchsfeld durchgef hrt Die Vorgehensweise gliederte sich anhand der ver schiedenen berwachungsstrategien funktionaler Sicherheit in folgende Bereiche e berwachung sicherheitsrelevanter Prozessgr en e Koordination von Bewegungsabl ufen e sicherheitsgerechtes Verhalten der Teilsysteme im Fehlerfall
196. rbeherrschung berwachun gen durch injizierte Fehler e Test der Schnittstellenverarbeitung e Test bez glich zeitlicher Anforderungen e EEPROM Simulation e Steuerger tetest im Brettaufbau Perfor mancetests Stresstests Intention Intention Aufdecken systematischer Fehler Aufdecken systematischer und statistischer Fehler Nachweis von Funktionalit t Pflegbarkeit Komplexit t und Einhaltung von Softwarestandards Viele Entwicklungswerkzeuge wie die g ngigsten Compiler verwenden integrierte stati sche und dynamische Testmethoden um in ihrem Debug Modus Fehlererkennung durch Syntaxpr fung am Quelltext schrittweiser Funktionstest des kompilierten Codes usw m glichst viele Fehler zu erkennen Die im n chsten Teilkapitel angesprochenen modellbasierten Methoden zur Software entwicklung versuchen die genannten Vorteile beider Testmethoden zu verbinden fokus sieren dabei aber die dynamische Analyse Eine durchg ngige modellbasierte Vorgehens weise erm glicht es damit schon in der fr hen Entwicklungsphase Teilfunktionen nach Spezifikation dynamisch testen zu k nnen 4 3 Modellbasierte Methoden f r die Softwareentwicklung Bei der Entwicklung mechatronischer Systeme unterscheidet man zwei verschiedene Sachverhalte f r den Begriff modellbasiert einmal die modellbasierte bzw gest tzte 51 4 Entwicklungsmethoden Regelungstechnik und die in diesem Kapitel behandelten modellbasierte
197. rbeitet Die beiden Rechner werden ber eine Echtzeitschnittstelle syn chronisiert und der Datenaustausch gew hrleistet siehe auch 183 Die Vorteile einer RCP Entwicklungsumgebung liegen in der einfachen intuitiven Modifizierung der Algo rithmen in der Modellierung und der M glichkeit online Parameter Variablen oder Zust nde zu diagnostizieren und in Echtzeit im realen Fahrzeug zu ver ndern 4 3 4 Software in the Loop SIL Eine M glichkeit den konventionell programmierten Steuerger te Code in der Simulation zu testen ist der Software in the Loop Test Einzelne programmierte Funktionen oder umfassendere Funktionsstrukturen lassen sich ber spezielle Simulationsbl cke in das Gesamtmodell in Form von ausf hrbaren Code Dateien dll exe oder als Quellcode c m s einbinden Sie bernehmen die Funktionalit t des Reglers der Steuerung oder der berwachung das Restsystem bleibt wie beim MIL Test komplett simuliert Bei Einbettung der Code Module m ssen die Schnittstellen zur Simulation hinsichtlich Typisierung und Wertebereich der bergebenen Variablen in den speziellen Simulations bl cken konfiguriert werden In Bild 4 11 ist ein Beispiel f r den Funktionstest mittels Software in the Loop gezeigt 58 4 3 Modellbasierte Methoden f r die Softwareentwicklung Umwelt _ Steuerung en Regelung Aktoren Strecke Sensoren berwachung Mobile Arbeitsmaschine __ Modellierung in der PC Simulation __
198. rbeitsprozesse entlasten den Fahrer erheblich und sind mittlerweile Stand der Technik hnlich wie bei Traktoren und Landmaschinen sieht man auch bei Baumaschinen und in der Kommunaltechnik gro es Innovationspotenzial im Einsatz mechatronischer Sys teme und Automatiken Hier liegt die Intention haupts chlich in der Entlastung des Fah rers durch einfachere Bet tigungskonzepte und Automatisierungen h ufig verwendeter oder komplizierter Bet tigungssequenzen Die Arbeitsprozesse werden dadurch beschleu nigt eine Erh hung der Schlagkraft und Reduzierung der Kosten wird m glich In Maschinen wo noch keine zus tzlichen Funktionalit ten implementiert werden schafft man derzeit die Voraussetzungen zuk nftigen Anforderungen des Wettbewerbs nachzukommen Elektronische Regelung des Antriebsstrangs system bergreifende Datenkommunikation und elektronisch ansteuerbare Schnittstellen erweitern hier das Potenzial der Maschinensysteme f r zuk nftige Automatiken 1 Einleitung und Aufgabenstellung Ein Beispiel f r den stei genden Anteil von Elektro nik bei mobilen Arbeitsma schinen zeigt die Darstel lung in Bild 1 1 Hier ist die St ckzahlentwicklung f r elektronische Steuerge r te mit CAN Schnittstelle Controller Area Network eines renommierten Her St ckzahl stellers gezeigt Der 1990 1992 1994 1996 1998 2000 2002 bsatz von elektronischen Jahre Steuerger ten f r mobile Bild 1 1 St ckzahlentwicklung von el
199. rbreiteten Systeme sind satellitengef hrt und erhalten ihre augenblickli che Position durch das Differential Global Positioning System DGPS Im Unterschied 14 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen zum Basissystem GPS werden beim DGPS auf unterschiedliche Arten bezogene Refe renzsignale zus tzlich herangezogen um die Abweichungen des amerikanischen GPS zur tats chlichen Ist Position herauszurechnen Genauigkeiten im Zentimeterbereich wer den so realisiert Zus tzliche Sensoren wie z B faseroptische Kreisel translatorische und rotatorische Beschleunigungsaufnehmer Positionsbestimmung aus Lenkwinkel und Ist Geschwindigkeit erm glichen Plausibilisierung der Positionsbestimmung bei zeitwei ligem Signalverlust z B durch Abschattung oder hnliches und kompensieren systema tische Fehler wie die Neigung der Arbeitsmaschine am Hang Der Abgleich inertialer Positioniersysteme mit der DGPS Technik wurde von Klee wissenschaftlich untersucht und in einem Sicherheitssystem f r Landmaschinen verwendet 69 Die Hauptintentionen aktueller automatischer Spurf hrungssysteme Beispiele in 70 75 bersichten in 41 76 bei der landwirtschaftlichen Reihenfahrt sind e die Entlastung des Fahrers e die Erh hung der Genauigkeit der Navigation e die Erh hung der Maschinenauslastung e die verfahrenstechnische Verbesserung der Applikation Das zuk nftig verf gbare zivile europ ische GPS Galileo 77
200. rdnete Traktorrechner Br ckenrechner zwischen Traktor und Ger ten regelt den Wendevorgang des Gespanns hinsichtlich Motordrehzahl Wendeschaltung und Geschwindigkeit der Fahrer muss nur noch lenken Die entwickelten MSR Sicherheitsfunktionen bezogen sich auf die berwachung und Plausibilisierung sicherheitsrelevanter Prozessgr en die Regelung konkurrierender Zugriffe auf Systemressourcen und die Koordination von Bewegungsabl ufen kinemati scher Vorg nge Signifikante Fallbeispiele sind eine elektronisch realisierte Durchfluss verteilung bei drohender Unterversorgung der Arbeitshydraulik und eine fehlertolerante Sensorerfassung f r die Aufsattelposition der Drillmaschine die mit Hilfe analytischer Redundanz ein 3 kanaliges und damit ausfallsicheres System umsetzt Die Versuchsergebnisse und Erfahrungen lie en sich auf den gesamten Bereich der mobilen Arbeitsmaschinen verallgemeinern wobei als Teilaspekte insbesondere das sicherheitsgerechte Verhalten der Teilsysteme im Fehlerfall und die korrekte Interpretation und Verarbeitung des Fahrereingriffs herausgearbeitet wurden 125 9 Anhang 9 1 Bewertungskatalog System FMEA angepasst an mobile Arbeitsmaschinen Der entwickelte Bewertungskatalog dient als Vorlage die vor Durchf hrung der FMEA im Team diskutiert und abgestimmt werden muss W hrend der Bewertung ist es sinnvoll den Katalog dynamisch mit Beispielen und Anmerkungen zu erweitern Tabelle 9 1 Bedeutung B
201. re shown Finally test results document validation of the experimental vehicle automatics which had been worked out according the development concept and allow generalization of the results for the whole area of mobile working machinery XII 1 Einleitung und Aufgabenstellung Die Entwicklungstendenzen bei mobilen Arbeitsmaschinen wurden in den letzten Jahren von einer berdurchschnittlichen Zunahme elektronisch gesteuerter und geregelter Pro zesse bestimmt Die Verschmelzung der Disziplinen Elektrotechnik Informationstechnik und Maschinenbau zur Mechatronik wird zuk nftig den gr ten Teil der Innovationen f r sich einnehmen Ein herausragendes Beispiel f r den Wandel von der Mechanisierung zur Elektronifizierung als wichtigste Triebfeder zuk nftiger Verbesserungen mobiler Arbeits maschinen ist das Segment der Landtechnik Innovative Entwicklungstendenzen wie teil fl chenbezogene Applikation von D ngemitteln und Pflanzenschutz Precision Farming 1 oder Erh hung der Schlagkraft durch teil Jautomatisierte Arbeitsprozesse in der Feldrobotik werden die Mechanisierung als bisherigen Motor der Produktivit tssteige rung abl sen vergleiche auch 2 Neben der Produktivit tssteigerung stehen auch Verbes serungen der Arbeitsbedingungen f r den Fahrer im Mittelpunkt der Bem hungen Inno vative Bedienkonzepte elektromechanische bzw hydraulische Bet tigungen Unterst t zung durch Teilautomatisierungen und elektronisch geregelte A
202. reipunktverbindung zwischen Traktor und angebautem Ger t wurde in den letz ten Jahren regelungstechnisch st ndig weiterentwickelt Erste Systeme der elektronisch hydraulischen Hubwerksregelung EHR regelten nur die Zugkraft und oder die Soll Posi tion des Ger tes durch Heben und Senken des Heckkrafthebers Sp ter wurden Systeme f r aktive Schwingungsd mpfung zur Ausregelung der Radlastschwankungen an der Vor derachse durch Verarbeitung von Position und Unterlenkerkraft Stand der Technik 83 Der elektronisch geregelte hydraulisch verstellbare Oberlenker erweitert erneut die Funk tionalit t des Heckdreipunktanbaus durch M glichkeiten zum Parallel oder Steilaushub der angebauten Ger te Durch zus tzliche Einf hrung von elektrohydraulisch l ngengere gelten Hubstreben werden die Steuerungsm glichkeiten von Anbauger ten weiter verbes sert siehe auch 84 Ein v llig neues Konzept ist die Realisierung des Heckanbaus durch eine vertikal gestellte Stewart Plattform mit sechs gleichen hydraulischen Zylindern in Hexapodanordnung zwischen Traktor und Ger t wie es in 86 vorgestellt wird Durch geschickte Regelung der Zylinderl ngen die durch integrierte Sensoren erfasst werden erreicht man sechs Freiheitsgrade f r die Bewegungen der Ger teschnittstelle und damit ein u erst hohes Automatisierungspotenzial Ein ger teseitiger Ansatz liegt im Konfigurationsmanagement landwirtschaftlicher Ger te durch elektronische Einstellm gl
203. rgung wird verhindert Oneu Ony Geber 6 3 gefordert Bild 6 17 zeigt die Wirkungsweise der elektronisch gesteuerten sozialen Durchfluss verteilung als Messschrieb einer MIL Simulation f r die Verifikation der verwendeten Logik In zugeh riger Tabelle sind die geforderten und durch die berwachung angepass ten Volumenstromwerte f r das Beispiel aufgef hrt 98 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen Zur Realisierung der elek tronisch geregelten Durch flussverteilung musste das 5 Elektronikkonzept des Trak w tors ver ndert werden Im ur spr nglichen System wurden S die hydraulischen Zusatz ventile und der Frontkrafthe a ber ber den Fendt Fahr Volumenstrom Qy O1 Oy Z zeugrechner mittels CAN gefordert 60 l min 40 l min 50 l min 150 l min Botschaften auf dem Trak zugeteilt 44 min 29 l min 37 min 110 l min tor BUS II angesprochen Der stand des Versuchstraktors Bild 6 17 MIL Simulation der elektronisch geregelten Durchflussverteilung bei Unterversorgung Bei 3 Sekun den wird Oyerf gbar 110 l min berschritten Die Volumenstromanforderungen werden daraufhin automa tisch mit dem Faktor Oyerf gbar O gefordert 7 110 150 redu ziert vorhandene Software erlaubte es nicht die Durch flussmengen mehrerer Ven tile in einem Vorgang zu ver ndern Dies konnte nur durch ein direktes Ansprechen der Ventile Fa Bosch re
204. rheitsbezogener E E PES DIN IEC 62061 Funktionale Sicherheit von E E PES bei Maschinen DIN EN ISO 13849 Sicherheitsbezogene Teile von Steuerungen ehemals EN 954 DIN V 19250 Grundlegende Sicherheitsbetrachtungen f r MSR Schutzeinrichtungen DIN V 19251 MSR Schutzeinrichtungen Anforderungen und Ma nahmen zur gesicherten Funktion 3a R ge Q je A v D D S 72 DIN EN ISO 14982 Land und Forstmaschinen EMV ISO DIS 15998 Erdbaumaschinen Einsatzbedingungen und Test von EE Systemen ISO CD 15003 Umgebungsbedingungen f r EE Systeme ISO 16750 Stra enfahrzeuge Umgebungsbedingungen und Pr fungen von elektrischer und elektronischer Ausr stung Dokumentation des Stands der Technik ECE Regelungen Empfehlender Charakter Technische Spezifikationen ECE R XX Komplexe Elektronische Fahrzeugsysteme Entwurf Herstellerstandards Bild 2 5 F r die Entwicklung sicherheitsrelevanter Systeme mobiler Maschinensysteme relevante Richtlinien Normen und Regelungen Referenzen siehe 141 159 Die Norm DIN EN ISO 12100 147 liegt als allgemeine Grundnorm Typ A relativ nahe an der Maschinenrichtlinie und gibt designunabh ngige Gestaltungsleits tze Hinsichtlich Beurteilung von Gef hrdungspotenzial und Risikoanalyse bieten die ISO 14121 148 und die Standards DIN V 19250 19251 149 150 die n tigen Grundlagen Sie sind durch eine der umfassendste
205. rhin die Kontrolle ber das Gespann Ein Beispiel hierf r zeigt Bild 7 10 Nach Ausl sen des Fail Safe Verhaltens ist der Fahrer in der Lage durch manuelles Schalten des Ventils 1 zum Zeitpunkt 540 s die Aufsattelung der Drillma schine zu bet tigen und somit auf die Situation zu reagieren Ein weiteres Beispiel ist der Eingriff des Fahrers auf die Geschwindigkeit w hrend des Automatikbetriebs Solange keine Limits oder aktuellen Sollwerte der Ger te oder des Taskcontrollers berschritten werden kann der Fahrer die Geschwindigkeit bedarfsweise erh hen Bei berschreiten der Grenzwerte wird aber wegen drohender Besch digung der Ger te oder Nichterreichen der funktionellen Vorgaben der Fail Safe ausgel st 123 8 Zusammenfassung Der Anteil elektronisch geregelter Systeme bei mobilen Arbeitsmaschinen nimmt wie in anderen Bereichen der Fahrzeugtechnik stetig zu Zus tzlich zum Eingriff in den Antriebsstrang werden auch die Arbeitsprozesse von einem immer h heren Automatisie rungsgrad gepr gt Die verwendeten Technologien der Systeme und das Fehlen konventi oneller R ckfallebenen stellen neue Anforderungen an ihre Betriebssicherheit Die Aus fallsicherheit wird oftmals nicht mehr durch einzelne Bauteilzuverl ssigkeiten festgelegt sondern von den Zuverl ssigkeiten der elektronifizierten Elemente bestimmt durch Hard ware und Software Gerade bei programmierbaren mechatronischen Systemen liegt die Schwierigkeit in der Quantifizierung
206. richt New Holland Fast Steer Der schnelle Dreh profi 15 2003 H 12 S 48 49 Wilmer H Fendt R ckfahreinrichtung von Neumaier Mehr als eine R FA profi 15 2003 H 7 S 30 31 H ner G Neue Kommunaltechnik im praktischen Einsatz top agrar 32 2003 H 6 S 70 72 Wischhof H J E Seidenglanz K H Gie ner und A Vogt Die neue Unimog Generation Teil I und II ATZ 102 2000 H 9 S 686 692 und H 10 S 854 858 860 862 863 Barth W Die Aufgaben des KBA Vortrag Universit t Bamberg URL http www kba de Stabsstelle Presseservice Schwerpunktthema Aufgaben _ desKBA2 pdf Kraftfahrt Bundesamt 2002 DaimlerChrysler Powersystems auf der IAA Nutzfahrzeuge 2002 Bayerische Gemeindezeitung 53 2002 Nr 20 S 13 Wilde Th R benernte Wirkung der Gro maschine auf den Boden Landtechnik 53 1998 H 2 S 72 73 Massak F und K Th Renius Mounty 65 der neue Bergtraktor von Reform VDI MEG Tagung Landtechnik 2001 Hannover 09 10 11 2001 In VDI Berichte 1636 S 41 52 D sseldorf VDI Verlag 2001 Ennen J und G Kaupert Der neue Mobilkran GMK 7450 Grove Entwicklung f r den Weltmarkt Hebezeuge und F rdermittel 43 2003 H 1 2 S 14 18 Pudszuhn R Entwicklung elektrohydraulischer Lenksysteme in der Landtechnik VDI MEG Tagung Landtechnik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 231 238 D sseldorf VDI Verlag 2003 Thomsen S und K B Jensen Elektrohydraulisch
207. rillmaschine soll im Feh lerfall jedoch kontrolliert herunterfahren Die Fail Safe Stellung des Ventils 2 Hydromo tor des Gebl ses wurde deshalb vorher durch den Ger terechner der Drillmaschine auf Freigang konfiguriert und dementsprechend vom Traktorrechner eingestellt 121 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse Bild 7 10 Fail Safe 100 Verhalten der hydrauli D y 4 Auftreten schen Zusatzventile Im 3 Fehlerfall bei 505 s 60 wird die Automatik ab z geschaltet und die Ven 49 tile in den f r sie vorher 2 20 festgelegten sicheren 5 F Zustand gebracht Auch nach dem Ausf hren der Ventil 3 Fail Safe Schaltung f r Freigang die Ventile beh lt der Senken Fahrer Handlungsge Ventil 1 walt siehe manuelle Heben E Ventil 2 Bet tigung bei 540 s Blocker 450 475 500 s 550 Zeit 7 4 Korrekte Interpretation und Verarbeitung des Fahrereingriffs Der Fahrer der mobilen Arbeitsmaschine ist und bleibt vorerst noch wichtigstes berwa chungsorgan im Gesamtsystem Auch wenn autonome fahrerlose Konzepte haupts ch lich aus dem Bereich der Landmaschinen siehe Beispiel in 79 die Machbarkeit von Vollautomatisierungen fahrerloser Fahrzeuge beweisen ist der Aufwand einer kompletten Absicherung solcher Systeme enorm Die berwachenden T tigkeiten des Fahrers m ssen durch genaue Erfassung interner und externer Fehlerzust nde mittels aufwendiger Senso rik
208. rken Steigungen vorliegen 86 6 1 Systembeschreibung und Aufbau der Automatiken In einem n chsten Schritt wurde die Positi onsbestimmung f r die Re alisierung einer neuartigen Wendeautomatik weiter verwendet Nach erfolgter Bearbeitung der Reihe hat der Fahrer die M glichkeit die neu realisierte Prozess automatisierung f r das Wenden des Gespanns zu aktivieren Die Systematik des automatischen Wende vorgangs ist in Bild 6 9 er kl rt Die Automatik er kennt ob links oder rechts gewendet wird Bei Akti vierung regelt der Traktor rechner die Geschwindig keit beim Wenden und in vertiert positionsabh ngig die bersetzung Der Fah rer hat als einzige Aufgabe das Gespann in drei Wen dez gen nach dargestellter Skizze zu lenken Nach Ablauf des Wendevorgangs startet der Traktorrechner selbstst ndig die Reihenau tomatik f r die Bearbeitung der n chsten Bahn punkt genau an der Bearbeitungs grenze Bei den im Kapitel 7 1 1 beschriebenen Versuchs fahrten hat es sich gezeigt dass die realisierte Positi ons berwachung sicher 1 Vorw rtsfahrt 1 Kurve P 90 Yr O Ya gespeichert Beginn der Automatik Beginn Berechnung der Bahnkurve Drehen des Gespanns um 90 p 2 175 amp Wendeautomatik aktiv p lt 5 amp Wendeautomatik aktiv L2 Versatzfahrt nach links R2 Versatzfahrt nach rechts Seitliches Versetzen des Gespanns Seitliches Versetzen des Gespanns bis auf 2 Arbeitsbr
209. rmittelt Durch Auswertung des Volumenstroms Q Heben an der Kolbenseite des Zylinders 92 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen und Ber cksichtigung der kinematischen Gr en wird der Ersatzwert 03 analytisch berech net und mit den beiden gemessenen Winkeln verglichen F r die Berechnung des normierten Hubwinkels Wertebereich von 0 bis 100 wer den die L nge z des Zylinders ermittelt ber Integration von Q Hepen bezogen auf die Kol benringfl che Aring Gleichung 6 1 und die geometrischen Winkelbeziehungen der Kinematik Kosinussatz herangezogen Az Q Heben q 6 1 ARing Grundlage f r die Diagnose eines defekten Winkelsensors bzw Fehlers in der Kinematik ist die logische Verarbeitung der drei redundanten Kan le mittels 2003 Entscheidung Dabei werden die Werte durch Berechnung dreier Residuen miteinander verglichen Bild 6 13 zeigt den Systemaufbau f r die Ermittlung der Messwerte das analytische Prozess modell sowie die Bestimmung der Residuen r bis r3 Die Auswertung obliegt dem Steu ennlinie o errechner der Drillmaschine Q Zylinder z Kinematik 4 8 4 u K ini Sensor MO RA 2 l F Kennlinie i Analytisches Systemmodell a U Kennlinie Zylinder z Kinematik a Kennlinie o 2 modell modell A Q Sensor Analytisches Systemmodell C Software C Hardware Bild 6 13 Signalflussplan der fehlertoleranten Sensorerfassung
210. ro grammierbarer elektronischer Systeme Norm DIN EN 61508 Berlin Beuth Verlag 2001 152 Sicherheit von Maschinen Funktionale Sicherheit von elektrischen elektroni schen und programmierbaren Steuerungen von Maschinen Norm Entwurf DIN IEC 62061 Berlin Beuth Verlag 2003 153 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Norm DIN EN ISO 13849 Berlin Beuth Verlag 2003 154 Land und forstwirtschaftliche Maschinen Elektromagnetische Vertr glichkeit Pr fverfahren und Bewertungskriterien Norm DIN EN ISO 14982 Berlin Beuth Verlag 1998 155 Erdbaumaschinen Maschinensteuerungssysteme MSS auf der Basis von elek tronischen Bauteilen Anforderungen und Pr fungen Normentwurf ISO DIS 15998 Arbeitsgruppe ISO TC 127 SC 3 Berlin Beuth Verlag 2004 156 Agricultural engineering Electrical and electronical equipment Testing resistance to environmental conditions Normentwurf ISO DIS 15003 Arbeits gruppe ISO TC 23 SC 19 WG 1 Berlin Beuth Verlag 2004 157 Stra enfahrzeuge Umgebungsbedingungen und Pr fungen von elektrischer und elektronischer Ausr stung Norm ISO 16750 Berlin Beuth Verlag 2003 158 Richtlinie 75 322 EWG des Rates vom 20 Mai 1975 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten ber die Funkentst rung der Fremdz n dungsmotoren von land oder forstwirtschaftlichen Zugmaschinen auf R dern Br ssel B
211. rom am Schnell kuppler das aufinte grierte lvolumen Messschrieb unten Status Ventil 1 LS Freigang Senken Position Aufsattelung Heben Blockiert Hubposition N O oO sowie die Schaltstel z lung des Ventils und 5 02 3 die resultierende Hub i 0 4 E position der Aufsatte 2 2 lung Messschrieb 3 3 O O oben gt 0 8 gt Zeit 108 7 1 berwachung sicherheitsrelevanter Prozessgr en Viele sicherheitskritische Situationen im Arbeitseinsatz mobiler Arbeitsmaschinen entste hen durch das dynamisch ver nderliche Arbeitsumfeld und die dadurch bedingte potenzi elle Gef hrdung von unbeteiligten Personen Kann man den Arbeitsbereich vorher r um lich eingrenzen besteht die M glichkeit die Position des Maschinensystems zu berwa chen und ein Verlassen des zugewiesenen Arbeitsbereichs durch Sicherheitswarnungen und Noteingriffe zu verhindern Beispiel hierf r ist der Wendevorgang des Versuchsge spanns auf Schl gen mit angrenzenden sicherheitskritischen Orten wie hoch frequentierte Feldwege oder Kraftfahrstra en wie es in Bild 6 8 ersichtlich wurde Die dazu implemen tierte Vorgewende berwachung integriert die tats chliche Geschwindigkeit in x und y Richtung des ortsfesten Koordinatensystems am Feldende und ermittelt so die Ist Position des Gespanns relativ zum zugewiesenen Wendebereich Die Ermittlung der relativen Position ist im Messschrieb f r zw
212. ronik Synergie aus dem Zusammenwirken verschiedener Disziplinen mit Beispielen f r unterschiedliche Technologiebereiche vergleiche 20 In vorliegender Arbeit wird die Definition mechatronischer Systeme des Richtlinienent wurfes VDI 2206 21 verwendet die von Harashima Tomizuka und Fukuda stammt 18 Mechatronics is the synergetic integration of mechanical engineering with electronic and intelligent computer control in the design and manufacturing of industrial products and processes 1 Mechatronische Systeme bestehen demnach aus diskreten mechanischen und elektroni schen Komponenten in Symbiose mit der Informationstechnik Dabei sind unterschiedli che Auspr gungen mechatronischer Systeme bez glich funktionaler und oder r umlicher Integration denkbar vom einfachen Ersatz mechanischer Funktionselemente durch elek tronische Komponenten bis hin zum kompletten Neuentwurf auf der Basis eines mecha tronischen Entwicklungsprozesses Generell k nnen mechatronische Systeme auch aus Subsystemen bestehen die selbst wieder mechatronische Systeme sind 21 In Bild 2 2 ist die Strukturanalyse f r den allgemeinen Aufbau mechatronischer Systeme gezeigt Die 1 Freie bersetzung Mechatronik bezeichnet das synergetische Zusammenwirken der Fachdisziplinen Maschinenbau Elektrotechnik und Informationstechnik beim Entwurf und der Herstellung industrieller Erzeugnisse sowie bei der Prozessgestaltung 2 2 Mechatronische Systeme bei
213. rten 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen e Die Einteilung in Leistungsklassen kann auf mehreren Ebenen geschehen F r Spezi fikationszwecke ergeben sich somit verschiedene Leistungskennzahlen z B f r Fahrleistung Hubleistung F rderleistung Durchsatz etc e Eine Unterteilung mobiler Arbeitsmaschinen in abgeschlossene Maschinensysteme mit und ohne Werkzeugwechsel und kombinierbare Maschinensysteme mit offe nen Schnittstellen ist sinnvoll siehe auch 7 Basierend auf dieser Definition wird in vorliegender Arbeit das Themengebiet der mobi len Arbeitsmaschinen abgesteckt Tabelle 2 3 zeigt Beispiele mobiler Arbeitsmaschinen und die dazugeh rigen Obermengen Maschinenklassen siehe auch 14 17 Tabelle 2 3 Beispiele f r mobile Arbeitsmaschinen mit Obermengen Mobile Arbeitsmaschinen aus den Bereichen Bau Land Forst Kommunal F rder Sonstige maschinen maschinen maschinen maschinen maschinen Spezialma schinen e Lademaschi Traktoren e Forstschlep Winter e Lademaschi Milit rfahr nen e Traktor Ge per dienste nen zeuge e Bagger r te Kombi Harvester e Reinigungs Autokr ne e Feuerwehr e Planierma nationen e mobile S maschinen Stapler e Pistenrau schinen e Vollerntema gewerke e Universal e Muldenkip pen e Walzen schinen e m her per e Strandreini Stra enferti Ger tetr ger e Betonpum ger ger e Feldh cksler pen ei
214. rten Software Update im realen Fahrzeug 177 begleitet Komplexe Soft wareprojekte bleiben nur mit Hilfe eines durchg ngigen Konfigurationsmanagements berschaubar Die Beachtung von Programmiergrunds tzen wie Wiederverwendung bew hrter Softwaremodule oder Dokumentation bez glich Reproduzierbarkeit wird dadurch erleichtert 4 2 2 Methoden f r Test und Validierung Bei der Beschreibung konventioneller Testmethoden ist es sinnvoll nach Methoden f r komplette mechatronische Systeme und reinen Softwaretestmethoden zu unterscheiden Die in den mechatronischen Systemen enthaltenen Softwareteile werden in Systemtests als Black Box betrachtet und innerhalb Funktionalit t und Fehlerverhalten des kompletten 49 4 Entwicklungsmethoden Systems mitgetestet Andererseits konzentriert man sich in reinen Softwaretests auf die Erf llung der Spezifikationsanforderungen der Software als Systemkomponente 4 2 2 1 Test von Funktionalit t und Fehlerverhalten mechatronischer Systeme Die Funktionalit t sowie das Fehlerverhalten von mechatronischen Systemen kann nach mehreren Kriterien in unterschiedlich konfigurierten Versuchen getestet werden Tabelle 4 3 zeigt einen morphologischen Kasten f r die Konfiguration und Auswahl von Versu chen hinsichtlich unterschiedlicher Entscheidungskriterien Tabelle 4 3 Morphologischer Kasten zur Bestimmung von Versuchskriterien bei konventi onellen Tests mechatronischer Systeme
215. rten in einer Kombination zu verbinden Die Vorteile der Methoden zur statischen Analyse liegen dabei in einer m glichen fr hen Anwendung w hrend des Soft 50 4 3 Modellbasierte Methoden f r die Softwareentwicklung wareentwicklungsprozesses was das Risiko von aufwendigen nderungen zu sp teren Zeitpunkten verringert Im Gegensatz dazu k nnen dynamische Tests zus tzlich zu syste matischen auch statistische Fehler zuf lliges Versagen einzelner Komponenten z B EMV Bit Kipper etc des programmierten Systems erkennen Die Testabdeckung ist weitreichender und damit n her am Serienprodukt Tabelle 4 4 Unterscheidung von statischen und dynamischen Analyseverfahren bei der konventionellen Softwareentwicklung Statische Analysen Dynamische Tests Objekte Dokumente Sourcecode Protokolle Be richte Datenflussdiagramme e Anforderungsdefinitionen Lastenheft Pflich tenheft Spezifikation Data Dictionary Objekte e Ausf hrbarer kompilierter Code Programmablauf auf Systemebene Programmablauf auf Modulebene Methoden e Reviews regelm ige berpr fung von Soft warest nden e Erzeugung von Metriken Quantifizierung der Komplexit t Analyse der Code bzw Testab deckung Code Instrumentierung manuelle Pr fmethoden Inspektionen e Syntaxpr fung nach Spezifikation Program mierregeln Herstellerstandards Methoden e Funktionstests Black Box Test e Test der Fehle
216. rung des Projekts Danken m chte ich auch den Mitgliedern der Arbeitsgruppe Sicherheit innerhalb des TA Elektronik im VDMA f r die anregenden Diskussionen Widmen m chte ich diese Arbeit meiner Frau Susanne und unseren Kindern Lara und Benjamin Danke f r eure Unterst tzung eure Geduld und den R ckhalt den ihr mir zuteil kommen lasst M nchen im Dezember 2004 Marcus Martinus MI Geleitwort hnlich wie bei Stra enfahrzeugen hat die Elektronik auch bei vielen mobilen Arbeitsmaschinen inzwischen gro e Bedeutung erlangt Rasch zunehmende Automatisierungen gelten vor allem der Produktivit tserh hung der Ressourcenscho nung und der Entlastung des Fahrers Hierzu war an meinem fr heren Lehrstuhl ein erstes zun chst von der Industrie dann auch von der DFG unterst tztes Projekt von Herrn Freimann bearbeitet worden das der Automatisierung des Systems Traktor und Ger t und dessen modellgest tzter Entwicklung galt Schon bei den damaligen Untersuchungen wurde deutlich dass das Thema Funktionale Sicherheit bei mechatronischen Systemen mobiler Arbeitsmaschinen gro e Bedeutung gewinnt wie es hnlich z B auch im Automobilbau der Fall ist Eine Vertiefung der Arbeiten in dieser Richtung wurde dann u a ber die Mitarbeit in Arbeitskreisen des VDMA Fachverband Landtechnik angeregt Herr Martinus ber nahm diese Aufgabe und verantwortete das DFG Projekt Prozesssicherheit Landma schinenelektronik Er schl gt
217. rungen an automatische Hangausgleich systeme gestellt Wo extreme Steigungen stark schwankendes Gel ndeprofil und starker Bewuchs die Arbeitsbedingungen erschweren verbessert der automatische Hangausgleich 2 Stand der Forschung und Technik die Fahrstabilit t wie es in 92 f r die Anwendung eines Kompaktharvesters beschrieben wird Ablaufsteuerungen und regelungen bergeordneter Systeme bei Landmaschinen Landmaschinen bieten einige Beispiele f r bergeordnete Prozessautomatiken in Form von Ablaufsteuerungen und regelungen bei denen die Automatisierung mehrerer Teilsys teme zu einer bergeordneten ineinander greifenden Funktionalit t kombiniert wird Ein Hauptanwendungsbereich ist der Wendevorgang einer Traktor Ger te Kombination am Feldende dem so genannten Vorgewende wo f r den Fahrer sehr viele Bet tigungen und Handgriffe anfallen Zur Unterst tzung des Fahrers werden Eingriffe in den Antriebs strang Bet tigung der Hubwerke vorne und hinten Schalten der Zapfwelle und Steuerung der Zusatzhydraulik also traktorinterne Bet tigungen sowie externe Schnittstellenbe schaltung automatisch vollzogen Bei einer Saatbettkombination aus Drillmaschine Frontpacker Kreiselegge zusammen mit einem Standardtraktor ergeben sich beispiels weise 16 Arbeitsschritte f r das Ausheben Wenden und erneute Einsetzen der Ger te welche die Fahrfunktionen des Traktors und die Schnittstellen zwischen Traktor und Ger ten betreffe
218. s Sicherheitssystem f r Landmaschinen Agrartechnische Forschung 6 2000 Heft 4 S 80 83 Stoll A und H D Kutzbach F hrung von Landmaschinen mit GPS VDI MEG Tagung Landtechnik 2000 Braunschweig 10 11 10 2000 In VDI Berichte 1544 S 331 336 D sseldorf VDI Verlag 2000 Cohrs H H Vielfalt und Hightech bei Walzenz gen Tiefbau Ingenieurbau Stra Benbau 44 2002 H 3 S 8 14 Engel T und A Rutz Starfire Das DGPS Netzwerk von John Deere und seine Nutzung auf Landmaschinen VDI MEG Tagung Landtechnik 2002 Halle 10 11 10 2002 In VDI Berichte 1716 S 293 298 D sseldorf VDI Verlag 2002 Holtmann W Fahrbericht Trimble AgGPS Autopilot profi 15 2003 H 6 S 68 70 Traktorfahren ohne zu lenken Flur und Furche John Deere 40 2003 H 4 S 5 Roberts M AutoSteer GPS 5001 Lenksystem von AutoFarm Die etwas andere Automatiklenkung profi 16 2004 H 1 S 76 78 137 10 Literatur 76 77 78 79 80 81 82 83 84 85 86 87 88 138 Noack P O GPS gest tzte automatische Lenksysteme Landtechnik 59 2004 H 5 S 256 257 What is Galileo URL http www esa int export esaSA GGGMX650NDC _navigation_0 html European Space Agency ESA Paris Frankreich 2003 Bittner G AGRO NAV Autonomous off road Vehicle Navigation and Implement Control System using CDGPS and Inertial Backup AgEng 2000 International Con ference War
219. s neuen induktiven Messprinzips zur Realisierung kon taktloser Winkel und Positionssensoren VDI MEG Tagung Landtechnik 2004 Dresden 07 08 10 2004 In VDI Berichte 1855 S 99 106 D sseldorf VDI Verlag 2004 107 Dori en H Th und K D rkopp R umliche und funktionale Integration von kon taktlosen Positionssensoren f r X by Wire Systeme VDI Tagung Mechatronik Fulda 07 08 05 2003 In VDI Berichte 1753 S 129 143 D sseldorf VDI Verlag 2003 108 Bauer H Chefred Sensoren im Kraftfahrzeug Technische Unterrichtung Gelbe Reihe Stuttgart Robert Bosch GmbH 2001 109 Hlubek B und D Hobein Intelligente Sensorik Basis f r Perfekte Performance ATZ 102 2000 Heft 12 S 1118 1123 110 Fischle G U Stoll und W Hinrichs Bremsen auf h chstem Niveau Die Sensorik Brake Control ATZ MTZ Sonderausgabe Mai 2002 Die neue Mercedes Benz E Klasse S 142 144 146 148 150 111 Leohold J Die elektrische Infrastruktur f r zuk nftige Fahrerassistenzsysteme 5 Braunschweiger Symposium Automatisierungs und Assistenzsysteme f r Trans portmittel Braunschweig 17 18 02 2004 112 Hieronymus P R Buschmeier S B ttinger Kommunikationssysteme In Jahr buch Agrartechnik 16 2004 S 38 43 230 M nster Landwirtschaftsverlag 2004 113 Etschberger K CAN Controller Area Network Grundlagen Protokolle Bau steine Anwendungen 2 Auflage M nchen Carl Hanser Verlag 2000 114 Br
220. schalteten Druckwaagen LUDV Um m glichen Funktionsst rungen bei Unterversorgung von Verbrauchern herk mmli cher LS Systeme zu begegnen wurden Differenzdruckregelungen mit nachgeschalteten Druckwaagen entwickelt die nach dem Stromteilerprinzip arbeiten und eine den geforder ten Volumenstr men quivalente Aufteilung auch bei Unterversorgung gew hrleisten 194 195 Bild 6 16 erkl rt das Prinzip dieser sozialen Durchflussverteilung Bild 6 16 Differenzdruckregelung Verbraucher 1 Verbraucher 2 mit nachgeschalteten Druckwaa gen f r eine gerechte Durchfluss verteilung bei Unterversorgung LUDV Anwendungsbedingung en Es gilt p gt p und beide Ver braucher sind zu versorgen Die Druckwaagen werden vom h chs i ten Lastdruck p vorgesteuert und i bilden diesen hinter den 5 3 Wege ventilen ab Durch das Gleichge wicht p p p bleibt auch I l l I I I e Kaskade schaltet auf p r j e Parossend Li T das Druckgef lle Apr Regelgr e der Verstellpumpe konstant Bei Unterversorgung sinkt der Druck vor den Wegeventilen und damit der Druckabfall Aprs gleichm ig Die Volumenstr me reduzieren sich dadurch im Ver h ltnis der ffnungsquerschnitte der Proportionalventile O VO Ay entsprechend Gleichung 6 2 Ap s const gt Die rein hydraulisch mechanisch realisierte soziale Durchflussverteilung ist
221. schen Haupt maschine und Ger t steigende Transportgeschwindigkeiten auf ffentlichen Stra en StVZO Die Anforderungen k nnen durch unterschiedliche berwachungsstrategien und Sicher heitskonzepte erf llt werden So berwachen z B Plausibilisierungen von Systempara metern und Kontrollen g ltiger Messwertbereiche die sicherheitsrelevanten Prozessgr en Mechanische Bewegungsabl ufe werden automatisch zueinander koordiniert z B Bewegungen zwischen Hauptmaschine und Ger t und elektronische Anschl ge verhin dern Kollisionen 36 4 Entwicklungsmethoden Nach Ehrlenspiel unterscheidet man sachgebundene Entwicklungsmethoden ausgerichtet auf das Erreichen eines vorgegebenen sachlichen Ziels z B eines Dokuments oder Objekts und Organisiationsmethoden deren Ziel die Gestaltung eines Entwicklungspro zesses oder Handlungssystems ist 162 Die in diesem Kapitel behandelten Entwick lungsmethoden haben alle fest vorgegebene Objektziele wie z B die Ermittlung eines Risikopotenzials Abbildung der Systemstruktur oder Verbesserung der Zuverl ssigkeit eines Systems Sie sind damit sachgebundene Methoden die in ein bergeordnetes Ent wicklungsmodell z B nach Kapitel 5 2 eingebettet werden F r die Realisierung der vor gestellten Entwicklungsvorg nge im Unternehmen empfehlen sich zus tzlich organisati onsgebundene Methoden im Rahmen eines integrierten Vorgehens Bei Durchf hrung der Forschungsarbeiten wurden auch d
222. scher Unterversorgung tritt bei manueller Bet tigung alleine durch den Fahrer eher selten auf ist bei zeitgleichem Zugriff der Ger te aber ein h ufig vorkommendes Problem Um die entwickelten Ma nahmen f r eine soziale Verteilung des verf gbaren lstroms darzule gen muss zuvor auf das bestehende Hydrauliksystem des Traktors eingegangen werden Bei der Arbeitshydraulik vieler mobiler Arbeitsmaschinen ist heute eine Kombination aus Differenzdruckregelung Load Sensing und Maximaldruckregelung aktive Druckab schneidung blich Einzelheiten siehe in 80 Auch der Versuchstraktor Fendt Favorit 716 ist standardm ig mit Load Sensing Hydraulik ausger stet Die Differenzdruckre gelung h lt den Druckabfall Ap an einem Ventil durch automatische Pumpenverstellung konstant und regelt so den Volumenstrom Q Modelliert man die Str mung durch das Pro portionalventil als Blendenstr mung nach Gleichung 6 2 wird das Regelprinzip deut lich 95 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik 0 aA Fr 6 2 Unter der Annahme eines nahezu konstanten Durchflusskoeffizienten und gleich blei bender Dichte p h ngt der Volumenstrom bei konstant geregeltem Druckunterschied Ap direkt vom ffnungsquerschnitt A der Blende bzw des Ventils ab Bild 6 15 beschreibt das Prinzip der Differenzdruckregelung f r die gleichzeitige Beschaltung mehrerer Verbraucher Auf die bliche Maximaldruckregelung wurde in
223. schnittstellen aus dem Ger te BUS annehmen verarbeiten und entsprechend seiner Strategie an die Energiequelle Traktor weitergeben wof r er nach ISO 11783 Teil 9 mit der Klasse 3 spezifiziert wurde In Bild 6 5 sind die logischen Zusammenh nge und Aufgaben der automatisierten Teilsysteme Umwelt Arbeitsumfeld ffentliche Stra en etc Gespannkombination Prim r Traktorressourcen systeme mechanische Leistung Gesch windigkeit HZW hydraulische Leistung Zusatz Sekund r ventile FKH HKH eme elektrische Leistung Licht Traktorrechner Kommunikationsmanagement Wende berwachung Ressourcen automatik MSR SF management Kommunikationsmanagement Task Ringpacker Kreisel Drill controller egge maschine berwachung berwachung berwachung berwachung MSR SF MSR SF MSR SF MSR SF Automatik Automatik Automatik Automatik kommandos kommandos kommandos kommandos Bild 6 5 Interaktionen und logische Verkn pfung der Teilsysteme im automatisierten Traktor Ger te Gespann f r die Realisierung der ger teseitigen Traktorkommandos und der Wendeautomatik gezeigt Maschine Schnittstelle Eingabe schnittstelle prim r Prim r aufgaben Eingabe schnittstelle sekund r Sekund r aufgaben 82 6 1 Systembeschreibung und Aufbau der Automatiken Steuerung und Konfiguration der Automatiken sowie wichtige Applikationseinstellunge
224. schung in beiden dargestellten Abstufungen ist das Erkennen sicherheitskritischer Fehler innerhalb einer f r das System angemessenen Fehlertoleranzzeit definiert als Zeit zwischen Auftreten des eigentlichen Fehlers und dem Zeitpunkt an dem das System seinen bestimmungsm igen Betrieb verl sst und in den kritischen Zustand bergeht Die Zeit die verstreicht den Fehler eindeutig zu diagnosti zieren und die darauf folgende Fehlerreaktionszeit des MSR Sicherheitssystems m ssen als Summe unterhalb der Fehlertoleranzzeit liegen Bild 3 3 Fehler Fehler Sicherheitsfunktion Kritischer tritt auf wird erkannt wird aktiviert Zustand Ausl sezeit der MSR Sicherheitsfunktion t Zeit f r Wirksam werden der Sicherheits ma nahmen t Fehlererkennungs zeit der MSR Sicher heitsfunktion t Fehlerreaktionszeit e y Fehlertoleranzzeit Bild 3 3 Zeitverhalten von integeren oder fehlertoleranten MSR Sicherheitsfunktionen abh ngig von der Fehlertoleranzzeit Zeit vom Auftreten des Fehlers bis zum kritischen Zustand in Anlehnung an 150 3 3 Risikominderung bei mobilen Arbeitsmaschinen Die Sicherheit eines Maschinensystems wird h ufig durch das Risiko bestimmter Syste mausf lle oder fehlfunktionen beschrieben Der Begriff Risiko wird dabei als Verkn p fung der Wahrscheinlichkeit f r das Auftreten eines bestimmten Fehlers mit der daraus resultierenden Schadensschwere verstanden Bei der Entwicklung
225. ser Arbeit ein vollautomati siertes Vorgewendemanagement um den Fahrer beim Einsetzen und Ausheben der Ger te erheblich zu entlasten In der implementierten Automatik bergibt der Fahrer durch einen einzigen Knopfdruck den gew nschten rtlichen Arbeitsbeginn bzw Aushubpunkt an das 80 6 1 Systembeschreibung und Aufbau der Automatiken Tabelle 6 2 Sensorische Zusatzausr stung des Versuchstr gers Die Tabelle dient zu gleich als Legende zu Bild 6 4 induktiver N herungsschalter Nr Signal Prinzip Nr Signal Prinzip Traktor 13 Abrei sicherung zur Drille 3x U 1 Ist Geschwindigkeit Radar f gt U 14 Position Gelenkwelle A gt U 2 Drehzahl HZW f gt U Drillmaschine 3 Drehmoment HZW M gt U 15 Drehzahl Gebl se J gt U 4 Lenkwinkel rechtes Rad gt U 16 Drehzahl Saatgutwelle J gt U 5 Druck Ventil 1 extend retract p gt U 17 Drehzahl Sponrad I gt U 6 lstrom Ventil 1 ext retr O gt U 18 Status Fahrgassenschaltung I gt U 7 Abrei sicherung FKH 3x gt U 19 Position Treppe gt U 8 Abrei sicherung HKH 3x gt U 20 Position Deckel Saatkasten A gt U Kreiselegge 21 F llstand Saatkasten t gt U 9 Position Aufsattelung 2x P a gt U Ringpacker 10 Drehzahl Messerkreisel f gt U 22 Drehzahl Ringe J gt U 11 Drehzahl Andruckwalze f gt U 23 Position St tze gt U 12 Position Spuranrei er li re A gt U
226. sfunktion des Packers wartet mit dem Ein setzen auf den Arbeitsbeginn der Kreiselegge Erst dann sendet der Packer das Kom mando bez glich Absenkens des Frontkrafthebers an den Traktorrechner Man verzichtet somit auf den punktgenauen Arbeitsbeginn des Packers das heckseitige Hubmoment wird aber von Traktor und Ringpacker ausgeglichen Denkbar w re auch ein teilweises Absen ken des Frontkrafthebers bis zu einem gewissen Tragdruck um schon am Arbeitsbeginn eine oberfl chliche Bearbeitung des Bodens bei verbleibender Ballastwirkung zu gew hr leisten Ist der Traktor dann heckseitig entlastet kann der Ringpacker komplett abgesenkt werden und mit der Bearbeitung der tieferen Schichten beginnen berwachung der Stellung der Spuranrei er beim Wendevorgang W hrend der Reihenfahrt markiert der jeweils seitlich abgesenkte Spuranrei er eine parallel zur Fahrt richtung verlaufende Linie im Ackerboden die dem Fahrer eine Peilhilfe f r die R ck fahrt bietet und ein genaueres Anschlussfahren erm glicht Nach dem Ausheben der Ger te beim Wendevorgang am Feldende ist es wichtig den Spuranrei er in ausgehobene 119 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse Position zu bringen um eine Kollision mit Hindernissen zu vermeiden In der automati sierten Traktor Ger te Kombination berwacht deshalb die Kreiselegge den Zustand der Ger te und des Traktorrechners Befindet sich die Kreiselegge im Zustand Wenden und sind die M
227. shydraulik ber cksichtigt werden wodurch die betrachteten Volumenstromeinbu en dann nicht so gro ausfallen w rden Eine weitere M glichkeit den Zugriffskonflikt zu l sen besteht in der untergeordne ten Priorisierung sicherheitskritischer hydraulischer Verbraucher intern durch den Ger terechner Im Beispiel der automatisierten Gespannkombination wurde auch diese Alter native untersucht Bild 7 7 Der elektronische Steuerrechner der Drillmaschine sensiert den drohenden Stillstand der Aufsattelkinematik bei einem Wert der Hubgeschwindigkeit kleiner als 1 pro Sekunde siehe Zeitpunkt 27 s und schaltet die sicherheitstechnisch unkritische weniger wichtige Gebl sefunktion ab Ventil 2 auf Blockiert Bild 7 7 Fail Safe Funk 100 tion durch Abschalten o u o eines niederprioren Ver brauchers der Drillma schinen durch ihren Steu errechner Das Ventil f r das Gebl se Ventil 2 wird auf Grund des detek tierten Fehlers Stillstand der Aufsattelung als prio Freigang risierte Sicherheitsfunk Ventil 1 Ventil 4 tion abgeschaltet Die Senken Aufsattelung wird damit Heben sichergestellt Blockiert lt Ventil 2 Hubposition Zeit 115 7 Versuchsdurchf hrung und Verallgemeinerung der Ergebnisse Die Priorisierung von Verbrauchern kann nur durch Instanzen erfolgen welche die sicher heitstechnische Rangfolge der hydraulischen Funktionen objektiv beurteilen k nnen In diesem
228. sichtlich Vermeidungs und Entde ckungsm glichkeiten in der Risikobewertung diskutiert und bewertet Das Risiko eines Fehlers wird durch Bewertung der drei Kennzahlen Bedeutung B Auftretenswahr scheinlichkeit A Entdeckenswahrscheinlichkeit E jeweils von eins gut bis zehn schlecht und Berechnung der Risikopriorit tszahl RPZ aus diesen Kennzahlen durch Multiplikation bestimmt Die Bewertung der Kriterien A B und E geschieht anhand eines vorher diskutierten Bewertungskataloges der durch markante Beispiele w hrend der FMEA dynamisch erweitert werden sollte F r die vorliegende Arbeit wurde in mehreren FMEA elektronischer Systeme bei mobilen Arbeitsmaschinen ein geeigneter Bewertungs katalog entwickelt siehe Anhang Kapitel 9 1 Fehlerm glichkeits und einflussanalyse Be C System FMEA Produkt System FMEA Prozess Seite von Typ Modell Fertigung Charge Sach Nr Verantw Abt nderungsstand Firma Datum System Nr Systemelement Sach Nr Verantw Abt veneron Fener reteussenen ma nahmen A matnehmen E RF Y Fehlerfolgen Fehler Fehlerursachen ma nahmen ma nahmen Bild 4 4 Tabellenkopf des FMEA Formblatts VDA 96 164 Liegt nach abgeschlossener Bewertung die RPZ in einem hohen Bereich muss das FMEA Team entscheiden ob der Anfangsstand im letzten Schritt der FMEA der Ma nahmenoptimierung verbessert werden muss So k nnen z B erweiterte Vermeidungs ma nahmen das Auftreten des Fehlers
229. sm glichkei ten f r Wendigkeit oder Bodenschonung Beispiele hierf r sind schwere selbstfahrende Arbeitsmaschinen die im so genannten Hundegang eine homogenere und damit in den 1 Eine Genehmigung f r Pkw ist laut Kraftfahrt Bundesamt wegen der weitaus h heren Geschwindigkeit nicht absehbar 53 13 2 Stand der Forschung und Technik oberen Schichten geringere Bodenverdichtung erreichen 55 oder kleine wendige Trakto ren mit Allradlenkung f r den Einsatz im steilen Gel nde die elektrohydraulisch auf Betrieb mit Front Heck und Hundeganglenkung umgeschaltet werden k nnen z B Mounty 65 von Reformwerke 56 Im Baumaschinenbereich gibt es neue Ans tze Mobilkr ne durch Allradlenkung und Hundegangm glichkeit f r den Offroad Einsatz auszur sten 57 Auch wenn Zulieferer schon Komplettl sungen f r Steer by Wire Systeme anbieten 58 59 und Ausnahmel sungen siehe Versuchsfahrzeug Unimog die Zulassung erhalten haben sind offiziell alle Lenksysteme f r Fahrzeuggeschwindigkeiten gr er 50 km h bei denen die feste Verbindung zwischen Lenkrad und Lenkaktorik durch elektronische Sig nal bertragung ersetzt wurde noch nicht f r den ffentlichen Stra enverkehr zugelassen Bestrebungen die gesetzlichen Regelungen f r den Gang des Fortschritts anzupassen sind im Kapitel 2 4 beschrieben Werden die Lenksignale nicht vom Fahrer sondern von anderen auch externen Regel einheiten erzeugt und ber einen Steuerrechne
230. stufen die sich in der Geschwindigkeits nderung beim einmaligen Antippen bzw im Gradienten beim stetigem Auslenken des Fahrhebels unterscheiden 101 6 Anwendungsbeispiel Ger t steuert Traktor mit Vorgewendeautomatik 12 5 km h 7 5 Geschwindigkeit Beschleunigungsstufe vor neutral zur ck Auslenkung Farhebel generiertes Signal 0 10 20 30 s 50 Zeit Bild 6 19 MIL Simulation der Geschwindigkeitsregelung ber generierte Fahrhebelsig nale und automatisiertes Schalten der Beschleunigungsstufe Ver nderung der Werte konnten die Regler adaptiv im realen Fahrzeug und unter realen Einsatzbedingungen optimiert werden 6 3 4 Modellbasierte Entwicklung des Rechners der Kreiselegge automatische Generierung von Serien Code Bei der Entwicklung des Steuerrechners der Kreiselegge sollten Machbarkeit und Vorteile einer durchg ngig modellbasierten Entwicklung der Steuerger tesoftware gezeigt wer den Wie zuvor in Kapitel 4 3 5 beschrieben k nnen die gesamten Pluspunkte nur durch Verwendung eines automatischen Serien Code Generators genutzt werden der die konti nuierliche Bearbeitung der Programmlogik von der Spezifikation bis zur Codierung in einer Entwicklungs Umgebung erm glicht Der Stand der Technik automatischer Code Generatoren beschr nkt sich gr tenteils auf die Generierung einzelner Funktionsmodule die daraufhin h ndisch in das Serien Code Projekt eingepflegt werden Zi
231. t Das Vorgehen orientiert sich am so genannten Risikographen der eine quantitative Einteilung des jeweiligen Teilsystems in unterschiedliche Integrit tsklassen erlaubt Bild 4 2 Der hier gezeigte Graph wurde an die Anwendungsf lle f r mobile Arbeitsmaschinen hinsichtlich relevanter Schadensklassen und weiterreichende Eingriffs m glichkeiten des Fahrers angepasst oder oder gs N Schadenausma S1 leichte Verletzungen einer Person kleinere Umweltsch den S2 schwere irreversible Verletzungen eb I I _ LE a einer oder mehrerer Personen oder Tod a gt a einer Person vor bergehende gr ere 22 114 Umweltsch den S3 Tod mehrerer Personen b 1 a langandauernde gr ere Umweltsch den 3 gt 22 2 gt 1 Aufenthaltsdauer bzw h ufigkeit c1 b 1 A1 selten bis fter A2 h ufig bis dauernd 4 23 3 gt 1 Gefahrenabwendung d 2 c 1 G1 m glich unter bestimmten Bedingungen z 7 x G2 kaum m glich Integrit tsklasse Eintrittswahrscheinlichkeit AK Cat i a e 3llle 3 Send PL SIL W3 relativ hoch Bild 4 2 Angepasster Risikograph zur Bestimmung der sicherheitstechnischen Anforde rungen einer einzelnen MSR Sicherheitsfunktion in Anlehnung an 149 150 Ergebnis sind die je nach Norm spezifizierten Integrit tsklassen K stchen F r eine weitere Ver wendung wurde der Safety Integrity Level SIL nach EN 61508 favorisiert Tabelle 4 2 Wichtig ist die Bearbeitung des Gesamtsystems in mehreren Risikoanalysen
232. tigen Hardware in Zielkonfiguration getestet werden indem sie ber eine Echtzeit schnittstelle in das simulierte Restsystem eingebunden sind Die h ufigste Anwendung von HIL ist der Test von elektronischen Seriensteuerger ten in einer virtuellen Umgebung wie es in Bild 4 12 gezeigt ist Oftmals kann es von Vorteil sein zus tzliche Komponen ten Teilsysteme z B Sensoren Aktoren Sollwertgeber oder das komplette System als Hardware real mit in den Test aufzunehmen Das Spektrum der Hardware in the Loop Simulation reicht damit vom einzelnen Prozessor dem so genannten Processor in the Fahrer Umwelt Steuerung a Regelung Aktoren Strecke Sensoren berwachung Mobile Arbeitsmaschine Ausf hrbares Modell Seriensteuerger t auf Echzeit Hardware 1 0 Kommunikation Peripherie Eh El c A ECU Bild 4 12 Beispielkonfiguration eines Hardware in the Loop Tests f r ein elektronisches Seriensteuerger t Die ECU ist ber die Echtzeitschnittstelle eines HIL Pr fstands in die Simulation des Restsystems eingebunden E Reales Seriensteuerger t mit Echtzeitschnittstelle Echzeit schnittstelle 2 D D E O D 61 4 Entwicklungsmethoden Loop bis zum kompletten Maschinensystem inklusive Fahrer welches dann ber eine spezielle Pr fstandsanbindung an die Simulation gekoppelt ist Der obere Teil im vorigen Bild 4 6 zeigt die unterschiedlichen Varianten Um das Systemverhalten der Simula
233. tion m glichst realistisch abzubilden ist die Echt zeitf higkeit des Modells und der Simulationsplattform ma geblich G ngige HIL Pr f st nde verwenden Hochleistungsrechner die exklusiv f r die Berechnung des simulierten Systemverhaltens zust ndig sind Beispielsysteme siehe 187 188 Die Antwortzeiten des Simulationsrechners liegen in aller Regel weit unterhalb der Taktzeiten des Serien steuerger ts womit ein realistisches Zeitverhalten gew hrleistet ist Die Interaktion des Benutzers mit der Simulationsumgebung erfolgt meistens ber einen externen Rechner der die Testbedienung Diagnose Datenaufzeichnung Testautomatisierung oder Einfluss nahme auf Systemparameter in Echtzeit erlaubt 62 5 Sicherstellung der erforderlichen Systemintegrit t Entwicklungskonzept Je h her das Gef hrdungspotenzial eines Maschinensystems liegt desto intensiver m ssen Mittel der hinweisenden und funktionalen Sicherheit eingesetzt werden um die f r einen sicheren Betrieb notwendige Risikominderung zu erreichen Das Gef hrdungspotenzial eines funktionalen Sicherheitssystems bestimmt direkt seine erforderliche Integrit t d h die F higkeit seine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuf hren F r die Sicherstellung der erforderlichen Integrit t eines mechatronischen Systems gibt es grunds tzlich zwei Nachweise bzw Vorgehensweisen e Nachweis der Systemzuverl ssigkeit Nachgewiesen wird die sicherheitsgerechte S
234. twicklungen bei Lenksys temen k nnen demnach eingeteilt werden in Erweiterungen der Komfortfunktionen z B durch leichtg ngige Potentiometerlen kungen und eine daraus resultierende hohe und oder anpassbare Lenk bersetzung und 12 2 2 Mechatronische Systeme bei mobilen Arbeitsmaschinen e vollst ndig automatisierte Lenksysteme wie automatisches Lenken von Landma schinen bei der Feldarbeit F r die aktuellen Entwicklungen von zus tzlichen Komfortfunktionen gibt 46 einen berblick zu elektromechanischen und hydraulischen Lenksystemen f r die Beeinflus sung von Lenkwinkel bzw Lenkmoment Ein Beispiel aus dem Pkw Bereich ist das Aktivlenkungssystem von BMW welches die wesentlichen Steer by Wire Funktionen bereitstellt ohne auf den mechanischen Durchgriff zu verzichten 47 48 Bei dem Sys tem wurde ein Planetengetriebe als berlagerungsgetriebe in die Lenks ule integriert Je nach Fahrsituation werden zus tzliche Lenkwinkel negativ oder positiv an der Vorder achse automatisch erzeugt oder unterschiedliche Lenk bersetzungen geschwindigkeitsab h ngig eingestellt Bei Traktoren realisiert New Holland elektrohydraulisch ebenfalls zwei unterschiedliche Lenk bersetzungen aber ohne mechanische R ckfallebene Auf Knopf druck kann von Normalbetrieb in einen Schnelleinschlagmodus zur Unterst tzung von Frontladerarbeiten und des Wendens am Vorgewende umgeschaltet werden 41 49 Aus Sicherheitsgr nden wird dieses Syste
235. twicklungen zur Fahrzeugf hrung von mobilen Arbeitsmaschinen kann von den Systemen bei Nutzfahrzeugen Nkw und Pkw profitiert werden In Zukunft wird sich dieser Trend noch verst rken da die Transportgeschwindigkeiten mobiler Arbeitsma schinen auch weiterhin steigen und so mehr Parallelen und Synergiem glichkeiten entste hen werden Bei h heren Endgeschwindigkeiten werden die aus dem Automotive Bereich bekannten Fahrerassistenzsysteme auch unter Verwendung von X by Wire Systemen zur Entlastung des Fahrers und Verbesserung der aktiven Sicherheit mehr und mehr Einzug halten Beispiele f r Systeme bei Pkw und Nkw siehe 23 26 Grundlagen in 27 28 Damit begibt man sich aber auch auf Gebiete wo die Zuverl ssigkeit und vor allem die funktionale Sicherheit gesamter Systeme immer wichtiger werden Die Entwicklungspro zesse und methoden wie auch das Layout der Systeme m ssen an die sicherheitskriti schen Anwendungsf lle angepasst werden besonders wenn auf Grund h herer Geschwin digkeiten neue Zulassungsrichtlinien greifen Beispiel hierzu ist die hydraulische Ein kreislenkung die durch die StVZO in Fahrzeugen bis 50 km h zugelassen wird und bei mobilen Arbeitsmaschinen weite Verbreitung findet Eine Erh hung der Zulassungsvor schriften auf 60 km h ist in Vorbereitung siehe Kapitel 2 4 Profitierend von den Entwicklungen innovativer Fahrzeugf hrungssysteme bei Pkw und Nkw werden auch bei mobilen Arbeitsmaschinen die Systeme f r Antrie
236. tzeitig erkannt und das unerw nschte Ereignis abgewendet werden Da die Arbeitsprozesse und Transportfahrten mobiler Arbeitsmaschinen grunds tzlich von einem geschulten Fahrer berwacht werden wurde die M glichkeit zur Gefahrenabwendung im Risikographen zus tzlich bei S3 ber cksichtigt was in der urspr nglichen Fassung ausge schlossen war Eintrittswahrscheinlichkeit W des unerw nschten Ereignisses Mit diesem Parameter wird die Eintrittswahrscheinlichkeit des unerw nschten Ereignisses ohne Vorhandensein der MSR Sicherheitsfunktion beurteilt Unter Ber cksichtigung der Betriebsbew hrtheit wird eine Aussage dar ber getroffen wie viele Unf lle unter gege benen Umst nden zu erwarten sind Fehlen statistische Erfahrenswerte f r die Eintritts wahrscheinlichkeit eines Fehlers empfiehlt es sich gerade bei diesem Parameter die Situ ation im Zweifel sch rfer zu beurteilen Im Bereich innovativer elektronisch geregelter Automatiken bei mobilen Arbeitsmaschinen gelangt man daher oft in hohe Eintretens wahrscheinlichkeiten Bewertungen von W2 und W3 herrschen vor 42 4 2 Konventionelle Methoden f r die Systementwicklung Bestimmung der Integrit tsklassen mit dem Risikographen Beim Verfolgen des gew hlten Pfades im Risikographen von links nach rechts ergeben sich als Endergebnis unter Ber cksichtigung der Eintrittswahrscheinlichkeit einige Felder f r Integrit tsklassen f r die auf besondere u U ber den Stand der Techn
237. und module Implementierung Codierung der Software Bild 5 6 Angepasstes V Modell als Entwicklungsmodell f r mechatronische Systeme mit Aufteilung in System und Softwareentwicklung Anregungen aus 190 5 3 Entwicklungsschritte mit Zuordnung der Methoden und Ma nahmen In den folgenden Teilkapiteln sind die Entwicklungsschritte des V Modells aus Kapitel 5 2 mit Zuordnung der explizit vorgeschlagenen Methoden beschrieben Die jeweils zu Beginn aufgef hrten Piktogramme zeigen in welchem Bereich des Vorgehensmodells man sich befindet In den Tabellen zur Methodenzuordnung Tabelle 5 3 bis 5 10 sind die Methoden und Ma nahmen abh ngig vom geforderten Safety Integrity Level SIL empfohlen bzw vor geschrieben Parallel wirkende Ma nahmen und Methoden sind in Gruppen zusammen gefasst und mit fortlaufenden Buchstaben a b c gekennzeichnet Zum Erlangen eines erforderlichen SIL ist es ausreichend nur eine Ma nahme oder Methode aus diesen Grup pen auszuw hlen Alle anderen durchnummerierten Eintr ge sind eigenst ndig zu behan deln F r weiterf hrende Informationen zu Methoden und Ma nahmen sind Referenzan gaben in Form der Kapitelnummern oder Literaturstellen mit aufgef hrt 68 5 3 Entwicklungsschritte mit Zuordnung der Methoden und Ma nahmen 5 3 1 Analyse und Spezifikation der Systemanforderungen und architektur Die ersten beiden Schritte des V Modells analysieren die Systeman m L5
238. ung und Technik wortlich Zus tzlich sind die hydraulischen Aktoren wie Pumpen Motoren und Ventile leicht elektronisch anzusteuern bzw zu regeln so dass die meisten Prozessautomatisierun gen im mobilen Bereich mit elektrohydraulischer Antriebstechnik bewerkstelligt werden Elektrohydraulische Prozessregelung einzelner Systeme Die Programmierung elektronisch ansteuerbarer Ventile unter Verwendung zus tzlicher Sensorik erm glicht Teil Automatisierungen von hydraulisch angetriebenen Arbeitspro zessen Beispiele f r Anwendungen bei Traktoren sind sich oft wiederholende Abl ufe beim Frontladen wie Schaufelr ckf hrung in die Ausgangsposition positionsgeregelte hydraulische Parallelf hrung des Werkzeugs Aussch ttelautomatik oder automatisches Ankippen der Schaufel nach der Sch ttgutaufnahme 41 Im Baumaschinenbereich gibt es speziell f r Radlader hnliche Entwicklungen mit zum Teil weiterf hrender Funktiona lit t wie z B elektronische Anschl ge f r Hub und Anbauwerkzeug Drehzahlanhebung des Dieselmotors proportional zu den Steuersignalen der Arbeitshydraulik und frei speicherbare Positionen f r Hubwerk und Schaufel f r wiederkehrende Arbeitsbewegun gen 81 Prozessautomatisierungen bei Kommunalfahrzeugen finden sich z B f r Positi onssteuerungen von M hwerken wo der M hkopf mit konstantem Bodendruck als Regel gr e ber die Auflagefl che gef hrt wird und so der Bodenkontur automatisch folgt 82 Die D
239. unotte D und J Seeger Kommunikation von Motor und Getriebe ber CAN Bus Agrartechnische Forschung 5 1999 H 1 S 54 67 140 115 Hofmann R Traktorelektronik neue Generation Konzept und Realisierung am Beispiel des Fendt Favorit 700 VDI MEG Tagung Landtechnik 1999 Braun schweig 7 8 10 1999 In VDI Berichte 1503 S 75 80 D sseldorf VDI Verlag 1999 116 Recommended Practice for a Serial Control and Communications Vehicle Net work Norm SAE J1939 Berlin Beuth Verlag 2003 117 Traktoren und Maschinen f r die Land und Forstwirtschaft Serielles Kon troll und Kommunikationsnetzwerk Normentwurf ISO 11783 Berlin Beuth Verlag 2003 118 Goering C E M L Stone D W Smith und P K Turnquist Off Road Vehicle Engineering Principles St Joseph USA ASAE 2003 119 Thomas R ISOBUS in der Kommunaltechnik VDI MEG Tagung Landtechnik 2003 Hannover 07 08 11 2003 In VDI Berichte 1798 S 115 119 D sseldorf VDI Verlag 2003 120 Industrielles Kommunikationssubsystem basierend auf ISO 11898 CAN Teil 4 CANopen Norm DIN EN 50325 4 Berlin Beuth Verlag 2002 121 Unger E H Witte und W Poppy CANopen in mobilen Baumaschinen 2 Interna tionales Fluidtechnisches Kolloquium in Dresden 16 17 03 2000 In Tagungsun terlagen Band 2 S 105 112 Dresden Dresdner Verein zur F rderung der Fluidtechnik 2000 122 Stra enfahrzeuge Diagnosesysteme Schl sselw
240. ur Generierung des fertigen Serien Codes f r das Steuerger t 124 anhand einer durchg ngig modellbasierten Vorgehensweise eingesetzt und mit konventio nellen Methoden verglichen Der praktische Teil der Arbeit beschreibt den Versuchtr ger und die realisierten Auto matiken behandelt die Validierung der wichtigsten MSR Sicherheitsfunktionen Messen Steuern Regeln und verallgemeinert die Ergebnisse auf das gesamte Segment der mobi len Arbeitsmaschinen F r die Weiterentwicklung und Verifikation des Konzepts wurde eine geeignete Traktor Ger te Kombination als Versuchstr ger ausgew hlt Der Traktor verf gt ber elektronische Schnittstellen f r Motor und stufenloses Getriebe und wurde wie die landwirtschaftlichen Ger te Ringpacker Kreiselegge und aufsattelbare Drillma schine mit zus tzlicher Sensorik und Elektronik ausger stet Die Entwicklung der Automatiken orientierte sich am erarbeiteten Konzept Bei der autonomen Prozessf hrung nach dem Prinzip Ger t steuert Traktor regeln die landwirt schaftlichen Ger te den Traktor in seiner Fahrgeschwindigkeit und Bet tigung der hydrau lischen bzw mechanischen Schnittstellen Zapfwelle Hubwerke und Zusatzhydraulik sowohl w hrend der eigentlichen Arbeit als auch am Vorgewende Als zweites Anwen dungsbeispiel dient eine neu realisierte Wendeautomatik Hierf r wird die Position relativ zum Wendebereich am Feldende aus Lenkwinkel und Geschwindigkeit ermittelt Der bergeo
241. ustand berf hrt werden k nnen Auch die anderen untersuchten Funktionalit ten erga ben maximal eine Einstufung nach SIL2 Da die Automatiken meist durch verteilte Funk tionen unter Zusammenspiel mehrerer Logiken realisiert werden kann man hier nicht zwi schen hohen und niederen Integrit tsstufen trennen S mtliche Steuerger te und mechatro nischen Systeme der Zusatzausr stung m ssen also mit SIL2 gerechten Methoden und Ma nahmen entwickelt werden Eine nach SIL2 geforderte Entwicklungsmethode ist die nachfolgend beschriebene System FMEA System FMEA externer automatisierter Geschwindigkeitsregelungen In der Risikoanalyse der externen Geschwindigkeitsregelung wurde der Fehlerfall unkontrolliertes berfahren der Feldgrenzen als sicherheitskritischster Hazard identifi ziert und deshalb eingehend in der System FMEA untersucht In Bild 6 11 ist ein Auszug des entsprechenden Formblatts nach VDA 96 164 gezeigt in dem die fehlerhafte Ansteuerung der Motordrehzahl behandelt wird Weitere System FMEA sind f r weitere Fehlerquellen z B Getriebeverstellung notwendig F r den oben genannten sicherheitskritischen Fehler sind mehrere Ursachen wie z B die falsche Priorisierung der Geschwindigkeit durch den Traktorrechner denkbar Um kon kurrierende Kommandos der Ger te auf die Systemgeschwindigkeit aufzul sen war anfangs die bergabe von Geschwindigkeitsintervallen als Sollwerte an den Traktorrech ner angedacht Der Traktorre
242. vermindern bzw neue Entdeckungsma nahmen die M glichkeiten der Fehlerbeherrschung verbessern Die Anwendung der Methode System FMEA ist ein zentraler Punkt im sicherheitsge richteten Entwicklungsprozess um potenzielle Systemfehler m glichst fr hzeitig zu beseitigen Schwierigkeiten ergeben sich bei der Ber cksichtigung von Einfl ssen bei Mehrfachfehlern da eine logische Fehlerverkn pfung in der Methodik nicht vorgesehen ist Eine weit verbreitete Methode die sich u a der logischen Verkn pfung von Fehlerur sachen widmet ist die in 168 beschriebene Fehlerbaumanalyse die f r derartige F lle vorgeschlagen wird 46 4 2 Konventionelle Methoden f r die Systementwicklung 4 2 1 4 Methoden zu Spezifikation und Design von Software Lastenheft Anforderungsanalyse und Pflichtenheft Im Spezifikationsstadium des Entwicklungsprozesses konkretisieren die Methoden Las tenheft Anforderungsanalyse und Pflichtenheft die notwendigen Systemeigenschaften Ihre Vorgehensweise unterscheidet sich dabei nicht bei der Anwendung auf Softwarepro jekte oder konventionelle Produkte Nach DIN 69905 169 beschreibt das Lastenheft ergebnisorientiert die Gesamtheit der Forderungen an die Lieferungen und Leistungen eines Auftragnehmers F r die Entwicklung eingebetteter Software von E E PE Systemen wie sie hier behandelt werden dokumentiert das Lastenheft die grundlegenden Spezifika tionen der zu entwickelnden Software hinsichtlich folgender Anford
243. verwendeten Versuchstr ger erarbeitet hat aber Grundlagencharakter auch f r andere Maschinensysteme 130 9 2 Matrix analytisch herleitbarer Betriebs und Schnittstellenzust nde Tabelle 9 4 Zusammenstellung von zentral erfassbaren Signalen zur analytischen Herlei tung wichtiger Systemzust nde h hinreichende Bedingung n notwendige Bedingung b unter bestimmten Bedingungen Indizes markieren abh ngige Signalkombinationen Arbeitshydr Zapfwelle Betriebszust Fahrgeschwindigkeit zle 8 Z S S plzf3 2158151815 SEHE s2 85010o635 710 2 10 sc 5l2 gt gt o 2 S 2 l olo 2 ola a gt s s lt Y 2 Vj a lt 3 o ao os s s gt F SS lt 2 2 _ 5 mis fen S S lN NE oO 2121313 Qo oO 7le o oo oo ce es 3 13 3 2 2 lo D 5 Zlo loa NIS gt gt gt 7 75 C 5 s g9 e z oz SS lac Pi 7 US zZ O zz o 9 212 17 m Y7 lt S o zle lola 3 2 2 2 2 5 Iso cs S amp S s D 5s 5 lo INIZ Jalal 5 5 g 318 gt o5 s 2 s m s Q 2 a rt 5215 gt N se S a gt olg Llo se 5 S a 2Q o s 3 I lt 5 2 ao 5 Ic Q 5 oa G o E Erfassbare Signale gt 5 o z gt 5 gt ou gt Motordrehzahl 2 2 2 2 2 Getriebe bersetzung 5 5 53 3 35 gt gt gt Parksperre gt 5 5 5 5 aktiver Stillstand gt 2 2 2 Hauptfahrkupplun
244. werkstelligen und f rdert die Zuverl ssigkeit der Systeme bei geringerem Ent wicklungsaufwand Eine durchg ngig modellbasierte Entwicklungskette erleichtert hier bei den Zugriff auf schon entwickelte Modelle Bei stark sicherheitskritischen Systemen sollten Vorkehrungen zur Fehlererkennung und Diagnose getroffen werden Die EN 61508 151 liefert dazu m gliche Konzepte und Anleitungen 70 5 3 Entwicklungsschritte mit Zuordnung der Methoden und Ma nahmen Tabelle 5 5 Entwicklungsschritt Design der Softwaresubsysteme und module Auswahl von empfohlenen E und dringend empfohlenen DE Entwicklungsmethoden und ma nahmen in Abh ngigkeit des geforderten SIL Methode Ma nahme Softwaredesign Referenz SIL1 SIL2 SIL3 1 Erprobte Hardware Software 151 E DE DE 2 Wiederverwendbarkeit von SW Modulen Funktionen 151 E DE DE 3 Strukturierte Analyse 4 2 1 4 E E DE 4a Zustandsdiagramme 151 E DE 4b Entscheidungstabellen Wahrheitstabellen 151 E DE 5 Fehlererkennung und Diagnose 151 DE DE 6a Vorsehen einer externen berwachung Guardian 151 E E E 6b Software Diversit t 151 E E E 6c Priorisierung von Sicherheitsfunktionen innerhalb SW 151 E E E 6d Fehlerbeherrschungsprinzipien von Software 151 E E E 7 Model in the Loop 4 3 2 E E E 8 Rapid Control Prototyping 4 3 3 E E 9 Konfigurationsmanagement 4 2 1 4 E DE 10 SW Audit ISO 15504 SPICE 2 3
245. wick UK 02 07 07 2000 Paper 00 IE 007i Abstracts part 1 p 252 253 Nieminen T J und M Sampo Unmanned Vehicles for Agricultural and Off High way Applications SAE paper No 932475 Society of Automotive Engineers War rendale PA USA 1993 e Matthies H J und K Th Renius Einf hrung in die lhydraulik 4 Auflage Wies baden Teubner Verlag 2003 Latour Ch und J Beck Fahrantrieb und Arbeitshydraulik f r Radlader O P 44 2000 Nr 5 S 310 312 314 316 317 B nig I Kommunaltechnik In Jahrbuch Agrartechnik 15 2003 S 233 239 296 M nster Landwirtschaftsverlag 2004 e Ulrich A Untersuchungen zur Fahrdynamik von Traktoren mit und ohne Anbau ger te Diss TU Berlin 1983 Forsch Bericht Agrartechnik d Arbeitskreises For schung u Lehre der Max Eyth Gesellschaft MEG Nr 82 Berlin Selbstverlag 1983 Lang Th und H Coenen Funktionspotenziale am Heckdreipunkt Landtechnik 55 2000 H 5 S 336 337 Stewart D A Platform with Six Degrees of Freedom Proc Instn Mech Engrs Vol 180 1965 66 H 15 S 371 378 Fedotov S R Rudik G Bernhardt und H Weiss Aufbau und Steuerung einer neu artigen Ger teschnittstelle mit zus tzlichen Freiheitsgraden VDI MEG Tagung Landtechnik 2001 Hannover 09 10 11 2001 In VDI Berichte 1636 S 47 52 D s seldorf VDI Verlag 2001 Baldinger M Optimale Pflugarbeit mittels elektronischem Bussystem der Elek tronikpflug von P ttinger VDI
246. wicklung Begriffe Norm DIN 69905 Berlin Beuth Verlag 1997 170 Yourdon E Moderne Strukturierte Analyse Attenkirchen Wolfram s Fachverlag 1992 171 Beer A X by Wire Von der Entwicklung zur Einf hrung ATZ MTZ Automotive Engineering Partners Sonderausgabe M rz 2001 Automotive Electronics S 80 85 172 Peng W und D Wallace Software Error Analysis National Institute of Standards and Technology NIST Special Publication 500 209 Gaithersburg 1993 173 Programmiersprachen C Norm ISO IEC 9899 Berlin Beuth Verlag 2001 174 Thomsen T Integration automotiver Standards in die Seriencodegenerierung VDI Tagung Steuerung und Regelung von Fahrzeugen und Motoren AUTOREG 2002 Mannheim 15 16 04 2002 In VDI Berichte 1672 S 205 221 D sseldorf VDI Verlag 2002 175 Entwicklungsempfehlungen f r Software von Stra enfahrzeugen Technical Report ISO TR 15497 Berlin Beuth Verlag 2000 176 Schwarz H H Deiss und H Lier Prozess Management in der industriellen Soft ware Produktion VDI Tagung Elektronik im Kraftfahrzeug 2000 Baden Baden 05 06 10 2000 In VDI Berichte 1547 S 371 389 D sseldorf VDI Verlag 2000 177 Waldmann A Kontrollierte Software Updates von elektronischen Fahrzeug Steu erger ten VDI MEG Tagung Landtechnik 2004 Dresden 07 08 10 2004 In VDI Berichte 1855 S 131 136 D sseldorf VDI Verlag 2004 145 10 Literatur 178 The Maths
247. wie im Vorgehen ohne automatischen Code Genera tor an den nderungsstand der Modelle angepasst werden Um die Vorteile und Nachteile der automatischen Generierung von Serien Code gegen ber konventioneller manueller Codierung abzuw gen wurde der Steuerrechner der Krei selegge unter beiden Vorgehensweisen zweigleisig entwickelt Die so parallel codierten Softwareprojekte wurden auf die korrekte Erf llung der gemeinsamen Spezifikation hin getestet Sowohl in der MIL Simulation im Hardware in the Loop Test als auch im rea len Feldversuch konnten keine signifikanten Unterschiede zwischen h ndisch erstelltem und aus der graphischen Programmierung automatisch generiertem Serien Code festge stellt werden Im Gegenteil durch die verbesserte bersichtlichkeit der graphischen Dar stellung konnten Umsetzungsfehler erkannt werden die in der konventionell program mierten Steuerung nicht auffielen 104 6 3 Entwicklung ausgew hlter MSR Sicherheitsfunktionen Ein oftmals erw hnter Nachteil automatischer Code Genera 250 toren ist die relativ schlechte Code Effizienz Ein Ma daf r ist kByte das Verh ltnis der Gr e des kompilierten Codes zum erreich 150 100 ten Funktionsumfang Je effizienter Lastenheft und Program mierung umgesetzt wurden desto kleiner ist das entstehende automatisch generiert Hex File und desto besser sind i a Laufzeitverhalten und j 2 ke Q t5 gt je E Code Gr e
248. wird die Verbreitung satellitengef hrter Systeme durch zus tzliche Vorteile wie geringere Kosten h here Ver f gbarkeit und bessere Genauigkeit des Basissystems weiter verbreiten Weiterf hrende Konzepte schlie en das Wenden am Feldende und die Ger testeuerung durch automatische Bet tigung der Hubwerke und hydraulischen Zusatzventile mit ein 78 79 Durch eine solche Verbindung automatisch geregelter Fahrfunktionen mit dem elektronischen Eingriff in den Arbeitsprozess wurde das Potenzial f r komplett autonom arbeitende Arbeitsmaschinen geschaffen 2 2 2 Automatisierung von Arbeitsprozessen Die Arbeitsprozesse bei mobilen Arbeitsmaschinen erstrecken sich auch au erhalb der Landtechnik auf ein weites Spektrum unterschiedlicher Anwendungsgebiete z B Erd und Felsbewegung von Tunnelbaumaschinen bis hin zu Kommunalmaschinen beim Reini gungseinsatz von Leitpfosten auf der Autobahn Wichtigster Vertreter verwendeter Tech nologien ist dabei die lhydraulik Positive Eigenschaften wie freiz gige Anordnung aller Bauteile hohe Leistungsdichte einfache Bewegungsumkehr stufenlose nahezu formschl ssige bersetzungs nderung um nur einen Teil aus 80 zu nennen sind ma geblich f r die Verwendung hydraulischer Antriebe bei mobilen Arbeitsmaschinen verant 1 blich sind fest vermessene Referenzstationen die ihre Korrektursignale ber Funk Mobilfunk oder UKW an das Navigationssystem bertragen 15 2 Stand der Forsch
249. ypisch f r Steer by Wire Bild 5 5 ist zu ber cksichtigen welche Systeme unabh ngig voneinander agieren bzw sich gegen seitig beeinflussen k nnen Nur wenn eine gegenseitige Einflussnahme generell ausge schlossen werden kann ist eine separate Betrachtungsweise der einzelnen SIL m glich andererseits m ssen alle betroffenen Systeme nach dem h chsten in der Risikoanalyse ermittelten SIL entwickelt werden In Bild 5 6 ist das angepasste Vorgehensmodell f r die Entwicklung mechatronischer Systeme bei mobilen Arbeitsmaschinen dargestellt welches den in diesem Bereich vor kommenden Integrit tsstufen SIL1 bis SIL3 gen gt Die Entwicklungsschritte werden durch die Anwendung impliziter und expliziter Methoden und Ma nahmen die anhand des erforderlichen SIL ausgew hlt werden bearbeitet Gepr gt durch den standardm igen Aufbau mechatronischer Systeme in Sensorik Akto rik und Informationsverarbeitung siehe auch Bild 2 2 wird das V Modell in zwei Teilen Systementwicklung und Softwareentwicklung aufgebaut Die Entwicklungsmethoden und ma nahmen des oberen Teils Systementwicklung zielen auf das komplette System bzw Zusammenwirken untergeordneter Teilsysteme ab und behandeln Software als Black Box Element einzelner Systemkomponenten Aus den Systemanforderungen wer den die Funktionen spezifiziert logisch verteilt und abschlie end innerhalb der techni schen Systemarchitektur festgeschrieben Rekursione
250. ystemarchitektur unter Verwendung zuverl ssiger Komponenten Die stochastische Zuverl ssigkeit der Komponenten und Teilsysteme wird mathematisch logisch ver kn pft und zu einer qualitativ vergleichbaren Gesamtzuverl ssigkeit zusammenge fasst Nach EN 61508 151 ist jedem Safety Integrity Level eine entsprechende maximale Ausfallwahrscheinlichkeit zugeordnet die das zu entwickelnde System nicht berschreiten darf ausf hrliche Beschreibung der Zuverl ssigkeitsanalyse siehe in 153 Nachweis einer sicherheitsgerechten Systementwicklung Nachgewiesen wird das dokumentierte Vorgehen anhand eines sicherheitsgerechten Entwicklungsprozesses mit Vorgehensmodell Entwicklungsschritten Methoden und Ma nahmen Der Ent wicklungsprozess ist an die erforderliche Systemintegrit t angepasst Bei zunehmendem Grad der Elektronifizierung wird es immer schwieriger die Zuverl s sigkeit der Systeme nachzuweisen Zum einen ist es sehr aufwendig Ausfallsicherheiten von Software genau zu quantifizieren zum anderen ist die logische Verkn pfung einzelner Bauteile komplexer elektronischer Ger te zu einer Gesamtzuverl ssigkeit fragw rdig Gerade die hohe Anzahl von Bauteilen elektronischer Steuerger te macht eine Aussage ber die Gesamtzuverl ssigkeit fast unm glich Aus diesem Grund wird in vorliegender Arbeit ein Entwicklungskonzept vorgestellt das auf einer sicherheitsgerechten Syste 63 5 Sicherstellung der erforderlichen Systemintegrit t
Download Pdf Manuals
Related Search