Embed Size (px)
Citation preview
11-12 November 2016
5445
ORGAN DES FORSCHUNGSFONDS FLUIDTECHNIK IM VDMA
FLUIDTECHNIK
36 I FLUGZEUGSCHLEPPERFlexibel programmierbares Steuergerät regelt dieselhydraulisches Fahrantriebssystem
50 I VERSPANNPRÜFSTÄNDEZuverlässig wie ein Schweizer Uhrwerk
58 I AUTOMATISIERUNGSpritzgießen 4.0
oup-fluidtechnik.de
Dr. Peter Achten
08 I LOUNGE„Wir brauchen eine Renaissance der Innovation“
TITE
L
Erschienen in O+P Fluidtechnik 11-12/2016
Foto
: Gol
dhof
er
DEN FLIEGER SICHER IM GRIFFFo
to: G
oldh
ofer
SPEC
IAL
/ SP
S IP
C D
RIV
ES 2
01
6
Erschienen in O+P Fluidtechnik 11-12/2016
STEUERELEKTRONIK
Rudolf Filser
Auf der „Inter Airport Europe 2015“ präsentierte Goldhofer die neue High-Speed-Towing-Flugzeugschlepper-Generation AST-2P/X. Mit dem Fahrzeug können Flugzeuge, angefangen von der Embraer 170 bis hin zur Boeing B777-300ER und dem A340, bewegt werden. Für das Fahr- management und die Zugkraftbegrenzung zeichnet sich das Steuergerät ESX-3XL Safety von Sensor-Technik Wiedemann verantwortlich.
Autoren: Dipl.-Ing. (FH) Rudolf Filser, Teamleiter System Support, Sensor-Technik Wiedemann GmbH in Kaufbeuren
Der Goldhofer AST 2 der vierten Generation zeichnet sich durch ein neues, kompaktes und modulares Fahrzeugkonzept aus. Hier ist in erster Linie die hydrostatisch angetriebene Lenkachse für beste Traktion auch bei geringer
Auflast zu nennen. Das Fahrzeug verfügt wahlweise über zwei Motorenstärken und bietet ein 3KreisBremssystem, das die Bremskraft für bestmögliche Stabilität und Sicherheit optimal aufteilt. Dabei erfüllen die Motoren alle geforderten internationalen Abgasnormen Euro IIIa oder IVf.
Auch in der Performance setzt die neue Generation Maßstäbe. So können Flugzeuge in weniger als 1 min aufgenommen werden. Auch im Notfall kann das Flugzeug in weniger als 1 min freigegeben werden. Der hydrostatische Fahrantrieb mit einer kombinierten Lenktriebachse garantiert ein stufenloses Beschleunigen. Eine zuschaltbare Differentialsperre garantiert beste Traktion auch bei widrigen Wetterverhältnissen, wie z.B. Wintereinsatz.
Die Stromversorgung des Flugzeuges ist während des Schleppbetriebes über eine Ground Power Unit (GPU), die auch nachträglich in jedes dieser Fahrzeuge eingebaut werden kann, sichergestellt. Die voll klimatisierte Fahrerkabine präsentiert sich in neuem Design mit einem neuen Federungssystem.
Der Wartungsplan ist so gestaltet, dass alle Wartungen auf dem 1SchichtPrinzip basieren. Dies verkürzt Liegezeiten und garantiert höchste Verfügbarkeit im Betrieb. Alle Wartungsstellen sind übersichtlich und gut zugänglich. Optional kann zur Diagnose über Fernzugriff auf die Fahrzeugdaten und Parameter zugegriffen werden.Bedingt durch den Betrieb auf Flughafenvorfeldern gibt es viele Wartezeiten. Dieses Kosteneinsparpotential beim Kraftstoffverbrauch wurde durch den Einbau einer StartStoppAutomatik genutzt. Hierdurch kann nicht nur der Dieselverbrauch erheblich gesenkt werden, auch die Wartungskosten der Schlepper werden verringert, da die Wartungsintervalle von den Betriebsstunden abhängen. Für den Kunden sind dies weitere Bausteine zur Reduzierung der „Total Cost of Ownership“ (TCO).
DAS ANTRIEBSSYSTEM IM DETAIL
Im oben beschriebenen System spielt der Fahrantrieb eine zentrale Rolle. Das dieselhydraulische Fahrantriebssystem ist mittels einer Pumpe mit elektrischer Proportionalverstellung und zwei Hydraulikmotoren mit elektrischer Proportionalverstellung realisiert, die über ein SummierGetriebe eine DifferentialLenkAchse antreiben. Die Energie für das Antriebssystem liefert ein 231KW (optional: 283 KW) starker Cummins QSL9 Dieselmotor. Die Steuerung des Antriebssystems übernimmt der Drive Line Controller (DLC).
Der DLC ist zuständig für das gesamte Fahrmanagement und die flugzeugtypabhängige Zugkraftbegrenzung. Beim Schleppvorgang
NEUER FLUGZEUGSCHLEPPER VON GOLDHOFER MIT MODULAREM KONZEPT
FAHRMANAGEMENT ÜBERNIMMT STW-STEUERUNG
VON BEGINN AN SICHERHEITS- GERICHTETE ENTWICKLUNG
ENTWICKLUNGSUMGEBUNG FÜR SICHER-HEITSNORM-KONFORME PARAMETRIERUNG
POINTIERT
Erschienen in O+P Fluidtechnik 11-12/2016
STEUERELEKTRONIK
darf nur mit begrenzter Zugkraft am Bugrad gezogen werden. Die Zugkraftbegrenzung ist im DLC durch eine dynamische flugzeugtypabhängige Hochdruckabschneidung realisiert. Zusätzlich ist der DLC für die Funktionalität der StartStopp Automatik zuständig.
FLEXIBEL PROGRAMMIERBARE STEUERUNGSPLATTFORMBei der Auswahl der Fahrantriebssteuerung wurde eine flexible und leistungsstarke Steuerung gesucht, die in der Lage ist, die sicherheitsrelevanten Funktionalitäten zuverlässig auszuführen. Das Steuergerät sollte auf andere Flugzeugschleppertypen adaptierbar sein und die nötige Performance bieten, um aktuelle und zukünftige Anforderungen sicher abzudecken. Mit der nach den Normen DIN IEC 61508: SIL 2 und DIN EN ISO 13849: PL d zertifizierten 32Bit Steuerung ESX3XL Safety der Firma SensorTechnik Wiedemann, kurz STW, wurde eine Lösung gefunden, die diesen Anforderungen mehr als gerecht wird.
Die Basis des Steuergerätes bildet ein 32Bit TriCoreController, mit 150MHz Core, 4MB RAM, 6MB Flash und 32kB EEPROM. Neben den flexiblen Anpassungsmöglichkeiten in der Grundausstattung – beispielsweise können alle Eingänge über InitFunktionen als Strom/Spannungs/Digital oder Drehzahleingänge konfiguriert werden – ist die Skalierbarkeit über Erweiterungsboards eine herausragende Eigenschaft der ESX3XL. Da die Steuerung mit bis zu sechs dieser Erweiterungsboards jederzeit ausbaubar ist, wächst es einfach mit dem Projekt flexibel mit. Aktuell sind 14 ErweiterungsboardVarianten mit verschiedenen Ein und Ausgängen, zusätzlichen RS232/RS485/CANSchnittstellen oder auch ein programmierbares LinuxSystem inkl. Ethernet und USB verfügbar. Grundsätzlich werden für das Steuergerät Entwicklungsumgebungen für die Program mierung in „C“, Matlab und CODESYS angeboten.
Firma Goldhofer hat sich für die Variante CODESYS SAFETY SIL2 entschieden. CODESYS ist eine IEC 611313 konforme SPSProgram
mierumgebung, die folgende Programmiersprachen unterstützt: Strukturierter Text (ST), Funktionsplan (FUP), Kontaktplan (KOP), Anweisungsliste (AWL), Ablaufsprache (AS), Freigraphischer Funktionsplaneditor (CFC). CODESYS unterstützt den Entwickler von der Implementierung bis zum Debugging und der Visualisierung durchgängig innerhalb einer Entwicklungsumgebung (AllInOne). Die Safety Variante CODESYS SAFETY SIL2 basiert auf CODESYS V3.
SICHERHEITSGERICHTETE ENTWICKLUNG
Entsprechend den Vorgaben der anzuwendenden Normen wurde eine Risikoanalyse für die Funktionalitäten des Fahrantriebs durchgeführt, die für diverse Teilfunktionen einen geforderten Sicherheitslevel AgPLr >= c ergab. Da eine sicherheitsgerichtete Entwicklung einen wesentlichen Kostenfaktor bei der Produktentstehung und Wartung des späteren Produkts darstellt, wurde beim Entwurf des technischen Sicherheitskonzepts entsprechend großes Augenmerk auf die klare und eindeutige Definition der Sicherheitsfunktionen und deren Zuordnung zu den SoftwareKomponenten gelegt. Dabei wurde gezielt darauf geachtet, den sicherheitsrelevanten Teil auf das Notwendige zu beschränken und klare Schnittstellen zwischen sicherheitsrelevanten und nicht sicherheitsrelevanten Softwareteilen zu schaffen. Dies wird in der Softwarearchitektur in sicherheitsgerichteten und nicht sicherheitsgerichteten Modulen abgebildet.
Die klare Zuordnung von Funktionalitäten und die eindeutige Definition der Schnittstellen zwischen den entsprechenden Softwareteilen ist in der Regel immer sinnvoll, führt aber erst zu einer Kostenreduktion bei Entwicklung und Wartung, wenn die Trennung unterschiedlicher Softwareteile auch von der verwendeten Hardware unterstützt wird.
Entsprechend IEC 615083, 7.4.2.9, müssen Softwareteile mit unterschiedlicher Sicherheitseinstufung auf einem Steuergerät
01
TITE
LSP
ECIA
L /
SPS
IPC
DR
IVES
20
16
STEUERELEKTRONIK
Erschienen in O+P Fluidtechnik 11-12/2016
02 Trennungsprinzip der sicherheitsrelevanten bzw. nicht sicherheitsrelevanten Komponenten
01 CODESYS unterstützt den Entwickler von der Implemen-tierung bis zum Debugging und der Visualisierung
durchgängig innerhalb einer Entwicklungsumgebung
gemäß dem höchsten Sicherheitslevel entwickelt werden, außer es liegt eine geeignete Unabhängigkeit durch zeitliche und räumliche Trennung vor. Das verwendete ESX3XL Steuergerät unterstützt die zeitliche und räumliche Trennung von Applikationsteilen durch entsprechende Speicherschutz und WatchdogFunktionalitäten. Damit können Softwareteile mit unterschiedlichen Sicherheitsanforderungen zeitlich und räumlich unabhängig ausgeführt werden. Dies eröffnet dem Entwicklungsteam die Möglichkeit, die nicht sicherheitsrelevanten Teile der Applikation gemäß einem vereinfachten Ent wicklungs und Verifikationsprozess zu entwickeln.
ENTWICKLUNGSUMGEBUNG ERMÖGLICHT SICHERE PARAMETRIERUNGDas Ziel war eine normkonforme Parametrierung zu gewährleisten. Außerdem sollte sichergestellt werden, dass Parameteränderungen an nicht sicherheitsrelevanten Applikationsteilen nachweislich keine Auswirkungen auf die sicherheitsrelevanten Applikationsteile haben, um auch an dieser Stelle den nötigen Validierungs und Verifikationsaufwand möglichst gering zu halten. Grundsätzlich bringt jede Parametriermöglichkeit zusätzliche Komplexität, zusätzliche Fehlerquellen und somit erhöhten Validierungs und Verifikationsaufwand mit sich. Bei der Spezifikation und dem Design der sicherheitsrelevanten Module wurde demzufolge darauf geachtet, die Parametriermöglichkeiten auf das Notwendigste zu beschränken.
Mit der klaren Abgrenzung des sicherheitsrelevanten Applikationsteils vom nicht sicherheitsrelevanten Applikationsteil wurde die Grundlage geschaffen, auch die Parametrierung in sicherheitsrelevant und nicht sicherheitsrelevant aufzuteilen.
Der Prozess der sicheren Parametrierung wird innerhalb der ESX3XLEntwicklungsumgebung durch die ESXKEFEXToolchain, die mit Benutzer und Sicherheitshandbuch im Lieferumfang enthalten ist, unterstützt. Die KEFEXToolchain ist zertifiziert für den
Einsatz in Projekten mit Sicherheitsanforderungen entsprechend DIN IEC 61508: SIL 2 und DIN EN ISO 13849: PL d.
Das Parametriertool unterstützt eine komplett getrennte Verwaltung von Parametern mit unterschiedlichen Sicherheitseinstufungen auf einem Steuergerät. So können z.B. unterschiedliche Parametersätze für sicherheitsrelevante und nicht sicherheitsrelevante Parametersätze angelegt werden. Die jeweiligen RAM Ko pien der sicherheitsrelevanten/nicht sicherheitsrelevanten Parameter werden dann bei der Codegenerierung in unterschiedliche Speicherbereiche gelegt, die über geeignete Speicherschutzmechanismen voneinander getrennt sind.
Durch die Trennung der Projektdateien und der internen Datenstrukturen können der sicherheitsgerichtete und der nicht sicherheitsgerichtete Teil der Applikation komplett unabhängig voneinander weiterentwickelt werden. Damit bietet die ESX KEFEXToolchain eine optimale Unterstützung der sicheren Parametrierung und der rückwirkungsfreien Weiterentwicklung des nicht sicherheitsrelevanten Teils der Applikation.
Der gesamte Entwicklungsprozess (Risikoanalyse, Hardwarebelegung, Ausarbeitung Sicherheitskonzept, Software Architektur, Implementierung, Verifizierung) wurde in enger Abstimmung zwischen STW und Goldhofer realisiert, was in Summe zu einem sicheren, wartbaren und optimal abgestimmten Antriebssystem führte.
www.sensor-technik.de
Global Data Flow
GVL (Global Variable List)
EVL (Exchange Variable List)
Non-Safety POUs
Non-Safety-Components
Safety POUs
Safety-Components
read/write read
read/write
Safety Context
read/write
02
