Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 1 von 8

Foto: Rauch Landmaschinenfabrik Sicher auf dem Schlepper Mit der ISO 25119 „Sicherheit von Landmaschinen“ liegt seit 2010 eine Normenreihe vor, die die grundlegenden Forderungen der IEC 61508 auf die spezifischen Belange der Landtechnik herunterbricht. Wie sich auf dieser Normen-Basis effizient Komponenten der Mobilen Automation entwickeln lassen, zeigt das Beispiel eines so genannten Jobrechners für Anbaugeräte. Die gesamte landwirtschaftliche Wertschöpfungskette erlebt durch den Einsatz von Automatisierungs- und Informationstechnik seit einigen Jahren einen deutlichen Zuwachs sowohl der Produktivität als auch der Komplexität der zusammenwirkenden Systeme. Wie im Maschinenbau spielt hier die Entwicklung intelligenter Elektronik eine immer gewichtigere Rolle und ist heute der Treiber für viele innovative Lösungen. Der zunehmende Einsatz elektronischer Steuer- und Bediengeräte schafft aber auch ganz eigene, neue Herausforderungen – insbesondere im Bereich der Sicherheit. So wie die EN ISO 13849 den Performance Level (PL) definiert, ist bei landtechnischen Anwendungen der Agricultural Performance Level (AgPL) relevant. Er wird analog über einen Risikographen ermittelt und muss bei der Hardware- und Software-Entwicklung Berücksichtigung finden. Neben der Komponentenebene ist hier die Ebene des Gesamtsystems zu beachten. Unter diesem Aspekt wird die Landtechnik im Zuge fortschreitender Automation im Wesentlichen durch zwei Phänomene charakterisiert: Komplexität und Heterogenität. Letztere erwies sich angesichts fehlender

Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 2 von 8

herstellerunabhängiger Standardisierung der Kommunikation zwischen Traktor, Anbaugeräten und Hof-PC zwischenzeitlich als ernsthafte Einschränkung für eine weitere Automatisierung der Landtechnik. Führende Hersteller von Landtechnik haben sich daher international auf den „Isobus“ als Standardprotokoll für Landmaschinen geeinigt. Dieses Protokoll basiert auf der internationalen Norm ISO 11783 (Tractors and machinery for agriculture and forestry – Serial control and communications data network) und ermöglicht einen herstellerunabhängigen Datenaustausch in der Agrartechnik.

Bild 1: Der „Isobus“ ist der Markenname oder die Applikation eines Datenbusses für eine landtechnische oder kommunaltechnische Anwendung, die konform zu der Norm ISO 11783 ist. Die Norm definiert neben den physikalischen Eigenschaften des Netzwerkes die Teilnehmerart, Datenformate und Schnittstellen. (Grafik: Competence Center ISOBUS e.V.) Durch die Etablierung des Isobus als Kommunikationsstandard wird die herstellerübergreifende Kombination von Subsystemen technisch erleichtert. Das Problem der Komplexität bleibt aber bestehen: In dem Maße, in dem die Vernetzung der vielfältigen Subsysteme im Schlepper und den Anbaugeräten zunimmt, steigt die Komplexität des Gesamtsystems und das mögliche Nutzungsspektrum der Maschinen. Auch dies bleibt nicht ohne Folgen für die Anforderungen an die Funktionale Sicherheit. Funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion der sicherheitsbezogenen (Sub-)Systeme und externer Einrichtungen zur Risikominderung abhängt. Ausgehend von dieser Definition stellt sich die Realisierung der Funktionalen Sicherheit im Bereich der Landtechnik wie folgt dar: In allen (Sub-)Systemen müssen die durch den zugehörigen AgPL verlangten Sicherheitsanforderungen an die Hard- und Software realisiert werden. Darüber hinaus ist die Systemarchitektur komplexitätsreduzierend zu gestalten. Dies gilt für den technischen

Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 3 von 8

Systemaufbau an sich wie auch für die dazugehörigen Entwicklungs- und Arbeitsprozesse. Ziel dabei ist es, ein Gesamtsystem zu erstellen, das sämtliche Anforderungen erfüllt, nach klaren Regeln erweiterbar ist, dabei aber deterministisch bleibt. Einblick in die Normenwelt Die Basis aller „elektrischen“ Sicherheitsnormen ist die IEC 61508. Daraus folgend wurden Versionen für unterschiedliche Branchen beziehungsweise Anwendungsgebiete spezifiziert etwa neben der EN ISO 13849 (2009) und der ISO 26262 (2011) als internationale Automobilnorm eben auch die ISO 25119. Zunächst noch einmal zur EN ISO 13849. Diese im Maschinenbau wohl bekannte Norm fordert unter anderem:

Die verbindliche Durchführung einer Risikobeurteilung zur Ermittlung der für die Maschine geltenden Sicherheits- und Gesundheitsschutzanforderungen

Die Maschine muss unter Berücksichtigung der Ergebnisse der Risikobeurteilung konstruiert und gebaut werden.

Dies gilt für sowohl für die „bestimmungsgemäße Verwendung“ einer Maschine entsprechend den Angaben der Betriebsanleitung …

… als auch für „vernünftigerweise vorhersehbare Fehlanwendung“ die sich aus einem leicht absehbarem menschlichem Verhalten ergeben kann.

Bild 2: Die ISO 25119 unterscheidet in Analogie zu den Performance Level der EN ISO 13849 (PL a..e) fünf Agricultural Performance Level, kurz AgPL a..e. Die Bestimmung des Levels erfolgt mittels Risikographen, in denen die in den nachfolgenden Tabellen 1 bis 3 beschriebenen Kategorien ausgewertet werden. (Grafik: CC-ISOBUS e.V.)

Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 4 von 8

Tabelle 1: Beurteilung und Klassifizierung eines potenziellen Schadens. (CC-ISOBUS e.V.)

Tabelle 2: Beurteilung der Eintrittswahrscheinlichkeit eines potenziellen Schadens. (CC-ISOBUS e.V.)

Tabelle 3: Beurteilung einer möglichen Schadensvermeidung (CC-ISOBUS e.V.) Ziel der ISO 25119 ist es, die allgemeinen Forderungen der IEC 61508 beziehungsweise der EN ISO 13949 auf die Bedingungen der Landtechnik abzubilden. Es fällt auf, dass sie im Unterschied zur 10-bändigen ISO 26262 weniger umfangreich ist und einen stärkeren Interpretations- und Umsetzungsspielraum zulässt. Damit trägt sie den typischen Charakteristika der Landtechnikbranche Rechnung. Zu diesen zählen unter anderem die im Vergleich zur Automobilbranche geringeren Losgrößen von Landmaschinen. Ihre geringere Detailliertheit macht die ISO 25119 für die Landtechnik praktikabler. Der Mangel an konkreten Ausführungen wird durch Anwendungsrichtlinien, wie sie derzeit von der Agricultural Industry Electronics Foundation (AEF) formuliert werden, kompensiert. Im Detail umfasst die ISO 25119 allgemeine Grundlagen und Leitsätze für die Gestaltung und Bewertung, Entwicklung und Fertigung sicherheitsbezogener Systeme bestehend aus elektrischen und/oder elektronischen und/oder programmierbaren elektronischen Komponenten (E/E/PES) in land- und forstwirtschaftlichen Traktoren, selbstfahrenden Aufsitzmaschinen sowie Anbau-, Aufsattel- und

Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 5 von 8

Anhängemaschinen für landwirtschaftliche Geräte. Zudem ist sie auf kommunale Geräte – etwa Straßenkehrmaschinen – anwendbar. Untergliedert ist die Norm in vier Teile:

Teil 1: Allgemeine Gestaltungs- und Entwicklungsleitsätze Teil 2: Konzeptphase Teil 3: Serienentwicklung, Hardware, Software Teil 4: Fertigung, Betrieb, Modifikation und unterstützenden Verfahren

Mithilfe der Tabelle 4 werden die Anforderungen an die Hard- und Software aus den geforderten AgPL abgeleitet. Ausgehend von der Hardware-Kategorie (HW-Cat) werden der notwendige Diagnostic coverage (DC), die notwendige Mean Time To dangerous Failure (MTTFdC) sowie der Software Requirement Level (SRL) ausgewählt. Dabei sind alternative Umsetzungswege zum Erreichen eines Levels möglich.

Tabelle 4: Beziehung zwischen AgPL, HW Cat (Hardware Category), DC (Diagnostic Coverage), MTTFdC (Mean Time To dangerous channel Failure) und SRL (Software Requirement Level). (CC-ISOBUS e.V.) Die Auslegung des Isobus-Jobrechners Jobrechner – oder ECU für Electronic Control Unit – werden in der Agrartechnik an angebauten, angehängten Geräten oder Selbstfahrern verbaut. Sie stellen I/O-Schnittstellen zur Verfügung, über die die Sensorik und Aktorik des jeweiligen Gerätes ausgelesen beziehungsweise angesteuert wird. Der Anwender bedient den Jobrechner „remote“ aus der Führerkabine des Traktors über ein Isobus-Terminal. Letzteres ist bei neueren Schleppern häufig schon mit integriert, ansonsten lässt es sich als einzelne Komponente nachrüsten.

Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 6 von 8

Die anwendungsspezifischen Aufgaben, die der Jobrechner auf einer Landmaschine übernehmen soll, sind so vielfältig wie die Aufgaben in der Land- und Kommunaltechnik. Am besten stellt man sich einen Jobrechner wie eine multifunktionale Einheit vor, der ein Hersteller von Landmaschinen dann per Programmierung zum Beispiel die Funktion „Düngen“ beibringt. Was die einzubindende Sensorik und Aktorik betrifft, stellen die landtechnischen Anwendungen sehr unterschiedliche Anforderungen. Je anpassungsfähiger ein Jobrechner daher hinsichtlich der I/O-Konnektivität ist, desto flexibler ist er einsetzbar. Aus diesem Grund entschied man sich bei Eckelmann bei der Entwicklung eines solchen Jobrechners für ein multifunktionales Design der Ein- und Ausgänge, die softwareseitig konfigurierbar sind. Zudem sollte das Konzept skalierbar sein, denn nicht jede Anwendung benötigt die gleiche Anzahl an Schnittstellen. Das Hardware-Design berücksichtigt daher von Anfang an drei Ausbaustufen (small, medium und large). Mit der Belegung der je nach Ausbaustufe 25 bis 60 Multifunktionseingänge für Strom (0 bis 20 mA), Spannung (0 bis 5,7 V und 0 bis 15 V), Frequenz (maximal 10 kHz) und digitale Signale ist ein großer Spielraum für Landtechnik-Anwendungen abgedeckt: von der Messung der Umlauffrequenz bis zur elektronischen Waage. An Lastausgängen stehen je nach Ausbaustufe 12 bis 40 kurzschlussfeste Ausgänge mit maximal 4 A und integrierter Strommessung bereit. Über diese Ausgänge lassen sich dann beispielsweise Pneumatik- oder Hydraulikventile steuern. Prozessorseitig verfügt der Jobrechner über einen leistungsstarken Freescale i.MX25 (400 MHz), wie er auch in Automotive-Anwendungen zum Einsatz kommt. Als Schnittstellen hat er neben dem Isobus eine weitere CAN-2.0B-Schnittstelle (bis 1 Mbit/s) und je nach Ausbaustufe eine oder zwei LIN-Bus-Schnittstellen. Außerdem gibt es die RS-232-Schnittstelle, optional werden Ethernet sowie USB 2.0 unterstützt. Wie erfolgt nun die Festlegung, ob, und wenn ja, welchen AgPL ein Jobrechner erfüllen muss? Beim Landmaschinenhersteller wird als erste Stufe eine Risikobetrachtung und -bewertung des Gesamtsystems durchgeführt. Daraus abgeleitet wird ein technisches Sicherheitskonzept erstellt, welches unter anderem die Sicherheitsanforderungen für das elektronische Steuergerät beschreibt. Um diesen Prozess zu unterstützen, empfiehlt die AEF in ihrer Guideline für Jobrechner den AgPL b. Im Vorausblick auf eventuelle zukünftige Anwendungen mit höheren Sicherheitsanforderungen entschied sich Eckelmann darüber hinaus, das neu zu entwickelnde Steuergerät so auszulegen, dass optional auch AgPL c realisierbar ist. Für die Umsetzungsphase müssen die beiden folgenden Punkte sichergestellt sein:

Der Entwicklungsprozess verläuft korrekt, das heißt standardkonform, so dass das System macht, was es machen soll. Mit anderen Worten: Die Spezifikationen sind überprüft und erfüllt.

Laufzeitfehler, Ausfälle und Ausnahmen (zum Beispiel aus der Hardware, Mechanik und/oder Bedienung) werden erkannt und richtig behandelt.

Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 7 von 8

Um die Anforderungen der ISO 25119 für den AgPL b und optional c zu erfüllen, ist eine grundlegende Design-Entscheidung zu treffen. Aus Tabelle 4 ist zu entnehmen, dass zum Erreichen von AgPL c zwei mögliche Alternativen bestehen:

SRL 2 und HW Cat 1 SRL 1 und HW Cat 2

Um die Einschränkungen und Aufwände für die SW-Entwicklung in Grenzen zu halten, entschieden sich die Entwickler für die zweite Alternative. Mit der Festlegung auf SRL 1 ist es möglich, den Jobrechner auf Basis eines erprobten Standard-Betriebssystems wie Linux oder Microsoft Windows Embedded Compact 7 zu betreiben. Es kann damit unter allen gängigen Entwicklungsumgebungen programmiert werden, beispielsweise mit C beziehungsweise C++ oder auch unter Zuhilfenahme der grafischen Entwicklungsumgebung CODESYS, die sich für ein schnelles Engineering in der Maschinenautomation vielfach bewährt hat. In Part 3 der ISO 25119 ist beschrieben, welche Anforderungen an die Software mit den zugehörigen Software Requirements Levels verbunden sind. Anhand von zwei Beispielen werden die Unterschiede zwischen SRL 1 und SRL 2 dargestellt: Während für SRL 1 eine textliche Beschreibung der Sicherheitsfunktionen ausreicht, sind bei SRL 2 formale oder semiformale Beschreibungen wie etwa Flussdiagramme oder Zustandsübergangsdiagramme gefordert. Die formale beziehungsweise semiformale Vorgehensweise gilt ebenfalls für den weiteren Entwicklungsprozess. Die statische Analyse der Software-Module umfasst bei SRL 1 unter anderem die Grenzwertanalyse (Boundary Value) während bei SRL 2 ergänzend noch Code- und Datenfluss-Analysen sowie Code Reviews erforderlich sind. Die Funktionalität des Jobrechners setzt sich wie beschrieben aus seiner Hardware- und Software-Funktionalität zusammen. Um zum Beispiel die „sichere“ Reaktion eines Ausgangs auf ein Eingangssignal zu gewährleisten, wird die gesamte Kette vom Eingang über den Prozessor bis zum Ausgang betrachtet. Die zu HW-Cat 2 gehörende Diagnostic Coverage (DC) „medium“ erfordert dazu mehrere unterschiedliche Überwachungsmechanismen. Beim entwickelten Jobrechner wurden folgende realisiert: externer Watchdog, zyklische definierte Stimulation und Überprüfung der Eingänge sowie das Rücklesen der realen Ausgangszustände. Wird ein fehlerhafter Zustand erkannt, wird automatisch in den sicheren Zustand geschaltet – in den meisten Fällen in den stromlosen Zustand der Ausgänge. Ergänzend muss für alle Hardware-Komponenten im „sicheren“ Pfad die „Mean Time To dangerous Failure“ bestimmt werden und bei über 40 Jahren liegen. Branche in der „Phase der Konkretisierung“ Die Erfahrungen dieses Entwicklungsprojektes bei Eckelmann zeigen, dass die normengerechte Auslegung von Komponenten der mobilen Automation auch unter sicherheitsrelevanten Aspekten über alternative Wege realisierbar ist. Hierbei lassen sich eigene Präferenzen und Strategien berücksichtigen. Klar ist, dass die erweiterten Anforderungen, die aus dem Erreichen des geforderten AgPL resultieren, die Entwicklungsaufwände erhöhen.

Fachaufsatz, erschienen in: Computer & Automation 11/2012, S. 86–90. Eckelmann AG, Wiesbaden

www.eckelmann.de Seite 8 von 8

Insgesamt befindet sich die Branche in Bezug auf die Umsetzung der Funktionalen Sicherheit in einer Phase der „Konkretisierung“. Eine der spannendsten Fragen betrifft dabei die Wechselwirkung zwischen Schleppern und angehängten Geräten, die derzeit unter dem Stichwort Tractor Implement Management (TIM) eine sehr dynamische Entwicklung erfährt. Wenn es nämlich darum geht, inwieweit angehängte Geräte Steuerungsfunktionen im Schlepper – beispielsweise Geschwindigkeitsanpassungen – übernehmen, stellen sich die Fragen der Funktionalen Sicherheit noch einmal neu. Insbesondere dann, wenn über die Landtechnik hinaus über Anwendungen auf der Straße im Bereich der Kommunaltechnik nachgedacht wird. Autor: Dipl.-Ing. Michael Suhre Eckelmann AG Berliner Straße 161 Deutschland Telefon: +49 E-Mail: info@eckelmann.de