Fördermengen von bis zu 200m3/h und Reichhöhen bis zu 70m bringen Autobetonpumpen an ihre physikalischen Grenzen. Die Hauptziele von Neuentwicklungen sind, den Bedienkomfort zu erhöhen, Einsatzbereiche zu erweitern und Betriebskosten zu senken. Dies wird unter anderem durch Automatisierung oder Teilautomatisierung von Abläufen sowie durch die Entwicklung von zusätzlichen Komfort-Ausstattungen (z.B. Ergonic® Boom Control) erreicht. Aufgrund des Einsatzgebietes und der Tatsache, dass während des Betriebs immer Personen anwesend sind, bestehen hohe Sicherheitsanforderungen an diese Funktionen. Die Herausforderung für jeden Maschinenhersteller besteht nun darin, die funktionalen Anforderungen bei gleichzeitiger Erhöhung der Sicherheit unter Einhaltung der wirtschaftlichen Aspekte zu erfüllen. Dabei setzt Fa. Putzmeister auf das sicherheitszertifizierte, frei programmierbare Steuergerät der Sensor-Technik Wiedemann GmbH (STW). Zum Einsatz kommt eine sicherheitszertifizierte ESX®-3XL, bestückt mit zwei sicherheitszertifizierten EB06 Safety Erweiterungsboards. Das Steuergerät bildet die zentrale Komponente des Ergonic 2.0® Systems der Fa. Putzmeister, das für die Überwachung und Regelung der Autobetonpumpe verantwortlich ist
Ergonic 2.0® System
Ergonic 2.0® ist das neueste mikroprozessorgestützte System zur Steuerung und Regelung von Betonpumpen und Verteilermasten der Fa. Putzmeister. Mit diesem können bei komplexen und begrenzten Arbeitsräumen die Arbeits- und Bewegungsbereiche des Mastes definiert werden. Das System sorgt dafür, dass diese Bereiche sicher eingehalten werden. Zusätzliche Betriebssicherheit bietet das teilautomatische Ein- und Ausfalten des Mastes. Durch den Einsatz einer aktiv geregelten Dämpfung werden die Schwingungen des Endschlauchs um 1/3 reduziert, dies führt auch bei voller Leistung zu einem insgesamt deutlich ruhigeren Pumpverhalten. Aufgrund des rechnergestützten Systems konnte eine Vielzahl von elektrischen Bauteilen eingespart werden. Dadurch wurde die Komplexität des Schaltschranks reduziert.
Safety Steuerungsplattform – Zertifizierter Teil des mikroprozessorgestützten
Ergonic 2.0® Systems
Für die oben beschriebenen Aufgaben suchte Fa. Putzmeister ein leistungsstarkes und flexibles Steuergerät, das für den Einsatz der kompletten Produktpalette der Fa. Putzmeister einsetzbar sein sollte. Zusätzlich sollte das Steuergerät die nötige Flexibilität und Performance bieten, um die zukünftigen Anforderungen sicher abzudecken. Natürlich sollte die Steuerungstechnik die hohen Umwelt- und Klimaanforderungen, die an Baumaschinen gestellt werden, erfüllen. Die Steuerung muss neben extremen Temperaturen auch Vibrationen und Schock verkraften. Aber auch Flüssigkeiten wie Wasser, Öle, Kraftstoffe, Säuren und auch Gase wie Schwefeldioxid und Schwefelwasserstoff, dürfen dem Steuergerät nichts anhaben.
Mit dem nach den Normen DIN IEC 61508: SIL2 und DIN EN ISO 13849: PLd zertifizierten 32-Bit Steuergerät ESX®-3XL Safety der Firma STW wurde eine Lösung gefunden, die diesen Anforderungen mehr als gerecht wird. Die Basis des Steuergerätes bildet ein 32-Bit TriCore-Controller, mit 150MHz Core, 4MB RAM, 6MB Flash und 32kB EEPROM. Eine hervorragende Eigenschaft der ESX®-3XL ist die Skalierbarkeit. Da das Steuergerät über Erweiterungsboards jederzeit ausbaubar ist, wächst es einfach mit dem Projekt flexibel mit. Das Mainboard (ohne Erweiterungsboards) hat 52 Steuerungs- Ein und Ausgänge. An Multifunktionseingängen bereits in der Basisversion möglich, sind 28 Analogeingänge und 28 Digital- oder Drehzahleingänge. Als Digitalausgänge in Form pulsweitenmodulierter Leistungsausgänge sind 8 x 4 Ampere sowie 16 x 2,5 Ampere verfügbar. Als Spannungsausgänge gibt es drei unabhängige, stabilisierte Spannungsversorgungen, beispielsweise für den Anschluss von Sensoren. Erweiterbar ist das System um bis zu sechs Steckplätze auf maximal 136 I/Os für zusätzliche Ein- und Ausgänge oder andere Funktionalitäten, die sich auch kundenspezifisch nahezu beliebig anpassen lassen. Als Schnittstellen sind vier separate CAN-Bus- Schnittstellen nach CAN-Spezifikation 2.0 B vorhanden sowie eine RS232-Schnittstelle. Weitere Schnittstellen sind über Erweiterungsboards zu implementieren. Prädestiniert für den mobilen Einsatz ist das hochstabile Steuerungsgehäuse aus Aluminium-Druckguss mit Gore-Tex-Membran zum Druckausgleich. Als hohe Schutzart hat STW IP67 eingerichtet, optional gibt es auch IP69K. Die kompakte, abgedichtete Gehäuse-Konstruktion bietet sowohl hohe Sicherheit gegen elektromagnetische Störungen als auch hohen Schutz bei mechanischen Beanspruchungen. Der Gehäuseanschluss erfolgt über zwei 81-polige, mobiltaugliche Stecker von Tyco oder AMP. Die zulässige Einsatztemperatur deckt einen weiten Bereich von –40 bis 85 Grad Celsius ab. Auch ist die Steuerung nach Normen und Anforderungen der Baumaschinen-, Kfz- und Landmaschinen-Industrie sowie auf CE-Konformität geprüft.
Zu Entwicklungsbeginn standen lediglich für die Mainboard- Ein- und Ausgänge sicherheitsgerichtete Funktionalitäten zur Verfügung. Im Laufe des Projekts wurde ersichtlich, dass die auf dem Mainboard zur Verfügung gestellten sicheren Ein- und Ausgänge nicht ausreichen, um alle Sicherheitsfunktionen des Fahrzeugs mit nur einem zentralen Steuergerät abzudecken. Aus diesem Grund wurde auf Basis dieser Sicherheitsanforderungen und in Zusammenarbeit mit der Fa. Putzmeister ein sicheres Erweiterungsboard EB06 Safety entwickelt.
EB06 Safety – ein zertifiziertes Multitalent
Das EB06 Safety wurde entsprechend den Normen DIN IEC 61508: SIL2 und DIN EN ISO 13849: PLd entwickelt und bietet die folgenden sicheren Input/Output Funktionalitäten:
- 16 sichere digitale High-Side Ausgänge
- 16 sichere digitale oder Spannungseingänge
- 2 sichere analoge Stromeingänge
Die bis zu 16 sicheren High-Side Ausgänge sind voll diagnosefähig und zur Realisierung sicherheitskritischer Funktionalitäten mit Sicherheitsanforderungen bis SIL2/PLd geeignet.
Eingangssignale können auf verschiedene Arten sicher eingelesen werden. Digitale Eingangssignale, welche SIL2/PLd Anforderungen erfüllen müssen, können durch die Verwendung einer frei wählbaren redundanten Kombination von Mainboard- und EB06-Eingängen realisiert werden. Soll ein einkanaliger externer Schalter zum Einsatz kommen, kann auch mit einem einkanaligen digitalen Mainboard Eingang SIL2/PLd erreicht werden. Dazu ist der Schalter für Diagnosezwecke mit einem vom EB06 Safety generierten Frequenzsignal zu versorgen. Die Kombination Ausgangs- zu Eingangsbelegung kann frei gewählt werden. Externe Widerstände für Diagnosemessungen werden nicht benötigt.
Ist lediglich SIL1 bzw. PLc für die sicherheitsrelevante Funktionalität erforderlich, ist es in der Regel ausreichend, den externen Schalter über einen digitalen Ausgang des EB06 Safety zu versorgen und entsprechende Startuptests durchzuführen. Externe Diagnosewiderstände werden nicht benötigt. Um sichere analoge Signale auszuwerten, kann jeweils ein analoger Mainboard Eingang mit einem analogen EB06 Safety-Eingang kombiniert und redundant eingelesen werden. Die zu verwendenden Eingänge auf dem Mainboard und dem EB06 Safety sind frei wählbar. Die sicheren analogen Strom- bzw. Spannungseingangskombinationen erfüllen den Sicherheitslevel SIL2/PLd. Damit stehen der Applikation insgesamt 56 sichere High-Side Ausgänge sowie 28 sichere duale Digital- oder Spannungseingänge im Steuergerät ESX®-3XL Safety zur Verfügung. Das Ergonic 2.0 System führt sowohl sichere als auch unsichere Funktionalitäten aus.
Wenn Software-Funktionen mit unterschiedlicher SIL-Bewertung auf einem Steuergerät ausgeführt werden, so muss die gesamte Applikationssoftware nach dem höchsten SI-Level entwickelt werden, außer es liegt eine geeignete Unabhängigkeit durch zeitliche und räumliche Trennung vor. Da eine sicherheitsgerichtete Entwicklung einen wesentlichen Kostenfaktor bei der Produktentstehung darstellt, war eine der Hauptanforderungen an das Steuergerät, diese Unabhängigkeit von sicheren (gelbe) und nicht sicheren (graue) Software-Funktionen bereitzustellen. Die räumliche und zeitliche Unabhängigkeit ist in der ESX®-3XL Safety durch folgende Mechanismen umgesetzt.
Räumliche Trennung von gelben und grauen SW-Funktionen:
Die räumliche Trennung wird durch die Realisierung eines Speicherschutzes gewährleistet. Ziel des Speicherschutzes ist es, globale und statische Daten in unterschiedliche Bereiche einzuteilen und die Schreibzugriffe auf diese Datenbereiche zu kontrollieren, so dass nur gelbe Funktionen auf sicherheitsrelevante Daten schreibend zugreifen dürfen. Durch die verwendete MPU können globale und statische Daten in drei unabhängige Speicherbereiche, System, Safety und Standard, abgelegt werden. Die Lese- und Schreibfunktionen zu diesen unterschiedlichen Bereichen besitzen wiederum spezifische Berechtigungsstufen (System, Safety, Standard-Level). Jeder Level kann lesend auf sämtliche Datenbereiche zugreifen. Der System-Level ist für interne Systemfunktionen reserviert. Systemfunktionen besitzen Schreibberechtigungen auf alle drei Speicherbereiche. Der Safety-Level hat Schreibzugriff auf Safety und auf Standard Datenbereiche. Im Standard-Level ausgeführte graue Funktionen haben nur auf Standard Datenbereiche Schreibrecht. Damit ist sichergestellt, dass eine graue im Standard-Level ausgeführte Softwarefunktion keinen Einfluss auf gelbe Daten hat.
Die im System und Safety-Level ausgeführte Software besitzt sicherheitsrelevante Funktionalitäten, wie z.B. die Bedienung von sicheren Ausgängen und muss daher entsprechend der anzuwendenden Sicherheitsnorm entwickelt, verifiziert und dokumentiert werden. Im Standardlevel ausgeführte Funktionen müssen lediglich den jeweils firmeninternen Qualitätsstandards entsprechen. Die Definition, in welchem Level eine Funktion ausgeführt wird, ist durch das STW-Tasksystem festgelegt. Es besitzt sichere Tasks und Standard Tasks, welche die jeweiligen SW-Komponenten unabhängig und sequenziell ausführen.
Zeitliche Trennung von gelben und grauen SW-Funktionen:
Ziel der zeitlichen Trennung ist es sicherzustellen, dass graue Funktionen das Laufzeitverhalten von gelben Funktionen nicht beeinflussen. Die geforderte zeitliche Unabhängigkeit ist durch einen Watchdog Controller sowie das oben erwähnte STW-Tasksystem gegeben, welches die Priorisierung der zur Verfügung stehenden Tasks bereitstellt.
Fazit:
Durch die Erweiterung der ESX®-3XL Safety mit dem sicherheitsgerichteten Erweiterungsboard EB06 Safety und dem bereits enthaltenen Speicherschutz konnten in diesem Projekt die Anforderungen der funktionalen Sicherheit und Wirtschaftlichkeit optimal vereint werden.