Aufrufe
vor 1 Jahr

O+P Fluidtechnik 11/2016

  • Text
  • Epaper
  • Paper
  • Fluidtechnik
  • Hydraulik
  • Anwendungen
  • Zudem
  • Bild
  • Halle
  • Unternehmen
  • Produkte
  • Industrie
  • Maschine
O+P Fluidtechnik 11/2016

TITEL STEUERELEKTRONIK

TITEL STEUERELEKTRONIK 01 SPECIAL / SPS IPC DRIVES 2016 darf nur mit begrenzter Zugkraft am Bugrad gezogen werden. Die Zugkraftbegrenzung ist im DLC durch eine dynamische flugzeugtypabhängige Hochdruckabschneidung realisiert. Zusätzlich ist der DLC für die Funktionalität der Start-Stopp Automatik zuständig. FLEXIBEL PROGRAMMIERBARE STEUERUNGSPLATTFORM Bei der Auswahl der Fahrantriebssteuerung wurde eine flexible und leistungsstarke Steuerung gesucht, die in der Lage ist, die sicherheitsrelevanten Funktionalitäten zuverlässig auszuführen. Das Steuergerät sollte auf andere Flugzeugschleppertypen adaptierbar sein und die nötige Performance bieten, um aktuelle und zukünftige Anforderungen sicher abzudecken. Mit der nach den Normen DIN IEC 61508: SIL 2 und DIN EN ISO 13849: PL d zertifizierten 32-Bit Steuerung ESX-3XL Safety der Firma Sensor-Technik Wiedemann, kurz STW, wurde eine Lösung gefunden, die diesen Anforderungen mehr als gerecht wird. Die Basis des Steuergerätes bildet ein 32-Bit TriCore-Controller, mit 150MHz Core, 4MB RAM, 6MB Flash und 32kB EEPROM. Neben den flexiblen Anpassungsmöglichkeiten in der Grundausstattung – beispielsweise können alle Eingänge über Init-Funktionen als Strom-/Spannungs-/Digital- oder Drehzahleingänge konfiguriert werden – ist die Skalierbarkeit über Erweiterungsboards eine herausragende Eigenschaft der ESX-3XL. Da die Steuerung mit bis zu sechs dieser Erweiterungsboards jederzeit ausbaubar ist, wächst es einfach mit dem Projekt flexibel mit. Aktuell sind 14 Erweiterungsboard-Varianten mit verschiedenen Ein- und Ausgängen, zusätzlichen RS232/RS485/CAN-Schnittstellen oder auch ein programmierbares Linux-System inkl. Ethernet und USB verfügbar. Grundsätzlich werden für das Steuergerät Entwicklungsumgebungen für die Programmierung in „C“, Matlab und CODESYS angeboten. Firma Goldhofer hat sich für die Variante CODESYS SAFETY SIL2 entschieden. CODESYS ist eine IEC 61131-3 konforme SPS-Programmierumgebung, die folgende Programmiersprachen unterstützt: Strukturierter Text (ST), Funktionsplan (FUP), Kontaktplan (KOP), Anweisungsliste (AWL), Ablaufsprache (AS), Freigraphischer Funktionsplaneditor (CFC). CODESYS unterstützt den Entwickler von der Implementierung bis zum Debugging und der Visualisierung durchgängig innerhalb einer Entwicklungsumgebung (All-In-One). Die Safety Variante CODESYS SAFETY SIL2 basiert auf CODESYS V3. SICHERHEITSGERICHTETE ENTWICKLUNG Entsprechend den Vorgaben der anzuwendenden Normen wurde eine Risikoanalyse für die Funktionalitäten des Fahrantriebs durchgeführt, die für diverse Teilfunktionen einen geforderten Sicherheitslevel AgPLr >= c ergab. Da eine sicherheitsgerichtete Entwicklung einen wesentlichen Kostenfaktor bei der Produktentstehung und Wartung des späteren Produkts darstellt, wurde beim Entwurf des technischen Sicherheitskonzepts entsprechend großes Augenmerk auf die klare und eindeutige Definition der Sicherheitsfunktionen und deren Zuordnung zu den Software-Komponenten gelegt. Dabei wurde gezielt darauf geachtet, den sicherheitsrelevanten Teil auf das Notwendige zu beschränken und klare Schnittstellen zwischen sicherheitsrelevanten und nicht sicherheitsrelevanten Softwareteilen zu schaffen. Dies wird in der Softwarearchitektur in sicherheitsgerichteten und nicht sicherheitsgerichteten Modulen abgebildet. Die klare Zuordnung von Funktionalitäten und die eindeutige Definition der Schnittstellen zwischen den entsprechenden Softwareteilen ist in der Regel immer sinnvoll, führt aber erst zu einer Kostenreduktion bei Entwicklung und Wartung, wenn die Trennung unterschiedlicher Softwareteile auch von der verwendeten Hardware unterstützt wird. Entsprechend IEC 61508-3, 7.4.2.9, müssen Softwareteile mit unterschiedlicher Sicherheitseinstufung auf einem Steuergerät 38 O+P Fluidtechnik 11-12/2016

STEUERELEKTRONIK Global Data Flow Safety Context read/write GVL (Global Variable List) read Safety-Components Non-Safety-Components Safety POUs Non-Safety POUs read/write EVL (Exchange Variable List) read/write 02 gemäß dem höchsten Sicherheitslevel entwickelt werden, außer es liegt eine geeignete Unabhängigkeit durch zeitliche und räumliche Trennung vor. Das verwendete ESX-3XL Steuergerät unterstützt die zeitliche und räumliche Trennung von Applikationsteilen durch entsprechende Speicherschutz- und Watchdog-Funktionalitäten. Damit können Softwareteile mit unterschiedlichen Sicherheitsanforderungen zeitlich und räumlich unabhängig ausgeführt werden. Dies eröffnet dem Entwicklungsteam die Möglichkeit, die nicht sicherheitsrelevanten Teile der Applikation gemäß einem vereinfachten Ent wicklungs- und Verifikationsprozess zu entwickeln. ENTWICKLUNGSUMGEBUNG ERMÖGLICHT SICHERE PARAMETRIERUNG Das Ziel war eine normkonforme Parametrierung zu gewährleisten. Außerdem sollte sichergestellt werden, dass Parameteränderungen an nicht sicherheitsrelevanten Applikationsteilen nachweislich keine Auswirkungen auf die sicherheitsrelevanten Applikationsteile haben, um auch an dieser Stelle den nötigen Validierungs- und Verifikationsaufwand möglichst gering zu halten. Grundsätzlich bringt jede Parametriermöglichkeit zusätzliche Komplexität, zusätzliche Fehlerquellen und somit erhöhten Validierungs- und Verifikationsaufwand mit sich. Bei der Spezifikation und dem Design der sicherheitsrelevanten Module wurde demzufolge darauf geachtet, die Parametriermöglichkeiten auf das Notwendigste zu beschränken. Mit der klaren Abgrenzung des sicherheitsrelevanten Applikationsteils vom nicht sicherheitsrelevanten Applikationsteil wurde die Grundlage geschaffen, auch die Parametrierung in sicherheitsrelevant und nicht sicherheitsrelevant aufzuteilen. Der Prozess der sicheren Parametrierung wird innerhalb der ESX-3XL-Entwicklungsumgebung durch die ESX-KEFEX-Toolchain, die mit Benutzer- und Sicherheitshandbuch im Lieferumfang enthalten ist, unterstützt. Die KEFEX-Toolchain ist zertifiziert für den 01 CODESYS unterstützt den Entwickler von der Implementierung bis zum Debugging und der Visualisierung durchgängig innerhalb einer Entwicklungsumgebung 02 Trennungsprinzip der sicherheitsrelevanten bzw. nicht sicherheitsrelevanten Komponenten Einsatz in Projekten mit Sicherheitsanforderungen entsprechend DIN IEC 61508: SIL 2 und DIN EN ISO 13849: PL d. Das Parametriertool unterstützt eine komplett getrennte Verwaltung von Parametern mit unterschiedlichen Sicherheitseinstufungen auf einem Steuergerät. So können z.B. unterschiedliche Parametersätze für sicherheitsrelevante und nicht sicherheitsrelevante Parametersätze angelegt werden. Die jeweiligen RAM- Ko pien der sicherheitsrelevanten/nicht sicherheitsrelevanten Parameter werden dann bei der Codegenerierung in unterschiedliche Speicherbereiche gelegt, die über geeignete Speicherschutzmechanismen voneinander getrennt sind. Durch die Trennung der Projektdateien und der internen Datenstrukturen können der sicherheitsgerichtete und der nicht sicherheitsgerichtete Teil der Applikation komplett unabhängig voneinander weiterentwickelt werden. Damit bietet die ESX- KEFEX-Toolchain eine optimale Unterstützung der sicheren Parametrierung und der rückwirkungsfreien Weiterentwicklung des nicht sicherheitsrelevanten Teils der Applikation. Der gesamte Entwicklungsprozess (Risikoanalyse, Hardwarebelegung, Ausarbeitung Sicherheitskonzept, Software Architektur, Implementierung, Verifizierung) wurde in enger Abstimmung zwischen STW und Goldhofer realisiert, was in Summe zu einem sicheren, wartbaren und optimal abgestimmten Antriebssystem führte. www.sensor-technik.de O+P Fluidtechnik 11-12/2016 39

© 2016 by Vereinigte Fachverlage GmbH. Alle Rechte vorbehalten.

Ausgabe