Vereinte Gegensätze

Mobile Power

Steuerungen – Eine Steuerung für mobile Arbeitsmaschinen von Inter Control ist einerseits sicher, bietet andererseits aber auch eine große Zahl von Komfortfunktionen.

22. August 2014

Die Steuerung einer mobilen Maschine soll diese bei der Erfüllung wesentlicher Anforderungen unterstützen. Für Neuentwicklungen ist oft eine höhere Rechenleistung erforderlich, um neue Funktionen zu realisieren und bestehende auszuweiten. Verschiedene Maschinentypen sollen durch modularen Aufbau und durchgängige Steuerungsplattform wirtschaftlich laufen. Es gilt, die Voraussetzungen für spätere Modifizierungen schon bei der Neuentwicklung der Maschine zu schaffen, für einen möglichst langen Lebenszyklus und eine hohe Maschinenverfügbarkeit.

Diesen funktionalen Erfordernissen stehen aber die C-Normen unter Einbeziehung der EN ISO 13849 gegenüber, die in mobilen Maschinen immer mehr Stellenwert bekommen. So muss sich das Steuerungssystem kontinuierlich selbst diagnostizieren, was Systemressourcen bindet.

Sichere Komponenten gemäß EN ISO 13849 sind oft nicht modular und weniger flexibel, spätere Modifizierungen erfordern eine sicherheitstechnische Bewertung sowie entsprechende Tests und benötigen mehr Zeit. Das Ziel der Sicherheitsanforderungen ist die sichere Maschine, nicht die hochverfügbare.

Um den für mobile Arbeitsmaschinen üblichen Performance Level d (PLd) zu erreichen, kann die Architektur von Mobilsteuerungen grundsätzlich sowohl der Kategorie 2 als auch der Kategorie 3 gemäß der EN ISO 13849 entsprechen. In Systemen nach Kategorie 2 kommt neben dem Hauptprozessor ein Überwachungsprozessor als kostengünstige Testeinheit zum Einsatz. Die in der Kategorie 2 notwendigen Selbstdiagnosefunktionen beanspruchen aber viel Rechenleistung im Hauptprozessor, die der Applikation nicht mehr zur Verfügung steht.

Alternativ lässt sich die Mobilsteuerung aber auch als System nach Kategorie 3 mit zwei redundanten Prozessoren ausführen, wodurch sich die Belastung durch interne Tests verringert. Neben den höheren Kosten ist dabei aber zu berücksichtigen, dass hierfür auch zwei Programme erstellt werden müssen und der Kreuzvergleich der beiden Prozessoren zu organisieren ist.

Die Steuerung kanns

All diese Zusammenhänge hat Inter Control aus Nürnberg erkannt und darum kommt bei ihrer Mobilsteuerung Digsy Fusion S ein 32-Bit-Dual-Core-Sicherheitsprozessor zum Einsatz, der im Lock-Step-Mode arbeitet. Dieser bewirkt, dass die Rechenleistung dem Anwender nahezu uneingeschränkt zur Verfügung steht, während der Kreuzvergleich direkt auf dem Prozessor abläuft. Eine redundante FPU ermöglicht komplexe trigonometrische Berechnungen.

Ein weiteres wesentliches Element bei der Konzeption der Systemarchitektur ist die Anbindung der Sensorik. Die Auswahl der Sensoren soll sich in erster Linie nach deren Eignung und den Sicherheitsanforderungen richten und nicht nach der Frage, wie diese mit der Steuerung zu verbinden sind.

Bei der Digsy Fusion S stehen für die Anbindung funktional sicherer Sensoren drei Arten zur Verfügung: Anbindung über CANopen Safety als sicheren Feldbus, die zweikanalige Anbindung über digitale oder analoge Eingänge oder die einkanalige Anbindung über digitale oder analoge Eingänge mit interner Diagnose. Die Mobilsteuerung ist damit in Kategorie 2 und 3 und auch in gemischten Architekturen einzusetzen.

Steuerungen sollen skalierbar sein, da sich nur so ein breites Spektrum von Maschinentypen und -serien mit einem einzigen System wirtschaftlich abdecken lässt. Bei mobilen Ausführungen erfordert dies aber besondere Maßnahmen, etwa um die Dichtheit gegen Wasser und Staub zu gewährleisten. Eine modulare Sicherheitssteuerung wie die Digsy Fusion S erlaubt eine Skalierung der Ein- und Ausgänge von 48 auf bis zu 240 I/Os, abgestimmt auf den jeweiligen Maschinentyp. Für eine Erweiterung gibt es sichere Ein- und Ausgänge, da beim Einsatz von redundanter Sensorik der Bedarf daran entsprechend steigt.

Der Lebenszyklus mobiler Maschinen ist oft lang, und einmal entwickelte Maschinen müssen sich an veränderte Markterfordernisse anpassen. Die Digsy Fusion S kann darum zwei Programme in einer Steuerung parallel verarbeiten. Dabei ist das erste sichere Programm für die sicheren Funktionen verantwortlich, während das zweite Standardprogramm Komfortfunktionen abarbeitet und rückwirkungsfrei läuft und das sichere Programm nicht beeinflusst. Laut Inter Control kann der Anwender also Änderungen und Anpassungen an Komfortfunktionen oder Funktionen, die nicht den Sicherheitsanforderungen unterliegen, schnell und ohne umfassende Sicherheitsanalyse vornehmen.

Die Überwachung der Funktionen einer mobilen Maschine auf gefährliche Zustände ist eine der Kernaufgaben von Sicherheitssteuerungen. Wird ein solcher erkannt, bringt die Steuerung die Maschine in einen sicheren Zustand. Dies geschieht etwa über das Aktivieren eines zweiten Abschaltpfades, der in Reihe zu den Ausgängen geschaltet ist und deren Spannungsversorgung unterbricht. Es kann notwendig werden, das gesamte System in den sicheren Zustand zu versetzen, aber nicht alle Fehler müssen zu einem vollständigen Abschalten führen. In diesem Fall ist es möglich, dass der Anwender andere Funktionen weiter nutzt, um einen Auftrag abzuschließen oder eine Maschine zu bergen.

Darum ist die Abschaltung bei der Digsy Fusion S in mehrere Gruppen aufgeteilt, um nur die Gruppe von Ausgängen zu blocken, die mit dem gefährlichen Zustand in Verbindung steht. Andere Funktionen lassen sich auch im sicheren Zustand aufrechterhalten.

Inter Control hat auch einen Fernzugriff integriert, um eine Maschine auch ohne zeitraubenden und teuren Service vor Ort zu diagnostizieren, Fehler zu beheben, Parameter anzupassen oder Software upzudaten. Das geschieht bei der Digsy Fusion S über Router oder Modems, Programme lassen sich über USB-Sticks laden. mk

Erschienen in Ausgabe: 06/2014