Flugzeuge sicher bewegen mit STW-Steuerungstechnik

Bei der „Inter Airport Europe 2015“ präsentierte die Firma Goldhofer die neue High-Speed-Towing-Flugzeugschlepper Generation AST-2P/X. Mit dem AST-2P/X können Flugzeuge angefangen von der Embraer170 bis hin zur Boeing B777-300ER und dem A340 bewegt werden.

Der AST 2 der 4ten Generation zeichnet sich durch ein neues, kompaktes und modulares Fahrzeugkonzept aus. Hier ist in erster Linie die hydrostatisch angetriebene Lenkachse für beste Traktion auch bei geringer Auflast zu nennen. Das Fahrzeug verfügt wahlweise über zwei Motorenstärken und bietet ein 3 Kreis Bremssystem, das die Bremskraft für bestmögliche Stabilität und Sicherheit optimal aufteilt. Dabei erfüllen die Motoren alle geforderten internationalen Abgasnormen Euro IIIa oder IVf.

Auch in der Performance setzt die neue Generation Maßstäbe. So benötigt der Aufnahmevorgang weniger als 1 min um das Flugzeug sicher aufzunehmen. Auch im Notfall kann das Flugzeug in weniger als 1 min freigegeben werden. Der hydrostatische Fahrantrieb mit einer kombinierten Lenktriebachse garantiert ein stufenloses Beschleunigen. Eine zuschaltbare Differentialsperre garantiert beste Traktion auch bei widrigen Wetterverhältnissen, wie z.B. Wintereinsatz.

Die Stromversorgung des Flugzeuges ist während des Schleppbetriebes über eine Ground Power Unit (GPU), die auch nachträglich in jedes dieser Fahrzeuge eingebaut werden kann, sichergestellt. Die voll klimatisierte Fahrerkabine präsentiert sich in neuem Design mit einem neuen Federungssystem.

Der Wartungsplan ist so gestaltet, dass alle Wartungen auf dem 1 Schicht Prinzip basieren. Dies verkürzt Liegezeiten und garantiert höchste Verfügbarkeit im Betrieb. Alle Wartungsstellen sind übersichtlich und gut zugänglich. Optional kann zur Diagnose über Fernzugriff auf die Fahrzeugdaten und Parameter zugegriffen werden.

Bedingt durch den Betrieb auf Flughafenvorfeldern gibt es viele Wartezeiten. Dieses Kosteneinsparpotential beim Kraftstoffverbrauch wird durch den Einbau einer Start-Stopp Automatik genutzt. Hierdurch kann nicht nur der Dieselverbrauch erheblich gesenkt werden. Auch die Wartungskosten der Schlepper können reduziert werden, da diese auf den Betriebsstunden basieren. Dies ist ein weiterer Baustein zu niedrigerer „Total Cost of Ownership“ (TCO).

Drive Line Controller (DLC)

Natürlich spielt der Fahrantrieb eine zentrale Rolle. Das dieselhydraulische Fahrantriebssystem ist mittels einer Pumpe mit elektrischer Proportionalverstellung und zwei Hydraulikmotoren mit elektrischer Proportionalverstellung realisiert, die über ein Summiergetriebe eine Differential Lenk-Achse antreiben. Die Energie für das Antriebssystem liefert ein 231KW (optional: 283 KW) starker Cummins QSL9 Dieselmotor. Die Steuerung des Antriebssystems übernimmt der Drive Line Controller (DLC). Der DLC ist zuständig für das gesamte Fahrmanagement und die Flugzeugtypabhängige Zugkraftbegrenzung. Beim Schleppvorgang darf nur mit begrenzter Zugkraft am Bugrad gezogen werden (Abb. 1). Die Zugkraftbegrenzung ist im DLC durch eine dynamische flugzeugtypabhängige Hochdruckabschneidung realisiert. Zusätzlich ist der DLC für die Start-Stopp Automatik zuständig.

Verwendete Steuerungsplattform

Bei der Auswahl der Fahrantriebssteuerung wurde ein flexibles und leistungsstarkes Steuergerät gesucht, das in der Lage ist, die sicherheitsrelevanten Funktionalitäten zuverlässig auszuführen. Das Steuergerät sollte auf andere Flugzeugschleppertypen adaptierbar sein und die nötige Performance bieten, um aktuelle und zukünftige Anforderungen sicher abzudecken. Mit dem nach den Normen DIN IEC 61508: SIL 2 und DIN EN ISO 13849: PL d zertifizierten 32-Bit Steuergerät ESX-3XL Safety der Firma Sensor-Technik Wiedemann, kurz STW, wurde eine Lösung gefunden, die diesen Anforderungen mehr als gerecht wird (Abb. 2).

Die Basis des Steuergerätes bildet ein 32-Bit TriCore-Controller, mit 150MHz Core, 4MB RAM, 6MB Flash und 32kB EEPROM. Neben den flexiblen Anpassungsmöglichkeiten in der Grundausstattung – beispielsweise können alle Eingänge über Init-Funktionen als Strom-/Spannungs-/Digital- oder Drehzahleingänge konfiguriert werden – ist die Skalierbarkeit über Erweiterungsboards eine herausragende Eigenschaft der ESX-3XL. Da das Steuergerät mit bis zu sechs dieser Erweiterungsboards jederzeit ausbaubar ist, wächst es einfach mit dem Projekt flexibel mit. Aktuell sind 14 Erweiterungsboard-Varianten mit verschiedenen Ein- und Ausgängen, zusätzlichen RS232/RS485/CAN-Schnittstellen oder auch ein programmierbares Linux-System inkl. Ethernet und USB verfügbar. Grundsätzlich werden für das Steuergerät Entwicklungsumgebungen für die Programmierung in „C“, Matlab und CODESYS angeboten.

Firma Goldhofer hat sich für die Variante CODESYS SAFETY SIL2 entschieden. CODESYS ist eine IEC 61131-3 konforme SPS-Programmierumgebung, die folgende Programmiersprachen unterstützt:

  • Strukturierter Text (ST)
  • Funktionsplan (FUP)
  • Kontaktplan (KOP)
  • Anweisungsliste (AWL)
  • Ablaufsprache (AS)
  • Freigraphischer Funktionsplaneditor (CFC)

CODESYS unterstützt den Entwickler von der Implementierung bis zum Debugging und der Visualisierung durchgängig innerhalb einer Entwicklungsumgebung (All-In-One) (Abb. 3). Die Safety Variante CODESYS SAFETY SIL2 basiert auf CODESYS V3.

Sicherheitsfunktionen DLC

Entsprechend den Vorgaben der anzuwendenden Normen wurde eine Risikoanalyse für die Funktionalitäten des Fahrantriebs durchgeführt, die für diverse Teilfunktionen einen geforderten Sicherheitslevel AgPLr >= c ergab. Da eine sicherheitsgerichtete Entwicklung einen wesentlichen Kostenfaktor bei der Produktentstehung und Wartung des späteren Produkts darstellt, wurde beim Entwurf des technischen Sicherheitskonzepts entsprechend großes Augenmerk auf die klare und eindeutige Definition der Sicherheitsfunktionen und deren Zuordnung zu den entsprechenden Software-Komponenten gelegt. Dabei wurde gezielt darauf geachtet, den sicherheitsrelevanten Teil auf das Notwendige zu beschränken und klare Schnittstellen zwischen sicherheitsrelevanten und nicht sicherheitsrelevanten Softwareteilen zu schaffen. Dies bildet sich in der Softwarearchitektur in entsprechend sicherheitsgerichteten und nicht sicherheitsgerichteten Modulen ab (Abb.4). Die klare Zuordnung von Funktionalitäten und die eindeutige Definition der Schnittstellen zwischen sicherheitsgerichteten / nicht sicherheitsgerichteten Softwareteilen ist in der Regel immer sinnvoll, führt aber erst zu einer Kostenreduktion bei Entwicklung und Wartung, wenn die Trennung unterschiedlicher Softwareteile auch von der verwendeten Hardware unterstützt wird.

Entsprechend (IEC 61508-3, 7.4.2.9) müssen Softwareteile mit unterschiedlicher Sicherheitseinstufung auf einem Steuergerät gemäß dem höchsten Sicherheitslevel entwickelt werden, außer es liegt eine geeignete Unabhängigkeit durch zeitliche und räumliche Trennung vor. Das verwendete ESX-3XL Steuergerät unterstützt die zeitliche und räumliche Trennung von Applikationsteilen durch entsprechende Speicherschutz- und Watchdog-Funktionalitäten. Damit können Softwareteile mit unterschiedlichen Sicherheitsanforderungen zeitlich und räumlich unabhängig ausgeführt werden. Dies eröffnet dem Entwicklungsteam die Möglichkeit, die nicht sicherheitsrelevanten Teile der Applikation entsprechend einem vereinfachten Entwicklungs- und Verifikationsprozess zu entwickeln.

Sichere Parametrierung DLC

Das Ziel war eine normkonforme Parametrierung zu gewährleisten. Außerdem sollte sichergestellt werden, dass Parameteränderungen an nicht sicherheitsrelevanten Applikationsteilen nachweislich keine Auswirkungen auf die sicherheitsrelevanten Applikationsteile haben, um auch an dieser Stelle den nötigen Validierungs- und Verifikationsaufwand möglichst gering zu halten. Grundsätzlich bringt jede Parametriermöglichkeit zusätzliche Komplexität, zusätzliche Fehlerquellen und somit erhöhten Validierungs- und Verifikationsaufwand mit sich. Bei der Spezifikation und dem Design der sicherheitsrelevanten Module wurde dementsprechend darauf geachtet, die Parametriermöglichkeiten auf das Notwendigste zu beschränken.

Mit der klaren Abgrenzung des sicherheitsrelevanten Applikationsteils vom nicht sicherheitsrelevanten Applikationsteil wurde die Grundlage geschaffen, auch die Parametrierung entsprechend in sicherheitsrelevant und nicht sicherheitsrelevant aufzuteilen. Der Prozess der sicheren Parametrierung wird innerhalb der ESX-3XL Entwicklungsumgebung durch die ESX-KEFEX Toolchain, die mit entsprechendem User- und Sicherheitshandbuch im Lieferumfang enthalten ist, unterstützt. Die KEFEX Toolchain ist zertifiziert für den Einsatz in Projekten mit Sicherheitsanforderungen entsprechend DIN IEC 61508: SIL 2 und DIN EN ISO 13849: PL d. Das Parametriertool unterstützt eine komplett getrennte Verwaltung von Parametern mit unterschiedlichen Sicherheitseinstufungen auf einem Steuergerät. So können z.B. unterschiedliche Parametersätze für sicherheitsrelevante und nicht sicherheitsrelevante Parametersätze angelegt werden. Die jeweiligen RAM Kopien der sicherheitsrelevanten/nicht sicherheitsrelevanten Parameter werden dann bei der Codegenerierung in unterschiedliche Speicherbereiche gelegt, die über geeignete Speicherschutzmechanismen voneinander getrennt sind.

Durch die Trennung der Projektdateien und der internen Datenstrukturen können der sicherheitsgerichtete und der nicht sicherheitsgerichtete Teil der Applikation komplett unabhängig voneinander weiterentwickelt werden. Damit bietet die ESX-KEFEX Toolchain eine optimale Unterstützung der sicheren Parametrierung und der Rückwirkungsfreien Weiterentwicklung des nicht sicherheitsrelevanten Teils der Applikation.

System Support

Der gesamte Entwicklungsprozess (Risikoanalyse, Hardwarebelegung, Ausarbeitung Sicherheitskonzept, Software Architektur, Implementierung, Verifizierung) wurde in enger Abstimmung zwischen STW und der Fa. Goldhofer realisiert, was in Summe zu einem sicheren, wartbaren und optimal abgestimmten Antriebssystem führte.