Steer-by-Wire (zu Deutsch: elektronische Lenkung) ist eine interessante Technologie, deren Markteinführung aber nur langsam verläuft. In automobilen Anwendungen bringen die Kriterien für Betriebssicherheit durch vollständige Fehlertoleranz und das gewünschte Sicherheits-Integritätslevel eine hohe Komplexität und somit hohe Kosten für Hardware und Entwicklung mit sich. Der angestrebte Sicherheits-Integritätslevel ist insgesamt bei mobilen Maschinen und Geräten niedriger, jedoch wird für diesen Bereich aktuell an einer harmonisierten Norm gearbeitet. Somit hängen die Lösungen sehr von der jeweiligen Anwendung ab. Dieser Bericht beschreibt eine modulare und sichere Lösung, die für Flugzeugschlepper entwickelt wurde und insbesondere im internationalen TaxiBot-Projekt zur Anwendung kommt.

TaxiBot: Ein neues Konzept eines stangenlosen Schleppers

Auf einem Flughafen findet man üblicherweise Bodenunterstützungsausrüstung (Ground Support Equipment – GSE) auf der Servicefläche des Terminalvorfelds. Wie der Name schon sagt, sollen GSE den Betrieb von Flugzeugen am Boden unterstützen. Die Funktionen, die diese Ausrüstung abdeckt, betreffen im Allgemeinen die Bodenstromversorgung, die Flugzeugplatzierung sowie Beladevorgänge (sowohl für Fracht als auch für Passagiere). Pushback-Schlepper finden sich meist auf dem Vorfeld, um ein Flugzeug, wenn es abflugbereit ist, vom Gate wegzuziehen. Manche Schlepper nutzen eine Schleppstange als Verbindung zwischen Maschine und Flugzeug, während andere das Bugfahrwerk vom Boden anheben, um leichter ziehen oder schieben zu können. Somit kann das Flugzeug besser manövriert und sicherer gesteuert werden,  was wiederum höhere Abschleppgeschwindigkeiten ermöglicht.

Nach wie vor verbrennen Flugzeuge beim Rollen zwischen Terminals und Pisten unter Verwendung ihrer Triebwerke viel Kerosin und erhöhen so die Schadstoffemissionen und die Kosten für Treibstoff und natürlich auch Wartung. Die Fluggesellschaften werden im Jahr 2020 voraussichtlich sieben Milliarden US-Dollar nur für den Rollverkehr ausgeben. Wenn dazu noch Fremdkörper am Boden, Pushback-Vorgänge und voraussichtliche Besteuerung für CO2-Emissionen dazu addiert werden, können die Gesamtkosten nur für den Rollverkehr rund 8,8 Milliarden USD erreichen. Das Hauptziel von TaxiBot (Taxiing Robot), einem innovativen, stangenlosen, halbautonomen Schlepper, der von IAI zusammen mit Airbus und TLD entwickelt wurde, ist eine signifikante Reduzierung des Treibstoffverbrauchs. TaxiBot ist ein Schlepper, der das Flugzeug mit abgestellten Triebwerken vom Gate zur Startbahn mit 23 Knoten zieht, was der derzeitigen Rollgeschwindigkeit von Flugzeugen entspricht. Nach dem normalen Zurückschieben des Flugzeugs, das vom Fahrer des Schleppers gesteuert wird, übernimmt der Flugzeugpilot das Kommando und manövriert TaxiBot im Rahmen eines innovativen „Pilot-in-Control“-Konzepts vom Cockpit aus durch ein transparentes System mit den normalen Steuerelementen für Lenkung und Bremsen, so als ob er das Flugzeug mit eigener Schubkraft bewegen würde. Um dieses Ziel zu erreichen, steht das Bugrad des Flugzeugs direkt auf einem Drehteller, der auf dem Schlepper angebracht ist. Mit Hilfe dieses Drehtellers und eines Kraftregelungssystems, wird das Bugfahrwerk einer sehr geringen Belastung ausgesetzt.  Den Bremsvorgang übernimmt das Flugzeug selbst, wobei die gesamte kinetische Energie vom Bremssystem des Flugzeugs absorbiert wird und nicht vom Schlepper, der nur seine Geschwindigkeit anpasst.

Mit seinem Antrieb in Form von zwei dieselelektrischen Hybridmotoren verringert TaxiBot den Kraftstoffverbrauch im Rollverkehr um 85 Prozent. Bei einem Einsatz von TaxiBot auf allen stark frequentierten Flughäfen, würden diese Ausgaben von 8,4 Milliarden USD auf 2,9 Milliarden USD sinken, was zu einer jährlichen Einsparung von 5,5 Milliarden USD und einer Reduzierung des CO2-Ausstoßes um 20 Millionen Tonnen führen würde.

Bei diesem innovativen Fahrzeug waren die Erwartungen des französischen Fahrzeugbauers TLD an den Lieferanten des kompletten Steer-by-Wire (SbW)-Systems hinsichtlich Radpositionierdynamik, Genauigkeit, Sicherheit und Verfügbarkeit sehr hoch. Für dieses anspruchsvolle Projekt wurde DINTEC ausgewählt, ein Unternehmen, das für seine sicherheitsbezogenen Lösungen für Lenkungen von Kommunalfahrzeugen, Feuerwehrfahrzeugen, Kehrmaschinen und Landmaschinen bekannt ist. DINTEC hat seinen Sitz im französischen Nantes und ist ein Systemlieferant für mobile Arbeitsmaschinen, der über Kompetenzen in den Bereichen Engineering, Prototypenbau, Tests und Montage verfügt. Die Kernkompetenz liegt auf hydraulischen, hybriden und elektrischen Antriebsaggregaten, Kraftübertragung von elektrohydraulischen Systemen sowie komplette Elektroniksysteme inklusive deren Kabelbaumkonfektionierung. Es gibt außerdem eine Produktionsstätte in Spanien.

Anforderungen an Sicherheit und Zuverlässigkeit

Im pilotengesteuerten Modus laufen alle Winkelansteuerungen über den IAI-Controller, das intelligente Gateway zum Flugzeug-Cockpit. Der angestrebte Sicherheits-Integritätslevel des Lenksystems vom „Slave“-Fahrzeug ist SIL 2. Das klingt zunächst wie eine heutzutage gängige Anforderung, aber jede Radmodul-Drehung ist mechanisch unabhängig und könnte die Sicherheit des  Flugzeugsystems gefährden, sobald die Drehung von nur einem Rad blockiert wird.  Konkreter muss  die Summe der Wahrscheinlichkeit eines gefährlichen Ausfalls über alle Radmodule kleiner als 10^-6 sein. Außerdem muss die Systemarchitektur hochgradig verteilt sein, damit ein einzelner gefährlicher Ausfall in einer elektronischen Steuereinheit nicht durch gleichzeitiges Blockieren zweier Radmodule zu einer gefährlichen Situation auf Fahrzeugebene führt. Als Konsequenz ist es zwingend erforderlich, dass die einzelnen verwendeten Bauteile hervorragende PFHd-Werte und eine detaillierte FMEDA aufweisen.

Im fahrerkontrollierten Modus kommen alle Winkelansteuerungen direkt vom Lenkrad des Fahrers. Auch hier wird ein Sicherheits-Integritätslevel SIL 2 erwartet. Die Sollwertgenerierung muss betriebssicher durch vollständige Fehlertoleranz sein („fail-operational“).Dies ist beim Sollwertgeber von DINTEC der Fall.

Außerdem ist die FTT (failure tolerance time – zu Deutsch: Fehlertoleranzzeit), also die zulässige Zeitdauer für die Erkennung und Reaktion auf jeden kritischen Ausfall im System, wegen der relativ hohen Fahrzeuggeschwindigkeit während des Rollens niedrig. Diese schnelle Diagnosefähigkeit des kompletten Regelkreises ist eine schwierige Anforderung.

Leistungsanforderungen

Die zunächst auf kompletten Fahrzeugsimulationen von IAI basierenden Anforderungen an die Leistungsfähigkeit der Lenkung waren sehr hoch - hinsichtlich des dynamischen Verhaltens (reine Verzögerung und Gesamtreaktionszeit) und hinsichtlich der Genauigkeit, vor allem für Geradeauslauf im pilotengesteuerten Modus. Um diese dynamischen Anforderungen zu erreichen, läuft der Hauptregelkreis der Software zyklisch mit 10 ms und die beiden zentralen Sicherheits-CAN-Busse mit 500 kbit/s. Um die zyklischen Übertragungsintervalle
und die verteilte Architektur (eine elektronische Steuereinheit „ECU“ je Radmodul) sowie die für die Sicherheit erforderlichen Redundanzen zu kombinieren, wurde statt des bandweitenintensiven CANopen Safety ein proprietäres CAN basiertes Protokoll, das ECUS, verwendet. Zur Erreichung dieser Anforderungen und um den Einsatz eines teuren und empfindlichen Servoven­tils zu vermeiden, verwendet DINTEC einen symmetrisch redundanten und erprobten elektrohydrauli­schen Proportional-Stellantrieb mit LVDT-Sensor für jede Spule und Querschlusserkennung auf Basis dieser Positionsrückkopplungen. Hinsichtlich der Genauigkeit, muss die Regelung präzise ohne
Oszillation sein und die variablen Verluste der Hydraulikmotoren müssen durch die Software ausgeglichen werden. Die Sensorkalibrierung und die Länge der Hydraulikschläuche wurden ebenfalls zusammen mit dem Fahrzeugbauer genauestens berücksichtigt.

DINTEC arbeitete mit handelsüblichen 32-Bit-Steuerungen des deutschen Unternehmens Sensor-Technik Wiedemann GmbH (STW) mit Sitz in Kaufbeuren. STW ist ein langjähriger und verlässlicher Partner von DINTEC, der Systemlieferanten und OEMs bei anspruchsvollen Anwendungen mit technischen Hürden und Zertifizierungsstufen unterstützt.

• DINTEC benötigte eine effiziente Steuerung
  • Hauptregelkreis 10 ms (Main Loop)
  • untergeordneten Regelkreis 5 ms (Sub-Loop)
  • 6 CAN Schnittstellen mit den entsprechenden Protokollstacks
• eine sichere und felderprobte Steuerung mit einem PFHd in eine Größenordnung von ca. 10^-7,
• eine skalierbare Hardware zur System-Implementierung von Master und Slavemodulen, mit gleicher Software sowie gleichen Online-Konfigurationstools
• eine umfangreiche und adaptierbare Diagnosebibliothek zur Verringerung der Entwicklungskosten,
• eine Steuerung, die einfach die zeitliche und räumliche Unabhängigkeit sicherheits- und nicht sicherheitsbezogener Softwareteile prüfen kann, um ebenfalls die Entwicklungskosten zu reduzieren,
• eine C-programmierbare Steuerung, um vorhandene Softwareteile und interne Tools zur Codeerzeugung wiederzuverwenden
• ein „Integrationshandbuch“ mit zurückverfolgbaren (identifizierten) Anforderungen

Skalierbare Plattform ESX-3XM von STW

Aus den o.g. Gründen wurde das elektronische Steuergerät ESX-3XM für dieses Projekt ausgewählt. Die ESX-3XM ist ein sehr anpassungsfähiges, skalierbares (23 bis maximal 65 konfigurierbare Ein-/Ausgänge) und leistungsfähiges Steuergerät. Man kann es als kleinen Bruder der größeren ESX-3XL ansehen, mit der gleichen Leistung und dem gleichen Speicher und mit der halben Anzahl an Ein- und Ausgängen. Die Grundversion mit 23 Ein -und Ausgängen bietet 4 CAN-Schnittstellen und 1 serielle RS-232-Schnittstelle. Alle verwendeten ESX-3XM wurden mit jeweils drei Erweiterungsboards ausgestattet, um bspw. zusätzliche Low-Side-Ausgänge oder die zwei zusätzliche CAN-Schnittstellen zur Verfügung stellen zu können.

Das Prozessorsystem der ESX-3XM, das auf dem leistungsstarken TriCore TC1796 von Infineon basiert, wird mit 150 MHz getaktet und verfügt über 4 MB RAM und 6 MB Flashspeicher. Ein Summer für akustische Alarme sowie System- und Benutzer-LEDs für die Diagnose, helfen bei der einfachen Fehlerbehebung im System, ohne dass spezielle Software-Tools erforderlich wären. Die ESX-3XM ist frei programmierbar in Codesys (Version 3.x), in der Programmiersprache C oder mit einem Matlab/Simulink-Support-Paket. Alle Ein- und Ausgänge und der Kommunikationsanschluss sind gut zugänglich und über umfangreiche BIOS-Bibliotheken konfigurierbar. Multitasking-Betrieb ist möglich und in diesem Projekt auch erforderlich. Das Steuergerät ESX-3XM ist für sicherheitsbezogene Anwendungen gemäß SIL2/ISO 61508 bzw. PLd EN ISO 13849 ausgelegt. Die Sicherheitsfunktionen sind sowohl für IEC61131 in Codesys als auch für die Programmiersprache C verfügbar.

ESX-CAN-Unimissio-Safety-Protokoll von STW (ECUS)

Das geforderte Protokoll sollte eine geeignete Buslast und damit resultierend einen guten Determinismus in der Sicherheitsnachrichtenkommunikation gewährleisten. Wie bereits erläutert, wurde das CANopen-Safety-Protokoll (mit Nachrichtenredundanz) in dieser verteilten Architektur für die Kommunikation zwischen allen Lenkungs-ECUs (Master und Slaves) nicht ausgewählt. Ein vom TÜV zertifiziertes proprietäres Protokoll von Sensor-Technik Wiedemann namens ECUS (für ESX CAN Unimissio-Safety) kam stattdessen zum Zug. Es weist im Projektkontext zwei große Vorteile auf. Erstens wird nur ein CAN-Sendeempfänger verwendet. Zweitens werden die Sicherheitsredundanzdaten innerhalb der Nachricht gebildet (für Sicherheitsdaten, die kleiner als 4 Byte sind).

Elektronische Lenkung für mobile Maschinen – einige Projekthürden

Das Kriterium der Betriebssicherheit durch vollständige Fehlertoleranz führt bei automobilen Anwendungen stets zu einem großen Kostenproblem. Der angestrebte Sicherheits-Integrationslevel ist bei mobilen Maschinen längst nicht so hoch, jedoch werden normative Anforderungen für elektronische Lenksysteme bereits erarbeitet und sind sehr anwendungsspezifisch.

Marktführer der Off-Highway- und Sonderfahrzeugbranchen arbeiten seit einigen Jahren in der Arbeitsgruppe für elektronische Lenkungen des TTA-Group-Konsortiums zusammen, um eine branchenübergreifende Vereinheitlichung der technischen und marktbezogenen Entwicklungen solcher sicherheitsbezogener Architekturen und deren zeitliche Abhängigkeiten zu erreichen. Das Hauptziel dieser Zusammenarbeit ist ein kostengünstiger Realisierungsansatz eines elektronischen Lenksystems gemäß EN ISO 13849. Jedoch muss die gemeinsame anzuwendende Norm noch festgelegt werden. Für diese TaxiBot-Anwendung mit verschiedenen, mechanisch unabhängigen lenkenden Rädern ohne mechanischer oder rein hydraulischer Rückfallebene und einer gemeinsamen Architektur bei Herstellern von Schwerlasttransportern, muss die funktionale Sicherheitsanalyse (qualitativ und quantitativ) gemäß der Norm IEC 61508 durchgeführt werden und nicht gemäß ISO 13849, die nach den ersten Arbeitssitzungen als nicht adäquat erschien. Ein weiteres Hindernis für steer-by-wire oder allgemein für Systeme mit der Anforderung einer Betriebssicherheit durch vollständige Fehlertoleranz, ist die Tatsache, dass die Zulieferer häufig davon ausgehen, ein unbestromtes Bauteil (z. B. ein Aktor) befinde sich in einem sicheren Zustand und nicht in einem gefahrbringenden Zustand. Die von den Lieferanten angegebene Kennzahl PFHd (mit „d“ für „dangerous“) ist daher zu optimistisch. Es ist wichtig, die Definition eines gefährlichen Ereignisses (erkannt oder nicht) mit jedem Zulieferer zu diskutieren.

Das Ergebnis

Die Anforderungen in Bezug auf Leistungsfähigkeit, Sicherheit und Zuverlässigkeit konnten dank der gemeinsamen Arbeit mit STW erfüllt werden. Die beiden Modelle desTaxiBot – eines für Single-Aisle-Flugzeuge, das die abschließenden Zertifizierungsprüfungen durchläuft, und eines für Großraumflugzeuge – sind ohne oder nur mit sehr geringfügigen Modifikationen für alle Flugzeuge von Airbus und Boeing geeignet. Ein Hauptvorteil liegt darin, dass TaxiBot als vollkommen separates Fahrzeug kein zusätzliches Gewicht für das Flugzeug und keine Verringerung des Frachtraumvolumens zur Folge hat. Es müssen keine Motoren oder Geräte an Bord installiert werden, die das Gewicht und den Treibstoffverbrauch während des Fluges erhöhen. Hinsichtlich der Geschwindigkeit kann TaxiBot ein Flugzeug bei maximalem Startgewicht mit 23 Knoten schleppen, also der normalen Rollgeschwindigkeit.

LEOS, ein Tochterunternehmen von Lufthansa Technik, testet TaxiBot an Kurz- und Mittelstreckenflugzeugen seit Juni 2013 nachts auf dem Flughafen Frankfurt. Die Berichte der Lufthansa-Piloten während ihrer ersten Testläufe mit dem TaxiBot waren sehr positiv. Die endgültige Zertifizierung für den Einsatz mit diesen Flugzeugen wird vor Ende 2014 erwartet. Der Prototyp des Wide Body-TaxiBot speziell für Großraumflugzeuge einschließlich der A380 hat das Werk verlassen. Diese Maschine ist das leistungsstärkste Equipment, das je für eine GSE-Anwendung gebaut wurde. Sie verfügt über mehr als 1500 PS und wird eine voll beladene A380 (570 Tonnen) mit bis zu 20 Knoten schleppen Können. Mit einer Länge von 12,9 m, einer Breite von 4,5 m und einem Gewicht von 50 Tonnen, ist das Wide Body-TaxiBot eine einzigartige Maschine. (www.taxibot-international.com)

Fazit

Die wichtigste Erkenntnis aus diesem großen TaxiBot-Projekt ist die, dass bahnbrechende Innovationen im Bereich der mobilen Maschinen immer noch möglich sind, trotz (oder dank) hoher funktionaler Sicherheitsauflagen. Dass solche Projekte aber auch nur in einem Team unter Einbeziehung von Herstellern, Lieferanten und Endnutzern erfolgreich sein können. Auf der TaxiBot-Projektebene arbeiteten vier sich ergänzende Partner (IAI, Airbus, TLD, LEOS) gemeinsam daran, diese Technologie zu realisieren. Auf ihrer Subsystemebene konnten sich DINTEC und STW ebenfalls ihre langjährige Beziehung zunutze machen, um die Anforderungen des Fahrzeugbauers zu erfüllen.