In sicherheitsrelevanten Anwendungen muss gewährleistet sein, dass kein Risiko für Unbeteiligte besteht. Diese Anforderungen an die funktionale Sicherheit werden je nach relevanter Norm in verschiedene Level oder Stufen untergliedert. Für elektrische und elektronische Systeme in Serienkraftfahrzeugen, also PKW, LKW, Busse und Motorräder, gilt seit 2011 die internationale Safety-Norm ISO 26262 „Road vehicles – Functional safety“. Für mobile Arbeitsmaschinen ist eine Zertifizierung nach dieser Automotive-Norm bislang nicht verpflichtend. Je nach Anwendung greifen in diesen Fällen spezielle Branchennormen, etwa die ISO 25119 für Landmaschinen.
Dennoch erwarten Maschinenbetreiber und vor allem Maschinenführer von ihren Arbeitsmaschinen, dass sie dieselben Assistenz- und Komfortfunktionalitäten bieten, wie ihre privaten Kraftfahrzeuge. Stefan Hohn, Produktmanager Control Units bei STW, führt aus: „Maschinenführer von Bau- oder Landmaschinen verbringen einen großen Teil ihres Arbeitstags auf der Fahrt von Baustelle zu Baustelle oder von Feld zu Feld. Bei Kommunalfahrzeugen oder Rettungskräften ist der Anteil noch höher. Im Straßenbetrieb sollten diese Maschinen nicht weniger sicher und komfortabel sein als die weiteren Kraftfahrzeuge. Deswegen zertifizieren wir unsere Steuerungsgeneration ESX.4 entsprechend nach ISO 26262.“ Maschinenhersteller fordern dementsprechend inzwischen häufig die Erfüllung dieser Norm, auch wenn sie (noch) nicht bindend ist, um den Bedürfnissen der Maschinenbetreiber gerecht zu werden, sowie zukunftssichere Systeme aufzubauen.
Wie werden die ASIL-Stufen festgelegt?
Die Norm sieht fünf Sicherheitsstufen vor, QM als Einstieg, bei dem keine weiteren Maßnahmen zu treffen sind, sowie Automotive Safety Integrity Level (ASIL) A bis ASIL D.
Jede Anwendung wird einer Risikoanalyse unterzogen und entsprechend eingeordnet. Dabei wird die potenzielle Schwere der Folgen eines Fehlers, wie häufig die Fahrsituation auftritt und die Beherrschbarkeit der Situation bei Fehlerauftritt analysiert.
Bei den potenziellen Konsequenzen (Severity) wird beispielsweise zwischen den Stufen S0, keine Verletzungen, bis zu S3, lebensbedrohliche bis tödliche Verletzungen, unterschieden. Doch selbst bei Anwendungen mit einer Bewertung nach S3 kann eine Einstufung unter QM erfolgen, wenn die Wahrscheinlichkeit, dass die Situation auftritt, gegen 0 geht und sie gleichermaßen gut durch den Fahrer beherrschbar bleibt.
Beispiele für Anwendungen nach ASIL D wären beispielsweise automatisierte Lenk- oder Bremssysteme. Diese werden nahezu ständig genutzt, können potenzielle tödliche Unfälle verursachen und sind bei Fehlverhalten des Systems, beispielsweise einer unvorhersehbaren Vollbremsung, durch den Fahrer nicht zu korrigieren.
Performante Kompaktsteuerung mit ASIL-B-Zertifizierung
STW hat seine Mobilcontroller vom Typ ESX.4cm-a mit dem neuesten Plattform-Release standardmäßig bis ASIL B zertifizieren lassen. Die ESX.4cm-a verfügt über einen Aurix Multicore Prozessor, vier CAN-Bus-Schnittstellen und einen gemanagten Ethernet-Switch, zwei 100Mbit/s Ethernet (100Base-Tx) und zwei Single Pair Ethernet (100Base-T1) Ports. Der Ethernet Switch ermöglicht einen Austausch großer Datenmengen, ohne die Prozessorleistung der Steuerung negativ zu beeinflussen. Ein zweiter Abschaltweg trennt die Ausgänge der ESX.4cm-a zuverlässig und sicher. Für sicherheitsgerichtete Anwendungen ist diese Notabschaltung Pflicht. Mit Schutzklasse bis zu IP6k9k ist der Controller für den Einsatz unter widrigsten Bedingungen geeignet.
„Die ESX.4cm-a ist eine performante Kompaktsteuerung. Sie stellt insgesamt 34 konfigurierbare analoge und digitale Multifunktionseingänge zur Verfügung und unterstützt zudem das SENT-Protokoll. Damit ist sie flexibel für eine Vielzahl von Anwendungen einsetzbar“, erklärt Stefan Hohn. Die standardmäßige ASIL-B-Zertifizierung ist jedoch nicht das Ende der Fahnenstange. In Kundenprojekten mit einem konkreten Anwendungsfall ist mit der ESX.4cm-a auch die Realisierung von ASIL-C-Zertifizierungen möglich. Typische Anwendungen mit ASIL-B-Anforderungen finden sich beispielsweise im sicheren Betrieb der Kamerasysteme und Beleuchtungsanlagen. Applikationen mit ASIL-C-Anforderungen sind etwa adaptive Tempomaten.
Funktional sicheres Portfolio
Die ESX.4cm-a ist jedoch nicht die einzige Steuerung von STW, die den ISO-26262-Anforderungen genügt. Bei Bedarf lässt sich die gesamte ESX.4-Familie, von der ESX.4cs-gw bis zur ESX.4cl nach der Automotive-Norm TÜV-zertifizieren. Stefan Hohn erläutert die Hintergründe: „Noch ist die ISO 26262 nicht bindend für mobile Arbeitsmaschinen, insofern ist eine Zertifizierung des gesamten Portfolios momentan nicht nötig. Sollte die ESX.4cm-a für die Anforderungen eines Kunden über- oder unterdimensioniert sein, können wir mit unserem breiten Steuerungsangebot jedoch entsprechende Angebote machen und eine bedarfsgerechte Zertifizierung ermöglichen.“
Wer eine funktional sichere Systemarchitektur jenseits der ISO 26262 aufbauen möchte, ist bei STW dennoch an der richtigen Adresse. Als Spezialisten für die funktionale Sicherheit hat das Unternehmen aus Kaufbeuren die ESX.4-Controller für die Anforderungen aller gängigen Normen für Baumaschinen, Land- und Forstmaschinen, Kommunal- und Nutzfahrzeuge optimiert. Die Mobilsteuerungen sind standardmäßig zertifiziert bis SIL 2 / PL d bzw. AG PL d. Da auch die Softwareplattform zur Implementierung, Inbetriebnahme und Analyse der Steuerungen, openSYDE, bereits konform bis SIL2 / PL d ist, lassen sich besonders anwenderfreundlich Safety-Anwendungen entwickeln und integrieren.
Die Experten von STW teilen ihr Know-how mit interessierten Messebesuchern auf der Agrishow in Brasilian vom 29. April bis 3. Mai 2024 am German Pavilion, G8d Stand 3