Anwenderbericht TU Dresden

Da mobile Arbeitsmaschinen in vielen verschiedenen Bereichen eingesetzt werden, gibt es vielfältige sicherheitskritische Betriebszustände. Mit der Einführung elektrohydraulischer Stellgrößen kommt es außerdem zu neuen Ausfall- und Fehlerszenarien. Um den Überblick bei der steigenden Systemkomplexität zu behalten, unterstützt die Systemsimulationssoftware SimulationX Konstrukteuren bei der Entwicklung. Basis für die Entwicklung ist ein komplexes physikalisches Gesamtmodell des Lenksystems, der Maschinenumgebung und der umgebenden Prozessbedingungen. Das Lenksystem besteht aus einem konventionellen Lenkventil mit parallel angeordneter Ventilarchitektur. Das Lenkventil (LAG) ist ein Drehschieberventil und sorgt sowohl für die Dosierung als auch die Steuerung des Lenkvolumenstroms. Durch eine interne hydraulisch-mechanische Folgeregelung stellt sich ein Volumenstrom proportional zur Lenkraddrehzahl ein. Bei Ausfall der Hydraulikversorgung kann mit Hilfe des Lenkventils ein Notlenkbetrieb aufrechterhalten werden. Die Ventilstruktur in aufgelöster Bauweise umfasst vier elektrohydraulische 2/2-Proportional-Wegeventile und dient der Überlagerung des LAG-Volumenstroms. Ein Steuergerät (ECU) wertet Lenkrad- und Radwinkel aus und generiert anhand definierter Lenkfunktionen die Stellwerte der Zu- und Ablaufventile. So wird beispielsweise eine geschwindigkeitsabhängige Lenkverstärkung realisiert, die einen guten Geradeauslauf bei hohen Geschwindigkeiten sowie ein komfortables Handling bei langsamer Fahrt ermöglicht. Die in der ECU hinterlegten Ansteueralgorithmen laufen auf einer Soft-SPS und können über eine Co-Simulation mit dem hydraulisch-mechanischen Systemmodell interagieren. Über ein Schaltventil kann die Überlagerung zu- und abgeschaltet werden. Die für das Lenksystem wichtigen Prozessgrößen werden mit Hilfe verschiedener fahrdynamischer Modelle abgebildet. Über die Lenkkinematik, die als Mehrkörpermodell in der Simulationsumgebung integriert ist, wirken sich diese Umgebungseinflüsse auf das elektrohydraulische Lenksystem aus. Mit Hilfe eines Prüfstandes, an dem das Lenksystem in der realen hydraulisch-mechanischen Maschinenumgebung erprobt werden kann, erfolgt die Validierung des Simulationsmodells. Der am Prüfstand aufgeprägte Lenkzyklus dient dabei als Eingangsgröße für die Simulation. Dabei zeigen die simulierten und gemessenen Verläufe ein nahezu identisches Systemverhalten. Dies gilt sowohl für die sich einstellende Lenkbewegung als auch für die gemessenen Drücke. Das Simulationsmodell bildet die Realität gut ab und wird für weiterführende Untersuchungen herangezogen.

An die Lenkung werden besondere Anforderungen an die Sicherheit und Zuverlässigkeit gestellt. Um sowohl die gesetzlichen Rahmenbedingungen als auch die Erwartungen des Bedieners nach Sicherheit zu erfüllen, wird ein geschlossenes Sicherheitskonzept entsprechend DIN EN 13849, ISO 25119 und ISO 12100 entwickelt. Ziel ist es, die Risikominderung nachzuweisen. Mit Hilfe einer Risikobeurteilung werden die Verwendungsgrenzen der Maschine definiert und mögliche Gefährdungsszenarien hinsichtlich ihrer Wahrscheinlichkeit, der Schwere des Schadens sowie der Möglichkeit der Schadensvermeidung analysiert. Daraus ergibt sich ein Agricultural Performance Level, welches die notwendige Risikominderung näher beschreibt. Um ein ausreichend sicheres System, im Sinne der funktionalen Sicherheit zu entwickeln, müssen Sicherheitsfunktionen festgelegt werden. Diese Sicherheitsfunktionen verhindern eine Gefahrensituation, indem bei einem Fehler ein sicherer Zustand aufrechterhalten wird oder Maßnahmen ergriffen werden, um einen sicheren Zustand einzustellen. Die hier formulierte Sicherheitsfunktion lautet: Sicher überwachte Lenkgeschwindigkeit. Treten größere Abweichungen zwischen der erwarteten und der tatsächlichen Lenkgeschwindigkeit auf, ist kontrolliertes Lenken nicht mehr möglich und der Überlagerungspfad muss deaktiviert werden. Mit Hilfe einer umfangreichen Fehlersimulation werden mögliche fehlerhafte Zustände und deren Einfluss auf das Gesamtsystem untersucht. Die Fehlersimulation entspricht somit einer FMEA (Fehlermöglichkeits- und -einflussanalyse) und dient der Identifikation kritischer, an der Sicherheitsfunktion beteiligter Elemente. Hierbei stehen vor allem elektrische und elektronische Komponenten des Lenksystems im Mittelpunkt, da diese nicht wie mechanische Bauteile dauerfest dimensioniert werden können und einem stochastischen Ausfallverhalten unterliegen. Um allgemeingültige Aussagen bezüglich der Fehlerausprägung ableiten zu können, werden alle relevanten Betriebsszenarien berücksichtigt. Für das LAG als bewährtes hydraulisch-mechanisches Bauteil kann ein Fehlerausschluss angenommen werden. Das LAG bildet eine sichere Ebene, mit der Lenken jederzeit möglich ist. In der Fehlersimulation führte in einem konventionellen Lenksystem ein fehlerhaft geöffnetes Ventil zur Verstellung des Lenkzylinders. Die Aktivlenkung muss abgeschaltet werden, damit der Fahrer weiterhin lenken kann. Tritt ein vergleichbarer Einzelfehler im System mit getrennten Steuerkanten auf, kommt es zu keiner Gefahr. Durch die Ansteuerung der verbliebenen, fehlerfreien Ventile kann die Wirkung des Fehlers vermindert werden. Ein zeitkritisches Abschalten ist nicht erforderlich.