Die Maschinenfabrik Bernard Krone fertigt mit rund 2000 Mitarbeitern Landmaschinen und Nutzfahrzeuge für unterschiedlichste Einsatzgebiete. Mit dem Feldhäcksler ‚Big X 480/580‘ hat das Unternehmen seine Produkt­palette Ende 2013 um eine Baureihe in den niedrigeren PS-Leistungsklassen 489 beziehungsweise 585 PS erweitert. Die 6-zylindrigen Landmaschinen ermöglichen die Ernte der Maispflanzen zur anschließenden Erzeugung von Biogas oder Tierfutter. Sechs Vorpress­walzen und eine 630 Millimeter breite Häckseltrommel sollen dabei einen kontinuierlichen Fluss des Erntegutes bei vergleichsweise geringem Leistungsbedarf gewährleisten.

Diese und weitere Arbeitsfunktionen werden durch rund 20 vernetzte Steuergeräte koordiniert. Die meisten davon sind an ein zentrales Steuergerät angebunden, das eine automatisierte Koordination und Kontrolle der vom Bediener ausgelösten Arbeitsfunktionen und damit einen reibungslosen und sicheren Betrieb der Landmaschine ermöglicht. Bei der Umsetzung der Entwicklungsplattform für die zentrale Steuerung nahm Krone den Ingenieurdienstleister Brunel Communications (BCS) mit ins Boot. Das Hildesheimer Unternehmen ist unter anderem auf die Entwicklung und Verifikation von Embedded-Systemen spezialisiert und kann auf eine langjährige Erfahrung in der Entwicklung von sicherheitskritischen Lösungen aus den Branchen Automotive, Medizin und Bahntechnik zurückgreifen. Gleichzeitig sollten ausgewählte Arbeitsfunktionen für die zentrale Steuerung der Landmaschine entwickelt und sämtliche Test- und Verifikationsaufgaben für das Gewerk durchgeführt ­werden. Eine wichtige Rolle für einen erfolgreichen Projektverlauf spielten außerdem die verschiedenen Integra­tionstermine mit den zusätzlich be­teiligten Motoren- und Fahrantriebs­herstellern. In den Gesprächen wurden frühzeitig sämtliche Schnittstellen und Funktionalitäten festgelegt, um so eine möglichst enge Abstimmung zwischen den verschiedenen Projektpartnern zu ermöglichen.

Da es sich beim Big X 480/580 um eine komplett neue Häckslergeneration handelt, musste die zentrale Steuerung von Grund auf neu entwickelt und ­anschließend zunächst an einem Prototypen getestet werden, bevor das Zusammenspiel sämtlicher Systeme abschließend bei einem realen Ernte-Einsatz geprüft werden konnte. Als Basis für den weiteren Projektverlauf hatten Krone und BCS zunächst einen detail-lierten Zeit- und Leistungsplan festgelegt und die grundlegenden System- und Software-Anforderungen für die zentrale Steuerung definiert. Auf technischer ­Ebene standen neben der funktionalen ­Sicherheit vor allem die Aspekte Modularisierung, Wiederverwendung, Wartbarkeit und Performance im Vordergrund.

V-Modell als Basis

Als wichtigste Aufgaben der gemeinsamen Software-Entwicklung wurden die automatisierte Koordination der verschiedenen Arbeitsfunktionen sowie die Erfassung und Aufbereitung sämtlicher Prozessdaten festgelegt.

© Brunel Communications

Nach Abnahme der verschiedenen System- und Software-Anforderungen durch Krone konnten die Ingenieure von BCS im nächsten Schritt mit dem Design und der Architektur der Software-Plattform beginnen. Als Grundlage für die Software-Erstellung diente das V-Modell. Aufbauend auf der grundlegenden Software-Architektur und der Darstellung und Modellierung der verschiedenen ­Arbeitsfunktionen auf Basis der Unified Modeling Language konnte anschließend die Code-Generierung, also die Übersetzung der verschiedenen UML-Diagramme in Quellcode erfolgen. Sukzessive wurden so die einzel-nen Software-Komponenten erstellt und anschließend integriert. Überwiegend kamen standardisierte Komponenten und Schnittstellen zum Einsatz. So sind sämtliche Steuergeräte über CAN-Busse miteinander ­verbunden und tauschen über das Pro­tokoll SAE J1939 sowie Isobus Infor­mationen aus.

Um eine größtmögliche Übersichtlichkeit zu erreichen und einzelne Komponenten bei Bedarf flexibel austauschen zu können, ist die Software der Steuerung modular aufgebaut. Die Applikationen, die die unterschiedlichen Funktionen der Steuerung realisieren, sind oberhalb von Hardware-Abstrak­tion und Betriebssystem angelegt. Das Design der Applikationen folgte dabei dem Anspruch, eine maximale Unabhängigkeit zu erzielen.

Safety mit zentraler ­Bedeutung

Zentrale Bedeutung hatte schon zu Beginn der Planungen und beim Erstellen der ersten Software-Architektur das Thema Sicherheit. Denn da durch ein Fehlverhalten der Software im äußersten Fall sogar Menschenleben gefährdet werden können, ist es für einen gefahrlosen Betrieb der Landmaschine notwendig, dass eine eventuelle Unregelmäßigkeit und Störung umgehend auf dem Bedienterminal zur Anzeige gebracht und die entsprechende Arbeitsfunktion bei sicherheitsrelevanten Störungen sofort abgeschaltet wird.

Nach der Definition von System- und Software-Anforderungen wurden Design und Architektur der Software festgelegt.

© Brunel Communications

Gleichzeitig muss eine permanente Überwachung der Kommunikation zwischen der zentralen Steuerung und dem Bedienelement sichergestellt sein, um bei einer Unterbrechung automatisch angemessen reagieren zu können.

Als grundlegende Basis für das von BCS vorgestellte Sicherheitskonzept diente die branchenspezifische Sicherheitsnorm ISO 25119 (Functional Safety for Tractors and Machinery for Agriculture and Forestry), die umfangreiche Anforderungen an die Verantwortlichkeiten, Prozesse, Dokumentationen und Techniken bei der Entwicklung sicherheitsrelevanter Systeme von Maschinen aus der Land- und Forstwirtschaft vorgibt. Um das in der Norm geforderte Software Requirement Level zu erreichen, wurden ein Entwicklungsprozess definiert, geeignete Tools ausgewählt, Verantwortlichkeiten festgelegt und Mitarbeiter mit entsprechender Quali­fikation eingesetzt. Die unterschiedlichen Anforderungen und Spezifikationen mussten zunächst ein internes Review passieren, bevor sie im Anschluss daran von Krone abschließend kontrolliert und freigegeben wurden. Die Designbeschreibung erfolgte in UML durch Klassen- und Ablauf­diagramme. Eingesetzt wurden Tools zur statischen Code-Analyse, Modultest, UML-Dokumentation und Code-Er­zeugung sowie Requirement- und Test­dokumentation mit Verlinkung.

Die Software der zentralen Steuereinheit integriert eine zweikanalige Aktivierung von Arbeitsfunktionen. Damit wird eine Funktion nur dann aktiviert, wenn der erste Kanal (die Applikationssoftware) und der zweite Kanal (die Sicherungsschicht) zu identischen Ergebnissen kommen. In der als Logikeinheit realisierten Sicherungsschicht sind spezifische Regeln hinterlegt, die festlegen, welche sicherheitsrelevanten Eingangsinformationen gegeben sein müssen, damit eine Applikation einen Aktor ansteuern darf. Solche sicherheitsrelevanten Eingangsinformationen sind zum Beispiel Kommunikations-Timeouts zu beteiligten Steuergeräten oder Bedienelemente, die Arbeitsfunktionen freigeben.

Eine nicht sicherheitsrelevante Neuerung, die den Betrieb des Feldhäckslers vereinfacht, ist das automatische Anti-Blockage-System ‚AutoStop‘ von Krone, mit dessen Hilfe ein Abwürgen des Motors und Futterstauungen durch Überlast vermieden werden. Als Indikator für die Auslastung beziehungsweise Überlastung des Gutflusses im Häcksler dient die Motor-Drehzahl: Sinkt die Motordrehzahl unter 1200 Umdrehungen in der Minute, werden sowohl der Erntevorsatz als auch das Einzugs- und Vorpress-Aggregat automatisch gestoppt, während die nachgeschalteten Aggregate das Futter häckseln und transportieren.

Umfangreiche Tests

Parallel zur weiteren Entwicklung der Software wurde bereits mit der Planung und dem Aufbau der benötigten Testumgebung begonnen. Anhand der von BCS eigens erstellten Testfälle konnte die hausinterne Testabteilung von BCS hier unabhängig vom Entwicklungsteam sämtliche notwendigen Test- und Verifikationsaufgaben für die Steuerung durchführen. In einem ersten Modultest wurde noch durch die ­Entwickler von Krone und Brunel Communications zunächst die korrekte Funktionalität der verschiedenen Software-Komponenten überprüft.

Im schlimmsten Fall kann von einem Feldhäcksler eine tödliche Gefahr für den Bediener ausgehen. Die Steuerungs-software darf sich daher keine Fehler erlauben.

© Brunel Communications

Nach der Integration der einzelnen Bausteine zu einer Einheit und der Übergabe der Plattform an die Testabteilung von BCS ließ sich die Funktionalität des zentralen Steuergerätes im Echtzeit-Betrieb ­sowie dessen Zusammenspiel mit den anderen Steuerungsgeräten unter verschiedenen Anforderungsszenarien prüfen. Aufbauend auf diesen Tests konnten die Software-Entwickler von BCS anschließend eventuelle Fehler beheben, aber auch nachträgliche Änderungen und Optimierungen der ursprünglichen Planung berücksichtigen und umsetzen.

Im Rahmen der automatisierten Testreihen kamen entsprechend der allgemeinen technischen Entwicklung überwiegend die für den Prototypen vorgesehenen Original-Aggregate zum Einsatz. Lediglich bei größeren Elementen wie der Steuerung für den ­Motor wurde das Verhalten der be­treffenden Steuergeräte simuliert. Die unterschiedlichen Prüfungen nahmen etwa die Hälfte der gesamten Entwicklungszeit in Anspruch. Eine besondere Bedeutung hatte dabei die Nachweisführung.

Nach Abschluss der verschiedenen Testreihen und nach der Verifizierung sämtlicher funktionaler und sicherheitskritischer Anforderungen in einem Hardware-Software-Integrationstest stand schließlich der erste prototypische Einsatz der Steuerung auf dem Plan.

Erprobung im realen ­Ernte-Einsatz

Zur Sicherung von Funktion und Qualität entstand ein automatisierter Prüfstand aus einsatzfertigen Einzelkomponenten des Systems.

© Brunel Communications

Dazu wurden die verschiedenen Komponenten am Hauptsitz von Krone im emsländischen Spelle auf den Prototypen aufgesetzt und mit der Elektrik sowie der Hydraulik verbunden. Der Inbetriebnahme und ersten Probeläufen folgte die Erprobung der Maschine im realen Ernte-Einsatz. Um auftretende Probleme flexibel und schnell zu lösen, wurden einzelne Softwareparametrisierungen sogar auf dem Feld durchgeführt. Nach der Übergabe der Software und sämtlicher Dokumentationsunterlagen an Krone führten die BCS-Ingenieure aus den Bereichen Informatik und Elektrotechnik außerdem in mehreren Integrationsstufen eine umfangreiche Schulung der Krone-Mitarbeiter durch, um sie mit den Details der einzelnen Entwicklungsergebnisse vertraut zu machen. Somit wurde letztendlich die Basis für die künftig intern weitergeführte Software-Entwicklung gelegt.

Autor: Francisco Matesanz ist tätig im Account Management des Entwicklungszentrums Brunel Communications in Hildesheim.