Regelkreise

Regelkreis Wasserbezugstemperatur (Daniele Fecondo, Dario Opacak, Alexander Hoffmann)

Das System kann sich falsch einregeln, das liegt an der Verarbeitung des Analogsignals der Temperatursensoren. Die exakten Spannungswerte für jede Temperatur muss im Programm hinterlegt sein. Liegt der Wertebereich außerhalb der Toleranz, verschieben sich alle Temperaturwerte des Wasserbezugs.

Die Spannungsversorgung für das Dosierventil kann Fehler hervorbringen (offen bei 10V, geschlossen bei 0V) Wird im Programm die Spannung zum Öffnen mit der zum Schließen des Ventils vertauscht, regelt das Programm die Temperatur in die falsche Richtung. Zu Berücksichtigen ist ebenfalls ein eventuell nicht linearer Verlauf der Spannung zum Öffnungswinkel des Ventis, das kann ebenfalls eine Verschiebung des Ist-Wertes zur Folge haben.

Gibt es keinen Volumenstrom, also steht das Wasser, ist die Regelung zur Bezugstemperatur überflüssig.

Regelkreis Volumenstrom (Daniele Fecondo, Dario Opacak, Alexander Hoffmann)

Die Pumpe läuft nicht an, da der Regelkreis nicht vom Hauptprogramm gestartet wird. Genauso, kann die Pumpe weiterlaufen, wenn sie nach Erreichen des Volumensollwertes nicht abgeschaltet wird. Das kann an einer Fehlerhaften weitergabe des Signals des Hauptprogramms liegen. Eine weiter Möglichkeit ist, dass das Bezugsvolumen innerhalb des Regelkreises nicht mitgezählt wird. Auch ein Fehler kann sein, dass der Speicher nicht geleert wurde und das Bezugsvolumen des vorherigen Bezugs noch hinterlegt ist, wodurch der aktuelle Bezug als abgeschlossen betrachtet wird, oder nur ein geringeres Volumen ausgegeben wird bis der Sollwert erreicht ist.

Bei der Messung des Durchflussvolumens können Fehler auftreten. Der erfasste Wert des Volumens entspricht nicht dem realen Wert, das kann an einer falschen Kalibrierung der Takte des Volumenstromsensors liegen.

Eine weitere Fehlerquelle kann ein erfasster langsamer Volumenstrom sein. Dieser kann auftreten, wenn die Ventile geschlossen sind aber die Pumpe in Betrieb ist, dadurch entstehen Vibrationen.

Kaffeebezug (Daniele Fecondo, Dario Opacak, Alexander Hoffmann)

Abfrage Betriebsbereitschaft

Der Flag für die Betriebsbereitschaft wurde nicht gesetzt, dieser Fehler kann mehrere Ursachen haben. Das Überspringen einzelner Schritte in der Schrittkette des Programms durch SW-Fehler. Eine weitere Fehlerquelle können die Messwerte des Füllstandsensors, des Temperatursensors und des Drucksensors sein. Der Fehler kann in der Übermittlung zu hoher oder zu geringer Messwerte liegen, die ein große Abweichung des Ist-Wertes darstellen. Ebenso ist die Festlegung eines fehlerhaften Datenbereichs durch setzen von falschen Grenzwerten möglich. (Die Grenzwerte müssen teils erst noch ermittelt werden.)

Sollwertübernahme

Bei der Sollwertübernahme liegt das Fehlerpotential vor allem bei der Ablage und dem Abgriff des Speichers. Bei dem Wählen einer bestimmten Bezugsmöglichkeit könnten die Daten einer anderen Bezugsmöglichkeit abgegriffen werden. Die korrekte Ablage und der Zugriff auf die Größen Preinfusionszeit mit zugehörigem Volumenstrom zur Preinfusion, Bezugstemperatur sowie Bezugsvolumen der Preinfusion, aber auch das Bezugsvolumen, der Volumenstrom und die Bezugstemperatur während des Kaffeebezugs sind für einen funktionierenden Betrieb esssentiell. (Volumenstrom bei Preinfusion geringer als bei Kaffeebezug (Sollwerte hinterlegen/ermitteln))

Eine weitere Fehlerquelle stellt das Speicher der Daten dar. Die Daten können am falschen Speicherplatz abgelegt werden. Ebenso können andere Sollwerte überschrieben werden. Die Daten können nicht dauerhaft gespeichert werden, das führt zu Datenverlust.

Nach einem Stromausfall können die voreingestellten Bezugsgrößen gelöscht sein. (Behält der Speicher die Werte oder gibt es ein Basissetup, das automatisch wieder geladen wird?)

Beim Einstellen der Bezugswerte kann der Bediener die Werte außerhalb eines sinnvollen Größenbereichs legen, z.B. ein negatives Bezugsvolumen oder eine Bezugstemperatur über 100°C oder unterhalb von 20°C (Wertebereich für sinnvolle Bezugsgrößen bei Volumenstrom, Bezugstemperatur, Bezugsmenge und Preinfusionszeit müssen noch festgelegt werden)

Eine weiter Fehlerquelle kann das verwechseln von Einheiten in der Programmierung darstellen, z.B. °C -> K oder ml -> l.

Manueller Kaffeebezug

Schnelles mehrmaliges Betätigen der Bezugstaste führt zu einem Überspringen der Schritte, wodurch die Preinfusion, oder der Kaffeebezug übersprungen werden können. (Zeitsperre bis zu erneuter Betätigung experimentell ermitteln (0,5 sec))

Durch zu lange Preinfusion kann es zu einem ungewollten Kaffeebezug kommen. (Maximales Preinfusionsvolumen bestimmen und eventuell automatisches Weiterschalten in der Schrittkette nach erreichen)

Eine weitere Fehlerquelle liegt in der Überschneidung von Schrittketten, hierbei können zwei Schritte gleichzeitig ausgeführt werden. Ebenso ist das ungewollte Auslassen oder Überspringen von Schritten eine Störung im Ablauf des Kaffeebezugs. (einzelne unverwechselbare Bedingungen zum Setzen und Weiterschalten der Schritte)

Preinfusionszeit

Während der Preinfusionszeit kann der Timer fehlerhaft zählen, das kann mehrere Ursachen haben. Der Timer kann nicht die richtige Zeit erfassen, da andere Prozesse wegen Priorisierung der Abläufe im Programm die notwendigen Taktschritte zur verfügung haben. Der Timer kann Programmintern nicht angesteuert werden oder kein Signal weitergeben nach erreichen der Sollzeit.

Das Einhalten der Schrittkette kann erneut zu Fehlern führen. Einzelne Schritte für das Schalten von Ventilen können übersprungen werden oder wurden während der Programmierung in falscher Reihenfolge gesetzt. (Ablauf der Ventilschaltung beachten, zu finden in Zuordnung der Funktionen zu Softwareaufgaben)

Das Zusammenspiel mit dem Regelkreis zur Volumenstromregelung kann Fehler hervorbringen. Die Pumpe kann nicht anlaufen, falls der Regelkreis vom Programm nicht gestartet wird. Ebenso kann die Pumpe unaufhörlich weiterlaufen, wenn keine oder fehlerhafte Sollwerte an den Regelkreis übermittelt wurden. Bei einer Fehlerhaften Kalibrierung des Durchflussmessers kann es zu einer positiven wie auch negativen Abweichung des Bezugsvolumen kommen, da dieses nicht korrekt erfasst wird.

Der Regelkreis zur Regelung der Wasserbezugstemperatur kann ebenfalls zu Fehlern führen. Die Bezugstemperatur weicht ab, wenn der Sollwert nicht aktualisiert wurde. Ebenso weicht er ab, wenn die Widerstände der Thermometer nicht korrekt hinterlegt wurden.

Kaffeewasserbezug

Das Einhalten der Schrittkette kann erneut zu Fehlern führen. Einzelne Schritte für das Schalten von Ventilen können übersprungen werden oder wurden während der Programmierung in falscher Reihenfolge gesetzt. (Ablauf der Ventilschaltung beachten, zu finden in Zuordnung der Funktionen zu Softwareaufgaben)

Das Zusammenspiel mit dem Regelkreis zur Volumenstromregelung kann Fehler hervorbringen. Die Pumpe kann nicht anlaufen, falls der Regelkreis vom Programm nicht gestartet wird. Ebenso kann die Pumpe unaufhörlich weiterlaufen, wenn keine oder fehlerhafte Sollwerte an den Regelkreis übermittelt wurden. Bei einer Fehlerhaften Kalibrierung des Durchflussmessers kann es zu einer positiven wie auch negativen Abweichung des Bezugsvolumen kommen, da dieses nicht korrekt erfasst wird.

Der Regelkreis zur Regelung der Wasserbezugstemperatur kann ebenfalls zu Fehlern führen. Die Bezugstemperatur weicht ab, wenn der Sollwert nicht aktualisiert wurde. Ebenso weicht er ab, wenn die Widerstände der Thermometer nicht korrekt hinterlegt wurden.

Teebezug (Daniele Fecondo, Dario Opacak, Alexander Hoffmann)

Abfrage Betriebsbereitschaft Teebezug

Der Flag für die Betriebsbereitschaft wurde nicht gesetzt, dieser Fehler kann mehrere Ursachen haben. Das Überspringen einzelner Schritte in der Schrittkette des Programms durch SW-Fehler. Eine weitere Fehlerquelle können die Messwerte des Füllstandsensors, des Temperatursensors und des Drucksensors sein. Der Fehler kann in der Übermittlung zu hoher oder zu geringer Messwerte liegen, die ein große Abweichung des Ist-Wertes darstellen. Ebenso ist die Festlegung eines fehlerhaften Datenbereichs durch setzen von falschen Grenzwerten möglich. (Die Grenzwerte müssen teils erst noch ermittelt werden.) Sollwertübernahme Teebezug

Bei der Sollwertübernahme liegt das Fehlerpotential vor allem bei der Ablage und dem Abgriff des Speichers. Bei dem Wählen einer bestimmten Bezugsmöglichkeit könnten die Daten einer anderen Bezugsmöglichkeit abgegriffen werden. Die korrekte Ablage und der Zugriff auf die Größen Preinfusionszeit mit zugehörigem Volumenstrom zur Preinfusion, Bezugstemperatur sowie Bezugsvolumen der Preinfusion, aber auch das Bezugsvolumen, der Volumenstrom und die Bezugstemperatur während des Kaffeebezugs sind für einen funktionierenden Betrieb esssentiell. (Volumenstrom bei Preinfusion geringer als bei Kaffeebezug (Sollwerte hinterlegen))

Eine weitere Fehlerquelle stellt das Speicher der Daten dar. Die Daten können am falschen Speicherplatz abgelegt werden. Ebenso können andere Sollwerte überschrieben werden. Die Daten können nicht dauerhaft gespeichert werden, das führt zu Datenverlust.

Nach einem Stromausfall können die voreingestellten Bezugsgrößen gelöscht sein. (Behält der Speicher die Werte oder gibt es ein Basissetup, das automatisch wieder geladen wird?)

Beim Einstellen der Bezugswerte kann der Bediener die Werte außerhalb eines sinnvollen Größenbereichs legen, z.B. ein negatives Bezugsvolumen oder eine Bezugstemperatur über 100°C oder unterhalb von 20°C (Wertebereich für sinnvolle Bezugsgrößen bei Volumenstrom, Bezugstemperatur, Bezugsmenge und Preinfusionszeit müssen noch festgelegt werden)

Ebenfalls kann es zu Bedienerfehlern kommen durch das Einstellen des Bezugsvolumens mit dem Drehregler. Es können Werte außerhalb des Sollwertebereichs gewählt werden, z.B. negative Werte beim Bezugsvolumen. Aber auch das Verarbeiten des SIgnals kann zu Fehlern führen. Die Werte, die der Drehsteller abgibt müssen vom Programm erfasst und verarbeitet werden.(Poti oder Signalgeber)

Eine weiter Fehlerquelle kann das verwechseln von Einheiten in der Programmierung darstellen, z.B. °C -> K oder ml -> l.

Teewasserbezug

Das Einhalten der Schrittkette kann erneut zu Fehlern führen. Einzelne Schritte für das Schalten von Ventilen können übersprungen werden oder wurden während der Programmierung in falscher Reihenfolge gesetzt. (Ablauf der Ventilschaltung beachten, zu finden in Zuordnung der Funktionen zu Softwareaufgaben)

Das Zusammenspiel mit dem Regelkreis zur Volumenstromregelung kann Fehler hervorbringen. Die Pumpe kann nicht anlaufen, falls der Regelkreis vom Programm nicht gestartet wird. Ebenso kann die Pumpe unaufhörlich weiterlaufen, wenn keine oder fehlerhafte Sollwerte an den Regelkreis übermittelt wurden. Bei einer Fehlerhaften Kalibrierung des Durchflussmessers kann es zu einer positiven wie auch negativen Abweichung des Bezugsvolumen kommen, da dieses nicht korrekt erfasst wird.

Der Regelkreis zur Regelung der Wasserbezugstemperatur kann ebenfalls zu Fehlern führen. Die Bezugstemperatur weicht ab, wenn der Sollwert nicht aktualisiert wurde. Ebenso weicht er ab, wenn die Widerstände der Thermometer nicht korrekt hinterlegt wurden. Verkalkungsschutz (Daniele Fecondo, Dario Opacak, Alexander Hoffmann)

Bei dem Verkalkungsschutz können mehrere Fehler auftreten. Die Sollwerte für den Leitwertsensor können falsch gesetzt werden. Das kann der Spannungsbereich sein, denn der Leitwertsensor gibt ein analoges Spannungssignal zurück. (sinnvoller Spannungsbereich muss noch ermittelt werden) Ein weiterer Fehler kann in der kontinuierlichen überwachung liegen. (immer abgefragt oder wird nur während des Bezuges abgefragt?) Hier ist es möglich, dass die Überwachung beim Booten der Maschine nicht gestartet wird oder bei einer Bezugsposition nicht gestartet wird. (Aus energetischen Gründen ist es sinnvoll, die Überwachung zwischenzeitlich abzuschalten, solange kein Bezug stattfindet.) Ein weiterer Fehler kann bei der Ausgabe des Warnhinweises auf dem Display nach feststellung eines zu kalkhaltigen Wassers entstehen. Die Fehlermeldung erscheint nicht, es werden aber alle Bezugsmöglichkeiten unterbunden, so weiß der Nutzer nicht, von dem zu kalkhaltigen Wasser und kann den Fehler nicht beheben. Das nicht blockieren der Bezugsmöglichkeiten bei Feststellung von zu kalkhaltigem Wasser ist ein weiterer Fehler. Hier können Schäden in der Maschine auftreten, da weiterhin alle Bezugsmöglichkeiten frei gewählt werden können.

Systemreinigung (Daniele Fecondo, Dario Opacak, Alexander Hoffmann)

Bei einer Systemreinigung ist es wichtig bestimmte Temperatur des Systems zu haben um die Maschine korrekt zu reinigen. Wenn das System schon bei dem Betriebszustand nicht erkennt ob die Maschine bzw. das Wasser bei der Reinigung kalt oder heiß ist kann es zu einer nicht vervollständigte Reinigung kommen. Ein weiterer häufiger Fehler kann auftreten wenn der Durchflusssensor andauernd die Impulse zurückgibt obwohl der Boier schon längst leer ist. Ebenso kann es passieren, dass bei der Entleerung des Boilers die Pumpe nicht abschaltet und wegen einem Fehler am Microcontroller weiter nach der Entleerung Wasser fördert. Da der Mikrocontroller in diesem Fall dauerhaft Ausgangssignale kann es zu Überdrehen der Pumpe und weiteren mechanischen Probleme kommen. Wie bei vielen Unterpunkten kann es auch hier bei nichteinhalten der Schrittkette kommen bei dem Zulauf wie auch bei dem Rücklauf des Reinigungswassers. Betriebszustand

Immer wieder wird vor jeder Aktion der Beriebszustand abgefragt. Hierbei kann ein Fehler das nicht korrekte erkennen, ob die Kaffeemaschine im heißen oder kalten Zustand ist. Erst durch den korrekten Betriebszustand kann die Systemreinigung gestartet werden. Boiler entleeren

Mögliche Fehler, die bei der Boilerentleerung auftreten können, sind zum einen eine permanente Rückmeldung des Durchflusssensors. Solange dieser Impulse an den Microcontroller sendet, wird angenommen, dass der Boiler noch nicht entleert ist. Weiter kann das nicht korrekte einhalten der Schrittkette beim schalten der Ventile ein Problem bei der Entleerung darstellen. Eine permanente Ansteuerung der Pumpe über den Microcontroller, obwohl der Boiler bereits entleert ist kann ebenfalls zu Bauteilschädigungen führen.

Einführen Reinigungsmittel

Die Einführung des Reinigungsmittel wird durch ein geschultes Fachpersonal durchgeführt. Die notwendige Information zum Zeitpunkt der Einführung wird vom Microcontroller versendet und am Display angezeigt. Ein nicht versenden der Botschaft, so dass keine Displayanzeige “Reinigungsmittel einführen” auftritt, ist eine möglicher Fehler. Zudem kann zusätzlich die Displayanzeige zum einführen des Reinigungsmittel erscheinen, dennoch die Kaffeemaschine keinen Stopp einlegen und die fortlaufenden Schritte ausführen. Der Leitfähigkeitssensor kann die Maschine in die Notlauffunktion bringen, da das Reinigungsmittel als erhöhte Verkalkung erkannt wird und den Microcontroller blockiert. Als letzte mögliche Fehlerursache kann ein überhitzen der Reinigungsflüssigkeit durch eine permanente Ansteuerung der Heizwendel zu Problemen und Bauteil Schädigungen führen.

Entkalkung

Im Bezug auf die Entkalkung kann ein Fehler bei der Boilerbefüllung auftreten. Hierbei kann das Signal vom Füllstandsgeber falsch verarbeitet oder ignoriert werden und der Boiler dadurch überfüllt werden. Um die Entkalkung korrekt durchzuführen wird die Reinigungstemperatur auf eine vorgegebene Temperatur erhitzt. Ein Fehler ist in diesem Fall, wenn die vorgegebene Temperatur der Reinigungsflüssigkeit nicht erreicht wird.

Bei der Reinigung des Teewassersystems wird ein großes Augenmerk auf die Teewasserlanze gelegt. Aus der Teewasserlanze fließt Reinigunsflüssigkeit mit einer erhöhten Temperatur. Das System muss aus diesem Grund einen Stopp einlegen und den Nutzer darauf hinweisen, dass die Teelanze zum Schmutzwasserbehälter geschwenkt wird. Ein möglicher Fehler könnte sein, dass der vorher genannte Stopp nicht eingehalten wird und dass die Reinigung des Teewassersystem automatisch fortgesetzt wird. Wichtig ist ebenfalls, dass gewartet wird bis der Bediener mit einem ‘OK’ am Display die Reinigung fortsetzt.

Bootprozess (Markus Hofer, Melanie Ostermeier)

Vor der Inbetriebnahme/dem Einschalten der Espressomaschine müssen verschiedene Bedingungen erfüllt sein. Zunächst muss die Maschine an den Strom und die Frischwasserleitung angeschlossen werden. Im Rahmen des Bootprozess sollen eine Isolations- und eine Dichtheitsprüfung durchgeführt werden. Es wurde bereits festgestellt, dass eine Isolationsprüfung nur während des Energiesparmodus durchgeführt werden kann (z.B. ab dem Start des Timers für die Aktivierung des Energiesparmodus) durch den Vergleich einer experimentell ermittelten Temperaturkurve (Abkühlkurve) mit dem aktuellen Temperaturverlauf. Hierfür müssen zunächst die Regelkreise aktiv sein und die Maschine muss auf Betriebstemperatur gebracht werden. Die Durchführung einer Dichtheitsprüfung ist erst nach einer vollständigen Boilerbefüllung und Aktivierung der Regelkreise möglich. Bei konstanter Temperatur im Boiler wird der Druckverlauf kontrolliert. Somit ist eine Dichtheitsprüfung möglich. Auch hier ist es fraglich ob eine Durchführung im Bootprozess sinnvoll ist. Besser wäre eine Überprüfung mit dem Starten des Timers zum Aktivieren des Energiesparmodus. Sowohl die Isolations- als auch die Dichtheitsprüfung sind nicht bestätigte Funktionen, die bislang nicht ausgearbeitet sind und lediglich Konzepte darstellen.

Starten durch Bedienfunktion:

Ein möglicher Fehler bei dem Start der Maschine über das Bedienelement ist, dass nach Betätigung keine Rückmeldung an den Mikrocontroller gegeben wird. Die Maschine startet nicht. Auch kann es zu einem Einfrieren der Bedienelemente kommen. Die Software hängt sich auf und lässt keine weitere Funktionsauswahl zu. Ebenfalls ist es möglich, dass der Ablauf der Schrittketten innerhalb des Bootprozesses durch einen vorhergehenden Interruptzugriff gestört wird. Bei Auftreten einer Fehlermeldung innerhalb der zuvor abgelaufenen Schrittkette/des Programmablaufs ist es denkbar, dass das Display unbeleuchtet bleibt.

Denkbar sind auch Anwenderfehler wie etwa eine mehrfache Betätigung des Bedienelementes, sodass sich die Kaffeemaschine unmittelbar nach dem Einschalten wieder abschaltet. Dies kann ebenfalls beim sogenannten Prellen des Bedienelements geschehen.

Boilerbefüllung:

Bei Ausgabe eines unlogischen Messwertes durch den Füllstandssensor ist der eigentliche Wert des Boilerfüllstands für die Software unbekannt. Somit ist eine Überfüllung des Boilers möglich.

Bei zu früher Ausgabe eines Sensorsignals durch den Füllstandssensor ist die Füllmenge des Boilers zu gering. Bei nachträglichem Nachfüllen des Boilers nach dem Erreichen von Solldruck und -temperatur ist es möglich, dass der Druckwert im Boiler über den Sollwert ansteigt.

Die Maschine wird nach 15 Minuten aufgrund der gesetzlichen Vorgaben automatisch heruntergefahren. Durch die Isolierung des Boilers ist die Wassertemperatur im Boiler nicht wieder auf Raumtemperatur abgefallen. Bei erneutem Einschalten der Maschine kurz nach dem Herunterfahren und damit dem Aktivieren des Bootprozesses der Maschine ist es möglich, dass der Druck im Boiler bei Befüllung bei einem Defekt bzw. bei falscher Kalibrierung des Temperatur- oder Drucksensors zu hoch wird. Dadurch ist es möglich, dass das Überdruckventil versagt.

Boilerdruck erreichen:

Bei einem Defekt oder einer fehlerhaften Kalibrierung des Temperatursensors kann sich im Boiler eine zu hohe/niedrige Temperatur einstellen. Die Soll-Temperatur liegt bei 125-130°C. Es ist denkbar, dass eine zu hohe Temperatur, einen zu hohen Boilerdruck zur Folge hat. Dadurch entsteht eine Reihe an Fehlern, wie eine Fehlstellung des Dosierventils in den ersten Sekunden oder bei Versagen des Überdruckventils eine unzulässige Belastung des Boilers. Analog kann dies auch bei einem Defekt oder fehlerhafter Kalibrierung des Drucksensors geschehen. Die Sollwerte liegen hier zwischen 1300 und 1600 mbar. Auch bei unlogischen Werten der beiden Sensoren können sich derartige Fehler ereignen.

Regelkreise aktivieren

Werden die Regelkreise im Rahmen des Bootprozesses nicht aktiviert, so können durch die Maschine auch keine Maßnahmen zur Fehlerbehebung getroffen werden.

Dichtheitsprüfung (Funktion nicht bestätigt):

Nach dem Erreichen des Boilerdrucks und der Boilertemperatur wird die Dichtheitsprüfung gestartet. Dabei spielt der Drucksensor eine zentrale Rolle. Durch eine fehlerhafte Kalibrierung ist möglich, dass der Druck außerhalb der Toleranzen liegt und somit das System als undicht erkannt wird. Ebenso ist dies bei Ausgabe eines unlogischen Signalwerts des Drucksensor möglich. Beide Möglichkeiten führen dazu, dass die Dichtheitsprüfung nicht bestanden ist und der Bootprozess nicht abgeschlossen werden kann.

Bei Defekt des Drucksensors kann eine Dichtheitsprüfung gar nicht erst gestartet werden und somit ist auch hier der Bootprozess nicht abgeschlossen.

Regelkreis Abwasserstand (Markus Hofer, Melanie Ostermeier)

Damit eine Funktionsfähigkeit des Regelkreises für den Abwasserstand gewährleistet werden kann müssen verschiedene Bedingungen erfüllt sein. Zunächst muss der Kontaktstab funktionsfähig und unbeschädigt sein. Dies kann im Betrieb der Espressomaschine nicht untersucht werden. Die Ventile Y04, Y08 und Y11 müssen geschlossen sein. Da es sich hier um Magnetventile handelt sind auch diese nicht während des Betriebes der Espressomaschine überprüfbar. Zuletzt ist es wichtig, dass der Abwasserbehälter korrekt eingesetzt wird. Allerdings ist auch hier keine Überprüfung möglich, da nach derzeitigem Stand kein Funktionsschalter/Positionsschalter für den Abwasserbehälter vorgesehen ist.

Mögliche Fehler:

Im Rahmen des Regelkreises für den Abwasserstand ist es möglich, dass einzelne Ventile (Y04, Y08, Y11) nicht geschlossen werden. Dies hat variable Auswirkungen auf den Regelkreis:

• Y04 geöffnet: Wird das Ventil Y04 nicht geschlossen, so wird Frischwasser direkt über die Abwasser- bzw. Entwässerungsleitungen abgepumpt. Dies betrifft die Funktionen Kaffee-/Teebezug, Boilerbefüllung und Spülung.
• Y08 geöffnet: Wird das Ventil Y08 nicht geschlossen, so wird Wasser/Kaffee bei Teewasser-/Kaffeebezug direkt in den Abwasserbehälter gepumpt. Für die Durchführung einer Spülung/Rückspülung hat dies keine Auswirkungen.
• Y11 geöffnet: Wird das Ventil Y11 nicht geschlossen, so läuft das Restwasser vom Dosierventil bis zum Ventil Y06 weiter in den Abwasserbehälter.

Es ist möglich, dass die Kontaktstäbe innerhalb der Espressomaschine verbogen sind. Dadurch geben die Kontaktstäbe ein dauerhaftes Signal ab und der Abwasserbehälter wird dauerhaft als voll angezeigt. Da die Regelkreise im Programmablauf oberste Priorität aufweisen ist ein Kaffee-/Teewasserbezug nicht mehr möglich solange das Problem nicht behoben wird.

Ist die Verbindung zwischen den Kontaktstäben und dem Mikrocontroller unterbrochen und es wird kein Signal weitergegeben so wird der Behälter für die Software als dauerhaft leer angezeigt. Damit ist ein Überlaufen des Abwasserbehälters möglich.

Bei Setzen eines internen Flags der Software ohne der Ausgabe einer Warnung auf dem Display an den Bediener ist die Kaffeemaschine nicht mehr betriebsbereit. Dies wird dem Bediener jedoch nicht mitgeteilt.

Spülung/Rückspülung (Markus Hofer, Melanie Ostermeier)

Bedingungen:

Zur Durchführung einer Spülung/Rückspülung müssen alle Regelkreise aktiv und funktionsfähig sein. Dazu zählen die Regelkreise für Volumenstrom, Boilerdruck, Boilerbefüllung und Abwasserstand. Die Funktionsfähigkeit kann während des Betriebs nicht ermittelt werden. Das ist nur bei der Inbetriebnahmeprüfung bzw. Abnahmeprüfung möglich. Während der Spülung müssen die Ventile Y01, Y06 und Y07 geöffnet werden. Zudem muss vor Beginn der Spülung in der Brühgruppe ein Druck von ca. 0 bar herrschen, um die Funktionsfähigkeit des Drucksensors zu gewährleisten.

Spülung

Bei der Spülung ist es möglich, dass das Ventil Y06 oder Y07 nicht schalten. Dadurch steigt der Druck in den Leitungen, aber dieser wird nicht vom Drucksensor in der Brühgruppe erfasst. Die Durchführung der Spülung ist gestört.

Ein weiterer Fehler wäre, dass der Durchflussmesser einen Durchfluss ausgibt, aber keiner vorhanden ist. Dies entsteht entweder durch Undichtigkeit oder durch Pulsationen von der Pumpe. Es hat sich gezeigt, dass bei geschlossenen Ventilen und laufender Pumpe sich Druckpulsationen bilden und der Durchflussmesser diese als Durchfluss erkennt. Daraus resultiert ein unlogischer Wert des Durchflussmessers. Die Spülung wird wenn die Druckpulsationen exakt mit den Soll-Werten übereinstimmen trotzdem durchgeführt.

Durch ein permanent geöffnetes bzw. angesteuertes Dosierventil kann der Regelkreis Wasserbezugstemperatur nicht die erforderliche Solltemperatur erreichen.

Am Ende der Spülung werden alle Ventile geschlossen. Wenn dies nicht geschieht ergeben sich unterschiedliche Szenarien.

• Ventil Y01 schließt nicht: Die Frischwasserzuleitung ist permanent geöffnet.
• Ventil Y06/Y07 schließt nicht: Das hat keine Auswirkungen, wenn Y01 schließt/geschlossen ist.
• Ventil Y01 und Y06 schließen nicht: Die Frischwasserzuleitung ist geöffnet, dadurch wird Wasser durch die Wasserwendel geleitet und verdampft (130°C im Boiler). Aufgrund der Eigeschaften des Wasserdampfes dehnt sich dieser aus und bewirkt einen Druckaufbau.
• Ventil Y01, Y06 und Y07 schließen nicht: Eine dauerhafte Spülung wird durchgeführt.

Unterscheidung Spülung/Rückspülung

Bedingungen

Vor der Durchführung einer Spülung/Rückspülung wird eine Unterscheidung dieser beiden Funktionen vorgenommen. Das System führt eine Rückspülung bei Überschreiten eines bisher noch nicht definierten Systemdrucks durch. Wird also ein steigender Systemdruck erkannt, so wird eine Rückspülung durchgeführt.

Ist der Drucksensor an der Brühgruppe defekt so wird eine Spülung durchgeführt, auch wenn ein Blindsieb eingesetzt ist und der Druck somit steigt. Die Kaffeemaschine wird erst eine Rückspülung durchführen wenn der Durchflussmesser keinen Durchfluss mehr misst.

Bei Ausgabe unlogischer Spannungswerte (es sind sprunghafte Änderungen des Signals möglich) durch den Drucksensor an der Brühgruppe sind die Auswirkungen auf die Durchführung einer Rückspülung nicht vorhersehbar.

Bei Defekt des Durchflusssensors wird der erforderliche Systemdruck zur Durchführung einer Rückspülung nicht erreicht, da durch die Software kein Durchfluss erkannt wird und die Pumpe somit gestoppt wird.

Spülung

Bei Ausgabe eines unlogischen Signals durch den Durchflusssensor ist es möglich, dass die Spülung frühzeitig beendet wird, da ein zu hoher Durchflusswert an den Mikrocontroller übermittelt wird. Ebenfalls ist es möglich, dass die Spülung zu lange ausgeführt wird, da ein zu geringer Durchflusswert an den Mikrocontroller übergeben wird.

Im Worst-Case-Szenario ist es ebenfalls denkbar, dass sowohl der Druck- als auch der Durchflusssensor einen Defekt aufweisen. “Vermutlich” passiert nichts, die Spülung wird zwar gestartet, wird aber aufgrund des fehlenden Durchflusses sofort beendet.

Bei Ausgabe unlogischer Spannungswerte durch den Druck- und den Durchflusssensor sind die Auswirkungen auf die Unterscheidung nicht vorhersehbar.

Rückspülung

Bei fehlerhafter Kalibrierung des Temperatursensors hinter dem Dosierventil kommt es zu einer Durchführung der Rückspülung mit zu hoher bzw. zu geringer Wassertemperatur. Es ist möglich, dass dies Auswirkungen auf das Reinigungsmittel bzw. den Reinigungsprozess an sich hat. Dies kann sich beispielsweise durch eine verminderte Reinigungswirkung bemerkbar machen.

Wird ein steigender Druck durch das System erkannt, der Abschaltdruck wird jedoch nicht erreicht, so läuft die Pumpe immer weiter und versucht den systemseitig hinterlegten Soll-Druck aufzubauen. Es besteht die Gefahr von Undichtigkeiten und damit der Zerstörung der Espressomaschine.

Bei der Durchführung einer Rückspülung kommt insbesondere dem Ventil Y08 eine große Bedeutung zu. Hier sind Fehler möglich (Ventil Y08 wird nicht geschlossen oder nicht geöffnet). Da es sich wie bei allen Ventilen der Espressomaschine um Magnetventile handelt ist keine Überprüfung der Schaltung möglich.

Wird das Ventil Y08 im Rahmen der Durchführung einer Rückspülung nicht geöffnet, so ist kein Ablaufen des Wasser-Reinigungsmittel-Gemisches und auch kein Druckabbau in den Leitungen möglich.

Auch ist es möglich, dass das Ventil Y08 zwar geöffnet wird, aber aufgrund einer Verschmutzung o.ä. am Leitungsende kein Druckabbau in den Leitungen stattfindet. Wenn zusätzlich dazu der Drucksensor defekt ist läuft die Rückspülung systemseitig weiter. Da der Siebträger unter Druck steht und manuell entfernt werden muss, besteht hierbei Verletzungsgefahr für den Bediener, beispielsweise durch das heiße Wasser und das Reinigungsmittel (Verbrennungen, Verätzungen).

Wird das Ventil Y08 aufgrund von Verunreinigungen oder eines systemseitigen Fehlers nicht mehr geschlossen, so kann die Einwirkzeit nicht eingehalten werden und das Wasser-Reinigungsmittel-Gemisch wird zwar durch die Leitungen gespült, wird aber auch direkt in den Abwasserbehälter gespült. Das Gemisch spült die Leitungen also, reinigt sie aber nicht. Auch bei einem weiteren Kaffeebezug wird dieser bei Nichtschließen des Ventils direkt in den Abwasserbehälter abgepumpt.

Wird der Timer für die Einwirkdauer durch das System nicht gestartet, so dauert die Rückspülung unendlich lange und es ist keine weitere Funktionsauswahl (z.B. für Kaffee-/Teewasserbezug) mehr möglich bis die Rückspülung intern beendet wird.

Stromsparmodus (Markus Hofer, Melanie Ostermeier)

Bedingungen

Im Stromsparmodus darf der Stromverbrauch der Espressomaschine nach den gesetzlichen Anforderungen nicht mehr als 2,00W betragen. Die Espressomaschine soll nach einer Wartezeit von 15 Minuten automatisch heruntergefahren werden. Hierfür wird nach der Durchführung einer Spülung/Rückspülung bzw. nach dem letzten Teewasser-/Kaffeebezug ein Timer durch den Mikrocontroller gestartet. Bei erneutem Bezug oder der Durchführung einer Spülung wird der Timer zurückgesetzt und wird nach dem erfolgreichen Abschluss der Funktion erneut gestartet. Im Rahmen des Stromsparmodus werden die Regelkreise für den Boilerdruck, den Abwasserstand, den Volumenstrom und die Wasserbezugstemperatur pausiert. Der Durchflussratenmesser muss unbestromt sein. Es dürfen keine Störungen innerhalb der Software vorliegen und es dürfen keine ausgegebenen Warnungen vorliegen. Die Isolation des Boilers soll so beschaffen sein, dass die Wassertemperatur innerhalb der Wartezeit von 15 Minuten konstant gehalten werden kann.

Mögliche Fehler

Ein denkbarer Fehler im Kontext des Stromsparmodus ist, dass der Timer nach dem letzten Kaffeebezug/Teewasserbezug nicht gestartet wird und somit auch der Stromsparmodus nicht aktiviert wird (Regelkreise werden nicht pausiert). Die Konsequenz daraus ist, dass der Stromverbrauch zu hoch ist.

Des Weiteren ist es möglich, dass die Maschine durch einen Fehler in der Software nach dem Ablauf des Timers nicht automatisch abgeschaltet wird. Auch hier ist der Stromverbrauch der Espressomaschine zu hoch.

Auch ein Nichtpausieren der Regelkreise würde sich in einem zu hohen Stromverbrauch der Espressomaschine bemerkbar machen.

Aufwecken

Mögliche Fehler

Innerhalb der Wartezeit von 15 Minuten bis zum automatischen Herunterfahren der Maschine kann die Espressomaschine durch ein erneutes Betätigen des Bedienelementes aus dem Wartezustand aufgeweckt werden. Hier ist es möglich, dass nach der Betätigung des Bedienelementes keine Rückmeldung an den Mikrocontroller gegeben wird und die Espressomaschine nicht startet.

Auch ist wie beim Bootprozess ein Einfrieren der Bedienelemente durch ein Aufhängen der Software denkbar wodurch keine weitere Funktionsauswahl mehr möglich ist.

Boilerbefüllung (Christian Eichholz, Florian Todenhagen)

Die Boilerbefüllung findet immer dann statt, wenn der Boiler komplett leer ist. Andernfalls spricht man von der Boilernachfüllung. Wird die Befüllung des Boilers eingeleitet, kommt es infolge der Einströmung des Wassers zur Druckerhöhung. Durch versagen des Überdruckventils würde sich der Druck immer weiter aufbauen. Das Maximum ist erreicht, wenn der Boilerdruck gleich dem maximalen Pumpendruck ist. In diesem Fall würde kein weiteres Wasser mehr in den Boiler einströmen.

Bei einem fehlerhaften Verhalten des Drucksensors würde dieser ein unlogisches Signal liefern. Wenn dieses Fehlerhafte Signal innerhalb des gültigen Wertebereichs liegt, kann dies zur Folge haben, dass der erfasste Druck nicht dem tatsächlichen Druck entspricht. Hierbei sind zwei Möglichkeiten zu betrachten. Wenn der erfasste Druck niedriger ist als der tatsächliche Druck, würde das Heizelement über die Solltemperatur hinaus aufheizen.

Sollte der erfasste Druck höher als der tatsächliche Druck sein, würde die Solltemperatur nicht erreicht werden.

Es wäre möglich, dass das Signal für erreichen des Sollfüllstandes zu früh gegeben wird. Dies wäre infolge von Bewegungen des Wassers vorstellbar. Als konsequenz wäre die Heizwendel nicht vollständig bedeckt. Dies könnte dazu führen, dass das Wasser nicht auf Solltemperatur gebracht werden kann. Hier besteht auch die Gefahr, dass die Heizwendel überhitzt.

Bei ausbleiben des Signals des Sollfüllstandes wäre eine Überfüllung des Boilers die Folge. Dies könnte eintreten wenn der Sensor infolge von Verkalkung defekt ist.

Sollte der Sensor kein eindeutiges Signal liefern, also ein Impulsartiges Signal ausgeben, würde die Pumpe sowie die zuständigen Ventile Y01, Y03 ständig aktiviert und deaktiviert werden. Dies könnte die Pumpe sowie die Ventile schädigen. Als ursache wären schadhafte Kontaktflächen im Sensor aber auch Verkalkung vorstellbar.

Dichtheit (Christian Eichholz, Florian Todenhagen)

Die Dichtheit ist eine bisher nicht bestätigte Funktion, jedoch wird diese bereits theoretisch ausformuliert um zukünftige Arbeiten zu erleichtern. Es handelt sich hierbei um eine Prüfung der Dichtheit aller Bauteile die bei der Temperaturerhöhung im Boiler beansprucht werden.

In der Funktion gibt es zwei Punkte an denen Fehler entstehen können, der hinterlegte Grenzwert und das Signal des Drucksensors

Zum Einen kann der Grenzwert nicht exakt erreicht werden, wodurch ein Fehler ausgegeben wird obwohl keiner vorliegt.

Zum Anderen kann der Drucksensor ein unlogisches Signal geben. Wird durch das Signal ein höherer als tatsächlicher Druck angegeben, wird der gewünschte Druck nicht erreicht und somit die Dichtheitsprüfung nicht vollständig durchgeführt. Wenn das Signal unter dem tatsächlichen Druck liegt, wird der Grenzwert deutlich überschritten und es können Bauteile zu Schaden kommen.

Der Grenzwert ist bisher nicht definiert, hierfür sind weitere Untersuchungen von Nöten.

Isolation (Christian Eichholz, Florian Todenhagen)

Die Isolation ist eine bisher nicht bestätigte Funktion, jedoch wird diese bereit theoretisch ausformuliert um zukünftige Arbeiten zu erleichtern. Hierbei handelt es sich um eine Prüfung der Isolierung des Boilers, wobei die Temperatur vom Temperatursensor abgegriffen und über einen bestimmten Zeitraum gespeichert wird. Dieser Temperaturverlauf wird mit einem hinterlegtem Verlauf (°C/Min) verglichen.

Ein Fehler kann entstehen indem der Grenzwert nicht exakt erreicht wird und somit eine Fehlermeldung vom System ausgeht obwohl eigentlich keiner vorliegt.

Sollte der Temperatursensor aufgrund einer Störung ein unlogisches Signal geben gibt es zwei mögliche Fehler. Gibt der Sensor eine kleinere Signaländerung weiter, die unter der tatsächlichen Temperaturänderung liegt, gibt das System einen Fehler aus, obwohl die Isolation funktionstüchtig ist. Zeigt das Signal eine Änderung, die über der tatsächlichen Temperaturänderung liegt, gibt das System keinen Fehler aus, obwohl die Isolation nicht ausreicht und verbessert werden muss.

Der Grenzwert für die Temperaturänderung ist bisher nicht definiert, hierfür sind weitere Untersuchungen nötig.

Füllstandsregler (Boiler nachfüllen) (Christian Eichholz, Florian Todenhagen)

Bei zu frühem Signal des Füllstandsreglers für erreichen des Sollfüllstandes wäre der tatsächliche Füllstand zu niedrig. Als auslöser wäre eine Bewegung des Wassers vorstellbar. Als konsequenz wäre die Heizwendel nicht vollständig bedeckt. Dies könnte dazu führten, dass das Wasser nicht auf Solltemperatur gebracht werden kann. Hier besteht auch die Gefahr, dass die Heizwendel überhitzt.

Bei ausbleiben des Signals infolge von Verkalkung, würde der Boiler überfüllt werden. Dies hätte auch eine erhöhung des Boilerdrucks zur Folge.

Sollte das Signal für erreichen des Sollfüllstandes abgegeben werden obwohl der Füllstand unterhalb des Soll ist, liegt ein defekter Sensor vor. In diesem Fall würde der Boiler nicht nachgefüllt werden. Auch hier kann das zur Folge haben, dass die Heizwendel nicht mehr mit wasser Bedeckt ist, und diese Überhitzt.

Tassenwärmer (Christian Eichholz, Florian Todenhagen)

Der Tassenwärmer ist in der bisherigen Version der Maschine nicht verbaut, jedoch eingeplant.

Diese Funktion kann unnötig lange ausgeführt werden indem diese fälschlicherweise ausgelöst wird, indem ein Gegenstand auf den Tassenwärmer abgestellt wird oder der auslösende Taster hängen bleibt und somit durchgehend ein Signal weitergibt. Genauso kann die zu wärmende Tasse länger als nötig stehen gelassen werden und noch mit Dampf behandelt werden, obwohl die Tasse bereits ausreichend gewärmt ist.

Die Zeit, die die Tasse auf dem Tassenwärmer verbringen sollte um eine angenehme Temperatur zu erreichen, ist bisher unbekannt.

Außerdem besteht bei der Nutzung des Tassenwärmers eine Verbrühungsgefahr. Sobald der Taster ausgelöst wird, wird direkt Dampf ausgegeben. Dadurch hat der Nutzer keine Zeit mehr die Hand von der Tasse zu entfernen und kommt mit dem heißem Dampf in Berührung.

Der Taster kann nach einiger Zeit hängen und erst verzögert auslösen. Da kein Dampf kommt, hebt der Nutzer die Tasse nochmal an um den Tassenwärmer zu prüfen. Wenn in diesem Moment Dampf ausgegeben wird, kommt es wieder zum Hautkontakt mit dem Nutzer.

Der Dampf wird am Tassenwärmer mit dem Druck ausgegeben, der im Boiler vorliegt. Ist dieser Druck zu hoch, wird möglicherweise die Tasse beschädigt oder es tritt wieder Dampf mit hoher Geschwindigkeit aus, wodurch es zu Hautkontakt mit dem Nutzer kommen kann.

Sollte sich das System aufhängen oder die Software fehlerhaft arbeiten wird die Dampfausgabe am Tassenwärmer möglicherweise nicht mehr gestoppt, wodurch der Dampf unkontrolliert austritt. Für den Nutzer besteht die Gefahr sich an diesem Dampf zu verbrennen und für den Boiler würde das einen immensen Druckabbau bedeuten, der erst wieder aufgebaut werden muss.

Außerdem können die benötigten Ventile nicht oder falsch schalten. Wenn Y05 nicht oder verzögert schaltet tritt entweder kein Dampf aus, oder Dampf tritt unerwartet aus wodurch eine Gefahr für den Nutzer entsteht. Wenn Y10 zu spät schaltet kann dieses Ventil noch so geschalten sein das der Dampf zuerst zur Dampflanze geführt wird. Somit würde unerwartet Dampf aus der Dampflanze austreten wodurch sich der Nutzer verbrennen kann.

Milchschäumer (Christian Eichholz, Florian Todenhagen)

Es ist möglich den Milchschäumer durch berühren des Tasters ungewollt zu aktivieren. Ebenso könnte der Taster durch einen Defekt hängen bleiben. In diesen Fällen besteht die Gefahr des verbrühens.

Sollte der Taster gedrückt werden, der Dampfaustritt jedoch stark verzögert eingeleitet werden, besteht ebenfalls Verbrühungsgefahr. Vorallem wenn der Benutzer durch das ausbleiben des Dampf einen Defekt vermutet und die Dampflanze visuell oder durch Anfassen überprüfen möchte.

Sollte der Dampf zu plötzlich oder mit zu hohem Druck austreten, wäre eine sinngemäße Nutzung nur schwer oder garnicht möglich.

Es wäre möglich, dass während der Nutzung des Milchaufschäumers ein Softwarefehler auftritt und sich das Betriebssystem der Maschine aufhängt. Dies könnte zur Folge haben, dass dauerhaft und unkontrolliert Dampf aus der Dampflanze austritt. Auch hier besteht Verbrühungsgefahr.

Bei einem defekt oder einem fehlerhaften Verhalten des Ventils Y05 kann es sein, dass kein Dampf oder der Dampf unerwartet stark verzögert austritt.

Bei implementierten Tassenwärmer kann ein fehlerhaftes Verhalten des Ventils Y10 dazu führen, dass Dampf unerwartet aus dem Tassenwärmer austritt. Dies wäre der Fall, wenn das Ventil Y10 zu spät oder garnicht die Schaltposition ändert.

Es wäre vorstellbar, dass durch fehlerhaftes verhalten des Druckreglers im Boiler ein unterdruck herrscht. Wenn in diesem Fall der Milchschäumer aktiviert wird, würde die Milch durch die Dampflanze in den Boiler eingesaugt werden. Dies könnte zu Schädigungen des Systems führen.

Bedienung (Christian Eichholz, Florian Todenhagen) (Konzept nicht ausgearbeitet)

Das Konzept der Bedienung ist noch nicht fertig ausgearbeitet. Im folgenden werden Fehler betrachtet, die allgemein gesehen bei einer vielzahl von möglichen Bedienkonzepten auftreten können.

Es wäre möglich, dass vom Nutzer festgelegte Werte nicht gespeichert werden. Ebenso könnten diese Werte bei abschalten der Maschine gelöscht werden.

Durch fehlerhafte Eingabe oder Nutzung der Maschine könnten auch unrealistische Werte eingegeben werden. Hier sind Werte gemeint die entweder von der Maschine nicht erreicht werden können oder für den vorgesehen Gebrauch ungeeignet sind.

Es würde zu fehlerhaften Verhalten führen, wenn sich zwei oder mehrer Funktionen die zur selben Zeit ausgeführt werden überschneiden. Das Dampfbezugssystem kann unabhängig von dem Wasserbezugssystem betrieben werden. Nur hier wäre es möglich, zwei Funktionen parallel aus zu führen.

Wenn bei bereits aufgetretenem Fehler die Maschine weiterhin betrieben wird und eine weitere Funktion eingeleitet wird, kann dies zu weiteren Komplikationen oder schädigungen der Maschine führen.

Sollte es bei fehlerhaften Verhalten der Maschine nicht möglich sein die Funktion ab zu brechen, kann dies zu Schäden oder Verletzungen infolge von Verbrühung führen.

Ein fehlerhaftes Verhalten kann auch dann auftreten wenn die hinterlegten Parameter aufgrund eines Softwarefehlers falsch eingelesen werden. Dies könnte bei nur geringen Abweichungen zunächst unerkannt bleiben.

Remote-Control (Christian Eichholz, Florian Todenhagen)

Die Remote-Control ist bisher nicht ausgearbeitet, weshalb die folgenden Fehler allgemein gehalten sind und bei Einführung der Funktion erweitert oder nochmals betrachtet werden müssen.

Bei dem festlegen der gewünschten Sollwerte kann zum Einen der Nutzer vergessen diese zu speichern und zum Anderen kann es vorkommen, dass die Maschine die Werte nicht übernimmt und nicht speichert oder fehlerhaft speichert.

Der Nutzer kann Werte eingeben die unrealistisch sind und für die Funktion nicht geeignet sind. Welche Werte hierbei als unrealistisch einzuordnen sind muss noch festgelegt werden.

Wenn der Nutzer eine weitere Funktion auswählt, während eine andere Funktion bereits aktiviert wurde, kann es sein das sich die Funktionen überschneiden und es somit zu einer Fehlfunktion kommt.

Wenn in der Maschine ein Fehler vorliegt und von der Remote-Control eine Funktion ausgelöst wird, kann der vorliegende Fehler noch verschlimmert werden oder weitere Fehler beziehungsweise eine Gefahr für den Nutzer entstehen.

Während der Ausführung einer Funktion kann es vorkommen, dass der Nutzer diese abbrechen möchte. Wenn die Remote-Control eine untergeordnete Handlungsberechtigung hat oder den Kontakt zur Maschine verliert, kann die Funktion nicht abgebrochen werden.

Die Sollwerte können auch an der Remote-Control geändert werden. Dabei können vom Nutzer Werte eingegeben werden welche unrealistisch sind und nicht für die Funktion ausgelegt sind. Diese Parameter können auch fehlerhaft von der Maschine ausgelesen werden.

Bei der Übertragung können auch Fehler auftreten. Infolgedessen würde die Maschine die falsche Funktion aktivieren oder die falschen Werte verwenden.

Es kann vorkommen, dass über die Remote-Control Aufträge unbewusst abgeschickt werden. Zum Einen durch versehentliches Auslösen, zum Beispiel in der Hosentasche des Nutzers, vergleichbar mit einem “Hosentaschenanruf”. Zum Anderen kann ein Auftrag aufgrund eines Netzwerkfehlers mit starker Verzögerung abgeschickt werden, wobei der Nutzer diesen gar nicht mehr abschicken möchte.

Als Vorschlag soll hier auch auf die Gefahr durch Fremdnutzung aufgeführt werden. So könnten Kinder unbeaufsichtigt die Maschine bedienen und sich dabei durch heißes Wasser und Dampf in Gefahr begeben.

Presets (Christian Eichholz, Florian Todenhagen)

Bei den Presets besteht die Gefahr dass die gewünschten Werte aus verschiedenen Gründen nicht gespeichert werden.

So kann der Nutzer selbst vergessen die Werte zu speichern oder die Maschine speicher die Werte nicht ab. Auch bei Ausschalten der Maschine können die Werte zurückgesetzt werden, wodurch die Werte zwar für die aktuelle Funktion verwendet werden, aber nach erneutem Einschalten der Maschine wieder eingegeben werden müssen.

Bei den gewünschten Werten kann es sich um unrealistische, zu kleine oder zu hohe Werte handeln. Welche Werte bei den einzelnen Funktionen als unrealistisch, zu klein oder zu hoch gelten ist noch nicht festgestellt.

Wenn das Preset von der Maschine geladen wird kann hierbei ein falsches Preset geladen werden oder es werden nur teilweise die gewünschten Werte bzw. die falschen Werte geladen.