← Zurück zu Einblicke

Omron D6F Luftstrom-Sicherheitssystem: Fehlabschaltungen im Medizingerät vermeiden

NDA-sichere Fallstudie mit Engineering-Fokus: ein Exhaust Airflow Monitoring System mit zwei Omron D6F MEMS-Luftstromsensoren für ein komplexes diagnostisches Medizingerät.

Das System sollte chemische Dämpfe im unteren Gerätebereich über einen produktionsseitig installierten Abluftkanal sicher abführen. In der Feldinstallation traten wiederholt Alarme und Abschaltungen wegen „zu niedrigem Luftstrom“ auf. Die Ursache lag nicht in zufälligen Sensorfehlern, sondern in Annahmen zu Strömung, Einbau und Signalverarbeitung.

TL;DR

• Die Feldalarme waren Folge von Turbulenzen, Geometrie und Einbau-Bias, nicht von Sensorrauschen.
• Die D6F-Anforderung an gerade Einlauf-/Auslaufstrecken (10x/5x) wurde ignoriert.
• Redundanzlogik verschärfte das Problem, weil beide Sensoren unterschiedliche Strömungszonen sahen.
• Spannungs-zu-Volumenstrom-Umrechnung und Dukt-Durchmesser waren falsch.
• Die Lösung kombinerte mechanische Guidelines, korrigierte Skalierung und IEC-62304-Evidence.

1) Problemstatement (Symptome in Produktionsinstallationen)

Ein altes Sicherheitskonzept basierte auf einem Detektor mit jährlichem Austausch und hohem Aufwand. Es wurde durch ein Exhaust Airflow Monitoring System ersetzt, das den Luftstrom mit zwei Omron D6F Sensoren redundant überwacht. Im Labor funktionierte das Setup stabil. In den Produktionsinstallationen kam es zu intermittierenden Niedrig-Luftstrom-Alarms, die zu Sicherheitsabschaltungen führten.

Feldlogs zeigten inkonsistente Sensorausgaben, insbesondere nach Änderungen am Abluftkanal. In mehreren Fällen lag der reale Abzug vor, wurde aber falsch interpretiert. Eine saubere Ursachenanalyse erforderte eine Re-Derivation von Luftstromphysik, Sensorintegration und Embedded-Verarbeitung.

2) Warum „im Labor ok“ und im Feld instabil (Turbulenz, Geometrie)

Im Labor wird meist mit geraden, symmetrischen Rohren und bekannten Flow-Sourcen gearbeitet. So entsteht ein entwickeltes Geschwindigkeitsprofil am Sensor. In der realen Installation kamen Bögen, Reduzierer und kurze Gerade unmittelbar vor dem Sensor hinzu. Dadurch entstanden Turbulenzen, Drall und ein asymmetrisches Geschwindigkeitsprofil.

Ein zentraler Fehler: Der Abluftkanal hatte eine Biegung nahe dem Sensor. Die Biegung erzeugte Sekundärströmungen, sodass die lokale Geschwindigkeit an der Sensorposition nicht mehr repräsentativ für den Gesamt-Volumenstrom war.

3) Übersehene Handbuchanforderung: laminare Strömung & Geradeausstrecken

Die D6F-Installationshinweise fordern explizit eine stabile Strömung:

• “Provide a straight pipe length of about 10x the orifice diameter at the inlet.”
• “Keep about 5x at the outlet, or use a buffer tank or orifice to reduce turbulence.”

Im Feld lagen Bögen und Fittings innerhalb dieser Strecken. Das bedeutet: der Sensor arbeitete im turbulenten Bereich und sah eine instabile Geschwindigkeitsverteilung. Das Handbuch nennt zudem konkrete Mitigations: eine kurze Einlaufhilfe (ca. 5 mm), ein Puffer-Volumen oder eine Drossel am Auslass sowie eine definierte Ausrichtung/Rotation per Jig. Diese Punkte waren in der mechanischen Spezifikation nicht umgesetzt.

4) Redundanz-Fallstricke: wenn 2 Sensoren die Zuverlässigkeit senken

Die Redundanzlogik nutzte zwei Sensoren im selben Dukt und entschied per Voting/Lowest-Wins. Das funktioniert nur bei identischer Strömungszone. Hier war das Geschwindigkeitsprofil jedoch nicht uniform, sodass beide Sensoren systematisch unterschiedliche Werte lieferten.

Zwei Integrationsfehler machten den Unterschied dauerhaft:

• Einbau-Bias: Der D6F-Einlass ist asymmetrisch relativ zur Sensorachse. Beide Sensoren wurden symmetrisch montiert, wodurch sie unterschiedliche effektive Strömungszonen abtasteten.
• Drall-Empfindlichkeit: Bogen und Fittings erzeugten Drall; ein Sensor sah konsistent niedrigere Geschwindigkeiten und triggte die Abschaltung.

Redundanz erhöht die Sicherheit nur, wenn Mismatch sauber klassifiziert wird. Eine harte „kleinster Wert gilt“-Logik senkt in turbulenter Strömung die Verfügbarkeit.

5) Signalumsetzung & Sensor-Sizing: Spannung, Volumenstrom, Duktgeometrie

Die D6F-Serie liefert eine analoge Ausgangsspannung mit spezifischer Transferfunktion. In der Feld-Implementierung war die Spannung-zu-Flow-Umrechnung falsch und der angenommene Dukt-Durchmesser stimmte nicht mit der realen Geometrie überein. Damit wurde die Geschwindigkeit auf einen falschen Volumenstrom hochgerechnet.

In der Embedded-Logik verstärkten harte Schwellwerte sowie Filter- und Fault-Handling die Abweichungen zu Fehlabschaltungen.

Zwei weitere Punkte verschärften das Problem:

• Der gewählte D6F-Range war für die tatsächliche Strömung zu klein, sodass der Sensor in den nichtlinearen Bereich geriet.
• Offset und Temperaturdrift wurden nicht sauber gegen die ADC-Skalierung abgeglichen, wodurch Filterung Transienten verschob und Alarme auslöste.

6) Fix-Strategie: mechanisch + Software + Verifikationsnachweis

Wir haben den erforderlichen Volumenstrom und den erwarteten Geschwindigkeitsbereich aus Duktgeometrie und Extraktionsbedarf neu abgeleitet. Damit konnten Range-Auswahl und Umrechnung korrigiert werden. Parallel wurden die D6F-Guidelines und die Strömungsphysik erneut bewertet.

Kernmassnahmen:

• Experimentdesigns, um echten Low-Flow von Messartefakten zu trennen (Stufentests, definierte Obstruktion, Referenzmessung).
• Neue mechanische Vorgaben: Geradeausstrecken vor/nach dem Sensor oder definierte Mitigations (Einlaufhilfe, Puffer/Orifice, fixe Ausrichtung).
• Korrigierte Skalierung und Umrechnung inkl. Duktfläche, Offset-Handling und Saturationsgrenzen.
• Redundanzlogik mit Plausibilitätschecks, Mismatch-Detektion und Degraded-Mode statt harter Abschaltung.
• Filter- und Fault-Handling-Updates, die Fehlalarme reduzieren ohne echte Fehler zu maskieren.

7) Evidence & Dokumentation: aktualisierte Artefakte (IEC 62304 / ISO 14971)

Die Änderung war sicherheitsrelevant und fiel unter regulierte Change Control. Zudem hatte sich die anwendbare IEC-62304-Version und der QMS-Kontext seit der Ursprungsfreigabe geändert. Deshalb wurden nicht nur Inhalte, sondern auch Templates, Checklisten und Traceability-Mappings aktualisiert.

• Aktualisierte Anforderungen: Flow-Range, Geradeausstrecken, Sensorplatzierung.
• Design Notes und Design Rationale zu Strömung, Einbau-Bias und Redundanzannahmen.
• Verifikationsplan und Testresultate für Labor- und Feldgeometrien.
• Definierter Regression-Scope mit begründeter Re-Test-Auswahl.
• Risikomanagement-Verknüpfung nach ISO 14971 (Hazards, Kontrollen, Residual Risk).
• IEC-62304-Lifecycle-Updates: neue/aktualisierte Checklisten, Templates, Traceability-Artefakte.

8) Häufige Fehler (Checkliste)

• Sensor nahe an Bögen, Ventilen oder Reduzierern montieren.
• Redundanz als einfache „kleinster Wert gilt“-Regel definieren.
• Asymmetrischen Einlass ignorieren und Sensoren spiegelgleich platzieren.
• Duktfläche aus Zeichnungen statt aus gemessenen Ist-Massen verwenden.
• Generische Spannung-zu-Flow-Formeln statt D6F-Transferfunktion nutzen.
• Filterung als Lösung für Mismatch statt als Diagnoseinstrument einsetzen.

9) Wann Unterstützung sinnvoll ist

Wenn Luftstromalarme im Feld auftreten, obwohl der Abzug vorhanden ist, oder wenn eine Redundanz-Umstellung unter IEC 62304 geplant ist, lohnt sich ein fokussierter Review. Für Unterstützung melden Sie sich .

Contact us

Passende Leistungen

• CSV & CSA für MedTech-Softwaresysteme (IEC-62304-Kontext)
• CSV/CSA für Produkt- und Fertigungs-Supportsysteme
• Anlagenqualifizierung (DQ/IQ/OQ/PQ)
• Prüfstände & Vorrichtungen für Verifikation & Fertigung

Weitere Einblicke

• Windows CE zu Windows 10 IoT Migration (IEC 62304)
• Dokumentationslücken, die Freigaben verzögern

Wenn späte Anforderungen oder Testbarkeit Retrofits auslösen, siehe verifikationsgetriebene Entwicklung in MedTech.