Automatisierte Generierung von Sicherheitstests für variantenreiche Produktionssysteme mittels - ECAD
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
at – Automatisierungstechnik 2020; 68(5): 375–386
Anwendungen
Simon Ziegltrum* und Birgit Vogel-Heuser
Automatisierte Generierung von Sicherheitstests
für variantenreiche Produktionssysteme mittels
ECAD
Automated safety test generation for variant-rich production systems using ECAD
https://doi.org/10.1515/auto-2020-0028 1 Einleitung
Empfangen 26. Februar 2020; angenommen 26. März 2020
Die Nachfrage nach immer flexibleren und verstärkt kun-
Zusammenfassung: Die effiziente und vollständige Qua-
denspezifischen automatisierten Produktionssystemen
litätssicherung der Sicherheitstechnik von automatisier-
(aPS), teils bis Losgröße 1, steigt stetig an. Dies stellt die
ten Sondermaschinen stellt für deren Hersteller eine gro-
Hersteller von Sondermaschinen vor zunehmend komple-
ße Herausforderung dar. Die Erstellung konsistenter Test-
xe Herausforderungen bei der Gestaltung entsprechend
prozeduren erfolgt manuell oder erfordert hohen Model-
angepasster Entwicklungsabläufe. Die enorme Vielfalt
lierungsaufwand. Folglich untersucht dieser Beitrag ein
und Variabilität der Anlagen erfordert flexible Prozesse
Konzept, um notwendige Tests vollautomatisch aus ECAD-
für Qualitätssicherung und Tests der Anlagen, da diese
Dokumenten abzuleiten. Hierzu werden basierend auf in-
für jede einzelne Sondermaschine auf die jeweils unter-
dustriellen Checklisten Testmodelle abgeleitet sowie ein
schiedliche Funktionalität und Hardware angepasst wer-
ECAD-Modell eingeführt. Anhand eines industriellen An-
den müssen. Besonders kritisch ist dies für Abläufe zur
wendungsfalls wird die Funktionsfähigkeit des Ansatzes
Prüfung der Sicherheitstechnik, da sie stets vollständig,
demonstriert sowie das Potential einer solchen Methode
systematisch und mit gleichbleibend hoher Qualität getes-
diskutiert.
tet werden muss. Hinzu kommt, dass Anlagenfunktionen
Schlagwörter: Testverfahren, Mechatronische Systeme, in der Regel nicht nur von einzelnen Komponenten aus-
ECAD, Entwicklung geführt werden, sondern eine Vielzahl von Komponenten
im Zusammenspiel agiert. Im Kontext dieser komplexen,
Abstract: The efficient and complete quality assurance of
permanent im Wandel befindlichen Systeme stellt die wie-
the safety equipment of automated special purpose ma-
derkehrende manuelle Identifikation und Abdeckung al-
chines represents a great challenge for their manufactur-
ler relevanten zu testenden Subsysteme für Testingenieure
ers. The creation of consistent test procedures is done
daher eine große Herausforderung dar.
manually or requires high modeling effort. Consequently,
Vorteilhaft ist deshalb ein Verfahren, bei dem
this paper examines a concept to derive necessary tests
Testanleitungen sowie Testzusammenstellungen für
fully automated from ECAD documents. For this purpose,
Komponenten- und Integrationstests systematisch und
test models are derived based on industrial checklists and
automatisiert aus generischen Vorlagen sowie aus den
an ECAD model is introduced. The functionality of the ap-
Dokumenten abgeleitet werden, die ohnehin bereits ma-
proach is demonstrated and the potential of such a method
schinenspezifisch erstellt werden müssen. Der weitere
is discussed on the basis of an industrial application case.
Beitrag gliedert sich wie folgt: Anhand realer industri-
Keywords: testing, mechatronic systems, ECAD, engineer- eller Testprozeduren für Sondermaschinen werden An-
ing forderungen für eine automatisierte Testgenerierung der
Sicherheitstechnik von Sondermaschinen abgeleitet (Ab-
*Korrespondenzautor: Simon Ziegltrum, Technische Universität schnitt 2). Davon ausgehend werden bisherige Verfahren
München, Lehrstuhl für Automatisierung und Produktionssysteme, zur modellbasierten Testgenerierung beleuchtet und auf
Boltzmannstr. 15, 85478 Garching bei München, Deutschland,
deren Eignung geprüft (Abschnitt 3). Anschließend wird
E-Mail: s.ziegltrum@tum.de
Birgit Vogel-Heuser, Technische Universität München, Lehrstuhl für ein Anwendungsbeispiel eingeführt, anhand dessen ein
Automatisierung und Produktionssysteme, Boltzmannstr. 15, 85478 alternatives neuartiges Konzept zur Testgenerierung er-
Garching bei München, Deutschland, E-Mail: vogel-heuser@tum.de läutert werden kann (Abschnitt 4). Daran wird mittels rea-
Open Access. © 2020 Ziegltrum and Vogel-Heuser, publiziert von De Gruyter. Dieses Werk ist lizenziert unter der Creative Commons Attribution
4.0 Public Lizenz.
376 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests
ler Testprozeduren von Sondermaschinen aufgezeigt, wie somit unabhängig von der Maschine sind, an einer ein-
diese vollständig automatisiert aus Dokumenten der Elek- zelnen Komponente oder an einer Vielzahl unterschied-
trokonstruktion generiert werden können. Durch Kombi- licher Komponenten ausgeführt werden müssen. Eine im
nation digitaler elektrischer Konstruktionspläne (ECAD), Kontext der Sicherheitstechnik besonders große Heraus-
die ein partielles Abbild der zu testenden Sicherheitstech- forderung ist hier die Sicherstellung der Testabdeckung
nik enthalten, mit Beschreibungen der bauteilinternen und somit der explizite Test jeder Sicherheitskomponente
Verschaltung und generischen Anleitungen atomarer Ein- und –funktion einer Maschine über die Domänen Mecha-
zeltests von Teilsystemen wird die notwendige Dokumen- nik, Elektrik und Informationstechnik hinweg. Dies erfor-
tation zur anschließenden Testdurchführung von Sicher- dert wiederum die konkrete Verknüpfung und Anreiche-
heitsfunktionen, z. B. im Rahmen einer Inbetriebnahme, rung der Anweisungen mit maschinenspezifischen Cha-
generiert (Abschnitt 5). In Abschnitt 6 wird das vorgestell- rakteristika. Hierzu zählt zum einen die Instanziierung ei-
te Konzept anhand dreier Testklassen unterschiedlichen nes Testfalls für jedes Sicherheitsgerät. Wurden alle Geräte
Kontexts am Anwendungsbeispiel demonstriert und des- einer Maschine einzeln erfolgreich getestet, folgt der sys-
sen Eignung entsprechend der Anforderungen sowie ein tematische Test aller Sicherheitsfunktionen, welche durch
Ausblick auf zukünftige Arbeiten diskutiert. Abschließend Interaktion einer Vielzahl von verbauten Geräten im Zu-
wird eine Zusammenfassung des Beitrags gegeben (Ab- sammenspiel implementiert werden.
schnitt 7).
Anforderung A1. Eine automatisiert generierte Testproze-
dur muss alle relevanten Aspekte der Sicherheitsgeräte und
–funktionen einer spezifischen Ausprägung einer Sonder-
2 Anforderungen an die maschine abdecken.
automatisierte Testgenerierung
Durch Auswertung von realen industriellen Testprozedu- 2.2 Aufwandsminimierung zur
ren wurden mehrere Anforderungen an eine automati- maschinenspezifischen
sierte Testgenerierung abgeleitet. Diese haben das Ziel, Modellerstellung
gleichwertige, konsistente und vollständige Testprozedu-
ren für die Sicherheitstechnik von Sondermaschinen ef- Neben einem möglichen Qualitätsgewinn der Testanlei-
fizienter automatisiert zu generieren als bisher manuell tungen hinsichtlich Abdeckung und Konsistenz durch den
möglich. Basierend auf Experteninterviews wurden Anfor- Einsatz von Testgenerierung ist ebenso ein Effizienzzu-
derungen an das Generierungsverfahren sowohl logischer wachs bei der Testerstellung treibender Faktor der Indus-
als auch organisatorischer Natur ermittelt, welche im Fol- trie. Die Generierung von Testsuiten anhand Maschinen-
genden diskutiert werden. Die befragten Experten ent- plänen als Modellen stellt einen Teilbereich des Modell-
stammten vier Unternehmer: zweier repräsentativer Her- basierten Testens (MBT) dar. Der Einsatz von MBT ist für
steller von Sondermaschinen, einem Unternehmen mit Firmen ökonomisch aber nur dann sinnvoll, wenn der zu-
jahrzehntelanger Erfahrung in der Optimierung des ECAD- sätzlich notwendige Aufwand zur Modellerstellung die De-
Einsatzes als Teil der Engineeringkette sowie einem ECAD- fizite konventioneller Methoden nicht überwiegt. Dies ist
Softwareanbieter und Trainingsunternehmen für dessen im Sondermaschinenbau von besonders großer Relevanz.
Einsatz. Im Unterschied zum Serienmaschinenbau müssen Model-
le bei Produkten mit Losgröße 1 für jeden Auftrag spezi-
fisch angepasst oder sogar von Grund auf neu erstellt wer-
2.1 Format und Umfang der Testprozeduren den. Eine Amortisierung durch vielfache Wiederverwen-
dung eines identischen Modells ist hier nicht möglich. Ide-
Eine der wichtigsten Voraussetzungen zur erfolgreichen
al wäre es deshalb Dokumente zu verwenden, welche für
Testdurchführung sind nach Ansicht der befragten Fir-
die Konstruktion einer Maschine ohnehin bereits spezi-
men konsistente, vollständige und maschinenspezifische
fisch erstellt werden müssen.
Testanleitungen. Verbreitet in der Industrie sind hierzu
Protokolle in Form von Checklisten. Hierin besteht ein Anforderung A2. Die maschinenspezifische Testgenerie-
Test zumeist aus mehreren chronologisch auszuführenden rung muss anhand von Modellen erfolgen, welche ohne
Schritten, welche entweder organisatorischer Natur und zusätzlichen Modellierungsaufwand zur Verfügung stehen.
S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 377
2.3 Einmalige Formalisierung von Testfällen Im Bereich des Software Engineering von aPS wurden
und Mapping-Kriterien bereits große Fortschritte hinsichtlich MBT erzielt. Weit
verbreitet ist die Darstellung der Systemstruktur und des
Die maschinenspezifische Generierung und Instanziie- Systemverhaltens mittels formaler Modelle wie denen der
rung von Testfällen anhand der Maschinenmodelle erfolgt UML, SysML oder Automaten [2], [3]. Genutzt werden unter
im MBT anhand logischer Regeln. Diese Regeln müssen anderen Sequenzdiagramme [4], Aktivitäts- und Use Case-
ebenso effizient und deterministisch erstellt werden kön- Diagramme [5], [6], Zustandsdiagramme [7] sowie Timing-
nen. Im Unterschied zu den Maschinenmodellen stellen Diagramme und FMEA [8], um davon ausgehend automa-
Mapping-Kriterien eine Verknüpfung zwischen den varia- tisiert Tests des Systemverhaltens abzuleiten. [9] nutzen
blen Modellen einer spezifischen Maschine und den zu- SPeNAt sowie [10] Ontologien zur Modellierung des Sys-
meist statischen Testartefakten wie generischen Vorlagen temverhaltens aus Steuerungssicht sowie zur Generierung
dar. Sie benötigen daher eine ausreichende Parametrier- von sicherheitskritischen Testfällen. [11] nutzen Finite Sta-
barkeit, ähnlich mit Suchmustern, um diese beiden Model- te Machines zur Beschreibung des Verhaltens der Steue-
le zu verknüpfen, so dass sie nur einmalig definiert wer- rungssoftware. Auch wenn die betrachteten Ansätze in der
den müssen und anschließend für viele Maschinen wie- Software-Domäne eine gute Testqualität und -abdeckung
derverwendet werden können. Sie bilden die Information erzielen, sind Wechselwirkungen innerhalb der Maschi-
ab, an welchen Komponenten ein bestimmter Test ausge- nenhardware durch reine Softwaretests nur indirekt beob-
führt werden muss. achtbar. Besonders im Kontext der Prüfung der Maschi-
Als Gegenstück zu den maschinenspezifischen Mo- nensicherheit sind Funktionen teilweise redundant und
dellen sind abschließend Prototypen der zu generieren- deren Logik rein in Hardware umgesetzt, so dass deren
den Testfälle notwendig, welche mit Hilfe der Mapping- Funktionsfähigkeit für die Steuerung unsichtbar bleibt.
Kriterien maschinenspezifisch instanziiert werden, falls [12] beschreibt einen Ansatz zur Modellierung al-
sie für eine Maschinenvariante zutreffend sind. Sie bilden ler Domänen von aPS mittels SysML4Mechatronics. Die
hierzu firmenspezifische oder rechtliche Vorgaben ab, wie umfassende Darstellung von Sicherheitsverschaltungen
ein bestimmter Test durchzuführen ist. und deren Weiterverwendung zur Generierung systemati-
scher Testsuiten fehlt aber bisher. In [13] wird ein semi-
Anforderung A3. Regeln zur Instanziierung von Testfällen automatischer Ansatz zum Testen von aPS verfolgt, indem
auf Basis von Vorlagen sowie die Vorlagen selbst müssen der Tester mittels Human Machine Interface in den Testab-
nach einmaliger Definition für ein breites Spektrum an Ma- lauf integriert wird. Testfälle müssen aber auch hier sowie
schinenvarianten eines Herstellers wiederverwendbar sein. in [14] einzeln manuell mit Hilfe eines Tabellenformats de-
finiert werden.
Trotz eingehender Untersuchung und Fortschritten
3 Bisherige Verfahren zur von Modelbasierten Systems Engineerings (MBSE) in der
Wissenschaft, findet MBSE in der Industrie bisher noch
Testgenerierung wenig Anwendung [15]. Häufig werden ein fehlender Mehr-
wert und der zu große Aufwand zur Erstellung der Mo-
MBT bezeichnet ein Vorgehen, bei dem ausgehend von ei- delle als Hemmnisse der Industrie genannt [16]. Zur Auf-
nem validen Modell eines Systems Under Test (SUT), be- wandsreduktion bei der Modellerstellung und dem MBT
stehend aus Aufbau sowie Verhalten des Testobjekts, Test- im variantenreichen Maschinenbau existieren eine Viel-
fälle zu dem Zweck abgeleitet werden, Abweichungen des zahl möglicher Ansätze: [17] setzt beispielsweise Feature-
realen Testobjektverhaltens vom modellierten Sollverhal- Modellierung zur Erstellung der Verhaltensmodelle sowie
ten nachzuweisen oder das Vertrauen in die Übereinstim- der Selektion varianten-relevanter Testfälle ein. Gleiches
mung des Objektverhaltens mit dem Sollverhalten abzu- gilt für eine Vielzahl etablierter Verfahren zum Modul- und
sichern [1]. Zur erfolgreichen Anwendung dieses Ansat- Variantenmanagement in der variantenreichen Software-
zes im Sondermaschinenbau muss ein valides, varianten- entwicklung [18]. Laut einer Expertenbefragung unter füh-
spezifisches Verhaltensmodell des aPS vorliegen, das al- renden deutschen Herstellern von variantenreichen Ma-
le für das Testen der Sicherheitstechnik relevanten Domä- schinen werden Modelle soweit möglich aus Baukasten-
nen des Systems wie Mechanik, Elektrik sowie Software systemen konfiguriert, Modelle mittels Copy-Paste-Modify
abbildet und zudem effizient vom Hersteller erstellt wer- erstellt oder 200 %-Modelle manuell auf die jeweilige Ma-
den kann. schinenvariante reduziert [19], [20]. Selbst unter Einsatz
378 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests
dieser Maßnahmen stellen Sondermaschinen mit Losgrö- für die Sicherheitstechnik des variantenreichen Sonder-
ße 1 jedoch eine Herausforderung dar. Alle betrachteten maschinenbaus. Ebenso wenig wurde bisher die Generie-
Methoden erfordern zumindest eine partielle Ähnlichkeit rung domänenübergreifender Tests der Maschinensicher-
der aPS, sei es durch Aufbau aus einem ähnlichen Pool an heit auf Grundlage von variantenspezifischen Bauplänen
Subsystemen oder der Überschneidung von Anforderun- wie Stromlaufplänen betrachtet.
gen oder Features. Zudem sind besonders die Verschrän-
kungen der einzelnen Subsysteme für den Test der Sicher-
heitstechnik essentiell, die bei generischer Modellerstel-
lung meist manuell ergänzt werden müssten. Wird die Si-
4 Einführung des
cherheitstechnik wie häufig als nichtfunktionale Anforde- Anwendungsbeispiels „xPPU“
rung modelliert, kann der Zusammenhang zu involvierten
Features und Komponenten des Systems kaum erfasst wer- Zusätzlich zu drei später für die Evaluation der vorgestell-
den oder erfordert die zusätzliche explizite Modellierung ten Konzepte verwendeten industriellen Projekte wird im
der Abhängigkeiten [21]. Folgenden ein Anwendungsbeispiel in Form eines Labor-
Zusammenfassend wurde bereits eine Vielzahl an demonstrators vorgestellt, welches als Basis zur Erläute-
Konzepten zum MBT von variantenreichen aPS unter- rung in den darauffolgenden Abschnitten dient.
sucht. Diese Konzepte erfordern jedoch teilweise die ge- Bei der extended Pick and Place Unit (xPPU) des
sonderte, zusätzliche Erstellung und Validierung speziali- Lehrstuhls für Automatisierung und Informationssysteme
sierter SUT-Modelle je Maschinenausprägung z. B. im frü- der Technischen Universität München handelt es sich um
hen Engineering. Weitere Konzepte betrachten nur einen eine automatisierte Produktionsanlage mit Mechanik im
Teil der für die Sicherheitstechnik von aPS relevanten verkleinerten Maßstab, jedoch ausgerüstet mit industrie-
Disziplinen der Mechanik, der Elektrik/Elektronik sowie realistischer Automatisierungstechnik und Funktionalität
der Software, was die Berücksichtigung essentieller in- (Abbildung 1) [23]. Aufgabe der xPPU ist die Bearbeitung
terdisziplinärer Abhängigkeiten unmöglich macht. Eine und Logistik verschiedener Werkstücke. Die Maschine ver-
dritte Gruppe an Ansätzen leitet die notwendigen Test- fügt hierfür über ca. 30 elektropneumatische Aktoren so-
fälle mittels gesonderter Maßnahmen zum Variantenma- wie 70 Sensoren und wird zentral von einer SPS gesteuert.
nagement her [22], die aber für aPS mit Losgröße 1 nicht Im Anwendungsfall werden im speziellen die Tests der Si-
geeignet sind. Keine der betrachteten Methoden unter- cherheitsfunktionen der Maschine betrachtet. Die Sicher-
stützt folglich bisher die Generierung von Testprozeduren heitstechnik der Maschine ist Großteils fest verdrahtet und
Abb. 1: Extended Pick and Place Unit des Lehrstuhls für Automatisierung und Informationssysteme der Technischen Universität München.
S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 379
besteht aus einem globalen Sicherheitskreis. Der Nothalt MBT von automatisierten Sonderfertigungsanlagen besei-
wird mittels eines von fünf Nothalt-Tastern, eines Licht- tigen.
vorhangs oder einer überwachten Zugangstür ausgelöst. Aufbauend auf der Untersuchung gängiger, seitens
Als Folge hiervon sollen mittels eines Sicherheitsschaltge- der Industriepartner aktuell eingesetzter Dokumente und
räts alle Aktoren der Maschine in den jeweiligen sicheren Verfahren zum Sicherheitstest sicherer variantenreicher
Zustand übergehen. Dies beinhaltet neben der Abschal- Maschinen- und Anlagenautomatisierung, gliedert sich
tung der Leistungs- und Steuerungsspannung der meisten der neue Ansatz in folgende Schritte, deren Vorteile und
Aktoren auch die Abschaltung der Funktionen durch die Besonderheiten in den folgenden Unterkapiteln einge-
Steuerungslogik der SPS selbst. hend beschrieben werden:
Für die xPPU existieren umfangreiche digitale Doku- 1. Einmalige Erstellung generischer Basistestfälle für
mente des ECAD wie Stromlauf-, Klemmen- und Schalt- wiederkehrende Komponenten
schrankaufbaupläne sowie exemplarische Testprozedu- 2. Variantenspezifische Generierung von Testfällen mit-
ren, welche in enger Zusammenarbeit mit und umfangrei- tels Mapping-Kriterien zwischen Testfallvorlagen und
cher Beratung durch Industriepartner erstellt worden sind ECAD-Komponenten
und wie man sie auch für eine kommerzielle Maschine fin- 3. Eliminierung von falsch-positiven Testmatches mit-
den würde. Die Pläne wurden dabei wie in vielen Firmen tels Pfadverfolgung im ECAD
heute üblich funktional und nicht anhand der Einbauor-
te der Geräte strukturiert. Die Benennung der Betriebsmit-
telkennzeichen (BMK) erfolgte nach EN 61346, erweitert 5.1 Einmalige Erstellung generischer
durch eine firmenspezifische Nomenklatur. Die Dokumen- Basistestfälle
te liegen digital maschinenlesbar für die verbreitete ECAD-
Umgebung e3.series der Zuken GmbH vor. Wie in Experteninterviews mit den industriellen Projekt-
partnern und durch Auswertung gängiger industrieller
Testsuiten ermitteltet werden konnte, weisen aktuell in der
Praxis eingesetzte Testfälle einen stark heterogenen Auf-
5 Konzept bau auf. Um diesen Charakter auch in diesem Konzept
abbilden zu können, ist das den Testfall und -vorlagen
Zur Realisierung einer automatisierten Testfallgenerie- zugrunde liegende Modell mit entsprechend großen Frei-
rung für die Sicherheitstechnik einer Sondermaschine heitsgraden entworfen worden (Abbildung 2). Testfallvor-
gemäß den identifizierten Anforderungen soll nun an- lagen stellen Prototypen dar, auf deren Grundlage in fol-
hand der xPPU ein alternatives Konzept schrittweise genden Schritten maschinenspezifische Testfälle instanzi-
aufgezeigt werden. Zur Abhilfe der Probleme bestehen- iert und parametriert werden können. Jede Testfallvorlage
der Ansätze wäre es besser, die gewünschten Prozedu- kann dabei über beliebig viele Testschritte verfügen, mit-
ren zu Test und Fehlersuche aus detaillierten anlagen- tels derer die einzelnen Schritte einer Testsequenz chro-
spezifischen Dokumenten der fortgeschrittenen Entwurfs- nologisch repräsentiert werden können. Jeder dieser Test-
phase vollautomatisch zu generieren, da diese ohnehin schritte kann wiederum aus beliebig vielen Anweisungen
für die Ausfertigung der Anlage erstellt werden müs- bestehen.
sen. In modernen mechatronischen Automatisierungs- Auf Grundlage der untersuchten bestehenden Test-
anlagen scheinen hierfür besonders die Dokumente der prozeduren der Industrie besteht der Ablauf eines Testfalls
Elektrokonstruktion wie Stromlauf- und Schaltschran- generell aus vier Phasen (Abbildung 3), welche als beliebig
kaufbaupläne geeignet zu sein, da diese sowohl den viele Testschritte modelliert werden:
Informationsfluss als auch den elektrischen, pneuma- 1. Dem Wechsel des SUT in definierte Vorbedingungen,
tischen und hydraulischen Energiefluss in der Anla- z. B. Aktivierung des Automatikmodus der xPPU und
ge abbilden. Ebenso stellen sie die Schnittstelle zwi- Anfahren der Förderbänder
schen Mechanik und Software dar. Durch eine Tren- 2. Der Stimulation einer Komponente, z. B. Unterbre-
nung der Dokumenterstellung in eine für die Produkt- chen des Lichtvorhangs
familie einmalige Erstellung von Vorlagen und die an- 3. Der Beobachtung oder Messung der Testbedingung in
schließende variantenspezifische Generierung der Test- Form der Reaktion einer Komponente auf die Stimu-
suite und Testartefakte durch Instanziierung und Para- lation, z. B. Stopp eines Förderbandes prüfen, sowie
metrierung ließen sich die Mängel bisheriger Ansätze des Entscheidung über Erfolg oder Fehlschlag des Tests
380 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests
Abb. 2: Ausschnitt des Test-Datenmodells.
ten. Der Kontext kann dabei komponentenunabhängig
auf nichts, auf die Stimulationskomponente oder die Ob-
Abb. 3: Standardmodell eines Testablaufs. servationskomponente gesetzt werden. Während atoma-
re Komponententests analog zu Unittests aus dem Soft-
wareengineering lediglich die Funktionalität einer einzel-
4. Die Rücksetzung des Testsubjekts auf definierte Nach- nen Komponente überprüfen, decken (Sub-)Systemtests
bedingungen, z. B. Rücksetzen des Nothalts die Funktionalität zweier miteinander verbundener Kom-
ponenten sowie der dazwischenliegenden Komponenten
Wie in Abschnitt 2 beschrieben, können drei verschiedene im Zusammenspiel ab. Komponentenunabhängige Tests
Typen von Testfallvorlagen unterschieden werden, abhän- wurden im Modell zur Vereinfachung den Vorlagen der
gig von der Anzahl involvierter Testkomponenten: Komponententests zugeordnet, bei denen lediglich kein
– Komponententests, welche eine einzelne spezifische Testkontext gesetzt wird. Eine Komponente kann einem
Hardwarekomponente testen, z. B. Dokumentation Testschritt dabei z. B. zur Stimulation und im nächsten
der Seriennummer eines Notaustasters der xPPU. Testschritt eine andere für die Beobachtung einer Testre-
– (Sub-)Systemtests, bei denen während des Tests ei- aktion zugewiesen werden. Auf diese Weise können eben-
ne spezifische Komponente manipuliert, der Effekt je- falls Tests von Sicherheitsrelais einschließlich des da-
doch an einer anderen Komponente beobachtet wird, zwischenliegenden Signalpfads abgebildet werden: Wird
z. B. Abschaltverhalten eines Förderbandmotors beim ein bestimmter Nothalt-Taster ausgelöst, erhält der Be-
Auslösen eines Notausschalters. nutzer so Anweisungen, entsprechend der Anforderun-
– Komponentenunabhängige Tests, welche die gesamte gen den Zustand aller beobachtbaren Komponenten im Si-
Maschine betreffen und nicht einzelnen Komponen- gnalpfad bis hin zum zugehörigen Sicherheitsrelais und
ten zugeordnet werden können, z. B. Absperren des der Anzeige im Human-Machine-Interface zu überprü-
Arbeitsbereichs vor Beginn der Sicherheitstests. fen.
Für jeden Testschritt kann jeweils eine Komponente, an
der potentiell eine Aktion durchzuführen ist, in Abhän- 5.2 Variantenspezifische Generierung von
gigkeit des Vorlagentyps generisch referenziert werden. Testfällen
Diese Komponente wird auch Testkontext genannt. Ein
Platzhaltersystem erlaubt dabei eine Parametrierung der Für die variantenspezifische Generierung der Testfälle
Tests während der Instanziierung und somit die ergono- auf Grundlage von einmalig durch Experten spezifizierten
mische Darstellung der Tests für den Tester, z. B. durch Testfallvorlagen wurden abhängig vom Typ der Vorlage ge-
Einsetzen von Komponentennamen oder –attributswer- eignete Mapping-Kriterien zwischen Vorlagen und Maschi-S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 381
nenkomponenten identifiziert. Das Mapping aller Testfälle Namenskonventionen und frei definierbare Zusatzattribu-
erfolgt dabei basierend auf ECAD-Dokumenten, selbst von te im ECAD-Modell, um z. B. den zugehörigen Sicherheits-
Testfällen welche Mechanik oder Softwarefunktionalität kreis zu hinterlegen und somit zur Klassifikation einzu-
einschließen. Zur Identifikation bekannter Komponenten setzen. Alle komponentenunabhängigen Tests mussten in
im ECAD wurden wiederkehrende Gruppen von Testfäl- den betrachteten Use Cases für alle Ausprägungen einer
len in bestehenden industriellen Checklisten auf Gemein- Maschinenfamilie durchgeführt werden, weshalb hier kei-
samkeiten hin untersucht. Basierend auf Analysen von ne zusätzlichen Filtermechanismen notwendig sind. Kom-
Unterlagen mehrerer Firmen des Sondermaschinenbaus ponententests jedoch können durch eine Kombination
konnten dabei sowohl Muster in BMKs als auch z. B. Arti- von Regulären Ausdrücken sowie boolescher Algebra ver-
kelnummern als geeignete Zuordnungskriterien ermittelt bauten Komponenten zugeordnet werden. Dabei können
werden. Am Beispiel von e3.series der Zuken GmbH wurde die Suchmuster sowohl positiv als auch negativ formu-
ein Datenmodell erstellt, welches die geeignetsten Merk- liert werden. Durch direkten Zugriff über eine Program-
male für ein Mapping aufzeigt (Abbildung 4). Ein Gerät mierschnittstelle (API) auf die maschinenlesbaren ECAD-
bezeichnet dabei die logische Instanz eines Betriebsmit- Dokumente stehen sämtliche Bauteilattribute sowie das
tels im Stromlaufplan. Es ist Träger des BMK. Dem Gerät BMK für das spätere Mapping der Komponententestfall-
kann eine Komponente zugewiesen werden, welches ei- vorlagen zur Verfügung. Um die Skalierbarkeit der Algo-
nem realen Bauteil entspricht. Ein Gerät muss dabei nicht rithmen auf Projekte industrieller Größe zu gewährleis-
zwingend über eine Komponente verfügen, z. B. im Fall ten, kommen Caching-Mechanismen zum Einsatz. Dabei
von Dummygeräten wie Erdungspunkten. Symbole stellen werden alle relevanten Daten (vgl. Abbildung 4) vor Be-
in der Objektstruktur die grafischen Repräsentanzen eines ginn der Testgenerierung via API ausgelesen und in vor-
ab optimierten Datenstrukturen relational abgelegt. Nach
Geräts im Stromlaufplan dar. Alle diese Objekte können
Auswahl aller gewünschten Vorlagen durch einen Testin-
zudem über benutzerdefinierte und firmenspezifische At-
genieur werden die Suchmuster iterativ mit den einzel-
tribute in Form von Schlüssel-Wert-Paaren verfügen. Einen
nen Betriebsmitteln abgeglichen und somit auf die für
Sonderfall stellen Betriebsmittelgruppen dar, da diese aus
die jeweiligen Testfallvorlagen relevanten Geräte redu-
mehreren Geräten bestehen, welche einer übergeordneten
ziert.
Betriebsmittelgruppe zugeordnet sind und alle dasselbe
Für das Mapping von Systemtestfallvorlagen kön-
BMK besitzen. Die Geräte verfügen aber immer noch über
nen zu Anfang ebenfalls die Kriterien der Komponenten-
unterschiedliche Attribute und können somit anhand die-
tests zur Identifikation der Manipulations- und Observa-
ser in allen untersuchten Anwendungsfällen unterschie-
tionskomponenten angewendet werden. Durch Permuta-
den werden.
tion aller so gefundenen Komponenten ergeben sich ei-
Manche Komponenten wie Pneumatikventile können
ne Vielzahl an möglichen Komponentenpaaren, welche
sowohl sicherheitsrelevant als auch -irrelevant eingesetzt
aber nicht zwingend miteinander interagieren und für die
werden. Viele Firmen verwenden hierfür bereits interne
ein Mapping eines Tests somit nur potentiell sinnvoll wä-
re (Abbildung 5). Bereits in dieser Stufe der Testgenerie-
rung von Systemtests können aber falsch-positive Tupel
eliminiert werden. Häufig teilen miteinander verschalte-
te Komponenten in industriellen Anlagen auf Grund fir-
menspezifischer Nomenklatur Teile ihrer Benennung, wie
z. B. einen Laufindex. Diese Eigenschaft kann mittels Back-
references innerhalb der Regulären Ausdrücke genutzt
werden, um gleiche Fragmente der Benennung im Such-
muster zu annotieren und so lediglich Gerätepaarungen
mit gleicher Nummerierung zu testen. Beispielsweise soll
–QM2 mit –M2 und –QM3 mit –M3 getestet werden aber
nicht kreuzweise.
Abb. 4: Ausschnitt eines ECAD-Datenmodells.382 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests
Abb. 5: Exemplarische Mapping-Kriterien eines Systemtests.
5.3 Eliminierung von falsch-positiven tionen zur Anpassung und Filterung der Suche ergänzt,
Testmatches mittels Pfadverfolgung um die Korrektheit und die Skalierbarkeit der Suchergeb-
nisse auch für Stromlaufpläne von industriellem Umfang
Wurden mittels der Suchmuster aus Abschnitt 5.2 mögli- sicherzustellen (Abbildung 7). Im Fall des Sauggreifers der
che Komponentenpaare zur Instanziierung von System- xPPU, welcher bei Nothalt ein gegriffenes Werkstück nicht
tests aus Testfallvorlagen identifiziert, müssen falsch- lösen darf, kann z. B. ebenso nach Tupeln gefiltert werden,
positive Suchtreffer und somit unnötige oder gar falsche die über keinen gültigen Signalpfad zur Abschaltung ver-
Tests eliminiert werden. Hierfür kann im nächsten Schritt fügen. Somit können auch Tests zur Prüfung dieses siche-
überprüft werden, ob diese Paarungen an Komponenten ren Zustands generiert werden.
in der finalen Maschine miteinander interagieren. Exis-
tieren beispielsweise mehrere Nothalt-Taster und mehre-
re Aktoren in einer Anlage, können diese zwar mittels ih-
rer Attribute gefunden werden, besonders aber in Anla- 6 Exemplarische Anwendung und
gen mit mehreren Sicherheitszonen muss nicht jeder Ak-
tor für jeden Sicherheitstaster abgeschaltet werden. Da ein
Evaluation
Stromlaufplan umfangreiche Informationen über Signal-
Zur Bewertung des vorgestellten Konzepts wurden die Al-
und Energiefluss innerhalb der Maschine enthält, kann
gorithmen prototypisch implementiert und eingehende
durch dessen Analyse automatisiert festgestellt werden,
Versuche mit vier Sondermaschinen mittels der ECAD-
ob zwei Komponenten eines Systems miteinander inter-
Software e3.series der Zuken GmbH durchgeführt: der
agieren und somit gemeinsam getestet werden müssen.
xPPU sowie als drei industriellen Beispielen einem Kühl-
Die exakte Funktionsweise der entwickelten Pfadverfol-
wasserpumpsystem, einer Verpackungsanlage und ei-
gung soll nicht im Fokus dieses Beitrags liegen. Im Gegen-
satz zu konventionellen ECAD-Systemen können Signale ner hydraulischen Presse. Im Fall der Kühlwasserpum-
hiermit jedoch auch über Bauteile mit veränderlicher in- pe wurden mehrere repräsentative Tests entsprechend
terner Kontaktierung wie z. B. einem Schütz hinweg ver- des Konzepts formalisiert und anschließend vollauto-
folgt werden. Hierzu ist die Einbeziehung einmalig anno- matisch generiert. Die hierzu für die Pfadverfolgung
tierter Informationen über den bauteilinternen Signalfluss im Vorfeld einmalig notwendige Annotation der ECAD-
der Bauteile notwendig. Die Annotation erfolgt jedoch auf Bauteildatenbank durch einen Konstrukteur betrug für die
Typenebene und kann so für eine Vielzahl an Bauteilin- 285 einzigartigen Komponenten circa sechs Stunden.
stanzen auf einfache Weise wiederverwendet werden. (Ab- Organisatorische Tests finden zumeist zu Beginn ei-
bildung 6) ner Inbetriebnahme oder eines Sicherheitstests statt. Für
Ausgehend vom Stimulationsgerät eines potentiellen die xPPU wurde die Absperrung des Arbeitsbereichs vor
Tests wird der Pfad zum Observationsgerät im Stromlauf- Testbeginn exemplarisch als komponentenunabhängiger
plan mittels Breitensuche vorwärts bis zu mehreren pa- Test modelliert. Eine komponentenunabhängige Testfall-
rametrierbaren Abbruchkriterien gesucht. Da Signalpfa- vorlage wird immer exakt einmal instanziiert, was auch
de sowie deren Testabdeckung in realen Maschinen sehr den konventionell erstellten Testanleitungen entspricht.
komplex gestaltet sein können, wurden auch für die Si- Ein typischer Gerätetest der xPPU, welcher im Kontext
gnalpfadverfolgung Algorithmen entwickelt und um Op- einer Sicherheitsprüfung häufig durchgeführt wird, ist dieS. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 383 Abb. 6: Exemplarische Pfadverfolgung von Stromeinspeisung bis Aktor. Abb. 7: Optimierungsdialog für Pfadsuche und Systemtestgenerierung.
384 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests
Kontrolle aller Seriennummern der sicherheitskritischen Im ersten Fall wurden fast 50 % einer aktuell produktiv
Komponenten. Bei den Nothalt-Tastern der xPPU handelt eingesetzten Inbetriebnahme-Checkliste in die Software-
es sich um speziell für sicherheitskritische Anwendungen prototypen eingepflegt und erfolgreich vollautomatisch
entwickelte Taster der Firma Siemens. Da diese Taster in reproduziert. Für alle enthaltenen Testschritte konnten
der xPPU ausschließlich für diesen Zweck Verwendung ohne bzw. selten mit minimalen Anpassungen der Strom-
finden, können sie beispielsweise über den Artikelnamen laufpläne geeignete Marker für die vollautomatische Test-
der zugeordneten Komponenten im ECAD-Datenmodell generierung in den Stromlaufplänen identifiziert werden.
problemlos identifiziert und ein Test instanziiert werden. Seitens des zweiten Anwendungsfalls wurden die Soft-
Ebenso können die Türüberwachung anhand dessen Sen- wareprototypen anhand eines Teilausschnitts einer aktu-
sors und der Lichtvorhang identifiziert und durch Nut- ell produzierten Maschine in Form eines vertikalen Durch-
zung von Boolescher Algebra im selben Mapping-Pattern stichs evaluiert. Trotz Selektion besonders schwierig zuzu-
berücksichtigt werden. Der entsprechende Reguläre Aus- ordnender Testfälle konnten auch hier die gewünschten
druck für das Attribut „Component Name“ lautet beispiels- Checklistenausschnitte auf Grundlage der Testfallvorla-
weise „3SB3201-1HA20|1016477|1016478|6025100“. gen wie angestrebt vollautomatisch reproduziert werden.
Für den Test des Sicherheitskreises der Anlage müssen Die notwendige Rechenzeit für die Generierung der Test-
entsprechend der Sicherheitsverriegelungen alle Nothalt- suite betrug jeweils nur wenige Minuten. Obwohl die Soft-
Sensoren zusammen mit dem Anhalten der Bewegung al- wareprototypen speziell für die ECAD-Umgebung e3.se-
ler relevanten Aktoren der xPPU getestet werden. Zusätz- ries umgesetzt worden sind, wurde die Übertragbarkeit der
lich notwendig ist jedoch auch die Kontrolle der Abschal- Konzepte auch auf andere ECAD-Systeme von zwei befrag-
tung von Softwarelogik, Steuer- sowie Leistungsspannung ten Beratungsunternehmen im Bereich der Elektroprojek-
der Aktoren. Wie soeben beschrieben können alle Nothalt- tierung als sehr gut eingeschätzt. Für künftige praktische
Sensoren mittels Artikelnummern identifiziert werden. Versuche mit anderen Softwaresuiten müsste das partiel-
Anhand der Artikelnummern können ebenso alle Pneu- le ECAD-Datenmodells für e3.series auf ein voraussichtlich
matikventile und Elektroantriebe der xPPU identifiziert sehr ähnliches Modell der zu erprobenden Suite gemappt
und gemeinsam mit den Sensoren zu potentiellen Testsub- sowie die Softwareprototypen für die jeweils hochgradig
jekttupeln permutiert werden. Im nächsten Schritt wird herstellerspezifische API adaptiert werden. Bereits im pro-
anhand des Stromlaufplans der xPPU ermittelt, ob zwi- totypischen Implementierungsstand konnte die Funkti-
schen den potentiellen Testpaaren jeweils eine elektrische onsweise der Konzepte mit e3.series erfolgreich nachge-
Verbindung besteht. Da die meisten Aktoren der xPPU im wiesen werden. Es konnten alle erprobten Tests realer in-
sicheren Zustand gestoppt werden müssen, ist diese Su- dustrieller Anwendungsfälle mit Hilfe des Systems vollau-
che für die Mehrzahl der Aktoren erfolgreich, woraufhin tomatisch reproduziert werden (vgl. A1). Die maschinen-
die vollständigen Testprozeduren korrekt erzeugt werden. spezifischen Informationen für das Mapping der Testfälle
Aktoren wie z. B. ein pneumatischer Sauggreifer der xPPU, auf Komponenten der realen Anlage konnten Großteils aus
welche im sicheren Zustand explizit nicht deaktiviert wer- den Stromlauf- und Schaltschrankaufbauplänen einer Ma-
den dürfen, sind elektrisch nicht mit dem zentralen Sicher- schine entnommen werden. Die notwendigen Zusatzattri-
heitsschaltgerät verbunden und erhalten somit auch keine bute könnten nach Einschätzung der industriellen Exper-
Testinstanz für diese Vorlage. Die Abschaltung der Steuer- ten bei Bedarf künftig in die firmeneigene Bauteildaten-
und Leistungsspannung kann visuell z. B. am Leistungs- bank einmalig integriert und somit automatisch für wei-
steller der Motoren überprüft werden. Der zu einem Mo- tere Projektierungen übernommen werden. Die Aktuali-
tor gehörige Leistungssteller kann ebenso über dessen Ar- sierung von Bauteilen eines vorhandenen Stromlaufplans
tikelnummer und den gefundenen Signalpfad identifiziert mit neueren Bauteilversionen aus einer Datenbank stellt
sowie in den Test eingeschlossen werden. Die Abschaltung eine Standardfunktionalität vieler ECAD-Umgebungen dar
der Softwarelogik kann z. B. anhand einer LED an der Aus- und ermöglicht somit auch die effiziente Anwendung der
gangsklemme der SPS verifiziert werden. Diese enthielten Konzepte auf bereits existierende Maschinen (vgl. A2). Die
in den betrachteten Beispielen im ECAD das BMK oder den Wiederverwendbarkeit der einmalig spezifizierten Test-
Softwarevariablennamen des gesteuerten Aktors als Attri- fallvorlagen und Mapping-Kriterien war in den betrachte-
but, was zusammen mit der Pfadverfolgung die Erstellung ten Anwendungsfällen vollständig gegeben. Dies beruht
eines gesonderten Tests der Logikspannung über die dis- vor allem auf etablierten firmeneigenen Namenskonven-
kutierten Mapping-Kriterien ermöglicht. tionen, welche für alle Sondermaschinen eines Herstel-
Die Evaluation des Softwareprototypen anhand der lers verwendet werden. Im Fall eines Entwicklungsdienst-
industriellen Anwendungsfälle verlief ebenso erfolgreich. leisters, der die Nomenklatur des jeweiligen Auftragge-S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 385
bers einsetzt, könnten aber dennoch zumindest die Be- Literatur
nennungsregeln der EN 61346 sowie die Komponentenat-
tribute seitens der Zulieferer wie Artikelnummer oder –na-
1. M. Utting, A. Pretschner and B. Legeard, “A taxonomy
me verwendet werden. (vgl. A3)
of model-based testing approaches,” Softw. Testing,
Zukünftiges Verbesserungspotential liegt zum einen Verif. Reliab., vol. 22, no. 5, pp. 297–312, Aug. 2012,
in der möglichen Fusion von Tests. Haben mehrere Tests doi: 10.1002/stvr.456.
dieselben Vorbedingungen und Stimulationen könnten 2. A. C. Dias Neto, R. Subramanyan, M. Vieira and G. H. Travassos,
“A survey on model-based testing approaches,” pp. 31–36,
die Beobachtungen der einzelnen Tests zeitgleich durch-
2008, doi: 10.1145/1353673.1353681.
geführt werden ohne die Stimulation zu wiederholen. Zum 3. J. Zander, I. Schieferdecker and P. J. Mosterman, Model-Based
anderen konnten während der Erprobung große Ähnlich- Testing for Embedded Systems. 2017.
keiten zwischen der Verfolgung von Strompfaden und der 4. M. Reider, S. Magnus and J. Krause, “Feature-based testing by
von Hydraulik- und Pneumatikpfaden aufgezeigt werden. using model synthesis, test generation and parameterizable
test prioritization,” Proc. – 2018 IEEE 11th Int. Conf. Softw.
Durch Erweiterung der Konzepte könnten somit künftig
Testing, Verif. Valid. Work. ICSTW 2018, pp. 130–137, 2018,
auch diese teilweise im ECAD enthaltenen Pläne in die doi: 10.1109/ICSTW.2018.00041.
Auswertungen eingeschlossen werden. 5. J. Hartmann, M. Vieira, H. Foster and A. Ruder, “A UML-based
approach to system testing,” Innov. Syst. Softw. Eng., vol. 1,
no. 1, pp. 12–24, 2005, doi: 10.1007/s11334-005-0006-0.
6. R. Hametner, D. Winkler, T. Östreicher, S. Biffl and A. Zoitl, “The
7 Zusammenfassung adaptation of test-driven software processes to industrial
automation engineering,” IEEE Int. Conf. Ind. Informatics,
pp. 921–927, 2010, doi: 10.1109/INDIN.2010.5549620.
Der Beitrag zeigte eine Methode zur vollständig automa- 7. R. Hametner, B. Kormann, B. Vogel-Heuser, D. Winkler and A.
tisierten Generierung von Testprozeduren für die Sicher- Zoitl, “Test case generation approach for industrial automation
heitstechnik von variantenreichen automatisierten Son- systems,” ICARA 2011 – Proc. 5th Int. Conf. Autom. Robot. Appl.,
dermaschinen anhand von ECAD Dokumenten. Basie- pp. 57–62, 2011, doi: 10.1109/ICARA.2011.6144856.
8. S. Rösch, Model-based testing of fault scenarios in
rend auf der Analyse industrieller Testprozeduren wur- production automation. sierke VERLAG – Internationaler
den drei generische Testklassen abgeleitet sowie ein par- Wissenschaftsverlag, 2016.
tielles ECAD-Datenmodell eingeführt. Anhand von Such- 9. J. Krause and C. Diedrich, “Modellbasierte Testgenerierung aus
mustern in Betriebsmittelkennzeichen und Bauteilattribu- Spezifikationen mit parallelem Verhalten,” GI Jahrestagung,
pp. 333–338, 2010.
ten sowie einmalig erstellter generischer Vorlagen wurden
10. R. Sinha, C. Pang, G. S. Martinez, J. Kuronen and V. Vyatkin,
mittels Konstruktionsdokumenten wie Stromlauf- oder “Requirements-Aided Automatic Test Case Generation for
Schaltschrankaufbauplänen maschinenspezifische Test- Industrial Cyber-physical Systems,” Proc. IEEE Int. Conf. Eng.
abläufe erstellt. Zur Filterung von falsch-positiv identifi- Complex Comput. Syst. ICECCS, vol. 2016-Janua, pp. 198–201,
zierten (Sub-)Systemtests wurde die Möglichkeit einer Si- 2016, doi: 10.1109/ICECCS.2015.32.
11. J. Provost, J. M. Roussel and J. M. Faure, “Testing programmable
gnalpfadsuche eingeführt, um die Interaktion zwischen
logic controllers from finite state machines specification,” 2011
möglichen Testkomponenten zu verifizieren. Basierend 3rd Int. Work. Dependable Control Discret. Syst. DCDS’11 – Conf.
auf einem akademischen Labordemonstrator sowie drei Proc., pp. 1–6, 2011, doi: 10.1109/DCDS.2011.5970309.
industriellen Use Cases wurde das Konzept anschließend 12. K. E. T. Kernschmidt, Interdisciplinary structural modeling of
mechatronic production systems using SysML4Mechatronics.
exemplarisch angewendet und erfolgreich evaluiert. Da-
2019.
durch konnten das Potential der Methode sowie künftige 13. S. Ulewicz and B. Vogel-Heuser, “Guided semi-automatic
Verbesserungsmöglichkeiten aufgezeigt werden. Der Fo- system testing in factory automation,” IEEE
kus der weiteren Arbeiten wird somit auf der Fusion von Int. Conf. Ind. Informatics, pp. 142–147, 2017,
überlappenden Testfällen, der Auswertung komplexerer doi: 10.1109/INDIN.2016.7819148.
14. A. Weigl et al., “Generalized test tables: A powerful
Netzwerkstrukturen sowie der Einbeziehung von Pneuma-
and intuitive specification language for reactive
tik und Hydraulik in die Betrachtungen liegen. systems,” Proc. – 2017 IEEE 15th Int. Conf. Ind.
Informatics, INDIN 2017, pp. 875–882, 2017,
Finanzierung: Teile der beschriebenen Konzepte und Er- doi: 10.1109/INDIN.2017.8104887.
gebnisse wurden im Rahmen des Projekts EfiMA – „Effizi- 15. B. Vogel-Heuser and F. Ocker, “Maintainability and
evolvability of control software in machine and plant
ente Fehlersuche für sichere variantenreiche Maschinen-
manufacturing — An industrial survey,” Control Eng.
und Anlagenautomatisierung“ – erarbeitet, welches durch Pract., vol. 80, no. December 2017, pp. 157–173, 2018,
die Bayerische Forschungsstiftung gefördert wird. doi: 10.1016/j.conengprac.2018.08.007.386 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests
16. B. Motamedian, “MBSE Applicability Analysis,” Int. J. Sci. Eng.
Res., vol. 4, no. 2, pp. 1–7, 2013.
Autoreninformationen
17. A. Arrieta, G. Sagardui, L. Etxeberria and J. Zander, “Automatic
generation of test system instances for configurable Simon Ziegltrum
cyber-physical systems,” Softw. Qual. J., vol. 25, no. 3, Technische Universität München, Lehrstuhl
pp. 1041–1083, 2017, doi: 10.1007/s11219-016-9341-7. für Automatisierung und
18. E. Neumann, J. Fischer, F. Ocker, S. Diehm, M. Schwarz and Produktionssysteme, Boltzmannstr. 15,
B. Vogel-heuser, “Formalization of Design Patterns and Their 85478 Garching bei München, Deutschland
Automatic Identification in PLC Software for Architecture s.ziegltrum@tum.de
Assessment,” accepted IFAC World Conference 2020,
IFAC-PapersOnLine, vol. 53, no. 1, 2020.
19. D. Schäfer, Variantentechnologie unter besonderer
Berücksichtigung von Elektrotechnik-CAD. Shaker, 2003. Simon Ziegltrum, M. Sc., ist wissenschaftlicher Mitarbeiter am Lehr-
20. B. Vogel-Heuser, J. Fischer, S. Feldmann, S. Ulewicz and S. stuhl für Automatisierung und Informationssysteme der Techni-
Rösch, “Modularity and architecture of PLC-based software schen Universität München. Sein Forschungsinteresse gilt dem
for automated production Systems: An analysis in industrial Modelbasierten Systems Engineering von automatisierten Sonder-
companies,” J. Syst. Softw., vol. 131, pp. 35–62, 2017, maschinen sowie Methoden zu deren Qualitätssicherung.
doi: 10.1016/j.jss.2017.05.051.
21. A. Rink, Entwicklung einer Methode für die systemtechnische
Auslegung verteilter und sicherheitskritischer
Birgit Vogel-Heuser
Führungsfunktionen für Fahrzeugantriebe. Bergische
Technische Universität München, Lehrstuhl
Universität Wuppertal, 2002.
für Automatisierung und
22. S. Rösch, S. Ulewicz, J. Provost and B. Vogel-Heuser, “Review of
Produktionssysteme, Boltzmannstr. 15,
Model-Based Testing Approaches in Production Automation
85478 Garching bei München, Deutschland
and Adjacent Domains-Current Challenges and Research
vogel-heuser@tum.de
Gaps,” J. Softw. Eng. Appl., vol. 08, no. 09, pp. 499–519, 2015,
doi: 10.4236/jsea.2015.89048.
23. B. Vogel-Heuser, C. Legat, J. Folmer and S. Feldmann,
“Researching Evolution in Industrial Plant Automation:
Scenarios and Documentation of the Pick and Place Unit,” Tech. Univ.-Prof. Dr.-Ing. Birgit Vogel-Heuser leitet den Lehrstuhl für Auto-
Rep., no. TUM-AIS-TR-01-14-02, 2014. matisierung und Informationssysteme der Technischen Universität
München. Ihre Forschungsgebiete adressieren die System- und
Softwareentwicklung, insbesondere die Modellierung verteilter,
intelligenter, eingebetteter Systeme.Sie können auch lesen
