Automatisierte Generierung von Sicherheitstests für variantenreiche Produktionssysteme mittels - ECAD
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
at – Automatisierungstechnik 2020; 68(5): 375–386 Anwendungen Simon Ziegltrum* und Birgit Vogel-Heuser Automatisierte Generierung von Sicherheitstests für variantenreiche Produktionssysteme mittels ECAD Automated safety test generation for variant-rich production systems using ECAD https://doi.org/10.1515/auto-2020-0028 1 Einleitung Empfangen 26. Februar 2020; angenommen 26. März 2020 Die Nachfrage nach immer flexibleren und verstärkt kun- Zusammenfassung: Die effiziente und vollständige Qua- denspezifischen automatisierten Produktionssystemen litätssicherung der Sicherheitstechnik von automatisier- (aPS), teils bis Losgröße 1, steigt stetig an. Dies stellt die ten Sondermaschinen stellt für deren Hersteller eine gro- Hersteller von Sondermaschinen vor zunehmend komple- ße Herausforderung dar. Die Erstellung konsistenter Test- xe Herausforderungen bei der Gestaltung entsprechend prozeduren erfolgt manuell oder erfordert hohen Model- angepasster Entwicklungsabläufe. Die enorme Vielfalt lierungsaufwand. Folglich untersucht dieser Beitrag ein und Variabilität der Anlagen erfordert flexible Prozesse Konzept, um notwendige Tests vollautomatisch aus ECAD- für Qualitätssicherung und Tests der Anlagen, da diese Dokumenten abzuleiten. Hierzu werden basierend auf in- für jede einzelne Sondermaschine auf die jeweils unter- dustriellen Checklisten Testmodelle abgeleitet sowie ein schiedliche Funktionalität und Hardware angepasst wer- ECAD-Modell eingeführt. Anhand eines industriellen An- den müssen. Besonders kritisch ist dies für Abläufe zur wendungsfalls wird die Funktionsfähigkeit des Ansatzes Prüfung der Sicherheitstechnik, da sie stets vollständig, demonstriert sowie das Potential einer solchen Methode systematisch und mit gleichbleibend hoher Qualität getes- diskutiert. tet werden muss. Hinzu kommt, dass Anlagenfunktionen Schlagwörter: Testverfahren, Mechatronische Systeme, in der Regel nicht nur von einzelnen Komponenten aus- ECAD, Entwicklung geführt werden, sondern eine Vielzahl von Komponenten im Zusammenspiel agiert. Im Kontext dieser komplexen, Abstract: The efficient and complete quality assurance of permanent im Wandel befindlichen Systeme stellt die wie- the safety equipment of automated special purpose ma- derkehrende manuelle Identifikation und Abdeckung al- chines represents a great challenge for their manufactur- ler relevanten zu testenden Subsysteme für Testingenieure ers. The creation of consistent test procedures is done daher eine große Herausforderung dar. manually or requires high modeling effort. Consequently, Vorteilhaft ist deshalb ein Verfahren, bei dem this paper examines a concept to derive necessary tests Testanleitungen sowie Testzusammenstellungen für fully automated from ECAD documents. For this purpose, Komponenten- und Integrationstests systematisch und test models are derived based on industrial checklists and automatisiert aus generischen Vorlagen sowie aus den an ECAD model is introduced. The functionality of the ap- Dokumenten abgeleitet werden, die ohnehin bereits ma- proach is demonstrated and the potential of such a method schinenspezifisch erstellt werden müssen. Der weitere is discussed on the basis of an industrial application case. Beitrag gliedert sich wie folgt: Anhand realer industri- Keywords: testing, mechatronic systems, ECAD, engineer- eller Testprozeduren für Sondermaschinen werden An- ing forderungen für eine automatisierte Testgenerierung der Sicherheitstechnik von Sondermaschinen abgeleitet (Ab- *Korrespondenzautor: Simon Ziegltrum, Technische Universität schnitt 2). Davon ausgehend werden bisherige Verfahren München, Lehrstuhl für Automatisierung und Produktionssysteme, zur modellbasierten Testgenerierung beleuchtet und auf Boltzmannstr. 15, 85478 Garching bei München, Deutschland, deren Eignung geprüft (Abschnitt 3). Anschließend wird E-Mail: s.ziegltrum@tum.de Birgit Vogel-Heuser, Technische Universität München, Lehrstuhl für ein Anwendungsbeispiel eingeführt, anhand dessen ein Automatisierung und Produktionssysteme, Boltzmannstr. 15, 85478 alternatives neuartiges Konzept zur Testgenerierung er- Garching bei München, Deutschland, E-Mail: vogel-heuser@tum.de läutert werden kann (Abschnitt 4). Daran wird mittels rea- Open Access. © 2020 Ziegltrum and Vogel-Heuser, publiziert von De Gruyter. Dieses Werk ist lizenziert unter der Creative Commons Attribution 4.0 Public Lizenz.
376 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests ler Testprozeduren von Sondermaschinen aufgezeigt, wie somit unabhängig von der Maschine sind, an einer ein- diese vollständig automatisiert aus Dokumenten der Elek- zelnen Komponente oder an einer Vielzahl unterschied- trokonstruktion generiert werden können. Durch Kombi- licher Komponenten ausgeführt werden müssen. Eine im nation digitaler elektrischer Konstruktionspläne (ECAD), Kontext der Sicherheitstechnik besonders große Heraus- die ein partielles Abbild der zu testenden Sicherheitstech- forderung ist hier die Sicherstellung der Testabdeckung nik enthalten, mit Beschreibungen der bauteilinternen und somit der explizite Test jeder Sicherheitskomponente Verschaltung und generischen Anleitungen atomarer Ein- und –funktion einer Maschine über die Domänen Mecha- zeltests von Teilsystemen wird die notwendige Dokumen- nik, Elektrik und Informationstechnik hinweg. Dies erfor- tation zur anschließenden Testdurchführung von Sicher- dert wiederum die konkrete Verknüpfung und Anreiche- heitsfunktionen, z. B. im Rahmen einer Inbetriebnahme, rung der Anweisungen mit maschinenspezifischen Cha- generiert (Abschnitt 5). In Abschnitt 6 wird das vorgestell- rakteristika. Hierzu zählt zum einen die Instanziierung ei- te Konzept anhand dreier Testklassen unterschiedlichen nes Testfalls für jedes Sicherheitsgerät. Wurden alle Geräte Kontexts am Anwendungsbeispiel demonstriert und des- einer Maschine einzeln erfolgreich getestet, folgt der sys- sen Eignung entsprechend der Anforderungen sowie ein tematische Test aller Sicherheitsfunktionen, welche durch Ausblick auf zukünftige Arbeiten diskutiert. Abschließend Interaktion einer Vielzahl von verbauten Geräten im Zu- wird eine Zusammenfassung des Beitrags gegeben (Ab- sammenspiel implementiert werden. schnitt 7). Anforderung A1. Eine automatisiert generierte Testproze- dur muss alle relevanten Aspekte der Sicherheitsgeräte und –funktionen einer spezifischen Ausprägung einer Sonder- 2 Anforderungen an die maschine abdecken. automatisierte Testgenerierung Durch Auswertung von realen industriellen Testprozedu- 2.2 Aufwandsminimierung zur ren wurden mehrere Anforderungen an eine automati- maschinenspezifischen sierte Testgenerierung abgeleitet. Diese haben das Ziel, Modellerstellung gleichwertige, konsistente und vollständige Testprozedu- ren für die Sicherheitstechnik von Sondermaschinen ef- Neben einem möglichen Qualitätsgewinn der Testanlei- fizienter automatisiert zu generieren als bisher manuell tungen hinsichtlich Abdeckung und Konsistenz durch den möglich. Basierend auf Experteninterviews wurden Anfor- Einsatz von Testgenerierung ist ebenso ein Effizienzzu- derungen an das Generierungsverfahren sowohl logischer wachs bei der Testerstellung treibender Faktor der Indus- als auch organisatorischer Natur ermittelt, welche im Fol- trie. Die Generierung von Testsuiten anhand Maschinen- genden diskutiert werden. Die befragten Experten ent- plänen als Modellen stellt einen Teilbereich des Modell- stammten vier Unternehmer: zweier repräsentativer Her- basierten Testens (MBT) dar. Der Einsatz von MBT ist für steller von Sondermaschinen, einem Unternehmen mit Firmen ökonomisch aber nur dann sinnvoll, wenn der zu- jahrzehntelanger Erfahrung in der Optimierung des ECAD- sätzlich notwendige Aufwand zur Modellerstellung die De- Einsatzes als Teil der Engineeringkette sowie einem ECAD- fizite konventioneller Methoden nicht überwiegt. Dies ist Softwareanbieter und Trainingsunternehmen für dessen im Sondermaschinenbau von besonders großer Relevanz. Einsatz. Im Unterschied zum Serienmaschinenbau müssen Model- le bei Produkten mit Losgröße 1 für jeden Auftrag spezi- fisch angepasst oder sogar von Grund auf neu erstellt wer- 2.1 Format und Umfang der Testprozeduren den. Eine Amortisierung durch vielfache Wiederverwen- dung eines identischen Modells ist hier nicht möglich. Ide- Eine der wichtigsten Voraussetzungen zur erfolgreichen al wäre es deshalb Dokumente zu verwenden, welche für Testdurchführung sind nach Ansicht der befragten Fir- die Konstruktion einer Maschine ohnehin bereits spezi- men konsistente, vollständige und maschinenspezifische fisch erstellt werden müssen. Testanleitungen. Verbreitet in der Industrie sind hierzu Protokolle in Form von Checklisten. Hierin besteht ein Anforderung A2. Die maschinenspezifische Testgenerie- Test zumeist aus mehreren chronologisch auszuführenden rung muss anhand von Modellen erfolgen, welche ohne Schritten, welche entweder organisatorischer Natur und zusätzlichen Modellierungsaufwand zur Verfügung stehen.
S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 377 2.3 Einmalige Formalisierung von Testfällen Im Bereich des Software Engineering von aPS wurden und Mapping-Kriterien bereits große Fortschritte hinsichtlich MBT erzielt. Weit verbreitet ist die Darstellung der Systemstruktur und des Die maschinenspezifische Generierung und Instanziie- Systemverhaltens mittels formaler Modelle wie denen der rung von Testfällen anhand der Maschinenmodelle erfolgt UML, SysML oder Automaten [2], [3]. Genutzt werden unter im MBT anhand logischer Regeln. Diese Regeln müssen anderen Sequenzdiagramme [4], Aktivitäts- und Use Case- ebenso effizient und deterministisch erstellt werden kön- Diagramme [5], [6], Zustandsdiagramme [7] sowie Timing- nen. Im Unterschied zu den Maschinenmodellen stellen Diagramme und FMEA [8], um davon ausgehend automa- Mapping-Kriterien eine Verknüpfung zwischen den varia- tisiert Tests des Systemverhaltens abzuleiten. [9] nutzen blen Modellen einer spezifischen Maschine und den zu- SPeNAt sowie [10] Ontologien zur Modellierung des Sys- meist statischen Testartefakten wie generischen Vorlagen temverhaltens aus Steuerungssicht sowie zur Generierung dar. Sie benötigen daher eine ausreichende Parametrier- von sicherheitskritischen Testfällen. [11] nutzen Finite Sta- barkeit, ähnlich mit Suchmustern, um diese beiden Model- te Machines zur Beschreibung des Verhaltens der Steue- le zu verknüpfen, so dass sie nur einmalig definiert wer- rungssoftware. Auch wenn die betrachteten Ansätze in der den müssen und anschließend für viele Maschinen wie- Software-Domäne eine gute Testqualität und -abdeckung derverwendet werden können. Sie bilden die Information erzielen, sind Wechselwirkungen innerhalb der Maschi- ab, an welchen Komponenten ein bestimmter Test ausge- nenhardware durch reine Softwaretests nur indirekt beob- führt werden muss. achtbar. Besonders im Kontext der Prüfung der Maschi- Als Gegenstück zu den maschinenspezifischen Mo- nensicherheit sind Funktionen teilweise redundant und dellen sind abschließend Prototypen der zu generieren- deren Logik rein in Hardware umgesetzt, so dass deren den Testfälle notwendig, welche mit Hilfe der Mapping- Funktionsfähigkeit für die Steuerung unsichtbar bleibt. Kriterien maschinenspezifisch instanziiert werden, falls [12] beschreibt einen Ansatz zur Modellierung al- sie für eine Maschinenvariante zutreffend sind. Sie bilden ler Domänen von aPS mittels SysML4Mechatronics. Die hierzu firmenspezifische oder rechtliche Vorgaben ab, wie umfassende Darstellung von Sicherheitsverschaltungen ein bestimmter Test durchzuführen ist. und deren Weiterverwendung zur Generierung systemati- scher Testsuiten fehlt aber bisher. In [13] wird ein semi- Anforderung A3. Regeln zur Instanziierung von Testfällen automatischer Ansatz zum Testen von aPS verfolgt, indem auf Basis von Vorlagen sowie die Vorlagen selbst müssen der Tester mittels Human Machine Interface in den Testab- nach einmaliger Definition für ein breites Spektrum an Ma- lauf integriert wird. Testfälle müssen aber auch hier sowie schinenvarianten eines Herstellers wiederverwendbar sein. in [14] einzeln manuell mit Hilfe eines Tabellenformats de- finiert werden. Trotz eingehender Untersuchung und Fortschritten 3 Bisherige Verfahren zur von Modelbasierten Systems Engineerings (MBSE) in der Wissenschaft, findet MBSE in der Industrie bisher noch Testgenerierung wenig Anwendung [15]. Häufig werden ein fehlender Mehr- wert und der zu große Aufwand zur Erstellung der Mo- MBT bezeichnet ein Vorgehen, bei dem ausgehend von ei- delle als Hemmnisse der Industrie genannt [16]. Zur Auf- nem validen Modell eines Systems Under Test (SUT), be- wandsreduktion bei der Modellerstellung und dem MBT stehend aus Aufbau sowie Verhalten des Testobjekts, Test- im variantenreichen Maschinenbau existieren eine Viel- fälle zu dem Zweck abgeleitet werden, Abweichungen des zahl möglicher Ansätze: [17] setzt beispielsweise Feature- realen Testobjektverhaltens vom modellierten Sollverhal- Modellierung zur Erstellung der Verhaltensmodelle sowie ten nachzuweisen oder das Vertrauen in die Übereinstim- der Selektion varianten-relevanter Testfälle ein. Gleiches mung des Objektverhaltens mit dem Sollverhalten abzu- gilt für eine Vielzahl etablierter Verfahren zum Modul- und sichern [1]. Zur erfolgreichen Anwendung dieses Ansat- Variantenmanagement in der variantenreichen Software- zes im Sondermaschinenbau muss ein valides, varianten- entwicklung [18]. Laut einer Expertenbefragung unter füh- spezifisches Verhaltensmodell des aPS vorliegen, das al- renden deutschen Herstellern von variantenreichen Ma- le für das Testen der Sicherheitstechnik relevanten Domä- schinen werden Modelle soweit möglich aus Baukasten- nen des Systems wie Mechanik, Elektrik sowie Software systemen konfiguriert, Modelle mittels Copy-Paste-Modify abbildet und zudem effizient vom Hersteller erstellt wer- erstellt oder 200 %-Modelle manuell auf die jeweilige Ma- den kann. schinenvariante reduziert [19], [20]. Selbst unter Einsatz
378 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests dieser Maßnahmen stellen Sondermaschinen mit Losgrö- für die Sicherheitstechnik des variantenreichen Sonder- ße 1 jedoch eine Herausforderung dar. Alle betrachteten maschinenbaus. Ebenso wenig wurde bisher die Generie- Methoden erfordern zumindest eine partielle Ähnlichkeit rung domänenübergreifender Tests der Maschinensicher- der aPS, sei es durch Aufbau aus einem ähnlichen Pool an heit auf Grundlage von variantenspezifischen Bauplänen Subsystemen oder der Überschneidung von Anforderun- wie Stromlaufplänen betrachtet. gen oder Features. Zudem sind besonders die Verschrän- kungen der einzelnen Subsysteme für den Test der Sicher- heitstechnik essentiell, die bei generischer Modellerstel- lung meist manuell ergänzt werden müssten. Wird die Si- 4 Einführung des cherheitstechnik wie häufig als nichtfunktionale Anforde- Anwendungsbeispiels „xPPU“ rung modelliert, kann der Zusammenhang zu involvierten Features und Komponenten des Systems kaum erfasst wer- Zusätzlich zu drei später für die Evaluation der vorgestell- den oder erfordert die zusätzliche explizite Modellierung ten Konzepte verwendeten industriellen Projekte wird im der Abhängigkeiten [21]. Folgenden ein Anwendungsbeispiel in Form eines Labor- Zusammenfassend wurde bereits eine Vielzahl an demonstrators vorgestellt, welches als Basis zur Erläute- Konzepten zum MBT von variantenreichen aPS unter- rung in den darauffolgenden Abschnitten dient. sucht. Diese Konzepte erfordern jedoch teilweise die ge- Bei der extended Pick and Place Unit (xPPU) des sonderte, zusätzliche Erstellung und Validierung speziali- Lehrstuhls für Automatisierung und Informationssysteme sierter SUT-Modelle je Maschinenausprägung z. B. im frü- der Technischen Universität München handelt es sich um hen Engineering. Weitere Konzepte betrachten nur einen eine automatisierte Produktionsanlage mit Mechanik im Teil der für die Sicherheitstechnik von aPS relevanten verkleinerten Maßstab, jedoch ausgerüstet mit industrie- Disziplinen der Mechanik, der Elektrik/Elektronik sowie realistischer Automatisierungstechnik und Funktionalität der Software, was die Berücksichtigung essentieller in- (Abbildung 1) [23]. Aufgabe der xPPU ist die Bearbeitung terdisziplinärer Abhängigkeiten unmöglich macht. Eine und Logistik verschiedener Werkstücke. Die Maschine ver- dritte Gruppe an Ansätzen leitet die notwendigen Test- fügt hierfür über ca. 30 elektropneumatische Aktoren so- fälle mittels gesonderter Maßnahmen zum Variantenma- wie 70 Sensoren und wird zentral von einer SPS gesteuert. nagement her [22], die aber für aPS mit Losgröße 1 nicht Im Anwendungsfall werden im speziellen die Tests der Si- geeignet sind. Keine der betrachteten Methoden unter- cherheitsfunktionen der Maschine betrachtet. Die Sicher- stützt folglich bisher die Generierung von Testprozeduren heitstechnik der Maschine ist Großteils fest verdrahtet und Abb. 1: Extended Pick and Place Unit des Lehrstuhls für Automatisierung und Informationssysteme der Technischen Universität München.
S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 379 besteht aus einem globalen Sicherheitskreis. Der Nothalt MBT von automatisierten Sonderfertigungsanlagen besei- wird mittels eines von fünf Nothalt-Tastern, eines Licht- tigen. vorhangs oder einer überwachten Zugangstür ausgelöst. Aufbauend auf der Untersuchung gängiger, seitens Als Folge hiervon sollen mittels eines Sicherheitsschaltge- der Industriepartner aktuell eingesetzter Dokumente und räts alle Aktoren der Maschine in den jeweiligen sicheren Verfahren zum Sicherheitstest sicherer variantenreicher Zustand übergehen. Dies beinhaltet neben der Abschal- Maschinen- und Anlagenautomatisierung, gliedert sich tung der Leistungs- und Steuerungsspannung der meisten der neue Ansatz in folgende Schritte, deren Vorteile und Aktoren auch die Abschaltung der Funktionen durch die Besonderheiten in den folgenden Unterkapiteln einge- Steuerungslogik der SPS selbst. hend beschrieben werden: Für die xPPU existieren umfangreiche digitale Doku- 1. Einmalige Erstellung generischer Basistestfälle für mente des ECAD wie Stromlauf-, Klemmen- und Schalt- wiederkehrende Komponenten schrankaufbaupläne sowie exemplarische Testprozedu- 2. Variantenspezifische Generierung von Testfällen mit- ren, welche in enger Zusammenarbeit mit und umfangrei- tels Mapping-Kriterien zwischen Testfallvorlagen und cher Beratung durch Industriepartner erstellt worden sind ECAD-Komponenten und wie man sie auch für eine kommerzielle Maschine fin- 3. Eliminierung von falsch-positiven Testmatches mit- den würde. Die Pläne wurden dabei wie in vielen Firmen tels Pfadverfolgung im ECAD heute üblich funktional und nicht anhand der Einbauor- te der Geräte strukturiert. Die Benennung der Betriebsmit- telkennzeichen (BMK) erfolgte nach EN 61346, erweitert 5.1 Einmalige Erstellung generischer durch eine firmenspezifische Nomenklatur. Die Dokumen- Basistestfälle te liegen digital maschinenlesbar für die verbreitete ECAD- Umgebung e3.series der Zuken GmbH vor. Wie in Experteninterviews mit den industriellen Projekt- partnern und durch Auswertung gängiger industrieller Testsuiten ermitteltet werden konnte, weisen aktuell in der Praxis eingesetzte Testfälle einen stark heterogenen Auf- 5 Konzept bau auf. Um diesen Charakter auch in diesem Konzept abbilden zu können, ist das den Testfall und -vorlagen Zur Realisierung einer automatisierten Testfallgenerie- zugrunde liegende Modell mit entsprechend großen Frei- rung für die Sicherheitstechnik einer Sondermaschine heitsgraden entworfen worden (Abbildung 2). Testfallvor- gemäß den identifizierten Anforderungen soll nun an- lagen stellen Prototypen dar, auf deren Grundlage in fol- hand der xPPU ein alternatives Konzept schrittweise genden Schritten maschinenspezifische Testfälle instanzi- aufgezeigt werden. Zur Abhilfe der Probleme bestehen- iert und parametriert werden können. Jede Testfallvorlage der Ansätze wäre es besser, die gewünschten Prozedu- kann dabei über beliebig viele Testschritte verfügen, mit- ren zu Test und Fehlersuche aus detaillierten anlagen- tels derer die einzelnen Schritte einer Testsequenz chro- spezifischen Dokumenten der fortgeschrittenen Entwurfs- nologisch repräsentiert werden können. Jeder dieser Test- phase vollautomatisch zu generieren, da diese ohnehin schritte kann wiederum aus beliebig vielen Anweisungen für die Ausfertigung der Anlage erstellt werden müs- bestehen. sen. In modernen mechatronischen Automatisierungs- Auf Grundlage der untersuchten bestehenden Test- anlagen scheinen hierfür besonders die Dokumente der prozeduren der Industrie besteht der Ablauf eines Testfalls Elektrokonstruktion wie Stromlauf- und Schaltschran- generell aus vier Phasen (Abbildung 3), welche als beliebig kaufbaupläne geeignet zu sein, da diese sowohl den viele Testschritte modelliert werden: Informationsfluss als auch den elektrischen, pneuma- 1. Dem Wechsel des SUT in definierte Vorbedingungen, tischen und hydraulischen Energiefluss in der Anla- z. B. Aktivierung des Automatikmodus der xPPU und ge abbilden. Ebenso stellen sie die Schnittstelle zwi- Anfahren der Förderbänder schen Mechanik und Software dar. Durch eine Tren- 2. Der Stimulation einer Komponente, z. B. Unterbre- nung der Dokumenterstellung in eine für die Produkt- chen des Lichtvorhangs familie einmalige Erstellung von Vorlagen und die an- 3. Der Beobachtung oder Messung der Testbedingung in schließende variantenspezifische Generierung der Test- Form der Reaktion einer Komponente auf die Stimu- suite und Testartefakte durch Instanziierung und Para- lation, z. B. Stopp eines Förderbandes prüfen, sowie metrierung ließen sich die Mängel bisheriger Ansätze des Entscheidung über Erfolg oder Fehlschlag des Tests
380 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests Abb. 2: Ausschnitt des Test-Datenmodells. ten. Der Kontext kann dabei komponentenunabhängig auf nichts, auf die Stimulationskomponente oder die Ob- Abb. 3: Standardmodell eines Testablaufs. servationskomponente gesetzt werden. Während atoma- re Komponententests analog zu Unittests aus dem Soft- wareengineering lediglich die Funktionalität einer einzel- 4. Die Rücksetzung des Testsubjekts auf definierte Nach- nen Komponente überprüfen, decken (Sub-)Systemtests bedingungen, z. B. Rücksetzen des Nothalts die Funktionalität zweier miteinander verbundener Kom- ponenten sowie der dazwischenliegenden Komponenten Wie in Abschnitt 2 beschrieben, können drei verschiedene im Zusammenspiel ab. Komponentenunabhängige Tests Typen von Testfallvorlagen unterschieden werden, abhän- wurden im Modell zur Vereinfachung den Vorlagen der gig von der Anzahl involvierter Testkomponenten: Komponententests zugeordnet, bei denen lediglich kein – Komponententests, welche eine einzelne spezifische Testkontext gesetzt wird. Eine Komponente kann einem Hardwarekomponente testen, z. B. Dokumentation Testschritt dabei z. B. zur Stimulation und im nächsten der Seriennummer eines Notaustasters der xPPU. Testschritt eine andere für die Beobachtung einer Testre- – (Sub-)Systemtests, bei denen während des Tests ei- aktion zugewiesen werden. Auf diese Weise können eben- ne spezifische Komponente manipuliert, der Effekt je- falls Tests von Sicherheitsrelais einschließlich des da- doch an einer anderen Komponente beobachtet wird, zwischenliegenden Signalpfads abgebildet werden: Wird z. B. Abschaltverhalten eines Förderbandmotors beim ein bestimmter Nothalt-Taster ausgelöst, erhält der Be- Auslösen eines Notausschalters. nutzer so Anweisungen, entsprechend der Anforderun- – Komponentenunabhängige Tests, welche die gesamte gen den Zustand aller beobachtbaren Komponenten im Si- Maschine betreffen und nicht einzelnen Komponen- gnalpfad bis hin zum zugehörigen Sicherheitsrelais und ten zugeordnet werden können, z. B. Absperren des der Anzeige im Human-Machine-Interface zu überprü- Arbeitsbereichs vor Beginn der Sicherheitstests. fen. Für jeden Testschritt kann jeweils eine Komponente, an der potentiell eine Aktion durchzuführen ist, in Abhän- 5.2 Variantenspezifische Generierung von gigkeit des Vorlagentyps generisch referenziert werden. Testfällen Diese Komponente wird auch Testkontext genannt. Ein Platzhaltersystem erlaubt dabei eine Parametrierung der Für die variantenspezifische Generierung der Testfälle Tests während der Instanziierung und somit die ergono- auf Grundlage von einmalig durch Experten spezifizierten mische Darstellung der Tests für den Tester, z. B. durch Testfallvorlagen wurden abhängig vom Typ der Vorlage ge- Einsetzen von Komponentennamen oder –attributswer- eignete Mapping-Kriterien zwischen Vorlagen und Maschi-
S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 381 nenkomponenten identifiziert. Das Mapping aller Testfälle Namenskonventionen und frei definierbare Zusatzattribu- erfolgt dabei basierend auf ECAD-Dokumenten, selbst von te im ECAD-Modell, um z. B. den zugehörigen Sicherheits- Testfällen welche Mechanik oder Softwarefunktionalität kreis zu hinterlegen und somit zur Klassifikation einzu- einschließen. Zur Identifikation bekannter Komponenten setzen. Alle komponentenunabhängigen Tests mussten in im ECAD wurden wiederkehrende Gruppen von Testfäl- den betrachteten Use Cases für alle Ausprägungen einer len in bestehenden industriellen Checklisten auf Gemein- Maschinenfamilie durchgeführt werden, weshalb hier kei- samkeiten hin untersucht. Basierend auf Analysen von ne zusätzlichen Filtermechanismen notwendig sind. Kom- Unterlagen mehrerer Firmen des Sondermaschinenbaus ponententests jedoch können durch eine Kombination konnten dabei sowohl Muster in BMKs als auch z. B. Arti- von Regulären Ausdrücken sowie boolescher Algebra ver- kelnummern als geeignete Zuordnungskriterien ermittelt bauten Komponenten zugeordnet werden. Dabei können werden. Am Beispiel von e3.series der Zuken GmbH wurde die Suchmuster sowohl positiv als auch negativ formu- ein Datenmodell erstellt, welches die geeignetsten Merk- liert werden. Durch direkten Zugriff über eine Program- male für ein Mapping aufzeigt (Abbildung 4). Ein Gerät mierschnittstelle (API) auf die maschinenlesbaren ECAD- bezeichnet dabei die logische Instanz eines Betriebsmit- Dokumente stehen sämtliche Bauteilattribute sowie das tels im Stromlaufplan. Es ist Träger des BMK. Dem Gerät BMK für das spätere Mapping der Komponententestfall- kann eine Komponente zugewiesen werden, welches ei- vorlagen zur Verfügung. Um die Skalierbarkeit der Algo- nem realen Bauteil entspricht. Ein Gerät muss dabei nicht rithmen auf Projekte industrieller Größe zu gewährleis- zwingend über eine Komponente verfügen, z. B. im Fall ten, kommen Caching-Mechanismen zum Einsatz. Dabei von Dummygeräten wie Erdungspunkten. Symbole stellen werden alle relevanten Daten (vgl. Abbildung 4) vor Be- in der Objektstruktur die grafischen Repräsentanzen eines ginn der Testgenerierung via API ausgelesen und in vor- ab optimierten Datenstrukturen relational abgelegt. Nach Geräts im Stromlaufplan dar. Alle diese Objekte können Auswahl aller gewünschten Vorlagen durch einen Testin- zudem über benutzerdefinierte und firmenspezifische At- genieur werden die Suchmuster iterativ mit den einzel- tribute in Form von Schlüssel-Wert-Paaren verfügen. Einen nen Betriebsmitteln abgeglichen und somit auf die für Sonderfall stellen Betriebsmittelgruppen dar, da diese aus die jeweiligen Testfallvorlagen relevanten Geräte redu- mehreren Geräten bestehen, welche einer übergeordneten ziert. Betriebsmittelgruppe zugeordnet sind und alle dasselbe Für das Mapping von Systemtestfallvorlagen kön- BMK besitzen. Die Geräte verfügen aber immer noch über nen zu Anfang ebenfalls die Kriterien der Komponenten- unterschiedliche Attribute und können somit anhand die- tests zur Identifikation der Manipulations- und Observa- ser in allen untersuchten Anwendungsfällen unterschie- tionskomponenten angewendet werden. Durch Permuta- den werden. tion aller so gefundenen Komponenten ergeben sich ei- Manche Komponenten wie Pneumatikventile können ne Vielzahl an möglichen Komponentenpaaren, welche sowohl sicherheitsrelevant als auch -irrelevant eingesetzt aber nicht zwingend miteinander interagieren und für die werden. Viele Firmen verwenden hierfür bereits interne ein Mapping eines Tests somit nur potentiell sinnvoll wä- re (Abbildung 5). Bereits in dieser Stufe der Testgenerie- rung von Systemtests können aber falsch-positive Tupel eliminiert werden. Häufig teilen miteinander verschalte- te Komponenten in industriellen Anlagen auf Grund fir- menspezifischer Nomenklatur Teile ihrer Benennung, wie z. B. einen Laufindex. Diese Eigenschaft kann mittels Back- references innerhalb der Regulären Ausdrücke genutzt werden, um gleiche Fragmente der Benennung im Such- muster zu annotieren und so lediglich Gerätepaarungen mit gleicher Nummerierung zu testen. Beispielsweise soll –QM2 mit –M2 und –QM3 mit –M3 getestet werden aber nicht kreuzweise. Abb. 4: Ausschnitt eines ECAD-Datenmodells.
382 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests Abb. 5: Exemplarische Mapping-Kriterien eines Systemtests. 5.3 Eliminierung von falsch-positiven tionen zur Anpassung und Filterung der Suche ergänzt, Testmatches mittels Pfadverfolgung um die Korrektheit und die Skalierbarkeit der Suchergeb- nisse auch für Stromlaufpläne von industriellem Umfang Wurden mittels der Suchmuster aus Abschnitt 5.2 mögli- sicherzustellen (Abbildung 7). Im Fall des Sauggreifers der che Komponentenpaare zur Instanziierung von System- xPPU, welcher bei Nothalt ein gegriffenes Werkstück nicht tests aus Testfallvorlagen identifiziert, müssen falsch- lösen darf, kann z. B. ebenso nach Tupeln gefiltert werden, positive Suchtreffer und somit unnötige oder gar falsche die über keinen gültigen Signalpfad zur Abschaltung ver- Tests eliminiert werden. Hierfür kann im nächsten Schritt fügen. Somit können auch Tests zur Prüfung dieses siche- überprüft werden, ob diese Paarungen an Komponenten ren Zustands generiert werden. in der finalen Maschine miteinander interagieren. Exis- tieren beispielsweise mehrere Nothalt-Taster und mehre- re Aktoren in einer Anlage, können diese zwar mittels ih- rer Attribute gefunden werden, besonders aber in Anla- 6 Exemplarische Anwendung und gen mit mehreren Sicherheitszonen muss nicht jeder Ak- tor für jeden Sicherheitstaster abgeschaltet werden. Da ein Evaluation Stromlaufplan umfangreiche Informationen über Signal- Zur Bewertung des vorgestellten Konzepts wurden die Al- und Energiefluss innerhalb der Maschine enthält, kann gorithmen prototypisch implementiert und eingehende durch dessen Analyse automatisiert festgestellt werden, Versuche mit vier Sondermaschinen mittels der ECAD- ob zwei Komponenten eines Systems miteinander inter- Software e3.series der Zuken GmbH durchgeführt: der agieren und somit gemeinsam getestet werden müssen. xPPU sowie als drei industriellen Beispielen einem Kühl- Die exakte Funktionsweise der entwickelten Pfadverfol- wasserpumpsystem, einer Verpackungsanlage und ei- gung soll nicht im Fokus dieses Beitrags liegen. Im Gegen- satz zu konventionellen ECAD-Systemen können Signale ner hydraulischen Presse. Im Fall der Kühlwasserpum- hiermit jedoch auch über Bauteile mit veränderlicher in- pe wurden mehrere repräsentative Tests entsprechend terner Kontaktierung wie z. B. einem Schütz hinweg ver- des Konzepts formalisiert und anschließend vollauto- folgt werden. Hierzu ist die Einbeziehung einmalig anno- matisch generiert. Die hierzu für die Pfadverfolgung tierter Informationen über den bauteilinternen Signalfluss im Vorfeld einmalig notwendige Annotation der ECAD- der Bauteile notwendig. Die Annotation erfolgt jedoch auf Bauteildatenbank durch einen Konstrukteur betrug für die Typenebene und kann so für eine Vielzahl an Bauteilin- 285 einzigartigen Komponenten circa sechs Stunden. stanzen auf einfache Weise wiederverwendet werden. (Ab- Organisatorische Tests finden zumeist zu Beginn ei- bildung 6) ner Inbetriebnahme oder eines Sicherheitstests statt. Für Ausgehend vom Stimulationsgerät eines potentiellen die xPPU wurde die Absperrung des Arbeitsbereichs vor Tests wird der Pfad zum Observationsgerät im Stromlauf- Testbeginn exemplarisch als komponentenunabhängiger plan mittels Breitensuche vorwärts bis zu mehreren pa- Test modelliert. Eine komponentenunabhängige Testfall- rametrierbaren Abbruchkriterien gesucht. Da Signalpfa- vorlage wird immer exakt einmal instanziiert, was auch de sowie deren Testabdeckung in realen Maschinen sehr den konventionell erstellten Testanleitungen entspricht. komplex gestaltet sein können, wurden auch für die Si- Ein typischer Gerätetest der xPPU, welcher im Kontext gnalpfadverfolgung Algorithmen entwickelt und um Op- einer Sicherheitsprüfung häufig durchgeführt wird, ist die
S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 383 Abb. 6: Exemplarische Pfadverfolgung von Stromeinspeisung bis Aktor. Abb. 7: Optimierungsdialog für Pfadsuche und Systemtestgenerierung.
384 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests Kontrolle aller Seriennummern der sicherheitskritischen Im ersten Fall wurden fast 50 % einer aktuell produktiv Komponenten. Bei den Nothalt-Tastern der xPPU handelt eingesetzten Inbetriebnahme-Checkliste in die Software- es sich um speziell für sicherheitskritische Anwendungen prototypen eingepflegt und erfolgreich vollautomatisch entwickelte Taster der Firma Siemens. Da diese Taster in reproduziert. Für alle enthaltenen Testschritte konnten der xPPU ausschließlich für diesen Zweck Verwendung ohne bzw. selten mit minimalen Anpassungen der Strom- finden, können sie beispielsweise über den Artikelnamen laufpläne geeignete Marker für die vollautomatische Test- der zugeordneten Komponenten im ECAD-Datenmodell generierung in den Stromlaufplänen identifiziert werden. problemlos identifiziert und ein Test instanziiert werden. Seitens des zweiten Anwendungsfalls wurden die Soft- Ebenso können die Türüberwachung anhand dessen Sen- wareprototypen anhand eines Teilausschnitts einer aktu- sors und der Lichtvorhang identifiziert und durch Nut- ell produzierten Maschine in Form eines vertikalen Durch- zung von Boolescher Algebra im selben Mapping-Pattern stichs evaluiert. Trotz Selektion besonders schwierig zuzu- berücksichtigt werden. Der entsprechende Reguläre Aus- ordnender Testfälle konnten auch hier die gewünschten druck für das Attribut „Component Name“ lautet beispiels- Checklistenausschnitte auf Grundlage der Testfallvorla- weise „3SB3201-1HA20|1016477|1016478|6025100“. gen wie angestrebt vollautomatisch reproduziert werden. Für den Test des Sicherheitskreises der Anlage müssen Die notwendige Rechenzeit für die Generierung der Test- entsprechend der Sicherheitsverriegelungen alle Nothalt- suite betrug jeweils nur wenige Minuten. Obwohl die Soft- Sensoren zusammen mit dem Anhalten der Bewegung al- wareprototypen speziell für die ECAD-Umgebung e3.se- ler relevanten Aktoren der xPPU getestet werden. Zusätz- ries umgesetzt worden sind, wurde die Übertragbarkeit der lich notwendig ist jedoch auch die Kontrolle der Abschal- Konzepte auch auf andere ECAD-Systeme von zwei befrag- tung von Softwarelogik, Steuer- sowie Leistungsspannung ten Beratungsunternehmen im Bereich der Elektroprojek- der Aktoren. Wie soeben beschrieben können alle Nothalt- tierung als sehr gut eingeschätzt. Für künftige praktische Sensoren mittels Artikelnummern identifiziert werden. Versuche mit anderen Softwaresuiten müsste das partiel- Anhand der Artikelnummern können ebenso alle Pneu- le ECAD-Datenmodells für e3.series auf ein voraussichtlich matikventile und Elektroantriebe der xPPU identifiziert sehr ähnliches Modell der zu erprobenden Suite gemappt und gemeinsam mit den Sensoren zu potentiellen Testsub- sowie die Softwareprototypen für die jeweils hochgradig jekttupeln permutiert werden. Im nächsten Schritt wird herstellerspezifische API adaptiert werden. Bereits im pro- anhand des Stromlaufplans der xPPU ermittelt, ob zwi- totypischen Implementierungsstand konnte die Funkti- schen den potentiellen Testpaaren jeweils eine elektrische onsweise der Konzepte mit e3.series erfolgreich nachge- Verbindung besteht. Da die meisten Aktoren der xPPU im wiesen werden. Es konnten alle erprobten Tests realer in- sicheren Zustand gestoppt werden müssen, ist diese Su- dustrieller Anwendungsfälle mit Hilfe des Systems vollau- che für die Mehrzahl der Aktoren erfolgreich, woraufhin tomatisch reproduziert werden (vgl. A1). Die maschinen- die vollständigen Testprozeduren korrekt erzeugt werden. spezifischen Informationen für das Mapping der Testfälle Aktoren wie z. B. ein pneumatischer Sauggreifer der xPPU, auf Komponenten der realen Anlage konnten Großteils aus welche im sicheren Zustand explizit nicht deaktiviert wer- den Stromlauf- und Schaltschrankaufbauplänen einer Ma- den dürfen, sind elektrisch nicht mit dem zentralen Sicher- schine entnommen werden. Die notwendigen Zusatzattri- heitsschaltgerät verbunden und erhalten somit auch keine bute könnten nach Einschätzung der industriellen Exper- Testinstanz für diese Vorlage. Die Abschaltung der Steuer- ten bei Bedarf künftig in die firmeneigene Bauteildaten- und Leistungsspannung kann visuell z. B. am Leistungs- bank einmalig integriert und somit automatisch für wei- steller der Motoren überprüft werden. Der zu einem Mo- tere Projektierungen übernommen werden. Die Aktuali- tor gehörige Leistungssteller kann ebenso über dessen Ar- sierung von Bauteilen eines vorhandenen Stromlaufplans tikelnummer und den gefundenen Signalpfad identifiziert mit neueren Bauteilversionen aus einer Datenbank stellt sowie in den Test eingeschlossen werden. Die Abschaltung eine Standardfunktionalität vieler ECAD-Umgebungen dar der Softwarelogik kann z. B. anhand einer LED an der Aus- und ermöglicht somit auch die effiziente Anwendung der gangsklemme der SPS verifiziert werden. Diese enthielten Konzepte auf bereits existierende Maschinen (vgl. A2). Die in den betrachteten Beispielen im ECAD das BMK oder den Wiederverwendbarkeit der einmalig spezifizierten Test- Softwarevariablennamen des gesteuerten Aktors als Attri- fallvorlagen und Mapping-Kriterien war in den betrachte- but, was zusammen mit der Pfadverfolgung die Erstellung ten Anwendungsfällen vollständig gegeben. Dies beruht eines gesonderten Tests der Logikspannung über die dis- vor allem auf etablierten firmeneigenen Namenskonven- kutierten Mapping-Kriterien ermöglicht. tionen, welche für alle Sondermaschinen eines Herstel- Die Evaluation des Softwareprototypen anhand der lers verwendet werden. Im Fall eines Entwicklungsdienst- industriellen Anwendungsfälle verlief ebenso erfolgreich. leisters, der die Nomenklatur des jeweiligen Auftragge-
S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests | 385 bers einsetzt, könnten aber dennoch zumindest die Be- Literatur nennungsregeln der EN 61346 sowie die Komponentenat- tribute seitens der Zulieferer wie Artikelnummer oder –na- 1. M. Utting, A. Pretschner and B. Legeard, “A taxonomy me verwendet werden. (vgl. A3) of model-based testing approaches,” Softw. Testing, Zukünftiges Verbesserungspotential liegt zum einen Verif. Reliab., vol. 22, no. 5, pp. 297–312, Aug. 2012, in der möglichen Fusion von Tests. Haben mehrere Tests doi: 10.1002/stvr.456. dieselben Vorbedingungen und Stimulationen könnten 2. A. C. Dias Neto, R. Subramanyan, M. Vieira and G. H. Travassos, “A survey on model-based testing approaches,” pp. 31–36, die Beobachtungen der einzelnen Tests zeitgleich durch- 2008, doi: 10.1145/1353673.1353681. geführt werden ohne die Stimulation zu wiederholen. Zum 3. J. Zander, I. Schieferdecker and P. J. Mosterman, Model-Based anderen konnten während der Erprobung große Ähnlich- Testing for Embedded Systems. 2017. keiten zwischen der Verfolgung von Strompfaden und der 4. M. Reider, S. Magnus and J. Krause, “Feature-based testing by von Hydraulik- und Pneumatikpfaden aufgezeigt werden. using model synthesis, test generation and parameterizable test prioritization,” Proc. – 2018 IEEE 11th Int. Conf. Softw. Durch Erweiterung der Konzepte könnten somit künftig Testing, Verif. Valid. Work. ICSTW 2018, pp. 130–137, 2018, auch diese teilweise im ECAD enthaltenen Pläne in die doi: 10.1109/ICSTW.2018.00041. Auswertungen eingeschlossen werden. 5. J. Hartmann, M. Vieira, H. Foster and A. Ruder, “A UML-based approach to system testing,” Innov. Syst. Softw. Eng., vol. 1, no. 1, pp. 12–24, 2005, doi: 10.1007/s11334-005-0006-0. 6. R. Hametner, D. Winkler, T. Östreicher, S. Biffl and A. Zoitl, “The 7 Zusammenfassung adaptation of test-driven software processes to industrial automation engineering,” IEEE Int. Conf. Ind. Informatics, pp. 921–927, 2010, doi: 10.1109/INDIN.2010.5549620. Der Beitrag zeigte eine Methode zur vollständig automa- 7. R. Hametner, B. Kormann, B. Vogel-Heuser, D. Winkler and A. tisierten Generierung von Testprozeduren für die Sicher- Zoitl, “Test case generation approach for industrial automation heitstechnik von variantenreichen automatisierten Son- systems,” ICARA 2011 – Proc. 5th Int. Conf. Autom. Robot. Appl., dermaschinen anhand von ECAD Dokumenten. Basie- pp. 57–62, 2011, doi: 10.1109/ICARA.2011.6144856. 8. S. Rösch, Model-based testing of fault scenarios in rend auf der Analyse industrieller Testprozeduren wur- production automation. sierke VERLAG – Internationaler den drei generische Testklassen abgeleitet sowie ein par- Wissenschaftsverlag, 2016. tielles ECAD-Datenmodell eingeführt. Anhand von Such- 9. J. Krause and C. Diedrich, “Modellbasierte Testgenerierung aus mustern in Betriebsmittelkennzeichen und Bauteilattribu- Spezifikationen mit parallelem Verhalten,” GI Jahrestagung, pp. 333–338, 2010. ten sowie einmalig erstellter generischer Vorlagen wurden 10. R. Sinha, C. Pang, G. S. Martinez, J. Kuronen and V. Vyatkin, mittels Konstruktionsdokumenten wie Stromlauf- oder “Requirements-Aided Automatic Test Case Generation for Schaltschrankaufbauplänen maschinenspezifische Test- Industrial Cyber-physical Systems,” Proc. IEEE Int. Conf. Eng. abläufe erstellt. Zur Filterung von falsch-positiv identifi- Complex Comput. Syst. ICECCS, vol. 2016-Janua, pp. 198–201, zierten (Sub-)Systemtests wurde die Möglichkeit einer Si- 2016, doi: 10.1109/ICECCS.2015.32. 11. J. Provost, J. M. Roussel and J. M. Faure, “Testing programmable gnalpfadsuche eingeführt, um die Interaktion zwischen logic controllers from finite state machines specification,” 2011 möglichen Testkomponenten zu verifizieren. Basierend 3rd Int. Work. Dependable Control Discret. Syst. DCDS’11 – Conf. auf einem akademischen Labordemonstrator sowie drei Proc., pp. 1–6, 2011, doi: 10.1109/DCDS.2011.5970309. industriellen Use Cases wurde das Konzept anschließend 12. K. E. T. Kernschmidt, Interdisciplinary structural modeling of mechatronic production systems using SysML4Mechatronics. exemplarisch angewendet und erfolgreich evaluiert. Da- 2019. durch konnten das Potential der Methode sowie künftige 13. S. Ulewicz and B. Vogel-Heuser, “Guided semi-automatic Verbesserungsmöglichkeiten aufgezeigt werden. Der Fo- system testing in factory automation,” IEEE kus der weiteren Arbeiten wird somit auf der Fusion von Int. Conf. Ind. Informatics, pp. 142–147, 2017, überlappenden Testfällen, der Auswertung komplexerer doi: 10.1109/INDIN.2016.7819148. 14. A. Weigl et al., “Generalized test tables: A powerful Netzwerkstrukturen sowie der Einbeziehung von Pneuma- and intuitive specification language for reactive tik und Hydraulik in die Betrachtungen liegen. systems,” Proc. – 2017 IEEE 15th Int. Conf. Ind. Informatics, INDIN 2017, pp. 875–882, 2017, Finanzierung: Teile der beschriebenen Konzepte und Er- doi: 10.1109/INDIN.2017.8104887. gebnisse wurden im Rahmen des Projekts EfiMA – „Effizi- 15. B. Vogel-Heuser and F. Ocker, “Maintainability and evolvability of control software in machine and plant ente Fehlersuche für sichere variantenreiche Maschinen- manufacturing — An industrial survey,” Control Eng. und Anlagenautomatisierung“ – erarbeitet, welches durch Pract., vol. 80, no. December 2017, pp. 157–173, 2018, die Bayerische Forschungsstiftung gefördert wird. doi: 10.1016/j.conengprac.2018.08.007.
386 | S. Ziegltrum und B. Vogel-Heuser, Automatisierte Generierung von Sicherheitstests 16. B. Motamedian, “MBSE Applicability Analysis,” Int. J. Sci. Eng. Res., vol. 4, no. 2, pp. 1–7, 2013. Autoreninformationen 17. A. Arrieta, G. Sagardui, L. Etxeberria and J. Zander, “Automatic generation of test system instances for configurable Simon Ziegltrum cyber-physical systems,” Softw. Qual. J., vol. 25, no. 3, Technische Universität München, Lehrstuhl pp. 1041–1083, 2017, doi: 10.1007/s11219-016-9341-7. für Automatisierung und 18. E. Neumann, J. Fischer, F. Ocker, S. Diehm, M. Schwarz and Produktionssysteme, Boltzmannstr. 15, B. Vogel-heuser, “Formalization of Design Patterns and Their 85478 Garching bei München, Deutschland Automatic Identification in PLC Software for Architecture s.ziegltrum@tum.de Assessment,” accepted IFAC World Conference 2020, IFAC-PapersOnLine, vol. 53, no. 1, 2020. 19. D. Schäfer, Variantentechnologie unter besonderer Berücksichtigung von Elektrotechnik-CAD. Shaker, 2003. Simon Ziegltrum, M. Sc., ist wissenschaftlicher Mitarbeiter am Lehr- 20. B. Vogel-Heuser, J. Fischer, S. Feldmann, S. Ulewicz and S. stuhl für Automatisierung und Informationssysteme der Techni- Rösch, “Modularity and architecture of PLC-based software schen Universität München. Sein Forschungsinteresse gilt dem for automated production Systems: An analysis in industrial Modelbasierten Systems Engineering von automatisierten Sonder- companies,” J. Syst. Softw., vol. 131, pp. 35–62, 2017, maschinen sowie Methoden zu deren Qualitätssicherung. doi: 10.1016/j.jss.2017.05.051. 21. A. Rink, Entwicklung einer Methode für die systemtechnische Auslegung verteilter und sicherheitskritischer Birgit Vogel-Heuser Führungsfunktionen für Fahrzeugantriebe. Bergische Technische Universität München, Lehrstuhl Universität Wuppertal, 2002. für Automatisierung und 22. S. Rösch, S. Ulewicz, J. Provost and B. Vogel-Heuser, “Review of Produktionssysteme, Boltzmannstr. 15, Model-Based Testing Approaches in Production Automation 85478 Garching bei München, Deutschland and Adjacent Domains-Current Challenges and Research vogel-heuser@tum.de Gaps,” J. Softw. Eng. Appl., vol. 08, no. 09, pp. 499–519, 2015, doi: 10.4236/jsea.2015.89048. 23. B. Vogel-Heuser, C. Legat, J. Folmer and S. Feldmann, “Researching Evolution in Industrial Plant Automation: Scenarios and Documentation of the Pick and Place Unit,” Tech. Univ.-Prof. Dr.-Ing. Birgit Vogel-Heuser leitet den Lehrstuhl für Auto- Rep., no. TUM-AIS-TR-01-14-02, 2014. matisierung und Informationssysteme der Technischen Universität München. Ihre Forschungsgebiete adressieren die System- und Softwareentwicklung, insbesondere die Modellierung verteilter, intelligenter, eingebetteter Systeme.
Sie können auch lesen