法律状态公告日
法律状态信息
法律状态
2019-03-22
授权
授权
2014-05-07
实质审查的生效 IPC(主分类):G05B19/042 申请日:20120730
实质审查的生效
2014-04-09
公开
公开
本发明涉及自动化技术领域。
现代自动化技术系统配备有在安全相关的事件中触发的安全功能。安全功能 的一个例子是一种机械的紧急停止装置。此类的安全功能通常具有一个根据DIN EN ISO13849-1标准定义的结构。因此,定义有三个功能块S1,S2和S3,所述 的三个功能块通过安全相关的应用软件建立并串联起来。一个第一功能块S1涉 及输入处理并且为,例如安全感应器的输出信号的等价性评估的执行所提供。一 个为中间处理所提供的第二功能块S2,连接在所述第一功能块S1的下游。当输 入处理的输出信号不能与,例如一个硬件输出或输出处理直接连接时,所述中间 处理是必须的。所述中间处理可以实施一个紧急停止装置。一个为输出处理所提 供的第三功能块S3被连接于所述第二功能块S2的下游。当功能块被直接连接于 一个设备,如用于控制和监测所述输出的外部监测装置(EDM)的硬件输出的上 游时,所述输出处理是必须的。
所述功能块S1-S3能够通过特定的软件模块被映射至一个安全程式界面上。 所述模块能够形成现存的安全程式界面的一部分。所述安全程式界面的特征在 于,其具有一种能够识别随机误差并且以一种不会使所述误差引起安全关键行为 的方式响应此类误差的措施。除此之外,所述安全程式界面必须经由一种能够抵 消系统误差的开发过程所创造。
对于每一种安全功能,上面描述的结构是以图形的形式表现出来的,如根据 DIN EN ISO13849-1标准。每一个功能块S1,S2,S3包括一个快捷菜单,其中 所述要求通过如表格、列表的形式指定出来。用户向所述快捷菜单所提供的信息 与传统的规范信息相对应。
通常必须由应用软件实施的所述安全功能,特别是与风险分析的要求有关的 必须被指定和实施。为了实现这一目的,目前必须要遵照下述的流程步骤P1至 P7。
P1:所述安全相关应用软件的规范;
P2:对所述规范的验证;
P3:通过编码创建所述安全相关的应用软件;
P4:通过白盒测试对所述安全相关的应用软件进行验证;
P5:创造一个用以验证所述安全相关应用软件的黑盒测试规范;
P6:验证所述黑盒测试规范;
P7:以黑盒测试规范为基础验证所述安全相关的应用软件。
所述流程步骤P1至P7目前必须进行有组织性的计划并由用户手动执行。然 而,这样的操作是复杂的并且具有较高的误差可能性。
因此本发明的目标是创造一种设备的安全功能自动生成的概念。
本发明是以一个设备能够自动生成一个安全功能这一发现为基础的,例如在 一个安全程式环境中,例如通过应用软件,如果能够对所述安全功能进行自动检 查或验证的保护层已经被提供于所述安全功能的规范/设计之中。
因此,一个从规范到安全相关应用软件的过程管理功能能够被自动应用于机 械和设备的功能性安全应用的安全程式界面中。在这一方面,所述规范部分,例 如数字软件规范,可能被集成于可能具有如快捷菜单之类的安全软件界面之内。 通过所述快捷菜单的这些细节,所述安全程式界面能够为每一个功能块创建源代 码,并且所述源代码可以配置和制造完全程式化和参数化的安全功能。
在一个方面,本发明涉及一种用于对设备自动创建可执行安全功能的方法, 包括输入具有确定的安全功能的数字参数,在所述数字参数的基础上确定第一校 验值,从多个预设的数字功能模块将一些数字功能模块自动分配至输入数字参数 以取得预设安全功能的安全功能源代码,编译安全功能源代码以取得可执行的安 全功能,在所述可执行安全功能的基础上确定第二校验值,并且当所述第一校验 值和第二校验值达到验证标准时输出可执行的安全功能。
所述可执行的安全功能是,例如通过一个处理器或通常借助一个数据处理系 统可执行。所述可执行的安全功能可以被创建为应用软件,当其执行时,提供了 一个实现根据DIN EN ISO13849-1标准的结构模型的程序。所述可执行安全功 能可以被创建为至少部分全自动,即基于数字规范信息而不与用户发生互动。
所述数字参数可以以数值的形式呈现,也可能,例如,代表与所述安全功能 所需的安全完整性相关的安全相关设备参数。所述数字参数可能是与所述功能块 相连的设备硬件的软件连接,在所述功能块,所述功能块本身和特征化、参数化 所述功能块的参数之间的逻辑连接。
根据所述数字参数确定的所述第一校验值可能在第一保护层被确定并且对 于每一个安全功能可能来自于所述数字参数本身或包括功能块及其参数的数字 参数。
多个预先定义的数字功能块可以被存储于数字功能块库中,例如一个数据 库。通过可能受到可执行的计算机例行程序的影响的自动分配,所述数字功能块 根据输入数字参数被选定,借以自动生成所述安全功能源代码。所述功能块本身 可以以功能块源代码的形式被呈现。所述功能块可以根据DIN EN ISO13849-1 标准自动连接并且共同形成一个安全功能源代码。
所述可执行安全功能,例如以可执行应用软件的形式,通过对安全功能源代 码的编译取得。在所述安全功能源代码的编译过程中,所述安全功能源代码的指 令被映射与,如设备可执行的指令之上。
所述第二校验值根据所述可执行安全功能进行确定。所述第二校验值可以在 第二保护层内被确定。此处所述第二校验值被用于,如自动生成软件代码。
在所述可执行安全功能输出之前,所述第一校验值和第二校验值关于一个常 规的验证标准进行验证。如果两个校验值都满足所述常规验证标准,所述可执行 安全功能,如一个紧急停止被输出,即被提供。
根据本发明的一个实施例,当第一校验值和第二校验值不满足验证标准时, 所述可执行安全功能被放弃。在这一点上,例如,一个错误信息而不是一个可执 行的安全功能被输出。
根据本发明的一个实施例,所述第一校验值通过一个数字监测规则的应用来 确定,特别是对于循环冗余校验和校验和的确定,确定为数字参数,特别是确定 为分别分配给数字功能块或数字功能块组合的数字参数。所述第一校验值能够通 过可执行计算机例行程序被优先地自动生成。
根据本发明的一个实施例,所述第一校验值和第二校验值根据相同的数字检 查规则进行确定,特别是对于循环冗余校验和校验和的确定。有利地启用了一种 常规的验证标准,例如,所述两个校验值的等价性。
根据本发明的一个实施例,一个可执行的验证功能根据用于确定第二校验值 的数字检查标准在编译步骤中被生成。
所述编译可以收到编译器,即一种已知的程序翻译器的影响。此处可以根据 所述数字检查规则创建检查数据,所述检查数据提供一个或多个黑盒测试规范作 为测试用例。所述测试用例可能是预定义的,如手动地,特别是对于所述安全功 能的每一个功能块。独立功能块的测试用例可以根据所述安全功能的规范,如通 过数字参数被编译为用于整个安全功能。根据所述预定义的测试用例,可以确定 每个测试用例的校验和,其中一个校验和是一个第二校验值的示范性实施例。在 每个示例中因此可以对每个测试用例确定一个第二校验值。所述第二校验值能够 分别被验证,例如通过根据检查规则与第一校验值,或与不同保护层的更多校验 值进行比较。
根据本发明的一个实施例,所述可执行验证功能包括用于数字参数的可执行 检查规则列表,所述数字参数被分配给至少一个选定的数字功能块或选定的数字 功能块的组合。所述可执行检查规则的列表也可以包括含有功能块和参数或已连 接实际参数和形式参数的逻辑操作。
根据本发明的一个实施例,执行所述可执行的验证功能以确定第二校验值。 在此处执行所述黑盒测试规范,如通过一个处理器。
根据本发明的一个实施例,当第一校验值和第二校验值相等或第一校验值和 第二校验值没有超过一个阈值,特别是一个相同的阈值时,所述第一校验值和第 二校验值满足验证标准。所述阈值可能是预定义的并且可能根据测试用例发生变 化。
根据本发明的一个实施例,所述数字参数进一步包括至少指定一个安全相关 设备功能的设备参数。所述安全相关设备功能可以根据DIN EN ISO13849-1标 准指定一个紧急停止或其他安全相关设备功能。
根据本发明的一个实施例,所述数字参数从一个表格中读取,特别是从数字 规范,或是从储存器中以输入所述数字参数。所述数字规范可以是由用户通过软 件浏览器或编辑器制作的。所述数字参数可以从软件浏览器或文本编辑器中自动 读取。此处,可以指导用户在一个结构化模式下制作所述可执行安全功能,例如 在网页浏览器中。
根据本发明的一个实施例,在数字功能块的分配步骤中,选定一个第一数字 功能块用于输入信号处理,选定一个第二数字功能块用于处理第一数字功能块输 出的信号,即用于中间处理,选定一个第三数字功能块用于根据第二数字功能块 输出的信号生成一个设备输出信号。所述结构,例如根据DIN EN ISO13849-1 标准被应用于此处。
根据本发明的一个实施例,所述第一数字功能块是为传感器信号的评估提供 的,特别是传感器信号的等价性评估或异或性评估,其中第二数字功能块是为安 全操作的生成而提供的,特别是紧急停止,启动锁或关闭锁,并且其中的第三数 字功能块是为根据所述安全操作控制设备的信号输出而提供的。
根据本发明的一个实施例,所述分配步骤中,生成一个终端链接图用于所述 设备的布线。所述输入/输出连接可以被应用于此处,例如,通过软件。
根据本发明的一个实施例,所述分配步骤中,生成一个终端链接图用于所述 设备的布线。所述终端链接图可以显示可执行安全功能的执行设备的外部布线。
根据本发明的一个实施例,更多的校验值被进一步确定以验证所述可执行安 全功能。更多的校验值可以在更多的保护层中被确定,例如上文所解释过的,并 且可能被用于与第一和/或第二校验值的额外比较以实现更多的测试用例。
根据本发明的一个实施例,该方法是通过一种数据处理系统来实现的。所述 数据处理系统可能具有一个被配置为运行计算机程序的处理器,所述数据处理系 统执行自动创建可执行安全功能的方法的步骤。
根据本发明的进一步方面,本发明涉及一种当所述计算机程序运行一个数据 处理系统时,执行自动创建可执行安全功能的方法的计算机程序。
根据本发明的进一步方面,本发明涉及一种通过为对设备自动创建可执行安 全功能编程建立的设备,所述设备具有一个处理器,被配置为用于输入具有确定 的安全功能的数字参数,用于在所述数字参数的基础上确定第一校验值,用于从 多个预设的数字功能模块将一些数字功能模块自动分配至输入数字参数以取得 预设安全功能的安全功能源代码,用于编译安全功能源代码以取得可执行的安全 功能,用于在所述可执行安全功能的基础上确定第二校验值,并且用于当所述第 一校验值和第二校验值达到验证标准时输出可执行的安全功能。
根据本发明的一个实施例,所述处理器被配置为用于运行执行自动创建可执 行安全功能方法的计算机程序。
通过编程配置的所述设备的其他特性或其功能可以直接来自于自动创建可 执行安全功能的方法。
参考所附附图,以更加充分的描述本发明的实施例。然而,所附附图仅用于 说明和阐述,并不构成对本发明范围的限制。
图1是一种自动创建可执行安全功能的方法的示意图;
图2是根据本发明的一个实施例通过编程配置的设备的结构图;
图3是根据本发明的一个实施例的安全功能的结构;
图4是根据本发明的一个实施例的安全功能的结构图;
图5a,5b,5c是根据本发明的一个实施例的一种自动生成可执行安全功能 的方法的示意图;
图6是一个软件开发图。
图1是一种自动创建可执行安全功能的方法的示意图,所述方法包括对数字 参数的测定101以指定一个确定的安全功能,根据所述数字参数确定103一个第 一校验值,从一系列预定义的数字功能块自动分配105数字功能模块至所输入的 数字参数以取得可执行安全功能的安全功能源代码,编译107所述安全功能源代 码以取得所述可执行安全功能,根据所述可执行安全功能确定108一个第二校验 值,验证111以确定所述校验值是否满足验证标准,当所述第一校验值和第二校 验值满足验证标准时输出113可执行安全功能。所述方法进一步包括当第一校验 值和第二校验值不满足所述验证标准时放弃所述可执行安全功能。在执行了放弃 步骤115之后,所述方法可以继续前述的步骤之一,或者,例如输出一个错误信 息。
所述第一和第二校验值可以在循环冗余校验的基础上进行确定,其中当所述 第一校验值和第二校验值是,例如相等的时所述验证标准被满足。
图2是一个设备200的结构图,所述设备通过编程被配置为具有用于运行计 算机程序以执行图中所述方法的处理器201。
通过如图1所述的方法或通过如图2中所述程序配置的设备,所述可执行安 全功能可以以应用软件的形式创建,其软件结构是确定的,如根据DIN EN ISO 13849-1标准且在图3中示出。
所述安全功能包括一个用于处理输入数据(S1)的第一功能块301,一个用 于中间处理(S2)的第二功能块303,第二功能块被连接在第一功能块303的下 游。一个第三功能块305被连接在第二功能块的下游用于输出处理(S3)。所述 输入处理可以评估型安全传感器输出的数据,例如通过一个异或性评估或等价性 评估。所述中间处理被提供为用于将所述第一功能块301的输出与所述第三功能 块305的输入解耦。此处,可以提供一个紧急停止功能,如果一个输入信息的处 理结果如此指示的话。这可能是在安全传感器输出的信息非异或的情况下。
所述第三功能块305传送一个输出信号,所述输出信号可以被用于相应设 备,例如一个电动机的安全控制。图3所示的结构模型的各元件E1-E7的分化顺 序可以遵照DIN EN ISO13849-1标准。每一个元件都能够被指定一个关于规范 信息的检查标准。所述检查标准反映了所述功能块301,303和305的特性并且能 够由数据输入外部确定或定义所述功能块,包括他们的参数化,或能够指定所述 功能块与安全功能之间的连接或能够指定安全相关的设备参数或能够指定代码 模拟以指定一个黑盒测试案例,或能够指示终端链接图。
下表1给出了所述元件E1-E7的示例。
表1
图4是一个在图3所示的软件结构环境下的安全功能的结构的示例。所述安 全功能包括一个第一功能块401,一个第二功能块403被连接在其下游。一个第 三功能块405被连接在第二功能块403的下游。图3所示的相互连接的模块 401,403和405是,例如,基于电子规范并由可执行安全功能的安全功能源代码 定义的数字功能块的自动指定的结果。所述安全功能可能,例如,是一个机械的 第一轴的紧急停止装置。因此,所述第一功能块401能够执行输入处理,其中对 通道CH_A和CH_B执行异或性评估。所述第一功能块401可能具有一个启用输入 ACT,通过他可以启用所述模块。所述第一功能块401进一步包括一个输出OUT, 与所述第二功能块403的输入ESTOP(ESTOP:Emergency Stop,即紧急停止) 相连接。
所述第二功能块403能够执行中间处理并且对一个机械的轴(轴1)生成一 个紧急停止信号。所述第二功能块403包括一个输出OUT,与所述第三功能块405 的输入CONTR(CONTR:Control,即控制)相连接。所述第三功能块405执行输 出处理并且具有一个输出OUT,通过该装置,可以对如机械的轴1之类的装置进 行控制。所述第三功能块405可以包括一个启用输入ACT,通过该输入可以启用 所述第三功能块405。除此之外,平行连接的输入控制EDM_1和EDM_2可以被提 供(EDM:External Device Monitoring,即外部设备监控)。所述第二功能块 403和第三功能块405可以进一步重置故障响应的输入和/或启用启动锁的取消。
表2给出了元件E1,E3,E5和E7的参数示例。
表2
表3阐释了元件E1的一个示例
表3
表4阐释了元件E3,E5的一个示例
表4
表5给出了元件E7的一个示例
表5
图6给出了元件E2,E4和E6的标准的示例。每个元件(功能块)可以要求 特定的检查标准。
表6
表7给出了元件E2的一个示例
表7
表8中给出了元件E4的一个示例
表8
表9给出了元件E6的一个示例
表9
上述表中所总结的数值为所述安全功能提供了数字参数。所述数字参数可以 进一步包括安全相关的设备参数,例如对于输入0的交叉电路检测,在该情况发 生时,如,执行具有测试时钟T0的过程;对于输入1的交叉电路检测,在该情 况发生时,执行具有测试时钟T1的过程;或者对于更多的输入执行交叉电路检 测,如在没有参数值被指定时。
表10示出了设备特定数字参数的示例
表10
表11示出了参数分配的示例
表11
图4中所述的对于安全功能的规范的要求的示例呈现在表12到15中。此处 所表征的特点总是能被数字化编译为数字参数。
表12
下表中括弧内所提供的文字仅用于解释前述文字
表13
表14
表15
通过在电子表单中可得的提供数字参数的规范信息,以及通过如预定义的检 查标准诸如循环冗余校验的生成,所述第一保护层在如第一校验值生成的地方生 成清单。之后,根据规范信息,代码生成器能够生成所述安全功能源代码,例如, 可能包括功能块401,403和405的设置以及如图4所示的部分或全部连接。
如图4所示的安全功能源代码是通过,如一个编译器编译过的。所述编译器 能够对所有功能块,即元件和子元件,从安全功能源代码创建清单,所述源代码 能够显示在一个编辑器中,所述编辑器中生成第二保护层,在所述第二保护层中 确定第二数字校验值。第一和第二保护层中所生成的标准,即校验值,相互进行 比较。如果所述校验值,如数据一样是可得的,是一致的,则保证了安全功能源 代码符合规范的要求。从而所述安全功能源代码得以验证。如果所述校验值是不 同的,所述安全功能源代码不能被验证并输出或发布。在这种情况下,可以有益 地发生所述规范数据的自动转移以自动生成,如实施可执行安全功能的安全相关 应用软件的源代码。在这种情况下,在快捷菜单被标准化的规范文档的规范可以 被映射,从而使得对机械和装置自动生成安全相关软件。
根据本发明的一个实施例,自动创建可执行安全功能的方法可以被细分为以 下分步骤P1至P7。
在分步骤P1中,一个软件结构模型随着所述规范一起能够根据DIN EN ISO 13849-1标准进行定义。这样产生了,例如,图3所示的可执行安全功能的结构。
在分步骤P2中,执行对于所述安全功能的规范的验证。所述规范能够通过 用户使用白盒测试形式的快捷菜单的输入进行验证和发布。
对所述规范的验证可以通过软件界面的检查点集,释放领域等进行支持。所 述验证也可以在软件界面进行记录。
在分步骤P3中所述安全功能源代码被自动生成。根据DIN EN ISO13849-1 标准的结构模型的线性表现,所述安全功能的独立功能模块能够通过软件界面被 关联化和参数化。所述功能块的类型,其为了完整安全功能的设置和连接是从快 捷菜单的细节中得到的,即从所述数字规范信息中。
所述快捷菜单的细节描述了,例如,关于所述软件的性能,相关功能块的类 型,功能块的形式参数设置,以及在图3所示的信息链S1至S3中与硬件以及更 多功能块之间的连接。
所述代码还可以自动生成注释,从而产生一个符合标准的源代码。所述注释 是从快捷菜单的细节中得的,即是从数字规范信息中。
所述与硬件以及更多的安全功能相连的软件连接可以通过程式界面建立。所 述连接是从快捷菜单的信息中创建的,即是从规范信息中。
除此之外,所述安全输入和输出的安全相关的设备参数可以根据所述规范的 细节自动定义。所述安全相关设备参数的值是从,如快捷菜单的安全完整性的细 节中得到的。
此外,安全程式界面的用户能够取得所述传感器和执行器必须怎样与硬件相 连的信息已取得必要的安全完整性。为了达到这一目的,创建,检查和发布电路 实例作为安全软件界面的图形表示。所述用户因此从所述具有注释的规范,与必 要安全完整性相关的设备参数和为了保证所述应用安全完整性的全部信息中取 得了软件项目。
所述安全功能源代码在分步骤P4中被验证。所述源代码和设备参数的自动 生成过程是合格的从而无需用户进行验证。这一验证过程通过循环冗余校验或者 其他安全措施来进行。在快捷菜单信息的基础上形成一个校验和。这一校验和应 当与安全程式界面的编译器生成的校验和相匹配。所述程式界面也执行一个检查 以确定,如所述控制系统的响应时间是否被超过。
在分步骤P5中创建了一个黑盒测试标准。所述黑盒测试标准是通过程式界 面自动创建的例如以列表的形式,基于独立安全功能和其数字规范的要求描述。 所述列表是根据每个安全功能的预定义的测试用例创建的。所包含的安全功能是 从快捷菜单的定义中确定的,即,从规范信息中。在这一措施下可能取得完整的 标准化测试用例的描述。这可能包括一个快捷菜单的信息与创建、检查与发布的 标准化测试用例描述的列表之间的链接。所述测试用例的选定是基于所述安全功 能的必要的安全完整性。此外,安全功能的类型和功能块的组合,参数值和设备 参数,如自动设定的,对于测试用例的自动编译可能是决定性的。结果是对编译 的安全功能自动生成了黑盒测试规范。
在分步骤P6中对黑盒测试规范进行验证。由用户进行的验证是不必要的因 为所述黑盒测试规范的自动创建是合格的。进一步的验证措施在本发明已经公开 的前述DIN EN ISO13849-1标准方面已经进行了描述。
实施所述可执行安全功能的安全相关的应用软件在分步骤P7中进行验证。 此处,所述用户可以以根据自动创建的黑盒测试规范的功能测试的形式,对安全 相关应用软件执行验证并且记录测试结果。
图5a,5b和5c示出了根据本发明的一个实施例自动创建可执行安全功能的 方法的示意图。在步骤501中,所述规范信息经由例如用户通过软件且独立地通 过任何代码生成器进入。在步骤503中,所述规范信息及其规范由用户进行验证。 该验证可以基于测试点被执行,所述测试点可能以清单的形式被提供。
在进一步的步骤505中,所定义的测试标准由数据输入被独立地外部地确 定,该测试标准的定义,例如与所述功能块的步骤501,503同步进行,所述功能 块可能由软件模型提供,包括其参数化,功能块与安全功能的链接,安全相关的 设备参数,代码模拟的规范,黑盒测试用例的规范或终端链接图。
步骤501和/或505提供了用以指定所述安全功能的数字参数。所述数字参 数在步骤507中被汇集。步骤507能够实施一个第一保护层,从而得到一个第一 数字校验值。校验和或其他的软件保护装置能够为所述规范下定义的所有安全功 能在此处形成,包括用于取得安全相关应用软件的安全功能的所有安全相关设备 参数,包括所有参数,代码模拟的测试规范,黑盒测试规范或终端链接图。
此后,一个安全功能的安全功能源代码被创建和编译。为了完成这一步,在 步骤509中,使用一个安全程式界面和/或一个硬件配置工具和/或一个代码生成 器和/或参数生成器,所述执行可执行安全功能的安全相关应用程序能够被自动 生成并且在步骤511中可用。所述安全相关的设备参数组在此处可以被纳入考虑 范围。因此用户不再需要对设备参数进行编程和设置。在对安全功能源代码的编 译中,例如通过一个代码生成器,产生了可执行安全功能,所述安全功能随后在 步骤515中进行验证,映射在一个第二保护层中。一个第二数字校验值在此处生 成。在步骤515中,校验和或其他软件保护装置为自动创建安全相关的应用程序 而形成,所述应用程序代表了可执行安全功能的一个示例,包括全部用于取得安 全完整性的安全相关的设备参数。
在下述步骤517中,对第一和第二保护层的结果进行比较,。所述校验和在 此处,如相对于验证标准进行比较。所述验证标准能够指定两个校验和必须相等 以保证所述独立软件元件能够达到基于规范信息所得到的相同的结果。因此无需 用户对于安全功能源代码进行验证。之后能够提供可执行的安全功能。
下列的步骤是可选的:
针对代码模拟的自动测试标准可以在步骤519中被创建。这种方式下不再需 要用户创建所述测试规范。
在进一步的步骤521中,实现了一个第三保护层,例如通过校验和的生成或 通过其他代码模拟的子标准的软件保护装置能够形成更多的数字校验值。
在进一步的步骤523中,所述第一保护层507和第三保护层521的结果,即 所述数字校验值可以通过,如前述的验证标准来进行比较。此处,所述校验值, 如校验和应当是相等的,从而保证所述独立的软件元件能够达到基于规范信息所 得到的相同的结果。因此用户不再需要对代码模拟的测试规范进行验证。
在进一步的可选步骤524中,所述代码模拟525能够通过软件模拟器或者测 试用例生成器在安全程式界面中被自动执行。因此用户不再需要对软件进行模 拟。
在进一步的步骤526中,可以对代码模拟执行一个测试日志的自动创建。
在进一步的步骤527中,正对安全功能的黑盒测试用例的列表可以进行预定 义,比如关于安全完整性进行指定。在步骤528中,黑盒测试规范能够使用一个 用于独立安全功能的黑盒测试用例生成器529根据规范信息自动创建。
在进一步的步骤530中,实现了一个第四保护层,能够在进一步的第四保护 层中,通过如校验和的形成或其他用于黑盒测试规范的软件相关的安全措施形成 进一步的数字校验值。
在进一步的步骤531中,所述第一保护层507和第四保护层530的数字校验 值进行比较。此处,所述两个校验值,如校验和应当是相等的,以保证所述独立 软件元件,即功能块,能够与基于规范信息的结果相一致。因此用户不再需要对 所述测试规范进行验证。
在进一步的可选步骤533中,所述黑盒测试规范是以,如清单,包括一个测 试过程规范的形式输出的。
在进一步的步骤中,根据所述规范信息,如独立安全功能的传感器和执行器 的链接图能够被自动创建。此处,在步骤534中,链接示例的检查列表能够为如 安全功能所提供,特别是关系到安全完整性的,并且,在步骤535中,能够使用 一个终端和链接图生成器。在步骤536中提供了所述链接图。
在进一步的步骤537中,实现了一个第五保护层,进一步的数字校验值能够 在第五保护层中进行确认。此处所述黑盒测试规范可以形成校验和或其他软件保 护装置。
在进一步的可选步骤538中,对所述第一保护层507和第五保护层537的数 字校验值进行比较。此处执行一个检查以确定两个校验值是否相等,从而保证所 述独立软件元件能够与基于规范信息的结果相一致。因此用户不再需要对所述终 端链接图进行验证。
所述终端链接图能够在进一步的步骤539中输出。此处,一个对终端到传感 器的分配和一个对执行器到所述独立安全功能的分配能够被输出。
所述安全程式界面,用于创建安全相关的应用软件的代码生成器,测试用例 生成器,硬件配置器,黑盒测试用例的综合列表,代码模拟的测试用例列表以及 对终端点的分配是例如相互独立的软件模块,各自独立开发、测试和发布。所述 独立保护层的校验和以不同的方式创建,并且优选的与第一保护层507的结果相 一致。
图6示出了一个所述软件生命周期的根据DIN EN ISO13849-1标准模型。 所述软件生命周期包括安全相关的软件规范601,系统设计603,模型设计605, 编码607,模型测试609,集成测试611以及验证过程613。步骤601至613通 常必须要由用户手动地有组织地执行。这造成了在时间与资源方面的大量支出。 除此之外,在开发过程中可能会出现系统误差。
上文所述的对可执行安全功能的自动生成使得所述步骤605,607,609和611 能够在单个独立的软件模块的基础上自由执行。此处,除了所述安全装置的自动 执行之外,所述独立的工作步骤也能够进行自动验证。通过这种方式,系统误差 被抵消。执行了所述可执行安全功能的应用软件的执行也由此加快了。此外,所 需要的编程资源和验证资源,以及创建、检查和发布所述独立工作步骤的资源都 减少了。
通过对所述安全功能的自动创建,安全相关应用软件的开发过程对于用户而 言变得更容易、更简短、更快速且更经济。除此之外,系统和安全关键误差通过 对所述源代码的自动创建被很好地避免了。根据关于必要的安全完整性的规范细 节,为每一个安全功能自动设立了安全相关的设备参数。为了达到这一目的,用 户不再需要从用户文档取得、安置和验证这些数据。这进一步避免了误差的产生, 节约了资源也节约了时间。另外,根据关于必要响应时间的规范细节,能够为每 一个安全功能自动设立过滤时间和监视时间。从而使得用户无需确定其数据的数 值,在硬件配置中预定义所述数据并进行验证。更进一步,对于所述可编程或可 参数化的安全功能的用户也无需具有安全相关设备参数的知识。由于进一步的误 差来源已经被排出,因此用户不再需要编写它们的软件实现而可以仅将它们自己 限制在安全功能的规范之中。所述用户不再需要验证所创建的安全功能因为验证 程序已经自动集成于所述软件设计过程之中。
所述用户可以在一个符合标准的安全相关的软件开发过程中受到一个程式 界面的指导而无需自行编程。尽管所述代码是自动创建的,用户可以取得一个结 构化的具有注释的源代码从而在维修过程(调试)中进行诊断。通过本发明,在 完成了对所述规范的验证之后,用户因此自动遵循了安全相关应用软件的创建过 程。所述用户因此自动取得了部分书面证明以使其与功能安全的统一的行业标准 以及与机械指引建立一致性。
所述程式界面的用户可以因此在开发过程中受到指导以取得所述安全功能。 用户取得一个工具,通过该工具的自动执行和验证活动能够满足统一标准的要 求。基于规范P1和P2以及P3至P6,所述执行安全功能的安全相关应用软件在 一个安全编程环境下被自动创建。基于规范P1和P2,针对安全功能的验证措施 以黑盒测试规范的形式自动创建。在数据输入的过程中,可以在检测数据的基础 上生成一个端对端的数据安全装置。在输入过程中产生的用以形成数字校验值的 校验和,应当被所有进一步的软件模块所实现以使得所述应用软件能够被验证。 所述保护层实现了对工作步骤的自动验证并且自动创建了工作结果。尽管如此, 安全相关的应用软件的一个结构规范的并且具有注释的安全源代码被生成,能够 在一个安全编程系统的调试模式中进行分析。这一点对于机械维修特别有利。
附图标记:
数字参数输入 101
第一校验值的测定 103
功能块的自动分配 105
安全功能源代码的编译 107
第二校验值的测定 108
验证标准的验证 111
安全功能的输出 113
放弃 115
设备 200
处理器 201
功能块 301
功能块 303
功能块 305
第一功能块 401
第二功能块 403
第三功能块 405
方法步骤 501-539
软件规范(说明) 601
系统设计 603
模块设计 605
编码 607
模块测试 609
集成测试 611
验证 613
机译: 自动创建设备的可执行安全功能的方法和装置
机译: 自动为设备创建可执行安全功能的方法和装置
机译: 自动创建设备的可执行安全功能的方法和装置
