用于验证工业机器系统的方法和系统与流程

1.本发明涉及一种方法，在该方法中借助计算机辅助的安全测试来检查或者验证工业机器或者自动化设备。
2.此外，本发明还涉及一种包括指令的计算机程序，在通过工程平台执行指令时，该指令使工程平台执行前述方法。
3.此外，本发明还涉及一种机器可读的数据载体和一种具有前述计算机程序的数据流。在此，计算机程序例如能够以加密的和/或压缩的形式存在。
4.此外，本发明还涉及一种工程平台，包括上述计算机程序。


背景技术：

5.开头所述类型的方法，也就是自动化技术领域中工业机器或自动化设备的安全测试，由现有技术公知。例如，us 2004/0153788 a1示出一种方法，其中，工业机器的各个部件能够被检查。计算机辅助的安全测试在此设计为在工程平台上运行的向导。在现有技术中已知的方法中不利的是，在机器验证的范围内借助于这种安全测试仅能够验证机器的确定的各个部件、例如驱动器。


技术实现要素：

6.因此，本发明的目的能够在于，提供克服上述缺点的方法和系统，尤其是以工程平台的形式提供。
7.根据本发明，本发明的目的利用开头提及的方法通过如下方式来解决，即，在计算机辅助的安全测试中对全部工业机器或全部自动化设备的至少一个驱控路径进行检查。
8.本发明例如能够实现对工业机器或自动化设备的安全功能的功能测试。
9.在实施方式中能够规定，计算机辅助的安全测试从通过工业机器或通过自动化设备可用的数据中得出至少一个驱控路径，优选自动地得出，并且从这些数据中生成用于得出的至少一个驱控路径的测试规范或测试情况的描述。根据本说明书，能够执行安全测试。
10.此外能够规定，得出多个驱控路径并且针对每个驱控路径生成测试规范或者测试情况的描述。
11.对于描述一个测试情况或多个测试情况重要的可用数据例如能够从在控制系统和驱动系统中可用的机器信号和/或机器状态中读出并且优选地可视化。
12.在实施方式中能够有利地规定，计算机辅助的安全测试自动地执行对至少一个驱控路径的检查。
13.在一个实施方式中，能够适宜的是，至少一个驱控路径以传感器装置开始并且以反馈部件结束，并且在检查至少一个驱控路径时检查各个物理的和/或数据技术的接口。这具有的优点是，在安全测试中，机器/设备中的自动化和驱动部件的接口能够一起包含到验证中并且被验证。
14.在实施方式中能够规定，传感器装置具有紧急关闭按钮和/或紧急停止按钮和/或
安全位置开关和/或一个或多个技术传感器或测量传感器和/或传感器开关，例如响应接触的开关。
15.在一个实施方式中能够有用的是，在计算机辅助的安全测试中，
[0016]-为了检查至少一个驱控路径，限定工业机器或自动化设备的相应的初始状态并且确定相应的测试流程，
[0017]-将工业机器或自动化设备设置或转移到初始状态中并且在此期间进行监控，
[0018]-从初始状态开始执行测试流程，其中，在测试流程中监控工业机器或自动化设备。
[0019]
测试流程能够包括一个或多个测试步骤，在测试步骤中描述工业机器或自动化设备的处理指示和预期的反馈。
[0020]
上述方法允许将测试情况描述(初始状态、测试流程)传输到其他工业机器/自动化设备以便重复使用。
[0021]
在实施方式中能够规定，在监控中检查工业机器或自动化设备在(多个)处理步骤上的一个或多个反馈是否与一个/多个预期的反馈一致。
[0022]
在本发明的上下文中，术语“对处理步骤的预期响应”被理解为工业机器或自动化设备的由执行处理步骤而引起的行为，工业机器或自动化设备必须显示该行为，以便对应于处理步骤的子测试能够被认为已经成功完成。
[0023]
换句话说，为了执行一次测试，能够需要多个子测试，其中，每个子测试通过一个处理步骤进行。每个处理步骤导致子结果，其能够被认为是子测试的结果。
[0024]
在此能够有利地规定，在全部测试流程期间，监控并且优选记录对于测试流程而言重要的数据、工业机器或自动化设备的状态、所执行的处理步骤和工业机器或自动化设备对所执行的处理步骤的反馈。
[0025]
如果在计算机程序中指明并记录了实际上未采取的规定的处理步骤和/或未实现的制造设备的状态，则这能够是特别有用的。
[0026]
在实施方式中能够规定，计算机辅助的安全测试还包括验收测试，在验收测试中检查至少一个安全功能和/或安全子功能。
[0027]
在实施方式中能够有利的是，工业机器或自动化设备以模拟、真实工业机器或自动化设备的数字图像的形式、尤其以数字孪生的形式存在。
[0028]
在实施方式中能够规定，由操作者执行或者自动执行计算机辅助的安全测试。
[0029]
上述目的还利用根据本发明的计算机程序来实现，该程序包括指令，当通过连接到工业机器或自动化设备的计算机执行计算机程序时，这些指令使工业机器或自动化设备能够执行上述方法。计算机程序例如能够存储在笔记本电脑或平板电脑上。
[0030]
能够在不同的平台(工程平台，hmi)上实现方法。
[0031]
总体上，上述方法提供了测试情况的一般性描述。测试情况能够包括初始条件、处理指示和响应。能够在机器上或自动化设备上手动地通过用户或通过基于软件的自动流程来执行这些(不同的)测试情况(利用不同的测试流程)。
[0032]
对于测试情况的描述重要的数据能够从在控制和驱动系统中可用的机器信号和/或机器状态中读出并且例如可视化。工业机器或自动化设备的反馈限定了工业机器或自动化设备在测试流程中必须采用的具体的和详细的行为，以便能够成功地结束测试。
[0033]
利用计算机程序执行安全测试为用户提供了基于助理的测试情况的简单执行。助理例如能够自动地由测试情况描述生成并且在测试执行的范围内访问工业机器或自动化设备(在控制和驱动系统中可用)的数据和状态。除了这种手动执行外，如已经描述的，该方法还允许测试情况的自动化，因此测试情况能够自主地例如在控制器上运行。
[0034]
一方面，该方法在工业机器或自动化设备的验证中，尤其是在其布线的验证中，实现更高的透明度。另一方面，该方法能够明显减少机器制造商对于用于测试的过程制定以及对于测试步骤的手动描述、执行和记录所花费的时间和耗费。
附图说明
[0035]
下面借助于在附图中示出的实施例更详细描述和解释本发明。示出了：
[0036]
图1示出用于检查制造设备的安全性的系统，以及
[0037]
图2示出制造设备的验证方法的一个实施例的流程图。
[0038]
在实施例和附图中，相同的或起相同作用的元件能够分别设有相同的附图标记。此外，权利要求和说明书中的附图标记仅用于更好地理解本技术，而绝不应被视为对本发明的主题的限制。
具体实施方式
[0039]
首先，参照图1。该图示出用于检查制造设备的安全性的系统1。用于检查工业机器、例如工具机或者自动化设备、例如制造设备的安全性的系统具有功能性，该功能性典型地包括三个功能：检测、评估和反馈。每个功能例如能够借助于硬件或软件部件来执行，其中，这些硬件和/或软件部件彼此共同作用以实现安全系统的功能。这三个部件能够在结构上彼此分开地构造和/或具有用户接口。
[0040]
系统1能够被构造为工程平台或工程平台的一部分。工程平台的一个实例是tia(英语：totally integrated automation)端口。
[0041]
通过连接用于单侧或双侧信息和/或信号交换的部件，能够实现各个部件的共同作用。这些部件例如能够是线缆连接的。部件的连接也能够经由无线电实现。
[0042]
在图1中示出的系统1包括传感器装置2(检测)、控制单元3(评估)和反馈部件4(反馈)。
[0043]
传感器装置2具有(这里未示出的)工具机的紧急关闭按钮或紧急停止按钮20和能够布置在(这里未示出的)制造带上的安全位置开关21。传感器装置2也能够包括一个或多个其他类型的传感器。各个传感器能够构造为技术传感器或测量传感器或传感器开关，例如上述的响应接触的开关20。
[0044]
传感器装置2与控制单元3借助连接50、51、52、53连接。数据连接例如能够作为线缆(在该情况下称为在传感器装置2与控制单元3之间的布线)或作为数据总线系统(例如现场总线)。控制单元3由传感器装置2、例如由紧急关闭按钮或紧急停止按钮20或由安全位置开关21接收的信号进行评估并且例如经由另外的连接向反馈部件4发送相应的信号/指令，以便经由反馈部件4驱控工具机和/或制造带。其他连接同样能够构造为线缆54(控制单元3的数字输出端)或者构造为现场总线55。
[0045]
控制单元3能够将评估结果传输到反馈部件，例如以循环电报的形式。例如，评估
部件能够配备有优选地无错误运行的评估计算机程序，用于评估由检测部件接收的信号，并且优选地具有配备有操作表面的用户接口。
[0046]
反馈部件4包括构造为转换器40的驱动单元和致动器41，致动器例如能够构成为换向阀。致动器41例如能够被设置用于例如液压地或气动地驱动(在此未示出的)工具机的一个或多个机器部件。转换器40例如能够构造为变频器。转换器40能够被设置用于驱动工具机、制造带的一部分或全部或制造设备的另外的部分或另外的部件。
[0047]
总体上，图1能够识别多个驱控路径，经由这些驱控路径能够将安全相关的信号从传感器装置2传输至反馈部件4。例如，连接52和53形成逻辑的、优选错误安全的驱控路径的一部分。连接50、51同样形成逻辑的、优选错误安全的驱控路径的一部分。每个驱控路径在传感器装置2的传感器20、21中开始并且在转换器40或致动器41中结束。因此，它是全部制造设备的驱控路径。
[0048]
转换器40例如能够构造为用于驱动器(在此未示出)、例如工具机的推进装置或主驱动装置的供应单元。
[0049]
致动器41例如能够构造为气动或液压致动器、辅助驱动器等。
[0050]
在能够将制造设备投入运行之前，借助计算机辅助的安全测试检查系统1，其中，在安全测试中，对至少一个所述驱控路径进行检查。计算机辅助的安全测试是借助于计算机程序执行的安全测试。
[0051]
在检查一个驱控路径或多个驱控路径时，能够检查各个物理和/或数据技术的接口，例如各个连接50至55。
[0052]
通过这样地检查各个数据点，能够形成从传感器20、21至转换器40或致动器41的全部信号路径，并且由此将其包括在测试中。因此，对全部制造设备进行测试——布线测试。
[0053]
图2示出计算机辅助的安全测试1000的一个实施例的流程图，其中，检查至少一个驱控路径。为此，计算机辅助的安全测试1000能够从经由工业机器或经由自动化设备可用的数据中优选自动地得出驱控路径，并且生成用于所得出的至少一个驱控路径的测试规范。驱控路径的检查能够由计算机辅助的安全测试1000自动地执行，并且优选地基于测试规范执行。
[0054]
首先，步骤100，能够为了检查至少一个驱控路径而确定(全部)制造设备的初始状态和测试流程。换言之，能够有利的是，从确定的相应的初始状态出发并且根据确定的测试流程来检查确定的驱控路径。
[0055]
这例如能够通过操作者来进行，该操作者在计算机程序中限定初始状态并且确定用于检查确定的驱控路径的测试流程。
[0056]
随后，步骤200，将制造设备设定到初始状态中。初始状态例如能够规定，致动器41(例如轴)应被移动到限定的位置中。在计算机辅助的安全测试中监控制造设备到预限定状态的移位。在此确保了，通过例如检查是否制造设备对在初始状态的移位中执行的处理进行适当的反馈，即制造设备的反馈对应于待预期的反馈的处理，正确地或适当地执行动作——移位。如果在将制造设备置于初始状态中时没有出现错误，则释放(另外的)测试流程——箭头y。
[0057]
如果在将制造设备置于初始状态时其反馈不对应于待预期的反馈——箭头n(致
动器41例如保持静止或未移动到限定的位置)，则计算机程序能够输出警告通知并且要求操作者消除所出现的一个或多个错误——步骤210。在消除了一个或多个错误并且达到了所限定的初始状态之后，释放另外的测试流程。也能够想到，计算机程序自动地/自行消除错误并且优选对其进行记录。如果制造设备被构造为数字孪生，即真实制造设备的数字图像，则后者尤其能够是这种情况。
[0058]
在达到(限定的)初始状态之后，或者在没有错误的情况下或者在消除所有错误之后，释放测试的进一步的流程。
[0059]
测试流程能够包括对待执行的处理和制造设备的待预期的反馈的描述。换言之，在计算机辅助的安全测试期间，操作者能够通过获得处理指示从计算机程序通过测试来引导。
[0060]
在此，在全部流程期间，能够监控和优选记录与测试流程相关的数据、制造设备的状态，例如由操作者执行的处理步骤，以及制造设备对所执行的处理步骤的反馈。如果在计算机程序中指明并记录了实际上未采取的规定的处理步骤和/或未实现的制造设备的状态，则这能够是特别有用的。
[0061]
在每个执行的处理中例如能够将制造设备对该处理的反馈与待预期的反馈进行比较。
[0062]
在另外的测试流程中，例如能够检查，转换器40是否响应于由传感器20、21发出的信号执行一个或多个安全子功能42、43，而不必自己检查这些安全子功能42、43。
[0063]
每个驱动单元包括至少一个安全功能。至少一个安全功能集成在每个驱动单元中。术语“安全功能”在功能安全性的领域是公知的。安全功能包括从传感器到致动器或到驱动器/转换器的(所有)安全子功能。
[0064]
安全功能的非穷举列表是：sto(安全转矩关闭)；ss1(安全停止1)；ss2(安全停止2)；sos(安全操作停止)；sls(安全受限速度)；ssm(安全速度监控器)；ssr(安全速度范围)；slp(安全受限位置)；sdi(安全方向)。上述安全子功能例如包含在din en 61800-5-2中。其他的安全子功能例如是sp(安全位置)；sbc/sbt(安全制动控制，安全制动测试)。
[0065]
此外，安全测试能够包括验收测试，在该验收测试中，也检查安全子功能42、43中的至少一个安全子功能的执行的正确性——步骤400。
[0066]
验收测试也作为配置测试(iec 61800-5-2)或安全验收测试已知。在验收测试中，能够执行以下步骤中的一个或多个：
[0067]-针对正确的参数化检查一个或多个安全功能；
[0068]-通过测量反馈时间和/或在违反极限值的情况下观察停止反馈来执行(规划的)安全功能的可信度检查；
[0069]-记录参数化的安全功能。
[0070]
上述计算机程序例如能够可执行地存储在计算机可读的数据载体上。数据载体例如能够作为笔记本电脑5的、即便携式计算机的硬盘。笔记本电脑5例如能够连接到上述工程平台或是上述工程平台的一部分。
[0071]
为了执行安全测试，笔记本电脑5连同安装在其上的计算机程序能够连接在真实的制造设备的系统1上或者与其数字图像连接。
[0072]
尽管通过实施例更详细示出并描述了本发明，但本发明不受所公开的实例限制。
其变型方案能够由本领域技术人员在不偏离如所附权利要求所限定的本发明的保护范围的情况下导出。尤其是结合该方法描述的特征(图2)也能够在系统(图1)中使用或者补充该系统，反之亦然。

技术特征：
1.一种用于借助计算机辅助的安全测试(1000)检查工业机器或自动化设备的方法，其中，利用所述计算机辅助的安全测试(1000)对全部所述工业机器的或全部所述自动化设备的至少一个驱控路径进行检查。2.根据权利要求1所述的方法，其中，所述计算机辅助的安全测试(1000)从与所述工业机器或所述自动化设备相关的可用的数据得出、优选自动地得出至少一个所述驱控路径，并且所述计算机辅助的安全测试生成用于得出的至少一个所述驱控路径的测试规范。3.根据权利要求1或2所述的方法，其中，所述计算机辅助的安全测试(1000)自动地执行对至少一个所述驱控路径的检查。4.根据权利要求1至3中任一项所述的方法，其中，全部所述工业机器的或全部所述自动化设备的至少一个所述驱控路径以传感器装置(2，20，21)开始并且以反馈部件(4，40，41)结束，并且在检查至少一个所述驱控路径时，检查各个物理的和/或数据技术的接口。5.根据权利要求4所述的方法，其中，所述传感器装置(2)具有紧急关闭按钮或紧急停止按钮(20)和/或具有安全位置开关(21)和/或具有一个或多个技术传感器或测量传感器和/或具有传感器开关，例如具有响应接触的开关。6.根据权利要求1至5中任一项所述的方法，其中，利用所述计算机辅助的安全测试，-为了检查至少一个所述驱控路径而限定所述工业机器或所述自动化设备的相应的初始状态，并且确定相应的测试流程，-将所述工业机器或所述自动化设备移到所述初始状态中并且在所述初始状态期间进行监控，-从所述初始状态开始执行所述测试流程，其中，在所述测试流程期间监控所述工业机器或所述自动化设备。7.根据权利要求6所述的方法，其中，在全部所述测试流程期间，监控并且优选记录对于所述测试流程而言重要的数据、所述工业机器或所述自动化设备的状态、执行的处理步骤以及所述工业机器或所述自动化设备对所述执行的处理步骤的反馈。8.根据权利要求1至7中任一项所述的方法，其中，所述计算机辅助的安全测试包括验收测试，利用所述验收测试检查至少一个安全功能和/或安全子功能(42，43)。9.根据权利要求1至8中任一项所述的方法，其中，所述工业机器或所述自动化设备以模拟的形式、以真实工业机器或自动化设备的数字图像的形式、尤其以数字孪生的形式存在。10.根据权利要求1至9中任一项所述的方法，其中，由操作者或者自动地执行所述计算机辅助的安全测试。11.一种计算机程序，包括指令，当由工程平台实施所述指令时，所述指令使所述工程平台执行根据权利要求1至10中任一项所述的方法。12.一种机器可读的数据载体，包括根据权利要求11所述的计算机程序。13.一种数据流，所述数据流承载根据权利要求11所述的计算机程序。14.一种工程平台，包括根据权利要求11所述的计算机程序。

技术总结
本发明涉及一种方法，在该方法中，借助计算机辅助的安全测试(1000)来检查工业机器或自动化设备，其中，在计算机辅助的安全测试(1000)中，对全部工业机器或全部自动化设备的至少一个驱控路径进行检查。至少一个驱控路径进行检查。至少一个驱控路径进行检查。


技术研发人员：乌尔里希
受保护的技术使用者：西门子股份公司
技术研发日：2021.11.15
技术公布日：2023/8/4