自动化设备的功能模块的检验的制作方法

本发明涉及一种用于检验功能模块的兼容性的方法，功能模块被规定用于过程自动化设备。功能模块设置用于：经由输入端口和输出端口与设备通信。功能模块经由输入端口接收至少一个输入信号并且功能模块经由输出端口示出至少一个输出信号。应当检验的是：功能模块是否产生对于设备适当的输出信号，并且设备是否能够为功能模块供应正确的输入信号。本发明还涉及一种用于执行该方法的工程规划系统。

背景技术：

在用于过程自动化的设备中、或简称自动化设备中，能够基于可编程逻辑控制器(sps)或plc(programmablelogiccontroller)执行过程的调节或控制。为了可编程逻辑控制器实施分别所需要的正确的控制步骤或调节步骤，可编程逻辑控制器借助于控制程序来配置或参数化或规划。该控制程序能够通过一个或多个功能块来提供。替选于可编程逻辑控制器，也能够提供专用的控制电路。

下面，功能块或功能电路统一地以“功能模块”指代。

每个功能模块通过读入至少一个输入信号来实施特定的功能，输入信号分别通过输入值的时间序列来描述。由至少一个输入信号计算出至少一个输出信号，输出信号又分别代表输出值的时间序列。例如，用于控制流水线的驱动的功能模块能够一方面接收运送速度作为输入信号，并且另一方面接收在运送设备中在上游连接或在上游安置的流水线的运行状态作为输入信号，并且相应地调整自身的流水线的运送速度作为输出信号。

为了给设备配设匹配的功能模块，出于经济理由关注的是，继续利用已经完成开发的、原本考虑用于其他设备的功能模块。特别地也有利的是，能够采用其他制造商的功能模块、例如采用分别要控制的设备部件的制造商的功能模块，使得完全地取消自身的开发工作。

功能模块的再应用或其他功能模块的使用在设备配置或规划时被认为是故障源。例如，较早的功能模块能够在不同的假设情况下被开发。用于控制流水线的所描述的功能模块例如能够设有如下最高速度，最高速度小于在当前要控制的流水线中的实际可用的最高速度，当前要控制的流水线例如能够具有功率更强大的马达。但是，这种限值在将功能模块使用于新设备中时才能够被确定，并且此时仅在极端条件下才能够确定。

可能在生产运营中才发现错误配置的最高速度，并且该错误配置的最高速度能够导致设备或生产物品的损坏。

第二故障源是输入信号和输出信号的编码，编码能够由于继续开发硬件被改变。例如，在旧的传送带系统中能够设置，由于传送速度的负输入值而以信号通知传送带静止。在现代的传送带中，能够实现正的和负的运送速度，因为例如传送带的驱动器也能够沿相反的方向运动。如果功能模块现在接收具有负输入值的输入信号，那么这会导致设备状态的错误解释。

采用其他制造商的功能模块隐藏了附加的风险，即功能模块仅能够随机地进行测试，因为通常真正的程序、即源代码是不可见的。在此，必须信赖制造商的说明。此时，因此不保证制造商是否也确实针对全部可能的输入值检验了功能模块。

技术实现要素：

本发明所基于的目的是：能够针对用于过程自动化的设备如下地检验功能模块：即功能模块是否能够与在该设备中应当满足的要求相兼容。

该目的通过独立权利要求的主题来实现。本发明的有利的改进形式通过独立权利要求的特征得出。

根据本发明，提供一种用于检验用于过程自动化的设备的功能模块的兼容性的方法。该方法由此出发，即功能模块设置用于经由输入端口从设备接收至少一个输入信号，并且根据至少一个输入信号产生至少一个输出信号，并且经由输出端口将所产生的至少一个输出信号输出给设备。功能模块例如能够是控制电路，或者功能模块例如能够是用于配置可编程逻辑控制器的功能块。因此，功能块是程序代码。

在第一方法步骤中，该方法提出：为输入端口提供输入规范，输入规范对于至少一个输入信号、即例如速度信号和/或温度信号给出了由功能模块接受为有效值的所有输入值。换言之，输入规范说明了至少一个输入信号的全部以下状态，即功能模块针对该状态被设计。如果功能模块例如不提出对负的速度数据进行处理，那么输入规范能够针对输入信号“速度”给出，使得因此仅设有大于或等于零的输入值。

在另一方法步骤中，为输出端口提供输出规范。输出规范对于至少一个输出信号给出了在满足输入规范的情况下相应由功能模块按规定提供的输出值。换言之，输出规范针对至少一个输出信号说明：如果功能模块仅利用允许的输入值运行并且功能模块正确地工作，那么应当或者能够得出何种相应的输出值。精确的值关联不是必须存在的，即根据函数所提供的输出值并不与特定的输入值相对应。对于输入规范和输出规范能够分别是数值范围说明。但是，输出规范能够具有表达式，表达式的变量通过输入值形成。

在另一方法步骤中，在设备中的功能模块运行之前，即在模块测试中，通过分析装置检验：通过功能模块是否对于在输入端口处根据输入规范产生的每个输入信号在输出端口处也实际上事实上也仅仅根据输出规范产生至少一个输出信号。换言之，功能模块基于输入规范和输出规范与设备无关地对规范兼容性进行测试或检验。如果至少一个输出信号的至少一个输出值违反输出规范，那么通过分析装置以信号通知模块故障。因此，模块故障显示出：功能模块未符合规范地工作。

通过本发明得到如下优点：借助于用于功能模块的分析装置在干运行中(即没有真正在设备中运行)能够确定，输入规范和输出规范是否正确地描述功能模块。因此现在足够的是：输入规范和输出规范借助设备的设备部件的设备配置来均衡，其中设备部件与功能模块交换至少一个输入信号和至少一个输出信号。据此能够识别出：设备方面和功能模块方面是否彼此兼容。功能模块的所描述的检验在下面也称作为函数验证。

在本发明的一个有利的改进形式中，通过分析装置由功能模块的函数程序、即功能模块的函数的计算机可读的描述形成模块模型。函数程序描述如何由至少一个输入信号形成至少一个输出信号。函数程序例如能够是用于fpga(现场可编程门阵列)或asic(专用集成电路)或sps的程序文本。

因此，模块模型模拟在输出端口处的功能模块的模块行为。通过分析装置，基于模块模型借助于模块检验装置(英文：modelchecking)为至少一个输出信号检验其在输出规范方面的兼容性。用于模型检验的方法自身从现有技术中已知。对此的实例是基于smt求解器(smt-solver，smt-可满足性模理论)的模块检验。通过形成模块模型和使用模块检验得到如下优点：输出规范的检验能够在数学上完整地执行。这例如基于模拟仅以非常高的耗费才可行或甚至完全是不可行的。

在本发明的一个改进形式中，由程序代码文本、即包含功能模块的所述函数程序的至少一个文件和输入规范与输出规范共同地产生数字证书。由此，得到如下优点，能够为第三方和/或也在稍后的时间点以简单的方式证明：特定的功能模块满足特定的输入规范和特定的输出规范。这能够由此简单地被检验，即再一次将输入规范、程序代码文本和输出规范组合成第二数字证书并且将原始证书和另一证书相比较。

在本发明的一个改进方案中，在设备中不单独地提供功能模块，而是也将输入规范和输出规范连同功能模块一起作为扩展功能模块在设备中提供。由此得到如下优点，即在规划或配置或参数化设备时，在将功能模块嵌入到设备中之前，根据输入规范和输出规范能够在特定的和/或当前的设备配置方面对功能模块的兼容性进行自动检验。

为了实现对功能模块进行自动检验，需要适当地记录输入规范和输出规范。对此，本发明的另一有利的改进方案提出，输入规范和/或输出规范分别作为谓词逻辑提供。谓词逻辑的格式规范例如是：速度≥0。这就是说：输入信号“速度”不应具有负的输入值。应用谓词逻辑具有以下优点：由开发者在开发功能模块时做出的假设和论断直接转换成机器可读的规范。尤其有利的是：应用一阶谓词逻辑和/或无量词的谓词逻辑。由此彻底地以有利的方式简化了输入规范和/或输出规范的检验。更高阶的谓词逻辑和/或具有量词的谓词逻辑例如包含如下结论“存在速度输入值，该速度输入值在速度输出值产生大于零值”。这种所谓的存在量词能够仅不充分地自动检验。

在本发明的优选的改进方案中，作为所描述的模块故障，不是简单地仅以信号通知功能模块与规范相冲突，而是输出反例，反例针对至少一个输入信号给出相应的输入值，输入值得出至少一个输出值，通过该输出值违背输出规范。由此得到的优点是，系统地根据所基于的误差能够在功能模块中进行寻找。

在本发明的一个改进方案中，通过分析装置附加地检验，通过设备在输入端口处产生的至少一个输入信号是否满足输入规范。因此换言之，在此，不将输入规范视作为功能模块的出发点的假设或前提，而是视作为设备必须满足的论断或条件，以便在输入端口处正确地为设备中的功能模块的运行产生至少一个输入信号。如果至少一个由设备产生的输入信号的至少一个输入值违背输入规范，那么以信号通知功能模块的错误使用。换言之，以信号通知，设备未正确地产生至少一个输入信号，从而功能模块因此不能够按规定地在设备中使用。由此得到如下优点，即能够识别出设备的对于功能模块运行的错误配置。

一个改进方案提出：以信号通知如下设备状态，在该设备状态下，由自动化设备产生至少一个违背输入规范的输入值。由此得到如下优点：能够有针对性地确定设备中的故障。

为了尽可能完全地确定潜在地能由设备产生的、全部可能的输入值，本发明的一个改进方案提出，通过分析装置基于设备的设备部件的设备配置形成设备模型。设备的设备部件的设备配置描述了设备部件的参数值和/或配置值和/或程序，通过参数值和/或配置值和/或程序在输入端口方面描述设备的设备行为。相应地，所提出的设备模型模拟在输入端口处的设备行为。相应地，借助于模型检验装置得出错误使用。如已经结合用于功能模块的模块检验所描述的，由此能够以数学完整的方式在输入端口处检验通过设备是否遵守输入规范。设备配置也称为设备规划。

设备的所描述的检验在下面也称作为功能模块的环境验证。

本发明也涉及一种用于配置或规划用于过程自动化的设备的工程规划系统。工程规划系统能够具有一个或多个处理器装置，例如计算机工作站，并且与设备例如经由通信网络、例如基于ip的网络(ip因特网协议)和/或现场总线连接。根据本发明的工程规划系统具有分析装置，例如程序模块，分析装置设置用于执行根据本发明的方法的一个实施方式。根据本发明的工程规划系统具有以下优点：在嵌入到设备中之前，例如在将功能模块存储在可编程逻辑器之前或在连接功能模块之前，利用工程规划系统首先基于输入规范和输出规范能够为功能模块检验其与设备的兼容性。由此在设备运行中避免故障。

附图说明

下面描述本发明的一个实施例。对此示出：

图1示出根据本发明的工程规划系统的一个实施方式的示意图，

图2示出扩展的功能模块的草图，所述功能模块例如能够通过根据本发明的方法的一个实施方式提供，

图3示出图2的扩展的功能模块，所述功能模块例如能够在用于功能模块的函数程序的函数验证的工程规划系统中应用，和

图4示出例如能够用于设备中的环境验证形式的扩展的功能模块。

下面阐述的实施例为本发明的一个优选的实施方式。但是，在该实施例中，实施方式的所描述的部分分别为本发明的单独地、可彼此独立考虑的特征，所述特征分别彼此独立地改进本发明进而也单独地或者以与所示出组合不同地视作为本发明的组成部分。此外，所描述的实施方式也能够通过本发明的其他的已经描述的特征来补充。

在附图中，功能相同的元件分别设有相同的附图标记。

具体实施方式

图1示出设备1，其例如能够是生产设备或过程控制设备或信号控制设备。制造设备例如能够设置用于制造产品，例如机动车。过程控制设备例如能够被提供用于调节或控制工艺流程，例如用于由核能产生电能。信号控制设备例如能够设置用于在城区中控制交通灯系统。

为了调节和/或控制区域3中的、例如工业厂房或所提出的城区中的过程2，设备1能够具有一个或多个设备部件4、5，在图1中仅示例性地示出这些设备部件中的两个设备部件4、5。例如，设备部件4、5能够分别具有流水线6、7，经由流水线应当沿着运送方向9以预设的速度运送工件8。在所示出的实例中，工件8首先通过传送带6来运送并且随后转给传送带7，该传送带继续运送工件8。设备部件4、5能够在设备1中经由通信装置10、例如像profinet总线的现场总线来耦联。设备部件4、5还有其他的未示出的设备部件能够经由通信装置10交换通信数据。

设备1还能够具有工程规划系统11，通过工程规划系统能够配置或参数化或规划设备部件4、5。

例如每个设备部件4、5能够分别具有一个可编程逻辑控制器12、13。例如，在传送带6的情况中，控制装置12能够调节或控制驱动马达14，使得传送带6以预设的运送速度运输或运送工件8。控制装置13同样能够例如控制传送带7的驱动器15，使得工件8在传送带7上以预设的运送速度被运送或运输。

为了使控制装置13以必要的方式控制设备1中的设备部件5，以便在设备1中执行过程，能够提出，设备部件5与设备部件4协调地运行，以便传送带6、7的运送速度例如是相同的。为此，例如设备部件4、尤其控制装置12将状态信号16例如经由通信装置10传输到控制装置13处。状态信号16例如能够是具有传送带6的相应的当前速度值的速度信号(speed-速度)。

控制装置13能够具有功能模块18，功能模块能够根据控制装置12的状态信号16产生用于驱动器15的控制信号17。功能模块18例如能够是控制装置13的程序模块。功能模块18例如能够是电路或具有可编程处理器的插卡。控制信号17为功能模块18的输出信号。控制信号17例如能够是用于驱动器15的速度设定信号speedset。功能模块18能够例如经由通信装置10接收控制装置12的状态信号16。因此，状态信号16为输入信号。

输入信号能够由功能模块18在输入端口19处接收。在输入端口19处，以预设的方式预设输入信号到功能模块18处的信号传输。根据该一个输入信号或多个输入信号，通过功能模块18能够产生控制信号17作为输出信号。功能模块18能够在输出端口20处提供输出信号和可能其他的输出信号。在输出端口20处，输出信号能够由控制装置接受并且例如传输到驱动器15处。

在该实例中提出，借助于工程规划系统11重新配置可编程逻辑控制器13。在控制装置13中，应当通过新的功能模块21取代功能模块18。替代于此，也能够提出，设备1处于新状态并且控制装置13应首次获得新的功能模块21，这就是说，应在控制装置13中提供功能模块21。在此必须确保功能模块21在输入端口19处仅加载以下输入信号，该输入信号也能够通过功能模块21处理。此外，必须确保功能模块21在输出端口20处产生以下输出信号，该输出信号在设备中引起设备部件5的期望行为。

结合本发明的下面的阐述内容，对于工程规划系统11重要的是，其能够具有分析装置11'，通过分析装置能够执行根据本发明的方法的一个实施方式。分析装置11'例如能够是工程规划系统11的处理器装置的程序模块。

功能模块21不被单独地提供，而是作为扩展功能模块22提供，扩展功能模块除了功能模块21之外还包括输入规范23和输出规范24。扩展功能模块22例如能够通过外部的开发人员或制造商25提供，开发人员或制造商向设备21的设备运营者提供扩展功能模块22。在功能模块21被应用于或被提供于控制装置13中之前，能够通过工程规划系统11的分析装置11'基于输入规范23和输出规范24执行对功能模块21的检验，因为扩展功能模块22包含全部所需的信息。

附加地能够提出：为扩展功能模块22提供证书26，证书能够基于输入规范23、输出规范24和功能模块21的程序文本形成。例如，能够使用哈希函数来产生证书26。此外，证书26确认：对于输入规范23而言，功能模块21满足输出规范24。借助于证书26能够以自动化的形式、即在没有用户协助的情况下在工程规划系统11中通过重新计算数字证书来得出，功能模块21的程序文本是否与如下程序文本相同，该程序文本由制造商25在输入规范23的条件下使用以检验输出文本24。

工程规划系统11能够包括模块检验装置27，模块检验装置能够在两方面检验扩展功能模块22。在假设仅存在符合输入规范23的输入信号的情况下，功能模块21本身也能够相关于输出规范24进行验证。此外，能够检验，设备1是否在输入端口19处仅产生也引起符合输入规范23的输入值的这种输入信号。

为此，在下文中参考图2、图3和图4。图3再次示出，功能模块21如何在其输入端口19处以输入规范23进行扩展，并且功能模块21在其输出端口20处以输出规范24进行扩展。

输入和输出规范能够视作为假设和论断，其中输入规范根据验证问题(可再用性/函数验证或环境验证)解释为假设或论断，输出规范分级为论断或者被避开。

图3示出，如何将输入规范23作为假设(assumption)处理并且如何将输出规范24作为论断(assertion)处理，以便验证功能模块21的高效能性。

图4示出，输入规范23如何作为论断的基础，以便验证设备行为，即为功能模块21执行环境验证。

借助于形式(formale)检验技术(例如模型检验装置27)能够基于功能模块21的函数代码证实结果假设和结果论断的有效性，当检验失败时，能够提供反例，该反例说明与关联的函数规范相冲突。

输入规范23和输出规范24能够分别包括一阶谓词逻辑的无量词的表达式(qf＝quantifierfreefirstorderformulas)，其能够附到功能模块21上。这能够发生在功能模块的每个任意位置处。这种qf表达式的实例对于速度参数是speed≥0。假设和论断是两个qf表达式，然而这两个qf表达式的解释不同：

论断：当在执行plc程序期间可以得出参数、即程序变量的当前值与qf表达式相冲突的论断时，存在错误。例如，当通过变量speed中的负值能够得出论断speed<0时，显示错误报告。

假设：在另一方面针对变量speed的非负值仅分析如下功能模块，该功能模块以假设speed≥0进行扩展。忽略speed显示负值的可能性，因为其与假设相冲突。因此，输入值speed的负值被滤除来代替报告为错误。

论断和假设是双重的：论断形式化描述了必须满足的条件，其前提是满足全部假设。假设代表了对变量值的限制，即编程器如何解释输入值。

因此能够将扩展功能模块通过如下方式限定为“三部分的”(specentry，f，specexit)，即f是代码(例如在每个自动的、符合iec61131-3的程序语言中)并且是函数(或功能模块的)签名，以及specentry是输入规范并且specexit是输出规范。specentry和specexit是这两个相应的qf表达式。

扩展功能模块22的实例在图2中示出。其阐述了函数scale的主要的输入和输出规范23、24，该函数作为功能模块21能够是plc的标准库的一部分。基本上，输入规范23阐述了，在如下假设下形成scale，即输入值in对于单极输入处于区间[0.27648]之内和对于双极输入处于[-27648，27648]中，并且通过输入lolim和hilim可靠地限定实值区间(例如lolim≤hilim)。在该假设下产生的scale保证输出值out，该输出值描述了根据极性和输出区间[lolim，hilim]调节输入in的尺寸的结果。

根据上述的限定，能够为功能模块21的检验提供解。解的基础是扩展功能模块22的输入规范和输出规范的解释。根据问题(可再用性或函数验证或环境验证)，解必须被视作为假设和论断并且被检验。

功能模块随鉴定和论断积累，功能模块21的形式检验的技术和方法不是基础性的。技术和方法能够由本领域技术人员例如根据效率观点来选择和应用。提供所需技术的方法例如是模型检验(英文：modelchecking)。

可再用性针对可再次应用的功能模块21的开发。在开发期间，功能模块21利用输入规范23被扩展，该输入规范列举假设和关于其未来应用的前提。这示出如下实例：

-在静止检测的开发期间，能够添加输入规范speed≥0。

-在图2的实例scale中，输入规范根据极性将用于in参数的允许范围形式化。

-在传送带7的实例中，使用输入规范|之前速度(precedingspeed)-当前速度|<δ，以便表达控制算法的限制，该控制算法在功能模块21之内执行，以便表达速度波动不应超过阈值δ。

输入规范23成为扩展功能模块22的一部分并且在方法技术方面的系统中(例如工程规划系统11或在制造商25中)应用。输入规范对于用户用作为函数的计划应用的精确的文件记录。

函数验证针对于保证功能模块21的正确行为，这种保证由制造商提供。由此，这能够通过如下方式来实现，即添加输出规范24并且应用形式方法(例如所提出的模型检验)，以便自动地证实输入规范24模除输入规范23的正确性，即在给定的输入条件下：

-对于所述功能模块scale，输出规范24阐述，out参数对应于正确调节了尺寸的输入in，其前提是遵守输入规范23。

-对于静止识别，在传送带处的功能模块21的端部处的输出规范speedmin≤speedset≤speedmax表达了，在执行功能模块21之后，所连接的驱动器15的速度具有在speedmin和speedmax之间的值，其中speedmin和speedmax对应于驱动器的硬件规范。输出值speedset表示输出信号17的输出值。

输入和输出规范23、24的使用实现了，自动地解决验证的问题：当开发工程师一次性地为功能模块21以输入和输出规范23、24进行扩展时，例如能够应用通过模型检验器27进行的模型检验方法，以便在假设满足输入规范23的情况下，证实输出规范24的正确性。这如下进行：

1.将全部输入规范视作为假设。

2.将全部输出规范视作为论断。

3.功能模块21的函数代码连同假设和论断一起输送给模型检验器27。

如果模型检验器成功，那么借此数学地证明，只要功能模块与输入规范23相协调地使用，那么功能模块21就借助于输出规范24如所描述的那样表现。如果因此工程规划系统11具有模型检验器27，那么能够自动地重复地证实输出规范24的正确性。以该方式能够由用户自动地重复用于正确性的凭证，以便证明功能模块21的函数代码的正确性，该函数代码例如已经购得或者获得。

图3示出功能模块scale，其中将输入规范23解释为假设并且将输出规范24解释为论断。将如此形成的模块模型28传输给模型检验器27，模型检验器通过执行功能模块21并且在此满足全部输入规范23(即论断)的方式证实：满足输出规范24(即论断)。

因此，能够如下提供函数验证：

-开发者能够清晰地命名假设，该开发者在代码开发(输入规范23)期间作出该假设。

-开发者能够清晰地命名其所开发的代码行为(输出规范24)。

-制造商25中的模型检验器为开发者实现，在函数代码被交付给用户之前，证实函数代码的正确性。

-开发者能够为绝对信赖输出规范24的用户交付扩展功能模块22。此外，用户能应用模型检验器27本身，以便经由函数代码证实开发者的生产规范(输入和输出规范23、24)。

-能够自动地提供输出规范24的成功检验的数字签名的证书26，由此为用户证实正确性。

环境检验或环境验证考虑通过用户在具体计划之内、即在预设的设备1之内使用扩展功能模块22。如所描述的那样，输入和输出规范23、24能够为用户证实所获得或购得的函数代码的正确性。在环境检验时还缺少的是，用户如何能够证实：用户在其设备1中正确地应用了所购得或获得的功能模块21，即在输入端口19处根据输入规范23由设备仅仅或唯一地产生输入信号。

这能够如下(例如借助于工程规划系统27)自动地执行。用户不需要：

1.将功能模块21的输入规范23解释为论断。

2.能够移除全部输出规范。

3.将用户的规划(即设备配置或设备规格)连同扩展功能模块22一起作为设备模块29转交给模块检验器27，以便检验：周围代码从不与输入规范23冲突。因为这在模型检验器27中能够完全自动化，所以用户不需要在形式证明方面的背景知识。

每个被冲突的输入规范23都对应于所获得的扩展功能模块22的未规划的使用或应用，并且报告为有错的证明流程或者错误使用。在该情况下，模型检验器27能够以信号告知有反例，该反例描述了导致与功能模块的输入规范23的冲突的流程。以该方式，环境验证在此帮助用户识别出扩展功能模块22的不正确应用。这在如下实例中说明：

1.将用于静止识别的功能模块的输入规范speed≥0转换成论断，并且移除输出规范speedmin≤speedset≤speedmax。随后，通过使用静止识别的函数，检验完整的用户规划。这与如下凭证一致，即静止函数从设备仅接收非负的速度值speed。当未正确应用函数时，模型检验器27产生反例，该反例描述静止识别代码的非正确使用，例如调用参数speed中的负值。

2.在图4中再次示出扩展版本的函数scale：将输入规范23变换成假设，而移除输出规范24。现在，对于使用函数scale的设备部件13能够证明，正确地产生输入参数。

输入规范23和输出规范24优选表达为谓词逻辑。对于变量使用无量词的谓词逻辑(fo式)，从而能够为功能模块限定输入和输出规范，以便确定：

1)功能模块行为，和

2)对于其余的(即周围环境的)plc程序的必须被满足的前提，以便功能模块正确地工作。

使用fo式以规范其余的plc程序与功能模块的接口使得能够应用模型检验的方法(例如所连接的模型检验或导入反例的采样)，以自动地证明端口的有效性。

但是，加速所基于的证明过程的方法不是本申请的基础；该方法能够由本领域技术人员根据需要从现有技术中可用的方法中选择。代替于此，所描述的方法针对于：使用输入和输出规范的定义和模型检验，以便描述功能模块的行为和端口。

用于形式化功能模块的端口的输入和输出规范的应用可能性尤其是：

1.在开发可再用的函数期间，使用输入规范以便限制输入，使得函数如所预期那样工作(例如运行的速度、电压或温度区间)。函数必须遵守的行为通过在函数末端处的输出规范来规定，由此所应用的输入与预期的输出相关联。以该方式，输出规范规定了在执行函数时的效果并且将其行为形式化(formalisieren)。

输入和输出规范的寻找和命名如今相反通过如下方式完成，即写入函数的文献资料(即手册)。相反，所描述的方法以机器可读的方式提供输入和输出规范并进而允许自动验证。

2.开发者随后能证实其自身的产品描述的有效性：对此，开发者运行模型检验器，其证明或者反驳模型检验器关于功能模块的行为所作出的论断。该步骤完全是自动化的。当可能质疑一个论断时，那么模型检验器报告相应的反例。否则，证明是有效的，并且只要执行具有环境代码的允许的输入值的假设，函数就按照规范(例如表达为论断)所保证的那样表现。

3.为用户提供扩展函数22，因此在该实例中为设备1的用户提供。

4.用户能够以两种方式和方法使用所得到的函数的输入和输出规范：

a.以证明，用户获得的函数完全正确。这对于受保护的函数的专用技术是重要的，其中用户不访问当前的源代码。

b.以检验：在专用设备中正确地应用函数，例如传输给函数的全部参数值对应于函数的输入规范。

整体上，该实例示出：通过本发明如何能够提供用于通过端口规范进行扩展和验证尤其iec61131函数的方法和系统。

附图标记列表

1设备

2过程

3设备场

4设备部件

5设备部件

6传送带

7传送带

8工件

9运输方向

10通信装置

11工程规划系统

11'分析装置

12可编程逻辑控制器

13可编程逻辑控制器

14驱动马达

15驱动马达

16状态信号

17控制信号

18功能模块

19输入端口

20输出端口

21功能模块

22扩展功能模块

23输入规范

24输出规范

25制造商

26数字证书

27模型检验器

28模块模型

29设备模型。