Im Rahmen der Automatisierung sollen Roboter und Menschen künftig auch zusammenarbeiten. KI in der funktionalen Sicherheit ist auch hier möglich, aber dafür Bedarf es noch ein paar Schritte. (Bild: kora_ra_123 @ AdobeStock)
Funktionssicherheit ist bei elektromechanischen Geräten allgegenwärtig. Sie schützt uns vor Schäden in unseren Wohnungen, sie schützt die Arbeitnehmer in einer Fabrik und sie schützt beim Autofahren. Es gibt regionale und internationale Normen zur funktionalen Sicherheit, um Anwender vor Fehlbedienung, Geräteausfall oder unvorhergesehenem Systemverhalten zu schützen. Die Notwendigkeit von Normen zur funktionalen Sicherheit besteht schon seit Jahren. Der Automatisierungsgrad und der Einsatz von Industrierobotern ist im industriellen Bereich, insbesondere in Smart Factories, stetig gestiegen. Initiativen zur Verbesserung der Betriebseffizienz, wie etwa Industrie 4.0, erhöhen die Anzahl der eingesetzten elektronisch gesteuerten Geräte und lassen die physischen Grenzen zu menschlichen Mitarbeitern verschwimmen. Das Hybridmodell, bei dem qualifizierte menschliche Mitarbeiter neben so genannten Cobots (kollaborierende Roboter) arbeiten, vergrößert die potenziellen Sicherheitsrisiken. Früher wurden in vielen Fertigungsprozessen Sicherheitskäfige und mechanische Verriegelungen eingesetzt, um eine Gefährdung der Mitarbeiter zu verhindern. In der Fabrik von heute bieten Industrieroboter und Automatisierung enorme Flexibilität und eine 360-Grad-Reichweite, was eine bessere Nutzung der teuren Fabrikfläche ermöglicht, aber gleichzeitig den Wirkungsbereich von Sicherheitsbarrieren reduziert. Sicherheit muss daher integraler Bestandteil einer industriellen Produktionsanlage sein, anstatt sich auf eine physische Trennung zu verlassen.
Die Hauptanforderung an alle funktionalen Sicherheitsfunktionen besteht darin, die Anlage unmittelbar daran zu hindern, bei einem ungeplanten Ereignis oder einer ungeplanten Aktion Schäden am Bediener und an anderen Geräten oder Materialien zu verursachen. Die hierfür erforderlichen Sicherheitsfunktionen werden durch die Bewertung der potenziellen Risiken während des normalen oder anormalen Betriebs abgeleitet und dienen dazu, das Gerät sicher anzuhalten.
KI in der Funktionalen Sicherheit
Der Einsatz von KI-basierter Funktionssicherheit bringt eine Fülle neuer Möglichkeiten zur Risikoerkennung und zum Sicherheitsmanagement in die Welt der industriellen Automatisierung. Dies wiederum macht die Einhaltung von Hardware-Designverifizierung und formalen Softwareentwicklungsarchitekturen und -methodiken unabdingbar. Die Einhaltung etablierter Standards für die Funktionssicherheit von Systemen ist unerlässlich, und dabei kann die Halbleiterindustrie helfen. Die Halbleiterhersteller sind sich des Vertrauens in ihre Produkte bereits bewusst, und viele Hersteller implementieren Entwicklungswerkzeuge für die Funktionssicherheit.
Normen für Funktionssicherheit
Es gibt mehrere Normen zur Funktionssicherheit, die für industrielle Geräte gelten. Die IEC 61508 ist eine grundlegende Norm für Funktionssicherheit, die elektrische, elektromechanische und elektronisch betriebene Geräte abdeckt. Von ihr wurden marktspezifische Normen abgeleitet. Die IEC 60601 deckt medizinische Geräte ab, die ISO 26262 gilt für Systeme im Automobilbereich. Für industrielle Geräte gilt die IEC 62061, die durch einige weitere gerätespezifische Normen ergänzt wird. Zu diesen Normen zählen IEC 61131 für SPSen, IEC 61511 für Prozesssteuerungsanwendungen und IEC 61800-5 für Antriebe mit variabler Drehzahl. Die ISO 13849 ist eine weitere Sicherheitsnorm, die für industrielle Geräte gilt. Sie hat einen breiteren Anwendungsbereich, der jede Form des Betriebs von Sicherheitsfunktionen einschließt, nicht nur elektrisch betriebene.
Der zunehmende Einsatz von Robotern und von Cobots für Industrieapplikationen hat zur Entwicklung einer relativ neuen Norm von Funktionssicherheit geführt, der ISO 10218. Ebenso behandelt die technische Spezifikation ISO/TS 15066 das Verhalten von Cobots.
Grundkonzepte der Funktionssicherheit
Es gibt zwei grundlegende Aspekte der Funktionssicherheit: Sicherheitsfunktionen und Sicherheitsintegrität. Eine Sicherheitsfunktion definiert ein Merkmal, das dazu dient, den sicheren Betrieb einer Maschine zu gewährleisten. Beispielsweise kann eine Fotodiode das Vorhandensein einer Verriegelungsvorrichtung erkennen, die einen Bediener daran hindert, auf ein sich bewegendes Band zuzugreifen. Wenn die Fotodiode anzeigt, dass die Sicherheitsfunktion nicht aktiviert ist, muss sie die Bewegung des Bandes sofort stoppen. Die Metrik der Sicherheitsintegrität ist ein Maß für die Sicherheit, dass das Band seine Bewegung sofort stoppt. Die IEC 62061 legt vier verschiedene Sicherheitsintegritätsstufen (SIL1, SIL2, SIL3 und SIL4) fest, die definieren, wie sich potenzielle Sicherheitsrisiken auf ein akzeptables Maß minimieren lassen. Die ISO 13849 verfolgt einen etwas anderen Ansatz für SILs und weist fünf Sicherheitsstufen zu (PL A, PL B, PL C, PL D und PL E).
Implementierung von Funktionssicherheit
Eingebettete Systeme sind das Herzstück der meisten industriellen Automatisierungsanwendungen. Jede Erfüllung der Funktionssicherheit muss sowohl Hardware- als auch Softwaretechniken umfassen. Mikrocontroller, Mikroprozessoren und programmierbare Logikbausteine können den Kern der Verarbeitung innerhalb der Hardware-Domäne darstellen. Die Hersteller von Halbleitern sind zunehmend in der Lage, Verarbeitungsgeräte und Sensoren anzubieten, die Elemente der Funktionssicherheit in ihre Architektur integrieren. Für den Hersteller von Industrieanlagen bedeutet die Integration solcher Geräte in ein Design eine Beschleunigung des Entwicklungs- und Validierungsprozesses. Ein Beispiel ist der Dual-Lockstep-MicroBlaze-Prozessor von Xilinx. Eine Lockstep-Architektur bietet zwei ausfallsichere, redundante Prozessoren, die den gleichen Code parallel zueinander ausführen und sich den Speicher teilen.
Ein formaler Ansatz für das Design eingebetteter Software wird von der IEC 61508 vorgegeben. Sie sieht eine strukturierte Entwurfsarchitektur, Validierungs- und Testmethoden als ein Hauptelement für die Integration funktionaler Sicherheitsfunktionen vor. Die Anwendung einer formalen Kodierungsmethodik wird ebenfalls empfohlen, aber abgesehen von MISRA-C für Automobilanwendungen gibt es keine Standards für funktionale Sicherheit oder für industrielle Anwendungen. Xilinx beispielsweise empfiehlt einen Isolation Design Flow, um sicherheitsrelevante und nicht sicherheitsrelevante Funktionen zu trennen.
Industrieapplikationen mit KI
KI wird in zahlreichen industriellen Anwendungen eingesetzt, von der Bildverarbeitung bis zur Schwingungsüberwachung. KI arbeitet auf Basis von Wahrscheinlichkeiten. So lassen sich z. B. bei einer Aufgabe zur Objekterkennung verschiedene Obstsorten unterscheiden. Eine fortgeschrittenere Anwendung kann den Zustand einer bestimmten Frucht erkennen. Ist die Frucht gerade reif oder überreif? In beiden Fällen erfolgt die Bestimmung auf Basis der Wahrscheinlichkeit, mit der die Frucht und ihr Zustand korrekt identifiziert wurden, entsprechend den beim Training des neuronalen Netzwerks verwendeten Referenzbilddaten.
Auf den ersten Blick könnte die nicht-binäre Welt der wahrscheinlichkeitsbasierten KI mit der binären Welt in Konflikt geraten, die traditionell hardwarebasierte Sicherheitssysteme bieten. Die Grundgedanken der funktionalen Sicherheit haben ihren Ursprung in mechanischen Verriegelungsmethoden. Selbst wenn dieser Ansatz mit einem Prozessor implementiert wird, beruht er auf einer „OK/Nicht-OK“-Reaktion auf eine vordefinierte Menge von Risiken.
Die geltenden Normen zur Funktionssicherheit unterstreichen die Notwendigkeit, alle potenziellen Risiken bei der Verwendung einer Maschine zu ermitteln, und typischerweise bezieht sich dies ausschließlich auf den Bediener. Die Risiken können für jede einzelne Phase des Maschinenbetriebs bestimmt werden. Dies setzt jedoch voraus, dass die Maschine an einer festen Position in der Fertigungshalle montiert ist. Daher kann die Anzahl der ermittelten Risiken begrenzt sein. Was aber, wenn sich die Maschine bewegen kann?
Eine weitere mögliche Überlegung ist ein zuvor nicht erkannter Gerätezustand, der ein Risiko für den Bediener darstellen könnte. Lagerverschleiß bedeutet zum Beispiel, dass die physische Ausdehnung eines gefährlichen Werkzeugs über den Sicherheitsbereich hinausgeht.
Umgang mit einer exponentiellen Zunahme potenzieller Risiken
Wie Entwickler von autonomen Fahrzeugen wissen, ist die Anzahl der potenziellen Risiken, die mit dem autonomen Fahren eines Fahrzeugs bei Geschwindigkeit in einer städtischen Umgebung einhergehen, zu groß, um sie zu quantifizieren. KI-Systeme mit Vision-, Lidar- und Radar-Sensorsubsystemen werden zu Augen des autonomen Fahrzeugs. Gemeinsam scannen die Erkennungsfunktionen ständig nach potenziellen Risiken und visuellen Hinweisen, Fußgängern, Objekten auf der Fahrbahn oder Ampeln. Die Funktionssicherheit basiert auf der Zuverlässigkeit und Integrität der Systeme, die das Auto steuern. Zweifach- und Dreifach-Lockstep-Prozessoren und Systemredundanz sind von größter Bedeutung.
KI-basierte Funktionssicherheit in der Industrie
Wird KI die Basis der Funkionssicherheit in der Industrie bilden? Ja. KI kann lernen, sich an eine sich verändernde Produktionsumgebung anzupassen. KI wird bereits in der vorausschauenden Wartung eingesetzt, wo beispielsweise veränderte Schwingungssignaturen auf möglichen Verschleiß oder unterschiedliche Motorlastzustände hinweisen. Der Anlagenzustand ist für die Funktionssicherheit höchst relevant. Daher ist der Einsatz von KI sinnvoll, um sowohl den Anlagenzustand als auch Sicherheitsrisiken zu überwachen. KI kann auch lernen, indem sie verschiedene Bedienermuster beobachtet und den Standort und die Bewegung menschlicher Mitarbeiter ständig überwacht. Darüber hinaus kann sich nur KI kontinuierlich an eine Flut von Daten anpassen, diese verarbeiten und einen Sinn darin erkennen.
