智能制造的动态安全方法

智能制造的动态安全方法 摘要 工业4.0是一次重大的范式转变，企业信息技术（IT）和运营技术（OT）的日益融合使系统和设备能够在全球范围交换和共享数据。然而，随着工业4.0生产设施的复杂化，企业需要新的风险管理方法。TÜV南德意志集团提出了受专利保护的自适应物理安全和信息安全系统（Adaptive Safety & Security System，简称AS3），提供动态风险评估方法并可以对安全措施进行自动验证。 TÜV南德意志大中华集团 内容 工业4.0的灵活性和互联性 风险处理的范式转变 传统安全风险管理方法的局限性 5 环境敏感型安全风险管理可以抑制风险，提升生产力6 自适应物理安全与信息安全——运行时的风险管理8 10 TÜV南德意志集团专家 Robert Puto TÜV南德意志集团大中华区商用产品和交通服务部高级副总裁南德意志集团大中华区商用产品和交通服务部高级副总裁 Robert Puto是TÜV南德意志集团大中华区商用产品和交通服务部高级副总裁，办公地点在香港。Robert在其漫长的国际职业生涯中直接参与了工业产品/系统、光伏、储能系统的技术服务开发与推广。他是AS3开发团队的活跃成员，始终秉持“以设计来保障安全”的理念。他毕业于意大利都灵理工大学电子工程专业，其毕业论文研究贝叶斯专家系统和不确定性传播，其后毕业于中国中欧国际工商学院国际工商管理专业。在就任现职务之前，Robert还曾担任TÜV南德意志集团产品服务部技术签证官和ISO 17025审核员。 Michael Pfeifer TÜV南德意志集团机械安全专家南德意志集团机械安全专家 Michael是TÜV南德意志集团机械安全专家，办公地点在慕尼黑。负责机械的全生命周期的安全评估。他还参与了生产环境的数字化相关工作，并在TÜV南德意志集团的智能制造委员会担任“智能安全首席架构设计师”。Michael还是德国人工智能研究中心（DFKI）的SmartFactoryKL计划的成员。在2009年加入TÜV南德意志集团之前，他的工作在汽车工业的制造机械领域。他在慕尼黑应用科技大学深造时期加深了他在生产制造的机械工程领域的专业知识。 Martin Saerbeck TÜV南德意志集团数字服务首席技术官南德意志集团数字服务首席技术官 Martin在担任TÜV南德意志集团数字服务首席技术官期间，领导人工智能、机器人和物联网技术领域新型数字解决方案的战略研究和开发计划。Martin拥有计算机科学学位和工业设计博士学位，在工业界和学术界享有超过15年的技术方案开发经验。他起初在飞利浦研究部门任职，随后在A*STAR IHPC创建新的研究小组，在航空航天、制造业和零售业等领域输出创新项目。Martin热衷于应用研究，致力于学术成果转化工作，提高当前智能互联系统的安全性和可靠性。Martin.Saerbeck@tuvsud.com 工业4.0的灵活性和互联性 工业4.0（I4.0）概念整合现实世界和网络世界，并以此形成工业物联网（IIoT），逐渐为各行业所采用。I4.0提供更高的灵活性，更多的定制化选择，并可以缩短产品生命周期。特别是，灵活性为I4.0智能制造中的关键成功因素。它使系统能够适应由外部因素（如产品定制）和内部因素（如系统升级、预防性维护和最大化资产可用性）所引发的变化。 I4.0智能制造模型起源于信息技术（IT）和运营技术（OT）在整个产品生命周期中的日渐融合。数字化且互联的工业资产可以执行复杂任务，从而产出有形的收益。 包括本地生产设施与全球其他设施之间的协作能力，可以创造高效的全球制造生态系统。 通过促进机械、人、企业系统和云之间的交互性和数据交换，也可实现众多目标。 系统要求——可信度 对于包含自适应和智能特征的系统，系统弹性是至关重要的，并且必须列入可信度的要求之中。价值链上互相协作的基础设施之间的互信是稳定运营的前提条件。下图列出可信度的五大特征：物理安全、信息安全、隐私保护1、可靠性和弹性。 在I4.0为提高生产力及全面创新带来新机遇的同时，新技术的实施也必须维持生产线的整体可信度。各种类型的生产设施都要有一定的可信度，但是其严格程度随I4.0成熟度而增加。 具体来说，无论其成熟度如何，安全性和可靠性都是所有制造系统的先决条件。如果对I3.x-系统进行互联性升级，信息安全和隐私1问题也必须予以考虑。 风险管理的范式转变 I4.0可以在若干方面降低风险，但模块化机械的广泛使用及其灵活性、灵活的参数配置和各种接口引入了一系列新的威胁和危险场景。 随着生产设施的复杂化，运营商需要管理内部相互关系日益复杂并且在快速进化的生产系统。并在最大限度减少停机时间的同时，保持高 效率和灵活性。因此，必须考虑不断变化的风险图景，这就是I4.0需要新的风险管理方法，以定制化的适应实际应用场景的原因。 传统安全风险管理方法的局限性 由于物理伤害取决于机械在现实世界中的预期用途和其他限制条件，传统的安全概念并没有考虑网络威胁的来源和影响，由此可能产生新的危险场景。此外，安全措施的设计必须覆盖“最坏情况”，这可能限制生产力水平。 I4.0系统灵活多变的特性使风险图景由静态转为动态。因此，一个挑战性的任务是如何对人、财产和环境潜在的物理和网络风险进行具有成本效益的有效评估。 然而，使用传统的静态风险评估方法需要大量时间对每一个变化事件重新进行评估确认，导致长时间的系统停机。 机械安全标准定义了一套在风险评估中需要考虑的物理伤害。然而，《ISO 12100-机械安全-一般设计原则-风险评估和风险降低》等现行标准并非围绕机械的互联性和互操作性进行编制的。 解决物理安全和信息安全问题不仅是系统设计者、集成者、系统所有者和运营商的法律义务，也直接影响到其I4.0最终使命，即最大限度减少停机时间和提高系统可用性，同时使工业生产灵活性达到新高。 图2强调了I3.0和I4.0在风险评估方面的差异。 环境敏感型安全风险管理可减少风险，提高生产力 鉴于资产之间交互的复杂性，“最坏情况”的假设会对产能和效率产生极其不利的影响，让制造商无法获取I4.0的收益。在实践中，当机械在特定应用环境下运行时，其实际风险可能与在独立运行时的最坏情况明显不同。机械间的互动也可能产生其他风险。此类问题可能与人类健康、财产和环境息息相关，也可能产生始料不及的运行故障或瓶颈—这也是系统所有者和运营商关切的一个主要问题。 在当前实践中，会考虑人的可能存在而限速，即使操作区域实际没有人。 示例示例3：流程优化：流程优化 运行停机和其他瓶颈可能不会对人类、财产和环境构成风险，但会影响系统性能。最大额定速度不同的AGV按顺序队列行驶（图3），排在第一位的最大速度限制了整个队列的速度。如果车道宽度可以保证与相邻障碍物的安全距离，即没有人能踏入AGV车道而不被发现，系统就可以改为平行行驶。这种环境敏感型的安全措施可以提高速度，改善导航灵活性并提升效率。 示例示例2：财产保护：财产保护 在无人的封闭区域，两个互动的AGV发生碰撞，造成生产停滞和经济损失。其根原因在于两台AGV的检测传感器安装位置的不同高度导致的不兼容。事实上，（较矮的）卸载AGV远低于（较高的）的装载AGV上的检测传感器的视线。在这种情况下，较矮的AGV可以“看到”较高的AGV，但较高的AGV无法“看到”较矮的AGV；较矮的AGV停车（按照静态安全配置）后，挡住了较高的AGV的行驶路线，因此造成事故。为了可靠地检测类似情况，预防损坏，为机器人、AGV和一般机械配备各种传感器和其他配置的成本过高。使用环境敏感型的安全方法与数字孪生技术，可以实现财产保护与提高系统效率的双重目标。 示例示例11：保护人类健康：保护人类健康 自动导引车（AGV）在有人操作区域内驶向机械，存在“碰撞风险”。该风险可以通过在AGV的设计中使用三种安全措施进行抑制（根据《ISO 3691-4-工业车辆-安全要求和验证-第四部分：无人驾驶工业车辆及其系统》）： 1.人员检测系统2.速度控制系统3.制动控制系统 顺序队列行驶≤v1（最大） 值得注意的是，根据相关的机械标准（《ISO 23125-机床-安全-车床》），安全门机械阻力有限，有时该阻力明显低于车床的最大工件负载能力。当前的I3.0实践是在操作手册中加入警告，通知操作人员：“安全门可最大限度的降低弹出风险，但并不能完全消除风险。”然而，随着时间推移，在实践中依靠安全手册的有效性将会降低。操作人员起初在熟悉机器时可能会阅读说明书，经过多年无故障操作后，操作员就可能不再查看手册。 以上场景表明：当前实践中，自适应生产系统需要能够在运行时监测并识别危险情况，确保残余风险得到处理。除了传统（I3.0）中“最坏情况”方法的局限，系统操作人员还应该意识到，在现实情况下安全装置可能被恶意操纵或无意修改，类似情况可能造成严重事故。 因此，必须考虑到人类行为在无意中降低安全性的可能性。 这种情况下，能在运行时进行自动风险评估的评估工具会更加有效。该系统会自动向系统所有人/操作者发出危险警告，促使其选择可能的安全措施。此类措施可能包括暂时限制进入机械所在区域，视觉或听觉示警，在转弯和邻近机械之间设置（移动）屏障等适用措施。 案例研究：车床事故案例研究：车床事故 发生在德国的事故将上述风险情景带入现实世界。一台车床的安全门被撞开，在设备附近工作的操作人员不幸身亡。 事故现场 被撞飞的安全门 上述案例研究强调：“动态安全”不仅限于动态I4.0-系统（如AGV和机器人），也适用于各种I3.0-系统的生产机械。 这是机械在全生命周期中残余风险抑制方面的灰色地带。 如今I3.0系统正在经历向I4.0的数字化转型，其组件和机械达到运行极限，急需采用动态安全措施。 自适应物理安全与信息安全——运行时的风险管理 在经过数十年积累的物理安全和信息安全专业知识的支持下，TÜV南德意志集团独特的AS3解决方案提供了基于事件触发的动态风险评估和安全措施自动验证。 这一概念旨在协助系统设计和操作人员在虚拟仿真和现实世界的应用中都可以正确应对复杂风险状况。 AS3可以执行持续和全面的风险评估，这是在智能制造环境中确保稳定运行、提高产能和减少停机时间所必需的。 AS3成功的关键在于嵌入了实际制造系统的数字表示——数字孪生或资产管理壳。这些所谓的信息物理系统（Cyber-physical systems）可以通过多种方式使用数字孪生进行建模，结合了现实世界和虚拟世界的优势，具有极大提高工业绩效的潜能。 在当今的I4.0领域，数字孪生与现实世界中的工厂平行运行，成千上万的传感器在本地或更大范围内不断收集和处理数据。 什么是资产管理壳（什么是资产管理壳（Asset Administration Shell，简称，简称AAS）？）？AAS是德国工业4.0平台创造的术语。每一个I4.0资产都可以建立AAS，它在资产和生产协调系统或工程工具之间交换资产相关的数据。由于AAS包括资产的所有信息和功能，可作为I4.0对象之间的链接。因而允许使用各种不同的通信渠道。 数字孪生的好处包括： 持续监测——确定机器是否即将发生故障，以便在不中断功能的情况下处理故障。数据监测与分析——实时对运行进行迭代改进，提高效率，降低成本。例如，如果循环时间允许较慢的操作，一个按特定顺序操作的编程机器人可以不断地进行平行建模，减少循环时间或节约能源。规划能力——可能是数字孪生的最大好处之一，因为在开始施工前就可以对整个工厂进行仿真。 什么是数字孪生？什么是数字孪生？ 数字孪生接收来自产品或资产的连续实时数据，以创建物理对象的虚拟表示。由于该物体可以被全天候虚拟监控，这增强了态势感知。例如，数字孪生体可同时进行监测和建模，根据传感器实时数据来预测系统的动态变化。另外，它可以模拟系统故障等未来场景，预测风险情况，甚至预测维护需求。 图6说明了从现场到云端以及整个价