Industrie 4.0, Machine-Learning und künstliche Intelligenz auf dem Prüfstand – es gibt Gesprächsbedarf in der funktionalen Sicherheit

DKE: Herr Richter, stellen Sie sich unseren Leserinnen und Lesern bitte vor.

Richter: Mein Name ist Detlev Richter und ich bin beim TÜV SÜD in der Product Service GmbH tätig. Ich verantworte eine globale Business Line, die Industrie- und Energieprodukte testet und zertifiziert. Parallel bin ich seit acht Jahren in den Themenfeldern Industrie 4.0 (I4.0) und SmartFactoryKL aktiv, um digital vernetzte Maschinen, kollaborierende Fertigungssysteme und selbstfahrende Transportsysteme abzusichern. Das Ziel unserer Arbeit im TÜV SÜD ist es, Systeme auf Basis digitaler Zwillinge mit den Grundlagen der funktionalen Sicherheit zu verknüpfen.

Ich bin außerdem in Normungsgremien zu den Themen Safety (IEC TC65 WG23/24) und Functional Safety (IEC TC44 IEC TR 62998) aktiv. Zusätzlich engagiere ich mich im Digital Twin Consortium als Co-Chair der Arbeitsgruppe „Security, Safety und Trustworthiness“, bei dem ein weltweit abgestimmtes Vorgehen bzgl. Architektur und Qualifizierung von Systemen auf Basis von digitalen Zwillingen über den gesamten technischen Lebenslauf im Vordergrund steht.

Ein Sicherheitskonzept für kollaborierende Safety und eine dezentrale Referenzarchitektur fehlt 

DKE: Warum ist es im Kontext von Industrie 4.0, der Anwendung von Methoden in Machine-Learning (ML) und künstlicher Intelligenz (KI) so schwierig, die funktionale Sicherheit zu gewährleisten?

Richter: Auf der einen Seite müssen wir klar beschreiben, was wir in der digitalen Transformation unter I4.0 verstehen. Die durchgängige Digitalisierung und die Verknüpfung von relevanten Daten und Informationen eröffnen neue Produktionsprozesse, skalierbare Geschäftsmodelle und erhöhen die Prozess- und Produktqualität. Wir verarbeiten sehr viele Informationen und müssen im I4.0 Umfeld die Frage nach der Datenqualität und Datenintegrität stellen. Wann genügen I4.0 Daten den Ansprüchen der funktionalen Sicherheit, also Performance Level A, B, C, D, E oder SIL 1, SIL 2, SIL 3 und wie können wir durch Methoden der funktionalen Sicherheit die Datenintegrität erreichen.

Auf der anderen Seite werden viele von diesen IoT, IIoT & I4.0 Daten schon heute in Maschinen und in Anwendungen mittels ML ausgewertet und daraus gewonnene Prozessoptimierungen im täglichen Betrieb genutzt. Prozessoptimierungen basieren schon seit Jahrzehnten auf der Auswertung von Prozessdaten. Speziell in der Sensorik sind eine ganze Reihe von Algorithmen zur Verbesserung der Sensoreigenschaften im Einsatz.

Die Qualität der Modelle und der Algorithmen muss zukünftig über den gesamten Lebenszyklus abgesichert werden. Anforderungen an Tools auf der Basis von KI/ML sind notwendig, um die Ursachen für das Driften von KI sicher zu erkennen. Nur mit diesen Leitplanken gewinnen wir das Vertrauen, welches für die Auswertung von Daten durch KI/ML notwendig ist. Die digital vernetzte Produktion basiert auf einer Zusammenarbeit verschiedenster Systeme, Stichwort kollaborierende Safety. Hier interagieren verteilte Roboter, Maschinen und Menschen sicher miteinander.

Für diese Systeme benötigt die Industrie ein Sicherheitskonzept, welches das Zusammenspiel und die Dynamik von I4.0 Fertigungssystemen angeht. In diesen Fertigungen ändern sich die Umgebungsbedingungen, der Kontext, das Zusammenspiel und die Prozessparameter häufig und wir können aus system-theoretischer Sicht nicht alle Permutationen vorab in einem V-Modell entwickeln, prüfen und validieren.

Machine-Learning-Themen durchdringen daher alle Aspekte der Fertigung: die Optimierung von Maschinen und Abläufen sowie das Überwachen dieser kontinuierlichen Verbesserung, um mögliche negative Effekte zu dokumentieren und zu verhindern. Ein sehr gutes Beispiel ist die logistische Optimierung einer autonomen Fertigung: mobile Roboter und autonome fahrerlose Transportsystem suchen und finden optimale Transportwege.

Dabei überlagern sich die operative, die taktische und die strategische Ebene der Fertigungssteuerung - die Grundprinzipien der funktionalen Sicherheit müssen zukünftig auch in der taktischen und strategischen Ebene für jedes Element und im Zusammenspiel berücksichtigt werden. Ich sehe die Notwendigkeit, dass wir diese Anforderungen zukünftig in einer dezentralen I4.0 Safety-Referenzarchitektur abbilden.

Veranstaltungsrückblick zur VDE DKE Tagung Funktionale Sicherheit 2023

Der Fachkongress fand in diesem Jahr wieder in Präsenz statt. Etwa 130 interessierte Teilnehmende nahmen an der Veranstaltung im Kaisersaal in Erfurt teil.

Neben den kommenden Neuerungen der dritten Ausgabe der Normreihe IEC 61508 und weiterer Normungsvorhaben lag der Fokus auf den Herausforderungen durch die zunehmende Integration von Künstlicher Intelligenz und dem EU Cyber Resilience Act. Wichtige Themen, denn betroffen sind eine Vielzahl von Branchen und Industrien.

Eine zweistufige Sicherheitsarchitektur aus Daten des inneren Loops und der Verwaltungsschale auf dem Weg

DKE: Welche Lösungsansätze und Methoden gibt es, um im Umfeld Industrie 4.0 eine sicherheitstechnische Bewertung durchführen zu können?

Richter: Im Umfeld I4.0 haben wir die Asset Administration Shell (AAS) – die Verwaltungsschale. In dieser AAS können Artefakte der funktionalen Sicherheit abgelegt werden. Wir bekommen jetzt die Transparenz, dass die Sicherheitsfunktion für den aktuell genutzten Kontext mit den gewählten Parametern korrekt konfiguriert ist. Das heißt, das I4.0 Informationsmodell gibt die richtigen Arbeitsschritte vor, für welchen Fertigungsprozess die Sicherheitsfunktion wie konfiguriert sein muss. Heute sind diese Daten sehr oft in der Safety-Dokumentation in der Tiefe der Unterlagen verborgen.

In der Community arbeiten wir an einer zweistufigen Sicherheitsarchitektur. Die klassische Safety stellt die innere Loop dar, hier befinden sich alle bekannten Sicherheitsfunktionen gemäß den bekannten Standards. Also, wenn ich mit der Hand durch eine Lichtschranke greife, dann muss der Antrieb schnell genug abschalten. An dieser Stelle wird es mit I4.0 wenig Änderungen geben, die I4.0 Verwaltungsschale (AAS) führt jedoch zu einer hohen Transparenz der verwendeten Sicherheitsparameter.

Wir stellen allerdings dann die Fragen: Kann ich auf einer höheren Ebene vorhersehen, dass jemand in den Gefahrenbereich kommen könnte und eine relevante Gegenmaßnahme schon vorher starten? Kann also die Maschine den Unterschied zwischen dem Meister, der sich an diesem Ort aufhalten darf, und dem Besucher, der vielleicht einige Meter weit weg stehen muss, erkennen?

Die zweite I4.0 Sicherheitsebene verknüpft nun Modellinformation, Echtzeitdaten und Informationen aus den Verwaltungsschalen, um in einem vorausschauenden Prozess abzuleiten, welche Entscheidungen Risiken sicher reduzieren und damit das Auslösen der Sicherheitsfunktionen verhindern. Dies Ebene muss ebenfalls nach den Kriterien der funktionalen Sicherheit definiert und implementiert werden.

Funktionale Sicherheit: Der Schutz des Menschen vor der Maschine

Funktionale Sicherheit ist essenziell und kommt immer dann zum Einsatz, wenn Produkte, Anlagen und Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann.

International liegt mit IEC 61508 eine horizontale Normenreihe vor, die eine Grundlage für eine Vielzahl von Branchen und Anwendungsfeldern bietet.

Nachbarschaftseffekte – eigensichere Maschinen sind in neuer Zusammenstellung nicht grundsätzlich sicher

DKE: 2005 wurde das Netzwerk SmartFactory  in Kaiserslautern gegründet. Welche Lösungsansätze konnten Sie dort bereits testen und welche Erkenntnisse konnten dort gesammelt werden? 

Richter: Wir sind als TÜV SÜD der SmartFacrtoryKL 2015 beigetreten und haben einige Konzepte von Plug&Produce hinterfragt. Eigensichere Maschinen sind bei beliebiger Kombination mit neuen noch unbekannten Nachbarmaschinen im Verbund nicht immer sicher. Da sagen wir als TÜV SÜD: unter bestimmten Bedingungen, ja, aber nicht grundsätzlich.

Es gibt immer Nachbarschaftseffekte, die – neu zusammengestellt – neue oder zusätzliche Risiken darstellen und genauer begutachtet werden müssen. Der Bedarf für eine „CE-Konformität zur Laufzeit“ entstand in der Safety Arbeitsgruppe. Gemeinsam mit den Industriepartnern haben wir dieses Konzept aus der Taufe gehoben. Wenn sich der Produktionsablauf, das Material oder die Nachbarschaftseffekte ändern, benötigen die Maschinenmodule die Fähigkeit, Gefahren und Safety-Gegenmaßnahmen korrekt zu bewerten und zu kombinieren. Die I4.0-Maschine kommuniziert, dass sie das Risiko nach einer Veränderung durch eine passende Gegenmaßnahme absichern kann und ob sie diese automatisch konfigurieren wird oder nicht. 

Wir haben auf der Hannover-Messe 2019 ein fahrerloses Transportsystem gezeigt, das zwischen Maschineninseln hin und her fährt. Sobald sich das Transportsystem der Insel nähert, bilden beide eine Gesamtheit und es gelten bestimmte Sicherheitsfunktionen für beide für sicherheitskritische Teile des An- und Abdockens. Event-basierte Sicherheitsfunktionen wurden dynamisch anhand der Risikolage miteinander verknüpft. Im Jahr 2022 haben einige Hersteller diese Funktionalität bereits in ihre Safety-Lösung übernommen, sodass man diese dynamischen Fähigkeiten heute als Standard kaufen kann. 

„Wir müssen alle vorhandenen Daten auswerten dürfen.“

DKE: Welche Chancen ergeben sich durch die Digitalisierung für die Sicherheitstechnik?

Richter: Aus meiner Sicht ergeben sich viele Chancen, die ich sehr positiv bewerte.  Sicherheitsunternehmen haben langjährige Erfahrung in der Diagnostik und in der Datenintegrität und verstehen die Wirkprinzipien der funktionalen Sicherheit. Sie können diese Erfahrungen nun in die virtuelle Welt der digitalen Zwillinge und der Informationsmodelle übertragen. 

Für mich spielt die Datenintegrität eine sehr wichtige Rolle. Wir müssen alle vorhandenen Daten auswerten dürfen und ihre unterschiedlichen Integritätswerte in der weiteren Bearbeitung korrekt mit einbeziehen. So können wir in der Zukunft liegende Gefährdungen erkennen und mögliche Abschaltgründe offenlegen. Konkret müssen wir als Industrie festlegen, wie wir mit grauen Daten (Automatisierung), gelben Daten (Safety) und grünen Daten (I4.0) umgehen dürfen und unter welchen Bedingungen wir diese Daten kombinieren können. Dieses Potential bedingt eine Governance zur Gewährleistung der korrekten Verwendung von Daten.

Mitgestalten und mitentscheiden

Verfügen Sie über eine technische Expertise und möchten Sie diese einbringen, um die elektrische Sicherheit und Interoperabilität auf Ihrem Fachgebiet weiter voranzubringen und Innovationen zu fördern? Ausgezeichnet, wir freuen uns auf Sie und Ihr Engagement in der Normung!

Autonome Maschinen, die sicher Entscheidungen treffen können - mittels der bekannten Grundprinzipien der funktionalen Sicherheit

DKE: Können digitale Zwillinge dabei helfen, sich verändernde Modelle bezüglich ihrer funktionalen Sicherheit zu bewerten?

Richter: Beim Thema Modelle und deren Veränderung im technischen Lebenszyklus muss ich etwas ausholen. Auf der einen Seite haben wir verschiedene Modelle der digitalen Zwillinge über den Lebenszyklus der Maschine (Design Twin, Integration Twin, Operation Twin), die sich unterscheiden werden, da immer mehr applikationsspezifische Daten in die Modelle einfließen. Sobald wir den digitalen Zwilling als synchrones Verhalten zwischen Modell und Maschine implementieren, erzielt dieser Gleichlauf eine hohe Integrität.

Wir kennen diese Feedbackloop als hochwertige Validierungsmethodik aus der IEC 61508. Wir können diese Validierungsmethodik nun für einen spezifischen Skill der Maschine zur Laufzeit anwenden. Temperaturänderungen, Umbauten, Veränderungen in Prozessen, die wir als Experten vielleicht als weniger relevant einstufen würden, werden durch die Feedbackloop des Digital Twins identifiziert und damit wird eine Bewertung der Modellqualität über den technischen Lebenszyklus sichergestellt.

Im Systemengineering muss ich die Grenzen der Maschine und alle Umgebungsbedingungen vollständig definieren. Nur wenn wir während des Lebenszyklus die Modelle der Maschinen nachführen oder die Maschine anhand des Modells synchronisieren und kalibrieren, dürfen wir aus der Verknüpfung der Modelle mit den Echtzeitdaten Entscheidungen ableiten.  

Nur dann wird es uns gelingen, in diesem vernetzten Raum mittels der bekannten Grundprinzipien der funktionalen Sicherheit dafür zu sorgen, dass autonome Maschinen Entscheidungen sicher treffen. Wenn wir es zulassen, dass die Modelle nicht ein akkurates Abbild der Realität darstellen, haben wir einen wesentlichen Vorteil der Digitalisierung des digitalen Zwillings verloren.

Die virtuelle Abbildung erlaubt es uns, zeitlich nach vorne zu schauen und optimale Entscheidungen zu treffen. Diese Fähigkeit ermöglicht eine nachhaltige Fertigung und adressiert den Energieverbrauch, die Obsoleszenz und technische Upgrades.

Das Vertrauen in die vernetzte Industrie voranbringen - Antworten finden sich in der konsequenten Anwendung der Wirkprinzipien der funktionalen Sicherheit

DKE: Sie halten bei den Erfurter Tagen einen Vortrag. Was erhoffen Sie sich von der Vorstellung Ihres Themas und der anschließenden Podiumsdiskussion?

Richter: Ich möchte in unserer Safety Community einen Anstoß geben, dass wir die Kombination aller notwendigen Technologien betrachten müssen. Durch konsequente Anwendung der Wirkprinzipien der funktionalen Sicherheit in diesen neuen Technologien können wir Antworten finden, um das Vertrauen in die vernetzte Industrie voranzubringen. Das heißt für mich, die Community in der funktionalen Sicherheit aufzurufen: Beteiligt euch aktiv an dem, was da an Veränderungen auf uns zuläuft!

Der Schwerpunkt meines Vortrags liegt auf den spezifischen Anforderungen an den technischen Lebenszyklus und den daraus abgeleiteten Anforderungen an die digitalen Zwillinge. Für mich sind digitale Zwillinge mehr als Informationsmodelle in der Verwaltungsschale. Sie sind ein Grundbaustein für die Absicherung von Safety, Security und Privacy in der vernetzten Fertigung. Das Zusammenspiel zwischen Hardware, Software und Apps in der Plattform muss von der funktionalen Sicherheit ganzheitlich betrachtet werden.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Gesprächsbedarf und Chancen beim Einsatz von KI-Agenten in der vernetzten Fertigung, bei Datenqualität und Produktionsoptimierung 

DKE: Ausblickend auf aktuelle Debatten in der Community, erlauben Sie die Frage: Müssen bestimmte Aspekte stärker berücksichtigt werden, oder genauer – wo gibt es aus Ihrer Sicht heraus dringenden Gesprächsbedarf?

Richter: Drei Aspekte möchte ich ansprechen. Wir betreiben heute einen sehr hohen Aufwand, um rechtzeitig die Produktion anzuhalten und Menschen zu schützen. Wäre es nicht sinnvoller, fünf oder zehn Prozent von dem Aufwand mit den gleichen Wirkprinzipien der funktionalen Sicherheit zu betreiben, um fehlerfrei einhundert Prozent zu produzieren und gleichzeitig die Gefahr zu vermeiden?

Und der zweite Aspekt: In bestimmten Arten der KI (symbolische KI) können wir heute nachvollziehen, warum bestimmte Abhängigkeiten zu bestimmten Schlüssen führen. Diese Art der KI-Agenten sind diagnostische Beobachter – sie wenden ein Wirkprinzip der funktionalen Sicherheit in Reinkultur an. Wenn wir auf der nicht-symbolischen KI, also der datenbasierten Ebene unterwegs sind, wird es noch länger dauern auch diese Ergebnisse einzubauen. Denn es fehlt bei der daten-basierten KI das spezifische Domänenwissen, insbesondere wenn wir nicht-funktionale Anforderungen berücksichtigen müssen.

Aus meiner Sicht ist ein KI-Agent lernende funktionale Sicherheit: Ich beobachte die Maschine, das Umfeld, und wenn ich eine gefährliche Situation sehe, dann schalte ich ab. Der Agent würde die Situation dazu nutzen, sein eigenes Modell zu verbessern. Das macht die funktionale Sicherheit heute nicht, die bleibt bei dem Modell, was vor Jahren programmiert wurde.

Wir müssen die Diskussion über den Einsatz von KI-Agenten in der vernetzten Fertigung viel konkreter führen und schneller im Umfeld I4.0 lernen. In bestimmten Applikationen wird funktionale Sicherheit durch einen KI-Agent abgesichert werden und an anderen Stellen müssen selbstlernende Systeme uns erklären können, warum sie zu dem Schluss gekommen sind. Und, diese Erklärung muss einer Validierung nach IEC 61508 SIL 3 standhalten. Wenn dem so ist, können wir diese Systeme einsetzen.

Ein dritter Schwerpunkt, wenn wir über Machine Learning und künstliche Intelligenz sprechen: Die Datenqualität. Der beste Algorithmus mit schlechten Daten kann zu gefährlichen Situationen führen. Nur Daten einer definiert hohen Güte generieren eine Basis, um mit den verschiedenen KI- und ML-Algorithmen sicher umzugehen. 90 bis 99 Prozent des Erfolgs von KI-Projekten ist durch Datenqualität bestimmt und nur 1 bis 10 Prozent ist am Ende der Algorithmus. Diesen Aspekt müssen wir viel stärker in die Diskussion in unsere Community bekommen.

DKE: Herzlichen Dank für das Gespräch.

Richter: Sehr gerne.

Core Safety & Information Technologies umschließt alle Aspekte der Sicherheit: grundlegende  Sicherheitsanforderungen, funktionale Sicherheit, Informationssicherheit sowie deren Wechselwirkungen. Außerdem befasst sich Core Safety mit wichtigen Querschnittsthemen und definiert grundlegende Anforderungen die allgemein einzuhalten sind – zum Beispiel für Elektromagnetische Verträglichkeit, Umwelt- und Ressourceneffizienz, Schadstoffe, Größen, Einheiten und Kennzeichnungen. Weitere Inhalte zu diesem Fachgebiet finden Sie im