česky english Vítejte, dnes je pondělí 15. červenec 2024

Funkční bezpečnost a umělá inteligence v průmyslových aplikacích. Jde to dohromady?

DPS 3/2023 | Články
Autor: Mark Patrick, Mouser Electronics
uvod.jpg

Funkční bezpečnost se často aplikuje binárním způsobem, kdy považujeme vymezené provozní parametry za absolutní. Není totiž pravděpodobné, že by algoritmus reagující namísto prostého „ano“ či „ne“ spíše s nějakou mírou pravděpodobnosti splňoval požadavky z oboru funkční bezpečnosti, ačkoli přesně to se také děje. Při aplikaci funkční bezpečnosti dnes pozorujeme rostoucí zájem o umělou inteligenci (AI). Autonomním vozidlům či mobilním robotům to bude vlastní, tak proč to nezkusit i v průmyslové automatizaci?

Funkční bezpečnost v průmyslové oblasti

S elektromechanickými zařízeními se funkční bezpečnost pojí velmi úzce. Doma nás chrání před úrazy, ve výrobě dbá na bezpečí zaměstnanců a vstupuje do hry, i když řídíme auto. Existující standardy funkční bezpečnosti, místní, ale také mezinárodní, ochraňují obsluhu v případě nesprávného použití přístroje, selhání zařízení nebo nečekané reakce systému.

Potřeba standardů funkční bezpečnosti není ničím novým. Určitý stupeň automatizace je společně s roboty v průmyslové sféře navíc stále častější, a to především v chytrých provozech. Iniciativy ke zlepšení provozní účinnosti, jako je Průmysl 4.0, zvyšují počet elektronicky řízených zařízení v provozu a stírají fyzické bariéry při spolupráci s „lidskými“ pracovníky. Hybridní model, kdy kvalifikovaní zaměstnanci pracují bok po boku s kolaborativními roboty však zvyšuje možná bezpečnostní rizika. Spousta výrobních procesů dříve používala ochranné klece a mechanické blokování, aby se zamezilo zranění obsluhy. V současných moderních továrnách nabízí automatizace s průmyslovými roboty nesmírnou flexibilitu, včetně 360° dosahu, takže se lépe využije drahocenný prostor, ovšem zmenšuje se i pole pro bezpečnostní bariéry. Zabezpečení proto musí být v průmyslové výrobě vlastní funkcí systému, spíše než abychom se spoléhali pouze na fyzické oddělení.

Základní požadavek u jakéhokoli prvku funkční bezpečnosti spočívá v okamžitém zastavení zařízení, takže při výskytu neplánované události nebo akce nijak neohrozí obsluhu a nepoškodí ani další vybavení či materiály. Požadované funkce zde budou vyvozeny na základě zhodnocení možných rizik v průběhu běžné, ale i neobvyklé činnosti a poslouží k bezpečnému vypnutí systému. Dříve, než se ale zamyslíme nad spojením AI se systémy funkční bezpečnosti, řekneme si něco o souvisejících standardech funkční bezpečnosti.

Standardy funkční bezpečnosti

Průmyslových zařízení se týká hned několik standardů funkční bezpečnosti. Základním standardem pokrývajícím elektricky, elektromechanicky a také elektronicky ovládaná zařízení je IEC 61508. Odsud se rovněž odvozují specifické standardy v konkrétní oblasti. IEC 60601 se dotýká vybavení v medicíně, zatímco ISO 26262 známe z automobilového průmyslu. U průmyslových zařízení se použije IEC 62061 rozšířené o několik dalších specifických standardů. Patří mezi ně IEC 61131 pro PLC, IEC 61511 v případě řízení procesů nebo IEC 61800-5 (VSD). Dalším bezpečnostním standardem pro průmyslová zařízení se stává ISO 13849. Bude mít širší záběr zahrnující jakoukoli formu činnosti, tedy nejen provoz spojený s elektřinou.

Reakce na rostoucí využití robotů a také kolaborativních robotů či „kobotů“ v průmyslových aplikacích pak byla ve znamení relativně nového standardu funkční bezpečnosti ISO 10218. S chováním kobotů se rovněž pojí technická specifikace ISO/TS 15066.

Obr. 1  Standardy funkční bezpečnosti odvozené z IEC 61508

Základní koncepty funkční bezpečnosti

S funkční bezpečností jsou svázány dva základní aspekty: bezpečnostní funkce a také integrita. Funkce nám definuje prvek sloužící k zajištění bezpečného provozu stroje. Fotodioda může kupříkladu zaznamenat přítomnost nežádoucího předmětu a obsluze bude znemožněn přístup k pohyblivému pásu. Jestliže systém s fotodiodou indikuje, že bezpečnostní funkce není aktivní, musí pás okamžitě zastavit. V případě integrity pak hovoříme o míře jistoty, že k zastavení pásu dojde okamžitě. IEC 62061 u integrity stanovuje čtyři různé stupně (SIL1, SIL2, SIL3 a SIL4), které definují, jak jsou možná bezpečnostní rizika snížena na přijatelnou úroveň. ISO 13849 se staví k SIL maličko odlišně, když dále vyčleňuje pět úrovní (PL A, PL B, PL C, PL D a také PL E).

Obr. 2  K jednotlivým stupňům SIL (Safety Integrity Level)

Zavádění funkční bezpečnosti

Jádrem většiny aplikací z oboru průmyslové automatizace budou vestavné systémy. Abychom zde obecně vyhověli funkční bezpečnosti, potřebujeme vzít v úvahu jak hardwarové, tak i softwarové metody. Mikrokontroléry, mikroprocesory a také programovatelné logické obvody mohou v hardwarové oblasti při zpracování reprezentovat klíčové prvky. Výrobci polovodičů mají stále více zkušeností se zajišťováním senzorů a také obvodů pro zpracování, které v rámci své architektury integrují prvky funkční bezpečnosti. Pro výrobce průmyslových zařízení může začlenění takových obvodů do návrhu pomoci zrychlit proces vývoje a také validace. Příkladem je duální procesor MicroBlaze od firmy Xilinx [1]. Architektura „lockstep“ zde využívá dvou redundantních procesorů s odolností proti chybám, na kterých paralelně poběží stejný kód.

Formální přístup k návrhu embedded softwaru řeší IEC 61508. Přichází s architekturou strukturovaného návrhu, validací a také způsoby testování, coby ústředními prvky při zapracování funkční bezpečnosti. Doporučuje se rovněž osvojení formálního zápisu zdrojového kódu, ale až na MISRA C pro automobilové aplikace zde nejsou k dispozici standardy, pokud jde o průmysl, resp. funkční bezpečnost. Xilinx při návrhu např. doporučuje izolaci jako způsob oddělení bezpečnostních funkcí od ostatních.

Průmyslové aplikace s AI

S AI se potkáváme v celé řadě průmyslových aplikací, od zpracování obrazu až po monitorování vibrací. Funkce je založená na pravděpodobnosti. Úloha, ve které se např. rozpoznává předmět, může rozlišovat různé druhy ovoce. Dokonalejší aplikace by již mohla zjistit i stav konkrétního plodu. Je ovoce jednoduše v pořádku, nebo již bude přezrálé? V každém případě to bude záležet na pravděpodobnosti, že bylo ovoce, včetně jeho stavu, správně rozpoznáno na základě srovnávacích obrazových dat využitých při „školení“ neuronové sítě.

Při prvním přezkoumání se může nebinární svět AI založené na pravděpodobnosti dostat do konfliktu s binárním světem nabízeným již tradičně hardwarovými bezpečnostními systémy. Základní principy funkční bezpečnosti mají přitom původ v metodách fyzického zastavení. I když zde pracujeme s procesorem, bude takový přístup záviset na reakci „projde/ neprojde“, pokud jde o přednastavené soubory rizik.

Platné standardy funkční bezpečnosti zdůrazňují potřebu rozpoznat veškerá možná rizika spojená s použitím dané části strojního zařízení a obvykle se to týká pouze obsluhy. Nebezpečí může být identifikováno pro každou odlišnou fázi činnosti zařízení. Stroj se tedy v provozu logicky uchytí ve stabilní pozici k podlaze. Počet zjištěných rizik může být proto konečný. Co když se ale začne vše pohybovat?

Dalším kritériem je dříve nezjištěný stav zařízení, který může pro uživatele představovat nebezpečí. Opotřebení ložiska kupříkladu znamená, že se fyzický dosah u nebezpečného nástroje dostává až za bezpečnou hranici.

Jak zvládnout exponenciální nárůst možných rizik

Vývojáři autonomních vozidel vědí, že je počet možných rizik, pokud jde o automatické řízení dopravního prostředku pohybujícího se ve městě, příliš vysoký na to, aby jej šlo vůbec určit. Očima strojového „řidiče“ se proto stává AI se systémy vidění, včetně subsystémů pro snímání, jako jsou LiDARy a RADARy. Takové funkce pak společně neustále skenují okolí s ohledem na možná rizika, včetně různých „vodítek“ v zorném poli, chodců, objektů na cestě před sebou či semaforů. Funkční bezpečnost se zaměřuje na spolehlivost a integritu systémů řídících vozidlo. Rozhodující zde budou procesory s duální a trojnásobnou architekturou „lockstep“ společně s redundantními systémy.

Funkční bezpečnost v průmyslu s AI

Bude AI tvořit základ průmyslové funkční bezpečnosti? Ano. AI se totiž může učit, aby se přizpůsobila různým podmínkám ve výrobě. Využívá se již v oblasti prediktivní údržby, kde např. změna vibrací signalizuje možné opotřebení nebo jiné zatěžovací podmínky motoru. Pro účely funkční bezpečnosti je stav zařízení velmi důležitý a dává proto smysl, když AI využijeme při monitorování stavu zařízení, ale i bezpečnostních rizik. AI se také učí, když u obsluhy pozoruje různé vzorce chování nebo nepřetržitě sleduje pozici a pohyby svých lidských kolegů. Je to navíc pouze AI, která se dokáže neustále přizpůsobovat a zpracovávat přitom záplavu dat, zatímco jim ještě dává smysl.

Klíčové je ověření návrhu

Využití principů funkční bezpečnosti s AI znamená ve světě průmyslové automatizace spoustu nově rozpoznaných rizik a také možností spojených s řízením bezpečnosti. Zároveň to ale klade obrovský důraz na verifikace hardwarového návrhu společně s formálním vývojem softwaru a jeho architekturami či postupy. Klíčové je, aby systémy vyhověly zavedeným standardům funkční bezpečnosti, a polovodičový průmysl s tím dokáže pomoci. Výrobci součástek si již do značné míry uvědomují, jak velká důvěra je vložena do jejich produktů a také zde častokrát implementují vývojové nástroje pro systémy funkční bezpečnosti.

Odkazy:

[1] https://eu.mouser.com/manufacturer/xilinx/