实现智能制造安全性的动态方法
北京2022年4月1日 /美通社/ -- TUV南德意志集团(以下简称“TUV南德”)近期发布的“自适应物理安全与信息安全系统” (AS3),提出了面向智能制造的动态风险评估方法,实现工业4.0系统的运行时监控,同时实现安全措施自动验证和系统变化的动态确认。本文将由TUV南德专家介绍并分析AS3在几种含有AGV/AMR的典型工业场景的应用。
随着工业4.0生产设施的复杂化,传统的静态风险评估方法难以适应快速进化的生产系统,企业需要能够实现“动态安全”的全新风险管理方法。TUV南德通过受专利保护的“自适应物理安全和信息安全系统”(Adaptive Safety & Security System,简称AS3),实现对以大量交互和数据流为特征的动态工业4.0系统的运行时“@Run-time”监控,同时实现安全措施的自动验证和系统变化的动态确认。
AS3成功的关键在于嵌入了实际制造系统的数字表示 (Digital Representation) -- 数字孪生 (Digital Twin/DT)。AS3为数字孪生配备了定制化的物理安全档案 (Safety Profile) 和信息安全档案 (Security Profile)。物理安全档案的建模可从一般和特定的应用角度来说明资产的安全属性。这可以认为是工业资产的“安全孪生” 或者“安全子模型”,其中危险和风险属性以数字形式定义。然后,推理引擎会根据实际应用的约束来处理这些档案。这一步相当于在虚拟世界定义了现实世界中工业应用的环境边界和风险抑制能力,从而在运行时进行自动的风险评估。
AS3解决方案与整个系统生命周期相关,跨越计划,设计、调试、运行和维护过程。
工业机械及机器人在现代的制造、仓储、物流、巡检、特种危险工作场所中越来越不可或缺。然而,“机-机”数字交互在为我们提供生产和生活便利的同时,也伴随着一系列的安全风险,存在人员伤害及财产损失的隐患。除了传统的危险场景造成的潜在机械伤害,电气伤害,火灾,电池爆炸等风险,由于机-机交互,机械-环境交互以及人机交互产生的附加风险也必须考虑,此外,机械的嵌入式系统也必须考虑数字接口的信息安全。
在进入具体场景分析之前先简单介绍一下AGV的现行安全标准及其风险评估。AGV的国际机械安全标准ISO 3691-4:2020中定义了AGV存在的机械伤害风险,并规定了机械结构的设计要求和功能安全保护方面的要求。随着AGV型式和功能的不断增多,北美工业标准ANSI RIA R15.08:2020进一步将AGV细分为AGV(Automated Guided Vehicle,自动导向车),AMR(Autonomous Mobile Robot,自主移动机器人)和IMR(Industrial Mobile Robot,即装备有协作机械手的AGV或AMR)。
值得注意的是ISO 3691-4和ANSI RIA R15.08都只是机械安全标准,并未对AGV的其他风险,例如信息安全,做出规范,也不涉及应用于存在爆炸风险的危险场地的特种AGV。而且,即使是机械安全的评估,标准的要求也是基于现场应用条件或范围的诸多“假设”。这就带了三个基本问题,一是经过以上工业标准认证的AGV的安全性并不全面,无法覆盖AGV存在的各类风险;二是AGV依赖自身的机电结构设计及嵌入式安全功能的安全性不是“无条件”的,而必须依赖于场地和环境的额外保护,需要在系统集成时进行整体的验证与确认,这可能会给终端企业造成安全隐患。特别是在系统变更时,需要重新对系统的安全完整性进行风险评估,其中大部分的工作是重复的。三是AGV的保护设定是基于“最坏可能”,而具体应用往往并不会出现“最坏可能”的情况,这会导致生产效率的下降并增加不必要的停机时间。
在工业4.0时代,企业需要为客户提供更多定制化的选择,产品的生命周期也不断缩短,因此要求生产设施有更高的灵活性,以上三个问题也就变得更加突出。特别是智能制造大大增加了机械、人、企业系统和云之间的交互性和数据交换的需求,生产设施的复杂度也相应大大增加。传统的,生产设施的任何变更都必须由安全专家现场评估,经过手工安全确认才能重新运行的静态评估方法已经无法适应工业4.0企业。
通过以下的多个场景的分析,读者可以了解AS3的潜在应用。
示例1:流程优化
自动导引车 (AGV) 在有人操作区域内驶向机械,存在“碰撞风险”。该风险可以通过在AGV的设计中使用三种安全措施进行抑制(根据《ISO 3691-4-工业车辆-安全要求和验证-第四部分:无人驾驶工业车辆及其系统》):1. 人员检测系统,2. 速度控制系统,3. 制动控制系统。此外,基于安全一体化原则,也可以依据《ISO 12100-机械安全-一般设计原则-风险评估和风险降低》通过对智能工厂的整体保护来实现AGV“碰撞风险”的抑制。
在当前实践中,对于复杂场景会考虑人的可能存在而限速,即使在很多时刻操作区域实际并没有人,这会造成生产(物流)效率的下降。
在上图所示的智能工厂车间内布置有多种机械,AGV与操作人员在同一空间工作,有多种方法可以通过传统的静态安全评估。方法一是通过安全围栏将操作员与AGV完全分隔,AGV工作在限定区域,无需限速,也不需要配置以上提到的安全功能,按该方法车间现场需要被分割成很多空间,空间利用率低,不同空间之间的物料传送会很不方便,安全围栏不宜改动,车间的布局也难以动态调整。方法二将所有AGV的速度限定在最低安全限速0.3m/s以下,AGV与操作员可以协同工作,AGV也无需配置人员检测功能,但是生产效率降低。方法三是选择具有以上提到的安全功能,且通过ISO 3691-4认证的AGV,并基于现场情况,比如AGV到通道两侧的障碍物的安全间隙,通道终端是否配置急停开关,是否有逃生通道等,设置一定的安全限速(高于方法二的最低安全限速),再配以其他现场防护措施,比如部分区域设置门禁,只允许有授权人员进入等,综合的进行安全防护。方法三相对前两种方法更加灵活,但也存在防护方案复杂,难以动态调整的缺点。AS3的动态监控可以有效的提升方法三的灵活性和安全性,从而促进其在智能制造工厂的应用。对于广泛采用方法一和方法二的传统工厂,通过引入AS3并进行相应改造也可以实现流程优化。
对于上图的场景,应用AS3系统可以有以下几方面(不限于)的优势:
示例 2:系统变化的动态确认
在图三所示的爆炸风危险场地与普通安全场地混合分布的智能工厂车间中,因扩产需求企业要增加一台自主移动机器人AMR,这台AMR能进入哪些作业区域?
在上图布局二这个系统变化中,分别需要对机械风险和防爆风险进行风险评估和安全确认。从规格书中可以获知该AMR经过ISO 3491-4的认证,具有人员检测,速度控制和制动控制且达到相应的的PL等级,这台AMR具有ATEX防爆认证,防爆标志为II 3G Ex IIB T3 Gc。此外,风险评估还需要知道和场地相关的安全信息,包括各工作区域的区域划分和场地安全措施。
对于区域划分,ISO 3691-4中规定了四种机械风险区域,包括操作区 (Operating Zones),
操作危险区 (Operating Hazard Zone),限入区(Restricted Zone),封闭区 (Confined Zone)。IEC 60079-10中定义了6种危险区域气体危险区域0区,1区,2区和粉尘危险区域20区,21区,22区。
其他场地相关的安全信息包括机械伤害的识别与风险评估,机械防护措施,安全回路及其中的安全器件,SIL等级,各工作区域内部的空间,布局,狭窄通道的安全间隙等等;各爆炸危险区域的分区,涉及爆炸性气体的气体组别和温度等级等。
布局二中简单标出了新AMR允许进入的区域及其许可条件(图中限速值 x (m/s)非固定值,须按照现场条件依ISO 3691-4的要求进行设定)。为了简化分析,以上所列仅为最基本的安全信息,且仅考虑了物理安全。智能工厂往往涉及大量的机械,自动控制装置和智能器件,除了物理安全,可能还涉及电气安全,电磁兼容性,信息安全等,实际情况远较示例复杂。
值得注意的是系统变化的安全确认往往涉及多种领域知识,可能需要OT人员,如机械安全工程师,防爆安全工程师,信息安全工程师,工艺流程工程师,自动化工程师,系统集成人员,设备制造商/供应商,运行人员,质量管理人员等,与工厂信息化 (IT) 人员的协同工作,造成长时间的系统停机。通过AS3的动态管理功能,在系统变化的时刻,可以根据预先建立的该智能工厂的物理安全和信息安全档案,由AS3的逻辑引擎在运行时动态执行安全确认,或者快速给出安全建议。
以上仅讨论了部分案例,TUV南德将会持续探索更多的应用领域。AS3已经由TUV南德香港分公司申请专利保护。
《“自适应物理安全与信息安全”白皮书》中文版已通过TUV南德官网正式发布,读者可免费申请: https://www.tuvsud.com/zh-cn/resource-centre/white-papers/adaptive-safety-and-security-in-smart-manufacturing