Integration von KI-Agenten in die SPS-Logik in der autonomen Fabrik 2026

Um KI-Agenten im Jahr 2026 in die SPS-Logik zu integrieren, sollten Ingenieure die SPS als deterministische Ausführungsebene und Sicherheitsinstanz beibehalten. KI kann Sollwerte, Zeitpläne oder Optimierungen vorschlagen, aber die IEC 61131-3-Logik muss Verriegelungen, Grenzwerte und Fehlerreaktionen durchsetzen. OLLA Lab bietet eine begrenzte Umgebung, um diese asynchrone Übergabe vor der Inbetriebnahme zu validieren.

KI-Agenten ersetzen nicht die SPS-Logik. Sie führen nicht-deterministische Anforderungen in Systeme ein, die nach wie vor deterministische Ausführung, begrenzte Zeitvorgaben und verifizierbare Fehlerbehandlung erfordern.

Diese Unterscheidung ist wichtig, da die industrielle Steuerung nicht danach beurteilt wird, ob ein Befehl beabsichtigt war. Sie wird danach beurteilt, was am Aktor, innerhalb des Zyklus und unter Fehlerbedingungen passiert ist. Bei aktuellen Grenztests in der WebXR-fähigen Simulationsumgebung von OLLA Lab führte die direkte Einspeisung externer Sollwertänderungen in laufende Prozessszenarien ohne Pufferung durch Kontaktplan-Logik zu einem Anstieg von 32 % bei mechanischen Race-Condition-Ereignissen, insbesondere bei Double-Coil-Konflikten innerhalb eines einzelnen 10-ms-Zykluskontexts. Methodik: 28 Szenariodurchläufe bei Misch-, Förder- und Pumpensteuerungsaufgaben; Basis-Vergleichswert war die gepufferte SPS-Vermittlung mittels Begrenzer-/Verriegelungslogik; Zeitfenster Januar–März 2026. Dieser interne Benchmark stützt die Behauptung, dass ungepufferte KI-Befehlsinjektion das Risiko von Steuerungs-Konflikten in der Simulation erhöht. Er beweist keine allgemeine branchenweite Vorfallrate.

Eine nützliche Korrektur ist überfällig: Das schwierige Problem ist nicht die KI-Syntaxgenerierung. Es ist die asynchrone Optimierung, die auf die physische Anlagenrealität trifft, ohne den Determinismus zu beschädigen.

KI-Agenten können die deterministische SPS-Logik nicht ersetzen, da die industrielle Steuerung von einer begrenzten, wiederholbaren Ausführung abhängt, während KI-Systeme probabilistische Ausgaben auf asynchronen Zeitachsen erzeugen.

Eine SPS führt einen Zyklus in einer definierten Reihenfolge aus: Eingänge lesen, Logik ausführen, Ausgänge schreiben. Dieses Modell ist nicht nur konventionell; es ist die Grundlage für vorhersehbares Maschinenverhalten, Verriegelungen und Fehlerreaktionen. Selbst wenn Zykluszeiten je nach Programmlast leicht variieren, bleibt das Ausführungsmodell begrenzt und auf Steuerung ausgelegt. Ein LLM oder ein Agenten-Dienst arbeitet nicht auf diese Weise. Er reagiert möglicherweise in variabler Zeit, mit variabler Struktur und über Netzwerke, die Jitter, Wiederholungen oder Timeout-Verhalten hinzufügen.

Deshalb sollte KI bei sicherheitsrelevanten oder zeitkritischen Aufgaben nicht mit direkter Aktor-Autorität betraut werden. Not-Aus, Freigabeketten, Bewegungshemmungen, Brennersteuerung, Pumpenschutz und Sequenzübergänge erfordern deterministisches Verhalten. „Schnell“ ist in der Regel keine Steuerungsstrategie.

Normen verstärken diese Grenze. IEC 61131-3 definiert die Programmiersprachen und den Ausführungskontext für industrielle Steuerungen, einschließlich Kontaktplan (KOP) und Strukturierter Text (ST). IEC 61508 regelt die funktionale Sicherheit und erfordert systematische Strenge, Rückverfolgbarkeit und verifizierbares Verhalten für sicherheitsbezogene Systeme. KI-generierter Code kann als Entwurfsmaterial nützlich sein, aber die Generierung von Entwürfen ist kein deterministischer Nachweis.

Eine praktische Unterscheidung hilft: KI eignet sich für die Orchestrierung; SPS sind für die Ausführung erforderlich. Die KI kann eine Produktionsrate, ein Rezeptziel, eine Wartungsmeldung oder eine Routenänderung empfehlen. Die SPS muss entscheiden, ob die Anforderung physisch zulässig, zeitlich sicher und logisch konsistent mit dem aktuellen Maschinenzustand ist.

OLLA Lab ist hier nützlich, da der Simulations-Workflow es Benutzern ermöglicht, die Zyklusbeziehung direkt zu beobachten. Im Simulationsmodus können Benutzer Eingänge umschalten, Logik ausführen, Logik stoppen und Variablenzustandsänderungen im Vergleich zum Kontaktplan-Verhalten untersuchen.

Sie programmieren die SPS als Sicherheitsüberwachung, indem Sie jeden KI-generierten Wert als nicht vertrauenswürdige externe Variable behandeln, die validiert, eingeschränkt und abgelehnt werden muss, bevor sie den Prozess beeinflusst.

Die Architektur ist im Prinzip einfach: Die KI schlägt vor, die SPS entscheidet. Die Feinheit liegt darin, wie viele Wege es gibt, auf denen ein schlechter Vorschlag für einen Zyklus zu lange plausibel aussehen kann.

Die 3 Säulen der KI-Isolation

#### 1. Ratenbegrenzung (Rate-of-change clamping)

Die SPS sollte begrenzen, wie schnell eine KI eine Befehlsvariable ändern kann, insbesondere bei analogen Ausgängen und PID-bezogenen Sollwerten.

Dies ist wesentlich für:

• die Vermeidung mechanischer Stöße
• die Reduzierung von Prozessstörungen
• die Begrenzung des Integral-Windups
• die Vermeidung abrupter Übergänge, denen das physische System nicht folgen kann

Wenn eine KI einen Geschwindigkeitsbefehl in einem Update von 20 % auf 100 % erhöht, sollte die SPS diese Anforderung nicht ungefiltert durchlassen. Sie sollte den Wert innerhalb technischer Grenzen begrenzen und oft mit einer definierten Rate hochfahren.

#### 2. Freigabeverriegelungen (Permissive interlocks)

Die SPS sollte KI-Anforderungen nur ausführen, wenn der physische Prozess einen sicheren und gültigen Zustand bestätigt.

Typische Freigaben umfassen:

• Schutztür geschlossen
• Antrieb betriebsbereit
• Druck innerhalb des zulässigen Bereichs
• Ventil-Rückmeldung bestätigt
• Tankfüllstand über Minimum
• kein aktiver Trip oder Lockout
• Sequenzzustand für diesen Befehl gültig

Ein Befehl wie `Motor_Run_Cmd` sollte durch den realen Prozesszustand bedingt sein, nicht durch das Vertrauen in das vorgelagerte Modell. In Kontaktplan-Begriffen bedeutet das, dass der KI-Befehl zu einer Bedingung im Netzwerk wird, nicht zur alleinigen Autorität des Netzwerks.

#### 3. Das deterministische Veto

Die SPS muss eine harte Übersteuerungslogik beibehalten, die KI-Anforderungen bei Fehlern, abnormalen Zuständen oder Sicherheitsereignissen sofort unterdrückt.

Diese Veto-Ebene sollte umfassen:

• Trip-Logik
• alarmgesteuerte Sperren
• Watchdog-Timeout-Behandlung
• Rückfallzustände bei Kommunikationsverlust
• Befehlsablehnung bei fehlender Zustandsbestätigung
• erzwungene sichere Ausgänge, wo konstruktiv erforderlich

Dies ist die tatsächliche Steuerungsgrenze.

Die KI-zu-SPS-Integration wird indirekt durch dieselben Normen geregelt, die bereits die industrielle Steuerung, das Softwareverhalten und die funktionale Sicherheit regeln. Es gibt keine normativen Schlupflöcher, bei denen KI ein System von der Ingenieursdisziplin befreit.

Die relevantesten Basisnormen sind:

• IEC 61131-3 für Programmiersprachen und Ausführungskonventionen industrieller Steuerungen
• IEC 61508 für die funktionale Sicherheit von elektrischen, elektronischen und programmierbaren elektronischen sicherheitsbezogenen Systemen
• ISA-5.1 und zugehörige Instrumentierungskonventionen, bei denen Tagging, Schleifendefinition und Signalinterpretation wichtig sind
• branchenspezifische Praktiken und interne technische Standards für Alarmmanagement, Sequenzdesign und Änderungsmanagement

Die praktische Konsequenz ist klar: Wenn ein KI-System eine Steuerungsvariable beeinflusst, muss die empfangende Steuerungsebene dennoch gemäß etablierter Steuerungs- und Sicherheitspraxis konstruiert, testbar und überprüfbar sein. Dass das Modell etwas vorschlägt, ist kein Nachweis für die Eignung.

Die häufigsten Fehlermodi der KI-gesteuerten Automatisierung resultieren meist aus einer Zustandsdivergenz zwischen der digitalen Entscheidungsebene und der physischen Anlage, nicht aus offensichtlichen Syntaxfehlern.

In der modernen Automatisierung ist der gefährliche Fehler oft kein fehlerhafter Code. Es ist ein sauber aussehender Befehl, der auf einer falschen Annahme über den realen Ausrüstungszustand basiert.

Ventil-Hysterese und Haftreibung (Stiction)

Ein häufiger Fehler tritt auf, wenn die KI annimmt, dass eine befohlene Ventilposition der erreichten Ventilposition entspricht.

Sensordrift

Ein zweiter Fehlermodus tritt auf, wenn sich die KI-Optimierung auf Sensorwerte verlässt, die technisch zwar verfügbar, aber physisch irreführend sind.

Sequenz-Zustands-Diskrepanz

Ein dritter Fehlermodus tritt auf, wenn die KI einen Befehl ausgibt, der in einem Sequenzzustand gültig, in einem anderen jedoch ungültig ist.

Watchdog- und Kommunikationsausfall

Ein vierter Fehlermodus tritt auf, wenn die KI-Ebene nicht verfügbar, verzögert oder inkonsistent wird, während der Prozess weiterläuft.

„Simulation-Ready“ bedeutet, dass ein Ingenieur Steuerungslogik gegen realistisches Prozessverhalten beweisen, beobachten, diagnostizieren und härten kann, bevor sie einen Live-Prozess erreicht.

OLLA Lab simuliert KI-zu-SPS-Handshakes, indem es Benutzern eine kontrollierte Umgebung bietet, um externe Variablenänderungen in laufende Kontaktplan-Logik einzuspeisen und zu beobachten, wie die SPS-seitige Logik diese akzeptiert, einschränkt oder ablehnt.

Ingenieure sollten KI-zu-SPS-Handshakes validieren, indem sie Befehlsakzeptanz, physische Freigaben, Fehlerreaktion, Timeout-Behandlung und Zustandsabgleich in der Simulation vor jeder Live-Bereitstellung testen.

KI gehört in die Orchestrierungsebene der autonomen Fabrik 2026, während die SPS die deterministische Ausführungs- und Schutzebene bleibt.

Eine sichere KI-zu-SPS-Integration hängt von einer einfachen Regel ab: Die SPS muss die letzte deterministische Autorität über die physische Ausführung bleiben.

- IEC 62443 Normenprogramm (IEC) - ISA/IEC 62443 Ressourcen (ISA) - Zero Trust Maturity Model (CISA) - ICS-Advisories und Leitfäden (CISA) - Cybersicherheit für industrielle Steuerungssysteme und digitale Zwillinge (DOI) - Ressourcen für funktionale Sicherheit und Cybersicherheit (exida)