本文回答的问题
文章摘要
在工业 5.0 中,“人在回路”(Human-in-the-Loop, HITL)监督是一项工程行为,旨在验证 AI 生成的控制逻辑在部署前是否符合物理设备的约束条件。OLLA Lab 通过让工程师在仿真环境中测试梯形图逻辑、检查 I/O 行为、注入故障并将代码意图与 3D 或 VR 机器行为进行比对,从而支持这种验证。
自动化领域的 AI 辅助并非受阻于语法生成能力的不足,而是受阻于工业控制的物理性、确定性和对故障的敏感性。一段梯形图逻辑看起来可能合乎逻辑,但仍可能导致机器进入危险状态。
这种区别至关重要,因为工业 5.0 并非要将人类从生产中移除。欧盟委员会的框架将人类工作者重新置于中心位置,将韧性、协作和人机互补作为核心原则,而非仅仅是修饰性的辞藻。
Ampergon Vallis 最近的一项内部压力测试强化了这一点:在 500 个 AI 生成的电机控制序列中,原始 LLM 输出的逻辑在仿真环境中进行安全验证前,均需要人工修正,且在去抖动(debounce)、允许条件(permissives)和故障安全假设方面频繁出错。方法论:针对电机启停和联锁任务进行 500 次提示-响应生成,并与导师编写的基准逻辑进行对比,在 30 天的内部测试窗口内进行评估。该指标支持一个狭义的结论:未经审查的 AI 输出尚不具备控制验证的部署条件。这并不支持“AI 在自动化中毫无用处”的广泛结论。它是有用的,但它不能作为安全性的论据。
工业 4.0 与工业 5.0 有什么区别?
工业 4.0 强调连接性、自动化和信息物理系统集成。工业 5.0 增加了一个不同的重心:人类操作员、工程师和决策者对于韧性生产仍然至关重要。
这不仅仅是品牌调整,而是系统层面的区别。工业 4.0 常被概括为机器对机器的连接、自主单元和“黑灯工厂”的理想。工业 5.0,特别是在欧洲政策背景下,转向了以人为本、可持续性和韧性(欧盟委员会,2021)。
对于控制工程师而言,实际意义很明确。工程师不再仅仅被定义为编写逻辑的人。工程师成为了验证生成逻辑是否在物理上连贯、操作上安全且在异常条件下可恢复的把关人。语法是廉价的,但确定性的判断不是。
这就是“人在回路”一词需要严谨性的地方。在本文中,HITL 并不意味着“某人扫了一眼输出结果”。它意味着一名人类工程师已经:
- 从逻辑上审查了控制序列,
- 根据设备行为对其进行了检查,
- 验证了异常条件下的故障安全响应,
- 并确认了机器状态与梯形图状态保持一致。
任何低于此标准的行为都只是工作流程的“表演”。
为什么概率性 AI 模型在确定性 PLC 安全性方面会失败?
LLM 生成的是概率性文本,而 PLC 针对真实的 I/O 和扫描周期约束执行确定性逻辑。这种错位是核心问题。
语言模型根据训练数据中的模式预测下一个标记(token)。它不执行机器扫描,不拥有现场设备,也不会从执行器惯性、接线惯例或过程死区时间中进行本质上的推理。IEC 61131-3 控制编程存在于一个有序执行、显式状态和可观察因果关系的世界中。在 IEC 61508 等标准下的功能安全工作则更为严格。
结果是可预测的。AI 生成的梯形图逻辑通常看起来结构完整,但在操作上却是不完整的。它可以生成梯形图,但无法保证机器的安全行为。这是两种不同的成就。
AI 代码通常忽略的 3 种物理危害
#### 1. 机械动量
AI 逻辑通常假设清除一个输出位意味着机器已经停止。物理系统并不那么“听话”。
传送带会滑行。旋转设备带有惯性。气动轴会过冲。机械手不会仅仅因为梯形图变为假(false)就立即停止。如果下游的允许条件假设是瞬时停止,那么碰撞和卡料就变得很容易编写,且解释起来代价高昂。
#### 2. 传感器迟滞与噪声
AI 输出经常无法充分指定去抖动、死区和信号验证。
真实的传感器会抖动。液位开关在阈值附近振荡。光电眼会随着产品几何形状而闪烁。模拟量值会漂移、饱和并产生尖峰。如果一个控制序列对每一次转换都像对待定理证明器一样做出反应,那么最好的结果是产生误跳闸,最坏的结果是序列不稳定。
#### 3. 常闭现场接线与故障安全惯例
AI 模型经常错误处理逻辑真值与安全现场状态解释之间的区别。
常闭停止电路、健康的允许链或断电跳闸设备,无法简单地映射到“1 表示激活”的假设上。这是一个常见的故障模式,因为模型看到的是符号,而工厂看到的是接线哲学。
为什么确定性在 PLC 和安全逻辑中是不可妥协的?
确定性是不可妥协的,因为工业控制的评价标准是定义条件下的可重复行为,而不是生成的代码是否类似于先前的示例。
PLC 扫描按已知顺序执行。输入被读取,逻辑被求解,输出被更新,定时行为在可重复的周期内进行评估。与安全相关的功能需要围绕定义的状态、诊断覆盖率和故障响应进行更严格的约束。IEC 61508 之所以存在,正是因为“可能正确”对于危险系统而言不是一个可接受的设计类别。
这并不意味着 AI 在 PLC 工作中没有地位。这意味着 AI 应该处于验证的上游,而不是下游。草稿生成可能是有用的,但确定性的否决权必须由人类掌控。
这种对比值得明确:草稿生成与确定性否决。前者是辅助,后者是问责。
在操作工程术语中,“人在回路”意味着什么?
“人在回路”意味着人类工程师在部署前验证生成的逻辑是否能安全地指挥物理系统、考虑了真实的设备行为,并在异常条件下实现故障安全。
这个定义是有意缩小的。它是可观察的,可以被审计的。它避免了该术语周围常见的模糊性。
在操作层面,HITL 验证包括:
- 检查允许条件、跳闸和联锁是否符合控制哲学,
- 验证启动、停止和故障复位行为是否具有确定性,
- 确认现场设备假设与实际接线和故障模式相符,
- 测试异常状态,如传感器丢失、反馈卡死和运动延迟,
- 以及审查机器在预期时是否能达到安全状态。
简单的代码审查是不够的。评论线程是不够的。如果工程师没有针对仿真或物理系统模型观察过行为,那么这个回路就没有闭合。
对于自动化工程师,“仿真就绪”意味着什么?
“仿真就绪”(Simulation-Ready)的工程师是指那些能够证明、观察、诊断并强化控制逻辑,以应对现实过程行为,直到逻辑达到实际生产过程的人。
这并不是“了解梯形图语法”的同义词。这是一个更严格的门槛。
一名“仿真就绪”的工程师能够:
- 将标签和 I/O 映射到机器或过程模型,
- 在测试开始前定义什么是正确的行为,
- 观察梯形图状态与设备状态之间的偏差,
- 故意注入故障,而不是等待它们意外发生,
- 在故障后修改逻辑,
- 并记录为什么修改后的逻辑消除了风险。
这就是课堂流利度与调试实用性之间的区别。
工程师如何安全地实践“人在回路”验证?
工程师通过在任何实际部署之前,在风险受控的仿真环境中验证生成或起草的逻辑,从而安全地实践 HITL。
这就是 OLLA Lab 变得具有操作价值的地方。OLLA Lab 是一个基于 Web 的梯形图逻辑和数字孪生培训环境,允许用户在浏览器中构建梯形图逻辑、运行仿真、检查 I/O 和变量、处理现实的工业场景,并将逻辑行为与 3D 或 VR 设备模型进行对比。在有限的范围内,它是用于验证和故障排除练习的排练环境。
这一点很重要,因为大多数初级工程师无法在带电的设备、活动的传送带、泵撬块或机器人单元上安全地学习这些课程。在真实硬件上学习的代价通常是设备损坏、时间损失或可避免的操作中断。
OLLA Lab 中的“生成-验证”回路
OLLA Lab 中的实用 HITL 工作流程可以遵循四个步骤:
#### 第 1 步:生成基准
使用梯形图编辑器,并在适当的情况下使用 GeniAI,为定义的场景(如码垛机、传送带、泵站或 HVAC 序列)起草基准梯形图逻辑。
这里的重点不是盲目接受。重点是加速初稿的创建,以便真正的工作——验证——能够开始。
#### 第 2 步:将逻辑绑定到仿真设备
将标签、输入、输出和相关变量映射到 OLLA Lab 仿真环境中的场景模型,包括可用的 3D 或 WebXR 视图。
这是抽象逻辑开始面对物理后果的时刻。许多错误在输出与运动、延迟或序列依赖性绑定之前是不可见的。
#### 第 3 步:注入故障并观察失效行为
使用变量面板强制执行异常条件,例如:
- 传感器转换失败,
- 证明反馈延迟,
- 离散输入行为噪声,
- 模拟量偏移,
- 或不正确的允许条件状态。
然后观察序列是安全失效、安全停机还是错误地继续运行。好的验证不是为了证明“快乐路径”(happy path)。
#### 第 4 步:应用人工修正
在编辑器中修改梯形图逻辑,以添加确定性的安全措施,例如:
- 去抖动定时器,
- 自锁(seal-in)修正,
- 故障安全停止逻辑,
- 运动证明检查,
- 超时报警,
- 以及显式联锁。
人类的贡献不是修饰性的编辑。它是当生成的草稿缺乏物理真实感时,插入工程判断。
OLLA Lab 中的 AI 验证场景是什么样的?
传送带或码垛机序列是一个有用的例子,因为它能迅速暴露定时、运动和联锁错误。
假设一个 AI 生成的序列在检测到上游产品时启动传送带,并在下游区域被占用时停止它。在纸面上,逻辑看起来可能是一致的。但在仿真中,缺陷显现出来:下游传感器抖动,传送带在停止后有滑行,且序列在区域实际清空之前就重新通电。结果是 3D 模型中的卡料或碰撞。
人类验证者会通过检查三件事来发现这一点:
- 传感器是否需要去抖动或状态确认,
- 传送带停止行为是否包含物理滑行时间,
- 重启逻辑是否需要确定性的清空条件,而不是单个瞬态位。
紧凑的修正模式通常包括延迟确认逻辑。例如:
[语言:梯形图] // 人工修正的去抖动逻辑 |---[ Physical_Sensor ]-------[ TON: Timer_On_Delay, 50ms ]---| |---[ Timer_On_Delay.DN ]-----( Latch_Valid_Signal )----------|
这段代码片段不是万能的修复方法。它说明了一个更广泛的观点:人类工程师增加了生成的草稿通常忽略的时间和物理纪律。
VR 仿真如何为初级工程师建立“战斗伤疤”?
VR 和 3D 仿真建立了有用的判断力,因为它们让工程师在不为真实设备付出代价的情况下,看到错误逻辑的物理后果。
“战斗伤疤”这个词应该谨慎使用。它并不意味着戏剧化或游戏化。它意味着反复接触故障模式:竞争条件、联锁遗漏、错误允许条件、糟糕的复位设计和不安全的重启行为。视觉后果加速了理解。
当一名初级工程师看到虚拟传送带卡住、码垛机碰撞或泵序列因为证明反馈从未到达而无法转换时,教训就变成了因果关系而非抽象概念。梯形图状态、变量状态和设备状态可以直接进行对比。这正是调试工作所需要的思维模型。
关于基于仿真和沉浸式技术培训的研究通常支持这一方向,前提是环境与任务真实性、反馈和可重复练习相关,而不仅仅是新奇感。重要的限定条件很明显:沉浸感在改善诊断观察时才有用。头显本身并不是教学法。
工程师应如何记录验证技能,而不将其变成截图画廊?
工程师应该记录紧凑的工程证据,而不是精美界面的画廊。
一个可信的验证工件应准确包含六个要素:
- 系统描述 定义被控制的机器或过程、操作目标和主要 I/O。
- “正确”的操作定义 说明必须发生什么、按什么顺序、在什么条件下发生,以及安全失效是什么样子的。
- 梯形图逻辑和仿真设备状态 展示相关的梯级、标签和相应的仿真机器状态。
- 注入的故障案例 识别引入的异常条件,如传感器抖动、反馈丢失、阀门卡死或模拟量超量程。
- 所做的修正 记录确切的逻辑更改,包括定时器、联锁、状态处理、报警或允许条件修正。
- 经验教训 解释原始草稿遗漏了什么,以及为什么修正后的逻辑更好地反映了物理和操作现实。
这种结构比带有“完成码垛机实验”标题的截图更有说服力。完成不是证据,诊断才是。
AI 在工业 5.0 自动化工作中应扮演什么角色?
AI 应作为起草、解释和迭代支持的助手,而工程师仍负责验证、故障推理和部署判断。
这比任何极端立场都更符合工业 5.0 模型。工程师不会被文本生成器取代,文本生成器也不是无关紧要的。有用的角色是人类控制的验证工作流程中的有限辅助。
在 OLLA Lab 中,这意味着 GeniAI 可以帮助减少入门摩擦、解释梯形图概念并支持草稿创建。该平台的仿真模式、变量面板、场景结构和数字孪生视图随后提供了测试、挑战和修正这些草稿的环境。从生产力角度看,这不是“AI 编写工厂”,而是“AI 起草;工程师验证”。
OLLA Lab 如何融入可信的工业 5.0 验证工作流程?
OLLA Lab 作为一个有限的排练环境,适用于那些在真实设备上练习成本过高、过于危险或操作中断过大的高风险调试任务。
它在该工作流程中的相关功能包括:
- 在基于浏览器的编辑器中构建梯形图逻辑,
- 在没有硬件的情况下模拟逻辑执行,
- 监控标签、I/O、模拟量值和 PID 相关变量,
- 选择现实的工业场景,
- 将逻辑行为与 3D 或 VR 设备视图进行对比,
- 并在观察到故障后修改逻辑。
这种定位很重要。OLLA Lab 不是认证代理,不是 SIL 声明,也不是在正式程序下进行现场特定调试的替代品。它是一个用于学习和排练实际项目所要求的验证行为的受控环境。
结论
工业 5.0 并没有减少对控制工程师的需求。它强化了对那些能够针对物理现实、确定性执行和安全失效行为验证 AI 辅助逻辑的工程师的需求。
核心区别很简单:AI 可以生成看似合理的控制文本,但它无法为机器行为承担责任。“人在回路”监督通过检查逻辑不仅在语法上,而且在操作上是否有效,从而弥补了这一差距。
因此,“仿真就绪”的工程师不仅仅是能写梯形图逻辑的人。他们是能够在逻辑进入实际生产过程之前,证明、观察、诊断并强化该逻辑的人。OLLA Lab 的实际价值恰恰在于此:作为一个风险受控的环境,工程师可以在这里排练验证、注入故障、对比梯形图状态与设备状态,并建立工厂很少有时间从容传授的那种判断力。
相关阅读与后续步骤
向上链接: 返回自动化职业路线图中心,探索工业变革如何重塑对“仿真就绪”工程师的需求。
横向链接:
- 初级人才悬崖:在使用 Copilot 之前,为什么你需要“战斗伤疤”
- API 之上:从编码员向代理编排者的转型
向下链接: 在 OLLA Lab 中打开 3D 码垛机场景,练习找出 AI 生成的预设中隐藏的竞争条件。
互联链接
- 向下链接: 在商业仿真环境中练习工作流程:打开 OLLA Lab。