Thomas Pilz：安全和資安用於數位自動化

（檢查交貨）

Thomas Pilz
資安：法律將適用於工業和工程
工業環境的安全標準和法律目前正面臨劇變。這是資安和人工智慧 (AI) 的問題所造成。就一般工業和機械工程而言，有三個新的或即將實施的相關資安法律要求：EU 指令 NIS 2、新的機械法規和網路韌性法案。
如同上次年度新聞記者會，我將著重於資安問題，而今天要向各位說明這對整個業界的影響有多麼深遠。

NIS 2：對更多公司施加更多義務和更多制裁
NIS（網路與資訊安全）是以加強網路安全為目標的歐盟指令。此指令自 2016 年起生效，到目前為止已對關鍵基礎架構供應商實施，包括能源、交通、銀行與金融、衛生、飲用水供應與分配以及數位基礎架構。這些領域的供應商必須採取「適當的資安防護措施」並通報任何嚴重的網路安全事件。後繼指令是於 2023 年初生效的 NIS2，必須在 2024 年秋季前被歐盟成員國納入國家法律。現在，指令也適用於工程和汽車業，尤其是員工超過 50  人或年營業額超過 1000 萬歐元的公司。德國機械工程產業協會 VDMA 指出，這將影響約 9,000 家歐洲公司。未來，這些公司必須證明他們已採取技術、營運和組織措施來防範資安事件。首先，這將包括對現有系統進行風險分析，包括在生產環境中，也就是 OT（維運技術）。隨後制定和實施具體流程和措施，例如密碼保護或加密，以及持續的員工教育和訓練。必須在 24  小時內向相關主管機關通報網路安全事件。明確納入供應鏈也是新規定。總而言之，NIS 2 現在影響更多公司，擴大義務範圍並規定更嚴厲的制裁。未採取措施的公司將面臨嚴厲的處罰。

網路韌性法案 – 整個產品生命週期的安全性
2022 年 9 月，歐洲委員會提交旨在提高產品網路安全的法規草案。此網路韌性法案是針對具有數位元件之產品的製造商。其中包括硬體以及軟體（例如韌體）。法規適用於消費品以及工業應用產品，例如機器控制器。根據網路韌性法案，只有保證適度網路安全的產品才能進入市場。製造商也有義務向客戶告知資安漏洞並盡快加以解決。因此，法規適用於整個產品生命週期。這表示製造商現在必須在正常保固期過後提供軟體更新，以便在未來也能抵禦威脅。我們假設法規將於 2024 年底通過。

新的機械法規 – 強制性網路安全
第三個新的法定資安要求是歐盟機械法規。即將發佈。因為是法規，所以不必先轉換成國家法律。機器製造商有 42 個月的時間來滿足新的要求。機械法規取代現有的機械指令，並且有別於前身，使網路安全變成強制性。機械指令純粹檢查安全性，此法規則在「基本衛生與安全要求 EHSR」中的「防毀損」下納入資安保護目標：機器的安全功能不得因毀損而遭破壞，無論有意或無意。到目前為止，已知滿足網路韌性法案的要求即推定為符合機械法規。

現在：哪些人必須關注哪些問題？
何謂法定要求？我以發電產業為例來說明相關性：
到目前為止，只有能源供應商受 NIS 指令影響。隨著 NIS 2，發電設備（例如風力發電機）製造商等機器製造商未來也必須滿足要求。因此，風力發電機製造商需要自動化解決方案、控制器或感測器，例如 Pilz 的產品。從一定規模來看，電氣元件製造商也在 NIS 2 的管轄範圍內。而由於 NIS 2 也規定將供應商納入考量，像 Pilz 這樣的公司也必須關注安全供應鏈並對其供應商提出要求。所以 NIS 2 涵蓋整個供應鏈。

為了將機械進口到歐洲，機器製造商一律必須經過符合性評估程序，最後取得 CE 標章。
現在，根據新的機械法規，機器製造商必須證明其機器也能防止操縱。最後，電氣元件製造商必須遵守網路韌性法案的未來要求。

總結：是否應對以及要在何種程度上應對資安問題不再由公司自行決定。這是法律要求！公司最好盡快處理 NIS 2 並對自身進行全面性資安評估。例如，這包括開發資訊安全管理系統 (ISMS)，並根據資訊安全標準 ISO 27001 進行認證。

在工程中，採工業資安形式的資安不僅只是 IT 的任務，而是設計和構造不可或缺的一部分。追溯實施資安勢必複雜，通常會導致易用性、功能性和生產力降低。風險評估現在也包括資安以及安全。沒有資安，就沒有 CE 標章！

對具有數位元件之產品的製造商而言，IEC 62443 系列標準提供很好的方向。例如，從屬標準 IEC 62443-41 說明「安全開發生命週期流程」的要求。

歐盟迅速完成資安立法；世界上最嚴格的要求將在歐洲實施。但已經與其他國家達成協議，這些法律也將被導入其他國家。例如，澳洲目前正與歐盟討論，可能會遵循歐洲標準。所以工業資安的全球統一指日可待。

Thomas Pilz
以開放通訊標準作為歷史使命
開放性和易用性是 Pilz 產品組合的主要特色。我們希望為客戶提供始終最先進、易於使用並且可加入任何自動化架構中的產品。

我們以第一個安全現場匯流排系統 SafetyBUS p 和安全即時乙太網路 SafetyNET p 塑造安全工業通訊的發展。但專有企業解決方案的時代已過去。我們完全致力於建立業界標準。這是歷史使命！

OPC UA
業界已就 OPC UA（開放平台通訊一架構）達成協議，建立安全、跨供應商的工業設備網路。此通訊協定為工業中不同資料來源之間的通訊提供標準化 (IEC 62541) 介面。作為 OPC 基金會的成員，Pilz 員工積極參與現場層級通訊 (FLC) 小組的指導委員會和技術工作小組。Pilz 的重點在於處理安全 (Safety over OPC UA) 的工作小組。

我們在使用發行者／訂閱者技術 (Pub/Sub) 方面的專業知識具有特殊價值，以及功能安全的現場匯流排協定的要求。與傳統的主從架構相比，透過 Pub/Sub，可在訂閱者之間直接交換資料。這讓 OPC UA 也能被用於要求嚴苛的分散式自動化任務。Pilz 在此領域擁有特殊專業知識，因為 SafetyNET p 是唯一從一開始就支援 Pub/Sub 的安全乙太網路現場匯流排系統。

我們在功能安全問題上的工作進展順利。小組正與檢驗機構攜手合作，制定測試規範和測試系統以及 OPC UA Safety 的通訊堆疊認證。1.05 版已發佈。

IO-Link Safety
在感測器層級，自動化在開放性方面已向前邁進一大步。通訊協定 IO-Link Safety 即將投入商用。點對點通訊提供許多好處，例如簡化安裝（例如透過標準化接線和沒有並聯接線）、自動化、工具輔助參數化和進階診斷選項。

因此 IO-Link 也能用於安全相關的自動化任務，作為 IO-Link 社群的一份子，Pilz 一直致力於對應的擴充以及相關測試和認證。Pilz 的專家領導兩個 IO-Link Safety 工作小組（行銷和技術）。

我們將在 11 月的 SPS 上發表首批即將上市的感測器。Pilz 的方法是提供完整的系統，即感測器、致動器加上主控模組。這簡化客戶的應用並提高效能。

我們認為，未來自動化解決方案的功能性將更加差異化：使用者介面有多好、操作有多簡單、提供哪些額外的好處？這背後有強大的創新力量，造就龐大的新應用潛力。

Thomas Pilz
安全的未來是動態的
進一步數位化對保護人類和機器的意義為何？哪些技術符合安全要求？人類扮演什麼角色？今天，我們也要一窺未來。首先是好消息：重點在於人類，人的角色將變得更重要。

人類扮演積極塑造者
例如 Arena 2036 的「Fluid Production」專案。Pilz 正與合作夥伴合作開發和實踐以人為中心的虛實整合生產概念，專門用於汽車生產。專案背後的構想是將生產設備分解成位置靈活的模組，以便視需要組合再解散動態單元。模組的設計重點在於人類扮演生產環境積極塑造者的角色。

這些要求使得對於動態安全的需求升高，即能夠以更高的靈活性使安全功能適應不斷變化的生產流程和保護要求。例如，機器人或移動式平台可在人員進入工作空間時以較低（因此較安全）的速度繼續運作，甚至納入安全迴避策略，而不是立即停止。分散式系統中的智慧感測器和致動器將接管越來越多控制器功能，使個別機器模組之間以及人員與機器之間有更好的互動。

即時安全
關於安全，必須即時檢查和啟用未來生產環境中的動態情況，以便隨時確保人類和機器保護。關鍵字是「即時安全」。在未來，可以想像各種機器或一般資產共用安全裝置。這就是我們在 SmartFactory KL 中測試的「共享安全」。以此方式理解安全時，就不考慮作為類比符合性評估程序結果的傳統 CE 標章。關於相關資產的資訊必須在執行階段隨時可得；關鍵字是數位銘牌和管理殼層。

在先前提到的「Fluid Production」專案中，我們正在研究其他未來主題，例如人員和物件識別（以及區分）。這適合使用人工智慧。隨後可透過自適應 AI 演算法識別和評估風險。在此情況下，「類比」CE 標章提供基本保護。但可以導入其他風險降低措施，使安全性變得更靈活並有助於提高生產力。