Industrielle Kommunikation
5G-Technologien im Kontext der Sicherheit
Industrie 4.0 geht einher mit einer starken Vernetzung von Anlagen, Maschinen, Geräte sowie Produktbestandteilen. Dabei stellt sich die Frage, wie sich die bewährten Prinzipien der funktionalen Sicherheit mit den kooperativen Konzepten des Industrial IIoT vereinen lassen?
Mit Industrie 4.0 wird das Ziel verfolgt, Flexibilität und Effektivität der Produktionsprozesse zu erhöhen, um unterschiedliche Kundenanforderungen gezielter erfüllen zu können. Der Produktionsprozess soll bedarfsgerecht gesteuert werden, was für bestimmte Produkte die Abkehr von der streng getakteten Fließbandfertigung hin zur Einzel- oder Gruppenfertigung individueller Produkte bedeutet. Der Mensch ist dabei aber im Produktionsprozess nach wie vor unverzichtbar. Deshalb wird der Schutz vor Schäden durch für ihn gefährliche Anlagen und Prozesse auch in Zukunft einen hohen Stellenwert haben.
Ein Bereich, auf den sich die mit Industrie 4.0 verbundenen Änderungen massiv auswirken werden, ist die Kommunikations-Infrastruktur. Generell wird die Anzahl kommunikationsfähiger Objekte erheblich steigen und damit die Anzahl zu übertragender Nachrichten – insbesondere auch zwischen mobilen Objekten. Wenn beispielsweise Produkte von einer Bearbeitungsstation zur nächsten zu bewegen sind, ist die Koordination zwischen fahrerlosen Transportsystemen, Kranen, Robotern oder Bearbeitungsstationen denkbar. Diese können dabei eine temporäre Kooperation eingehen, was wiederum eine Kommunikations-Infrastruktur erfordert, die sich an die jeweilige Situation anpassen lässt aber dennoch im Sinne der Funktionalen Sicherheit eine Überwachung von Funktionen notwendig macht.
Beziehungen zwischen Normen der Sicherheits- und Kommunikationstechnik in der Fertigungstechnik entsprechend der DIN EN 61784-3
© IfakDes Weiteren erfordern mobile und bewegliche Objekte eine flexible Produktionsgestaltung sowie eine drahtlose Datenübertragung, meist basierend auf einer Funkkommunikation. Bei der Bewegung über einen großen Bereich wird beispielsweise ein Produktträger die Kommunikation mit verschiedenen Kommunikationspartnern erfordern. Dabei kann es sich auch um eine temporäre Anwendung mit Anforderungen nach Funktionaler Sicherheit handeln, etwa an einer Bearbeitungsstation. Ein anderes Szenario wäre, je nach Bedarf mit einer Steuerung mehrere Krane oder Transportsysteme synchron zu bedienen. All dies bedingt aber zwangsläufig auch Netzwerk-Übergänge, die aufgrund von Laufzeiten, Pufferverhalten und Implementierungs-Eigenschaften zusätzliche Fehlerquellen in den Kommunikationspfad einbringen.
Angesichts der Tatsache, dass die Vernetzung im Automationsumfeld im Zeitalter des IIoT verstärkt auf der Grundlage gängiger beziehungsweise kommender Mobilfunk-Standards wie etwa 5G stattfinden wird, stellt sich die Frage: Inwiefern können diese Standards den Anforderungen in der Industrie tatsächlich gerecht werden? Was die Leistungsparameter betrifft, sind die Aussichten von 5G – den ‚5th Generation Mobile Networks‘ beziehungsweise den ‚5th Generation Wireless Systems‘ – überaus vielversprechend:
- 100-fach höhere Datenrate als heutige LTE-Netze (also bis zu 10.000 MBit/s),
- rund 1000-fach höhere Kapazität (Gerätedichte),
- weltweit 100 Mrd. Mobilfunkgeräte gleichzeitig ansprechbar,
- extrem niedrige Latenzzeiten (Ping-/Round-Trip-Delay-Zeiten von unter 1 msec),
- 1/1000 Energieverbrauch pro übertragenem Bit gegenüber heutigen Endgeräten
- sowie 90 % geringerer Stromverbrauch je Mobildienst.
Erste internationale Forschungsvorhaben zu den 5G-Basistechnologien und -Konzepten sind abgeschlossen. Zudem wurde parallel zu einer zweiten Forschungsinitiative bereits mit der Standardisierung begonnen.
uMTC adressiert die Industrie
Die genannten Key-Performance-Indikatoren allein sind sicherlich kein Grund, 5G im Zusammenhang mit industrieller Kommunikation zu verfolgen – zumal bisher nicht zu vernachlässigende Vorbehalte der Industrie-Anwender gegen eine wirtschaftliche und technische Abhängigkeit von Mobilfunkanbietern bestehen. Allerdings ist bemerkenswert, dass mit 5G erstmals zahlreiche Anwendungsbereiche – sogenannte ‚Verticals‘ – im Fokus stehen, die über die klassischen Anwendungsbereiche der Telekommunikationstechnik hinausgehen.
Einer dieser Anwendungsbereiche wird beispielsweise mit Ultrareliable Machine-Type Communications – kurz uMTC – bezeichnet und adressiert die industrielle Kommunikation insbesondere im Produktionsprozess des Maschinen- und Anlagenbereichs, in dem funktionale Sicherheit eine wichtige Rolle spielt. Dabei ist anzumerken, dass sich 5G nicht allein auf die für den Mobilfunk charakteristische drahtlose Kommunikation beschränkt. Vielmehr befindet sich die gesamte Netzwerk-Architektur mit Base Station, Backbone Network, Protokollen sowie Datenverwaltung und -verarbeitung im Umbruch.
Wenn mit Vertical uMTC also die Anforderung der Funktionalen Sicherheit abgedeckt werden soll, gilt es einige Aspekte zu berücksichtigen. So kommunizieren Geräte im IoT ad hoc und werden dabei als zustandslos betrachtet. Hinzu kommt, dass die im Internet gebräuchlichen Kommunikationsprotokolle wie etwas IPv6 bisher nicht in funktional sicheren Anwendungen verwendet werden. Darüber hinaus sind Technologien wie Software Defined Network (SDN) oder Network Functions Virtualization (NFV) in Betracht zu ziehen. Zwar kommen diese den Anforderungen von Industrie 4.0 nach Flexibilität entgegen; wenn allerdings ihr Einsatz in funktional sicheren Anwendungen vorgesehen ist, sind zusätzliche Anforderungen zu erfüllen. Ein weiteres Konzept ist schließlich das Mobile Edge Computing (MEC). Hier geht es darum, eine neue Plattform zur Zusammenarbeit von Betreibern sowie von Kommunikations- und Anwendungsdiensten zu schaffen. Das heißt: Kommunikationsdienste sollen an die Anforderungen der Anwendung anpassbar und durch ‚Service Level Agreements‘ garantiert werden.
Funktionale Sicherheit in der Produktion
Das Black-Channel-Prinzip in sicherheitsrelevanten Systemen erlaubt die Nutzung eines Kommunikationssystems ohne verfügbaren Nachweis des Entwurfs oder der Validierung nach der IEC-61508-Reihe.
© IfakWas bedeutet dies alles nun für die sicherheitsrelevanten Teile der Systeme, die eine bestimmte Sicherheitsstufe beziehungsweise Restfehlerrate garantieren müssen? Um diese Frage zu beantworten, sei vorweggeschickt, dass die Anforderungen an die Funktionale Sicherheit von elektrischen, elektronischen und programmierbaren Systemen in der IEC 61508 und einer Vielzahl abgeleiteter Branchen- und Produktnormen festgelegt sind. Die Anforderungen an funktional sichere Kommunikationssysteme im Industriebereich definiert wiederum die IEC 61784-3.
Sicherheitskommunikationssysteme basieren heute zumeist auf dem Black-Channel-Prinzip, bei dem zwischen die Sicherheitsanwendung und einem nichtsicheren Kommunikationskanal ein Sicherheitsprotokoll integriert wird. Diese Sicherheitskommunikationsschicht entspricht dem Sicherheitsniveau des sicherheitsrelevanten Systems und erkennt oder beherrscht die Übertragungsfehler des darunterliegenden Kommunikationskanals (Black Channel). So lassen sich komplexe Kommunikationsverfahren wie Ethernet- und Funk-basierte Protokolle oder auch Netzübergänge zwischen Teilsystemen und Rückwandbussen verwenden, ohne dass dafür die Einhaltung von Sicherheitsnormen wie der IEC 61508 nachzuweisen ist. Allerdings werden dann auch die im Kommunikationskanal bereits enthaltenen Maßnahmen (CRC, Zeitüberwachung etc.) bei der Sicherheitsbewertung nicht berücksichtigt. Im Gegensatz dazu muss der komplette Kommunikationskanal (Hardware, Software, Netzkomponenten) nach IEC 61508 entworfen, implementiert und geprüft werden, sofern Sicherheitsfunktionen direkt im Kommunikationskanal implementiert oder die enthaltenen Maßnahmen bei der Sicherheitsbewertung berücksichtigt werden sollen (White-Channel-Prinzip).
Es ist zu erwarten, dass aus Komplexitäts- und Flexibilitätsgründen die Sicherheitskommunikation auch in den künftigen IIoT-Systemen vorrangig nach dem Black-Channel-Prinzip integriert wird. Hierbei überwacht die Sicherheitskommunikationsschicht den nicht sicheren Kommunikationskanal nach dem Ruhestromprinzip laufend auf seine Integrität. Die Überwachung erfolgt in den einander zugeordneten Kommunikations-Endpunkten und umfasst die Datenintegrität (korrekter Nachrichteninhalt), die Authentizität (korrekte Nachrichtenquelle und -senke) und die Aktualität (rechtzeitige Nachrichtenübermittlung, korrekte Nachrichtenreihenfolge). Dafür muss der Kommunikationskanal folgende Anforderungen erfüllen:
- verbindungsorientierte Kommunikationsbeziehung mit Integrationsmöglichkeit des Sicherheitsprotokolls in den Kommunikationsendpunkten,
- zyklische Kommunikation für eine dem Ruhestromprinzip entsprechende Überwachung mit projektierbarer Zeiterwartung,
- ausreichende Verfügbarkeit – etwa Vermeidung von Timeouts durch Roaming oder durch Reflexionen und Interferenzen im Funkkanal
- sowie integrierte Maßnahmen für die Informationssicherheit.
Die Zielstellungen für uMTC lassen erwarten, dass das Black-Channel-Prinzip anwendbar ist.
Von statisch zu dynamisch
Besondere Anforderungen stellen die IIoT-Systeme an das Engineering der Sicherheitsfunktionen. In heutigen industriellen Sicherheitsfunktionen sind die Beziehungen zumeist statisch (Sensor-Aktor-Ketten). Das heißt: Es werden Spezialwerkzeuge für die Offline-Konfigurierung der Sicherheitsfunktionen, für die Offline-Programmierung der Sicherheits-SPS sowie für die Offline-Parametrierung der Sicherheitsgeräte (Sensoren, Aktoren) verwendet. Diese Spezialwerkzeuge sind ebenfalls sicherheitsgerichtet entwickelt. Sprich sie beinhalten dedizierte Maßnahmen, um unerlaubte Konfigurationen und fehlerhafte Parametrierungen zu verhindern und um die Programmierung der Sicherheitsfunktionen auf vorgeprüften Sprachumfang und Code-Bausteine zu beschränken. Das fertige Sicherheitssystem unterliegt ebenfalls einem Assessment, wobei auch die Einhaltung SIL-basierter Kennwerte – wie die resultierende Restfehlerrate – und die Sicherheitsreaktionszeit für die einzelnen Sicherheitsfunktionen bewertet werden. Vor Inbetriebsetzung der Anlagen müssen schließlich alle Sicherheitsfunktionen getestet und sämtliche Tests und Änderungen rechtssicher protokolliert werden.
Für IIoT hingegen sind zum Teil völlig neue Mechanismen und Maßnahmen für das Engineering und die Testung der zur Laufzeit dynamisch zu etablierenden Sicherheitsfunktionen zu entwickeln. Dafür gilt es, die derzeit noch statischen Projektierungs- und Verifikationsalgorithmen in die Konzepte des IIoT zu integrieren. Für Industrie 4.0 bedeutet dies:
- Sicherheitshardware, Sicherheitssoftware, Sicherheitskommunikationsschicht usw. brauchen sogenannte Verwaltungsschalen mit Beschreibung ihrer Sicherheits-Assets und Sicherheitseigenschaften wie SIL-Stufen, Restfehlerraten und Reaktionszeiten der Teilfunktionen.
- Sicherheitsparameter, zum Beispiel für Authentifizierung und Zeitüberwachung, müssen in den Verwaltungsschalen projektierbar sein.
- Mittels des Ressourcen-Managers einer Verwaltungsschale können Prüf- und Berechnungsvorschriften für die Sicherheitsteilfunktionen hinterlegt werden. Diese sind beispielsweise auf einem speziellen Sicherheits-Server ausführbar, um vor der Etablierung einer dynamischen Sicherheitsfunktion die resultierenden Kenngrößen zu bestimmen und gegen die Anforderungen der Sicherheitsstufe zu verifizieren.
- Automatisierte Risikoanalyse und Verifikation der Sicherheitsfunktionen stellen eine besondere Herausforderung dar, da hierfür spezielle Strategien und Testkomponenten zu entwickeln sind – etwa durch Anbindung von Testfall-Generatoren und Simulationssystemen.
- Da alle sicherheitsrelevanten Komponenten entsprechend der geltenden Sicherheitsnormen entwickelt und qualifiziert werden müssen, gilt dies auch für die genannten Sicherheitsverwaltungs-Schalen und -Server. Nicht zuletzt muss bei den IIoT-Konzepten die Dekomposition in Standard- und Sicherheitskomponenten berücksichtigt werden. Hier bieten sich Implementierungskonzepte an, die die Sicherheitskomponenten redundant mit Quervergleich auf mehreren Kernen von Multi-Core-Systemen ausführen.
Informationssicherheit bleibt nicht außen vor
Als Voraussetzung für die funktionale Sicherheit spielt die Informationssicherheit eine wichtige Rolle, die den neuen IIoT-Konzepten inhärent sein soll. Interessant ist dabei die Frage, ob Maßnahmen der Sicherheitskommunikation und der Informationssicherheit zusammengelegt werden können. Aus technischer Sicht wäre dies durchaus vorstellbar. Jedoch sind die unterschiedlichen Risiko- und Lebenszyklusmodelle zu beachten, da zum Beispiel die Sicherheitskommunikation einem stringenten Änderungsmanagement unterliegt und daher möglichst selten geändert wird, wohingegen IT-Sicherheitskomponenten schnell auf neue äußere Bedrohungen reagieren sollen und eher einem häufigen Update-Zyklus unterliegen. Diesbezügliche Diskussionen finden derzeit in den Expertengremien statt.
Autoren:
Elke Hintze ist wissenschaftliche Mitarbeiterin im Geschäftsfeld ‚IKT und Automation‘ am Ifak.
Dr. Lutz Rauchhaupt ist stellvertretender Leiter des Geschäftsfeldes ‚IKT und Automation‘ am Ifak.
















