Mit der Entwicklung hin zur vernetzten Automatisierung kommen neue Sicherheitsherausforderungen auf Unternehmen zu. Anlagen können sich autonom rekonfigurieren und optimieren, was eine neue Bewertung der Sicherheit zur Laufzeit – also im laufenden Betrieb durch die Anlage selbst – erfordert. Ferner ist sicherzustellen, dass durch verbleibende Security-Lücken keine neuen Safety-Risiken entstehen.

Die jeweiligen Sichtweisen auf das Thema Sicherheit unterscheiden sich deutlich: Die international verwendeten Begriffe ‚Safety‘ für Maschinensicherheit und ‚Security‘ für Betriebssicherheit helfen zunächst bei der grundlegenden Differenzierung. Safety verlangt, dass Restrisiken, die von einer Maschine oder Anlage ausgehen, normativ vorgegebene Grenzwerte nicht übersteigen. Das schließt sowohl die Gefährdungen der Umgebung der Anlage als auch die ­Gefährdungen zum Beispiel von Personen innerhalb der Anlage ein. Security wiederum betrifft den Schutz einer Maschine oder Anlage vor unbefugten ­Zugriffen von außen sowie den Schutz sensibler Daten vor Verfälschung, Ver-lust und ­unbefugtem Zugriff im Innen­verhältnis. Dazu zählen sowohl explizite Angriffe als auch unbeabsichtigte Security-Vorfälle.

Darüber hinaus ist es bereits bei der Entwicklung von Lösungen wichtig, von Anfang an die Bedürfnisse des  Anwenders zu berücksichtigen – etwa in puncto Handhabung und ­Bedienfreundlichkeit im Betrieb. Sonst sind Manipulationen der Sicherheitsmaßnahmen bereits vorprogrammiert.

Mit Blick auf den Safety-Aspekt ist schließlich zu prüfen, inwieweit Security-Themen die Funktionale Sicherheit beeinflussen. Dies ist der Fall, wenn Zugriffs- oder Berechtigungssysteme mit einfachen Mitteln ausgehebelt oder kopiert werden können beziehungsweise jedem zugänglich sind, wie etwa das mit einem Klebezettel am Bildschirm befestigte Masterpasswort. Kurzum: Ein intelligentes Sicherheitskonzept muss sowohl einen größtmöglichen Freiraum und Gestaltungsspielraum als auch den höchstmöglichen Grad an Sicherheit bieten. Wesentliche Bedeutung haben dabei die Zugänge zur Maschine beziehungsweise zum Prozess. Diese müssen gegen unbefugtes Öffnen zu sichern sein und unzweifelhaft sicherstellen, dass sich beim Start der Maschine keine Personen im Gefährdungsbereich aufhalten.

Keine Gefahr für Mensch …

Safety: Bei Öffnung einer Schutztür müssen gefahr-­bringende Maschinenbewegungen stillgesetzt und das Wiederanlaufen verhindert werden. Dabei dürfen die Schutzeinrichtungen weder zu umgehen noch manipulierbar sein.

© Pilz

Damit mutwilliges oder versehentliches Öffnen von Zugangstüren nicht zu Gefährdungen führt, sind diese klassisch im Sinne von Safety mit einem sicheren Schutztürsystem gesichert. Dieses kombiniert die sichere Schutztür-Überwachung mit sicherer Zuhaltung in einem System und es verfügt zusätzlich über Sicherheitsfunktionen wie Not-Halt, Fluchtentriegelung sowie eine mechanische Wiederanlaufsperre. Eine versehentlich eingeschlossene Person kann den Gefahrenbereich somit im Gefahrenfall schnell und problemlos verlassen. Ein erneutes Anfahren der Anlage ist erst dann wieder möglich, wenn über die bestehenden integrierten Sicherungs- und Quittierfunktionen zweifelsfrei feststeht, dass sich niemand mehr im Gefahrenbereich befindet. Mit einem solchen Schutztürsystem ist zwar die Sicherheit des Menschen im Sinne der Safety gewährleistet, doch offen ist weiterhin die Sicherheit des Prozesses – sprich die Betriebssicherheit (Security).

… und Prozess

Der Schutz vor unberechtigtem Zugriff ist in der Praxis über einen sicheren ­Betriebsartenwahlschalter realisierbar. Er erfüllt dabei zwei Funktionen: Die Wahl der Betriebsart und die Regelung der Zugangsberechtigung zur Maschine.

Betriebsartenwahlschalter wie ‚Pitmode‘ von Pilz ermöglichen das ­Umschalten zwischen definierten Betriebsarten. Die Auswahl der Betriebsart erfolgt durch Stecken eines Transponder-Schlüssels mit der entsprechenden Berechtigung und Betätigen der für die Betriebsart definierten Taste. Jeder Schlüssel ist individuell codiert, um eine eindeutige Nutzer-Authentifizierung zu ermöglichen, was Manipulationen vermeidet. Da die eindeutigen Schlüssel an mehreren Maschinen eingesetzt und unterschiedliche Berechtigungen hinterlegt werden können, lassen sich mehrere mechanische Schlüssel in einem Transponder-Schlüssel zusammenfassen. Das reduziert wiederum den administrativen Aufwand.

Ein Betriebsartenwahlschalter ermöglicht das sichere Umschalten der Betriebsart und die Regelung der Zugangsberechtigung in einem Gerät.

© Pilz

Jeder Bediener erhält über den codierten Schlüssel Zugang zu den für ihn freigegebenen Maschinenfunktionen oder Maschinenbetriebsarten. Über den RFID-basierten Schlüssel ist es möglich, für jeden Bediener individuelle (Zugangs-)Berechtigungen zu erteilen. Diese können über eine Identifikationsverwaltung in der Maschinensteuerung vergeben werden.

Über den Betriebsartenwahlschalter ist die Anlage von autorisierten Personen in verschiedenen Betriebsmodi bedien- und steuerbar. Dabei erhält jeder Bediener die seinen Fähigkeiten und Qualifikationen entsprechenden Maschinenfreigaben, so dass auf diese Weise ein hohes Maß an Schutz gegen unbeabsichtigte Aktionen und Manipulationen sowie die Sicherheit der Informationen gegeben ist.

An heiklen beziehungsweise sensiblen Maschinen besteht der Bedarf, sämtliche Bedieneraktionen zu protokollieren. Auch hier kann das System unterstützen, da alle Bedienaktionen ohnehin an die Steuerung gemeldet werden. Das Authentifizierungssystem kann dazu genutzt werden, die Aktionen dann eindeutig einem Bediener zuzuordnen. So sind im Betrieb der Maschinen etwaige Änderungen dokumentierbar, zum Beispiel wenn eine Person im Betrieb Maschinenparameter verändert. Kommt es im Anschluss zu Fehlern, lassen sich Ursachen deutlich schneller ausmachen.

Pitmode schaltet durch Selbstüberwachung sicher von einer auf die andere der fünf einstellbaren Betriebsarten um: Automatikbetrieb, Einrichtbetrieb, manuelles Eingreifen unter eingeschränkten Bedingungen, Special Mode beziehungsweise Prozessbeobachtung und Servicebetrieb. Per LED-Anzeige lässt sich die aktuell ausgewählte Betriebsart ebenso eindeutig anzeigen wie die Berechtigungsstufe des Schlüssels. Der Betriebsartenwahlschalter ist einsetzbar für Anwendungen bis PL d nach EN ISO 13849-1 oder SIL CL 2 nach EN 62061.

Fazit: Durch die Definition von ­sicheren Betriebsarten ist es machbar, die Anforderungen an die Bediener- und Prozesssicherheit sowie Verfügbarkeit in Einklang zu bringen. Doch erst, wenn Themen wie Mani­pulationsschutz, Abgrenzung von Verantwortungsbereichen und Zuständigkeiten sowie eindeutige Identitätsnachweise für Maschinen und Menschen sicher geregelt sind, kann ein Prozess als ‚sicher im Betrieb‘ anerkannt sein.

Autoren: Stefan äussermann ist tätig im Produkt­management bei Pilz und Marcel Wöhner ist tätig im Produkt­management bei Pilz.