Safety & Security
Zwei Seiten derselben Medaille
Sicherheit muss künftig sowohl den Schutz von Mensch und Maschine gewährleisten als auch die notwendige Flexibilität und Verfügbarkeit in der Smart Factory sicherstellen. Das erfordert eine ganzheitliche Herangehensweise in puncto Safety & Security.
Digitale Daten und ihr effizienter Austausch definieren künftig den Produktionsprozess. Der Grad der Vernetzung steigt und bildet den Maßstab der Produktivität in den Fabriken. Wenn alles mit allem dezentral kommuniziert, steigt der Bedarf an abgesicherter Kommunikation. Dieser umfasst gleichermaßen die Aspekte der Maschinensicherheit (Safety) wie die Anforderungen der Betriebssicherheit (Security).
Die Welt der Automatisierung verschmilzt mit der IT-Welt. Die neuen Schutzziele umfassen beispielsweise den Schutz von Produktionsdaten, Produkt- und Plagiatsschutz, Know-how-Schutz, Zugangs- und Integritätsschutz sowie Fernwartung.
© PilzDer Begriff Safety bezeichnet zunächst die funktionale Sicherheit von Maschinen oder anders formuliert: den Schutz von Mensch und Umwelt vor Bedrohungen, die von Maschinen ausgehen können. Safety verlangt, dass Restrisiken, die von einer Maschine oder Anlage ausgehen, akzeptable Werte nicht übersteigen. Eine Möglichkeit besteht darin, im Fall des Falles sofort die Energieversorgung zu unterbrechen und die Maschine hart zu stoppen. Dies wird klassischerweise durch eine spezielle sicherheitstechnische Verdrahtung sowie mittels Komponenten wie etwa Sicherheitsrelais realisiert. Da dieser Ansatz sehr Hardware-bezogen und damit statisch ist, ist er für intelligente Fertigungsprozesse, in denen das Layout der Anlagen immer wieder verändert werden muss, wenig geeignet. Ein solches ‚hartes‘ Abschalten ist meist mit zusätzlichen Nachteilen verbunden – sei es durch den Verlust an Produktivität, verlängerte Stillstandzeiten infolge von aufwendigeren Prozeduren zur Wiederinbetriebnahme oder eine Beschränkung im Bedien- und Wartungskonzept der Maschine.
Eine Alternative bieten Konzepte der dynamischen Sicherheit, die auf einer ganzheitlichen Betrachtung von sich verändernden Automatisierungsprozessen und den Anforderungen an die funktionale Sicherheit beruht. Damit verändert sich auch der Blick auf die Sicherheit als solche; sie wird weniger als eine Hardware-Eigenschaft angesehen, sondern vielmehr als eine Geräte-übergreifende Funktion. Mit diesem Ansatz lassen sich Prozesse sicher kontrolliert betreiben, ohne dass diese bei einem Fehler jedes Mal sofort unterbrochen werden müssen.
Der dynamische Ansatz lässt sich jedoch nur dann effizient umsetzen, wenn die funktionale Sicherheit bei der Planung von Automatisierungsprojekten von Anfang an berücksichtigt wird. Denn andernfalls muss unter Umständen der Ablauf einzelner Fertigungsschritte oder eines gesamten Prozesses nachträglich verändert werden, was keine optimalen Lösungen ermöglicht und zudem erhebliche Kosten verursacht.
Sicherheit wird zum 'Moving Target'
Wenn früher die funktionale Sicherheit einer Maschine nach den Vorgaben der CE-Richtlinie abgenommen wurde, mussten sich die Anlagenbetreiber über Safety keine Gedanken mehr machen, solange an der Maschine keine wesentlichen Änderungen vorgenommen wurden. Das ändert sich nun. Eine intelligente Fertigung erfordert Anlagen, die modular aufgebaut sind, damit zum Beispiel an einer Maschine mehrere Produktvarianten gefertigt werden können. Mit anderen Worten: Die Betreiber gewinnen an Flexibilität im duktionsprozess bei gleichzeitig gesteigerter Standardisierbarkeit auf Funktionsebene.
Hieraus stellen sich neue Anforderungen an die funktionale Sicherheit, die auch dann noch gewährleistet sein muss, wenn die Maschine selbst oder deren Modul-Anordnung verändert wurde. Bisher war dies nicht der Fall: Die Maschine wurde einmal abgenommen und blieb so bestehen. In der Smart Factory hingegen sollen sich modular aufgebaute Anlagen schnell und flexibel umkonfigurieren oder in ihrem Verbund umstellen lassen. Die Validierung einer Sicherheitslösung muss dann mit dieser (späten) Flexibilisierung umgehen können. Denn alle Zusammenstellungen, die im Rahmen der CE-Kennzeichnung nicht betrachtet wurden, sind auch durch den Betreiber nicht einfach einzurichten. Denn es gilt eben nicht die einfache Übertragbarkeit: CEModul1 + CEModul2 = CEGesamtmaschine!
Der höchste Grad an Standardisierbarkeit lässt sich erreichen, wenn die Teilungsgrenzen der verschiedenen Module identisch gestaltet werden können – egal ob es sich um ein Modul der mechanischen, elektrischen, steuerungstechnischen oder der Visualisierungsfunktion handelt. Jedoch konnten bislang vorhandene technologische Lösungen die Erwartungen nicht erfüllen. Unterschiedliche Regelwerke der Modularisierung sind unter anderem auch das Resultat der ‚klassischen‘ Sicherheitsarchitektur. So werden die Vorteile der Modularisierung oft durch ein starres – womöglich noch hart verdrahtetes – Sicherheitskonzept zunichte gemacht. Und auch elektronische Sicherheitssteuerungen besitzen fast immer eine Nachbildung der hardwarebasierten Sicherheit in Form von festen Sicherheitskreisen – auch wenn diese Steuerungen quasi in einer frei programmierbaren Verschaltungslogik angeboten werden.
Grundelement moderner Steuerungsarchitekturen ist hingegen der weitgehende Verzicht auf systembedingte Regelwerke. Der Anwender soll völlig frei nach seinen Modularisierungsgraden optimieren können. Wenn dann noch die Barriere der unterschiedlichen Betrachtungsweisen für die Funktionen der Automatisierung und die der Maschinensicherheit entfallen kann, hat der Anwender wesentliche Freiheitsgrade hinzugewonnen.
Ein Automatisierungssystem, das den Gedanken der Modularisierung und Flexibilisierung als eine seiner Grundfunktionen enthält, ist beispielsweise das PSS 4000 von Pilz. Erstmals ist es hier gelungen, alle Prozessvariablen – auch die der Sicherheitsfunktionen – komplett symbolisch und ohne jeglichen Hardware-Bezug im System zu verwalten. Dies zeigt sich dadurch, dass sämtliche Variablen systemweit und dank der Multi-Master-Architektur automatisch allen Steuerungen im verteilten Automatisierungssystem zur Verfügung stehen.
Weiterhin kommen heute zunehmend offene Kommunikationssysteme mit einer Vielzahl an Beziehungen zum Einsatz. Dadurch erhalten Fertigungsanlagen, die früher aufgrund der Vernetzung über Feldbusse oder proprietäre, das heißt herstellerspezifische Systeme sozusagen offline gearbeitet haben, eine Verbindung zur IT-Welt und dem Internet. Werden keine Maßnahmen ergriffen, so können die Maschinen und Anlagen wesentlich leichter zum Ziel von Cyber-Angriffen werden. Der Vernetzungsgrad erhöht gleichzeitig die Komplexität und den Administrationsaufwand der Systeme. Dadurch steigt ebenfalls die Gefahr eines unberechtigten oder unbemerkten Zugriffs.
Prozesse werden künftig immer dynamischer, der Bedarf an kontrollierten Eingriffen in den Prozess sowie die Anforderungen an die Produktivität steigen und verändern somit sukzessive auch die Sicherheitstechnik.
© PilzNeben Safety wird Security zu einem wesentlichen Eckpfeiler im Produktionsprozess. Entgegen der funktionalen Sicherheit müssen sich Security-Mechanismen allerdings ständig an die Bedrohungslage anpassen. Dies beispielsweise durch ein fallweise eingespieltes Update, da sich Viren, Würmer, Trojaner & Co immer weiterentwickeln und Lücken in der Security letztendlich die Produktion mit all ihren funktionalen Elementen beeinträchtigen können.
Um flexibel auf das jeweilige Bedrohungs-Szenario reagieren zu können, muss dementsprechend der Schutz von Safety-Anwendungen durch eine umfassende Security-Strategie unterstützt werden, die aus mehreren Schalen besteht: Im Kern befinden sich die Automatisierungskomponenten. Dann folgt das Netzwerk, über das diese Komponenten mit anderen Komponenten oder etwa einem ERP-System (Enterprise Resource Planning) kommunizieren können. Die oberste Schale bildet die Fabrik, die durch ein spezielles Firewall-Konzept nach außen abgeschirmt und dadurch zu einer sogenannten demilitarisierten Zone wird.
Vertraulichkeit kontra Verfügbarkeit
Mit systemweit gültigen Prozessdaten können die mechatronischen Teilungsgrenzen einzelner Funktionsmodule für die Aufgaben der Steuerung wie auch für die der Sicherheitsaufgaben übernommen werden.
© PilzDie Anforderungen, die die IT-Welt und die Welt der Automatisierung an Security stellen, unterscheiden sich deutlich. Während im Büroumfeld die Vertraulichkeit der Informationen höchste Priorität hat, steht im Produktionsbereich die Verfügbarkeit der Daten an oberster Stelle, da dies eine wesentliche Voraussetzung für reibungslose Fertigungsprozesse ist. Zurzeit sind die Arbeiten an einer internationalen Norm (IEC 62443) in Gange, mit der die beiden Security-Welten vereinheitlicht werden sollen. Da sich in der funktionalen Sicherheit die mit einer Maschine verbundenen Gefahren normalerweise nicht verändern – anders als die Bedrohungen aus der Cyber-Welt – bleiben aber auch künftig Safety und Security zwei separate Themen, die es jedoch eng miteinander zu verknüpfen gilt.
Wie also lassen sich Safety-Anwendungen gegen die Bedrohungen aus der Cyber-Welt schützen? Um die Antwort gleich vorweg zu nehmen: Nur durch die Kombination verschiedener Maßnahmen und Security-Richtlinien, die von allen Beteiligten konsequent eingehalten werden. In Bezug auf die Vernetzung heißt das Erfolgsrezept ‚Defense in Depth‘, also eine in der Tiefe gestaffelte Verteidigung. Einen zentrales Element, das bereits beim Bau von Burgen seit dem Mittelalter angewendet wurde, bildet das Security-Modell ‚Zones and Conduits‘ (Zonen und Übergänge), das in der Norm IEC 62443 bereits definiert ist.
Eine weitere Maßnahme für den Schutz von Safety-Anwendungen besteht darin, auch die Sicherheitssysteme gegen Cyber-Angriffe zu wappnen. Die entsprechenden Kommunikationsdaten werden im Sinne der Safety zwar schon mehrfach geprüft übertragen und mittels verschiedener Methoden kontrolliert, so dass Manipulationsversuche weitaus eher von den sicheren Endgeräten erkannt werden können als bei anderen Kommunikationsmethoden. Aber das allein reicht nicht aus. Deshalb wird beispielsweise Pilz seine Produkte künftig auch unter dem Gesichtspunkt der Security in einem TÜV-zertifizierten Prozess nach IEC 62443-4-1 weiterentwickeln. Dabei werden von vornherein Aspekte wie Bedrohungs-Szenarien, Stärken und Schwachstellen von Protokollen oder Verschlüsselungsverfahren berücksichtigt.
Den Anfang macht eine Komponente für das Ethernet-basierte Netzwerk-System Safetynet p, die als Firewall fungiert und sich anders als generische Firewalls, die aufwendig konfiguriert werden müssen, durch anwendungsspezifische Voreinstellungen nach dem Plug-&-play-Prinzip in Betrieb nehmen lässt. Außerdem unterstützt diese Netzwerk-Komponente ein Verfahren für die automatische Authentifizierung von Maschinen, die im Zuge intelligenter Fertigungsprozesse immer häufiger direkt miteinander kommunizieren werden und anders als das Personal kein Passwort eingeben können, um ihre Identität und ihre Berechtigungen nachzuweisen.
Technische Maßnahmen allein sind nicht genug
Die beste Security-Maßnahme nützt jedoch nichts, wenn diese wegen zu hohem Zeitbedarf oder oft auch wegen Unverständnis und Unwissenheit nicht praktiziert oder – was noch schlimmer ist – bewusst umgangen wird. Technische Maßnahmen alleine reichen demnach nicht aus – ihr müssen organisatorische Maßnahmen mit Schulungen an die Seite gestellt werden.
Zusammenfassend lässt sich festhalten: Die Grenzen zwischen Sicherheits- und Steuerungsfunktion werden zunehmend durchlässiger. Wenn Teilfunktionen optimal ineinander greifen sollen, können beide Disziplinen nicht einfach nachträglich aufgesetzt werden. Die Herausforderung besteht letztlich in der Integration der Funktionen in das Gesamtsystem. Für die Umsetzung lassen sich viele Abläufe und Erfahrungen aus der Safety-Welt direkt auf die Security-Welt übertragen. Der Bereich Safety zeichnet sich bereits durch große Investitionssicherheit und Rechtssicherheit aus. Das liegt auch an der Ordnung durch Normen und Standards. So sind Dinge wie ein Safety Integrity Level (SIL) weltweit klar definiert und eine Einteilung in Gefährdungsklassen und Risiko-Abschätzungen einheitlich möglich. Für das Zusammenspiel von Safety und Security sind in Zukunft im Sinne der Standardisierbarkeit weitere Indikatoren nötig. Zunehmend wichtig wird es allerdings sein, bei der Entwicklung von Lösungen von Anfang an die Bedürfnisse des Anwenders zu berücksichtigen und die Komplexität zu begrenzen. Denn: Einfachheit ist (Bediener)sicherheit.
Autor:
Harald Wessels ist Senior Manager Product Management bei Pilz.
















