zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Safety & Security

Harald Wessels | Günter Herkommer,

Zwei Seiten derselben Medaille

Sicherheit muss künftig sowohl den Schutz von Mensch und Maschine gewährleisten als auch die notwendige Flexibilität und Verfügbarkeit in der Smart Factory sicherstellen. Das erfordert eine ganzheitliche Herangehensweise in puncto Safety & Security.

© Pilz

Digitale Daten und ihr effizienter Austausch definieren künftig den Produktionsprozess. Der Grad der Vernetzung steigt und bildet den Maßstab der Produktivität in den Fabriken. Wenn alles mit allem dezentral kommuniziert, steigt der Bedarf an abgesicherter Kommunikation. Dieser umfasst gleichermaßen die Aspekte der Maschinensicherheit (Safety) wie die Anforderungen der Betriebssicherheit (Security).

Die Welt der Automatisierung verschmilzt mit der IT-Welt. Die neuen Schutzziele ­um­fassen beispielsweise den Schutz von Produktionsdaten, Produkt- und Plagiatsschutz, Know-how-Schutz, Zugangs- und Integritätsschutz sowie Fernwartung.

© Pilz

Der Begriff Safety bezeichnet zunächst die funktionale Sicherheit von Maschinen oder anders formuliert: den Schutz von Mensch und Umwelt vor Bedrohungen, die von Maschinen ausgehen können. Safety verlangt, dass Restrisiken, die von einer Maschine oder Anlage ausgehen, akzeptable Werte nicht übersteigen. Eine Möglichkeit besteht darin, im Fall des Falles sofort die Energieversorgung zu unterbrechen und die Maschine hart zu stoppen. Dies wird klassischerweise durch eine spezielle sicherheitstechnische Verdrahtung sowie mittels Komponenten wie etwa Sicherheitsrelais realisiert. Da dieser Ansatz sehr Hardware-bezogen und damit statisch ist, ist er für intelligente Fertigungsprozesse, in denen das Layout der Anlagen immer wieder verändert werden muss, wenig geeignet. Ein solches ‚hartes‘ Abschalten ist meist mit zusätzlichen Nachteilen verbunden – sei es durch den Verlust an Produkti­vität, verlängerte Stillstandzeiten infolge von aufwendigeren Prozeduren zur Wiederinbetriebnahme oder eine Beschränkung im Bedien- und Wartungskonzept der Maschine.

Eine Alternative bieten Konzepte der dynamischen Sicherheit, die auf einer ganzheitlichen Betrachtung von sich verändernden Automatisierungsprozessen und den Anforderungen an die funktionale Sicherheit beruht. Damit ver­ändert sich auch der Blick auf die Sicherheit als solche; sie wird weniger als eine Hardware-Eigenschaft ange­sehen, sondern vielmehr als eine Geräte-übergreifende Funktion. Mit diesem Ansatz lassen sich Prozesse sicher kontrolliert betreiben, ohne dass diese bei einem Fehler jedes Mal sofort unterbrochen werden müssen.

Der dynamische Ansatz lässt sich ­jedoch nur dann effizient umsetzen, wenn die funktionale Sicherheit bei der Planung von Automatisierungs­projekten von Anfang an berücksichtigt wird. Denn andernfalls muss unter ­Umständen der Ablauf einzelner Fertigungsschritte oder eines gesamten ­Prozesses nachträglich verändert werden, was keine optimalen Lösungen ­ermöglicht und zudem erhebliche Kosten verursacht.

Anzeige

Sicherheit wird zum 'Moving Target'

Wenn früher die funktionale Sicherheit einer Maschine nach den Vorgaben der CE-Richtlinie abgenommen wurde, mussten sich die Anlagenbetreiber über Safety keine Gedanken mehr machen, solange an der Maschine keine wesentlichen Änderungen vorgenommen wurden. Das ändert sich nun. Eine intelligente Fertigung erfordert Anlagen, die modular aufgebaut sind, damit zum Beispiel an einer Maschine mehrere Produktvarianten gefertigt werden ­können. Mit anderen Worten: Die Betreiber gewinnen an Flexibilität im ­duktionsprozess bei gleichzeitig ­gesteigerter Standardisierbarkeit auf Funktionsebene.

Hieraus stellen sich neue Anforderungen an die funktionale Sicherheit, die auch dann noch gewährleistet sein muss, wenn die Maschine selbst oder deren Modul-Anordnung verändert wurde. Bisher war dies nicht der Fall: Die Maschine wurde einmal abgenommen und blieb so bestehen. In der Smart Factory hingegen sollen sich modular aufgebaute Anlagen schnell und flexibel umkonfigurieren oder in ihrem Verbund umstellen lassen. Die Validierung einer Sicherheitslösung muss dann mit dieser (späten) Flexibilisierung umgehen können. Denn alle Zusammenstellungen, die im Rahmen der CE-Kennzeichnung nicht betrachtet wurden, sind auch durch den Betreiber nicht einfach einzurichten. Denn es gilt eben nicht die einfache Übertragbarkeit: CEModul1 + CEModul2 = CEGesamtmaschine!

Der höchste Grad an Standardisierbarkeit lässt sich erreichen, wenn die Teilungsgrenzen der verschiedenen ­Module identisch gestaltet werden können – egal ob es sich um ein Modul der mechanischen, elektrischen, steuerungstechnischen oder der Visualisierungsfunktion handelt. Jedoch konnten bislang vorhandene technologische Lösungen die Erwartungen nicht erfüllen. Unterschiedliche Regelwerke der Modularisierung sind unter anderem auch das Resultat der ‚klassischen‘ Sicherheitsarchitektur. So werden die Vorteile der Modularisierung oft durch ein starres – womöglich noch hart verdrahtetes –  Sicherheitskonzept zunichte gemacht. Und auch elektronische Sicherheitssteuerungen besitzen fast immer eine Nachbildung der hardwarebasierten Sicherheit in Form von festen Sicherheitskreisen – auch wenn diese Steuerungen quasi in einer frei programmierbaren Verschaltungslogik angeboten werden.

Grundelement moderner Steuerungsarchitekturen ist hingegen der weitgehende Verzicht auf systembedingte Regelwerke. Der Anwender soll völlig frei nach seinen Modularisierungsgraden optimieren können. Wenn dann noch die Barriere der unterschiedlichen Betrachtungsweisen für die Funktionen der Automatisierung und die der Maschinensicherheit entfallen kann, hat der Anwender wesentliche Freiheits­grade hinzugewonnen.

Ein Automatisierungssystem, das den Gedanken der Modularisierung und Flexibilisierung als eine seiner Grundfunktionen enthält, ist beispielsweise das PSS 4000 von Pilz. Erstmals ist es hier gelungen, alle Prozessvariablen – auch die der Sicherheitsfunktionen – komplett symbolisch und ohne jeg­lichen Hardware-Bezug im System zu verwalten. Dies zeigt sich dadurch, dass sämtliche Variablen systemweit und dank der Multi-Master-Architektur ­automatisch allen Steuerungen im verteilten Automatisierungssystem zur Verfügung stehen.  

Weiterhin kommen heute zunehmend offene Kommunikationssysteme mit einer Vielzahl an Beziehungen zum Einsatz. Dadurch erhalten Fertigungsanlagen, die früher aufgrund der Vernetzung über Feldbusse oder proprietäre, das heißt herstellerspezifische Systeme sozusagen offline gearbeitet haben, eine Verbindung zur IT-Welt und dem Internet. Werden keine Maßnahmen ergriffen, so können die Maschinen und Anlagen wesentlich leichter zum Ziel von Cyber-Angriffen werden. Der Vernetzungsgrad erhöht gleichzeitig die Komplexität und den Administrationsaufwand der Systeme. Dadurch steigt ebenfalls die Gefahr eines unberechtigten oder unbemerkten Zugriffs.

Prozesse werden künftig immer dynamischer, der Bedarf an kontrollierten Eingriffen in den Prozess sowie die Anforderungen an die Produktivität steigen und verändern somit sukzessive auch die Sicherheitstechnik.

© Pilz

Neben Safety wird Security zu einem wesentlichen Eckpfeiler im Produktionsprozess. Entgegen der funktionalen Sicherheit müssen sich Security-Mechanismen allerdings ständig an die Bedrohungslage anpassen. Dies beispielsweise durch ein fallweise eingespieltes Update, da sich Viren, Würmer, Trojaner & Co immer weiterentwickeln und Lücken in der Security letztendlich die Produktion mit all ihren funktionalen Elementen beeinträchtigen können.

Um flexibel auf das jeweilige Bedrohungs-Szenario reagieren zu können, muss dementsprechend der Schutz von Safety-Anwendungen durch eine umfassende Security-Strategie unterstützt werden, die aus mehreren Schalen besteht: Im Kern befinden sich die Automatisierungskomponenten. Dann folgt das Netzwerk, über das diese Komponenten mit anderen Komponenten oder etwa einem ERP-System (Enterprise Resource Planning) kommunizieren können. Die oberste Schale bildet die Fabrik, die durch ein spezielles Firewall-Konzept nach außen abgeschirmt und dadurch zu einer sogenannten demilitarisierten Zone wird.

Vertraulichkeit kontra ­Verfügbarkeit

Mit systemweit gültigen Prozessdaten können die mechatronischen Teilungsgrenzen einzelner Funktionsmodule für die Aufgaben der Steuerung wie auch für die der Sicherheitsaufgaben übernommen werden.

© Pilz

Die Anforderungen, die die IT-Welt und die Welt der Automatisierung an Security stellen, unterscheiden sich deutlich. Während im Büroumfeld die Vertraulichkeit der Informationen höchste Priorität hat, steht im Produktionsbereich die Verfügbarkeit der Daten an oberster Stelle, da dies eine wesentliche Voraussetzung für reibungslose Fertigungsprozesse ist. Zurzeit sind die Arbeiten an einer internationalen Norm (IEC 62443) in Gange, mit der die beiden Security-Welten vereinheitlicht werden sollen. Da sich in der funktionalen Sicherheit die mit einer Maschine verbundenen Gefahren normalerweise nicht verändern – anders als die Bedrohungen aus der Cyber-Welt – bleiben aber auch künftig Safety und Security zwei separate Themen, die es jedoch eng miteinander zu verknüpfen gilt.

Wie also lassen sich Safety-Anwendungen gegen die Bedrohungen aus der Cyber-Welt schützen? Um die Antwort gleich vorweg zu nehmen: Nur durch die Kombination verschiedener Maßnahmen und Security-Richtlinien, die von allen Beteiligten konsequent eingehalten werden. In Bezug auf die Vernetzung heißt das Erfolgsrezept ‚Defense in Depth‘, also eine in der Tiefe gestaffelte Verteidigung. Einen zentrales Element, das bereits beim Bau von Burgen seit dem Mittelalter angewendet wurde, bildet das Security-Modell ‚Zones and Conduits‘ (Zonen und Übergänge), das in der Norm IEC 62443 bereits definiert ist.

Eine weitere Maßnahme für den Schutz von Safety-Anwendungen besteht darin, auch die Sicherheitssysteme gegen Cyber-Angriffe zu wappnen. Die entsprechenden Kommunikationsdaten werden im Sinne der Safety zwar schon mehrfach geprüft übertragen und mittels verschiedener Methoden kontrolliert, so dass Manipulationsversuche weitaus eher von den ­sicheren Endgeräten erkannt werden können als bei anderen Kommunikationsmethoden. Aber das allein reicht nicht aus. Deshalb wird beispielsweise Pilz seine Produkte künftig auch unter dem Gesichtspunkt der Security in einem TÜV-zertifizierten Prozess nach IEC 62443-4-1 weiterentwickeln. Dabei werden von vornherein Aspekte wie ­Bedrohungs-Szenarien, Stärken und Schwachstellen von Protokollen oder Verschlüsselungsverfahren berücksichtigt.

Den Anfang macht eine Komponente für das Ethernet-basierte Netzwerk-System Safetynet p, die als Firewall fungiert und sich anders als generische Firewalls, die aufwendig konfiguriert werden müssen, durch anwendungsspezifische Voreinstellungen nach dem Plug-&-play-Prinzip in Betrieb nehmen lässt. Außerdem unterstützt diese Netzwerk-Komponente ein Verfahren für die automatische Authentifizierung von Maschinen, die im Zuge intelligenter Fertigungsprozesse immer häufiger direkt miteinander kommunizieren werden und anders als das Personal kein Passwort eingeben können, um ihre Identität und ihre Berechtigungen nachzuweisen.

Technische Maßnahmen allein sind nicht genug

Die beste Security-Maßnahme nützt jedoch nichts, wenn diese wegen zu hohem Zeitbedarf oder oft auch wegen Unverständnis und Unwissenheit nicht praktiziert oder – was noch schlimmer ist – bewusst umgangen wird. Technische Maßnahmen alleine reichen demnach nicht aus – ihr müssen organisatorische Maßnahmen mit Schulungen an die Seite gestellt werden.

Zusammenfassend lässt sich festhalten: Die Grenzen zwischen Sicherheits- und Steuerungsfunktion werden zunehmend durchlässiger. Wenn Teilfunktionen optimal ineinander greifen sollen, können beide Disziplinen nicht einfach nachträglich aufgesetzt werden. Die He­rausforderung besteht letztlich in der Integration der Funktionen in das Gesamtsystem. Für die Umsetzung lassen sich viele Abläufe und Erfahrungen aus der Safety-Welt direkt auf die Security-Welt übertragen. Der Bereich Safety zeichnet sich bereits durch große ­Investitionssicherheit und Rechtssicherheit aus. Das liegt auch an der Ordnung durch Normen und Standards. So sind Dinge wie ein ­Safety Integrity Level (SIL) weltweit klar definiert und eine Einteilung in Gefährdungsklassen und Risiko-Abschätzungen einheitlich möglich. Für das Zusammenspiel von Safety und Security sind in Zukunft im Sinne der Standardisierbarkeit weitere Indikatoren nötig. Zunehmend wichtig wird es allerdings sein, bei der Entwicklung von Lösungen von Anfang an die Bedürfnisse des Anwenders zu berücksichtigen und die Komplexität zu begrenzen. Denn: Einfachheit ist (Bediener)sicherheit.

Autor:
Harald Wessels ist Senior Manager Product Management bei Pilz.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige

ISW / Silistra

Wandelbare Produktionssysteme

Traditionelle Sicherheitslösungen stoßen in dynamischen Produktions-umgebungen an ihre Grenzen, das heißt, es bedarf neuer, adaptiver Sicherheitsfunktionen. Wie kann das Projekt ‚SafeFloat‘ hier helfen?

mehr...
Anzeige
Anzeige
Anzeige

Wireless Safety

Sicher bedienen via Funk - (wie) geht das?

Viele Maschinenbauer möchten Tablets zusätzlich zur existierenden Maschinenbedienung verwenden. Nachgefragte Features wie WLAN, Kamera, Multitouch und vieles mehr sind hier zwar gegeben – sind allerdings Sicherheitsfunktionen gefordert, stoßen diese...

mehr...
Anzeige
Anzeige
Anzeige

EN ISO 13849

Validierung stiefmütterlich behandelt

Bei der Einbindung sicherheitsgerichteter Steuerungsfunktionen in Maschinen ist die EN ISO 13849 maßgeblich. Dabei wird allerdings der die Validierung betreffende Teil der Norm in der Praxis oftmals vernachlässigt – ein großes Manko.

mehr...

Safety

Der intelligente Sicherheitsschalter

Auf I4.0-Niveau kommunizierende Sicherheitsmodule und Sicherheitsschalter vereinfachen die Fehlersuche. Aber auch für die vorausschauende Instandhaltung sowie den Manipulationsschutz birgt die Kommunikationsfähigkeit interessantes Potenzial.

mehr...

Funktionale Sicherheit

Sicherer Halt im Schleifring

Sicherheitsrelevante Daten über Schleifringe zu übertragen ist nicht trivial. Motion-Control-Experten von Kollmorgen haben dafür gemeinsam mit dem Schleifringhersteller Stemmann-Technik eine TÜV-zertifizierte Safety-Lösung samt UL-Zulassung...

mehr...
Jetzt Newsletter abonnieren