News MM Maschinenmarkt

Safety und Security – zwei Seiten derselben Medaille

zur Übersicht

Sicherheit muss künftig sowohl den Schutz von Mensch und Maschine gewährleisten als auch die notwendige Flexibilität und Verfügbarkeit in der Smart Factory sicherstellen. Das erfordert eine ganzheitliche Herangehensweise in puncto Safety & Security.

Digitale Daten und ihr effizienter Austausch definieren künftig den Produktionsprozess. Der Grad der Vernetzung steigt und bildet den Maßstab der Produktivität in den Fabriken. Wenn alles mit allem dezentral kommuniziert, steigt der Bedarf an abgesicherter Kommunikation. Dieser umfasst gleichermaßen die Aspekte der Maschinensicherheit (Safety) wie die Anforderungen der Daten und IT-Sicherheit (Security).

Mit intelligenten Fertigungsprozessen im Sinne von Industrie 4.0 kann die Effizienz deutlich gesteigert und Kapazitäten optimal an die jeweilige Auftragslage angepasst werden. Ziel ist es, individualisierte Produkte bis hin zu Losgröße 1 zu den Kostenstrukturen einer Massenfertigung zu produzieren. Dafür sind modulare Produktionsanlagen erforderlich, die sich im laufenden Betrieb innerhalb kurzer Zeit flexibel verändern lassen. Zu den Voraussetzungen gehören sowohl Automatisierungssysteme, die dezentral aufgebaut sind, eine leistungsfähige Netzwerkkommunikation, mit der zahlreiche Teilnehmer angebunden und große Datenmengen übertragen werden können sowie innovative Konzepte für Safety und Security, die auch nach Veränderungen der Anlage noch greifen.

Eine Möglichkeit ist – kurz gesagt – im Fall des Falles sofort die Energieversorgung zu unterbrechen und die Maschine hart zu stoppen. Dies wird klassischerweise durch eine spezielle sicherheitstechnische Verdrahtung und Komponenten wie etwa Sicherheitsrelais realisiert. Da dieser Ansatz sehr Hardware-bezogen und damit statisch ist, ist er für intelligente Fertigungsprozesse, in denen das Layout der Anlagen immer wieder verändert werden muss, wenig geeignet. Ein hartes Abschalten ist meist mit zusätzlichen Nachteilen verbunden. Sei es durch den Verlust an Produktivität, verlängerten Stillstandszeiten infolge von aufwändigeren Prozeduren zur Wiederinbetriebnahme oder einer Beschränkung im Bedien- und Wartungskonzept der Maschine.

Der dynamische Ansatz.

Sicherheit wird zum „Moving Target“. Wenn früher die funktionale Sicherheit einer Maschine nach den Vorgaben der Maschinen-Richtlinie abgenommen wurde, mussten sich die Anlagenbetreiber über Safety keine Gedanken mehr machen, solange an der Maschine keine wesentlichen Änderungen vorgenommen wurden. Eine intelligente Fertigung erfordert Anlagen, die modular aufgebaut sind, damit zum Beispiel an einer Maschine mehrere Produktvarianten gefertigt werden können. Hieraus stellen sich neue Anforderungen an die funktionale Sicherheit, die auch dann noch gewährleistet sein muss, wenn die Maschine selbst oder deren Modul-Anordnung verändert wurde. In der Smart Factory sollen sich modular aufgebaute Anlagen schnell und flexibel umkonfigurieren oder in ihrem Verbund umstellen lassen. Die Validierung einer Sicherheitslösung muss dann mit dieser Flexibilisierung umgehen können. Denn alle Zusammenstellungen, die im Rahmen der CE-Kennzeichnung nicht betrachtet wurden, sind auch durch den Betreiber nicht einfach einzurichten. Es gilt eben nicht die einfache Übertragbarkeit: CEModul1  + CEModul2 = CEGesamtmaschine.

Der funktionale Vorteil von modularen Maschinenkonzepten liegt auf der Hand. Sie gewinnen an Flexibilität im Produktionsprozess bei gleichzeitig gesteigerter Standardisierbarkeit auf Funktionsebene. Der höchste Grad an Standardisierbarkeit lässt sich erreichen, wenn die Teilungsgrenzen der verschiedenen Modulen identisch gestaltet werden kann – egal ob es sich um ein Modul der mechanischen, elektrischen, steuerungstechnischen oder der Visualisierungsfunktion handelt. Der mechatronische Ansatz hat eine solche standardisierte Bildung von Automatisierungsobjekten zum Ziel.

Jedoch konnten bisher vorhandene technologische Lösungen die Erwartungen nicht erfüllen. Unterschiedliche Regelwerke der Modularisierung werden unter anderem auch durch die „klassische“ Sicherheitsarchitektur verursacht. Die Vorteile der Modularisierung werden oft durch ein  starres – wo möglich noch hart verdrahtetes –  Sicherheitskonzept zunichte gemacht. Auch elektronische Sicherheitssteuerungen besitzen fast immer eine Nachbildung der hardwarebasierten Sicherheit – dies in Form von festen  Sicherheitskreisen – auch wenn diese quasi in einer frei programmierbaren Verschaltungslogik angeboten werden.

Grundelement moderner Steuerungsarchitekturen ist hingegen der weitgehende Verzicht auf systembedingte Regelwerke. Der Anwender soll völlig frei nach seinen Optimierungs- und Modularisierungsgraden optimieren können. Wenn dann noch die Barriere der unterschiedlichen Betrachtungsweisen für die Funktionen der Automatisierung und die der Maschinensicherheit entfallen kann, hat der Anwender wesentliche Freiheitsgrade hinzu gewonnen.

Das Automatisierungssystem PSS 4000 von Pilz enthält den Gedanken der Modularisierung und Flexibilisierung als eine seiner Grundfunktionen. Erstmals ist es gelungen alle Prozessvariablen – auch die der Sicherheitsfunktionen –  komplett symbolisch und ohne jeglichen Hardware-Bezug im System zu verwalten. Dies zeigt sich dadurch, dass sämtliche Prozessvariablen systemweit zur Verfügung stehen und dank der Multi-Master-Architektur automatisch allen Steuerungen im verteilten Automatisierungssystem zur Verfügung stehen.

Produktionsbestimmender Faktor.

Heute kommen zudem zunehmend offene Kommunikationssysteme mit einer Vielzahl an Beziehungen zum Einsatz. Dadurch erhalten Fertigungsanlagen, die früher aufgrund der Vernetzung über Feldbusse oder proprietäre, das heißt herstellerspezifische Systeme, sozusagen offline gearbeitet haben, eine Verbindung zur IT-Welt und dem Internet. Werden keine Maßnahmen ergriffen, so können die Maschinen und Anlagen wesentlich leichter zum Ziel von Cyberangriffen werden. Der Vernetzungsgrad erhöht gleichzeitig auch die Komplexität und den Administrationsaufwand der Systeme. Dadurch steigt ebenfalls die Gefahr eines unberechtigten oder unbemerkten Zugriffs.

Der Hintergrund für Security ist der, dass entgegen der funktionalen Sicherheit, Security-Mechanismen sich ständig an die Bedrohungslage anpassen müssen. Dies beispielsweise durch ein fallweise eingespieltes Update, da sich Viren, Würmer, Trojaner etc. immer weiterentwickeln und Lücken in der Security letztendlich die Produktion mit all ihren funktionalen Elementen beeinträchtigen können.

Um flexibel auf das jeweilige Bedrohungsszenario reagieren zu können, muss auch der Schutz von Safety-Anwendungen durch eine umfassende Security-Strategie unterstützt werden, die aus mehreren Schalen besteht: Im Kern befinden sich die Automatisierungskomponenten. Dann folgt das Netzwerk, über das diese Komponenten mit anderen oder etwa einem ERP-System (Enterprise Resource Planning) kommunizieren können. Die oberste Schale bildet die Fabrik, die durch ein spezielles Firewall-Konzept nach außen abgeschirmt und dadurch zu einer sogenannten demilitarisierten Zone wird.

Vertraulichkeit kontra Verfügbarkeit. Die Anforderungen, die die IT-Welt und die Welt der Automatisierung an Security stellen, unterscheiden sich deutlich. Während im Büroumfeld die Vertraulichkeit der Informationen höchste Priorität hat, steht im Produktionsbereich die Verfügbarkeit der Daten an oberster Stelle, da dies eine wesentliche Voraussetzung für reibungslose Fertigungsprozesse ist. Zurzeit wird an einer internationalen Norm (IEC 62443) gearbeitet, mit der die beiden Security-Welten vereinheitlicht werden sollen. Da die funktionale Sicherheit ebenso wie die Automatisierung normalerweise nicht verändert wird, also anders als die Bedrohungen aus der Cyberwelt mehr oder weniger ein statisches Element ist, bleiben auch künftig Safety und Security zwei separate Themen, die jedoch eng miteinander verknüpft werden.

Wie lassen sich Safety-Anwendungen gegen die Bedrohungen aus der Cyberwelt schützen? Um die Antwort gleich vorweg zu nehmen: nur durch die Kombination verschiedener Maßnahmen und Security-Richtlinien, die von allen Beteiligten konsequent eingehalten werden.

In Bezug auf die Vernetzung heißt das Erfolgsrezept „Defense in Depth“, also eine in der Tiefe gestaffelte Verteidigung. Einen zentrales Element, das bereits beim Bau von Burgen seit dem Mittelalter angewendet wurde, bildet das Security-Modell „Zones and Conduits“ (Zonen und Übergänge), das in der Norm IEC 62443 bereits definiert ist. Es sieht vor, ein Automatisierungsnetzwerk in verschiedene Zonen aufzuteilen, in denen Geräte miteinander kommunizieren dürfen. Der Datenaustausch mit Geräten in anderen Zonen ist nur über einen einzigen Übergang möglich, der durch einen sicheren Router oder eine Firewall überwacht wird, die alle irrelevanten Informationen blockieren. Selbst wenn es einem Angreifer gelänge, in eine Zone einzudringen, wären also nur die dortigen Geräte gefährdet und alle anderen nach wie vor sicher.

Anwendungen rundum schützen. Eine weitere Maßnahme für den Schutz von Safety-Anwendungen besteht darin, auch die Sicherheitssysteme gegen Cyberangriffe zu wappnen. Die entsprechenden Kommunikationsdaten werden im Sinne der Safety zwar schon mehrfach geprüft übertragen und mittels verschiedener Methoden überprüft, so dass Manipulationsversuche weitaus eher von den sicheren Endgeräten erkannt werden können als bei anderen Kommunikationsmethoden. Aber das allein reicht noch nicht aus. Deshalb wird beispielsweise Pilz seine Produkte künftig auch unter dem Gesichtspunkt der Security in einem TÜV-zertifizierten Prozess nach IEC 62443-4-1 weiterentwickeln. Dabei werden von vornherein Aspekte wie Bedrohungsszenarien, Stärken und Schwachstellen von Protokollen oder Verschlüsselungsverfahren berücksichtigt.

Den Anfang macht eine Komponente für das Ethernet-basierte Netzwerksystem SafetyNET p, die als Firewall fungiert und sich anders als generische Firewalls, die aufwändig konfiguriert werden müssen, durch anwendungsspezifische Voreinstellungen nach dem Plug-and-play-Prinzip in Betrieb nehmen lässt. Außerdem unterstützt diese Netzwerkkomponente ein Verfahren für die automatische Authentifizierung von Maschinen, die im Zuge intelligenter Fertigungsprozesse immer häufiger direkt miteinander kommunizieren werden und anders als das Personal kein Passwort eingeben können, um ihre Identität und ihre Berechtigungen nachzuweisen.

Und: Die beste Security-Maßnahme nützt jedoch nichts, wenn diese wegen zu hohem Zeitbedarf oder oft auch wegen Unverständnis und Unwissenheit nicht praktiziert oder schlimmer noch – bewusst umgangen wird. Technische Maßnahmen alleine reichen also nicht aus – ihr müssen organisatorische Maßnahmen mit Schulungen an die Seite gestellt werden.

Während Safety und Security im Grunde zwei separate Bereiche sind, die allerdings in einem engen Zusammenhang stehen, werden die Automatisierung und Safety weiter zusammenwachsen. Damit sich die entsprechenden Systeme nicht gegenseitig beeinflussen können – Stichwort Rückwirkungsfreiheit –, waren sie ursprünglich physikalisch voneinander getrennt. Daraus resultiert jedoch ein höherer Aufwand hinsichtlich Verdrahtung, Synchronisation und Administration. Deshalb werden seit einigen Jahren immer mehr physikalisch verschmolzene Lösungen entwickelt, die durch spezielle Mechanismen dafür sorgen, dass die funktionale Sicherheit dennoch stets rückwirkungsfrei gewährleistet ist. Das Automatisierungssystem PSS 4000 ist ein Beispiel, dass die Grenzen zwischen Sicherheits- und Steuerungsfunktion zunehmend durchlässiger werden. Ein identisch verwendbarer Befehlssatz für Sicherheit und Automation und die Programmierung nach IEC 61131-3 reduziert Barrieren. Mit ihnen lassen sich sicherheitsgerichtete Programme, Programme für Automatisierungsaufgaben oder auch eine Kombination aus beidem erstellen. Anwender fordern in den wenigsten Fällen eine klare Trennung, legen aber sehr großen Wert auf eine klare Abgrenzung der Verantwortungsbereiche.

 

www.pilz.at

IT-Sicherheit Maschinensicherheit Pilz Safety SecurITy SPS IPC Drives 2016

Verwandte Artikel