Zwei Seiten derselben Medaille

Digitale Daten und ihr effizienter Austausch definieren künftig den Produktionsprozess. Der Grad der Vernetzung steigt und bildet den Produktivitätsmaßstab in den Fabriken. Wenn alles mit allem dezentral kommuniziert, steigt der Bedarf an abgesicherter Kommunikation. Dieser umfasst gleichermaßen die Aspekte der Maschinensicherheit (Safety) wie die Anforderungen der Daten und IT-Sicherheit (Security).

Mit intelligenten Fertigungsprozessen im Sinne von Industrie 4.0 kann die Effizienz deutlich gesteigert und Kapazitäten optimal an die jeweilige Auftragslage angepasst werden. Ziel ist es, individualisierte Produkte bis hin zu Losgröße 1 zu den Kostenstrukturen einer Massenfertigung zu produzieren. Dafür sind modulare Produktionsanlagen erforderlich, die sich im laufenden Betrieb innerhalb kurzer Zeit flexibel verändern lassen. Zu den Voraussetzungen gehören sowohl Automatisierungssysteme, die dezentral aufgebaut sind, eine leistungsfähige Netzwerkkommunikation, mit der zahlreiche Teilnehmer angebunden und große Datenmengen übertragen werden können sowie innovative Konzepte für Safety und Security, die auch nach Veränderungen der Anlage noch greifen.

Der Begriff Safety bezeichnet die funktionale Sicherheit von Maschinen, oder anders formuliert: den Schutz von Mensch und Umwelt vor Bedrohungen, die von Maschinen ausgehen können. Safety verlangt, dass Restrisiken, die von einer Maschine oder Anlage ausgehen, akzeptable Werte nicht übersteigen. Das schließt sowohl die Gefährdungen der Umgebung der Anlage (z.B. Umweltschäden) als auch die Gefährdungen innerhalb der Maschine oder Anlage (z.B. Personen, die sich in der Anlage aufhalten) ein. Eine Möglichkeit ist, im Fall des Falles sofort die Energieversorgung zu unterbrechen und die Maschine hart zu stoppen. Dies wird klassischerweise durch eine spezielle sicherheitstechnische Verdrahtung und Komponenten wie etwa Sicherheitsrelais realisiert. Da dieser Ansatz sehr hardwarebezogen und damit statisch ist, ist er für intelligente Fertigungsprozesse, in denen das Layout der Anlagen immer wieder verändert werden muss, wenig geeignet. Ein hartes Abschalten ist meist mit zusätzlichen Nachteilen verbunden. Sei es durch den Verlust an Produktivität, verlängerten Stillstandszeiten infolge von aufwändigeren Prozeduren zur Wiederinbetriebnahme oder einer Beschränkung im Bedien- und Wartungskonzept der Maschine.

Eine Alternative bieten Konzepte der dynamischen Sicherheit, die auf einer ganzheitlichen Betrachtung von sich verändernden Automatisierungsprozessen und den Anforderungen an die funktionale Sicherheit beruht. Damit verändert sich auch der Blick auf die Sicherheit als solche; sie wird weniger als eine Hardware-Eigenschaft angesehen, sondern vielmehr als eine geräteübergreifende Funktion. Mit diesem Ansatz, der schon vor den Zeiten von Industrie 4.0 und Co. entwickelt wurde, lassen sich Prozesse sicher kontrolliert betreiben, ohne dass diese bei einem Fehler jedes Mal sofort unterbrochen werden müssen. Der dynamische Ansatz lässt sich jedoch nur dann effizient umsetzen, wenn die funktionale Sicherheit bei der Planung von Automatisierungsprojekten von Anfang an berücksichtigt wird. Denn andernfalls muss unter Umständen der Ablauf einzelner Fertigungsschritte oder eines gesamten Prozesses nachträglich verändert werden, was keine optimalen Lösungen ermöglicht und zudem erhebliche Kosten verursacht.

Wenn früher die funktionale Sicherheit einer Maschine nach den Vorgaben der Maschinen-Richtlinie abgenommen wurde, mussten sich die Anlagenbetreiber über Safety keine Gedanken mehr machen, solange an der Maschine keine wesentlichen Änderungen vorgenommen wurden. Eine intelligente Fertigung erfordert Anlagen, die modular aufgebaut sind, damit z. B. an einer Maschine mehrere Produktvarianten gefertigt werden können. Hieraus stellen sich neue Anforderungen an die funktionale Sicherheit, die auch dann noch gewährleistet sein muss, wenn die Maschine selbst oder deren Modulanordnung verändert wurde. In der Smart Factory sollen sich modular aufgebaute Anlagen schnell und flexibel umkonfigurieren oder in ihrem Verbund umstellen lassen. Die Validierung einer Sicherheitslösung muss dann mit dieser Flexibilisierung umgehen können. Denn alle Zusammenstellungen, die im Rahmen der CE-Kennzeichnung nicht betrachtet wurden, sind auch durch den Betreiber nicht einfach einzurichten. Es gilt eben nicht die einfache Übertragbarkeit: CEModul1 + CEModul2 = CEGesamtmaschine !

Der funktionale Vorteil von modularen Maschinenkonzepten liegt auf der Hand. Sie gewinnen an Flexibilität im Produktionsprozess bei gleichzeitig gesteigerter Standardisierbarkeit auf Funktionsebene. Der höchste Grad an Standardisierbarkeit lässt sich erreichen, wenn die Teilungsgrenzen der verschiedenen Module identisch gestaltet werden kann – egal ob es sich um ein Modul der mechanischen, elektrischen, steuerungstechnischen oder der Visualisierungsfunktion handelt. Der mechatronische Ansatz hat eine solche standardisierte Bildung von Automatisierungs-objekten zum Ziel.

Jedoch konnten bislang vorhandene technologische Lösungen die Erwartungen nicht erfüllen. Unterschiedliche Regelwerke der Modularisierung werden unter anderem auch durch die „klassische“ Sicherheitsarchitektur verursacht. Die Vorteile der Modularisierung werden oft durch ein starres – wo möglich noch hart verdrahtetes – Sicherheitskonzept zunichte gemacht. Auch elektronische Sicherheitssteuerungen besitzen fast immer eine Nachbildung der hardwarebasierten Sicherheit – dies in Form von festen Sicherheitskreisen – auch wenn diese quasi in einer frei programmierbaren Verschaltungslogik angeboten werden.

Grundelement moderner Steuerungsarchitekturen ist hingegen der weitgehende Verzicht auf systembedingte Regelwerke. Der Anwender soll völlig frei nach seinen Optimierungs- und Modularisierungsgraden optimieren können. Wenn dann noch die Barriere der unterschiedlichen Betrachtungsweisen für die Funktionen der Automatisierung und die der Maschinensicherheit entfallen kann, hat der Anwender wesentliche Freiheitsgrade hinzu- gewonnen. Das Automatisierungssystem PSS 4000 enthält den Gedanken der Modularisierung und Flexibilisierung als eine seiner Grundfunktionen. Erstmals ist es gelungen, alle Prozessvariablen – auch die der Sicherheitsfunktionen – komplett symbolisch und ohne jeglichen Hardwarebezug im System zu verwalten. Dies zeigt sich dadurch, dass sämtliche Prozessvariablen systemweit zur Verfügung stehen und dank der Multi-Master-Architektur automatisch allen Steuerungen im verteilten Automatisierungssystem zur Verfügung stehen.

Heute kommen zudem zunehmend offene Kommunikationssysteme mit einer Vielzahl an Beziehungen zum Einsatz. Dadurch erhalten Fertigungsanlagen, die früher aufgrund der Vernetzung über Feldbusse oder proprietäre, das heißt herstellerspezifische Systeme, sozusagen offline gearbeitet haben, eine Verbindung zur IT-Welt und dem Internet. Werden keine Maßnahmen ergriffen, so können die Maschinen und Anlagen wesentlich leichter zum Ziel von Cyberangriffen werden. Der Vernetzungsgrad erhöht gleichzeitig auch die Komplexität und den Administrationsaufwand der Systeme. Dadurch steigt ebenfalls die Gefahr eines unberechtigten oder unbemerkten Zugriffs.

Security betrifft den Schutz einer Maschine oder Anlage vor unbefugten Zugriffen von außen, sowie den Schutz sensibler Daten vor Verfälschung, Verlust und unbefugtem Zugriff im Innenverhältnis. Das schließt sowohl explizite Angriffe als auch unbeabsichtigte Security-Vorfälle ein.

Der Hintergrund für Security ist der, dass entgegen der funktionalen Sicherheit, Security-Mechanismen sich ständig an die Bedrohungslage anpassen müssen. Dies beispielsweise durch ein fallweise eingespieltes Update, da sich Viren, Würmer, Trojaner etc. immer weiterentwickeln und Lücken in der Security letztendlich die Produktion mit all ihren funktionalen Elementen beeinträchtigen können.

Um flexibel auf das jeweilige Bedrohungsszenario reagieren zu können, muss auch der Schutz von Safety-Anwendungen durch eine umfassende Security-Strategie unterstützt werden, die aus mehreren Schalen besteht: Im Kern befinden sich die Automatisierungskomponenten. Dann folgt das Netzwerk, über das diese Komponenten mit anderen oder etwa einem ERP-System (Enterprise Resource Planning) kommunizieren können. Die oberste Schale bildet die Fabrik, die durch ein spezielles Firewall-Konzept nach außen abgeschirmt und dadurch zu einer sogenannten demilitarisierten Zone wird.

Die Anforderungen, die die IT-Welt und die Welt der Automatisierung an Security stellen, unterscheiden sich deutlich. Während im Büroumfeld die Vertraulichkeit der Informationen höchste Priorität hat, steht im Produktionsbereich die Verfügbarkeit der Daten an oberster Stelle, da dies eine wesentliche Vor-aussetzung für reibungslose Fertigungsprozesse ist. Zurzeit wird an einer internationalen Norm (IEC 62443) gearbeitet, mit der die beiden Security-Welten vereinheitlicht werden sollen. Da die funktionale Sicherheit ebenso wie die Automatisierung normalerweise nicht verändert wird, also anders als die Bedrohungen aus der Cyberwelt mehr oder weniger ein statisches Element ist, bleiben auch künftig Safety und Security zwei separate Themen, die jedoch eng miteinander verknüpft werden.

Wie lassen sich Safety-Anwendungen gegen die Bedrohungen aus der Cyberwelt schützen? Um die Antwort gleich vorweg zu nehmen: nur durch die Kombination verschiedener Maßnahmen und Security-Richtlinien, die von allen Beteiligten konsequent eingehalten werden.

In Bezug auf die Vernetzung heißt das Erfolgsrezept „Defense in Depth“, also eine in der Tiefe gestaffelte Verteidigung. Ein zentrales Element, das bereits beim Bau von Burgen seit dem Mittelalter angewendet wurde, bildet das Security-Modell „Zones and Conduits“ (Zonen und Übergänge), das in der Norm IEC 62443 bereits definiert ist. Es sieht vor, ein Automatisierungsnetzwerk in verschiedene Zonen aufzuteilen, in denen Geräte miteinander kommunizieren dürfen. Der Datenaustausch mit Geräten in anderen Zonen ist nur über einen einzigen Übergang möglich, der durch einen sicheren Router oder eine Firewall überwacht wird, die alle irrelevanten Informationen blockieren. Selbst wenn es einem Angreifer gelänge, in eine Zone einzudringen, wären also nur die dortigen Geräte gefährdet und alle anderen nach wie vor sicher.

Eine weitere Maßnahme für den Schutz von Safety-Anwendungen besteht darin, auch die Sicherheitssysteme gegen Cyberangriffe zu wappnen. Die entsprechenden Kommunikationsdaten werden im Sinne der Safety zwar schon mehrfach geprüft übertragen und mittels verschiedener Methoden überprüft, so- dass Manipulationsversuche weitaus eher von den sicheren Endgeräten erkannt werden können als bei anderen Kommunikationsmethoden. Aber das allein reicht noch nicht aus. Deshalb wird beispielsweise Pilz seine Produkte künftig auch unter dem Gesichtspunkt der Security in einem TÜV-zertifizierten Prozess nach IEC 62443-4-1 weiterentwickeln. Dabei werden von vornherein Aspekte wie Bedrohungsszenarien, Stärken und Schwachstellen von Protokollen oder Verschlüsselungsverfahren berücksichtigt.

Den Anfang macht eine Komponente für das Ethernet-basierte Netzwerksystem SafetyNET p, die als Firewall fungiert und sich anders als generische Firewalls, die aufwändig konfiguriert werden müssen, durch anwendungsspezifische Voreinstellungen nach dem Plug-and-play-Prinzip in Betrieb nehmen lässt. Außerdem unterstützt diese Netzwerkkomponente ein Verfahren für die automatische Authentifizierung von Maschinen, die im Zuge intelligenter Fertigungsprozesse immer häufiger direkt miteinander kommunizieren werden und anders als das Personal kein Passwort eingeben können, um ihre Identität und ihre Berechtigungen nachzuweisen. Und: Die beste Security-Maßnahme nützt jedoch nichts, wenn diese wegen zu hohem Zeitbedarf oder oft auch wegen Unverständnis und Unwissenheit nicht praktiziert oder schlimmer noch – bewusst umgangen wird. Technische Maßnahmen alleine reichen also nicht aus – ihr müssen organisatorische Maßnahmen mit Schulungen an die Seite gestellt werden. Während Safety und Security im Grunde zwei separate Bereiche sind, die allerdings in einem engen Zusammenhang stehen, werden die Automatisierung und Safety weiter zusammenwachsen. Damit sich die entsprechenden Systeme nicht gegenseitig beeinflussen können – Stichwort Rückwirkungsfreiheit –, waren sie ursprünglich physikalisch voneinander getrennt. Daraus resultiert jedoch ein höherer Aufwand hinsichtlich Verdrahtung, Synchronisation und Administration. Deshalb werden seit einigen Jahren immer mehr physikalisch verschmolzene Lösungen entwickelt, die durch spezielle Mechanismen dafür sorgen, dass die funktionale Sicherheit dennoch stets rückwirkungsfrei gewährleistet ist. Das Automatisierungssystem PSS 4000 ist ein Beispiel, dass die Grenzen zwischen Sicherheits- und Steuerungsfunktion zunehmend durchlässiger werden. Ein identisch verwendbarer Befehlssatz für Sicherheit und Automation und die Programmierung nach IEC 61131-3 reduziert Barrieren. Mit ihnen lassen sich sicherheitsgerichtete Programme, Programme für Automatisierungsaufgaben oder auch eine Kombination aus beidem erstellen. Anwender fordern in den wenigsten Fällen eine klare Trennung, legen aber sehr großen Wert auf eine klare Abgrenzung der Verantwortungsbereiche.

Sicherheit – in den beiden Bedeutungen von Safety und Security – ist zunehmend ein integraler Bestandteil der Gesamtfunktion von Maschinen und Anlagen. Sie muss deshalb von Anfang an Berücksichtigung finden. Wenn Teilfunktionen optimal ineinander greifen sollen, können sie nicht einfach nachträglich aufgesetzt werden. Die Herausforderung besteht letztlich in der Integration der Funktionen in das Gesamtsystem.

Safety & Security besitzen deutliche Parallelen in der Standardisierung und der Vorgehensweise im Engineeringprozess: Die Verfügbarkeit von Maschinen und Anlagen darf durch Sicherheitsmaßnahmen nicht beeinträchtigt werden. Für die Umsetzung lassen sich viele Abläufe und Erfahrungen aus der Safety-Welt direkt auf die Security-Welt übertragen. Der Bereich Safety zeichnet sich bereits durch große Investitionssicherheit und Rechtssicherheit aus. Das liegt auch an der Ordnung durch Normen und Standards. So sind Dinge wie ein Safety Integrity Level (SIL) weltweit klar definiert und eine Einteilung in Gefährdungsklassen und Risikoabschätzungen einheitlich möglich. Für das Zusammenspiel von Safety und Security werden in Zukunft im Sinne der Standardisierbarkeit weitere Indikatoren benötigt. Zunehmend wichtig wird es allerdings sein, bei der Entwicklung von Lösungen von Anfang an die Bedürfnisse des Anwenders zu berücksichtigen und die Komplexität zu begrenzen – Denn: Einfachheit ist (Bediener)-Sicherheit.

www.prozesstechnik-online.deSuchwort: cav1216pilz

Senior Manager Product Management, Pilz