Suchen

Meilenstein Sicherheitstechnik

wird präsentiert von

HIMA

Funktionale Sicherheit Fest verdrahtet ist out, Cybersecurity ist in: Wie die technische Entwicklung die funktionale Sicherheit verändert

Redakteur: Anke Geipel-Kern

Man könnte meinen, Funktionale Sicherheit hat es schon immer gegeben. Tatsächlich ist die Basisnorm erst 20 Jahre alt. Bis heute ist der wichtigste Treiber die technische Entwicklung und die rast gerade. Fest verdrahtet war vorgestern, gestern ging es um SIL-Level, heute um Multicore-Technik und digitale Bedrohungsszenarien. Welchen Einfluss die technische Entwicklung auf die Basisnorm zur Funktionalen Sicherheit hat und welche Herausforderungen auf die Normierungsexperten noch warten.

Firmen zum Thema

Normierungsexperten müssen zukünftige technische Anforderungen im Blick haben.
Normierungsexperten müssen zukünftige technische Anforderungen im Blick haben.
(Bild: ©krunja - stock.adobe.com [M] Frank)

Noch aus dem Tiefschlaf geweckt, könnten vermutlich 99,9 % aller Sicherheitsexperten die wichtigsten Eckdaten ihrer Norm zur Funktionalen Sicherheit referieren. Und das aus gutem Grund. Seit ihrer Entstehung im Jahr 1998 ist die zentrale Sicherheitsgrundnorm EN IEC 61508 so etwas wie das Grundgesetz für die Funktionale Sicherheit.

Seitdem gilt das Werk branchenübergreifend für alle sicherheitsgerichteten Systeme (elektrische, elektronische und programmierbare elektronische Geräte) – egal, ob in der Prozessindustrie, Feuerungs-, Marine- oder Bahntechnik. Jetzt, im Zeitalter von Stuxnet und Cyberangriffen, arbeiten die Experten an einer neuen Version der 61508, die den Herausforderungen von Digitalisierung und Vernetzung normativ gerecht wird.

Noch in den 70igern wurde Sicherheit an Einzelfällen durchgespielt

Aber der Reihe nach: Wandert man gedanklich in die 1970er bis in die 1980er-Jahre zurück, trifft man in den Betrieben vor allem auf hart verdrahtete Technologie. Die Hima-­Steuerung Planar, die im Jahr 1970 als erste Sicherheitssteuerung ein TÜV-Siegel bekam und heuer auf 50 Jahre zurückblickt, ist ein prägnantes Beispiel dafür. Da die damals eingesetzte Technik im Vergleich zur heutigen wenig komplex war, galt das auch für die damaligen Sicherheitskonzepte.

Der ehemalige TÜV-­Experte Heinz Gall, ein Mann der ersten Stunde, erinnert sich an den damals üblichen deterministischen Ansatz, bei dem die Einzelfehlerbetrachtung im Fokus stand. SIL-Level oder integriertes Sicherheitsmanagement war noch lange nicht in Sicht. „Man konnte sich einzelne Bauteile und Komponenten anschauen und überlegen, was denn passiert, wenn dort ein Fehler auftritt“, erklärt Gall.

Diese FMEA (Failure Mode and Effects Analysis; Fehlermöglichkeits- und Fehlerein­flussanalyse) fand immer auf der Bauteilebene statt. Dabei stellte man sich die Frage: Was ist die Reaktion auf diesen Einzelfehler im Ausgangssignal? Die zu beachtenden Standards waren anwendungsbezogen: Ist die Komponente immer noch sicher in Bezug auf die Anwendung? Gall: „Wenn die Anwendung trotz Fehler immer noch sicher war, nahm man einen weiteren Fehler hinzu – bis zu drei Fehler in Kombination wurden betrachtet.“

Von der Anforderungsklasse zum SIL-Level

Die Sicherheitsklassen oder Safe­ty Integrity Levels (SIL) folgten dann erst später – mit dem Aufkommen der Mikrocomputer. Startschuss gab ein 1984 publiziertes Forschungsprojekt zum Thema: Mikrocomputer in der Sicherheits­technik. Experten vom TÜV Rheinland und Bayern erstellten ein Handbuch, in dem zum ersten Mal fünf Sicherheitsklassen auftauchten, die allerdings nicht mit den heutigen SIL-Leveln zu vergleichen sind.

Seminar: Risikoermittlung in der Anlagensicherheit

In unserem Seminar „Risikoermittlung in der Anlagensicherheit“ lernen Sie mit welchen Methoden die Risiko- und Gefährdungsermittlung bei Prozess- und Chemieanlagen erfolgen kann und welche Tools dazu geeignet sind. Anhand eines konkreten Beispiels der Risikoanalyse einer Betriebsvorlage (Behälter) wird mit den vorgestellten Tools unter Anwendung der Methode PAAG-/LOPA eine Risikoanalyse durchgeführt. Aufgrund der aktuellen Corona-Pandemie ist diese Veranstaltung auch als Live-Webinar buchbar.

„Man hat sich Fehlermodelle in integrierten Schaltkreisen angeschaut und auch über mögliche Redundanzen und Diagnosemaßnahmen, beispielsweise für CPU, RAM und ROM nachgedacht“, erklärt Gall rückblickend. „In dem Handbuch wurden aber noch keine Versagenswahrscheinlichkeit und Risikobetrachtungen thematisiert. Aber es wurde die programmierbare Technik im Hinblick auf sicherheitsrelevante Anwendungen erstmalig in den Fokus genommen.“

Der Computer verändert die Normung

Mitte der 1980er-Jahre verfiel Deutschland ins Normungsfieber: Neue DIN-Standards definierten Gefährdungen sowie Risikoklassen und auch die Anforderungsklassen entstanden, die später in SIL-Level überführt wurden. Im Jahr 1989 entwickelte sich die DIN V 19250 (DIN V 19251:1993), die als Vorläufer der EN IEC 61508 gilt. „Hier kamen jetzt auch die Versagenswahrscheinlichkeit und Verfahren zur Risikoreduzierung hinzu“, erklärt Gall. Dies war der erste Versuch, Risiken zu analysieren und die Sicherheitsintegrität des notwendigen Sicherheitssystems zu bestimmen. Doch die Norm bildete noch nicht die Komplexität programmierbarer Steuerungen ab, es gab natürlich Mainframes, aber PCs waren noch lange nicht in der Breite der Industrie angekommen.

Knapp zehn Jahre später, 1998, behob dann die EN IEC 61508 dieses Manko und deckte damit zum ersten Mal alle Aspekte der Funktionalen Sicherheit ab. Sie diente neben der IEC 61511 als Grundnorm zur Betrachtung der Funktionalen Sicherheit für die verschiedensten Anwendungsstandards.

Event-Tipp der Redaktion

Funktionale Sicherheit ist in der Prozessindustrie von entscheidender Bedeutung. PROCESS widmet diesem Thema daher am 27. April zum zweiten Mal in Form des SIL-Forums eine eigene Plattform. Im Fokus stehen Lösungsansätze und Experten-Tipps für den beruflichen Alltag sowie der Erfahrungsaustausch, begleitet von einer Fachausstellung sowie Exklusiv-Workshops zu ausgewählten Themen. t.

Während sich die Konzepte der Funktionalen Sicherheit – eben die Vermeidung von Fehlern – kaum verändert haben, ist die extrem schnelle Technologieentwicklung die größte Herausforderung heute. „Die Technologie treibt ganz klar die Normen“, meint auch Gall. Gutes Beispiel dafür sind die Multi­coreprozessoren, die mittlerweile marktreif sind und auf Einsatz warten, aber von der IEC 61508 noch nicht erfasst sind. Schlicht, weil bei der Entstehung der zweiten Fassung diese Technik noch keiner auf dem Schirm hatte.

Herausforderung im Zeitalter von Industrie 4.0: Cybersecurity

Ganz neue Herausforderungen wirft auch die Digitalisierung auf. Wo Systeme von der Feld- bis zur ERP-Ebene vernetzt sind und Daten nicht nur horizontal, sondern auch vertikal fließen sollen, öffnen sich unerwartete Sicherheitslücken und damit Angriffspunkte für potenzielle Cyberangriffe. Die Trends nach Dezentralisierung, mehr Fernwartung oder guten Remotesteuerungen in der Industrie werden heute immer wichtiger, auch weil es die Betreiber fordern, um Kommunikation und Produktivität zu steigern.

Werden Sicherheitsfunktionen von außen angegriffen und möglicherweise kompromittiert, stellen sich für alle – Hersteller wie Betreiber – ganz neue Herausforderungen. Dass jemand bewusst die Safety-Funktionen manipulieren möchte, habe vor Jahren so niemand erwartet. Aus Sicht der TÜV-Expertin ­Jana Klaes ist es momentan die größte Herausforderung, die Funktionale Sicherheit auch hinsichtlich der Cybersecurity zu denken: Hersteller reagieren darauf und unternehmen große Anstrengungen, „safe“ Sicherheitslösungen gleichzeitig „secure“ zu machen.

Die Lebenszyklen der Anlagen hinsichtlich der Funktionalen Sicherheit sind völlig anders als bei den Systemen der Cybersecurity, wo ständig Sicherheits-Updates notwendig sind, um bestmöglichen Schutz bieten zu können. Der Life­cycle der Cybersecurity ist im Vergleich zu dem der funktionalen Sicherheit sehr kurz und von kontinuierlichen Modifikationen charakterisiert.

Die Experten halten es daher für wichtig, schon zu Beginn der Entwicklung von Systemen der Funktionalen Sicherheit auch an Cybersecurity zu denken. Dabei sollten auch Trennbarrieren eingebaut werden, damit eine kleine Änderung an der Security nicht auch die Safety beeinträchtigt. Diese Herausforderungen müssen in der Industrie in Einklang gebracht werden, und zwar von Herstellern und Betreibern.

Buchtipp Das Fachbuch „Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert. „Cybersicherheit“ kann hier versandkostenfrei oder als E-Book bestellt werden.

Das Thema Safety haben die TÜV-Experten seit Langem im Griff, an einen Unfall mit einem zertifizierten Produkt kann sich Merlin Hilger, Sachverständiger für Funktionale Sicherheit beim TÜV Rheinland, nicht erinnern. Ganz anders sieht das hingegen bei der Cybersecurity aus. Spätestens seit aktiven Cyberangriffen wie Stuxnet sind die Gefahren auch für Sicherheitssteuerungen sehr real. Folgerichtig ist deshalb die Cybersecurity aufgrund der steigenden Bedrohungslage ein wichtiges Tätigkeitsfeld für den TÜV Rheinland als Zertifizierungsstelle geworden. „Wenn man als Anwender ein Cybersecurity-Risiko sieht, muss man die Norm beachten. Die Initiative liegt hier beim Anwender“, sagt Hilger. „Wenn eine Vernetzung vorliegt und die Funktionale Sicherheit durch Cyberangriffe bedroht sein könnte, dann ist diese Situation laut IEC 61508 zu betrachten“, fügt Gall hinzu. „Die Norm 61508 verweist dann weiter auf die Cybersecurity-Standards, wie etwa IEC 62443.“

Jana Klaes beobachtet eine klare Tendenz auf dem Markt: Viele Unternehmen und Anbieter beschäftigen sich mit dem Thema Cybersecurity, um ihre Lösungen „secure“ zu machen. „Hier wächst angesichts der realen Bedrohungen ein völlig neuer Markt heran, auf den die Hersteller von Sicherheitslösungen reagieren.“ Das gilt auch für die Entwicklungen von Hima. Mit Blick auf die Cybersecurity haben für den Safety-Spezialisten daher die IEC 62443-4-1 und IEC 62443-4-2 höchste Bedeutung bei Produktpflege und Produktneuentwicklung. Security müsse von Anfang an betrachtet werden.

Und wie sieht die EN IEC 61508 der Zukunft aus? Wie geht man mit Cloud und KI um, wie regelt man den externen Zugriff auf sicherheitsrelevante Steuerungen und können selbstlernende Systeme überhaupt in Sicherheitssteuerungen eingesetzt werden? Offene Fragen gibt es genug und dadurch auch Aufgaben für die Normierungsexperten. agk

* * Der Artikel basiert auf einem Bericht, welcher der Redaktion von Hima und dem TÜV Rheinland zur Verfügung gestellt wurde. Kontakt zu Hima: Tel. +49-6202-709-405

(ID:46860683)