Suchen

Berechtigungskonzepte in der Maschinenautomatisierung Ein Schlüssel für mehr Sicherheit

Autor / Redakteur: Marcel Wöhner und Stefan Häussermann, Pilz GmbH / Silvano Böni

In modernen Automatisierungsarchitekturen wird das Zusammenspiel von Maschinensicherheit (Safety) und Betriebssicherheit (Security) immer mehr zum Schlüssel für praktikable Konzepte. Dabei gilt es aber, nicht nur die technische und normative Ebene der Sicherheit zu betrachten.

Firmen zum Thema

Der Betriebsartenwahlschalter PITmode ermöglicht das sichere Umschalten der Betriebsart und die Regelung der Zugangsberechtigung in einem Gerät.
Der Betriebsartenwahlschalter PITmode ermöglicht das sichere Umschalten der Betriebsart und die Regelung der Zugangsberechtigung in einem Gerät.
(Bild: Pilz)

Mit der Entwicklung hin zur vernetzten Automatisierungslandschaft kommen neue Sicherheitsherausforderungen auf Unternehmen zu. Industrie-4.0-Anlagen können sich autonom rekonfigurieren und optimieren, was eine neue Bewertung der Sicherheit zur Laufzeit – also im laufenden Betrieb durch die Anlage selbst – erfordert. Ferner muss sichergestellt werden, dass durch verbleibende Security-Lücken keine neuen Safety-Risiken entstehen.

Ganzheitliche Betrachtung zunehmend wichtig

Die jeweiligen Sichtweisen auf das Thema Sicherheit unterscheiden sich deutlich: Die international verwendeten Begriffe «Safety» für Maschinensicherheit und «Security» für Betriebssicherheit helfen zunächst bei der grundlegenden Differenzierung. Safety verlangt, dass Restrisiken, die von einer Maschine oder Anlage ausgehen, normativ vorgegebene Grenzwerte nicht übersteigen. Das schliesst sowohl die Gefährdungen der Umgebung der Anlage (zum Beispiel Umweltschäden) als auch die Gefährdungen innerhalb der Anlage (zum Beispiel Personen, die sich in der Anlage aufhalten) ein. Security betrifft den Schutz einer Maschine oder Anlage vor unbefugten Zugriffen von aussen sowie den Schutz sensibler Daten vor Verfälschung, Verlust und unbefugtem Zugriff im Innenverhältnis. Dazu zählen sowohl explizite Angriffe als auch unbeabsichtigte Security-Vorfälle.

Bildergalerie

Wichtig ist es ausserdem, bereits bei der Entwicklung von Lösungen von Anfang an die Bedürfnisse des Anwenders zu berücksichtigen, zum Beispiel bei der Handhabung und Benutzerfreundlichkeit im Betrieb. Sonst sind Manipulationen der Sicherheitsmassnahmen im wahrsten Sinne bereits vorprogrammiert.

Ganzheitliche Sicherheitskonzepte machen nicht nur das Zusammenspiel von Safety & Security erforderlich. Mit Blick auf den Safety-Aspekt ist zu prüfen, inwieweit Security-Themen die funktionale Sicherheit beeinflussen. Dies ist der Fall, wenn Zugriffs- oder Berechtigungssysteme mit einfachen Mitteln ausgehebelt oder kopiert werden können beziehungsweise jedem zugänglich sind, wie beispielsweise das mit einem Klebezettel am Bildschirm befestigte Masterpasswort. Zentrale Themen sind dabei eindeutige und sichere Identitätsnachweise für Produkte, Prozesse und Maschinen sowie für die berechtigten Personen, einschliesslich des sicheren Informationsaustauschs entlang des gesamten Produktionsprozesses.

Sicherheit erfordert Berücksichtigung von Beginn an

Maschinenhersteller sind auf dem europäischen Binnenmarkt verpflichtet, ihren Kunden ausschliesslich sichere Produkte anzubieten. Ausgehend von der bestimmungsgemässen Verwendung gilt es, sämtliche relevanten Gefährdungen zu ermitteln – unter Berücksichtigung aller Lebensphasen nach dem erstmaligen Bereitstellen auf dem Markt. Dabei werden alle unterschiedlichen Personengruppen wie zum Beispiel Bedienungs-, Reinigungs- oder Wartungspersonal, die mit der Maschine in Berührung kommen, beachtet. Für jede Gefährdung wird das Risiko eingeschätzt und bewertet. Massnahmen, die das Risiko reduzieren, werden nach dem Stand der Technik und unter Beachtung der harmonisierten Normen festgelegt.

Ein intelligentes Sicherheitskonzept muss schliesslich sowohl einen grösstmöglichen Freiraum und Gestaltungsspielraum als auch den höchstmöglichen Grad an Sicherheit bieten. Wesentliche Bedeutung haben dabei die Zugänge zur Maschine beziehungsweise zum Prozess. Diese müssen gegen unbefugtes Öffnen zu sichern sein und unzweifelhaft sicherstellen, dass sich beim Start der Maschine keine Personen im Gefährdungsbereich aufhalten.

Keine Gefahr für Mensch …

Damit mutwilliges oder versehentliches Öffnen von Zugangstüren nicht zu Gefährdungen führt, sind diese klassisch im Sinne von Safety mit einem sicheren Schutztürsystem gesichert. Dieses kombiniert die sichere Schutztürüberwachung mit sicherer Zuhaltung in einem System und verfügt zusätzlich über Sicherheitsfunktionen wie Not-Halt, Fluchtentriegelung sowie eine mechanische Wiederanlaufsperre. Eine versehentlich eingeschlossene Person kann den Gefahrenbereich somit im Gefahrenfall schnell und problemlos verlassen. Ein erneutes Anfahren der Anlage ist erst dann wieder möglich, wenn über die bestehenden integrierten Sicherungs- und Quittierfunktionen zweifelsfrei feststeht, dass sich niemand mehr im Gefahrenbereich befindet. Mit einem solchen Schutztürsystem wie PSENsgate von Pilz ist zwar die Sicherheit des Menschen im Sinne der Safety gewährleistet. Doch offen ist weiter die Sicherheit des Prozesses also die Betriebssicherheit (Security).

… und Prozess

Der Schutz vor unberechtigtem Zugriff kann in der Praxis über einen sicheren Betriebsartenwahlschalter realisiert werden. Er erfüllt dabei zwei Funktionen: die Wahl der Betriebsart und die Regelung der Zugangsberechtigung zur Maschine.

Betriebsartenwahlschalter wie PITmode von Pilz ermöglichen das Umschalten zwischen definierten Betriebsarten. Die Auswahl der Betriebsart erfolgt durch Stecken eines Transponder-Schlüssels mit der entsprechenden Berechtigung und Betätigen der für die Betriebsart definierten Taste. Jeder Schlüssel ist individuell kodiert, um eine eindeutige Nutzer-Authentifizierung zu ermöglichen, was Manipulationen vermeidet. Da die eindeutigen Schlüssel an mehreren Maschinen eingesetzt und unterschiedliche Berechtigungen hinterlegt werden können, lassen sich mehrere mechanische Schlüssel in einem Transponder-Schlüssel zusammenfassen. Das reduziert wiederum den administrativen Aufwand.

Klar definierte Zuständigkeiten

Jeder Bediener erhält über den codierten Schlüssel Zugang zu den für ihn freigegebenen Maschinenfunktionen oder Maschinenbetriebsarten. Über den RFID-basierten Schlüssel ist es möglich, für jeden Bediener individuelle (Zugangs-)Berechtigungen zu erteilen. Diese können über eine Identifikationsverwaltung in der Maschinensteuerung vergeben werden. Über Betriebsartenwahlschalter wie PITmode ist die Anlage von autorisierten Personen in verschiedenen Betriebsmodi bedien- und steuerbar. Dabei erhält jeder Bediener die seinen Fähigkeiten und Qualifikationen entsprechenden Maschinenfreigaben, so dass auf diese Weise ein hohes Mass an Schutz gegen unbeabsichtigte Aktionen und Manipulationen sowie die Sicherheit der Informationen gegeben ist.

An heiklen beziehungsweise sensiblen Maschinen besteht der Bedarf, alle Bedieneraktionen zu protokollieren. Auch hier kann das System unterstützen, da alle Bedienaktionen ohnehin an die Steuerung gemeldet werden. Das Authentifizierungssystem kann dazu genutzt werden, die Aktionen dann eindeutig einem Bediener zuzuordnen. So lassen sich im Betrieb der Maschinen etwaige Änderungen dokumentieren und die Nachvollziehbarkeit erhöhen. Verändert eine Person im Betrieb Maschinenparameter, wird dieser Schritt dokumentiert. Kommt es im Anschluss zu Fehlern, lassen sich Ursachen deutlich schneller ausmachen.

PITmode schaltet durch Selbstüberwachung sicher von einer Betriebsart auf die andere um. Fünf einstellbare Betriebsarten sind möglich: Automatikbetrieb, Einrichtbetrieb, manuelles Eingreifen unter eingeschränkten Bedingungen, Special Mode bzw. Prozessbeobachtung und Servicebetrieb. Dank LED-Anzeige lässt sich die aktuell ausgewählte Betriebsart ebenso eindeutig anzeigen wie die Berechtigungsstufe des Schlüssels. Der Betriebsartenwahlschalter ist einsetzbar für Anwendungen bis PL d nach EN ISO 13849-1 oder SIL CL 2 nach EN 62061.

Durch die Definition von sicheren Betriebsarten lassen sich die Anforderungen an Bedienersicherheit, Prozesssicherheit und Verfügbarkeit in Einklang bringen. Doch erst, wenn Themen wie Manipulationsschutz, Abgrenzung von Verantwortungsbereichen und Zuständigkeiten sowie eindeutige Identitätsnachweise für Maschinen und Menschen sicher geregelt sind, kann ein Prozess als «sicher im Betrieb» anerkannt sein. SMM

(ID:44264687)