Unabhängige Sicherheitssysteme nach IEC-61511

News


Getrennte Schutzebenen reduzieren Risiko


Jeder Produktionsprozess birgt Risiken. Für Unternehmen in der Prozessindustrie ist es daher von größter Bedeutung, die Anforderungen der IEC 61511 für funktionale Sicherheit genau zu verstehen und korrekt umzusetzen. Schließlich steht eine Menge auf dem Spiel: die Gesundheit der Mitarbeiter, die Sachwerte des Unternehmens und die Umwelt.

Um das Risiko von Stillständen und Zwischenfällen zu reduzieren, verlangt die IEC 61511 getrennte Schutzebenen für die Bereiche Steuerung und Überwachung, Prävention und Eindämmung sowie Notfallmaßnahmen. Jede dieser drei Ebenen übernimmt bestimmte Teilfunktionen in der Risikominimierung und zusammen reduzieren sie die Gefahren, die vom gesamten Produktionsprozess ausgehen. 

 

 

 

 

Safety- und Prozessleitsystem sauber trennen 

Darüber hinaus schreibt die IEC 61511 für jede Schutzebene Unabhängigkeit, Diversität und physikalische Trennung vor. Um diese Anforderung zu erfüllen, müssen die Funktionen der verschiedenen Ebenen ausreichend unabhängig voneinander sein. Doch was bedeutet das genau?


Viele meinen, es sei ausreichend, unterschiedliche I/O-Module für die verschiedenen Ebenen zu verwenden. Dem ist aber nicht so. Denn Automatisierungssysteme hängen auch von Funktionen in E/A-Bussystemen, CPUs und Software ab. Sicherheits- und Prozessleitsystem gelten nur dann im Sinne der IEC 61511 als autarke Schutzebenen, wenn sie auf unterschiedlichen Plattformen, Entwicklungsgrundlagen und Philosophien basieren. Konkret bedeutet das, dass die Systemarchitektur so ausgelegt sein muss, dass keine Komponente von der Prozessleitsystem-Ebene und der Safety-Ebene gleichzeitig genutzt werden darf.

Höchste Sicherheit bei Leitsystem-Patches

Standardisierte Hardware und Software in der Prozessleittechnik erfordern regelmäßige Patches, um Schwachstellen in Software und Betriebssystem zu beheben. Aufgrund der Komplexität der Softwarearchitektur ist jedoch eine analytische Bewertung der Risiken, die durch ein System-Update entstehen könnten, schwierig bis unmöglich. So können durchgeführte Patches im Prozessleitsystem z.B. auch Funktionalitäten des darin integrierten Sicherheitssystems beeinflussen.

Um sicherzustellen, dass in sicherheitsrelevanten Prozessen in solchen Fällen keine kritischen Fehler mit unabsehbaren Folgen auftreten können, müssen Prozessleit- und Sicherheitssystem technologisch voneinander getrennt werden. Nur so ist garantiert, dass Updates im Leitsystem die funktionale Sicherheit nicht beeinträchtigen.

Trotz Trennung: Integration von Betriebs- und Wartungsinformationen

Um Sicherheitssysteme wirtschaftlich betreiben zu können, ist die Integration umfassender Betriebs- und Wartungsinformationen notwendig. Trotz der geforderten Unabhängigkeit lassen sich HIMA-Systeme problemlos in alle führenden Prozessleitsysteme integrieren.

Dabei übernimmt HIMA die PLS-SIS-Integration und ermöglicht die gewünschten Funktionalitäten. Die Integration erfolgt über leistungsfähige, herstellerübergreifende Kommunikationsstandards.
Bei der Datenintegration werden alle Schnittstellen zu externen Systemen funktional vollständig im Rahmen eines „Whitelisting“ beschrieben. Dies beinhaltet:

  • Datenbereiche (Wo werden Daten geschrieben/gelesen)
  • Dateninhalte (Welche Werte dürfen die übertragenen Daten haben)
  • Schnittstellenfunktionen (Welche Kommandos werden wann akzeptiert)

Alle Aktivitäten an einer externen Schnittstelle, die nicht den vordefinierten Regeln entsprechen, werden ignoriert. Somit lassen sich alle für die Integration eines Sicherheitssystems notwendigen Funktionen abbilden.

RZ_HIMA_Baustein_07-2015_sRGB_72dpi_504x264_23541

IEC 61511: How to apply multiple layers of protection

Vorteile getrennte Systeme

  • Sowohl der Standard für funktionale Sicherheit IEC 61511 als auch der Security Standard IEC 62443 fordern getrennte Schutzebenen
  • Unabhängige "layer of protection"
  • Garantierte technische Rückwirkungsfreiheit „by design“
  • Eliminierung von "common cause"-Fehler
  • Vermeidung von sicherheitskritischen Design-, Programmier- und Bedienerfehlern durch Vermischung von sicheren-/nicht-sicheren Elementen ("human common cause"-Fehler)
  • Klare Trennung der Verantwortungsbereiche
  • Erfüllung der Anforderungen zur Trennung nach IEC 61508/11 führt im Zweifelsfall zu mehr Rechtssicherheit
  • Unterstreicht die unterschiedlichen Lebenszyklen von Betriebs- und Schutzeinrichtungen --> Betriebseinrichtung sind dynamisch (viele Änderungen), Schutzeinrichtung sind statisch (wenig Änderungen)
  • Entspricht  „Good Engineering Practice“ für kritische Applikationen

Aus mehr als 40 Jahren Erfahrung in sicherheitskritischen Anwendungen wissen wir: Eine Trennung von Prozessleittechnik und Safety erhöht die Betriebssicherheit und die Verfügbarkeit von prozesstechnischen Anlagen und verbessert somit die Wirtschaftlichkeit in der Produktion. Wenn Sie mehr über den Aufbau unabhängiger Sicherheitssysteme und getrennter Schutzebenen gemäß IEC 61511 erfahren möchten, wenden Sie sich an unsere Experten. Wir beraten Sie gerne

Downloads
Training
Cyber Security & Funktionale Sicherheit

1-tägiges Training zur Cyber-Security auf Software- und Hardware-Ebene 

Mehr Informationen

Termine & Anmeldung

Kontakt

Tel: +49 6202 709 0
Fax: +49 6202 709 107
securityAThima.com
Kontaktformular