DataPDF Available

Manuskript SecurePlugWorkSafety

Authors:

Abstract

Eine Plug & Work-Technologie ermöglicht ein modulares Produktionssystem, welches sich aus beliebigen Produktionsmodulen (Arbeitsschritten) zusammensetzt. Bei der Entwicklung solcher Technologien wird oftmals die funktionale Sicherheit (Safety) nicht betrachtet. Weiter muss vor Inbetriebnahme einer neuen Kombination von Produktionsmodulen die Entstehung von neuen Gefahren geprüft werden. Dies erfolgt heute händisch durch einen Safety-Experten mithilfe der Maschinendokumentation. Die notwendige Adaptivität und autonome Rekonfiguration von Produktionsmodulen, die für eine flexible Produktionsumgebung notwendig sind, werden durch die funktionale Sicherheit eingeschränkt. In diesem Beitrag wird ein Konzept vorgestellt, welches eine Plug & Work-Technologie um die funktionale Sicherheit erweitert. Dazu werden Safety-Eigenschaften des jeweiligen Produktionsmoduls in ein maschinenlesbares Modell überführt. Jedes Produktionsmodul wird durch Anforderungen und Garantien beschrieben. Eine übergeordnete Instanz liest die Safety-Eigenschaften der Produktionsmodule ein. Mithilfe des formalisierten Expertenwissens wird anhand der Eigenschaften die Entstehung von neuen Risiken geprüft. Die Anforderungen müssen durch Garantien anderer Produktionsmodule erfüllt werden. Durch die maschinell verarbeitbare Dokumentation von Safety-Eigenschaften wird erreicht, dass die händisch durchgeführte Risikobewertung von dem System unterstützt wird. Vorausgesetzt das Bewertungssystem ist entsprechend zertifiziert, ist es möglich die Risikobewertung komplett automatisiert durchzuführen. Im letzten Schritt ist eine Parametrierung der Safety-Verbindungen zwischen den Produktionsmodulen durch das System denkbar. Wiederkehrende Safety-Betrachtungen werden beschleunigt und vereinfacht, was eine Verkürzung der Rüstzeiten bedeutet. Die Erweiterung einer Plug & Work-Technologie für Safety-kritische Systeme ermöglicht den uneingeschränkten funktional sicheren Betrieb von modularen Produktionssystemen.
Erweiterung des „Secure Plug & Work“ für Safety-kritische
Systeme
Philip Kleen, Fraunhofer-Anwendungszentrum Industrial Automation
(IOSB-INA), Lemgo;
Dr. Holger Flatt, Fraunhofer-Anwendungszentrum Industrial Automation
(IOSB-INA), Lemgo;
Prof. Jürgen Jasperneite, Fraunhofer-Anwendungszentrum Industrial
Automation (IOSB-INA), Lemgo;
Kurzfassung
Eine Plug & Work-Technologie ermöglicht ein modulares Produktionssystem, welches sich
aus beliebigen Produktionsmodulen (Arbeitsschritten) zusammensetzt. Bei der Entwicklung
solcher Technologien wird oftmals die funktionale Sicherheit (Safety) nicht betrachtet. Weiter
muss vor Inbetriebnahme einer neuen Kombination von Produktionsmodulen die Entstehung
von neuen Gefahren geprüft werden. Dies erfolgt heute händisch durch einen Safety-Experten
mithilfe der Maschinendokumentation. Die notwendige Adaptivität und autonome
Rekonfiguration von Produktionsmodulen, die für eine flexible Produktionsumgebung
notwendig sind, werden durch die funktionale Sicherheit eingeschränkt.
In diesem Beitrag wird ein Konzept vorgestellt, welches eine Plug & Work-Technologie um die
funktionale Sicherheit erweitert. Dazu werden Safety-Eigenschaften des jeweiligen
Produktionsmoduls in ein maschinenlesbares Modell überführt. Jedes Produktionsmodul wird
durch Anforderungen und Garantien beschrieben. Eine übergeordnete Instanz liest die Safety-
Eigenschaften der Produktionsmodule ein. Mithilfe des formalisierten Expertenwissens wird
anhand der Eigenschaften die Entstehung von neuen Risiken geprüft. Die Anforderungen
müssen durch Garantien anderer Produktionsmodule erfüllt werden. Durch die maschinell
verarbeitbare Dokumentation von Safety-Eigenschaften wird erreicht, dass die händisch
durchgeführte Risikobewertung von dem System unterstützt wird. Vorausgesetzt das
Bewertungssystem ist entsprechend zertifiziert, ist es möglich die Risikobewertung komplett
automatisiert durchzuführen. Im letzten Schritt ist eine Parametrierung der Safety-
Verbindungen zwischen den Produktionsmodulen durch das System denkbar.
Wiederkehrende Safety-Betrachtungen werden beschleunigt und vereinfacht, was eine
Verkürzung der Rüstzeiten bedeutet. Die Erweiterung einer Plug & Work-Technologie für
Safety-kritische Systeme ermöglicht den uneingeschränkten funktional sicheren Betrieb von
modularen Produktionssystemen.
1. Einleitung
Zur Erfüllung der Anforderungen der vierten industriellen Revolution sind unter anderem
flexiblere Fertigungsstrukturen notwendig [1]. Dies führt zu dem Ansatz, einzelne
Produktionsschritte in eigenständige vollständige Maschinen zu modularisieren und diese
bedarfsorientiert zusammenzustellen. Dieser Ansatz ist bereits von verschiedenen
Institutionen weiter vertieft worden. Das hier als allgemein bezeichnete modulare
Produktionssystem kann sich aus Cyber-physikalischen Produktionssystemen (CPPS) oder
aus offenen adaptiven Systemen (OAS) zusammensetzen. Im Folgenden werden
Arbeitsschritte in einzelne vollständige, der Maschinenrichtlinie entsprechende,
Produktionsmodule modularisiert. Diese können sowohl als OAS als auch CPPS verstanden
werden. Ein schematischer Aufbau eines modularen Produktionssystems ist in Bild 1 gezeigt.
Dieser berücksichtigt die NAMUR Empfehlung 148 [2] und wird für die weiteren Betrachtungen
zugrunde gelegt. Produktionsmodule werden derart kombiniert, dass sich das
Fertigungssystem dynamisch an die Produktionsaufträge anpasst. Durch das Hinzufügen von
neuen, zum Konstruktionszeitpunkt unbekannten, Produktionsmodulen entstehen immer
wieder neue Kombinationen. Diese Kombinationen bilden häufig eine neue Gesamtheit von
Maschinen. Eine erneute Gefahren- und Risikobewertung nach ISO 12100 muss in jedem Fall
durchgeführt werden, um eine Übertragung von Gefahren oder Entstehung von neuen
Gefahren zu erkennen [3, 4]. Zum Beispiel kann es durch die Verschmutzung eines
Transportbandes zu einer Veränderung des Risikos kommen. Wurde dies beispielsweise
durch Metallspäne verschmutzt, kann es beim Fassen auf das Band zu einem erhöhten Risiko
einer Schnittverletzung kommen. Daraus resultiert die Notwendigkeit einer erneuten
Risikobewertung und ruft einen erneuten Zertifizierungsprozess zum Konformitätsnachweis
Bild 1: Schematischer Aufbau eines flexiblen Produktionssystems
Backbone
Modul II
AAB
C
A
B
Modul IV
A
Modul III
Integrierte Maschine Freier Andockplatz
Produkt Andockplatz
Produktfluss
A
A
zur Maschinenrichtlinie hervor. Üblicherweise werden die zur Bewertung benötigen
Informationen aus der jeweiligen Dokumentation der Produktionsmodule entnommen. Ein
Safety-Experte trägt diese zusammen und bewertet die Entstehung von Gefahren und deren
Risiko. Die Fertigung in einzelnen Produktionsmodulen zu organisieren wird normativ
eingeschränkt. Jede neue Kombination von Produktionsmodulen bedeutet eine erneute
Gefahren- und Risikoanalyse, siehe oben. Die Plug & Work-Fähigkeit für ein modulares
Produktionssystem wird normativ eingeschränkt.
Durch risikomindernde Maßnahmen entsteht häufig die Notwendigkeit sicherheitsgerichtete
Funktionen auf mehreren Produktionsmodulen auszuführen. Ein Beispiel dafür ist das
gleichzeitige Ausführen eines Not-Halts auf mehreren Produktionsmodulen. Dies erfordert
einen sicherheitsgerichteten Signalaustausch unter den einzelnen Produktionsmodulen. Dabei
muss technologisch ein Safety-Protokoll oder eine Schnittstelle für alle Produktionsmodule
festgelegt werden. Anderenfalls wäre eine Adaption an sämtliche Safety-Protokolle notwendig.
Über diesen Kommunikationskanal werden die benötigten sicherheitsgerichteten Funktionen
durch statische Bit-Verknüpfungen erstellt. Ein flexibles Produktionssystem, welches sich
beliebig aus Produktionsmodulen zusammenstellen lässt, wird durch eine nicht vorhandene
offene Adaption oder Festlegung auf ein Protokoll/eine Schnittstelle, technologisch
eingeschränkt. Diese beiden Aspekte, normativ und technologisch, führen dazu, dass flexible
Produktionssysteme mit Einschränkungen entstehen.
Ziel ist es, modulare Produktionssysteme auch aus der Sicht der funktionalen Sicherheit zu
ermöglichen. Mit Hilfe einer Plug & Work-Technologie sollen die Eigenschaften der
funktionalen Sicherheit eines Produktionsmoduls zur Verfügung gestellt werden. Heute erfolgt
dies in textueller Form. Die bereitgestellten Eigenschaften sind von einer zentralen Instanz
auszuwerten und zu bewerten. Die Zusammenhänge einer Risikobeurteilung für den
Gefahrenübertrag sollen automatisiert werden. Weiter ist die statische Bit-Verknüpfung bzw.
der fest parametrierte Verbindungsaufbau zu Produktionsmodulen dynamischer zu gestalten
[1].
In diesem Beitrag wird eine Vorgehensweise beschrieben, die es ermöglicht, die Safety-
relevanten Betrachtungen beim Kombinieren von Maschinenmodulen zunächst zu
vereinfachen und im Weiteren zu automatisieren. Dabei werden exemplarisch Safety-
Eigenschaften aufgegriffen, die für die Übertragung oder Entstehung von Gefahren zwischen
Produktionsmodulen relevant sind. Es kommen bereits verfügbare Technologien zum Einsatz.
Deren Einsatz als Safety-Technologie ist in einem nächsten Schritt zu analysieren. Die hier
aufgezeigte Vorgehensweise zeigt zunächst einen Weg mit nicht Safety-kritischen
Technologien auf. Die Konformität zur Maschinenrichtlinie ist in einem weiteren Schritt zu
erlangen. Des Weiteren soll das Kommunikationsmedium ein, gemeinsam mit anderen
Komponenten genutztes, auf Ethernet-basierendes Netzwerk sein.
Die Herausforderung liegt zum einen in der nicht automatisierten nebenläufigen Betrachtung
von Aspekten der funktionalen Sicherheit, wie in Bild 2 dargestellt. Zum anderen ist
technologisch eine Erwartungshaltung in jedem Produktionsmodul aufzubauen, mit der jedes
Produktionsmodul den sicheren Betrieb im Gesamtkontext überprüfen kann. Ein Beispiel dafür
ist der notwendige Aufbau von sicherheitsgerichteten Verbindungen, die zum Austausch von
bestimmten Safety-Signalen mit anderen Produktionsmodulen genutzt werden.
Der Beitrag erläutert zunächst im Abschnitt 2 am Stand der Technik die Limitierungen heutiger
Technologien, welche zu diesem Lösungsansatz führen. Anschließend werden in Abschnitt 3
die Anforderungen an das Lösungskonzept erläutert. Darauf aufbauend wird ein Konzept
erarbeitet, welches in Abschnitt 4 vorgestellt wird. Abschließend wird in Abschnitt 5 der Beitrag
zusammengefasst.
Bild 2: Safety-Betrachtungen werden heute manuell mit Dokumentationen durchgeführt
Safety-Experte:
Analyse der Eigenschaften
Produktions-
modul
SSPS
Produktions-
modul
SSPS
Techniker:
Engineering der Safety-Verbindung
Safety-
Connection
Dokumentation
des Produktions-
moduls
Nebenläufiger nicht
automatisierter
Prozess
2. Stand der Technik
In diesem Abschnitt werden relevante Lösungen für die Zielstellung vorgestellt und
Limitierungen zur Erstellung eines flexiblen Produktionssystems genannt.
Es existiert bereits am Markt verfügbare Sicherheitstechnik, die flexible Produktionssysteme
über sicherheitsgerichtete Tabellen abbilden können. Dies erfordert die Festlegung auf ein
Safety-Protokoll. Eine Anpassung an sämtliche Safety-Protokolle ist nicht möglich, da es sich
dabei meistens um proprietäre Entwicklungen handelt. Eine weitere Limitierung ist, dass nur
bekannte Konfigurationen mit bekannten Produktionsmodulen in den Tabellen berücksichtigt
werden können. Das ist auf das geltende Regelwerk zurückzuführen. Dadurch ist normativ nur
der Einsatz von starren Tabellen möglich, in denen nur bekannte und bewertete
Konfigurationen von Produktionsmodulen abgebildet werden dürfen. Im Entstehungsprozess
des modularen Produktionssystems können nur Konfigurationen mit bekannten
Produktionsmodulen bewertet und in die Safety-Tabelle der übergeordneten
Sicherheitssteuerung abgebildet werden. Die übergeordnete Sicherheitssteuerung stellt eine
weitere Limitierung dar. Diese erfordert die Notwendigkeit, dass es ein festes
Produktionsmodul geben muss. Eine Lösung für diese Einschränkung wäre die Steuerung in
einem Backbone zu betreiben, der alle Produktionsmodule versorgt. Das flexible
Produktionssystem muss dann die Struktur, wie hier betrachtet, nach der NAMUR-Empfehlung
148 aufweisen [2]. Des Weiteren müssen alle hinterlegten Konfigurationen vorher von einem
Safety-Experten bewertet und zertifiziert werden. Weiter kommt es zu Einschränkungen beim
Einbringen von neuen nicht berücksichtigten und somit unbekannten Produktionsmodulen.
Neue Kombination müssen zunächst manuell von einem Safety-Experten bewertetet werden.
Anschließend sind die Tabellen händisch um die neuen Konfigurationen zu erweitern.
Viele Safety-Technologien z.B. ProfiSafe, SafetyBridge oder Safety-over-EtherCAT (FSoE)
unterstützen mittlerweile zur Laufzeit der Produktion eine Änderung von
Sicherheitskonfigurationen. Meistens wird von einer Produktionsanlage ausgegangen, die sich
in Teilen ändert, z.B. ein Werkzeugwechsel oder der Austausch einer Verpackungseinheit. Die
technologische Limitierung liegt vor allem darin, dass nur einige wenige bekannte
Konfigurationen unterstützt werden. Der jeweiligen Konfigurationen muss eine manuelle
Sicherheitsbetrachtung durch einen Safety-Experten vorausgegangen sein. Ein mögliches
Plug & Work-Szenario wird normativ eingeschränkt. Ein Einbezug der IT-Sicherheit bei der
Erstellung von Safety-kritischen Funktionen erfolgt nicht, da dies auch noch nicht normativ
gefordert ist [5]. In den Voraussetzungen für den Einsatz einer Ethernet-basierten Safety-
Technologie ist der Betrieb in einem geschützten Netzwerk gefordert. Diese Forderung kann
zur Folge haben, dass die Vernetzung der Produktionsmodule nur mit Einschränkungen
möglich ist, z.B. durch ein geschlossenes Netzwerk.
Diese grundsätzlichen Einschränkungen, die durch Safety-Funktionen an einem vernetzen
dynamischen Produktionssystem entstehen, sind zu lösen. Nur mit einem Konzept der
funktionalen Sicherheit können derartige Produktionssysteme ohne Einschränkungen
betrieben werden. Safety für flexible Produktionssysteme ist für die Industrie 4.0
erfolgsentscheidend [6]. Statische Konfigurationen der Safety-Funktionen müssen durch
dynamische parametrierbare Konfigurationen ergänzt werden. Die parallele und manuelle
Durchführung der Bewertung einer neuen Konfiguration muss funktional sicher automatisiert
werden. Dies kann in mehreren Schritten erfolgen von einem Assistenzsystem bis zur
automatischen Parametrierung der Safety-Funktionen.
3. Anforderungen
In diesem Abschnitt werden die Anforderungen definiert, die ein Sicherheitskonzept für ein
flexibles Produktionssystem erfüllen muss. Dabei werden die in Abschnitt 1 genannten
Abgrenzungen derart berücksichtigt, dass sich das Konzept darüber hinaus erweitern lässt.
Zunächst ist zu analysieren, welche Produktionsmoduleigenschaften relevant sind, um eine
Entstehung von Gefahren bewerten zu können. Für diese Eigenschaften muss eine
maschinenlesbare und möglichst standardisierte Semantik gefunden werden. Die
Eigenschaften müssen eindeutig einem Produktionsmodul zugeordnet werden können. Dabei
sollte der physikalische Speicherort keine Relevanz im Sicherheitskonzept darstellen. Zur
Auswertung der Eigenschaften ist ein Produkt zu finden, welches über die Eigenschaften auf
die Entstehung einer Gefährdung schließen kann. Die Belastbarkeit/Fehlersicherheit der
Auswertung ist für eine Safety-Funktion zu bewerten. Das Ergebnis der Bewertung zur
Gefahrenentstehung ist zu dokumentieren. Diese Dokumentation sollte schon heute einen
Safety-Experten bei seiner Risikobewertung nach ISO 12100 unterstützen können.
Für die Erstellung einer Aussage über die Entstehung neuer Gefahren, beim Kombinieren von
Produktionsmodulen, ist die aktuelle Konfiguration zu erkennen. Für eine bessere Bewertung
der Gefahrensituation ist auch die Ermittlung des physikalischen Aufbaus (welches Modul wie
neben welchem positioniert ist) wichtig.
Weiterhin ist im Konzept auf die Thematik einzugehen, wie eine sicherheitsgerichtete
Kommunikation zwischen den Produktionsmodulen aufgebaut werden kann. Es ist
anzustreben, dass das Hinzufügen von neuen und noch unbekannten Produktionsmodulen
möglich ist. Dies sollte zur Laufzeit ohne ein erneutes Engineering erfolgen.
4 Konzept
Generierung und Bereitstellung von Eigenschaften
Anhand der ISO 12100, dem technischen Bericht DIN SPEC 33885 und der Empfehlung vom
Bundesministerium für Arbeit und Soziales (BMAS) [7] können Eigenschaften gefunden
werden, die für die Übertragung oder Entstehung von Gefahren betrachtet werden sollten.
Dazu gehören unter anderem: Emissionen (Geräuschpegel, Gase, Funkenflug), Materialien
die bearbeitet werden dürfen, Verunreinigung der Umwelt (Späne, Öl),
Sicherheitsintegritätslevel (SIL), Performance Level (PL), Wahrscheinlichkeit des
gefahrbringenden Versagens pro Stunde (PFH). Für derartige Eigenschaften ist eine
maschinenlesbare und standardisierte Beschreibung zu finden. Einige der Eigenschaften
können durch einfache Zahlenwerte dargestellt werden (SIL, PL, PFH). Andere hingegen sind
sehr vielfältig, dies ist mit einer Klassifikation der Eigenschaften in Anlehnung von eCl@ss
möglich. Zur weiteren maschinellen Verarbeitung müssen alle Eigenschaften entsprechend
aufbereitet und bereitgestellt werden. Die Bereitstellung kann beispielsweise in der Industrie
4.0-Verwaltungsschale erfolgen. Eine geeignete Technologie dafür könnte OPC-UA sein. Das
OPC-UA-Informationsmodell bildet alle Eigenschaften des Produktionsmoduls ab. Zwei
wesentliche Objekte sind dabei Safety-Garantien und -Anforderungen. Die Objekte enthalten
weitere Unterobjekte mit zugehörigen Eigenschaften, z.B. eine Verschmutzung des Bands
durch Späne (Material und Körnung) oder garantierte Abschaltzeiten. Die Definition der
Eigenschaften erfolgt für jedes Produktionsmodul von einem Safety-Experten. Zur Erreichung
der Plug & Work-Fähigkeit ist es von hoher Relevanz das beschreibende OPC-UA-
Informationsmodell zu einer Companion Specification zu vereinheitlichen. Technologisch
kann mit dem Secure Plug & Work-Adapter [8] ein Produktionsmodul mit einem OPC-UA-
Server ergänzt werden. Über diesen wird das erstellte Informationsmodell mit den
beschreibenden Eigenschaften in jedem Produktionsmodul bereitgestellt. Alternativ wäre auch
eine Bereitstellung eines maschinenlesbaren Modells über eine zum Produktionsmodul
gehörende digitale Instanz denkbar. Zur Bewertung der aktuellen Konfiguration kommt ein
Safety Management System zum Einsatz. Bild 3 zeigt ein mögliches OPC-UA-
Informationsmodell mit Safety-Eigenschaften. Das Produktionsmodul steht an einem
Transportsystem mit Objektträgern, wie es schematisch in Bild 1 dargestellt ist. Es sind die
zwei Hauptobjekte Garantien und Anforderungen dargestellt sowie das Objekt Band“, über
welches weitere Gefahren übertragen werden können und somit eine weitere Beschreibung
erforderlich ist.
Bewertung der Eigenschaften
Die Bewertung erfolgt mit einem Safety Management System. Es besteht zunächst aus einem
OPC-UA-Client, der sich auf alle im Betrieb befindlichen Produktionsmodule verbindet und die
Eigenschaften zur Bewertung ausließt und bündelt. Zur Bewertung müssen in dem System
Regeln über gültige Kombinationen von Eigenschaften festgelegt werden. Es werden positive
gültige Kombinationen von einzelnen Eigenschaften hinterlegt. Bei Erfüllung kann davon
ausgegangen werden, dass keine erhöhte Gefahr von dieser Kombination ausgeht. Die
Anforderungen und Garantien der Produktionsmodule werden gegenseitig erfüllt. In einem
ersten Schritt ist das „Wissen“ der Safety-Experten in dem System zu bündeln. Dieses kann
bei der Zusammenstellung von Produktionsmodulen und der daraus notwendigen
Risikobewertung als Assistent eingesetzt werden. Basierend auf einer automatischen
Erstellung der notwendigen Dokumentation kann die Inbetriebnahme verkürzt werden. In
einem weiteren Migrationsschritt dieses Konzepts werden, bei ordnungsgemäßer
Bild 3: OPC-UA-Informationsmodell mit Safety-Eigenschaften eines Produktionsmoduls
Kombination, über OPC-UA-Methoden Konfigurationsparameter zum Aufbau von Safety-
Verbindungen zwischen den Produktionsmodulen genutzt. Die Sicherheitssteuerungen der
einzelnen Produktionsmodule bauen diese auf. Über diese Safety-Verbindung werden die
eigentlichen Sicherheitsfunktionen realisiert.
Die benötigte Software zur Bewertung zeigt Parallelen zu dem bereits existierenden Ansatz
von „Assisted Design for Automation Systems (AD4AS) [9]. In dem Projekt wurde bereits eine
Möglichkeit aufgezeigt, Anforderungen und Eigenschaften von Produkten zu formalisieren.
Anhand der Anforderungen, der hinterlegten Regel und der mit Eigenschaften beschriebenen
Produkte hat das entstandene Assistenzsystem Produktkombinationen zur Lösung
vorgeschlagen [9]. Darüber hinaus gibt es noch weitere Ansätze für wissensbasierte
Expertensysteme [10, 11]. Das vorhandene System kann mit Anpassungen für die Bewertung
der Safety-Eigenschaften der Produktionsmodule genutzt werden. Das Wissen des Safety-
Experten kann in entsprechende Regeln formalisiert werden. Die manuelle Vorgehensweise
Bild 4: Safety-Betrachtungen wurden durch Modellierung von Eigenschaften und
Formalisierung von Expertenwissen automatisiert
Safety Management System:
Formalisiertes Expertenwissen
Produktions-
modul
SSPS
Produktions-
modul
SSPS
Techniker:
Safety-Verbindung generisch
Parametrierung vom Safety Management System
Safety-
Connection
Informations-
modell
Informations-
modell
einer Risikobewertung (Bild 2) hat sich durch die zwei Schritte, maschinenlesbare
Beschreibung von Moduleigenschaften und Formalisierung von Expertenwissen, zu Bild 4
verändert.
Lokalisierung
Zur besseren Bewertung ist die Betrachtung des physikalischen Aufbaus von Bedeutung.
Dazu ist zunächst die Frage zu stellen, wie dieser ermittelt werden soll. Ein Szenario ist, die
Produktionsmodule erkennen ihre unmittelbaren Nachbarn und stellen diese Information über
das OPC-UA-Informationsmodell mit zur Verfügung. Daraus folgt die Frage, wie diese
Erkennung technologisch gelöst werden kann. Verfügen beispielsweise die
Produktionsmodule über eine RFID-Technologie, kann durch direkte Aneinanderreihung der
Module der Aufbau bestimmt werden. Dazu müssen die RFID-Geräte immer an identischer
Position in dem Produktionsmodul verbaut sein. Dadurch wird jedoch die Flexibilität
eingeschränkt. Eine Nachbarschaftserkennung über das Link Layer Discovery Protocol (LLDP)
ist auch denkbar, stellt jedoch die Unterstützung des Protokolls als Anforderung an alle
Netzwerkkomponenten. Weiter ist eine Lokalisierung über ein Indoor-Lokalisierungs-System
denkbar. Möglicherweise ist es auch ausreichend, von einem Produktauftrag auf mögliche
sinnvolle Kombinationen zu schließen und eine als sicher bewertete Kombination
vorzugegeben. Herausforderung hierbei ist den physikalisch notwendigen oder aktuell
lokalisierten Aufbau zu formalisieren, dass Anforderungen anhand dessen bewertet werden
können.
Mögliche Zertifizierung
Das vorausgegangene Konzept ist noch zu zertifizieren, bevor es belastbar eingesetzt werden
kann. Dabei wird sich an den Laufzeitmodellen des konzeptionellen Frameworks für OAS
orientiert [12]. Von OPC-UA und dem Safety Management System ist die
Fehlerwahrscheinlichkeit zu ermitteln. Konzeptionell könnte eine Zertifizierung des flexiblen
Produktionssystems wie folgt aufgebaut sein: Zunächst sind die bestimmten Eigenschaften
des Produktionsmoduls zu zertifizieren, wie es bereits heute gängige Praxis ist. Dabei wird
zusätzlich ein digitales Zertifikat erstellt, welches möglicherweise von einer unabhängigen
Instanz ausgestellt sein kann. Dies beinhaltet alle zertifizierten Eigenschaften sowie eine
Seriennummer, Hersteller-ID o.ä., in gleicher Struktur abgebildet, wie es über das OPC-UA-
Informationsmodell erfolgt ist. Mittels dieser Informationen wird ein eindeutiger Fingerabdruck
für das Zertifikat erstellt. Dieses Zertifikat wird in einer zum Produktionsmodul zugehörigen
digitalen Instanz abgelegt und vom Safety Management System mit den eingelesenen
Informationen abgeglichen. Die Methode der Zertifizierung kann ähnlich funktionieren, wie es
bereits heute zur Absicherung von SSL-Internetverbindungen oder zur Authentifizierung
gehandhabt wird. Das vorgestellte Safety Management System ist bezüglich der
Fehlerwahrscheinlichkeit zu bewerten und entsprechend zu zertifizieren, wie es heute bereits
bei diverseren Engineering-Werkzeugen für die Erstellung von Sicherheitsfunktionen erfolgt.
5. Zusammenfassung
In diesem Beitrag wurde ein Konzept für das Plug & Work-Szenario erstellt, mit dem sich der
Aufwand von erforderlichen Safety-Betrachtungen reduzieren und weiter automatisieren lässt.
Dabei wurden die Grenzen, die durch die funktionale Sicherheit entstehen, an heutigen
flexiblen Produktionssystemen aufgezeigt. Das vorausgegangene Konzept beschreibt anhand
eines OPC-UA-Informationsmodells mit den Objekten Sicherheitsgarantien und
-anforderungen die Safety-kritischen Eigenschaften eines Produktionsmoduls. Diese werden
von den im Betrieb befindlichen Produktionsmodulen von einem Safety Management System
ausgelesen. Das heutige Expertenwissen wurde über Regeln formalisiert. Das System
bewertet anhand der Eigenschaften ob neue Gefahren entstehen oder sich das Risiko erhöht.
Die vom System durchgeführten Überprüfungen werden automatisiert dokumentiert und
unterstützen so die Sicherheitsfachkraft beim Bewerten von neuen Kombinationen von
Produktionsmodulen. In einem weiteren Schritt wird das OPC-UA-Informationsmodell um
Methoden erweitert. So ist eine Parametrisierung vom Verbindungsaufbau oder von zu
überwachenden Funktionen möglich. Die heutigen Strukturen der funktionalen Sicherheit zu
modularisieren und zu automatisieren ist erfolgsentscheidend für die Industrie 4.0 [6].
Literaturangaben
[1] DIN e.V.: Die deutsche Normungs-Roadmap Industrie 4.0. Version 2, Berlin 2015.
https://www.dke.de/de/std/documents/nr_industrie%204.0_v2_de.pdf, abgerufen am:
19.02.2016
[2] NAMUR-Empfehlung 148; 22.10.2013. Anforderungen an die Automatisierungstechnik
durch die Modularisierung verfahrenstechnischer Anlagen
[3] Bek. v. 5. 5. 11, Geräte- und Produktsicherheitsgesetz/9. GPSGV
(Maschinenverordnung);. Interpretationspapier zum Thema "Gesamtheit von
Maschinen". Gemeinsames Ministerialblatt, Bd. 12. 2011
[4] DIN EN ISO 11161; 10.2010. Sicherheit von Maschinen Integrierte Fertigungssysteme
Grundlegende Anforderungen
[5] Kruschitz, E.: Security für Safety Systeme. Vdi-Berichte 2258 (2015) 2, S. 731737
[6] Manzei, C., Schleupner, L. u. Heinze, R. (Hrsg.): Industrie 4.0 im internationalen
Kontext. Kernkonzepte, Ergebnisse, Trends. Berlin: Beuth Verlag GmbH 2016
[7] Wirtschaft und Energie, B. f., Öffentlichkeitsarbeit u. Berlin, 1.: IT-Sicherheit für die
Industrie. Produktion, Produkte, Dienste von morgen im Zeichen globalisierter
Wertschöpfungsketten. Kurzfassung, 2016.
http://www.bmwi.de/Redaktion/DE/Downloads/I/studie-it-sicherheit-fuer-industrie-4-0-
kurzfassung.pdf?__blob=publicationFile&v=4, abgerufen am: 19.04.2017
[8] Blume, M., Koch, N., Imtiaz, J., Flatt, H., Jasperneite, J., Schleipen, M., Sauer, O. u.
Dosch, S.: An OPC-UA based approach for dynamic-configuration of security
credentials and integrating a vendor independent digital product memory. In: Jumar, U.
u. Jasperneite, J. (Hrsg.): KOMMA 2014, Kommunikation in der Automation. 5.
Jahreskolloquium Kommunikation in der Automation, 18.11.2014. Lemgo: KommA -
Kommunikation in der Automation Hochschule Ostwestfalen-Lippe 2014
[9] Moriz, N., Böttcher, B., Niggemann, O. u. Lackhove, J.: Assisted design for automation
systems From formal requirements to final designs. In: 19th IEEE [International
Conference on] Emerging Technologies and Factory Automation (ETFA), 2014. 16 - 19
Sept. 2014, Barcelona, Spain. Piscataway, NJ: IEEE 2014, S. 15
[10] Fleischer, C., Wittmann, J., Kockmann, N., Bieringer, T. u. Bramsiepe, C.:
Sicherheitstechnische Aspekte bei Planung und Bau modularer Produktionsanlagen.
Chemie Ingenieur Technik 87 (2015) 9, S. 12581269
[11] Christopher Tebbe, Josha Dittgen, Matthias Glawe, Alexander Fay, André Scholz, Karl-
heinz Niemann, Tebbe, C., Glawe, M., Scholz, A., Niemann, K.-h., Fay, A. u. Dittgen, J.:
Wissensbasierte Sicherheitsanalyse in der Automation. atp edtion
Automatisungstechnische Praxis 57 (2015) 4, S. 5666
[12] Trapp, M. u. Schneider, D.: Safety assurance of open adaptive systems - a survey. In:
Bencomo, N., France, R., Cheng, B. H. C. u. Aßmann, U. (Hrsg.): Modelsrun.time.
Foundations, applications, and roadmaps ; [Dagstuhl Seminar 11481 on
ModelsRun.Time that was held from November 27 to December 2, 2011]. State-of-the-
art survey, Bd. 8378. Cham: Springer International Publishing; Springer 2014, S. 279
318
[13] IEC 62443-1-1; 30.07.2009. Industrial communication networks - Network and system
security - Part 1-1: Terminology, concepts and models.
https://webstore.iec.ch/publication/7029

File (1)

Content uploaded by Philip Kleen
Author content
ResearchGate has not been able to resolve any citations for this publication.
Conference Paper
Full-text available
In this paper, the authors present an engineering approach for generating automation system solutions based on formalised requirements. This enables assistant systems which guide engineers during the design phase of todays more and more complex automation systems. A software prototype is used for the evaluation of this approach in practice. The main contribution is to directly use a formal requirements model as input for the automated synthesis of automation systems and to formalise the expert knowledge for this synthesis. The result are consistent, maintainable automation systems and with that shorter and reproducible development cycles.
Chapter
Open adaptive systems are the basis for a promising new generation of embedded systems with huge economic potential. In many application domains, however, the systems are safety-critical and an appropriate safety assurance approach is still missing. In recent years, models at runtime have emerged as a promising way to systematically engineer adaptive systems. This approach seems to provide the indispensable leverage for applying safety assurance techniques in adaptive systems. Therefore, this survey analyzes the state-of-the-art of models at runtime from a safety engineering point of view in order to assess the potential of this approach and to identify open gaps that have to be closed in future research to yield a safety assurance approach for open adaptive systems.
Article
Sicherheitsanalysen sind zentraler Bestandteil bei der Absicherung von automatisierungstechnischen Anlagen. Diese Analysen erfolgen vielfach manuell. Das bedeutet angesichts immer komplexerer Anlagen einen großen Aufwand. Im Beitrag werden, am Beispiel einer IT-Sicherheitsanalyse, Lösungsansätze zur Automatisierung der einzelnen Schritte aufgezeigt. Dazu dient ein wissensbasiertes System, das einen Großteil des dafür benötigten Wissens bereitstellt. Dadurch wird die Erstellung und Pflege von IT-Sicherheitskonzepten stark beschleunigt. Ferner behandeln die Autoren eine Kombination von Safety- und IT-Sicherheitsanalysen, die potenziell ein abgestimmtes Sicherheitskonzept ermöglicht.
Conference Paper
This paper presents an approach to securely integrate industrial devices into automation systems with a minimal engineering effort. A special specific focus is on the needed communication architecture that is based on the platform independent and vendor neutral technology OPC UA. The paper also describes the need of a digital product memory besides a life cycle data harvesting to facilitate such seamless integration; this is by means of presenting semantics of operations to an external system. As part of the work a case study has been identified; different architectural aspects are evaluated and essential system components are realized/implemented/integrated as a proof of concept. Principle results include the implementation of a BeagleBone Black based Secure Plug & Work I/O field device with an extended real-time industrial communication interface and a semantically enriched OPC UA server that provides vendor neutral configuration and an I/O data service interface. Furthermore, the result provides a platform independent and standardized way to represent a field device to external systems, to enable intelligent technical systems to communicate and orchestrate a seamless and secure integration.
Anforderungen an die Automatisierungstechnik durch die Modularisierung verfahrenstechnischer Anlagen
  • Namur-Empfehlung
NAMUR-Empfehlung 148; 22.10.2013. Anforderungen an die Automatisierungstechnik durch die Modularisierung verfahrenstechnischer Anlagen
GPSGV (Maschinenverordnung);. Interpretationspapier zum Thema
  • Bek
Bek. v. 5. 5. 11, Geräte-und Produktsicherheitsgesetz/9. GPSGV (Maschinenverordnung);. Interpretationspapier zum Thema "Gesamtheit von Maschinen". Gemeinsames Ministerialblatt, Bd. 12. 2011
Time that was held from
  • Modelsrun
ModelsRun.Time that was held from November 27 to December 2, 2011].
State-of-theart survey
State-of-theart survey, Bd. 8378. Cham: Springer International Publishing; Springer 2014, S. 279-318
Industrial communication networks -Network and system security -Part 1-1: Terminology, concepts and models
IEC 62443-1-1; 30.07.2009. Industrial communication networks -Network and system security -Part 1-1: Terminology, concepts and models.