Bedeutung von Safety und Security in Industrie- und Produktionsanlagen und im Arbeitsschutz

Die zunehmende Digitalisierung und Vernetzung in der Industrie bringen neben zahlreichen Chancen auch erhebliche Sicherheitsrisiken mit sich. Insbesondere kritische Infrastrukturen und industrielle Steuerungssysteme sind zunehmend Ziel von Cyberangriffen.

In der DIN EN ISO 12100, die als zentrale Norm für die Maschinensicherheit gilt, wird der Begriff Risiko wie folgt definiert:

„Kombination aus der Wahrscheinlichkeit des Eintretens eines Schadens und der Schwere des Schadens.“

Diese Definition legt zwei zentrale Dimensionen eines Risikos fest:

• Wahrscheinlichkeit: Die Wahrscheinlichkeit, mit der ein gefährliches Ereignis oder ein Schaden eintritt.
• Schwere des Schadens: Die potenziellen Konsequenzen, die aus dem Ereignis resultieren, wie Verletzungen oder Todesfälle.

Hinweis: Schäden an Eigentum und Umwelt werden von der DIN EN 12100 explizit nicht betrachtet. Bei Security-Vorfällen kann jedoch auch hier Schaden entstehen.

In der Funktionalen Sicherheit werden Sicherheitsfunktionen (Steuerungsfunktionen) zur Minderung von Risiken eingesetzt. Die Sicherheit hängt in diesem Zusammenhang also direkt von der korrekten Funktion der steuerungstechnischen Maßnahme ab.

Zur quantitativen Bewertung der Sicherheitsfunktionen wird entweder die gefahrbringende Ausfallwahrscheinlichkeit pro Stunde (PFH: Probability of Dangerous Failure per Hour) bei Sicherheitsfunktionen mit hoher Anforderungsrate oder die gefahrbringende Ausfallwahrscheinlichkeit bei Anforderung (PFD: Probability of Dangerous Failure on Demand) bei Sicherheitsfunktionen mit niedriger Anforderungsrate berechnet.

Problematisch bei der Bewertung von Risiken im Bereich Maschinen und Anlagen ist eine exakte quantitative Beschreibung der Risikoparameter Schadensausmaß, Gefährdungsexposition, Wahrscheinlichkeit für Eintritt des Gefährdungsereignisses und Möglichkeit zur Vermeidung/Begrenzung des Schadens (siehe auch Abschnitt 2 „Durchführung von Risikoanalysen“).

Diese Parameter können im besten Fall semi-quantitativ beschrieben werden, und die Risikoparameter müssen für unterschiedliche Anwendungsfälle (Maschinen, Prozessindustrie, Nuklear-Sektor usw.) jeweils neu kalibriert werden.

Ein weiteres Problem stellen mögliche Widersprüche hinsichtlich der Verfügbarkeit der Maschinen oder Anlagenfunktion und Zuverlässigkeit der Sicherheitsfunktion(en) dar. Bei ungünstiger Auslegung der Sicherheitsfunktionen kann es zu häufigen ungewollten Unterbrechungen der Maschinen- oder Anlagenfunktion kommen. Der Nachweis der Sicherheitsintegrität der Hardware lässt sich durch Anwendung geeigneten Methoden quantitativ erbringen und drückt sich letztendlich in der berechneten gefahrbringenden Ausfallwahrscheinlichkeit aus. Allerdings lassen sich Maßnahmen zur Vermeidung systematischer Entwicklungsfehler quantitativ nicht erfassen. Problematisch ist in diesem Zusammenhang auch der Nachweis der Sicherheitsintegrität der Software, da für die Software keine Ausfallwahrscheinlichkeit berechnet werden kann, denn Software kann nur systematische Fehler enthalten und nicht zufällig ausfallen. Aus diesem Grund werden deterministische Ansätze (z. B. Verwendung von Hardware-Redundanzen oder Methoden zur Erkennung von Hardware-Ausfällen) mit verschiedenen Methoden zur Vermeidung systematischer Entwicklungsfehler kombiniert. Dadurch sollen einerseits zufällige Hardware-Ausfälle beherrscht und systematische Entwicklungsfehler möglichst vermieden oder ebenfalls beherrscht werden.

Weitere Probleme können durch mögliche Widersprüche hinsichtlich der Anforderungen an die Funktionale Sicherheit und Anforderungen an die IT-Security entstehen. Die Normen der Funktionalen Sicherheit definieren keine eigenen IT-Security Anforderungen, sondern verweisen diesbezüglich auf andere Normen, wie ISO/IEC TR 19791 und die Normenreihe IEC 62443. Auf mögliche Konflikte zwischen Funktionaler Sicherheit und IT-Security gehen die Normen der Funktionalen Sicherheit nicht ein. z.B. kann die Safety eine Zeitvorgabe für eine Reaktion vorgeben, die durch Security-Maßnahmen, wie z.B. Kryptografie nicht eingehalten werden können. Weiterhin werden keine direkten Bezüge zum Thema „Physical Security“ hergestellt.

Unscharfe Risikobeiträge werden nur bei der Berechnung der Ausfallwahrscheinlichkeit bei elektronischer Hardware berücksichtigt. Dazu werden die bekannten Methoden der Statistik verwendet, d. h. Berücksichtigung von statistischen Verteilungen der Bauteil-Ausfallraten (standardmäßig Weibull-Verteilung) und Festlegung von zulässigen Konfidenzintervallen für die verwendeten Ausfallraten. Die Unsicherheiten bei der Bestimmung der Ausfallwahrscheinlichkeit sind damit mathematisch gut zu erfassen. Generell lässt sich sagen, dass bei der Berechnung der Ausfallwahrscheinlichkeiten normalerweise mit „konservativen“ Werten für die Ausfallraten gerechnet wird, so dass Unsicherheiten in der Regel keinen negativen Einfluss auf die Funktionale Sicherheit haben. Für die Bestimmung von Ausfallwerten bei der Mechanik werden auch B10d Werte bestimmt. Die Mechanik wird längere Zeit betrieben und die Anzahl der gefährlichen Ausfälle empirisch bestimmt.

https://www.maschinen-sicherheit.net/07-seiten/3620-b10d-wert.php

• Generelle Anforderungen werden beschrieben in Richtlinie 2006/42/EG Anhang I und in ISO 12100:2010
• Einige generelle Anforderungen zur Security in Richtlinie 2006/42/EG Anhang I 1.2.1. und in ISO 12100 Abschnitt 5.5.3.6 werden beschrieben
• Mutwillige Überwindung von Schutzeinrichtungen; Die Sabotage ist eine Art von „Tampering“ und eine Cyber-Attacke kann man auch als Sabotage verstehen.
• Betrachtet werden im Wesentlichen Gefahren für einzelne Personen. In Einschränkung der IEC 61508 werden Personenschäden für mehrere Personen nicht schwerer eingestuft als ein einzelner Personenschaden, da die Anzahl der beteiligten Personen in der Regel begrenzt ist (z.B. gegenüber einem Flugzeugabsturz).
• Typische Schadensarten sind z.B. Quetschen/Scheren von Körperteilen, Verbrennungen durch heiße Oberflächen, Strahlungsschäden, Kontakt mit gefährlichen Stoffen, Stromschlag. Auch spezifische ergonomische Gefahren werden betrachtet.