Neuerungen in der VDI/VDE-Richtlinie 2180

Im Februar ist die neue Richtlinie als Entwurf erschienen. Gerade in den Bereichen Prüfkonzept, Softwarespezifikation sowie IT- und OT-Security (Operative Technology) müssen sich Betreiber auf Neuerungen einstellen.

Auch Jahre nach Erscheinen der einschlägigen Standards hält sich in vielen Betrieben der Gedanke, dass für eine PLT-Sicherheitsfunktion lediglich zertifizierte Geräte nötig seien und damit die gesetzlichen oder normativen Vorgaben, zum Beispiel aus der Störfallverordnung oder aus Betriebsauflagen, erfüllt wären. Viele Unternehmen berechnen zusätzlich die Ausfallwahrscheinlichkeit, archivieren die Unterlagen und beachten sie nicht weiter. Doch das reicht nicht aus. Die geltenden Normen und Richtlinien fordern eine schlüssige und kontinuierliche Betrachtung der Sicherheitsfunktion über den gesamten Lebenszyklus – und damit deutlich mehr. Denn nur unter gesicherten Randbedingungen, die systematische Fehler ausschließen, lässt sich das Versagen der Sicherheitsfunktion durch zufällige Fehler berechnen.

Normative Grundlagen: IEC 61508 und 61511

Für die Prozessindustrie ist eine Vielzahl von Gesetzen relevant. Hinzu kommen einschlägige Normen und Regelwerke, die bei der richtigen Umsetzung der Gesetze helfen. Von besonderer Bedeutung sind die Normen IEC 61508 und 61511. Mit der IEC/DIN EN 61508 sollen Fehler in sicherheitsbezogenen Systemen vermieden oder die Wahrscheinlichkeit gefährlicher Ausfälle begrenzt werden. Diese Norm bildet eine Grundlage, damit ein Betreiber geeignete Geräte auswählen kann. Die IEC 61511 spannt darauf aufbauend ein Regelwerk auf, das beschreibt, wie die ausgewählten Geräte eingesetzt werden müssen und welche Anforderungen sich an den Lebenszyklus des Geräts ergeben. Die VDI/VDE-Richtlinie 2180 „Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT)“ konkretisiert die internationalen Normen für den deutschen Raum.

Nach der IEC 61511 müssen Unternehmen der Prozessindustrie die Sicherheitsanforderungsstufe (Sicherheits-Integritätslevel, SIL) ihrer sicherheitstechnischen Systeme bestimmen. Dabei quantifiziert der SIL die mit diesen Systemen erreichbare Risikominderung. Zur Bewertung des erreichten SIL ist es nötig, sowohl systematische als auch zufällige Fehler zu betrachten und mit geeigneten Maßnahmen zu vermeiden.

Mit dem Entwurf der neuen Richtlinie 2180 haben VDI und VDE nun einige Änderungen vorgegeben. Sie konkretisieren Aspekte der funktionalen Sicherheit, um systematische Fehler über den gesamten Lebenszyklus einer PLT-Sicherheitsfunktion auszuschließen. Sie schaffen darüber hinaus die Grundlage, um die Risikoreduktion und damit auch zufällige Fehler zu berechnen. Außerdem regelt der Entwurf die Klassifizierung von PLT-Einrichtungen neu: Aus PLT-Schutzeinrichtungen werden PLT-Sicherheitseinrichtungen (SIL), PLT-Überwachungseinrichtungen werden in die PLT-Betriebseinrichtungen integriert; die Namur-Empfehlung NE 165 wird detailliertere Anforderungen an diese Sicherheitskategorie formulieren.

Neuer Schwerpunkt Informationssicherheit

Insbesondere auf die IT-Sicherheit legen die neuen Richtlinien einen besonderen Schwerpunkt. Betreiber müssen nun sämtliche Risiken identifizieren und beschreiben, die zu Sicherheitsvorfällen in der IT führen können. Dazu zählen absichtliche Angriffe auf Hardware oder Software sowie unbeabsichtigte Ereignisse, zum Beispiel durch menschliche Fehler. „Viele Unternehmen gehen zum Beispiel davon aus, dass sie vor Cyberangriffen geschützt sind, wenn ihre SSPS nicht am Büronetzwerk angeschlossen ist. Doch das ist kein Pauschalkriterium, um diese Betrachtung ad acta zu legen“, sagt Dr. Andreas Schüller, Functional Safety Engineer bei Infraserv Knapsack.

Der Industriedienstleiser berät Unternehmen beim Thema „Funktionelle Sicherheit“. „Auch die Engineering-PCs oder die Bus-Anbindungen an das Prozessleitsystem, das für MES-Funktionen an das Büronetzwerk angeschlossen ist, können Einfallstore für Fehler und Bedrohungen darstellen.“ Solche Sicherheitsrisiken müssen Unternehmen ebenfalls betrachten. Dies gilt umso mehr für Systeme, die PLS- und SSPS-Funktionen kombinieren. Die Risiken lassen sich jedoch über die bewährten Ansätze aus der Anlagensicherheit nur bedingt abschätzen, da diese eine vorsätzliche Manipulation in der Risikobetrachtung ausschließen. Weiter können Unternehmen beispielsweise absichtliche Angriffe auf ein System und die Anfälligkeit eines Systems für solche Angriffe nur schwer bis gar nicht in Wahrscheinlichkeiten ausdrücken.

Hier wird es in Zukunft deutlich engere Abstimmungen zwischen der klassischen IT und der Prozessautomation (Operative Technology, OT) mit ihren Anforderungen und Besonderheiten geben müssen. Beide Bereiche sollten im Idealfall schon bei der Risikoklassifizierung und dann über den gesamten Betrieb der Anlage hinweg über ein geeignetes Informations-Sicherheits-Management-System (ISMS) zusammenwirken. Nur so lassen sich Risiken auch unter dem Aspekt „security for safety“ minimieren. Vor Kurzem hat die Namur zusammen mit Vertretern der Wirtschaft und dem Bundesamt für Sicherheit in der Informationstechnik zu diesem Thema das Arbeitsblatt NA 163 „IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen“ veröffentlicht. „Anhand dieses Arbeitsblatts können Betreiber die richtigen Fragen stellen, um die Kollegen im Unternehmen für dieses Thema zu sensibilisieren“, so Schüller. „Denn Digitalisierung und Industrie 4.0 bieten nicht nur mehr Diagnoseinformationen, sondern leider auch deutlich mehr Schwachstellen für Angriffe.“

Lebenszyklus der funktionalen Sicherheit. Bild: Infraserv Knapsack

Management der funktionalen Sicherheit

Schüller sieht darüber hinaus Handlungsbedarf beim Management der funktionalen Sicherheit. Es legt die notwendigen Qualifikationen und Mitarbeiter fest, definiert Prozesse und notwendige Aktivitäten wie beispielsweise Assessments, Audits und Verifikationen. Obwohl sich an den Inhalten der Regelungen zum Management der funktionalen Sicherheit voraussichtlich nichts ändern wird, sollten Unternehmen diesen Aspekt zukünftig trotzdem stärker ins Auge fassen. Denn auch der Gesetzgeber setzt seit einiger Zeit einen stärkeren Fokus auf das Thema. Das bedeutet für Anlagenbetreiber, die eigenen Berechnungen der Ausfallwahrscheinlichkeit noch einmal kritisch zu überprüfen.

„Gerade bei der Berechnung des ,Fehlers auf Anforderung‘ (PFD – Possibility of Failure on Demand) hat sich in der Vergangenheit gezeigt, dass viele Unternehmen deutlich zu optimistisch rechnen, wenn sie dazu die stark vereinfachten Formeln der VDI/VDE 2180 nutzen“, sagt Schüller. „Denn sie gelten nur unter der Voraussetzung, dass bei der Wiederholprüfung alle Fehler aufgedeckt werden, was in der Realität jedoch häufig nicht der Fall ist.“ Das führt zu deutlichen Abweichungen – und dazu, dass vermeintlich sichere Schutzeinrichtungen in der Praxis nicht sicher sind. Viele Hersteller geben mittlerweile Hinweise zu Prüfungen der Geräte in ihren Sicherheitshandbüchern, die Unternehmen berücksichtigen müssen. Dies macht die Erstellung eines Prüfkonzepts sehr komplex. „Da die Prüftiefen und Prüfintervalle in die Berechnungen einfließen, sind Festlegungen hierzu bereits in einer sehr frühen Planungsphase notwendig“, erklärt Schüller.

Neben den genannten Aspekten werden in der Branche derzeit auch flexible Prüfintervalle für PLT-Sicherheitseinrichtungen und Lebensdauerbegrenzung von Geräten stark diskutiert. Unternehmen müssen daher viele verschiedene Aspekte im Blick behalten, wenn sie die PLT-Sicherheitsfunktionen ihrer Anlage rechtssicher betreiben möchten. Denn eines steht fest: Sollte es zu einem Ereignis kommen, nehmen die Behörden die entsprechenden Punkte unter die Lupe, der Betreiber haftet bei möglichen Verstößen. Schüller: „Wir sollten uns daher an Albert Einsteins Worte halten: ,Everything should be made as simple as possible, but not simpler.‘“ _^1811ct902