Können virtuelle Steuerungen sicher sein?

Mit der konsequenten Abstraktion der Steuerungstechnik können Maschinen- und Anlagenbauer sowie Betreiber solcher Systeme ganz erhebliche Einsparungen erzielen – von der Anschaffung über Inbetriebnahme, Erweiterung, Wartung bis hin zur Außerbetriebnahme. Bei virtuellen Steuerungen auf Basis von Container- oder HypervisorTechnologien bestimmt ausschließlich die Software die Funktion. Die Hardware liefert den abstrahierten Unterbau dafür. So lassen sich moderne Steuerungsarchitekturen mit Security-by-Design und dynamischen Microservices einfach realisieren, weil die Abhängigkeit von bestimmten Geräten aufgebrochen ist. Aber wie sieht es mit funktional sicheren Anwendungen aus?

Zum Schutz des Menschen schreiben EU-Verordnungen und nationale Gesetze vor, dass Maschinen mit Gefährdungspotenzial aller Art für den gesamten Lebenszyklus abgesichert sein müssen. Dies kann durch konstruktive Maßnahmen oder sichere Steuerungstechnik erfolgen [1]. Letzteres gemäß dem Stand der Technik, wie er unter anderem in der IEC 61508 definiert ist – mit Grundbegriffen, Gestaltungsleitsätzen und allgemeinen Aspekten für den Einsatz von elektronischen Steuerungen in Maschinen und Anlagen. Diese Norm beschreibt auch die Sicherheitsanforderungsstufen „SIL“ (Safety Integrity Level) 1 bis 4, ausgehend von der Gefährdungslage, beispielsweise in der Schwere und Expositionshäufigkeit. Die Gesetzeslage verpflichtet Hersteller jeder Maschine oder Anlage mit Gefährdungspotenzial zu einer Freigabe durch ein akkreditiertes Institut – inklusive aller eingesetzten Komponenten für die Erreichung der Anforderungsstufe sowie der implementierten Steuerungsapplikation.

Die Mehrkanaligkeit von eingesetzten Steuerungen zum Schutz vor Systemfehlern ist bereits ab SIL2 zwingend vorgeschrieben. Und spätestens für SIL3, das in der Industrie in vielen Applikationen gefordert wird, muss zumindest eine Instanz, in der Regel eine Hardware, die korrekte Abarbeitung der Sicherheitsfunktion überwachen.

Für diesen Anwendungsfall haben CPU-Hersteller spezielle Prozessoren mit unterschiedlichen Architekturen entwickelt, wie Lock-Step-CPU oder „Safety-Island“ als Überwachungsschicht. Sie realisieren die Zweikanaligkeit direkt im Silizium und reduzieren damit den Hardware-Aufwand. Gleichzeitig wird jedoch leider die Abhängigkeit von bestimmten Bauelementen massiv erhöht. Gerade in der bestehenden Situation mit gestörten Lieferketten und Bauteilemangel kann solch eine Abhängigkeit zu ernsthaften Problemen führen. Zumal sich die angesprochenen Prozessoren für die erforderliche Zertifizierung nicht ohne Weiteres ersetzen lassen.

Zweikanaligkeit per Software:

Diversified Encoding Setzt man virtuelle Steuerungen ein, so entfällt aufgrund der Hardware-Abstraktion die Möglichkeit, sich zum Erreichen der Zweikanaligkeit auf weitere Hardware zu stützen. Stattdessen lässt sich mit dem sogenannten „Diversified Encoding“ eine Zweikanaligkeit erzeugen, und zwar per Software. Die Technologie basiert auf dem „Coded Processing“ (Bild 1), das seit mehr als 30 Jahren bekannt ist. Durch eine redundante Betrachtung der Steuerungsinformationen kann dieses Verfahren Fehler im Datenund Kontrollfluss von Programmen erkennen. Es teilt die Abarbeitung der Applikationssoftware in zwei logische Softwarekanäle auf, und zwar ohne besondere Anforderungen an die darunterliegende Hardware. Der erste Kanal führt die realisierte Sicherheitsapplikation im Original aus. Der zweite Kanal nutzt dieselbe Applikation, führt sie aber mit den Algorithmen des Coded Processing aus und kann so für sich bereits Fehler erkennen. Beide Kanäle laufen in einem Prozesequenziell hintereinander auf einem CPU-Kern. Sie werden permanent verglichen, wie das auch bei den Hardwarelösungen zur funktionalen Sicherheit geschieht. Dadurch werden aufgetretene Fehler deutlich häufiger erkannt. Durch Diversified Encoding werden auf dieselbe Weise die sicheren Eingaben an beide Kanäle verteilt und umgekehrt die Ausgaben beider Kanäle zu sicheren Ausgaben zusammengeführt. Eingeschlossen sind Datenströme, die durch sichere Netzwerkbeziehungsweise Feldbusprotokolle erzeugt wurden. Ein weiteres Sicherheitskriterium ist eine zur Laufzeit der Sicherheitsapplikation durchgeführte zusätzliche feingranulare Überwachung des Kontrollflusses im codierten Kanal. Das derart gestaltete Sicherheitskonzept der Firma Silistra Systems wurde vom TÜV Süd abgenommen, erste Produktzertifizierungen bis hin zu SIL3 sind erfolgt (Bild 1). Bei Betrachtung des Verfahrens stellen sich mehrere Fragen.