TIA E/A-Adressen vor Fremden Zugriffen schützen

FlpHD

FlpHD

Level-2
Beiträge
8
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallöchen.

Ich bin aktuell dabei das Fail Safe Programm einer S7-1214FC DC/DC/DC zu programmieren. Dabei frage ich den Druck eines I/O-Link Sensors, der an einen Master von ifm angeschlossen ist ab und schalte auf Grundlage dieses Wertes die Schutztüre frei. Nun möchte ich aber die Eingangsadresse des Sensors gegen umverdrahtung durch Unbefugte sichern. Dabei habe ich bereits herausgefunden das die Deklarierten Variablen die im Fail Safe Programm verwendet werden nicht ohne das Passwort verändert werden können. Wisst ihr nun aber einen Weg wie ich auch den Adressbereich des Sensor am I/O-Linkmaster gegen umverdrahten sichern kann ohne das ganze Projekt mit einem Passwort zu schützen?

Ich freue mich auf eure Ideen.

Verwendetest Material:
- Siemens S7-1214FC DC/DC/DC 6ES7 214-1AF40-0XB0
- ifm AL1402
- ifm PI1706
 
Hallo,
aus meiner Sicht ist weder das IO-Link-Modul noch der Sensor Fehlersicher - es wäre also interessant zu wissen, wie deine Risiko-Beurteilung für deine Maschine / Baugruppe aussieht und auf welchen PL du da kommst. Das wäre erstmal mein Ansatz !!!
Das von dir angedachte Material ist für eine Schutzanwendung erstmal ungeeignet !!!

Unabhängig davon gibt es nicht viel, wie du dich vor Manipulationen schützen kannst - aber du kannst natürlich immer den Jetzt-Stand gegen deinen Stand vergleichen. Was befürchtest du ? Es kann auch jemand deinen Schutzzaun, egal wie hoch er ist, überklettern ...
 
Mir ist bewusst das die Kommunikation und der Sensor nicht Fehlersicher ist. Zwar kann der I/O-Linkmaster ProfiSafe, allerdings funktioniert das nur mit einem ProfiSafe I/O-Linkmodul. Wie die Gefährdungsbeurteilung aussieht weiß ich ehrlich gesagt nicht, allerdings frage ich am Montag mal den zuständigen Kollegen.

Ich kann zumindest das Fehlersichere Programm und die damit verbundenen Variablen Passwortschützen. Das würde mir auch in erster Linie dazu reichen das keiner ohne mein Wissen Änderungen am Sicherheitsprogramm vornimmt. Allerdings werden nur die Variablen durch das Passwort geschützt und nicht die Adressbereiche des Moduls (Ausnahme es ist eine Fehler Sichere Baugruppe).

Da ich die Anlage programmiere möchte ich mich einfach nur davor Schützen das jemand anderes am Programm rumfuschen kann und ich nachher der gelackmeierte bin falls etwas passiert.
 
FlpHD schrieb:
Da ich die Anlage programmiere möchte ich mich einfach nur davor Schützen das jemand anderes am Programm rumfuschen kann und ich nachher der gelackmeierte bin falls etwas passiert.
Zum Vergrößern anklicken....
Der "Gelackmeierte" bist du schon dann wenn du deine Sicherheit von einem dafür nicht geeigneten Bauteil abhängig machst ...
Wie schon geschrieben : ich bin auf eure Einschätzung doch sehr gespannt - aber nur für dein Verständnis : ein Bauteil wird nicht sicher dadurch, dass du es in einem fehlersicheren Programm verwendest. Es ist im Grunde nicht besser als irgendein Merker oder sonst irgendwas ...
Denk mal drüber nach ...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
FlpHD schrieb:
Da ich die Anlage programmiere möchte ich mich einfach nur davor Schützen das jemand anderes am Programm rumfuschen kann und ich nachher der gelackmeierte bin falls etwas passiert.
Zum Vergrößern anklicken....
Moin,

Du must ja alles protokollieren und Änderungen im Safety Programm haben ja auch immer Änderungen in der Checksumme zur Folge. Somit kannst Du immer beweisen, dass manipuliert wurde.
 
Larry Laffer schrieb:
Der "Gelackmeierte" bist du schon dann wenn du deine Sicherheit von einem dafür nicht geeigneten Bauteil abhängig machst ...
Wie schon geschrieben : ich bin auf eure Einschätzung doch sehr gespannt - aber nur für dein Verständnis : ein Bauteil wird nicht sicher dadurch, dass du es in einem fehlersicheren Programm verwendest. Es ist im Grunde nicht besser als irgendein Merker oder sonst irgendwas ...
Denk mal drüber nach ...
Zum Vergrößern anklicken....
Wie ich schon geschrieben habe weiß ich das der Sensor nicht Fehler Sicher ist und ich weiß das er durch die Verwendung im Fehler Sicheren Bereich nicht Fehler sicher wird.

Jedoch ist es so das die SPS die Schutztüre (Ruhestromprinzip) entriegeln kann und das nur machen soll wenn der Sensor kommuniziert und der Messwert okay ist. Ist das nicht der Fall kann die Türe automatisch nicht geöffnet werden. Nun möchte ich einfach nur verhindern das z.B. der Adressbereich dieses Sensors bewusst verschoben werden kann um falsche Werte vorzutäuschen.
 
Zuletzt bearbeitet:
kiar schrieb:
Moin,

Du must ja alles protokollieren und Änderungen im Safety Programm haben ja auch immer Änderungen in der Checksumme zur Folge. Somit kannst Du immer beweisen, dass manipuliert wurde.
Zum Vergrößern anklicken....
Das habe ich auch schon gesehen. Aber ändert sich die Checksumme auch wenn außerhalb des Sicherheitsprogramm Änderungen vorgenommen werden? Damit wäre ich dann auch komplett zu frieden, wenn ich dadurch aktiv beweisen könnte das durch unbefugte der Adressbereich verschoben wurde.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
FlpHD schrieb:
Wie ich schon geschrieben habe weiß ich das der Sensor nicht Fehler Sicher ist und ich weiß das er durch die Verwendung im Fehler Sicheren Bereich Fehler sicher wird.
Zum Vergrößern anklicken....
Wie soll das denn bitte schön funktionieren ?
Vielleicht solltest du dich doch "ein ganz bißchen" mal mit dem Thema auseinandersetzen ... es gibt dazu auch Schulungen ...
FlpHD schrieb:
Jedoch ist es so das die SPS die Schutztüre (Ruhestromprinzip) entriegeln kann und das nur machen soll wenn der Sensor kommuniziert und der Messwert okay ist. Ist das nicht der Fall kann die Türe automatisch nicht geöffnet werden. Nun möchte ich einfach nur verhindern das z.B. der Adressbereich dieses Sensors bewusst verschoben werden kann um falsche Werte vorzutäuschen.
Zum Vergrößern anklicken....
Wenn dein NICHT-sicherer Sensor ein falsches Signal gibt dann wird deine Tür dann auch entriegelt ... nur mal so ...
Nachsatz : der täuscht dann selber ggf. falsche Werte vor !!!
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Larry Laffer schrieb:
Wie soll das denn bitte schön funktionieren ?
Vielleicht solltest du dich doch "ein ganz bißchen" mal mit dem Thema auseinandersetzen ... es gibt dazu auch Schulungen ...
Zum Vergrößern anklicken....
Da hat ein nicht gefehlt, das ich beim tippen vergessen habe. Es würde mich allerdings freuen wenn du mich deshalb nicht gleich so anfährst. Zumindest kommt das bei mir so an und ich würde mich freuen wenn wir beide freundlich bleiben können.
Larry Laffer schrieb:
Wenn dein NICHT-sicherer Sensor ein falsches Signal gibt dann wird deine Tür dann auch entriegelt ... nur mal so ...
Zum Vergrößern anklicken....
Das mag irgendwo bestimmt stimmen. Allerdings ist es auch so, dass der Master mir ein Signal in Form des PQI gibt ob der Messwert Gültig ist. Und sobald der Messwert ungültig oder die Kommunikation unterbrochen ist, wird der Sicherheitsausgang abgeschaltet, wodurch die Türe automatisch verriegelt und die SPS parallel einen sicheren Zustand herstellt, indem der Druck abgelassen wird. Ich weiß somit das das ganze Sicherheitskonzept von einem normalen Sensor abhängt und das werde ich auch noch mit meinem Chef + Kollegen besprechen. Allerdings möchte ich auch einfach nicht weiter auf diesem Thema rumhacken, da das einfach komplett an meiner Frage vorbei geht.
 
FlpHD schrieb:
Allerdings möchte ich auch einfach nicht weiter auf diesem Thema rumhacken, da das einfach komplett an meiner Frage vorbei geht.
Zum Vergrößern anklicken....
Das geht nicht an der Frage vorbei sondern ist der Kern des ganzen.

Grundsätzlich MUSS Deine Arbeitsgrundlage ja eine Liste sein, in der steht, welche Sensoren welche Aktoren in welchem PLr freigeben sollen.

Das ganze ist so oder so nicht sicher. Egal ob mit oder ohne Passwort. Und wenn etwas passiert, bist Du mit im Boot. Auch und gerade wenn die Software nicht manipuliert wurde.

Wenn Du etwas nicht sicher baust, wird es nicht besser, wenn Du es vor Manipulation schützt.
 
Zuletzt bearbeitet:
FlpHD schrieb:
Das habe ich auch schon gesehen. Aber ändert sich die Checksumme auch wenn außerhalb des Sicherheitsprogramm Änderungen vorgenommen werden? Damit wäre ich dann auch komplett zu frieden, wenn ich dadurch aktiv beweisen könnte das durch unbefugte der Adressbereich verschoben wurde.
Zum Vergrößern anklicken....
Nein, die F-Checksumme ändert sich nur bei Änderungen des Sicherheitsprogrammes. Wenn das Standardprogramm vor Änderung geschützt werden soll, musst Du das Standardprogramm bzw. CPU mit Passwort schützen und u.U. das Gesamt-Projekt mit Zeitstempeln etc. dokumentieren.
Aber, Du musst niemandem beweisen, ob das Programm verändert wurde. Das machen andere anhand der Doku. Im Ernstfall musst Du aber beweisen, dass DEIN originales Programm sicher war!
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
Nein, die Checksumme ändert sich nur bei Änderungen des Sicherheitsprogrammes.
Aber, Du musst niemandem beweisen, ob das Programm verändert wurde. Das machen andere anhand der Doku. Im Ernstfall musst Du aber beweisen, dass DEIN originales Programm sicher war!
Zum Vergrößern anklicken....
Danke für die Antwort. Die Hilft mir am meisten weiter, besonders um die Nachricht davor zu verstehen.
 
FlpHD schrieb:
Danke für die Antwort. Die Hilft mir am meisten weiter, besonders um die Nachricht davor zu verstehen.
Zum Vergrößern anklicken....
Grundsätzlich sagt man, nur "hinreichend qualifizierte Personen" dürfen Arbeiten zum Satetythema ausführen. Dazu gehört auch die Software. Im Ernstfall wird jemand Dich und Deinen Chef fragen, wie Ihr drauf kommt, dass Du qualifiziert für die Tätigkeiten warst.
Weiterhin sollte aber auch schon im Vorfeld in den Protokollen festgehalten werden, wer wann welche Arbeiten auf welcher Grundlage gemacht hat, und welche Qualifikation gefordert und vorhanden waren.
Am einfachsten ists halt, nen Schulungszertifikat aus der Tasche zu ziehn.
 
@ducati : Danke für deine Kommentare hier - vor Allem, weil der OP sich von mir, warum auch immer, angegriffen gefühlt hat. So etwas ist mir auch noch nicht passiert ...
@FlpHD : Safety ist KEINE Spielerei ... da sollte man schon wissen was man tut (und wie). So ... und wenn du dich von mir angegriffen gefühlt hast dann überleg vielleicht einmal warum ...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Larry Laffer schrieb:
vor Allem, weil der OP sich von mir, warum auch immer, angegriffen gefühlt hat. So etwas ist mir auch noch nicht passiert ...
Zum Vergrößern anklicken....
Ich würde dir gerne erklären warum ich mich von deinen Aussagen angegriffen fühle.

Wenn ich aus dem Vortrag von David Kriesel zum Thema Xerox-Scankopierer zitieren darf.
Professionell und souverän sein von Anfang an.
  • Niemals kreischen,
  • niemals haten,
  • niemals aufbauschen.
Zum Vergrößern anklicken....
Und das hat ducati aus meinen Augen durchweg gemacht. Er ist immer nur Fachlich geblieben und hat konstruktive Kritik geäußert und viele Tipps mit auf den Weg gegeben, die ich bei meinem Chef ansprechen werde.

Dabei habe ich mich bei deinen Aussagen eher angegriffen Gefühlt, indem mir aus meiner Sicht meiner Fragen ausgewichen wurde und nach der Transaktionsanalyse mit mir aus dem Eltern-Ich zum Kinder-Ich gehatet wurde.
Larry Laffer schrieb:
Denk mal drüber nach ...
Zum Vergrößern anklicken....
Larry Laffer schrieb:
So ... und wenn du dich von mir angegriffen gefühlt hast dann überleg vielleicht einmal warum ...
Zum Vergrößern anklicken....

Des weiteren wird gekreischt und teilweise keine Verbesserungsvorschläge gegeben.
Larry Laffer schrieb:
Der "Gelackmeierte" bist du schon dann wenn du deine Sicherheit von einem dafür nicht geeigneten Bauteil abhängig machst ...
Zum Vergrößern anklicken....

Als gegen Beispiel hat ducati mit dieser Aussage meine Frage indirekt gelöst und mich dafür nicht weiter angegriffen sondern konstruktiv kritisiert und Tipps gegeben.
ducati schrieb:
Aber, Du musst niemandem beweisen, ob das Programm verändert wurde. Das machen andere anhand der Doku. Im Ernstfall musst Du aber beweisen, dass DEIN originales Programm sicher war!
Zum Vergrößern anklicken....
ducati schrieb:
Grundsätzlich sagt man, nur "hinreichend qualifizierte Personen" dürfen Arbeiten zum Satetythema ausführen. Dazu gehört auch die Software. Im Ernstfall wird jemand Dich und Deinen Chef fragen, wie Ihr drauf kommt, dass Du qualifiziert für die Tätigkeiten warst.
Weiterhin sollte aber auch schon im Vorfeld in den Protokollen festgehalten werden, wer wann welche Arbeiten auf welcher Grundlage gemacht hat, und welche Qualifikation gefordert und vorhanden waren.
Am einfachsten ists halt, nen Schulungszertifikat aus der Tasche zu ziehn.
Zum Vergrößern anklicken....

Am Ende bleibt nur, das auch ich nicht perfekt reagiert habe und vielleicht etwas über reagiert habe, da es mein erster Kontakt in diesem Forum war. Ich hoffe nun das du das nicht zu negativ aufnimmst, allerdings so habe ich deine Aussagen wahrgenommen. Und wenn du möchtest darfst du mich auch gerne weichgespült nennen.

Ich hoffe damit nun dieses Kapitel abgeschlossen zu haben, da meine Frage aus meiner Sicht beantwortet wurde und melde mich gerne bei Interesse am Montag nochmal mit den Info meines Kollegen zur Gefahrenbeurteilung.
 
Muss man sich im konkreten Fall ansehen. Es ist definitiv nicht richtig, dass nichtsichere Sensorik grundsätzlich nicht in Frage kommt.
Bestes Beispiel hierfür ist die Antriebstechnik, wo man in der Vergangenheit und gerade im Bereich der Mittelspannung auch heute noch vor dem Problem steht, dass ein TTL/HTL-Geber grundsätzlich nicht sicher sein kann, im Gegensatz zu sin/cos.
Dem begegnet man durch einen zweiten Geber, welcher über ein Schaltgerät, z.B. 3TK28 und/oder per Software ausgewertet und verglichen werden. Auch hier gilt weder:
Niemand wird gezwungen den Standard zu nehmen, solange man die Sicherheit gewährleistet. Das ist wie mit einer Norm. Ich muss der Empfehlung nicht folgen, wenn ich auf einem anderen Weg dafür sorge, die Forderung der Norm zu erfüllen.

Aber zurück zu den Gebern:
Die Wahrscheinlichkeit eines Fehlers wird dadurch so gering, dass man damit SIL2 bzw. PLd erreichen kann.

In diesem Fall wäre erstmal zu prüfen, warum der Druck relevant für die Sicherheit ist. Pneumatik?
Dann vllt die Druckkluft abschalten, bevor man die Tür freigibt?

Denn... Selbst wenn man einen sicheren Druckschalter verbaut, was kein Thema ist.
Solange die Ansteuerung bzw. Regelung des Drucks nichtsicher angesteuert wird, hilft einem das gar nix.
In jedem Fall brauchst die Möglichkeit den Druck im Fehlerfall sicher abzuschalten. Und das muss schnell genug passieren, um die Hand, den Arm oder den Mensch noch wiederherstellbar aus der Anlage raus zubekommen.

Wenn der Kollege in einem Sack rausgetragen wird, lacht keiner mehr und dann werden auch sehr zeitnah sehr unangenehme Fragen gestellt.
 
FlpHD schrieb:
Dabei habe ich mich bei deinen Aussagen eher angegriffen Gefühlt, indem mir aus meiner Sicht meiner Fragen ausgewichen wurde und nach der Transaktionsanalyse mit mir aus dem Eltern-Ich zum Kinder-Ich gehatet wurde.


Des weiteren wird gekreischt und teilweise keine Verbesserungsvorschläge gegeben.
Zum Vergrößern anklicken....
Tja mein Lieber ... um Vorschläge machen zu können muss man erst einmal wissen was du da genau vorhast - dazu hast du dich vorsichtshalber gar nicht geäußert. Auch meiner Frage nach einer Risikoanalyse bist du mindestens nicht gefolgt.

Aber um deine Frage zu beantworten : ich nehme dir nichts übel - warum auch ? Du kannst machen was du willst und am Ende auch den Kopf dafür hinhalten - das war mir wichtig es dir zu verdeutlichen. Das du da Bauteile einsetzt, die für eine SICHERE Anwendung nicht geeignet sind habe ich dir ja mitgeteilt.

Aber ... das mit David Kriesel und dem Psycho-Quatsch und dem Gekreische (wann habe ich geschreischt ?) mit dem du da gekommen bist war schon harter Tobak. Ich frage mich also allen Ernstes was du jetzt eigentlich wissen wolltest wenn du dir doch so sicher warst, dass du alles richtig machst ...?
 
Zuletzt bearbeitet:
Zurück
Oben