Umsetzung Nutzer-Authentifizierung hinsichtlich sicherer Betriebsartenwahl

roboticBeet

Well-known member
Beiträge
228
Punkte Reaktionen
69
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,
wir wollen die Anwahl von Betriebsarten und Nutzer-Authentifizierung an unseren Anlagen ändern. Bislang authentifizieren sich Bediener u. a. für die Betriebsartenwahl mittels Benutzername/Passwort am HMI. Falls an der Anlage die Service-Betriebsart für Achseinstellungen (MotionSafety mittels SLS) nötig ist, gibt es zusätzlich einen physischen Schlüsselschalter. Schlüssel haben nur entsprechende Leute.
Die eigentliche Betriebsartanwahl erfolgt im Sicherheitsprogramm der Safety-SPS mittels 1oon-Auswertung. Sicherheitsrelevant ist nur die Service-Betriebsart, weil hier die Schutztüren geöffnet sein können und die Achsen mit SLS und Zustimmtaster verfahren werden können. Bei der Absicherung der anderen Betriebsarten geht es nur um die Sicherung von Einstellwerten, Rezepten oder um die Bedienmöglichkeiten einfach zu halten. Diese Formen der Authentifizierung wollen wir künftig ändern.

Am liebsten würden wir einfach einen RFID-Reader im Bedienpanel zur Authentifizierung nutzen. Die Mitarbeiter haben ohnehin schon Mifare-Karten für andere Zwecke bei sich. Die Betriebsart soll dann auf dem Touchpanel abhängig der individuellen Berechtigung ausgewählt werden. In der Safety-SPS würde dann wieder die 1oon Überprüfung erfolgen. Aber ist diese Form der Authentifizierung und Betriebsartenvorwahl überhaupt hinreichend sicher? Bislang ist imho in den Risiko- und Gefährdungsbeurteilungen die Nutzer-Authentifizierung und Auswahl der Betriebsart überhaupt nicht berücksichtigt. In der Service-Betriebsart müssen wir gemäß Risiko- und Gefährdungsbeurteilungen nur PL d für die Sicherheitsfunktionen um SLS und Zustimmtaster einhalten. Das passt auch als solches.

Nun gibt es ja auch Systeme von Pilz und Euchner, die genau das machen. Aber irgendwie verstehe ich die Idee dahinter bzw. die Umsetzung nicht ganz. Bspw. wird bei dem Euchner EKS ja nur sicher geprüft, ob (irgendein) gültiger Schlüssel steckt und weitere Authentifizierungs-Informationen kommen unsicher über IO-Link. Die eigentliche Anwahl der Betriebsart ist auch gar nicht näher berücksichtigt.

Wie setzt ihr eure Nutzer-Authentifizierung und Betriebsartenwahl um, wenn dabei auch eine Umschaltung von Sicherheitsfunktionen beteiligt ist?
 

Plan_B

Well-known member
Beiträge
1.147
Punkte Reaktionen
347
Bei Pilz Pitmode (erste gen.) konnte man über ein serielles Protokoll mittels DI/DO die Seriennummer auslesen. Der Schlüsseltyp gab die Betriebsart am sicheren Ausgang frei.
Zusätzlich konnte der Schlüsseltyp über die Seriennummer verifiziert werden.
Eigentlich ganz chick zur Authentifizierung.
Die Sicherheitsfunktion habe ich immer nur freigegeben, wenn der Schlüsseltyp (safe DO) + die Seriennummer passte. So konnte ich Berechtigungen auf bestimmte Maschinen begrenzen.
Das ser. Prot. enthielt imo ne Prüfsumme. Also nicht ganz unsicher.

Ist schon länger her, dass ich mich damit befasst hatte. Unter TC2 musste ich das ser. Protokoll ausprogrammieren mangels Lib. War aber kein Ding.
 
Zuletzt bearbeitet:

SPSAlex83

Well-known member
Beiträge
63
Punkte Reaktionen
11
Zuviel Werbung?
-> Hier kostenlos registrieren
Moin zusammen,

bei Betriebsartenwahl zeigt sich perfekt der Unterschied zwischen Theorie und Praxis. Der Hersteller (sofern er Ahnung hat) macht alles was möglich ist, um die Betriebsartenwahl so sicher wie möglich zu machen und dann.... Ich persönlich habe noch nie erlebt, dass zB. ein Schlüsselschalter bei einem entsprechend Berechtigten verbleibt sondern zu 100% immer im Schloss steckte. Außerdem habe ich oft erlebt, dass die Admin Passwörter mit Zugriff auf Parameter und Betriebsarten einfach mit Edding auf der Anlage standen. Der Aufwand mit Schlüssel, teuren Modulen oder Programmierung im Safe war somit für n A... Ok, lange Rege gar kein Sinn...

Laut Norm sollen ja was das Thema Sicherheit angeht zunächst mal alle Betriebsarten betrachtet werden aus Sicht der Risikobeurteilung.
Dann ist sicherlich wichtig, dass die Betriebsarten entsprechend gegeneinander verriegelt und manipulationssicher sind. Hier gibt es natürlich wieder viele Wege nach Rom und somit keine eindeutige Lösung. Ich habe bisher noch keine explizit vorgeschriebene Mindestlösung in irgendeiner Norm gefunden.
Die Idee mit den RFID Keys ist gut. Ein Schlüsselschalter müsste bei Mehrfach Autorisierung zB. aufwändig kopiert und/oder sicher verschlossen werden. Mit den RFID Karten können Berechtigungen beliebig verteilt und genommen werden. Jeder MA hat seine Karte am Mann und ein untereinander tauschen ist eher unwahrscheinlich. Zudem könnte man Vorgänge wie Login und Ändern von Parametern loggen, sodass diese rückverfolgbar sind. (Sofern das im heutigen Datenschutzzeitalter überhaupt zulässig ist)

Aber ist diese Form der Authentifizierung und Betriebsartenvorwahl überhaupt hinreichend sicher?
Ich persönlich würde dem Thema Autorisierung nicht zuuu viel Priorität geben. Meiner Meinung nach wichtig ist eine sichere Anlagen in allen Betriebsarten und allen Lebenszyklen und dass die Betriebsarten nicht mit allzu einfachen Mitteln manipuliert werden können.
Schlussendlich hilft aber alle Sicherheit nicht, wenn am Ende ein Schlüssel oder eine Karte einfach rumgereicht werden oder ein Passwort auf die Anlage geschrieben wird. Man kann das Thema auf die Spitze treiben und Fingerabdruck Scanner verwenden oder Augenscan (a la Mission Impossible...gibt es solche Geräte eigentlich in der Industrie für solche Zwecke?)
Bei der Handhabung und Zugriffsmöglichkeit ist in meinen Augen der Betreiber gefragt. Er sollte regelmäßig schauen, dass Passwörter erneuert werden und nicht irgendwo allgemein zugänglich gemacht werden, regelmäßig die Autoritäten kontrollieren und ggf. neu zuordnen. Prüfen, ob irgendwo Schlüsselschalter stecken. Schulung einzelner MA auf die Betriebsarten und Sensibilisierung für die Gefahren in Betriebsarten etc.


VG Alex
 

Wincctia

Well-known member
Beiträge
794
Punkte Reaktionen
173
Hallo,

bei Euchner gibt es für den EKS ein Bespiel wie die BA Wahl mit Weg Zeit Diagramm beschriebe, grundsätzlich geht es hier auch so Späße wie hemming Distanz zeitliche Abläufe F-DI kommt in gewisser Zeit kommt die Seriennummer und anders rum. Grundsätzlich alles nicht Trivial.

Gruß Tia
 
OP
R

roboticBeet

Well-known member
Beiträge
228
Punkte Reaktionen
69
Danke schonmal für eure Rückmeldungen. Ich entnehme dem, dass das Thema wirklich alles andere als trivial ist - daher auch aktuell die Diskussionen (und Unsicherheiten) hinsichtlich der künftigen Umsetzung. Aber ich meine auch zwischen den Zeilen gelesen zu haben, dass der eigentlichen Authentifizierung nicht zu viel Wert beigemessen werden sollte, sofern sie eine "richtige Authentifizierung" ist und nicht mit einem allseits bekannten Passwort etc. erfolgt. Wichtig ist, dass - wie bereits umgesetzt - die eigentlichen jeweils zutreffenden Sicherheitsfunktionen sauber umgesetzt, getestet und dokumentiert sind.
 

s_kraut

Well-known member
Beiträge
944
Punkte Reaktionen
333
Zuviel Werbung?
-> Hier kostenlos registrieren
Im Endeffekt steht oder fällt dieses Konzept je nach dem wie gut der Betreiber es umsetzt.

Da treten nun nicht die rechnerischen Werte über die Güte des Schlüsselschalters in den Vordergrund, sondern das gelebte FSM des Betreibers.

Was habt ihr denn in die BA reingeschrieben?
 
OP
R

roboticBeet

Well-known member
Beiträge
228
Punkte Reaktionen
69
In der BA und den Arbeitsanweisungen ist geregelt, dass der Schlüssel nur Mitarbeitern zugänglich gemacht werden darf, die eine entsprechende Erstunterweisung in die Nutzung und Gefahren der Betriebsart sowie eine regelmäßige Wiederholungsunterweisung erhalten.
Dies würde sich natürlich mit RFID deutlich vereinfachen und zentral für mehrere Anlagen gepflegt werden können.
 

stevenn

Well-known member
Beiträge
1.299
Punkte Reaktionen
180
Wenn du einen physischen Schalter hast und nur dieser die gefährliche Betriebsart erlaubt, dann hast du hierfür ja einen Performance Level hinterlegt.
Ob nun die "normale Anmeldung" per RFID oder per Passwort passiert, ist für mich kein Unterschied.

Die Gefährliche Betriebsart Servicebetrieb hast du ja mit einem Betriebsartenwahlschalter abgesichert.
 

Profilator

Well-known member
Beiträge
112
Punkte Reaktionen
13
Also ich kann die Erfahrung von SPSAlex83 nur zu 100% bestätigen. Der Schlüssel steckt immer im Schloss. Kennwörter werden gerne neben den Bildschirm geschrieben. Es gibt auch die Variante mit Edding auf den Bildschirm :mad:. Und unsere Anlagen stehen bei großen Firmen, nicht bei irgendwelchen Würstchenbuden (wobei ich nichts gegen Würstchenbuden habe . . )
Da gibt es bei den Betreibern noch viel Nachholbedarf.
Andererseits muss auch die Realität betrachtet werden. Die Bediener sind oftmals für mehrere Anlagen unteschiedlicher Hersteller zuständig, und das mit 3 Schichten. Da kommt es durchaus vor, das der Bediener nach Wochen wieder das erstemal "tiefer" in die Anlage eingreifen muss, als nur START und STOP zu drücken. Und dann kommt natürlich das "ääh wie war das hier nochmal". Da versucht man natürlich sich irgendwie selbst zu helfen.
RFID-Chips machen eigentlich nur Sinn, wenn das beim Betreiber Anlagenübergreifend so gelebt wird. Ansonsten ist die Wahrscheinlichkeit groß, das der Chip rumgereicht wird - oder an der Anlage hängt. Übrigens wichtig zu wissen in dem Zusammenhang: das EKS-System vom Hersteller E
erkennt nur sicher das ein Chip gesteckt ist. Welcher (also mit welcher Berechtigungsstufe) wird lediglich nicht sicher ausgegeben.

U.u. ist also hier weniger mehr. In BA1 sind die Türen zu - und fertig. Für BA2 ein Schlüsselchalter, und Hinwei in der BA "nur für besonders geschulte MA" Die weitere Verantwortung würde ich beim Betreiber belassen.
 

s_kraut

Well-known member
Beiträge
944
Punkte Reaktionen
333
Zuviel Werbung?
-> Hier kostenlos registrieren
Also ich kann die Erfahrung von SPSAlex83 nur zu 100% bestätigen. Der Schlüssel steckt immer im Schloss. Kennwörter werden gerne neben den Bildschirm geschrieben. Es gibt auch die Variante mit Edding auf den Bildschirm :mad:. Und unsere Anlagen stehen bei großen Firmen, nicht bei irgendwelchen Würstchenbuden (wobei ich nichts gegen Würstchenbuden habe . . )
Da gibt es bei den Betreibern noch viel Nachholbedarf.
Andererseits muss auch die Realität betrachtet werden. Die Bediener sind oftmals für mehrere Anlagen unteschiedlicher Hersteller zuständig, und das mit 3 Schichten. Da kommt es durchaus vor, das der Bediener nach Wochen wieder das erstemal "tiefer" in die Anlage eingreifen muss, als nur START und STOP zu drücken. Und dann kommt natürlich das "ääh wie war das hier nochmal". Da versucht man natürlich sich irgendwie selbst zu helfen.
RFID-Chips machen eigentlich nur Sinn, wenn das beim Betreiber Anlagenübergreifend so gelebt wird. Ansonsten ist die Wahrscheinlichkeit groß, das der Chip rumgereicht wird - oder an der Anlage hängt. Übrigens wichtig zu wissen in dem Zusammenhang: das EKS-System vom Hersteller E
erkennt nur sicher das ein Chip gesteckt ist. Welcher (also mit welcher Berechtigungsstufe) wird lediglich nicht sicher ausgegeben.

U.u. ist also hier weniger mehr. In BA1 sind die Türen zu - und fertig. Für BA2 ein Schlüsselchalter, und Hinwei in der BA "nur für besonders geschulte MA" Die weitere Verantwortung würde ich beim Betreiber belassen.
Kann ich bestätigen, hatte neulich einen Monteurbericht aus ein Wartungsvertrag in der Hand und an der ganzen Anlage waren die Sicherheits-Endschalter und -Zuhaltungen demontiert. Braucht der Kunde nicht, löst er organisatorisch.

Wie Bibi Blocksberg: ich mach mir die Welt, so wie sie mir gefällt.

Was willst du da tun. Der Monteur kann ja nicht einfach die Anlage außer Betrieb setzen. Das können die wenigsten.

Klar steht es explizit auf der Mängelliste - und er schreibt es auch auf sein Stundenbogen, den der Kunde gegenzeichnet.
Letztlich haftet der Betreiber dafür was er seinem Personal für Arbeitsmittel zu Verfügung stellt.

Wir können es so gut wie möglich machen und auch so gut wie möglich dokumentieren.
Wenn es danach vergammelt oder manipuliert wird: Schriftlich anmerken und wichtiger mit den Leuten reden.

Letzter Punkt: ob es ein Passwort ist (das man mit Edding nebens Panel schmiert), oder ein Schlüssel (der eh drin steckt) oder ein RFID-Chip. Es gibt wohl Dinge die man technisch nicht lösen kann. Da braucht es auf der Betreiberseite eine gelebte Sicherheitskultur.
 

Plan_B

Well-known member
Beiträge
1.147
Punkte Reaktionen
347
Schlüssel (der eh drin steckt) oder ein RFID-Chip.
Der Chip hat da schon Vorteile.
WEnn man Chips zur Auslösung zum Beispiel für Servicefunktiinen nur personengebunden (Seriennummer) herausgibt und darauf auch in den Arbeitsschutzbelehrungen hinweist, dass theoretisch nur ein eingeschränkter Kreis Mitarbeiter dann Anprechpartner der StAnw ist, reduziert sich die Weitergabe der Chips nmE. deutlich.
Hat man dann noch ein sichtbares Logging der Seriennummer, wirds noch besser.
 

Elektriko

Well-known member
Beiträge
475
Punkte Reaktionen
46
Ich schreibe hier weiter, weil ich denke, dass mit dem Thema zu Tun hat.

Laut 60204-1 darf die Betriebsartenwahl allein keinen Maschinenbetrieb auslösen, also ist keine Sicherheutsfunktion, deswegen muss den Schalter z.B. in der Sistema Berechnung nicht betrachtet werden.

Einrichtbetrieb: Schlüsselshalter + Zustimmtaster: betrachtet ihr beide, oder nur den Zustimmtaster? (eigentlich den Schlüsselschalter wäre es nur ein "Schalter")

Viele Grüße!
 

stevenn

Well-known member
Beiträge
1.299
Punkte Reaktionen
180
Zuviel Werbung?
-> Hier kostenlos registrieren
Laut 60204-1 darf die Betriebsartenwahl allein keinen Maschinenbetrieb auslösen, also ist keine Sicherheutsfunktion, deswegen muss den Schalter z.B. in der Sistema Berechnung nicht betrachtet werden.
dieser Schlussfolgerung kann ich nicht folgen. Natürlich kann die Betriebsartenauswahl eine Sicherheitsfunktion sein!
z.B. in der Betriebsart Service, sind die Antriebe immer in STO! (Betriebsartenwahlschalter - Logik - STO).
Einrichtbetrieb: Schlüsselshalter + Zustimmtaster: betrachtet ihr beide, oder nur den Zustimmtaster? (eigentlich den Schlüsselschalter wäre es nur ein "Schalter")
na klar beide
 

Elektriko

Well-known member
Beiträge
475
Punkte Reaktionen
46
dieser Schlussfolgerung kann ich nicht folgen. Natürlich kann die Betriebsartenauswahl eine Sicherheitsfunktion sein!
z.B. in der Betriebsart Service, sind die Antriebe immer in STO! (Betriebsartenwahlschalter - Logik - STO).

na klar beide
Hallo Stevenn, bis jetzt habe ich immer beide betrachtet, aber habe ich mich gefragt, ob den Schlüsselschalter nicht nur ein "Schalter" ist, eigentlich man braucht immer den Zustimmtaster.... aber sind nur "laut" Gedanken die ich mit euch teilen möchte, um eure Meinung zu wissen.

Betriebsart mit STO Auslöser natürlich ja
 

stevenn

Well-known member
Beiträge
1.299
Punkte Reaktionen
180
dein Beispiel:
Betriebsarten: X, Y und Z
in Betriebsart X sind Antriebe aktiv.
in Betriebsart Y und Z sind Antriebe in STO
Jetzt kannst du aber in Betriebsart Z mit dem Zustimmtaster das STO wegnehmen und somit die Antriebe aktiv schalten.

so musst du den Betriebsartenschalter, wie auch den Zustimmtaster betrachten und mit Sistema berechnen.
beide erfüllen eine sicherheitsfunktion. Betriebsartenwahlschalter muss sicher die richtige Betriebsart auswählen udn der Zustimmtaster darf nur, wenn gewollt, den STO wegnehmen.
 

Elektriko

Well-known member
Beiträge
475
Punkte Reaktionen
46
Zuviel Werbung?
-> Hier kostenlos registrieren
dein Beispiel:
Betriebsarten: X, Y und Z
in Betriebsart X sind Antriebe aktiv.
in Betriebsart Y und Z sind Antriebe in STO
Jetzt kannst du aber in Betriebsart Z mit dem Zustimmtaster das STO wegnehmen und somit die Antriebe aktiv schalten.

so musst du den Betriebsartenschalter, wie auch den Zustimmtaster betrachten und mit Sistema berechnen.
beide erfüllen eine sicherheitsfunktion. Betriebsartenwahlschalter muss sicher die richtige Betriebsart auswählen udn der Zustimmtaster darf nur, wenn gewollt, den STO wegnehmen.
Und betrachtest Du den Betriebsartenwahlschalter (z.B.: Betriebsart automatisch) z.B. mit ein Plc, obwohl den PLr vom Automatisch-Mode PLd ist?

Ich habe ein Elektronik-Modul 3SU1400-1GD10-1AA0, um die Betriebsarten auszuwählen, aber ich bekomme PLd nicht, ich habe den Hersteller kontaktiert, und sie sagen, dass wenn alle Betriebsarten den gleichen PLr haben, der Betriebsartenwahlschalter muss nicht betrachtet werden.
 

stevenn

Well-known member
Beiträge
1.299
Punkte Reaktionen
180
Und betrachtest Du den Betriebsartenwahlschalter (z.B.: Betriebsart automatisch) z.B. mit ein Plc, obwohl den PLr vom Automatisch-Mode PLd ist?
wenn die Gefahr einen PL d benötigt, dann natürlich PL d . z.B. Betriebsartenwahlschalter - Logik - Zuhaltung Tür
Ich habe ein Elektronik-Modul 3SU1400-1GD10-1AA0, um die Betriebsarten auszuwählen, aber ich bekomme PLd nicht,
dann hast du eventuell das falsche Elektronik-Modul
ich habe den Hersteller kontaktiert, und sie sagen, dass wenn alle Betriebsarten den gleichen PLr haben, der Betriebsartenwahlschalter muss nicht betrachtet werden.
diese Aussage macht so keinen Sinn. Wie schon geschrieben löse ich unter Umständen unterschiedliche Sicherheitsfunktionen mit einem Betriebsartenwahlschalter aus.
Mal schalter ich die Antriebe sicher (mit PLr d ) in STO
Mal wird eine Tür sicher (mit PLr d) zugehalten.
die PLr können aber natürlich abhängig von der Gefahr variieren. Nur meistens ist der Automatikbetrieb ja sehr gefährlich
Der Betriebsartenwahlschalter ist ja eine wesentliches Bauteil in einer solchen Sicherheitsfunktion!
 

Elektriko

Well-known member
Beiträge
475
Punkte Reaktionen
46
Kann jemand bitte ein Betriebsartenwahlschalter mit z.B. PLd bitte nennen? (Hersteller und Artikel-Nr, noch besser wenn man ihn in der VDA Bibliothek finden kann).
Ich kenne nur Schlüsselschalter.
Danke
Gruß
 
Zuletzt bearbeitet:
Oben