VDE DKE Tagung Funktionale Sicherheit 2021

Eröffnet wurde die VDE DKE Tagung Funktionale Sicherheit 2021 mit einem Zitat des bekannten britischen Schriftstellers Arthur C. Clarke:

„Any sufficiently advanced technology is indistinguishable from magic.“

Dieses Zitat begleitete die Teilnehmenden auch an den folgenden drei Veranstaltungstagen.

Prof. Siegfried Wendt forderte in seiner Keynote zu Beginn eine Ingenieurskultur. Seiner Meinung nach geht es nicht um die Vollkommenheit der Produkte, sondern um die Verbindung von Mathematik und Physik mit der kommunikativen Beherrschung komplexer Systeme. Es sollte daher das Ziel sein, einen optimalen Informationsfluss zwischen allen Beteiligten sicherzustellen. Besonders betonte er, dass Pläne der Planung dienen und nicht dazu geeignet sind, zu dokumentieren, was getan wurde. Das würde heute noch immer verwechselt.

Kevin Behnisch ließ im Anschluss die Entwicklungen seit dem VDE DKE Kongress 2019 zur funktionalen Sicherheit Revue passieren und betonte, dass die funktionale Sicherheit wesentlich mehr ist als nur Safety Integrity Level (SIL) oder Performance Level (PL) auszurechnen.

Ausblick auf die dritte Ausgabe der Norm IEC 61508

Michael Kindermann und Stephan Aschenbrenner berichteten detailliert und unterhaltsam über die Neuerungen der kommenden Ausgabe von IEC 61508. Der Entwurf zur dritten Edition soll Ende 2021 bzw. Anfang 2021 veröffentlicht werden.

Kindermann beruhigte das Publikum zu Beginn als er erklärte, dass es keine Verschärfungen oder neue SIL-Stufen geben wird. Bestehende Systeme und Geräte werden somit auch weiterhin konform mit der Norm IEC 61508 bleiben.

Missverständliche Formulierungen, unter welchen Bedingungen KI-Techniken eingesetzt werden können, werden überarbeitet. Details hierzu werden bereits in einem gemeinsamen Projekt von IEC/TC 65/SC 65A und ISO/IEC JTC 1/SC 42 erarbeitet. Weiterhin werden Halbleiterbauteile zukünftig in drei Zuverlässigkeitsklassen eingeteilt – je nach Klasse gilt es, zusätzliche Anforderungen an den Einsatz zu erfüllen.

Eine intensive Diskussion führte die Fach-Community bei den Begriffen „Komponente“, „Element“, „Teilsystem“, „System“ und „Software-Element“. Verstehen Beteiligte verwendete Begriffe unterschiedlich, ist eine konsistente und für alle nachvollziehbare Auslegung von IEC 61508 nicht sichergestellt. Die Norm sieht sich auch in Zukunft als verbindliche Publikation in Form einer Horizontalnorm für weitere Industrien und Branchen.

Betriebsbewährung von Elementen

Sehr großes Interesse seitens der Teilnehmer*innen gab es auch beim Thema Betriebsbewährung. Im Hardware-Bereich ist dies schon bekannt, aber wie ist es möglich, Betriebsbewährung für Software zu belegen? Eine Nachweisführung mittels Betriebsbewährung erfolgt über die Route 2s. Für Hardware ist hierfür die Tabelle B5 in der Norm IEC 61508-7 wichtig. Software ist in der Betriebsbewährung schwierig, da Software immer unterstellt wird, nur systematische Fehler zu haben – ein Aspekt, der in Route 2s bisher nicht berücksichtigt wird.

Aber wie lässt sich die Freiheit von systematischen Fehlern für bestehende Software (statistisch) nachweisen? Kindermann erläuterte, dass hierzu noch weitere Diskussionen geführt werden und die Betriebsbedingungen dabei von Bedeutung seien. Wenn ein Software-Programm vergleichbar eingesetzt wird, ist damit zu rechnen, dass auch die gleichen Fehler der Software auftreten. Wird aber ein Software-Programm in einem neuen Umfeld eingesetzt, ist es möglich, dass Programmteile ausgeführt werden, die vorher nicht benutzt wurden und daher Fehler auftreten können, die vorher nicht entdeckt wurden.

Diskussionsrunde: Agile Methoden für sichere Systeme

Eignen sich agile Methoden für die Entwicklung von Sicherheitssystemen? Das war die Kernfrage, mit der sich Ulf Schünemann, Benjamin Precht, Matthias Holzäpfel, Claudio Gregorio und Prof. Siegfried Wendt im Rahmen der Diskussionsrunde auseinandergesetzt haben – eine Frage, die auch bei allen anderen Teilnehmer*innen auf großes Interesse stieß: Die Chat-Funktion wurde ausgiebig genutzt, um sich auszutauschen und die Diskussion auf Textebene weiterzuführen. Einige sprachen der Scrum-Methode die Eignung ab, andere waren der Meinung, dass Scrum einen Prozess beschreibt und auf diese Weise die Entwicklung sicherer Systeme ermöglicht.

Gregorio erläuterte, dass es die Definition „of done“ gibt und wies darauf hin, dass auch implizite Anforderungen (wie Safety oder Security) mitberücksichtigt werden müssen. Nicht nur Entwickler nutzen die Scrum-Methode, sondern auch Zertifizierungsstellen. Precht ergänzte darauf: „Wie steht der Kunde dazu, in kurzer Folge neue Produktversionen geliefert zu bekommen? Das kann für den Endkunden (mit abgenommenen Anlagen) ein Problem sein. Wenn der Kunde das (interne) Testteam ist, dann wäre es eine geeignete Methode.“ Holzäpfel erläuterte, wie in der Firma Pilz mit agilen Methoden gearbeitet wird und verwies auf die XING-Gruppe „Agile & Safety“. Dort wird genau diese Frage diskutiert und Erfahrungen werden ausgetauscht werden.

Europäisches Normungsvorhaben für mechanische Bauteile

Die IEC 61508 bildet die Grundlage für ein CEN-Normungsvorhaben, das Marco Knödler und Jan Schumacher vorstellten, mit dem auch mechanische Sicherheitseinrichtungen konform zur Norm IEC 61508 berücksichtigt werden können. Einer LAMBDA-Mechanik erteilten beide – aus diesem Grund – eine deutliche Absage. Es werden robuste Prozesse benötigt, denn es reicht nicht aus, nur SIL, PFH oder PFD auszurechnen; auch sind die Produktionsstätten der Geräte zu berücksichtigen, um eine gleichbleibende Qualität zu ermöglichen.

Knödler und Schumacher erläuterten, dass es auch bei Mechanik zufällige Fehler gibt und diese nicht mit systematischen Fehlern verwechselt werden dürften. In der Diskussion zeigte sich, dass unterschiedliche Auffassungen existieren, was zufällig und was systematisch ist. Es wurde argumentiert, dass – wenn intensiv genug untersucht wird – jeder Fehler auf eine systematische Ursache zurückgeführt werden könne. Stephan Aschenbrenner erklärte sich bereit, die Diskussion in die internationale Gruppe IEC/TC 65/SC 65A/MT 61508-1-2 mitzunehmen. An diesem Beispiel zeigt sich erneut sehr gut, wie bedeutend ein gemeinsames Begriffsverständnis ist.

Funktionale Sicherheit: Der Schutz des Menschen vor der Maschine

Funktionale Sicherheit ist essenziell und kommt immer dann zum Einsatz, wenn Produkte, Anlagen und Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann.

International liegt mit IEC 61508 eine horizontale Normenreihe vor, die eine Grundlage für eine Vielzahl von Branchen und Anwendungsfeldern bietet.

Tag zwei der DKE Tagung Funktionale Sicherheit 2021 startete mit einem Themenblock zum Einsatz von Künstlicher Intelligenz in sicherheitskritischen Funktionen.

Technische Aspekte des ersten KI-Standards

Den Auftakt im anstehenden KI-Block machte Dr. Henrik J. Putzer. Er stellte die Methodik vor, die in der branchenunabhängigen, neuen VDE-AR-E 2842-61 („Entwicklung und Vertrauenswürdigkeit von autonom/kognitiven Systemen“) beschrieben sind. Die Anwendungsregel schlägt ein V-Modell vor und führt mit dem „uncertainty confidence indicator“ eine „Art LAMDA-KI“ ein.

Dr. Putzer räumte aber ebenfalls ein, dass für den Begriff „Künstliche Intelligenz“ keine Begriffsdefinition gefunden werden konnte – eine Unterscheidung in Hardware und Software entfällt entsprechend. Intensiv diskutierten viele Teilnehmende anschließend über die Frage, ob die beschriebene Vorgehensweise zu einem deterministischen Verhalten des KI-Algorithmus führt. Eine wichtige Anforderung ist, dass die KI im laufenden Betrieb nicht mehr selbstständig lernt und sich selbst weiterentwickelt oder verändert.

Normungsaktivitäten zur funktionalen Sicherheit von KI-Systemen

Dr. André Steimers zeigte auf, dass dringend Methoden erforderlich sind, damit von Künstlicher Intelligenz keine Gefahren ausgehen. Denn obwohl heutige KI keine sicherheitskritischen Systeme steuert, kommt es trotzdem immer wieder zu Unfällen mit Verletzten und Toten, beispielsweise im Dezember 2020 als ein Serviceroboter in einem Kaufhaus eine Rolltreppe nicht erkannte und diese hinunterstürzte.

Im ISO/IEC JTC 1/SC 42 gibt es diesbezüglich mehrere Normungsvorhaben. Besonders interessant ist hierbei ISO/IEC AWI TR 5469 „Artificial intelligence – Functional safety and AI systems“. Beteiligt an der internationalen Arbeitsgruppe sind auch die Expert*innen aus dem Normungsgremium DKE/AK 914.0.11.

Dr. Steimers führte aus, dass die Hardware fälschlicherweise häufig nicht berücksichtigt wird, jedoch von großer Bedeutung ist: Wenn die Trainingsarchitektur leistungsfähiger ist als die Hardware während der Anwendung, wird dies zu Problemen führen. Durch die Einführung von Künstlicher Intelligenz werden auch neue Angriffsvektoren entstehen, die in der Security zu berücksichtigen sind.

Bereits 2019 war sich die Fach-Community einig und bestätigte erneut: Wenn eine Aufgabe klassisch gelöst werden kann, sollte KI nicht verwendet werden. Aber wenn es keine klassische Lösung gibt, kann KI einen Sicherheitsgewinn liefern.

Die Deutsche Normungsroadmap Künstliche Intelligenz

verfolgt das Ziel, Handlungsempfehlungen rund um KI für die Normung zu geben.

Künstliche Intelligenz gilt weltweit und in zahlreichen Branchen als eine der Schlüsseltechnologien für künftige Wettbewerbsfähigkeit. Umso wichtiger sind die Empfehlungen der Normungsroadmap, die die deutsche Wirtschaft und Wissenschaft im internationalen KI-Wettbewerb stärken, innovationsfreundliche Bedingungen schaffen und Vertrauen in die Technologie aufbauen sollen.

Safety Integrity Level für Künstliche Intelligenz

Dr. Hendrik Schäbe begann den dritten Vortrag aus dem KI-Block mit der Frage, ob KI ein SIL braucht und setzte direkt zur Beantwortung an.

Zunächst muss der Anwendungsfall beachtet werden: Assistenzsysteme brauchen kein SIL, weil der Mensch die Entscheidung trifft (die Spracherkennung mittels Sprachassistent ist unkritisch). Wenn es aber darum geht, eine Gefahr zu vermeiden und es sich damit um eine Sicherheitsfunktion handelt, braucht es immer eine Risikoanalyse. Daraus ergibt sich ein SIL für die Funktion. In diesem Fall wird auch der Künstlichen Intelligenz ein SIL zugeordnet.

Dr. Schäbe war der Meinung, dass Trainingsdaten der Schlüssel sind. Allerdings ist es schwierig, repräsentative Daten zu erhalten, insbesondere für komplexe Szenarien. In den Trainingsdaten bzw. Lernstichproben kann es Ausreißer geben, aber wie sind diese gekennzeichnet und wie wird damit umgegangen? Zwar können Metriken definiert werden – aber nur, wenn ebenfalls die Bedingungen klar definiert werden können. Er beschrieb maschinelles Lernen als Statistik mit komplexen Algorithmen. Die Norm IEC 61508 benötigt ein vorhersagbares System. Es ist daher wichtig, KI vorhersagbar zu machen. Anders als beispielsweise Dr. Putzer zuvor, sieht er die Statistik als geeigneteren Weg an.

Daten erheben für autonomes Fahren

Prof. Frank Köster und Lennart Asbach erläuterten anhand des Testfelds für autonomes Fahren beim Deutschen Zentrum für Luft- und Raumfahrt (DLR), wie repräsentative Daten gewonnen werden. Anschaulich zeigten beide, welche technischen Herausforderungen überwunden werden mussten, um die Daten zu erheben: Kameras beschlagen, Temperaturänderungen bewegen die Masten mit den Masten etc. Für die Datenerhebung ist die die im Rahmen des Testfelds aufgebaute Infrastruktur aber erforderlich. Autonomes Fahren soll jedoch ohne diese Infrastruktur auskommen. Spannend hierbei: Die Daten sollen auch über GAIA-X zur Verfügung gestellt und dazu verwendet werden, Künstliche Intelligenz zu trainieren und zu simulieren.

Sicherheit ist auch in anderen Sphären essenziell

Die Cloud ist ein gutes Stichwort – denn damit beschäftigten sich auch die Vorträge von Prof. Peter Ladkin und Florian Lumpe.

Prof. Ladkin berichtete zunächst von systematischen Fehlern, die in der Vergangenheit zu den Unfällen der Boeing 737 MAX führten.

Lumpe brachte in seinem Vortrag inhaltlichen noch mehr Abstand zur Erde und erläuterte die Produktsicherheit in der Raumfahrt – sie ist im Weltall die einzige Versicherung. Der Begriff „Produktsicherheit“ zeigte erneut, dass die Methoden zur Entwicklung von sicheren Systemen in der Regel die gleichen sind, sich bei der Begrifflichkeit aber unterscheiden. „Produktsicherheit“ kann vereinfachend mit „funktionaler Sicherheit“ gleichgesetzt werden.

Funktionale Sicherheit unterscheidet sich vor allem darin, dass im Weltall Reparaturen nicht möglich sind. Am Boden von Raumfahrteinrichtungen gelten neben dem Raumfahrtstandard ECSS auch noch gesetzliche Vorgaben sowie vorhandene Normen und Standards.

Funktionale Sicherheit in der Luft- und Raumfahrt

Funktionale Sicherheit kommt zum Einsatz, wenn Produkte, Anlagen und Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann – das gilt sowohl für den Boden als auch für die Luft.

Im Interview spricht Florian Lumpe vom Deutschen Zentrum für Luft- und Raumfahrt über funktionale Sicherheit am Boden und in der Luft, Megakonstellationen, relevante Normen und Trends der Zukunft.

Funktionale Sicherheit im Explosionsschutz gemäß TRGS 725

Christian Leichtenböhmer und Jörg Krämer hatten für den Abschluss des Tages einen explosiven Vortrag vorbereitet – funktionale Sicherheit im Explosionsschutz. Der dort gültige Standard TRGS 725 orientiert sich an der Horizontalnorm IEC 61508.

Lechtenböhmer zeigte auf, dass es bei der Anwendung von TRGS 725 schnell zu Verständnisproblemen und Fehlinterpretationen kommen kann. Krämer ergänzte hierzu scherzhaft: „Es gibt keine Fragen, weil alle, die sich auskennen, hier sind. Und die sich nicht auskennen, sind nicht mehr da. Weil explodiert.“

Eine Explosion an sich sei sehr einfach. Dafür müssen drei Dinge zusammentreffen: Brennbares Material, Sauerstoff und ein Zündfunke. Sobald eines dieser drei Elemente nicht mehr vorhanden ist, ist eine Explosion unmöglich. Für die TRGS 725 wird die Route 1H der Norm IEC 61508 empfohlen. Aber auch bei der Anwendung von TRGS 725 ist „betriebsbewährt“ ein Grund für Diskussionen: Regelmäßige Updates ändern die Spezifikation, sodass die 10e5 Betriebsstunden bei unveränderter Spezifikation mit zehn Systemen in unterschiedlichen Anwendungen schwer zu erreichen sind.

Wie spannend die Tagung war und wie engagiert die Fach-Community bei diesem Thema ist, zeigte sich am Ende des Tages als es noch zu einer spontanen Diskussion zur PFH-Berechnung von 1oo2-Systemen kam, in die sich etwa 200 Teilnehmende einbrachten.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Können Maschinen eigenständig Kaufverträge eingehen?

Prof. Thomas Klindt eröffnete den dritten der Tag der DKE Tagung Funktionale Sicherheit 2021 mit einer unterhaltsamen Keynote und der zentralen Frage: Wie bestellt eigentlich eine Fertigungsstraße? Szenario: Eine industrielle Anlage bestellt vollautomatisch Öl. Es werden 120 Liter benötigt und 120 Liter werden geliefert. Aber was passiert, wenn die Anlage 120.000 Liter Öl bestellt? Handelt es sich in dem Fall um einen wirksamen und bindenden Kaufvertrag?

Szenarien, wie in diesem Beispiel, werden heute über Rahmenverträge abgefangen, jedoch verhindert diese vertragliche Bindung auch, dass die Anlage das aktuell günstigste Angebot auf dem Markt auswählen kann. Die gegenseitige Willenserklärung ist das zentrale Element eines Vertrags. Anschaulich wurde das Konzept der juristischen Person eingeführt. Dabei stellte sich die Frage: Kann eine Maschine überhaupt eine juristische Person sein? Zumindest bisher ist das noch nicht der Fall.

Prof. Klindt kam zu dem Ergebnis, dass solche Verträge auf der einen Seite zwar wirksam, auf der anderen Seite aber nicht bindend sind. „Smart Contracts“ sei als Begriff in diesem Zusammenhang daher irreführend und sollte besser „Smart Executions“ lauten.

Ausblick auf die Neuerungen der Norm IEC 62443

Dr. Kai Wollenweber stellte die aktuellen Entwicklungen der Norm IEC 62443 für Cybersecurity in der Industrieautomatisierung vor. Begriffsdefinitionen sind auch hier ein relevantes Thema. Weiterhin sind mehrere neue Normteile geplant. Zeitgleich sind außerdem einige Normteile in der Bearbeitung:

• IEC 62443-2-1 wird sich der ISO 27001 annähern
• In IEC 62443-2-4 werden Begriffe genauer definiert
• In IEC 62443-3-3 werden Anforderungen geprüft und System genauer beschrieben
• IEC 62443-5-1 wird erarbeitet und führt Profile ein, die außerdem beschrieben werden
• IEC 62443-6-1 und IEC 62443-6-2 werden erarbeitet und definieren Evaluierungsmethoden

Wesentliche Änderungen betreffen in erster Linie also die Neugruppierung der Anforderungen mit dem Ziel, die Anwendung von IEC 62443 zu erleichtern.

Mehr Transparenz beim Umgang mit Schwachstellen

Andreas Harner von CERT@VDE gab einen Einblick in die Praxis und hob positiv hervor, dass mehr Schwachstellen gefunden und berichtet werden. Durch zusätzliche, neue Schnittstellen von Industriegeräten hat sich deren Lebenszyklus verändert. Die Support- bzw. Betriebsphase eines Produkts ist wichtiger geworden, da während dieser sicherheitskritischen Zeitspanne regelmäßig Updates und Patches entwickelt werden müssen.

Harner betonte darüber hinaus die Bedeutung der internationalen Normreihe IEC 62443 – sie seit weltweit die beste Norm und der Goldstandard, um sich gegen Cyberangriffe zu schützen. Die Einführungen und Änderungen, die Dr. Wollenweber bereits vorgestellt hatte, seien richtig und wichtig. Harner forderte abschließend einen offenen Umgang mit Schwachstellen. Schwachstellen müssen veröffentlicht werden. Seiner Ansicht nach ist Security by obscurity (de: „Sicherheit durch Unklarheit“) der falsche Weg. Jedoch sollte nur die Schwachstellen selbst veröffentlicht werden, nicht aber, wie diese ausgenutzt werden kann (Exploit).

Blockchain-Technologie kann funktionale Sicherheit unterstützen

Smart Contracts sind eng mit dem Begriff der Blockchain oder Distributed-Ledger-Technologie (DLT) verknüpft. Bruno Kuckartz und Andreas Rathgeb beschäftigten sich im letzten Vortrag dieser DKE Tagung mit der Frage, wie die Blockchain-Technologie auch für den Bereich der funktionalen Sicherheit einen Mehrwert schaffen könnte – praktisch eine Safety-Blockchain.

Vertrauen und Nachverfolgbarkeit bilden hierbei das Fundament, welches durch die Digitalisierung herausgefordert wird. Die Fälschung elektronischer Signaturen ist nur eines von vielen Beispielen, deren Nachweise entsprechend angezweifelt werden können. Die vorgestellte DLT-Lösung soll vor solchen und ähnlichen nicht genehmigten Aktionen schützen und eine vollständige und nachvollziehbare Dokumentation sicherstellen.

Digitaler Fingerabdruck der Blockchain zur Ünterstützung der funktionalen Sicherheit

Blockchain – ein Begriff, den viele Menschen vor allem mit Bitcoin verbinden. Das Konzept lässt sich jedoch für zahlreiche weitere Anwendungsfälle adaptieren, z. B. im Umfeld der funktionalen Sicherheit.

Im Interview sprechen Bruno Kuckartz vom TÜV Rheinland und Andreas Rathgeb von Siemens Energy unter anderem über den Nutzen, die Eigenschaften sowie die Anforderungen an Normen und Standards bei einer Safety-Blockchain.

Ist Sicherheitstechnik schwerfällig und traditionell? Nein, keineswegs! Die VDE DKE Tagung Funktionale Sicherheit 2021 hat das Gegenteil bewiesen.

Wie wichtig Begriffe und ein gemeinsames Verständnis sind, wurde immer wieder in den Beiträgen und Diskussionen klar. Auch wenn viele „einfach nur“ sichere Systeme entwickeln bzw. betreiben und eigentlich nicht über Begriffe diskutieren wollen, zeigte sich jedoch, dass erst auf Basis eines gemeinsamen Verständnisses und einheitlich definierter Begriffe ein „optimaler Informationsfluss zwischen allen Beteiligten“ – wie Prof. Wendt forderte – möglich sein kann.

Seit 2019 hat sich im KI-Bereich bzw. des maschinellen Lernens viel getan. Die lebhaften Diskussionen zwischen den Teilnehmer*innen zeigten aber auch ganz deutlich, dass es sich dabei noch immer um eine für uns vollkommen neue Technologie handelt. Wie ausgereift und tauglich Machine-Learning-Techniken für die Verwendung in Sicherheitsfunktionen sind, wird von der Fach-Community noch nicht gleich bewertet.

Wir blicken auf eine erfolgreiche VDE DKE Tagung zur funktionalen Sicherheit zurück und möchten uns abschließend an dieser Stelle bei allen Teilnehmenden für ihr Engagement, die spannenden Diskussionen und die positive Stimmung über die drei Tage hinweg bedanken! Wir freuen uns schon auf ein Wiedersehen in zwei Jahren – dann wieder persönlich und vielleicht auch wieder in Erfurt!

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.

Core Safety & Information Technologies umschließt alle Aspekte der Sicherheit: grundlegende  Sicherheitsanforderungen, funktionale Sicherheit, Informationssicherheit sowie deren Wechselwirkungen. Außerdem befasst sich Core Safety mit wichtigen Querschnittsthemen und definiert grundlegende Anforderungen die allgemein einzuhalten sind – zum Beispiel für Elektromagnetische Verträglichkeit, Umwelt- und Ressourceneffizienz, Schadstoffe, Größen, Einheiten und Kennzeichnungen. Weitere Inhalte zu diesem Fachgebiet finden Sie im