Mögliche Probleme bei der mobilen Feldgerätebedienung
Drahtloses Chaos?
Derzeit erscheinen auf dem Feldgerätemarkt Geräte, deren Bedienung mittels Webserver oder Apps drahtlos (z.B. Bluetooth) möglich ist. Im Gegensatz zu standardisierten Wireless-Technologien, wie z.B. Wireless Hart, fehlen hier derzeit aber noch die entsprechenden Anwenderstandards. Daher hat die Interessengemeinschaft Regelwerke Technik (IGR) e.V. einen Anforderungskatalog erstellt, in dem auf die neue Problematik hingewiesen wird.
Die neue Feldgerätegeneration ist derzeit noch völlig offen gestaltet. Sie bietet zum ersten Mal die Möglichkeit der Feldgerätekommunikation über mobile Geräte aus dem Consumer Markt, wie Tablets oder Smartphones. Damit eröffnen sich allerdings auch neue Angriffsflächen zur Manipulation von Gerätedaten in den Feldgeräten selbst, wie z.B. Veränderungen am Gerät mittels einer App ohne die entsprechende Datenkonsistenz im Automatisierungssystem bzw. Veränderungen durch eine nicht autorisierte Personen. Ein weiteres Szenario ist der unklare Umgang mit Apps, die von Drittanbietern (ohne Validierung) geliefert werden. Die IGR möchte mit ihrem Positionspapier den Anlagenbetreibern neben den möglichen Vorteilen (z.B. beim Auslesen von Geräteinformationen), auch die Gefahren verdeutlichen, um sie in die Lage zu versetzen, entsprechende Maßnahmen zu ergreifen, um den ordnungsgemäßen Betrieb ihrer Anlage auch zukünftig sicherstellen zu können. Bislang existieren für Feldgeräte noch keine herstellerübergreifenden Regularien bei der Verwendung dieser neuen drahtlos Technologien. Es ist daher auch nicht auszuschließen, dass durch Drittanbieter Bedienungssoftware auf den Markt gelangt, die z.B. Parameterzuweisungen unvollständig oder falsch vornehmen oder die aktuellen Softwarestände der Geräte nicht berücksichtigt. Aus Anwendersicht ist daher eine Standardisierung der Schnittstelle und Bedienoberfläche dringend erforderlich. Ebenso ist die Funktion, wie auch die Funktionalität des Datenkanals festzulegen, z.B. (a) nur lesend, (b) lesend und schreibend oder (c) lesend und schreibend (Freigabe, Bedarf, Dateninhalte).
Anwenderanforderungen
Der sichere und geregelte Betrieb muss auch mit einer drahtlosen Technologie sichergestellt bleiben. Zurzeit ist diese Problematik noch nicht gelöst, herstellerübergreifende Vereinbarungen fehlen. Die im Folgenden aufgeführten Anwenderanforderungen der IGR spiegeln den jetzigen Erkenntnisstand wieder und sind beispielhaft und nicht vollständig:
Bedienung: Bei den derzeit eingeführten Technologien (4 bis 20mA, Feldbus, Wireless Hart) ist die Auswahl des Gerätes vor Ort durch die Bedienung von Hand oder durch den Anschluss eines Parametriergerätes sichergestellt und die Parametrierung durch ein Passwort im Gerät geschützt. Dies setzt intensive Kenntnisse des Gerätes und Parametriergerätes voraus. Die alleinige Verwendung eines Passwortes bei der neuen Technologie als Zugriffsschutz zur Parametrierung vor Ort ist nicht ausreichend.
Geräteauswahl & Identifikation: Ein einheitlicher (herstellübergreifender) Verbindungsaufbau mit Identifikation des Gerätes und einer Anmeldeprozedur ist zwingend notwendig. Es ist sicherzustellen, dass nur das Gerät parametriert bzw. bedient wird, dass der Anwender ausgewählt hat. Es muss eindeutig erkennbar sein, ob das richtige Gerät ausgesucht und angesprochen wird. Dazu ist beim Verbindungsaufbau die TAG- und die Seriennummer zu übertragen. Bei der Identifizierung muss allerdings auf doppelt vergebene TAG-Nummern bzw. auf unterschiedliche Seriennummer bei gleichen TAG geprüft und gewarnt werden. Es darf unter keinen Umständen eine Parametrierung nicht gewünschter Geräte erfolgen. Daher muss sichergestellt sein, dass immer nur ein Gerät bedient wird. Dazu muss beim Verbindungsaufbau eine Prüfung erfolgen, dass die Software am Gerät auch mit der verwendeten Bediensoftware kompatibel ist. Eine Bedienung darf bei einer möglichen Inkompatibilität nicht möglich sein.
Passwortschutz zur Parametrierung: Die Vergabe eines individuellen Zugriffsschutzes je Gerät ist daher dringend erforderlich. Die bisher erfüllten Voraussetzungen zur Sicherstellung der Zugriffsrechte, dürfen durch eine drahtlose Kommunikation nicht unterlaufen werden. Gefordert wird daher ein einheitliches Zugangskonzept, wie z.B. Passwort, Masterpasswort, Zugangsmöglichkeit nach Verlust des Passwortes (PIN/PUK). So könnte beispielsweise die Eingabe der Seriennummer nur mit dem Masterpasswort möglich sein. Natürlich darf das Masterpasswort nicht frei verfügbar sein, z.B. in der Gerätedokumentation.
Konsistenz der Daten: Damit die Datensätze im Gerät und im Leitsystem bzw. Bedienprogramm und in der Spezifikation übereinstimmen (Betreiberspezifikation), müssen insbesondere die Übereinstimmung auch bei Änderungen vor Ort durchgängig gleich sein, d.h. aktuelle Datenveränderungen müssen ersichtlich sein (wann, wo, wer, wie?). Bei der Veränderung von Geräteparametern müssen zudem Änderungsmerker mit Datum erstellt werden und der Abgleich der Parameter muss auch mit der Engineeringstation und der Datenbank des Leitsystems erfolgen.
Bedienoberflächen: Derzeit entwickelt jeder Hersteller seine eigene App mit eigenen Ansichten und Parameternamen, Identifikation und Zugriffsrechten. Um hier eine einheitliche Linie für das Anwenderpersonal zu erreichen, müssen die Bedienoberflächen der Apps die gleiche Bedienlogik aufweisen, wie das zu parametrierende Gerät (Ebenenmodell). Das gilt auch für die Bedienoberfläche der App/Webserver sowie bei der Darstellung im Bedienprogramm des Leitsystems. Zudem müssen unabhängig vom Softwarestand oder Betriebssystem des jeweiligen Bediengerätes die Bedienoberflächen der Apps gleich sein. Dabei sollten zur Bezeichnung der Parameter die Namur-Parameternamen gemäß NE131 verwendet werden. Wünschenswert wäre hier ein Styleguide für Webeserver und Apps, wie z.B. beim FDI Styleguide.
Betriebssysteme: Die Betriebssysteme dürfen keinerlei Einfluss auf die Übertragung von Daten und Parameterwerten haben. Dies bedeutet, dass je nach Betriebssystem (und dessen Version) Apps zur Verfügung stehen und auch aktualisiert werden müssen. Daher sollte die Anzahl der Apps minimiert werden, damit der Pflegeaufwand möglichst gering bleibt. Die Auf- und Abwärtskompatibilität mit verschiedenen Betriebssystemversionen muss dabei natürlich gewährleistet sein.
Schnittstellen: Zu den bisherigen Möglichkeiten der Signal- und Datenübertragung (4 bis 20mA, Hart, Profibus...) kommen mit der drahtlosen Kommunikation weitere neue Technologien (Bluetooth, NFC, WLAN, IR,?) hinzu, für die es derzeit in der Feldgerätekommunikation noch keine Standards gibt. Wünschenswert wäre die Beschränkung auf eine einzige Technologie bzw. Standard. Die Reichweiten der Geräte müssen dabei so begrenzt sein, dass für den Anwender, dass zu bedienende Gerät im Nahbereich bleibt. Die Geräte sollten dabei konstruktiv so aufgebaut sein, dass Anwender die Möglichkeit haben die drahtlose Kommunikation auszuschalten, z.B. durch die Entfernung der Hardware oder die Bedienung eines Schalters. Die Auslieferung von Feldgeräte sollte immer mit abgeschalteter drahtloser Kommunikation erfolgen.
App-Drittanbieter: Bisher bieten nur Gerätehersteller Apps für ihre Geräte an. Drittanbieter müssen sich daher an die Standards der Gerätehersteller halten, die alleine verantwortlich für die Validierung sind.
Fazit
Durch die drahtlose Kommunikation besteht die Gefahr der unbeabsichtigten Veränderung spezifizierter Funktionalitäten oder Parameter eines Gerätes, die teilweise auch in Sicherheitsbetrachtungen beschrieben sein können. Dazu zählen Messbereich, Ansprechverhalten, Störverhalten und weitere Parameter. Bei einer Nichtbeachtung der genannten Anforderungen kann in Zukunft jedes Smartphone oder Tablett eine Manipulation an einem Feldgerät durchführen, da eine direkte Verbindung zum Gerät nicht erforderlich ist. Es fehlt derzeit noch ein Sicherungskonzept für die Datenübertragung, welches auch die Zugehörigkeit der Daten zum jeweiligen Gerät feststellt. Es ist daher sicherzustellen, dass kein Gerät von außerhalb einer Anlage bedient werden kann. Bediengerät und Feldgerät sind daher eindeutig miteinander zu verknüpfen, wobei eine Aktivierung auf beiden Geräten aktiv bestätigt werden muss. Nur dann darf eine Kommunikation möglich sein. Die IGR empfiehlt daher Geräte mit drahtloser Kommunikation derzeit nur zum Auslesen von Daten und Parametern zu verwenden. Das Schreiben von Parametern muss dagegen ausgeschlossen sein, bis eine eindeutige Geräteidentifikation sichergestellt ist.
Derzeit erscheinen auf dem Feldgerätemarkt Geräte, deren Bedienung mittels Webserver oder Apps drahtlos (z.B. Bluetooth) möglich ist. Im Gegensatz zu standardisierten Wireless-Technologien, wie z.B. Wireless Hart, fehlen hier derzeit aber noch die entsprechenden Anwenderstandards. Daher hat die Interessengemeinschaft Regelwerke Technik (IGR) e.V. einen Anforderungskatalog erstellt, in dem auf die neue Problematik hingewiesen wird.
Die neue Feldgerätegeneration ist derzeit noch völlig offen gestaltet. Sie bietet zum ersten Mal die Möglichkeit der Feldgerätekommunikation über mobile Geräte aus dem Consumer Markt, wie Tablets oder Smartphones. Damit eröffnen sich allerdings auch neue Angriffsflächen zur Manipulation von Gerätedaten in den Feldgeräten selbst, wie z.B. Veränderungen am Gerät mittels einer App ohne die entsprechende Datenkonsistenz im Automatisierungssystem bzw. Veränderungen durch eine nicht autorisierte Personen. Ein weiteres Szenario ist der unklare Umgang mit Apps, die von Drittanbietern (ohne Validierung) geliefert werden. Die IGR möchte mit ihrem Positionspapier den Anlagenbetreibern neben den möglichen Vorteilen (z.B. beim Auslesen von Geräteinformationen), auch die Gefahren verdeutlichen, um sie in die Lage zu versetzen, entsprechende Maßnahmen zu ergreifen, um den ordnungsgemäßen Betrieb ihrer Anlage auch zukünftig sicherstellen zu können. Bislang existieren für Feldgeräte noch keine herstellerübergreifenden Regularien bei der Verwendung dieser neuen drahtlos Technologien. Es ist daher auch nicht auszuschließen, dass durch Drittanbieter Bedienungssoftware auf den Markt gelangt, die z.B. Parameterzuweisungen unvollständig oder falsch vornehmen oder die aktuellen Softwarestände der Geräte nicht berücksichtigt. Aus Anwendersicht ist daher eine Standardisierung der Schnittstelle und Bedienoberfläche dringend erforderlich. Ebenso ist die Funktion, wie auch die Funktionalität des Datenkanals festzulegen, z.B. (a) nur lesend, (b) lesend und schreibend oder (c) lesend und schreibend (Freigabe, Bedarf, Dateninhalte).
Bilfinger Maintenance Süd GmbH
Dieser Artikel erschien in SPS-MAGAZIN Process Automation 2018 - 29.03.18.Für weitere Artikel besuchen Sie www.sps-magazin.de