So ist der Aufzug auch nach Updates sicher
Verändert der Hersteller die Firmware von sicherheitsrelevanten, elektronischen Bauteilen wie Steuerungen oder Sensoren, kann das mitunter negative Auswirkungen auf die Betriebssicherheit des Aufzugs haben.
Unter Umständen verfällt die Baumusterprüfung und damit die Betriebserlaubnis. Worauf Software-Entwickler beim Programmieren und Installieren eines Updates achten sollten, damit der Aufzug sicher bleibt.
Kann der Aufzug bis zur nächsten wiederkehrenden Prüfung sicher verwendet werden? Einmal pro Jahr und Anlage sind in Deutschland Sachverständige gefordert, diese Frage zu beantworten. In der Praxis fällt das bei modernen Aufzügen bisweilen schwer, vor allem dann, wenn Sicherheitsfunktionen von einer Software realisiert, überwacht und digital gesteuert werden.
Nicht immer können die Prüfer vor Ort nachvollziehen, welche Software aktuell installiert ist beziehungsweise ob sie noch der Version aus der Baumusterprüfung entspricht. Schließlich dürfen die Hersteller nur erfolgreich geprüfte Baumuster als Sicherheitsbauteil nach EN 81-20 verbauen.
Software – ein "Sicherheitsbauteil"?
Momentan werden immer mehr bisher rein mechanisch ausgeführte Sicherheitsfunktionen integriert und von Hardware- und Softwaresystemen (HW/SW-Systemen) überwacht und gesteuert. So kann etwa ein Schachtinformationssystem genutzt werden, um sicherheitsrelevante Fehlfunktionen der Aufzugsdynamik zu erkennen und den Aufzug im Fehlerfall zuverlässig und ausreichend schnell in einen sicheren Zustand zu überführen.
Die technischen und prozeduralen Vorgaben sind in der IEC 61508 definiert. Entscheidend ist nun, dass die installierte Software mit der vorliegenden Hardware des Schachtinformationssystems zusammenpasst.
Das bedeutet, dass die sicherheitsrelevanten Parameter wie Aufzugsgewicht, Auslösegeschwindigkeiten, Schachtcodierung und andere korrekt konfiguriert werden und gleichzeitig, ob Mindestanforderungen hinsichtlich Cyber-Security erfüllt werden. So muss beispielsweise das Initialpasswort aus der Betriebsanleitung geändert werden und sichergestellt werden, dass die Sicherheitsfunktion wirksam ist.
Prüfung der Software ist Herausforderung
Bei einigen Systemen am Markt zeigt sich jedoch: Die Prüfung der Software auf die Versionierung, korrekte Parametrierung und die Wirksamkeit der überwachten Schutzfunktionen ist vor Ort "im Aufzugsschacht" bisweilen eine Herausforderung. Hier sind die Hersteller gefordert, die Prüfbarkeit der Sicherheitsanforderungen für ihre Produkte sicherzustellen. Dabei kommen auch neue Fragen auf, die nicht in der IEC 61508 ausgearbeitet sind.
Das sind vor allem Fragen der Datenintegrität und IT-Security: Wird bei der Übertragung "Over The Air" überwacht, ob Software-Updates ohne Fehlereinträge transferiert wurden oder gar von Unbefugten manipuliert wurden?
Kann eine unbemerkte beziehungsweise unbeabsichtigte Manipulation sowie Fehleinträge beispielsweise durch Servicetechniker oder unternehmensfremdes Wartungspersonal ausgeschlossen werden? Hier sind andere Normen relevant beziehungsweise anzuwenden – wie etwa die IEC 62443-Reihe und die ISO 27001.
Sicherheitsrelevante Software erfordert Managementsysteme
Die Anwendung der Normen ermöglicht schließlich die einfache Verifizierung während der wiederkehrenden Prüfung. Zusammengefasst geht es darum, dass der Hersteller die zur Prüfung relevanten Informationen, Daten, Codes und Berichte verfügbar macht.
Die Methoden sind hinlänglich bekannt und werden von der IEC 61508 gefordert. Dazu gehören unter anderem ein geeigneter Sicherheitslebenszyklus in der Software-Entwicklung, das Betreiben eines Konfigurationsmanagementsystem und eines Release-Managementsystems, sowie das Erstellen eines Sicherheitshandbuches und andere Maßnahmen.
Funktionale Sicherheit und IT-Security synchronisieren
Wirksame Systeme zur Qualitätssicherung und ein Managementsystem der funktionalen Sicherheit helfen, systematische Fehler und Fehleinträge in Software und Software-Updates zu kontrollieren. Hierzu weist die IEC 61508 den Weg.
Gleichzeitig werden künftig die Anforderungen der IT-Sicherheit noch wichtiger. Hier gibt es mit der IEC 62443-Reihe bereits eine normative Grundlage. Werden beide Normen effektiv und praxisgerecht angewandt, führt das nicht nur zu anforderungsgerechten sondern auch zu einfach prüfbaren Sicherheitsfunktionen. Die Leitfunktion übernimmt dabei stets die Funktionale Sicherheit.
Dr. Rolf Zöllner
Der Autor ist Leiter des Business Development im Geschäftsfeld Fördertechnik, TÜV Süd Industrie Service GmbH
www.tuev-sued.de/aufzuege
Kommentar schreiben