Internationales Verkehrswesen (68) 4 | 2016 70 TECHNOLOGIE Betriebssicherheit Zukunftsfähige Sicherheitstechnik für die Bahn Offene COTS-Steuerungen als flexible Lösungen im-digitalen-Schienenverkehr Sicherheitstechnologie, Sicherheitsstandards, Steuerungslösungen, DIgitalisierung, Commercial-off-the-Shelf, Betriebssystem Die Bahntechnik wird zunehmend digital. Immer mehr sicherheitsrelevante Steuerungsprozesse beruhen auf Cloud- oder Internet-basierten Lösungen. Auch im digitalen Zeitalter bilden Sicherheitssteuerungen die Basis für kritische Anwendungen wie Bahnübergänge, Schienenfahrzeuge oder Stellwerke. Immer wichtiger wird dabei das Zusammenspiel von Safety und Security. Auch in Zeiten von „Rail 4.0“ können COTS-Steuerungen flexibler und kostengünstiger im Vergleich zu proprietärer Sicherheitstechnik sein. Autor: Sedat Sezgün U rbanisierung und ein wachsendes Umweltbewusstsein führen weltweit zu einer erhöhten Nachfrage nach zuverlässigen, umweltfreundlichen Transportmitteln. Dies gilt insbesondere für Ballungszentren, wo eine stetig wachsende Zahl an Passagieren auf sichere, schnelle und komfortable Weise befördert werden muss. Die steigenden Passagierzahlen machen einen Ausbau der Netzkapazität unabdingbar. Der Schüssel zu der benötigten Produktivitäts- und Effizienzsteigerung liegt im Einsatz moderner Technologien. In Kombination mit dem erhöhten Kostendruck durch sinkende Infrastruktur-Budgets und den massiven Modernisierungsrückstand haben diese Umstände den Bedarf an flexiblen, kosteneffizienten Steuerungslösungen in der Bahnindustrie weltweit erhöht. So erlebt die Rail-Industrie derzeit einen Wandel von kostenintensiven, proprietären Sicherheitstechnologien hin zu offenen, zukunftssicheren Commercial-off-the-Shelf (COTS) Lösungen. Als COTS bezeichnet man seriengefertigte Steuerungen, die in großer Stückzahl als Standard-Komponenten verkauft und in verschiedenen Industriezweigen eingesetzt werden. Durch die Verwendung von Standard-Komponenten sind diese deutlich kostengünstiger als proprietäre Systeme und erfüllen gleichzeitig alle wichtigen Sicherheitsstandards der Bahnindustrie. Proprietäre Systeme vs. COTS - Die Vorgeschichte Vor 10 bis 15 Jahren waren die Vorbehalte gegenüber COTS noch groß. Doch unter dem steigenden Kostendruck überlegten erste Bahnunternehmen Anfang der 2000er Jahre, ob diese bewährte Sicherheitstechnologie nicht auch im Schienenverkehr einsetzbar wäre. Für Hima war es kein Problem, die aus der Prozessindustrie bewährten Steuerungen nach den Standards der Cenelec prüfen und zertifizieren zu lassen. Denn auch in der Prozessindustrie sind die Sicherheitsanforderungen extrem hoch und überschneiden sich mit denen in der Bahnindustrie. In der Bahnindustrie können zudem exakt dieselbe Hardware und dasselbe Betriebssystem verwendet werden. Lediglich Berechnungen und Dokumentation mussten angepasst und das Steuerungskonzept auf die Cenelec-Philosophie übertragen werden. So entstanden die Sicherheitssteuerungen HIMax (Bild 1) und HIMatrix mit Cenelec SIL4-Zulassung, offenen Schnittstellen und Betriebssystem auf Basis industrieüblicher Programmiersprachen gemäß DIN EN. Die Sicherheitssteuerungen sind schwing- und schockresistent und auch in erweiterten Temperaturbereichen verfüg- Bild 1: HIMax-Steuerungen bieten durch Redundanz maximale Verfügbarkeit im Schienenverkehr. Alle Bilder: Hima Paul Hildebrandt GmbH Internationales Verkehrswesen (68) 4 | 2016 71 Betriebssicherheit TECHNOLOGIE bar. Sie genügen den Anforderungen nach DIN EN 61373 Kategorie 1 Klasse B. Beide Systeme sind nach den Cenelec-Normen EN- 50126, 50128 und 50129 vom Tüv Süd für den Einsatz bis zur höchsten Sicherheitsstufe SIL 4 zertifiziert 1 . Auf dem Weg zum neuen Standard Inzwischen gehen Bahnexperten davon aus, dass beispielsweise in kleineren und mittleren Anlagen der Stellwerks- und Signaltechnik aufgrund des Preisvorteils mittelfristig nur noch COTS-Komponenten installiert werden. Aufgrund der vielfältigen Einsatzmöglichkeiten und ihrer deutlich geringeren Investitions- und Lebenszykluskosten im Vergleich zu proprietärer Technik könnten sich COTS-Sicherheitssteuerungen zum Standard entwickeln. Zunehmend setzen wichtige Player der Bahnindustrie auf COTS-Lösungen. Das liegt vor allem an der höheren Flexibilität, beispielsweise bei der Wahl der Komponenten-Lieferanten. Ersatzteile sind weltweit verfügbar, auch wenn es schnell gehen muss, und sie lassen sich einfach installieren. Dank offenem Betriebssystem und offener Schnittstellen lassen sich COTS-Steuerungssysteme bedarfsgerecht aufbauen (siehe Bild 2) und weltweit flexibel einsetzen. Bahnbetrieb non-stop Die Technologie der in Brühl hergestellten COTS-Steuerungen hat sich bereits in anderen Industriezweigen bewährt - die sicherheitsgerichteten Systeme schützen weltweit kritische Anwendungen in Raffinerien, Pipelines oder Chemieanlagen. Hima investiert 70 % des Fertigungsaufwands in Tests, und die hohen werksinternen Standards stehen für eine Ausfallwahrscheinlichkeit nahe Null. Das ermöglicht zuverlässigen und unterbrechungsfreien Betrieb für sicherheitskritische bahntechnische Anwendungen wie elektronische Stellwerkstechnik, Bahnübergänge, sensorüberwachte Türöffnungssysteme, elektronisch gesteuerten Gleit- und Schleuderschutz, Sicherheitsfahrschalter, Fernsteuerung, sichere Zugbewegung und vieles mehr. Proprietäre Sicherheitstechnik für Stellwerke, Bahnübergänge und Signalanlagen ist aufgrund der Funktionsfülle häufig überdimensioniert. Gleichzeitig nimmt z. B. auf Basis des European Train Control System (ETCS) dort der Grad an Elektronik gerade in dezentralen Anwendungen stetig zu. Schlanke und im Vergleich zu herkömmlicher Technik deutlich kostengünstigere Lösungen lassen sich in der Stellwerks- und Signaltechnik mit COTS-Steuerungen realisieren (Bild 3). Die versehen dezentrale Stellwerke und Signalanlagen mit relativ geringem Aufwand mit „Intelligenz“ und verzichten gleichzeitig auf alle Funktionen, die auch über das zentrale Leitsystem geregelt werden können. DIgitalisierung: Offenheit ist gefragt Um den Schienenverkehr fit für die Zukunft zu machen und im Wettbewerb der Verkehrs- und Transportsysteme bestehen zu lassen, muss alte, ineffiziente Technik durch effizientere automatisierte Prozesse ersetzt werden. In diesem Zusammenhang gilt Digitalisierung als Oberbegriff für zahlreiche Aspekte wie autonome Systeme, Internet of Things, Augmented Reality oder Big Data. Automatisierte Steuerungssysteme spielen eine elementare Rolle in der Entwicklung hin zur Ära „Rail 4.0“. Entscheidende Voraussetzung für das digitale Bahn-Zeitalter ist die Vernetzung zahlreicher unterschiedlicher Systeme für den Datenaustausch. Hier spielen COTS- Sicherheitssteuerungen ihre Stärken aus, denn deren Betriebssystem, das auf weltweit verfügbaren Standard-Programmiersprachen basiert, bietet Schnittstellen zu allen wichtigen Kommunikationsprotokollen wie Ethernet TCP/ UDP, RS485, RS422, RS232 und CAN. Die Kommunikation erfolgt über das 1997 von Hima entwickelte Safeethernet-Protokoll und weitere Industrieprotokolle, der Anwender kann auch eigene Protokolle erstellen. Außerdem sind die Systeme modular: Remote-I/ O-Module erweitern die Steuerungen um zusätzliche Einund/ oder Ausgänge. Eine entscheidende Rolle in Sachen Digitalisierung und Vernetzung spielt auch das Konfigurations-, Programmier- und Diagnose-Tool SILworX (Bild 4), das industrieübliche Programmiersprachen gemäß DIN EN nutzt. SILworX läuft in einer Windows- Bild 2: Die Systeme lassen sich bedarfsgerecht zentral oder dezentral, redundant oder nicht redundant aufbauen. Bild 3: Schema einer Bahnübergang-Sicherung Internationales Verkehrswesen (68) 4 | 2016 72 TECHNOLOGIE Betriebssicherheit Umgebung, bleibt allerdings so unabhängig wie möglich von Windows-Funktionen. Dieses Konzept ermöglicht sicheren Betrieb ohne Störungen durch andere Programme oder Updates und bietet maximalen Schutz vor Bedienfehlern. Das Programmier-Tool verfügt über ein zweistufiges Nutzer-Management, über das sich die Zugriffsrechte individuell einstellen lassen. So werden sowohl die Anwendung als auch das Sicherheitssystem optimal geschützt. Beispielsweise ist bei einer Passwortänderung kein neuer Patch notwendig und die Anlage muss nicht neu zertifiziert werden. Cyber-Sicherheit: Zusammenspiel von Safety und Security Mit dem wachsenden Grad an Automatisierung und der zunehmenden Verlagerung von Funktionen in die Cloud steigt auch die Gefahr von Cyber-Attacken. Effektive Maßnahmen zur Steigerung der Sicherheit sind in diesem Zusammenhang die Einschränkung menschlicher Zugriffsmöglichkeiten und das Aufsetzen eigenständiger, in sich geschlossener Sicherheitssysteme. Auf den Hima-Steuerungen läuft ein Betriebssystem, das speziell für sicherheitsgerichtete Anwendungen inhouse entwickelt wurde, aber im Gegensatz zu proprietären Systemen auf industrieüblichen Programmiersprachen basiert und frei programmierbar ist. Dieses umfasst alle Funktionen einer Sicherheits-SPS 2 , verzichtet aber darüber hinaus auf weitere Funktionen. Typische Attacken auf IT-Systeme sind daher nicht erfolgreich. Die Betriebssysteme der COTS-Steuerungen HIMatrix und HIMax werden bereits in ihrer Entwicklung auf ihre Widerstandsfähigkeit gegenüber Cyber-Attacken getestet. Wer dagegen mit herkömmlichen, PC-basierten SPS-Systemen operiert, muss theoretisch ständig die Betriebssoftware dieser PCs aktualisieren, um sich effektiv vor Angriffen zu schützen. Durch eine Aktualisierung der Betriebssoftware setzen Betreiber allerdings jedes Mal den Sicherheitsnachweis bzw. die Zulassung aufs Spiel. Systemprozessor und Kommunikationsprozessor sind voneinander getrennt. Selbst im Falle einer Cyber-Attacke auf den Kommunikationsprozessor gewährleistet dies eine hohe Betriebssicherheit. Darüber hinaus ist der Betrieb verschiedener, physikalisch getrennter Netzwerke auf nur einem Kommunikationsprozessor oder einem Prozessormodul möglich. Und schließlich lassen sich ungenutzte Schnittstellen einzeln deaktivieren, was die Sicherheitssteuerungen auf die Kommunikationsfunktionen limitiert, die wirklich benötigt werden. In der Kombination all dieser Eigenschaften sollten also COTS-Sicherheitssteuerungen als flexible, kosteneffiziente Steuerungslösungen in der Bahnindustrie bald zum Standard werden. ■ 1 Hima erfüllt als einziger COTS-Lieferant im Bereich Schienenverkehr SIL4-Anforderungen nach Cenelec mit nur einer Steuerung. 2 SPS: Speicherprogrammierbare Steuerung Sedat Sezgün Head of Rail, Hima Paul Hildebrandt GmbH, Brühl s.sezguen@hima.com Bild 4: SILworX ist das Konfigurations-, Programmier- und Diagnose-Tool für COTS-Steuerungen von Hima. Internationales Verkehrswesen 1|2017 (24. Februar 2017) Digitalisierung nutzen Internationales Verkehrswesen 2|2017 (27. April 2017) Transportströme steuern International Transportation 1|2017 (08. Mai 2017) Governance Internationales Verkehrswesen 3|2017 (28. August 2017) Automatisierte Mobilität Internationales Verkehrswesen 4|2017 (02. November 2017) Sicherheit durch Digitalisierung Ausführliche Themenübersicht unter www.internationalesverkehrswesen.de/ autoren-service Unsere Themen 2017