Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
MONITORING SYSTEM FOR A PROTECTIVE DEVICE AND PROTECTIVE DEVICE
Document Type and Number:
WIPO Patent Application WO/2019/162290
Kind Code:
A1
Abstract:
The invention relates to a monitoring system for a safety-related protective device (10) comprising at least one safety component, wherein the safety component comprises at least one monitoring sensor (12) and a safety controller (14) connected to the at least one monitoring sensor. According to the invention, the monitoring system comprises at least one monitoring unit (30), which is configured to monitor a state of the safety component, and a central unit (32) as components, wherein the at least one monitoring unit and the central unit are connected to each other by means of a communication network to exchange messages, wherein the communication network is configured to provide a monitoring protocol and wherein, by means of the monitoring protocol, at least one respective state of a safety component and/or a component of the monitoring system can be checked for agreement with or deviation from an associated target state and/or fraud-free identity.

Inventors:
KÖTTING, Jens (Grüner Weg 7B, Gladbeck, 45966, DE)
WARDASCHKA, André (Am Stock 59, Düsseldorf, 40472, DE)
Application Number:
EP2019/054143
Publication Date:
August 29, 2019
Filing Date:
February 20, 2019
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
DEKRA EXAM GMBH (Dinnendahlstr. 9, Bochum, 44809, DE)
DEKRA E.V. (Handwerkstraße 15, Stuttgart, 70565, DE)
International Classes:
G05B19/042; G05B9/02; G05B23/02
Domestic Patent References:
WO2014124683A12014-08-21
WO2018011802A12018-01-18
Foreign References:
EP3252550A12017-12-06
US20040243260A12004-12-02
Attorney, Agent or Firm:
SPACHMANN, Holger (C/O Stumpf Patentanwälte PartGmbB, Alte Weinsteige 73, Stuttgart, 70597, DE)
Download PDF:
Claims:
Patentansprüche

1. Überwachungssystem für eine sicherheitsgerichtete, mindestens eine, bevorzugt mehrere Sicherheitsbauteile umfassende Schutzeinrichtung (10, 40, 110), wobei die Sicherheitsbauteile zumindest einen zum Erzeu gen von jeweiligen Sensorsignalen eingerichteten Überwachungssensor (12, 42, 44) und eine mit dem zumindest einen Überwachungssensor (12, 42, 44) verbundene Sicherheitssteuerung (14, 50) umfasst, wobei die Si cherheitssteuerung (14, 50) zum Empfangen und Auswerten der Sensor signale und zum Erzeugen und Ausgeben von Sicherheitsschaltbefehlen auf der Grundlage der Sensorsignale eingerichtet ist, dadurch gekennzeichnet, dass das Überwachungssystem zumindest eine Überwa chungseinheit (30, 56), welche mit zumindest einem jeweiligen Sicher heitsbauteil verbunden ist und zum Überwachen eines Zustands des Si cherheitsbauteils eingerichtet ist, und eine Zentraleinheit (32, 54) als Komponenten umfasst, wobei die zumindest eine Überwachungseinheit (30, 56) und die Zentraleinheit (32, 54) mittels eines Kommunikations netzwerks (34, 58) zum Austausch von Nachrichten untereinander ver bunden sind, wobei das Kommunikationsnetzwerk (34, 58) zum Bereitstel len eines Überwachungsprotokolls eingerichtet ist, und wobei mittels des Überwachungsprotokolls auf der Grundlage der ausgetauschten Nachrich ten zumindest ein jeweiliger Zustand eines Sicherheitsbauteils und/oder einer Komponente des Überwachungssystems auf Übereinstimmung oder Abweichung von einem zugeordneten Sollzustand und/oder fälschungssi cheren Identität überprüfbar ist.

2. Überwachungssystem nach Anspruch 1 , dadurch gekennzeichnet, dass das Überwachungsprotokoll einen jeweiligen innerhalb der zumindest ei nen Überwachungseinheit (30, 56) und der Zentraleinheit (32, 54) aus führbaren Programmcode umfasst, welcher Ver- und Entschlüsselungsmit tel und/oder Signaturmittel und/oder Verifikationsmittel zum Erzeugen, Übermitteln, Empfangen, Auswerten und/oder Speichern der Nachrichten umfasst.

3. Überwachungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass eine von einer Überwachungseinheit (30, 56) ausgesendete Nachricht Informationen über eine Identität der Überwachungseinheit (30, 56) und/oder eines mit der Überwachungseinheit (30, 56) verbundenen Sicherheitsbauteils und/oder über ein Überwachungssignal oder einen Si cherheitsschaltbefehl umfasst, welches oder welcher von einem mit der Überwachungseinheit (30, 56) verbundenen Sicherheitsbauteil erzeugt wurde, und/oder dass eine von der Zentraleinheit (32, 54) ausgesendete Nachricht ein in einer Überwachungseinheit (30, 56) speicherbares Zertifikat umfasst, wel ches diese Überwachungseinheit (30, 56) als zulässige Komponente des Überwachungssystems kennzeichnet.

4. Überwachungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest ein Teil der Nachrichten ver schlüsselt, und insbesondere zusätzlich signiert, übertragen wird, wobei ein Verschlüsseln der Nachrichten bevorzugt mittels eines asymmetri schen Verschlüsselungsverfahrens erfolgt.

5. Überwachungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Überwachungsprotokoll eine Block- chain umfasst, wobei alle oder ein Teil der in dem Überwachungssystem übermittelten Nachrichten in der Blockchain gespeichert werden.

6. Überwachungssystem nach Anspruch 5, dadurch gekennzeichnet, dass die Blockchain oder weitere Instanzen der Blockchain in der Zentraleinheit (32, 54) und insbesondere zumindest in einem Teil der Überwachungsein heiten (30, 56) gespeichert werden.

7. Überwachungssystem nach Anspruch 6, dadurch gekennzeichnet, dass eine in einer Komponente des Überwachungssystems gespeicherte Blockchain oder ein kryptographischer Hash-Wert dieser Blockchain zeit gesteuert, ereignisgesteuert und/oder auf Anforderung durch eine andere Komponente des Überwachungssystems an zumindest eine Komponente des Überwachungssystems übermittelt wird, wobei insbesondere eine von einer Komponente empfangene Blockchain oder ein empfangener krypto graphischer Hash-Wert dieser Blockchain mit der in der empfangenden Komponente gespeicherten Blockchain oder einem kryptographischen Hash-Wert der gespeicherten Blockchain verglichen wird.

8. Überwachungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zentraleinheit (32, 54) und/oder die zumindest eine Überwachungseinheit (30, 56) dazu eingerichtet sind, bei einer festgestellten Abweichung zumindest eines Zustandes von dem zu geordneten Sollzustand, insbesondere bei einer festgestellten Abwei chung zwischen verschiedenen Instanzen der Blockchain, einen mit der Überwachungseinheit (30, 56) verbundenen Überwa chungssensor (12, 42, 44) derart zu steuern, dass der Überwa chungssensor (12, 42, 44) anstelle eines regulären Sensorsignals ein vorgegebenes Alarmierungssensorsignal erzeugt, und/oder eine die festgestellte Abweichung signalisierende Nachricht auszu senden, und/oder die Sicherheitssteuerung (14, 50) und/oder das damit ausgestattete System in einen vorgegebenen sicheren Zustand zu überführen.

9. Überwachungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zumindest eine Überwachungseinheit (30, 56) dazu eingerichtet ist, zyklisch und/oder auf Anforderung durch die Zentraleinheit (32, 54) Nachrichten auszusenden, und dass die Zentraleinheit (32, 54) dazu eingerichtet ist, diese Nachrichten zu empfangen, zumindest für einen jeweiligen Zyklus und/oder innerhalb ei ner vorgegebenen Zeitdauer nach der Aufforderung die Anzahl und/oder die Reihenfolge der empfangenen Nachrichten zu ermitteln und mit einer vorgegebenen Sollanzahl und/oder einer vorgegebenen Sollreihenfolge zu vergleichen, bei einer festgestellten Abweichung eine die festgestellte Ab weichung signalisierende Nachricht auszusenden und insbesondere diese Nachricht in der Blockchain zu speichern, und/oder bei einer festgestellten Abweichung die Sicherheitssteuerung (14, 50) in einen vorgegebenen si cheren Zustand zu überführen.

10. Überwachungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Kommunikationsnetzwerk (34, 58) ein Bussystem, insbesondere ein Feldbussystem, umfasst, wobei insbe sondere das Kommunikationsnetzwerk (34, 58) zumindest einen Teil eines Bussystems der Schutzeinrichtung (10, 40, 1 10), welches die Sicherheits bauteile miteinander verbindet, umfasst.

11. Überwachungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Überwachungssystem zusätzlich zu einer Überwachungsbetriebsart, in welcher eine Überprüfung eines jewei liger Zustands auf Übereinstimmung oder Abweichung von einem zuge ordneten Sollzustand erfolgt, in einer Konfigurationsbetriebsart betreibbar ist, in welcher zumindest eine Komponente zum Überwachungssystem hinzugefügt, aus dem Überwachungssystem entfernt oder zumindest eine Funktionalität der Komponente konfiguriert und/oder parametriert werden kann.

12. Überwachungssystem nach Anspruch 1 1 , dadurch gekennzeichnet, dass nur die Zentraleinheit (32, 54) dafür eingerichtet ist, das Überwa chungssystem in die Konfigurationsbetriebsart zu versetzen und/oder in der Konfigurationsbetriebsart zu betreiben, wobei insbesondere die Zent raleinheit (32, 54) dafür eingerichtet ist, das Versetzen des Überwa chungssystems in die Konfigurationsbetriebsart nur nach einer positiven Prüfung auf Vorliegen zumindest eines Sicherheitsmerkmals zuzulassen.

13. Sicherheitsgerichtete Schutzeinrichtung (10, 40, 1 10) mit mehreren Si cherheitsbauteilen, wobei die Sicherheitsbauteile zumindest einen zum Erzeugen von jeweiligen Sensorsignalen eingerichteten Überwachungs sensor (12, 42, 44) und eine mit dem zumindest einen Überwachungs sensor (12, 42, 44) verbundene Sicherheitssteuerung (14, 50) umfasst, wobei die Sicherheitssteuerung (14, 50) zum Empfangen und Auswerten der Sensorsignale und zum Erzeugen und Ausgeben von Sicherheits schaltbefehlen auf der Grundlage der Sensorsignale eingerichtet ist, und mit einem Überwachungssystem nach einem der vorhergehenden An sprüche, wobei zumindest ein Teil der Sicherheitsbauteile mit einer zuge ordneten Überwachungseinheit (30, 56) oder der Zentraleinheit (32, 54) verbunden ist.

14. Sicherheitsgerichtete Schutzeinrichtung (10, 40, 1 10) nach Anspruch 13, dadurch gekennzeichnet, dass ein jeweiliges Sicherheitsbauteil und die zugeordnete Überwachungseinheit (30, 56) oder Zentraleinheit (32, 54) in einer gemeinsamen Baueinheit integriert sind.

Description:
Überwachungssystem für eine Schutzeinrichtung und Schutzeinrichtung

Die vorliegende Erfindung betrifft ein Überwachungssystem für eine sicherheitsge richtete, mindestens ein, bevorzugt mehrere Sicherheitsbauteile umfassende Schutzeinrichtung, wobei die Sicherheitsbauteile zumindest einen zum Erzeugen von jeweiligen Sensorsignalen eingerichteten Überwachungssensor und eine mit dem zumindest einen Überwachungssensor verbundene Sicherheitssteuerung umfasst, wobei die Sicherheitssteuerung zum Empfangen und Auswerten der Sensorsignale und zum Erzeugen und Ausgeben von Sicherheitsschaltbefehlen auf der Grundlage der Sensorsignale eingerichtet ist.

STAND DER TECHNIK

Insbesondere mit der zunehmenden Automatisierung von Fertigungsprozessen gewinnen Schutzeinrichtungen nach den Prinzipien der Funktionalen Sicherheit zunehmend an Bedeutung. Die Systeme, Anlagen, Maschinen oder Roboter, die an der Durchführung dieser Prozesse beteiligt sind, stellen in der Regel ein erhebli ches Gefährdungspotenzial für das Bedienpersonal dar, sodass sichergestellt werden muss, dass beispielsweise Personen nicht in eine durch den Arbeitsbereich einer Maschine oder eines Roboters definierte Gefährdungszone eindringen kann, ohne eine Sicherheitsfunktion, z.B. eine Schutzabschaltung der Maschine oder des Roboters, auszulösen, oder ein unkontrolliertes Verhalten eines Fahrzeugs durch ungewolltes Auslösen von Bremse oder unkontrollierte Beschleunigung oder Lenkverhalten auftritt.

Eine hier zu betrachtende Schutzeinrichtung im Sinne der Erfindung dient dem Schutz von Personen, der Umwelt oder einer Sicherheitsüberwachung eines Sys tems, einer Anlage oder Maschine und kann z.B. optische Sensoren wie Licht schranken, Näherungssensoren, Geschwindigkeits- oder Beschleunigungssenso ren, Türschalter, Positionssensoren oder dergleichen umfassen. Derartige Schutz- einrichtungen werden regelmäßig unter dem Aspekt der Funktionalen Sicherheit von Prüfdienstleistern zertifiziert bzw. baumustergeprüft, was sich beispielsweise aus berufsgenossenschaftlichen Vorgaben, aus Normen wie ISO 26262, IEC 61508, DIN EN 62061 , DIN EN ISO 13849 oder z.B. der Maschinenrichtlinie 2006/42/EG D der EU im Stand Januar 2019 ergibt. Schutzeinrichtungen nach den Prinzipien der Funktionalen Sicherheit (FS) schüt zen Menschen und Umwelt vor Fehlfunktionen von sicherheitskritischen Anlagen, Maschinen oder Systemen und umfassen regelmäßig Sicherheitsbauteile wie Überwachungssensoren, eine Sicherheitssteuerung sowie ggf. Aktoren. Es sind auch Schutzeinrichtungen denkbar, bei denen auf eine explizite Sicherheitssteue- rung oder ein Aktor verzichtet werden kann, z.B. akustische Alarmeinrichtungen einer Brandmeldereinrichtung mit Rauchdetektoren. Diese werden je nach Abs traktionsebene auf Input - Logik - Output aufgeteilt.

So weist eine Schutzeinrichtung in der Regel zumindest einen Überwachungs sensor auf, der an eine zentrale Sicherheitssteuerung meldet, die daraufhin einen Aktor schaltet. Der Überwachungssensor wiederum hat jedoch selber einen Input (Sensorelement), eine Logik (Verarbeitung des Sensorsignals) sowie einen Output (Meldung an die Sicherheitssteuerung über z.B. PNP-Ausgang). Dies ist von Inte resse z.B. bei einer Prüfung der Sicherheitsbauteile wie des Überwachungs sensors. Sicherheitssteuerung und Aktorik können auch in Input-Logic-Output Teilelemente aufgeteilt werden.

Es ist eine Abstraktionsebene zu definieren, die betrachtet werden soll: Wird ein Sicherheitsbauteil geprüft, so wird dieses in Input-Logic-Output aufgeteilt. Wird ein Gesamtsystem geprüft, so betrachtet man in der Regel ein Sicherheitsbauteil für lnput(Sensor)-Logic(Steuerung)-Output(Aktor). Aufgrund dieser vielen Teilschnitt- stellen können Fehlfunktionen in nur einem Teil Auswirkungen auf das darüber geordnete Ganze haben. Die Funktionale Sicherheit kümmert sich hierbei um zufällige (z.B. Bauteilversagen durch Alterung) und systematische (z.B. De signfehler) Ausfälle, die ungewollt in einer Schutzeinrichtung oder eines durch die Schutzreinrichtung abgesichertes System, Anlage oder Maschine auftreten. Das Prinzip der Funktionalen Sicherheit überwacht und schützt das System sozusagen vor Fehlern, die im Inneren des Systems auftreten sowie bei vorhersehbarer Fehl- anwendung.

Eine bewusste Manipulation oder ein gezielter Angriff von außen sind normaler weise nicht im Anwendungsbereich der Funktionalen Sicherheit vorgesehen und werden daher von ihr auch nicht bzw. nur stiefmütterlich behandelt. Es gibt Vorga ben, die eine Berücksichtigung von„böswilliger oder nicht autorisierter Handlung“ einfordern, dies beschränkt sich meist darauf, die Schutzeinrichtung oder eine darin befindliche Sicherheitssteuerung mit einem Passwort zu versehen. Für alle darüber hinausgehende Schutzmaßnahmen gegen insbesondere informationstechnische nichtautorisierte Handlungen wird auf die Cyber Security verwiesen.

Wird ein Fehler in der Schutzeinrichtung oder dem hierdurch abgesicherten Sys- tem/Anlage/Maschine erkannt, wird ein vorher definierter sicherer Zustand herge stellt. Dies kann z.B. das Abschalten eines Antriebes sein.

Zur Überwachung von Gefährdungs- oder Überwachungsbereichen werden bei spielsweise optoelektronische Sensoren als Überwachungssensoren vorgesehen. Wenn durch einen oder mehrere Überwachungssensoren ein sicherheitskritisches Eindringen in den Gefährdungs- oder Überwachungsbereich festgestellt wurde, werden entsprechende Sensorsignale an die Sicherheitssteuerung übermittelt. Die Sicherheitssteuerung wertet diese Befehle aus und erzeugt einen oder mehrere geeignete Sicherheitsschaltbefehle, die an Befehlsausgängen der Sicherheitssteu erung ausgegeben werden. Diese Sicherheitsschaltbefehle können von Aktoren empfangen werden, die mit der Sicherheitssteuerung verbunden sind. Ein Beispiel für ein derartiges Sensorsignal ist ein sogenannter OSSD-Ausgang (Output Signal Switching Device), welcher vereinfacht gesagt ein Leistungsschaltbauteil wie ein Relais, ein Schütz oder ein Leistungshalbleiterschalter darstellt, welches zum Ab schalten oder Deaktivieren einer damit verbundenen Maschine vorgesehen ist. Häufig sind diese Ausgänge, insbesondere OSSD-Ausgänge, bereits in die Si cherheitssensoren integriert. Darüber hinaus können ähnliche Schutzeinrichtungen auch bei vielen anderen Anwendungen eingesetzt werden, zum Beispiel zur Überwachung von thermody namischen Prozessen, bei denen zum Beispiel Messgrößen wie etwa Temperatu ren, Drücke oder Konzentrationen bestimmter Stoffe in Stoffgemischen auf Einhal tung bestimmter Grenzwerte überwacht werden müssen, um einen ordnungsge- mäßen Ablauf der Prozesse zu gewährleisten und insbesondere zu verhindern, dass eine Abweichung der zu überwachenden Parameter von zulässigen Werten zu Havarien führt, welche ein erhebliches Schad- oder Gefährdungspotenzial in sich tragen können. Nur beispielhaft seien hier Anlagen der chemischen Industrie, konventionelle Kraftwerke oder auch Atomkraftwerke genannt. An in sicherheitskritischen Systemen eingesetzte Schutzeinrichtungen werden hohe Anforderungen in Bezug auf Sicherheit und Verfügbarkeit gestellt. Dies betrifft sowohl die Gewährleistung der Sicherheit des von der Schutzeinrichtung über wachten Systems gegenüber Ausfällen oder Defekten einzelner Sicherheitsbauteile als auch die Sicherheit gegenüber Manipulationen. Während beispielsweise eine Überwachung der Überwachungssensoren auf Funktion in einem gewissen Maß auch durch die Sicherheitssteuerung erfolgen kann, beispielsweise durch Über wachung einer vom Sensor bereitgestellten Spannung oder eines Stromes, ist eine Überwachung der Schutzeinrichtung auf mögliche vorsätzliche Manipulationen durch Bedienpersonen oftmals wesentlich aufwändiger. So sind beispielsweise bei Werkzeugmaschinen häufig Abdeckungen vorgesehen, die nur in ihrem geschlossenen Zustand einen Betrieb der geschützten Werkzeug- maschine erlauben. Bei Störungen oder Wartungsarbeiten versuchen Bedienper sonen aus Gründen einer vermeintlichen Arbeitserleichterung oftmals, die Wirkung der Schutzeinrichtung dahingehend zu manipulieren, dass ein Betrieb der Werk zeugmaschine auch bei geöffneter Abdeckung möglich ist. Beispielsweise wird ein magnetischer Überwachungssensor, welcher zur Überwachung der Schließposition der Abdeckung vorgesehen ist, von der Sicherheitssteuerung abgeklemmt und anstelle des Überwachungssensors ein Dauersignal an die Sicherheitssteuerung angeschlossen, welches die korrekte Schließstellung der Abdeckung unabhängig von ihrer tatsächlichen Position simuliert. Da dann auch ein Betrieb der Werk zeugmaschine bei offener Abdeckung möglich ist, können die Bedienperson oder andere, insbesondere auch unbeteiligte Personen, die von der Manipulation keine Kenntnis haben, erheblichen Gefahren ausgesetzt sein. Auch andere Sicherheits bauteile können ein Ziel von Manipulationsversuchen oder Austausch durch Plagi ate sein.

Auch ist bei einer weiter fortschreitenden Entwicklung zu einer Machi- ne-Human-lnteraction, wie sie insbesondere in der Industrie 4.0 Konzeption ange strebt wird, vielfältige Distanz-und Überwachungssensorik zum Schutz eines Men schen bei einer koordinierten Zusammenarbeit mit einer Maschine, insbes. einem Roboter vorgesehen, deren korrekte und vertrauensvolle Funktion Voraussetzung für eine störungs- und unfallfreie Kooperation und für die prüftechnische Zulassung derartiger Arbeitssituationen ist.

Nach dem Prinzip der Funktionalen Sicherheit gibt es verschiedene Architekturen, um der Schutzaufgabe gerecht zu werden. Im Normalfall wird ein einkanaliges System mit Diagnose verwendet, das als sog. 1 oo1 D-System bezeichnet wird, und das einen Überwachungssensor, eine Sicherheitssteuerung und einen Aktor um- fassen kann. Hierbei dient eine Diagnose i.d.R. nur der Funktionalen Sicherheit (FS) und überwacht die bestimmungsgemäße Verwendung sowie die vorherseh bare Fehlanwendung des Systems / Anlage / Maschine. Eine Manipulation am Überwachungssensor, so dass dieser falsche Werte ausgibt, eine Manipulation der Übertragung des Sensorwertes zur Sicherheitssteuerung, ein Eingriff in die Si cherheitssteuerung z.B. durch Manipulation von Speicherinhalten oder eine Kor ruption (Manipulation, unerwünschte Änderung missbräuchliche Verwendung) der Aktorsteuerung, z.B. Festsetzung von Schützen oder Relais kann sehr einfach die funktionale Sicherheitsfunktion eines derartigen 1 oo1 D-System außer Betrieb setzen. Daneben sind z.B. zweikanalige 1 oo2D-Systeme mit redundanten, paral lelen Überwachungssensoren und Sicherheitssteuerungen bekannt, in der ein Hackerangriff eben in beiden Kanälen parallel oder sequentiell erfolgen kann, so dass auch hier eine Funktionale Sicherheit bei Manipulation von außen ausgehe- beit werden kann.

Ein Hackerangriff, abgekürzt Hack bedeutet ein unerlaubtes Eindringen in eine Schutzeinrichtung einer sicherheitskritischen Anlage, eines Systems oder einer Maschine, z.B. durch Dateneingriff in ein Sicherheitsbauteil, in das die Sicher heitsbauteil und die Sicherheitssteuerung verbindende Datennetzwerk oder in die Sicherheitssteuerung an sich, meist unter Ausnutzung von Lücken der Cy ber-Security.

Unter Cyber-Security (CS) versteht man den Schutz gegen einen nicht autorisierten Zugriff auf Dienste oder Informationen einer Komponente oder Systems über eine Kommunikations-Schnittstelle. Der Zugriff erfolgt hierbei in der Regel gezielt unter Ausnutzung von Schwächen in Hard- bzw. Software. Da es sich bei dem Zugriffs versuch um eine gezielte Aktion weit über das Maß einer vorhersehbaren Fehlan wendung hinaus handelt, spricht man hier auch von einem Angriff. Im Gegensatz zur Funktionalen Sicherheit liegt der Fokus bei Cyber-Security daher auf dem Schutz vor bewusster Umgehung von Autorisierungsmechanismen, um auf Infor- mationen oder Dienste zugreifen oder eben diese manipulieren zu können. Als technische Maßnahme wird hierbei unter anderem auf kryptografische Verfahren zurückgegriffen, um z.B. die Kommunikation vor unerlaubter Manipulation oder Verletzung der Vertraulichkeit zu schützen. Cyber-Security schützt hierbei das System vor den (angreifenden) Menschen - Funktionale Sicherheit schützt hinge gen den Menschen vor dem technischen System.

In der Fig. 1 ist abstrakt das Wechselspiel zwischen Funktionaler Sicherheit (FS), die eine bestimmungsgemäßen Arbeitsfunktion („Operational Mode“) einer Schutz- einrichtung durch Fehler, Ausfälle von innen schützt, und einer Cy- ber-Security-Überwachungsschicht, die einen Angriff auf den Operational Mode der Schutzeinrichtung von außen verhindern soll - z.B. durch Passwortschutz, Daten verschlüsselung, Signatur oder ähnliches. Allerdings kann die Cyber-Security nicht auf die Funktion der Schutzeinrichtung zugreifen oder deren Integrität (Unver- sehrtheit, Reinheit, Unbescholtenheit, Verhinderung unautorisierter Modifikation von Informationen) gegenüber äußeren Angriffen überprüfen. Sobald ein Angriff er folgreich ist, kann weder die Cyber-Security noch die Funktionale Sicherheit eine sicherheitsrelevante Aufrechterhaltung des Operational Modes garantieren.

Ein erfolgreicher Hackerangriff auf ein System der Funktionalen Sicherheit ist im- mer möglich. Einer der Hauptgründe hierfür ist, dass die CS - im Gegensatz zur FS - eine regelmäßige Aktualisierung der Systeme benötigt. Eine Aktualisierung ist aber nicht immer möglich. Gründe können sein, dass Patches (Behebung von Sicherheitslücken) bereitgestellt und ständig überarbeitet werden müssen. Gerade im Hinblick auf bei sogar aktuellen Smartphones, Tablets und Wearables sind Hersteller nicht immer bereit, einen zeitlichen und finanziellen Aufwand zur Patch pflege zu leisten. Daneben müssen bereitgestellte Patches eingespielt werden: Fehlende Internetverbindungen oder Unwissenheit der Anwender können dies zuweilen zeitlich verzögern oder gänzlich verhindern. Auch wird in manchen Fällen bewusst auf eine Aktualisierung verzichtet, um z.B. bei laufenden Produktionssys- temen eine Verfügbarkeit nicht zu gefährden und neue Fehler einzubauen. Auch können Patches bei älterer Hardware zu Performanceverlusten führen. Manchmal können Patches aber auch nicht oder nur unzureichend zur Verfügung gestellt werden. Dies ist zumeist der Fall, wenn die CS in Hardware umgesetzt wurde; z.B. bei mR (Thema Spectre, Meltdown) oder ASICs.

Sollte nun ein erfolgreicher Angriff auf ein System der Funktionalen Sicherheit stattfinden, kann weder ein Versagen der CS noch der FS attestiert werden. So kann durch vorgenannte ungenügende Patchpflege die CS eine Manipulation nicht verhindern, und die FS kennt keine Mechanismen, eine Korruption durch einen Hackerangriff oder eine Manipulation festzustellen.

Die WO2018/01 1802 beschreibt ein Sicherheitsdatenmonitorsystem für eine Fabrik oder eine Anlage. Das System umfasst mehrere„collector hosts“, die mit externen Datenquellen verbunden sind. Ferner ist eine Vielzahl von „inspector hosts“ vorgesehen, wobei die „inspector hosts“ die„collector clusters“ überwachen und die dabei gewonnenen Daten zur weiteren Analyse an andere„inspector hosts“ übermitteln. Die Kommunikation und insbe sondere auch eine Protokollierung erfolgt mithilfe einer verteilten Blockchain-Datenstruktur, wobei zur Prüfung der Integrität der Daten Hashwerte herangezogen werden. Die„Block- chain“ wird auch als„knowledgebase“ bezeichnet. Insofern wird eine Protokollierung eines Zustands und Zustandsänderungen einer Anlage beschrieben, so dass eine Protokollie rung innere Abläufe und Zustände einer industriellen Anlage möglich ist. Jedoch fehlt jeglicher Schutz eines Sicherheitsüberwachungssystems gegenüber gezielter Manipulation und es werden keine Maßnahmen zur Abwehr eines Angriffs auf sicherheitsrelevante Komponenten und zum Schutz von Menschen und Umwelt getroffen. Der Aspekt einer auf funktionale Sicherheit gerichtete Schutzeinrichtung fehlt gänzlich, auch werden keine Vorschläge zur konsistenten Überwachung einer Schutzeinrichtung und Überführung der Anlage im Fehlerfall im Sinne des Erfindungskontextes gemacht.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Überwachungssystem sowie eine Schutzeinrichtung mit einem Überwachungssystem anzugeben, welche eine hohe Sicherheit gegenüber Ausfall und/oder Manipulation von einem oder mehreren Sicherheitsbauteilen der Schutzeinrichtung gewährleisten. OFFENBARUNG DER ERFINDUNG

Die Lösung der Aufgabe erfolgt durch ein Überwachungssystem sowie durch eine Schutzeinrichtung mit den Merkmalen der unabhängigen Ansprüche. Vorteilhafte Ausführungsformen der Erfindung sind Gegenstand von Unteransprüchen. Dieses Konzept soll im Folgenden als FCS-Konzept (Funktionale Cyber Sicherheit - Func- tional Cyber Safety) bezeichnet werden, demzufolge ein FCS-Überwachungssystem zur Überwachung der Integrität einer FCS-Schutzreinrichtung.

Es wird vorgeschlagen, dass das Überwachungssystem zumindest eine Überwa chungseinheit, welche mit zumindest einem jeweiligen Sicherheitsbauteil verbun- den ist und zum Überwachen eines Zustands des Sicherheitsbauteils eingerichtet ist, und eine Zentraleinheit als Komponenten umfasst, wobei die zumindest eine Überwachungseinheit und die Zentraleinheit mittels eines Kommunikationsnetz werks zum Austausch von Nachrichten, das sogenannte FCS-Netzwerk beinhalten, untereinander verbunden sind, wobei das Kommunikationsnetzwerk zum Bereit- stellen eines Überwachungsprotokolls eingerichtet ist, und wobei mittels des Überwachungsprotokolls auf der Grundlage der in den ausgetauschten Nachrichten enthaltenen FCS-Diagnosen zumindest ein jeweiliger Zustand eines Sicherheits bauteils und/oder einer Komponente des Überwachungssystems auf Überein stimmung oder Abweichung von einem zugeordneten Sollzustand und/oder fäl- schungssicheren Identität überprüfbar ist.

Mit anderen Worten sind alle oder zumindest ein Teil der Sicherheitsbauteile der Schutzeinrichtung mit einer jeweiligen Überwachungseinheit verbunden. Durch ein Zusammenwirken der Komponenten des Überwachungssystems können somit ein oder mehrere Zustände der angekoppelten Sicherheitsbauteile bzw. von Kompo- nenten des Überwachungssystems überprüft werden. Unter dem Begriff "Zustand" werden in diesem Zusammenhang insbesondere ein oder mehrere Parameter und/oder Eigenschaften verstanden, die für ein jeweiliges Sicherheitsbauteil bzw. eine jeweilige Komponente des Überwachungssystems charakteristisch sind. Die Überprüfung von Zuständen kann sich also insbesondere auf Zustände eines mit einer jeweiligen Überwachungseinheit verbundenen Sicherheitsbauteils, auf Zu stände der mit einem Sicherheitsbauteil verbundenen Überwachungseinheit und auch auf Zustände der Zentraleinheit beziehen. Für die zu überprüfenden oder zu überwachenden Sicherheitsbauteile, Überwachungseinheiten oder Zentraleinheiten wird nachfolgend auch synonym der zusammenfassende Begriff „Bauteil“ verwen det.

Es versteht sich von selbst, dass innerhalb der Schutzeinrichtung der oder die Überwachungssensoren, die Sicherheitssteuerung und ein oder mehrere zu schaltende Aktoren als funktionale Komponenten zu verstehen sind, wobei diese gerätetechnisch zumindest teilweise strukturell in einem Bauteil zusammengefasst sein können.

Bei einem Zustand kann es sich beispielsweise um einen Bauteilsignalisierungs- zustand handeln, etwa einen durch ein ausgegebenes Sensorsignal repräsentierten Sensorzustand eines Überwachungssensors oder einen durch einen ausgegebe nen Sicherheitsschaltbefehl repräsentierten Schaltzustand der Sicherheitssteue rung. Weiterhin kann ein Zustand die Funktionsfähigkeit eines Sicherheitsbauteils repräsentieren, wobei zu diesem Zweck eine gegebenenfalls vorhandene Selbst- diagnostik des betreffenden Sicherheitsbauteils zugrunde gelegt wird oder die Überwachungseinheit über eigene Diagnostikmittel verfügt, um die Funktionstüch tigkeit des verbundenen Sicherheitsbauteils zu überprüfen.

Ein weiteres Beispiel für einen zu überprüfenden Zustand kann die Integrität eines überwachten Bauteils betreffen. Eine Integritätsprüfung kann sich beispielsweise auf eine eindeutige Identifikation eines Bauteils, beispielsweise eine eindeutige Seriennummer des betreffenden Bauteils beziehen. Als weiterer Zustand kann beispielsweise auch die Echtheit eines Bauteils überprüft werden, sodass ermittelt werden kann, ob es sich bei dem betreffenden Bauteil um ein Originalbauteil des Herstellers oder um eine Produktfälschung handelt. Noch ein weiteres Beispiel für einen zu prüfenden Zustand ist die Systemzugehörigkeit des Bauteils, worunter insbesondere verstanden wird, ob das Sicherheitsbauteil bzw. die mit dem Sicher- heitsbauteil verbundene Überwachungseinheit als eine zulässige Komponente des Überwachungssystems identifiziert werden kann.

Die innerhalb des Kommunikationsnetzwerks ausgetauschten Nachrichten und darin enthaltenen FCS-Diagnosen sind insbesondere verschieden von den insbe sondere sicherheitsrelevanten Signalisierungen, wie Sensorsignale oder Sicher- heitsschaltbefehle, die zwischen den Überwachungssensoren, der Sicherheits steuerung und gegebenenfalls vorhandenen Aktoren übermittelt werden.

Eine zu überwachende Schutzeinrichtung kann zusätzlich zu der Sicherheitssteu erung und dem zumindest einen Überwachungssensor zumindest einen mit der Sicherheitssteuerung verbundenen, zum Empfangen der Sicherheitsschaltbefehle eingerichteten Aktor umfassen, z.B. ein Schütz oder Relais zum An- oder Ab schalten einer mit der Schutzeinrichtungen verbundenen Maschine oder eine Steuervorrichtung, die insbesondere sicherheitsrelevante Vorgänge steuern kann, insbesondere diese Vorgänge starten, fortsetzen oder beenden kann.

Die Komponenten der Schutzeinrichtung können direkt untereinander verdrahtet aber auch drahtlos über eine Luftschnittstelle wie Funknetzwerk oder optisch ver bunden sein oder über ein Kommunikationsnetzwerk wie z.B. Bussystem, bei spielsweise ein Feldbussystem wie CAN-Bus, l 2 C-Bus oder dergleichen, mitei nander verbunden sein.

Bei dem Kommunikationsnetzwerk kann es sich beispielsweise um ein Bussystem oder ein Peer-to-Peer-Netzwerk handeln, wobei die Überwachungseinheiten mit der Zentraleinheit und insbesondere auch untereinander bidirektional kommuni zieren können.

Das genannte Kommunikationsnetzwerk kann ein separates oder dezidiertes Netzwerk sein, beispielsweise ein Ethernet-Netzwerk oder auch eines der vorste hend genannten Bussysteme. Alternativ ist es auch möglich, dass das Kommuni- kationsnetzwerk ein die Komponenten der Schutzeinrichtung verbindendes Bus system mit nutzt, wobei die Unterscheidung der erfindungsgemäß zu übermitteln den Nachrichten der FCS-Diagnosen von den vorstehend genannten sicherheits relevanten Signalisierungen durch eine Verwendung unterschiedlicher Netzwerk protokolle erreicht werden kann. Die Überwachung der jeweiligen Zustände kann durch die Zentraleinheit erfolgen. Alternativ oder zusätzlich ist es auch möglich, dass sich die verschiedenen Über wachungseinheiten gegenseitig überwachen, was nachfolgend noch näher erläutert wird.

Im Rahmen der Erfindung wird somit eine synergetische Vereinigung der Prinzipien der FS und CS vorgeschlagen, die im Folgenden als FCS (Funktionale Cyber Sicherheit - Functional Cyber Safety) bezeichnet werden kann. Die FCS vereint die beiden Fachbereiche FS und CS zu einer Gesamteinheit. Es existieren keine aus schließlich autarken Schichten einer Zwiebel, wie in Fig. 1 dargestellt, sondern eine gemeinsame Schnittmenge aus FS und CS werden bereitgestellt, wobei im Wechselspiel zwischen FS und CS eine Manipulation oder ein Hackerangriff er kannt und ein (erweiterten) sicherer Zustand eines sicherheitskritischen Sys tems/Maschine/Anlage hergestellt werden kann. Die FCS verhindert oder zumin dest erschwert die heutzutage vorhandenen Probleme von Hackerangriffen, Mani pulation und Wartungsfehlern (falscher Bauteileinbau, vergessene oder fehlerhafte Parametrisierung). Zur Verdeutlichung des vorgeschlagenen Überwachungssystems ein Ausfüh rungsbeispiel aus dem Automotive-Bereich: Die einzelnen Komponenten des Überwachungssystems müssen sich hierbei nicht notwendigerweise alle lokal an einem Ort (sprich: in dem gleichen Fahrzeug) befinden. So ist es denkbar, dass einzelne Teile, wie die Zentraleinheit, zusätzlich auf andere Systeme verteilt oder von diesen mit eingebunden werden. So können sich weitere, an dem Überwa chungssystem teilnehmende, Überwachungseinheiten auch in anderen Fahrzeu gen einer Flotte oder auch in weiteren Fahrzeugen in einer definierten lokalen Umgebung befinden. Auch die Auslagerung einer oder mehrere dieser Kompo nenten in eine zentralisierte Umgebung, wie der eines Cloud-Dienstes, wäre hier denkbar auf die die Zentraleinheit des Überwachungssystems Zugriff haben kann.

Ein denkbarer Angriff ist hierbei beispielsweise die gezielte Manipulation einzelner Teile der Software, Konfiguration oder Gerätekennungen von Sicherheitsbauteilen der Schutzeinrichtung. Dabei ist es unerheblich, ob die Manipulation über eine Internet-Schnittstelle aus der Ferne oder lokal am Fahrzeug vorgenommen wird. Ein denkbares Szenario ist neben dem Angriff eines Hackers aus der Ferne bei spielsweise die Manipulation durch den Besitzer zum Zwecke eines Motor-Tunings (Chip-Tuning) zur unzulässigen Leistungssteuerung eines Fahrzeugs. Ein tech nisch versierter Angreifer könnte bei Zugriff auf ein (lokales) Sicherheitsbauteil, wie der Drehzahl- und/oder Drehmomentbegrenzungseinrichtung einer Motorsteuerung nicht nur die Manipulation einzelner Sicherheitsfunktionen wie die der Geschwin- digkeits- oder Leistungsbegrenzung vornehmen, sondern unter Umständen auch Maßnahmen (wie einen Alarm) der Schutzeinrichtung unterbinden.

Eine Einbindung weiterer Überwachungseinheiten verschiedener Fahrzeuge des selben Typs in einem, mehrere Schutzeinrichtungen überspannendes Kommunika- tionsnetzwerk, z.B. im Rahmen einer vernetzten Cloudlösung einer Fahrzeugtyp serie, würde eine Manipulation mit zunehmender Anzahl beliebig erschweren. So könnten beispielsweise Überwachungseinheiten andere Fahrzeuge als Teil des Überwachungssystems aktiv Sensordaten von Sicherheitsbauteilen des zu über wachenden Fahrzeugs aufnehmen und im verteilten Kommunikationsnetzwerk abgleichen. Dies könnte durch Nachrichten, die FCS-Diagnosen von Geschwin- digkeits-, Beschleunigungs- oder Geräuschpegelmessung umfassen, oder durch Analyse von gesendeten Software-Signaturen der Nachrichten über eine gesicherte Nahfeld-Funkverbindung realisiert werden. Ein Abgleich der Fahrzeug-Kennung oder des Fahrzeug-Typs mit den gesammelten und übertragenen Daten durch die Zentraleinheit könnte hierbei dazu führen, dass das zu überwachende Fahrzeug über eine gesicherte Kommunikation des Kommunikationsnetzwerkes angewiesen wird, in einen sicheren FCS-Zustand zu gehen (beispielsweise den Motor zu dros- sein oder gänzliche den Startvorgang zu verhindern).

Ähnliche Ausführungsbeispiele lassen sich auch auf andere Bereiche übertragen, wie beispielsweise Flaushaltsgeräte, die vernetzt und unter Umständen auch über das Internet erreichbar sein können. So würde beispielsweise bei Kühlschränken eine Schutzeinrichtung durch eine Überwachung des Kompressors vor Überhitzung oder unzureichender Kühlleistung schützen können. Ein Überwachungssystem kann aufgrund einer FCS-Diagnose eine Abschaltung des Kompressors als Si cherheitsbauteil bei Manipulation der Schutzeinrichtung oder einer Überhitzung bei Ausfall eines Temperatur-Überwachungssensors bewirken, wobei eine FCS-Diagnose einer, einem Kompressor, einem Leistungsmesssensor oder einem Temperatursensor als Sicherheitsbauteil zugeordneten Überwachungseinheit einen möglichen Angriffe signalisiert. Der Angriff kann beispielsweise durch den Einbau von Bauteilen, die nicht vom Hersteller freigegeben sind, durch eine Manipulation der Software oder Konfiguration, ein Funktionsausfall, durch nicht autorisierten Zugriff (Hacker), oder durch eine Abweichung des Betriebsverhaltens gegenüber andere über sichere Verbindung miteinander vernetzte Haushaltsgeräte gleichen Kühlschrank-Typ/Version mit Parametern erlaubter Komponenten abweicht. Dies könnte beispielsweise durch eine abweichende Signatur der Soft/Hardware, Kon- figuration oder Sensordaten durch die Zentraleinheit des Überwachungssystems festgestellt werden, die entweder lokal im Kühlschrank angeordnet und über Nach richtenverbindung über ein Kommunikationsnetzwerk mit der Kompres sor-Überwachungseinheit und/oder einer Temperatursensor-Überwachungseinheit in Verbindung steht, oder dezentral auf einen verteilten Datenspeicher einer Clou- danwendung zugreifen, auf dem die Überwachungseinheiten einer Mehrzahl von Kühlschränken ihre Nachrichten schicken. So kann zumindest indirekt ein Ausfall des Temperatursensors der Schutzeinrichtung durch die Zentraleinheit festgestellt werden, wonach FCS-Diagnosen der Überwachungseinheiten verschiedener Leis tungsmesssensoren verteilter Kühlschränke eine stark abweichende Leistungs- aufnahme eines Kühlschranks feststellt, dessen defekter Temperatursensor aus gefallen dauerhaft einen zu hohen Wert ausgibt, so dass dessen Kühlleistungs aufnahme relativ sehr stark erhöht zu weiteren, im Kommunikationsnetzwerk ver bundenen Kühlschränken, ist.

Vorteilhaft können Überwachungseinheiten verteilt in mehreren, vorzugsweise vergleichbaren Schutzeinrichtungen eingesetzt und über ein, die Schutzeinrich tungen verbindendes Kommunikationsnetzwerk, insbesondere durch eine netz werkbasierte Cloudlösung mit einer Zentraleinheit verbunden sein So ist ein mo dellbasiertes Überwachungssystem für Schutzeinrichtungen von Modellen bzw. Serien gleichartiger Anlagen/Systeme/Maschinen wie Fahrzeuge, Haushaltsgeräte oder ähnliches denkbar, wobei abweichendes Verhalten oder Korruption einzelner Schutzeinrichtungen durch einen Vergleich über die Serie der Schutzeinrichtungen möglich ist, als Beispiel wird weiter unten auf das Ausführungsbeispiel„Fahrzeuge“ oder„Kühlschrank“ verwiesen.

Gemäß einer vorteilhaften Ausführungsform der Erfindung ist es vorgesehen, dass das Überwachungsprotokoll einen jeweiligen innerhalb der zumindest einen Über wachungseinheit und der Zentraleinheit ausführbaren Programmcode umfasst, welcher Ver- und Entschlüsselungsmittel und/oder Signaturmittel und/oder Verifi- kationsmittel zum Erzeugen, Übermitteln, Empfangen, Auswerten und/oder Spei chern der Nachrichten bzw. FCS-Diagnosen umfasst. Der Programmcode kann in den verschiedenen Einheiten identisch oder zumindest gleichartig sein, sodass gewährleistet ist, dass der Austausch und die Auswertung der Nachrichten bzw. der FCS-Diagnosen in gleichartiger Weise erfolgen. Durch die Verwendung von Ver- und Entschlüsselungs-, Signatur-, und/oder Verifikationsmitteln, welche sich kryp- tographische Methoden zunutze machen, wird u.a. gewährleistet, dass Nachrichten nur von autorisierten Komponenten gesendet bzw. empfangen werden können und etwaige Manipulationen durch Austausch von einzelnen Komponenten durch die Zentraleinheit oder andere Überwachungseinheiten entdeckt werden können. Die Ver- und Entschlüsselungsmittel gewährleisten, dass die Nachrichten verschlüsselt gesendet werden und nur von entsprechend autorisierten Komponenten, die über die korrespondierenden Entschlüsselungsmittel verfügen, gelesen werden können. Unter Signaturmitteln werden insbesondere Mittel verstanden, die die Urheber schaft einer Nachricht überprüfbar machen, wobei das Überprüfen beispielsweise durch die Verifikationsmittel erfolgen kann.

Gemäß einer weiteren Ausführungsform der Erfindung kann eine von einer Über wachungseinheit ausgesendete Nachricht mit der darin enthaltenen FCS-Diagnose Informationen über eine Identität der Überwachungseinheit und/oder eines mit der Überwachungseinheit verbundenen Sicherheitsbauteils und/oder über ein Über- wachungssignal oder einen Sicherheitsschaltbefehl umfassen, welches oder wel cher von einem mit der Überwachungseinheit verbundenen Sicherheitsbauteil erzeugt wurde.

Alternativ oder zusätzlich kann eine von der Zentraleinheit ausgesendete Nachricht ein in einer Überwachungseinheit fälschungssicheren Identitätsnachweis in Form eines speicherbaren Zertifikats umfassen, welches diese Überwachungseinheit als zulässige Komponente des Überwachungssystems kennzeichnet. Unter der Iden tität einer Überwachungseinheit bzw. eines mit der Überwachungseinheit verbun- denen Sicherheitsbauteils wird beispielsweise eine individuelle Seriennummer der Überwachungseinheit bzw. des Sicherheitsbauteils verstanden, die beispielsweise mittels der Überwachungseinheit aus dem Sicherheitsbauteil ausgelesen werden kann. Insbesondere kann es sich bei einer Information über eine Identität einer Einheit auch um das in dieser Einheit gespeicherte Zertifikat handeln. Das Merk- mal, wonach die Nachricht Informationen über eine Identität umfasst, bedeutet nicht, dass die Identität selbst, d.h. die Seriennummer oder das Zertifikat, übertra gen werden muss. Vielmehr ist es beispielsweise auch ausreichend, einen aus der Identität erzeugten Hash-Wert dieser Identität als Identitätsinformation zu übertra gen, der dann z.B. durch die Zentraleinheit ausgewertet und/oder überprüft werden kann.

Durch das Übermitteln eines fälschungssicheren Identitätsnachweises, beispiels weise in Form eines Zertifikats, digitale Signatur, einer Hardwarecodierung etc., von der Zentraleinheit an eine der Überwachungseinheiten kann insbesondere die Mitgliedschaft einer bestimmten, beispielsweise einer neuen oder ausgetauschten Komponente in dem Überwachungssystem bestätigt werden. So kann gewährleis tet werden, dass nur diejenigen Komponenten innerhalb des Kommunikations netzwerks bzw. innerhalb des Überwachungssystems kommunizieren dürfen, die über ein gültiges gültigen Identitätsnachweis verfügen. Verfügt eine Komponente über kein oder einen ungültigem Identitätsnachweis, können Nachrichten, die von dieser Komponente stammen, als Indiz für eine Manipulation gewertet werden und entsprechende Sicherheitsmaßnahmen eingeleitet werden.

Vorteilhafterweise kann zumindest ein Teil der Nachrichten verschlüsselt, und insbesondere zusätzlich signiert, übertragen werden, wobei ein Verschlüsseln der Nachrichten bevorzugt mittels eines asymmetrischen Verschlüsselungsverfahrens erfolgt. Insbesondere kann ein Public-Key-Verschlüsselungsverfahren zum Einsatz kommen, sodass die kommunizierenden Komponenten keinen gemeinsamen geheimen Schlüssel zu kennen brauchen. Der öffentliche Schlüssel ermöglicht es einer Komponente, Nachrichten für eine andere Komponente, die im Besitz des zu diesem öffentlichen Schlüssel gehörigen privaten Schlüssels ist, zu verschlüsseln, deren digitale Signaturen zu prüfen oder sie zu authentifizieren. Der private Schlüssel ermöglicht es der Besitzerkomponente, mit dem öffentlichen Schlüssel verschlüsselte Nachrichten zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentifizieren. Entsprechende Verschlüsselungs- oder Kryptographiever fahren sind allgemein bekannt.

Der private Schlüssel kann beispielsweise in einem speziell geschützten Speicher einer Überwachungseinheit bzw. der Zentraleinheit hinterlegt sein. Ein Beispiel für einen derartigen Speicher ist ein sogenanntes TPM (Trusted Platform Modul). Mithilfe des öffentlichen Schlüssels können einzelne Komponenten des Überwa chungssystems dahin gehend überprüft werden, ob es sich um zulässige, d. h. systemzugehörige Komponenten handelt. Beispielsweise kann mittels des soge nannten Challenge-Response-Verfahrens festgestellt werden, ob eine Komponen te, die über einen öffentlichen Schlüssel verfügt, auch im Besitz des zugehörigen privaten Schlüssels ist.

Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung umfasst das Überwachungsprotokoll eine Blockchain, wobei alle oder ein Teil der in dem Überwachungssystem übermittelten Nachrichten in der Blockchain gespeichert werden. Unter einer Blockchain wird eine kontinuierlich erweiterbare Liste von als Blöcke bezeichneten Datensätzen verstanden, welche mittels kryptographischer Verfahren miteinander verkettet sind. Jeder Block kann typischerweise einen kryp- tographisch sicheren Hash-Wert des vorhergehenden Blocks, einen Zeitstempel und Zustandsdaten umfassen. Hierbei kann die Zentraleinheit die Funktion eines Blockchain-Masters übernehmen, während die eine oder mehrere Überwachungs- einheiten die Funktion von jeweiligen Blockchain-Clients ausüben. Die Zentralein heit in ihrer Funktion als Blockchain-Master kann neue Komponenten in das Überwachungssystem hinzufügen, d.h. ihre Mitgliedschaft in dem Überwachungs system bzw. deren Entfernung oder deren Austausch autorisieren. Jede dieser Änderungen an der Zusammensetzung des Überwachungssystems kann in der Blockchain festgehalten werden. Um den für die Blockchain erforderlichen Spei cherplatz in Grenzen zu halten, kann vorgesehen werden, dass nicht alle sondern nur bestimmte, besonders relevante Nachrichten gespeichert werden, wobei für jede Nachrichtenart und/oder die Nachricht aussendende Komponente individuelle Kriterien und/oder Relevanzniveaus festgelegt werden können.

Vorteilhafterweise können die Blockchain oder weitere Instanzen der Blockchain in der Zentraleinheit und insbesondere zumindest in einem Teil der Überwachungs- einheiten gespeichert werden. Vorteilhafterweise wird die Blockchain in allen Ein heiten des Überwachungssystems gespeichert.

Bevorzugt wird die in einer jeweiligen Einheit gespeicherte Blockchain auch durch diese Einheit selbst erzeugt. Da die innerhalb eines als ein Blockchain-System ausgestalten Überwachungssystems verbreiteten Nachrichten bevorzugt an alle Komponenten des Überwachungssystems übermittelt werden, können die Nach richten oder zumindest der Teil der Nachrichten, die für eine Speicherung in der Blockchain vorgesehen sind, in die Blockchain eingearbeitet werden. Durch eine dezentrale Speicherung mehrerer Instanzen der Blockchain können Manipulati onsversuche einzelner Komponenten, insbesondere der Zentraleinheit, beispiels- weise deren unautorisierter Austausch, ohne Weiteres aufgedeckt werden, was mit Bezug auf eine weitere Ausgestaltung nachfolgend noch näher erläutert wird.

Das Hinzufügen von neuen Einträgen zur Blockchain kann beispielsweise durch den privaten Schlüssel der eintragenden Komponente signiert werden.

Es kann vorgesehen sein, dass für eine Aufnahme einer Nachricht oder einer Gruppe von Nachrichten die speichernde Einheit einen sogenannten Proof-of-Work zu leisten hat, um eine mögliche Manipulation oder Korruption der Blockchain zu erschweren. Ein Proof-of-Work (deutsch etwa„Arbeitsnachweis“) kann durch Lö sung einer mäßig schweren Aufgabe durch die Einheit erbracht werden, welche eine Nachricht in die Blockchain aufnehmen möchte. Das Ergebnis kann von einer oder mehreren anderen Einheiten, insbesondere die Zentraleinheit, ohne großen Aufwand nachgeprüft werden. Gemäß einer weiteren vorteilhaften Ausführungsform der Erfindung ist es vorge sehen, dass eine in einer Komponente des Überwachungssystems gespeicherte Blockchain oder ein kryptographischer Hash-Wert dieser Blockchain zeitgesteuert, ereignisgesteuert und/oder auf Anforderung durch eine andere Komponente des Überwachungssystems an zumindest eine Komponente des Überwachungssys- tems übermittelt wird, wobei insbesondere eine von einer Komponente empfangene Blockchain oder ein empfangener kryptographischer Hash-Wert dieser Blockchain mit der in der empfangenden Komponente gespeicherten Blockchain oder einem kryptographischen Hash-Wert der gespeicherten Blockchain verglichen wird. Die ser Vergleich wird vorzugsweise von der Zentraleinheit vorgenommen, welche die gespeicherten Blockchains bzw. deren Hash-Werte von ausgewählten oder allen Überwachungseinheiten anfordert und untereinander oder mit der eigenen Block chain bzw. deren Hash-Wert vergleicht. Wenn bei diesem Vergleich eine Überein stimmung festgestellt wird, befindet sich das Überwachungssystem in einem in- tegren Zustand. Werden jedoch Abweichungen festgestellt, ist dies als Indiz dafür zu werten, dass unter Umständen ein Manipulationsversuch oder auch eine Fehl funktion bei einzelnen Komponenten vorliegt.

Vorteilhafterweise sind die Zentraleinheit und/oder die zumindest eine Überwa chungseinheit dazu eingerichtet, bei einer festgestellten Abweichung zumindest eines Zustandes von dem zugeordneten Sollzustand, insbesondere bei einer fest- gestellten Abweichung zwischen verschiedenen Instanzen, insbesondere einer konfigurierbaren Anzahl von Instanzen, der Blockchain, einen mit der Überwa chungseinheit verbundenen Überwachungssensor derart zu steuern, dass der Überwachungssensor anstelle eines regulären Sensorsignals ein vorgegebenes Alarmierungssensorsignal erzeugt, und/oder eine die festgestellte Abweichung signalisierende Nachricht auszusenden, und/oder die Sicherheitssteuerung und/oder das damit ausgestattete sicherheitskritische System in einen vorgegebe nen sicheren Zustand zu überführen. Eine Abweichung vom Sollzustand kann auch in einer Änderung einer fälschungssicheren Identität bestehen, die beispielsweise durch ein Datenzertifikat oder eine Hardwarecodierung belegbar ist. So kann bei einem unautorisierten Austausch eines Bauteils eine unzulässige Sollzustandsab weichung vorliegen, so dass eine Alarmierung, eine Signalisierungsnachricht ab gesetzt und/oder die Sicherheitssteuerung bzw. das damit ausgestattete System, Maschine oder Anlage in einen sicheren Zustand überführt werden.

So sind Überwachungssensoren, wie z.B. (Sicherheits-)Sensoren, häufig dazu eingerichtet, bei einer Fehlfunktion ein Sensorsignal auszugeben, das sich außer halb eines regulären Wertebereichs befindet. Dieses hier als Alarmierungssensor signal bezeichnete Sensorsignal kann von der Sicherheitssteuerung als Hinweis auf eine Fehlfunktion interpretiert werden, sodass entsprechende Maßnahmen, beispielsweise das Überführen einer überwachten Maschine/Anlage/System in einen sicheren Zustand, veranlasst werden können.

Eine Abweichung kann beispielsweise ein für einen zu überwachenden Überwa chungssensor falsch ausgewiesenes Ausgangssignal, z.B. ein Ausgangssignal in einem Bereich sein, der für diesen Überwachungssensor technisch plausibel nicht möglich ist, sein.

Alternativ oder zusätzlich kann eine entsprechende signalisierende Nachricht aus gesendet werden, die von anderen Überwachungseinheiten und/oder der Zentral einheit empfangen werden kann und dort gegebenenfalls Maßnahmen auslösen kann, die dazu führen, dass die überwachte Schutzeinrichtung bzw. das damit ausgestattete System, Maschine oder Anlage in einen sicheren Zustand überführt wird. Bei der signalisierenden Nachricht kann es sich zum Beispiel um eine Sta tusmeldung handeln, welche etwa eine festgestellte Manipulation eines Überwa chungssensors repräsentiert. Diese Statusmeldung kann von einer Überwa chungseinheit in die Blockchain und/oder an die Zentraleinheit oder alle Überwa chungseinheiten übermittelt werden. Dies wurde beim Initiieren festgelegt. Die Zentraleinheit oder Überwachungseinheiten führen dann die Maßnahmen durch, die beim Initiieren festgelegt wurden und entscheidet dann, welche Maßnahmen ergriffen werden sollen, wobei diese Maßnahme beispielsweise lediglich eine Do kumentation oder alternativ oder zusätzlich auch das Überführen der Sicherheits steuerung in den sicheren Zustand umfassen kann, wobei gegebenenfalls auch eine zeitliche Verzögerung vorgesehen sein kann.

Schließlich kann alternativ oder zusätzlich auch die Sicherheitssteuerung bzw. das damit ausgestattete System, Maschine oder Anlage unmittelbar in einen vorgege benen sicheren Zustand überführt werden. Dies kann beispielsweise durch die Zentraleinheit durchgeführt werden, welche über einen entsprechenden Steuerka- nal mit der Sicherheitssteuerung verbunden sein kann. Beispielsweise kann dieser Steuereingang zu einem Sensoreingang der Sicherheitssteuerung führen. Grund sätzlich kann das Überführen in einen sicheren Zustand aber auch durch eine der Überwachungseinheiten erfolgen. Unter einem Überführen der Sicherheitssteue rung in einen sicheren Zustand wird insbesondere ein Veranlassen der Sicher- heitssteuerung zum Ausgeben von Sicherheitsschaltbefehlen verstanden, welche eine von der Schutzeinrichtung abgesicherte Maschine in eine Betriebsart überführt wird, in welcher eine Gefährdung von Mensch und/oder Umwelt zumindest verrin gert, wenn nicht sogar ganz ausgeschlossen ist, beispielsweise das Anhalten be wegter Teile, eine Unterbrechung der Energiezufuhr oder ein Starten einer Ab- schaltprozedur, z.B. bei komplexeren Anlagen, bei denen eine Sofortabschaltung nicht ohne weiteres möglich ist, etwa bei Atomkraftanlagen. Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass die zumindest eine Überwachungseinheit dazu eingerichtet ist, zyklisch und/oder auf Anforderung durch die Zentraleinheit Nachrichten auszusenden, und dass die Zentraleinheit dazu eingerichtet ist, diese Nachrichten zu empfangen, zumindest für einen jeweiligen Zyklus und/oder innerhalb einer vorgegebenen Zeitdauer nach der Aufforderung die Anzahl und/oder die Reihenfolge der emp fangenen Nachrichten zu ermitteln und mit einer vorgegebenen Sollanzahl und/oder einer vorgegebenen Sollreihenfolge zu vergleichen, bei einer festgestell ten Abweichung eine die festgestellte Abweichung signalisierende Nachricht aus zusenden und insbesondere diese Nachricht vorzugsweise in der Blockchain zu speichern, und/oder bei einer festgestellten Abweichung die Sicherheitssteuerung in einen vorgegebenen sicheren Zustand zu überführen. Auch andere Komponen ten können die Nachrichten in ihrer jeweiligen Blockchain speichern. Beispielsweise kann eine Überwachungseinheit mit Aussendung der abgefragten Nachricht über mitteln, dass die Überwachungseinheit bzw. der von dieser Überwachungseinheit überwachte Sensor vorhanden und/oder betriebsbereit ist, und zugleich auch das aktuelle Überwachungssignal des Sensors übermitteln.

Weiterhin vorteilhaft kann auch zumindest eine oder eine parametrierbare Anzahl von Überwachungseinheiten Nachrichten empfangen und überprüfen und gege benenfalls eine Abschaltung initiieren. Dies ermöglicht eine redundante Überwa- chung von Nachrichten, um z.B. bei einem Angriff oder Hackversuch auf die Zent raleinheit angreifen / hacken das Schutzsystem nicht ausgehebelt werden kann. Somit können auch zumindest einzelne Überwachungseinheiten Teile der Über wachungsaufgaben der Zentraleinheit übernehmen.

Wenn beispielsweise eine der angeforderten Nachrichten ausbleiben würde, bei- spielsweise weil das betreffende Sicherheitsbauteil samt Überwachungseinheit unzulässiger Weise entfernt wurde, würde diese unzulässige Änderung in die Blockchain eingetragen. Nach entsprechender Auswertung der Blockchain können dann von der Zentraleinheit bzw. einer autorisierten Überwachungseinheit ent sprechende Sicherheitsmaßnahmen eingeleitet werden.

Wie bereits vorstehend erläutert wurde, kann das Kommunikationsnetzwerk ein Bussystem, insbesondere ein Feldbussystem umfassen, wobei insbesondere das Kommunikationsnetzwerk zumindest ein Teil eines Bussystems der Schutzeinrich- tung, welches die Sicherheitsbauteile miteinander verbindet, umfasst. Ein vorhan denes Bussystem, welches für die Kommunikation der Sicherheitsbauteile der Schutzeinrichtung vorgesehen ist, kann somit gleichzeitig auch als Kommunikati onsnetzwerk für das Überwachungssystem genutzt werden. Alternativ kann auch ein separates Bussystem oder andere Netzwerktopologien für das Kommunikati- onsnetzwerk verwendet werden.

Gemäß einer vorteilhaften Ausführungsform der Erfindung ist es vorgesehen, dass das Überwachungssystem zusätzlich zu einer Überwachungsbetriebsart, in welcher eine Überprüfung eines jeweiligen Zustands auf Übereinstimmung oder Abwei chung von einem zugeordneten Sollzustand erfolgt, in einer Kommunikationsbe- triebsart betreibbar ist, in welcher zumindest eine Komponente zum Überwa chungssystem hinzugefügt, aus dem Überwachungssystem entfernt oder zumin dest eine Funktionalität der Komponente konfiguriert und/oder parametriert wird. In der Konfigurationsbetriebsart können beispielsweise neue Überwachungseinheiten bzw. Sensoren hinzugefügt, entfernt oder ausgetauscht werden. Dies kann dadurch erfolgen, dass sich beispielsweise eine von einer Bedienperson neu installierte Überwachungseinheit mit ihrer eindeutigen Kennung oder Identifikationsnummer bei der Zentraleinheit anmeldet und die Zentraleinheit - gegebenenfalls nach einer Bestätigung durch die Bedienperson - eine Nachricht mit einem fälschungssicheren Identitätsnachweis, welcher zum Beispiel mit der Kennung der Überwachungsein- heit kryptographisch verknüpft ist, an die anfragende, neu installierte Überwa chungseinheit übermittelt. Zugleich empfangen andere Komponenten ebenfalls diese Nachricht und können sie ggf. in ihre jeweilige Blockchain einbauen, sodass zukünftig Nachrichten dieser neuen Überwachungseinheit als integer oder valide eingestuft werden können. Das Konfigurieren und/oder Parametrieren zumindest einer Funktionalität einer Komponente kann insbesondere zeitliche oder funktionale Vorgaben für ein Aussenden einer Nachricht (z.B. Statusmeldung alle zehn Se kunden, Verhalten bei festgestellter Zustandsabweichung), eine Reaktion auf Nachrichten von anderen Komponenten, Vorgaben für die Aufnahme von empfan genen Nachrichten in die Blockchain und dergleichen umfassen.

Bevorzugt ist nur die Zentraleinheit dafür eingerichtet, das Überwachungssystem in die Konfigurationsbetriebsart zu versetzen und/oder in der Konfigurationsbetriebs art zu betreiben, wobei insbesondere die Zentraleinheit dafür eingerichtet ist, das Versetzen des Überwachungssystems in die Konfigurationsbetriebsart nur nach einer positiven Prüfung auf Vorliegen zumindest eines Sicherheitsmerkmals zuzu lassen. Bei dem Sicherheitsmerkmal kann es sich beispielsweise um ein Benut zerkennwort, einen Hardwaredongle, oder einen fälschungssicheren digitalen Identitätsnachweis, wie ein eindeutiges Schlüssel-(Key) Zertifikat, beispielsweise ein auf einem Speichermedium gespeicherter Schlüssel/Key, handeln. Die Erfin dung betrifft ferner eine sicherheitsgerichtete Schutzeinrichtung mit mehreren Sicherheitsbauteilen, wobei die Sicherheitsbauteile zumindest einen zum Erzeugen von jeweiligen Sensorsignalen eingerichteten Überwachungssensor und eine mit dem zumindest einen Überwachungssensor verbundene Sicherheitssteuerung umfasst, wobei die Sicherheitssteuerung zum Empfangen und Auswerten der Sensorsignale und zum Erzeugen und Ausgeben von Sicherheitsschaltbefehlen auf der Grundlage der Sensorsignale eingerichtet ist, und mit einem Überwachungs system gemäß zumindest einer der vorhergehend beschriebenen Ausgestaltungen, wobei zumindest ein Teil der Sicherheitsbauteile mit einer zugeordneten Überwa- chungseinheit oder der Zentraleinheit verbunden ist.

Bevorzugt sind alle Sicherheitsbauteile der Schutzeinrichtung mit einer Überwa chungseinheit bzw. der Zentraleinheit verbunden. Es kann vorgesehen werden, dass ein oder mehrere Sicherheitsbauteile mit jeweils einer Überwachungseinheit oder Zentraleinheit verbunden sind, d.h., eine Über wachungseinheit überwacht gleichzeitig mehrere Sicherheitsbauteile.

Gemäß einer vorteilhaften Ausführungsform ist vorgesehen, dass ein jeweiliges Sicherheitsbauteil und die zugeordnete Überwachungseinheit oder Zentraleinheit in einer gemeinsamen Baueinheit integriert sind. Hierdurch wird ein noch höherer Schutz gegenüber Manipulation gewährleistet. Zugleich vereinfacht sich der In stallationsaufwand.

Alternativ können die Sicherheitsbauteile und die Überwachungseinheiten bzw. die Zentraleinheit als separate Baugruppen ausgeführt sein, die lediglich entsprechend miteinander verbunden sind. Eine solche Ausgestaltung eignet sich insbesondere als Nachrüstlösung oder als modulares System. Hierbei können beispielsweise Ausgänge der Überwachungssensoren durch die Überwachungseinheit durchge schleift werden, wodurch auch festgestellt werden kann, wenn versucht wird, einen Sensor von der Überwachungseinheit zu trennen. Im Betrieb kann es zu Defekten oder zu einer gezielten Manipulation der Schutz reinrichtung kommen, z.B. in dem ein Sensor defekt geht, außer Betrieb gesetzt oder unzulässig ausgetauscht wird oder ein zum Betriebszustand der Maschine inkonsistentes Signal gibt. Dies führt zu einer unerwünschten und nur schwer zu entdeckenden Korruption der funktionalen Sicherheit der sicherheitskritischen Anlage, des Systems oder der Maschine.

Im Kern schlägt die Erfindung vor, übergeordnet ein Überwachungssystem auf dieser Schutzeinrichtung mit Techniken der Datensicherheit, insbesondere der Cyber Security aufzusetzen, wobei das Verhalten des Überwachungssystems durch ein Überwachungsprotokoll und ggf. unter Einsatz einer Block- chain-Datenstruktur bestimmbar ist. Das Überwachungssystem überprüft eigen ständig und fortlaufend die Funktion und Integrität des Sicherheitssystems bzw. der einzelnen Sensoren, der Steuerungsverarbeitung und der Aktuatorenbeeinflussung und umfasst ein eigenes (im Optimalfall autarkes) Kommunikationsnetzwerk und eine Zentraleinheit, durch die die einzelnen Überwachungssensoren des Sicher heitssystems überwacht und deren Aktivitäten protokolliert werden. Das Überwa chungsprotokoll kann beispielsweise ein fälschungssicheres Block- chain-Datenarchiv nutzen, was im Sinne des Industrie 4.0 Gedankens eine lü ckenlose Protokollierung und Nachverfolgung des Funktionalen Sicherheitsverhal tens der Anlage ermöglicht. Insofern wird eine Überprüfung einer Funktionalen Schutzeinrichtung durch ein auf Konzepten der Cyber Security beruhendes Über wachungssystem vorgeschlagen. Das Überwachungssystem kann in neu imple- mentierten Schutzeinrichtungen vorgesehen, aber auch bei bestehenden Schutz einrichtungen nachgerüstet werden und protokolliert und verhindert Manipulation, Fehlverhalten und Ausfall der Schutzeinrichtung.

Exemplarisch soll anhand eines Beispiels die Funktion der Überwachungseinrich tung einer Schutzeinrichtung im Folgenden am Beispiel einer automatischen Dis- tanzkontrolle von Fahrzeugen dargestellt werden. Hierzu wird die Sicherheitsfunk tion der Funktionalen Sicherheit des automatischen Distanzkontrollsystems eines Fahrzeugs als Schutzeinrichtung betrachtet, die, um Menschen nicht zu gefährden, lautet: gewährleiste einen ausreichenden Abstand durch automatische Distanz kontrolle gegenüber vorausfahrenden und ggf. nachfolgende Fahrzeuge. Beteilige Überwachungssensoren, Sicherheitssteuerung und Aktoren als Sicherheitsbauteile der Schutzeinrichtung, die an der Sicherheitsfunktion beteiligt sind: Radarsensor vorne, Geschwindigkeitssensor, Sicherheitssteuerung, Motor, Bremsaktoren und Bremsen. Der sichere Zustand der Funktionalen Sicherheit, falls es ein Problem mit den Sicherheitsbauteilen in der Schutzeinrichtung gibt, lautet: Kontrolliertes Brem- sen, um Auffahrunfälle nach vorne und hinten zu vermeiden.

Hierzu misst der Radarsensor die Distanz zum nächsten Hindernis / vorausfah renden Fahrzeug, ggf. auch nachfolgendem Fahrzeug. Dieser Wert wird an die Sicherheitssteuerung übergeben. Diese berechnet aus der Distanz zum Hindernis, der Änderung zum Hindernis, der Geschwindigkeit des eigenen Fahrzeugs sowie der eingestellten Maximalgeschwindigkeit, ob gebremst oder beschleunigt werden soll. In diesem Beispiel verfügt das Fahrzeug über Reifendrucksensoren, die nicht Teil der Sicherheitsfunktion sind. Dieser wird aber zum Einfallstor für Hacker, da er über eine Bluetooth-Schnittstelle (Funk) an den CAN-Bus des Autos angeschlossen ist. So kann es beispielhaft vorstellbar sein, dass ein Wert des Reifendrucksensors in eine Bestimmung der Fahrzeuggeschwindigkeit einfließen kann, da ausgehend vom Reifendruck der Raddurchmesser bestimmt und mit Berücksichtigung der Umdrehungszahl eines Drehzahlsensors ein Geschwindigkeitswert ableitbar ist. Eine Manipulation am ausgegebenen Sensorwert des Reifendrucksensors, der somit ein Überwachungssensor ist, kann in der Schutzeinrichtung somit eine un mittelbare Beeinflussung der eigenen Geschwindigkeitsabschätzung sein.

Ein möglicher Angriff kann wie folgt dargestellt werden: Der Angreifer könnte sich mittels des Zugangs über die Funkschnittstelle in den CAN-Bus einschalten und z.B. den übertragenden Wert des Radarsensors verfälschen bzw. den Sensor angreifen durch eigenständige Übermittlung eines falschen Abstandswertes, indem der Hacker vorgibt, der eigentliche Radarsensors zu sein (Fall 1 ). Daneben oder zusätzlich kann der Angreifer eine Verfälschung (Überschreiben) des augenblick lich übertragenden Wertes des Radarsensors, (Fall 2) bewirken. Auch wäre es möglich, dass der Angreifer den Radarsensor als defekt signalisiert, womit ein ggfs ermüdeter Fahrer gezwungen wäre, eine Lenk- und Abstandskontrollaufgabe wie der selber zu übernehmen (Fall 3). Schließlich kann ein Hack des Radarsensors erfolgen, so dass beliebige Werte vom Radarsensor übertragen werden (Fall 4).

Die vorgenannten Fälle 1 ,2 und 4 würden von der Sicherheitssteuerung und dem Gesamtsystem aus dem Stand der Technik nicht erkannt werden. Als Konsequenz könnte der Angreifer das Fahrzeug entweder mit dem Hindernis kollidieren lassen (Distanzangabe Radarsensor zu groß, Geschwindigkeitsangabe zu niedrig) oder eine Notbremsung erzwingen (Distanzangabe Radarsensor zu groß. Geschwin digkeitsangabe zu hoch). Möglich Folgen wären z.B. eine Kollision mit hoher Ge schwindigkeit auf der Autobahn, mit unter Umständen tödlichen Folgen. Im vorge nannten Fall 3 könnte aufgrund des Deaktivierens eines Fahrerassistenzsystems bei schlechter Fahrweise und Zustand des Fahrers zu einem Unfall führen Schlimmer wäre dieser Fall bei einem autonomen Fahren.

Im Ergebnis kann festgestellt werden, dass durch ein Versagen eines Teilsys temsystems der CS (hier eine Funkschnittstelle) ein Angriff ins Gesamtsystem der Schutzeinrichtung der automatischen Distanzkontrolle gelingt, der im Normallfall durch die FS nicht mehr aufgehalten werden kann. Der CS kann u.U. hier kein Versagen vorgehalten werden, denn ggf. hätte ein Softwareupdate der Funk schnittstellensoftware des Reifendrucksensors einen Hack, in diesem Fall ein Zugriff auf den CAN-Bus, verhindern können. Auch die FS kann die Korruption nicht verhindern, denn eine Überprüfung der Funktion des Reifendrucksensors und der Schutzeinrichtung würde keine Korruption erkennen lassen. Der Radarsensor hat einen ausreichenden Abstand gemeldet hat, es wurde beschleunigt, die notwendi gen Abstandsparameter waren korrekt eingestellt und ein Fehler oder Bauteilver sagen kann nicht festgestellt werden.

Die Erfindung schlägt somit ein Überwachungssystem einer FS-Schutzeinrichtung nach den Prinzipien des Functional Cyber Safety (FCS) vor, die in vielfältigen, sicherheitskritischen Anwendungen eingesetzt werden kann (Beispiele siehe un ten), wobei die Schutzeinrichtung über Überwachungssensoren, eine Sicherheits steuerung, und Aktoren aufweist und somit eine Gesamtheit von Sicherheitsbau teilen, Schnittstellen, Software, Parametrierungen darstellt. Das die FS-Schutzeinrichtung überwachende FCS-Überwachungssystem, das in der Lage ist, mittels einer FCS-Überwachungseinheit zumindest einen Teil der Sicherheits bauteile der Schutzeinrichtung zu überprüfen, führt eine sogenannte FCS-Diagnose durch eine, einem Sicherheitsbauteil zugeordnete Überwachungseinheit durch. Hierzu nimmt eine Überwachungseinheit des FCS-Überwachungssystems, zumeist aber nicht ausschließlich passive Informationen des Sicherheitsbauteils auf und übermittelt diese über ein Kommunikationsnetzwerk, i.d.R. ein eigenes (separates) Bussystem, aber auch physikalisch aufgesetzt auf einen bereits vorhandenen Datenbus der Sicherheitseinrichtung, und ggf. verschlüsselt oder unverschlüsselt, an die Zentraleinheit des Überwachungssystems. Dabei arbeitet die FCS-Diagnose i.d.R. im Hintergrund und bleibt von der Schutzeinrichtung und dem Anwender im Idealfall unentdeckt. Hardwareseitig kann das Überwachungssystem und/oder die Überwachungseinheit ein separates oder integriertes Bauteil (System-On-Chip) sein. Insofern kann einem Sicherheitsbauteil der FS-Schutzeinrichtung oder einer die CS realisierendes Sicherheitsbauteil eine Überwachungseinheit des FCS-Überwachungssystems übergestülpt werden. Die Überwachungseinheit kann über Möglichkeiten verfügen, das Sicherheitsbauteil zu kontrollieren oder zu zer stören.

Die FCS-Überwachungseinheit wertet die FCS-Diagnosemitteilungen der Über- wachungseinheiten aus und bestimmt mittels in seinem im Überwachungsprotokoll hinterlegten FCS-Parameter Verhaltensweisen für bestimmte Ereignisse, die bei spielsweise unveränderbar durch eine schwer-korrumpierbare Datenstruktur, wie eine Blockchain, vordefinierbar sind. Diese Vorgaben durch FCS-Parameter kön nen idealerweise verteilt im gesamten FCS-Überwachungssystem abgespeichert werden. Das FCS-Kommunikationsnetzwerk: kann ein eigener und geschlossener Datenbus innerhalb des FCS-Überwachungssystems sein, oder einen bereits vorhandenen Datenbus der FS-Schutzeinrichtung nutzen. Die das Verhalten des Überwachungssystems bestimmende FCS-Parameter sind veränderbare oder unveränderbare Vorgaben der FCS-Zentraleinheit. Eine Veränderung wird vor- zugsweise nur durch die Zentraleinheit ermöglicht.

Im vorgenannten Beispiel kann eine FCS-Diagnose durch jeweils eine Überwa chungseinheit bezüglich eines Sicherheitsbauteils, wie einem Radarsensor, einem Geschwindigkeitsmesser, Bremsaktoren und Bremsen oder einer automatischen Distanzkontroll-Schutzeinrichtung, periodisch oder aperiodisch erstellt werden. Die Zentraleinheit kann auf Basis eines FCS-Parameters als Reaktion auf eine An griffsmeldung einer FCS-Diagnose einer Überwachungseinheit eine sofortige Her stellung eines sicheren FCS-Zustandes bewirken. In diesem Fall könnte ein FCS-Zustand in einer langsamen Herabsetzung der Geschwindigkeit, Aktivieren des Warnblinkers und rechts heranfahren des Fahrzeugs an den Standstreifen und Ausschalten des Antriebes bestehen.

In einem konkreten Ablauf eines Hacks des betrachteten FCS-Überwachungssystems kann im vorgenannten Fall 1 in einer eigenständigen Übermittlung eines falschen Abstandswertes bestehen, den der Angreifer vorgibt, der eigentlich ein Wert des Radarsensors sein soll. Die Überwachungseinheit des Radarsensors würde eine FCS-Diagnose durch den Vergleich des Speicherinhaltes des Radarsensors, seiner Sensorwerte und der Tatsache, dass der Radarsensor zu dieser Zeit keine Signale übertragen hat, einen Angriff feststellen können. Die FCS-Zentraleinheit, aber auch alle weiteren Überwachungseinheiten, würde über diesen Angriff auf den Radarsensor über das FCS-Kommunikationsnetzwerk in formiert werden mit der Aufforderung, sofort den FCS-Zustand herzustellen, der wie folgt ablaufen könnte: Die FCS-Diagnosen würden über einen den Bremsen und den Bremsaktoren zugeordnete Überwachungseinheit eine langsame und kontrol- lierte Bremsung bewirken. Die FCS-Zentraleinheit würde die Sicherheitssteuerung zwingen, die Warnblinker einzuschalten. Die FCS-Zentraleinheit würde die Si cherheitssteuerung zwingen, den Fahrer aufzufordern, augenblicklich rechts ran zu fahren oder ggfs die Lenkung zu übernehmen. Nachdem der Motor ausgestellt wurde, würde er deaktiviert bleiben, bis die FCS-Zentraleinheit (z.B. nach einer Wartung) das Fahrzeug wieder freigibt.

Im vorgenannten Fall 2 - einer Verfälschung (Überschreiben) eines augenblicklich übertragenden Wertes des Radarsensor - würde erkannt werden durch Vergleich der richtigen Sensorwerte, sowie der Speicherinhalte durch die dem Radarsensor zugeordneten Überwachungseinheit, die eine FCS-Diagnose erstellen würde. Der weitere Ablauf wäre identisch zum Fall 1 .

Im Rahmen des Falls 3 (Markierung des Radarsensors als defekt) würde, wie bei vorgenannten Fall 1 , durch einen Vergleich der richtigen Sensorwerte, sowie der Speicherinhalte durch die Überwachungseinheit des Radarsensors eine FCS-Diagnose eines Defekts erkannt werden. Die Reaktionen wäre ebenfalls analog wie in Fall 1 .

Ein Hack des Radarsensors (Fall 4) würde z.B. durch ein Einloggen in den Sensor bei laufender Fahrt erkannt werden können. Da dieser Login nur in der Werkstatt erlaubt ist, würde der sichere Zustand wie bei Fall 1 ausgelöst. Weitere Diagno semöglichkeiten eines Hacks wären z.B. die Charakteristika der Prozes sor-Auslastung oder Zugriff auf Ressourcen. Die Reaktionen wäre die gleiche wie in Fall 1 .

Sollte ein Hardwareangriff auf das FCS-Überwachungssystem erfolgen, würde das Kommunikationsnetzwerk dies z.B. durch fehlende Sync-Telegramme feststellen. Softwareangriffe würden über Änderungen und Vergleich der nicht veränderbaren FCS-Parameter des Überwachungsprotokolls (z.B. als Blockchain) bzw. von z.B. veränderten Hash-Werten der FCS-Diagnose detektiert werden.

Zusammenfassend kann anhand des vorgenannten FCS-Beispiels eines automa- tischen Distanzkontrollers durch eine Schutzeinrichtung eines Fahrzeugs folgendes festgestellt werden:

Ein erfindungsgemäßes FCS-Überwachungssystem kann die negativen Aus wirkungen in den vier dargestellten Angriffsszenarien erfolgreich minimieren bzw. verhindern. - Eine Verwendung von mehreren (redundanten) FS Sicherheitsbauteilen, z.B. von zwei Radarsensoren würden einen Hackerangriff nicht verhindern, son dern nur verlangsamen.

Erhöhte Maßnahmen im Bereich CS könnten bestenfalls die Möglichkeit eines Angriffes in eine nahe Zukunft verschieben, da jedes CS System mit der Zeit ausgehebelt werden würde. Und wenn die erste CS-Schutzbarriere durch brochen wurde, ist es nur eine Frage der Zeit, bis auch die zweite fällt.

Die Verschmelzung der FS mit der CS zur FCS kann auch bei nicht ord nungsgemäß aktualisierten (gepatchten), d.h. veralteten Systemen die Aus wirkungen erfolgreicher Angriffe minimieren bzw. verhindern. ZEICHNUNGEN

Weitere Vorteile ergeben sich aus der Zeichnung und der zugehörigen Zeich nungsbeschreibung. In der Zeichnung sind Ausführungsbeispiele der Erfindung dargestellt. Die Zeichnung, die Beschreibung und die Ansprüche enthalten zahl reiche Merkmale in Kombination. Der Fachmann wird diese Merkmale zweckmä- ßigerweise auch einzeln betrachten und zu sinnvollen weiteren Kombinationen zusammenfassen.

Es zeigt:

Fig. 1a, 1 b abstrakte Schaubilder einer Schutzeinrichtung in einen bestim mungsgemäßen Betriebszustand, von außen geschützt durch Mittel der Cyber-Security und von Innen durch Maßnahmen der Funktiona len Sicherheit (a), überwacht durch ein Ausführungsbeispiel der Er findung (b);

Fig. 2 ein Blockschaltbild eines mit einer Schutzeinrichtung verbundenen

Überwachungssystems gemäß einem ersten Ausführungsbeispiel,; Fig. 3 ein Blockschaltbild eines in eine Schutzeinrichtung integrierten Überwachungssystems gemäß einem zweiten Ausführungsbeispiel; und

Fig. 4a, 4b Schemaskizze eines Fahrzeugs mit automatischer Distanzkon- troll-Schutzeinrichtung (Fig. 4a) und ergänzt mit einem Ausführungs beispiel eines Überwachungssystems (Fig. 4b).

In der Fig. 1 a ist in einer abstrakten Schemadarstellung in Art von konzentrischen Rechtecken ein Zwiebelschalenmodell einer aus dem Stand der Technik bekannten Schutzeinrichtung dargestellt. Die Schutzeinrichtung umfasst Überwachungs sensoren, eine Sicherheitssteuerung und Aktoren als Sicherheitsbauteile und be findet sich in einem„Operational Mode“, der einen bestimmungsgemäßen Betrieb der Sicherheitssteuerung einer Maschine, Anlage, System repräsentiert. Nach innen gerichtet ist in der Sicherheitsüberwachung nach den Prinzipien der Funkti onalen Sicherheit (FS) im Zusammenspiel der Überwachungssensoren, der Si cherheitssteuerung und der Aktoren ein Schutzsystem für Menschen und Umwelt gegen schädliche Auswirkungen bei zufälligen und systematischen Fehlern sowie der vorhersehbaren Fehlanwendung vorgesehen, Beispiele hierzu sind folgend exemplarisch, aber nicht limitierend dargestellt. Nach außen, z.B. gegenüber einem digitalen Umfeld eines Netzwerks oder Internet, aber auch gegenüber einer physi schen Umgebung wird mit Mitteln der Cyber-Security (CS) versucht, externe Ma nipulationen, unautorisierte Veränderungen und Flackerangriffe, wie z.B. Daten manipulation etc. durch beispielsweise verschlüsselte Datenübertragung, Pass worteingaben, Gesichtserkennung etc. entgegenzutreten. Gelingt allerdings ein unautorisierter Zugriff, so kann weder die CS noch die FS eine Gefährdung der Sicherheit verhindern, da CS und FS weder interagieren, noch eine übergeordnete Überwachung zur Detektion einer Korruption vorgesehen sind. In der Fig. 1 b ist abstrakt ein Ausführungsbeispiel eines auf den FCS-Prinzipien beruhendes Überwachungssystem FCS (schraffiert) dargestellt, dass sowohl die von Angriffen nach außen schützende CS-Hülle als auch die nach innen funktionale Sicherheit bereitstellende FS-Hülle als zweite „Verteidigungslinie“ schützt und gleichwohl Zugriff auf den bestimmungsgemäßen Betrieb (operational mode) der Schutzeinrichtung hat bzw. sogar eine Notsteuerung durchführen kann. Aus diesem Grund überdeckt, d.h. durchdringt graphisch das FCS zumindest bereichsweise die CS-Hülle und die FS-Hülle und überdeckt vollständig den„Operational Mode“ der Schutzeinrichtung, da das FCS in einem Notfallsteuermodus in der Lage sein kann, den „Operational Mode“ zu steuern. Hierzu sind den Sicherheitsbauteilen Über- wachungseinheiten des FCS-Überwachungssystems beigeordnet, die über ein Kommunikationsnetzwerk mit einer Zentraleinheit verbunden sind. Im Falle eines Fehlverhaltes oder Manipulation, Hacks der CS und/oder der FS können durch logische Überprüfungen und anhand des vorgegebenen Überwachungsprotokolls eine Korruption der Schutzeinrichtung festgestellt und ein sicherer Zustand herge- stellt werden, so dass eine Gefährdung von Menschen und Umwelt selbst bei Ausfällen oder Manipulationen, die weder von CS noch von FS erkannt oder ver hindert werden können, abschwächt oder verhindert wird.

Beispielsweise kann in einer Schutzeinrichtung durch einen Fehler in einem Überwachungssensor ein falscher Sensorwert ausgegeben werden; bewusst durch Manipulation im Überwachungssensor ein Wert im Sensorspeicher geändert wer den; bei der Sensorwertübertragung zur Sicherheitssteuerung beispielsweise über einen Datenbus geändert oder falsch eingespeist, oder in einem Speicher der den Sensorwert empfangenden und verarbeitenden Sicherheitssteuerung geändert werden. Alle diese Sensorwertverfälschungen können durch das erfindungsge- mäße Überwachungssystem entdeckt und mittels Nachrichten über das Kommu nikationsnetzwerk in Form von FCS-Diagnosen der Überwachungseinheiten ver breitet werden, wobei die Schutzeinrichtung in einen für den jeweiligen spezifischen Fall in einen sicheren FCS-Zustand überführt werden kann. Solche Fälle, die im Überwachungsprotokoll als FCS-Parameter hinterlegt werden können, können skalierte Reaktionen des Überwachungssystems hervorrufen. Diese können von einem ignorieren des Sensorwertes bzw. Hinzunahme redundanter Sensorwertin formationen (z.B. Ausfall des Raddrehzahlsensors für eine Geschwindigkeitser- mittlung, dann Zugriff auf GPS-Sensor zur Geschwindigkeitsermittlung), über Still legung einzelner Betriebsfunktionen (Stopp eines Autopiloten / einer automatischen Fahrsteuerung und Aufforderung zur manuellen Steuerung) bis zum Notstop der sicherheitskritischen Anlage/Maschine/Systems führen.

Fig. 2 zeigt ein Überwachungssystem, welches mit einer sicherheitsgerichteten Schutzeinrichtung 10 verbunden ist. Die Schutzeinrichtung 10 umfasst im Ausfüh rungsbeispiel zwei zum Erzeugen von jeweiligen Sensorsignalen eingerichtete Überwachungssensoren 12, welche mit einer Sicherheitssteuerung 14 verbunden sind. Die Sicherheitssteuerung 14 ist zum Empfangen und Auswerten der Sensor signale sowie zum Erzeugen und Ausgeben von Sicherheitsschaltbefehlen auf der Grundlage der Sensorsignale eingerichtet. Die Sicherheitsschaltbefehle können an einen mit der Sicherheitssteuerung 14 verbundenen Aktor 16 übermittelt werden. Der Aktor 16, welcher beispielsweise als Relais ausgebildet sein kann, ist mit einer durch die Schutzeinrichtung 10 zu überwachenden Maschine 20 verbunden, um ein Abschalten oder Anfahren der Maschine 20 zu bewirken. Die Überwachungssensoren 12, die Sicherheitssteuerung 14 und der Aktor 16 werden nachfolgend auch allgemein als Sicherheitsbauteile bezeichnet.

Bei den Verbindungen zwischen den Überwachungssensoren 12, der Sicherheits steuerung 14 und dem Aktor 16 kann es sich beispielsweise um eine Hartverdrah tung handeln, bei welcher Signale gemäß dem OSSD-Standard (OSSD für Englisch Output Signal Switching Device) übermittelt werden. Gemäß einer Abwandlung können diese Verbindungen jedoch auch über ein Feldbussystem wie CAN-Bus, l 2 C-Bus, SPI oder dergleichen erfolgen.

Bei den Überwachungssensoren 12 kann es sich beispielsweise um optoelektro nische Überwachungssensoren handeln, welche dazu eingerichtet sind, einen Gefährdungsbereich der Maschine 20 berührungslos zu überwachen. Wenn bei- spielsweise eine Person in den Gefährdungsbereich gelangt, können ein oder mehrere Überwachungssensoren 12 ein entsprechendes Erfassungssignal erzeu gen und als Sensorsignal an die Sicherheitssteuerung 14 übermitteln. Die Sicher heitssteuerung 14 kann dann wiederum einen entsprechenden Sicherheitsschalt befehl an den Aktor 16 übermitteln, welcher wiederum ein Abschalten der Maschine 20 bewirkt.

Es versteht sich, dass auch eine geringere oder höhere Anzahl von Überwa chungssensoren 12 vorhanden sein kann. Auch eine höhere Anzahl von Aktoren 16 ist selbstverständlich möglich. Weiterhin können auch andere Typen von Überwa chungssensoren 12 zum Einsatz gelangen, beispielsweise magnetische Sensoren, welche zum Beispiel an der Maschine 20 angeordnete, sicherheitsrelevante Ab deckungen oder dergleichen auf ihre Schließposition überwachen, sodass bei geöffneter Abdeckung die Sicherheitssteuerung 14 gewährleistet, dass die Ma schine 20 sofort abgeschaltet wird bzw. gar nicht erst in Betrieb gesetzt werden kann. Ferner ist auch ein Betrieb ohne baulich getrennte (Sicherheits-)Steuerung denkbar, so können z.B. intelligente Sensoren die Aktoren autark steuern, wie z.B. ein Laserscanner oder Näherungssensor, der direkt einen Stromversorgungsschütz schaltet, sobald sich Personen in der Nähe einer Arbeitsmaschine aufhalten.

Das erfindungsgemäße Überwachungssystem umfasst mehrere Überwachungs einheiten 30, welche jeweils mit einem Überwachungssensor 12 bzw. der Sicher- heitssteuerung 14 verbunden sind. Die Überwachungseinheiten 30 sind insbeson dere dazu eingerichtet, die Verbindung zu den Überwachungssensoren 12 bzw. der Sicherheitssteuerung 14 auf eine Unterbrechung hin zu überwachen, einen Be- triebszustand der Überwachungssensoren 12 bzw. der Sicherheitssteuerung 14 zu ermitteln und/oder von den Überwachungssensoren 12 ausgegebene Sensorsig nale zu erfassen.

Gemäß einer Abwandlung (nicht dargestellt) können der oder die Signalausgänge eines Überwachungssensors 12, an welchen die Sensorsignale für die Sicher heitssteuerung 14 ausgegeben werden, durch die zugehörige Überwachungsein heit 30 hindurchgeschleift werden, so dass die Überwachungseinheit 30 in der Lage ist, auch den Signalzustand des Überwachungssensors 12 zu überwachen und insbesondere auch festzustellen, wenn versucht wird, den Überwachungssensor 12 von der Überwachungseinheit 30 zu trennen.

Die Überwachungseinheiten 30 und eine Zentraleinheit 32 sind über ein Kommu nikationsnetzwerk 34 miteinander verbunden. Das Kommunikationsnetzwerk 34 kann beispielsweise drahtgebunden oder auch drahtlos ausgebildet sein. Bei spielsweise kann es sich um ein Bussystem handeln, wobei eine Kommunikation beispielsweise nach den Standards Ethernet, CAN, l 2 C oder dergleichen erfolgen kann.

Auf dem Kommunikationsnetzwerk 34 wird durch die Komponenten des Überwa chungssystems, d.h. insbesondere durch die Überwachungseinheiten 30 und die Zentraleinheit 32, ein Überwachungsprotokoll bereitgestellt, welches einen Aus- tausch von Nachrichten zwischen den Komponenten des Überwachungssystems ermöglicht. Mithilfe der ausgetauschten Nachrichten kann für jedes Sicherheits bauteil, welches mit einer Überwachungseinheit 30 verbunden ist, bzw. jede Kom ponente des Überwachungssystems ein jeweiliger Zustand auf Übereinstimmung oder Abweichung von einem zugeordneten Sollzustand dieses Sicherheitsbauteils bzw. dieser Komponente überwacht oder überprüft werden. Das Überwachungsprotokoll ist insbesondere dazu eingerichtet, Manipulationen oder Fehlfunktionen von einzelnen Komponenten der Schutzeinrichtung 10 bzw. des Überwachungssystems zu detektieren und gegebenenfalls bei entsprechender sicherheitskritischer Relevanz entsprechende Sicherheitsmaßnahmen durchzu führen, sodass eine Gefährdung von Personen, Sachen oder der Umwelt vermie- den werden kann. Ferner stellt das Überwachungsprotokoll auch eine vorzugs weise dezentrale Protokollierung, d.h. Aufzeichnung zumindest von ausgewählten Nachrichten bereit, sodass insbesondere Änderungen, Manipulationen oder Fehl funktionen des Gesamtsystems auch zu einem späteren Zeitpunkt nachvollzogen werden können. Um insbesondere die Integrität des Überwachungssystems sowie der zu überwa chenden Schutzeinrichtung 10 zu gewährleisten, sieht das Überwachungsprotokoll verschiedene kryptographische Mittel vor. So kann zum einen vorgesehen werden, dass die Nachrichten verschlüsselt und/oder signiert übermittelt werden. Dadurch kann gewährleistet werden, dass nur autorisierte Empfänger eine Nachricht lesen oder auswerten können, und dass insbesondere auch der Urheber oder Absender einer bestimmten Nachricht eindeutig identifiziert werden kann.

Hierbei übernimmt die Zentraleinheit 32 eine wesentliche Rolle. Sie übt sozusagen in der Initialisierungsphase die Funktion eines Masters aus, während die Überwa chungseinheiten 30 als Slaves zu betrachten sind. Die Zentraleinheit kann darüber hinaus eine Überwachungseinheit beinhalten. Nach der Initialisierungsphase kön nen die Überwachungseinheiten und ggfs auch die Zentraleinheit autark die Ein träge in der Blockchain sowie ggfs vorhandene sonstige Nachrichten der Bauteile überwachen.

Nach der Initialisierungsphase überwachen die Überwachungseinheiten und ggfs. auch die Zentraleinheit autark die Einträge vorzugsweise in der Blockchain sowie ggfs vorhandene sonstige Nachrichten der (Sicherheits-)Bauteile. Ein wesentlicher Gesichtspunkt für die Sicherheit besteht darin, dass nur zugelassene Komponenten in dem Überwachungssystem kommunizieren dürfen. Bei der Einrichtung eines neu konfigurierten Überwachungssystems müssen daher zunächst alle Komponenten in dem Überwachungssystem angemeldet und registriert werden. Dies kann bei spielsweise dadurch erfolgen, dass die Zentraleinheit 32 zunächst in eine Konfigu- rationsbetriebsart versetzt wird. Dies kann durch eine Bedienperson erfolgen, welche sich hierfür authentifizieren muss, was durch geeignete Methoden wie Passwörter, Hardwaredongles oder z.B. auf einem tragbaren Speichermedium gespeicherte fälschungssichere digitale Identitätsnachweise in Form eines digitalen Schlüssels /Keys erfolgen kann. Jede Überwachungseinheit 30 beantragt zunächst ihre Systemmitgliedschaft, indem sie eine entsprechende Anfrage unter Mitteilung einer die jeweilige Über wachungseinheit 30 eindeutig kennzeichnende Identifikationsnummer an die Zent raleinheit 32 richtet. Die Zentraleinheit 32 kann eine entsprechende Erlaubnis in Form eines fälschungssicheren Identitätsnachweises, beispielsweise in Form eines Zertifikats oder Schlüssels, welches oder welcher an die anfragende Überwa chungseinheit 30 übermittelt wird, erteilen, wobei hierfür im Regelfall die Mitwirkung der Bedienperson erforderlich ist. Die fälschungssichere Identität, z.B. als Zertifikat oder als Schlüssel wird in der anfragenden Überwachungseinheit 30 gespeichert und dient dazu, von der Überwachungseinheit 30 ausgesendete Nachrichten bzw. von der Überwachungseinheit 30 empfangene Nachrichten zu verschlüsseln, zu signieren und/oder zu entschlüsseln. Die kryptographischen Mittel zur Verschlüs selung und/oder Authentifizierung umfassen insbesondere asymmetrische Krypto graphieverfahren, bei denen in bekannter Weise eine Kombination aus öffentlichen und privaten Schlüsseln zur Anwendung gelangt. Derartige kryptographische Ver- fahren sind allgemein bekannt und werden an dieser Stelle nicht eingehender erläutert. Nach Beendigung der Konfigurationsbetriebsart, d.h. wenn alle Komponenten des Überwachungssystems ihr jeweiliges Zertifikat oder Schlüssel als fälschungssi chere Identität erhalten haben und gegebenenfalls ein Verteilen oder Verbreiten der im Überwachungssystem vorhandenen öffentlichen Schlüssel an alle Komponenten vorgenommen wurde, kann das Überwachungssystem in die Überwachungsbe- triebsart versetzt werden. In dieser Betriebsart kann insbesondere vorgesehen sein, dass die Komponenten des Überwachungssystems, d.h. insbesondere die Überwachungseinheiten 30, in bestimmten Abständen Nachrichten mit Statusmel dungen aussenden, die von der Zentraleinheit 32, aber auch von anderen Über wachungseinheiten 30 empfangen werden können. Das Aussenden dieser Sta- tusmeldungen kann beispielsweise in vorgegebenen zeitlichen Abständen erfolgen, wobei diese zeitlichen Abstände beispielsweise als Betriebsparameter während der Konfigurationsbetriebsart von der Zentraleinheit 32 an die jeweilige Überwa chungseinheit 30 übermittelt wurden. So kann beispielsweise vorgesehen sein, dass je nach Funktion und/oder Sicherheitsrelevanz eines bestimmten von einer Überwachungseinheit 30 überwachten Sicherheitsbauteils die Häufigkeit dieser Statusmeldungen variieren kann.

Alternativ kann auch eine Abfrage zumindest eines Teils der Überwachungsein heiten 30 durch beispielsweise die Zentraleinheit 32 und/oder eine andere Über wachungseinheit 30 erfolgen, d.h. die entsprechenden Nachrichten mit einer Sta- tusmeldung werden auf Anfrage übermittelt.

Eine jeweilige von einer Überwachungseinheit 30 ausgesendete Statusmeldung kann neben Informationen über die Identität der Überwachungseinheit 30 bzw. des überwachten Sicherheitsbauteils auch einen Signalisierungszustand umfassen, welche insbesondere das von einem Überwachungssensor 12 ausgegebene Sen- sorsignal repräsentieren. Wenn die mit der Sicherheitssteuerung 14 verbundene Überwachungseinheit 30 Nachrichten versendet, welche auch Informationen über die empfangenen Sensorsignale enthalten, übermittelt, kann die Zentraleinheit einen Vergleich dieser Nachrichten durchführen, um gegebenenfalls Diskrepanzen zwischen den von der Sicherheitssteuerung 14 empfangenen Sensorsignalen und den vorgeblich, d.h. laut Statusmeldung von den Überwachungseinheiten 12 aus gesendeten Sensorsignalen festzustellen und entsprechende Sicherungsmaß nahmen einzuleiten. Wenn eine oder mehrere erwartete Nachrichten fehlen, so kann ebenfalls eine entsprechende Sicherheitsmaßnahme erfolgen.

Wenn die Zentraleinheit 32 und/oder eine oder mehrere Überwachungseinheiten 30 eine oder mehrere Nachrichten von einer Überwachungseinheit 30 empfängt, für die die Zentraleinheit 32 keinen gültigen Identitätsnachweis besitzt, und/oder die Nachrichten unzulässige, insbesondere nicht durch die Zentraleinheit 32 autori sierte Signaturen aufweisen, kann die Zentraleinheit 32 und/oder jede Überwa chungseinheit 30 dies als Manipulationsversuch betrachten und ebenfalls geeig nete Sicherheitsmaßnahmen einleiten. Darüber hinaus können die Sicherheits maßnahmen erfolgen, wenn nicht autorisierte Identitäten festgestellt werden. Für diese Sicherheitsmaßnahmen kommen mehrere Möglichkeiten in Betracht. So kann die Zentraleinheit 32, wenn sie beispielsweise eine Diskrepanz bei den Sen sorsignalen feststellt oder eine Statusmeldung eines bestimmten Überwachungs sensors 12 eine Fehlfunktion des Überwachungssensors 12 signalisiert, diesen Überwachungssensor 12 über die zugeordnete Überwachungseinheit 30 in einen Zustand versetzen, in dem der Überwachungssensor 12 ein vorgegebenes Alar mierungssensorsignal erzeugt. Wenn beispielsweise der Überwachungssensor 12 im Regelbetrieb ein Sensorsignal im Bereich von 4-20 mA ausgibt, kann das Alar mierungssensorsignal darin bestehen, dass der Sensor nunmehr ein Ausgangs signal von 0 mA an die Sicherheitssteuerung 14 übermittelt. In dem Fall bleibt es der Sicherheitssteuerung 14 überlassen, die entsprechend dafür vorgesehenen und hinterlegten Sicherheitsmaßnahmen zu treffen. So kann beispielsweise zunächst ein Abgleich mit anderen Überwachungssensoren 12 erfolgen. Alternativ kann auch eine sofortige Abschaltung der überwachten Maschine 20 erfolgen. Es ist also nicht erforderlich, dass die notwendigen Sicherheitsmaßnahmen im Überwachungssys tem programmiert werden müssen. Es wird in dem Fall auf die in der Schutzein richtung 10 hinterlegten Mechanismen zurückgegriffen. Alternativ oder zusätzlich kann die Zentraleinheit 32 bzw. eine andere Überwa chungseinheit 30, welche eine Fehlfunktion oder Diskrepanz festgestellt hat, eine entsprechende, die Abweichung signalisierende Nachricht an eine oder mehrere Komponenten des Überwachungssystems aussenden. Diese Nachricht kann dazu dienen, dass ein oder mehrere Überwachungseinheiten 30 entsprechende Maß- nahmen bei den von ihnen überwachten Sicherheitsbauteilen einleiten.

Schließlich kann auch die Zentraleinheit 32 selbst auf die Sicherheitssteuerung 14 einwirken. Hierfür kann die Zentraleinheit 32 über eine direkte Verbindung zur Sicherheitssteuerung 14, beispielsweise über einen Sensoreingang der Sicher heitssteuerung 14, auf diese einwirken. Ein besonderer Aspekt der vorliegenden Erfindung besteht darin, dass alle oder zumindest ein wesentlicher Teil der in dem Kommunikationsnetzwerk ausge tauschten Nachrichten protokolliert oder gespeichert werden kann. Dieses Proto kollieren oder Speichern erfolgt vorzugsweise mittels einer Blockchain. Bei einer Blockchain handelt es sich um eine kontinuierlich erweiterbare Liste von als Blöcke bezeichneten Datensätzen, welche mittels kryptographischer Verfahren miteinan der verkettet sind. Jeder Block kann typischerweise einen kryptographisch sicheren Hash-Wert des vorhergehenden Blocks, einen Zeitstempel und Zustandsdaten umfassen.

Die Blockchain wird zumindest in der Zentraleinheit gespeichert, wobei bevorzugt auch weitere Instanzen der Blockchain zumindest in einem Teil der Überwa chungseinheiten 30 gespeichert werden. Vorzugsweise erfolgt die Speicherung der Blockchain bzw. Instanzen der Blockchain in allen Komponenten des Überwa chungssystems.

Mithilfe einer solchen Blockchain-Protokollierung kann eine besonders hohe Si cherheit gegenüber Manipulationen erreicht werden. Sollte ein unbefugter Aus tausch oder eine unbefugte Manipulation eines Sicherheitsbauteils und der damit verbundenen Überwachungseinheit 30 erfolgt sein, würde dies zur Folge haben, dass die in dieser Überwachungseinheit 30 gespeicherte Blockchain-Instanz von den übrigen Blockchain-Instanzen im Überwachungssystem abweichen würde. Durch einen regelmäßigen Abgleich der Blockchain-Instanzen, was beispielsweise durch einen Austausch von Hash-Werten erfolgen kann, kann eine solche Diskre panz festgestellt werden und das zugehörige Sicherheitsbauteil als korrupt identifi ziert werden.

Ein wesentlicher Sicherheitsaspekt besteht für eine Speicherung der Block- chain-lnstanzen in allen oder zumindest einem großen Teil der Komponenten des Überwachungssystems darin, dass nicht nur die Zentraleinheit 32, sondern auch andere Überwachungseinheiten 30 einen etwaigen Manipulationsversuch aufde cken können. Für eine Manipulation eines derart gesicherten Überwachungssys tems müssten demnach nicht nur einzelne Komponenten des Systems manipuliert werden, sondern sämtliche Komponenten, was einen kaum zu überwindenden Aufwand darstellt. Die Blockchain enthält insbesondere auch Informationen über die von der Zentral einheit 32 zugelassenen Komponenten des Überwachungssystems, beispielsweise in Form der öffentlichen Schlüssel aller im Überwachungssystem zugelassenen Komponenten.

Die vorstehend genannte Speicherung des Zertifikates bzw. des Schlüssels, ins- besondere eines privaten Schlüssels, in den Überwachungseinheiten 30 bzw. der Zentraleinheit 32 kann insbesondere mithilfe eines speziell geschützten Chips, beispielsweise eines TPM (für Englisch Trusted Platform Modul) erfolgen. Mithilfe eines geeigneten sicheren Authentifizierungsverfahrens, beispielsweise mittels des sogenannten Challenge-Response-Verfahrens, kann durch eine jeweilige Kompo nente festgestellt werden, ob eine andere Komponente im Besitz des passenden privaten Schlüssels ist, welcher dem öffentlichen Schlüssel, der in dem Überwa- chungssystem, insbesondere in der Blockchain, für die zu überprüfende Kompo nente hinterlegt ist. Bei dem Challenge-Response-Verfahren stellt eine anfragende Komponente eine Aufgabe an die zu überprüfende Komponente, die diese lösen muss, um zu beweisen, dass die zu überprüfende Komponente eine bestimmte Information kennt, ohne diese Information selber zu übertragen. Grundsätzlich ist es nicht zwingend, dass alle in dem Kommunikationsnetzwerk 34 ausgetauschten Nachrichten auch in der Blockchain gespeichert werden. So kann global oder individuell für jede Komponente des Überwachungssystems eine Prio ritätsebene festgelegt werden, ab welcher eine Speicherung in der Blockchain erfolgt. So könnten beispielsweise für weniger sicherheitsrelevante Sicherheits- bauteile eine höhere Ebene festgelegt werden, sodass nur besonders kritische Nachrichten protokolliert werden. Für andere Sicherheitsbauteile, deren Sicher heitsrelevanz sehr hoch ist, könnte eine niedrigere Ebene festgelegt werden, so dass auch weniger sicherheitskritische Nachrichten der diesem Sicherheitsbauteil zugeordneten Überwachungseinheit 30 protokolliert werden. Das mit Bezug auf Fig. 2 beschriebene Überwachungssystem eignet sich insbe sondere auch zur Nachrüstung einer bestehenden, bereits eingerichteten Schutz einrichtung 10. Das Überwachungssystem stellt sozusagen eine Hülle dar, welche die bestehende Schutzeinrichtung 10 zur Feststellung der Integrität, d.h. zur Über prüfung auf Manipulation oder Korruption, und zur Zustands- und Verlaufsprotokol- lierung überwacht. Die eigentliche Funktionalität der Schutzeinrichtung 10 wird von dem Überwachungssystem nicht beeinflusst oder zumindest nur insoweit, dass bei einer festgestellten Abweichung von einem Sollzustand Maßnahmen eingeleitet werden, die die Sicherheit eines von der Schutzeinrichtung 10 überwachten Sys tems oder einer Maschine 20 gewährleisten.

Mit Bezug nun auf Fig. 3 wird ein weiteres Ausführungsbeispiel eines erfindungs gemäßen Überwachungssystems erläutert. Das dort dargestellte Überwachungs system und die damit überwachte Schutzeinrichtung 1 10 entsprechen in ihrem Aufbau und ihrer Funktionalität im Wesentlichen dem Überwachungssystem bzw. der Schutzeinrichtung 10 von Fig. 2. Daher wurden für gleiche oder gleichartige Elemente auch gleiche Bezugszeichen vergeben. Die maßgeblichen Unterschiede zwischen den beiden Ausführungsbeispielen werden nachfolgend erläutert.

Im Unterschied zum ersten Ausführungsbeispiel sind die Sicherheitsbauteile, d.h. die Überwachungssensoren 12 und die Sicherheitssteuerung 14 mit einer jeweili gen Überwachungseinheit 30 zu einem integrierten Bauteil verbunden. Zusätzlich ist nun auch der Aktor 16 über eine ebenfalls integrierte Überwachungseinheit 30 in das Überwachungssystem integriert.

Ein weiterer Unterschied besteht darin, dass die Signalisierung zwischen den Si- cherheitsbauteilen, d.h. die Übertragung der Sensorsignale zwischen den Über wachungssensoren 12 und der Sicherheitssteuerung 14 sowie die Übertragung der Sicherheitsschaltbefehle zwischen der Sicherheitssteuerung 14 und dem Aktor 16, sowie der Austausch der Nachrichten über ein gemeinsam genutztes Kommunika tionsnetzwerk, beispielsweise über ein gemeinsames Bussystem erfolgt, d.h., das Kommunikationsnetzwerk 34 ist Bestandteil des Bussystems der Schutzeinrichtung 1 10. Das Kommunikationsnetzwerk kann beispielsweise als Feldbussystem oder beliebiges anderes Bussystem ausgestaltet sein.

Durch die Integration der Sicherheitsbauteile in die Komponenten des Überwa chungssystems kann eine noch höhere Manipulationssicherheit erreicht werden. Zugleich vereinfacht sich der Installationsaufwand. In der Fig. 4a ist schematisch ein Fahrzeug 60 dargestellt, das eine automatische Distanzkontroll-Schutzeinrichtung 40, d.h. einen Abstandsregeltempomat (ACC - Adaptive Cruise Control) umfasst. Hinter der Bezeichnung ACC verbirgt sich ein Abstandsregeltempomat, der den Abstand eines Fahrzeuges zu dem vorausfah renden Fahrzeug regelt, und somit eine Kollision verhindert. Die Distanzkon- troll-Schutzeinrichtung 40 misst über eine radarbasierten Abstandssensor 42 eine Position, Entfernung und die Geschwindigkeit eines vorausfahrenden Fahrzeuges und mittels Raddrehzahlsensoren 44 die eigene Geschwindigkeit. Die Geschwin digkeit des eigenen, allradangetriebenen Fahrzeuges 60 mit einem, durch einen Antriebsmotor 48 alle Fahrzeugachsen antreibenden Antriebsstrang 59 wird da- raufhin via Eingriff in den Antriebsmotor 48 und in die Bremsenaktuatoren 46 ent sprechend angepasst, um einen konstanten Abstand zu halten oder einen Mini malabstand nicht zu unterschreiten. Hierzu ist der Antriebsmotor 48 und die Bremsenaktuatoren 46 sowie die Raddrehzahlsensoren 44 und der Abstands sensor 42 über einen CAN-Bus 52 mit einer Sicherheitssteuerung (z.B. ECU) 50 verbunden, die eine Abstandsregelung durchführt.

Wie in der weitergehenden Fig. 4b dargestellt, ist der in der Fig. 4a gezeigten Dis- tanzkontroll-Schutzeinrichtung 40 ein Überwachungssystem übergeordnet, dass eine Zentraleinheit 54, ein Kommunikationsnetzwerk 58 (mit punktierten Linien) und eine Vielzahl von Überwachungseinheiten 56 umfasst. Den Sensoren 42, 44 und den Aktoren 46, 48 sowie der Sicherheitssteuerung 50 sind jeweils eine Überwa chungseinheit 56 zugeordnet. Über das Kommunikationsnetzwerk 58 sind die Überwachungseinheiten 56 mit der Zentraleinheit 54 verbunden. Periodisch oder aperiodisch melden die Überwachungseinheiten 54 den Zustand und Identität der mit ihnen verbundenen Aktoren 46, 48, Überwachungssensoren 42, 44 und der Sicherheitssteuerung 50. Des Weiteren können die Überwachungseinheiten 56 einen internen Zustand z.B. der Aktoren 46, 48 beeinflussen, z.B. einen Eingriff der Bremsaktuatoren 46 ermöglichen oder die Leistung des Antriebsmotors 48 be- stimmen. Das Kommunikationsnetzwerk 58 kann ein physikalisch getrenntes Netzwerk sein, aber auch physikalisch auf dem bereits vorhandenen CAN-Bus 52 des Fahrzeugs aufsetzen und Nachrichten vorzugsweise signiert und/oder ver schlüsselt an die Zentraleinheit 54 übermitteln.

Wird beispielsweise durch einen Hackereingriff auf dem CAN-Bus 52, der gleich- wohl physikalisch Nachrichten des Kommunikationsnetzwerks 58 übertragen kann, Sensorwerte des Abstandssensors 42 mutwillig geändert, so kann die Zentralein heit 54 feststellen, dass abweichende Abstandswerte von der, dem Abstands sensors 42 zugeordneten, Überwachungseinheit 56 und der, der Sicherheitssteu erung 54 zugeordneten Überwachungseinheit 56 vorliegen. Das in der Zentralein- heit 54 vorliegende Überwachungsprotokoll kann für diesen Fall vorsehen, dass ein sofortiges Deaktivieren der automatischen Distanzkontrolle dem Fahrer signalisiert und die Sicherheitssteuerung 50 der Distanzkontroll-Schutzeinrichtung 40 abge schaltet wird. Hierdurch wird verhindert, dass es zu einem ungewollten Auffahrun fall kommt, der durch einen Hackereingriff, z.B. über einen Internetgateway eines vernetzten Fahrzeugs (Connected Car, Car2Car Communication) erfolgt ist.

Nachfolgend sollen weitere Ausführungsbeispiele eines erfindungsgemäßen FCS-Überwachungssystems exemplarisch, allerdings nicht abschließend, darge stellt werden, die Angriffe und deren Abwehr auf Basis des FCS-Überwachungssystems aufgrund von Hacken, Manipulation sowie fehlerhafter Wartung der betroffenen FS Schutzeinrichtungen bzw. des darin eingesetzten CS veranschaulichen.

Ausführunqsbeispiel : Kernkraftwerk

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einem Herunterfahren der Brennelemente ins Wasserbecken bei Störung. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass die Brennelemente vollständig im Wasser versenkt sind. Die Schutzeinrichtung umfasst hierzu Überwachungs- Sensoren, Sicherheitssteuerung, Aktorik und ist in der Regel als SCADA-Steuerung ausgeführt. Unter einer SCADA-Steuerung (Supervisory Control and Data Acquisi- tion) versteht man im Folgenden eine Schutzeinrichtung zum Überwachen und Steuern technischer Prozesse mittels eines Computer-Systems.

Eine Manipulation / Angriff kann darin bestehen, dass die (SCADA-)Steuerung des Kernkraftwerkes über einen infizierten USB-Stick von einem Angreifer übernommen oder korrumpiert wird. Der Angreifer fährt die Brennelemente aus dem Wasser und löscht anschließend das gesamte (SCADA-)Steuerungsprogramm, sodass es zu einer Kernschmelze kommen könnte. Ein Einschreiten aufgrund des kompletten (SCADA-)Steuerungsausfalls ist kaum mehr möglich. Im Überwachungssystem kann als FCS-Parameter im Überwachungsprotokoll hinterlegt sein, dass eine Manipulation oder Hack eines Sicherheitsbauteils augenblicklich zur Herstellung des FCS-Zustandes führen soll. Der FCS-Zustand kann bei Manipulati on/Bauteilausfall darin bestehen, eine Notsteuerung der Schutzeinrichtung über das FCS-Kommunikationsnetzwerk und die Überwachungseinheiten proprietär zu ermöglichen, um eine minimale Stromversorgung zu gewährleisten.

Alternativ kann bei Feststellung eines Hacks durch eine Überwachungseinheit oder die Zentraleinheit, die einen ungewöhnlichen Zustand der Sicherheitsbauteile fest stellt, die Herstellung des sicheren Zustands (z.B. Brennelemente vollständig in Wasser fahren) sowie die weiteren Aktionen des FCS-Zustand inkl. (Deaktivierung aller Aktorik und ggf. Zerstörung oder Isolation des gehackten Bauteiles) erfolgen, um eine Ausbreitung eines Computervirus zu verhindern.

Beispielsweise kann das FCS-Überwachungssystem den Hackerangriff z.B. über eine Rechteerweiterung des aktuellen Benutzers oder über Änderungen im RAM und / oder ROM des SCADA-Steuerungssystems erkennen. Da es sich um einen Hackerangriff handelt, werden die Brennelemente ins Wasserbecken gelassen. Anschließend wird eine Sicherheitssicherung der (SCADA-)Steuerung abgeschal tet, um den Hackerangriff zu begrenzen bzw. zu stoppen.

Ausführunqsbeispiel: Luft- und Raumfahrt sowie andere Transportmittel

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einem zuverlässigen Arbeiten des Autopiloten. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass eine Alarmierung der Piloten und Umschalten auf manuelle Steuerung erfolgt, sobald eine Unzuverlässigkeit des Autopiloten erkannt wird.

Eine Manipulation / Angriff kann darin bestehen, dass über das Infotainmentsystem ein im Flugzeug befindlicher Hacker in das interne Flugzeugnetzwerk gelangt und z.B. den Autopiloten oder andere sicherheitskritische Systeme manipuliert. Im Überwachungssystem kann als FCS-Parameter im Überwachungsprotokoll hinter legt sein, dass bei Hack oder Manipulation eines Bauteiles der Sicherheitskette ein FCS-Zustand sofort hergestellt wird. Ein hierzu vorgesehener FCS-Zustand kann eine Alarmierung der Piloten und dauerhaftes Umschalten auf manuelle Steuerung sowie automatische Alarmierung der Flugsicherung umfassen.

Ein Ausbruch aus dem Infotainmentsystem wird durch die FCS-Diagnose direkt auf dem Infotainmentsystem erkannt, da das Infotainmentsystem einen Verbindungs versuch zu Ziel-Adressen unternimmt, welche nicht als FCS Parameter hinterlegt sind. Als Reaktion des FCS Überwachungssystems erfolgt eine sofortige Deakti- vierung der Konsole, Information an den Sky-Marshal und Übergang in den vorbe schriebenen sicheren Zustand.

Das exemplarische Beispiel ist auch auf andere Transportmittel zu Lande, zu Wasser und in der Luft, die (autonome) Navigations- und Steuerungssysteme nutzen, wie z.B. PKW, LKW, Busse, Züge oder Schiffe übertragbar. Ausführunqsbeispiel: Fahrzeuge, insbesondere eBikes / Mofa / Autotuninq

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einer Einhaltung der Maximalgeschwindigkeit. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass der Motor ausgeschaltet wird. Die Schutzein richtung umfasst hierzu Geschwindigkeitsmesser, mR, Motoransteuerung. Eine Manipulation / Angriff kann darin bestehen, dass ein Standartbauteil durch ein getuntes oder gefälschtes Bauteil ersetzt wird, um schneller fahren zu können. Im Überwachungssystem kann als FCS-Parameter im Überwachungsprotokoll hinter legt sein, dass bei einer FCS-Diagnose einer Überwachungseinheit der FCS-Zustand eingenommen wird. Ein dieser FCS-Diagnose durch den FCS-Parameter zugeordneter FCS-Zustand kann in einem Einschalten des Warn blinkers, langsame Reduktion der Geschwindigkeit auf null, permanentes Ab schalten des Motors, umfassen.

Durch Einbau des gefälschten Bauteiles fehlt die Verschlüsselungssignatur der dazugehörigen FCS-Diagnose. Der FCS-Zustand wird nach einem im FCS-Parameter festgelegten Zeitintervall eingenommen, der im Optimalfall greift, bevor das Fahrzeug starten kann.

Ausführunqsbeispiel: Autonome Waffen

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einer Vermeidung von Friendly Fire und in einer Aktivierung nur im Kampfgebiet. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht in einer vollständigen Deaktivierung der Waffenfunktion. Die Schutzeinrichtung umfasst hierzu GPS-Sensor, Sicher heitssteuerung, Waffenfreigabe.

Eine Manipulation / Angriff kann darin bestehen, dass mittels Umverdrahtung, Austausch oder Überbrückens des alten GPS-Sensors eine Fälschung des GPS-Signals erfolgt, um einen falschen Standort vorzutäuschen. Im Überwa chungssystem kann als FCS-Parameter im Überwachungsprotokoll hinterlegt sein, dass bei einer FCS-Diagnose einer GPS-Datenfälschung der folgende FCS-Zustand eingenommen wird: Vollständige und permanente Deaktivierung der Waffenfunktion sowie Zerstörung der internen Bauteile (beispielsweise des mR, RAM, ROM).

Das Überbrücken des GPS-Sensors wird durch die Überwachungseinheit erkannt mittels Vergleich des RAM-Inhalt des original GPS-Sensors und dem Werteeingang in die Sicherheitssteuerung oder durch einem Sprung der Positionsdaten in einem Zeitintervall, der einen physikalischen Transport unmöglich macht. Als Reaktion instanziert das FCS Überwachungssystem den vordefinierten FCS-Zustand der Schutzeinrichtung.

Ausführunqsbeispiel: Pistole

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einer Deaktivierung bei unberechtigtem Zugriff (z.B. personen- oder zeitabhängig). Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass der Abzug verriegelt und eine Schussabgabe deaktiviert wird. Die Schutzeinrichtung umfasst hierzu: Fin gerabdrucksensor, NTP-Client, GSM-Modul, mR, Verriegelung.

Eine Manipulation / Angriff kann darin bestehen, dass der Fingerabdrucksensor manipuliert oder eine falsche Zeit vorgetäuscht wird. Im Überwachungssystem kann als FCS-Parameter hinterlegt sein, dass bei einer entsprechenden FCS-Diagnose, wobei eine Überwachungseinheit beispielsweise eine eigene in terne Uhr abgleicht, oder erkennt, dass seit längerem der Fingerabdrucksensor immer dasselbe Identifikationssignal ausgibt, obwohl nachweislich verschiedene Personen die Waffe geführt haben, führt zur Herstellung des folgenden FCS-Zustandes: Verriegelung Abzug und Deaktivierung bis eine neue FCS-Parametrierung des Überwachungsprotokolls durchgeführt wird So kann ein Brücken des Fingerabdrucksensors durch einen Datenabgleich im FCS-Kommunikationsnetzwerk (Sensoreingang Fingerabdrucksensor vs. Über mittlung an mR) festgestellt werden. Auch kann z.B. bei einem Wartungsintervall festgestellt werden, dass weiterhin der Fingerabdrucksensor dieselbe Identifikation erkennt, obwohl nachweislich eine andere Person die Waffe führt. Ein FCS-Zustand wird in diesem Fall sofort eingenommen.

Im Falle eines Uhrzeitvergleich der Zeit wird ein Abgleich nicht in der Pistole selber, sondern z.B. durch Vergleich mit anderen Pistolen und / oder Zugriff auf eine Cloud eines vernetzten, übergreifenden Kommunikationsnetzwerks, in der Überwa chungseinheiten verschiedener Personen Zugriff haben, realisiert. Wird eine Ab weichung von den FCS-Diagnosen verschiedener Pistolen festgestellt, wird der vorbeschriebene FCS-Zustand eingenommen.

Ausführunqsbeispiel: Roboter

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einer Bereichsbegren zung der Roboterbewegung, z.B. Drehung nur um 270° zulässig. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht in einem sofortigen Stopp jeder Aktorik. Die Schutzeinrichtung umfasst hierzu einen induktiven Sicherheits sensor, Sicherheitssteuerung, Relais.

Eine Manipulation / Angriff kann darin bestehen, dass der Sicherheitssensor wäh rend einer Wartung durch einen Standardsensor ausgetauscht wird. Im Überwa- chungssystem kann als FCS-Parameter hinterlegt sein, dass eine entsprechende FCS-Diagnose zu folgendem FCS-Zustand führt: Sofortiger Stopp jeder Aktorik und Verhinderung eines Wiederanlaufens.

Der ausgetauschte Sensor wird von der Sicherheitssteuerung nicht erkannt, da er die gleichen Signale liefert wie der bisherige Überwachungssensor. Allerdings wird keine FCS-Diagnose durch den neuen Sensor ausgegeben, sodass keine zyklische Nachricht in das FCS-Kommunikationsnetzwerk ausgesandt werden kann. Nach Ablauf einer maximal zulässigen Zeit für die Nachrichtenübermittlung der Nachricht zur FCS-Diagnose des fehlenden Sicherheitssensors wird der FCS-Zustand ein genommen.

Beispiel Medizintechnik: Infusionspumpe Eine Sicherheitsfunktion der Schutzeinrichtung besteht in der Applizierung des Medikamentes in einer exakten Dosierung, die nicht zu hoch oder zu niedrig sein darf. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass eine Alarmierung bei Fehlfunktion ausgelöst wird. Die Schutzeinrichtung umfasst hierzu einen Rotationssensor, mR, Pumpenrelais. Eine Manipulation / Angriff kann darin bestehen, dass über das Kliniknetzwerk ein Hacker die Infusionspumpe hackt und die Infusionsmenge auf den zehnfachen Wert einstellt.

Im Überwachungssystem kann als FCS-Parameter im Überwachungsprotokoll hinterlegt sein, dass bei Manipulation eines Bauteils der folgende FCS-Zustandes eingenommen wird: Notsteuerung der Infusionspumpe mittels des FCS-Kommunikationsnetzwerk / FCS-Systems unter Verwendung des letzten gültigen Parameters aus der Blockchain; Alarmierung des Klinikpersonals.

Der Hackerangriff auf den mR wird z.B. mittels Hashanalyse des RAMs und oder ROMs durch die jeweilige FCS-Diagnose der Überwachungseinheit der Pum- pen-Steuerungseinheit festgestellt. Dieser Hackversuch wird dem Kommunikati onsnetzwerk mitgeteilt, wodurch auf Basis dieser FCS-Diagnose die Zentraleinheit mittelbar über die jeweilige Überwachungseinheit die Kontrolle über die Sicher heitsbauteile übernimmt. Die gültigen Parameter (Infusionsmenge, Zeitraum, ...) werden der Blockchain als FCS-Parameter entnommen. Ferner wird das Klinik- personal über ein optisches und akustisches Warnsignal sowie eine Warnmeldung über ein klinikinternes Informationsnetzwerk über den Hackerangriff alarmiert.

Ausführunqsbeispiel: Spanbearbeitunaszentrum im Maschinenbau

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einer Abschaltung bei Unterdrück (1 ,1 bar) des Kühlwassers. Ein sicherer Zustand, ggf. auch ein mögli- eher FCS-Zustand besteht darin, dass jegliche Aktorik ausgeschaltet wird. Die Schutzeinrichtung umfasst hierzu einen Drucksensor, Sicherheitssteuerung, Akto rik.

Eine Manipulation / Angriff kann darin bestehen, dass während der Wartung ein defekter Drucksensor durch einen baugleichen, neuen Drucksensor ausgetauscht wird. Jedoch wurde vergessen, den Schaltwert des Sensors von 10 bar (Default Wert) auf 1 ,1 bar zu parametrisieren. Im Überwachungssystem kann als FCS-Parameter im Überwachungsprotokoll hinterlegt sein, dass eine entspre chende FCS-Diagnose zu folgendem FCS-Zustand führt: Abschaltung jeglicher Aktoren und Verhinderung eines Wiederanlaufs. Die Sicherheitssteuerung kann eine falsche Programmierung des PNP-Schaltausgangs des Drucksensors nicht feststellen. Bei Austausch des Drucksensors wurde die neue FCS-Diagnose des neuen Drucksensors von FCS-Kommunikationsnetzwerk nach Abgleich der kryptographischen Schlüssel und Kennung ins Überwachungssystem und dessen Kommunikationsnetzwerk aufge- nommen und die Blockchain übertragen. Nun erkennt die FCS-Diagnose des neuen Drucksensors durch Vergleich mit der übertragenen Blockchain, dass der einge stellte Druckwert (durch Auslesen des RAMs) nicht mit dem Wert aus der Block chain übereinstimmt. Somit wird der hierfür vorgesehene FCS-Zustand einge nommen. Ausführunqsbeispiel: Chemieanlage

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einem Überfüllschutz eines Tanks. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass der Befüllungsvorgang gestoppt wird. Die Schutzeinrichtung umfasst hierzu Füllstandsensor, Prozessleitsystem, Pumpenrelais Eine Manipulation / Angriff kann darin bestehen, dass versucht wird, alle Sicher heitsbauteile der Betankungseinrichtung zu übernehmen, um den Tank überlaufen zu lassen, was eine Explosion in der Chemieanlage zu Folge haben könnte. Im Überwachungssystem kann als FCS-Parameter hinterlegt sein, dass wenn bei maximaler Befüllung des Tanks der Befüllvorgang fortgesetzt wird, eine entspre- chende FCS-Diagnose zu folgendem FCS-Zustand führt: Deaktivierung des Pum penrelais, bis das FCS-Überwachungssystem zurückgesetzt wird, z.B. durch Neu programmierung. Ein Angriff/Manipulation auf einzelne Sicherheitsbauteile ist zu ignorieren, um Fehlalarme so gut wie möglich auszuschließen, wg. entsprechen dem Kostendruck. Das Überwachungssystem erkennt die Angriffe auf die einzelnen Sicherheitsbau teile und die Sicherheitssteuerung. Aufgrund der eingestellten FCS-Parameter wird jedoch nichts unternommen. Der Grund hierfür ist, dass die Sicherheitsbauteile und das Sicherheitssteuerung auch im normalen Betrieb aufgrund von Optimierungs prozessen immer wieder verändert werden, sodass ein fälschlicherweise detek- tierter„Angriff“ die Produktion unzumutbar häufig lahmlegen würde.

Erst als erkannt wird, dass die Sensorik des Füllstandsensors einen vollen Tank meldet, die Sicherheitssteuerung die Aktorik aber nicht ausschalten will, trennt eine dem Pumpenrelais zugeordnete Überwachungseinheit aufgrund einer in einer Nachricht entsprechende FCS-Diagnose vom Netz, und stellt so den sicheren Zustand her. Die Zentraleinheit teilt ferner allen Überwachungseinheiten mit, zu mindest alle Aktoren enthaltende Sicherheitsbauteile abzuschalten. Ausführunqsbeispiel: Mikrowelle, auch übertragbar auf weitere Haushaltsgeräte wie Waschmaschine, Trockner etc.

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einer Abschaltung der Mikrowellenstrahlung vor dem Öffnen der Tür. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass das Magnetron ausgeschaltet wird. Die Schutzeinrichtung umfasst hierzu Türsensor, Sicherheitssteuerung, Magnetron.

Eine Manipulation / Angriff kann darin bestehen, dass der Türsensor überbrückt wird, sodass die Tür für die Mikrowelle immer - d.h. auch im offenen Zustand - als geschlossen erkannt wird. Im Überwachungssystem kann als FCS-Parameter im Überwachungsprotokoll hinterlegt sein, dass bei Manipulationserkennung des Türsensors eine entsprechende FCS-Diagnose zu folgendem FCS-Zustand führt: Ausschalten des Magnetrons bis zur Wartung durch Fachpersonal.

Der Türsensorausgang wurde durch Manipulation durch eine feste Brücke nach Versorgungsspannung ersetzt, so dass der mR der Sicherheitssteuerung annimmt, dass die Tür geschlossen ist und das Magnetron betrieben werden kann. Eine Überwachungseinheit des Türsensors kann mittels Vergleich des Sensoreingangs, Sensorausgangs sowie Eingang mR bzw. Betriebszustand des Magnetrons spä testens nach einmaliger Türöffnung die Manipulation feststellen und eine entspre chende FCS-Diagnose an die Zentraleinheit abgeben, die den entsprechenden FCS-Zustand herbeiführt. Ausführunqsbeispiel : Bohrmaschine

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einem: Schutz vor un terwarteten Anlauf. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, dass der Motor abgeschaltet wird. Die Schutzeinrichtung umfasst hierzu Betätigungselemente A+B (=zweikanalig), mR, Motoransteuerung. Eine Manipulation / Angriff kann in einem dauerhaften Brücken eines Betätigungs elementes bestehen. Im Überwachungssystem kann als FCS-Parameter im Über wachungsprotokoll hinterlegt sein, dass beim Brücken eines Betätigungselementes eine entsprechende FCS-Diagnose zu folgendem FCS-Zustand führt: Ausschalten des Motors. Ausführunqsbeispiel: Infotainmentsvstem im Auto

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einem: Schutz vor Ab lenkung des Fahrers durch abgespielte Videos im Frontbereich des Autos. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht darin, das Video- abspielen im Sichtbereich des Fahrers ab einer gewissen Geschwindigkeit zu unterbinden.

Eine Manipulation / Angriff kann in einer falschen Geschwindigkeitsinformation zum Infotainmentsystem bestehen. Sollte nun die übermittelte FCS-Diagnose inkl. der angenommenen Geschwindigkeit des Infotainmentsystems eine Diskrepanz zur FCS-Diagnose des Geschwindigkeitsmessers des Autos festgestellt werden, könnte der FCS-Zustand durch Sperren einer Videoabspielfunktion im Fahrerbe reich bei zu hoher Geschwindigkeit hergestellt werden, was identisch mit dem eigentlichen sicheren Zustand der FS wäre. Sollte auch die Überwachungseinheit des Infotainmentsystems angegriffen werden, was durch fehlende oder falsche periodische Zustandsmeldung der Überwachungseinheit erkannt werden würde, könnte der FCS-Zustand ein dauerhaftes Sperren jeglicher Videoabspielfunktion sein, welcher nur durch autorisiertes Fachpersonal (beispielsweise in einer Fach werkstatt) aufhebbar wäre.

Ausführunqsbeispiel: Industrie mit einem (SCADA-)Steuerunqssvstem

Ein Angriff auf ein (SCADA-)Steuerungssystem könnte wie im Kernkraftwerksbei- spiel über einen USB-Stick, allerdings auch über das Internet oder dem Verwal- tungsnetz erfolgen. Die Erkennung und Herstellung des FCS-Zustandes würde mit Hilfe des FCS-Systems erfolgen und wäre technisch vergleichbar mit dem Kern kraftwerk.

Ausführunqsbeispiel: Drohnen

Eine Sicherheitsfunktion der Schutzeinrichtung besteht in einer Vermeidung der Annäherung an einen Flughafen. Ein sicherer Zustand, ggf. auch ein möglicher FCS-Zustand besteht in einer Abschaltung der Flugfähigkeit oder Kursänderung beim Eindringen in einen sicherheitskritischen Abstand zum Flugraum des Flug hafens.

Weitere Beispiele für eine Anwendung der Erfindung auf Sicherheitseinrichtungen können im gleichen Sinne dargestellt werden, wobei exemplarisch auch der Bereich Bauindustrie genannt werden kann, in dem vielfältige Schutzeinrichtungen zur Erhöhung der Arbeits- und Betriebssicherheit beim Bau und Überwachung von Bauwerken eingesetzt werden.

Weitere Ausführungsbeispiele können zur Verhinderung von Hackerangriffen auf Staudämme mit dem Ziel, Dörfer oder ganze Städte zu überfluten; auf Ampelsys teme mit dem Ziel, den Stadtverkehr lahmzulegen und Autounfälle (z.B. durch Grünanzeigen an jeder Ampel) hervorzurufen; oder auf die Weichensteuerung von Zügen mit dem Ziel, Züge kollidieren zu lassen, eingesetzt werden.

Bezugszeichenliste

10, 1 10 Schutzeinrichtung

12 Überwachungssensor

14 Sicherheitssteuerung

16 Aktor

20 Maschine

30 Überwachungseinheit

32 Zentraleinheit

34 Kommunikationsnetzwerk

40 automatische Distanzkontroll-Schutzeinrichtung

42 Abstandssensor als Überwachungssensor

44 Raddrehzahlsensor als Überwachungssensor

46 Bremsenaktuator

48 Antriebsmotor

50 Sicherheitssteuerung

52 CAN-Bus

54 Zentraleinheit

56 Überwachungseinheit

58 Kommunikationsnetzwerk

59 Antriebsstrang

60 Fahrzeug mit automatischer Distanzkontroll-Schutzeinrichtung