Betriebssicherheit von Aufzügen: Software und Updates unter Kontrolle

Moderne Aufzüge werden zunehmend von Softwaresystemen überwacht und gesteuert. Ob der Aufzug bis zur nächsten wiederkehrenden Prüfung einen sicheren Betrieb gewährleisten kann, ist somit auch eine Frage der Firmware und deren Parameterkonfiguration.

Insbesondere nach Softwareupdates muss sichergestellt sein, dass die Produkt- und Betriebssicherheit nicht beeinträchtigt ist. Hier erklärt Dr. Rolf Zöllner, Leiter Business Development im Geschäftsfeld Fördertechnik des TÜV Süd Industrie Service, wie ein solcher Nachweis in der Praxis gelingt.

Die meisten Aufzüge zählen zu den überwachungsbedürftigen Anlagen und unterliegen gemäß der neuen Betriebssicherheitsverordnung (BetrSichV) wiederkehrenden Prüfungen. Ein Gegenstand der regelmäßigen Prüfungen waren in der Vergangenheit vor allem rein mechanische oder mechatronische Komponenten. Geschwindigkeitsbegrenzer sind zum Beispiel so konzipiert, dass sie durch die Beschleunigung eines herabstürzenden Fahrkorbs mechanisch auslösen und diesen über die Fangvorrichtung kontrolliert abbremsen.

Mit einer von einer benannten Stelle wie dem TÜV Süd durchgeführten Baumusterprüfung bestätigt der Hersteller, dass solche Sicherheitsbauteile die an sie gestellten Anforderungen zuverlässig erfüllen. Untersucht werden dazu unter anderem das Material, die Konstruktion, Bauweise, Herstellung und Belastungsgrenzen. Nach der erfolgreichen Prüfung sind die Komponenten zur sicheren Verwendung nach EN 81-20 verbauen.

Baumusterprüfung von Hard- und Software

Zunehmend werden jedoch rein mechanisch ausgeführte Sicherheitsfunktionen von Hardware- und Softwaresystemen (HW/SW-Systemen) gesteuert und überwacht oder ersetzt. Dazu werden von den rein betrieblichen Funktionen unabhängige Schutzkreise aufgebaut. Diese bestehen in der Regel hardwareseitig aus Sensoren, Logikeinheiten und Aktoren sowie aus Software, die die digital erzeugten Daten verarbeitet und auswertet.

Dass die Bauteile aus Hard- und Softwarekomponenten bestehen, ändert jedoch nichts an den bewährten Zulassungsverfahren durch eine zugelassene Überwachungsstelle: Sowohl Hardware als auch Software sind Gegenstand der Baumusterprüfung.

Beispiel Schachtkodierung und Schachtinformationssystem

Ein Schachtkodiersystem steuert und überwacht im Normalbetrieb die Position des Aufzugs beim Auf- und Abfahren. Die Software in modernen Schachtinformationssysteme kann zudem die Beschleunigung, Geschwindigkeit und Bremsvorgänge regeln.

Die Daten können dazu genutzt werden, um sicherheitsrelevante Fehlfunktionen zu erkennen, geeignete Gegenmaßnahmen einzuleiten und schließlich eine sichere Verwendung und einen sicheren Betriebszustand des Aufzugs zu erreichen. Dafür muss das HW/SW-System absolut zuverlässig kritische Betriebszustände erkennen und die geeignete Funktion auslösen. Gleichzeitig darf das System jedoch nicht "überreagieren" und zum Beispiel die Fangvorrichtung während einer normalen Fahrt auslösen.

IEC 61508-3 für Softwareprüfung relevant

Die internationale Normenserie IEC 61508 definiert die technischen und prozeduralen Vorgaben für elektrischen, elektronischen und programmierbaren elektronische Systeme (sogenannten E/E/EP-Systemen), die eine Sicherheitsfunktion ausführen. Für Software ist insbesondere Teil 3 relevant, der unter anderem Anforderungen an den Sicherheitslebenszyklus, eingesetzte Tools und an die Qualität der Dokumentation spezifiziert.

Außerdem muss die installierte Software exakt auf die Hardware des Schachtinformationssystems abgestimmt sein. Parameter wie Aufzugsgewicht, Auslösegeschwindigkeiten oder Schachtcodierung müssen softwareseitig korrekt abgebildet und verarbeitet werden.

Zusätzlich muss sichergestellt werden, dass keine Manipulation der Software durch unbefugte Dritte erfolgen kann. Diese Anforderung gilt natürlich für alle Aufzüge als überwachungsbedürftige Anlagen, nicht nur für „smarte“ Systeme, die mit dem Internet oder anderen Netzwerken verbunden sind.

Updates kontrollieren, Manipulationen ausschließen

Auch Softwareänderungen von befugter Stelle – zum Beispiel Änderungen der Parameterkonfiguration – können bei Prüfungen zur Herausforderung werden, wenn sie nicht unmittelbar durch eine Wirksamkeitsprüfung oder eine eindeutige Software-Information erkennbar sind. Oft informiert auch ein Aufkleber über die installierte Softwareversion.

Ob die Angaben jedoch noch aktuell sind und ob beziehungsweise welche Updates zwischenzeitlich von welchem Mitarbeiter eingespielt wurden, ist nicht immer nachvollziehbar. Prüfer können dadurch unter Umständen nicht mehr zuverlässig beurteilen, welche Konsequenzen dies für die Sicherheitsfunktionen hat und ob die Aufzugssteuerung noch mit der Software der Baumusterprüfung betrieben wird. Das wird dann mit einem entsprechenden Mangel dokumentiert.

Chancen und Herausforderung der Vernetzung

Hinzu kommt, dass Aufzüge zunehmend "smart" werden. Digitalisierung, Vernetzung und das Industrial Internet of Things (IIOT) eröffnen einerseits attraktive neue Möglichkeiten im Bereich Wartung und Instandhaltung. So erlaubt eine zentrale Auswertung der Aufzugsdaten präzise Vorhersagen zu Nutzerverhalten, Verschleiß oder Störungen und kann im Rahmen einer "Predictive Maintenance" dazu beitragen, die Verfügbarkeit der Aufzugsanlagen signifikant zu erhöhen und gleichzeitig das Instandhaltungsregime zu optimieren.

Anderseits kommen jedoch auch neue Fragen hinsichtlich Datenintegrität und Cyber-Security auf, die nicht von der IEC 61508 abgedeckt werden. Was passiert bei dem Einspielen von Updates "Over the Air"? Können Fehlübertragungen und Manipulationen während der Übertragung ausgeschlossen werden? Gibt es Schutzvorkehrungen, um unbeabsichtigte Änderungen an der Software durch Servicetechniker oder unternehmensfremdes Wartungspersonal auszuschließen – oder um Angriffe von Hackern zu unterbinden? Hier sind andere Normenreihen wie beispielsweise die IEC 62443 und die ISO 27001 relevant.

Managementsysteme schaffen Sicherheit

Werden diese Normen korrekt angewendet, ermöglicht dies eine eindeutige Verifizierung während der wiederkehrenden Prüfung. Entscheidend ist, dass der Hersteller die relevanten Informationen, Codes und Berichte verfügbar macht und dass Änderungen an der Systemkonfiguration sorgfältig und nachvollziehbar dokumentiert werden. Zu den in der IEC 61508 geforderten Methoden gehören unter anderem ein geeigneter Sicherheitslebenszyklus in der Softwareentwicklung, das Betreiben eines Konfigurations- und eines Releasemanagements sowie die Erstellung eines Sicherheitshandbuchs.

In der Praxis kann die Feststellung der aktuellen Softwareversion beispielsweise durch einen QR-Code realisiert werden, der entweder als Aufkleber oder Vermerk Bestandteil der Dokumentation ist. Der Prüfer scannt den Code mit seinem Tablet oder Smartphone, meldet sich mit seinem geschützten Passwort im System an und hat anschließen Zugriff auf die Anlagendokumentation mit allen sicherheitsrelevanten Angaben einschließlich des Softwarestands (CRC-Wert) in der Steuerung.

Funktionale Sicherheit und IT-Sicherheit im Zusammenspiel

Zusammenfassend lässt sich feststellen, dass die IEC 61508 den Weg weist, wie systematische Fehler und Fehleinträge in Software und Softwareupdates verhindert werden können. Systeme zur Qualitätssicherung und Managementsysteme der funktionalen Sicherheit leisten dabei wichtige Beiträge. Allerdings steigen insbesondere mit zunehmendem Vernetzungsgrad der Aufzugsanlagen künftig auch die Anforderungen an die Cyber-Security.

Eine einschlägige normative Grundlage ist hier die IEC 62443. Beide Normen müssen bei der Überprüfung der Sicherheitsfunktionen gemeinsam angewandt werden, wobei die Leitfunktion stets die funktionale Sicherheit übernimmt. So können Hersteller, Betreiber und Prüforganisationen einfach und effektiv nachweisen, dass die Aufzugsanlagen sicher sind im Sinne einer SecureSafety