Print

agcs.momentum

Neue Wege zur Risikoreduzierung

Die Betrachtung von Produktionsanlagen im Sinne kritischer Infrastrukturen kann das Risiko von Betriebsausfällen reduzieren und Schäden minimieren.
Detailanalysen liefern darüber hinaus wertvolle „Lessons Learned“ und tragen zur Risikominimierung bei.

Stefan Thumm und Andreas Bemm vom Allianz Zentrum für Technik (AZT), das zum Allianz Risk Consulting gehört, geben einen Überblick darüber, wie die Analyse der Risikosituation von Produktionsanlagen abläuft.

> Diesen Artikel können Sie hier als pdf-Dokument zum Download finden.

Anforderungen und Risiken steigen

Die Anforderungen an heutige Produktionsanlagen hinsichtlich Effizienz, Flexibilität, Zuverlässigkeit und Umweltverträglichkeit steigen kontinuierlich an. Gleichzeitig sind die Anlagen oft Teil komplexer Lieferketten, was im Falle eines Ausfalles erhebliche Konsequenzen nach sich zieht und neben hohen finanziellen Schäden auch negative Auswirkungen auf die Umwelt und die Reputation des Unternehmens haben kann.

Jede Produktionsanlage verfügt über eine innere und äußere Infrastruktur, deren Qualität die Resilienz hinsichtlich eines Betriebs- bzw. Lieferausfalls aufgrund von Störungen der Infrastruktur bestimmt. Hier beobachten wir eine wachsende Zahl an Risiken, die in Verbindung mit den bereits genannten steigenden Anforderungen an moderne Produktionsanlagen ein entsprechendes Risikomanagement erfordern, um diese zu mitigieren. Zu diesen Risiken, die auch im Rahmen der diesjährigen „AGCS Expert Days“ diskutiert wurden, gehören neben Naturkatastrophen auch Terror bzw. politische Risiken und Cyberrisiken.

Risiken abseits von NatCat, Terror und Cyber

Darüber hinaus ergibt sich eine Risikoerhöhung aus den oben dargestellten, steigenden Anforderungen selbst und aus der eigentlichen Infrastruktur,

  • wenn aus den wachsenden Anforderungen an Effizienz, Flexibilität, Zuverlässigkeit und Umweltverträglichkeit Kosteneinsparungen bei Bau und Betrieb der Anlagen resultieren und so das Entwicklungsziel - die Resilienz der Infrastrukturen - in den Hintergrund gedrängt wird.

  • wenn die Komplexität der Infrastruktur etwa bedingt durch eine hohe Anzahl von Teilprozessen und/oder Unterlieferanten über ein Maß ansteigt, das nur mit dafür geeigneten  Systemen kontrolliert und gesteuert werden kann.
    Darüber hinaus wächst aber auch bei Vorhandensein entsprechender funktionierender Systeme die Zahl möglicher Angriffs- bzw. Störpunkte.

  • wenn zusätzlich zur Komplexität auch die Vernetzung der Infrastruktur steigt,  z.B. bedingt durch Maßnahmen zur effizienten Instandhaltung durch Ferndiagnosesysteme oder intelligente Energiesparsysteme und eine dadurch notwendige Verbindung mit dem Internet. Störungen auf Ebene des Internets, das in der Regel deutlich geringere Anforderungen an die Zuverlässigkeit erfüllen kann als alleinstehende Automatisierungssysteme, führen ggf. zwar zu komfortableren oder effizienteren Lösungen. Diese gehen aber meist zu Lasten von Sicherheit, Zuverlässigkeit und Verfügbarkeit.

Das folgende Beispiel der Kopplung von Kraftwerken und elektrischen Systemen mit dem Internet unterstreicht dies sehr gut:

/assets/Global%20offices%20assets/Germany/agcs.momentum/Ausgabe%20Dezember%202015/Graphiken%20Thumm/Graphik%201.jpg

Frühere Situation der Kraftwerke (Graphik: AZT)


In der Vergangenheit lag eine rein physikalische Kopplung der Kraftwerke über das elektrische Netz vor. Störungen im Netz oder auf der Verbraucherseite konnten nur über diese Kopplung auf die Kraftwerke einwirken. Die kraftwerkseigenen Schutzsysteme führten im Gefahrenfall eigenständig einen Lastabwurf für die Kraftwerke aus. Daten aus den Kraftwerken wurden lediglich an eine Netzzentrale gesendet, ein direkter Zugriff von außen auf die Kraftwerkssysteme war nicht möglich. Schutzeinstellungen konnten daher nicht geändert und von außerhalb konnten keine Schalthandlungen durchgeführt werden.

Immer häufiger liegt allerdings ein aktives Koppelverhalten vor. Durch eine bidirektionale (Daten-)verbindung können dabei Schalthandlungen von außen eingeleitet und auch Schutzeinstellungen geändert werden. Fernwartungen sind möglich durch das Einspielen von Softwareupdates und Parameteränderungen. Das kraftwerkeigene Schutzsystem kann somit von außen beeinflusst werden. Ein Lastabwurf kann jederzeit von außen initiiert werden, nicht nur im Gefahrenfall.

Die Kraftwerkskoppelung erfolgt hier nicht nur auf physikalischem, sondern auch auf logischem Vernetzungsweg. Die Komplexität und der erhöhte Verknüpfungsgrad führt zu exponentiellen Wachstum der Störungswege. Diese zeigt, dass nicht nur die Angriffswege von Cyberattacken sich vervielfältigen, sondern auch „normale“ Störungen vermehrt die Gefahr bergen, sich auf das dahinterliegende physikalische System, nämlich das Stromnetz, auszuwirken.

Neue Wege zur Risikoreduzierung

Die Verbesserung der Qualität der Infrastruktur kann die Resilienz von Produktionsanlagen  deutlich erhöhen. Die Anforderungen an diese Anlagen können sich dabei an den Anforderungen an die sogenannten kritischen Infrastrukturen orientieren, die zum Beispiel für systemrelevante Banken und Flughäfen gelten.

/assets/Global%20offices%20assets/Germany/agcs.momentum/Ausgabe%20Dezember%202015/Graphiken%20Thumm/Graphik%202.jpg

Typische kritische Infrastrukturen: Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung Versorgungsengpässe oder andere dramatische Folgen hätte (Bilder: Shutterstock)

Dies hat zur Folge, dass in allen Lebensphasen – von der Planung über die Errichtung bis hin zu Betrieb und Instandhaltung - bei Neubau und Modifikationen der Infrastruktur hohe Anforderungen gelten. Das betrifft etwa:

  • Blitzschutzklassen
  • Redundanzen
  • Brandschutzkonzept (Art der Branddetektion, Brandmeldung..)
  • Ersatzteilverfügbarkeit und Lieferzeiten

Bewusstsein für Risiken stärken

Entscheidend ist in jedem Fall, seitens der Betreiber das Bewusstsein über die möglichen Risiken und Auswirkungen eines Ausfalls der Produktionsanlage zu stärken. Dies betrifft sowohl Schäden finanzieller Art, aber auch die Reputation des Unternehmens.

Gerade bei hohen Auftragsbeständen, gleichzeitig wenigen Parallelproduktionsstandorten und damit geringen Möglichkeiten, durch Sonderschichten Betriebsausfälle zu kompensieren, ist ein mehrwöchiger Betriebsausfall mit signifikanten Verlusten verbunden. Dies gilt auch bei Produkten, die speziell zu Beginn ihres Lebenszyklus hohe Gewinne abwerfen.

Basierend auf dieser ersten Analyse der Risikosituation der Produktionsanlage kann dann im nächsten Schritt die Ableitung der erhöhten Anforderungen erfolgen.

/assets/Global%20offices%20assets/Germany/agcs.momentum/Ausgabe%20Dezember%202015/Graphiken%20Thumm/Graphik%203.jpg

ARC/AZT Risikoanalyse für Infrastrukturen* (Graphik: AZT)

Die in diesem Fall durchgeführte Ermittlung der speziellen Gefahren und Risikosituation geht über eine standardmäßige Risikobewertung als Grundlage für eine Sachversicherung weit hinaus, und  basiert auf der Erstellung von Versagensszenarien mit besonderem Augenmerk auf Verknüpfungen und Interdependenzen, sowie einer punktuellen Berücksichtigung der Prozessketten. In der Regel ist etwa mit dem 10-fachen Aufwand im Vergleich zu einer „normalen“ Analyse für die Property Deckung zu rechnen.


Die Analyse erfolgt dabei in mehreren Phasen:

  • Quickcheck (Übersichtsstudie): Das Ziel dieser Phase ist es, die Infrastruktur und mögliche kritische Punkte sowie deren Auswirkung zu verstehen. Sie basiert auf einer ersten Durchsicht von technischen Unterlagen und eines Ortstermins.

  • Schwachstellen- und Risikoanalyse: In dieser Phase werden mögliche Schwachstellen und ihr Risikopotential identifiziert sowie eine detaillierte Analyse der in Phase 1 definierten kritischen Punkte vorgenommen. Dazu werden Versagensszenarien aufgestellt und bewertet.

  • Maßnahmenplanung: Hier wird ein Maßnahmenplan auf Basis der Risikoanalyse erstellt. Außerdem wird die Integration interner Prozessänderungen begleitet.
  • Kontinuierliche Begleitung der Umsetzungsmaßnahmen:
    Abschließend kann die kontinuierliche Unterstützung bei der Umsetzungsplanung und der Prozessentwicklung sowie eine Bewertung im Hinblick auf die erzielten Verbesserungen stehen.
  • /assets/Global%20offices%20assets/Germany/agcs.momentum/Ausgabe%20Dezember%202015/Graphiken%20Thumm/Graphik%204.jpg

    Darstellung des Quick-Checks (Graphik: AZT)

„Lessons Learned“

Aus der Schadenbearbeitung im Rahmen von Ausfällen von Infrastrukturen, verursacht etwa durch Brandschäden oder dem Ausfall von Netzeinspeisungen, lassen sich folgende „Lessons Learned“ von der Planung bis zur Wartung ableiten:

  • Vermeidung eines SPoF („Single point of Failure“), d.h. einer Engstelle, an der ein Ereignis mehre redundante Systeme gleichzeitig zum Ausfall bringen kann.
  • Die Ausführung der Redundanz (N + 1 oder 2N + 1) muss an Risikobewertung und Risikoakzeptanz angepasst sein.
  • Im Rahmen von Modifikationen oder Kapazitätsvergrößerungen sollte sichergestellt werden, dass Schutz und Redundanzlevel erhalten bleiben, und z.B. redundante Systeme für die Kapazitätsvergrößerung genutzt werden.
  • Redundante Systeme sollten physikalisch und logisch unabhängig voneinander sein.
  • Zugangsmöglichkeiten zwecks Reparierbarkeit von wichtigen Redundanzsystemen sollte auch während des Betriebes gegeben sein. Redundante Systeme, die auf unterschiedlichen physikalischen Wirkprinzipien basieren, erhöhen die Zuverlässigkeit.
  • Schutzniveau und Redundanzen sind zu erhöhen, wenn eine Produktion kritischer eingeschätzt wird.
  • Die Planung von Erweiterbarkeiten der Produktion erleichtern die Sicherstellung einer adäquaten Qualität der Infrastruktur.
  • Lieferzeiten und Verfügbarkeiten wichtiger Ersatzteile für die kritischen Komponenten einer Infrastruktur müssen kontinuierlich überprüft werden.
  • Die Komplexität der Systeme in einer Infrastruktur sollte möglichst gering gehalten werden, um Rückwirkungen der Systeme untereinander überschaubar zu halten.

Die Komplexität der Systeme in einer Infrastruktur sollte die gegebenen Möglichkeiten der Betriebsführung und Instandhaltung nicht übersteigen.

Eine Präsentation mit weiteren Details und Beispielen zu „Lessions Learned“ finden Sie hier.

Schließlich ist der wichtigste Baustein für eine zuverlässige Infrastruktur das Bewusstsein, welches Risiko als akzeptabel gilt, weil dann für Planung, Bau etc. die richtigen Weichen gestellt werden können. Basis dieser Einschätzung ist die Kenntnis der Kritikalität und der Risikobewertung einer Anlage.

Infrastruktur:

Der Sammelbegriff Infrastrukturen umfasst Personen, Organisationen, Prozesse, Produkte, Dienstleistungen, Informationsflüsse sowie technische und bauliche Anlagen und Einrichtungen, welche einzeln oder vernetzt das Funktionieren der Gesellschaft, der Wirtschaft und des Staates ermöglichen.

Unsere Experten

Dipl.-Ing. Stefan Thumm ist Co-Leiter des Allianz Zentrums für Technik (AZT), wo er unter anderem Schäden an Turbomaschinen untersucht. Er ist seit 2009 bei der Allianz und war zuvor bei einem Kraftwerkshersteller tätig. Als Teil des globalen Allianz Risk Consulting Netzwerkes stellt das AZT technische Unterstützung bei der Schadenuntersuchung und Schadenprävention zur Verfügung.

e-Mail: stefan.thumm@allianz.com

Dipl.-Ing. Andreas Bemm ist Senior Engineer beim Allianz Zentrum für Technik (AZT) und Experte für Anlagensicherheit. Er ist seit 1991 bei der Allianz tätig.

e-Mail: andreas.bemm@allianz.com

*Risk Consulting Service wird von Allianz Risk Consulting GmbH erbracht. Für Inhalt  und Umfang der Leistung sind sich ausschließlich die vereinbarten vertraglichen Bedingungen maßgeblich.

Quelle:
http://www.bevoelkerungsschutz.admin.ch/internet/bs/de/home/themen/ski.parsysrelated1.82246.downloadList.95500.DownloadFile.tmp/grundstrategieski20090518d.pdf