Towards automated risk assessments for modular manufacturing systems

Manufacturing systems based on Industry 4.0 concepts provide a greater availability of data and have modular characteristics enabling frequent changes. This raises the need for new security engineering concepts that cover the increasing complexity and frequency of mandatory security risk assessments. In contrast, the current standardization landscape used for the assessment of these systems only offers abstract, static, manual, and resource-intensive procedures. Therefore, this work proposes a method that further specifies the IEC 62443 aiming to automate the security risk assessments in such a way that manual efforts can be reduced and a consistent quality can be achieved. The methodology is presented using network segmentation as a guiding example and consists of four main steps: Information collection based on a process analysis, information formalisation with a semi-formal model, information usage applying first order logic to extract expert knowledge, and information access using the concept of the digital twin. In addition, the applicability of the IEC 62443 standard to the risk assessment of modular manufacturing systems is evaluated.

Fertigungssysteme auf der Grundlage von Industrie 4.0 bieten eine höhere Verfügbarkeit von Daten und besitzen modulare Eigenschaften, die häufige Systemänderungen ermöglichen. Daraus ergibt sich der Bedarf an neuen Konzepten für das Security Engineering, die die zunehmende Komplexität und Häufigkeit der vorgeschriebenen Risikobeurteilungen erfüllen. Die derzeitige Standardisierungslandschaft für die Beurteilung dieser Systeme stellt nur abstrakte, statische, manuelle und ressourcenintensive Ansätze zur Verfügung. Daher wird in dieser Arbeit eine Methode vorgeschlagen, die die IEC 62443 weiter spezifiziert mit dem Ziel, die Risikobeurteilungen so zu automatisieren, dass der manuelle Aufwand reduziert und eine gleichbleibende Qualität erreicht werden kann. Die Methodik wird am Beispiel der Netzwerksegmentierung vorgestellt und besteht aus vier Hauptschritten: Informationssammlung basierend auf einer Prozessanalyse, Informationsformalisierung in einem semi-formalen Modell, Nutzung der Informationen mit Prädikatenlogik, um Expertenwissen zu modellieren, und der Zugang zu den Informationen unter Verwendung des digitalen Zwillings. Darüber hinaus wird die Anwendbarkeit der IEC 62443 für die Risikobeurteilung von modularen Fertigungssystemen evaluiert.