Wer schon einmal längere Zeit in einer Leitwarte verbracht hat, stellt schnell fest: An Kompetenz mangelt es den Schichtbedienern nicht. Sie kennen ihre Anlagen in der Regel sehr genau, oft sogar besser als die Verfahrensingenieure, die sie ursprünglich konzipiert haben. Was jedoch häufig fehlt, ist eine durchdachte, konsequent gestaltete Benutzeroberfläche. Viel zu oft präsentiert sich die Mensch-Maschine-Schnittstelle als unübersichtliches, überladenes und schlecht priorisiertes Informationssystem. Genau hier beginnen die Probleme.
Lange Zeit fristete die Mensch-Maschine-Schnittstelle (HMI) ein Schattendasein in Automatisierungsprojekten. Die Investitionen flossen in speicherprogrammierbare Steuerungen, Sensorik und Feldbussysteme. Die HMI wurde am Ende des Projekts „mitkonfiguriert“, häufig unter massivem Budgetdruck und nicht selten von Personen, die kaum praktische Betriebserfahrung hatten. Das Ergebnis waren überladene Prozessbilder, uneinheitliche Farbcodierungen ohne verbindliche Standards sowie Alarme, die sich unstrukturiert anhäuften. In der Praxis zeigte sich in vielen Störfallanalysen immer wieder dasselbe Bild: Die relevanten Informationen waren zwar grundsätzlich vorhanden, wurden jedoch im entscheidenden Moment übersehen oder falsch interpretiert, weil die Benutzeroberfläche ihren Zweck im operativen Alltag nicht erfüllte.
Diese Phase ist noch nicht vollständig überwunden, doch die Branche hat ihr Bewusstsein deutlich geschärft.
Die akademische Definition einer Mensch-Maschine-Schnittstelle als Hard- und Softwaresystem zur Interaktion zwischen Mensch und automatisiertem Prozess bleibt abstrakt und sagt wenig darüber aus, wie sie im industriellen Alltag tatsächlich aussieht.
Im Kontext der industriellen Automatisierung ist eine HMI in erster Linie eine Prozessübersicht: eine grafische, dynamische Darstellung der Anlage mit Rohrleitungen, Behältern, Ventilen, Pumpen und kontinuierlich aktualisierten Echtzeitwerten. Ergänzt wird sie durch Trenddarstellungen, die beispielsweise zeigen, ob eine Temperatur in den letzten zwei Stunden kontinuierlich angestiegen ist. Alarmübersichten visualisieren Ereignisse mit Prioritäten, Zeitstempeln und Statusinformationen. Über Bedienfunktionen können Operatoren direkt eingreifen, etwa Ventile öffnen, Pumpen starten oder Sollwerte anpassen.
Technisch basiert all dies auf unterschiedlichen Softwarearchitekturen, deren Komplexität stark variiert: SCADA-Systeme für verteilte Infrastrukturen, DCS für kontinuierliche Prozessanlagen oder hybride Lösungen in großen Industrieumgebungen.
Jede dieser Architekturen bringt eigene Stärken, Migrationsanforderungen und ein spezifisches Ökosystem von Integratoren mit sich. Besonders Inductive Automation mit seiner Plattform Ignition hat in den letzten Jahren deutlich an Bedeutung gewonnen. Grund dafür ist vor allem das serverbasierte Lizenzmodell sowie die webnative Architektur, die für viele Betreiber einen entscheidenden Vorteil darstellt: Sie vermeiden die Kosten und die Komplexität klassischer Client-Installationen auf jedem einzelnen Bedienplatz.
Die ersten industriellen Mensch-Maschine-Schnittstellen waren verdrahtete Synoptiktafeln. Eine Lampe entsprach einem physischen Zustand der Anlage. Das war einfach, direkt und eindeutig. Ein Bediener, der mit einem solchen Panel vertraut ist, liest es wie einen vertrauten Text: Er erkennt eine Störung oft schon, bevor er sie bewusst identifiziert hat, etwa durch eine periphere Farbveränderung in seinem Sichtfeld.
Mit dem Aufkommen computerbasierter Terminals in den 1980er-Jahren und dem anschließenden Siegeszug grafischer Benutzeroberflächen in den 1990er-Jahren änderte sich die Situation grundlegend. Die Darstellung wurde konfigurierbar, die verfügbare Informationsmenge stieg massiv, und plötzlich konnte man von einem einzigen Arbeitsplatz aus hundertmal mehr Prozesspunkte überwachen als zuvor. Genau dort begannen jedoch die Probleme. Denn mehr Informationen bedeuten nicht automatisch ein besseres Verständnis.
Die ersten grafischen SCADA-Systeme erzeugten häufig visuell unstrukturierte Oberflächen mit uneinheitlicher Farbgebung. Rot wurde allgegenwärtig eingesetzt, manchmal für einen normalen Betriebszustand, manchmal für eine Alarmmeldung, abhängig von den Einstellungen des jeweiligen Konfigurierers.
Die heute existierenden Richtlinien und Normen, insbesondere die ISA-101 für das Design von HMIs in der Prozessautomatisierung sowie die EEMUA 191 für das Alarmmanagement, sind teilweise aus dieser kollektiven Erkenntnis entstanden. Es war notwendig, Ordnung zu schaffen und eine gestalterische Disziplin einzuführen, die sich in der Branche nicht von selbst etabliert hatte.
Eine Nachtschicht in einer großen Leitwarte ist in vielerlei Hinsicht aufschlussreich. Man erkennt schnell, dass die Umgebung Anforderungen stellt, die in vielen HMI-Entwicklungsprozessen kaum berücksichtigt werden. Gedimmtes Licht, um die Lesbarkeit der Bildschirme zu gewährleisten. Ermüdung, die sich gegen Ende der Schicht zunehmend bemerkbar macht. Schichtrotationen, durch die ein Bediener nach längerer Abwesenheit plötzlich wieder mit einer weniger vertrauten Betriebssituation konfrontiert wird. Und darüber hinaus die ständige Herausforderung, ein konsistentes mentales Modell eines sich permanent verändernden Systems aufrechtzuerhalten.
Human-Factors-Spezialisten sprechen in diesem Zusammenhang von „Situationsbewusstsein“ – einem Konzept aus der Luftfahrt, das sich sehr gut auf industrielle Hochrisikoumgebungen übertragen lässt. Es beschreibt die Fähigkeit, wahrzunehmen, was im Umfeld geschieht, diese Informationen korrekt zu interpretieren und die wahrscheinlich nächste Entwicklung zu antizipieren. Eine gut gestaltete HMI unterstützt dieses Situationsbewusstsein aktiv. Eine schlecht gestaltete HMI beeinträchtigt es dagegen spürbar.
Es gibt kaum einen besseren Indikator für die Qualität einer industriellen HMI als ihr Alarmmanagement. Nicht, weil Alarme der sichtbarste Teil des Systems wären, sondern weil sich in ihnen viele über Jahre hinweg angesammelte konzeptionelle Schwächen bündeln.
Das Phänomen sogenannter „Alarmstürme“ ist in der Industrie gut dokumentiert. Bei einer Störung treten innerhalb kurzer Zeit Dutzende oder sogar Hunderte von Alarmen auf, meist weil jedes Subsystem seine eigene Alarmlogik besitzt, ohne dass eine übergeordnete Priorisierung definiert wurde. In manchen Anlagen werden bei einem größeren Ereignis mehr als 300 Alarme innerhalb von weniger als zehn Minuten registriert. In diesem Tempo kann ein Bediener kaum noch sinnvoll reagieren. Er bestätigt Alarme nur noch mechanisch oder stellt das Quittieren im schlimmsten Fall vollständig ein.
Der Leitfaden EEMUA 191 definiert hierfür klare Richtwerte. Im normalen Überwachungsbetrieb sollte ein Bediener nicht mehr als sechs bis zwölf Alarme pro Stunde verarbeiten müssen. Bei Störungen liegt die kritische Schwelle bei etwa einem Alarm alle zehn Sekunden. Darüber hinaus ist die menschliche Verarbeitungskapazität erschöpft. Studien aus petrochemischen Anlagen zeigen, dass einige Systeme dauerhaft deutlich oberhalb dieser Grenzwerte betrieben werden, ohne dass dies jemals systematisch als Problem adressiert wurde.
Die Alarmrationalisierung ist ein langwieriger und oft unterschätzter Prozess, der erfordert, über Jahre gewachsene Konfigurationen grundlegend zu überarbeiten. Moderne HMI-Systeme bieten jedoch zunehmend leistungsfähige Werkzeuge, um diesen Prozess zu unterstützen: Analysefunktionen für Alarmhistorien, Erkennung wiederkehrender und nicht bearbeiteter Alarme sowie kontextabhängige Unterdrückungsmechanismen abhängig vom aktuellen Prozesszustand.
Diese Frage taucht regelmäßig in Ausschreibungen und Modernisierungsprojekten auf: Sollte man in Begriffen von SCADA, DCS oder HMI denken? Die ehrlichste Antwort lautet: Diese Unterscheidungen verlieren zunehmend an Relevanz.
Historisch gesehen dient SCADA der Überwachung geografisch verteilter Systeme – etwa eines Wasserversorgungsnetzes, eines Gasnetzes oder von Umspannwerken, die über Hunderte Kilometer verteilt sind. DCS hingegen steuert kontinuierliche, zentralisierte Prozesse – beispielsweise eine Destillationskolonne oder einen Zementofen. Die HMI war dabei die Darstellungsschicht eines dieser Systeme. Heute bieten Plattformen wie AVEVA System Platform oder Ignition eine einheitliche Architektur, die beide Rollen übernehmen kann, inklusive einer gemeinsamen HMI-Schicht, die direkt über den Webbrowser zugänglich ist.
Diese Konvergenz hat erhebliche praktische Auswirkungen. Sie vereinfacht Architekturen, reduziert die Anzahl der zu wartenden Systeme und erleichtert den Zugriff auf Daten über unterschiedliche Endgeräte hinweg. Gleichzeitig entsteht jedoch ein neuer Druck auf die Betreiber: Bediener, die aus ihrem Alltag moderne digitale Anwendungen gewohnt sind, akzeptieren immer weniger HMIs mit mehreren Sekunden Verzögerung oder einer ergonomischen Gestaltung, die aus den frühen 2000er-Jahren stammt. Die Lücke zwischen der digitalen Consumer-Erfahrung und der industriellen Leitwartentechnik wird dadurch immer sichtbarer und führt in einigen Bereichen bereits zu Herausforderungen in der Schulung und Einarbeitung.
Die Migration hin zu webbasierten HMIs auf Grundlage von Standards wie HTML5, SVG und WebSocket stellt einen echten Technologiesprung für die Industrie dar. Synoptikbilder lassen sich damit theoretisch direkt im Browser darstellen, ohne schwere Client-Installationen, mit zentraler Aktualisierung vom Server aus. Die Vorteile in der Wartbarkeit sind erheblich.
Diese Offenheit hat jedoch eine Kehrseite, die insbesondere industrielle Cybersicherheitsteams gut kennen. Eine HMI, die über einen Browser erreichbar ist, ist potenziell auch aus dem IT-Netz des Unternehmens zugänglich, und im schlimmsten Fall sogar darüber hinaus, wenn die Netzsegmentierung nicht sauber umgesetzt ist. Deshalb erfordern moderne Architekturen eine konsequente Sicherheitsdisziplin: physisch oder logisch getrennte OT- und IT-Netze, industrielle DMZ-Strukturen sowie eine verpflichtende Multi-Faktor-Authentifizierung für alle Remote-Zugriffe. Diese Anforderungen sind im Standard IEC 62443 präzise definiert.
Das Thema industrielle Cybersicherheit wurde von vielen Unternehmen lange Zeit eher als theoretisches Problem betrachtet. Das häufige Argument lautete: OT-Systeme seien isoliert, air-gapped, von außen nicht erreichbar. Dieses Argument hat jedoch im Laufe der in den letzten Jahren dokumentierten Vorfälle deutlich an Überzeugungskraft verloren.
Der Fall von Oldsmar in Florida im Jahr 2021 verdeutlicht das Problem. Ein Angreifer hatte zeitweise die Fernsteuerung einer HMI einer Trinkwasseraufbereitungsanlage übernommen und dabei den Natriumhydroxid-Anteil auf ein potenziell gefährliches Niveau erhöht. Der Zugriff war möglich geworden, weil die HMI ohne robuste Authentifizierung aus der Ferne erreichbar war und die Netzsegmentierung unzureichend umgesetzt wurde. Ein Szenario, das viele Industrieanlagen bei ehrlicher Betrachtung nicht vollständig für sich ausschließen können.
Laut dem Bericht The Global State of Industrial Cybersecurity 2023 hatten 75 Prozent der befragten Industrieorganisationen innerhalb von zwölf Monaten mindestens eine Cyberattacke erlebt, die direkte operative Auswirkungen hatte. Zu den häufigsten Angriffsvektoren gehörten dabei Fernzugriffe auf HMIs und SCADA-Systeme, insbesondere über schlecht gesicherte Remote-Access-Tools.
Es braucht eine gewisse Demut, um eine gute industrielle HMI zu entwerfen. Die Demut anzuerkennen, dass der Bediener, der das System täglich nutzt, seine tatsächlichen Anforderungen oft besser kennt als der Ingenieur, der es im Büro entwirft.
High Performance HMI Handbook von Bill Hollifield hat dazu beigetragen, einen Gestaltungsansatz zu etablieren, der sich stärker an der operativen Leistungsfähigkeit als an Ästhetik oder Funktionsvielfalt orientiert. Viele seiner Empfehlungen wirken auf den ersten Blick kontraintuitiv: überwiegend graue Synoptiken, nur sparsam eingesetzte Farben, reduzierte Zahlenwerte zugunsten von Trendanzeigen.
Hinter dieser scheinbaren Schlichtheit steht jedoch eine klare Logik. Wenn alles farbig hervorgehoben ist, verliert Priorisierung ihre Wirkung. Wenn Rot auch normale Zustände kennzeichnet, verliert es seine Alarmfunktion. Farblogik in einer industriellen HMI ist daher keine Geschmacksfrage, sondern eine sicherheitsrelevante Gestaltungsentscheidung.
Die Modernisierung eines bestehenden HMI-Systems in einer Produktionsanlage ist ein heikles Unterfangen. Zu oft beginnen Projekte mit dem Anspruch einer vollständigen Neuentwicklung und enden in schmerzhaften Kompromissen, bei denen hybride Oberflächen entstehen, die die Nachteile beider Generationen vereinen, ohne die Vorteile einer davon wirklich auszuspielen.
Der Ansatz, der sich in der Praxis am besten bewährt hat – und die Erfahrungen aus zahlreichen Projekten bestätigen das – ist eine Migration in Schichten, nach Bereichen und nach abnehmender Kritikalität. Zunächst wird der Ist-Zustand systematisch analysiert: Wie viele Alarme treten im Normalbetrieb pro Stunde auf, welche Prozessbilder werden am häufigsten genutzt, an welchen Stellen verlieren Bediener im Navigationsfluss am meisten Zeit. Diese Daten ermöglichen es, reale Prioritäten zu definieren, nicht die Annahmen von Planern oder Ingenieuren.
Die anschließende Designphase profitiert deutlich davon, die Bediener von Anfang an aktiv einzubinden.
Diese Fragen lassen sich nur sinnvoll beantworten, wenn diejenigen eingebunden werden, die täglich mit dem Prozess arbeiten.
Der Widerstand gegen Veränderungen wird in solchen Projekten häufig missverstanden. Er ist nicht irrational. Ein Bediener, der eine bestehende HMI auch mit ihren Schwächen gut beherrscht, weiß sehr genau, dass die Übergangsphase die kritischste ist – die Phase, in der er am anfälligsten für Fehler ist.
Die HMI ist die sichtbare Ebene – also die Prozessbilder, Bildschirme und Bedienoberflächen, mit denen der Operator direkt interagiert. SCADA hingegen umfasst das Gesamtsystem: Datenerfassung aus der Feldebene, Übertragung, Speicherung und Visualisierung.
In der Praxis werden beide Begriffe häufig synonym verwendet, da moderne Plattformen beide Funktionen in einer integrierten Softwareumgebung vereinen.
Die Norm ISA-101 (ANSI/ISA-101.01-2015) ist die zentrale Referenz für das Design von Prozess-HMIs. EEMUA 191 behandelt das Alarmmanagement und definiert konkrete quantitative Richtwerte.
Für die Cybersicherheit industrieller Leitsysteme ist IEC 62443 unverzichtbar. Die dort definierten Anforderungen wirken sich direkt darauf aus, wie HMIs bereitgestellt, segmentiert und abgesichert werden müssen.
Ein erster Indikator ist die Analyse der Alarmhistorie. Liegt die Alarmrate im Normalbetrieb regelmäßig über etwa 12 Alarmen pro Stunde, deutet das auf ein strukturelles Problem hin.
Ergänzend liefern Gespräche mit Schichtbedienern oft sehr klare Hinweise auf operative Schwachstellen: zu lange Navigationswege, schlecht platzierte Informationen oder Farbcodes ohne klare Bedeutung. Diese praktischen Rückmeldungen sind häufig aussagekräftiger als formale Audits.
Am häufigsten sind unsicher konfigurierte Fernzugänge: Remote-Access-Tools, die dauerhaft aktiv sind, gemeinsam genutzte Konten ohne Nachvollziehbarkeit oder seit Jahren nicht mehr gepatchte Betriebssysteme.
Auch Phishing-Angriffe auf Bedien- und Wartungspersonal nehmen zu. Die wirksamsten Gegenmaßnahmen sind Netzsegmentierung, starke Authentifizierung und vor allem eine aktuelle, realistische Übersicht darüber, welche Systeme tatsächlich von außen erreichbar sind.
Die Verfügbarkeit der Anlage hat oberste Priorität. Der Austausch einer HMI in einer laufenden Produktionsumgebung erfordert Wartungsfenster, Schulungen und eine Phase erhöhter Betriebsunsicherheit.
Viele Betreiber verlängern deshalb die Nutzung bestehender Systeme so weit wie möglich. Das ist nachvollziehbar, führt jedoch zu zunehmenden Herausforderungen bei Software-Support und Cybersicherheit, insbesondere wenn Hersteller keine Sicherheitsupdates mehr bereitstellen. Aktuell setzt sich zunehmend ein Erneuerungszyklus von etwa 8 bis 12 Jahren als Praxisstandard durch.
Copyright © 2026. MOTILDE. All rights reserved.