确保安全可靠的人机界面

一目了然 防止系统损坏 确保员工安全 故意vs .无意 集成功能 促进效率 控制访问 栏: 应用:性能管理软件，界面，帮助优化操作，满足法规要求 应用:人机界面系统为铝生产带来安全、保障 应用:机器人PLC控制采用手持式人机界面，集成安全软件

当涉及到人机界面(hmi)时，安全性和安全性之间的区别通常是明确的。Wonderware基础设施和平台产品的营销项目经理史蒂文·加布雷希特(Steven Garbrecht)表示，安全性指的是“内置在plc和安全联锁中的控制”。“它被设计到控制程序中。”

另一方面，安全是指人们闯入控制系统窃取信息或造成损害。这两个领域以不同的方式解决。然而，当涉及到人机界面时，安全性和安全性重叠。

适当的安全设计可以防止操作人员做任何可能造成伤害或损坏产品或设备的事情，并使他们能够及时采取行动以防止此类事件的发生。想想1984年12月的灾难吧，在印度博帕尔的联合碳化物工厂发生的化学反应失控，导致成吨的异氰酸甲酯释放，导致数千人死亡，更多人患病。对于核电站的安全系统是否在起作用存在分歧，而联合碳化物公司的立场是，泄漏“只可能是蓄意破坏造成的”。其他人则强烈反对。

1979年3月发生在美国宾夕法尼亚州三里岛核电站的事故中，核电站的操作人员并不知道一个至关重要的安全阀是开着的，尽管有迹象表明它是关闭的。他们后来收到了有关反应堆水位的错误信息。在随后的调查中，破坏的问题被排除了，很明显，如果操作员得到正确的信息，他们将能够防止局势失控。

保持控制

当然，希望造成伤害的外部代理人并不缺乏。Wonderware的信息安全(Infosec)分析师Rich Clark在一篇名为“控制系统安全指南”的演讲中列出了17个对象，从心怀不满的员工到普通罪犯，再到有组织犯罪，再到国家和政府。他说，有些设施他不愿透露，“但它们确实每天都有针对性的攻击。”

Garbrecht说，从人机界面的角度来看，主要有三种情况:“一种是公司外部的人通过防火墙进入，通过网络进入，对人机界面做一些事情。第二种是公司内部有人出于某种原因想要做一些恶意的事情。第三种可能是那些没有恶意的人，他们确实为公司工作，但只是做了一些他们不应该做的事情，并且在这个过程中犯了错误或造成了安全或其他问题。”

克拉克说，如果把确保控制系统安全的工作交给IT部门，公司可能会陷入麻烦。他指出，IT人员通过将机器彼此隔离来寻求安全，以防止那些在网上冲浪的人感染病毒，以免在这个过程中感染企业的其他部分。这种方法适用于IT领域，但它牺牲了机器之间通信的便利性，并且无法实现实时性能。

当控制系统被设计出来时，Clark继续说，“机器被设计成可以不受阻碍地相互交流。控制系统环境中的大多数机器既是服务器又是客户端，因此IT客户端服务器模型在那里并不准确，”Clark说。他指出，确保控制系统安全的方法是把它放在防护墙后面，严密控制进出受保护空间的所有交通。

控制系统和公司系统之间的所有通信都必须经过防火墙。一家总部位于加州的生物制药公司最近安装了一个新的系统，用于根据21 CFR 11处理历史数据。所有与过程故障和事件相关的数据都保存在服务器中，供需要的人使用，但重要的工厂数据和控制信息则通过一系列与公司系统完全隔离的网络进行传输。

不仅仅是哲学

克拉克称这种理念为“威胁载体有限”。一个理想的安全控制系统，他说:

• 是隔绝于包括公司企业在内的一切威胁;

• 具有侵略性的反渗透装置分层;

• 只有一个入口/出口;

• 在一个安全的气泡中包含所有的系统自动化;和

• 允许企业内的每台受信任的机器不受阻碍、不受限制地访问任何其他受信任的机器。

微软公司称这种安全模式为“域隔离”。GE发那科在其iFIX软件的3.5版“应用验证工具”中内置了这些安全功能。此软件工具会自动记录对系统文件或实用程序所做的任何更改，从而降低无意或故意破坏安装的可能性。

Joe Quigg, systemk自动化控制公司的工程副总裁(以前是国际自动化公司的控制工程经理)警告说，善意的人可能会制造危险。他说:“很多时候，在遗留系统中，人们在进行更改和修改时没有受到保护和监督。”“缺乏文档，当人们改变系统而不记录事情时，就没有问责制。”他继续说，许多遗留系统可能包含硬连线继电器逻辑，“如果有人想故意打开控制面板并绕过某些东西”。

他继续说，一个合理设计的现代系统分为两个部分，“标准的日常控制程序是开放的体系结构，而安全部分——如果被修改就会被认为是危险的部分——是封闭的。”只有特定的人，在得到正确的密码、培训和指示后，才能真正改变它。”

应用:性能管理软件，界面，帮助优化操作，满足法规要求

罗氏诊断有限公司最近在其德国曼海姆的工厂建立了一个新的糖尿病护理和诊断产品的货架包装生产线。为了满足美国食品和药物管理局(FDA)的标准，提高运营效率，增强其过程监控和审核能力，该公司采用了英维思系统公司旗下业务部门Wonderware的生产和绩效管理软件系统。

该公司寻求一种易于使用的系统，并确保其流程可以根据FDA 21 CFR第11部分法规进行验证。它选择的Wonderware软件包的两个重要部分是InTouch人机界面(HMI)软件和IndustrialSQL Server历史记录，后者将关系数据库与实时系统相结合。这两者都有助于罗氏满足业务和运营目标以及FDA的要求(见插图)。

在新的货架包装生产线上，小瓶从托盘中单独选择，分类，并连接在一起，使货架包装。然后将包装运送到转盘进行进一步处理。标签被应用，相机验证矩阵条形码是正确的和正确的定位。在另一台摄像机检查瓶子和瓶盖的颜色是否正确后，包装进入最后的包装阶段。制造过程由操作人员使用该软件启动、控制和监控。该界面指导操作员一步一步地完成这个过程。他们不再需要从众多的屏幕选项中进行选择。

FDA指南要求制造商保持产品数据的可追溯性，这意味着公司必须证实流程的每一步，包括哪位操作员完成了每项任务以及活动发生的时间。该程序的用户管理功能和微软Windows 2000操作系统提供的功能允许在不将操作系统暴露给用户的情况下将强大的安全性设计到工厂中。

“使用这种方法的好处之一是，用户管理不只是在一个独立的系统上执行，而是作为企业范围的安全系统的一部分，”dricker Steuerungssysteme GmbH的董事总经理Uwe dricker说。使用这种操作方法，公司可以很容易地合并和重用工厂现有的操作系统用户模型。此外，该软件易于使用的控制和一致的界面使Mannheim操作员能够保持机架包装线以最佳效率运行。我们使用单个用户管理系统体验端到端的安全性，而不是使用几个昂贵的专有解决方案。”

新的机架-包装生产线的操作员使用屏幕登录，根据他们的访问级别对他们进行身份验证和授权，以执行某些操作。过程线上的活动可以包括日常操作，例如创建或编辑产品和过程数据;开始、暂停或停止一批的;或者编辑用户配置文件。在线路上工作的操作员必须通过输入用户名和密码来确认他们的操作。这种安全的登录技术有助于公司满足FDA的可追溯性要求，并有助于使制造和加工线更具防篡改性。

该软件支持带时间戳的电子签名，将每个操作员与特定操作联系起来。签名和任何其他相关数据随后被记录在IndustrialSQL Server历史数据库中，以生成一个全面的审计跟踪(见插图)。经授权的主管或经理可以随时查看和打印这些审计跟踪。信息和电子签名不能更改或删除，从而形成fda批准的防篡改存储库。

此外，曼海姆工厂还运行着一个冗余系统，以确保高可用性和数据完整性。这个备用系统与主系统在物理上是分离的，它不断地与主系统同步其数据。在主系统发生故障时，此握手同步方法检测主进程何时停止并自动切换到主模式，从而创建故障安全功能。这种企业网络的无缝集成也使所有数据可用于企业范围的分析。

除了满足FDA要求的压力外，日益增长的生物恐怖主义和产品篡改威胁一直是制药公司的关键问题。软件管理系统提供的安全功能使罗氏有高度的信心，可以在其制造和包装过程的每个步骤中跟踪和保持质量。

应用:人机界面系统为铝生产带来安全、保障

位于魁北克的美国铝业-德尚堡铝厂建于1990年，是一家需要升级的工厂。原金属工厂约有550名员工，生产原铝锭，这些原铝锭被送往转化设施，并被制造成各种产品。

过程控制和监测是通过基于dos的系统进行的，该系统无法升级。数据采集采用自制的OpenVMS (VAX)系统完成。“我们需要一个可以用最少的工作量修改的系统，”该设施的应用工程师皮埃尔·布廷(Pierre Boutin)解释说。

公司人员还需要更好地访问过程数据。例如，工厂环境团队的30多名成员密切合作，但可以在任何给定时间位于半英里长的工厂的任何地方。任何新系统都需要提供一种高度安全的方法，允许授权用户从工厂的任何地方访问控制数据，但只能从特定位置更改控制参数。

Boutin和他的同事们选择在现有的基础设施上安装一个运行GE发那科自动化的simplicity软件的控制和监控解决方案。电解氧化铝以提取其所含金属的过程分为五个部分。在每个扇区，10到15个GE Fanuc系列90-70 plc和几个系列90-30 plc提供冗余监视和控制。在每个扇区，plc监控大约10,000个点。

使用星形以太网拓扑，配备simplicity软件的plc和操作员接口连接到每个扇区的交换机，并通过标准的10Base-T铜连接器联网。每个扇区依次通过光纤上运行的100mbps以太网与IT部门联网。主服务器位于IT部门，而从服务器位于扇区。IT人员维护系统。

simplicity HMI Plant Edition通过客户端/服务器架构和开放系统设计使用Web技术，允许用户通过位于整个工厂的simplicity查看器上的Web浏览器远程访问实时数据。除了系统内置的用户访问安全功能外，IT部门还增加了另一层安全性，以确保所有站点的授权用户都可以查看流程，但只能从指定的几个站点更改参数。

新的控制和监控系统运行良好，促进了IT和过程控制人员之间的团队合作，而在许多其他企业中，这种脱节是普遍存在的。“两个小组之间的合作非常出色，”Boutin说，“它在我们的控制和监测系统的成功运行中发挥了重要作用。”

应用:机器人PLC控制采用手持式人机界面，集成安全软件

位于德国Vlotho的klock - robot - systeme GmbH公司安装的力士乐交钥匙系统具有更高的定位精度、更短的周期时间和最小的硬件支出等优点。Klocke的装卸机器人为注塑机执行自动化任务。IndraMotion for Handling具有集成的安全功能，使用符合IEC 61131-3的开放式顺序控制系统IndraLogic，以保证已经建立的程序模块的可重用性。该系统具有机器人控制的外观和感觉，但实际上是PLC控制。

IndraMotion for Handling集成了用于移动操作面板的成品桌面，如力士乐VEH30手持操作界面。该单元具有8.4英寸。触摸屏和热插拔功能，可以在设备运行时轻松通过以太网连接。一个设备可以处理多个控件。用户可以使用手持设备上的四个软键编辑动作，并通过虚拟键盘教授或输入定点。Rexroth indrdrive的集成安全功能已通过EN-954-1 3类认证，无需任何额外硬件或通过控制绕道即可遵守整个欧洲生效的安全法规。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。