当提及人机接口时,安全和保安之间的区别往往可以很明确。Wonderware公司的针对基础设施和平台产品的市场经理Steven Garbrecht说:“安全指的是嵌入PLC的控制操作和安全联动装置,它已经被设计到控制程序中了。”
保安是针对闯入控制系统意图盗取信息或破坏的人。这是两个不同的领域,然而说到HMI,安全和保安就有一些交集了。
适当的安全设计可以防止操作人员对产品或设备造成的损伤或破坏,并且可以使操作人员及时行动避免这种情况发生。1984年12月份,印度Bhopal省的Union Carbide公司的一家工厂发生了灾难性的事故,化学反应堆失控,造成成吨的异氰酸甲酯泄露,成千的人死亡,更多的人患病。对于此次事故中安全系统是否工作的讨论存在这个分歧,Union Carbide公司的立场是“造成如此大的事故只可能是人为破坏。”而且他人却十分不认同这种说法。
如图1和图2所示,在这个制药流程中,生产过程的启动、控制和监控都是由操作员完成的,Wonderware Intouch 公司的HMI 软件一步一步地知道操作员完成这个过程。
图1 工厂系统的总图
图2 样品数据管理和审核流程
1979年美国Three Mile Island(PA)发生的核工厂泄露事故中,操作人员并没有意识到一个关键的阀门被打开了,虽然显示时关闭的。之后他们收到了反应堆液位的错误信息。后来的调查显示,被恶意破坏的可能被排除,如果操作人员当时收到了正确的信息,他们就能够阻止情况失控。
确保不失控
诚然,确实有外部的恶意破坏者。Wonderware公司的信息安全(Infosec)分析师Rich Clark在一次题为“控制系统安全向导”的演讲中,列举了17类情况,包括从不满的员工到普通的罪犯,以致有组织的危害国家和政府安全的组织和个人。他说,这些人很难别确认,但“他们每天却有很多目标可以攻击。”
Garbrecht说:“从人机接口的角度上,有三种主要的情况,一是公司以外的某些人穿越防火墙,通过网络进入公司,并对人机接口做了某些改动。二是公司内部的某些人以某种原因对公司作了恶意操作。三是公司内部员工,并不是有意要做恶意攻击,只是由于误操作导致流程中安全或其他方面的问题。”
Clark说,如果公司把控制系统的保安工作交给IT部门,那么公司可能会有麻烦。IT人员通过隔离每台机器来达到保安,他们隔离哪些正在上网的和有可能携带病毒的人,使他们不至于影响企业中的其他部分。这种方法在IT领域确实奏效,但是它牺牲了机器之间通讯的便捷性,并且实时性能不好。
Clark继续说道:“当控制系统被设计时,每台机器都设计成可以不受阻碍地与另一台机器通讯。在控制系统的环境中,更多的机器既是服务器又是客户机,这并不符合IT领域中的客户端服务器模型。”Clark指出,控制系统的安全方案是将控制系统放在一面保护墙后面,然后密切控制受保护区域的所有进出。
在控制系统和整个系统之间的所有通讯必须经过防火墙。California的一家生物制药公司最近安装了符合21 CFR 11 标准的用于处理历史数据的新型系统。所有有关过程错误和事件的信息都被存储在服务器中需要的人可以调用。但是工厂的重要数据和控制信息都是存放在与整个系统隔离的网络中的。
Clark引用了“having limited threat vectors。”他说,一个理想的安全控制系统应该满足以下几条:
·与全部的威胁隔离,包括商业合作企业。
·用强力抗侵蚀设备分层
·只有一个输入输出点
·所有的系统自动化都在一个安全集合内
·并且企业内的每一个置信机器可以无阻碍地访问另一个置信机器
微软公司称这种安全模型为“网域隔离”。GE公司通过使用“Application Validator Utility”工具,为它的iFIX软件3.5版本添加了这种安全特性。这种软件工具可以自动整理对系统文件和功能的修改,减少安装被无意和有意地危机的可能性。
当操作员界面使用GE Fanuc Automation Complicity 的软件时,它允许这个主要的金属设备上的授权用户在工厂中的任何一个位置访问控制数据,但是对控制参数的改动只能在特定的位置完成。
Systek Automated Controls公司的工程副总裁(前International Automation 公司控制工程经理)Joe Quigg警告说:“有意图的人可以制造危险。对于以前的系统,很多情况下,人们可以不受阻碍和无人监管地对系统作修改和改动。而且这种修改缺乏文档备案机制,如果人们改动了系统,而且没有备案,那就根本无据可查。”他继续说道:“很多逻辑系统都带有硬件继电器逻辑,如果某人可以打开控制面板,那么只要他愿意他就可以设置某些旁路。”
他继续说道:“一个设计精良的现代系统被划分为两个部分,标准部分,即日常的控制程序,它是开放式结构的,另一个是安全不分,如果改动的话就会产生危险,这部分是被锁定的。只有特定的人,使用正确的密码,经过培训和指导才能够对其进行修改。”
应用:性能管理软件、接口,帮助优化操作,达到标准要求
Roche Diagnostics GmbH公司近期在德国Mannheim建立了一条新的置物架流水线,用于照料糖尿病病人和放置诊断产品。为了达到美国食品和药物管理(FDA)标准,提高生产效率,增强其过程监控和审核能力,他安装了Wonderware公司的生产和性能管理软件系统,这同时也是Invensys System公司的一个业务单元。
公司希望找到一个便于使用,能保证其生产过程的系统,而且此系统还要符合F DA 21 CFR Part 11的规定。它选择了Wonderware 公司的两个关键的软件包,InTouch人机接口软件和IndustrialSQL服务器,它包含一个与系统实时相关的数据库。这两个软件包使Roche公司既满足了商业要求又满足了生产的要求,而且还符合FDA的要求。
在这条新的置物架流水线上,小瓶子从托盘中分别选出、分类并放在一起,形成一个包,这个包之后会被送到一个旋转的桌子上,进行进一步处理。贴上标签,一台摄像机用来检查矩阵条形码是否正确和是否合理放置。之后另一台摄像机检查每个瓶子和瓶盖是否是正确的颜色,然后这个包就到了最终的包装阶段。这个生产过程的启动、控制和监控都是由使用这个软件的操作人员完成的。人机接口指引操作员一步一步指导结束,操作员不必再从复杂的屏幕选项中作出选择了。
FDA标准要求生产商保持生产数据的可追溯性,这就意味着公司必须明确过程中的每一步,包括那个操作人员在什么时间完成某项任务。这个程序的用户管理特性和微软2000操作系统提供的特性允许对工厂进行严密的安全设计,而不必使操作系统直接面对用户。
Dr焎ker Steuerungssysteme GmbH公司的总经理Uwe Dr焎ker说:“使用这种方法的一个益处是用户的管理并不表现为单独的一个系统,而是作为整个企业安全系统的一部分。使用这种操作方法,公司可以很容易地合并并且重用工厂的现有操作系统。而且,这个软件的易用性和统一的接口使Mannheim的操作人员保持置物架流水间运行于最优效率下。我们只需采用一个使用单用户管理系统的端对端安全系统而不需要使用几个昂贵的解决方案。”
这条置物架流水线的操作人员登陆应用界面,根据他们的准入等级,对其验证和授权,以便他们执行特定的操作。对过程流水线的操作包括产品和过程数据的日常创建和编辑,启动、暂停或者停止批处理,或者编辑用户预设值文件。流水线的操作人员使用他们的用户名和密码来登陆。这种安全登陆技术使公司能够满足FDA数据可追溯要求,并且使生产流水线具有更强的防篡改功能。
此软件具有时戳电子签名,能将每一个操作人员与具体的行动联系起来。这个签名和其他相关的数据之后被存储在IndustrialSQL服务器历史数据库中,用开生成一个复杂的审计跟踪。这些审计跟踪可以在任何时候被授权主管或经理察看和打印。信息和电子签名是不能被改变或删除的,这样就形成了一个符合FDA要求的、具有防篡改功能的仓库。
而且,Mannheim工厂还使用一个额外的系统来完成高可用性和数据整合。此系统物理上与主系统隔离开来,但它保持和主系统的数据同步。在主系统失效的时候,同步握手协议检测主进程是何时停止的,并自动切换到备用系统,这是一种失效安保能力。细致入微的公用网络整合同样是所有的数据可以用于整个企业范围的分析。
除了来自于FDA规范的压力外,日渐增长的恐怖主义和假冒产品的威胁总是制药公司的主要考虑对象。这种软件管理系统的安全特性使Roche具有很高的信心,使之能够在生产和包装过程的每一步跟踪并保证质量。
应用:HMI系统给铝制品生产带来安全和保障
1990年建于魁北克的美国铝公司Alcoa——Aluminerie de Deschambault是一个需要升级的工厂。他的主要的金属设备使用550人操作,生产原铝锭,然后送到定型设备上生产成各种不同的产品。
过程控制和监控是在一个不能被升级的基于DOS的系统上完成的。数据采集使用一个自制的OpenVMS(VAX)系统。工厂的应用工程师Pierre Boutin解释说:“我们需要一个进行少量工作就可以完成更改设置的系统。”
公司的职员也需要更好的准入机制来处理数据。例如,30多个工厂的环境小组成员紧密合作,但是他们可以在任何时间在半英里的工厂范围内的任何一个地点进行访问数据。任何一个新型系统都需要提供一种高保密认证机制,允许授权用户在工厂的任何一个位置访问控制数据,但是对控制参数的修改只能在特定的位置完成。
Boutin和他的同事选择在现有的基础设施上层