當提及人機接口時，安全和保安之間的區(qū)別往往可以很明確。Wonderware公司的針對基礎(chǔ)設(shè)施和平臺產(chǎn)品的市場經(jīng)理Steven Garbrecht說：“安全指的是嵌入PLC的控制操作和安全聯(lián)動裝置，它已經(jīng)被設(shè)計到控制程序中了。”

保安是針對闖入控制系統(tǒng)意圖盜取信息或破壞的人。這是兩個不同的領(lǐng)域，然而說到hmi，安全和保安就有一些交集了。

適當?shù)陌踩O(shè)計可以防止操作人員對產(chǎn)品或設(shè)備造成的損傷或破壞，并且可以使操作人員及時行動避免這種情況發(fā)生。1984年12月份，印度Bhopal省的Union Carbide公司的一家工廠發(fā)生了災(zāi)難性的事故，化學(xué)反應(yīng)堆失控，造成成噸的異氰酸甲酯泄露，成千的人死亡，更多的人患病。對于此次事故中安全系統(tǒng)是否工作的討論存在這個分歧，Union Carbide公司的立場是“造成如此大的事故只可能是人為破壞。”而且他人卻十分不認同這種說法。

1979年美國Three Mile Island（PA）發(fā)生的核工廠泄露事故中，操作人員并沒有意識到一個關(guān)鍵的閥門被打開了，雖然顯示時關(guān)閉的。之后他們收到了反應(yīng)堆液位的錯誤信息。后來的調(diào)查顯示，被惡意破壞的可能被排除，如果操作人員當時收到了正確的信息，他們就能夠阻止情況失控。

確保不失控

誠然，確實有外部的惡意破壞者。Wonderware公司的信息安全（Infosec）分析師Rich Clark在一次題為“控制系統(tǒng)安全向?qū)А钡难葜v中，列舉了17類情況，包括從不滿的員工到普通的罪犯，以致有組織的危害國家和政府安全的組織和個人。他說，這些人很難別確認，但“他們每天卻有很多目標可以攻擊。”

Garbrecht說：“從人機接口的角度上，有三種主要的情況，一是公司以外的某些人穿越防火墻，通過網(wǎng)絡(luò)進入公司，并對人機接口做了某些改動。二是公司內(nèi)部的某些人以某種原因?qū)咀髁藧阂獠僮鳌Ｈ枪緝?nèi)部員工，并不是有意要做惡意攻擊，只是由于誤操作導(dǎo)致流程中安全或其他方面的問題。”


圖1：在這個制藥流程中，生產(chǎn)過程的啟動、控制和監(jiān)控都是由操作員完成的，
Wonderware Intouch 公司的HMI 軟件一步一步地知道操作員完成這個過程。
如圖所示 為工廠系統(tǒng)的總圖（左側(cè)），和樣品數(shù)據(jù)管理和審核流程。
Clark說，如果公司把控制系統(tǒng)的保安工作交給IT部門，那么公司可能會有麻煩。IT人員通過隔離每臺機器來達到保安，他們隔離哪些正在上網(wǎng)的和有可能攜帶病毒的人，使他們不至于影響企業(yè)中的其他部分。這種方法在IT領(lǐng)域確實奏效，但是它犧牲了機器之間通訊的便捷性，并且實時性能不好。

Clark繼續(xù)說道：“當控制系統(tǒng)被設(shè)計時，每臺機器都設(shè)計成可以不受阻礙地與另一臺機器通訊。在控制系統(tǒng)的環(huán)境中，更多的機器既是服務(wù)器又是客戶機，這并不符合IT領(lǐng)域中的客戶端服務(wù)器模型。”Clark指出，控制系統(tǒng)的安全方案是將控制系統(tǒng)放在一面保護墻后面，然后密切控制受保護區(qū)域的所有進出。

在控制系統(tǒng)和整個系統(tǒng)之間的所有通訊必須經(jīng)過防火墻。California的一家生物制藥公司最近安裝了符合21 CFR 11 標準的用于處理歷史數(shù)據(jù)的新型系統(tǒng)。所有有關(guān)過程錯誤和事件的信息都被存儲在服務(wù)器中需要的人可以調(diào)用。但是工廠的重要數(shù)據(jù)和控制信息都是存放在與整個系統(tǒng)隔離的網(wǎng)絡(luò)中的。

Clark引用了“having limited threat vectors。”他說，一個理想的安全控制系統(tǒng)應(yīng)該滿足以下幾條：

■與全部的威脅隔離，包括商業(yè)合作企業(yè)。
■用強力抗侵蝕設(shè)備分層
■只有一個輸入輸出點
■所有的系統(tǒng)自動化都在一個安全集合內(nèi)
■并且企業(yè)內(nèi)的每一個置信機器可以無阻礙地訪問另一個置信機器

微軟公司稱這種安全模型為“網(wǎng)域隔離”。GE公司通過使用“Application Validator Utility”工具，為它的iFIX軟件3.5版本添加了這種安全特性。這種軟件工具可以自動整理對系統(tǒng)文件和功能的修改，減少安裝被無意和有意地危機的可能性。

Systek Automated Controls公司的工程副總裁（前International Automation 公司控制工程經(jīng)理）Joe Quigg警告說：“有意圖的人可以制造危險。對于以前的系統(tǒng)，很多情況下，人們可以不受阻礙和無人監(jiān)管地對系統(tǒng)作修改和改動。而且這種修改缺乏文檔備案機制，如果人們改動了系統(tǒng)，而且沒有備案，那就根本無據(jù)可查。”他繼續(xù)說道：“很多邏輯系統(tǒng)都帶有硬件繼電器邏輯，如果某人可以打開控制面板，那么只要他愿意他就可以設(shè)置某些旁路。”

他繼續(xù)說道：“一個設(shè)計精良的現(xiàn)代系統(tǒng)被劃分為兩個部分，標準部分，即日常的控制程序，它是開放式結(jié)構(gòu)的，另一個是安全不分，如果改動的話就會產(chǎn)生危險，這部分是被鎖定的。只有特定的人，使用正確的密碼，經(jīng)過培訓(xùn)和指導(dǎo)才能夠?qū)ζ溥M行修改。”

應(yīng)用：性能管理軟件、接口，幫助優(yōu)化操作，達到標準要求

Roche Diagnostics GmbH公司近期在德國Mannheim建立了一條新的置物架流水線，用于照料糖尿病病人和放置診斷產(chǎn)品。為了達到美國食品和藥物管理（FDA）標準，提高生產(chǎn)效率，增強其過程監(jiān)控和審核能力，他安裝了Wonderware公司的生產(chǎn)和性能管理軟件系統(tǒng)，這同時也是Invensys System公司的一個業(yè)務(wù)單元。

公司希望找到一個便于使用，能保證其生產(chǎn)過程的系統(tǒng)，而且此系統(tǒng)還要符合FDA 21 CFR Part 11的規(guī)定。它選擇了Wonderware 公司的兩個關(guān)鍵的軟件包，InTouch人機接口軟件和IndustrialSQL服務(wù)器，它包含一個與系統(tǒng)實時相關(guān)的數(shù)據(jù)庫。這兩個軟件包使Roche公司既滿足了商業(yè)要求又滿足了生產(chǎn)的要求，而且還符合FDA的要求。

在這條新的置物架流水線上，小瓶子從托盤中分別選出、分類并放在一起，形成一個包，這個包之后會被送到一個旋轉(zhuǎn)的桌子上，進行進一步處理。貼上標簽，一臺攝像機用來檢查矩陣條形碼是否正確和是否合理放置。之后另一臺攝像機檢查每個瓶子和瓶蓋是否是正確的顏色，然后這個包就到了最終的包裝階段。這個生產(chǎn)過程的啟動、控制和監(jiān)控都是由使用這個軟件的操作人員完成的。人機接口指引操作員一步一步指導(dǎo)結(jié)束，操作員不必再從復(fù)雜的屏幕選項中作出選擇了。

FDA標準要求生產(chǎn)商保持生產(chǎn)數(shù)據(jù)的可追溯性，這就意味著公司必須明確過程中的每一步，包括那個操作人員在什么時間完成某項任務(wù)。這個程序的用戶管理特性和微軟2000操作系統(tǒng)提供的特性允許對工廠進行嚴密的安全設(shè)計，而不必使操作系統(tǒng)直接面對用戶。