當提及人機接口時，安全和保安之間的區別往往可以很明確。Wonderware公司的針對基礎設施和平臺產品的市場經理Steven Garbrecht說：“安全指的是嵌入PLC的控制操作和安全聯動裝置，它已經被設計到控制程序中了。” 　　 保安是針對闖入控制系統意圖盜取信息或破壞的人。這是兩個不同的領域，然而說到hmi，安全和保安就有一些交集了。 　　 適當的安全設計可以防止操作人員對產品或設備造成的損傷或破壞，并且可以使操作人員及時行動避免這種情況發生。1984年12月份，印度Bhopal省的Union Carbide公司的一家工廠發生了災難性的事故，化學反應堆失控，造成成噸的異氰酸甲酯泄露，成千的人死亡，更多的人患病。對于此次事故中安全系統是否工作的討論存在這個分歧，Union Carbide公司的立場是“造成如此大的事故只可能是人為破壞。”而且他人卻十分不認同這種說法。 [align=center] 圖1：在這個制藥流程中，生產過程的啟動、控制和監控都是由操作員完成的， Wonderware Intouch 公司的HMI 軟件一步一步地知道操作員完成這個過程。 如圖所示 為工廠系統的總圖（左側），和樣品數據管理和審核流程。[/align] 1979年美國Three Mile Island（PA）發生的核工廠泄露事故中，操作人員并沒有意識到一個關鍵的閥門被打開了，雖然顯示時關閉的。之后他們收到了反應堆液位的錯誤信息。后來的調查顯示，被惡意破壞的可能被排除，如果操作人員當時收到了正確的信息，他們就能夠阻止情況失控。 　　 確保不失控 　　 誠然，確實有外部的惡意破壞者。Wonderware公司的信息安全（Infosec）分析師Rich Clark在一次題為“控制系統安全向導”的演講中，列舉了17類情況，包括從不滿的員工到普通的罪犯，以致有組織的危害國家和政府安全的組織和個人。他說，這些人很難別確認，但“他們每天卻有很多目標可以攻擊。” 　　 Garbrecht說：“從人機接口的角度上，有三種主要的情況，一是公司以外的某些人穿越防火墻，通過網絡進入公司，并對人機接口做了某些改動。二是公司內部的某些人以某種原因對公司作了惡意操作。三是公司內部員工，并不是有意要做惡意攻擊，只是由于誤操作導致流程中安全或其他方面的問題。” 　　 Clark說，如果公司把控制系統的保安工作交給IT部門，那么公司可能會有麻煩。IT人員通過隔離每臺機器來達到保安，他們隔離哪些正在上網的和有可能攜帶病毒的人，使他們不至于影響企業中的其他部分。這種方法在IT領域確實奏效，但是它犧牲了機器之間通訊的便捷性，并且實時性能不好。 　　 Clark繼續說道：“當控制系統被設計時，每臺機器都設計成可以不受阻礙地與另一臺機器通訊。在控制系統的環境中，更多的機器既是服務器又是客戶機，這并不符合IT領域中的客戶端服務器模型。”Clark指出，控制系統的安全方案是將控制系統放在一面保護墻后面，然后密切控制受保護區域的所有進出。 　　 在控制系統和整個系統之間的所有通訊必須經過防火墻。California的一家生物制藥公司最近安裝了符合21 CFR 11 標準的用于處理歷史數據的新型系統。所有有關過程錯誤和事件的信息都被存儲在服務器中需要的人可以調用。但是工廠的重要數據和控制信息都是存放在與整個系統隔離的網絡中的。 　　 Clark引用了“having limited threat vectors。”他說，一個理想的安全控制系統應該滿足以下幾條： 　　■與全部的威脅隔離，包括商業合作企業。 　　■用強力抗侵蝕設備分層 　　■只有一個輸入輸出點 　　■所有的系統自動化都在一個安全集合內 　　■并且企業內的每一個置信機器可以無阻礙地訪問另一個置信機器 　　 微軟公司稱這種安全模型為“網域隔離”。GE公司通過使用“Application Validator Utility”工具，為它的iFIX軟件3.5版本添加了這種安全特性。這種軟件工具可以自動整理對系統文件和功能的修改，減少安裝被無意和有意地危機的可能性。 Systek Automated Controls公司的工程副總裁（前International Automation 公司控制工程經理）Joe Quigg警告說：“有意圖的人可以制造危險。對于以前的系統，很多情況下，人們可以不受阻礙和無人監管地對系統作修改和改動。而且這種修改缺乏文檔備案機制，如果人們改動了系統，而且沒有備案，那就根本無據可查。”他繼續說道：“很多邏輯系統都帶有硬件繼電器邏輯，如果某人可以打開控制面板，那么只要他愿意他就可以設置某些旁路。” 　　 他繼續說道：“一個設計精良的現代系統被劃分為兩個部分，標準部分，即日常的控制程序，它是開放式結構的，另一個是安全不分，如果改動的話就會產生危險，這部分是被鎖定的。只有特定的人，使用正確的密碼，經過培訓和指導才能夠對其進行修改。” 應用：性能管理軟件、接口，幫助優化操作，達到標準要求 　　 Roche Diagnostics GmbH公司近期在德國Mannheim建立了一條新的置物架流水線，用于照料糖尿病病人和放置診斷產品。為了達到美國食品和藥物管理（FDA）標準，提高生產效率，增強其過程監控和審核能力，他安裝了Wonderware公司的生產和性能管理軟件系統，這同時也是Invensys System公司的一個業務單元。 　　 公司希望找到一個便于使用，能保證其生產過程的系統，而且此系統還要符合FDA 21 CFR Part 11的規定。它選擇了Wonderware 公司的兩個關鍵的軟件包，InTouch人機接口軟件和IndustrialSQL服務器，它包含一個與系統實時相關的數據庫。這兩個軟件包使Roche公司既滿足了商業要求又滿足了生產的要求，而且還符合FDA的要求。 　　 在這條新的置物架流水線上，小瓶子從托盤中分別選出、分類并放在一起，形成一個包，這個包之后會被送到一個旋轉的桌子上，進行進一步處理。貼上標簽，一臺攝像機用來檢查矩陣條形碼是否正確和是否合理放置。之后另一臺攝像機檢查每個瓶子和瓶蓋是否是正確的顏色，然后這個包就到了最終的包裝階段。這個生產過程的啟動、控制和監控都是由使用這個軟件的操作人員完成的。人機接口指引操作員一步一步指導結束，操作員不必再從復雜的屏幕選項中作出選擇了。 　　 FDA標準要求生產商保持生產數據的可追溯性，這就意味著公司必須明確過程中的每一步，包括那個操作人員在什么時間完成某項任務。這個程序的用戶管理特性和微軟2000操作系統提供的特性允許對工廠進行嚴密的安全設計，而不必使操作系統直接面對用戶。 　　 Dr焎ker Steuerungssysteme GmbH公司的總經理Uwe Dr焎ker說：“使用這種方法的一個益處是用戶的管理并不表現為單獨的一個系統，而是作為整個企業安全系統的一部分。使用這種操作方法，公司可以很容易地合并并且重用工廠的現有操作系統。而且，這個軟件的易用性和統一的接口使Mannheim的操作人員保持置物架流水間運行于最優效率下。我們只需采用一個使用單用戶管理系統的端對端安全系統而不需要使用幾個昂貴的解決方案。” 　　 這條置物架流水線的操作人員登陸應用界面，根據他們的準入等級，對其驗證和授權，以便他們執行特定的操作。對過程流水線的操作包括產品和過程數據的日常創建和編輯，啟動、暫停或者停止批處理，或者編輯用戶預設值文件。流水線的操作人員使用他們的用戶名和密碼來登陸。這種安全登陸技術使公司能夠滿足FDA數據可追溯要求，并且使生產流水線具有更強的防篡改功能。 　　 此軟件具有時戳電子簽名，能將每一個操作人員與具體的行動聯系起來。這個簽名和其他相關的數據之后被存儲在IndustrialSQL服務器歷史數據庫中，用開生成一個復雜的審計跟蹤。這些審計跟蹤可以在任何時候被授權主管或經理察看和打印。信息和電子簽名是不能被改變或刪除的，這樣就形成了一個符合FDA要求的、具有防篡改功能的倉庫。 　　 而且，Mannheim工廠還使用一個額外的系統來完成高可用性和數據整合。此系統物理上與主系統隔離開來，但它保持和主系統的數據同步。在主系統失效的時候，同步握手協議檢測主進程是何時停止的，并自動切換到備用系統，這是一種失效安保能力。細致入微的公用網絡整合同樣是所有的數據可以用于整個企業范圍的分析。 　　 除了來自于FDA規范的壓力外，日漸增長的恐怖主義和假冒產品的威脅總是制藥公司的主要考慮對象。這種軟件管理系統的安全特性使Roche具有很高的信心，使之能夠在生產和包裝過程的每一步跟蹤并保證質量。 應用：hmi系統給鋁制品生產帶來安全和保障 　　 1990年建于魁北克的美國鋁公司Alcoa——Aluminerie de Deschambault是一個需要升級的工廠。他的主要的金屬設備使用550人操作，生產原鋁錠，然后送到定型設備上生產成各種不同的產品。 　　 過程控制和監控是在一個不能被升級的基于DOS的系統上完成的。數據采集使用一個自制的OpenVMS（VAX）系統。工廠的應用工程師Pierre Boutin解釋說：“我們需要一個進行少量工作就可以完成更改設置的系統。” 　　 公司的職員也需要更好的準入機制來處理數據。例如，30多個工廠的環境小組成員緊密合作，但是他們可以在任何時間在半英里的工廠范圍內的任何一個地點進行訪問數據。任何一個新型系統都需要提供一種高保密認證機制，允許授權用戶在工廠的任何一個位置訪問控制數據，但是對控制參數的修改只能在特定的位置完成。 　　 Boutin和他的同事選擇在現有的基礎設施上層安裝GE Fanuc Automation公司的Cimplicity軟件以搭建控制和監控解決方案。過程中的電解氧化鋁提取鋁的工藝被分為5步。每一步，10到15個GE Fanuc90-70系列的PLC和多個90-30系列的PLC來完成其他監控和控制工作，在每一步里PLC要監控差不多10000個點。 　　 使用星形以太網拓撲網絡，裝配了Cimplicity軟件的PLC和操作人員接口，通過標準10Base-T銅制接線端子，與每一步中的開關連接。每一步都輪流與100Mbps以太網連接，通過光纖引入IT部門。主服務器安放在IT部門，從服務器安放在現場，IT部門的工作人員負責維護系統。 　　 Cimplicity hmi軟件工廠版本使用基于客戶端/服務器結構和開放系統設計的Web技術，用戶通過放置在整個廠區的Cimplicity視窗上的Web瀏覽器，訪問實時遠程數據。作為對系統內嵌用戶訪問安全特性的補充，IT部門增加了另一個安全層，在這層上，過程信息可以被所有工作站的授權用戶訪問，而參數修改只能在指定的工作站完成。 　　 新型控制和監控系統工作良好，促進IT部門和過程控制部門員工的團隊合作，而以前，很多公司這兩個部門的合作經常出現斷層。Boutin說：“這兩組人的合作很出色，這在我們的控制和監控系統的成功運行中起了重要作用。” 應用：PLC控制的機器人使用集成了安全軟件的手持HMI設備 　　 德國Vlotho的Klocke-Robot-Systeme GmbH 公司安裝的完備的Rexroth系統，具有高定位精度、短工作周期和低硬件成本的優點。Klock公司的裝貨和卸貨機器人自動操作注塑機完成任務。集成了完備的安全工能的IndraMotion for Handling系統使用使用連續控制西通IndraLogic，它滿足IEC61131-3標準要求，確保已經搭建好的程序模型的可重用性。這個系統的外觀和感覺就像一個機器人控制，但實際上是PLC控制。 　　 IndraMotion for Handling系統與完備的移動操作面板配合使用，例如Rexroth VEH30手持式操作人員借口設備。這個組件具有8.4英寸的觸摸屏和熱插拔能力，可以在設備運行的同時通過以太網方便地與設備互聯。一個設備可以完成多個控制任務。用戶可以使用手持設備上的惡4個軟按鈕來編輯動作，也可以通過虛擬鍵盤教或者輸入確定的點。Rexroth IndraDrive的集成的安全功能滿足EN-945-1類別3的要求，這樣他就符合整個歐洲的安全規程，而無須附加的硬件或控制上的改動。