人机界面(HMI)在安全性方面的应用

　　当提及人机接口时，安全和保安之间的区别往往可以很明确。Wonderware公司的针对基础设施和平台产品的市场经理Steven Garbrecht说：“安全指的是嵌入PLC的控制操作和安全联动装置，它已经被设计到控制程序中了。”

　　保安是针对闯入控制系统意图盗取信息或破坏的人。这是两个不同的领域，然而说到hmi，安全和保安就有一些交集了。

　　适当的安全设计可以防止操作人员对产品或设备造成的损伤或破坏，并且可以使操作人员及时行动避免这种情况发生。1984年12月份，印度Bhopal省的Union Carbide公司的一家工厂发生了灾难性的事故，化学反应堆失控，造成成吨的异氰酸甲酯泄露，成千的人死亡，更多的人患病。对于此次事故中安全系统是否工作的讨论存在这个分歧，Union Carbide公司的立场是“造成如此大的事故只可能是人为破坏。”而且他人却十分不认同这种说法。

　　1979年美国Three Mile Island(PA)发生的核工厂泄露事故中，操作人员并没有意识到一个关键的阀门被打开了，虽然显示时关闭的。之后他们收到了反应堆液位的错误信息。后来的调查显示，被恶意破坏的可能被排除，如果操作人员当时收到了正确的信息，他们就能够阻止情况失控。

　　确保不失控

　　诚然，确实有外部的恶意破坏者。Wonderware公司的信息安全(Infosec)分析师Rich Clark在一次题为“控制系统安全向导”的演讲中，列举了17类情况，包括从不满的员工到普通的罪犯，以致有组织的危害国家和政府安全的组织和个人。他说，这些人很难别确认，但“他们每天却有很多目标可以攻击。”

　　Garbrecht说：“从人机接口的角度上，有三种主要的情况，一是公司以外的某些人穿越防火墙，通过网络进入公司，并对人机接口做了某些改动。二是公司内部的某些人以某种原因对公司作了恶意操作。三是公司内部员工，并不是有意要做恶意攻击，只是由于误操作导致流程中安全或其他方面的问题。”

图1

　　图1：在这个制药流程中，生产过程的启动、控制和监控都是由操作员完成的，Wonderware Intouch 公司的HMI 软件一步一步地知道操作员完成这个过程。

　　如图所示 为工厂系统的总图(左侧)，和样品数据管理和审核流程。

　　Clark说，如果公司把控制系统的保安工作交给IT部门，那么公司可能会有麻烦。IT人员通过隔离每台机器来达到保安，他们隔离哪些正在上网的和有可能携带病毒的人，使他们不至于影响企业中的其他部分。这种方法在IT领域确实奏效，但是它牺牲了机器之间通讯的便捷性，并且实时性能不好。