Realizzare progetti Movicon 11 in conformità alla norma FDA 21 CFR Part 11 Documento: RAC-7206 Rilascio: 29/04/2005 Aggiornam.: 06/03/2012 Rel. Movicon: 11.3 o succ.
Sommario Scopo del Documento... 5 Premesse... 5 I REQUISITI PER I SISTEMI DI CONTROLLO... 6 La sicurezza... 6 La firma elettronica... 6 Concetti generali per il supporto alla norma.... 8 Sicurezza... 8 Registrazione Digitale/Firma Elettronica... 9 Validazione e Documentazione... 10 Varie... 11 Tecniche di Configurazione... 12 Sicurezza... 12 Passwords... 14 Sincronizzazione con la sicurezza di Windows... 15 Utenti Passwords... 15 Accesso ai comandi... 17 Accesso al sistema operativo... 17 Sistemi Biometrici... 19 Registrazione dati (Audit Trail o Tracing)... 19 Audit Trail... 20 Audit Trail con validazione di Responsabili di Processo... 21 Commento sul Riconoscimento Allarme (Audit Trail)... 22 Record Elettronici... 23 Sicurezza dei dati... 23 TESTO DELLA NORMA... 25 2
Subpart A General Provisions... 25 Subpart B Electronic Records... 25 Subpart C Electronic Signatures... 25 Sottoparte A Disposizioni generali... 25 Sottoparte B Record Elettronici... 25 Sottoparte C Firme Elettroniche... 25 General Provisions... 26 Electronic Records... 29 Controls for open systems.... 36 Signature/record linking.... 39 Electronic Signatures... 40 Electronic signature components and controls.... 43 Controls for identification codes/passwords... 46 3
4
Scopo del Documento Breve spiegazione della normativa FDA CFR21 Part 11 e delle procedure, suggerimenti ed attività affinchè un progetto applicativo basato sulla piattaforma SCADA Movicon 11 possa risultare conforme alle specifiche in oggetto. Questo documento è stato realizzato da Progea Srl per informare gli sviluppatori Movicon sui concetti e sulla migliore applicazione del prodotto nelle funzioni di registrazioni digitali di dati e nella applicazione della firma elettronica, secondo quanto richiesto dalla specifica FDA. Il presente documento non assume valore assoluto e non vincola in alcun modo Progea: è cura del cliente verificare che l applicativo sviluppato sia conforme ai requisiti richiesti, anche in seguito ad eventuali aggiornamenti della normativa. Premesse Lo scopo della normativa CFR21 Part 11, redatta dalla FDA (Food & Drug Administration), è quello di ottenere l equivalenza legale dei documenti elettronici (records digitali e Firma elettronica) rispetto a quelli cartacei tradizionali. Ciò è dovuto al sempre più frequente uso di sistemi automatici nella gestione dei processi produttivi in sistemi che devono essere sottoposti ad approvazione e revisione dell ente federale FDA. Affinchè il sistema d automazione e controllo realizzato sia conforme alla normativa CFR21 Part 11, è necessario far sì che i dati registrati siano sempre riconducibili all operatore responsabile (Firma Elettronica), inoltre sono necessarie precauzioni specifiche che rendano impossibili falsificazioni o manomissioni dei dati registrati elettronicamente, o che consentano una loro agevole identificazione in caso di utilizzo inappropriato, sia esso intenzionale o casuale, di apparecchiature elettroniche che generano record elettronici. Molte industrie farmaceutiche intendono approfittare dei benefici che derivano dall uso dei record elettronici. Si pensi al solo ingombro di questi documenti in forma cartacea che devono essere conservati per anni. Inoltre usando dei record elettronici è possibile ridurre notevolmente i tempi di raccolta e revisione di questi documenti prima del rilascio delle medicine per la vendita. Queste industrie devono richiedere apparecchiature che abbiano i necessari meccanismi di protezione da modifiche accidentali o malintenzionate dei dati in formato elettronico. 5
I REQUISITI PER I SISTEMI DI CONTROLLO Un sistema di controllo deve essere in grado di acquisire lo stato reale e l andamento delle variabili del processo. Sulla sezione relativa al periodo di lavorazione di un certo batch di prodotto devono essere indicati la data ed il numero di lotto del prodotto, inoltre deve essere apposta la firma elettronica dell operatore responsabile ed eventualmente la firma di validazione del responsabile del processo. Le procedure devono assicurare che non avvengano degli errori e che le firme siano sempre riconducibili in maniera univoca al loro proprietario. I record devono essere archiviati in posto sicuro e mantenuti per un periodo adeguato, e devono essere protetti da accessi non autorizzati. La sicurezza Nel caso in cui i dati vengano registrati in formato elettronico vi sono due casi. Il primo è quando questi dati vengono sempre stampati e firmati per approvazione (i cosiddetti sistemi ibridi: carta ed elettronico). In questo caso il file è da considerare un record elettronico: il problema principale è di assicurare che il file con i dati non possa essere sostituito né manipolato prima di essere stampato, identificato, datato e firmato. Invece la firma elettronica può non essere necessaria in quanto viene apposta manualmente. Quindi ad esempio una condizione necessaria è che il formato dei dati non sia manipolabile, e che venga univocamente ed automaticamente associato ad una linea o al lotto di produzione. Inoltre il file dei dati originari va conservato. Potremmo sintetizzare questo caso ricordando che una firma autografa non "nobilita" un record elettronico non adeguatamente protetto. Il secondo caso è quello di un record che verrà archiviato in formato elettronico. Qui oltre ad assicurare che il file con i dati non possa essere sostituito né manipolato, qualora sia necessaria una firma di approvazione, nasce l esigenza di avere anche la firma elettronica. In pratica bisogna fare in modo che all interno del file dei dati siano anche presenti delle informazioni che lo riferiscano univocamente al lotto di produzione e alla persona che ha approvato questi dati, cioè chi si era registrato al momento dell approvazione dei dati. Tutto il file deve essere poi protetto dalla manipolazione. La firma elettronica La firma elettronica può essere realizzata per mezzo di una combinazione di almeno due elementi ad esempio un codice identificativo ed una parola chiave o un badge ed una parola chiave ecc., come richiesto dal CFR21 part 11. Deve essere assicurata 6
l univocità della combinazione identificativo parola chiave in modo che sia possibile identificare con certezza ciascun individuo. Il codice identificativo può essere pubblico, cioè può essere mostrato sullo schermo. Dato che l unicità della parola chiave non può essere assicurata, sarà il codice identificativo a dover essere univoco per ogni utente. Anche le seguenti regole sono consigliate: 1. Lunghezza minima della parola chiave; 2. Modifica periodica della password; 3. Procedure per evitare i tentativi di manomissione o di accesso non autorizzati; 4. Registrazione dei tentativi di accesso non autorizzati; 5. L amministratore di sistema non deve poter conoscere le parole chiave degli altri utenti, anche se deve poter assistere chi dimentica la sua password; 6. Gruppi di utenti possono condividere la stessa parola chiave solo per la lettura di dati, non per la firma elettronica; 7
Concetti generali per il supporto alla norma. I concetti esposti di seguito in relazione alla norma definiscono come sarebbe opportuno utilizzare Movicon nello sviluppo di progetti applicativi compatibili con la normativa oggetto del documento. Per spiegare meglio le indicazioni riportate, si elencano di seguito i concetti fondamentali assunti da Progea, fermo restando che rimane responsabilità dell utente accertarsi che l applicazione sviluppata in Movicon sia conforme ai requisiti richiesti. Sicurezza Il progetto Movicon dovrà essere criptato (Movicon utilizza un algoritmo di cifratura a 128 bit) affinchè tutte le configurazioni e password utilizzate nel progetto non siano accessibili dall esterno. Movicon garantisce l univocità degli utenti password inseriti nel progetto. Ogni utente viene identificato nel progetto con UserID, Password, Descrizione o Nome stampabile univoci (Firma elettronica). Movicon non ammette nel progetto Utenti con Firma digitale uguale (controllo identificazione univoca). I nomi devono avere una lunghezza compresa tra 4 e 64 caratteri. Per garantire l integrità dei dati e per evitare la loro manomissione, l applicativo Movicon dovrebbe essere eseguito come Servizio del sistema operativo Windows. In tal modo l accesso al sistema operativo ed ai record registrati richiederà l identificazione di utenti registrati nel dominio di sistema, secondo i requisiti di sicurezza richiesti dalla norma. A seconda del sistema operativo utilizzato però l esecuzione dei Servizi di Windows può essere differente, come spiegato nei paragrafi successivi. Movicon supporta la condivisione del Dominio del sistema operativo Windows XP/Vista/7, al fine di utilizzare gli utenti password definiti dall amministratore del sistema. Gli utenti che gestiscono registrazioni dati utilizzando i Data Logger dovranno adottare gli opportuni accorgimenti per evitare l accesso non autorizzato ai database registrati, al fine di evitare ogni possibile manomissione o modifica indesiderata. L uso degli archivi IMDB (InMemory DB) permette di gestire file storici criptati, oppure, in caso di utilizzo di archivi ODBC, occorre utilizzare database sicuri quali Microsoft SQL Server oppure Oracle e gestire la corretta amministrazione della sicurezza del sistema operativo Windows XP/Vista/7 permettono l accesso ai record solo all amministratore di sistema oppure solo allo sviluppatore. 8
Per limitare l accesso alle funzioni ed ai comandi dell applicativo sviluppato, il progetto Movicon deve utilizzare correttamente la gestione Profili Utenti Password con l introduzione di Password, UserID, Nome Utente e Livelli di Accesso. Movicon prevede 1024 livelli di accesso e 16 aree. Gli utenti devono avere una password gestita in modo sicuro. L inserimento di nuovi utenti da parte dell amministratore può comportare il successivo reinserimento password da parte dell utente al Log On successivo. Tutte le password possono avere impostata una scadenza per obbligare l utente a reinserire una password periodicamente, contribuendo ad aumentare la sicurezza. Per una corretta corrispondenza alle norme, deve essere correttamente utilizzata la funzione di Auto LogOff (timeout di abilitazione accesso) nella gestione delle password di Movicon, al fine di evitare l accesso non autorizzato al sistema dopo un periodo di inattività dell utente. Per assicurare la validità e la corretta introduzione dei dati, gli utenti devono assicurarsi che le stazioni operative Movicon siano collocate in postazioni sicure ed accessibili solo al personale autorizzato. Nei sistemi con uso continuo, è obbligatorio utilizzare la funzione di Auto LogOff di Movicon. Movicon adotta strumenti e procedure per scoraggiare il perdurare di tentativi di accesso non autorizzati, allo stesso modo del sistema operativo Windows XP/Vista/7, secondo quanto previsto dalla norma. Dopo il terzo tentativo vano di accesso, Movicon provvede ad allungare sempre più i tempi di risposta per la reintroduzione della password, scoraggiando il malintenzionato. Il tentativo di violazione del sistema (al terzo tentativo fallito) non autorizzato di Log On, Movicon provvede alla visualizzazione e registrazione nel Log Storico dell evento, al fine di poter controllare tentativi di forzatura del sistema. Registrazione Digitale/Firma Elettronica Movicon restituisce il nome descrittivo dell utente registrato, al fine di identificare in modo univoco l operatore attivo. Il programma applicativo conforme a specifica deve essere configurato in modo tale da registrare la firma elettronica ogni volta che si esegue una registrazione digitale (creazione di un record nel database). L utente deve eseguire il LogOn nel progetto associando due dati combinati (UserID e Password), e la firma sarà costruita utilizzando il nome descrittivo dell utente, data e ora, ed il motivo della registrazione. Il Data Logger di Movicon permette la registrazione di tutti i dati necessari su Database. 9
Per motivi di responsabilità legale relativi alla Registrazione Elettronica, l operatore deve essere sempre univocamente riconosciuto ogni qualvolta registra un dato o accede al sistema. La registrazione della Descrizione Utente è univoca in Movicon. Per soddisfare i requisiti della Registrazione Elettronica, il cliente deve configurare opportunamente la registrazione eventi tramite l uso degli archivi IMDB (InMemory DB) che permette di gestire file storici criptati, oppure, in caso di utilizzo di archivi ODBC, occorre utilizzare database sicuri quali Microsoft SQL Server oppure Oracle e gestire la corretta amministrazione delle sicurezze. Inoltre l utente dovrà configurare l applicazione per acquisire la firma elettronica dell operatore che intraprende l azione ed aggiungere la firma al record registrato. L utente dovrebbe inoltre prevenire perdite di dati configurando l applicativo per eseguire una copia di backup dei dati registrati, oppure utilizzare la funzione di ridondanza di Movicon. L utente può anche eventualmente configurare il sistema affinchè utilizzi la risorsa Data Logger per provvedere alla registrazione di dati criptati su IMDB o su file database relazionale ODBC. E possibile, se richiesto, provvedere alla creazione di nuovi file di dati con periodi ti tempo prefissati (es. ogni 4, 8 o 24 ore) tramite funzioni Basic Script. L utente può infine configurare il sistema affinchè provveda alla copia dei dati registrati in una locazione sicura tramite una procedura appositamente scritta con codice Basic Script. Le funzioni di sicurezza del sistema operativo Windows XP/Vista/7 garantiscono l accesso indesiderato ai dati al personale non autorizzato. Nel caso di creazioni multiple di file, l utente dovrà inserire nel codice gli opportuni accorgimenti per evitare di saturare lo spazio disponibile sul disco fisso, cancellando i file più vecchi. L utente potrebbe dover utilizzare una utility di sincronizzazione dell orario di sistema (Microsoft o da terze parti) affinchè i dati registrati relativi alla data e ora siano veritieri, oppure gestire la sincronizzazione della data di sistema dei Client rispetto al Server, affinchè le registrazioni siano coerenti. Tali sincronizzazioni possono essere gestite direttamente con le funzioni del sistema operativo Windows XP/Vista/7 oppure tramite codice Basic Script per altri prodotti terzi. Validazione e Documentazione Alcuni dei requisiti della norma richiedono attività ed accorgimenti che non sono basati sul software applicativo. Per soddisfare i requisiti della normativa Part 11 il cliente deve validare la sua applicazione per garantire accuratezza, affidabilità e sicurezza nella registrazione dei dati, oltre alla capacità di impedire manomissioni, errori, cancellazioni di dati. Gli utenti Movicon devono convalidare le applicazioni realizzate in conformità alla norma FDA. Gli utenti 10
possono sviluppare e/o eseguire la convalida di programmi e protocolli essi stessi o demandare a altri enti queste attività. La convalida dovrebbe seguire una metodologia stabilita del ciclo di vita del sistema (SLC). Per soddisfare i controlli richiesti dall ottenimento della conformità alla normativa, il cliente deve adottare adeguate procedure per verificare l identità dell individuo al quale è stata assegnata una firma elettronica. Il cliente deve stabilire per iscritto e mettere in pratica le procedure per responsabilizzare gli operatori sulle operazioni eseguite sotto la loro firma elettronica, impedendo falsificazioni o manomissioni di firme o di registrazioni, in conformità ai requisiti della norma. Il cliente deve sempre accertarsi dell identità dell individuo al quale assegna una firma elettronica. Inoltre il cliente è tenuto a certificare per iscritto all Ente Federale preposto (FDA) che intende utilizzare la firma elettronica come sostituto equivalente dei documenti cartacei tradizionali e, se necessario, produrre la documentazione necessaria richiesta dall ente. Il cliente è responsabile nel produrre la documentazione sull uso del sistema o dell applicativo realizzato, sulla distribuzione e sull aggiornamento della documentazione prodotta, nonché sull addestramento del personale. Tuttavia il cliente non è responsabile sulla documentazione delle piattaforme utilizzate (Movicon, Windows). Varie Tutti i dati devono essere mantenuti in archivi che soddisfino i requisiti di sicurezza (es. dati criptati IMDB o SQL Server o Oracle con relative protezioni) e protetti dalle manomissioni. I dati devono essere mantenuti in archivio per un adeguato periodo di tempo, in funzione delle necessità operative. Per soddisfare ulteriormente la salvaguardia dei dati, del progetto, delle immagini, delle ricette, l utente dovrebbe utilizzare prodotti software di terze parti che garantiscano il mantenimento delle versioni (ad esempio Microsoft Source Safe può essere utilizzato per il controllo delle versioni). 11
Tecniche di Configurazione Per ottenere un progetto Movicon 11 validabile ai sensi della norma 21CFR Part 11, occorre configurare opportunamente il progetto, per renderlo compatibile con i criteri di validazione FDA. Riportiamo di seguito le caratteristiche di configurazione necessarie: Sicurezza Il progetto deve essere configurato nelle sue Proprietà Generali selezionando Progetto Criptato e Risorse del Progetto Criptate. In tal caso tutte le informazioni XML del progetto saranno inaccessibili tramite un algoritmo di cifratura a 128 bit. Per prevenire accessi non autorizzati nel sistema, è necessario selezionare tutte le Proprietà di Esecuzione del progetto che inibiscono l accesso al Sistema Operativo ed al Desktop. E possibile inibire: o Desktop di Windows o o o o o Pulsante di Avvio (Start) dalla task bar di Windows Barra delle Applicazioni (Task Bar) di Windows Scelta dei task di Windows Task Manager di Windows CTRL+ALT+DEL di Windows Attenzione! A partire da Windows Vista/7 Microsoft ha introdotto delle sicurezze che impediscono di fatto di disabilitare la combinazione di tasti "Ctrl+Alt+Del" e il pulsante di Start di Windows. In alternativa, Movicon può essere eseguito come Servizio del sistema operativo, come descritto in dettaglio più avanti. Nel caso in cui Movicon sia eseguito come servizio, le proprietà del progetto di inibizione all accesso del sistema operativo, come sopraindicato, non sono gestite da Movicon, in quanto Servizio del sistema operativo. 12
La figura illustra la finestra delle proprietà del progetto. Importante! A partire da Windows Vista/7 l'uso dell'interfaccia grafica per i Servizi di Windows non è supportata. Windows Vista/7 infatti, per aumentare la sicurezza, mantiene l'esecuzione dei servizi e delle applicazioni utente in sessioni separate. Questo aumenta la sicurezza dei servizi di sistema ma allo stesso tempo impedisce all'utente di interagire con l'interfaccia utente del servizio. Eseguendo Movicon come servizio di Windows Vista/7, quindi, l'uso dell'interfaccia grafica non è supportata. Per ovviare a questo problema è necessario creare un progetto Client che verrà avviato nell interfaccia utente di Windows e che andrà a comunicare in networking con il progetto Server avviato come servizio, remotizzando così l interfaccia utente del Server. 13
Passwords Tutti i comandi dell applicazione eseguibili dall operatore che possono influire sul processo devono essere protetti opportunamente da password. La gestione delle password deve essere abilitata nelle Proprietà della risorsa Utenti Password del progetto: o Progetto Protetto con Password: verrà richiesta la password solo per entrare in modalità sviluppo o o Abilita Gestione Password: verranno attivate le password secondo i livelli e le modalità di accesso ai comandi impostate. Abilita Firma Elettronica: verrà gestita l univocità della Descrizione dell utente quale nome da utilizzarsi come Firma Elettronica. o Auto Log Off: determina il tempo (sec.) per disattivare automaticamente l utente attivo dopo il periodo di inattività. o Lunghezza Minima (nome utente e password): impostati di default rispettivamente a 4 e 6 caratteri, come suggerito dalla norma. Occorrerà impostare eventualmente i parametri secondari relativi alla gestione password, secondo le proprietà generali, illustrate nella figura sotto. La figura illustra la finestra delle proprietà della Risorsa Utenti Password del progetto. 14
Sincronizzazione con la sicurezza di Windows Movicon offre la possibilità di condividere, nel progetto applicativo, gli Utenti del dominio del sistema operativo o di un server Windows XP/Vista/7. In tal modo, attivando la gestione password, il progetto riconoscerà come utenti ammissibili gli utenti inseriti ed attivati dal dominio del sistema operativo installato o da un dominio di una stazione server. Movicon ammette configurazioni miste, ovvero sia utenti inseriti nella lista del progetto, sia utenti provenienti dal dominio XP/Vista/7. o Gli utenti della lista del progetto possono ricevere associato un livello di utenza personalizzato. Gli utenti provenienti da un dominio di una stazione XP/Vista/7 potranno ricevere un livello di utenza personalizzato solo se inseriti nella lista utenti, in caso contrario verrà loro associato lo stesso livello di password specificato per il gruppo di appartenenza (Administartors, Users, Guests). E possibile assegnare ad un utente di dominio dei livelli di password diversi. Tale funzione è disponibile aggiungendo nella lista utenti di Movicon degli utenti che hanno lo stesso UserID che è stato configurato nel primary domain controller. In questo modo l'autentificazione di un utente così configurato viene effettuata dal primary domain controller che controlla la validità della password. Ad esempio se all'interno del proprio primary domain controller è presente un utente con UserID = "guest", all'interno del progetto Movicon, nella lista utenti, è sufficiente configurare un utente con il nome uguale allo UserID, quindi "guest" e con la password vuota. In questo modo all'utente può essere assegnato il livello desiderato. In runtime, il nome utente e password inseriti nella finestra di autentificazione di Movicon vengono validati dal primary domain controller. Questo permette di usufruire della scadenza password anche con gli utenti di Windows. Questo meccanismo è valido anche per gli utenti configurati direttamente in runtime con la finestra di editazione utenti di Movicon. Utenti Passwords Ogni utente o gruppo di utenti che avranno accesso ai comandi o che potranno influenzare il processo, devono essere opportunamente inseriti e configurati nel progetto. La gestione degli utenti prevede il loro inserimento nella Risorsa Utenti Passwords del progetto, quindi la configurazione delle loro proprietà. Tra le proprietà degli utenti, ricordiamo quelle richieste dalla norma FDA: o Nome (ID) e Password: sono assegnati all utente e ne consentono l identificazione dal sistema. o Firma Elettronica: è il testo, univoco, che corrisponde alla firma elettronica e che verrà registrato come identificativo assoluto utente 15
(nelle proprietà della Risorsa Utenti Passwords deve essere abilitata la gestione della Firma Elettronica). o o o Auto Log Off: può essere specificato anche singolarmente per singolo utente. Durata Password: la norma richiede che le password degli utenti possano spirare dopo un tempo prefissato, affinchè l utente sia obbligato a cambiarla periodicamente, incrementando la sicurezza. Modifica Password Obbligatoria: obbliga l utente ad introdurre la propria password al successivo Log On, evitando che l amministratore che l ha inserito possa conoscerla, contribuendo alla certezza dell identificazione. La figura illustra la finestra delle proprietà di un Utente. 16
Accesso ai comandi Ogni comando, modifica o impostazione dato che influenza il processo dovrà essere opportunamente protetto all accesso, richiedendo l identificazione dell utente. Dalle Proprietà di Livello Accesso di ogni oggetto, occorre impostare il Livello di Utenza nella scala gerarchica degli utenti. I livelli in Movicon partono dal livello 1023 (riservato all amministratore del sistema) fino al livello 1 (livello operativo più basso). Il livello 1024 è riservato al programmatore. Gli oggetti di comando possono prevedere anche un Livello di Accesso (Area) in lettura o in scrittura, permettendo l accesso ai comandi per gli utenti non solo per scala gerarchica ma anche per area di competenza. La figura illustra la finestra delle proprietà di un oggetto. Accesso al sistema operativo Movicon offre la possibilità di bloccare l accesso al sistema operativo. Possono essere utilizzate le seguenti due modalità: 17
Blocco dell accesso a Windows da Movicon: per prevenire accessi non autorizzati nel sistema, è necessario selezionare tutte le Proprietà di Esecuzione del progetto che inibiscono l accesso al Sistema Operativo ed al Desktop. Appena avviato Movicon, questi inibirà l accesso a Windows in base alle impostazioni attivate (descritte precedentemente). Attenzione! A partire da Windows Vista/7 Microsoft ha introdotto delle sicurezze che impediscono di fatto di disabilitare la combinazione di tasti "Ctrl+Alt+Del" e il pulsante di Start di Windows. Utilizzo dei servizi di Windows: è possibile configurare il progetto affinchè venga installato come Servizio del sistema operativo, quindi avviato automaticamente prima della procedura di Log On del sistema operativo Windows XP/Vista/7. In tal modo, in alternativa a quanto indicato sopra, l accesso al sistema operativo sarà consentito solo all amministratore di sistema. La figura illustra il pannello Comandi del Progetto. Il comando indicato provvede automaticamente ad installare il progetto come Servizio. Come spiegato in precedenza, a seconda del sistema operativo utilizzato l esecuzione dei Servizi di Windows può essere differente. In particolar modo a partire da Windows Vista/7 l'uso dell'interfaccia grafica per i Servizi di Windows non è supportata. 18
Sistemi Biometrici L uso di sistemi biometrici è incoraggiato in applicazioni validabili secondo la norma. In tal caso occorre scegliere il sistema di riconoscimento più idoneo e quello più facilmente integrabile nel proprio applicativo, tra quelli presenti sul mercato. I sistemi biometrici più diffusi sono sicuramente i sistemi di identificazione tramite impronta digitale. Questi sistemi hanno raggiunto una semplicità di utilizzo ed una perfetta integrazione con il sistema operativo e le applicazioni software. Esempi: Progea ha eseguito i test funzionali con il prodotto Toca Fkey (scanner impronte digitali). Il dispositivo è collegabile sulla porta USB e gestisce una propria anagrafica di utenti, associabile agli utenti del progetto Movicon tramite un apposito modulo script VBA predisposto da Progea. Grazie all'associazione "Password Utente Impronta Digitale", di Movicon, il sistema biometrico è integrabile completamente nel progetto. Progea ha eseguito i test funzionali con il prodotto Fingerprint di Microsoft, un dispositivo semplice ed economico collegabile su porta USB con Windows XP. In tal caso il dispositivo dispone di un proprio software eseguito come servizio che consente di inserire in un proprio archivio gli utenti e di gestirne il riconoscimento biometrico ad ogni richiesta di digitazione password. Uno strumento di questo tipo non richiede alcuna modifica al progetto applicativo né richiede interfacciamenti o configurazioni particolari. Tuttavia, l autenticazione utenti del sistema operativo (solo Windows XP) è consentita solo se gli utenti del PC non fanno parte di un Dominio. Ogni altro tipo di sistema di identificazione biometrica può essere utilizzato facilmente se opportunamente predisposto come sopra indicato, oppure può essere integrato nell applicazione Movicon attraverso un opportuno interfacciamento tramite Script. Registrazione dati (Audit Trail o Tracing) Movicon offre la possibilità di tracciare tutte le variazioni di stato o di valore di ogni variabile con significato rilevante o che influisce sul processo. Tipicamente è necessario tracciare tutte le variazioni dei set point o dei comandi di processo. Notare la differenza tra archivio di Trace e Data Logger: il Trace registra in appositi database ogni variazione di valore di un dato con tutte le 19
informazioni relative, mentre le registrazioni storiche dei valori si riferiscono ad attività di storicizzazione eseguite dalla risorsa Data Logger. In certi casi, è ritenuto sufficiente eseguire le seguenti procedure per modificare dati sensibili: 1. Richiedere l identificazione dell utente prima di accedere al comando 2. Identificare l utente e validarlo (gestione password) 3. L utente esegue il cambiamento. La variabile (Tag) è posta sotto tracciatura 4. Il cambiamento di valore è registrato nell apposito DB Trace, riportando la data, il valore precedente, quello attuale, la firma elettronica Sarà quindi possibile disporre, nell apposito visualizzatore DB Trace (o in appositi Report personalizzati), di tutte le informazioni storiche inerenti ogni cambiamento avvenuto nel processo, risalendo al responsabile della modifica in modo inequivocabile. La funzione di Tracing fa parte delle proprietà di ogni singola Variabile (Tag), pertanto deve essere attivata e configurata agendo sulla proprietà Opzione di Trace dalle proprietà del singolo Tag (variabile). Audit Trail In molti casi, prima che l utente proceda ad eseguire il cambiamento di una variabile di processo (es. set point), potrebbe essere richiesta la conferma della modifica del dato, unitamente ad una libera descrizione (stringa di testo) del motivo del cambiamento. 20
A tal proposito, nelle Proprietà di Trace della variabile, occorre marcare la voce Commento di Trace. Ad ogni intervento di modifica manuale del Tag, dopo l autenticazione dell utente, Movicon visualizza la finestra illustrata sopra, indicando i dati del cambiamento e richiedendo all utente di descrivere il motivo di tale cambiamento. Il commento inserito dall utente, viene memorizzato: - Nella colonna ActionCol della Tabella DB di Tracing riferita alla variabile che è stata modificata. - Se la check box Aggiungi Messaggio nel Log di Sistema ( Add Msg To SysLog ) è marcata, allora l evento ed il commento vengono registrati anche nel DB di archivio storico generale, nella colonna DescCol della tabella SysMsgs del Log Storico. NOTA: Quando la finestra Commento Trace ( Trace Comment ) è aperta a video, il valore della variabile viene congelato. Qualsiasi altro processo, come i driver, la logica IL, i basic script, non possono modificare il valore della variabile. Audit Trail con validazione di Responsabili di Processo A volte potrebbe essere richiesto che le operazioni sopra descritte, oltre all autenticazione dell utente operatore, siano validate da un utente Responsabile di Processo prima di rendere effettiva una variazione di un Tag (variabile). Pertanto, 21
dopo le operazioni di modifica del valore, deve essere richiesta l autenticazione di un Responsabile di Processo, solitamente di livello uguale o superiore. Movicon non gestisce automaticamente questa funzionalità, in quanto soggetta sempre e specifiche configurazioni dipendenti dalle singole esigenze. In tal caso occorre predisporre di un apposito Template. Tale oggetto grafico verrà richiamato ad ogni richiesta di modifica, e dovrà consentire l accesso, l identificazione degli utenti e l impostazione di dati (variabili Tag) che potranno essere abbinati sia alla funzione di Tracing che ad un apposito Data Logger, configurato per registrare i valori relativi ad ogni cambiamento di stato. Commento sul Riconoscimento Allarme (Audit Trail) In molti casi, prima che l utente proceda ad eseguire il riconoscimento di un allarme, potrebbe essere richiesto l inserimento di un commento da parte dell utente stesso che verrà poi registrato nello storico insieme all evento di ACK dell allarme. A tal proposito, nelle proprietà di una soglia di un allarme è possibile abilitare l'opzione "Commento su ACK (Audit Trail)". Quando questa opzione è attiva, e l'allarme viene riconosciuto, appare a video una finestra che riporta le informazioni relative all'allarme e uno spazio editabile in cui l'utente può inserire un commento. Il commento editato verrà poi registrato nella colonna "CommCol" della tabella allarmi del log storico. L'allarme viene riconosciuto soltanto dopo che l'operatore esce dalla finestra di commento con il tasto "OK", mentre la pressione del tasto "Annulla" annullerà di 22