一、面板Audit功能概述

在許多工業領域，生產數據的可追溯性及其文檔記錄變得愈加重要，如醫藥行業、食品飲料以及相關的機械工程行業。與書面文檔相比，以電子形式存儲生產數據具有許多優點，如采集和記錄數據更方便，更及時，同時查詢也更為便捷，為此很多企業采用這種方式來記錄數據。但是在這種方式下，保證數據不被竄改并可以隨時閱讀變得非常重要， 為此，相關部門已經制訂了有關產品數據電子文檔的行業專用標準和通用標準。其中最重要的一套標準就是由美國食品和藥物管理局 (FDA) 發布的針對電子數據記錄和電子簽名的 FDA 準則 21 CFR Part 11。

目前已基于 21 CFR Part 11 制定了針對這些行業的生產系統要求，其相應的規范符合 GMP（優良生產規范）。

以下基本要求源自這些指令和法規：

（1）在運行期間創建 Audit Trail 或操作跟蹤

該文檔可用于跟蹤有關哪個用戶何時運行了機器的什么控制功能的完整記錄。

（2）重要處理階段還必須可追蹤到具體的責任人，如使用電子簽名。

面板的Audit功能主要針對上述兩方面內容。

二、面板Audit功能要求

2.1支持Audit功能的面板

目前在售的支持Audit功能的面板有兩類：

1）精智面板

2）第二代移動面板

2.2Audit功能所需授權

使用Audit功能，需要單獨購買授權。未授權時，項目仿真或者實際運行時都會有相應提示。實際運行的時報警提示，如下圖所示。如果未傳輸授權，不影響功能使用，但是會反復出現該報警提醒。使用該功能的每個面板都需要一個授權。

重要提醒：建議保留好授權盤，以及相關購買憑證。如果在實際使用的過程中有對觸摸屏備份與恢復，更新OS或者恢復出廠設置操作，必須先使用授權管理器（ALM）將授權導出到授權盤或者PC上保存。

2.3Audit功能所需硬件

使用Audit功能的面板需要插入SD卡或者U盤用來存儲AuditTrail文件。建議購買西門子SD卡或者U盤（容量不超過32G），第三方SD卡或者U盤，功能上不做保證。

三、Audit功能組態

Audit功能支持的記錄范圍包含：

運行系統順序

運行系統啟動和運行系統停止

項目信息：組態環境、設備和當前運行系統組態的版本和項目名稱

不間斷電源 (UPS) 發生電源故障

用戶管理

用戶的登錄和退出

無效登錄嘗試

用戶管理的導入

用戶管理的更改

報警系統

用戶確認的全部報警

用戶的全部確認嘗試

日志操作

開始、停止和復制日志

打開和關閉所有日志

刪除日志

開始下一個日志

轉移歸檔

上述與Audit功能相關的操作會自動保存到Audit Trail日志中。

記錄變量值變化

記錄用戶操作

使用“NotifyUserAction”系統函數記錄審計跟蹤未自動記錄的用戶操作

對于GMP相關的配方

更改和創建配方數據記錄后存儲

配方數據記錄導入或導出PLC

對于配方變量：更改變量值與 PLC 的同步設置（“離線”/“在線”）

對上述審計過程是否進行記錄將取決于配方、項目的變量和系統函數“NotifyUserAction”的組態。在本文檔中，主要介紹Audit功能中的自動記錄的部分。以下章節主要介紹如何組態Audit功能。

3.1啟用Audit功能

啟用Audit功能：“運行系統設置”->”優良生產規范”中必須勾選“組態符合GMP”選項。

3.2創建審計跟蹤日志

勾選“組態符合GMP”后，在項目樹中的“歷史數據”或者“記錄”中的“審計跟蹤”選項卡下可以查看到自動創建的名稱為“AuditTrail”的審計跟蹤日志。

使用TIA Portal V15.1及以前的版本，“歷史數據”中的“審計跟蹤”界面，如下圖所示。

使用TIA Portal V16及以上版本，“記錄”中的“審計跟蹤”界面，如下圖所示。

3.2.1“常規”屬性組態

審計跟蹤日志的“常規”屬性如下圖所示：

1）名稱：審計跟蹤的名稱。注意：建議使用英文或者拼音名稱，不建議使用中文。

2）存儲位置：存儲格式的選擇

TXT文件(Unicode): 該文件格式支持可用于面板的所有字符。只能使用TXT文件（Unicode）來記錄亞洲語言。

CSV文件(ASCII)：對于CSV文件（ASCII）文件，數據以標準ASCII格式保存到CSV文件。不允許將雙引號或者其他多個字符用作列表分隔符。

RDB 文件：使用RDB文件保存數據，可以快速訪問專用數據庫。

3）路徑：日志存放位置

Storage Card SD:使用SD 卡作為存儲路徑

Storage Card USB:使用U盤作為存儲路徑

\:將AuditTrail文件存儲到網絡路徑中

4）空閑存儲空間限制(MB)：保存審計追蹤文件的存儲介質，其上面的可用空間低于所組態的最低存儲容量時，觸發“低空閑空間”事件。如下圖所示

如上圖，假設設置“空閑存儲空間限制”為0.1MB，可以在“低空閑空間”事件中組態函數“置位變量中的位”，當存儲介質的容量小于0.1MB會自動觸發添加函數。另外，可以將變量“HMIData_Alarm”組態為離散量報警的觸發變量用來觸發報警,以此來提醒操作員提前做好數據轉移或更換存儲介質等操作。“空閑存儲空間限制”允許的數值范圍是：0.1-64.0（MB）。當存儲介質剩余空間低于“空閑存儲空間限制（MB）”，但是高于大約100KB時，面板的Audit功能是可以繼續正常使用的。

注意：該日志的事件里面還有一個事件“空閑空間非常低”，屬性如下圖所示。

空閑空間非常低：指存儲介質的空閑空間非常低。使用TP1500Comfort精智面板+32G的西門子U盤測試，當U盤空間剩余空間小于大約100KB時，可以觸發“空閑空間非常低”事件，例如，可以置位自定義變量中的某個位觸發報警提示。而且面板會出現相關的系統報警或者系統彈窗，具體信息跟“設置“屬性中的”強制“->”存儲空間用盡時允許強制功能”參數組態有關。請參考3.2.2章節的“強制->存儲空間用盡時允許強制功能”部分。

注意：當存儲介質剩余空間低于大約100KB時，面板的Audit功能將無法正常使用。

3.2.2“設置”屬性組態

“AuditTrail”日志的“設置”屬性如下圖所示。

注意：激活“強制”->“存儲空間用盡時允許強制功能”，項目運行時，如果觸發上述條件，系統會顯示下圖（左）提示。

此時點擊“強制”按鈕，登陸管理員用戶可強制關閉Audit功能。通過報警視圖可以查看到系統報警，如上圖（右）所示。關閉Audit功能后，用戶操作還能繼續進行，例如激活“GMP相關”的變量數值可以被用戶修改，但是該操作不會記錄在審計跟蹤日志中。

取消激活“強制“->”存儲空間用盡時允許強制功能”，項目運行時，如果觸發上述條件，系統不會出現彈窗，通過報警視圖可以查看系統報警。跟Audit功能相關的用戶操作不能繼續執行，例如激活“GMP相關”的變量數值不能被用戶修改。

設置->審計跟蹤中記錄報警文本：指定是否在審計跟蹤中記錄報警文本。記錄用戶確認的全部報警和用戶的全部確認嘗試，如下圖所示。需注意，對于“警告”類別的報警如果進行確認操作，該操作也會被記錄下來。

3.3自動保存的Audit功能相關的操作

Audit功能自動記錄的部分測試結果如下：

運行系統順序

運行系統啟動和運行系統停止

項目信息：組態環境、設備和當前運行系統組態的版本和項目名稱

不間斷電源 (UPS) 發生電源故障

用戶管理

用戶的登錄和退出

無效登錄嘗試

用戶管理的導入

用戶管理的更改

報警系統

用戶確認的全部報警

用戶的全部確認嘗試

日志操作

開始、停止和復制日志

打開和關閉所有日志

刪除日志

開始下一個日志

轉移歸檔

四、查看審計跟蹤日志

審計跟蹤將日志保存到HMI設備的存儲介質中。日志的每一行內容末尾都有校驗和，如下圖所示，校驗和可以保護數據。例如，一旦審計跟蹤日志中的數據被篡改，使用AuditViewer軟件打開時會報警顯示某行數據被篡改，并且無法正常打開日志。

可以使用兩種方法來評估審計跟蹤日志：

1）使用“Audit Viewer”軟件

憑借Audit Viewer軟件可以輕松的評估審計跟蹤日志，以便進行外部數據分析。

2）使用“HmiCheckLogIntergrity”程序

通過使用DOS程序，可以利用返回值自動檢查審計跟蹤日志。

4.1使用Audit Viewer軟件檢查

使用Audit Viewer軟件打開日志的步驟，如下圖所示。

如果日志中數據被篡改過，打開的時候會有如下報警提示。

4.2使用工具“HmiCheckLogIntegrity.exe”檢查

使用HmiCheckLogIntegrity.exe檢查審計跟蹤日志的完整性。電腦上安裝TIA Portal V16后，軟件默認的位置如下圖。

在PC的“運行”窗口中輸入“cmd”指令，點擊確定，打開cmd.exe窗口

在cmd.exe窗口中輸入指令，調用HmiCheckLogIntegrity.exe工具檢查審計跟蹤日志。以安裝TIA Portal V16的計算機為例，檢查C:Storage Card SDAuditTrail中AuditTrail0.txt文件的完整性。輸入指令"C:Program Files (x86)SiemensAutomationWinCC RT AdvancedHmiCheckLogIntegrity.exe" "C:Storage Card SDAuditTrailAuditTrail0.txt"。如下圖所示，檢查結果顯示數據一致。

上述示例中："C:Program Files (x86)SiemensAutomationWinCC RT AdvancedHmiCheckLogIntegrity.exe"為HmiCheckLogIntegrity.exe工具所在的完整路徑。"C:Storage Card SDAuditTrailAuditTrail0.txt"為AuditTrail0.txt文件所在的完整路徑。兩個路徑之間需要增加一個空格。

如果日志被篡改過，使用HmiCheckLogIntegrity.exe工具檢查數據完整性，會呈現下邊的錯誤。

審核編輯：湯梓紅