HMI - ovládání, zobrazování, vizualizace

HMI-AUTOMATIZACE - PANELY - UŽIVATEL
Provoz webu zajišťuje:

www.hapesoft.cz

Uživatel, oprávnění přístupu

Charakteristika

Uživatel (User) je osoba, která ovládá vizualizační panel a jeho prostřednictvím přes řídící systém i technologii. Ovládat stroj nebo měnit parametry, provádět systémové změny a pod. však nemohou všechny osoby, k rozlišení oprávnění poskytují panely systémové prostředky pro řízení přístupu pomocí oprávnění.

Oprávnění

Při ovládání stroje bývá nutno rozlišit skupiny osob s různým oprávněním přístupu tak, aby některé operace mohly provádět pouze osoby, které mají k tomu pracovní pověření.

Povolení přístupu silou hesla

Povolení přístupu silou hesla je jednoduchý způsob, kdy vytvoříme několik hesel a ke každému heslu přiřadíme oprávnění přístupu např. 1-9 (1 nejnižší ... 9 nejvyšší oprávnění). 0 je bez povolení přístupu k funkcím, které požadují alespoň 1 oprávnění. Pro oprávnění 0 (bez oprávnění) se heslo se nevytváří a toto oprávnění vzniká automaticky po odhlášení vyššího přístupu nebo po zapnutí panelu.

Tato hesla se pak přidělí jednotlivým osobám s pověřením. Jakmile se osoba přihlásí heslem, je přiřazena úroveň oprávnění podle hesla. Pro specielní přístup, např. programátor, se rezervuje úroveň 9 s přístupem ke všem funkcím. Příklad zobrazuje tabulka 1.

činnost ovládání
stroje
výrobek parametry diagnostika systém oprávnění
operátoranonenenene0
mistranoanonenene1
technologanoanoanonene2
.....................
servisanoanoanoanone8
administrátoranoanoanoanoano9
poznámka start/stop změna
výroby
parametry
výroby
specielní
funkce
syst.
prostř
.
úroveň
oprávnění
Tabulka 1
Jednoduché rozdělení přístupu

Systém panelu provádí kontrolu operací obsluhy tak, že pokud osoba např. stiskne tlačítko, systém porovná nastavení zabezpečení tlačítka a aktuální úroveň oprávnění. Pokud je hodnota oprávnění vyšší než nastavená hodnota zabezpečení u tlačítka, systém povolí vykonání funkce tlačítka, v opačném případě je funkce tlačítka blokována (případně se zobrazí upozornění na nedostatečné oprávnění přístupu). Principielně stejným způsobem je možno zamezit zadání hodnoty.

Tento jednoduchý přístup se pomalu opouští, důvodem jsou vyšší požadavky na identifikaci osoby, která se přihlásila, což u tohoto způsobu není možné.

Individuelní přístup

Individuelní přístup si vynutil rozvoj, kdy se v některých případech požaduje sledování a archivace přihlášení.

Při použití tohoto principu je možno vytvořit seznam širokého počtu uživatelů, kdaždý se svám jménem a heslem, kteří mohou mít různá oprávnění přístupu. V tomto počtu uživatelů je již komplikované každému uživateli jednotlivě přidělovat oprávnění, proto se uživatelé sdružují do skupin a teprve skupině se přiřazují konkrétní oprávnění. Pro příklad máme několik osob, které s jménem a heslem přiřadíme do tabulky 2 a určíme skupinu, do které konkrétní osoba patří.

osoba (ID)jménohesloskupina
0****************E(admin)
1****************D(údržba)
2****************A(obsluha)
3****************B(mistr)
...
135****************C(technolog)
136****************A
137****************B
...
999****************C
1000****************D
1001**************** (nemá oprávnění)
1002****************E
1003****************A
Tabulka 2
Přiřazení osob do skupin

Jednotlivým skupinám je dále přiřazeno autorizačních oprávnění podle tabulky 3a.

autorizaceA0A1A2A3A4 
skupinaovládání
stroje
výrobekparametrydiagnostikasystem
Aanonenenene(operátor)
Banoanonenene(mistr)
Canoanoanonene(technolog)
Danoanoanoanone(servis)
Eanoanoanoanoano(admin)
Tabulka 3a
Přiřazení autorizace pro skupiny

Nyní je možno porovnat tabulku 1 a tabulku 3a. Ze struktury je patrné, že tabulky jsou funkčně shodné (stejná struktura oprávnění, pouze sloupce a řádky mají jiný název. Rozdíl je v tom, že ve druhém případě je možno separátně každé skupině přiřadit více osob a tyto při přihlášení identifikovat podle jména.

Další možností je přesné udělení oprávnění přístupu i po přihlášení, viz tabulka 3b.

autorizaceA0A1A2A3A4 
skupinaovládání
stroje
výrobekparametrydiagnostikasystem
Aanonenenene(operátor)
Banoanonenene(mistr)
Cneneanonene(technolog)
Danoanoneanone(servis)
Eanoanoanoanoano(admin)
Tabulka 3b
Přesné udělení oprávnění přístupu

V konkrétním případě podle tabulky 3b je přístup technologa povolen pouze k parametrům a ani údržba nemůže měnit parametry ve srovnání tabulky 3b s tabulkou 1 a 3a.

Systém panelu provádí kontrolu operací obsluhy tak, že pokud osoba např. stiskne tlačítko, systém porovná nastavení zabezpečení tlačítka (sloupec A0-A4 tabulky 3a, b) a aktuální úroveň oprávnění (skupina, řádek tabulky). Pokud hodnota oprávnění v tabulce je pozitivní, systém povolí vykonání funkce tlačítka, v opačném případě je funkce tlačítka blokována (případně se zobrazí upozornění na nedostatečné oprávnění přístupu). Principielně stejným způsobem je možno zamezit zadání hodnoty.

Upozornění
Pokud zvolíte příliš mnoho skupin nebo nevhodně kombinovaná autorizační oprávnění, pak je pravděpodobné, že struktura přihlášení, oprávnění a autorizací bude pro uživatele nepřehledná, nelogická.

ID přihlášení

Přihlášení pomocí ID je pokročilý způsob, jak ulehčit operaci přihlašování, kdy není nutno zadávat jméno a heslo. K tomuto se využívá bezkontaktních čipů, které v sobě obsahují ID (identifikační kód pracovníka) a podle tohoto ID jsou přiřazena přístupová oprávnění. Realizace tohoto přihlášení je technicky náročnější protože je potřeba administrativní server s databází všech vydaných ID osobám a jejich oprávněními k jednotlivým strojům (ukládat databázi ID do panelu nebo do řídícího systému stroje není vhodné). ID přihlášení lze využít i tak, že ke stroji musí být přihlášen alespoň oprávněný operátor, jinak nelze stroj spustit.

Doporučení
I při použití ID čipů je vhodné zachovat možnost přihlášení pomocí jména a hesla. Triviální zapomenutí nebo ztráta funkčnosti ID čipu může mít za následek nemožnost přístupu k funkcím stroje. Taktéž, a to je časté, pokud je identifikace řešena mimo stroj na centrálním administrativním serveru a server z jakéhokoliv důvodu dostupný.

Platnost přihlášení

Časový limit

Pokud se realizuje přístup pomocí zadání jména a hesla, je vhodné nastavit časový limit automatického odhlášení. Zamezí se tím situaci, kdy přihlášená osoba s vyšším oprávněním zapomene provést odhlášení a přístup by zůstal povolen po neomezenou dobu. Časový limit po uplynutí nastavené doby automaticky provede odhlášení a přístupová práva jsou nastavena na nejnižší úroveň.

Pokud se používá ID přihlášení čipem, nemá toto význam.

Omezení počtu pokusů zadání hesla

Omezení počtu pokusů zadání hesla má za úkol zamezit hádání hesla. Pokud je počet pokusů zadání hesla u daného jména uživatele překročen, a je-li omezení počtu pokusů aktivní, je tento uživatel zablokován a dále se nelze přihlásit ani původně platným heslem. Nápravou je pak zásah přes administrátorské přihlášení s obnovou hesla.

Změna hesla

Při požadavku na vyšší zabezpečení přístupu, omezení následků prolomení hesla, je možno nastavit interval (dny, měsíce) povinné změny hesla.


HMI-AUTOMATIZACE - PANELY - UŽIVATEL
 
Publikovaný obsah je určen pouze pro individuální studium.
Není povolena distribuce, prodej, přetisk a použití textu a/nebo vyobrazení (úplný, dílčí a/nebo částečný), použití ke školení a/nebo výuce (hromadné, skupinové nebo zadávané), veřejné a/nebo skupinové prezentace a ani jiné formy šíření v hmotné a/nebo nehmotné podobě.