电子记录

子部分 B – 电子记录
§11.10 - 封闭系统的控制
要求
应用程序说明
程序链接
使用封闭系统创建、修改、维护或传输电子记录的人员应采用专门设计的程序和控制措施保护电子记录的真实性、完整性和机密性(如适用),这也有助于确认签名者不能随意将已签名的记录指认为非真实记录。此类程序和控制措施应包括以下内容:
§11.10,a 条
验证系统以提高准确性和可靠性并达到一致的预期性能,以及能够识别无效或被篡改的记录。
系统验证过程具有独特性,由客户实施。
Rockwell Automation 可为在系统特定集成期间执行的任何验证活动提供验证服务。
任何为满足此要求所需的措施均由客户实施。
§11.10,b 条
能够以人类可读形式和电子形式生成可供机构检查、审查和复制的准确、完整的记录副本。如果不确定该机构能否执行此类电子记录审查和复制操作,应与该机构联系。
FactoryTalk Optix Studio 可将报警、审核和过程数据的数据记录存储到外部数据库中。或者,可以将数据记录存储在内部(嵌入式)数据库中,但应考虑数据库的局限性。
提醒事项: 有关详细信息,请参见
§11.10 c 条
为了增强可检测性,可以实施报警和逻辑,以防止用户在 FactoryTalk Optix Studio 与数据库的网络连接断开时输入数据。
将数据发送到数据库后,用户可以使用 FactoryTalk® Optix 对象和节点、开发的库以及自定义 NetLogic 方法来读取记录,包括数据可视化、导出和报告。支持基于查询的数据记录和报告。FactoryTalk Optix Studio 提供报告功能。
§11.10,c 条
保护记录,使其能够在整个记录保留期内保持准确并可随时检索。
可将记录存储在外部数据库中,如 11.10 的 b 条中所述。或者,可以将数据记录存储在内部(嵌入式)数据库中,但应考虑运行时的部署位置、存储空间大小和数据库记录限制。对于大多数应用程序,最好将数据记录存储到专用的外部数据库,以遵守数据保留策略和灾难恢复程序
在记录保留期内,可以查看、打印和导出记录。
客户应将定期备份数据库等预防措施纳入其 SOP。应控制对这些数据库的访问,以维护数据完整性。对于外部数据库,这些行为由数据库管理员管理。对于内部数据库,可以通过基于标签的控制器变量或 C# 脚本设置自动备份,并通过保护运行时位置硬件和软件来管理对内部数据库的访问。备份和还原功能与数据库类型无关。
为了保存应用程序文件以进行备份和版本控制,FactoryTalk Optix 提供了保存到本地或远程存储库的选项。为了数据安全,可以优先使用由管理员管理的本地存储库。
虽然本地系统中没有审计消息的缓冲或缓存,但可以采用其他方法来确保数据完整性,例如通过安装带有 NetLogic 的 MQTT。此外,如果与 FactoryTalk Optix Studio 的网络连接断开,可以实施能够防止用户输入数据的自定义逻辑,直到连接恢复。
小贴士: Rockwell Automation 建议在适当的情况下采取相应的预防措施,例如定期备份数据库、生成 PDF 报告或将数据导出到 .csv 文件。
请参见版本控制和相关子章节
§11.10,d 条
仅限授权人员访问系统。
应用程序用户和组的安全级别以及访问控制可在设计时或运行时进行设置。可以在用户登录期间为不同的角色和用户组设置访问凭证,以及基于对象的授权。Microsoft Windows Active Directory (AD) 用户和组可与 FactoryTalk Optix 应用程序配合使用,实现集中式用户管理。
提醒事项: 有关更多信息,请参见
§11.10 g 条
此外,应通过保护运行时、硬件和软件来管理系统访问,以防止任何意外访问。这些措施可防止对数据文件进行未经授权的访问。
请参见身份验证和相关子章节
请参见用户、组和角色和相关子章节
确保更改系统管理器默认密码以访问封闭系统。
提醒事项: 要了解如何更改系统管理器默认密码,请参见 OptixPanel Standard、OptixPanel Compact 或嵌入式边缘计算用户手册。
§11.10,e 条
使用计算机生成的、带有时间戳的安全审计跟踪,独立记录操作员输入和创建、修改或删除电子记录等操作的日期和时间。记录变更不得掩盖以前记录的信息。
此类审计跟踪文件的保留期限应至少与主体电子记录所需的期限相同,并应可供机构审查和复制。
在 FactoryTalk Optix Studio 中执行的每次输入和操作都可与多项详细信息一起跟踪,例如操作的日期和时间、登入系统并执行操作的用户的名称、操作类型以及在特定操作后与条目相关的任何先前值和更新值。
对于电子签名,还会跟踪操作员的用户名和全名。FactoryTalk Optix 签名工作流由多级签名过程组成,包括:确认、单签名和双重签名选项。此工作流允许记录用户评论。
此外,还应将运行时应用程序的自动时间同步设置为从 NTP 服务器读取时间数据,以获得准确的时间戳。
小贴士: 强烈建议定义所有审核跟踪记录的保留期。
请参见审计签名和相关子章节
请参见会话活动日志和审计和相关子章节
§11.10,f 条
可以视情况使用操作系统检查来强制执行允许的步骤和事件序列。
FactoryTalk Optix Studio 支持屏幕级和标签级安全。此外,还可以利用签名工作流库强制要求在步骤和事件排序过程中输入电子签名。
任何应用程序均可按照这样的方式开发,以支持用户启动的需要屏幕安全的操作检查。
请参见开发确认对话框和相关子章节
请参见开发特定于用户的界面和相关子章节
请参见审计签名和相关子章节
§11.10,g 条
使用授权检查有助于确保只有授权人员才能使用系统、对记录进行电子签名、访问操作或计算机系统输入或输出设备、更改记录或执行手头的操作。
FactoryTalk Optix 可实现与本地 LDAP 或 AD 控制器的交互,以实现基于域的登录。可在 FactoryTalk Optix 中使用 AD 组和用户。用户应执行任何管理程序来规范对系统的授权访问。FactoryTalk Optix Studio 和 Runtime 允许创建符合不同角色和安全级别的用户和组,并设置用于访问特定 HMI 功能的策略。可以对受限制的用户、组或角色禁用某些元素。
提醒事项: 有关详细信息,请参见
§11.10 d 条
可以将 FactoryTalk Optix Studio 中可用的许多图形对象配置为需要电子签名。以后可将其配置为要求操作员重新进行身份验证,或要求操作员和预配置的审批者组的成员重新进行身份验证以完成电子签名过程。
请参见开发确认对话框和相关子章节
请参见开发特定于用户的界面和相关子章节
请参见身份验证和相关子章节
§11.10,h 条
可以视情况使用设备(例如终端)检查确定数据输入的来源或操作指令的有效性。
FactoryTalk Optix Studio 通过签名工作流库提供操作员登录和电子签名等功能,以验证数据输入的来源。
此外,还可以使用所连接客户端的 IP 地址(使用 Web 画面引擎时)或其他本地客户端信息来捕获终端位置信息,例如,使用系统对象或 C# 代码根据所用设备运行或监视任何项目逻辑。
请参见审计签名和相关子章节
请参见开发受约束的线性仪表和相关子章节
§11.10,i 条
确定开发、维护或使用电子记录和电子签名系统的人员具有执行其指定任务的教育和培训背景及经验。
客户负责雇用和培训具有相应教育和培训背景及经验的员工来执行分配的任务。
FactoryTalk® Optix 会验证是否仅向具有适当安全权限的用户授予系统访问权限,从而帮助支持此要求。
FactoryTalk Optix Studio 允许跟踪单个审核日志,并允许为单个用户或组启用或禁用单个对象或组件。
提醒事项: 客户负责雇用员工并提供适当的培训。
请参见开发特定于用户的界面和相关子章节
§11.10,j 条
制定要求个人对依据其电子签名发起的操作负责的书面政策并予以遵守,以确定记录和签名是否伪造。
客户应实施相关政策和程序,从个人责任角度阐述电子签名的重要性,以及伪造签名对公司和个人产生的后果。
FactoryTalk® Optix 提供单级或多级签名工作流模板来更改任何单个变量或验证任何更改,从而帮助满足此要求。
小贴士: 强烈建议实施单级或多级签名工作流策略。
任何为满足此要求所需的措施均由客户实施。
§11.10,k 条
对系统文档使用适当的控制措施,包括:
§11.10,k 条,1
对系统操作和维护文档的分发、访问和使用实施充分控制。
FactoryTalk Optix Studio 提供联机支持文档。任何文档更改都记录在特定的 FT Hub 部分中。这些文档还内置于 FTOptix 桌面安装程序包中,安装后可脱机使用。
发行说明中记录了更改。
提醒事项: 请与技术支持团队联系。
§11.10,k 条,2
修订和变更控制程序,以维护审计跟踪,按时间顺序记录系统文档的开发和修改。
Rockwell Automation 可协助交付和分发正确的产品文档版本。
提醒事项: 请与技术支持团队联系。
§11.30 - 开放系统的控制
要求
应用程序说明
程序链接
使用开放系统创建、修改、维护或传输电子记录的人员,应采用专门设计的程序和控制措施,保证从创建到接收期间电子记录的真实性、完整性和机密性(如适用)。
此类程序和控制措施应酌情包括 §11.10 中确定的程序和控制措施,并在必要时包括文件加密和使用适当的数字签名标准等附加措施,以保持记录的真实性、完整性和机密性。
客户负责制定内部政策和程序,协助实施适当的控制措施,以满足开放系统相关法规要求。
用户管理功能可保证电子记录的机密性,因为它允许创建在运行系统上运行的应用程序,用户可以通过输入其用户名和密码来访问该应用程序。可以将数据库中记录的数据导出到可以签名和验证的文档中。FactoryTalk Optix Studio 允许在设计时对任何项目机密信息进行加密,并以加密模式将项目下载到目标设备,以保持其完整性和机密性。
可以在设计时和运行时将用户分配到确定的组,以授予他们在不同阶段可以获得的特定权限。
提醒事项: 客户负责制定内部政策和程序,协助实施适当的控制措施,以满足开放系统的法规要求。要访问 FactoryTalk Optix Studio,需要相应的登录名和密码,无论客户选择实施封闭系统还是开放系统。
§11.50 - 签名表现形式
要求
应用程序说明
程序链接
§11.50,a 条
签名的电子记录应包含与签名相关的信息,明确指出以下内容:
§11.50,a 条,1
签名者的印刷体姓名。
签名的电子记录通过不同的标准活动反馈进行标记。
在运行时,所有签名工作流级别都允许添加附加注释,说明有关操作的详细信息。
审核跟踪记录用户执行的操作,附带时间和日期戳、执行操作的人员的用户名、ID 和全名,以及开发期间设置的审批者 ID。
请参见审计签名和相关子章节
请参见会话活动日志和审计和相关子章节
§11.50,a 条,2
执行签名的日期和时间。
FactoryTalk Optix Studio 将在活动日志中记录与每项操作相关的日期和时间。
请参见会话活动日志和审计和相关子章节
§11.50,a 条,3
与签名相关的含义,如审阅、批准、责任或作者身份。
可以将 FactoryTalk Optix Studio 电子签名运行时对话框配置为显示和记录签名的含义。它还允许单独的执行者和批准签名,以及添加有关签名含义的任何注释。
审核跟踪记录操作员和审批者角色执行的操作。
请参见会话活动日志和审计和相关子章节
§11.50,b 条
本条 a 1、a 2 和 a 3 款中确定的项目应受到与电子记录相同的控制,并应作为任何人类可读的电子记录形式(例如电子显示或打印输出)的一部分。
可以在运行时查看活动日志,也可以打印和存储活动日志。活动日志中显示了用户名、时间、执行的操作,并可根据需要显示任何其他字段。这些字段可用于任何数据报告,包括使用第三方工具进行的数据报告。签名工作流活动记录器可以连接到数据库以进行数据报告,或者作为 HMI 事件记录器数据网格下载。
请参见会话活动日志和审计和相关子章节
请参见 报表对象
§11.70 - 签名/记录链接
要求
应用程序说明
程序链接
在电子记录上执行的电子签名和手写签名应与其各自的电子记录相关联,以确保签名不会被删除、复制或以其他方式传输(从而通过普通方式伪造电子记录)。
所有记录都自动绑定到特定的用户身份,反映每个操作的执行者。
小贴士: 存储中的数据记录应受用户名和密码的保护。
请参见会话活动日志和审计和相关子章节
提供反馈
对本文档有问题或反馈吗? 请在这里提交您的反馈