编辑安全应用项目
下列规则适用于更改安全应用程序:
- 只有经过专项培训的授权人员才能执行程序编辑。这些人员必须采取所有可用的监管手段,例如,使用控制器开关和软件密码保护。
- 当经过专门培训的授权人员执行程序编辑时,他们在修改过程中承担安全责任。这些人员还必须保证安全的应用操作。
- 在线编辑时,必须使用一种交互保护机制来保持系统的安全。
- 必须充分记录所有程序编辑,包括以下内容:
- 授权
- 影响分析
- 执行
- 测试信息
- 版本信息
- 如果只有标准例程存在在线编辑,则在返回正常操作之前,不需要验证这些编辑。
- 必须确保对标准例程所作的关于定时和标签映射的修改可以被安全应用项目接受。
- 如下所述,可以在离线或在线时编辑程序的逻辑部分。
离线编辑
当仅对标准程序单元执行离线编辑,且在下载后安全签名一致时,可恢复操作。
当对安全程序进行离线编辑时,必须在继续操作之前,根据影响分析重新验证应用项目的所有受影响的元素。
在线编辑
注意:
若在应用程序运行时对逻辑、数据或配置进行在线编辑,可能会影响系统的安全功能。在线编辑应仅在必要时执行。如果无法正确编辑,可能导致应用程序停止运行。在线编辑期间必须使用替代安全措施和限制。
标准例程中的在线编辑不受安全锁定或安全解锁状态的影响。
以下要求适用于安全逻辑的在线编辑:
- 控制器必须安全解锁且未签名。如果控制器被安全编辑锁定,必须解锁控制器以组合或取消编辑。通过组合编辑操作,可在线修改控制器程序。可取消编辑以拒绝和删除任何未组合的在线编辑。
- 对于安全例程,有未决编辑时,无法锁定控制器,但是有测试编辑时可以锁定。待定编辑是指已在 Studio 5000 Logix Designer® 应用程序中对例程进行的修改,但尚未通过接受编辑操作将该变更传送到控制器。测试编辑是指已被接受的在线编辑,该操作会使控制器执行经过编辑的新版本逻辑。未编辑的原始版本逻辑仍然在控制器存储器中,但是未执行。重要提示: 某些参数仅在第一次评估指令时进行评估。必须在更改生效之前将控制器转换为编程模式并返回运行模式。有关受影响的操作数,请参见Logix 5000®《控制器安全应用指令集参考手册》,出版号 1756-RM095。
控制器在线时无法编辑标准或用户自定义安全指令。
当对安全程序进行在线编辑时,必须在继续操作之前,根据影响分析重新验证应用项目的所有受影响的元素。
将在线编辑限制为小幅程序修改,例如设定值更改或小幅逻辑添加、删除和修改。
修改影响测试
必须规划对已验证软件的任何修改、增强或调整,并分析对功能安全系统的影响。必须依据影响分析结果,执行软件安全生命周期中所有相应阶段。若验证方案要求对修改内容执行冷态启动或热态启动测试,可通过将控制器从编程模式切换至运行模式来实现。应特别注意修改对安全任务初始化的影响,如《预扫描期间的自定义标签初始化》所述。
至少必须执行下列操作:
- 对所有受影响的软件进行功能测试。
- 记录对软件规格进行的所有修改。
- 记录所有测试结果。
有关详细信息,请参见 IEC 61508-3 第 7.8 节“软件修改”。
在线和离线编辑过程
提供反馈