PCS 7操作員面板權(quán)限校驗常問問題

發(fā)布時間：2024-07-05

pcs 7系統(tǒng)為os站提供標(biāo)準(zhǔn)的用戶權(quán)限校驗的功能，即當(dāng)前登錄的用戶需要經(jīng)過權(quán)限校驗后，方能對其授權(quán)的區(qū)域和對象進行相應(yīng)的授權(quán)操作，否則相應(yīng)功能將對該用戶屏蔽。
在創(chuàng)建一個標(biāo)準(zhǔn)的pcs 7項目時，系統(tǒng)將會為os項目創(chuàng)建默認(rèn)的權(quán)限級別。如下圖所示為pcs 7 v7.0默認(rèn)建立的總共7個級別的權(quán)限等級。
圖 1 pcs 7 v7.0默認(rèn)權(quán)限等級 每一個權(quán)限等級所能完成的功能各不相同，并不疊加，詳細(xì)內(nèi)容請參考相應(yīng)的pcs 7 os操作員手冊中相關(guān)章節(jié)的內(nèi)容，或者查詢wincc information system中working with wincc  structure of the user administration  overview of authorizations  user hierarchies pcs 7中的介紹，此處不做詳細(xì)介紹。
除此之外，pcs 7權(quán)限校驗的另外一個特殊之處在于其“區(qū)域”的概念。如上圖所示，在authorization列右側(cè)，系統(tǒng)會根據(jù)當(dāng)前os項目的圖形樹picture tree的結(jié)構(gòu)（picture tree的結(jié)構(gòu)是根據(jù)plant hierarchy的設(shè)置創(chuàng)建的），自動的創(chuàng)建區(qū)域列。在權(quán)限分配時，權(quán)限可以基于區(qū)域的方式來設(shè)置。也就是說，可以單獨的來設(shè)置當(dāng)前用戶在不同區(qū)域下的權(quán)限。如上圖所示，當(dāng)前用戶只擁有area1的5號權(quán)限，而沒有area2的5號權(quán)限。
客戶在使用user administrator進行項目的用戶權(quán)限分配和管理過程中，常常會發(fā)現(xiàn)，按照系統(tǒng)關(guān)于權(quán)限的描述所定義的用戶，在實際使用過程中并不具有其相應(yīng)的操作功能，并不能操作其已經(jīng)授權(quán)的某一些回路，常出現(xiàn)的問題有： 1) 從其它非授權(quán)區(qū)域拷貝到授權(quán)區(qū)域的block icon，用戶不能通過面板進行正常的操作控制；
2) 在手動創(chuàng)建picture tree區(qū)域結(jié)構(gòu)的情況下，用戶不能操作其授權(quán)區(qū)域下所有的控制回路；
共同的故障特征就是：當(dāng)前登錄的用戶明顯擁有該區(qū)域的5級（process controlling）或6級（higher process controlling）權(quán)限，但在該區(qū)域的某些回路的操作面板中卻無法執(zhí)行相應(yīng)的操作（手自動切換、參數(shù)的設(shè)定等）。本文將基于該類問題，對pcs 7的面板權(quán)限校驗原理進行簡單的描述，并就經(jīng)常出現(xiàn)的這兩類問題給出解釋，在最后提出相應(yīng)的意見和建議。
1. pcs 7面板權(quán)限校驗
pcs 7標(biāo)準(zhǔn)的面板權(quán)限校驗通常分為兩個級別：第一級為普通的操作員級別，其所能進行的操作為回路的普通操作，例如，啟動/停止命令、手/自動切換命令、設(shè)定值設(shè)定等；第二級為高級的工程師級別，其所能進行的操作為回路的重要操作，例如，參數(shù)的設(shè)定、報警的抑制等（詳情請參考各功能塊的在線幫助信息中的描述）。面板操作權(quán)限的分配通過其對應(yīng)的圖標(biāo)block icon來定義并傳遞。其默認(rèn)分配的一級權(quán)限為圖1所示的5級（process controlling）權(quán)限；默認(rèn)分配的二級權(quán)限為圖1所示的6級（higher process controlling）權(quán)限。
實際操作過程中當(dāng)前登錄的用戶操作該面板時，只有在當(dāng)前用戶分配有圖1所示的相應(yīng)區(qū)域的5級權(quán)限后，方能進行該區(qū)域下回路面板的上述的普通操作員級別的操作，只有在當(dāng)前用戶分配有圖1所示的相應(yīng)區(qū)域6級權(quán)限后，方能進行該區(qū)域下回路面板的上述的高級工程師級別的操作。否則當(dāng)前登錄的操作員即便能打開該區(qū)域的回路面板，面板中所顯示的所有控件對象也均也只讀的方式，不能通過其進行任何的操作。這就是pcs 7中各回路面板的權(quán)限校驗方式。
當(dāng)然，各回路操作面板的這兩級的權(quán)限分配級別并不是固定不可修改的，可以通過其對應(yīng)的圖標(biāo)block icon的兩個屬性（第一級操作對應(yīng)的屬性為processcontrolling_backup， 第二級操作對應(yīng)的屬性為higherprocesscontrolling_backup）來指定，如下圖2所示。
圖2 回路對應(yīng)的權(quán)限分配 此外，需要注意的是，如果在pcs 7用戶管理器中不創(chuàng)建任何用戶的前提下，則上述權(quán)限校驗的過程將會自動關(guān)閉，即系統(tǒng)將不進行任何的面板操作權(quán)限的校驗。用戶可以通過面板對系統(tǒng)進行任何的操作。這種不基于用戶登錄和權(quán)限校驗的方式一般只適合于對操作權(quán)限要求不高的小型過程控制系統(tǒng)場合。而且任何人員可以對系統(tǒng)進行任何操作，是一種非常不安全的方式，一般不建議用戶使用。
2. 常見問題 2.1 不能通過面板操作從其它區(qū)域拷貝的回路面板
例如，有如下一個標(biāo)準(zhǔn)的pcs 7項目，根據(jù)工廠結(jié)構(gòu)及控制需求總共劃分有兩個區(qū)域area1和area2，在各自區(qū)域下分別插入其對應(yīng)的cfc程序和過程畫面。
> area1: cfc1 / motor1，picture1
> area2: cfc2 / motor2，picture2
圖3 工廠層級與區(qū)域?qū)?yīng)關(guān)系 編譯程序和os項目后，系統(tǒng)將會自動在用戶權(quán)限管理器中創(chuàng)建area1和area2區(qū)域列，并在相應(yīng)的區(qū)域畫面中創(chuàng)建對應(yīng)的block icon。根據(jù)用戶控制要求，創(chuàng)建如下用戶及分配權(quán)限： 1） 操作員“aaa1”具有操作“area1”下回路面板motor1的權(quán)限，分配有該區(qū)域的5級（process controlling）和6級（higher process controlling）權(quán)限，如下圖4所示；
圖4 區(qū)域area1和對應(yīng)的用戶權(quán)限設(shè)置 2） 操作員“aaa2”具有操作“area2” 下回路面板motor2的權(quán)限，分配有該區(qū)域的5級（process controlling）和6級（higher process controlling）權(quán)限，如下圖5所示。
圖5 區(qū)域area2和對應(yīng)的用戶權(quán)限設(shè)置 運行os后，登錄相應(yīng)的用戶，即可操作其授權(quán)區(qū)域的回路面板，未經(jīng)授權(quán)的區(qū)域的回路面板，即便能打開也不能進行任何操作。
在某些情況下，客戶可能根據(jù)控制需求，要把“motor2”對應(yīng)的block icon拷貝到監(jiān)控區(qū)域“area1”的相應(yīng)畫面上。但是當(dāng)操作員“aaa1”登錄后，在picture1下對“motor2”回路進行操作控制的時候，打開面板發(fā)現(xiàn)其無法完成相應(yīng)的操作。如下圖6所示：
圖6 操作員“aaa1”不能操作“motor2” 2.2 手動創(chuàng)建picture tree畫面樹而用戶不能操作其授權(quán)區(qū)域下的所有控制回路
在進行os編譯的編譯過程中，不激活如下所示的picture tree選項，編譯后，在picture tree manager中創(chuàng)建需要的畫面樹（區(qū)域結(jié)構(gòu)）。
或者是通過os編譯生成畫面樹結(jié)構(gòu)后，打開picture tree manager進行一些編輯和修改，比如給區(qū)域重新命名。
圖 7 os編譯對話框下的picture tree選項
圖 8 手動編輯picture tree 并按照標(biāo)準(zhǔn)的用戶創(chuàng)建及權(quán)限分配的方式，創(chuàng)建用戶并分配相應(yīng)的區(qū)域權(quán)限，如下圖所示：
圖9 用戶aaa1權(quán)限設(shè)置 運行os后，登錄相應(yīng)的用戶，發(fā)現(xiàn)其無法對授權(quán)的區(qū)域下所有的回路面板進行相應(yīng)的操作。
圖10 用戶aaa1不能操作motor2測量點
3. 問題分析及建議
pcs 7在進行回路面板的操作權(quán)限的校驗時，是基于區(qū)域校驗的方式，系統(tǒng)將會讀取該回路所屬的區(qū)域特性，該屬性在cfc編程和工廠層級設(shè)置時即已決定。系統(tǒng)讀取后會和用戶權(quán)限管理器中當(dāng)前用戶所分配的區(qū)域進行比較，如果匹配，則可以進行相應(yīng)操作，如果不匹配，則不能進行操作。
上述示例中motor2回路所對應(yīng)的cfc2安插在區(qū)域area2中，則該回路motor2的區(qū)域特性為area2。
在上述兩種故障情況下，當(dāng)前用戶aaa1分別分配了區(qū)域“area1”和“工藝區(qū)域1”的權(quán)限，其區(qū)域?qū)傩院蚦fc中功能塊 motor2所屬的區(qū)域?qū)傩裕╝rea2）并不一致，所以登錄用戶aaa1即便能打開該回路面板，也不能進行相應(yīng)的面板操作。這就是pcs 7下面板基于區(qū)域權(quán)限校驗的具體校驗過程。 基于該面板權(quán)限校驗的機制，為避免上述類似問題的發(fā)生，有如下幾點建議：
1）在編程之初，劃分工藝操作區(qū)域時，充分考慮回路操作的要求，使之上下對應(yīng)，減小在os上手動調(diào)整的回路圖標(biāo)的幾率；
2）os編譯時，激活picture tree選項，基于工廠層級架構(gòu)的設(shè)置自動生成picture tree結(jié)構(gòu)，不要對picture tree結(jié)構(gòu)的手動修改，特別是最頂層畫面的區(qū)域名的修改；
3）盡量避免在不同的畫面之間拷貝回路的圖標(biāo)，特別是在各個區(qū)域之間跨區(qū)域拷貝回路圖標(biāo)。