Hannover Messe nu med INTERKAMA - Teknik og Viden

16
På Novo Nordisk A/S
besluttede man af sikkerhedsmæssige
hensyn at
opgradere et eksisterende
SCADA- og PLC-produktionssystem
i henhold
til direktivet 21 CFR Part
11. Samtidig ønskede
man i videst mulige
omfang at bevare det
eksisterende system.
Opgraderingen kostede
kun en brøkdel af, hvad
et nyt system ville have
kostet.
Af John Steenfeldt-Jensen
IT-SIKKERHED. I 2003
foretog Novo Nordisk A/S
en sikkerhedsmæssig
opgradering af produktionsstyringssystemet
på et
af sine fabriksanlæg, mens
dette var i drift. Systemet
omfattede to SCADA systemer
med PLC’er som
kontrollerer recept data og
batch data på to Glatt
Fluid-beds og to Glatt
Coaters i en prøvningsafdeling
for produktion af
farmaceutiske produkter
til kliniske test.
Formålet med projektet
var at implementere en
løsning som kunne udfylde
afdækkede sikkerhedsmangler
på systemet i relation
til direktiverne 21
CFR part 11 og EU GMP
anneks 11. Samtidig var
det et ønske i videst mulige
omfang at bevare det
eksisterende system. Det
var også et afgørende krav,
at systemet kunne valideres
mht. cGMP, og at projektet
blev udført i streng
overensstemmelse med
anvisningerne i GAMP4.
En brøkdel af prisen
Projektet, der blev gennemført
i samarbejde med
firmaet ZignX ApS, viser
at det er muligt at få eksisterende
udstyr og systemer
til at overholde kravene i
regulativerne 21 CFR Part
11 og Annex 11 - til en
brøkdel af, hvad et nyt system
vil koste.
Novo Nordisk A/S valgte
at anvende ZignX
teknologien for at reducere
omkostninger og systemafhængighed
for både
SCADA og PLC systemer.
Ved at opgradere det eksisterende
system og bringe
det i overensstemmelse
med regulativerne, sparede
ZignX løsningen Novo
Nordisk A/S for store
investeringer i nyt produktionsudstyr,
og samtidig fik
man et skræddersyet system
- som tilmed kan bruges
på tilsvarende udstyr
andre steder. Endvidere
blev tiden, hvor produktionsapparatet
var ude af
drift, holdt på et absolut
minimum.
Kan tilpasses alle automationsanlæg
Projektet viser, at ZignX
Medical løsningen, der er
opbygget i moduler, kan
konfigureres og tilpasses
praktisk talt ethvert automationsanlæg.
ZignX
Medical opfylder de fundamentale
GMP krav som
eksempelvis adgangskontrol,
Audit Trail og Data
Integritet, og det kan
implementeres hurtigt,
økonomisk og med høj
kundetilfredshed - dvs.
med en minimal ændring
af systembrug i forhold til
tidligere.
Det oprindelige anlæg
Det oprindelige anlæg
bestod af to SCADA syste-
januar/februar 2004
Novo Nordisk A/S:
Sikkerhedsmæssig opgradering af
fabriksanlæg - til en brøkdel af prisen
Oprindelige system ▼
mer hver med to Glatt
proces enheder (fluidbeds),
som er indbyrdes
uafhængige.
Hver Glatt proces
enhed er kontrolleret af en
PLC (Siemens S5), som
betjenes lokalt ved et
operatørpanel - af Siemens
benævnt MegaView1
(MVI). Med MVI kan alle
funktioner i procesenheden
kontrolleres og CIP
kan blive aktiveret.
De eneste funktioner,
som MVI systemet ikke
håndterer, er databehandling,
recepter og batches,
dataopsamling og rapportering
af batch data. Disse
funktioner varetages af
SCADA computeren.
SCADA er opbygget af to
enheder: en for batch- og
receptkontrol, som er
designet i MS Access, og
en procesrelateret enhed
designet i FIX32. FIX32
applikationen sender og
modtager data fra PLC’en
og optager proces data,
som kan gemmes og vises
Nye system ▼
som trend data. FIX32
brugerfladen består af et
antal skærmbilleder, som
visualiserer procesudstyret
og data, og som indeholder
et antal kontakter til at
håndtere funktioner relateret
til recept- og batchstyring
samt skift mellem
de forskellige skærmbilleder.
Kundetilpasset løsning
Formålet med opgraderingen
var, at alle funktioner
dokumenteret og valideret
til SCADA applikationer
og PLC’er skulle
forblive uændret i så stor
en udstrækning som
muligt. Det nye system
skulle indkapsle det eksisterende
system og håndtere
de fundne mangler i
relation til 21 CFR Part 11.
Eftersom der ikke fandtes
nogen standard software
eller hardware løsning for
opgradering af de eksisterende
SCADA PC’er og
PLC’er i relation til 21
CFR part 11, måtte en ny
kundetilpasset løsning
designes.
Valget af ZignX til løsning
af opgaven var ikke
tilfældigt, idet der hos
Novo Nordisk allerede var
implementeret adskillige
systemer til adgangskontrol
- fortrinsvis i computere.
ZignX foreslog en tilrettet
version af ZignX
Medical løsningen - som
ikke kun ville imødekomme
målsætningerne men
også minimerede ændringer
og påvirkninger på systemet.
En ZignX Medical
enhed er implementeret i
hver SCADA PC og i
hvert MVI panel. I MVI er
ZignX enheden IP54 sikker.
ZignX enhederne er
koblet på Novo Nordisk
Ethernet netværk og her-
▲ID-kort
▲ ZignX Medical I IP54
kabinet
ved i forbindelse med en
server, som kører applikationen
“ZignX Server” for
administrative opgaver
(bruger administration
m.v.) og har en SQL database
til sikker opbevaring
af data.
Det nye system omfatter
adgangskontrol og brugeradministration,revisionskontrol
(Audit Trail),
dataintegritet og -sikkerhed
samt rapportgenerering.
Adgangskontrol
til hver PC og PLC
ZignX Medical enheden
sikrer adgangskontrol til
hver PC og PLC i overensstemmelse
med part 11
regulativet og er kontrolleret
centralt af ZignX
Server applikationen. Efter
installationen bliver alle
hændelser registreret
validt tidsstemplet og
gemt i en sikker SQL server,
der er kontrolleret af
ZignX Server applikationen.
Adgang til systemet
kræver en PIN-kode kombineret
med et personligt,
elektronisk ID-kort
(token). I det kliniske produktionsmiljø
er det praktisk
med berøringsløse IDkort,
eftersom de kan
bæres under det kliniske
arbejdstøj, sådan at man
har nem adgang til betjening
af MVI panelet i produktionsmiljøet.
Log-in tastaturet er i
tæthedsklasse IP54 og placeret
ved MVI (PLC operatør
panelet). Når en operatør
er tæt på operatørpanelet,
dvs. inden for cirka
75 cm, bliver ID-kortet
identificeret. ZignX enheden
skriver i sit display ID
(bruger navn) for kortet og
anmoder om, at bruger
indtaster sin PIN-kode.
Såfremt koden passer til
ID-kortet, åbnes der for
betjening af tastatur og
kontakter - afhængig af
rettigheder.
Kun én operatør kan
være logget ind og således
betjene operatørpanelet.
Er operatøren ude af iden-
tifikationszonen (>75
cm.), logges han ud.
Herefter kan en anden
operatør logge sig ind. Har
en operatør tidligere været
logget ind og kommer tilbage
til identifikationszonen
inden for 5 minutter,
logges han ind uden på ny
at skulle indtaste sin PINkode.
Er operatøren logget
ind men inaktiv i længere
tid end 20 minutter, logges
vedkommende ud.
Indtastes PIN-koden forkert
tre gange i træk gøres
ID-kortet ugyldigt og
administrator modtager en
mail herom. Alle nævnte
parametre kan justeres og
tilpasses individuelt.
Fortsættes side 18