CN104345662A - 过程控制装置及系统以及其健康性判定方法 - Google Patents
过程控制装置及系统以及其健康性判定方法 Download PDFInfo
- Publication number
- CN104345662A CN104345662A CN201410344653.1A CN201410344653A CN104345662A CN 104345662 A CN104345662 A CN 104345662A CN 201410344653 A CN201410344653 A CN 201410344653A CN 104345662 A CN104345662 A CN 104345662A
- Authority
- CN
- China
- Prior art keywords
- data
- action
- controller
- operating system
- healthy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004886 process control Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims description 116
- 238000004519 manufacturing process Methods 0.000 claims abstract description 24
- 230000033001 locomotion Effects 0.000 claims abstract description 11
- 230000009471 action Effects 0.000 claims description 159
- 230000008569 process Effects 0.000 claims description 101
- 230000003862 health status Effects 0.000 claims description 80
- 230000036541 health Effects 0.000 claims description 48
- 238000001514 detection method Methods 0.000 claims description 38
- 238000012544 monitoring process Methods 0.000 claims description 29
- 238000003860 storage Methods 0.000 claims description 25
- 230000006854 communication Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 18
- 230000002452 interceptive effect Effects 0.000 abstract 1
- 230000002159 abnormal effect Effects 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 238000012937 correction Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008676 import Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 239000012530 fluid Substances 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B15/00—Systems controlled by a computer
- G05B15/02—Systems controlled by a computer electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41845—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by system universality, reconfigurability, modularity
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2609—Process control
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种过程控制装置,其作为过程控制装置的控制器而具有:超级管理程序;控制部,其在超级管理程序的基础上动作,通过与现场仪器的通信,对工业过程进行控制;动作模型定义部,其对动作模型进行定义,该动作模型是规定了从控制部的规格导入的动作规格的信息;跟踪信息收集部,其对硬件和控制部之间的数据交换的跟踪进行收集;以及健康性判定部,其对由动作模型定义部定义的动作模型和由跟踪信息收集部收集到的信息进行比较,判定控制器的动作状态是否健康。
Description
技术领域
本发明涉及过程控制装置、系统以及其健康性判定方法。
本申请主张2013年7月24日申请的日本专利申请第2013-153875的优先权,在这里引用其内容。
背景技术
当前,在车间或工厂等(以下在将它们统称的情况下,简称为“车间”)中,构筑对工业过程中的各种状态量(例如压力、温度、流量等)进行控制的过程控制系统,实现高级的自动操作。具体地说,例如,如日本国特许第4399773号公报、国际公开第2005/050336号、及美国特许申请公开第2007/0078980号说明书所示,构成过程控制系统的核心的控制器取得多个传感器(流量计或温度计等)的检测结果,并对应于该检测结果求取致动器(阀等)的操作量,对应于该操作量对致动器进行操作,从而控制上述各种状态量。
现有的车间控制系统使用各自规格的专用仪器而构筑,但近年来的车间控制系统实现开放化,大多使用规格公开的通用仪器(计算机或工作站等)而构筑。在这种使用通用仪器的车间控制系统中,与通常的信息系统同样地,例如必须进行操作系统(OS)或应用程序的功能扩展或缺陷·脆弱性的修正等软件的改善。
此外,现有的车间控制系统大多单独地构筑,但近年来的车间控制系统,为了提高车间中的生产性,与进行生产管理等其它信息系统连接机会增加。这样,在车间控制系统与其它信息系统连接的环境中,由于要考虑承受来自外部的网络攻击的风险,因此持续进行上述软件的改善(操作系统或应用程序的功能扩展或缺陷·脆弱性的修正等)是很重要的。
在车间中构筑的车间控制系统,与通常的信息系统相比,具有以下(1)、(2)所示的特殊性。
(1)牢固的安全性要求
在车间中,大多使用具有易燃性的化学材料等,因此如果因网络攻击等进行非预期的操作,则在最坏的情况下,还存在引起爆炸的可能性。因此,在车间中构筑的车间控制系统中,要求比一般的信息系统更牢固的2级安全性。所谓2级安全性,是使控制系统对外部攻击者不正常访问进行防御的外部攻击防御、和在控制系统的一部仪器被攻击者劫持的情况下,使控制系统的其它仪器对被劫持的仪器的攻击进行防御的内部攻击防御。
(2)贯穿长期的安全对策的维持
车间的寿命约为30年,是通常的信息系统的寿命的数倍。在这种车间中设计的车间控制系统,需要在与车间寿命相同程度的贯穿长期地维持安全对策。例如,直至达到车间的寿命之前,需要持续取得用于对所使用的操作系统及应用程序的脆弱性进行修正的修正补丁。
上述贯穿长期地维持安全对策并不一定能实现。例如,在支持操作系统的期间结束的情况(迎来EOS(End Of Service)的情况)下,无法取得上述修正补丁。这样,有时无法对操作系统的脆弱性进行修正。
在所使用的操作系统的支持结束的情况下,考虑只要导入新的操作系统即可。但是,为了导入新的操作系统,必须要验证是否与使用现有的操作系统的情况同样地进行动作,有时验证需要时间。此外,在新导入的操作系统的操作性变化的情况下,需要进行用户(操作员)的再教育,有时需要成本及时间。
发明内容
本发明的一个实施方式提供一种过程控制装置及系统及其健康性判定方法,其不导入对操作系统及应用程序的脆弱性进行修正的修正补丁,而可以贯穿长期地维持牢固的安全性。
本发明的一个方式的过程控制装置,可以具有:控制部,其通过硬件与现场仪器的通信,对工业过程进行控制,该现场仪器在虚拟化部的基础上进行动作,进行在车间实现的所述工业过程的控制所需的测定及操作中的至少一个;存储部,其存储表示健康状态的动作的健康动作信息;第1收集部,其收集所述硬件与所述控制部之间的数据交换的跟踪;以及判定部,其对存储于所述存储部中的所述健康动作信息、与由所述第1收集部收集到的信息进行比较,判定动作状态是否健康。在这里所谓动作状态健康,是指未发生过程控制装置从其它仪器的不正常访问或向其它仪器的不正常访问等动作的状态。
在上述过程控制装置中,所述存储部,作为所述健康动作信息,还可以存储动作模型或第1数据,该动作模型是规定了从所述控制部的规格导入的动作规格的信息,该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。
在上述过程控制装置中,所述判定部,也可以在判定动作状态不健康的情况下,将判定结果向外部通知。
在上述过程控制装置中,所述控制部也可以包含:操作系统,其在所述虚拟化部的基础上进行动作;以及应用程序,其在所述操作系统的基础上进行动作,通过与所述现场仪器的通信,对所述工业过程进行控制。
在上述过程控制装置中,也可以还具有第2收集部,其收集所述操作系统与所述应用程序之间的数据交换的跟踪。所述存储部也可以在所述第1数据的基础上,作为所述健康动作信息,还存储第2数据,该第2数据是在为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪。所述判定部也可以对所述第1数据与由所述第1收集部收集的信息进行比较,且对所述第2数据与由所述第2收集部收集的信息进行比较,判定动作状态是否健康。
在上述过程控制装置中,也可以至少所述第1收集部及所述判定部,设置在所述虚拟化部中。
在上述过程控制装置中,所述硬件也可以具有多个处理装置(多核心或多个MPU结构)。所述虚拟化部及所述控制部,也可以通过使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。
本发明第一个方式的过程控制系统,也可以具有:网络,其设置于车间中;现场仪器,其与所述网络连接,进行在所述车间中实现的工业过程的控制所需的测定及操作中的至少一个;以及过程控制装置,其进行所述工业过程的控制,与所述网络连接。该过程控制装置也可以具有:控制部,其在硬件和虚拟化部的基础上动作,通过与所述现场仪器的通信,对所述工业过程进行控制;存储部,其存储表示健康状态的动作健康动作信息;第1收集部,其对所述硬件与所述控制部之间的数据交换的跟踪进行收集;以及判定部,其对在所述存储部中存储的所述健康动作信息、与由所述第1收集部收集的信息进行比较,判定动作状态是否健康。
上述过程控制系统,也可以还具有监视装置,其与所述网络连接,接收从所述过程控制装置经由所述网络通知的表示动作状态是否健康的判定结果。所述判定部也可以在判定动作状态不健康的情况下,将判定结果向所述监视装置通知。
在上述过程控制系统中,所述存储部也可以作为所述健康动作信息,存储动作模型或第1数据,该动作模型是规定了从所述控制部的规格导入的动作规格的信息,该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。
在上述过程控制系统中,所述控制部也可以包含:操作系统,其在所述虚拟化部的基础上进行动作;以及应用程序,其在所述操作系统的基础上进行动作,通过与所述现场仪器的通信,对所述工业过程进行控制。所述过程控制装置也可以还具有第2收集部,其对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集。所述存储部也可以在所述第1数据的基础上,作为所述健康动作信息,存储第2数据,该第2数据是在为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪。所述判定部也可以对所述第1数据与由所述第1收集部收集的信息进行比较,且对所述第2数据与由所述第2收集部收集的信息进行比较,判定动作状态是否健康。
在上述过程控制系统中,也可以至少所述第1收集部及所述判定部,设置在所述虚拟化部中。此外,所述存储部也可以设置咋I所述虚拟化部中,所述第2收集部根据需要,也可以作为设置在操作系统与应用程序之间的资料库等模块。由此,可以不对已有的操作系统或应用程序进行修改而实现,因此对于在操作系统或应用程序中不存在脆弱性的修正补丁的问题也可以应对。
在上述过程控制系统中,所述硬件也可以具有多个处理装置。所述虚拟化部及所述控制部也可以通过使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。
本发明的一个方式的过程控制装置的健康性判定方法,也可以具有:对表示过程控制装置为健康状态的动作的健康动作信息进行存储,该过程控制装置具有控制部,该控制部通过硬件与现场仪器的通信,对所述工业过程进行控制,该现场仪器在虚拟化部的基础上进行动作,进行在车间实现的工业过程的控制所需的测定及操作中的至少一个;对所述硬件与所述控制部之间的数据交换的跟踪进行收集;以及对所述健康动作信息与收集到的所述硬件与所述控制部之间的数据交换的跟踪进行比较,判定动作状态是否健康。
在上述过程控制装置的健康性判定方法中,所述健康动作信息也可以包含动作模型或第1数据,该动作模型是规定了从所述控制部的规格导入的动作规格的信息,该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。
在上述过程控制装置的健康性判定方法中,所述控制部也可以包含:操作系统,其在所述虚拟化部的基础上动作;应用程序,其在所述操作系统的基础上动作,通过与所述现场仪器的通信,对所述工业过程进行控制。所述健康性判定方法也可以还包括:作为所述健康动作信息,对第2数据进行存储,该第2数据是为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪;以及对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集。所述动作状态是否健康的判定,也可以通过对所述第1数据与收集到的所述硬件和所述控制部之间的数据交换的跟踪进行比较,且对所述第2数据与收集到的所述操作系统与所述应用程序之间的数据交换的跟踪进行比较而进行。
根据本发明的一个实施方式,由第1收集部对硬件与控制部之间的数据交换的跟踪进行收集,并对存储于存储部中的健康动作信息与由第1收集部收集的信息进行比较,由判定部判定动作状态是否健康,因此可以不导入对操作系统及应用程序的脆弱性进行修正的修正补丁,而贯穿长期地维持牢固的安全性。
附图说明
图1是表示本发明的第1实施方式的过程控制系统的要部结构的模块图。
图2是表示本发明的第1实施方式中的控制器的动作模型的一例的图。
图3是表示由本发明的第1实施方式进行的过程控制系统的定周期处理的一例的图。
图4是用于说明本发明的第1实施方式的控制器的动作概要的流程图。
图5A是表示本发明的第1实施方式中由跟踪信息收集部收集的信息的一例的图。
图5B是本发明的第1实施方式中由跟踪信息收集部收集的信息的一例的图。
图6是表示本发明的第2实施方式的过程控制系统的要部结构的模块图。
图7是表示本发明的第2实施方式中的健康状态时数据的一例的图。
图8是用于说明本发明的第2实施方式的控制器的动作概要的流程图。
图9是表示本发明的第2实施方式中由跟踪信息收集部收集的信息的一例的图。
图10是表示本发明的第3实施方式的控制器的要部结构的模块图。
图11是表示由本发明的第3实施方式进行的过程控制系统的非定周期处理的一例的图。
图12是表示本发明的第3实施方式中由跟踪信息收集部收集的信息的一例的图。
图13是表示本发明的第4实施方式的控制器的概略结构的模块图。
具体实施方式
以下,参照附图,对本发明的一个实施方式的过程控制装置、系统及其健康性判定方法详细地进行说明。
〔第1实施方式〕
图1是表示本发明的第1实施方式的过程控制系统的要部结构模块图。如图1所示,该第1实施方式的过程控制系统1,具有多个现场仪器10、控制器20a、20b(过程控制装置)、及监视装置30,在监视装置30的监视下,控制器20a、20b对现场仪器10进行控制,从而对在车间(图示省略)中实现的工业过程进行控制。此外,在该第1实施方式的过程控制系统1中,可以判定控制器20a、20b的健康性(是否因来自其它仪器的不正常访问或向其它仪器的不正常访问等而在控制器20a、20b的动作中产生异常)。
现场仪器10及控制器20a、20b与现场网络N1连接,控制器20a、20b及监视装置30与控制网络N2连接。在图1中,为了图示的简化,省略了控制器20b与控制网络N2连接的图示。现场网络N1是例如在车间的现场铺设的有线网络。另一方面,控制网络N2是例如将车间的现场与监视室之间连接的有线网络。这些现场网络N1及控制网络N2也可以是无线网络。
现场仪器10是例如流量计或温度传感器等传感器仪器、流量控制阀或开闭阀等阀仪器、风扇或电动机等致动器仪器、以及其它在车间现场设置的仪器。在图1中,为了容易理解,图示了在车间设置的现场仪器10中的对流体的流量进行测定的传感器仪器11、和对流体的流量进行控制(操作)的阀仪器12。
现场仪器10进行与从控制器20a、20b经由现场网络N1发送的控制数据对应的动作。例如,在从控制器20a向传感器仪器11发送测定数据(表示流体流量的测定结果的数据)的发送要求的情况下,传感器仪器11经由现场网络N1向控制器20a发送测定数据。此外,在从控制器20a对阀仪器12发送控制数据(对开度进行控制的数据)的情况下,阀仪器12使流体所通过的阀的开度成为由控制数据指示的开度。
控制器20a、20b在监视装置30的监视下进行定周期处理。所谓定周期处理,是控制器20a、20b以一定的周期进行的处理。例如,可以举出以一定的周期对来自现场仪器10(例如传感器仪器11)的测定数据进行收集的处理、以一定周期对控制现场仪器10(例如阀仪器12)的控制数据进行运算的处理、或者以一定周期向现场仪器10(例如阀仪器12)发送控制数据的处理等。这些控制器20a、20b的功能,通过计算机读入软件,由软件和硬件资源协同动作而实现。以下,以由控制器20a实现的功能为例进行说明。
控制器20a的功能通过利用由MPU(Micro-Processing Unit:微处理器)或存储器等构成的硬件21,执行所安装的程序而实现。图1中的“RD1”~“RD3”表示NIC(Network Interface Card)或I/O(Input/Output)模块等设备(实际设备)。在控制器20a中,安装有实现超级管理程序(Hypervisor)22(虚拟化部)的程序、实现操作系统(OS)23a、23b(控制部)的程序、及实现应用程序24a、24b(控制部)的程序。
上述超级管理程序22,在硬件21的基础上作为硬件的代替而虚拟地动作,可以使在虚拟机42a的基础上动作的操作系统23a及应用程序24a、与在虚拟机42b的基础上动作的操作系统23b及应用程序24b分别独立地动作。即,通过设置超级管理程序22,可以使操作系统23a、23b及应用程序24a、24b如下所示进行动作。
·仅操作系统23a及应用程序24a的动作
·仅操作系统23b及应用程序24b的动作
·操作系统23a及应用程序24a和操作系统23b及应用程序24b的并行动作
如图1所示,超级管理程序22具有设备驱动器41、实际设备跟踪信息收集部C10、及虚拟机(VM)42a、42b。设备驱动器41在超级管理程序22的控制下,对硬件21的设备“RD1”~“RD3”进行驱动。实际设备跟踪信息收集部C10对硬件21(设备“RD1”~“RD3”)与超级管理程序22之间的数据交换进行跟踪。
虚拟机42a、42b在超级管理程序22的控制下分别使操作系统23a、23b动作。虚拟机42a具有与硬件21的设备“RD1”~“RD3”对应的虚拟设备“VD11”~“VD13”和虚拟设备跟踪信息收集部C11,虚拟机42b具有与硬件21的设备“RD1”~“RD3”对应的虚拟设备“VD21”~“VD23”和虚拟设备跟踪信息收集部C12。上述虚拟设备跟踪信息收集部C11对操作系统23a与虚拟机42a之间的数据交换进行跟踪,上述虚拟设备跟踪信息收集部C12对操作系统23b与虚拟机42b之间的数据交换进行跟踪。
此外,超级管理程序22具有动作模型定义部51(存储部)、跟踪信息收集部52(第1收集部)、及健康性判定部53(判定部)。动作模型定义部51对动作模型(健康动作信息)进行定义,该动作模型是在控制器20a为健康状态的情况(例如,没有对控制器20a的网络攻击或从控制器20a向其它仪器的不正常访问,控制器20a正常地动作的情况)下,由操作系统23a、23b或应用程序24a、24b的规格而导入的控制器20a的动作规格。即,由该动作模型规定的动作以外的动作,可以说是由来自外部的不正常访问引起的对应动作或由病毒等引起的不正常动作。该动作模型例如由控制器20a的提供者(系统厂家)生成而提供。
具体地说,由动作模型定义部51定义的动作模型,如下所示,大致分为对于定周期处理的“与处理定时相关的规格”、和“与处理内容相关的规格”。此外,后者的“与处理内容相关的规格”,区分为“控制处理规格”和“通信处理规格”。
·“与处理定时相关的规格”…如进行定周期处理的周期、和在该周期内进行的各自的处理时间(最大时间或者最小时间)等,规定了处理的定时。例如,作为定周期处理的周期而规定1[sec],作为在该周期内进行的输入处理、运算处理、输出处理、及通信处理的处理时间而分别规定100[msec]、500[msec]、50[msec]、及100[msec]。“与处理定时相关的规格”中,也可以与可容许的误差范围(例如:±10%、1.9秒~2.1秒等)对应而规定。
·“与处理内容相关的规格”…是规定在定周期处理中进行的处理的内容,包含规定了控制处理内容的“控制处理规格”、和规定了通信处理内容的“通信处理规格”。上述“控制处理规格”规定了在控制器20a中进行的控制处理的内容。例如,规定了“在输入了来自传感器仪器11的测定数据的情况下,在经过一定时间后向阀仪器12输出控制数据”这一内容。更具体地说,规定了表示数据的输入输出方向的信息、表示数据的发送源或发送目的地的信息、及表示在数据的输入输出时使用的设备(图1中的设备“RD1”~“RD3”或虚拟设备“VD11”~“VD13”,“VD21”~“VD23”)的信息。上述“通信处理规格”,规定了向控制器20a输入输出的数据的数据构造(格式)、数据量等。
图2是表示在本发明的第1实施方式的过程控制系统中设置的控制器的动作模型的一例的图。图2所示的动作模型是进行图3所示的定周期处理的情况下的控制器20a的动作模型。图3是表示本发明的第1实施方式中进行的过程控制系统的定周期处理的一例的图。如图3所示,在该第1实施方式中进行的定周期处理,是将以2秒间隔从控制器20b发送的数据由控制器20a接收,并由控制器20a以4秒间隔相对于阀仪器12及监视装置30分别发送数据。从控制器20a向监视装置30的数据发送,在从控制器20a向阀仪器12的数据发送进行后的0.5秒后进行。
图2所例示的控制器的动作模型,包含“输入输出方向”、“对象”、“使用设备”、及“周期”。上述“输入输出方向”是表示数据的输入输出方向的信息,上述“对象”是表示数据的发送接收对象的信息,上述“使用设备”是表示数据输入输出时所使用的设备的信息。此外,上述“周期”是表示定周期处理的周期的信息。
例如,图2上段的动作模型M1规定下述动作:将以2秒间隔从控制器20b发送来的数据由控制器20a的设备RD1接收(输入),并将该数据使用虚拟设备VD12及操作系统23a向应用程序24a传送。此外,图2的中段的动作模型M2规定下述动作:将按顺序使用控制器20a的虚拟设备VD11及设备RD3的数据,相对于监视装置30以4秒间隔进行发送(输出),图2的下段的动作模型M3规定下述动作:将按顺序使用控制器20a的虚拟设备VD13及设备RD2的数据,相对于阀仪器12以4秒间隔进行发送(输出)。
跟踪信息收集部52包含在超级管理程序22中直接设置的实际设备跟踪信息收集部C10、及在超级管理程序22上的虚拟机42a、42b中设置的虚拟设备跟踪信息收集部C11、C12,对在硬件21与操作系统23a、23b之间进行的动作的内容进行记录、收集,从而对硬件21与操作系统23a、23b之间的数据交换进行跟踪。例如,跟踪信息收集部52收集所访问的设备的种类、访问的种类、访问时的输入输出数据、访问时的时间戳、及访问的处理结果等的记录。在该第1实施方式中,为了容易理解而示出设置两个虚拟机的例子,但在超级管理程序22上还可以设置多个虚拟机而使多个操作系统及应用程序动作。在该情况下,在各虚拟机上设置与各虚拟机对应的虚拟设备跟踪信息收集部。
健康性判定部53对由动作模型定义部51定义的动作模型、与由跟踪信息收集部52收集的信息进行比较,判定控制器20a的健康性。具体地说,在由跟踪信息收集部52收集的信息与由动作模型定义部51定义的动作模型相符合的情况下,判定控制器20a为健康状态。与之相对,在由跟踪信息收集部52收集的信息与由动作模型定义部51定义的动作模型不相符合的情况下,判定控制器20a为不健康状态。
健康性判定部53在判定控制器20a为不健康状态的情况下,将该情况向监视装置30通知。在健康判定部53判定控制器20a为不健康状态的情况下,超级管理程序22进行下述应对:不对判定为不健康状态的原始的数据进行响应。例如,在应由控制器20a的设备RD1接收的来自控制器20b的数据由设备RD2接收到的情况下,判定为从控制器20b进行了不正常访问,将该数据废弃而不传送至操作系统23a、23b。
操作系统23a、23b分别在超级管理程序22的虚拟机42a、42b的基础上进行动作,例如分别进行为了使应用程序24a、24b动作所需的过程管理或存储器管理等各种管理。在操作系统23a中,设置用于对在虚拟机42a中设置的虚拟设备“VD11”~“VD13”进行驱动的设备驱动器D1,在操作系统23b中,设置用于对在虚拟机42b中设置的虚拟设备“VD21”~“VD23”进行驱动的设备驱动器D2。
应用程序24a、24b在操作系统23a、23b的基础上进行动作,分别进行为了进行过程控制而所需的现场仪器10的控制(例如来自传感器仪器11的测定数据等的收集或对阀仪器12的控制数据的发送等)。在该第1实施方式中,为了简化说明,主要以应用程序24a进行现场仪器10的控制为例进行说明。
监视装置30例如由计算机实现,由操作员操作而用于过程的监视。具体地说,监视装置30进行在控制器20a中动作的操作系统23a、23b或应用程序24a、24b的动作状态的监视和管理,对应于该监视等的结果(或者对应于操作员的操作指示)而对控制器20a进行控制。此外,监视装置30接收从控制器20a经由控制网络N2通知的判定结果(表示控制器20a的动作状态是否健康的判定结果)。
下面,对上述结构中的过程控制系统1的动作进行说明。图4是用于说明本发明的第1实施方式的过程控制系统中设置的控制器的动作的概要的流程图。首先,如图4所示,预先生成的动作模型(由操作系统23a、23b或应用程序24a、24b的规格而导入的控制器20a的动作规格)存储在超级管理程序22的动作模型定义部51中(步骤S11:第1步骤)。将动作模型存储在动作模型定义部51中的作业,例如在应用程序的构筑者将实现应用程序24a、24b的程序向操作系统23a、23b安装时、或者安装后的应用程序24a、24b的设定(工程)刚完成之后进行。
如果以上的作业结束,则由控制器20a的跟踪信息收集部52进行对应用程序24a动作时的硬件21和操作系统23a间的数据交换的跟踪进行收集的处理(步骤S12:第2步骤)。具体地说,由实际设备跟踪信息收集部C10对硬件21和超级管理程序22间的数据交换的跟踪进行收集,由虚拟设备跟踪信息收集部C11对操作系统23a和虚拟机42a间的数据交换的跟踪进行收集。
并且,在健康性判定部53中对由动作模型定义部51定义的动作模型、和由跟踪信息收集部52收集的信息进行比较,判定控制器20a的健康性(步骤S13:第3步骤)。具体地说,在由跟踪信息收集部52收集的信息,与由动作模型定义部51定义的动作模型相符合的情况下,由健康性判定部53判定控制器20a为健康状态。与之相对,在由跟踪信息收集部52收集的信息与由动作模型定义部51定义的动作模型不相符合情况下,由健康性判定部53判定控制器20a为不健康状态。
假设在判定控制器20a为不健康状态的情况下,由超级管理程序22将例如由控制器20a接收到的数据或者从控制器20a要发送的数据废弃。由此,由于超级管理程序22可以说起到作为防火墙的作用,可以防止接收到的不正常的数据发送至操作系统23a,以及将不正常的数据向外部发送。此外,在判定控制器20a为不健康状态的情况下,将该情况从控制器20a向监视装置30通知。之后,在控制器20a中,重复进行步骤S12、S13的处理。
图5A及5B是表示在本发明的第1实施方式中由跟踪信息收集部52收集到的信息的一例的图,图5A是表示在向控制器20a输入数据的情况下收集的信息的一例的图,图5B是表示在从控制器20a输出数据的情况下收集的信息的一例的图。如图5A及5B所示,由跟踪信息收集部52收集到的信息,在与图2所示的控制器20a的动作模型同样的表示“输入输出方向”、“对象”、及“使用设备”的信息的基础上,由表示收集信息的时间的“收集时间”(时间戳)构成。
如图3所示,在以2秒间隔将从控制器20b发送的数据由控制器20a接收的情况下,例如图5A所示的信息由跟踪信息收集部52收集。具体地说,是表示“输入输出方向”为输入,“对象”为控制器20b,“使用设备”为设备RD1→虚拟设备VD12的信息,在此基础上,收集进行跟踪的时间(“收集时间”)。在图5A所示的例子中,需要注意的一点是,“收集时间”与下一次的“收集时间”的时间差为2秒。
健康性判定部53在来自控制器20b数据由控制器20a接收的情况下,对图5A所示的信息与图2的动作模型M1进行比较,判定控制器20a与控制器20b的通信的健康性。在图5A所示的例子中,表示“输入输出方向”、“对象”、及“使用设备”的信息分别与图2的动作模型M1的“输入输出方向”、“对象”、及“使用设备”一致。此外,图5A中的“收集时间”和下一次的“收集时间”的时间差处于图2的动作模型M1的“周期”的规定的范围内。因此,可以说与动作模型相符合,在收集到图5A所例示的信息的情况下,健康性判定部53判定控制器20a与控制器20b的通信为健康。
与之相对,如图3所示,在相对于监视装置30而控制器20a以4秒间隔发送数据的情况下,例如由跟踪信息收集部52收集到图5B所示的信息。具体地说,是表示“输入输出方向”为输出、“对象”为监视装置30、“使用设备”为虚拟设备VD11→设备RD3的信息,在此基础上,收集进行跟踪的时间(“收集时间”)。在图5B所示的例子中,需要注意的一点是,“收集时间”和下一个“收集时间”的时间差为3秒或者5秒,并不是一定的。
健康性判定部53在从控制器20a向监视装置30发送数据的情况下,对图5B所示的信息与图2的动作模型M2进行比较,判定控制器20a的健康性。在图5B所示的例子中,表示“输入输出方向”、“对象”、及“使用设备”的信息,与图2的动作模型M2的“输入输出方向”、“对象”、及“使用设备”分别一致。但是,图5B中的“收集时间”与下一次的“收集时间”的时间差并不一定,处于图2的动作模型M2的“周期”的规定的范围外。因此,可以说并不与动作模型相符合,在收集到图5B所例示的信息的情况下,健康性判定部53判定控制器20a中的操作系统23a或应用程序24a的动作状态为不健康。
以上,为了简化说明,说明了由动作模型定义部51定义的动作模型由“输入输出方向”、“对象”、“使用设备”、及“周期”构成。但是,在它们的基础上,通过使用数据构造(格式)、通信定时、数据量等规定了“通信处理规格”的动作模型,可以更高精度地判定控制器20a的健康性。
如以上说明所示,该第1实施方式中,对动作模型进行定义,该动作模型是由操作系统23a、23b或应用程序24a、24b的规格而导入的控制器20a的动作规格,并对该定义模型与由跟踪信息收集部52收集的信息(硬件21和操作系统23a之间的数据交换的跟踪)进行比较,判定控制器20a动作状态是否健康。并且,基于其判定结果进行数据的废弃等处理。
此外,在该第1实施方式中,表示动态动作的动作模型,起到与表示罗列静态信息的白名单相同的作用,由于通过由跟踪信息收集部52收集的信息与动作模型是否相符合而由控制器20a判定动作状态是否健康,因此无论来自外部的不正常访问或病毒是已知的还是未知的,均可以判定控制器20a的健康性。并且,在该第1实施方式中,由于超级管理程序22可以说作为防火墙起作用,所以即使存在突破操作系统23a、23b及应用程序24a、24b的脆弱性的不正常行为,也不会产生由该脆弱性引起的问题。因此,可以不导入对操作系统及应用程序的脆弱性进行修正的修正补丁,而贯穿长期地维持牢固的安全性。
〔第2实施方式〕
图6是表示本发明的第2实施方式的过程控制系统的要部结构的模块图。在图6中,对与图1所示的结构相当的结构标注相同的标号。如图6所示,该第2实施方式的过程控制系统2,是取代图1中的控制器20a、20b而设置控制器60a、60b的结构。
这些控制器60a、60b是取代图1所示的控制器20a、20b所具有的动作模型定义部51,而设置健康状态时数据存储部61(存储部)的结构,可以不生成第1实施方式中的动作模型而判定控制器60a、60b的动作状态是否健康。以下,为了简化说明,以控制器60a为例进行说明。
设置在控制器60a中的健康状态时数据存储部61,存储在控制器60a为健康状态的情况下,在硬件21和操作系统23a、23b间的数据交换的跟踪(健康状态时数据:第1数据)。所谓控制器60a为健康状态,与第1实施方式中的控制器20a为健康状态的情况同样地,是指例如没有对控制器60a进行网络攻击或从控制器60a向其他仪器的不正常访问而正常地动作的状态。
图7是表示本发明的第2实施方式中的健康状态时数据的一例的图。图7所示的健康状态时数据是进行与图3所示的定周期处理同样动作的情况。图7所例示的健康状态时数据由“输入输出方向”、“对象”、“使用设备”、“收集时间”、及“收集位置”构成。上述“输入输出方向”、“对象”、“使用设备”、及“收集时间”与图5所示的相同。但是,图5中的“使用设备”中规定了多个设备,但图7中的“使用设备”仅规定了1个设备。上述“收集位置”是表示进行健康状态时数据的收集的位置的信息。
例如,图7中的健康状态时数据d1、d2、d7、d8是进行从应用程序24a向阀仪器12的数据的发送(输出)的情况下收集到的数据,健康状态时数据d3、d4是进行从应用程序24a向监视装置30的数据的发送(输出)的情况下收集到的数据。此外,健康状态时数据d5、d6是接受到来自控制器60b的数据的情况下收集到的数据。
具体地说,健康状态时数据d1表示“输入输出方向”为输出、“对象”为阀仪器12、“使用设备”为虚拟设备VD13的信息,是表示在时间00:00′00″00由虚拟设备跟踪信息收集部C11收集到的数据。此外,健康状态时数据d2表示“输入输出方向”为输出,“对象”为阀仪器12,“使用设备”为设备RD2的信息,是表示在时间00:00′00″30由实际设备跟踪信息收集部C10收集到的数据。
下面,对于上述结构中的过程控制系统2的动作进行说明。图8是用于说明本发明的第2实施方式的过程控制系统中设置的控制器的动作概要的流程图。首先,如图8所示,在控制器60a为健康状态时,进行取得健康状态时数据而存储于健康状态时数据存储部61中的处理(步骤S21:第1步骤)。
具体地说,在将现场网络N1及控制网络N2从可能进行网络攻击的网络分离的状态下,启动图6所示的过程控制系统2。并且,在未进行网络攻击时,将控制器60a的硬件21与操作系统23a、23b之间的数据交换的跟踪作为健康状态时数据而取得,并存储在健康状态时数据存储部61中。如果健康状态时数据的存储结束,则使所存储的健康状态时数据为读取专用,返回将现场网络N1及控制网络N2分离前的状态。
如果以上的处理结束,则与第1实施方式同样地,由控制器60a的跟踪信息收集部52进行对在应用程序24a动作时的硬件21与操作系统23a之间的数据交换的跟踪进行收集的处理(步骤S22:第2步骤)。并且,在健康性判定部53中对在健康状态时数据存储部61中存储的健康状态时数据与由跟踪信息收集部52收集的信息进行比较,判定控制器60a的健康性(步骤S23:第3步骤)。
具体地说,由健康性判定部53进行下述处理:将在健康状态时数据存储部61中存储的健康状态时数据、与由跟踪信息收集部52收集的信息按照时间序列顺序进行比较(模式匹配处理)。在它们的内容及时间序列顺序一致的情况下,由健康性判定部53判定控制器60a为健康状态。与之相对,在它们的内容及时间序列顺序中的至少一方不一致的情况下,由健康性判定部53判定控制器60a为不健康状态。在判定控制器60a为不健康状态的情况下,与第1实施方式同样地,进行将数据废弃的处理、或向监视装置30通知该情况的处理。以后,在控制器60a中,重复进行步骤S22、S23的处理。
图9是表示本发明的第2实施方式中由跟踪信息收集部收集的信息的一例的图。如图9所示,由跟踪信息收集部52收集的信息,与图7所示的健康状态时数据同样地,由“输入输出方向”、“对象”、“使用设备”、“收集时间”、及“收集位置”构成。对图7所示的健康状态时数据与图9所示的进行比较,可知与图7中的健康状态时数据d6相当的数据(应配置在图9中的数据d15与数据d16之间的数据)在图9中被丢失。因此,在收集到图9所例示的信息的情况下,健康性判定部53判定控制器60a与控制器60b的通信不健康。
如以上说明所示,在该第2实施方式中,将在控制器60a为健康状态时硬件21与操作系统23a之间的数据交换的跟踪作为健康状态时数据而取得,将该健康状态时数据与由跟踪信息收集部52收集的信息(硬件21与操作系统23a之间的数据交换的跟踪)进行比较,判定控制器60a的动作状态是否健康。并且,基于其判定结果进行数据的废弃等处理。因此,与第1实施方式同样地,不会发生由突破脆弱性这样的不正常行为引起的问题。由此,可以不导入对操作系统及应用程序的脆弱性进行修正的修正补丁,而贯穿长期地维持牢固的安全性。
此外,在该第2实施方式中,由于在控制器60a为健康状态时,将硬件21与操作系统23a之间的数据交换的跟踪作为健康状态时数据而取得,因此可以省略生成动作模型的作业。此外,由于与使用动作模型的情况相比,可以使用多种多样的模式,因此可以进行与第1实施方式相比精度更高的判定。
〔第3实施方式〕
图10是表示设置在本发明的第3实施方式的过程控制系统中的控制器的要部结构模块图。该第3实施方式的过程控制系统的整体结构,是取代图6所示的过程控制系统2所具有的控制器60a、60b,而设置控制器70a、70b(关于控制器70b省略图示)的结构。此外,在图10中,对于与图6所示的结构相当的结构标注相同的标号。
如图10所示,该第3实施方式的过程控制系统中设置控制器70a,是在图6所示的控制器60a的操作系统23a、23b中分别追加跟踪信息收集部C21、C22(第2收集部)的结构。该结构的控制器70a与图6所示的控制器60a相比,可以进行更高精度的判定,并且在进行不是定周期处理的处理(非定周期处理)的情况下,也可以判定控制器70a的判定动作状态是否健康。
跟踪信息收集部C21对操作系统23a与应用程序24a之间的数据交换的跟踪进行收集,跟踪信息收集部C22对操作系统23b与应用程序24b之间的数据交换的跟踪进行收集。在第2收集部所收集的所述数据交换的跟踪中,包含作为应用程序的处理而对操作系统进行的系统调用的信息,例如调出的系统调用的种类。由这些跟踪信息收集部C21、C22收集的数据,与由跟踪信息收集部52收集的数据一起,向由超级管理程序22的健康状态时数据存储部61或健康性判定部53输出。
具体地说,在控制器70a为健康状态的情况下由跟踪信息收集部C21、C22收集的数据,与由跟踪信息收集部52收集的数据一起,作为健康状态时数据而存储在健康状态时数据存储部61中。此外,在健康状态时数据存储在健康状态时数据存储部61中之后,由跟踪信息收集部C21、C22收集的数据与由跟踪信息收集部52收集的数据一起,在健康性判定部53中与健康状态时数据进行比较。
下面,对于由上述结构的控制器70a进行非定周期处理的情况下的动作进行说明。由控制器70a进行定周期处理的情况下的动作,与由控制器70a进行非定周期处理的情况下的动作基本上相同。图11是表示由本发明的第3实施方式进行的过程控制系统的非定周期处理的一例的图。图11所例示的非定周期处理,是在监视装置30监视工厂的过程控制时,作为收集用于进行监视显示的信息(监视显示信息)的动作而进行的。
具体地说,如果从监视装置30向控制器70a非同步地发送监视显示信息的取得要求(步骤S31),则在控制器70a中,进行接收该监视显示信息的取得要求的接收处理(步骤S32)、生成监视显示信息的生成处理(步骤S33),在所述生成处理中,进行从传感器仪器11取得测定数据的取得处理(步骤S34)、及发送监视显示信息的发送处理(步骤S35)。
在上述接收处理(步骤S32)中,由硬件21接收而经由设备RD3及虚拟设备VD11的监视显示信息的取得要求,通过插入处理而从操作系统23a向应用程序24a通知。为了由应用程序24a接收通知,例如使用插入处理器或信号图像。
接收到通知的应用程序24a使用(例如IPC(Inter ProcessCommunication)的)系统调用,对与上述取得要求对应的上述生成处理(步骤S33)进行唤醒(wakeup)。在生成处理中,使用在上述取得处理(步骤S34)中取得的测定数据,由应用程序24a生成监视显示信息。所生成的监视显示信息利用上述发送处理(步骤S35)向控制器70a的外部输出。
在上述取得处理(步骤S34)中应用程序24a调出系统调用,将数据读出要求(read)向操作系统23a输出。基于该数据读出要求,经由虚拟设备VD12及设备RD2从传感器仪器11取得测定数据。在上述发送处理(步骤S35)中,应用程序24a调出系统调用,将数据写入要求(write)向操作系统23a输出。基于该数据写入要求,经由虚拟设备VD11及设备RD3输出监视显示信息。从控制器70a输出的监视显示信息经由控制网络N2向监视装置30发送(步骤S36)。
图12是表示本发明的第3实施方式中由跟踪信息收集部收集的信息的一例的图。图12所示的信息,是在进行图11所示的非同步处理时,由跟踪信息收集部52及跟踪信息收集部C21收集的信息。在该信息中,与所使用的设备一起作为所使用的系统调用,记录有系统调用的种类、和系统调用所作用的对象。如果收集这种信息,则与第2实施方式同样地,在健康性判定部53中,与在健康状态时数据存储部61中存储的健康状态时数据进行比较,判定控制器70a是否健康。在判定控制器70a为不健康状态的情况下,与第2实施方式同样地进行将数据废弃的处理,或向监视装置30通知该情况的处理。
如以上说明所示,在该第3实施方式中,在控制器70a为健康状态时,将硬件21与操作系统23a之间的数据交换的跟踪、和操作系统23a与应用程序24a之间的数据交换的跟踪,作为健康状态时数据而取得。并且,将健康状态时数据与由跟踪信息收集部52收集的信息及由跟踪信息收集部C21收集的信息进行比较,判定控制器70a的动作状态是否健康。并且,基于其判定结果进行数据的废弃等处理。因此,与第2实施方式同样地,不导入对操作系统及应用程序的脆弱性进行修正的修正补丁,也可以贯穿长期地维持牢固的安全性。
此外,在该第3实施方式中,在硬件21和操作系统23a之间的数据交换的跟踪的基础上,将在操作系统23a与应用程序24a之间的数据交换的跟踪作为健康状态时数据。因此,可以通过非同步处理的流程,使操作系统23a与应用程序24a之间的数据交换、和硬件21与操作系统23a之间的数据交换相关联。通过该关联后的数据是否与健康状态时等同,可以确认应用程序24a或操作系统23a的非同步处理的健康性。因此,在非定周期处理中,也可以判定控制器70a的动作状态的健康性。
在该第3实施方式中,为了容易理解,以第2收集部对调出的系统调用的种类进行收集进行了说明,但作为系统调用的信息,也可以与系统调用的调出中使用的参数的种类或值、系统调用的返回值等信息对应而收集,并用于健康性的判定。
此外,在该第3实施方式中,将在应用程序与操作系统之间对信息进行发送/接收的定时作为系统调用。应用程序为了执行自身的处理,必须进行系统调用,因此通过将定时作为系统调用,从而起到不需要用于使应用程序与跟踪对应的特别的改造或功能追加的效果。
此外,在该第3实施方式中,第2收集部追加在操作系统中,但在不希望对操作系统及应用程序进行修改的情况下,也可以安装在操作系统和应用程序之间。例如,第2收集部也可以与系统调用相同地具有接口,作为进行向系统调用的中继的资料库而安装。在任一种安装的情况下,均通过追加应用程序的动作跟踪,从而详细地进行健康性的判定。例如,在判断控制器为不健康状态的情况下,可以判定不健康状态是操作系统还是应用程序。
在上述第2、第3实施方式中,在健康状态时数据存储部61中存储健康状态时数据时,相对于健康状态时数据的“收集时间”,也可以另外定义可视为一致的时间的误差范围(例:±10%、1.9~2.1秒等)后进行存储。
〔第4实施方式〕
图13是表示在本发明的第4实施方式的过程控制系统中设置的控制器的概略结构的模块图。该第4实施方式的过程控制系统的整体结构,是取代图1所示的过程控制系统1所具有的控制器20a、20b而设置控制器80a、80b(关于控制器80b省略图示)的结构。此外,在图13中,对于与图1所示的结构相当的结构标注相同的标号。
如图13所示,在该第4实施方式的过程控制系统中设置的控制器80a,是使图1所示的控制器20a的硬件21为具有多个MPU81~83(处理装置)的硬件21。MPU81~83表示处理器·核心,可以使作为各不相同的程序包而安装的实施方式(单核心),也可以是全部作为1个程序包而安装的实施方式(多核心)。
该第4实施方式中的控制器80a的功能,通过使实现各功能的程序由MPU81~83中的某一个执行而实现。例如,超级管理程序22(包含动作模型定义部51、跟踪信息收集部52、及健康性判定部53)通过由MPU81执行实现它们的程序而实现。此外,操作系统23a及应用程序24a,通过由MPU82执行实现它们的程序而实现,操作系统23b及应用程序24b,通过由MPU83执行实现它们的程序而实现。执行程序的MPU81~83的分配例如由超级管理程序22进行。
这样,通过由多个MPU81~83执行实现控制器80a的各功能的程序,从而即使出现对控制器80a的DoS(Denial of Services)攻击,也可以防止发生控制器80a的性能恶化或服务停止的情况。即,相对于DoS攻击,使用MPU81而超级管理程序将不正常数据包废弃,不会增加进行应用程序24a等的处理的MPU82、83的负荷,因此不会产生控制器80a的性能恶化等。
上述控制器80a,可以使图1所示的第1实施方式中的控制器20a的硬件21为具有多个MPU81~83的硬件21。同样地,也可以使图6所示的第2实施方式中的控制器60a或图10所示的第3实施方式中的控制器70a的硬件21为具有多个MPU81~83的硬件21。
以上,对本发明的几个实施方式的过程控制装置及系统及其健康性判定方法进行了说明,但本发明并不限定于上述实施方式,在本发明的范围内可以自由变更。例如,在上述实施方式中,以可以使多个操作系统或应用程序动作的虚拟环境由超级管理程序22在控制器20a、60a、70a、80a中实现的例子进行了说明,但实现这种虚拟环境的方法不限于超级管理程序22。例如,也可以使上述的虚拟环境由硬件实现。
此外,在上述实施方式中,以现场仪器10可经由现场网络N1进行数字通信为例进行了说明,但也可以使用进行模拟信号的输入输出的现场仪器。使用这种现场仪器的情况下,将对由现场仪器输入输出的信号(模拟信号)与经由现场网络N1通信的信号(数字信号)进行变换的IO结点与现场网络N1连接,只要将该IO结点与现场仪器通过模拟传送路径(例如,“4~20mA”信号的传送中使用的传送线)连接即可。
此外,在上述实施方式中,对于动作模型定义部51(健康状态时数据存储部61)、跟踪信息收集部52、及健康性判定部53设置在超级管理程序22中的结构进行了说明。但是,它们也可以针对每个虚拟机42a、42b而设置。此外,动作模型定义部51(健康状态时数据存储部61)也可以设置在例如硬盘的记录装置或半导体存储器等存储装置中。
此外,在上述第2、第3实施方式中,对于在控制器60a,70a为健康状态的情况下预先取得健康状态时数据的例子进行了说明。但是,也可以在取得健康状态时数据后,也另外取得(追加取得)健康状态时数据。这样,即使因系统结构或应用程序的设定的变更,在由控制器60a,70a执行的应用程序24a、24b的动作变化的情况下,也可以无障碍地进行健康性的判定。
此外,在上述第1、第2、第3实施方式中,为了容易理解,使虚拟设备VD11~VD13与实际设备RD1~RD3、虚拟设备VD21~VD23与实际设备RD1~RD3分别一一对应而进行说明,但根据虚拟设备的设计,也考虑使多个实际设备与一个虚拟设备对应的结构,或者使一个实际设备与多个虚拟设备对应的结构。在这种结构中,也可以收集与虚拟设备、实际设备对应的跟踪信息,与上述第1、第2、第3实施方式同样地,可以确认控制器的动作状态的健康性。
Claims (15)
1.一种过程控制装置,其具有:
控制部,其通过硬件与现场仪器的通信,对工业过程进行控制,该现场仪器在虚拟化部的基础上进行动作,进行在车间实现的所述工业过程的控制所需的测定及操作中的至少一个;
存储部,其存储表示健康状态的动作的健康动作信息;
第1收集部,其收集所述硬件与所述控制部之间的数据交换的跟踪;以及
判定部,其对存储于所述存储部中的所述健康动作信息、与由所述第1收集部收集到的信息进行比较,判定动作状态是否健康。
2.根据权利要求1所述的过程控制装置,
所述存储部,作为所述健康动作信息,存储动作模型或第1数据,该动作模型是规定了从所述控制部的规格导入的动作规格的信息,该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。
3.根据权利要求2所述的过程控制装置,
所述判定部,在判定动作状态不健康的情况下,将判定结果向外部通知。
4.根据权利要求2或3所述的过程控制装置,
所述控制部包含:
操作系统,其在所述虚拟化部的基础上进行动作;以及
应用程序,其在所述操作系统的基础上进行动作,通过与所述现场仪器的通信,对所述工业过程进行控制。
5.根据权利要求4所述的过程控制装置,
还具有第2收集部,其收集所述操作系统与所述应用程序之间的数据交换的跟踪,
所述存储部在所述第1数据的基础上,作为所述健康动作信息,还存储第2数据,该第2数据是在为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪,
所述判定部对所述第1数据与由所述第1收集部收集的信息进行比较,且对所述第2数据与由所述第2收集部收集的信息进行比较,判定动作状态是否健康。
6.根据权利要求1至3中任意一项所述的过程控制装置,
至少所述第1收集部及所述判定部,设置在所述虚拟化部中。
7.根据权利要求1至3中任意一项所述的过程控制装置,
所述硬件具有多个处理装置,
所述虚拟化部及所述控制部,通过使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。
8.一种过程控制系统,其具有:
网络,其设置于车间中;
现场仪器,其与所述网络连接,进行在所述车间中实现的工业过程的控制所需的测定及操作中的至少一个;以及
过程控制装置,其进行所述工业过程的控制,与所述网络连接,
该过程控制装置具有:
控制部,其在硬件和虚拟化部的基础上动作,通过与所述现场仪器的通信,对所述工业过程进行控制;
存储部,其存储表示健康状态的动作健康动作信息;
第1收集部,其对所述硬件与所述控制部之间的数据交换的跟踪进行收集;以及
判定部,其对在所述存储部中存储的所述健康动作信息、与由所述第1收集部收集的信息进行比较,判定动作状态是否健康。
9.根据权利要求8所述的过程控制系统,
还具有监视装置,其与所述网络连接,接收从所述过程控制装置经由所述网络通知的表示动作状态是否健康的判定结果,
所述判定部,在判定动作状态不健康的情况下,将判定结果向所述监视装置通知。
10.根据权利要求8所述的过程控制系统,
所述存储部,作为所述健康动作信息,存储动作模型或第1数据,该动作模型是规定了从所述控制部的规格导入的动作规格的信息,该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。
11.根据权利要求10所述的过程控制系统,
所述控制部包含:
操作系统,其在所述虚拟化部的基础上进行动作;以及
应用程序,其在所述操作系统的基础上进行动作,通过与所述现场仪器的通信,对所述工业过程进行控制,
所述过程控制装置还具有第2收集部,其对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集,
所述存储部在所述第1数据的基础上,作为所述健康动作信息,存储第2数据,该第2数据是在为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪,
所述判定部对所述第1数据与由所述第1收集部收集的信息进行比较,且对所述第2数据与由所述第2收集部收集的信息进行比较,判定动作状态是否健康。
12.根据权利要求8所述的过程控制系统,
所述硬件具有多个处理装置,
所述虚拟化部及所述控制部,通过使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。
13.一种过程控制装置的健康性判定方法,其具有:
对表示过程控制装置为健康状态的动作的健康动作信息进行存储,该过程控制装置具有控制部,该控制部通过硬件与现场仪器的通信,对工业过程进行控制,该现场仪器在虚拟化部的基础上进行动作,进行在车间实现的所述工业过程的控制所需的测定及操作中的至少一个;
对所述硬件与所述控制部之间的数据交换的跟踪进行收集;以及
对所述健康动作信息与收集到的所述硬件与所述控制部之间的数据交换的跟踪进行比较,判定动作状态是否健康。
14.根据权利要求13所述的过程控制装置的健康性判定方法,
所述健康动作信息包含动作模型或第1数据,该动作模型是规定了从所述控制部的规格导入的动作规格的信息,该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。
15.根据权利要求14所述的过程控制装置的健康性判定方法,
所述控制部包含:
操作系统,其在所述虚拟化部的基础上动作;以及
应用程序,其在所述操作系统的基础上动作,通过与所述现场仪器的通信,对所述工业过程进行控制,
所述健康性判定方法还包括:
作为所述健康动作信息,对第2数据进行存储,该第2数据是为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪;以及
对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集,
所述动作状态是否健康的判定,通过对所述第1数据与收集到的所述硬件和所述控制部之间的数据交换的跟踪进行比较,且对所述第2数据与收集到的所述操作系统与所述应用程序之间的数据交换的跟踪进行比较而进行。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013153875A JP5895906B2 (ja) | 2013-07-24 | 2013-07-24 | プロセス制御装置及びシステム並びにその健全性判定方法 |
| JP2013-153875 | 2013-07-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104345662A true CN104345662A (zh) | 2015-02-11 |
| CN104345662B CN104345662B (zh) | 2017-05-10 |
Family
ID=51210356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410344653.1A Active CN104345662B (zh) | 2013-07-24 | 2014-07-18 | 过程控制装置及系统以及其健康性判定方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9891603B2 (zh) |
| EP (1) | EP2829931B1 (zh) |
| JP (1) | JP5895906B2 (zh) |
| CN (1) | CN104345662B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106227158A (zh) * | 2015-06-02 | 2016-12-14 | 洛克威尔自动控制技术股份有限公司 | 用于工业控制基础设施的快速配置安防系统 |
| CN107615199A (zh) * | 2015-06-08 | 2018-01-19 | 三菱电机株式会社 | 系统设计辅助装置、方法及程序 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9904785B2 (en) | 2015-06-02 | 2018-02-27 | Rockwell Automation Technologies, Inc. | Active response security system for industrial control infrastructure |
| US9817391B2 (en) * | 2015-06-02 | 2017-11-14 | Rockwell Automation Technologies, Inc. | Security system for industrial control infrastructure |
| US10042354B2 (en) | 2015-06-02 | 2018-08-07 | Rockwell Automation Technologies, Inc. | Security system for industrial control infrastructure using dynamic signatures |
| JP6613200B2 (ja) | 2016-04-18 | 2019-11-27 | ファナック株式会社 | 生産管理装置からの指令に応じて製造セルを制御するセル制御装置 |
| DE112018002293T5 (de) | 2017-05-01 | 2020-02-27 | Fisher-Rosemount Systems, Inc. | Industrielles steuerungssystem mit offener architektur |
| KR102211876B1 (ko) * | 2020-07-14 | 2021-02-03 | 강재종 | 기존 필드버스 기반 자동제어 시스템의 사물인터넷 연동 장치 및 방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1790198A (zh) * | 2004-12-14 | 2006-06-21 | 横河电机株式会社 | 过程控制方法和过程控制系统 |
| CN101111822A (zh) * | 2005-01-28 | 2008-01-23 | 横河电机株式会社 | 信息处理设备和信息处理方法 |
| CN101452406A (zh) * | 2008-12-23 | 2009-06-10 | 北京航空航天大学 | 一种对操作系统透明的机群负载平衡方法 |
| US20100004761A1 (en) * | 2008-07-02 | 2010-01-07 | Saudi Arabian Oil Company | Distributed and adaptive smart logic with multi-communication apparatus for reliable safety system shutdown |
| CN102118772A (zh) * | 2010-01-06 | 2011-07-06 | 横河电机株式会社 | 控制网络管理系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4399773B2 (ja) | 2003-11-19 | 2010-01-20 | 横河電機株式会社 | 制御システム |
| JP2008129714A (ja) | 2006-11-17 | 2008-06-05 | Univ Of Tsukuba | 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法 |
| JP4871174B2 (ja) | 2007-03-09 | 2012-02-08 | 株式会社日立製作所 | 仮想計算機システム |
| WO2008149412A1 (ja) | 2007-06-04 | 2008-12-11 | Fujitsu Limited | 情報処理装置、情報処理装置の制御方法及びコンピュータプログラム |
| JP2009110166A (ja) | 2007-10-29 | 2009-05-21 | Mitsubishi Electric Corp | セキュリティ攻撃障害防止方法 |
| JP2009110156A (ja) * | 2007-10-29 | 2009-05-21 | Sharp Corp | ログ出力装置及びログ出力プログラム |
| US9189308B2 (en) | 2010-12-27 | 2015-11-17 | Microsoft Technology Licensing, Llc | Predicting, diagnosing, and recovering from application failures based on resource access patterns |
| JP5731223B2 (ja) * | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
| JP5689333B2 (ja) | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
| JP5733515B2 (ja) * | 2011-04-26 | 2015-06-10 | 横河電機株式会社 | Ras機能を備える組み込み機器 |
| EP2708963A1 (en) * | 2012-09-12 | 2014-03-19 | Alstom Technology Ltd. | Devices and methods for diagnosis of industrial electronic based products |
| US9344349B2 (en) * | 2013-07-12 | 2016-05-17 | Nicira, Inc. | Tracing network packets by a cluster of network controllers |
-
2013
- 2013-07-24 JP JP2013153875A patent/JP5895906B2/ja active Active
-
2014
- 2014-07-18 CN CN201410344653.1A patent/CN104345662B/zh active Active
- 2014-07-21 US US14/336,795 patent/US9891603B2/en active Active
- 2014-07-21 EP EP14177779.7A patent/EP2829931B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1790198A (zh) * | 2004-12-14 | 2006-06-21 | 横河电机株式会社 | 过程控制方法和过程控制系统 |
| CN101111822A (zh) * | 2005-01-28 | 2008-01-23 | 横河电机株式会社 | 信息处理设备和信息处理方法 |
| US20100004761A1 (en) * | 2008-07-02 | 2010-01-07 | Saudi Arabian Oil Company | Distributed and adaptive smart logic with multi-communication apparatus for reliable safety system shutdown |
| CN101452406A (zh) * | 2008-12-23 | 2009-06-10 | 北京航空航天大学 | 一种对操作系统透明的机群负载平衡方法 |
| CN102118772A (zh) * | 2010-01-06 | 2011-07-06 | 横河电机株式会社 | 控制网络管理系统 |
Non-Patent Citations (1)
| Title |
|---|
| VLADIMIR ZABOROVSKY ET AL: ""dynamic access control in cloud services"", 《2011 IEEE INTERNATIONAL CONFERENCE》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106227158A (zh) * | 2015-06-02 | 2016-12-14 | 洛克威尔自动控制技术股份有限公司 | 用于工业控制基础设施的快速配置安防系统 |
| CN107615199A (zh) * | 2015-06-08 | 2018-01-19 | 三菱电机株式会社 | 系统设计辅助装置、方法及程序 |
| CN107615199B (zh) * | 2015-06-08 | 2019-04-26 | 三菱电机株式会社 | 系统设计辅助装置、方法及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2829931A2 (en) | 2015-01-28 |
| JP5895906B2 (ja) | 2016-03-30 |
| CN104345662B (zh) | 2017-05-10 |
| EP2829931B1 (en) | 2017-05-17 |
| JP2015026129A (ja) | 2015-02-05 |
| US20150032229A1 (en) | 2015-01-29 |
| EP2829931A3 (en) | 2015-06-10 |
| US9891603B2 (en) | 2018-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104345662A (zh) | 过程控制装置及系统以及其健康性判定方法 | |
| US11435728B2 (en) | I/O virtualization for commissioning | |
| US10591886B2 (en) | Control system, control program, and control method for device switching responsive to abnormality detection | |
| US20190278247A1 (en) | Control system and control method | |
| CN104991528B (zh) | Dcs信息安全控制方法及控制站 | |
| CN106054822B (zh) | 规划和工程设计方法,软件工具和模拟工具 | |
| CN105204420A (zh) | 抽水蓄能机组运行流程及故障查找培训系统及方法 | |
| US20220011753A1 (en) | Generating and distributing configuration data structures for control systems | |
| US20040153176A1 (en) | Fieldbus device | |
| Haller et al. | On the practical integration of anomaly detection techniques in industrial control applications | |
| CN105179156A (zh) | 抽水蓄能机组控制程序离线测试系统及方法 | |
| WO2018154884A1 (ja) | 制御システム、制御装置および制御プログラム | |
| CN112241533A (zh) | 为工业化边界设备提供应用容器的安全信息的方法和系统 | |
| CN204961152U (zh) | 抽水蓄能机组控制程序离线测试系统 | |
| CN100549882C (zh) | 编制和/或执行用于工业自动化系统的程序的装置和方法 | |
| US20080010315A1 (en) | Platform management of high-availability computer systems | |
| JP6176341B2 (ja) | プロセス制御装置及びシステム並びにその健全性判定方法 | |
| US20100180157A1 (en) | Remote hardware inspection system and method | |
| CN111078444B (zh) | 用于故障行为的安全分析的系统和方法 | |
| CN110399301A (zh) | 一种代码测试方法、装置、设备及可读存储介质 | |
| Alkan et al. | Assessing complexity of component-based control architectures used in modular automation systems | |
| CN103502900B (zh) | 使用opc ua自动生成过程图形 | |
| CN205068102U (zh) | 抽水蓄能机组运行流程及故障查找培训系统 | |
| Basile et al. | Modelling automation systems by UML and Petri Nets | |
| KR102594567B1 (ko) | Cps기반 3d 사이버 팩토리들의 웹 네트워크 솔루션 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |