-
Technisches Gebiet
-
Die
vorliegende Erfindung betrifft ein Anlagensteuersystem einschließlich
einer Einstellvorrichtung zum Ändern des Sicherheitszustands
einer Steuervorrichtung, wobei die Steuervorrichtung einen Sicherheitsverwaltungsteil
zum Annehmen einer Sicherheitsstufen-Änderungsanforderung
von der Einstellvorrichtung und zum Ändern der Sicherheitsstufe
unter Bezugnahme auf ein gespeichertes Kennwort umfasst.
-
Stand der Technik
-
Es
ist ein Anlagensteuersystem bekannt, das eine Sicherheitssteuervorrichtung
zum Durchführen einer Stoppoperation einer Anlage in Reaktion
auf ein Anormalitätssignal aus der Anlage bei Auftreten
einer Anormalität für den sicheren Betrieb der
Anlage umfasst.
-
5 ist
ein Funktionsblockdiagramm, das ein Beispiel eines Anlagensteuersystems
zeigt, in dem eine Sicherheitssteuervorrichtung mit einer verteilten
Steuervorrichtung kombiniert ist. Das Bezugszeichen 1 gibt
eine Anlage als gesteuertes Objekt an, und das Bezugszeichen 2 gibt
eine Steuervorrichtung der verteilten Steuervorrichtung an, die
eine Steuerung einer Feldeinrichtung der Anlage 1 durchführt.
-
Die
Steuervorrichtung 2 kommuniziert über einen Steuerbus 3 mit
einer Host-Betriebsüberwachungsvorrichtung 4.
Die Betriebsüberwachungsvorrichtung 4 ist mit
einem globalen Kommunikationsbus 5 verbunden und kann über
den globalen Kommunikationsbus 5 mit einem externen PC 6 kommunizieren.
-
Das
Bezugszeichen 10 gibt eine Einstellvorrichtung an, die
Definitionsinformationen (Sicherheitsstufe) zu einem System ändern
kann und mit dem Steuerbus 3 verbunden ist. Die Einstellvorrichtung 10 ist
auch mit dem globalen Kommunikationsbus 5 verbunden und
kann mit der Betriebsüberwachungsvorrichtung 4 und
dem externen PC 6 kommunizieren.
-
Das
Bezugszeichen 20 gibt eine Sicherheitssteuervorrichtung
an, die mit dem Steuerbus 3 verbunden ist. Die Sicherheitssteuervorrichtung 20 kommuniziert über
den Steuerbus 3 mit der Einstellvorrichtung 10 und
mit der Feldeinrichtung der Anlage 1 und führt
eine Abschaltverarbeitung zum Durchführen einer Stoppoperation
der Anlage in Reaktion auf ein Anormalitätssignal aus der
Anlage 1 durch.
-
In
der Sicherheitssteuervorrichtung 20 gibt das Bezugszeichen 21 einen
Kommunikationsschnittstellenteil an, an dem eine Datenänderungsanforderung
und eine Sicherheitsänderungsanforderung aus der Einstellvorrichtung 10 angenommen werden
und die Sicherheitsänderungsanforderung zu einem Sicherheitsverwaltungsteil 22 geleitet
wird und die Datenänderungsanforderung zu einer Anforderungsannahmefunktion 23 geleitet
wird.
-
Das
Bezugszeichen 24 gibt einen Sicherheitsstufen-Speicherteil
an, der den aktuellen Sicherheitszustand (Sicherheitsstufe) der
Sicherheitssteuervorrichtung 20 speichert. Der Umfang,
in dem eine Datenbank oder ein weiter unten beschriebenes Programm
umgeschrieben werden kann, hängt von der Sicherheitsstufe
ab.
-
Nur
der Sicherheitsverwaltungsteil 22 ist autorisiert, den
in dem Sicherheitsstufen-Speicherteil 24 gespeicherten
Sicherheitszustand zu ändern. Der Sicherheitsverwaltungsteil 22 nimmt
auf den Inhalt eines Kennwort-Speicherteils 25 Bezug, wenn
er eine Sicherheitsänderungsanforderung von der Einstellvorrichtung 10 erhält
und der Sicherheitszustand des Sicherheitsstufen-Speicherteils 24 geändert
werden soll.
-
Die
Anforderungsannahmefunktion 23 umfasst eine Gruppe von
Funktionen zum Annehmen von verschiedenen Änderungsanforderungen
in Bezug auf die Sicherheitssteuervorrichtung 20 und nimmt
auf die in dem Sicherheitsstufen-Speicherteil 24 gespeicherten
aktuellen Sicherheitsinformationen Bezug, wenn eine Annahmeverarbeitung
durchgeführt wird.
-
Jede
der Anforderungsannahmefunktionen 23 entscheidet auf der
Basis der Bezugnahme auf die Sicherheitsinformationen, ob eine Änderungsanforderung
an eine Anforderungsverarbeitungsfunktion 26 weitergeleitet
wird oder nicht. Die Anforderungsverarbeitungsfunktion 26 nimmt
auf ein Programm 27 oder eine Datenbank 28 Bezug
oder setzt diese auf der Basis der von der Anforderungsannahmefunktion 23 erhaltenen Änderungsanforderung.
-
Ein
Benutzer führt zuerst eine Sicherheitsänderungsbetätigung
an der Einstellvorrichtung 10 durch, wenn die Daten der
Datenbank 28 oder der Inhalt des Programms 27 der
Sicherheitssteuervorrichtung 20 geändert werden
sollen. Um den Sicherheitszustand der Sicherheiststeuervorrichtung 20 von
der Einstellvorrichtung 10 aus zu ändern, ist
die Eingabe eines Kennworts in Entsprechung zu dem Sicherheitszustand
erforderlich.
-
Die
Sicherheitssteuervorrichtung 20 kann den Sicherheitszustand
nur dann ändern, wenn das richtige Kennwort an der Einstellvorrichtung 10 eingegeben
wird. Das heißt, die Sicherheitssteuervorrichtung 20 entscheidet
bei Eingabe des korrekten Kennworts, dass der Benutzer berechtigt
ist, Änderungen vorzunehmen.
-
Eine
Prozesssteuervorrichtung mit einer Sicherheitsverwaltungsfunktion
wird in der Patentreferenz 1 beschrieben.
- Siehe die Patentreferenz
1: JP-A-2005-301935
-
Beschreibung der Erfindung
-
Problemstellung der Erfindung
-
In
dem Anlagensteuersystem aus dem Stand der Technik muss lediglich
ein Kennwort über die Einstellvorrichtung 10 eingegeben
werden, um die Sicherheitsstufe der Sicherheitssteuervorrichtung 20 ändern
zu können. Im Vergleich zu einem Schaltmechanismus mit
einem Hardware-Schalter wird also ein Ausfall verhindert, wobei
auch eine Bedienung von entfernten Standorten aus möglich
ist und damit das System einfach durch einen Benutzer gehandhabt
werden kann.
-
Sofern
das Kennwort bekannt ist, kann jedoch jeder beliebige Benutzer eine Änderungsoperation
durchführen, wobei die Möglichkeit besteht, dass eine
Sicherheitsstufe durch eine böswillige Person herabgesetzt
wird, um ein Programm oder eine Datenbank zu zerstören.
-
Die
vorliegende Erfindung nimmt auf das vorstehend geschilderte Problem
Bezug und gibt ein Anlagensteuersystem an, das eine Sicherheitsstufe schützt,
sodass die Sicherheitsstufe nicht zu unerwünschten Zeiten
geändert werden kann.
-
Problemlösung
-
Ein
Anlagensteuersystem umfasst wenigstens eine Steuervorrichtung und
eine Einstellvorrichtung zum Ändern des Sicherheitszustands
der Steuervorrichtung. Die Steuervorrichtung umfasst: einen Sicherheitsverwaltungsteil zum
Annehmen einer Sicherheitsstufen-Änderungsanforderung aus
der Einstellvorrichtung und zum Ändern einer Sicherheitsstufe
der Steuervorrichtung unter Bezugnahme auf ein durch die Steuervorrichtung
gespeichertes Kennwort; und einen Änderungserlaubnisteil
zum Erlauben einer Änderung der Sicherheitsstufe durch
den Sicherheitsverwaltungsteil.
-
In
dem Anlagensteuersystem umfasst die Steuervorrichtung weiterhin
eine Benutzeranwendung, in die ein Erlaubnissignal von außerhalb
der Steuervorrichtung eingegeben wird, wobei der Änderungserlaubnisteil
durch eine Ausgabe aus der Benutzeranwendung betätigt wird.
-
In
dem Anlagensteuersystem umfasst die Benutzeranwendung einen Funktionsblock,
in den das Erlaubnissignal eingegeben wird und der ein Signal zum
Betätigen des Änderungserlaubnisteils ausgibt.
-
In
dem Anlagensteuersystem wird das Erlaubnissignal durch einen Schaltteil,
der durch einen Systemadministrator betätigt wird, in den
Funktionsblock eingegeben.
-
In
dem Anlagensteuersystem wird das Erlaubnissignal, das über
eine Kommunikation aus einer externen Einrichtung erhalten wird,
in den Funktionsblock eingegeben.
-
In
dem Anlagensteuersystem wird das Erlaubnissignal, das über
eine Kommunikation aus einer externen Einrichtung erhalten wird,
in den Funktionsblock einer Vielzahl von Steuervorrichtungen eingegeben.
-
In
dem Anlagensteuersystem ist die Steuervorrichtung eine Sicherheitssteuervorrichtung
zum Durchführen einer Stoppoperation einer Anlage in Bezug
auf ein Anormalitätssignal aus der Anlage.
-
Effekt der Erfindung
-
- (1) Eine Sicherheitssteuervorrichtung weist
Erlaubnisinformationen zum Steuern einer Änderung der Sicherheitsstufe
auf. Dadurch ist ein Schutz gegenüber einer böswilligen Änderung
der Sicherheitsstufe gegeben. Auch wenn ein Kennwort zum Ändern
der Sicherheitsstufe in unbefugte Hände gerät,
kann eine Datenbank oder ein Programm der Sicherheitssteuervorrichtung
nicht umgeschrieben werden.
- (2) Weil ein Funktionsblock verwendet wird, der einen Änderungserlaubniszustand
steuern kann, ist kein dedizierter Schalter in dem CPU-Modul erforderlich
und kann ein allgemeines Kontakteingangssignal verwendet werden.
Dadurch wird die Wartung bei einem Schalterausfall vereinfacht und
wird außerdem eine entfernte Operation von der Sicherheitssteuervorrichtung
vereinfacht.
- (3) Weil ein Änderungserlaubniszustand durch einen
Funktionsblock betätigt werden kann, kann das Setzen einer
Erlaubnisbedingung willkürlich durch einen Benutzer angepasst
werden und kann einfach eine schwerere Lösungsbedingung gesetzt
werden. Zum Beispiel kann einfach eine Anwendung erstellt werden,
in der eine Kennwortänderung angenommen wird, wenn eine
bestimmte Tastenkombination betätigt wird.
-
Kurzbeschreibung der Zeichnungen
-
1 ist
ein Funktionsblockdiagramm, das eine Ausführungsform eines
Anlagensteuersystems, auf das die vorliegende Erfindung angewendet
ist, in Kombination mit einer verteilten Steuervorrichtung zeigt.
-
2 ist
ein Flussdiagramm, das eine Prozedur zur Signalverarbeitung durch
einen Sicherheitsverwaltungsteil zeigt.
-
3 ist
ein Bilddiagramm, das eine Änderungsprozedur durch einen
Funktionsblock zeigt.
-
4 ist
ein Funktionsblockdiagramm eines Hauptteils und zeigt eine andere
Ausführungsform der vorliegenden Erfindung.
-
5 ist
ein Funktionsblockdiagramm, das ein Beispiel eines Anlagensteuersystems
in Kombination mit einer verteilten Steuervorrichtung zeigt.
-
Bevorzugte Ausführungsform
der Erfindung
-
Die
vorliegende Erfindung wird im Folgenden mit Bezug auf die Zeichnungen
beschrieben. 1 ist ein Funktionsblockdiagramm,
das eine Ausführungsform eines Anlagensteuersystems, auf
das die vorliegende Erfindung angewendet ist, in Kombination mit
einer verteilten Steuervorrichtung zeigt. Identische Elemente wie
in 5 werden durch gleiche Bezugszeichen angegeben,
wobei hier auf eine wiederholte Beschreibung dieser Elemente verzichtet wird.
-
In 1 gibt
das Bezugszeichen 100 eine Sicherheitssteuervorrichtung
an. Ein Kommunikationsschnittstellenteil 101, eine Anforderungsannahmefunktion 103,
ein Kennwort-Speicherteil 105, eine Anforderungsverarbeitungsfunktion 106,
ein Programm 107 und eine Datenbank 108 entsprechen
jeweils den Elementen des mit Bezug auf 5 beschriebenen
Systems.
-
Das
Bezugszeichen 109 gibt einen Änderungserlaubnisteil
in einem Sicherheitsstufen-Speicherteil 104 an. Der Änderungserlaubnisteil 109 weist
Flag-Informationen auf, um zu bestimmen, ob eine Sicherheitsstufe
in Bezug auf eine Änderungsanforderung von einer Einstellvorrichtung 10 geändert
werden darf oder nicht.
-
Ein
Flag des Änderungserlaubnisteils 109 wird durch
eine Ausgabe aus einer Benutzeranwendung 110 betrieben,
um ein von außerhalb erhaltenes Änderungserlaubnissignal
einzugeben. Das Bezugszeichen 111 gibt einen Funktionsblock (SYS_SEC_CTL)
an, der in der Benutzeranwendung 110 definiert ist.
-
Dieser
Funktionsblock 111 betreibt ein Flag des Änderungserlaubnisteils 109,
indem er ein durch einen Systemadministrator betätigtes
Erlaubnissignal DI empfängt und ein Betätigungssignal
Do ausgibt. Der Funktionsblock 111 ändert den
Zustand des Änderungserlaubnisteils 109 zu „keine
Erlaubnis", wenn der Eingabewert DI wahr ist, und ändert
den Zustand zu „Erlaubnis", wenn der Eingabewert DI falsch
ist.
-
Ein
Sicherheitsverwaltungsteil 102 nimmt eine Sicherheitsstufen-Änderungsanforderung
an, ändert die Sicherheitsstufe und nimmt auf den Änderungserlaubniszustand
des Änderungserlaubnisteils 109 Bezug, bevor er
auf ein Kennwort Bezug nimmt.
-
Ein
Fehler wird an die Einstellvorrichtung 10 in Bezug auf
die Sicherheitsstufen-Änderungsanforderung ausgegeben,
wenn der Änderungserlaubniszustand des Änderungserlaubnisteils 109 „keine
Erlaubnis" ist, und es wird eine Kollationsverarbeitung des Kennworts
durchgeführt, wenn der Änderungserlaubniszustand
des Änderungserlaubnisteils 109 „Erlaubnis"
ist.
-
2 ist
ein Flussdiagramm, das eine Prozedur einer Signalverarbeitung durch
den Sicherheitsverwaltungsteil 102 zeigt. In Schritt S1
wird eine Annahmeverarbeitung der Änderungsanforderungskommunikation
gestartet, wobei dann in Schritt S2 auf den Änderungserlaubniszustand
des Änderungserlaubnisteils 109 Bezug genommen
wird.
-
In
dem Entscheidungsschritt S3 wird geprüft, ob der Änderungserlaubniszustand
ein Erlaubniszustand ist. In Schritt S4 wird auf ein Kennwort für
eine Änderungsstufe Bezug genommen, die einer Sicherheitsstufe
entspricht, bei der eine Änderungsanforderung gemacht wurde.
Wenn in dem Entscheidungsschritt S5 eine Übereinstimmung
mit dem Kennwort bestimmt wird, wird in Schritt S6 eine Änderungsverarbeitung
der Sicherheitsstufe durchgeführt und wird in Schritt S7
die Annahmeverarbeitung der Änderungsanforderungskommunikation
beendet.
-
Wenn
in dem Entscheidungsschritt S3 der Änderungserlaubniszustand
des Änderungserlaubnisteils 109 ein nicht-Erlaubniszustand
ist und in dem Entscheidungsschritt S5 das Kennwort nicht übereinstimmt,
wird in Schritt S8 ein Fehler an die Einstellvorrichtung 10 ausgegeben
und wird in Schritt S7 die Annahmeverarbeitung der Änderungsanforderungskommunikation
beendet.
-
3 ist
ein Bilddiagramm, das eine Änderungsprozedur durch den
Funktionsblock 111 (SYS_SEC_CTL) beschreibt. DI100.v ist
ein Eingabe/Ausgabe-Parameter, der mit einem digitalen Eingabesignal
verbunden ist, wobei ein Systemadministrator den Wert ändern
kann, indem er einen Tastenschalter ein- und ausschaltet.
-
Ein
Techniker kann die Sicherheitsstufe von der Einstellvorrichtung 10 unter
Verwendung eines Kennworts ändern, nachdem er den Erlaubniszustand
einer Sicherheitsstufenänderung an einer Leuchte geprüft
hat, die durch ein Signal betrieben wird, das über einen
Eingabe/Ausgabe-Parameter DO200.v aus dem Funktionsblock 111 ausgegeben wird.
-
Indem
in der vorliegenden Erfindung der Änderungserlaubniszustands
in dem Funktionsblock setzend verwaltet wird, kann eine Eingabebedingung willkürlich
bestimmt werden und kann weiterhin das Eingabesignal selbst zu einem
Signal aus einer externen Einrichtung gewandelt werden. Das heißt, eine
Eingabe in den SYS_SEC_CTL-Block kann zum Beispiel in der Form von
Kommunikationsdaten aus einer anderen Einrichtung über
einen Kommunikationsteil und nicht als Eingabesignal eingegeben
werden.
-
4 ist
ein Funktionsblockdiagramm eines Hauptteils gemäß einer
anderen Ausführungsform der vorliegenden Erfindung. Indem
die Eingaben der Funktionsblöcke 111A und 111E aus
der Sicherheitssteuervorrichtung 100A und 100B in
zwei Anlagensteuersystemen gemeinsam verwendet werden und ein Kommunikationssignal
S zwischen Stationen von einer Masterstation 200 für
die Verwaltung eingegeben wird, kann der Änderungserlaubniszustand
jedes der Systeme gemeinsam verwaltet werden.
-
Weiterhin
können die Änderungserlaubniszustände
der Steuervorrichtung in mehreren Anlagen entfernt von einem Host-Computer
aus über eine OPC(OLE for Process Control)-Kommunikation
betätigt werden.
-
In
oben beschriebenen Ausführungsformen wird die Sicherheitssteuervorrichtung 100 als
Ziel verwendet, auf das die Erfindung angewendet wird. Die Erfindung
kann jedoch auch auf eine Änderungsanforderungsverarbeitung
von der Einstellvorrichtung (nicht gezeigt) zu der Steuervorrichtung 2 in
einer verteilten Steuervorrichtung angewendet werden.
-
Die
vorliegende Erfindung beruht auf der
japanischen Patentanmeldung Nr. 2005-339836 vom 25.
November 2005, deren Inhalt hier unter Bezugnahme eingeschlossen
ist.
-
Zusammenfassung
-
Ein
Anlagensteuersystem umfasst wenigstens eine Steuervorrichtung und
eine Einstellvorrichtung zum Ändern des Sicherheitszustands
der Steuervorrichtung. Die Steuervorrichtung umfasst: einen Sicherheitsverwaltungsteil
zum Annehmen einer Sicherheitsstufen-Änderungsanforderung
aus der Einstellvorrichtung und zum Ändern der Sicherheitsstufe der
Steuervorrichtung unter Bezugnahme auf ein durch die Steuervorrichtung
gespeichertes Kennwort; und einen Änderungserlaubnisteil
zum Erlauben einer Änderung der Sicherheitsstufe durch
den Sicherheitsverwaltungsteil.
-
1
- 1
- Anlage
- 2
- Steuervorrichtung
- 3
- Betriebsüberwachungsvorrichtung
- 6
- externer
PC
- 10
- Einstellvorrichtung
- 100
- Sicherheitssteuervorrichtung
- 101
- Kommunikationsschnittstellenteil
- 102
- Sicherheitsverwaltungsteil
- 103
- Anforderungsannahmefunktion
- 104
- Sicherheitsstufen-Speicherteil
- 105
- Kennwort-Speicherteil
- 106
- Anforderungsverarbeitungsfunktion
- 107
- Programm
- 108
- Datenbank
- 109
- Änderungserlaubnisteil
- 110
- Benutzeranwendung
- 111
- Funktionsblock
- #1
- Sicherheitsänderungsanforderung
- #2
- Datenänderungsanforderung
- #3
- Änderungsanforderung
- #4
- Sicherheitsinformationen
- #5
- Bezugnahme
- #6
- Bezugnahme/Setzen
- #7
- Steuerung
- #8
- Auslöseverarbeitung
- #9
- Systemadministrator
-
2
- S1
- Start
der Annahmeverarbeitung der Sicherheitsstufen-Änderungsanforderungskommunikation
- S2
- Bezugnahme
auf den Zustand des Änderungserlaubnisteils
- S3
- Erlaubniszustand
- S4
- Bezugnahme
auf Kennwort für Änderungsstufe
- S5
- Stimmt
das Kennwort überein?
- S6
- Änderungsverarbeitung
der Sicherheitsstufe
- S7
- Ende
der Annahmeverarbeitung der Sicherheitsstufen-Änderungsanforderungskommunikation
- S8
- Ausgabe
eines Fehlers
-
3
- 100
- Sicherheitssteuervorrichtung
- (1)
- Betätigen
des Sicherheitsänderungs-Erlaubnisschalters
- (2)
- Prüfen,
ob im Erlaubniszustand, und Senden einer Sicherheitsstufen-Änderungsanforderung
- #1
- Techniker
- #2
- Systemadministrator
- #3
- Anzeigen
des Erlaubniszustands mittels Leuchte
-
4
- 100A,
100B
- Sicherheitssteuervorrichtung
- 111A,
111E
- SYS_SEC_CTL-Funktionsblock
- 200
- Masterstation
für die Verwaltung
-
5
- 1
- Anlage
- 2
- Steuervorrichtung
- 4
- Betriebsüberwachungsvorrichtung
- 6
- externer
PC
- 10
- Einstellvorrichtung
- 20
- Sicherheitssteuervorrichtung
- 21
- Kommunikationsschnittstellenteil
- 22
- Sicherheitsverwaltungsteil
- 23
- Anforderungsannahmefunktion
- 24
- Sicherheitsstufen-Speicherteil
- 25
- Kennwort-Speicherteil
- 26
- Anforderungsverarbeitungsfunktion
- 27
- Programm
- 28
- Datenbank
- #1
- Sicherheitsänderungsanforderung
- #2
- Datenänderungsanforderung
- #3
- Änderungsanforderung
- #4
- Sicherheitsinformation
- #5
- Bezugnahme
- #6
- Bezugnahme/Setzen
- #7
- Steuerung
- #8
- Auslöseverarbeitung
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- - JP 2005-301935
A [0014]
- - JP 2005-339836 [0046]