DE112018001624T5 - Datenanalysevorrichtung, -verfahren und -programm - Google Patents

Datenanalysevorrichtung, -verfahren und -programm Download PDF

Info

Publication number
DE112018001624T5
DE112018001624T5 DE112018001624.2T DE112018001624T DE112018001624T5 DE 112018001624 T5 DE112018001624 T5 DE 112018001624T5 DE 112018001624 T DE112018001624 T DE 112018001624T DE 112018001624 T5 DE112018001624 T5 DE 112018001624T5
Authority
DE
Germany
Prior art keywords
manufacturing
operation result
packet
control command
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018001624.2T
Other languages
English (en)
Inventor
Hiroshi Amano
Yosuke Tajika
Yuichi Higuchi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of DE112018001624T5 publication Critical patent/DE112018001624T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Eine Anomalie in einem Fertigungssystem wird ohne umfangreiche Änderungen an den bestehenden Fertigungssystemen erkannt. Die Datenanalysevorrichtung umfasst: einen Empfänger, der konfiguriert ist, um ein Paket zu empfangen, das zwischen einer Fertigungssteuervorrichtung und einer Fertigungsvorrichtung übertragen wird; einen Analysator, der konfiguriert ist, um die Art der Daten zu erhalten, die in einer Nutzlast des empfangenen Pakets enthalten sind, von einer IP-Adresse und einer Portnummer, die in einem Header des Pakets enthalten ist; einen Selektor, der konfiguriert ist, um basierend auf der Art der durch den Analysator erhaltenen Daten eine Syntax oder Regel auszuwählen, die der Art der Daten entspricht; und einen Bestimmer, der konfiguriert ist, um zu bestimmen, dass das Fertigungssystem eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die der Art der Daten entspricht.

Description

  • TECHNISCHER BEREICH
  • Die vorliegende Offenbarung betrifft auf eine Technologie zur Analyse von Daten in einem Computernetzwerk, und insbesondere eine Technologie zur Analyse von Daten in einem Fertigungssystem.
  • HINTERGRUND
  • In den letzten Jahren wurden aktiv Anstrengungen unternommen, um die Produktivität zu verbessern, beispiellose Werte zu schaffen und neue Geschäftsmodelle zu entwickeln, indem mit Dingen und Dienstleistungen innerhalb und außerhalb von Fabriken über Kommunikationsnetze wie das Internet zusammengearbeitet wurde.
  • Im Internetbereich hingegen sind Cyberangriffe durch Hacking, Malware etc. aktiv geworden. Fälle wie unbefugtes Eindringen und Informationsverlust durch Cyberangriffe nehmen von Jahr zu Jahr zu. In Produktionssystemen in Fabriken wurden auch Fälle von Produktionsstopps und der Zerstörung von Anlagen gemeldet. Daher ist es erforderlich, Anomalien in Fertigungssystemen mit Computernetzwerken zu erkennen, wodurch das Sicherheitsniveau der Fertigungssysteme verbessert wird.
  • So beschreibt beispielsweise das Patentdokument 1 ein Beispiel für einen Mechanismus zur Verbesserung des Sicherheitsniveaus für ein Steuerungssystem. Das System in Patentdokument 1 zählt Anomaliemeldungen, die von Überwachungsabschnitten gesendet werden, die einer Vielzahl von Steuersystemen entsprechen, und bewertet die Reputation eines Steuersystems, das der Anomalie verdächtigt wird. Wird anhand der Bewertungsergebnisse eine Anomalie anhand der Norm erkannt, wird der ausgehende Verkehr aus wenigstens dem Schutzbereich, in dem das anomalieverdächtige Steuerungssystem arbeitet, eingeschränkt.
  • Auch in einem Fertigungssystem in einer Fabrik sind die Fertigungsvorrichtungen über ein Netzwerk verbunden, um die Fertigung durchzuführen und miteinander zu kommunizieren. Wenn eine an ein solches Netzwerk angeschlossene Fertigungsvorrichtung durch unbefugte Manipulationen usw. übernommen wird oder Daten, die über das Netzwerk übertragen werden, manipuliert werden, können Probleme wie die Herstellung fehlerhafter Produkte und die Zerstörung der Fertigungsvorrichtung auftreten. Um diese Probleme zu beheben, beschreibt beispielsweise das Patentdokument 2 eine Angriffserkennungsvorrichtung, die ein unbefugtes Verhalten aus Daten in einem Netzwerk erkennt.
  • ZITIERLISTE
  • PATENTSCHRIFT
    • PATENTDOKUMENT 1: Japanische ungeprüfte Patentveröffentlichung Nr. 2012-168755
    • Patentdokument 2: Japanische ungeprüfte Patentveröffentlichung Nr. 2016-19028
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • TECHNISCHES PROBLEM
  • Um einen Mechanismus zur Erkennung von Anomalien wie in Patentdokument 1 beschrieben einzuführen, müssen die bestehenden Fertigungssysteme umfassend verändert werden.
  • Die Angriffserkennungsvorrichtung des Patentdokuments 2 erkennt einen Angriff nur aus Informationen in einem Fenster, die in einem Header eines für die Kommunikation verwendeten Pakets gespeichert sind, und ist daher nicht unbedingt in der Lage, eine hochpräzise Angriffserkennung durchzuführen. Auch aus solchen Informationen in einem Fenster, das in einem Header eines Pakets gespeichert ist, kann es als Anomalie das Auftreten eines Fehlers in einem Fertigungssystem nicht erkennen.
  • Ein Ziel der vorliegenden Offenbarung ist es, eine Anomalie in einem Fertigungssystem zu erkennen, ohne die bestehenden Fertigungssysteme umfassend zu modifizieren.
  • LÖSUNG DES PROBLEMS
  • Die Datenanalysevorrichtung gemäß der vorliegenden Offenbarung ist eine Datenanalysevorrichtung, die Daten analysiert, die in einem Fertigungssystem mit einer Fertigungsvorrichtung übertragen werden, und eine Fertigungssteuervorrichtung, die die Fertigungsvorrichtung steuert und Folgendes umfasst: einen Empfänger, der konfiguriert ist, um ein erstes Paket zu empfangen, das zwischen der Fertigungssteuervorrichtung und der Fertigungsvorrichtung übertragen wird; einen Analysator, der konfiguriert ist, um die Art der Daten zu erhalten, die in einer Nutzlast des empfangenen ersten Pakets enthalten sind, von einer IP-Adresse und einer Portnummer, die in einem Header des ersten Pakets enthalten ist; einen Selektor, der konfiguriert ist, um basierend auf der Art der vom Analysator erhaltenen Daten eine Syntax oder Regel auszuwählen, die der Art der Daten entspricht; und einen Bestimmer, der konfiguriert ist, um zu bestimmen, dass das Fertigungssystem eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die der Art der Daten entspricht.
  • Gemäß der obigen Konfiguration ist es möglich, ein zwischen der Fertigungssteuervorrichtung und der Fertigungsvorrichtung im Fertigungssystem übertragenes Paket zu empfangen und zu bestimmen, dass das Fertigungssystem eine Abweichung vom Inhalt des Pakets aufweist. Da es sich bei dem empfangenen Paket um ein Paket handelt, das normalerweise im Fertigungssystem verwendet wird, ohne für das Datenanalysegerät relevant zu sein, kann eine Abweichung im Fertigungssystem leicht gefunden werden.
  • Das Datenanalyseverfahren gemäß der vorliegenden Offenbarung ist ein Datenanalyseverfahren zum Analysieren von Daten, die in einem Fertigungssystem mit einer Fertigungsvorrichtung und einer Fertigungssteuervorrichtung übertragen werden, die die Fertigungsvorrichtung steuert und Folgendes umfasst: Empfangen eines Pakets, das zwischen der Fertigungssteuervorrichtung und der Fertigungsvorrichtung übertragen wird; Erhalten der Art von Daten, die in einer Nutzlast des empfangenen Pakets enthalten sind, von einer IP-Adresse und einer Portnummer, die in einem Header des Pakets enthalten ist; Auswählen einer Syntax oder Regel, die der Art der Daten entspricht, basierend auf der Art der erhaltenen Daten; und Bestimmen, dass das Fertigungssystem eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die der Art der Daten entspricht.
  • Das Datenanalyseprogramm gemäß der vorliegenden Offenbarung ist ein Datenanalyseprogramm, das einen Computer veranlasst, ein Datenanalyseverfahren zum Analysieren von Daten durchzuführen, die in einem Fertigungssystem mit einer Fertigungsvorrichtung und einer Fertigungssteuervorrichtung übertragen werden, die die Fertigungsvorrichtung steuert. Das Datenanalyseverfahren umfasst: Empfangen eines Pakets, das zwischen der Fertigungssteuervorrichtung und der Fertigungsvorrichtung übertragen wird; Erhalten der Art von Daten, die in einer Nutzlast des empfangenen Pakets enthalten sind, von einer IP-Adresse und einer Portnummer, die in einem Header des Pakets enthalten ist; Auswählen einer Syntax oder Regel, die der Art der erhaltenen Daten entspricht, basierend auf der Art der Daten; und Bestimmen, dass das Fertigungssystem eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die der Art der Daten entspricht.
  • VORTEILE DER ERFINDUNG
  • Nach der vorliegenden Offenbarung ist es möglich, eine Anomalie in einem Fertigungssystem zu erkennen, ohne umfangreiche Änderungen an den bestehenden Fertigungssystemen vorzunehmen. Daher kann ein Angriff von außerhalb des Fertigungssystems, ein Ausfall innerhalb des Fertigungssystems usw. kostengünstig erkannt werden.
  • Figurenliste
    • 1 ist ein Blockdiagramm, das ein Konfigurationsbeispiel eines Fertigungssystems mit einer Datenanalysevorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung darstellt.
    • 2 ist eine Ansicht, die ein Konfigurationsbeispiel für ein Paket zeigt, das über ein Netzwerk in 1 läuft.
    • 3 ist eine Ansicht, die ein Beispiel für das Format eines IP-Pakets zeigt.
    • 4 ist eine Ansicht, die ein Beispiel für das Format eines TCP-Pakets zeigt.
    • 5 ist eine Ansicht, die ein Beispiel für das Format eines UDP-Pakets zeigt.
    • 6 ist eine Ansicht, die ein Beispiel für die Übereinstimmung zwischen einer Kombination von IP-Adressen usw. in einem Header eines Pakets und der Art der Daten in einer Nutzlast des Pakets zeigt.
    • 7 ist ein Zustandsübergangsdiagramm, das ein Beispiel für den Zustandsübergang einer Fertigungsvorrichtung in 1 zeigt.
    • 8 ist eine Ansicht, die ein Beispiel für das Format eines Steuerbefehls zeigt.
    • 9 ist eine Ansicht, die ein Beispiel für die Syntax des Steuerbefehls zeigt.
    • 10 ist eine Ansicht, die ein Beispiel für das Format einer Operationsergebnismeldung darstellt.
    • 11 ist eine Ansicht, die ein Beispiel für die Syntax der Operationsergebnismeldung zeigt.
    • 12 ist ein Blockdiagramm, das ein Konfigurationsbeispielfür das Datenanalysegerät in 1 zeigt.
    • 13 ist ein Flussdiagramm, das ein Beispiel für den Betrieb der Datenanalysevorrichtung in 1 zeigt.
    • 14 ist ein Flussdiagramm, das eine Änderung des Flussdiagramms von 13 zeigt.
    • 15 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Steuerbefehle im Normalzustand zeigt.
    • 16 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Steuerbefehle in einem anormalen Zustand zeigt.
    • 17 ist ein Flussdiagramm, das eine weitere Änderung des Flussdiagramms von 13 zeigt.
    • 18 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Operationsergebnis-Informationen im Normalzustand zeigt.
    • 19 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Operationsergebnis-Informationen in einem anormalen Zustand zeigt.
    • 20 ist ein Flussdiagramm, das eine weitere Änderung des Flussdiagramms von 13 zeigt.
    • 21 ist ein Zustandsübergangsdiagramm einer Fertigungsvorrichtung, das eine Übergangswahrscheinlichkeit von jedem Zustand in den nächsten Zustand zeigt.
    • 22 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Wahrscheinlichkeiten von Zustandsübergängen der Fertigungsvorrichtung im Normalzustand zeigt.
    • 23 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Eintrittswahrscheinlichkeiten von Steuerbefehlen in einem anormalen Zustand darstellt.
    • 24 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Eintrittswahrscheinlichkeiten von Operationsergebnis-Informationen in einem anormalen Zustand darstellt.
    • 25 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Eintrittswahrscheinlichkeiten von Zustandsübergängen der Fertigungsvorrichtung in einem anormalen Zustand darstellt.
    • 26 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Eintrittswahrscheinlichkeiten der nächsten Befehle im Normalzustand zeigt.
    • 27 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Eintrittswahrscheinlichkeiten der Informationen über das nächste Operationsergebnis im Normalzustand darstellt.
    • 28 ist ein Flussdiagramm, das eine weitere Änderung des Flussdiagramms von 13 zeigt.
    • 29 ist ein Zustandsübergangsdiagramm einer Fertigungsvorrichtung, das die Zeit von jedem Zustand bis zum nächsten Zustand anzeigt.
    • 30 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Zeiten zeigt, die für Zustandsübergänge der Fertigungsvorrichtung im Normalzustand erforderlich sind.
    • 31 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Zeiten bis zur Ausgabe von Steuerbefehlen in einem anormalen Zustand zeigt.
    • 32 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Zeiten zeigt, bis die Betriebsausgaben Informationen in einem anormalen Zustand ergeben.
    • 33 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Zeiten zeigt, die für Zustandsübergänge der Fertigungsvorrichtung in einem anormalen Zustand erforderlich sind.
    • 34 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Zeiten bis zur Ausgabe der nächsten Befehle im Normalzustand zeigt.
    • 35 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Zeiten zeigt, bis die Ausgaben des nächsten Vorgangs Informationen im Normalzustand ergeben.
    • 36 ist ein Blockdiagramm, das ein Konfigurationsbeispiel eines Computersystems zeigt, das die Datenanalysevorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung implementiert.
  • BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Eine Ausführungsform der vorliegenden Erfindung wird im Folgenden unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, in denen sich mit den gleichen Bezugszeichen bezeichnete Bauteile auf gleiche oder ähnliche Bauteile beziehen.
  • 1 ist ein Blockdiagramm, das ein Konfigurationsbeispiel eines Fertigungssystems mit einer Datenanalysevorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung darstellt. Ein Fertigungssystem 100 von 1 umfasst ein Netzwerk 2, eine Fertigungssteuervorrichtung 10, Fertigungsvorrichtungen 22 und 24 und eine Datenanalysevorrichtung 30. Die Fertigungssteuervorrichtung 10, die Fertigungsvorrichtungen 22 und 24 und die Datenanalysevorrichtung 30 sind über das Netzwerk 2 miteinander verbunden.
  • Die Fertigungssteuervorrichtung 10 steuert das gesamte Fertigungssystem 100. Die Fertigungssteuervorrichtung 10 sendet Steuerbefehle und Daten zur Fertigung beispielsweise an die Fertigungsvorrichtungen 22 und 24, und die Fertigungsvorrichtungen 22 und 24 senden ihre eigenen Zustände beispielsweise an die Fertigungssteuervorrichtung 10 als Operationsergebnis-Informationen. Jede der Fertigungsvorrichtungen 22 und 24 ist eine Vorrichtung, die wenigstens einen Prozess zur Herstellung eines Produkts durchführt. Das Fertigungssystem 100 kann mehrere Fertigungsvorrichtungen aufweisen oder nur eine Fertigungsvorrichtung aufweisen.
  • Das Netzwerk 2 kann beispielsweise ein lokales Netzwerk (LAN) sein und kann ein kabelgebundenes oder drahtloses Netzwerk sein. Das Netzwerk 2 kann mit dem Internet verbunden sein. Die Datenanalysevorrichtung 30 ist mit dem Netzwerk 2 verbunden, so dass sie über das Netzwerk 2 übertragene Daten empfangen kann, insbesondere gesendete/empfangene Daten zwischen der Fertigungssteuervorrichtung 10 und der Fertigungsvorrichtung 22 oder 24. So kann beispielsweise das Netzwerk 2 so konfiguriert werden, dass alle zwischen der Fertigungssteuervorrichtung 10, den Fertigungsvorrichtungen 22 und 24 und der Datenanalysevorrichtung 30, die Komponenten des Fertigungssystems 100 sind, gesendeten/empfangenen Daten von jeder dieser Komponenten empfangen werden können. Andernfalls kann die Datenanalysevorrichtung 30 mit einem Spiegelanschluss eines im Netzwerk 2 verwendeten Routers verbunden sein. In 1 stellen die Ziffern unter den Namen der Komponenten Beispiele für die den Komponenten zugeordneten Internet-Protocol (IP) -Adressen dar.
  • 2 ist eine Ansicht, die ein Konfigurationsbeispiel für ein Paket (auch Frame genannt) zeigt, das über das Netzwerk 2 in 1 läuft. 3 ist eine Ansicht, die ein Beispiel für das Format eines IP-Pakets zeigt. Das IP-Paket bezieht sich auf den Teil des Pakets von 2, der den Ethernet-Header (eingetragene Marke) ausschließt. Der IP-Header umfasst eine Quell-IP-Adresse und eine Ziel-IP-Adresse.
  • 4 ist eine Ansicht, die ein Beispiel für das Format eines TCP-Pakets (Transmission Control Protocol) zeigt. 5 ist eine Ansicht, die ein Beispiel für das Format eines UDP-Pakets (User Datagram Protocol) zeigt. Das TCP-Paket und das UDP-Paket beziehen sich auf die Abschnitte des IP-Pakets mit Ausnahme des IP-Headers. Der TCP-Header und der UDP-Header enthalten eine Quell-Portnummer und eine Ziel-Portnummer.
  • 6 ist eine Ansicht, die ein Beispiel für die Übereinstimmung zwischen einer Kombination aus den in den Headern des Pakets enthaltenen IP-Adressen usw. und der Art der in der Nutzlast des Pakets enthaltenen Daten zeigt. 6 zeigt beispielsweise an, dass der Kombination A der Quell-IP-Adresse von 192.168.10.1, der Ziel-IP-Adresse von 192.168.10.10 und der Ziel-Portnummer von 10000 ein Steuerbefehl als Datentyp der Nutzlast entspricht. In diesem Fall kann die Quell-Portnummer ein beliebiger Wert sein. Um dies zu erklären, wird in Bezug auf 1 festgestellt, dass ein Paket von der Fertigungssteuervorrichtung 10 bis zur Portnummer 10000 der Fertigungsvorrichtung 22 einen Steuerbefehl in seiner Nutzlast umfasst.
  • Es wird auch angegeben, dass der Kombination B der Quell-IP-Adresse von 192.168.10.10, der Quell-Portnummer von 20000 und der Ziel-IP-Adresse von 192.168.10.1 eine Operationsergebnismeldung entspricht, die der Art der Daten der Nutzlast entspricht. In diesem Fall kann die Ziel-Portnummer ein beliebiger Wert sein. Um dies zu erklären, wird in Bezug auf 1 festgestellt, dass ein Paket von der Portnummer 20000 der Fertigungsvorrichtung 22 zur Fertigungssteuervorrichtung 10 eine Operationsergebnismeldung in seiner Nutzlast umfasst.
  • 7 ist ein Zustandsübergangsdiagramm, das ein Beispiel für den Zustandsübergang der Fertigungsvorrichtung 22 in 1 zeigt. Die Fertigungsvorrichtung 22 wird hierin als eine Vorrichtung zur Montage eines elektronischen Bauteils auf einer Leiterplatte, zum Beispiel, angenommen. Die Fertigungsvorrichtung 22 erhält einen Steuerbefehl von der Fertigungssteuervorrichtung 10 als Paket. Der Zustand der Fertigungsvorrichtung 22 geht in dieser Reihenfolge, wie in 7 dargestellt, von einem Standby-Zustand in einen Board-Einführungszustand, einen Platinenmontagezustand und einen Platinenausführungszustand über, gemäß dem Empfang eines Steuerbefehls oder dem Beenden eines Vorgangs, der unter einem Steuerbefehl angewiesen ist. Die Fertigungsvorrichtung 22 sendet eine Operationsergebnismeldung an die Fertigungssteuervorrichtung 10 zum Zeitpunkt eines Übergangs ihres Zustands usw. als Paket. Die Fertigungsvorrichtung 24 ist ebenfalls ähnlich wie die Fertigungsvorrichtung 22 konfiguriert.
  • 8 ist eine Ansicht, die ein Beispiel für das Format des Steuerbefehls zeigt. Der Steuerbefehl hat ein Steuerbefehls-Nummernfeld und ein Steuerparameterfeld. 9 ist eine Ansicht, die ein Beispiel für die Syntax des Steuerbefehls zeigt. Wie in 9 dargestellt, muss die Steuerbefehlsnummer beispielsweise 0, 1, 2 oder 3 sein. Wenn die Steuerbefehlsnummer beispielsweise 0 ist, muss der Steuerparameter 0, 1, 2 oder 3 sein. Wenn die Steuerbefehlsnummer beispielsweise 1, 2 oder 3 ist, muss der Steuerparameter 0 oder 1 sein. Eine solche Regel bezüglich der Werte, die die Felder des Steuerbefehls annehmen können, wird als Syntax des Steuerbefehls bezeichnet.
  • Der Steuerbefehl kann Felder zum Speichern einer Prüfsumme und einen Message-Authentication-Code (MAC) enthalten. Für die Prüfsumme und den MAC gibt es ebenfalls eine Regel, welche Werte solche Felder annehmen können, und eine solche Regel ist auch in der Syntax des Steuerbefehls enthalten.
  • 10 ist eine Ansicht, die ein Beispiel für das Format der Operationsergebnismeldung darstellt. Die Operationsergebnismeldung umfasst ein Operationsergebnismeldungs-Nummernfeld, ein Feld für die Information über das Operationsergebnis und ein Board-Nummernfeld. 11 ist eine Ansicht, die ein Beispiel für die Syntax der Operationsergebnismeldung zeigt. Wie in 11 dargestellt, muss die Operationsergebnismeldungs-Nummer beispielsweise 0, 1, 2, 3, 3, 4 oder 5 sein. Wenn die Operationsergebnismeldungs-Nummer beispielsweise 0 ist, muss die durch die Bits 20 und 19 des Informationsfeldes für das Operationsergebnis ausgedrückte Zahl 0, 1, 2 oder 3 sein, und die durch die Bits 31 bis 21 des Operationsergebnismeldungs-Nummernfeldes ausgedrückte Zahl muss im Bereich von 0 bis 1023 liegen. Die Board-Nummer wird jedes Mal, wenn ein Board produziert wird, von 0 nach 1 hochgezählt. Die Zählung wird jedoch nach 32767 auf 0 zurückgesetzt, so dass die Board-Nummer im Bereich von 0 bis 32767 liegen muss. Eine solche Regel bezüglich der Werte, die die Felder der Operationsergebnismeldung annehmen können, wird als Syntax der Operationsergebnismeldung bezeichnet.
  • Der Steuerbefehl und die Operationsergebnismeldung können aus binären Daten oder aus Zeichenketten wie ASCII-Zeichen bestehen. Die Fertigungssteuervorrichtung 10 kann den Steuerbefehl vor dem Senden beispielsweise mit einem Verschlüsselungscode verschlüsseln, und die Fertigungsvorrichtungen 22 und 24 und die Datenanalysevorrichtung 30 können den verschlüsselten Steuerbefehl entschlüsseln. Die Fertigungsvorrichtungen 22 und 24 können die Operationsergebnismeldung vor dem Senden beispielsweise mit einem Verschlüsselungscode verschlüsseln, und die Fertigungssteuervorrichtung 10 und die Datenanalysevorrichtung 30 können die verschlüsselte Operationsergebnismeldung entschlüsseln.
  • 12 ist ein Blockdiagramm, das ein Konfigurationsbeispiel für die Datenanalysevorrichtung 30 in 1 zeigt. Die Datenanalysevorrichtung 30 weist einen Sender/Empfänger 32, einen Analysator 34, einen Selektor 36, einen Bestimmer 38 und eine Speichervorrichtung 42 auf.
  • Der Sender/Empfänger 32 empfängt ein zwischen der Fertigungssteuervorrichtung 10 und der Fertigungsvorrichtung 22 oder 24 übertragenes Paket aus dem Netzwerk 2 und gibt das Paket an den Analysator 34 aus. Im Analysator 34 wird vorab eine Übereinstimmung wie in 6 dargestellt gespeichert. Basierend auf der Übereinstimmung von 6 bezieht der Analysator 34 beispielsweise den Typ der in der Nutzlast des empfangenen Pakets enthaltenen Daten von den IP-Adressen und den in den Headern des empfangenen Pakets enthaltenen Portnummern und gibt das Ergebnis an den Selektor 36 aus.
  • In der Speichervorrichtung 42 werden Syntaxen oder Regeln, die den Datentypen entsprechen, beispielsweise die Syntax des Steuerbefehls und die Syntax der Operationsergebnismeldung, im Voraus gespeichert. Der Selektor 36 wählt und liest die Syntax oder Regel, die der Art der vom Analysator 34 erhaltenen Daten aus den in der Speichervorrichtung 42 gespeicherten Daten entspricht.
  • Der Bestimmer 38 bestimmt, dass das Fertigungssystem 100 eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die der Art der Daten entspricht, und benachrichtigt die Außenseite der Datenanalysevorrichtung 30 über das Bestimmungsergebnis. So benachrichtigt beispielsweise der Bestimmer 38 den Sender/Empfänger 32 über das Bestimmungsergebnis, und der Sender/Empfänger 32 erzeugt ein Paket mit dem Bestimmungsergebnis und sendet das Paket an die Fertigungssteuervorrichtung 10. Wie hierin verwendet, umfasst die Anomalie nicht nur eine Anomalie, die durch einen Angriff von außerhalb des Fertigungssystems 100 verursacht wird, sondern auch eine Anomalie, die durch einen Fehler innerhalb des Fertigungssystems 100 verursacht wird.
  • 13 ist ein Flussdiagramm, das ein Beispiel für die Bedienung der Datenanalysevorrichtung 30 in 1 zeigt. Im Block B12 empfängt der Sender/Empfänger 32 in 12 ein Paket vom Netzwerk 2, entfernt den Ethernet-Header aus dem Paket und gibt das resultierende Paket an den Analysator 34 aus. Im Block B14 bezieht der Analysator 34 die Art der Daten in der Nutzlast des empfangenen Pakets von den IP-Adressen und den Portnummern im Paket gemäß der Übereinstimmung von 6, die im Voraus gespeichert sind. Der Analysator 34 gibt den Typ zusammen mit dem Paket an den Selektor 35 aus. Wenn beispielsweise die Quell-IP-Adresse 192.168.10.1, die Ziel-IP-Adresse 192.168.10.10 und die Ziel-Portnummer 10000 ist, bestimmt der Analysator 34, dass der Typ der Daten in der Nutzlast ein Steuerbefehl ist, wie in 8 dargestellt.
  • Im Block B16 wählt und liest der Selektor 36 die Syntax aus, die dem Typ der vom Analysator 34 erhaltenen Daten aus den in der Speichervorrichtung 42 gespeicherten Daten entspricht. Der Selektor 36 gibt die Lesesyntax zusammen mit dem Eingangspaket an den Bestimmer 38 aus. Wenn der Typ der Daten in der Nutzlast ein Steuerbefehl ist, werden Informationen wie in 8 und 9 als Syntax gelesen. Im Block B18 dekodiert der Bestimmer 38 die Nutzlast des Eingangspakets gemäß der vom Selektor 36 gelesenen Syntax.
  • Im Block B22 bestimmt der Bestimmer 38, ob es eine Syntaxverletzung in den Daten der dekodierten Nutzlast gibt oder nicht. Der Steuerbefehl hat ein 16-Bit-Steuerbefehls-Nummernfeld und ein 16-Bit-Steuerparameterfeld, wie in 8 dargestellt. Diese 16-Bit-Felder können ganze Zahlen von 0 bis 65535 ausdrücken. Wenn der Typ der Daten in der Nutzlast ein Steuerbefehl ist, muss der Wert im Feld für die Steuerbefehlsnummer eine ganze Zahl von 0 bis 3 sein, wie in 9 dargestellt. Wenn also der Wert im Feld für die Steuerbefehlsnummer eine andere Zahl als die ganzen Zahlen 0 bis 3 ist, bestimmt der Bestimmer 38, dass eine Syntaxverletzung vorliegt.
  • Wie in 9 dargestellt, muss, wenn der Wert im Feld für die Steuerbefehlsnummer gleich 0 ist, der Wert im Feld für den Steuerparameter eine ganze Zahl von 0 bis 3 sein, und wenn der Wert im Feld für die Steuerbefehlsnummer 1, 2 oder 3 ist, muss der Wert im Feld für den Steuerparameter 0 oder 1 sein. Wenn also der Wert im Feld für die Nummer des Steuerbefehls 0 und der Wert im Feld für den Steuerparameter eine andere Zahl als die ganzen Zahlen 0 bis 3 ist, bestimmt der Bestimmer 38, dass eine Syntaxverletzung vorliegt. Wenn der Wert im Feld für die Nummer des Steuerbefehls 1, 2 oder 3 und der Wert im Feld für den Steuerparameter weder 0 noch 1 ist, bestimmt der Bestimmer 38, dass eine Syntaxverletzung vorliegt.
  • Die Verarbeitung geht weiter zu Block B24, wenn eine Syntaxverletzung vorliegt, oder zu Block B26, wenn keine Syntaxverletzung vorliegt. Im Block B24 bestimmt der Bestimmer 38, dass das Fertigungssystem 100 eine Anomalie aufweist, und benachrichtigt über das Bestimmungsergebnis. So sendet beispielsweise der Bestimmer 38 das Bestimmungsergebnis über den Sender/Empfänger 32 und das Netzwerk 2 an die Fertigungssteuervorrichtung 10. Außerdem kann der Bestimmer 38 einen Indikator zum Anzeigen des Bestimmungsergebnisses verwenden. Im Block B26 bestimmt der Bestimmer 38, dass das Fertigungssystem 100 normal ist. Sobald der Block B24 oder B26 beendet ist, wird die Verarbeitung eines Pakets beendet. Danach kann die Verarbeitung von 13 wiederholt werden.
  • Ein Fall, in dem der Typ der Daten in der Nutzlast eine Operationsergebnismeldung ist, wie in 10 dargestellt, wird dann beschrieben. Wenn beispielsweise die Quell-IP-Adresse 192.168.10.10.10, die Quell-Portnummer 20000 und die Ziel-IP-Adresse 192.168.10.1 lautet, bestimmt der Analysator 34, dass der Typ der Daten in der Nutzlast eine Operationsergebnismeldung gemäß der Übereinstimmung von 6 in Block B14 ist. Wenn der Typ der Daten in der Nutzlast eine Operationsergebnismeldung ist, werden Informationen wie in 10 und 11 als Syntax gelesen.
  • Die Operationsergebnismeldung weist ein 16-Bit- Operationsergebnismeldungs-Nummernfeld, ein 16-Bit-Operationsergebnis-Informationsfeld und ein 32-Bit-Board-Nummernfeld auf, wie in 10 dargestellt. Wenn der Typ der Daten in der Nutzlast eine Operationsergebnismeldung ist, muss der Wert im Operationsergebnismeldungs-Nummernfeld eine ganze Zahl von 0 bis 5 sein, wie in 11 dargestellt. Wenn also der Wert im Operationsergebnismeldungs-Nummernfeld eine beliebige Zahl außer den ganzen Zahlen 0 bis 5 ist, bestimmt der Bestimmer 38, dass eine Syntaxverletzung vorliegt.
  • Für jede der Operationsergebnismeldungs-Nummern müssen die Bitfeldwerte im Informationsfeld für das Operationsergebnis Werte sein, wie in 11 dargestellt. Wenn also die Bitfeldwerte im Informationsfeld des Operationsergebnisses keine Werte sind, wie in 11 dargestellt, bestimmt der Bestimmer 38, dass es eine Syntaxverletzung im Block B22 gibt. Wenn der Wert im Board-Nummernfeld eine beliebige Zahl außer den ganzen Zahlen von 0 bis 32767 ist, bestimmt der Bestimmer 38, dass es eine Syntaxverletzung im Block B22 gibt. Wenn das Board-Nummernfeld nicht hochgezählt wurde, obwohl die Produktion einer Karte abgeschlossen ist, besteht die Möglichkeit, dass eine Karte gestohlen wurde. Der Prüfer 38 stellt daher fest, dass es eine Syntaxverletzung im Block B22 gibt.
  • Wie vorstehend beschrieben, kann die Datenanalysevorrichtung 30 von 12 ein zwischen der Fertigungssteuervorrichtung 10 und der Fertigungsvorrichtung 22 oder 24 im Fertigungssystem 100 übertragenes Paket empfangen und bestimmen, dass das Fertigungssystem 100 eine Abweichung vom Inhalt des Pakets aufweist. Da es sich bei dem empfangenen Paket um ein Paket handelt, das normalerweise im Fertigungssystem 100 verwendet wird, ohne für die Datenanalysevorrichtung 30 relevant zu sein, ist es möglich, eine Abweichung im Fertigungssystem zu erkennen, ohne umfangreiche Änderungen an den bestehenden Fertigungssystemen vorzunehmen. Daher kann ein Angriff von außerhalb des Fertigungssystems, ein Ausfall innerhalb des Fertigungssystems usw. kostengünstig erkannt werden.
  • 14 ist ein Flussdiagramm, das eine Änderung des Flussdiagramms von 13 zeigt. Das Flussdiagramm von 14 unterscheidet sich vom Flussdiagramm von 13 dadurch, dass es die Blöcke B216 und B222 anstelle der Blöcke B16 und B22 aufweist. Außerdem kehrt die Verarbeitung nach den Sätzen B24 und B26 zu Block B12 zurück. Die anderen Aspekte sind denen von 13 ähnlich und daher entfällt hier die Beschreibung derselben.
  • Im Block B216 wählt und liest der Selektor 36 die Syntax und Regel aus, die der Art der vom Analysator 34 erhaltenen Daten aus den in der Speichervorrichtung 42 gespeicherten Daten entspricht. Der Selektor 36 gibt die Lesesyntax und Regel zusammen mit dem Eingabepaket an den Bestimmer 38 aus. Wenn beispielsweise der Typ der Daten in der Nutzlast ein Steuerbefehl ist, werden Informationen wie in 8 als Syntax gelesen, und weiterhin wird in der Regel die Reihenfolge der Arten von Steuerbefehlen gelesen.
  • 15 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Steuerbefehle im Normalzustand zeigt. Im Normalzustand, wie in 15 dargestellt, werden der Board-Einführungsbefehl (Befehlsnummer 1), der Board-Montagebefehl (Befehlsnummer 2) und der Board-Ausführungsbefehl (Befehlsnummer 3) in dieser Reihenfolge wiederholt. Im Block 216 wird eine solche Reihenfolge als Regel gelesen.
  • Im Block B222 bestimmt der Bestimmer 38, ob die Reihenfolge der Informationen, die durch die in den dekodierten Nutzlasten enthaltenen Daten angegeben werden, gegen die Regel verstößt oder nicht. In diesem Fall wird ermittelt, ob die Reihenfolge der Arten von Steuerbefehlen gegen die Regel verstößt oder nicht.
  • 16 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Steuerbefehle in einem anormalen Zustand zeigt. Der Steuerbefehl neben dem Befehl zur Board-Montage sollte ein Befehl zum Ausführen des Boards sein, wie in 15 dargestellt. In 16 ist der dritte Steuerbefehl jedoch der Board-Einführungsbefehl, der ein Board-Ausführungsbefehl sein sollte. Obwohl das Board nicht ausgeführt wurde, wurde der Board-Einführungsbefehl erteilt. Wird dieser Befehl ausgeführt, kann die Fertigungsvorrichtung 22 möglicherweise außer Betrieb geraten. Im Falle von 16 stellt der Bestimmer 38 daher nach Eingabe des dritten Steuerbefehls fest, dass die Reihenfolge der Arten von Steuerbefehlen gegen die Regel verstößt. Die Verarbeitung geht weiter zu Block B24 bei einer Regelverletzung oder zu Block B26 bei einer Regelverletzung.
  • Wie vorstehend beschrieben, kann die Regel, die aus den in der Speichervorrichtung 42 gespeicherten Daten ausgewählt und gelesen wird, die Reihenfolge des Auftretens von Informationen festlegen, die durch die in der Nutzlast eines bestimmten Pakets enthaltenen Daten angezeigt werden, und von Informationen, die durch die in der Nutzlast eines vor dem bestimmten Paket empfangenen Pakets enthaltenen Daten angezeigt werden. Genauer gesagt, wenn ein erster Steuerbefehl in die Nutzlast eines gegebenen Pakets aufgenommen wird, wird ein zweiter Steuerbefehl in die Nutzlast eines Pakets aufgenommen, das vor dem gegebenen Paket empfangen wurde, und der erste Steuerbefehl ist der nächste Befehl des zweiten Steuerbefehls, zum Beispiel kann die Regel die Reihenfolge der Arten dieser Steuerbefehle festlegen.
  • 17 ist ein Flussdiagramm, das eine weitere Änderung des Flussdiagramms von 13 zeigt. Das Flussdiagramm von 17 unterscheidet sich vom Flussdiagramm von 13 dadurch, dass die Blöcke B316 und B322 anstelle der Blöcke B16 und B22 angeordnet sind. Die anderen Aspekte sind denen von 13 ähnlich und daher entfällt hier die Beschreibung derselben.
  • Im Block B316 wählt und liest der Selektor 36 die Syntax und Regel aus, die der Art der vom Analysator 34 erhaltenen Daten aus den in der Speichervorrichtung 42 gespeicherten Daten entsprechen. Der Selektor 36 gibt die Lesesyntax und Regel zusammen mit dem Eingabepaket an den Bestimmer 38 aus. Wenn beispielsweise der Typ der Daten in der Nutzlast eine Operationsergebnismeldung ist, werden Informationen wie in 10 als Syntax gelesen, und weiterhin wird in der Regel die Reihenfolge der Arten von Operationsergebnis-Informationen, die in der Operationsergebnismeldung enthalten sind, gelesen.
  • 18 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Operationsergebnis-Informationen im Normalzustand zeigt. Im Normalzustand, wie in 18 dargestellt, eine Operationsergebnismeldung (Meldungsnummer 1), die die Einführungszeit des Boards als Operationsergebnis-Information umfasst, eine Operationsergebnismeldung (Meldungsnummer 2), die die Montagezeit des Boards als Operationsergebnis-Information umfasst, und eine Operationsergebnismeldung (Meldungsnummer 3), die die Ausführungszeit des Boards umfasst, da die Operationsergebnis-Informationen in dieser Reihenfolge wiederholt werden. Im Block 316 wird eine solche Ordnung als Regel gelesen.
  • Im Block B322 bestimmt der Bestimmer 38, ob die Reihenfolge der Ergebnis-Informationen der Betriebsarten gegen die Regel verstößt oder nicht. 19 ist eine Ansicht, die ein Beispiel für die Reihenfolge der Operationsergebnis-Informationen in einem anormalen Zustand zeigt. Die Informationen über das Operationsergebnis neben der Montagezeit des Boards sollten die Ausführungszeit des Boards sein, wie in 18 dargestellt. In 19 ist die dritte Ergebnis-Information der Operation jedoch die Board-Einführungszeit, die die Board-Ausführungszeit sein sollte. In diesem Fall wird davon ausgegangen, dass das Fertigungssystem 100 eine Anomalie aufweist. So wird beispielsweise das Auftreten eines Fehlers, die Manipulation eines Pakets durch einen Dritten oder dergleichen vermutet. Im Falle von 19 stellt der Bestimmer 38 daher nach Eingabe der dritten Operationsergebnis-Information fest, dass die Reihenfolge der Arten von Operationsergebnis-Informationen gegen die Regel verstößt. Die Verarbeitung geht weiter zur Sperre B24 bei einer Regelverletzung oder zur Sperre B26 bei einer Regelverletzung.
  • Wie vorstehend beschrieben, wenn erste Operationsergebnis-Informationen in die Nutzlast eines gegebenen Pakets aufgenommen werden, zweite Operationsergebnis-Informationen in die Nutzlast eines Pakets aufgenommen werden, das vor dem gegebenen Paket empfangen wurde, und die ersten Operationsergebnis-Informationen die nächsten Informationen zu den zweiten Operationsergebnis-Informationen sind, kann die Regel die Reihenfolge der Arten solcher Operationsergebnis-Informationen festlegen.
  • 20 ist ein Flussdiagramm, das eine weitere Änderung des Flussdiagramms von 13 zeigt. Das Flussdiagramm von 20 unterscheidet sich vom Flussdiagramm von 13 dadurch, dass es die Blöcke B416 und B422 anstelle der Blöcke B16 und B22 und weiterhin den Block B420 aufweist. Die anderen Aspekte sind denen von 13 ähnlich und daher entfällt hier die Beschreibung derselben. In 20 ist ein Steuerbefehl oder eine Operationsergebnismeldung in der Nutzlast eines Pakets enthalten.
  • 21 ist ein Zustandsübergangsdiagramm der Fertigungsvorrichtung 22, das die Übergangswahrscheinlichkeit von jedem Zustand in den nächsten Zustand zeigt. 22 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Wahrscheinlichkeiten von Zustandsübergängen der Fertigungsvorrichtung 22 im Normalzustand zeigt. In 22 sind der aktuelle Zustand der Fertigungsvorrichtung 22 (Übergangsquelle), der nächste Zustand (Übergangsziel), die geschätzte Übergangswahrscheinlichkeit, der Steuerbefehl, der einen Übergang des Zustands der Fertigungsvorrichtung 22 bewirkt, und die Operationsergebnis-Information in einer Operationsergebnismeldung festgelegt, die auftritt, wenn die Fertigungsvorrichtung 22 einen Zustandsübergang durchführt. Die geschätzten Eintrittswahrscheinlichkeiten jedes Steuerbefehls und jeder Operationsergebnis-Information sind identisch mit der geschätzten Wahrscheinlichkeit des entsprechenden Übergangs. Wenn sich die Fertigungsvorrichtung 22 beispielsweise im Zustand des Einbringens der Leiterplatte befindet, beträgt die geschätzte Wahrscheinlichkeit des nächsten Übergangs in den Zustand der Board-Montage 90%. An diesem Übergang erfolgt der Board-Montagebefehl für einen Übergang des Zustands und eine Operationsergebnismeldung, die die für die Board-Einführung erforderliche Zeit und die Zustandsinformationen der Ausrüstung umfasst, wenn die Operationsergebnis-Informationen auftreten. Bei den Kästen ohne Angabe eines Steuerbefehls erfolgt ein Übergang ohne Auftreten eines Steuerbefehls. Informationen wie in 22 werden statistisch im Voraus erfasst und in der Speichervorrichtung 42 gespeichert. Auch in der Fertigungsvorrichtung 24 werden ähnliche Informationen im Voraus gespeichert.
  • Im Block B416 wählt und liest der Selektor 36 die Syntax und Regel aus, die der Art der vom Analysator 34 erhaltenen Daten aus den in der Speichervorrichtung 42 gespeicherten Daten entspricht. Der Selektor 36 gibt die Lesesyntax und Regel zusammen mit dem Eingabepaket an den Bestimmer 38 aus. Beispielsweise werden Informationen wie eine in 8 und 10 als Syntax gelesen, und weiter wird eine Regel wie eine in 22 gelesen.
  • Im Block B420 bestimmt der Bestimmer 38 für jeden Zustand in 21 die tatsächliche Eintrittswahrscheinlichkeit des Übergangs in den nächsten Zustand, den Steuerbefehl oder die Operationsergebnis-Informationen. Der Bestimmer 38 erhält eine solche Eintrittswahrscheinlichkeit, während er sequentiell die Verarbeitung des Empfangs einer Vielzahl von Paketen durchführt.
  • In Block B422 bestimmt der Bestimmer 38, ob der Fehler in einer tatsächlichen Eintrittswahrscheinlichkeit, d.h. die Differenz zwischen einer tatsächlichen Eintrittswahrscheinlichkeit und ihrer geschätzten Wahrscheinlichkeit, gleich oder größer als ein vorgegebener Schwellenwert ist oder nicht. Die Verarbeitung fährt mit Block B24 fort, wenn die Differenz zwischen einer tatsächlichen Eintrittswahrscheinlichkeit und ihrer geschätzten Wahrscheinlichkeit gleich oder größer als ein vorgegebener Schwellenwert ist; andernfalls fährt sie mit Block B26 fort.
  • 23 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Eintrittswahrscheinlichkeiten der Steuerbefehle in einem anormalen Zustand darstellt. Der Schwellenwert des Fehlers wird mit 10% angenommen. Gemäß der Regel in 22, wenn sich die Fertigungsvorrichtung 22 im Standby-Zustand befindet, sollte die Eintrittswahrscheinlichkeit des Board-Einführungsbefehls, der die Fertigungsvorrichtung 22 veranlasst, einen Übergang in den Board-Einführungszustand vorzunehmen, 100% als geschätzte Wahrscheinlichkeit betragen. Tatsächlich sind es jedoch 80% in 23. Da der Fehler in der Eintrittswahrscheinlichkeit 20% beträgt, bestimmt der Bestimmer 38 im Block B422, dass die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als der vorgegebene Schwellenwert ist.
  • 24 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Eintrittswahrscheinlichkeiten der Operationsergebnis-Informationen in einem anormalen Zustand darstellt. Der Schwellenwert des Fehlers wird mit 10% angenommen. Gemäß der Regel in 22, wenn sich die Fertigungsvorrichtung 22 im Standby-Zustand befindet, sollte die Eintrittswahrscheinlichkeit einer Operationsergebnismeldung, die die Zustandsinformationen der Ausrüstung zum Zeitpunkt des Übergangs der Fertigungsvorrichtung 22 in den Board-Einführungszustand umfasst, 100% als geschätzte Wahrscheinlichkeit betragen. Tatsächlich sind es jedoch 50% in 24. Da der Fehler in der Eintrittswahrscheinlichkeit 50% beträgt, bestimmt der Bestimmer 38 im Block B422, dass die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als der vorgegebene Schwellenwert ist.
  • 25 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Eintrittswahrscheinlichkeiten der Zustandsübergänge der Fertigungsvorrichtung 22 in einem anormalen Zustand darstellt. Der Schwellenwert des Fehlers wird mit 10% angenommen. Gemäß der Regel in 22, wenn sich die Fertigungsvorrichtung 22 im Standby-Zustand befindet, sollte die Eintrittswahrscheinlichkeit des Übergangs in den Board-Einführungszustand 100% als geschätzte Wahrscheinlichkeit betragen. Tatsächlich sind es jedoch 80% in 25. Da der Fehler in der Eintrittswahrscheinlichkeit 20% beträgt, bestimmt der Bestimmer 38 im Block B422, dass die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als der vorgegebene Schwellenwert ist.
  • Man beachte, dass der Bestimmer 38 im Block B420 die tatsächliche Eintrittswahrscheinlichkeit von nur einem oder zwei oder mehr der Übergänge in den nächsten Zustand, den Steuerbefehl und die Operationsergebnis-Informationen erhalten kann.
  • Eine Änderung des Beispiels gemäß dem Flussdiagramm von 20 wird beschrieben. 26 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Eintrittswahrscheinlichkeiten der nächsten Befehle im Normalzustand zeigt. In 26 sind der aktuelle Steuerbefehl, der nächste Steuerbefehl und die geschätzte Wahrscheinlichkeit festgelegt. Diese Zahl entspricht den 21 und 22. Wenn beispielsweise der Befehl zum Einführen der Leiterplatte erfolgt, geht die Fertigungsvorrichtung 22 in den Zustand des Einbringens der Leiterplatte über. Daher ist die geschätzte Wahrscheinlichkeit, dass der Board-Montagebefehl als nächstes eintritt, 90%. Informationen wie in 26 werden statistisch im Voraus erfasst und in der Speichervorrichtung 42 gespeichert.
  • Im Block B416 liest der Selektor 36 eine Regel wie in 26 anstelle einer Regel wie in 22. Im Block B420 erhält der Bestimmer 38 für jede Art von aufgetretenem Steuerbefehl die tatsächliche Eintrittswahrscheinlichkeit für jede Art von Steuerbefehl, die als nächstes auftritt. Der Bestimmer 38 erhält eine solche Eintrittswahrscheinlichkeit, während er sequentiell die Verarbeitung des Empfangs einer Vielzahl von Paketen durchführt.
  • In Block B422 bestimmt der Bestimmer 38, ob der Fehler in der tatsächlichen Eintrittswahrscheinlichkeit, d.h. die Differenz zwischen der tatsächlichen Eintrittswahrscheinlichkeit des nächsten Befehls und der geschätzten Wahrscheinlichkeit gleich oder größer als ein vorgegebener Schwellenwert ist oder nicht. Die Verarbeitung fährt mit Block B24 fort, wenn die Differenz zwischen der tatsächlichen Eintrittswahrscheinlichkeit und der geschätzten Wahrscheinlichkeit gleich oder größer als ein vorgegebener Schwellenwert ist; andernfalls fährt sie mit Block B26 fort.
  • Nach diesem Beispiel ist es möglich, zu bestimmen, dass das Fertigungssystem 100 nur von der Art des aufgetretenen Befehls eine Anomalie aufweist.
  • Eine weitere Änderung des Beispiels gemäß dem Flussdiagramm von 20 wird beschrieben. 27 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Eintrittswahrscheinlichkeiten der Informationen über das nächste Operationsergebnis im Normalzustand darstellt. In 27 sind die aktuellen Operationsergebnis-Informationen, die nächsten Operationsergebnis-Informationen und die geschätzte Wahrscheinlichkeit festgelegt. Diese Zahl entspricht den 21 und 22. Wenn beispielsweise die Board-Einführungszeit als Operationsergebnis-Information auftritt, geht die Fertigungsvorrichtung 22 in den Zustand der Board-Montage über. Daher ist die geschätzte Wahrscheinlichkeit, dass die Board-Montagezeit als nächstes als die Operationsergebnis-Information eintritt gleich 85%. Informationen wie eine in 27 werden statistisch im Voraus erfasst und in der Speichervorrichtung 42 gespeichert.
  • Im Block B416 liest der Selektor 36 eine Regel wie in 27 anstelle einer Regel wie in 22. Im Block B420 erhält der Bestimmer 38 für jede Art von Operationsergebnis-Information, die aufgetreten ist, die tatsächliche Eintrittswahrscheinlichkeit für jede Art von Operationsergebnis-Information, die als nächstes auftritt. Der Bestimmer 38 erhält eine solche Eintrittswahrscheinlichkeit, während er sequentiell die Verarbeitung des Empfangs einer Vielzahl von Paketen durchführt.
  • In Block B422 bestimmt der Bestimmer 38, ob der Fehler in der tatsächlichen Eintrittswahrscheinlichkeit, d.h. die Differenz zwischen der tatsächlichen Eintrittswahrscheinlichkeit der nächsten Operationsergebnis-Information und der geschätzten Wahrscheinlichkeit gleich oder größer als ein vorgegebener Schwellenwert ist oder nicht. Die Verarbeitung fährt mit Block B24 fort, wenn die Differenz zwischen der tatsächlichen Eintrittswahrscheinlichkeit und der geschätzten Wahrscheinlichkeit gleich oder größer als der vorgegebene Schwellenwert ist; andernfalls fährt sie mit Block B26 fort.
  • Nach diesem Beispiel ist es möglich, zu bestimmen, dass das Fertigungssystem 100 nur aus der Art der aufgetretenen Operationsergebnis-Informationen eine Anomalie aufweist.
  • 28 ist ein Flussdiagramm, das eine weitere Änderung des Flussdiagramms von 13 zeigt. Das Flussdiagramm von 28 unterscheidet sich vom Flussdiagramm von 13 dadurch, dass es die Blöcke B516 und B522 anstelle der Blöcke B16 und B22 und weiterhin den Block B520 aufweist. Die anderen Aspekte sind denen von 13 ähnlich und daher entfällt hier die Beschreibung derselben. In 28 ist ein Steuerbefehl oder eine Operationsergebnismeldung in der Nutzlast eines Pakets enthalten.
  • 29 ist ein Zustandsübergangsdiagramm der Fertigungsvorrichtung 22, das die Zeit von der Annahme jedes Zustands bis zum nächsten Zustand anzeigt. 30 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Zeiten zeigt, die für die Zustandsübergänge der Fertigungsvorrichtung 22 im Normalzustand erforderlich sind. In 30 sind der aktuelle Zustand der Fertigungsvorrichtung 22 (Übergangsquelle), der nächste Zustand (Übergangsziel), die geschätzte Zeit, die für einen Übergang benötigt wird, der Steuerbefehl, der einen Übergang des Zustands der Fertigungsvorrichtung 22 bewirkt, und die Operationsergebnis-Information in einer Operationsergebnismeldung festgelegt, die auftritt, wenn die Fertigungsvorrichtung 22 einen Zustandswechsel durchführt. In jedem Zustand ist die geschätzte Zeit von der Annahme des Zustands bis zur Ausgabe der nächsten Steuerbefehls- oder Operationsergebnis-Informationen gleich der geschätzten Zeit, die für den Übergang in den nächsten Zustand benötigt wird. Wenn sich die Fertigungsvorrichtung 22 beispielsweise im Zustand des Einbringens der Leiterplatte befindet, beträgt die geschätzte Zeit für den nächsten Übergang in den Zustand der Board-Montage 10 Sekunden. Bei diesem Übergang wird der Board-Montagebefehl für einen Übergang des Zustands ausgegeben und eine Operationsergebnismeldung mit der für die Board-Einführung erforderlichen Zeit und den Gerätezustandsinformationen als Operationsergebnis-Information ausgegeben. Bei den Kästen ohne Angabe des Steuerbefehls wird ein Übergang ohne Ausgabe des Steuerbefehls durchgeführt. Informationen wie in 30 werden statistisch im Voraus erfasst und in der Speichervorrichtung 42 gespeichert. Auch in der Fertigungsvorrichtung 24 werden ähnliche Informationen im Voraus gespeichert.
  • Im Block B516 wählt und liest der Selektor 36 die Syntax und Regel aus, die der Art der vom Analysator 34 erhaltenen Daten aus den in der Speichervorrichtung 42 gespeicherten Daten entspricht. Der Selektor 36 gibt die Lesesyntax und Regel zusammen mit dem Eingabepaket an den Bestimmer 38 aus. Beispielsweise werden Informationen wie in 8 und 10 als Syntax gelesen, und weiter wird eine Regel wie eine in 30 gelesen.
  • Im Block B520 bestimmt der Bestimmer 38 für jeden Zustand in 29 die tatsächliche Zeit, die für den Übergang in den nächsten Zustand, die Ausgabe des Steuerbefehls oder die Ausgabe der Operationsergebnis-Informationen benötigt wird. Der Bestimmer 38 erhält eine solche Zeit, während er sequentiell die Verarbeitung des Empfangs einer Vielzahl von Paketen durchführt.
  • In Block B522 bestimmt der Bestimmer 38, ob der Fehler in einer tatsächlichen Zeit, d.h. die Differenz zwischen einer beliebigen tatsächlichen Zeit und ihrer geschätzten Zeit, gleich oder größer als ein vorgegebener Schwellenwert ist oder nicht. Die Verarbeitung fährt mit Block B24 fort, wenn die Differenz zwischen einer beliebigen tatsächlichen Zeit und ihrer geschätzten Zeit gleich oder größer als der vorgegebene Schwellenwert ist; andernfalls fährt sie mit Block B26 fort.
  • 31 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Zeiten bis zur Ausgabe von Steuerbefehlen in einem anormalen Zustand zeigt. Der Schwellenwert des Fehlers wird mit 15 Sekunden angenommen. Gemäß der Regel in 30 sollte die Zeit von dem Zeitpunkt, an dem die Fertigungsvorrichtung 22 in den Zustand der Board-Montage übergegangen ist, bis zum Ausführungsbefehl ausgegeben werden, der bewirkt, dass die Fertigungsvorrichtung 22 in den Zustand der Leiterplattenausführung übergeht, 10 Sekunden als geschätzte Zeit betragen. Tatsächlich sind es aber 100 Sekunden in 31. Da der Fehler in der Zeit 90 Sekunden beträgt, bestimmt der Bestimmer 38, dass die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als der vorgegebene Schwellenwert ist.
  • 32 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Zeiten zeigt, bis die Ausgabe von Betriebsinformationen in einem anormalen Zustand erfolgt. Der Schwellenwert des Fehlers wird mit 15 Sekunden angenommen. Gemäß der Regel in 30 sollte die Zeit von dem Zeitpunkt, an dem die Fertigungsvorrichtung 22 zum Board-Montagezustand geworden ist, bis zu einer Operationsergebnismeldung einschließlich der Board-Montagezeit zum Zeitpunkt des Übergangs der Fertigungsvorrichtung 22 in den Zustand der Leiterplattenausführung 10 Sekunden als geschätzte Zeit betragen. Eigentlich sind es aber 100 Sekunden in 32. Da der Fehler in der Zeit 90 Sekunden beträgt, bestimmt der Bestimmer 38, dass die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als der vorgegebene Schwellenwert ist.
  • 33 ist eine Ansicht, die ein Beispiel für Informationen über die tatsächlichen Zeiten zeigt, die für die Zustandsübergänge der Fertigungsvorrichtung 22 in einem anormalen Zustand erforderlich sind. Der Schwellenwert des Fehlers wird mit 15 Sekunden angenommen. Gemäß der Regel in 30 sollte die Zeit von dem Zeitpunkt, an dem die Fertigungsvorrichtung 22 zum Board-Montagezustand geworden ist, bis zum Übergang in den Zustand der Leiterplattendurchführung 10 Sekunden als geschätzte Zeit betragen. Tatsächlich sind es aber 100 Sekunden in 33. Da der Fehler in der Zeit 90 Sekunden beträgt, bestimmt der Bestimmer 38, dass die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als der vorgegebene Schwellenwert ist.
  • Es ist zu beachten, dass der Bestimmer 38 im Block B520 nur eine oder zwei oder mehr der für den Übergang in den nächsten Zustand erforderlichen Zeit, die Zeit bis zur Ausgabe des Steuerbefehls und die Zeit bis zur Ausgabe der Operationsergebnis-Informationen erhalten kann.
  • Eine Änderung des Beispiels gemäß dem Flussdiagramm von 28 wird beschrieben. 34 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Zeiten bis zur Ausgabe der nächsten Befehle im Normalzustand zeigt. In 34 sind der aktuelle Steuerbefehl, der nächste Steuerbefehl und die geschätzte Zeit festgelegt. Diese Zahl entspricht den 29 und 30. Wenn beispielsweise der Befehl zur Board-Montage ausgegeben wird, geht die Fertigungsvorrichtung 22 in den Zustand der Board-Montage über. Daher beträgt die geschätzte Zeit von der Ausgabe des Board-Montagebefehls bis zur Ausgabe des nächsten Board-Ausführungsbefehls 10 Sekunden. Informationen wie eine in 34 werden statistisch im Voraus erfasst und in der Speichervorrichtung 42 gespeichert.
  • Im Block B516 liest der Selektor 36 eine Regel wie in 34 anstelle einer Regel wie in 30. Im Block B520 erhält der Bestimmer 38 für jede Art der Ausgabe von Steuerbefehlen die tatsächliche Zeit von der Ausgabe des Steuerbefehls bis zur nächsten Ausgabe jeder Art von Steuerbefehl. Der Bestimmer 38 erhält eine solche Zeit, während er sequentiell die Verarbeitung des Empfangs einer Vielzahl von Paketen durchführt.
  • Im Block B522 bestimmt der Bestimmer 38, ob der Fehler in der tatsächlichen Zeit, d.h. die Differenz zwischen der tatsächlichen Zeit bis zum nächsten Befehl und der geschätzten Zeit gleich oder größer als ein vorgegebener Schwellenwert ist oder nicht. Die Verarbeitung fährt mit Block B24 fort, wenn die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit gleich oder größer als der vorgegebene Schwellenwert ist; andernfalls fährt sie mit Block B26 fort.
  • Nach diesem Beispiel ist es möglich, zu bestimmen, dass das Fertigungssystem 100 nur von der Art des aufgetretenen Befehls eine Anomalie aufweist.
  • Eine weitere Änderung des Beispiels gemäß dem Flussdiagramm von 28 wird beschrieben. 35 ist eine Ansicht, die ein Beispiel für eine Regel bezüglich der Zeit zeigt, bis die Ausgabe der nächsten Operation im Normalzustand zu einer Information führt. In 35 werden die aktuellen Operationsergebnis-Informationen, die nächsten Operationsergebnis-Informationen und die geschätzte Zeit festgelegt. Diese Zahl entspricht den 29 und 30. Wenn beispielsweise die Board-Einführungszeit als Operationsergebnis-Information ausgegeben wird, geht die Fertigungsvorrichtung 22 in den Zustand der Board-Montage über. Daher wird die geschätzte Zeit vom Ausgang der Board-Einführungszeit bis zur nächsten Ausgabe der Platinenmontagezeit als Ergebnis-Information 10 Sekunden betragen. Informationen wie in 35 werden statistisch im Voraus erfasst und in der Speichervorrichtung 42 gespeichert.
  • Im Block B516 liest der Selektor 36 eine Regel wie in 35 anstelle einer Regel wie in 30. Im Block B520 erhält der Bestimmer 38 für jede Art von Operationsergebnis-Information die tatsächliche Zeit von der Ausgabe der Operationsergebnis-Information bis zur nächsten Ausgabe jeder Art von Operationsergebnis-Information. Der Bestimmer 38 erhält eine solche Zeit, während er sequentiell die Verarbeitung des Empfangs einer Vielzahl von Paketen durchführt.
  • In Block B522 bestimmt der Bestimmer 38, ob der Fehler in der tatsächlichen Zeit, d.h. die Differenz zwischen der tatsächlichen Zeit bis zur nächsten Ausgabe der Operationsergebnis-Information und der geschätzten Zeit gleich oder größer als ein vorgegebener Schwellenwert ist oder nicht. Die Verarbeitung fährt mit Block B24 fort, wenn die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit gleich oder größer als der vorgegebene Schwellenwert ist; andernfalls fährt sie mit Block B26 fort.
  • Nach diesem Beispiel ist es möglich, zu bestimmen, dass das Fertigungssystem 100 nur aus der Art der aufgetretenen Operationsergebnis-Informationen eine Anomalie aufweist.
  • Man beachte, dass die Datenanalysevorrichtung 30 konfiguriert werden kann, um Regeln wie in 22, 26, 27, 30, 34 und 35 dargestellt zu lernen, beispielsweise aus den Nutzlasten einer Vielzahl von Paketen, die vom Sender/Empfänger 32 empfangen werden. So kann beispielsweise eine Mittelwertbildung für jede der Bedingungen, wie beispielsweise Kombinationen von Zuständen und deren Folgezuständen, aus einer Vielzahl von Paketen durchgeführt werden, wodurch geschätzte Wahrscheinlichkeiten und geschätzte Zeiten wie vorstehend beschrieben im Voraus erhalten und die erhaltenen in der Speichervorrichtung 42 gespeichert werden.
  • 36 ist ein Blockdiagramm, das ein Konfigurationsbeispiel eines Computersystems zeigt, das die Datenanalysevorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung implementiert. Ein Computersystem 80 von 36 hat einen Prozessor 82, einen Sender/Empfänger 84, einen Bus 88, einen Speicher 92, eine Datei-Speichervorrichtung 94, eine Eingabevorrichtung 96 und eine Anzeige 98.
  • Der Prozessor 82 kommuniziert mit den anderen Komponenten über den Bus 88. Der Sender/Empfänger 84 sendet/empfängt Daten an/von einem Kommunikationsnetzwerk wie dem Internet. Der Sender/Empfänger 84 kann drahtlos mit dem Kommunikationsnetzwerk verbunden werden.
  • Der Speicher 92 umfasst Direktzugriffsspeicher (RAM) und Nur-Lese-Speicher (ROM), um beispielsweise Daten und Befehle zu speichern. Die Datei-Speichervorrichtung 94 umfasst ein oder mehrere flüchtige oder nichtflüchtige, nichtflüchtige, nicht vorübergehende, computerlesbare Speichermedien. Wenn die Ausführungsform der vorliegenden Erfindung durch Software realisiert wird, kann beispielsweise der Mikrocode, der Code einer Assemblersprache oder der Code einer übergeordneten Sprache verwendet werden. Die Dateiablagevorrichtung 94 speichert ein Programm, das mit einem solchen Code beschrieben wird und Befehle zur Implementierung der Funktionen der Ausführungsform der vorliegenden Erfindung umfasst. Die Datei-Speichervorrichtung 94 kann Halbleiterspeicher wie RAM, ROM, elektrisch löschbaren programmierbaren Nur-Lese-Speicher (EEPROM) und Flash-Speicher, ein magnetisches Aufzeichnungsmedium wie eine Festplatte, ein optisches Aufzeichnungsmedium und eine Kombination derselben umfassen.
  • Die Eingabevorrichtung 96 kann einen Touchscreen, eine Tastatur, eine Fernbedienung und eine Maus umfassen. Die Anzeige 98 kann eine Flachbildschirmanzeige, wie beispielsweise eine Flüssigkristallanzeige, und eine organische Elektrolumineszenzanzeige (EL) umfassen.
  • Das Computersystem 80 kann als Datenanalysegerät 30 in 1 arbeiten. Der Prozessor 82 kann als Analysator 34, Selektor 36 und Bestimmer 38 in 12 arbeiten. Der Sender/Empfänger 84 kann als Sender/Empfänger 32 in 12 arbeiten. Die Datei-Speichervorrichtung 94 kann als Speichervorrichtung 42 in 12 betrieben werden.
  • Die hierin beschriebenen Funktionsblöcke können durch Hardware, wie beispielsweise Schaltungen, implementiert werden. Alternativ kann ein Teil oder die Gesamtheit der Funktionsblöcke per Software implementiert werden. Solche Funktionsblöcke können beispielsweise vom Prozessor 82 und einem auf dem Prozessor 82 ausgeführten Programm implementiert werden. Mit anderen Worten, die hierin beschriebenen Funktionsblöcke können durch Hardware, durch Software oder durch eine bestimmte Kombination aus Hardware und Software implementiert werden.
  • Es ist zu verstehen, dass die vorstehend beschriebenen Ausführungsformen im Wesentlichen bevorzugte Abbildungen darstellen und keineswegs dazu bestimmt sind, den Umfang der vorliegenden Erfindung, ihrer Anwendungen oder ihrer Verwendungen einzuschränken.
  • INDUSTRIELLE ANWENDBARKEIT
  • Wie vorstehend beschrieben, ist die vorliegende Offenbarung für das Datenanalysegerät, das Verfahren und das Programm nützlich.
  • Bezugszeichenliste
    • 2
    Netzwerk,
    10
    Fertigungssteuervorrichtung,
    22, 24
    Fertigungsvorrichtung,
    30
    Datenanalysevorrichtung,
    32
    Sender/Empfänger (Empfänger),
    34
    Analysator,
    36
    Selektor,
    38
    Bestimmer,
    42
    Speichervorrichtung,
    100
    Fertigungssystem

Claims (19)

  1. Datenanalysevorrichtung, die konfiguriert ist, um die in einem Fertigungssystem mit einer Fertigungsvorrichtung und einer Fertigungssteuervorrichtung, die die Fertigungsvorrichtung steuert, übertragenen Daten zu analysieren, wobei die Datenanalysevorrichtung umfasst: einen Empfänger, der konfiguriert ist, um ein erstes Paket zu empfangen, das zwischen der Fertigungssteuervorrichtung und der Fertigungsvorrichtung übertragen wird; einen Analysator, der konfiguriert ist, um die Art der Daten, die in einer Nutzlast des empfangenen ersten Pakets enthalten sind, von einer IP-Adresse und einer Portnummer, die in einem Header des ersten Pakets enthalten ist, zu erhalten; einen Selektor, der konfiguriert ist, um basierend auf dem Typ der durch den Analysator erhaltenen Daten eine Syntax oder Regel auszuwählen, die dem Typ der Daten entspricht; und einen Bestimmer, der konfiguriert ist, um zu bestimmen, dass das Fertigungssystem eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die dem Typ der Daten entspricht.
  2. Datenanalysevorrichtung nach Anspruch 1, wobei ein Steuerbefehl in der Nutzlast enthalten ist und die Syntax eine Syntax des Steuerbefehls ist.
  3. Datenanalysevorrichtung nach Anspruch 1, wobei eine Operationsergebnismeldung der Fertigungsvorrichtung in der Nutzlast enthalten ist, und die Syntax eine Syntax der Operationsergebnismeldung ist.
  4. Datenanalysevorrichtung nach Anspruch 1, wobei die Regel die Reihenfolge zwischen Informationen festlegt, die durch die in der Nutzlast des ersten Pakets enthaltenen Daten angegeben werden, und Informationen, die durch Daten in einer Nutzlast eines zweiten Pakets angegeben werden, das vor dem ersten Paket empfangen wurde.
  5. Datenanalysevorrichtung nach Anspruch 4, wobei ein erster Steuerbefehl in der Nutzlast des ersten Pakets enthalten ist, ein zweiter Steuerbefehl in der Nutzlast des zweiten Pakets enthalten ist, wobei der erste Steuerbefehl ein Befehl neben dem zweiten Steuerbefehl ist, und die Regel die Reihenfolge zwischen der Art des ersten Steuerbefehls und der Art des zweiten Steuerbefehls festlegt.
  6. Datenanalysevorrichtung nach Anspruch 4, wobei erste Operationsergebnis-Informationen in der Nutzlast des ersten Pakets enthalten sind, zweite Operationsergebnis-Informationen in der Nutzlast des zweiten Pakets enthalten sind, wobei die ersten Operationsergebnis-Informationen eine Mitteilung neben den zweiten Operationsergebnis-Informationenen sind, und die Regel die Reihenfolge zwischen dem Typ den ersten Operationsergebnis-Informationen und dem Typ der zweiten Operationsergebnis-Informationen festlegt.
  7. Datenanalysevorrichtung nach Anspruch 1, wobei ein Steuerbefehl in der Nutzlast des ersten Pakets enthalten ist, die Regel eine geschätzte Eintrittswahrscheinlichkeit des Steuerbefehls festlegt, die bewirkt, dass die Fertigungsvorrichtung in einen zweiten Zustand übergeht, wenn sich die Fertigungsvorrichtung in einem ersten Zustand befindet, und der Bestimmer eine tatsächliche Eintrittswahrscheinlichkeit des Steuerbefehls erhält, wenn sich die Fertigungsvorrichtung im ersten Zustand befindet, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als ein vorbestimmter Wert ist.
  8. Datenanalysevorrichtung nach Anspruch 1, wobei Operationsergebnis-Informationen in der Nutzlast des ersten Pakets enthalten sind, die Regel eine geschätzte Eintrittswahrscheinlichkeit der Operationsergebnis-Informationen zum Zeitpunkt des Übergangs der Fertigungsvorrichtung in einen zweiten Zustand vorsieht, wenn sich die Fertigungsvorrichtung in einem ersten Zustand befindet, und der Bestimmer eine tatsächliche Eintrittswahrscheinlichkeit der Operationsergebnis-Information erhält, wenn sich die Fertigungsvorrichtung im ersten Zustand befindet, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als ein vorbestimmter Wert ist.
  9. Datenanalysevorrichtung nach Anspruch 1, wobei die Regel eine geschätzte Eintrittswahrscheinlichkeit eines Übergangs der Fertigungsvorrichtung in einen zweiten Zustand vorsieht, wenn sich die Fertigungsvorrichtung in einem ersten Zustand befindet, und der Bestimmer eine tatsächliche Eintrittswahrscheinlichkeit für den Übergang der Fertigungsvorrichtung in den zweiten Zustand erhält, wenn sich die Fertigungsvorrichtung im ersten Zustand befindet, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als ein vorbestimmter Wert ist.
  10. Datenanalysevorrichtung nach Anspruch 1, wobei ein erster Steuerbefehl in der Nutzlast des ersten Pakets enthalten ist, ein zweiter Steuerbefehl in einer Nutzlast eines vor dem ersten Paket empfangenen zweiten Pakets enthalten ist, wobei der erste Steuerbefehl ein Befehl neben dem zweiten Steuerbefehl ist, die Regel eine geschätzte Eintrittswahrscheinlichkeit des ersten Steuerbefehls neben dem zweiten Steuerbefehl festlegt, wenn der zweite Steuerbefehl aufgetreten ist, und der Bestimmer eine tatsächliche Eintrittswahrscheinlichkeit des ersten Steuerbefehls neben dem zweiten Steuerbefehl erhält, wenn der zweite Steuerbefehl aufgetreten ist, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als ein vorbestimmter Wert ist.
  11. Datenanalysevorrichtung nach Anspruch 1, wobei Ergebnis-Informationen der ersten Operation in der Nutzlast des ersten Pakets enthalten sind, zweite Operationsergebnis-Informationen in einer Nutzlast eines zweiten Pakets enthalten sind, das vor dem ersten Paket empfangen wurde, wobei die ersten Operationsergebnis-Informationen Informationen neben den zweiten Operationsergebnis-Informationen sind, die Regel eine geschätzte Eintrittswahrscheinlichkeit der ersten Operationsergebnis-Informationen neben den zweiten Operationsergebnis-Informationen festlegt, wenn die zweiten Operationsergebnis-Informationen aufgetreten sind, und der Bestimmer eine tatsächliche Eintrittswahrscheinlichkeit der ersten Operationsergebnis-Informationen neben den zweiten Operationsergebnis-Informationen erhält, wenn die zweiten Operationsergebnis-Informationen aufgetreten sind, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Wahrscheinlichkeit und der geschätzten Wahrscheinlichkeit größer als ein vorbestimmter Wert ist.
  12. Datenanalysevorrichtung nach Anspruch 1, wobei ein Steuerbefehl in der Nutzlast des ersten Pakets enthalten ist, die Regel eine geschätzte Zeitspanne von dem Zeitpunkt, an dem die Fertigungsvorrichtung zu einem ersten Zustand geworden ist, bis der Steuerbefehl, der die Fertigungsvorrichtung veranlasst, einen Übergang in einen zweiten Zustand vorzunehmen, ausgegeben wird, und der Bestimmer eine tatsächliche Zeit erhält, von dem an die Fertigungsvorrichtung zum ersten Zustand geworden ist, bis der Steuerbefehl empfangen wird, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als ein vorbestimmter Wert ist.
  13. Datenanalysevorrichtung nach Anspruch 1, wobei Operationsergebnis-Informationen in der Nutzlast des ersten Pakets enthalten sind, die Regel eine geschätzte Zeit festlegt, von der an, wenn die Fertigungsvorrichtung zu einem ersten Zustand geworden ist, bis die Operationsergebnis-Informationen, die zum Zeitpunkt des Übergangs der Fertigungsvorrichtung in einen zweiten Zustand auszugeben sind, ausgegeben wird, und der Bestimmer eine tatsächliche Zeit erhält, von dem an die Fertigungsvorrichtung zum ersten Zustand geworden ist, bis die Operationsergebnis-Information ausgegeben wird, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als ein vorbestimmter Wert ist.
  14. Datenanalysevorrichtung nach Anspruch 1, wobei die Regel eine geschätzte Zeitspanne festlegt, von der an die Fertigungsvorrichtung zu einem ersten Zustand geworden ist, bis die Fertigungsvorrichtung einen Übergang zu einem zweiten Zustand macht, und der Bestimmer eine tatsächliche Zeit erhält, von dem an, wenn die Fertigungsvorrichtung zum ersten Zustand geworden ist, bis die Fertigungsvorrichtung einen Übergang zum zweiten Zustand macht, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als ein vorbestimmter Wert ist.
  15. Datenanalysevorrichtung nach Anspruch 1, wobei ein erster Steuerbefehl in der Nutzlast des ersten Pakets enthalten ist, ein zweiter Steuerbefehl in einer Nutzlast eines vor dem ersten Paket empfangenen zweiten Pakets enthalten ist, wobei der erste Steuerbefehl ein Befehl neben dem zweiten Steuerbefehl ist, die Regel eine geschätzte Zeitspanne von der Ausgabe des zweiten Steuerbefehls bis zur Ausgabe des ersten Steuerbefehls festlegt, und der Bestimmer eine tatsächliche Zeit erhält, von der an der zweite Steuerbefehl ausgegeben wurde, bis der erste Steuerbefehl ausgegeben wird, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als ein vorbestimmter Wert ist.
  16. Datenanalysevorrichtung nach Anspruch 1, wobei Erste Operationsergebnis-Informationen in der Nutzlast des ersten Pakets enthalten sind, zweite Operationsergebnis-Informationen in einer Nutzlast eines zweiten Pakets enthalten sind, das vor dem ersten Paket empfangen wurde, wobei die ersten Operationsergebnis-Informationen Informationen neben den zweiten Operationsergebnis-Informationen sind, die Regel eine geschätzte Zeitspanne zwischen der Ausgabe der zweiten Operationsergebnis-Informationen und der Ausgabe der ersten Operationsergebnis-Informationen festlegt, und der Bestimmer eine tatsächliche Zeit erhält, von der an die Ausgabe der zweiten Operationsergebnis-Informationen erfolgt ist, bis die erste Operationsergebnis-Informationen ausgegeben werden, und bestimmt, dass das Fertigungssystem eine Anomalie aufweist, wenn die Differenz zwischen der tatsächlichen Zeit und der geschätzten Zeit größer als ein vorbestimmter Wert ist.
  17. Datenanalysevorrichtung nach Anspruch 1, wobei die Regel aus den Nutzlasten einer Vielzahl von Paketen gelernt wird, die vom Empfänger empfangen werden.
  18. Datenanalyseverfahren zum Analysieren von Daten, die in einem Fertigungssystem mit einer Fertigungsvorrichtung und einer Fertigungssteuervorrichtung übertragen werden, die die Fertigungsvorrichtung steuert, wobei das Verfahren umfasst: Empfangen eines Pakets, das zwischen der Fertigungssteuervorrichtung und der Fertigungsvorrichtung übertragen wird; Erhalten der Art von Daten, die in einer Nutzlast des empfangenen Pakets enthalten sind, von einer IP-Adresse und einer Portnummer, die in einem Header des Pakets enthalten ist; Auswählen einer Syntax oder Regel, die dem Typ der Daten entspricht, basierend auf dem Typ der erhaltenen Daten; und Bestimmen, dass das Fertigungssystem eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die dem Typ der Daten entspricht.
  19. Datenanalyseprogramm, das einen Computer veranlasst, ein Datenanalyseverfahren zum Analysieren von Daten durchzuführen, die in einem Fertigungssystem übertragen werden, das eine Fertigungsvorrichtung und eine Fertigungssteuervorrichtung aufweist, die die Fertigungsvorrichtung steuert, wobei das Datenanalyseverfahren umfasst: Empfangen eines Pakets, das zwischen der Fertigungssteuervorrichtung und der Fertigungsvorrichtung übertragen wird; Erhalten der Art von Daten, die in einer Nutzlast des empfangenen Pakets enthalten sind, von einer IP-Adresse und einer Portnummer, die in einem Header des Pakets enthalten ist; Auswählen einer Syntax oder Regel, die dem Typ der Daten entspricht, basierend auf dem Typ der erhaltenen Daten; und Bestimmen, dass das Fertigungssystem eine Anomalie aufweist, wenn die in der Nutzlast enthaltenen Daten nicht der Syntax oder Regel folgen, die dem Typ der Daten entspricht.
DE112018001624.2T 2017-03-27 2018-03-27 Datenanalysevorrichtung, -verfahren und -programm Pending DE112018001624T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017061210 2017-03-27
JP2017-061210 2017-03-27
PCT/JP2018/012306 WO2018181253A1 (ja) 2017-03-27 2018-03-27 データ分析装置、方法、及びプログラム

Publications (1)

Publication Number Publication Date
DE112018001624T5 true DE112018001624T5 (de) 2020-01-16

Family

ID=63677663

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018001624.2T Pending DE112018001624T5 (de) 2017-03-27 2018-03-27 Datenanalysevorrichtung, -verfahren und -programm

Country Status (5)

Country Link
US (1) US10986115B2 (de)
JP (1) JP7033733B2 (de)
CN (1) CN110463145B (de)
DE (1) DE112018001624T5 (de)
WO (1) WO2018181253A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220048233A (ko) * 2020-10-12 2022-04-19 삼성에스디에스 주식회사 비정상 이벤트 탐지 방법, 그리고 이를 구현하기 위한 장치

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3095123B2 (ja) * 1995-12-13 2000-10-03 富士ゼロックス株式会社 画像形成装置および方法
EP2618538B1 (de) * 2003-11-12 2018-09-05 The Trustees Of Columbia University In The City Of New York Vorrichtung, Verfahren und Medium zur Erkennung von Nutzlastanomalie mit N-Grammverteilung normaler Daten
JP2005223847A (ja) * 2004-02-09 2005-08-18 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
CN1662132B (zh) * 2004-02-26 2010-08-18 欧姆龙株式会社 安装错误检测方法和采用该方法的基板检测装置
JP2007188405A (ja) * 2006-01-16 2007-07-26 Nec Electronics Corp 異常検出システムおよび異常検出方法
JP2009021808A (ja) * 2007-07-11 2009-01-29 Nippon Telegraph & Telephone East Corp 信号モニタ装置及びコンピュータプログラム
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
JP5814803B2 (ja) * 2012-01-16 2015-11-17 富士通株式会社 送信回路、受信回路、送信方法及び受信方法
US9740182B2 (en) * 2012-06-08 2017-08-22 Applied Materials, Inc. Integrated controller solution for monitoring and controlling manufacturing equipment
JP5947838B2 (ja) * 2014-07-04 2016-07-06 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム
CN105868220B (zh) * 2015-01-23 2020-03-06 中芯国际集成电路制造(上海)有限公司 数据处理方法和装置

Also Published As

Publication number Publication date
US10986115B2 (en) 2021-04-20
CN110463145B (zh) 2021-09-24
CN110463145A (zh) 2019-11-15
US20200021610A1 (en) 2020-01-16
WO2018181253A1 (ja) 2018-10-04
JPWO2018181253A1 (ja) 2020-02-06
JP7033733B2 (ja) 2022-03-11

Similar Documents

Publication Publication Date Title
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE112016004438T5 (de) Bordkommunikationssystem
EP3451624A1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
EP1768342A1 (de) Netzwerkkomponente, Kommunikationsnetzwerk und Verfahren zur Bereitstellung einer Datenverbindung
DE112018001624T5 (de) Datenanalysevorrichtung, -verfahren und -programm
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102005014775B4 (de) Verfahren, Kommunikationsanordnung und Kommunikationseinrichtung zur Steuerung des Zugriffs auf zumindest eine Kommunikationseinrichtung
DE112017001052T5 (de) Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung
DE102019210224A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
DE102019210226A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
EP2369810B1 (de) Verfahren und System zum Schutz eines Kommunikationssystems oder eines Kommunikationsnetzwerkes
DE102022108862A1 (de) Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen
DE102015107071B3 (de) Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
WO2021122298A1 (de) Übertragungsvorrichtung zum übertragen von daten
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
DE102019210230A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012700000

Ipc: H04L0047000000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0047000000

Ipc: H04L0049550000

R016 Response to examination communication