JP2004086367A - プラントネットワーク健全性診断装置とその方法 - Google Patents

プラントネットワーク健全性診断装置とその方法 Download PDF

Info

Publication number
JP2004086367A
JP2004086367A JP2002244171A JP2002244171A JP2004086367A JP 2004086367 A JP2004086367 A JP 2004086367A JP 2002244171 A JP2002244171 A JP 2002244171A JP 2002244171 A JP2002244171 A JP 2002244171A JP 2004086367 A JP2004086367 A JP 2004086367A
Authority
JP
Japan
Prior art keywords
data
plant network
information
frame
reference information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002244171A
Other languages
English (en)
Other versions
JP4326768B2 (ja
Inventor
Toshibumi Hayashi
林 俊文
Takahiro Hatanaka
畑中 隆洋
Jun Ikeda
池田 旬
Hiroshi Nishikawa
西川 洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002244171A priority Critical patent/JP4326768B2/ja
Publication of JP2004086367A publication Critical patent/JP2004086367A/ja
Application granted granted Critical
Publication of JP4326768B2 publication Critical patent/JP4326768B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】制御装置を接続するネットワークを流れるデータを監視して、制御装置の異常を判定すると共に不正なアクセスを発見し、ネットワークを経由して現場の外へ通報可能にする。
【解決手段】リピータ104を介して制御装置101A〜101Cおよびオペレータコンソール105がスター型に接続される。プラントネットワーク健全性診断装置は、リピータ104にデータ収集手段110を直接接続し、データ収集手段110に検査手段120を直接接続することにより構成される。データ収集手段110は、プラントネットワークに送信された全てのフレームを受信し、収集する。検査手段120の定周期データ検査手段130は、定周期で送信されるフレームを予め記録されたフレーム基準情報と比較することでフレームの検査を行う。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、プラントネットワークの健全性を診断するための装置と方法に関するものである。
【0002】
【従来の技術】
発電プラントのようなプロセスプラントにおいては、制御装置はネットワークを通じて接続され、各制御装置は他の制御装置に向けて一定の周期でデータを送信するようになっている。
【0003】
図18は、プラントネットワークの典型的な構成例を示すブロック図である。制御装置101A〜101Cの各々には、プラントのプロセス量を測定するための個別のセンサ102A〜102Cと、プラントの弁やポンプを制御するための個別のアクチュエータ103A〜103Cがそれぞれ接続されている。各制御装置は、ネットワークを通じてお互いに、あるいはオペレータコンソール105とデータを交換する。オペレータコンソール105は、プラント運転員がプラントの状態を監視し、また制御装置に操作指令を送るための装置である。
【0004】
プラントネットワークの実装として、図18では、Ethernet(IEEE 802)を用い、リピータ104を介して制御装置101A〜101Cおよびオペレータコンソール105がスター型に接続されている。リピータ104は、制御装置の一つ、あるいはオペレータコンソール105から送信されてきた信号を、ネットワークに接続された全ての装置(制御装置およびオペレータコンソール)に送信するものである。
【0005】
Ethernetに接続された全ての機器が送信する信号は、規格によって定められた形式を持っており、制限された長さのフレームを単位に構成される。図19にフレームの形式を示す。各フレームには送信先アドレス201と送信元アドレス202が記録されている。アドレスは、Ethernetでは48ビットの数値である。アドレスの後に、プロトコル型203、データ部204、フレームチェック205が続く。このうちのデータ部204に機器が送信するデータが入る。
【0006】
リピータ204は、前述したように、接続された全ての機器、すなわち、制御装置101A〜101Cおよびオペレータコンソール105の一つから送られてきたフレームを、全ての装置に送信する。したがって、リピータ104に接続された機器は、他の制御装置が送信した全てのフレームを受信するが、送信先アドレスが自分宛以外のフレームは破棄する。また、送信先アドレスの中には、全ての装置を送信先とするブロードキャストアドレスおよび、特定のグループを送信先とするマルチキャストアドレスがある。
【0007】
一般に、プロセスプラントの制御装置は、センサ信号の入力、他制御装置からのデータの受信、データの処理、アクチュエータへの信号の出力、他制御装置へのデータの送信、を周期的な処理で実行しており、ネットワークへの送信周期は、制御装置の処理周期に対応している。また、各制御装置の送信周期は、制御装置の対象とするプロセスの進行速度に依存しており、速いプロセスの場合で数十ミリ秒、遅いプロセスで数秒程度である。
【0008】
ところで、制御装置に何らかの異常が発生した場合、データをまったく送信できない、あるいは予め定められた送信周期を守れないことがある。従来、制御装置に異常が発生した場合に、制御装置自体が自己診断可能な異常であれば、制御装置のパネルに異常を知らせるランプが点灯し、パネルを点検することで異常を確認していた。
【0009】
また、悪意の第三者が、リピータに不正な装置を繋ぎ、この装置から制御装置に不正な操作信号を送信する可能性もある。さらに、図18には描かれていないが、プラントネットワークが外部ネットワークと何らかの接点を持っている場合に、悪意の第三者がその接点を介して不正な操作信号を送信することも可能性として否定できない。従来、このような悪意の第三者による不正なアクセスを防止するために、プラントネットワークをファイアウォールによって外部ネットワークから遮断する方法が取られている。
【0010】
【発明が解決しようとする課題】
しかしながら、上記のような従来のプラントネットワークにおいては、次のような問題点が存在している。
【0011】
まず、制御装置自体では自己診断できない異常、あるいは制御装置自体の自己診断機能も含めた異常が発生した場合に、それらの異常を検知することは難しかった。また、自己診断によりパネルに異常を知らせるランプが点灯した場合でも、制御装置の設置されている現場にプラント保守員が赴かなければ確認できなかった。また、ファイアウォールを用いた場合でも、不正なアクセスを完全に防ぐことは困難であるにも拘わらず、従来、外部ネットワークからの不正侵入を検知する手段は設けられていなかった。
【0012】
本発明は、上記のような従来技術の問題点を解決するために提案されたものであり、その目的は、既存のプラントネットワーク自体の構成をほとんど変更せずに、制御装置を接続するネットワークを流れるデータを監視して、制御装置の異常を判定すると共に不正なアクセスを発見し、ネットワークを経由して現場の外へ通報可能なプラントネットワーク健全性診断装置とその方法を提供することである。
【0013】
【課題を解決するための手段】
本発明は、プラントネットワークを流れるデータを収集し、収集したデータの通信時刻とそのデータに含まれる情報を、データの送信周期とデータ特定情報を含む予め記録された基準情報と比較することにより、各データが正しい送信元から正しい周期で送信されているかを検査できるようにしたものである。
【0014】
なお、本発明において重要な用語の定義は次の通りである。
「通信時刻」は、データ収集側でデータを収集した時刻だけでなく、送信元からデータを送信した時刻や、送信時に付加される時刻等、データの送信に伴って得られる各種の時刻を含む広い概念である。
「データ特定情報」は、データを特定可能な情報のうち、上記の「通信時刻」以外の情報を意味しており、例えば、送信先、送信元、データID、署名、等を含むが、それ以外でも、データの特定に利用可能な各種の情報を含む広い概念である。
【0015】
「基準情報」は、データの検査における基準となる情報を意味しており、定周期データの基準情報だけでなく、非定周期データの基準情報を含む広い概念である。ここで、定周期データの基準情報は、「データ特定情報」によって分類される各データごとに、少なくともそのデータ特定情報とそのデータの送信周期を含む複数種類の情報を関連付けたものである。また、非定周期データの基準情報は、「データ特定情報」によって分類される複数のデータを、送信シーケンス情報によって関連付けたものである。
「予め記録された情報」は、初期設定作業や設定内容の見直し作業といった人間系の作業により記録された情報に限らず、一定期間ごとにあるいは必要に応じて不定期に自動更新された情報を含む広い概念である。
【0016】
「データの送信先を特定可能な情報」は、例えば、送信先アドレスや送信先ID、送信先名称、等を含むが、それ以外でも、データの送信先の特定に利用可能な各種の情報を含む広い概念である。
「同じ送信元から送信される複数種類のデータを個別に特定可能な情報」は、例えば、データIDやデータ名称、等を含むが、それ以外でも、同じ送信元から送信される複数種類のデータの個々の特定に利用可能な各種の情報を含む広い概念である。
【0017】
「送信周期に許容される誤差を示す情報」は、送信周期に許容される誤差自身を示す情報に限らず、誤差の範囲内における最短の送信周期と最長の送信周期を示す情報や、過去のデータから得られた誤差の範囲内における下限の通信時刻と上限の通信時刻等、誤差を含む送信周期や通信時刻の範囲を示す情報を含む広い概念である。
「データの正当性を示す情報」は、そのデータが正当な送信元から送信されたことを示す情報であり、具体的には、暗号文や乱数を用いた署名によって実現される。
【0018】
請求項1の発明は、定周期でデータを送信する複数の制御装置をリピータを介して接続してなるプラントネットワークの健全性を診断するためのプラントネットワーク健全性診断装置において、データ収集手段と検査手段を備えたことを特徴としている。ここで、データ収集手段は、プラントネットワークを流れるデータを収集する手段である。また、検査手段は、データの送信周期とデータを特定可能なデータ特定情報を含む予め記録された基準情報を使用して、データ収集手段で収集されたデータの通信時刻とそのデータに含まれる情報を基準情報と比較することでデータの検査を行う手段である。さらに、データ特定情報は、少なくともデータの送信元を特定可能な情報を含む。
【0019】
請求項13の発明は、請求項1の発明を方法の観点から把握したものであり、定周期でデータを送信する複数の制御装置をリピータを介して接続してなるプラントネットワークの健全性を診断するためのプラントネットワーク健全性診断方法において、請求項1の発明におけるデータ収集手段と検査手段の各機能に対応するデータ収集ステップと検査ステップを含むことを特徴としている。
【0020】
請求項2の発明は、請求項1のプラントネットワーク健全性診断装置において、データ収集手段が、収集したデータに通信時刻として収集した時刻を付加するように構成されたことを特徴としている。
請求項14の発明は、請求項2の発明を方法の観点から把握したものであり、請求項13のプラントネットワーク健全性診断方法において、データ収集ステップが、収集したデータに通信時刻として収集した時刻を付加するステップを含むことを特徴としている。
【0021】
請求項3の発明は、請求項1または請求項2のプラントネットワーク健全性診断装置において、データ特定情報が、送信周期に許容される誤差を示す情報、データの送信先を特定可能な情報、同じ送信元から送信される複数種類のデータを個別に特定可能な情報、データの正当性を示す情報、の中から選択された1種類以上の情報を含むことを特徴としている。
請求項15の発明は、請求項3の発明を方法の観点から把握したものであり、請求項13または請求項14のプラントネットワーク健全性診断方法において、データ特定情報が、請求項3の発明におけるデータ特定情報と同様の情報を含むことを特徴としている。
【0022】
以上のような発明によれば、プラントネットワーク上に送出された全てのデータを収集し、収集したデータを、予め記録された基準情報と比較して、送信元アドレスやデータID等のデータ特定情報に基づいて分類し、分類された各データが正しい送信元から正しい周期で送信されているか否かを検査することができる。また、データ特定情報に各種の情報を含めることにより、データの送信周期が許容される誤差の範囲内であるか、データが正しい送信先に向けて送信されているか、あるいは、データに正当性があるか、等の情報に応じた各種の検査を行うことができる。
【0023】
請求項16の発明は、請求項15のプラントネットワーク健全性診断方法において、検査ステップが、基準情報検索ステップと周期比較ステップを含むことを特徴としている。ここで、基準情報検索ステップは、基準情報を検索し、データ収集ステップで収集されたデータの中から新たに検査対象となるデータをカレントデータとし、このカレントデータに対応する基準情報が存在するか否かを判断するステップである。また、周期比較ステップは、カレントデータに対応する基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じデータ特定情報を含む一つ前のデータを前回データとし、カレントデータと前回データとの間の通信時刻の差が、送信周期に許容される誤差の範囲内であるか否かを判断するステップである。
【0024】
請求項17の発明は、請求項15または請求項16のプラントネットワーク健全性診断方法において、検査ステップが、基準情報検索ステップ、時刻設定ステップ、次回データ検索ステップを含むことを特徴としている。ここで、基準情報検索ステップは、請求項16の発明における基準情報検索ステップと同様である。また、時刻設定ステップは、カレントデータに対応する基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じデータ特定情報を含む次回データの検索を開始する時刻を設定するステップである。また、次回データ検索ステップは、時刻設定ステップで設定された時刻に、次回データの検索を開始し、カレントデータの通信時刻に対して送信周期に許容される誤差の範囲内に次回データが存在するか否かを判断するステップである。
【0025】
以上のような発明によれば、カレントデータに対応する基準情報を検索し、対応する基準情報がない時点で、データの異常を直ちに検出することができる。そして、カレントデータに対応する基準情報がある場合には、その基準情報を用いて、同じ送信元から送信される同じ種類の前回データや次回データを検索し、基準情報中の送信周期とデータに含まれる通信時刻に基づいて、データの送信周期の異常を容易に検出することができる。また、カレントデータの通信時刻と記録された送信周期に基づいて設定した時刻に次回データの検索を開始する場合には、制御装置がデータを全く送信しなくなる異常についても検出することができる。
【0026】
請求項4の発明は、定周期でデータを送信する複数の制御装置をスイッチを介して接続してなるプラントネットワークの健全性を診断するためのプラントネットワーク健全性診断装置において、請求項1の発明と同様のデータ収集手段、検査手段を備えると共に、スイッチからの出力を複数の制御装置とデータ収集手段に振り分ける複数のリピータを備えたことを特徴としている。ここで、複数のリピータの各々は複数の制御装置の各々に対応付けられ、各リピータはスイッチの各出力ポートにそれぞれ接続され、各リピータの出力は対応する各制御装置とデータ収集手段にそれぞれ接続される。
請求項5の発明は、請求項4のプラントネットワーク健全性診断装置において、データ収集手段が、複数のリピータの出力にそれぞれ接続された複数のデータ収集手段を含むことを特徴としている。
【0027】
以上のような発明によれば、複数の制御装置がスイッチによって接続される場合でも、各制御装置ごとに個別のリピータをそれぞれ接続することにより、全ての制御装置から送信される全てのデータを、その送信先に拘わらず、確実に収集することができる。また、複数の制御装置をスイッチによって接続することにより、単一の制御装置を送信先とするデータはスイッチの一つの出力ポートを占有するだけで、他の出力ポートは別のデータの送信に使用可能であるため、複数の制御装置から同時にデータを送信できる。したがって、プラントネットワーク内における通信効率を向上することができる。さらに、各リピータを個別のデータ収集手段にそれぞれ接続することにより、個々のデータ収集手段の負担が小さくなるため、複数の制御装置から同時にデータが送信される場合であっても、簡単なモジュールでデータ収集手段を実現することができる。
【0028】
請求項6の発明は、請求項1乃至請求項5のいずれかのプラントネットワーク健全性診断装置において、検査手段が、非定周期データ検査手段を含むことを特徴としている。ここで、非定周期データ検査手段は、複数の制御装置のうち、非定周期データを送信する制御装置がある場合に、非定周期データのデータ特定情報とその送信シーケンス情報を含む予め記録された基準情報を使用して、データ収集手段で収集された非定周期データの送信シーケンスとそのデータに含まれる情報を基準情報と比較することでデータの検査を行う手段である。
【0029】
この発明によれば、データ収集手段により収集した非定周期データを、非定周期データ検査手段によりネットワークの上位層のパケットとして抽出し、各パケットの送信シーケンスを予め記録された送信シーケンス情報と比較することにより、非定周期データが正しいシーケンスで送信されているかを検査することができる。したがって、送信周期のない非定周期データについても、その異常を容易に検出することができる。
【0030】
請求項7の発明は、請求項6のプラントネットワーク健全性診断装置において、非定周期データ検査手段が、プラントネットワークを遠隔地にある保守装置に接続する場合に、その保守装置とプラントネットワーク内の装置との間の非定周期データを検査するように構成されたことを特徴としている。
この発明によれば、プラントネットワークを遠隔地にある保守装置に接続した場合についても、その保守装置と、ネットワーク内の装置との間の非定周期データの異常を検出することができるため、ネットワーク内の装置を遠隔地の保守装置から適切に保守することができる。
【0031】
請求項8の発明は、請求項1乃至請求項7のいずれかのプラントネットワーク健全性診断装置において、複数の制御装置と検査手段の構成に特徴を有するものである。すなわち、複数の制御装置の各々は、予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、その制御装置の送信するデータ内にデータの正当性を示すための署名として埋め込むように構成される。また、検査手段は、前記乱数列と同一の予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、データに埋め込まれた署名と比較することでデータの正当性を検査するように構成される。
【0032】
この発明によれば、制御装置と検査手段とで、予め記録された同一の乱数列を使用することにより、制御装置側では、送信されるデータごとに異なる乱数を署名として埋め込むことができる一方で、検出手段側では、データごとに異なる署名の正当性を確実に検査することができる。したがって、データの正当性について、信頼性の高い検査を行うことができる。
【0033】
請求項9の発明は、請求項1乃至請求項8のいずれかのプラントネットワーク健全性診断装置において、検査手段が2つの検査部を含むことを特徴としている。ここで、2つの検査部は、異なる命令セットを実装した2つのマイクロプロセッサを使用して構成される。
この発明によれば、命令となるデータを含む不正なアクセスによって、2つの検査部のいずれか一方が攻撃された場合でも、他方の検査部を攻撃から保護することができるため、不正なアクセスによって検査手段が機能停止に陥るような不都合を防止することができる。
【0034】
請求項10の発明は、請求項1乃至請求項9のいずれかのプラントネットワーク健全性診断装置において、検査手段が統計データ検査手段を含むことを特徴としている。ここで、統計データ検査手段は、定周期で送信されるデータの送信周期に関する情報を蓄積し、指定された期間における周期の揺らぎを検査する手段である。
この発明によれば、定周期で送信されるデータの送信周期について、長期間に亘る傾向を容易に検査することができる。
【0035】
請求項11の発明は、請求項1乃至請求項10のいずれかのプラントネットワーク健全性診断装置において、検査手段が、定周期で送信されるデータについて、指定された時間内の送信周期を測定し、その測定結果に基づいて基準情報に含まれる送信周期を設定するように構成されたことを特徴としている。
この発明によれば、検査手段によるデータの送信周期の測定結果に基づいて、検査手段で使用する基準情報中の送信周期を自動的に随時設定、更新することができるため、基準情報の見直し作業といった人間系の作業を簡略化または省略することができる。
【0036】
請求項12の発明は、請求項10のプラントネットワーク健全性診断装置において、リピータが、第1と第2のリピータを含み、プラントネットワークと統計データ検査手段の構成に次のような特徴を有するものである。すなわち、プラントネットワークは、複数の制御装置を第1のリピータを介して接続する第1のネットワークと、複数の制御装置を第2のリピータを介して接続する第2のネットワークによって2重化される。また、統計データ検査手段は、複数の制御装置の各々について、その制御装置から第1と第2のネットワークにそれぞれ送信されるデータの送信周期の相関を検査するように構成される。
【0037】
この発明によれば、プラントネットワークを2重化することにより、ネットワークの信頼性を向上することができる。また、同じ制御装置から送信される同じデータについて、2重ネットワークの両方の周期が乱れていれば、制御装置の異常の可能性が高いと判定でき、また、ネットワークの一方の周期だけが乱れていれば、ネットワークを構成するリピータや他の制御装置が異常である可能性が高いと判定できるため、異常の分析をより詳細に行うことができる。
【0038】
【発明の実施の形態】
(第1の実施形態)
(構成)
図1は、Ethernetを使用したプラントネットワークに本発明を適用したプラントネットワーク健全性診断装置の第1の実施形態を示すブロック図である。
【0039】
この図1に示すように、プラントネットワーク自体の構成は、図18に示した従来技術と同様である。すなわち、制御装置101A〜101Cの各々には、個別のセンサ102A〜102C、個別のアクチュエータ103A〜103Cがそれぞれ接続されており、制御装置101A〜101Cおよびオペレータコンソール105はリピータ104を介してスター型に接続されている。また、このネットワーク内で、図19に示したような、送信先アドレス201、送信元アドレス202、プロトコル型203、データ部204、フレームチェック205、からなる定型のフレームが送信される点も従来技術と同様である。
【0040】
以上のようなプラントネットワークにおいて、本実施形態のプラントネットワーク健全性診断装置は、リピータ104にデータ収集手段110を直接接続し、このデータ収集手段110に検査手段120を直接接続することにより構成されている。このうち、データ収集手段110は、プラントネットワーク上で送信されるデータを収集する手段であり、リピータ104に直接接続されることで、プラントネットワークに送信された全てのフレームを受信し、収集できるようになっている。また、検査手段120は、データ収集手段110で収集されたデータを検査する手段であり、定周期で送信されるフレームを予め記録されたフレーム基準情報と比較することでフレームの検査を行う定周期データ検査手段130を含む。
【0041】
図2は、プラントネットワーク健全性診断装置の構成を示すブロック図である。データ収集手段110は、ネットワークインタフェースカード(NIC)111、時刻付加部112、タイマ113、を備えており、検査手段120の定周期データ検査手段130は、フレームキュー131、フレーム検査部132、フレームデータベース133、を備えている。
【0042】
(動作手順)
図3は、データ収集手段110と検査手段120の動作手順の概略を示すフローチャートである。この図3に示すように、データ収集手段110において、リピータ104から送られてきたフレームは(S301のYES)、NIC111の内部のバッファに一旦保存される(S302)。そして、NIC111内のバッファにフレームが蓄えられると、時刻付加部112は、NIC111よりフレームを読み出し、タイマ113を参照して現在時刻を取得してその読み出したフレームに付加し、検査手段120に送る(S303)。
【0043】
また、検査手段120において、データ収集手段110から送られてきた時刻付きフレームデータは、定周期データ検査手段130のフレームキュー131に記録される(S304)。フレームキュー131は、時刻付きフレームを記録するFIFO式のバッファである。フレーム検査部132は、フレームキュー131に記録されたフレームを、最新のものから順に調べ、フレームデータベース133に記録されているフレーム基準情報に基づいてネットワークの健全性を検査する(S305)。
【0044】
図4は、フレームキュー131のデータ構造の一例を示しており、順次記録されたフレーム401〜409が記録順に並んでいる。すなわち、この図3中において、一番上のフレーム401が、最新のフレームであり、一番下のフレーム409が最も古いフレームである。このフレームキューの中で、各フレームは、先頭に受信時刻(通信時刻)を付加され、「受信時刻、送信先、送信元、データ」、という形式で保存される。
【0045】
例えば、一番下のフレーム401は、時刻「01時23分32.255秒」に、送信元Aから、送信先ALL(ネットワークに接続されている全ての装置)に送信されたことを示している。送信元および送信先に示される符号「A」、「B」、「C」はアドレスである。このようなフレームの記録において、送信先以降の各情報は、フレームがそのまま保存されるため、余分な処理を必要としない。
【0046】
なお、時刻の付加方式については、データ収集手段110で時刻を付加する代わりに、変形例として、制御装置101A〜101Cからフレームを送信する際に、フレームのデータ部204の内部に予め付加しておく方式を採用することも可能である。
【0047】
図5は、フレームデータベース133に記録されているフレーム基準情報の一例を示す。すなわち、フレームデータベース133には、各フレームのフレーム基準情報501〜504として、「フレームの送信周期、許容される周期誤差、送信元、送信先、ID、署名」、という形式の情報が記録される。制御装置101A〜101Cから送信されるフレームは、必要に応じて複数のグループに分けられる場合があり、それを区別するのがIDである。
【0048】
IDは、フレームのデータ部204の一部として書きこまれたデータであり、図5中のフレーム基準情報501,502においては、送信元Aから、ID=1とID=2のフレームがそれぞれ、周期0.5secと1.0secで送信されることが示されている。すなわち、フレームは、送信元とIDによって識別されるようになっている。
【0049】
さらに、フレームの健全性、正当性を確認するために、データ部204に署名を入れることができる。Ethernetの標準では、フレームの最後にFCS(フレームチェック・シーケンス)が付けられており、フレームの健全性をある程度検査できるが、より厳重な検査と不正アクセスの検出のため、暗号化メッセージダイジェスト関数MD5(RFC1321)を使用した署名を、制御装置によってデータ部204内に埋め込むこともできる。
【0050】
定周期データ検査手段130のフレーム検査部132は、フレームキュー131に新しいフレームが到着すると、フレームキュー131に記録されたフレームを、最新のものから順番に調べ、フレームデータベース133に記録されているフレーム基準情報に基づいてフレームを検査する。図6、図7は、フレーム検査部132の処理方式として、2種類の処理方式の手順をそれぞれ示すフローチャートであり、図3中のS305のサブルーチンに相当する。以下には、図4のフレームと、図5のフレーム基準情報に対する処理について説明する。
【0051】
図6に示す処理方式において、図4に示す最新のフレーム401の送信元とIDに基づき、最新のフレーム401に関するフレーム基準情報を、フレームデータベース133から検索する(S601)。ここで、フレーム401に関するフレーム基準情報が見つからない場合(S602のYES)には、本来存在しないはずのフレームが受信されたことになるため、異常と判定する(S603)。この例では、フレーム401の送信元は「A」、IDは「1」であるから、同じ情報を含むフレーム基準情報、すなわち、図5に示すフレーム基準情報501が見つかる(S602のNO)ので、次のステップS604に進む。
【0052】
ステップS604においては、フレーム401の送信先、署名を、フレーム基準情報501の送信先、署名と比較する。ここで、送信先、署名の何れかが一致しない場合(S605のYES)には、本来の送信先とは異なる送信先宛のあるいは本来の署名とは異なる署名を含む不正なフレームが受信されたことになるため、異常と判定する(S606)。この例では、フレーム401の送信先は「ALL」、署名は「yyyy」となっており、フレーム基準情報501と一致している(S605のNO)ため、次のステップS607に進む。
【0053】
ステップS607においては、図4に示すフレームキュー131を遡って、フレーム401と同じ送信元とIDを持つ前回のフレームを探し、両フレームの受信時刻の差と、フレーム基準情報501の送信周期、周期誤差を比較する。ここで、受信時刻の差が許容される周期誤差範囲外である場合(S608のNO)には、送信周期の異常と判定する(S609)。この例では、フレーム401の前回のフレームとしてフレーム404が得られ、両フレーム401,404の受信時刻の差が0.502秒であるのに対し、フレーム基準情報501の送信周期は0.5秒、許容される周期誤差は0.01秒であるから、両フレーム401,404の受信時刻の差は許容される周期誤差範囲内と判定される(S608のYES)。その結果、フレーム401の送信は健全であると判定される(S610)。
【0054】
また、フレーム402の場合には、送信元は「C」であるから、フレーム基準情報504が見つかり、送信先は「ALL」、署名は「uuuu」であるため、前回のフレーム407が得られ、両フレーム402,407の受信時刻の差と、フレーム基準情報504の送信周期、周期誤差が比較されることになる。この場合、両フレーム402,407の受信時刻の差が1.07秒であるのに対し、フレーム基準情報504の送信周期と周期誤差はそれぞれ、1.0秒と0.02秒であるから、受信時刻の差は許容範囲外と判定され(S608のNO)、その結果、フレーム402の送信は異常であると判定される(S609)。
【0055】
以上のような図6に示す処理方式の検査処理は、フレームが到着すると起動する単一のスレッドによって実行される。これに対して、図7に示す処理方式においては、フレームの到着により起動する未登録検査スレッドと、この未登録検査スレッドがセットした時刻にタイマ割込によって起動する送信異常検査スレッドという2つのスレッドにより、独立した検査処理A,Bを並行的に行う。
【0056】
図7に示すように、未登録検査スレッドは、フレームの到着によって起動し、到着した最新のフレームに対して検査処理Aを行うが、この検査処理AにおけるステップS701〜S703の手順は、図6のステップS601〜S603と同様である。すなわち、受信した最新のフレーム401に関するフレーム基準情報を検索し(S701)、見つからない場合(S702のYES)には、本来存在しないはずのフレームが受信されたことになるため、異常と判定する(S703)が、この例では、フレーム基準情報501が見つかる(S702のNO)ので、次のステップS704に進む。
【0057】
ステップS704においては、最新のフレーム(F)401と同じ送信元とIDを持つ次回到着予定のフレームを調べるための送信異常検査スレッドの起動をセットする。この場合の起動時刻Tは、現在時刻にフレーム基準情報501の送信周期と周期誤差を加えた時刻であり、次回フレームの到着時刻の上限(受信タイムアウト時刻)である。未登録検査スレッドは送信異常検査スレッドの起動セットを終えると処理を一旦終了し、フレーム到着ごとに起動して、ステップS701〜S704の検査処理Aを繰り返す。
【0058】
送信異常検査スレッドは、未登録検査スレッドによってセットされた起動時刻Tに起動し、検査処理Bを行う。この検査処理Bにおいてはまず、ステップS704のフレーム(F)401と同じ送信元とIDを持つフレームを、フレームキュー131中の新しいものから順に遡り、フレーム基準情報501に設定されている周期誤差の2倍の範囲で調べる(S711)。この誤差範囲内に該当フレームが存在しない場合(S712のNO)には、フレーム送信異常と判定し(S713)、この誤差範囲内に該当するフレームが存在する場合(S712のYES)には、フレームの送信は健全であると判定する(S714)。送信異常検査スレッドは判定を終えると処理を終了し、セットされた各起動時刻ごとに起動して、ステップS711〜S714の検査処理Bを繰り返す。
【0059】
この図7に示すような2つのスレッドによる処理の具体的なタイムチャートは、フレームの到着時刻の間隔やセットされる起動時刻(受信タイムアウト時刻)によって決定される。例えば、次の表1は、フレームの到着時刻の間隔が1秒であり、かつ、受信タイムアウト時刻をフレーム到着時刻の1.2秒後にセットする場合のタイムチャートの一例を示している。
【0060】
【表1】
Figure 2004086367
【0061】
(作用効果)
以上のような本実施形態によれば、プラントネットワーク上に送出された全てのデータを収集し、収集したデータを、予め記録された基準情報と比較して、送信元アドレスやデータID等のデータ特定情報に基づいて分類し、分類された各データが正しい送信元から正しい周期で送信されているか否かを検査することができる。したがって、既存のプラントネットワーク自体の構成をほとんど変更せずに、制御装置を接続するネットワークを流れるデータを監視して、制御装置の異常を判定すると共に不正なアクセスを発見し、ネットワークを経由して現場の外へ通報することができる。
【0062】
また、通信時刻として、データ収集時に収集した時刻を付加することにより、送信途中で遅延を生じた場合に、その異常の可能性を把握することができる。また、データ特定情報に、送信周期に許容される誤差や、送信先アドレス、署名、等の情報を含めることにより、データの送信周期が許容される誤差の範囲内であるか、データが正しい送信先に向けて送信されているか、あるいは、データに正当性があるか、等の検査を行うことができる。したがって、データの各種の異常に応じて、プラントネットワーク内で異常を生じている可能性が高い部分を容易に特定することができる。
【0063】
また、図6、図7に示す処理手順によれば、最新のデータをカレントデータとしてそのデータに対応する基準情報を検索し、対応する基準情報がない時点で、データの異常を直ちに検出することができる。そして、カレントデータに対応する基準情報がある場合には、その基準情報を用いて、同じ送信元から送信される同じ種類の前回データや次回データを検索し、基準情報中の送信周期とデータに含まれる通信時刻に基づいて、データの送信周期の異常を容易に検出することができる。また、図7に示すように、カレントデータの通信時刻と記録された送信周期に基づいて設定した時刻に次回データの検索を開始する場合には、制御装置がデータを全く送信しなくなる異常についても検出することができる。
【0064】
(第2の実施形態)
(構成)
図8は、スイッチを用いたプラントネットワークに本発明を適用したプラントネットワーク健全性診断装置の第2の実施形態を示すブロック図である。本実施形態において、制御装置101A〜101Cおよびオペレータコンソール105は、スイッチ801を介してスター型に接続されている。スイッチ801は、リピータ104と異なり、受信したフレームを、送信先アドレスに基づいて送信する。例えば、送信先が制御装置101Aであることを示す送信先アドレス「A」のフレームは、制御装置101A以外の装置が接続されているポートには出力されない。したがって、図1のリピータ104をスイッチ801に置き換えてデータ収集手段110を接続しただけでは、データ収集手段110は、送信先アドレスがALL以外のフレームを収集できない。
【0065】
そこで、本実施形態のプラントネットワーク健全性診断装置においては、スイッチ801の出力ポートに、制御装置101A〜101Cおよびオペレータコンソール105に対応するリピータ802A〜802Dをそれぞれ接続している。そして、各リピータ802A〜802Dの出力を、対応する各制御装置101A〜101Cおよびオペレータコンソール105にそれぞれ接続すると共に、データ収集手段110にそれぞれ分岐している。
【0066】
図8の構成では、ネットワークが半二重Ethernetで構成される場合、リピータ802A〜802Dからデータ収集手段110に対して2重にフレームが送信されることになる。これは例えば、制御装置101Aから制御装置101Bに送信されるフレームは、リピータ802Aからデータ収集手段110に分岐され、同じフレームがスイッチ801から制御装置101Bに送信された後、リピータ802Bからデータ収集手段110に分岐されるからである。
【0067】
そこで、本実施形態の検査手段120の定周期データ検査手段130においては、データ収集手段110で収集した2重フレームのうち、後のフレームを無視する形で検査を行う。一つの方法は、定周期データ検査手段130のフレームキュー131により、2重フレームの後着フレームを破棄する方法である。この方法において、フレームキュー131は、送信先、送信元、データが同じフレームを、スイッチ801の遅延時間(100MbpsのEthernetの場合、数百μ秒)程度の短い間隔で受信した場合には、後のフレームを破棄する。
【0068】
また、定周期データ検査手段130のフレーム検査部132により、2重フレームの後着フレームを無視する方法も可能である。この方法において、フレームキュー131は、受信した全てのフレームを記録するが、フレーム検査部132は、フレームデータベース133に記録されているフレームの送信周期に比べてフレームの受信時刻の差が十分に短く、2重フレームの後着フレームであると判断される場合には、その後着フレームを無視する。そして、先着フレームのみの時刻の差として実際の送信周期を求め、フレームの検査を行う。
【0069】
なお、ネットワークが全二重Ethernetで構成される場合には、スイッチ801から各装置に対して、送信用、受信用それぞれの専用ケーブルが張られるため、リピータ802A〜802Dを受信用ケーブルのみに接続することで、正確な送信周期を得ることができる。スイッチ801の送信用ケーブルに接続することでもほぼ同様であるが、スイッチ801内での遅延の影響を受け、検査される送信周期に誤差が入る可能性がある。
【0070】
(作用効果)
以上のような本実施形態によれば、複数の制御装置がスイッチによって接続される場合でも、各制御装置ごとに個別のリピータをそれぞれ接続することにより、全ての制御装置から送信される全てのデータを、その送信先に拘わらず、確実に収集することができる。また、複数の制御装置をスイッチによって接続することにより、単一の制御装置を送信先とするデータはスイッチの一つの出力ポートを占有するだけで、他の出力ポートは別のデータの送信に使用可能であるため、複数の制御装置から同時にデータを送信できる。したがって、本実施形態によれば、プラントネットワーク内における通信効率を向上することができる。
【0071】
(第3の実施形態)
(構成)
図9は、本発明を適用したプラントネットワーク健全性診断装置の第3の実施形態を示すブロック図である。本実施形態は、前記第2の実施形態において、複数のリピータ802A〜802Dに対応する複数のデータ収集手段110A〜110Dを設け、各リピータ802A〜802Dの出力を対応する各データ収集手段110A〜110Dで受信するように構成したものである。各データ収集手段110A〜110Dで収集されたデータは、検査手段120へ送信される。なお、各データ収集手段110A〜110Dと検査手段120との接続には、Ethernetに限らず、IEEE1394等の各種の高速伝送手段が使用できる。
【0072】
(作用効果)
本実施形態によれば、各リピータを個別のデータ収集手段にそれぞれ接続することにより、個々のデータ収集手段の負担が小さくなるため、複数の制御装置から同時にデータが送信される場合であっても、簡単なモジュールでデータ収集手段を実現することができる。
【0073】
(変形例)
なお、本実施形態の変形例として、データ収集手段110だけでなく、検査手段120を複数にする構成も可能である。その場合には、データ収集手段と検査手段をモジュールとして一体化することにより、構成を簡略化することができる。
【0074】
(第4の実施形態)
(構成)
図10は、本発明を適用したプラントネットワーク健全性診断装置の第4の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、検査手段120に、定周期データ検査手段130に加えて、非定周期データを検査するための非定周期データ検査手段140を設けたものである。この非定周期データ検査手段140は、パケット抽出部141、パケットキュー142、パケット検査部143、パケットデータベース144、を備えている。
【0075】
(動作手順)
非定周期データ検査手段140は、データ収集手段110から時刻付きフレームを入力すると、パケット抽出部141によってその時刻付きフレームから、通信プロトコルの上位階層に属するIPパケットを抽出する。すなわち、データ収集手段110によって受信されたEthernetのフレームは、そのデータ部にIPパケットを含んでおり、また一つのIPパケットが複数のフレームに分割されることもある。パケット抽出部141は、そのようなIPパケットを抽出し、フレームの形式に応じたIPパケットを構成する。
【0076】
なお、このように構成されたIPパケットには送信元と送信先のIPアドレスが含まれているが、パケット抽出部141は、そのIPパケットに対して、元のフレームに付加されていた時刻をさらに付加する。このようにして得られた時刻付きのIPパケットはパケットキュー142に保存される。また、パケットキュー142の論理形式は、定周期データ検査手段130のフレームキュー131の論理形式と同様である。
【0077】
図11は、パケットデータベース144に記録されている非定周期データの送信シーケンスグラフの一例を示す。この図11において、非定周期に送信される各非定周期データ1101〜1105は個別の円で示され、各円の内部に、各データに関する情報が、「送信元、送信先、メッセージ、タイムアウト」、という形式で示されている。ここで、送信元および送信先に示される符号「iA」、「iD」は、制御装置101Aおよびオペレータコンソール105のIPアドレスであり、円を結ぶ矢印はデータ送信順序を示している。
【0078】
なお、図中では、制御装置101Aとオペレータコンソール105との間で送信される非定周期データの送信シーケンスのみが示されているが、他の制御装置101B,101Cが非定周期データの送信元または送信先となる場合には、送信元および送信先に符号「iB」、「iC」を含む非定周期データの送信シーケンスグラフが同様に記録されることになる。さらに、各制御装置101A〜101Cとオペレータコンソール105との間だけでなく、制御装置101A〜101C間で非定周期データが送信される場合もある。
【0079】
図11において、非定周期データ1101に関する情報は、送信元「iD」から送信先「iA」へメッセージ(データ)「X1」が送信され、「Timeout=2」で2秒以内の応答が期待されていることを示している。メッセージの種類はデータIPパケットのデータ内部に記号として記録される。また、非定周期データ1101に対する応答は、非定周期データ1102であり、非定周期データ1101の送信後、2秒以内に送信される。この非定周期データ1102に関する情報は、送信元「iA」から送信先「iD」へメッセージ「Y1」が送信され、2秒以内の応答が期待されていることを示している。
【0080】
また、非定周期データ1102に対する応答は、非定周期データ1103であり、この非定周期データ1103については、送信元「iD」から送信先「iA」へメッセージ「X2」が送信され、4秒以内の応答が期待されている。さらに、非定周期データ1103に対する応答は、非定周期データ1104または非定周期データ1105であり、それぞれ、送信元「iA」から送信先「iD」へメッセージ「Y2」または「Y3」が送信される。
【0081】
非定周期検査手段140のパケット検査部143は、パケットキュー142に新しいパケットが到着すると、パケットデータベース144の記述に従って、パケットを検査する。例えば、送信元「iD」、送信先「iA」のメッセージ「X2」が到着した際には、パケットデータベース144から図11に示す非定周期データ1103に関する情報を得て、さらにその前に送信される非定周期データ1102に関する情報を得る。そして、パケットキュー142を遡って調べ、その非定周期データ1102に該当するデータを検索する。
【0082】
すなわち、前記メッセージ「X2」の過去2秒間に、送信元「iA」、送信先「iD」の正当なメッセージ「Y1」があるかどうかを検査する。もしそのようなデータがあれば、新たに到着したメッセージ「X2」は正当なものであると判定するが、そのようなデータがない場合には異常と判定し、パケットキュー142に異常マークを付ける。
【0083】
(作用効果)
以上のような本実施形態によれば、データ収集手段により収集した非定周期データを、非定周期データ検査手段によりネットワークの上位層のパケットとして抽出し、各パケットの送信シーケンスを予め記録された送信シーケンス情報と比較することにより、非定周期データが正しいシーケンスで送信されているかを検査することができる。したがって、送信周期のない非定周期データについても、その異常を容易に検出することができる。
【0084】
なお、本実施形態の変形例として、定周期データの特定情報と同様に、非定周期データのデータ特定情報に署名等を含めることも可能であり、それにより、非定周期データの正当性をより正確に判定することができる。
【0085】
(第5の実施形態)
(構成)
図12は、本発明を適用したプラントネットワーク健全性診断装置の第5の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、不正アクセスを検出する署名として乱数を使用するようにしたものである。すなわち、本実施形態においては、制御装置101A〜101Cおよびオペレータコンソール105に乱数記憶手段1201A〜1201Dが追加されると共に、検査手段120に、検査用乱数記憶手段1202が追加されている。
【0086】
そして、制御装置101A〜101Cおよびオペレータコンソール105の各乱数記憶手段1201A〜1201Dに、予め個別の乱数列を記録しておき、検査手段120の検査用乱数記憶手段1202には、各制御装置101A〜101Cとオペレータコンソール105の各乱数記憶手段1201A〜1201Dに記録された乱数列のコピーを記録しておく。
【0087】
(動作手順)
制御装置101A〜101Cおよびオペレータコンソール105は、データを送信する際に、乱数記憶手段1201A〜1201Dから乱数を順次取り出し、署名として乱数列の番号と共に付加する。この場合、署名は、例えば、次のようになる。
【数1】
33250: 235221456
【0088】
ここで、「33250」は乱数列の先頭からの通し番号であり、「235221456」は乱数である。物理乱数(参照文献:特許第3034516号「物理乱数発生装置」、特許第2980576号「物理乱数発生装置及び方法並びに物理乱数記録媒体」)を使用すれば、番号が与えられた時に、乱数を予測する手段はないため、第三者による同一の乱数の使用による不正アクセスは実質的に不可能である。検査手段120は、検査用乱数記憶手段1202に記録された乱数列のコピーから、送信元に対応する乱数列の乱数を順次取り出し、署名と比較することにより、署名の正当性を確認する。
【0089】
なお、乱数列のサイズは、例えば、毎回4バイトの乱数を使い、制御装置が毎秒10回データを送信する場合、1年間では、次のように、1.26GBとなる。
【数2】
4×10×3600×24×365=1.26GB
【0090】
この程度のサイズの乱数列であれば、乱数記憶手段として小型のハードディスク装置、Flash ROMを使えば十分記憶できる。なお、コストダウンのために乱数記憶手段の容量を小さくするような場合には、同じ乱数列を繰返して使ってもよい。
【0091】
(作用効果)
以上のような本実施形態によれば、制御装置と検査手段とで、予め記録された同一の乱数列を使用することにより、制御装置側では、送信されるデータごとに異なる乱数を署名として埋め込むことができる一方で、検出手段側では、データごとに異なる署名の正当性を確実に検査することができる。したがって、データの正当性について、信頼性の高い検査を行うことができる。
【0092】
(第6の実施形態)
(構成)
図13は、本発明を適用したプラントネットワーク健全性診断装置の第6の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、検査手段120を、異なる命令セットを実装した2つのマイクロプロセッサを使用した2つの検査部121,122から構成したものである。
【0093】
(作用効果)
以上のような構成を有する本実施形態においては、次のような作用効果が得られる。すなわち、検査手段120は、一般的にマイクロプロセッサによって実現されるが、バッファオーバーフローと呼ばれる不正アクセス手法により、検査手段120そのものを攻撃される可能性がある。ここで、バッファオーバーフロー攻撃とは、検査手段120に用意されたデータの一時格納バッファの容量を超えるデータを一度に送り込み、溢れたデータの部分にマイクロプロセッサの命令を書いておき、この部分を実行させるものである。
【0094】
このようなバッファオーバーフロー攻撃に対し、本実施形態のように、異なる命令セットを持つ2つの検査部121,122の使用は有用である。すなわち、一方の検査部にとって命令となるデータは、もう一方の検査部にとっては単なるデータにすぎないため、一回のバッファオーバーフロー攻撃では、異なる命令セットを持つ2つの検査部121,122を同時に攻撃することはできない。したがって、本実施形態によれば、不正なアクセスによって検査手段120が機能停止に陥るような不都合を防止することができ、検査手段120の信頼性を向上することができる。
【0095】
(第7の実施形態)
(構成)
図14は、本発明を適用したプラントネットワーク健全性診断装置の第7の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、検査手段120に、定周期データ検査手段130に加えて、この定周期データ検査手段130で測定されたフレーム周期の統計データについて長期的な傾向を検査するための統計データ検査手段150を設けたものである。
【0096】
(動作手順)
統計データ検査手段150は、図15に示すように、定周期で送信されるフレームごとに統計データ1501〜1504を保存する。ここで、保存する統計データは、例えば、「一日毎の周期の平均」、「一日毎の周期の分散」、「一日毎の周期異常数」、「一日毎のデータ欠損数」、等のデータである。統計データ検査手段150は、蓄積した統計データを、数ヶ月から数年の長期に亘って定期的に調べ、一日ごとの周期の分散(揺らぎ)が大きくなっている場合には、送信元の制御装置に何らかの異常兆候があるものと判定する。
【0097】
(作用効果)
以上のような本実施形態によれば、定周期で送信されるデータの送信周期について、長期間に亘る傾向を容易に検査することができる。
【0098】
(第8の実施形態)
(構成)
図16は、本発明を適用したプラントネットワーク健全性診断装置の第8の実施形態を示すブロック図である。本実施形態は、前記第7の実施形態において、第1、第2のリピータ1601,1602によってプラントネットワークを2重化し、統計データ検査手段150によって、2重のネットワークにそれぞれ送信されるフレームの送信周期の相関を検査するようにしたものである。この場合、制御装置101A〜101Cおよびオペレータコンソール105は2つのネットワークインタフェースを持ち、それぞれのネットワークインタフェースには別のネットワークアドレスが与えられる。
【0099】
(動作手順)
データ収集手段110は、第1、第2のリピータ1601,1602の両方からデータを収集するが、同じ制御装置101Aから送信されたフレームでも、第1のリピータ1601に送られたものと第2のリピータ1602に送られたものでは送信元のアドレスが異なる。
【0100】
そこで、図17に示すように、本実施形態においては、定周期データ検査手段130のフレームデータベース133に記録されるフレーム基本情報1701〜1708中に、送信元アドレスだけでなく、送信元のホストである制御装置を示す記号「101A」、「101B」、「101C」を追加している。なお、図17で送信元および送信先のアドレスとして記されている「A1」、「B1」、「C1」はそれぞれ、制御装置101A〜101Cの第2のネットワークにおけるアドレスである。
【0101】
統計データ検査手段150は、長期間に亘ってフレーム送信の周期を検査する際、同一の制御装置から2つのネットワークに送信されるフレームの周期の相関を判定する。同じIDのフレームに対して2重化ネットワークの両方の周期が乱れていれば、制御装置の異常の可能性が高く、一方の周期だけが乱れていればネットワークを構成するリピータや他の制御装置が異常である可能性が高いと判定できる。
【0102】
(作用効果)
以上のような本実施形態によれば、プラントネットワークを2重化することにより、ネットワークの信頼性を向上することができる。また、同じ制御装置から送信される同じデータについて、2重ネットワークの両方の周期が乱れているか、一方の周期だけが乱れているか等に応じて、ネットワーク中における異常の可能性の高い部分を容易に特定できるため、異常の分析をより詳細に行うことができる。
【0103】
(第9の実施形態)
本発明を適用した第9の実施形態として、前記各実施形態のいずれかにおいて、検査手段120の定周期データ検査手段130により、所定の時間内における定周期データの送信周期を測定し、その測定結果に基づいて、フレームデータベース133中のフレーム基準情報のデータ送信周期や周期誤差の自動設定を行うように構成してもよい。
【0104】
例えば、500秒間に亘り周期を測定し、送信元「A」、「ID=1」のフレームが998個受信され、平均周期が0.501秒、標準偏差が0.002秒になった場合には、図5に示すフレームデータベース133中のフレーム基準情報501の周期を0.501秒、周期誤差を測定された標準偏差の4倍の0.008秒に更新する。
【0105】
以上のような本実施形態によれば、検査手段によるデータの送信周期の測定結果に基づいて、検査手段で使用する基準情報中の送信周期を自動的に随時設定、更新することができるため、基準情報の見直し作業といった人間系の作業を簡略化または省略することができる。
【0106】
(第10の実施形態)
本発明を適用した第10の実施形態として、前記第4の実施形態において、プラントネットワークを遠隔地にある保守装置に接続し、プラントネットワーク内の装置と遠隔地の保守装置との間の非定周期データを非定周期データ検査手段140によって検査するように構成してもよい。この場合には、パケットデータベース144に遠隔地にある保守装置のIPアドレスを含む基準情報を記録する。しかしながら、遠隔地との接続においてアプリケーションゲートウェイ型のファイアウォールを用いる場合は、ファイアウォールのIPアドレスを使用する。
【0107】
以上のような本実施形態によれば、プラントネットワークを遠隔地にある保守装置に接続した場合についても、その保守装置と、ネットワーク内の装置との間の非定周期データの異常を検出することができるため、ネットワーク内の装置を遠隔地の保守装置から適切に保守することができる。
【0108】
(他の実施形態)
なお、本発明は、前記実施形態に限定されるものではなく、本発明の範囲内で他にも多種多様な形態が実施可能である。まず、本発明は、プラントネットワークの具体的な機器構成や伝送方式に限らず、複数の制御装置を接続してなる各種のプラントネットワークに広く適用可能である。
【0109】
そして、本発明のデータ収集手段や検査手段等の各部分の具体的な構成は適宜選択可能である。また、プラントネットワーク内で送信されるデータの具体的なデータ構造に応じて、検査内容や手順も適宜選択可能であり、さらに、送信されるデータのデータ構造や検査内容等に応じて、記録される基準情報のデータ構造もまた適宜選択可能である。
【0110】
【発明の効果】
以上のように、本発明によれば、既存のプラントネットワーク自体の構成をほとんど変更せずに、制御装置を接続するネットワークを流れるデータを監視して、制御装置の異常を判定すると共に不正なアクセスを発見し、ネットワークを経由して現場の外へ通報可能なプラントネットワーク健全性診断装置とその方法を提供することができる。
【図面の簡単な説明】
【図1】本発明を適用したプラントネットワーク健全性診断装置を設置した第1の実施形態を示すブロック図。
【図2】図1に示すプラントネットワーク健全性診断装置の構成を示すブロック図。
【図3】図1に示すプラントネットワーク健全性診断装置の動作手順の概略を示すフローチャート。
【図4】図2に示すフレームキューのデータ構造の一例を示すデータ構造図。
【図5】図2に示すフレームデータベースに記録されているフレーム基準情報の一例を示すデータ構造図。
【図6】図2に示すフレーム検査部による処理方式の一つの手順を示すフローチャート。
【図7】図2に示すフレーム検査部による処理方式の別の手順を示すフローチャート。
【図8】本発明を適用したプラントネットワーク健全性診断装置の第2の実施形態を示すブロック図。
【図9】本発明を適用したプラントネットワーク健全性診断装置の第3の実施形態を示すブロック図。
【図10】本発明を適用したプラントネットワーク健全性診断装置の第4の実施形態を示すブロック図。
【図11】図10に示すパケットデータベースに記録されている非定周期データの送信シーケンスグラフの一例を示す図。
【図12】本発明を適用したプラントネットワーク健全性診断装置の第5の実施形態を示すブロック図。
【図13】本発明を適用したプラントネットワーク健全性診断装置の第6の実施形態を示すブロック図。
【図14】本発明を適用したプラントネットワーク健全性診断装置の第7の実施形態を示すブロック図。
【図15】図14に示す統計データ検査手段が保存する統計データの一例を示すデータ構造図。
【図16】本発明を適用したプラントネットワーク健全性診断装置の第8の実施形態を示すブロック図。
【図17】図16に示す定周期データ検査手段に保存されるフレーム基本情報の一例を示すデータ構造図。
【図18】プラントネットワークの典型的な構成例を示すブロック図。
【図19】Ethernetのフレームの構造を示すデータ構造図。
【符号の説明】
101A〜101C…制御装置
102A〜102C…センサ
103A〜103C…アクチュエータ
104,1601,1602…リピータ
105…オペレータコンソール
110,110A〜110D…データ収集手段
111…ネットワークインタフェースカード(NIC)
112…時刻付加部
113…タイマ
120…検査手段
121,122…検査部
130…定周期データ検査手段
131…フレームキュー
132…フレーム検査部
133…フレームデータベース
140…非定周期データ検査手段
141…パケット抽出部
142…パケットキュー
143…パケット検査部
144…パケットデータベース
150…統計データ検査手段
201…送信先アドレス
202…送信元アドレス
203…プロトコル型
204…データ部
205…フレームチェック
401〜409…フレーム
501〜504…フレーム基準情報
801…スイッチ
802A〜802D…リピータ
1101〜1105…非定周期データ
1201A〜1201D…乱数記憶手段
1202…検査用乱数記憶手段
1501〜1504…統計データ

Claims (17)

  1. 定周期でデータを送信する複数の制御装置をリピータを介して接続してなるプラントネットワークの健全性を診断するためのプラントネットワーク健全性診断装置において、
    前記プラントネットワークを流れるデータを収集するデータ収集手段と、
    データの送信周期とデータを特定可能なデータ特定情報を含む予め記録された基準情報を使用して、前記データ収集手段で収集されたデータの通信時刻とそのデータに含まれる情報を前記基準情報と比較することでデータの検査を行う検査手段とを備え、
    前記データ特定情報は、少なくともデータの送信元を特定可能な情報を含む、ことを特徴とするプラントネットワーク健全性診断装置。
  2. 前記データ収集手段は、収集したデータに前記通信時刻として収集した時刻を付加するように構成された、
    ことを特徴とする請求項1に記載のプラントネットワーク健全性診断装置。
  3. 前記データ特定情報は、前記送信周期に許容される誤差を示す情報、データの送信先を特定可能な情報、同じ送信元から送信される複数種類のデータを個別に特定可能な情報、データの正当性を示す情報、の中から選択された1種類以上の情報を含む、
    ことを特徴とする請求項1または請求項2に記載のプラントネットワーク健全性診断装置。
  4. 定周期でデータを送信する複数の制御装置をスイッチを介して接続してなるプラントネットワークの健全性を診断するためのプラントネットワーク健全性診断装置において、
    前記プラントネットワークを流れるデータを収集するデータ収集手段と、
    データの送信周期とデータを特定可能なデータ特定情報を含む予め記録された基準情報を使用して、前記データ収集手段で収集されたデータの通信時刻とそのデータに含まれる情報を前記基準情報と比較することでデータの検査を行う検査手段と、
    前記スイッチからの出力を前記複数の制御装置と前記データ収集手段に振り分ける複数のリピータとを備え、
    前記データ特定情報は、少なくともデータの送信元を特定可能な情報を含み、前記複数のリピータの各々は前記複数の制御装置の各々に対応付けられ、各リピータは前記スイッチの各出力ポートにそれぞれ接続され、各リピータの出力は対応する各制御装置と前記データ収集手段にそれぞれ接続される、
    ことを特徴とするプラントネットワーク健全性診断装置。
  5. 前記データ収集手段は、前記複数のリピータの出力にそれぞれ接続された複数のデータ収集手段を含む、
    ことを特徴とする請求項4に記載のプラントネットワーク健全性診断装置。
  6. 前記検査手段は、
    前記複数の制御装置のうち、非定周期データを送信する制御装置がある場合に、非定周期データのデータ特定情報とその送信シーケンス情報を含む予め記録された基準情報を使用して、前記データ収集手段で収集された非定周期データの送信シーケンスとそのデータに含まれる情報を前記基準情報と比較することでデータの検査を行う非定周期データ検査手段を含む、
    ことを特徴とする請求項1乃至請求項5のいずれかに記載のプラントネットワーク健全性診断装置。
  7. 前記非定周期データ検査手段は、前記プラントネットワークを遠隔地にある保守装置に接続する場合に、その保守装置とプラントネットワーク内の装置との間の非定周期データを検査するように構成された、
    ことを特徴とする請求項6に記載のプラントネットワーク健全性診断装置。
  8. 前記複数の制御装置の各々は、予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、その制御装置の送信するデータ内にデータの正当性を示すための署名として埋め込むように構成され、
    前記検査手段は、前記乱数列と同一の予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、データに埋め込まれた前記署名と比較することでデータの正当性を検査するように構成された、
    ことを特徴とする請求項1乃至請求項7のいずれかに記載のプラントネットワーク健全性診断装置。
  9. 前記検査手段は、異なる命令セットを実装した2つのマイクロプロセッサを使用して構成された2つの検査部を含む、
    ことを特徴とする請求項1乃至請求項8のいずれかに記載のプラントネットワーク健全性診断装置。
  10. 前記検査手段は、前記定周期で送信されるデータの送信周期に関する情報を蓄積し、指定された期間における周期の揺らぎを検査する統計データ検査手段を含む、
    ことを特徴とする請求項1乃至請求項9のいずれかに記載のプラントネットワーク健全性診断装置。
  11. 前記検査手段は、前記定周期で送信されるデータについて、指定された時間内の送信周期を測定し、その測定結果に基づいて前記基準情報に含まれる送信周期を設定するように構成された、
    ことを特徴とする請求項1乃至請求項10のいずれかに記載のプラントネットワーク健全性診断装置。
  12. 前記リピータは、第1と第2のリピータを含み、
    前記プラントネットワークは、前記複数の制御装置を第1のリピータを介して接続する第1のネットワークと、前記複数の制御装置を第2のリピータを介して接続する第2のネットワークによって2重化され、
    前記統計データ検査手段は、前記複数の制御装置の各々について、その制御装置から前記第1と第2のネットワークにそれぞれ送信されるデータの送信周期の相関を検査するように構成された、
    ことを特徴とする請求項10に記載のプラントネットワーク健全性診断装置。
  13. 定周期でデータを送信する複数の制御装置をリピータを介して接続してなるプラントネットワークの健全性を診断するためのプラントネットワーク健全性診断方法において、
    前記プラントネットワークを流れるデータを収集するデータ収集ステップと、データの送信周期とデータを特定可能なデータ特定情報を含む予め記録された基準情報を使用して、前記データ収集ステップで収集されたデータの通信時刻とそのデータに含まれる情報を前記基準情報と比較することでデータの検査を行う検査ステップとを備え、
    前記データ特定情報は、少なくともデータの送信元を特定可能な情報を含む、ことを特徴とするプラントネットワーク健全性診断方法。
  14. 前記データ収集ステップは、収集したデータに前記通信時刻として収集した時刻を付加するステップを含む、
    ことを特徴とする請求項13に記載のプラントネットワーク健全性診断方法。
  15. 前記データ特定情報は、前記送信周期に許容される誤差を示す情報、データの送信先を特定可能な情報、同じ送信元から送信される複数種類のデータを個別に特定可能な情報、データの正当性を示す情報、の中から選択された1種類以上の情報を含む、
    ことを特徴とする請求項13または請求項14に記載のプラントネットワーク健全性診断方法。
  16. 前記検査ステップは、
    前記基準情報を検索し、前記データ収集ステップで収集されたデータの中から新たに検査対象となるデータをカレントデータとし、このカレントデータに対応する基準情報が存在するか否かを判断する基準情報検索ステップと、
    前記カレントデータに対応する前記基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じ前記データ特定情報を含む一つ前のデータを前回データとし、カレントデータと前回データとの間の通信時刻の差が、前記送信周期に許容される誤差の範囲内であるか否かを判断する周期比較ステップとを含む、
    ことを特徴とする請求項15に記載のプラントネットワーク健全性診断方法。
  17. 前記検査ステップは、
    前記基準情報を検索し、前記データ収集ステップで収集されたデータの中から新たに検査対象となるデータをカレントデータとし、このカレントデータに対応する基準情報が存在するか否かを判断する基準情報検索ステップと、
    前記カレントデータに対応する前記基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じ前記データ特定情報を含む次回データの検索を開始する時刻を設定する時刻設定ステップと、
    前記時刻設定ステップで設定された時刻に、前記次回データの検索を開始し、前記カレントデータの通信時刻に対して前記送信周期に許容される誤差の範囲内に次回データが存在するか否かを判断する次回データ検索ステップとを含む、
    ことを特徴とする請求項15または請求項16に記載のプラントネットワーク健全性診断方法。
JP2002244171A 2002-08-23 2002-08-23 プラントネットワーク健全性診断装置とその方法 Expired - Fee Related JP4326768B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002244171A JP4326768B2 (ja) 2002-08-23 2002-08-23 プラントネットワーク健全性診断装置とその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002244171A JP4326768B2 (ja) 2002-08-23 2002-08-23 プラントネットワーク健全性診断装置とその方法

Publications (2)

Publication Number Publication Date
JP2004086367A true JP2004086367A (ja) 2004-03-18
JP4326768B2 JP4326768B2 (ja) 2009-09-09

Family

ID=32052740

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002244171A Expired - Fee Related JP4326768B2 (ja) 2002-08-23 2002-08-23 プラントネットワーク健全性診断装置とその方法

Country Status (1)

Country Link
JP (1) JP4326768B2 (ja)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284854A (ja) * 2004-03-30 2005-10-13 Toshiba Corp プラント点検保守記録の管理方法および装置、ならびにプラント点検保守記録の確認方法および装置
JP2005311870A (ja) * 2004-04-23 2005-11-04 Mitsubishi Electric Corp 不正侵入防止システム
JP2006217437A (ja) * 2005-02-07 2006-08-17 Fujitsu Ten Ltd 通信エラー検知機能付のゲートウェイ装置及び通信システム
JP2006320024A (ja) * 2006-08-16 2006-11-24 Intelligent Wave Inc 不正接続検知システム
JP2007243327A (ja) * 2006-03-06 2007-09-20 Fuji Xerox Co Ltd 情報処理装置
JP2008015722A (ja) * 2006-07-05 2008-01-24 Hitachi Electronics Service Co Ltd データ処理システム
JP2009038477A (ja) * 2007-07-31 2009-02-19 Denso Corp 診断装置
JP2009059182A (ja) * 2007-08-31 2009-03-19 Yokogawa Electric Corp フィールド制御システム
JP2009088732A (ja) * 2007-09-28 2009-04-23 Hitachi Ltd 制御ネットワークシステム
US8018867B2 (en) 2006-03-10 2011-09-13 Fujitsu Limited Network system for monitoring operation of monitored node
JP2011188272A (ja) * 2010-03-09 2011-09-22 Fujitsu Ltd スイッチ装置
JP2013080354A (ja) * 2011-10-03 2013-05-02 Hitachi Ltd 監視装置および監視方法
JP2014067324A (ja) * 2012-09-27 2014-04-17 Hitachi Systems Ltd 制御装置、制御方法および制御プログラム
WO2014109038A1 (ja) * 2013-01-10 2014-07-17 株式会社日立製作所 時系列データ処理装置及び方法並びに記憶媒体
JP2017022591A (ja) * 2015-07-13 2017-01-26 株式会社日立製作所 監視システム、粒子線治療システム、プラントの改修方法
JP2017059942A (ja) * 2015-09-15 2017-03-23 株式会社東芝 演算装置、演算方法及び演算プログラム
WO2018051607A1 (ja) * 2016-09-15 2018-03-22 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
WO2018123143A1 (ja) * 2016-12-28 2018-07-05 三菱日立パワーシステムズ株式会社 収集装置、収集方法、プログラム及び収集システム
US10429829B2 (en) 2015-07-13 2019-10-01 Hitachi, Ltd. Monitoring system, particle beam therapy system, and method of repairing plant
JP2021527873A (ja) * 2018-08-17 2021-10-14 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. プロトコルに依存しない異常検出

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5712991B2 (ja) 2012-10-15 2015-05-07 横河電機株式会社 プロセス制御システム及びその管理方法

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284854A (ja) * 2004-03-30 2005-10-13 Toshiba Corp プラント点検保守記録の管理方法および装置、ならびにプラント点検保守記録の確認方法および装置
JP2005311870A (ja) * 2004-04-23 2005-11-04 Mitsubishi Electric Corp 不正侵入防止システム
JP2006217437A (ja) * 2005-02-07 2006-08-17 Fujitsu Ten Ltd 通信エラー検知機能付のゲートウェイ装置及び通信システム
JP4603899B2 (ja) * 2005-02-07 2010-12-22 富士通テン株式会社 通信エラー検知機能付のゲートウェイ装置及び通信システム
JP2007243327A (ja) * 2006-03-06 2007-09-20 Fuji Xerox Co Ltd 情報処理装置
US8018867B2 (en) 2006-03-10 2011-09-13 Fujitsu Limited Network system for monitoring operation of monitored node
JP2008015722A (ja) * 2006-07-05 2008-01-24 Hitachi Electronics Service Co Ltd データ処理システム
JP2006320024A (ja) * 2006-08-16 2006-11-24 Intelligent Wave Inc 不正接続検知システム
JP2009038477A (ja) * 2007-07-31 2009-02-19 Denso Corp 診断装置
US7957313B2 (en) 2007-07-31 2011-06-07 Denso Corporation Diagnosis apparatus for object in TDM communication system and method for diagnosing the same
JP2009059182A (ja) * 2007-08-31 2009-03-19 Yokogawa Electric Corp フィールド制御システム
JP2009088732A (ja) * 2007-09-28 2009-04-23 Hitachi Ltd 制御ネットワークシステム
US8625585B2 (en) 2010-03-09 2014-01-07 Fujitsu Limited Switch apparatus
JP2011188272A (ja) * 2010-03-09 2011-09-22 Fujitsu Ltd スイッチ装置
JP2013080354A (ja) * 2011-10-03 2013-05-02 Hitachi Ltd 監視装置および監視方法
JP2014067324A (ja) * 2012-09-27 2014-04-17 Hitachi Systems Ltd 制御装置、制御方法および制御プログラム
WO2014109038A1 (ja) * 2013-01-10 2014-07-17 株式会社日立製作所 時系列データ処理装置及び方法並びに記憶媒体
US10429829B2 (en) 2015-07-13 2019-10-01 Hitachi, Ltd. Monitoring system, particle beam therapy system, and method of repairing plant
JP2017022591A (ja) * 2015-07-13 2017-01-26 株式会社日立製作所 監視システム、粒子線治療システム、プラントの改修方法
JP2017059942A (ja) * 2015-09-15 2017-03-23 株式会社東芝 演算装置、演算方法及び演算プログラム
WO2018051607A1 (ja) * 2016-09-15 2018-03-22 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
JP2018046432A (ja) * 2016-09-15 2018-03-22 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
CN109691029B (zh) * 2016-09-15 2021-10-22 住友电气工业株式会社 检测装置、网关装置和检测方法
CN109691029A (zh) * 2016-09-15 2019-04-26 住友电气工业株式会社 检测装置、网关装置、检测方法、以及检测程序
US10880415B2 (en) 2016-09-15 2020-12-29 Sumitomo Electric Industries, Ltd. Detecting device, gateway device, and detecting method
WO2018123143A1 (ja) * 2016-12-28 2018-07-05 三菱日立パワーシステムズ株式会社 収集装置、収集方法、プログラム及び収集システム
TWI695338B (zh) * 2016-12-28 2020-06-01 日商三菱日立電力系統股份有限公司 收集裝置、收集方法、程式及收集系統
CN110050239A (zh) * 2016-12-28 2019-07-23 三菱日立电力系统株式会社 收集装置、收集方法、程序及收集系统
JP2018109850A (ja) * 2016-12-28 2018-07-12 三菱日立パワーシステムズ株式会社 収集装置、収集方法、プログラム及び収集システム
JP2021527873A (ja) * 2018-08-17 2021-10-14 エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. プロトコルに依存しない異常検出
JP7086230B2 (ja) 2018-08-17 2022-06-17 エヌイーシー ラボラトリーズ アメリカ インク プロトコルに依存しない異常検出

Also Published As

Publication number Publication date
JP4326768B2 (ja) 2009-09-09

Similar Documents

Publication Publication Date Title
JP2004086367A (ja) プラントネットワーク健全性診断装置とその方法
US10986008B2 (en) Abnormality detection in an on-board network system
US7966525B2 (en) Diagnostic procedure and device for a field bus system
US9921938B2 (en) Anomaly detection system, anomaly detection method, and program for the same
US20210226872A1 (en) Abnormality detection method, abnormality detection apparatus, and abnormality detection system
CN110120935B (zh) 用于在通信网络中识别数据流中的异常的方法和设备
JP4847877B2 (ja) インターフェースチップによって受信されたdlpduを外部回路によってなされたデータ計測に関連付けるためのシステムおよび方法
US7843897B2 (en) System, apparatus and method for mixed mode communication on a single network
EP1382155A4 (en) METHOD AND SYSTEM FOR REDUCING FALSE ALARMS IN NETWORK FAULT MANAGEMENT SYSTEMS
CN102740112B (zh) 一种基于视频监控系统的设备轮巡的控制方法
CN109857087B (zh) 一种城轨区域控制器系统硬件在环测试系统
CN102055615B (zh) 服务器监控方法
US6034948A (en) System for testing repeating installation
CN100574224C (zh) 工业以太网数据监控的检测方法和装置
CN109768971A (zh) 一种基于网络流量实时检测工控主机状态的方法
CN111679657A (zh) 一种基于工控设备信号的攻击检测方法及系统
CN104076808A (zh) 工控设备的故障诊断系统和方法
JP2008160356A (ja) 波形解析装置
CN207782829U (zh) Profibus-dp通信网络的诊断设备
CN100568833C (zh) 一种定位设备监控系统通讯故障位置的方法
Lei et al. Diagnosis of intermittent connections for DeviceNet
CN103885441B (zh) 一种控制器局域网络的自适应故障诊断方法
EP2541839A1 (en) Method of determining immediate topology of a network connection
CN1808510A (zh) 仪表系统中的基于网络触发
CN208953929U (zh) 一种远程在线监控装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080708

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080905

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081021

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081222

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090210

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090410

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090515

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090610

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130619

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees