JP2005301935A - Process controller - Google Patents

Process controller Download PDF

Info

Publication number
JP2005301935A
JP2005301935A JP2004121217A JP2004121217A JP2005301935A JP 2005301935 A JP2005301935 A JP 2005301935A JP 2004121217 A JP2004121217 A JP 2004121217A JP 2004121217 A JP2004121217 A JP 2004121217A JP 2005301935 A JP2005301935 A JP 2005301935A
Authority
JP
Japan
Prior art keywords
security
change
request
security status
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004121217A
Other languages
Japanese (ja)
Other versions
JP4529071B2 (en
Inventor
Satoru Osako
悟 大迫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2004121217A priority Critical patent/JP4529071B2/en
Publication of JP2005301935A publication Critical patent/JP2005301935A/en
Application granted granted Critical
Publication of JP4529071B2 publication Critical patent/JP4529071B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve a problem wherein a complete check is not implemented because it is checked dependently upon an external device whether a user is authorized to change a program and data, and a system in which a connection to a communication bus is switched by a hardware switch, is a troublesome operation. <P>SOLUTION: The user transmits a security state change report together with a password when changing the program and data. A process controller collates the password and changed a present security state in the case of coincidence. Then the user transmits a change request, and the process controller refers to the present security state to check whether the received change request is permitted, and change is executed when it is permitted. The process controller itself manages and controls the security. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ネットワークに接続されたプロセス制御装置に関し、自らセキュリティを管理し、制御することができるプロセス制御装置に関するものである。   The present invention relates to a process control apparatus connected to a network, and relates to a process control apparatus capable of managing and controlling security by itself.

今日、プラントが大規模になり、プロセス制御装置が他社製品をはじめ様々な機器とネットワークで接続されるようになった。そのため、ネットワークから侵入され、内部のプログラムやデータを破壊されることがないように、セキュリティを重視することが求められるようになってきた。   Today, the plant has grown to a large scale, and process control devices have been connected to various devices, including other companies, via a network. For this reason, it has become necessary to place importance on security so that it will not be invaded from the network and internal programs and data will be destroyed.

図5にネットワークに接続されたプロセス制御システムの構成を示す。図5において、パソコン61はイーサネット(登録商標)などのネットワークに接続されている。7は制御ステーションであり、通信バス64に接続されている。63はコンソールであり、イーサネット(登録商標)などのネットワーク62と通信バス64を接続している。コンソール63によってデータの設定やアプリケーションの変更を行う。   FIG. 5 shows a configuration of a process control system connected to the network. In FIG. 5, a personal computer 61 is connected to a network such as Ethernet (registered trademark). A control station 7 is connected to the communication bus 64. Reference numeral 63 denotes a console, which connects a network 62 such as Ethernet (registered trademark) and a communication bus 64. Data setting and application change are performed by the console 63.

このようなプロセス制御システムでは、ネットワーク62に接続されたパソコン61から制御ステーション7にアクセスしてアプリケーションプログラムやデータを変更することもできる。この場合、ログイン機構で権限のないユーザが制御ステーション7にアクセスできないようになっている。   In such a process control system, an application program and data can be changed by accessing the control station 7 from a personal computer 61 connected to the network 62. In this case, an unauthorized user cannot access the control station 7 by the login mechanism.

図6に制御ステーション7の構成を示す。71は通信インターフェイスであり、通信バス64を介して上位機器と接続される。通信インターフェイス71は要求受付タスク72に受信したデータ変更などの要求を出し、要求受付タスク72はこの要求を要求処理タスク73に伝達する。要求処理タスク73はデータベース74にアクセスして、伝達された要求を処理する。   FIG. 6 shows the configuration of the control station 7. Reference numeral 71 denotes a communication interface, which is connected to a host device via a communication bus 64. The communication interface 71 issues a request for changing the received data to the request reception task 72, and the request reception task 72 transmits this request to the request processing task 73. The request processing task 73 accesses the database 74 to process the transmitted request.

このような構成において、通信インターフェイス71が受信した要求が異常である場合もある。そのため、その要求がデータ変更やプログラムの変更であるときは、要求受付タスク72および要求処理タスク73はプログラムやデータベースが破壊されることがないかどうかをチェックする。   In such a configuration, the request received by the communication interface 71 may be abnormal. Therefore, when the request is a data change or a program change, the request reception task 72 and the request processing task 73 check whether the program or the database is not destroyed.

図7に、安全計装システムの構成を示す。エンジニアリングPC81と制御ステーション9は通信バス82で接続されており、このエンジニアリングPC81を用いて制御ステーション9のデータあるいはプログラムを変更することができる。   FIG. 7 shows the configuration of the safety instrumented system. The engineering PC 81 and the control station 9 are connected by a communication bus 82, and the data or program of the control station 9 can be changed using the engineering PC 81.

制御ステーション9内には安全機能手段92,プログラム93およびデータベース94が内蔵されている。安全機能手段92は通信バス82に接続され、エンジニアリングPC81からの要求によってプログラム93およびデータベース94を変更する。   In the control station 9, a safety function means 92, a program 93 and a database 94 are incorporated. The safety function unit 92 is connected to the communication bus 82 and changes the program 93 and the database 94 in response to a request from the engineering PC 81.

このような構成において、安全機能手段92に不正な要求が入力されると、プログラム93やデータベース94が破壊される危険性がある。そのため、通信バス82と安全機能手段92との間にセキュリティスイッチ91を挿入し、必要なときのみ通信バス82を安全機能手段92に接続するようにする。   In such a configuration, if an unauthorized request is input to the safety function means 92, the program 93 and the database 94 may be destroyed. Therefore, the security switch 91 is inserted between the communication bus 82 and the safety function means 92 so that the communication bus 82 is connected to the safety function means 92 only when necessary.

すなわち、ユーザはエンジニアリングPC81からプログラム93やデータベース94を書き換えるときに手動でセキュリティスイッチ91をオンにし、変更が終了するとオフにする。このようにすることによって、不正なユーザがログインして、プログラム93やデータベース94を書き換えることを防止できる。   That is, the user manually turns on the security switch 91 when rewriting the program 93 or the database 94 from the engineering PC 81, and turns it off when the change is completed. By doing so, it is possible to prevent an unauthorized user from logging in and rewriting the program 93 and the database 94.

特開平9−218837号公報Japanese Patent Laid-Open No. 9-218837 特許第2698877号公報Japanese Patent No. 2698877

しかし、図6に示した制御ステーションは要求受付タスク72や要求処理タスク73で要求の正当性をチェックしているが、このチェックはプログラムやデータベースが破壊されるかどうか、あるいは制御ステーションが誤動作するかどうかのチェックのみであり、ユーザが意図した要求であるかどうかを判断することは出来ないという課題があった。   However, the control station shown in FIG. 6 checks the validity of the request by the request reception task 72 and the request processing task 73. This check is performed whether the program or database is destroyed or the control station malfunctions. There is a problem that it is only possible to check whether or not the request is intended by the user.

また、変更する権限があるかどうかのチェックをパソコン61などの外部機器に任せており、制御ステーション内で判断していないために確実なチェックを行うことができないという課題もあった。   In addition, since it is left to the external device such as the personal computer 61 to check whether or not there is an authority to change, there is a problem that a reliable check cannot be performed because it is not determined in the control station.

図7の安全計装システムは、変更するときのみセキュリティスイッチ91をオンにする構成であるので、意図しないタイミングでの書き換えを防止することができる。しかし、書き換えをするためには、現場に行っていちいちセキュリティスイッチ91をオンにしなければならず、操作が面倒であるという課題があった。   Since the security instrumentation system of FIG. 7 is configured to turn on the security switch 91 only when changing, it is possible to prevent rewriting at an unintended timing. However, in order to rewrite, the security switch 91 has to be turned on every time in the field, and there is a problem that the operation is troublesome.

また、セキュリティスイッチ91がオンになっている間は様々な変更を受け付けるので、ユーザが本当に意図した変更のみ受け付けたかどうかを証明することが難しいという課題もあった。さらに、許可されていないユーザでもセキュリティスイッチ91を操作でき、またセキュリティスイッチ91が故障することもあり、確実性に欠けるという課題もあった。
従って本発明が解決しようとする課題は、制御装置自身がセキュリティを制御、監視し、ユーザが意図したタイミングで意図した変更のみを許可するプロセス制御装置を提供することにある。 Further, since various changes are accepted while the security switch 91 is on, there is a problem that it is difficult to prove whether or not only the changes that the user really intended are accepted. Further, there is a problem that even an unauthorized user can operate the security switch 91, the security switch 91 may break down, and lack of certainty.
Therefore, the problem to be solved by the present invention is to provide a process control device in which the control device itself controls and monitors security, and permits only a change intended at a timing intended by a user.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
現在のセキュリティ状態が保存されるセキュリティ状態情報手段と、
パスワードが保存されるパスワード保存手段と、
セキュリティ状態変更通知が入力され、このセキュリティ状態変更通知と同時に送られてきたパスワードと前記パスワード保存手段に保存されたパスワードを比較し、比較結果が一致していると前記セキュリティ状態変更通知に基づいて前記セキュリティ状態情報手段の現在のセキュリティ状態を書き換えるセキュリティ管理手段と、
変更要求が入力され、前記セキュリティ状態情報手段に保存された現在のセキュリティ状態を参照して、前記入力された変更要求が許可されていると、この変更要求を出力する要求受付手段と、
前記要求受付手段が出力した変更要求が入力され、この変更要求を処理する要求処理手段と、
を備えたことを特徴とするプロセス制御装置である。外部機器からの意図しない変更を防止できる。 In order to achieve such a problem, the invention according to claim 1 of the present invention is:
Security status information means for storing the current security status;
A password storage means for storing the password;
A security status change notification is input, the password sent simultaneously with the security status change notification is compared with the password stored in the password storage means, and if the comparison result matches, based on the security status change notification Security management means for rewriting the current security status of the security status information means;
When a change request is input, referring to the current security state stored in the security state information means, and when the input change request is permitted, a request receiving means for outputting the change request;
A request processing means for inputting the change request output by the request receiving means and processing the change request;
A process control device comprising: Unintentional changes from external devices can be prevented.

請求項2記載の発明は、請求項1記載の発明において、
前記変更要求によって変更される対象物は、プログラムとデータの少なくともいずれかであるものである。プロセス制御装置の誤動作を防止できる。 The invention according to claim 2 is the invention according to claim 1,
The object to be changed by the change request is at least one of a program and data. It is possible to prevent malfunction of the process control device.

請求項3記載の発明は、請求項1若しくは請求項2記載の発明において、
セキュリティ状態通知手段を有し、このセキュリティ状態通知手段は、前記セキュリティ状態情報手段に格納された現在のセキュリティ状態が変更されたときに、その旨を通知するようにしたものである。セキュリティ状態の意図しない変更を知ることができる。 The invention according to claim 3 is the invention according to claim 1 or claim 2,
Security status notifying means is provided, and this security status notifying means notifies that when the current security status stored in the security status information means is changed. Know unintended changes in security status.

請求項4記載の発明は、請求項1乃至請求項3のいずれかに記載の発明において。
セキュリティ状態監視手段を有し、このセキュリティ状態監視手段は前記セキュリティ状態情報手段に格納された現在のセキュリティ状態を監視し、この現在のセキュリティ状態が前記変更要求の少なくとも1つを許可する状態が所定の時間継続したときに、その旨を通知するようにしたものである。セキュリティ状態のリセットし忘れを防止できる。 The invention according to claim 4 is the invention according to any one of claims 1 to 3.
Security state monitoring means for monitoring a current security state stored in the security state information means, and a state in which the current security state permits at least one of the change requests is predetermined. When this time is continued, the fact is notified. You can prevent forgetting to reset the security status.

請求項5記載の発明は、請求項3若しくは請求項4記載の発明において、
前記通知は、メッセージとユーザアプリケーションの少なくともいずれかを介して行われるようしにしたものである。簡単に実装できる。 The invention according to claim 5 is the invention according to claim 3 or claim 4,
The notification is made via at least one of a message and a user application. Easy to implement.

以上説明したことから明らかなように、本発明によれば次のような効果がある。
本発明では、プログラムやデータを書き換える際に、まず現在のセキュリティ状態を変更し、その後プログラムやデータの変更要求を出すようにした。また、現在のセキュリティ状態変更の際、パスワードを照合するようにした。 As is apparent from the above description, the present invention has the following effects.
In the present invention, when a program or data is rewritten, the current security state is first changed, and then a program or data change request is issued. Also, the password is verified when the current security status is changed.

ユーザが意図したタイミングでのみプログラムやデータの変更が可能であるので、外部機器からの意図しないこれらの変更を防止することができるという効果がある。また、ユーザが意図した変更のみ許可するので、ユーザの操作ミスを防止することが出来るという効果もある。   Since the program and data can be changed only at the timing intended by the user, there is an effect that these unintended changes from the external device can be prevented. In addition, since only the change intended by the user is permitted, there is an effect that it is possible to prevent a user's operation mistake.

また、ソフトウエアで実現することが出来るので、安価に実現することができ、かつ変更が容易になるという効果もある。さらに、遠隔地で操作、監視が可能になるという効果もある。また、現在のセキュリティ状態を変更するときにパスワードを照合するので、変更する権限を有さないユーザの操作を排除することができるという効果もある。   In addition, since it can be realized by software, it can be realized at a low cost and can be easily changed. Furthermore, there is an effect that operation and monitoring can be performed in a remote place. In addition, since the password is verified when the current security state is changed, there is an effect that it is possible to eliminate the operation of the user who does not have the authority to change.

また、セキュリティ状態通知手段を実装し、現在のセキュリティ状態が変更されたときに通知することにより、意図しないセキュリティ状態の変更を知ることが出来る。さらに、セキュリティ状態監視手段を実装し、リセットでない状態が所定の期間以上継続しないようにすることにより、リセットし忘れを防止することができという効果もある。   Further, by implementing a security status notification means and notifying when the current security status is changed, it is possible to know an unintended change in the security status. Furthermore, by implementing security state monitoring means so that a non-reset state does not continue for a predetermined period or more, there is an effect that it is possible to prevent forgetting to reset.

プロセス制御装置は、万一プラントに異常が発生したときに確実に緊急停止しなければならない。そのため、プログラムやデータの変更が正しく行われていることを制御装置自身で保証できることが重要であり、本発明はその点で効果が大きい。   The process control device must ensure an emergency stop when an abnormality occurs in the plant. Therefore, it is important that the control device itself can guarantee that the program and data are correctly changed, and the present invention is very effective in that respect.

以下本発明を図面を用いて詳細に説明する。図1は本発明に係るプロセス制御装置の一実施例を示す構成図である。図1において、1はエンジニアリングPCであり、通信バス2に接続されている。3はプロセス制御装置である制御ステーションである。なお、この図ではセキュリティ管理に関係のない部分は省略している。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing an embodiment of a process control apparatus according to the present invention. In FIG. 1, reference numeral 1 denotes an engineering PC, which is connected to a communication bus 2. A control station 3 is a process control apparatus. In this figure, parts not related to security management are omitted.

この制御ステーション3には、通信バス2のインターフェイスである通信インターフェイス31,複数の状態をとるセキュリティ状態情報手段32,このセキュリティ状態情報手段32を変更するセキュリティ管理手段33,セキュリティ管理手段33によって参照されるセキュリティ用パスワードが格納されているパスワード保存手段34,通信インターフェイス31が受信した変更要求が入力される要求受付手段35,要求受付手段35によって起動される要求処理手段36,要求処理手段36によって変更されるプログラム37およびデータベース38で構成されている。なお、要求受付手段35および要求処理手段36は、それぞれ複数のタスクで構成されている。   The control station 3 is referred to by a communication interface 31 that is an interface of the communication bus 2, a security state information unit 32 that takes a plurality of states, a security management unit 33 that changes the security state information unit 32, and a security management unit 33. The password storage means 34 in which the security password is stored, the request receiving means 35 to which the change request received by the communication interface 31 is input, the request processing means 36 activated by the request receiving means 35, and the request processing means 36 The program 37 and the database 38 are configured. The request receiving means 35 and the request processing means 36 are each composed of a plurality of tasks.

通信インターフェイス31は通信バス2に接続され、エンジニアリングPC1が出力するセキュリティ変更要求およびプログラム37またはデータベース38の変更要求を受信し、セキュリティ管理手段33または要求処理手段35に出力する。   The communication interface 31 is connected to the communication bus 2, receives a security change request output from the engineering PC 1 and a change request for the program 37 or the database 38, and outputs it to the security management means 33 or the request processing means 35.

セキュリティ管理手段33は、エンジニアリングPC1から送られてきたセキュリティ変更要求と共に送られてきたパスワードとパワード保存手段34に格納されているパスワードを比較し、一致していればセキュリティ状態情報手段32の現在のセキュリティ状態を変更する。   The security management means 33 compares the password sent together with the security change request sent from the engineering PC 1 and the password stored in the powered storage means 34, and if they match, the security status information means 32 present Change the security state.

通信インターフェイス31が受信した要求変更は要求受付手段35に入力される。要求受付手段35はこの要求変更を受け取ると、セキュリティ状態情報手段32に格納されている現在のセキュリティ状態を参照し、許可されていると変更要求を要求処理手段36に出力する。要求処理手段36は入力された変更要求に従ってプログラム37および/またはデータベース38を再設定する。   The request change received by the communication interface 31 is input to the request receiving means 35. When receiving the request change, the request receiving unit 35 refers to the current security state stored in the security state information unit 32 and outputs a change request to the request processing unit 36 if permitted. The request processing means 36 resets the program 37 and / or the database 38 according to the input change request.

次に、この実施例の動作の概念を、図2を用いて説明する。図2において、4は制御ステーション、41はこの制御ステーション4のファイアウオール、421,422はセキュリティ状態情報手段32内の現在のセキュリティ状態によってその状態が変化するセキュリティゲート、43はセキュリティ管理手段、44,45はそれぞれ変更要求B、Cの受付タスクである。セキュリティ管理手段43は図1のセキュリティ管理手段33と同じものであり、変更B受付タスク44、変更C受付タスク45は図1の要求受付手段35の一部である。   Next, the concept of the operation of this embodiment will be described with reference to FIG. In FIG. 2, 4 is a control station, 41 is a firewall of this control station 4, 421 and 422 are security gates whose state changes depending on the current security state in the security state information means 32, 43 is security management means, 44, Reference numerals 45 denote accepting tasks for change requests B and C, respectively. The security management means 43 is the same as the security management means 33 in FIG. 1, and the change B reception task 44 and the change C reception task 45 are part of the request reception means 35 in FIG.

なお、変更要求Aはどのような場合であっても受け付けてはいけない要求であり、変更要求BおよびCは、ユーザが指定したタイミングでのみ受け付けたい要求である。   The change request A is a request that should not be accepted in any case, and the change requests B and C are requests that are desired to be received only at a timing designated by the user.

図2(A)は定常状態、すなわち変更要求を行わないときの状態を表している。変更要求Aに対しては、ファイアウオール41自体が閉じているので、どのような場合であっても受け付けられない。変更要求B、Cは、ファイアウオール41は開いているが、セキュリティゲート421,422が閉じているので、やはり受け付けられない。   FIG. 2A shows a steady state, that is, a state when no change request is made. The change request A is not accepted in any case because the firewall 41 itself is closed. The change requests B and C are not accepted because the firewall 41 is open but the security gates 421 and 422 are closed.

同図(B)はセキュリティ変更要求によってセキュリティ状態情報手段32内の現在のセキュリティ状態を変更して、変更要求Bを受け付けるようにした状態を表す。セキュリティゲート422が開いたために変更要求Bは変更B受付タスク44に到達し、実行される。なお、セキュリティゲート421は閉じたままなので、変更要求Cは受け付けられない。   FIG. 5B shows a state in which the current security state in the security state information unit 32 is changed by the security change request and the change request B is accepted. Since the security gate 422 is opened, the change request B reaches the change B reception task 44 and is executed. Since security gate 421 remains closed, change request C is not accepted.

なお、図2は模式的に記載したので、変更要求がセキュリティゲート421,422によって阻まれて受付タスク44,45に到達しないようになっているが、受付タスク44,45がセキュリティ状態情報手段32を参照して受け付けるかどうかを決定するようにしてもよい。   Since FIG. 2 is schematically described, the change request is blocked by the security gates 421 and 422 so as not to reach the reception tasks 44 and 45. However, the reception tasks 44 and 45 are not included in the security status information means 32. It may be determined whether to accept with reference to.

次に、図3に基づいて図1実施例の動作を説明する。なお、図1と同じ要素には同一符号を付し、説明を省略する。図3は動作を順番に記載したものであり、時間は上から下に流れるものとする。   Next, the operation of the embodiment shown in FIG. 1 will be described with reference to FIG. In addition, the same code | symbol is attached | subjected to the same element as FIG. 1, and description is abbreviate | omitted. FIG. 3 shows the operations in order, and the time flows from top to bottom.

図3において、プログラムあるいはデータベースを変更したいユーザは、(A)でエンジニアリングPC1を操作してセキュリティ状態変更通知を制御ステーション3に送信する。このとき、パスワードも同時に送信する。   In FIG. 3, the user who wants to change the program or database operates the engineering PC 1 in (A) and transmits a security state change notification to the control station 3. At this time, the password is also transmitted at the same time.

セキュリティ状態変更通知を受け取ったセキュリティ管理手段33は、同時に送られてきたパスワードとパスワード保存手段34に保存しているパスワードを比較して、一致していると(C)でセキュリティ状態情報手段32内の現在のセキュリティ状態を変更し、(D)でエンジニアリングPC1にセキュリティ状態の変更が完了したことを通知する。セキュリティ管理手段33は、パスワードが一致していると変更権限を有する特別なユーザであると判断する。   Upon receiving the security status change notification, the security management means 33 compares the password sent at the same time with the password stored in the password storage means 34. In (D), the engineering PC 1 is notified that the change of the security state has been completed. If the passwords match, the security management unit 33 determines that the user is a special user having change authority.

セキュリティ状態変更完了通知を受け取ったユーザは、(E)でエンジニアリングPC1を用いて変更要求を送信する。この変更要求は要求受付手段35で受信される。要求受付手段35は、(F)でセキュリティ状態情報手段32内の現在のセキュリティ状態を参照し、受信した変更要求が許可されているかどうかをチェックする。   The user who has received the security state change completion notification transmits a change request using the engineering PC 1 in (E). This change request is received by the request receiving means 35. The request receiving means 35 refers to the current security status in the security status information means 32 in (F) and checks whether the received change request is permitted.

次に、(G)でデータベース38に書き込む操作を行い、(H)で書き込みが成功した、あるいは失敗したことをエンジニアリングPC1に通知する。この通知を受け取ったユーザは、(I)でセキュリティ状態情報手段32をリセットし、全ての変更要求が受け付けられないようにする。   Next, an operation of writing to the database 38 is performed in (G), and the engineering PC 1 is notified that the writing has succeeded or failed in (H). The user who has received this notification resets the security status information means 32 in (I) so that all change requests cannot be accepted.

なお、この図ではデータベース38への書き込み操作の例を示したが、プログラム37の変更その他の操作であってもよい。   In addition, although the example of the write operation to the database 38 is shown in this figure, the program 37 may be changed or other operations.

前述の実施例では、ユーザがセキュリティ状態情報手段32をリセットし忘れると、パスワードを持たないユーザもプログラム37あるいはデータベース38の変更ができてしまうという欠点がある。図4にこの欠点を除去した実施例を示す。   In the above-described embodiment, if the user forgets to reset the security status information means 32, there is a disadvantage that even a user who does not have a password can change the program 37 or the database 38. FIG. 4 shows an embodiment in which this defect is eliminated.

図4において、5はセキュリティ状態管理手段であり、セキュリティ管理手段33に内蔵される。51はセキュリティ状態通知手段であり、セキュリティ状態管理手段5に内蔵される。このセキュリティ状態通知手段51は、セキュリティ状態情報手段32内の現在のセキュリティ状態が変化したときに、変化した旨をメッセージやユーザアプリケーションを通じてユーザに通知する。これによって、ユーザは意図しないタイミングでセキュリティ状態情報手段32が変更されたことを知ることができる。   In FIG. 4, reference numeral 5 denotes security state management means, which is built in the security management means 33. Reference numeral 51 denotes a security status notification unit, which is built in the security status management unit 5. When the current security state in the security state information unit 32 changes, the security state notification unit 51 notifies the user of the change through a message or a user application. As a result, the user can know that the security status information means 32 has been changed at an unintended timing.

52はセキュリティ状態監視手段であり、セキュリティ状態管理手段5に内蔵され、またタイマ521を内蔵している。このセキュリティ状態監視手段52はセキュリティ状態情報手段32を常時監視し、現在のセキュリティ状態が安全でない、すなわち図2(A)の状態でない状態が一定時間以上継続すると異常と判断し、セキュリティ状態通知手段51を介してユーザに通知して異常を知らせる。   Reference numeral 52 denotes security status monitoring means, which is built in the security status management means 5 and also includes a timer 521. The security status monitoring unit 52 constantly monitors the security status information unit 32, and determines that the current security status is not safe, that is, if the status that is not in the state of FIG. The user is notified through 51 to notify the abnormality.

本発明の一実施例を示す構成図である。It is a block diagram which shows one Example of this invention. 本発明の概念を説明するための図である。It is a figure for demonstrating the concept of this invention. 本発明の動作を説明するための図である。It is a figure for demonstrating operation | movement of this invention. 本発明の他の実施例を示す構成図である。It is a block diagram which shows the other Example of this invention. プロセス制御システムの構成図である。It is a block diagram of a process control system. 制御ステーションの構成図である。It is a block diagram of a control station. 安全計装システムの構成図である。It is a block diagram of a safety instrumentation system.

符号の説明Explanation of symbols

1、4 エンジニアリングPC
2 通信バス
3 制御ステーション
31 通信インターフェイス
32 セキュリティ状態情報手段
33、43 セキュリティ管理手段
34 パスワード保存手段
35 要求受付手段
36 要求処理手段
37 プログラム
38 データベース
41 ファイアウオール
421,422 セキュリティゲート
44 変更B受付タスク
45 変更C受付タスク
5 セキュリティ状態管理手段
51 セキュリティ状態通知手段
52 セキュリティ状態監視手段
521 タイマ
1, 4 Engineering PC
2 communication bus 3 control station 31 communication interface 32 security status information means 33, 43 security management means 34 password storage means 35 request reception means 36 request processing means 37 program 38 database 41 firewall 421, 422 security gate 44 change B reception task 45 change C reception task 5 security state management means 51 security state notification means 52 security state monitoring means 521 timer

Claims (5)

ネットワーク経由で内部のプログラムやデータが変更可能なプロセス制御装置において、
現在のセキュリティ状態が保存されるセキュリティ状態情報手段と、
パスワードが保存されるパスワード保存手段と、
セキュリティ状態変更通知が入力され、このセキュリティ状態変更通知と同時に送られてきたパスワードと前記パスワード保存手段に保存されたパスワードを比較し、比較結果が一致していると前記セキュリティ状態変更通知に基づいて前記セキュリティ状態情報手段の現在のセキュリティ状態を書き換えるセキュリティ管理手段と、
変更要求が入力され、前記セキュリティ状態情報手段に保存された現在のセキュリティ状態を参照して、前記入力された変更要求が許可されていると、この変更要求を出力する要求受付手段と、
前記要求受付手段が出力した変更要求が入力され、この変更要求を処理する要求処理手段と、
を備えたことを特徴とするプロセス制御装置。 In a process control device that can change internal programs and data via a network,
Security status information means for storing the current security status;
A password storage means for storing the password;
A security status change notification is input, the password sent simultaneously with the security status change notification is compared with the password stored in the password storage means, and if the comparison result matches, based on the security status change notification Security management means for rewriting the current security status of the security status information means;
When a change request is input, referring to the current security state stored in the security state information means, and when the input change request is permitted, a request receiving means for outputting the change request;
A request processing means for inputting the change request output by the request receiving means and processing the change request;
A process control apparatus comprising: 前記変更要求によって変更される対象物は、プログラムとデータの少なくともいずれかであることを特徴とする請求項1記載のプロセス制御装置。   The process control apparatus according to claim 1, wherein the object to be changed by the change request is at least one of a program and data. セキュリティ状態通知手段を有し、このセキュリティ状態通知手段は、前記セキュリティ状態情報手段に格納された現在のセキュリティ状態が変更されたときに、その旨を通知するようにしたことを特徴とする請求項1若しくは請求項2記載のプロセス制御装置。   The security status notifying unit is configured to notify that when the current security status stored in the security status information unit is changed. The process control apparatus according to claim 1 or 2. セキュリティ状態監視手段を有し、このセキュリティ状態監視手段は前記セキュリティ状態情報手段に格納された現在のセキュリティ状態を監視し、この現在のセキュリティ状態が前記変更要求の少なくとも1つを許可する状態が所定の時間継続したときに、その旨を通知するようにしたことを特徴とする請求項1乃至請求項3のいずれかに記載のプロセス制御装置。   Security state monitoring means for monitoring a current security state stored in the security state information means, and a state in which the current security state permits at least one of the change requests is predetermined. 4. The process control apparatus according to claim 1, wherein a notification to that effect is made when the time elapses. 前記通知は、メッセージとユーザアプリケーションの少なくともいずれかを介して行われることを特徴とする請求項3若しくは請求項4記載のプロセス制御装置。
The process control apparatus according to claim 3, wherein the notification is performed through at least one of a message and a user application.
JP2004121217A 2004-04-16 2004-04-16 Process control device Expired - Lifetime JP4529071B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004121217A JP4529071B2 (en) 2004-04-16 2004-04-16 Process control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004121217A JP4529071B2 (en) 2004-04-16 2004-04-16 Process control device

Publications (2)

Publication Number Publication Date
JP2005301935A true JP2005301935A (en) 2005-10-27
JP4529071B2 JP4529071B2 (en) 2010-08-25

Family

ID=35333339

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004121217A Expired - Lifetime JP4529071B2 (en) 2004-04-16 2004-04-16 Process control device

Country Status (1)

Country Link
JP (1) JP4529071B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007060959A1 (en) * 2005-11-25 2007-05-31 Yokogawa Electric Corporation Plant control system
JP2013161199A (en) * 2012-02-03 2013-08-19 Yokogawa Electric Corp Security system and communication control method

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09198266A (en) * 1996-01-19 1997-07-31 Hitachi Ltd Process control system
JP2000217170A (en) * 1999-01-26 2000-08-04 Matsushita Electric Works Ltd Central monitor system
JP2002077999A (en) * 2000-08-25 2002-03-15 Toshiba Corp Electronic device and connection control method
JP2002251324A (en) * 2001-02-23 2002-09-06 Seiko Instruments Inc Server system and security system
JP2002297446A (en) * 2001-03-29 2002-10-11 Yokogawa Electric Corp Mode change method using step-like signal input
JP2003091455A (en) * 2001-09-18 2003-03-28 Seiko Instruments Inc Server system and storage device control system
JP2003273577A (en) * 2002-03-18 2003-09-26 Fuji Mach Mfg Co Ltd Circuit board manufacturing apparatus having control adjustment mode protective function and its operating method
JP2004164048A (en) * 2002-11-11 2004-06-10 Hitachi Ltd Method and device for remote maintenance

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09198266A (en) * 1996-01-19 1997-07-31 Hitachi Ltd Process control system
JP2000217170A (en) * 1999-01-26 2000-08-04 Matsushita Electric Works Ltd Central monitor system
JP2002077999A (en) * 2000-08-25 2002-03-15 Toshiba Corp Electronic device and connection control method
JP2002251324A (en) * 2001-02-23 2002-09-06 Seiko Instruments Inc Server system and security system
JP2002297446A (en) * 2001-03-29 2002-10-11 Yokogawa Electric Corp Mode change method using step-like signal input
JP2003091455A (en) * 2001-09-18 2003-03-28 Seiko Instruments Inc Server system and storage device control system
JP2003273577A (en) * 2002-03-18 2003-09-26 Fuji Mach Mfg Co Ltd Circuit board manufacturing apparatus having control adjustment mode protective function and its operating method
JP2004164048A (en) * 2002-11-11 2004-06-10 Hitachi Ltd Method and device for remote maintenance

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007060959A1 (en) * 2005-11-25 2007-05-31 Yokogawa Electric Corporation Plant control system
JP2007148609A (en) * 2005-11-25 2007-06-14 Yokogawa Electric Corp Plant control system
DE112006003180T5 (en) 2005-11-25 2008-12-11 Yokogawa Electric Corporation, Musashino Plant control system
US8290601B2 (en) 2005-11-25 2012-10-16 Yokogawa Electric Corporation Plant control system
JP2013161199A (en) * 2012-02-03 2013-08-19 Yokogawa Electric Corp Security system and communication control method

Also Published As

Publication number Publication date
JP4529071B2 (en) 2010-08-25

Similar Documents

Publication Publication Date Title
JP4807562B2 (en) Plant control system
US7950044B2 (en) Centrally managed proxy-based security for legacy automation systems
US8132225B2 (en) Scalable and flexible information security for industrial automation
CN105659646B (en) Mobile device authentication
CN103376800A (en) System and method for securing controllers
JP2004310779A (en) Voting logic block having operation override and maintenance override in process control system
US20150186677A1 (en) Server chassis physical security enforcement
JP2007148876A (en) Network type analysis system
JP6437457B2 (en) Device for identifying unauthorized operation of the system state of a control and regulation unit and nuclear technology equipment including the device
JP4529071B2 (en) Process control device
WO2020195348A1 (en) Control system, security device, and method
CN111236105B (en) Parking space lock management method, device and system and parking space lock
BR102016013149A2 (en) BLUETOOTH CELL PHONE ACCESS CONTROL SYSTEM
CN105991656A (en) Method and device providing secure vendor service access
KR101926976B1 (en) Security method of computers
JP2005036627A (en) Entrance/exit management system, reader control device, and host control device
JP5994265B2 (en) Security system and communication control method
US11444919B2 (en) Mission critical security zone
RU2636092C1 (en) Device of hardware and software complex for generating key information and radio data for radio station
CN110555323B (en) Control method and device for serial port, computer equipment and readable storage medium
WO2022190422A1 (en) Control system and control method therefor
KR20070040449A (en) Apparatus and method of security for computer
WO2017019075A1 (en) Lock control
RU2634202C1 (en) Device of hardware and software complex for generating key information and radio data for radio station
KR20040099074A (en) Wireless approach installation for computer keyboard and mouse lock system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090908

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100513

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100526

R150 Certificate of patent or registration of utility model

Ref document number: 4529071

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130618

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140618

Year of fee payment: 4