JP2006139353A - 操作監視装置 - Google Patents
操作監視装置 Download PDFInfo
- Publication number
- JP2006139353A JP2006139353A JP2004326108A JP2004326108A JP2006139353A JP 2006139353 A JP2006139353 A JP 2006139353A JP 2004326108 A JP2004326108 A JP 2004326108A JP 2004326108 A JP2004326108 A JP 2004326108A JP 2006139353 A JP2006139353 A JP 2006139353A
- Authority
- JP
- Japan
- Prior art keywords
- access
- operation monitoring
- monitoring apparatus
- authority
- operator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 オペレータのアクセス環境に応じてアクセス権限を自動的に切替え可能な操作監視装置を実現する。
【解決手段】 異なるアクセス環境からアクセスされる操作監視装置において、
アクセス環境を識別するアクセス場所識別手段と、
このアクセス場所識別手段の出力に基づいて前記オペレータのアクセス権限を切り替えるアクセス権限付与手段と、
を備える。
【選択図】 図1
【解決手段】 異なるアクセス環境からアクセスされる操作監視装置において、
アクセス環境を識別するアクセス場所識別手段と、
このアクセス場所識別手段の出力に基づいて前記オペレータのアクセス権限を切り替えるアクセス権限付与手段と、
を備える。
【選択図】 図1
Description
本発明は、異なるアクセス環境からアクセスされる操作監視装置に関する。
図4は、異なるアクセス環境からアクセスされる操作監視装置の従来構成例を示す機能ブロック図である。ブロックAは計装室領域、Bは外部領域を示す。1は計装室領域に敷設されたイーサネット(登録商標)で代表される汎用通信バス、2は外部領域に敷設された汎用通信バス、3はこれら通信バスを結合する両領域の境界に設置されたファイアウォールである。
計装室領域Aにおいて、4は分散型制御システムの制御バスである。5は分散型制御システムの上位装置を形成する操作監視装置であり、汎用通信バス1及び制御バス4間に接続されている。6はエンジニアリングステーションであり、同じく汎用通信バス1及び制御バス4間に接続されており、システムが使用するアプリケーションやデータベースを生成してダウンロードする。71,72,…7nは制御バス4に接続された制御装置(FCS)であり、操作監視装置5及びプラントの機器(図示せず)と通信し、制御を担当する。
8は外部サービスサーバであり、汎用通信バス1及び制御バス4間に接続されている。この外部サービスサーバは、外部領域の汎用通信バス2に接続された遠隔地操作用PC9より計装室領域の操作監視装置5へのアクセスを処理するサービスを提供する。
外部サービスサーバ8において、81はセッション群であり、計装室領域及び外部領域から操作監視装置5にアクセスするオペレータ毎にセッションS1,S2,…Snの領域が起動生成される。
82はオペコンデータベースであり、エンジニアリングステーション6のセキュリティビルダで生成されてダウンロードされ、DBインターフェース83を介してセッションS1,S2,…Snと通信する。
84は、このオペコンデータベース内に構築されるアクセス権付与手段であり、オペレータ毎に起動されるセッションS1,S2,…Snに対応するアクセス権限(GROUPA、GROUPB)がテーブルであらかじめ定義されている。
オペレータのアクセス範囲は、アクセス権付与手段84のテーブルが参照されて制約を受ける。例えば、GROUPAのアクセス権限は、監視並びに操作の双方が許可され、GROUPBのアクセス権限は、監視のみが許可される。
外部サービスサーバ8には、汎用のパッケージとして提供されているリモート操作監視機能パッケージをインストールすることで、オペレータは、汎用通信バス1と制御バス4が敷設されている計装室領域でも、汎用通信バス2だけが敷設されている外部領域でも、同じ権限で操作監視装置5にアクセスすることが可能である。
図5は、GROUPAのアクセス権限を許可されているオペレータTAROのアクセスイメージ図である。計装室領域Aで直接操作監視装置にアクセスして操作及び監視することも、外部領域Bの汎用通信バス2に接続された遠隔地操作用PC9からも、同じ権限で操作監視装置にアクセスして操作及び監視することが可能である。
図6は、GROUPAのアクセス権限を許可されているオペレータTAROの権限イメージ図である。オペレータTAROは、計装室領域Aでも外部領域Bでも同一のGROUPAのアクセス権限を許可される。
特許文献1には、登録されたユーザが操作監視装置にユーザインするためのユーザ認証装置が記載されている。
従来技術の範囲では、次のような問題点がある。
(1)外部領域から操作監視装置5の画面は見たいが、計装室外から使用するときには、設定値の変更のような操作をオペレータにやらせたくないので、遠隔地からのアクセス時には監視のみのアクセス権限にしたい、と言う要望に応えることができない。
(1)外部領域から操作監視装置5の画面は見たいが、計装室外から使用するときには、設定値の変更のような操作をオペレータにやらせたくないので、遠隔地からのアクセス時には監視のみのアクセス権限にしたい、と言う要望に応えることができない。
(2)操作監視装置5の機能を使用するためのオペレータのアカウントは、システム全体に有効である。オペレータに、操作監視用と監視専用の2つのアカウントを持たせることもできるが、遠隔地から操作監視用のアカウントで接続することも可能となるため、根本的な解決にはならない。例え遠隔地からのアクセス時に、操作監視用のアカウントを排除しても、オペレータからみると、2つのアカウントとそのパスワードを覚えなければならず、いささか煩雑であり、管理も大変になる。
従って本発明が解決しようとする課題は、オペレータのアクセス環境に応じてアクセス権限を自動的に切替え可能な操作監視装置を実現することにある。
このような課題を達成するために、本発明の構成は次の通りである。
(1)異なるアクセス環境からアクセスされる操作監視装置において、
アクセス環境を識別するアクセス場所識別手段と、
このアクセス場所識別手段の出力に基づいて前記オペレータのアクセス権限を切り替えるアクセス権限付与手段と、
を備えたことを特徴とする操作監視装置。
(1)異なるアクセス環境からアクセスされる操作監視装置において、
アクセス環境を識別するアクセス場所識別手段と、
このアクセス場所識別手段の出力に基づいて前記オペレータのアクセス権限を切り替えるアクセス権限付与手段と、
を備えたことを特徴とする操作監視装置。
(2)前記アクセス環境は、計装室内またはネットワークを介して接続された外部のアクセス環境の少なくとも一方であることを特徴とする(1)に記載の操作監視装置。
(3)前記アクセス場所識別手段は、アクセスにより起動されるセッション領域のID番号を監視することを特徴とする(1)又は(2)に記載の操作監視装置。
(4)前記アクセス場所識別手段は、前記ID番号がゼロの場合は計装室内からのアクセス、ゼロ以外の自然数の場合は外部からのアクセスと識別することを特徴とする(3)に記載の操作監視装置。
(5)前記アクセス権限付与手段は、監視、操作、操作レベル、範囲の少なくともいずれかを切り替えることを特徴とする(1)乃至(4)のいずれかに記載の操作監視装置。
(6)前記セッション領域、アクセス場所識別手段、アクセス権限付与手段は、前記ネットワークに接続される外部サービスサーバ内に構築されることを特徴とする(3)乃至(5)のいずれかに記載の操作監視装置。
(7)前記操作監視装置は、分散型制御システムの上位装置であることを特徴とする(1)乃至(6)のいずれかに記載の操作監視装置。
以上説明したことから明らかなように、本発明によれば次のような効果がある。
例えば、オペレータのTAROがGROUPAというユーザグループに属している場合には、遠隔地操作時にも、TAROはGROUPAというグループに定義された操作範囲や監視範囲に従うことになる。
例えば、オペレータのTAROがGROUPAというユーザグループに属している場合には、遠隔地操作時にも、TAROはGROUPAというグループに定義された操作範囲や監視範囲に従うことになる。
本発明では、セキュリティビルダにて、新たに_(アンダーバー)を付けたGROUPA_というグループを追加し、遠隔地からのアクセス時には、GROUPA_で定義された監視範囲や操作監視範囲に従うように切り替える。この仕組みにより、同じオペレータでありながら、アクセスする環境によって、アクセスできる権限を制御することができるようになる。
以下、本発明を図面を用いて詳細に説明する。図1は、本発明を適用した操作監視装置の一実施形態を示す機能ブロック図である。図4で説明した従来装置と同一要素には同一符号を付し、説明を省略する。以下、本発明の特徴部につき説明する。
図1において、100はアクセス場所識別手段であり、オペコンデータベース82内に生成される。200はアクセス権限付与手段であり、アクセス場所識別手段100の出力に基づいてオペレータのアクセス権限を切り替える。
アクセス場所識別手段100は、アクセスによりオペレータ毎に起動されるセッションS1,S2,…Sn領域のID番号を監視し、ID番号がゼロの場合は計装室内からのアクセス、ゼロ以外の自然数の場合は外部からのアクセスと識別し、権限付与手段200のテーブルを切り替える。
例えば、オペレータTAROのアクセスでセッションS1が起動した場合、セッションS1領域のID番号がゼロであれば計装室内からのアクセスと識別してGROUPAのアクセス権を付与する。ゼロ以外の自然数の場合は外部からのアクセスと識別し、GROUPA_の場合アクセス権に切り替える。この場合、GROUPAのアクセス権が操作監視であれば、GROUPA_のアクセス権は監視のみに制限される。
図2は、GROUPAのアクセス権限を許可されているオペレータTAROの本発明におけるアクセスイメージ図である。計装室領域Aで直接操作監視装置にアクセスする場合では、操作及び監視が許可されるが、外部領域Bの汎用通信バス2に接続された遠隔作用PC9から同じアカウントでアクセスしても操作監視装置の監視のみが許可される。
図3は、GROUPAのアクセス権限を許可されているオペレータTAROの本発明における権限イメージ図である。オペレータTAROは、計装室領域AではGROUPAのアクセス権限を許可され、外部領域BではGROUPA_のアクセス権限に自動的に切り替えられる。
このようにオペレータは唯一のユーザグループ(GROUPA)に属していながらアクセス環境に応じて権限の切り替えが自動的に実行されるので、操作監視用と監視専用の2つのアカウントを持つ煩雑管理を排除することができる。
アクセス権限付与手段200のテーブル定義内容は、エンジニアリングステーション6のセキュリティビルダで生成されてダウンロードされ、監視、操作権限の他に、操作のレベル、プラントの操作範囲等の権限を切り替える設定が可能である。
以上説明した実施形態では、外部サービスサーバ8を独立した機器として示したが、この外部サービスサーバ8の機能を操作監視装置5内に構築する構成をとることも可能である。
1,2 汎用通信バス
3 ファイアウォール
4 制御バス
5 操作監視装置
6 エンジニアリングステーション
71,72,…7n 制御装置(FCS)
8 外部サービスサーバ
81 セッション領域
82 オペコンデータベース
83 DBインターフェース
9 遠隔地操作用PC
100 アクセス場所識別手段
200 アクセス権限付与手段
3 ファイアウォール
4 制御バス
5 操作監視装置
6 エンジニアリングステーション
71,72,…7n 制御装置(FCS)
8 外部サービスサーバ
81 セッション領域
82 オペコンデータベース
83 DBインターフェース
9 遠隔地操作用PC
100 アクセス場所識別手段
200 アクセス権限付与手段
Claims (7)
- 異なるアクセス環境からアクセスされる操作監視装置において、
アクセス環境を識別するアクセス場所識別手段と、
このアクセス場所識別手段の出力に基づいて前記オペレータのアクセス権限を切り替えるアクセス権限付与手段と、
を備えたことを特徴とする操作監視装置。 - 前記アクセス環境は、計装室内またはネットワークを介して接続された外部のアクセス環境の少なくとも一方であることを特徴とする請求項1に記載の操作監視装置。
- 前記アクセス場所識別手段は、アクセスにより起動されるセッション領域のID番号を監視することを特徴とする請求項1又は2に記載の操作監視装置。
- 前記アクセス場所識別手段は、前記ID番号がゼロの場合は計装室内からのアクセス、ゼロ以外の自然数の場合は外部からのアクセスと識別することを特徴とする請求項3に記載の操作監視装置。
- 前記アクセス権限付与手段は、監視、操作、操作レベル、範囲の少なくともいずれかを切り替えることを特徴とする請求項1乃至4のいずれかに記載の操作監視装置。
- 前記セッション領域、アクセス場所識別手段、アクセス権限付与手段は、前記ネットワークに接続される外部サービスサーバ内に構築されることを特徴とする請求項3乃至5のいずれかに記載の操作監視装置。
- 前記操作監視装置は、分散型制御システムの上位装置であることを特徴とする請求項1乃至6のいずれかに記載の操作監視装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004326108A JP2006139353A (ja) | 2004-11-10 | 2004-11-10 | 操作監視装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004326108A JP2006139353A (ja) | 2004-11-10 | 2004-11-10 | 操作監視装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006139353A true JP2006139353A (ja) | 2006-06-01 |
Family
ID=36620162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004326108A Pending JP2006139353A (ja) | 2004-11-10 | 2004-11-10 | 操作監視装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006139353A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008258583A (ja) * | 2007-03-12 | 2008-10-23 | Hitachi Kokusai Electric Inc | 基板処理装置 |
| JP2015133025A (ja) * | 2014-01-15 | 2015-07-23 | 三菱電機株式会社 | データ管理装置 |
| WO2016092715A1 (ja) * | 2014-12-08 | 2016-06-16 | 日本電気株式会社 | 無線端末及びメッセージングのための方法 |
| CN110506240A (zh) * | 2017-03-28 | 2019-11-26 | 横河电机株式会社 | 工程辅助系统、工程辅助方法、服务器设备、存储介质、客户端设备及客户端程序 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004046460A (ja) * | 2002-07-10 | 2004-02-12 | Nec Corp | ファイル管理システムにおけるアクセス制御方式 |
| JP2004213357A (ja) * | 2002-12-27 | 2004-07-29 | Sekiyu Combinat Kodo Togo Unei Gijutsu Kenkyu Kumiai | 遠隔監視操作システム、遠隔監視操作方法および遠隔監視操作プログラム |
-
2004
- 2004-11-10 JP JP2004326108A patent/JP2006139353A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004046460A (ja) * | 2002-07-10 | 2004-02-12 | Nec Corp | ファイル管理システムにおけるアクセス制御方式 |
| JP2004213357A (ja) * | 2002-12-27 | 2004-07-29 | Sekiyu Combinat Kodo Togo Unei Gijutsu Kenkyu Kumiai | 遠隔監視操作システム、遠隔監視操作方法および遠隔監視操作プログラム |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008258583A (ja) * | 2007-03-12 | 2008-10-23 | Hitachi Kokusai Electric Inc | 基板処理装置 |
| JP2015133025A (ja) * | 2014-01-15 | 2015-07-23 | 三菱電機株式会社 | データ管理装置 |
| WO2016092715A1 (ja) * | 2014-12-08 | 2016-06-16 | 日本電気株式会社 | 無線端末及びメッセージングのための方法 |
| US10779132B2 (en) | 2014-12-08 | 2020-09-15 | Nec Corporation | Wireless terminal and method for messaging |
| CN110506240A (zh) * | 2017-03-28 | 2019-11-26 | 横河电机株式会社 | 工程辅助系统、工程辅助方法、服务器设备、存储介质、客户端设备及客户端程序 |
| CN110506240B (zh) * | 2017-03-28 | 2022-10-11 | 横河电机株式会社 | 工程辅助系统、工程辅助方法、服务器设备、存储介质、客户端设备及客户端程序 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6154843A (en) | Secure remote access computing system | |
| CN100535808C (zh) | 用于安全远程访问的设备 | |
| JP7225326B2 (ja) | ユーザアカウントと企業ワークスペースとの関連付け | |
| EP2242230B1 (en) | Methods and apparatus to provide layered security for interface access control | |
| EP3738029B1 (en) | Method and system for managing sub-tenants in a cloud computing environment | |
| WO2013062352A1 (ko) | 클라우드 컴퓨팅 서비스에서의 접근제어 방법 및 시스템 | |
| CN105574440B (zh) | 利用在安全域中执行的应用的硬件保护数据处理系统和方法 | |
| EP2820584B1 (en) | System and method for access decision evaluation for building automation and control systems | |
| EP0942349A3 (en) | Cryptographic apparatus for an international cryptography framework | |
| US10637830B2 (en) | VPN access control system, operating method thereof, program, VPN router, and server | |
| JP2009224852A (ja) | 設備機器連携システム及び機器制御方法並びにエージェント装置 | |
| JP2007148609A (ja) | プラント制御システム | |
| JP2007213397A (ja) | データ管理プログラム、データ管理装置およびプロトコルの切り替え方法 | |
| CN101197711A (zh) | 一种实现统一鉴权管理的方法、装置及系统 | |
| KR100969906B1 (ko) | 네트워크 시스템 | |
| JP4099320B2 (ja) | ストレージシステム | |
| JP2006139353A (ja) | 操作監視装置 | |
| JP2005283526A (ja) | ネットワーク対応分析装置及びシステム | |
| KR100777537B1 (ko) | 분산 네트워크 시스템의 통합관리를 위한 플랫폼 시스템및 통합관리 방법 | |
| Kiszka et al. | Domain and type enforcement for real-time operating systems | |
| CN108363616A (zh) | 用于过程控制系统的操作者系统 | |
| JP2006252385A (ja) | ハードウェア資源提供システム | |
| JP4055055B2 (ja) | ネットワーク機器及びネットワークの制御方法 | |
| CN117579674B (zh) | 一种远程控制系统及方法 | |
| JP2008108022A (ja) | 運用保守管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070515 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100428 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100506 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100622 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100712 |