JP2011086240A - Verification device and software updating system for field equipment using the same - Google Patents
Verification device and software updating system for field equipment using the same Download PDFInfo
- Publication number
- JP2011086240A JP2011086240A JP2009240521A JP2009240521A JP2011086240A JP 2011086240 A JP2011086240 A JP 2011086240A JP 2009240521 A JP2009240521 A JP 2009240521A JP 2009240521 A JP2009240521 A JP 2009240521A JP 2011086240 A JP2011086240 A JP 2011086240A
- Authority
- JP
- Japan
- Prior art keywords
- software
- field
- verification
- bus
- verification device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Programmable Controllers (AREA)
Abstract
Description
本発明は、フィールドバスを介して入れ替えが行われるフィールド機器のソフトウェアを検証する検証装置とこれを用いたフィールド機器ソフトウェア更新システムに関する。 The present invention relates to a verification device for verifying software of a field device to be exchanged via a field bus, and a field device software update system using the verification device.
従来のフィールド機器は、浄水場やプラント等に設置され、物理量(例えば、流量、水位、圧力、温度等)を計測し、その計測結果に応じた電気信号を出力するものであり、圧力/差圧伝送器、各種流量計、温度計、バルブ・ポジショナ等である。たとえばフィールド機器は、オートメーション及びプロセス制御の技術において、センサとしてプロセス変数を測定し、アクチュエータとして制御変数を制御するためにしばしば用いられている。 Conventional field devices are installed in water purification plants, plants, etc., measure physical quantities (for example, flow rate, water level, pressure, temperature, etc.) and output electrical signals according to the measurement results. Pressure transmitters, various flow meters, thermometers, valve positioners, etc. For example, field devices are often used in automation and process control techniques to measure process variables as sensors and to control control variables as actuators.
また、たとえばインダストリアルオートメーションにおけるプロセス制御システムとして、フィードバック制御などの制御ループを構成する流量計や温度計などのセンサ、アクチュエータ、コントローラを含むフィールド機器を、プラント等に敷設されたFoundation Fieldbus FF-H1(登録商標)、PROFIBUS-PA(登録商標)などの2線式バス給電型のフィールドバス等のネットワークにより相互に接続し、フィールド制御システムとして構築することが提案されている。 Also, for example, as a process control system in industrial automation, field devices including sensors, actuators, and controllers such as flow meters and thermometers that constitute control loops such as feedback control are installed in Foundation Fieldbus FF-H1 ( It has been proposed to construct a field control system by connecting to each other via a network such as a two-wire bus-fed field bus such as a registered trademark and PROFIBUS-PA (registered trademark).
フィールド制御システムは、フィールド機器の動作スケジュールが設定され、フィールド機器で構成される制御ループが計画通りに動作するように構成されている。このときフィールド機器は、あらかじめ設定される製品仕様のファンクションブロック実行時間(FB実行時間)に基づき所定のファンクションブロック(アナログインプットファンクションブロックAI、PIDファンクションブロックPID等)に応じた動作を行う。 The field control system is configured such that an operation schedule of field devices is set, and a control loop composed of the field devices operates as planned. At this time, the field device performs an operation corresponding to a predetermined function block (analog input function block AI, PID function block PID, etc.) based on a function block execution time (FB execution time) of a product specification set in advance.
このようなフィールド制御システムにおいて、プロセスの改善等を目的とした機能分散を進める上で、フィードバック制御などの制御ループを構成する流量計や温度計などのセンサ、アクチュエータ、コントローラを含むフィールド機器にも自己診断機能などの拡張目的や、機能が豊富になったために発生する可能性も大きくなったバグを修正する目的でフィールドバスの通信機能を用いてフィールド機器に実装されるソフトウェアまたはソフトウェアを入れ替える(更新する)フィールド機器ソフトウェア更新システムが検討されている。 In such field control systems, in order to promote functional distribution for the purpose of process improvement, etc., field devices including sensors, actuators, and controllers such as flow meters and thermometers that constitute a control loop for feedback control, etc. Replacing software or software implemented in field devices using the fieldbus communication function for the purpose of expansion such as self-diagnosis function or to correct bugs that are likely to occur due to rich functions (fieldbus communication function) (Updating) Field device software update system is under consideration.
図5は従来のフィールド機器ソフトウェア更新システムの構成図であり、図5において、従来のフィールド機器ソフトウェア更新システムは、FF−H1バスに接続している機器間の通信を統括する機器でリンクマスタの役割を担うホスト機器1と、FF−H1バス 100に接続しFF−H1バス100を介してホスト機器1および他のフィールド機器と通信可能なフィールド機器2、3とから構成される。
FIG. 5 is a block diagram of a conventional field device software update system. In FIG. 5, the conventional field device software update system is a device that supervises communication between devices connected to the FF-H1 bus, and is a link master. It comprises a
ここで、フィールド機器2、3は、たとえばプロセス量を測定するセンサと、FF−H1バス100を介して他のフィールド機器またはその他の機器とデータ通信する通信手段と、フィールド機器2、3の各機能を制御しソフトウェアの入れ替えを行なうソフトウェアダウンロード機能(SoftDL機能)を実行する演算制御手段と、ソフトウェアまたはソフトウェア、センサからの測定信号を出力信号に変換するための演算部分のプログラムなどを格納する複数のプログラム格納領域を有する記憶手段とから構成される。
Here, the
フィールド機器2、3の演算制御手段が実行するSoftDL機能は、自機器(通常はフィールド機器)のソフトウェアをFF−H1通信を介して他機器(通常はホスト機器)から受信し、更新する機能である。本機能により、フィールド機器のソフトウェアをプラントに設置したまま更新することが可能となる。
The SoftDL function executed by the arithmetic control means of the
このような構成で従来のソフトウェア更新システムは、以下の(1)〜(3)のようにフィールド機器のソフトウェアを更新する。以下、説明を簡単にするために、フィールド機器2をソフトウェア更新する対象機器(ターゲット機器)として説明する。
With such a configuration, the conventional software update system updates the software of the field device as described in (1) to (3) below. Hereinafter, in order to simplify the description, the
(1)ホスト機器1はフィールド機器2に対して、ソフトウェアを送信する。
(2)フィールド機器2は、ホスト機器1から新規ソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段中の動作中のソフトウェアが格納されていない記憶領域に受信した新規ソフトウェアを記憶する。
(3)ターゲット機器2は、ソフトウェアを全て受信して機器に保存し終わると、受信したソフトウェアで動作開始する。具体的にはフィールド機器2は、ダウンロード後に再起動し、プログラム記憶領域に格納された新規ソフトウェアを動作する。つまりフィールド機器2では、動作中のソフトウェアの書き換えが行われることになる。
(1) The
(2) The
(3) When all the software is received and stored in the device, the
このように、従来のフィールド機器は、フィールドバスの通信機能を用いてフィールド
機器に実装されるソフトウェアまたはソフトウェアを入れ替えることができる。
As described above, the conventional field device can replace software or software installed in the field device by using the communication function of the field bus.
従来のフィールド機器のソフトウェア・ソフトウェアを更新するフィールド機器ソフトウェア更新システムに関連する先行技術文献として、下記の特許文献1がある。
As a prior art document related to a field device software update system for updating software / software of a conventional field device, there is
しかしながら、従来のフィールド機器ソフトウェア更新システムでは、FF−H1プロトコルに則った通信が可能であれば作業者が把握していない未確認機器がFF−H1バスに参加することが可能であるので、未確認機器がSoftDL機能を有する場合、SoftDL機能に対応しているフィールド機器であればいずれに対してもソフトウェアを送信することができてしまい、作業者の意図しないソフトウェア送信が実行されてしまうという問題点があった。 However, in the conventional field device software update system, an unconfirmed device can be joined to the FF-H1 bus by an unconfirmed device that is not known by the operator if communication according to the FF-H1 protocol is possible. Has a SoftDL function, software can be transmitted to any field device that supports the SoftDL function, and software transmission unintended by the operator is executed. there were.
図6は、従来のフィールド機器ソフトウェア更新システムの問題点を説明する説明図であり、図6において、図5のソフトウェア更新システムのFF−H1バス100にFF−H1プロトコルに則った通信が可能であり作業者が把握していない未確認機器50が接続される。
FIG. 6 is an explanatory diagram for explaining the problems of the conventional field device software update system. In FIG. 6, communication according to the FF-H1 protocol is possible on the FF-
ホスト機器1、フィールド機器2、3は、FF−H1バス100を介して通信する。また未確認機器50はFF−H1バス100に接続され、ホスト機器1、フィールド機器2、3と通信する。
The
この場合(図6)、未確認機器50は、動作保証がなされていないソフトウェアをフィールド機器2に送信するケースがある。このような場合の従来のフィールド機器ソフトウェア更新システムの動作を以下に示す。
In this case (FIG. 6), the
(1)未確認機器50は、フィールド機器2に対してソフトウェアを送信する(ソフトウェアダウンロードを開始する)。
(2)フィールド機器2は、未確認機器50が仕様に則って処理を実行しているので送信されたソフトウェアを受信する(ダウンロードする)。
(3)フィールド機器2は、ホスト機器1から新規ソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段中の動作中のソフトウェアが格納されていない記憶領域に受信した新規ソフトウェアを記憶する。
(4)ターゲット機器2は、ソフトウェアを全て受信して機器に保存し終わると、未確認機器50から受信したソフトウェアで動作開始する。具体的にはフィールド機器2は、ダウンロード後に再起動しプログラム記憶領域に格納された新規ソフトウェアを動作する。つまりフィールド機器2では動作中のソフトウェアの書き換えが行われることになる。
(1) The
(2) The
(3) The
(4) When all the software is received and stored in the device, the
このように、フィールド機器2は、FF−H1プロトコルに則った通信が可能な未確認機器50から動作保証されていないソフトウェアをダウンロードしてソフトウェアの書き換えを行なってしまうことにより、フィールド機器2が正常に動作しない可能性がある点で問題である。具体的には以下の点で問題となる。
As described above, the
(A)作業者が意図しないソフトウェア(ファームウェア)が書き込まれてしまう
未確認機器50により、既設置のフィールド機器2、3に作業者が意図しないソフトウェア(ファームウェア)を書き込むことが可能となってしまうという問題点があった。
たとえば、加害目的を有する第三者がFF−H1バス100に接続した他のフィールド機器(図示せず)の動作を妨害するような振る舞いをするソフトウェアを提供する未確認機器50をFF−H1バス100に接続させてフィールド機器2、3にダウンロードさせることにより、FF−H1バス100に接続した機器同士の通信が正常に行えず、系を混乱してしまうという問題点があった。
(A) Software (firmware) unintended by the operator is written The
For example, an
(B)ソフトウェア(ファームウェア)が消去されてしまう
未確認機器50により、既設置のフィールド機器2、3にダウンロードするソフトウェア(ファームウェア)を空データとすることで、ソフトウェア(ファームウェア)を送信した機器を動作不能にすることが可能となってしまうという問題点がある。この場合、復旧するためには、各フィールド機器を制御系(FF−H1バス)から取り外し、内部の基板を交換する作業が必要となり、膨大な損害が発生してしまうという問題点があった。
(B) The software (firmware) is erased The software (firmware) downloaded to the
また、複数台のフィールド機器にソフトウェアを送信する場合では、従来技術ではホスト機器1に負荷がかかってしまい、(メインとなる)制御系の動作に支障が出る可能性があるという問題点、また、確実にソフトウェアの更新ができなくなってしまうという問題点もあった。
In addition, when software is transmitted to a plurality of field devices, the conventional technique places a load on the
本発明は上述の問題点を解決するものであり、その目的は、作業者が意図しないソフトウェア更新を防ぐ(検証済みのソフトウェアのみをフィールド機器にダウンロードさせる)ことが可能な検証装置およびこれを備えたフィールド機器ソフトウェア更新システムを実現することにある。 The present invention solves the above-described problems, and an object thereof is to provide a verification device capable of preventing software updates unintended by an operator (only allowing verified software to be downloaded to a field device) and the verification device. To implement a field device software update system.
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアをフィールドバスを介して前記フィールド機器に送信する検証装置であって、
記憶手段に予め記憶される復号化鍵と、
この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることを特徴とする検証装置である。
In order to achieve such a problem, the invention according to
Among the encrypted field device software received via the network, the verification device transmits the software with a guaranteed validity to the field device via the field bus,
A decryption key stored in advance in the storage means;
If the software can be decrypted based on the decryption key, legitimacy judging means for judging that the software is legitimate,
A verification apparatus, comprising: software transmission means for transmitting the software determined to be valid to the field device via the field bus in a decrypted state.
請求項2記載の発明は、
フィールドバスを介して受信したホスト機器により暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアを前記フィールドバスを介して前記フィールド機器に送信する検証装置であって、
記憶手段に予め記憶され、前記ホスト装置が保持する暗号化鍵に対応した復号化鍵と、
この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることを特徴とする検証装置である。
The invention according to
Among the software for field devices encrypted by the host device received via the field bus, the verification device transmits the guaranteed software to the field device via the field bus,
A decryption key corresponding to an encryption key stored in advance in the storage means and held by the host device;
If the software can be decrypted based on the decryption key, legitimacy judging means for judging that the software is legitimate,
A verification apparatus, comprising: software transmission means for transmitting the software determined to be valid to the field device via the field bus in a decrypted state.
請求項3記載の発明は、請求項1または2記載の検証装置であって、
前記正当であると判定されたソフトウェアが正常であるか否かを判定する正常判定手段と、
前記正常判定手段により正常であると判定されたソフトウェアを前記フィールド機器に前記フィールドバスを介して送信する前記ソフトウェア送信手段を備えることを特徴とする。
Invention of
Normality determining means for determining whether or not the software determined to be valid is normal;
The software transmission means for transmitting the software determined to be normal by the normality determination means to the field device via the fieldbus.
請求項4記載の発明は、請求項3記載の検証装置であって、
前記正常判定手段が、
前記正当であると判定されたソフトウェアの形式が予め記憶されているソフトウェアの仕様情報に基づいたものであると、このソフトウェアは正常であると判定することを特徴とする。
Invention of Claim 4 is a verification apparatus of
The normality determining means is
If the software format determined to be valid is based on software specification information stored in advance, it is determined that the software is normal.
請求項5記載の発明は、請求項1〜4いずれかに記載の検証装置であって、
暗号化されたソフトウェアを受信する外部通信インタフェースを備えることを特徴とする。
Invention of Claim 5 is a verification apparatus in any one of Claims 1-4, Comprising:
An external communication interface for receiving encrypted software is provided.
請求項6記載の発明は、
請求項1〜5いずれかに記載の検証装置と、
フィールドバスを介してソフトウェアを取得し、実行するソフトウェアを更新するフィールド機器と、
前記フィールドバスを介して前記フィールド機器および前記検証装置と接続され、前記ソフトウェアを暗号化して前記検証装置に送信するホスト装置と、
を備えたことを特徴とするフィールド機器ソフトウェア更新システムである。
The invention described in claim 6
A verification device according to any one of
A field device that acquires software via the fieldbus and updates the software to be executed;
A host device connected to the field device and the verification device via the field bus, and encrypting and transmitting the software to the verification device;
A field device software update system characterized by comprising:
このように、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムによれば、検証装置の正当性判定手段がネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、記憶手段に予め記憶される復号化鍵に基づいてソフトウェアを復号化できるとこのソフトウェアが正当であると判定し、検証装置のソフトウェア送信手段が正当であると判定されたソフトウェアを復号化された状態でフィールド機器にフィールドバスを介して送信することにより、正当性が担保されたソフトウェアのみを更新することができる。
このため、フィールド機器がソフトウェアの更新を原因とする異常な動作をすることがなくなるため、制御系全体(FF−H1バス)の安定性を向上させることができる。
As described above, according to the verification device of the present invention and the field device software update system using the verification device, the validity determination unit of the verification device stores the encrypted field device software received via the network. If the software can be decrypted based on the decryption key stored in advance in the means, it is determined that the software is valid, and the software determined by the verification device software transmission means is decrypted. By transmitting to the field device via the field bus, it is possible to update only the software whose legality is guaranteed.
For this reason, the field device does not perform an abnormal operation caused by software update, and the stability of the entire control system (FF-H1 bus) can be improved.
また、本発明に係る検証装置はフィールド機器ソフトウェア更新システムに係る専用装置であるため、検証装置内部のプログラムの入れ替えを容易に行うことができる。これにより、検証装置が受け持つ機能(ソフトウェアの検証機能)の機能向上が容易に行える。 In addition, since the verification apparatus according to the present invention is a dedicated apparatus related to the field device software update system, it is possible to easily replace programs in the verification apparatus. As a result, the function of the verification apparatus (software verification function) can be easily improved.
また、本発明に係る検証装置は、ホスト機器から受信し正当性が担保されたソフトウェアをターゲットとなるフィールド機器に送信するため、従来技術のようにホスト機器が直接フィールド機器にソフトウェアを送信することがなくなる。このため本発明によれば、複数台のフィールド機器にソフトウェアを送信する場合でも、ホスト機器は検証装置への1回分のソフトウェアの送信処理だけでよく、ホスト機器の負荷を下げることができる。 In addition, since the verification apparatus according to the present invention transmits the software received from the host device and guaranteed to the target field device, the host device transmits the software directly to the field device as in the prior art. Disappears. For this reason, according to the present invention, even when software is transmitted to a plurality of field devices, the host device only needs to transmit software once to the verification device, and the load on the host device can be reduced.
<実施例1>
図1は、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムの一実施例の構成図であり、図5と共通する部分には同一の符号を付けて適宜説明を省略する。図1と図5との相違点は、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアデータ(フィールド機器用のソフトウェアを含むデータ。以下、ソフトウェアという)のうち、正当性が担保されたソフトウェアをフィールドバスを介してフィールド機器に送信する検証装置を備える点で異なる。
<Example 1>
FIG. 1 is a block diagram of an embodiment of a verification apparatus according to the present invention and a field device software update system using the same, and the same reference numerals are given to portions common to FIG. 5 and description thereof is omitted as appropriate. The difference between FIG. 1 and FIG. 5 is that the validity of the encrypted field device software data (data including field device software; hereinafter referred to as software) received via the network is ensured. It is different in that a verification device for transmitting the software to the field device via the field bus is provided.
(フィールド機器ソフトウェア更新システムの構成)
図1において、本発明のフィールド機器ソフトウェア更新システムは、FF−H1バス100に接続している機器間の通信を統括する機器でリンクマスタの役割を担うホスト機器1と、FF−H1バス 100に接続しFF−H1バス100を介してホスト機器1および他のフィールド機器、検証装置4と通信可能なフィールド機器2、3と、ネットワークを介して受信した暗号化されたフィールド機器2、3用のソフトウェアのうち正当性が担保されたソフトウェアをフィールドバス100を介してフィールド機器2、3に送信する検証装置4とから構成される。
(Configuration of field device software update system)
In FIG. 1, the field device software update system of the present invention includes a
なお、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムが検証・更新するフィールド機器用のソフトウェアは、ファームウェアも対象とし、フィールド機器用のプログラム・アプリケーションであればどのようなファームウェアまたはソフトウェアであってもよい。 Note that the field device software that is verified and updated by the verification apparatus of the present invention and the field device software update system using the verification device also covers firmware, and any firmware or software as long as it is a program or application for a field device It may be.
ホスト機器1、フィールド機器2、3および検証装置4は、それぞれFF−H1バス100に接続され、FF−H1バス100を介してデータ通信を行う。
The
なおホスト機器1、フィールド機器2、3および検証装置4は、それぞれFF−H1バス100に接続されるとあるが、特に限定されるものではなく、フィールド制御に係るデータ通信が可能なものであればどのようなフィールドバスやIP(internet protocol)を用いたネットワークに接続されるものであっても構わない。
The
(ホスト機器1の構成)
ホスト機器1は、特に図示しないが、FF−H1バス100を介してフィールド機器2または3用のソフトウェアを暗号化して検証装置4に送信する演算制御手段と、検証装置4が有する復号化鍵に対応する(共通の)暗号化鍵を記憶する記憶手段と、FF−H1バス100などのフィールドバスを介して検証装置4、フィールド機器2、3とデータ通信をする通信手段とを備える。
具体的には、ホスト機器1の演算制御手段は、記憶手段に記憶されている暗号化鍵に基づきフィールド機器2または3用のソフトウェアを暗号化し、通信手段を制御してFF−H1バス100を介して検証装置4に送信する。
(Configuration of host device 1)
Although not specifically shown, the
Specifically, the calculation control means of the
(フィールド機器2、3の構成)
フィールド機器2、3は、検証装置4のみからしかソフトウェアを受信(ダウンロード)できない設定になっており、その判別に必要な情報を保持している。たとえばフィールド機器2、3の演算制御手段は、記憶手段に記憶されている検証装置のアドレス(ネットワークアドレス)からのデータ(ソフトウェア)のみを受信する。
(Configuration of
The
具体的にはフィールド機器2、3は、特に図示しないが、たとえばプロセス量を測定するセンサと、FF−H1バス100を介して他のフィールド機器またはその他の機器とデータ通信する通信手段と、フィールド機器2、3の各機能(機能ブロックの実行機能)を制御するとともに検証装置4からのソフトウェアのみを受信してソフトウェアの入れ替えを行なうソフトウェアダウンロード機能(SoftDL機能)を実行する演算制御手段と、ソフトウェア、センサからの測定信号を出力信号に変換するための演算部分のプログラムなどを格納する複数のプログラム格納領域を有する記憶手段を備える。
Specifically, the
フィールド機器2、3の演算制御手段が実行するSoftDL機能は、自機器(通常はフィールド機器)のソフトウェアをFF−H1通信を介して検証装置4から受信し、更新する機能である。本機能により、フィールド機器のソフトウェアをプラントに設置したまま更新することが可能となる。また検証装置4からのソフトウェアのみを受信して入れ替えを行なうことにより、作業者が意図しないソフトウェア更新を防ぐことができる(いいかえれば検証済みのソフトウェアのみをダウンロードすることができる)。
The SoftDL function executed by the arithmetic control means of the
(検証装置4の構成)
検証装置4は、フィールド機器2または3がダウンロードするソフトウェアの検証と、ターゲットとなるフィールド機器2または3へのソフトウェアの送信を実行する。
またすべての機器は、検証装置4へソフトウェアデータの送信が可能である。検証装置4は、受信したデータ(ソフトウェア)の検証を行い、検証に合格したソフトウェアのみをターゲットとなるフィールド機器2または3へ送信する。
(Configuration of the verification device 4)
The verification device 4 executes verification of software downloaded by the
All devices can transmit software data to the verification device 4. The verification device 4 verifies the received data (software) and transmits only the software that has passed the verification to the
検証装置4が受信するデータ(ソフトウェア)は、暗号化されている。検証装置4は、あらかじめホスト機器1が保持する暗号化鍵に対応した、共通の復号用鍵を保持する。この復号用鍵を用いてホスト機器1から受信したデータ(ソフトウェア)を復号し、復号後のソフトウェアを照合することにより、ソフトウェアのダウンロードが、作業者の意図するものであるかが判定できる。
Data (software) received by the verification device 4 is encrypted. The verification device 4 holds a common decryption key corresponding to the encryption key held by the
具体的には検証装置4は、主に記憶手段43に記憶されるソフトウェアの正当性を判定する正当性判定手段41と、記憶手段43に記憶されるソフトウェアが正常であるか否かを判定する正常判定手段42、通信手段44を介して受信したソフトウェアを記憶する記憶手段43と、FF−H1バス100を介してホスト機器1からソフトウェアを受信する通信手段44と、通信手段44を制御してソフトウェアを更新させるターゲット機器であるフィールド機器2または3にFF−H1バス100を介して送信するソフトウェア送信手段45と、各手段の動作を制御する演算制御手段から構成される。
Specifically, the verification apparatus 4 determines whether the software stored mainly in the
通信手段44はFF−H1バス(図示せず)と相互に接続されると共に演算制御手段に相互に接続され、記憶手段43も演算制御手段に相互に接続される。正当性判定手段41、正常判定手段42、ソフトウェア送信手段45もまた相互に接続され、通信手段44、記憶手段43、演算制御手段と接続される。
The
なお正当性判定手段41、正常判定手段42、ソフトウェア送信手段45は、演算処理手段が記憶手段43に格納されているOSなどを起動して、このOS上で記憶手段に格納されたプログラムを読み出して実行することにより記憶手段に展開された機能ブロックでもよく、図1ではこれらを機能ブロックとして表現している。 The correctness determining means 41, the normality determining means 42, and the software transmitting means 45 start up the OS stored in the storage means 43 by the arithmetic processing means and read the program stored in the storage means on this OS. The function blocks developed in the storage means may be used, and these are represented as function blocks in FIG.
正当性判定手段41は、記憶手段42に記憶されている復号化鍵に基づいて、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアを復号化できると、ソフトウェアが正当であると判定する。 The validity determination means 41 determines that the software is valid if it can decrypt the encrypted field device software received via the network based on the decryption key stored in the storage means 42. To do.
正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアが正常であるか否かを判定する。具体的には、正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアの形式が予め記憶手段42に記憶されているソフトウェアの仕様情報に基づいたものに一致すると、このソフトウェアは正常であると判定する。 The normality determination means 42 determines whether the software determined to be valid by the validity determination means 41 is normal. Specifically, the normality determination unit 42 determines that the software format determined to be valid by the validity determination unit 41 matches that based on the software specification information stored in the storage unit 42 in advance. The software is determined to be normal.
記憶手段43は、検証装置4として動作するためのプログラムやアプリケーションなどを記憶するハードディスク、RAM、ROMなどからなる。記憶手段43は、ホスト装置1が保持する暗号化鍵に対応した復号化鍵またはユーザが予め用意した暗号化鍵に対応した復号化鍵を記憶する。また記憶手段43は、FF−H1バス100を介して取得した(ダウンロードした)ソフトウェアを記憶する。
The
通信手段44は、FF−H1バス100を介してホスト機器1およびフィールド機器2、3または他の機器と通信するためのインタフェースの役割を担う。
The
ソフトウェア送信手段45は、通信手段44を制御して、正当であると判定されたソフトウェアを復号化された状態でフィールド機器2、3にFF−H1バス100を介して送信する。
The
図示しない演算制御手段は、各手段の動作を制御するCPU(Central Processing Unit)などからなるものでもよく、具体的には、演算制御手段は記憶手段43に格納されているOSなどを起動して、このOS上で記憶手段に格納されたプログラムを読み出して実行することにより検証装置4全体を制御し、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアをフィールドバスを介してフィールド機器に送信する。 The arithmetic control means (not shown) may be composed of a CPU (Central Processing Unit) that controls the operation of each means. Specifically, the arithmetic control means activates an OS or the like stored in the storage means 43. The verification device 4 is controlled by reading and executing the program stored in the storage means on the OS, and the validity of the encrypted field device software received via the network is ensured. Software to the field device via the fieldbus.
また演算制御手段は、通信手段44がホスト機器1から暗号化されたソフトウェアを受信すると正当性判定手段41を制御してこのソフトウェアの正当性を判定させる。演算制御手段は、判定の結果として正当性が担保されたソフトウェアをソフトウェア送信手段45を制御してフィールド機器2または3に送信させる。
In addition, when the
このような構成で本発明に係る検証装置およびこれを備えたフィールド機器ソフトウェア更新システムは、たとえば以下(1−1)〜(1−7)の動作を行なう。図2は図1の検証装置およびこれを備えたフィールド機器ソフトウェア更新システムの動作説明図であり、図2中(1−1)〜(1−7)は以下の動作説明と対応するものである。 With such a configuration, the verification apparatus according to the present invention and the field device software update system including the same perform the following operations (1-1) to (1-7), for example. FIG. 2 is an operation explanatory diagram of the verification device of FIG. 1 and a field device software update system provided with the verification device, and (1-1) to (1-7) in FIG. 2 correspond to the following operation descriptions. .
(1−1)ホスト機器1はソフトウェアを更新するターゲット機器(対象機器)となるフィールド機器のアドレスを検証装置4に通知するために、フィールド機器2のアドレス情報を含むデータ(以下、ターゲット機器情報という)を送信する。
(1-1) In order to notify the verification device 4 of the address of the field device that is the target device (target device) whose software is to be updated, the
(1−2)ホスト機器1は、記憶手段に記憶している暗号化鍵に基づき暗号化したフィールド機器2用のソフトウェアを検証装置4に送信する。
(1-2) The
なおホスト機器1は、暗号化したソフトウェアとともにターゲット機器情報を検証装置4に送信するものでもよいし、暗号化したソフトウェアおよびターゲット機器情報を送信するのであれば送信順((1−1)、(1−2))の先後は限定するものではない。
The
(1−3)検証装置4は、ホスト機器1から暗号化されたソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段に記憶する。
具体的には検証装置4の演算制御手段はホスト機器1から受信した暗号化したソフトウェアを記憶手段に記憶する。
(1-3) The verification device 4 receives the encrypted software data from the
Specifically, the arithmetic control unit of the verification device 4 stores the encrypted software received from the
(1−4)検証装置4の正当性判定手段41は、受信したデータを復号し、復号後のソフトウェアを検証する。作業者の意図する正しいソフトウェアと判定されれば、(1−5)の動作に移行する。正しくないと判定されれば、以降の処理は実行しない。
具体的には、検証装置4の正当性判定手段41は、記憶手段42に記憶されている復号化鍵に基づいて、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアを復号化できると、ソフトウェアが正当であると判定する。これにより、作業者が意図したソフトウェアを受信したことを把握できる。
(1-4) The validity determination means 41 of the verification device 4 decrypts the received data and verifies the decrypted software. If it is determined that the software is intended by the operator, the operation proceeds to (1-5). If it is determined to be incorrect, the subsequent processing is not executed.
Specifically, the validity determination unit 41 of the verification device 4 can decrypt the encrypted field device software received via the network based on the decryption key stored in the storage unit 42. And determine that the software is valid. As a result, it is possible to grasp that the software intended by the worker has been received.
(1−5)検証装置4のソフトウェア送信手段45は、検証装置4に送信されたソフトウェアを、ホスト機器1から通知されたターゲット機器情報に基づきこのソフトウェアのターゲットであるフィールド機器2に送信する。
具体的には、検証装置4のソフトウェア送信手段45は、通信手段44を制御して、正当性判定手段41により正当である(または正常判定手段42により正常である(後述))と判定されたソフトウェアを復号化された状態でターゲット機器であるフィールド機器2にFF−H1バス100を介して送信する。
また、検証装置4のソフトウェア送信手段45は、ソフトウェアに検証装置4のアドレスまたは検証装置固有IDを付加してターゲットであるフィールド機器に送信する。
(1-5) The
Specifically, the
The
(1−6)フィールド機器2は、アドレスまたは機器固有IDにより検証装置4を判別し、検証装置4から送信されたソフトウェアのみを受け付けて記憶手段に記憶する。この時、送信するソフトウェアは、暗号化されていないものである。
具体的には、フィールド機器2の演算制御手段は検証装置4からソフトウェアを受信すると、受信したデータに付加されているアドレスまたは機器固有IDが、記憶手段に記憶されている検証装置4のアドレスまたは検証装置4の機器固有IDに一致する場合は検証装置4から送信されたソフトウェアのみを受け付けて記憶手段に記憶する。
なおフィールド機器は、ソフトウェアを受信するときは検証装置4からのデータのみを受信するが、フィールド制御通信に係るデータ受信では他のフィールド機器からのデータも受け付ける。
(1-6) The
Specifically, when the arithmetic control unit of the
The field device receives only data from the verification device 4 when receiving software, but also receives data from other field devices when receiving data related to field control communication.
(1−7)フィールド機器2は、ソフトウェアを全て受信して機器に保存し終わると、受信したソフトウェアで動作開始する。具体的にはフィールド機器2は、ダウンロード後に再起動し、プログラム記憶領域に格納された新規ソフトウェアを動作する。つまりフィールド機器2では、動作中のソフトウェアの書き換えが行われることになる。
(1-7) When the
なお本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、ホスト機器から受信したフィールド機器用のソフトウェアのうち、正当性が担保され、正常であるソフトウェアのみをターゲットであるフィールド機器に送信するものでもよい。 The verification device of the present invention and the field device software update system using the verification device transmit only the normal and correct software among the field device software received from the host device to the target field device. You may do it.
具体的には上述の(1−4)と(1−5)の動作処理の間に以下の動作(A)を行なうものでもよい。
(A)検証装置4の正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアが正常であるか否かを判定する。(作業者の意図する)正常なソフトウェアと判定されれば、(1−5)の動作に移行する。)正常なソフトウェアと判定されれば、以降の処理は実行しない。
具体的には正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアの形式が予め記憶手段42に記憶されているソフトウェアの仕様情報に基づいたものに一致すると、このソフトウェアは正常であると判定する。
Specifically, the following operation (A) may be performed between the above-described operation processes (1-4) and (1-5).
(A) The normality determination means 42 of the verification device 4 determines whether or not the software determined to be valid by the validity determination means 41 is normal. If it is determined that the software is normal (intended by the operator), the operation proceeds to (1-5). ) If it is determined that the software is normal, the subsequent processing is not executed.
Specifically, the normality determination unit 42 determines that the software format determined to be valid by the validity determination unit 41 matches that based on the software specification information stored in the storage unit 42 in advance. Is determined to be normal.
また正常判定手段42は、ソフトウェア内の特定の場所に予め定められたデータがあると、このソフトウェアは正常であると判定するものでもよい。
たとえば検証装置4は、あらかじめユーザが定義した正常なソフトウェアとして判定するための基準となる情報(定義情報)を記憶手段に記憶し、正常判定手段42はこの定義情報に基づき、ユーザが定義した方法で、ターゲット機器に送信するソフトウェアをチェックするものでもよい。また検証装置4の正常判定手段42は、定義情報に基づきホスト機器1からの受信し復号化できたソフトウェア内の特定の場所にある特定のデータがあるかどうかをチェックして、ソフトウェア内の特定の場所に予め定められたデータがあると、このソフトウェアは正常であると判定する。これにより、本発明の検証装置4はユーザの定義情報から外れユーザの意図していないようなソフトウェアの更新を防ぐ(フィールド機器が検証済みのソフトウェアのみをダウンロードさせる)ことができる。
Further, the normality determination means 42 may determine that the software is normal when there is predetermined data at a specific location in the software.
For example, the verification device 4 stores information (definition information) serving as a reference for determining as normal software defined by the user in advance in the storage means, and the normality determination means 42 is a method defined by the user based on the definition information. Thus, the software to be transmitted to the target device may be checked. Further, the normality determination means 42 of the verification device 4 checks whether there is specific data in a specific location in the software received from the
さらに正常判定手段42は、暗号化されたソフトウェアに基づき算出したハッシュ値が、暗号化されたソフトウェアとともに受信したこのソフトウェアのハッシュ値と一致すると、このソフトウェアは正常であると判定するものでもよい。
たとえばホスト機器1がソフトウェアを暗号化する際にハッシュを計算しておき、暗号化データと共にハッシュ値を検証装置4に送信する。正常判定手段42は、これらのハッシュ値を照合して一致するソフトウェアを正常であるものとして判定する。これにより、本発明の検証装置4は通信路等でのデータ化け等の通信エラーをチェックでき、フィールド機器がデータ化け等を含むソフトウェアに更新することを防ぐことができる。
Further, the normality determination means 42 may determine that the software is normal when the hash value calculated based on the encrypted software matches the hash value of the software received together with the encrypted software.
For example, when the
このように、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置の正当性判定手段がネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、記憶手段に予め記憶される復号化鍵に基づいてソフトウェアを復号化できるとこのソフトウェアが正当であると判定し、検証装置のソフトウェア送信手段が正当であると判定されたソフトウェアを復号化された状態でフィールド機器にフィールドバスを介して送信することにより、作業者が意図しないソフトウェア更新を防ぐことができる。 As described above, the verification device of the present invention and the field device software update system using the same are stored in the storage unit among the encrypted field device software received by the verification unit of the verification device via the network. When the software can be decrypted based on the decryption key stored in advance, the software determines that the software is valid, and the field device is in a state where the software determined by the verification device software transmission means is decrypted. Can be transmitted via the fieldbus to prevent software updates unintended by the operator.
また、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、作業者が把握していない未確認機器がFF−H1バス100に参加する場合でも、未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる。図3は図1の検証装置とこれを用いたフィールド機器ソフトウェア更新システムの他の動作説明図であり、図3中(ケースA)〜(ケースC)のケースごとに以下の動作説明をする。
In addition, the verification device of the present invention and the field device software update system using the verification device update software that is not intended by the operator using the unconfirmed device even when an unconfirmed device that the worker does not know participates in the FF-
(ケースA):未確認機器からフィールド機器2(ターゲット)へソフトウェアを送信する(SoftDLを実行する)場合
フィールド機器2は、検証装置4からのみ、ソフトウェアのダウンロード(受信)を受け付ける設定になっている。この場合フィールド機器2では、ソフトウェアの送信元がアドレス等から未確認機器であると判別できるため、フィールド機器2はダウンロード要求(受信要求)を拒否する。
(Case A): When transmitting software from the unconfirmed device to the field device 2 (target) (executing SoftDL) The
具体的には、フィールド機器2の演算制御手段は未確認機器からソフトウェアを受信すると、受信したデータに付加されているアドレスまたは機器固有IDが、記憶手段に記憶されている検証装置4のアドレスまたは検証装置4の機器固有IDに一致しないので未確認機器から送信されたソフトウェアのダウンロード要求(受信要求)を拒否する。
Specifically, when the arithmetic control unit of the
(ケースB):ホスト機器1からフィールド機器2(ターゲット)へソフトウェアを送信する(SoftDLを実行する)場合
フィールド機器2は検証装置4以外からのソフトウェアのダウンロード要求(受信)は受け付けないため、ケースAと同様に、フィールド機器2はホスト機器1からのソフトウェアのダウンロード要求(受信要求)を拒否する。
(Case B): When transmitting software (execution of SoftDL) from the
具体的には、フィールド機器2の演算制御手段はホスト機器1からソフトウェアを受信すると、受信したデータに付加されているアドレスまたは機器固有IDが、記憶手段に記憶されている検証装置4のアドレスまたは検証装置4の機器固有IDに一致しないのでホスト機器1から送信されたソフトウェアのダウンロード要求(受信要求)を拒否する。
Specifically, when the arithmetic control unit of the
(ケースC):未確認機器から検証装置4を介してフィールド機器2(ターゲット)に送信(SoftDLを実行)するソフトウェアが正常でない場合
未確認機器は、検証装置4にデータ送信を実行する。検証装置4は、未確認機器からのソフトウェアを受信する。検証装置4は、全てのソフトウェアを受信し終えると、正当性判定手段41によりソフトウェアを復号化して送信の正当性の検証を実行する。
正当であると判定されると(正当性が担保されると)、検証装置4の正常判定手段42は、ダウンロードされたソフトウェアの正常判定を実行する。このソフトウェアは、検証装置4の正常判定手段41により正常ではないと判定されるので、検証がパスせず、上述の(1−5)のソフトウェア送信処理に移行しないことになる。
(Case C): When software transmitted from the unconfirmed device to the field device 2 (target) via the verification device 4 (executes SoftDL) is not normal The unconfirmed device performs data transmission to the verification device 4. The verification device 4 receives software from an unconfirmed device. When the verification apparatus 4 has received all the software, the validity determination means 41 decrypts the software and executes verification of the transmission validity.
When it is determined to be legitimate (when legitimacy is ensured), the normality determination means 42 of the verification device 4 performs normality determination of the downloaded software. Since this software is determined not to be normal by the normality determination means 41 of the verification device 4, the verification does not pass and the process does not shift to the above-described (1-5) software transmission processing.
このように、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、作業者が把握していない未確認機器がFF−H1バス100に参加する場合でも、未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる。
As described above, the verification device of the present invention and the field device software update system using the verification device are not intended by the operator using the unconfirmed device even when the unconfirmed device that the worker does not know participates in the FF-
この結果、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置の正当性判定手段がネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、記憶手段に予め記憶される復号化鍵に基づいてソフトウェアを復号化できるとこのソフトウェアが正当であると判定し、検証装置のソフトウェア送信手段が正当であると判定されたソフトウェアを復号化された状態でフィールド機器にフィールドバスを介して送信することにより、正当性が担保され、正常なソフトウェアのみを更新することができる。
このためフィールド機器がソフトウェアの更新を原因とする異常な動作をすることがなくなるため、制御系全体(FF−H1バス100)の安定性を向上させることができる。
As a result, the verification device of the present invention and the field device software update system using the verification device previously store in the storage means among the encrypted field device software received by the validity determination unit of the verification device via the network. If the software can be decrypted based on the stored decryption key, it is determined that the software is valid, and the software determined by the verification device software transmission means is decrypted to the field device in a decrypted state. By transmitting via the fieldbus, the correctness is ensured and only normal software can be updated.
For this reason, the field device does not perform an abnormal operation caused by software update, so that the stability of the entire control system (FF-H1 bus 100) can be improved.
また、本発明に係る検証装置はフィールド機器ソフトウェア更新システムに係る専用装置であるため、検証装置内部のプログラムの入れ替えを容易に行うことができる。これにより、検証装置が受け持つ機能(ソフトウェアの検証機能)の機能向上が容易に行える点で有効である。 In addition, since the verification apparatus according to the present invention is a dedicated apparatus related to the field device software update system, it is possible to easily replace programs in the verification apparatus. This is effective in that the function of the verification apparatus (software verification function) can be easily improved.
また、本発明に係る検証装置は、ホスト機器から受信し正当性が担保されたソフトウェアをターゲットとなるフィールド機器に送信するため、従来技術のようにホスト機器が直接フィールド機器にソフトウェアが行うことがなくなる。このため本発明によれば、複数台のフィールド機器にソフトウェアを送信する場合でも、ホスト機器は検証装置への1回分のソフトウェアの送信処理だけでよく、ホスト機器の負荷を下げることができる点で有効である。 In addition, since the verification apparatus according to the present invention transmits the software received from the host device and guaranteed to the target field device, the host device can directly perform the software on the field device as in the prior art. Disappear. Therefore, according to the present invention, even when software is transmitted to a plurality of field devices, the host device only needs to send the software to the verification device once, and the load on the host device can be reduced. It is valid.
<その他の実施例1>
なお、本発明の検証装置は、検証処理が通信処理の影響(処理遅延など)を受けないようにするため、通信用の演算制御手段(通信用CPU)と検証用の演算制御手段(検証用CPU)の2個備えるものであってもよい。
<Other Example 1>
Note that the verification apparatus of the present invention prevents the verification process from being affected by the communication process (such as processing delay), so that the communication calculation control means (communication CPU) and the verification calculation control means (verification) CPU) may be provided.
この場合、通信用CPUは、通信手段44、ソフトウェア送信手段45を制御して、FF−H1バス100を介しホスト機器1・フィールド機器2、3との通信を制御するCPUである。具体的には通信用CPUは、ホスト機器1から検証装置4に送信されたソフトウェアの受信と、検証済みのソフトウェアをターゲット機器であるフィールド機器2または3へ送信する処理を各手段を制御して実行する。
また、検証用CPUは、正当性判定手段41と正常判定手段42を制御して記憶手段43にダウンロードして記憶したソフトウェアの検証を実行する。
In this case, the communication CPU is a CPU that controls the
The verification CPU controls the validity determination means 41 and the normality determination means 42 to execute verification of the software downloaded and stored in the storage means 43.
<その他の実施例2>
なお、本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、ホスト機器1が暗号化したソフトウェアを検証装置4に送信するとあるが、特にこれに限定するものではなく、別途作業者が管理・保持している暗号化鍵に基づき別途端末装置などで暗号化されたターゲット機器(フィールド機器2または3)のソフトウェアを、検証装置4に図示しない入力手段(専用インタフェースなど)を介して入力するものでもよい。この方法によればFF−H1バス100による通信路の障害による影響を排除できるため、より確実に正常なソフトウェアを検証装置に入力できる点で有効である。
<Other Example 2>
The verification device and the field device software update system using the same according to the present invention transmit the software encrypted by the
<その他の実施例3>
なお、本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、暗号化鍵と復号化鍵を用いてソフトウェアの正当性を検証しているが、たとえば秘密鍵暗号方式を導入することで、実現するものでもよい。
具体的には、あらかじめ検証装置4の記憶手段およびホスト機器1の記憶手段は共通の暗号化鍵(秘密鍵)を記憶する。
<Other Example 3>
The verification apparatus according to the present invention and the field device software update system using the verification apparatus verify the validity of the software using the encryption key and the decryption key. For example, a secret key cryptosystem is introduced. It may be realized.
Specifically, the storage unit of the verification device 4 and the storage unit of the
ホスト機器1はこの共通の暗号化鍵に基づきフィールド機器2または3用のソフトウェアを暗号化して送信する。検証装置4の正当性判定手段41は、ホスト機器1からの暗号化されたソフトウェアを共通の暗号化鍵を用いて復号化し正当性の判定を行なう。
The
検証装置4およびホスト機器1に記憶されている共通の暗号化鍵は公開されていないため、未確認機器はこの暗号化鍵に基づきソフトウェアを暗号化できない。よって、第三者が未確認機器を使用して何らかのデータを検証装置4に対して送信しても、検証装置4は送信されたデータが暗号化されていないため、作業者が意図しないデータ送信であるとして正当性はないものと判定する。
このため、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる。
Since the common encryption key stored in the verification device 4 and the
For this reason, the verification apparatus of this invention and the field apparatus software update system using the same can prevent the software update which the operator does not intend by the unconfirmed apparatus.
<その他の実施例4>
また本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置4に、インターネットなどの汎用的なネットワークに接続可能なネットワークインタフェースを追加することにより、インターネットサイトを用いたソフトウェアの検証を可能とするものでもよい。
<Other Example 4>
The verification device according to the present invention and the field device software update system using the verification device add a network interface that can be connected to a general-purpose network such as the Internet to the verification device 4, thereby It may be one that enables verification.
図4は図1に係る検証装置に別のネットワークインタフェースを付加した場合のフィールド機器ソフトウェア更新システムの構成図であり図1と共通する部分には同一の符号を付けて適宜説明を省略する。 FIG. 4 is a configuration diagram of the field device software update system when another network interface is added to the verification apparatus according to FIG. 1, and the same reference numerals are given to portions common to FIG. 1 and description thereof is omitted as appropriate.
図4において、検証装置4はネットワークインタフェース46を備え、ネットワークインタフェース46を介してインターネット等の汎用的なネットワーク200に接続し、ネットワーク200を介して検証情報管理サーバと接続する。 In FIG. 4, the verification device 4 includes a network interface 46, is connected to a general-purpose network 200 such as the Internet via the network interface 46, and is connected to a verification information management server via the network 200.
検証情報管理サーバは、予め計算された更新予定のソフトウェアを検証するための検証情報(CRC、ハッシュなど)を記憶する記憶手段と、ネットワークを介して入力されたソフトウェアの情報(ID、リビジョンなど)に応じ検証情報を含むデータを図示しない通信手段を介して検証装置4に送信する演算制御手段を備える。 The verification information management server stores storage information for verifying pre-calculated software to be updated (CRC, hash, etc.) and software information (ID, revision, etc.) input via the network And a calculation control means for transmitting the data including the verification information to the verification device 4 via a communication means (not shown).
なお検証情報管理サーバの演算制御手段は、これらの検証情報をソフトウェアの情報(ID、リビジョンなど)から生成できる一意のアドレスによりアクセス可能であって、このアドレスに応じた検証情報をネットワークを介して提供するインターネットサイトを提供するものでもよい。 The calculation control means of the verification information management server can access these verification information by a unique address that can be generated from software information (ID, revision, etc.), and the verification information corresponding to this address can be sent via the network. It may provide an Internet site to be provided.
検証装置4の正常判定手段42は、ホスト機器1からのソフトウェアの情報(ID、リビジョンなど)を含むデータをネットワークを介して検証情報管理サーバに送信し、検証情報管理サーバから取得したソフトウェアの検証情報に基づきソフトウェアの正常・異常を判定する。
The normality determination means 42 of the verification device 4 transmits data including software information (ID, revision, etc.) from the
検証装置4の正常判定手段42はソフトウェアの情報(ID、リビジョンなど)からアドレス等を生成し、通信手段を制御してこのアドレスに基づきネットワークを介してソフトウェアの検証情報を取得してソフトウェアの正常・異常を判定するものでもよい。 The normality determination means 42 of the verification device 4 generates an address or the like from software information (ID, revision, etc.), controls the communication means, acquires software verification information via the network based on this address, and normalizes the software -What determines an abnormality may be used.
このような構成で、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、ネットワークを介してソフトウェアの検証情報を取得してソフトウェアの正常・異常を判定する。たとえば以下の(2−1)〜(2−6)の動作を行なう。 With such a configuration, the verification apparatus of the present invention and the field device software update system using the same acquire software verification information via the network and determine whether the software is normal or abnormal. For example, the following operations (2-1) to (2-6) are performed.
(2−1)ホスト機器1は、記憶手段に記憶している暗号化鍵に基づき暗号化したフィールド機器2用のソフトウェアを検証装置4に送信する。
(2−2)検証装置4は、ホスト機器1から暗号化されたソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段に記憶する。
(2-1) The
(2-2) The verification device 4 receives the encrypted software data from the
(2−3)検証装置4の正当性判定手段41は、受信したデータを復号し、復号後のソフトウェアを検証する。作業者の意図する正しいソフトウェアと判定されれば、(3−4)の動作に移行する。正しくないと判定されれば、以降の処理は実行しない。 (2-3) The validity determination unit 41 of the verification device 4 decrypts the received data and verifies the decrypted software. If it is determined that the software is intended by the operator, the operation proceeds to (3-4). If it is determined to be incorrect, the subsequent processing is not executed.
(2−4)認証装置4の正常判定手段42は、受信したソフトウェアの情報(ID、リビジョンなど)を含むデータをネットワークを介し検証情報管理サーバに送信する。 (2-4) The normality determination unit 42 of the authentication device 4 transmits data including the received software information (ID, revision, etc.) to the verification information management server via the network.
(2−5)検証情報管理サーバは、記憶手段に記憶されているネットワークを介して受信したソフトウェアの情報(ID、リビジョン)と一致するソフトウェアの検証情報を含むデータを図示しない通信手段を介して検証装置4に送信する。
なお、認証装置4は、受信したソフトウェアの情報(ID、リビジョンなど)から、インターネットサイトのアドレスを生成し、この生成したアドレスに基づき検証情報管理サーバが提供するインターネットサイトにアクセスし、そこに掲載してある検証情報を取得するものでもよい。
(2-5) The verification information management server sends data including software verification information that matches the software information (ID, revision) received via the network stored in the storage unit via a communication unit (not shown). It transmits to the verification device 4.
The authentication device 4 generates an Internet site address from the received software information (ID, revision, etc.), accesses the Internet site provided by the verification information management server based on the generated address, and posts it there. The verification information may be acquired.
(2−6)認証装置4の正常判定手段42は、インターネットサイトから取得したソフトウェアの固有情報と、ホスト機器1から受信したソフトウェアの固有情報を照合し、一致すれば検証にパスしたと判断できる。
(2-6) The normality determination means 42 of the authentication device 4 collates the unique information of the software acquired from the Internet site with the unique information of the software received from the
この結果、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、ネットワークを介してソフトウェアの検証情報を取得してソフトウェアの正常・異常を判定できるので未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる点で有効である。 As a result, the verification apparatus of the present invention and the field device software update system using the same can acquire software verification information via the network and determine whether the software is normal or abnormal. It is effective in that the update can be prevented.
<その他の実施例5>
また本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置4が通信手段の他に、赤外線通信などにより外部と通信可能な外部通信インタフェースも構成要素とするものでもよく、この場合FF−H1バスを介して検証装置4にソフトウェアを送信する処理を不要とするものでもよい。この場合、フィールド機器ソフトウェア更新システムはたとえば次のような動作を行なう。
<Other Example 5>
In addition, the verification device according to the present invention and the field device software update system using the verification device 4 may include an external communication interface that allows the verification device 4 to communicate with the outside by infrared communication or the like in addition to the communication means. In this case, processing for transmitting software to the verification device 4 via the FF-H1 bus may be unnecessary. In this case, the field device software update system performs, for example, the following operation.
特に図示しない端末装置は、別途作業者が管理・保持している暗号化鍵に基づき別途端末装置などで暗号化されたターゲット機器(フィールド機器2または3)のソフトウェアを、ネットワークおよび検証装置4の外部通信インタフェース(専用インタフェースなど)を介して入力する。
In particular, the terminal device (not shown) uses the software of the target device (
検証装置4の演算制御手段は、外部通信インタフェースを介して受信した暗号化されたソフトウェアを含むデータを記憶手段に記憶する。 The arithmetic control means of the verification device 4 stores the data including the encrypted software received via the external communication interface in the storage means.
認証装置4の正当性判定手段41および正常判定手段42は、入力されたソフトウェアを復号・検証して、検証にパスすれば、指定したフィールド機器(ターゲット機器)に対してソフトウェアを送信する。 The validity determination unit 41 and the normality determination unit 42 of the authentication device 4 decrypt and verify the input software, and if the verification is passed, the software is transmitted to the designated field device (target device).
この結果、データを復号できれば、作業者が意図してフィールド機器に送信するソフトウェアであることが確認でき、検証により正しく動作するソフトウェアであることが確認できるため、安全性が確保できる点で有効である。 As a result, if the data can be decoded, it can be confirmed that the software is intended to be transmitted to the field device by the operator, and it can be confirmed that the software operates correctly by the verification, which is effective in ensuring safety. is there.
<その他の実施例6>
また本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置4が、内部に、仮想的なソフトウェア実行環境を用意することで、検証装置4にダウンロードしたソフトウェアを一時的に実行するものでもよい。
<Other Example 6>
In addition, the verification device according to the present invention and the field device software update system using the verification device temporarily prepare the software downloaded to the verification device 4 by providing a virtual software execution environment inside the verification device 4. It may be executed.
具体的には、検証装置4の演算制御手段は、ホスト機器1などから受信し正当性判定手段41、正常判定手段42により復号・検証して検証にパスしたソフトウェアを実行するものでもよい。
Specifically, the arithmetic control unit of the verification device 4 may execute software received from the
この場合、認証装置4は、仮想的なフィールド機器として動作してFF−H1バス100に接続されているフィールド機器と通信する。
In this case, the authentication device 4 operates as a virtual field device and communicates with the field device connected to the FF-
なおホスト機器1が検証装置4にソフトウェアを実行を要求する実行要求信号をFF−H1バス100を介して送信し、検証装置4がこの実行要求信号を受信するとソフトウェアを実行するものでもよい。
The
これにより、FF−H1バス100にソフトウェアを動作させたいフィールド機器が接続していなくても、仮想的にその機器を動作させることが可能である。
Thereby, even if a field device for operating software is not connected to the FF-
以上説明したように、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアをフィールドバスを介して前記フィールド機器に送信する検証装置であって、記憶手段に予め記憶される復号化鍵と、この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることにより、正当性が担保され、正常なソフトウェアのみを更新することができるので、フィールド機器がソフトウェアの更新を原因とする異常な動作をすることがなくなり、制御系全体(FF−H1バス)の安定性向上に貢献できる。 As described above, the verification device according to the present invention and the field device software update system using the verification device field the software for which the validity is ensured among the encrypted field device software received via the network. A verification device that transmits to the field device via a bus, and that the software is valid if the software can be decrypted based on the decryption key stored in advance in the storage means and the decryption key Validity is ensured by including a legitimacy judging means for judging and software sending means for sending the software judged to be legitimate via the fieldbus to the field device in a decrypted state, Only normal software can be updated, so field devices It is not possible to abnormal operation caused by updates, it can contribute to improve the stability of the overall control system (FF-H1 bus).
(付記項1)
前記正常判定手段が、前記ソフトウェア内の特定の場所に予め定められたデータがあると前記ソフトウェアは正常であると判定することを特徴とする請求項3記載の検証装置。
(付記項2)
前記正常判定手段が、前記暗号化されたソフトウェアに基づき算出したハッシュ値が前記暗号化されたソフトウェアとともに受信したこのソフトウェアのハッシュ値と一致すると前記ソフトウェアは正常であると判定することを特徴とする請求項3記載の検証装置。
(Additional item 1)
4. The verification apparatus according to
(Appendix 2)
The normality determining means determines that the software is normal when the hash value calculated based on the encrypted software matches the hash value of the software received together with the encrypted software. The verification device according to
1 ホスト機器
2、3 フィールド機器
4 検証装置
41 正当性判定手段
42 正常判定手段
43 記憶手段
44 通信手段
45 ソフトウェア送信手段
46 ネットワークインタフェース
50 未確認機器
100 FF−H1バス
DESCRIPTION OF
Claims (6)
復号化鍵を予め記憶する記憶手段と、
この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることを特徴とする検証装置。 Among the software for field devices received and encrypted via the network, the verification device transmits the software with the ensured validity to the field devices via the field bus,
Storage means for storing a decryption key in advance;
If the software can be decrypted based on the decryption key, legitimacy judging means for judging that the software is legitimate,
A verification apparatus comprising: a software transmission unit configured to transmit the software determined to be valid to the field device via the field bus in a decrypted state.
前記ホスト装置が保持する暗号化鍵に対応した復号化鍵を予め記憶する記憶手段と、
この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることを特徴とする検証装置。 Among the software for field devices encrypted by the host device received via the field bus, the verification device transmits the guaranteed software to the field device via the field bus,
Storage means for storing in advance a decryption key corresponding to the encryption key held by the host device;
If the software can be decrypted based on the decryption key, legitimacy judging means for judging that the software is legitimate,
A verification apparatus comprising: a software transmission unit configured to transmit the software determined to be valid to the field device via the field bus in a decrypted state.
前記ソフトウェア送信手段は、前記正常判定手段により正常であると判定されたソフトウェアを前記フィールド機器に前記フィールドバスを介して送信することを特徴とする請求項1または2記載の検証装置。 A normal determination means for determining whether the software determined to be valid is normal;
3. The verification apparatus according to claim 1, wherein the software transmission unit transmits the software determined to be normal by the normality determination unit to the field device via the field bus.
前記正当であると判定されたソフトウェアの形式が予め記憶されているソフトウェアの仕様情報に基づいたものであると、このソフトウェアは正常であると判定することを特徴とする請求項3記載の検証装置。 The normality determining means is
4. The verification apparatus according to claim 3, wherein if the format of the software determined to be valid is based on software specification information stored in advance, the software is determined to be normal. .
フィールドバスを介してソフトウェアを取得し、実行するソフトウェアを更新するフィールド機器と、
前記フィールドバスを介して前記フィールド機器および前記検証装置と接続され、前記ソフトウェアを暗号化して前記検証装置に送信するホスト装置と、
を備えたことを特徴とするフィールド機器ソフトウェア更新システム。 A verification device according to any one of claims 1 to 5;
A field device that acquires software via the fieldbus and updates the software to be executed;
A host device connected to the field device and the verification device via the field bus, and encrypting and transmitting the software to the verification device;
A field device software update system characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009240521A JP5472708B2 (en) | 2009-10-19 | 2009-10-19 | Verification device and field device software update system using the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009240521A JP5472708B2 (en) | 2009-10-19 | 2009-10-19 | Verification device and field device software update system using the same |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011086240A true JP2011086240A (en) | 2011-04-28 |
JP5472708B2 JP5472708B2 (en) | 2014-04-16 |
Family
ID=44079118
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009240521A Expired - Fee Related JP5472708B2 (en) | 2009-10-19 | 2009-10-19 | Verification device and field device software update system using the same |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5472708B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013239176A (en) * | 2012-05-16 | 2013-11-28 | Fisher Rosemount Systems Inc | Methods and apparatus to identify degradation of integrity of process control system |
WO2014097444A1 (en) * | 2012-12-20 | 2014-06-26 | 三菱電機株式会社 | Control system, program transmission device, authentication server, program protection method, program transmission method, and program for program transmission device |
CN104950699A (en) * | 2014-07-24 | 2015-09-30 | 佛山市云米电器科技有限公司 | Water purifying device |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005173747A (en) * | 2003-12-09 | 2005-06-30 | Yokogawa Electric Corp | Memory update system for field apparatus |
JP2006079415A (en) * | 2004-09-10 | 2006-03-23 | Konica Minolta Business Technologies Inc | Program update system and program update method |
JP2006178544A (en) * | 2004-12-20 | 2006-07-06 | Canon Inc | Data processor and program update method therefor |
-
2009
- 2009-10-19 JP JP2009240521A patent/JP5472708B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005173747A (en) * | 2003-12-09 | 2005-06-30 | Yokogawa Electric Corp | Memory update system for field apparatus |
JP2006079415A (en) * | 2004-09-10 | 2006-03-23 | Konica Minolta Business Technologies Inc | Program update system and program update method |
JP2006178544A (en) * | 2004-12-20 | 2006-07-06 | Canon Inc | Data processor and program update method therefor |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013239176A (en) * | 2012-05-16 | 2013-11-28 | Fisher Rosemount Systems Inc | Methods and apparatus to identify degradation of integrity of process control system |
CN103425118A (en) * | 2012-05-16 | 2013-12-04 | 费希尔-罗斯蒙特系统公司 | Methods and apparatus to identify a degradation of integrity of a process control system |
JP2019194905A (en) * | 2012-05-16 | 2019-11-07 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Methods and apparatus to identify degradation of integrity of process control system |
WO2014097444A1 (en) * | 2012-12-20 | 2014-06-26 | 三菱電機株式会社 | Control system, program transmission device, authentication server, program protection method, program transmission method, and program for program transmission device |
CN104871098A (en) * | 2012-12-20 | 2015-08-26 | 三菱电机株式会社 | Control system, program transmission device, authentication server, program protection method, program transmission method, and program for program transmission device |
JP5836504B2 (en) * | 2012-12-20 | 2015-12-24 | 三菱電機株式会社 | Control system, program transmission device, authentication server, program protection method, program transmission method, and program for program transmission device |
KR101676980B1 (en) | 2012-12-20 | 2016-11-29 | 미쓰비시덴키 가부시키가이샤 | Control system, program transmission device, authentication server, program protection method, program transmission method, and program for program transmission device |
US9769132B2 (en) | 2012-12-20 | 2017-09-19 | Mitsubishi Electric Corporation | Control system for securely protecting a control program when editing, executing and transmitting the control program |
CN104950699A (en) * | 2014-07-24 | 2015-09-30 | 佛山市云米电器科技有限公司 | Water purifying device |
Also Published As
Publication number | Publication date |
---|---|
JP5472708B2 (en) | 2014-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7007155B2 (en) | Secure process control communication | |
CN106249704B (en) | Method and device for controlling communication of endpoints in industrial enterprise system based on integrity | |
CN107924443B (en) | Firmware upgrading method and system for process control device | |
CN105278327B (en) | Industrial control system redundant communication/control module authentication | |
US20190349346A1 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
CN107368744B (en) | Method for updating firmware components and device for measuring and controlling technology | |
US20140173688A1 (en) | Method and System for Providing Device-Specific Operator Data for an Automation Device in an Automation Installation | |
US10402190B2 (en) | Method for authorized updating of an automation technology field device | |
GB2530028A (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
US20180375842A1 (en) | Methods and security control apparatuses for transmitting and receiving cryptographically protected network packets | |
WO2015056010A2 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
JP2020504583A (en) | Techniques for authentic device assurance by using certificates to establish identification and trust | |
CN106485162A (en) | In memory module safeguard protection write and/or read procedure method and memory module | |
JP5472708B2 (en) | Verification device and field device software update system using the same | |
JP2012003311A (en) | Field instrument system | |
US11477012B2 (en) | Cryptographic feature licensing | |
US11916903B2 (en) | Method for setting up authorization verification for a first device | |
JP5951162B1 (en) | Control device, composite unit device, update determination program, and program update method | |
US11271757B2 (en) | Monitoring device, monitoring system, information processing device, monitoring method, and program | |
US11516024B2 (en) | Semiconductor device, update data-providing method, update data-receiving method, and program | |
WO2013147732A1 (en) | Programmable logic controller having embedded dynamic generation of encryption keys | |
JP2015200971A (en) | Control system equipped with falsification detection function | |
US20190349348A1 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
US20190156018A1 (en) | Semiconductor device, authentication system, and authentication method | |
CN112654985B (en) | Security system and maintenance method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120706 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130730 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130902 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131017 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140109 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140122 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |