JP4326768B2 - Plant network health diagnosis apparatus and method - Google Patents

Plant network health diagnosis apparatus and method Download PDF

Info

Publication number
JP4326768B2
JP4326768B2 JP2002244171A JP2002244171A JP4326768B2 JP 4326768 B2 JP4326768 B2 JP 4326768B2 JP 2002244171 A JP2002244171 A JP 2002244171A JP 2002244171 A JP2002244171 A JP 2002244171A JP 4326768 B2 JP4326768 B2 JP 4326768B2
Authority
JP
Japan
Prior art keywords
data
frame
transmission
inspection
reference information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002244171A
Other languages
Japanese (ja)
Other versions
JP2004086367A (en
Inventor
俊文 林
隆洋 畑中
旬 池田
洋 西川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002244171A priority Critical patent/JP4326768B2/en
Publication of JP2004086367A publication Critical patent/JP2004086367A/en
Application granted granted Critical
Publication of JP4326768B2 publication Critical patent/JP4326768B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Selective Calling Equipment (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、プラントネットワークの健全性を診断するための装置と方法に関するものである。
【0002】
【従来の技術】
発電プラントのようなプロセスプラントにおいては、制御装置はネットワークを通じて接続され、各制御装置は他の制御装置に向けて一定の周期でデータを送信するようになっている。
【0003】
図18は、プラントネットワークの典型的な構成例を示すブロック図である。制御装置101A〜101Cの各々には、プラントのプロセス量を測定するための個別のセンサ102A〜102Cと、プラントの弁やポンプを制御するための個別のアクチュエータ103A〜103Cがそれぞれ接続されている。各制御装置は、ネットワークを通じてお互いに、あるいはオペレータコンソール105とデータを交換する。オペレータコンソール105は、プラント運転員がプラントの状態を監視し、また制御装置に操作指令を送るための装置である。
【0004】
プラントネットワークの実装として、図18では、Ethernet(IEEE 802)を用い、リピータ104を介して制御装置101A〜101Cおよびオペレータコンソール105がスター型に接続されている。リピータ104は、制御装置の一つ、あるいはオペレータコンソール105から送信されてきた信号を、ネットワークに接続された全ての装置(制御装置およびオペレータコンソール)に送信するものである。
【0005】
Ethernetに接続された全ての機器が送信する信号は、規格によって定められた形式を持っており、制限された長さのフレームを単位に構成される。図19にフレームの形式を示す。各フレームには送信先アドレス201と送信元アドレス202が記録されている。アドレスは、Ethernetでは48ビットの数値である。アドレスの後に、プロトコル型203、データ部204、フレームチェック205が続く。このうちのデータ部204に機器が送信するデータが入る。
【0006】
リピータ204は、前述したように、接続された全ての機器、すなわち、制御装置101A〜101Cおよびオペレータコンソール105の一つから送られてきたフレームを、全ての装置に送信する。したがって、リピータ104に接続された機器は、他の制御装置が送信した全てのフレームを受信するが、送信先アドレスが自分宛以外のフレームは破棄する。また、送信先アドレスの中には、全ての装置を送信先とするブロードキャストアドレスおよび、特定のグループを送信先とするマルチキャストアドレスがある。
【0007】
一般に、プロセスプラントの制御装置は、センサ信号の入力、他制御装置からのデータの受信、データの処理、アクチュエータへの信号の出力、他制御装置へのデータの送信、を周期的な処理で実行しており、ネットワークへの送信周期は、制御装置の処理周期に対応している。また、各制御装置の送信周期は、制御装置の対象とするプロセスの進行速度に依存しており、速いプロセスの場合で数十ミリ秒、遅いプロセスで数秒程度である。
【0008】
ところで、制御装置に何らかの異常が発生した場合、データをまったく送信できない、あるいは予め定められた送信周期を守れないことがある。従来、制御装置に異常が発生した場合に、制御装置自体が自己診断可能な異常であれば、制御装置のパネルに異常を知らせるランプが点灯し、パネルを点検することで異常を確認していた。
【0009】
また、悪意の第三者が、リピータに不正な装置を繋ぎ、この装置から制御装置に不正な操作信号を送信する可能性もある。さらに、図18には描かれていないが、プラントネットワークが外部ネットワークと何らかの接点を持っている場合に、悪意の第三者がその接点を介して不正な操作信号を送信することも可能性として否定できない。従来、このような悪意の第三者による不正なアクセスを防止するために、プラントネットワークをファイアウォールによって外部ネットワークから遮断する方法が取られている。
【0010】
【発明が解決しようとする課題】
しかしながら、上記のような従来のプラントネットワークにおいては、次のような問題点が存在している。
【0011】
まず、制御装置自体では自己診断できない異常、あるいは制御装置自体の自己診断機能も含めた異常が発生した場合に、それらの異常を検知することは難しかった。また、自己診断によりパネルに異常を知らせるランプが点灯した場合でも、制御装置の設置されている現場にプラント保守員が赴かなければ確認できなかった。また、ファイアウォールを用いた場合でも、不正なアクセスを完全に防ぐことは困難であるにも拘わらず、従来、外部ネットワークからの不正侵入を検知する手段は設けられていなかった。
【0012】
本発明は、上記のような従来技術の問題点を解決するために提案されたものであり、その目的は、既存のプラントネットワーク自体の構成をほとんど変更せずに、制御装置を接続するネットワークを流れるデータを監視して、制御装置の異常を判定すると共に不正なアクセスを発見し、ネットワークを経由して現場の外へ通報可能なプラントネットワーク健全性診断装置とその方法を提供することである。
【0013】
【課題を解決するための手段】
本発明は、他制御装置からのデータの受信、データの処理、他制御装置へのデータの送信、を定周期で行う複数の制御装置を接続してなるプラントネットワークに接続し、前記プラントネットワーク上を、各前記制御装置の送信元情報、ID及び送信先情報を記録したフレームとして伝送されるデータを受信し、この受信したフレームに時刻を付加した時刻付きフレームとして出力するデータ収集手段と、前記データ収集手段に直接接続され、前記データ収集手段が収集したフレームの送信周期を検査する検査手段、とを備え、前記IDは、各前記制御装置から送信されるフレームが、複数のグループに分けられる場合に、そのフレームを識別する情報として任意に付されるものであり、前記データ収集手段は、前記フレームを受信するネットワークインタフェースと、この受信時刻を出力するタイマと、前記受信したフレームに前記タイマの出力した受信時刻を付加する時刻付加部と、を備え、前記検査手段は、前記データ収集手段から直接入力された前記時刻付きフレームを記録するフレームキューと、各フレームの送信周期、許容される周期誤差、送信元、送信先およびIDを含むフレーム基準情報を記録するフレームデータベースと、前記フレームキューに記録されたフレームについて、このフレームに対応する送信元アドレス及びフレームにIDが付されている場合には前記IDからなる前記フレーム基準情報を検索し、同じ送信元アドレス及び同じIDを有するフレーム基準情報が検出されない場合、前記フレームと前記フレーム基準情報とにおける送信先が異なる場合、又は、前記フレームの送信周期が許容される周期誤差の許容範囲内でない場合に、前記フレームキューに記録された前記フレームの異常を検出するフレーム検査部と、を備えたことを特徴とする。
【0019】
請求項11の発明は、請求項1の発明を方法の観点から把握したものであり、他制御装置からのデータの受信、データの処理、他制御装置へのデータの送信、を定周期で行う複数の制御装置を接続してなるプラントネットワークに接続し、前記プラントネットワーク上を、各前記制御装置の送信元情報、ID及び送信先情報を記録したフレームとして伝送されるデータを受信し、この受信したフレームに時刻を付加した時刻付きフレームとして出力するデータ収集ステップと、前記データ収集ステップが収集したフレームの送信周期を検査する検査ステップ、とを備え、前記IDは、各前記制御装置から送信されるフレームが、複数のグループに分けられる場合に、そのフレームを識別する情報として任意に付されるものであり、前記データ収集ステップは、前記フレームを受信し、この受信時刻を出力するタイマにより、前記受信したフレームに受信時刻を付加する時刻付加ステップと、を含み、前記検査ステップは、前記データ収集ステップにより直接入力された前記時刻付きフレームをフレームキューに記録するステップと、各フレームの送信周期、許容される周期誤差、送信元、送信先およびIDを含むフレーム基準情報をフレームデータベースに記録するステップと、前記フレームキューに記録されたフレームについて、このフレームに対応する送信元アドレス及びフレームにIDが付されている場合には前記IDからなる前記フレーム基準情報を検索し、同じ送信元アドレス及び同じIDを有するフレーム基準情報が検出されない場合、前記フレームと前記フレーム基準情報とにおける送信先が異なる場合、又は、前記フレームの送信周期が許容される周期誤差の許容範囲内でない場合に、前記フレームキューに記録された前記フレームの異常を検出するフレーム検査ステップと、を含むことを特徴とする。
【0022】
以上のような発明によれば、プラントネットワーク上に送出された全てのデータを収集し、収集したデータを、予め記録された基準情報と比較して、送信元アドレスやデータID等のデータ特定情報に基づいて分類し、分類された各データが正しい送信元から正しい周期で送信されているか否かを検査することができる。また、データ特定情報に各種の情報を含めることにより、データの送信周期が許容される誤差の範囲内であるか、データが正しい送信先に向けて送信されているか、あるいは、データに正当性があるか、等の情報に応じた各種の検査を行うことができる。
【0023】
請求項12の発明は、請求項11のプラントネットワーク健全性診断方法において、検査ステップが、基準情報検索ステップと周期比較ステップを含むことを特徴としている。ここで、基準情報検索ステップは、基準情報を検索し、データ収集ステップで収集されたデータの中から新たに検査対象となるデータをカレントデータとし、このカレントデータに対応する基準情報が存在するか否かを判断するステップである。また、周期比較ステップは、カレントデータに対応する基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じデータ特定情報を含む一つ前のデータを前回データとし、カレントデータと前回データとの間の通信時刻の差が、送信周期に許容される誤差の範囲内であるか否かを判断するステップである。
【0024】
請求項13の発明は、請求項11または請求項12のプラントネットワーク健全性診断方法において、検査ステップが、基準情報検索ステップ、時刻設定ステップ、次回データ検索ステップを含むことを特徴としている。ここで、基準情報検索ステップは、請求項12の発明における基準情報検索ステップと同様である。また、時刻設定ステップは、カレントデータに対応する基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じデータ特定情報を含む次回データの検索を開始する時刻を設定するステップである。また、次回データ検索ステップは、時刻設定ステップで設定された時刻に、次回データの検索を開始し、カレントデータの通信時刻に対して送信周期に許容される誤差の範囲内に次回データが存在するか否かを判断するステップである。
【0025】
以上のような発明によれば、カレントデータに対応する基準情報を検索し、対応する基準情報がない時点で、データの異常を直ちに検出することができる。そして、カレントデータに対応する基準情報がある場合には、その基準情報を用いて、同じ送信元から送信される同じ種類の前回データや次回データを検索し、基準情報中の送信周期とデータに含まれる通信時刻に基づいて、データの送信周期の異常を容易に検出することができる。また、カレントデータの通信時刻と記録された送信周期に基づいて設定した時刻に次回データの検索を開始する場合には、制御装置がデータを全く送信しなくなる異常についても検出することができる。
【0026】
請求項の発明は、前記プラントネットワークは、前記複数の制御装置を、スイッチを介して接続してなり、前記スイッチからの出力を前記複数の制御装置と前記データ収集手段に振り分ける複数のリピータとを備え、前記複数のリピータの各々は前記複数の制御装置の各々に対応付けられ、各リピータは前記スイッチの各出力ポートにそれぞれ接続され、各リピータの出力は対応する各制御装置と前記データ収集手段にそれぞれ接続される、ことを特徴とする。
請求項の発明は、請求項のプラントネットワーク健全性診断装置において、データ収集手段が、複数のリピータの出力にそれぞれ接続された複数のデータ収集手段を含むことを特徴とする
【0027】
以上のような発明によれば、複数の制御装置がスイッチによって接続される場合でも、各制御装置ごとに個別のリピータをそれぞれ接続することにより、全ての制御装置から送信される全てのデータを、その送信先に拘わらず、確実に収集することができる。また、複数の制御装置をスイッチによって接続することにより、単一の制御装置を送信先とするデータはスイッチの一つの出力ポートを占有するだけで、他の出力ポートは別のデータの送信に使用可能であるため、複数の制御装置から同時にデータを送信できる。したがって、プラントネットワーク内における通信効率を向上することができる。さらに、各リピータを個別のデータ収集手段にそれぞれ接続することにより、個々のデータ収集手段の負担が小さくなるため、複数の制御装置から同時にデータが送信される場合であっても、簡単なモジュールでデータ収集手段を実現することができる。
【0028】
請求項の発明は、請求項1乃至請求項のいずれかのプラントネットワーク健全性診断装置において、検査手段が、非定周期データ検査手段を含むことを特徴としている。ここで、非定周期データ検査手段は、複数の制御装置のうち、非定周期データを送信する制御装置がある場合に、非定周期データのデータ特定情報とその送信シーケンス情報を含む予め記録された基準情報を使用して、データ収集手段で収集された非定周期データの送信シーケンスとそのデータに含まれる情報を基準情報と比較することでデータの検査を行う非定周期データ検査手段を含む、ことを特徴とする。
【0029】
この発明によれば、データ収集手段により収集した非定周期データを、非定周期データ検査手段によりネットワークの上位層のパケットとして抽出し、各パケットの送信シーケンスを予め記録された送信シーケンス情報と比較することにより、非定周期データが正しいシーケンスで送信されているかを検査することができる。したがって、送信周期のない非定周期データについても、その異常を容易に検出することができる。
【0030】
請求項の発明は、請求項のプラントネットワーク健全性診断装置において、非定周期データ検査手段が、プラントネットワークを遠隔地にある保守装置に接続する場合に、その保守装置とプラントネットワーク内の装置との間の非定周期データを検査するように構成されたことを特徴とする
この発明によれば、プラントネットワークを遠隔地にある保守装置に接続した場合についても、その保守装置と、ネットワーク内の装置との間の非定周期データの異常を検出することができるため、ネットワーク内の装置を遠隔地の保守装置から適切に保守することができる。
【0031】
請求項の発明は、請求項1乃至請求項のいずれかのプラントネットワーク健全性診断装置において、複数の制御装置と検査手段の構成に特徴を有するものである。すなわち、複数の制御装置の各々は、予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、その制御装置の送信するデータ内にデータの正当性を示すための署名として埋め込むように構成される。また、検査手段は、前記乱数列と同一の予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、データに埋め込まれた署名と比較することでデータの正当性を検査するように構成される。
【0032】
この発明によれば、制御装置と検査手段とで、予め記録された同一の乱数列を使用することにより、制御装置側では、送信されるデータごとに異なる乱数を署名として埋め込むことができる一方で、検出手段側では、データごとに異なる署名の正当性を確実に検査することができる。したがって、データの正当性について、信頼性の高い検査を行うことができる。
【0033】
請求項の発明は、請求項1乃至請求項のいずれかのプラントネットワーク健全性診断装置において、検査手段が2つの検査部を含むことを特徴としている。ここで、2つの検査部は、異なる命令セットを実装した2つのマイクロプロセッサを使用して構成される。
この発明によれば、命令となるデータを含む不正なアクセスによって、2つの検査部のいずれか一方が攻撃された場合でも、他方の検査部を攻撃から保護することができるため、不正なアクセスによって検査手段が機能停止に陥るような不都合を防止することができる。
【0034】
請求項の発明は、請求項1乃至請求項のいずれかのプラントネットワーク健全性診断装置において、検査手段が統計データ検査手段を含むことを特徴としている。ここで、統計データ検査手段は、定周期で送信されるデータの送信周期に関する情報を蓄積し、指定された期間における周期の揺らぎを検査する手段である。
この発明によれば、定周期で送信されるデータの送信周期について、長期間に亘る傾向を容易に検査することができる。
【0035】
請求項の発明は、請求項1乃至請求項のいずれかのプラントネットワーク健全性診断装置において、検査手段が、定周期で送信されるデータについて、指定された時間内の送信周期を測定し、その測定結果に基づいて基準情報に含まれる送信周期を設定するように構成されたことを特徴としている。
この発明によれば、検査手段によるデータの送信周期の測定結果に基づいて、検査手段で使用する基準情報中の送信周期を自動的に随時設定、更新することができるため、基準情報の見直し作業といった人間系の作業を簡略化または省略することができる。
【0036】
請求項1の発明は、請求項のプラントネットワーク健全性診断装置において、リピータが、第1と第2のリピータを含み、プラントネットワークと統計データ検査手段の構成に次のような特徴を有するものである。すなわち、プラントネットワークは、複数の制御装置を第1のリピータを介して接続する第1のネットワークと、複数の制御装置を第2のリピータを介して接続する第2のネットワークによって2重化される。また、統計データ検査手段は、複数の制御装置の各々について、その制御装置から第1と第2のネットワークにそれぞれ送信されるデータの送信周期の相関を検査するように構成される。
【0037】
この発明によれば、プラントネットワークを2重化することにより、ネットワークの信頼性を向上することができる。また、同じ制御装置から送信される同じデータについて、2重ネットワークの両方の周期が乱れていれば、制御装置の異常の可能性が高いと判定でき、また、ネットワークの一方の周期だけが乱れていれば、ネットワークを構成するリピータや他の制御装置が異常である可能性が高いと判定できるため、異常の分析をより詳細に行うことができる。
【0038】
【発明の実施の形態】
(第1の実施形態)
(構成)
図1は、Ethernetを使用したプラントネットワークに本発明を適用したプラントネットワーク健全性診断装置の第1の実施形態を示すブロック図である。
【0039】
この図1に示すように、プラントネットワーク自体の構成は、図18に示した従来技術と同様である。すなわち、制御装置101A〜101Cの各々には、個別のセンサ102A〜102C、個別のアクチュエータ103A〜103Cがそれぞれ接続されており、制御装置101A〜101Cおよびオペレータコンソール105はリピータ104を介してスター型に接続されている。また、このネットワーク内で、図19に示したような、送信先アドレス201、送信元アドレス202、プロトコル型203、データ部204、フレームチェック205、からなる定型のフレームが送信される点も従来技術と同様である。
【0040】
以上のようなプラントネットワークにおいて、本実施形態のプラントネットワーク健全性診断装置は、リピータ104にデータ収集手段110を直接接続し、このデータ収集手段110に検査手段120を直接接続することにより構成されている。このうち、データ収集手段110は、プラントネットワーク上で送信されるデータを収集する手段であり、リピータ104に直接接続されることで、プラントネットワークに送信された全てのフレームを受信し、収集できるようになっている。また、検査手段120は、データ収集手段110で収集されたデータを検査する手段であり、定周期で送信されるフレームを予め記録されたフレーム基準情報と比較することでフレームの検査を行う定周期データ検査手段130を含む。
【0041】
図2は、プラントネットワーク健全性診断装置の構成を示すブロック図である。データ収集手段110は、ネットワークインタフェースカード(NIC)111、時刻付加部112、タイマ113、を備えており、検査手段120の定周期データ検査手段130は、フレームキュー131、フレーム検査部132、フレームデータベース133、を備えている。
【0042】
(動作手順)
図3は、データ収集手段110と検査手段120の動作手順の概略を示すフローチャートである。この図3に示すように、データ収集手段110において、リピータ104から送られてきたフレームは(S301のYES)、NIC111の内部のバッファに一旦保存される(S302)。そして、NIC111内のバッファにフレームが蓄えられると、時刻付加部112は、NIC111よりフレームを読み出し、タイマ113を参照して現在時刻を取得してその読み出したフレームに付加し、検査手段120に送る(S303)。
【0043】
また、検査手段120において、データ収集手段110から送られてきた時刻付きフレームデータは、定周期データ検査手段130のフレームキュー131に記録される(S304)。フレームキュー131は、時刻付きフレームを記録するFIFO式のバッファである。フレーム検査部132は、フレームキュー131に記録されたフレームを、最新のものから順に調べ、フレームデータベース133に記録されているフレーム基準情報に基づいてネットワークの健全性を検査する(S305)。
【0044】
図4は、フレームキュー131のデータ構造の一例を示しており、順次記録されたフレーム401〜409が記録順に並んでいる。すなわち、この図3中において、一番上のフレーム401が、最新のフレームであり、一番下のフレーム409が最も古いフレームである。このフレームキューの中で、各フレームは、先頭に受信時刻(通信時刻)を付加され、「受信時刻、送信先、送信元、データ」、という形式で保存される。
【0045】
例えば、一番下のフレーム401は、時刻「01時23分32.255秒」に、送信元Aから、送信先ALL(ネットワークに接続されている全ての装置)に送信されたことを示している。送信元および送信先に示される符号「A」、「B」、「C」はアドレスである。このようなフレームの記録において、送信先以降の各情報は、フレームがそのまま保存されるため、余分な処理を必要としない。
【0046】
なお、時刻の付加方式については、データ収集手段110で時刻を付加する代わりに、変形例として、制御装置101A〜101Cからフレームを送信する際に、フレームのデータ部204の内部に予め付加しておく方式を採用することも可能である。
【0047】
図5は、フレームデータベース133に記録されているフレーム基準情報の一例を示す。すなわち、フレームデータベース133には、各フレームのフレーム基準情報501〜504として、「フレームの送信周期、許容される周期誤差、送信元、送信先、ID、署名」、という形式の情報が記録される。制御装置101A〜101Cから送信されるフレームは、必要に応じて複数のグループに分けられる場合があり、それを区別するのがIDである。
【0048】
IDは、フレームのデータ部204の一部として書きこまれたデータであり、図5中のフレーム基準情報501,502においては、送信元Aから、ID=1とID=2のフレームがそれぞれ、周期0.5secと1.0secで送信されることが示されている。すなわち、フレームは、送信元とIDによって識別されるようになっている。
【0049】
さらに、フレームの健全性、正当性を確認するために、データ部204に署名を入れることができる。Ethernetの標準では、フレームの最後にFCS(フレームチェック・シーケンス)が付けられており、フレームの健全性をある程度検査できるが、より厳重な検査と不正アクセスの検出のため、暗号化メッセージダイジェスト関数MD5(RFC1321)を使用した署名を、制御装置によってデータ部204内に埋め込むこともできる。
【0050】
定周期データ検査手段130のフレーム検査部132は、フレームキュー131に新しいフレームが到着すると、フレームキュー131に記録されたフレームを、最新のものから順番に調べ、フレームデータベース133に記録されているフレーム基準情報に基づいてフレームを検査する。図6、図7は、フレーム検査部132の処理方式として、2種類の処理方式の手順をそれぞれ示すフローチャートであり、図3中のS305のサブルーチンに相当する。以下には、図4のフレームと、図5のフレーム基準情報に対する処理について説明する。
【0051】
図6に示す処理方式において、図4に示す最新のフレーム401の送信元とIDに基づき、最新のフレーム401に関するフレーム基準情報を、フレームデータベース133から検索する(S601)。ここで、フレーム401に関するフレーム基準情報が見つからない場合(S602のYES)には、本来存在しないはずのフレームが受信されたことになるため、異常と判定する(S603)。この例では、フレーム401の送信元は「A」、IDは「1」であるから、同じ情報を含むフレーム基準情報、すなわち、図5に示すフレーム基準情報501が見つかる(S602のNO)ので、次のステップS604に進む。
【0052】
ステップS604においては、フレーム401の送信先、署名を、フレーム基準情報501の送信先、署名と比較する。ここで、送信先、署名の何れかが一致しない場合(S605のYES)には、本来の送信先とは異なる送信先宛のあるいは本来の署名とは異なる署名を含む不正なフレームが受信されたことになるため、異常と判定する(S606)。この例では、フレーム401の送信先は「ALL」、署名は「yyyy」となっており、フレーム基準情報501と一致している(S605のNO)ため、次のステップS607に進む。
【0053】
ステップS607においては、図4に示すフレームキュー131を遡って、フレーム401と同じ送信元とIDを持つ前回のフレームを探し、両フレームの受信時刻の差と、フレーム基準情報501の送信周期、周期誤差を比較する。ここで、受信時刻の差が許容される周期誤差範囲外である場合(S608のNO)には、送信周期の異常と判定する(S609)。この例では、フレーム401の前回のフレームとしてフレーム404が得られ、両フレーム401,404の受信時刻の差が0.502秒であるのに対し、フレーム基準情報501の送信周期は0.5秒、許容される周期誤差は0.01秒であるから、両フレーム401,404の受信時刻の差は許容される周期誤差範囲内と判定される(S608のYES)。その結果、フレーム401の送信は健全であると判定される(S610)。
【0054】
また、フレーム402の場合には、送信元は「C」であるから、フレーム基準情報504が見つかり、送信先は「ALL」、署名は「uuuu」であるため、前回のフレーム407が得られ、両フレーム402,407の受信時刻の差と、フレーム基準情報504の送信周期、周期誤差が比較されることになる。この場合、両フレーム402,407の受信時刻の差が1.07秒であるのに対し、フレーム基準情報504の送信周期と周期誤差はそれぞれ、1.0秒と0.02秒であるから、受信時刻の差は許容範囲外と判定され(S608のNO)、その結果、フレーム402の送信は異常であると判定される(S609)。
【0055】
以上のような図6に示す処理方式の検査処理は、フレームが到着すると起動する単一のスレッドによって実行される。これに対して、図7に示す処理方式においては、フレームの到着により起動する未登録検査スレッドと、この未登録検査スレッドがセットした時刻にタイマ割込によって起動する送信異常検査スレッドという2つのスレッドにより、独立した検査処理A,Bを並行的に行う。
【0056】
図7に示すように、未登録検査スレッドは、フレームの到着によって起動し、到着した最新のフレームに対して検査処理Aを行うが、この検査処理AにおけるステップS701〜S703の手順は、図6のステップS601〜S603と同様である。すなわち、受信した最新のフレーム401に関するフレーム基準情報を検索し(S701)、見つからない場合(S702のYES)には、本来存在しないはずのフレームが受信されたことになるため、異常と判定する(S703)が、この例では、フレーム基準情報501が見つかる(S702のNO)ので、次のステップS704に進む。
【0057】
ステップS704においては、最新のフレーム(F)401と同じ送信元とIDを持つ次回到着予定のフレームを調べるための送信異常検査スレッドの起動をセットする。この場合の起動時刻Tは、現在時刻にフレーム基準情報501の送信周期と周期誤差を加えた時刻であり、次回フレームの到着時刻の上限(受信タイムアウト時刻)である。未登録検査スレッドは送信異常検査スレッドの起動セットを終えると処理を一旦終了し、フレーム到着ごとに起動して、ステップS701〜S704の検査処理Aを繰り返す。
【0058】
送信異常検査スレッドは、未登録検査スレッドによってセットされた起動時刻Tに起動し、検査処理Bを行う。この検査処理Bにおいてはまず、ステップS704のフレーム(F)401と同じ送信元とIDを持つフレームを、フレームキュー131中の新しいものから順に遡り、フレーム基準情報501に設定されている周期誤差の2倍の範囲で調べる(S711)。この誤差範囲内に該当フレームが存在しない場合(S712のNO)には、フレーム送信異常と判定し(S713)、この誤差範囲内に該当するフレームが存在する場合(S712のYES)には、フレームの送信は健全であると判定する(S714)。送信異常検査スレッドは判定を終えると処理を終了し、セットされた各起動時刻ごとに起動して、ステップS711〜S714の検査処理Bを繰り返す。
【0059】
この図7に示すような2つのスレッドによる処理の具体的なタイムチャートは、フレームの到着時刻の間隔やセットされる起動時刻(受信タイムアウト時刻)によって決定される。例えば、次の表1は、フレームの到着時刻の間隔が1秒であり、かつ、受信タイムアウト時刻をフレーム到着時刻の1.2秒後にセットする場合のタイムチャートの一例を示している。
【0060】
【表1】

Figure 0004326768
【0061】
(作用効果)
以上のような本実施形態によれば、プラントネットワーク上に送出された全てのデータを収集し、収集したデータを、予め記録された基準情報と比較して、送信元アドレスやデータID等のデータ特定情報に基づいて分類し、分類された各データが正しい送信元から正しい周期で送信されているか否かを検査することができる。したがって、既存のプラントネットワーク自体の構成をほとんど変更せずに、制御装置を接続するネットワークを流れるデータを監視して、制御装置の異常を判定すると共に不正なアクセスを発見し、ネットワークを経由して現場の外へ通報することができる。
【0062】
また、通信時刻として、データ収集時に収集した時刻を付加することにより、送信途中で遅延を生じた場合に、その異常の可能性を把握することができる。また、データ特定情報に、送信周期に許容される誤差や、送信先アドレス、署名、等の情報を含めることにより、データの送信周期が許容される誤差の範囲内であるか、データが正しい送信先に向けて送信されているか、あるいは、データに正当性があるか、等の検査を行うことができる。したがって、データの各種の異常に応じて、プラントネットワーク内で異常を生じている可能性が高い部分を容易に特定することができる。
【0063】
また、図6、図7に示す処理手順によれば、最新のデータをカレントデータとしてそのデータに対応する基準情報を検索し、対応する基準情報がない時点で、データの異常を直ちに検出することができる。そして、カレントデータに対応する基準情報がある場合には、その基準情報を用いて、同じ送信元から送信される同じ種類の前回データや次回データを検索し、基準情報中の送信周期とデータに含まれる通信時刻に基づいて、データの送信周期の異常を容易に検出することができる。また、図7に示すように、カレントデータの通信時刻と記録された送信周期に基づいて設定した時刻に次回データの検索を開始する場合には、制御装置がデータを全く送信しなくなる異常についても検出することができる。
【0064】
(第2の実施形態)
(構成)
図8は、スイッチを用いたプラントネットワークに本発明を適用したプラントネットワーク健全性診断装置の第2の実施形態を示すブロック図である。本実施形態において、制御装置101A〜101Cおよびオペレータコンソール105は、スイッチ801を介してスター型に接続されている。スイッチ801は、リピータ104と異なり、受信したフレームを、送信先アドレスに基づいて送信する。例えば、送信先が制御装置101Aであることを示す送信先アドレス「A」のフレームは、制御装置101A以外の装置が接続されているポートには出力されない。したがって、図1のリピータ104をスイッチ801に置き換えてデータ収集手段110を接続しただけでは、データ収集手段110は、送信先アドレスがALL以外のフレームを収集できない。
【0065】
そこで、本実施形態のプラントネットワーク健全性診断装置においては、スイッチ801の出力ポートに、制御装置101A〜101Cおよびオペレータコンソール105に対応するリピータ802A〜802Dをそれぞれ接続している。そして、各リピータ802A〜802Dの出力を、対応する各制御装置101A〜101Cおよびオペレータコンソール105にそれぞれ接続すると共に、データ収集手段110にそれぞれ分岐している。
【0066】
図8の構成では、ネットワークが半二重Ethernetで構成される場合、リピータ802A〜802Dからデータ収集手段110に対して2重にフレームが送信されることになる。これは例えば、制御装置101Aから制御装置101Bに送信されるフレームは、リピータ802Aからデータ収集手段110に分岐され、同じフレームがスイッチ801から制御装置101Bに送信された後、リピータ802Bからデータ収集手段110に分岐されるからである。
【0067】
そこで、本実施形態の検査手段120の定周期データ検査手段130においては、データ収集手段110で収集した2重フレームのうち、後のフレームを無視する形で検査を行う。一つの方法は、定周期データ検査手段130のフレームキュー131により、2重フレームの後着フレームを破棄する方法である。この方法において、フレームキュー131は、送信先、送信元、データが同じフレームを、スイッチ801の遅延時間(100MbpsのEthernetの場合、数百μ秒)程度の短い間隔で受信した場合には、後のフレームを破棄する。
【0068】
また、定周期データ検査手段130のフレーム検査部132により、2重フレームの後着フレームを無視する方法も可能である。この方法において、フレームキュー131は、受信した全てのフレームを記録するが、フレーム検査部132は、フレームデータベース133に記録されているフレームの送信周期に比べてフレームの受信時刻の差が十分に短く、2重フレームの後着フレームであると判断される場合には、その後着フレームを無視する。そして、先着フレームのみの時刻の差として実際の送信周期を求め、フレームの検査を行う。
【0069】
なお、ネットワークが全二重Ethernetで構成される場合には、スイッチ801から各装置に対して、送信用、受信用それぞれの専用ケーブルが張られるため、リピータ802A〜802Dを受信用ケーブルのみに接続することで、正確な送信周期を得ることができる。スイッチ801の送信用ケーブルに接続することでもほぼ同様であるが、スイッチ801内での遅延の影響を受け、検査される送信周期に誤差が入る可能性がある。
【0070】
(作用効果)
以上のような本実施形態によれば、複数の制御装置がスイッチによって接続される場合でも、各制御装置ごとに個別のリピータをそれぞれ接続することにより、全ての制御装置から送信される全てのデータを、その送信先に拘わらず、確実に収集することができる。また、複数の制御装置をスイッチによって接続することにより、単一の制御装置を送信先とするデータはスイッチの一つの出力ポートを占有するだけで、他の出力ポートは別のデータの送信に使用可能であるため、複数の制御装置から同時にデータを送信できる。したがって、本実施形態によれば、プラントネットワーク内における通信効率を向上することができる。
【0071】
(第3の実施形態)
(構成)
図9は、本発明を適用したプラントネットワーク健全性診断装置の第3の実施形態を示すブロック図である。本実施形態は、前記第2の実施形態において、複数のリピータ802A〜802Dに対応する複数のデータ収集手段110A〜110Dを設け、各リピータ802A〜802Dの出力を対応する各データ収集手段110A〜110Dで受信するように構成したものである。各データ収集手段110A〜110Dで収集されたデータは、検査手段120へ送信される。なお、各データ収集手段110A〜110Dと検査手段120との接続には、Ethernetに限らず、IEEE1394等の各種の高速伝送手段が使用できる。
【0072】
(作用効果)
本実施形態によれば、各リピータを個別のデータ収集手段にそれぞれ接続することにより、個々のデータ収集手段の負担が小さくなるため、複数の制御装置から同時にデータが送信される場合であっても、簡単なモジュールでデータ収集手段を実現することができる。
【0073】
(変形例)
なお、本実施形態の変形例として、データ収集手段110だけでなく、検査手段120を複数にする構成も可能である。その場合には、データ収集手段と検査手段をモジュールとして一体化することにより、構成を簡略化することができる。
【0074】
(第4の実施形態)
(構成)
図10は、本発明を適用したプラントネットワーク健全性診断装置の第4の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、検査手段120に、定周期データ検査手段130に加えて、非定周期データを検査するための非定周期データ検査手段140を設けたものである。この非定周期データ検査手段140は、パケット抽出部141、パケットキュー142、パケット検査部143、パケットデータベース144、を備えている。
【0075】
(動作手順)
非定周期データ検査手段140は、データ収集手段110から時刻付きフレームを入力すると、パケット抽出部141によってその時刻付きフレームから、通信プロトコルの上位階層に属するIPパケットを抽出する。すなわち、データ収集手段110によって受信されたEthernetのフレームは、そのデータ部にIPパケットを含んでおり、また一つのIPパケットが複数のフレームに分割されることもある。パケット抽出部141は、そのようなIPパケットを抽出し、フレームの形式に応じたIPパケットを構成する。
【0076】
なお、このように構成されたIPパケットには送信元と送信先のIPアドレスが含まれているが、パケット抽出部141は、そのIPパケットに対して、元のフレームに付加されていた時刻をさらに付加する。このようにして得られた時刻付きのIPパケットはパケットキュー142に保存される。また、パケットキュー142の論理形式は、定周期データ検査手段130のフレームキュー131の論理形式と同様である。
【0077】
図11は、パケットデータベース144に記録されている非定周期データの送信シーケンスグラフの一例を示す。この図11において、非定周期に送信される各非定周期データ1101〜1105は個別の円で示され、各円の内部に、各データに関する情報が、「送信元、送信先、メッセージ、タイムアウト」、という形式で示されている。ここで、送信元および送信先に示される符号「iA」、「iD」は、制御装置101Aおよびオペレータコンソール105のIPアドレスであり、円を結ぶ矢印はデータ送信順序を示している。
【0078】
なお、図中では、制御装置101Aとオペレータコンソール105との間で送信される非定周期データの送信シーケンスのみが示されているが、他の制御装置101B,101Cが非定周期データの送信元または送信先となる場合には、送信元および送信先に符号「iB」、「iC」を含む非定周期データの送信シーケンスグラフが同様に記録されることになる。さらに、各制御装置101A〜101Cとオペレータコンソール105との間だけでなく、制御装置101A〜101C間で非定周期データが送信される場合もある。
【0079】
図11において、非定周期データ1101に関する情報は、送信元「iD」から送信先「iA」へメッセージ(データ)「X1」が送信され、「Timeout=2」で2秒以内の応答が期待されていることを示している。メッセージの種類はデータIPパケットのデータ内部に記号として記録される。また、非定周期データ1101に対する応答は、非定周期データ1102であり、非定周期データ1101の送信後、2秒以内に送信される。この非定周期データ1102に関する情報は、送信元「iA」から送信先「iD」へメッセージ「Y1」が送信され、2秒以内の応答が期待されていることを示している。
【0080】
また、非定周期データ1102に対する応答は、非定周期データ1103であり、この非定周期データ1103については、送信元「iD」から送信先「iA」へメッセージ「X2」が送信され、4秒以内の応答が期待されている。さらに、非定周期データ1103に対する応答は、非定周期データ1104または非定周期データ1105であり、それぞれ、送信元「iA」から送信先「iD」へメッセージ「Y2」または「Y3」が送信される。
【0081】
非定周期検査手段140のパケット検査部143は、パケットキュー142に新しいパケットが到着すると、パケットデータベース144の記述に従って、パケットを検査する。例えば、送信元「iD」、送信先「iA」のメッセージ「X2」が到着した際には、パケットデータベース144から図11に示す非定周期データ1103に関する情報を得て、さらにその前に送信される非定周期データ1102に関する情報を得る。そして、パケットキュー142を遡って調べ、その非定周期データ1102に該当するデータを検索する。
【0082】
すなわち、前記メッセージ「X2」の過去2秒間に、送信元「iA」、送信先「iD」の正当なメッセージ「Y1」があるかどうかを検査する。もしそのようなデータがあれば、新たに到着したメッセージ「X2」は正当なものであると判定するが、そのようなデータがない場合には異常と判定し、パケットキュー142に異常マークを付ける。
【0083】
(作用効果)
以上のような本実施形態によれば、データ収集手段により収集した非定周期データを、非定周期データ検査手段によりネットワークの上位層のパケットとして抽出し、各パケットの送信シーケンスを予め記録された送信シーケンス情報と比較することにより、非定周期データが正しいシーケンスで送信されているかを検査することができる。したがって、送信周期のない非定周期データについても、その異常を容易に検出することができる。
【0084】
なお、本実施形態の変形例として、定周期データの特定情報と同様に、非定周期データのデータ特定情報に署名等を含めることも可能であり、それにより、非定周期データの正当性をより正確に判定することができる。
【0085】
(第5の実施形態)
(構成)
図12は、本発明を適用したプラントネットワーク健全性診断装置の第5の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、不正アクセスを検出する署名として乱数を使用するようにしたものである。すなわち、本実施形態においては、制御装置101A〜101Cおよびオペレータコンソール105に乱数記憶手段1201A〜1201Dが追加されると共に、検査手段120に、検査用乱数記憶手段1202が追加されている。
【0086】
そして、制御装置101A〜101Cおよびオペレータコンソール105の各乱数記憶手段1201A〜1201Dに、予め個別の乱数列を記録しておき、検査手段120の検査用乱数記憶手段1202には、各制御装置101A〜101Cとオペレータコンソール105の各乱数記憶手段1201A〜1201Dに記録された乱数列のコピーを記録しておく。
【0087】
(動作手順)
制御装置101A〜101Cおよびオペレータコンソール105は、データを送信する際に、乱数記憶手段1201A〜1201Dから乱数を順次取り出し、署名として乱数列の番号と共に付加する。この場合、署名は、例えば、次のようになる。
【数1】
33250: 235221456
【0088】
ここで、「33250」は乱数列の先頭からの通し番号であり、「235221456」は乱数である。物理乱数(参照文献:特許第3034516号「物理乱数発生装置」、特許第2980576号「物理乱数発生装置及び方法並びに物理乱数記録媒体」)を使用すれば、番号が与えられた時に、乱数を予測する手段はないため、第三者による同一の乱数の使用による不正アクセスは実質的に不可能である。検査手段120は、検査用乱数記憶手段1202に記録された乱数列のコピーから、送信元に対応する乱数列の乱数を順次取り出し、署名と比較することにより、署名の正当性を確認する。
【0089】
なお、乱数列のサイズは、例えば、毎回4バイトの乱数を使い、制御装置が毎秒10回データを送信する場合、1年間では、次のように、1.26GBとなる。
【数2】
4×10×3600×24×365=1.26GB
【0090】
この程度のサイズの乱数列であれば、乱数記憶手段として小型のハードディスク装置、Flash ROMを使えば十分記憶できる。なお、コストダウンのために乱数記憶手段の容量を小さくするような場合には、同じ乱数列を繰返して使ってもよい。
【0091】
(作用効果)
以上のような本実施形態によれば、制御装置と検査手段とで、予め記録された同一の乱数列を使用することにより、制御装置側では、送信されるデータごとに異なる乱数を署名として埋め込むことができる一方で、検出手段側では、データごとに異なる署名の正当性を確実に検査することができる。したがって、データの正当性について、信頼性の高い検査を行うことができる。
【0092】
(第6の実施形態)
(構成)
図13は、本発明を適用したプラントネットワーク健全性診断装置の第6の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、検査手段120を、異なる命令セットを実装した2つのマイクロプロセッサを使用した2つの検査部121,122から構成したものである。
【0093】
(作用効果)
以上のような構成を有する本実施形態においては、次のような作用効果が得られる。すなわち、検査手段120は、一般的にマイクロプロセッサによって実現されるが、バッファオーバーフローと呼ばれる不正アクセス手法により、検査手段120そのものを攻撃される可能性がある。ここで、バッファオーバーフロー攻撃とは、検査手段120に用意されたデータの一時格納バッファの容量を超えるデータを一度に送り込み、溢れたデータの部分にマイクロプロセッサの命令を書いておき、この部分を実行させるものである。
【0094】
このようなバッファオーバーフロー攻撃に対し、本実施形態のように、異なる命令セットを持つ2つの検査部121,122の使用は有用である。すなわち、一方の検査部にとって命令となるデータは、もう一方の検査部にとっては単なるデータにすぎないため、一回のバッファオーバーフロー攻撃では、異なる命令セットを持つ2つの検査部121,122を同時に攻撃することはできない。したがって、本実施形態によれば、不正なアクセスによって検査手段120が機能停止に陥るような不都合を防止することができ、検査手段120の信頼性を向上することができる。
【0095】
(第7の実施形態)
(構成)
図14は、本発明を適用したプラントネットワーク健全性診断装置の第7の実施形態を示すブロック図である。本実施形態は、前記第1の実施形態において、検査手段120に、定周期データ検査手段130に加えて、この定周期データ検査手段130で測定されたフレーム周期の統計データについて長期的な傾向を検査するための統計データ検査手段150を設けたものである。
【0096】
(動作手順)
統計データ検査手段150は、図15に示すように、定周期で送信されるフレームごとに統計データ1501〜1504を保存する。ここで、保存する統計データは、例えば、「一日毎の周期の平均」、「一日毎の周期の分散」、「一日毎の周期異常数」、「一日毎のデータ欠損数」、等のデータである。統計データ検査手段150は、蓄積した統計データを、数ヶ月から数年の長期に亘って定期的に調べ、一日ごとの周期の分散(揺らぎ)が大きくなっている場合には、送信元の制御装置に何らかの異常兆候があるものと判定する。
【0097】
(作用効果)
以上のような本実施形態によれば、定周期で送信されるデータの送信周期について、長期間に亘る傾向を容易に検査することができる。
【0098】
(第8の実施形態)
(構成)
図16は、本発明を適用したプラントネットワーク健全性診断装置の第8の実施形態を示すブロック図である。本実施形態は、前記第7の実施形態において、第1、第2のリピータ1601,1602によってプラントネットワークを2重化し、統計データ検査手段150によって、2重のネットワークにそれぞれ送信されるフレームの送信周期の相関を検査するようにしたものである。この場合、制御装置101A〜101Cおよびオペレータコンソール105は2つのネットワークインタフェースを持ち、それぞれのネットワークインタフェースには別のネットワークアドレスが与えられる。
【0099】
(動作手順)
データ収集手段110は、第1、第2のリピータ1601,1602の両方からデータを収集するが、同じ制御装置101Aから送信されたフレームでも、第1のリピータ1601に送られたものと第2のリピータ1602に送られたものでは送信元のアドレスが異なる。
【0100】
そこで、図17に示すように、本実施形態においては、定周期データ検査手段130のフレームデータベース133に記録されるフレーム基本情報1701〜1708中に、送信元アドレスだけでなく、送信元のホストである制御装置を示す記号「101A」、「101B」、「101C」を追加している。なお、図17で送信元および送信先のアドレスとして記されている「A1」、「B1」、「C1」はそれぞれ、制御装置101A〜101Cの第2のネットワークにおけるアドレスである。
【0101】
統計データ検査手段150は、長期間に亘ってフレーム送信の周期を検査する際、同一の制御装置から2つのネットワークに送信されるフレームの周期の相関を判定する。同じIDのフレームに対して2重化ネットワークの両方の周期が乱れていれば、制御装置の異常の可能性が高く、一方の周期だけが乱れていればネットワークを構成するリピータや他の制御装置が異常である可能性が高いと判定できる。
【0102】
(作用効果)
以上のような本実施形態によれば、プラントネットワークを2重化することにより、ネットワークの信頼性を向上することができる。また、同じ制御装置から送信される同じデータについて、2重ネットワークの両方の周期が乱れているか、一方の周期だけが乱れているか等に応じて、ネットワーク中における異常の可能性の高い部分を容易に特定できるため、異常の分析をより詳細に行うことができる。
【0103】
(第9の実施形態)
本発明を適用した第9の実施形態として、前記各実施形態のいずれかにおいて、検査手段120の定周期データ検査手段130により、所定の時間内における定周期データの送信周期を測定し、その測定結果に基づいて、フレームデータベース133中のフレーム基準情報のデータ送信周期や周期誤差の自動設定を行うように構成してもよい。
【0104】
例えば、500秒間に亘り周期を測定し、送信元「A」、「ID=1」のフレームが998個受信され、平均周期が0.501秒、標準偏差が0.002秒になった場合には、図5に示すフレームデータベース133中のフレーム基準情報501の周期を0.501秒、周期誤差を測定された標準偏差の4倍の0.008秒に更新する。
【0105】
以上のような本実施形態によれば、検査手段によるデータの送信周期の測定結果に基づいて、検査手段で使用する基準情報中の送信周期を自動的に随時設定、更新することができるため、基準情報の見直し作業といった人間系の作業を簡略化または省略することができる。
【0106】
(第10の実施形態)
本発明を適用した第10の実施形態として、前記第4の実施形態において、プラントネットワークを遠隔地にある保守装置に接続し、プラントネットワーク内の装置と遠隔地の保守装置との間の非定周期データを非定周期データ検査手段140によって検査するように構成してもよい。この場合には、パケットデータベース144に遠隔地にある保守装置のIPアドレスを含む基準情報を記録する。しかしながら、遠隔地との接続においてアプリケーションゲートウェイ型のファイアウォールを用いる場合は、ファイアウォールのIPアドレスを使用する。
【0107】
以上のような本実施形態によれば、プラントネットワークを遠隔地にある保守装置に接続した場合についても、その保守装置と、ネットワーク内の装置との間の非定周期データの異常を検出することができるため、ネットワーク内の装置を遠隔地の保守装置から適切に保守することができる。
【0108】
(他の実施形態)
なお、本発明は、前記実施形態に限定されるものではなく、本発明の範囲内で他にも多種多様な形態が実施可能である。まず、本発明は、プラントネットワークの具体的な機器構成や伝送方式に限らず、複数の制御装置を接続してなる各種のプラントネットワークに広く適用可能である。
【0109】
そして、本発明のデータ収集手段や検査手段等の各部分の具体的な構成は適宜選択可能である。また、プラントネットワーク内で送信されるデータの具体的なデータ構造に応じて、検査内容や手順も適宜選択可能であり、さらに、送信されるデータのデータ構造や検査内容等に応じて、記録される基準情報のデータ構造もまた適宜選択可能である。
【0110】
【発明の効果】
以上のように、本発明によれば、既存のプラントネットワーク自体の構成をほとんど変更せずに、制御装置を接続するネットワークを流れるデータを監視して、制御装置の異常を判定すると共に不正なアクセスを発見し、ネットワークを経由して現場の外へ通報可能なプラントネットワーク健全性診断装置とその方法を提供することができる。
【図面の簡単な説明】
【図1】本発明を適用したプラントネットワーク健全性診断装置を設置した第1の実施形態を示すブロック図。
【図2】図1に示すプラントネットワーク健全性診断装置の構成を示すブロック図。
【図3】図1に示すプラントネットワーク健全性診断装置の動作手順の概略を示すフローチャート。
【図4】図2に示すフレームキューのデータ構造の一例を示すデータ構造図。
【図5】図2に示すフレームデータベースに記録されているフレーム基準情報の一例を示すデータ構造図。
【図6】図2に示すフレーム検査部による処理方式の一つの手順を示すフローチャート。
【図7】図2に示すフレーム検査部による処理方式の別の手順を示すフローチャート。
【図8】本発明を適用したプラントネットワーク健全性診断装置の第2の実施形態を示すブロック図。
【図9】本発明を適用したプラントネットワーク健全性診断装置の第3の実施形態を示すブロック図。
【図10】本発明を適用したプラントネットワーク健全性診断装置の第4の実施形態を示すブロック図。
【図11】図10に示すパケットデータベースに記録されている非定周期データの送信シーケンスグラフの一例を示す図。
【図12】本発明を適用したプラントネットワーク健全性診断装置の第5の実施形態を示すブロック図。
【図13】本発明を適用したプラントネットワーク健全性診断装置の第6の実施形態を示すブロック図。
【図14】本発明を適用したプラントネットワーク健全性診断装置の第7の実施形態を示すブロック図。
【図15】図14に示す統計データ検査手段が保存する統計データの一例を示すデータ構造図。
【図16】本発明を適用したプラントネットワーク健全性診断装置の第8の実施形態を示すブロック図。
【図17】図16に示す定周期データ検査手段に保存されるフレーム基本情報の一例を示すデータ構造図。
【図18】プラントネットワークの典型的な構成例を示すブロック図。
【図19】Ethernetのフレームの構造を示すデータ構造図。
【符号の説明】
101A〜101C…制御装置
102A〜102C…センサ
103A〜103C…アクチュエータ
104,1601,1602…リピータ
105…オペレータコンソール
110,110A〜110D…データ収集手段
111…ネットワークインタフェースカード(NIC)
112…時刻付加部
113…タイマ
120…検査手段
121,122…検査部
130…定周期データ検査手段
131…フレームキュー
132…フレーム検査部
133…フレームデータベース
140…非定周期データ検査手段
141…パケット抽出部
142…パケットキュー
143…パケット検査部
144…パケットデータベース
150…統計データ検査手段
201…送信先アドレス
202…送信元アドレス
203…プロトコル型
204…データ部
205…フレームチェック
401〜409…フレーム
501〜504…フレーム基準情報
801…スイッチ
802A〜802D…リピータ
1101〜1105…非定周期データ
1201A〜1201D…乱数記憶手段
1202…検査用乱数記憶手段
1501〜1504…統計データ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an apparatus and method for diagnosing the health of a plant network.
[0002]
[Prior art]
In a process plant such as a power plant, control devices are connected through a network, and each control device transmits data to other control devices at a constant cycle.
[0003]
FIG. 18 is a block diagram illustrating a typical configuration example of a plant network. Each of the control devices 101A to 101C is connected with an individual sensor 102A to 102C for measuring a process amount of the plant and an individual actuator 103A to 103C for controlling a plant valve or pump. Each control device exchanges data with each other or with the operator console 105 through the network. The operator console 105 is a device for the plant operator to monitor the state of the plant and to send an operation command to the control device.
[0004]
As an implementation of the plant network, in FIG. 18, Ethernet (IEEE 802) is used, and the control devices 101 </ b> A to 101 </ b> C and the operator console 105 are connected in a star shape via the repeater 104. The repeater 104 transmits a signal transmitted from one of the control devices or the operator console 105 to all devices (control device and operator console) connected to the network.
[0005]
A signal transmitted by all devices connected to the Ethernet has a format defined by a standard, and is configured in units of frames with a limited length. FIG. 19 shows a frame format. In each frame, a transmission destination address 201 and a transmission source address 202 are recorded. The address is a 48-bit numeric value in Ethernet. Following the address is a protocol type 203, a data portion 204, and a frame check 205. Of these, data to be transmitted by the device is stored in the data section 204.
[0006]
As described above, the repeater 204 transmits a frame sent from one of all connected devices, that is, the control devices 101A to 101C and the operator console 105, to all devices. Therefore, the device connected to the repeater 104 receives all frames transmitted by other control devices, but discards frames whose destination address is not addressed to itself. In addition, the transmission destination address includes a broadcast address whose transmission destination is all apparatuses and a multicast address whose transmission destination is a specific group.
[0007]
In general, a process plant control device periodically inputs sensor signals, receives data from other control devices, processes data, outputs signals to actuators, and transmits data to other control devices. The transmission cycle to the network corresponds to the processing cycle of the control device. Further, the transmission cycle of each control device depends on the progress speed of the process targeted by the control device, and is several tens of milliseconds for a fast process and several seconds for a slow process.
[0008]
By the way, when some abnormality occurs in the control device, data may not be transmitted at all or a predetermined transmission cycle may not be observed. Conventionally, when an abnormality occurs in the control device, if the control device itself is in an abnormality that can be self-diagnosis, the lamp that notifies the abnormality of the control device panel is lit, and the abnormality is confirmed by checking the panel .
[0009]
Further, a malicious third party may connect an unauthorized device to the repeater and transmit an unauthorized operation signal from this device to the control device. Further, although not depicted in FIG. 18, when a plant network has some contact with an external network, a malicious third party may transmit an unauthorized operation signal through the contact. I can't deny it. Conventionally, in order to prevent such unauthorized access by a malicious third party, a method of blocking a plant network from an external network by a firewall has been taken.
[0010]
[Problems to be solved by the invention]
However, the conventional plant network as described above has the following problems.
[0011]
First, when abnormalities that cannot be diagnosed by the control device itself or abnormalities including the self-diagnosis function of the control device itself have occurred, it has been difficult to detect those abnormalities. Moreover, even if a lamp that informs the panel of an abnormality was lit by self-diagnosis, it could not be confirmed unless the plant maintenance staff went to the site where the control device was installed. Even when a firewall is used, no means for detecting unauthorized intrusion from an external network has been provided, although it is difficult to completely prevent unauthorized access.
[0012]
The present invention has been proposed in order to solve the above-described problems of the prior art, and its purpose is to provide a network for connecting control devices with almost no change in the configuration of the existing plant network itself. It is intended to provide a plant network health diagnostic apparatus and method capable of monitoring flowing data, determining an abnormality of a control apparatus, discovering unauthorized access, and notifying the outside of the site via a network.
[0013]
[Means for Solving the Problems]
  The present invention is connected to a plant network formed by connecting a plurality of control devices that receive data from other control devices, process data, and transmit data to other control devices at regular intervals. Data collecting means for receiving data transmitted as a frame in which the transmission source information, ID and transmission destination information of each of the control devices are recorded, and outputting the received frame as a time-added frame, An inspection unit that is directly connected to the data collection unit and inspects the transmission period of the frames collected by the data collection unit, and the ID includes a plurality of frames transmitted from each of the control devices.Group ofThe frame is divided intoidentificationThe data collection means adds a network interface for receiving the frame, a timer for outputting the reception time, and a reception time output by the timer to the received frame. A time adding unit that records the timed frame directly input from the data collecting unit, a transmission period of each frame, an allowable period error, a transmission source, a transmission When a frame database that records frame reference information including a destination and an ID, and a frame recorded in the frame queue, a transmission source address and a frame corresponding to this frame are assigned an IDWhen the frame reference information including the ID is searched and frame reference information having the same source address and the same ID is not detected, the transmission destination in the frame and the frame reference information is different, orPeriod error in which frame transmission period is allowedWithin the allowable rangeIf notRecorded in the frame queueAnd a frame inspection unit for detecting an abnormality of the frame.
[0019]
  The invention of claim 11 grasps the invention of claim 1 from the viewpoint of the method, and performs reception of data from other control devices, processing of data, and transmission of data to other control devices in a fixed cycle. Connected to a plant network formed by connecting a plurality of control devices, receives data transmitted as frames in which the transmission source information, ID, and transmission destination information of each of the control devices are recorded on the plant network. A data collection step for outputting a timed frame with a time added to the frame and an inspection step for examining a transmission cycle of the frame collected by the data collection step, wherein the ID is transmitted from each of the control devices. Multiple framesGroup ofThe frame is divided intoidentificationThe data collection step includes a time addition step of receiving the frame and adding a reception time to the received frame by a timer that outputs the reception time. The inspection step includes a step of recording the frame with time directly input by the data collection step in a frame queue, and a frame including a transmission cycle, an allowable cycle error, a transmission source, a transmission destination, and an ID of each frame. A step of recording the reference information in the frame database, and, for a frame recorded in the frame queue, when a transmission source address and a frame corresponding to this frame are assigned an IDWhen the frame reference information including the ID is searched and frame reference information having the same source address and the same ID is not detected, the transmission destination in the frame and the frame reference information is different, orPeriod error in which frame transmission period is allowedWithin the allowable rangeIf notRecorded in the frame queueAnd a frame inspection step for detecting an abnormality of the frame.
[0022]
According to the invention as described above, all the data transmitted on the plant network is collected, and the collected data is compared with reference information recorded in advance, and data specifying information such as a transmission source address and a data ID The data can be classified based on the data, and it can be checked whether or not each classified data is transmitted from a correct transmission source at a correct cycle. In addition, by including various types of information in the data specifying information, whether the data transmission cycle is within an allowable error range, whether the data is being transmitted to the correct destination, or whether the data is valid Various inspections can be performed according to information such as whether there is any.
[0023]
  Claim12The invention of claim11In the plant network soundness diagnostic method, the inspection step includes a reference information search step and a period comparison step. Here, the reference information search step searches the reference information, makes the data to be newly inspected from the data collected in the data collection step the current data, and whether there is reference information corresponding to the current data This is a step of determining whether or not. Further, in the period comparison step, when there is reference information corresponding to the current data, based on the reference information, the previous data including the same data specifying information as the current data is set as the previous data, and the current data and In this step, it is determined whether or not the difference in communication time with the previous data is within the range of errors allowed in the transmission cycle.
[0024]
  Claim13The invention of claim11Or claims12In the plant network soundness diagnostic method, the inspection step includes a reference information search step, a time setting step, and a next data search step. Here, the reference information retrieval step is a claim.12This is the same as the reference information search step in the invention. The time setting step is a step of setting a time for starting a search for the next data including the same data specifying information as the current data based on the reference information when the reference information corresponding to the current data exists. is there. In the next data search step, the next data search is started at the time set in the time setting step, and the next data exists within the range of errors allowed in the transmission cycle with respect to the communication time of the current data. This is a step of determining whether or not.
[0025]
According to the invention as described above, it is possible to search for reference information corresponding to current data, and to immediately detect an abnormality in data when there is no corresponding reference information. If there is reference information corresponding to the current data, the reference information is used to search for previous data and next data of the same type transmitted from the same transmission source, and to the transmission cycle and data in the reference information. An abnormality in the data transmission cycle can be easily detected based on the included communication time. In addition, when the next data search is started at a time set based on the communication time of the current data and the recorded transmission cycle, it is possible to detect an abnormality in which the control device does not transmit data at all.
[0026]
  Claim2The invention ofThe plant network includes a plurality of control devices connected via a switch, and includes a plurality of repeaters that distribute the output from the switch to the plurality of control devices and the data collecting means.Each of the plurality of repeaters is associated with each of the plurality of control devices, each repeater is connected to each output port of the switch, and the output of each repeater is respectively sent to the corresponding control device and the data collecting means. It is connected.
  Claim3The invention of claim2In the plant network health diagnostic apparatus, the data collection means includes a plurality of data collection means respectively connected to outputs of the plurality of repeaters.Do.
[0027]
According to the invention as described above, even when a plurality of control devices are connected by a switch, by connecting individual repeaters for each control device, all data transmitted from all the control devices, Regardless of the transmission destination, it can be reliably collected. In addition, by connecting multiple control devices with a switch, data destined for a single control device can only occupy one output port of the switch, and other output ports can be used to transmit other data. Since it is possible, data can be transmitted simultaneously from a plurality of control devices. Therefore, the communication efficiency within the plant network can be improved. Furthermore, since each repeater is connected to an individual data collection unit, the burden on the individual data collection unit is reduced. Therefore, even when data is simultaneously transmitted from a plurality of control devices, a simple module is used. Data collection means can be realized.
[0028]
  Claim4The invention of claim 1 to claim 13In any one of the plant network health diagnostic apparatuses, the inspection means includes non-periodic data inspection means. Here, when there is a control device that transmits non-periodic data among a plurality of control devices, the non-periodic data inspection means is recorded in advance including data specifying information of the non-periodic data and transmission sequence information thereof. The data is inspected by comparing the transmission sequence of non-periodic data collected by the data collection means and the information contained in the data with the reference information using the reference information obtained.A non-periodic data inspection means is included.
[0029]
According to the present invention, the non-periodic data collected by the data collection means is extracted as a packet in the upper layer of the network by the non-periodic data inspection means, and the transmission sequence of each packet is compared with the transmission sequence information recorded in advance. By doing so, it is possible to check whether or not the non-periodic data is transmitted in the correct sequence. Therefore, the abnormality can be easily detected even for non-constant period data having no transmission period.
[0030]
  Claim5The invention of claim4When the non-periodic data inspection means connects the plant network to a remote maintenance device, the non-periodic data between the maintenance device and the devices in the plant network is obtained. With features configured to inspectDo.
  According to this invention, even when the plant network is connected to a remote maintenance device, it is possible to detect anomalies in non-periodic data between the maintenance device and the devices in the network. Can be properly maintained from a remote maintenance device.
[0031]
  Claim6The invention of claim 1 to claim 15In any of the plant network health diagnostic apparatuses, the configuration of the plurality of control devices and the inspection means is characteristic. That is, each of the plurality of control devices uses a pre-recorded random number sequence, takes out random numbers in order from the random number sequence, and serves as a signature for indicating the validity of the data in the data transmitted by the control device. Configured to embed. In addition, the checking means uses the same pre-recorded random number sequence as the random number sequence, extracts the random number in order from this random number sequence, and compares the data with the signature embedded in the data to check the validity of the data. Configured to do.
[0032]
According to this invention, by using the same random number sequence recorded in advance by the control device and the inspection means, the control device side can embed different random numbers as signatures for each data to be transmitted. On the detection means side, it is possible to reliably check the validity of a signature that is different for each data. Therefore, it is possible to perform a highly reliable inspection on the validity of data.
[0033]
  Claim7The invention of claim 1 to claim 16In any one of the plant network soundness diagnosis apparatuses, the inspection means includes two inspection units. Here, the two inspection units are configured using two microprocessors mounted with different instruction sets.
  According to the present invention, even when one of the two inspection units is attacked by unauthorized access including data serving as an instruction, the other inspection unit can be protected from attack. It is possible to prevent the inconvenience that the inspection means falls into a function stop.
[0034]
  Claim8The invention of claim 1 to claim 17In any one of the plant network health diagnostic apparatuses, the inspection means includes statistical data inspection means. Here, the statistical data inspection means is means for accumulating information relating to the transmission period of data transmitted at a fixed period and inspecting the fluctuation of the period in a specified period.
  According to the present invention, it is possible to easily inspect a tendency over a long period of time for a transmission cycle of data transmitted at a fixed cycle.
[0035]
  Claim9The invention of claim 1 to claim 18In any one of the plant network health diagnostic apparatuses, the inspection means measures the transmission cycle within the specified time for the data transmitted at a fixed cycle, and the transmission cycle included in the reference information based on the measurement result It is characterized by being configured to set.
  According to the present invention, the transmission period in the reference information used by the inspection unit can be automatically set and updated as needed based on the measurement result of the data transmission cycle by the inspection unit. Such a human work can be simplified or omitted.
[0036]
  Claim 10The invention of claim9In the plant network soundness diagnosis apparatus, the repeater includes first and second repeaters, and the configuration of the plant network and the statistical data inspection means has the following characteristics. That is, the plant network is duplicated by a first network that connects a plurality of control devices via a first repeater and a second network that connects the plurality of control devices via a second repeater. . The statistical data checking means is configured to check the correlation between the transmission periods of the data transmitted from the control device to the first and second networks for each of the plurality of control devices.
[0037]
According to this invention, the reliability of a network can be improved by duplicating a plant network. In addition, if both cycles of the double network are disturbed for the same data transmitted from the same control device, it can be determined that there is a high possibility of abnormality of the control device, and only one cycle of the network is disturbed. Then, since it can be determined that there is a high possibility that the repeater and other control devices constituting the network are abnormal, it is possible to analyze the abnormality in more detail.
[0038]
DETAILED DESCRIPTION OF THE INVENTION
(First embodiment)
(Constitution)
FIG. 1 is a block diagram showing a first embodiment of a plant network health diagnostic apparatus in which the present invention is applied to a plant network using Ethernet.
[0039]
As shown in FIG. 1, the configuration of the plant network itself is the same as that of the prior art shown in FIG. That is, the individual sensors 102A to 102C and the individual actuators 103A to 103C are connected to the control devices 101A to 101C, respectively. It is connected. Further, in the network, a fixed frame made up of a transmission destination address 201, a transmission source address 202, a protocol type 203, a data unit 204, and a frame check 205 as shown in FIG. It is the same.
[0040]
In the plant network as described above, the plant network health diagnosis apparatus according to the present embodiment is configured by directly connecting the data collection unit 110 to the repeater 104 and directly connecting the inspection unit 120 to the data collection unit 110. Yes. Among these, the data collection unit 110 is a unit that collects data transmitted on the plant network, and is connected directly to the repeater 104 so that all frames transmitted to the plant network can be received and collected. It has become. The inspection unit 120 is a unit that inspects the data collected by the data collection unit 110 and compares the frames transmitted at a fixed period with pre-recorded frame reference information to perform a frame inspection. Data inspection means 130 is included.
[0041]
FIG. 2 is a block diagram showing the configuration of the plant network health diagnostic apparatus. The data collection unit 110 includes a network interface card (NIC) 111, a time addition unit 112, and a timer 113. The periodic data inspection unit 130 of the inspection unit 120 includes a frame queue 131, a frame inspection unit 132, a frame database. 133.
[0042]
(Operation procedure)
FIG. 3 is a flowchart showing an outline of the operation procedure of the data collection unit 110 and the inspection unit 120. As shown in FIG. 3, in the data collection means 110, the frame sent from the repeater 104 (YES in S301) is temporarily stored in a buffer inside the NIC 111 (S302). When the frame is stored in the buffer in the NIC 111, the time adding unit 112 reads the frame from the NIC 111, acquires the current time with reference to the timer 113, adds the current time to the read frame, and sends the frame to the inspection unit 120. (S303).
[0043]
Further, in the inspection unit 120, the time-added frame data sent from the data collection unit 110 is recorded in the frame queue 131 of the periodic data inspection unit 130 (S304). The frame queue 131 is a FIFO buffer that records frames with time. The frame checking unit 132 checks the frames recorded in the frame queue 131 in order from the latest one, and checks the soundness of the network based on the frame reference information recorded in the frame database 133 (S305).
[0044]
FIG. 4 shows an example of the data structure of the frame queue 131, in which sequentially recorded frames 401 to 409 are arranged in the recording order. That is, in FIG. 3, the top frame 401 is the latest frame, and the bottom frame 409 is the oldest frame. In this frame queue, each frame is prefixed with a reception time (communication time) and stored in a format of “reception time, transmission destination, transmission source, data”.
[0045]
For example, the bottom frame 401 indicates that the transmission was performed from the transmission source A to the transmission destination ALL (all devices connected to the network) at the time “01: 23: 32.255”. Yes. Reference numerals “A”, “B”, and “C” shown in the transmission source and the transmission destination are addresses. In recording such a frame, each piece of information after the transmission destination is stored as it is, so that no extra processing is required.
[0046]
As for the time addition method, instead of adding the time by the data collecting means 110, as a modified example, when transmitting a frame from the control devices 101A to 101C, it is added in advance to the inside of the data portion 204 of the frame. It is also possible to adopt a method of placing.
[0047]
FIG. 5 shows an example of the frame reference information recorded in the frame database 133. That is, information in the format of “frame transmission period, allowable period error, transmission source, transmission destination, ID, signature” is recorded in the frame database 133 as the frame reference information 501 to 504 of each frame. . Frames transmitted from the control apparatuses 101A to 101C may be divided into a plurality of groups as necessary, and ID is used to distinguish them.
[0048]
The ID is data written as a part of the data portion 204 of the frame. In the frame reference information 501 and 502 in FIG. 5, the frames with ID = 1 and ID = 2 are respectively sent from the transmission source A. It is shown that the data is transmitted with a period of 0.5 sec and 1.0 sec. That is, the frame is identified by the transmission source and the ID.
[0049]
Further, in order to confirm the soundness and correctness of the frame, a signature can be put in the data portion 204. In the Ethernet standard, an FCS (Frame Check Sequence) is added to the end of the frame, and the soundness of the frame can be inspected to some extent. However, for more strict inspection and detection of unauthorized access, the encrypted message digest function MD5 A signature using (RFC1321) can also be embedded in the data part 204 by the control device.
[0050]
When a new frame arrives at the frame queue 131, the frame inspection unit 132 of the periodic data inspection unit 130 checks the frames recorded in the frame queue 131 in order from the latest one, and the frames recorded in the frame database 133 Inspect the frame based on the reference information. 6 and 7 are flowcharts showing procedures of two types of processing methods as the processing method of the frame inspection unit 132, and correspond to the subroutine of S305 in FIG. Hereinafter, processing for the frame of FIG. 4 and the frame reference information of FIG. 5 will be described.
[0051]
In the processing method shown in FIG. 6, the frame reference information related to the latest frame 401 is searched from the frame database 133 based on the transmission source and ID of the latest frame 401 shown in FIG. 4 (S601). Here, when the frame reference information regarding the frame 401 is not found (YES in S602), it is determined that there is an abnormality because a frame that should not exist originally has been received (S603). In this example, since the transmission source of the frame 401 is “A” and the ID is “1”, the frame reference information including the same information, that is, the frame reference information 501 shown in FIG. 5 is found (NO in S602). Proceed to the next Step S604.
[0052]
In step S604, the transmission destination and signature of the frame 401 are compared with the transmission destination and signature of the frame reference information 501. Here, if either the transmission destination or the signature does not match (YES in S605), an invalid frame including a signature addressed to a transmission destination different from the original transmission destination or a signature different from the original signature has been received. Therefore, it is determined as abnormal (S606). In this example, the transmission destination of the frame 401 is “ALL” and the signature is “yyyy”, which matches the frame reference information 501 (NO in S605), so the process proceeds to the next step S607.
[0053]
In step S607, the frame queue 131 shown in FIG. 4 is traced, the previous frame having the same transmission source and ID as the frame 401 is searched, the difference between the reception times of both frames, the transmission cycle and the cycle of the frame reference information 501 Compare errors. Here, if the difference in the reception time is outside the allowable cyclic error range (NO in S608), it is determined that the transmission cycle is abnormal (S609). In this example, the frame 404 is obtained as the previous frame of the frame 401, and the difference between the reception times of the frames 401 and 404 is 0.502 seconds, whereas the transmission cycle of the frame reference information 501 is 0.5 seconds. Since the allowable cyclic error is 0.01 seconds, the difference between the reception times of both frames 401 and 404 is determined to be within the allowable cyclic error range (YES in S608). As a result, it is determined that the transmission of the frame 401 is sound (S610).
[0054]
In the case of the frame 402, since the transmission source is “C”, the frame reference information 504 is found, the transmission destination is “ALL”, and the signature is “uuuu”, so the previous frame 407 is obtained, The difference between the reception times of both frames 402 and 407 is compared with the transmission period and period error of the frame reference information 504. In this case, the difference between the reception times of both frames 402 and 407 is 1.07 seconds, whereas the transmission period and the period error of the frame reference information 504 are 1.0 seconds and 0.02 seconds, respectively. The reception time difference is determined to be outside the allowable range (NO in S608), and as a result, it is determined that the transmission of the frame 402 is abnormal (S609).
[0055]
The inspection process of the processing method shown in FIG. 6 as described above is executed by a single thread that is activated when a frame arrives. On the other hand, in the processing method shown in FIG. 7, there are two threads: an unregistered inspection thread that is activated upon arrival of a frame, and a transmission abnormality inspection thread that is activated by a timer interrupt at the time set by the unregistered inspection thread. Thus, independent inspection processes A and B are performed in parallel.
[0056]
As shown in FIG. 7, the unregistered inspection thread is activated upon arrival of a frame and performs inspection processing A on the latest arrived frame. The procedure of steps S701 to S703 in this inspection processing A is shown in FIG. Steps S601 to S603 are the same. That is, frame reference information relating to the latest received frame 401 is searched (S701), and if it is not found (YES in S702), a frame that should not originally exist has been received, so it is determined as abnormal ( In this example, since the frame reference information 501 is found (NO in S702), the process proceeds to the next step S704.
[0057]
In step S704, the activation of a transmission abnormality inspection thread for examining a frame scheduled to arrive next time having the same transmission source and ID as the latest frame (F) 401 is set. The activation time T in this case is a time obtained by adding a transmission cycle and a period error of the frame reference information 501 to the current time, and is an upper limit (reception timeout time) of the arrival time of the next frame. When the unregistered inspection thread finishes the activation set of the transmission abnormality inspection thread, the process is temporarily terminated, is activated every time the frame arrives, and repeats the inspection process A in steps S701 to S704.
[0058]
The transmission abnormality inspection thread is activated at the activation time T set by the unregistered inspection thread and performs the inspection process B. In this inspection process B, first, frames having the same transmission source and ID as the frame (F) 401 in step S704 are traced back in order from the newest one in the frame queue 131, and the period error set in the frame reference information 501 is detected. A check is made in the double range (S711). If there is no corresponding frame within this error range (NO in S712), it is determined that the frame transmission is abnormal (S713), and if there is a corresponding frame within this error range (YES in S712), the frame Is determined to be healthy (S714). When the transmission abnormality inspection thread finishes the determination, the transmission abnormality inspection thread ends the process, starts at each set activation time, and repeats the inspection process B in steps S711 to S714.
[0059]
A specific time chart of the processing by the two threads as shown in FIG. 7 is determined by the interval between the arrival times of frames and the set activation time (reception timeout time). For example, the following Table 1 shows an example of a time chart when the frame arrival time interval is 1 second and the reception timeout time is set 1.2 seconds after the frame arrival time.
[0060]
[Table 1]
Figure 0004326768
[0061]
(Function and effect)
According to the present embodiment as described above, all data transmitted on the plant network is collected, and the collected data is compared with reference information recorded in advance, and data such as a transmission source address and data ID is collected. Classification is performed based on the specific information, and it is possible to check whether or not each classified data is transmitted from a correct transmission source at a correct cycle. Therefore, without changing the configuration of the existing plant network itself, the data flowing through the network connecting the control devices is monitored to determine abnormalities in the control devices and to detect unauthorized access via the network. You can report outside the field.
[0062]
Further, by adding the time collected at the time of data collection as the communication time, it is possible to grasp the possibility of an abnormality when a delay occurs during transmission. In addition, by including information such as an error that is allowed in the transmission cycle, a destination address, and a signature in the data specifying information, the data transmission cycle is within the allowable error range, or the data is transmitted correctly. It is possible to check whether the data is transmitted to the destination or whether the data is valid. Therefore, it is possible to easily identify a portion that is highly likely to have an abnormality in the plant network in accordance with various types of abnormality in the data.
[0063]
Further, according to the processing procedure shown in FIGS. 6 and 7, the latest information is used as current data, the reference information corresponding to the data is searched, and when there is no corresponding reference information, the abnormality of the data is detected immediately. Can do. If there is reference information corresponding to the current data, the reference information is used to search for previous data and next data of the same type transmitted from the same transmission source, and to the transmission cycle and data in the reference information. An abnormality in the data transmission cycle can be easily detected based on the included communication time. In addition, as shown in FIG. 7, when the next data search is started at the time set based on the communication time of the current data and the recorded transmission cycle, the control device may not transmit any data. Can be detected.
[0064]
(Second Embodiment)
(Constitution)
FIG. 8 is a block diagram showing a second embodiment of a plant network health diagnostic apparatus in which the present invention is applied to a plant network using switches. In the present embodiment, the control devices 101A to 101C and the operator console 105 are connected in a star shape via the switch 801. Unlike the repeater 104, the switch 801 transmits the received frame based on the transmission destination address. For example, a frame having a transmission destination address “A” indicating that the transmission destination is the control apparatus 101A is not output to a port to which an apparatus other than the control apparatus 101A is connected. Therefore, the data collection unit 110 cannot collect frames whose destination address is other than ALL only by replacing the repeater 104 in FIG. 1 with the switch 801 and connecting the data collection unit 110.
[0065]
Therefore, in the plant network health diagnostic apparatus of this embodiment, the repeaters 802A to 802D corresponding to the control devices 101A to 101C and the operator console 105 are connected to the output ports of the switch 801, respectively. The outputs of the repeaters 802A to 802D are connected to the corresponding control devices 101A to 101C and the operator console 105, respectively, and branched to the data collecting means 110, respectively.
[0066]
In the configuration of FIG. 8, when the network is configured with half-duplex Ethernet, the repeaters 802 </ b> A to 802 </ b> D transmit frames twice to the data collection unit 110. For example, a frame transmitted from the control apparatus 101A to the control apparatus 101B is branched from the repeater 802A to the data collection means 110, and after the same frame is transmitted from the switch 801 to the control apparatus 101B, the data collection means from the repeater 802B. This is because it branches to 110.
[0067]
Therefore, in the periodic data inspection unit 130 of the inspection unit 120 of the present embodiment, the inspection is performed in such a manner that the subsequent frames out of the double frames collected by the data collection unit 110 are ignored. One method is a method of discarding the subsequent frame of the double frame by the frame queue 131 of the periodic data inspection unit 130. In this method, when the frame queue 131 receives frames having the same transmission destination, transmission source, and data at intervals as short as the delay time of the switch 801 (several hundreds of microseconds in the case of 100 Mbps Ethernet), Discard the frame.
[0068]
Further, a method of ignoring the subsequent frame of the double frame by the frame inspection unit 132 of the periodic data inspection unit 130 is also possible. In this method, the frame queue 131 records all received frames, but the frame inspection unit 132 has a sufficiently short difference in frame reception time compared to the frame transmission period recorded in the frame database 133. If it is determined that the frame is a late arrival frame of the double frame, the subsequent arrival frame is ignored. Then, the actual transmission cycle is obtained as the time difference of only the first-arrived frame, and the frame is inspected.
[0069]
When the network is configured with full-duplex Ethernet, dedicated cables for transmission and reception are connected from the switch 801 to each device, so the repeaters 802A to 802D are connected only to the reception cable. By doing so, an accurate transmission cycle can be obtained. Although it is almost the same when connected to the transmission cable of the switch 801, there is a possibility that the transmission period to be inspected is affected by the delay in the switch 801.
[0070]
(Function and effect)
According to the present embodiment as described above, even when a plurality of control devices are connected by a switch, all data transmitted from all the control devices can be obtained by connecting individual repeaters for each control device. Can be reliably collected regardless of the transmission destination. In addition, by connecting multiple control devices with a switch, data destined for a single control device can only occupy one output port of the switch, and other output ports can be used to transmit other data. Since it is possible, data can be transmitted simultaneously from a plurality of control devices. Therefore, according to this embodiment, the communication efficiency in a plant network can be improved.
[0071]
(Third embodiment)
(Constitution)
FIG. 9 is a block diagram showing a third embodiment of a plant network health diagnostic apparatus to which the present invention is applied. In the second embodiment, a plurality of data collection units 110A to 110D corresponding to the plurality of repeaters 802A to 802D are provided in the second embodiment, and the output of each repeater 802A to 802D is associated with each data collection unit 110A to 110D. It is comprised so that it may receive. Data collected by each of the data collection means 110A to 110D is transmitted to the inspection means 120. The connection between the data collection units 110A to 110D and the inspection unit 120 is not limited to Ethernet, and various high-speed transmission units such as IEEE 1394 can be used.
[0072]
(Function and effect)
According to the present embodiment, by connecting each repeater to an individual data collection unit, the burden on the individual data collection unit is reduced. Therefore, even when data is simultaneously transmitted from a plurality of control devices. The data collection means can be realized with a simple module.
[0073]
(Modification)
As a modification of the present embodiment, a configuration in which not only the data collection unit 110 but also a plurality of inspection units 120 are provided is possible. In that case, the configuration can be simplified by integrating the data collection means and the inspection means as a module.
[0074]
(Fourth embodiment)
(Constitution)
FIG. 10 is a block diagram showing a fourth embodiment of a plant network health diagnostic apparatus to which the present invention is applied. In this embodiment, in the first embodiment, the inspection unit 120 is provided with non-periodic data inspection unit 140 for inspecting non-periodic data in addition to the periodical data inspection unit 130. . The non-periodic data inspection unit 140 includes a packet extraction unit 141, a packet queue 142, a packet inspection unit 143, and a packet database 144.
[0075]
(Operation procedure)
When the non-periodic data inspection unit 140 receives a timed frame from the data collection unit 110, the packet extraction unit 141 extracts an IP packet belonging to the upper layer of the communication protocol from the timed frame. That is, the Ethernet frame received by the data collection unit 110 includes an IP packet in its data part, and one IP packet may be divided into a plurality of frames. The packet extraction unit 141 extracts such an IP packet and configures an IP packet according to the frame format.
[0076]
Note that the IP packet configured in this way includes the IP address of the transmission source and the transmission destination, but the packet extraction unit 141 uses the time added to the original frame for the IP packet. Add more. The IP packet with time obtained in this way is stored in the packet queue 142. Further, the logical format of the packet queue 142 is the same as the logical format of the frame queue 131 of the periodic data inspection unit 130.
[0077]
FIG. 11 shows an example of a transmission sequence graph of non-periodic data recorded in the packet database 144. In FIG. 11, each non-periodic data 1101 to 1105 transmitted in non-periodic is indicated by individual circles, and information about each data is “transmission source, destination, message, time-out” in each circle. ”. Here, the symbols “iA” and “iD” shown in the transmission source and the transmission destination are the IP addresses of the control device 101A and the operator console 105, and the arrows connecting the circles indicate the data transmission order.
[0078]
In the figure, only the transmission sequence of the non-periodic data transmitted between the control device 101A and the operator console 105 is shown, but the other control devices 101B and 101C are the sources of the non-periodic data. Alternatively, in the case of a transmission destination, a transmission sequence graph of non-periodic data including codes “iB” and “iC” is similarly recorded in the transmission source and the transmission destination. Further, non-constant period data may be transmitted not only between the control devices 101A to 101C and the operator console 105 but also between the control devices 101A to 101C.
[0079]
In FIG. 11, as for information on the non-periodic data 1101, a message (data) “X1” is transmitted from the transmission source “iD” to the transmission destination “iA”, and a response within 2 seconds is expected with “Timeout = 2”. It shows that. The message type is recorded as a symbol inside the data of the data IP packet. The response to the non-periodic data 1101 is non-periodic data 1102, and is transmitted within 2 seconds after the non-periodic data 1101 is transmitted. The information regarding the non-periodic data 1102 indicates that the message “Y1” is transmitted from the transmission source “iA” to the transmission destination “iD” and a response within 2 seconds is expected.
[0080]
The response to the non-periodic data 1102 is non-periodic data 1103. For this non-periodic data 1103, the message “X2” is transmitted from the transmission source “iD” to the transmission destination “iA” for 4 seconds. A response within is expected. Furthermore, the response to the non-periodic data 1103 is non-periodic data 1104 or non-periodic data 1105, and the message “Y2” or “Y3” is transmitted from the transmission source “iA” to the transmission destination “iD”, respectively. The
[0081]
When a new packet arrives at the packet queue 142, the packet inspection unit 143 of the non-periodic inspection unit 140 inspects the packet according to the description of the packet database 144. For example, when the message “X2” of the transmission source “iD” and the transmission destination “iA” arrives, information on the non-periodic data 1103 shown in FIG. 11 is obtained from the packet database 144 and transmitted before that. Information on non-periodic data 1102 is obtained. Then, the packet queue 142 is examined retrospectively, and data corresponding to the non-periodic data 1102 is searched.
[0082]
That is, it is checked whether there is a valid message “Y1” of the transmission source “iA” and the transmission destination “iD” in the past 2 seconds of the message “X2”. If there is such data, the newly arrived message “X2” is determined to be valid, but if there is no such data, it is determined to be abnormal, and an abnormal mark is put on the packet queue 142. .
[0083]
(Function and effect)
According to the present embodiment as described above, the non-periodic data collected by the data collection unit is extracted as an upper layer packet of the network by the non-periodic data inspection unit, and the transmission sequence of each packet is recorded in advance. By comparing with the transmission sequence information, it is possible to check whether the non-periodic data is transmitted in the correct sequence. Therefore, the abnormality can be easily detected even for non-constant period data having no transmission period.
[0084]
As a modification of the present embodiment, it is possible to include a signature or the like in the data specifying information of the non-periodic data as well as the specific information of the periodic data, thereby ensuring the validity of the non-periodic data. More accurate determination can be made.
[0085]
(Fifth embodiment)
(Constitution)
FIG. 12 is a block diagram showing a fifth embodiment of a plant network health diagnostic apparatus to which the present invention is applied. In the present embodiment, a random number is used as a signature for detecting unauthorized access in the first embodiment. That is, in this embodiment, random number storage means 1201A to 1201D are added to the control devices 101A to 101C and the operator console 105, and an inspection random number storage means 1202 is added to the inspection means 120.
[0086]
Then, individual random number sequences are recorded in advance in the random numbers storage units 1201A to 1201D of the control devices 101A to 101C and the operator console 105, and the control random numbers storage unit 1202 of the inspection unit 120 stores the control devices 101A to 101A. A copy of the random number sequence recorded in each random number storage unit 1201A to 1201D of 101C and the operator console 105 is recorded.
[0087]
(Operation procedure)
When transmitting data, the control devices 101A to 101C and the operator console 105 sequentially take out random numbers from the random number storage means 1201A to 1201D and add them together with the numbers of the random number sequence as signatures. In this case, the signature is, for example, as follows.
[Expression 1]
33250: 23522456
[0088]
Here, “33250” is a serial number from the beginning of the random number sequence, and “23521456” is a random number. Using physical random numbers (reference: Japanese Patent No. 3034516 “Physical random number generator”, Japanese Patent No. 2980576 “Physical random number generator and method and physical random number recording medium”) predict random numbers when given numbers Since there is no means to do so, unauthorized access by the use of the same random number by a third party is virtually impossible. The inspection unit 120 confirms the validity of the signature by sequentially extracting the random number of the random number sequence corresponding to the transmission source from the copy of the random number sequence recorded in the inspection random number storage unit 1202 and comparing it with the signature.
[0089]
Note that the size of the random number sequence is, for example, 1.26 GB in one year when a control device transmits data 10 times per second using a random number of 4 bytes each time.
[Expression 2]
4 x 10 x 3600 x 24 x 365 = 1.26 GB
[0090]
A random number sequence of this size can be sufficiently stored by using a small hard disk drive or flash ROM as random number storage means. When the capacity of the random number storage means is reduced for cost reduction, the same random number sequence may be used repeatedly.
[0091]
(Function and effect)
According to the present embodiment as described above, by using the same random number sequence recorded in advance by the control device and the inspection means, the control device side embeds a different random number for each transmitted data as a signature. On the other hand, on the detection means side, it is possible to reliably check the validity of a signature that differs for each data. Therefore, it is possible to perform a highly reliable inspection on the validity of data.
[0092]
(Sixth embodiment)
(Constitution)
FIG. 13: is a block diagram which shows 6th Embodiment of the plant network soundness diagnostic apparatus to which this invention is applied. In this embodiment, in the first embodiment, the inspection unit 120 is configured by two inspection units 121 and 122 using two microprocessors mounted with different instruction sets.
[0093]
(Function and effect)
In the present embodiment having the above-described configuration, the following operational effects can be obtained. That is, the inspection unit 120 is generally realized by a microprocessor, but the inspection unit 120 itself may be attacked by an unauthorized access method called buffer overflow. Here, the buffer overflow attack means that data exceeding the capacity of the temporary storage buffer of data prepared in the inspection means 120 is sent at once, and a microprocessor instruction is written in the overflow data portion, and this portion is executed. It is something to be made.
[0094]
For such a buffer overflow attack, it is useful to use two inspection units 121 and 122 having different instruction sets as in this embodiment. That is, the data that becomes an instruction for one inspection unit is merely data for the other inspection unit, and therefore, in one buffer overflow attack, two inspection units 121 and 122 having different instruction sets are attacked simultaneously. I can't do it. Therefore, according to this embodiment, it is possible to prevent inconvenience that the inspection unit 120 stops functioning due to unauthorized access, and the reliability of the inspection unit 120 can be improved.
[0095]
(Seventh embodiment)
(Constitution)
FIG. 14: is a block diagram which shows 7th Embodiment of the plant network soundness diagnostic apparatus to which this invention is applied. In this embodiment, in the first embodiment, in addition to the periodic data inspection unit 130, the inspection unit 120 has a long-term tendency with respect to the statistical data of the frame period measured by the periodic data inspection unit 130. Statistical data inspection means 150 for inspection is provided.
[0096]
(Operation procedure)
As shown in FIG. 15, the statistical data inspection unit 150 stores statistical data 1501 to 1504 for each frame transmitted at a fixed period. Here, the statistical data to be stored is, for example, data such as “average of cycles per day”, “variance of cycles per day”, “number of abnormal cycles per day”, “number of missing data per day”, etc. It is. The statistical data inspecting means 150 periodically checks the accumulated statistical data over a long period of several months to several years, and when the variance (fluctuation) of the cycle for each day is large, It is determined that there is some abnormality sign in the control device.
[0097]
(Function and effect)
According to the present embodiment as described above, a tendency over a long period can be easily inspected with respect to a transmission cycle of data transmitted at a fixed cycle.
[0098]
(Eighth embodiment)
(Constitution)
FIG. 16: is a block diagram which shows 8th Embodiment of the plant network soundness diagnostic apparatus to which this invention is applied. In the present embodiment, the plant network is duplicated by the first and second repeaters 1601 and 1602 in the seventh embodiment, and the statistical data inspecting means 150 transmits the frames transmitted to the duplex network, respectively. The correlation between periods is checked. In this case, the control devices 101A to 101C and the operator console 105 have two network interfaces, and different network addresses are given to the respective network interfaces.
[0099]
(Operation procedure)
The data collection unit 110 collects data from both the first and second repeaters 1601 and 1602, but the frames transmitted from the same control apparatus 101 </ b> A are sent to the first repeater 1601 and the second repeaters 1601 and 1602. The address sent from the repeater 1602 is different.
[0100]
Therefore, as shown in FIG. 17, in the present embodiment, the frame basic information 1701-1708 recorded in the frame database 133 of the periodic data inspection unit 130 includes not only the transmission source address but also the transmission source host. Symbols “101A”, “101B”, and “101C” indicating a certain control device are added. Note that “A1”, “B1”, and “C1” described as addresses of the transmission source and the transmission destination in FIG. 17 are addresses in the second network of the control apparatuses 101A to 101C, respectively.
[0101]
The statistical data inspection unit 150 determines the correlation between the periods of frames transmitted from the same control device to two networks when inspecting the frame transmission period over a long period of time. If both cycles of the duplex network are disturbed for the same ID frame, there is a high possibility of abnormality of the control device, and if only one cycle is disturbed, repeaters and other control devices constituting the network Is likely to be abnormal.
[0102]
(Function and effect)
According to the present embodiment as described above, the reliability of the network can be improved by duplicating the plant network. In addition, for the same data transmitted from the same control device, it is easy to select a part with a high possibility of abnormality in the network depending on whether both periods of the double network are disturbed or only one period is disturbed. Therefore, it is possible to analyze the abnormality in more detail.
[0103]
(Ninth embodiment)
As a ninth embodiment to which the present invention is applied, in any one of the above embodiments, the periodic data inspection unit 130 of the inspection unit 120 measures the transmission period of the periodic data within a predetermined time, and the measurement Based on the result, the data transmission period and the period error of the frame reference information in the frame database 133 may be automatically set.
[0104]
For example, when the period is measured over 500 seconds, 998 frames of the transmission source “A” and “ID = 1” are received, the average period is 0.501 seconds, and the standard deviation is 0.002 seconds. Updates the period of the frame reference information 501 in the frame database 133 shown in FIG. 5 to 0.501 seconds and the period error to 0.008 seconds, which is four times the measured standard deviation.
[0105]
According to the present embodiment as described above, the transmission cycle in the reference information used by the inspection unit can be automatically set and updated as needed based on the measurement result of the data transmission cycle by the inspection unit. Human work such as reviewing reference information can be simplified or omitted.
[0106]
(Tenth embodiment)
As a tenth embodiment to which the present invention is applied, in the fourth embodiment, the plant network is connected to a maintenance device at a remote location, and the indeterminateness between the device in the plant network and the maintenance device at the remote location is determined. The periodic data may be inspected by the non-constant periodic data inspection means 140. In this case, the reference information including the IP address of the maintenance device at a remote location is recorded in the packet database 144. However, when an application gateway type firewall is used for connection to a remote location, the IP address of the firewall is used.
[0107]
According to the present embodiment as described above, even when the plant network is connected to a maintenance device at a remote location, it is possible to detect anomalies in non-periodic data between the maintenance device and the devices in the network. Therefore, it is possible to properly maintain the devices in the network from the remote maintenance device.
[0108]
(Other embodiments)
Note that the present invention is not limited to the above-described embodiment, and various other forms can be implemented within the scope of the present invention. First, the present invention is not limited to a specific device configuration and transmission method of a plant network, and can be widely applied to various plant networks formed by connecting a plurality of control devices.
[0109]
And the concrete structure of each part, such as a data collection means of this invention, an inspection means, can be selected suitably. Moreover, according to the specific data structure of the data transmitted in the plant network, the inspection content and procedure can be selected as appropriate, and further recorded according to the data structure and inspection content of the transmitted data. The data structure of the reference information can also be selected as appropriate.
[0110]
【The invention's effect】
As described above, according to the present invention, the configuration of the existing plant network itself is hardly changed, and the data flowing through the network to which the control device is connected is monitored to determine the abnormality of the control device and unauthorized access. It is possible to provide a plant network health diagnostic apparatus and method capable of discovering and reporting to the outside of the site via a network.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a first embodiment in which a plant network soundness diagnosis apparatus to which the present invention is applied is installed.
FIG. 2 is a block diagram showing the configuration of the plant network health diagnostic apparatus shown in FIG.
FIG. 3 is a flowchart showing an outline of an operation procedure of the plant network health diagnostic apparatus shown in FIG. 1;
4 is a data structure diagram showing an example of a data structure of the frame queue shown in FIG. 2. FIG.
5 is a data structure diagram showing an example of frame reference information recorded in the frame database shown in FIG. 2. FIG.
6 is a flowchart showing one procedure of a processing method by the frame inspection unit shown in FIG. 2;
7 is a flowchart showing another procedure of the processing method by the frame inspection unit shown in FIG. 2;
FIG. 8 is a block diagram showing a second embodiment of a plant network health diagnostic apparatus to which the present invention is applied.
FIG. 9 is a block diagram showing a third embodiment of a plant network health diagnostic apparatus to which the present invention is applied.
FIG. 10 is a block diagram showing a fourth embodiment of a plant network health diagnostic apparatus to which the present invention is applied.
11 is a diagram showing an example of a transmission sequence graph of non-periodic data recorded in the packet database shown in FIG.
FIG. 12 is a block diagram showing a fifth embodiment of a plant network health diagnostic apparatus to which the present invention is applied.
FIG. 13 is a block diagram showing a sixth embodiment of a plant network health diagnostic apparatus to which the present invention is applied.
FIG. 14 is a block diagram showing a seventh embodiment of a plant network health diagnostic apparatus to which the present invention is applied.
15 is a data structure diagram showing an example of statistical data stored by the statistical data inspecting means shown in FIG.
FIG. 16 is a block diagram showing an eighth embodiment of a plant network health diagnostic apparatus to which the present invention is applied.
FIG. 17 is a data structure diagram showing an example of basic frame information stored in the periodic data inspection unit shown in FIG. 16;
FIG. 18 is a block diagram showing a typical configuration example of a plant network.
FIG. 19 is a data structure diagram showing a structure of an Ethernet frame.
[Explanation of symbols]
101A-101C ... Control device
102A to 102C ... sensor
103A-103C ... Actuator
104, 1601, 1602 ... repeater
105 ... operator console
110, 110A to 110D: Data collection means
111 ... Network interface card (NIC)
112 ... Time adding unit
113 ... Timer
120 ... Inspection means
121, 122 ... inspection section
130: Periodic data inspection means
131: Frame queue
132 ... Frame inspection section
133 ... Frame database
140... Non-periodic data inspection means
141: Packet extraction unit
142 ... packet queue
143 ... Packet inspection unit
144 ... Packet database
150 ... Statistical data inspection means
201 ... Destination address
202 ... Source address
203 ... Protocol type
204: Data part
205 ... Frame check
401-409 ... Frame
501 to 504 ... Frame reference information
801 ... Switch
802A-802D ... repeater
1101 to 1105 ... non-periodic data
1201A to 1201D ... Random number storage means
1202 ... Random number storage means for inspection
1501-1504 ... Statistical data

Claims (13)

他制御装置からのデータの受信、データの処理、他制御装置へのデータの送信、を定周期で行う複数の制御装置を接続してなるプラントネットワークに接続し、前記プラントネットワーク上を、各前記制御装置の送信元情報、ID及び送信先情報を記録したフレームとして伝送されるデータを受信し、この受信したフレームに時刻を付加した時刻付きフレームとして出力するデータ収集手段と、前記データ収集手段に直接接続され、前記データ収集手段が収集したフレームの送信周期を検査する検査手段、とを備え、
前記IDは、各前記制御装置から送信されるフレームが、複数のグループに分けられる場合に、そのフレームを識別する情報として任意に付されるものであり、
前記データ収集手段は、前記フレームを受信するネットワークインタフェースと、この受信時刻を出力するタイマと、前記受信したフレームに前記タイマの出力した受信時刻を付加する時刻付加部と、を備え、
前記検査手段は、
前記データ収集手段から直接入力された前記時刻付きフレームを記録するフレームキューと、
各フレームの送信周期、許容される周期誤差、送信元、送信先およびIDを含むフレーム基準情報を記録するフレームデータベースと、
前記フレームキューに記録されたフレームについて、このフレームに対応する送信元アドレス及びフレームにIDが付されている場合には前記IDからなる前記フレーム基準情報を検索し、同じ送信元アドレス及び同じIDを有するフレーム基準情報が検出されない場合、前記フレームと前記フレーム基準情報とにおける送信先が異なる場合、又は、前記フレームの送信周期が許容される周期誤差の許容範囲内でない場合に、前記フレームキューに記録された前記フレームの異常を検出するフレーム検査部と、を備えたことを特徴とするネットワーク健全性診断装置。
Receiving data from other control devices, processing data, sending data to other control devices, connected to a plant network formed by connecting a plurality of control devices at regular intervals, each on the plant network Data collecting means for receiving data transmitted as a frame in which the transmission source information, ID and destination information of the control device are recorded, and outputting the received frame as a time-added frame, and to the data collecting means An inspection means that is directly connected and inspects the transmission period of the frames collected by the data collection means,
The ID is a frame transmitted from each of said control device, when it is divided into a plurality of groups, which are attached to optionally as information identifying the frame,
The data collection means includes a network interface that receives the frame, a timer that outputs the reception time, and a time addition unit that adds the reception time output by the timer to the received frame,
The inspection means includes
A frame queue for recording the timed frame directly input from the data collection means;
A frame database that records frame reference information including a transmission cycle of each frame, an allowable cyclic error, a transmission source, a transmission destination, and an ID;
If the frame recorded in the frame queue has a transmission source address corresponding to this frame and an ID attached to the frame, the frame reference information including the ID is searched, and the same transmission source address and the same ID are obtained. When the frame reference information is not detected, the transmission destination of the frame is different from that of the frame reference information, or the transmission cycle of the frame is not within an allowable range of an allowable cyclic error , the recording is performed in the frame queue. And a frame inspection unit for detecting an abnormality of the received frame.
前記プラントネットワークは、前記複数の制御装置を、スイッチを介して接続してなり、
前記スイッチからの出力を前記複数の制御装置と前記データ収集手段に振り分ける複数のリピータとを備え、
前記複数のリピータの各々は前記複数の制御装置の各々に対応付けられ、各リピータは前記スイッチの各出力ポートにそれぞれ接続され、各リピータの出力は対応する各制御装置と前記データ収集手段にそれぞれ接続される、
ことを特徴とする請求項1記載のプラントネットワーク健全性診断装置。
The plant network is formed by connecting the plurality of control devices via a switch,
A plurality of repeaters for distributing the output from the switch to the plurality of control devices and the data collecting means;
Each of the plurality of repeaters is associated with each of the plurality of control devices, each repeater is connected to each output port of the switch, and the output of each repeater is respectively sent to the corresponding control device and the data collecting unit. Connected,
The plant network soundness diagnostic apparatus according to claim 1, wherein:
前記データ収集手段は、前記複数のリピータの出力にそれぞれ接続された複数のデータ収集手段を含む、
ことを特徴とする請求項2に記載のプラントネットワーク健全性診断装置。
The data collection means includes a plurality of data collection means respectively connected to outputs of the plurality of repeaters.
The plant network soundness diagnostic apparatus according to claim 2, wherein:
前記検査手段は、
前記複数の制御装置のうち、非定周期データを送信する制御装置がある場合に、非定周期データのデータ特定情報とその送信シーケンス情報を含む予め記録された基準情報を使用して、前記データ収集手段で収集された非定周期データの送信シーケンスとそのデータに含まれる情報を前記基準情報と比較することでデータの検査を行う非定周期データ検査手段を含む、
ことを特徴とする請求項1乃至請求項3のいずれかに記載のプラントネットワーク健全性診断装置。
The inspection means includes
When there is a control device that transmits non-periodic data among the plurality of control devices, the data is recorded using pre-recorded reference information including data specifying information of the non-periodic data and transmission sequence information thereof. A non-periodic data inspection means for inspecting data by comparing the transmission sequence of non-periodic data collected by the collection means and information included in the data with the reference information;
The plant network soundness diagnostic apparatus according to any one of claims 1 to 3, wherein
前記非定周期データ検査手段は、前記プラントネットワークを遠隔地にある保守装置に接続する場合に、その保守装置とプラントネットワーク内の装置との間の非定周期データを検査するように構成された、
ことを特徴とする請求項4に記載のプラントネットワーク健全性診断装置。
The non-periodic data inspection means is configured to inspect non-periodic data between the maintenance device and a device in the plant network when the plant network is connected to a maintenance device at a remote location. ,
The plant network soundness diagnostic apparatus according to claim 4.
前記複数の制御装置の各々は、予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、その制御装置の送信するデータ内にデータの正当性を示すための署名として埋め込むように構成され、
前記検査手段は、前記乱数列と同一の予め記録された乱数列を使用し、この乱数列から順番に乱数を取り出して、データに埋め込まれた前記署名と比較することでデータの正当性を検査するように構成された、
ことを特徴とする請求項1乃至請求項5のいずれかに記載のプラントネットワーク健全性診断装置。
Each of the plurality of control devices uses a pre-recorded random number sequence, sequentially extracts a random number from the random number sequence, and embeds it as a signature for indicating the validity of the data in the data transmitted by the control device. Configured as
The inspection unit uses a pre-recorded random number sequence that is the same as the random number sequence, extracts a random number in order from the random number sequence, and checks the validity of the data by comparing with the signature embedded in the data. Configured to
The plant network soundness diagnostic apparatus according to any one of claims 1 to 5, wherein
前記検査手段は、異なる命令セットを実装した2つのマイクロプロセッサを使用して構成された2つの検査部を含む、
ことを特徴とする請求項1乃至請求項6のいずれかに記載のプラントネットワーク健全性診断装置。
The inspection means includes two inspection units configured using two microprocessors mounted with different instruction sets.
The plant network soundness diagnosis apparatus according to any one of claims 1 to 6, wherein
前記検査手段は、前記定周期で送信されるデータの送信周期に関する情報を蓄積し、指定された期間における周期の揺らぎを検査する統計データ検査手段を含む、
ことを特徴とする請求項1乃至請求項7のいずれかに記載のプラントネットワーク健全性診断装置。
The inspection means includes statistical data inspection means for accumulating information relating to a transmission period of data transmitted at the fixed period and inspecting a fluctuation of the period in a specified period.
The plant network soundness diagnosis apparatus according to any one of claims 1 to 7, wherein
前記検査手段は、前記定周期で送信されるデータについて、指定された時間内の送信周期を測定し、その測定結果に基づいて前記基準情報に含まれる送信周期を設定するように構成された、
ことを特徴とする請求項1乃至請求項8のいずれかに記載のプラントネットワーク健全性診断装置。
The inspection unit is configured to measure a transmission cycle within a specified time for data transmitted at the fixed cycle, and to set a transmission cycle included in the reference information based on the measurement result.
The plant network soundness diagnosis apparatus according to any one of claims 1 to 8, wherein
前記リピータは、第1と第2のリピータを含み、
前記プラントネットワークは、前記複数の制御装置を、第1のリピータを介して接続する第1のネットワークと、前記複数の制御装置を、第2のリピータを介して接続する第2のネットワークによって2重化され、
前記統計データ検査手段は、前記複数の制御装置の各々について、その制御装置から前記第1と第2のネットワークにそれぞれ送信されるデータの送信周期の相関を検査するように構成された、
ことを特徴とする請求項8に記載のプラントネットワーク健全性診断装置。
The repeater includes first and second repeaters,
The plant network is duplicated by a first network connecting the plurality of control devices via a first repeater and a second network connecting the plurality of control devices via a second repeater. And
The statistical data checking means is configured to check the correlation between the transmission periods of data transmitted from the control device to the first and second networks, respectively, for each of the plurality of control devices.
The plant network soundness diagnostic apparatus according to claim 8.
他制御装置からのデータの受信、データの処理、他制御装置へのデータの送信、を定周期で行う複数の制御装置を接続してなるプラントネットワークに接続し、前記プラントネットワーク上を、各前記制御装置の送信元情報、ID及び送信先情報を記録したフレームとして伝送されるデータを受信し、この受信したフレームに時刻を付加した時刻付きフレームとして出力するデータ収集ステップと、前記データ収集ステップが収集したフレームの送信周期を検査する検査ステップ、とを備え、
前記IDは、各前記制御装置から送信されるフレームが、複数のグループに分けられる場合に、そのフレームを識別する情報として任意に付されるものであり、
前記データ収集ステップは、前記フレームを受信し、この受信時刻を出力するタイマにより、前記受信したフレームに受信時刻を付加する時刻付加ステップと、を含み、
前記検査ステップは、
前記データ収集ステップにより直接入力された前記時刻付きフレームをフレームキューに記録するステップと、
各フレームの送信周期、許容される周期誤差、送信元、送信先およびIDを含むフレーム基準情報をフレームデータベースに記録するステップと、
前記フレームキューに記録されたフレームについて、このフレームに対応する送信元アドレス及びフレームにIDが付されている場合には前記IDからなる前記フレーム基準情報を検索し、同じ送信元アドレス及び同じIDを有するフレーム基準情報が検出されない場合、前記フレームと前記フレーム基準情報とにおける送信先が異なる場合、又は、前記フレームの送信周期が許容される周期誤差の許容範囲内でない場合に、前記フレームキューに記録された前記フレームの異常を検出するフレーム検査ステップと、を含むことを特徴とするネットワーク健全性診断方法。
Receiving data from other control devices, processing data, sending data to other control devices, connected to a plant network formed by connecting a plurality of control devices at regular intervals, each on the plant network A data collection step of receiving data transmitted as a frame in which the transmission source information, ID, and destination information of the control device are recorded, and outputting the received frame as a time-added frame, and the data collection step; An inspection step for inspecting the transmission period of the collected frames,
The ID is a frame transmitted from each of said control device, when it is divided into a plurality of groups, which are attached to optionally as information identifying the frame,
The data collection step includes a time addition step of receiving the frame and adding a reception time to the received frame by a timer that outputs the reception time,
The inspection step includes
Recording the timed frame directly input by the data collection step in a frame queue;
Recording frame reference information including a transmission cycle of each frame, an allowable cyclic error, a transmission source, a transmission destination, and an ID in a frame database;
If the frame recorded in the frame queue has a transmission source address corresponding to this frame and an ID attached to the frame, the frame reference information including the ID is searched, and the same transmission source address and the same ID are obtained. When the frame reference information is not detected, the transmission destination of the frame is different from that of the frame reference information, or the transmission cycle of the frame is not within an allowable range of an allowable cyclic error , the recording is performed in the frame queue. And a frame inspection step for detecting an abnormality in the frame that has been performed.
前記検査ステップは、
前記基準情報を検索し、前記データ収集ステップで収集されたデータの中から新たに検査対象となるデータをカレントデータとし、このカレントデータに対応する基準情報が存在するか否かを判断する基準情報検索ステップと、
前記カレントデータに対応する前記基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じ前記データ特定情報を含む一つ前のデータを前回データとし、カレントデータと前回データとの間の通信時刻の差が、前記送信周期に許容される誤差の範囲内であるか否かを判断する周期比較ステップとを含む、
ことを特徴とする請求項11に記載のプラントネットワーク健全性診断方法。
The inspection step includes
The reference information for searching the reference information and determining whether or not the reference data corresponding to the current data exists by making the data to be newly inspected from the data collected in the data collection step as current data A search step;
When the reference information corresponding to the current data exists, based on the reference information, the previous data including the same data specifying information as the current data is set as the previous data, and the current data and the previous data are A period comparison step of determining whether or not a difference in communication time is within a range of errors allowed in the transmission period,
The plant network health diagnostic method according to claim 11, wherein
前記検査ステップは、
前記基準情報を検索し、前記データ収集ステップで収集されたデータの中から新たに検査対象となるデータをカレントデータとし、このカレントデータに対応する基準情報が存在するか否かを判断する基準情報検索ステップと、
前記カレントデータに対応する前記基準情報が存在する場合に、その基準情報に基づいて、そのカレントデータと同じ前記データ特定情報を含む次回データの検索を開始する時刻を設定する時刻設定ステップと、
前記時刻設定ステップで設定された時刻に、前記次回データの検索を開始し、前記カレントデータの通信時刻に対して前記送信周期に許容される誤差の範囲内に次回データが存在するか否かを判断する次回データ検索ステップとを含む、
ことを特徴とする請求項11または請求項12に記載のプラントネットワーク健全性診断方法。
The inspection step includes
The reference information for searching the reference information and determining whether or not the reference data corresponding to the current data exists by making the data to be newly inspected from the data collected in the data collection step as current data A search step;
When the reference information corresponding to the current data is present, based on the reference information, a time setting step for setting a time to start searching for next data including the same data specifying information as the current data;
At the time set in the time setting step, the search for the next data is started, and whether or not the next data exists within a range of errors allowed in the transmission cycle with respect to the communication time of the current data. Including the next data search step to determine,
The plant network soundness diagnostic method according to claim 11 or 12, characterized in that
JP2002244171A 2002-08-23 2002-08-23 Plant network health diagnosis apparatus and method Expired - Fee Related JP4326768B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002244171A JP4326768B2 (en) 2002-08-23 2002-08-23 Plant network health diagnosis apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002244171A JP4326768B2 (en) 2002-08-23 2002-08-23 Plant network health diagnosis apparatus and method

Publications (2)

Publication Number Publication Date
JP2004086367A JP2004086367A (en) 2004-03-18
JP4326768B2 true JP4326768B2 (en) 2009-09-09

Family

ID=32052740

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002244171A Expired - Fee Related JP4326768B2 (en) 2002-08-23 2002-08-23 Plant network health diagnosis apparatus and method

Country Status (1)

Country Link
JP (1) JP4326768B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2720099A2 (en) 2012-10-15 2014-04-16 Yokogawa Electric Corporation Process control system and managing method therefor

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284854A (en) * 2004-03-30 2005-10-13 Toshiba Corp Method and device for managing plant inspection and maintenance record and method and device for confirming plant inspection and maintenance record
JP4351949B2 (en) * 2004-04-23 2009-10-28 三菱電機株式会社 Intrusion prevention system
JP4603899B2 (en) * 2005-02-07 2010-12-22 富士通テン株式会社 Gateway device with communication error detection function and communication system
JP4835206B2 (en) * 2006-03-06 2011-12-14 富士ゼロックス株式会社 Information processing device
WO2007105271A1 (en) 2006-03-10 2007-09-20 Fujitsu Limited Network system
JP2008015722A (en) * 2006-07-05 2008-01-24 Hitachi Electronics Service Co Ltd Data processing system
JP2006320024A (en) * 2006-08-16 2006-11-24 Intelligent Wave Inc Illegal connection detection system
JP4396740B2 (en) 2007-07-31 2010-01-13 株式会社デンソー Diagnostic equipment
JP4941753B2 (en) * 2007-08-31 2012-05-30 横河電機株式会社 Field control system
JP5028202B2 (en) * 2007-09-28 2012-09-19 株式会社日立製作所 Control network system
JP5494028B2 (en) * 2010-03-09 2014-05-14 富士通株式会社 Switch device
JP5827534B2 (en) * 2011-10-03 2015-12-02 株式会社日立製作所 Monitoring device and monitoring method
JP6042681B2 (en) * 2012-09-27 2016-12-14 株式会社日立システムズ Control device, control method, and control program
US20150234897A1 (en) * 2013-01-10 2015-08-20 Hitachi, Ltd. Time series data processing apparatus and method, and storage medium
US10429829B2 (en) 2015-07-13 2019-10-01 Hitachi, Ltd. Monitoring system, particle beam therapy system, and method of repairing plant
JP6539135B2 (en) * 2015-07-13 2019-07-03 株式会社日立製作所 Monitoring system and particle therapy system
JP6505557B2 (en) * 2015-09-15 2019-04-24 株式会社東芝 Arithmetic device, arithmetic method and arithmetic program
JP6805667B2 (en) * 2016-09-15 2020-12-23 住友電気工業株式会社 Detection device, gateway device, detection method and detection program
JP6824732B2 (en) * 2016-12-28 2021-02-03 三菱パワー株式会社 Collection device, collection method, program and collection system
US11297082B2 (en) * 2018-08-17 2022-04-05 Nec Corporation Protocol-independent anomaly detection

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2720099A2 (en) 2012-10-15 2014-04-16 Yokogawa Electric Corporation Process control system and managing method therefor
US9671778B2 (en) 2012-10-15 2017-06-06 Yokogawa Electric Corporation Process control system and managing method therefor

Also Published As

Publication number Publication date
JP2004086367A (en) 2004-03-18

Similar Documents

Publication Publication Date Title
JP4326768B2 (en) Plant network health diagnosis apparatus and method
US7966525B2 (en) Diagnostic procedure and device for a field bus system
US6529954B1 (en) Knowledge based expert analysis system
EP2195715B1 (en) Field device for digital process control loop diagnostics
US20010056486A1 (en) Network monitoring system and network monitoring method
US8042004B2 (en) Diagnosing communications between computer systems
EP0455442A2 (en) Fault detection in link-connected systems
CN102740112B (en) Method for controlling equipment polling based on video monitoring system
KR101057047B1 (en) System for monitoring and diagnosing remote devices
US20080101251A1 (en) System, apparatus and method for mixed mode communication on a single network
CN1929412A (en) Apparatus for dynamically debugging a multi-node network
MX2012012377A (en) Device and method for transmitting measurement signals in spatially extensive supply networks.
CN104076808A (en) Fault diagnosis system and method for industrial control equipment
CN109946603A (en) A kind of pump on-line monitoring and fault diagnosis system
CN105827469A (en) MODBUS TCP implementation defect tester and detection method thereof
JP3569827B2 (en) Network system status diagnosis / monitoring device
CN104618181A (en) Method for detecting intranet operation system of power system based on NMAP (Network Mapper)
JP4558662B2 (en) IP network path diagnosis device and IP network path diagnosis system
CN116684326A (en) Real-time data reliable transmission method and system based on unidirectional channel physical equipment
JP4998580B2 (en) Communication diagnostic device and communication diagnostic method
CN111181796B (en) Block chain consensus protocol testing method and system based on enabler
CN101141313A (en) Method of positioning communication fault location of equipment monitoring system
KR20150037286A (en) Advanced metering infrastructure and method for processing meter reading data
JP2609813B2 (en) Communication protocol failure analyzer
JP3891237B2 (en) COMMUNICATION DATA MONITORING DEVICE, COMMUNICATION DATA MONITORING METHOD, AND RECORDING MEDIUM CONTAINING COMMUNICATION DATA MONITORING PROGRAM

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080708

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080905

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081021

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081222

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090210

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090410

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090515

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090610

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130619

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees