JP5446965B2 - 安全制御装置、および、安全制御装置の制御方法 - Google Patents
安全制御装置、および、安全制御装置の制御方法 Download PDFInfo
- Publication number
- JP5446965B2 JP5446965B2 JP2010033258A JP2010033258A JP5446965B2 JP 5446965 B2 JP5446965 B2 JP 5446965B2 JP 2010033258 A JP2010033258 A JP 2010033258A JP 2010033258 A JP2010033258 A JP 2010033258A JP 5446965 B2 JP5446965 B2 JP 5446965B2
- Authority
- JP
- Japan
- Prior art keywords
- setting data
- recording medium
- information
- stored
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 41
- 238000003860 storage Methods 0.000 claims description 48
- 238000004891 communication Methods 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 11
- 238000013475 authorization Methods 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 238000007796 conventional method Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005520 cutting process Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Programmable Controllers (AREA)
Description
この発明は、安全制御装置、および、安全制御装置の制御方法に関し、特に、安全制御装置の設定データの更新に適した安全制御装置、および、安全制御装置の制御方法に関する。
自動車や半導体などの製造システムにおいて、システム稼働率向上のために、寿命または故障が発生した部品または装置を交換または更新する時間を短縮することが強く求められている。その交換作業および更新作業を担当する者は、「製造システム管理者」および「保守担当者」と呼ばれる。製造システム管理者および保守担当者は、製造システムの規模に応じて、相当数の部品および装置の保守を行わなければならない。
しかし、部品または装置により、その手順は様々である。このため、随時、ユーザーズマニュアル等で手順を確認しながらの交換または更新となることが多い。PLC(Programmable Logic Controller)などの電子部品については、特にその傾向が強い。リレーおよびスイッチなどのメカ部品であれば物理的な交換だけの作業となるが、電子部品については、物理的な交換に加えて、設定データの移行が必要になるからである。
加えて、ソフトウェア不具合などのために、設定データのみを更新するケースもある。特に、製造システムが本稼動に入る前の「立上げデバッグ」フェーズでは、製造システム管理者により、この更新が頻繁に行われることがしばしばである。
さらに、電子部品のうちでも、安全コントローラのような製造システムの安全機能を実現する部品または装置においては、交換ミスまたは更新ミスによる危険事象の発生を防止するため、さらなる追加的な手順が必要であることが多い。
また、少ない手順で物理的な交換と設定データの移行とを可能とした安全コントローラも存在する。しかし、悪意的な設定データの書き換えを防げないなど、セキュリティ対策が不十分である。
このような背景より、交換および更新手順の簡略化と不正に対するセキュリティ対策とを両立した、安全コントローラの提供が課題である。特に、セキュリティ対策については、製造システム管理者と保守担当者との間にセキュリティレベル設定があり、常に厳しく制約することでは利便性が落ちる。繰返しになるが、具体的には、製造システム管理者からは頻繁な設定データの更新を行なうことが求められ、保守担当者からは不正な更新の防止が求められる。
図9は、従来技術Aにおける安全コントローラ200Aの制御データの更新を説明するための図である。図9を参照して、従来技術Aとして、A社製製品a1においては、安全コントローラ200Aの本体内部のNVS(Nonvolatile Storage、不揮発性記憶装置)220Aに設定データを保存するようにしていた。そして、安全コントローラ200Aが動作する際には、MPU(Micro Processing Unit)210Aが、NVS220Aから設定データを読込んで、読込んだ設定データに従って動作するようにしていた。
この製品a1においては、設定データの更新は、安全コントローラ200Aを設定するためのソフトウェアがインストールされたパーソナルコンピュータ(以下「PC(Personal Computer)」ともいう)300Aによって、USB(Universal Serial Bus)ケーブル900およびUSBコネクタ230Aを介して、NVS220Aに記憶されている設定データが新たな設定データに上書きされることによって行なわれる。
また、安全コントローラ200Aの交換時の設定データの更新は、安全コントローラ200Aを交換した後、PC300Aによって、USBケーブル900およびUSBコネクタ230Aを介して、従来の設定データがNVS220Aに新たに書込まれることによって行なわれる。
図10は、従来技術Bにおける安全コントローラ200Bの制御データの更新を説明するための図である。図10を参照して、従来技術Bとして、従来技術Aを改良した安全コントローラ200Bが考えられる。この安全コントローラ200Bにおいては、設定データの保存、および、設定データに従った動作は、従来技術Aの製品a1と同様に行なわれる。
この従来技術Bの安全コントローラ200Bにおいては、設定データの更新は、PC300Bによって、USBケーブル900およびUSBコネクタ230Bを介して、安全コントローラ200Bが出荷時状態に初期化された後に、安全コントローラ200Bによって、メモリスロット240Bに挿入されたメモリ媒体400Bから新たな設定データが読込まれて、読込まれた設定データがNVS220Bに新たに書込まれることによって行なわれるようにする。
また、安全コントローラ200Bの交換時の設定データの更新は、安全コントローラ200Bを交換した後、前述の安全コントローラ200Bの交換時ではない設定データの更新と同様の方法で行なわれる。
図11は、従来技術Cにおける安全コントローラ200Cの制御データの更新を説明するための図である。図11を参照して、従来技術Cとして、B社製製品bにおいては、設定データの保存、および、設定データに従った動作は、従来技術Aの製品a1と同様に行なわれる。
この製品bにおいては、設定データの更新は、特定端子290Cが短絡されることで出荷時状態に初期化された後、安全コントローラ200Cによって、メモリスロット240Cに挿入されたメモリ媒体400Cから新たな設定データが読込まれて、読込まれた設定データがNVS220Cに新たに書込まれることによって行なわれる。
また、安全コントローラ200Cの交換時の設定データの更新は、安全コントローラ200Cを交換した後、前述の安全コントローラ200Cの交換時ではない設定データの更新と同様の方法で行なわれる。
図12は、従来技術Dにおける安全コントローラ200Dの制御データの更新を説明するための図である。図12を参照して、従来技術Dとして、C社製製品cにおいては、安全コントローラ200Dの本体内部には、設定データを保存するようにせず、安全コントローラ200Dが動作する際には、MPU210Dが、メモリスロット240Dに挿入されたメモリ媒体400Dから、直接、設定データを読込んで、読込んだ設定データに従って動作するようにしていた。
このため、この製品cにおいては、設定データの更新は、メモリ媒体400Dを新たな設定データが記憶されたものに交換することによって行なわれる。
また、安全コントローラ200Dの交換時の設定データの更新は、安全コントローラ200Dを交換した後、従来の設定データが記憶されたメモリ媒体400Dがメモリスロット240Dに挿入されることによって行なわれる。
従来技術Eとして、A社製製品a2(特許文献1参照)においては、コントローラ本体前面に取付けられている、ユーザが操作可能なディップスイッチを特定の値としておくことで、メモリ媒体からの書込みを禁止するようにしていた。
図13は、従来技術における交換および更新手順の簡単さならびにセキュリティ対策の比較を説明するための図である。図13を参照して、従来技術Aにおいては、PC300Aからパスワードを入力しない限り、安全コントローラ200Aへの設定データの書込みができないため、セキュリティ対策に関しては、特に課題はなかった。
しかし、従来技術Aにおいては、前述したように、メモリスロットなどの記録媒体インターフェースを持たない。このため、安全コントローラ200Aの交換および設定データの更新の際に、PC300Aが必要となり、煩雑である。したがって、安全コントローラ200Aの交換および設定データの更新における手順の簡単さには、課題があった。
従来技術Bにおいては、安全コントローラ200Bの交換の際には、PC300Bを用いなくても、メモリ媒体400Bをメモリスロット240Bに挿入するのみで、設定データを書込むことができる。このため、安全コントローラ200Bの交換における手順の簡単さに関しては、特に課題はなかった。
また、従来技術Bにおいては、PC300Bからパスワードを入力しない限り、安全コントローラ200Bを出荷時状態に戻すことができないため設定データの書込みができない。このため、セキュリティ対策に関しては、特に課題はなかった。
しかし、従来技術Bにおいては、安全コントローラ200Bの設定データの更新の際に、PC300Bを用いて安全コントローラ200Bを出荷時状態に戻さなければならない。このため、PC300Bが必要となり、煩雑である。したがって、安全コントローラ200Bの設定データの更新における手順の簡単さには、課題があった。
従来技術Cにおいては、安全コントローラ200Cの交換の際には、メモリ媒体400Cをメモリスロット240Cに挿入するのみで、設定データを書込むことができる。このため、安全コントローラ200Cの交換における手順の簡単さに関しては、特に課題はなかった。
しかし、従来技術Cにおいては、安全コントローラ200Cの設定データの更新の際に、特定端子290Cを短絡して安全コントローラ200Cを起動することで安全コントローラ200Cを出荷時状態に戻す手順が必要となる。したがって、安全コントローラ200Cの設定データの更新における手順の簡単さには、軽微な課題があった。
また、従来技術Cにおいては、特定端子290Cを短絡するだけで、誰でも出荷時状態に戻せるため、不正な更新が可能である。このため、セキュリティ対策に関しては、課題があった。
従来技術Dにおいては、安全コントローラ200Dの交換および設定データの更新の際に、メモリ媒体400Dを挿入するだけであり、しかも、交換と更新の手順が同一である。このため、安全コントローラ200Dの交換および設定データの更新における手順の簡単さに関しては、特に課題はなかった。
しかし、メモリ媒体400Dを作成すれば、誰でも、安全コントローラ200Dの設定データの更新が可能である。このため、セキュリティ対策に関しては、課題があった。
従来技術Eにおいては、ディップスイッチを操作すれば、誰でも、コントローラの設定データの更新が可能である。このため、セキュリティ対策に関しては、課題があった。コントローラの交換および設定データの更新に関しては、当該装置は、従来技術A〜Dの安全コントローラとは異なり、標準PLCであるため、比較はしていない。
このように、安全コントローラの交換および設定データの更新の手順の簡略化と設定データのセキュリティ対策とを両立した安全コントローラは今までになかった。
この発明は、上述の問題を解決するためになされたものであり、その目的の1つは、交換および設定データの更新の手順の簡略化および設定データのセキュリティ対策を両立することが可能な安全制御装置および安全制御装置の制御方法を提供することである。
上述の目的を達成するために、この発明のある局面によれば、安全制御装置は、設定データを含むデータを不揮発的かつ書換え可能に記憶する記憶部と、前記記憶部に記憶された前記設定データに従って安全入力機器からの入力信号に基づいて安全出力機器を制御する制御部とを有する。安全制御装置は、記録媒体から所定のデータを読込むための記録媒体インターフェースを備える。
前記制御部は、前記記録媒体を用いた前記設定データの更新を許可するか否かを識別可能な許可禁止情報を前記記憶部に記憶させる許可禁止記憶手段と、前記記憶部に記憶された前記許可禁止情報が許可しないことを示す場合、前記記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新することを禁止する禁止手段と、前記記憶部に記憶された前記許可禁止情報が許可することを示す場合、前記記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新する更新手段とを含む。
好ましくは、前記許可禁止記憶手段は、前記記録媒体インターフェースに接続された前記記録媒体から、前記記録媒体を用いた前記設定データの更新を許可しないことを示す情報が入力されたときに、前記記録媒体を用いた前記設定データの更新を許可しないことを識別可能な許可禁止情報を記憶させる。
好ましくは、安全制御装置は、外部コンピュータとの間で所定の通信を行なうための通信インターフェースをさらに備える。前記許可禁止記憶手段は、前記外部コンピュータから前記通信インターフェースを介して、前記記録媒体を用いた前記設定データの更新を許可するか否かを示す情報が入力されたときに、当該情報が示す内容を識別可能な前記許可禁止情報を記憶させる。
さらに好ましくは、前記更新手段は、前記記憶部に記憶された前記許可禁止情報が許可することを示すか否かに関わらず、前記外部コンピュータから前記通信インターフェースを介して入力される前記設定データで、前記記憶部に記憶された前記設定データを更新する。
この発明の他の局面によれば、安全制御装置の制御方法は、設定データを含むデータを不揮発的かつ書換え可能に記憶する記憶部と、前記記憶部に記憶された前記設定データに従って安全入力機器からの入力信号に基づいて安全出力機器を制御する制御部とを有する安全制御装置の制御方法である。
安全制御装置の制御方法は、前記制御部が、記録媒体を用いた前記設定データの更新を許可するか否かを識別可能な許可禁止情報を前記記憶部に記憶させるステップと、前記記憶部に記憶された前記許可禁止情報が許可しないことを示す場合、前記記録媒体から所定のデータを読込むための記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新することを禁止するステップと、前記記憶部に記憶された前記許可禁止情報が許可することを示す場合、前記記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新するステップとを含む。
この発明に従えば、安全制御装置によって、記録媒体を用いた設定データの更新を許可するか否かを識別可能な許可禁止情報が記憶部に記憶させられ、記憶部に記憶された許可禁止情報が許可しないことを示す場合、記録媒体インターフェースに接続された記録媒体に記憶された設定データで、記憶部に記憶された設定データを更新することが禁止され、記憶部に記憶された許可禁止情報が許可することを示す場合、記録媒体インターフェースに接続された記録媒体に記憶された設定データで、記憶部に記憶された設定データが更新される。
このため、安全制御装置によって、記憶部に記憶させられた許可禁止情報が許可しないことを示す場合、設定データの更新が禁止されるので、設定データのセキュリティ対策をすることができる一方、許可禁止情報が許可することを示す場合、記録媒体が記録媒体インターフェースに接続されるだけで、記録媒体に記憶された設定データで、記憶部に記憶された設定データが更新されるので、安全制御装置の交換および設定データの更新を簡単に行なうことができる。
その結果、交換および設定データの更新の手順の簡略化および設定データのセキュリティ対策を両立することが可能な安全制御装置および安全制御装置の制御方法を提供することができる。
以下、この発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰返さない。
また、以下の実施の形態において、部品・装置とは、リレー、スイッチ、センサ、アクチュエータ、PLC、安全コントローラなど、製造システムの構成要素をいう。安全コントローラとは、安全制御に使用される高い信頼性を持つコントローラをいう。
設定データとは、ユーザプログラム、GUIデータ、IO端子設定など、ユーザが設定ツールにて作成し、安全コントローラへ書き込む(ダウンロードする)データをいう。安全コントローラは、この設定データに従い動作を行う。リストアとは、メモリ媒体を用いて、設定データを書き込む行為をいう。リストアの場合、パソコンを用いる必要がなく、交換・更新の省工数化となる。
部品・装置の交換とは、新部品・装置への置換えを意味する。安全コントローラの交換は、以下の手順により実現される。
(Step1)[物理的な交換]現品を取外し、新品に置き換える。
(Step2)[設定データの移行]現品と同一設定データを新品に書き込む。
(Step2)[設定データの移行]現品と同一設定データを新品に書き込む。
部品・装置の更新とは、設定データの書換えのみを意味する。安全コントローラの更新は、以下のいずれかの手順により実現される。
(Step1)[設定データの更新]現設定データに新設定データを上書きする、もしくは、入れ換える。
または、
(Step1)[設定データの初期化]現設定データを初期化(消去)する。
(Step1)[設定データの初期化]現設定データを初期化(消去)する。
(Step2)[設定データの書込み]新設定データを書き込む。
セキュリティ対策とは、不正な更新(設定データの書換え)を防止するための対策をいう。出荷時状態とは、一切の設定データが書き込まれていない状態をいい、安全コントローラが工場から出荷された状態と同一の状態をいう。
セキュリティ対策とは、不正な更新(設定データの書換え)を防止するための対策をいう。出荷時状態とは、一切の設定データが書き込まれていない状態をいい、安全コントローラが工場から出荷された状態と同一の状態をいう。
図1は、本発明の実施の形態に係る安全コントローラ100をスタンドアローンで使用する場合のシステム構成の一例を示す図である。図1を参照して、このシステムは、安全コントローラ100と、安全制御に用いられる安全入力信号を安全コントローラ100に入力する安全入力機器500と、安全コントローラ100から出力された安全出力信号で制御される安全出力機器600と、安全コントローラ100を設定するために用いられるPC300とを含む。安全コントローラ100とPC300とは、USBケーブル900で接続される。
PC300には、安全コントローラ100を設定するために用いられるソフトウェアの設定ツールがインストールされている。
安全入力機器500には、たとえば、制御対象の装置を非常停止させるための操作を受付ける非常停止押しボタン500A、所定の進入禁止エリアへの人の進入を検知するライトカーテン500B、安全扉の開閉を検知するドアスイッチ500C、および、2つのボタンが操作されることによって1つの指示を受付ける2ハンドスイッチ500Dなどが含まれる。
安全出力機器600には、制御対象のモータなどの電路を遮断するためのコンタクタ600Aが含まれる。
図2は、本発明の実施の形態に係る安全コントローラ100の構成の概略を示すブロック図である。図2を参照して、安全コントローラ100は、CPU(Central Processing Unit)101と、入力回路150と、出力回路160と、メモリスロット140と、USB回路130と、設定回路170と、通信回路180と、表示回路190とを含む。
CPU101は、安全コントローラ100の各部を制御するための制御部である。CPU101は、MPU110、NVS120、RAM(Random Access Memory)121、および、ROM(Read Only Memory)122を含む。
NVS120は、設定データなどを記憶する。NVS120は、たとえば、フラッシュメモリ、EEPROM(Electrically Erasable and Programmable Read Only Memory)、または、FRAM(FeRAM、Ferroelectric Random Access Memory)で構成される。ROM122は、安全コントローラ100が動作するための基本的なソフトウェアを記憶する。RAM121は、CPU101が動作するときのワークメモリとして用いられる。
MPU110は、NVS120またはROM122に記憶されたソフトウェアのプログラムに従って、RAM121をワークメモリとして、所定の処理を実行する。
入力回路150は、安全入力機器500から安全入力信号の入力を受けるための回路である。出力回路160は、安全出力機器600を制御するための安全出力信号を出力するための回路である。
メモリスロット140は、メモリ媒体400を接続するためのインターフェースである。メモリスロット140は、接続されたメモリ媒体400から所定の情報を読出したり、所定の情報を書込んだりする。
USB回路130は、USBケーブル900を介してPC300などのUSB機器を接続するためのインターフェースである。
設定回路170は、安全コントローラ100の各種設定を受付けるための操作部を含む回路である。
通信回路180は、他の安全コントローラ100、セーフティスレーブ、スタンダードPLC、スタンダードスレーブ、または、PCなどの他の装置との通信のインターフェースである。
表示回路190は、LED(Light Emitting Diode)インジケータおよび7セグメントLEDなどの表示部を含み、安全コントローラ100の状態および設定内容を表示部に表示するための回路である。
図3は、本実施の形態における安全コントローラ100で実行される更新関連処理の流れを示すフローチャートである。図3を参照して、この更新関連処理は、安全コントローラ100における設定データの更新に関連する処理である。
まず、ステップS101で、安全コントローラ100のMPU110は、USB回路130のソケットにUSBケーブル900を介してPC300が接続されたか否かを判断する。PC300が接続されたと判断した場合(ステップS101でYESと判断した場合)、ステップS102で、MPU110は、PC300から入力された情報を判別する。
一方、PC300が接続されていないと判断した場合(ステップS101でNOと判断した場合)、ステップS103で、MPU110は、メモリスロット140にメモリ媒体400が接続されたか否かを判断する。メモリ媒体400が接続されたと判断した場合(ステップS103でYESと判断した場合)、ステップS104で、MPU110は、メモリ媒体400から情報を読出し、メモリ媒体400から入力された情報を判別する。
PC300もメモリ媒体400も接続されていないと判断した場合(ステップS103でNOと判断した場合)、MPU110は、実行する処理をこの更新関連処理の呼出元の処理に戻す。
ステップS102およびステップS104の後、ステップS111で、MPU110は、ステップS102またはステップS104での判別の結果、更新設定情報が入力されたか否かを判断する。
更新設定情報とは、安全コントローラ100の設定データのメモリ媒体400による更新を、許可するように設定を変更すること、または、禁止するように設定を変更することのいずれかを示す情報であり、PC300から直接的に、または、PC300でメモリ媒体400に書込まれてメモリ媒体400から間接的に、安全コントローラ100に入力される。
更新設定情報が入力されたと判断した場合(ステップS111でYESと判断した場合)、ステップS112で、MPU110は、更新設定情報が、メモリ媒体400による設定データの更新を、「許可」するように変更することを示すか、「禁止」するように変更することを示すかを判断する。
「禁止」するように変更することを示すと判断した場合、ステップS113で、MPU110は、NVS120に記憶されている更新許可/禁止情報を「禁止」に設定する。更新許可/禁止情報は、安全コントローラ100の設定データのメモリ媒体400による更新を、許可するか禁止するかを示す情報であり、出荷時には、「許可」に設定されている。
「許可」するように変更することを示すと判断した場合、ステップS114で、MPU110は、当該更新設定情報がパスワード認証済のPC300から入力されたか否かを判断する。パスワード認証済であるか否かは、PC300の設定ツールにおいて正しいパスワードが入力されて認証が行なわれたことを示す認証済情報が、更新設定情報に付されているか否かによって判断する。
なお、ここでは、認証済情報が更新設定情報に付されている場合に、パスワード認証済であると判断するようにしたが、これに限定されず、PC300でパスワード認証が行なわれない限り、PC300から安全コントローラ100に更新設定情報が出力されないように構成し、安全コントローラ100においては、更新設定情報が入力されれば、パスワード認証済であると判断するようにしてもよい。
PC300から入力されたと判断した場合(ステップS114でYESと判断した場合)、ステップS115で、MPU110は、NVS120に記憶されている更新許可/禁止情報を「許可」に設定する。
一方、更新設定情報が、PC300から入力されていないと判断した場合(ステップS114でNOと判断した場合)、つまり、メモリ媒体400から入力された場合、ステップS116で、MPU110は、更新許可/禁止情報を変更できない旨のコードを、表示回路190の表示部の7セグメントLEDに表示するよう制御する。
図4は、本発明の実施の形態に係るメモリ媒体400からの更新許可/禁止情報の変更を説明するための図である。図4を参照して、前述の処理の流れで説明したように、メモリ媒体400がメモリスロット140に接続されて、メモリ媒体400から更新設定情報が安全コントローラ100に入力され、入力された更新設定情報が、メモリ媒体400による設定データの更新を「禁止」することを示す場合、NVS120に記憶されている「更新許可/禁止」情報が、「禁止」に書換え設定される。
一方、メモリ媒体400がメモリスロット140に接続されて、メモリ媒体400から更新設定情報が安全コントローラ100に入力され、入力された更新設定情報が、メモリ媒体400による設定データの更新を「許可」することを示す場合、NVS120に記憶されている「更新許可/禁止」情報は書換えられない。
図5は、本発明の実施の形態に係るPC300からの更新許可/禁止情報の変更を説明するための図である。図5を参照して、前述の処理の流れで説明したように、PC300がUSBケーブル900を介してUSB回路130のソケットに接続されて、PC300から更新設定情報が安全コントローラ100に入力され、入力された更新設定情報が、メモリ媒体400による設定データの更新を「禁止」することを示す場合、NVS120に記憶されている「更新許可/禁止」情報が、「禁止」に書換え設定される。
一方、PC300がUSBケーブル900を介してUSB回路130のソケットに接続されて、PC300から更新設定情報が安全コントローラ100に入力され、入力された更新設定情報が、メモリ媒体400による設定データの更新を「許可」することを示す場合、NVS120に記憶されている「更新許可/禁止」情報が、「許可」に書換え設定される。
図6は、本発明の実施の形態に係る安全コントローラ100のメモリ媒体400による設定データの更新に関する状態を説明するための図である。図6を参照して、安全コントローラ100が出荷されるときの状態または安全コントローラ100が初期化された状態においては、「更新許可/禁止」情報が「許可」に設定されている。この状態を、「出荷時状態」という。
また、出荷時状態以外において、「更新許可/禁止」情報が「許可」に設定されている状態を、「更新許可状態」という。「更新許可/禁止」情報が「禁止」に設定されている状態を、「更新禁止状態」という。
出荷時状態または更新禁止状態において、「更新許可/禁止」情報が「許可」に書換え設定された場合、更新許可状態に変更される。出荷時状態または更新許可状態において、「更新許可/禁止」情報が「禁止」に書換え設定された場合、更新禁止状態に変更される。
図3に戻って、ステップS102またはステップS104での判別の結果、更新設定情報が入力されていないと判断した場合(ステップS111でNOと判断した場合)、ならびに、ステップS113、ステップS115、および、ステップS116の後、ステップS121で、MPU110は、ステップS102またはステップS104での判別の結果、設定データが入力されたか否かを判断する。
設定データが入力されたと判断した場合(ステップS121でYESと判断した場合)、ステップS122で、MPU110は、設定データがパスワード認証済のPC300から入力されたか否かを判断する。パスワード認証済であるか否かは、ステップS114で説明した方法と同様に、認証済情報が設定データに付されているか否かによって判断する。
なお、ここでは、認証済情報が設定データに付されている場合に、パスワード認証済であると判断するようにしたが、これに限定されず、PC300でパスワード認証が行なわれない限り、PC300から安全コントローラ100に設定データが出力されないように構成し、安全コントローラ100においては、設定データが入力されれば、パスワード認証済であると判断するようにしてもよい。
設定データがPC300から入力されていないと判断した場合(ステップS122でNOと判断した場合)、ステップS124で、MPU110は、NVS120に記憶されている更新許可/禁止情報が「許可」に設定されているか「禁止」に設定されているかを判断する。
設定データがPC300から入力されたと判断した場合(ステップS122でYESと判断した場合)、および、設定データがPC300から入力されていない、つまり、メモリ媒体400から入力され、更新許可/禁止情報が「許可」に設定されていると判断した場合、ステップS123で、MPU110は、入力された設定データをNVS120に書込む。
本実施の形態において、設定データをNVS120に書込むとは、NVS120に設定データが未だ書込まれていない場合は、NVS120に新たに書込むことをいい、NVS120に設定データが既に書込まれている場合は、NVS120の設定データを書換えることをいう。
一方、設定データがPC300から入力されていない、つまり、メモリ媒体400から入力され、更新許可/禁止情報が「禁止」に設定されていると判断した場合、ステップS125で、MPU110は、設定データを更新できない旨のコードを、表示回路190の表示部の7セグメントLEDに表示するよう制御する。
ステップS102またはステップS104での判別の結果、更新設定情報も設定データも入力されていないと判断した場合(ステップS121でNOと判断した場合)、ならびに、ステップS123およびステップS125の後、MPU110は、実行する処理をこの更新関連処理の呼出元の処理に戻す。
図7は、本発明の実施の形態に係る安全コントローラ100のメモリ媒体400による設定データの更新を説明するための図である。
図7を参照して、前述の処理の流れで説明したように、設定データが記憶されたメモリ媒体400がメモリスロット140に挿入されると、図3のステップS103で、メモリ媒体400が接続されたと判断される。そして、ステップS104で、メモリ媒体400から情報が読出され、入力された情報が判別され、ステップS121で、入力された情報が設定データであると判断される。
出荷時状態においては、図3のステップS122で、PC300からの設定データの入力でないと判断され、ステップS124で、更新許可/禁止情報が「許可」を示すと判断され、ステップS123で、メモリ媒体400から入力された設定データが、NVS120に新たに書込まれる。
更新許可状態においては、図3のステップS122で、PC300からの設定データの入力でないと判断され、ステップS124で、更新許可/禁止情報が「許可」を示すと判断され、ステップS123で、メモリ媒体400から入力された設定データが、NVS120に記憶されている設定データに上書きされる。
更新禁止状態においては、図3のステップS122で、PC300からの設定データの入力でないと判断され、ステップS124で、更新許可/禁止情報が「禁止」を示すと判断され、ステップS125で、設定データを更新できない旨が表示回路190の表示部に表示され、設定データが上書きされない。
なお、PC300から設定データが入力された場合は、出荷時状態、更新許可状態、および、更新禁止状態に関わらず、図3のステップS122で、PC300からの設定データの入力であると判断され、ステップS123で、PC300から入力された設定データが、NVS120に新たに書込まれる、または、NVS120に記憶されている設定データに上書きされる。
図8は、本発明の実施の形態に係る安全コントローラ100の各フェーズにおける設定データの更新の一例を説明するための図である。図8を参照して、まず、安全コントローラ100を設備する製造システムの立上げ時のデバッグフェーズにおいては、まず、安全コントローラ100が、製造現場の製造システムの制御盤に取付けられる。このときには、安全コントローラ100の状態は、出荷時状態である。
次に、安全コントローラ100の設定データのメモリ媒体400による更新を「許可」するように変更することを示す更新設定情報が、PC300から安全コントローラ100に、直接、入力されることによって、安全コントローラ100の状態が、出荷時状態から更新許可状態に変更される。
なお、前述したように、出荷時状態および更新許可状態のいずれにおいても、「更新許可/禁止」情報は「許可」に設定されるので、ここでは、安全コントローラ100の「状態」は変更されるが、安全コントローラ100に記憶されている安全コントローラ100の「状態を示す情報」である「更新許可/禁止」情報が変更される訳ではない。
デバッグフェーズにおいて、安全コントローラ100が更新許可状態にされている場合は、製造現場外で、PC300からメモリ媒体400に設定データが格納され、製造現場で、そのメモリ媒体400が安全コントローラ100に挿入され、メモリ媒体400から安全コントローラ100に設定データが入力され、入力された設定データが安全コントローラ100のNVS120に書込まれる。
デバッグフェーズにおいては、安全コントローラの設定を細かく調整する必要があるため、このような設定データの更新が頻繁に行なわれる。本実施の形態の安全コントローラ100によれば、製造現場にPC300を持込まずに、メモリ媒体400をメモリスロット140に挿入するだけで設定データの更新が可能であり、出荷時状態に初期化する必要もないため、保守担当者による設定データの更新の手順を簡略化することができる。
次に、立上げ時のデバッグが完了したので、安全コントローラ100の状態を更新禁止状態にするために、製造現場外で、安全コントローラ100の設定データのメモリ媒体400による更新を「禁止」するように変更することを示す更新設定情報が、PC300からメモリ媒体400に格納される。製造現場で、このメモリ媒体400が安全コントローラ100に挿入され、更新設定情報が安全コントローラ100に入力されることによって、安全コントローラ100の状態が、更新許可状態から更新禁止状態に変更される。
これにより、デバッグフェーズが終了して、本稼動フェーズに入った後は、メモリ媒体400による設定データの更新が禁止され、製造現場にPC300を持込むことでのみ、設定データを更新したり、安全コントローラ100を更新許可状態に変更したりすることができるようにされる。
以上説明したように、本実施の形態に係る安全コントローラ100によれば、メモリ媒体400を用いた設定データの更新を「許可」するか「禁止」するかを識別可能な更新許可/禁止情報がNVS120に記憶させられ、NVS120に記憶された更新許可/禁止情報が「禁止」を示す場合、メモリスロット140に接続されたメモリ媒体400に記憶された設定データで、NVS120に記憶された設定データを更新することが禁止され、NVS120に記憶された更新許可/禁止情報が「許可」を示す場合、メモリスロット140に接続されたメモリ媒体400に記憶された設定データで、NVS120に記憶された設定データが更新される。
このため、安全コントローラ100によって、NVS120に記憶させられた更新許可/禁止情報が「禁止」を示す場合、設定データの更新が禁止されるので、設定データのセキュリティ対策をすることができる一方、更新許可/禁止情報が「許可」を示す場合、メモリ媒体400がメモリスロット140に接続されるだけで、メモリ媒体400に記憶された設定データで、NVS120に記憶された設定データが更新されるので、安全コントローラ100の交換および設定データの更新を簡単に行なうことができる。
また、メモリスロット140に接続されたメモリ媒体400から、メモリ媒体を用いた設定データの更新を「禁止」するように設定を変更することを示す更新設定情報が入力されたときに、メモリ媒体400を用いた設定データの更新を「禁止」することを識別可能な更新許可/禁止情報がNVS120に記憶させられる。
このため、更新許可/禁止情報の「禁止」への変更は、メモリ媒体400から可能である。したがって、セキュリティが高い状態に変更するための手順を簡略化することができる。
また、安全コントローラ100は、PC300との間で通信を行なうためのUSB回路130をさらに備える。そして、安全コントローラ100によって、PC300からUSB回路130を介して、メモリ媒体400を用いた設定データの更新を「許可」または「禁止」するように設定を変更することを示す更新設定情報が入力されたときに、当該更新設定情報が示す内容である「許可」または「禁止」を識別可能な更新許可/禁止情報がNVS120に記憶させられる。
このため、設定ツールがインストールされたPC300を安全コントローラ100に接続しない限り、メモリ媒体400を用いた設定データの更新を「許可」または「禁止」するように設定を変更することができないようにすることができる。その結果、メモリ媒体400を用いて更新ができる状態に容易にすることができないので、セキュリティ対策を強化することができる。
さらにまた、安全コントローラ100によって、NVS120に記憶された更新許可/禁止情報が「許可」を示すか「禁止」を示すかに関わらず、PC300からUSB回路130を介して入力される設定データで、NVS120に記憶された設定データが更新される。
このため、設定ツールがインストールされたパスワード認証済のPC300を用いる限り、NVS120に記憶された設定データを更新することができる。
また、更新許可/禁止情報を、メモリ媒体400に記憶させるのではなく、安全コントローラ100側に記憶させるようにしているので、悪意者が、不正な更新許可/禁止情報を記憶したメモリ媒体400で、設定データを更新してしまうことを防止することができる。
次に、上述した実施の形態の変形例について説明する。
(1) 前述した実施の形態においては、メモリスロット140が、USB回路130のソケットとは別に設けられるようにした。しかし、これに限定されず、メモリ媒体400がUSBメモリであることとして、メモリスロット140を備えないようにして、USB回路130のソケットに、メモリ媒体400が接続されるようにしてもよい。
(1) 前述した実施の形態においては、メモリスロット140が、USB回路130のソケットとは別に設けられるようにした。しかし、これに限定されず、メモリ媒体400がUSBメモリであることとして、メモリスロット140を備えないようにして、USB回路130のソケットに、メモリ媒体400が接続されるようにしてもよい。
(2) 前述した実施の形態においては、不正なメモリ媒体400が挿入された場合については、特に何も対応するようにしていない。しかし、これに限定されず、メモリ媒体400に更新できないような設定データが入っている場合は、更新に失敗したことを7セグメントLEDなどで表示するようにしてもよい。また、メモリ媒体400に更新はできるが意図していないデータが入っている場合は、データのID(CRCまたはユーザが設定した数字など)を7セグメントLEDなどで表示して、更新するか否かをユーザに確認するようにしてもよい。
(3) 前述した実施の形態においては、安全コントローラ100の装置の発明として説明した。しかし、これに限定されず、安全コントローラ100の制御方法の発明として捉えることができる。
(4) 前述した実施の形態においては、更新設定情報または設定データを安全コントローラ400に入力するための記録媒体が、メモリ媒体400であることとした。メモリ媒体400としては、たとえば、USBメモリおよびSD(Secure Digital)メモリカードなどを用いることができる。
しかし、これに限定されず、このような記録媒体が、たとえば、磁気カード、接触式ICカード、非接触式ICカードなどのカード媒体であってもよい。CD(Compact Disc)、DVD(Digital Versatile Disk)およびBD(Blu-ray Disc)などの光ディスクであってもよい。フロッピー(登録商標)ディスクおよびリムーバブルハードディスクなどの磁気ディスクであってもよい。MO(Magneto-Optical disk)などの光磁気ディスクであってもよい。携帯端末の記憶部であってもよい。
また、前述した実施の形態においては、記録媒体がメモリ媒体400であることとしたので、記録媒体インターフェースが、メモリ媒体400を挿入してメモリ媒体400の情報を読書きするためのメモリスロット140であることとした。
しかし、これに限定されず、記録媒体が、カード媒体のうち非接触式ICカード以外である場合は、記録媒体インターフェースが、カード媒体を挿入してカード媒体の情報を読書きするためのカードスロットであることとする。
記録媒体が、カード媒体のうち非接触式ICカードである場合は、記録媒体インターフェースが、かざされたカード媒体の情報を読書きするためのリーダライタであることとする。
記録媒体が、光ディスク、磁気ディスクまたは光磁気ディスクである場合は、記録媒体インターフェースが、挿入されたディスクの情報を読書きするためのディスクドライブであることとする。
記録媒体が、携帯端末の記憶部である場合は、記録媒体インターフェースが、携帯端末と通信するためのUSB端子、赤外線通信部、または、近距離無線通信部などの通信インターフェースであることとする。
(5) 前述した実施の形態においては、PC300の設定ツールにおいて、パスワード認証が行なわれるようにした。しかし、これに限定されず、認証方法は、他の方法、たとえば、バイオメトリクス認証またはカード認証などであってもよい。
(6) 今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
100 安全コントローラ、101 CPU、110 MPU、120 NVS、121 RAM、122 ROM、130 USB回路、140 メモリスロット、150 入力回路、160 出力回路、170 設定回路、180 通信回路、190 表示回路、300 PC、400 メモリ媒体、500 安全入力機器、500A 非常停止押しボタン、500B ライトカーテン、500C ドアスイッチ、500D 2ハンドスイッチ、600 安全出力機器、600A コンタクタ、900 USBケーブル。
Claims (3)
- 設定データを含むデータを不揮発的かつ書換え可能に記憶する記憶部と、前記記憶部に記憶された前記設定データに従って安全入力機器からの入力信号に基づいて安全出力機器を制御する制御部とを有する安全制御装置であって、
記録媒体から所定のデータを読込むための記録媒体インターフェースと、
外部コンピュータとの間で所定の通信を行なうための通信インターフェースとを備え、
前記制御部は、
前記記録媒体を用いた前記設定データの更新を許可することを識別可能な許可情報または許可しないことを識別可能な禁止情報を前記記憶部に記憶させる手段であって、前記記録媒体を用いた前記設定データの更新を許可することを示す情報が前記外部コンピュータから入力されたときに前記許可情報を記憶させるとともに、前記記録媒体を用いた前記設定データの更新を禁止することを示す情報が前記記録媒体または前記外部コンピュータから入力されたときに前記禁止情報を記憶させる一方、前記記録媒体を用いた前記設定データの更新を許可することを示す情報が前記記録媒体から入力されたときには、前記禁止情報から前記許可情報への変更を禁止する許可禁止記憶手段と、
前記記憶部に前記禁止情報が記憶されている場合、前記記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新することを禁止する禁止手段と、
前記記憶部に前記許可情報が記憶されている場合、前記記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新する更新手段とを含む、安全制御装置。 - 前記更新手段は、前記記憶部に前記許可情報および前記禁止情報のいずれが記憶されているかに関わらず、前記外部コンピュータから前記通信インターフェースを介して入力される前記設定データで、前記記憶部に記憶された前記設定データを更新する、請求項1に記載の安全制御装置。
- 設定データを含むデータを不揮発的かつ書換え可能に記憶する記憶部と、前記記憶部に記憶された前記設定データに従って安全入力機器からの入力信号に基づいて安全出力機器を制御する制御部と、記録媒体から所定のデータを読込むための記録媒体インターフェースと、外部コンピュータとの間で所定の通信を行なうための通信インターフェースとを有する安全制御装置の制御方法であって、
前記制御部が、
記録媒体を用いた前記設定データの更新を許可することを識別可能な許可情報または許可しないことをを識別可能な禁止情報を前記記憶部に記憶させるステップであって、前記記録媒体を用いた前記設定データの更新を許可することを示す情報が前記外部コンピュータから入力されたときに前記許可情報を記憶させるとともに、前記記録媒体を用いた前記設定データの更新を禁止することを示す情報が前記記録媒体または前記外部コンピュータから入力されたときに前記禁止情報を記憶させる一方、前記記録媒体を用いた前記設定データの更新を許可することを示す情報が前記記録媒体から入力されたときには、前記禁止情報から前記許可情報への変更を禁止するステップと、
前記記憶部に前記禁止情報が記憶されている場合、前記記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新することを禁止するステップと、
前記記憶部に前記許可情報が記憶されている場合、前記記録媒体インターフェースに接続された前記記録媒体に記憶された前記設定データで、前記記憶部に記憶された前記設定データを更新するステップとを含む、安全制御装置の制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010033258A JP5446965B2 (ja) | 2010-02-18 | 2010-02-18 | 安全制御装置、および、安全制御装置の制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010033258A JP5446965B2 (ja) | 2010-02-18 | 2010-02-18 | 安全制御装置、および、安全制御装置の制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011170581A JP2011170581A (ja) | 2011-09-01 |
| JP5446965B2 true JP5446965B2 (ja) | 2014-03-19 |
Family
ID=44684650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010033258A Expired - Fee Related JP5446965B2 (ja) | 2010-02-18 | 2010-02-18 | 安全制御装置、および、安全制御装置の制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5446965B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6299095B2 (ja) * | 2013-07-09 | 2018-03-28 | 富士電機株式会社 | 共有データ定義支援システム、そのマスタ装置、ローカル端末、プログラム |
| US9836426B2 (en) * | 2015-08-04 | 2017-12-05 | Honeywell International Inc. | SD card based RTU |
| US12093009B2 (en) | 2021-03-24 | 2024-09-17 | Yokogawa Electric Corporation | Onboarding distributed control node using secondary channel |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6289106A (ja) * | 1985-10-15 | 1987-04-23 | Omron Tateisi Electronics Co | プログラマブルコントロ−ラ |
| JP4807562B2 (ja) * | 2005-11-25 | 2011-11-02 | 横河電機株式会社 | プラント制御システム |
| JP4888718B2 (ja) * | 2007-06-29 | 2012-02-29 | オムロン株式会社 | 分散型制御システム |
-
2010
- 2010-02-18 JP JP2010033258A patent/JP5446965B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011170581A (ja) | 2011-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6073414B2 (ja) | 取り外し可能なセキュリティモジュール、および関連する方法 | |
| US20100031046A1 (en) | Method for Authorizing Access to at Least One Automation Component of a Technical System | |
| CN104850762B (zh) | 防止计算机的动作不良的方法、计算机程序以及计算机 | |
| US8381304B2 (en) | Apparatus and method for assuring secure disposal of a hard disk drive unit | |
| US20090276845A1 (en) | Programmable display device, and control system | |
| JP2012510096A (ja) | 自動化システムを制御する安全コントローラおよびその制御方法 | |
| JP5446965B2 (ja) | 安全制御装置、および、安全制御装置の制御方法 | |
| JP5992775B2 (ja) | プラグラマブルロジックコントローラ | |
| US9965599B2 (en) | Function setting method | |
| JP6457471B2 (ja) | 操作者識別システム | |
| JP4849261B2 (ja) | 安全アプリケーション作成支援装置 | |
| CN107223252A (zh) | 安全元件 | |
| JP2005056422A (ja) | 電子機器に対するプログラム書き込みの制御方法および制御システム | |
| US9779059B2 (en) | Commercial vehicle, in particular fork-lift truck or industrial truck, with a data memory that is rigidly attached on the vehicle side and assigned to a parameterisable electronic control arrangement | |
| JP5886173B2 (ja) | プログラマブルコントローラ | |
| US11022948B2 (en) | Safety control device and method for changing a range of functions of a safety control device | |
| EP1906334A2 (en) | Information leak-preventing apparatus and information leak-preventing method | |
| US20180150663A1 (en) | Card reader and method of controlling card reader | |
| JP2006059025A (ja) | Hdd用情報漏洩防止装置 | |
| CN111813077B (zh) | 一种工程机械参数在线标定控制系统及方法 | |
| CN112949870A (zh) | 用于在自动化工程中的现场设备的防篡改操作的方法 | |
| CN101576858A (zh) | 存储介质自动锁定装置及其方法 | |
| US20220164464A1 (en) | Control system, method, and control device | |
| US20120051203A1 (en) | Apparatus for using content, usage method of the content, computer program, recording medium and integrated circuit | |
| JP2012076427A (ja) | 射出成形機のログイン履歴管理方法および射出成形機 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130305 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130306 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130409 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131203 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131216 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5446965 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |