JP6598288B2 - Dynamic zoning plant system - Google Patents

Dynamic zoning plant system Download PDF

Info

Publication number
JP6598288B2
JP6598288B2 JP2015036148A JP2015036148A JP6598288B2 JP 6598288 B2 JP6598288 B2 JP 6598288B2 JP 2015036148 A JP2015036148 A JP 2015036148A JP 2015036148 A JP2015036148 A JP 2015036148A JP 6598288 B2 JP6598288 B2 JP 6598288B2
Authority
JP
Japan
Prior art keywords
local controller
group
switching
network configuration
plant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015036148A
Other languages
Japanese (ja)
Other versions
JP2016158194A (en
Inventor
一郎 越島
航 待井
正人 小池
友美 青山
拓郎 内田
Original Assignee
国立大学法人 名古屋工業大学
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 国立大学法人 名古屋工業大学 filed Critical 国立大学法人 名古屋工業大学
Priority to JP2015036148A priority Critical patent/JP6598288B2/en
Publication of JP2016158194A publication Critical patent/JP2016158194A/en
Application granted granted Critical
Publication of JP6598288B2 publication Critical patent/JP6598288B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)

Description

本発明は、プラントシステムのネットワークや接続構成を、生産プロセスを実行中であっても変更、つまりは動的な切り替えを可能にすることによりセキュリティやセーフティを向上させる技術に関する。
具体的には、現在主流のインターネットと接続されている一般的なプラントシステムは、IT系システムと制御系システムを備え、制御系はフィールドコントローラとローカルコントローラそれらの情報を監視するスーパーバイザリーシステムなどを備える。本発明は制御系システムに流れる通信を傍受することで、それらのシステムを監視し状態を把握することで、プラントシステムのネットワークや接続構成の変更を可能にする切り替え手段を有する動的ゾーニングプラントシステムに関する。システム構成の変更とはローカルコントローラやフィールド機器の接続を変更もしくは遮断することである。 The present invention relates to a technique for improving security and safety by changing a network and connection configuration of a plant system even during a production process, that is, by enabling dynamic switching.
Specifically, a general plant system that is currently connected to the mainstream Internet includes an IT system and a control system, and the control system includes a field controller and a supervisory system that monitors local controller information. Prepare. The present invention is a dynamic zoning plant system having switching means that enables change of network and connection configuration of a plant system by intercepting communication flowing through a control system system and monitoring those systems and grasping their states. About. Changing the system configuration means changing or blocking the connection of a local controller or field device.

ネットワークを切り替える技術は既に存在しており、ネットワークの設定をソフトウェアで切り替える技術とネットワークのLANの接続を物理的に切り替える装置が存在する。これらの技術はセキュリティ向上やネットワークのリソースの効果的な活用のために利用されている。またこの技術を活用したシステムとして特許文献1が挙げられる。 There is already a technology for switching networks, and there is a technology for switching network settings by software and a device for physically switching network LAN connections. These technologies are used to improve security and effectively use network resources. Patent Document 1 is an example of a system utilizing this technology.

特許文献1は、ネットワークに接続されたホストと、制御スイッチを備えたチャネルスイッチ装置、複数の記録媒体とロボット装置を格納したライブラリ装置からなる。ライブラリ制御システムはスイッチ装置がホストとドライブの接続の組み合わせを切り替え、さらにロボット装置が記録媒体とドライブの接続を切り替える仕組みを持つ動的ゾーニングプラントシステムが記載されている。これによりホストとドライブ装置の接続が変更可能になり、必要な時に動的にホストとドライブ装置の接続を変更することにより、複数のホストによりライブラリ装置を共有化して使用する場合に発生するデータ消失や破壊の防止などのセキュリティ向上を目的としている。
要するに最初から複数のホストによりライブラリ装置を共有化して使用する装置がありそれに対してセキュリティの向上を目的とした接続切り替え装置になる。 Patent Document 1 includes a host connected to a network, a channel switch device provided with a control switch, and a library device storing a plurality of recording media and a robot device. The library control system describes a dynamic zoning plant system in which a switching device switches a combination of connection between a host and a drive, and a robot device switches a connection between a recording medium and a drive. This makes it possible to change the connection between the host and the drive device. By dynamically changing the connection between the host and the drive device when necessary, data loss occurs when the library device is shared by multiple hosts. The purpose is to improve security such as preventing damage.
In short, there is a device that uses a library device shared by a plurality of hosts from the beginning, and it becomes a connection switching device for the purpose of improving security.

特許文献1に記載されている技術は、ネットワークを切り替える技術ではなく、システムの装置の構成を動的に切り替える技術である。またこの特許技術が対象にしているシステムはライブラリ装置になる。この特許技術の効果もセキュリティ向上と利便性にある。 The technique described in Patent Literature 1 is not a technique for switching networks, but a technique for dynamically switching the configuration of system devices. The system covered by this patented technology is a library device. The effect of this patented technology is also in security improvement and convenience.

現行のプラントのような制御系を用いたシステムはIT系システムと組み合わせて構成されている。また近年では、プラントシステムは利便性や生産効率向上の観点から、外部ネットワークへ接続されるようになってきた。しかしながら、制御系システムはセキュリティの観点を考慮して設計されておらず、セキュリティ対策が十分になされていない。その結果、ハッカーからのサイバー攻撃によってシステムをコントロールされてしまうという事例が発生している。ハッカーからのサイバー攻撃に対するセキュリティ向上策として、ゾーン分割という技術が存在する。これは制御系装置を複数のゾーンに分割し配置することでハッカーからの攻撃によって重大な事故を引き起こさせられる確率を下げ、サイバー攻撃による情報隠蔽工作を検知するためのものである。   A system using a control system such as a current plant is configured in combination with an IT system. In recent years, plant systems have been connected to external networks from the viewpoint of convenience and production efficiency. However, the control system is not designed in consideration of security, and security measures are not sufficiently taken. As a result, there have been cases where systems are controlled by cyber attacks from hackers. There is a technology called zone division as a security improvement measure against cyber attacks from hackers. This is to divide and arrange the control system devices into a plurality of zones to reduce the probability of a serious accident caused by an attack from a hacker, and to detect information concealment work due to cyber attacks.

図7の従来の一般的なプラントシステムの動的ゾーニングプラントシステムの構成図を示しており、この図について説明する。図7が示すようにプラントシステムは大きくIT系システム3aと制御系システム4aに分割することができ、IT系システムは第1ゲートウェイ32aを通じて外部のインターネット2aと接続されている。
IT系システム3aにはインターネット2aに接続される外部ネットワーク31aと非武装地帯に接続されるネットワーク33aと内部ネットワーク34aに接続する第1ゲートウェイ32a、外部向けサービスサーバー35a、ワークステーション36a、OPCデータサーバー37a、データベースサーバー38a、内部ネットワーク34aと制御系システム4aを接続する第2ゲートウェイ39Aがある。
さらに制御系システム4aにはエンジニアリングワークステーション51a、SCADA52a、OPCサーバー53a、ローカルコントローラ54aが存在する。これらを今回の発明ではローカルコントローラ群5aとする。ローカルコントローラ54aの下位にフィールド機器61aがフィールドバス62aで接続され存在し、これらをフィールド機器群6aとする。 The block diagram of the dynamic zoning plant system of the conventional general plant system of FIG. 7 is shown, This figure is demonstrated. As shown in FIG. 7, the plant system can be roughly divided into an IT system 3a and a control system 4a, and the IT system is connected to the external Internet 2a through a first gateway 32a.
The IT system 3a includes an external network 31a connected to the Internet 2a, a network 33a connected to the demilitarized zone and a first gateway 32a connected to the internal network 34a, an external service server 35a, a workstation 36a, and an OPC data server 37a. There is a second gateway 39A for connecting the database server 38a, the internal network 34a and the control system 4a.
Further, the control system 4a includes an engineering workstation 51a, a SCADA 52a, an OPC server 53a, and a local controller 54a. These are the local controller group 5a in the present invention. A field device 61a is connected to the lower level of the local controller 54a via a field bus 62a, and these are defined as a field device group 6a.

図8は従来の通常時の一般的なプラントシステムの動作のフローチャートを示しており、図8に従い、一般的なプラントシステムの動作を説明する。
S100でオペレーターはエンジニアリングワークステーションを操作して生産プロセスを定義する。S101でオペレーターはプラントシステムを起動させる。S102でオペレーターは、SCADAを操作してOPCサーバーを経由してフィールド機器の設定値を入力する。S103でオペレーターはさきほど定義した生産プロセスを実行し、プラントシステムは生産プロセスにしたがって生産を行う。S104でプラントシステムは生産プロセスを完了し成果物を得る。 FIG. 8 shows a flowchart of the operation of a conventional general plant system at normal time. The operation of the general plant system will be described with reference to FIG.
In S100, the operator operates the engineering workstation to define the production process. In S101, the operator activates the plant system. In S102, the operator operates SCADA and inputs setting values of field devices via the OPC server. In S103, the operator executes the production process defined above, and the plant system performs production according to the production process. In S104, the plant system completes the production process and obtains a product.

制御系はインフラや工場などに使用されており、インシデントが発生すると被害総額や被害規模が大規模になる可能性がある。過去において制御系を備えたプラントシステムはネットワークと接続されていなかったため、サイバー攻撃を受けることはないと考えられていた。その結果、十分なセキュリティ対策が施されていない、また制御系システムではオペレーションを常時継続することを最優先するため、そのオペレーションを阻害する可能性のあるIT系のための既存のセキュリティ対策をそのまま適用できないという問題もある。例えば、制御系システムの代表であるプラントシステムなどは生産効率や安全性の観点から、インシデントが発生したからといって急にシステムを停止することが出来ないという問題がある。そのためIT系サイドだけでなく制御系サイドでの特徴を考慮したセキュリティ対策が求められている現状がある。   The control system is used in infrastructure and factories, and if an incident occurs, there is a possibility that the total damage amount and damage scale will be large. In the past, plant systems equipped with a control system were not connected to the network, so it was thought that they would not receive cyber attacks. As a result, sufficient security measures have not been taken, and in control systems, the highest priority is always to continue operations, so existing security measures for IT systems that may impede the operations remain unchanged. There is also a problem that it cannot be applied. For example, a plant system or the like that is representative of a control system system has a problem that the system cannot be stopped suddenly just because an incident occurs from the viewpoint of production efficiency and safety. For this reason, there is a current situation in which security measures are required in consideration of characteristics on the control system side as well as the IT system side.

特開2006−92166JP 2006-92166 A

Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems 2011/8/29Eric D. Knapp, Joel Thomas LangillIndustrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems 2011/8 / 29Eric D. Knapp, Joel Thomas Langill

従来の動的ゾーニングプラントシステムは、制御系を備えたプラントシステムがセキュリティ上の脆弱性を持っており、これに対して対策を行う必要がある。またその解決策は既存のIT系のセキュリティ対策ではなく制御系の特徴を踏まえたセキュリティ対策手法を提案すること。さらに制御系にインシデントが発生したとしても早期復旧や対策を行えるようにすることが本発明の解決しようとしている課題になる。
本発明は、動的ゾーニングプラントシステムであるプラントが生産プロセスを実行中であっても構成を変更させることでインシデント対応を行うことを目的とする。 In a conventional dynamic zoning plant system, a plant system having a control system has security vulnerabilities, and it is necessary to take measures against this. The solution is to propose a security countermeasure method based on the characteristics of the control system, not the existing IT security countermeasures. Furthermore, even if an incident occurs in the control system, it is an issue to be solved by the present invention to enable early recovery and countermeasures.
An object of the present invention is to respond to an incident by changing the configuration even when a plant that is a dynamic zoning plant system is executing a production process.

発明1は、インターネットに繋がるIT系システム(3)と、IT系システム(3)に繋がるローカルコントローラ群(5)とフィールド機器群(6)を有する制御系システム(4)と、を有する動的ゾーニングプラントシステム(1)において、IT系システム(3)とローカルコントローラ群(5)との間に、ローカルコントローラ群(5)のネットワーク構成の変更のためのネットワークの動的変更を行う制御を行うLAN切り替え装置(71)と、ローカルコントローラ群(5)の通信の監視するローカルコントローラ群監視装置(72)と、ローカルコントローラ群(5)の通信を傍受するLAN分岐装置(73)を有し、ローカルコントローラ(5)のネットワークの構成を動的に変更するするLAN切り替えシステム(7)と、を備え、ローカルコントローラ群(5)とフィールド機器群(6)との間のフィールドバス(62)に、フィールド機器群(6)のネットワーク構成の変更のためのネットワークの動的変更を行う制御するフィールドバス切り替え装置(81)と、フィールド機器群(6)の通信の監視するフィールド機器監視装置(82)と、フィールド機器群(6)の通信を傍受するフィールドバス分岐装置(83)を有し、ローカルコントローラ群(5)とフィールド機器群(6)をつなぐネットワークの構成を動的に変更するフィールドバス切り替えシステム(8)と、を備え、プラントの動作中であってもプラントのネットワーク構成を手動もしくは自動で変更できるLAN切り替えシステム(7)、またはフィールドバス切り替えシステム(8)のいずれかを備えたことを特徴とする動的ゾーニングプラントシステム(1)である。
発明2は、LAN切り替え装置(71)は、ローカルコントローラ群(5)を接続するためのLAN切り替え手段(711)と、自動でネットワーク構成を行うための自動変更プログラム(7122)を有するネットワーク構成変更手段(712)を備え、ローカルコントローラ群監視装置(72)は、LAN分岐装置(73)が傍受した通信から、ローカルコントローラ群(5)の状態を監視し、異常発生時、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をすることを特徴とする発明1に記載の動的ゾーニングプラントシステム(1)である。
発明3は、フィールドバス切り替え装置(81)は、ローカルコントローラ群(5)とフィールド機器群(6)を接続するためのフィールドバス切り替え手段(811)と、
自動でネットワーク構成を行うための自動変更プログラム(8122)を有するネットワーク構成変更手段(812)を備え、フィールド機器監視装置(82)は、フィールドバス分岐装置(83)が傍受した通信から、フィールド機器群(6)の状態を監視し、異常発生時、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更の命令をすることを特徴とする発明1または2に記載の動的ゾーニングプラントシステム(1)である。
発明4は、ローカルコントローラ群監視装置(72)、およびフィールド機器監視装置(82)は、正常時状態遷移表を有し、異常判断を行っていることを特徴とする発明1乃至3のいずれかに記載する動的ゾーニングプラントシステム(1)である。 Invention 1 is a dynamic system comprising an IT system (3) connected to the Internet, and a control system (4) having a local controller group (5) and a field device group (6) connected to the IT system (3). In the zoning plant system (1), control is performed between the IT system (3) and the local controller group (5) to dynamically change the network for changing the network configuration of the local controller group (5). A LAN switching device (71), a local controller group monitoring device (72) for monitoring communication of the local controller group (5), and a LAN branching device (73) for intercepting communication of the local controller group (5), LAN switching system for dynamically changing the configuration of the network of the local controller group (5) (7) , And a dynamic control of the network for changing the network configuration of the field device group (6) on the field bus (62) between the local controller group (5) and the field device group (6). Fieldbus switching device (81), field device monitoring device (82) for monitoring communication of field device group (6), and fieldbus branching device (83) for intercepting communication of field device group (6). And a fieldbus switching system (8) for dynamically changing the configuration of the network connecting the local controller group (5) and the field device group (6), and the network configuration of the plant even during the operation of the plant LAN switching system (7) that can be changed manually or automatically, or fieldbus switching system ( A dynamic zoning plant system (1), characterized by comprising either).
In the second aspect of the present invention, the LAN switching device (71) includes a LAN switching means (711) for connecting the local controller group (5) and a network configuration change having an automatic change program (7122) for automatically configuring the network. Means (712), and the local controller group monitoring device (72) monitors the state of the local controller group (5) from the communication intercepted by the LAN branch device (73), and when an abnormality occurs, the network configuration changing means ( 712), the dynamic zoning plant system (1) according to the first aspect of the invention is characterized in that an instruction to change the network configuration is issued.
In the invention 3, the fieldbus switching device (81) includes a fieldbus switching means (811) for connecting the local controller group (5) and the field device group (6),
A network configuration change means (812) having an automatic change program (8122) for automatically configuring the network is provided, and the field device monitoring device (82) detects the field device from the communication intercepted by the fieldbus branch device (83). The dynamic zoning plant according to claim 1 or 2, wherein the state of the group (6) is monitored, and a network configuration change means (812) is instructed to change the network configuration when an abnormality occurs. System (1).
The invention 4 is any one of the inventions 1 to 3, wherein the local controller group monitoring device (72) and the field device monitoring device (82) have a normal state transition table and make an abnormality determination. It is a dynamic zoning plant system (1) described in 1).

発明1は、動的ゾーニングプラントシステムに、LAN切り替えシステム(7)、またはフィールドバス切り替えシステム(8)のいずれかを有する動的ゾーニングプラントシステム(1)を提供することで、プラントシステムに、インシデントの発生、例えばハッカーからの攻撃やコンピュータウィルスの感染が発生した際、プラントシステムの構成を変更させるなどの対応をすることができる。よって、プラントシステムが稼働中の場合でも、生産を止めないで対策することが可能になる。
発明2は、LAN切り替えシステム(7)のLAN切り替え装置(71)は、ローカルコントローラ群(5)の状態を監視し、異常発生時、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にローカルコントローラ群(5)の構成を変更できるようになり、インシデントの発生時にローカルコントロール群(5)の状態に合わせてネットワーク構成を変更することでインシデント対応を可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより攻撃を受けにくくすることができる。
発明3は、フィールドバス切り替えシステム(8)のフィールドバス切り替え装置(81)は、フィールド機器群(6)の状態を監視し、異常発生時、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にフィールド機器群(6)の構成を変更できるようになり、インシデントの発生時にフィールド機器群(6)の状態に合わせてネットワーク構成を変更することでインシデント対応を可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより攻撃を受けにくくすることができる。
発明4は、ローカルコントローラ群監視装置(72)、およびフィールド機器監視装置(82)は、正常時状態遷移表(9)を有し、異常判断を行っている。正常時状態遷移表(9)は、生産プロセス実行によりローカルコントローラとフィールド機器の状態も変化するため、時系列順のローカルコントローラとフィールド機器の状態変化を表す。ローカルコントローラ群監視装置(72)、およびフィールド機器監視装置(82)は、傍受した情報から把握したローカルコントローラとフィールド機器の状態と比較し、一致していれば正常、一致していなければ異常であると判断する。これにより、ローカルコントローラとフィールド機器の状態の異常を、適格に判断することができる。
以上より、本発明の動的ゾーニングプラントシステム(1)の適用は、プラントシステムに対するインシデントが発生の際の復元性の向上やプラントシステムのセーフティとセキュリティの向上効果を有する。
具体的には、プラントシステムを稼働時に、さらに何らかのインシデントが発生した場合には不正規な情報が流れるためこれを監視、発見し、状況に応じてネットワーク構成の変更を行うことで被害の拡大を阻止することが可能になる。 The invention 1 provides the dynamic zoning plant system with an incident on the plant system by providing the dynamic zoning plant system (1) having either the LAN switching system (7) or the fieldbus switching system (8). For example, when an attack from a hacker or a computer virus infection occurs, it is possible to take measures such as changing the configuration of the plant system. Therefore, even when the plant system is in operation, it is possible to take measures without stopping production.
In the invention 2, the LAN switching device (71) of the LAN switching system (7) monitors the state of the local controller group (5), and when an abnormality occurs, the network configuration is changed with respect to the network configuration changing means (712). Order change. This means that the configuration of the local controller group (5) can be changed automatically by the automatic change program, and the incident response can be handled by changing the network configuration according to the state of the local control group (5) when an incident occurs. enable. Therefore, it is possible to make the system less susceptible to attack by changing the network connection configuration of the control system in accordance with the change in the state of the plant accompanying the execution of the production process of the plant system.
In the invention 3, the fieldbus switching device (81) of the fieldbus switching system (8) monitors the state of the field device group (6), and when an abnormality occurs, the network configuration changing means (812) is informed of the network. Command to change the configuration. This is because the configuration of the field device group (6) can be automatically changed by the automatic change program, and the incident can be handled by changing the network configuration according to the state of the field device group (6) when an incident occurs. enable. Therefore, it is possible to make the system less susceptible to attack by changing the network connection configuration of the control system in accordance with the change in the state of the plant accompanying the execution of the production process of the plant system.
In the invention 4, the local controller group monitoring device (72) and the field device monitoring device (82) have the normal state transition table (9) and make an abnormality determination. The normal state transition table (9) represents the state change of the local controller and the field device in time series because the state of the local controller and the field device also changes due to the execution of the production process. The local controller group monitoring device (72) and the field device monitoring device (82) are compared with the state of the local controller and the field device ascertained from the intercepted information. If they match, it is normal, and if they do not match, it is abnormal. Judge that there is. As a result, it is possible to appropriately determine an abnormality in the state of the local controller and the field device.
As described above, the application of the dynamic zoning plant system (1) of the present invention has the effect of improving the resilience when an incident occurs on the plant system and improving the safety and security of the plant system.
Specifically, when the plant system is in operation, if any incident occurs, irregular information flows, so this is monitored and discovered, and the damage is expanded by changing the network configuration according to the situation. It becomes possible to stop.

上記および特許請求の範囲における括弧内の符号は、特許請求の範囲に記載された用語と後述の実施形態に記載される当該用語を例示する具体物等との対応関係を示すものである。 Reference numerals in parentheses in the above and the claims indicate the correspondence between the terms described in the claims and specifics or the like that exemplify the terms described in the following embodiments.

本発明の第1実施形態に係る動的ゾーニングプラントシステム1の概要図を示す。The schematic diagram of the dynamic zoning plant system 1 concerning a 1st embodiment of the present invention is shown. LAN切り替えシステム7の構成図を示す。The block diagram of LAN switching system 7 is shown. フィールドバス切り替えシステム8の構成図を示す。The block diagram of the fieldbus switching system 8 is shown. 動的ゾーニングプラントシステム1の構成を元にしたインシデント発生時のフローチャートを示す。The flowchart at the time of the incident generation based on the structure of the dynamic zoning plant system 1 is shown. ローカルコントローラ群5またはフィールド機器群6の正常時状態遷移表9を示す。The normal state transition table 9 of the local controller group 5 or the field device group 6 is shown. 第2実施形態に係る動的ゾーニングプラントシステム1の正常時のフローチャートを示す。The flowchart at the time of normal of the dynamic zoning plant system 1 which concerns on 2nd Embodiment is shown. 従来のプラントシステムの概要図を示す。The schematic diagram of the conventional plant system is shown. 従来の通常時の一般的なプラントシステムの動作のフローチャート示す。The flowchart of operation | movement of the conventional common plant system at the normal time is shown.

以下図面を参照にしながら本発明の実施形態を説明する。本発明は、以下の実施形態に限定されるものではなく、発明の範囲を逸脱しない限りにおいて、変更、修正、改良を加え得るものである。 Embodiments of the present invention will be described below with reference to the drawings. The present invention is not limited to the following embodiments, and changes, modifications, and improvements can be added without departing from the scope of the invention.

(第1実施形態)
図1は、本発明の第1実施形態に係る動的ゾーニングプラントシステム1の構成図を示す。図1に示すように、動的ゾーニングプラントシステムは、大きくIT系システム3と制御系システム4に分割することができ、IT系システムは第1ゲートウェイを通じて外部のインターネットに接続されている。この図の構成は参考特許文献から抜粋した図8とほぼ同じ構成になっている。
IT系システム3には外部ネットワーク31と非武装地帯33と内部ネットワーク34に接続する第1ゲートウェイ32、外部向けサービスサーバー35、ワークステーション36、OPCデータサーバー37、データベースサーバー38、内部ネットワーク34と制御系ネットワークを接続する第2ゲートウェイ39を有している。
さらに制御系システム4には一般的な制御系システムと同様にエンジニアリングワークステーション51、SCADA52、OPCサーバー53、ローカルコントローラ54、フィールド機器61、フィールドバス62を有している。
さらにローカルコントローラ群5の上部にLAN切り替えシステム7がある。ローカルコントローラ群5の内部にLAN切り替え装置71と、ローカルコントローラ群監視装置72とLAN分岐装置73を有している。
ローカルコントローラ群5とフィールド機器群6の間のフィールドバス62にフィールド機器監視システム8があり、フィールド機器監視システム8の内部にフィールド機器監視装置82とフィールドバス分岐装置83を有している。 (First embodiment)
FIG. 1 shows a configuration diagram of a dynamic zoning plant system 1 according to a first embodiment of the present invention. As shown in FIG. 1, the dynamic zoning plant system can be broadly divided into an IT system 3 and a control system 4, and the IT system is connected to the external Internet through a first gateway. The configuration of this figure is almost the same as that of FIG. 8 extracted from the reference patent document.
The IT system 3 includes a first gateway 32 connected to an external network 31, a demilitarized zone 33 and an internal network 34, an external service server 35, a workstation 36, an OPC data server 37, a database server 38, an internal network 34 and a control system. It has the 2nd gateway 39 which connects a network.
Further, the control system 4 includes an engineering workstation 51, a SCADA 52, an OPC server 53, a local controller 54, a field device 61, and a field bus 62 as in a general control system.
Further, a LAN switching system 7 is provided above the local controller group 5. The local controller group 5 includes a LAN switching device 71, a local controller group monitoring device 72, and a LAN branching device 73.
A field device monitoring system 8 is provided on the field bus 62 between the local controller group 5 and the field device group 6, and a field device monitoring device 82 and a field bus branching device 83 are provided inside the field device monitoring system 8.

図2は、第1実施形態のLAN切り替えシステム7の詳細を表した図である。LAN切り替え装置71は、手動変更プログラム7121と自動変更プログラム7122を備えたネットワーク構成変更手段712とLAN切り替え手段711を備えている。このLAN切り替え手段711によりLAN切り替え装置71は第2ゲートウェイ36とエンジニアリングワークステーション51、SCADA52、OPCサーバー53、さらに複数のローカルコントローラ54が接続される。LAN切り替え装置71に接続されたローカルコントローラ群監視装置72は監視手段721と正常時切替手段722と異常時切替判定手段723を有する。ローカルコントローラ群監視装置72はLAN分岐装置73からの信号を受け取る。LAN分岐装置73はLAN切り替え装置71とローカルコントローラ群5の間に存在する。   FIG. 2 is a diagram showing details of the LAN switching system 7 of the first embodiment. The LAN switching device 71 includes a network configuration changing unit 712 including a manual change program 7121 and an automatic change program 7122, and a LAN switching unit 711. By this LAN switching means 711, the LAN switching device 71 is connected to the second gateway 36, the engineering workstation 51, the SCADA 52, the OPC server 53, and a plurality of local controllers 54. The local controller group monitoring device 72 connected to the LAN switching device 71 includes monitoring means 721, normal time switching means 722, and abnormal time switching determination means 723. The local controller group monitoring device 72 receives a signal from the LAN branch device 73. The LAN branch device 73 exists between the LAN switching device 71 and the local controller group 5.

図3は、第1実施形態のフィールドバス切り替えシステム8の詳細を表した図である。フィールドバス切り替え装置81は、手動変更プログラム813と自動変更プログラム814を備えたネットワーク構成変更手段812とフィールドバス切り替え手段811を備えている。このフィールドバス切り替え手段811によりフィールドバス切り替え装置81は複数のローカルコントローラ52と複数のフィールド機器61が接続される。フィールドバス切り替え装置81に接続されたフィールド機器監視装置82は監視手段821と正常時切替手段822と異常時切替判定手段823を有する。フィールド機器監視装置82はフィールドバス分岐装置63からの信号を受け取る。フィールドバス分岐装置63はローカルコントローラ54とフィールド機器61の間に存在する。   FIG. 3 is a diagram showing details of the fieldbus switching system 8 of the first embodiment. The fieldbus switching device 81 includes a network configuration changing unit 812 having a manual change program 813 and an automatic change program 814, and a fieldbus switching unit 811. By this fieldbus switching means 811, the fieldbus switching device 81 is connected to a plurality of local controllers 52 and a plurality of field devices 61. The field device monitoring device 82 connected to the fieldbus switching device 81 includes monitoring means 821, normal time switching means 822, and abnormal time switching determination means 823. The field device monitoring device 82 receives a signal from the fieldbus branching device 63. The field bus branching device 63 exists between the local controller 54 and the field device 61.

(機能)
図2を用いて、第1実施形態の動的ゾーニングプラントシステム1の機能について説明する。一般的なプラントシステムの機能と同様に動的ゾーニングプラントシステム1におけるIT系システム3の第2ゲートウェイ36の下位に存在する制御系システムはSCADA52を使用し、OPCサーバー53を介して情報をローカルコントローラ54へと送信する。ローカルコントローラ54はその情報を基に設定されたプロセスを遂行する。
エンジニアリングワークステーション51は生産プロセスの構築を行う機能を持ち、生産プロセスを稼働させる前に使用される。
IT系システムに存在するサーバー群は生産管理や生産計画の受注を行うためのものであり、そのため外部と情報のやりとりが必要になり、インターネットと接続される。
ローカルコントローラ54はフィールド機器61の制御を行い、フィールドバスを介してフィールド機器61に接続される。
ローカルコントローラ54は与えられた命令に従ってフィールド機器61をコントロールし、生産プロセスを実行する。
LAN切り替えシステムとフィールドバス切り替えシステムに関しては後述する。 (function)
The function of the dynamic zoning plant system 1 of 1st Embodiment is demonstrated using FIG. The control system existing under the second gateway 36 of the IT system 3 in the dynamic zoning plant system 1 uses the SCADA 52 in the same manner as the function of a general plant system, and the information is transferred to the local controller via the OPC server 53. To 54. The local controller 54 performs a process set based on the information.
The engineering workstation 51 has a function of constructing a production process, and is used before starting the production process.
The server group existing in the IT system is used for receiving orders for production management and production planning. Therefore, it is necessary to exchange information with the outside and is connected to the Internet.
The local controller 54 controls the field device 61 and is connected to the field device 61 via the field bus.
The local controller 54 controls the field device 61 according to a given command and executes a production process.
The LAN switching system and the fieldbus switching system will be described later.

図3を用いて、第1実施形態のLAN切り替えシステム7の機能について説明する。
LAN切り替えシステム7はLAN切り替え手段711によってゲートウェイと複数のローカルコントローラ54、OPCサーバー53、SCADA52、エンジニアリングワークステーション51が接続される。ローカルコントローラ54とOPCサーバー53、SCADA52、エンジニアリングワークステーション51にはアドレスが与えられており、指定の場所に情報が受け渡すことが可能になっている。LAN切り替え装置71のネットワーク構成変更手段712によってネットワーク構成を変更することが可能である。この際の変更は手動変更プログラム7121と自動変更プログラム7122によって手動もしくは自動で行うことができ、切り替えは短時間で行われプラントシステムの生産プロセスを妨げることがないようになっている。変更を自動で行うためにローカルコントローラ群監視装置72はLAN分岐装置73と監視手段721によりローカルコントローラ群5が上部でやり取りする通信を監視しローカルコントローラとフィールド機器の状態を把握している。
また監視手段721は監視した通信からローカルコントロール群5が正常か異常かを判断する。正常時においては、正常時切替手段722が働きネットワーク構成変更手段712に構成を変更する命令を出す。
正常時切替手段722にはコントローラ群5の状態に応じたプラント構成が登録されており、コントローラ群5が正常時の特定の状態の時に登録されたプラント構成へと変更させる命令をネットワーク構成変更手段712に送る。
インシデントが発生した場合には、監視手段721は監視した通信をもとに異常を発見し、必要があれば異常時切替判定手段723が働きネットワーク構成変更手段712に構成を変更する命令を出す。
異常時切替判定手段723にはローカルコントローラ群5の異常な状態に応じたプラント構成が登録されており、ローカルコントローラ群5が登録された異常な状態になると、これに合わせたプラント構成を変更させる命令をネットワーク構成変更手段712に送る。
LAN分岐装置73はローカルコントローラ54とLAN切り替え装置71の間に存在しており、アドレスを持たないためハッカーからのネットワーク解析によって自身を発見させないようになっており、ローカルコントローラ54の通信を傍受しローカルコントローラ群監視装置72に情報を送る。 The function of the LAN switching system 7 of the first embodiment will be described with reference to FIG.
In the LAN switching system 7, a gateway and a plurality of local controllers 54, an OPC server 53, a SCADA 52, and an engineering workstation 51 are connected by a LAN switching unit 711. Addresses are given to the local controller 54, the OPC server 53, the SCADA 52, and the engineering workstation 51, so that information can be transferred to a designated place. The network configuration can be changed by the network configuration changing means 712 of the LAN switching device 71. The change at this time can be performed manually or automatically by the manual change program 7121 and the automatic change program 7122, and the switching is performed in a short time so as not to disturb the production process of the plant system. In order to make the change automatically, the local controller group monitoring device 72 monitors the communication that the local controller group 5 exchanges with the LAN branching device 73 and the monitoring unit 721 to grasp the state of the local controller and the field device.
The monitoring unit 721 determines whether the local control group 5 is normal or abnormal from the monitored communication. At the normal time, the normal time switching means 722 operates and issues a command for changing the configuration to the network configuration changing means 712.
The normal-time switching means 722 has registered a plant configuration according to the state of the controller group 5, and a network configuration changing means is configured to change an instruction to change to the registered plant configuration when the controller group 5 is in a specific state at the normal time. Send to 712.
When an incident occurs, the monitoring unit 721 finds an abnormality based on the monitored communication, and if necessary, the abnormal time switching determination unit 723 operates and issues a command to change the configuration to the network configuration changing unit 712.
A plant configuration corresponding to the abnormal state of the local controller group 5 is registered in the abnormal time switching determination means 723, and when the local controller group 5 enters the registered abnormal state, the plant configuration corresponding to this is changed. The command is sent to the network configuration changing means 712.
The LAN branching device 73 exists between the local controller 54 and the LAN switching device 71 and does not have an address so that it cannot be detected by network analysis from hackers. Information is sent to the local controller group monitoring device 72.

図3を用いて、フィールドバス切り替えシステム8の機能について説明する。フィールドバス切り替えシステム8はフィールドバス切り替え手段811によって複数のローカルコントローラ54と複数のフィールド機器61が接続される。これによりローカルコントローラ54から指定のフィールド機器61に情報が受け渡すことが可能になっている。フィールドバス切り替え装置81のネットワーク構成変更手段812によってフィールド機器61の接続先は変更することが可能である。この際の変更は手動変更プログラム8121と自動変更プログラム8122によって手動もしくは自動で行うことができ、切り替えは短時間で行われプラントシステムの生産プロセスを妨げることがないようになっている。変更を自動で行うためにフィールド機器監視装置82はフィールドバス分岐装置83と監視手段821によりローカルコントローラ54とフィールド機器61でやりとりされる通信を監視し、各フィールド機器の状態を把握し、状態が変化したタイミングで自動変更プログラム8122に命令を出す。
また監視手段821は監視した通信からフィールド機器群6が正常か異常かを判断する。正常時においては、正常時切替手段822が働きネットワーク構成変更手段812に構成を変更する命令を出す。
正常時切替手段822にはフィールド機器群6の状態に応じたプラント構成が登録されており、フィールド機器群6が正常時の特定の状態の時に登録されたプラント構成へと変更させる命令をネットワーク構成変更手段812に送る。
インシデントが発生した場合には、監視手段821は監視した通信をもとに異常を発見し、必要があれば異常時切替判定手段823が働きネットワーク構成変更手段712に構成を変更する命令を出す。
異常時切替判定手段823にはコントローラ群5の異常な状態に応じたプラント構成が登録されており、フィールド機器群6が登録された異常な状態になると、これに合わせたプラント構成を変更させる命令をネットワーク構成変更手段812に送る。
フィールドバス分岐装置83はローカルコントローラ54とフィールド機器61の間のフィールドバス62に存在しており、アドレスを持たないためハッカーなどからのネットワーク解析によって自身を発見させないようになっており、フィールドバス62を流れる情報を傍受しフィールド機器監視装置82に情報を送る。 The function of the fieldbus switching system 8 will be described with reference to FIG. In the fieldbus switching system 8, a plurality of local controllers 54 and a plurality of field devices 61 are connected by fieldbus switching means 811. As a result, information can be transferred from the local controller 54 to the designated field device 61. The connection destination of the field device 61 can be changed by the network configuration changing means 812 of the fieldbus switching device 81. The change at this time can be performed manually or automatically by the manual change program 8121 and the automatic change program 8122, and the switching is performed in a short time so as not to disturb the production process of the plant system. In order to perform the change automatically, the field device monitoring device 82 monitors the communication exchanged between the local controller 54 and the field device 61 by the field bus branching device 83 and the monitoring means 821, and grasps the state of each field device. An instruction is issued to the automatic change program 8122 at the changed timing.
The monitoring unit 821 determines whether the field device group 6 is normal or abnormal from the monitored communication. At the normal time, the normal time switching means 822 operates and issues a command to change the configuration to the network configuration changing means 812.
In the normal time switching means 822, a plant configuration corresponding to the state of the field device group 6 is registered, and an instruction to change to the registered plant configuration when the field device group 6 is in a specific state at the normal time is a network configuration. Send to change means 812.
When an incident occurs, the monitoring unit 821 finds an abnormality based on the monitored communication, and if necessary, the abnormal time switching determination unit 823 operates to issue a command to change the configuration to the network configuration changing unit 712.
A plant configuration corresponding to the abnormal state of the controller group 5 is registered in the abnormal time switching determination means 823. When the field device group 6 enters the abnormal state registered, a command to change the plant configuration according to the registered abnormal state. Is sent to the network configuration changing means 812.
The field bus branching device 83 exists in the field bus 62 between the local controller 54 and the field device 61. Since the field bus branching device 83 does not have an address, the field bus branching device 83 does not detect itself by network analysis from a hacker or the like. Is intercepted and sent to the field device monitoring device 82.

ローカルコントローラ群監視装置72の監視手段721およびフィールド機器監視装置82における監視手段821がどのように正常か異常かを判断する方法を説明する。一例として図5は、プラントシステムのローカルコントローラ群5とフィールド機器群6の正常時の状態遷移を表している(以下、正常時状態遷移表9)。正常時状態遷移表9の最左列が生産プロセス実行による変化するステップ番号になり、最上行はプラントシステムを構成するローカルコントローラ群5とフィールド機器群6になる。即ち、正常時状態遷移表9は、生産プロセス実行によりローカルコントローラ群5とフィールド機器群6の状態も変化するため、時系列順のローカルコントローラ群5とフィールド機器群6の状態変化が分かるようになっている。正常時状態遷移表9の図5のセルの中に記述されている0や1はローカルコントローラ群5とフィールド機器群6の状態を示している。このように正常時状態遷移表9は、プラントシステムの正常な作動状態を数値で定義する。第1実施形態は0と1で表しているが、プラントの生産プロセスや機器の仕組みなどによってはもっと多くの状態があるため、正常時状態遷移表9は、0や1以外の数値が記述されることもあり得る。
監視手段721、821では事前にこの図のような正常時状態遷移表9の情報を所持しており、傍受した情報から把握したローカルコントローラ群5とフィールド機器群6の状態と比較し、完全に一致していることを確認できた場合、正常であると判断する。また一部でも一致しないことを確認した場合、異常であると判断する。正常時状態遷移表9は、監視手段721、821において、それぞれ異なる。 A method of determining whether the monitoring unit 721 of the local controller group monitoring device 72 and the monitoring unit 821 of the field device monitoring device 82 are normal or abnormal will be described. As an example, FIG. 5 shows state transitions of the local controller group 5 and the field device group 6 of the plant system in a normal state (hereinafter, a normal state transition table 9). The leftmost column of the normal state transition table 9 is the step number that changes due to the execution of the production process, and the top row is the local controller group 5 and the field device group 6 constituting the plant system. That is, in the normal state transition table 9, since the state of the local controller group 5 and the field device group 6 also changes due to execution of the production process, the state change of the local controller group 5 and the field device group 6 in time series order can be understood. It has become. 0 and 1 described in the cell of FIG. 5 of the normal state transition table 9 indicate the states of the local controller group 5 and the field device group 6. Thus, the normal state transition table 9 defines the normal operating state of the plant system numerically. Although the first embodiment is represented by 0 and 1, since there are more states depending on the production process of the plant and the mechanism of the equipment, the normal state transition table 9 describes numerical values other than 0 and 1. It can happen.
The monitoring means 721 and 821 have the information of the normal state transition table 9 as shown in this figure in advance, and compare them with the states of the local controller group 5 and the field device group 6 ascertained from the intercepted information. If it can be confirmed that they match, it is determined to be normal. Further, when it is confirmed that even a part does not match, it is determined that there is an abnormality. The normal state transition table 9 is different between the monitoring units 721 and 821.

(動作)
図4に従い、動的ゾーニングプラントシステム1のインシデント発生時の動作を説明する。
S200でオペレーターは動的ゾーニングプラントシステム1を起動させる。S201でオペレーターはエンジニアリングワークステーションを操作して生産プロセスを定義する。S202でオペレーターはSCADAを操作してOPCサーバーを経由してフィールド機器の設定値を入力する。S203でオペレーターはさきほど定義した生産プロセスを実行し、動的ゾーニングプラントシステム1は生産プロセスにしたがって生産を行う。
S204ではハッカーなどのサイバー攻撃によるインシデントが発生する。S205ではローカルコントローラ群監視装置72の監視手段721によって通信の異常を検知できたかどうかで分岐し、検知された場合S206へ(S205:YES)、検知されなかった場合S214へ進む(S205:NO)。異常状態か否かの判断は、監視手段721ではそれぞれローカルコントローラ群5に相当する正常時状態遷移表9の情報を所持しており、傍受した情報から把握したローカルコントローラ群5の状態と比較し、完全に一致していることを確認できた場合、正常であると判断する。S206では警告表示手段が監視手段によって検知された異常をオペレーターに告げる。S207ではローカルコントローラ群監視装置72によって検知された異常状態が異常時切替判定手段723に定義された切り替えの条件か否かで分岐し、定義された条件に合致した場合S208へ(S207:YES)、合致しなかった場合S211へ進む(S207:NO)。S208でローカルコントローラ群監視装置72の異常時切替判定手段723がLAN切り替え装置の自動変更プログラム7122を動かす命令を送る。S209でLAN切り替え装置の自動変更プログラム7122がインシデントに応じて実行されLAN切り替え手段711を用いてローカルコントローラの接続を変更し構成を変更する。S210で警告表示手段724がオペレーターに異常を検知し自動変更プログラム7122によって構成が変更されたことを表示して知らせる。S211で警告表示手段724がオペレーターに異常を検知したが構成が変更されなかったことを表示して知らせる。S212では自動的に切り替え装置が働かなかったとしても再度、オペレーターが動的ゾーニングプラントシステムの構成の変更が必要かどうかを判断し必要であると判断すればS213に移行(S212:YES)、必要でなければS214に移行する(S212:NO)。S213ではオペレーターは構成の変更を必要と判断したためLAN切り替え装置の手動変更プログラム7121を実行しLAN切り替え手段711を用いてローカルコントローラの接続5を変更し構成を変更する。S214ではプラントシステムは構成変更の有る無しにかかわらず定義された生産プロセスを継続する。
次に、S214ではフィールド機器監視装置82の監視手段821によって通信の異常を検知できたかどうかで分岐し、検知された場合S215へ(S214:YES)、検知されなかった場合S223へ進む(S214:NO)。異常状態か否かの判断は、監視手段821では、それぞれフィールド機器群6に相当する正常時状態遷移表9の情報を所持しており、傍受した情報から把握したフィールド機器群6の状態と比較し、完全に一致していることを確認できた場合、正常であると判断する。S215では警告表示手段824が監視手段821によって検知された異常をオペレーターに告げる。S216では監視装置82によって検知された異常状態が異常時切替判定手段823に定義された切り替えの条件か否かで分岐し、定義された条件に合致した場合S217へ(S216:YES)、合致しなかった場合S220へ進む(S216:NO)。S217で監視装置82の異常時切替判定手段823がフィールドバス切り替え装置81の自動変更プログラム8122を動かす命令を送る。S218でフィールドバス切り替え装置81の自動変更プログラム8122がインシデントに応じて実行されフィールドバス切り替え手段811を用いてフィールド機器の接続を変更し構成を変更する。S219で警告表示手段824がオペレーターに異常を検知し自動変更プログラム8122によって構成が変更されたことを表示して知らせる。S220で警告表示手段824がオペレーターに異常を検知したが構成が変更されなかったことを表示して知らせる。S221では自動的に切り替え装置が働かなかったとしても再度、オペレーターが動的ゾーニングプラントシステムの構成の変更が必要かどうかを判断し必要であると判断すればS222に移行(S221:YES)、必要でなければS223に移行する(S221:NO)。S222ではオペレーターは構成の変更を必要と判断したためフィールドバス切り替え装置の手動変更プログラム8121を実行しフィールドバス切り替え手段811を用いてフィールド機器群6の接続を変更し構成を変更する。S223ではプラントシステムは構成変更の有る無しに関わらず定義された生産プロセスを継続する。 (Operation)
The operation of the dynamic zoning plant system 1 when an incident occurs will be described with reference to FIG.
In S200, the operator activates the dynamic zoning plant system 1. In S201, the operator operates the engineering workstation to define a production process. In S202, the operator operates SCADA to input setting values of field devices via the OPC server. In S203, the operator executes the production process defined earlier, and the dynamic zoning plant system 1 performs production according to the production process.
In S204, an incident due to a cyber attack such as a hacker occurs. In S205, the process branches depending on whether or not a communication abnormality has been detected by the monitoring unit 721 of the local controller group monitoring device 72. If detected, the process proceeds to S206 (S205: YES), and if not detected, the process proceeds to S214 (S205: NO). . The monitoring means 721 has information on the normal state transition table 9 corresponding to the local controller group 5 and compares it with the state of the local controller group 5 ascertained from the intercepted information. If it can be confirmed that they are completely matched, it is determined to be normal. In S206, the warning display means informs the operator of the abnormality detected by the monitoring means. In S207, the process branches depending on whether or not the abnormal state detected by the local controller group monitoring device 72 is a switching condition defined in the abnormal time switching determination unit 723. If the defined condition is met, the process proceeds to S208 (S207: YES). If they do not match, the process proceeds to S211 (S207: NO). In step S208, the abnormal time switching determination unit 723 of the local controller group monitoring device 72 sends a command to move the automatic change program 7122 of the LAN switching device. In step S209, the LAN switching device automatic change program 7122 is executed in response to the incident, and the LAN switching unit 711 is used to change the connection of the local controller to change the configuration. In step S210, the warning display unit 724 detects an abnormality and displays and notifies the operator that the configuration has been changed by the automatic change program 7122. In S211, the warning display means 724 displays and notifies the operator that an abnormality has been detected but the configuration has not been changed. Even if the switching device does not automatically operate in S212, if the operator again determines whether or not it is necessary to change the configuration of the dynamic zoning plant system, the process proceeds to S213 (YES in S212). Otherwise, the process proceeds to S214 (S212: NO). In S213, since the operator determines that the configuration needs to be changed, the operator executes the LAN switching device manual change program 7121 to change the connection 5 of the local controller using the LAN switching means 711 to change the configuration. In S214, the plant system continues the defined production process regardless of whether there is a configuration change.
Next, in S214, the process branches depending on whether or not a communication abnormality has been detected by the monitoring unit 821 of the field device monitoring device 82. If detected, the process proceeds to S215 (S214: YES), and if not detected, the process proceeds to S223 (S214: NO). The monitoring means 821 has information on the normal state transition table 9 corresponding to the field device group 6 and compares it with the state of the field device group 6 ascertained from the intercepted information. If it can be confirmed that they are completely matched, it is determined to be normal. In S215, the warning display unit 824 notifies the operator of the abnormality detected by the monitoring unit 821. In S216, the process branches depending on whether or not the abnormal state detected by the monitoring device 82 is the switching condition defined in the abnormal time switching determination unit 823. If the defined condition is met, the process proceeds to S217 (S216: YES). If not, the process proceeds to S220 (S216: NO). In S 217, the abnormal time switching determination unit 823 of the monitoring device 82 sends a command to move the automatic change program 8122 of the fieldbus switching device 81. In S218, the automatic change program 8122 of the fieldbus switching device 81 is executed in response to the incident, and the fieldbus switching means 811 is used to change the connection of the field device and change the configuration. In step S219, the warning display unit 824 detects an abnormality and notifies the operator that the configuration has been changed by the automatic change program 8122. In S220, the warning display means 824 displays and notifies the operator that an abnormality has been detected but the configuration has not been changed. Even if the switching device does not automatically operate in S221, if the operator again determines whether or not it is necessary to change the configuration of the dynamic zoning plant system, the process proceeds to S222 (S221: YES). Otherwise, the process proceeds to S223 (S221: NO). In S222, the operator determines that the configuration needs to be changed, so the fieldbus switching device manual change program 8121 is executed, and the fieldbus switching means 811 is used to change the connection of the field device group 6 to change the configuration. In S223, the plant system continues the defined production process regardless of whether there is a configuration change.

以上より、インシデントが発生し異常を検出し、自動変更プログラム7122、8122が実行されない場合、オペレーターがプラントを手動変更プログラム7121、8121で変更することになる。ただし、オペレーターが手動変更プログラム7121、8121を実行できなかったとしても、プラントの生産プロセスは既に実行されている場合急には、生産を停止することはできないため生産プロセスが継続される。 As described above, when an incident occurs and an abnormality is detected and the automatic change programs 7122 and 8122 are not executed, the operator changes the plant with the manual change programs 7121 and 8121. However, even if the operator cannot execute the manual change programs 7121 and 8121, if the production process of the plant has already been executed, the production process cannot be stopped suddenly, so the production process is continued.

(効果)
第1実施形態の動的ゾーニングプラントシステム1によって、インシデントが起こった際にプラントの機器のネットワーク接続を変更することにより被害の拡大の阻止と早期復旧を可能とする。 (effect)
With the dynamic zoning plant system 1 of the first embodiment, when an incident occurs, the network connection of the plant equipment is changed to prevent the damage from spreading and to make an early recovery.

LAN切り替え装置71のネットワーク構成変更手段712によって、ローカルコントローラ54の接続が変更されるとハッカーがサイバー攻撃を成功することがより困難になる。またネットワークから切り離すことにより攻撃の影響の範囲を限定することができる上に、隔離した状態でコントロールが可能になる。ハッカーのサイバー攻撃に対して早期に気付いた場合(例えば、マルウェア感染した場所がSCADAのみ、ハッカーによって侵入された端末がOPCサーバーのみなど)SCADAやOPCサーバーをネットワークから切り離すことで、安全性の確立と、早期マルウェア対応やハッカーをシャットアウトすることが可能になる。これらの切り替えはプラントの生産プロセスを実行中に可能であるため、生産プロセスを止めることなくインシデント対応が可能になる。   If the connection of the local controller 54 is changed by the network configuration changing means 712 of the LAN switching device 71, it becomes more difficult for a hacker to succeed in the cyber attack. In addition, the scope of the attack can be limited by separating from the network, and control can be performed in an isolated state. Establish safety by separating SCADA and OPC servers from the network when they become aware of hackers' cyber attacks at an early stage (for example, only SCADA is infected by malware and only OPC servers are compromised by hackers) And early malware response and hackers can be shut out. Since these switching operations can be performed during the production process of the plant, incident response can be performed without stopping the production process.

LAN分岐装置73とフィールドバス分岐装置83は自身のアドレスを持たずに自身の存在するネットワークに流れる情報を傍受し、ローカルコントローラ群監視装置72またはフィールド機器監視装置82に受け渡す。これによりハッカーからはプラントシステムのローカルコントローラ群5とフィールド機器群6を監視していることを分からないようにしながら監視することができるためLAN分岐装置73とフィールドバス分岐装置83は攻撃を受けることなく確実に傍受し続けることが可能になる。   The LAN branch device 73 and the field bus branch device 83 intercept the information flowing in the network in which the LAN branch device 73 and the field bus branch device 83 exist and pass the information to the local controller group monitoring device 72 or the field device monitoring device 82. As a result, hackers can monitor the local controller group 5 and field device group 6 of the plant system without knowing that the LAN branch device 73 and the fieldbus branch device 83 are attacked. It is possible to continue to intercept without fail.

ローカルコントローラ群監視装置72とフィールド機器監視装置82は、それぞれ監視手段721、821と異常時切替判定手段723、823を持ち、LAN分岐装置73とフィールドバス分岐装置83により傍受した通信を、監視手段721、821に定義された情報の状態と比較することで異常を発見することが可能である。また異常時切替判定手段723、823により発見した異常に合わせた適切な命令をネットワーク切り替え手段に送ることが可能である。   The local controller group monitoring device 72 and the field device monitoring device 82 have monitoring means 721 and 821 and an abnormal time switching determination means 723 and 823, respectively, and monitor the communication intercepted by the LAN branch device 73 and the fieldbus branch device 83. It is possible to find an abnormality by comparing with the state of information defined in 721 and 821. Further, it is possible to send an appropriate command in accordance with the abnormality found by the abnormality switching determination means 723 and 823 to the network switching means.

(第2実施形態)
従来のプラントシステムでは、正常に稼働している場合、構成機器など変更の際には安全のためにプラントをいったん完全に停止させる必要があった。そのためプラント構成を変更させるためには停止から再稼働までの時間と停止したことによる生産効率の低下によるコストがかかる課題があった。第2実施形態は、プラントを停止することなく、プラントの構成を変更できるようにし、オペレーターの操作ミスやハッカーからのサイバー攻撃の予防をすることを目的とする。 (Second Embodiment)
In the conventional plant system, when it is operating normally, it is necessary to completely stop the plant once for safety when changing the components. Therefore, in order to change the plant configuration, there is a problem that the time from the stop to the restart and the cost due to the decrease in production efficiency due to the stop. The second embodiment is intended to change the configuration of a plant without stopping the plant, and to prevent operator mistakes and cyber attacks from hackers.

発明1により、これを行う動的ゾーニングプラントシステム(1)を提供することができる。
また、発明5は、LAN切り替え装置(71)は、ローカルコントローラ群(5)を接続するためのLAN切り替え手段(711)と、自動でネットワーク構成を行うための自動変更プログラム(7122)を有するネットワーク構成変更手段(712)を備え、ローカルコントローラ群監視装置(72)は、LAN分岐装置(73)が傍受した通信から、前記ローカルコントローラ群(5)の状態を監視し、正常時に監視していた情報から、ローカルコントローラ群(5)の接続を変更すべきタイミングを判断し、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をすることを特徴とする発明1に記載の動的ゾーニングプラントシステム(1)である。
発明5は、LAN切り替えシステム(7)のLAN切り替え装置(71)は、ローカルコントローラ群(5)の状態を監視し、正常時、ネットワーク構成変更手段(712)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にローカルコントローラ群(5)の構成を変更できるようになり、インシデントが発生しておらず生産プロセスが問題なく遂行されている正常時にローカルコントロール群(5)の状態に合わせてネットワーク構成を変更することを可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより、使っていない機器を切り離すなど必要性の薄い機器を変更する機能がある。よって、プラントシステムのサイバー攻撃に対する露出を最小限にする、人間による誤操作を防ぐ効果がある。
発明6は、フィールドバス切り替え装置(81)は、ローカルコントローラ群(5)とフィールド機器群(6)を接続するためのフィールドバス切り替え手段(811)と、
自動でネットワーク構成を行うための自動変更プログラム(8122)を有するネットワーク構成変更手段(812)を備え、フィールド機器監視装置(82)は、フィールドバス分岐装置(83)が傍受した通信から、フィールド機器群(6)の状態を監視し、正常時に監視していた情報からフィールド機器群(6)の接続を変更すべきタイミングを判断し、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更の命令をすることを特徴とする発明1または5に記載の動的ゾーニングプラントシステム(1)である。
発明6は、フィールドバス切り替えシステム(8)のフィールドバス切り替え装置(81)は、フィールド機器群(6)の状態を監視し、インシデントが発生しておらず生産プロセスが問題なく遂行されている正常時、ネットワーク構成変更手段(812)に対して、ネットワークの構成を変更の命令をする。これは、自動変更プログラムによって自動的にフィールド機器群(6)の構成を変更できるようになり、正常時にフィールド機器群(6)の状態に合わせてネットワーク構成を変更することを可能にする。よって、プラントシステムの生産プロセス実行に伴うプラントの状態変化に合わせて、制御系システムのネットワーク接続構成を変更することにより、使っていない機器を切り離すなど必要性の薄い機器を変更する機能がある。よって、プラントシステムのサイバー攻撃に対する露出を最小限にする、人間による誤操作を防ぐ効果がある。 According to the invention 1, a dynamic zoning plant system (1) for performing this can be provided.
In the invention 5, the LAN switching device (71) includes a LAN switching means (711) for connecting the local controller group (5) and an automatic change program (7122) for automatically configuring the network. The local controller group monitoring device (72) is provided with a configuration change means (712), and monitors the state of the local controller group (5) from the communication intercepted by the LAN branch device (73) and monitors it in a normal state. The timing of changing the connection of the local controller group (5) is determined from the information, and the network configuration changing means (712) is instructed to change the network configuration. Dynamic zoning plant system (1).
In the invention 5, the LAN switching device (71) of the LAN switching system (7) monitors the state of the local controller group (5), and changes the network configuration to the network configuration changing means (712) when normal. Order. This is because the configuration of the local controller group (5) can be automatically changed by the automatic change program, and no incident has occurred and the production process has been executed without any problem in the normal control group (5). It is possible to change the network configuration according to the state. Therefore, there is a function of changing a less necessary device such as disconnecting an unused device by changing the network connection configuration of the control system in accordance with a change in the state of the plant accompanying the execution of the production process of the plant system. Therefore, it has the effect of minimizing exposure to cyber attacks on the plant system and preventing human operations.
In the invention 6, the field bus switching device (81) includes a field bus switching means (811) for connecting the local controller group (5) and the field device group (6),
A network configuration change means (812) having an automatic change program (8122) for automatically configuring the network is provided, and the field device monitoring device (82) detects the field device from the communication intercepted by the fieldbus branch device (83). The status of the group (6) is monitored, the timing for changing the connection of the field device group (6) is determined from the information monitored at the normal time, and the network configuration is changed to the network configuration changing means (812). The dynamic zoning plant system (1) according to the invention 1 or 5, characterized in that a change instruction is issued.
According to the sixth aspect of the present invention, the fieldbus switching device (81) of the fieldbus switching system (8) monitors the state of the field device group (6), and no incident has occurred and the production process has been successfully performed. At this time, the network configuration changing means (812) is instructed to change the network configuration. This allows the configuration of the field device group (6) to be automatically changed by the automatic change program, and allows the network configuration to be changed in accordance with the state of the field device group (6) in a normal state. Therefore, there is a function of changing a less necessary device such as disconnecting an unused device by changing the network connection configuration of the control system in accordance with a change in the state of the plant accompanying the execution of the production process of the plant system. Therefore, it has the effect of minimizing exposure to cyber attacks on the plant system and preventing human operations.

図6に、第2実施形態に係る動的ゾーニングプラントシステム1正常時のフローチャートを示す。
まずS500でオペレーターは動的ゾーニングプラントシステム1を起動させる。S501でオペレーターはエンジニアリングワークステーションを操作して生産プロセスを定義する。S502でオペレーターはSCADAを操作してOPCサーバーを経由してフィールド機器群6の設定値を入力する。S503でオペレーターはさきほど定義した生産プロセスを実行し、動的ゾーニングプラントシステム1は生産プロセスにしたがって生産を行う。S504でローカルコントローラ群監視装置72の監視手段721が通信を監視し、正常状態であると判断する。S505でローカルコントローラ群監視装置72の正常時切替判定手段722によって切り替えの条件と照らし合わせネットワーク構成の変更の有無を判断し、必要であると判断すれば変更の命令を自動変更プログラム7122に対して行いS506に移行(S505:YES)、必要でなければS507に移行する(S505:NO)。S506でLAN切り替え装置71の自動変更プログラム7122が命令に従ってLAN切り替え手段711を用いてローカルコントローラ群5の接続を変更する。S507ではプラントシステムは構成の変更が有る無しに関わらず定義された生産プロセスを継続する。
次に、S508でフィールド機器監視装置82の監視手段821が通信を監視し、正常状態であると判断する。S509でフィールド機器監視装置82の正常時切替判定手段822によって切り替えの条件と照らし合わせネットワーク構成の変更の有無を判断し、必要であると判断すれば変更の命令を自動変更プログラム8122に対して行いS510に移行(S509:YES)、必要でなければS511に移行する(S509:NO)。
S510でフィールドバス切り替え装置81の自動変更プログラム8122が命令に従ってフィールドバス切り替え手段811を用いてフィールド機器群6の接続を変更する。S511ではプラントシステムは構成の変更が有る無しに関わらず定義された生産プロセスを継続する。 FIG. 6 shows a flowchart when the dynamic zoning plant system 1 according to the second embodiment is normal.
First, in S500, the operator activates the dynamic zoning plant system 1. In S501, the operator operates the engineering workstation to define a production process. In S502, the operator operates SCADA and inputs the set value of the field device group 6 via the OPC server. In S503, the operator executes the production process defined earlier, and the dynamic zoning plant system 1 performs production according to the production process. In step S504, the monitoring unit 721 of the local controller group monitoring device 72 monitors the communication and determines that it is in a normal state. In step S505, the normal state switching determination unit 722 of the local controller group monitoring device 72 determines whether or not the network configuration has been changed against the switching condition. If it is determined that it is necessary, a change command is sent to the automatic change program 7122. The process proceeds to S506 (S505: YES), and if not required, the process proceeds to S507 (S505: NO). In S506, the automatic change program 7122 of the LAN switching device 71 changes the connection of the local controller group 5 using the LAN switching means 711 in accordance with the command. In S507, the plant system continues the defined production process regardless of whether the configuration has been changed.
In step S508, the monitoring unit 821 of the field device monitoring apparatus 82 monitors the communication and determines that it is in a normal state. In step S509, the normal state switching determination unit 822 of the field device monitoring apparatus 82 determines whether or not the network configuration has been changed by checking the switching conditions. If it is determined to be necessary, a change command is issued to the automatic change program 8122. The process proceeds to S510 (S509: YES), and if not necessary, the process proceeds to S511 (S509: NO).
In S510, the automatic change program 8122 of the fieldbus switching device 81 changes the connection of the field device group 6 using the fieldbus switching means 811 according to the instruction. In S511, the plant system continues the defined production process regardless of whether the configuration has been changed.

(使用時の例1)
動的ゾーニングプラントシステム1のIT系システム3の部署にハッカーが潜り込みプラントシステムを破壊するマルウェアをOPCデータサーバーにアップロードした。マルウェアは通信のログなどを元にさらなるネットワーク情報を取得し、脆弱性を悪用して制御系システム内部のSCADAに侵入した場合の使用例である。マルウェアはSCADAからOPCサーバーを踏み台にしてローカルコントローラ54に不正規な命令を送った。LAN分岐装置73によって傍受された不正規な命令はローカルコントローラ群監視装置72に送られ監視手段を用いて異常を発見した。この異常を元に異常時切替判定手段723がLAN切り替え装置71のネットワーク構成変更手段を用いてローカルコントローラ54を素早くネットワークから独立させた。これによりマルウェアの影響の波及を抑えることができる。
(使用時の例2)
プラントシステムに対する攻撃が何件も報告されているというシチュエーションを仮定した場合である。こういったニュースが動的ゾーニングプラントシステム1の関係者の耳に入った時点で、念のためエンジニアリングワークステーション、SCADA、OPCサーバー、ローカルコントローラ54のアドレスや構成、ゾーン、さらにローカルコントローラ群5とフィールド機器群6の接続構成がネットワーク構成変更手段を用いて変更された。この攻撃は事前に内部の情報を取得したことで成功させるタイプの攻撃だったため、アドレス、ゾーンを変更することで攻撃対象を見失うことになり、ハッカーの思惑が外れた。これにより事前に攻撃を防ぐことができる。
(使用時の例3)
通常時においてオペレーターはSCADAを操作して、フィールド機器61に設定値を送り込んだ場合である。その後の生産プロセスにおいてこのフィールド機器61は操作を行う必要がないため、自動変更プログラムによってネットワークから切り離された。これにより、オペレーターが間違った操作をすることを防ぐことができ、またハッカーの攻撃の対象となりうる可能性を下げることができた。 (Example 1 when used)
Hackers dive into the department of the IT system 3 of the dynamic zoning plant system 1 and uploaded malware that destroyed the plant system to the OPC data server. Malware is an example of use in the case where further network information is acquired based on a communication log or the like, and the vulnerability is exploited to invade SCADA inside the control system. The malware sent an irregular command from SCADA to the local controller 54 using the OPC server as a springboard. An irregular command intercepted by the LAN branching device 73 is sent to the local controller group monitoring device 72 and an abnormality is found using the monitoring means. Based on this abnormality, the abnormality switching determination unit 723 uses the network configuration changing unit of the LAN switching device 71 to quickly make the local controller 54 independent of the network. As a result, the spread of the influence of malware can be suppressed.
(Example 2 when using)
This is the case assuming a situation in which many attacks against the plant system have been reported. When such news comes to the ears of the people involved in the dynamic zoning plant system 1, the address and configuration of the engineering workstation, SCADA, OPC server, local controller 54, zone, The connection configuration of the field device group 6 has been changed using the network configuration change means. Because this attack was a type of attack that succeeded by acquiring internal information in advance, changing the address and zone lost sight of the attack target, and the hacker's speculation was lost. This can prevent an attack in advance.
(Example 3 when using)
This is a case where the operator operates SCADA to send a set value to the field device 61 in a normal time. Since the field device 61 does not need to be operated in the subsequent production process, it is disconnected from the network by the automatic change program. As a result, the operator can be prevented from performing the wrong operation, and the possibility of being the target of a hacker attack can be reduced.

1 プラントシステム
2 インターネット
3 IT系システム
4 制御系システム
5 ローカルコントローラ群
6 フィールド機器群
7 LAN切り替えシステム
8 フィールドバス切り替えシステム
9 正常時状態遷移表
31 外部ネットワーク
32 第1ゲートウェイ
33 非武装地帯
34 内部ネットワーク
35 外部向けサービスサーバー
36 ワークステーション
37 OPCデータサーバー
38 データベースサーバー
39 第2ゲートウェイ
51 エンジニアリングワークステーション
52 SCADA
53 OPCサーバー
54 ローカルコントローラ
61 フィールド機器
62 フィールドバス
71 LAN切り替え装置
72 ローカルコントローラ群監視装置
73 LAN分岐装置
81 フィールドバス切り替え装置
82 フィールド機器監視装置
83 フィールドバス分岐装置
711 LAN切り替え手段
712 ネットワーク構成変更手段
7121 手動変更プログラム
7122 自動変更プログラム
721 監視手段
722 正常時判定手段
723 異常時判定手段
724 警告表示手段
811 フィールドバス切り替え手段
812 ネットワーク構成変更手段
8121 手動変更プログラム
8122 自動変更プログラム
821 監視手段
822 正常時判定手段
823 異常時判定手段
824 警告表示手段


1 Plant System 2 Internet 3 IT System 4 Control System 5 Local Controller Group 6 Field Device Group 7 LAN Switching System 8 Fieldbus Switching System 9 Normal State Transition Table 31 External Network 32 First Gateway 33 Demilitarized Zone 34 Internal Network 35 External service server 36 Workstation 37 OPC data server 38 Database server 39 Second gateway 51 Engineering workstation 52 SCADA
53 OPC server 54 Local controller 61 Field device 62 Field bus 71 LAN switching device 72 Local controller group monitoring device 73 LAN branch device 81 Field bus switching device 82 Field device monitoring device 83 Field bus branch device 711 LAN switching means 712 Network configuration changing means 7121 Manual change program 7122 Automatic change program 721 Monitoring means 722 Normal time determination means 723 Abnormal time determination means 724 Warning display means 811 Fieldbus switching means 812 Network configuration change means 8121 Manual change program 8122 Automatic change program 821 Monitoring means 822 Normal time determination Means 823 Abnormal determination means 824 Warning display means


Claims (4)

インターネットに繋がるIT系システム(3)と、
前記IT系システム(3)に繋がるローカルコントローラ群(5)とフィールド機器群(6)を有する制御系システム(4)と、
を有する動的ゾーニングプラントシステム(1)において、
前記IT系システム(3)と前記ローカルコントローラ群(5)との間に、
前記ローカルコントローラ群(5)のネットワーク構成の変更のためのネットワークの動的変更を行う制御を行うLAN切り替え装置(71)と、
前記ローカルコントローラ群(5)の通信の監視するローカルコントローラ群監視装置(72)と、
前記ローカルコントローラ群(5)の通信を傍受するLAN分岐装置(73)を有し、
前記ローカルコントローラ(5)のネットワークの構成を動的に変更するするLAN切り替えシステム(7)と、を備え、
前記ローカルコントローラ群(5)と前記フィールド機器群(6)との間のフィールドバス(62)に、
前記フィールド機器群(6)のネットワーク構成の変更のためのネットワークの動的変更を行う制御するフィールドバス切り替え装置(81)と、
前記フィールド機器群(6)の通信の監視するフィールド機器監視装置(82)と、
前記フィールド機器群(6)の通信を傍受するフィールドバス分岐装置(83)を有し、
前記ローカルコントローラ群(5)と前記フィールド機器群(6)をつなぐネットワークの構成を動的に変更するフィールドバス切り替えシステム(8)と、を備え、
プラントの動作中であってもプラントのネットワーク構成を手動もしくは自動で変更できる前記LAN切り替えシステム(7)、または前記フィールドバス切り替えシステム(8)のいずれかを備えたことを特徴とする動的ゾーニングプラントシステム(1)。 IT system (3) connected to the Internet,
A control system (4) having a local controller group (5) and a field device group (6) connected to the IT system (3);
In a dynamic zoning plant system (1) having
Between the IT system (3) and the local controller group (5),
A LAN switching device (71) for performing control to dynamically change the network for changing the network configuration of the local controller group (5);
A local controller group monitoring device (72) for monitoring communication of the local controller group (5);
A LAN branching device (73) for intercepting communication of the local controller group (5);
A LAN switching system (7) for dynamically changing the network configuration of the local controller group (5),
In the field bus (62) between the local controller group (5) and the field device group (6),
A fieldbus switching device (81) for performing dynamic network change for changing the network configuration of the field device group (6);
A field device monitoring device (82) for monitoring communication of the field device group (6);
A fieldbus branching device (83) for intercepting communication of the field device group (6);
A fieldbus switching system (8) that dynamically changes a network configuration connecting the local controller group (5) and the field device group (6),
Dynamic zoning comprising either the LAN switching system (7) or the fieldbus switching system (8) capable of changing the network configuration of the plant manually or automatically even during operation of the plant Plant system (1). 前記LAN切り替え装置(71)は、
前記ローカルコントローラ群(5)を接続するためのLAN切り替え手段(711)と、
自動でネットワーク構成を行うための自動変更プログラム(7122)を有するネットワーク構成変更手段(712)を備え、
前記ローカルコントローラ群監視装置(72)は、
前記LAN分岐装置(73)が傍受した通信から、
前記ローカルコントローラ群(5)の状態を監視し、
異常発生時、
前記ネットワーク構成変更手段(712)に対して、
ネットワークの構成を変更の命令をすることを特徴とする請求項1に記載の動的ゾーニングプラントシステム(1)。 The LAN switching device (71)
LAN switching means (711) for connecting the local controller group (5);
Network configuration change means (712) having an automatic change program (7122) for automatically performing network configuration,
The local controller group monitoring device (72)
From the communication intercepted by the LAN branching device (73),
Monitoring the state of the local controller group (5);
When an abnormality occurs,
For the network configuration changing means (712),
The dynamic zoning plant system (1) according to claim 1, characterized in that an instruction to change the network configuration is issued. 前記フィールドバス切り替え装置(81)は、
前記ローカルコントローラ群(5)と前記フィールド機器群(6)を接続するためのフィールドバス切り替え手段(811)と、
自動でネットワーク構成を行うための自動変更プログラム(8122)を有するネットワーク構成変更手段(812)を備え、
前記フィールド機器監視装置(82)は、
前記フィールドバス分岐装置(83)が傍受した通信から、
前記フィールド機器群(6)の状態を監視し、
異常発生時、
前記ネットワーク構成変更手段(812)に対して、
ネットワークの構成を変更の命令をすることを特徴とする請求項1または2に記載の動的ゾーニングプラントシステム(1)。 The fieldbus switching device (81)
Field bus switching means (811) for connecting the local controller group (5) and the field device group (6);
Network configuration change means (812) having an automatic change program (8122) for automatically configuring the network;
The field device monitoring device (82)
From the communication intercepted by the fieldbus branch device (83),
Monitoring the state of the field device group (6),
When an abnormality occurs,
For the network configuration changing means (812),
The dynamic zoning plant system (1) according to claim 1 or 2, characterized in that an instruction to change the network configuration is issued. 前記ローカルコントローラ群監視装置(72)、および前記フィールド機器監視装置(82)は、正常時状態遷移表(9)を有し、異常判断を行っていることを特徴とする請求項1乃至3のいずれかに記載する動的ゾーニングプラントシステム(1)。 The local controller group monitoring device (72) and the field device monitoring device (82) each have a normal state transition table (9) and make an abnormality determination. The dynamic zoning plant system (1) described in any one.
JP2015036148A 2015-02-26 2015-02-26 Dynamic zoning plant system Active JP6598288B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015036148A JP6598288B2 (en) 2015-02-26 2015-02-26 Dynamic zoning plant system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015036148A JP6598288B2 (en) 2015-02-26 2015-02-26 Dynamic zoning plant system

Publications (2)

Publication Number Publication Date
JP2016158194A JP2016158194A (en) 2016-09-01
JP6598288B2 true JP6598288B2 (en) 2019-10-30

Family

ID=56826794

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015036148A Active JP6598288B2 (en) 2015-02-26 2015-02-26 Dynamic zoning plant system

Country Status (1)

Country Link
JP (1) JP6598288B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4030251B1 (en) * 2020-08-05 2024-06-05 Chiyoda Corporation Method for managing plant, plant design device, and plant management device

Also Published As

Publication number Publication date
JP2016158194A (en) 2016-09-01

Similar Documents

Publication Publication Date Title
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
KR102251600B1 (en) A system and method for securing an industrial control system
US20150295944A1 (en) Control system, control method, and controller
US9813448B2 (en) Secured network arrangement and methods thereof
US10819742B2 (en) Integrated industrial system and control method thereof
EP3476101B1 (en) Method, device and system for network security
WO2018198733A1 (en) Security monitoring system and security monitoring method
EP3182234A1 (en) Control device, integrated industrial system, and control method thereof
CN104850093A (en) Method for monitoring security in an automation network, and automation network
CN105204431B (en) Four remaining signal monitoring means of votings and equipment
JP2018007179A (en) Device, method and program for monitoring
EP3646561B1 (en) A threat detection system for industrial controllers
JP6831763B2 (en) Incident analyzer and its analysis method
CN115189957A (en) Access control engine capable of being loaded actively by industrial control system
JP6598288B2 (en) Dynamic zoning plant system
JP6921776B2 (en) Incident detection system and its method
EP3940476A1 (en) Controller system
KR101833712B1 (en) Method, apparatus and computer program for service fuction chainnig using software defined networking
JP5684103B2 (en) Plant security management apparatus, management method, and management program
CN209821633U (en) CCR-FARs structure of oil field control system
JP7255369B2 (en) control system
EP4155998B1 (en) Intrusion prevention device, intrusion prevention method, and program
JP7071876B2 (en) Control system and error factor determination method
JP2016151965A (en) Redundant configuration system and redundant configuration control method
JP7034885B2 (en) Abnormal factor determination device and its display device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180223

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190122

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190311

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190927

R150 Certificate of patent or registration of utility model

Ref document number: 6598288

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150