WO2007060959A1

WO2007060959A1 - プラント制御システム

Info

Publication number: WO2007060959A1
Application number: PCT/JP2006/323242
Authority: WO
Inventors: Satoru Ohsako
Original assignee: Yokogawa Electric Corporation
Priority date: 2005-11-25
Filing date: 2006-11-21
Publication date: 2007-05-31
Also published as: JP2007148609A; US20090171479A1; DE112006003180T5; JP4807562B2; US8290601B2; CN101313261A

Abstract

　プラント制御システムにおいて、　少なくとも１つの制御装置と、　前記制御装置のセキュリティ状態を変更するエンジニアリング装置と、　を備え、　前記制御装置は、　前記エンジニアリング装置からダウンロードされるセキュリティレベル変更要求を受付け、前記制御装置が保持しているパスワードを参照して前記制御装置のセキュリティレベルを変更するセキュリティ管理部と、　前記セキュリティ管理部による前記セキュリティレベルの変更を許可する変更許可部と　を有することを特徴とするプラント制御システム。

Description

明細書

プラント制御システム

技術分野

[0001] 本発明は、制御装置のセキュリティ状態を変更するエンジニアリング装置と、このェンジニアリング装置力ダウンロードされるセキュリティレベル変更要求を受付け、保持しているパスワードを参照してセキュリティレベルを変更するセキュリティ管理部を具備する制御装置とよりなるプラント制御システムに関するものである。

背景技術

[0002] プラントの安全操業のために、異常発生時にプラントからの異常信号に対してブラントを停止操作する、安全制御装置を備えたプラント制御システムがある。

[0003] 図 5は、分散型制御装置と安全制御装置を組み合わせた、プラント制御システムの一例を示す機能ブロック図である。参照番号 1は制御対象のプラント、参照番号 2は分散型制御装置の制御装置であり、プラント 1のフィールド機器の制御を実行する。

[0004] 制御装置 2は、制御バス 3を介して上位の操作監視装置 4と通信する。操作監視装置 4は、汎用通信バス 5に接続され、この汎用通信バス 5を介して外部 PC6との通信を可能としている。

[0005] 参照番号 10は、システムの定義情報 (セキュリティレベル)を変更するエンジニアリング装置であり、制御バス 3に接続されている。このエンジニアリング装置 10は、汎用通信バス 5にも接続され、操作監視装置 4及び外部 PC6との通信を可能としている。

[0006] 参照番号 20は、制御バス 3に接続された安全制御装置である。この安全制御装置 20は、制御バス 3を介してエンジニアリング装置 10と通信すると共に、プラント 1のフィールド機器と通信し、プラント 1からの異常信号に対してプラントを停止操作するシャットダウン処理を実行する。

[0007] 安全制御装置 20において、参照番号 21は通信インタフェース部であり、ェンジ- ァリング装置 10からダウンロードされるセキュリティ変更要求及びデータ変更要求を受付け、セキュリティ変更要求をセキュリティ管理部 22に渡すと共に、データ変更要求を要求受付タスク 23に渡す。 [0008] 参照番号 24はセキュリティレベル保持部であり、安全制御装置 20が持っている現在のセキュリティ状態（セキュリティレベル）を保持してヽる。セキュリティレベルによつて、後述のプログラムやデータベースを書き換えることができる内容が異なる。

[0009] セキュリティ管理部 22のみ力セキュリティレベル保持部 24が保持しているセキユリティ状態を変更する権限を有している。セキュリティ管理部 22は、エンジニアリング装置 10力もセキュリティ変更要求を取得してセキュリティレベル保持部のセキュリティ状態を変更する際には、パスワード保持部 25の内容を参照する。

[0010] 要求受付タスク 23は、安全制御装置 20に対する様々な変更要求を受け付けるタスク群で構成されるが、受付処理を行う場合には、セキュリティレベル保持部 24が保持して、る現在のセキュリティ情報を参照する。

[0011] 要求受付タスク 23の夫々力参照されるセキュリティ情報をもとに要求処理タスク 2 6に変更要求を渡すカゝ否かを判断する。要求処理タスク 26は、要求受付タスク 23から渡された変更要求に基づいてプログラム 27又はデータベース 28を参照又は設定する。

[0012] ユーザは、安全制御装置 20のプログラム 27の内容やデータベース 28のデータの変更を行う場合、まず、エンジニアリング装置 10よりセキュリティ変更操作を実行する。このとき、エンジニアリング装置 10から安全制御装置 20のセキュリティ状態を変更するために、そのセキュリティ状態に対応したパスワードが必要となる。

[0013] エンジニアリング装置 10より適正なパスワードが設定された場合のみ、安全制御装置 20はセキュリティ状態を変更できる。つまり、パスワードを知っているこということは、変更権限を有する特別なユーザであると安全制御装置 20が解釈する。

[0014] 特許文献 1には、セキュリティ管理機能を備えたプロセス制御装置が記載されてヽる。

[0015] 特許文献 1 :日本特許公開公報、特開 2005— 301935号

発明の開示

発明が解決しょうとする課題

[0016] 関連技術のプラント制御システムでは、安全制御装置 20のセキュリティレベルを変更する時に必要なものは、エンジニアリング装置 10に入力するパスワードのみである。ハードウェアスィッチによる切り替えの機構に比べ、故障することもなぐ遠隔地からの操作も可能でユーザにとって扱、やす、。

[0017] 反面、パスワードさえ知っていれば、どんなユーザでも変更操作できることになり、悪意をもった人間から容易にセキュリティレベルを下げられて、プログラムやデータべースを破壊される可能性がある。

[0018] 本発明は上述した問題点を解決するためになされたものであり、意図しないタイミングではセキュリティレベルを変更することができな、ように、セキュリティレベルを保護するプラント制御システムを提供する。

課題を解決するための手段

[0019] 本発明の 1実施形態のプラント制御システムは、

少なくとも 1つの制御装置と、

前記制御装置のセキュリティ状態を変更するエンジニアリング装置と、

を備え、

前記制御装置は、

前記エンジニアリング装置力ダウンロードされるセキュリティレベル変更要求を受付け、前記制御装置が保持して、るパスワードを参照して前記制御装置のセキユリティレベルを変更するセキュリティ管理部と、

前記セキュリティ管理部による前記セキュリティレベルの変更を許可する変更許可部と、

を有する。

[0020] 上記プラント制御システムにおいて、

前記制御装置は、前記制御装置の外部から与えられる許可信号が入力されるユーザアプリケーションを有し、

前記変更許可部は、前記ユーザアプリケーションからの出力により操作される。

[0021] 上記プラント制御システムにおいて、

前記ユーザアプリケーションは、前記許可信号が入力され前記変更許可部を操作する信号を出力するファンクションブロックを備える。

[0022] 上記プラント制御システムにおいて、前記ファンクションブロックには、システム管理者の操作するスィッチ部により前記許可信号が入力される。

[0023] 上記プラント制御システムにおいて、

前記ファンクションブロックには、外部機器より通信を介して与えられる前記許可信号が入力される。

[0024] 上記プラント制御システムにおいて、

複数の前記制御装置の夫々が備える前記ファンクションブロックに対して、外部機器より通信を介して与えられる前記許可信号が入力される。

[0025] 上記プラント制御システムにおいて、

前記制御装置は、プラントからの異常信号に対して、前記プラントの停止操作を実行する安全制御装置である。

発明の効果

[0026] (1)セキュリティレベルの変更を制御する許可情報を安全制御装置が持つことで、セキュリティレベルの悪意の変更に対するガードが可能である。万一、セキュリティレベルを変更するためのパスワードが漏洩しても、安全制御装置のプログラムやデータベースを書き換えることはできな、。

[0027] (2)変更許可状態を制御できるファンクションブロックを用いることで、 CPUモジュール自身に専用のスィッチが不要となり、一般の接点入力信号を利用することが可能となる。これにより、スィッチが故障した場合のメンテナンスが容易となるうえ、安全制御装置から離れた場所からの操作も容易となる。

[0028] (3)変更許可状態を、ファンクションブロックで操作できるため、ユーザにより許可条件の設定を任意にカスタマイズし、より厳しい解除条件を容易に設定できる。例えば、複数キーの入力が全てオン状態になったらパスワードによる変更を受け付ける、等のアプリケーションを容易に作成できる。

図面の簡単な説明

[0029] [図 1]分散型制御装置と組み合わされた、本発明を適用したプラント制御システムの実施形態を示す機能ブロック図である。

[図 2]セキュリティ管理部による信号処理の手順を示すフローチャートである。 [図 3]ファンクションブロックによる変更手順を説明するイメージ図である。

圆 4]本発明の他の実施形態を示す要部の機能ブロック図である。

[図 5]分散型制御装置と組み合わされた、プラント制御システムの一例を示す機能ブロック図である。

符号の説明

1 プラント

2 制御装置

3 制御バス

4 操作監視装置

5 汎用通信バス

6 外部 PC

10 エンジニアリング装置

100 安全制御装置

101 通信インタフェース咅

102 セキュリティ管理部

103 要求受付タスク

104 セキュリティレベル保持部

105 パスワード保持部

106 要求処理タスク

107 プログラム

108 データベース

109 変更許可部

110 ユーザアプリケーション

111 ファンクションブロック

発明を実施するための最良の形態

以下、本発明を図面により詳細に説明する。図 1は分散型制御装置と組み合わされた、本発明を適用したプラント制御システムの実施形態を示す機能ブロック図である。図 5で説明したシステムと同一要素には同一符号を付して説明を省略する。 [0032] 図 1において、参照番号 100は安全制御装置である。通信インタフェース部 101、要求受付タスク 103、パスワード保持部 105、要求処理タスク 106、プログラム 107、データベース 108の各要素は、図 5で説明したシステムに対応する各要素と同一である。

[0033] 参照番号 109は、セキュリティレベル保持部 104内に設けた変更許可部である。この変更許可部 109は、エンジニアリング装置 10からの変更要求に対してセキュリティレベルを変更できるカゝ否かを決めるフラグ情報を持つ。

[0034] 変更許可部 109のフラグは、外部から与えられる変更許可信号を入力するユーザアプリケーション 110からの出力で操作される。参照番号 111は、ユーザアプリケー

[0035] このファンクションブロック 111は、システム管理者が操作する許可信号 DIを入力し、操作信号 Doを出力して変更許可部 109のフラグを操作する。ファンクションブロック 111は、入力値 DIが TRUEの場合は変更許可部 109の状態を"不許可"にし、 FAL SEの場合には、 "許可"に変更する。

[0036] セキュリティ管理部 102は、セキュリティレベルの変更要求を受け付けてセキュリティレベルの変更を実行するが、パスワードの参照に先立って変更許可部 109の変更許可状態を参照する。

[0037] 変更許可部 109の変更許可状態が"不許可"であれば、セキュリティレベル変更要求に対してエンジニアリング装置 10にエラーを返信し、変更許可部 109の変更許可状態が"許可"であれば、ノスワードの照合処理を実行する。

[0038] 図 2は、セキュリティ管理部 102による信号処理の手順を示すフローチャートである。ステップ S1で変更要求通信の受付処理を開始すると、ステップ S2で変更許可部 1 09の変更許可状態を参照する。

[0039] 判断ステップ S3で変更許可状態が許可状態であることを確認する。ステップ S4で、変更要求のあったセキュリティレベルである変更レベルと対応するパスワードを参照する。判断ステップ S5でパスワードの一致を確認すると、ステップ S6でセキュリティレベルの変更処理を実行し、ステップ S7で変更要求通信の受付処理を終了する。

[0040] 判断ステップ S3で変更許可部 109の変更許可状態が不許可である場合及び判断ステップ S5でパスワードがー致しな!/、場合には、ステップ S8でエラーをエンジニアリング装置 10に返して、ステップ S7で変更要求通信の受付処理を終了する。

[0041] 図 3は、ファンクションブロック 111 (SYS_SEC_CTL)による変更手順を説明するィメージ図である。 DIlOO.vは、デジタル入力信号に繋がった入出力変数であり、システム管理者がキースィッチを ON/OFFすることで値を変更することができる。

[0042] エンジニアは、ファンクションブロック 111より入出力変数 DO200.Vを介して出力される信号で作動するランプでセキュリティレベル変更の許可状態を確認した上で、ェンジニアリング装置 10からパスワードを使ってセキュリティレベルを変更する。

[0043] 本発明では、変更許可状態の管理をファンクションブロックとしたことで、入力条件を任意に決められるだけではなぐ入力信号自体を外部機器力の信号に変えることもできる。即ち、 SYS_SEC_CTLブロックへの入力を入力信号ではなぐ例えば、通信部を介して他の機器力通信データとして入力することができる。

[0044] 図 4は、本発明の他の実施形態を示す要部の機能ブロック図である。 2つのプラント制御システムにおける安全制御装置 100A及び 100Bが備えるファンクションブロック 111A及び 111Bの入力を共通とし、管理用マスターステーション 200からステーション間通信信号 Sを入力させることで、各システムの変更許可状態を一括管理することができる。

[0045] 又、複数のプラントの制御装置の変更許可状態を、 OPC (OLE for Process Control

)通信経由で上位コンピュータ力遠隔操作することも可能である。

[0046] 以上説明した実施形態では、本発明の適用対象を安全制御装置 100としたが、分散型制御装置における制御装置 2に対するエンジニアリング装置（図示せず)力の変更要求処理にも適用することができる。

本出願は、 2005年 11月 25日出願の日本特許出願 (特願 2005— 339836)に基づくものであり、その内容はここに参照として取り込まれる。

Claims

請求の範囲

[1] プラント制御システムにおいて、

少なくとも 1つの制御装置と、

を備え、

前記制御装置は、

を有することを特徴とするプラント制御システム。

[2] 前記制御装置は、前記制御装置の外部から与えられる許可信号が入力されるユーザアプリケーションを有し、

前記変更許可部は、前記ユーザアプリケーションからの出力により操作されることを特徴とする請求項 1に記載のプラント制御システム。

[3] 前記ユーザアプリケーションは、前記許可信号が入力され前記変更許可部を操作する信号を出力するファンクションブロックを備えることを特徴とする請求項 2に記載のプラント制御システム。

[4] 前記ファンクションブロックには、システム管理者の操作するスィッチ部により前記許可信号が入力されることを特徴とする請求項 3に記載のプラント制御システム。

[5] 前記ファンクションブロックには、外部機器より通信を介して与えられる前記許可信号が入力されることを特徴とする請求項 3に記載のプラント制御システム。

[6] 複数の前記制御装置の夫々が備える前記ファンクションブロックに対して、外部機器より通信を介して与えられる前記許可信号が入力される請求項 3に記載のプラント制御システム。

[7] 前記制御装置は、プラントからの異常信号に対して、前記プラントの停止操作を実行する安全制御装置であることを特徴とする請求項 1乃至 6のいずれかに記載のブラント制御システム。