WO2013035203A1

WO2013035203A1 - プログラマブル表示器

Info

Publication number: WO2013035203A1
Application number: PCT/JP2011/070645
Authority: WO
Inventors: 健吾小荒
Original assignee: 三菱電機株式会社
Priority date: 2011-09-09
Filing date: 2011-09-09
Publication date: 2013-03-14
Also published as: JPWO2013035203A1; KR20140071413A; CN103765500B; BR112014005071A2; TWI454869B; CN103765500A; US20140223571A1; IN2014CN02335A; TW201312309A; DE112011105594T5; US9218492B2; JP5143310B1

Abstract

　プログラマブル表示器は、複数の機器を制御する制御装置に接続され前記制御装置に対するユーザインターフェースとして機能するプログラマブル表示器であって、画面と前記画面内に配置される複数の表示オブジェクトとを表示部に表示する表示処理手段と、前記画面の候補となる候補画面及び前記表示オブジェクトの候補となる候補表示オブジェクトのそれぞれについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベルを規定する設定セキュリティレベル情報と、セキュリティが前記複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループを規定する設定セキュリティグループ情報とを記憶する記憶手段とを備えている。

Description

プログラマブル表示器

　本発明は、プログラマブル表示器に関する。

　特許文献１には、生産・組立システムにおける入力手段付きモニタ装置において、表示切換セキュリティ制御部が、表示パーツごとにセキュリティ設定値が記述設定されている画面データを読み出すとともに、プログラマブルコントローラ（ＰＣ）に設定されているデバイス値（セキュリティレベル値）を読み出し、セキュリティレベル値とセキュリティ設定値とを比較し、比較結果に基づいて各表示パーツ毎に表示パールの表示／非表示の切換指示を行うことが記載されている。これにより、特許文献１によれば、画面データを表示する際に、比較結果に基づいて各表示パーツ毎に表示パーツの表示／非表示を行うので、セキュリティ設定だけで、１つの画像データで必要な文字・数値だけを画面表示することができるとされている。

　特許文献２には、複数の被監視制御装置を監視制御する監視制御装置において、操作実行権判定処理部が、入力されたオペレータ名・パスワードを受けて、オペレータ名・パスワードを基にオペレータが属するオペレータグループを担当者グループテーブルから検索し、さらに、そのオペレータグループに実行権を許可された機能グループをセキュリティテーブルＡから検索して検索結果を実行可否情報としてメモリ上に保存するとともに、そのオペレータグループに実行権を許可された装置グループをセキュリティテーブルＢから検索して検索結果を実行可否情報としてメモリ上に保存することが記載されている。これにより、特許文献２によれば、メモリ上に保存されている実行可否情報を参照してオペレータの実行の可否を判別するので、セキュリティ機能の構成内容に柔軟性を持たせることができるとされている。

　特許文献３には、プログラマブル表示器において、キー情報制御部が、オペレータの情報が格納されたハードウェアキーのプログラマブル表示器への接続を認識し、ＣＰＵが、ハードウェアキーからオペレータの情報を取得し、オペレータの情報をキーリスト格納部に格納されたリスト情報と比較し、リスト情報にオペレータの情報が含まれている場合にグラフィックコントローラに表示制御を指示することが記載されている。これにより、特許文献３によれば、ハードウェアキーを接続することによりオペレータに応じた表示画面の表示動作を制御することができるので、従来のようなパスワード入力によるアクセスコントロールを施す必要がなく、パスワードの漏洩といった事態が生じることはないとされている。

特開平１１－３１２０１３号公報特開平１１－３１２０９９号公報特開２００４－１７１２８３号公報

　特許文献１に記載の技術は、セキュリティレベルにより各表示パーツの表示／非表示を制御するものに過ぎず、セキュリティレベルのみではセキュリティの管理が困難であるユースケースに対応することができない。

　セキュリティレベルのみではセキュリティの管理が困難であるユースケースとして、例えば、工場のラインをモニタするプログラマブル表示器であって、例えばラインＡ、ラインＢといった２つのラインを監視・操作する役割を持つプログラマブル表示器がラインＡ及びラインＢのそれぞれの班長及び作業者により共通して使用されるユースケースが考えられる。このユースケースでは、ラインＡ、ラインＢはそれぞれ独立に班長、作業者が存在し、各自が担当するラインについてのみ閲覧、操作ができ、班長は作業者にはできない設定操作が許可されるようにしたいという要求が考えられる。このユースケースでは、例えば、ラインＡの班長とラインＢの班長とに同じセキュリティレベルが割り当てられると、ラインＢの班長がラインＢだけでなくラインＡも監視できてしまうので、上記の要求を満たすことができない。すなわち、セキュリティレベルのみではセキュリティの管理が困難である。

　特許文献２に記載の技術では、オペレータグループに実行権を許可された機能グループが登場するが、この機能グループを設定するための「機能グループテーブル」におけるその設定単位は、あくまで装置を操作するための機能の単位であり、特許文献２には、表示制御に関する記載が一切なく、セキュリティレベルに関する記載も一切ない。すなわち、特許文献２に記載の技術は、オペレータごとにどの装置のどの機能の操作を許可するかの制御を行うものに過ぎず、プログラマブル表示器のように画面内に多数の表示オブジェクトを配置し、その画面ごと又はその表示オブジェクトごとにセキュリティの権限を管理したいという方法には適さない。

　特許文献３に記載の技術では、オペレータの情報としてグループのレベルやセキュリティのレベルが例示されているが、特許文献３の「グループのレベル」は「レベル」という横割り的な概念に過ぎず「セキュリティのレベル」と同様の概念に過ぎないと考えられる。すなわち、特許文献３に記載の技術においても、セキュリティレベルのみではセキュリティの管理が困難であるユースケースに対応することができない。

　本発明は、上記に鑑みてなされたものであって、表示部に表示すべき画面及び表示オブジェクトのそれぞれに対してセキュリティを横割り的にランク付けして管理するだけでなく縦割り的にグループ化して管理することに適したプログラマブル表示器を得ることを目的とする。

　上述した課題を解決し、目的を達成するために、本発明の１つの側面にかかるプログラマブル表示器は、複数の機器を制御する制御装置に接続され前記制御装置に対するユーザインターフェースとして機能するプログラマブル表示器であって、画面と前記画面内に配置される複数の表示オブジェクトとを表示部に表示する表示処理手段と、前記画面の候補となる候補画面及び前記表示オブジェクトの候補となる候補表示オブジェクトのそれぞれについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベルを規定する設定セキュリティレベル情報と、セキュリティが前記複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループを規定する設定セキュリティグループ情報とを記憶する記憶手段とを備えたことを特徴とする。

　本発明によれば、設定セキュリティレベル情報及び設定セキュリティグループ情報を記憶しているので、表示部に表示すべき画面及び表示オブジェクトのそれぞれに対してセキュリティを横割り的にランク付けして管理するだけでなく縦割り的にグループ化して管理することに適したプログラマブル表示器を提供できる。

図１は、実施の形態にかかるプログラマブル表示器を適用したシステムの構成を示す図である。図２は、実施の形態にかかるプログラマブル表示器の構成を示す図である。図３は、実施の形態における候補画面及び候補表示オブジェクトを示す図である。図４は、実施の形態におけるセキュリティレベルとセキュリティグループとの関係を示す概念図である。図５は、実施の形態における設定セキュリティレベル情報及び設定セキュリティグループ情報の構成を示す図である。図６は、実施の形態におけるオペレータ管理情報の構成を示す図である。図７は、実施の形態にかかるプログラマブル表示器の動作を示すフローチャートである。図８は、実施の形態にかかるプログラマブル表示器の動作を示すフローチャートである。図９は、実施の形態にかかるセキュリティグループのチェック処理の詳細を示す図である。図１０は、実施の形態にかかる表示部の動作を示す図である。図１１は、実施の形態にかかる表示部の動作を示す図である。図１２は、実施の形態にかかる表示部の動作を示す図である。図１３は、実施の形態にかかる表示部の動作を示す図である。

　以下に、本発明にかかるプログラマブル表示器の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。

実施の形態．
　実施の形態にかかるプログラマブル表示器１００が適用された制御システム１０の概略構成について図１を用いて説明する。図１は、制御システム１０の概略構成を示す図である。

　制御システム１０は、複数の機器の制御に用いられる制御システムである。制御システム１０は、作画装置４００、プログラマブル表示器１００、制御装置２００、及び複数の機器３０１～３０３を備える。なお、本明細書においてオペレータとは、プログラマブル表示器１００を操作する人を意味する。また、本明細書においてユーザとは作画装置４００を介してプログラマブル表示器１００の画面を設計する画面設計者を意味する。

　作画装置４００は、プログラマブル表示器１００に接続されている。作画装置４００は、ユーザからの操作に応じて、プログラマブル表示器１００上に表示すべき画面の設計データである作画データを作成する。作画装置４００は、作画データをプログラマブル表示器１００へ供給する。

　プログラマブル表示器１００は、作画装置４００及び制御装置２００に接続されている。プログラマブル表示器１００は、作画装置４００から受けた作画データに従って、作画装置４００で設計された画面をその表示画面上に表示する。プログラマブル表示器１００は、その表示画面を介してオペレータからの操作を受けて、オペレータからの操作に従い、制御装置２００内に保持されたデータを読み出したり制御装置２００内に保持されたデータを書き換えたりする。すなわち、プログラマブル表示器１００は、制御装置２００に対するユーザインターフェースとして機能する。

　制御装置２００は、プログラマブル表示器１００及び複数の機器３０１～３０３に接続されている。制御装置２００は、例えばＰＬＣ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｃｏｎｔｒｏｌｌｅｒ）であり、複数の機器３０１～３０３を制御する。

　次に、プログラマブル表示器１００の内部構成について図２を用いて説明する。

　プログラマブル表示器１００は、制御部１１０、表示処理部１２０、表示画面１３０、操作処理部１４０、不揮発性メモリ（記憶手段）１５０、ワークメモリ（記憶手段）１６０、外部機器通信処理部１７０、通信インターフェース１８０、及び通信インターフェース１９０を備える。

　制御部１１０は、プログラマブル表示器１００の各部を全体的に制御する。外部機器通信処理部１７０は、通信インターフェース１９０を介して、作画装置４００から送信された作画データを受信して、受信した作画データ１５１を一旦、不揮発性メモリ１５０に格納する。不揮発性メモリ１５０は、例えばＦｌａｓｈＲＯＭ等である。制御部１１０は、不揮発性メモリ１５０から適宜、作画データ１５１を読み出し、読み出した作画データ１６１をワークメモリ１６０に格納する。ワークメモリ１６０は、ユーザ（画面設計者）が自由に値を格納・参照するための記憶素子（例えば、ＲＡＭなどのメモリ）である。ワークメモリ１６０は、ユーザ（画面設計者）により作画装置４００を介して作成された作画データ１６１を記憶する。

　不揮発性メモリ１５０には、作画データ１５１に加えて、オペレータ管理情報１５４（図６参照）も記憶される。ワークメモリ１６０は、作画データ１６１に加えて、内部デバイス１６６も記憶される。

　作画データ１５１、１６１は、互いに同内容のデータであり、複数の候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎ（図３参照）、複数の候補表示オブジェクトＤＯ－１～ＤＯ－７（図３参照）、設定セキュリティレベル情報１５２、１６２（図５参照）、及び設定セキュリティグループ情報１５３、１６３（図５参照）を含む。

　複数の候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎのそれぞれは、表示される画面の候補として作画装置４００にてユーザにより予め作成されたものである（図３参照）。

　複数の候補表示オブジェクトＤＯ－１～ＤＯ－７のそれぞれは、画面（候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎ）内に配置され表示される表示オブジェクトの候補として作画装置４００にてユーザにより予め作成されたものである（図３参照）。すなわち、複数の表示オブジェクトは、各候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎ内に配置されるように、対応する１以上の候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎに予め関連付けられている。

　設定セキュリティレベル情報１５２、１６２は、各候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎ及び各候補表示オブジェクトＤＯ－１～ＤＯ－７のそれぞれについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベル（セキュリティレベル）を規定する情報として作画装置４００にてユーザにより予め設定された情報である（図４参照）。例えば、設定セキュリティレベル情報１５２、１６２は、候補画面の識別子とその属するセキュリティレベルとが複数の候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎについて対応付けられた情報を含む（図５（ａ）、（ｂ）参照）。あるいは、例えば、設定セキュリティレベル情報１５２、１６２は、候補表示オブジェクトの識別子とその属するセキュリティレベルとが複数の候補表示オブジェクトＤＯ－１～ＤＯ－７について対応付けられた情報を含む（図５（ｃ）、（ｄ）参照）。各候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎについての設定セキュリティレベル情報１５２、１６２は表示セキュリティに関するセキュリティレベルを含むのに対して、各候補表示オブジェクトＤＯ－１～ＤＯ－７についての設定セキュリティレベル情報１５２、１６２は表示セキュリティ及び操作セキュリティに関するセキュリティレベルを含む。

　設定セキュリティグループ情報１５３、１６３は、各候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎ及び各候補表示オブジェクトＤＯ－１～ＤＯ－７のそれぞれについて、セキュリティが複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループ（セキュリティグループ）を規定する情報として作画装置４００にてユーザにより予め設定された情報である（図４参照）。例えば、設定セキュリティグループ情報１５３、１６３は、候補画面の識別子とその属するセキュリティグループとが複数の候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎについて対応付けられた情報を含む（図５（ａ）、（ｂ）参照）。あるいは、例えば、設定セキュリティグループ情報１５３、１６３は、候補表示オブジェクトの識別子とその属するセキュリティレベルとが複数の候補表示オブジェクトＤＯ－１～ＤＯ－７について対応付けられた情報を含む（図５（ｃ）、（ｄ）参照）。各候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎについての設定セキュリティグループ情報１５３、１６３は表示セキュリティに関するセキュリティグループを含むのに対して、各候補表示オブジェクトＤＯ－１～ＤＯ－７についての設定セキュリティグループ情報１５３、１６３は表示セキュリティ及び操作セキュリティに関するセキュリティグループを含む。

　なお、ここでいうセキュリティとは、プログラマブル表示器１００の画面および画面に配置される表示オブジェクトの表示及び操作に対する権限の制御を指すものであり、データ改ざん防止やウィルス攻撃に対するワクチンのようなセキュリティを指すものではない。

　表示画面１３０は、表示部１３１と操作入力部１３２との機能を兼ねており、グラフィックや文字を表示し、かつ表示部１３１におけるオペレータの操作部位を検出し、該操作部位に対応した入力情報をプログラマブル表示器１００に入力する。表示部１３１は、例えば、ＬＣＤ（液晶表示デバイス）である。操作入力部１３２は、例えば、タッチパネルである。操作処理部１４０は、表示画面１３０からの入力情報を判定し、該入力情報を制御部１１０に供給する。

　例えば、操作処理部１４０は、操作入力部１３２を介して運転開始の指示を検出すると、検出された運転開始の指示を制御部１１０へ供給する。制御部１１０は、運転開始の指示に応じて、不揮発性メモリ１５０から作画データ１５１をワークメモリ１６０に作画データ１６１として読出し、制御部１１０は、読み出した作画データ１６１の定義内容に基づいて、所定の制御、例えば、画面表示や操作に対する制御、外部接続機器（例えば、通信インターフェース１８０を介した制御装置２００）との通信などを行う。

　なお、この例では、作画データ１５１を一旦ワークメモリ１６０に作画データ１６１として展開し、展開された作画データ１６１に基づいて所定の制御を行うものとしているが、不揮発性メモリ１５０から直接作画データ１５１を読み出し、読み出された作画データ１５１に基づいて所定の制御を行ってもよい。

　例えば、制御部１１０は、所定の制御を行うための構成として、セキュリティ認証部１１１及びセキュリティ制御部１１２を有する。

　セキュリティ認証部１１１は、プログラマブル表示器１００のオペレータに対するセキュリティの認証処理を行う。具体的には、セキュリティ認証部１１１は、運転開始の指示に応じて、オペレータＩＤ入力欄及びパスワード入力欄を含むログイン画面が表示部１３１に表示されるように表示処理部１２０を制御する。セキュリティ認証部１１１は、操作入力部１３２及び操作処理部１４０を介してオペレータＩＤ及びパスワードの入力を受け付けると、不揮発性メモリ１５０にアクセスしてオペレータ管理情報１５４を参照する。セキュリティ認証部１１１は、受け付けたオペレータＩＤ及びパスワードに一致するものがオペレータ管理情報１５４内に存在するか否かを判断し、受け付けたオペレータＩＤ及びパスワードに一致するものがオペレータ管理情報１５４内に存在する場合、オペレータを認証し（認証成功として扱い）、受け付けたオペレータＩＤ及びパスワードに一致するものがオペレータ管理情報１５４内に存在しない場合、オペレータを認証しない（認証失敗として扱う）。

　セキュリティ認証部１１１は、認証されたオペレータについて、運転セキュリティレベル情報及び運転セキュリティグループ情報を特定する。具体的には、オペレータ管理情報１５４は、例えば、オペレータＩＤ、パスワード、セキュリティレベル、及びセキュリティグループが複数のオペレータＩＤについて対応付けられた情報である（図６参照）。セキュリティ認証部１１１は、オペレータ管理情報１５４を参照して、受け付けたオペレータＩＤ及びパスワードに対応するセキュリティレベル及びセキュリティグループをそれぞれ運転セキュリティレベル及び運転セキュリティグループとして特定する。セキュリティ認証部１１１は、運転セキュリティレベル及び運転セキュリティグループをそれぞれ運転セキュリティレベル情報１６４及び運転セキュリティグループ情報１６５としてワークメモリ１６０に記憶する。

　運転セキュリティレベル情報１６４は、認証されたオペレータについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベル（セキュリティレベル）を規定する情報としてセキュリティ認証部１１１により特定された情報である（図４参照）。すなわち、運転セキュリティレベル情報１６４は、運転を行う、認証されたオペレータが属するセキュリティレベルを示す情報である。

　運転セキュリティグループ情報１６５は、認証されたオペレータについて、セキュリティが複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループ（セキュリティグループ）を規定する情報として作画装置４００にてユーザにより予め設定された情報である（図４参照）。すなわち、運転セキュリティグループ情報１６５は、運転を行う、認証されたオペレータが属するセキュリティグループを示す情報である。

　なお、運転セキュリティレベル、運転セキュリティグループを格納するデバイス２０１を外部接続される制御装置（例えば、ＰＬＣ）２００もしくはプログラマブル表示器１００の内部デバイス１６６に割り当てておき、これらのデバイスを条件に応じて切換える方法で、運転セキュリティレベル、運転セキュリティグループを管理（制御）しても良い。また、セキュリティ認証部１１１による認証は、オペレータＩＤ及びパスワードを用いた認証に限定されず、例えば、指紋、虹彩等バイオメトリクス情報を用いた認証でも良いし、ＩＣカードやバーコードによる認証でも構わない。

　セキュリティ制御部１１２は、画面、オブジェクトに対するセキュリティの制御を行う。具体的には、セキュリティ制御部１１２は、第１の比較部１１３、第２の比較部１１４、第１の判定部１１５、第２の判定部１１６、及び画面生成部１１７を有する。

　第１の比較部１１３は、ワークメモリ１６０にアクセスして、セキュリティ認証部１１１により特定された運転セキュリティレベル情報１６４を取得するとともに、作画データ１６１に含まれる設定セキュリティレベル情報１６２を取得する。また、第１の比較部１１３は、ワークメモリ１６０にアクセスして、作画データ１６１に含まれる複数の候補画面のうち運転開始の指示に応じた画面及びその画面に関連付けられた複数の表示オブジェクトを表示部１３１に表示すべきものとして特定する。そして、第１の比較部１１３は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについて、運転セキュリティレベル情報と設定セキュリティレベル情報とを比較する。

　例えば、第１の比較部１１３は、オペレータのセキュリティレベルが、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれに設定された設定セキュリティレベルに比べて高いか低いかを比較する。第１の比較部１１３は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについての比較結果を第２の判定部１１６へ供給する。

　第２の判定部１１６は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについての比較結果を第１の比較部１１３から受ける。第２の判定部１１６は、第１の比較部１１３による比較結果に応じて、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティレベルをオペレータが満たしているか否かを判定する。例えば、第２の判定部１１６は、オペレータのセキュリティレベルが画面の設定セキュリティレベルに比べて高い場合、画面の設定セキュリティレベルをオペレータが満たしていると判定し、オペレータのセキュリティレベルが画面の設定セキュリティレベルに比べて低い場合、画面の設定セキュリティレベルをオペレータが満たしていないと判定する。あるいは、例えば、第２の判定部１１６は、オペレータのセキュリティレベルが表示オブジェクトの設定セキュリティレベルに比べて高い場合、表示オブジェクトの設定セキュリティレベルをオペレータが満たしていると判定し、オペレータのセキュリティレベルが表示オブジェクトの設定セキュリティレベルに比べて低い場合、表示オブジェクトの設定セキュリティレベルをオペレータが満たしていないと判定する。第２の判定部１１６は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについてのセキュリティレベルの判定結果を画面生成部１１７へ供給する。

　第２の比較部１１４は、ワークメモリ１６０にアクセスして、セキュリティ認証部１１１により特定された運転セキュリティグループ情報１６５を取得するとともに、作画データ１６１に含まれる設定セキュリティグループ情報１６３を取得する。また、第２の比較部１１４は、ワークメモリ１６０にアクセスして、作画データ１６１に含まれる複数の候補画面のうち運転開始の指示に応じた画面及びその画面に関連付けられた複数の表示オブジェクトを表示部１３１に表示すべきものとして特定する。そして、第２の比較部１１４は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについて、運転セキュリティグループ情報と設定セキュリティグループ情報とを比較する。

　例えば、第２の比較部１１４は、オペレータのセキュリティグループが、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれに設定された設定セキュリティグループに一致するか否かを比較する（図９参照）。第２の比較部１１４は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについての比較結果を第１の判定部１１５へ供給する。

　第１の判定部１１５は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについての比較結果を第２の比較部１１４から受ける。第１の判定部１１５は、第２の比較部１１４による比較結果に応じて、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合しているか否かを判定する。例えば、第１の判定部１１５は、オペレータのセキュリティグループが画面の設定セキュリティグループに一致する場合、画面の設定セキュリティグループにオペレータが適合していると判定し、オペレータのセキュリティグループが画面の設定セキュリティグループに一致しない場合、画面の設定セキュリティグループにオペレータが適合していないと判定する。あるいは、例えば、第１の判定部１１５は、オペレータのセキュリティグループが表示オブジェクトの設定セキュリティグループに一致する場合、表示オブジェクトの設定セキュリティグループにオペレータが適合していると判定し、オペレータのセキュリティグループが表示オブジェクトの設定セキュリティグループに一致しない場合、表示オブジェクトの設定セキュリティグループにオペレータが適合していないと判定する。第１の判定部１１５は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについてのセキュリティグループの判定結果を画面生成部１１７へ供給する。

　画面生成部１１７は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについてのセキュリティレベルの判定結果を第２の判定部１１６から受け、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについてのセキュリティグループの判定結果を第１の判定部１１５から受ける。画面生成部１１７は、セキュリティレベルの判定結果とセキュリティグループの判定結果とに応じて、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについて、例えば、表示／非表示を決定するとともに、各表示オブジェクトについて操作の許可／不許可を決定する（図１０～図１３参照）。画面生成部１１７は、それらの決定結果に応じて、表示すべき画面及び複数の表示オブジェクトを含む画面生成情報１６７を生成しワークメモリ１６０に記憶する。なお、画面が非表示であると決定された場合、画面生成部１１７は、画面生成情報１６７を生成しない。

　表示処理部１２０は、制御部１１０経由でワークメモリ１６０を参照し、画面生成情報１６７を取得し、画面生成情報１６７に応じて、画面、及びその画面内に配置される複数の表示オブジェクトを含む画面データ１６８を生成する。表示処理部１２０は、画面データ１６８に従い、画面、及びその画面内に配置される複数の表示オブジェクトを表示部１３１に表示する（図１０～図１３参照）。

　次に、設定セキュリティレベル及び設定セキュリティグループと運転セキュリティレベル及び運転セキュリティグループとについて図３～図５を用いて説明する。

　作画装置４００にて作画データを作成する際、まず画面を作成し、そこに表示オブジェクトを配置する。画面は、図３（ａ）に示すベース画面Ｂ－１～Ｂ－Ｍ、図３（ｂ）に示すウィンドウ画面Ｗ－１～Ｗ－Ｎを用意する。ベース画面Ｂ－１～Ｂ－Ｍは、例えば、表示部１３１における背景として表示される画面であり、ウィンドウ画面Ｗ－１～Ｗ－Ｎは、例えば、表示部１３１におけるベース画面Ｂ－１～Ｂ－Ｍ内で表示される画面である。

　個々の画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎ内には、例えば図３（ｃ）に示すように、さまざまな表示オブジェクトＤＯ－１～ＤＯ－７を配置する。図３（ｃ）には、ベース画面Ｂ－１内に複数の表示オブジェクトＤＯ－１～ＤＯ－７を配置する場合について例示的に示している。表示オブジェクトＤＯ－１は、例えば、グラフ表示であり、表示オブジェクトＤＯ－２は、例えば、文字表示であり、ＤＯ－３は、例えば、数値表示であり、表示オブジェクトＤＯ－４～ＤＯ－７は、例えば、タッチスイッチである。

　各候補画面Ｂ－１～Ｂ－Ｍ、Ｗ－１～Ｗ－Ｎ及び各候補表示オブジェクトＤＯ－１～ＤＯ－７のそれぞれについて、セキュリティレベル及びセキュリティグループを設定する。図４に示すように、セキュリティレベルは、候補画面又は候補表示オブジェクのセキュリティを、複数の候補画面及び複数の候補表示オブジェクトに跨って横割り的にランク付けして管理するための指標であり、階層的な複数のレベル（セキュリティレベル＝１～１５）を有する。それに対して、セキュリティグループは、候補画面又は候補表示オブジェクトのセキュリティを、上記の複数のレベル（例えば、セキュリティレベル＝１～１５）に跨って縦割り的にグループ化して管理するための指標であり、セキュリティが複数のレベルに渡って縦割りに分けられた複数のグループ（例えば、セキュリティグループ＝１～３１）を有する。

　例えば、各ベース画面Ｂ－１～Ｂ－Ｍに対しては、図５（ａ）に示すように、その画面の表示の許可／不許可の権限を制御するため、表示セキュリティに関する設定セキュリティレベル、設定セキュリティグループを設定する。

　例えば、各ウィンドウ画面Ｗ－１～Ｗ－Ｎに対しては、図５（ｂ）に示すように、その画面の表示の許可／不許可の権限を制御するため、表示セキュリティに関する設定セキュリティレベル、設定セキュリティグループを設定する。

　各表示オブジェクトＤＯ－１～ＤＯ－７に対しては、そのオブジェクトの表示の許可／不許可の権限を制御するため、表示セキュリティに関する設定セキュリティレベル、設定セキュリティグループを設定する（図５（ｃ）参照）。それとともに、対象となるオブジェクトが入力・操作を行うオブジェクト（例えば、タッチスイッチ）の場合には、操作セキュリティに関する設定セキュリティレベル、設定セキュリティグループを設定する（図５（ｄ）参照）。

　設定セキュリティレベルは、例えば、０～１５の数値で指定する。設定セキュリティレベルは、例えば、数値が大きいほど、候補画面又は候補表示オブジェクトの属するレベルが高いことを示す。設定セキュリティレベル＝０は、例えば、候補画面又は候補表示オブジェクトの属するレベルが存在しないことを示す。

　設定セキュリティグループは、例えば、０～３１の数値で指定する。設定セキュリティグループ＝０は、例えば、候補画面又は候補表示オブジェクトの属するグループが存在しないことを示す。

　なお、セキュリティレベル、セキュリティグループの範囲は、互いに大きさが異なっていても構わない。また、本実施の形態では、セキュリティを設定する単位（画面、オブジェクトの表示、操作）につき設定セキュリティグループとして１つのグループに属してもよいし複数のグループに属してもよい。

　一方、運転セキュリティレベル情報は、現在のオペレータの権限を表すあるひとつの値を持つ。また、運転セキュリティグループ情報は、現在のオペレータが所属する１つ又は複数のグループの情報を持つ。具体的には、運転セキュリティレベル情報は、整数値（例えば、０～１５の整数値）で表す。運転セキュリティグループ情報は、例えばセキュリティグループが３１グループある場合には、３１ｂｉｔ分の情報を割当て、ＯＮしているビットに対応するグループに所属しているといった表現を行う。なお、これは表現方法の一例であり、同様のことを実現できればほかの方法でもかまわない。

　また、運転セキュリティレベル、運転セキュリティグループの制御の方法として、プログラマブル表示器１００に対するオペレータＩＤとパスワードをオペレータごとに設け、それぞれのオペレータＩＤには、そのオペレータが属するセキュリティレベル、セキュリティグループを図６に示すようなオペレータ管理情報１５４として定義しておく。

　例えば、オペレータ管理情報１５４は、オペレータＩＤ、パスワード、セキュリティレベル、及びセキュリティグループが複数のオペレータＩＤについて対応付けられた情報を含む。すなわち、オペレータ管理情報１５４は、オペレータＩＤ欄１５４１、パスワード欄１５４２、セキュリティレベル欄１５４３、及びセキュリティグループ欄１５４４を含む。オペレータＩＤ欄１５４１には、プログラマブル表示器１００を使用する候補となる複数のオペレータについての複数のオペレータＩＤが記録されている。パスワード欄１５４２には、複数のオペレータについての複数のパスワードが記録されている。セキュリティレベル欄１５４３には、複数のオペレータについてのその属するセキュリティレベルが記録されている。セキュリティグループ欄１５４４には、複数のオペレータについてのその属するセキュリティグループが記録されている。

　このオペレータ管理情報１５４は、上記のように、例えばログイン操作によるオペレータの認証処理の際に参照されるとともに、その後に運転セキュリティレベル及び運転セキュリティグループを特定する際に参照される。

　次に、プログラマブル表示器１００の動作について、図７及び図８のフローチャートを用いて説明する。

　ステップＳ１では、セキュリティ認証部１１１が、運転開始の指示に応じて、オペレータＩＤ入力欄及びパスワード入力欄を含むログイン画面が表示部１３１に表示されるように表示処理部１２０を制御する。

　ステップＳ２では、セキュリティ認証部１１１が、操作入力部１３２及び操作処理部１４０を介してオペレータＩＤ及びパスワードの入力を受け付ける。

　ステップＳ３では、セキュリティ認証部１１１が、不揮発性メモリ１５０にアクセスしてオペレータ管理情報１５４を参照し、受け付けたオペレータＩＤ及びパスワードに一致するものがオペレータ管理情報１５４内に存在するか否かを判断する。

　ステップＳ４では、セキュリティ認証部１１１が、受け付けたオペレータＩＤ及びパスワードに一致するものがオペレータ管理情報１５４内に存在する場合（ステップＳ４で「認証成功」）、オペレータを認証し（認証成功として扱い）、処理をステップＳ５へ進める。セキュリティ認証部１１１は、受け付けたオペレータＩＤ及びパスワードに一致するものがオペレータ管理情報１５４内に存在しない場合、オペレータを認証せずに（認証失敗として扱い）、処理をステップＳ６へ進める。

　ステップＳ５では、セキュリティ認証部１１１が、認証されたオペレータについて、運転セキュリティレベル情報及び運転セキュリティグループ情報を特定する。具体的には、オペレータ管理情報１５４は、例えば、オペレータＩＤ、パスワード、セキュリティレベル、及びセキュリティグループが複数のオペレータＩＤについて対応付けられた情報である（図６参照）。セキュリティ認証部１１１は、オペレータ管理情報１５４を参照して、受け付けたオペレータＩＤ及びパスワードに対応するセキュリティレベル及びセキュリティグループをそれぞれ運転セキュリティレベル及び運転セキュリティグループとして特定する。セキュリティ認証部１１１は、運転セキュリティレベル及び運転セキュリティグループをそれぞれ運転セキュリティレベル情報１６４及び運転セキュリティグループ情報１６５としてワークメモリ１６０に例えば上書きで記憶する。これにより、ワークメモリ１６０に記憶された運転セキュリティレベル情報１６４及び運転セキュリティグループ情報１６５が変更される。

　ステップＳ６では、ワークメモリ１６０に記憶された運転セキュリティレベル情報１６４及び運転セキュリティグループ情報１６５が変更されない。なお、このとき、セキュリティ認証部１１１は、例えば表示部１３１に「認証失敗」を示すエラー表示を行ってもよい。

　ステップＳ７では、第１の比較部１１３が、ワークメモリ１６０にアクセスして、セキュリティ認証部１１１により特定された運転セキュリティレベル情報１６４を取得するとともに、作画データ１６１に含まれる設定セキュリティレベル情報１６２を取得する。また、第１の比較部１１３は、ワークメモリ１６０にアクセスして、作画データ１６１に含まれる複数の候補画面のうち運転開始の指示に応じた画面及びその画面に関連付けられた複数の表示オブジェクトを表示部１３１に表示すべきものとして特定する。そして、第１の比較部１１３は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについて、運転セキュリティレベル情報と設定セキュリティレベル情報とを比較する。

　第２の判定部１１６は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについての比較結果を第１の比較部１１３から受ける。第２の判定部１１６は、第１の比較部１１３による比較結果に応じて、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティレベルをオペレータが満たしているか否かを判定（チェック）する。

　ステップＳ８では、第２の判定部１１６が、例えば、オペレータのセキュリティレベルが画面又は表示オブジェクトの設定セキュリティレベルと同じ画面又は表示オブジェクトの設定セキュリティレベルに比べて高い場合（ステップＳ８で「ＲＬ≧ＳＬ」）、画面又は表示オブジェクトの設定セキュリティレベルをオペレータが満たしていると判定し、処理をステップＳ１０へ進める。第２の判定部１１６は、オペレータのセキュリティレベルが画面又は表示オブジェクトの設定セキュリティレベルに比べて低い場合（ステップＳ８で「ＲＬ＜ＳＬ」）、画面又は表示オブジェクトの設定セキュリティレベルをオペレータが満たしていないと判定し、処理をステップＳ９へ進める。

　なお、設定セキュリティレベル＝０は、例えば、候補画面又は候補表示オブジェクトの属するレベルが存在しないことを示すが、このオペレータのセキュリティレベルが１以上であれば、画面又は表示オブジェクトの設定セキュリティレベルをオペレータが満たしていると判定されることになる。すなわち、第２の判定部１１６は、表示部１３１に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティレベル情報により属するレベルが存在しないことが規定されている場合、第１の比較部１１３による比較結果に関わらずに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティレベルをオペレータが満たしていると判定する。

　ステップＳ９では、第２の判定部１１６が、画面又は表示オブジェクトの設定セキュリティレベルをオペレータが満たしていない、すなわちオペレータがセキュリティレベル不足であるとの判定結果を画面生成部１１７へ供給する。

　ステップＳ１０では、第２の判定部１１６が、画面又は表示オブジェクトの設定セキュリティレベルをオペレータが満たしているとの判定結果を画面生成部１１７へ供給する。

　第２の比較部１１４は、ワークメモリ１６０にアクセスして、セキュリティ認証部１１１により特定された運転セキュリティグループ情報１６５を取得するとともに、作画データ１６１に含まれる設定セキュリティグループ情報１６３を取得する。また、第２の比較部１１４は、ワークメモリ１６０にアクセスして、作画データ１６１に含まれる複数の候補画面のうち運転開始の指示に応じた画面及びその画面に関連付けられた複数の表示オブジェクトを表示部１３１に表示すべきものとして特定する。第２の比較部１１４は、その特定結果を第１の判定部１１５へ供給する。

　第１の判定部１１５は、表示部１３１に表示すべきものの特定結果を第２の比較部１１４から受ける。また、第１の判定部１１５は、ワークメモリ１６０にアクセスして、作画データ１６１に含まれる設定セキュリティグループ情報１６３を取得する。そして、第１の判定部１１５は、表示部１３１に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティレベル情報１６３により属するレベルが存在しないことが規定されているか否かを判定する。すなわち、第１の判定部１１５は、設定セキュリティグループ情報１６３の規定内容に基づいて、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについて、設定セキュリティグループの有無を判定（チェック）する。

　ステップＳ１１では、第１の判定部１１５が、画面又は表示オブジェクトの設定セキュリティグループが有る場合（ステップＳ１１で「ＳＧ！＝０」（「！＝０」は、ゼロ以外を意味する）、処理をステップＳ１２へ進め、画面又は表示オブジェクトの設定セキュリティグループが無い場合（ステップＳ１１で「ＳＧ＝０」）、処理をステップＳ１５へ進める。

　ステップＳ１２では、第２の比較部１１４が、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについて、運転セキュリティグループ情報と設定セキュリティグループ情報とを比較する。

　第１の判定部１１５は、表示部１３１に表示すべき画面及び複数の表示オブジェクトのそれぞれについての比較結果を第２の比較部１１４から受ける。第１の判定部１１５は、第２の比較部１１４による比較結果に応じて、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合しているか否かを判定（チェック）する。

　ステップＳ１３では、第１の判定部１１５が、例えば、オペレータのセキュリティグループが候補画面又は候補表示オブジェクトの設定セキュリティグループに一致する場合（ステップＳ１３で「（ＲＧ＆ＳＧ）！＝０」）、処理をステップＳ１５へ進める。第１の判定部１１５は、オペレータのセキュリティグループが候補画面又は候補表示オブジェクトの設定セキュリティグループに一致しない場合（ステップＳ１３で「（ＲＧ＆ＳＧ）＝０」）、処理をステップＳ１４へ進める（ここで、「＆」は論理積を表す）。

　ステップＳ１４では、第１の判定部１１５が、候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していないと判定して、判定結果を画面生成部１１７へ供給する。

　ステップＳ１５では、第１の判定部１１５が、候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していると判定して、判定結果を画面生成部１１７へ供給する。

　なお、設定セキュリティグループ＝０は、例えば、候補画面又は候補表示オブジェクトの属するグループが存在しないことを示すが、設定セキュリティグループ＝０であれば、ステップＳ１１からステップＳ１５へ進むことになる。すなわち、第１の判定部１１５は、表示部１３１に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティグループ情報１６３により属するグループが存在しないことが規定されている場合、第２の比較部１１４による比較結果に関わらずに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していると判定する。

　次に、セキュリティグループの判定（ステップＳ１２）の詳細について図９を用いて説明する。

　上記の例では、設定セキュリティグループと運転セキュリティグループとが一致するか否かにより、候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合しているか否かの判定を行っている。設定セキュリティグループと運転セキュリティグループとがそれぞれ１つのグループを含む場合には、単純に一致するか否かで判定を行えばよいが、設定セキュリティグループと運転セキュリティグループとの少なくとも一方が複数のグループを含む場合には、一致の仕方に、例えば、図９に示す３つのケースが存在する。

　ケース１１６１では、１以上の設定セキュリティグループと１以上の運転セキュリティグループとの一部に一致が見られれば判定成功とみなしているが、このほかに、ケース１１６２のように、複数の設定セキュリティグループにて指定したすべてのグループに所属している複数の運転セキュリティグループをもつオペレータに対して、判定成功とすることも可能である。これをセキュリティグループ判定方式とよび、設定セキュリティグループと運転セキュリティグループの一部の一致が見られれば判定成功とみなす方式（ケース１１６１）を「部分一致」、運転セキュリティグループが設定セキュリティグループすべてを包含する場合に判定成功とみなす方式（ケース１１６２）を「完全包含」と呼ぶ。

　例えば、上記のようにセキュリティグループをビットに割付ける方法をとるとき、設定セキュリティグループのビットパターン（属するグループに対応したビットがＯＮし他のビットがＯＦＦしたパターン）をＳＧとし、運転セキュリティグループのビットパターン（属するグループに対応したビットがＯＮし他のビットがＯＦＦしたパターン）をＲＧとし、論理積を＆とし、論理否定を！とするとき、判定式を以下に示す。

　ケース１１６１の「部分一致」方式では、次の数式１の判定式が成り立つ場合に、判定成功とみなす。

　　　（ＲＧ　＆　ＳＧ）　！＝　０・・・数式１

　ケース１１６２の「完全包含」方式では、次の数式２の判定式が成り立つ場合に、判定成功とみなす。

　　　（ＲＧ　＆　ＳＧ）　＝　ＳＧ・・・数式２

　「部分一致」方式では、画面又は表示オブジェクトに設定したセキュリティグループの少なくともいずれかに、運転セキュリティグループが合致すれば判定成功とみなすため、たとえば、画面又は表示オブジェクトを操作しうるグループが複数存在する用途に適する。

　「完全包含」方式では、画面又は表示オブジェクトに設定したセキュリティグループのすべてに、運転セキュリティグループが合致する必要があるため、たとえば、画面又は表示オブジェクトの閲覧・操作を行うために複合的な権限を設けたい場合に適する。たとえば、工場の例では、ラインＡ，Ｂというように適用対象を表すグループと、班長、作業者というように職制を表すグループを設け、あるオブジェクトは、ラインＡかつ、班長に該当するオペレータのみが操作可能とする、といった使い方をする場合に適する。

　なお、ケース１１６３のように、オペレータの持つ複数の運転セキュリティグループの全てが、複数の設定セキュリティグループにて指定したすべてのグループに所属している場合を判定成功とみなす方式も可能である。この方式を「逆完全包含」と呼ぶ。

　ケース１１６３の「逆完全包含」方式では、次の数式３の判定式が成り立つ場合に、判定成功とみなす。

　　　（ＲＧ　＆　ＳＧ）　＝　ＲＧ・・・数式３

　あるいは、図示しないが、画面又は表示オブジェクトに設定された複数の設定セキュリティグループとオペレータの持つ複数の運転セキュリティグループとが完全に一致する場合を判定成功とみなす方式も可能である。この方式を「完全一致」と呼ぶ。

　この「完全一致」方式では、次の数式４の判定式が成り立つ場合に、判定成功とみなす。

　　　（ＲＧ　＆　ＳＧ）　＝　ＳＧ　＝　ＲＧ・・・数式４

　次に、画面（候補画面）に対するセキュリティレベル、セキュリティグループの動作について説明する。

　画面のセキュリティレベルに対しては、運転セキュリティレベル≧設定セキュリティレベルの場合に、表示もしくは操作が有効になる。

　画面のセキュリティグループに対しては、上記の数式１～４が成り立つ場合に、表示もしくは操作が有効になる。例えばケース１１６１の「部分一致」方式の場合、１以上の設定セキュリティグループと１以上の運転セキュリティグループとの一部に一致が見られれば、すなわち数式１が成立すれば、表示もしくは操作が有効になる。例えばケース１１６２の「完全包含」方式の場合、複数の運転セキュリティグループに１以上の設定セキュリティグループが含まれている場合に、すなわち数式２が成立すれば、表示もしくは操作が有効になる。

　ただし、例外的に設定セキュリティグループの値が０の場合には、属するグループが存在しないのであるが、全てのグループに属するものとして扱い、オペレータの閲覧、操作が有効となるものとする。つまり、設定セキュリティグループが０の場合、全てのユーザが閲覧、操作できる。

　図５（ａ）、（ｂ）に示すように、設定セキュリティレベル、設定セキュリティグループを各画面に設けた場合を考える。

　ベース画面Ｂ－１には、設定セキュリティレベル、設定セキュリティグループがともに０としており、これは、設定セキュリティレベル、設定セキュリティグループいずれもセキュリティを設けないことを意味している。つまり全てのオペレータがベース画面Ｂ－１を閲覧できる。

　ベース画面Ｂ－２には、設定セキュリティレベルを１０、設定セキュリティグループを１としている。この場合、運転セキュリティレベルが１０以上、かつ、運転セキュリティグループでグループ１に属している場合に、ベース画面Ｂ－２を閲覧できる。

　その他の画面についても同様のルールを適用する。

　次に、表示オブジェクト（候補表示オブジェクト）に対するセキュリティレベル、セキュリティグループの動作について説明する。

　図５（ｃ）、（ｄ）に示すように、画面内に配置した表示オブジェクトに対して、表示セキュリティ及び操作セキュリティのそれぞれについての設定セキュリティレベル及び設定セキュリティグループを割り当てる場合を考える。

　例えば、表示オブジェクトＤＯ－１は、表示のみを行い操作を伴わないオブジェクトであり（図３（ｃ）参照）、操作に対するセキュリティは存在せず、表示に対してのみ設定セキュリティレベル、設定セキュリティグループを設ける。

　ただしこの例では、表示オブジェクトＤＯ－１の設定セキュリティレベル及び設定セキュリティグループをともに０としているため、全てのオペレータがこの表示オブジェクトＤＯ－１を閲覧できる。

　例えば、表示オブジェクトＤＯ－２は、表示に加えて操作を伴うオブジェクト（例えば、文字表示）であり、表示に対しては、設定セキュリティレベル＝０、設定セキュリティグループ＝１であり、操作に対しては、設定セキュリティレベル＝３、設定セキュリティグループ＝１としている。この表示オブジェクトＤＯ－２に対しては、運転セキュリティレベルによらず、セキュリティグループ＝１に所属する場合は表示（閲覧）が可能となる。一方、操作については、運転セキュリティレベルが３以上であることが必要となる。

　例えば、表示オブジェクトＤＯ－５は、表示に加えて操作を伴うオブジェクト（例えば、タッチスイッチ）であり、表示に対しては、設定セキュリティレベル＝３、設定セキュリティグループ＝１であり、操作に対しては、設定セキュリティレベル＝５、設定セキュリティグループ＝２としている。表示オブジェクトＤＯ－５では、表示セキュリティと操作セキュリティとでセキュリティグループが異なっている。操作セキュリティは、表示オブジェクトが表示されていることが前提になるため、操作セキュリティを満たした場合は、オブジェクトの表示（閲覧）も同時に可能とする。このルールを適用すると、運転セキュリティレベルが３以上、かつ運転セキュリティグループ＝１もしくは２に属するオペレータは、表示オブジェクトＤＯ－５を表示（閲覧）することができ、運転セキュリティレベルが５以上かつ運転セキュリティグループ＝２に属するオペレータは、表示オブジェクトＤＯ－５を操作可能となる。

　次に、セキュリティレベル及びセキュリティグループに応じた表示部１３１の動作について図１０～図１３を用いて説明する。

　図１０に示すように、設定セキュリティレベル＝０である場合、設定セキュリティグループと運転セキュリティグループとに応じて、表示部１３１による表示オブジェクトの表示形態が変わる。

　例えば、表示セキュリティの設定セキュリティグループ＝５、操作セキュリティの設定セキュリティグループ＝１０が設定された表示オブジェクトは、運転セキュリティグループが０（オペレータの属するグループが存在しない）である場合に非表示となり、運転セキュリティグループが５の場合に表示可であるが操作不可であることを示す形態で表示され、運転セキュリティグループが１０の場合に表示及び操作いずれも可であることを示す形態で表示される。

　例えば、表示セキュリティの設定セキュリティグループ＝０（全部）、操作セキュリティの設定セキュリティグループ＝５が設定された表示オブジェクトは、運転セキュリティグループが０（オペレータの属するグループが存在しない）である場合に表示可であるが操作不可であることを示す形態で表示され、運転セキュリティグループが５の場合に表示及び操作いずれも可であることを示す形態で表示され、運転セキュリティグループが１０の場合に表示可であるが操作不可であることを示す形態で表示される。

　図１１に示すように、設定セキュリティレベル＝０であり、かつ、オペレータが複数のセキュリティグループに属する場合、設定セキュリティグループと運転セキュリティグループとに応じて、表示部１３１による表示オブジェクトの表示形態が変わる。図１１には、セキュリティグループの判定方式が「完全包含」方式（図９に示すケース１１６２）である場合が例示されている。

　例えば、表示セキュリティの設定セキュリティグループ＝５、操作セキュリティの設定セキュリティグループ＝５が設定された表示オブジェクトは、運転セキュリティグループが０（オペレータの属するグループが存在しない）である場合に非表示となり、運転セキュリティグループが５の場合に表示及び操作いずれも可であることを示す形態で表示され、運転セキュリティグループが５，１０（オペレータが複数のグループに属する）である場合に表示及び操作いずれも可であることを示す形態で表示される。

　例えば、表示セキュリティの設定セキュリティグループ＝０（全部）、操作セキュリティの設定セキュリティグループ＝１０が設定された表示オブジェクトは、運転セキュリティグループが０（オペレータの属するグループが存在しない）である場合に表示可であるが操作不可であることを示す形態で表示され、運転セキュリティグループが５の場合に表示可であるが操作不可であることを示す形態で表示され、運転セキュリティグループが５，１０（オペレータが複数のグループに属する）である場合に表示及び操作いずれも可であることを示す形態で表示される。

　図１２に示すように、設定セキュリティグループ＝０である場合、設定セキュリティレベルと運転セキュリティレベルとに応じて、表示部１３１による表示オブジェクトの表示形態が変わる。

　例えば、表示セキュリティの設定セキュリティレベル＝５、操作セキュリティの設定セキュリティレベル＝１０が設定された表示オブジェクトは、運転セキュリティレベルが０（オペレータの属するグループが存在しない）である場合に非表示となり、運転セキュリティレベルが５の場合に表示可であるが操作不可であることを示す形態で表示され、運転セキュリティレベルが１０の場合に表示及び操作いずれも可であることを示す形態で表示される。

　図１３に示すように、設定セキュリティレベル≠０であり、かつ、設定セキュリティグループ≠０である場合、設定セキュリティレベル、運転セキュリティレベル、設定セキュリティグループ、及び運転セキュリティグループに応じて、表示部１３１による表示オブジェクトの表示形態が変わる。

　例えば、表示セキュリティの設定セキュリティグループ＝１、操作セキュリティの設定セキュリティグループ＝１、表示セキュリティの設定セキュリティレベル＝５、操作セキュリティの設定セキュリティレベル＝１０が設定された表示オブジェクトは、次のような表示形態になる。運転セキュリティグループが１であり運転セキュリティレベルが１０である場合（ラインＡ班長の場合）に表示及び操作いずれも可であることを示す形態で表示され、運転セキュリティグループが１であり運転セキュリティレベルが５である場合（ラインＡ作業者の場合）に表示可であるが操作不可であることを示す形態で表示され、運転セキュリティグループが２であり運転セキュリティレベルが１０である場合（ラインＢ班長の場合）に非表示となり、運転セキュリティグループが２であり運転セキュリティレベルが５である場合（ラインＢ作業者の場合）に非表示となる。

　例えば、表示セキュリティの設定セキュリティグループ＝２、操作セキュリティの設定セキュリティグループ＝２、表示セキュリティの設定セキュリティレベル＝５、操作セキュリティの設定セキュリティレベル＝１０が設定された表示オブジェクトは、次のような表示形態になる。運転セキュリティグループが１であり運転セキュリティレベルが１０である場合（ラインＡ班長の場合）に非表示となり、運転セキュリティグループが１であり運転セキュリティレベルが５である場合（ラインＡ作業者の場合）に非表示となり、運転セキュリティグループが２であり運転セキュリティレベルが１０である場合（ラインＢ班長の場合）に表示及び操作いずれも可であることを示す形態で表示され、運転セキュリティグループが２であり運転セキュリティレベルが５である場合（ラインＢ作業者の場合）に表示可であるが操作不可であることを示す形態で表示される。

　以上のように、実施の形態では、プログラマブル表示器１００において、プログラマブル表示器の画面を設計するユーザが、プログラマブル表示器１００の画面に配置するオブジェクト（ランプ、スイッチ等、画面に配置し機能を提示する構成要素）や、画面自体に対し、その表示・操作の権限を制御する、セキュリティレベル（設定セキュリティレベル）、およびセキュリティグループを設定可能とする。一方、プログラマブル表示器１００の運転時点でのセキュリティレベル、セキュリティグループの状態をそれぞれ運転セキュリティレベル、運転セキュリティグループとする。このとき、運転セキュリティレベルが設定セキュリティレベル以上の値を持ち、かつ、運転セキュリティグループが設定セキュリティグループと一致する場合に、そのオブジェクトないし画面の表示、操作を可能とする。これにより、あるオブジェクトは、高い権限を持ったオペレータのみが閲覧、操作可能とするといった、レベルによるオブジェクト、画面の操作権限の階層管理が可能になる一方で、オペレータの権限的には同等でもオペレータの所属（担当）によって管理する対象によって制限するといった装置に対する縦割りの操作権限の管理も可能となる。

　例えば、工場のラインをモニタするプログラマブル表示器を考え、このプログラマブル表示器はラインＡ、ラインＢといった二つのラインを監視・操作する役割を持つとする。このとき、ラインＡ、ラインＢはそれぞれ独立に班長、作業者が存在し、各自が担当するラインについてのみ閲覧、操作ができ、班長は作業者にはできない設定操作が許可されているという用途を考える。このとき、ラインＡ、ラインＢの区別にはグループの概念を適用し、班長、作業者の区別にはレベルの概念を適用することで、上記の用途を満たすことができる。

　したがって、実施の形態によれば、表示部１３１に表示すべき画面及び表示オブジェクトのそれぞれに対してセキュリティを横割り的にランク付けして管理するだけでなく縦割り的にグループ化して管理できる。

　また、実施の形態では、プログラマブル表示器１００において、表示処理部１２０が、画面と画面内に配置される複数の表示オブジェクトとを表示部１３１に表示する。不揮発性メモリ１５０は、表示部１３１に表示されるべき候補画面及び候補表示オブジェクトのそれぞれについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベルを規定する設定セキュリティレベル情報１５２と、セキュリティが複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループを規定する設定セキュリティグループ情報１５３とを記憶する。また、ワークメモリ１６０も、設定セキュリティレベル情報１６２及び設定セキュリティグループ情報１６３を記憶する。これにより、上記の運転セキュリティレベル、運転セキュリティグループと比較されるべき情報がプログラマブル表示器１００に記憶されているので、表示部１３１に表示すべき画面及び表示オブジェクトのそれぞれに対してセキュリティを横割り的にランク付けして管理するだけでなく縦割り的にグループ化して管理することに適したプログラマブル表示器１００を提供できる。

　さらに、実施の形態では、プログラマブル表示器１００において、セキュリティ認証部１１１が、運転を行うオペレータの認証処理を行い、認証されたオペレータについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベルを規定する運転セキュリティレベル情報１６４と、セキュリティが複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループを規定する運転セキュリティグループ情報１６５とを特定する。そして、第１の比較部１１３が、セキュリティ認証部１１１により特定された運転セキュリティレベル情報１６４と表示部に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティレベル情報１５２、１６２とを比較し、第２の比較部１１４が、セキュリティ認証部１１１により特定された運転セキュリティグループ情報１６５と表示部１３１に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティグループ情報１６３とを比較する。これにより、プログラマブル表示器１００において設定セキュリティレベル及び運転セキュリティレベルを比較するとともに設定セキュリティグループ及び運転セキュリティグループを比較するので、表示部１３１に表示すべき画面及び表示オブジェクトのそれぞれに対してセキュリティを横割り的にランク付けして管理するだけでなく縦割り的にグループ化して管理することに適したプログラマブル表示器１００を提供できる。

　また、実施の形態では、第１の判定部１１５が、運転セキュリティグループ情報１６５及び設定セキュリティグループ情報１５３、１６３の少なくとも一方が複数のグループを含む場合に、例えば、「部分一致」方式の判定を行う。すなわち、第１の判定部１１５は、運転セキュリティグループ情報１６５が含むグループと設定セキュリティグループ情報１５３、１６３が含むグループとに部分的に一致するグループが存在するときに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していると判定し、運転セキュリティグループ情報１６５が含むグループと設定セキュリティグループ情報１５３、１６３が含むグループとに部分的に一致するグループが存在しないときに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していないと判定する。このように、「部分一致」方式の判定を行うことにより、運転セキュリティグループと設定セキュリティグループとの部分的な不一致を許容しつつ、運転セキュリティグループと設定セキュリティグループとが部分的に一致したことに応じて判定成功とするので、緩和された条件で判定処理を行うことができ、柔軟性を重視したシステム運用を実現できる。

　あるいは、実施の形態では、第１の判定部１１５が、運転セキュリティグループ情報１６５及び設定セキュリティグループ情報１５３、１６３の少なくとも一方が複数のグループを含む場合に、例えば、「完全包含」方式、「逆完全包含」方式、又は「完全一致」方式の判定を行う。すなわち、第１の判定部１１５は、運転セキュリティグループ情報１６５が含むグループと設定セキュリティグループ情報１５３、１６３が含むグループとの一方が他方に包含されるか完全に一致するときに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していると判定し、運転セキュリティグループ情報１６５が含むグループと設定セキュリティグループ情報１５３、１６３が含むグループとの一方が他方に包含されず且つ完全に一致しないときに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していないと判定する。このように、「完全包含」方式、「逆完全包含」方式、又は「完全一致」方式の判定を行うことにより、部分的な不一致を排除しつつ、運転セキュリティグループと設定セキュリティグループとの少なくとも一方が過不足無く他方に一致したことに応じて判定成功とするので、厳しめ条件で判定処理を行うことができ、セキュリティの高さを重視したシステム運用を実現できる。

　また、実施の形態では、第１の判定部１１５が、表示部１３１に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティグループ情報１５３、１６３により属するグループが存在しないことが規定されている場合、第２の比較部１１４による比較結果に関わらずに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループにオペレータが適合していると判定する。これにより、セキュリティグループによりセキュリティを縦割り的にグループ化して管理する際におけるプログラマブル表示器１００による管理の柔軟性を向上できる。

　また、実施の形態では、第２の判定部１１６が、表示部１３１に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティレベル情報１５２、１６２により属するレベルが存在しないことが規定されている場合、第１の比較部１１３による比較結果に関わらずに、表示部１３１に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティレベルをオペレータが満たしていると判定する。これにより、セキュリティレベルによりセキュリティを横割り的にランク付けして管理する際におけるプログラマブル表示器１００による管理の柔軟性を向上できる。

　以上のように、本発明にかかるプログラマブル表示器は、複数の機器を制御する制御装置に対するユーザインターフェースとして有用である。

　１０　制御システム
　１００　プログラマブル表示器
　１１０　制御部
　１１１　セキュリティ認証部
　１１２　セキュリティ制御部
　１１３　第１の比較部
　１１４　第２の比較部
　１１５　第１の判定部
　１１６　第２の判定部
　１１７　画面生成部
　１２０　表示処理部
　１３０　表示画面
　１３１　表示部
　１３２　操作入力部
　１４０　操作処理部
　１５０　不揮発性メモリ
　１５１　作画データ
　１５２　設定セキュリティレベル情報
　１５３　設定セキュリティグループ情報
　１５４　オペレータ管理情報
　１６０　ワークメモリ
　１６１　作画データ
　１６２　設定セキュリティレベル情報
　１６３　設定セキュリティグループ情報
　１６４　運転セキュリティレベル情報
　１６５　運転セキュリティグループ情報
　１６６　内部デバイス
　１６７　画面生成情報
　１６８　画面データ
　１７０　外部機器通信処理部
　１８０　通信インターフェース
　１９０　通信インターフェース
　２００　制御装置
　２０１　デバイス
　３０１～３０３　機器
　４００　作画装置

Claims

　複数の機器を制御する制御装置に接続され前記制御装置に対するユーザインターフェースとして機能するプログラマブル表示器であって、
　画面と前記画面内に配置される複数の表示オブジェクトとを表示部に表示する表示処理手段と、
　前記画面の候補となる候補画面及び前記表示オブジェクトの候補となる候補表示オブジェクトのそれぞれについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベルを規定する設定セキュリティレベル情報と、セキュリティが前記複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループを規定する設定セキュリティグループ情報とを記憶する記憶手段と、
　を備えたことを特徴とするプログラマブル表示器。
　運転を行うオペレータの認証処理を行い、認証されたオペレータについて、セキュリティが横割りにランク付けされた複数のレベルのうち属するレベルを規定する運転セキュリティレベル情報と、セキュリティが前記複数のレベルに渡って縦割りに分けられた複数のグループのうち属するグループを規定する運転セキュリティグループ情報とを特定する認証手段と、
　前記特定された運転セキュリティレベル情報と前記表示部に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティレベル情報とを比較する第１の比較手段と、
　前記特定された運転セキュリティグループ情報と前記表示部に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティグループ情報とを比較する第２の比較手段と、
　をさらに備えた
　ことを特徴とする請求項１に記載のプログラマブル表示器。
　前記第２の比較手段による比較結果に応じて、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループに前記オペレータが適合しているか否かを判定する判定手段をさらに備え、
　前記判定手段は、前記運転セキュリティグループ情報及び前記設定セキュリティグループ情報の少なくとも一方が複数のグループを含む場合に、前記運転セキュリティグループ情報が含むグループと前記設定セキュリティグループ情報が含むグループとに部分的に一致するグループが存在するときに、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループに前記オペレータが適合していると判定し、前記運転セキュリティグループ情報が含むグループと前記設定セキュリティグループ情報が含むグループとに部分的に一致するグループが存在しないときに、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループに前記オペレータが適合していないと判定する
　ことを特徴とする請求項２に記載のプログラマブル表示器。
　前記第２の比較手段による比較結果に応じて、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループに前記オペレータが適合しているか否かを判定する判定手段をさらに備え、
　前記判定手段は、前記運転セキュリティグループ情報及び前記設定セキュリティグループ情報の少なくとも一方が複数のグループを含む場合に、前記運転セキュリティグループ情報が含むグループと前記設定セキュリティグループ情報が含むグループとの一方が他方に包含されるか完全に一致するときに、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループに前記オペレータが適合していると判定し、前記運転セキュリティグループ情報が含むグループと前記設定セキュリティグループ情報が含むグループとの一方が他方に包含されず且つ完全に一致しないときに、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループに前記オペレータが適合していないと判定する
　ことを特徴とする請求項２に記載のプログラマブル表示器。
　前記判定手段は、前記表示部に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティグループ情報により属するグループが存在しないことが規定されている場合、前記第２の比較手段による比較結果に関わらずに、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティグループに前記オペレータが適合していると判定する
　ことを特徴とする請求項２に記載のプログラマブル表示器。
　前記第１の比較手段による比較結果に応じて、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティレベルを前記オペレータが満たしているか否かを判定する第２の判定手段をさらに備え、
　前記第２の判定手段は、前記表示部に表示すべき候補画面又は候補表示オブジェクトに対応した設定セキュリティレベル情報により属するレベルが存在しないことが規定されている場合、前記第１の比較手段による比較結果に関わらずに、前記表示部に表示すべき候補画面又は候補表示オブジェクトの設定セキュリティレベルを前記オペレータが満たしていると判定する
　ことを特徴とする請求項２に記載のプログラマブル表示器。