WO2016031260A1

WO2016031260A1 - 制御プログラム配信システム及びその方法

Info

Publication number: WO2016031260A1
Application number: PCT/JP2015/052236
Authority: WO
Inventors: 隆英伊藤; 篤塩谷; 松尾　実; 伊藤　岳彦
Original assignee: 三菱重工業株式会社
Priority date: 2014-08-28
Filing date: 2015-01-27
Publication date: 2016-03-03
Also published as: JP2016051185A; EP3139299B1; EP3139299A1; EP3139299A4; JP6141242B2

Abstract

　制御プログラム配信システム（１）において、室外機（１０）は、書き換え不可能な第１記憶装置に書き込まれた第１認証キーを中継装置（３）に送信する。中継装置（３）は、第２認証キーを保有しており、第１認証キーと第２認証キーとをサーバ（５）に送信する。サーバ（５）は、第１認証キーと第２認証キーとを認証し、正当権限を有することを確認すると、中継装置（３）に対して制御プログラムを送信する。中継装置（３）は、制御プログラムを室外機（１０）に送信する。室外機（１０）は、受信した制御プログラムを書き換え可能な第２記憶装置に書き込み、プログラムの実行が可能な状態とする。サーバ（５）から配信される制御プログラムには、プログラム実行時において、第１認証キーを認証するステップと、第１認証キーが認証できた場合に限ってプログラムの実行を許可するステップとが含まれている。これにより、制御プログラムの不正使用のリスクを低減することが可能となる。

Description

制御プログラム配信システム及びその方法

　本発明は、制御プログラム配信システム及びその方法に関するものである。

　従来、例えば、１台の室外機と複数の室内機とが接続されたマルチ型空調システムが知られている（例えば、特許文献１参照）。このようなマルチ型空調システムでは、室外機には室外機制御装置が設けられ、室内機には室内機制御装置が設けられている。
　一般的に、このような空調システムの施工時にあっては、室外機制御装置及び室内機制御装置に予め制御プログラムが書き込まれた状態で室内機及び室外機が工場から出荷され、現場での組み立て工事が行われる。

特開２００９－１８６１４４号公報

　上述した従来の方法では、室内機制御装置及び室外機制御装置に予め制御プログラムが書き込まれた状態で出荷されるので、これらの制御プログラムが不正に複製され、利用されるおそれがあった。

　本発明は、制御プログラムの不正使用のリスクを低減することのできる制御プログラム配信システム及びその方法を提供することを目的とする。

　本発明の第１態様は、暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段と、書き換え可能な第２記憶手段とを備える制御機器と、制御プログラムを配信するサーバとを備え、前記制御機器は、前記第１認証情報を前記サーバに送信する送信手段と、前記サーバから制御プログラムを受信した場合に、前記第２記憶手段に書き込みを行う書き込み手段とを備え、前記サーバは、前記制御機器から前記第１認証情報を受信する受信手段と、前記第１認証情報に基づいて前記制御機器が正当権限を有するか否かを確認する認証手段と、前記制御機器が正当な権利を有する場合に、前記制御プログラムを前記制御機器に送信する送信手段とを有し、前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証できた場合に限って、プログラムの実行を許可するステップとが含まれている制御プログラム配信システムである。

　上記制御プログラム配信システムによれば、サーバは、制御機器から第１認証情報を受信した場合に、第１認証情報の認証を行い、正当権限を有することが確認された場合に、制御機器に対して制御プログラムを送信する。制御機器は、サーバから制御プログラムを受信すると、これを書き換え可能な第２記憶手段に書き込む。これにより、制御プログラムを実行可能な状態とすることができる。

　このように、サーバから制御機器に対して制御プログラムを配信する構成としたので、制御プログラムを秘匿化することが可能となる。更に、制御プログラムは、第１認証キーの照合なしでは動作しないように作成されているので、第１認証キーを持たない不正な機器上での制御プログラムの動作を無効にすることができる。これにより、無断複製の抑制を期待できる。更に、第１認証キーは暗号化されて書き換え不可能な第１記憶手段に格納されているので、第１認証キーの複製を防止することが可能となる。

　本発明の第２態様は、暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段と、書き換え可能な第２記憶手段とを備える制御機器と、第２認証情報が割り当てられた中継装置と、制御プログラムを配信するサーバとを備え、前記中継装置は、前記制御機器に対して前記第１認証情報の送信を要求する要求手段と、前記制御機器から受信した前記第１認証情報と自身の前記第２認証情報とを前記サーバに送信する第１送信手段と、前記サーバから前記制御プログラムを受信した場合に、前記制御機器に制御プログラムを送信する第２送信手段とを備え、前記サーバは、前記中継装置から前記第１認証情報及び前記第２認証情報を受信する受信手段と、前記第１認証情報及び前記第２認証情報に基づいて前記制御機器及び前記中継装置が正当権限を有するか否かを認証する認証手段と、前記制御機器及び前記中継装置が正当権限を有する場合に、前記制御プログラムを前記中継装置に送信する送信手段とを備え、前記制御機器は、前記中継装置から前記制御プログラムを受信した場合に、前記制御プログラムを前記第２記憶手段に書き込む書き込み手段を備え、前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証できた場合に限って、プログラムの実行を許可するステップとが含まれている制御プログラム配信システムである。

　上記制御プログラム配信システムによれば、中継装置は制御機器に対して第１認証情報の送信を要求し、この要求に対して制御機器から第１認証情報を受信すると、受信した第１認証情報と自身の第２認証情報とをサーバに送信する。サーバは、第１認証情報と第２認証情報とを受信すると、これらを認証し、両者が正当権限を有することが確認できると、中継装置に対して制御プログラムを配信する。中継装置は、受信した制御プログラムを制御機器に送信する。制御機器は、中継装置から受信した制御プログラムを第２記憶手段に書き込む。これにより、制御プログラムを実行可能な状態とすることができる。

　このように、サーバから中継装置を介して制御機器に対して制御プログラムを配信する構成としたので、制御プログラムを秘匿化することが可能となる。更に、制御プログラムは、第１認証キーの照合なしでは動作しないように作成されているので、第１認証キーを持たない不正な機器上での制御プログラムの動作を無効にすることができる。これにより、無断複製の抑制を期待できる。更に、第１認証キーは暗号化されて書き換え不可能な第１記憶手段に格納されているので、第１認証キーの複製を防止することが可能となる。
　また、中継装置を介してサーバと制御機器との通信が行われることにより、正当権限を有さない機器からのサーバ接続を遮断することができ、サーバアタックなどを抑制することが可能となる。

　上記制御プログラム配信システムにおいて、前記中継装置は、前記第１認証情報に加えて、機器属性情報を前記制御機器から受信し、前記第１認証情報、前記機器属性情報、及び前記第２認証情報を前記サーバに送信し、前記サーバは、各機器属性に対応する制御モジュールが格納された第３記憶手段と、前記中継装置から受信した機器属性情報に基づいて、前記機器属性に対応する制御モジュールを前記記憶手段から抽出して、カスタム制御プログラムを生成するプログラム生成手段とを有し、前記カスタム制御プログラムを前記中継装置に送信することとしてもよい。

　上記制御プログラム配信システムによれば、制御機器が備える機器構成に応じて制御プログラムをカスタマイズすることが可能となる。これにより、制御プログラムのコードサイズを小さくすることが可能となる。

　上記制御プログラム配信システムにおいて、前記サーバは、前記中継装置から受信した前記第１認証情報、前記機器属性情報、及び前記第２認証情報を関連付けて格納する第４記憶手段を更に備えることとしてもよい。

　このように、第１認証情報、機器属性情報、及び第２認証情報を関連付けて保有しておくことで、制御プログラムの配信数を容易に管理することが可能となる。これにより、ロイヤリティの集計を容易に行うことが可能となる。

　上記制御プログラム配信システムにおいて、複数の前記制御機器が共有のネットワークに接続され、前記中継装置は、前記ネットワークに接続された各前記制御機器から前記第１認証情報及び前記機器属性情報をそれぞれ受信し、受信した複数の前記第１認証情報及び複数の前記機器属性情報と前記第２認証情報とを関連付けて前記サーバに送信し、前記サーバは、受信した複数の第１認証情報及び複数の前記機器属性情報と、前記第２認証情報とを関連付けて前記第４記憶手段に格納するとともに、各前記制御機器に対応するカスタム制御プログラムを前記中継装置に送信し、前記中継装置は、各前記制御機器に対応するカスタム制御プログラムを各前記制御機器に送信することとしてもよい。

　上記構成によれば、複数の制御機器が存在する場合でも、正当権限を有する制御機器に対してのみ制御プログラムを配信することが可能となる。

　上記制御プログラム配信システムにおいて、複数の前記制御機器には、例えば、室内機及び室外機が含まれる。

　本発明の第３態様は、暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段及び書き換え可能な第２記憶手段を備えた制御機器が、前記第１認証情報をサーバに送信する過程と、前記サーバが、前記第１認証情報を認証して、前記制御機器が正当権限を有することを確認する過程と、前記正当権限を有することが確認された場合に、前記サーバが前記制御機器に対して制御プログラムを配信する過程と、前記制御機器が、受信した前記制御プログラムを前記第２記憶手段に書き込む過程とを含み、前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証された場合に限って、プログラムの実行を許可するステップとが含まれている制御プログラム配信方法である。

　本発明の第４態様は、暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段及び書き換え可能な第２記憶手段を備えた制御機器が、第２認証情報を保有する中継装置に対して前記第１認証情報を送信する過程と、前記中継装置が、前記第１認証情報及び前記第２認証情報を前記サーバに送信する過程と、前記サーバが、前記第１認証情報及び前記第２認証情報を認証して、前記制御機器及び前記中継装置が正当権限を有するか否かを確認する過程と、前記制御機器及び前記中継装置が正当権限を有することが確認された場合に、前記サーバが前記中継装置に対して制御プログラムを配信する過程と、前記中継装置が前記制御機器に前記制御プログラムを送信する過程とを含み、前記制御プログラムには、プログラム実行時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証できた場合に限ってプログラムの実行を許可するステップとが含まれている制御プログラム配信方法である。

　本発明の第５態様は、暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段と、制御プログラムが格納された書き換え可能な第２記憶手段と、前記第２記憶手段に格納されている制御プログラムを実行可能なプロセッサとを備え、前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証された場合に限って、プログラムの実行を許可するステップとが含まれている制御機器である。

　本発明によれば、制御プログラムの不正使用のリスクを低減することができるという効果を奏する。

本発明の一実施形態に係る制御プログラム配信システムの全体構成を示した図である。本発明の一実施形態に係る空調システムの冷媒系統を示した図である。本発明の一実施形態に係る空調システムの電気的構成を示した図である。図３に示した制御装置のハードウェア構成を示した図である。図１に示した中継装置の機能ブロック図である。図１に示したサーバの機能ブロック図である。本発明の一実施形態に係る制御プログラム配信システムの動作を説明するための図である。本発明の一実施形態に係る制御プログラム配信システムの動作を説明するための図である。

　以下に、本発明に係る制御プログラム配信システム及びその方法を空調システムに適用する場合の各実施形態について、図面を参照して説明する。ここで、本発明の制御プログラム配信システム等の適用は、後述する空調システムに限られるものではなく、制御プログラムの不正な複製を防止する目的で、一般的なシステムに広く適用することが可能である。例えば、適用されるシステムの一例として、工作機械などが挙げられる。

　以下、本発明の一実施形態に係る制御プログラム配信システム及びその方法について、図１を用いて説明する。
　図１は、本実施形態に係る制御プログラム配信システムの全体構成を示した図である。図１に示すように、制御プログラム配信システム１は、空調システム２と、中継装置３と、サーバ５とを主な構成として備えている。
　この制御プログラム配信システム１は、例えば、空調システム２の施工完了時において、サーバ５から中継装置３を介して空調システム２を構成する室外機１０（図２参照）や室内機２０（図２参照）に制御プログラムを配信し、室外機１０、室内機２０の所定のメモリ領域に制御プログラムを書き込ませて、アクティベーションを完了させる。

　中継装置３とサーバ５とは、例えば、第１通信回線４を介して相互通信が可能な構成とされている。中継装置３と空調システム２とは第２通信回線（例えば、共通バス）６を介して相互通信が可能な構成とされている。

　図２は、空調システム２の冷媒系統を示した図である。図２に示すように、空調システム２は、室外機１０と、室外機１０と共通の冷媒配管２８により接続される室内機２０とを備える。図１では、説明の便宜上、１台の室外機１０と、１台の室内機２０とにより空調システム２が構成されている場合を例示しているが、空調システム２を構成する室外機１０及び室内機２０の台数はこの例に限定されない。
　また、複数の室外機１０と複数の室内機２０とにより空調システム２が構成される場合、全ての室外機１０と全ての室内機２０とが必ずしも共通の冷媒配管によって接続されている必要はない。例えば、空調システム２は、共通の冷媒配管で接続された少なくとも１台の室外機１０と少なくとも１台の室内機２０とからなる複数の空気調和機により構成されていてもよい。

　図２に示されるように、室外機１０は、例えば、冷媒を圧縮して送出する圧縮機１５、冷媒の循環方向を切り換える四方弁１６、冷媒と外気との間で熱交換を行う室外熱交換器１７、室外ファン１８、冷媒の機液分離等を目的として圧縮機１５の吸入側配管に設けられたアキュムレータ１９等を備えている。室外機１０は、低圧側圧力を計測する圧力センサ１１ａ、高圧側圧力を計測する圧力センサ１１ｂ、室外熱交換器１７の温度を計測する温度センサ１１ｃ等の各種センサ１１（図３参照）を備えている。

　室内機２０は、電子膨張弁２５、室内熱交換器２６、室内ファン２７等を備えている。室内機２０は、膨張弁前（後）圧力を計測する圧力センサ２１ａ、室内熱交換器２６の温度を計測する温度センサ２１ｂ等の各種センサ２１（図３参照）を備えている。

　図３は、空調システム２の電気的構成を示した図である。図３に示すように、室外機１０及び室内機２０は、第２通信回線６を介して相互通信が可能な構成とされる。中継装置３は、第２通信回線６に接続可能な構成とされ、第２通信回線６を介した室外機１０及び室内機２０との相互通信が可能な構成とされる。

　室外機１０は、上記圧力センサ１１ａ、１１ｂ及び温度センサ１１ｃ等からなる各種センサ１１と、室外機１０を構成する各種機器要素（例えば、圧縮機１５、室外ファン１８等）を制御するための各種ドライバ１２、室外機１０が備える各種機器要素（例えば、圧縮機１５等）を制御するための制御装置１３、及び第２通信回線６を介して通信を行うための通信部１４を備えている。

　室内機２０は、上記圧力センサ２１ａ及び温度センサ２１ｂ等からなる各種センサ２１と、室内機２０を構成する各種機器要素（例えば、電子膨張弁２５、室内ファン２７等）を制御するための各種ドライバ２２、室内機２０が備える各種機器要素（例えば、電子膨張弁２５、室内ファン２７等）を制御するための制御装置２３、及び第２通信回線６を介して通信を行うための通信部２４を備えている。

　図４は、上記制御装置１３、２３のハードウェア構成の一例を示した図である。図４に示すように、制御装置１３、２３は、第１記憶装置４１、第２記憶装置４２、プロセッサ４３、及びメインメモリ４４を主な構成として備えている。
　第１記憶装置４１は、書き換え不可能な記録媒体であり、第１認証キー（第１認証情報）が暗号化されて予め格納されている。例えば、第１記憶装置４１は、半導体メモリであり、制御基板上に半田付けされて、制御装置１３、２３に搭載される。第１認証キーは、固有の情報（例えば、固有のシリアルナンバー）であってもよいし、空調システム単位で同じ情報が用いられてもよい。すなわち、必ずしも固有の情報である必要はない。

　例えば、この第１記憶装置（半導体チップ）は、サーバ５の運営会社から空調システム２を製造する空調機メーカに対して配布されるものであり、空調機メーカについては、室外機１０及び室内機２０に対してこの第１記憶装置４１を搭載させることが義務づけられる。このようにすることで、サーバ５側は第１認証キーを認証することにより、正規メーカによって製造された機器であることを確認することが可能となる。

　第２記憶装置４２は、書き換え可能な記録媒体であり、例えば、後述するように、サーバ５から制御プログラムの配信を受けたときに、制御プログラムが書き込まれる。また、第２記憶装置４２には、機器属性情報及び第２通信回線６を介した通信を実現するためのアドレス情報などが予め書き込まれている。ここで、機器属性情報とは、例えば、自身の属性情報（例えば、室内機であるか室外機であるか）及び保有する機器の属性情報（例えば、能力、搭載センサ類の情報、室内外ファンのタップ数、電子膨張弁のフルパルス等）が格納されている。

　図５は、中継装置３の機能ブロック図である。図５に示すように、中継装置３は、第１通信回線４を介してサーバ５と通信を行うための第１通信部３１、第２通信回線６を介して室外機１０及び室内機２０と通信を行うための第２通信部３２、暗号化された第２認証キーが格納されている記憶装置３３、及び各種処理を実行する処理部３４を備えている。処理部３４は、ＣＰＵ等のプロセッサが所定のプログラムを実行することにより、後述した各種処理を実現させる。

　中継装置３は、例えば、空調システム２の管理会社が保有するものであり、例えば、上記第２認証キーとして各管理会社に割り当てられたシリアルナンバーを用いることとしてもよい。第２認証キーが格納されている記憶装置３３は、上述した第１記憶装置４１と同様に、書き換え不可能な記録媒体でもよいし、書き換え可能な記録媒体でもよい。

　図６は、サーバ５の機能ブロック図である。図６に示すように、サーバ５は、第１通信回線４を介して中継装置３と通信を行うための通信部５１、室外機１０の制御プログラム及び室内機２０の制御プログラムが格納されている第３記憶装置５２、中継装置３を介して受信した種々のデータを格納するための第４記憶装置５３、及び各種処理を実行する処理部５４を備えている。処理部５４は、ＣＰＵ等のプロセッサが所定のプログラムを実行することにより、後述する各処理を実現する。

　ここで、室外機１０の制御プログラム及び室内機２０の制御プログラムは、室外機１０及び室内機２０がそれぞれ搭載する機器に対応する制御モジュール単位で用意されている。すなわち、制御モジュールは、室内ファン２７、室外ファン１８、電子膨張弁２５、圧縮機１５等の室外機１０、室内機２０を構成する各機器に対応して設けられている。

　次に、上記構成を備える制御プログラム配信システムの動作について図７及び図８を参照して説明する。
　例えば、空調システム２の取り付け工事において、室外機１０及び室内機２０が所定の位置に配置され、第２通信回線６に接続されることにより施工が完了すると、この状態において、それぞれの電源がオンされる。これにより、例えば、室外機１０及び室内機２０の第２記憶装置４２（図４参照）のマスターブートレコードに書き込まれた通信機能がそれぞれ有効になる。

　この状態で、空調管理会社が保有する中継装置３が第２通信回線６に接続される。そして、中継装置３と室外機１０及び室内機２０との間で、第２通信回線６を介した接続機器リクエスト等の所定の処理が実行されることにより、室外機１０と室内機２０と中継装置３との間における通信が確立されるとともに、中継装置３において、第２通信回線６に接続されている機器構成（本実施形態では、１台の室外機と１台の室内機が接続されていること）が確認されるとともに、それらのアドレスが取得される。

　続いて、中継装置３は、室外機１０及び室内機２０に対して、第１認証キー及び機器属性情報の送信要求をブロードキャストにより送信する（ステップＳＡ１）。この送信要求を受信した室外機１０及び室内機２０は、第１記憶装置４１（図３参照）に格納されている第１認証キーと、第２記憶装置４２に書き込まれている機器属性情報とを中継装置３に対して送信する（ステップＳＡ２）。

　中継装置３は、室外機１０及び室内機２０から第１認証キー及び機器属性情報をそれぞれ受信すると、これらの情報に自身の第２認証キーを付加して、サーバ５に送信する（ステップＳＡ３）。
　サーバ５は、中継装置３から第１認証キー、機器属性情報、及び第２認証キーを受信すると、第１認証キー及び第２認証キーを復号した後、これらを認証する（ステップＳＡ４）。例えば、自身が保有している第１認証キーリストに、受信した第１認証キーが存在するか否かを判定し、リストに一致する第１認証キーが存在した場合には、その第１認証キーを有している機器が正当権限を有していると判定する。そして、同様の方法で、第２認証キーを用いた中継装置３の認証が行われる。

　中継装置３、室外機１０、室内機２０の全てにおいて正当権限を有していることが確認されると、サーバ５は、各機器、すなわち、室外機１０及び室内機２０が備える機器構成に対応するカスタム制御プログラムをそれぞれ生成する（ステップＳＡ５）。具体的には、サーバ５は、制御モジュールが格納されている第３記憶装置５２から、室外機１０及び室内機２０の機器属性情報に対応する機器の制御モジュールを抽出し、室外機１０及び室内機２０のそれぞれに対応するカスタム制御プログラムを生成する。このように、各機器に応じて制御プログラムをカスタマイズすることで、室外機１０及び室内機２０の機器構成には不要な制御プログラムを排除することができ、コードサイズを小さくすることが可能となる。

　なお、上記のように、制御モジュール単位でカスタム制御プログラムを作成するのに代えて、室内機用汎用制御プログラム及び室外機用汎用制御プログラムを用意しておき、この汎用制御プログラムをそのまま用いることも可能である。

　サーバ５は、室外機１０に対応するカスタム制御プログラム及び室内機２０に対応するカスタム制御プログラムを生成すると、これらのカスタム制御プログラムを中継装置３に送信する（図８のステップＳＡ６）。

　ここで、サーバ５から配信されるカスタム制御プログラム（制御プログラム）は、プログラム実行時において、第１記憶装置４１に格納されている第１認証キーを確認するステップと、第１認証キーが認証された場合に限ってプログラムの実行を許可するステップとが実装されている。このように、第１認証キーの認証なしではプログラムが実行されないようにプログラムを作成しておくことで、第１認証キーを有していない機器で不正に実行されることを防止することが可能となる。

　サーバ５は、カスタム制御プログラムの送信処理が終了すると、第４記憶装置５３に、中継装置３から受信したデータ、例えば、第１認証キー、機器属性情報、及び第２認証キーを関連付けて格納する（ステップＳＡ７）。これにより、制御プログラムの配信数を容易に把握することができ、ロイヤリティの集計を容易に行うことが可能となる。また、中継装置３の第２認証キーと第１認証キーとを関連付けて記憶させることで、どの空調システムがどの空調管理会社によって管理されているのかを容易に把握することができる。

　中継装置３は、サーバ５から室外機１０のカスタム制御プログラム及び室内機２０のカスタム制御プログラムを受信すると、これらを室外機１０及び室内機２０にそれぞれ送信する（ステップＳＡ８）。
　室外機１０、室内機２０は、カスタム制御プログラムをそれぞれ受信すると、受信したプログラムを第２記憶装置４２（図４参照）の所定メモリエリア（例えば、マスターブートレコード）に書き込む（ステップＳＡ９）。これにより、カスタム制御プログラムを実行可能な状態にすることができる。
　このようにして、カスタム制御プログラムのダウンロードが終了すると、中継装置３が第２通信回線６から取り外される。

　そして、空調システム２の起動時においては、プロセッサ４３によって第２記憶装置４２に書き込まれたカスタム制御プログラムがメインメモリ４４にロードされて実行される。この際、第１記憶装置４１に格納されている第１認証キーを確認するステップが実行され、第１認証キーが認証された場合にのみ、当該制御プログラムが継続して実行されることとなる。これにより、第１認証キーを有していない不正な機器（室外機または室内機）による制御プログラムの実行を無効とすることができる。

　以上説明したように、本実施形態に係る制御プログラム配信システム及びその方法によれば、室外機１０及び室内機２０の施工後において、サーバ５から制御プログラムを配信する構成としたので、制御プログラムの秘匿化を図ることが可能となる。
　また、第１認証キーは暗号化されて書き換え不可能な第１記憶装置４１に格納されているので、第１認証キーの複製を防止することが可能となる。更に、第１認証キーの照合なしでは制御プログラムが動作しないようにプログラムが作成されているので、第１認証キーを持たない機器（室外機、室内機）に制御プログラムが不正に搭載されたとしても、プログラムの正常動作を無効とすることができる。これにより、制御プログラムの不正使用のリスクを低減することができる。

　また、サーバ５では、制御プログラムを配信した場合に、配信先の情報（室外機１０、室内機２０の第１認証キー及び中継装置３の第２認証キー）を関連付けて保有しているので、制御プログラムの配信数を容易に管理することが可能となる。この結果、ロイヤリティの集計を容易に行うことが可能となる。また、中継装置３の第２認証キーを関連付けておくことで、どの空調システムがどの空調管理会社によって管理されているのかを容易に把握することができる。
　更に、中継装置３を介してサーバに送信することにより、正当権限を有さない機器からのサーバ５接続を遮断することができ、サーバアタックなどを抑制することが可能となる。

　本実施形態では、中継装置３を介して空調システム２とサーバ５の間の情報の授受が行われることとしたが、これに代えて、中継装置３を介さずに空調システム２から直接的にサーバ５にアクセスして、制御プログラムの配信を受ける構成としてもよい。この場合、室外機１０、室内機２０がそれぞれサーバ５との間で通信を確立可能な機能を有することとしてもよいし、空調システム２を構成するいずれかの機器（例えば、室外機１０）に、中継装置３が有している通信機能を持たせることで、その機器を介して情報の授受を実現することとしてもよい。

　本実施形態では、空調システム２の組み付け時における制御プログラムの配信について説明したが、例えば、組み付け後における制御プログラムのアップデート時などについても適用することが可能である。

　本発明は、上述の実施形態のみに限定されるものではなく、発明の要旨を逸脱しない範囲において、種々変形実施が可能である。

１　制御プログラム配信システム
２　空調システム
３　中継装置
４　第１通信回線
６　第２通信回線
１０　室外機
１３、２３　制御装置
２０　室内機
３１　第１通信部
３２　第２通信部
３３　記憶装置
４１　第１記憶装置
４２　第２記憶装置
５１　通信部
５２　第３記憶装置
５３　第４記憶装置

Claims

　暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段と、書き換え可能な第２記憶手段とを備える制御機器と、
　制御プログラムを配信するサーバと
を備え、
　前記制御機器は、
　前記第１認証情報を前記サーバに送信する送信手段と、
　前記サーバから制御プログラムを受信した場合に、前記第２記憶手段に書き込みを行う書き込み手段と
を備え、
　前記サーバは、
　前記制御機器から前記第１認証情報を受信する受信手段と、
　前記第１認証情報に基づいて前記制御機器が正当権限を有するか否かを確認する認証手段と、
　前記制御機器が正当な権利を有する場合に、前記制御プログラムを前記制御機器に送信する送信手段と
を有し、
　前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証できた場合に限って、プログラムの実行を許可するステップとが含まれている制御プログラム配信システム。
　暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段と、書き換え可能な第２記憶手段とを備える制御機器と、
　第２認証情報が割り当てられた中継装置と、
　制御プログラムを配信するサーバと
を備え、
　前記中継装置は、
　前記制御機器に対して前記第１認証情報の送信を要求する要求手段と、
　前記制御機器から受信した前記第１認証情報と自身の前記第２認証情報とを前記サーバに送信する第１送信手段と、
　前記サーバから前記制御プログラムを受信した場合に、前記制御機器に制御プログラムを送信する第２送信手段と
を備え、
　前記サーバは、
　前記中継装置から前記第１認証情報及び前記第２認証情報を受信する受信手段と、
　前記第１認証情報及び前記第２認証情報に基づいて前記制御機器及び前記中継装置が正当権限を有するか否かを認証する認証手段と、
　前記制御機器及び前記中継装置が正当権限を有する場合に、前記制御プログラムを前記中継装置に送信する送信手段と
を備え、
　前記制御機器は、前記中継装置から前記制御プログラムを受信した場合に、前記制御プログラムを前記第２記憶手段に書き込む書き込み手段を備え、
　前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証できた場合に限って、プログラムの実行を許可するステップとが含まれている制御プログラム配信システム。
　前記中継装置は、前記第１認証情報に加えて、機器属性情報を前記制御機器から受信し、前記第１認証情報、前記機器属性情報、及び前記第２認証情報を前記サーバに送信し、
　前記サーバは、
　各機器属性に対応する制御モジュールが格納された第３記憶手段と、
　前記中継装置から受信した機器属性情報に基づいて、前記機器属性に対応する制御モジュールを前記記憶手段から抽出して、カスタム制御プログラムを生成するプログラム生成手段と、
を更に有し、
　前記カスタム制御プログラムを前記中継装置に送信する請求項２に記載の制御プログラム配信システム。
　前記サーバは、前記中継装置から受信した前記第１認証情報、前記機器属性情報、及び前記第２認証情報を関連付けて格納する第４記憶手段を更に備える請求項３に記載の制御プログラム配信システム。
　複数の前記制御機器が共有のネットワークに接続され、
　前記中継装置は、前記ネットワークに接続された各前記制御機器から前記第１認証情報及び前記機器属性情報をそれぞれ受信し、受信した複数の前記第１認証情報及び複数の前記機器属性情報と前記第２認証情報とを関連付けて前記サーバに送信し、
　前記サーバは、受信した複数の前記第１認証情報及び複数の前記機器属性情報と、前記第２認証情報とを関連付けて前記第４記憶手段に格納するとともに、各前記制御機器に対応するカスタム制御プログラムを前記中継装置に送信し、
　前記中継装置は、各前記制御機器に対応するカスタム制御プログラムを各前記制御機器に送信する請求項４に記載の制御プログラム配信システム。
　複数の前記制御機器には、室内機及び室外機が含まれる請求項５に記載の制御プログラム配信システム。
　暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段及び書き換え可能な第２記憶手段を備えた制御機器が、前記第１認証情報をサーバに送信する過程と、
　前記サーバが、前記第１認証情報を認証して、前記制御機器が正当権限を有することを確認する過程と、
　前記正当権限を有することが確認された場合に、前記サーバが前記制御機器に対して制御プログラムを配信する過程と、
　前記制御機器が、受信した前記制御プログラムを前記第２記憶手段に書き込む過程と
を含み、
　前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証された場合に限って、プログラムの実行を許可するステップとが含まれている制御プログラム配信方法。
　暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段及び書き換え可能な第２記憶手段を備えた制御機器が、第２認証情報を保有する中継装置に対して前記第１認証情報を送信する過程と、
　前記中継装置が、前記第１認証情報及び前記第２認証情報を前記サーバに送信する過程と、
　前記サーバが、前記第１認証情報及び前記第２認証情報を認証して、前記制御機器及び前記中継装置が正当権限を有するか否かを確認する過程と、
　前記制御機器及び前記中継装置が正当権限を有することが確認された場合に、前記サーバが前記中継装置に対して制御プログラムを配信する過程と、
　前記中継装置が前記制御機器に前記制御プログラムを送信する過程と
を含み、
　前記制御プログラムには、プログラム実行時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証できた場合に限ってプログラムの実行を許可するステップとが含まれている制御プログラム配信方法。
　暗号化された第１認証情報が格納された書き換え不可能な第１記憶手段と、
　制御プログラムが格納された書き換え可能な第２記憶手段と、
　前記第２記憶手段に格納されている制御プログラムを実行可能なプロセッサと
を備え、
　前記制御プログラムには、プログラム実行開始時において、前記第１認証情報を認証するステップと、前記第１認証情報が認証された場合に限って、プログラムの実行を許可するステップとが含まれている制御機器。