WO2020085078A1

WO2020085078A1 - 制御装置

Info

Publication number: WO2020085078A1
Application number: PCT/JP2019/039605
Authority: WO
Inventors: 功川合; 隆宏徳
Original assignee: オムロン株式会社
Priority date: 2018-10-24
Filing date: 2019-10-08
Publication date: 2020-04-30
Also published as: JP2020067793A; US20210390194A1; US11783063B2; EP3872667A1; CN112654988A; EP3872667A4; JP7087908B2

Abstract

制御装置は、１または複数の状態値から１または複数の特徴量を算出する特徴抽出部と、学習モデルを参照して、特徴抽出部により算出される１または複数の特徴量に基づいてスコアを算出する処理部と、スコアに基づいて監視対象に何らかの異常が発生しているか否かを示す判定結果を生成する判定部と、特徴抽出部での処理に係るデータ、および、処理部での処理に係るデータの少なくとも一方を格納する第１のデータ格納部と、制御装置で参照可能な任意の状態値を格納する第２のデータ格納部と、第１のデータ格納部へのアクセスを制限する権限管理部とを含む。

Description

制御装置

　本発明は、監視対象に発生し得る何らかの異常を検知可能な制御装置に関する。

　様々な生産現場において、機械や装置に対する予知保全により設備稼働率を向上させたいというニーズが存在する。予知保全とは、機械や装置に生じる何らかの異常を検知して、設備を停止しなければ状態になる前に、整備や交換などの保守作業を行うような保全形態を意味する。

　予知保全を実現するために、機械や装置の状態値を収集するとともに、収集された状態値に基づいて、当該機械や装置に何らかの異常が生じているか否かを判断するような仕組みが必要となる。

　一方で、異常検知を実現するためにいずれの状態値を収集するのか、あるいは、どのような異常検知のアルゴリズムを採用するのかといった内容は、いわばノウハウであり、秘匿化しておきたいというニーズがある。

　異常検知処理をＰＬＣ（プログラマブルコントローラ）などの制御装置に実装する場合には、例えば、ＩＥＣ　６１１３１－３に規定されるＰＬＣプログラミング言語を用いて必要なプログラムが記述されることになる。特開２００７－２８０３４８号公報（特許文献１）および特開２００５－１５４６８８号公報（特許文献２）に開示されるような制限技術を用いて、制御装置内のプログラム自体へのアクセスを禁止することは可能である。

特開２００７－２８０３４８号公報特開２００５－１５４６８８号公報

　しかしながら、異常検知処理に係るノウハウを保護するためには、プログラムだけではなく、処理途中のデータなども秘匿化する必要がある。上述の特許文献１および２は、このような新たな課題について何ら考慮するものではない。そのため、上述の特許文献１および２は、制御装置内のプログラム自体を保護するだけであり、処理途中のデータなどを保護することはできない。

　本発明の一つの目的は、異常検知処理に係るノウハウを適切に保護できる仕組みを提供することである。

　本発明の一例に従う制御対象を制御する制御装置は、監視対象から取得された１または複数の状態値から１または複数の特徴量を算出する特徴抽出部と、学習モデルを参照して、特徴抽出部により算出される１または複数の特徴量に基づいて、監視対象に何らかの異常が発生している可能性を示す値であるスコアを算出する処理部と、処理部により算出されるスコアに基づいて、監視対象に何らかの異常が発生しているか否かを示す判定結果を生成する判定部と、特徴抽出部での処理に係るデータ、および、処理部での処理に係るデータの少なくとも一方を格納する第１のデータ格納部と、制御装置で参照可能な任意の状態値を格納する第２のデータ格納部と、第１のデータ格納部へのアクセスを制限する権限管理部とを含む。

　本構成によれば、異常検知処理に係るノウハウに関する、特徴抽出部での処理に係るデータ、および、処理部での処理に係るデータについては、権限管理部によりアクセスが制限された第１のデータ格納部に格納される。一方で、制御装置で参照可能な任意の状態値については、第２のデータ格納部に格納されるので、妥当性の確認などを容易化できる。

　特徴抽出部での処理に係るデータは、特徴抽出部により算出される１または複数の特徴量を含んでいてもよい。本構成によれば、異常検知処理に係るノウハウの一つである特徴抽出部により算出される特徴量を適切に秘匿化できる。

　特徴抽出部は、外部からの設定情報により指定された１または複数の状態値から１または複数の特徴量を算出し、特徴抽出部での処理に係るデータは、設定情報を含んでいてもよい。本構成によれば、異常検知処理に係るノウハウの一つである設定情報を適切に秘匿化できる。

　処理部での処理に係るデータは、処理部により算出されるスコアを含んでいてもよい。本構成によれば、異常検知処理に係るノウハウの一つである処理部により算出されるスコアを適切に秘匿化できる。

　権限管理部は、特徴抽出部および処理部を実現するためのプログラム自体へのアクセスを制限するようにしてもよい。本構成によれば、特徴抽出部および処理部への入力あるいは特徴抽出部および処理部からの出力だけではなく、特徴抽出部および処理部自体も保護できるので、異常検知処理に係るノウハウを適切に保護できる。

　第２のデータ格納部は、判定部により生成される判定結果をさらに格納するようにしてもよい。本構成によれば、第２のデータ格納部には、状態値に加えて判定結果が格納されるので、事後的な解析処理を容易化できる。

　権限管理部は、識別情報およびパスワードに基づいて、第１のデータ格納部へアクセスする権限が付与されているか否かを判断するようにしてもよい。本構成によれば、一般的な権限管理手法を採用できるので汎用性を高めることができる。

　権限管理部は、第１のデータ格納部へアクセスする外部装置が保持している公開鍵に対応する、秘密鍵を有しており、権限管理部は、外部装置から送信される公開鍵により暗号化された識別情報およびパスワードを秘密鍵で復号した上で、第１のデータ格納部へアクセスする権限が付与されているか否かを判断するようにしてもよい。本構成によれば、制御装置と外部装置との間で遣り取りされる識別情報およびパスワードに対するセキュリティを担保できる。

　権限管理部は、第１のデータ格納部へアクセスする権限が付与されていると判断されると、外部装置との間で遣り取りされるデータを暗号化するための共通鍵を外部装置へ送信するようにしてもよい。本構成によれば、制御装置から外部装置へ提供されるデータに対するセキュリティを担保できる。

　本発明によれば、異常検知処理に係るノウハウを適切に保護できる仕組みを提供できる。

本実施の形態に従う異常検知システムの全体構成例を示す模式図である。本実施の形態に従う異常検知システムを構成する制御装置の主要部を示す模式図である。本実施の形態に従う異常検知システムを構成する制御装置のハードウェア構成例を示すブロック図である。本実施の形態に従う異常検知システムを構成するサポート装置のハードウェア構成例を示すブロック図である。本実施の形態に従う異常検知システムの基本的なソフトウェア構成例を示すブロック図である。図５に示すソフトウェア構成例に対して設定される操作制限の範囲を示す模式図である。本実施の形態に従う異常検知システムのより詳細なソフトウェア構成例を示すブロック図である。図７に示す制御装置の制限ＤＢに格納されるデータの一例を示す模式図である。図７に示す制御装置の公開ＤＢに格納されるデータの一例を示す模式図である。本実施の形態に従う異常検知システム１における制限ＤＢへのアクセスを制限するための実装例を示すブロック図である。

　本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。

　＜Ａ．適用例＞
　まず、本発明が適用される場面の一例について説明する。

　本実施の形態に従う異常検知処理を実行可能な制御システムの機能的な構成例について説明する。以下の説明においては、主として、制御システムが有している異常検知処理に注目して説明するので、制御システム全体を「異常検知システム」とも称する。

　まず、本実施の形態に従う異常検知システム１の全体構成例について説明する。
　図１は、本実施の形態に従う異常検知システム１の全体構成例を示す模式図である。図１を参照して、異常検知システム１は、主たる構成要素として、制御対象を制御する制御装置１００と、制御装置１００に接続され得るサポート装置２００とを含む。異常検知システム１は、オプショナルな構成として、上位サーバ３００および表示装置４００をさらに含んでいてもよい。

　制御装置１００は、制御対象に含まれる監視対象に何らかの異常が発生しているか否かを示す判定結果を生成する。制御装置１００は、ＰＬＣ（プログラマブルコントローラ）などの、一種のコンピュータとして具現化されてもよい。

　より具体的には、制御装置１００は、第１フィールドバス２を介してフィールド装置群１０と接続されるとともに、第２フィールドバス４を介して１または複数の表示装置４００と接続される。さらに、制御装置１００は、ローカルネットワーク６を介して上位サーバ３００に接続される。制御装置１００は、それぞれのネットワークを介して、接続された装置との間でデータを遣り取りする。

　制御装置１００は、設備や機械を制御するための各種制御演算を実行するとともに、制御対象に生じる異常を検知する異常検知機能も有している。異常検知機能が制御装置１００に実装されることで、制御対象に生じ得る異常をより短い周期で検知できる。

　本明細書において、「状態値」は、任意の制御対象（あるいは、監視対象）にて観測できる値を包含する用語であり、例えば、任意のセンサにより測定できる物理値や、リレーやスイッチなどのＯＮ／ＯＦＦ状態、ＰＬＣがサーボドライバに与える位置、速度、トルクなどの指令値、ＰＬＣが演算に用いる変数値などを含み得る。

　任意の制御対象にて観測されて制御装置１００に転送される状態値を、以下「入力値」とも称す。

　第１フィールドバス２および第２フィールドバス４としては、データの到達時間が保証される、定周期通信を行うネットワークを採用することが好ましい。このような定周期通信を行うネットワークとしては、ＥｔｈｅｒＣＡＴ（登録商標）などが知られている。

　フィールド装置群１０は、制御対象または制御に関連する製造装置や生産ラインなど（以下、「フィールド」とも総称する。）の状態値を入力値として収集する装置を含む。このような状態値を取得する装置としては、入力リレーや各種センサなどが想定される。フィールド装置群１０は、さらに、制御装置１００にて生成される指令値（以下、「出力値」とも称す。）に基づいて、フィールドに対して何らかの作用を与える装置を含む。このようなフィールドに対して何らかの作用を与える装置としては、出力リレー、コンタクタ、サーボドライバおよびサーボモータ、その他任意のアクチュエータが想定される。これらのフィールド装置群１０は、第１フィールドバス２を介して、制御装置１００との間で、入力値および出力値を含むデータを遣り取りする。

　図１に示す構成例においては、フィールド装置群１０は、リモートＩ／Ｏ（Input/Output）装置１２と、リレー群１４と、画像センサ１８およびカメラ２０と、サーボドライバ２２およびサーボモータ２４とを含む。

　リモートＩ／Ｏ装置１２は、第１フィールドバス２を介して通信を行う通信部と、入力値の取得および出力値の出力を行うための入出力部（以下、「Ｉ／Ｏユニット」とも称す。）とを含む。このようなＩ／Ｏユニットを介して、制御装置１００とフィールドとの間で入力値および出力値が遣り取りされる。図１には、リレー群１４を介して、入力値および出力値として、デジタル信号が遣り取りされる例が示されている。

　Ｉ／Ｏユニットは、フィールドバスに直接接続されるようにしてもよい。図１には、第１フィールドバス２にＩ／Ｏユニット１６が直接接続されている例を示す。

　画像センサ１８は、カメラ２０によって撮像された画像データに対して、パターンマッチングなどの画像計測処理を行って、その処理結果を制御装置１００へ送信する。

　サーボドライバ２２は、制御装置１００からの出力値（例えば、位置指令など）に従って、サーボモータ２４を駆動する。

　上述のように、第１フィールドバス２を介して、制御装置１００とフィールド装置群１０との間でデータが遣り取りされることになるが、これらの遣り取りされるデータは、数百μｓｅｃオーダ～数十ｍｓｅｃオーダのごく短い周期で更新されることになる。なお、このような遣り取りされるデータの更新処理を、「Ｉ／Ｏリフレッシュ処理」と称することもある。

　サポート装置２００は、制御装置１００が制御対象を制御するために必要な準備を支援する装置である。具体的には、サポート装置２００は、制御装置１００で実行されるプログラムの開発環境（プログラム作成編集ツール、パーサ、コンパイラなど）、制御装置１００および制御装置１００に接続される各種デバイスのパラメータ（コンフィギュレーション）を設定するための設定環境、生成したユーザプログラムを制御装置１００へ送信する機能、制御装置１００上で実行されるユーザプログラムなどをオンラインで修正・変更する機能、などを提供する。

　さらに、サポート装置２００は、制御装置１００での異常検知処理を実現するための各種設定やデータの生成および送信などの機能を提供する。

　上位サーバ３００は、制御装置１００とローカルネットワーク６を介して接続され、制御装置１００との間で必要なデータを遣り取りする。上位サーバ３００は、例えば、データベース機能を有しており、制御装置１００に格納される各種データを定期的またはイベント的に収集する。ローカルネットワーク６には、イーサネット（登録商標）などの汎用プロトコルが実装されてもよい。

　表示装置４００は、第２フィールドバス４を介して制御装置１００と接続され、ユーザからの操作を受けて、制御装置１００に対してユーザ操作に応じたコマンドなどを送信するとともに、制御装置１００での処理結果などをグラフィカルに表示する。

　次に、本実施の形態に従う異常検知システム１における異常検知処理および異常検知処理に関するデータ保存に関する主要部について説明する。

　図２は、本実施の形態に従う異常検知システム１を構成する制御装置１００の主要部を示す模式図である。図２を参照して、制御装置１００は、特徴抽出部１４０と、機械学習処理部１４４と、結果判定部１４６と、権限管理部１３０と、制限データベース（以下、「制限ＤＢ」とも略称する。）１８０と、公開データベース（以下、「公開ＤＢ」とも略称する。）１９０とを含む。

　特徴抽出部１４０は、監視対象から取得された１または複数の状態値１６４から１または複数の特徴量１５０を算出する。このとき、特徴抽出部１４０は、外部からの設定情報１５８により指定された１または複数の状態値１６４から１または複数の特徴量１５０を算出する。

　機械学習処理部１４４は、学習モデル１５２を参照して、特徴抽出部１４０により算出される１または複数の特徴量１５０に基づいて、監視対象に何らかの異常が発生している可能性を示す値であるスコア１５４を算出する。

　結果判定部１４６は、機械学習処理部１４４により算出されるスコア１５４に基づいて、監視対象に何らかの異常が発生しているか否かを示す判定結果１７０を生成する。このとき、結果判定部１４６は、判定条件１５６を参照して、スコア１５４に基づいて、監視対象に何らかの異常が発生しているか否かを判定する。

　制限ＤＢ１８０は、特徴抽出部１４０での処理に係るデータ、および、機械学習処理部１４４での処理に係るデータの少なくとも一方を格納するデータ格納部に相当する。一方、公開ＤＢ１９０は、制御装置１００で参照可能な任意の状態値を格納するデータ格納部に相当する。また、権限管理部１３０は、制限ＤＢ１８０へのアクセスを制限する。

　図２に示すように、本実施の形態に従う制御装置１００においては、アクセス権限の異なる２種類のデータベース（データ格納部）を用意することで、異常検知処理に係るノウハウを保護するとともに、各種解析手法などを確保するための手段を提供する。

　＜Ｂ．ハードウェア構成例＞
　次に、本実施の形態に従う異常検知システム１を構成する主要な装置のハードウェア構成例について説明する。

　（ｂ１：制御装置１００のハードウェア構成例）
　図３は、本実施の形態に従う異常検知システム１を構成する制御装置１００のハードウェア構成例を示すブロック図である。図３を参照して、制御装置１００は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro-Processing　Unit）などのプロセッサ１０２と、チップセット１０４と、主記憶装置１０６と、二次記憶装置１０８と、ローカルネットワークコントローラ１１０と、ＵＳＢ（Universal　Serial　Bus）コントローラ１１２と、メモリカードインターフェイス１１４と、内部バスコントローラ１２２と、フィールドバスコントローラ１１８，１２０と、Ｉ／Ｏユニット１２４－１，１２４－２，・・・とを含む。

　プロセッサ１０２は、二次記憶装置１０８に格納された各種プログラムを読み出して、主記憶装置１０６に展開して実行することで、制御対象に応じた制御、および、後述するような各種処理を実現する。チップセット１０４は、プロセッサ１０２とともに、各コンポーネントを制御することで、制御装置１００全体としての処理を実現する。

　二次記憶装置１０８には、制御装置１００が提供する機能を実現するためのシステムプログラム１２６（制御プログラムに相当）に加えて、システムプログラム１２６が提供する実行環境を利用して実行されるユーザプログラムが格納される。

　ローカルネットワークコントローラ１１０は、ローカルネットワーク６を介した他の装置との間のデータの遣り取りを制御する。ＵＳＢコントローラ１１２は、ＵＳＢ接続を介してサポート装置２００との間のデータの遣り取りを制御する。

　メモリカードインターフェイス１１４は、メモリカード１１６を着脱可能に構成されており、メモリカード１１６に対してデータを書き込み、メモリカード１１６から各種データ（ユーザプログラムやトレースデータなど）を読み出すことが可能になっている。

　内部バスコントローラ１２２は、制御装置１００に搭載されるＩ／Ｏユニット１２４－１，１２４－２，・・・との間でデータを遣り取りするインターフェイスである。

　フィールドバスコントローラ１１８は、第１フィールドバス２を介した他の装置との間のデータの遣り取りを制御する。同様に、フィールドバスコントローラ１２０は、第２フィールドバス４を介した他の装置との間のデータの遣り取りを制御する。

　図３には、プロセッサ１０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）またはＦＰＧＡ（Field-Programmable　Gate　Array）など）を用いて実装してもよい。あるいは、制御装置１００の主要部を、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコンをベースとした産業用パソコン）を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のＯＳ（Operating　System）を並列的に実行させるとともに、各ＯＳ上で必要なアプリケーションを実行させるようにしてもよい。

　（ｂ２：サポート装置２００のハードウェア構成例）
　次に、本実施の形態に従うサポート装置２００は、一例として、汎用的なアーキテクチャに従うハードウェア（例えば、汎用パソコン）を用いてプログラムを実行することで実現される。

　図４は、本実施の形態に従う異常検知システム１を構成するサポート装置２００のハードウェア構成例を示すブロック図である。図４を参照して、サポート装置２００は、ＣＰＵやＭＰＵなどのプロセッサ２０２と、ドライブ２０４と、主記憶装置２０６と、二次記憶装置２０８と、ＵＳＢコントローラ２１２と、ローカルネットワークコントローラ２１４と、入力部２１６と、表示部２１８とを含む。これらのコンポーネントはバス２２０を介して接続される。

　プロセッサ２０２は、二次記憶装置２０８に格納された各種プログラムを読み出して、主記憶装置２０６に展開して実行することで、後述するような各種処理を実現する。

　二次記憶装置２０８は、例えば、ＨＤＤ（Hard　Disk　Drive）やＳＳＤ（Solid　State　Drive）などで構成される。二次記憶装置２０８には、典型的には、サポート装置２００において実行されるユーザプログラムの作成、作成したプログラムのデバッグ、システム構成の定義、各種パラメータの設定などを行うための図示しない開発プログラムと、データマイニングツール２５０と、設定ツール２６０とを含む各種プログラムが格納される。二次記憶装置２０８には、ＯＳおよび他の必要なプログラムが格納されてもよい。

　ドライブ２０４は、記憶媒体２０５に対してデータを書き込み、記憶媒体２０５から各種データ（ユーザプログラム、トレースデータまたは時系列データなど）を読み出すことが可能になっている。記憶媒体２０５は、例えばコンピュータ読取可能なプログラムを非一過的に格納する記憶媒体２０５（例えば、ＤＶＤ（Digital　Versatile　Disc）などの光学記憶媒体）を含む。メモリカード１１６または記憶媒体２０５から、その中に格納されたプログラムまたはデータが読み取られて二次記憶装置２０８などの内部の記憶領域にインストールされる。

　サポート装置２００で実行される各種プログラムは、コンピュータ読取可能なメモリカード１１６または記憶媒体２０５を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に従うサポート装置２００が提供する機能は、ＯＳが提供するモジュールの一部を利用する形で実現される場合もある。

　ＵＳＢコントローラ２１２は、ＵＳＢ接続を介して制御装置１００との間のデータの遣り取りを制御する。ローカルネットワークコントローラ２１４は、任意ネットワークを介した他の装置との間のデータの遣り取りを制御する。

　入力部２１６は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。表示部２１８は、ディスプレイ、各種インジケータなどで構成され、プロセッサ２０２からの処理結果などを出力する。サポート装置２００には、プリンタが接続されてもよい。

　図４には、プロセッサ２０２がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路（例えば、ＡＳＩＣまたはＦＰＧＡなど）を用いて実装してもよい。

　＜Ｃ．ソフトウェア構成例／機能構成例＞
　次に、本実施の形態に従う異常検知システム１を構成する主要な装置のソフトウェア構成例および機能構成例について説明する。

　図５は、本実施の形態に従う異常検知システム１の基本的なソフトウェア構成例を示すブロック図である。図５を参照して、異常検知システム１において、制御装置１００は、サポート装置２００から提供される各種情報に基づいて、異常検知処理を実行する。

　制御装置１００は、変数管理部１６０と、特徴抽出部１４０と、学習モデル生成部１４２と、機械学習処理部１４４と、結果判定部１４６と、権限管理部１３０とを含む。

　変数管理部１６０は、機械や装置などの制御対象に現れる状態値（入力値）を予め定められた制御周期毎に取得して内部状態値を更新する。また、変数管理部１６０は、ユーザプログラムの実行などによって算出される指令値（出力値）を制御周期毎に更新する。すなわち、変数管理部１６０は、Ｉ／Ｏリフレッシュ処理に係る少なくとも一部の処理を実行し、制御周期毎に、制御対象から取得される入力値および制御対象へ与えられる出力値を更新する。

　本実施の形態に従う制御装置１００においては、制御対象から取得される状態値（入力値）、制御対象へ与えられる指令値（出力値）、ならびに、制御装置１００での演算処理または制御装置１００の状態管理に用いられるデータあるいは値（「内部状態値」にすべて包含される）のいずれについても、「変数」の形で参照する形態を採用する。そのため、以下の説明においては、制御装置１００において利用可能な値を「変数値」と表現することもある。そして、機械や装置などの制御対象に生じる状態値を示す内部状態値の集合を「デバイス変数」と表現する。

　なお、本発明は「変数」を用いて値を参照する形態に限られることなく、各値を格納するメモリの物理アドレスなどを直接指定して参照する形態などにも適用可能である。

　特徴抽出部１４０は、監視対象から取得された１または複数の状態値から１または複数の特徴量１５０を算出する。より具体的には、特徴抽出部１４０は、サポート装置２００により設定される設定情報１５８に従って、指定された対象の１または複数のデバイス変数１６２（状態値）が示す値（単位区間の時間的変化）から、予め定められた処理に従って１または複数の特徴量１５０（例えば、所定時間に亘る平均値、最大値、最小値など）を周期的またはイベント毎に算出する。特徴抽出部１４０が特徴量１５０を算出するために用いる単位区間を以下では「フレーム」とも称す。単位区間（フレーム）は、監視対象の動作などに応じて任意に設定される。

　機械学習処理部１４４は、学習モデル１５２を参照して、特徴抽出部１４０により算出される１または複数の特徴量１５０に基づいて、監視対象に何らかの異常が発生している可能性を示す値であるスコア１５４を算出する。典型的には、学習モデル１５２は、学習モデル生成部１４２により提供される。

　一例として、機械学習処理部１４４は、異常検知のアルゴリズムとして、超空間上における値群に対する入力値の外れ度合いに基づいて、当該入力値に対応するスコアを算出する方法を採用する。外れ度合いに基づく異常検知の手法としては、各点から値群までの最短距離に基づいて異常を検知する手法（ｋ近傍法）、値群を含むクラスタを含めて距離を評価する局所外れ値因子（ＬｏＦ：local　outlier　factor）法、パス長さから算出されるスコアを用いるｉＦｏｒｅｓｔ（isolation　forest）法などが知られている。

　学習モデル１５２が正常時の特徴量から構成される場合には、学習モデル１５２からの外れ度合い（すなわち、スコア）が大きいほど、監視対象に何らかの異常が発生している可能性が高いと判断できる。一方、学習モデル１５２が異常時の特徴量から構成される場合には、学習モデル１５２からの外れ度合い（すなわち、スコア）が小さいほど、監視対象に何らかの異常が発生している可能性が高いと判断できる。

　学習モデル生成部１４２は、サポート装置２００からの指示に従って、学習モデル１５２を生成する。なお、学習モデル生成部１４２は、サポート装置２００の一部に設けられてもよい。この場合には、学習モデル１５２自体がサポート装置２００から制御装置１００へ提供されることになる。より具体的には、サポート装置２００のデータマイニングツール２５０を用いて、必要なデータを抽出することで、学習モデル１５２を生成してもよい。

　結果判定部１４６は、機械学習処理部１４４により算出されるスコア１５４に基づいて、監視対象に何らかの異常が発生しているか否かを示す判定結果１７０を生成する。判定条件１５６は、サポート装置２００により設定されてもよい。典型的には、判定条件１５６は、スコア１５４に対して設定される、監視対象に何らかの異常が発生している可能性が高いことを示すしきい範囲などを含む。

　以上のような構成を採用することで、制御対象に含まれる任意の監視対象において、発生し得る何らかの異常を検知可能できる。

　権限管理部１３０は、制御装置１００に実装されるソフトウェアモジュールやプログラムなどに対するアクセスを制限する機能を提供する。権限管理部１３０の詳細については後述する。

　一方、サポート装置２００は、制御装置１００に対して、設定情報１５８および判定条件１５６を設定する。より具体的には、サポート装置２００は、設定ツール２６０を有しており、設定ツール２６０が制御装置１００への各種データの設定処理を担当する。

　＜Ｄ．課題および解決手段＞
　次に、本実施の形態に従う異常検知システム１が想定する課題およびその解決手段について説明する。

　上述の図５に示すように、本実施の形態に従う異常検知システム１においては、異常検知処理に関して、特徴抽出部１４０、学習モデル生成部１４２、および機械学習処理部１４４が、制御装置１００に実装される。

　異常検知処理に関する処理部に対しては、予め定められた権限を付与されたユーザ以外による、定義内容の変更や確認は禁止される。このような操作の禁止は、異常検知システム１での動作を一定の状態に維持するとともに、当該動作状態をノウハウとして保護するためであり、権限管理部１３０によって管理される。より具体的には、権限管理部１３０は、サポート装置２００の設定ツール２６０との間で連携することで、特徴抽出部１４０、学習モデル生成部１４２、および機械学習処理部１４４に対する操作を、パスワードなどを用いて管理する。

　図６は、図５に示すソフトウェア構成例に対して設定される操作制限の範囲を示す模式図である。図６を参照して、権限管理部１３０は、特徴抽出部１４０、学習モデル生成部１４２、および機械学習処理部１４４に対する操作を制限する。すなわち、権限管理部１３０は、特徴抽出部１４０、学習モデル生成部１４２、および機械学習処理部１４４を実現するためのプログラム自体へのアクセスを制限する。これによって、特徴抽出部１４０、学習モデル生成部１４２、および機械学習処理部１４４に設定される定義内容などのノウハウを秘匿化できる。

　一方で、異常検知処理の妥当性（すなわち、適切に実行されているか否か）を評価する必要もあり、この場合には、異常検知処理において算出または生成される各種データ（例えば、特徴量１５０およびスコア１５４）の確認が必要となる。このような各種データを参照すれば、異常検知処理での定義内容を類推することは容易であり、ノウハウを十分に秘匿化できない可能性もある。

　また、制御装置１００には、制御演算が適切に実行されているか否かを評価するために、データロギングなどによって時系列データを収集する機能が実装されていることもある。このようなデータロギング機能を用いて収集された、制御装置１００が保持する内部状態値の時系列データなどが解析されることで、異常検知処理での定義内容を類推することも可能である。このような場合には、上記と同様に、ノウハウを十分に秘匿化できない可能性もある。

　上述したように、ノウハウの秘匿化と妥当性確認の容易性という一面では相反する二つの課題が存在し、本実施の形態に従う異常検知システム１は、この二つの課題の解決が可能である。すなわち、本実施の形態に従う異常検知システム１は、異常検知処理に係るソフトウェアだけではなく、異常検知処理に係るノウハウの提供者（すなわち、定義内容の設定者）、および、異常検知処理の受益者に対して、それぞれメリットのある構成を提供する。

　図７は、本実施の形態に従う異常検知システム１のより詳細なソフトウェア構成例を示すブロック図である。図７を参照して、制御装置１００は、各種データを保存するための２種類のデータベースを有している。具体的には、制御装置１００は、権限管理部１３０によってアクセスを制限された制限データベース（以下、「制限ＤＢ」とも略称する。）１８０と、アクセスが制限されない公開データベース（以下、「公開ＤＢ」とも略称する。）１９０とを含む。

　すなわち、本実施の形態に従う異常検知システム１においては、異常検知処理のノウハウに係るデータは制限ＤＢ１８０に格納され、異常検知処理の結果を利用するために必要なデータは公開ＤＢ１９０に格納される。このように、役割の異なる２種類のデータベースを実装することで、ノウハウの秘匿化と妥当性確認の容易性という一面では相反する二つの課題を同時に解決できる。

　制限ＤＢ１８０は、異常検知処理のノウハウに係るデータを保存する。すなわち、制限ＤＢ１８０は、特徴抽出部１４０での処理に係るデータ、および、機械学習処理部１４４での処理に係るデータの少なくとも一方を格納するデータ格納部である。より具体的には、制限ＤＢ１８０には、時刻情報、フレーム識別情報、特徴量、スコアなどが格納される。これらの情報は、基本的には、時系列データの形で格納されることになる。また、制限ＤＢ１８０には、サポート装置２００から設定される設定情報１５８の内容（いずれの変数からどのような特徴量を算出するのか）が格納されてもよい。これらの情報は、テーブル形式の静的な情報として格納される。

　図８は、図７に示す制御装置１００の制限ＤＢ１８０に格納されるデータの一例を示す模式図である。制限ＤＢ１８０には、図８（ａ）に示される時系列データ１８２、および、図８（ｂ）に示される設定データ１８４が格納される。

　図８（ａ）に示される時系列データ１８２は、特徴抽出部１４０、学習モデル生成部１４２、機械学習処理部１４４、および結果判定部１４６などが実行されることで順次生成されるデータを含む。より具体的には、時系列データ１８２は、インデックス１８２１と、タイムスタンプ１８２２と、フレームＩＤ１８２３と、特徴量１８２４と、スコア１８２５とを含む。

　インデックス１８２１は、各レコードを特定するための情報であり、制御装置１００において任意に付与されるユニークな値である。典型的には、インデックス１８０１は、収集周期毎にインクリメントまたはデクリメントされる。インクリメントまたはデクリメントされる値を用いることで、データの欠落の有無を判断できる。

　タイムスタンプ１８２２は、各レコードを生成したタイミングを示す時刻情報である。時刻情報は、制御装置１００が管理する計時手段により提供される。

　フレームＩＤ１８２３は、各レコードを生成するために用いたデータを収集した単位区間（フレーム）を特定するための識別情報である。典型的には、フレームを決定するために用いたデバイス変数の値などが格納される。

　特徴量１８２４には、特徴抽出部１４０により順次算出される特徴量１５０の値が格納される。すなわち、制限ＤＢ１８０に格納される特徴抽出部１４０での処理に係るデータは、特徴抽出部１４０により算出される１または複数の特徴量１５０を含む。

　スコア１８２５には、機械学習処理部１４４により順次算出されるスコア１５４の値が格納される。すなわち、制限ＤＢ１８０に格納される特徴抽出部１４０での処理に係るデータは、機械学習処理部１４４により算出されるスコア１５４を含む。

　また、図８（ｂ）に示される設定データ１８４は、サポート装置２００により特徴抽出部１４０に対して設定される設定情報１５８の内容を記述するものである。より具体的には、設定データ１８４は、特徴量ＩＤ１８４１と、デバイス変数１８４２と、特徴量種別１８４３とを含む。

　特徴量ＩＤ１８４１は、特徴抽出部１４０により算出される特徴量を特定するための識別情報である。デバイス変数１８４２には、対応する特徴量の算出に用いられるデバイス変数を特定する情報が格納される。特徴量種別１８４３には、対応する特徴量の算出方法を特定する情報が格納される。

　このように、制限ＤＢ１８０に格納される特徴抽出部１４０での処理に係るデータは、設定情報１５８を含む。

　一方、公開ＤＢ１９０には、異常検知処理のノウハウに係るデータ以外の任意のデータが格納される。すなわち、公開ＤＢ１９０は、制御装置１００で参照可能な任意の状態値を格納するデータ格納部である。

　図９は、図７に示す制御装置１００の公開ＤＢ１９０に格納されるデータの一例を示す模式図である。公開ＤＢ１９０には、図９に示される時系列データ１９２が格納される。

　時系列データ１９２には、基本的には、変数管理部１６０が管理する１または複数のデバイス変数１６２（状態値）の制御周期（Ｉ／Ｏリフレッシュ処理の周期）毎に更新される値が順次格納される。より具体的には、時系列データ１９２は、インデックス１９２１と、タイムスタンプ１９２２と、デバイス変数１９２３とを含む。

　インデックス１９２１は、各レコードを特定するための情報であり、制御装置１００において任意に付与されるユニークな値である。典型的には、インデックス１９０１は、収集周期毎にインクリメントまたはデクリメントされる。インクリメントまたはデクリメントされる値を用いることで、データの欠落の有無を判断できる。なお、図８（ａ）の時系列データ１８２にインデックス１８２１と同じ値を用いてもよいし、それぞれの時系列データにそれぞれ独立に設定される値を用いてもよい。

　タイムスタンプ１９２２は、各レコードを生成したタイミングを示す時刻情報である。時刻情報は、制御装置１００が管理する計時手段により提供される。

　デバイス変数１９２３は、任意に設定された１または複数のデバイス変数１６２の値が格納される。

　図８および図９に示すデータ項目は一例であり、示されるデータ項目以外のデータ項目を格納するようにしてもよいし、あるいは、一部のデータ項目に変えて別のデータ項目を格納するようにしてもよい。例えば、公開ＤＢ１９０は、結果判定部１４６により生成される判定結果１７０をさらに格納するようにしてもよい。

　上述したように、異常検知処理のノウハウに係るデータは、制限ＤＢ１８０のみに格納され、公開ＤＢ１９０には格納されない。一方、異常検知処理の結果を利用するために必要なデータ（基本的には、異常検知処理のノウハウには直接的には関連しない）は、公開ＤＢ１９０に格納される。

　＜Ｅ．制限ＤＢ１８０へのアクセス＞
　次に、制限ＤＢ１８０へのアクセス方法などについて説明する。

　上述したように、制御装置１００の制限ＤＢ１８０に格納されたデータに対するアクセスは、予め定められた権限を付与されたユーザに限られる。また、制御装置１００の制限ＤＢ１８０から読み出されるデータについてもセキュアに転送されることが好ましい。以下では、制限ＤＢ１８０へのアクセス制限および読み出されるデータのセキュアな転送を実現するための一実装例を説明する。

　図１０は、本実施の形態に従う異常検知システム１における制限ＤＢ１８０へのアクセスを制限するための実装例を示すブロック図である。図１０には、サポート装置２００の設定ツール２６０を利用して、制御装置１００へのアクセスに対する権限を設定するとともに、権限を付与されたユーザが解析装置６００から制御装置１００へアクセスする処理を想定する。

　典型例として、権限管理部１３０は、識別情報（ＩＤ）およびパスワード（Ｐａｓｓｗｏｒｄ）に基づいて、制限ＤＢ１８０へアクセスする権限が付与されているか否かを判断する。

　図１０を参照して、事前準備として、サポート装置２００の設定ツール２６０には、秘密鍵２６２および公開鍵２６４のペアが用意されているとする。

　まず、異常検知システム１の管理者ユーザは、サポート装置２００の設定ツール２６０を操作して、制御装置１００の権限管理部１３０に対して、アクセス可能なユーザを特定するための識別情報（ＩＤ）およびパスワード（Ｐａｓｓｗｏｒｄ）を設定する（（１）設定）。この設定内容は、権限設定テーブル２６６に格納される。

　続いて、異常検知システム１の管理者ユーザは、サポート装置２００の設定ツール２６０を操作して、秘密鍵２６２を権限管理部１３０に設定するとともに（（２）秘密鍵提供）、秘密鍵２６２に対応する公開鍵２６４を解析装置６００に設定する（（３）公開鍵提供）。

　以上の操作によって、異常検知システム１への権限設定などの処理が完了する。この状態において、権限管理部１３０は、制限ＤＢ１８０へアクセスする外部装置である解析装置６００が保持している公開鍵２６４に対応する、秘密鍵２６２を有している。

　その後、制御装置１００の制限ＤＢ１８０に格納されたデータに対して解析装置６００からアクセスする場合を想定する。所定の権限を付与されたユーザは、解析装置６００を操作して、自身に付与された識別情報（ＩＤ）およびパスワード（Ｐａｓｓｗｏｒｄ）を入力する。この入力された識別情報（ＩＤ）およびパスワード（Ｐａｓｓｗｏｒｄ）は、解析装置６００に格納されている公開鍵２６４により暗号化されて、制御装置１００へ送信される（（４）入力されたＩＤ＋Ｐａｓｓｗｏｒｄ（公開鍵による暗号化））。

　制御装置１００の権限管理部１３０は、解析装置６００から送信される公開鍵２６４により暗号化された識別情報（ＩＤ）およびパスワード（Ｐａｓｓｗｏｒｄ）を、秘密鍵２６２で復号した上で、権限設定テーブル２６６を参照して、制限ＤＢ１８０へアクセスする権限が付与されているか否かを判断する処理（認証処理）を実行する（（５）認証）。

　制御装置１００の権限管理部１３０は、認証処理に成功すると、データの転送に用いられる共通鍵２６８を生成する（（６）共通鍵生成）。さらに、制御装置１００の権限管理部１３０は、生成した共通鍵２６８を解析装置６００に転送する（（７）共通鍵転送）。すなわち、権限管理部１３０は、制限ＤＢ１８０へアクセスする権限が付与されていると判断されると、解析装置６００との間で遣り取りされるデータを暗号化するための共通鍵２６８を解析装置６００へ送信する。

　なお、共通鍵２６８の転送時において、制御装置１００の権限管理部１３０は、秘密鍵２６２を用いて暗号化した上で共通鍵２６８を解析装置６００に転送する。一方、解析装置６００から暗号化された共通鍵２６８を自装置の公開鍵２６４で復号する。

　最終的に、制御装置１００の権限管理部１３０と解析装置６００との間で共通される共通鍵２６８を用いて、制限ＤＢ１８０に格納されているデータを解析装置６００へ転送する（（８）データ転送（共通鍵による暗号化））。より具体的には、権限管理部１３０の暗号化部１３２が共通鍵２６８を用いて制限ＤＢ１８０に格納されているデータを暗号化した上で解析装置６００へ転送する。解析装置６００は、暗号化されたデータを、共通鍵２６８を用いて復号化して活用する。

　なお、公開ＤＢ１９０については、基本的には、制御装置１００に接続される任意のデバイスからのアクセスが可能になっている。このように、公開ＤＢ１９０の内容については、制御装置１００のユーザであれば任意に参照可能になっている一方で、制限ＤＢ１８０の内容については、予め定められた権限を付与されたユーザのみが参照可能になっている。

　このような構成を採用することで、異常検知処理に係るノウハウの保護、および、異常検知処理の妥当性の評価や何らかの異常発生時の検証などの要求を両立できる。

　また、図１０に示すような実装例を採用することで、ＨＴＴＰ（hypertext　transfer　protocol）やＦＴＰ（file　transfer　protocol）などの任意の転送プロトコルを用いることができる。

　なお、図１０には、制御装置１００の制限ＤＢ１８０に対して、ネットワーク接続された解析装置６００からのアクセスを受け付ける構成を例示するが、これに限らず、制御装置１００に装着可能なメモリカード１１６などを介して、予め定められた権限を有するユーザのみがデータを持ち出すようにしてもよい。

　＜Ｆ．付記＞
　上述したような本実施の形態は、以下のような技術思想を含む。
［構成１］
　制御対象を制御する制御装置（１００）であって、
　監視対象から取得された１または複数の状態値（１６４）から１または複数の特徴量（１５０）を算出する特徴抽出部（１４０）と、
　学習モデル（１５２）を参照して、前記特徴抽出部により算出される１または複数の特徴量に基づいて、前記監視対象に何らかの異常が発生している可能性を示す値であるスコア（１５４）を算出する処理部（１４４）と、
　前記処理部により算出されるスコアに基づいて、前記監視対象に何らかの異常が発生しているか否かを示す判定結果（１７０）を生成する判定部（１４６）と、
　前記特徴抽出部での処理に係るデータ、および、前記処理部での処理に係るデータの少なくとも一方を格納する第１のデータ格納部（１８０）と、
　前記制御装置で参照可能な任意の状態値を格納する第２のデータ格納部（１９０）と、
　前記第１のデータ格納部へのアクセスを制限する権限管理部（１３０）とを備える、制御装置。
［構成２］
　前記特徴抽出部での処理に係るデータは、前記特徴抽出部により算出される１または複数の特徴量（１５０）を含む、構成１に記載の制御装置。
［構成３］
　前記特徴抽出部は、外部からの設定情報（１５８）により指定された１または複数の状態値から前記１または複数の特徴量（１５０）を算出し、
　前記特徴抽出部での処理に係るデータは、前記設定情報を含む、構成１または２に記載の制御装置。
［構成４］
　前記処理部での処理に係るデータは、前記処理部により算出されるスコア（１５４）を含む、構成１～３のいずれか１項に記載の制御装置。
［構成５］
　前記権限管理部は、前記特徴抽出部および前記処理部を実現するためのプログラム自体へのアクセスを制限する、構成１～４のいずれか１項に記載の制御装置。
［構成６］
　前記第２のデータ格納部は、前記判定部により生成される判定結果（１７０）をさらに格納する、構成１～５のいずれか１項に記載の制御装置。
［構成７］
　前記権限管理部は、識別情報およびパスワード（２６６）に基づいて、前記第１のデータ格納部へアクセスする権限が付与されているか否かを判断する、構成１～６のいずれか１項に記載の制御装置。
［構成８］
　前記権限管理部は、前記第１のデータ格納部へアクセスする外部装置が保持している公開鍵（２６４）に対応する、秘密鍵（２６２）を有しており、
　前記権限管理部は、前記外部装置から送信される前記公開鍵により暗号化された識別情報およびパスワードを前記秘密鍵で復号した上で、前記第１のデータ格納部へアクセスする権限が付与されているか否かを判断する、構成７に記載の制御装置。
［構成９］
　前記権限管理部は、前記第１のデータ格納部へアクセスする権限が付与されていると判断されると、前記外部装置との間で遣り取りされるデータを暗号化するための共通鍵（２６８）を前記外部装置へ送信する、構成８に記載の制御装置。

　＜Ｇ．利点＞
　本実施の形態に従う異常検知システムにおいては、アクセスが制限される制限ＤＢ１８０および任意にアクセス可能な公開ＤＢ１９０の２種類のデータ格納部を用意することで、異常検知処理に係るノウハウを適切に保護できるとともに、事後的な解析処理を容易化できる仕組みを提供できる。

　また、本実施の形態に従う異常検知システムにおいては、識別情報およびパスワードを用いたアクセス制限、ならびに、公開鍵、秘密鍵、共通鍵を用いたデータ保護を実現できるので、必要なセキュリティの確保できる。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　１　異常検知システム、２　第１フィールドバス、４　第２フィールドバス、６　ローカルネットワーク、１０　フィールド装置群、１２　リモートＩ／Ｏ装置、１４　リレー群、１６，１２４　Ｉ／Ｏユニット、１８　画像センサ、２０　カメラ、２２　サーボドライバ、２４　サーボモータ、１００　制御装置、１０２，２０２　プロセッサ、１０４　チップセット、１０６，２０６　主記憶装置、１０８，２０８　二次記憶装置、１１０，２１４　ローカルネットワークコントローラ、１１２，２１２　ＵＳＢコントローラ、１１４　メモリカードインターフェイス、１１６　メモリカード、１１８，１２０　フィールドバスコントローラ、１２２　内部バスコントローラ、１２６　システムプログラム、１３０　権限管理部、１３２　暗号化部、１４０　特徴抽出部、１４２　学習モデル生成部、１４４　機械学習処理部、１４６　結果判定部、１５０，１８２４　特徴量、１５２　学習モデル、１５４，１８２５　スコア、１５６　判定条件、１５８　設定情報、１６０　変数管理部、１６２，１８４２，１９２３　デバイス変数、１６４　状態値、１７０　判定結果、１８０　制限ＤＢ、１８２，１９２　時系列データ、１８４　設定データ、１９０　公開ＤＢ、２００　サポート装置、２０４　ドライブ、２０５　記憶媒体、２１６　入力部、２１８　表示部、２２０　バス、２５０　データマイニングツール、２６０　設定ツール、２６２　秘密鍵、２６４　公開鍵、２６６　権限設定テーブル、２６８　共通鍵、３００　上位サーバ、４００　表示装置、６００　解析装置、１８０１，１８２１，１９０１，１９２１　インデックス、１８２２，１９２２　タイムスタンプ、１８２３　フレームＩＤ、１８４１　特徴量ＩＤ、１８４３　特徴量種別。

Claims

　制御対象を制御する制御装置であって、
　監視対象から取得された１または複数の状態値から１または複数の特徴量を算出する特徴抽出部と、
　学習モデルを参照して、前記特徴抽出部により算出される１または複数の特徴量に基づいて、前記監視対象に何らかの異常が発生している可能性を示す値であるスコアを算出する処理部と、
　前記処理部により算出されるスコアに基づいて、前記監視対象に何らかの異常が発生しているか否かを示す判定結果を生成する判定部と、
　前記特徴抽出部での処理に係るデータ、および、前記処理部での処理に係るデータの少なくとも一方を格納する第１のデータ格納部と、
　前記制御装置で参照可能な任意の状態値を格納する第２のデータ格納部と、
　前記第１のデータ格納部へのアクセスを制限する権限管理部とを備える、制御装置。
　前記特徴抽出部での処理に係るデータは、前記特徴抽出部により算出される１または複数の特徴量を含む、請求項１に記載の制御装置。
　前記特徴抽出部は、外部からの設定情報により指定された１または複数の状態値から前記１または複数の特徴量を算出し、
　前記特徴抽出部での処理に係るデータは、前記設定情報を含む、請求項１または２に記載の制御装置。
　前記処理部での処理に係るデータは、前記処理部により算出されるスコアを含む、請求項１～３のいずれか１項に記載の制御装置。
　前記権限管理部は、前記特徴抽出部および前記処理部を実現するためのプログラム自体へのアクセスを制限する、請求項１～４のいずれか１項に記載の制御装置。
　前記第２のデータ格納部は、前記判定部により生成される判定結果をさらに格納する、請求項１～５のいずれか１項に記載の制御装置。
　前記権限管理部は、識別情報およびパスワードに基づいて、前記第１のデータ格納部へアクセスする権限が付与されているか否かを判断する、請求項１～６のいずれか１項に記載の制御装置。
　前記権限管理部は、前記第１のデータ格納部へアクセスする外部装置が保持している公開鍵に対応する、秘密鍵を有しており、
　前記権限管理部は、前記外部装置から送信される前記公開鍵により暗号化された識別情報およびパスワードを前記秘密鍵で復号した上で、前記第１のデータ格納部へアクセスする権限が付与されているか否かを判断する、請求項７に記載の制御装置。
　前記権限管理部は、前記第１のデータ格納部へアクセスする権限が付与されていると判断されると、前記外部装置との間で遣り取りされるデータを暗号化するための共通鍵を前記外部装置へ送信する、請求項８に記載の制御装置。