WO2021014766A1

WO2021014766A1 - 通信中継装置および診断方法

Info

Publication number: WO2021014766A1
Application number: PCT/JP2020/021669
Authority: WO
Inventors: 寛岩澤; 遠藤　浩通
Original assignee: 株式会社日立製作所
Priority date: 2019-07-25
Filing date: 2020-06-01
Publication date: 2021-01-28
Also published as: JP2021022771A; JP7290495B2

Abstract

リアルタイム性を確保しつつ、ハードウェアで構成された検知回路の故障診断を行うことを可能にする。検知回路６１～６３には、それぞれ異なる検知パターンが設定される。検知回路６１～６３は、入力されたデータである入力データに当該設定された検知パターンが含まれるか否かを検知する。信号制御部は、複数の検知回路の少なくとも１つに当該検知回路に設定された検知パターンを含む診断データを入力し、他の検知回路に通信データを入力する。遮断回路３１は、通信データが入力された検知回路の検知結果に基づいて、通信データの中継と遮断とを切り替える。診断回路７１は、診断データが入力された検知回路の検知結果に基づいて、当該検知回路に障害が発生しているか否かを診断する。

Description

通信中継装置および診断方法

　本開示は、通信中継装置および診断方法に関する。

　製造業における化学プラントまたは製品組み立て装置のような設備を制御する制御装置を含む制御システムは、安全かつ安定な動作を維持する必要がある。しかしながら、制御装置の動作を阻害したり、制御装置に誤った動作を行わせたりする目的で、制御装置に対して不正なデータが送られてくる場合がある。このため、制御システムには、ファイヤーウォールまたはＩＰＳ(Intrusion Protection System)のような不正なデータを遮断する機能を有する通信中継装置が実装されることがある。

　また、制御システムでは、データのセンシング、センシングの結果に基づく制御演算、制御演算の結果に基づくアクチュエーションという一連の動作を予め定められた制御周期内に行うリアルタイム性が必要となる。このため、上記の通信中継装置を制御システムに実装する場合、リアルタイム性を確保するために、通信中継装置による遅延時間をできるだけ小さくする必要がある。

　特許文献１には、ＦＰＧＡ(Field Programmable Gate Array)等の専用のハードウェアで構成した検知装置を用いて不正なデータを検知する通信中継装置が開示されている。この通信中継装置では、ソフトウェアを用いて不正なデータを検知する装置と比べて、遅延時間を短くすることができる。

特開２００８－２９９８６４号公報

　特許文献１に記載の技術のように不正なデータを検知する検知装置をハードウェアで構成した場合、検知装置の故障を検知することが難しいという問題がある。これは、ソフトウェアで構成された検知装置では、その構成要素である演算回路等が様々な処理で共用されているために故障が顕在化しやすいのに対して、ハードウェアで構成された検知装置は、他の用途で使用されないために故障が顕在化しにくいためである。

　本開示の目的は、検知装置が専用のハードウェアで構成された場合でも、リアルタイム性を確保しつつ、検知装置の故障診断を行うことが可能な通信中継装置および診断方法を提供することにある。

　本開示の一態様によれば、通信データを中継する通信中継装置であって、それぞれ異なる検知パターンが設定され、入力されたデータである入力データに当該設定された検知パターンが含まれるか否かを検知する複数の検知回路と、前記複数の検知回路の少なくとも１つに当該検知回路に設定された検知パターンを含む診断データを入力し、他の前記検知回路に前記通信データを入力する信号制御部と、前記通信データが入力された検知回路の検知結果に基づいて、前記通信データの中継と遮断とを切り替える遮断回路と、前記診断データが入力された検知回路の検知結果に基づいて、当該検知回路に障害が発生しているか否かを診断する診断回路と、を有する。

　本発明によれば、検知装置が専用のハードウェアで構成された場合でも、リアルタイム性を確保しつつ、検知装置の故障診断を行うことが可能になる。これ以外の効果は、以下の実施形態の説明により明らかにされる。

本開示の一実施形態に係る制御システム全体の構成を示すブロック図である。診断機能を備えていない通信中継装置の構成例を示すブロック図である。診断機能を備えていない通信中継装置の動作の一例を説明するためのタイミングチャートである。診断機能を備えていない通信中継装置の動作の他の例を説明するためのタイミングチャートである。診断機能を備えた通信中継装置の構成例を示すブロック図である。診断機能を備えた通信中継装置の動作の一例を説明するためのタイミングチャートである。診断機能を備えた通信中継装置の動作の他の例を説明するためのタイミングチャートである。

　以下、本開示の実施形態について図面を参照して説明する。

［制御システム全体の構成］
　先ず、本開示の一実施形態に係る制御システム全体の構成について説明する。以下で説明する制御システムは、化学プラントのようなプラントで用いられる設備を制御するために使用されているが、制御システムが制御する設備は、特に限定されない。

　図１は、制御システム全体の構成例を示す図である。図１に示す制御システム１００は、ファイヤーウォール１０１と、端末装置１０２と、生産管理サーバ１０３と、ＨＭＩ（Human Machine Interface）装置１０４と、監視制御サーバ１０５と、制御装置１０６と、制御対象設備１０７と、通信中継装置１０８とを有する。また、制御システム１００は、インターネットなどの外部ネットワーク２００と接続されている。

　制御システム１００の各部１０１～１０８は、複数のネットワーク１１１～１１３にて構成される階層状のネットワークを用いて相互に通信可能に接続されている。具体的には、制御対象設備１０７は、制御装置１０６と相互に接続されている。制御装置１０６は、通信中継装置１０８と相互に接続されている。通信中継装置１０８は、制御システムネットワーク１１３を介して、監視制御サーバ１０５と相互に接続されている。監視制御サーバ１０５は、制御系情報ネットワーク１１２を介して、ＨＭＩ装置１０４及び生産管理サーバ１０３と相互に接続されている。生産管理サーバ１０３は、情報系ネットワーク１１１を介して、端末装置１０２及びファイヤーウォール１０１と相互に接続されている。ファイヤーウォール１０１は、外部ネットワーク２００と接続される。

　また、制御システム１００の各部１０１～１０８は、複数あってもよい。制御装置１０６が複数ある場合、通信中継装置１０８は、制御装置１０６ごとに設置される。

　ファイヤーウォール１０１は、情報系ネットワーク１１１と外部ネットワーク２００との間の通信を中継する装置である。ファイヤーウォール１０１は、外部ネットワーク２００から制御システム１００（具体的には、情報系ネットワーク１１１）への不正アクセスを防ぐ機能を有する。

　端末装置１０２は、制御システム１００のユーザ（管理者等）にて使用される。端末装置１０２は、ユーザから、プラントにおける生産目標値または生産目標個数等の計画値に関する計画情報を受け付け、その計画情報を生産管理サーバ１０３に通知する。また、端末装置１０２は、生産管理サーバ１０３からプラントの生産量などに関する実績情報を受信し、その実績情報を表示する。これにより、ユーザは、プラントの実績情報を監視することができる。

　生産管理サーバ１０３は、端末装置１０２からの計画情報に基づいて、プラントの計画値を決定し、その計画値を監視制御サーバ１０５に通知する。また、生産管理サーバ１０３は、監視制御サーバ１０５から制御対象設備１０７の状態を示す状態情報を受信し、その状態情報に基づいて、実績情報を生成して端末装置１０２に通知する。

　ＨＭＩ装置１０４は、ユーザから種々の情報を受け付け、また、種々の情報を表示する。例えば、ＨＭＩ装置１０４は、ユーザから、制御対象設備１０７を制御するための指令値に関する指令情報を受け付け、その指令情報を監視制御サーバ１０５に送信する。また、ＨＭＩ装置１０４は、制御対象設備１０７から制御対象設備１０７の状態情報を受信し、その状態情報を表示する。これにより、ユーザは、制御対象設備１０７の状態を監視することができる。

　監視制御サーバ１０５は、生産管理サーバ１０３からの計画値と、ＨＭＩ装置１０４からの指令情報に基づいて、指令値を決定し、その指令値を、通信中継装置１０８を介して制御装置１０６に通知する。また、監視制御サーバ１０５は、制御装置１０６から通信中継装置１０８を介して、制御対象設備１０７の状態情報を受信し、その状態情報を生産管理サーバ１０３およびＨＭＩ装置１０４に通知する。

　制御装置１０６は、監視制御サーバ１０５からの指令値に基づいて、制御対象設備１０７を制御する。また、制御装置１０６は、制御対象設備１０７の状態を取得し、その状態を示す状態情報を、通信中継装置１０８を介して監視制御サーバ１０５に送信する。

　制御対象設備１０７は、スイッチ、バルブ及びセンサなどである。上述した制御対象設備１０７を制御するための指令値は、例えば、スイッチ及びバルブの開閉を示す値又は開度などである。また、上述した制御対象設備１０７の状態は、例えば、センサにより計測される圧力、温度及び回転数などである。

　通信中継装置１０８は、監視制御サーバ１０５と制御装置１０６との間の通信を中継する装置である。監視制御サーバ１０５と制御装置１０６との間の通信には、リアルタイム性が必要であるため、通信中継装置１０８による通信に対する遅延時間は、できるだけ短いことが好ましい。

　通信中継装置１０８は、制御システムネットワーク１１３からの不正なデータを検知して遮断する検知機能と、検知機能に障害が発生しているか否かを診断する診断機能とを有する。

　不正なデータは、例えば、監視制御サーバ１０５等の制御システム１００内の装置がコンピュータウィルスのようなマルウェアに感染した結果として生成される。また、不正なデータは、プラントの内部に侵入した攻撃者が制御システムネットワーク１１３に直接接続したＰＣ（Personal Computer）等の装置から送信されることもある。このような不正なデータは、外部ネットワーク２００向けのファイヤーウォール１０１では防ぐことが難しいため、制御装置１０６ごとに設置した通信中継装置１０８にて検知されることが重要となる。

　検知機能には、予め設定された検知パターン（ビット列のパターン）を含む通信データを不正なデータとして検知して遮断するブラックリスト型と呼ばれる方式と、予め設定された検知パターンを含む通信データのみを通過させ、他の通信データ（検知パターンを含まない通信データ）を不正なデータとして検知して遮断するホワイトリスト型と呼ばれる方式とがある。ブラックリスト型の場合、検知パターンとして、マルウェア等により送信される不正なデータに特徴的なパターンが設定される。また、ホワイトリスト型の場合、検知パターンとして、中継を許可する許可データ（例えば、制御装置１０６に送信する正規のデータ）に特徴的なパターンが設定される。

　以下、通信中継装置１０８についてより詳細に説明する。

　先ず、検知機能について説明するために、診断機能を備えていない通信中継装置１０８について説明する。

［診断機能を備えていない通信中継装置（ブラックリスト型）の構成および動作］
　図２は、診断機能を備えていない通信中継装置１０８の構成例を示すブロック図である。図２に示す通信中継装置１０８は、外部ネットワーク２１および内部ネットワーク２４と接続され、外部ネットワーク２１と内部ネットワーク２４との間の通信を中継する。図２では、外部ネットワーク２１から内部ネットワーク２４に向かって伝送される通信データを中継する構成が示されている。なお、図２に示す通信中継装置１０８を図１に示す制御システム１００に実装する場合、外部ネットワーク２１は、図１の制御システムネットワーク１１３に対応し、内部ネットワーク２４は、通信中継装置１０８と制御装置１０６とを接続するネットワーク（図示せず）に対応する。

　通信中継装置１０８は、図２の例では、遮断回路３１と、検知回路６１および６２とを有する。外部ネットワーク２１からの通信データ２２は、遮断回路３１、検知回路６１および６２のそれぞれに入力される。

　検知回路６１および６２は、それぞれＦＰＧＡなどの専用のハードウェアにて構成されてもよい。検知回路は、２つに限らず、例えば、３つ以上あってもよい。

　検知回路６１および６２には、それぞれ異なる固有の検知パターンが設定されている。検知回路６１および６２は、入力された入力データ（図２の例では、通信データ２２）に、自身に設定されている検知パターンが含まれるか否かを検知し、その検知結果を示す検知信号６４１および６４２を出力して遮断回路３１に入力する。本実施形態では、検知回路６１および６２は、通信データ２２に検知パターンが含まれている場合、検知信号６４１および６４２をアクティブとし、通信データ２２に検知パターンが含まれていない場合、検知信号６４１および６４２を非アクティブとする。

　遮断回路３１は、検知回路６１および６２からの検知信号６４１および６４２に基づいて、通信データ２２の通過（中継）と遮断とを切り替える。ここでは、遮断回路３１は、ブラックリスト型に対応している。つまり、遮断回路３１は、検知信号６４１および６４２が全て非アクティブの場合、通信データ２２をそのまま出力データ２３として通過させ、検知信号６４１および６４２の少なくとも一方がアクティブの場合、通信データ２２を遮断する。

　図３は、ブラックリスト型に対応した、診断機能を備えていない通信中継装置１０８の動作を説明するためのタイミングチャートである。なお、図３では、簡単のために回路内における遅延は無視している。

　図３の例では、通信データ２２の前半は、検知パターンを含まない通常データ（normal）であり、通信データ２２の後半において、検知回路６２に設定された検知パターンを含む不正なデータ（malicious(62)）となる。

　この場合、通信データ２２は前半でも後半でも検知回路６１に設定された検知パターンを含まないため、検知回路６１から出力される検知信号６４１は、常に非アクティブとなる。一方、検知回路６２から出力される検知信号６４２は、通信データ２２の前半では、非アクティブであるが、通信データ２２の後半において、検知回路６２で検知パターンが検知されるため、アクティブ（Active）となる。その結果、遮断回路３１は、通信データ２２の前半を出力データ２３として通過させ、通信データ２２の後半を遮断する。これにより、検知パターンを含む不正なデータ（malicious(62)）を遮断し、検知パターンを含まない通常データ（normal）のみが出力データ２３として内部ネットワーク２４へ伝達することができる。

［診断機能を備えていない通信中継装置（ホワイトリスト型）の構成および動作］
　上述したブラックリスト型に対応した通信中継装置１０８では、通信データ２２に検知パターンが含まれている場合に、通信データ２２を遮断していた。以下では、通信データ２２に検知パターンが含まれていない場合に、通信データ２２を遮断するホワイトリスト型に対応した通信中継装置１０８について説明する。

　ホワイトリスト型に対応した、診断機能を備えていない通信中継装置１０８の構成は、図３に示した構成と同じである。ただし、遮断回路３１の動作が異なる。具体的には、ホワイトリスト型の場合、遮断回路３１は、検知信号６４１および６４２が全て非アクティブの場合、通信データ２２を遮断し、検知信号６４１および６４２の少なくとも一方がアクティブの場合、通信データ２２をそのまま出力データ２３として通過させる。

　図４は、ホワイトリスト型に対応した、診断機能を備えていない通信中継装置１０８の動作を説明するためのタイミングチャートである。なお、図４では、簡単のために回路内における遅延は無視している。

　図４の例では、通信データ２２は、前半においては、検知パターンを含まない通常データ（normal）であり、後半において、検知回路６２に設定された検知パターンを含む許可データ（allow(62)）となる。

　この場合、通信データ２２は前半でも後半でも検知回路６１に設定された検知パターンを含まないため、検知回路６１から出力される検知信号６４１は、常に非アクティブとなる。一方、検知回路６２から出力される検知信号６４２は、通信データ２２の前半では、非アクティブであるが、通信データ２２の後半において、検知回路６２で検知パターンが検知されるため、アクティブ（Active）となる。その結果、遮断回路３１は、通信データ２２の前半を遮断し、通信データ２２の後半を出力データ２３として通過させる。これにより、検知パターンを含まない通常データ（normal）を遮断し、検知パターンを含む許可データ（allow(62)）のみを内部ネットワーク２４へ伝達することができる。この場合、不正なデータは通常データ（normal）として遮断することができる。

［診断機能を備えた通信中継装置の構成および動作（ブラックリスト型）］
　次に診断機能を備えた通信中継装置１０８について説明する。また、以下では、特に断りのない限り、通信中継装置１０８はブラックリスト型に対応しているものとする。

　図５は、診断機能を備えた通信中継装置１０８の構成例を示すブロック図である。図５に示す通信中継装置１０８は、図２に示した構成に加えて、パターン生成回路４と、切替回路５１および５２と、切替信号生成回路５３と、検知回路６３と、診断回路７１とをさらに備える。検知回路６３は、検知回路６１および６２と同様な機能を有する回路であり、検知回路６１および６２に設定された検知パターンとは異なる、固有の検知パターンが設定されている。なお、検知回路は、３つに限らず、検知すべき検知パターンの数以上設けられることが望ましい。また、通信中継装置１０８は、検知回路の増設が可能に構成されてもよい。

　パターン生成回路４、切替回路５１、５２および切替信号生成回路５３は、検知回路６１～６３の入出力を制御する信号制御部を構成する。信号制御部は、検知回路６１～６３の少なくとも１つに、その検知回路に対応する診断データを入力し、他の検知回路に通信データ２２を入力する。本実施形態では、信号制御部は、検知回路６１～６３のそれぞれに対して、その検知回路に設定された検知パターンを診断パターンとして含む診断データを順番に入力する。

　切替信号生成回路５３は、検知回路６１～６３のそれぞれに対応する複数（具体的には、３つ）の切替信号５４を順番に繰り返し生成して出力する。

　パターン生成回路４は、切替信号生成回路５３からの切替信号５４に応じて、検知回路６１～６３のそれぞれに設定された検知パターンを診断パターンとして含む診断データ４１を順番に繰り返し生成して出力する。

　切替回路５１は、切替信号生成回路５３からの切替信号５４に応じて、検知回路６１～６３のそれぞれに入力する切替出力信号５１１～５１３を切り替える第１の切替回路である。切替回路５１は、具体的には、切替信号５４に応じて、検知回路６１～６３のいずれかに、パターン生成回路４からの診断データ４１を切替出力信号として入力し、他の検知回路の全てに通信データ２２を切替出力信号として入力する。これにより、検知回路６１～６３のそれぞれに、その検知回路に設定された検知パターンを診断パターンとして含む診断データが順番に入力され、診断データが入力されている検知回路以外の検知回路には、通信データ２２が入力される。

　切替回路５２は、切替信号生成回路５３からの切替信号５４に応じて、検知回路６１～６３のそれぞれからの検知信号６４１～６４３のいずれかを切替出力信号５２３として診断回路７１に入力し、残りの検知信号を切替出力信号５２１および５２２として遮断回路３１に入力する第２の切替回路である。

　診断回路７１は、切替信号生成回路５３からの切替信号５４と、切替出力信号５２３とに基づいて、検知回路６１～６３に障害が発生しているか否かを診断し、その診断結果７１１を出力する。診断結果７１１は、図示していない上位装置に出力されてもよい。この場合、上位装置からユーザに対して故障の有無および故障個所が通知されてもよい。なお、上位装置は、図１に示した制御システム１００内の装置（例えば、端末装置１０２、ＨＭＩ装置１０４または監視制御サーバ１０５等）でもよい。

［検知回路が故障していないときの通信中継装置の動作］
　図６は、図５に示した通信中継装置１０８の動作を説明するためのタイミングチャートである。検知回路６１～６３は、全て正常である、つまり故障していないとする。また、通信データ２２として、検知パターンを含まないセーフデータ（Safe）が通信中継装置１０８に入力される。

　切替信号生成回路５３は、検知回路６１～６３のそれぞれに対応する３つの切替信号５４を順番に繰り返し生成して出力する。図６では、検知回路６１～６３に対応する３つの切替信号５４の値をそれぞれＡ、Ｂ、Ｃとしている。

　パターン生成回路４は、検知回路６１～６３のうち、切替信号生成回路５３からの切替信号５４に対応する検知回路に設定された検知パターンを診断パターンとして有する診断データ４１を生成して出力する。これにより、パターン生成回路４は、検知回路６１～６３のそれぞれに設定された診断パターンを有する３つの診断データ４１（diag(61)、diag(62)、diag(63)）を順番に繰り返し生成して出力することになる。

　切替回路５１は、３つの診断データ４１のうち、切替信号生成回路５３からの切替信号５４に対応する検知回路に設定された診断パターンを有する診断データ４１を、切替信号５４に対応する検知回路に切替出力信号として入力し、他の検知回路の全てに通信データ２２を切替出力信号として入力する。

　これにより、例えば、切替信号５４の値が「Ａ」の場合、検知回路６１に入力される切替出力信号５１１が診断データ４１（diag(61)）となり、検知回路６２および６３に入力される切替出力信号５１２および５１３が通信データ２２となる。同様に、切替信号５４の値が「Ｂ」の場合、切替出力信号５１２が診断データ４１（diag(62)）となり、切替出力信号５１１および５１３が通信データ２２となる。また、切替信号５４の値が「Ｃ」の場合、切替出力信号５１３が診断データ４１（diag(63)）となり、切替出力信号５１１および５１２が通信データ２２となる。

　以上により、検知回路６１～６３には、自身に設定された検知パターンを診断パターンとして示す診断データ４１が順番に繰り返し入力される。図の例では、検知回路６１～６３に故障が発生していないため、検知回路６１～６３は、診断データ４１が入力されている間、出力する検知信号６４１～６４３をアクティブ（Active）にする。なお、図の例では、通信データ２２は常にセーフデータ（Safe）、つまり検知パターンを含んでいないため、検知回路６１～６３は、通信データ２２が入力されている間は、検知信号６４１～６４３を非アクティブにする。

　切替回路５２は、検知信号６４１～６４３のうち、切替信号生成回路５３からの切替信号５４に対応する検知回路からの検知信号を切替出力信号５２３として診断回路７１に入力し、残りの検知信号を切替出力信号５２１および５２２として遮断回路３１に入力する。これにより、遮断回路３１には、通信データ２２が入力された検知回路からの検知信号が切替出力信号５１２および５２２として入力され、診断回路７１には、診断データ４１が入力された検知回路からの検知信号が切替出力信号５２３として入力される。

　遮断回路３１は、ブラックリスト型に対応しているため、切替回路５２からの切替出力信号５２１および５２２が全て非アクティブの場合、通信データ２２をそのまま出力データ２３として通過させ、切替出力信号５２１および５２２の少なくとも一方がアクティブの場合、通信データ２２を遮断する。ここでは、切替出力信号５２１および５２２が全て非アクティブであるため、遮断回路３１は、通信データ２２をそのまま出力データ２３として通過させる。

　診断回路７１は、切替信号生成回路５３からの切替信号５４に対応する検知回路が故障しているか否かを、その時の切替出力信号５２３に基づいて診断し、その診断結果を診断結果７１１として出力する。具体的には、切替出力信号５２３は、診断データが入力された検知回路が出力した検知信号であるため、検知回路が故障していなければ、アクティブとなる。図の例では、切替出力信号５２３は常にアクティブであるため、診断回路７１は、検知回路６１～６３が故障していないと判断して、診断結果７１１として何も出力しない。この場合、上位装置は、通信中継装置１０８から診断結果７１１として何も出力されていないことから、検知回路６１～６３に故障が発生していないと判断する。

［検知回路に故障が発生しているときの通信中継装置の動作］
　図７は、一部の検知回路（ここでは、検知回路６３）に故障が発生している通信中継装置１０８の動作を説明するためのタイミングチャートである。なお、図７では、簡単のために回路内における遅延は無視している。

　切替回路５１が切替出力信号５１１～５１３を出力するまでの動作は、図６を用いて説明した検出回路６１～６３が故障していない場合の動作と同様である。また、検知回路６１および６２の動作も図６の場合と同様である。検知回路６３は、故障しているため、切替信号５４が検知回路６３に対応する値「Ｃ」となり、検知回路６３に診断データ４１（diag(63)）が切替出力信号５１３として入力されても、検知信号６４３が非アクティブのままとなる。この結果、切替信号５４の値が「Ｃ」のときに、切替回路５２から診断回路７１に入力される切替出力信号５２３が非アクティブとなる。

　診断回路７１は、切替出力信号５２３が非アクティブのときの切替信号５４の値が「Ｃ」であることを、その切替信号５４に対応する検知回路６３に故障が発生していることとして検知し、検知回路６３に故障が発生していることを示す信号を診断結果７１１として出力する。図の例では、診断回路７１は、切替信号５４を診断結果７１１として出力する。これにより、上位装置は、通信中継装置１０８から診断結果７１１として値が「Ｃ」の切替信号５１を受信することになり、その値から検知回路６３に故障が発生していると判断する。

　以上の動作では、通信中継装置１０８は、ブラックリスト型に対応していたが、ホワイトリスト型に対応していてもよい。ホワイトリスト型の場合、図６および図７における出力データ２３が遮断回路３１で遮断される点が異なる。

　また、外部ネットワーク２１から内部ネットワーク２４へ送信される通信データを中継する例を挙げて、通信中継装置１０８について説明していたが、通信中継装置１０８は、内部ネットワーク２４から外部ネットワーク２１へ送信される通信データを中継してもよい。このとき、通信中継装置１０８は、この通信データに対する検知機能とその診断機能とを有していてもよいし、通信データを単に中継するだけでもよい。また、通信中継装置１０８は、図１に示したようなリアルタイム性が必要な箇所に使用されることが好ましいが、別の箇所に設けられてもよい。また、通信中継装置１０８は、ファイヤーウォール１０１等にも適用することができる。

　以上説明したように、本開示は以下の事項を含む。
　本開示の一態様に係る通信中継装置（１０８）は、通信データを中継する通信中継装置であって、それぞれ異なる検知パターンが設定され、入力されたデータである入力データに当該設定された検知パターンが含まれるか否かを検知する複数の検知回路（６１～６３）と、複数の検知回路の少なくとも１つに当該検知回路に設定された検知パターンを含む診断データを入力し、他の検知回路に通信データを入力する信号制御部（４、５１～５３、）と、通信データが入力された検知回路の検知結果に基づいて、通信データの中継と遮断とを切り替える遮断回路（３１）と、診断データが入力された検知回路の検知結果に基づいて、当該検知回路に障害が発生しているか否かを診断する診断回路（７１）と、を有する。

　上記構成を備えることにより、診断データが入力された検知回路の検知結果に基づいて、当該検知回路に障害が発生しているか否かが診断され、他の検知回路の検知回路の検知結果に基づいて、通信データの中継と遮断とが切り替えられる。したがって、通信データの中継および不正データの遮断を行いながら、検知回路の故障診断を行うことが可能になる。したがって、検知装置である検知回路が専用のハードウェアで構成された場合でも、リアルタイム性を確保しつつ、検知装置の故障診断を行うことが可能になる。

　また、信号制御部は、複数の検知回路のそれぞれに、当該検知回路に設定された検知パターンを含む診断データを順番に入力する。この場合、複数の検知回路に対する故障診断を順番に行うことが可能になるため、リアルタイム性を確保しつつ、複数の検知回路に対する故障診断を行うことが可能になる。

　また、信号制御部は、複数の検知回路のそれぞれに対応する複数の切替信号をして順番に出力する切替信号生成回路（５３）と、切替信号に応じて、複数の検知回路のそれぞれに設定された検知パターンを含む含む複数の診断データをして順番に出力するパターン生成回路（４）と、切替信号に応じて、複数の検知回路のそれぞれに、当該検知回路に設定された検知パターンを含む診断データを順番に入力しつつ、他の検知回路には通信データを入力する第１の切替回路（５１）と、切替信号に応じて、通信データが入力された検知回路の検知結果を遮断回路に入力し、診断データが入力された検知回路の検知結果を診断回路に入力する第２の切替回路（５２）と、を有する。この場合、簡単な構成でリアルタイム性を確保しつつ、検知装置の故障診断を行うことが可能になる。

　また、遮断回路は、通信データが入力された検知回路にて検知パターンが含まれることが検知された場合、通信データを遮断し、診断回路は、診断データが入力された検知回路にて検知パターンが含まれないことが検知された場合、当該検知回路が異常であると診断する。このため、ブラックリスト型の検知機能を有する通信中継装置において、リアルタイム性を確保しつつ、検知回路に対する故障診断を行うことが可能になる。

　また、遮断回路は、通信データが入力された検知回路にて検知パターンが含まれないことが検知された場合、通信データを遮断し、記診断回路は、診断データが入力された検知回路にて検知パターンが含まれないことが検知された場合、当該検知回路が異常であると診断する。このため、ホワイトリスト型の検知機能を有する通信中継装置において、リアルタイム性を確保しつつ、検知回路に対する故障診断を行うことが可能になる。

　上述した本開示の実施形態は、本開示の説明のための例示であり、本開示の範囲をそれらの実施形態にのみ限定する趣旨ではなく、本開示には様々な変形例が含まれる。また、上記の実施形態は本開示を分かりやすく説明するために用いたものであり、必ずしも全ての構成を備えるものに限定されるものではない。また、各実施形態の構成の一部について、他の構成に置換したり、削除したりすることが可能であり、新たな構成を追加することも可能である。また、配線等は説明上必要と考えられるものを示しており、製品適用上に必要なすべての配線等を示しているとは限らない。

　４：パターン生成回路　２１：外部ネットワーク　２４：内部ネットワーク　３１：遮断回路　５１～５２：切替回路　５３：切替信号生成回路　６１～６３：検知回路　７１：診断回路　１００：制御システム　１０１：ファイヤーウォール　１０２：端末装置　１０３：生産管理サーバ　１０４：ＨＭＩ装置　１０５：監視制御サーバ　１０６：制御装置　１０７：制御対象設備　１０８：通信中継装置　１１１：情報系ネットワーク　１１２：制御系情報ネットワーク　１１３：制御システムネットワーク　２００：外部ネットワーク

Claims

　通信データを中継する通信中継装置であって、
　それぞれ異なる検知パターンが設定され、入力されたデータである入力データに当該設定された検知パターンが含まれるか否かを検知する複数の検知回路と、
　前記複数の検知回路の少なくとも１つに当該検知回路に設定された検知パターンを含む診断データを入力し、他の前記検知回路に前記通信データを入力する信号制御部と、
　前記通信データが入力された検知回路の検知結果に基づいて、前記通信データの中継と遮断とを切り替える遮断回路と、
　前記診断データが入力された検知回路の検知結果に基づいて、当該検知回路に障害が発生しているか否かを診断する診断回路と、を有する通信中継装置。
　前記信号制御部は、前記複数の検知回路のそれぞれに、当該検知回路に設定された検知パターンを含む診断データを順番に入力する、請求項１に記載の通信中継装置。
　前記信号制御部は、
　前記複数の検知回路のそれぞれに対応する複数の切替信号を順番に出力する切替信号生成回路と、
　前記切替信号に応じて、前記複数の検知回路のそれぞれに設定された検知パターンを含む含む複数の診断データを順番に出力するパターン生成回路と、
　前記切替信号に応じて、前記複数の検知回路のそれぞれに、当該検知回路に設定された検知パターンを含む診断データを順番に入力しつつ、他の前記検知回路には前記通信データを入力する第１の切替回路と、
　前記切替信号に応じて、前記通信データが入力された検知回路の検知結果を遮断回路に入力し、前記診断データが入力された検知回路の検知結果を前記診断回路に入力する第２の切替回路と、を有する、請求項２に記載の通信中継装置。
　前記遮断回路は、前記通信データが入力された検知回路にて前記検知パターンが含まれることが検知された場合、前記通信データを遮断し、
　前記診断回路は、前記診断データが入力された検知回路にて前記検知パターンが含まれないことが検知された場合、当該検知回路が異常であると診断する、請求項１に記載の通信中継装置。
　前記遮断回路は、前記通信データが入力された検知回路にて前記検知パターンが含まれないことが検知された場合、前記通信データを遮断し、
　前記診断回路は、前記診断データが入力された検知回路にて前記検知パターンが含まれないことが検知された場合、当該検知回路が異常であると診断する、請求項１に記載の通信中継装置。
　それぞれ異なる検知パターンが設定され、入力されたデータである入力データに当該設定された検知パターンが含まれるか否かを検知する複数の検知回路を有し、通信データを中継する通信中継装置が行う診断方法であって、
　前記複数の検知回路のいずれかに当該検知回路に設定された検知パターンを含む診断データを入力し、かつ、他の前記検知回路に前記通信データを入力し、
　前記通信データが入力された検知回路の検知結果に基づいて、前記通信データの中継と遮断とを切り替え、
　前記診断データが入力された検知回路の検知結果に基づいて、当該検知回路に障害が発生しているか否かを診断する、診断方法。