WO2023100545A1

WO2023100545A1 - 更新内容検証システム及び更新内容検証方法

Info

Publication number: WO2023100545A1
Application number: PCT/JP2022/039949
Authority: WO
Inventors: 貴志小倉; 寛岩澤; 大輔辻
Original assignee: 株式会社日立製作所
Priority date: 2021-12-01
Filing date: 2022-10-26
Publication date: 2023-06-08
Also published as: JP2023081705A

Abstract

更新内容検証システム１００は、制御システム３００の更新情報が入力される更新情報入力部１０１と、更新情報を解析する更新情報解析部１０２と、更新の内容に対して行われる検証に関する検証情報が格納された検証情報記憶部１０８と、解析の結果及び検証情報の中から、制御システムに対して実施する更新の内容及び当該更新に対して実施する検証の内容を設定する更新及び検証内容設定部１０３と、更新及び検証を実施するために要する実施時間を推定する更新及び検証実施時間推定部１０４と、推定した実施時間と、所定の制限時間とを比較して、更新及び検証が制限時間以内に実施を完了できるか否か判定する実施可否判定部１０６と、を有する。

Description

更新内容検証システム及び更新内容検証方法

　本発明は、制御システムに対して実施する更新の内容を検証するためのシステム及び方法に関し、特に、セキュリティまたはセイフティ検証するための技術に関する。

　現在、ＤＸ（デジタルトランスフォーメーション：Ｄｉｇｉｔａｌ　Ｔｒａｎｓｆｏｒｍａｔｉｏｎ）の進展に伴い、製造や物流等の事業において、ヒト（有人機）を含む様々な制御対象が混在し、それら制御対象が協調して各種制御が行われるシステムが普及している。このような制御システムにおいて、現場の状況や経営判断に基づき制御のルールやシステムの構造を変化・更新し、生産性や効率といったシステムの価値を向上させることが注目されている。

　しかし、上記のシステムに生じる変化や行われる更新の内容に不備があった場合、制御システムにおいて重要な要件の一つである安全性が損なわれる可能性がある。また、上記不備により、制御システムが不正アクセスなどのサイバー攻撃の脅威にさらされる可能性もある。そのため、システムの変化や更新に対してセキュリティやセイフティを検証し、安全性を担保することが要求されている。

　上記のシステムの変化や更新に対するセキュリティまたはセイフティを検証する方法に関する技術である特許文献１では、コンピュータシステムのパラメータ変更に対して、更新の内容がセキュリティの観点で許容されるのかを検証し、許容されない場合は更新内容を再検討、許容される場合は更新の実施を行っている。

特開２０１９－３６２７４号公報

　しかしながら、特許文献１のセキュリティの検証方法では、セキュリティ的な観点で更新の内容を決定するまでに留まっており、決定した更新の内容を実施することにより、例えば工場のダウンタイムを超えても更新が終了せず、作業に支障をきたす、といった課題がある。

　そこで、本発明は、システムの更新に対するセキュリティまたはセイフティの検証内容の決定に、更新の実施と検証の実施において許容される制限時間を入力し、この制限時間内で実施可能なシステムの更新の内容およびセキュリティまたはセイフティを担保するために更新の内容に対して行われる検証の内容を決定することを目的とする。

　上記課題を解決するために、本発明は、制御システムに対して実施する更新の内容を検証する更新内容検証システムであって、制御システムの更新情報が入力される更新情報入力部と、更新情報を解析する更新情報解析部と、更新の内容に対して行われる検証に関する検証情報が格納された検証情報記憶部と、解析の結果及び検証情報の中から、制御システムに対して実施する更新の内容及び当該更新に対して実施する検証の内容を設定する更新及び検証内容設定部と、更新及び検証を実施するために要する実施時間を推定する実施時間推定部と、推定した実施時間と、所定の制限時間とを比較して、更新及び検証が制限時間以内に実施を完了できるか否か判定する実施可否判定部と、を有する。

　また、本発明には、このセキュリティまたはセイフティ検証内容を決定する方法が含まれる。さらに、セキュリティまたはセイフティ検証内容を決定する方法をコンピュータに実行させるためのコンピュータプログラムやこのコンピュータプログラムを格納した記憶媒体も含まれる。

　本発明によれば、制御システムに対して制限時間内で実施可能なシステム更新の内容及びセキュリティまたはセイフティの検証内容が決定できる。
　本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

実施例１に係る更新内容検証システムの機能構成の例を示す機能ブロック図。実施例１～３に係る更新内容検証システムのシステム構成図。実施例１～３で用いられる制御システムの例を示す図。実施例１～３で用いられる検証レベルの一例を示す図。実施例１に係る更新内容検証方法のフローチャートの一例を示す図。実施例２に係る更新内容検証システムの機能構成の例を示す機能ブロック図。実施例２に係る更新内容検証方法のフローチャートの一例を示す図。実施例３に係る更新内容検証システムの機能構成の例を示す機能ブロック図。実施例３に係る更新内容検証方法のフローチャートの一例を示す図。

　以下、本発明の各実施例を、図面を用いて説明する。各実施例においては、図３に示すような構成要素がそれぞれ接続されている制御システムの更新内容とセキュリティまたはセイフティの検証内容を生成する。なお、構成要素としては、ロボット管理装置Ａ３１等が挙げられるが、具体的なシステムの構成については、後述する。なお、以下では、「制御システムの更新内容」については、単に「更新内容」と呼称し、「セキュリティまたはセイフティの検証内容」については、単に「検証内容」と呼称する。

［実施例１］
　以下、本発明の実施例１について図面を用いて説明する。
　図１は、本実施例に係る更新内容検証システム１００の機能構成を示す機能ブロック図である。以下、各ブロック（機能）について説明する。

　更新内容検証システム１００は、更新内容検証装置２０と、更新内容検証装置２０に接続され、検証レベル記憶部１０８が格納された記憶装置２４と、を有する。更新内容検証装置２０は、システム更新情報入力部１０１、更新情報解析部１０２、更新及び検証内容設定部１０３、更新及び検証実施時間推定部１０４、制限時間入力部１０５、実施可否判定部１０６、及び更新及び検証内容出力部１０７を有する。また、記憶装置２４は、更新及び検証内容設定部１０３との間に通信可能に接続されている。

　システム更新情報入力部１０１には、制御システムの更新情報が入力される。更新情報解析部１０２では、システム更新情報入力部１０１で入力された情報を解析し、更新情報を段階的な複数の更新処理へと分割する。更新及び検証内容設定部１０３では、更新情報解析部１０２の段階的な更新処理の一つを更新内容として設定するとともに、検証レベル記憶部１０８の情報を基に更新内容に対する検証内容を設定する。更新及び検証実施時間推定部１０４では、更新及び検証内容設定部１０３で設定された更新及び検証内容の実施に必要な時間を推定する。ここで、更新及び検証内容の実施に必要な時間とは、実際に更新及び／または検証の実行が開始してから終了するまでの時間のことである。開始／終了の判定は、自動的に判定されてもよいし、人によって判定されてもよい。実施可否判定部１０６では、更新及び検証実施時間推定部１０４で推定した時間が制限時間入力部１０５で入力された更新及び検証の実施に許容される制限時間内で終了するのか否かを判定する。

　更新及び検証内容出力部１０７では、実施可否判定部１０６において制限時間内で終了すると判定された更新及び検証内容を出力、および、表示する。なお、各記憶部や演算部は、ＣＰＵやＰＣそのものであることもある。なお、実施可否判定部１０６で、制限時間内で更新及び検証の実施が終了しないと判定された場合には、再度更新及び検証内容設定部１０３にて、異なる内容の更新及び検証内容の設定を行う。

　図１に示した更新内容検証装置２０の機能構成をコンピュータ上で実現したシステム構成を、図２に示す。更新内容検証装置２０は、バスなどで互いに接続されたＣＰＵのような処理部２１、メモリ２２、及び入出力Ｉ／Ｆ２３によって構成される。

　ここで、処理部２１は、更新情報解析部１０２、更新及び検証内容設定部１０３、更新及び検証実施時間推定部１０４、実施可否判定部１０６、更新及び検証内容出力部１０７、必須更新内容設定部６０１、検証内容設定部６０２、安全レベル算出及び判定部８０１、及び各種情報出力部８０３を有しており、これらはプログラムによって実現可能である。つまり、本実施例では、プログラムをメモリ２２に展開し、これらの各機能、演算を処理部２１で実行する。

　また、更新内容検証装置２０は、入出力Ｉ／Ｆ２３を介して記憶装置２４と接続されている。記憶装置２４は、検証レベル情報４１０を記憶する。つまり、記憶装置２４は、図１の検証レベル記憶部１０８として機能する。また、記憶装置２４は、更新内容検証装置２０内部に設けられてもよい。

　なお、必須更新内容設定部６０１及び検証内容設定部６０２は、実施例２で用いられ、本実施例では使用されなくともよい。また、安全レベル算出及び判定部８０１、各種情報出力部８０３は、実施例３で用いられる機能であり、本実施例では使用されなくともよい。

　また、更新内容検証装置２０は、入出力Ｉ／Ｆ２３を介して、各種の端末装置２６－１、２と接続する。端末装置２６－１、２は、それぞれコンピュータで実現され、利用者からの入力を受け付けたり、更新内容検証装置２０の処理結果を表示したりする機能を有する。

　つまり、端末装置２６－１、２は、入力部として機能する。より具体的には、図１のシステム更新情報入力部１０１、制限時間入力部１０５、図８の要求レベル入力部８０２として機能する。また、端末装置２６－２は、ネットワーク２５を介して、更新内容検証装置２０と接続する。なお、端末装置２６－１、２は、更新内容検証装置２０と一体化してもよい。

　つまり、更新内容検証装置２０に表示装置や入出力装置を設けてもよい。表示装置や入出力装置を本システムの一構成要素として構成する場合、クラウド３０、ロボット管理装置Ａ３１、ロボット管理装置Ｂ３２およびロボット管理装置Ｃ３３に更新内容検証装置２０の機能を持たせる。

　また、更新内容検証装置２０は、インターネット２７と接続し、外部の情報を取得することも可能である。この一例として、検証対象のシステムがインターネット２７を介して接続され、当該システムから検証レベル情報４１０を受信してもよい。

　次に、本実施例による更新内容検証方法を具体例により説明する。まず、更新対象となる制御システムを図３に示す。この制御システム３００は、構成要素として、クラウド３０、ロボット管理装置Ａ３１、ロボット管理装置Ｂ３２、ロボット管理装置Ｃ３３、ロボットＡ３４、ロボットＢ３５、ロボットＣ３６、およびベルトコンベヤ３７で構成されている。

　そして、各構成要素は、他の構成要素と、以下のように接続されている。クラウド３０は、ロボット管理装置Ａ３１と、ロボット管理装置Ｂ３２と、ロボット管理装置Ｃ３３と、に接続されている。ロボット管理装置Ａ３１は、クラウド３０と、ロボット管理装置Ｂ３２と、ロボットＡ３４と、に接続されている。ロボット管理装置Ｂ３２は、クラウド３０と、ロボット管理装置Ａ３１と、ロボット管理装置Ｃ３３と、ロボットＢ３５と、に接続されている。ロボット管理装置Ｃ３３は、クラウド３０と、ロボット管理装置Ｂ３２と、ロボットＣ３６と、に接続されている。

　また、更新内容検証装置２０は、本システムに接続されていてもよいし、本システムの一構成要素として実現してもよい。更新内容検証装置２０を本システムの一構成要素として構成する場合、クラウド３０、ロボット管理装置Ａ３１、ロボット管理装置Ｂ３２、またはロボット管理装置Ｃ３３に、更新内容検証装置２０の機能を持たせる。

　なお、本発明は図３に示す制御システム例のみならず、段階的なシステムの更新が可能な制御システムにおいて有効である。段階的なシステムの更新が可能な制御システムの例としては、図３に示すような製造ラインシステムや物流倉庫の仕分けシステムや大規模なＦＡ（Ｆａｃｔｏｒｙ　Ａｕｔｏｍａｔｉｏｎ）やＰＡ（Ｐｌａｎｔ　Ａｕｔｏｍａｔｉｏｎ）システムなどが挙げられる。ただし、例に挙げた制御システムに限定されるものではない。

　図４は、検証レベル記憶部１０８に記憶されている検証レベル情報４１０を示す図である。検証レベル情報４１０は粒度の表４２０と範囲の表４３０を持つ。本実施例では、セキュリティに関連する情報を記載している。各表はレベル（Ｌｖ）を３つずつ持ち、例えば以下のような内容である。

「粒度」の表４２０
Ｌｖ１　：　簡易チェックシートによる検証
Ｌｖ２　：　ツールを用いた検証
Ｌｖ３　：　専門家による詳細検証

「範囲」の表４３０
Ｌｖ１　：　変更・更新の対象機器のみ
Ｌｖ２　：　変更・更新の対象機器のみ　＋　隣接機器
Ｌｖ３　：　制御システム全体

　粒度はＬｖが上がるほど、検証の内容が細かくなり検証の実施に時間を要するものである。また、範囲はＬｖが上がるほど、検証の範囲が広くなり検証の実施に時間を要するものである。検証内容の設定部では、粒度の表４２０と範囲の表４３０からそれぞれ１つのＬｖを選択し、更新及び検証内容設定部１０３に用いる。なお、本実施例では検証レベルを粒度と範囲の２つの軸で表現し、それぞれを選択することで検証内容を決定する例を示す。ただし、検証レベルは粒度または範囲のどちらか一方でもよい。また、検証レベルを表現する内容は粒度および範囲に限定されるものでもない。さらに、検証レベルは表形式での表現でなくともよい。

　また、粒度の表４２０と範囲の表４３０の内容は対象の制御システムの構成等を反映した内容でなく一般的な表現としたが、検証レベルの表現として対象制御システム構成等を加味した特定の装置名称やネットワーク名称を含んだ表現であってもよい。

　図５は、本発明の一実施例に係る更新内容検証方法の全体フローである。まず、システム更新情報入力部１０１から入力されたシステム更新情報を解析する（Ｓ５０１）。そして、ステップＳ５０１の解析結果と検証レベル記憶部１０８の情報を用い、更新内容及び検証内容を設定する（Ｓ５０２）。

　そして、設定した更新及び検証内容の実施時間を推定する（Ｓ５０３）。そして、制限時間入力部１０５で入力した制限時間とステップＳ５０３で推定した更新及び検証内容の実施時間とを比較する（Ｓ５０４）。ステップＳ５０４にて制限時間が推定した実施時間よりも小さい場合にはステップＳ５０２に戻り、更新及び検証内容を再設定する。一方、ステップＳ５０４にて制限時間が推定した実施時間以上の場合、ステップＳ５０５に進む。ステップＳ５０５では、更なる更新及び検証内容の組合せについて検証が必要かを判定する。ステップＳ５０５にて更なる検証が必要だと判定された場合は、ステップＳ５０２に戻り更新及び検証内容を再設定する。それ以上の検証が必要でないと判定された場合は、検証を修了する。

　図５の各フローを図３の制御システム３００及び検証レベル情報４１０を例に用いて説明する。まず、システム更新情報入力部１０１に対して、「ロボット管理装置Ａ３１及びロボット管理装置Ｂ３２それぞれの、ロボット制御プログラム及び装置自体の更新」が入力されたとする。本実施例では、システム更新情報入力部１０１の入力をテキストとしたが、ユーザからの入力の方式として、端末装置２６－１、２の画面上に示したシステム構成図上でグラフィカルに更新情報を入力する方法や端末装置２６－１、２の画面上の更新情報候補をユーザが選択する入力方法などがあり、これに限定されない。ステップＳ５０１では、システム更新情報入力部１０１からの入力を以下のように解析し、更新情報を段階的な更新へと分割する。

１．ロボット管理装置Ａ３１のロボット制御プログラムの更新。
２．ロボット管理装置Ａ３１とロボット管理装置Ｂ３２それぞれのロボット制御プログラムの更新。
３．ロボット管理装置Ａ３１のロボット制御プログラム及び装置自体の更新。
４．ロボット管理装置Ａ３１とロボット管理装置Ｂ３２それぞれのロボット制御プログラム及び装置自体の更新。

　図５のステップＳ５０２では、上記の情報と図４の検証レベル情報４１０を用いて更新及び検証内容を設定する。ここでは、ステップＳ５０１で解析した結果のうち最も実施に時間のかかる「４．ロボット管理装置Ａ３１とロボット管理装置Ｂ３２それぞれのロボット制御プログラム及び装置自体の更新」を設定し、検証レベル情報４１０においても粒度と範囲ともに最もレベルの高いＬｖ３「粒度：専門家による詳細検証」、「範囲：制御システム全体」を設定する。

　つまりこの例では、「ロボット管理装置Ａ３１及びロボット管理装置Ｂ３２それぞれのロボット制御プログラム及び装置自体の更新に対して、専門家による詳細な検証を制御システム全体に対して行う」が設定される。これらの設定には図３の制御システムのハードウェアやソフトウェア等の特徴を仮想空間上で再現したデジタルモデル（デジタルツイン）を活用することが可能である。このデジタルモデルは後のステップＳ５０３やステップＳ５０４においても活用することが可能である。ただし、本発明はデジタルモデルを活用したステップＳ５０２やステップＳ５０３、ステップＳ５０４の実施に限定されるものではなく、制御システムのハードウェアやソフトウェア等の特徴をテキストにより表形式で記述した情報の活用や数式形式で記述した情報の活用なども可能である。

　ステップＳ５０３では、ステップＳ５０２で設定した「ロボット管理装置Ａ３１及びロボット管理装置Ｂ３２それぞれのロボット制御プログラム及び装置自体の更新に対して、専門家による詳細な検証を制御システム全体に対して行う」の実施に必要な時間を推定する。ここでは、６時間が必要であると推定されたと仮定する。

　次のステップＳ５０４では、制限時間入力部１０５で入力された制限時間とステップＳ５０３で推定された時間とを比較する。ここでは、まず入力された制限時間が２時間であり、推定された６時間よりも短い場合の処理について述べる。制限時間が推定された時間よりも短いので、更新及び検証内容の再設定を行うためステップＳ５０２に戻る。再設定には、現在設定されている更新及び検証内容より次点で実施時間が大きいと予想される内容を設定する。

　本実施例のケースでは、現在の更新は「４．ロボット管理装置Ａ３１とロボット管理装置Ｂ３２のロボット制御プログラムの更新と装置自体の更新」、検証レベルの粒度と範囲ともに最もレベルの高いＬｖ３「粒度：専門家による詳細検証」、「範囲：制御システム全体」が設定されているため、次点で実施時間が大きいと予想される内容として更新が「３．ロボット管理装置Ａ３１のロボット制御プログラムの更新及びと装置自体の更新」、検証レベルの粒度と範囲ともに最もレベルの高いＬｖ３「粒度：専門家による詳細検証」、「範囲：制御システム全体」と設定される。

　上記のように再設定を行い、以降は前述と同様に更新及び検証の実施時間の推定をステップＳ５０３で行い、制限時間と推定実施時間の比較をステップＳ５０４で実施する。

　この方式により、更新及び更新に対する検証の内容として最も更新の効果が大きくかつ検証レベルが高い検証内容から順に候補となり、決定される内容に制限時間内で最も更新の効果が大きくかつ最も検証レベルが高い内容が必ず含まれるため、本発明の効果をより高めることが可能になる。ただし本発明は、この設定方式に限らず、ランダムで各内容を設定する方法などでもよい。

　一方、入力された制限時間が１２時間であり、推定された実施時間である６時間よりも長い場合の処理について述べる。制限時間が推定された時間よりも長い場合には、現在の更新及び検証内容は許容される内容となる。そのため、次ステップのステップＳ５０５に進む。ステップＳ５０５では、追加の更新及び検証内容の組合せについて検証が必要かを判定する。

　ユーザが複数の更新及び検証内容の組合せの出力を要求した際には、現在の更新及び検証内容の組合せを保持したうえで、再度ステップＳ５０２で現在の更新及び検証内容の組合せとは別の組合せを設定し、以降上述と同様の処理を行う。

　具体例としては例えば、現在の更新として「１．ロボット管理装置Ａ３１のロボット制御プログラム及び装置自体の更新」、検証レベルの粒度と範囲ともに最もレベルの高いＬｖ３「粒度：専門家による詳細検証」、「範囲：制御システム全体」が設定されているとした場合、追加の更新及び検証内容の組合せとして、「１’．ロボット管理装置Ｂ３２のロボット制御プログラム及び装置自体の更新」、検証レベルの粒度と範囲ともに最もレベルの高いＬｖ３「粒度：専門家による詳細検証」、「範囲：制御システム全体」を選択することが考えられる。

　なお、追加の組合せ検討の要望は、ステップＳ５０５の都度ユーザに確認する方式もあれば、全体フロー開始前にユーザに確認する方式や、単一の内容を出力するないしは複数の内容を出力する旨を全体フローの既定設定としておく方式などがある。一方、ステップＳ５０５で追加の更新及び検証内容の組合せが必要ないと判定された場合には、図５の全体フローは終了する。

　以上で、本実施例の説明を完了する。本実施例においては、図３で示す制御システム３００に対して実施する更新内容を、制限時間内に実施可能になるように、複数の制御プログラム／装置自体のうちいずれかを含むような複数の更新処理の中から選択し、当該更新内容を検証する方法を設定している。従って、本実施例の更新内容検証方法によれば、制限時間内で実施可能なシステム更新及びセキュリティまたはセイフティの検証を決定できる。

［実施例２］
　以下、本発明の実施例２について図面を用いて説明する。
　システムの更新を検討する際に、今回の更新にて必ず更新が必要となる内容が存在している場合もある。図３の制御システム３００の例においては、ロボットＡ３４、ロボットＢ３５、ロボットＣ３６、ベルトコンベヤ３７などの機器の故障への対応や制御システムでの処理物の変更に伴うロボット管理装置Ａ３１とロボット管理装置Ｂ３２とロボット管理装置Ｃ３３のロボット制御プログラムの更新などが必ず更新が必要な内容の例になる。そのため、本実施例では、実施例１で述べた方法に、必須の更新内容を設定する機能を追加した、制限時間内で制御システムのセキュリティまたはセイフティを確保した中でのシステム更新方法について説明する。

　本実施例では、実施例１で述べた図１の更新内容検証装置の機能構成を示す機能ブロック図に必須更新内容設定部６０１を追加し、更新及び検証内容設定部１０３を検証内容設定部６０２に変更した図６に示すブロック図を用いる。図６において符号１０１～１０２、１０４～１０８は図１と同一のものであり、説明を省略する。本実施例においてはさらに、図２に示す必須更新内容設定部６０１および検証内容設定部６０２が用いられる。

　図７は、本実施例の全体フローを示した図である。実施例１で述べた図５の全体フローに、解析情報を基に必須更新内容を決定するステップＳ７０１及び必須更新内容に対する検証内容を設定するステップＳ７０２を追加した。図７においてステップＳ５０１、Ｓ５０３～Ｓ５０５は実施例１と同一のものであり、説明を省略する。以下では、実施例１と同様に、図３の制御システム３００と検証レベル情報４１０を用いた全体フローの動作例を述べる。

　システム更新情報入力部１０１では、「ロボット管理装置Ａ３１とロボット管理装置Ｂ３２のロボット制御プログラムと装置自体を更新」が入力されたとする。本実施例では、システム更新情報入力部１０１の入力をテキストとしたが、ユーザからの入力の方式として、端末装置２６－１、２の画面上に示したシステム構成図上でグラフィカルに更新情報を入力する方法や端末装置２６－１、２の画面上の更新情報候補をユーザが選択する入力方法があり、これに限定されない。ステップＳ５０１では、システム更新情報入力部１０１からの入力を以下のように解析し更新情報を段階的な更新へと分割する。

１．ロボット管理装置Ａ３１のロボット制御プログラムの更新
２．ロボット管理装置Ａ３１及びロボット管理装置Ｂ３２それぞれのロボット制御プログラムの更新
３．ロボット管理装置Ａ３１のロボット制御プログラム及び装置自体の更新
４．ロボット管理装置Ａ３１及びロボット管理装置Ｂ３２それぞれのロボット制御プログラム及び装置自体の更新

　ステップＳ７０１では、上記の情報から必須更新内容として「３．ロボット管理装置Ａ３１のロボット制御プログラム及び装置自体の更新」が決定されたとする。本決定は、システム更新情報入力部１０１で入力された情報に基づき機械学習やＡＩを用いて決定される方法もあれば、ステップＳ７０１実行時点で端末装置２６－１、２からユーザが指定し決定する方法もある。または、システム更新情報入力部１０１への入力時に必須更新内容として該当更新内容のみを入力することで決定する方法もある。

　そして、ステップＳ７０２においては、ステップＳ７０１にて更新の内容は決定しているため、検証内容のみを決定する。検証の内容には、検証レベル情報４１０においても粒度と範囲ともに最もレベルの高いＬｖ３「粒度：専門家による詳細検証」、「範囲：制御システム全体」を設定する。つまりこの例では、「ロボット管理装置Ａ３１のロボット制御プログラム及び装置自体の更新を必須の更新内容として、専門家による詳細な検証を制御システム全体に対して行う」が設定される。

　これらの設定には図３の制御システムのハードウェアやソフトウェア等の特徴を仮想空間上で再現したデジタルモデル（デジタルツイン）を活用することが可能である。このデジタルモデルは後のステップＳ５０３やステップＳ５０４においても活用することが可能である。ただし、本発明はデジタルモデルを活用したステップＳ５０２やステップＳ５０３、ステップＳ５０４の実施に限定されるものではなく、制御システムのハードウェアやソフトウェア等の特徴をテキストにより表形式で記述した情報の活用や数式形式で記述した情報の活用などが可能である。

　ステップＳ５０３では、ステップＳ５０２で設定した「ロボット管理装置Ａ３１のロボット制御プログラム及び装置自体の更新を必須として、専門家による詳細な検証を制御システム全体に対して行う」ために必要な時間を推定する。ここでは、４時間が必要であると推定されたと仮定する。

　次のステップＳ５０４では、制限時間入力部１０５で入力された制限時間とステップＳ５０３で推定された時間を比較する。ここで入力された制限時間が２時間であり、推定された時間４時間よりも小さい場合の処理について述べる。制限時間２時間が推定された時間よりも小さい場合には、検証内容の再設定を行うためステップＳ７０２に戻る。再設定には、現在設定されている検証内容より次点で実施時間が大きいと予想される検証内容を設定する。

　本実施例のケースでは、更新内容については必須であるため変更せずに、検証内容を変更する。現在は検証レベルの粒度と範囲ともに最もレベルの高いＬｖ３「粒度：専門家による詳細検証」、「範囲：制御システム全体」が設定されているため、次点で実施時間が大きいと予想される検証の内容として検証レベルの粒度がＬｖ３「専門家による詳細検証」と範囲がＬｖ２「変更・更新の対象機器のみ＋隣接機器またはこれらの機器内のプログラム」と設定される。上記のように再設定を行い以降は前述と同様に更新及び検証の実施時間の推定をステップＳ５０３、制限時間と推定実施時間の比較をステップＳ５０４で実施する。

　本実施例では、必須更新内容に対して行う検証内容の再設定を現在の内容から次点で実施時間が大きいと予想される内容を設定する方式をとった。この方式は、最も検証レベルが高い検証内容から順に候補となり、決定される内容に制限時間内で最も検証レベルが高い内容が必ず含まれるため、本発明の効果をより高める方式である。ただし本発明は、この設定方式に限らず、ランダムで各内容を設定する方法などでもよい。

　一方、入力された制限時間が１２時間であり、推定された実施時間４時間よりも大きい場合の処理について述べる。制限時間１２時間が推定された時間４時間よりも大きい場合には、現在の更新及び検証内容は許容される内容となる。そのため、次ステップのステップＳ５０５に進む。ステップＳ５０５では、追加の更新及び検証内容の組合せについて検証が必要かを判定する。ユーザが複数の更新及び検証内容の組合せの出力を要求した際には、現在の更新及び検証内容の組合せを保持したうえで、再度ステップＳ５０２で現在の更新及び検証内容の組合せとは別の組合せを設定し、以降上述と同様の処理を行う。追加の更新及び検証内容としては、必須の更新があるかどうかを再度検索する方法でもよいし、必須ではないが重要度の高い更新を選択する方法でもよいし、ランダムに選択する方法でもよい。

　なお、追加の組合せ検討の要望は、ステップＳ５０５の都度ユーザに確認する方式もあれば、全体フロー開始前にユーザ確認する方式や、単一の内容を出力するないしは複数の内容を出力する旨を全体フローの既定設定としておく方式などがある。一方、ステップＳ５０５で追加の更新及び検証内容の組合せが必要ないと判定された場合には、図５の全体フローは終了する。

　以上で、本実施例の説明を完了する。本実施例の更新内容検証方法によれば、必須なシステム更新の確保と制限時間内での実施を可能にしたうえでのセキュリティまたはセイフティの検証内容が決定される。

［実施例３］
　以下、本発明の実施例３について図面を用いて説明する。
　システムの更新を検討する際に、満たしておきたいセキュリティまたはセイフティのレベル（安全レベル）が存在する場合がある。その場合は、一定以上の安全レベルを得られる更新及び検証内容が出力として必要となる。本実施例では、実施例１で述べた方法に、安全性の要求レベルの入力と安全性の到達レベルの算出および算出されたレベルが要求レベルを満たしているかを判定する機能を追加した。さらに、図５の全体フローにおいて中間出力である推定時間等を出力に含める機能を追加した。

　本実施例では、実施例１で述べた図１の更新内容検証システムの機能構成を示す機能ブロック図に安全レベル算出及び判定部８０１、要求レベル入力部８０２を追加し、更新及び検証内容出力部１０７を各種情報出力部８０３に変更した図８に示すブロック図を用いる。

　図８において符号１０１～１０６、１０８は図１と同一のものである。各種情報出力部８０３では更新及び検証実施時間推定部１０４の推定時間の結果や安全レベル算出及び判定部８０１によって算出された想定される安全レベルが更新および検証内容とともに出力される。それによりユーザは更新および検証内容に加えより多くの情報を得ることができる。安全レベル算出及び判定部８０１および各種情報出力部８０３は図２に示す更新内容検証装置２０内に搭載された機能である。なお、図８においては安全レベル算出及び判定部は１つの機能部として記載されているが、これらは別々の機能部としてもよい。

　図９は、本実施例の全体フローを示した図である。実施例１で述べた図５の全体フローに、制限時間内で完了する更新および検証内容の組合せにより想定される安全レベルを算出するステップＳ９０１、想定される安全レベルと要求レベル入力部８０２で入力された要求レベルとを比較するステップＳ９０２を追加した。図９において符号Ｓ５０１～Ｓ５０５は実施例１と同一のものであり、説明を省略する。以下では、実施例１と同様に、図３の制御システム３００と検証レベル情報４１０を用いた全体フローの動作例を述べる。

　図９におけるステップＳ５０１～Ｓ５０５は実施例１と同様である。ステップＳ５０５の結果である制限時間内で実施が完了する更新および検証内容の各組合せに対してステップＳ９０１でセキュリティまたはセイフティの安全レベルを算出する。到達レベルの算出方法は、規格や標準などの手法を参照する方法もある。または、検証レベル情報４１０のＬｖを用いた算術により算出する方法もある。

　そして、算出された安全レベルが要求レベル入力部８０２で入力された要求レベルと比較して要求を満たしているのかを判定をステップＳ９０２で行う。ある更新及び検証内容の組合せがステップＳ９０２の判定において、要求を満たしていないと判定された場合は、ステップＳ９０３に進み該当の更新及び検証内容の組合せを破棄し、出力しない。一方、ある更新及び検証内容の組合せがステップＳ９０２の判定において、要求を満たしていると判定された場合は、該当の更新及び検証内容の組合せが出力される。上記判定をステップＳ５０５の結果である制限時間内で実施が完了する更新および検証内容の各組合せに対して実施する。

　以上で、本実施例の説明を完了する。本実施例の安全性の検証内容の決定方法によれば、要求される安全性の到達レベルを満たしたうえで制限時間内に実施可能なシステム更新と安全性の検証内容が決定される。

　以上で説明した本発明の実施例によれば、以下の作用効果を奏する。
（１）本発明に係る更新内容検証システムは、制御システムに対して実施する更新の内容を検証する更新内容検証システムであって、制御システムの更新情報が入力される更新情報入力部と、更新情報を解析する更新情報解析部と、更新の内容に対して行われる検証に関する検証情報が格納された検証情報記憶部と、解析の結果及び検証情報の中から、制御システムに対して実施する更新の内容及び当該更新に対して実施する検証の内容を設定する更新及び検証内容設定部と、更新及び検証を実施するために要する実施時間を推定する実施時間推定部と、推定した実施時間と、所定の制限時間とを比較して、更新及び検証が制限時間以内に実施を完了できるか否か判定する実施可否判定部と、を有する。

　上記構成によって、制御システムに対して許容される制限時間内で実施することが可能なシステム更新及び安全性の検証内容が決定できる。

（２）更新情報解析部は、更新情報を解析して、複数の更新処理に分割する。これにより、制御システムに対して実施する更新処理の候補を複数生成することが可能になり、実施する更新及び検証内容の選択肢をより多く確保することが可能になる。

（３）更新及び検証内容設定部は、制御システムに対して実施する更新内容として、分割した複数の更新処理のうち少なくとも１つを設定する。これにより、更新情報に含まれる全ての更新内容を実施できない場合であっても、一部の更新内容を実施することが可能になるため、様々な観点から更新内容を選択することが可能になる。

（４）更新情報解析部による解析、更新及び検証内容設定部による設定、及び実施時間推定部による推定のうち少なくとも１つは、制御システムを実行するハードウェア又はソフトウェアをコンピュータ上で再現したデジタルモデルに基づき行う。これにより、ハードウェア及び／ソフトウェアを実際に使用することなく実行できるため、資源の節約を図ることが可能になる。

（５）検証情報は、複数レベルが設定された、検証範囲又は検証粒度の一方を少なくとも含む。これにより、選択する更新及び検証内容についてこれらの情報を基に好適に優先順位付けして選択することが可能になる。

（６）実施可否判定部が、更新及び検証が制限時間以内に実施を完了できると判定した場合に、更新及び検証内容設定部は、制限時間内に実施を完了できると判定された実施及び検証の内容以外の更新の内容及び検証の内容を追加設定し、実施時間推定部は、追加設定した更新及び検証を実施するために要する時間を推定し、実施可否判定部は、追加設定した更新及び検証が、制限時間以内に実施を完了できると判定された更新及び検証に追加して実施できるか否か判定する。これにより、一つの更新及び検証を実施した後も、追加で更新及び検証を実施することが可能になるため、制御システムに対してより安全性を高めることが可能になる。

（７）更新情報解析部による解析の結果の中から、必須の更新内容を設定する必須更新内容設定部をさらに備える。これにより、制御システムに対して実施し得る更新処理が複数存在する場合であっても、必須の更新内容を設定することが可能になる。このため、例えばセキュリティ上の観点から直ちに更新されるべき装置／プログラムがあった場合に、他の必須でない更新が優先的に実施されてしまい、制御システムが危険にさらされる、といったリスクを低減することが可能になる。

（８）実施可否判定部が、更新及び検証が制限時間以内に実施を完了できると判定した場合に、当該更新及び検証を実施した場合に想定される安全レベルを算出する安全レベル算出部と、想定される安全レベルと、制御システムに要求される安全レベルとを比較して更新及び検証が実施可能であるか判定する安全レベル判定部と、をさらに備える。これにより、（７）と同様に、制御システムが危険にさらされるリスクを低減することが可能になる。

（９）また、本発明に係る更新内容検証方法は、制御システムの更新情報を取得し、更新情報を解析し、解析の結果、及び更新の内容に対して行われる検証に関する検証情報の中から、制御システムに対して実施する更新の内容及び当該更新に対して実施する検証の内容を設定し、更新及び検証を実施するために要する実施時間を推定し、推定した実施時間と、所定の制限時間とを比較して、更新及び検証が制限時間内に実施を完了できるか否かを判定する。

　上記構成により、（１）と同様に、制御システムに対して許容される制限時間内で実施することが可能なシステム更新及び安全性の検証内容が決定できる。

　以上で、本発明の実施形態についての説明を終了する。なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。上記の実施形態は本発明を分かりやすく説明するために詳細に説明したものである。このため、例えば、記憶部に記憶されている情報の内容、更新情報解析部での解析処理、更新及び検証実施時間推定部での推定処理、出力結果等、必ずしも説明した全ての構成、処理、情報、数値、に限定されるものではない。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、それぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に記憶することができる。

１０１…システム更新情報入力部（更新情報入力部）、１０２…更新情報解析部、１０３…更新及び検証内容設定部、１０４…更新及び検証実施時間推定部、１０５…制限時間入力部、１０６…実施可否判定部、１０８…検証レベル記憶部（検証情報記憶部）、３００…制御システム、４１０…検証レベル情報、６０１…必須更新内容設定部、８０１…安全レベル算出及び判定部（安全レベル算出部・安全レベル判定部）

Claims

　制御システムに対して実施する更新の内容を検証する更新内容検証システムであって、
　前記制御システムの更新情報が入力される更新情報入力部と、
　前記更新情報を解析する更新情報解析部と、
　前記更新の内容に対して行われる検証に関する検証情報が格納された検証情報記憶部と、
　前記解析の結果及び前記検証情報の中から、前記制御システムに対して実施する更新の内容及び当該更新に対して実施する検証の内容を設定する更新及び検証内容設定部と、
　前記更新及び前記検証を実施するために要する実施時間を推定する実施時間推定部と、
　前記推定した実施時間と、所定の制限時間とを比較して、前記更新及び前記検証が前記制限時間以内に実施を完了できるか否か判定する実施可否判定部と、を有する、
ことを特徴とする更新内容検証システム。
　請求項１に記載の更新内容検証システムであって、
　前記更新情報解析部は、前記更新情報を解析して、複数の更新処理に分割する、
ことを特徴とする更新内容検証システム。
　請求項２に記載の更新内容検証システムであって、
　前記更新及び検証内容設定部は、前記制御システムに対して実施する更新内容として、前記分割した複数の更新処理のうち少なくとも１つを設定する、
ことを特徴とする更新内容検証システム。
　請求項１に記載の更新内容検証システムであって、
　前記更新情報解析部による前記解析、前記更新及び検証内容設定部による前記設定、及び前記実施時間推定部による前記推定のうち少なくとも１つは、前記制御システムを実行するハードウェア又はソフトウェアをコンピュータ上で再現したデジタルモデルに基づき行う、
ことを特徴とする更新内容検証システム。
　請求項１に記載の更新内容検証システムであって、
　前記検証情報は、複数レベルが設定された、検証範囲又は検証粒度の一方を少なくとも含む、
ことを特徴とする更新内容検証システム。
　請求項１に記載の更新内容検証システムであって、
　前記実施可否判定部が、前記更新及び前記検証が前記制限時間以内に実施を完了できると判定した場合に、
　　前記更新及び検証内容設定部は、前記制限時間内に実施を完了できると判定された前記実施及び検証の内容以外の前記更新の内容及び前記検証の内容を追加設定し、
　　前記実施時間推定部は、前記追加設定した更新及び検証を実施するために要する時間を推定し、
　　前記実施可否判定部は、前記追加設定した更新及び検証が、前記制限時間以内に実施を完了できると判定された前記更新及び前記検証に追加して実施できるか否か判定する、ことを特徴とする更新内容検証システム。
　請求項１に記載の更新内容検証システムであって、
　前記更新情報解析部による前記解析の結果の中から、必須の更新内容を設定する必須更新内容設定部をさらに備える、
ことを特徴とする更新内容検証システム。
　請求項１に記載の更新内容検証システムであって、
　前記実施可否判定部が、前記更新及び前記検証が前記制限時間以内に実施を完了できると判定した場合に、当該更新及び検証を実施した場合に想定される安全レベルを算出する安全レベル算出部と、
　前記想定される安全レベルと、前記制御システムに要求される安全レベルとを比較して前記更新及び検証が実施可能であるか判定する安全レベル判定部と、をさらに備える
ことを特徴とする更新内容検証システム。
　制御システムに対して実施する更新の内容を検証する更新内容検証方法であって、
　前記制御システムの更新情報を取得し、
　前記更新情報を解析し、
　前記解析の結果、及び前記更新の内容に対して行われる検証に関する検証情報の中から、前記制御システムに対して実施する更新の内容及び当該更新に対して実施する検証の内容を設定し、
　前記更新及び前記検証を実施するために要する実施時間を推定し、
　前記推定した実施時間と、所定の制限時間とを比較して、前記更新及び前記検証が前記制限時間内に実施を完了できるか否かを判定する、
ことを特徴とする更新内容検証方法。