過程控制裝置及系統(tǒng)以及其健康性判定方法
【專利摘要】本發(fā)明涉及一種過程控制裝置����,其作為過程控制裝置的控制器而具有:超級(jí)管理程序;控制部�����,其在超級(jí)管理程序的基礎(chǔ)上動(dòng)作����,通過與現(xiàn)場(chǎng)儀器的通信��,對(duì)工業(yè)過程進(jìn)行控制���;動(dòng)作模型定義部���,其對(duì)動(dòng)作模型進(jìn)行定義,該動(dòng)作模型是規(guī)定了從控制部的規(guī)格導(dǎo)入的動(dòng)作規(guī)格的信息��;跟蹤信息收集部�����,其對(duì)硬件和控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集;以及健康性判定部��,其對(duì)由動(dòng)作模型定義部定義的動(dòng)作模型和由跟蹤信息收集部收集到的信息進(jìn)行比較�,判定控制器的動(dòng)作狀態(tài)是否健康。
【專利說明】過程控制裝置及系統(tǒng)以及其健康性判定方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及過程控制裝置����、系統(tǒng)以及其健康性判定方法。
[0002]本申請(qǐng)主張2013年7月24日申請(qǐng)的日本專利申請(qǐng)第2013 — 153875的優(yōu)先權(quán)���,在這里引用其內(nèi)容�����。
【背景技術(shù)】
[0003]當(dāng)前�,在車間或工廠等(以下在將它們統(tǒng)稱的情況下�����,簡(jiǎn)稱為“車間”)中�����,構(gòu)筑對(duì)工業(yè)過程中的各種狀態(tài)量(例如壓力、溫度�����、流量等)進(jìn)行控制的過程控制系統(tǒng)��,實(shí)現(xiàn)高級(jí)的自動(dòng)操作���。具體地說�,例如���,如日本國(guó)特許第4399773號(hào)公報(bào)�、國(guó)際公開第2005/050336號(hào)���、及美國(guó)特許申請(qǐng)公開第2007/0078980號(hào)說明書所示,構(gòu)成過程控制系統(tǒng)的核心的控制器取得多個(gè)傳感器(流量計(jì)或溫度計(jì)等)的檢測(cè)結(jié)果����,并對(duì)應(yīng)于該檢測(cè)結(jié)果求取致動(dòng)器(閥等)的操作量,對(duì)應(yīng)于該操作量對(duì)致動(dòng)器進(jìn)行操作�,從而控制上述各種狀態(tài)量。
[0004]現(xiàn)有的車間控制系統(tǒng)使用各自規(guī)格的專用儀器而構(gòu)筑���,但近年來的車間控制系統(tǒng)實(shí)現(xiàn)開放化����,大多使用規(guī)格公開的通用儀器(計(jì)算機(jī)或工作站等)而構(gòu)筑。在這種使用通用儀器的車間控制系統(tǒng)中��,與通常的信息系統(tǒng)同樣地�,例如必須進(jìn)行操作系統(tǒng)(OS)或應(yīng)用程序的功能擴(kuò)展或缺陷.脆弱性的修正等軟件的改善。
[0005]此外�����,現(xiàn)有的車間控制系統(tǒng)大多單獨(dú)地構(gòu)筑��,但近年來的車間控制系統(tǒng)���,為了提高車間中的生產(chǎn)性���,與進(jìn)行生產(chǎn)管理等其它信息系統(tǒng)連接機(jī)會(huì)增加���。這樣�,在車間控制系統(tǒng)與其它信息系統(tǒng)連接的環(huán)境中��,由于要考慮承受來自外部的網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)����,因此持續(xù)進(jìn)行上述軟件的改善(操作系統(tǒng)或應(yīng)用程序的功能擴(kuò)展或缺陷?脆弱性的修正等)是很重要的。
[0006]在車間中構(gòu)筑的車間控制系統(tǒng)��,與通常的信息系統(tǒng)相比����,具有以下(I)、(2)所示的特殊性���。
[0007](I)牢固的安全性要求
[0008]在車間中��,大多使用具有易燃性的化學(xué)材料等�����,因此如果因網(wǎng)絡(luò)攻擊等進(jìn)行非預(yù)期的操作�,則在最壞的情況下�,還存在引起爆炸的可能性���。因此�,在車間中構(gòu)筑的車間控制系統(tǒng)中����,要求比一般的信息系統(tǒng)更牢固的2級(jí)安全性�����。所謂2級(jí)安全性�����,是使控制系統(tǒng)對(duì)外部攻擊者不正常訪問進(jìn)行防御的外部攻擊防御�����、和在控制系統(tǒng)的一部?jī)x器被攻擊者劫持的情況下�,使控制系統(tǒng)的其它儀器對(duì)被劫持的儀器的攻擊進(jìn)行防御的內(nèi)部攻擊防御��。
[0009](2)貫穿長(zhǎng)期的安全對(duì)策的維持
[0010]車間的壽命約為30年���,是通常的信息系統(tǒng)的壽命的數(shù)倍�����。在這種車間中設(shè)計(jì)的車間控制系統(tǒng)�����,需要在與車間壽命相同程度的貫穿長(zhǎng)期地維持安全對(duì)策���。例如�,直至達(dá)到車間的壽命之前���,需要持續(xù)取得用于對(duì)所使用的操作系統(tǒng)及應(yīng)用程序的脆弱性進(jìn)行修正的修正補(bǔ)丁�����。
[0011]上述貫穿長(zhǎng)期地維持安全對(duì)策并不一定能實(shí)現(xiàn)�。例如��,在支持操作系統(tǒng)的期間結(jié)束的情況(迎來EOS (End Of Service)的情況)下��,無法取得上述修正補(bǔ)丁����。這樣,有時(shí)無法對(duì)操作系統(tǒng)的脆弱性進(jìn)行修正����。
[0012]在所使用的操作系統(tǒng)的支持結(jié)束的情況下,考慮只要導(dǎo)入新的操作系統(tǒng)即可�����。但是���,為了導(dǎo)入新的操作系統(tǒng)��,必須要驗(yàn)證是否與使用現(xiàn)有的操作系統(tǒng)的情況同樣地進(jìn)行動(dòng)作��,有時(shí)驗(yàn)證需要時(shí)間��。此外��,在新導(dǎo)入的操作系統(tǒng)的操作性變化的情況下���,需要進(jìn)行用戶(操作員)的再教育,有時(shí)需要成本及時(shí)間���。
【發(fā)明內(nèi)容】
[0013]本發(fā)明的一個(gè)實(shí)施方式提供一種過程控制裝置及系統(tǒng)及其健康性判定方法����,其不導(dǎo)入對(duì)操作系統(tǒng)及應(yīng)用程序的脆弱性進(jìn)行修正的修正補(bǔ)丁�����,而可以貫穿長(zhǎng)期地維持牢固的安全性。
[0014]本發(fā)明的一個(gè)方式的過程控制裝置��,可以具有:控制部�����,其通過硬件與現(xiàn)場(chǎng)儀器的通信�,對(duì)工業(yè)過程進(jìn)行控制,該現(xiàn)場(chǎng)儀器在虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作��,進(jìn)行在車間實(shí)現(xiàn)的所述工業(yè)過程的控制所需的測(cè)定及操作中的至少一個(gè)��;存儲(chǔ)部�����,其存儲(chǔ)表示健康狀態(tài)的動(dòng)作的健康動(dòng)作信息���;第I收集部���,其收集所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤;以及判定部����,其對(duì)存儲(chǔ)于所述存儲(chǔ)部中的所述健康動(dòng)作信息���、與由所述第I收集部收集到的信息進(jìn)行比較����,判定動(dòng)作狀態(tài)是否健康。在這里所謂動(dòng)作狀態(tài)健康�����,是指未發(fā)生過程控制裝置從其它儀器的不正常訪問或向其它儀器的不正常訪問等動(dòng)作的狀態(tài)�。
[0015]在上述過程控制裝置中,所述存儲(chǔ)部���,作為所述健康動(dòng)作信息����,還可以存儲(chǔ)動(dòng)作模型或第I數(shù)據(jù)�,該動(dòng)作模型是規(guī)定了從所述控制部的規(guī)格導(dǎo)入的動(dòng)作規(guī)格的信息,該第I數(shù)據(jù)是在為健康狀態(tài)的情況下所述控制部與所述硬件之間的數(shù)據(jù)交換的跟蹤�。
[0016]在上述過程控制裝置中,所述判定部���,也可以在判定動(dòng)作狀態(tài)不健康的情況下�����,將判定結(jié)果向外部通知�����。
[0017]在上述過程控制裝置中��,所述控制部也可以包含:操作系統(tǒng)��,其在所述虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作��;以及應(yīng)用程序���,其在所述操作系統(tǒng)的基礎(chǔ)上進(jìn)行動(dòng)作��,通過與所述現(xiàn)場(chǎng)儀器的通信�����,對(duì)所述工業(yè)過程進(jìn)行控制���。
[0018]在上述過程控制裝置中���,也可以還具有第2收集部,其收集所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤�。所述存儲(chǔ)部也可以在所述第I數(shù)據(jù)的基礎(chǔ)上,作為所述健康動(dòng)作信息��,還存儲(chǔ)第2數(shù)據(jù)����,該第2數(shù)據(jù)是在為健康狀態(tài)的情況下所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤��。所述判定部也可以對(duì)所述第I數(shù)據(jù)與由所述第I收集部收集的信息進(jìn)行比較���,且對(duì)所述第2數(shù)據(jù)與由所述第2收集部收集的信息進(jìn)行比較��,判定動(dòng)作狀態(tài)是否健康���。
[0019]在上述過程控制裝置中,也可以至少所述第I收集部及所述判定部����,設(shè)置在所述虛擬化部中。
[0020]在上述過程控制裝置中����,所述硬件也可以具有多個(gè)處理裝置(多核心或多個(gè)MPU結(jié)構(gòu))��。所述虛擬化部及所述控制部�,也可以通過使實(shí)現(xiàn)所述虛擬化部的程序和實(shí)現(xiàn)所述控制部的程序由彼此不同的處理裝置執(zhí)行而實(shí)現(xiàn)���。
[0021]本發(fā)明第一個(gè)方式的過程控制系統(tǒng)����,也可以具有:網(wǎng)絡(luò)��,其設(shè)置于車間中���;現(xiàn)場(chǎng)儀器���,其與所述網(wǎng)絡(luò)連接,進(jìn)行在所述車間中實(shí)現(xiàn)的工業(yè)過程的控制所需的測(cè)定及操作中的至少一個(gè)����;以及過程控制裝置,其進(jìn)行所述工業(yè)過程的控制�,與所述網(wǎng)絡(luò)連接。該過程控制裝置也可以具有:控制部��,其在硬件和虛擬化部的基礎(chǔ)上動(dòng)作,通過與所述現(xiàn)場(chǎng)儀器的通信��,對(duì)所述工業(yè)過程進(jìn)行控制�;存儲(chǔ)部,其存儲(chǔ)表示健康狀態(tài)的動(dòng)作健康動(dòng)作信息�;第I收集部,其對(duì)所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集��;以及判定部���,其對(duì)在所述存儲(chǔ)部中存儲(chǔ)的所述健康動(dòng)作信息����、與由所述第I收集部收集的信息進(jìn)行比較���,判定動(dòng)作狀態(tài)是否健康。
[0022]上述過程控制系統(tǒng)�,也可以還具有監(jiān)視裝置,其與所述網(wǎng)絡(luò)連接�,接收從所述過程控制裝置經(jīng)由所述網(wǎng)絡(luò)通知的表示動(dòng)作狀態(tài)是否健康的判定結(jié)果。所述判定部也可以在判定動(dòng)作狀態(tài)不健康的情況下��,將判定結(jié)果向所述監(jiān)視裝置通知�����。
[0023]在上述過程控制系統(tǒng)中,所述存儲(chǔ)部也可以作為所述健康動(dòng)作信息�����,存儲(chǔ)動(dòng)作模型或第I數(shù)據(jù)���,該動(dòng)作模型是規(guī)定了從所述控制部的規(guī)格導(dǎo)入的動(dòng)作規(guī)格的信息���,該第I數(shù)據(jù)是在為健康狀態(tài)的情況下所述控制部與所述硬件之間的數(shù)據(jù)交換的跟蹤。
[0024]在上述過程控制系統(tǒng)中�,所述控制部也可以包含:操作系統(tǒng),其在所述虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作��;以及應(yīng)用程序�����,其在所述操作系統(tǒng)的基礎(chǔ)上進(jìn)行動(dòng)作�����,通過與所述現(xiàn)場(chǎng)儀器的通信��,對(duì)所述工業(yè)過程進(jìn)行控制。所述過程控制裝置也可以還具有第2收集部���,其對(duì)所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集����。所述存儲(chǔ)部也可以在所述第I數(shù)據(jù)的基礎(chǔ)上��,作為所述健康動(dòng)作信息�,存儲(chǔ)第2數(shù)據(jù),該第2數(shù)據(jù)是在為健康狀態(tài)的情況下所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤����。所述判定部也可以對(duì)所述第I數(shù)據(jù)與由所述第I收集部收集的信息進(jìn)行比較,且對(duì)所述第2數(shù)據(jù)與由所述第2收集部收集的信息進(jìn)行比較����,判定動(dòng)作狀態(tài)是否健康�����。
[0025]在上述過程控制系統(tǒng)中�����,也可以至少所述第I收集部及所述判定部,設(shè)置在所述虛擬化部中���。此外���,所述存儲(chǔ)部也可以設(shè)置咋I所述虛擬化部中,所述第2收集部根據(jù)需要�,也可以作為設(shè)置在操作系統(tǒng)與應(yīng)用程序之間的資料庫等模塊。由此�,可以不對(duì)已有的操作系統(tǒng)或應(yīng)用程序進(jìn)行修改而實(shí)現(xiàn),因此對(duì)于在操作系統(tǒng)或應(yīng)用程序中不存在脆弱性的修正補(bǔ)丁的問題也可以應(yīng)對(duì)�����。
[0026]在上述過程控制系統(tǒng)中�,所述硬件也可以具有多個(gè)處理裝置。所述虛擬化部及所述控制部也可以通過使實(shí)現(xiàn)所述虛擬化部的程序和實(shí)現(xiàn)所述控制部的程序由彼此不同的處理裝置執(zhí)行而實(shí)現(xiàn)���。
[0027]本發(fā)明的一個(gè)方式的過程控制裝置的健康性判定方法�,也可以具有:對(duì)表示過程控制裝置為健康狀態(tài)的動(dòng)作的健康動(dòng)作信息進(jìn)行存儲(chǔ)���,該過程控制裝置具有控制部����,該控制部通過硬件與現(xiàn)場(chǎng)儀器的通信,對(duì)所述工業(yè)過程進(jìn)行控制��,該現(xiàn)場(chǎng)儀器在虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作����,進(jìn)行在車間實(shí)現(xiàn)的工業(yè)過程的控制所需的測(cè)定及操作中的至少一個(gè);對(duì)所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集����;以及對(duì)所述健康動(dòng)作信息與收集到的所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行比較,判定動(dòng)作狀態(tài)是否健康�����。
[0028]在上述過程控制裝置的健康性判定方法中�,所述健康動(dòng)作信息也可以包含動(dòng)作模型或第I數(shù)據(jù),該動(dòng)作模型是規(guī)定了從所述控制部的規(guī)格導(dǎo)入的動(dòng)作規(guī)格的信息���,該第I數(shù)據(jù)是在為健康狀態(tài)的情況下所述控制部與所述硬件之間的數(shù)據(jù)交換的跟蹤��。
[0029]在上述過程控制裝置的健康性判定方法中,所述控制部也可以包含:操作系統(tǒng)�,其在所述虛擬化部的基礎(chǔ)上動(dòng)作;應(yīng)用程序,其在所述操作系統(tǒng)的基礎(chǔ)上動(dòng)作����,通過與所述現(xiàn)場(chǎng)儀器的通信,對(duì)所述工業(yè)過程進(jìn)行控制�。所述健康性判定方法也可以還包括:作為所述健康動(dòng)作信息,對(duì)第2數(shù)據(jù)進(jìn)行存儲(chǔ)�,該第2數(shù)據(jù)是為健康狀態(tài)的情況下所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤;以及對(duì)所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集����。所述動(dòng)作狀態(tài)是否健康的判定,也可以通過對(duì)所述第I數(shù)據(jù)與收集到的所述硬件和所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行比較��,且對(duì)所述第2數(shù)據(jù)與收集到的所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤進(jìn)行比較而進(jìn)行�。
[0030]根據(jù)本發(fā)明的一個(gè)實(shí)施方式,由第I收集部對(duì)硬件與控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集���,并對(duì)存儲(chǔ)于存儲(chǔ)部中的健康動(dòng)作信息與由第I收集部收集的信息進(jìn)行比較�,由判定部判定動(dòng)作狀態(tài)是否健康��,因此可以不導(dǎo)入對(duì)操作系統(tǒng)及應(yīng)用程序的脆弱性進(jìn)行修正的修正補(bǔ)丁��,而貫穿長(zhǎng)期地維持牢固的安全性�����。
【專利附圖】
【附圖說明】
[0031]圖1是表示本發(fā)明的第I實(shí)施方式的過程控制系統(tǒng)的要部結(jié)構(gòu)的模塊圖。
[0032]圖2是表示本發(fā)明的第I實(shí)施方式中的控制器的動(dòng)作模型的一例的圖�����。
[0033]圖3是表示由本發(fā)明的第I實(shí)施方式進(jìn)行的過程控制系統(tǒng)的定周期處理的一例的圖�。
[0034]圖4是用于說明本發(fā)明的第I實(shí)施方式的控制器的動(dòng)作概要的流程圖。
[0035]圖5A是表示本發(fā)明的第I實(shí)施方式中由跟蹤信息收集部收集的信息的一例的圖���。
[0036]圖5B是本發(fā)明的第I實(shí)施方式中由跟蹤信息收集部收集的信息的一例的圖��。
[0037]圖6是表示本發(fā)明的第2實(shí)施方式的過程控制系統(tǒng)的要部結(jié)構(gòu)的模塊圖���。
[0038]圖7是表示本發(fā)明的第2實(shí)施方式中的健康狀態(tài)時(shí)數(shù)據(jù)的一例的圖。
[0039]圖8是用于說明本發(fā)明的第2實(shí)施方式的控制器的動(dòng)作概要的流程圖���。
[0040]圖9是表示本發(fā)明的第2實(shí)施方式中由跟蹤信息收集部收集的信息的一例的圖�����。
[0041]圖10是表示本發(fā)明的第3實(shí)施方式的控制器的要部結(jié)構(gòu)的模塊圖�。
[0042]圖11是表示由本發(fā)明的第3實(shí)施方式進(jìn)行的過程控制系統(tǒng)的非定周期處理的一例的圖�����。
[0043]圖12是表示本發(fā)明的第3實(shí)施方式中由跟蹤信息收集部收集的信息的一例的圖��。
[0044]圖13是表示本發(fā)明的第4實(shí)施方式的控制器的概略結(jié)構(gòu)的模塊圖��。
【具體實(shí)施方式】
[0045]以下�,參照附圖,對(duì)本發(fā)明的一個(gè)實(shí)施方式的過程控制裝置�����、系統(tǒng)及其健康性判定方法詳細(xì)地進(jìn)行說明�。
[0046]〔第I實(shí)施方式〕
[0047]圖1是表示本發(fā)明的第I實(shí)施方式的過程控制系統(tǒng)的要部結(jié)構(gòu)模塊圖。如圖1所示����,該第I實(shí)施方式的過程控制系統(tǒng)1,具有多個(gè)現(xiàn)場(chǎng)儀器10����、控制器20a、20b (過程控制裝置)�����、及監(jiān)視裝置30,在監(jiān)視裝置30的監(jiān)視下���,控制器20a�、20b對(duì)現(xiàn)場(chǎng)儀器10進(jìn)行控制��,從而對(duì)在車間(圖示省略)中實(shí)現(xiàn)的工業(yè)過程進(jìn)行控制�����。此外�,在該第I實(shí)施方式的過程控制系統(tǒng)I中,可以判定控制器20a�����、20b的健康性(是否因來自其它儀器的不正常訪問或向其它儀器的不正常訪問等而在控制器20a���、20b的動(dòng)作中產(chǎn)生異常)�。
[0048]現(xiàn)場(chǎng)儀器10及控制器20a����、20b與現(xiàn)場(chǎng)網(wǎng)絡(luò)NI連接,控制器20a��、20b及監(jiān)視裝置30與控制網(wǎng)絡(luò)N2連接。在圖1中�,為了圖示的簡(jiǎn)化,省略了控制器20b與控制網(wǎng)絡(luò)N2連接的圖示?����,F(xiàn)場(chǎng)網(wǎng)絡(luò)NI是例如在車間的現(xiàn)場(chǎng)鋪設(shè)的有線網(wǎng)絡(luò)��。另一方面����,控制網(wǎng)絡(luò)N2是例如將車間的現(xiàn)場(chǎng)與監(jiān)視室之間連接的有線網(wǎng)絡(luò)��。這些現(xiàn)場(chǎng)網(wǎng)絡(luò)NI及控制網(wǎng)絡(luò)N2也可以是無線網(wǎng)絡(luò)�。
[0049]現(xiàn)場(chǎng)儀器10是例如流量計(jì)或溫度傳感器等傳感器儀器、流量控制閥或開閉閥等閥儀器���、風(fēng)扇或電動(dòng)機(jī)等致動(dòng)器儀器���、以及其它在車間現(xiàn)場(chǎng)設(shè)置的儀器。在圖1中����,為了容易理解�,圖示了在車間設(shè)置的現(xiàn)場(chǎng)儀器10中的對(duì)流體的流量進(jìn)行測(cè)定的傳感器儀器11�����、和對(duì)流體的流量進(jìn)行控制(操作)的閥儀器12����。
[0050]現(xiàn)場(chǎng)儀器10進(jìn)行與從控制器20a、20b經(jīng)由現(xiàn)場(chǎng)網(wǎng)絡(luò)NI發(fā)送的控制數(shù)據(jù)對(duì)應(yīng)的動(dòng)作��。例如����,在從控制器20a向傳感器儀器11發(fā)送測(cè)定數(shù)據(jù)(表示流體流量的測(cè)定結(jié)果的數(shù)據(jù))的發(fā)送要求的情況下,傳感器儀器11經(jīng)由現(xiàn)場(chǎng)網(wǎng)絡(luò)NI向控制器20a發(fā)送測(cè)定數(shù)據(jù)�����。此夕卜��,在從控制器20a對(duì)閥儀器12發(fā)送控制數(shù)據(jù)(對(duì)開度進(jìn)行控制的數(shù)據(jù))的情況下�,閥儀器12使流體所通過的閥的開度成為由控制數(shù)據(jù)指示的開度。
[0051]控制器20a�����、20b在監(jiān)視裝置30的監(jiān)視下進(jìn)行定周期處理。所謂定周期處理�,是控制器20a、20b以一定的周期進(jìn)行的處理����。例如,可以舉出以一定的周期對(duì)來自現(xiàn)場(chǎng)儀器10 (例如傳感器儀器11)的測(cè)定數(shù)據(jù)進(jìn)行收集的處理�����、以一定周期對(duì)控制現(xiàn)場(chǎng)儀器10 (例如閥儀器12)的控制數(shù)據(jù)進(jìn)行運(yùn)算的處理�、或者以一定周期向現(xiàn)場(chǎng)儀器10(例如閥儀器12)發(fā)送控制數(shù)據(jù)的處理等��。這些控制器20a����、20b的功能,通過計(jì)算機(jī)讀入軟件��,由軟件和硬件資源協(xié)同動(dòng)作而實(shí)現(xiàn)�。以下,以由控制器20a實(shí)現(xiàn)的功能為例進(jìn)行說明��。
[0052]控制器20a的功能通過利用由MPU (Micro-Processing Unit:微處理器)或存儲(chǔ)器等構(gòu)成的硬件21����,執(zhí)行所安裝的程序而實(shí)現(xiàn)���。圖1中的“RD1”?“RD3”表示NIC(NetWOrkInterface Card)或I/O (Input/Output)模塊等設(shè)備(實(shí)際設(shè)備)。在控制器20a中����,安裝有實(shí)現(xiàn)超級(jí)管理程序(Hypervisor) 22 (虛擬化部)的程序、實(shí)現(xiàn)操作系統(tǒng)(OS) 23a�、23b (控制部)的程序、及實(shí)現(xiàn)應(yīng)用程序24a�、24b (控制部)的程序。
[0053]上述超級(jí)管理程序22���,在硬件21的基礎(chǔ)上作為硬件的代替而虛擬地動(dòng)作�,可以使在虛擬機(jī)42a的基礎(chǔ)上動(dòng)作的操作系統(tǒng)23a及應(yīng)用程序24a���、與在虛擬機(jī)42b的基礎(chǔ)上動(dòng)作的操作系統(tǒng)23b及應(yīng)用程序24b分別獨(dú)立地動(dòng)作�。即���,通過設(shè)置超級(jí)管理程序22�����,可以使操作系統(tǒng)23a�����、23b及應(yīng)用程序24a�����、24b如下所示進(jìn)行動(dòng)作���。
[0054].僅操作系統(tǒng)23a及應(yīng)用程序24a的動(dòng)作
[0055].僅操作系統(tǒng)23b及應(yīng)用程序24b的動(dòng)作
[0056].操作系統(tǒng)23a及應(yīng)用程序24a和操作系統(tǒng)23b及應(yīng)用程序24b的并行動(dòng)作
[0057]如圖1所示����,超級(jí)管理程序22具有設(shè)備驅(qū)動(dòng)器41�、實(shí)際設(shè)備跟蹤信息收集部C10�����、及虛擬機(jī)(VM)42a��、42b����。設(shè)備驅(qū)動(dòng)器41在超級(jí)管理程序22的控制下�����,對(duì)硬件21的設(shè)備“RD1”?“RD3”進(jìn)行驅(qū)動(dòng)�����。實(shí)際設(shè)備跟蹤信息收集部ClO對(duì)硬件21 (設(shè)備“RD1”?“RD3”)與超級(jí)管理程序22之間的數(shù)據(jù)交換進(jìn)行跟蹤���。
[0058]虛擬機(jī)42a、42b在超級(jí)管理程序22的控制下分別使操作系統(tǒng)23a��、23b動(dòng)作�。虛擬機(jī)42a具有與硬件21的設(shè)備“ RD I”?“ RD3 ”對(duì)應(yīng)的虛擬設(shè)備“ VD11”?“ VD13 ”和虛擬設(shè)備跟蹤信息收集部C11,虛擬機(jī)42b具有與硬件21的設(shè)備“RD1”?“RD3”對(duì)應(yīng)的虛擬設(shè)備“VD21”?“VD23”和虛擬設(shè)備跟蹤信息收集部C12�����。上述虛擬設(shè)備跟蹤信息收集部Cll對(duì)操作系統(tǒng)23a與虛擬機(jī)42a之間的數(shù)據(jù)交換進(jìn)行跟蹤�����,上述虛擬設(shè)備跟蹤信息收集部C12對(duì)操作系統(tǒng)23b與虛擬機(jī)42b之間的數(shù)據(jù)交換進(jìn)行跟蹤��。
[0059]此外,超級(jí)管理程序22具有動(dòng)作模型定義部51 (存儲(chǔ)部)����、跟蹤信息收集部52 (第I收集部)、及健康性判定部53 (判定部)�����。動(dòng)作模型定義部51對(duì)動(dòng)作模型(健康動(dòng)作信息)進(jìn)行定義���,該動(dòng)作模型是在控制器20a為健康狀態(tài)的情況(例如��,沒有對(duì)控制器20a的網(wǎng)絡(luò)攻擊或從控制器20a向其它儀器的不正常訪問��,控制器20a正常地動(dòng)作的情況)下�����,由操作系統(tǒng)23a、23b或應(yīng)用程序24a�、24b的規(guī)格而導(dǎo)入的控制器20a的動(dòng)作規(guī)格。S卩��,由該動(dòng)作模型規(guī)定的動(dòng)作以外的動(dòng)作���,可以說是由來自外部的不正常訪問引起的對(duì)應(yīng)動(dòng)作或由病毒等引起的不正常動(dòng)作�。該動(dòng)作模型例如由控制器20a的提供者(系統(tǒng)廠家)生成而提供。
[0060]具體地說��,由動(dòng)作模型定義部51定義的動(dòng)作模型�����,如下所示�����,大致分為對(duì)于定周期處理的“與處理定時(shí)相關(guān)的規(guī)格”�����、和“與處理內(nèi)容相關(guān)的規(guī)格”���。此外��,后者的“與處理內(nèi)容相關(guān)的規(guī)格”�,區(qū)分為“控制處理規(guī)格”和“通信處理規(guī)格”���。
[0061].“與處理定時(shí)相關(guān)的規(guī)格”…如進(jìn)行定周期處理的周期�、和在該周期內(nèi)進(jìn)行的各自的處理時(shí)間(最大時(shí)間或者最小時(shí)間)等,規(guī)定了處理的定時(shí)�����。例如���,作為定周期處理的周期而規(guī)定I [sec]���,作為在該周期內(nèi)進(jìn)行的輸入處理、運(yùn)算處理�����、輸出處理���、及通信處理的處理時(shí)間而分別規(guī)定100 [msec] >500 [msec] >50 [msec]���、及100 [msec]?��!芭c處理定時(shí)相關(guān)的規(guī)格”中,也可以與可容許的誤差范圍(例如:±10%�����、1.9秒?2.1秒等)對(duì)應(yīng)而規(guī)定。
[0062]?“與處理內(nèi)容相關(guān)的規(guī)格”…是規(guī)定在定周期處理中進(jìn)行的處理的內(nèi)容���,包含規(guī)定了控制處理內(nèi)容的“控制處理規(guī)格”��、和規(guī)定了通信處理內(nèi)容的“通信處理規(guī)格”��。上述“控制處理規(guī)格”規(guī)定了在控制器20a中進(jìn)行的控制處理的內(nèi)容�。例如����,規(guī)定了“在輸入了來自傳感器儀器11的測(cè)定數(shù)據(jù)的情況下,在經(jīng)過一定時(shí)間后向閥儀器12輸出控制數(shù)據(jù)”這一內(nèi)容���。更具體地說��,規(guī)定了表示數(shù)據(jù)的輸入輸出方向的信息�、表示數(shù)據(jù)的發(fā)送源或發(fā)送目的地的信息����、及表示在數(shù)據(jù)的輸入輸出時(shí)使用的設(shè)備(圖1中的設(shè)備“RD1”?“RD3”或虛擬設(shè)備“ VD11 ”?“ VD13 ”,“ VD21 ”?“ VD23 ”)的信息���。上述“通信處理規(guī)格”��,規(guī)定了向控制器20a輸入輸出的數(shù)據(jù)的數(shù)據(jù)構(gòu)造(格式)��、數(shù)據(jù)量等����。
[0063]圖2是表示在本發(fā)明的第I實(shí)施方式的過程控制系統(tǒng)中設(shè)置的控制器的動(dòng)作模型的一例的圖。圖2所示的動(dòng)作模型是進(jìn)行圖3所示的定周期處理的情況下的控制器20a的動(dòng)作模型����。圖3是表示本發(fā)明的第I實(shí)施方式中進(jìn)行的過程控制系統(tǒng)的定周期處理的一例的圖。如圖3所示��,在該第I實(shí)施方式中進(jìn)行的定周期處理���,是將以2秒間隔從控制器20b發(fā)送的數(shù)據(jù)由控制器20a接收����,并由控制器20a以4秒間隔相對(duì)于閥儀器12及監(jiān)視裝置30分別發(fā)送數(shù)據(jù)��。從控制器20a向監(jiān)視裝置30的數(shù)據(jù)發(fā)送���,在從控制器20a向閥儀器12的數(shù)據(jù)發(fā)送進(jìn)行后的0.5秒后進(jìn)行�。
[0064]圖2所例示的控制器的動(dòng)作模型,包含“輸入輸出方向”�����、“對(duì)象”�����、“使用設(shè)備”��、及“周期”�。上述“輸入輸出方向”是表示數(shù)據(jù)的輸入輸出方向的信息�����,上述“對(duì)象”是表示數(shù)據(jù)的發(fā)送接收對(duì)象的信息��,上述“使用設(shè)備”是表示數(shù)據(jù)輸入輸出時(shí)所使用的設(shè)備的信息����。此夕卜,上述“周期”是表示定周期處理的周期的信息�。
[0065]例如,圖2上段的動(dòng)作模型Ml規(guī)定下述動(dòng)作:將以2秒間隔從控制器20b發(fā)送來的數(shù)據(jù)由控制器20a的設(shè)備RDl接收(輸入),并將該數(shù)據(jù)使用虛擬設(shè)備VD12及操作系統(tǒng)23a向應(yīng)用程序24a傳送�����。此外�,圖2的中段的動(dòng)作模型M2規(guī)定下述動(dòng)作:將按順序使用控制器20a的虛擬設(shè)備VDll及設(shè)備RD3的數(shù)據(jù),相對(duì)于監(jiān)視裝置30以4秒間隔進(jìn)行發(fā)送(輸出)�����,圖2的下段的動(dòng)作模型M3規(guī)定下述動(dòng)作:將按順序使用控制器20a的虛擬設(shè)備VD13及設(shè)備RD2的數(shù)據(jù)��,相對(duì)于閥儀器12以4秒間隔進(jìn)行發(fā)送(輸出)��。
[0066]跟蹤信息收集部52包含在超級(jí)管理程序22中直接設(shè)置的實(shí)際設(shè)備跟蹤信息收集部C10��、及在超級(jí)管理程序22上的虛擬機(jī)42a�、42b中設(shè)置的虛擬設(shè)備跟蹤信息收集部C11、C12����,對(duì)在硬件21與操作系統(tǒng)23a、23b之間進(jìn)行的動(dòng)作的內(nèi)容進(jìn)行記錄����、收集,從而對(duì)硬件21與操作系統(tǒng)23a、23b之間的數(shù)據(jù)交換進(jìn)行跟蹤��。例如���,跟蹤信息收集部52收集所訪問的設(shè)備的種類���、訪問的種類�、訪問時(shí)的輸入輸出數(shù)據(jù)、訪問時(shí)的時(shí)間戳����、及訪問的處理結(jié)果等的記錄。在該第I實(shí)施方式中����,為了容易理解而示出設(shè)置兩個(gè)虛擬機(jī)的例子,但在超級(jí)管理程序22上還可以設(shè)置多個(gè)虛擬機(jī)而使多個(gè)操作系統(tǒng)及應(yīng)用程序動(dòng)作�。在該情況下,在各虛擬機(jī)上設(shè)置與各虛擬機(jī)對(duì)應(yīng)的虛擬設(shè)備跟蹤信息收集部��。
[0067]健康性判定部53對(duì)由動(dòng)作模型定義部51定義的動(dòng)作模型��、與由跟蹤信息收集部52收集的信息進(jìn)行比較��,判定控制器20a的健康性。具體地說��,在由跟蹤信息收集部52收集的信息與由動(dòng)作模型定義部51定義的動(dòng)作模型相符合的情況下��,判定控制器20a為健康狀態(tài)���。與之相對(duì)�,在由跟蹤信息收集部52收集的信息與由動(dòng)作模型定義部51定義的動(dòng)作模型不相符合的情況下�,判定控制器20a為不健康狀態(tài)。
[0068]健康性判定部53在判定控制器20a為不健康狀態(tài)的情況下,將該情況向監(jiān)視裝置30通知�����。在健康判定部53判定控制器20a為不健康狀態(tài)的情況下���,超級(jí)管理程序22進(jìn)行下述應(yīng)對(duì):不對(duì)判定為不健康狀態(tài)的原始的數(shù)據(jù)進(jìn)行響應(yīng)��。例如����,在應(yīng)由控制器20a的設(shè)備RDl接收的來自控制器20b的數(shù)據(jù)由設(shè)備RD2接收到的情況下����,判定為從控制器20b進(jìn)行了不正常訪問�,將該數(shù)據(jù)廢棄而不傳送至操作系統(tǒng)23a����、23b。
[0069]操作系統(tǒng)23a�、23b分別在超級(jí)管理程序22的虛擬機(jī)42a、42b的基礎(chǔ)上進(jìn)行動(dòng)作����,例如分別進(jìn)行為了使應(yīng)用程序24a、24b動(dòng)作所需的過程管理或存儲(chǔ)器管理等各種管理����。在操作系統(tǒng)23a中�,設(shè)置用于對(duì)在虛擬機(jī)42a中設(shè)置的虛擬設(shè)備“VD11”?“VD13”進(jìn)行驅(qū)動(dòng)的設(shè)備驅(qū)動(dòng)器D1,在操作系統(tǒng)23b中����,設(shè)置用于對(duì)在虛擬機(jī)42b中設(shè)置的虛擬設(shè)備“VD21”?“VD23”進(jìn)行驅(qū)動(dòng)的設(shè)備驅(qū)動(dòng)器D2。
[0070]應(yīng)用程序24a�����、24b在操作系統(tǒng)23a��、23b的基礎(chǔ)上進(jìn)行動(dòng)作,分別進(jìn)行為了進(jìn)行過程控制而所需的現(xiàn)場(chǎng)儀器10的控制(例如來自傳感器儀器11的測(cè)定數(shù)據(jù)等的收集或?qū)﹂y儀器12的控制數(shù)據(jù)的發(fā)送等)�����。在該第I實(shí)施方式中�,為了簡(jiǎn)化說明,主要以應(yīng)用程序24a進(jìn)行現(xiàn)場(chǎng)儀器10的控制為例進(jìn)行說明���。
[0071]監(jiān)視裝置30例如由計(jì)算機(jī)實(shí)現(xiàn)��,由操作員操作而用于過程的監(jiān)視�����。具體地說����,監(jiān)視裝置30進(jìn)行在控制器20a中動(dòng)作的操作系統(tǒng)23a�、23b或應(yīng)用程序24a、24b的動(dòng)作狀態(tài)的監(jiān)視和管理����,對(duì)應(yīng)于該監(jiān)視等的結(jié)果(或者對(duì)應(yīng)于操作員的操作指示)而對(duì)控制器20a進(jìn)行控制。此外�,監(jiān)視裝置30接收從控制器20a經(jīng)由控制網(wǎng)絡(luò)N2通知的判定結(jié)果(表示控制器20a的動(dòng)作狀態(tài)是否健康的判定結(jié)果)�����。
[0072]下面��,對(duì)上述結(jié)構(gòu)中的過程控制系統(tǒng)I的動(dòng)作進(jìn)行說明��。圖4是用于說明本發(fā)明的第I實(shí)施方式的過程控制系統(tǒng)中設(shè)置的控制器的動(dòng)作的概要的流程圖�����。首先��,如圖4所示�,預(yù)先生成的動(dòng)作模型(由操作系統(tǒng)23a���、23b或應(yīng)用程序24a、24b的規(guī)格而導(dǎo)入的控制器20a的動(dòng)作規(guī)格)存儲(chǔ)在超級(jí)管理程序22的動(dòng)作模型定義部51中(步驟Sll:第I步驟)����。將動(dòng)作模型存儲(chǔ)在動(dòng)作模型定義部51中的作業(yè),例如在應(yīng)用程序的構(gòu)筑者將實(shí)現(xiàn)應(yīng)用程序24a�����、24b的程序向操作系統(tǒng)23a、23b安裝時(shí)���、或者安裝后的應(yīng)用程序24a����、24b的設(shè)定(工程)剛完成之后進(jìn)行�����。
[0073]如果以上的作業(yè)結(jié)束����,則由控制器20a的跟蹤信息收集部52進(jìn)行對(duì)應(yīng)用程序24a動(dòng)作時(shí)的硬件21和操作系統(tǒng)23a間的數(shù)據(jù)交換的跟蹤進(jìn)行收集的處理(步驟S12:第2步驟)。具體地說�,由實(shí)際設(shè)備跟蹤信息收集部ClO對(duì)硬件21和超級(jí)管理程序22間的數(shù)據(jù)交換的跟蹤進(jìn)行收集,由虛擬設(shè)備跟蹤信息收集部Cll對(duì)操作系統(tǒng)23a和虛擬機(jī)42a間的數(shù)據(jù)交換的跟蹤進(jìn)行收集�。
[0074]并且,在健康性判定部53中對(duì)由動(dòng)作模型定義部51定義的動(dòng)作模型�、和由跟蹤信息收集部52收集的信息進(jìn)行比較,判定控制器20a的健康性(步驟S13:第3步驟)�����。具體地說��,在由跟蹤信息收集部52收集的信息,與由動(dòng)作模型定義部51定義的動(dòng)作模型相符合的情況下���,由健康性判定部53判定控制器20a為健康狀態(tài)�����。與之相對(duì)��,在由跟蹤信息收集部52收集的信息與由動(dòng)作模型定義部51定義的動(dòng)作模型不相符合情況下���,由健康性判定部53判定控制器20a為不健康狀態(tài)。
[0075]假設(shè)在判定控制器20a為不健康狀態(tài)的情況下�����,由超級(jí)管理程序22將例如由控制器20a接收到的數(shù)據(jù)或者從控制器20a要發(fā)送的數(shù)據(jù)廢棄���。由此�,由于超級(jí)管理程序22可以說起到作為防火墻的作用��,可以防止接收到的不正常的數(shù)據(jù)發(fā)送至操作系統(tǒng)23a���,以及將不正常的數(shù)據(jù)向外部發(fā)送����。此外����,在判定控制器20a為不健康狀態(tài)的情況下,將該情況從控制器20a向監(jiān)視裝置30通知�����。之后�,在控制器20a中,重復(fù)進(jìn)行步驟S12��、S13的處理���。
[0076]圖5A及5B是表示在本發(fā)明的第I實(shí)施方式中由跟蹤信息收集部52收集到的信息的一例的圖���,圖5A是表示在向控制器20a輸入數(shù)據(jù)的情況下收集的信息的一例的圖,圖5B是表示在從控制器20a輸出數(shù)據(jù)的情況下收集的信息的一例的圖�。如圖5A及5B所示,由跟蹤信息收集部52收集到的信息��,在與圖2所示的控制器20a的動(dòng)作模型同樣的表示“輸入輸出方向”、“對(duì)象”�����、及“使用設(shè)備”的信息的基礎(chǔ)上����,由表示收集信息的時(shí)間的“收集時(shí)間”(時(shí)間戳)構(gòu)成。
[0077]如圖3所示��,在以2秒間隔將從控制器20b發(fā)送的數(shù)據(jù)由控制器20a接收的情況下�����,例如圖5A所示的信息由跟蹤信息收集部52收集��。具體地說�����,是表示“輸入輸出方向”為輸入��,“對(duì)象”為控制器20b����,“使用設(shè)備”為設(shè)備RDl —虛擬設(shè)備VD12的信息,在此基礎(chǔ)上�,收集進(jìn)行跟蹤的時(shí)間(“收集時(shí)間”)。在圖5A所示的例子中��,需要注意的一點(diǎn)是�,“收集時(shí)間”與下一次的“收集時(shí)間”的時(shí)間差為2秒。
[0078]健康性判定部53在來自控制器20b數(shù)據(jù)由控制器20a接收的情況下����,對(duì)圖5A所示的信息與圖2的動(dòng)作模型Ml進(jìn)行比較,判定控制器20a與控制器20b的通信的健康性����。在圖5A所示的例子中,表示“輸入輸出方向”��、“對(duì)象”����、及“使用設(shè)備”的信息分別與圖2的動(dòng)作模型Ml的“輸入輸出方向”、“對(duì)象”����、及“使用設(shè)備”一致。此外�,圖5A中的“收集時(shí)間”和下一次的“收集時(shí)間”的時(shí)間差處于圖2的動(dòng)作模型Ml的“周期”的規(guī)定的范圍內(nèi)。因此,可以說與動(dòng)作模型相符合���,在收集到圖5A所例示的信息的情況下��,健康性判定部53判定控制器20a與控制器20b的通信為健康�����。
[0079]與之相對(duì)�,如圖3所示����,在相對(duì)于監(jiān)視裝置30而控制器20a以4秒間隔發(fā)送數(shù)據(jù)的情況下,例如由跟蹤信息收集部52收集到圖5B所示的信息��。具體地說�����,是表示“輸入輸出方向”為輸出���、“對(duì)象”為監(jiān)視裝置30����、“使用設(shè)備”為虛擬設(shè)備VDll —設(shè)備RD3的信息,在此基礎(chǔ)上����,收集進(jìn)行跟蹤的時(shí)間(“收集時(shí)間”)��。在圖5B所示的例子中����,需要注意的一點(diǎn)是,“收集時(shí)間”和下一個(gè)“收集時(shí)間”的時(shí)間差為3秒或者5秒�����,并不是一定的����。
[0080]健康性判定部53在從控制器20a向監(jiān)視裝置30發(fā)送數(shù)據(jù)的情況下,對(duì)圖5B所示的信息與圖2的動(dòng)作模型M2進(jìn)行比較��,判定控制器20a的健康性���。在圖5B所示的例子中�����,表示“輸入輸出方向”��、“對(duì)象”�、及“使用設(shè)備”的信息,與圖2的動(dòng)作模型M2的“輸入輸出方向”�、“對(duì)象”、及“使用設(shè)備”分別一致��。但是�����,圖5B中的“收集時(shí)間”與下一次的“收集時(shí)間”的時(shí)間差并不一定�,處于圖2的動(dòng)作模型M2的“周期”的規(guī)定的范圍外。因此�����,可以說并不與動(dòng)作模型相符合��,在收集到圖5B所例示的信息的情況下���,健康性判定部53判定控制器20a中的操作系統(tǒng)23a或應(yīng)用程序24a的動(dòng)作狀態(tài)為不健康���。
[0081]以上�,為了簡(jiǎn)化說明�,說明了由動(dòng)作模型定義部51定義的動(dòng)作模型由“輸入輸出方向”、“對(duì)象”�、“使用設(shè)備”、及“周期”構(gòu)成�。但是,在它們的基礎(chǔ)上�,通過使用數(shù)據(jù)構(gòu)造(格式)���、通信定時(shí)����、數(shù)據(jù)量等規(guī)定了 “通信處理規(guī)格”的動(dòng)作模型���,可以更高精度地判定控制器20a的健康性��。
[0082]如以上說明所示�,該第I實(shí)施方式中����,對(duì)動(dòng)作模型進(jìn)行定義,該動(dòng)作模型是由操作系統(tǒng)23a��、23b或應(yīng)用程序24a、24b的規(guī)格而導(dǎo)入的控制器20a的動(dòng)作規(guī)格���,并對(duì)該定義模型與由跟蹤信息收集部52收集的信息(硬件21和操作系統(tǒng)23a之間的數(shù)據(jù)交換的跟蹤)進(jìn)行比較���,判定控制器20a動(dòng)作狀態(tài)是否健康。并且���,基于其判定結(jié)果進(jìn)行數(shù)據(jù)的廢棄等處理����。
[0083]此外,在該第I實(shí)施方式中��,表示動(dòng)態(tài)動(dòng)作的動(dòng)作模型,起到與表示羅列靜態(tài)信息的白名單相同的作用��,由于通過由跟蹤信息收集部52收集的信息與動(dòng)作模型是否相符合而由控制器20a判定動(dòng)作狀態(tài)是否健康�,因此無論來自外部的不正常訪問或病毒是已知的還是未知的,均可以判定控制器20a的健康性�����。并且�,在該第I實(shí)施方式中,由于超級(jí)管理程序22可以說作為防火墻起作用����,所以即使存在突破操作系統(tǒng)23a�����、23b及應(yīng)用程序24a�����、24b的脆弱性的不正常行為�,也不會(huì)產(chǎn)生由該脆弱性引起的問題����。因此���,可以不導(dǎo)入對(duì)操作系統(tǒng)及應(yīng)用程序的脆弱性進(jìn)行修正的修正補(bǔ)丁����,而貫穿長(zhǎng)期地維持牢固的安全性����。
[0084]〔第2實(shí)施方式〕
[0085]圖6是表示本發(fā)明的第2實(shí)施方式的過程控制系統(tǒng)的要部結(jié)構(gòu)的模塊圖。在圖6中�����,對(duì)與圖1所示的結(jié)構(gòu)相當(dāng)?shù)慕Y(jié)構(gòu)標(biāo)注相同的標(biāo)號(hào)。如圖6所示��,該第2實(shí)施方式的過程控制系統(tǒng)2���,是取代圖1中的控制器20a����、20b而設(shè)置控制器60a���、60b的結(jié)構(gòu)����。
[0086]這些控制器60a�、60b是取代圖1所示的控制器20a、20b所具有的動(dòng)作模型定義部51��,而設(shè)置健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61 (存儲(chǔ)部)的結(jié)構(gòu)�����,可以不生成第I實(shí)施方式中的動(dòng)作模型而判定控制器60a、60b的動(dòng)作狀態(tài)是否健康����。以下,為了簡(jiǎn)化說明��,以控制器60a為例進(jìn)行說明��。
[0087]設(shè)置在控制器60a中的健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61���,存儲(chǔ)在控制器60a為健康狀態(tài)的情況下��,在硬件21和操作系統(tǒng)23a�、23b間的數(shù)據(jù)交換的跟蹤(健康狀態(tài)時(shí)數(shù)據(jù):第I數(shù)據(jù))��。所謂控制器60a為健康狀態(tài)�����,與第I實(shí)施方式中的控制器20a為健康狀態(tài)的情況同樣地�,是指例如沒有對(duì)控制器60a進(jìn)行網(wǎng)絡(luò)攻擊或從控制器60a向其他儀器的不正常訪問而正常地動(dòng)作的狀態(tài)����。
[0088]圖7是表示本發(fā)明的第2實(shí)施方式中的健康狀態(tài)時(shí)數(shù)據(jù)的一例的圖。圖7所示的健康狀態(tài)時(shí)數(shù)據(jù)是進(jìn)行與圖3所示的定周期處理同樣動(dòng)作的情況。圖7所例示的健康狀態(tài)時(shí)數(shù)據(jù)由“輸入輸出方向”��、“對(duì)象”�、“使用設(shè)備”、“收集時(shí)間”��、及“收集位置”構(gòu)成�����。上述“輸入輸出方向”�����、“對(duì)象”�、“使用設(shè)備”、及“收集時(shí)間”與圖5所示的相同�����。但是���,圖5中的“使用設(shè)備”中規(guī)定了多個(gè)設(shè)備���,但圖7中的“使用設(shè)備”僅規(guī)定了 I個(gè)設(shè)備����。上述“收集位置”是表示進(jìn)行健康狀態(tài)時(shí)數(shù)據(jù)的收集的位置的信息���。
[0089]例如����,圖7中的健康狀態(tài)時(shí)數(shù)據(jù)dl����、d2、d7�����、d8是進(jìn)行從應(yīng)用程序24a向閥儀器12的數(shù)據(jù)的發(fā)送(輸出)的情況下收集到的數(shù)據(jù)����,健康狀態(tài)時(shí)數(shù)據(jù)d3、d4是進(jìn)行從應(yīng)用程序24a向監(jiān)視裝置30的數(shù)據(jù)的發(fā)送(輸出)的情況下收集到的數(shù)據(jù)�����。此外���,健康狀態(tài)時(shí)數(shù)據(jù)d5�、d6是接受到來自控制器60b的數(shù)據(jù)的情況下收集到的數(shù)據(jù)��。
[0090]具體地說�����,健康狀態(tài)時(shí)數(shù)據(jù)dl表示“輸入輸出方向”為輸出��、“對(duì)象”為閥儀器12�、“使用設(shè)備”為虛擬設(shè)備VD13的信息,是表示在時(shí)間00:00' 00" 00由虛擬設(shè)備跟蹤信息收集部Cll收集到的數(shù)據(jù)�。此外,健康狀態(tài)時(shí)數(shù)據(jù)d2表示“輸入輸出方向”為輸出�����,“對(duì)象”為閥儀器12�,“使用設(shè)備”為設(shè)備RD2的信息,是表示在時(shí)間00:00' 00" 30由實(shí)際設(shè)備跟蹤信息收集部ClO收集到的數(shù)據(jù)�。
[0091]下面,對(duì)于上述結(jié)構(gòu)中的過程控制系統(tǒng)2的動(dòng)作進(jìn)行說明����。圖8是用于說明本發(fā)明的第2實(shí)施方式的過程控制系統(tǒng)中設(shè)置的控制器的動(dòng)作概要的流程圖����。首先����,如圖8所示,在控制器60a為健康狀態(tài)時(shí)���,進(jìn)行取得健康狀態(tài)時(shí)數(shù)據(jù)而存儲(chǔ)于健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中的處理(步驟S21:第I步驟)�����。
[0092]具體地說�����,在將現(xiàn)場(chǎng)網(wǎng)絡(luò)NI及控制網(wǎng)絡(luò)N2從可能進(jìn)行網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)分離的狀態(tài)下��,啟動(dòng)圖6所示的過程控制系統(tǒng)2���。并且,在未進(jìn)行網(wǎng)絡(luò)攻擊時(shí)����,將控制器60a的硬件21與操作系統(tǒng)23a����、23b之間的數(shù)據(jù)交換的跟蹤作為健康狀態(tài)時(shí)數(shù)據(jù)而取得���,并存儲(chǔ)在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中。如果健康狀態(tài)時(shí)數(shù)據(jù)的存儲(chǔ)結(jié)束��,則使所存儲(chǔ)的健康狀態(tài)時(shí)數(shù)據(jù)為讀取專用���,返回將現(xiàn)場(chǎng)網(wǎng)絡(luò)NI及控制網(wǎng)絡(luò)N2分離前的狀態(tài)���。
[0093]如果以上的處理結(jié)束,則與第I實(shí)施方式同樣地����,由控制器60a的跟蹤信息收集部52進(jìn)行對(duì)在應(yīng)用程序24a動(dòng)作時(shí)的硬件21與操作系統(tǒng)23a之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集的處理(步驟S22:第2步驟)。并且����,在健康性判定部53中對(duì)在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中存儲(chǔ)的健康狀態(tài)時(shí)數(shù)據(jù)與由跟蹤信息收集部52收集的信息進(jìn)行比較,判定控制器60a的健康性(步驟S23:第3步驟)�。
[0094]具體地說,由健康性判定部53進(jìn)行下述處理:將在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中存儲(chǔ)的健康狀態(tài)時(shí)數(shù)據(jù)���、與由跟蹤信息收集部52收集的信息按照時(shí)間序列順序進(jìn)行比較(模式匹配處理)�����。在它們的內(nèi)容及時(shí)間序列順序一致的情況下��,由健康性判定部53判定控制器60a為健康狀態(tài)���。與之相對(duì)�����,在它們的內(nèi)容及時(shí)間序列順序中的至少一方不一致的情況下�,由健康性判定部53判定控制器60a為不健康狀態(tài)��。在判定控制器60a為不健康狀態(tài)的情況下����,與第I實(shí)施方式同樣地,進(jìn)行將數(shù)據(jù)廢棄的處理��、或向監(jiān)視裝置30通知該情況的處理���。以后�,在控制器60a中,重復(fù)進(jìn)行步驟S22�����、S23的處理����。
[0095]圖9是表示本發(fā)明的第2實(shí)施方式中由跟蹤信息收集部收集的信息的一例的圖���。如圖9所示����,由跟蹤信息收集部52收集的信息�,與圖7所示的健康狀態(tài)時(shí)數(shù)據(jù)同樣地,由“輸入輸出方向”����、“對(duì)象”、“使用設(shè)備”���、“收集時(shí)間”�����、及“收集位置”構(gòu)成�����。對(duì)圖7所示的健康狀態(tài)時(shí)數(shù)據(jù)與圖9所示的進(jìn)行比較��,可知與圖7中的健康狀態(tài)時(shí)數(shù)據(jù)d6相當(dāng)?shù)臄?shù)據(jù)(應(yīng)配置在圖9中的數(shù)據(jù)dl5與數(shù)據(jù)dl6之間的數(shù)據(jù))在圖9中被丟失�。因此,在收集到圖9所例示的信息的情況下��,健康性判定部53判定控制器60a與控制器60b的通信不健康��。
[0096]如以上說明所示��,在該第2實(shí)施方式中��,將在控制器60a為健康狀態(tài)時(shí)硬件21與操作系統(tǒng)23a之間的數(shù)據(jù)交換的跟蹤作為健康狀態(tài)時(shí)數(shù)據(jù)而取得��,將該健康狀態(tài)時(shí)數(shù)據(jù)與由跟蹤信息收集部52收集的信息(硬件21與操作系統(tǒng)23a之間的數(shù)據(jù)交換的跟蹤)進(jìn)行比較�����,判定控制器60a的動(dòng)作狀態(tài)是否健康��。并且,基于其判定結(jié)果進(jìn)行數(shù)據(jù)的廢棄等處理�。因此,與第I實(shí)施方式同樣地���,不會(huì)發(fā)生由突破脆弱性這樣的不正常行為引起的問題����。由此��,可以不導(dǎo)入對(duì)操作系統(tǒng)及應(yīng)用程序的脆弱性進(jìn)行修正的修正補(bǔ)丁�,而貫穿長(zhǎng)期地維持牢固的安全性�。
[0097]此外,在該第2實(shí)施方式中���,由于在控制器60a為健康狀態(tài)時(shí)�,將硬件21與操作系統(tǒng)23a之間的數(shù)據(jù)交換的跟蹤作為健康狀態(tài)時(shí)數(shù)據(jù)而取得����,因此可以省略生成動(dòng)作模型的作業(yè)。此外�,由于與使用動(dòng)作模型的情況相比,可以使用多種多樣的模式�����,因此可以進(jìn)行與第I實(shí)施方式相比精度更高的判定。
[0098]〔第3實(shí)施方式〕
[0099]圖10是表示設(shè)置在本發(fā)明的第3實(shí)施方式的過程控制系統(tǒng)中的控制器的要部結(jié)構(gòu)模塊圖��。該第3實(shí)施方式的過程控制系統(tǒng)的整體結(jié)構(gòu)�����,是取代圖6所示的過程控制系統(tǒng)2所具有的控制器60a���、60b�,而設(shè)置控制器70a��、70b (關(guān)于控制器70b省略圖示)的結(jié)構(gòu)����。此夕卜,在圖10中�����,對(duì)于與圖6所示的結(jié)構(gòu)相當(dāng)?shù)慕Y(jié)構(gòu)標(biāo)注相同的標(biāo)號(hào)�����。
[0100]如圖10所示,該第3實(shí)施方式的過程控制系統(tǒng)中設(shè)置控制器70a���,是在圖6所示的控制器60a的操作系統(tǒng)23a�����、23b中分別追加跟蹤信息收集部C21�����、C22 (第2收集部)的結(jié)構(gòu)����。該結(jié)構(gòu)的控制器70a與圖6所示的控制器60a相比����,可以進(jìn)行更高精度的判定���,并且在進(jìn)行不是定周期處理的處理(非定周期處理)的情況下���,也可以判定控制器70a的判定動(dòng)作狀態(tài)是否健康。
[0101]跟蹤信息收集部C21對(duì)操作系統(tǒng)23a與應(yīng)用程序24a之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集���,跟蹤信息收集部C22對(duì)操作系統(tǒng)23b與應(yīng)用程序24b之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集����。在第2收集部所收集的所述數(shù)據(jù)交換的跟蹤中,包含作為應(yīng)用程序的處理而對(duì)操作系統(tǒng)進(jìn)行的系統(tǒng)調(diào)用的信息���,例如調(diào)出的系統(tǒng)調(diào)用的種類����。由這些跟蹤信息收集部C21�����、C22收集的數(shù)據(jù)���,與由跟蹤信息收集部52收集的數(shù)據(jù)一起���,向由超級(jí)管理程序22的健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61或健康性判定部53輸出。
[0102]具體地說�,在控制器70a為健康狀態(tài)的情況下由跟蹤信息收集部C21、C22收集的數(shù)據(jù)��,與由跟蹤信息收集部52收集的數(shù)據(jù)一起�����,作為健康狀態(tài)時(shí)數(shù)據(jù)而存儲(chǔ)在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中。此外�,在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中之后,由跟蹤信息收集部C21�、C22收集的數(shù)據(jù)與由跟蹤信息收集部52收集的數(shù)據(jù)一起,在健康性判定部53中與健康狀態(tài)時(shí)數(shù)據(jù)進(jìn)行比較��。
[0103]下面���,對(duì)于由上述結(jié)構(gòu)的控制器70a進(jìn)行非定周期處理的情況下的動(dòng)作進(jìn)行說明���。由控制器70a進(jìn)行定周期處理的情況下的動(dòng)作,與由控制器70a進(jìn)行非定周期處理的情況下的動(dòng)作基本上相同�。圖11是表示由本發(fā)明的第3實(shí)施方式進(jìn)行的過程控制系統(tǒng)的非定周期處理的一例的圖。圖11所例示的非定周期處理�����,是在監(jiān)視裝置30監(jiān)視工廠的過程控制時(shí)�,作為收集用于進(jìn)行監(jiān)視顯示的信息(監(jiān)視顯示信息)的動(dòng)作而進(jìn)行的�����。
[0104]具體地說,如果從監(jiān)視裝置30向控制器70a非同步地發(fā)送監(jiān)視顯示信息的取得要求(步驟S31)�����,則在控制器70a中����,進(jìn)行接收該監(jiān)視顯示信息的取得要求的接收處理(步驟S32)、生成監(jiān)視顯示信息的生成處理(步驟S33)�����,在所述生成處理中�����,進(jìn)行從傳感器儀器11取得測(cè)定數(shù)據(jù)的取得處理(步驟S34)��、及發(fā)送監(jiān)視顯示信息的發(fā)送處理(步驟S35)�。
[0105]在上述接收處理(步驟S32)中,由硬件21接收而經(jīng)由設(shè)備RD3及虛擬設(shè)備VDll的監(jiān)視顯示信息的取得要求��,通過插入處理而從操作系統(tǒng)23a向應(yīng)用程序24a通知�����。為了由應(yīng)用程序24a接收通知,例如使用插入處理器或信號(hào)圖像�����。
[0106]接收到通知的應(yīng)用程序24a使用(例如IPC(Inter Process Communicat1n)的)系統(tǒng)調(diào)用�,對(duì)與上述取得要求對(duì)應(yīng)的上述生成處理(步驟S33)進(jìn)行喚醒(wakeup)。在生成處理中����,使用在上述取得處理(步驟S34)中取得的測(cè)定數(shù)據(jù),由應(yīng)用程序24a生成監(jiān)視顯示信息��。所生成的監(jiān)視顯示信息利用上述發(fā)送處理(步驟S35)向控制器70a的外部輸出�����。
[0107]在上述取得處理(步驟S34)中應(yīng)用程序24a調(diào)出系統(tǒng)調(diào)用����,將數(shù)據(jù)讀出要求(read)向操作系統(tǒng)23a輸出?���;谠摂?shù)據(jù)讀出要求��,經(jīng)由虛擬設(shè)備VD12及設(shè)備RD2從傳感器儀器11取得測(cè)定數(shù)據(jù)。在上述發(fā)送處理(步驟S35)中�����,應(yīng)用程序24a調(diào)出系統(tǒng)調(diào)用����,將數(shù)據(jù)寫入要求(write)向操作系統(tǒng)23a輸出?;谠摂?shù)據(jù)寫入要求,經(jīng)由虛擬設(shè)備VDll及設(shè)備RD3輸出監(jiān)視顯示信息�。從控制器70a輸出的監(jiān)視顯示信息經(jīng)由控制網(wǎng)絡(luò)N2向監(jiān)視裝置30發(fā)送(步驟S36)。
[0108]圖12是表示本發(fā)明的第3實(shí)施方式中由跟蹤信息收集部收集的信息的一例的圖����。圖12所示的信息,是在進(jìn)行圖11所示的非同步處理時(shí)�����,由跟蹤信息收集部52及跟蹤信息收集部C21收集的信息��。在該信息中��,與所使用的設(shè)備一起作為所使用的系統(tǒng)調(diào)用,記錄有系統(tǒng)調(diào)用的種類�����、和系統(tǒng)調(diào)用所作用的對(duì)象��。如果收集這種信息�,則與第2實(shí)施方式同樣地,在健康性判定部53中��,與在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中存儲(chǔ)的健康狀態(tài)時(shí)數(shù)據(jù)進(jìn)行比較��,判定控制器70a是否健康�����。在判定控制器70a為不健康狀態(tài)的情況下,與第2實(shí)施方式同樣地進(jìn)行將數(shù)據(jù)廢棄的處理��,或向監(jiān)視裝置30通知該情況的處理��。
[0109]如以上說明所示�,在該第3實(shí)施方式中,在控制器70a為健康狀態(tài)時(shí)�,將硬件21與操作系統(tǒng)23a之間的數(shù)據(jù)交換的跟蹤、和操作系統(tǒng)23a與應(yīng)用程序24a之間的數(shù)據(jù)交換的跟蹤����,作為健康狀態(tài)時(shí)數(shù)據(jù)而取得�����。并且,將健康狀態(tài)時(shí)數(shù)據(jù)與由跟蹤信息收集部52收集的信息及由跟蹤信息收集部C21收集的信息進(jìn)行比較����,判定控制器70a的動(dòng)作狀態(tài)是否健康。并且����,基于其判定結(jié)果進(jìn)行數(shù)據(jù)的廢棄等處理。因此��,與第2實(shí)施方式同樣地�,不導(dǎo)入對(duì)操作系統(tǒng)及應(yīng)用程序的脆弱性進(jìn)行修正的修正補(bǔ)丁,也可以貫穿長(zhǎng)期地維持牢固的安全性�。
[0110]此外,在該第3實(shí)施方式中�����,在硬件21和操作系統(tǒng)23a之間的數(shù)據(jù)交換的跟蹤的基礎(chǔ)上����,將在操作系統(tǒng)23a與應(yīng)用程序24a之間的數(shù)據(jù)交換的跟蹤作為健康狀態(tài)時(shí)數(shù)據(jù)��。因此���,可以通過非同步處理的流程,使操作系統(tǒng)23a與應(yīng)用程序24a之間的數(shù)據(jù)交換�����、和硬件21與操作系統(tǒng)23a之間的數(shù)據(jù)交換相關(guān)聯(lián)���。通過該關(guān)聯(lián)后的數(shù)據(jù)是否與健康狀態(tài)時(shí)等同�,可以確認(rèn)應(yīng)用程序24a或操作系統(tǒng)23a的非同步處理的健康性���。因此���,在非定周期處理中,也可以判定控制器70a的動(dòng)作狀態(tài)的健康性�。
[0111]在該第3實(shí)施方式中,為了容易理解�����,以第2收集部對(duì)調(diào)出的系統(tǒng)調(diào)用的種類進(jìn)行收集進(jìn)行了說明,但作為系統(tǒng)調(diào)用的信息��,也可以與系統(tǒng)調(diào)用的調(diào)出中使用的參數(shù)的種類或值�����、系統(tǒng)調(diào)用的返回值等信息對(duì)應(yīng)而收集��,并用于健康性的判定��。
[0112]此外�����,在該第3實(shí)施方式中�,將在應(yīng)用程序與操作系統(tǒng)之間對(duì)信息進(jìn)行發(fā)送/接收的定時(shí)作為系統(tǒng)調(diào)用�。應(yīng)用程序?yàn)榱藞?zhí)行自身的處理,必須進(jìn)行系統(tǒng)調(diào)用����,因此通過將定時(shí)作為系統(tǒng)調(diào)用,從而起到不需要用于使應(yīng)用程序與跟蹤對(duì)應(yīng)的特別的改造或功能追加的效果O
[0113]此外���,在該第3實(shí)施方式中�,第2收集部追加在操作系統(tǒng)中,但在不希望對(duì)操作系統(tǒng)及應(yīng)用程序進(jìn)行修改的情況下�����,也可以安裝在操作系統(tǒng)和應(yīng)用程序之間��。例如�,第2收集部也可以與系統(tǒng)調(diào)用相同地具有接口,作為進(jìn)行向系統(tǒng)調(diào)用的中繼的資料庫而安裝���。在任一種安裝的情況下���,均通過追加應(yīng)用程序的動(dòng)作跟蹤,從而詳細(xì)地進(jìn)行健康性的判定��。例如���,在判斷控制器為不健康狀態(tài)的情況下�����,可以判定不健康狀態(tài)是操作系統(tǒng)還是應(yīng)用程序���。
[0114]在上述第2��、第3實(shí)施方式中���,在健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61中存儲(chǔ)健康狀態(tài)時(shí)數(shù)據(jù)時(shí),相對(duì)于健康狀態(tài)時(shí)數(shù)據(jù)的“收集時(shí)間”�����,也可以另外定義可視為一致的時(shí)間的誤差范圍(例:± 10%��、1.9?2.1秒等)后進(jìn)行存儲(chǔ)�。
[0115]〔第4實(shí)施方式〕
[0116]圖13是表示在本發(fā)明的第4實(shí)施方式的過程控制系統(tǒng)中設(shè)置的控制器的概略結(jié)構(gòu)的模塊圖���。該第4實(shí)施方式的過程控制系統(tǒng)的整體結(jié)構(gòu)�,是取代圖1所示的過程控制系統(tǒng)I所具有的控制器20a��、20b而設(shè)置控制器80a����、80b (關(guān)于控制器80b省略圖示)的結(jié)構(gòu)。此外��,在圖13中��,對(duì)于與圖1所示的結(jié)構(gòu)相當(dāng)?shù)慕Y(jié)構(gòu)標(biāo)注相同的標(biāo)號(hào)。
[0117]如圖13所示�,在該第4實(shí)施方式的過程控制系統(tǒng)中設(shè)置的控制器80a,是使圖1所示的控制器20a的硬件21為具有多個(gè)MPU81?83 (處理裝置)的硬件21���。MPU81?83表示處理器.核心�,可以使作為各不相同的程序包而安裝的實(shí)施方式(單核心)�����,也可以是全部作為I個(gè)程序包而安裝的實(shí)施方式(多核心)�����。
[0118]該第4實(shí)施方式中的控制器80a的功能���,通過使實(shí)現(xiàn)各功能的程序由MPU81?83中的某一個(gè)執(zhí)行而實(shí)現(xiàn)�。例如�,超級(jí)管理程序22 (包含動(dòng)作模型定義部51、跟蹤信息收集部52��、及健康性判定部53)通過由MPU81執(zhí)行實(shí)現(xiàn)它們的程序而實(shí)現(xiàn)��。此外�����,操作系統(tǒng)23a及應(yīng)用程序24a,通過由MPU82執(zhí)行實(shí)現(xiàn)它們的程序而實(shí)現(xiàn)����,操作系統(tǒng)23b及應(yīng)用程序24b,通過由MPU83執(zhí)行實(shí)現(xiàn)它們的程序而實(shí)現(xiàn)���。執(zhí)行程序的MPU81?83的分配例如由超級(jí)管理程序22進(jìn)行����。
[0119]這樣����,通過由多個(gè)MPU81?83執(zhí)行實(shí)現(xiàn)控制器80a的各功能的程序���,從而即使出現(xiàn)對(duì)控制器80a的DoS(Denial of Services)攻擊,也可以防止發(fā)生控制器80a的性能惡化或服務(wù)停止的情況����。即�����,相對(duì)于DoS攻擊�,使用MPU81而超級(jí)管理程序?qū)⒉徽?shù)據(jù)包廢棄,不會(huì)增加進(jìn)行應(yīng)用程序24a等的處理的MPU82��、83的負(fù)荷,因此不會(huì)產(chǎn)生控制器80a的性能惡化等���。
[0120]上述控制器80a��,可以使圖1所示的第I實(shí)施方式中的控制器20a的硬件21為具有多個(gè)MPU81?83的硬件21�。同樣地�����,也可以使圖6所示的第2實(shí)施方式中的控制器60a或圖10所示的第3實(shí)施方式中的控制器70a的硬件21為具有多個(gè)MPU81?83的硬件21��。
[0121]以上����,對(duì)本發(fā)明的幾個(gè)實(shí)施方式的過程控制裝置及系統(tǒng)及其健康性判定方法進(jìn)行了說明,但本發(fā)明并不限定于上述實(shí)施方式���,在本發(fā)明的范圍內(nèi)可以自由變更��。例如�����,在上述實(shí)施方式中����,以可以使多個(gè)操作系統(tǒng)或應(yīng)用程序動(dòng)作的虛擬環(huán)境由超級(jí)管理程序22在控制器20a、60a��、70a���、80a中實(shí)現(xiàn)的例子進(jìn)行了說明����,但實(shí)現(xiàn)這種虛擬環(huán)境的方法不限于超級(jí)管理程序22��。例如����,也可以使上述的虛擬環(huán)境由硬件實(shí)現(xiàn)�����。
[0122]此外,在上述實(shí)施方式中���,以現(xiàn)場(chǎng)儀器10可經(jīng)由現(xiàn)場(chǎng)網(wǎng)絡(luò)NI進(jìn)行數(shù)字通信為例進(jìn)行了說明�����,但也可以使用進(jìn)行模擬信號(hào)的輸入輸出的現(xiàn)場(chǎng)儀器�。使用這種現(xiàn)場(chǎng)儀器的情況下���,將對(duì)由現(xiàn)場(chǎng)儀器輸入輸出的信號(hào)(模擬信號(hào))與經(jīng)由現(xiàn)場(chǎng)網(wǎng)絡(luò)NI通信的信號(hào)(數(shù)字信號(hào))進(jìn)行變換的1結(jié)點(diǎn)與現(xiàn)場(chǎng)網(wǎng)絡(luò)NI連接��,只要將該1結(jié)點(diǎn)與現(xiàn)場(chǎng)儀器通過模擬傳送路徑(例如����,“4?20mA”信號(hào)的傳送中使用的傳送線)連接即可�����。
[0123]此外����,在上述實(shí)施方式中,對(duì)于動(dòng)作模型定義部51 (健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61)���、跟蹤信息收集部52�����、及健康性判定部53設(shè)置在超級(jí)管理程序22中的結(jié)構(gòu)進(jìn)行了說明�����。但是�,它們也可以針對(duì)每個(gè)虛擬機(jī)42a、42b而設(shè)置�����。此外�,動(dòng)作模型定義部51 (健康狀態(tài)時(shí)數(shù)據(jù)存儲(chǔ)部61)也可以設(shè)置在例如硬盤的記錄裝置或半導(dǎo)體存儲(chǔ)器等存儲(chǔ)裝置中。
[0124]此外��,在上述第2�����、第3實(shí)施方式中�����,對(duì)于在控制器60a���,70a為健康狀態(tài)的情況下預(yù)先取得健康狀態(tài)時(shí)數(shù)據(jù)的例子進(jìn)行了說明���。但是,也可以在取得健康狀態(tài)時(shí)數(shù)據(jù)后�,也另外取得(追加取得)健康狀態(tài)時(shí)數(shù)據(jù)。這樣�,即使因系統(tǒng)結(jié)構(gòu)或應(yīng)用程序的設(shè)定的變更,在由控制器60a����,70a執(zhí)行的應(yīng)用程序24a、24b的動(dòng)作變化的情況下����,也可以無障礙地進(jìn)行健康性的判定。
[0125]此外�,在上述第1、第2�����、第3實(shí)施方式中����,為了容易理解�,使虛擬設(shè)備VDll?VD13與實(shí)際設(shè)備RDl?RD3�����、虛擬設(shè)備VD21?VD23與實(shí)際設(shè)備RDl?RD3分別——對(duì)應(yīng)而進(jìn)行說明��,但根據(jù)虛擬設(shè)備的設(shè)計(jì)��,也考慮使多個(gè)實(shí)際設(shè)備與一個(gè)虛擬設(shè)備對(duì)應(yīng)的結(jié)構(gòu)��,或者使一個(gè)實(shí)際設(shè)備與多個(gè)虛擬設(shè)備對(duì)應(yīng)的結(jié)構(gòu)�����。在這種結(jié)構(gòu)中�����,也可以收集與虛擬設(shè)備���、實(shí)際設(shè)備對(duì)應(yīng)的跟蹤信息�����,與上述第1���、第2、第3實(shí)施方式同樣地����,可以確認(rèn)控制器的動(dòng)作狀態(tài)的健康性。
【權(quán)利要求】
1.一種過程控制裝置����,其具有: 控制部,其通過硬件與現(xiàn)場(chǎng)儀器的通信����,對(duì)工業(yè)過程進(jìn)行控制,該現(xiàn)場(chǎng)儀器在虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作����,進(jìn)行在車間實(shí)現(xiàn)的所述工業(yè)過程的控制所需的測(cè)定及操作中的至少一個(gè); 存儲(chǔ)部�����,其存儲(chǔ)表示健康狀態(tài)的動(dòng)作的健康動(dòng)作信息�����; 第1收集部,其收集所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤����;以及判定部,其對(duì)存儲(chǔ)于所述存儲(chǔ)部中的所述健康動(dòng)作信息����、與由所述第1收集部收集到的信息進(jìn)行比較,判定動(dòng)作狀態(tài)是否健康�����。
2.根據(jù)權(quán)利要求1所述的過程控制裝置��, 所述存儲(chǔ)部����,作為所述健康動(dòng)作信息,存儲(chǔ)動(dòng)作模型或第1數(shù)據(jù)���,該動(dòng)作模型是規(guī)定了從所述控制部的規(guī)格導(dǎo)入的動(dòng)作規(guī)格的信息����,該第1數(shù)據(jù)是在為健康狀態(tài)的情況下所述控制部與所述硬件之間的數(shù)據(jù)交換的跟蹤。
3.根據(jù)權(quán)利要求2所述的過程控制裝置���, 所述判定部�,在判定動(dòng)作狀態(tài)不健康的情況下�,將判定結(jié)果向外部通知。
4.根據(jù)權(quán)利要求2或3所述的過程控制裝置���, 所述控制部包含: 操作系統(tǒng),其在所述虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作����;以及 應(yīng)用程序,其在所述操作系統(tǒng)的基礎(chǔ)上進(jìn)行動(dòng)作�,通過與所述現(xiàn)場(chǎng)儀器的通信,對(duì)所述工業(yè)過程進(jìn)行控制����。
5.根據(jù)權(quán)利要求4所述的過程控制裝置, 還具有第2收集部�����,其收集所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤��,所述存儲(chǔ)部在所述第1數(shù)據(jù)的基礎(chǔ)上,作為所述健康動(dòng)作信息����,還存儲(chǔ)第2數(shù)據(jù),該第2數(shù)據(jù)是在為健康狀態(tài)的情況下所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤����,所述判定部對(duì)所述第1數(shù)據(jù)與由所述第1收集部收集的信息進(jìn)行比較,且對(duì)所述第2數(shù)據(jù)與由所述第2收集部收集的信息進(jìn)行比較�����,判定動(dòng)作狀態(tài)是否健康�����。
6.根據(jù)權(quán)利要求1至3中任意一項(xiàng)所述的過程控制裝置�, 至少所述第1收集部及所述判定部,設(shè)置在所述虛擬化部中���。
7.根據(jù)權(quán)利要求1至3中任意一項(xiàng)所述的過程控制裝置���, 所述硬件具有多個(gè)處理裝置, 所述虛擬化部及所述控制部,通過使實(shí)現(xiàn)所述虛擬化部的程序和實(shí)現(xiàn)所述控制部的程序由彼此不同的處理裝置執(zhí)行而實(shí)現(xiàn)�。
8.—種過程控制系統(tǒng),其具有: 網(wǎng)絡(luò)�����,其設(shè)置于車間中����; 現(xiàn)場(chǎng)儀器,其與所述網(wǎng)絡(luò)連接�,進(jìn)行在所述車間中實(shí)現(xiàn)的工業(yè)過程的控制所需的測(cè)定及操作中的至少一個(gè);以及 過程控制裝置���,其進(jìn)行所述工業(yè)過程的控制,與所述網(wǎng)絡(luò)連接���, 該過程控制裝置具有: 控制部����,其在硬件和虛擬化部的基礎(chǔ)上動(dòng)作���,通過與所述現(xiàn)場(chǎng)儀器的通信����,對(duì)所述工業(yè)過程進(jìn)行控制; 存儲(chǔ)部�����,其存儲(chǔ)表示健康狀態(tài)的動(dòng)作健康動(dòng)作信息�; 第1收集部,其對(duì)所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集�����;以及判定部����,其對(duì)在所述存儲(chǔ)部中存儲(chǔ)的所述健康動(dòng)作信息、與由所述第1收集部收集的信息進(jìn)行比較�����,判定動(dòng)作狀態(tài)是否健康����。
9.根據(jù)權(quán)利要求8所述的過程控制系統(tǒng), 還具有監(jiān)視裝置��,其與所述網(wǎng)絡(luò)連接,接收從所述過程控制裝置經(jīng)由所述網(wǎng)絡(luò)通知的表示動(dòng)作狀態(tài)是否健康的判定結(jié)果��, 所述判定部�,在判定動(dòng)作狀態(tài)不健康的情況下,將判定結(jié)果向所述監(jiān)視裝置通知�。
10.根據(jù)權(quán)利要求8所述的過程控制系統(tǒng), 所述存儲(chǔ)部�����,作為所述健康動(dòng)作信息�����,存儲(chǔ)動(dòng)作模型或第1數(shù)據(jù)�����,該動(dòng)作模型是規(guī)定了從所述控制部的規(guī)格導(dǎo)入的動(dòng)作規(guī)格的信息�,該第1數(shù)據(jù)是在為健康狀態(tài)的情況下所述控制部與所述硬件之間的數(shù)據(jù)交換的跟蹤�。
11.根據(jù)權(quán)利要求10所述的過程控制系統(tǒng), 所述控制部包含: 操作系統(tǒng)���,其在所述虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作�����;以及 應(yīng)用程序���,其在所述操作系統(tǒng)的基礎(chǔ)上進(jìn)行動(dòng)作�����,通過與所述現(xiàn)場(chǎng)儀器的通信���,對(duì)所述工業(yè)過程進(jìn)行控制, 所述過程控制裝置還具有第2收集部�,其對(duì)所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集, 所述存儲(chǔ)部在所述第1數(shù)據(jù)的基礎(chǔ)上���,作為所述健康動(dòng)作信息����,存儲(chǔ)第2數(shù)據(jù)����,該第2數(shù)據(jù)是在為健康狀態(tài)的情況下所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤, 所述判定部對(duì)所述第1數(shù)據(jù)與由所述第1收集部收集的信息進(jìn)行比較���,且對(duì)所述第2數(shù)據(jù)與由所述第2收集部收集的信息進(jìn)行比較���,判定動(dòng)作狀態(tài)是否健康��。
12.根據(jù)權(quán)利要求8所述的過程控制系統(tǒng)���, 所述硬件具有多個(gè)處理裝置, 所述虛擬化部及所述控制部��,通過使實(shí)現(xiàn)所述虛擬化部的程序和實(shí)現(xiàn)所述控制部的程序由彼此不同的處理裝置執(zhí)行而實(shí)現(xiàn)�����。
13.—種過程控制裝置的健康性判定方法�����,其具有: 對(duì)表示過程控制裝置為健康狀態(tài)的動(dòng)作的健康動(dòng)作信息進(jìn)行存儲(chǔ)�����,該過程控制裝置具有控制部����,該控制部通過硬件與現(xiàn)場(chǎng)儀器的通信,對(duì)工業(yè)過程進(jìn)行控制�,該現(xiàn)場(chǎng)儀器在虛擬化部的基礎(chǔ)上進(jìn)行動(dòng)作,進(jìn)行在車間實(shí)現(xiàn)的所述工業(yè)過程的控制所需的測(cè)定及操作中的至少一個(gè)���; 對(duì)所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集��;以及對(duì)所述健康動(dòng)作信息與收集到的所述硬件與所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行比較�����,判定動(dòng)作狀態(tài)是否健康���。
14.根據(jù)權(quán)利要求13所述的過程控制裝置的健康性判定方法, 所述健康動(dòng)作信息包含動(dòng)作模型或第1數(shù)據(jù)��,該動(dòng)作模型是規(guī)定了從所述控制部的規(guī)格導(dǎo)入的動(dòng)作規(guī)格的信息����,該第1數(shù)據(jù)是在為健康狀態(tài)的情況下所述控制部與所述硬件之間的數(shù)據(jù)交換的跟蹤。
15.根據(jù)權(quán)利要求14所述的過程控制裝置的健康性判定方法����, 所述控制部包含: 操作系統(tǒng),其在所述虛擬化部的基礎(chǔ)上動(dòng)作���;以及 應(yīng)用程序�,其在所述操作系統(tǒng)的基礎(chǔ)上動(dòng)作,通過與所述現(xiàn)場(chǎng)儀器的通信��,對(duì)所述工業(yè)過程進(jìn)行控制����, 所述健康性判定方法還包括: 作為所述健康動(dòng)作信息,對(duì)第2數(shù)據(jù)進(jìn)行存儲(chǔ)�,該第2數(shù)據(jù)是為健康狀態(tài)的情況下所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤;以及 對(duì)所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤進(jìn)行收集�����, 所述動(dòng)作狀態(tài)是否健康的判定��,通過對(duì)所述第1數(shù)據(jù)與收集到的所述硬件和所述控制部之間的數(shù)據(jù)交換的跟蹤進(jìn)行比較����,且對(duì)所述第2數(shù)據(jù)與收集到的所述操作系統(tǒng)與所述應(yīng)用程序之間的數(shù)據(jù)交換的跟蹤進(jìn)行比較而進(jìn)行。
【文檔編號(hào)】G05B19/042GK104345662SQ201410344653
【公開日】2015年2月11日 申請(qǐng)日期:2014年7月18日 優(yōu)先權(quán)日:2013年7月24日
【發(fā)明者】大野毅, 土屋雅信 申請(qǐng)人:橫河電機(jī)株式會(huì)社