CN109597633B - 软件管理***、软件更新装置、软件更新方法以及存储介质 - Google Patents

Abstract

本发明提供一种即使针对不与外部连接的控制***也能够安全且容易地更新控制用软件的软件管理***、软件更新装置、软件更新方法以及存储介质。本发明的软件管理***包括：机械设备(2)，与现场网络(26)连接、并具有通过能够更新的控制用软件的处理来进行控制的控制设备(21、22、24、25)；云服务器(3)，保存控制用软件，经由互联网(5)发送控制用软件；更新装置(4)，在与互联网(5)连接的状态下，从云服务器(3)接收控制用软件并保存，在与现场网络(26)连接的状态下，将所保存的控制用软件发送给控制设备(21、22、24、25)以进行更新。

Description

软件管理***、软件更新装置、软件更新方法以及存储介质

技术领域

本发明的实施方式涉及软件管理***、软件更新装置、软件更新方法以及存储介质。

背景技术

专利文献1中公开了如下维护装置：将控制器中所存储的软件更新为经由互联网从供应商侧的管理装置接收的修正软件，所述控制器控制设置于用户工厂的设备。

现有技术文献

专利文献

专利文献1：日本专利文献特开2003-029819号公报。

发明内容

发明要解决的技术问题

但是，近年来，从安全性上考虑，很多情况下禁止将工厂内的网络直接连接到互联网，不能如上所述现有技术那样，从外部的管理装置经由工厂内的维护装置直接将软件下载和更新到各控制器。

本发明是鉴于这样的问题点提出的，其目的在于提供一种即使针对不与外部连接的控制***也能够安全且容易更新控制用软件的软件管理***、软件更新装置、软件更新方法以及软件更新程序。

用于解决技术问题的手段

为了解决上述问题，根据本发明的一个观点，应用一种软件管理***，包括：控制***，与第一网络连接、并具有通过能够更新的控制用软件的处理来进行控制的控制装置或者传感器；软件分发设备，保存所述控制用软件，经由第二网络发送所述控制用软件；以及软件更新装置，在与所述第二网络连接的状态下，从所述软件分发设备接收所述控制用软件并保存，在与所述第一网络连接的状态下，将所保存的所述控制用软件发送给所述控制装置或者所述传感器以进行更新。

另外，根据本发明的其他观点，应用一种软件更新装置，接收基于预定的密钥数据加密的控制用软件以及所对应的所述密钥数据，并使控制装置或者传感器更新为基于所述密钥数据解密的所述控制用软件。

另外，根据本发明的其他观点，应用一种软件更新方法，由软件更新装置执行，所述软件更新方法执行如下步骤：接收所加密的所述控制用软件以及所对应的所述密钥数据；输出所接收的所述密钥数据；输入密钥数据；基于被输入的所述密钥数据，对所接收的所述控制用软件进行解密；以及使所述控制装置或者所述传感器更新为所解密的所述控制用软件。

另外，根据本发明的其他观点，应用一种存储介质，存储有软件更新程序，使运算装置执行如下步骤：接收所加密的所述控制用软件以及所对应的所述密钥数据；输出所接收的所述密钥数据；输入密钥数据；基于被输入的所述密钥数据，对所接收的所述控制用软件进行解密；以及使所述控制装置或者所述传感器更新为所解密的所述控制用软件。

发明效果

根据本发明，即使针对不与外部连接的控制***也能够安全且容易地更新控制用软件。

附图说明

图1是示出实施方式涉及的软件管理***的简要构成的功能框图；

图2是示出云服务器的内部构成的***框图；

图3是示出更新装置的内部构成的***框图；

图4是下载控制用软件的处理工序的时序图；

图5是更新控制用软件的处理工序的时序图；

图6是将与现场网络连接的控制设备的软件更新信息上传到云服务器的处理工序的时序图；

图7是示出登录历史数据库的注册内容及其显示的一个例子的图；

图8是示出变形例涉及的软件管理***的简要构成的功能框图。

具体实施方式

以下，参照附图，对实施方式进行说明。

＜软件管理***的简要结构＞

图1是示出作为本发明的一个实施方式的软件管理***的简要构成的功能框图。

本实施方式的软件管理***是针对生产工厂内的机械设备所具备的各控制设备的控制用软件，将其高版本(新版本号)从云服务器经由互联网分发并进行更新管理的***。

在图1中，软件管理***1具有机械设备2、云服务器3以及更新装置4。此外，在该图1中，示出在上述各构成部之间收发信息信号的信号线的连接，后面详细叙述各自的内部构成。以下，对上述的各构成部进行简要的说明。

在图示的例子中，机械设备2(控制***)是由多个马达驱动控制的生产机械等，具有一台上位控制装置21、多个马达控制装置22、分别与各马达控制装置22连接的马达23和编码器24、以及与连接各马达控制装置22和各编码器24的后面叙述的现场网络进一步串联连接的多个外部传感器25(图中，缩写为“传感器”)。

上位控制装置21为了协调控制该机械设备2所具备的多个马达23，具有如下功能：从各马达控制装置22接收各种状态信息，并基于这些状态信息对各马达控制装置22单独发送控制指令。此外，上位控制装置21经由专用于机械控制的所谓的现场网络26a(第一网络；例如，MECHATROLINK(注册商标))以能够收发信息的方式与各马达控制装置22连接。另外，该上位控制装置21与后面叙述的更新装置4之间由线缆(在图示的例子中为USB线27)连接，由此能够收发信息。

马达控制装置22具有如下功能：从编码器24和外部传感器25接收各种状态信息，并根据这些状态信息和从上位控制装置21接收的控制指令来供应驱动功率，该驱动功率用于控制马达23。另外，马达控制装置22还将所接收的状态信息发送给上位控制装置21。此外，马达控制装置22经由专用于状态信息的收发的现场网络26b(第一网络；在图示的例子中为Σ-LINK(注册商标))以能够收发信息的方式与编码器24以及外部传感器25连接。此外，上述的上位控制装置21和马达控制装置22相当于控制装置，编码器24和外部传感器25相当于传感器。另外，该马达控制装置22与后面叙述的更新装置4之间由线缆(例如，USB线)连接，由此能够收发信息(没有特别图示)。

云服务器3(软件分发设备)是设置于上述机械设备2所具备的上位控制装置21、马达控制装置23、编码器24、以及外部传感器25等各种控制设备的制造商侧的服务器，经由互联网5等广域网(第二网络)以能够收发信息的方式与生产工厂6连接。该云服务器3中保存有控制用软件(图中，缩写为“软件”)的高改良版本，并具有管理它们的分发(以下，称为下载)以及更新信息等的功能，上述控制用软件被保存在上述各控制设备中并进行其控制。此外，后面详细叙述该云服务器3的内部构成(参照后面叙述的图2)。

在图示的例子中，更新装置4(软件更新装置)由便于搬运移动的笔记本型通用个人计算机(以下，称为笔记本电脑)构成，并具有通过在其OS(Operating System)上工作的工具应用(软件更新程序)执行与控制用软件以及设备信息相关的各种处理的功能。该更新装置4可以经由上述USB线27与上位控制装置21连接，经由USB线与马达控制装置22连接(省略图示)，经由互联网5与云服务器3连接。此外，后面详细叙述在该更新装置4中运行的工具应用的处理结构(参照后面叙述的图3)。

＜本实施方式的特征＞

如上所述，在工厂自动化的机械设备2中，很多机械设备2被构成为：通过所谓的现场网络26、26a、26b连接的各种控制装置(包括上位控制装置21、马达控制装置22等)以及各种传感器协调动作的控制***。这些控制装置、传感器分别通过保存的控制用软件的处理来被控制的，并且它们的控制用软件能够经由上述现场网络26接收和更新改良过的高版本。而且，近年来，在各控制装置、传感器的制造商侧准备的云服务器3中保存有高版本的控制用软件，用户能够经由互联网5下载。

另一方面，从防止机密信息的泄露、网络攻击对策等的安全性上考虑，禁止将上述现场网络26直接与互联网5连接、且始终保持截断状态的情况较多，在该情况下，不能直接进行从上述云服务器3向各控制装置、传感器下载和更新控制用软件。

对此，在本实施方式中，具有更新装置4，该更新装置4在与互联网5连接的状态下从云服务器3接收控制用软件并对此进行保存，在与现场网络26连接的状态下，将所保存的控制用软件发送到控制装置或者传感器，从而使控制用软件更新。在将该更新装置4例如由如上所述笔记本电脑等那样的能够搬运移动的1台信息终端构成的情况下，在与互联网5连接的状态下，从上述云服务器3下载必要的控制用软件的高版本。在此之后，断开更新装置4与互联网5之间的连接，再经由其他USB线27和上位控制装置21、或者USB线和马达控制装置22(省略图示)交替连接到现场网络26的状态下，将控制用软件发送到各控制装置、传感器，从而使控制用软件更新。由此，通过将更新装置4在互联网5与现场网络26之间交替连接，能够始终保持两个网络之间的物理截断状态的同时，由所下载的控制用软件来进行更新。关于以上软件管理中所需的构成和顺序，以下顺次进行说明。

＜云服务器的详细构成＞

图2示出表示上述云服务器3的内部构成的***框图。在该图2中，云服务器3具有与互联网5连接的处理部31、保存各种控制用软件的软件保存部32、以及存储登录历史的登录历史数据库33。

处理部31具有执行如下处理的功能：与来自登录到该云服务器3的用户的操作对应地，对被保存在上述软件保存部32中的控制用软件进行加密并下载的处理、以及将该登录中收发的信息注册到上述登录历史数据库33的处理。该处理部31具有登录认证部34、登录历史管理部35、软件管理部36、许可证密钥发行部37、加密部38以及服务器信息收发部39。

登录认证部34发挥如下功能：针对经由互联网5访问过来的外部终端(在该例子中为更新装置4)，通过对从该外部终端接收的账户信息(例如，账户名以及密码等)进行对照判断，来认证登录的许可。

登录历史管理部35发挥如下功能：与在上述登录认证部34中登录认证的登录账户对应地，将该登录的日期时间、在该期间进行的操作内容、收发的信息等历史注册到上述登录历史数据库33，并对此进行管理。

软件管理部36发挥如下功能：针对上述软件保存部32的控制用软件的保存和获取进行管理。具体而言，执行获取控制用软件的处理，该控制用软件与来自被登录认证的外部终端的下载请求对应。另外，该软件管理部36还执行将从该云服务器3的运用者(制造商侧的管理者；没有特别图示)上传的控制用软件保存到软件保存部32的处理。这时，所保存的控制用软件未被加密，其版本号可以只保存最新版本的，或者还可以独立地保存多个不同版本号的。

许可证密钥发行部37发挥如下功能：每当从外部终端接收下载请求时，独立地发行许可证密钥(密钥数据)。该许可证密钥例如在预定字符数(在后面叙述的图7所示的例子中为8个字符)中随机选择的包含大字符、小字符的字母数字的文本数据等来自动生成。

加密部38发挥如下功能：针对上述软件管理部36与来自外部终端的下载请求对应地获取的控制用软件，将上述许可证密钥发行部37所发行的许可证密钥加密为加密密钥(密钥数据)。在该加密处理中，关于许可证密钥，可以简单地利用为解密时所要求的密码，也可以进行反映了许可证密钥的数据内容的加密处理。

服务器信息收发部39发挥如下功能：根据互联网通信协议，将上述账户信息、登录中的操作信息、以及后面叙述的软件更新(设备信息)等经由互联网5从外部终端接收，且还发挥如下功能将上述被加密的控制用软件以及许可证密钥等经由互联网5发送给登录认证中的外部终端。

此外，关于利用了以上各功能部的处理部31的具体处理工序，后面详细叙述(参照后面叙述的图4、图6)。

＜更新装置的详细构成＞

图3示出表示上述更新装置4的内部构成的***框图。在该图3所示的例子中，如上所述，更新装置4由通用的笔记本电脑构成，通过在其OS上工作的工具应用41执行与控制用软件以及设备信息相关的各种处理。在该更新装置4上工作的工具应用41具有互联网信息收发部42、登录申请部43、许可证密钥显示部44、许可证密钥输入部45、解密部46、以及USB信息收发部47的各软件模块。

互联网信息收发部42(接收部)发挥如下功能：根据互联网通信协议，将账户信息、登录中的操作信息、以及后面叙述的软件更新信息等经由互联网5发送给云服务器3，且还发挥如下功能：将上述被加密的控制用软件、以及许可证密钥等经由互联网5从登录中的云服务器3接收。此外，在本实施方式的例子中，该互联网信息收发部42在将包含许可证密钥的后面叙述的软件更新信息发送给云服务器3之后，按照各许可证密钥，将该软件更新信息从各种存储装置(存储器，HDD(Hard Disk Drive，硬盘驱动器)、外部存储装置等；没有特别图示)中删除。

登录申请部43发挥如下功能：向经由互联网5访问的云服务器3，发送账户信息并申请登录的许可。

许可证密钥显示部44(输出部)发挥如下功能：将与被加密的控制用软件一同从云服务器3下载的许可证密钥显示在显示器等显示装置(没有特别图示)上。此外，在本实施方式的例子中，该许可证密钥显示部44只在下载了该许可证密钥的登录期间显示许可证密钥，在结束该登录之后从各种存储装置中删除该许可证密钥。

另外，在本实施方式的例子中，上述互联网信息收发部42、登录申请部43、以及许可证密钥显示部44只在该更新装置4不经由USB线27与其他控制设备连接、且与互联网5连接的期间发挥功能。

许可证密钥输入部45(输入部)发挥如下功能：接受经由键盘等输入装置(没有特别图示)的、来自用户的许可证密钥的输入。

解密部46发挥如下功能：根据上述许可证密钥输入单元45接受输入的许可证密钥，对上述互联网信息收发部42接收的加密状态的控制软件进行解密。在该解密处理中，与和云服务器3的加密单元38相同的加密算法对应地进行使用了许可证密钥的解密处理。

USB信息收发部47(更新部)发挥如下功能：根据USB通信协议，将上述解密状态的控制用软件和其发送目的地信息(所更新的设备ID等)经由USB线27发送给上位控制装置21，并且还发挥如下功能：经由USB线27从上位控制装置21接收正与现场网络26连接的各控制设备的设备信息。另外，虽然没有特别图示，但USB信息收发部47(更新部)可以发挥如下功能：根据USB通信协议，将上述解密状态的控制用软件和其发送目的地信息(所更新的设备ID等)经由USB线发送给马达控制装置22，且还可以发挥如下功能：经由USB线从马达控制装置22接收正与现场网络26连接的各控制设备的设备信息。此外，在本实施方式的例子中，该USB信息收发部47在接收了解密状态的控制用软件之后，从各种存储装置中删除该控制用软件。

另外，在本实施方式的例子中，上述许可证密钥输入部45、解密部46、以及USB信息收发部47只在该更新装置4不与互联网5连接、且经由USB线27与上位控制装置21(或者，马达控制装置22)连接的期间发挥功能。

此外，关于利用了以上各功能部的工具应用41的具体处理工序，后面详细叙述(参照后面叙述的图4、图5、图6)。

另外，关于上位控制装置21，虽然没有特别图示，但能够将控制用软件发送给与现场网络26(例如，MECHATROLINK(注册商标)、以及Σ-LINK(注册商标))连接的所有控制设备(包含该上位控制装置21的马达控制装置22、编码器24、以及外部传感器25)中的指定的设备并执行更新序列(sequence)。另外，上位控制装置21能够向与现场网络26连接的所有控制设备中的指定的设备请求各自的设备信息并接收。作为该设备信息，有该控制设备的型号、序列号等。

另外，关于马达控制装置22，虽然没有特别图示，但能够将控制用软件发送给与现场网络26b(在上述图1所示的例子中为Σ-LINK(注册商标))连接的所有控制设备(包含该马达控制装置22的编码器24、以及外部传感器25)中的指定的设备并执行更新序列。另外，马达控制装置22能够向与现场网络26b连接的所有控制设备中的指定的设备请求各自的设备信息，并接收。作为该设备信息，有该控制设备的型号、序列号等。

＜控制用软件的下载序列＞

图4示出本实施方式的软件管理***1中下载控制用软件的处理工序的时序图。在更新装置4与互联网5连接、且不与上位控制装置21(或者马达控制装置22)连接的状态下，该图4所示的下载序列开始被执行。此外，在图中，云服务器3以及更新装置4所执行的各处理是通过由各自具备的CPU(运算装置)在软件上执行上述处理部31或者工具应用41的各功能部来进行控制的(在以后的图5、图6中也是同样的)。

首先，在步骤S1中，更新装置4确认该时间点上是否处于与互联网5连接、且不经由USB线27与上位控制装置21(或者，马达控制装置22)连接的状态。此外，在该时间点上该更新装置4不与互联网5连接、或者与上位控制装置21(或者，马达控制装置22)连接的状态下，向用户报错，并结束工具应用41的处理(没有特别图示)。

接着，在步骤S2中，更新装置4通过上述互联网信息收发部42以及上述登录申请部43，经由互联网5访问云服务器3，发送账户信息并申请登录。

接着，在步骤S3中，云服务器3通过上述服务器信息收发部39以及上述登录认证部34，在对照所接收的账户信息而许可登录的情况下，向更新装置4发送登录认证。此外，在此时不能许可登录的情况下，向更新装置4发送登录错误(没有特别图示)。

接着，在步骤S4中，更新装置4通过上述互联网信息收发部42，通过用户的操作，将所期望的下载请求发送给云服务器3。

接着，在步骤S5中，云服务器3通过上述软件管理部36，从软件保存部32中获取被请求的控制用软件。

接着，在步骤S6中，云服务器3通过上述许可证密钥发行部37发行一个许可证密钥。

接着，在步骤S7中，云服务器3通过上述加密部38，基于上述步骤S6中发行的许可证密钥，对上述步骤S5中获取的控制用软件进行加密。

接着，在步骤S8中，云服务器3通过上述服务器信息收发部39，将上述步骤S7中加密的控制用软件和上述步骤S6中发行的许可证密钥发送(下载)到更新装置4。

接着，在步骤S9中，更新装置4通过上述互联网信息收发部42，将接收到的加密状态的控制用软件保存到存储装置。

接着，在步骤S10中，更新装置4通过上述许可证密钥显示部44，将所接收的许可证密钥显示在显示器等上。此时更新装置4的用户将被显示的许可证密钥手写在其他备忘录纸张7等上(参照上述图1、图3)。

接着，在步骤S11中，更新装置4通过上述互联网信息收发部42，向云服务器3发送登录结束。

接着，在步骤S12中，云服务器3在结束登录之后，通过上述登录历史管理部35，将迄今为止与登录相关的账户信息、操作内容、收发的信息等历史注册到登录历史数据库33。

接着，在步骤S13中，更新装置4通过上述许可证密钥显示部44，从存储装置中删除许可证密钥。由此，结束下载序列。

＜控制用软件的更新序列＞

接着，图5示出在本实施方式的软件管理***1中更新控制用软件的处理工序的时序图。在更新装置4不与互联网5连接、且经由USB线27与上位控制装置21(或者，马达控制装置22)连接的状态下，该图5所示的更新序列开始被执行。此外，在本实施方式的例子中，假设更新装置4与上位控制装置21连接的情况而对序列进行说明(以下，图6中也同样)。

首先，在步骤S101中，更新装置4确认该时间点上是否处于经由USB线27与上位控制装置21连接、且不与互联网5连接的状态。此外，在该时间点上该更新装置4不经由USB线27与上位控制装置21连接、或者与互联网5连接的情况下，向用户报错并结束工具应用41的处理(没有特别图示)。

接着，在步骤S102中，更新装置4通过上述许可证密钥输入部45接受经由了键盘等的来自用户的许可证密钥的输入。这时，更新装置4的用户参照在上述下载序列的步骤S10中手写的备忘录纸张7等而输入许可证密钥(参照上述图1、图3)。

接着，在步骤S103中，更新装置4通过上述解密部46，基于上述步骤S102中输入的许可证密钥，对上述下载序列的步骤S9中保存的加密状态的控制用软件进行解密。这里，在许可证密钥不是与加密软件对应的密钥(即，不能解密)的情况下，在进行了预定的报错处理之后，在上述步骤S102中请求许可证密钥的重新输入。

接着，在步骤S104中，更新装置4通过上述USB信息收发部47，将上述步骤S103中解密的控制用软件经由USB线27发送给上位控制装置21。同时，将与现场网络26连接的任意控制设备指定为该控制用软件的更新目的地。

接着，在步骤S105中，上位控制装置21针对被指定为更新目的地的控制设备，经由现场网络26发送上述步骤S104中接收的控制用软件，并执行更新序列(控制设备中的更新处理)。

接着，在步骤S106中，更新装置4通过上述USB信息收发部47，请求上位控制装置21以使其发送各控制设备的设备信息。

接着，在步骤S107中，上位控制装置21从该时间点上与现场网络26连接的各控制设备中获取各自的设备信息并发送到更新装置4。

接着，在步骤S108中，更新装置4将整体信息作为软件更新信息而保存到存储装置中，该整体信息是合并了在上述步骤S107中接收的设备信息、由控制用软件的更新历史(包括版本号的更新经过以及它们的更新日期时间)构成的软件更新结果、以及许可证密钥的信息。此外，上述软件更新信息是与各控制设备对应地生成的信息，其中所保存的许可证密钥是与各控制设备所保存着的控制用软件对应的许可证密钥。

接着，在步骤S109中，更新装置4通过上述USB信息收发部47，从存储装置中删除解密状态的控制用软件(许可证密钥保持以被包含在软件更新信息中的方式保存的状态)。由此，结束更新序列。

此外，在上述下载序列中保存着多个加密状态的控制用软件的情况下，上述步骤S109中的删除是只要删除在其之前刚刚更新的解密状态的控制用软件即可，关于其他尚未更新的解密状态的控制用软件，保持保存状态。或者，可以在所有的解密状态的控制用软件的更新完成之后一次性全部删除，或者，还可以在结束该工具应用时一次性删除全部解密状态的控制用软件。

＜软件更新信息的上传序列＞

接着，图6示出在本实施方式的软件管理***1中将与现场网络26连接的控制设备的软件更新信息上传到云服务器3的处理工序的时序图。在通过上述图5所示的更新序列的执行保存了软件更新信息的状态下、并且更新装置4不与互联网5连接且经由USB线27与上位控制装置21连接的状态下，该图6所示的上传序列开始被执行。

首先，在步骤S201中，更新装置4确认该时间点上是否处于与互联网5连接、且不经由USB线27与上位控制装置21连接的状态。此外，在该时间点上该更新装置4不与互联网5连接、或者与上位控制装置21连接的情况下，向用户报错并结束工具应用41的处理(没有特别图示)。

接着，在步骤S202中，更新装置4通过上述互联网信息收发部42以及上述登录申请部43，经由互联网5访问云服务器3，发送账户信息并申请登录。

接着，在步骤S203中，云服务器3通过上述服务器信息收发部39以及上述登录认证部34，在对照所接收的账户信息并许可登录的情况下，向更新装置4发送登录认证。此外，在此时不能许可登录的情况下，向更新装置4发送登录错误(没有特别图示)。

接着，在步骤S204中，更新装置4通过上述互联网信息收发部42，将在上述更新序列的步骤S108中保存的软件更新信息发送(上传)到云服务器3。

接着，在步骤S205中，云服务器3通过上述服务器信息收发部39以及上述登录历史管理部35，将接收的软件更新信息与该登录的账户信息对应地注册到登录历史数据库33(参照后面叙述的图7)。

接着，在步骤S206中，更新装置4通过上述互联网信息收发部42，从存储装置中删除软件更新信息。

接着，在步骤S207中，更新装置4通过上述互联网信息收发部42，向云服务器3发送登录的结束。由此，结束上传序列。

＜登录历史数据库的注册内容例＞

图7中示意性地示出上述下载序列的步骤S12、以及上述上传序列的步骤S205中注册的登录历史数据库33的注册内容和其显示的一个例子。在该图7所示的例子的注册内容中，其整体以与一个生产工厂6(参照上述图1)对应的方式制作，只有被识别为该生产工厂6的相关人员的登录用户才能访问该注册内容，并进行浏览、更新。该例子的注册内容的显示中，与表示迄今为止进行的登录操作的按时间顺序的“No.”分别对应地注册有“登录日期时间”、“登录用户”、“设备型号”、“软件版本(版本号)”、“许可证密钥”、“下载日”、以及“更新日”的各项目信息。

由此，在登录历史数据库33中，与向云服务器3的登录相关的信息一起，还注册与用户所使用的机械设备2、其控制用软件相关的信息等，由此能够将该注册内容信息利用为与机械设备2的历史相关的所谓的可追溯性信息。虽然没有特别图示，但更新装置4的用户只要处于登录到云服务器3的状态，就能够在任意时刻、在设定的范围内(生产工厂6整体，或者以机械设备为单位等)浏览上述可追溯性信息，并能够进行各控制设备的更新状态的确认、或者许可证密钥的重新获取等。

此外，在图示的登录历史数据库33的例子中，多个不同的用户可以通过分别独立地赋予的登录账户来进行登录，显示以与其账户对应的登录操作为基准的注册内容，但不限于此。除此之外，根据登录历史管理部35的设定，按用户进行注册、显示，或者可以通过能够列出全部控制设备的型号的表为基准来进行注册、显示。

＜基于本实施方式的效果＞

如以上说明的那样，本实施方式的软件管理***1具有更新装置4，该更新装置4在与互联网5连接的状态下，从云服务器3中接收控制用软件并对此进行保存，在与现场网络26连接的状态下将保存的控制用软件发送到控制设备并进行更新。在本实施方式中，该更新装置4由能够搬运移动的1台笔记本电脑构成，在与互联网5连接的状态下从上述云服务器3下载必要的控制用软件的高版本。此后，在将更新装置4经由其他USB线27和上位控制装置21、或者USB线和马达控制装置22(省略图示)与现场网络26间接连接的状态下，将控制用软件发送到控制设备并进行更新。如此，通过将更新装置4交替连接到现场网络26和互联网5中的每一个，能够始终保持将两个网络之间的物理截断状态的同时，通过下载的控制用软件来进行更新。其结果为，对于作为没有外部连接的控制***的机械设备2，也能够安全且容易地更新控制用软件。

此外，在上述图1所示的本实施方式的例子中，在将更新装置4经由USB线27与上位控制装置21直接连接的状态下，进行了控制用软件的更新序列，但不限于此。除此之外，也可以在将更新装置4经由其他USB线与马达控制装置22直接连接的状态下，执行上述更新序列。在该情况下，不进行针对上位控制装置21的更新序列，仅仅从马达控制装置22针对下位的控制设备(编码器24、外部传感器25)进行更新序列。

另外，在本实施方式中，尤其更新装置4只在与现场网络26或者互联网5中的任何一者连接的状态下执行工具应用41中的处理。由此，在更新装置4同时与现场网络26和互联网5两者连接的状态下不执行处理而仅仅在单独连接的情况下发挥功能，因此能够可靠地保持两个网络之间的截断状态，并能够提高机械设备2在现场网络26中的安全性功能。此外，在该情况下的更新装置4在硬件上只要是可以进行USB连接以及互联网连接两者、且容易搬运移动的便携式的信息终端即可，如本实施方式那样的通用的笔记本电脑以外，还可以由例如工程工具等构成。

另外，根据传感器，有时处于若不拆卸机械设备2则不能访问的配置，例如，即使更新装置4是能够搬运移动的信息终端，与这样的配置的传感器直接连接的作业也容易变得繁琐。另一方面，上位控制装置21通常经由现场网络26能够与其他控制设备进行信息的收发，并且在很多情况下被设置为容易访问的配置。从而，在本实施方式中，尤其是，更新装置4例如经由通过(不是网络)USB线27直接连接的上位控制装置21与现场网络26间接连接。由此，更新装置4能够对上位控制装置21直接更新控制用软件，并且对处于机械设备2中的任意配置的马达控制装置22、编码器24、以及外部传感器25的控制设备，都能够经由该上位控制装置21以及现场网络26间接地发送控制用软件并进行更新，格外容易进行更新作业。

另外，由于很多情况下控制用软件中包含有成为隐藏对象的技术信息，因此为了防止泄露，需要仅仅使下载的用户本身进行控制用软件的更新作业。从而，在本实施方式中，尤其是，云服务器3将基于预定的许可证密钥被加密的控制用软件和其许可证密钥经由互联网5发送给更新装置4。通过互联网信息收发部42接收到这些的更新装置4将所接收的许可证密钥显示在许可证密钥显示部44上。

由此，进行了下载操作的用户将通过显示确认的许可证密钥写到其他备忘录纸张7等上，由此只有该用户能够对下载的控制用软件进行解密。即，即使在下载后加密状态的控制用软件例如被第三者不正当地复制的情况下，由于进行下载的用户以外的人不能进行解密而使用、解析，因此能够保持技术信息的保密性、防止不正当的更新。此外，许可证密钥的输出不限于显示器等中的显示输出，可以通过打印机中的印刷输出、合成声音输出部中的发音输出(没有特别图示)。

另外，在本实施方式中，尤其更新装置4的许可证密钥显示部44只在接收到控制用软件和许可证密钥时的处于登录状态的期间显示该许可证密钥，在结束该登录之后从更新装置4的存储装置中删除该许可证密钥。由此，能够以如下的方式确保保密性：在第三者不正当地访问了结束登录后的更新装置4的情况下，无法读取许可证密钥，只有登录操作过的用户才能够通过手写备忘录纸张7等来保持许可证密钥。此外，还可以通过更新装置4的OS设定等来以只有登录过的用户才能浏览的隐藏文件的形式保存许可证密钥。

另外，在本实施方式中，尤其更新装置4具有：输入许可证密钥的许可证密钥输入部45、根据被输入的许可证密钥对所接收的控制用软件进行解密的解密部46、以及USB信息收发部47，USB信息收发部47将解密过的控制用软件经由现场网络26发送给控制设备并使其进行更新。由此，即使不知道加密算法的用户也能够通过输入所对应的许可证密钥来对控制用软件进行自动解密，并且能够自动对各控制设备进行发送和更新。

另外，在本实施方式中，尤其更新装置4的USB信息收发部47在执行更新之后从存储装置中删除解密状态的控制用软件。由此，即使在第三者不正当地访问执行更新后的更新装置4的情况下，也无法读取解密状态的控制用软件，能够确保控制用软件中所包含的技术信息的机密性、防止不正当的更新。此外，还可以通过更新装置4的OS设定等来以只有登录过的用户才能浏览、操作的隐藏文件的形式保存解密状态的控制用软件。

另外，在本实施方式中，尤其云服务器3在每当接收到控制用软件的下载请求时生成新的许可证密钥，根据该许可证密钥对控制用软件进行加密并发送。由此，与各种控制用软件的每次下载操作对应地发行许可证密钥，因此例如即使是相同控制设备的控制用软件，也能够确保解密、更新中的按照用户的管理的独立性。另外，这样的许可证密钥也可以被用作识别用ID，该识别用ID用于按照其登录账户、按照用户、按照下载操作来确定被下载的控制用软件的文件。此外，在本实施方式中，在每次下载操作中发行了许可证密钥，但不限于此。例如，当一次请求多个控制用软件的下载的情况下，可以按照各控制用软件的每个文件来发行许可证密钥，单独地加密。

另外，在本实施方式中，尤其云服务器3只对登录的更新装置4发送控制用软件。由此，能够只向通过登录认证的用户的更新装置4发送控制用软件，因此能够确保技术信息的机密性并防止不正当的更新。

另外，在本实施方式中，尤其云服务器3的登录历史管理部35将与所发送的控制用软件相关的许可证密钥、设备型号、版本号等软件信息，与所登录的用户对应地注册到登录历史数据库33。由此，能够按照登录账户、按照用户、按照下载操作来管理包含被下载的控制用软件的许可证密钥的软件信息。

另外，在本实施方式中，尤其更新装置4获取与控制设备相关的设备型号、更新历史等设备信息并发送给云服务器3，云服务器3的登录历史管理部35将所接收的设备信息注册到登录历史数据库33。由此，能够将与机械设备2侧的各控制设备相关的设备信息注册到登录历史数据库33，能够作为单一的可追溯性信息的数据库来进行管理。

另外，在本实施方式中，尤其云服务器3向登录的用户的更新装置4发送与其登录账户对应的登录历史。由此，能够特定其他哪个用户进行了下载、更新了哪个控制用软件，能够识别不正当的操作等。

＜变形例＞

此外，以上说明的实施方式在不超出其要旨以及技术思想的范围内可以进行各种变形。

＜变形例1：将两个更新装置单独与各网络连接的情况＞

在上述实施方式中，成为在两个网络之间由一个更新装置4交替连接的构成，但不限于此。除此之外，如图8所示，可以设置为将两个独立的通用PC分别作为更新装置4A、4B而与各网络单独连接。在该情况下，与互联网5连接的第一更新装置4A(第一软件更新装置)从云服务器3执行加密状态的控制用软件和许可证密钥的下载序列，控制用软件例如记录到USB存储器、USB连接HDD、CD-R、DVD-R等可移动介质8(记录介质)，显示输出许可证密钥，从而让用户手写到备忘录纸张7等。并且，使得经由上位控制装置21等与现场网络26连接的第二更新装置4B(第二软件更新装置)经由上述可移动介质8读取加密状态的控制用软件，使用户参照上述备忘录纸张7手动输入许可证密钥。

如以上说明的那样，在本变形例的软件管理***1A中，更新装置具有第一更新装置4A和第二更新装置4B，第一更新装置4A始终与互联网5连接并将从云服务器3接收的控制用软件记录到预定的可移动介质8，第二更新装置4B始终与现场网络26连接并将从上述预定的记录介质读取的控制用软件发送给控制设备并使其进行更新。由此，能够分别专门与两个网络始终连接的分离型的第一更新装置4A以及第二更新装置4B之间始终保持物理截断状态，并能够通过经由存储介质的简单的传递来进行所下载的控制用软件的收发。另外，在该情况下，第一更新装置4A和第二更新装置4B中的任何一者都不需要搬运移动，因此能够由固定型的台式电脑等构成(没有特别图示)。

＜变形例2：其他＞

在上述实施方式以及变形例中，以与通过多个马达23驱动的机械设备2对应地具备一个上位控制装置21并进行驱动控制的构成为例子进行了说明，但不限于此。除此之外，机械设备2只具备一个马达23的情况、一个上位控制装置21驱动控制多个机械设备2的构成等中，也能够应用上述实施方式以及变形例。

另外，云服务器3的处理部31中的许可证密钥发行部37还可以对于与进行用户登录时的登录账户对应地发行许可证密钥来说也是有效的。在该情况下，在控制设备中更新解密状态的控制用软件时也将所对应的许可证密钥一并保存到该控制设备中。并且，在获取设备信息时，也一并获取该保存的许可证密钥。由此，在将设备信息(软件更新信息)上传到云服务器3时，该云服务器3通过将设备信息中所包含的许可证密钥与登录账户等对照，能够确定实际上更新了控制设备的控制用软件的用户，能够判断控制用软件的不正当获取、不正当更新。

此外，在以上的实施方式以及变形例中，以将互联网等广域网直接连接到工厂等预定设施内的现场网络上的情况本身存在安全性问题为前提条件进行了说明。与此相对，与该前提条件相反地，在能够排除广域网中的安全性问题、并且能够明确连接目的地的云服务器也在安全性上没有问题的情况下，可以经由广域网始终将现场网络和云服务器直接连接来收发信息。但是，为了全部排除这样的安全性上的问题而明确确保安全性，需要解决特定的技术问题，在这些未被解决而安全性上残留悬念的情况下，上述实施方式以及变形例的应用是有效的。

此外，在以上的说明中，在存在“垂直”、“平行”、“平面”等记载的情况下，该记载并不是严格的含义。即，这些“垂直”、“平行”、“平面”是指，允许设计上、制造上的公差、误差，是指“实质上垂直”、“实质上平行”、“实质上平面”。

另外，在以上的说明中，在存在外观上的尺寸、大小、形状、位置等为“同时”、“同一”、“相同”、“相等”、“不同”等记载的情况下，该记载并不是严格的含义。即，这些“同一”、“相等”、“不同”是指，允许设计上、制造上的公差、误差，是指“实质上同时”、“实质上同一”、“实质上相同”、“实质上相等”、“实质上不同”。

另外，除了以上已经叙述的内容以外，可以适当组合基于上述实施方式、各变形例的方法而利用。除此之外，虽然没有一一例示，但上述实施方式、各变形例在不超出其要旨的范围内能够实施各种变更。

符号说明

1、1A：软件管理***；

2：机械设备(控制***)；

3：云服务器(软件分发设备)；

4：更新装置(软件更新装置)；

4A：第一更新装置(第一软件更新装置)；

4B：第二更新装置(第二软件更新装置)；

5：互联网(第二网络)；

6：生产工厂；

7：备忘录纸张；

8：可移动介质(记录介质)；

21：上位控制装置(控制装置)；

22：马达控制装置(控制装置)；

23：马达；

24：编码器(传感器)；

25：外部传感器(传感器)；

26：现场网络(第一网络)；

27：USB线；

31：处理部；

32：软件保存部；

33：登录历史数据库；

34：登录认证部；

35：登录历史管理部；

36：软件管理部；

37：许可证密钥发行部；

38：加密部；

39：服务器信息收发部；

41：工具应用；

42：互联网信息收发部(接收部)；

43：登录申请部；

44：许可证密钥显示部(输出部)；

45：许可证密钥输入部(输入部)；

46：解密部；

47：USB信息收发部(更新部)。

Claims (15)

1.一种软件管理***，其特征在于，包括：

控制***，具有控制装置或传感器，所述控制装置或所述传感器与第一网络连接，并保存有能够更新的控制用软件；

软件分发设备，保存所述控制用软件，经由第二网络发送所述控制用软件；以及

软件更新装置，始终保持所述第一网络和所述第二网络之间的物理截断状态，在与所述第二网络连接的状态下，从所述软件分发设备接收所述控制用软件，在与所述第一网络连接的状态下，将所接收的所述控制用软件发送给所述控制装置或所述传感器，以更新保存在所述控制装置或所述传感器中的控制用软件，

所述软件分发设备发送基于预定的密钥数据加密的所述控制用软件以及对应的所述密钥数据，

所述软件更新装置包括：

接收部，从所述软件分发设备经由所述第二网络接收被加密的所述控制用软件以及对应的所述密钥数据；以及

输出部，输出所接收的所述密钥数据，

所述输出部只在接收到所述控制用软件和所述密钥数据时的处于登录的期间输出该密钥数据，在该登录结束之后删除该密钥数据。

2.根据权利要求1所述的软件管理***，其特征在于，

所述软件更新装置仅在只与所述第一网络和所述第二网络中的任一个连接的状态下，执行处理。

3.根据权利要求1所述的软件管理***，其特征在于，所述软件更新装置包括：

第一软件更新装置，与所述第二网络连接，将从所述软件分发设备接收的所述控制用软件记录到预定的记录介质；以及

第二软件更新装置，与所述第一网络连接，将从所述预定的记录介质中读取的所述控制用软件经由所述第一网络发送给所述控制装置或所述传感器，以更新保存在所述控制装置或所述传感器中的控制用软件。

4.根据权利要求1至3中任一项所述的软件管理***，其特征在于，

所述软件更新装置或第二软件更新装置经由所述控制装置间接地与所述第一网络连接。

5.根据权利要求1所述的软件管理***，其特征在于，所述软件更新装置包括：

输入部，输入密钥数据；

解密部，基于所输入的所述密钥数据对所接收的所述控制用软件进行解密；以及

更新部，将解密的所述控制用软件经由所述第一网络发送给所述控制装置或所述传感器，以更新保存在所述控制装置或所述传感器中的控制用软件。

6.根据权利要求5所述的软件管理***，其特征在于，

所述更新部在执行更新之后删除解密状态的所述控制用软件。

7.根据权利要求1所述的软件管理***，其特征在于，

所述软件分发设备在每当接受到所述控制用软件的发送请求时生成新的所述密钥数据，并基于该密钥数据加密所述控制用软件后进行发送。

8.根据权利要求1所述的软件管理***，其特征在于，

所述软件分发设备只对所登录的所述软件更新装置发送所述控制用软件。

9.根据权利要求8所述的软件管理***，其特征在于，

所述软件分发设备与所登录的用户的登录账户对应地生成密钥数据。

10.根据权利要求8或9所述的软件管理***，其特征在于，

所述软件分发设备将与所发送的所述控制用软件相关的软件信息与所登录的用户对应地注册到登录历史。

11.根据权利要求10所述的软件管理***，其特征在于，

所述软件更新装置获取与所述控制装置或所述传感器相关的设备信息，并将该设备信息发送给所述软件分发设备，

所述软件分发设备将所接收的所述设备信息注册到所述登录历史。

12.根据权利要求10所述的软件管理***，其特征在于，

所述软件分发设备向所登录的用户发送与该用户的登录账户对应的所述登录历史。

13.一种软件更新装置，其特征在于，

接收部，从第二网络接收基于预定的密钥数据加密的控制用软件以及对应的所述密钥数据；

更新部，将保存在控制装置或传感器中的控制用软件，经由与所述第二网络始终保持物理截断状态的第一网络，更新为基于所述密钥数据解密的所述控制用软件；以及

输出部，输出所接收的所述密钥数据，

所述输出部只在接收到所述控制用软件和所述密钥数据时的处于登录的期间输出该密钥数据，在该登录结束之后删除该密钥数据。

14.一种软件更新方法，其特征在于，执行以下步骤：

经由第二网络接收已加密的控制用软件以及对应的密钥数据；

输出所接收的所述密钥数据；

输入密钥数据；

基于输入的所述密钥数据，对所接收的所述控制用软件进行解密；以及

将保存在控制装置或传感器中的控制用软件，经由与所述第二网络始终保持物理截断状态的第一网络，更新为已解密的所述控制用软件，

只在接收到所述控制用软件和所述密钥数据时的处于登录的期间输出该密钥数据，在该登录结束之后删除该密钥数据。

15.一种存储介质，存储有软件更新程序，其特征在于，所述软件更新程序使运算装置执行以下步骤：

经由第二网络接收已加密的控制用软件以及对应的密钥数据；

输出所接收的所述密钥数据；

输入密钥数据；

基于输入的所述密钥数据，对接收的所述控制用软件进行解密；以及

将保存在控制装置或传感器中的控制用软件，经由与所述第二网络始终保持物理截断状态的第一网络，更新为已解密的所述控制用软件，

只在接收到所述控制用软件和所述密钥数据时的处于登录的期间输出该密钥数据，在该登录结束之后删除该密钥数据。

Images