JP2018067178A - プログラム更新方法 - Google Patents

プログラム更新方法 Download PDF

Info

Publication number
JP2018067178A
JP2018067178A JP2016205933A JP2016205933A JP2018067178A JP 2018067178 A JP2018067178 A JP 2018067178A JP 2016205933 A JP2016205933 A JP 2016205933A JP 2016205933 A JP2016205933 A JP 2016205933A JP 2018067178 A JP2018067178 A JP 2018067178A
Authority
JP
Japan
Prior art keywords
management device
data
management
control
controlled
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016205933A
Other languages
English (en)
Other versions
JP6762841B2 (ja
Inventor
俊也 丸地
Shunya Maruchi
俊也 丸地
中谷 博司
Hiroshi Nakatani
博司 中谷
秀享 三宅
Hideyuki Miyake
秀享 三宅
直哉 大西
Naoya Onishi
直哉 大西
遵 金井
Jun Kanai
遵 金井
裕二 梅田
Yuji Umeda
裕二 梅田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Infrastructure Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2016205933A priority Critical patent/JP6762841B2/ja
Publication of JP2018067178A publication Critical patent/JP2018067178A/ja
Application granted granted Critical
Publication of JP6762841B2 publication Critical patent/JP6762841B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)
  • Programmable Controllers (AREA)

Abstract

【課題】制御システムを停止させることなく管理装置のプログラムを更新することを課題とする。
【解決手段】プログラム更新方法は、第1管理装置が、第2管理装置と制御装置とに、制御装置からの被制御装置データの送信先を第1管理装置から第2管理装置に切り替えるように要求する第1の通知を送信する第1送信ステップと、第1管理装置が、第2管理装置に、自身が記憶している、過去の被制御装置データであるログデータを送信する第2送信ステップと、第1管理装置が自身のプログラムを更新する更新ステップと、第1管理装置が、プログラムの更新が完了した後に、第2管理装置と制御装置とに、制御装置からの被制御装置データの送信先を第2管理装置から第1管理装置に切り替えるように要求する第2の通知を送信する第3送信ステップと、を含む。
【選択図】図2

Description

本発明の実施形態は、プログラム更新方法に関する。
従来から、被制御装置(例えば産業プラントにおける各種機器等)を監視・制御する制御システムは、例えば、被制御装置を制御する制御装置と、制御装置の上位装置である管理装置と、を備えている。そして、制御システムにおける制御装置や管理装置は、生産性やアベイラビリティの観点から、連続運転を求められている場合が多い。
一方、制御システムの制御装置や管理装置について、プログラム(動作プログラム)を更新する必要が発生する場合がある。管理装置については、例えば、次の二通りの場合がある。1つは、管理装置のプログラムに欠陥や脆弱性が発見された場合である。もう1つは、制御システムがクローズドネットワークで構成されていた際に、汎用OS(Operating System)の採用や外部ネットワーク・外部メディアの接続といった運用環境のオープン化に伴い、セキュリティ(情報セキュリティ)対策として、管理装置に定期的にセキュリティパッチ(修正プログラム)を適用する場合である。
国際公開第2015/114791号
しかしながら、従来技術では、管理装置のプログラムを更新する間は、制御システムを停止する必要がある。そこで、本発明は、このような状況に鑑みてなされたものであり、制御システムを停止させることなく管理装置のプログラムを更新することを課題とする。
実施形態のプログラム更新方法は、被制御装置から、当該被制御装置に関するデータが示された被制御装置データを受信する制御装置と、当該制御装置から、当該被制御装置データを受信し、当該被制御装置データを記憶する第1管理装置と、を少なくとも備える制御システムで実行される。このプログラム更新方法は、前記第1管理装置が、第2管理装置と前記制御装置とに、前記制御装置からの前記被制御装置データの送信先を前記第1管理装置から前記第2管理装置に切り替えるように要求する第1の通知を送信する第1送信ステップと、前記第1管理装置が、前記第2管理装置に、自身が記憶している、過去の前記被制御装置データであるログデータを送信する第2送信ステップと、前記第1管理装置が自身のプログラムを更新する更新ステップと、前記第1管理装置が、前記プログラムの更新が完了した後に、前記第2管理装置と前記制御装置とに、前記制御装置からの前記被制御装置データの送信先を前記第2管理装置から前記第1管理装置に切り替えるように要求する第2の通知を送信する第3送信ステップと、を含む。
図1は、第1実施形態の制御システムの構成例を示す図である。 図2は、第1実施形態の制御システムの処理を示すフローチャートである。 図3は、第1実施形態の構成情報の例を示す図である。 図4は、第1実施形態において、第2管理装置で表示することができる被制御装置データの説明図である。 図5は、第2実施形態の制御システムの構成例を示す図である。 図6は、第2実施形態の構成情報の例を示す図である。 図7は、第2実施形態の制御装置の処理を示すフローチャートである。 図8は、第2実施形態の制御装置の他の処理を示すフローチャートである。 図9は、第3実施形態の制御システムの構成例を示す図である。 図10は、第3実施形態の制御システムの処理を示すフローチャートである。 図11は、第3実施形態の構成情報の例を示す図である。 図12は、第4実施形態の制御システムの構成例を示す図である。
以下、実施形態のプログラム更新方法等について、図面を参照して説明する。なお、同一の構成要素には、同一の符号を付し、重複説明を適宜省略する。
(第1実施形態)
図1は、第1実施形態の制御システムSの構成例を示す図である。制御システムSは、ネットワーク5を介して互いに接続される第1管理装置1、第2管理装置2、および、制御装置3を備える。制御装置3は、被制御装置4を監視・制御する。被制御装置4は、例えば、産業プラントにおける各種機器であり、制御装置3からの制御信号により動作するとともに、被制御装置データを制御装置3に送信する。
被制御装置データとは、被制御装置4に関するデータであり、例えば、被制御装置4に接続された電圧センサによる電圧値等の検出データである。
この第1実施形態では、次の場合を例にとって説明する。なお、第1管理装置1、第2管理装置2、および、制御装置3は、自身の記憶部に記憶されたプログラム(動作プログラム)を、CPUが実行することで、各種制御を行う。
まず、第1管理装置1が制御装置3から被制御装置データを受信しているものとする。次に、第1管理装置1のプログラム(動作プログラム)を更新するために、制御装置3からの被制御装置データの送信先を、第1管理装置1から第2管理装置2に切り替える。そして、第2管理装置2が制御装置3から被制御装置データを受信している間に、第1管理装置1が自身のプログラムを更新する。その後、制御装置3からの被制御装置データの送信先を、第2管理装置2から第1管理装置1に戻す。
次に、制御装置3、第1管理装置1、および、第2管理装置2の各構成について説明する。制御装置3は、例えば、PLC(Programmable Logic Controller)等の制御用コントローラであり、処理部31、記憶部32、入力部33、表示部34、および、データ入出力部35を備える。なお、制御装置3は、ネットワーク5を介して外部装置との通信を行うための通信インタフェースも備えるが、図示と詳細な説明を省略する(第1管理装置1、第2管理装置2、および、図9の監視装置7についても同様)。
処理部31は、モード切替部311、モード変更通知受信部312、被制御装置データ受信部313、被制御装置データ送信部314、および、制御部315を備える。
モード切替部311は、第1管理装置1からのモード変更通知の受信に応じて、第1管理装置1の現在の動作モードが運転モードと更新モードのいずれであるのかの認識を切り替える。第1管理装置1について、運転モードとは、制御装置3から被制御装置データを受信するモードである。また、更新モードとは、プログラムを更新するモードである。
モード変更通知受信部312は、第1管理装置1、第2管理装置2からモード変更通知を受信する。
モード変更通知とは、制御装置3からの被制御装置データの送信先の切り替えを要求する通知である。例えば、第1管理装置1が、運転モードから更新モードに切り替える場合には、制御装置3からの被制御装置データの送信先を第1管理装置1から第2管理装置2に切り替えるように要求する通知となる。他の例としては、第1管理装置1が、更新モードから運転モードに切り替える場合には、制御装置3からの被制御装置データの送信先を第2管理装置2から第1管理装置1に切り替えるように要求する通知となる。
被制御装置データ受信部313は、被制御装置4から被制御装置データを、データ入出力部35を介して受信する。
被制御装置データ送信部314は、被制御装置データ受信部313が受信した被制御装置データを、第1管理装置1が運転モードの場合、第1管理装置1に送信する。被制御装置データ送信部314は、被制御装置データ受信部313が受信した被制御装置データを、第1管理装置1が更新モードの場合、第2管理装置2に送信する。
制御部315は、記憶部32に記憶されたプログラムや、被制御装置データ受信部313が受信した被制御装置データ等に基づいて被制御装置4に対する制御信号を演算する等の各種制御を実行する。
記憶部32は、構成情報、プログラム等の各種情報を記憶する。構成情報は、制御システムS内の第1管理装置1、第2管理装置2、制御装置3等の構成に関する情報であり、例えば、図3に示す通りである。図3は、第1実施形態の構成情報の例を示す図である。
図3に示す例では、構成情報は、装置の種別とIP(Internet Protocol)アドレス(アドレス情報)から構成されている。例えば、被制御装置データ送信部314は、被制御装置データを第1管理装置1や第2管理装置2に送信するときに、この構成情報を参照することで、送信先のIPアドレスを特定することができる。
図1に戻って、入力部33は、ユーザが情報を入力する手段であり、例えば、キーボードやマウスである。表示部34は、情報を表示する手段であって、例えば、LCD(Liquid Crystal Display)等である。データ入出力部35は、被制御装置4との間で、データの入出力を行う。
第1管理装置1は、制御装置3の上位装置であり、例えば、制御システムSのエンジニアリングを行うツールや、被制御装置4の運転状況をリアルタイムで表示する表示装置としての役割を果たす。第1管理装置1は、処理部11、記憶部12、入力部13、および、表示部14を備える。
処理部11は、モード切替部111、モード変更通知送信部112、モード変更通知受信部113、ログデータ送信部114、ログデータ受信部115、被制御装置データ受信部116、および、制御部117を備える。
モード切替部111は、例えば、入力部13やDIP(Dual In-line Package)スイッチ(不図示)等を用いたユーザ操作に基づいて、第1管理装置1の動作モードを、運転モードと更新モードの間で切り替える。なお、モード切替部111は、ソフトウェアで予め定められたタイミングで当該切替を行ってもよい。
モード変更通知送信部112は、第1管理装置1の動作モードが運転モードから更新モードに変更された旨とともに、制御装置3からの被制御装置データの送信先を第1管理装置1から第2管理装置2に切り替えるように要求するモード変更通知を、第2管理装置2や制御装置3に送信する。または、モード変更通知送信部112は、第1管理装置1の動作モードが更新モードから運転モードに変更された旨とともに、制御装置3からの被制御装置データの送信先を第2管理装置2から第1管理装置1に戻すように要求するモード変更通知を、第2管理装置2や制御装置3に送信する。モード変更通知受信部113は、第2管理装置2からモード変更通知を受信する(本実施形態では不使用)。
ログデータ送信部114は、記憶部12に蓄積されているログデータを第2管理装置2に送信する。なお、本実施形態では、ログデータとは、過去の被制御装置データを指す。ログデータ受信部115は、第2管理装置2からログデータを受信する。
被制御装置データ受信部116は、制御装置3から被制御装置データを、ネットワーク5を介して受信し、記憶部12にログデータとして蓄積する。
制御部117は、記憶部12に記憶されたプログラムに基づいて各種演算処理を実行する。例えば、制御部117は、制御装置3に対して、被制御装置データを送信するように要求する制御信号を送信する。
記憶部12は、構成情報(図3)、ログデータ、プログラム等の各種情報を記憶する。
入力部13は、ユーザが情報を入力する手段であり、例えば、キーボードやマウスである。表示部14は、情報を表示する手段であって、例えば、LCD等である。表示部14は、例えば、被制御装置データをグラフ等で表示する。
第2管理装置2の構成は、第1管理装置1の構成と同じであるので、詳細な説明を省略する。なお、第1管理装置1の各構成の最左端の符号を「1」から「2」に変えたものが、第2管理装置2の各構成である。
ネットワーク5は、例えば、Ethernet(登録商標)等のIPベースのネットワークである。また、ネットワーク5は、第1管理装置1、第2管理装置2、および、制御装置3の間で専用のプロトコルで通信するフィールドバスネットワークでもよい。
次に、制御システムSの処理について説明する。図2は、第1実施形態の制御システムSの処理を示すフローチャートである。第1管理装置1のプログラムを更新する場合、まず、第1管理装置1において、例えばユーザが入力部13を用いて所定の操作を行うと、モード切替部111は、第1管理装置1の動作モードを運転モードから更新モードに切り替える(ステップS1)。
次に、第1管理装置1の制御部117は、代替装置を設定する(ステップS2)。具体的には、制御部117は、構成情報(図3)を参照して、第1管理装置1の代替装置として第2管理装置2を選択する。なお、代替装置は予め決定しておいてもよいし、また、その都度ユーザが選択してもよい。
次に、第1管理装置1のモード変更通知送信部112は、第1管理装置1の動作モードが運転モードから更新モードに変更され、代替装置として第2管理装置2を設定し、制御装置3からの被制御装置データの送信先を第1管理装置1から第2管理装置2に切り替えるように要求する旨のモード変更通知(第1の通知)を第2管理装置2と制御装置3とに送信する(ステップS3、第1送信ステップ)。
第2管理装置2において、モード変更通知受信部213はこのモード変更通知を受信し(ステップS4)、受信待機状態となる(ステップS5)。
また、制御装置3において、モード変更通知受信部312はこのモード変更通知を受信し(ステップS6)、制御部315は被制御装置データの送信先を第1管理装置1から第2管理装置2に変更する(ステップS7)。
その後、第1管理装置1において、ログデータ送信部114は記憶部12に記憶されているログデータを第2管理装置2に送信する(ステップS8、第2送信ステップ)。そして、第2管理装置2において、ログデータ受信部215はこのログデータを受信し(ステップS9)、記憶部22に記憶する。
ステップS7の後、制御装置3の被制御装置データ送信部314は被制御装置データを第2管理装置2に送信し、第2管理装置2の被制御装置データ受信部216はこの被制御装置データを受信して記憶部22にログデータとして蓄積する(ステップS10〜S15)。
ここまでの処理により、第2管理装置2では、自身が制御装置3から受信した被制御装置データだけでなく、それ以前のログデータも第1管理装置1から受信していることで、それらを併せて表示部24に表示することができる。これについて、図4を用いて説明する。図4は、第1実施形態において、第2管理装置2で表示することができる被制御装置データの説明図である。図4(a)は第1管理装置1が記憶しているログデータである。このログデータを第1管理装置1から第2管理装置2に送信すると、第2管理装置2でもそのログデータを表示することができる(図4(b))。そして、第2管理装置2では、そのログデータ(時刻t1以前のデータ)と、その後に受信した被制御装置データ(時刻t1以降のデータ)を併せて表示することができる(図4(c))。
なお、ステップS8で第1管理装置1から第2管理装置2に送信するのは、ログデータに限定されず、制御装置3の動作履歴や警告情報等を含んでいてもよい。また、制御装置3から被制御装置データを受信する装置が第1管理装置1から第2管理装置2に切り替わるときに、被制御装置データが欠落することをより確実に防止するため、制御装置3は、第1管理装置1からモード変更通知を受信した後の所定時間、被制御装置データを第1管理装置1と第2管理装置2の両方に送信するようにしてもよい。その所定時間は、予めベンダーやユーザ等によって設定されていてもよいし、また、制御装置3が第2管理装置2から被制御装置データを受信した旨の信号を受信するときまでのタイミングとしてもよい。これにより、例えば、第1管理装置1から第2管理装置2へログデータを送信する時間が長期化した場合等であっても、被制御装置データの欠落を抑制することが可能になる。
ステップS8の後、第1管理装置1において、制御部117は、自身のプログラムを更新する(ステップS16、更新ステップ)。このプログラムの更新が完了すると(ステップS17)、第1管理装置1において、モード切替部111は、第1管理装置1の動作モードを更新モードから運転モードに切り替える(ステップS18)。
次に、第1管理装置1のモード変更通知送信部112は、第1管理装置1の動作モードが更新モードから運転モードに変更され、制御装置3からの被制御装置データの送信先を第2管理装置2から第1管理装置1に切り替える(戻す)ように要求する旨のモード変更通知(第2の通知)を第2管理装置2と制御装置3とに送信する(ステップS19、第3送信ステップ)。
第2管理装置2において、モード変更通知受信部213はこのモード変更通知を受信し(ステップS20)、ログデータ送信部214は記憶部22に記憶されているログデータを第1管理装置1に送信する(ステップS21、第4送信ステップ)。
また、制御装置3において、モード変更通知受信部312はこのモード変更通知を受信し(ステップS22)、制御部315は被制御装置データの送信先を第2管理装置2から第1管理装置1に変更する(ステップS23)。その後、制御装置3の被制御装置データ送信部314は被制御装置データを第1管理装置1に送信する(ステップS24)。
ステップS19の後、第1管理装置1において、ログデータ受信部115は第2管理装置2からのログデータを受信し(ステップS25)、記憶部12に記憶する。その後、第1管理装置1の被制御装置データ受信部116は、制御装置3から被制御装置データを受信し(ステップS26)、記憶部22にログデータとして蓄積する。
このようにして、第1実施形態によれば、制御システムSを停止させることなく第1管理装置1のプログラムを更新することができる。また、第1管理装置1では、ステップS25で第2管理装置2からログデータを受信していることで、被制御装置データの全体を表示部14に表示することができる。したがって、第1管理装置1でプログラムを更新している間は第2管理装置2で被制御装置データの全体を表示でき、また、第1管理装置1でプログラムを更新した後は第1管理装置1で被制御装置データの全体を表示することができるので、制御システムSとしてのアベイラビリティを担保することが可能となる。
なお、制御装置3からの被制御装置データの送信先が第1管理装置1から第2管理装置2に切り替わるときと同様に、制御装置3からの被制御装置データの送信先が第2管理装置2から第1管理装置1に切り替わるときも、被制御装置データが欠落することをより確実に防止するため、制御装置3は、第1管理装置1からモード変更通知を受信した後の所定時間、被制御装置データを第1管理装置1と第2管理装置2の両方に送信するようにしてもよい。
(第2実施形態)
次に、第2実施形態の制御システムSについて、図5〜図8を参照して説明する。図5は、第2実施形態の制御システムSの構成例を示す図である。この第2実施形態は、第1実施形態と比べて、第2管理装置2が、第1管理装置1と制御装置3が属する内部ネットワーク(以下、単に「内部ネットワーク」という場合がある。)の外部に配置されている点で異なっている。第2管理装置2は、GW(GateWay)6を介して、ネットワーク5に接続されている。第2管理装置2は、例えば、いわゆるクラウドサーバにより実現できる。なお、第2管理装置2は常に動作しているものではなく、制御装置3と同一ネットワーク上に配置されている第1管理装置1を更新する場合のみ稼動してもよい。
また、この第2実施形態において、第1管理装置1の記憶部12、第2管理装置2の記憶部22、および、制御装置3の記憶部32で保持される構成情報は、図6に示す通りである。図6は、第2実施形態の構成情報の例を示す図である。
図6に示す例では、構成情報は、装置の種別とIPアドレスに加えて、設置エリアを含んでいる。この構成情報では、第1管理装置1と制御装置3の設置エリアはローカル、第2管理装置2の設置エリアは外部と設定されている。
第2実施形態の制御システムSの処理の全体は、図2に示すフローチャートと同様であるので、説明を省略する。ここで、制御装置3が、内部ネットワークの外部に存在する第2管理装置2に被制御装置データを送信するのは、セキュリティ上、特に問題はない。しかし、図2に示す処理のほかに、例えば、制御装置3が、内部ネットワークの外部に存在する第2管理装置2からのアクセスを無制限に許容すると、セキュリティ上、好ましくない。そこで、制御装置3が図7に示す処理を実行することで、制御装置3が保持する構成情報やプログラムを変更するため等の第2管理装置2からのアクセスを制限(拒否)する。
図7は、第2実施形態の制御装置3の処理を示すフローチャートである。まず、制御装置3は、第1管理装置1または第2管理装置2からデータを受信する(ステップS31)。次に、制御部315は、記憶部32の構成情報(図6)を参照して(ステップS32)、受信IPアドレスを判定し(ステップS33)、送信元がローカルであれば(ステップS34でYes。送信元が第1管理装置1の場合)はステップS35に進み、送信元がローカルでなく外部であれば(ステップS34でNo。送信元が第2管理装置2の場合)はステップS36に進む。
ステップS35において、制御部315は、データを許容する。また、ステップS36において、制御部315は、データを破棄する。
このようにして、第2管理装置2が内部ネットワークの外部に配置されている場合でも、制御装置3は第2管理装置2から任意のタイミングで受信したデータを破棄するので、制御システムSとしてセキュアな制御を継続することが可能になる。なお、制御装置3は、第2管理装置2から被制御装置データの送信要求信号のようなデータを受けた場合は、図7の処理を実行する必要はなく、そのデータを許容してよい。
また、制御装置3が、内部ネットワークの外部の悪意ある第三者の使用する装置(以下、「第三者装置」と称する。)からIPアドレスを偽装したデータを受信する場合も考えられる。その場合の対策について説明する。図8は、第2実施形態の制御装置3の他の処理を示すフローチャートである。以下では、第1管理装置1、および、第2管理装置2は、データを予め規定された暗号化アルゴリズムによって暗号化し、その暗号化データを制御装置3に送信するものとする。
まず、制御装置3は、第1管理装置1、第2管理装置2、または、第三者装置からデータを受信する(ステップS31)。次に、制御部315は、そのデータが暗号化データであって復号を行って成功したか否かを判定する(ステップS37)。
ステップS37でYesの場合(第1管理装置1または第2管理装置2からのデータの場合)、制御部315は、記憶部32の構成情報(図6)を参照して(ステップS32)、受信IPアドレスを判定する(ステップS33)。
送信元がローカルであれば(ステップS34でYes。送信元が第1管理装置1の場合)、制御部315は、データを許容する(ステップS35)。また、送信元がローカルでなく外部であれば(ステップS34でNo。送信元が第2管理装置2の場合)、制御部315は、データを破棄する(ステップS36)。
また、ステップS37でNoの場合(第三者装置からのデータの場合)、制御部315は、データを破棄する(ステップS36)。
このようにして、第2管理装置2が内部ネットワークの外部に配置されている場合に、制御装置3は任意のタイミングで第2管理装置2および第三者装置から受信したデータを破棄するので、制御システムSとしてセキュアな制御を継続することが可能になる。また、制御装置3と同一ネットワーク上に第1管理装置1の代替装置としての第2管理装置2を常設しておく必要がなくなるので、アセットライトにつながる。
(第3実施形態)
次に、第3実施形態の制御システムSについて、図9〜図11を参照して説明する。図9は、第3実施形態の制御システムSの構成例を示す図である。この第3実施形態は、第1実施形態と比べて、制御システムSに監視装置7が追加されるとともに、第1管理装置1の記憶部12、第2管理装置2の記憶部22、および、制御装置3の記憶部32に、構成情報が記憶されない点で異なっている。また、この第3実施形態では、第1実施形態と同様、制御装置3からの被制御装置データの送信先を、第1管理装置1から第2管理装置2に切り替え、その後、第1管理装置1のプログラムを更新してから第1管理装置1に戻す場合について説明する。
監視装置7は、第1管理装置1と制御装置3とそれらの通信相手の装置(第2管理装置2など)のアドレス情報を管理するコンピュータ装置であって、処理部71、記憶部72、入力部73、および、表示部74を備える。処理部71は、モード切替部711、モード変更通知送信部712、および、制御部713を備える。
モード切替部711は、第1管理装置1の動作モードを、運転モードと更新モードの間で切り替える旨の設定をする。モード変更通知送信部712は、第1管理装置1の動作モードを運転モードから更新モードに変更する旨、または、第1管理装置1の動作モードを更新モードから運転モードに変更する旨のモード変更通知(第1の通知)を、第1管理装置1、第2管理装置2、および、制御装置3に送信する。それらのモード変更通知は、当該モード変更によって必要となるアドレス情報(第1管理装置1、第2管理装置2、制御装置3のIPアドレスのうちの1つ以上)を含む。制御部713は、記憶部72に記憶されたプログラム(不図示)に基づいて各種演算処理を実行する。
記憶部72は、構成情報、プログラム(不図示)等の各種情報を記憶する。構成情報は、例えば、図11に示す通りである。図11は、第3実施形態の構成情報の例を示す図である。図11に示す例では、構成情報は、装置の種別とIPアドレスと代替先とから構成されている。例えば、構成情報の一段目には、種別が第1管理装置1の場合、そのIPアドレスと、代替先が第2管理装置2である旨と、が定義されている。
入力部73は、ユーザが情報を入力する手段であり、例えば、キーボードやマウスである。表示部74は、情報を表示する手段であって、例えば、LCD等である。
次に、制御システムSの処理について説明する。図10は、第3実施形態の制御システムSの処理を示すフローチャートである。第1管理装置1のプログラムを更新する場合、まず、監視装置7において、第1管理装置1のプログラムの更新要求が認識される(ステップS101)。この更新要求認識は、監視装置7においてユーザが入力部73を操作することで実現してもよいし、また、第1管理装置1から監視装置7に更新要求信号を送信することにより実現してもよい。
次に、監視装置7の制御部713は、例えば構成情報(図11)を参照して、第1管理装置1の代替装置として第2管理装置2を設定する(ステップS102)。なお、代替装置は予め決定しておいてもよいし、また、その都度ユーザが選択してもよい。
次に、監視装置7において、モード切替部711は、第1管理装置1の動作モードを運転モードから更新モードに切り替える旨の設定をする。そして、モード変更通知送信部712は、当該切替、および、第1管理装置1の代替装置として第2管理装置2を設定する旨のモード変更通知(構成情報におけるIPアドレスの情報も含む。)(第1の通知)を、第1管理装置1と第2管理装置2と制御装置3とに送信する(ステップS103、第1送信ステップ)。
第1管理装置1において、モード変更通知受信部113はこのモード変更通知を受信し(ステップS104)、モード切替部111は第1管理装置1の動作モードを運転モードから更新モードに変更する。ステップS4〜S17については、図2と同様である。
ステップS17の後、第1管理装置1において、制御部117は、更新完了通知を監視装置7に送信する(ステップS111)。
監視装置7において、制御部713が第1管理装置1から更新完了通知を受信すると(ステップS112)、モード切替部711は、第1管理装置1の動作モードを更新モードから運転モードに切り替える旨の設定をする(ステップS113)。
次に、監視装置7のモード変更通知送信部712は、制御装置3からの被制御装置データの送信先を第2管理装置2から第1管理装置1に戻す旨のモード変更通知(第2の通知)を、第1管理装置1と第2管理装置2と制御装置3とに送信する(ステップS114、第3送信ステップ)。
第1管理装置1において、モード変更通知受信部113はこのモード変更通知を受信し(ステップS115)、モード切替部111は第1管理装置1の動作モードを更新モードから運転モードに変更する。ステップS20〜S26については、図2と同様である。
このようにして、第3実施形態によれば、第1実施形態の効果に加えて、監視装置7だけが構成情報を保持すればよく、第1管理装置1、第2管理装置2、制御装置3は、構成情報を保持する必要がないので、各構成がシンプルになるという効果を奏する。この効果は、管理装置や制御装置の数が多いほど、大きい。
(第4実施形態)
次に、第4実施形態の制御システムSについて、図12を参照して説明する。図12は、第4実施形態の制御システムSの構成例を示す図である。第1実施形態と比べたときの第2実施形態と同様、この第4実施形態は、第3実施形態と比べて、第2管理装置2が、第1管理装置1と制御装置3が属する内部ネットワークの外部に配置されている点で異なっている。つまり、第2管理装置2は、GW6を介して、ネットワーク5に接続されている。その他の点は第3実施形態と同様なので、説明を省略する。
第4実施形態によれば、第2管理装置2が内部ネットワークの外部に配置されていることで、制御装置3と同一ネットワーク上に第1管理装置1の代替装置としての第2管理装置2を常設しておく必要がなくなり、アセットライトにつながる。また、その場合でも、第2実施形態と同様、制御装置3が第2管理装置2や第三者装置から受信したデータを破棄するようにすることで、制御システムSとしてセキュアな制御を継続することが可能になる。
以上、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
例えば、管理装置は、第1管理装置1と第2管理装置2の2台でなく、3台以上であってもよい。また、制御装置は、制御装置3の1台でなく、2台以上であってもよい。
1 第1管理装置
11 処理部
111 モード切替部
112 モード変更通知送信部
113 モード変更通知受信部
114 ログデータ送信部
115 ログデータ受信部
116 被制御装置データ受信部
117 制御部
12 記憶部
13 入力部
14 表示部
2 第2管理装置
21 処理部
211 モード切替部
212 モード変更通知送信部
213 モード変更通知受信部
214 ログデータ送信部
215 ログデータ受信部
216 被制御装置データ受信部
217 制御部
22 記憶部
23 入力部
24 表示部
3 制御装置
31 処理部
311 モード切替部
312 モード変更通知受信部
313 被制御装置データ受信部
314 被制御装置データ送信部
315 制御部
32 記憶部
33 入力部
34 表示部
35 データ入出力部
4 被制御装置
5 ネットワーク
6 GW
7 監視装置
71 処理部
711 モード切替部
712 モード変更通知送信部
713 制御部
72 記憶部
73 入力部
74 表示部
S 制御システム

Claims (6)

  1. 被制御装置から、当該被制御装置に関するデータが示された被制御装置データを受信する制御装置と、当該制御装置から、当該被制御装置データを受信し、当該被制御装置データを記憶する第1管理装置と、を少なくとも備える制御システムで実行されるプログラム更新方法において、
    前記第1管理装置が、第2管理装置と前記制御装置とに、前記制御装置からの前記被制御装置データの送信先を前記第1管理装置から前記第2管理装置に切り替えるように要求する第1の通知を送信する第1送信ステップと、
    前記第1管理装置が、前記第2管理装置に、自身が記憶している、過去の前記被制御装置データであるログデータを送信する第2送信ステップと、
    前記第1管理装置が自身のプログラムを更新する更新ステップと、
    前記第1管理装置が、前記プログラムの更新が完了した後に、前記第2管理装置と前記制御装置とに、前記制御装置からの前記被制御装置データの送信先を前記第2管理装置から前記第1管理装置に切り替えるように要求する第2の通知を送信する第3送信ステップと、
    を含むプログラム更新方法。
  2. 被制御装置から、当該被制御装置に関するデータが示された被制御装置データを受信する制御装置と、当該制御装置から、当該被制御装置データを受信し、当該被制御装置データを記憶する第1管理装置と、前記第1管理装置と前記制御装置とそれらの通信相手の装置のアドレス情報を管理する監視装置と、を少なくとも備える制御システムで実行されるプログラム更新方法において、
    前記監視装置が、前記第1管理装置と第2管理装置と前記制御装置とに、前記制御装置からの前記被制御装置データの送信先を前記第1管理装置から前記第2管理装置に切り替えるように要求するとともに当該切り替えに必要なアドレス情報を含む第1の通知を送信する第1送信ステップと、
    前記第1管理装置が、前記第2管理装置に、自身が記憶している、過去の前記被制御装置データであるログデータを送信する第2送信ステップと、
    前記第1管理装置が自身のプログラムを更新する更新ステップと、
    前記監視装置が、前記第1管理装置の前記プログラムの更新が完了した後に、前記第1管理装置と前記第2管理装置と前記制御装置とに、前記制御装置からの前記被制御装置データの送信先を前記第2管理装置から前記第1管理装置に切り替えるように要求する第2の通知を送信する第3送信ステップと、
    を含むプログラム更新方法。
  3. 前記第2管理装置は、前記制御装置と前記第1管理装置が属する内部ネットワークの外部に配置されている、請求項1または請求項2に記載のプログラム更新方法。
  4. 前記制御装置は、前記第2管理装置からデータを受信した場合に、前記第2管理装置が前記内部ネットワークの外部に配置されていると判定し、当該データを破棄する、請求項3に記載のプログラム更新方法。
  5. 前記制御装置は、前記第1送信ステップで前記第1の通知を受信した後の所定時間、前記被制御装置データを前記第1管理装置と前記第2管理装置の両方に送信する、請求項1から請求項4のいずれか一項に記載のプログラム更新方法。
  6. 前記第2管理装置が、前記第3送信ステップで前記第2の通知を受信した後に、前記第1管理装置に、前記制御装置から受信した過去の前記被制御装置データであるログデータを送信する第4送信ステップをさらに含む、請求項1から請求項5のいずれか一項に記載のプログラム更新方法。
JP2016205933A 2016-10-20 2016-10-20 プログラム更新方法 Active JP6762841B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016205933A JP6762841B2 (ja) 2016-10-20 2016-10-20 プログラム更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016205933A JP6762841B2 (ja) 2016-10-20 2016-10-20 プログラム更新方法

Publications (2)

Publication Number Publication Date
JP2018067178A true JP2018067178A (ja) 2018-04-26
JP6762841B2 JP6762841B2 (ja) 2020-09-30

Family

ID=62087067

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016205933A Active JP6762841B2 (ja) 2016-10-20 2016-10-20 プログラム更新方法

Country Status (1)

Country Link
JP (1) JP6762841B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006191426A (ja) * 2005-01-07 2006-07-20 Nec Commun Syst Ltd 二重化ネットワーク管理システムのファイル更新方法およびネットワーク管理サーバ装置
JP2007018243A (ja) * 2005-07-07 2007-01-25 Toshiba Corp 監視システム
JP2009265939A (ja) * 2008-04-24 2009-11-12 Panasonic Electric Works Co Ltd 機器管理システム
JP2012133610A (ja) * 2010-12-22 2012-07-12 Hitachi Ltd 2重化プロセス制御装置および制御データ一致化方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006191426A (ja) * 2005-01-07 2006-07-20 Nec Commun Syst Ltd 二重化ネットワーク管理システムのファイル更新方法およびネットワーク管理サーバ装置
JP2007018243A (ja) * 2005-07-07 2007-01-25 Toshiba Corp 監視システム
JP2009265939A (ja) * 2008-04-24 2009-11-12 Panasonic Electric Works Co Ltd 機器管理システム
JP2012133610A (ja) * 2010-12-22 2012-07-12 Hitachi Ltd 2重化プロセス制御装置および制御データ一致化方法

Also Published As

Publication number Publication date
JP6762841B2 (ja) 2020-09-30

Similar Documents

Publication Publication Date Title
US10721096B2 (en) Intelligent multi-channel VPN orchestration
US10110561B2 (en) Firewall with application packet classifer
JP6766895B2 (ja) セキュアな通信を行う方法および産業コンピューティング装置
US10244000B2 (en) Apparatus and method for establishing seamless secure communications between components in an industrial control and automation system
US10491584B2 (en) Role-based resource access control
CN107409119B (zh) 通过网络特性来确定信誉
WO2017044510A1 (en) Trust status of a communication session
US11706244B2 (en) Apparatus, method, and computer program product for automatic network architecture configuration maintenance
JP5951162B1 (ja) 制御装置、複合ユニット装置、更新判定プログラム及びプログラム更新方法
US9456046B2 (en) Dynamic generation of proxy connections
EP4311167A1 (en) Systems and methods for artificial intelligence-based security policy development
JP6762841B2 (ja) プログラム更新方法
US20230124136A1 (en) Cloud based platform to efficiently manage firewall rules and data traffic
US7827263B1 (en) Systems and methods for managing a computer over a network
US10838950B2 (en) Dynamic review cadence for intellectual capital
CN111492621B (zh) 用于控制分组传输的服务器和方法
US10884840B2 (en) Controlled monitoring based on root cause analysis recommendations
CN108021407B (zh) 基于网络设备的业务处理方法及装置
JP2019205125A (ja) 異常要因判定装置、制御システム、および異常要因判定方法
US12045032B1 (en) Using sensing functions and actuating functions to safely implement actions for IoT devices
US20240223610A1 (en) Systems and methods for policy undo in operational technology devices
WO2020026906A1 (ja) サポート装置、設定方法、および設定プログラム
JP2020202554A (ja) 製造現場システムにおける変化を検出する方法
EP3113440A1 (en) Self-managed network security measures
JP2017182737A (ja) 認証方法

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20170911

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170912

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190909

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200811

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200909

R150 Certificate of patent or registration of utility model

Ref document number: 6762841

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150