JP2023089019A - サポート装置および設定プログラム - Google Patents

サポート装置および設定プログラム Download PDF

Info

Publication number
JP2023089019A
JP2023089019A JP2023052144A JP2023052144A JP2023089019A JP 2023089019 A JP2023089019 A JP 2023089019A JP 2023052144 A JP2023052144 A JP 2023052144A JP 2023052144 A JP2023052144 A JP 2023052144A JP 2023089019 A JP2023089019 A JP 2023089019A
Authority
JP
Japan
Prior art keywords
controller system
type
facility
incident
support device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023052144A
Other languages
English (en)
Inventor
泰生 山本
Yasuo Yamamoto
徹 小河原
Toru Ogawara
直樹 廣部
Naoki Hirobe
雄大 永田
Yuta NAGATA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Omron Tateisi Electronics Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp, Omron Tateisi Electronics Co filed Critical Omron Corp
Priority to JP2023052144A priority Critical patent/JP2023089019A/ja
Publication of JP2023089019A publication Critical patent/JP2023089019A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0286Modifications to the monitored process, e.g. stopping operation or adapting control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31001CIM, total factory control
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Programmable Controllers (AREA)
  • General Factory Administration (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得るインシデントに対する設備種別に応じた設定を容易に行うことを目的とする。【解決手段】サポート装置は、制御対象を制御するためのコントローラシステムに接続される。コントローラシステムは、コントローラシステムに発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されている。サポート装置は、予め定められた複数の設備種別のうち制御対象に対応する設備種別の選択を受け付ける選択手段と、設備種別ごとに予め用意された、インシデントに対する挙動を規定した対応規定を参照して、選択された設備種別に対応する対応規定をコントローラシステムに反映する設定手段とを含む。【選択図】図1

Description

本発明は、制御対象を制御するためのコントローラシステムに接続されるサポート装置および制御対象を制御するためのコントローラシステムの挙動を設定するための設定プログラムに関する。
工場などの製造現場では、様々な種類の設備が稼働しており、各種設備および各設備に配置される各種装置の制御には、PLC(プログラマブルロジックコントローラ)などの制御装置が用いられる。
近年、工場などの製造現場では、マルウェアなどの被害が発生しており、PLCなどの制御装置に対してもセキュリティ対策が必須となってきた。そのため、工場などの装置、生産ラインを開発する場合には、セキュリティ対策を生産技術者、装置メーカ開発者などが行う必要がある。
PLCでは、例えば、特開2000-137506号公報(特許文献1)に開示されているように、異常履歴が登録されたとき、または、予め定められた時間が到来したときに、予め指定された宛先に電子メールを送信する程度で、セキュリティ対策については何ら考慮されていない。
特開2000-137506号公報
近年のICT(Information and Communication Technology)の進歩に伴って、制御装置も様々な外部装置とネットワーク接続されるとともに、制御装置において実行される処理も高度化している。このようなネットワーク化あるいはインテリジェント化に伴って、想定されるインシデントの種類も増加している。
このようなインシデントに対してセキュリティ機能を設定することになり、インシデントが発生した後、当該インシデントに応じた制御装置の動作(インシデント対応動作)を設定することになる。
工場などの製造現場では、種々の設備が稼働しており、設備種別に関わらず、制御装置に対して一律に共通のインシデント対応動作を設定した場合に、設備種別によっては、安全を確保できなかったり、あるいは、経済的に大きな損失が発生したりする虞がある。そのため、設備種別に応じて制御装置のインシデント対応動作を設定することが好ましい。しかし、設備種別に応じた設定は、開発者に対して大きな負担となる。
本発明は、制御装置および制御システムのネットワーク化あるいはインテリジェント化に伴って生じ得るインシデントに対する設備種別に応じた設定を容易に行うことを一つの目的としている。
本開示のある局面に従うサポート装置は、制御対象を制御するためのコントローラシステムに接続される。コントローラシステムは、コントローラシステムに発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されている。サポート装置は、予め定められた複数の設備種別のうち制御対象に対応する設備種別の選択を受け付ける選択手段と、設備種別ごとに予め用意された、インシデントに対する挙動を規定した対応規定を参照して、選択された設備種別に対応する対応規定をコントローラシステムに反映する設定手段とを含む。
この構成によれば、インシデントに対する設備種別に応じた設定を容易に行うことができる。
上述の開示において、設備種別は、制御対象の制御目的によって分類される。この構成によれば、ユーザが設備種別を選択する場合に、容易に選択することができる。
上述の開示において、設備種別は、制御対象に対して求められる要望に従って分類される。この構成によれば、制御対象に対して求められる要望に応じて、インシデントに対する対応を設定することが容易にできる。
上述の開示において、選択手段は、制御対象の制御目的の入力を受け付け、受け付けられた当該制御目的と選択された設備種別とを紐付けて記憶する。この構成によれば、制御対象に対して求められる要望に従って分類された設備種別と、制御対象の制御目的とを紐付けることが可能であり、制御目的に応じて設備種別を選択することも、制御対象に対して求められる要望に応じて設備種別を選択することも可能となる。
上述の開示において、設定手段は、対応規定の変更を受け付ける。対応規定は、設備種別ごとに初期値が予め定められている。この構成によれば、柔軟に設定を行うことが可能であり、かつ、知識の足りないユーザ(開発者)であっても、初期値が定められていることにより容易に設定することが可能となる。
上述の開示において、対応規定を変更することが可能な範囲は、設備種別ごとに予め定められている。この開示によれば、最低限必要な対応は設定することが可能であり、その結果、最低限の保護を担保することができる。
本開示のある局面に従う設定プログラムは、制御対象を制御するためのコントローラシステムの挙動を設定する。コントローラシステムは、コントローラシステムに発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されている。設定プログラムは、コンピュータに、予め定められた複数の設備種別のうち制御対象に対応する設備種別の選択を受け付けるステップと、設備種別ごとに予め用意された、インシデントごとの挙動を規定した対応規定を参照して、選択された設備種別に対応する対応規定をコントローラシステムに反映するステップとを実行させる。
この構成によれば、インシデントに対する設備種別に応じた設定を容易に行うことができる。
本発明によれば、インシデントに対する設備種別に応じた設定を容易に行うことができる。
本実施の形態に係るサポート装置6が提供する機能を説明するための模式図である。 本実施の形態に従うサポート装置6のハードウェア構成例を示す模式図である。 本実施の形態に係るコントローラシステム1の構成例を示す外観図である。 本実施の形態に従うコントローラシステム1を構成する制御ユニット100のハードウェア構成例を示す模式図である。 本実施の形態に従うコントローラシステム1を構成するセキュリティユニット200のハードウェア構成例を示す模式図である。 本実施の形態に従うコントローラシステム1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。 本実施の形態に従うコントローラシステム1を備える制御システム10の典型例を示す模式図である。 インシデントごとの挙動を規定した対応テーブル66を示す図である。 対応テーブルの変形例を示す図である。 対応テーブルの変形例を示す図である。 ユーザインターフェイス画面の遷移を示す図である。 設備種別選択画面630の一例を示す図である。 加工機の詳細設定画面640の一例を示す図である。 充填機の詳細設定画面640の一例を示す図である。 変形例における各設備種別の対応テーブルを示す図である。 変形例1における設備種別選択画面630Aである。 変形例2における設備種別選択画面630Bである。 図17に示す設備種別選択画面630Bを介して入力された情報に従って設備種別を決定するための設備種別決定テーブル636Bの一例を示す図である。 変形例にかかる対応データベース660Aを示す図である。
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。
<A.適用例>
本発明が適用される場面の一例について説明する。まず、本実施の形態に係るコントローラシステム1の構成について説明する。
図1は、本実施の形態に係るサポート装置6が提供する機能を説明するための模式図である。サポート装置6は、制御対象を制御するためのコントローラシステム1に接続される。
コントローラシステム1は、制御対象に応じて任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。コントローラシステム1が制御する制御対象の単位は、設備ごとであっても、設備に含まれる装置ごとであってもよい。なお、設備に含まれる個々の制御対象をフィールドデバイス500ともいう。
コントローラシステム1は、要求仕様の設計により、組み立て工程に利用される設備の制御、物を充填する工程に利用される設備の制御など目的に応じた様々な種別の設備を制御可能である。
コントローラシステム1は、コントローラシステム1に発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されている。本明細書において、「インシデント」は、コントローラシステム1に対してセキュリティ上の脅威となり得る兆候,現象または異常を意味する。また、「インシデント」は、コントローラシステム1に対して直接発生するものに限らず、コントローラシステム1と通信可能に接続された各種装置を介して間接的に発生するものも含む。
たとえば、コントローラシステム1は、正常に設備を運転しているときにインシデントが発生した場合、運転を停止したり、あるいは縮退運転(例えば、搬送速度を緩やかに低下させる)させたりすることで、発生したインシデントによる影響範囲を狭めたりすることができる。
サポート装置6は、インシデント対応動作を設定するための設定支援機能を提供する。図1を参照して、サポート装置6は、選択モジュール62と、設定モジュール64とを含む。
選択モジュール62および設定モジュール64の各々の機能は、典型的には、サポート装置6のプロセッサが、インシデント対応動作の設定を支援するためのサポートプログラムを実行することで実現される機能である。
選択モジュール62は、予め定められた複数の設備種別のうち、コントローラシステム1の制御対象に対応する設備種別の選択を受け付ける。設備種別は、たとえば、制御対象に対して要求される安全性の観点、工場内における制御対象の重要度の観点、制御対象の運転を停止することによる経済損失の観点など、制御対象に求められる要望によって分類されてもよく、また、制御対象を制御する目的によって分類されてもよい。
選択モジュール62は、典型的には、設備種別を選択するために必要な設備に関する情報(図中の設備情報)の入力を受け付けるユーザインターフェイスを提供し、設備情報に基づいて設備種別を選択する。図1に示す例において、選択モジュール62は、設備情報に基づいて設備種別bを選択したものとする。
設定モジュール64は、設備種別ごとに予め用意された、インシデントごとの挙動を規定した対応テーブル66を参照して、選択モジュール62が選択した設備種別に対応する対応テーブル66を選択する。図1に示す例においては、対応テーブル66bが選択される。対応テーブル66は、インシデントごとに、当該インシデントに対する挙動を規定する。設定モジュール64は、対応テーブル66が規定するインシデントごとの挙動が実現されるように、当該対応テーブル66が示す規定をコントローラシステム1に反映する。
このように、サポート装置6は、設備種別を選択し、設備種別ごとに予め用意された対応テーブル66を参照することで、インシデントに対する設備種別に応じた設定を容易に行うことができる。
たとえば、ユーザは、本実施の形態にかかるサポート装置6を利用することで、設備種別を選択するだけで、設備種別に応じたインシデント対応動作の設定を行うことが可能である。
<B.サポート装置のハードウェア構成例>
図2は、本実施の形態に従うサポート装置6のハードウェア構成例を示す模式図である。サポート装置6は、一例として、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコン)を用いて実現される。以下の説明においてデータベースを「DB」と表記する。
図2を参照して、サポート装置6は、プロセッサ602と、メインメモリ604と、入力部606と、表示部608と、ストレージ610と、光学ドライブ612と、USB(Universal Serial Bus)コントローラ620とを含む。これらのコンポーネントは、プロセッサバス618を介して接続されている。
プロセッサ602は、CPU(Central Processing Unit)やGPU(Graphical Processing Unit)などで構成され、ストレージ610に格納されたプログラム(一例として、OS(Operating System)6102およびサポートプログラム6104)を読出して、メインメモリ604に展開して実行することで、コントローラシステム1に対する設定処理などを実現する。
メインメモリ604は、DRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などの揮発性記憶装置などで構成される。ストレージ610は、例えば、HDD(Hard Disc Drive)やSSD(Solid State Drive)などの不揮発性記憶装置などで構成される。
ストレージ610には、基本的な機能を実現するためのOS6102に加えて、サポート装置6としての機能を提供するためのサポートプログラム6104および対応データベース660が格納される。サポートプログラム6104は、コントローラシステム1に接続されるコンピュータにより実行されることで、本実施の形態に係るサポート装置6を実現する。
サポートプログラム6104は、インシデント対応動作を設定するための設定支援機能を提供するためのプログラムを含む。プロセッサ602が、サポートプログラム6104を実行することで図1に示した選択モジュール62および設定モジュール64の各々の機能が実現される。
対応データベース660は、設備種別ごとに予め用意された対応テーブル66を格納する。
入力部606は、キーボードやマウスなどで構成され、ユーザ操作を受け付ける。表示部608は、典型的にはディスプレイであって、設備情報を入力するためのユーザインターフェイスを提供する。
USBコントローラ620は、USB接続を介して、コントローラシステム1などとの間のデータを遣り取りする。
サポート装置6は、光学ドライブ612を有しており、コンピュータ読取可能なプログラムを非一過的に格納する記録媒体614(例えば、DVD(Digital Versatile Disc)などの光学記録媒体)から、その中に格納されたプログラムが読取られてストレージ610などにインストールされる。
サポート装置6で実行されるサポートプログラム6104などは、コンピュータ読取可能な記録媒体614を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に係るサポート装置6が提供する機能は、OSが提供するモジュールの一部を利用する形で実現される場合もある。
図2には、プロセッサ602がプログラムを実行することで、サポート装置6として必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASIC(Application Specific Integrated Circuit)またはFPGA(Field-Programmable Gate Array)など)を用いて実装してもよい。
<C.コントローラシステム1>
本実施の形態に従うコントローラシステム1の構成について説明する。図3は、本実施の形態に係るコントローラシステム1の構成例を示す外観図である。図3を参照して、コントローラシステム1は、制御ユニット100と、セキュリティユニット200と、セーフティユニット300と、1または複数の機能ユニット400と、電源ユニット450とを含む。
制御ユニット100とセキュリティユニット200との間は、任意のデータ伝送路(例えば、PCI Expressあるいはイーサネット(登録商標)など)を介して接続されている。制御ユニット100とセーフティユニット300および1または複数の機能ユニット400との間は、図示しない内部バスを介して接続されている。
制御ユニット100は、コントローラシステム1において中心的な処理を実行する。制御ユニット100は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。後述のセーフティユニット300で実行される制御演算との対比で、制御ユニット100で実行される制御演算を「標準制御」とも称す。図3に示す構成例において、制御ユニット100は、1または複数の通信ポートを有している。
セキュリティユニット200は、制御ユニット100に接続され、コントローラシステム1に対するセキュリティ機能を担当する。図1に示す構成例において、セキュリティユニット200は、1または複数の通信ポートを有している。セキュリティユニット200は、インシデントの検知および、検知したインシデントに応じた処理を実行することで、インシデント対応動作の実行を実現する。
セーフティユニット300は、制御ユニット100とは独立して、制御対象に関するセーフティ機能を実現するための制御演算を実行する。セーフティユニット300で実行される制御演算を「セーフティ制御」とも称す。通常、「セーフティ制御」は、IEC 61508などに規定されたセーフティ機能を実現するための要件を満たすように設計される。「セーフティ制御」は、設備や機械などによって人の安全が脅かされることを防止するための処理を総称する。
機能ユニット400は、コントローラシステム1による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット400は、典型的には、I/Oユニット、セーフティI/Oユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。I/Oユニットとしては、例えば、デジタル入力(DI)ユニット、デジタル出力(DO)ユニット、アナログ入力(AI)ユニット、アナログ出力(AO)ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどが挙げられる。セーフティI/Oユニットは、セーフティ制御に係るI/O処理を担当する。
電源ユニット450は、コントローラシステム1を構成する各ユニットに対して、所定電圧の電源を供給する。
<D.各ユニットのハードウェア構成例>
本実施の形態に従うコントローラシステム1を構成する各ユニットのハードウェア構成例について説明する。
(d1:制御ユニット100)
図4は、本実施の形態に従うコントローラシステム1を構成する制御ユニット100のハードウェア構成例を示す模式図である。図4を参照して、制御ユニット100は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、USBコントローラ112と、メモリカードインターフェイス114と、ネットワークコントローラ116,118,120と、内部バスコントローラ122と、インジケータ124とを含む。
プロセッサ102は、二次記憶装置108またはメモリカード115に格納された各種プログラムを読み出して、主記憶装置106に展開して実行することで、標準制御に係る制御演算、および、後述するような各種処理を実現する。主記憶装置106は、DRAMまたはSRAMなどの揮発性記憶装置などで構成される。二次記憶装置108は、例えば、HDDまたはSSDなどの不揮発性記憶装置などで構成される。
チップセット104は、プロセッサ102と各コンポーネントとの間のデータの遣り取りを仲介することで、制御ユニット100全体としての処理を実現する。
二次記憶装置108には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する制御プログラムが格納される。
通信コントローラ110は、セキュリティユニット200との間のデータの遣り取りを担当する。通信コントローラ110としては、例えば、PCI Expressあるいはイーサネット(登録商標)などに対応する通信チップを採用できる。
USBコントローラ112は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。たとえば、USBコントローラ112は、サポート装置6との間のデータの遣り取りを担当する。
メモリカードインターフェイス114は、記憶媒体の一例であるメモリカード115を着脱可能に構成される。メモリカードインターフェイス114は、メモリカード115に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード115から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ116,118,120の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ116,118,120は、EtherCAT(登録商標)、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などの産業用ネットワークプロトコルを採用してもよい。
内部バスコントローラ122は、コントローラシステム1を構成するセーフティユニット300や1または複数の機能ユニット400との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。
インジケータ124は、制御ユニット100の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図4には、プロセッサ102がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、制御ユニット100の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(d2:セキュリティユニット200)
図5は、本実施の形態に従うコントローラシステム1を構成するセキュリティユニット200のハードウェア構成例を示す模式図である。図5を参照して、セキュリティユニット200は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置208と、通信コントローラ210と、USBコントローラ212と、メモリカードインターフェイス214と、ネットワークコントローラ216,218と、インジケータ224とを含む。
プロセッサ202は、二次記憶装置208またはメモリカード215に格納された各種プログラムを読み出して、主記憶装置206に展開して実行することで、後述するような各種セキュリティ機能を実現する。主記憶装置206は、DRAMまたはSRAMなどの揮発性記憶装置などで構成される。二次記憶装置208は、例えば、HDDまたはSSDなどの不揮発性記憶装置などで構成される。
チップセット204は、プロセッサ202と各コンポーネントとの間のデータの遣り取りを仲介することで、セキュリティユニット200全体としての処理を実現する。
二次記憶装置208には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセキュリティシステムプログラムが格納される。
通信コントローラ210は、制御ユニット100との間のデータの遣り取りを担当する。通信コントローラ210としては、制御ユニット100の通信コントローラ110と同様に、例えば、PCI Expressあるいはイーサネット(登録商標)などに対応する通信チップを採用できる。
USBコントローラ212は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。たとえば、USBコントローラ212は、サポート装置6との間のデータの遣り取りを担当する。
メモリカードインターフェイス214は、記憶媒体の一例であるメモリカード215を着脱可能に構成される。メモリカードインターフェイス214は、メモリカード215に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード215から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ216,218の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ216,218は、イーサネット(登録商標)などの汎用的なネットワークプロトコルを採用してもよい。
インジケータ224は、セキュリティユニット200の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図5には、プロセッサ202がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セキュリティユニット200の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(d3:セーフティユニット300)
図6は、本実施の形態に従うコントローラシステム1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。図6を参照して、セーフティユニット300は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ302と、チップセット304と、主記憶装置306と、二次記憶装置308と、メモリカードインターフェイス314と、内部バスコントローラ322と、インジケータ324とを含む。
プロセッサ302は、二次記憶装置308に格納された各種プログラムを読み出して、主記憶装置306に展開して実行することで、セーフティ制御に係る制御演算、および、後述するような各種処理を実現する。主記憶装置206は、DRAMまたはSRAMなどの揮発性記憶装置などで構成される。二次記憶装置208は、例えば、HDDまたはSSDなどの不揮発性記憶装置などで構成される。
チップセット304は、プロセッサ302と各コンポーネントとの間のデータの遣り取りを仲介することで、セーフティユニット300全体としての処理を実現する。
二次記憶装置308には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセーフティプログラムが格納される。
メモリカードインターフェイス314は、記憶媒体の一例であるメモリカード315を着脱可能に構成される。メモリカードインターフェイス314は、メモリカード315に対してセーフティプログラムや各種設定などのデータを書込み、あるいは、メモリカード315からセーフティプログラムや各種設定などのデータを読出すことが可能になっている。
内部バスコントローラ322は、内部バスを介した制御ユニット100との間のデータの遣り取りを担当する。
インジケータ324は、セーフティユニット300の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図6には、プロセッサ302がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セーフティユニット300の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
<E.制御システム10>
図7を参照して、本実施の形態に従うコントローラシステム1を備える制御システム10の典型例について説明する。図7は、本実施の形態に従うコントローラシステム1を備える制御システム10の典型例を示す模式図である。なお、説明の便宜上、図7には、機能ユニット400および電源ユニット450の記載を省略している。
一例として、図7に示す制御システム10は、設備Xを制御対象とする。設備Xは、一例として組み立て工程の設備であって、フィールドデバイス500としてワークを搬送するコンベアに加えて、コンベア上のワークに対して任意の物理的作用を与えることが可能なロボットを含む。
コントローラシステム1のセキュリティユニット200は、通信ポート243(図5のUSBコントローラ212)を介してサポート装置6が接続される。サポート装置6は、セキュリティユニット200および制御ユニット100にアクセス可能になっており、コントローラシステム1に含まれる各ユニットで実行されるプログラムの作成、デバッグ、各種パラメータの設定などの機能をユーザへ提供する。サポート装置6は、セキュリティユニット200および制御ユニット100にアクセスし、コントローラシステム1が実行するインシデント対応動作を設定する。
本実施の形態においては、サポート装置6は、セキュリティユニット200にアクセスし、対応テーブル66をセキュリティユニット200にインストールする。
コントローラシステム1のセキュリティユニット200は、通信ポート242(図5のネットワークコントローラ216)を介して第1ネットワーク2に接続されている。第1ネットワーク2には、通信ポート242を介してSCADA(Supervisory Control And Data Acquisition)装置700が接続されている。
SCADA装置700は、コントローラシステム1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、コントローラシステム1に対して内部コマンドなどを生成する。SCADA装置700は、コントローラシステム1が扱うデータを収集する機能も有している。
セキュリティユニット200は、通信ポート242を介して、CPUなどのプロセッサ(図示せず)を備えるルーター51が接続される。ルーター51は、セキュリティユニット200と外部ネットワーク50との間の通信を中継する機能およびFW(Fire Wall)52の機能などを備える。
コントローラシステム1の制御ユニット100は、通信ポート142(図4のネットワークコントローラ116)を介して第2ネットワーク4に接続されている。第2ネットワーク4には、HMI(Human Machine Interface)800およびデータベース900が接続され得る。
HMI800は、パーソナルコンピュータに相当する。HMI800は、コントローラシステム1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、コントローラシステム1に対して内部コマンドなどを生成する。HMI800は、FAの保守者が携帯可能に構成され得る。
データベース900は、コントローラシステム1から送信される各種データ(例えば、各ワークから計測されたトレーサビリティに関する情報など)を収集する。
コントローラシステム1の制御ユニット100は、通信ポート144(図2のネットワークコントローラ118)を介して、1または複数のフィールドデバイス500と接続されている。フィールドデバイス500は、生産設備X内に配置された制御演算に必要な各種情報を収集するセンサや検出器、および、ワークに対して何らかの作用を与えるアクチュエータなどを含む。図7に示す例では、フィールドデバイス500は、ワークに対して何らかの外的な作用を与えるロボット、ワークを搬送するコンベヤ、フィールドに配置されたセンサやアクチュエータとの間で信号を遣り取りするI/Oユニットなどを含む。
ここで、コントローラシステム1の機能面に着目すると、制御ユニット100は、標準制御に係る制御演算を実行する処理実行部である制御エンジン150と、外部装置との間でデータを遣り取りする情報エンジン160とを含む。セキュリティユニット200は、セキュリティ機能を実現するためのセキュリティエンジン250を含む。セーフティユニット300は、セーフティ制御に係る制御演算を実行する処理実行部であるセーフティエンジン350を含む。
各エンジンは、各ユニットのプロセッサなどの任意のハードウェア要素または各種プログラムなどの任意のソフトウェア要素、あるいは、それら要素の組合せによって実現される。各エンジンは任意の形態で実装できる。
さらに、コントローラシステム1は、エンジン同士の遣り取りを仲介するブローカー170を含む。ブローカー170の実体は、制御ユニット100およびセキュリティユニット200の一方または両方に配置してもよい。
セキュリティエンジン250は、予め定められた検知ロジックに基づいて、インシデントを検知し、対応テーブル66に従った対応を実行するため、制御ユニット100などへ対応テーブル66に従った動作をするように命令を出す。
なお、コントローラシステム1全体として、対応テーブル66に従った動作を実現できればよく、セキュリティエンジン250から命令を出力する構成に限定されない。たとえば、対応テーブル66を制御ユニット100にインストールし、セキュリティエンジン250からインシデントの種類を特定可能な情報を制御ユニット100に出力し、制御ユニット100は、対応テーブル66に従ってインシデントの種類に応じた処理を実行してもよい。
制御エンジン150は、制御対象を制御するための制御演算の実行に必要な変数テーブルおよびファンクションブロック(FB)などを保持している。変数テーブルに格納される各変数は、I/Oリフレッシュ処理により、フィールドデバイス500から取得された値で周期的に収集されるとともに、フィールドデバイス500へ各変数の値が周期的に反映される。制御エンジン150での制御演算のログは二次記憶装置108のログデータベース180に格納されてもよい。
また、制御エンジン150は、セキュリティエンジン250から通知された命令に従って、インシデント対応動作を実行する。
情報エンジン160は、制御ユニット100が保持するデータ(変数テーブルで保持される変数値)に対して任意の情報処理を実行する。典型的には、情報エンジン160は、制御ユニット100が保持するデータを周期的にデータベース900などへ送信する処理を含む。このようなデータの送信には、SQLなどが用いられる。
セーフティエンジン350は、コントローラシステム1において何らかの不正侵入が発生したか否かを検知する。セーフティエンジン350は、制御ユニット100を介して、セーフティ制御に係る制御演算の実行に必要なセーフティI/O変数を取得および反映する。セーフティエンジン350でのセーフティ制御のログは二次記憶装置308のログデータベース360に格納されてもよい。
<F.インシデント発生時の対応>
図8は、インシデントごとの挙動を規定した対応テーブル66を示す図である。図8に示す対応テーブル66における、インシデント1~インシデント3は、互いにインシデントの特性が異なる。「インシデント特性」は、検知された不正侵入(セキュリティ脅威)の属性(例えば、攻撃種類、攻撃特性、攻撃レベル、深刻度、緊急度など)を包含する用語である。
図8に示す対応テーブル66における、フェーズA~フェーズCは、互いに、制御ユニット100または制御ユニット100が制御する制御対象の動作状態が異なる。制御ユニット100の動作状態には、たとえば、通常運転中、リモートアクセス中、デバッグ中などを含む。制御ユニット100が制御する制御対象の動作状態には、たとえば、運転中、メンテナンス(保守)中、一時停止中、段取り替え中などを含む。以下、制御ユニット100または制御ユニット100が制御する制御対象の動作状態を総じて、単に「動作状態」ともいう。
図8に示す対応テーブル66における、対応1,対応2,対応4は、コントローラシステム1の挙動を示す。
すなわち、図8に示す対応テーブル66においては、インシデント特性および動作状態に応じてコントローラシステム1の挙動が規定されている。コントローラシステム1は、発生したインシデントの特性と、インシデントが発生したときの動作状態に応じて、対応テーブル66に従った挙動をとる。なお、対応テーブル66は、図8に示したようなコントローラシステム1の挙動を2軸で分類するものに限られない。
図9および図10は、対応テーブルの変形例を示す図である。図9を参照して、対応テーブル66Aは、インシデント特性に関わらず、動作状態に応じてコントローラシステム1の挙動を規定する。図10を参照して、対応テーブル66Bは、動作状態に関わらず、インシデント特性に応じてコントローラシステム1の挙動を規定する。
図8に示す例では、コントローラシステム1の挙動として、単に対応1,対応2,対応4とした。なお、コントローラシステム1の挙動として、設備制御についての対応、および、情報通信についての対応に大別できる。設備制御は、主として、制御ユニット100の制御エンジン150および/またはセーフティユニット300のセーフティエンジン350(いずれも図7参照)が担当する処理を意味し、制御対象の設備や機械の動作についての対応を意味する。情報通信は、主として、制御ユニット100の情報エンジン160が担当する処理を意味し、制御ユニット100と外部装置との間のデータの遣り取りや、制御ユニット100内部での情報の取り扱いなどについての対応を意味する。
コントローラシステム1の挙動(対応)として、たとえば、「正常運転」、「縮退」、「停止」などがあげられる。「正常運転」は、システム設計通りおよび生産計画通りに、設備や機械を運転継続できる状態を意味する。「縮退」は、コントローラシステム1の部分停止(一部のみ稼働)、性能縮小(性能低下)、機能制限などの、限定的ながら稼働を続行することを意味する。「停止」は、安全に、対象の設備や機械あるいはコントローラシステム1の動作を止めることを意味する。
「縮退」の一例について説明する。
(1)設備制御の縮退
設備制御の縮退は、範囲、機能、生産性などの面において制限を受けた状態で運転することを意味する。
範囲としては、制御対象となるゾーンを制限することができる。制御対象となるゾーンとしては、例えば、制御装置、制御装置に装着されるモジュール、制御装置に装着されるユニットなどの制御側を制限することができる。あるいは、特定の機械、ライン、フロア、工場全体といった被制御側(制御対象)を制限することができる。
機能としては、コントローラシステム1が提供する処理のうち特定の処理(例えば、情報制御、標準制御、セーフティ制御など)を制限することができる。
生産性としては、安全、安心のために一時的に生産性(例えば、ラインスピード、単位時間あたりの生産数、単位時間あたりの生産量など)を制限することができる。
(2)情報通信の縮退
情報通信の縮退は、範囲、方向、帯域、QoS(Quality of Service)、データなどの面において制限を受けた状態で運転することを意味する。
範囲としては、例えば、通信物理ポート、通信論理ポート、ネットワーク離脱などを制限できる。
通信物理ポートを制限する場合には、制御ユニット100およびセキュリティユニット200にそれぞれ配置されている通信ポートのうち特定のポート使用を制限することができる。あるいは、コントローラシステム1に実装される通信ポートのうち、上位側あるいはフィールド側のみを有効化してもよい。
通信論理ポートを制限する場合には、利用可能なTCP/UDPポートを制限してもよいし、利用可能な通信プロトコルを制限してもよい。さらに、アクセスを受け付けるMACアドレスやIPアドレスを制限してもよい。
方向としては、例えば、各ポートにおいてデータが流れる方向を一方向のみに制限してもよい。例えば、特定のポートについて、データの受信のみ許可、あるいは、データの送信のみ許可といった具合である。このような一方向のデータのみを許可することで、何らかのセキュリティ脅威が検知されたときに、コントローラシステム1からデータが流出することを防止できる。
帯域としては、コントローラシステム1の通信負荷あるいは処理負荷を低減させるために、通信速度を制限(例えば、1Gbpsから100Mbpsに変更)してもよい。
QoSとしては、通過させるパケットの優先度を動的に変化させてもよい。例えば、何らかのセキュリティ脅威が検知された場合には、通過させるパケットの優先度を高く変更してもよい。
データとしては、例えば、EtherCATなどの産業用ネットワークプロトコルにおいては、プロセスデータ通信の有効/無効の切り替えや、出力値の更新を制限(更新停止/ゼロクリア/前回値を保持など)してもよい。
上述したものに限らず、「縮退」は、正常運転に対して任意の制限が加えられた状態での運転を包含し得る。なお、「縮退」は、部分停止と見なすこともでき、「停止」は、特定の機能を全面的に停止することを包含し得るので、「縮退」を拡張した概念と見なすこともできる。
<G.設備種別に応じた対応規定>
インシデントごとの挙動を規定した対応テーブル66は、設備種別に応じて定めることが好ましい。たとえば、制御ユニット100の制御対象が充填機である場合、充填機を正常に動かしている状態で緊急停止した場合、安全性の観点から問題が残る。一方、制御ユニット100の制御対象が組立機または搬送装置である場合、組立機または搬送装置を正常に動かしている状態で緊急停止した場合であっても、安全性に問題はないと考えられる。
また、設備によっては、一度停止した後、再度復旧するために、多くの時間を要する場合がある。このような場合、設備を停止することにより受ける経済的損失が大きく、縮退運転をした方がよいことが予想される。
また、設備には、人が機械と協働して作業を行うものもある。このように、設備内で人が作業しているような場合と、設備内で人が作業していないような場合とで、人に対する安全性を考慮する必要性の有無が分かれる。
このように、設備において要求される安全性の観点、工場内における設備の重要度の観点、設備の停止による経済損失の観点などに応じて、インシデントに応じた対応を設定することが好ましい。
<H.インシデント対応の設定>
(h1.設定の流れ)
図11を参照して、サポート装置6を用いたインシデント対応の設定の流れを説明する。図11は、ユーザインターフェイス画面の遷移を示す図である。図11に示す各ユーザインターフェイス画面は、たとえば、サポート装置6の表示部608に表示される。インシデント対応の設定にあたっては、まず、設備種別の選択を受け付ける設備種別選択画面630が表示部608に表示される。
設備種別選択画面630には、設備種別を選択するための選択領域632と、選択した設備種別で決定するための決定ボタン634とが設けられている。選択領域632内の複数の設備種別の中から1の種別が選択された状態で決定ボタン634が操作されると、設備種別選択画面630から詳細設定画面640に表示部608の表示が切り替わる。
詳細設定画面640は、インシデント対応を設定するための画面である。本実施の形態においては、設備種別ごとに、インシデント対応動作として設定可能な範囲が予め定められている。ユーザは、定められた範囲内でインシデント対応動作を設定することが可能である。詳細設定画面640には、インシデント対応動作を選択するための選択領域642と、選択したインシデント対応動作で決定するための決定ボタン644と、前の画面に戻るための戻るボタン646とが設けられている。
すなわち、本実施の形態において、サポート装置6は、対応テーブルの変更を受け付けることが可能であり、設備種別ごとに変更可能な範囲が予め定められている。
決定ボタン644が操作されると、選択領域642内で規定されている対応規定をコントローラシステム1に反映するための処理を開始するための確認画面650が表示される。
確認画面650に設けられた戻るボタン652が操作されると、詳細設定画面640が再度表示され、インシデント対応動作を再度選択することができる。
確認画面650に設けられた設定開始ボタン654が操作されると、詳細設定画面640上で選択したインシデント対応動作をコントローラシステム1に反映するための処理が開始され、設定中画面670が表示されたのち、反映が完了すると完了画面680が表示される。なお、設定中画面670が表示されている間にキャンセルボタン672が操作されると、コントローラシステム1にインシデント対応動作を反映するための処理が中断され、確認画面650に戻る。
(h2.設備種別選択画面630)
図12は、設備種別選択画面630の一例を示す図である。本実施の形態において、設備種別は、制御対象の制御目的によって分類される。制御目的は、具体的には、組み立て、充填、包装、攪拌、搬送などが挙げられる。また、制御対象の名称は、制御目的に応じて付されていることが多く、制御目的による分類とは制御対象の名称による分類とも言える。図12に示す例では、ユーザは、制御対象の名称(プレス機、充填機、包装機など)を選択することで、設備種別を選択する。
このように、設備種別が制御対象の制御目的によって分類されることで、ユーザは、容易に設備種別を選択することができる。
(h3.詳細設定画面640)
図13および図14を参照して設備種別ごとの詳細設定画面640について説明する。図13は、加工機の詳細設定画面640の一例を示す図である。図14は、充填機の詳細設定画面640の一例を示す図である。
図13および図14を参照して、詳細設定画面640の選択領域642は、種別表示領域6421と、動作種別領域6422と、インシデント種別領域6423と、設定領域6424とから構成される。
種別表示領域6421には、設備種別選択画面630上で選択した設備種別が表示される。動作種別領域6422には、動作状態が表示される。図13および図14に示す例では、制御対象の動作状態が表示されている。なお、動作状態はコントローラシステム1の動作状態であってもよい。
インシデント種別領域6423には、インシデントが表示される。設定領域6424には、動作状態ごとに、インシデント発生時の挙動が表示される。
設定領域6424に表示された、動作状態およびインシデントごとの挙動は選択可能に構成されている。具体的には、タブ6425が操作されると複数種類の挙動がプルダウンリスト6426として表示され、ユーザは、一の挙動を選択することができる。
図13および図14を参照して、設定領域6424に表示される初期値は、設備種別ごとに予め定められている。たとえば、加工機の稼働中に情報偽装が発生した場合の挙動の初期値は「停止」であるのに対して、充填機の稼働中に情報偽装が発生した場合の挙動の初期値は「縮退」である。
このように、インシデントごとの挙動を選択可能にしつつ、設備種別ごとに予め初期値が設定されていることにより、現場に応じた設定を行うことが可能であり、かつ、知識の足りないユーザ(開発者)であっても、容易に設定することが可能となる。
図13および図14を参照して、動作状態およびインシデントごとの挙動として選択可能な挙動は、設備種別ごとに予め定められている。たとえば、加工機のプルダウンリスト6426内で選択可能な挙動の種類は「認証」「縮退」「停止」などであるのに対して、充填機のプルダウンリスト6426内で選択可能な挙動の種類は「縮退」「停止」などであり「認証」は選択することができない。
このように、動作状態およびインシデントごとの挙動として選択可能な挙動が設備種別ごとに予め定められていることにより、最低限の保護を担保することが可能である。
選択可能な挙動のリストは、設備種別に応じて、動作状態およびインシデントごとに予め定められている。
設備種別、動作状態およびインシデントによっては、挙動を変更できないようにしてもよい。たとえば、発生したインシデントによっては、情報資産の保護のために即座にネットワークを遮断する必要がある場合や、ユーザの安全確保のために即座に動作を停止する必要がある場合もある。このように、設備種別、動作状態およびインシデントによっては、挙動を選択できないようにすることで、情報資産の保護、安全性の確保などを確実に行うことができる。
このように、サポート装置6は、設備種別ごとにインシデント対応を予め用意し、選択された設備種別に応じたインシデント対応をコントローラシステム1に反映することができる。そのため、設備種別に応じた対応規定の設定を容易に行うことができる。特に、知識の乏しい開発者が設定を行う場合に、情報資産の流出、設備の安全性の低下などの重大な過誤が引き起こされることを事前に防止することができる。
<I.設備種別の変形例>
上記実施の形態において、設備種別は、制御目的によって分類されているものとした。なお、設備種別は、制御対象に対して求められる要望に従って分類されてもよい。すなわち、設備種別は、制御対象(設備)の名称によって分類されるのではなく、他の観点によって分類されてもよい。
制御対象に対して求める要望は、制御対象の制御目的、制御対象が設置される位置、制御対象の利用方法、設備全体における制御対象の立場などに応じて変わる。制御対象に対して求める要望が変化すると、インシデント対応時の優先順位も変わるため、インシデント対応を変えることが好ましい。
図15は、変形例における各設備種別の対応テーブルを示す図である。なお、図13中の攻撃1~攻撃3は、インシデントである。フェーズA~フェーズCは、動作状態である。また、「全対応選択可」とは、複数のインシデント対応のうちの全インシデント対応の中から選択できることを意味する。「対応2,3選択不可」とは、複数のインシデント対応のうちの対応2と対応3とは選択できないことを意味する。「対応1,2,3選択不可」、「対応2選択不可」、および「対応3選択不可」についても同様である。
図15を参照して、設備種別は、制御対象(設備)の名称ではなく、類型1、類型2、類型3…というように、他の観点によって分類される。
制御対象に対して求められる要望に従って設備種別を分類し、当該設備種別ごとに対応テーブルが用意されることで、制御対象に対して求められる要望に応じたインシデント対応を設定することが容易に可能である。
図16は、変形例1における設備種別選択画面630Aである。図16を参照して、ユーザは、YES/NOチャートに示された質問に回答し、回答に従って辿り着いた類型を選択することで設備種別を選択する。たとえば、設備種別を選択(クリック)すると、選択した設備種別に対応する詳細設定画面が表示される。なお、図16に示す各質問は、制御対象に対して求められる要望である。
図16を参照して、制御対象に対して求められる要望は、例えばセキュリティ特性に関する要望を含む。たとえば、人の安全性に関わる作業があるか否かによって、設備種別の候補が絞られる。具体的には、人の安全性に関わる作業がない場合には設備種別として類型1が候補から除かれる。一方、人の安全性に関わる作業がある場合には、類型3が候補から除かれる。
図16を参照して、制御対象に対して求められる要望は、設備における証拠情報の重要性に関する要望を含む。たとえば、証拠情報を厳密に残す必要があるか否かによって、設備種別の候補が絞られる。証拠情報を厳密に残す必要がある場合、類型3が候補から除かれる。一方、証拠情報を厳密に残す必要がない場合、類型2、類型4およびその他の類型が候補から除かれる。設備における証拠情報の重要性は、たとえば、設定対象の制御対象が、製造現場または一工程の中で補機として機能しているか、あるいは、親機として機能しているかによって異なる。
図16を参照して、制御対象に対して求められる要望は、他の設備との関係性から派生する要望を含む。たとえば、停止すると他の工程に関わるか否か、および縮退運転すると他の工程に影響するか否かによって、設備種別の候補が絞られる。具体的には、停止すると他の工程に関わる場合、類型4が候補から除かれる。一方、停止しても他の工程に関わらない場合、類型1が候補から除かれる。また、縮退運転すると他の工程に影響する場合、類型4が候補から除かれる。一方、縮退運転しても他の工程に影響しない場合、類型2およびその他の類型が候補から除かれる。
図16を参照して、制御対象に対して求められる要望は、資産の保護を観点とする要望を含む。たとえば、停止すると廃棄が発生するか否か、および緊急停止すると機械に負荷がかかるか否かによって、設備種別の候補が絞られる。具体的には、停止すると廃棄が発生する場合、類型2およびその他の類型が候補から除かれる。一方、停止しても廃棄が発生しない場合、類型1が候補から除かれる。また、緊急停止すると機械に負荷がかかる場合、その他の類型が候補から除かれる。一方、緊急停止しても機械に負荷がかからない場合、類型2が候補から除かれる。
このように、設備種別は、設備に対して求める要望によって分類されてもよい。この場合、図16に示すように、設備種別を容易に選択することができるようなユーザインターフェイス画面が提供されることが好ましい。
なお、設備種別の選択方法は、図16に示す方法に限られない。図17は、変形例2における設備種別選択画面630Bである。図18は、図17に示す設備種別選択画面630Bを介して入力された情報に従って設備種別を決定するための設備種別決定テーブル636Bの一例を示す図である。
図17を参照して、ユーザは、表示された各質問に回答を「YES」または「NO」のボタンを操作することで入力する。ユーザが表示されたすべての質問に回答した後、回答内容が確定されると、図18に示した設備種別決定テーブル636Bと、回答内容とに従って設備種別が選択される。設備種別が選択されると、選択した設備種別に対応する詳細設定画面が表示される。
図17に示す各質問は、制御対象に対して求められる要望を示す。ユーザは、「YES」または「NO」を選択することで、設定対象の制御対象に対して質問が示す要望があるか否かを選択する。
すなわち、図17に示すように、サポート装置6は、制御対象に対して求められる複数の要望の中から、設定対象の制御対象に対して求められる要望の選択を受け付け、受け付けた要望に基づいて設備種別を決定してもよい。また、図16に示したYES/NOチャートは、ウィザード形式で、順番に一つ一つの質問が表示されるような形式で提供されてもよい。
また、サポート装置6は、選択した設備種別(類型)と設備の名称とを紐付けて対応データベースに格納してもよい。図19は、変形例にかかる対応データベース660Aを示す図である。図19を参照して、対応データベース660Aには、設備の名称(アプリケーション名)と、設備種別(類型)とが紐付けられた設備種別対応テーブル662と対応テーブル66とが格納されている。
なお、設備種別(類型)と設備の名称との紐付けは、予めされていてもよく、また、ユーザによって行われても良い。たとえば、図16または図17に示した方法で設備種別を特定したのち、対象とする設備の名称の入力を受け付け、設備種別と設備の名称とを紐付けてもよい。このように、制御対象に対する要望に従って分類された設備種別と設備の名称(目的)とを紐付けることで、制御目的に応じて設備種別を選択することも、制御対象に対して求められる要望に応じて設備種別を選択することも可能となる。
また、設備の名称の選択を受け付けたのち、当該設備の名称に対応する設備種別が登録されていない場合に、図16または図17に示した方法で設備種別の選択を受け付けるような構成であってもよい。
また、新たな設備に関するプログラムをサポート装置6にインストールする場合に、当該設備に対応する設備種別または、当該設備に対するインシデント対応テーブルを併せてインストールしてもよい。
<J.対応テーブルの作成方法>
対応テーブル66は、たとえば、設備の情報に基づいて行われる脅威分析の結果および/または設備を運営する会社のセキュリティポリシーに基づいて設計される。
また、インシデント対応は、図9および図10に示したように、動作状態およびインシデントの両方に基づいて設定される必要はなく、少なくとも、設備種別に応じて設定されていればよい。
<K.その他の変形例>
上記実施の形態において、コントローラシステム1は、インシデントの検知と、検知されたインシデントに応じた処理とを別々のユニット(セキュリティユニット200と制御ユニット100)が実行するものとした。なお、インシデントの検知と、検知されたインシデントに応じた処理とを共通のユニットが実行してもよい。
また、上記実施の形態においては、一のコントローラシステムによって一の設備を制御するものとした。なお、一のコントローラシステムが複数の設備を制御してもよい。たとえば、一のセキュリティユニットに対して、複数の制御ユニットを接続させ、制御ユニットごとに一の設備を制御するような構成であってもよい。このような場合に、セキュリティユニットは、制御ユニットごとに対応テーブルを有し、インシデントの発生に従って、各対応テーブルに従った処理が実行されるように、各制御ユニットに指示しても良い。
また、この場合、各制御ユニットに対応する対応テーブルが格納されてもよい。セキュリティユニットは、インシデントの発生および/または発生したインシデントの種類を特定可能な情報を各制御ユニットに通知し、制御ユニットは、通知されたインシデントと格納されている対応テーブルに従って処理を実行してもよい。
<L.付記>
上述したような本実施の形態および変型例は、以下のような技術思想を含む。
[構成1]
制御対象(500)を制御するためのコントローラシステム(1)に接続されるサポート装置(6)であって、前記コントローラシステムは、前記コントローラシステムに発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されており、
前記サポート装置は、
予め定められた複数の設備種別のうち前記制御対象に対応する設備種別の選択を受け付ける選択手段(62,630,630A,630B)と、
設備種別ごとに予め用意された、インシデントに対する挙動を規定した対応規定(66,66A,66B,660,660A)を参照して、選択された設備種別に対応する対応規定を前記コントローラシステムに反映する設定手段(64,650)とを備える、サポート装置。
[構成2]
前記設備種別は、前記制御対象の制御目的によって分類される(632)、構成1に記載のサポート装置。
[構成3]
前記設備種別は、前記制御対象に対して求められる要望に従って分類される(630A,630B)、構成1に記載のサポート装置。
[構成4]
前記選択手段は、前記制御対象の制御目的の入力を受け付け、受け付けられた当該制御目的と選択された前記設備種別とを紐付けて記憶する、構成3に記載のサポート装置。
[構成5]
前記設定手段は、前記対応規定の変更を受け付け(6424)、
前記対応規定は、設備種別ごとに初期値が予め定められている、構成1~構成4のうちいずれか1項に記載のサポート装置。
[構成6]
前記対応規定を変更することが可能な範囲は、前記設備種別ごとに予め定められている(6426)、構成5に記載のサポート装置。
[構成7]
制御対象(500)を制御するためのコントローラシステム(1)の挙動を設定するための設定プログラム(6104)であって、前記コントローラシステムは、前記コントローラシステムに発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されており、
当該設定プログラムは、コンピュータ(6)に、
予め定められた複数の設備種別のうち前記制御対象に対応する設備種別の選択を受け付けるステップ(62,630,630A,630B)と、
設備種別ごとに予め用意された、インシデントごとの挙動を規定した対応規定(66,66A,66B,660,660A)を参照して、選択された設備種別に対応する対応規定を前記コントローラシステムに反映するステップ(64,650)とを実行させる、設定プログラム。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 コントローラシステム、2 第1ネットワーク、4 第2ネットワーク、6 サポート装置、10 制御システム、50 外部ネットワーク、51 ルーター、62 選択モジュール、64 設定モジュール、66,66A,66B 対応テーブル、100 制御ユニット、102,202,302,602 プロセッサ、104,204,304 チップセット、106,206,306 主記憶装置、108,208,308 二次記憶装置、110,210 通信コントローラ、112,212,620 USBコントローラ、114,214,314 メモリカードインターフェイス、115,215,315 メモリカード、116,118,120,216,218 ネットワークコントローラ、122,322 内部バスコントローラ、124,224,324 インジケータ、142,144,242,243 通信ポート、150 制御エンジン、160 情報エンジン、170 ブローカー、180,360 ログデータベース、200 セキュリティユニット、250 セキュリティエンジン、300 セーフティユニット、350 セーフティエンジン、400 機能ユニット、450 電源ユニット、500 フィールドデバイス、604 メインメモリ、606 入力部、608 表示部、610 ストレージ、612 光学ドライブ、614 記録媒体、618 プロセッサバス、630,630A,630B 設備種別選択画面、632,642 選択領域、634,644 決定ボタン、636B 設備種別決定テーブル、640 詳細設定画面、646,652 戻るボタン、650 確認画面、654 設定開始ボタン、660,660A 対応データベース、662 設備種別対応テーブル、670 設定中画面、672 キャンセルボタン、680 完了画面、700 SCADA装置、800 HMI、900 データベース、6104 サポートプログラム、6421 種別表示領域、6422 動作種別領域、6423 インシデント種別領域、6424 設定領域、6425 タブ、6426 プルダウンリスト。

Claims (7)

  1. フィールドデバイスを含む設備を制御対象として当該制御対象を制御するためのコントローラシステムに接続されるサポート装置であって、前記コントローラシステムは、前記コントローラシステムに発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されており、
    前記サポート装置は、
    予め定められた複数の設備種別のうち前記制御対象の設備に対応する設備種別の選択を受け付ける選択手段と、
    設備種別ごとに予め用意された、インシデントに対する挙動を規定した対応規定を参照して、選択された設備種別に対応する対応規定を前記コントローラシステムに反映する設定手段とを備える、サポート装置。
  2. 前記設備種別は、前記制御対象の制御目的によって分類される、請求項1に記載のサポート装置。
  3. 前記設備種別は、前記制御対象に対して求められる要望に従って分類される、請求項1に記載のサポート装置。
  4. 前記選択手段は、前記制御対象の制御目的の入力を受け付け、受け付けられた当該制御目的と選択された前記設備種別とを紐付けて記憶する、請求項3に記載のサポート装置。
  5. 前記設定手段は、前記対応規定の変更を受け付け、
    前記対応規定は、設備種別ごとに初期値が予め定められている、請求項1~請求項4のうちいずれか1項に記載のサポート装置。
  6. 前記対応規定を変更することが可能な範囲は、前記設備種別ごとに予め定められている、請求項5に記載のサポート装置。
  7. フィールドデバイスを含む設備を制御対象として当該制御対象を制御するためのコントローラシステムの挙動を設定するための設定プログラムであって、前記コントローラシステムは、前記コントローラシステムに発生し得るインシデントに応じて挙動を変更するインシデント対応動作を実行可能に構成されており、
    当該設定プログラムは、コンピュータに、
    予め定められた複数の設備種別のうち前記制御対象の設備に対応する設備種別の選択を受け付けるステップと、
    設備種別ごとに予め用意された、インシデントごとの挙動を規定した対応規定を参照して、選択された設備種別に対応する対応規定を前記コントローラシステムに反映するステップとを実行させる、設定プログラム。
JP2023052144A 2019-05-28 2023-03-28 サポート装置および設定プログラム Pending JP2023089019A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023052144A JP2023089019A (ja) 2019-05-28 2023-03-28 サポート装置および設定プログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019099598A JP2020194354A (ja) 2019-05-28 2019-05-28 サポート装置および設定プログラム
JP2023052144A JP2023089019A (ja) 2019-05-28 2023-03-28 サポート装置および設定プログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019099598A Division JP2020194354A (ja) 2019-05-28 2019-05-28 サポート装置および設定プログラム

Publications (1)

Publication Number Publication Date
JP2023089019A true JP2023089019A (ja) 2023-06-27

Family

ID=73545896

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019099598A Pending JP2020194354A (ja) 2019-05-28 2019-05-28 サポート装置および設定プログラム
JP2023052144A Pending JP2023089019A (ja) 2019-05-28 2023-03-28 サポート装置および設定プログラム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2019099598A Pending JP2020194354A (ja) 2019-05-28 2019-05-28 サポート装置および設定プログラム

Country Status (5)

Country Link
US (1) US20220206465A1 (ja)
EP (1) EP3979024A4 (ja)
JP (2) JP2020194354A (ja)
CN (1) CN113767347A (ja)
WO (1) WO2020240969A1 (ja)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3690144B2 (ja) 1998-11-02 2005-08-31 オムロン株式会社 プログラマブルコントローラ
TWI244603B (en) * 2001-07-05 2005-12-01 Dainippon Screen Mfg Substrate processing system for managing device information of substrate processing device
WO2009128905A1 (en) * 2008-04-17 2009-10-22 Siemens Energy, Inc. Method and system for cyber security management of industrial control systems
JP5731223B2 (ja) * 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP2014063337A (ja) * 2012-09-21 2014-04-10 Hitachi Ltd 異常検知システム及び記録媒体
US20150295944A1 (en) * 2013-07-01 2015-10-15 Hitachi, Ltd. Control system, control method, and controller
JP6442843B2 (ja) * 2014-03-14 2018-12-26 オムロン株式会社 制御装置
US10148679B2 (en) * 2015-12-09 2018-12-04 Accenture Global Solutions Limited Connected security system
WO2017064560A1 (en) * 2015-10-13 2017-04-20 Schneider Electric Industries Sas Centralized management of a software defined automation system
JP6834446B2 (ja) * 2016-12-14 2021-02-24 オムロン株式会社 制御システム、制御プログラムおよび制御方法
JP6858676B2 (ja) * 2017-09-04 2021-04-14 三菱電機株式会社 プラントのセキュリティ対処支援システム

Also Published As

Publication number Publication date
WO2020240969A1 (ja) 2020-12-03
EP3979024A4 (en) 2023-01-25
US20220206465A1 (en) 2022-06-30
EP3979024A1 (en) 2022-04-06
JP2020194354A (ja) 2020-12-03
CN113767347A (zh) 2021-12-07

Similar Documents

Publication Publication Date Title
US20230161332A1 (en) Software Defined Automation System and Architecture
DE102022115155A1 (de) Visualisierung eines softwaredefinierten prozesssteuerungsystems für industrielle prozessanlagen
DE102022115152A1 (de) Visualisierung eines softwaredefinierten prozesssteuerungssystems für industrielle prozessanlagen
DE102022114281A1 (de) Softwaredefiniertes steuerungssystem mit e/a-serverdiensten, die mit containerisierten diensten kommunizieren
RU2728504C1 (ru) Система и способ поэтапного повышения информационной безопасности элементов технологической системы
DE102022115178A1 (de) Visualisierung eines softwaredefinierten prozesssteuerungsstems für industrielle prozessanlagen
DE102022114302A1 (de) Softwaredefiniertes prozesssteuerungssystem und verfahren für industrielle prozessanlagen
WO2020166329A1 (ja) 制御システム
EP4311167A1 (en) Systems and methods for artificial intelligence-based security policy development
RU2750629C2 (ru) Система и способ выявления аномалий в технологической системе
JP2023068023A (ja) コントローラシステム
JP7180500B2 (ja) 制御システム、および設定方法
JP2023089019A (ja) サポート装置および設定プログラム
JP7255369B2 (ja) 制御システム
WO2020110876A1 (ja) コントローラシステム
JP7243326B2 (ja) コントローラシステム
JP7016837B2 (ja) コントローラシステム
RU2747461C2 (ru) Система и способ противодействия аномалиям в технологической системе
US20240223610A1 (en) Systems and methods for policy undo in operational technology devices
EP4325773A1 (en) Systems and methods for enterprise-level security policy management tool
JP7143762B2 (ja) コントローラシステム、制御装置および制御プログラム
EP4152192A1 (en) On-chassis backplane intrusion detection system and continuous threat detection enablement platform
US20240223609A1 (en) Systems and methods for provisional policies in operational technology devices
US11695660B2 (en) Monitoring system, setting device, and monitoring method
Hajarnavis et al. A Framework for Implementing Process Applications using CIP Technologies

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240423