控制程序管理系统以及控制程序的变更方法

摘要

本发明提供一种控制程序管理系统以及控制程序的变更方法。控制运算装置使认可受理装置显示从编辑装置受理的新的控制程序的内容。认可受理装置受理认可信息的输入，该认可信息表示是否认可管理者变更控制程序。控制运算装置在从认可受理装置受理的认可信息是表示认可新的控制程序的信息的情况下，将控制程序变更为新的控制程序。

说明书

技术领域

本发明涉及对控制运算装置执行的控制程序的变更进行管理的控制 程序管理系统、以及该控制运算装置执行的控制程序的变更方法。

本申请基于2012年2月27日在日本申请的特愿2012-039997号主张 优先权，并在此援引其内容。

背景技术

在发电设备中，在该发电设备中执行控制程序的控制运算装置正在运 行时，操作员或保养员想改变该控制程序的控制参数或逻辑。另外，控制 参数或逻辑的变更从中央操作室的终端(操作站、管理站)进行。因此， 开发了在线变更设定文件或控制程序的方法(参照专利文献1、2)。

此时，优选在进行变更前进行检查，以便不会因操作员或保养员将控 制程序的参数设定成错误的值或者变更为不完整的逻辑而导致设备的工 作变得不稳定。作为防止这种误动作的方法，公开了进行程序的版本检查 的方法(参照专利文献3)、检查是否具有程序的编辑权限的方法(参照专 利文献4)。

此外，国际电工技术委员会(IEC(International Electrotechnical  Commission)61508、JIS(Japanese Industrial Standards) C 0508 )推荐采用操作员不会变更为错误的控制程序的误动作防止手段。

在先技术文献

专利文献

专利文献1：JP特表2010-507848号公报

专利文献2：JP特开平7-99674号公报

专利文献3：JP特开平11-110197号公报

专利文献4：JP特表2005-535945号公报

发明内容

发明想要解决的问题

但是，即便使用专利文献3、4公开的方法，也存在无法防止被变更为 内容本身有错误的控制参数或逻辑的问题。此外，在专利文献3、4记载的 方法中，存在无法实现IEC61508或JIS C 0508所要求的误动作防止手 段的问题。

本发明的目的在于，提供一种防止控制程序的内容被变更为有错误的 控制参数或逻辑的控制程序管理系统以及控制程序的变更方法。

用于解决问题的手段

本发明的一方式为了解决上述问题而完成，控制程序管理系统具备： 控制运算装置；编辑装置，其代替所述控制运算装置正在执行的控制程序 而生成要使控制运算装置执行的新的控制程序，并发送给所述控制运算装 置；和认可受理装置，其受理认可信息的输入，并发送给所述控制运算装 置，其中，该认可信息表示是否使所述控制运算装置执行所述编辑装置生 成的新的控制程序，所述控制程序管理系统管理控制运算装置所执行的控 制程序的变更，所述控制运算装置具备：程序存储部，其存储应执行的控 制程序；程序执行部，其执行所述程序存储部存储的控制程序；临时记录 部，其从所述编辑装置受理所述新的控制程序，在缓冲器中记录所述控制 程序；提示部，其使所述认可受理装置显示所述缓冲器存储的控制程序的 内容；认可信息受理部，其从所述认可受理装置受理认可信息；和程序变 更部，其在所述认可信息受理部受理的认可信息是认可所述控制程序的信 息的情况下，将所述程序存储部存储的控制程序改写为所述缓冲器存储的 控制程序。

此外，在本发明的一方式中，还可以具备：利用者数据库，其按每个 利用者将识别所述利用者的识别信息、用于该ID的认证的认证信息、以 及所述利用者的权限相关联地存储；所述编辑装置向所述控制运算装置除 了发送所述新的控制程序外，还发送生成了所述新的控制程序的利用者的 识别信息以及认证信息，所述认可受理装置向所述控制运算装置除了发送 所述认可信息外，还发送输入了所述认可信息的利用者的识别信息以及认 证信息，所述控制运算装置的程序变更部，在与从所述编辑装置接收到的 识别信息以及认证信息相关联地由所述利用者数据库存储的权限是允许 控制程序的编辑的权限、且与从所述认可受理装置接收到的识别信息以及 认证信息相关联地由所述利用者数据库存储的权限是允许控制程序的认 可的权限的情况下，当所述认可信息受理部受理的认可信息是认可所述控 制程序的信息时，将所述程序存储部存储的控制程序改写为所述缓冲器存 储的控制程序。

此外，在本发明的一方式中，所述编辑装置也可以将使用所述新的控 制程序而生成的第1错误检测码、和使用使所述新的控制程序进行比特反 转后得到的信息而生成的第2错误检测码附加在所述新的控制程序中后发 送给所述控制运算装置，所述控制运算装置的程序变更部，在根据从所述 编辑装置接收到的附加在新的控制程序中的第1错误检测码以及第2错误 检测码而没有检测出错误的情况下，当所述认可信息受理部受理的认可信 息是认可所述控制程序的信息时，将所述程序存储部存储的控制程序改写 为所述缓冲器存储的控制程序。

此外，在本发明的一方式中，所述控制运算装置的提示部也可以模拟 所述缓冲器存储的控制程序的执行，并使所述认可受理装置显示所述模拟 的结果。

此外，在本发明的一方式中，所述控制运算装置的提示部也可以使所 述认可受理装置显示所述程序执行部正在执行的控制程序与所述缓冲器 存储的控制程序之间的差别。

此外，在本发明的一方式中，所述控制程序管理系统还可以具备：程 序储存库装置，其存储各个过去存储在所述程序存储部中的控制程序，所 述控制运算装置的提示部使所述认可受理装置显示所述程序储存库装置 存储的控制程序各自与所述缓冲器存储的控制程序之间的差别。

此外，在本发明的一方式中，所述编辑装置还可以具备：签出部，其 从所述程序储存库装置签出所述程序执行部正在执行的控制程序，为了不 能编辑所述控制程序而锁定所述控制程序；编辑部，其通过编辑所述签出 的控制程序来生成新的控制程序；发送部，其向所述控制运算装置发送所 述编辑部生成的新的控制程序；和签入部，其解除所述签出的控制程序的 锁定，向所述程序储存库装置签入所述新的控制程序；所述程序储存库装 置判定锁定了所述控制程序的利用者和解除了该锁定的利用者是否相同， 在不相同的情况下，向具有认可权限的利用者通知该不相同的情况。

此外，在本发明的一方式中，所述编辑装置还可以具备：签出部，其 从所述程序储存库装置签出所述程序执行部正在执行的控制程序，为了不 能编辑所述控制程序而锁定所述控制程序；编辑部，其通过编辑所述签出 的控制程序来生成新的控制程序；和发送部，其向所述控制运算装置发送 所述编辑部生成的新的控制程序；在所述认可受理装置受理了所述认可信 息之后解除所述程序储存库装置存储的控制程序的锁定。

此外，在本发明的一方式中，所述认可受理装置还可以在受理了所述 认可信息的情况下解除所述程序储存库装置存储的控制程序的锁定。

此外，在本发明的一方式中，所述认可受理装置也可以在受理了所述 认可信息的情况下向所述编辑装置发出通知，所述编辑装置在从所述认可 受理装置接受了通知的情况下，解除所述程序储存库装置存储的控制程序 的锁定。

此外，在本发明的一方式中，所述控制运算装置是通过冗长结构来执 行同一控制程序的多个控制运算装置，所述认可受理装置将所述认可信息 向代替所述控制运算装置的所述编辑装置发送，所述编辑装置向应用所述 新的控制程序的所有所述控制运算装置发送所述新的控制程序，向控制运 算装置传输从所述认可受理装置接收到的认可信息，所述控制运算装置的 认可信息受理部从代替所述认可受理装置的所述编辑装置受理认可信息。

此外，本发明的其他方式是一种控制运算装置执行的控制程序的变更 方法，编辑装置代替所述控制运算装置正在执行的控制程序而生成要使所 述控制运算装置执行的新的控制程序，并发送给所述控制运算装置，所述 控制运算装置的临时记录部从所述编辑装置受理所述新的控制程序后将 所述控制程序记录在缓冲器中，所述控制运算装置的提示部使认可受理装 置显示所述缓冲器存储的控制程序的内容，所述认可受理装置受理认可信 息的输入，并发送给所述控制运算装置，其中，该认可信息表示是否使所 述控制运算装置执行所述编辑装置生成的新的控制程序，所述控制运算装 置的认可信息受理部从所述认可受理装置受理认可信息，所述控制运算装 置的程序变更部，在所述认可信息受理部受理的认可信息是认可所述控制 程序的信息的情况下，将存储应当执行的控制程序的程序存储部存储的控 制程序改写为所述缓冲器存储的控制程序。

发明效果

根据本发明的几个方式，控制运算装置使认可受理装置显示编辑装置 生成的新的控制程序的内容，从而使操作员或保养员以外的第三者确认新 的控制程序的内容。之后，控制运算装置在从认可受理装置接收了表示该 第三者进行的认可的认可信息时，将该新的控制程序作为应当执行的控制 程序。由此，控制程序管理系统能够防止控制程序被变更为内容有错误的 控制参数或逻辑。

附图说明

图1是表示本发明的第1实施方式的控制程序管理系统的结构的图。

图2是表示本发明的第1实施方式的控制运算装置的结构的示意框图。

图3是表示利用者数据库所存储的信息的例子的图。

图4是表示本发明的第1实施方式的控制运算装置的动作的流程图。

图5是表示本发明的第2实施方式的控制程序管理系统的结构的图。

图6是表示本发明的第2实施方式的编辑装置的结构的示意框图。

图7是表示本发明的第3实施方式的控制程序管理系统的结构的图。

图8是表示本发明的第5实施方式的控制程序管理系统的结构的图。

具体实施方式

《第1实施方式》

以下，参照附图详细说明本发明的实施方式。

图1是表示本发明的第1实施方式的控制程序管理系统的结构的图。

控制程序管理系统具备：控制运算装置100、编辑装置200、和认可受 理装置300。

控制运算装置100通过执行控制程序来使设备运行。

编辑装置200安装于中央操作室的终端(操作站或管理站)，进行控制 运算装置100所执行的控制程序的编辑。

由操作员或保养员(利用者)操作编辑装置200。

认可受理装置300从管理者(利用者)受理通过由编辑装置200生成的 控制程序使控制运算装置100工作的认可，将表示能否认可的认可信息发 送给控制运算装置100。另外，管理者是操作员或保养员以外的第三者。

图2是表示本发明的第1实施方式的控制运算装置100的结构的示意框 图。

控制运算装置100具备：程序存储部101、程序执行部102、利用者数 据库103、利用者侧I/F部104、临时记录部105、缓冲器106、提示部107、 认可信息受理部108、程序变更部109、和现场侧I/F部110。

程序存储部101存储为了控制设备而应当执行的控制程序。

程序执行部102执行程序存储部101所存储的控制程序，经由设备侧 I/F部110控制现场装置(涡轮机、锅炉等)。

利用者数据库103存储控制程序管理系统的利用者(操作员、保养员 、管理者等)的信息。

利用者侧I/F部104在进行与编辑装置200以及认可受理装置300之间 的通信时，对该装置的利用者的信息和利用者数据库103所存储的信息进 行对照，在能够确认为是正当的利用者的情况下，进行与该装置之间的通 信。

临时记录部105受理编辑装置200生成的新的控制程序，将该新的控制 程序记录在缓冲器106中。

缓冲器106暂时存储编辑装置200生成的新的控制程序。

提示部107使缓冲器106所存储的新的控制程序的内容显示于认可受 理装置300。

认可信息受理部108从认可受理装置300受理认可信息的输入。

程序变更部109基于认可信息判定在程序存储部101中是否记录有缓 冲器106所存储的控制程序。

现场侧I/F部110进行现场装置与程序执行部之间的通信。

接着，说明利用者数据库103存储的信息。

图3是表示利用者数据库103所存储的信息的例子的图。

如图3所示，利用者数据库103按每个利用者将识别该利用者的ID( 识别信息)、用于ID认证的密码(认证信息)、以及该利用者的权限相关 联地存储。另外，利用者数据库103将密码加密或利用哈希算法处理后进 行存储。

利用者的权限有以下这4个权限：通过编辑装置200生成新的控制程序 的编辑权限、验证新的控制程序的动作的验证权限、认可通过新的控制程 序使控制运算装置100工作的情况的认可权限、和阅览新的控制程序的内 容的阅览权限。此时，为了防止同一人进行编辑和认可，对具有编辑权限 的利用者不赋予认可权限，同样地，对具有认可权限的利用者不赋予编辑 权限。

在图3所示的例中，利用者A是控制运算装置100的检验员，因此只有 阅览权限。此外，利用者B是控制运算装置100的管理者，因此有认可权 限以及阅览权限。此外，利用者C是控制运算装置100的操作员或保养员 ，因此有编辑权限、验证权限、以及阅览权限。此外，利用者D是检查操 作员或保养员进行的控制程序的编辑内容的检查负责人，因此没有编辑权 限，而有验证权限以及阅览权限。

另外，在图3中，“○”表示具有相应的权限(允许实施)，“×”表示 没有相应的权限(拒绝实施)。

接着，说明本实施方式的控制程序管理系统的动作。

图4是表示本发明的第1实施方式的控制运算装置100的动作的流程图 。

首先，若操作员或保养员操作编辑装置200来生成新的控制程序，则 向控制运算装置100发送该控制程序，因此编辑装置200访问控制运算装置 100。若编辑装置200访问控制运算装置100，则控制运算装置100的利用者 侧I/F部104对编辑装置200请求发送ID以及密码(步骤S1)。若编辑装置200 的利用者向编辑装置200输入ID以及密码，则编辑装置200向控制运算装 置100发送该ID以及密码。此时，为了进行用户认证，优选使用PAP( Password Authentication Protocol)、提高了私密性的CHAP(Challenge  Handshake Authentication Protocol)等认证协议。

若控制运算装置100的利用者侧I/F部104从编辑装置200接收ID以及 密码，则判定在利用者数据库103中是否存储有该ID以及密码的组合(步 骤S2)。在利用者数据库103中没有存储有接收到的ID以及密码的组合的 情况下(步骤S2：否)，对编辑装置200发送表示ID以及密码的组合错误 的情况的通知，返回步骤S1，等待再次接收ID以及密码。

另一方面，在利用者数据库103中存储有接收到的ID以及密码的组合 的情况下(步骤S2：是)，利用者侧I/F部104判定与该ID以及密码的组合 相关联地存储在利用者数据库103中的权限是否包含编辑权限(步骤S3) 。利用者侧I/F部104在判定为与ID以及密码的组合相关联的权限不包含编 辑权限的情况下(步骤S3：否)，对编辑装置200发送表示不允许该利用 者进行控制程序的编辑的情况的通知，不进行控制程序的变更，结束处理 。

另一方面，利用者侧I/F部104在判定为与ID以及密码的组合相关联的 权限包含编辑权限的情况下(步骤S3：是)，从编辑装置200接收新的控 制程序(步骤S4)。此时，编辑装置200将使用该新的控制程序生成的CRC (Cyclic Redundancy Check)码(第1错误检测码)、和使用使该新的 控制程序进行比特反转后得到的信息而生成的CRC码(第2错误检测码) 附加到该新的控制程序中后发送给控制运算装置100。另外，若在步骤S3 中完成了认证，则利用者侧I/F部104在与编辑装置200之间设定一段时间 (session)，在一定时间内即使不进行步骤S1～步骤S3的认证也允许进行 通信。

若利用者侧I/F部104从编辑装置200接收新的控制程序，则临时记录 部105在缓冲器106中记录该新的控制程序(步骤S5)。此时，临时记录部 105不去除接收到的新的控制程序所附带的2个CRC码，而是原样记录在缓 冲器106中。

接着，提示部107向认可受理装置300通知登记了新的控制程序的情况 (步骤S6)。

若认可受理装置300接收到表示登记了新的控制程序的情况的通知， 则认可受理装置300通过管理者的操作，为了阅览该新的控制程序的内容 而访问控制运算装置100。若认可受理装置300访问控制运算装置100，则 控制运算装置100的利用者侧I/F部104对认可受理装置300请求ID以及密 码的发送(步骤S7)。若认可受理装置300的利用者向控制运算装置100输 入ID以及密码，则认可受理装置300向控制运算装置100发送该ID以及密 码。

控制运算装置100的利用者侧I/F部104若从认可受理装置300接收ID 以及密码，则判定该ID以及密码的组合是否存储在利用者数据库103中( 步骤S8)。在接收到的ID以及密码的组合未存储在利用者数据库103中的 情况下(步骤S8：否)，对认可受理装置300发送ID以及密码的组合错误 的通知，等待ID以及密码的再次接收。

另一方面，在接收到的ID以及密码的组合存储在利用者数据库103中 的情况下(步骤S8：是)，利用者侧I/F部104判定与该ID以及密码的组合 相关联地存储在利用者数据库103中的权限是否包括阅览权限(步骤S9) 。利用者侧I/F部104在判定为与ID以及密码的组合相关联的权限不包括阅 览权限的情况下(步骤S9：否)，对认可受理装置300发送不允许该利用 者阅览控制程序的内容的通知，并返回步骤S7，等待来自具有阅览权限 的利用者的访问。

另一方面，利用者侧I/F部104在判定为与ID以及密码的组合相关联的 权限包括阅览权限的情况下(步骤S9：是)，向认可受理装置300发送表 示新的控制程序的内容的信息，从而使该信息显示于认可受理装置300( 步骤S10)。具体而言，提示部107对新的控制程序进行模拟，向认可受理 装置300发送表示该模拟结果的信息。另外，若在步骤S9中完成了认证， 则利用者侧I/F部104在与认可受理装置300之间设置一段时间，在一定时 间内即使不进行步骤S7～步骤S9的认证也允许进行通信。

若显示表示从控制运算装置100接收到的新的控制程序的内容的信息 ，则认可受理装置300从管理者受理是否认可该新的控制程序的内容的输 入。接着，认可受理装置300向控制运算装置100发送从管理者受理的认可 信息。

控制运算装置100的利用者侧I/F部104判定与在步骤S7中接收到的ID 以及密码的组合相关联地存储在利用者数据库103中的权限是否包括认可 权限(步骤S11)。利用者侧I/F部104在判定为与ID以及密码的组合相关联 的权限不包括认可权限的情况下(步骤S11：否)，不会从认可受理装置 300接收认可信息，而是发送表示无认可的权限的通知，结束与认可受理 装置300之间的通信，返回步骤S7，等待其他利用者进行的来自认可受理 装置300的访问。

另一方面，在利用者侧I/F部104判定为与ID以及密码的组合相关联的 权限包括认可权限的情况下(步骤S11：是)，认可信息受理部108接收从 认可受理装置300发送的认可信息(步骤S12)。接着，程序变更部109判 定接收到的认可信息是否表示要认可对新的控制程序的变更(步骤S13) 。

在接收到的认可信息表示要认可对新的控制程序的变更的情况下(步 骤S13：是)，程序变更部109从缓冲器106读出新的控制程序、第1CRC码 、以及第2CRC码，利用第1CRC码或第2CRC码进行新的控制程序的错误 检测(步骤S14)。

在通过第1CRC码以及第2CRC码中的任一个都没有检测到新的控制 程序的错误的情况下(步骤S14：否)，程序变更部109确认控制逻辑内的 接线中没有断线、以及未产生编译错误的情况，将程序存储部101所存储 的控制程序改写为新的控制程序(步骤S15)。

另一方面，在通过步骤S13接收到的认可信息表示不认可对新的控制 程序的变更的情况下(步骤S13：否)，或者在步骤S14中检测到新的控制 程序的错误的情况下(步骤S14：是)，不进行控制程序的变更，而是结 束处理。

另外，控制运算装置100优选将生成了新的控制程序的利用者是否具 有编辑权限(步骤S3)、输入了认可信息的利用者是否具有认可权限(步 骤S11)、根据CRC码是否检测到错误(步骤S14)、控制逻辑内的接线中 是否有断线、是否产生了编译错误这些验证结果分别作为日志而预先进行 记录。

由此，根据本实施方式，控制运算装置100使认可受理装置300显示从 编辑装置200受理的新的控制程序的内容。在从认可受理装置300受理的认 可信息认可新的控制程序的情况下，将程序存储部101所存储的控制程序 改写为新的控制程序。由此，控制程序管理系统能够防止控制运算装置100 所实施的控制程序的内容被变更为有错误的控制参数或逻辑。

此外，根据本实施方式，控制运算装置100在与从编辑装置200接收到 的ID以及密码的组合相关联的权限为允许控制程序的编辑的权限、且与 从认可受理装置300接收到的ID以及密码的组合相关联的权限为允许控 制程序的认可的权限的情况下，进行控制程序的变更。由此，控制程序管 理系统能够经过操作员或保养员以外的第三者进行的检查之后变更控制 程序。

此外，根据本实施方式，控制运算装置100在根据从编辑装置200接收 到的新的控制程序所附带的第1CRC码以及第2CRC码没有检测到错误的 情况下，进行控制程序的变更。在新的控制程序被窜改的情况下，当偶尔 根据第1CRC码没有检测到错误时，根据基于使控制程序的比特进行了反 转后得到的信息的第2CRC码进行的错误检测而能够检测出错误的可能性 较高。因此，根据本实施方式，即使在编辑装置200发送的新的控制程序 被窜改的情况下，也能够高精度地检测出该窜改。

《第2实施方式》

接着，说明本发明的第2实施方式。

图5是表示本发明的第2实施方式的控制程序管理系统的结构的图。

第2实施方式的控制程序管理系统在第1实施方式的结构的基础上还 具备设计以及保养管理装置400(程序储存库装置)。

设计以及保养管理装置400与版本信息相关联地存储以及管理控制运 算装置100当前正在执行的控制程序以及过去执行过的历史的控制程序。

图6是表示本发明的第2实施方式的编辑装置200的结构的示意框图。

编辑装置200具备：签出部201、编辑部202、发送部203、签入部204 。

签出部201从设计以及保养管理装置400签出(check out)控制运算装 置100当前正在执行的控制程序，为了无法对其进行编辑，锁定该控制程 序。签出是指从储存库取出数据后保存在本地。

编辑部202通过对签出部201签出的控制程序进行编辑来生成新的控 制程序。

发送部203向控制运算装置100发送编辑部202生成的新的控制程序。

签入部204向设计以及保养管理装置400签入新的控制程序，解除该控 制程序的锁定。签入(check in)是指向储存库写入文件。

在此，说明第2实施方式的编辑装置200进行控制程序的编辑时的动作

若操作员或保养员为了进行控制程序的编辑而开始编辑装置200的操 作，则编辑装置200的签出部201从设计以及保养管理装置400签出控制运 算装置100当前正在执行的控制程序。然后，签出部201锁定该签出的控制 程序。接着，按照操作员或保养员的操作，进行编辑部202签出的控制程 序的编辑，从而生成新的控制程序。若完成了编辑，则发送部203向控制 运算装置100发送该新的控制程序。此外，签入部204签入新的控制程序之 后解除该新的控制程序的锁定。

此时，设计以及保养管理装置400判定锁定控制程序时的编辑装置200 的利用者、和解除该锁定时的编辑装置200的利用者是否相同。可通过在 与编辑装置200进行通信时获取利用者的ID并判断该ID是否一致来进行 上述判定。在锁定时和锁定解除时利用者不相同的情况下，设计/保养管 理装置400向认可受理装置300发送表示该情况的通知。由此，能够使具有 认可权限的利用者通过见到该通知而获知没有正当编辑控制程序的情况。

接着，说明认可受理装置300的动作。

在第2实施方式中，控制运算装置100的提示部107在上述的步骤S10 中向认可受理装置300发送程序执行部102当前正在执行的控制程序的版 本信息、和缓冲器106所存储的控制程序的版本信息。然后，认可受理装 置300从设计以及保养管理装置400读出与接收到的2个版本信息相关联的 控制程序。此时，认可受理装置300也可以从设计以及保养管理装置400 检索变更规格书，向变更认证装置发送该文书。然后，认可受理装置300 生成新的控制程序与当前正在执行的控制程序之间的差别，显示该差别的 信息。

例如，认可受理装置300用红色显示新的控制程序中的变更部分(差 别)，用黑色显示无变更的部分，从而能够进行强调了差别的显示。

也就是说，本实施方式中的提示部107使认可受理装置300显示新的控 制程序与当前正在执行的控制程序之间的差别。

由此，根据本实施方式，认可受理装置300强调显示与当前正在执行 的控制程序不同的部分。由此，管理者能够降低错过控制程序中想要变更 的参数或逻辑错误部分的可能性。

此外，在控制运算装置100中完成了控制程序的变更时，认可受理装 置300向设计以及保养管理装置400通知变更后的控制程序的版本信息。然 后，设计以及保养管理装置400与该版本信息相关联地存储并管理新的控 制程序。

另外，在本实施方式，说明了将设计以及保养管理装置400设置成外 部装置的情况，但是并不限于此，设计/保养管理装置400也可以被安装于 控制运算装置100。此时，不是认可受理装置300生成控制程序的差别的信 息，而是提示部107生成该差别的信息，并使认可受理装置300显示该差别 的信息。

此外，在本实施方式中，提示部107也可以使认可受理装置300除了显 示新的控制程序与当前正在执行的控制程序之间的差别，还显示与设计以 及保养管理装置400所存储的好几代前的控制程序彼此之间的差别。由此 ，能够防止新的控制程序返回好几代前的控制程序的逻辑。

《第3实施方式》

在第2实施方式中，说明了编辑装置200对设计以及保养管理装置400 进行控制程序的签入以及解除锁定之后进行认可受理装置300的认可处理 的情况。第3实施方式中，认可受理装置300受理来自管理者的认可信息之 后，进行设计以及保养管理装置400所存储的控制程序的签入以及解除锁 定。

图7是表示本发明的第3实施方式的控制程序管理系统的结构的图。

如图7所示，在第3实施方式中，认可受理装置300与编辑装置200进行 通信。

第3实施方式的编辑装置200的签入部204不同于第2实施方式，在完成 了基于编辑部202的编辑时，不进行新的控制程序的签入以及解除锁定。 此外，第3实施方式的编辑装置200的发送部203不同于第2实施方式，在完 成了基于编辑部202的编辑时，向控制运算装置100以及认可受理装置300 发送新的控制程序。

另一方面，若生成并显示新的控制程序与当前正在执行的控制程序的 差别后受理了认可信息的输入，则认可受理装置300向控制运算装置100 以及编辑装置200发送该认可信息。并且，编辑装置200的签入部204在该 认可信息表示变更的认可的情况下，从编辑装置200签入接收到的新的控 制程序并解除锁定。另一方面，编辑装置200的签入部204在该认可信息表 示变更的否认的情况下，不会签入新的控制程序，而是解除锁定。

另外，在本实施方式中也与第2实施方式相同，设计以及保养管理装 置400也可以被安装于控制运算装置100，而且认可受理装置300也可以显 示与设计以及保养管理装置400所存储的好几代前的控制程序彼此之间的 差别。

《第4实施方式》

在第3实施方式中说明了认可受理装置300受理来自管理者的认可信 息之后编辑装置200解除控制程序的锁定的情况。在第4实施方式中，编辑 装置200锁定控制程序，认可受理装置300受理了来自管理者的认可信息时 解除该锁定。

第4实施方式的编辑装置200与第3实施方式相同，在完成了基于编辑 部202的编辑时，不进行新的控制程序的签入以及解除锁定，而是向控制 运算装置100以及认可受理装置300发送新的控制程序。

另一方面，认可受理装置300若从利用者受理了认可信息的输入，则 判定该认可信息是否表示认可对新的控制程序的变更。在认可信息表示变 更的认可的情况下，认可受理装置300向设计/保养管理装置400签入从编 辑装置200接收的新的控制程序，解除控制程序的锁定。另一方面，在认 可信息表示变更的否认的情况下，认可受理装置300不会签入新的控制程 序，而是解除控制程序的锁定。

由此，根据本实施方式，能够防止在设计以及保养管理装置400中记 录未被认可的控制程序。此外，由于直到有认可为止都锁定设计以及保养 管理装置400的控制程序，因此能够防止对同一版本的控制程序同时进行 不同的设计变更。此外，由认可受理装置300解除锁定，而不是由编辑装 置200进行，因此从受理了认可信息开始能够没有延迟地向设计以及保养 管理装置400签入新的控制程序以及解除该程序的锁定。

另外，在本实施方式中，也与第2、第3实施方式相同，可以将设计以 及保养管理装置400安装于控制运算装置100，而且认可受理装置300显示 与设计以及保养管理装置400存储的好几代前的控制程序彼此之间的差别 。

《第5实施方式》

图8是表示本发明的第5实施方式的控制程序管理系统的结构的图。

在第1～第4实施方式中，说明了对1个控制运算装置100进行控制程序 的变更的情况。但是，实际上，为了冗长化、负荷的分散，大多情况下使 用多个控制运算装置100来运行设备。这是为了减少控制运算装置100的负 荷，以运算很多控制逻辑的手段、或采用廉价的CPU(Central Processing  Unit)作为目的。因此，若通过第1～第4实施方式的控制程序管理系统进 行控制程序的变更，则管理者需要对被冗长化的编辑装置200的每一个进 行认可信息的输入。因此，在第5实施方式中，说明变更多个控制运算装 置100的控制程序的方法。

编辑装置200具有选择应用新的控制程序的控制运算装置100的功能。 并且，编辑装置200向根据上述功能选择出的所有控制运算装置100发送所 生成的新的控制程序。另一方面，若从多个控制运算装置100显示表示新 的控制程序的内容的信息，则认可受理装置300向编辑装置200发送认可信 息，其中，该认可信息包括能否对所有控制运算装置100进行变更的认可 的内容。

编辑装置200向控制运算装置100传送从认可受理装置300接收到的认 可信息。并且，控制运算装置100的认可信息受理部108从编辑装置200受 理认可信息，程序变更部109基于该认可信息来决定能否变更控制程序。 另外，取冗长结构的控制运算装置100分别与处理时刻取同步，因此在由 记录于程序存储部101中的控制程序取得了同步的时刻开始所有控制运算 装置100的处理。

由此，根据本实施方式，能够同时对多个控制运算装置100进行控制 程序的变更。由此，能够降低用于变更控制程序的利用者的负担。

以上，参照附图详细说明了该发明的一实施方式，但是具体的结构并 不限于上述，在不脱离本发明的宗旨的范围内能够进行各种设计变更等。

上述的控制运算装置100、编辑装置200、以及认可受理装置300在内 部具有计算机系统。并且，上述的各处理部的动作以程序的形式被存储在 计算机可读取的记录介质中，通过计算机读出并执行该程序，来进行上述 处理。在此，计算机可读取的记录介质是指磁盘、光磁盘、CD-ROM、 DVD-ROM、半导体存储器等。此外，也可以将该计算机程序通过通信线 路配置在计算机中，使接受了该配置的计算机执行该程序。

此外，上述程序也可以实现前述的功能的一部分。

另外，也可以通过与已在计算机系统中记录的程序的组合来实现前述 的功能，所谓的差别文件(差别程序)。

工业上的可利用性

可防止控制程序的内容被变更为有错误的控制参数或逻辑。

符号说明：

100…控制运算装置  101…程序存储部  102…程序执行部  103… 利用者数据库  104…利用者侧  I/F部  105…临时记录部  106…缓冲器 107…提示部  108…认可信息受理部  109…程序变更部  110…现场侧 I/F部  200…编辑装置  201…签出部  202…编辑部  203…发送部 204…签入部  300…认可受理装置  400…设计/保养管理装置