过程控制装置及系统以及其健康性判定方法

摘要

本发明涉及一种过程控制装置，其作为过程控制装置的控制器而具有：超级管理程序；控制部，其在超级管理程序的基础上动作，通过与现场仪器的通信，对工业过程进行控制；动作模型定义部，其对动作模型进行定义，该动作模型是规定了从控制部的规格导入的动作规格的信息；跟踪信息收集部，其对硬件和控制部之间的数据交换的跟踪进行收集；以及健康性判定部，其对由动作模型定义部定义的动作模型和由跟踪信息收集部收集到的信息进行比较，判定控制器的动作状态是否健康。

说明书

技术领域

本发明涉及过程控制装置、系统以及其健康性判定方法。

本申请主张2013年7月24日申请的日本专利申请第2013－ 153875的优先权，在这里引用其内容。

背景技术

当前，在车间或工厂等(以下在将它们统称的情况下，简称为 “车间”)中，构筑对工业过程中的各种状态量(例如压力、温度、 流量等)进行控制的过程控制系统，实现高级的自动操作。具体地说， 例如，如日本国特许第4399773号公报、国际公开第2005/050336 号、及美国特许申请公开第2007/0078980号说明书所示，构成过程 控制系统的核心的控制器取得多个传感器(流量计或温度计等)的检 测结果，并对应于该检测结果求取致动器(阀等)的操作量，对应于 该操作量对致动器进行操作，从而控制上述各种状态量。

现有的车间控制系统使用各自规格的专用仪器而构筑，但近年 来的车间控制系统实现开放化，大多使用规格公开的通用仪器(计算 机或工作站等)而构筑。在这种使用通用仪器的车间控制系统中，与 通常的信息系统同样地，例如必须进行操作系统(OS)或应用程序 的功能扩展或缺陷·脆弱性的修正等软件的改善。

此外，现有的车间控制系统大多单独地构筑，但近年来的车间 控制系统，为了提高车间中的生产性，与进行生产管理等其它信息系 统连接机会增加。这样，在车间控制系统与其它信息系统连接的环境 中，由于要考虑承受来自外部的网络攻击的风险，因此持续进行上述 软件的改善(操作系统或应用程序的功能扩展或缺陷·脆弱性的修正 等)是很重要的。

在车间中构筑的车间控制系统，与通常的信息系统相比，具有 以下(1)、(2)所示的特殊性。

(1)牢固的安全性要求

在车间中，大多使用具有易燃性的化学材料等，因此如果因网 络攻击等进行非预期的操作，则在最坏的情况下，还存在引起爆炸的 可能性。因此，在车间中构筑的车间控制系统中，要求比一般的信息 系统更牢固的2级安全性。所谓2级安全性，是使控制系统对外部攻 击者不正常访问进行防御的外部攻击防御、和在控制系统的一部仪器 被攻击者劫持的情况下，使控制系统的其它仪器对被劫持的仪器的攻 击进行防御的内部攻击防御。

(2)贯穿长期的安全对策的维持

车间的寿命约为30年，是通常的信息系统的寿命的数倍。在这 种车间中设计的车间控制系统，需要在与车间寿命相同程度的贯穿长 期地维持安全对策。例如，直至达到车间的寿命之前，需要持续取得 用于对所使用的操作系统及应用程序的脆弱性进行修正的修正补丁。

上述贯穿长期地维持安全对策并不一定能实现。例如，在支持 操作系统的期间结束的情况(迎来EOS(End Of Service)的情况) 下，无法取得上述修正补丁。这样，有时无法对操作系统的脆弱性进 行修正。

在所使用的操作系统的支持结束的情况下，考虑只要导入新的 操作系统即可。但是，为了导入新的操作系统，必须要验证是否与使 用现有的操作系统的情况同样地进行动作，有时验证需要时间。此外， 在新导入的操作系统的操作性变化的情况下，需要进行用户(操作员) 的再教育，有时需要成本及时间。

发明内容

本发明的一个实施方式提供一种过程控制装置及系统及其健康 性判定方法，其不导入对操作系统及应用程序的脆弱性进行修正的修 正补丁，而可以贯穿长期地维持牢固的安全性。

本发明的一个方式的过程控制装置，可以具有：控制部，其通 过硬件与现场仪器的通信，对工业过程进行控制，该现场仪器在虚拟 化部的基础上进行动作，进行在车间实现的所述工业过程的控制所需 的测定及操作中的至少一个；存储部，其存储表示健康状态的动作的 健康动作信息；第1收集部，其收集所述硬件与所述控制部之间的数 据交换的跟踪；以及判定部，其对存储于所述存储部中的所述健康动 作信息、与由所述第1收集部收集到的信息进行比较，判定动作状态 是否健康。在这里所谓动作状态健康，是指未发生过程控制装置从其 它仪器的不正常访问或向其它仪器的不正常访问等动作的状态。

在上述过程控制装置中，所述存储部，作为所述健康动作信息， 还可以存储动作模型或第1数据，该动作模型是规定了从所述控制部 的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下 所述控制部与所述硬件之间的数据交换的跟踪。

在上述过程控制装置中，所述判定部，也可以在判定动作状态 不健康的情况下，将判定结果向外部通知。

在上述过程控制装置中，所述控制部也可以包含：操作系统， 其在所述虚拟化部的基础上进行动作；以及应用程序，其在所述操作 系统的基础上进行动作，通过与所述现场仪器的通信，对所述工业过 程进行控制。

在上述过程控制装置中，也可以还具有第2收集部，其收集所 述操作系统与所述应用程序之间的数据交换的跟踪。所述存储部也可 以在所述第1数据的基础上，作为所述健康动作信息，还存储第2 数据，该第2数据是在为健康状态的情况下所述操作系统与所述应用 程序之间的数据交换的跟踪。所述判定部也可以对所述第1数据与由 所述第1收集部收集的信息进行比较，且对所述第2数据与由所述第 2收集部收集的信息进行比较，判定动作状态是否健康。

在上述过程控制装置中，也可以至少所述第1收集部及所述判 定部，设置在所述虚拟化部中。

在上述过程控制装置中，所述硬件也可以具有多个处理装置(多 核心或多个MPU结构)。所述虚拟化部及所述控制部，也可以通过 使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的 处理装置执行而实现。

本发明第一个方式的过程控制系统，也可以具有：网络，其设 置于车间中；现场仪器，其与所述网络连接，进行在所述车间中实现 的工业过程的控制所需的测定及操作中的至少一个；以及过程控制装 置，其进行所述工业过程的控制，与所述网络连接。该过程控制装置 也可以具有：控制部，其在硬件和虚拟化部的基础上动作，通过与所 述现场仪器的通信，对所述工业过程进行控制；存储部，其存储表示 健康状态的动作健康动作信息；第1收集部，其对所述硬件与所述控 制部之间的数据交换的跟踪进行收集；以及判定部，其对在所述存储 部中存储的所述健康动作信息、与由所述第1收集部收集的信息进行 比较，判定动作状态是否健康。

上述过程控制系统，也可以还具有监视装置，其与所述网络连 接，接收从所述过程控制装置经由所述网络通知的表示动作状态是否 健康的判定结果。所述判定部也可以在判定动作状态不健康的情况 下，将判定结果向所述监视装置通知。

在上述过程控制系统中，所述存储部也可以作为所述健康动作 信息，存储动作模型或第1数据，该动作模型是规定了从所述控制部 的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下 所述控制部与所述硬件之间的数据交换的跟踪。

在上述过程控制系统中，所述控制部也可以包含：操作系统， 其在所述虚拟化部的基础上进行动作；以及应用程序，其在所述操作 系统的基础上进行动作，通过与所述现场仪器的通信，对所述工业过 程进行控制。所述过程控制装置也可以还具有第2收集部，其对所述 操作系统与所述应用程序之间的数据交换的跟踪进行收集。所述存储 部也可以在所述第1数据的基础上，作为所述健康动作信息，存储第 2数据，该第2数据是在为健康状态的情况下所述操作系统与所述应 用程序之间的数据交换的跟踪。所述判定部也可以对所述第1数据与 由所述第1收集部收集的信息进行比较，且对所述第2数据与由所述 第2收集部收集的信息进行比较，判定动作状态是否健康。

在上述过程控制系统中，也可以至少所述第1收集部及所述判 定部，设置在所述虚拟化部中。此外，所述存储部也可以设置咋I 所述虚拟化部中，所述第2收集部根据需要，也可以作为设置在操作 系统与应用程序之间的资料库等模块。由此，可以不对已有的操作系 统或应用程序进行修改而实现，因此对于在操作系统或应用程序中不 存在脆弱性的修正补丁的问题也可以应对。

在上述过程控制系统中，所述硬件也可以具有多个处理装置。 所述虚拟化部及所述控制部也可以通过使实现所述虚拟化部的程序 和实现所述控制部的程序由彼此不同的处理装置执行而实现。

本发明的一个方式的过程控制装置的健康性判定方法，也可以 具有：对表示过程控制装置为健康状态的动作的健康动作信息进行存 储，该过程控制装置具有控制部，该控制部通过硬件与现场仪器的通 信，对所述工业过程进行控制，该现场仪器在虚拟化部的基础上进行 动作，进行在车间实现的工业过程的控制所需的测定及操作中的至少 一个；对所述硬件与所述控制部之间的数据交换的跟踪进行收集；以 及对所述健康动作信息与收集到的所述硬件与所述控制部之间的数 据交换的跟踪进行比较，判定动作状态是否健康。

在上述过程控制装置的健康性判定方法中，所述健康动作信息 也可以包含动作模型或第1数据，该动作模型是规定了从所述控制部 的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下 所述控制部与所述硬件之间的数据交换的跟踪。

在上述过程控制装置的健康性判定方法中，所述控制部也可以 包含：操作系统，其在所述虚拟化部的基础上动作；应用程序，其在 所述操作系统的基础上动作，通过与所述现场仪器的通信，对所述工 业过程进行控制。所述健康性判定方法也可以还包括：作为所述健康 动作信息，对第2数据进行存储，该第2数据是为健康状态的情况下 所述操作系统与所述应用程序之间的数据交换的跟踪；以及对所述操 作系统与所述应用程序之间的数据交换的跟踪进行收集。所述动作状 态是否健康的判定，也可以通过对所述第1数据与收集到的所述硬件 和所述控制部之间的数据交换的跟踪进行比较，且对所述第2数据与 收集到的所述操作系统与所述应用程序之间的数据交换的跟踪进行 比较而进行。

根据本发明的一个实施方式，由第1收集部对硬件与控制部之 间的数据交换的跟踪进行收集，并对存储于存储部中的健康动作信息 与由第1收集部收集的信息进行比较,由判定部判定动作状态是否健 康，因此可以不导入对操作系统及应用程序的脆弱性进行修正的修正 补丁，而贯穿长期地维持牢固的安全性。

附图说明

图1是表示本发明的第1实施方式的过程控制系统的要部结构 的模块图。

图2是表示本发明的第1实施方式中的控制器的动作模型的一 例的图。

图3是表示由本发明的第1实施方式进行的过程控制系统的定 周期处理的一例的图。

图4是用于说明本发明的第1实施方式的控制器的动作概要的 流程图。

图5A是表示本发明的第1实施方式中由跟踪信息收集部收集的 信息的一例的图。

图5B是本发明的第1实施方式中由跟踪信息收集部收集的信息 的一例的图。

图6是表示本发明的第2实施方式的过程控制系统的要部结构 的模块图。

图7是表示本发明的第2实施方式中的健康状态时数据的一例 的图。

图8是用于说明本发明的第2实施方式的控制器的动作概要的 流程图。

图9是表示本发明的第2实施方式中由跟踪信息收集部收集的 信息的一例的图。

图10是表示本发明的第3实施方式的控制器的要部结构的模块 图。

图11是表示由本发明的第3实施方式进行的过程控制系统的非 定周期处理的一例的图。

图12是表示本发明的第3实施方式中由跟踪信息收集部收集的 信息的一例的图。

图13是表示本发明的第4实施方式的控制器的概略结构的模块 图。

具体实施方式

以下，参照附图，对本发明的一个实施方式的过程控制装置、 系统及其健康性判定方法详细地进行说明。

〔第1实施方式〕

图1是表示本发明的第1实施方式的过程控制系统的要部结构 模块图。如图1所示，该第1实施方式的过程控制系统1，具有多个 现场仪器10、控制器20a、20b(过程控制装置)、及监视装置30， 在监视装置30的监视下，控制器20a、20b对现场仪器10进行控制， 从而对在车间(图示省略)中实现的工业过程进行控制。此外，在该 第1实施方式的过程控制系统1中，可以判定控制器20a、20b的健 康性(是否因来自其它仪器的不正常访问或向其它仪器的不正常访问 等而在控制器20a、20b的动作中产生异常)。

现场仪器10及控制器20a、20b与现场网络N1连接，控制器 20a、20b及监视装置30与控制网络N2连接。在图1中，为了图示 的简化，省略了控制器20b与控制网络N2连接的图示。现场网络 N1是例如在车间的现场铺设的有线网络。另一方面，控制网络N2 是例如将车间的现场与监视室之间连接的有线网络。这些现场网络 N1及控制网络N2也可以是无线网络。

现场仪器10是例如流量计或温度传感器等传感器仪器、流量控 制阀或开闭阀等阀仪器、风扇或电动机等致动器仪器、以及其它在车 间现场设置的仪器。在图1中，为了容易理解，图示了在车间设置的 现场仪器10中的对流体的流量进行测定的传感器仪器11、和对流体 的流量进行控制(操作)的阀仪器12。

现场仪器10进行与从控制器20a、20b经由现场网络N1发送的 控制数据对应的动作。例如，在从控制器20a向传感器仪器11发送 测定数据(表示流体流量的测定结果的数据)的发送要求的情况下， 传感器仪器11经由现场网络N1向控制器20a发送测定数据。此外， 在从控制器20a对阀仪器12发送控制数据(对开度进行控制的数据) 的情况下，阀仪器12使流体所通过的阀的开度成为由控制数据指示 的开度。

控制器20a、20b在监视装置30的监视下进行定周期处理。所 谓定周期处理，是控制器20a、20b以一定的周期进行的处理。例如， 可以举出以一定的周期对来自现场仪器10(例如传感器仪器11)的 测定数据进行收集的处理、以一定周期对控制现场仪器10(例如阀 仪器12)的控制数据进行运算的处理、或者以一定周期向现场仪器 10(例如阀仪器12)发送控制数据的处理等。这些控制器20a、20b 的功能，通过计算机读入软件，由软件和硬件资源协同动作而实现。 以下，以由控制器20a实现的功能为例进行说明。

控制器20a的功能通过利用由MPU(Micro-Processing Unit：微 处理器)或存储器等构成的硬件21，执行所安装的程序而实现。图1 中的“RD1”～“RD3”表示NIC(Network Interface Card)或I/O (Input/Output)模块等设备(实际设备)。在控制器20a中，安装 有实现超级管理程序(Hypervisor)22(虚拟化部)的程序、实现操 作系统(OS)23a、23b(控制部)的程序、及实现应用程序24a、24b (控制部)的程序。

上述超级管理程序22，在硬件21的基础上作为硬件的代替而虚 拟地动作，可以使在虚拟机42a的基础上动作的操作系统23a及应用 程序24a、与在虚拟机42b的基础上动作的操作系统23b及应用程序 24b分别独立地动作。即，通过设置超级管理程序22，可以使操作系 统23a、23b及应用程序24a、24b如下所示进行动作。

·仅操作系统23a及应用程序24a的动作

·仅操作系统23b及应用程序24b的动作

·操作系统23a及应用程序24a和操作系统23b及应用程序24b 的并行动作

如图1所示，超级管理程序22具有设备驱动器41、实际设备跟 踪信息收集部C10、及虚拟机(VM)42a、42b。设备驱动器41在超 级管理程序22的控制下，对硬件21的设备“RD1”～“RD3”进行 驱动。实际设备跟踪信息收集部C10对硬件21(设备“RD1”～“RD3”) 与超级管理程序22之间的数据交换进行跟踪。

虚拟机42a、42b在超级管理程序22的控制下分别使操作系统 23a、23b动作。虚拟机42a具有与硬件21的设备“RD1”～“RD3” 对应的虚拟设备“VD11”～“VD13”和虚拟设备跟踪信息收集部 C11，虚拟机42b具有与硬件21的设备“RD1”～“RD3”对应的虚 拟设备“VD21”～“VD23”和虚拟设备跟踪信息收集部C12。上述 虚拟设备跟踪信息收集部C11对操作系统23a与虚拟机42a之间的 数据交换进行跟踪，上述虚拟设备跟踪信息收集部C12对操作系统 23b与虚拟机42b之间的数据交换进行跟踪。

此外，超级管理程序22具有动作模型定义部51(存储部)、跟 踪信息收集部52(第1收集部)、及健康性判定部53(判定部)。 动作模型定义部51对动作模型(健康动作信息)进行定义，该动作 模型是在控制器20a为健康状态的情况(例如，没有对控制器20a 的网络攻击或从控制器20a向其它仪器的不正常访问，控制器20a 正常地动作的情况)下，由操作系统23a、23b或应用程序24a、24b 的规格而导入的控制器20a的动作规格。即，由该动作模型规定的动 作以外的动作，可以说是由来自外部的不正常访问引起的对应动作或 由病毒等引起的不正常动作。该动作模型例如由控制器20a的提供者 (系统厂家)生成而提供。

具体地说，由动作模型定义部51定义的动作模型，如下所示， 大致分为对于定周期处理的“与处理定时相关的规格”、和“与处理 内容相关的规格”。此外，后者的“与处理内容相关的规格”，区分 为“控制处理规格”和“通信处理规格”。

·“与处理定时相关的规格”…如进行定周期处理的周期、和 在该周期内进行的各自的处理时间(最大时间或者最小时间)等，规 定了处理的定时。例如，作为定周期处理的周期而规定1[sec]， 作为在该周期内进行的输入处理、运算处理、输出处理、及通信处理 的处理时间而分别规定100[msec]、500[msec]、50[msec]、 及100[msec]。“与处理定时相关的规格”中，也可以与可容许的 误差范围(例如：±10％、1.9秒～2.1秒等)对应而规定。

·“与处理内容相关的规格”…是规定在定周期处理中进行的 处理的内容，包含规定了控制处理内容的“控制处理规格”、和规定 了通信处理内容的“通信处理规格”。上述“控制处理规格”规定了 在控制器20a中进行的控制处理的内容。例如，规定了“在输入了来 自传感器仪器11的测定数据的情况下，在经过一定时间后向阀仪器 12输出控制数据”这一内容。更具体地说，规定了表示数据的输入 输出方向的信息、表示数据的发送源或发送目的地的信息、及表示在 数据的输入输出时使用的设备(图1中的设备“RD1”～“RD3”或 虚拟设备“VD11”～“VD13”，“VD21”～“VD23”)的信息。 上述“通信处理规格”，规定了向控制器20a输入输出的数据的数据 构造(格式)、数据量等。

图2是表示在本发明的第1实施方式的过程控制系统中设置的 控制器的动作模型的一例的图。图2所示的动作模型是进行图3所示 的定周期处理的情况下的控制器20a的动作模型。图3是表示本发明 的第1实施方式中进行的过程控制系统的定周期处理的一例的图。如 图3所示，在该第1实施方式中进行的定周期处理，是将以2秒间隔 从控制器20b发送的数据由控制器20a接收，并由控制器20a以4秒 间隔相对于阀仪器12及监视装置30分别发送数据。从控制器20a 向监视装置30的数据发送，在从控制器20a向阀仪器12的数据发送 进行后的0.5秒后进行。

图2所例示的控制器的动作模型，包含“输入输出方向”、“对 象”、“使用设备”、及“周期”。上述“输入输出方向”是表示数 据的输入输出方向的信息，上述“对象”是表示数据的发送接收对象 的信息，上述“使用设备”是表示数据输入输出时所使用的设备的信 息。此外，上述“周期”是表示定周期处理的周期的信息。

例如，图2上段的动作模型M1规定下述动作：将以2秒间隔 从控制器20b发送来的数据由控制器20a的设备RD1接收(输入)， 并将该数据使用虚拟设备VD12及操作系统23a向应用程序24a传 送。此外，图2的中段的动作模型M2规定下述动作：将按顺序使用 控制器20a的虚拟设备VD11及设备RD3的数据，相对于监视装置 30以4秒间隔进行发送(输出)，图2的下段的动作模型M3规定 下述动作：将按顺序使用控制器20a的虚拟设备VD13及设备RD2 的数据，相对于阀仪器12以4秒间隔进行发送(输出)。

跟踪信息收集部52包含在超级管理程序22中直接设置的实际 设备跟踪信息收集部C10、及在超级管理程序22上的虚拟机42a、 42b中设置的虚拟设备跟踪信息收集部C11、C12，对在硬件21与 操作系统23a、23b之间进行的动作的内容进行记录、收集，从而对 硬件21与操作系统23a、23b之间的数据交换进行跟踪。例如，跟踪 信息收集部52收集所访问的设备的种类、访问的种类、访问时的输 入输出数据、访问时的时间戳、及访问的处理结果等的记录。在该第 1实施方式中，为了容易理解而示出设置两个虚拟机的例子，但在超 级管理程序22上还可以设置多个虚拟机而使多个操作系统及应用程 序动作。在该情况下，在各虚拟机上设置与各虚拟机对应的虚拟设备 跟踪信息收集部。

健康性判定部53对由动作模型定义部51定义的动作模型、与 由跟踪信息收集部52收集的信息进行比较，判定控制器20a的健康 性。具体地说，在由跟踪信息收集部52收集的信息与由动作模型定 义部51定义的动作模型相符合的情况下，判定控制器20a为健康状 态。与之相对，在由跟踪信息收集部52收集的信息与由动作模型定 义部51定义的动作模型不相符合的情况下，判定控制器20a为不健 康状态。

健康性判定部53在判定控制器20a为不健康状态的情况下，将 该情况向监视装置30通知。在健康判定部53判定控制器20a为不健 康状态的情况下，超级管理程序22进行下述应对：不对判定为不健 康状态的原始的数据进行响应。例如，在应由控制器20a的设备RD1 接收的来自控制器20b的数据由设备RD2接收到的情况下，判定为 从控制器20b进行了不正常访问，将该数据废弃而不传送至操作系统 23a、23b。

操作系统23a、23b分别在超级管理程序22的虚拟机42a、42b 的基础上进行动作，例如分别进行为了使应用程序24a、24b动作所 需的过程管理或存储器管理等各种管理。在操作系统23a中，设置用 于对在虚拟机42a中设置的虚拟设备“VD11”～“VD13”进行驱动 的设备驱动器D1，在操作系统23b中，设置用于对在虚拟机42b中 设置的虚拟设备“VD21”～“VD23”进行驱动的设备驱动器D2。

应用程序24a、24b在操作系统23a、23b的基础上进行动作， 分别进行为了进行过程控制而所需的现场仪器10的控制(例如来自 传感器仪器11的测定数据等的收集或对阀仪器12的控制数据的发送 等)。在该第1实施方式中，为了简化说明，主要以应用程序24a 进行现场仪器10的控制为例进行说明。

监视装置30例如由计算机实现，由操作员操作而用于过程的监 视。具体地说，监视装置30进行在控制器20a中动作的操作系统23a、 23b或应用程序24a、24b的动作状态的监视和管理，对应于该监视 等的结果(或者对应于操作员的操作指示)而对控制器20a进行控制。 此外，监视装置30接收从控制器20a经由控制网络N2通知的判定 结果(表示控制器20a的动作状态是否健康的判定结果)。

下面，对上述结构中的过程控制系统1的动作进行说明。图4 是用于说明本发明的第1实施方式的过程控制系统中设置的控制器 的动作的概要的流程图。首先，如图4所示，预先生成的动作模型(由 操作系统23a、23b或应用程序24a、24b的规格而导入的控制器20a 的动作规格)存储在超级管理程序22的动作模型定义部51中(步骤 S11：第1步骤)。将动作模型存储在动作模型定义部51中的作业， 例如在应用程序的构筑者将实现应用程序24a、24b的程序向操作系 统23a、23b安装时、或者安装后的应用程序24a、24b的设定(工程) 刚完成之后进行。

如果以上的作业结束，则由控制器20a的跟踪信息收集部52进 行对应用程序24a动作时的硬件21和操作系统23a间的数据交换的 跟踪进行收集的处理(步骤S12：第2步骤)。具体地说，由实际设 备跟踪信息收集部C10对硬件21和超级管理程序22间的数据交换 的跟踪进行收集，由虚拟设备跟踪信息收集部C11对操作系统23a 和虚拟机42a间的数据交换的跟踪进行收集。

并且，在健康性判定部53中对由动作模型定义部51定义的动 作模型、和由跟踪信息收集部52收集的信息进行比较，判定控制器 20a的健康性(步骤S13：第3步骤)。具体地说，在由跟踪信息收 集部52收集的信息，与由动作模型定义部51定义的动作模型相符合 的情况下，由健康性判定部53判定控制器20a为健康状态。与之相 对，在由跟踪信息收集部52收集的信息与由动作模型定义部51定义 的动作模型不相符合情况下，由健康性判定部53判定控制器20a为 不健康状态。

假设在判定控制器20a为不健康状态的情况下，由超级管理程 序22将例如由控制器20a接收到的数据或者从控制器20a要发送的 数据废弃。由此，由于超级管理程序22可以说起到作为防火墙的作 用，可以防止接收到的不正常的数据发送至操作系统23a，以及将不 正常的数据向外部发送。此外，在判定控制器20a为不健康状态的情 况下，将该情况从控制器20a向监视装置30通知。之后，在控制器 20a中，重复进行步骤S12、S13的处理。

图5A及5B是表示在本发明的第1实施方式中由跟踪信息收集 部52收集到的信息的一例的图，图5A是表示在向控制器20a输入 数据的情况下收集的信息的一例的图，图5B是表示在从控制器20a 输出数据的情况下收集的信息的一例的图。如图5A及5B所示，由 跟踪信息收集部52收集到的信息，在与图2所示的控制器20a的动 作模型同样的表示“输入输出方向”、“对象”、及“使用设备”的 信息的基础上，由表示收集信息的时间的“收集时间”(时间戳)构 成。

如图3所示，在以2秒间隔将从控制器20b发送的数据由控制 器20a接收的情况下，例如图5A所示的信息由跟踪信息收集部52 收集。具体地说，是表示“输入输出方向”为输入，“对象”为控制 器20b，“使用设备”为设备RD1→虚拟设备VD12的信息，在此基 础上，收集进行跟踪的时间(“收集时间”)。在图5A所示的例子 中，需要注意的一点是，“收集时间”与下一次的“收集时间”的时 间差为2秒。

健康性判定部53在来自控制器20b数据由控制器20a接收的情 况下，对图5A所示的信息与图2的动作模型M1进行比较，判定控 制器20a与控制器20b的通信的健康性。在图5A所示的例子中，表 示“输入输出方向”、“对象”、及“使用设备”的信息分别与图2 的动作模型M1的“输入输出方向”、“对象”、及“使用设备”一 致。此外，图5A中的“收集时间”和下一次的“收集时间”的时间 差处于图2的动作模型M1的“周期”的规定的范围内。因此，可以 说与动作模型相符合，在收集到图5A所例示的信息的情况下，健康 性判定部53判定控制器20a与控制器20b的通信为健康。

与之相对，如图3所示，在相对于监视装置30而控制器20a以 4秒间隔发送数据的情况下，例如由跟踪信息收集部52收集到图5B 所示的信息。具体地说，是表示“输入输出方向”为输出、“对象” 为监视装置30、“使用设备”为虚拟设备VD11→设备RD3的信息， 在此基础上，收集进行跟踪的时间(“收集时间”)。在图5B所示 的例子中，需要注意的一点是，“收集时间”和下一个“收集时间” 的时间差为3秒或者5秒，并不是一定的。

健康性判定部53在从控制器20a向监视装置30发送数据的情 况下，对图5B所示的信息与图2的动作模型M2进行比较，判定控 制器20a的健康性。在图5B所示的例子中，表示“输入输出方向”、 “对象”、及“使用设备”的信息，与图2的动作模型M2的“输入 输出方向”、“对象”、及“使用设备”分别一致。但是，图5B中 的“收集时间”与下一次的“收集时间”的时间差并不一定，处于图 2的动作模型M2的“周期”的规定的范围外。因此，可以说并不与 动作模型相符合，在收集到图5B所例示的信息的情况下，健康性判 定部53判定控制器20a中的操作系统23a或应用程序24a的动作状 态为不健康。

以上，为了简化说明，说明了由动作模型定义部51定义的动作 模型由“输入输出方向”、“对象”、“使用设备”、及“周期”构 成。但是，在它们的基础上，通过使用数据构造(格式)、通信定时、 数据量等规定了“通信处理规格”的动作模型，可以更高精度地判定 控制器20a的健康性。

如以上说明所示，该第1实施方式中，对动作模型进行定义， 该动作模型是由操作系统23a、23b或应用程序24a、24b的规格而导 入的控制器20a的动作规格，并对该定义模型与由跟踪信息收集部 52收集的信息(硬件21和操作系统23a之间的数据交换的跟踪)进 行比较，判定控制器20a动作状态是否健康。并且，基于其判定结果 进行数据的废弃等处理。

此外，在该第1实施方式中，表示动态动作的动作模型，起到 与表示罗列静态信息的白名单相同的作用，由于通过由跟踪信息收集 部52收集的信息与动作模型是否相符合而由控制器20a判定动作状 态是否健康，因此无论来自外部的不正常访问或病毒是已知的还是未 知的，均可以判定控制器20a的健康性。并且，在该第1实施方式中， 由于超级管理程序22可以说作为防火墙起作用，所以即使存在突破 操作系统23a、23b及应用程序24a、24b的脆弱性的不正常行为，也 不会产生由该脆弱性引起的问题。因此，可以不导入对操作系统及应 用程序的脆弱性进行修正的修正补丁，而贯穿长期地维持牢固的安全 性。

〔第2实施方式〕

图6是表示本发明的第2实施方式的过程控制系统的要部结构 的模块图。在图6中，对与图1所示的结构相当的结构标注相同的标 号。如图6所示，该第2实施方式的过程控制系统2，是取代图1中 的控制器20a、20b而设置控制器60a、60b的结构。

这些控制器60a、60b是取代图1所示的控制器20a、20b所具 有的动作模型定义部51，而设置健康状态时数据存储部61(存储部) 的结构，可以不生成第1实施方式中的动作模型而判定控制器60a、 60b的动作状态是否健康。以下，为了简化说明，以控制器60a为例 进行说明。

设置在控制器60a中的健康状态时数据存储部61，存储在控制 器60a为健康状态的情况下，在硬件21和操作系统23a、23b间的数 据交换的跟踪(健康状态时数据：第1数据)。所谓控制器60a为健 康状态，与第1实施方式中的控制器20a为健康状态的情况同样地， 是指例如没有对控制器60a进行网络攻击或从控制器60a向其他仪器 的不正常访问而正常地动作的状态。

图7是表示本发明的第2实施方式中的健康状态时数据的一例 的图。图7所示的健康状态时数据是进行与图3所示的定周期处理同 样动作的情况。图7所例示的健康状态时数据由“输入输出方向”、 “对象”、“使用设备”、“收集时间”、及“收集位置”构成。上 述“输入输出方向”、“对象”、“使用设备”、及“收集时间”与 图5所示的相同。但是，图5中的“使用设备”中规定了多个设备， 但图7中的“使用设备”仅规定了1个设备。上述“收集位置”是表 示进行健康状态时数据的收集的位置的信息。

例如，图7中的健康状态时数据d1、d2、d7、d8是进行从应用 程序24a向阀仪器12的数据的发送(输出)的情况下收集到的数据， 健康状态时数据d3、d4是进行从应用程序24a向监视装置30的数据 的发送(输出)的情况下收集到的数据。此外，健康状态时数据d5、 d6是接受到来自控制器60b的数据的情况下收集到的数据。

具体地说，健康状态时数据d1表示“输入输出方向”为输出、 “对象”为阀仪器12、“使用设备”为虚拟设备VD13的信息，是 表示在时间00：00′00″00由虚拟设备跟踪信息收集部C11收集到 的数据。此外，健康状态时数据d2表示“输入输出方向”为输出， “对象”为阀仪器12，“使用设备”为设备RD2的信息，是表示在 时间00：00′00″30由实际设备跟踪信息收集部C10收集到的数据。

下面，对于上述结构中的过程控制系统2的动作进行说明。图8 是用于说明本发明的第2实施方式的过程控制系统中设置的控制器 的动作概要的流程图。首先，如图8所示，在控制器60a为健康状态 时，进行取得健康状态时数据而存储于健康状态时数据存储部61中 的处理(步骤S21：第1步骤)。

具体地说，在将现场网络N1及控制网络N2从可能进行网络攻 击的网络分离的状态下，启动图6所示的过程控制系统2。并且，在 未进行网络攻击时，将控制器60a的硬件21与操作系统23a、23b之 间的数据交换的跟踪作为健康状态时数据而取得，并存储在健康状态 时数据存储部61中。如果健康状态时数据的存储结束，则使所存储 的健康状态时数据为读取专用，返回将现场网络N1及控制网络N2 分离前的状态。

如果以上的处理结束，则与第1实施方式同样地，由控制器60a 的跟踪信息收集部52进行对在应用程序24a动作时的硬件21与操作 系统23a之间的数据交换的跟踪进行收集的处理(步骤S22：第2步 骤)。并且，在健康性判定部53中对在健康状态时数据存储部61 中存储的健康状态时数据与由跟踪信息收集部52收集的信息进行比 较，判定控制器60a的健康性(步骤S23：第3步骤)。

具体地说，由健康性判定部53进行下述处理：将在健康状态时 数据存储部61中存储的健康状态时数据、与由跟踪信息收集部52 收集的信息按照时间序列顺序进行比较(模式匹配处理)。在它们的 内容及时间序列顺序一致的情况下，由健康性判定部53判定控制器 60a为健康状态。与之相对，在它们的内容及时间序列顺序中的至少 一方不一致的情况下，由健康性判定部53判定控制器60a为不健康 状态。在判定控制器60a为不健康状态的情况下，与第1实施方式同 样地，进行将数据废弃的处理、或向监视装置30通知该情况的处理。 以后，在控制器60a中，重复进行步骤S22、S23的处理。

图9是表示本发明的第2实施方式中由跟踪信息收集部收集的 信息的一例的图。如图9所示，由跟踪信息收集部52收集的信息， 与图7所示的健康状态时数据同样地，由“输入输出方向”、“对象”、 “使用设备”、“收集时间”、及“收集位置”构成。对图7所示的 健康状态时数据与图9所示的进行比较，可知与图7中的健康状态时 数据d6相当的数据(应配置在图9中的数据d15与数据d16之间的 数据)在图9中被丢失。因此，在收集到图9所例示的信息的情况下， 健康性判定部53判定控制器60a与控制器60b的通信不健康。

如以上说明所示，在该第2实施方式中，将在控制器60a为健 康状态时硬件21与操作系统23a之间的数据交换的跟踪作为健康状 态时数据而取得，将该健康状态时数据与由跟踪信息收集部52收集 的信息(硬件21与操作系统23a之间的数据交换的跟踪)进行比较， 判定控制器60a的动作状态是否健康。并且，基于其判定结果进行数 据的废弃等处理。因此，与第1实施方式同样地，不会发生由突破脆 弱性这样的不正常行为引起的问题。由此，可以不导入对操作系统及 应用程序的脆弱性进行修正的修正补丁，而贯穿长期地维持牢固的安 全性。

此外，在该第2实施方式中，由于在控制器60a为健康状态时， 将硬件21与操作系统23a之间的数据交换的跟踪作为健康状态时数 据而取得，因此可以省略生成动作模型的作业。此外，由于与使用动 作模型的情况相比，可以使用多种多样的模式，因此可以进行与第1 实施方式相比精度更高的判定。

〔第3实施方式〕

图10是表示设置在本发明的第3实施方式的过程控制系统中的 控制器的要部结构模块图。该第3实施方式的过程控制系统的整体结 构，是取代图6所示的过程控制系统2所具有的控制器60a、60b， 而设置控制器70a、70b(关于控制器70b省略图示)的结构。此外， 在图10中，对于与图6所示的结构相当的结构标注相同的标号。

如图10所示，该第3实施方式的过程控制系统中设置控制器 70a，是在图6所示的控制器60a的操作系统23a、23b中分别追加跟 踪信息收集部C21、C22(第2收集部)的结构。该结构的控制器70a 与图6所示的控制器60a相比，可以进行更高精度的判定，并且在进 行不是定周期处理的处理(非定周期处理)的情况下，也可以判定控 制器70a的判定动作状态是否健康。

跟踪信息收集部C21对操作系统23a与应用程序24a之间的数 据交换的跟踪进行收集，跟踪信息收集部C22对操作系统23b与应 用程序24b之间的数据交换的跟踪进行收集。在第2收集部所收集的 所述数据交换的跟踪中，包含作为应用程序的处理而对操作系统进行 的系统调用的信息，例如调出的系统调用的种类。由这些跟踪信息收 集部C21、C22收集的数据，与由跟踪信息收集部52收集的数据一 起，向由超级管理程序22的健康状态时数据存储部61或健康性判定 部53输出。

具体地说，在控制器70a为健康状态的情况下由跟踪信息收集 部C21、C22收集的数据，与由跟踪信息收集部52收集的数据一起， 作为健康状态时数据而存储在健康状态时数据存储部61中。此外， 在健康状态时数据存储在健康状态时数据存储部61中之后，由跟踪 信息收集部C21、C22收集的数据与由跟踪信息收集部52收集的数 据一起，在健康性判定部53中与健康状态时数据进行比较。

下面，对于由上述结构的控制器70a进行非定周期处理的情况 下的动作进行说明。由控制器70a进行定周期处理的情况下的动作， 与由控制器70a进行非定周期处理的情况下的动作基本上相同。图 11是表示由本发明的第3实施方式进行的过程控制系统的非定周期 处理的一例的图。图11所例示的非定周期处理，是在监视装置30 监视工厂的过程控制时，作为收集用于进行监视显示的信息(监视显 示信息)的动作而进行的。

具体地说，如果从监视装置30向控制器70a非同步地发送监视 显示信息的取得要求(步骤S31)，则在控制器70a中，进行接收该 监视显示信息的取得要求的接收处理(步骤S32)、生成监视显示信 息的生成处理(步骤S33)，在所述生成处理中，进行从传感器仪器 11取得测定数据的取得处理(步骤S34)、及发送监视显示信息的 发送处理(步骤S35)。

在上述接收处理(步骤S32)中，由硬件21接收而经由设备RD3 及虚拟设备VD11的监视显示信息的取得要求，通过插入处理而从操 作系统23a向应用程序24a通知。为了由应用程序24a接收通知，例 如使用插入处理器或信号图像。

接收到通知的应用程序24a使用(例如IPC(Inter Process  Communication)的)系统调用，对与上述取得要求对应的上述生成 处理(步骤S33)进行唤醒(wakeup)。在生成处理中，使用在上述 取得处理(步骤S34)中取得的测定数据，由应用程序24a生成监视 显示信息。所生成的监视显示信息利用上述发送处理(步骤S35)向 控制器70a的外部输出。

在上述取得处理(步骤S34)中应用程序24a调出系统调用，将 数据读出要求(read)向操作系统23a输出。基于该数据读出要求， 经由虚拟设备VD12及设备RD2从传感器仪器11取得测定数据。在 上述发送处理(步骤S35)中，应用程序24a调出系统调用，将数据 写入要求(write)向操作系统23a输出。基于该数据写入要求，经 由虚拟设备VD11及设备RD3输出监视显示信息。从控制器70a输 出的监视显示信息经由控制网络N2向监视装置30发送(步骤S36)。

图12是表示本发明的第3实施方式中由跟踪信息收集部收集的 信息的一例的图。图12所示的信息，是在进行图11所示的非同步处 理时，由跟踪信息收集部52及跟踪信息收集部C21收集的信息。在 该信息中，与所使用的设备一起作为所使用的系统调用，记录有系统 调用的种类、和系统调用所作用的对象。如果收集这种信息，则与第 2实施方式同样地，在健康性判定部53中，与在健康状态时数据存 储部61中存储的健康状态时数据进行比较，判定控制器70a是否健 康。在判定控制器70a为不健康状态的情况下，与第2实施方式同样 地进行将数据废弃的处理，或向监视装置30通知该情况的处理。

如以上说明所示，在该第3实施方式中，在控制器70a为健康 状态时，将硬件21与操作系统23a之间的数据交换的跟踪、和操作 系统23a与应用程序24a之间的数据交换的跟踪，作为健康状态时数 据而取得。并且，将健康状态时数据与由跟踪信息收集部52收集的 信息及由跟踪信息收集部C21收集的信息进行比较，判定控制器70a 的动作状态是否健康。并且，基于其判定结果进行数据的废弃等处理。 因此，与第2实施方式同样地，不导入对操作系统及应用程序的脆弱 性进行修正的修正补丁，也可以贯穿长期地维持牢固的安全性。

此外，在该第3实施方式中，在硬件21和操作系统23a之间的 数据交换的跟踪的基础上，将在操作系统23a与应用程序24a之间的 数据交换的跟踪作为健康状态时数据。因此，可以通过非同步处理的 流程，使操作系统23a与应用程序24a之间的数据交换、和硬件21 与操作系统23a之间的数据交换相关联。通过该关联后的数据是否与 健康状态时等同，可以确认应用程序24a或操作系统23a的非同步处 理的健康性。因此，在非定周期处理中，也可以判定控制器70a的动 作状态的健康性。

在该第3实施方式中，为了容易理解，以第2收集部对调出的 系统调用的种类进行收集进行了说明，但作为系统调用的信息，也可 以与系统调用的调出中使用的参数的种类或值、系统调用的返回值等 信息对应而收集，并用于健康性的判定。

此外，在该第3实施方式中，将在应用程序与操作系统之间对 信息进行发送/接收的定时作为系统调用。应用程序为了执行自身的 处理，必须进行系统调用，因此通过将定时作为系统调用，从而起到 不需要用于使应用程序与跟踪对应的特别的改造或功能追加的效果。

此外，在该第3实施方式中，第2收集部追加在操作系统中， 但在不希望对操作系统及应用程序进行修改的情况下，也可以安装在 操作系统和应用程序之间。例如，第2收集部也可以与系统调用相同 地具有接口，作为进行向系统调用的中继的资料库而安装。在任一种 安装的情况下，均通过追加应用程序的动作跟踪，从而详细地进行健 康性的判定。例如，在判断控制器为不健康状态的情况下，可以判定 不健康状态是操作系统还是应用程序。

在上述第2、第3实施方式中，在健康状态时数据存储部61中 存储健康状态时数据时，相对于健康状态时数据的“收集时间”，也 可以另外定义可视为一致的时间的误差范围(例：±10％、1.9～2.1 秒等)后进行存储。

〔第4实施方式〕

图13是表示在本发明的第4实施方式的过程控制系统中设置的 控制器的概略结构的模块图。该第4实施方式的过程控制系统的整体 结构，是取代图1所示的过程控制系统1所具有的控制器20a、20b 而设置控制器80a、80b(关于控制器80b省略图示)的结构。此外， 在图13中，对于与图1所示的结构相当的结构标注相同的标号。

如图13所示，在该第4实施方式的过程控制系统中设置的控制 器80a，是使图1所示的控制器20a的硬件21为具有多个MPU81～ 83(处理装置)的硬件21。MPU81～83表示处理器·核心，可以使 作为各不相同的程序包而安装的实施方式(单核心)，也可以是全部 作为1个程序包而安装的实施方式(多核心)。

该第4实施方式中的控制器80a的功能，通过使实现各功能的 程序由MPU81～83中的某一个执行而实现。例如，超级管理程序22 (包含动作模型定义部51、跟踪信息收集部52、及健康性判定部53) 通过由MPU81执行实现它们的程序而实现。此外，操作系统23a及 应用程序24a，通过由MPU82执行实现它们的程序而实现，操作系 统23b及应用程序24b，通过由MPU83执行实现它们的程序而实现。 执行程序的MPU81～83的分配例如由超级管理程序22进行。

这样，通过由多个MPU81～83执行实现控制器80a的各功能的 程序，从而即使出现对控制器80a的DoS(Denial of Services)攻击， 也可以防止发生控制器80a的性能恶化或服务停止的情况。即，相对 于DoS攻击，使用MPU81而超级管理程序将不正常数据包废弃，不 会增加进行应用程序24a等的处理的MPU82、83的负荷，因此不会 产生控制器80a的性能恶化等。

上述控制器80a，可以使图1所示的第1实施方式中的控制器 20a的硬件21为具有多个MPU81～83的硬件21。同样地，也可以 使图6所示的第2实施方式中的控制器60a或图10所示的第3实施 方式中的控制器70a的硬件21为具有多个MPU81～83的硬件21。

以上，对本发明的几个实施方式的过程控制装置及系统及其健 康性判定方法进行了说明，但本发明并不限定于上述实施方式，在本 发明的范围内可以自由变更。例如，在上述实施方式中，以可以使多 个操作系统或应用程序动作的虚拟环境由超级管理程序22在控制器 20a、60a、70a、80a中实现的例子进行了说明，但实现这种虚拟环 境的方法不限于超级管理程序22。例如，也可以使上述的虚拟环境 由硬件实现。

此外，在上述实施方式中，以现场仪器10可经由现场网络N1 进行数字通信为例进行了说明，但也可以使用进行模拟信号的输入输 出的现场仪器。使用这种现场仪器的情况下，将对由现场仪器输入输 出的信号(模拟信号)与经由现场网络N1通信的信号(数字信号) 进行变换的IO结点与现场网络N1连接，只要将该IO结点与现场仪 器通过模拟传送路径(例如，“4～20mA”信号的传送中使用的传送 线)连接即可。

此外，在上述实施方式中，对于动作模型定义部51(健康状态 时数据存储部61)、跟踪信息收集部52、及健康性判定部53设置在 超级管理程序22中的结构进行了说明。但是，它们也可以针对每个 虚拟机42a、42b而设置。此外，动作模型定义部51(健康状态时数 据存储部61)也可以设置在例如硬盘的记录装置或半导体存储器等 存储装置中。

此外，在上述第2、第3实施方式中，对于在控制器60a，70a 为健康状态的情况下预先取得健康状态时数据的例子进行了说明。但 是，也可以在取得健康状态时数据后，也另外取得(追加取得)健康 状态时数据。这样，即使因系统结构或应用程序的设定的变更，在由 控制器60a，70a执行的应用程序24a、24b的动作变化的情况下，也 可以无障碍地进行健康性的判定。

此外，在上述第1、第2、第3实施方式中，为了容易理解，使 虚拟设备VD11～VD13与实际设备RD1～RD3、虚拟设备VD21～ VD23与实际设备RD1～RD3分别一一对应而进行说明，但根据虚拟 设备的设计，也考虑使多个实际设备与一个虚拟设备对应的结构，或 者使一个实际设备与多个虚拟设备对应的结构。在这种结构中，也可 以收集与虚拟设备、实际设备对应的跟踪信息，与上述第1、第2、 第3实施方式同样地，可以确认控制器的动作状态的健康性。