特許6011500 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社安川電機の特許一覧

特許6011500制御装置、セキュリティー管理システム及びセキュリティー管理方法

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6011500

(24)【登録日】2016年9月30日

(45)【発行日】2016年10月19日

(54)【発明の名称】制御装置、セキュリティー管理システム及びセキュリティー管理方法

(51)【国際特許分類】

G06F 21/31 20130101AFI20161006BHJP

G06F 21/34 20130101ALI20161006BHJP

G06F 21/62 20130101ALI20161006BHJP

G06F 21/57 20130101ALI20161006BHJP

G06F 9/445 20060101ALI20161006BHJP

【ＦＩ】

G06F21/31

G06F21/34

G06F21/62

G06F21/57 320

G06F9/06 610A

【請求項の数】5

【全頁数】17

(21)【出願番号】特願2013-191039(P2013-191039)

(22)【出願日】2013年9月13日

(65)【公開番号】特開2015-56161(P2015-56161A)

(43)【公開日】2015年3月23日

【審査請求日】2015年1月15日

(73)【特許権者】

【識別番号】000006622

【氏名又は名称】株式会社安川電機

(74)【代理人】

【識別番号】100088155

【弁理士】

【氏名又は名称】長谷川芳樹

(74)【代理人】

【識別番号】100145012

【弁理士】

【氏名又は名称】石坂泰紀

(74)【代理人】

【識別番号】100171099

【弁理士】

【氏名又は名称】松尾茂樹

(72)【発明者】

【氏名】久保田由美恵

(72)【発明者】

【氏名】平川潔

(72)【発明者】

【氏名】春木祐一

【審査官】平井誠

(56)【参考文献】

【文献】特開２００４−１５７８４５（ＪＰ，Ａ）

【文献】特開２００２−１８３０９３（ＪＰ，Ａ）

【文献】特開２０１１−００３０８５（ＪＰ，Ａ）

【文献】特開２００９−０７５７９３（ＪＰ，Ａ）

【文献】再公表特許第２００６／０８５５８４（ＪＰ，Ａ１）

【文献】特開２００２−１８５５７９（ＪＰ，Ａ）

【文献】特開２００７−１５７１３５（ＪＰ，Ａ）

【文献】特開２００７−０４２２０４（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ２１

(57)【特許請求の範囲】

【請求項1】

不揮発性記憶部と、
第１保守モード又は前記第１保守モードに比べ操作可能範囲が狭い第２保守モードで操作入力を受け入れ、当該操作入力に応じて前記不揮発性記憶部の記憶内容を更新する更新部と、
ハードウェアキーを用いて前記第１保守モードでの操作入力の許可又は禁止を決定する第１セキュリティー管理部と、
ハードウェアキーを用いずに前記第２保守モードでの操作入力の許可又は禁止を決定する第２セキュリティー管理部と、
現在の日付情報を出力する電子カレンダーと、
前記電子カレンダーを監視し、前記電子カレンダーの更新を制限するカレンダー監視部と、を備え、
前記不揮発性記憶部は固有の識別子を有し、
前記ハードウェアキーは、パスワードと有効期限とを含むライセンスファイルを記憶し、
前記第１セキュリティー管理部は、前記ライセンスファイルの前記パスワードと一致しないパスワードが入力された場合、及び前記電子カレンダーから出力される前記日付情報が前記ライセンスファイルの前記有効期限を過ぎている場合の少なくとも一方に該当する場合に、前記第１保守モードでの操作入力を禁止し、
前記第２セキュリティー管理部は、比較用の識別子及び有効期限を含むセキュリティーコードを取得し、前記不揮発性記憶部の前記固有の識別子と前記セキュリティーコードの前記比較用の識別子とが一致しない場合、及び前記電子カレンダーから出力される前記日付情報が前記セキュリティーコードの前記有効期限を過ぎている場合の少なくとも一方に該当する場合に、前記第２保守モードでの操作入力を禁止する制御装置と、
前記ライセンスファイル又は前記セキュリティーコードを生成するデータ生成装置と、
前記データ生成装置により生成された前記ライセンスファイルを前記ハードウェアキーに書き込む端末装置と、を備え、
前記データ生成装置は、ユーザーごとの信頼度を記憶したユーザー情報記憶部を有し、前記ライセンスファイル又は前記セキュリティーコードを求めるユーザーの信頼度が高くなるのに応じて前記有効期限を長くするセキュリティー管理システム。

【請求項2】

【請求項3】

【請求項4】

第１保守モード又は前記第１保守モードに比べ操作可能範囲が狭い第２保守モードで操作入力を受け入れ、当該操作入力に応じて制御装置の不揮発性記憶部の記憶内容を更新すること、
前記第１保守モードで前記記憶内容を更新する前に、ハードウェアキーを用いて前記第１保守モードでの操作入力の許可又は禁止を決定する第１セキュリティーチェックを行うこと、
前記第２保守モードで前記記憶内容を更新する前に、ハードウェアキーを用いずに前記第２保守モードでの操作入力の許可又は禁止を決定する第２セキュリティーチェックを行うこと、
前記第１セキュリティーチェックを行う前に、パスワードと有効期限とを含むライセンスファイルを生成すること、
生成された前記ライセンスファイルを前記ハードウェアキーに書き込むこと、
前記制御装置の電子カレンダーを監視し前記電子カレンダーの更新を制限すること、
前記第２セキュリティーチェックを行う前に、比較用の識別子と有効期限とを含むセキュリティーコードを生成することを含み、
前記第１セキュリティーチェックでは、前記ライセンスファイルの前記パスワードと一致しないパスワードが前記制御装置に入力された場合、及び前記電子カレンダーから出力される日付情報が前記ライセンスファイルの前記有効期限を過ぎている場合の少なくとも一方に該当する場合に、前記第１保守モードでの操作入力を禁止し、
前記第２セキュリティーチェックでは、前記不揮発性記憶部の固有の識別子と前記セキュリティーコードの前記比較用の識別子とが一致しない場合、及び前記電子カレンダーから出力される前記日付情報が前記セキュリティーコードの前記有効期限を過ぎている場合の少なくとも一方に該当する場合に、前記第２保守モードでの操作入力を禁止し、
前記ライセンスファイル又は前記セキュリティーコードを生成する際には、前記ライセンスファイルを求めるユーザーの信頼度が高くなるのに応じて前記有効期限を長くするセキュリティー管理方法。

【請求項5】

比較用の識別子を更に前記ライセンスファイルに含め、
前記第１セキュリティーチェックでは、前記ハードウェアキーの固有の識別子と前記ライセンスファイルの前記比較用の識別子とが一致しない場合にも、前記第１保守モードでの操作入力を禁止する、請求項４記載のセキュリティー管理方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、制御装置、セキュリティー管理システム及びセキュリティー管理方法に関する。

【背景技術】

【0002】

例えばロボット又はＮＣ工作機械等、制御装置により自動制御される産業機械が広く実用化されている。制御装置は、予め記憶した制御パラメータ、制御プログラム又は各種設定等の記憶内容に基づいて産業機械を制御するので、記憶内容の変更は産業機械の動作に大きな影響を及ぼす。このため、記憶内容は高い信頼性で管理される必要がある。これに対し、例えば特許文献１には、ハードウェアキーが接続され、且つパスワードの入力といった所定の操作がなされた場合に限り、各種の設定を許容する画像処理装置が開示されている。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１２−２４８１０８号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

記憶内容を高い信頼性で管理するために、特許文献１に開示された技術を制御装置に適用することが考えられる。すなわち、ハードウェアキーが装着された場合にのみ、記憶内容の更新を許容することが考えられる。この場合、ハードウェアキーの保管・使用を管理することで、記憶内容を高い信頼性で管理できる。一方、ハードウェアキーを用いることで制御装置の運用が煩雑化するおそれがある。

【0005】

そこで本発明は、運用の煩雑化を抑制しつつ、記憶内容を高い信頼性で管理できる制御装置、セキュリティー管理システム及びセキュリティー管理方法を提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明に係る制御装置は、不揮発性記憶部と、第１保守モード又は第１保守モードに比べ操作可能範囲が狭い第２保守モードで操作入力を受け入れ、当該操作入力に応じて不揮発性記憶部の記憶内容を更新する更新部と、ハードウェアキーを用いて第１保守モードでの操作入力の許可又は禁止を決定する第１セキュリティー管理部と、ハードウェアキーを用いずに第２保守モードでの操作入力の許可又は禁止を決定する第２セキュリティー管理部と、を備える。

【0007】

本発明に係るセキュリティー管理システムは、上記制御装置と、ライセンスファイル又はセキュリティーコードを生成するデータ生成装置と、データ生成装置により生成されたライセンスファイルをハードウェアキーに書き込む端末装置と、を備える。

【0008】

本発明に係るセキュリティー管理方法は、第１保守モード又は第１保守モードに比べ設定範囲が狭い第２保守モードで操作入力を受け入れ、当該操作入力に応じて制御装置の不揮発性記憶部の記憶内容を更新すること、第１保守モードで記憶内容を更新する前に、ハードウェアキーを用いて第１保守モードでの操作入力の許可又は禁止を決定する第１セキュリティーチェックを行うこと、第２保守モードで記憶内容を更新する前に、ハードウェアキーを用いずに第２保守モードでの操作入力の許可又は禁止を決定する第２セキュリティーチェックを行うことを含む。

【発明の効果】

【0009】

本発明によれば、制御装置の運用の煩雑化を抑制しつつ、記憶内容を高い信頼性で管理できる。

【図面の簡単な説明】

【0010】

【図1】セキュリティー管理システムの概略構成を示す模式図である。

【図2】セキュリティー管理システムの機能的構成を示すブロック図である。

【図3】第１保守モード用のライセンスファイルの発行手順を示すフローチャートである。

【図4】第１保守モードでの記憶内容の更新手順を示すフローチャートである。

【図5】第２保守モード用のセキュリティーコードの発行手順を示すフローチャートである。

【図6】第２保守モードでの記憶内容の更新手順を示すフローチャートである。

【図7】バックアップファイルの出力手順を示すフローチャートである。

【図8】記憶内容の復旧手順を示すフローチャートである。

【発明を実施するための形態】

【0011】

以下、本発明の好適な実施形態について、図面を参照しつつ詳細に説明する。同一要素又は同一機能を有する要素には同一の符号を付し、重複する説明を省略する。

【0012】

〔セキュリティー管理システム〕
図１及び図２に示すように、セキュリティー管理システム１は、コントローラー２と、ハードウェアキー６と、端末装置７と、データ生成装置８とを備える。

【0013】

コントローラー２は、多関節ロボットＡ１の制御装置であり、中央演算部３と、サーボユニット４と、ティーチングペンダント５とを有する。サーボユニット４は、指令入力に応じて多関節ロボットＡ１のアクチュエータに電力を供給する。

【0014】

中央演算部３は、各種演算を行い、サーボユニット４を介して多関節ロボットＡ１を制御する。中央演算部３は、送受信部３０と、不揮発性記憶部３１と、制御用演算部３２と、更新部３３と、セキュリティー管理部３４Ａ〜３４Ｃと、電子カレンダー３５と、カレンダー監視部３６と、バックアップ出力部３７と、バックアップ入力部３８とを有する。

【0015】

送受信部３０は、ティーチングペンダント５との間で各種データの送受信を行う。不揮発性記憶部３１は、例えば不揮発性の半導体メモリーであり、固有の識別子（以下、「メモリーＩＤ」という。）を有する。不揮発性記憶部３１は、制御パラメータ、制御プログラム又は各種設定等を記憶する。制御用演算部３２は、不揮発性記憶部３１の記憶内容に基づいて各種演算を行い、サーボユニット４を介して多関節ロボットＡ１を制御する。

【0016】

更新部３３は、送受信部３０を介して操作入力を受け入れし、当該操作入力に応じて不揮発性記憶部３１の記憶内容を更新する。更新部３３は、第１保守モード又は第２保守モードで操作入力を受け入れる。第２保守モードでの操作可能範囲は、第１保守モードでの操作可能範囲に比べ狭い。例えば、第１保守モードはコントローラー２の全機能についての記憶内容の更新を可能とするのに対し、第２保守モードはコントローラー２の一部の機能に限って記憶内容の更新を可能とする。

【0017】

セキュリティー管理部（第１セキュリティー管理部）３４Ａは、第１保守モードでの操作入力の許可又は禁止を決定する。セキュリティー管理部３４Ａは、送受信部３０を介してハードウェアキー６からライセンスファイル（後述）を取得し、これを用いて第１保守モードでの操作入力の許可又は禁止を決定する。すなわち、セキュリティー管理部３４Ａは、ハードウェアキー６を用いる。

【0018】

セキュリティー管理部（第２セキュリティー管理部）３４Ｂは、第２保守モードでの操作入力の許可又は禁止を決定する。セキュリティー管理部３４Ｂは、送受信部３０を介してセキュリティーコード（後述）を取得し、これを用いて第２保守モードでの操作入力の許可又は禁止を決定する。セキュリティーコードは、ユーザーにより入力される。すなわち、セキュリティー管理部３４Ｂはハードウェアキー６を用いない。

【0019】

電子カレンダー３５は、タイマーにより経過時間をカウントし、セキュリティー管理部３４Ａ及びセキュリティー管理部３４Ｂに現在の日付情報を出力する。日付情報は、年月日及び時刻の情報を含み、ライセンスファイル又はセキュリティーコードの有効期限との比較に用いられる。電子カレンダー３５は、送受信部３０を介して操作入力を受け入れ、当該操作入力に応じて現在の日付を更新する。

【0020】

カレンダー監視部３６は、電子カレンダー３５を監視し、電子カレンダー３５の更新を制限する。具体的には、電子カレンダー３５の日付情報の初期設定がなされた後に、現在時刻を過去側に所定時間以上ずらすことを所定回数以内に制限する。所定時間は例えば２４時間である。所定回数は例えば５回である。

【0021】

バックアップ出力部３７は、不揮発性記憶部３１の記憶内容に対応する第１データと、当該第１データについて算出されるチェック値（後述）と、不揮発性記憶部３１のメモリーＩＤとを含む第１ファイルを生成し、送受信部３０を介して第１ファイルを出力する。

【0022】

バックアップ入力部３８は、送受信部３０を介して上記第１ファイルを取得し、第１ファイルに含まれる第１データに基づいて不揮発性記憶部３１の記憶内容を復旧させる。

【0023】

セキュリティー管理部３４（第３セキュリティー管理部）Ｃは、バックアップ入力部３８により取得されたファイルの内容に基づいて、記憶内容の復旧の許可又は禁止を決定する。

【0024】

ティーチングペンダント５は、入力用の装置であり、ケーブルを介して中央演算部３に接続されている。ティーチングペンダント５は、送受信部５０と、入力部５１と、表示部５２と、コネクター５３とを有する。

【0025】

送受信部５０は、中央演算部３との間で各種データの送受信を行う。入力部５１は、例えば複数の入力ボタンによりユーザーによる操作入力を受け入れ、その入力内容を送受信部５０に出力して中央演算部３に送信する。表示部５２は、例えば液晶モニターであり、中央演算部３に対する送受信内容等を表示する。コネクター５３は、例えばＵＳＢメモリー等の記憶媒体を装着可能である。コネクター５３には、ハードウェアキー６が装着される。また、コネクター５３には、記憶内容の復旧用の記憶媒体等も装着される。

【0026】

ハードウェアキー６は、例えばＵＳＢメモリー等の記憶媒体であり、コネクター６０と、ＩＤ記憶部６１と、ライセンス記憶部６２とを有する。コネクター６０は、ティーチングペンダント５のコネクター５３又は端末装置７のコネクター（不図示）に接続される。ＩＤ記憶部６１は、ハードウェアキー６の固有の識別子（以下、「キーＩＤ」という。）を記憶し、コネクター６０を介して外部に出力する。ライセンス記憶部６２は、ライセンスファイルを記憶する。

【0027】

端末装置７は、例えばネットワーク回線を介してデータ生成装置８に接続されたコンピュータであり、データ生成装置８にライセンスファイル又はセキュリティーコードの生成を要求し、生成されたライセンスファイル又はセキュリティーコードをデータ生成装置８から取得する。ネットワーク回線は、例えばＶＰＮ（ＶｅｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）である。端末装置７は、データ生成装置８により生成されたライセンスファイルをハードウェアキー６に書き込む。

【0028】

データ生成装置８は例えばサーバであり、端末装置７からの要求に応じてライセンスファイル又はセキュリティーコードを生成し、生成したライセンスファイル又はセキュリティーコードを端末装置７に送信する。データ生成装置８は、送受信部８０と、ユーザー情報記憶部８１と、ライセンスファイル生成部８２と、セキュリティーコード生成部８３とを有する。

【0029】

送受信部８０は、上記ネットワーク回線を介し、端末装置７との間でデータの送受信を行う。

【0030】

ユーザー情報記憶部８１は、ライセンスファイル又はセキュリティーコードを要求するユーザーごとの情報を記憶する。この情報には、ユーザー名等のユーザー識別情報と、ユーザーが所有するハードウェアキー６のキーＩＤとが含まれる。この情報は、予めデータ生成装置８に登録されている。ユーザーがハードウェアキー６を紛失した場合に、当該ユーザーは、新たなハードウェアキー６のキーＩＤをデータ生成装置８に登録しなおす必要がある。ユーザー情報記憶部８１は、同一ユーザーによるハードウェアキー６の登録回数が所定回数に達すると、ハードウェアキー６の再登録を禁止する。これにより、ハードウェアキー６の数が増加してセキュリティー管理の信頼性が低下してしまうことを抑制できる。

【0031】

ライセンスファイル生成部８２は、端末装置７からの要求に応じてライセンスファイルを生成する。セキュリティーコード生成部８３は、端末装置７からの要求に応じてセキュリティーコードを生成する。

【0032】

〔セキュリティー管理方法〕
セキュリティー管理システム１は、本実施形態に係るセキュリティー管理方法を実行する。以下、セキュリティー管理方法の実行手順について説明する。

【0033】

（第１保守モード用のライセンスファイルの発行手順）
第１保守モード用のライセンスファイルの発行処理は、端末装置７及びライセンスファイル生成部８２により実行される。

【0034】

図３に示すように、端末装置７は、ハードウェアキー６が装着された後に当該ハードウェアキー６のキーＩＤを取得する（Ｓ０１）。

【0035】

次に、端末装置７は、ライセンスファイル生成用のデータ（以下、「ファイル生成用データ」という。）を取得する（Ｓ０２）。ファイル生成用データはユーザーにより入力される。このデータには、ユーザー識別情報と、ユーザーにより設定されたパスワードとが含まれる。

【0036】

次に、端末装置７は、キーＩＤとファイル生成用データとをデータ生成装置８に送信し、ライセンスファイルの発行を要求する（Ｓ０３）。キーＩＤ及びファイル生成用データは、送受信部８０を介してライセンスファイル生成部８２に取得される。

【0037】

次に、ライセンスファイル生成部８２は、ユーザー情報記憶部８１を参照し、キーＩＤが適正であるかどうかを確認する（Ｓ０４）。具体的には、端末装置７から取得したキーＩＤと、ファイル生成用データのユーザー識別情報との組み合わせがユーザー情報記憶部８１に予め登録されているものと合致すれば、キーＩＤが適正であると判定する。キーＩＤが適正ではない場合、ライセンスファイルを発行することなく処理が中止される。

【0038】

キーＩＤが適正である場合、ライセンスファイル生成部８２は、ライセンスファイルを生成し、送受信部８０から端末装置７に送信する（Ｓ０５）。ライセンスファイルは、例えば比較用のキーＩＤと、パスワードと、有効期限とを含む情報を暗号化したものである。ライセンスファイルに含まれるパスワードは、ファイル生成用データに含まれていたパスワードである。

【0039】

次に、端末装置７は、データ生成装置８から送信されたライセンスファイルをハードウェアキー６のライセンス記憶部６２に書き込む（Ｓ０６）。

【0040】

以上でライセンスファイルの発行が完了する。Ｓ０１〜Ｓ０６の順序は適宜変更可能である。ライセンスファイルが書き込まれたハードウェアキー６は、ティーチングペンダント５のコネクター５３に装着され、第１保守モードでの記憶内容の更新に用いられる。

【0041】

（第１保守モードでの記憶内容の更新手順）
第１保守モードでの記憶内容の更新処理は、更新部３３及びセキュリティー管理部３４Ａにより実行される。ライセンスファイルが書き込まれたハードウェアキー６は、予めティーチングペンダント５のコネクター５３に装着されているものとする。

【0042】

図４に示すように、更新部３３は、第１保守モードでの操作入力要求を指定を取得する（Ｓ１１）。第１保守モードでの操作入力要求は、ユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介して更新部３３に取得される。

【0043】

更新部３３が第１保守モードでの操作入力要求を取得すると、セキュリティー管理部３４Ａは、キーＩＤ、ライセンスファイル、パスワードを取得する（Ｓ１２）。キーＩＤ及びライセンスファイルは、ハードウェアキー６のＩＤ記憶部６１及びライセンス記憶部６２からそれぞれ出力され、送受信部５０及び送受信部３０を介してセキュリティー管理部３４Ａに取得される。パスワードは、ユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介してセキュリティー管理部３４Ａに取得される。

【0044】

次に、セキュリティー管理部３４Ａは、ハードウェアキー６から取得したキーＩＤと、ライセンスファイルに含まれる比較用のキーＩＤとが一致するかどうかを確認する（Ｓ１３）。キーＩＤ同士が一致しない場合に、セキュリティー管理部３４Ａは、第１保守モードでの記憶内容の更新を禁止して（Ｓ１８）処理を中止する。

【0045】

キーＩＤ同士が一致する場合に、セキュリティー管理部３４Ａは、ユーザーにより入力されたパスワードと、ライセンスファイルに含まれるパスワードとが一致するかどうかを確認する（Ｓ１４）。パスワード同士が一致しない場合に、セキュリティー管理部３４Ａは、第１保守モードでの記憶内容を禁止して（Ｓ１８）処理を中止する。

【0046】

パスワード同士が一致する場合に、セキュリティー管理部３４Ａは、電子カレンダー３５から出力される現在の日付情報が、ライセンスファイルに含まれる有効期限内であるかどうかを確認する（Ｓ１５）。現在の日付情報がライセンスファイルに含まれる有効期限を過ぎている場合に、セキュリティー管理部３４Ａは、第１保守モードでの記憶内容の更新を禁止して（Ｓ１８）処理を中止する。

【0047】

現在の日付情報がライセンスファイルに含まれる有効期限以内である場合に、セキュリティー管理部３４Ａは、第１保守モードでの記憶内容の更新を許可する（Ｓ１６）。このように、セキュリティー管理部３４Ａは、第１保守モードでの操作入力の許可又は禁止を決定する第１セキュリティーチェックを行う。

【0048】

次に、更新部３３は、更新用のデータを取得し、そのデータに基づいて不揮発性記憶部３１の記憶内容を更新する（Ｓ１７）。例えば更新部３３は、更新用のデータを不揮発性記憶部３１に上書きする。更新用のデータは、例えばユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介して更新部３３に取得される。

【0049】

以上で第１保守モードでの記憶内容の更新が完了する。なお、更新用のデータは、コネクター５３に装着された記憶媒体から送受信部５０及び送受信部３０を介して取得されてもよい。更新用のデータはハードウェアキー６にライセンスファイルとは別に記憶されていてもよいし、ティーチングペンダント５又はコントローラー２に接続された他の記憶媒体（不図示）に記憶されていてもよい。Ｓ１１〜Ｓ１８の順序は適宜変更可能である。

【0050】

（第２保守モード用のセキュリティーコードの発行手順）
第２保守モード用のセキュリティーコードの発行処理は、端末装置７及びセキュリティーコード生成部８３により実行される。

【0051】

図５に示すように、端末装置７は、セキュリティーコード生成用のデータ（以下、「コード生成用データ」という。）を取得する（Ｓ２１）。コード生成用データはユーザーにより入力される。このデータには、不揮発性記憶部３１のメモリーＩＤと、ユーザー識別情報とが含まれる。メモリーＩＤは、ティーチングペンダント５により確認可能である。

【0052】

次に、端末装置７は、コード生成用データをデータ生成装置８に送信し、セキュリティーコードの発行を要求する（Ｓ２２）。コード生成用データは、送受信部８０を介してセキュリティーコード生成部８３に取得される。

【0053】

次に、セキュリティーコード生成部８３は、ユーザー情報記憶部８１を参照し、予めユーザー識別情報が登録されているかどうかを確認する（Ｓ２３）。ユーザー識別情報が登録されていない場合、セキュリティーコードを発行することなく処理が中止される。

【0054】

ユーザー識別情報が登録されている場合、セキュリティーコード生成部８３は、セキュリティーコードを生成し、送受信部８０から端末装置７に送信する（Ｓ２４）。これにより、セキュリティーコードがユーザーに通知される。セキュリティーコードには、比較用のメモリーＩＤと有効期限とが含まれる。比較用のメモリーＩＤは、コード生成用データに含まれていたメモリーＩＤである。

【0055】

以上でセキュリティーコードの発行が完了する。なお、セキュリティーコードの要求及び通知は、必ずしも端末装置７を介して行われなくてもよい。例えばデータ生成装置８側のオペレータを介し、電話回線での通話により行われてもよい。Ｓ２１〜Ｓ２４の順序は適宜変更可能である。

【0056】

（第２保守モードでの記憶内容の更新手順）
第２保守モードでの記憶内容の更新処理は、更新部３３及びセキュリティー管理部３４Ｂにより実行される。

【0057】

図６に示すように、更新部３３は、第２保守モードでの操作入力要求を取得する（Ｓ３１）。第２保守モードでの操作入力要求は、ユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介して更新部３３に取得される。

【0058】

更新部３３が第２保守モードでの操作入力要求を取得すると、セキュリティー管理部３４Ｂは、セキュリティーコードを取得する（Ｓ３２）。セキュリティーコードは、ユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介してセキュリティー管理部３４Ｂに取得される。

【0059】

次に、セキュリティー管理部３４Ｂは、不揮発性記憶部３１のメモリーＩＤと、セキュリティーコードに含まれる比較用のメモリーＩＤとが一致するかどうかを確認する（Ｓ３３）。メモリーＩＤ同士が一致しない場合に、セキュリティー管理部３４Ｂは、第２保守モードでの記憶内容の更新を禁止して（Ｓ３７）処理を中止する。

【0060】

メモリーＩＤ同士が一致する場合に、セキュリティー管理部３４Ｂは、電子カレンダー３５から出力される現在の日付情報が、セキュリティーコードに含まれる有効期限内であるかどうかを確認する（Ｓ３４）。現在の日付情報がセキュリティーコードに含まれる有効期限を過ぎている場合に、セキュリティー管理部３４Ｂは、第２保守モードでの記憶内容の更新を禁止して（Ｓ３７）処理を中止する。

【0061】

現在の日付情報がセキュリティーコードに含まれる有効期限以内である場合に、セキュリティー管理部３４Ｂは、第２保守モードでの記憶内容の更新を許可する（Ｓ３５）。このように、セキュリティー管理部３４Ｂは、第２保守モードでの操作入力の許可又は禁止を決定する第２セキュリティーチェックを行う。

【0062】

次に、更新部３３は、更新用のデータを取得し、そのデータに基づいて不揮発性記憶部３１の記憶内容を更新する（Ｓ３６）。例えば更新部３３は、更新用のデータを不揮発性記憶部３１に上書きする。更新用のデータは、例えばユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介して更新部３３に取得される。

【0063】

以上で第２保守モードでの記憶内容の更新が完了する。なお、更新用のデータは、コネクター５３に装着された記憶媒体から送受信部５０及び送受信部３０を介して取得されてもよい。更新用のデータはハードウェアキー６に記憶されていてもよいし、ティーチングペンダント５又はコントローラー２に接続された他の記憶媒体（不図示）に記憶されていてもよい。Ｓ３１〜Ｓ３７の順序は適宜変更可能である。

【0064】

（復旧用のファイルの出力手順）
復旧処理に用いるバックアップファイルの出力処理は、バックアップ出力部３７及びセキュリティー管理部３４Ｃにより実行される。この処理に先立って、ティーチングペンダント５のコネクター５３には、バックアップ用の記憶媒体が装着される。なお、バックアップ用の記憶媒体はコントローラー２に接続されてもよい。

【0065】

図７に示すように、バックアップ出力部３７は、バックアップファイルの出力指令を取得する（Ｓ４１）。出力指令は、ユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介してバックアップ出力部３７に取得される。

【0066】

次に、バックアップ出力部３７は、不揮発性記憶部３１の記憶内容に対応する第１データを生成する（Ｓ４２）。第１データは、記憶内容の全てに対応するものであってもよいし、記憶内容の一部に対応するものであってもよい。

【0067】

次に、セキュリティー管理部３４Ｃは、バックアップ出力部３７から第１データを取得し、これに所定の演算を施してチェック値を算出する（Ｓ４３）。以下、このチェック値を「出力時のチェック値」という。チェック値は、例えばＣＲＣ（ＣｙｃｌｉｃＲｅｄｕｎｄａｎｃｙＣｈｅｃｋ）値である。

【0068】

次に、バックアップ出力部３７は、送受信部３０及び送受信部５０を介し、第１ファイルをバックアップ用の記憶媒体に出力する（Ｓ４４）。第１ファイルは、第１データと、出力時のチェック値と、不揮発性記憶部３１のメモリーＩＤとを含む。以上でバックアップファイルの出力が完了する。Ｓ４１〜Ｓ４４の順序は適宜変更可能である。

【0069】

（記憶内容の復旧手順）
記憶内容の復旧処理は、例えば設定を初期状態に戻したい場合等に、バックアップ入力部３８及びセキュリティー管理部３４Ｃにより実行される。この処理に先立って、ティーチングペンダント５のコネクター５３には、復旧用の記憶媒体が装着される。なお、復旧用の記憶媒体はコントローラー２に接続されてもよい。

【0070】

復旧用の記憶媒体は、バックアップ出力部３７により出力された第１ファイルを記憶している。但し、第１ファイルとは異なるファイルを記憶した記憶媒体が装着される場合もあり得るので、復旧用の記憶媒体に記憶されているファイルを便宜上第２ファイルという。第２ファイルは、第２データと、比較用のチェック値と、比較用のメモリーＩＤとを含む。第１ファイルと第２ファイルとが一致する場合、第２データは第１データに一致し、比較用のチェック値は出力時のチェック値に一致し、比較用のメモリーＩＤは不揮発性記憶部３１のメモリーＩＤに一致する。

【0071】

図８に示すように、バックアップ入力部３８は、記憶内容の復旧指令を取得する（Ｓ５１）。復旧指令は、ユーザーにより入力部５１に入力され、送受信部５０及び送受信部３０を介してバックアップ入力部３８に取得される。

【0072】

復旧指令を取得すると、バックアップ入力部３８は、送受信部５０及び送受信部３０を介して記憶媒体から第２ファイルを取得する（Ｓ５２）。

【0073】

次に、セキュリティー管理部３４Ｃは、上記所定の演算を第２ファイルの第２データに施してチェック値を算出する（Ｓ５３）。すなわち、セキュリティー管理部３４Ｃは、上記出力時のチェック値の算出と同一の演算を第２データに施してチェック値を算出する。以下、このチェック値を「入力時のチェック値」という。

【0074】

次に、セキュリティー管理部３４Ｃは、不揮発性記憶部３１のメモリーＩＤと第２ファイルに含まれる比較用のメモリーＩＤとが一致するかどうかを確認する（Ｓ５４）。メモリーＩＤ同士が一致しない場合に、セキュリティー管理部３４Ｃは、記憶内容の復旧を禁止して（Ｓ５８）処理を中止する。これにより、他のコントローラー２において第１データとして生成されたデータが不揮発性記憶部３１に書き込まれることが防止される。

【0075】

メモリーＩＤ同士が一致する場合に、セキュリティー管理部３４Ｃは、出力時のチェック値と入力時のチェック値とが一致するかどうかを確認する。チェック値同士が一致しない場合には、記憶内容の復旧を禁止して（Ｓ５８）処理を中止する。これにより、第１データに一致しない第２データが不揮発性記憶部３１に書き込まれることが防止される。すなわち、第１データとして生成された後に改変されたデータは排除される。

【0076】

チェック値同士が一致する場合に、セキュリティー管理部３４Ｃは、記憶内容の復旧を許可する（Ｓ５６）。このように、セキュリティー管理部３４Ｃは、記憶内容の復旧の許可又は禁止を決定する第３セキュリティーチェックを行う。

【0077】

セキュリティー管理部３４Ｃが記憶内容の復旧を許可すると、バックアップ入力部３８は第２データに基づいて不揮発性記憶部３１の記憶内容を復旧する（Ｓ５７）。例えば、バックアップ入力部３８は第２データを不揮発性記憶部３１に上書きする。以上で記憶内容の復旧が完了する。Ｓ５１〜Ｓ５８の順序は適宜変更可能である。

【0078】

以上に説明したように、コントローラー２及びこれを備えるセキュリティー管理システム１によれば、第１保守モードでの操作入力の許可又は禁止を決定するのにハードウェアキー６が用いられる。これにより、不揮発性記憶部３１の記憶内容を高い信頼性で管理できる。

【0079】

一方、第２保守モードでの操作入力の許可又は禁止を決定するときにはハードウェアキー６は用いられない。このため、ハードウェアキー６を用いた煩雑な操作を経ることなく、第２保守モードでの操作入力の許可又は禁止を決定できる。これにより、第２保守モードにおける操作を迅速に完了し、不揮発性記憶部３１の記憶内容の更新に伴うコントローラー２の停止期間を短くできる。

【0080】

第１保守モードに比べ、第２保守モードでの操作可能範囲は狭いので、ハードウェアキー６を用いることなく第２保守モードでの操作入力の許可又は禁止を決定したとしても、不揮発性記憶部３１の記憶内容の管理の信頼性は保たれる。従って、運用の煩雑化を抑制しつつ、不揮発性記憶部３１の記憶内容を高い信頼性で管理できる。

【0081】

セキュリティー管理部３４Ａは、ライセンスファイルに含まれるパスワードと一致しないパスワードが入力された場合、及び電子カレンダー３５から出力される日付情報がライセンスファイルの有効期限を過ぎている場合の少なくとも一方に該当する場合に、第１保守モードでの操作入力を禁止する。このため、あるハードウェアキー６のパスワードが漏出した場合でも、新しいパスワードを用いて作成したライセンスファイルによって当該ハードウェアキー６内のライセンスファイルを更新することで、漏出したパスワードを無効化できる。また、ライセンスファイルに有効期限を付すことで同じパスワードが長期運用されることを防止し、パスワードが漏出等した場合でも有効期限以後は使用できなくなるのでリスクをより確実に低減できる。従って、第１保守モードでの操作入力をより高い信頼性で制限できる。

【0082】

セキュリティー管理部３４Ａは、ハードウェアキー６のキーＩＤとライセンスファイルに含まれる比較用のキーＩＤとが一致しない場合にも、第１保守モードでの操作入力を禁止する。このため、ライセンスファイルを他のハードウェアキー６にコピーして運用することが防止される。これにより、ライセンスファイルのより厳重な管理が可能となるので、第１保守モードでの操作入力をより高い信頼性で制限できる。

【0083】

セキュリティー管理部３４Ｂは、不揮発性記憶部３１のメモリーＩＤとセキュリティーコードの比較用のメモリーＩＤとが一致しない場合、及び電子カレンダー３５から出力される日付情報がセキュリティーコードの有効期限を過ぎている場合の少なくとも一方に該当する場合に、第２保守モードでの操作入力を禁止する。これにより、不揮発性記憶部３１のメモリーＩＤを活用することで、煩雑な操作を経ることなく且つ高い信頼性で第２保守モードでの操作入力を制限できる。また、セキュリティーコードに有効期限を付すことで、第２保守モードでの操作入力を許可する期間を限定できる。従って、操作の煩雑化を伴うことなく、第２保守モードでの操作入力をより高い信頼性で制限できる。

【0084】

カレンダー監視部３６は、電子カレンダー３５の日付情報の初期設定がなされた後に、現在時刻を過去側にずらすことを制限する。これにより、ライセンスファイル又はセキュリティーコードの有効期限切れを高い信頼性で検出し、第１保守モード又は第２保守モードでの操作入力をより高い信頼性で制限できる。

【0085】

バックアップ出力部３７は、第１データと不揮発性記憶部３１のメモリーＩＤとを含む第１ファイルを出力する。バックアップ入力部３８は、第２データと比較用のメモリーＩＤとを含む第２ファイルを取得し、第２データに基づいて不揮発性記憶部３１の記憶内容を復旧させる。これにより、記憶内容の復旧に限定して、セキュリティーチェック用の入力を求めることなく不揮発性記憶部３１の記憶内容への操作を許可できる。

【0086】

セキュリティー管理部３４Ｃは、第２ファイルに含まれる比較用のメモリーＩＤが不揮発性記憶部３１のメモリーＩＤに一致しない場合、及び第１データと第２データとに同一の演算を施してそれぞれ算出されたチェック値が互いに一致しない場合の少なくとも一方に該当する場合に、前記記憶内容の復旧を禁止する。これにより、記憶内容の復旧以外の操作が高い信頼性で制限される。

【0087】

ユーザー情報記憶部８１が記憶するユーザーごとの情報は、ユーザーの信頼度を含んでいてもよい。ライセンスファイル生成部８２は、ライセンスファイルを求めるユーザーの信頼度が高くなるのに応じてライセンスファイルの有効期限を長くしてもよい。セキュリティーコード生成部８３も同様に、セキュリティーコードを求めるユーザーの信頼度が高くなるのに応じてセキュリティーコードの有効期限を長くしてもよい。この場合、信頼度の高いユーザーに限って有効期限を長く設定することで、信頼性の低下を抑制しつつ、制御装置の運用の煩雑化を更に抑制できる。なお、信頼度は、例えばユーザーがデータ生成装置８に登録されている期間の長さ又は過去の不正使用履歴の有無等に基づいて設定可能である。

【0088】

以上、本発明の好適な実施形態について説明してきたが、本発明は必ずしも上述した実施形態に限定されるものではなく、その要旨を逸脱しない範囲で様々な変更が可能である。コントローラー２の制御対象は多関節ロボットに限られず、例えばＮＣ工作機械等であってもよい。

【符号の説明】

【0089】

１…セキュリティー管理システム、２…コントローラー（制御装置）、６…ハードウェアキー、７…端末装置、８…データ生成装置、３１…不揮発性記憶部、３３…更新部、３４Ａ…第１セキュリティー管理部、３４Ｂ…第２セキュリティー管理部、３４Ｃ…第３セキュリティー管理部、３５…電子カレンダー、３７…バックアップ出力部、３８…バックアップ入力部、８１…ユーザー情報記憶部、Ａ１多関節ロボット。

【図1】