特許 6404292 サイバー攻撃から技術システムを保護するためのシステム及び方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6404292

(24)【登録日】2018年9月21日

(45)【発行日】2018年10月10日

(54)【発明の名称】サイバー攻撃から技術システムを保護するためのシステム及び方法

(51)【国際特許分類】

   G06F 21/55 20130101AFI20181001BHJP

   G05B 23/02 20060101ALI20181001BHJP

【ＦＩ】

   G06F21/55

   G05B23/02 302K

【請求項の数】18

【外国語出願】

【全頁数】27

(21)【出願番号】特願2016-188032(P2016-188032)

(22)【出願日】2016年9月27日

(65)【公開番号】特開2017-151949(P2017-151949A)

(43)【公開日】2017年8月31日

【審査請求日】2017年4月4日

(31)【優先権主張番号】2016105562

(32)【優先日】2016年2月18日

(33)【優先権主張国】RU

(31)【優先権主張番号】15/255,773

(32)【優先日】2016年9月2日

(33)【優先権主張国】US

(73)【特許権者】

【識別番号】515348585

【氏名又は名称】エーオー カスペルスキー ラボ

【氏名又は名称原語表記】ＡＯ Ｋａｓｐｅｒｓｋｙ Ｌａｂ

(74)【代理人】

【識別番号】110001139

【氏名又は名称】ＳＫ特許業務法人

(74)【代理人】

【識別番号】100130328

【弁理士】

【氏名又は名称】奥野 彰彦

(74)【代理人】

【識別番号】100130672

【弁理士】

【氏名又は名称】伊藤 寛之

(72)【発明者】

【氏名】セルゲイ ブイ． ゴルディチック

(72)【発明者】

【氏名】アンドレイ ビー． ラブレンティエフ

(72)【発明者】

【氏名】アンドレイ ピー． ドゥフヴァーロフ

【審査官】 岸野 徹

(56)【参考文献】

【文献】 特開２００５−３３２３６０（ＪＰ，Ａ）

【文献】 特開２００５−２０２９２５（ＪＰ，Ａ）

【文献】 国際公開第２０１５／１４１２２１（ＷＯ，Ａ１）

【文献】 国際公開第２０１５／１０４６９１（ＷＯ，Ａ１）

【文献】 米国特許出願公開第２０１２／０１０１８００（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／５５

Ｇ０５Ｂ ２３／０２

(57)【特許請求の範囲】

【請求項1】

技術システム（ＴＳ）の動作を監視する方法であって、
前記方法は、取得工程と、初期化工程と、比較工程と、偏差特定工程と、チェック工程と、決定工程と、異常特定工程を備え、
ハードウェアプロセッサにより、前記取得工程では、任意の時点又は連続的に前記ＴＳの実状態を取得し、前記ＴＳの１つ又は複数の要素の状態に基づいて前記ＴＳの状態が決定され、前記ＴＳの１つ又は複数の要素は、マルチレベル制御サブシステムを含み、前記マルチレベル制御サブシステムは、複数の制御主体を備え、
前記ハードウェアプロセッサにより、前記初期化工程では、前記ＴＳの１つ又は複数の要素の状態に関して或いは時間に関して、サイバネティック制御システム（ＣＣＳ）を前記ＴＳと同期させることによって前記ＣＣＳを初期化し、前記ＣＣＳは外部アクションから分離されており、且つ、前記ＴＳは摂動動作の影響を受けるように構成され、
前記ハードウェアプロセッサにより、前記比較工程では、前記ＣＣＳによって、前記ＴＳの実状態を前記ＴＳの理想状態と比較し、
前記ハードウェアプロセッサにより、前記偏差特定工程は、前記比較に基づいて、前記ＴＳの理想状態からの前記ＴＳの実状態の偏差を特定し、
前記ハードウェアプロセッサにより、前記チェック工程は、前記偏差が特定される場合、前記ＴＳの１つ又は複数の要素の状態の少なくとも１つの機能的な相互接続の整合性をチェックし、
前記ハードウェアプロセッサにより、前記決定工程は、前記相互接続の整合性維持が確認されたことに基づいて、上記時点での前記ＴＳの理想状態がモデリング誤差であることを決定し、
前記ハードウェアプロセッサにより、前記異常特定工程は、前記ＴＳの１以上の要素間における前記相互接続の整合性が保たれてないことに基づいて、前記整合性のチェックの間に特定されるＴＳの異常を特定し、
前記ＣＣＳは、複数の相互接続されたサイバネティック・ブロック（ＣＢ）から構成され、前記ＣＢは、前記ＴＳの要素の相互接続を複製し、各ＣＢの入力信号と出力信号との因果関係を確立し、各ＣＢによって確立された前記関係は、数学的モデル、論理モデル、数値モデル、物理モデル、およびシミュレーションモデルのうちの１つまたは複数を使用して定義される、
方法。

【請求項2】

前記取得工程は、前記ＴＳに実装されるソフトウェア、ハードウェア又はファームウェアエージェントを使用して、前記ＴＳの要素間の信号を傍受する工程を含む、請求項１に記載の方法。

【請求項3】

前記チェック工程は、ＣＣＳ初期化工程と、理想状態判定工程と、理想状態決定工程を備え、
前記ＣＣＳ初期化工程は、前記ＴＳの制御客体の実状態によって前記ＣＣＳを初期化し、
前記理想状態判定工程は、前記制御客体の所与の状態に対する前記ＣＣＳによるモデリングによって前記制御主体の理想状態を判定し、
前記理想状態決定工程は、前記ＴＳの制御主体の実状態と比較して、前記ＴＳの制御主体に対する前記ＣＣＳによって判定された前記理想状態を決定する、
請求項１に記載の方法。

【請求項4】

前記チェック工程は、制御主体比較工程と、相互接続決定工程を備え、
前記制御主体比較工程は、前記制御主体の前記理想状態と前記実状態を比較し、前記理想状態は、前記ＣＣＳにより決定され、且つ前記制御客体の所与の状態に対する理想状態であり、前記実状態は、前記所与の状態と同じ状態での前記制御主体の実状態であり、
前記相互接続決定工程は、
前記制御客体の所与の状態に対する前記ＴＳの制御主体の理想状態が、前記制御客体の同じ状態に対する前記ＴＳの制御主体の実状態と一致しない場合、前記機能的な相互接続の整合性が崩れたことを決定し、
前記制御客体の所与の状態に対する前記ＴＳの制御主体の理想状態が、前記制御客体の同じ状態に対する前記ＴＳの制御主体の実状態と一致する場合、前記機能的な相互接続の整合性が維持されていることを決定する、請求項３に記載の方法。

【請求項5】

前記偏差の値は、

【数1】

Ｑｉｄは、ＣＣＳによって決定されるＴＳの理想的な状態、
ＱｒはＴＳの実状態、
Δは許容偏差、
で計算される、請求項１に記載の方法。

【請求項6】

前記ＣＣＳを同期するということは、前記ＣＣＳの各サイバネティック・ブロックの状態を、前記ＴＳの対応する要素の状態と同期させることによって行われる、請求項１に記載の方法。

【請求項7】

技術システム（ＴＳ）の動作を監視するためのシステムであって、
前記システムは、ハードウェアプロセッサを備え、
前記ハードウェアプロセッサは、取得工程と、初期化工程と、比較工程と、偏差特定工程と、チェック工程、決定工程と、異常特定工程を行うように構成されており、
前記取得工程では、任意の時点又は連続的に前記ＴＳの実状態を取得し、前記ＴＳの１つ又は複数の要素の状態に基づいて前記ＴＳの状態が決定され、前記ＴＳの１つ又は複数の要素は、マルチレベル制御サブシステムを含み、前記マルチレベル制御サブシステムは、複数の制御主体を備え、
前記初期化工程は、前記ＴＳの１つ又は複数の要素の状態に関して或いは時間に関して、サイバネティック制御システム（ＣＣＳ）を前記ＴＳと同期させることにより、前記ＣＣＳを初期化し、前記ＣＣＳは外部アクションから分離されており、且つ、前記ＴＳは摂動動作の影響を受けるように構成され、
前記比較工程は、前記ＣＣＳによって、前記ＴＳの実状態を前記ＴＳの理想状態と比較し、
前記偏差特定工程は、前記比較に基づいて、前記ＴＳの理想状態からの前記ＴＳの実状態の偏差を特定し、
前記チェック工程は、前記偏差が特定される場合、前記ＴＳの１つ又は複数の要素の状態の少なくとも１つの機能的な相互接続の整合性をチェックし、
前記決定工程は、前記相互接続の整合性維持が確認されたことに基づいて、上記時点での前記ＴＳの理想状態がモデリング誤差であることを決定し、
前記異常特定工程は、前記ＴＳの１以上の要素間における前記相互接続の整合性が保たれてないことに基づいて、前記整合性のチェックの間に特定されるＴＳの異常を特定し、
前記ＣＣＳは、複数の相互接続されたサイバネティック・ブロック（ＣＢ）から構成され、前記ＣＢは、前記ＴＳの要素の相互接続を複製し、各ＣＢの入力信号と出力信号との因果関係を確立し、各ＣＢによって確立された前記関係は、数学的モデル、論理モデル、数値モデル、物理モデル、およびシミュレーションモデルのうちの１つまたは複数を使用して定義される、
システム。

【請求項8】

前記取得工程は、前記ＴＳに実装されるソフトウェア、ハードウェアまたはファームウェアエージェントを使用して、前記ＴＳの要素間の信号を傍受することを含む、請求項７に記載のシステム。

【請求項9】

前記チェック工程は、ＣＣＳ初期化工程と、理想状態判定工程と、理想状態決定工程を備え、
前記ＣＣＳ初期化工程は、前記ＴＳの制御客体の実状態によって前記ＣＣＳを初期化し、
前記理想状態判定工程は、前記制御客体の所与の状態に対する前記ＣＣＳによるモデリングによって前記制御主体の理想状態を判定し、
前記理想状態決定工程は、前記ＴＳの制御主体の実状態と比較して、前記ＴＳの制御主体に対する前記ＣＣＳによって判定された前記理想状態を決定する、
請求項７に記載のシステム。

【請求項10】

前記チェック工程は、制御主体比較工程と、相互接続決定工程を備え、
前記制御主体比較工程は、前記制御主体の前記理想状態と前記実状態を比較し、前記理想状態は、前記ＣＣＳにより決定され、且つ前記制御客体の所与の状態に対する理想状態であり、前記実状態は、前記所与の状態と同じ状態での前記制御主体の実状態であり、
前記相互接続決定工程は、
前記制御客体の所与の状態に対する前記ＴＳの制御主体の理想状態が、前記制御客体の同じ状態に対する前記ＴＳの制御主体の実状態と一致しない場合、前記機能的な相互接続の整合性が崩れたことを決定し、
前記制御客体の所与の状態に対する前記ＴＳの制御主体の理想状態が、前記制御客体の同じ状態に対する前記ＴＳの制御主体の実状態と一致する場合、前記機能的な相互接続の整合性が維持されていることを決定する、
請求項９に記載のシステム。

【請求項11】

前記偏差の値は、

【数1】

Ｑｉｄは、ＣＣＳによって決定されるＴＳの理想的な状態、
ＱｒはＴＳの実状態、
Δは許容偏差、
で計算される、請求項７に記載のシステム。

【請求項12】

前記ＣＣＳを同期するということは、前記ＣＣＳの各サイバネティック・ブロックの状態を、前記ＴＳの対応する要素の状態と同期させることによって行われる、請求項７に記載のシステム。

【請求項13】

技術システム（ＴＳ）の動作を監視するためのコンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体であって、
前記コンピュータ実行可能命令は、取得命令と、初期化命令と、比較命令と、偏差特定命令と、チェック命令と、決定命令と、異常特定命令を備え、
前記取得命令では、任意の時点又は連続的に前記ＴＳの実状態を取得し、前記ＴＳの１つ又は複数の要素の状態に基づいてＴＳの状態が決定され、前記ＴＳの１つ又は複数の要素は、マルチレベル制御サブシステムを含み、前記マルチレベル制御サブシステムは、複数の制御主体を備え、
前記初期化命令では、前記ＴＳの１つ又は複数の要素の状態に関して或いは時間に関して、サイバネティック制御システム（ＣＣＳ）を前記ＴＳと同期させることによって前記ＣＣＳを初期化し、前記ＣＣＳは外部アクションから分離されており、且つ、前記ＴＳは摂動動作の影響を受けるように構成され、
前記比較命令では、前記ＣＣＳによって、前記ＴＳの実状態を前記ＴＳの理想状態と比較し、
前記偏差特定命令では、前記比較に基づいて、前記ＴＳの理想状態からの前記ＴＳの実状態の偏差を特定し、
前記チェック命令では、前記偏差が特定される場合、前記ＴＳの１つ又は複数の要素の状態の少なくとも１つの機能的な相互接続の整合性をチェックし、
前記決定命令は、前記相互接続の整合性維持が確認されたことに基づいて、上記時点での前記ＴＳの理想状態がモデリング誤差であることを決定し、
前記異常特定命令は、前記ＴＳの１以上の要素間における前記相互接続の整合性が保たれてないことに基づいて、前記整合性のチェックの間に特定されるＴＳの異常を特定し、
前記ＣＣＳは、複数の相互接続されたサイバネティック・ブロック（ＣＢ）から構成され、前記ＣＢは、前記ＴＳの要素の相互接続を複製し、各ＣＢの入力信号と出力信号との因果関係を確立し、各ＣＢによって確立された前記関係は、数学亭モデル、論理モデル、数値モデル、物理モデル、およびシミュレーションモデルのうちの１つまたは複数を使用して定義される、
非一時的なコンピュータ可読媒体。

【請求項14】

前記取得命令は、前記ＴＳに実装されるソフトウェア、ハードウェアまたはファームウェアエージェントを使用して、前記ＴＳの要素間の信号を傍受する命令を含む、請求項１３に記載の非一時的なコンピュータ可読媒体。

【請求項15】

前記チェック命令は、ＣＣＳ初期化命令と、理想状態判定命令と、理想状態決定命令を備え、
前記ＣＣＳ初期化命令では、前記ＴＳの制御客体の実状態によって前記ＣＣＳを初期化し、
前記理想状態判定命令では、前記制御客体における所与の状態に対する前記ＣＣＳによるモデリングによって前記制御主体の理想状態を判定し、
前記理想状態決定命令では、前記ＴＳの制御主体の実状態と比較して、前記ＴＳの制御主体に対する前記ＣＣＳによって判定された前記理想状態を決定する、
請求項１３に記載の非一時的なコンピュータ可読媒体。

【請求項16】

前記チェック命令は、制御主体比較命令と、相互接続決定命令を備え、
前記制御主体比較命令は、前記制御主体の前記理想状態と前記実状態を比較し、前記理想状態は、前記ＣＣＳにより決定され、且つ前記制御客体の所与の状態に対する理想状態であり、前記実状態は、前記所与の状態と同じ状態での前記制御主体の実状態であり、
前記相互接続決定命令は、
前記制御客体の所与の状態に対する前記ＴＳの制御主体の理想状態が、前記制御客体の同じの状態に対する前記ＴＳの制御主体の実状態と一致しない場合、前記機能的な相互接続の整合性が崩れたことを決定し、
前記制御客体の所与の状態に対する前記ＴＳの制御主体の理想状態が、前記制御客体の同じ状態に対する前記ＴＳの制御主体の実状態と一致する場合、前記機能的な相互接続の整合性が維持されていることを決定する、請求項１５に記載の非一時的なコンピュータ可読媒体。

【請求項17】

前記偏差の値は、

【数1】

Ｑｉｄは、ＣＣＳによって決定されるＴＳの理想的な状態、
ＱｒはＴＳの実状態、
Δは許容偏差、
で計算される、請求項１５に記載の非一時的なコンピュータ可読媒体。

【請求項18】

前記ＣＣＳを同期するということは、前記ＣＣＳの各サイバネティック・ブロックの状態を、前記ＴＳの対応する要素の状態と同期させることによって行われる、請求項１３に記載の非一時的なコンピュータ可読媒体。

【発明の詳細な説明】

【技術分野】

【0001】

関連アプリケーションへの相互参照
本出願は、2016年2月18日に出願されたロシア特許出願第2016105562号に対して35 U.S.C.（a）から（d）に基づく優先権の利益を主張し、本願に引用する。

【0002】

本開示は、概してセキュリティの分野に関するものであり、より詳細には、サイバー攻撃から技術システムを保護するためのシステム及び方法に関するものである。

【背景技術】

【0003】

近年、重要なインフラにおける技術システム（TS）に対するサイバー攻撃（Dos攻撃等）が著しく増加している。したがって、重要なインフラにおける技術システムに対するこのような攻撃からの保護を改善する必要性がますます高まっている。

【0004】

重要なインフラにおける技術システムを保護する最も一般的な方法は、重要なインフラにおいて技術的な対象に作用する制御パラメータをモデリング及びフィルタリングすることである。これらの方法の実装には多様な種類がある。

【0005】

既知の方法としては、インフラにおける対象を制御するために使用される制御パラメータを改ざんする等の、重要なインフラの動きに異常（すなわち、正常な動作からの逸脱）を発見する方法もある。異常は、対象の正常な活動をモデリングし、及びシステムの機能におけるノルム偏差を検出することに基づいて検出することができる。

【0006】

しかしながら、TSを保護するための既知の方法では、特定の時間でTSのそれぞれのサブシステム及びそれぞれのレベルにおける動作を監視及び制御することはできない。

【発明の概要】

【0007】

サイバー攻撃から技術システム（TS）を保護するためのシステム及び方法が開示される。
例示的な方法は、取得工程と、初期化工程と、比較工程と、偏差特定工程と、チェック工程と、決定工程と、異常特定工程を備え、
取得工程では、任意の時点又は連続的にTSの実状態を取得し、TSの1つ又は複数の要素の状態に基づいてTSの状態が決定され、
初期化工程では、TSの1つ又は複数の要素の状態に関して或いは時間に関して、サイバネティック制御システム（CCS）をTSと同期させることによってCCSを初期化し、
比較工程では、CCSによって、TSの実状態をTSの理想状態と比較し、
偏差特定工程は、比較に基づいて、TSの理想状態からのTSの実状態の偏差を特定し、
チェック工程は、偏差が特定される場合、TSの1つ又は複数の要素の状態の少なくとも機能的な相互接続の整合性をチェックし、
決定工程は、相互接続の整合性維持が確認されたことに基づいて、上記時点でのTSの理想状態がモデリング誤差であることを決定し、
異常特定工程は、相互接続の整合性が保たれてないことに基づいてTSの異常を特定する、方法。

【0008】

1つの例示的な態様では、上記取得工程は、TSに実装されるソフトウェア、ハードウェア又はファームウェアエージェントを使用することを含み、それらは、TSの要素間の信号を傍受することができる。

【0009】

1つの例示的な態様では、CCSは、複数の相互接続されたサイバネティック・ブロックサイバネティック・ブロック（CB）から構成され、CBは、TSの要素の相互接続を複製し、各CBの入力信号と出力信号との因果関係を確立し、各CBによって確立された関係は、数学モデル、論理モデル、数値モデル、物理モデル、及びシミュレーションモデルの1つ又は複数を使用して定義される。

【0010】

1つの例示的な態様では、上記チェック工程は、CCS初期化工程と、理想状態判定工程と、理想状態決定工程を備え、
CCS初期化工程は、TSの制御客体の実状態によってCCSを初期化し、
理想状態判定工程は、制御客体の所与の状態をCCSによってモデリングし、それによって制御主体の理想状態を判定し、
理想状態決定工程は、TSの制御主体の実状態と比較して、TSの制御主体に対するCCSによって判定された理想状態を決定する工程とを含む。

【0011】

1つの例示的な態様では、上記チェック工程は、制御主体比較工程と、相互接続決定工程を備え、
制御主体比較工程は、TSの制御主体の理想状態とTSの実状態を比較し、
TSの制御主体の理想状態は、制御客体の所与の状態に対する理想状態であり且つCCSにより決定され、
TSの制御主体の実状態は、制御客体の上記所与の状態と同じ状態に対するTSの制御主体の状態であり、
相互接続決定工程は、
制御客体の所与の状態に対するTSの制御主体の理想状態が、制御客体の同じ状態に対するTSの制御主体の実状態と一致しない場合、相互接続の整合性が崩れたこと決定し、
制御客体の所与の状態に対するTSの制御主体の理想状態が、制御客体の同じ状態に対するTSの制御主体の実状態と一致する場合、相互接続の整合性が維持されていること決定する。

【0012】

1つの例示的な態様において、偏差の値は、以下のように計算される。

【数1】

Qidは、CCSによって決定されるTSの理想状態である。
QrはTSの実状態である。
Δは許容偏差である。

【0013】

1つの例示的な態様では、CCSを同期する工程は、CCSの各サイバネティック・ブロックの状態をTSの対応する要素の状態と同期させることによって行われる。

【0014】

１つの例示的な態様において、サイバー攻撃からTSを保護するシステムは、
ハードウェアプロセッサを備え、ハードウェアプロセッサは、
任意の時点又は連続的にTSの実状態を取得し、
TSの1つ又は複数の要素の状態に基づいてTSの状態が決定され、
TSの1つ又は複数の要素の状態に関して或いは時間に関して、サイバネティック制御システム（CCS）をTSに同期させることにより、CCSを初期化し、
CCSにより、TSの実状態をTSの理想状態と比較し、
上記比較に基づいて、TSの理想状態からのTSの実状態の偏差を特定し、
偏差が特定される場合、TSの1つ又は複数の要素の状態の少なくとも機能的な相互接続の整合性をチェックし、
上記相互接続の整合性維持が確認されたことに基づいて、上記時点のTSの理想状態がモデリング誤差であることを決定し、
上記相互接続の整合性が保たれてないことに基づいて、TSの異常を特定するように構成される。

【0015】

1つの例示的な態様では、サイバー攻撃からTSを保護するためのコンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体であって、以下の命令を含む。
任意の時点又は連続的にTSの実状態を取得する命令と、TSの1つ又は複数の要素の状態に基づいてTSの状態が決定され、
TSの1つ又は複数の要素の状態に関して或いは時間に関して、サイバネティック制御システム（CCS）をTSと同期させることにより、CCSを初期化する命令と、
CCSにより、TSの実状態をTSの理想状態と比較する命令と、
上記比較に基づいて、TSの理想状態からのTSの実状態の偏差を特定する命令と、
偏差が特定される場合、TSの1つ又は複数の要素の状態の少なくとも機能的な相互接続の整合性をチェックする命令と、
上記相互接続の整合性維持が確認されたことに基づいて、上記時点でのTSの理想状態がモデリング誤差であることを決定する命令と、
上記相互接続の整合性が保たれてないことに基づいて、TSの異常を特定する命令とを含む。

【0016】

例示的な態様における上記の簡略化された概要は、本開示の基本的な理解を提供するものである。つまり、すべての企図された態様の広範な概要ではなく、すべての態様の重要な要素を特定することも、本開示における任意又は全ての態様の範囲について記載することも意図していない。唯一の目的は、以下の開示のより詳細な説明に先立って、1つ又は複数の態様を簡略化した形で提示することを目的としている。前述の目的を達成するために、本開示の1つ又は複数の態様は記載され且つ例示的に示される特徴を請求項に含む。

【図面の簡単な説明】

【0017】

添付の図面は、本明細書に組み込まれ、本明細書の一部を構成する。さらに、本開示の1つ又は複数の例示的な態様を示し、詳細な説明と共に、それらの原理及び実施形態を説明するものである。

【図1a】図１aは、技術システムの一例を概略的に示す。

【図1b】図１bは、技術システムの例示的な実装を概略的に示す。

【図2】図2は、サイバネティック制御システムの例示的な実装を概略的に示す。

【図3】図3は、技術システムの機能を監視するシステムの例示的な実装を概略的に示す。

【図4】図4は、監視システムの動作の例示的な方法を示す。

【図5】図5は、技術システムの要素の状態の機能的な相互接続の整合性をチェックする例示的な方法を示す。

【図6】図6は、監視システムの例示的な実装を示す。

【図7】図7は、開示されたシステム及び方法を実装することができる汎用コンピュータシステムの例を示す。

【発明を実施するための形態】

【0018】

例示的な態様は、サイバー攻撃から技術システム（TS）を保護するためのシステム、方法、及びコンピュータプログラム製品に関連して本明細書に記載される。当業者であれば、以下の説明は例示的なものに過ぎず、決して限定するものではないことを理解するだろう。他の態様は、本開示の利益を有する当業者には容易に示唆されるだろう。以下、添付の図面に例示されている例示的な態様の実装を詳細に参照する。同一の参照指標は、図面全体にわたって可能な範囲で使用され、以下の説明は、同じ又は同様の項目を参照するために使用される。

【0019】

本開示についてのシステム及び方法での様々な例示的な態様を説明する為に用いられるいくつかの定義及び概念を紹介する。

【0020】

制御客体は、外部アクション（それを制御及び/又は妨害する）を受ける技術的な対象となっており、外部アクションはその対象の状態を変更するような指示を行なう。例示的な態様では、そのような対象はデバイス又は技術プロセス（又はその一部）である。

【0021】

技術プロセス（TP）は物質生産プロセスである。それは、物質的実体（働きかける対象）の状態における連続的変化を含む。

【0022】

外部アクションとは、動作に応じて要素（例えば、TSの要素）の状態を変更する方法である。上記動作は、特定の方向に向けられるものであり、TSの要素からTSの別の要素に送信される動作である。

【0023】

制御客体の状態とは、状態のパラメータによって表される必須な属性を統合して示したものである。制御客体の状態は、外部アクション（制御サブシステムからの制御動作を含む）の影響を受けて変更又は維持されるものである。状態のパラメータは、対象における必須な属性を特徴付ける1つ又は複数の数値である。典型的な態様では、状態のパラメータは数値物理量である。

【0024】

制御客体の正規の状態とは、技術チャート及び他の技術ドキュメント（TPの場合）又はトラフィックのスケジュール（デバイスの場合）に対応している制御客体の状態である。

【0025】

制御動作は、目標指向型（対象の状態に作用することが目的である）で正当な（TPによって意図される）外部アクションである。それは、制御サブシステムの一部の制御主体における、制御客体を対象とする外部アクションであり、制御客体の状態の変化又は制御客体の状態の維持を導くものである。

【0026】

摂動動作は、目標指向型又は非目標指向型で違法である外部アクション（TPによって意図されていない）であって、制御客体の状態を対象とする外部アクションであり、制御主体の一部に存在するものを含む。

【0027】

制御主体とは、制御動作を制御客体に送信するデバイス、又は、制御客体への直接送信する前に変換を行なうために、制御動作を別の制御主体に転送するデバイスである。

【0028】

マルチレベル制御サブシステムは、いくつかのレベルを含む制御主体のグループである。

【0029】

技術システム（TS）は、マルチレベル制御サブシステムの制御主体と、制御客体（TP又はデバイス）とが機能的に相互接続されるグループであり、制御主体の状態の変化により、制御客体の状態の変化を実現する。技術システムの構造は、技術システムの基本要素（マルチレベル制御サブシステムにおける相互接続された制御主体と制御客体）と、これらの要素間の接続によって形成することができる。技術システムの制御客体が技術プロセスである場合、制御の最終目標は、制御客体の状態を変更することにより、作業を受ける対象（原材料、半完成ブランク等）の状態を変更することである。技術システムの制御客体がデバイスである場合、制御の最終目標はデバイス（輸送手段、宇宙船）の状態を変更することである。TSの要素間の機能的な相互接続は、これらの要素の状態間の相互接続を前提とする。要素の間に直接の物理的接続はないかもしれない。例えば、アクチュエータと技術的動作との間に物理的な接続はなく、これらの状態パラメータが物理的に接続されていない場合でも、例えば、切削速度はスピンドルの回転速度に機能的に接続されている。

【0030】

制御主体の状態とは、その必須な属性を統合して示したものである。それは、外部アクションの影響を受けて変化又は維持される状態のパラメータによって表される。

【0031】

制御主体の必須である属性（つまり、状態の必須パラメータ）は、制御客体の状態の必須な属性に直接影響を及ぼす属性である。制御客体における必須な属性とは、TSの機能において監視を行なう為の要因（正確性、安全性、効率性）に直接的な影響を及ぼす属性である。例えば、切断条件を正規のある条件に適合させること、列車をそのスケジュールに従って動かすこと、炉温度を許容限界内に維持することである。監視を行なう為の要因に応じて、制御客体の状態のパラメータが1つ選択される。そして、上記パラメータと対応するように接続された制御主体の状態のパラメータは、制御客体に対する制御動作に影響を及ぼすものである。

【0032】

技術システムの要素の状態とは、制御主体と制御客体の状態である。

【0033】

技術システムの要素の実状態とは、制御客体に対してアクションが行なわれている間での特定の時点における技術システムの要素の状態である。それは、状態のパラメータを測定することによって及びTSの要素間の信号（トラフィック）を傍受することによって決定される。状態のパラメータの測定は、例えば、TSに設置されたセンサを用いることによって行われる。

【0034】

技術システムの実状態とは、相互接続されている技術システムの要素の実状態を統合したものである。

【0035】

サイバネティック・ブロックは、サイバネティック制御システムの要素であり、技術システムの要素の機能をプロセス化して記述した（状態の変化をモデリングする）ものである。

【0036】

技術システムの要素の理想状態（サイバネティック・ブロックの状態）は、制御客体に対してアクションを行なっている間での特定の時点における、モデリングの結果として、サイバネティック・ブロックによって決定される技術システムの要素の状態である。

【0037】

サイバネティック制御システム（CCS）は、相互接続（状態の接続）したサイバネティック・ブロックを統合したものである。技術システムでの状態の変化を全体としてモデリングし、サイバネティック制御システムにおけるサイバネティック・ブロックの相互接続は、技術システムの要素の対応するブロックの相互接続を反復するものである。サイバネティック・ブロックは、互いに接続されており、その接続は信号の性質を有している。サイバネティック・ブロック間の信号は、（TSの要素間の信号と）一致しており、TS内の要素に対する外部アクションがブロックに対するものと理想的に等価である。

【0038】

技術システムの理想状態（CCSの状態）は、モデリングの結果としてサイバネティック制御システムによって決定される技術システムの状態である。

【0039】

状態スペース（状態を示す欄）は、動的なシステム（技術システム又はサイバネティック制御システム）の状態の変化を形式化する方法である。

【0040】

モデリング誤差とは、実状態が正規のある状態に適合する一方で、モデリングの結果として得られる理想状態が実状態に適合しない状態である。
例えば、炉内の温度は1000度（実状態）であり、技術的にはさらに、所与の時点（正規の状態）で1000度の炉内の温度を要求する。しかし、モデリングの結果としては、所定の時点での炉内の予測される温度は1200度でなければならない。したがって、所与の時点（理想状態）での炉内における、モデリングされた温度の値は誤差がある、又はモデリング誤差が生じている。

【0041】

図1Aは、技術システム100の一例を概略的に示している。TSは、要素110a及び110bを含む。TSの要素は、制御客体110a及びマルチレベル制御サブシステム120を形成する制御主体110bと、水平接続130a及び垂直接続130bである。制御主体110bは、レベル140によってグループ分けされる。

【0042】

図1Bは、技術システム100'の例示的な実装を概略的に示す。制御客体110a'はTP又はデバイスである。自動調整システム（ACS）120'によって実行及び実装されるアクションにより、制御客体110a'の動作は制御される。ACSは、3つのレベル140'に分けられ、水平に沿った水平接続（レベル内の接続、図には示されていない）及び垂直方向（レベル間の接続）に沿った垂直接続130b'の双方で相互接続される制御主体110b'により構成されている。相互接続は機能的なものであり、すなわち、一般的に、1つのレベルの制御主体110b'の状態での変化は、このレベル及び他のレベルでそれに接続される制御主体110b'の状態での変化を引き起こす。制御主体の状態の変化に関する情報は、制御主体の間に確立された水平方向及び垂直方向の接続に沿った信号の形で転送される。すなわち、特定の制御主体の状態の変化に関する情報は、他の制御主体110b'に対する外部アクションとなる。ACS120'内のレベル140'は、制御主体110b'の指定に従って特定される。レベルの数は、ACS120'の複雑さによって変わり得る。シンプルなシステムには、1つ又は複数の下位レベルが含まれてもよい。有線ネットワーク、無線ネットワーク、統合されたマイクロ回路は、TS要素（110a、110b）とTS100のサブシステムとの物理的接続に使用される。一方、TS要素（110a、110b）とTS100のサブシステムとの間の論理的接続に対して、イーサネット（登録商標）、産業用イーサネット（登録商標）、及び産業用ネットワークが使用される。産業用ネットワークとプロトコルは、Profibus、FIP、ControlNet、Interbus-S、DeviceNet、P-NET、WorldFIP、LongWork、Modbusなど、さまざまなタイプと基準を利用している。

【0043】

最上位レベル（監視制御及びデータ取得レベル、SCADA）は、ディスパッチ操作制御のレベルである。それは、少なくとも以下の制御主体を含む。コントローラ、制御コンピュータ、ヒューマン・マシン・インタフェース（HMI）（図1bにおける、1つの制御主体のSCADAの文字で示される）を含む。このレベルは、TS要素（110a'、110b'）の状態をトラッキング、TS要素（110a'、110b'）の状態に関する情報の取得及び蓄積を意図しており、必要に応じてこれらの修正も目的とする。

【0044】

中間レベル（制御レベル）は、少なくとも以下の制御主体を含むコントローラのレベルである。プログラマブル・ロジック・コントローラ（PLC）、カウンタ、リレー、レギュレータなどである。タイプ"PLC"の制御主体110b'は、制御客体110a'の状態に関する、"制御計測機器"タイプの制御主体、及び"センサ"タイプの制御主体110b'からの情報を受信する。"PLC"タイプの制御主体は、"アクチュエータ"タイプの制御主体用にプログラムされた制御アルゴリズムに従って制御動作を実行（作成）する。アクチュエータは、動作（制御客体に対して適用される）をより低いレベルで直接実行する。アクチュエータは、作動装置（設備）の一部である。

【0045】

下位レベル（入力/出力レベル）は、制御客体110a'の状態を監視するセンサ及び測定機器などの制御主体のレベルである。アクチュエータも同様にこのレベルである。アクチュエータは、制御客体110の状態に直接作用して、正規の状態に適合させる。すなわち、その状態とは、技術的なアサイメント、技術的チャート又は別の技術的ドキュメント（TPの場合）或いはトラフィックスケジュール（デバイスの場合）に準ずる状態のことである。このレベルにおいて、中間レベルの制御主体の入力と、"センサ"タイプの制御主体110b'からの信号との調整が行われ、さらに、"アクチュエータ"タイプの制御主体110b'と"PLC"タイプの制御主体110b'で実行される制御動作（実装されているアクション）との調整も行われる。アクチュエータは、作動装置の一部である。作動装置は、調整又は制御装置から受信する信号に従って調整要素を動かす。作動装置は、自動制御の連鎖の最後に至るものである、一般的にブロックで構成されている。
・増幅装置（コンタクタ、周波数変換器、アンプ等）
・フィードバック要素（出力軸位置のセンサ、終了位置の信号、手動駆動等）を備えたアクチュエータ（電気、空気圧、油圧駆動）
・調整要素（バルブ、ゲート、フラップ、ダンパー等）

【0046】

適用条件に応じて、作動装置はそれぞれ異なる設計にすることができる。作動装置の主なブロックは、通常、アクチュエータ及び調節要素を含む。

【0047】

特定の場合には、作動装置全体がアクチュエータと呼ばれる。

【0048】

図2は、サイバネティック制御システム（CCS）200の例示的な実装を示す。CCSは、サイバネティック・ブロック（CB）210から構成される。CCS200は、TS要素（110a及び110b）の状態の変化をモデリングすることによって、TSの状態の変化をモデリングする。CCSの各サイバネティック・ブロック210は、TS要素と一意に対応する（同一である）。サイバネティック・ブロック間の水平接続230a及び垂直接続230bは、TSの同一要素（110a、110b）間の、水平接続130a及び垂直接続130bに一意に対応する。サイバネティック・ブロック210は、入力信号と出力信号との間の因果関係（依存関係）を確立する。サイバネティック・ブロック210の入力信号は、論理的又は構造的に特定のサイバネティック・ブロック210と較べてより上位のサイバネティック・ブロック210の出力信号である。上位レベルのサイバネティック・ブロック210におけるある場合では、入力信号は、最も低いレベルのブロックからのフィードバック信号である。例えば、サイバネティック・ブロックが電気加熱炉のプロセスを記述するブロックについて示す。このブロックの入力信号は、ヒータ電圧（ヒータ電圧はヒータの状態のパラメータである）の情報であり、一方、このブロックの出力信号は、炉温度に関する情報である（炉温度は、炉の状態のパラメータである）、入力と出力との関係を関数演算子（微分方程式）で記述する。CB210の出力信号は、所与のCB210の状態によって一意に定められる。すなわち、CB210の状態のパラメータと出力信号は、機能的又は相関的に相互接続され、次に、状態のパラメータは入力信号（制御動作）によって一意に定められる。したがって、CB210を記述するために、入力パラメータと出力パラメータとの間の関係を記述する形式の1つが用いられ、そのような形式はモデルとなっている。さまざまなモデルタイプとそれに応じたモデリングの手法（因果関係の技法）がある。モデリングの手法を定義する場合、少なくとも、以下から選ぶことができる。
-数学的モデル
-論理モデル
-数値モデル
-物理モデル
-シミュレーションモデル

【0049】

モデリング方法を選択するのに、少なくとも以下の基準を考慮することができる。
-サイバネティック・ブロックが状態の変化をモデリングしているTS要素（110a又は110b）の性質。
-TS要素（110a又は110b）の状態の変化に対して必要となるモデリングの精度（モデリングされているプロセスと、実際のプロセスとの許容される偏差）。
-TS要素の最初のデータの集合（TS要素の数、TS要素のタイプ、TS要素間の物理的及び論理的関係の手法等）。
-技術システム100におけるプロセスの正規の記述の複雑さ。プロセスは、技術システムの要素の状態の変化である（数式によってシステム又はその振る舞いを一意に記述することが不可能又は比較的困難な場合、シミュレーションモデルと、それに従うCB間の相関関係は、その条件で用いられる）。

【0050】

したがって、CCS200は、各種のモデルを利用するサイバネティック・ブロック210を含むことができる。また、1つ又は複数のモデルをサイバネティック・ブロック210に使用することができ、状況に応じて、サイバネティック・ブロック（以下に説明する）のための準備済み（トレーニング済み）モデルの中から選択される。特定の場合では、データを駆動するやり方をトレーニングに用いることができ、別の場合には、技術プロセス及び技術システムにおける正規の記述（技術ドキュメント、プログラムプロジェクト、有限状態及びセルタイプオートマトンの記述等）をトレーニングに用いることができる。

【0051】

図3は、監視システム300の1つの例示的な実施形態を示す。TS100のマルチレベル制御サブシステム120の制御主体110bが制御客体110aに対して制御動作を行っている間、CCS200を用いてTS100の機能を監視するように監視システム300は設計されている。制御主体110bと制御客体110aは、技術システム100における機能的に相互接続された要素である。制御主体110bと制御客体110aの機能的に相互接続された状態を統合したものによって、その間のある瞬間におけるTS100の実状態が決定される。監視システム300は、TS100を含み、制御主体110bの状態の変化によって制御客体110aの状態の変化を実現する。TS100は、機能的に相互接続された要素の一式を提供する。具体的には、その要素は制御客体110aと制御客体に対するマルチレベル制御サブシステム120を形成する制御主体110bである。

【0052】

監視システム300は、相互接続されたサイバネティック・ブロック210で構成されるCCS200も含むことができる。各CB210は、TSの個々の要素（110a又は110b）の状態の変化をそれぞれモデリングするものである。CCS200内のサイバネティック・ブロック210の関係は、TS要素（110a、110b）の相互接続を複製することによって、その状態の変化はブロックでモデリングされている。
TS100内の相互接続（TSの1つの要素の状態におけるTSの別の要素の状態に対する依存性）とは異なり、CCS200内のブロック間の相互接続は、相関性、機能性、又はハイブリッド（あるブロックは相関的に、その他は機能的に接続されている）のものであり得る。CCS200は、監視システム300内で使用される。
-技術システムとその要素におけるある時点での理想状態は、モデリングによって決定される。ある場合では、モデリングプロセス自体を連続的に実行してもよく、その結果は、理想状態データベース（DIS）330に格納される。一方、ある時点の状態は、DIS330に要求を送信すれば提供される。
-TS要素の1つの所与の状態についてモデリングすることによって、TSの要素の理想状態を決定する

【0053】

監視システム300は、TS100及びCCS200に接続された監視モジュール310を含むことができ、それは以下のように設計されている。
任意の時点又は連続的にTS及びその要素の実状態を取得するように設計されている。TSの状態は、その要素の状態の集合によって決定される。TSの要素の実状態を連続的に取得するために、その結果をデータベース（技術システムにおける制御方法の割り当て及び実状態のデータベースDBCMaRS340）に保存できる。一方、その状態は、DBCMaRS340に要求を送信することにより、その時点で提供される。
技術システムの要素の1つの状態に関して或いは時間に関して、CCS200をTS100に同期させることによりCCS200を初期化する。
TS100及びその要素における取得した実状態を、CCS200によって決定されたTS100及びその要素の理想状態と比較する。
比較に基づいて、CCS200により決定されたTS100の理想状態からのTS100の実状態の偏差を見出す。
TS要素（110a、110b）の状態の機能的な相互接続の整合性をチェックする。CCS200によって決定される、制御客体110aの所与の状態でのTSの制御主体110bの理想状態は、制御客体110aを上記所与の状態と同じ状態でのTSの制御主体110bの実状態と比較することができる。
技術システムの要素（110a、110b）間の機能的な相互接続の整合性が維持されていることが確認されたことにより、上記時点でのCCS200により決定されたTS100の理想状態は、モデリング誤差であると判断される。
サイバネティック制御システム200のテストを終了する。
技術システムの要素（110a、110b）間の機能的な相互接続の整合性が崩れたことに基づいて、監視中のTS100の異常を発見する。

【0054】

例示的な一態様では、CCS200を初期化する前、監視モジュール310は、各サイバネティック・ブロック210について利用可能なものから初期化されるというモデル（モデリング手法）を選択する。たとえば、数学的なもの、シミュレーション的なものなどのモデルであり、それは、上述の基準に基づいて選択されるものである。それぞれの場合での基準は、品質要件（モニタリング精度、モニタリング効率、モニタリングスピードなど）の形式で技術的なアサイメント（製品要件ドキュメント、PRD）に示されている。その品質要件は、監視システム300に対する要件であり、及び監視される必要があるTS要素（110a、110b）における必須な属性に対する要件である。技術的なアサイメントは、データベース320に形式化された状態で格納される。

【0055】

監視システム300は、さらにデータベース320を備えることができ、そこに、制御客体110aの状態の変化についての正規の記述を格納することができる。技術プロセスとしてのそのような制御客体110аの正規の記述は、例えば、形式化することができる（それは、例えば電子的な技術ドキュメントの形での情報を表現している１つの形態から、監視システム300で理解できない別の形態に変換される。例えばデータベース又は状態スペースの形態である）。自動化企業制御システム（AECS）120'から受けとった技術ドキュメントに基づいて形式化される。状態スペースの形でデータベース320に保持される。状態スペースとは、制御客体110aの状態の変化を形式化するという特定の方法である。

【0056】

さらに、DBCMaRS340は、TS100及びその要素の状態を変更する全てのアクションに関する情報を格納することができる。DBCMaRS340は、監視モジュール310とTS100の両方に接続されている。

【0057】

TS要素（110a、110b）の実状態を取得（測定、記録）すること、外部アクションに関する情報を取得することは、以下によって可能となる。制御主体110b及び水平接続130a及び垂直接続130bに設置されたインターセプタ（図示せず）と、監視システム300の監視モジュール310との接続により可能となる。それは、ソフトウェア、ハードウェア、及びファームウェアによって実現されてもよい。インターセプタは、TS要素間の信号（トラフィック）を傍受する。インターセプタ（エージェントの形態）もまた、HMIにインストールされ、キーボード入力、ボタンを押すこと、及び技術システムにおける特定のイベントに対するオペレータの応答を傍受することができる。また、イベントログ、メッセージ、アプリケーションログなどを用いて、監視システムにより状態を取得する（たとえば、多くのPLCでは、タグの状態をSNMP又はHTTPで記録できる）。一般的な場合、インターセプタは、TS要素（110a、110b）の機能を低下させず、遅延なしで傍受を行なう。

【0058】

図4は、監視システム300の動作の1つの例示的な方法を示す。監視システム300は、2つのモードで動作する。モデリングにおける誤差の発生についてCCS200をテストするモードと、TSの機能における異常（正常な機能からの偏差）を検出するためにTSをテストするモード、との2つがある。どちらのモードも、TS100のマルチレベル制御サブシステム120の制御主体110bによる制御客体110аに対する制御動作を実現するプロセスで並列に動作することができる。制御主体110b及び制御客体110aは、機能的に相互接続されたTS100の要素である。制御主体110b及び制御客体110aの機能的に相互接続された状態の集合から、その時点におけるTS100の実状態が決定される。工程410において、CCS200をその時点のTS100に同期させることによって、CCS200は初期化される。CCSモデルは、TS100における実際のプロセスの理想的な記述であるため、TS100の状態（実状態）とCCS200の状態（理想状態）は、初期化の結果として一致しなければならない。理想状態の対応する値からの実状態の値の偏差はある程度許容され、その許容範囲は監視システムの技術的なアサイメントに基づいて確立され、偏差の値は次のように計算される。

【数1】

Qidは技術システムの理想状態（CCSの状態）である。
Qrは技術システムの実状態である。
Δは許容偏差である。

【0059】

したがって、同期化とは、TS100とCCS200の状態スペースを並置することである。この場合、初期化は、状態のパラメータの1つに関して（すなわち時間に関して）TS100の状態スペースとCCS200の状態スペースとを並置することによって成し遂げられる。CCS200全体の同期化は、CCS200の各サイバネティック・ブロック210を同一のTS要素（110a又は110b）と同期させることによって行われる。

【0060】

次に、工程420で、任意の時点において、技術システム100及びその要素（110a、110b）の実状態を取得する。工程430で、その時点における技術システム100及びその要素（110a、110b）の理想状態が、CCSによるモデリングによって決定される。両システムは同期して動くと考えられ、且つCCS200（TS100とは異なり）は外部アクションから分離されている為、TS100の理想状態は、その同じ時点に対するCCS200の状態になる。したがって、TS100から取得される状態は、TS100の実状態（摂動動作を受ける）であり、CCS200によって決定される状態は、TS100の理想状態（摂動動作を受けない）である。工程420で実状態を取得し、工程430でTS100の理想状態を決定した後、工程440でこれらの状態を比較する（状態のパラメータを比較する）。比較するために、状態のパラメータセットは、定義された方法で表されるべきである。パラメータセットは、状態のパラメータセットが順序付けられていない形態、状態のパラメータセットが順序付けられている形態（タプル）、又は関数で表現されることができ、その値はシステムの状態を反映する。例えば、ラッチで動く機械に対して技術的な操作を行う制御客体について論じるとき、その状態は以下の状態のパラメータによって特徴付けられる。切削深さ（t）、送り速度（S）、及び切削速度（V）に依存する。したがって、集合は、順序のない集合（t、s、V）、順序のある集合（タプル）<t、s、V>又はキャパシティP（t、S、V）という、上述した状態パラメータの関数である。従って、技術システム100の状態とは、特定の手法で示されたTS要素（110a、110b）の状態を統合したものとなる。次に、TS100の状態は、シーケンス（順序付けられた又は順序付けられていない）の形態で、又はTS要素（110a、110b）の状態の関数の形態で表現することができる。

【0061】

工程440で、技術システム100の取得された実状態と、同じ時点におけるサイバネティック制御システム200によって決定された技術システム100の理想状態とを比較した後、偏差が見つかった場合（工程450）、工程460でTSの要素の状態の間での機能的な相互接続の整合性がチェックされる。偏差がなければ工程420に戻る。

【0062】

TS要素（110a、110b）の状態の間での機能的な相互接続の整合性のチェックは、TS要素（110a、110b）の状態の整合性に基づいている。上述したように、TS要素（110a、110b）は相互に接続されており、これらの関係は機能的である。すなわち、一般的には、あるレベルにおける制御主体110bの状態の変化によって、それと接続されている制御主体110bの状態の変化を同一及び他のレベルにも生じさせ、また、制御客体110aにも同様に変化を生じさせる。TS100が通常に機能している間、相互接続は中断されてはならない。すなわち、TS要素（110a、110b）の状態の単一性は保存され、TS要素（110a、110b）のすべての状態は、ある時点で確実に決定され相互接続されるべきである。図5は、TS要素（110a、110b）の状態の機能的な相互接続の整合性をチェックする方法を示す。工程461において、CCS200は、制御客体110aの実状態によって初期化される。制御客体の実状態によるCCS200の初期化の結果、制御主体110bの理想状態（制御客体110aの所与の状態に対する）は、サイバネティック制御システム200によって実行されるモデリングによって決定される（工程462）。工程463において、CCS200によって決定されたTSの制御主体110bの理想状態は、工程420で取得されたTSの制御主体110bの実状態と比較される。

【0063】

この場合、工程462で、CCS200によって決定される技術システムの（制御客体110aの所与の状態に対する）制御主体110bの理想状態と、工程420で取得されたTSの制御主体110bの実状態との比較結果として、偏差が発見されない（又は許容されている）場合、TSの要素（110a、110）間の機能的な相互接続が維持されている（状態の整合性が崩れていない）ことが確認される。それ故、工程450で発見された偏差はモデリング誤差であり、したがって、工程430でCCS200によって決定されたTS100の理想状態はモデリング誤差とみなされる。CCSのテストは、CB210のモデリングの後続の修正（さらなるトレーニング又は再トレーニング）（工程481）のために終了されるが、その他のモデルがCCS200のテストのために選択される（工程410）。ある場合には、モデリング誤差を生じたCCS200のCB210モデルが特定される。その他のCB210のモデルは変更されずに保存されるが、所与のCB210のモデルが修正され又は置き換えられる。示されるCB210は、工程420で取得された制御主体110bの実状態と、工程463で決定された制御主体110bの理想状態とを交互に比較することによって決定される。

【0064】

工程462で、CCS200によって決定される技術システムの（制御客体の所与の状態に対する）制御主体110bの理想状態と、工程420において取得されたTSの制御主体110bの実状態との比較の結果として、偏差が発見された場合（又は許容を越えている場合）、TSの要素（110a、110b）間の機能的な相互接続の整合性が崩れていると特定される（状態の単一性が侵害され、機能的な相互接続が存在しないことが確認される）。工程450で発見された偏差は、TS100の正常な機能からの逸脱であり、すなわち、TS100において異常が発見されたことが明らかになる。

【0065】

図6は、CCS200'の手段によってTS100"の機能を制御するように設計された監視システム300'の一例を示す。

【0066】

監視システム300'は、TS100"の一つ例を含むものである。TS100"においては、以下の制御主体110b"が特定される：SCADA、HMI、PLC、ラッチのアクチュエータ（SM）、特にスピンドル駆動装置、キャリッジの長手方向移動用駆動装置、及び横方向送り用駆動装置（キャリッジのクロススライド移動用駆動装置）。SCADA及びHMIは、マルチレベル制御サブシステム120"の上位レベルを形成し、PLCは制御サブシステムの中間レベルを形成し、アクチュエータは制御サブシステムの下位レベルを形成する。制御主体110b"は、ラッチ加工の技術的操作である。制御主体110b"及び制御客体110a"は、多くの必須な属性によって特徴付けられ、つまり、それはTS100"の機能を制御するという観点から重要な属性である。属性を変更すると、TS100"の機能の経過が変化する。すなわち、機能することにおける要因に影響を与える。制御主体110b"又は制御客体110a"における必須属性を統合したものは、制御主体110b"の状態又は制御客体110a"の状態という状態のパラメータによって表される。技術的な操作の観点から、TS100"機能における監視されるべき要素は、正確性と安全性である。具体的には、正規に指定された条件に対する切断条件の適合性と、最大許容出力に対する切断する力（P）の適合性との両方を含む。したがって、制御客体の状態のパラメータは、フィード(s）、切断速度（V）、切断深さ（t）及びパワー（P）である。アクチュエータタイプの制御主体の状態のパラメータは、それぞれ以下のようになっている。スピンドル駆動装置の回転数（切断速度に直接影響を及ぼす）、キャリッジの長手方向移動用駆動装置の回転数（フィードに直接影響を及ぼす）、キャリッジのクロススライドの横方向移動用駆動装置の回転数（直接的に切断深さに影響を及ぼす）。その他の制御主体110b"の状態のパラメータは、本事例を簡単にするために抽象的に表されている。
S(s₁,s₂,s₃)、s_iは、SCADAの必須属性を表す状態の特定のパラメータであり、ある時点のSCADAの状態は、S(t_S)であり、t_Sは時間である。
H(h₁,h₂,h₃)、h_iは、HMI（表示されている情報及びコマンド）の必須属性を表す状態の特定のパラメータであり、ある時点のHMIの状態はH(t_H)であり、t_Hは時間である。
P(p₁,p₂,p₃)、p_iは、PLCの必須属性（タグとレジスタの状態）を表す状態の特定のパラメータであり、ある時点でのPLCの状態はP（t_p）であり、t_pは時間である。
M(n_S,n_C,n_CS)、n_iは、アクチュエータの必須属性を表す状態における特定のパラメータであり（n_Sはスピンドル駆動装置の回転数、n_Cはキャリッジの長手方向移動用駆動装置の回転数、n_CSはキャリッジクロススライドの横方向移動用駆動装置の回転数）、ある時点でのアクチュエータの状態はM(t_M)であり、t_Mは時間である。
O(P (s,V,t))は、上述した状態の所与のパラメータの指定であり、O(t_O)は、ある時点における制御客体の状態である。
Q(S(t_S), H(t_H), P(t_p), M(t_M), O(t_O))は、TSの状態であり、t_S =t_H =t_p =t_Mである。

【0067】

制御主体と制御客体の状態は関数的に相互接続されており、状態の機能的な相互接続（表現）と状態の逆関数的な相互接続（表現）の重畳性（合成性）、ならびに推移性がある。たとえば、
P(t_p)=Ф₁[S(t_S),t]及びM(t_M)=Ф₂[P(t_p),t]だと、
M(t_M)=Ф₃[S(t_S),t],及び
S(t_S)=Ф₃^-1[M(t_M),t]である。

【0068】

以下は、同じ時点で有効である。
t= t_S =t_H =t_p =t_M

【0069】

監視システム300'は、相互接続されたサイバネティック・ブロック210'で構成されるCCS200'をさらに含む。各CB210'は、それぞれのTS要素（110a'又は110b'）の状態の変化、TS内の要素（110a'、110b'）間の相互接続を複製するCCS200'内のサイバネティック・ブロック210'間の相互接続、ブロックによってモデリングされている要素での状態の変化を個別にモデリングするものである。CCS200'におけるサイバネティック・ブロック210'の数は、TS要素（110a'、110b'）の数に対応する。CBのモデリング（要素の状態の決定）には様々なモデルが使用されるため、従って、接続（要素の状態間の依存関係）にはハイブリッドの方法が用いられる。ある場合、考慮されるべき例では、CB TOには数学モデルが使用される。一方、他のすべてのブロックではシミュレーションモデルが使用される。したがって、CB TOとCB SMとの間の接続は機能的であり、他のすべての接続は相関的である。シミュレーションモデルは、まずトレーニングを受ける必要がある。最も簡単な態様でのトレーニングは、技術的操作を実行している過程でのある時点におけるTSの要素の状態を記憶すること（データ駆動ラーニング）であり、例えば時間の間隔は0.5秒である。記憶された結果は、データベースDIS330'に保存される。その結果、TSの要素の状態を得る。

【表1】

【0070】

その結果、ある場合におけるシミュレーションモデルの動作とは、規定されたテンポ（トレーニング中の測定間隔により決定されるテンポ又は図4の工程420から450を実行する周期性によって決定されるテンポ）で、状態（有限状態オートマトン及びセルタイプオートマトン）の連続的な変化により構成される。所与の場合において、前述の状態が関数依存性Oi（Mi）=Ф[Mi]を有するので、制御客体の状態はアクチュエータの状態に基づいて決定される。

【0071】

モデリング誤差を特定すると、シミュレーションモデルはさらにトレーニング/修正される（以下詳細）。言い換えると、以前に記憶されていない状態又は教示されていない状態が追加される。したがって、機能的な接続に対して、接続されている要素の状態が予め決定される。相関性のある接続の場合、接続されている要素の状態は事前に分かっていないので、そのような場合には予備的な教示が必要である。

【0072】

事前にトレーニングされているCCS200'を有する監視システム300'の動作モードを考察する。この方法の一般的なタイプを図4に示す。動作実行中での特定の時点でCCS200'は初期化され、CCSは、実行中の動作で同期化される。この時点におけるTS要素110a'及び110b'の状態をDIS200'から取得し、CCS200'の起動を開始する。たとえば、モデルは動作の開始から1.5秒（時間内の同期）で初期化されるため、DIS320'からS₄、H₄、P₄、M₄を取得し、モデルを開始する。

【0073】

別の場合では、監視モジュール310'は、同期中の動作における時点でのTS要素の1つの状態（同期状態）を取得し、DIS320'からのTS要素の対応する状態を取得する。例えば、監視モジュール310'は、PLCタイプの制御主体の状態を示す値を取得する。その値は、P₃の値に等しいか又はP₃の許容可能な値に近い（許容値は閾値によって決定される）値である。そして、DIS320'からS₃、H₃、M₃を取得し、モデルを開始する。

【0074】

初期化の後、モデル化が開始され、CCS200'はTS100"と同期して動く。次に、監視モジュール310'は、TSの実状態を取得する（図4の工程452）。そのために、監視モジュール310'はTSのすべての要素S_r、H_r、P_r、M_r、O_rの実状態を取得する。そして、TSの状態はQ_r(S_r、H_r、P_r、M_r、O_r、t)（TS100"の実状態）になる。次に、監視モジュール310'は、CCS200'の各サイバネティック・ブロックから、TS要素の理想状態、すなわちS_id、H_id、P_id、M_id、O_idを取得することによってTS100"の理想状態を決定する。つまり、TS100"の理想状態は、Q_id(S_id、H_id、P_id、M_id、O_id、t)になる。TS100"の理想状態Q_idとTS100"の実状態Q_rは比較され、状態が一致する場合（Q_r=Q_id）、又はTS100"の理想状態Q_idからTS100"の実状態Q_rの偏差が許容される偏差（Δ）を超えない場合（0.05に等しい場合等）、監視が継続される。ここで許容される偏差（Δ）は、次の式に従って計算される。

【数1】

【0075】

しかし、状態が一致しない場合、又は偏差が許容閾値を超える場合、偏差を生じさせる要因を明らかにする。この偏差には少なくとも2つの要因がありえる。つまり、TS100"のモデリング誤差、又は異常である。その要因を決定するために、まず、制御客体の実状態（Or）を制御客体の正規の状態（Of）と比較する（図4の工程451）。制御客体の正規の状態はDIS320'から得られる。状態が一致しない場合、又は偏差が許容偏差を超える場合：

【数2】

実際の切削条件は、本技術によって特定された切削条件（正規の切削条件）に合致せず、これはTS100"に異常が発生したことを意味する。異常の原因は、1つのTS要素に対する摂動動作であり、このアクションは、機能における監視される要因に影響を及ぼす。

【0076】

状態が一致するか、又は偏差が許容偏差を超えない場合、TS要素間の機能的な相互接続の整合性をチェックする（工程460、図4）。このため、CCS200'は、再び初期化される。工程420で得られた制御客体の実状態O_rが、初期化するために用いられる。なぜなら、この状態が、特定の状態（正規の状態）に対応することが事前に確認されている（図4の工程452）為である。特定の場合では、TSの別の要素の実状態を用いることもできる。それは、所与の要素が摂動動作を受けていないこと、且つ、さらに階層内の上位に位置するどの要素も摂動動作の影響を受けていないことが明らかに分かっている場合である。この場合、CCS200'の初期化とモデリングの手順は次のとおりである。
・制御客体Q_rの実状態を取得する。
・依存関係O_i(M_i)=Ф[M_i]に基づいて、"アクチュエータ"タイプの制御主体の理想状態M_idを決定する。そこからM_id(O_r)=Ф^-1[O_r]となる。
・"アクチュエータ"タイプ（M_i）の制御主体おける状態であって、DIS320'内でに保存されているもの中から、ある値M_id（又は最も近い値、許容差異によって決定される近接のもの、及び、例えば0.96に等しいもの）を発見する。この値は、例えばM₂に対応する。
・発見されたM_i、すなわちS_i、H_i、P_iに接続されている他の制御主体の状態を決定する。例えば、状態S₂、H₂、P₂である（制御主体の理想状態S_id、H_id、P_id、M_idでありえる）。

【0077】

上記決定の後、制御主体の理想状態S_id、H_id、P_id、M_idを、事前に取得した（図4の工程452）制御主体の実状態S_r、H_r、P_r、M_rと対比する。理想状態の値が、少なくとも1つの制御主体に対する実状態の値と一致しない場合、機能的な相互接続の整合性が損なわれていると考えられる。そうでない場合には、機能的な相互接続の整合性は損なわれていないと考えられる。整合性が損なわれていない場合、Q_id状態からQ_r状態への偏差は、状態Q_idのモデリング誤差の結果であり、CCS200'のモデルは修正されなければならない。整合性が損なわれている場合、状態Q_idから状態Q_rの偏差は、TSの異常の結果である。

【0078】

DIS320'内に保存された制御主体の状態の中から特定の値（又は取得した値に近い許容可能な値）で特徴付けられる制御主体の状態を検索する時（図5の工程465）、制御主体の求める状態は見つからない場合がある。上記特定の値とは、制御客体の実状態O_rによってCCS200'の初期化した結果として得られるものである。この場合、状態Q_idから状態Q_rの偏差はモデリング誤差であり、モデルは修正（さらにトレーニング）されなければならない。修正された状態S_r、H_r、P_r、M_idはデータベースDIS320'に保存されるように構成される。この場合、M_id(O_r)=Ф^-1[O_r]であり、M_idに対応する状態S、H、Pが決定される。

【0079】

本発明における監視モジュール310及びCCS200は、実際のデバイス、システム、コンポーネントを意味する。集積回路（特定用途向け集積回路、ASIC）又は（フィールドプログラマブルゲートアレイ、FPGA）等のハードウェアを用いて、或いは、例えばソフトウェアとハードウェアの組み合わせの形（マイクロプロセッサシステム及びプログラム命令セット等）で、実現されるものである。さらに、それは神経シナプスチップに基づくものであってもよい。監視モジュール310及びCCS200の機能は、ハードウェアに単体でも、或いは組み合わせの形態でも実現することができ、監視モジュール310及びCCS200の機能の一部は、ソフトウェアによって、及び一部はハードウェアによって実現される。特定の態様では、監視モジュール310の一部又は監視モジュール310全体が、汎用コンピュータ（例えば、図7に示されるもの）のプロセッサに基づいて構成できる。

【0080】

図7は、一般的な用途のコンピュータ・システム（パーソナルコンピュータ又はサーバであってもよい）の一例を開示しており、そこでは開示されたシステム及び方法は、実装することができる。コンピュータシステムは、中央処理ユニット21、システムメモリ22及びシステムバス23を含み、システムバスは、様々なシステムコンポーネント（中央処理ユニット21に付随するメモリを含む）に接続している。システムバス23は、先行文献で知られている任意のバス構造のように実現され、順にバスメモリ又はバスメモリコントローラ、周辺バス、及びローカルバスを含み、それは、任意の他のバスアーキテクチャと相互作用することができる。システムメモリは、読み出し専用メモリ（ROM）24及びランダムアクセスメモリ（RAM）25を含む。基本入出力システム（BOIS）26は、パーソナルコンピュータ20の要素間で情報の転送を保証する基本的な手順を含み、ROM24を使用してオペレーティング・システムをロードする時にも同様である。

【0081】

パーソナルコンピュータ20は、順に、データの読み書き用ハードディスク27、リムーバブル磁気ディスク29への読み書き用磁気ディスクドライブ28、及び、リムーバブル光ディスク31（CD-ROM、DVD-ROM又は他の光情報媒体等）への読み書き用光ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28、及び光ドライブ30は、それぞれ、ハードディスクインターフェース32、磁気ディスクインターフェース33及び光ドライブインターフェース34を介してシステムバス23に接続されている。ドライブ及び対応するコンピュータ情報媒体は、パーソナルコンピュータ20のコンピュータ命令、データ構造、プログラムモジュール、及びその他のデータのための電力の面で独立した記憶装置である。

【0082】

本開示は、ハードディスク27、リムーバブル磁気ディスク29及びリムーバブル光ディスク31を使用するシステムの実装を提供するが、コンピュータによって読み取り可能な形式でデータを保存することができる他の種類のコンピュータ情報媒体56（ソリッドステートドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ（RAM）等）を使用することも可能であることが理解されるべきであり、それらは、コントローラ55を介してシステムバス23に接続される。

【0083】

コンピュータ20は、ファイルシステム36を有し、そこには記録されたオペレーティング・システム35が保持され、及び、追加プログラムアプリケーション37、他のプログラムモジュール38及びプログラムデータ39、もまた同様である。ユーザは、入力デバイス（キーボード40、マウス42）で、パーソナルコンピュータ20に、コマンドと情報を入力することができる。他の入力デバイス（図示せず）として、マイクロホン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることができる。そのような入力デバイスは、通常、シリアルポート46を介してコンピュータシステム20に接続され、それは、順番に、システムバスに接続される。それらは、他の方法（例えば、パラレルポート、ゲームポート、又はユニバーサルシリアルバス（USB））を用いて接続できる。モニター47又は他の種類の表示デバイスもまた、ビデオアダプタ48などのインターフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンタ等の他の周辺出力デバイス（図示せず）を搭載することができる。

【0084】

パーソナルコンピュータ20は、1つ又は複数のリモートコンピュータ49を用いて、ネットワーク環境で作業することができる。図7に示すように、リモートコンピュータ（複数可）49も、前述の要素の大部分又は全てを有するパーソナルコンピュータ又はサーバであり、その要素は、パーソナルコンピュータ20の本質を示している。ルータ、ネットワーク局、ピアデバイスまたは他のネットワークノード等、他のデバイスも、コンピュータネットワークに存在できる。

【0085】

ネットワーク接続は、ローカルエリアコンピュータネットワーク（LAN）50及びワイドエリアコンピュータネットワーク（WAN）を形成することができる。このようなネットワークは、企業のコンピュータネットワーク及び社内ネットワークで使用され、それらは一般にインターネットにアクセスすることができる。LAN又はWANネットワークでは、パーソナルコンピュータ20は、ネットワークアダプタ又はネットワークインタフェース51を介してローカルエリアネットワーク50に接続される。ネットワークが使用される場合、パーソナルコンピュータ20は、インターネットなどの広域コンピュータネットワークとの通信を提供するために、モデム54又は他のモジュールを使用することができる。モデム54は、内部又は外部の装置であり、シリアルポート46によってシステムバス23に接続されている。ネットワーク接続は単なる例であり、ネットワークの正確な構成を示す必要はない、すなわち、実際には、技術通信モジュールによる1つのコンピュータの接続を確立する別の方法がある。

【0086】

様々な態様において、本明細書に記載のシステム及び方法は、ハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組み合わせで実施されてもよい。ソフトウェアで実施される場合、方法は、非一時的なコンピュータ可読媒体に1つ又は複数の命令又はコードとして格納されてもよい。コンピュータ可読媒体は、データ記憶装置を含む。限定ではなく一例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD-ROM、フラッシュメモリ、又は他のタイプの電気的、磁気的又は光学的記憶媒体、又は所望のプログラムコードを命令又はデータ構造の形で運び、格納し、汎用コンピュータのプロセッサによってアクセスすることができる。

【0087】

様々な態様では、システム及び方法は、モジュールの観点から、本開示で説明される。本明細書で使用される用語「モジュール」とは、現実世界のデバイス、コンポーネント、または、ハードウェアを用いて実装されたコンポーネントの配置を言及しており、例えば、または、ハードウェアとソフトウェアの組み合わせとして、特定用途向け集積回路（ASIC）またはフィールド・プログラマブル・ゲート・アレイ（FPGA）などによって実装され、モジュールの機能を実装するマイクロプロセッサシステムと命令セットなどによって、（実行される間に）マイクロプロセッサシステムを専用のデバイスに変換される。モジュールも、2つの組合せとして実装されることができ、ハードウェアだけによって容易とされる特定の機能、及び、ハードウェアとソフトウェアの組み合わせによって容易とされる他の機能と、これらの組み合わせとして実現することができる。特定の実施態様では、少なくとも一部、及びいくつかのケースでは、モジュールのすべては、（例えば、図7上部に詳細に説明したもののように）汎用コンピュータのプロセッサ上で実行することができる。したがって、各モジュールは、適切な様々な構成で実現することができ、そして本明細書中に任意の例示的な実施形態に限定されるものではない。

【0088】

明瞭にするために、態様のルーチン機能のすべてが、本明細書に開示されているわけではない。本開示における任意の実際の実装における開発で、多数の実装固有の判断が、開発者の特定の目標を達成するためになされなければならないことが理解されるであろう。さらに、これらの具体的な目標は、それぞれ異なる実装及び異なる開発者に対して変化することが理解されるであろう。そのような開発努力は複雑で時間がかかるかもしれないが、それでも本開示の利益を有する当業者にとっては、エンジニアリングの日常の仕事であると理解されるであろう。

【0089】

さらに、本明細書で使用される用語又は表現は、説明のためであり、制限するものではなく、つまり、関連技術の熟練の知識と組み合わせて、本明細書の用語または表現は、ここに示される教示及び指針に照らして当業者によって解釈されるべきであることが理解されるべきである。明示的な記載がない限り、明細書または特許請求の範囲内で、任意の用語に対して、珍しいまたは特別な意味を帰することは意図されていない。

【0090】

本明細書で開示された様々な態様は、例示のために本明細書に言及した既知のモジュールの、現在及び将来の既知の均等物を包含する。さらに、態様及び用途を示し、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの改変が可能であることが、この開示の利益を有する当業者には明らかであろう。
20 ：コンピュータ
21 ：中央処理ユニット
22 ：システムメモリ
23 ：システムバス
24 ：ROM
27 ：ハードディスク
28 ：磁気ディスクドライブ
29 ：リムーバブル磁気ディスク
30 ：光ドライブ
31 ：リムーバブル光ディスク
32 ：ハードディスクインターフェース
33 ：磁気ディスクインターフェース
34 ：光ドライブインターフェース
35 ：システム
36 ：ファイルシステム
37 ：追加プログラムアプリケーション
38 ：プログラムモジュール
39 ：プログラムデータ
40 ：キーボード
42 ：マウス
46 ：シリアルポート
47 ：モニター
48 ：ビデオアダプタ
49 ：リモートコンピュータ
50 ：ローカルエリアネットワーク
51 ：ネットワークインタフェース
54 ：モデム
55 ：コントローラ
56 ：コンピュータ情報媒体
100 ：技術システム
100' ：技術システム
110a ：制御客体
110a ：TS要素
110a' ：制御客体
110b ：制御主体
110b' ：制御主体
110а ：制御客体
120 ：マルチレベル制御サブシステム
130a ：水平接続
130b ：垂直接続
130b' ：垂直接続
140 ：レベル
140' ：レベル
200 ：サイバネティック制御システム
210 ：ブロック
230a ：水平接続
230b ：垂直接続
300 ：監視システム
310 ：監視モジュール
320 ：データベース
330 ：理想状態データベース
410 ：初期化工程
420 ：取得工程
430 ：理想状態判定工程
440 ：比較工程
450 ：偏差発見工程
451 ：制御客体の比較工程
452 ：偏差発見されたかどうか工程
460 ：整合性チェック工程
461 ：初期化工程
462 ：制御主体の理想状態判定工程
463 ：制御主体の比較工程
465 ：理想状態決定可能かどうか工程
481 ：モデル化修正工程

【図1a】

【図1b】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】