知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝電機サービス株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-04-01
(45)【発行日】2022-04-11
(54)【発明の名称】制御装置
(51)【国際特許分類】
H04L 43/0817 20220101AFI20220404BHJP
【FI】
H04L43/0817
【請求項の数】
3
(21)【出願番号】P 2017129143
(22)【出願日】2017-06-30
(65)【公開番号】P2019012953
(43)【公開日】2019-01-24
【審査請求日】2020-06-01
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(73)【特許権者】
【識別番号】598076591
【氏名又は名称】東芝インフラシステムズ株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】特許業務法人酒井国際特許事務所
(72)【発明者】
【氏名】丸地 俊也
(72)【発明者】
【氏名】三宅 秀享
(72)【発明者】
【氏名】中谷 博司
【審査官】羽岡 さやか
(56)【参考文献】
【文献】特開2017-103677(JP,A)
【文献】特開2002-229945(JP,A)
【文献】特表2009-500921(JP,A)
【文献】特開2015-114833(JP,A)
【文献】国際公開第2015/001594(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
H04L 41/00-69/40
(57)【特許請求の範囲】
【請求項1】
被制御装置を制御する制御部と、ネットワークから通信のフレームを受信する受信部、および、前記受信部が受信したフレームを前記制御部に転送する転送部を備える通信インタフェース部と、
所定の受信数閾値、および、単位時間ごとのフレームの受信数を記憶する記憶部と、
前記受信部によって前記フレームが受信されたことを検知し、前記記憶部に記憶されている受信数を更新する受信検知部と、
前記記憶部に記憶されている受信数が前記記憶部に記憶されている受信数閾値以上になったとき、前記転送部に転送停止信号を送信して前記ネットワークから受信したフレームの前記制御部への転送を停止させる転送停止制御部と、
前記記憶部に記憶されている受信数を、前記受信数閾値未満の第1の数、および、前記受信数閾値以上の第2の数を含む任意の数に設定可能な受信数設定部と、
前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が転送停止信号を出力しなかったことを正常と判定し、かつ、
前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が転送停止信号を出力したことを正常と判定することによって、セキュリティ機能を診断する診断部と、を備える制御装置。
【請求項2】
前記診断部は、起動時に、前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が前記転送部に転送停止信号を送信しなかったことを正常と判定し、かつ、
前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が前記転送部に転送停止信号を送信して前記ネットワークから受信したフレームの前記制御部への転送を停止させたことを正常と判定することによって、セキュリティ機能を診断する、請求項1に記載の制御装置。
【請求項3】
前記制御装置は、所定のタイミングで、通常モードから、前記制御装置のセキュリティ機能を診断する診断モードに切り替えるモード切替部を、さらに備え、前記診断部は、前記モード切替部によって前記通常モードから前記診断モードに切り替えられたときに、
前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が転送停止信号を出力しなかったことを正常と判定し、かつ、
前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が転送停止信号を出力したことを正常と判定することによって、セキュリティ機能を診断する、請求項1に記載の制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、制御装置に関する。
【背景技術】
【0002】
従来から、プラント等を制御する制御システムは、社会基盤、産業基盤を支えるために24時間365日の連続運転が可能であることが最重要要件とされている。このような制御システムは、悪意ある第三者からの攻撃等により稼働が阻害された場合、社会的な影響が非常に大きい。従来の制御システムはクローズドシステムで構成され、ネットワーク(外部ネットワーク/ローカルネットワーク)と接続されていないため、悪意ある第三者からの攻撃等の脅威は殆ど意識されてこなかった。
【0003】
ネットワークを介した攻撃の観点で、セキュリティに関する代表的な攻撃手法として、フレーム(パケット)を攻撃対象に大量に送信し、通信障害を生じさせるDoS(Denial of Service)攻撃と呼ばれる攻撃手法が存在する。
【0004】
このDoS攻撃への対策としては、例えば、次のような手法がある。制御システムにおける制御装置は、単位時間ごとにネットワークから受信したフレームの数を監視し、その数が閾値以上になった場合には、DoS攻撃を受けていると判断して、ネットワークからフレームを受信しても内部に取り込まないようにする。その後、制御装置は、引き続き、単位時間ごとにネットワークから受信したフレームの数を監視し、その数が閾値未満になった場合に、DoS攻撃が収束したと判断して、ネットワークから受信したフレームを内部に取り込むようにする。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2002-252654号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、制御装置は、ソフトウェア更新や、部品の経年劣化等による損傷等により、DoS攻撃対策等のセキュリティ機能が正常に動作しない可能性がある。そして、従来技術では、制御装置におけるそのようなセキュリティ機能の健全性を容易に確認できる手法が無かった。
【0007】
そこで、本実施形態の課題は、セキュリティ機能の健全性を容易に確認できる制御装置を提供することである。
【課題を解決するための手段】
【0008】
実施形態の制御装置は、被制御装置を制御する制御部と、ネットワークから通信のフレームを受信する受信部、および、前記受信部が受信したフレームを前記制御部に転送する転送部を備える通信インタフェース部と、所定の受信数閾値、および、単位時間ごとのフレームの受信数を記憶する記憶部と、前記受信部によって前記フレームが受信されたことを検知し、前記記憶部に記憶されている受信数を更新する受信検知部と、前記記憶部に記憶されている受信数が前記記憶部に記憶されている受信数閾値以上になったとき、前記転送部に転送停止信号を送信して前記ネットワークから受信したフレームの前記制御部への転送を停止させる転送停止制御部と、前記記憶部に記憶されている受信数を、前記受信数閾値未満の第1の数、および、前記受信数閾値以上の第2の数を含む任意の数に設定可能な受信数設定部と、診断部と、を備える。診断部は、前記記憶部に記憶されている受信数が前記受信数設定部によって前記第1の数に設定された場合に、前記転送停止制御部が転送停止信号を出力しなかったことを正常と判定する。また、診断部は、前記記憶部に記憶されている受信数が前記受信数設定部によって前記第2の数に設定された場合に、前記転送停止制御部が転送停止信号を出力したことを正常と判定する。診断部は、これらの処理によりセキュリティ機能を診断する。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
以下、添付の図面を参照して、第1~第3の実施形態の制御装置について説明する。なお、第2の実施形態以降において、それまでの実施形態と重複する説明は、適宜省略する。
【0011】
【0012】
制御装置1は、例えば、PLC(Programmable Logic Controller)などの制御用コントローラである。制御装置1は、ネットワーク102(外部ネットワーク/ローカルネットワーク)を介して上位装置101と接続されている。ネットワーク102は、例えば、イーサネット(Ethernet)(登録商標)等であるが、これに限定されず、各種の有線、無線の通信ネットワークによって実現できる。また、制御装置1は、制御対象の被制御装置103(例えばアクチュエータ等)とイーサネット等の通信路によって接続されている。
【0013】
近年、制御装置1に対するネットワーク102を介したセキュリティ攻撃手法が日々進化しているため、制御装置1は脆弱性対策のためのソフトウェアの定期的な更新が必要になっている。そのため、例えば、制御装置1は、プログラム更新後に既存のセキュリティ機能が阻害されてしまい、実際にセキュリティ攻撃を受けた際にそのセキュリティ機能が動作しない可能性がある。また、制御装置1のセキュリティ機能は、例えば、制御装置1における部品の経年劣化等による損傷等によって阻害されることもある。そこで、以下では、セキュリティ機能の健全性を容易に確認できる制御装置1について説明する。
【0014】
制御装置1は、通信インタフェース部2、記憶部3、処理部4、入出力部5、および、表示部6を備える。
【0015】
通信インタフェース部2は、ネットワーク102から通信のフレーム(パケット)を受信する受信部21、および、受信部21が受信したフレームを制御部41に転送する転送部22を備える。
【0016】
記憶部3は、例えば、ROM(Read Only Memory)、SSD(Solid State Drive)、HDD(Hard Disk Drive)等により実現される記憶手段である。記憶部3は、処理部4の動作プログラムのほか、単位時間ごとのフレームの受信数(以下、単に「受信数」ともいう。)、所定の受信数閾値、および、診断部425による診断結果等を記憶する。
【0017】
処理部4は、例えば、CPU(Central Processing Unit)とRAM(Random Access Memory)により実現される処理手段である。処理部4は、機能部として、制御部41、および、セキュリティ診断部42を備える。
【0018】
制御部41は、各種処理によって得た信号(制御指令値等)を被制御装置103に送信したり、被制御装置103からの信号を受信したりして、被制御装置103を制御する。
【0019】
セキュリティ診断部42は、機能部として、受信検知部421、判定部422、転送停止制御部423、受信数設定部424、および、診断部425を備える。なお、処理部4における各機能部は、同一のハードウェア部品上に構成されてもよいし、別々のハードウェア部品上に構成されてもよい。
【0020】
受信検知部421は、受信部21によってネットワーク102からのフレームが受信されたことを検知し、検知するごとに記憶部3に記憶されている受信数を更新(インクリメント(1増加))する。
【0021】
判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上か否かを判定する。
【0022】
転送停止制御部423は、判定部422によって受信数が受信数閾値以上になったと判定されたとき、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。また、その後、転送停止制御部423は、判定部422によって受信数が受信数閾値未満になったと判定されたとき、転送部22に転送開始信号を送信してネットワーク102から受信したフレームの制御部41への転送を開始(再開)させる。
【0023】
受信数設定部424は、記憶部3に記憶されている受信数を、受信数閾値未満の第1の数(例えば、受信数閾値よりも1小さい数)、および、受信数閾値以上の第2の数(例えば、受信数閾値の数)を含む任意の数に設定可能である。例えば、受信数設定部424は、記憶部3のメモリやレジスタを書き換えることで当該受信数設定を実行する。なお、受信数閾値が「1500(フレーム/秒)」であるとすると、例えば、第1の数は「1499」で、第2の数は「1500」である。
【0024】
診断部425は、記憶部3に記憶されている受信数が受信数設定部424によって第1の数に設定された場合に、転送停止制御部423が転送停止信号を出力しなかったことを正常と判定する。また、診断部425は、記憶部3に記憶されている受信数が受信数設定部424によって第2の数に設定された場合に、転送停止制御部423が転送停止信号を出力したことを正常と判定する。その際、例えば、診断部425は、記憶部3に記憶されている受信数が受信数設定部424によって第2の数に設定された場合に、転送停止制御部423が転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させたことを正常と判定する。診断部425は、これらの処理によって制御装置1を診断する。診断のタイミングは、この第1の実施形態では、制御装置1の起動時である。
【0025】
入出力部5は、制御部41と被制御装置103の間での信号の送受信を中継する手段である。表示部6は、診断結果等の各種情報を表示する手段である。
【0026】
【0027】
ここで、制御装置1の動作モードには、通常モードと診断モードの2つがある。通常モードとは、制御装置1が被制御装置103を制御するモードである。診断モードとは、制御装置1のセキュリティ機能を診断(健全性の確認)するモードである。
【0028】
ステップS101において、判定部422は、判定タイミング(例えば1秒~数秒おき)が来たか否かを判定し、Yesの場合はステップS104に進み、Noの場合はステップS102に進む。
【0029】
ステップS102において、受信検知部421は、ネットワーク102からのフレームを受信部21によって受信したか否かを検知し、Yesの場合はステップS103に進み、Noの場合はステップS101に戻る。
【0030】
ステップS103において、受信検知部421は、記憶部3に記憶されている受信数をインクリメント(1増加)し、ステップS101に戻る。
【0031】
ステップS104において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS105に進み、Noの場合はステップS107に進む。
【0032】
ステップS105において、転送停止制御部423は、転送部22が転送停止中(受信部21が受信したフレームを制御部41に転送することを停止中)であるか否かを判定し、Yesの場合はステップS109に進み、Noの場合はステップS106に進む。
【0033】
ステップS106において、転送停止制御部423は、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。ステップS106の後、ステップS109に進む。
【0034】
ステップS107において、転送停止制御部423は、転送部22が転送停止中であるか否かを判定し、Yesの場合はステップS108に進み、Noの場合はステップS109に進む。
【0035】
ステップS108において、転送停止制御部423は、転送部22に転送開始信号を送信してネットワーク102から受信したフレームの制御部41への転送を開始(再開)させる。ステップS108の後、ステップS109に進む。
【0036】
ステップS109において、受信数設定部424は、記憶部3に記憶されている受信数を「0」にリセットし、ステップS101に戻る。
【0037】
このようにして、制御装置1は、通常モードにおいて、DoS攻撃を受ける等により受信数が受信数閾値以上となった場合、受信部21で受信したフレームを転送部22から制御部41に転送しないようにすることで、制御部41の高負荷状態を回避することができる。
【0038】
ここで、図3は、第1の実施形態の制御装置1による通常モードでのフレーム受信数と転送停止の期間との関係を示すグラフである。図3に示すように、時刻t1以前では、受信数n(フレーム/秒)が受信数閾値nth未満であるので、転送部22から制御部41へのフレームの転送は停止されていない。
【0039】
そして、時刻t1で受信数nが受信数閾値nth以上になると、転送部22から制御部41へのフレームの転送は停止される。その転送停止は、受信数nが受信数閾値nth未満になる時刻t2まで継続される。時刻t2で受信数nが受信数閾値nth未満になると、転送部22から制御部41へのフレームの転送が開始(再開)される。
【0040】
なお、受信部21で受信したフレームを転送部22から制御部41に転送しないようにする手法としては、転送部22と制御部41との通信を切断してもよいし、また、DoS攻撃を受けている対象の受信ポートを閉じてもよいし、あるいは、その他の方法であってもよい。
【0041】
【0042】
制御装置1の電源がONされると、ステップS201において、受信数設定部424は、記憶部3に記憶されている受信数nを、第1の数である「nth-1」に設定する。
【0043】
次に、ステップS202において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS203に進み、Noの場合はステップS204に進む。
【0044】
ステップS203において、転送停止制御部423は、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。
【0045】
ここで、制御装置1が正常であれば、ステップS202でNoに進む。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS202でYesに進み、ステップS203が実行される場合がある。
【0046】
ステップS204において、診断部425は、転送部22によるフレーム転送が停止されたか否かを判定し、Yesの場合はステップS209に進み、Noの場合はステップS205に進む。なお、このステップS204での判定は、診断部425が転送部22の状態を認識することで行ってもよいし、あるいは、ステップS203において転送停止制御部423が転送部22だけでなく診断部425にも転送停止信号を送信することで行ってもよい。
【0047】
ステップS205において、受信数設定部424は、記憶部3に記憶されている受信数nを、第2の数である「nth」に設定する。
【0048】
次に、ステップS206において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS207に進み、Noの場合はステップS208に進む。
【0049】
ステップS207において、転送停止制御部423は、転送部22に転送停止信号を送信してネットワーク102から受信したフレームの制御部41への転送を停止させる。
【0050】
ここで、制御装置1が正常であれば、ステップS206でYesに進み、ステップS207が実行される。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS206でNoに進む場合がある。
【0051】
ステップS208において、診断部425は、転送部22によるフレーム転送が停止されたか否かを判定し、Yesの場合はステップS210に進み、Noの場合はステップS209に進む。
【0052】
ステップS209において、診断部425は、エラーを通知する。具体的には、例えば、診断部425は、エラーであることを表示部6(LED(Light Emitting Diode)等)に表示する。これにより、ユーザは、表示部6を見て、エラーを知ることができる。また、診断部425は、上位装置101にエラーフレームを送信することでエラーを通知してもよい。ステップS209の後、診断部425は、記憶部3に診断結果が異常であったことを記憶し、処理を終了する。
【0053】
ステップS210において、受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
【0054】
次に、ステップS211において、診断部425は、通常モードに移行する。また、診断部425は、記憶部3に診断結果が正常であったことを記憶する。
【0055】
このようにして、第1の実施形態の制御装置1によれば、起動時に図4の処理を行って、記憶部3に記憶されている受信数を第1の数と第2の数にそれぞれ書き換えて転送部22による転送停止の有無を判定することで、セキュリティ機能の健全性を容易に確認できる。
【0056】
<第2の実施形態>
次に、第2の実施形態について説明する。図5は、第2の実施形態の制御装置1等の構成図である。図5の制御装置1は、図1の制御装置1と比較して、処理部4のセキュリティ診断部42にモード切替部426が備えられている点で相違する。
次に、第2の実施形態について説明する。図5は、第2の実施形態の制御装置1等の構成図である。図5の制御装置1は、図1の制御装置1と比較して、処理部4のセキュリティ診断部42にモード切替部426が備えられている点で相違する。
【0057】
モード切替部426は、所定のタイミングで通常モードから診断モードに切り替える。所定のタイミングとは、例えば、毎日0時等の時刻によって設定されるものであってもよいし、あるいは、数時間ごと等の周期によって設定されるものであってもよい。また、モード切替部426は、診断モードが終了した場合に通常モードに切り替える。
【0058】
次に、図6を参照して、第2の実施形態の制御装置1による定周期診断処理について説明する。図6は、第2の実施形態の制御装置1による定周期診断処理を示すフローチャートである。この定周期診断処理は、制御装置1の通常モードの最中に実行される。
【0059】
まず、ステップS301において、制御装置1が通常モード(図2の処理)で動作しているものとする。
【0060】
次に、ステップS302において、モード切替部426は、診断モードへの移行タイミングが来たか、つまり、所定のタイミングとなったか否かを判定し、Yesの場合はステップS302に進み、Noの場合はステップS301に戻る。
【0061】
ステップS303において、モード切替部426は、通常モードから診断モードに移行する。
【0062】
次に、ステップS304において、受信数設定部424は、記憶部3に記憶されている受信数nを、第1の数である「nth-1」に設定する。
【0063】
次に、ステップS305において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS306に進み、Noの場合はステップS307に進む。
【0064】
ステップS306において、転送停止制御部423は、図4のステップS203と異なり、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。これは、制御装置1が被制御装置103の制御を実行している最中であるので、転送停止信号を転送部22に送信してその制御を阻害してしまう事態を回避するためである。
【0065】
ここで、制御装置1が正常であれば、ステップS305でNoに進む。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS305でYesに進み、ステップS306が実行される場合がある。
【0066】
ステップS307において、診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS312に進み、Noの場合はステップS308に進む。
【0067】
ステップS308において、受信数設定部424は、記憶部3に記憶されている受信数nを、第2の数である「nth」に設定する。
【0068】
次に、ステップS309において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS310に進み、Noの場合はステップS311に進む。
【0069】
ステップS310において、転送停止制御部423は、図4のステップS207と異なり、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。
【0070】
ここで、制御装置1が正常であれば、ステップS309でYesに進み、ステップS310が実行される。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS309でNoに進む場合がある。
【0071】
ステップS311において、診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS313に進み、Noの場合はステップS312に進む。
【0072】
ステップS312において、診断部425は、エラーを通知する。ステップS312の後、診断部425は、記憶部3に診断結果が異常であったことを記憶し、処理を終了する。
【0073】
ステップS313において、受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
【0074】
次に、ステップS314において、診断部425は、通常モードに移行する。また、診断部425は、記憶部3に診断結果が正常であったことを記憶する。
【0075】
このようにして、第2の実施形態の制御装置1によれば、図6の処理を行って、通常モードから診断モードに移行して、記憶部3に記憶されている受信数を第1の数と第2の数にそれぞれ書き換えて転送部22からの転送停止信号の出力の有無を判定することで、セキュリティ機能の健全性を容易に確認できる。つまり、制御装置1が被制御装置103を制御している間でもセキュリティ機能の診断が可能となる。
【0076】
<第3の実施形態>
次に、第3の実施形態について説明する。図7は、第3の実施形態の制御装置1、上位装置101等の構成図である。図7は、図5と比較して、上位装置101の内部構成を示している点で相違する。
次に、第3の実施形態について説明する。図7は、第3の実施形態の制御装置1、上位装置101等の構成図である。図7は、図5と比較して、上位装置101の内部構成を示している点で相違する。
【0077】
上位装置101は、HMI(Human Machine Interface)装置等のコンピュータ装置であり、通信インタフェース部111、記憶部112、処理部113、入力部114、および、表示部115を備える。
【0078】
通信インタフェース部111は、制御装置1等とネットワーク102を介してフレームを送受信するための通信インタフェースである。
【0079】
記憶部112は、例えば、ROM、SSD、HDD等により実現される記憶手段である。記憶部112は、処理部113の動作プログラムのほか、制御装置1の記憶部3に記憶されている受信数閾値と同じ受信数閾値等を記憶する。
【0080】
処理部113は、例えば、CPUとRAMにより実現される処理手段である。処理部113は、機能部として、制御部1131、および、モード切替部1132を備える。なお、処理部113における各機能部は、同一のハードウェア部品上に構成されてもよいし、別々のハードウェア部品上に構成されてもよい。
【0081】
制御部1131は、制御装置1を制御する。モード切替部1132は、制御装置1からの指示により、制御装置1が通常モードと診断モードを切り替えたことを認識する。
【0082】
入力部114は、ユーザによる情報入力手段であり、例えば、キーボードやマウスである。表示部115は、制御装置1の診断結果等の各種情報を表示する手段である。
【0083】
また、制御装置1の処理部4のセキュリティ診断部42における診断部425は、上位装置101から診断用に送信されてきた受信数閾値未満の第1の数のフレームを受信部21によって受信した場合に、転送停止制御部423が転送停止信号を出力しなかったことを正常と判定する。
【0084】
また、診断部425は、上位装置101から診断用に送信されてきた受信数閾値以上の第2の数のフレームを受信部21によって受信した場合に、転送停止制御部423が転送停止信号を出力したことを正常と判定する。診断部425は、これらの処理によって制御装置1を診断する。
【0085】
次に、図8を参照して、第3の実施形態の制御装置1による第1の定周期診断処理について説明する。図8は、第3の実施形態の制御装置1による第1の定周期診断処理を示すフローチャートである。この第1の定周期診断処理は、制御装置1の通常モードの最中に実行される。
【0086】
まず、ステップS401において、制御装置1が通常モード(図2の処理)で動作しているものとする。
【0087】
次に、ステップS402において、制御装置1のモード切替部426は、診断モードへの移行タイミングが来たか、つまり、所定のタイミングとなったか否かを判定し、Yesの場合はステップS403に進み、Noの場合はステップS401に戻る。
【0088】
ステップS403において、制御装置1のモード切替部426は、通常モードから診断モードに移行し、この移行を上位装置101に通知する。
【0089】
次に、ステップS404において、制御装置1の受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
【0090】
次に、ステップS405において、上位装置101のモード切替部1132は、ステップS403の通知を受けて、制御装置1が通常モードから診断モードに移行したことを認識する。
【0091】
次に、ステップS406において、上位装置101の制御部1131は、第1の数である「nth-1」個のフレームを制御装置1に送信する。
【0092】
次に、ステップS407において、制御装置1の受信検知部421は、「nth-1」個のフレームを受信したことによって、記憶部3に記憶されている受信数を更新する。
【0093】
次に、ステップS408において、制御装置1の判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS409に進み、Noの場合はステップS410に進む。
【0094】
ステップS409において、転送停止制御部423は、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。ここで、制御装置1が正常であれば、ステップS408でNoに進む。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS408でYesに進み、ステップS409が実行される場合がある。
【0095】
ステップS410において、診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS418に進み、Noの場合はステップS411に進む。
【0096】
ステップS411において、受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
【0097】
次に、ステップS412において、制御装置1の診断部425は、次のフレーム送信を上位装置101に指示する。
【0098】
これを受けて、ステップS413において、上位装置101の制御部1131は、第2の数である「nth」個のフレームを制御装置1に送信する。
【0099】
次に、ステップS414において、制御装置1の受信検知部421は、「nth」個のフレームを受信したことによって、記憶部3に記憶されている受信数を更新する。
【0100】
次に、ステップS415において、判定部422は、記憶部3に記憶されている受信数が記憶部3に記憶されている受信数閾値以上であるか否かを判定し、Yesの場合はステップS416に進み、Noの場合はステップS417に進む。
【0101】
ステップS416において、転送停止制御部423は、転送停止信号を、転送部22に送信せず、診断部425だけに出力する。ここで、制御装置1が正常であれば、ステップS415でYesに進み、ステップS416が実行される。一方、制御装置1がプログラム更新や部品の経年劣化等による損傷等によって異常であると、ステップS415でNoに進む場合がある。
【0102】
ステップS417において、制御装置1の診断部425は、転送部22から転送停止信号が出力されたか否かを判定し、Yesの場合はステップS419に進み、Noの場合はステップS418に進む。
【0103】
ステップS418において、制御装置1の診断部425は、エラーを通知する。ステップS418の後、制御装置1の診断部425は、記憶部3に診断結果が異常であったことを記憶し、処理を終了する。
【0104】
ステップS419において、制御装置1の受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
【0105】
次に、ステップS420において、制御装置1のモード切替部426は、診断モードから通常モードに移行し、この移行を上位装置101に通知する。また、制御装置1の診断部425は、記憶部3に診断結果が正常であったことを記憶する。
【0106】
次に、ステップS421において、上位装置101のモード切替部1132は、ステップS420の通知を受けて、制御装置1が診断モードから通常モードに移行したことを認識する。
【0107】
このようにして、第3の実施形態の制御装置1の第1の定周期診断処理によれば、診断モードにおいて、記憶部3に記憶されている受信数を第1の数と第2の数にそれぞれ書き換えるのではなく、実際に上位装置101から第1の数のフレームと第2の数のフレームを受信することで診断を行うことで、より高信頼度の診断を行うことができる。
【0108】
次に、図9を参照して、第3の実施形態の制御装置1による第2の定周期診断処理について説明する。図9は、第3の実施形態の制御装置1による第2の定周期診断処理を示すフローチャートである。この第2の定周期診断処理は、第1の定周期診断処理と比較して、上位装置101のユーザが所望のタイミングで制御装置1の診断を実行できる点で相違する。
【0109】
まず、ステップS501において、制御装置1が通常モード(図2の処理)で動作しているものとする。
【0110】
次に、ステップS502において、制御装置1のモード切替部426は、上位装置101から診断モードへの移行指示があったか否かを判定し、Yesの場合はステップS506に進み、Noの場合はステップS501に戻る。
【0111】
一方、ステップS503において、上位装置101のモード切替部1132は、ユーザによる入力部114を用いた診断モードへの移行指示の操作があったか否かを判定し、Yesの場合はステップS504に進み、Noの場合はステップS503に戻る。
【0112】
ステップS504において、上位装置101のモード切替部1132は、制御装置1に診断モードへの移行を指示する。
【0113】
ステップS505において、上位装置101のモード切替部1132は、制御装置1が診断モードに移行することを認識する。
【0114】
ステップS506において、制御装置1のモード切替部426は、通常モードから診断モードに移行する。
【0115】
次に、ステップS507において、制御装置1の受信数設定部424は、記憶部3に記憶されている受信数nを「0」に設定する。
【0116】
次に、ステップS508において、制御装置1の診断部425は、フレーム送信を上位装置101に指示する。
【0117】
ステップS406~S421は、図8のステップS406~S421と同様であるので、説明を省略する。
【0118】
このようにして、第3の実施形態の制御装置1の第2の定周期診断処理によれば、上位装置101のユーザが所望のタイミングで制御装置1の診断を実行できる。
【0119】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【0120】
また、本実施形態の制御装置1で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD-ROM、フレキシブルディスク(FD)、CD-R、DVD(Digital Versatile Disk)等のコンピュータ装置で読み取り可能な記録媒体に記録して提供することができる。また、本実施形態の制御装置1で実行されるプログラムを、インターネット等のネットワーク経由で提供または配布するようにしてもよい。
【0121】
また、診断のタイミングは、例えば、定周期としている場合に、さらに、学習によってタイミングを早く、または、遅くなるように変更してもよい。また、診断結果が異常であった場合、制御装置1による被制御装置103の制御を強制的に停止させてもよい。
【符号の説明】
【0122】
1…制御装置、2…通信インタフェース部、3…記憶部、4…処理部、5…入出力部、6…表示部、21…受信部、22…転送部、41…制御部、42…セキュリティ診断部、101…上位装置、102…ネットワーク、103…被制御装置、111…通信インタフェース部、112…記憶部、113…処理部、114…入力部、115…表示部、421…受信検知部、422…判定部、423…転送停止制御部、424…受信数設定部、425…診断部、426…モード切替部、1131…制御部、1132…モード切替部。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】