过程控制装置及系统以及其健康性判定方法.pdf

资源描述

《过程控制装置及系统以及其健康性判定方法.pdf》由会员分享，可在线阅读，更多相关《过程控制装置及系统以及其健康性判定方法.pdf（28页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104345662 A (43)申请公布日 2015.02.11 C N 1 0 4 3 4 5 6 6 2 A (21)申请号 201410344653.1 (22)申请日 2014.07.18 2013-153875 2013.07.24 JP G05B 19/042(2006.01) (71)申请人横河电机株式会社地址日本东京 (72)发明人大野毅土屋雅信 (74)专利代理机构北京天昊联合知识产权代理有限公司 11112 代理人何立波张天舒 (54) 发明名称过程控制装置及系统以及其健康性判定方法 (57) 摘要本发明涉及一种过程控制装置，其作为过程。

2、控制装置的控制器而具有：超级管理程序；控制部，其在超级管理程序的基础上动作，通过与现场仪器的通信，对工业过程进行控制；动作模型定义部，其对动作模型进行定义，该动作模型是规定了从控制部的规格导入的动作规格的信息；跟踪信息收集部，其对硬件和控制部之间的数据交换的跟踪进行收集；以及健康性判定部，其对由动作模型定义部定义的动作模型和由跟踪信息收集部收集到的信息进行比较，判定控制器的动作状态是否健康。 (30)优先权数据 (51)Int.Cl. 权利要求书3页说明书14页附图10页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书3页说明书14页附图10。

3、页 (10)申请公布号 CN 104345662 A CN 104345662 A 1/3页 2 1.一种过程控制装置，其具有：控制部，其通过硬件与现场仪器的通信，对工业过程进行控制，该现场仪器在虚拟化部的基础上进行动作，进行在车间实现的所述工业过程的控制所需的测定及操作中的至少一个；存储部，其存储表示健康状态的动作的健康动作信息；第1收集部，其收集所述硬件与所述控制部之间的数据交换的跟踪；以及判定部，其对存储于所述存储部中的所述健康动作信息、与由所述第1收集部收集到的信息进行比较，判定动作状态是否健康。 2.根据权利要求1所述的过程控制装置，所述存储部，作为所述健康动作信息，。

4、存储动作模型或第1数据，该动作模型是规定了从所述控制部的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。 3.根据权利要求2所述的过程控制装置，所述判定部，在判定动作状态不健康的情况下，将判定结果向外部通知。 4.根据权利要求2或3所述的过程控制装置，所述控制部包含：操作系统，其在所述虚拟化部的基础上进行动作；以及应用程序，其在所述操作系统的基础上进行动作，通过与所述现场仪器的通信，对所述工业过程进行控制。 5.根据权利要求4所述的过程控制装置，还具有第2收集部，其收集所述操作系统与所述应用程序之间的数据交换的跟踪，所述存储。

5、部在所述第1数据的基础上，作为所述健康动作信息，还存储第2数据，该第 2数据是在为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪，所述判定部对所述第1数据与由所述第1收集部收集的信息进行比较，且对所述第2 数据与由所述第2收集部收集的信息进行比较，判定动作状态是否健康。 6.根据权利要求1至3中任意一项所述的过程控制装置，至少所述第1收集部及所述判定部，设置在所述虚拟化部中。 7.根据权利要求1至3中任意一项所述的过程控制装置，所述硬件具有多个处理装置，所述虚拟化部及所述控制部，通过使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。 8.一。

6、种过程控制系统，其具有：网络，其设置于车间中；现场仪器，其与所述网络连接，进行在所述车间中实现的工业过程的控制所需的测定及操作中的至少一个；以及过程控制装置，其进行所述工业过程的控制，与所述网络连接，该过程控制装置具有：控制部，其在硬件和虚拟化部的基础上动作，通过与所述现场仪器的通信，对所述工业过程进行控制；权利要求书CN 104345662 A 2/3页 3 存储部，其存储表示健康状态的动作健康动作信息；第1收集部，其对所述硬件与所述控制部之间的数据交换的跟踪进行收集；以及判定部，其对在所述存储部中存储的所述健康动作信息、与由所述第1收集部收集的信息进行比较，判。

7、定动作状态是否健康。 9.根据权利要求8所述的过程控制系统，还具有监视装置，其与所述网络连接，接收从所述过程控制装置经由所述网络通知的表示动作状态是否健康的判定结果，所述判定部，在判定动作状态不健康的情况下，将判定结果向所述监视装置通知。 10.根据权利要求8所述的过程控制系统，所述存储部，作为所述健康动作信息，存储动作模型或第1数据，该动作模型是规定了从所述控制部的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。 11.根据权利要求10所述的过程控制系统，所述控制部包含：操作系统，其在所述虚拟化部的基础上进行动作；以及应用。

8、程序，其在所述操作系统的基础上进行动作，通过与所述现场仪器的通信，对所述工业过程进行控制，所述过程控制装置还具有第2收集部，其对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集，所述存储部在所述第1数据的基础上，作为所述健康动作信息，存储第2数据，该第2 数据是在为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪，所述判定部对所述第1数据与由所述第1收集部收集的信息进行比较，且对所述第2 数据与由所述第2收集部收集的信息进行比较，判定动作状态是否健康。 12.根据权利要求8所述的过程控制系统，所述硬件具有多个处理装置，所述虚拟化部及所述控制部，通过使实现所述虚。

9、拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。 13.一种过程控制装置的健康性判定方法，其具有：对表示过程控制装置为健康状态的动作的健康动作信息进行存储，该过程控制装置具有控制部，该控制部通过硬件与现场仪器的通信，对工业过程进行控制，该现场仪器在虚拟化部的基础上进行动作，进行在车间实现的所述工业过程的控制所需的测定及操作中的至少一个；对所述硬件与所述控制部之间的数据交换的跟踪进行收集；以及对所述健康动作信息与收集到的所述硬件与所述控制部之间的数据交换的跟踪进行比较，判定动作状态是否健康。 14.根据权利要求13所述的过程控制装置的健康性判定方法，所述健康动。

10、作信息包含动作模型或第1数据，该动作模型是规定了从所述控制部的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。权利要求书CN 104345662 A 3/3页 4 15.根据权利要求14所述的过程控制装置的健康性判定方法，所述控制部包含：操作系统，其在所述虚拟化部的基础上动作；以及应用程序，其在所述操作系统的基础上动作，通过与所述现场仪器的通信，对所述工业过程进行控制，所述健康性判定方法还包括：作为所述健康动作信息，对第2数据进行存储，该第2数据是为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪；以。

11、及对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集，所述动作状态是否健康的判定，通过对所述第1数据与收集到的所述硬件和所述控制部之间的数据交换的跟踪进行比较，且对所述第2数据与收集到的所述操作系统与所述应用程序之间的数据交换的跟踪进行比较而进行。权利要求书CN 104345662 A 1/14页 5 过程控制装置及系统以及其健康性判定方法技术领域 0001 本发明涉及过程控制装置、系统以及其健康性判定方法。 0002 本申请主张2013年7月24日申请的日本专利申请第2013153875的优先权，在这里引用其内容。背景技术 0003 当前，在车间或工厂等(以下在。

12、将它们统称的情况下，简称为“车间”)中，构筑对工业过程中的各种状态量(例如压力、温度、流量等)进行控制的过程控制系统，实现高级的自动操作。具体地说，例如，如日本国特许第4399773号公报、国际公开第2005/050336 号、及美国特许申请公开第2007/0078980号说明书所示，构成过程控制系统的核心的控制器取得多个传感器(流量计或温度计等)的检测结果，并对应于该检测结果求取致动器 (阀等)的操作量，对应于该操作量对致动器进行操作，从而控制上述各种状态量。 0004 现有的车间控制系统使用各自规格的专用仪器而构筑，但近年来的车间控制系统实现开放化，大多使用规格公开的通用仪器(计算。

13、机或工作站等)而构筑。在这种使用通用仪器的车间控制系统中，与通常的信息系统同样地，例如必须进行操作系统(OS)或应用程序的功能扩展或缺陷脆弱性的修正等软件的改善。 0005 此外，现有的车间控制系统大多单独地构筑，但近年来的车间控制系统，为了提高车间中的生产性，与进行生产管理等其它信息系统连接机会增加。这样，在车间控制系统与其它信息系统连接的环境中，由于要考虑承受来自外部的网络攻击的风险，因此持续进行上述软件的改善(操作系统或应用程序的功能扩展或缺陷脆弱性的修正等)是很重要的。 0006 在车间中构筑的车间控制系统，与通常的信息系统相比，具有以下(1)、(2)所示的特殊性。 000。

14、7 (1)牢固的安全性要求 0008 在车间中，大多使用具有易燃性的化学材料等，因此如果因网络攻击等进行非预期的操作，则在最坏的情况下，还存在引起爆炸的可能性。因此，在车间中构筑的车间控制系统中，要求比一般的信息系统更牢固的2级安全性。所谓2级安全性，是使控制系统对外部攻击者不正常访问进行防御的外部攻击防御、和在控制系统的一部仪器被攻击者劫持的情况下，使控制系统的其它仪器对被劫持的仪器的攻击进行防御的内部攻击防御。 0009 (2)贯穿长期的安全对策的维持 0010 车间的寿命约为30年，是通常的信息系统的寿命的数倍。在这种车间中设计的车间控制系统，需要在与车间寿命相同程度的贯穿长期。

15、地维持安全对策。例如，直至达到车间的寿命之前，需要持续取得用于对所使用的操作系统及应用程序的脆弱性进行修正的修正补丁。 0011 上述贯穿长期地维持安全对策并不一定能实现。例如，在支持操作系统的期间结束的情况(迎来EOS(End Of Service)的情况)下，无法取得上述修正补丁。这样，有时无法对操作系统的脆弱性进行修正。说明书CN 104345662 A 2/14页 6 0012 在所使用的操作系统的支持结束的情况下，考虑只要导入新的操作系统即可。但是，为了导入新的操作系统，必须要验证是否与使用现有的操作系统的情况同样地进行动作，有时验证需要时间。此外，在新导入的操作系。

16、统的操作性变化的情况下，需要进行用户 (操作员)的再教育，有时需要成本及时间。发明内容 0013 本发明的一个实施方式提供一种过程控制装置及系统及其健康性判定方法，其不导入对操作系统及应用程序的脆弱性进行修正的修正补丁，而可以贯穿长期地维持牢固的安全性。 0014 本发明的一个方式的过程控制装置，可以具有：控制部，其通过硬件与现场仪器的通信，对工业过程进行控制，该现场仪器在虚拟化部的基础上进行动作，进行在车间实现的所述工业过程的控制所需的测定及操作中的至少一个；存储部，其存储表示健康状态的动作的健康动作信息；第1收集部，其收集所述硬件与所述控制部之间的数据交换的跟踪；以及判定部，。

17、其对存储于所述存储部中的所述健康动作信息、与由所述第1收集部收集到的信息进行比较，判定动作状态是否健康。在这里所谓动作状态健康，是指未发生过程控制装置从其它仪器的不正常访问或向其它仪器的不正常访问等动作的状态。 0015 在上述过程控制装置中，所述存储部，作为所述健康动作信息，还可以存储动作模型或第1数据，该动作模型是规定了从所述控制部的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。 0016 在上述过程控制装置中，所述判定部，也可以在判定动作状态不健康的情况下，将判定结果向外部通知。 0017 在上述过程控制装置中，所述控制部也。

18、可以包含：操作系统，其在所述虚拟化部的基础上进行动作；以及应用程序，其在所述操作系统的基础上进行动作，通过与所述现场仪器的通信，对所述工业过程进行控制。 0018 在上述过程控制装置中，也可以还具有第2收集部，其收集所述操作系统与所述应用程序之间的数据交换的跟踪。所述存储部也可以在所述第1数据的基础上，作为所述健康动作信息，还存储第2数据，该第2数据是在为健康状态的情况下所述操作系统与所述应用程序之间的数据交换的跟踪。所述判定部也可以对所述第1数据与由所述第1收集部收集的信息进行比较，且对所述第2数据与由所述第2收集部收集的信息进行比较，判定动作状态是否健康。 0019 在上述过。

19、程控制装置中，也可以至少所述第1收集部及所述判定部，设置在所述虚拟化部中。 0020 在上述过程控制装置中，所述硬件也可以具有多个处理装置(多核心或多个MPU 结构)。所述虚拟化部及所述控制部，也可以通过使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。 0021 本发明第一个方式的过程控制系统，也可以具有：网络，其设置于车间中；现场仪器，其与所述网络连接，进行在所述车间中实现的工业过程的控制所需的测定及操作中的至少一个；以及过程控制装置，其进行所述工业过程的控制，与所述网络连接。该过程控制装置也可以具有：控制部，其在硬件和虚拟化部的基础上动作，通过与所述。

20、现场仪器的通说明书CN 104345662 A 3/14页 7 信，对所述工业过程进行控制；存储部，其存储表示健康状态的动作健康动作信息；第1收集部，其对所述硬件与所述控制部之间的数据交换的跟踪进行收集；以及判定部，其对在所述存储部中存储的所述健康动作信息、与由所述第1收集部收集的信息进行比较，判定动作状态是否健康。 0022 上述过程控制系统，也可以还具有监视装置，其与所述网络连接，接收从所述过程控制装置经由所述网络通知的表示动作状态是否健康的判定结果。所述判定部也可以在判定动作状态不健康的情况下，将判定结果向所述监视装置通知。 0023 在上述过程控制系统中，所述存储部也可。

21、以作为所述健康动作信息，存储动作模型或第1数据，该动作模型是规定了从所述控制部的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。 0024 在上述过程控制系统中，所述控制部也可以包含：操作系统，其在所述虚拟化部的基础上进行动作；以及应用程序，其在所述操作系统的基础上进行动作，通过与所述现场仪器的通信，对所述工业过程进行控制。所述过程控制装置也可以还具有第2收集部，其对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集。所述存储部也可以在所述第 1数据的基础上，作为所述健康动作信息，存储第2数据，该第2数据是在为健康状态的情况下。

22、所述操作系统与所述应用程序之间的数据交换的跟踪。所述判定部也可以对所述第1数据与由所述第1收集部收集的信息进行比较，且对所述第2数据与由所述第2收集部收集的信息进行比较，判定动作状态是否健康。 0025 在上述过程控制系统中，也可以至少所述第1收集部及所述判定部，设置在所述虚拟化部中。此外，所述存储部也可以设置咋I所述虚拟化部中，所述第2收集部根据需要，也可以作为设置在操作系统与应用程序之间的资料库等模块。由此，可以不对已有的操作系统或应用程序进行修改而实现，因此对于在操作系统或应用程序中不存在脆弱性的修正补丁的问题也可以应对。 0026 在上述过程控制系统中，所述硬件也可以具有多。

23、个处理装置。所述虚拟化部及所述控制部也可以通过使实现所述虚拟化部的程序和实现所述控制部的程序由彼此不同的处理装置执行而实现。 0027 本发明的一个方式的过程控制装置的健康性判定方法，也可以具有：对表示过程控制装置为健康状态的动作的健康动作信息进行存储，该过程控制装置具有控制部，该控制部通过硬件与现场仪器的通信，对所述工业过程进行控制，该现场仪器在虚拟化部的基础上进行动作，进行在车间实现的工业过程的控制所需的测定及操作中的至少一个；对所述硬件与所述控制部之间的数据交换的跟踪进行收集；以及对所述健康动作信息与收集到的所述硬件与所述控制部之间的数据交换的跟踪进行比较，判定动作状态是否。

24、健康。 0028 在上述过程控制装置的健康性判定方法中，所述健康动作信息也可以包含动作模型或第1数据，该动作模型是规定了从所述控制部的规格导入的动作规格的信息，该第1数据是在为健康状态的情况下所述控制部与所述硬件之间的数据交换的跟踪。 0029 在上述过程控制装置的健康性判定方法中，所述控制部也可以包含：操作系统，其在所述虚拟化部的基础上动作；应用程序，其在所述操作系统的基础上动作，通过与所述现场仪器的通信，对所述工业过程进行控制。所述健康性判定方法也可以还包括：作为所述健康动作信息，对第2数据进行存储，该第2数据是为健康状态的情况下所述操作系统与所述说明书CN 1043456。

25、62 A 4/14页 8 应用程序之间的数据交换的跟踪；以及对所述操作系统与所述应用程序之间的数据交换的跟踪进行收集。所述动作状态是否健康的判定，也可以通过对所述第1数据与收集到的所述硬件和所述控制部之间的数据交换的跟踪进行比较，且对所述第2数据与收集到的所述操作系统与所述应用程序之间的数据交换的跟踪进行比较而进行。 0030 根据本发明的一个实施方式，由第1收集部对硬件与控制部之间的数据交换的跟踪进行收集，并对存储于存储部中的健康动作信息与由第1收集部收集的信息进行比较, 由判定部判定动作状态是否健康，因此可以不导入对操作系统及应用程序的脆弱性进行修正的修正补丁，而贯穿长期地维持牢。

26、固的安全性。附图说明 0031 图1是表示本发明的第1实施方式的过程控制系统的要部结构的模块图。 0032 图2是表示本发明的第1实施方式中的控制器的动作模型的一例的图。 0033 图3是表示由本发明的第1实施方式进行的过程控制系统的定周期处理的一例的图。 0034 图4是用于说明本发明的第1实施方式的控制器的动作概要的流程图。 0035 图5A是表示本发明的第1实施方式中由跟踪信息收集部收集的信息的一例的图。 0036 图5B是本发明的第1实施方式中由跟踪信息收集部收集的信息的一例的图。 0037 图6是表示本发明的第2实施方式的过程控制系统的要部结构的模块图。 0038 图7是表示本发。

27、明的第2实施方式中的健康状态时数据的一例的图。 0039 图8是用于说明本发明的第2实施方式的控制器的动作概要的流程图。 0040 图9是表示本发明的第2实施方式中由跟踪信息收集部收集的信息的一例的图。 0041 图10是表示本发明的第3实施方式的控制器的要部结构的模块图。 0042 图11是表示由本发明的第3实施方式进行的过程控制系统的非定周期处理的一例的图。 0043 图12是表示本发明的第3实施方式中由跟踪信息收集部收集的信息的一例的图。 0044 图13是表示本发明的第4实施方式的控制器的概略结构的模块图。具体实施方式 0045 以下，参照附图，对本发明的一个实施方式的过程控制装置。

28、、系统及其健康性判定方法详细地进行说明。 0046 第1实施方式 0047 图1是表示本发明的第1实施方式的过程控制系统的要部结构模块图。如图1所示，该第1实施方式的过程控制系统1，具有多个现场仪器10、控制器20a、20b(过程控制装置)、及监视装置30，在监视装置30的监视下，控制器20a、20b对现场仪器10进行控制，从而对在车间(图示省略)中实现的工业过程进行控制。此外，在该第1实施方式的过程控制系统1中，可以判定控制器20a、20b的健康性(是否因来自其它仪器的不正常访问或向其它仪器的不正常访问等而在控制器20a、20b的动作中产生异常)。 0048 现场仪器10及控制器。

29、20a、20b与现场网络N1连接，控制器20a、20b及监视装置 30与控制网络N2连接。在图1中，为了图示的简化，省略了控制器20b与控制网络N2连接说明书CN 104345662 A 5/14页 9 的图示。现场网络N1是例如在车间的现场铺设的有线网络。另一方面，控制网络N2是例如将车间的现场与监视室之间连接的有线网络。这些现场网络N1及控制网络N2也可以是无线网络。 0049 现场仪器10是例如流量计或温度传感器等传感器仪器、流量控制阀或开闭阀等阀仪器、风扇或电动机等致动器仪器、以及其它在车间现场设置的仪器。在图1中，为了容易理解，图示了在车间设置的现场仪器10中的对流体的。

30、流量进行测定的传感器仪器11、和对流体的流量进行控制(操作)的阀仪器12。 0050 现场仪器10进行与从控制器20a、20b经由现场网络N1发送的控制数据对应的动作。例如，在从控制器20a向传感器仪器11发送测定数据(表示流体流量的测定结果的数据)的发送要求的情况下，传感器仪器11经由现场网络N1向控制器20a发送测定数据。此外，在从控制器20a对阀仪器12发送控制数据(对开度进行控制的数据)的情况下，阀仪器12使流体所通过的阀的开度成为由控制数据指示的开度。 0051 控制器20a、20b在监视装置30的监视下进行定周期处理。所谓定周期处理，是控制器20a、20b以一定的周期进。

31、行的处理。例如，可以举出以一定的周期对来自现场仪器 10(例如传感器仪器11)的测定数据进行收集的处理、以一定周期对控制现场仪器10(例如阀仪器12)的控制数据进行运算的处理、或者以一定周期向现场仪器10(例如阀仪器12) 发送控制数据的处理等。这些控制器20a、20b的功能，通过计算机读入软件，由软件和硬件资源协同动作而实现。以下，以由控制器20a实现的功能为例进行说明。 0052 控制器20a的功能通过利用由MPU(Micro-Processing Unit：微处理器)或存储器等构成的硬件21，执行所安装的程序而实现。图1中的“RD1”“RD3”表示NIC(Network Inter。

32、face Card)或I/O(Input/Output)模块等设备(实际设备)。在控制器20a中，安装有实现超级管理程序(Hypervisor)22(虚拟化部)的程序、实现操作系统(OS)23a、23b(控制部)的程序、及实现应用程序24a、24b(控制部)的程序。 0053 上述超级管理程序22，在硬件21的基础上作为硬件的代替而虚拟地动作，可以使在虚拟机42a的基础上动作的操作系统23a及应用程序24a、与在虚拟机42b的基础上动作的操作系统23b及应用程序24b分别独立地动作。即，通过设置超级管理程序22，可以使操作系统23a、23b及应用程序24a、24b如下所示进行动作。。

33、0054 仅操作系统23a及应用程序24a的动作 0055 仅操作系统23b及应用程序24b的动作 0056 操作系统23a及应用程序24a和操作系统23b及应用程序24b的并行动作 0057 如图1所示，超级管理程序22具有设备驱动器41、实际设备跟踪信息收集部C10、及虚拟机(VM)42a、42b。设备驱动器41在超级管理程序22的控制下，对硬件21的设备 “RD1”“RD3”进行驱动。实际设备跟踪信息收集部C10对硬件21(设备“RD1”“RD3”) 与超级管理程序22之间的数据交换进行跟踪。 0058 虚拟机42a、42b在超级管理程序22的控制下分别使操作系统23a、23b动作。虚。

34、拟机42a具有与硬件21的设备“RD1”“RD3”对应的虚拟设备“VD11”“VD13”和虚拟设备跟踪信息收集部C11，虚拟机42b具有与硬件21的设备“RD1”“RD3”对应的虚拟设备“VD21”“VD23”和虚拟设备跟踪信息收集部C12。上述虚拟设备跟踪信息收集部C11 对操作系统23a与虚拟机42a之间的数据交换进行跟踪，上述虚拟设备跟踪信息收集部C12 说明书CN 104345662 A 6/14页 10 对操作系统23b与虚拟机42b之间的数据交换进行跟踪。 0059 此外，超级管理程序22具有动作模型定义部51(存储部)、跟踪信息收集部52(第 1收集部)、及健康性判定部。

35、53(判定部)。动作模型定义部51对动作模型(健康动作信息)进行定义，该动作模型是在控制器20a为健康状态的情况(例如，没有对控制器20a的网络攻击或从控制器20a向其它仪器的不正常访问，控制器20a正常地动作的情况)下，由操作系统23a、23b或应用程序24a、24b的规格而导入的控制器20a的动作规格。即，由该动作模型规定的动作以外的动作，可以说是由来自外部的不正常访问引起的对应动作或由病毒等引起的不正常动作。该动作模型例如由控制器20a的提供者(系统厂家)生成而提供。 0060 具体地说，由动作模型定义部51定义的动作模型，如下所示，大致分为对于定周期处理的“与处理定时相关。

36、的规格”、和“与处理内容相关的规格”。此外，后者的“与处理内容相关的规格”，区分为“控制处理规格”和“通信处理规格”。 0061 “与处理定时相关的规格”如进行定周期处理的周期、和在该周期内进行的各自的处理时间(最大时间或者最小时间)等，规定了处理的定时。例如，作为定周期处理的周期而规定1sec，作为在该周期内进行的输入处理、运算处理、输出处理、及通信处理的处理时间而分别规定100msec、500msec、50msec、及100msec。“与处理定时相关的规格”中，也可以与可容许的误差范围(例如：10、1.9秒2.1秒等)对应而规定。 0062 “与处理内容相关的规格”是规定在定周期。

37、处理中进行的处理的内容，包含规定了控制处理内容的“控制处理规格”、和规定了通信处理内容的“通信处理规格”。上述“控制处理规格”规定了在控制器20a中进行的控制处理的内容。例如，规定了“在输入了来自传感器仪器11的测定数据的情况下，在经过一定时间后向阀仪器12输出控制数据”这一内容。更具体地说，规定了表示数据的输入输出方向的信息、表示数据的发送源或发送目的地的信息、及表示在数据的输入输出时使用的设备(图1中的设备“RD1”“RD3”或虚拟设备“VD11”“VD13”，“VD21”“VD23”)的信息。上述“通信处理规格”，规定了向控制器 20a输入输出的数据的数据构造(格式)、数据量。

38、等。 0063 图2是表示在本发明的第1实施方式的过程控制系统中设置的控制器的动作模型的一例的图。图2所示的动作模型是进行图3所示的定周期处理的情况下的控制器20a的动作模型。图3是表示本发明的第1实施方式中进行的过程控制系统的定周期处理的一例的图。如图3所示，在该第1实施方式中进行的定周期处理，是将以2秒间隔从控制器20b 发送的数据由控制器20a接收，并由控制器20a以4秒间隔相对于阀仪器12及监视装置30 分别发送数据。从控制器20a向监视装置30的数据发送，在从控制器20a向阀仪器12的数据发送进行后的0.5秒后进行。 0064 图2所例示的控制器的动作模型，包含“输入输出方向。

39、”、“对象”、“使用设备”、及 “周期”。上述“输入输出方向”是表示数据的输入输出方向的信息，上述“对象”是表示数据的发送接收对象的信息，上述“使用设备”是表示数据输入输出时所使用的设备的信息。此外，上述“周期”是表示定周期处理的周期的信息。 0065 例如，图2上段的动作模型M1规定下述动作：将以2秒间隔从控制器20b发送来的数据由控制器20a的设备RD1接收(输入)，并将该数据使用虚拟设备VD12及操作系统 23a向应用程序24a传送。此外，图2的中段的动作模型M2规定下述动作：将按顺序使用说明书CN 104345662 A 10 7/14页 11 控制器20a的虚拟设备VD1。

40、1及设备RD3的数据，相对于监视装置30以4秒间隔进行发送 (输出)，图2的下段的动作模型M3规定下述动作：将按顺序使用控制器20a的虚拟设备 VD13及设备RD2的数据，相对于阀仪器12以4秒间隔进行发送(输出)。 0066 跟踪信息收集部52包含在超级管理程序22中直接设置的实际设备跟踪信息收集部C10、及在超级管理程序22上的虚拟机42a、42b中设置的虚拟设备跟踪信息收集部C11、 C12，对在硬件21与操作系统23a、23b之间进行的动作的内容进行记录、收集，从而对硬件 21与操作系统23a、23b之间的数据交换进行跟踪。例如，跟踪信息收集部52收集所访问的设备的种类、访问的种类。

41、、访问时的输入输出数据、访问时的时间戳、及访问的处理结果等的记录。在该第1实施方式中，为了容易理解而示出设置两个虚拟机的例子，但在超级管理程序22上还可以设置多个虚拟机而使多个操作系统及应用程序动作。在该情况下，在各虚拟机上设置与各虚拟机对应的虚拟设备跟踪信息收集部。 0067 健康性判定部53对由动作模型定义部51定义的动作模型、与由跟踪信息收集部 52收集的信息进行比较，判定控制器20a的健康性。具体地说，在由跟踪信息收集部52收集的信息与由动作模型定义部51定义的动作模型相符合的情况下，判定控制器20a为健康状态。与之相对，在由跟踪信息收集部52收集的信息与由动作模型定义部51。

42、定义的动作模型不相符合的情况下，判定控制器20a为不健康状态。 0068 健康性判定部53在判定控制器20a为不健康状态的情况下，将该情况向监视装置 30通知。在健康判定部53判定控制器20a为不健康状态的情况下，超级管理程序22进行下述应对：不对判定为不健康状态的原始的数据进行响应。例如，在应由控制器20a的设备 RD1接收的来自控制器20b的数据由设备RD2接收到的情况下，判定为从控制器20b进行了不正常访问，将该数据废弃而不传送至操作系统23a、23b。 0069 操作系统23a、23b分别在超级管理程序22的虚拟机42a、42b的基础上进行动作，例如分别进行为了使应用程序24a。

43、、24b动作所需的过程管理或存储器管理等各种管理。在操作系统23a中，设置用于对在虚拟机42a中设置的虚拟设备“VD11”“VD13”进行驱动的设备驱动器D1，在操作系统23b中，设置用于对在虚拟机42b中设置的虚拟设备“VD21” “VD23”进行驱动的设备驱动器D2。 0070 应用程序24a、24b在操作系统23a、23b的基础上进行动作，分别进行为了进行过程控制而所需的现场仪器10的控制(例如来自传感器仪器11的测定数据等的收集或对阀仪器12的控制数据的发送等)。在该第1实施方式中，为了简化说明，主要以应用程序24a 进行现场仪器10的控制为例进行说明。 0071 监视装置30。

44、例如由计算机实现，由操作员操作而用于过程的监视。具体地说，监视装置30进行在控制器20a中动作的操作系统23a、23b或应用程序24a、24b的动作状态的监视和管理，对应于该监视等的结果(或者对应于操作员的操作指示)而对控制器20a 进行控制。此外，监视装置30接收从控制器20a经由控制网络N2通知的判定结果(表示控制器20a的动作状态是否健康的判定结果)。 0072 下面，对上述结构中的过程控制系统1的动作进行说明。图4是用于说明本发明的第1实施方式的过程控制系统中设置的控制器的动作的概要的流程图。首先，如图4所示，预先生成的动作模型(由操作系统23a、23b或应用程序24a、24。

45、b的规格而导入的控制器20a的动作规格)存储在超级管理程序22的动作模型定义部51中(步骤S11：第1步说明书CN 104345662 A 11 8/14页 12 骤)。将动作模型存储在动作模型定义部51中的作业，例如在应用程序的构筑者将实现应用程序24a、24b的程序向操作系统23a、23b安装时、或者安装后的应用程序24a、24b的设定(工程)刚完成之后进行。 0073 如果以上的作业结束，则由控制器20a的跟踪信息收集部52进行对应用程序24a 动作时的硬件21和操作系统23a间的数据交换的跟踪进行收集的处理(步骤S12：第2步骤)。具体地说，由实际设备跟踪信息收集部C10。

46、对硬件21和超级管理程序22间的数据交换的跟踪进行收集，由虚拟设备跟踪信息收集部C11对操作系统23a和虚拟机42a间的数据交换的跟踪进行收集。 0074 并且，在健康性判定部53中对由动作模型定义部51定义的动作模型、和由跟踪信息收集部52收集的信息进行比较，判定控制器20a的健康性(步骤S13：第3步骤)。具体地说，在由跟踪信息收集部52收集的信息，与由动作模型定义部51定义的动作模型相符合的情况下，由健康性判定部53判定控制器20a为健康状态。与之相对，在由跟踪信息收集部52收集的信息与由动作模型定义部51定义的动作模型不相符合情况下，由健康性判定部53判定控制器20a为不。

47、健康状态。 0075 假设在判定控制器20a为不健康状态的情况下，由超级管理程序22将例如由控制器20a接收到的数据或者从控制器20a要发送的数据废弃。由此，由于超级管理程序22可以说起到作为防火墙的作用，可以防止接收到的不正常的数据发送至操作系统23a，以及将不正常的数据向外部发送。此外，在判定控制器20a为不健康状态的情况下，将该情况从控制器20a向监视装置30通知。之后，在控制器20a中，重复进行步骤S12、S13的处理。 0076 图5A及5B是表示在本发明的第1实施方式中由跟踪信息收集部52收集到的信息的一例的图，图5A是表示在向控制器20a输入数据的情况下收集的信息的一例。

48、的图，图 5B是表示在从控制器20a输出数据的情况下收集的信息的一例的图。如图5A及5B所示，由跟踪信息收集部52收集到的信息，在与图2所示的控制器20a的动作模型同样的表示 “输入输出方向”、“对象”、及“使用设备”的信息的基础上，由表示收集信息的时间的“收集时间”(时间戳)构成。 0077 如图3所示，在以2秒间隔将从控制器20b发送的数据由控制器20a接收的情况下，例如图5A所示的信息由跟踪信息收集部52收集。具体地说，是表示“输入输出方向”为输入，“对象”为控制器20b，“使用设备”为设备RD1虚拟设备VD12的信息，在此基础上，收集进行跟踪的时间(“收集时间”)。在图5A所。

49、示的例子中，需要注意的一点是，“收集时间”与下一次的“收集时间”的时间差为2秒。 0078 健康性判定部53在来自控制器20b数据由控制器20a接收的情况下，对图5A所示的信息与图2的动作模型M1进行比较，判定控制器20a与控制器20b的通信的健康性。在图5A所示的例子中，表示“输入输出方向”、“对象”、及“使用设备”的信息分别与图2的动作模型M1的“输入输出方向”、“对象”、及“使用设备”一致。此外，图5A中的“收集时间” 和下一次的“收集时间”的时间差处于图2的动作模型M1的“周期”的规定的范围内。因此，可以说与动作模型相符合，在收集到图5A所例示的信息的情况下，健康性判定部53判定控制器20a与控制器20b的通信为健康。 0079 与之相对，如图3所示，在相对于监视装置30而控制器20a以4秒间隔发送数据的情况下，例如由跟踪信息收集部52收集到图5B所示的信息。具体地说，是表示。

展开阅读全文