控制器系统的制作方法

1.本发明涉及针对对控制对象进行控制的控制器系统的安全防护功能。


背景技术：

2.在各种设备和配置于各设备的各种装置的控制中使用plc(可编程逻辑控制器)等控制装置。控制装置还能够监视控制对象的设备或机械中产生的异常，并且监视控制装置自身的异常。在检测到某种异常时，通过某种方法从控制装置对外部进行通知。
3.例如，日本特开2000
‑
137506号公报(专利文献1)公开有如下的可编程控制器：在登记了异常历史时或预定的时间到来时，向预先指定的目的地发送电子邮件。
4.现有技术文献
5.专利文献
6.专利文献1：日本特开2000
‑
137506号公报


技术实现要素：

7.发明要解决的课题
8.伴随着近年来的ict(information and communication technology：信息和通信技术)的进步，控制装置也与各种外部装置进行网络连接，并且，控制装置中执行的处理也得到提高。伴随着这种网络化或智能化，设想的威胁的种类也增加。因此，需要针对这种威胁的控制装置和控制系统的保护。在存在针对控制装置和控制系统的威胁的期间内，要求提高保护控制装置和控制系统不会受到该威胁影响的可靠性。
9.本发明的一个目的在于，提高针对伴随着控制装置和控制系统的网络化或智能化而可能产生的威胁的保护的可靠性。
10.用于解决课题的手段
11.本公开的一例是一种控制器系统，该控制器系统具有：控制单元，其执行用于对控制对象进行控制的控制动作；以及安全防护单元，其与控制单元连接，负责针对控制器系统的安全防护功能，控制单元具有正常模式和用于执行控制器系统的限定性动作的缩减模式作为与控制动作有关的控制模式，正常模式和缩减模式能够相互转变，安全防护单元包含检测单元，该检测单元检测控制器系统中有无与安全防护有关的事故，控制单元在由检测单元检测到事故的情况下，使控制模式转变成缩减模式，在由检测单元检测到事故的解除之前，使控制模式保持缩减模式。
12.根据上述发明，在与安全防护有关的事故被解除之前，控制单元以缩减模式进行工作。能够防止与安全防护有关的事故未被解除但是控制单元以正常模式进行工作。因此，能够提高针对伴随着控制装置和控制系统的网络化或智能化而可能产生的威胁的保护的可靠性。
13.优选控制单元从检测单元取得与事故的检测有关的事故信息，在事故信息表示事故解除的情况下，控制单元将控制模式从缩减模式变更成正常模式，在事故信息表示事故
持续的情况下，控制单元将控制模式设定成缩减模式。
14.根据上述发明，控制单元能够根据来自安全防护单元的信息将控制模式设定成正常模式或缩减模式。由此，能够提高针对伴随着控制装置和控制系统的网络化或智能化而可能产生的威胁的保护的可靠性。
15.优选控制单元在执行控制单元的再起动处理的情况下，根据事故信息决定控制模式。
16.根据上述发明，在与安全防护有关的事故未被解除的情况下，在再起动控制单元后，控制模式也设定成缩减模式。能够防止事故未被解除但是由于控制单元的再起动处理而使控制模式设定成正常模式。
17.优选安全防护单元非易失性地存储与事故的检测有关的信息，在由于对控制器系统再接通电源而实现的控制器系统的再起动时，安全防护单元根据安全防护单元中存储的信息使安全防护单元的状况恢复，控制单元根据安全防护单元的状况设定控制模式。
18.根据上述发明，在与安全防护有关的事故未被解除的情况下，即使通过再接通电源对控制器系统整体进行复位，根据安全防护单元中存储的信息，控制模式也被设定成缩减模式。能够防止事故未被解除但是由于控制器系统的再起动处理而使控制模式设定成正常模式。
19.优选安全防护单元使来自具有管理者权限的用户的操作优先于事故信息，对与事故的检测有关的安全防护单元的状况进行变更。
20.根据上述发明，例如在明确事故被解除的情况下，能够使控制器系统1尽早恢复。
21.优选在缩减模式下，控制单元限制控制动作。
22.根据上述发明，能够维持系统的工作。
23.优选在缩减模式下，控制单元限制控制对象的动作。
24.根据上述发明，能够维持系统的工作。
25.发明效果
26.根据本发明，能够提高针对伴随着控制装置和控制系统的网络化或智能化而可能产生的威胁的保护的可靠性。
附图说明
27.图1是示出本实施方式的控制器系统的结构例的外观图。
28.图2是示出构成本实施方式的控制器系统的控制单元的硬件结构例的示意图。
29.图3是示出构成本实施方式的控制器系统的安全防护单元的硬件结构例的示意图。
30.图4是示出构成本实施方式的控制器系统的安全防护单元的硬件结构例的示意图。
31.图5是示出包含本实施方式的控制器系统的控制系统的典型例的示意图。
32.图6是示出针对安全防护威胁的对策循环的一例的示意图。
33.图7是示出包含本实施方式的控制器系统1的控制系统中的不正当侵入检测时的应对的一例的示意图。
34.图8是示出针对包含生产机械和检查装置的生产线的攻击例的示意图。
35.图9是示出本实施方式的控制器系统1中的与事故特性对应的不同设备的控制动作的一例的图。
36.图10是示出本实施方式的控制器系统1中的与事故特性对应的不同设备的控制动作的另一例的图。
37.图11是示出本实施方式的控制器系统1中的与事故特性对应的各设备中的不同状态的控制动作的一例的图。
38.图12是示出本实施方式的控制器系统1中的检测到安全防护威胁时的处理步骤的流程图。
39.图13是示出本实施方式的控制器系统1中采用的指示器的一例的示意图。
40.图14是示出事故发生后的控制系统10的恢复中设想的事态的图。
41.图15是示出应对图14所示的事态的系统的状态的图。
42.图16是用于示出本实施方式的再工作处理的流程的图。
43.图17是用于说明本实施方式中的控制系统的再工作处理的流程的第1图。
44.图18是用于说明本实施方式中的控制系统的再工作处理的流程的第2图。
具体实施方式
45.参照附图对本发明的实施方式进行详细说明。另外，对图中的相同或相当部分标注相同标号并省略其说明。
46.<a.控制器系统1>
47.首先，对本实施方式的控制器系统1的结构进行说明。
48.图1是示出本实施方式的控制器系统1的结构例的外观图。参照图1，控制器系统1包含控制单元100、安全防护单元200、安全单元300、1个或多个功能单元400和电源单元450。
49.控制单元100与安全防护单元200之间经由任意的数据传输路径(例如pci express(注册商标)或以太网(注册商标)等)连接。控制单元100与安全单元300和1个或多个功能单元400之间经由未图示的内部总线连接。
50.控制单元100在控制器系统1中执行中心处理。控制单元100按照任意设计的要求规格，执行用于对控制对象进行控制的控制运算。在与由后述安全单元300执行的控制运算进行对比时，将由控制单元100执行的控制运算称作“标准控制”。在图1所示的结构例中，控制单元100具有1个或多个通信端口。
51.安全防护单元200与控制单元100连接，负责针对控制器系统1的安全防护功能。在图1所示的结构例中，安全防护单元200具有1个或多个通信端口。安全防护单元200提供的安全防护功能的详细情况在后面叙述。
52.安全单元300与控制单元100独立地执行用于实现与控制对象有关的安全功能的控制运算。将由安全单元300执行的控制运算称作“安全控制”。通常，“安全控制”被设计成满足用于实现由iec 61508等规定的安全功能的要件。“安全控制”是用于防止设备或机械等威胁人的安全的处理的总称。
53.功能单元400提供用于实现控制器系统1对各种控制对象的控制的各种功能。典型地讲，功能单元400可以包含i/o单元、安全i/o单元、通信单元、运动控制器单元、温度调整
单元、脉冲计数器单元等。作为i/o单元，例如可举出数字输入(di)单元、数字输出(do)单元、模拟输入(ai)单元、模拟输出(ao)单元、脉冲捕捉输入单元和混合多个种类而成的复合单元等。安全i/o单元负责安全控制的i/o处理。
54.电源单元450对构成控制器系统1的各单元供给规定电压的电源。
55.<b.各单元的硬件结构例>
56.接着，对构成本实施方式的控制器系统1的各单元的硬件结构例进行说明。
57.(b1：控制单元100)
58.图2是示出构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。参照图2，作为主要的组件，控制单元100包含cpu(central processing unit：中央处理单元)或gpu(graphical processing unit)等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、usb(universal serial bus：通用串行总线)控制器112、存储卡接口114、网络控制器116、118、120、内部总线控制器122和指示器124。
59.处理器102读出二次存储装置108中存储的各种程序，在主存储装置106中展开并执行，由此实现标准控制的控制运算和后述的各种处理。芯片组104对处理器102与各组件之间的数据交换进行中介，由此实现控制单元100整体的处理。
60.在二次存储装置108中，除了存储有系统程序以外，还存储有在系统程序提供的执行环境上进行动作的控制程序。
61.通信控制器110负责与安全防护单元200之间的数据交换。作为通信控制器110，例如能够采用与pci express或以太网等对应的通信芯片。
62.usb控制器112借助usb连接来负责与任意的信息处理装置之间的数据交换。
63.存储卡接口114构成为能够拆装存储卡115，能够对存储卡115写入控制程序或各种设定等数据，或者从存储卡115读出控制程序或各种设定等数据。
64.网络控制器116、118、120分别负责经由网络的与任意器件之间的数据交换。网络控制器116、118、120也可以采用ethercat(注册商标)、ethernet/ip(注册商标)、devicenet(注册商标)、componet(注册商标)等工业用网络协议。
65.内部总线控制器122负责与构成控制器系统1的安全单元300或1个或多个功能单元400之间的数据交换。内部总线可以使用厂商固有的通信协议，也可以使用与任意的工业用网络协议相同或以之为基准的通信协议。
66.指示器124通知控制单元100的动作状态等，由配置于单元表面的1个或多个led等构成。
67.图2示出处理器102执行程序来提供必要功能的结构例，但是，也可以使用专用的硬件电路(例如asic(application specific integrated circuit：专用集成电路)或fpga(field
‑
programmable gate array：现场可编程门阵列)等)来安装这些提供的功能的一部分或全部。或者，也可以使用基于通用架构的硬件(例如以通用个人计算机为基础的工业用个人计算机)来实现控制单元100的主要部分。该情况下，也可以使用虚拟化技术并列地执行用途不同的多个os(operating system：操作系统)，并且在各os上执行必要的应用。
68.(b2：安全防护单元200)
69.图3是示出构成本实施方式的控制器系统1的安全防护单元200的硬件结构例的示意图。参照图3，作为主要的组件，安全防护单元200包含cpu或gpu等处理器202、芯片组204、
主存储装置206、二次存储装置208、通信控制器210、usb控制器212、存储卡接口214、网络控制器216、218和指示器224。
70.处理器202读出二次存储装置208中存储的各种程序，在主存储装置206中展开并执行，由此实现后述的各种安全防护功能。芯片组204对处理器202与各组件之间的数据交换进行中介，由此实现安全防护单元200整体的处理。
71.在二次存储装置208中，除了存储有系统程序以外，还存储有在系统程序提供的执行环境上进行动作的安全防护系统程序。
72.通信控制器210负责与控制单元100之间的数据交换。作为通信控制器210，与控制单元100中的通信控制器210同样，例如能够采用与pci express或以太网等对应的通信芯片。
73.usb控制器212借助usb连接来负责与任意的信息处理装置之间的数据交换。
74.存储卡接口214构成为能够拆装存储卡215，能够对存储卡215写入控制程序或各种设定等数据，或者从存储卡215读出控制程序或各种设定等数据。
75.网络控制器216、218分别负责经由网络的与任意器件之间的数据交换。网络控制器216、218也可以采用以太网(注册商标)等通用网络协议。
76.指示器224通知安全防护单元200的动作状态等，由配置于单元表面的1个或多个led等构成。
77.图3示出处理器202执行程序来提供必要功能的结构例，但是，也可以使用专用的硬件电路(例如asic或fpga等)来安装这些提供的功能的一部分或全部。或者，也可以使用基于通用架构的硬件(例如以通用个人计算机为基础的工业用个人计算机)来实现安全防护单元200的主要部分。该情况下，也可以使用虚拟化技术并列地执行用途不同的多个os，并且在各os上执行必要的应用。
78.(b3：安全单元300)
79.图4是示出构成本实施方式的控制器系统1的安全单元300的硬件结构例的示意图。参照图4，作为主要的组件，安全单元300包含cpu或gpu等处理器302、芯片组304、主存储装置306、二次存储装置308、存储卡接口314、内部总线控制器322和指示器324。
80.处理器302读出二次存储装置308中存储的各种程序，在主存储装置306中展开并执行，由此实现安全控制的控制运算和后述的各种处理。芯片组304对处理器302与各组件之间的数据交换进行中介，由此实现安全单元300整体的处理。
81.在二次存储装置308中，除了存储有系统程序以外，还存储有在系统程序提供的执行环境上进行动作的安全程序。
82.存储卡接口314构成为能够拆装存储卡315，能够对存储卡315写入安全程序或各种设定等数据，或者从存储卡315读出安全程序或各种设定等数据。
83.内部总线控制器322负责经由内部总线的与控制单元100之间的数据交换。
84.指示器324通知安全单元300的动作状态等，由配置于单元表面的1个或多个led等构成。
85.图4示出处理器302执行程序来提供必要功能的结构例，但是，也可以使用专用的硬件电路(例如asic或fpga等)来安装这些提供的功能的一部分或全部。或者，也可以使用基于通用架构的硬件(例如以通用个人计算机为基础的工业用个人计算机)来实现安全单
元300的主要部分。该情况下，也可以使用虚拟化技术并列地执行用途不同的多个os，并且在各os上执行必要的应用。
86.<c.控制系统10>
87.接着，对包含本实施方式的控制器系统1的控制系统10的典型例进行说明。图5是示出包含本实施方式的控制器系统1的控制系统10的典型例的示意图。
88.作为一例，图5所示的控制系统10设2个生产线(生产线a和生产线b)为控制对象。典型地讲，各生产线在输送工件的输送机的基础上，配置有能够对输送机上的工件赋予任意的物理作用的机器人。
89.在生产线a和生产线b分别配置有控制单元100。在负责生产线a的控制单元100的基础上，安全防护单元200和安全单元300构成控制器系统1。另外，为了便于说明，图5中省略功能单元400和电源单元450的记载。
90.控制器系统1的安全防护单元200经由通信端口242(图3的网络控制器216)而与第1网络2连接。在第1网络2连接有支持装置600和scada(supervisory control and data acquisition：监督控制和数据采集)装置700。
91.支持装置600至少能够访问控制单元100，向用户提供由控制器系统1中包含的各单元执行的程序的生成、调试、各种参数的设定等功能。
92.scada装置700向操作员提示通过控制器系统1中的控制运算而得到的各种信息，并且，按照来自操作员的操作，对控制器系统1生成内部命令等。scada装置700还具有收集控制器系统1处理的数据的功能。
93.控制器系统1的控制单元100经由通信端口142(图2的网络控制器116)而与第2网络4连接。在第2网络4连接有hmi(human machine interface：人机界面)800和数据库900。
94.hmi800向操作员提示通过控制器系统1中的控制运算而得到的各种信息，并且，按照来自操作员的操作，对控制器系统1生成内部命令等。数据库900收集从控制器系统1发送的各种数据(例如从各工件计测出的与可追溯性有关的信息等)。
95.控制器系统1的控制单元100经由通信端口144(图2的网络控制器118)而与1个或多个现场器件500连接。现场器件500包含从控制对象收集控制运算所需要的各种信息的传感器或检测器、以及对控制对象赋予某种作用的致动器等。在图5所示的例子中，现场器件500包含对工件赋予某种外部作用的机器人、输送工件的输送机、在与配置于现场的传感器或致动器之间交换信号的i/o单元等。
96.同样，负责生产线b的控制单元100也同样经由通信端口144(图2的网络控制器118)而与1个或多个现场器件500连接。
97.这里，在着眼于控制器系统1的功能方面时，控制单元100包含执行标准控制的控制运算的处理执行部即控制引擎150、以及在与外部装置之间交换数据的信息引擎160。安全防护单元200包含用于实现后述的安全防护功能的安全防护引擎250。安全单元300包含执行安全控制的控制运算的处理执行部即安全引擎350。
98.各引擎通过各单元的处理器等任意的硬件要素或各种程序等任意的软件要素、或这些要素的组合来实现。各引擎能够以任意的方式安装。
99.进而，控制器系统1包含对引擎彼此的交换进行中介的代理170。代理170的实体可以配置于控制单元100和安全防护单元200中的一方或双方。
100.控制引擎150保持执行用于对控制对象进行控制的控制运算所需要的变量表和功能块(fb)等。关于变量表中存储的各变量，通过i/o刷新处理，利用从现场器件500取得的值周期地收集，并且，向现场器件500周期地反映各值。控制引擎150中的控制运算的日志也可以存储于日志数据库180。
101.信息引擎160对控制单元100保持的数据(由变量表保持的变量值)执行任意的信息处理。典型地讲，信息引擎160包含周期地将控制单元100保持的数据发送到数据库900等的处理。在这种数据的发送中使用sql等。
102.安全防护引擎250执行控制器系统1中发生的不正当侵入的检测、与检测到的不正当侵入对应的处理、有无发生事故的判断、与发生的事故对应的处理等。安全防护引擎250的举动作为安全防护信息260来保存。因此，安全防护引擎250相当于检测有无与安全防护有关的事故的检测单元。
103.安全防护引擎250利用指示器224通知发生了与安全防护有关的某种事件、或发生的与安全防护有关的事件的等级等。
104.安全引擎350相当于检测在控制器系统1中是否发生了某种不正当侵入的检测单元。安全引擎350经由控制单元100取得和反映执行安全控制的控制运算所需要的安全i/o变量。安全引擎350中的安全控制的日志也可以存储于日志数据库360。
105.例如，在安全防护引擎250检测到某种事件时，代理170使控制引擎150、信息引擎160和安全引擎350的动作等变化。
106.<d.针对安全防护威胁的对策循环>
107.本实施方式的控制器系统1检测妨碍正常运转设备或机械的任意的安全防护威胁，能够执行必要的对策。
108.在本说明书中，“安全防护威胁”意味着妨碍正常运转设备或机械的任意事象。这里，“正常运转”意味着能够按照系统设计和生产计划持续运转设备或机械的状态。另外，用于按照系统设计和生产计划持续运转设备或机械的设备或机械的启动、维护、换产调整等和付属处理都包含在“正常运转”的概念中。
109.在以plc为中心的控制装置中，典型地讲，考虑(1)来自数据库等上位装置的攻击、(2)来自现场器件的攻击、(3)经由支持装置的攻击、(4)经由存储卡等装配于控制装置的存储介质的攻击这样的来自4个方面的安全防护威胁。进而，搭载于控制装置的全部物理端口存在受到攻击的安全防护风险。
110.本实施方式的安全防护单元200检测这些各方面产生的安全防护威胁或风险，执行用于能够执行必要对策的处理。
111.通常，安全防护威胁依次进化，因此，需要持续执行针对安全防护威胁的对策。对这种针对安全防护威胁的持续对策进行说明。
112.图6是示出针对安全防护威胁的对策循环的一例的示意图。参照图6，针对安全防护威胁的对策循环主要大致分成(1)开发时的对策(步骤s1、s2、s9)和(2)运用时的对策(步骤s3～s8)。(1)开发时的对策主要意味着决定作为控制对象的设备或机械的设计/规格的阶段中的对策，(2)运用时的对策主要意味着运转作为控制对象的设备或机械的阶段中的对策。
113.更具体而言，首先，执行针对作为控制对象的设备或机械的威胁分析(步骤s1)。在
步骤s1的威胁分析中，决定安全防护要件定义。接着，执行安全防护功能设计(步骤s2)。在该安全防护功能设计中，设计加密方式、认证方式、访问限制等安全防护功能。
114.这些步骤s1和s2中设计出的内容被反映到作为控制对象的设备或机械，然后开始运用。在该时点，通常成为正常运转(步骤s3)。如上所述，正常运转包含设备或机械的启动、正式工作、维护、换产调整等处理。
115.设在这种正常运转中，检测到某种不正当侵入。于是，执行安全防护威胁1次应对(步骤s4)。
116.这里，在本说明书中，“不正当侵入的检测”或“不正当侵入检测”意味着检测可能成为某种安全防护威胁的现象或异常。换言之，不正当侵入的检测仅意味着检测与通常不同的现象或状态的发生，无法可靠地判断通常未发生事故(但是存在发生事故的风险)且与通常不同的现象或状态是否不正当。因此，从维持生产活动的观点来看，仅检测到不正当侵入就阻止全部处理或事件是不优选的。
117.因此，在图6所示的针对安全防护威胁的对策循环中，在检测到不正当侵入时，作为1次性措施，执行安全防护威胁1次应对(步骤s4)。
118.安全防护威胁1次应对是存在发生事故的风险的状况下的1次性措施，有时也能够防止向发生事故的方向进展。即使发生了事故，通过执行安全防护威胁1次应对，也能够将受害抑制到最小限度。在本实施方式的控制器系统1中，通过事前设定，自动执行安全防护威胁1次应对。
119.典型地讲，安全防护威胁1次应对能够大致分成继续、缩减、停止这3个。
120.安全防护威胁1次应对的“继续”意味着与检测到不正当侵入紧前同样地继续进行工作。但是，优选利用警报等通知安全防护威胁，由此成为可迅速采取进一步应对的状态。
121.安全防护威胁1次应对的“缩减”意味着进行控制器系统的部分停止(仅一部分工作)、性能缩小(性能降低)、功能限制等限定，但是继续进行工作。即，在“缩减”中，与检测到不正当侵入紧前的工作相比，在硬件方面或软件方面受到某种限制，但是工作自身继续进行。
122.安全防护威胁1次应对的“缩减”也可以包含一般的缩减运转(后退)。这种一般的缩减运转意味着在使系统的功能或性能的一部分停止的状态下维持工作。在切换成缩减运转后，可利用的功能被抑制到最低限度，或者，多数情况下成为响应速度降低这样的状态。因此，“缩减”也可以是限制控制单元100的控制动作、限制控制对象的动作中的任意一种。
123.安全防护威胁1次应对的“停止”意味着安全地停止系统的动作。
124.在执行这种安全防护威胁1次应对后，执行恢复作业。在图5所示的控制系统10中，控制器系统1和控制器系统1的现场侧由ot(operation technology：操作技术)部门的作业者负责，控制器系统1的上位侧(第1网络2和第2网络4以及与各网络连接的装置)由it(information technology：信息技术)部门的作业者负责。
125.更具体而言，ot部门的作业者对作为控制对象的设备或机械进行必要的处理(现场应对)(步骤s5)。具体而言，执行设备或机械的恢复作业、监视等作业。另一方面，it部门的作业者针对发生的安全防护威胁进行威胁分析及其对策等(步骤s6)。it部门的作业者的对策有时可以包含暂定性对策和永久性对策。
126.在ot部门和it部门的作业者的对策完成后，执行试运转(步骤s7)。如果该试运转
没有问题，则再次开始运用，恢复到正常运转(步骤s3)。
127.另一方面，在虽然执行了安全防护威胁1次应对(步骤s4)但是发生事故时，执行事故应对(步骤s8)。事故应对是发生事故后的应对，包含现场恢复和为了限定影响范围而紧急进行的措施。在本实施方式的控制器系统1中，通过事前设定，也自动执行事故应对。
128.在执行事故应对后，ot部门的作业者对作为控制对象的设备或机械进行必要的处理(现场应对)(步骤s5)，并且，it部门的作业者针对发生的安全防护威胁进行威胁分析及其对策等(步骤s6)。进而，生成事故报告(步骤s9)，根据该生成的事故报告的内容，再次执行威胁分析(步骤s1)和安全防护功能设计(步骤s2)等。
129.这样，在发生了事故的情况下，该发生的事故的内容被反馈到开发阶段。
130.另外，也可以即使未发生事故仍生成事故报告。
131.如后所述，本实施方式的控制器系统1提供能够可靠地执行图6所示的针对安全防护威胁的对策循环的结构。
132.<e.安全防护威胁1次应对>
133.接着，对图6所示的安全防护威胁1次应对(步骤s4)进行说明。
134.(e1：控制系统10中的安全防护威胁1次应对)
135.首先，对控制系统10中产生的不正当侵入(安全防护威胁)的检测和与其应对的安全防护威胁1次应对的一例进行说明。
136.图7是示出包含本实施方式的控制器系统1的控制系统10中的不正当侵入检测时的应对的一例的示意图。图7示出如下例子：在图5所示的控制系统10中，scada装置700感染病毒，从第1网络2和安全防护单元200的通信端口242被攻击。
137.在图7所示的例子中，设仅对负责生产线a的控制器系统1进行攻击，未对负责生产线b的控制单元100进行攻击。安全防护单元200在检测到不正当侵入时，向控制单元100等通知该检测到的不正当侵入的事故特性。
138.在本说明书中，“事故特性”是包含检测到的不正当侵入(安全防护威胁)的属性(例如攻击种类、攻击特性、攻击等级、严重度、紧急度等)的用语。安全防护单元200的安全防护引擎250根据预定的检测逻辑决定检测到的不正当侵入(安全防护威胁)的事故特性，将其输出到控制单元100等。即，安全防护单元200的安全防护引擎250作为向控制单元100通知表示通过检测功能检测到的不正当侵入的属性的事故特性的通知单元发挥功能。
139.控制单元100执行与来自安全防护单元200的事故特性应对的安全防护威胁1次应对和/或事故应对。即，控制单元100根据从安全防护单元200的安全防护引擎250通知的事故特性对控制动作进行变更。
140.图7示出执行安全防护威胁1次应对的例子。具体而言，设想利用机器人对在输送机上输送的工件进行加工的生产线a。在这种生产线a中，检测到不正当侵入，由此，作为一例，执行使对工件进行加工的机器人安全地停止并且使输送机上的在制品的工件向仓库退避的处理作为安全防护威胁1次应对。
141.在实现这种安全防护威胁1次应对时，控制单元100的控制引擎150针对生产线a执行使机器人安全地停止并且使输送机上的在制品向仓库移动的处理(步骤s41)。按照控制引擎150输出的命令，现场器件500的机器人安全停止(停止)(步骤s42)，现场器件500的输送机将输送的速度切换成低速，并且执行(缩减)用于使在制品向仓库移动的特殊分类处理
(步骤s43)。另一方面，现场器件500的i/o单元继续进行运转(动作)(步骤s44)。这是由于，i/o单元周期地更新的输入输出数据是控制引擎150适当地执行处理所需要的。
142.此外，如上所述，在图7所示的来自scada装置700的攻击中，对负责生产线b的控制单元100没有影响，因此，负责生产线b的控制单元100的控制引擎150继续进行运转(步骤s45)。
143.此外，关于控制单元100的通信端口142，也可以仅许可用于继续生产的最小限度的通信(步骤s46)。即，也可以对控制单元100的通信物理端口的通信进行控制。另外，不限于控制单元100的通信物理端口，在检测到某种不正当侵入(安全防护威胁)时，也可以对安全防护单元200和/或安全单元300的任意的通信物理端口的通信进行限制。
144.此外，控制单元100在hmi800的指示器824显示得知检测到不正当侵入(安全防护威胁)的警报(步骤s47)。
145.进而，控制单元100也可以在从安全防护单元200接受事故的发生时，在hmi800显示事故报告(步骤s48)。
146.如图7所示，控制器系统1在检测到不正当侵入(安全防护威胁)时，能够执行与该检测到的不正当侵入的事故特性应对的安全防护威胁1次应对。
147.(e2：其他设备/机械中的安全防护威胁1次应对)
148.在上述图7中，例示出在设配置有能够对输送机上的工件赋予任意的物理作用的机器人的生产线为控制对象的控制系统10中，从scada装置受到攻击时的安全防护威胁1次应对。但是，优选安全防护威胁1次应对至少根据控制对象中包含的设备或机械和事故特性而使应对内容不同。
149.(i)针对加工机的数据篡改的攻击
150.例如，设想针对基于nc(numerical control：数控)等的工件的加工机篡改加工数据(规定了精加工形状等的数据)的情况。该情况下，关于加工机和加工机的周边设备的控制，采用停止作为安全防护威胁1次应对，人的安全优先。
151.另一方面，关于信息通信处理，基本上采用如下的安全防护威胁1次应对：遮断通信而与其他设备隔离(信息通信处理)，并且确定在受到数据篡改攻击后被加工的工件(信息处理)。
152.(ii)针对填充机的ddos攻击
153.例如，设想针对向罐或瓶等填充液体的填充机(装瓶机)的ddos(distributed denial of service：分布式拒绝服务)攻击。通常，填充机高速进行填充动作，因此，使其紧急停止可能在针对设备的损伤和填充中的罐或瓶的后处理这样的方面产生问题。另一方面，关于ddos攻击，仅与外部之间的通信受到影响，多数情况下能够使填充机自身进行动作。因此，填充机可采取正常运转或缩减运转(例如使输送速度缓慢降低)这样的安全防护威胁1次应对。
154.另一方面，关于控制单元100中的信息通信处理，基本上采用如下的安全防护威胁1次应对：遮断通信而与其他设备隔离(通信处理)，并且确定在受到数据篡改攻击后被加工的工件(信息处理)。
155.另一方面，关于信息通信处理，遮断接收信息的处理(即ddos攻击的对象)，发送信息的处理(例如向上位服务器发送生产信息)继续有效。
156.这样，优选根据控制对象中包含的设备或机械和事故特性而使应对内容不同。
157.<f.与事故应对的应对>
158.接着，对图6所示的事故应对(步骤s8)进行说明。
159.图8是示出针对包含生产机械和检查装置的生产线的攻击例的示意图。参照图8，例如设想如下的生产线：生产机械生产产品，并且，通过配置于生产机械的下游侧的检查装置检查生产机械生产出的产品后出厂。
160.针对这种生产线，攻击者企图使不良品流出市场。为了实现这种企图，攻击者篡改生产机械以生产不良品，进而，篡改检查装置以使其无法检测该不良品。
161.作为这种攻击的具体内容，例如，针对检查装置篡改良否判定逻辑。即，进行如下攻击：有意地改写良否判定逻辑以使检查装置不会判断为不良品。
162.一并地，针对生产机械篡改配方信息和/或控制逻辑。即，进行如下攻击：对控制内容进行变更以使生产机械生产不良品。
163.在受到这种攻击的情况下，发生事故，需要进行与事故对应的应对。关于与事故对应的应对，也优选根据事故特性而使其应对内容变化。
164.在本事例中，作为具体的与事故对应的应对，设想以下这种应对。
165.·
不使用可能被篡改的检查装置，切换成其他检查装置(使检查装置冗余化，或者使产品流向位于其他生产线的安全的检查装置)
166.·
对篡改前的逻辑(良否判定逻辑或控制逻辑)进行备份，自动进行恢复(通过自动进行恢复，终端用户可以不用定期地采取备份，此外，能够确定可判断为安全的过去的备份是哪个备份)
167.·
停止可能存在风险的工序的生产，另一方面，其他没有威胁的工序继续进行生产(在制品增加，但是，不需要停止全部工序)
168.·
已经生产的产品的良否判定结果也可疑，因此，不将其保管于正规的仓库，再次进行检查，由此，不会直接向市场流通(可以流向再检查用的生产线，也可以手动进行再检查)
169.如上所述，在本实施方式中，能够利用检测到的不正当侵入(安全防护威胁)的事故特性，因此，例如，如果能够保证适当地执行产品的良否判定，则不需要停止全部生产线。此外，如果能够缩减作为再检查对象的商品，则能够避免全部产品回收等受害扩大。
170.<g.与事故特性对应的应对>
171.如上所述，在本实施方式的控制器系统1中，在安全防护单元200检测到不正当侵入(安全防护威胁)时，向控制单元100等通知该检测到的不正当侵入(安全防护威胁)的事故特性(参照图7等)。在控制单元100和安全单元300中，能够根据事故特性进行针对安全防护威胁的适当范围和内容的应对(图6的步骤s4和s8)。
172.本实施方式的控制器系统1能够根据检测到的不正当侵入(安全防护威胁)的事故特性使控制单元100和/或安全单元300中的控制(即安全防护威胁1次应对或事故应对)的内容不同。下面，对这种与事故特性对应的控制内容的决定例进行说明。
173.图9是示出本实施方式的控制器系统1中的与事故特性对应的不同设备的控制动作的一例的图。图10是示出本实施方式的控制器系统1中的与事故特性对应的不同设备的控制动作的另一例的图。图11是示出本实施方式的控制器系统1中的与事故特性对应的各
设备中的不同状态的控制动作的一例的图。
174.图9示出从安全防护单元200输出攻击的种类或攻击后的状态(例如随机篡改、资源枯竭、ddos攻击等)作为事故特性的例子。执行与从安全防护单元200输出的各事故特性对应的应对。这种与事故特性对应的应对也可以按照每个设备或机械更细地设定。
175.作为与事故特性对应的应对，能够大致分成与设备控制有关的应对和与信息通信有关的应对。设备控制主要意味着控制单元100的控制引擎150和/或安全单元300的安全引擎350(均参照图5)负责的处理，意味着与作为控制对象的设备或机械的动作有关的应对。信息通信主要意味着控制单元100的信息引擎160负责的处理，意味着与控制单元100与外部装置之间的数据交换、控制单元100内部的信息处理等有关的应对。
176.图9所示的控制动作中的“正常运转”意味着能够按照系统设计和生产计划持续运转设备或机械的状态。“缩减”(图中对“缩减”附加“a1”等识别信息来表现)意味着进行控制器系统1的部分停止(仅一部分工作)、性能缩小(性能降低)、功能限制等限定，但是继续进行工作。“停止”意味着安全地停止作为对象的设备或机械或控制器系统1的动作。另外，在图10和图11中也同样。
177.图10示出从安全防护单元200输出检测到的不正当侵入(安全防护威胁)的等级(严重度或紧急度等)作为事故特性的例子。各等级根据检测到的攻击的种类或攻击后的状态等来计算。执行与从安全防护单元200输出的各事故特性对应的应对。这种与事故特性对应的应对也可以按照每个设备或机械更细地设定。
178.图11示出按照各设备或机械的每个状态设定与各事故特性对应的应对的例子。例如，也可以按照每个设备确定运转中、维护中、换产调整中等状态，并且根据检测到的事故特性和当前的状态决定针对各设备的应对。
179.另外，图11例示设备或机械的状态，但是不限于此，例如，也可以根据plc的动作状态(通常运转中、远程访问中、调试中等)而使应对的内容不同。进而，也可以仅根据状态决定与各事故特性对应的应对。即，也可以与设备或机械的差异无关地，仅根据检测到安全防护威胁时的状态决定应对。
180.此外，作为图11所示的事故特性，也可以使用图10所示的等级。
181.如图9～图11所示，在本实施方式的控制器系统1中，能够根据从安全防护单元200输出的事故特性，按照每个设备和/或每个状态动态地决定必要的应对。通过动态地决定这种应对的内容，能够灵活地执行基于继续运转设备或机械而实现的生产性的维持、以及针对安全防护的应对。另外，图9～图11例示与标准控制有关的控制动作，但是，关于安全控制，也能够定义同样的控制动作。
182.接着，对图9～图11所示的“缩减”的一例进行说明。
183.(1)设备控制的缩减
184.设备控制的缩减意味着在范围、功能、生产性等方面受到限制的状态下运转。
185.作为范围，能够对成为控制对象的区域进行限制。作为成为控制对象的区域，例如，能够对控制装置、装配于控制装置的模块、装配于控制装置的单元等控制侧进行限制。或者，能够对特定的机械、生产线、楼层、工厂整体这样的被控制侧(控制对象)进行限制。
186.作为功能，能够对控制器系统1提供的处理中的特定的处理(例如信息控制、标准控制、安全控制等)进行限制。
187.作为生产性，能够为了安全、安心而暂时地对生产性(例如生产线速度、每单位时间的生产数、每单位时间的生产量等)进行限制。
188.(2)信息通信的缩减
189.信息通信的缩减意味着在范围、方向、频带、qos(quality of service：服务质量)、数据等方面受到限制的状态下运转。
190.作为范围，例如，能够对通信物理端口、通信逻辑端口、网络脱离等进行限制。
191.在对通信物理端口进行限制的情况下，能够对分别配置于控制单元100和安全防护单元200的通信端口中的特定的端口使用进行限制。或者，也可以仅使安装于控制器系统1的通信端口中的上位侧或现场侧有效。
192.在对通信逻辑端口进行限制的情况下，可以对可利用的tcp/udp端口进行限制，也可以对可利用的通信协议进行限制。进而，也可以对受理访问的mac地址或ip地址进行限制。
193.作为方向，例如，也可以将各端口中数据流动的方向限制成仅一个方向。例如，关于特定的端口，是仅许可接收数据或仅许可发送数据这样的情况。通过仅许可这种一个方向的数据，在检测到某种安全防护威胁时，能够防止数据从控制器系统1流出。
194.作为频带，为了降低控制器系统1的通信负荷或处理负荷，也可以对通信速度进行限制(例如从1gbps变更成100mbps)。
195.作为qos，也可以使要通过的分组的优先级动态地变化。例如，在检测到某种安全防护威胁的情况下，也可以将要通过的分组的优先级变更成较高。
196.作为数据，例如，在ethercat等工业用网络协议中，也可以对过程数据通信的有效/无效的切换、输出值的更新进行限制(停止更新/清零/保持上次值等)。
197.不限于上述内容，“缩减”可以包含对正常运转施加任意的限制的状态下的运转。另外，“缩减”也可以视为部分停止，“停止”可以包含全面停止特定的功能，因此，也可以视为对“缩减”进行扩展的概念。
198.图12是示出本实施方式的控制器系统1中的检测到安全防护威胁时的处理步骤的流程图。控制单元100的处理器102、安全防护单元200的处理器202和安全单元300的处理器302分别执行程序，由此实现图12所示的各步骤。
199.参照图12，安全防护单元200根据控制单元100中产生的处理和网络上流动的分组等，判断是否产生不正当侵入(步骤s100)。如果未产生不正当侵入(步骤s100：否)，则反复进行步骤s100的处理。
200.如果未产生不正当侵入(步骤s100：是)，则安全防护单元200向控制单元100通知与检测到的不正当侵入(安全防护威胁)对应的事故特性(步骤s102)。控制单元100接受来自安全防护单元200的事故特性的通知，判定是否符合预定的动作变更的条件(步骤s104)。
201.如果符合预定的动作变更的条件(步骤s104：是)，则控制单元100对与该符合的条件对应的作为对象的设备或机械的动作进行变更(步骤s106)。
202.与此相对，如果不符合预定的动作变更的条件(步骤s104：否)，则跳过步骤s106的处理。然后，反复进行步骤s100以后的处理。
203.<h.安全防护信息的可视化/用户辅助>
204.通常，安全防护事象是无形的，因此，特别是对于ot部门的作业者来说，很难掌握
当前处于什么样的状况。因此，本实施方式的控制器系统1使安全防护信息可视化，并且提供检测到不正当侵入时等的用户辅助。
205.(h1：状况)
206.在安全防护单元200检测到某种不正当侵入的情况下，也可以使用配置于安全防护单元200的表面的指示器224、配置于控制单元100的表面的指示器124、hmi800的指示器824(均参照图5)等向用户进行通知。该情况下，在不正当侵入的检测前后，利用点亮颜色变更、点亮开始、闪烁开始等任意的显示形式的变化即可。进而，不仅可以使用显示，也可以使用声音或语音消息等。
207.安全防护威胁也可以根据安全防护风险进行定量化。在本说明书中，“安全防护风险”是定量地表示检测为不正当侵入的概率或程度的用语。“安全防护风险”例如可以根据用于进行随机篡改的分组的到来频度或ddos攻击的程度等来计算。在得到这种定量化的安全防护风险的情况下，也可以在配置于控制单元100的表面的指示器124、hmi800的指示器824显示计算出的程度。
208.图13是示出本实施方式的控制器系统1中采用的指示器的一例的示意图。图13示出显示定量化的安全防护风险时的结构例。例如，在指示器224中配置有3个led。3个led的点亮颜色分别是绿色、黄色、红色。在风险等级较低时，仅绿色led点亮。在风险等级中等时，绿色led和黄色led点亮。在风险等级较高时，绿色led、黄色led和红色led点亮。
209.这样，安全防护单元200具有向用户提示通过作为检测单元的安全防护引擎250的检测动作计算出的安全防护风险的提示单元。通过配置上述这种指示器224，即使是没有专业知识的作业者，也能够容易地掌握当前的安全防护风险的状况。另外，不限于图13所示的指示器，只要是能够提示安全防护风险的形式即可，可以采用任意的指示器。
210.<i.系统恢复时的课题>
211.安全防护风险发生的概率越小越好。但是，另一方面，对于用户来说，安全防护风险发生时进行适当处理的机会减少。因此，也可能产生作业者无法准确地掌握由指示器224表示的事象(安全防护风险的发生)的可能性。例如，设想用户将黄色led的点亮判断为控制器系统1的动作异常(例如程序失控)。这种情况下，用户可能错误地再起动(复位)系统。
212.图14是示出事故发生后的控制系统10的恢复中设想的事态的图。在控制系统10动作时，发生安全防护事故。或者，在安全防护单元200中检测到安全防护风险(步骤s101)。
213.该情况下，fa(factory automation：工厂自动化)装置/控制系统10进行缩减动作或暂时停止(步骤s102)。it部门的工程师执行恢复和对策作业以消除安全防护事故(步骤s103)。
214.另一方面，ot部门的工程师使控制系统10(生产系统)再工作。但是，在事故未消除的状态下，控制系统10错误地再工作(步骤s104)。该情况下，安全防护受害扩大，例如可能产生信息的泄露、装置的故障等(步骤s105)。
215.或者，在控制系统10再工作后，再次检测安全防护事故(或安全防护风险)(步骤s106)。该情况下，fa装置/控制系统10再次缩减或暂时停止(步骤s102)。这样，可能反复进行多次步骤s102～s106的处理。
216.图15是示出应对图14所示的事态的系统的状态的图。参照图15，作为控制模式，控制单元100(在图15中记作“plc”)具有“run”模式和“safe”模式。run模式是正常模式。safe
模式是缩减模式，是用于执行控制器系统1的限定性动作的模式。
217.安全防护单元200的安全防护引擎250检测“green”、“yellow”、“red”这3个等级作为与安全防护风险对应的安全防护等级(lv)。“green”、“yellow”、“red”还对应于指示器224的led的点亮颜色。green等级是安全防护安全时的等级。yellow等级是检测到事故时的等级。red等级是发生事故时的等级。
218.在控制器系统正常工作时，控制模式是run模式，安全防护等级是green等级。在检测到事故时，安全防护等级从“green”变化成“yellow”，并且，控制模式从run模式转变成safe模式。
219.在该状态下，使控制单元100恢复。控制模式从safe模式恢复成run模式。但是，由安全防护单元200检测的安全防护等级是“red”。即，事故未被解除。在事故未被解除的情况下使控制单元100进行通常的动作，由此，安全防护受害可能扩大。
220.或者，通过使控制单元100暂时恢复，即使使控制模式返回run模式，由于事故未被解除，因此，控制模式也转移到safe模式。在事故未被解除的期间内，即使使控制单元100恢复，通过事故的检测，控制模式也暂时返回run模式，但是转移到safe模式。虽然事故未被解除，但是反复进行控制单元100的恢复，由此，可能引起在控制模式的转变中产生无限循环的情况。
221.<j.事故解除的检查>
222.在本实施方式中，在控制单元的再工作处理的流程中包含有事故解除的检查逻辑。由此，能够防止控制器系统的错误的再工作，因此，能够防止安全防护受害(2次受害)扩大。
223.图16是用于示出本实施方式的再工作处理的流程的图。在检测到事故时，控制单元100的控制模式从run模式转变成safe模式。这点已经进行了说明，因此，这里省略说明。在本实施方式中，在事故被解除之前，控制模式无法转变成run模式。因此，控制模式仍然保持safe模式。
224.在事故被解除后，安全防护等级成为“green”等级。该状态下，仅使控制单元100恢复。例如，控制单元100执行再起动处理。控制模式从safe模式转变成run模式，控制系统正常工作。在安全防护等级为green以外的等级(yellow或red)的状态下，即使再起动(复位)控制单元100，控制单元100的控制模式也是safe模式。
225.在本实施方式中，在使控制模式从safe模式恢复成run模式时，检查安全防护等级。如果安全防护等级为green，则能够使控制模式从safe模式恢复成run模式。相反，通过事故的检测，在安全防护等级为green以外的等级(yellow或red)的情况下，控制模式保持safe模式。
226.为了进行控制器系统1的再起动，还可考虑暂时切断控制器系统1整体的电源，然后，对控制器系统1再接通电源。但是，安全防护单元200非易失性地保持与状况或安全防护等级有关的信息。因此，在对控制器系统1再接通电源的情况下，安全防护单元200根据安全防护单元200中存储的信息设定安全防护等级。由此，保持控制器系统1的电源切断前的安全防护单元200的状况。与状况或安全防护等级有关的信息也可以是图5所示的安全防护信息260中包含的信息。
227.控制单元100根据安全防护单元200的状况设定控制模式。因此，控制模式设定成
电源切断前的模式。即使通过对控制器系统1再接通电源执行复位，在事故被解除之前，也能够使控制单元100的控制模式维持safe模式。
228.图17是用于说明本实施方式中的控制系统的再工作处理的流程的第1图。图17示出事故解除前的控制系统的处理流程。
229.如图17所示，通过事故的检测，控制单元100的控制模式转移到safe模式。为了进行正常工作，run模式变更请求被输入到控制单元100(步骤s11)。控制运行时间部11针对安全防护单元200进行事故的确认(步骤s12)。安全防护单元200的控制运行时间部21从安全防护引擎250取得事故信息(步骤s13)。该事故信息可以是不能变更成run模式(“ng”)这样的信息，也可以是表示安全防护等级的信息(安全防护等级为“yellow”)这样的信息。控制运行时间部21将取得的事故信息发送到控制单元100(步骤s14)。事故信息也可以是图5所示的安全防护信息260中包含的信息。
230.控制单元100的控制运行时间部11从控制运行时间部21取得事故信息。控制运行时间部11根据该事故信息输出针对run模式变更请求的响应(步骤s15)。该响应可以包含不能变更成run模式(“ng”)这样的信息或错误的信息。
231.图18是用于说明本实施方式中的控制系统的再工作处理的流程的第2图。图18示出事故解除后的控制系统的处理流程。
232.首先，表示事故被解除的信息被输入到安全防护单元200(步骤s20)。此时的控制单元100的控制模式是safe模式。
233.run模式变更请求被输入到控制单元100(步骤s21)。控制运行时间部11针对安全防护单元200进行事故的确认(步骤s22)。安全防护单元200的控制运行时间部21从安全防护引擎250取得事故信息(步骤s23)。该事故信息可以是能够变更成run模式(“ok”)这样的信息，也可以是表示安全防护等级的信息(安全防护等级为“green”)这样的信息。控制运行时间部21将取得的事故信息发送到控制单元100(步骤s24)。
234.控制单元100的控制运行时间部11从控制运行时间部21取得事故信息。控制运行时间部11根据该事故信息将控制模式从safe模式变更成run模式(步骤s25)。进而，控制运行时间部11输出针对变更请求的响应(步骤s26)。该响应可以包含能够变更成run模式(“ok”)这样的信息。
235.这样，控制单元100在控制单元的再起动处理时，根据来自安全防护单元200的事故信息决定控制模式。在与安全防护有关的事故未被解除的情况下，在再起动控制单元100后，控制模式也被设定成缩减模式。能够防止事故未被解除但是由于控制单元的再起动处理而使控制模式被设定成正常模式。
236.在图18所示的流程中，控制单元100根据意味着事故被解除的事故信息将控制模式变更成run模式。但是，也可以使来自具有管理者权限的用户(安全防护管理者等)的命令优先于上述事故信息。例如，在虽然安全防护等级为yellow但是管理员判断为能够恢复的情况下，控制单元100也可以受理来自管理员的输入，由此使控制模式恢复成run模式。例如，在由于安全防护单元200的误动作(错误的检测等)而变更了安全防护等级的情况下，能够使控制单元100的控制模式从缩减模式返回控制模式。此外，在明确事故被解除的情况下，能够使控制器系统1尽早恢复。
237.如上所述，根据本实施方式，在将控制单元从缩减模式切换成正常模式时，判断事
故是否被解除。在事故未被解除的情况下，无法使控制模式从缩减模式转变成正常模式。由此，能够防止控制系统的错误的再工作(在事故未被解除的情况下使控制单元与通常时同样进行工作)，因此，能够防止安全防护受害(2次受害)扩大。因此，能够提高针对伴随着控制装置和控制系统的网络化或智能化而可能产生的威胁的保护的可靠性。
238.<k.附记>
239.如以上说明的那样，本实施方式包含以下列举的发明。
240.1.一种控制器系统(1)，该控制器系统(1)具有：
241.控制单元(100)，其执行用于对控制对象进行控制的控制动作；以及
242.安全防护单元(200)，其与所述控制单元(100)连接，负责针对所述控制器系统(1)的安全防护功能，
243.所述控制单元(100)具有正常模式和用于执行所述控制器系统(1)的限定性动作的缩减模式作为与所述控制动作有关的控制模式，所述正常模式和所述缩减模式能够相互转变，
244.所述安全防护单元(200)包含检测单元(250)，该检测单元(250)检测所述控制器系统(1)中有无与安全防护有关的事故，
245.所述控制单元(100)在由所述检测单元(250)检测到所述事故的情况下，使所述控制模式转变成所述缩减模式，在由所述检测单元(250)检测到所述事故的解除之前，使所述控制模式保持所述缩减模式。
246.2.根据1.所述的控制器系统(1)，其中，
247.所述控制单元(100)从所述检测单元(250)取得与所述事故的检测有关的事故信息，
248.在所述事故信息表示所述事故解除的情况下，所述控制单元(100)将所述控制模式从所述缩减模式变更成所述正常模式，
249.在所述事故信息表示所述事故持续的情况下，所述控制单元(100)将所述控制模式设定成所述缩减模式。
250.3.根据2.所述的控制器系统(1)，其中，
251.所述控制单元(100)在执行所述控制单元(100)的再起动处理的情况下，根据所述事故信息决定所述控制模式。
252.4.根据1.～3.中的任意一项所述的控制器系统(1)，其中，
253.所述安全防护单元(200)非易失性地存储与所述事故的检测有关的信息，
254.在由于对所述控制器系统(1)再接通电源而实现的所述控制器系统(1)的再起动时，所述安全防护单元(200)根据所述安全防护单元(200)中存储的所述信息使所述安全防护单元(200)的状况恢复，
255.所述控制单元(100)根据所述安全防护单元(200)的所述状况设定所述控制模式。
256.5.根据1.～4.中的任意一项所述的控制器系统(1)，其中，
257.所述安全防护单元(200)使来自具有管理者权限的用户的操作优先于所述事故信息，对与所述事故的检测有关的所述安全防护单元(200)的状况进行变更。
258.6.根据1.～5.中的任意一项所述的控制器系统(1)，其中，
259.在所述缩减模式下，所述控制单元(100)限制所述控制动作。
260.7.根据1.～5.中的任意一项所述的控制器系统(1)，其中，
261.在所述缩减模式下，所述控制单元(100)限制所述控制对象的动作。
262.应该认为本次公开的实施方式在全部方面是例示而不是限制性的。本发明的范围不是由上述说明表示，而是由权利要求书表示，包含与权利要求书同等的意思和范围内的全部变更。
263.标号说明
264.1：控制器系统；2：第1网络；4：第2网络；10：控制系统；11、21：控制运行时间部；100：控制单元；102、202、302：处理器；104、204、304：芯片组；106、206、306：主存储装置；108、208、308：二次存储装置；110、210：通信控制器；112、212：usb控制器；114、214、314：存储卡接口；115、215、315：存储卡；116、118、120、216、218：网络控制器；122、322：内部总线控制器；124、224、324、824：指示器；142、144、242：通信端口；150：控制引擎；160：信息引擎；170：代理；180、360：日志数据库；200：安全防护单元；250：安全防护引擎；260：安全防护信息；300：安全单元；350：安全引擎；400：功能单元；450：电源单元；500：现场器件；600：支持装置；700：scada装置；800：hmi；900：数据库；s1～s106：步骤。