监视系统、设定装置及监视方法与流程

1.本发明涉及工厂自动化(factory automation，fa)网络上的通信的监视。


背景技术：

2.目前，网络可容易地连接各种终端。另一方面，产生与网络上的安保相关的各种问题，并且影响所波及的范围也变大。
3.日本专利特开2015
‑
159482号公报(专利文献1)公开一种位于互联网协议(internet protocol，ip)网络与多个终端之间的网络装置。所述网络装置的目的在于：即便用户不具有网络的特别的专业知识，也可设定能与ip网络连接的终端，并且可构件安全的ip网络。网络装置在从终端接收到包时，学习地址。在无法学习地址的情况下，网络装置基于滤波信息中所含的地址来判定是否应传输所接收的包。
4.现有技术文献
5.专利文献
6.专利文献1：日本专利特开2015
‑
159482号公报


技术实现要素：

7.发明所要解决的问题
8.在各种设备及配置于各设备中的各种装置的控制中，使用可编程逻辑控制器(programmable logic controller，plc)等控制装置。伴随近年来的信息与通信技术(information and communication technology，ict)的进步，控制装置也与各种外部装置进行网络连接，并且在控制装置中所执行的处理也正高度化。工厂自动化(factory automation，fa)的现场中的网络具有工业用网络、fa网络、现场网络等各种名称，但以下使用“fa网络”这一用语。
9.伴随控制系统的网络化或智能化，所设想的威胁的种类也增加。但是，在fa的现场中，执行与生产装置相应的各种各样的通信。因此，在监视网络的安保的情况下，难以判断正常或异常。
10.在多数情况下，用户不具有与通信技术相关的高度专业知识。因此，多数情况是用户未把握到协议的详细内容等实际进行的通信处理的具体内容。因此，多数情况是用户未管理与控制系统的运转相关的通信处理。进而，也不限于具有与fa网络的安保相关的专业知识的技术人员常驻于制造现场。
11.因此，本发明的一个目的是可监视fa网络上的通信。
12.解决问题的技术手段
13.本公开的一例是一种监视与fa网络相关的通信的监视系统，且包括：数据收集部，收集表示fa网络上的通信的状况的数据；数据分析部，按照与fa网络上的通信的设定相关的预先登记的信息，对所收集的数据进行分析，而生成用于监视通信的监视设定信息；及监视部，按照监视设定信息来对监视对象的通信进行监视。
14.根据所述内容，可监视fa网络上的通信。数据收集部获取表示fa网络上的通信的状况的数据。数据分析部对所述数据进行分析。由此，可把握fa网络上的通信的状况。基于所述状况来进行用于监视的设定，由此可监视fa网络上的通信。
15.优选为：监视设定信息包含监视对象的通信的频带宽的阈值。监视部在频带宽超过阈值的情况下输出对用户的通知。
16.根据所述内容，在如受到拒绝服务攻击(denial of service attack，dos攻击)或分布式拒绝服务攻击(distributed denial of service attack，ddos攻击)的情况等那样频带宽超过阈值的情况下，监视部可输出对用户的通知。
17.优选为：监视系统还包括显示部。数据包含发送源的地址、发送目的地的地址、数据交换的频率及通信数据的总量。预先登记的信息包含发送源的名称、发送目的地的名称及表示发送源与发送目的地之间的通信的名称。数据分析部生成将数据与预先登记的信息相关联所得的实际通信信息，并使实际通信信息显示于显示部。
18.根据所述内容，可将实际通信信息提示给用户，以便用户可容易把握通信负载的现状。因此，可支持基于用户的安保的设定。
19.优选为：数据分析部构成为受理用于选择选择项的用户的输入，而生成监视设定信息，所述选择项为针对发送源与发送目的地之间的通信的动作的选择项。动作的选择项包含发送源与发送目的地之间的通信的监视、及发送源与发送目的地之间的通信的拒绝。
20.根据所述内容，基于数据收集的结果，用户可采取与安保相关的对策。例如，可拒绝明显被认为异常的通信。
21.优选为：监视部包含于与fa网络连接的控制装置中。
22.根据所述内容，可设定控制装置的通信的安保。进而，在设定后，可利用控制装置自身监视通信。
23.本公开的一例是一种用于监视与fa网络相关的通信的监视系统的设定装置，监视系统包含按照监视设定信息来监视通信的监视部，设定装置包括：数据收集部，收集表示fa网络上的通信的状况的数据；及数据分析部，按照与fa网络上的通信的设定相关的预先登记的信息，对所收集的数据进行分析，而生成用于监视通信的监视设定信息。
24.根据所述内容，可设定监视系统，以便可监视fa网络上的通信。
25.本公开的一例是一种由监视与fa网络相关的通信的监视系统所得的监视方法，且包括：监视系统的数据收集部收集表示fa网络上的通信的状况的数据的步骤；监视系统的数据分析部按照与fa网络上的通信的设定相关的预先登记的信息，对所收集的数据进行分析，而生成用于监视通信的监视设定信息的步骤；及监视系统的监视部按照监视设定信息来对监视对象的通信进行监视的步骤。
26.根据所述内容，可监视fa网络上的通信。
27.发明的效果
28.根据本发明，可进行fa网络上的通信的监视及用于所述监视的设定。
附图说明
29.图1是表示本实施方式的控制装置的结构例的外观图。
30.图2是表示构成本实施方式的控制装置的控制单元的硬件结构例的示意图。
31.图3是表示构成本实施方式的控制装置的通信单元的硬件结构例的示意图。
32.图4是表示构成本实施方式的控制装置的安全单元的硬件结构例的示意图。
33.图5是表示包含本实施方式的控制装置1的控制系统的典型例的示意图。
34.图6是表示与本实施方式的控制装置1连接的支持装置的硬件结构例的示意图。
35.图7是表示本实施方式的监视系统的概略性结构的图。
36.图8是表示用于通过图7所示的结构来实现fa网络的通信负载的监视的场景的示意图。
37.图9是对图8所示的收集阶段的概要进行说明的图。
38.图10是对分析阶段的概要进行说明的图。
39.图11是表示图10所示的用户接口画面的一实施例的图。
40.图12是对用于显示图11所示的用户接口画面的数据收集处理进行说明的示意图。
41.图13是对用于显示图11所示的用户接口画面的设定处理进行说明的示意图。
42.图14是对用于显示图11所示的用户接口画面的静态数据的提取处理进行说明的示意图。
43.图15是用于对通信拒绝的动作的设定进行说明的图。
44.图16是用于对通信监视的动作的设定进行说明的图。
45.图17是表示plc程序的一部分的例子的图。
46.图18是对活用阶段的概要进行说明的图。
具体实施方式
47.一面参照附图一面对本发明的实施方式进行详细说明。再者，对图中的相同或相当部分标注相同符号，并不重复进行其说明。
48.＜a.控制装置＞
49.首先，对在本实施方式的监视系统中进行监视对象的通信的控制装置1进行说明。
50.图1是表示本实施方式的控制装置1的结构例的外观图。参照图1，控制装置1包含控制单元100、通信单元200、安全单元300、一个或多个功能单元400及电源单元450。
51.控制单元100与通信单元200之间经由任意的数据传输路(例如，外围组件快速互连(pci express)(注册商标)或以太网(ethernet)(注册商标)等)而连接。控制单元100与安全单元300及一个或多个功能单元400之间经由未图示的内部总线而连接。
52.控制单元100在控制装置1中执行中心处理。控制单元100按照任意设计的要求规格，执行用于对控制对象进行控制的控制运算。在与后述的由安全单元300执行的控制运算的比对中，将由控制单元100执行的控制运算也称为“标准控制”。在图1所示的结构例中，控制单元100具有一个或多个通信端口。
53.通信单元200与控制单元100连接，负责针对控制装置1的安保功能。在图1所示的结构例中，通信单元200具有一个或多个通信端口。关于通信单元200所提供的安保功能的详细情况，将于后述。
54.安全单元300与控制单元100相独立，执行用于实现与控制对象相关的安全功能的控制运算。将由安全单元300执行的控制运算也称为“安全控制”。通常，“安全控制”是以满足用于实现国际电工委员会(international electro technical commission，iec)61508
等所规定的安全功能的条件的方式设计。“安全控制”是用于防止人的安全受到设备或机械等威胁的处理的总称。
55.功能单元400提供用于实现控制装置1对各种控制对象的控制的各种功能。典型而言，功能单元400可包含输入输出(input output，i/o)单元、安全i/o单元、通信单元、动作控制器单元、温度调整单元、脉冲计数器单元等。作为i/o单元，例如可列举：数字输入(digital input，di)单元、数字输出(digital output，do)单元、模拟输出(analog input，ai)单元、模拟输出(analog output，ao)单元、脉冲捕捉输入单元、及使多种混合而成的复合单元等。安全i/o单元负责安全控制的i/o处理。
56.电源单元450对构成控制装置1的各单元供给规定电压的电源。
57.＜b.各单元的硬件结构例＞
58.接下来，对构成本实施方式的控制装置1的各单元的硬件结构例进行说明。
59.(b1：控制单元100)
60.图2是表示构成本实施方式的控制装置1的控制单元100的硬件结构例的示意图。参照图2，控制单元100包含中央处理器(central processing unit，cpu)或图形处理器(graphical processing unit，gpu)等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、通用串行总线(universal serial bus，usb)控制器112、存储卡接口114、网络控制器116、118、120、内部总线控制器122及指示器124作为主要组件。
61.处理器102读取保存于二次存储装置108中的各种程序，在主存储装置106展开并加以执行，由此实现标准控制的控制运算、及如后所述的各种处理。芯片组104中介处理器102与各组件之间的数据互换，由此实现控制单元100总体的处理。
62.在二次存储装置108中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的控制程序。
63.通信控制器110负责与通信单元200之间的数据互换。作为通信控制器110，例如可采用与pci express或以太网等对应的通信芯片。
64.usb控制器112负责经由usb连接而与任意的信息处理装置之间的数据互换。
65.存储卡接口114构成为可装卸存储卡115，可对存储卡115写入控制程序或各种设定等的数据，或者从存储卡115读取控制程序或各种设定等的数据。
66.网络控制器116、118、120各自负责经由网络的与任意的器件之间的数据互换。网络控制器116、118、120可采用以太网控制自动化技术(ethercat)(注册商标)、以太网工业协议(ethernet/ip)(注册商标)、器件网(devicenet)(注册商标)、康宝网(componet)(注册商标)等工业用网络协议。
67.内部总线控制器122负责与构成控制装置1的安全单元300或一个或多个功能单元400之间的数据互换。关于内部总线，可使用制造商固有的通信协议，也可使用与任一工业用网络协议相同或依据此工业用网络协议的通信协议。
68.指示器124通知控制单元100的动作状态等，且包含配置于单元表面的一个或多个发光二极管(light emitting diode，led)等。
69.在图2中示出通过处理器102执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，特殊应用集成电路(application specific integrated circuit，asic)或现场可编程门阵列(field
‑
programmable gate array，fpga)等)来实现这些所提
供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业用个人计算机)来实现控制单元100的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个操作系统(operating system，os)，并且在各os上执行所需的应用。
70.(b2：通信单元200)
71.图3是表示构成本实施方式的控制装置1的通信单元200的硬件结构例的示意图。参照图3，通信单元200包含cpu或gpu等处理器202、芯片组204、主存储装置206、二次存储装置208、通信控制器210、usb控制器212、存储卡接口214、网络控制器216、218及指示器224作为主要组件。
72.处理器202读取保存于二次存储装置208中的各种程序，在主存储装置206展开并加以执行，由此实现如后所述的各种安保功能。芯片组204中介处理器202与各组件之间的数据互换，由此实现通信单元200总体的处理。
73.在二次存储装置208中，除保存系统程序以外，还保存在系统程序提供的执行环境上运行的安保系统程序。
74.通信控制器210负责与控制单元100之间的数据互换。作为通信控制器210，与控制单元100中通信控制器210同样地，例如可采用与pci express或以太网等对应的通信芯片。
75.usb控制器212负责经由usb连接而与任意的信息处理装置之间的数据互换。
76.存储卡接口214构成为可装卸存储卡215，可对存储卡215写入控制程序或各种设定等的数据，或者从存储卡215读取控制程序或各种设定等的数据。
77.网络控制器216、218各自负责经由网络的与任意的器件之间的数据互换。网络控制器216、218也可采用以太网(注册商标)等通用的网络协议。
78.指示器224通知通信单元200的动作状态等，且包含配置于单元表面的一个或多个led等。
79.在图3中示出通过处理器202执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，asic或fpga等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业用个人计算机)来实现通信单元200的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个os，并且在各os上执行所需的应用。
80.(b3：安全单元300)
81.图4是表示构成本实施方式的控制装置1的安全单元300的硬件结构例的示意图。参照图4，安全单元300包含cpu或gpu等处理器302、芯片组304、主存储装置306、二次存储装置308、存储卡接口314、内部总线控制器322及指示器324作为主要组件。
82.处理器302读取保存于二次存储装置308中的各种程序，在主存储装置306展开并加以执行，由此实现安全控制的控制运算、及如后所述的各种处理。芯片组304通过中介处理器302与各组件之间的数据互换，从而实现安全单元300总体的处理。
83.在二次存储装置308中，除保存系统程序以外，还保存在系统程序提供的执行环境上动作的安全程序。
84.存储卡接口314构成为可装卸存储卡315，可对存储卡315写入安全程序或各种设定等的数据，或者从存储卡315读取安全程序或各种设定等的数据。
85.内部总线控制器322负责经由内部总线的与控制单元100之间的数据互换。
86.指示器324通知安全单元300的动作状态等，且包含配置于单元表面的一个或多个led等。
87.在图4中示出通过处理器302执行程序而提供所需的功能的结构例，但也可使用专用的硬件电路(例如，asic或fpga等)来实现这些所提供的功能的一部分或全部。或者，也可使用按照通用架构的硬件(例如，以通用个人计算机为基础的工业用个人计算机)来实现安全单元300的主要部分。在所述情况下，也可使用虚拟技术来并列执行用途不同的多个os，并且在各os上执行所需的应用。
88.＜c.控制系统10＞
89.接下来，对包含本实施方式的控制装置1的控制系统10的典型例进行说明。在以下的说明中，将数据库表述为“db”。图5是表示包含本实施方式的控制装置1的控制系统10的典型例的示意图。
90.作为一例，图5所示的控制系统10以两条线(线a及线b)作为控制对象。典型而言，各线中除搬送工件的传送带以外，还配置有可对传送带上的工件给予任意的物理作用的机器人。
91.在线a及线b分别配置有控制单元100。除负责线a的控制单元100以外，通信单元200及安全单元300构成控制装置1。再者，为了方便说明，在图5中省略功能单元400及电源单元450的记载。
92.控制装置1的通信单元200经由通信端口242(图3的网络控制器216)而与第一网络2连接。第一网络2与支持装置600及数据采集与监视控制(supervisory control and data acquisition，scada)装置700连接。
93.支持装置600至少可访问控制单元100，向用户提供控制装置1中所含的各单元所执行的程序的制作、调试、各种参数的设定等功能。另外，支持装置600从通信单元200收集信息，并基于所述所收集的信息来监视fa网络的通信负载。因此，支持装置600具有作为监视装置的功能。
94.scada装置700将通过控制装置1中的控制运算所得的各种信息提示给操作员，并且按照来自操作员的操作，对控制装置1生成内部命令等。scada装置700也具有收集控制装置1处理的数据的功能。
95.控制装置1的控制单元100经由通信端口142(图2的网络控制器116)而与第二网络4连接。第二网络4与人机接口(human machine interface，hmi)800及数据库900连接。
96.hmi 800将通过控制装置1中的控制运算所得的各种信息提示给操作员，并且按照来自操作员的操作，对控制装置1生成内部命令等。数据库900收集从控制装置1发送的各种数据(例如，与从各工件测量的可追溯性相关的信息等)。
97.控制装置1的控制单元100经由通信端口144(图2的网络控制器118)及fa网络而与一个或多个现场器件500连接。现场器件500包含从控制对象收集控制运算所需的各种信息的传感器或检测器、以及对控制对象给予某些作用的致动器等。在图5所示的示例中，现场器件500包含对工件给予某些外在作用的机器人、搬送工件的传送带、在与配置于现场的传感器或致动器之间互换信号的i/o单元等。
98.同样地，关于负责线b的控制单元100，也同样地经由通信端口144(图2的网络控制
器118)及fa网络而与一个或多个现场器件500连接。
99.此处，若着眼于控制装置1的功能面，则控制单元100包含作为执行标准控制的控制运算的处理执行部的控制引擎150、以及在与外部装置之间互换数据的信息引擎160。通信单元200包含用于实现如后所述的通信监视功能的通信引擎250。安全单元300包含作为执行安全控制的控制运算的处理执行部的安全引擎350。
100.各引擎是由各单元的处理器等任意的硬件元件或各种程序等任意的软件元件、或者这些元件的组合来实现。各引擎能以任意形态安装。
101.进而，控制装置1包含中介引擎彼此的互换的协商器170。协商器170的实体可配置于控制单元100及通信单元200的一者或两者。
102.控制引擎150保持用于对控制对象进行控制的控制运算的执行所需的变量表及功能块(function block，fb)等。保存于变量表中的各变量通过i/o刷新处理而以从现场器件500获取的值周期性地收集，并且向现场器件500周期性地反映各值。控制引擎150中的控制运算的日志也可保存于日志数据库180中。
103.信息引擎160对控制单元100保持的数据(变量表中保持的变量值)执行任意的信息处理。典型而言，信息引擎160包含向数据库900等周期性地发送控制单元100保持的数据的处理。在此种数据的发送中，可使用结构化查询语言(structured query language，sql)等。
104.通信引擎250对成为对象的通信数据进行监视来收集与通信相关的数据。通信引擎250的监视结果保存于收集数据db 260中。
105.通信引擎250以指示器224来通知发生了与安保相关的某些事件、或与所发生的安保相关的事件的级别等。
106.安全引擎350相当于探测机构，所述探测机构探测控制装置1中是否发生某些非法侵入。安全引擎350经由控制单元100而获取及反映安全控制的控制运算的执行所需的安全i/o变量。安全引擎350中的安全控制的日志也可保存于日志数据库360中。
107.例如若通信引擎250探测到某些事件，则协商器170使控制引擎150、信息引擎160及安全引擎350的动作等变化。
108.＜d.针对安保威胁的对策＞
109.本实施方式的控制装置1探测妨碍设备或机械正常运转的任意的安保威胁，可执行所需的对策。
110.在本说明书中，“安保威胁”是指妨碍设备或机械正常运转的任意事项。此处，“正常运转”是指如系统设计那样及如生产计划那样可使设备或机械继续运转的状态。再者，用于如系统设计那样及如生产计划那样使设备或机械继续运转的设备或机械的启动、维护、结构更改等附属处理也包含于“正常运转”的概念中。
111.搭载于控制装置中的所有物理端口存在受到攻击的安保风险。例如，设想将以plc为中心的控制装置1设为拒绝服务攻击(denial of service attack，dos攻击)或分布式拒绝服务攻击(distributed denial of service attack，ddos攻击)的目标。另一方面，在正常运转时，也会产生集中对控制装置1的访问的情况。因此，可基于网络的设定(例如，网络的频带宽)来确定用于判断dos攻击或ddos攻击的阈值(例如，频带宽)。在产生超过阈值的负载的情况下，控制单元100判断受到来自外部的攻击而阻断信息的接收。其中，其他通信
并不被阻断。由此，虽然限制控制装置1的控制，但可继续控制系统10的运转自身。
112.＜e.与fa网络的监视相关的课题＞
113.为了探测dos攻击或ddos攻击等威胁，理想的是进行fa网络的监视。但是，关于fa网络的监视，设想以下列举的课题。
114.首先，在fa网络中，进行与现场器件500(生产装置)相应的各种各样的通信。设定用于判断此种通信的正常或异常的基准并不容易。
115.进而，存在用户的兴趣未朝向通信协议等用于实现数据通信的机制的可能性。例如，用户以应用的级别理解欲通过控制系统10来实现控制单元100(plc)彼此之间的数据的同步的频率(或者周期)、控制单元100与远程io单元之间的数据交换、hmi 800中的显示等。但是，关于用于实现所述情况的通信的详细情况(例如，通信协议的详细情况等)，多数情况是用户自身不持有兴趣。因此，关于fa网络上的通信是什么样的通信，设想用户的兴趣少或者用户不期望管理。
116.进而，在制造的现场，多数情况是熟悉生产技术的技术人员多，另一方面，熟悉网络技术的技术人员少。在此种状况中，熟悉网络安保的技术人员更少，因此更难以监视fa网络的状况。
117.＜f.设定装置的硬件结构＞
118.接下来，对用于监视如上所述的控制系统10中的fa网络的用户接口的一例进行说明。图5所示的支持装置600作为监视与fa网络相关的通信的监视系统的设定装置发挥功能。
119.图6是表示与本实施方式的控制装置1连接的支持装置600的硬件结构例的示意图。作为一例，支持装置600是使用按照通用架构的硬件(例如，通用个人计算机)而实现。
120.参照图6，支持装置600包含处理器602、主存储器604、输入部606、输出部608、贮存器610、光学驱动器612及usb控制器620。这些组件经由处理器总线618而连接。
121.处理器602包含cpu或gpu等，读取保存于贮存器610中的程序(作为一例，为os 6102及支持程序6104)，在主存储器604展开并加以执行，由此实现针对控制装置1的设定处理等。
122.主存储器604包含动态随机存取存储器(dynamic random access memory，dram)或静态随机存取存储器(static random access memory，sram)等易失性存储装置等。贮存器610例如包含硬盘驱动器(hard disc drive，hdd)或固态驱动器(solid state drive，ssd)等非易失性存储装置等。
123.在贮存器610中，除保存用于实现基本功能的os 6102以外，还保存用于提供作为支持装置600的功能的支持程序6104、提供作为用于监视系统的设定装置的功能的网络监视程序6106。即，通过由处理器602执行网络监视程序6106，支持装置600实现用于本实施方式的监视系统的设定装置。
124.输入部606包含键盘或鼠标等，受理用户操作。输出部608包含显示器、各种指示器、打印机等，输出来自处理器602的处理结果等。
125.usb控制器620经由usb连接而互换与控制装置1等之间的数据。
126.支持装置600具有光学驱动器612，从计算机可读取的非暂时性地保存程序的记录介质614(例如，数字多功能光盘(digital versatile disc，dvd)等光学记录介质)读取其
中所保存的程序，并安装于贮存器610等中。
127.由支持装置600执行的支持程序6104及网络监视程序6106等可经由计算机可读取的记录介质614而安装，也可以从网络上的服务器装置等下载的形式安装。另外，本实施方式的支持装置600提供的功能也有时以利用os提供的模块的一部分的形式实现。
128.在图6中示出通过处理器602执行程序而提供作为支持装置600所需的功能的结构例，但也可使用专用的硬件电路(例如，asic或fpga等)来实现这些所提供的功能的一部分或全部。
129.＜g.监视系统的结构＞
130.图7是表示本实施方式的监视系统的概略性结构的图。如图7所示，监视系统包含工具602a(监视设定工具)、通信单元200及控制单元100。通过处理器602执行网络监视程序6106而将工具602a安装于支持装置600(参照图6)。
131.工具602a具有设定工具621、分析应用622、协议db 623、收集数据db 624。设定工具621设定从通信单元200及控制单元100(plc)收集的数据。分析应用622执行将所收集的数据与设定信息相关联的处理。协议db 623蓄积与通信协议相关的信息。
132.通信单元200具有通信引擎250及通信应用280。通信引擎250包含频带控制模块251、访问控制模块252、数据收集模块253及通信设定信息254。频带控制模块251及访问控制模块252控制通信的频带及对控制单元100的访问，由此防御控制单元100免受dos攻击或ddos攻击。数据收集模块253收集监视对象的通信数据。通信设定信息254是由工具602a设定于通信引擎250中的信息。
133.通信应用280安装于通信单元200中。通信应用280包含分析及检索模块281、数据管理模块282、收集数据db 260及数据解析设定信息284。分析及检索模块281对对象的通信中的通信量进行分析。数据管理模块282从与监视对象的通信有关的数据收集模块253接受并将所述数据蓄积于收集数据db 260中。数据解析设定信息284是由工具602a设定于通信引擎250中的信息。
134.控制单元100具有用户程序1010、plc控制模块1012及控制设定信息1014。用户程序1010是由用户制作的程序，且由支持装置600提供给控制单元100。plc控制模块1012按照用户程序1010及控制设定信息1014等来控制控制单元100的运行。
135.监视设定工具、通信单元200及控制单元100构成监视与fa网络相关的通信的监视系统。数据收集模块253、数据管理模块282、收集数据db 260、624构成数据收集部，所述数据收集部收集表示fa网络上的通信的状况的数据。分析应用622构成数据分析部，所述数据分析部按照与fa网络上的通信的设定相关的预先登记的信息，对所收集的数据进行分析，而生成用于监视通信的监视设定信息。频带控制模块251、访问控制模块252、plc控制模块1012及用户程序1010实现监视部，所述监视部按照监视设定信息来监视监视对象的通信。
136.＜h.网络监视的阶段＞
137.图8是表示用于通过图7所示的结构来实现fa网络的通信负载的监视的场景的示意图。如图8所示，通过收集阶段p1、分析阶段p2及活用阶段p3此三个阶段，来实现基于监视系统的网络的通信负载的监视。“阶段”此用语也可置换为“步骤”。
138.(h1.收集阶段)
139.图9是对图8所示的收集阶段的概要进行说明的图。如图9所示，设定工具621执行
与数据的收集相关的设定。设定工具621将表示设定内容的信息送至数据收集模块253。数据收集模块253按照所述设定内容来收集通信数据。数据收集模块253将所收集的通信流量数据送至数据管理模块282。
140.数据管理模块282将所收集的数据保存于收集数据db 260中。再者，数据收集模块253也可将数据保存于收集数据db 260中。
141.保存于收集数据db 260中的数据传输至监视设定工具的收集数据db 624。为了避免数据的传输自身成为通信的负载，优选为在收集阶段p1的完成时或收集阶段p1的完成后将数据传输至收集数据db 624。
142.(h2.分析阶段)
143.图10是对分析阶段的概要进行说明的图。参照图10，分析应用622接受来自收集数据db 624的通信数据、来自设定工具621的设定信息及来自协议db 623的协议信息。“设定信息”及“协议信息”是与通信的设定相关的预先登记的信息。
144.分析应用622将设定信息、收集数据及协议信息相关联而生成实际通信信息，并将所述实际通信信息显示于用户接口画面630。由此，用户可容易地把握控制系统10的通信的现状。进而，可对用户提供与安保相关的设定的支持。用户接口画面630显示于支持装置600。其中，用户接口画面630也可显示于hmi 800。
145.进而，用户通过对用户接口画面630的输入，可生成访问列表信息631、服务质量(quality of service，qos)设定信息632、流量设定监视信息633、指示及处置信息634。访问列表信息631、qos设定信息632、流量设定监视信息633、指示及处置信息634相当于监视设定信息。流量设定监视信息633包含监视对象的通信的频带宽的阈值。因此，监视设定信息包含监视对象的通信的频带宽的阈值。
146.访问列表信息631、qos设定信息632及流量设定监视信息633被送至通信引擎250。通信引擎250基于访问列表信息631、qos设定信息632及流量设定监视信息633而生成或更新通信设定信息254。
147.流量设定监视信息633与知识及处置信息634一起被送至控制单元100。控制单元100基于流量设定监视信息633与指示及处置信息634来制作或更新用户程序1010的执行中所使用的控制设定信息1014。因此，通信设定信息254及控制设定信息1014相当于监视设定信息。监视部(通信引擎250或控制单元100)在频带宽超过阈值的情况下，可输出对用户的通知。即，在有针对控制装置1的dos攻击或ddos攻击的情况下，控制装置1可发出警告。
148.图11是表示图10所示的用户接口画面630的一实施例的图。参照图11，用户接口画面630具有栏641～栏651。记录r1～记录r4分别是由保存于栏641～栏651各者中的信息构成的实际通信信息。以下，对栏641～栏651分别进行说明。
149.在栏641、642中保存与发送源相关的信息。具体而言，在栏641中保存发送源的装置名。在栏642中保存发送源的装置的ip地址。
150.在栏643、644中保存与发送目的地相关的信息。具体而言，在栏643中保存发送目的地的装置名。在栏644中保存发送目的地的装置的ip地址。
151.在栏645中保存发送源装置的制造商的名称。在栏646中保存发送源的装置的介质访问控制(media access control，mac)地址。
152.在栏647中保存发送源及发送目的地之间的通信的协议的信息。在栏648中保存传
输层的协议(传输控制协议(transmission control protocol，tcp)或用户数据报协议(user datagram protocol，udp))及端口编号。
153.在栏649中保存与发送源及发送目的地之间的通信的内容相关的信息。在栏650中保存实际通信频带的信息。栏651是用于设定与通信相关的动作的栏，针对记录r1～记录r4各者配置拒绝按钮652及监视按钮653。拒绝按钮652及监视按钮653受理用于选择针对发送源与发送目的地之间的通信的动作的选择项的用户的输入。动作的选择项包含发送源与发送目的地之间的通信的监视及发送源与发送目的地之间的通信的拒绝。动作的选择项并不限定于这些选择项。基于数据收集的结果，用户可采取与安保相关的对策。例如，可以控制装置1拒绝明确被认为异常的通信的方式设定控制装置1的通信。
154.再者，用户可利用用户接口画面630而将实际通信信息直接输入至工具。为了反馈，由用户编辑的信息被送至收集数据db 624、设定工具621及协议db 623。
155.例如，已知的器件的已知的通信进行基于流量的监视。设定为：在基于已知的器件的未知(unknown)的通信或未知的器件的已知的通信的情况下，执行qos中的频带控制。在基于未知的器件的未知的通信的情况下，通过访问控制来拒绝通信。由此，可监视与用户的期望相应的安保。具体而言，可探测冒充已知的器件的攻击。或者，可拒绝来自未知的器件的攻击。另一方面，也可许可未知的器件的维护(其中，限制流量)。
156.在所述实施方式中，作为特定发送源及发送目的地各者的信息，不仅ip地址，而且装置名也登记于监视设定工具中。此外，具体的通信内容登记于监视设定工具中。因此，用户可容易地把握控制系统的通信负载的现状。进而，监视设定工具可支持安保的用户设定。
157.图12是对用于显示图11所示的用户接口画面630的数据收集处理进行说明的示意图。参照图12，通信数据d1保存于收集数据db 624中。
158.作为一例，通信数据d1并不限定于以下项目，包含项目“时间(time)”、“变量增量(delta)”、“源(source)”、“目的地(destination)”、“源端口(srcport)”、“目的端口(dstport)”及“长度(length)”等。在项目“时间(time)”中保存数据的发送时刻。在项目“变量增量(delta)”中保存前次的发送时刻与这次的发送时刻的差量。在项目“源(source)”中保存表示发送源的ip地址。在项目“目的地(destination)”中保存表示发送目的地的ip地址。在项目“源端口(srcport)”中保存发送源的端口。在项目“目的端口(dstport)”中保存发送目的地的端口。在项目“长度(length)”中保存数据的长度。
159.在所述实施方式中，与两个器件的数据交换的频率相关的信息每隔收集单位时间生成，作为通信记录而保存于收集数据db 624中。在通信数据d1中，进行数据交换的两个器件由相当于项目“源(source)”及项目“目的地(destination)”的ip地址特定。在通信记录r11中保存发送源的ip地址、发送目的地的ip地址、发送源的mac地址、发送目的地的mac地址、端口、通信数据的总量(总数据量)、总数据交换次数及通信频带。
160.通信记录在收集数据db 624中的保存频率并无特别限定，例如，每1秒1记录。记录在收集数据db 624中的保存频率也可由用户设定。
161.图13是对用于显示图11所示的用户接口画面630的设定处理进行说明的示意图。参照图13，用户从设定工具621的接口画面输入两个节点(发送源及发送目的地)各者的装置名及ip地址、在两个节点之间交换的信息的种类、数据交换的频率等信息。输入至设定工具621的信息从设定工具621导出而生成设定工具数据635。设定工具数据635包含多个设定
记录r21。设定工具数据635是来自设定工具621的设定信息，且包含于“预先登记的信息”。设定记录r21保存发送源的装置名、发送源的ip地址、发送目的地的装置名、发送目的地的ip地址、协议、端口、通信内容及通信频带。
162.图14是对用于显示图11所示的用户接口画面630的静态数据的提取处理进行说明的示意图。参照图14，从协议db 623提取由电气与电子工程师协会(institute of electrical and electronics engineers，ieee)管理的组织唯一标识符(organizationally unique identifier，oui)信息、由互联网数字分配机构(internet assigned number authority，iana)管理的tcp/udp端口信息及用户编辑信息。用户编辑信息例如是装置的ip地址及所述装置的名称。这些信息包含于“预先登记的信息”。
163.分析应用622通过将通信记录与设定记录及静态数据相关联而转换为用户容易理解的显示记录(参照图11所示的记录r1～记录r4)，并将所述显示记录显示于用户接口画面630。
164.(h3.动作设定)
165.图15是用于对通信拒绝的动作的设定进行说明的图。在用户选择了图11所示的拒绝按钮652的情况下，接口画面661显示于支持装置600。在接口画面661中以复选框形式显示用于拒绝从发送目的地向控制装置1的访问的多个选择项。在图15中示出“将来自相应的发送源mac地址的通信全部阻断”、“将来自相应的发送源ip地址的通信全部阻断”及“仅阻断相应的通信”此三个选择项。
166.当用户选择三个选择项的任一个时，生成包含所述选择项的内容的访问列表信息631。访问列表信息631是表示相应的发送源ip/发送目的地ip、发送目的地端口的通信的拒绝的信息。
167.图16是用于对通信监视的动作的设定进行说明的图。在用户选择了图11所示的监视按钮653的情况下，接口画面662显示于支持装置600。
168.在接口画面662中显示“进行频带控制”及“进行频带监视”此两个选择项。在选择了“进行频带控制”的选择项的情况下，用户在输入框中输入频带宽的值(单位：bit/s)。
169.另一方面，在选择了“进行频带监视”的选择项的情况下，用户设定用于从工具发出警告的频带宽的阈值(在图16所示的例子中为通常的频带宽的120％)。进而，用户可从多个选择项中选择超过阈值时的一个或多个动作。在选择了选择项“邮件”的情况下，用户可设定件名及正文。
170.在选择了选择项“系统日志(syslog)通知”的情况下，制作面向信息技术(information technology，it)服务器的系统日志(syslog)消息。用户可设定系统日志(syslog)消息中所含的监视级别(图16的例子中为级别6)及通知内容。
171.在选择了选择项“陷阱(trap)通知”的情况下，用户可设定陷阱(trap)编号。
172.另外，用户可选择工具的监视结果以保存为变量。变量的类型可从布尔(bool)型及字符串(string)型中选择。
173.在选择输出为布尔(bool)型的变量的情况下，当频带宽超过阈值时，变量var_a的值成为真。因此，可由plc程序记述动作。图17是表示plc程序的一部分的一例的图。在var_a的值为真(true)的情况下，执行函数。
174.另一方面，在选择了输出为字符串(string)型的变量的情况下，当频带宽超过阈
值时，用户预先设定的字符串保存于变量str_b中。在支持装置600中以消息的形式显示保存于变量str_b中的字符串。
175.再者，关于用户选择了选择项“邮件”时的邮件目的地的地址、设定了选择项“系统日志(syslog)”时的系统日志(syslog)服务器的地址、选择了选择项“陷阱(trap)”时的陷阱(trap)发送目的地等，除记录单位设定以外，也可以共同的设定的形式另行设定。
176.(h4.活用阶段)
177.图18是对活用阶段的概要进行说明的图。如图18所示，在活用阶段中，不需要监视设定工具。在通信引擎250中，数据收集模块253按照设定内容来监视监视对象的通信数据，并将作为监视结果的通信流量数据送至数据管理模块282。数据管理模块282将所述所收集的数据送至分析及检索模块281。
178.例如，分析及检索模块281判断对象的通信数据的频带宽是否超过阈值。在频带宽超过阈值的情况下，分析及检索模块281探测事故。例如，分析及检索模块281在检测到与生产信息不关联的数据的情况下，探测事故。或者，分析及检索模块281探测生产信息的数据的异常(由冒充所致的攻击等)。在这些情况下，通过控制单元100来执行与事故的级别相应的处理。例如，在事故的级别为对用户的警告级别的情况下，分析及检索模块281对显示模块1020指示进行警告的显示。显示模块1020执行例如以下所列举的处理中的一部分或全部的处理。
179.(a1)启用器件变量。
180.(a2)显示事件日志。
181.(a3)点亮指示器(led)。
182.(a4)发送包含警告消息的邮件。
183.(a5)使显示装置(例如，支持装置600、hmi 800等)显示消息。
184.指示模块1022执行与来自显示模块1020的指示相应的处理。例如为显示机或工具的操作等。
185.处置模块1024执行与来自指示模块1022的指示或来自分析及检索模块281的指示相应的预设处理。预设处理例如是以下所列举的处理中的一部分或全部的处理。
186.(b1)由程序的执行停止所致的生产中止。
187.(b2)由清除存储器的存储内容带来的信息的隐秘。
188.(b3)通过通信阻断而无法进行来自上位系统的变更。
189.(b4)将生产信息保存于局部的场所。
190.如以上所述，根据本实施方式，可进行fa网络上的通信的监视及用于所述监视的设定。特别是，根据本实施方式，可向用户示出通信负载的状况。例如，在频带宽超过阈值的情况下，用户可设定监视系统，以便进行警告。因此，不会对用户要求高度的专业知识，而用户可设定网络的负载的监视。根据本实施方式，可支持用户设定fa网络的安保。
191.＜i.附注＞
192.如以上所说明那样，本实施方式包含以下列举的公开。
193.1.一种监视系统，其监视与fa网络相关的通信，且所述监视系统包括：
194.数据收集部(253、282、260、624)，收集表示所述fa网络上的通信的状况的数据；
195.数据分析部(622)，按照与所述fa网络上的所述通信的设定相关的预先登记的信
息，对所收集的数据进行分析，而生成用于监视所述通信的监视设定信息(631、632、633、634)；及
196.监视部(251、252、1012、1010)，按照所述监视设定信息(631、632、633、634)来监视监视对象的通信。
197.2.根据结构1.所记载的监视系统，其中，所述监视设定信息(631、632、633、634)包含所述监视对象的通信的频带宽的阈值，
198.所述监视部(251、252、1012、1010)在所述频带宽超过所述阈值的情况下输出对用户的通知。
199.3.根据结构1.或结构2.所记载的监视系统，其中，所述监视系统还包括显示部(600、800)，
200.所述数据包含发送源的地址、发送目的地的地址、数据交换的频率及通信数据的总量，
201.所述预先登记的信息包含所述发送源的名称、所述发送目的地的名称及表示所述发送源与所述发送目的地之间的所述通信的名称，
202.所述数据分析部(622)生成将所述数据与所述预先登记的信息相关联而得的实际通信信息(r1
‑
r4)并使所述实际通信信息(r1
‑
r4)显示于所述显示部(600、800)。
203.4.根据结构3.所记载的监视系统，其中，所述数据分析部(622)构成为受理用于选择针对所述发送源与所述发送目的地之间的所述通信的动作的选择项的用户的输入，而生成所述监视设定信息(631、632、633、634)，
204.所述动作的所述选择项包含：
205.所述发送源与所述发送目的地之间的所述通信的监视(653)；及
206.所述发送源与所述发送目的地之间的所述通信的拒绝(652)。
207.5.根据结构1至结构4中任一项所记载的监视系统，其中，所述监视部(251、252、1012、1010)包含于与所述fa网络连接的控制装置(1)中。
208.6.一种设定装置(600)，其用于监视与fa网络相关的通信的监视系统，且所述设定装置中，
209.所述监视系统包含按照监视设定信息(631、632、633、634)来监视所述通信的监视部(251、252、1012、1010)，
210.所述设定装置(600)包括：
211.数据收集部(624)，收集表示所述fa网络上的通信的状况的数据；及
212.数据分析部(622)，按照与所述fa网络上的所述通信的设定相关的预先登记的信息，对所收集的数据进行分析，而生成用于监视所述通信的所述监视设定信息(631、632、633、634)。
213.7.一种监视方法，其由监视与fa网络相关的通信的监视系统实现，且所述监视方法包括：
214.所述监视系统的数据收集部(253、282、260、624)收集表示所述fa网络上的通信的状况的数据的步骤(p1)；
215.所述监视系统的数据分析部(622)按照与所述fa网络上的所述通信的设定相关的预先登记的信息，对所收集的数据进行分析，而生成用于监视所述通信的监视设定信息
(631、632、633、634)的步骤(p2)；及
216.所述监视系统的监视部(251、252、1012、1010)按照所述监视设定信息(631、632、633、634)来监视监视对象的通信的步骤(p3)。
217.应认为，此次公开的实施方式在所有方面为例示而非限制性。本发明的范围是由权利要求而非所述说明所示，且意图包含与权利要求均等的含义及范围内的所有变更。
218.符号的说明
219.2：第一网络
220.4：第二网络
221.10：控制系统
222.100：控制单元
223.102、202、302、602：处理器
224.104、204、304：芯片组
225.106、206、306：主存储装置
226.108、208、308：二次存储装置
227.110、210：通信控制器
228.112、212、620：usb控制器
229.114、214、314：存储卡接口
230.115、215、315：存储卡
231.116、118、120、216、218：网络控制器
232.122、322：内部总线控制器
233.124、224、324：指示器
234.142、144、242：通信端口
235.150：控制引擎
236.160：信息引擎
237.170：协商器
238.180、360：日志数据库
239.200：通信单元
240.250：通信引擎
241.251：频带控制模块
242.252：访问控制模块
243.253：数据收集模块
244.254：通信设定信息
245.260、624：收集数据db
246.280：通信应用
247.281：检索模块
248.282：数据管理模块
249.284：数据解析设定信息
250.300：安全单元
251.350：安全引擎
252.400：功能单元
253.450：电源单元
254.500：现场器件
255.600：支持装置
256.602a：工具
257.604：主存储器
258.606：输入部
259.608：输出部
260.610：贮存器
261.612：光学驱动器
262.614：记录介质
263.618：处理器总线
264.621：设定工具
265.622：分析应用
266.623：协议db
267.630：用户接口画面
268.631：访问列表信息
269.632：qos设定信息
270.633：流量设定监视信息
271.634：指示及处置信息
272.635：设定工具数据
273.641～651：栏
274.652：拒绝按钮
275.653：监视按钮
276.661、662：接口画面
277.700：scada装置
278.800：hmi
279.900：数据库
280.1010：用户程序
281.1012：控制模块
282.1014：控制设定信息
283.1020：显示模块
284.1022：指示模块
285.1024：处置模块
286.6104：支持程序
287.6106：网络监视程序
288.d1：通信数据
289.p1：收集阶段
290.p2：分析阶段
291.p3：活用阶段
292.r1、r4：记录
293.r11：通信记录
294.r21：设定记录