支持装置以及设定程序的制作方法

1.本发明涉及与用于对控制对象进行控制的控制器系统连接的支持装置、以及用于对控制对象进行控制的控制器系统的措施设定用的设定程序。


背景技术：

2.在工厂等制造现场运行有各种设备，在各种设备以及配置于各设备的各种装置的控制中，使用plc(可编程逻辑控制器)等控制装置。
3.近年来，在工厂等制造现场，发生恶意软件等损害，对于plc等控制装置也必须采取安全防护对策。因此，在开发工厂等的装置、生产线的情况下，生产技术人员、装置制造商开发者等需要采取安全防护对策。
4.在plc中，例如日本特开2000
‑
137506号公报(专利文献1)所公开的那样，在登记了异常历史时、或者预先确定的时间到来时，对预先指定的收件地址发送电子邮件，但没有对安全防护对策进行任何考虑。
5.现有技术文献
6.专利文献
7.专利文献1：日本特开2000
‑
137506号公报


技术实现要素：

8.发明所要解决的课题
9.随着近年来的ict(information and communication technology：信息和通信技术)的进步，控制装置也与各种外部装置网络连接，并且在控制装置中执行的处理也变得复杂。随着这样的的网络化或智能化，设想的事故种类也在增加。
10.对这样的事故设定安全防护功能，在发生事故后，设定与该事故对应的控制装置的动作(事故应对动作)。
11.在工厂等制造现场运行有各种设备，在与设备类别无关地对控制装置一律设定了共同的事故应对动作的情况下，根据设备类别，有可能无法确保安全，或者在经济上产生大的损失。因此，优选根据设备类别来设定控制装置的事故应对动作。但是，与设备类别对应的设定对开发者成为较大的负担。
12.本发明的一个目的在于，容易地进行针对伴随着控制装置和控制系统的网络化或智能化而可能发生的事故的、与设备类别相应的设定。
13.用于解决课题的手段
14.本公开的某个方面的支持装置与用于对控制对象进行控制的控制器系统连接。控制器系统构成为能够执行根据控制器系统中可能发生的事故来变更措施的事故应对动作。支持装置包含：选择单元，其受理预先确定的多个设备类别中与控制对象对应的设备类别的选择；以及设定单元，其参照针对每个设备类别预先准备的、规定了针对事故的措施的应对规定，将与所选择的设备类别对应的应对规定反映到控制器系统中。
15.根据该结构，能够容易地进行针对事故的与设备类别相应的设定。
16.在上述公开中，设备类别根据控制对象的控制目的来分类。根据该结构，在用户选择设备类别的情况下，能够容易地进行选择。
17.在上述公开中，设备类别按照对控制对象提出的要求来分类。根据该结构，能够根据对控制对象提出的要求，容易地设定针对事故的应对。
18.在上述公开中，选择单元受理控制对象的控制目的的输入，将所受理的该控制目的与所选择的设备类别关联起来进行存储。根据该结构，能够将按照对控制对象提出的要求而分类的设备类别、和控制对象的控制目的关联起来，既能够根据控制目的来选择设备类别，也能够根据对控制对象提出的要求来选择设备类别。
19.在上述公开中，设定单元受理应对规定的变更。应对规定针对每个设备类别预先确定了初始值。根据该结构，能够灵活地进行设定，并且即使是知识不足的用户(开发者)，也能够通过确定初始值而容易地进行设定。
20.在上述公开中，能够变更应对规定的范围针对每个设备类别而预先确定。根据本公开，能够设定所需最低限度的应对，其结果，能够担保最低限度的保护。
21.本公开的某个方面的设定程序设定用于对控制对象进行控制的控制器系统的措施。控制器系统构成为能够执行根据控制器系统中可能发生的事故来变更措施的事故应对动作。设定程序使计算机执行以下步骤：受理预先确定的多个设备类别中与控制对象对应的设备类别的选择；以及参照针对每个设备类别预先准备的、规定了每个事故的措施的应对规定，将与所选择的设备类别对应的应对规定反映到控制器系统中。
22.根据该结构，能够容易地进行针对事故的与设备类别相应的设定。
23.发明的效果
24.根据本发明，能够容易地进行针对事故的与设备类别相应的设定。
附图说明
25.图1是用于说明本实施方式的支持装置6所提供的功能的示意图。
26.图2是表示本实施方式的支持装置6的硬件结构例的示意图。
27.图3是表示本实施方式的控制器系统1的结构例的外观图。
28.图4是表示构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。
29.图5是表示构成本实施方式的控制器系统1的安全防护单元200的硬件结构例的示意图。
30.图6是表示构成本实施方式的控制器系统1的安全单元300的硬件结构例的示意图。
31.图7是表示具有本实施方式的控制器系统1的控制系统10的典型例的示意图。
32.图8是表示规定了每个事故的措施的应对表66的图。
33.图9是表示应对表的变形例的图。
34.图10是表示应对表的变形例的图。
35.图11是表示用户界面画面的转变的图。
36.图12是表示设备类别选择画面630的一例的图。
37.图13是表示加工机的详细设定画面640的一例的图。
38.图14是表示填充机的详细设定画面640的一例的图。
39.图15是表示变形例中的各设备类别的应对表的图。
40.图16是变形例1中的设备类别选择画面630a。
41.图17是变形例2中的设备类别选择画面630b。
42.图18是表示用于按照经由图17所示的设备类别选择画面630b输入的信息来决定设备类别的设备类别决定表636b的一例的图。
43.图19是表示变形例的应对数据库660a的图。
具体实施方式
44.参照附图详细说明本发明的实施方式。另外，对图中的相同或相应的部分标注相同的标号并不重复其说明。
45.＜a.应用例＞
46.对应用本发明的场景的一例进行说明。首先，对本实施方式的控制器系统1的结构进行说明。
47.图1是用于说明本实施方式的支持装置6所提供的功能的示意图。支持装置6与用于对控制对象进行控制的控制器系统1连接。
48.控制器系统1按照根据控制对象任意设计的要求规格，执行用于对控制对象进行控制的控制运算。控制器系统1所控制的控制对象的单位既可以是每个设备，也可以是设备所包含的每个装置。此外，也将设备所包含的各个控制对象称为现场设备500。
49.控制器系统1通过要求规格的设计，能够控制在组装工序中利用的设备的控制、在填充物品的工序中利用的设备的控制等与目的相应的各种类型的设备。
50.控制器系统1构成为能够执行根据控制器系统1中可能发生的事故来变更措施的事故应对动作。在本说明书中，“事故”是指对于控制器系统1可能会成为安全防护上的威胁的征兆、现象或异常。另外，“事故”不限于针对控制器系统1直接发生的情况，也包含经由与控制器系统1可通信地连接的各种装置间接发生的情况。
51.例如，控制器系统1在正常运转设备时发生了事故的情况下，通过停止运转或者使设备进行降级运转(例如，缓慢地降低输送速度)，能够缩小发生的事故的影响范围。
52.支持装置6提供用于设定事故应对动作的设定辅助功能。参照图1，支持装置6包含选择模块62和设定模块64。
53.选择模块62和设定模块64各自的功能典型地是如下实现的功能：支持装置6的处理器执行用于对事故应对动作的设定进行辅助的支持程序。
54.选择模块62受理预先确定的多个设备类别中、与控制器系统1的控制对象对应的设备类别的选择。设备类别例如可以根据对控制对象要求的安全性的观点、工厂内的控制对象的重要度的观点、因停止控制对象的运转而导致的经济损失的观点等对控制对象提出的要求来分类，另外，也可以根据对控制对象进行控制的目的来分类。
55.选择模块62典型地提供如下用户界面，该用户界面受理选择设备类别所需的与设备相关的信息(图中的设备信息)的输入，选择模块62基于设备信息来选择设备类别。在图1所示的例子中，假设选择模块62基于设备信息选择了设备类别b。
56.设定模块64参照针对每个设备类别预先准备的、规定了每个事故的措施的应对表66，选择与选择模块62所选择的设备类别对应的应对表66。在图1所示的例子中，选择应对表66b。应对表66按每个事故规定针对该事故的措施。设定模块64将该应对表66所示的规定反映到控制器系统1中，以实现应对表66所规定的每个事故的措施。
57.这样，支持装置6通过选择设备类别，并参照按每个设备类别预先准备的应对表66，能够容易地进行针对事故的与设备类别相应的设定。
58.例如，用户仅通过利用本实施方式的支持装置6来选择设备类别，就能够进行与设备类别相应的事故应对动作的设定。
59.＜b.支持装置的硬件结构例＞
60.图2是表示本实施方式的支持装置6的硬件结构例的示意图。作为一例，支持装置6使用遵循通用架构的硬件(例如，通用个人计算机)来实现。在以下的说明中，将数据库表述为“db”。
61.参照图2，支持装置6包含处理器602、主存储器604、输入部606、显示部608、储存器610、光学驱动器612、usb(universal serial bus：通用串行总线)控制器620。这些组件经由处理器总线618连接。
62.处理器602由cpu(central processing unit：中央处理单元)或gpu(graphical processing unit：图形处理单元)等构成，读出保存在储存器610中的程序(作为一例，为os(operating system：操作系统)6102和支持程序6104)，在主存储器604中展开并执行，由此实现对控制器系统1的设定处理等。
63.主存储器604由dram(dynamic random access memory：动态随机存取存储器)或sram(static random access memory：静态随机存取存储器)等易失性存储装置等构成。储存器610例如由hdd(hard disc drive：硬盘驱动器)或ssd(solid state drive：固态硬盘)等非易失性存储装置等构成。
64.在储存器610中，除了用于实现基本功能的os 6102以外，还保存有用于提供作为支持装置6的功能的支持程序6104和应对数据库660。支持程序6104由与控制器系统1连接的计算机执行，由此实现本实施方式的支持装置6。
65.支持程序6104包含用于提供设定辅助功能的程序，该设定辅助功能用于设定事故应对动作。处理器602通过执行支持程序6104来实现图1所示的选择模块62和设定模块64各自的功能。
66.应对数据库660保存针对每个设备类别预先准备的应对表66。
67.输入部606由键盘、鼠标等构成，受理用户操作。显示部608典型的是显示器，提供用于输入设备信息的用户界面。
68.usb控制器620经由usb连接交换与控制器系统1等之间的数据。
69.支持装置6具有光学驱动器612，从非易失性地保存计算机可读取的程序的记录介质614(例如dvd(digital versatile disc：数字多功能光盘)等光学记录介质)中读取保存于其中的程序，并安装于储存器610等。
70.由支持装置6执行的支持程序6104等可以经由计算机可读取的记录介质614进行安装，但也可以以从网络上的服务器装置等下载的形式进行安装。另外，本实施方式的支持装置6提供的功能也有时以利用os提供的模块的一部分的形式实现。
71.在图2中，示出了通过处理器602执行程序来提供作为支持装置6所需的功能的结构例，但也可以使用专用的硬件电路(例如asic(application specific integrated circuit：专用集成电路)或者fpga(field
‑
programmable gate array：现场可编程门阵列)等)来安装这些所提供的功能的一部分或全部。
72.＜c.控制器系统1＞
73.对本实施方式的控制器系统1的结构进行说明。图3是表示本实施方式的控制器系统1的结构例的外观图。参照图3，控制器系统1包含控制单元100、安全防护单元200、安全单元300、1个或多个功能单元400、电源单元450。
74.控制单元100与安全防护单元200之间经由任意的数据传输路径(例如，pci express或ethernet(注册商标)等)连接。控制单元100与安全单元300以及1个或多个功能单元400之间经由未图示的内部总线连接。
75.控制单元100在控制器系统1中执行中心的处理。控制单元100按照任意设计的要求规格，执行用于对控制对象进行控制的控制运算。在与后述的由安全单元300执行的控制运算进行对比时，将由控制单元100执行的控制运算也称为“标准控制”。在图3所示的结构例中，控制单元100具有1个或多个通信端口。
76.安全防护单元200与控制单元100连接，负责对控制器系统1的安全防护功能。在图1所示的结构例中，安全防护单元200具有1个或多个通信端口。安全防护单元200通过执行事故的检测以及与检测到的事故相应的处理，实现事故应对动作的执行。
77.安全单元300与控制单元100独立地执行用于实现与控制对象相关的安全功能的控制运算。将由安全单元300执行的控制运算也称为“安全控制”。通常，“安全控制”被设计为满足用于实现iec 61508等所规定的安全功能的要件。“安全控制”是用于防止人的安全被设备或机械等威胁的处理的总称。
78.功能单元400提供用于实现控制器系统1对各种控制对象的控制的各种功能。典型地，功能单元400可包含i/o单元、安全i/o单元、通信单元、运动控制器单元、温度调整单元、脉冲计数器单元等。作为i/o单元，例如可举出数字输入(di)单元、数字输出(do)单元、模拟输出(ai)单元、模拟输出(ao)单元、脉冲捕捉输入单元、以及混合有多个种类的复合单元等。安全i/o单元负责安全控制所涉及的i/o处理。
79.电源单元450对构成控制器系统1的各单元供给规定电压的电源。
80.＜d.各单元的硬件结构例＞
81.对构成本实施方式的控制器系统1的各单元的硬件结构例进行说明。
82.(d1：控制单元100)
83.图4是表示构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。参照图4，作为主要的组件，控制单元100包含cpu或gpu等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、usb控制器112、存储卡接口114、网络控制器116、118、120、内部总线控制器122、指示器124。
84.处理器102读出保存在二次存储装置108或存储卡115中的各种程序，在主存储装置106中展开并执行，由此实现标准控制所涉及的控制运算以及后述那样的各种处理。主存储装置106由dram或sram等易失性存储装置等构成。二次存储装置108例如由hdd或ssd等非易失性存储装置等构成。
85.芯片组104通过对处理器102与各组件之间的数据交换进行中介，来实现作为控制单元100整体的处理。
86.在二次存储装置108中，除了系统程序以外，还保存有在系统程序提供的执行环境上工作的控制程序。
87.通信控制器110负责与安全防护单元200之间的数据交换。作为通信控制器110，例如能够采用与pci express或者ethernet(注册商标)等对应的通信芯片。
88.usb控制器112经由usb连接负责与任意的信息处理装置之间的数据交换。例如，usb控制器112负责与支持装置6之间的数据交换。
89.存储卡接口114构成为能够拆装作为存储介质的一例的存储卡115。存储卡接口114能够对存储卡115写入控制程序、各种设定等数据，或者从存储卡115读出控制程序、各种设定等数据。
90.网络控制器116、118、120分别负责经由网络的与任意设备之间的数据交换。网络控制器116、118、120也可以采用ethercat(注册商标)、ethernet/ip(注册商标)、devicenet(注册商标)、componet(注册商标)等工业用网络协议。
91.内部总线控制器122负责与构成控制器系统1的安全单元300、或者1个或多个功能单元400之间的数据交换。内部总线可以使用厂商固有的通信协议，也可以使用与任意的工业用网络协议相同或遵循任意的工业用网络协议的通信协议。
92.指示器124是通知控制单元100的工作状态等的设备，由配置于单元表面的1个或多个led等构成。
93.在图4中，示出了通过处理器102执行程序而提供所需的功能的结构例，但也可以使用专用的硬件电路(例如asic或fpga等)来安装这些所提供的功能的一部分或全部。或者，也可以使用遵循通用架构的硬件(例如以通用个人计算机为基础的工业用个人计算机)来实现控制单元100的主要部分。在该情况下，也可以使用虚拟化技术并行地执行用途不同的多个os，并且在各os上执行所需的应用程序。
94.(d2：安全防护单元200)
95.图5是表示构成本实施方式的控制器系统1的安全防护单元200的硬件结构例的示意图。参照图5，作为主要的组件，安全防护单元200包含cpu或gpu等处理器202、芯片组204、主存储装置206、二次存储装置208、通信控制器210、usb控制器212、存储卡接口214、网络控制器216、218以及指示器224。
96.处理器202读出保存在二次存储装置208或存储卡215中的各种程序，在主存储装置206中展开并执行，由此实现后述的各种安全防护功能。主存储装置206由dram或sram等易失性存储装置等构成。二次存储装置208例如由hdd或ssd等非易失性存储装置等构成。
97.芯片组204通过对处理器202与各组件之间的数据交换进行中介，来实现作为安全防护单元200整体的处理。
98.在二次存储装置208中，除了系统程序以外，还保存有在系统程序提供的执行环境上工作的安全防护系统程序。
99.通信控制器210负责与控制单元100之间的数据交换。作为通信控制器210，与控制单元100中的通信控制器210同样地，例如能够采用与pci express或者ethernet(注册商标)等对应的通信芯片。
100.usb控制器212经由usb连接负责与任意的信息处理装置之间的数据交换。例如，usb控制器212负责与支持装置6之间的数据交换。
101.存储卡接口214构成为能够拆装作为存储介质的一例的存储卡215。存储卡接口214能够对存储卡215写入控制程序、各种设定等数据，或者从存储卡215读出控制程序、各种设定等数据。
102.网络控制器216、218分别负责经由网络的与任意设备之间的数据交换。网络控制器216、218也可以采用ethernet(注册商标)等通用的网络协议。
103.指示器224是通知安全防护单元200的工作状态等的设备，由配置于单元表面的1个或多个led等构成。
104.在图5中，示出了通过处理器202执行程序而提供所需的功能的结构例，但也可以使用专用的硬件电路(例如asic或fpga等)来安装这些所提供的功能的一部分或全部。或者，也可以使用遵循通用架构的硬件(例如以通用个人计算机为基础的工业用个人计算机)来实现安全防护单元200的主要部分。在该情况下，也可以使用虚拟化技术并行地执行用途不同的多个os，并且在各os上执行所需的应用程序。
105.(d3：安全单元300)
106.图6是表示构成本实施方式的控制器系统1的安全单元300的硬件结构例的示意图。参照图6，作为主要组件，安全单元300包含cpu或gpu等处理器302、芯片组304、主存储装置306、二次存储装置308、存储卡接口314、内部总线控制器322、指示器324。
107.处理器302读出保存在二次存储装置308中的各种程序，在主存储装置306中展开并执行，由此实现安全控制所涉及的控制运算以及后述那样的各种处理。主存储装置206由dram或sram等易失性存储装置等构成。二次存储装置208例如由hdd或ssd等非易失性存储装置等构成。
108.芯片组304通过对处理器302与各组件之间的数据交换进行中介，来实现作为安全单元300整体的处理。
109.在二次存储装置308中，除了系统程序以外，还保存有在系统程序提供的执行环境上工作的安全程序。
110.存储卡接口314构成为能够拆装作为存储介质的一例的存储卡315。存储卡接口314能够对存储卡315写入安全程序、各种设定等数据，或者从存储卡315读出安全程序、各种设定等数据。
111.内部总线控制器322负责经由内部总线的与控制单元100之间的数据交换。
112.指示器324是通知安全单元300的工作状态等的设备，由配置于单元表面的1个或多个led等构成。
113.在图6中，示出了通过处理器302执行程序而提供所需的功能的结构例，但也可以使用专用的硬件电路(例如asic或fpga等)来安装这些所提供的功能的一部分或全部。或者，也可以使用遵循通用架构的硬件(例如以通用个人计算机为基础的工业用个人计算机)来实现安全单元300的主要部分。在该情况下，也可以使用虚拟化技术并行地执行用途不同的多个os，并且在各os上执行所需的应用程序。
114.＜e.控制系统10＞
115.参照图7，说明具有本实施方式的控制器系统1的控制系统10的典型例。图7是表示
具有本实施方式的控制器系统1的控制系统10的典型例的示意图。另外，为了便于说明，在图7中省略了功能单元400以及电源单元450的记载。
116.作为一例，图7所示的控制系统10将设备x作为控制对象。作为一个例子，设备x是组装工序的设备，除了作为现场设备500而输送工件的输送机之外，还包含能够对输送机上的工件施加任意的物理作用的机器人。
117.控制器系统1的安全防护单元200经由通信端口243(图5的usb控制器212)与支持装置6连接。支持装置6能够访问安全防护单元200和控制单元100，向用户提供由控制器系统1所包含的各单元执行的程序的创建、调试、各种参数的设定等功能。支持装置6访问安全防护单元200和控制单元100，设定控制器系统1执行的事故应对动作。
118.在本实施方式中，支持装置6访问安全防护单元200，将应对表66安装到安全防护单元200。
119.控制器系统1的安全防护单元200经由通信端口242(图5的网络控制器216)与第1网络2连接。经由通信端口242在第1网络2上连接有scada(supervisory control and data acquisition：监督控制和数据采集)装置700。
120.scada装置700向操作员提示通过控制器系统1中的控制运算得到的各种信息，并且按照来自操作员的操作，对控制器系统1生成内部命令等。scada装置700还具有收集控制器系统1处理的数据的功能。
121.安全防护单元200经由通信端口242与具有cpu等处理器(未图示)的路由器51连接。路由器51具有对安全防护单元200与外部网络50之间的通信进行中继的功能以及fw(fire wall：防火墙)52的功能等。
122.控制器系统1的控制单元100经由通信端口142(图4的网络控制器116)与第2网络4连接。第2网络4可连接hmi(human machine interface：人机界面)800和数据库900。
123.hmi 800相当于个人计算机。hmi 800向操作员提示通过控制器系统1中的控制运算得到的各种信息，并且按照来自操作员的操作，对控制器系统1生成内部命令等。hmi 800可构成为能够由fa的保养人员携带。
124.数据库900收集从控制器系统1发送的各种数据(例如，与从各工件计测出的与可追溯性相关的信息等)。
125.控制器系统1的控制单元100经由通信端口144(图2的网络控制器118)与1个或多个现场设备500连接。现场设备500包含：配置在生产设备x内的收集控制运算所需的各种信息的传感器或检测器；以及对工件施加某种作用的致动器等。在图7所示的例子中，现场设备500包含对工件施加某种外部作用的机器人、输送工件的输送机、与配置于现场的传感器、致动器之间交换信号的i/o单元等。
126.在此，若着眼于控制器系统1的功能面，则控制单元100包含：作为执行标准控制所涉及的控制运算的处理执行部的控制引擎150；以及与外部装置之间交换数据的信息引擎160。安全防护单元200包含用于实现安全防护功能的安全防护引擎250。安全单元300包含作为执行安全控制所涉及的控制运算的处理执行部的安全引擎350。
127.各引擎通过各单元的处理器等任意的硬件要素或各种程序等任意的软件要素、或者这些要素的组合来实现。各引擎能够以任意的方式安装。
128.进而，控制器系统1包含对引擎彼此的交换进行中介的代理(broker)170。代理170
的实体也可以配置在控制单元100及安全防护单元200中的一方或双方。
129.安全防护引擎250基于预先确定的检测逻辑，检测事故，为了执行按照应对表66的应对，向控制单元100等发出命令，以进行按照应对表66的动作。
130.此外，作为控制器系统1整体，只要能够实现按照应对表66的动作即可，并不限定于从安全防护引擎250输出命令的结构。例如，也可以将应对表66安装于控制单元100，从安全防护引擎250向控制单元100输出能够确定事故的种类的信息，控制单元100按照应对表66执行与事故的种类相应的处理。
131.控制引擎150保持用于对控制对象进行控制的控制运算的执行所需的变量表及功能块(fb)等。存储在变量表中的各变量通过i/o刷新处理，被周期性地收集为从现场设备500取得的值，并且各变量的值被周期性地反映到现场设备500。控制引擎150中的控制运算的日志也可以保存在二次存储装置108的日志数据库180中。
132.另外，控制引擎150按照从安全防护引擎250通知的命令，执行事故应对动作。
133.信息引擎160对控制单元100所保持的数据(由变量表保持的变量值)执行任意的信息处理。典型地，信息引擎160包含周期性地向数据库900等发送控制单元100所保持的数据的处理。在这样的数据发送中使用sql等。
134.安全引擎350检测在控制器系统1中是否发生了某些不正当侵入。安全引擎350经由控制单元100取得并反映安全控制所涉及的控制运算的执行所需的安全i/o变量。安全引擎350中的安全控制的日志也可以保存在二次存储装置308的日志数据库360中。
135.＜f.事故发生时的应对＞
136.图8是表示规定了每个事故的措施的应对表66的图。图8所示的应对表66中的事故1～事故3的事故特性互不相同。“事故特性”是包含检测到的不正当侵入(安全防护威胁)的属性(例如，攻击种类、攻击特性、攻击等级、严重度、紧急度等)的用语。
137.在图8所示的应对表66的阶段a～阶段c中，控制单元100或控制单元100所控制的控制对象的工作状态互不相同。控制单元100的工作状态例如包含通常运转中、远程访问中、调试中等。控制单元100所控制的控制对象的工作状态例如包含运转中、维护(保养)中、暂停中、换产调整中等。以下，将控制单元100或控制单元100所控制的控制对象的工作状态也简称为“工作状态”。
138.图8所示的应对表66中的应对1、应对2、应对4表示控制器系统1的措施。
139.即，在图8所示的应对表66中，根据事故特性和工作状态来规定控制器系统1的措施。控制器系统1根据发生的事故的特性和发生事故时的工作状态，采取按照应对表66的措施。另外，应对表66不限于图8所示那样的将控制器系统1的措施以2轴进行分类的表。
140.图9和图10是表示应对表的变形例的图。参照图9，应对表66a与事故特性无关地，根据工作状态来规定控制器系统1的措施。参照图10，应对表66b与工作状态无关地，根据事故特性来规定控制器系统1的措施。
141.在图8所示的例子中，作为控制器系统1的措施，简单地设为应对1、应对2、应对4。此外，作为控制器系统1的措施，能够大致分为关于设备控制的应对、以及关于信息通信的应对。设备控制主要是指控制单元100的控制引擎150和/或安全单元300的安全引擎350(均参照图7)所负责的处理，是指关于作为控制对象的设备、机械的动作的应对。信息通信主要是指控制单元100的信息引擎160所负责的处理，是指关于控制单元100与外部装置之间的
数据交换、或控制单元100内部的信息处理等的应对。
142.作为控制器系统1的措施(应对)，例如可举出“正常运转”、“降级”、“停止”等。“正常运转”是指能够按照系统设计以及生产计划使设备、机械持续运转的状态。“降级”是指控制器系统1的部分停止(仅一部分运行)、性能缩小(性能降低)、功能限制等限定性地继续运行。“停止”是指安全地停止作为对象的设备、机械或者控制器系统1的动作。
143.对“降级”的一例进行说明。
144.(1)设备控制的降级
145.设备控制的降级是指在范围、功能、生产率等方面受到限制的状态下运转。
146.作为范围，能够限制成为控制对象的区域。作为成为控制对象的区域，例如能够限制控制装置、安装于控制装置的模块、安装于控制装置的单元等控制侧。或者，能够限制特定的机械、生产线、楼层、工厂整体这样的被控制侧(控制对象)。
147.作为功能，能够限制控制器系统1所提供的处理中的特定的处理(例如，信息控制、标准控制、安全控制等)。
148.作为生产率，为了安全、安心，能够暂时限制生产率(例如，生产线速度、每单位时间的生产数量、每单位时间的生产量等)。
149.(2)信息通信的降级
150.信息通信的降级是指在范围、方向、频带、qos(quality of service：服务质量)、数据等方面受到限制的状态下运转。
151.作为范围，例如能够限制通信物理端口、通信逻辑端口、网络脱离等。
152.在限制通信物理端口的情况下，能够限制分别配置于控制单元100以及安全防护单元200的通信端口中的特定的端口使用。或者，也可以仅使安装于控制器系统1的通信端口中的上位侧或者现场侧有效化。
153.在限制通信逻辑端口的情况下，可以限制能利用的tcp/udp端口，也可以限制能利用的通信协议。并且，也可以限制受理访问的mac地址或ip地址。
154.作为方向，例如也可以将在各端口中数据流动的方向仅限制为单向。例如，关于特定的端口，是仅许可数据的接收、或仅许可数据的发送这样的情况。通过仅许可这样的单向数据，在检测到某种安全防护威胁时，能够防止数据从控制器系统1流出。
155.作为频带，为了降低控制器系统1的通信负荷或处理负荷，也可以限制通信速度(例如，从1gbps变更为100mbps)。
156.作为qos，可以动态地改变要通过的分组的优先级。例如，在检测到某种安全防护威胁的情况下，也可以将通过的分组的优先级变更得较高。
157.作为数据，例如，在ethercat等工业用网络协议中，也可以对过程数据通信的有效/无效的切换、输出值的更新进行限制(停止更新/清零/保持上次值等)。
158.不限于上述内容，“降级”可包含对正常运转施加了任意限制的状态下的运转。此外，“降级”也能够视为部分停止，“停止”可包含全面地停止特定的功能，因此也能够视为扩展了“降级”的概念。
159.＜g.与设备类别对应的应对规定＞
160.规定了每个事故的措施的应对表66优选根据设备类别来确定。例如，在控制单元100的控制对象为填充机的情况下，在使填充机正常动作的状态下紧急停止的情况下，从安
全性的观点来看，存在问题。另一方面，在控制单元100的控制对象是组装机或输送装置的情况下，认为即使在组装机或输送装置正常动作的状态下紧急停止的情况下，安全性也没有问题。
161.另外，根据设备的不同，在暂时停止后，为了再次恢复，有时需要较多的时间。在这样的情况下，由于停止设备而受到的经济损失大，可以预想到进行降级运转较好。
162.另外，在设备中，也有人与机械协作来进行作业的设备。这样，在有人在设备内进行作业的情况和没有人在设备内进行作业的情况下，有无必要考虑针对人的安全性是有区别的。
163.这样，优选根据设备所要求的安全性的观点、工厂内的设备的重要度的观点、设备的停止引起的经济损失的观点等，设定与事故对应的应对。
164.＜h.事故应对的设定＞
165.(h1.设定的流程)
166.参照图11，说明使用了支持装置6的事故应对的设定流程。图11是表示用户界面画面的转变的图。图11所示的各用户界面画面例如显示于支持装置6的显示部608。在进行事故应对的设定时，首先，在显示部608中显示受理设备类别选择的设备类别选择画面630。
167.在设备类别选择画面630中设置有用于选择设备类别的选择区域632和用于决定所选择的设备类别的决定按钮634。当在从选择区域632内的多个设备类别中选择了1个类别的状态下操作决定按钮634时，显示部608的显示从设备类别选择画面630切换到详细设定画面640。
168.详细设定画面640是用于设定事故应对的画面。在本实施方式中，针对每个设备类别，预先确定了能够设定为事故应对动作的范围。用户能够在规定的范围内设定事故应对动作。在详细设定画面640中，设置有用于选择事故应对动作的选择区域642、用于决定所选择的事故应对动作的决定按钮644、用于返回到前一画面的返回按钮646。
169.即，在本实施方式中，支持装置6能够受理应对表的变更，且针对每个设备类别预先确定有可变更的范围。
170.当操作决定按钮644时，显示用于开始如下处理的确认画面650，该处理用于将在选择区域642内规定的应对规定反映到控制器系统1中。
171.当操作设置于确认画面650的返回按钮652时，再次显示详细设定画面640，能够再次选择事故应对动作。
172.当操作设置于确认画面650的设定开始按钮654时，开始用于将在详细设定画面640上选择的事故应对动作反映到控制器系统1的处理，在显示设定中画面670之后，当反映完成时，显示完成画面680。另外，当在显示设定中画面670的期间操作取消按钮672时，用于将事故应对动作反映到控制器系统1的处理被中断，返回到确认画面650。
173.(h2.设备类别选择画面630)
174.图12是表示设备类别选择画面630的一例的图。在本实施方式中，设备类别根据控制对象的控制目的来分类。具体而言，控制目的可列举组装、填充、包装、搅拌、输送等。另外，控制对象的名称大多根据控制目的而附加，基于控制目的的分类也可以说是基于控制对象名称的分类。在图12所示的例子中，用户通过选择控制对象的名称(冲压机、填充机、包装机等)来选择设备类别。
175.这样，通过根据控制对象的控制目的对设备类别进行分类，用户能够容易地选择设备类别。
176.(h3.详细设定画面640)
177.参照图13和图14对每个设备类别的详细设定画面640进行说明。图13是表示加工机的详细设定画面640的一例的图。图14是表示填充机的详细设定画面640的一例的图。
178.参照图13和图14，详细设定画面640的选择区域642由类别显示区域6421、动作类别区域6422、事故类别区域6423和设定区域6424构成。
179.类别显示区域6421中显示有在设备类别选择画面630上选择的设备类别。在动作类别区域6422中显示工作状态。在图13以及图14所示的例子中，显示控制对象的工作状态。另外，工作状态也可以是控制器系统1的工作状态。
180.在事故类别区域6423中显示事故。在设定区域6424中，按每个工作状态显示事故发生时的措施。
181.构成为能够选择在设定区域6424中显示的每个工作状态和事故的措施。具体而言，当操作选项卡6425时，多种措施被显示为下拉列表6426，用户能够选择一种措施。
182.参照图13及图14，设定区域6424所显示的初始值是针对每个设备类别而预先确定的。例如，在加工机的运行中发生了信息伪装的情况下的措施的初始值为“停止”，与此相对，在填充机的运行中发生了信息伪装的情况下的措施的初始值为“降级”。
183.这样，能够选择每个事故的措施，并且按照每个设备类别预先设定初始值，由此能够进行与现场相应的设定，并且，即使是知识不足的用户(开发者)，也能够容易地进行设定。
184.参照图13和图14，针对每个设备类别预先确定作为每个工作状态和事故的措施而能够选择的措施。例如，在加工机的下拉列表6426内能够选择的措施的种类是“认证”、“降级”、“停止”等，与此相对，在填充机的下拉列表6426内能够选择的措施的种类是“降级”、“停止”等，无法选择“认证”。
185.这样，通过按照每个设备类别预先确定作为每个工作状态和事故的措施而能够选择的措施，能够保证最低限度的保护。
186.可选择的措施的列表根据设备类别，按照每个工作状态和事故预先确定。
187.也可以不根据设备类别、工作状态以及事故来变更措施。例如，根据发生的事故，也存在为了保护信息资产而需要立即切断网络的情况、为了确保用户的安全而需要立即停止动作的情况。这样，无法根据设备类别、工作状态以及事故来选择措施，由此能够可靠地进行信息资产的保护、安全性的确保等。
188.这样，支持装置6能够按照每个设备类别预先准备事故应对，并将与所选择的设备类别相应的事故应对反映到控制器系统1中。因此，能够准备进行与设备类别相应的应对规定的设定。特别是，在缺乏知识的开发者进行设定的情况下，能够事先防止引起信息资产的流出、设备安全性的降低等重大错误。
189.<i.设备类别的变形例>
190.在上述实施方式中，设备类别根据控制目的来分类。此外，设备类别也可以按照对控制对象提出的要求进行分类。即，设备类别也可以不根据控制对象(设备)的名称来分类，而根据其他观点来分类。
191.对控制对象提出的要求根据控制对象的控制目的、设置控制对象的位置、控制对象的利用方法、设备整体中的控制对象的立场等而变化。若对控制对象提出的要求变化，则事故应对时的优先顺序也变化，因此优选改变事故应对。
192.图15是表示变形例中的各设备类别的应对表的图。另外，图13中的攻击1～攻击3是事故。阶段a～阶段c是工作状态。另外，“可选择全部应对”是指能够从多个事故应对的全部事故应对中选择。“不可选择应对2、3”是指不能选择多个事故应对中的应对2和应对3。对于“不可选择应对1、2、3”、“不可选择应对2”以及“不可选择应对3”也是同样的。
193.参照图15，设备类别不是控制对象(设备)的名称，而是如类型1、类型2、类型3
…
那样根据其他观点进行分类。
194.按照对控制对象提出的要求对设备类别进行分类，并按照每个该设备类别准备应对表，由此能够容易地设定与对控制对象提出的要求相应的事故应对。
195.图16是变形例1中的设备类别选择画面630a。参照图16，用户回答“是”/“否”图表所示的提问，根据回答选择到达的类型，由此选择设备类别。例如，若选择(点击)设备类别，则显示与所选择的设备类别对应的详细设定画面。此外，图16所示的各提问是对控制对象提出的要求。
196.参照图16，对控制对象提出的要求例如包含与安全防护特性相关的要求。例如，根据是否存在与人的安全性相关的作业，缩小设备类别的候选。具体而言，在没有与人的安全性相关的作业的情况下，作为设备类别，从候选中排除类型1。另一方面，在存在与人的安全性相关的作业的情况下，从候选中排除类型3。
197.参照图16，对控制对象提出的要求包含与设备中的证据信息的重要性相关的要求。例如，根据是否需要严格地保留证据信息，缩小设备类别的候选。在需要严格保留证据信息的情况下，从候选中排除类型3。另一方面，在无需严格保留证据信息的情况下，从候选中排除类型2、类型4及其他类型。设备中的证据信息的重要性例如根据设定对象的控制对象是在制造现场或一个工序中作为辅助设备发挥功能还是作为母设备发挥功能而不同。
198.参照图16，对控制对象提出的要求包含根据与其他设备的相关性而派生的要求。例如，根据当停止时是否涉及到其他工序、以及当进行降级运转时是否影响其他工序，来缩小设备类别的候选。具体而言，在停止时涉及到其他工序的情况下，从候选中排除类型4。另一方面，在即使停止也不涉及到其他工序的情况下，从候选中排除类型1。另外，在降级运转时影响其他工序的情况下，从候选中排除类型4。另一方面，在即使进行降级运转也不影响其他工序的情况下，从候选中排除类型2及其他类型。
199.参照图16，对控制对象提出的要求包含以资产的保护为观点的要求。例如，根据在停止时是否产生废弃、以及在紧急停止时是否对机械施加负荷，来缩小设备类别的候选。具体而言，在停止时产生废弃的情况下，从候选中排除类型2及其他类型。另一方面，在即使停止也不产生废弃的情况下，从候选中排除类型1。另外，在紧急停止时对机械施加负荷的情况下，从候选中排除其他类型。另一方面，在即使紧急停止也不对机械施加负荷的情况下，从候选中排除类型2。
200.这样，设备类别也可以根据对设备提出的要求来分类。在该情况下，如图16所示，优选提供能够容易地选择设备类别的用户界面画面。
201.另外，设备类别的选择方法不限于图16所示的方法。图17是变形例2中的设备类别
选择画面630b。图18是表示用于按照经由图17所示的设备类别选择画面630b输入的信息来决定设备类别的设备类别决定表636b的一例的图。
202.参照图17，用户通过操作“是”或“否”的按钮来对所显示的各提问输入回答。在用户回答所显示的所有提问后确定了回答内容时，按照图18所示的设备类别决定表636b和回答内容来选择设备类别。当选择了设备类别时，显示与所选择的设备类别对应的详细设定画面。
203.图17所示的各提问表示对控制对象提出的要求。用户通过选择“是”或“否”，来选择对作为设定对象的控制对象是否存在提问所表示的要求。
204.即，如图17所示，支持装置6也可以从对控制对象所提出的多个要求中，受理对作为设定对象的控制对象所提出的要求的选择，并基于所受理的要求来决定设备类别。另外，图16所示的是/否图表也可以以向导形式、按依次显示一个一个提问的形式来提供。
205.另外，支持装置6也可将所选择的设备类别(类型)与设备的名称建立关联而保存在应对数据库中。图19是表示变形例的应对数据库660a的图。参照图19，在应对数据库660a中保存有将设备的名称(应用程序名)和设备类别(类型)关联起来的设备类别应对表662和应对表66。
206.另外，设备类别(类型)与设备名称的关联可以预先进行，另外，也可以由用户进行。例如，也可以在通过图16或图17所示的方法确定了设备类别之后，受理作为对象的设备的名称的输入，将设备类别与设备名称关联起来。这样，通过将按照对控制对象的要求而分类的设备类别与设备的名称(目的)关联起来，既能够根据控制目的来选择设备类别，也能够根据对控制对象提出的要求来选择设备类别。
207.另外，也可以构成为，在受理了设备名称的选择之后，在没有登记与该设备的名称对应的设备类别的情况下，通过图16或图17所示的方法受理设备类别的选择。
208.另外，在支持装置6中安装与新的设备相关的程序的情况下，也可以一并安装与该设备对应的设备类别或针对该设备的事故应对表。
209.＜j.应对表的生成方法＞
210.应对表66例如基于根据设备的信息进行的威胁分析的结果和/或运营设备的公司的安全防护策略来设计。
211.另外，事故应对不需要如图9和图10所示那样基于工作状态和事故双方来设定，至少根据设备类别来设定即可。
212.＜k.其他变形例＞
213.在上述实施方式中，控制器系统1由不同的单元(安全防护单元200和控制单元100)执行事故的检测和与检测到的事故相应的处理。另外，也可以由共同的单元执行事故的检测和与检测到的事故相应的处理。
214.另外，在上述实施方式中，通过一个控制器系统控制一个设备。另外，一个控制器系统也可以控制多个设备。例如，也可以是对一个安全防护单元连接多个控制单元，按每个控制单元控制一个设备的结构。在这样的情况下，安全防护单元也可以按每个控制单元具有应对表，按照事故的发生，指示各控制单元执行按照各应对表的处理。
215.另外，在该情况下，也可以保存与各控制单元对应的应对表。也可以是，安全防护单元将能够确定事故的发生和/或发生的事故的种类的信息通知给各控制单元，控制单元
按照所通知的事故和所保存的应对表来执行处理。
216.＜l.附记＞
217.如上所述的本实施方式和变形例包含以下这样的技术思想。
218.[结构1]
[0219]
一种支持装置(6)，其与用于对控制对象(500)进行控制的控制器系统(1)连接，其中，
[0220]
所述控制器系统构成为能够执行根据所述控制器系统中可能发生的事故来变更措施的事故应对动作，
[0221]
所述支持装置具有：
[0222]
选择单元(62、630、630a、630b)，其受理预先确定的多个设备类别中与所述控制对象对应的设备类别的选择；以及
[0223]
设定单元(64、650)，其参照针对每个设备类别预先准备的、规定了针对事故的措施的应对规定(66、66a、66b、660、660a)，将与所选择的设备类别对应的应对规定反映到所述控制器系统中。
[0224]
[结构2]
[0225]
在结构1所记载的支持装置中，
[0226]
所述设备类别根据所述控制对象的控制目的来分类(632)。
[0227]
[结构3]
[0228]
在结构1所记载的支持装置中，
[0229]
所述设备类别按照对所述控制对象提出的要求来分类(630a、630b)。
[0230]
[结构4]
[0231]
在结构3所记载的支持装置中，
[0232]
所述选择单元受理所述控制对象的控制目的的输入，将所受理的该控制目的与所选择的所述设备类别关联起来进行存储。
[0233]
[结构5]
[0234]
在结构1～结构4中的任意一项所记载的支持装置中，
[0235]
所述设定单元受理所述应对规定的变更(6424)，
[0236]
所述应对规定针对每个设备类别预先确定了初始值。
[0237]
[结构6]
[0238]
在结构5所记载的支持装置中，
[0239]
能够变更所述应对规定的范围针对每个所述设备类别而预先确定(6426)。
[0240]
[结构7]
[0241]
一种设定程序(6104)，其是用于对控制对象(500)进行控制的控制器系统(1)的措施设定用的设定程序，其中，
[0242]
所述控制器系统构成为能够执行根据所述控制器系统中可能发生的事故来变更措施的事故应对动作，
[0243]
该设定程序使计算机(6)执行以下步骤：
[0244]
步骤(62、630、630a、630b)，受理预先确定的多个设备类别中与所述控制对象对应的设备类别的选择；以及
[0245]
步骤(64、650)，参照针对每个设备类别预先准备的、规定了每个事故的措施的应对规定(66、66a、66b、660、660a)，将与所选择的设备类别对应的应对规定反映到所述控制器系统中。
[0246]
应该认为本次公开的实施方式在所有方面都是例示而不是限制性的。本发明的范围由权利要求书、而不由上述的说明来表示，意在包含与权利要求书等同的意思以及范围内的所有变更。
[0247]
标号说明
[0248]
1：控制器系统；2：第1网络；4：第2网络；6：支持装置；10：控制系统；50：外部网络；51：路由器；62：选择模块；64：设定模块；66、66a、66b：应对表；100：控制单元；102、202、302、602：处理器；104、204、304：芯片组；106、206、306：主存储装置；108、208、308：二次存储装置；110、210：通信控制器；112、212、620：usb控制器；114、214、314：存储卡接口；115、215、315：存储卡；116、118、120、216、218：网络控制器；122、322：内部总线控制器；124、224、324：指示器；142、144、242、243：通信端口；150：控制引擎；160：信息引擎；170：代理；180、360：日志数据库；200：安全防护单元；250：安全防护引擎；300：安全单元；350：安全引擎；400：功能单元；450：电源单元；500：现场设备；604：主存储器；606：输入部；608：显示部；610：储存器；612：光学驱动器；614：记录介质；618：处理器总线；630、630a、630b：设备类别选择画面；632、642：选择区域；634、644：决定按钮；636b：设备类别决定表；640：详细设定画面；646、652：返回按钮；650：确认画面；654：设定开始按钮；660、660a：应对数据库；662：设备类别应对表；670：设定中画面；672：取消按钮；680：完成画面；700：scada装置；800：hmi；900：数据库；6104：支持程序；6421：类别显示区域；6422：动作类别区域；6423：事故类别区域；6424：设定区域；6425：选项卡；6426：下拉列表。