專利名稱：工廠控制系統(tǒng)的制作方法
技術領域：
本發(fā)明涉及工廠控制系統(tǒng)，其包括用來改變控制設備的安全狀 態(tài)的工程設備，該控制設備具有安全管理部件，用以接收從工程設備 下載的安全級別改變請求，并參照持有的密碼來改變安全級別。
背景技術：
己知一種工廠控制系統(tǒng)，其包括安全控制設備，用以響應工廠 的安全運作發(fā)生異常時來自工廠的異常信號，執(zhí)行工廠的停止操作。圖5是示出了一個工廠控制系統(tǒng)的示例的功能框圖，其中，安 全控制設備與分布式控制設備結合在一起。參考標號1是作為受控對 象的工廠，參考標號2是分布式控制設備的控制設備，并對工廠1 的現(xiàn)場裝置執(zhí)行控制。控制設備2通過控制總線3與主操作監(jiān)視設備4進行通信。該 操作監(jiān)視設備4連接至全局通信總線5，可以通過這個全局通信總線 5與外部PC6進行通信。參考標號IO是用以改變關于系統(tǒng)的定義信息(安全級別)的工 程設備，連接至控制總線3。該工程設備IO還連接至全局通信總線5， 可以與操作監(jiān)視設備4和外部PC6進行通信。參考標號20是安全控制設備，其連接至控制總線3。這個安全 控制設備20通過控制總線3與工程設備10進行通信，還與工廠1 的現(xiàn)場裝置進行通信，并執(zhí)行關機處理，以響應于來自工廠1的異常 信號，執(zhí)行停止操作。在該安全控制設備20中，參考標號21是通信接口部件，接受 從工程設備IO下載的數(shù)據(jù)改變請求和安全改變請求，并將該安全改 變請求傳遞至安全管理部件22，而且，將該數(shù)據(jù)改變請求傳遞至請 求接受任務23。參考標號24是安全級別保持部件，并保持該安全控制設備20 的當前安全狀態(tài)(安全級別)。取決于該安全級別，可以重寫一些內 容，將在下文對這些內容中的數(shù)據(jù)庫或程序進行描述。
只有安全管理部件22具有權限改變由安全級別保持部件24保 持的安全狀態(tài)。在從工程設備10獲取安全改變請求和改變該安全級 別保持部件24的安全狀態(tài)的情況下，該安全管理部件22參照密碼保 持部件25的內容。
該請求接受任務23被構建為一組接受關于安全控制設備20的 各種改變請求的任務，并且在執(zhí)行接受處理的情況下，參照由安全級 別保持部件24所保持的當前安全信息。
基于被參照的安全信息，每一個請求接受任務23決定是否將一 個改變請求傳遞至請求處理任務26。該請求處理任務26基于從請求 接受任務23傳遞來的改變請求，參照或設置程序27或數(shù)據(jù)庫28。
在改變數(shù)據(jù)庫28的數(shù)據(jù)或改變該安全控制設備20的程序27的 內容的情況下，用戶首先執(zhí)行來自工程設備10的安全改變操作。此 時，為了改變來自工程設備10的安全控制設備20的安全狀態(tài)，需要 對應于它的安全狀態(tài)的密碼。
只有在從工程設備10設置了適當?shù)拿艽a時，安全控制設備20 才可以改變安全狀態(tài)。即，安全控制設備20將密碼的知識解釋為一 個特別的用戶具有改變權限。
在專利參考文獻1中描述了包括安全管理功能的過程控制設備。
參見專利參考文獻l: JP-A-2005-30193
發(fā)明內容
本發(fā)明要解決的問題
在相關領域的工廠控制系統(tǒng)中，在改變安全控制設備20的安全 級別時，只需要將密碼輸入工程設備10。與硬件開關控制的開關機 構相比，該系統(tǒng)不會失效，還可以執(zhí)行來自遠程站點的操作，用戶可 以容易地操作該系統(tǒng)。
另一方面，只要知道密碼，任何用戶都可以執(zhí)行改變操作，存在以下可能性，即，惡意人員可以很容易地降低安全級別，并且程序 或數(shù)據(jù)庫可能被破壞。本發(fā)明就是為解決上述問題而研制的，并提供了工廠控制系統(tǒng)， 用以保護安全級別，以便在非計劃安排下，不能改變安全級別。解決這些問題的手段工廠控制系統(tǒng)包括至少一個控制設備和一個工程設備，該工程 設備用以改變該控制設備的安全狀態(tài)。該控制設備包括安全管理部 件和改變許可部件，該安全管理部件用以接受從工程設備下載的安全 級別改變請求，以及通過參照由控制設備保持的密碼，改變控制設備 的安全級別，該改變許可部件允許由安全管理部件進行安全級別改 變。在工廠控制系統(tǒng)中，控制設備還包括用戶應用程序，由控制設 備外部給出的許可信號被輸入該應用程序，由來自用戶應用程序的輸 出對改變許可部件進行操作。在工廠控制系統(tǒng)中，用戶應用程序包括一個功能塊，許可信號 被輸入該功能塊，該功能塊輸出用以操作改變許可部件的信號。在工廠控制系統(tǒng)中，通過由系統(tǒng)管理員操作的開關部件將許可 信號輸入該功能塊。在工廠控制系統(tǒng)中，通過通信，將外部裝置給出的許可信號輸 入該功能塊。在工廠控制系統(tǒng)中，通過通信，將外部裝置給出的許可信號輸 入該功能塊，該功能塊由多個控制設備中的每一控制設備所提供。在工廠控制系統(tǒng)中，控制設備是用以執(zhí)行關于來自工廠的異常 信號的工廠的停止操作。本發(fā)明的效果(1) 安全控制設備具有用以控制安全級別改變的許可信息。因 此，可以保護安全級別不會被惡意改變。即使改變安全級別的密碼泄 漏了，安全控制設備的數(shù)據(jù)庫或程序也不能被重寫。(2) 采用可以控制改變許可狀態(tài)的功能塊，在CPU模塊自身 中消除對專用開關的需要，并可以采用通用的接點輸入信號。結果，便于對開關故障處的維護，而且，還便于來自安全控制設備的遠程操 作。
(3)由于功能塊可以操作改變許可狀態(tài)，所以用戶可以任意地
定制許可條件的設置，可以很容易地設置服務器釋放條件。例如，可 以很容易地創(chuàng)建一個應用程序，在該應用程序中，當打開所有的多個 鍵的輸入時，接受密碼改變。


圖1是示出了結合分布式控制設備將本發(fā)明應用于其中的工廠 控制系統(tǒng)的一個實施例的功能框圖。
圖2示出了安全管理部件進行信號處理的過程的流程圖。
圖3是描述了功能塊進行的改變過程的示意圖。
圖4是主要部件的功能框圖，其示出了根據(jù)本發(fā)明的另一個實施例。
圖5是示出了與分布式控制設備結合的工廠控制系統(tǒng)的一個示 例的功能框圖。 標號說明
1 工廠
2 控制設備
3 控制總線
4 操作監(jiān)視設備 5全局通信總線 6 外部PC
10 工程設備 100安全控制設備 101通信接口部件 102安全管理部件 103請求接受任務 104安全級別保持部件 105密碼保持部件106請求處理任務 107程序 108數(shù)據(jù)庫 109改變許可部件 110用戶應用程序 111功能塊具體實施方式
通過附圖，在下文對本發(fā)明進行詳細描述。圖1是示出了結合 分布式控制設備將本發(fā)明應用于其中的工廠控制系統(tǒng)的一個實施例 的功能框圖。通過對與圖5中描述的系統(tǒng)的相同元件分配同一標號， 省略對其的描述。在圖1中，參考標號100是安全控制設備。通信接口部件101 的每一個元件，請求接受任務103、密碼保持部件105、請求處理任 務106、程序107和數(shù)據(jù)庫108與對應于在圖5中描述的系統(tǒng)的每一 個元件是相同的。參考標號109是在安全級別保持部件104中提供的改變許可部 件。該改變許可部件109具有針對來自工程設備10的改變請求來確 定是否可以改變安全級別的標志信息。改變許可部件109的標志由用戶應用程序110的輸出所操作， 該用戶應用程序110用以輸入從外部給出的改變許可信號。參考標號 111是在用戶應用程序110中定義的功能塊(SYS_SEC—CTL)。通過輸入由系統(tǒng)管理員操作的許可信號DI和輸出操作信號 DO，該功能塊111操作改變許可部件109的標志位。當輸入值DI 是TRUE時，功能塊111將改變許可部件109的狀態(tài)改變?yōu)?非許 可"，當輸入值DI是FALSE時，將狀態(tài)改變?yōu)?許可"。安全管理部件102接受安全級別的改變請求，并進行安全級別 的改變，并在參照密碼之前參照改變許可部件109的改變許可狀態(tài)。當改變許可部件109的改變許可狀態(tài)為"非許可"時，關于安 全級別改變請求的錯誤被返回工程設備10，當改變許可部件109的改變許可狀態(tài)為"許可"時，執(zhí)行密碼的核對處理。圖2示出了安全管理部件102進行信號處理的過程的流程圖。 在步驟Sl開始改變請求通信的接受處理，然后，在步驟S2參照改 變許可部件109的改變許可狀態(tài)。在決策步驟S3，檢驗改變許可狀態(tài)是許可狀態(tài)。在步驟S4，參 照對應于改變級別的密碼，該改變級別是一個提出改變請求的安全級 別。在決策步驟S5，在檢驗了密碼匹配的情況下，在步驟S6中執(zhí)行 安全級別的改變處理，并在步驟S7中結束改變請求通信的接受處理。在決策步驟S3中，當改變許可部件109的改變許可狀態(tài)是非許 可狀態(tài)，以及在決策步驟S5中密碼不匹配時，在步驟S8中將錯誤 返回工程設備10，在步驟S7中結束改變請求通信的接受處理。圖3是描述了功能塊111 (SYS—SEC—CTL)所進行的改變過程 的示意圖。DI100.v是連接至數(shù)字輸入信號的輸入-輸出參數(shù)，系統(tǒng)管 理員可以通過打開和關閉按鍵開關來改變值。在通過輸入-輸出參數(shù)DO200.v從功能塊111輸出的信號所控制 的燈來驗證安全級別改變的許可狀態(tài)之后，工程師利用密碼改變來自 工程設備10的安全狀態(tài)。在本發(fā)明中，通過設置管理功能塊中的改變許可狀態(tài)，可以任 意地確定輸入條件，而且，可以將輸入信號自身轉化為來自外部裝置 的信號。也就是，例如，通過通信部件而不是輸入信號，可以將輸入 到SYS_SEC_CTL功能塊的輸入信號作為通信數(shù)據(jù)從其他裝置輸入。圖4是主要部件的功能框圖，其示出了本發(fā)明的另一個實施例。 通過共享在兩個工廠控制系統(tǒng)中的安全控制設備IOOA和IOOB所提 供的功能塊111A和111B的輸入，以及從主站200輸入站之間的用 以控制的通信信號S，可以共同地管理每個系統(tǒng)的改變許可狀態(tài)。而且，通過OPC (過程控制的OLE)，從主計算機可以對在多 個工廠中的控制設備的改變許可狀態(tài)進行遠程操作。在上述實施例中，已經(jīng)將安全控制設備IOO作為本發(fā)明適用的 目標，但是，它還可以適用于在分布式控制設備中從工程設備(未示 出)至控制設備2的改變請求處理。本發(fā)明基于2005年11月25日提交的日本專利申請
No.2005-339836，在此，通過引用將其內容并入。
權利要求
1. 一種工廠控制系統(tǒng)，其包括 至少一個控制設備；以及一個工程設備，其用以改變所述控制設備的安全狀態(tài)， 其中，所述控制設備包括安全管理部件，其用以接受從所述工程設備下載的安全級別改 變請求，并參照由所述控制設備保持的密碼，改變所述控制設備的安 全級別；以及改變許可部件，其用以許可由所述安全管理部件所進行的安全 級別的改變。
2. 根據(jù)權利要求1所述的工廠控制系統(tǒng)，其中，所述控制設備 還包括用戶應用程序，從所述控制設備外部所給出的許可信號被輸入 至所述用戶應用程序，以及由所述用戶應用程序的輸出對所述改變許可部件進行操作。
3. 根據(jù)權利要求2所述的工廠控制系統(tǒng)，其中，用戶應用程序 包括功能塊，許可信號被輸入該功能塊，而且該功能塊輸出用以操作 改變許可部件的信號。
4. 根據(jù)權利要求3所述的工廠控制系統(tǒng)，其中，由系統(tǒng)管理員 操作的開關部件將許可信號輸入所述功能塊。
5. 根據(jù)權利要求3所述的工廠控制系統(tǒng)，其中，通過通信，將 外部裝置給出的許可信號輸入至所述功能塊。
6. 根據(jù)權利要求3所述的工廠控制系統(tǒng)，其中，通過通信，將 外部裝置給出的許可信號輸入至由多個控制設備的每一個所提供的 所述功能塊。
7.根據(jù)權利要求1-6任何一項所述的工廠控制系統(tǒng)，其中，控 制設備是安全控制設備，用以執(zhí)行關于來自工廠的異常信號的工廠停 止操作。
全文摘要
工廠控制系統(tǒng)包括至少一個控制裝置和一個工程裝置，該工程裝置用以改變該控制裝置的安全狀態(tài)。該控制裝置具有安全管理單元和改變許可單元，該安全管理單元用以接收安全級別改變請求，該安全級別改變請求是從工程裝置下載的，以及用以通過參照由控制裝置持有的密碼，改變控制裝置的安全級別，該改變許可單元許可由安全管理單元進行安全級別改變。
文檔編號G06F21/20GK101313261SQ200680043899
公開日2008年11月26日 申請日期2006年11月21日 優(yōu)先權日2005年11月25日
發(fā)明者大迫悟 申請人:橫河電機株式會社