[go: up one dir, main page]

JP5472708B2 - Verification device and field device software update system using the same - Google Patents

Verification device and field device software update system using the same Download PDF

Info

Publication number
JP5472708B2
JP5472708B2 JP2009240521A JP2009240521A JP5472708B2 JP 5472708 B2 JP5472708 B2 JP 5472708B2 JP 2009240521 A JP2009240521 A JP 2009240521A JP 2009240521 A JP2009240521 A JP 2009240521A JP 5472708 B2 JP5472708 B2 JP 5472708B2
Authority
JP
Japan
Prior art keywords
software
verification
field
bus
field device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009240521A
Other languages
Japanese (ja)
Other versions
JP2011086240A (en
Inventor
寛幸 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2009240521A priority Critical patent/JP5472708B2/en
Publication of JP2011086240A publication Critical patent/JP2011086240A/en
Application granted granted Critical
Publication of JP5472708B2 publication Critical patent/JP5472708B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Programmable Controllers (AREA)

Description

本発明は、フィールドバスを介して入れ替えが行われるフィールド機器のソフトウェアを検証する検証装置とこれを用いたフィールド機器ソフトウェア更新システムに関する。   The present invention relates to a verification device for verifying software of a field device to be exchanged via a field bus, and a field device software update system using the verification device.

従来のフィールド機器は、浄水場やプラント等に設置され、物理量(例えば、流量、水位、圧力、温度等)を計測し、その計測結果に応じた電気信号を出力するものであり、圧力/差圧伝送器、各種流量計、温度計、バルブ・ポジショナ等である。たとえばフィールド機器は、オートメーション及びプロセス制御の技術において、センサとしてプロセス変数を測定し、アクチュエータとして制御変数を制御するためにしばしば用いられている。   Conventional field devices are installed in water purification plants, plants, etc., measure physical quantities (for example, flow rate, water level, pressure, temperature, etc.) and output electrical signals according to the measurement results. Pressure transmitters, various flow meters, thermometers, valve positioners, etc. For example, field devices are often used in automation and process control techniques to measure process variables as sensors and to control control variables as actuators.

また、たとえばインダストリアルオートメーションにおけるプロセス制御システムとして、フィードバック制御などの制御ループを構成する流量計や温度計などのセンサ、アクチュエータ、コントローラを含むフィールド機器を、プラント等に敷設されたFoundation Fieldbus FF-H1(登録商標)、PROFIBUS-PA(登録商標)などの2線式バス給電型のフィールドバス等のネットワークにより相互に接続し、フィールド制御システムとして構築することが提案されている。   Also, for example, as a process control system in industrial automation, field devices including sensors, actuators, and controllers such as flow meters and thermometers that constitute control loops such as feedback control are installed in Foundation Fieldbus FF-H1 ( It has been proposed to construct a field control system by connecting to each other via a network such as a two-wire bus-fed field bus such as a registered trademark and PROFIBUS-PA (registered trademark).

フィールド制御システムは、フィールド機器の動作スケジュールが設定され、フィールド機器で構成される制御ループが計画通りに動作するように構成されている。このときフィールド機器は、あらかじめ設定される製品仕様のファンクションブロック実行時間(FB実行時間)に基づき所定のファンクションブロック(アナログインプットファンクションブロックAI、PIDファンクションブロックPID等)に応じた動作を行う。   The field control system is configured such that an operation schedule of field devices is set, and a control loop composed of the field devices operates as planned. At this time, the field device performs an operation corresponding to a predetermined function block (analog input function block AI, PID function block PID, etc.) based on a function block execution time (FB execution time) of a product specification set in advance.

このようなフィールド制御システムにおいて、プロセスの改善等を目的とした機能分散を進める上で、フィードバック制御などの制御ループを構成する流量計や温度計などのセンサ、アクチュエータ、コントローラを含むフィールド機器にも自己診断機能などの拡張目的や、機能が豊富になったために発生する可能性も大きくなったバグを修正する目的でフィールドバスの通信機能を用いてフィールド機器に実装されるソフトウェアまたはソフトウェアを入れ替える(更新する)フィールド機器ソフトウェア更新システムが検討されている。   In such field control systems, in order to promote functional distribution for the purpose of process improvement, etc., field devices including sensors, actuators, and controllers such as flow meters and thermometers that constitute a control loop for feedback control, etc. Replacing software or software implemented in field devices using the fieldbus communication function for the purpose of expansion such as self-diagnosis function or to correct bugs that are likely to occur due to rich functions (fieldbus communication function) (Updating) Field device software update system is under consideration.

図5は従来のフィールド機器ソフトウェア更新システムの構成図であり、図5において、従来のフィールド機器ソフトウェア更新システムは、FF−H1バスに接続している機器間の通信を統括する機器でリンクマスタの役割を担うホスト機器1と、FF−H1バス 100に接続しFF−H1バス100を介してホスト機器1および他のフィールド機器と通信可能なフィールド機器2、3とから構成される。   FIG. 5 is a block diagram of a conventional field device software update system. In FIG. 5, the conventional field device software update system is a device that supervises communication between devices connected to the FF-H1 bus, and is a link master. It comprises a host device 1 that plays a role, and field devices 2 and 3 that are connected to the FF-H1 bus 100 and can communicate with the host device 1 and other field devices via the FF-H1 bus 100.

ここで、フィールド機器2、3は、たとえばプロセス量を測定するセンサと、FF−H1バス100を介して他のフィールド機器またはその他の機器とデータ通信する通信手段と、フィールド機器2、3の各機能を制御しソフトウェアの入れ替えを行なうソフトウェアダウンロード機能(SoftDL機能)を実行する演算制御手段と、ソフトウェアまたはソフトウェア、センサからの測定信号を出力信号に変換するための演算部分のプログラムなどを格納する複数のプログラム格納領域を有する記憶手段とから構成される。   Here, the field devices 2 and 3 include, for example, sensors for measuring a process amount, communication means for data communication with other field devices or other devices via the FF-H1 bus 100, and each of the field devices 2 and 3 A calculation control means for executing a software download function (SoftDL function) for controlling functions and replacing software, and a plurality of software or software, a calculation part program for converting a measurement signal from a sensor into an output signal, and the like Storage means having a program storage area.

フィールド機器2、3の演算制御手段が実行するSoftDL機能は、自機器(通常はフィールド機器)のソフトウェアをFF−H1通信を介して他機器(通常はホスト機器)から受信し、更新する機能である。本機能により、フィールド機器のソフトウェアをプラントに設置したまま更新することが可能となる。   The SoftDL function executed by the arithmetic control means of the field devices 2 and 3 is a function for receiving and updating the software of the own device (usually a field device) from another device (usually a host device) via FF-H1 communication. is there. This function makes it possible to update the field device software while it is installed in the plant.

このような構成で従来のソフトウェア更新システムは、以下の(1)〜(3)のようにフィールド機器のソフトウェアを更新する。以下、説明を簡単にするために、フィールド機器2をソフトウェア更新する対象機器(ターゲット機器)として説明する。   With such a configuration, the conventional software update system updates the software of the field device as described in (1) to (3) below. Hereinafter, in order to simplify the description, the field device 2 will be described as a target device (target device) whose software is updated.

(1)ホスト機器1はフィールド機器2に対して、ソフトウェアを送信する。
(2)フィールド機器2は、ホスト機器1から新規ソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段中の動作中のソフトウェアが格納されていない記憶領域に受信した新規ソフトウェアを記憶する。
(3)ターゲット機器2は、ソフトウェアを全て受信して機器に保存し終わると、受信したソフトウェアで動作開始する。具体的にはフィールド機器2は、ダウンロード後に再起動し、プログラム記憶領域に格納された新規ソフトウェアを動作する。つまりフィールド機器2では、動作中のソフトウェアの書き換えが行われることになる。
(1) The host device 1 transmits software to the field device 2.
(2) The field device 2 receives the new software data from the host device 1 via the FF-H1 bus 100, and stores the received new software in a storage area in the storage means in which the operating software is not stored. To do.
(3) When all the software is received and stored in the device, the target device 2 starts to operate with the received software. Specifically, the field device 2 restarts after downloading and operates the new software stored in the program storage area. That is, in the field device 2, rewriting of operating software is performed.

このように、従来のフィールド機器は、フィールドバスの通信機能を用いてフィールド
機器に実装されるソフトウェアまたはソフトウェアを入れ替えることができる。
As described above, the conventional field device can replace software or software installed in the field device by using the communication function of the field bus.

従来のフィールド機器のソフトウェア・ソフトウェアを更新するフィールド機器ソフトウェア更新システムに関連する先行技術文献として、下記の特許文献1がある。   As a prior art document related to a field device software update system for updating software / software of a conventional field device, there is Patent Document 1 below.

特開2005−173747号公報JP 2005-173747 A

しかしながら、従来のフィールド機器ソフトウェア更新システムでは、FF−H1プロトコルに則った通信が可能であれば作業者が把握していない未確認機器がFF−H1バスに参加することが可能であるので、未確認機器がSoftDL機能を有する場合、SoftDL機能に対応しているフィールド機器であればいずれに対してもソフトウェアを送信することができてしまい、作業者の意図しないソフトウェア送信が実行されてしまうという問題点があった。   However, in the conventional field device software update system, an unconfirmed device that an operator does not know can participate in the FF-H1 bus if communication according to the FF-H1 protocol is possible. Has a SoftDL function, software can be transmitted to any field device that supports the SoftDL function, and software transmission unintended by the operator is executed. there were.

図6は、従来のフィールド機器ソフトウェア更新システムの問題点を説明する説明図であり、図6において、図5のソフトウェア更新システムのFF−H1バス100にFF−H1プロトコルに則った通信が可能であり作業者が把握していない未確認機器50が接続される。   FIG. 6 is an explanatory diagram for explaining the problems of the conventional field device software update system. In FIG. 6, communication according to the FF-H1 protocol is possible on the FF-H1 bus 100 of the software update system of FIG. An unconfirmed device 50 that is not recognized by an operator is connected.

ホスト機器1、フィールド機器2、3は、FF−H1バス100を介して通信する。また未確認機器50はFF−H1バス100に接続され、ホスト機器1、フィールド機器2、3と通信する。   The host device 1 and the field devices 2 and 3 communicate via the FF-H1 bus 100. The unconfirmed device 50 is connected to the FF-H1 bus 100 and communicates with the host device 1 and the field devices 2 and 3.

この場合(図6)、未確認機器50は、動作保証がなされていないソフトウェアをフィールド機器2に送信するケースがある。このような場合の従来のフィールド機器ソフトウェア更新システムの動作を以下に示す。   In this case (FIG. 6), the unconfirmed device 50 may transmit software whose operation is not guaranteed to the field device 2. The operation of the conventional field device software update system in such a case will be described below.

(1)未確認機器50は、フィールド機器2に対してソフトウェアを送信する(ソフトウェアダウンロードを開始する)。
(2)フィールド機器2は、未確認機器50が仕様に則って処理を実行しているので送信されたソフトウェアを受信する(ダウンロードする)。
(3)フィールド機器2は、ホスト機器1から新規ソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段中の動作中のソフトウェアが格納されていない記憶領域に受信した新規ソフトウェアを記憶する。
(4)ターゲット機器2は、ソフトウェアを全て受信して機器に保存し終わると、未確認機器50から受信したソフトウェアで動作開始する。具体的にはフィールド機器2は、ダウンロード後に再起動しプログラム記憶領域に格納された新規ソフトウェアを動作する。つまりフィールド機器2では動作中のソフトウェアの書き換えが行われることになる。
(1) The unconfirmed device 50 transmits software to the field device 2 (starts software download).
(2) The field device 2 receives (downloads) the transmitted software because the unconfirmed device 50 is executing processing according to the specifications.
(3) The field device 2 receives the new software data from the host device 1 via the FF-H1 bus 100, and stores the received new software in a storage area in the storage means in which the operating software is not stored. To do.
(4) When all the software is received and stored in the device, the target device 2 starts to operate with the software received from the unconfirmed device 50. Specifically, the field device 2 restarts after downloading and operates new software stored in the program storage area. That is, the field device 2 rewrites the operating software.

このように、フィールド機器2は、FF−H1プロトコルに則った通信が可能な未確認機器50から動作保証されていないソフトウェアをダウンロードしてソフトウェアの書き換えを行なってしまうことにより、フィールド機器2が正常に動作しない可能性がある点で問題である。具体的には以下の点で問題となる。   As described above, the field device 2 normally downloads software whose operation is not guaranteed from the unconfirmed device 50 capable of communication in accordance with the FF-H1 protocol, and rewrites the software. The problem is that it may not work. Specifically, there are problems in the following points.

(A)作業者が意図しないソフトウェア(ファームウェア)が書き込まれてしまう
未確認機器50により、既設置のフィールド機器2、3に作業者が意図しないソフトウェア(ファームウェア)を書き込むことが可能となってしまうという問題点があった。
たとえば、加害目的を有する第三者がFF−H1バス100に接続した他のフィールド機器(図示せず)の動作を妨害するような振る舞いをするソフトウェアを提供する未確認機器50をFF−H1バス100に接続させてフィールド機器2、3にダウンロードさせることにより、FF−H1バス100に接続した機器同士の通信が正常に行えず、系を混乱してしまうという問題点があった。
(A) Software (firmware) unintended by the operator is written The unconfirmed device 50 makes it possible to write software (firmware) not intended by the operator into the installed field devices 2 and 3. There was a problem.
For example, an unconfirmed device 50 that provides software that behaves in such a way as to interfere with the operation of another field device (not shown) connected to the FF-H1 bus 100 by a third party having an injurious purpose is used as the FF-H1 bus 100. By connecting to the FF-H1 bus 100 and connecting them to the field devices 2 and 3, communication between the devices connected to the FF-H1 bus 100 cannot be performed normally, and the system is confused.

(B)ソフトウェア(ファームウェア)が消去されてしまう
未確認機器50により、既設置のフィールド機器2、3にダウンロードするソフトウェア(ファームウェア)を空データとすることで、ソフトウェア(ファームウェア)を送信した機器を動作不能にすることが可能となってしまうという問題点がある。この場合、復旧するためには、各フィールド機器を制御系(FF−H1バス)から取り外し、内部の基板を交換する作業が必要となり、膨大な損害が発生してしまうという問題点があった。
(B) The software (firmware) is erased The software (firmware) downloaded to the existing field devices 2 and 3 is made empty by the unconfirmed device 50 to operate the device that sent the software (firmware). There is a problem that it becomes possible to make it impossible. In this case, in order to recover, it is necessary to remove each field device from the control system (FF-H1 bus) and replace the internal substrate, resulting in a problem of enormous damage.

また、複数台のフィールド機器にソフトウェアを送信する場合では、従来技術ではホスト機器1に負荷がかかってしまい、(メインとなる)制御系の動作に支障が出る可能性があるという問題点、また、確実にソフトウェアの更新ができなくなってしまうという問題点もあった。   In addition, when software is transmitted to a plurality of field devices, the conventional technique places a load on the host device 1 and may impair the operation of the (main) control system. There was also a problem that the software could not be updated reliably.

本発明は上述の問題点を解決するものであり、その目的は、作業者が意図しないソフトウェア更新を防ぐ(検証済みのソフトウェアのみをフィールド機器にダウンロードさせる)ことが可能な検証装置およびこれを備えたフィールド機器ソフトウェア更新システムを実現することにある。   The present invention solves the above-described problems, and an object thereof is to provide a verification device capable of preventing software updates unintended by an operator (only allowing verified software to be downloaded to a field device) and the verification device. To implement a field device software update system.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを介して受信し暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアをフィールドバスを介して前記フィールド機器に送信する検証装置であって、
復号化鍵を予め記憶する記憶手段と、
この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備え
前記検証装置は前記フィールドバスに接続され、
前記正当性判定手段は、前記フィールドバスを介して送信されてきた前記ソフトウェアの正当性を判定することを特徴とする検証装置である。
In order to achieve such a problem, the invention according to claim 1 of the present invention is:
Among the software for field devices received and encrypted via the network, the verification device transmits the software with the ensured validity to the field devices via the field bus,
Storage means for storing a decryption key in advance;
If the software can be decrypted based on the decryption key, legitimacy judging means for judging that the software is legitimate,
Software transmission means for transmitting the software determined to be valid to the field device in a decrypted state via the field bus ;
The verification device is connected to the fieldbus;
The validity determination means is a verification device characterized by determining the validity of the software transmitted via the fieldbus .

請求項2記載の発明は、
フィールドバスを介して受信したホスト機器により暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアを前記フィールドバスを介して前記フィールド機器に送信する検証装置であって、
前記検証装置は前記フィールドバスに接続され、
前記検証装置に向けて、複合化された前記ソフトウェアを前記フィールドバスを介して送信するホスト機器が保持する暗号化鍵に対応した復号化鍵を予め記憶する記憶手段と、
この復号化鍵に基づいて、前記ホスト機器から送信されてきた前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることを特徴とする検証装置である。
The invention according to claim 2
Among the software for field devices encrypted by the host device received via the field bus, the verification device transmits the guaranteed software to the field device via the field bus,
The verification device is connected to the fieldbus;
Storage means for storing in advance a decryption key corresponding to an encryption key held by a host device that transmits the decrypted software to the verification device via the fieldbus ;
Based on this decryption key, if the software transmitted from the host device can be decrypted, legitimacy judging means for judging that the software is legitimate,
A verification apparatus, comprising: software transmission means for transmitting the software determined to be valid to the field device via the field bus in a decrypted state.

請求項3記載の発明は、請求項1または2記載の検証装置であって、
前記正当であると判定されたソフトウェアが正常であるか否かを判定する正常判定手段と、
前記正常判定手段により正常であると判定されたソフトウェアを前記フィールド機器に前記フィールドバスを介して送信する前記ソフトウェア送信手段を備えることを特徴とする。
Invention of Claim 3 is a verification apparatus of Claim 1 or 2, Comprising:
Normality determining means for determining whether or not the software determined to be valid is normal;
The software transmission means for transmitting the software determined to be normal by the normality determination means to the field device via the fieldbus.

請求項4記載の発明は、請求項3記載の検証装置であって、
前記正常判定手段が、
前記正当であると判定されたソフトウェアの形式が予め記憶されているソフトウェアの仕様情報に基づいたものであると、このソフトウェアは正常であると判定することを特徴とする。
Invention of Claim 4 is a verification apparatus of Claim 3, Comprising:
The normality determining means is
If the software format determined to be valid is based on software specification information stored in advance, it is determined that the software is normal.

請求項5記載の発明は、請求項1〜4いずれかに記載の検証装置であって、
暗号化されたソフトウェアを受信する外部通信インタフェースを備えることを特徴とする。
Invention of Claim 5 is a verification apparatus in any one of Claims 1-4, Comprising:
An external communication interface for receiving encrypted software is provided.

請求項6記載の発明は、
請求項1〜5いずれかに記載の検証装置と、
前記フィールドバスを介してソフトウェアを取得し、実行するソフトウェアを更新するフィールド機器と、
前記フィールドバスを介して前記フィールド機器および前記検証装置と接続され、前記ソフトウェアを暗号化して前記検証装置に送信するホスト機器と、
を備えたことを特徴とするフィールド機器ソフトウェア更新システム。

The invention described in claim 6
A verification device according to any one of claims 1 to 5;
A field device for updating software to retrieve software via the field bus, to perform,
A host device connected to the field device and the verification device via the field bus, and encrypting and transmitting the software to the verification device;
A field device software update system characterized by comprising:

このように、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムによれば、検証装置の正当性判定手段がネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、記憶手段に予め記憶される復号化鍵に基づいてソフトウェアを復号化できるとこのソフトウェアが正当であると判定し、検証装置のソフトウェア送信手段が正当であると判定されたソフトウェアを復号化された状態でフィールド機器にフィールドバスを介して送信することにより、正当性が担保されたソフトウェアのみを更新することができる。
このため、フィールド機器がソフトウェアの更新を原因とする異常な動作をすることがなくなるため、制御系全体(FF−H1バス)の安定性を向上させることができる。
As described above, according to the verification device of the present invention and the field device software update system using the verification device, the validity determination unit of the verification device stores the encrypted field device software received via the network. If the software can be decrypted based on the decryption key stored in advance in the means, it is determined that the software is valid, and the software determined by the verification device software transmission means is decrypted. By transmitting to the field device via the field bus, it is possible to update only the software whose legality is guaranteed.
For this reason, the field device does not perform an abnormal operation caused by software update, and the stability of the entire control system (FF-H1 bus) can be improved.

また、本発明に係る検証装置はフィールド機器ソフトウェア更新システムに係る専用装置であるため、検証装置内部のプログラムの入れ替えを容易に行うことができる。これにより、検証装置が受け持つ機能(ソフトウェアの検証機能)の機能向上が容易に行える。   In addition, since the verification apparatus according to the present invention is a dedicated apparatus related to the field device software update system, it is possible to easily replace programs in the verification apparatus. As a result, the function of the verification apparatus (software verification function) can be easily improved.

また、本発明に係る検証装置は、ホスト機器から受信し正当性が担保されたソフトウェアをターゲットとなるフィールド機器に送信するため、従来技術のようにホスト機器が直接フィールド機器にソフトウェアを送信することがなくなる。このため本発明によれば、複数台のフィールド機器にソフトウェアを送信する場合でも、ホスト機器は検証装置への1回分のソフトウェアの送信処理だけでよく、ホスト機器の負荷を下げることができる。   In addition, since the verification apparatus according to the present invention transmits the software received from the host device and guaranteed to the target field device, the host device transmits the software directly to the field device as in the prior art. Disappears. For this reason, according to the present invention, even when software is transmitted to a plurality of field devices, the host device only needs to transmit software once to the verification device, and the load on the host device can be reduced.

本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムの一実施例の構成図である。It is a block diagram of one Example of the verification apparatus of this invention and the field apparatus software update system using the same. 図1の検証装置およびこれを備えたフィールド機器ソフトウェア更新システムの動作説明図である。It is operation | movement explanatory drawing of the verification apparatus of FIG. 1, and a field apparatus software update system provided with the same. 図1の検証装置とこれを用いたフィールド機器ソフトウェア更新システムの他の動作説明図である。It is other operation | movement explanatory drawing of the verification apparatus of FIG. 1, and the field apparatus software update system using the same. 図1に係る検証装置に別のネットワークインタフェースを付加した場合のフィールド機器ソフトウェア更新システムの構成図である。It is a block diagram of the field device software update system at the time of adding another network interface to the verification apparatus which concerns on FIG. 従来のフィールド機器ソフトウェア更新システムの構成図である。It is a block diagram of the conventional field device software update system. 従来のフィールド機器ソフトウェア更新システムの問題点を説明する説明図である。It is explanatory drawing explaining the problem of the conventional field device software update system.

<実施例1>
図1は、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムの一実施例の構成図であり、図5と共通する部分には同一の符号を付けて適宜説明を省略する。図1と図5との相違点は、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアデータ(フィールド機器用のソフトウェアを含むデータ。以下、ソフトウェアという)のうち、正当性が担保されたソフトウェアをフィールドバスを介してフィールド機器に送信する検証装置を備える点で異なる。
<Example 1>
FIG. 1 is a block diagram of an embodiment of a verification apparatus according to the present invention and a field device software update system using the same, and the same reference numerals are given to portions common to FIG. 5 and description thereof is omitted as appropriate. The difference between FIG. 1 and FIG. 5 is that the validity of the encrypted field device software data (data including field device software; hereinafter referred to as software) received via the network is ensured. It is different in that a verification device for transmitting the software to the field device via the field bus is provided.

(フィールド機器ソフトウェア更新システムの構成)
図1において、本発明のフィールド機器ソフトウェア更新システムは、FF−H1バス100に接続している機器間の通信を統括する機器でリンクマスタの役割を担うホスト機器1と、FF−H1バス 100に接続しFF−H1バス100を介してホスト機器1および他のフィールド機器、検証装置4と通信可能なフィールド機器2、3と、ネットワークを介して受信した暗号化されたフィールド機器2、3用のソフトウェアのうち正当性が担保されたソフトウェアをフィールドバス100を介してフィールド機器2、3に送信する検証装置4とから構成される。
(Configuration of field device software update system)
In FIG. 1, the field device software update system of the present invention includes a host device 1 that plays a role of a link master in a device that controls communication between devices connected to the FF-H1 bus 100, and an FF-H1 bus 100. Field devices 2 and 3 that can be connected to and communicate with the host device 1 and other field devices and the verification device 4 via the FF-H1 bus 100, and encrypted field devices 2 and 3 that are received via the network. The verification device 4 is configured to transmit software of which software is secured to the field devices 2 and 3 via the field bus 100.

なお、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムが検証・更新するフィールド機器用のソフトウェアは、ファームウェアも対象とし、フィールド機器用のプログラム・アプリケーションであればどのようなファームウェアまたはソフトウェアであってもよい。   Note that the field device software that is verified and updated by the verification apparatus of the present invention and the field device software update system using the verification device also covers firmware, and any firmware or software as long as it is a program or application for a field device It may be.

ホスト機器1、フィールド機器2、3および検証装置4は、それぞれFF−H1バス100に接続され、FF−H1バス100を介してデータ通信を行う。   The host device 1, the field devices 2, 3 and the verification device 4 are each connected to the FF-H1 bus 100 and perform data communication via the FF-H1 bus 100.

なおホスト機器1、フィールド機器2、3および検証装置4は、それぞれFF−H1バス100に接続されるとあるが、特に限定されるものではなく、フィールド制御に係るデータ通信が可能なものであればどのようなフィールドバスやIP(internet protocol)を用いたネットワークに接続されるものであっても構わない。   The host device 1, the field devices 2, 3 and the verification device 4 are each connected to the FF-H1 bus 100. However, the host device 1, the field devices 2, 3 and the verification device 4 are not particularly limited, and can perform data communication related to field control. Any fieldbus or IP (internet protocol) network may be used.

(ホスト機器1の構成)
ホスト機器1は、特に図示しないが、FF−H1バス100を介してフィールド機器2または3用のソフトウェアを暗号化して検証装置4に送信する演算制御手段と、検証装置4が有する復号化鍵に対応する(共通の)暗号化鍵を記憶する記憶手段と、FF−H1バス100などのフィールドバスを介して検証装置4、フィールド機器2、3とデータ通信をする通信手段とを備える。
具体的には、ホスト機器1の演算制御手段は、記憶手段に記憶されている暗号化鍵に基づきフィールド機器2または3用のソフトウェアを暗号化し、通信手段を制御してFF−H1バス100を介して検証装置4に送信する。
(Configuration of host device 1)
Although not specifically shown, the host device 1 encrypts the software for the field device 2 or 3 via the FF-H1 bus 100 and transmits the encrypted software to the verification device 4, and the decryption key of the verification device 4 A storage unit that stores a corresponding (common) encryption key and a communication unit that performs data communication with the verification device 4 and the field devices 2 and 3 via a field bus such as the FF-H1 bus 100 are provided.
Specifically, the calculation control means of the host device 1 encrypts the software for the field device 2 or 3 based on the encryption key stored in the storage means, and controls the communication means to control the FF-H1 bus 100. To the verification device 4.

(フィールド機器2、3の構成)
フィールド機器2、3は、検証装置4のみからしかソフトウェアを受信(ダウンロード)できない設定になっており、その判別に必要な情報を保持している。たとえばフィールド機器2、3の演算制御手段は、記憶手段に記憶されている検証装置のアドレス(ネットワークアドレス)からのデータ(ソフトウェア)のみを受信する。
(Configuration of field devices 2 and 3)
The field devices 2 and 3 are set so that software can be received (downloaded) only from the verification device 4 and hold information necessary for the determination. For example, the operation control means of the field devices 2 and 3 receives only data (software) from the address (network address) of the verification device stored in the storage means.

具体的にはフィールド機器2、3は、特に図示しないが、たとえばプロセス量を測定するセンサと、FF−H1バス100を介して他のフィールド機器またはその他の機器とデータ通信する通信手段と、フィールド機器2、3の各機能(機能ブロックの実行機能)を制御するとともに検証装置4からのソフトウェアのみを受信してソフトウェアの入れ替えを行なうソフトウェアダウンロード機能(SoftDL機能)を実行する演算制御手段と、ソフトウェア、センサからの測定信号を出力信号に変換するための演算部分のプログラムなどを格納する複数のプログラム格納領域を有する記憶手段を備える。   Specifically, the field devices 2 and 3 are not particularly illustrated, but, for example, a sensor that measures a process amount, a communication unit that performs data communication with other field devices or other devices via the FF-H1 bus 100, and a field Arithmetic control means for controlling each function (execution function of the function block) of the devices 2 and 3 and executing a software download function (SoftDL function) for receiving only software from the verification device 4 and replacing the software; And a storage means having a plurality of program storage areas for storing a program of an arithmetic part for converting a measurement signal from the sensor into an output signal.

フィールド機器2、3の演算制御手段が実行するSoftDL機能は、自機器(通常はフィールド機器)のソフトウェアをFF−H1通信を介して検証装置4から受信し、更新する機能である。本機能により、フィールド機器のソフトウェアをプラントに設置したまま更新することが可能となる。また検証装置4からのソフトウェアのみを受信して入れ替えを行なうことにより、作業者が意図しないソフトウェア更新を防ぐことができる(いいかえれば検証済みのソフトウェアのみをダウンロードすることができる)。   The SoftDL function executed by the arithmetic control means of the field devices 2 and 3 is a function for receiving and updating the software of its own device (usually a field device) from the verification device 4 via FF-H1 communication. This function makes it possible to update the field device software while it is installed in the plant. In addition, by receiving only the software from the verification device 4 and performing replacement, it is possible to prevent software updates that are not intended by the operator (in other words, only verified software can be downloaded).

(検証装置4の構成)
検証装置4は、フィールド機器2または3がダウンロードするソフトウェアの検証と、ターゲットとなるフィールド機器2または3へのソフトウェアの送信を実行する。
またすべての機器は、検証装置4へソフトウェアデータの送信が可能である。検証装置4は、受信したデータ(ソフトウェア)の検証を行い、検証に合格したソフトウェアのみをターゲットとなるフィールド機器2または3へ送信する。
(Configuration of the verification device 4)
The verification device 4 executes verification of software downloaded by the field device 2 or 3 and transmission of the software to the target field device 2 or 3.
All devices can transmit software data to the verification device 4. The verification device 4 verifies the received data (software) and transmits only the software that has passed the verification to the target field device 2 or 3.

検証装置4が受信するデータ(ソフトウェア)は、暗号化されている。検証装置4は、あらかじめホスト機器1が保持する暗号化鍵に対応した、共通の復号用鍵を保持する。この復号用鍵を用いてホスト機器1から受信したデータ(ソフトウェア)を復号し、復号後のソフトウェアを照合することにより、ソフトウェアのダウンロードが、作業者の意図するものであるかが判定できる。   Data (software) received by the verification device 4 is encrypted. The verification device 4 holds a common decryption key corresponding to the encryption key held by the host device 1 in advance. By decrypting data (software) received from the host device 1 using this decryption key and collating the decrypted software, it is possible to determine whether the software download is intended by the operator.

具体的には検証装置4は、主に記憶手段43に記憶されるソフトウェアの正当性を判定する正当性判定手段41と、記憶手段43に記憶されるソフトウェアが正常であるか否かを判定する正常判定手段42、通信手段44を介して受信したソフトウェアを記憶する記憶手段43と、FF−H1バス100を介してホスト機器1からソフトウェアを受信する通信手段44と、通信手段44を制御してソフトウェアを更新させるターゲット機器であるフィールド機器2または3にFF−H1バス100を介して送信するソフトウェア送信手段45と、各手段の動作を制御する演算制御手段から構成される。   Specifically, the verification apparatus 4 determines whether the software stored mainly in the storage unit 43 is normal, and the validity determination unit 41 that mainly determines the validity of the software stored in the storage unit 43. The storage unit 43 for storing software received via the normality determination unit 42 and the communication unit 44, the communication unit 44 for receiving software from the host device 1 via the FF-H1 bus 100, and the communication unit 44 are controlled. A software transmission unit 45 that transmits to the field device 2 or 3 that is a target device for updating software via the FF-H1 bus 100, and an arithmetic control unit that controls the operation of each unit.

通信手段44はFF−H1バス(図示せず)と相互に接続されると共に演算制御手段に相互に接続され、記憶手段43も演算制御手段に相互に接続される。正当性判定手段41、正常判定手段42、ソフトウェア送信手段45もまた相互に接続され、通信手段44、記憶手段43、演算制御手段と接続される。   The communication unit 44 is connected to the FF-H1 bus (not shown) and is also connected to the calculation control unit, and the storage unit 43 is also connected to the calculation control unit. The validity determination unit 41, the normality determination unit 42, and the software transmission unit 45 are also connected to each other, and are connected to the communication unit 44, the storage unit 43, and the calculation control unit.

なお正当性判定手段41、正常判定手段42、ソフトウェア送信手段45は、演算処理手段が記憶手段43に格納されているOSなどを起動して、このOS上で記憶手段に格納されたプログラムを読み出して実行することにより記憶手段に展開された機能ブロックでもよく、図1ではこれらを機能ブロックとして表現している。   The correctness determining means 41, the normality determining means 42, and the software transmitting means 45 start up the OS stored in the storage means 43 by the arithmetic processing means and read the program stored in the storage means on this OS. The function blocks developed in the storage means may be used, and these are represented as function blocks in FIG.

正当性判定手段41は、記憶手段42に記憶されている復号化鍵に基づいて、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアを復号化できると、ソフトウェアが正当であると判定する。   The validity determination means 41 determines that the software is valid if it can decrypt the encrypted field device software received via the network based on the decryption key stored in the storage means 42. To do.

正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアが正常であるか否かを判定する。具体的には、正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアの形式が予め記憶手段42に記憶されているソフトウェアの仕様情報に基づいたものに一致すると、このソフトウェアは正常であると判定する。   The normality determination means 42 determines whether the software determined to be valid by the validity determination means 41 is normal. Specifically, the normality determination unit 42 determines that the software format determined to be valid by the validity determination unit 41 matches that based on the software specification information stored in the storage unit 42 in advance. The software is determined to be normal.

記憶手段43は、検証装置4として動作するためのプログラムやアプリケーションなどを記憶するハードディスク、RAM、ROMなどからなる。記憶手段43は、ホスト装置1が保持する暗号化鍵に対応した復号化鍵またはユーザが予め用意した暗号化鍵に対応した復号化鍵を記憶する。また記憶手段43は、FF−H1バス100を介して取得した(ダウンロードした)ソフトウェアを記憶する。   The storage unit 43 includes a hard disk, a RAM, a ROM, and the like that store programs and applications for operating as the verification device 4. The storage unit 43 stores a decryption key corresponding to the encryption key held by the host device 1 or a decryption key corresponding to an encryption key prepared in advance by the user. The storage unit 43 stores software acquired (downloaded) via the FF-H1 bus 100.

通信手段44は、FF−H1バス100を介してホスト機器1およびフィールド機器2、3または他の機器と通信するためのインタフェースの役割を担う。   The communication unit 44 plays a role of an interface for communicating with the host device 1 and the field devices 2, 3 or other devices via the FF-H1 bus 100.

ソフトウェア送信手段45は、通信手段44を制御して、正当であると判定されたソフトウェアを復号化された状態でフィールド機器2、3にFF−H1バス100を介して送信する。   The software transmission unit 45 controls the communication unit 44 to transmit the software determined to be valid to the field devices 2 and 3 via the FF-H1 bus 100 in a decrypted state.

図示しない演算制御手段は、各手段の動作を制御するCPU(Central Processing Unit)などからなるものでもよく、具体的には、演算制御手段は記憶手段43に格納されているOSなどを起動して、このOS上で記憶手段に格納されたプログラムを読み出して実行することにより検証装置4全体を制御し、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアをフィールドバスを介してフィールド機器に送信する。   The arithmetic control means (not shown) may be composed of a CPU (Central Processing Unit) that controls the operation of each means. Specifically, the arithmetic control means activates an OS or the like stored in the storage means 43. The verification device 4 is controlled by reading and executing the program stored in the storage means on the OS, and the validity of the encrypted field device software received via the network is ensured. Software to the field device via the fieldbus.

また演算制御手段は、通信手段44がホスト機器1から暗号化されたソフトウェアを受信すると正当性判定手段41を制御してこのソフトウェアの正当性を判定させる。演算制御手段は、判定の結果として正当性が担保されたソフトウェアをソフトウェア送信手段45を制御してフィールド機器2または3に送信させる。   In addition, when the communication unit 44 receives the encrypted software from the host device 1, the arithmetic control unit controls the validity determination unit 41 to determine the validity of the software. The arithmetic control unit controls the software transmission unit 45 to transmit the software whose validity is ensured as a result of the determination to the field device 2 or 3.

このような構成で本発明に係る検証装置およびこれを備えたフィールド機器ソフトウェア更新システムは、たとえば以下(1−1)〜(1−7)の動作を行なう。図2は図1の検証装置およびこれを備えたフィールド機器ソフトウェア更新システムの動作説明図であり、図2中(1−1)〜(1−7)は以下の動作説明と対応するものである。   With such a configuration, the verification apparatus according to the present invention and the field device software update system including the same perform the following operations (1-1) to (1-7), for example. FIG. 2 is an operation explanatory diagram of the verification device of FIG. 1 and a field device software update system provided with the verification device, and (1-1) to (1-7) in FIG. 2 correspond to the following operation descriptions. .

(1−1)ホスト機器1はソフトウェアを更新するターゲット機器(対象機器)となるフィールド機器のアドレスを検証装置4に通知するために、フィールド機器2のアドレス情報を含むデータ(以下、ターゲット機器情報という)を送信する。   (1-1) In order to notify the verification device 4 of the address of the field device that is the target device (target device) whose software is to be updated, the host device 1 includes data including address information of the field device 2 (hereinafter, target device information) Send).

(1−2)ホスト機器1は、記憶手段に記憶している暗号化鍵に基づき暗号化したフィールド機器2用のソフトウェアを検証装置4に送信する。   (1-2) The host device 1 transmits the software for the field device 2 encrypted based on the encryption key stored in the storage unit to the verification device 4.

なおホスト機器1は、暗号化したソフトウェアとともにターゲット機器情報を検証装置4に送信するものでもよいし、暗号化したソフトウェアおよびターゲット機器情報を送信するのであれば送信順((1−1)、(1−2))の先後は限定するものではない。   The host device 1 may transmit the target device information to the verification device 4 together with the encrypted software. If the encrypted software and the target device information are to be transmitted, the host device 1 may be transmitted in the order of transmission ((1-1), ( The process after 1-2)) is not limited.

(1−3)検証装置4は、ホスト機器1から暗号化されたソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段に記憶する。
具体的には検証装置4の演算制御手段はホスト機器1から受信した暗号化したソフトウェアを記憶手段に記憶する。
(1-3) The verification device 4 receives the encrypted software data from the host device 1 via the FF-H1 bus 100 and stores it in the storage unit.
Specifically, the arithmetic control unit of the verification device 4 stores the encrypted software received from the host device 1 in the storage unit.

(1−4)検証装置4の正当性判定手段41は、受信したデータを復号し、復号後のソフトウェアを検証する。作業者の意図する正しいソフトウェアと判定されれば、(1−5)の動作に移行する。正しくないと判定されれば、以降の処理は実行しない。
具体的には、検証装置4の正当性判定手段41は、記憶手段42に記憶されている復号化鍵に基づいて、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアを復号化できると、ソフトウェアが正当であると判定する。これにより、作業者が意図したソフトウェアを受信したことを把握できる。
(1-4) The validity determination means 41 of the verification device 4 decrypts the received data and verifies the decrypted software. If it is determined that the software is intended by the operator, the operation proceeds to (1-5). If it is determined to be incorrect, the subsequent processing is not executed.
Specifically, the validity determination unit 41 of the verification device 4 can decrypt the encrypted field device software received via the network based on the decryption key stored in the storage unit 42. And determine that the software is valid. As a result, it is possible to grasp that the software intended by the worker has been received.

(1−5)検証装置4のソフトウェア送信手段45は、検証装置4に送信されたソフトウェアを、ホスト機器1から通知されたターゲット機器情報に基づきこのソフトウェアのターゲットであるフィールド機器2に送信する。
具体的には、検証装置4のソフトウェア送信手段45は、通信手段44を制御して、正当性判定手段41により正当である(または正常判定手段42により正常である(後述))と判定されたソフトウェアを復号化された状態でターゲット機器であるフィールド機器2にFF−H1バス100を介して送信する。
また、検証装置4のソフトウェア送信手段45は、ソフトウェアに検証装置4のアドレスまたは検証装置固有IDを付加してターゲットであるフィールド機器に送信する。
(1-5) The software transmission unit 45 of the verification device 4 transmits the software transmitted to the verification device 4 to the field device 2 that is the target of this software based on the target device information notified from the host device 1.
Specifically, the software transmission unit 45 of the verification device 4 controls the communication unit 44 and is determined to be valid by the validity determination unit 41 (or normal by the normality determination unit 42 (described later)). The software is transmitted to the field device 2 that is the target device via the FF-H1 bus 100 in a decrypted state.
The software transmission unit 45 of the verification device 4 adds the address of the verification device 4 or the verification device unique ID to the software and transmits the software to the target field device.

(1−6)フィールド機器2は、アドレスまたは機器固有IDにより検証装置4を判別し、検証装置4から送信されたソフトウェアのみを受け付けて記憶手段に記憶する。この時、送信するソフトウェアは、暗号化されていないものである。
具体的には、フィールド機器2の演算制御手段は検証装置4からソフトウェアを受信すると、受信したデータに付加されているアドレスまたは機器固有IDが、記憶手段に記憶されている検証装置4のアドレスまたは検証装置4の機器固有IDに一致する場合は検証装置4から送信されたソフトウェアのみを受け付けて記憶手段に記憶する。
なおフィールド機器は、ソフトウェアを受信するときは検証装置4からのデータのみを受信するが、フィールド制御通信に係るデータ受信では他のフィールド機器からのデータも受け付ける。
(1-6) The field device 2 determines the verification device 4 based on the address or the device unique ID, receives only the software transmitted from the verification device 4, and stores it in the storage unit. At this time, the software to be transmitted is not encrypted.
Specifically, when the arithmetic control unit of the field device 2 receives the software from the verification device 4, the address or device unique ID added to the received data is the address of the verification device 4 stored in the storage unit or If it matches the device unique ID of the verification device 4, only the software transmitted from the verification device 4 is accepted and stored in the storage means.
The field device receives only data from the verification device 4 when receiving software, but also receives data from other field devices when receiving data related to field control communication.

(1−7)フィールド機器2は、ソフトウェアを全て受信して機器に保存し終わると、受信したソフトウェアで動作開始する。具体的にはフィールド機器2は、ダウンロード後に再起動し、プログラム記憶領域に格納された新規ソフトウェアを動作する。つまりフィールド機器2では、動作中のソフトウェアの書き換えが行われることになる。   (1-7) When the field device 2 receives all of the software and stores it in the device, the field device 2 starts to operate with the received software. Specifically, the field device 2 restarts after downloading and operates the new software stored in the program storage area. That is, in the field device 2, rewriting of operating software is performed.

なお本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、ホスト機器から受信したフィールド機器用のソフトウェアのうち、正当性が担保され、正常であるソフトウェアのみをターゲットであるフィールド機器に送信するものでもよい。   The verification device of the present invention and the field device software update system using the verification device transmit only the normal and correct software among the field device software received from the host device to the target field device. You may do it.

具体的には上述の(1−4)と(1−5)の動作処理の間に以下の動作(A)を行なうものでもよい。
(A)検証装置4の正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアが正常であるか否かを判定する。(作業者の意図する)正常なソフトウェアと判定されれば、(1−5)の動作に移行する。)正常なソフトウェアと判定されれば、以降の処理は実行しない。
具体的には正常判定手段42は、正当性判定手段41により正当であると判定されたソフトウェアの形式が予め記憶手段42に記憶されているソフトウェアの仕様情報に基づいたものに一致すると、このソフトウェアは正常であると判定する。
Specifically, the following operation (A) may be performed between the above-described operation processes (1-4) and (1-5).
(A) The normality determination means 42 of the verification device 4 determines whether or not the software determined to be valid by the validity determination means 41 is normal. If it is determined that the software is normal (intended by the operator), the operation proceeds to (1-5). ) If it is determined that the software is normal, the subsequent processing is not executed.
Specifically, the normality determination unit 42 determines that the software format determined to be valid by the validity determination unit 41 matches that based on the software specification information stored in the storage unit 42 in advance. Is determined to be normal.

また正常判定手段42は、ソフトウェア内の特定の場所に予め定められたデータがあると、このソフトウェアは正常であると判定するものでもよい。
たとえば検証装置4は、あらかじめユーザが定義した正常なソフトウェアとして判定するための基準となる情報(定義情報)を記憶手段に記憶し、正常判定手段42はこの定義情報に基づき、ユーザが定義した方法で、ターゲット機器に送信するソフトウェアをチェックするものでもよい。また検証装置4の正常判定手段42は、定義情報に基づきホスト機器1からの受信し復号化できたソフトウェア内の特定の場所にある特定のデータがあるかどうかをチェックして、ソフトウェア内の特定の場所に予め定められたデータがあると、このソフトウェアは正常であると判定する。これにより、本発明の検証装置4はユーザの定義情報から外れユーザの意図していないようなソフトウェアの更新を防ぐ(フィールド機器が検証済みのソフトウェアのみをダウンロードさせる)ことができる。
Further, the normality determination means 42 may determine that the software is normal when there is predetermined data at a specific location in the software.
For example, the verification device 4 stores information (definition information) serving as a reference for determining as normal software defined by the user in advance in the storage means, and the normality determination means 42 is a method defined by the user based on the definition information. Thus, the software to be transmitted to the target device may be checked. Further, the normality determination means 42 of the verification device 4 checks whether there is specific data in a specific location in the software received from the host device 1 and decrypted based on the definition information, and specifies in the software. If there is predetermined data at the location, this software is determined to be normal. As a result, the verification apparatus 4 of the present invention can prevent software updates that are out of the user definition information and are not intended by the user (only the software whose field device has been verified is downloaded).

さらに正常判定手段42は、暗号化されたソフトウェアに基づき算出したハッシュ値が、暗号化されたソフトウェアとともに受信したこのソフトウェアのハッシュ値と一致すると、このソフトウェアは正常であると判定するものでもよい。
たとえばホスト機器1がソフトウェアを暗号化する際にハッシュを計算しておき、暗号化データと共にハッシュ値を検証装置4に送信する。正常判定手段42は、これらのハッシュ値を照合して一致するソフトウェアを正常であるものとして判定する。これにより、本発明の検証装置4は通信路等でのデータ化け等の通信エラーをチェックでき、フィールド機器がデータ化け等を含むソフトウェアに更新することを防ぐことができる。
Further, the normality determination means 42 may determine that the software is normal when the hash value calculated based on the encrypted software matches the hash value of the software received together with the encrypted software.
For example, when the host device 1 encrypts software, a hash is calculated, and the hash value is transmitted to the verification device 4 together with the encrypted data. The normality determining means 42 collates these hash values and determines that the matching software is normal. As a result, the verification device 4 of the present invention can check communication errors such as garbled data on the communication path and the like, and can prevent the field device from being updated to software including garbled data.

このように、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置の正当性判定手段がネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、記憶手段に予め記憶される復号化鍵に基づいてソフトウェアを復号化できるとこのソフトウェアが正当であると判定し、検証装置のソフトウェア送信手段が正当であると判定されたソフトウェアを復号化された状態でフィールド機器にフィールドバスを介して送信することにより、作業者が意図しないソフトウェア更新を防ぐことができる。   As described above, the verification device of the present invention and the field device software update system using the same are stored in the storage unit among the encrypted field device software received by the verification unit of the verification device via the network. When the software can be decrypted based on the decryption key stored in advance, the software determines that the software is valid, and the field device is in a state where the software determined by the verification device software transmission means is decrypted. Can be transmitted via the fieldbus to prevent software updates unintended by the operator.

また、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、作業者が把握していない未確認機器がFF−H1バス100に参加する場合でも、未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる。図3は図1の検証装置とこれを用いたフィールド機器ソフトウェア更新システムの他の動作説明図であり、図3中(ケースA)〜(ケースC)のケースごとに以下の動作説明をする。   In addition, the verification device of the present invention and the field device software update system using the verification device update software that is not intended by the operator using the unconfirmed device even when an unconfirmed device that the worker does not know participates in the FF-H1 bus 100. Can be prevented. FIG. 3 is another operation explanatory diagram of the verification apparatus of FIG. 1 and the field device software update system using the verification apparatus. The following operation will be described for each of cases (Case A) to (Case C) in FIG.

(ケースA):未確認機器からフィールド機器2(ターゲット)へソフトウェアを送信する(SoftDLを実行する)場合
フィールド機器2は、検証装置4からのみ、ソフトウェアのダウンロード(受信)を受け付ける設定になっている。この場合フィールド機器2では、ソフトウェアの送信元がアドレス等から未確認機器であると判別できるため、フィールド機器2はダウンロード要求(受信要求)を拒否する。
(Case A): When transmitting software from the unconfirmed device to the field device 2 (target) (executing SoftDL) The field device 2 is set to accept software download (reception) only from the verification device 4. . In this case, since the field device 2 can determine that the software transmission source is an unconfirmed device from the address or the like, the field device 2 rejects the download request (reception request).

具体的には、フィールド機器2の演算制御手段は未確認機器からソフトウェアを受信すると、受信したデータに付加されているアドレスまたは機器固有IDが、記憶手段に記憶されている検証装置4のアドレスまたは検証装置4の機器固有IDに一致しないので未確認機器から送信されたソフトウェアのダウンロード要求(受信要求)を拒否する。   Specifically, when the arithmetic control unit of the field device 2 receives the software from the unconfirmed device, the address or the device unique ID added to the received data is the address or verification of the verification device 4 stored in the storage unit Since it does not match the device unique ID of the device 4, the software download request (reception request) transmitted from the unconfirmed device is rejected.

(ケースB):ホスト機器1からフィールド機器2(ターゲット)へソフトウェアを送信する(SoftDLを実行する)場合
フィールド機器2は検証装置4以外からのソフトウェアのダウンロード要求(受信)は受け付けないため、ケースAと同様に、フィールド機器2はホスト機器1からのソフトウェアのダウンロード要求(受信要求)を拒否する。
(Case B): When transmitting software (execution of SoftDL) from the host device 1 to the field device 2 (target) Since the field device 2 does not accept a software download request (reception) from other than the verification device 4, the case Similarly to A, the field device 2 rejects the software download request (reception request) from the host device 1.

具体的には、フィールド機器2の演算制御手段はホスト機器1からソフトウェアを受信すると、受信したデータに付加されているアドレスまたは機器固有IDが、記憶手段に記憶されている検証装置4のアドレスまたは検証装置4の機器固有IDに一致しないのでホスト機器1から送信されたソフトウェアのダウンロード要求(受信要求)を拒否する。   Specifically, when the arithmetic control unit of the field device 2 receives software from the host device 1, the address or device unique ID added to the received data is the address of the verification device 4 stored in the storage unit or Since it does not match the device unique ID of the verification device 4, the software download request (reception request) transmitted from the host device 1 is rejected.

(ケースC):未確認機器から検証装置4を介してフィールド機器2(ターゲット)に送信(SoftDLを実行)するソフトウェアが正常でない場合
未確認機器は、検証装置4にデータ送信を実行する。検証装置4は、未確認機器からのソフトウェアを受信する。検証装置4は、全てのソフトウェアを受信し終えると、正当性判定手段41によりソフトウェアを復号化して送信の正当性の検証を実行する。
正当であると判定されると(正当性が担保されると)、検証装置4の正常判定手段42は、ダウンロードされたソフトウェアの正常判定を実行する。このソフトウェアは、検証装置4の正常判定手段41により正常ではないと判定されるので、検証がパスせず、上述の(1−5)のソフトウェア送信処理に移行しないことになる。
(Case C): When software transmitted from the unconfirmed device to the field device 2 (target) via the verification device 4 (executes SoftDL) is not normal The unconfirmed device performs data transmission to the verification device 4. The verification device 4 receives software from an unconfirmed device. When the verification apparatus 4 has received all the software, the validity determination means 41 decrypts the software and executes verification of the transmission validity.
When it is determined to be legitimate (when legitimacy is ensured), the normality determination means 42 of the verification device 4 performs normality determination of the downloaded software. Since this software is determined not to be normal by the normality determination means 41 of the verification device 4, the verification does not pass and the process does not shift to the above-described (1-5) software transmission processing.

このように、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、作業者が把握していない未確認機器がFF−H1バス100に参加する場合でも、未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる。   As described above, the verification device of the present invention and the field device software update system using the verification device are not intended by the operator using the unconfirmed device even when the unconfirmed device that the worker does not know participates in the FF-H1 bus 100. Software update can be prevented.

この結果、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置の正当性判定手段がネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、記憶手段に予め記憶される復号化鍵に基づいてソフトウェアを復号化できるとこのソフトウェアが正当であると判定し、検証装置のソフトウェア送信手段が正当であると判定されたソフトウェアを復号化された状態でフィールド機器にフィールドバスを介して送信することにより、正当性が担保され、正常なソフトウェアのみを更新することができる。
このためフィールド機器がソフトウェアの更新を原因とする異常な動作をすることがなくなるため、制御系全体(FF−H1バス100)の安定性を向上させることができる。
As a result, the verification device of the present invention and the field device software update system using the verification device previously store in the storage means among the encrypted field device software received by the validity determination unit of the verification device via the network. If the software can be decrypted based on the stored decryption key, it is determined that the software is valid, and the software determined by the verification device software transmission means is decrypted to the field device in a decrypted state. By transmitting via the fieldbus, the correctness is ensured and only normal software can be updated.
For this reason, the field device does not perform an abnormal operation caused by software update, so that the stability of the entire control system (FF-H1 bus 100) can be improved.

また、本発明に係る検証装置はフィールド機器ソフトウェア更新システムに係る専用装置であるため、検証装置内部のプログラムの入れ替えを容易に行うことができる。これにより、検証装置が受け持つ機能(ソフトウェアの検証機能)の機能向上が容易に行える点で有効である。   In addition, since the verification apparatus according to the present invention is a dedicated apparatus related to the field device software update system, it is possible to easily replace programs in the verification apparatus. This is effective in that the function of the verification apparatus (software verification function) can be easily improved.

また、本発明に係る検証装置は、ホスト機器から受信し正当性が担保されたソフトウェアをターゲットとなるフィールド機器に送信するため、従来技術のようにホスト機器が直接フィールド機器にソフトウェアが行うことがなくなる。このため本発明によれば、複数台のフィールド機器にソフトウェアを送信する場合でも、ホスト機器は検証装置への1回分のソフトウェアの送信処理だけでよく、ホスト機器の負荷を下げることができる点で有効である。   In addition, since the verification apparatus according to the present invention transmits the software received from the host device and guaranteed to the target field device, the host device can directly perform the software on the field device as in the prior art. Disappear. Therefore, according to the present invention, even when software is transmitted to a plurality of field devices, the host device only needs to send the software to the verification device once, and the load on the host device can be reduced. It is valid.

<その他の実施例1>
なお、本発明の検証装置は、検証処理が通信処理の影響(処理遅延など)を受けないようにするため、通信用の演算制御手段(通信用CPU)と検証用の演算制御手段(検証用CPU)の2個備えるものであってもよい。
<Other Example 1>
Note that the verification apparatus of the present invention prevents the verification process from being affected by the communication process (such as processing delay), so that the communication calculation control means (communication CPU) and the verification calculation control means (verification) CPU) may be provided.

この場合、通信用CPUは、通信手段44、ソフトウェア送信手段45を制御して、FF−H1バス100を介しホスト機器1・フィールド機器2、3との通信を制御するCPUである。具体的には通信用CPUは、ホスト機器1から検証装置4に送信されたソフトウェアの受信と、検証済みのソフトウェアをターゲット機器であるフィールド機器2または3へ送信する処理を各手段を制御して実行する。
また、検証用CPUは、正当性判定手段41と正常判定手段42を制御して記憶手段43にダウンロードして記憶したソフトウェアの検証を実行する。
In this case, the communication CPU is a CPU that controls the communication unit 44 and the software transmission unit 45 to control communication with the host device 1 and the field devices 2 and 3 via the FF-H1 bus 100. Specifically, the communication CPU controls each means to receive the software transmitted from the host device 1 to the verification device 4 and to transmit the verified software to the field device 2 or 3 that is the target device. Run.
The verification CPU controls the validity determination means 41 and the normality determination means 42 to execute verification of the software downloaded and stored in the storage means 43.

<その他の実施例2>
なお、本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、ホスト機器1が暗号化したソフトウェアを検証装置4に送信するとあるが、特にこれに限定するものではなく、別途作業者が管理・保持している暗号化鍵に基づき別途端末装置などで暗号化されたターゲット機器(フィールド機器2または3)のソフトウェアを、検証装置4に図示しない入力手段(専用インタフェースなど)を介して入力するものでもよい。この方法によればFF−H1バス100による通信路の障害による影響を排除できるため、より確実に正常なソフトウェアを検証装置に入力できる点で有効である。
<Other Example 2>
The verification device and the field device software update system using the same according to the present invention transmit the software encrypted by the host device 1 to the verification device 4. However, the present invention is not particularly limited to this, and a separate operator The software of the target device (field device 2 or 3) encrypted separately by the terminal device or the like based on the encryption key managed and held by the device is input to the verification device 4 via an input means (such as a dedicated interface) not shown. It may be input. According to this method, it is possible to eliminate the influence of the communication path failure caused by the FF-H1 bus 100, which is effective in that normal software can be more reliably input to the verification device.

<その他の実施例3>
なお、本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、暗号化鍵と復号化鍵を用いてソフトウェアの正当性を検証しているが、たとえば秘密鍵暗号方式を導入することで、実現するものでもよい。
具体的には、あらかじめ検証装置4の記憶手段およびホスト機器1の記憶手段は共通の暗号化鍵(秘密鍵)を記憶する。
<Other Example 3>
The verification apparatus according to the present invention and the field device software update system using the verification apparatus verify the validity of the software using the encryption key and the decryption key. For example, a secret key cryptosystem is introduced. It may be realized.
Specifically, the storage unit of the verification device 4 and the storage unit of the host device 1 store a common encryption key (secret key) in advance.

ホスト機器1はこの共通の暗号化鍵に基づきフィールド機器2または3用のソフトウェアを暗号化して送信する。検証装置4の正当性判定手段41は、ホスト機器1からの暗号化されたソフトウェアを共通の暗号化鍵を用いて復号化し正当性の判定を行なう。   The host device 1 encrypts and transmits the software for the field device 2 or 3 based on the common encryption key. The validity determination means 41 of the verification device 4 decrypts the encrypted software from the host device 1 using a common encryption key and determines the validity.

検証装置4およびホスト機器1に記憶されている共通の暗号化鍵は公開されていないため、未確認機器はこの暗号化鍵に基づきソフトウェアを暗号化できない。よって、第三者が未確認機器を使用して何らかのデータを検証装置4に対して送信しても、検証装置4は送信されたデータが暗号化されていないため、作業者が意図しないデータ送信であるとして正当性はないものと判定する。
このため、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる。
Since the common encryption key stored in the verification device 4 and the host device 1 is not disclosed, the unconfirmed device cannot encrypt the software based on this encryption key. Therefore, even if a third party transmits some data to the verification device 4 using an unconfirmed device, the verification device 4 is not encrypted because the transmitted data is not encrypted. It is determined that there is no justification.
For this reason, the verification apparatus of this invention and the field apparatus software update system using the same can prevent the software update which the operator does not intend by the unconfirmed apparatus.

<その他の実施例4>
また本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置4に、インターネットなどの汎用的なネットワークに接続可能なネットワークインタフェースを追加することにより、インターネットサイトを用いたソフトウェアの検証を可能とするものでもよい。
<Other Example 4>
The verification device according to the present invention and the field device software update system using the verification device add a network interface that can be connected to a general-purpose network such as the Internet to the verification device 4, thereby It may be one that enables verification.

図4は図1に係る検証装置に別のネットワークインタフェースを付加した場合のフィールド機器ソフトウェア更新システムの構成図であり図1と共通する部分には同一の符号を付けて適宜説明を省略する。   FIG. 4 is a configuration diagram of the field device software update system when another network interface is added to the verification apparatus according to FIG. 1, and the same reference numerals are given to portions common to FIG. 1 and description thereof is omitted as appropriate.

図4において、検証装置4はネットワークインタフェース46を備え、ネットワークインタフェース46を介してインターネット等の汎用的なネットワーク200に接続し、ネットワーク200を介して検証情報管理サーバと接続する。   In FIG. 4, the verification device 4 includes a network interface 46, is connected to a general-purpose network 200 such as the Internet via the network interface 46, and is connected to a verification information management server via the network 200.

検証情報管理サーバは、予め計算された更新予定のソフトウェアを検証するための検証情報(CRC、ハッシュなど)を記憶する記憶手段と、ネットワークを介して入力されたソフトウェアの情報(ID、リビジョンなど)に応じ検証情報を含むデータを図示しない通信手段を介して検証装置4に送信する演算制御手段を備える。   The verification information management server stores storage information for verifying pre-calculated software to be updated (CRC, hash, etc.) and software information (ID, revision, etc.) input via the network And a calculation control means for transmitting the data including the verification information to the verification device 4 via a communication means (not shown).

なお検証情報管理サーバの演算制御手段は、これらの検証情報をソフトウェアの情報(ID、リビジョンなど)から生成できる一意のアドレスによりアクセス可能であって、このアドレスに応じた検証情報をネットワークを介して提供するインターネットサイトを提供するものでもよい。   The calculation control means of the verification information management server can access these verification information by a unique address that can be generated from software information (ID, revision, etc.), and the verification information corresponding to this address can be sent via the network. It may provide an Internet site to be provided.

検証装置4の正常判定手段42は、ホスト機器1からのソフトウェアの情報(ID、リビジョンなど)を含むデータをネットワークを介して検証情報管理サーバに送信し、検証情報管理サーバから取得したソフトウェアの検証情報に基づきソフトウェアの正常・異常を判定する。   The normality determination means 42 of the verification device 4 transmits data including software information (ID, revision, etc.) from the host device 1 to the verification information management server via the network, and verifies the software acquired from the verification information management server. Determine whether software is normal or abnormal based on the information.

検証装置4の正常判定手段42はソフトウェアの情報(ID、リビジョンなど)からアドレス等を生成し、通信手段を制御してこのアドレスに基づきネットワークを介してソフトウェアの検証情報を取得してソフトウェアの正常・異常を判定するものでもよい。   The normality determination means 42 of the verification device 4 generates an address or the like from software information (ID, revision, etc.), controls the communication means, acquires software verification information via the network based on this address, and normalizes the software -What determines an abnormality may be used.

このような構成で、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、ネットワークを介してソフトウェアの検証情報を取得してソフトウェアの正常・異常を判定する。たとえば以下の(2−1)〜(2−6)の動作を行なう。   With such a configuration, the verification apparatus of the present invention and the field device software update system using the same acquire software verification information via the network and determine whether the software is normal or abnormal. For example, the following operations (2-1) to (2-6) are performed.

(2−1)ホスト機器1は、記憶手段に記憶している暗号化鍵に基づき暗号化したフィールド機器2用のソフトウェアを検証装置4に送信する。
(2−2)検証装置4は、ホスト機器1から暗号化されたソフトウェアのデータをFF−H1バス100を介して受信し、記憶手段に記憶する。
(2-1) The host device 1 transmits the software for the field device 2 encrypted based on the encryption key stored in the storage unit to the verification device 4.
(2-2) The verification device 4 receives the encrypted software data from the host device 1 via the FF-H1 bus 100 and stores it in the storage means.

(2−3)検証装置4の正当性判定手段41は、受信したデータを復号し、復号後のソフトウェアを検証する。作業者の意図する正しいソフトウェアと判定されれば、(3−4)の動作に移行する。正しくないと判定されれば、以降の処理は実行しない。   (2-3) The validity determination unit 41 of the verification device 4 decrypts the received data and verifies the decrypted software. If it is determined that the software is intended by the operator, the operation proceeds to (3-4). If it is determined to be incorrect, the subsequent processing is not executed.

(2−4)認証装置4の正常判定手段42は、受信したソフトウェアの情報(ID、リビジョンなど)を含むデータをネットワークを介し検証情報管理サーバに送信する。   (2-4) The normality determination unit 42 of the authentication device 4 transmits data including the received software information (ID, revision, etc.) to the verification information management server via the network.

(2−5)検証情報管理サーバは、記憶手段に記憶されているネットワークを介して受信したソフトウェアの情報(ID、リビジョン)と一致するソフトウェアの検証情報を含むデータを図示しない通信手段を介して検証装置4に送信する。
なお、認証装置4は、受信したソフトウェアの情報(ID、リビジョンなど)から、インターネットサイトのアドレスを生成し、この生成したアドレスに基づき検証情報管理サーバが提供するインターネットサイトにアクセスし、そこに掲載してある検証情報を取得するものでもよい。
(2-5) The verification information management server sends data including software verification information that matches the software information (ID, revision) received via the network stored in the storage unit via a communication unit (not shown). It transmits to the verification device 4.
The authentication device 4 generates an Internet site address from the received software information (ID, revision, etc.), accesses the Internet site provided by the verification information management server based on the generated address, and posts it there. The verification information may be acquired.

(2−6)認証装置4の正常判定手段42は、インターネットサイトから取得したソフトウェアの固有情報と、ホスト機器1から受信したソフトウェアの固有情報を照合し、一致すれば検証にパスしたと判断できる。   (2-6) The normality determination means 42 of the authentication device 4 collates the unique information of the software acquired from the Internet site with the unique information of the software received from the host device 1, and can determine that the verification has passed if they match. .

この結果、本発明の検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、ネットワークを介してソフトウェアの検証情報を取得してソフトウェアの正常・異常を判定できるので未確認機器による作業者が意図しないソフトウェア更新を防ぐことができる点で有効である。   As a result, the verification apparatus of the present invention and the field device software update system using the same can acquire software verification information via the network and determine whether the software is normal or abnormal. It is effective in that the update can be prevented.

<その他の実施例5>
また本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置4が通信手段の他に、赤外線通信などにより外部と通信可能な外部通信インタフェースも構成要素とするものでもよく、この場合FF−H1バスを介して検証装置4にソフトウェアを送信する処理を不要とするものでもよい。この場合、フィールド機器ソフトウェア更新システムはたとえば次のような動作を行なう。
<Other Example 5>
In addition, the verification device according to the present invention and the field device software update system using the verification device 4 may include an external communication interface that allows the verification device 4 to communicate with the outside by infrared communication or the like in addition to the communication means. In this case, processing for transmitting software to the verification device 4 via the FF-H1 bus may be unnecessary. In this case, the field device software update system performs, for example, the following operation.

特に図示しない端末装置は、別途作業者が管理・保持している暗号化鍵に基づき別途端末装置などで暗号化されたターゲット機器(フィールド機器2または3)のソフトウェアを、ネットワークおよび検証装置4の外部通信インタフェース(専用インタフェースなど)を介して入力する。   In particular, the terminal device (not shown) uses the software of the target device (field device 2 or 3) encrypted separately by the terminal device or the like based on the encryption key separately managed and held by the operator, on the network and the verification device 4. Input via an external communication interface (such as a dedicated interface).

検証装置4の演算制御手段は、外部通信インタフェースを介して受信した暗号化されたソフトウェアを含むデータを記憶手段に記憶する。   The arithmetic control means of the verification device 4 stores the data including the encrypted software received via the external communication interface in the storage means.

認証装置4の正当性判定手段41および正常判定手段42は、入力されたソフトウェアを復号・検証して、検証にパスすれば、指定したフィールド機器(ターゲット機器)に対してソフトウェアを送信する。   The validity determination unit 41 and the normality determination unit 42 of the authentication device 4 decrypt and verify the input software, and if the verification is passed, the software is transmitted to the designated field device (target device).

この結果、データを復号できれば、作業者が意図してフィールド機器に送信するソフトウェアであることが確認でき、検証により正しく動作するソフトウェアであることが確認できるため、安全性が確保できる点で有効である。   As a result, if the data can be decoded, it can be confirmed that the software is intended to be transmitted to the field device by the operator, and it can be confirmed that the software operates correctly by the verification, which is effective in ensuring safety. is there.

<その他の実施例6>
また本発明に係る検証装置およびこれを用いたフィールド機器ソフトウェア更新システムは、検証装置4が、内部に、仮想的なソフトウェア実行環境を用意することで、検証装置4にダウンロードしたソフトウェアを一時的に実行するものでもよい。
<Other Example 6>
In addition, the verification device according to the present invention and the field device software update system using the verification device temporarily prepare the software downloaded to the verification device 4 by providing a virtual software execution environment inside the verification device 4. It may be executed.

具体的には、検証装置4の演算制御手段は、ホスト機器1などから受信し正当性判定手段41、正常判定手段42により復号・検証して検証にパスしたソフトウェアを実行するものでもよい。   Specifically, the arithmetic control unit of the verification device 4 may execute software received from the host device 1 or the like, decrypted and verified by the validity determination unit 41 and the normality determination unit 42, and passed the verification.

この場合、認証装置4は、仮想的なフィールド機器として動作してFF−H1バス100に接続されているフィールド機器と通信する。   In this case, the authentication device 4 operates as a virtual field device and communicates with the field device connected to the FF-H1 bus 100.

なおホスト機器1が検証装置4にソフトウェアを実行を要求する実行要求信号をFF−H1バス100を介して送信し、検証装置4がこの実行要求信号を受信するとソフトウェアを実行するものでもよい。   The host device 1 may transmit an execution request signal for requesting the verification device 4 to execute the software via the FF-H1 bus 100, and the verification device 4 may execute the software when receiving the execution request signal.

これにより、FF−H1バス100にソフトウェアを動作させたいフィールド機器が接続していなくても、仮想的にその機器を動作させることが可能である。   Thereby, even if a field device for operating software is not connected to the FF-H1 bus 100, it is possible to operate the device virtually.

以上説明したように、本発明の検証装置とこれを用いたフィールド機器ソフトウェア更新システムは、ネットワークを介して受信した暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアをフィールドバスを介して前記フィールド機器に送信する検証装置であって、記憶手段に予め記憶される復号化鍵と、この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることにより、正当性が担保され、正常なソフトウェアのみを更新することができるので、フィールド機器がソフトウェアの更新を原因とする異常な動作をすることがなくなり、制御系全体(FF−H1バス)の安定性向上に貢献できる。   As described above, the verification device according to the present invention and the field device software update system using the verification device field the software for which the validity is ensured among the encrypted field device software received via the network. A verification device that transmits to the field device via a bus, and that the software is valid if the software can be decrypted based on the decryption key stored in advance in the storage means and the decryption key Validity is ensured by including a legitimacy judging means for judging and software sending means for sending the software judged to be legitimate via the fieldbus to the field device in a decrypted state, Only normal software can be updated, so field devices It is not possible to abnormal operation caused by updates, it can contribute to improve the stability of the overall control system (FF-H1 bus).

(付記項1)
前記正常判定手段が、前記ソフトウェア内の特定の場所に予め定められたデータがあると前記ソフトウェアは正常であると判定することを特徴とする請求項3記載の検証装置。
(付記項2)
前記正常判定手段が、前記暗号化されたソフトウェアに基づき算出したハッシュ値が前記暗号化されたソフトウェアとともに受信したこのソフトウェアのハッシュ値と一致すると前記ソフトウェアは正常であると判定することを特徴とする請求項3記載の検証装置。
(Additional item 1)
4. The verification apparatus according to claim 3, wherein the normality determining unit determines that the software is normal when there is predetermined data at a specific location in the software.
(Appendix 2)
The normality determining means determines that the software is normal when the hash value calculated based on the encrypted software matches the hash value of the software received together with the encrypted software. The verification device according to claim 3.

1 ホスト機器
2、3 フィールド機器
4 検証装置
41 正当性判定手段
42 正常判定手段
43 記憶手段
44 通信手段
45 ソフトウェア送信手段
46 ネットワークインタフェース
50 未確認機器
100 FF−H1バス
DESCRIPTION OF SYMBOLS 1 Host apparatus 2, 3 Field apparatus 4 Verification apparatus 41 Validity determination means 42 Normality determination means 43 Storage means 44 Communication means 45 Software transmission means 46 Network interface 50 Unconfirmed apparatus 100 FF-H1 bus

Claims (6)

ネットワークを介して受信し暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアをフィールドバスを介して前記フィールド機器に送信する検証装置であって、
復号化鍵を予め記憶する記憶手段と、
この復号化鍵に基づいて前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備え
前記検証装置は前記フィールドバスに接続され、
前記正当性判定手段は、前記フィールドバスを介して送信されてきた前記ソフトウェアの正当性を判定することを特徴とする検証装置。
Among the software for field devices received and encrypted via the network, the verification device transmits the software with the ensured validity to the field devices via the field bus,
Storage means for storing a decryption key in advance;
If the software can be decrypted based on the decryption key, legitimacy judging means for judging that the software is legitimate,
Software transmission means for transmitting the software determined to be valid to the field device in a decrypted state via the field bus ;
The verification device is connected to the fieldbus;
The verification apparatus characterized in that the validity determination means determines the validity of the software transmitted via the fieldbus .
フィールドバスを介して受信したホスト機器により暗号化されたフィールド機器用のソフトウェアのうち、正当性が担保されたソフトウェアを前記フィールドバスを介して前記フィールド機器に送信する検証装置であって、
前記検証装置は前記フィールドバスに接続され、
前記検証装置に向けて、暗号化された前記ソフトウェアを前記フィールドバスを介して送信するホスト機器が保持する暗号化鍵に対応した復号化鍵を予め記憶する記憶手段と、
この復号化鍵に基づいて、前記ホスト機器から送信されてきた前記ソフトウェアを復号化できると、前記ソフトウェアが正当であると判定する正当性判定手段と、
前記正当であると判定されたソフトウェアを復号化された状態で前記フィールド機器に前記フィールドバスを介して送信するソフトウェア送信手段を備えることを特徴とする検証装置。
Among the software for field devices encrypted by the host device received via the field bus, the verification device transmits the guaranteed software to the field device via the field bus,
The verification device is connected to the fieldbus;
Storage means for storing in advance a decryption key corresponding to an encryption key held by a host device that transmits the encrypted software to the verification device via the fieldbus ;
Based on this decryption key, if the software transmitted from the host device can be decrypted, legitimacy judging means for judging that the software is legitimate,
A verification apparatus comprising: a software transmission unit configured to transmit the software determined to be valid to the field device via the field bus in a decrypted state.
前記正当であると判定されたソフトウェアが正常であるか否かを判定する正常判定手段を備え、
前記ソフトウェア送信手段は、前記正常判定手段により正常であると判定されたソフトウェアを前記フィールド機器に前記フィールドバスを介して送信することを特徴とする請求項1または2記載の検証装置。
A normal determination means for determining whether the software determined to be valid is normal;
3. The verification apparatus according to claim 1, wherein the software transmission unit transmits the software determined to be normal by the normality determination unit to the field device via the field bus.
前記正常判定手段が、
前記正当であると判定されたソフトウェアの形式が予め記憶されているソフトウェアの仕様情報に基づいたものであると、このソフトウェアは正常であると判定することを特徴とする請求項3記載の検証装置。
The normality determining means is
4. The verification apparatus according to claim 3, wherein if the format of the software determined to be valid is based on software specification information stored in advance, the software is determined to be normal. .
暗号化されたソフトウェアを受信する外部通信インタフェースを備えることを特徴とする請求項1〜4いずれかに記載の検証装置。   The verification apparatus according to claim 1, further comprising an external communication interface that receives the encrypted software. 請求項1〜5いずれかに記載の検証装置と、
前記フィールドバスを介してソフトウェアを取得し、実行するソフトウェアを更新するフィールド機器と、
前記フィールドバスを介して前記フィールド機器および前記検証装置と接続され、前記ソフトウェアを暗号化して前記検証装置に送信するホスト機器と、
を備えたことを特徴とするフィールド機器ソフトウェア更新システム。
A verification device according to any one of claims 1 to 5;
A field device for updating software to retrieve software via the field bus, to perform,
A host device connected to the field device and the verification device via the field bus, and encrypting and transmitting the software to the verification device;
A field device software update system characterized by comprising:
JP2009240521A 2009-10-19 2009-10-19 Verification device and field device software update system using the same Expired - Fee Related JP5472708B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009240521A JP5472708B2 (en) 2009-10-19 2009-10-19 Verification device and field device software update system using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009240521A JP5472708B2 (en) 2009-10-19 2009-10-19 Verification device and field device software update system using the same

Publications (2)

Publication Number Publication Date
JP2011086240A JP2011086240A (en) 2011-04-28
JP5472708B2 true JP5472708B2 (en) 2014-04-16

Family

ID=44079118

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009240521A Expired - Fee Related JP5472708B2 (en) 2009-10-19 2009-10-19 Verification device and field device software update system using the same

Country Status (1)

Country Link
JP (1) JP5472708B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9349011B2 (en) * 2012-05-16 2016-05-24 Fisher-Rosemount Systems, Inc. Methods and apparatus to identify a degradation of integrity of a process control system
CN104871098B (en) * 2012-12-20 2017-06-16 三菱电机株式会社 Control system, program dispensing device, certificate server, program protection method, program sending method
CN104950699A (en) * 2014-07-24 2015-09-30 佛山市云米电器科技有限公司 Water purifying device

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4411953B2 (en) * 2003-12-09 2010-02-10 横河電機株式会社 Memory update system for field devices
JP2006079415A (en) * 2004-09-10 2006-03-23 Konica Minolta Business Technologies Inc Program update system and program update method
JP4054802B2 (en) * 2004-12-20 2008-03-05 キヤノン株式会社 Data processing apparatus and program updating method thereof

Also Published As

Publication number Publication date
JP2011086240A (en) 2011-04-28

Similar Documents

Publication Publication Date Title
CN107924443B (en) Firmware upgrading method and system for process control device
US10051059B2 (en) Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity
US11271757B2 (en) Monitoring device, monitoring system, information processing device, monitoring method, and program
US20190349346A1 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
CN108989042B (en) Method for authorizing an update of an automation field device
US20140173688A1 (en) Method and System for Providing Device-Specific Operator Data for an Automation Device in an Automation Installation
US10353830B2 (en) Method and memory module for security-protected write processes and/or read processes on the memory module
GB2530028A (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
US11516024B2 (en) Semiconductor device, update data-providing method, update data-receiving method, and program
WO2015056010A2 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
US11283632B2 (en) Integrated circuit, control device, information distribution method, and information distribution system
JP5472708B2 (en) Verification device and field device software update system using the same
JP5951162B1 (en) Control device, composite unit device, update determination program, and program update method
JP2012003311A (en) Field instrument system
EP3920063B1 (en) Safety system and maintenance method
US10365908B2 (en) Secure reprogramming of smart devices to alter device functionality based on license rights
US11916903B2 (en) Method for setting up authorization verification for a first device
US20240414172A1 (en) System and method for managing data of an automation field device in a secure manner against manipulation
WO2013147732A1 (en) Programmable logic controller having embedded dynamic generation of encryption keys
US20190349348A1 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
US20220085982A1 (en) Safety system and maintenance method
US12177208B2 (en) Transmission of security settings between a first and a second automation engineering field device
US20220075749A1 (en) Systems and methods for dynamic configuration of external devices
CN116601571A (en) Honeypot for connection between edge devices and cloud-based service platforms
US20210124846A1 (en) Device, System and Method for Verifying an Integrity Status of a Device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120706

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130902

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140122

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees