控制装置、综合生产系统及其控制方法与流程

本发明涉及控制装置、综合生产系统及其控制方法。

本申请针对2015年12月15日申请的日本专利申请第2015-244048号要求优先权，并在这里引用其内容。

背景技术：

在车间或工厂等(下面，在将它们统称的情况下，简称为“车间”)中构建有综合生产系统，实现了高级的自动化作业。在这样的综合生产系统中，为了一边确保安全性一边执行高级的控制，具有分散控制系统(DCS：Distributed Control System)等控制系统、及安全仪表系统(SIS：Safety Instrumented System)等安全系统。分散控制系统是执行在车间实现的工业过程的控制的过程控制系统。

在上述的分散控制系统中，经由通信单元而连接有现场仪器(测定器、操作器)和对它们进行控制的控制器。控制器对由现场仪器测定出的测定数据进行收集，与收集到的测定数据相对应地对现场仪器进行操作(控制)。由此，分散控制系统执行在工业过程中的各种状态量的控制。上述的安全仪表系统在紧急时使车间可靠地停止在安全的状态。由此，安全仪表系统事先防止人身事故、环境污染，并且实现贵重的设备的保护。在车间发生了异常事态的情况下，安全仪表系统承担着作为“守护安全的最后壁垒”的作用。

可以想到，上述的综合生产系统可能会受到来自外部的网络攻击。因此，在综合生产系统中，对分散控制系统及安全仪表系统分别单独地、或者对综合生产系统整体地实施受到网络攻击的情况下的对策(安全对策)。例如，进行用于防范从外部向综合生产系统的入侵的防火墙的设置、或者计算机杀毒软件(检测病毒感染并进行病毒的去除的软件)的安装等。分散控制系统及安全仪表系统的构成核心的控制器通过使用独立的操作系统，从而提高对网络攻击的耐受性。

综合生产系统被划分为多个区域，上述的安全对策基本上针对每个区域进行实施。例如，在依照由国际标准规格ISA-95(IEC/ISO62264)规定的层次构造而构建的综合生产系统中，以层次为基准而划分为多个区域。上述的安全对策针对每个层次进行实施。例如，在日本特开2000-267957号公报及日本特开2010-081610号公报中，公开了一种用于维持控制系统的网络安全的现有技术。在日本特开2013-161432号公报中，公开了一种将从上述的国际标准规格ISA-95的层次构造学到的树视图进行显示的现有技术。

然而，按照上面所述，针对来自外部的网络攻击的安全对策基本上针对每个区域进行实施，因此在发生了网络攻击的情况下的安全对策在每个区域单独地执行。因此，在现有的综合生产系统中，在各区域的安全对策不足以应对网络攻击的情况下，网络攻击会波及到安全仪表系统所属的区域。因此，存在下述问题，即，最终的防御措施会依赖于在安全仪表系统所属的区域实施的安全对策。

安全仪表系统通常不进行与上位的系统之间的通信，但需要与分散控制系统进行通信。另一方面，在分散控制系统要求进行与上位系统之间的通信。于是作为结果，安全仪表系统也与上位系统连接，因此存在网络攻击有可能会波及到安全仪表系统所属的区域这样的问题。

按照上面所述，在各区域的安全对策不足以应对网络攻击的情况下，网络攻击会波及到安全仪表系统所属的区域。因此，有可能发生安全仪表系统(或者，进行在安全仪表系统中使用的程序的创建的工程设计工作站)的控制权被剥夺的事态。在从综合生产系统内部发生网络攻击的情况(例如，感染了病毒的仪器被接入到综合生产系统内的情况等)下，也有可能发生安全仪表系统等的控制权被剥夺的事态。如果发生了这样的事态而导致构成安全仪表系统的核心的控制器的程序被改写，则会丧失作为“守护安全的最后壁垒”的作用。因此，需要避免发生上述的事态。

技术实现要素：

一种控制装置，其是在车间构建的综合生产系统的控制装置，该控制装置具有防御单元，该防御单元基于对针对所述综合生产系统的来自内部及外部中的至少一方的网络攻击进行检测的检测单元的检测结果，执行对本装置的至少一部分功能进行限制的对策。

参照附图，并通过在下面所述的实施方式的详细的说明，本发明的更进一步的特征以及方式会变得清楚。

附图说明

图1是表示本发明的第1实施方式涉及的综合生产系统的整体结构的框图。

图2是表示本发明的第1实施方式中的控制装置的要部结构的框图。

图3是表示本发明的第1实施方式中的设定列表的一个例子的图。

图4A是表示本发明的第1实施方式中的攻击对象列表的一个例子的图。

图4B是表示本发明的第1实施方式中的对策列表的一个例子的图。

图5是表示本发明的第1实施方式中的设定列表的另一个例子的图。

图6A是表示本发明的第1实施方式中的攻击对象列表的另一个例子的图。

图6B是表示本发明的第1实施方式中的对策列表的另一个例子的图。

图7是表示本发明的第1实施方式涉及的作为控制装置的安全控制器内的防御部的动作的流程图。

图8是表示本发明的第2实施方式涉及的综合生产系统的整体结构的框图。

图9A是表示本发明的其他实施方式涉及的综合生产系统的框图。

图9B是表示本发明的其他实施方式涉及的综合生产系统的框图。

具体实施方式

参照优选的实施方式对本发明的实施方式进行说明。本领域技术人员能够利用本发明的例示而实现本实施方式的众多的替代方法，本发明不限定于此处所要说明的优选的本实施方式。

本发明的一个方式提供一种能够事先防止安全仪表系统的来自内部及外部中的至少一方的网络攻击，保证安全仪表系统的健康性的控制装置、综合生产系统及其控制方法。

下面，参照附图对本发明的实施方式涉及的控制装置、综合生产系统及其控制方法详细地进行说明。

[第1实施方式]

[综合生产系统]

图1是表示本发明的第1实施方式涉及的综合生产系统的整体结构的框图。按照图1所示，本实施方式的综合生产系统1具有现场仪器10、分散控制系统(DCS)20、安全仪表系统(SIS)30、制造系统40、经营系统50、以及检测装置60(检测单元)。综合生产系统1执行车间的自动化作业，并且执行车间的维持管理等。

综合生产系统1是依照由国际标准规格ISA-95(IEC/ISO 62264)规定的层次构造而构建的。具体地说，在综合生产系统1中，分散控制系统20及安全仪表系统30属于第2层，制造系统40属于第3层，经营系统50属于第4层。在这些分散控制系统20、安全仪表系统30、制造系统40以及经营系统50的基础上，经由由网络仪器NE1～NE3等构成的网络N还连接有检测装置60。

为了安全对策考虑，综合生产系统1以上述的层次为基准而划分为多个区域。具体地说，在综合生产系统1中，分散控制系统20及安全仪表系统30被划分至区域Z1，制造系统40被划分至区域Z2，经营系统50被划分至区域Z3。

作为上述的车间，除了化学等的工业车间之外，还具有：对气田或油田等钻井、其周边进行管理控制的车间；对水力、火力、核能等的发电进行管理控制的车间；对太阳光、风力等的环境发电进行管理控制的车间；以及对给排水或水坝等进行管理控制的车间等。

现场仪器10设置于车间的现场，是在分散控制系统20的控制之下执行工业过程的控制所需的测定、操作的仪器。具体地说，现场仪器10为例如压力计或流量计或温度传感器或气体传感器或振动传感器等传感器仪器、流量控制阀或开闭阀等阀仪器、风扇或电动机等致动器仪器、对车间内的状况或对象物进行拍摄的照相机或录像机等拍摄仪器、收集车间内的异响等的麦克风或者发出警报声等的扬声器等音响仪器、输出各仪器的位置信息的位置检测仪器、及其他仪器。

现场仪器10与分散控制系统20或者安全仪表系统30进行通信。例如，现场仪器10在与分散控制系统20及安全仪表系统30之间进行经由网络、通信总线(省略图示)的有线通信、或者依照ISA100.11a、WirelessHART(注册商标)等工业用无线通信标准的无线通信。

分散控制系统20具有控制用控制器21、操作监视终端22、以及工程设计终端23。分散控制系统20对由现场仪器10测定出的测定数据进行收集，与收集到的测定数据相对应地对现场仪器10进行操作(控制)，由此执行各种状态量的控制。由分散控制系统20控制的状态量是在工业过程中的各种状态量。例如，状态量为压力、温度、流量等。

控制用控制器21构成分散控制系统20的核心。控制用控制器21执行来自现场仪器10的测定数据的收集、针对现场仪器10的操作(控制)。操作监视终端22由例如车间的运转员操作而用于车间的运转状态的监视。工程设计终端23是用于创建在控制用控制器21及操作监视终端22中执行的程序的终端。工程设计终端23无需始终与网络连接。假设工程设计终端23在分散控制系统20和安全仪表系统30中共用。

安全仪表系统30具有安全控制器31a、31b(控制装置)以及工程设计终端23。安全仪表系统30是如下系统，即，在紧急时使车间可靠地停止在安全的状态，从而事先防止人身事故、环境污染，并且实现贵重的设备的保护。在车间发生了异常事态的情况下，该安全仪表系统承担着作为“守护安全的最后壁垒”的作用。

安全控制器31a、31b构成安全仪表系统30的核心。安全控制器31a、31b与现场仪器10、或者其他安全控制器(省略图示)进行通信，取得所需的数据，判断在车间是否发生了异常事态。安全控制器31a、31b在判断为在车间发生了异常事态的情况下，执行用于实现安全控制的安全控制逻辑。工程设计终端23也是用于创建在安全控制器31a、31b中执行的程序的终端。

在本实施方式中，假设工程设计终端23在分散控制系统20和安全仪表系统30中共用，但也可以在分散控制系统20及安全仪表系统30分别设置与工程设计终端23相当的专用的终端。在本实施方式中，对在安全仪表系统30设置2台安全控制器31a、31b的例子进行说明。然而，在安全仪表系统30设置的安全控制器的台数也可以为1台，也可以为大于或等于3台。对安全控制器31a、31b的详情进行后述。

制造系统40是为了有效地进行产品在车间的制造而构建的系统。例如，制造系统40为制造执行系统(MES：Manufacturing Execution System)、车间信息管理系统(PIMS：Plant Information Management System)、或者仪器管理系统(PAM：Plant Asset Management)等。作为该制造系统40，也可以仅构建制造执行系统、车间信息管理系统以及仪器管理系统中的任一者，也可以构建大于或等于任意两者。

经营系统50是为了进行企业中的经营或者营业等业务而构建的系统。例如，经营系统50为基干业务系统(ERP：Enterprise Resource Planning)等。

被划分至区域Z1的操作监视终端22、工程设计终端23以及检测装置60经由网络仪器NE1而与被划分至区域Z2的制造系统40连接。被划分至区域Z2的制造系统40经由网络仪器NE2而与被划分至区域Z3的经营系统50连接。被划分至区域Z3的经营系统50经由网络仪器NE3而与未图示的其他网络(例如，互联网)连接。

即，上述的网络仪器NE1设置于区域Z1与区域Z2之间。上述的网络仪器NE2设置于区域Z2与区域Z3之间。上述的网络仪器NE3设置于区域Z3与未图示的其他网络(例如，互联网)之间。网络仪器NE1～NE3为防火墙、路由器、开关等。

检测装置60设置于前面所述的区域Z1～Z3中的每个区域。检测装置60对针对本区域的来自内部及外部中的至少一方的网络攻击进行检测。作为针对本区域的来自外部的网络攻击，可以列举向综合生产系统1的非法入侵、在综合生产系统1中使用的程序的窜改、在综合生产系统1中使用的数据的骗取或破坏、使综合生产系统1陷入功能故障的行为、及其他行为。作为针对本区域的来自内部的网络攻击，可以列举例如由于感染了病毒的USB(Universal Serial Bus)设备的接入使用而引起的上述的程序的窜改等。

检测装置60是根据区域Z1～Z3各自的设计思路而进行安装的。例如，检测装置60能够灵活地利用市场上贩卖的杀毒软件(检测病毒感染并进行病毒的去除的软件)、或者入侵检测系统等。在本实施方式中，为了容易理解，对作为“装置”而安装检测装置60的例子进行说明，但也可以通过软件而实现检测装置60的功能。

在区域Z1～Z3分别设置的检测装置60与网络N连接。在区域Z1～Z3分别设置的检测装置60在检测到网络攻击的情况下，将该检测结果经由网络N而发送至安全控制器31a、31b。在本实施方式中，为了简化说明，假设检测装置60的检测结果发送至安全控制器31a、31b。然而，检测装置60的检测结果也可以在发送至安全控制器31a、31b的基础上，还发送至控制用控制器21。

<控制装置>

图2是表示本发明的第1实施方式涉及的控制装置的要部结构的框图。作为本实施方式涉及的控制装置而使用的安全控制器31a、31b为相同的结构。因此，在这里对安全控制器31a进行说明，省略对安全控制器31b的说明。

按照图2所示，安全控制器31a具有安全控制部SC和防御部DF(控制单元)。安全控制部SC实现安全控制器31a的原本的功能。安全控制部SC与外部的仪器(例如，现场仪器10、安全控制器31b等)进行通信，在车间发生了异常的情况下，该安全控制部SC执行用于实现安全控制的安全控制逻辑。

防御部DF具有设定部71和执行部72。防御部DF基于从检测装置60得到的检测结果，执行用于防范来自内部及外部中的至少一方的网络攻击的安全对策。具体地说，防御部DF执行如下对策，即，控制安全控制部SC，对安全控制器31a的一部分或全部的功能进行限制。例如，防御部DF执行下述限制，即，对在安全控制器31a中使用的应用程序的变更进行限制，对从外部输入的控制命令的执行进行限制。

设定部71基于检测装置60的检测结果而确定网络攻击的对象及类别等，设定与所确定的内容相对应的安全对策。设定部71使用将攻击对象列表和对策列表相关联的设定列表LS而设定上述的安全对策。攻击对象列表表示网络攻击的对象及类别等的一览。对策列表表示与网络攻击的对象及类别等相对应地应该执行的安全对策的一览。执行部72执行由设定部71所设定的安全对策。防御部DF的功能既可以通过硬件而实现，也可以通过软件而实现。

图3是表示本发明的第1实施方式中的设定列表的一个例子的图。图4A是表示攻击对象列表的图。图4B是表示对策列表的图。按照图3、图4A以及图4B所示，设定列表LS是将攻击对象列表的“攻击对象编号”(攻击对象No.)、对策列表的“对策编号”(对策No.)、以及“对象仪器”相关联的列表。上述的“对象仪器”是成为执行安全对策的对象的仪器。

按照图4A所示，攻击对象列表是将“攻击对象编号”(攻击对象No.)、“区域”、“仪器”、“等级”、以及“类型”相关联的列表。该攻击对象列表是为了确定在哪个区域的哪个仪器受到了怎样的攻击而使用的列表。上述的“攻击对象编号”是为了区别对综合生产系统1进行的各种网络攻击而分配的编号。上述的“区域”是用于确定受到网络攻击的区域的信息。

上述的“仪器”是用于确定受到网络攻击的仪器的信息。作为该“仪器”，可以列举例如个人计算机(PC)、控制器、开关、路由器、防火墙等。上述的“等级”是用于确定对仪器的哪个部分进行了网络攻击的信息。作为该“等级”，可以列举操作系统(OS)、网络、硬件、应用程序等。上述的“类型”是用于确定网络攻击的类别的信息。作为该“类型”，可以列举例如病毒、DoS攻击(Denial of Serviceattack)等。

按照图4B所示，对策列表是将“对策编号”(对策No.)和“动作”相关联的列表。上述的“对策编号”是为了区别在综合生产系统1执行的各种安全对策而分配的编号。上述的“动作”是对在受到网络攻击的情况下针对网络攻击应该执行的安全对策进行了规定的信息。作为该“动作”，可以列举例如在安全控制器31a、31b中使用的应用程序的变更的限制、上述应用程序的变更的禁止、从外部输入的控制命令的执行的限制、该控制命令的废弃、全部通信功能的停止、车间停工等。

例如，在图3所示的设定列表LS的第1～4行，针对攻击对象编号“A1”～“A4”，分别关联有对策编号“B1”，而未关联有对象仪器。通过采取这样的关联，从而在发生了针对属于区域Z3的仪器(防火墙、开关、PC)的网络攻击的情况下，在安全控制器31a、31b中，仅进行向事件日志的记录以及向系统管理者的通知，而不执行对一部分或者全部的功能进行限制的对策。

例如，在图3所示的设定列表LS的第5～7行，针对攻击对象编号“A5”～“A7”，分别关联有对策编号“B2&B4”，且关联有对象仪器“ENG23、CNT31a、31b”。通过采取这样的关联，从而在发生了针对属于区域Z2的仪器(防火墙、开关、PC、控制器)的网络攻击的情况下，在工程设计终端(ENG)23及安全控制器(CNT)31a、31b中，执行对应用程序的变更进行限制、且对从外部输入的控制命令的执行进行限制的对策。

例如，在图3所示的设定列表LS的第8、10～12行，针对攻击对象编号“A8”、“A10”～“A12”，分别关联有对策编号“B3&B5”，且关联有对象仪器“ENG23、CNT31a、31b”。通过采取这样的关联，从而在发生了针对属于区域Z1的操作监视终端(HMI)22、安全控制器(CNT)31a、31b、以及控制用控制器21的网络攻击的情况下，在工程设计终端(ENG)23及安全控制器(CNT)31a、31b中，执行将应用程序的变更禁止、且将从外部输入的控制命令废弃的对策。

例如，在图3所示的设定列表LS的第9行，针对攻击对象编号“A9”，关联有对策编号“B6”，且关联有对象仪器“ENG23、CNT31a、31b”。通过采取这样的关联，从而在发生了针对属于区域Z1的工程设计终端(ENG)23的网络攻击的情况下，在工程设计终端(ENG)23及安全控制器(CNT)31a、31b中，执行使全部通信功能停止的对策。

图5是表示本发明的第1实施方式中的设定列表的另一个例子的图。图6A是表示攻击对象列表的另一个例子的图。图6B是表示对策列表的另一个例子的图。图5所示的设定列表LS、图6A所示的攻击对象列表、以及图6B所示的对策列表与图3、图4A以及图4B所示的列表相比进行了简化。图5所示的设定列表LS、图6A所示的攻击对象列表、以及图6B所示的对策列表是在检测到网络攻击的情况下，为了管理者判断对网络攻击的应对而使用的。

例如，在图5所示的设定列表LS的第1、2行，针对攻击对象编号“A21”、“A22”，分别关联有对策编号“B21”，而未关联有对象仪器。通过采取这样的关联，从而在发生了针对属于区域Z2、Z3的任意仪器的网络攻击的情况下，在安全控制器31a、31b中，仅进行向事件日志的记录以及向系统管理者的通知(画面显示)，而不执行对一部分或者全部的功能进行限制的对策。

例如，在图5所示的设定列表LS的第3行，针对攻击对象编号“A23”，关联有对策编号“B22”，且关联有对象仪器“ENG23、CNT31a、31b”。通过采取这样的关联，从而在发生了针对属于区域Z1的操作监视终端(HMI)22及安全控制器(CNT)31a、31b的网络攻击的情况下，在工程设计终端(ENG)23及安全控制器(CNT)31a、31b中，执行对应用程序的变更进行限制的对策。

例如，在图5所示的设定列表LS的第4行，针对攻击对象编号“A24”，关联有对策编号“B23”，且关联有对象仪器“ENG23、CNT31a、31b”。通过采取这样的关联，从而在发生了针对属于区域Z1的工程设计终端(ENG)23的网络攻击的情况下，在工程设计终端(ENG)23及安全控制器(CNT)31a、31b中，执行对应用程序的变更进行限制、且对从外部输入的控制命令的执行进行限制的对策。

下面，对上述结构中的综合生产系统1的动作进行说明。综合生产系统1的动作涉及多个方面，但在下面，主要说明由检测装置60及安全控制器31a、31b进行的动作(检测网络攻击、并进行防御的动作)。图7是表示本发明的第1实施方式涉及的作为控制装置的安全控制器内的防御部的动作的流程图。图7所示的流程图的处理是以例如预先规定的固定的周期而执行的。

如果开始图7所示的流程图的处理，则首先，在安全控制器31a、31b设置的防御部DF的设定部71(参照图2)对从检测装置60得到的检测结果进行读取(步骤S11)、对该检测结果进行解析(步骤S12)。接下来，设定部71基于解析的结果而判断有无针对综合生产系统1的网络攻击(步骤S13)。在设定部71判断为没有针对综合生产系统1的网络攻击的情况(步骤S13的判断结果为“NO”的情况)下，图7所示的一系列的处理结束。

与之相对地，在设定部71判断为存在针对综合生产系统1的网络攻击的情况(步骤S13的判断结果为“YES”的情况)下，设定部71根据在步骤S12执行的解析的结果，确定网络攻击的对象及类别等(步骤S14)。如果设定部71确定了网络攻击的对象及类别等，则设定部71使用设定列表LS而设定与所确定的内容相对应的安全对策(步骤S15)。如果由设定部71设定了安全对策，则设定部71将表示所设定的安全对策的信息输出至执行部72。执行部72执行由设定部71所设定的安全对策(步骤S16)。

例如，假设发生了针对在属于区域Z3的经营系统50中使用的PC的网络攻击，该PC感染了病毒。于是，由属于区域Z3的检测装置60检测到PC的病毒感染。该检测结果被在安全控制器31a、31b设置的防御部DF的设定部71读取(步骤S11)，进行解析(步骤S12)。于是，图7所示的步骤S13的判断结果成为“YES”。因此，设定部71在步骤S14确定为由于网络攻击而导致属于区域Z3的PC感染了病毒(攻击对象编号“A4”)。

如果确定了网络攻击的对象及类别等，则在安全控制器31a、31b设置的防御部DF的设定部71根据图3所示的设定列表LS的第4行，基于与攻击对象编号“A4”相关联的对策编号“B1”，设定进行向事件日志的记录及向系统管理者的通知的安全对策(步骤S15)。然后，执行部72执行由设定部71所设定的安全对策，并且实施向事件日志的记录及向系统管理者的通知(步骤S16)。

例如，假设发生了针对属于区域Z1的工程设计终端23的网络攻击。于是，由属于区域Z1的检测装置60检测到针对工程设计终端23的网络攻击。该检测结果被在安全控制器31a、31b设置的防御部DF的设定部71读取(步骤S11)，进行解析(步骤S12)。于是，图7所示的步骤S13的判断结果成为“YES”。因此，设定部71在步骤S14确定为由于网络攻击而发生了针对属于区域Z1的工程设计终端23的网络攻击(攻击对象编号“A9”)。

如果确定了网络攻击的对象及类别等，则设定部71根据图3所示的设定列表LS的第9行，基于与攻击对象编号“A9”相关联的对策编号“B6”及对象仪器“ENG23、CNT31a、31b”，设定使工程设计终端23及安全控制器31a、31b的全部通信功能停止的安全对策(步骤S15)。然后，执行部72执行由在安全控制器31a、31b设置的防御部DF的设定部71所设定的安全对策，使工程设计终端23及安全控制器31a、31b的全部通信功能停止(步骤S16)。

例如在工程设计终端23使用感染了病毒的USB设备而导致工程设计终端23感染了病毒，通过进行以上的处理，工程设计终端23及安全控制器31a、31b也会停止全部通信功能。由此，能够事先防止针对安全控制器31b、31b的网络攻击，能够保证安全控制器31b、31b的健康性。因此，不会丧失作为“守护安全的最后壁垒”的作用。

综上所述，在本实施方式中，设置对来自外部或者内部的网络攻击进行检测的检测装置60。另外，基于检测装置60的检测结果，对安全控制器31a、31b及工程设计终端23的功能进行限制。因此，能够事先防止针对安全控制器31b、31b的网络攻击，能够保证安全控制器31b、31b的健康性。另外，通过设定与网络攻击的威胁相对应的应对策略，从而能够有效地防范网络攻击，而不会意外地使车间停止。

[第2实施方式]

图8是表示本发明的第2实施方式涉及的综合生产系统的整体结构的框图。在图8中，对与图1所示的结构相同的结构(或者，与图1所示的结构相当的结构)标注有相同的标号。按照图8所示，本实施方式的综合生产系统2是与图1所示的综合生产系统1大致相同的结构。但是，在本实施方式的综合生产系统2中，检测装置60与安全控制器31a、31b经由与网络N不同的通信线L1(通信线)而连接，这点与图1所示的综合生产系统1不同。

通信线L1是例如用于传输触点信号的传输线、以及用于传输模拟信号的传输线。通信线L1将由检测装置60检测出的检测结果发送至安全控制器31a、31b。通信线L1既可以将检测装置60与安全控制器31a(或者安全控制器31b)以1对1的方式进行连接，也可以将多个检测装置60与安全控制器31a、31b以网络的方式进行连接。

这样，利用通信线L1将检测装置60与安全控制器31a、31b进行连接，是为了能够更可靠地防范来自外部或者内部的网络攻击。即，可以想到，如果受到网络攻击，则有可能变得无法进行经由网络N的通信。假设，即使无法进行经由网络N的通信，但如果能够进行经由通信线L1的通信，则也能够将检测装置60的检测结果发送至安全控制器31a、31b，能够在安全控制器31a、31b实施与检测装置60的检测结果相对应的安全对策。因此，能够更可靠地防范来自外部或者内部的网络攻击。

在本实施方式的综合生产系统2中，检测装置60的检测结果经由通信线L1而发送至安全控制器31a、31b，除去这点以外与第1实施方式的综合生产系统1相同。因此，本实施方式的综合生产系统2的动作基本上与第1实施方式的综合生产系统1相同，所以省略这里的详细的说明。

综上所述，在本实施方式中，与第1实施方式相同地，也设置对来自外部或者内部的网络攻击进行检测的检测装置60。另外，基于检测装置60的检测结果，对安全控制器31a、31b及工程设计终端23的功能进行限制。因此，能够事先防止针对安全控制器31b、31b的网络攻击，能够保证安全控制器31b、31b的健康性。另外，通过设定与网络攻击的威胁相对应的应对策略，从而能够有效地防范网络攻击，而不会意外地使车间停止。

[其他实施方式]

图9A及图9B是表示本发明的其他实施方式涉及的综合生产系统的框图。在图9A及图9B中，对与图1、图8所示的结构相同的结构(或者，与图1、图8所示的结构相当的结构)标注有相同的标号。在图9A及图9B中，省略了现场仪器10及网络仪器NE1～NE3等，简化了图示。

在图9A所示的实施方式的综合生产系统中，制造系统40和经营系统50被划分至同1个区域Z20，在该区域Z20设置有1个检测装置60。第1、第2实施方式的综合生产系统1、2以层次为基准而划分为多个区域Z1～Z3，但也可以如本实施方式这样，将多个层次划分至1个区域。

图9B所示的实施方式的综合生产系统具有多个分散控制系统20及安全仪表系统30。在该方式的综合生产系统中，在区域Z11、Z12分别划分有一个分散控制系统20、安全仪表系统30以及检测装置60。在图9B所示的方式的综合生产系统中，例如，在区域Z2、Z3设置的检测装置60的检测结果分别输入至在区域Z11、Z12设置的安全仪表系统30的安全控制器(省略图示)。在区域Z11设置的检测装置60的检测结果输入至在区域Z11设置的安全仪表系统30的安全控制器(省略图示)。在区域Z12设置的检测装置60的检测结果输入至在区域Z12设置的安全仪表系统30的安全控制器(省略图示)。

以上，对本发明的实施方式涉及的综合生产系统进行了说明，但本发明不限制于上述的实施方式，在本发明的范围内能够自由地进行变更。例如，在上述的实施方式中对下述例子进行了说明，即，为了安全对策考虑，综合生产系统以由国际标准规格ISA-95(IEC/ISO 62264)规定的层次为基准而划分为多个区域Z1～Z3。然而，综合生产系统未必需要依照上述的规格而构建。按照图9A及图9B所例示的那样，用于安全对策的区域能够任意地进行设定，能够任意地设定将构成综合生产系统的结构划分至哪个区域。

在上述的实施方式中，为了容易理解，对防御针对安全仪表系统30的安全控制器31b、31b的网络攻击的例子进行了说明。然而，也可以在安全仪表系统30的基础上，还考虑对分散控制系统20的影响而执行安全对策。在执行这样的安全对策的情况下，在分散控制系统20的控制用控制器21设置与安全仪表系统30的安全控制器31a、31b所具有的防御部DF相同的结构。另外，检测装置60的检测结果还输入至控制用控制器21。并且，在发生了网络攻击的情况下，控制用控制器21执行对至少一部分功能进行限制的对策。

按照使用图3、图5所说明的那样，设定列表LS的内容能够任意地进行设定。然而，优选设定为如下内容，即，随着接近至例如承担着作为“守护安全的最后壁垒”的作用的安全仪表系统30所属的区域Z1，对策的等级逐渐地上升。通过进行这样的设定，从而能够更有效地防范网络攻击，而不会意外地使车间停止。

在本说明书中表示“前、后、上、下、右、左、垂直、水平、下、横、行以及列”等方向的词语，提及了本发明的装置中的这些方向。因此，本发明的说明书中的这些词语在本发明的装置中应该进行相对地解释。

“构成”这个词语为了执行本发明的功能而被构成、或者为了表示装置的结构、要素、部分而被使用。

并且，在权利要求书中，作为“方法加功能”而表达表现的词语，是指应该包含为了执行本发明所包含的功能而能够利用的、应该包含所有构造在内的词语。

“单元”这个词被用于表示结构要素、单元、硬件、或表示为了执行希望的功能而编程后的软件的一部分。硬件的典型例是设备、电路，但不限于此。

以上，对本发明的优选实施例进行了说明，但本发明不限定于这些实施例。在不脱离于本发明的宗旨的范围内，能够进行结构的添加、省略、置换、以及其他变更。本发明不被所述的说明所限定，只被添附的权利要求书所限定。