具体实施方式

实施方式1.

以下，参照附图对本实施方式详细进行说明。

＊＊＊背景的说明＊＊＊

决定了与现场总线的功能安全相关的要求事项的国际标准即IEC(InternationalElectrotechnical Commission：国际电工技术委员会)61784-3针对安全通信，要求对数据损坏等通信错误采取对策，使得残存错误率小于按照每个安全度水准(SIL(SafetyIntegrity Level))而决定的基准值。损坏是指在数据中包含比特错误。率是与通信数据关联的值，是指每单位时间的累积值。数据损坏是指通信数据损坏或者包含比特错误的PDU(Protocol Data Unit：协议数据单元)。

图1是安全通信的示意图。

安全通信是本图所示那样的通过安全层和黑色通道而进行的通信，该黑色通道是不保证满足由标准等要求的安全度水准等安全性的网络。

安全层是收发数据的终端等进行通信处理的层。

安全通信装置具有安全层。另外，安全通信装置也可以与安全通信装置以外的终端等进行通信。

黑色通道是位于安全层之下的普通通信用的通信阶层(layer)，由非安全层和总线或网络等构成。

另外，为了方便，将安全层与黑色通道的接口部分、即位于黑色通道侧且进行通信错误检查的层称为非安全层。

层或阶层(layer)对应于将与通信相关的功能进行了分类的情况下的、实现各个分类的功能的软件及硬件。

安全通信也可以采用主机/从机方式。在采用主机/从机方式的情况下，安全主机侧与安全从机侧成为终点(end point)。

在从安全层向黑色通道发送了安全PDU的情况下，在黑色通道中，黑色通道PDU被转送。

将安全层向黑色通道发送的1个单位的数据称为安全PDU。将非安全层向黑色通道发送的1个单位的数据称为黑色通道PDU。

图2是示出安全PDU与黑色通道PDU之间的关系的图。

如本图所示，安全PDU在黑色通道PDU中被封装化。

另外，通过CRC来检查本图所示的安全PDU和黑色通道PDU。但是，也可以不通过CRC检查安全PDU和黑色通道PDU，在该情况下，安全PDU和黑色通道PDU不具有CRC用的检查数据。安全报头是安全PDU的报头，安全CRC是用于检查安全PDU的检查用数据。

安全层在数据的发送时，为了检测通信错误，将CRC(Cyclic Redundancy Check：循环冗余校验)用的检查数据等保护信息附加于数据而生成安全PDU，在数据的接收时，利用安全PDU的保护信息来检测通信错误。

非安全层在安全层发送数据的情况下，为了检测通信错误，将CRC(CyclicRedundancy Check：循环冗余校验)用的检查数据等保护信息附加于安全PDU而生成黑色通道PDU，非安全层在安全层接收数据的情况下，利用黑色通道PDU的保护信息来检测通信错误。

在安全通信的设计时，作为具体例，为了确保安全性，存在如下需求，即要求保证满足用于安全通信的黑色通道中的比特错误率小于10＾-4等要求。比特错误率是对残存错误率造成影响的参数之一，因此，在保证了比特错误率较低的情况下，保证了残存错误率较低。

比特错误率是基于Binary Symmetric Channel(二进制对称信道)模型的每1个比特的损坏概率。在该模型中，所有比特产生比特错误的概率与比特值无关，是相等的。

针对该需求，作为背景技术，公开了如下的技术：在安全通信的实施中与数据损坏相关的测定值超过阈值的情况下，开始进行将损失抑制到最小限度的故障安全动作。作为该测定值，启示了使用数据损坏的检测次数。与数据损坏相关的测定值是与数据损坏关联的能够测定的值。

以下，在仅记载为阈值的情况下，是指与转移到安全状态相关的阈值。安全状态是安全通信装置进行故障安全动作等考虑了安全性的动作的状态。

用于安全通信的黑色通道在大多情况下是在非安全层中进行有无数据损坏的检查和废弃检测到错误的分组的、使用Ethernet(注册商标)或串行总线等的现场网络。在这样的情况下，包含比特错误的安全PDU大多在配送到安全层之前被废弃，因此，安全层中的数据损坏的检测次数与实际情况相比变少。

因此，在安全层采用了背景技术的情况下，当比特错误率超过要求的上限值时，安全层中的数据损坏的检测次数有时不超过阈值，因此，存在不开始故障安全动作的风险。

即，背景技术在黑色通道具有错误检测功能的情况下，无法保证比特错误率满足要求。

作为针对该问题的对策，不基于安全层而基于黑色通道中的数据损坏的检测次数来设定阈值。但是，黑色通道通常与安全层不同，未进行故障安全设计。因此，存在黑色通道中的测定值未必可靠这样的问题。

作为另一个对策，考虑根据由安全层发送的安全PDU的数量与由安全层接收且未检测到数据损坏的安全PDU的数量之间的差分，求出包含黑色通道中的数据损坏在内的数据损坏的检测次数。

在该对策中，虽然与黑色通道中的测定值相关的可靠性并不成为问题，但是，不仅数据损坏包含在检测次数中，在黑色通道中丢失的安全PDU也包含在检测次数中，因此，产生过度发生故障安全动作而导致系统的可用性下降的问题。

根据以上问题，仅在背景技术中，在使用具有错误检测功能的黑色通道进行安全通信的情况下，无法保证比特错误率满足要求。

于是，在黑色通道具有错误检测功能的情况下，需要基于安全层中的数据损坏的检测次数，设定保证比特错误率满足要求的适当阈值。

＊＊＊解决对策的说明＊＊＊

举出如下方法作为解决对策，该方法在与安全层中的数据损坏相关的测定值超过阈值的情况下转移到安全状态这一点与背景技术相同，通过除了使用与安全层中的错误检测功能相关的参数之外还使用与黑色通道中的错误检测功能相关的参数，从而根据黑色通道中的错误检测功能，将用于转移到安全状态的阈值设定为适当值。

为了进行比较，针对在安全层直接应用了背景技术时的阈值设定进行说明。在背景技术中，启示了如下方法：基于安全PDU的长度和安全层的CRC多项式，求出与针对比特错误率的要求值对应的安全PDU的检测率。

这里，检测率是指包含检测到数据损坏的比特错误在内的安全PDU相对于包含比特错误的全部安全PDU的比例。未检测率是指包含未检测到数据损坏的比特错误在内的安全PDU相对于包含比特错误的全部安全PDU的比例。

关于针对比特错误率的要求值，

在要求比特错误率等为某一值以下的情况下，是指该某一值，

在要求比特错误率等小于某一值的情况下，是指该某一值。

此外，以下，使用要求值这样的用语来表现基于针对比特错误率的要求值而计算出的值。

图3是示出针对安全PDU的检测率的假想例的表。

在本图的分类栏中，在“无损坏”和“有损坏”之后用百分比表记的数字分别是根据比特错误率求出的、安全PDU不包含比特错误的概率和安全PDU包含比特错误的概率。作为具体例，1个安全PDU的大小为100bit。

在本图的检查结果栏中，在“检测”和“未检测”之后用百分比表记的数字分别是安全层中的检测率和未检测率。

在本例中，直接应用了背景技术的安全层由于安全PDU的总数中的0.999％被检测为数据损坏，因此，基于0.999％来设定阈值。在与数据损坏相关的测定值超过该阈值的情况下，推测比特错误率不满足要求，因此，安全通信装置使故障安全动作开始。

针对应用了解决对策时的设定阈值的方法进行说明。

在解决对策中，考虑黑色通道中的错误检测，求出如下的检测率，并设定阈值，该检测率是最终配送到安全层的安全PDU在安全层中的检测率、并且是与针对比特错误率的要求值对应的检测率。

图4是示出针对安全PDU的检测率的假想例的表。

在本图的检查结果栏的非安全层栏中，在“检测”和“未检测”之后用百分比表记的数字分别是非安全层中的检测率和未检测率。

在该例子中，在非安全层中，包含比特错误的安全PDU整体的99％(整体的0.99％)被检测到并被废弃，包含比特错误的安全PDU整体的1％(整体的0.01％)被配送到安全层。安全层中的检测率不是原始例的0.999％，而是0.0099％。在本解决对策中，基于0.0099％来设定阈值。

在上述例子中，简单地例示出非安全层和安全层中的检测率。实际上，非安全层中的检测率与安全层中的检测率存在下述那样的数学关系。之后叙述的安全层中的数据损坏的检测率的求出方法。

·非安全层和安全层中的检测率根据PDU的长度及所使用的多项式等的参数来决定。因此，在这些参数变化的情况下，检测率发生变化。

·安全层中的检测率不仅根据安全层中的参数发生变化，还根据非安全层中的参数发生变化。即，安全层中的检测率不单纯是非安全层中的未检测率与安全层单体中的检测率之积。

＊＊＊结构的说明＊＊＊

图5是本实施方式的安全通信装置的硬件结构图。

如本图所示，安全通信装置由普通的计算机构成。

也可以不使用本实施方式的安全通信装置实现基于主机/从机方式的安全通信系统。但是，为了方便说明，针对通过本实施方式的安全通信装置实现了基于主机/从机方式的安全通信系统的情况进行说明。

另外，安全通信装置这样的用语也是安全主机10和安全从机20的统称。

本实施方式的安全通信系统由1个以上的安全主机10和1个以上的安全从机20构成。它们之中的1个安全主机10和1个安全从机20生成1对1的安全连接(用于安全通信的逻辑连接)，进行安全通信。

安全主机10和安全从机20通过现场网络502而连接，经由现场网络502进行通信。

在未使用本实施方式的安全通信装置而实现基于主机/从机方式的安全通信系统的情况下，安全通信装置的动作及结构除了关于与安全从机20的协作的部分之外，与安全主机10相同。

安全主机10具备CPU(Central Processing Unit：中央处理单元)101、存储器102、现场通信接口104、以及将它们连接的总线105。CPU101通过执行在存储器102上加载的作为软件的安全通信程序，经由现场通信接口104而与相对应的安全从机20进行安全通信。

安全层的功能由安全通信程序实现。

CPU101经由总线105(信号线)而与其他硬件连接，对这些其他硬件进行控制。

CPU101是执行安全主机程序120及OS(Operating System：操作系统)等的处理装置。处理装置也有时被称为IC(Integrated Circuit：集成电路)，作为具体例，CPU101是CPU、DSP(Digital Signal Processor：数字信号处理器)、GPU(Graphics ProcessingUnit：图形处理单元)。CPU101读出并执行存储在存储器102中的程序。

本图的安全主机10仅具备1个CPU101，但安全主机10及安全从机20也可以具备代替CPU101的多个处理器。这多个处理器分担安全通信程序的执行等。

存储器102是暂时存储数据的存储装置，作为被用作CPU101的作业区域的主存储器发挥功能。作为具体例，存储器102是SRAM(Static Random Access Memory：静态随机存取存储器)、DRAM(Dynamic Random Access Memory：动态随机存取存储器)等RAM(RandomAccess Memory：随机存取存储器)。存储器102保持CPU101的运算结果。

虽然在本图中未示出，但安全主机10及安全从机20也可以具备存储装置。存储装置是非易失地保管数据的存储装置，存储OS、安全通信程序等。作为具体例，存储装置是HDD(Hard Disk Drive：硬盘驱动器)、SSD(Solid State Drive：固态驱动器)。此外，存储装置也可以是存储卡、SD(Secure Digital：安全数字，注册商标)存储卡、CF(Compact Flash)、NAND闪存、软盘、光盘、高密度盘、蓝光(注册商标)盘、DVD(Digital Versatile Disk：数字通用光盘)等可移动记录介质。

安全从机20也可以与安全主机10同样地具备CPU201、存储器202、现场通信接口204、以及总线205，并且具备用于进行设备控制的输入输出接口203。

安全从机20的动作与安全主机10的动作类似，经由现场通信接口204而与相对应的安全主机10进行安全通信。

图6是本实施方式的安全主机程序120的软件结构图。

基于本图进行安全主机程序120的说明。安全主机程序120在安全主机10中进行动作。

安全通信程序也是安全主机程序120和安全从机程序220的统称。安全通信程序可以是独立的程序，也可以将安全通信程序的功能的一部分或全部组入到OS等。

另外，安全通信程序在通信数据的检查中使用CRC的情况是具体例，安全通信程序也可以通过其他方法来检查通信数据。

安全主机10的安全层是在由非安全层501和现场网络502构成的黑色通道的上位进行动作的通信应用。

黑色通道是基于Ethernet的现场网络或者使用了串行总线的现场总线等通常的通信通道。黑色通道的结构没有特别限定。

安全应用接口部121将在安全主机10中进行进行动作的安全应用与安全从机20互相通信的安全数据交接到安全应用和安全主机程序120。

安全PDU生成部122对通过安全应用请求了发送的安全数据附加CRC用的检查数据及安全报头的保护信息等而生成安全PDU，通过非安全层501来发送所生成的安全PDU。

安全PDU检查部123接受安全主机10经由非安全层501接收到的安全PDU，对接受的安全PDU所包含的CRC用的检查数据及安全报头所包含的保护信息等进行检查，在接受的安全PDU中未检测到错误的情况下，将接受的安全PDU交接到安全应用接口部121。

安全PDU检查部123进行检测安全层数据所包含的比特错误的安全层错误检测。

安全PDU检查部123是安全协议数据单元检查部123的简记。

非安全层数据是经由非安全网络的数据，该非安全网络不保证满足数据通信的安全性且具备非安全层。

安全层数据是非安全层对非安全层数据进行转换而得到的数据，且是非安全层向安全层转送的数据。

作为具体例，安全层参数取得部125从安全主机10的参数区域等取得阈值设定所需的与安全层相关的参数。

安全层参数取得部125也可以取得在每单位时间内接收的安全层数据的接收比特率、以及与安全层错误检测的特性相关的信息即安全层错误检测特性，并取得用于安全层错误检测的安全层数据检查参数。

与安全层错误检测的特性相关的信息是与安全层数据的错误检测存在某种关联的信息。

作为具体例，非安全层参数取得部126从安全主机10的参数区域等取得阈值设定所需的与非安全层相关的参数。

非安全层参数取得部126也可以取得与非安全层错误检测的特性相关的信息即非安全层错误检测特性，并取得用于非安全层错误检测的非安全层数据检查参数。

与非安全层错误检测的特性相关的信息是与非安全层数据的错误检测存在某种关联的信息。

阈值设定部127基于针对比特错误率的要求值以及由安全层参数取得部125和非安全层参数取得部126取得的参数，计算成为向安全状态转移的契机的阈值，将计算出的阈值设定到安全监视控制部124。

阈值设定部127基于针对作为非安全网络中的数据通信时的每1个比特的错误发生概率的上限而要求的比特错误率的要求值、接收比特率、安全层错误检测特性、以及非安全层错误检测特性，来设定作为单位时间错误检测数的上限而要求的要求错误率，该单位时间错误检测数是在每单位时间内接收的安全层数据所包含的、由安全PDU检查部123检测到的安全层数据所包含的比特错误的数量。

安全监视控制部124根据针对安全PDU检查部123接收到的安全PDU进行的检查的结果来求出与数据损坏相关的测定值，在与数据损坏相关的测定值超过由阈值设定部127设定的阈值的情况下，向安全应用接口部121指示转移到安全状态。

安全监视控制部124对在每单位时间内接收到的安全层数据所包含的比特错误即单位时间错误检测数与要求错误率进行比较，基于比较结果进行安全控制。

另外，在要求错误率中，包含基于在每单位时间内接收到的安全层数据的比特错误率而计算出的值。

图7是本实施方式的安全从机程序220的软件结构图。

安全从机程序220是在安全从机20中进行动作的安全通信程序。

由标号221～224表示的部分别与由标号121～124表示的部相同。

安全监视控制部224基于安全主机10的阈值设定部127生成的阈值，确认与数据损坏相关的测定值未超过阈值。

因此，安全从机20不具备与安全层参数取得部125、非安全层参数取得部126及阈值设定部127相当的部，而具备阈值管理部225。

阈值管理部225从安全主机10的阈值设定部127接受阈值，将该阈值设定到安全监视控制部224。

安全主机程序120和安全从机程序220的软件结构不限于上述结构。

作为具体例，由于安全主机10和安全从机20的作用分担与上述不同，因此安全从机程序220也可以具备安全层参数取得部125、非安全层参数取得部126及阈值设定部127。

＊＊＊动作的说明＊＊＊

图8是示出安全主机10的与安全通信相关的处理流程的流程图。步骤S01至S03是在开始安全控制之前(安全通信的启动及安全连接的建立处理中)进行的处理，步骤S04以后是从开始安全控制之后进行的处理。

安全控制是安全通信装置在动作中能够向安全状态转移的控制。

安全通信装置的动作步骤相当于安全通信方法。此外，实现安全通信装置的动作的程序相当于安全通信程序。

(步骤S01：安全层参数取得处理)

安全层参数取得部125从安全主机10的安全参数区域等取得包含下述参数的与安全通信相关的参数。多项式的圆括弧内的x表示多项式的变量。

·安全层中的CRC的生成多项式G₁(x)

·安全PDU的比特长度n₁

·针对黑色通道的比特错误率的要求值Pe’

·在安全层中每1小时接收的安全PDU率v

另外，安全层参数取得部125也可以不取得v。

(步骤S02：非安全层参数取得处理)

非安全层参数取得部126从安全主机10的安全参数区域等取得包含下述参数的与非安全层相关的参数。

·非安全层中的CRC的生成多项式G₂(x)

·黑色通道PDU的比特长度n₂(＞n₁)

(步骤S03：阈值计算处理)

阈值设定部127使用在步骤S01及S02中取得的参数来计算阈值。另外说明阈值计算的详细内容。

也可以将多个与数据损坏相关的测定值组合而得到阈值。

(步骤S04：阈值设定处理)

阈值设定部127将在步骤S03中计算出的阈值设定到安全监视控制部124。

(步骤S05：安全通信处理)

安全主机程序120建立安全通信(安全数据的交信)的开始所需的安全连接，开始安全通信。

(步骤S06：与数据损坏相关的测定值计算处理)

安全PDU检查部123将接收到的安全PDU的检查结果通知给安全监视控制部124。

安全监视控制部124求出包含下述的要素的与数据损坏相关的测定值。

·安全层中的数据损坏检测件数

·安全层接收到的未检测到数据损坏的安全PDU的件数

安全监视控制部124期望求出由最近的规定长度的时间(例如单位时间)决定的期间内的与数据损坏相关的测定值，并且，将长度相同的期间内的与数据损坏相关的测定值对应地求出。

安全监视控制部124持续地求出与数据损坏相关的测定值。

(分支B01)

在步骤S06中求出的与数据损坏相关的测定值超过阈值的情况下，安全主机10执行步骤S07的处理，在与所述数据损坏相关的测定值未超过阈值的情况下，安全主机10执行步骤S08的处理。

(步骤S07：控制持续处理)

安全监视控制部124判定为黑色通道的比特错误率的实测值Pe小于Pe’，持续进行安全通信。

安全主机10转移到步骤S06。

(步骤S08：安全状态转移处理)

安全监视控制部124判断为Pe为Pe’以上，向安全应用接口部121通知向安全状态的转移。

安全应用接口部121收到通知而切断安全连接，并且向安全应用通知向安全状态的转移。

此外，通过由安全主机10切断安全连接，安全从机20也转移到安全状态。

关于如下动作，安全从机20中的处理与安全主机10中的处理相同，所述动作是指，安全监视控制部224确认与数据损坏相关的测定值是否超过阈值，在与数据损坏相关的测定值超过阈值的情况下，开始进行故障安全动作，在安全从机20中的处理中，与安全主机10中的处理不同之处在于，省略了步骤S01至S03的处理，由阈值管理部225进行步骤S04的阈值设定。

＊＊＊步骤S03的动作的说明＊＊＊

后面叙述步骤S03的详细内容。

图9是示出数式1的解释和以数式1的形式使用的记号的定义等的表。

作为具体例，P’_ef，BC表示“针对在非安全层中观测到安全PDU无损坏的事象的安全PDU的每1个单位的概率的要求值”。

无损坏表示PDU不包含比特错误。有损坏表示PDU包含比特错误。

图10是将以下使用的记号的定义汇总在一起的表。

[数式1]

X^Y _Z，U

步骤S03由下述的5个步骤构成。这里，为了表示本实施方式能够实施而记载了在各步骤中使用的式子。

当简单说明阈值计算的考虑方法时，阈值设定部127考虑针对黑色通道中的比特错误率的要求值、在非安全层中被检测到错误的安全PDU的比例、以及在安全层中未被检测到错误的安全PDU的比例，计算在安全层中被检测到错误的安全PDU相对于到达非安全层的所有安全PDU的数量的概率，使用所述概率来计算阈值。

(步骤S03-1)

如数学式1所示，阈值设定部127求出针对非安全层的无损坏概率的要求值(针对在非安全层中观测到安全PDU无损坏的事象的安全PDU的每1个单位的概率的要求值)P’_ef，BC。

[数学式1]

(步骤S03-2)

如数式2所示，阈值设定部127求出针对非安全层的检测错误率的要求值(针对在非安全层中观测到在安全PDU存在检测到的损坏的事象的安全PDU的每1个单位的概率的要求值)P’_de，BC。

[数式2]

P’_de，BC＝1.0-(P’_ef，BC+P’_re，BC)

P’_ef，BC是在步骤S03-1中求出的。P’_re，BC如下所述那样求出。

其中，根据非安全层的多项式和黑色通道PDU的比特长度等来计算A_i。

[数学式2]

(步骤S03-3)

如数学式3所示，阈值设定部127求出针对安全层的残存错误率的要求值(在假定为在安全层的下位存在正常进行动作的黑色通道时，针对在安全层中观测到在安全PDU存在存在未检测到的损坏的事象的事象的、安全PDU的每1个单位的概率的要求值)P’_re，SCL|BC。

P’_re，SCL|BC是在非安全层和安全层中未检测到数据损坏的安全PDU相对于到达非安全层的安全PDU整体的比例。

其中，根据非安全层的多项式、黑色通道PDU的比特长度、安全层的多项式以及安全PDU的比特长度等计算A_i’。计算P’_re，SCL|BC的具体方法记载在参考文献1等中。

[数学式3]

[参考文献1]

F.Schiller，“Analysis of Nested CRC with Additional Net Data by Meansof Stochastic Automata for Safety-critical Communication”，2008.

(步骤S03-4)

如数式3所示，阈值设定部127求出安全层的检测错误率(在假定为在安全层的下位存在正常进行动作的黑色通道时，针对在安全层中观测到在安全PDU存在检测到的损坏的事象的、安全PDU的每1个单位的概率的要求值)P’_de，SCL|BC。

[数式3]

P’_de，SCL|BC＝1.0-(P’_ef，BC+P’_de，BC+P’_re，SCL|BC)

(步骤S03-5)

阈值设定部127使用P’_de，SCL|BC来设定阈值。作为具体例，在想要将每1小时的安全层中的检测错误率设为与数据损坏相关的测定值的情况下，将下述所示的R’_de，SCL|BC设为阈值。

[数式4]

R’_de，SCL|BC＝P’_de，SCL|BC×v

作为针对上述以外的阈值的具体例，在将针对非安全层的无损坏概率的要求值与安全层的检测错误率的比率设为与数据损坏相关的测定值的情况下，也可以将P’_ef，_BC与P’_de，SCL|BC之比设为阈值。

另外，关于比特错误率与要求错误率的比较，不仅对比特错误率与要求错误率直接进行比较，也包含使用比特错误率计算出的值与使用要求错误率计算出的值的比较等间接比较。

另外，上述的步骤S03-2及步骤S03-3的处理的计算量通常较多。因此，作为具体例，也考虑使用通过计算机上或云上的工具事先计算出的P’_de，BC和P’_re，SCL|BC。此外，也可以使用设想预先确定的安全层与非安全层的组合并预先计算而组入到程序的阈值。

＊＊＊实施方式1的特征＊＊＊

本实施方式的安全通信装置具有安全层，该安全层从非安全层501接收安全层数据，该非安全层501进行检测经由非安全网络的非安全层数据所包含的比特错误的非安全层错误检测，在非安全层数据中未检测到比特错误的情况下，将非安全层数据转换成安全层数据并向安全层转送，该非安全网络具备非安全层501且不保证满足数据通信的安全性，其中，

该安全通信装置具备：

安全PDU检查部123，其进行检测安全层数据所包含的比特错误的安全层错误检测；

安全层参数取得部125，其取得在每单位时间内接收的安全层数据的接收比特率、以及与安全层错误检测的特性相关的信息即安全层错误检测特性；

非安全层参数取得部126，其取得与非安全层错误检测的特性相关的信息即非安全层错误检测特性；

阈值设定部127，其基于针对作为非安全网络中的数据通信时的每1个比特的错误发生概率的上限而要求的比特错误率的要求值、接收比特率、安全层错误检测特性、以及非安全层错误检测特性，来设定作为单位时间错误检测数的上限而要求的要求错误率，其中，该单位时间错误检测数是在每单位时间内接收到的安全层数据所包含的比特错误且由安全PDU检查部123检测到的安全层数据所包含的比特错误的数量；以及

安全监视控制部124，其对单位时间错误检测数与要求错误率进行比较，基于比较结果进行安全控制。

本实施方式的安全层参数取得部125取得用于安全层错误检测的安全层数据检查参数，

本实施方式的非安全层参数取得部126取得用于非安全层错误检测的非安全层数据检查参数，

本实施方式的阈值设定部127在设定要求错误率时，使用非安全层数据检查参数和安全层数据检查参数。

本实施方式的安全通信装置在非安全层数据的检查和安全层数据的检查中使用循环冗余检查的情况下，

安全层参数取得部125取得根据安全层数据的发送单位而决定的单位长度、以及作为安全层数据检查参数而用于安全层数据的检查的循环冗余检查的生成多项式的参数，

非安全层参数取得部126取得非安全层数据的单位长度、以及作为非安全层数据检查参数而用于非安全层数据的检查的循环冗余检查的生成多项式的参数，

阈值设定部127基于针对比特错误率的要求值和非安全层数据的单位长度，求出针对非安全层数据未损坏的概率即无损坏概率的要求值，

基于针对无损坏概率的要求值、针对比特错误率的要求值、非安全层数据的单位长度以及安全层数据检查参数，求出针对检测错误率的要求值，该检测错误率是在非安全层中在包含比特错误的非安全层数据内的作为包含比特错误的非安全层数据而检测到的非安全层数据的数量相对于到达非安全层的非安全层数据的总数即非安全层数据总数的比例，

基于针对比特错误率的要求值、针对检测错误率的要求值、安全层数据的单位长度、安全层数据检查参数、所述非安全层数据的所述单位长度、以及所述非安全层数据检查参数，求出针对残存错误率的要求值，该残存错误率是在安全层中在包含比特错误的安全层数据内的作为包含比特错误的安全层数据而检测到的安全层数据的数量相对于非安全层数据总数的比例，

将要求错误率设为对针对残存错误率的要求值乘以接收比特率而得到的值。

本实施方式的安全通信系统具备安全通信装置和非安全网络。

＊＊＊实施方式1的效果的说明＊＊＊

如以上那样，实施方式1的安全通信装置在使用黑色通道的通信中，

阈值设定部127基于针对黑色通道中的比特错误率的要求值、黑色通道的非安全层的参数、以及安全层的参数，设定与所述要求值对应的阈值，

在安全通信装置接收的安全PDU不满足所述阈值的情况下，判断为不满足所述要求值，向安全状态转移。

＜变形例1＞

在本实施方式中，说明了由软件实现安全通信装置的各功能的情况。但是，作为变形例，所述各功能也可以由硬件实现。

在所述各功能由硬件实现的情况下，安全主机10及安全从机20具备电子电路(处理电路)来代替CPU101。或者，安全主机10及安全从机20也可以具备电子电路来代替CPU101及存储器102。电子电路是实现所述各功能(及存储器102)的专用的电子电路。

电子电路被设想为单一电路、复合电路、程序化的处理器、并行程序化的处理器、逻辑IC、GA(Gate Array：门阵列)、ASIC(Application Specific Integrated Circuit：专用集成电路)、FPGA(Field-Programmable Gate Array：现场可编程门阵列)。

可以由1个电子电路实现所述各功能，也可以使所述各功能分散于多个电子电路来实现。

或者也可以是，一部分所述各功能由硬件实现，其他的所述各功能由软件实现。

将上述的CPU101、存储器102及电子电路统称为“处理线路”。即，所述各功能由处理线路实现。

实施方式2.

以下，参照附图对与上述实施方式的不同点进行说明。

＊＊＊结构的说明＊＊＊

图11是本实施方式的安全主机10的软件结构图。图12是本实施方式的安全从机20的软件结构图。

本实施方式的安全主机10如图11所示那样具备匹配性验证部128。本实施方式的安全从机20如图12所示那样具备匹配性验证部226。

匹配性验证部128及匹配性验证部226在取得非安全层参数之后，在由于安全通信系统的黑色通道的设备被更换等原因而导致在黑色通道中使用的与数据损坏相关的检查方式发生变化的情况下，对检查方式的变化进行检测。

安全主机10在上述情况下如果不进行该检测，则由于设定阈值时的前提被打破，因此，无法保证安全性。因此，匹配性验证部128及匹配性验证部226为了保证安全性而确认非安全层的参数。

＊＊＊动作的说明＊＊＊

本实施方式的安全通信装置在步骤S02与步骤S03之间执行步骤S02-2的处理。步骤S02-2的处理验证在非安全层中使用的多项式是否与非安全层的参数一致。

(步骤S02-1：非安全层参数取得处理)

与上述的步骤S02相同。

(步骤S02-2：匹配性验证处理)

匹配性验证部128生成检查用的安全PDU(验证PDU)，并经由非安全层501向安全从机20的安全层进行发送。

另外，该验证PDU期望能够通过报头等与安全控制用的PDU明确地区分，以保证不被用于安全控制。

匹配性验证部226在接收到验证PDU的情况下，由于非安全层501未废弃验证PDU，因此，判断为非安全层501的参数与安全主机10的作为非安全层501的参数而具有的参数匹配，将表示“参数匹配”的响应返回到安全主机10。

在该情况下，安全主机10及安全从机20持续进行安全通信系统的动作。

匹配性验证部226在未接收到验证PDU的情况下，判断为非安全层501中的参数与安全主机10的作为非安全层501的参数而具有的参数不匹配，将表示“参数不匹配”的响应返回到安全主机10，在该情况下，安全主机10及安全从机20中止安全通信系统的起动。

此时，安全主机10及安全从机20也可以向用户通知黑色通道的不匹配。

作为具体例，验证PDU将适当地附加了CRC用的检查数据的安全PDU的有效载荷部分置换成所述有效载荷部分和与对应于下述的数式6的比特的异或(XOR)。其中，G₂(x)必须满足数式6。

该验证PDU在非安全层中通过CRC的检查未被检测到错误，在安全层中通过CRC的检查被检测到错误的特性。

[数式5]

G₂(x)x^j

[数式6]

(G₂(x)的次数)+j＜(安全PDU的有效载荷的比特长度)

安全通信系统为了能够使检查可靠，期望准备多个模式的验证PDU，实施多次检查。

此外，在本步骤中，在如上述那样生成验证PDU的情况下，匹配性验证部128针对非安全层501生成黑色通道PDU之后、即适当地附加了非安全层501中的CRC的检查用数据之后的安全PDU执行比特反转等，由此生成验证PDU。

因此，在如上述那样生成验证PDU的情况下，非安全层501向匹配性验证部128提供用于改写非安全层501的PDU的单元。

＊＊＊实施方式2的特征＊＊＊

本实施方式的安全通信装置具备匹配性验证部128，该匹配性验证部128在接收到用于验证在阈值设定部127设定要求错误率时使用的非安全层数据检查参数是否在非安全层中实际被使用的验证数据(验证PDU)的情况下，基于验证数据进行验证。

＊＊＊实施方式2的效果的说明＊＊＊

如以上那样，根据本实施方式，由于匹配性验证部128验证安全通信装置作为非安全层的参数而具有的参数是否为实际在非安全层中被使用的参数，因此，能够保证安全性。

＊＊＊其他实施方式＊＊＊

能够进行上述的各实施方式的自由组合、或者各实施方式的任意的结构要素的变形，或者在各实施方式中能够省略任意的结构要素。

此外，实施方式不限定于实施方式1至2所示的内容，能够根据需要进行各种变更。

标号说明

10安全主机，20安全从机，101CPU，102存储器，104现场通信接口，105总线，120安全主机程序，121安全应用接口部，122安全PDU生成部，123安全PDU检查部，124安全监视控制部，125安全层参数取得部，126非安全层参数取得部，127阈值设定部，128匹配性验证部，201CPU，202存储器，203输入输出接口，204现场通信接口，205总线，220安全从机程序，221安全应用接口部，222安全PDU生成部，223安全PDU检查部，224安全监视控制部，225阈值管理部，226匹配性验证部，501非安全层，502现场网络。