WO2020021686A1

WO2020021686A1 - 解析支援装置、解析支援方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2020021686A1
Application number: PCT/JP2018/028148
Authority: WO
Inventors: 正文渡部
Original assignee: 日本電気株式会社
Priority date: 2018-07-26
Filing date: 2018-07-26
Publication date: 2020-01-30
Also published as: US20210263496A1; JPWO2020021686A1; US11860604B2; JP7040618B2

Abstract

解析支援装置１０は、プラントに設置されたセンサからのセンサデータに基づいて、プラントの制御プログラムを取得する、制御プログラム取得部１１と、プラントにおける所定の事象の発生を回避する安全バリアを制御プログラムから検索するために必要な情報として、所定の事象が発生した時のプラントの状態を定義する変数及びその値を含む、事象情報を取得する、事象情報取得部１２と、制御プログラムから入力変数及び出力変数の因果関係を抽出し、事象情報に含まれる変数及び値と、抽出した因果関係とに基づいて、制御プログラムから安全バリアを検索する、安全バリア検索部１３と、を備えている。

Description

解析支援装置、解析支援方法、及びコンピュータ読み取り可能な記録媒体

　本発明は、プラントの安全性の解析を支援するための解析支援装置及び解析支援方法に関し、更には、これらを実行するためのプログラムを記録するコンピュータ読み取り可能な記録媒体に関する。

　従来から、工場、発電所、変電所、水処理場等では、プラントを制御するための制御システムが必要となる。このような制御システムは、一般に、ＰＬＣ（Programmable Logic Controller）と、ＰＬＣを管理及び保守するエンジニアリングワークステーション（管理装置）と、オペレータにＨＭＩ（Human Machine Interface）を提供する端末装置等を備えている。

　このうち、ＰＬＣは、設備の各部に配置されたセンサからセンサデータに基づいてアクチュエータ等を作動させる。ＰＬＣは、エンジニアリングワークステーションから与えられる制御プログラムに従って動作する。また、ＨＭＩには、センサデータの値、アクチュエータの作動状態等が表示されるので、オペレータは、ＨＭＩを通して、設備の稼働状況を監視することができる。

　プラントには、工作機械、燃料、電気、水、薬品等のさまざまな危険源（ハザード）が存在し、これらの制御又は取り扱いが不適切な場合は、人命、設備等に損害が発生するおそれがある。このような損害の発生を防ぐために、プラントには、設計に基づいて、様々な安全バリアが設けられている。

　物理的な安全バリアの一例としては、高圧電流が流れている区画に作業員が立ち入らないように設置されたフェンス等が挙げられる。また、安全バリアは、物理的なものに限らず、機能的なものもある。機能的な安全バリアの一例としては、ＰＬＣに制御プログラムを実行させることによって発動する安全バリアがある。具体的には、ＰＬＣは、安全バリアとして、貯水タンクに設置された水位センサの信号を監視し、水位が貯水タンクの上限に達した場合は、貯水タンクに水を供給するバルブ（アクチュエータ）を閉じる信号を送出する、制御プログラムを実行する。

　また、このような制御システムを備えたプラントにおいては、リスクを定量的に評価するために、予め、技術者によってフォルトツリー解析（故障の木解析）が行われている。フォルトツリー解析は、特定の望ましくない事象を根のノードとし、この望ましくない事象が発生する原因となる事象を中間のノード又は葉として、ツリー構造を構築することによって行われる（例えば、特許文献１参照）。

　具体的には、技術者は、まず、起点となる、プラントにおける望ましくない事象を定義する。次に、技術者は、プラントの設計情報を解析して、定義された事象が発生する原因となる事象の論理的な組み合わせを漏れなく抽出し、抽出した事象をノードとして、フォルトツリーを構築する。このようなフォルトツリー解析を予め行うことにより、技術者は、プラントに故障が起きても迅速に対応することができる。

特開２０１０－２３７８５５号公報

　ところで、技術者において、プラントの設計情報の一つであるＰＬＣのプログラムコードを解析して、定義された事象が発生する原因となる事象を漏れなく抽出することは、多大な時間と労力とを要する作業である。また、過去にフォルトツリー解析が行われていても、ＰＬＣのプログラムに対して改良及び修正等が行われると、作成されているフォルトツリーと現在のプログラムのロジックとの間で不整合が生じている可能性がある。この場合、技術者は、再度、ＰＬＣのプログラムコードを解析して、不整合の有無を確認する必要がある。このような作業も、多大な時間と労力とを要する作業である。

　本発明の目的の一例は、上記問題を解消し、プラントの安全性の分析を行う場合において、制御プログラムの解析を支援し得る、解析支援装置、解析支援方法、及びコンピュータ読み取り可能な記録媒体を提供することにある。

　上記目的を達成するため、本発明の一側面における解析支援装置は、
　プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、制御プログラム取得部と、
　前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、事象情報取得部と、
　取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、安全バリア検索部と、
を備えている、
ことを特徴とする。

　また、上記目的を達成するため、本発明の一側面における解析支援方法は、
（ａ）プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、ステップと、
（ｂ）前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、ステップと、
（ｃ）取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、ステップと、
を有する、
ことを特徴とする。

　更に、上記目的を達成するため、本発明の一側面におけるコンピュータ読み取り可能な記録媒体は、
コンピュータによって、
（ａ）プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、ステップと、
（ｂ）前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、ステップと、
（ｃ）取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、ステップと、
を実行する命令を含む、プログラムを記録している、
ことを特徴とする。

　以上のように、本発明によれば、プラントの安全性の分析を行う場合において、制御プログラムの解析を支援することができる。

図１は、本発明の実施の形態における解析支援装置の概略構成を示すブロック図である。図２は、本発明の実施の形態において解析支援の対象となるプラントの構成の一例を示す構成図である。図３は、本発明の実施の形態における解析支援装置と図２に示したプラントの制御系との関係を示すブロック図である。図４は、本発明の実施の形態における解析支援装置の構成をより具体的に示すブロック図である。図５は、本発明の実施の形態で用いられる制御プログラムの一例を示している。図６は、本発明の実施の形態において抽出された因果関係の一例を示す図である。図７は、本発明の実施の形態において作成される状態遷移グラフとフォルトツリーとの一例を示す図である。図８は、本発明の実施の形態において作成される状態遷移グラフとフォルトツリーとの他の例を示す図である。図９は、本発明の実施の形態における解析支援装置の動作を示すフロー図である。図１０は、本発明の実施の形態における解析支援装置１０を実現するコンピュータの一例を示すブロック図である。

（実施の形態）
　以下、本発明の実施の形態における、解析支援装置、解析支援方法、及びプログラムについて、図１～図１０を参照しながら説明する。

［装置構成］
　最初に、図１を用いて、本実施の形態における解析支援装置の概略構成について説明する。図１は、本発明の実施の形態における解析支援装置の概略構成を示すブロック図である。

　図１に示す本実施の形態における解析支援装置１０は、プラントの各部を制御するための制御プログラムの解析を支援するための装置である。図１に示すように、解析支援装置１０は、制御プログラム取得部１１と、事象情報取得部１２と、安全バリア検索部１３とを備えている。

　制御プログラム取得部１１は、プラントに設置されたセンサからのセンサデータに基づいて、プラントの各部を制御するための、制御プログラムを取得する。事象情報取得部１２は、プラントにおける所定の事象の発生を回避する安全バリアを制御プログラムから検索するために必要な情報として、所定の事象が発生した時のプラントの状態を定義する変数及びその値を含む、事象情報を取得する。

　安全バリア検索部１３は、まず、制御プログラム取得部１１によって取得された制御プログラムから、制御プログラムにおける入力変数及び出力変数の因果関係を抽出する。そして、安全バリア検索部１３は、事象情報取得部１２によって取得された事象情報に含まれる変数及びその値と、抽出した因果関係とに基づいて、制御プログラムから安全バリアを検索する。

　以上のように、本実施の形態における解析支援装置１０は、制御プログラムから自動的に安全バリアを抽出することができる。このため、解析支援装置１０によれば、プラントの安全性の分析を行う場合において、制御プログラムの解析を支援することができる。

　続いて、図２～図８を用いて、本実施の形態における解析支援装置の構成及び機能について具体的に説明する。図２は、本発明の実施の形態において解析支援の対象となるプラントの構成の一例を示す構成図である。図３は、本発明の実施の形態における解析支援装置と図２に示したプラントの制御系との関係を示すブロック図である。図４は、本発明の実施の形態における解析支援装置の構成をより具体的に示すブロック図である。

　図２に示すように、本実施の形態では、プラント２０は、貯水タンク２１と、水位センサ（ＬＩＴ１０１）２２と、供給ライン２３と、排水ライン２４と、ポンプ（ＰＭＰ１０１）２５と、バルブ（ＭＶ１０１）２６とを備えている。また、プラント２０は、制御装置として、制御プログラムを実行するＰＬＣ（ＰＬＣ１）３０を備えている。

　水位センサ２２は、貯水タンク２１に貯水されている水の水位を４段階（H2,H,L,L2）で計測し、計測した水位を示すセンサデータを出力する。供給ライン２３は、貯水タンク２１に水を供給するためのラインである。ポンプ２５は、供給ライン２３上に設けられている。排水ライン２４は、貯水タンク２１の水を排出するためのラインである。バルブ２６は、排水ライン２４上に設けられている。ＰＬＣ３０は、水位センサ２２から出力されてきたセンサデータに応じて、ポンプ２５を稼働させ、又はバルブ２６を開閉させて、水位を調整する。

　また、図３に示すように、プラント２０において、ＰＬＣ３０は、ネットワークスイッチ３２とコントロールネットワーク（ＮＷ＿ｃ１）とを介して、エンジニアリングワークステーション３３と、オペレータが使用する端末装置３１とに、データ通信可能に接続されている。更に、ＰＬＣ３０は、ネットワークスイッチ３２とコントロールネットワーク（ＮＷ＿ｃ１）とを介して、解析支援装置１０にも接続されている。

　端末装置３１は、オペレータにＨＭＩを提供する。オペレータは、端末装置３１のＨＭＩ上で操作を行っている。エンジニアリングワークステーション３３は、各ＰＬＣの動作状態を管理し、更に、その制御プログラムを保持している。また、エンジニアリングワークステーション３３は、オペレータ等の指示に応じて、制御プログラムを更新する。

　更に、図３に示すように、ＰＬＣ３０は、フィールドネットワークｆ１（ＮＷ＿ｆ１）を介して、水位センサ２２と、ポンプ２５と、バルブ２６とに接続されている。このように、本実施の形態において監視対象となるプラント２０は、制御プログラムを実行するＰＬＣ、ＰＬＣとその他の装置とを結ぶネットワーク、を備えている。

　また、図４を用いて、本実施の形態における解析支援装置１０の構成をより具体的に説明する。図４に示すように、解析支援装置１０は、図１で示した制御プログラム取得部１１、事象情報取得部１２、安全バリア検索部１３に加えて、事象導出部１４と、表示部１５と、因果関係記憶部１６とを備えている。

　制御プログラム取得部１１は、本実施の形態では、図２に示したエンジニアリングワークステーション３３から、それが保持している制御プログラムを取得する。図５は、本発明の実施の形態で用いられる制御プログラムの一例を示している。また、図５に示された制御プログラムは、ＰＬＣ３０の制御プログラムの一部である。図５において、「LIT101.H2」、「LIT101.H」、「LIT101.L2」、「LIT101.L」、「PMP101.ON」は、それぞれ、プラント２０で使用される信号を示している。

　具体的には、「LIT101.H2」は、水位が４段階の最大であるときに「High(1)」、そうでないときに「Low(0)」となる信号である。「LIT101.H」は、水位が最大から１段下がったときに「High(1)」、そうでないときに「Low(0)」となる信号である。「LIT101.L」は、水位が最大から２段下がったときに「High(1)」、そうでないときに「Low(0)」となる信号である。「LIT101.L2」は、水位が４段階の最小であるときに「High(1)」、そうでないときに「Low(0)」となる信号である。

　更に、図５において、「D_OUT_CH0」は、ポンプ２５を制御する信号（フラグ）であり、運転を指示するときに「1」となり、停止を指示するときに「0」となる。また、「PLANT_SD」は、プラント２０全体の停止が要求されているかどうかを示す信号（フラグ）であり、プラント２０全体のシャットダウンが要求されていると「1」となり、そうでないときに「0」となる。「PLANT_STOP」は緊急停止ボタンが押されているかどうかを示す信号（フラグ）であり、緊急停止ボタンが押されていると「1」となり、そうでないときに「0」となる。

　なお、ＰＬＣ３０によってセンサ等から受信された製造プロセスの状態等を伝える信号は、このＰＬＣが備える記憶装置内の当該信号に対応する場所に書き込まれる。また、ＰＬＣによってアクチュエータ等に送信された、アクチュエータ等を作動又は停止等させる信号は、ＰＬＣが備える記憶装置内の当該信号と対応する場所から読み出される。また、記憶装置内の場所は、一般的に、変数、タグ、レジスタ等と呼ばれており、本実施の形態では、変数と呼ぶ。また、受信された信号が書き込まれる変数を入力変数と呼び、送信される信号が読み出される変数を出力変数と呼ぶ。

　事象情報取得部１２は、本実施の形態では、失敗事象（例えば、「ポンプの停止に失敗する」等）についての事象情報を取得する。失敗事象は、安全バリアが機能せずに発生を阻止できなかった事象である。また、安全バリアは、失敗事象が発生した時の状態から、失敗事象の発生が回避された状態へと遷移させるための手段であり、具体的には、制御プログラムに実装されているプログラムモジュールである。また、安全バリアは、遷移の起点、終点、及び遷移を生じさせる遷移条件を含んでいる。

　安全バリア検索部１３は、本実施の形態では、まず、ＰＬＣ３０の制御プログラムから、因果関係を抽出し、抽出した因果関係を因果関係記憶部１６に格納する。因果関係は、例えば、各ＰＬＣが出力する出力変数の値が、どのような入力変数の値に基づいて決定されているのかを示している。更に、安全バリア検索部１３は、抽出した因果関係を因果関係記憶部１６に格納する。

　ここで、図６を用いて、安全バリア検索部１３による因果関係の抽出処理について具体的に説明する。図６は、本発明の実施の形態において抽出された因果関係の一例を示す図である。

　具体的には、図６に示すように、安全バリア検索部１３は、解析処理として、まず、制御プログラム(図５参照)の処理ステップ（行）毎に、読み書きがおこなわれる各変数の中から、出力変数を特定する。出力変数は、プラントの各部を制御する信号を送出するためにＰＬＣによって利用される特別な変数であり、例えば、「D_OUT」で始まる変数名を持つ等、命名規則が別途定められている場合が多い。例えば、安全バリア検索部１３は、出力変数の命名規則に合致する変数を出力変数として特定することができる。

　続いて、安全バリア検索部１３は、制御プログラムから、出力変数の値の決定に影響を与え得る入力変数を特定する。また、安全バリア検索部１３は、特定した入力変数の値の決定に影響を与え得る別の入力変数が存在する場合は、これも特定するため、新たな入力変数が特定される限り、再帰的に入力変数の特定を実行する。

　ある出力変数の値の決定に影響を与え得る入力変数の特定は、次のようにして行うことができる。例えば、制御プログラムに、出力変数に値を代入する代入文がある場合は、安全バリア検索部１３は、代入文が代入される値として参照する別の変数を、入力変数として特定する。また、制御プログラムにおいて、代入文を実行するか否かが、ＩＦ文などの条件分岐における条件式の評価結果によって決まる場合は、安全バリア検索部１３は、条件式が参照する別の変数も入力変数として特定する。

　次に、安全バリア検索部１３は、制御プログラムにおいて、入力変数に定数を代入する代入文、又は入力変数と定数とを比較する条件式を検索し、検索によって特定できた代入文又は条件式から、入力変数が定数を取り得るかどうかを判断し、取り得る場合は定数（値）を特定する。

　そして、安全バリア検索部１３は、これまでに特定した入力変数とその入力変数が取り得る定数（値）とから、複数の入力値パターンを網羅的に生成する。次に、安全バリア検索部１３は、入力値パターン毎に、その入力値パターンが与えられた状態下で制御プログラムを１回実行し、出力値を求める。その際、制御プログラムが実行中に参照した入力変数も記録する。

　そして、安全バリア検索部１３は、制御プログラムの実行後、記録された入力変数及びその値と、制御プログラムが出力した出力変数の値とを抽出して、これらを因果関係とする。抽出された因果関係は、図６に示す通りである。

　安全バリア検索部１３は、プラントで使用される複数の信号それぞれ間における因果関係として、代入処理と、条件分岐処理における分岐条件と、に含まれる信号及びその値を抽出する。言い換えると、安全バリア検索部１３は、出力変数の特定、入力変数の特定、入力変数が取りうる値の特定、入力値パターンの生成、出力値および制御プログラム実行時に参照された入力変数の取得を行って、因果関係を抽出する。

　続いて、安全バリア検索部１３は、因果関係を抽出すると、事象情報に含まれる変数及び値と、抽出した因果関係とを用いて、状態遷移グラフを作成する。状態遷移グラフは、事象情報に含まれる変数及び値によって定義される状態からの状態遷移を示し、且つ、遷移の起点、終点、及び遷移を生じさせる遷移条件を含む。そして、安全バリア検索部１３は、作成した状態遷移グラフから、失敗事象の発生が回避された状態への遷移を特定することによって、安全バリアを検索する。

　また、安全バリア検索部１３は、予め、因果関係からプラント２０全体の状態遷移グラフを作成し、作成した全体の状態遷移グラフのなかから、事象情報に含まれる変数及び値を用いて、必要な状態遷移グラフを特定しても良い。

　ここで、図７及び図８を用いて、安全バリア検索部１３による安全バリアの検索処理について具体的に説明する。図７は、本発明の実施の形態において作成される状態遷移グラフとフォルトツリーとの一例を示す図である。図８は、本発明の実施の形態において作成される状態遷移グラフとフォルトツリーとの他の例を示す図である。　以降では、事象情報にポンプ２５を制御する変数（D_OUT_CH0）とその値「１」が含まれている場合を例として説明する。

　図７の上段に示すように、安全バリア検索部１３は、ポンプ２５を制御する変数（D_OUT_CH0）と図６に示した因果関係とから、状態遷移グラフを作成する。この状態遷移グラフには、「D_OUT_CH0=1」と「D_OUT_CH0=0」との２つの状態が含まれている。また、状態「D_OUT_CH0=1」から状態「D_OUT_CH0=0」への３つの遷移が含まれている。

　言い換えると、図７の例では、失敗事象が発生してしまう状態は、ポンプ２５の運転を指示する状態が継続してしまう状態である。よって、安全バリア検索部１３は、この状態が回避されるように、ポンプ２５の運転を指示する状態から停止を指示する状態への遷移を含む、状態遷移グラフを作成する。

　また、状態遷移グラフにおける状態から状態への遷移は、起点、終点、及び遷移条件を含み、これらは因果関係から作成される。起点は、因果関係が持つ入力変数のうち事象情報にも含まれる変数及びその値から作成される。終点は、因果関係が持つ出力変数のうち事象情報にも含まれる変数及びその値から作成される。遷移条件は、因果関係が持つ入力変数のうち事象情報には含まれない変数及びその値から作成される。

　例えば、図７における遷移Aは、図６における第２番目及び第４番目の因果関係から作成されており、起点「D_OUT_CH0＝１」、終点「D_OUT_CH0＝０」、及び遷移条件「LIT101.H＝1」を含む。図７における遷移Bは、図６における第３番目の因果関係から作成されており、起点「D_OUT_CH0＝１」、終点「D_OUT_CH0＝０」、及び遷移条件「LIT101.H2＝1」を含む。図７における遷移Cは、図６における第４番目から第８番目までの４つの因果関係から作成されており、起点「D_OUT_CH0＝１」、終点「D_OUT_CH0＝０」、及び遷移条件「PLANT_STOP＝1」を含む。

　加えて、安全バリア検索部１３は、事象情報に含まれる変数のいかなる値も入力変数の値として指定されていない因果関係が存在する場合は、状態遷移グラフにおける各状態を起点とする複数の遷移を作成することができる。同様に、安全バリア検索部１３は、事象情報に含まれる変数のいかなる値も出直変数の値として指定されていない因果関係が存在する場合は、状態遷移グラフにおける各状態を終点とする複数の遷移を作成することができる。

　例えば、入力変数では「D_OUT_CH0」の値が指定されておらず、出力変数では「D_OUT_CH0」の値に「０」が指定されている因果関係（図示しない）がある場合、安全バリア検索部１３は、起点「D_OUT_CH0＝１」から終点「D_OUT_CH0＝０」への遷移と起点「D_OUT_CH0＝０」から終点「D_OUT_CH0＝０」への遷移を作成することができる。（この変数が取り得る値が０と１の二値である場合。）

　そして、安全バリア検索部１３は、図７の上段に示した遷移Ａ～遷移Ｃを安全バリアとする。

　事象導出部１４は、安全バリア検索部１３が抽出した安全バリアに含まれる情報を用いて、安全バリアが機能しない可能性がある新たな事象、即ち、失敗事象（望ましくない事象）が発生する原因となる新たな事象を導出する。すでに述べたように、抽出された安全バリアは、失敗事象（望ましくない事象）の発生を回避するために制御プログラムに実装された手段であるため、この安全バリアそのものが正しく機能しない事象、即ち、プラントの各部の実際の状態が状態遷移グラフにおける起点の状態と状態遷移の遷移条件とを満たしている時に、ＰＬＣが当該状態遷移に相当する処理を実行せず、その結果、プラントの各部の状態が状態遷移グラフにおける終点の状態に変化しない事象は、失敗事象が発生する原因となる新たな事象となり得る。この新たな事象は、オペレータが見るフォルトツリーを構成するため、事象導出部１４は、人が直感的に理解可能な自然言語で表現された事象を導出する。

　図７の下段は、事象導出部１４によって、安全バリア検索部１３が抽出した安全バリア「遷移Ａ」、「遷移Ｂ」、及び「遷移Ｃ」から導出された新たな事象を示している。新たな事象は、図７の下段の例では、失敗事象「PMP101運転継続」が発生する原因となる、「遷移Ａ失敗」と、「遷移Ｂ失敗」と、「遷移Ｃ失敗」とである。　

　また、事象導出部１４は、導出する事象に、サイバー攻撃により引き起こされる可能性のある事象であることを説明する文章を追加しても良い。例えば、プラントに侵入したサイバー攻撃者が、制御プログラムを改ざんしたり、ネットワークにおいてセンサ等からＰＬＣに伝達される入力信号等を改ざんしたりすることによって、このような事象が発生する可能性がある。

　また、図８の上段に示すように、安全バリア検索部１３は、ポンプ２５を制御する変数（D_OUT_CH0）の値と、プラントのシャットダウン要求を示す変数（PLANT_SD」の値とを組み合わせて状態を表現した、状態遷移グラフを作成することもできる。この状態遷移グラフには、「D_OUT_CH0=1, PLANT_SD=0」、「D_OUT_CH0=1, PLANT_SD=1」、及び「D_OUT_CH0=0,PLANT_SD=*」（*は0及び1に該当する）の３つの状態が含まれる。

　また、図８の例では、安全バリア検索部１３は、制御プログラム（図５参照）から抽出した因果関係（図示しない）に基づいて、遷移Ａ～遷移Ｄの４つの遷移を作成する。遷移Ａは、起点「D_OUT_CH0=1, PLANT_SD=0」と、終点「D_OUT_CH0=0,PLANT_SD=*」と、遷移条件「LIT101.H＝1」とを含む。遷移Ｂは、起点「D_OUT_CH0=1, PLANT_SD=0」と、終点「D_OUT_CH0=1,PLANT_SD=1」と、遷移条件「LIT101.H2＝1」とを含む。遷移Ｃは、起点「D_OUT_CH0=1, PLANT_SD=0」と、終点「D_OUT_CH0=1,PLANT_SD=1」と、遷移条件「PLANT_STOP=1」とを含む。遷移Ｄは、起点「D_OUT_CH0=1, PLANT_SD=1」と、終点「D_OUT_CH0=0,PLANT_SD=*」と、遷移条件（無条件）とを含む。その後、安全バリア検索部１３は、遷移Ａ～遷移Ｄを安全バリアとする。

　また、上述の図２及び図３の例では、プラント２０に備えられたＰＬＣ３０は単一であるが、本実施の形態では、プラント２０には複数のＰＬＣと、ＰＬＣ間を結ぶネットワークとが備えられていても良い。

　この態様では、制御プログラム取得部１１は、ＰＬＣ毎に、制御プログラムを取得する。また、安全バリア検索部１３は、ＰＬＣ毎に、各ＰＬＣが実行する制御プログラムから、安全バリアを検索する。

　表示部１５は、安全バリア検索部１３によって安全バリアが検索されると、検索された安全バリアを特定する情報（「安全バリア情報」と表記する）を、端末装置３１に送り、その画面上に安全バリアを表示させる。また、表示部１５は、図７の上段及び図８の上段に示したように、状態遷移グラフを構成する各遷移として、安全バリアを表示することもできる。

　また、表示部１５は、事象導出部１４によって新たな事象が導出された場合は、この新たな事象を特定する情報も、端末装置３１に送り、その画面上に新たな事象も表示させる。この場合も、表示部１５は、図７の下段及び図８の下段に示したように、失敗事象（望ましくない事象）と導出された新たな事象とを矩形と直線を用いてフォルトツリーの部分木として表示することもできる。

　例えば、オペレータは、表示部１５によって表示された、図７の上段の状態遷移グラフ及び図７の下段のフォルトツリーの部分木を参照することによって、ポンプ２５の運転が異常に継続する事象が発生する原因として、第１に貯水タンクの水位が最大から１段下に達したにも拘わらずポンプ２５が停止しない事象（遷移Ａ失敗）と、第２に貯水タンクの水位が最大に達したにも拘わらずポンプ２５が停止しない事象（遷移Ｂ失敗）と、第３にオペレータが緊急停止ボタンを押したにも拘わらずポンプ２５が停止しない事象（遷移Ｃ失敗）と、があることを確認できる。

［装置動作］
　次に、本実施の形態における解析支援装置１０の動作について図９を用いて説明する。図９は、本発明の実施の形態における解析支援装置の動作を示すフロー図である。以下の説明においては、適宜図１～図８を参照する。また、本実施の形態では、解析支援装置１０を動作させることによって、解析支援方法が実施される。よって、本実施の形態における解析支援方法の説明は、以下の解析支援装置１０の動作説明に代える。

　図９に示すように、最初に、制御プログラム取得部１１は、エンジニアリングワークステーション３３から、プラント２０のＰＬＣ３０の制御プログラム（図５参照）を取得する（ステップＡ１）。

　次に、事象情報取得部１２は、プラント２０における失敗事象の発生を回避する安全バリアを制御プログラムから検索するために必要な情報として、失敗事象が発生した時のプラントの状態を定義する変数及びその値を含む、事象情報を取得する（ステップＡ２）。

　次に、安全バリア検索部１３は、ステップＡ１で取得されたＰＬＣ３０の制御プログラムから、制御プログラムにおける入力変数及び出力変数の因果関係を抽出する（ステップＡ３）。

　具体的には、安全バリア検索部１３は、制御プログラムから、まず、出力変数の値の決定に影響を与え得る入力変数を特定する。続いて、安全バリア検索部１３は、制御プログラムにおいて、入力変数に定数を代入する代入文、又は入力変数と定数とを比較する条件式を検索し、検索によって特定した入力変数と、その入力変数が取り得る定数（値）とから、複数の入力値パターンを網羅的に生成する。その後、安全バリア検索部１３は、入力値パターン毎に、その入力値パターンが与えられた状態下で制御プログラムを１回実行し、出力値を求め、その際、制御プログラムが実行中に参照した入力変数を記録する。因果関係は、得られた入力値及び出力値によって表される。

　次に、安全バリア検索部１３は、因果関係を抽出すると、ステップＡ２で取得した事象情報に含まれる変数及び値と、ステップＡ３で抽出した因果関係とを用いて、状態遷移グラフを作成する（ステップＡ４）。

　次に、安全バリア検索部１３は、ステップＡ４で作成した状態遷移グラフを用いて、安全バリアを検索する（ステップＡ５）。具体的には、安全バリア検索部１３は、状態遷移グラフから、失敗事象の発生が回避された状態への遷移を特定し、特定した遷移を安全バリアとする。

　次に、事象導出部１４は、ステップＡ５によって検索された安全バリアが機能しない可能性がある新たな事象が存在するかどうかを判定し、新たな事象が存在すると判定する場合は、この新たな事象を導出する（ステップＡ６）。

　その後、表示部１５は、ステップＡ５で検索された安全バリアを特定する安全バリア情報と、ステップＡ６で導出されている新たな事象を特定する情報とを、端末装置３１に送り、その画面上に安全バリアと新たな事象とを表示させる（ステップＡ７）。

　以上のように、本実施の形態では、ＰＬＣの制御プログラムから自動的に安全バリアが抽出される。従って、プラント２０の技術者は、従来のようにＰＬＣのプログラムコードを解析する必要がなく、技術者における負担が軽減される。本実施の形態によれば、プラントの安全性の分析を行う場合において、制御プログラムの解析を支援することができる。

［プログラム］
　本実施の形態におけるプログラムは、コンピュータに、図９に示すステップＡ１～Ａ７を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における解析支援装置と解析支援方法とを実現することができる。この場合、コンピュータのプロセッサは、制御プログラム取得部１１、事象情報取得部１２、安全バリア検索部１３、事象導出部１４、及び表示部１５として機能し、処理を行なう。また、因果関係記憶部１６は、コンピュータに備えられたハードディスク等の記憶装置に、因果関係のデータファイルを格納することによって実現される。

　また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、制御プログラム取得部１１、事象情報取得部１２、安全バリア検索部１３、事象導出部１４、及び表示部１５のいずれかとして機能しても良い。また、因果関係記憶部１６は、本実施の形態におけるプログラムを実行するコンピュータとは別のコンピュータ上に構築されていても良い。

　ここで、本実施の形態におけるプログラムを実行することによって、解析支援装置１０を実現するコンピュータについて図１０を用いて説明する。図１０は、本発明の実施の形態における解析支援装置１０を実現するコンピュータの一例を示すブロック図である。

　図１０に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。なお、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ（Graphics Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）を備えていても良い。

　ＣＰＵ１１１は、記憶装置１１３に格納された、本実施の形態におけるプログラム（コード）をメインメモリ１１２に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであっても良い。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体が挙げられる。

　なお、本実施の形態における解析支援装置１０は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、解析支援装置１０は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

　上述した実施の形態の一部又は全部は、以下に記載する（付記１）～（付記１２）によって表現することができるが、以下の記載に限定されるものではない。

（付記１）
　プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、制御プログラム取得部と、
　前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、事象情報取得部と、
　取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、安全バリア検索部と、
を備えている、
ことを特徴とする解析支援装置。

（付記２）
付記１に記載の解析支援装置であって、
　検索された前記安全バリアが機能しない可能性がある新たな事象を導出する、事象導出部と、
　特定された前記安全バリア、及び導出された前記新たな事象を、画面上に表示させる、表示部と、
を更に備えている、
ことを特徴とする解析支援装置。

（付記３）
付記１または２に記載の解析支援装置であって、
　前記安全バリア検索部が、
前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とを用いて、前記事象情報に含まれる前記変数及び前記値によって定義される状態からの状態遷移を示し、且つ、遷移の起点、終点、及び遷移を生じさせる遷移条件を含む、状態遷移グラフを作成し、
そして、作成した前記状態遷移グラフから、前記所定の事象の発生が回避された状態への遷移を特定することによって、前記安全バリアを検索する、
ことを特徴とする解析支援装置。

（付記４）
付記１～３のいずれかに記載の解析支援装置であって、
　前記プラントが、前記制御プログラムを実行する複数の制御装置と、複数の前記制御装置それぞれ間を結ぶネットワークと、を備えている場合において、
　前記制御プログラム取得部は、前記制御装置毎に、前記制御プログラムを取得し、
　前記安全バリア検索部は、前記制御装置毎に、当該制御装置が実行する前記制御プログラムから、前記安全バリアを検索する、
ことを特徴とする解析支援装置。

（付記５）
（ａ）プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、ステップと、
（ｂ）前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、ステップと、
（ｃ）取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、ステップと、
を有する、
ことを特徴とする解析支援方法。

（付記６）
付記５に記載の解析支援方法であって、
（ｄ）検索された前記安全バリアが機能しない可能性がある新たな事象を導出する、ステップと、
（ｅ）特定された前記安全バリア、及び導出された前記新たな事象を、画面上に表示させる、ステップと、
を更に有する、
ことを特徴とする解析支援方法。

（付記７）
付記５または６に記載の解析支援方法であって、
　前記（ｃ）のステップにおいて、
前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とを用いて、前記事象情報に含まれる前記変数及び前記値によって定義される状態からの状態遷移を示し、且つ、遷移の起点、終点、及び遷移を生じさせる遷移条件を含む、状態遷移グラフを作成し、
そして、作成した前記状態遷移グラフから、前記所定の事象の発生が回避された状態への遷移を特定することによって、前記安全バリアを検索する、
ことを特徴とする解析支援方法。

（付記８）
付記５～７のいずれかに記載の解析支援方法であって、
　前記プラントが、前記制御プログラムを実行する複数の制御装置と、複数の前記制御装置それぞれ間を結ぶネットワークと、を備えている場合において、
　前記（ａ）のステップにおいて、前記制御装置毎に、前記制御プログラムを取得し、
　前記（ｃ）のステップにおいて、前記制御装置毎に、当該制御装置が実行する前記制御プログラムから、前記安全バリアを検索する、
ことを特徴とする解析支援方法。

（付記９）
コンピュータによって、
（ａ）プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、ステップと、
（ｂ）前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、ステップと、
（ｃ）取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、ステップと、
を実行する命令を含む、プログラムを記録している、コンピュータ読み取り可能な記録媒体。

（付記１０）
付記９に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
（ｄ）検索された前記安全バリアが機能しない可能性がある新たな事象を導出する、ステップと、
（ｅ）特定された前記安全バリア、及び導出された前記新たな事象を、画面上に表示させる、ステップと、
を実行させる命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１１）
付記９または１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記（ｃ）のステップにおいて、
前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とを用いて、前記事象情報に含まれる前記変数及び前記値によって定義される状態からの状態遷移を示し、且つ、遷移の起点、終点、及び遷移を生じさせる遷移条件を含む、状態遷移グラフを作成し、
そして、作成した前記状態遷移グラフから、前記所定の事象の発生が回避された状態への遷移を特定することによって、前記安全バリアを検索する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１２）
付記９～１１のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
　前記プラントが、前記制御プログラムを実行する複数の制御装置と、複数の前記制御装置それぞれ間を結ぶネットワークと、を備えている場合において、
　前記（ａ）のステップにおいて、前記制御装置毎に、前記制御プログラムを取得し、
　前記（ｃ）のステップにおいて、前記制御装置毎に、当該制御装置が実行する前記制御プログラムから、前記安全バリアを検索する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように、本発明によれば、プラントの安全性の分析を行う場合において、制御プログラムの解析を支援することができる。本発明は、制御装置によって制御される各種プラントに有用である。

　１０　解析支援装置
　１１　制御プログラム取得部
　１２　事象情報取得部
　１３　安全バリア検索部
　１４　事象導出部
　１５　表示部
　１６　因果関係記憶部
　２０　プラント
　２１　貯水タンク
　２２　水位センサ
　２３　供給ライン
　２４　排水ライン
　２５　ポンプ
　２６　バルブ
　３０　ＰＬＣ
　３１　端末装置
　３２　ネットワークスイッチ
　３３　エンジニアリングワークステーション
　１１０　コンピュータ
　１１１　ＣＰＵ
　１１２　メインメモリ
　１１３　記憶装置
　１１４　入力インターフェイス
　１１５　表示コントローラ
　１１６　データリーダ／ライタ
　１１７　通信インターフェイス
　１１８　入力機器
　１１９　ディスプレイ装置
　１２０　記録媒体
　１２１　バス

Claims

　プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、制御プログラム取得手段と、
　前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、事象情報取得手段と、
　取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、安全バリア検索手段と、
を備えている、
ことを特徴とする解析支援装置。
請求項１に記載の解析支援装置であって、
　検索された前記安全バリアが機能しない可能性がある新たな事象を導出する、事象導出手段と、
　特定された前記安全バリア、及び導出された前記新たな事象を、画面上に表示させる、表示手段と、
を更に備えている、
ことを特徴とする解析支援装置。
請求項１または２に記載の解析支援装置であって、
　前記安全バリア検索手段が、
前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とを用いて、前記事象情報に含まれる前記変数及び前記値によって定義される状態からの状態遷移を示し、且つ、遷移の起点、終点、及び遷移を生じさせる遷移条件を含む、状態遷移グラフを作成し、
そして、作成した前記状態遷移グラフから、前記所定の事象の発生が回避された状態への遷移を特定することによって、前記安全バリアを検索する、
ことを特徴とする解析支援装置。
請求項１～３のいずれかに記載の解析支援装置であって、
　前記プラントが、前記制御プログラムを実行する複数の制御装置と、複数の前記制御装置それぞれ間を結ぶネットワークと、を備えている場合において、
　前記制御プログラム取得手段は、前記制御装置毎に、前記制御プログラムを取得し、
　前記安全バリア検索手段は、前記制御装置毎に、当該制御装置が実行する前記制御プログラムから、前記安全バリアを検索する、
ことを特徴とする解析支援装置。
（ａ）プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各手段を制御するための、制御プログラムを取得する、ステップと、
（ｂ）前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、ステップと、
（ｃ）取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、ステップと、
を有する、
ことを特徴とする解析支援方法。
請求項５に記載の解析支援方法であって、
（ｄ）検索された前記安全バリアが機能しない可能性がある新たな事象を導出する、ステップと、
（ｅ）特定された前記安全バリア、及び導出された前記新たな事象を、画面上に表示させる、ステップと、
を更に有する、
ことを特徴とする解析支援方法。
請求項５または６に記載の解析支援方法であって、
　前記（ｃ）のステップにおいて、
前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とを用いて、前記事象情報に含まれる前記変数及び前記値によって定義される状態からの状態遷移を示し、且つ、遷移の起点、終点、及び遷移を生じさせる遷移条件を含む、状態遷移グラフを作成し、
そして、作成した前記状態遷移グラフから、前記所定の事象の発生が回避された状態への遷移を特定することによって、前記安全バリアを検索する、
ことを特徴とする解析支援方法。
請求項５～７のいずれかに記載の解析支援方法であって、
　前記プラントが、前記制御プログラムを実行する複数の制御装置と、複数の前記制御装置それぞれ間を結ぶネットワークと、を備えている場合において、
　前記（ａ）のステップにおいて、前記制御装置毎に、前記制御プログラムを取得し、
　前記（ｃ）のステップにおいて、前記制御装置毎に、当該制御装置が実行する前記制御プログラムから、前記安全バリアを検索する、
ことを特徴とする解析支援方法。
コンピュータによって、
（ａ）プラントに設置されたセンサからのセンサデータに基づいて、前記プラントの各部を制御するための、制御プログラムを取得する、ステップと、
（ｂ）前記プラントにおける所定の事象の発生を回避する安全バリアを前記制御プログラムから検索するために必要な情報として、前記所定の事象が発生した時の前記プラントの状態を定義する変数及びその値を含む、事象情報を取得する、ステップと、
（ｃ）取得された前記制御プログラムから、前記制御プログラムにおける入力変数及び出力変数の因果関係を抽出し、そして、取得された前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とに基づいて、前記制御プログラムから前記安全バリアを検索する、ステップと、
を実行する命令を含む、プログラムを記録している、コンピュータ読み取り可能な記録媒体。
請求項９に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
（ｄ）検索された前記安全バリアが機能しない可能性がある新たな事象を導出する、ステップと、
（ｅ）特定された前記安全バリア、及び導出された前記新たな事象を、画面上に表示させる、ステップと、
を実行させる命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項９または１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記（ｃ）のステップにおいて、
前記事象情報に含まれる前記変数及び前記値と、抽出した前記因果関係とを用いて、前記事象情報に含まれる前記変数及び前記値によって定義される状態からの状態遷移を示し、且つ、遷移の起点、終点、及び遷移を生じさせる遷移条件を含む、状態遷移グラフを作成し、
そして、作成した前記状態遷移グラフから、前記所定の事象の発生が回避された状態への遷移を特定することによって、前記安全バリアを検索する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項９～１１のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
　前記プラントが、前記制御プログラムを実行する複数の制御装置と、複数の前記制御装置それぞれ間を結ぶネットワークと、を備えている場合において、
　前記（ａ）のステップにおいて、前記制御装置毎に、前記制御プログラムを取得し、
　前記（ｃ）のステップにおいて、前記制御装置毎に、当該制御装置が実行する前記制御プログラムから、前記安全バリアを検索する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。