WO2024225124A1

WO2024225124A1 - 障害分析支援システム及び障害分析支援方法

Info

Publication number: WO2024225124A1
Application number: PCT/JP2024/015210
Authority: WO
Inventors: 浩二浦脇; 貴広池田; 壮希櫻井
Original assignee: 株式会社日立製作所
Priority date: 2023-04-24
Filing date: 2024-04-17
Publication date: 2024-10-31

Abstract

一つまたは複数の機器からなる制御システムの障害分析を支援する障害分析支援システムであって、機器の動作状態に関する機器監視データを収集し機器監視ログデータベースに蓄積する監視入力部と、機器監視データを監視して制御システムの異常を検知する異常検知部と、制御システムの異常と当該異常から推定される原因とを対応付けて記憶する異常原因データベースと、検知された制御システムの異常とに基づいて、原因を推定する原因推定部と、制御システムの異常と、推定された原因を共通の原因とする共通原因事象と、制御システムの稼働状態と、機器の異常に伴って生じる作業エリアにおける安全性への影響を示す安全性影響とを対応付けて記憶するシステム異常動作データベースを用いて、推定された原因を確認するための作業の安全性への影響を分析する安全分析部と、推定された原因と共通原因事象とを用いて、推定された原因が真因であるかを調べるための作業をリスト化した確認作業と、当該確認作業を行う作業エリアとを対応付けて記憶する確認作業データベースから、当該推定された原因および共通原因事象に対応する確認作業を検索し、当該検索の結果を確認作業リストとして導出する確認作業導出部と、安全性への影響の分析結果と、確認作業リストに含まれる確認作業とに基づき、確認作業の安全性を評価し、当該評価の結果を反映した確認作業リストを出力する確認作業評価部と、を有する。

Description

障害分析支援システム及び障害分析支援方法

　本発明は、制御システムの障害分析支援システム及び障害分析支援方法に関する。

　制御システムで発生するインシデントへの対応を効率化するための監視装置に関する技術が盛んに開発されている。制御システムを利用する現場保守員だけでは分析に時間がかかるため、監視装置がシステムを監視し、対処方法などを現場保守員に指示することで効率化を図っている。

　下記特許文献１は、制御システムから異常データを受け取ったシステム監視装置が対処方法を分析し、現場保守員に対処方法を指示する技術を開示している。また、下記特許文献２は、監視システムが制御システムからデータを収集して、インシデントの原因がサイバー攻撃か否かを分析する技術を開示している。

特開２０１８－１８５７１２号公報特開２０２１－１１１００３号公報

　物流倉庫内の各機器を制御する制御システムと各種機器の動作データを計測し制御システム全体または各機器の稼働状態を監視する障害分析支援システムとで構成される物流倉庫システムがある。

　制御システムで異常が発生したときに、障害分析支援システムにアップロードされた計測データでは、制御システムの状況を分析するには不十分な場合がある。また、異常が発生した倉庫現場で現場保守員が原因を分析するために、各種機器の動作ログや外観などのデータを取得するといった確認作業が発生するケースがある。

　制御システムの異常の原因には、経年劣化等による設備の機器の故障に限らず、サイバー攻撃やマルウェア感染などのセキュリティに係る原因もある。このようなセキュリティを原因とする場合、複数の機器で同時に異常が起こることもあり、現場の確認作業に安全性上のリスクが高まることがある。また、原因分析の確認作業において、様々なデータの取得や機器の操作を行うが、作業の実行順によっては有効なデータが取得できないこともあり、原因分析の効率が低下する課題がある。

　本発明は、制御システムの異常を検知したときに、現場保守員が現場確認作業を安全でかつ効率的に実施できる技術を提供することを目的とする。

　本発明に係る障害分析支援システムは、一つまたは複数の機器からなる制御システムの障害分析を支援する障害分析支援システムであって、前記機器の動作状態に関する機器監視データを収集し機器監視ログデータベースに蓄積する監視入力部と、前記機器監視データを監視して前記制御システムの異常を検知する異常検知部と、前記制御システムの異常と当該異常から推定される原因とを対応付けて記憶する異常原因データベースと、検知された前記制御システムの異常とに基づいて、原因を推定する原因推定部と、前記制御システムの異常と、推定された前記原因を共通の原因とする共通原因事象と、前記制御システムの稼働状態と、前記機器の異常に伴って生じる作業エリアにおける安全性への影響を示す安全性影響とを対応付けて記憶するシステム異常動作データベースを用いて、推定された前記原因を確認するための作業の安全性への影響を分析する安全分析部と、前記推定された原因と前記共通原因事象とを用いて、前記推定された原因が真因であるかを調べるための作業をリスト化した確認作業と、当該確認作業を行う前記作業エリアとを対応付けて記憶する確認作業データベースから、当該推定された原因および前記共通原因事象に対応する確認作業を検索し、当該検索の結果を確認作業リストとして導出する確認作業導出部と、前記安全性への影響の分析結果と、前記確認作業リストに含まれる前記確認作業とに基づき、前記確認作業の安全性を評価し、当該評価の結果を反映した前記確認作業リストを出力する確認作業評価部と、を有することを特徴とする障害分析支援システムとして構成される。

　本発明によれば、制御システムの異常を検知したときに、現場保守員が現場確認作業を安全でかつ効率的に実施できる。

本発明の一つの実施形態である障害分析支援システムが物流倉庫の設備の機器、または、現場保守員の情報端末機器と通信ネットワークを介してつながっている様子を示す図である。実施形態に係る障害分析支援システムの構成図である。機器監視ログデータベースの一例を示す図である。異常原因データベースの一例を示す図である。システム異常動作データベースの一例を示す図である。確認作業データベースの一例を示す図である。安全対策データベースの一例を示す図である。障害分析支援システムが制御システムの異常を検知してから物流倉庫内の作業エリアに対する安全性の評価を行うまでの処理の流れを説明するフローチャートである。障害分析支援システムが原因究明に必要な確認作業内容の導出から実行順序を定めるまでの処理の流れを説明するフローチャートである。障害分析支援システムが作成した確認作業リストを現場保守員が見る画面表示部に表示してから、確認作業の結果を受けて、原因が究明できるまで、原因分析と確認作業リストの再作成を行うまでのフローチャートを示した図である。画面表示部における確認作業リストの表示例を示す図である。障害分析支援システムのハードウェア構成の例を示す図である。現場確認作業リストの一例を示す図である。現場確認作業リストの一例を示す図である（ステップＳＴ５０２とステップＳＴ５０３の実施後）。現場確認作業リストの一例を示す図である（ステップＳＴ５０５とステップＳＴ５０６の実施後）。

　以下、図面を参照して本発明の実施形態を説明する。実施例は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。特に限定しない限り、各構成要素は単数でも複数でも構わない。図面において示す各構成要素の位置、大きさ、形状、範囲などは、発明の理解を容易にするため、実際の位置、大きさ、形状、範囲などを表していない場合がある。このため、本発明は、必ずしも、図面に開示された位置、大きさ、形状、範囲などに限定されない。

　各種情報の例として、「テーブル」、「リスト」、「キュー」等の表現にて説明することがあるが、各種情報はこれら以外のデータ構造で表現されてもよい。例えば、「ＸＸテーブル」、「ＸＸリスト」、「ＸＸキュー」等の各種情報は、「ＸＸ情報」としてもよい。識別情報について説明する際に、「識別情報」、「識別子」、「名」、「ＩＤ」、「番号」等の表現を用いるが、これらについてはお互いに置換が可能である。

　同一あるいは同様の機能を有する構成要素が複数ある場合には、同一の符号に異なる添字を付して説明する場合がある。また、これらの複数の構成要素を区別する必要がない場合には、添字を省略して説明する場合がある。

　実施例において、プログラムを実行して行う処理について説明する場合がある。ここで、計算機は、プロセッサ（例えばＣＰＵ、ＧＰＵ）によりプログラムを実行し、記憶資源（例えばメモリ）やインターフェースデバイス（例えば通信ポート）等を用いながら、プログラムで定められた処理を行う。そのため、プログラムを実行して行う処理の主体を、プロセッサとしてもよい。同様に、プログラムを実行して行う処理の主体が、プロセッサを有するコントローラ、装置、システム、計算機、ノードであってもよい。プログラムを実行して行う処理の主体は、演算部であれば良く、特定の処理を行う専用回路を含んでいてもよい。ここで、専用回路とは、例えばＦＰＧＡ（Field Programmable Gate Array）やＡＳＩＣ（Application Specific Integrated Circuit）、ＣＰＬＤ（Complex Programmable Logic Device）等である。

　プログラムは、プログラムソースから計算機にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバまたは計算機が読み取り可能な記憶メディアであってもよい。プログラムソースがプログラム配布サーバの場合、プログラム配布サーバはプロセッサと配布対象のプログラムを記憶する記憶資源を含み、プログラム配布サーバのプロセッサが配布対象のプログラムを他の計算機に配布してもよい。また、実施例において、２以上のプログラムが１つのプログラムとして実現されてもよいし、１つのプログラムが２以上のプログラムとして実現されてもよい。

　＜図１：物流倉庫システムの概要図＞
　図１は、本発明の一つの実施形態である障害分析支援システム２０が物流倉庫の設備の機器、または、現場保守員１０の情報端末機器８０と通信ネットワーク７０を介して通信を行っている様子を示す図である。

　通信ネットワーク７０は、例えば、ＥｔｈｅｒＣＡＴやＭｏｄｂｕｓのような通信プロトコルを使用したデータ通信経路である。また、物流倉庫には自動搬送装置３０や自動搬送装置４０、ロボットアーム５０、コンベア機器６０などの荷物の搬送、積み下ろし、加工などを行う機器が備わっている。

　障害分析支援システム２０は、物流倉庫システム１０００における荷物の入出庫を管理するＷＭＳ（ＷａｒｅｈｏｕｓｅＭａｎａｇｅｍｅｎｔＳｙｓｔｅｍ）や設備の制御や機器間の通信を担うＷＥＳ（Ｗａｒｅｈｏｕｓｅ　Ｅｘｅｃｕｔｉｏｎ　Ｓｙｓｔｅｍ）に備わる一つのサブシステムの位置づけである。

　ＷＥＳのように、障害分析支援システム２０は、制御システム２００の稼働状態を監視し、障害発生時には原因を究明するための分析及び現場保守員１０への情報提供を行う。

　＜課題説明＞
　制御システム２００で異常が発生した場合、障害分析支援システム２０にアップロードされた計測データが限定的であることから、異常が発生した場所で現場保守員１０が原因を分析するために各種機器の動作ログや外観などのデータを取得するといった確認作業が発生するケースがある。

　制御システム２００の異常の原因には、経年劣化等による設備の機器の故障に限らず、サイバー攻撃やマルウェア感染などのセキュリティに係る原因もある。

　このようなセキュリティを原因とする場合、複数の機器で同時に異常が起こることもあり、現場の確認作業に安全性上のリスクが高まることがある。

　また、原因分析の確認作業において、様々なデータの取得や機器の操作を行うが、作業の実行順序によっては有効なデータが取得できないこともあり、原因分析の効率が低下するという課題がある。

　＜解決策＞
　そこで、本発明の実施形態における障害分析支援システム２０は、制御システム２００の異常を検知したときに原因究明に必要な作業を導出し、各作業の安全性と作業間の依存関係の分析結果から、現場保守員による安全で効率的な原因分析を可能とする。さらに、作業の優先順位を算出し、現場保守員１０に通知することで、システム障害分析を支援する。　リモート環境で障害要因の分析を行うために、現場保守員１０が安全性とセキュリティのリスクを低減しつつ、現場で効率的に原因究明に必要な作業をできるようにする。

　＜図２：障害分析システム構成図＞
　図２は、本実施形態に係る障害分析支援システム２０の構成図である。
本実施形態に係る障害分析支援システム２０は、監視入力部２０２、異常検知部２０３、原因推定部２０４、安全分析部２０５、確認作業導出部２０６、確認作業評価部２０７、監視出力部２０８、機器監視ログデータベース２１０、異常原因データベース２１１、システム異常動作データベース２１２、確認作業データベース２１３、安全対策データベース２１４を有する。画面表示部７０１は、情報端末機器８０のディスプレイ等の表示装置である。

　異常検知部２０３は、制御システム２００を構成する各制御装置２０１の動作ログや制御システム２００が稼働しているか否かを示すシステム稼働状態などを含む機器監視データと、現場保守員１０が確認作業で取得する現場確認データとを監視して、制御システム２００の異常(観測事象と称す)を検知する。

　原因推定部２０４は、異常検知部２０３で検知した異常を基に原因を推定し(推定した原因を推定原因と称す)、推定原因を共通の原因として発生する事象(共通原因事象と称す)の導出を行う。

　安全分析部２０５は、観測事象、推定原因、共通原因事象による安全性への影響を分析する。

　確認作業導出部２０６は、事象の発生状況を調査するために必要な現場保守員１０の確認作業を導出して、確認作業リストを作成する。

　確認作業評価部２０７は、前記安全性への影響分析結果と各確認作業内容とに基づき、各確認作業内容の安全性を評価し、確認作業安全評価結果を出力する。また、確認作業評価部２０７は、確認作業の実行可能性評価結果を出力する。さらに、確認作業評価部２０７は、対策後の確認作業安全評価結果と対策後の確認作業の実行可能性評価結果を出力する。

　＜図３：データベース構成＞
　図３Ａ～３Ｅは、本実施形態に係る障害分析支援システム２０がシステム障害の分析に用いる各データベースの例を示した図である。図２の障害分析支援システム２０の構成で示した各データベース（機器監視ログデータベース２１０、異常原因データベース２１１、システム異常動作データベース２１２、確認作業データベース２１３、安全対策データベース２１４）のデータ項目とデータの内容を示している。

　図３Ａは、機器監視ログデータベース２１０の一例を示す図である。機器監視ログデータベース２１０は、障害分析支援システム２０が物流倉庫現場のデータを蓄える。機器監視ログデータベース２１０は、制御システム２００を構成する各制御装置２０１の動作ログや制御システム２００が稼働しているか否かを示すシステム稼働状態などを含む機器監視データと、現場保守員１０が確認作業で取得する現場確認データを格納する。例えば、採取対象日、対象機器、機器からの送信か現場保守員１０が採取したデータかを識別するための送信元などの情報で構成する。実際には、これらの情報に加え、上述した機器監視データや現場確認データの実体が、これらの情報に対応付けて記憶されている。

　図３Ａでは、例えば、データが取得されたタイミングを示す採取年月日「ＹＹＹＹ年ＭＭ月ＤＤ日」、データの取得対象を示す対象機器「機器Ａ」、データの取得対象の位置を示す送信元「機器Ａ」が対応付けて記憶され、さらに監視時に取得されたデータの実体がこれらの情報に対応付けられたデータが、機器監視データとして蓄積されている。現場確認データについても機器監視データと同様、これらの各項目に対応付けて、現場確認時に取得されたデータの実体が蓄積されている。

　図３Ｂは、異常原因データベース２１１の一例を示す図である。異常原因データベース２１１は、検知された制御システム２００の異常から原因推定部２０４が原因を推定するために用いられる。異常原因データベース２１１は、観測事象とその観測事象から推定される原因(推定原因)の情報が含まれている。

　図３Ｂでは、例えば、機器の観測事象として「機器Ａの応答無し」が記憶され、当該観測事象の推定原因として、「サイバーセキュリティ攻撃」、「機器Ａ故障」が対応付けて記憶されている。

　図３Ｃは、システム異常動作データベース２１２の一例を示す図である。システム異常動作データベース２１２は、安全分析部２０５が更に同様の原因によって発生しうる事象を調べるために用いる。システム異常動作データベース２１２は、上述した観測事象および共通原因事象、制御システム２００が稼働しているか否かを示すシステム稼働状態の各情報、制御システム２００の異常に伴って生じる物流倉庫内の作業エリアに対する安全性への影響を示す安全性影響などの情報が含まれる。

　図３Ｃでは、例えば、観測事象として「機器Ａの応答無し」が観測され、システム稼働状態が「全て稼働」である場合、「機器Ａの応答無し」という観測事象に対して因果関係がある事象、すなわち起こり得る挙動として、「機器Ａの異常動作」、「機器Ｂの異常動作」、「機器Ｃの異常動作」があることを示している。また、これらの挙動のうち、「機器Ａの異常動作」、「機器Ｂの異常動作」が起こった場合には、安全性への影響はない一方、「機器Ｃの異常動作」が起こった場合には、作業エリア１における安全性リスクの高まり（例えば、制御システム２００配下の機器Ｃの衝突による作業エリア１における作業の危険が一定以上高くなること）が懸念されることを示している。

　図３Ｄは、確認作業データベース２１３の一例を示す図である。確認作業データベース２１３は、確認作業導出部２０６が、システム異常の真因を分析するための現場確認作業を導出するために用いる。確認作業データベース２１３は、上述した推定原因および共通原因事象、推定原因が真因であるかを調べるための作業をリスト化した確認作業、当該確認作業を行う作業エリア、当該確認作業における作業手順、当該確認作業で使用する機材、当該確認作業で採取するデータ、当該確認作業と他の確認作業との依存関係などの情報が含まれている。

　図３Ｄでは、例えば、推定原因として「サイバーセキュリティ攻撃」が推定され、共通原因事象として「機器Ａの異常動作」が導出された場合、その推定原因が真因であることを調べるために、作業エリア１において確認作業として機器Ａの動作ログが採取されることを示している。また、当該確認作業は、ＵＳＢメモリと機器Ａの操作端末となる情報端末機器８０を用いて、まず、ＵＳＢメモリを機器Ａに接続し、ＹＹＹＹ年ＭＭ月ＤＤ日の機器Ａの動作ログを保存する手順で行われるものであることを示している。さらに、当該確認作業は、当該確認作業以外の他の確認作業との依存関係として、機器Ａの再起動よりも前に実施するという制約があることを示している。

　図３Ｅは、安全対策データベース２１４の一例を示す図である。安全対策データベース２１４は、確認作業評価部２０７が、安全性リスクの高い確認作業についてリスクを軽減するための対策方法を調査するために用いる。安全対策データベース２１４は、上述した確認作業と、当該確認作業の安全性リスクを軽減するための対策と期待される効果の情報が含まれている。安全対策の例としては、確認作業リストに記憶される複数からなる確認作業の実行順序の入替え、確認作業で操作する機器（例えば、機器Ａ，機器Ｃ）の移動、安全性影響分析結果に基づき安全性リスクの高い機器またはその機器または当該機器を含めた制御システム２００の稼働停止などがある。また、これらの対策による効果として、安全性リスク「高」だったものが「低」になるなどのリスクの変化の情報がある。確認作業評価部２０７が、これらの少なくとも１つを行うことにより、安全性リスクを低減する。

　図３Ｅでは、例えば、機器Ａの動作ログを採取する確認作業に対する安全対策として、機器Ｃの異常動作を停止し、作業エリア１の安全性リスクを低減させる対策が必要であることを示している。

　機器監視ログデータベース２１０は、制御システム２００から採取したデータを蓄積して構成される。その他の図３Ａ～３Ｅに示した各データベース（２１０～２１４）は、予め観測される事象と推定される原因、共通の原因で起こりうる事象や安全性への影響など、予め制御システム２００と物流倉庫現場の構成の安全性について分析した結果をもとに、データベースの各データを用意しておく。

　＜図４：安全性リスク評価フローチャート＞
　図４は、障害分析支援システム２０が制御システム２００の異常を検知して、原因を推定し、その原因によって起こりうる事象とその事象による物流倉庫内の作業エリアに対する安全性の評価までの処理の流れを説明するフローチャートである。以下、図４の各ステップについて説明する。

　（図４：ステップＳＴ４０１）制御システムの異常検知
　異常検知部２０３は、監視入力部２０２が受け取った、制御システム２００を構成する各制御装置２０１の動作ログや制御システム２００が稼働しているか否かを示すシステム稼働状態などを含む機器監視データを監視して、制御システム２００の異常を検知する。

　（図４：ステップＳＴ４０２）原因推定
　原因推定部２０４は、異常検知部２０３が検知した異常を基に、考えられる原因を推定する。推定した原因(推定原因)を出力する。以下、具体的に説明する。

　原因推定部２０４は、異常検知部２０３から観測事象やシステム稼働状態を含む機器監視データを受け取ると、異常原因データベース２１１から、システム稼働状態と観測事象を条件として、推定される異常の原因を検索する。原因推定部２０４は、検索条件に該当した原因を、観測事象を起こした要因として考えられる推定原因とする。原因推定部２０４は、例えば、図３Ａに示した機器監視ログデータベース２１０に含まれる機器監視データを読み出し、制御システム２００が正常な稼働状態である一方、機器Ａが応答無しであった場合、図３Ｂに示した異常原因データベース２１１を参照し、「サイバーセキュリティ攻撃」、「機器Ａ故障」を、当該観測事象の推定原因として出力する。

　（図４：ステップＳＴ４０３）共通原因事象の洗い出し
　原因推定部２０４は、推定原因で発生する可能性がある観測事象以外の事象(共通原因事象と称す)を導出する。以下、具体的に説明する。

　原因推定部２０４は、ステップＳＴ４０２で推定した推定原因とシステム稼働状態とを条件として、異常原因データベース２１１の中から、観測事象以外の事象を検索する。原因推定部２０４は、検索条件に該当した原因を、観測事象を起こした要因として考えられる推定原因とする。

　例えば、原因推定部２０４は、機器の稼働状態が監視できない（機器Ａの応答無し）という制御システム２００の機器と障害分析支援システム２０間の通信異常を観測事象として検知した場合を考える。この場合、推定原因としては経年劣化等による設備の機器の故障だけでなく、サイバー攻撃やマルウェア感染などのセキュリティに係る原因も考えられる。観測事象としては、機器との通信異常ではあるが、共通原因事象としては、設備の機器の故障による動作異常や、セキュリティ要因による意図しない動作が導出されることになる。図３Ｂでは、一例として、ＳＴ４０２で「サイバーセキュリティ攻撃」、「機器Ａ故障」が観測対象とした機器Ａの推定原因とされた場合、対象とした機器以外の機器となる機器Ｂについて、機器Ａと同様の「サイバーセキュリティ攻撃」が機器Ｂの推定原因として記憶されている。そのため、原因推定部２０４は、機器Ａおよび機器Ｂの共通原因事象として、「サイバーセキュリティ攻撃」を導出する。原因推定部２０４は、観測事象（機器Ａの応答無し）、共通原因事象（サイバーセキュリティ攻撃）、システムの稼働状態（制御システム２００が全て正常状態）を出力する。異常原因データベース２１１に機器Ｃについても同様に記憶されている場合には、機器Ａ～機器Ｃの共通原因事象として、「サイバーセキュリティ攻撃」を出力し、システムの稼働状態（制御システム２００が全て正常状態）を出力する。

　（図４：ステップＳＴ４０４）安全性への影響分析
　安全分析部２０５は、ＳＴ４０２で推定された推定原因と、ＳＴ４０３で導出された共通原因事象とによる安全性への影響を分析する。以下、具体的に説明する。

　安全分析部２０５は、原因推定部２０４から、観測事象、共通原因事象、システム稼働状態の各情報を受け取り、これらの情報を用いて、システム異常動作データベース２１２から物流倉庫内の作業エリアに対する安全性への影響を検索する。安全分析部２０５は、上記各情報の内容に該当する検索結果を用いて、各作業エリアの安全性を評価する。

　安全性への影響としては、例えば、物流倉庫内の特定エリアの危険度の変化やその有無などが挙げられる。具体的には、作業エリア１を移動する搬送機器が、観測事象や共通原因事象により意図しない動作をし、作業エリア１の装置や作業者などに衝突したり、危害を加えるなどする可能性がある場合がある。このような場合を考慮して、システム異常動作データベース２１２には、「作業エリア１の安全性リスクの高まり」（つまり安全性が低くなる影響がある）として、作業エリアの安全性が評価されている。したがって、安全分析部２０５は、観測事象（機器Ａの応答無し）、共通原因事象（この例では機器Ｃの異常動作）、システムの稼働状態（制御システム２００が全て正常状態）の場合、これらの情報に対応する「作業エリア１の安全性リスクの高まり」という安全性影響を出力する。ここでは例示していないが、共通原因事象が「サイバーセキュリティ攻撃」である場合も同様にシステム異常動作データベース２１２に定義されている。

　以上の処理の流れにより、障害分析支援システム２０は、物流倉庫内の制御システム２００の異常を検知した後、障害分析支援システム２０では、異常の原因推定と、共通原因により発生する事象を分析し、観測事象として検知された異常と、共通原因事象とによって変化する物流倉庫内の作業エリアの安全性評価を行う。

　＜図５：確認作業の導出から確認作業の実行順序決定までのフローチャート＞
　図５は、障害分析支援システム２０が、原因究明に必要な確認作業内容の導出から実行順序を定めるまでの処理の流れを説明するフローチャートである。

　（図５：ステップＳＴ５０１）原因究明に必要な確認作業の導出
　確認作業導出部２０６は、推定原因が真因かを究明するために必要となる現場保守員１０の確認作業を導出する。

　確認作業導出部２０６は、確認作業データベース２１３を参照し、ステップＳＴ４０１からステップＳＴ４０４までの各処理で出力された推定原因、観測事象、共通原因事象の発生状況やその発生過程を調べるための確認作業リストを出力する。現場保守員１０は、確認作業導出部２０６が出力した確認作業リストに基づいて、機器のログ、機器間の通信ログ、外観の状態、診断試験などの実施やデータの採取などの確認作業を行う。

　例えば、観測事象が通信異常である場合、確認作業導出部２０６は、機器間の通信ログを採取する、または、通信インタフェースの故障を診断する、通信不可となった機器の動作ログを採取する、といった確認作業を確認作業リストとして導出する。

　推定原因、観測事象、共通原因事象とそれらに必要な確認作業の情報は、確認作業データベース２１３に含まれている。確認作業導出部２０６は、入力した推定原因、観測事象、共通原因事象の情報を用いて、確認作業データベース２１３から、当該推定原因および共通原因事象に対応付けて記憶されている確認作業を検索する。該当した検索結果をリスト化し、確認作業リストとして出力する。

　例えば、確認作業導出部２０６は、確認作業データベース２１３から、推定原因として記憶されている（１）サイバーセキュリティ攻撃、及び（２）機器Ａ故障、の真因を究明するための確認作業リストを検索する。当該検索では、レコード３０１が検索される。検索結果の例を、図９の現場確認作業リスト９０１に示す。

　図９は、現場確認作業リスト９０１の一例を示す図である。図９に示すように、現場確認作業リスト９０１は、確認作業を行う順序を示す順番、当該確認作業の実施状態を示す状態、上述した確認作業データベース２１３と同様の各項目のほか、確認作業を行う際の安全性リスク、安全性リスクに照らして当該確認作業を行うことの可否を示す実行可能性の各項目が対応付けられている。上述した順番、状態、安全性リスク、実行可能性の各項目は、以降の処理で記録される。上記検索して得られるリストは、現場確認作業リスト９０１のレコード９０１１に該当する。図９では、図４のステップＳＴ４０１からステップＳＴ４０４までの各処理で出力された推定原因、観測事象、共通原因事象の全てについて、上記リストが出力されている（計４レコード）。

　（図５：ステップＳＴ５０２）確認作業の安全性評価
　確認作業評価部２０７は、ステップＳＴ５０１で導出した確認作業リストに含まれる各確認作業の安全性を評価する。

　確認作業評価部２０７は、確認作業リストに含まれる各確認作業の作業エリアを確認作業データベース２１３で検索する。本検索により該当した作業エリアと、ステップＳＴ４０４で評価した各作業エリアの安全性評価結果を照らし合わせ、各確認作業の安全性を評価し、確認作業安全評価結果として出力する。

　例えば、確認作業評価部２０７は、図９に示した現場確認作業リスト９０１の確認作業「機器Ａ動作ログ採取」と、図３Ｄに示した確認作業データベース２１３のなかで当該確認作業に対応する作業エリア「作業エリア１」を特定する。確認作業評価部２０７は、当該確認作業「機器Ａ動作ログ採取」と、ＳＴ４０４で出力された安全性影響「作業エリア１の安全性リスクの高まり」とを突き合わせ、当該確認作業を作業エリア１で行う場合には、安全性リスクが高まる影響があると評価する。ここでは確認作業「機器Ａ動作ログ採取」について説明したが、他の確認作業の場合も同様である。すなわち、図９に示した現場確認作業リスト９０１の確認作業が「機器Ｃ動作ログ採取」であり、ＳＴ４０４で安全性影響「作業エリア１の安全性リスクの高まり」が出力されている場合には、確認作業「機器Ａ動作ログ採取」の場合と同様、当該確認作業を作業エリア１で行う場合には、安全性リスクが高まる影響があると評価する。

　確認作業評価部２０７は、予め安全性の基準を設定し、上記安全性リスクの評価を行う。例えば、安全性リスクの高さを判断基準として「高、中、低」という三段階のレベルを設定し、人に危害を加えるレベルを「高」、ものにぶつかるが壊さないレベルを「中」、外部に影響がないレベルを「低」とする。確認作業評価部２０７は、作業エリア１の安全性として要求されているレベルが、人に危害を加える程度の所定の安全性リスクの高さのレベルである場合、確認作業の安全性リスクについて「作業エリア１における確認作業は安全性リスクが高い」と評価する。

　（図５：ステップＳＴ５０３）対策前の確認作業の実行可能性を評価
　確認作業評価部２０７は、ステップＳＴ５０２の処理結果である確認作業安全評価結果を用いて各確認作業の実行可能性を評価する。

　確認作業評価部２０７は、予め確認作業の実行可否を判断するための基準を設けておき、上記実行可能性の評価を行う。例えば、ステップＳＴ５０２で説明した安全性リスクが「高、中、低」という三段階のレベルで表される場合、安全性リスク「中」または「低」の場合は、当該確認作業を「実行可能」と評価し、それ以外は「実行不可」と評価する。
実行可能性の評価結果は、確認作業の実行可能性評価結果として出力する。

　ステップＳＴ５０２とステップＳＴ５０３を実施した際に作成する現場確認作業リストの例を図１０に示す。図１０では、ステップＳＴ５０２、ＳＴ５０３の処理が行われることにより、安全性リスク、実行可能性の各項目が評価され、その評価の結果が書き込まれて反映された確認作業リストが出力されていることがわかる。

　例えば、現場確認作業リスト９０１で洗い出した確認作業のうち、作業エリア１での確認作業は、システム異常動作データベース３０３の共通原因事象と安全性影響のデータをもとに、作業エリア１の安全性リスクが高まっていると判断できる。そのため、確認作業評価部２０７は、安全性リスク「高」の評価をしている。一方、同様の考え方で、確認作業評価部２０７は、その他の作業エリア２で実施する作業は安全性リスクを「低」と評価している。さらに、確認作業評価部２０７は、ステップＳＴ５０３の基準を参照して、安全性リスク「高」の作業は、実行可能性を「実行不可」と評価し、安全対策を行わない現場確認作業リスト１００１を作成する。

　（図５：ステップＳＴ５０４）安全対策の設定と再評価
　確認作業評価部２０７は、ステップＳＴ５０３の処理結果である確認作業の実行可能性評価結果において「実行不可」となった確認作業の安全対策を設定し、安全性リスクと実行可能性の再評価を行う。

　確認作業評価部２０７は、ステップＳＴ５０２で「出力した確認作業安全評価結果と、ステップＳＴ５０３で出力した確認作業の実行可能性評価結果をもとに、安全性リスクが高く、実行不可と評価した確認作業に対し、安全対策を安全対策データベース２１４から検索し、効果的な対策を選定する。そして、確認作業評価部２０７は、その対策による安全性リスクを再評価し、対策後の確認作業安全評価結果として出力する。さらに、再評価した安全性リスクを前提に実行可能化を再評価し、対策後の確認作業の実行可能性評価結果として出力する。

　例えば、確認作業評価部２０７は、作業エリア１における確認作業「機器Ａ動作ログ採取」は、安全性リスク「高」、かつ実行可能性「実行不可」と評価している。そのため、図３Ｅに示した安全対策データベース２１４を参照し、確認作業「機器Ａ動作ログ採取」に対応する安全対策「機器Ｃの異常動作停止し、作業エリア１の安全性リスクを低減」を選定する。

　現場保守員１０が上記安全対策を確認し、「機器Ｃの異常動作停止」を行うと、確認作業評価部２０７は、再びステップＳＴ５０２、ＳＴ５０３を行う。このとき、ＳＴ５０２では、再び、ステップＳＴ４０４で評価した各作業エリアの安全性評価結果が参照される。当該参照にあたり、確認作業評価部２０７は、安全分析部２０５に対して、ステップＳＴ４０４を再実行するよう要求する。安全分析部２０５は、当該要求に従って、現時点における安全性への影響分析を行う。この例では、現場保守員１０が上記安全対策を確認し、「機器Ｃの異常動作停止」を行ったため、共通原因事象として「機器Ｃの異常動作」が除去されたことになる。そのため、安全分析部２０５は、安全性影響として「無し」という結果を、確認作業評価部２０７に返す。

　確認作業評価部２０７は、安全分析部２０５から受け取った安全性評価に従って、ステップＳＴ５０２を行い、確認作業「機器Ａ動作ログ採取」を作業エリア１で行う場合には、安全性リスクが一定程度低下し、レベル「低」になったと評価する。さらに、確認作業評価部２０７は、ステップＳＴ５０３を行い、上述した基準に従って、当該確認作業を「実行可能」と評価する。この例では、作業エリア１における確認作業「機器Ａ動作ログ採取」は、安全性リスク「低」、かつ実行可能性「実行可」と再評価している。

　（図５：ステップＳＴ５０５）確認作業間の依存関係を分析
　これまでの処理では、確認作業評価部２０７は、現場確認作業リスト９０１に含まれる確認作業のそれぞれについて、安全性リスク、実行可能性を評価し、さらに再評価した。次の処理では、確認作業評価部２０７は、確認作業リストに含まれる各確認作業間の依存関係を調べる。確認作業評価部２０７は、図３Ｄに示した確認作業データベース２１３を用いて、各確認作業の具体的な作業内容を示す作業手順、他の作業への影響を調べる。

　確認作業の依存関係の観点としては、確認作業の実行順により、他の確認作業の妨げにならないか、あるいは順番を入れ替えると実行可能か、という点が挙げられる。また、確認作業で採取すべきデータが他の確認作業によって変更、削除されないか、という点が挙げられる。具体例としては、「他の確認作業では再起動や試験動作を行う。これらの再起動や試験動作によってメモリ上のデータが変更、または、削除される可能性がある。そのため、これらの再起動や試験動作より前にメモリ上のデータを採取する作業が必要である。」などの依存例がある。

　確認作業評価部２０７は、図３Ｄに示した確認作業データベース２１３に記憶されている項目「他の確認作業との依存関係」を参照し、当該項目の内容を解析したり、各確認作業の項目「作業手順」のすべてを読み取って内容を解析する。確認作業評価部２０７は、これらの解析の結果から、各作業手順の時間的な順序を判断することにより、各確認作業の先行関係を決定する。確認作業評価部２０７は、上記のように依存関係を確認し、依存関係確認結果として出力する。

　（図５：ステップＳＴ５０６）確認作業の実行順序決定
　確認作業評価部２０７は、実行可能性の評価と依存関係の確認を行った各確認作業の実行順序を定める。
確認作業評価部２０７は、基本的な優先順位の選定基準は、安全性上リスクが低く実行可能で、かつ他の作業との依存関係のない、または依存関係上、先行すべき作業を高く評価し、その作業から選定していく。

　実行順序策定の例としては、次の方法がある。確認作業評価部２０７は、まず、（１）安全対策不要で安全性リスクが低く、実行可能性を「実行可」と評価した確認作業のうち、他の作業との依存関係のない作業を優先的に実行する作業に選定する。次に、確認作業評価部２０７は、（２）安全対策を実施した上で安全性のリスクを低減し、実行可能性を「実行可」と評価した作業のうち、依存関係上優先すべき作業から順に実行する作業に選定する。（２）のように選定された確認作業は、上述したステップＳＴ５０２、ＳＴ５０３で安全性リスク、実行可能性が再評価された確認作業である。

　ステップＳＴ５０５とステップＳＴ５０６を実施した際に作成する現場確認作業リストの例を、図１１に示す。例えば、確認作業評価部２０７は、安全性リスクが高く、実行可能性が実行不可となっていた確認作業を特定する。確認作業評価部２０７は、特定した確認作業について、安全性リスクを高める要因となっていた、作業エリア１の安全性を確保するため、安全対策データベース２１４の安全対策に基づき、機器Ｃの動作を停止する手順を追加する。図１１では、順番「２」のレコードに、「（１）安全対策のため動作停止」が追加されている。この手順を追加することで、作業エリア１の安全性リスクを低下させることができ、全ての作業が実行可能となる。つまり、ステップＳＴ５０４で説明した安全性リスクや実行可能性を再評価する際に、図１１に示したような現場確認作業リスト１１０１を出力し。当該リストを参照して、現場保守員１０が当該確認作業の作業手順（この場合は、機器Ｃについて、確認作業「機器Ｃの故障診断とログ採取」の作業手順「（１）安全対策のため動作停止」）を行う。これにより、作業エリア１で行われる他の確認作業（この例では、順番「３」、「４」の確認作業）の安全性リスクが「低」、実行可能性が「実行可能」となる。

　この例では、作業順番について、確認作業評価部２０７は、実行依存関係のない機器Ｂのログ採取を優先し（順番１）、その後、安全対策手順を含む機器Ｃの故障診断とログ採取を実施する（順番２）。さらに、確認作業評価部２０７は、機器Ａのログ採取においては、機器Ａの再起動前にログを採取する依存性からききＡ動作ログ採取を再起動よりも前に実施する(順番３)。最後に、確認作業評価部２０７は、機器Ａ再起動後、動作ログ採取を実施する（順番４）。

　＜図６：確認作業の画面出力から確認結果による再分析までのフローチャート＞
　図６は、上記のとおり作成された確認作業リストが情報端末機８０の画面表示部７０１に表示され、現場保守員１０による確認作業の結果を受けて、確認作業リストの再作成を行うまでのフローチャートを示した図である。

　（図６：ステップＳＴ６０１）確認作業の画面表示
　監視出力部２０８は、ステップＳＴ５０６の出力である実行順序を含めた確認作業リストを受けて、情報端末機８０の画面表示部７０１に確認作業リストを送る。画面表示部７０１は、現場保守員１０に対し、確認作業リストを表示する。

　＜図７：画面表示部における確認作業リストの表示例＞
　図７は、画面表示部７０１が表示する確認作業リストの例を示す図である。画面表示部７０１が表示する項目は、図９～１１を用いて説明した現場確認作業リストの各項目の一部または全部を含む。

　（図６：ステップＳＴ６０２）確認作業と障害分析支援システムへのアップロード
　現場保守員１０は、画面表示部２０９に表示された確認作業リストを確認し、原因分析に必要な確認作業を把握する。現場保守員１０は、画面表示部７０１に表示された確認作業の順番に沿って、確認作業を実施する。情報端末機８０の画面表示部７０１は、現場保守員１０からの操作を受けて、実施された確認作業に伴って機器やシステムから取得した作業結果のデータ(現場確認データと称す)を、障害分析支援システム２０にアップロードする。例えば、画面表示部７０１は、現場保守員１０からの操作を受けて、機器Ａのログデータを取得する。現場保守員１０は、ＵＳＢメモリなどの記録媒体を機器Ａに接続し、機器Ａと接続された制御装置２０１が、機器Ａのログデータを障害分析支援システム２０の監視入力部２０２に送信するとともに、上記ＵＳＢメモリに記録する。監視入力部２０２は、上記送信されたログデータを、障害分析支援システム２０の機器監視ログデータベース２１０に記録される。

　画面表示部２０９は、上記ログデータが取得され、一つの確認作業が完了すると、確認作業リストの対象作業の状態を「未実施」から「完了」に書き換える。画面表示部２０９は、現場確認作業リストの作業手順に含まれる全ての作業が実行された旨の情報の入力を現場保守員１０から受け付けることにより、当該書き換えを実行できる。なお、上記状態は、データがアップロードされたタイミングで、現場保守員１０が現場確認作業リストを手動で操作し、上記状態を更新しても良い。画面表示部２０９は、上記状態を更新した現場確認作業リストのうち、更新した上記状態が「完了」となった確認作業以外の確認作業により構成された新たな現場確認作業リストを再作成し、画面に表示する。これにより、完了した確認作業を除く、未完了の確認作業のみを含む新たな現場確認作業リストを現場保守員１０に提示できる。

　（図６：ステップＳＴ６０３）確認データによる原因分析と確認作業の再分析
　障害分析支援システム２０は、上記送信されたログデータを用いて、原因分析を行う。障害分析支援システム２０は、共通原因事象の発生状況などを確認し、推定原因の正確性を確認する。共通原因事象の発生状況の有無によって、考えられる推定原因を絞込み、確認作業内容を限定する。すなわち、障害分析支援システム２０は、上記送信されたログデータを新たに機器監視ログデータベース２１０に蓄積することにより、完了した確認作業の結果得られたログを踏まえて、制御システムの異常検知、原因推定、真因の究明といった、図４以降の各処理を実行できる。上記ログには、制御装置２０１の動作ログや制御システム２００のシステム稼働状態などを含む機器監視データや、現場保守員１０が確認作業で取得した現場確認データを含む。

　＜図８：障害分析支援システムのハードウェア構成例＞
　図８は、障害分析支援システム２０のハードウェア構成の例を示す。障害分析支援システム２０の基本構成は、プログラム等を実行するＣＰＵ（ＣｅｎｔｒａｌＰｒｏｃｅｓｓｉｎｇＵｎｉｔ）８０１、各機能を実現するプログラム、テーブル、プログラムのデータなどを記録するＲＯＭ(Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ)８０２、ファイル等の情報を保存する揮発性のＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）８０３、また、データベースなどを記録するストレージ８０４、人の操作入力等を行うためのインタフェースとなる入力装置８０５、操作画面やデータ等を表示するための表示装置８０６、制御システム２００との通信を行うためのネットワークインタフェース８０７からなる。

　ＣＰＵ８０１が備える各機能部は、その機能を実装した回路デバイスを用いて構成することもできるし、その機能を実装したソフトウェアをＣＰＵ８０１が実行することにより構成することもできる。

　制御装置２０１や情報端末機器８０についても、図８に示したコンピュータにより構成されてよい。

　＜まとめ＞
　ステップＳＴ４０１の制御システムの異常検知からステップＳＴ６０１の確認作業の画面表示までの処理を実行することで、制御システムの異常を検知したときに、現場保守員が現場確認作業を安全でかつ効率的に実施できる。また、ステップＳＴ４０１の制御システムの異常検知からステップＳＴ６０３の再分析までを繰り返し実施することで、安全性を保ちつつ、確認作業の依存関係を考慮した上で、確認作業と原因究明を進めることが可能となる。

　以上説明したように、本実施例に係る障害分析支援システムによれば、制御システムの異常を検知したときに、原因究明に必要な現場確認作業を導出し、確認作業を安全でかつ効率的に実施するための安全対策と作業の優先順位を現場保守員に通知することで、現場保守員が現場確認作業を安全でかつ効率的に実施できるようになる。

　例えば、図５のステップＳＴ５０１－ＳＴ５０３等を用いて説明したように、一つまたは複数の機器からなる制御システム２００の障害分析を支援する障害分析支援システム２０において、上記機器の動作状態に関する機器監視データを収集し機器監視ログデータベース２１０に蓄積する監視入力部２０２と、上記機器監視データを監視して上記制御システムの異常を検知する異常検知部２０３と、上記制御システムの異常と当該異常から推定される原因とを対応付けて記憶する異常原因データベース２１１と、検知された上記制御システムの異常とに基づいて、原因を推定する原因推定部２０４と、上記制御システムの異常と、推定された上記原因を共通の原因とする共通原因事象と、上記制御システムの稼働状態と、上記機器の異常に伴って生じる作業エリアにおける安全性への影響を示す安全性影響とを対応付けて記憶するシステム異常動作データベース２１２を用いて、推定された上記原因を確認するための作業の安全性への影響を分析する安全分析部２０５と、上記推定された原因と上記共通原因事象とを用いて、上記推定された原因が真因であるかを調べるための作業をリスト化した確認作業と、当該確認作業を行う上記作業エリアとを対応付けて記憶する確認作業データベース２１３から、当該推定された原因および上記共通原因事象に対応する確認作業を検索し、当該検索の結果を確認作業リストとして導出する確認作業導出部２０６と、上記安全性への影響の分析結果と、上記確認作業リストに含まれる上記確認作業とに基づき、上記確認作業の安全性を評価し、当該評価の結果を反映した上記確認作業リストを出力する確認作業評価部２０７と、を有するので、制御システムの異常を検知したときに、現場保守員が現場確認作業を安全でかつ効率的に実施できるようになる。

　また、図５のステップＳＴ５０６等を用いて説明したように、上記確認作業データベースには、上記確認作業と他の確認作業との依存関係が記憶され、上記確認作業評価部は、上記確認作業リストに含まれる各確認作業間の依存関係を調べ、依存関係上、先行すべき確認作業の優先順位を高く評価する。これにより、現場保守員が作業順序を意識することなく、効率よく現場確認作業を行うことができる。

　また、図５のステップＳＴ５０４等を用いて説明したように、上記確認作業評価部は、上記確認作業と、当該確認作業の安全性リスクを軽減するための安全対策とを対応付けてする安全対策データベース２１４から、安全性リスクの高い確認作業についての上記安全対策を検索し、当該検索の結果に該当する安全対策により、上記安全性リスクの軽減効果を評価し、上記安全対策された後の上記確認作業の実行可能性を再評価する。これにより、安全対策を行った場合の評価に基づいて、現場確認作業を実施できる。

　また、上記確認作業評価部は、上記安全対策として、複数からなる上記確認作業の実行順序の入替え、上記確認作業で操作される機器の移動、安全性リスクの高い機器または当該機器を含めた上記制御システムの稼働停止の少なくとも一つを行うことにより、上記安全性リスクを低減する。これにより、これらの対策に基づいた安全性リスクの低減が可能となる。

　また、図７等を用いて説明したように、上記確認作業評価部で評価した上記優先順位を含む上記確認作業リストを画面に表示する画面表示部２０９、を有するので、現場保守員は、行うべき確認作業やその順序を容易に把握することができる。

　また、図６等を用いて説明したように、上記監視入力部は、現場保守員により行われた上記確認作業で得られたデータを確認データとして取り込み、上記障害分析支援システムは、さらに、上記取り込まれた上記確認データを用いて、上記原因推定部、上記安全分析部、上記確認作業導出部、上記確認作業評価部、の各処理を行うことにより、上記推定された原因の真因を究明する。これにより、推定された原因を分析しながら、その真因を究明したり、当該究明のための調査を行うことができる。

　＜変形例について＞
　本発明は、上記実施形態に限らず様々な変形例が含まれる。
例えば、上記実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能である。また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、安全性分析部による安全性リスクへの影響を作業エリアに限らず、作業に用いる機器や作業内容ごとにリスクを評価しても良い。

１０…現場保守員、２０…障害分析支援システム、３０…自動搬送装置、４０…自動搬送装置、５０…ロボットアーム、６０…コンベア機器、７０…通信ネットワーク、８０…情報端末機器、２００…制御システム、２０１…制御装置、２０２…監視入力部、２０３…異常検知部、２０４…原因推定部、２０５…安全分析部、２０６…確認作業導出部、２０７…確認作業評価部、２０８…監視出力部、２０９…画面表示部、２１０…機器監視ログデータベース、２１１…異常原因データベース、２１２…システム異常動作データベース、２１３…確認作業データベース、２１４…安全対策データベース、８０１…ＣＰＵ、８０２…ＲＯＭ、８０３…ＲＡＭ、８０４…ストレージ、８０５…入力装置、８０６…表示装置、８０７…ネットワークインタフェース

Claims

　一つまたは複数の機器からなる制御システムの障害分析を支援する障害分析支援システムであって、
　前記機器の動作状態に関する機器監視データを収集し機器監視ログデータベースに蓄積する監視入力部と、
　前記機器監視データを監視して前記制御システムの異常を検知する異常検知部と、
　前記制御システムの異常と当該異常から推定される原因とを対応付けて記憶する異常原因データベースと、検知された前記制御システムの異常とに基づいて、原因を推定する原因推定部と、
　前記制御システムの異常と、推定された前記原因を共通の原因とする共通原因事象と、前記制御システムの稼働状態と、前記機器の異常に伴って生じる作業エリアにおける安全性への影響を示す安全性影響とを対応付けて記憶するシステム異常動作データベースを用いて、推定された前記原因を確認するための作業の安全性への影響を分析する安全分析部と、
　前記推定された原因と前記共通原因事象とを用いて、前記推定された原因が真因であるかを調べるための作業をリスト化した確認作業と、当該確認作業を行う前記作業エリアとを対応付けて記憶する確認作業データベースから、当該推定された原因および前記共通原因事象に対応する確認作業を検索し、当該検索の結果を確認作業リストとして導出する確認作業導出部と、
　前記安全性への影響の分析結果と、前記確認作業リストに含まれる前記確認作業とに基づき、前記確認作業の安全性を評価し、当該評価の結果を反映した前記確認作業リストを出力する確認作業評価部と、
　を有することを特徴とする障害分析支援システム。
　前記確認作業データベースには、前記確認作業と他の確認作業との依存関係が記憶され、
　前記確認作業評価部は、前記確認作業リストに含まれる各確認作業間の依存関係を調べ、依存関係上、先行すべき確認作業の優先順位を高く評価する、
　ことを特徴とする請求項１に記載の障害分析支援システム。
　前記確認作業評価部は、前記確認作業と、当該確認作業の安全性リスクを軽減するための安全対策とを対応付けてする安全対策データベースから、安全性リスクの高い確認作業についての前記安全対策を検索し、当該検索の結果に該当する安全対策により、前記安全性リスクの軽減効果を評価し、前記安全対策された後の前記確認作業の実行可能性を再評価する、
　ことを特徴とする請求項２に記載の障害分析支援システム。
　前記確認作業評価部は、前記安全対策として、複数からなる前記確認作業の実行順序の入替え、前記確認作業で操作される機器の移動、安全性リスクの高い機器または当該機器を含めた前記制御システムの稼働停止の少なくとも一つを行うことにより、前記安全性リスクを低減する、
　ことを特徴とする請求項３に記載の障害分析支援システム。
　前記確認作業評価部で評価した前記優先順位を含む前記確認作業リストを画面に表示する画面表示部、
　を有することを特徴とする請求項２に記載の障害分析支援システム。
　前記監視入力部は、現場保守員により行われた前記確認作業で得られたデータを確認データとして取り込み、
　前記障害分析支援システムは、さらに、前記取り込まれた前記確認データを用いて、前記原因推定部、前記安全分析部、前記確認作業導出部、前記確認作業評価部、の各処理を行うことにより、前記推定された原因の真因を究明する、
　ことを特徴とする請求項５に記載の障害分析支援システム。
　コンピュータにより、一つまたは複数の機器からなる制御システムの障害分析を支援する障害分析支援方法であって、
　前記機器の動作状態に関する機器監視データを収集し機器監視ログデータベースに蓄積し、
　前記機器監視データを監視して前記制御システムの異常を検知し、
　前記制御システムの異常と当該異常から推定される原因とを対応付けて記憶する異常原因データベースと、検知された前記制御システムの異常とに基づいて、原因を推定し、
　前記制御システムの異常と、推定された前記原因を共通の原因とする共通原因事象と、前記制御システムの稼働状態と、前記機器の異常に伴って生じる作業エリアにおける安全性への影響を示す安全性影響とを対応付けて記憶するシステム異常動作データベースを用いて、推定された前記原因を確認するための作業の安全性への影響を分析し、
　前記推定された原因と前記共通原因事象とを用いて、前記推定された原因が真因であるかを調べるための作業をリスト化した確認作業と、当該確認作業を行う前記作業エリアとを対応付けて記憶する確認作業データベースから、当該推定された原因および前記共通原因事象に対応する確認作業を検索し、当該検索の結果を確認作業リストとして導出し、
　前記安全性への影響の分析結果と、前記確認作業リストに含まれる前記確認作業とに基づき、前記確認作業の安全性を評価し、当該評価の結果を反映した前記確認作業リストを出力する、
　ことを特徴とする障害分析支援方法。