CN103902643A - 事件解析装置、存储介质、及事件解析方法 - Google Patents

Abstract

本发明涉及一种事件解析装置，其具有：事件日志收集部，其收集包含有事件的发生日期和时间、事件发生设备的设备识别符、以及事件的事件类别识别符在内的事件日志；事件日志保存部，其针对每个将设备识别符和事件类别识别符结合而成的设备事件，将事件日志变换为以时间序列表示设备事件是否发生的事件矩阵而保存；以及事件解析部，其通过将事件矩阵分割为规定的基准时间宽度的区块，针对各区块判定各设备事件是否发生，从而计算设备事件之间的条件概率，构筑贝叶斯网络，该事件解析部使用所构筑的贝叶斯网络，确定作为解析对象的设备事件的原因的设备事件或之后会发生的设备事件。

Description

事件解析装置、存储介质、及事件解析方法

技术领域

本发明涉及对在工厂中发生的警报或操作者的操作顺序等事件进行解析，并获取事件因果关系的事件解析装置、存储有进行事件解析的计算机程序的非易失性计算机可读取存储介质、及事件解析方法。

本申请主张在2012年12月27日申请的日本专利申请第2012－284529的优先权，并将该专利申请的内容引用在本说明书中。

背景技术

已知一种事件解析装置，其在分布控制系统等中使用，该分布控制系统使用分布配置在工厂中的现场控制器等的控制系统，对传感器或致动器等现场设备组进行控制，该事件解析装置获取在工厂中发生的警报或操作者的操作步骤等事件，并进行解析。

图12是说明现有的事件解析装置的结构的框图。如图12所示，事件解析装置300具有事件日志收集部310和事件显示部320。

针对控制系统340的操作者操作记录或警报等事件，存在由控制系统340作为日志保存的情况、和由数据库350保存的情况，事件日志收集部310从其中一个或这两者收集事件日志，记录在设置于内部或外部的存储装置中。

事件日志收集部310针对收集到的事件组，进行各事件发生频率或发生比例运算等统计处理，并经由事件显示部320将事件列表或发生状况柱状图、统计处理结果等显示在显示装置330上。用户能够通过参照在显示装置330上显示的上述信息，而实现工厂作业效率的提高等。

在日本特开2007－164463号公报、J.Pearl “Probabilistic Reasoning in Intelligent Systems: Networks of Plausible Inference”，Morgan Kaufmann1988、以及须枪弘树《ベイジアンネットワーク入門（1）》MEDICAL IMAGING TECHNOLOGY Vol.21No.4September2003中，公开有相关技术。

工厂中发生的警报或操作者的操作步骤等事件，大多并不是独立的，而是具有相关性。例如，有时会由特定的操作引起某次警报，或在某次警报之后发生其它警报等。

目前，在事件解析装置中仅进行简单的统计处理等解析，因此，事件之间的关系必须由用户来判断，但如果能够实现可掌握所发生的事件因果关系的解析，则事件原因推定、事件后发生事件的预测变得容易，因此会很方便。

发明内容

本发明的一个方式是提供能够掌握事件因果关系的事件解析装置、存储有进行事件解析的计算机程序的非易失性计算机可读取存储介质、以及事件解析方法。

本发明一个方式的事件解析装置，其对事件进行解析，该事件包含有在多个设备中发生的警报、和以所述设备为对象的操作，在该事件解析装置中，具有：事件日志收集部，其收集事件日志，该事件日志中包含所述事件的发生日期和时间、发生了所述事件的所述设备的设备识别符、及所述事件的事件类别识别符；事件日志保存部，其针对每个将所述设备识别符和所述事件类别识别符结合而成的设备事件，将所述事件日志变换为以时间序列表示所述设备事件是否发生的事件矩阵，而进行保存；以及事件解析部，其通过将所述事件矩阵分割为规定的基准时间宽度的区块，针对每个所述区块判定各设备事件是否发生，从而计算所述设备事件之间的条件概率，构筑贝叶斯网络，该事件解析部使用所构筑的所述贝叶斯网络，确定作为解析对象的设备事件的原因的设备事件、或之后会发生的设备事件。

在所述事件解析装置的基础上，能够使所述事件日志保存部以所述事件日志的最小时间单位宽度设定所述事件矩阵的时间序列。

在所述事件解析装置的基础上，能够使所述基准时间宽度可变。

在所述事件解析装置的基础上，能够使所述事件解析部，通过基于每个所述区块的各所述设备事件是否发生而计算所述设备事件的独立发生概率和所述设备事件之间的同时发生概率，从而计算所述设备事件之间的条件概率。

在所述事件解析装置的基础上，能够使所述事件解析部确定对象的所述设备事件，通过将发生所述设备事件的所述区块的数量除以所述区块的总数而计算所述独立发生概率，并且所述事件解析部确定所述设备事件的配对，通过将发生所述配对中的两者的所述设备事件的所述区块的数量除以所述区块的总数而计算所述同时发生概率。

本发明其它方式的非易失性计算机可读取存储介质，其存储有计算机程序，该计算机程序对事件进行解析，该事件包含有在多个设备中发生的警报、和以所述设备为对象的操作，其中，所述计算机程序被执行而进行下述动作：收集事件日志，该事件日志中包含所述事件的发生日期和时间、发生了所述事件的所述设备的设备识别符、以及所述事件的事件类别识别符，针对每个将所述设备识别符和所述事件类别识别符结合而成的设备事件，将所述事件日志变换为以时间序列表示所述事件是否发生的事件矩阵，而进行保存，通过将所述事件矩阵分割为规定的基准时间宽度的区块，针对每个所述区块判定各所述设备事件是否发生，从而计算所述设备事件之间的条件概率，构筑贝叶斯网络，使用所构筑的所述贝叶斯网络，确定作为解析对象的设备事件的原因的设备事件、或之后会发生的设备事件。

在所述非易失性计算机可读取存储介质的基础上，也可以使所述计算机程序被执行而进行下述动作：以所述事件日志的最小时间单位宽度设定所述事件矩阵的时间序列。

在所述非易失性计算机可读取存储介质的基础上，也可以使所述基准时间宽度可变。

在所述非易失性计算机可读取存储介质的基础上，也可以使所述计算机程序被执行而进行下述动作：通过基于每个所述区块的各所述设备事件是否发生而计算所述设备事件的独立发生概率和所述设备事件之间的同时发生概率，从而计算所述设备之间的条件概率。

在所述非易失性计算机可读取存储介质的基础上，也可以使所述计算机程序被执行而进行下述动作：确定对象的所述设备事件，通过将发生所述设备事件的所述区块的数量除以所述区块的总数而计算所述独立发生概率，并且确定所述设备事件的配对，通过将发生所述配对中的两者的所述设备事件的所述区块的数量除以所述区块的总数而计算所述同时发生概率。

本发明其它方式的事件解析方法为，包含有在多个设备上发生的警报和以所述设备为对象的操作，该事件解析方法包括以下步骤：收集事件日志的步骤，该事件日志包含所述事件的发生日期和时间、发生了所述事件的所述设备的设备识别符、及所述事件的事件类别识别符；针对每个将所述设备识别符和所述事件类别识别符结合而成的设备事件，将所述事件日志变换为以时间序列表示所述事件是否发生的事件矩阵，而进行保存的步骤；通过将所述事件矩阵分割为规定的基准时间宽度的区块，针对每个所述区块判定各所述设备事件是否发生，从而计算所述设备事件之间的条件概率，构筑贝叶斯网络的步骤；以及使用所构筑的所述贝叶斯网络，确定作为解析对象的设备事件的原因的设备事件、或之后会发生的设备事件的步骤。

在所述事件解析方法的基础上，也可以在变换为所述事件矩阵而保存的步骤中，以所述事件日志的最小时间单位宽度设定所述事件矩阵的时间序列。

在所述事件解析方法的基础上，也可以使所述基准时间宽度可变。

在所述事件解析方法的基础上，也可以在构筑所述贝叶斯网络的步骤中，通过基于每个所述区块的各所述设备事件是否发生而计算所述设备事件的独立发生概率和所述设备事件之间的同时发生概率，从而计算所述设备事件之间的条件概率。

在所述事件解析方法的基础上，也可以在构筑所述贝叶斯网络的步骤中，确定对象的所述设备事件，通过将发生所述设备事件的所述区块的数量除以所述区块的总数而计算所述独立发生概率，并且确定所述设备事件的配对，通过将发生所述配对中的两者的所述设备事

件的所述区块的数量除以所述区块的总数而计算所述同时发生概率。

附图说明

图1是表示本实施方式所涉及的事件解析装置的结构的框图。

图2是对事件日志收集部和事件日志保存部的动作进行说明的流程图。

图3是表示事件日志的一个例子的图。

图4是表示事件矩阵的一个例子的图。

图5是对事件解析部基于事件矩阵而构筑贝叶斯网络的处理进行说明的流程图。

图6是表示设备事件的发生概率的例子的图。

图7是表示设备事件的同时概率的例子的图。

图8A是表示进行将所输入的液体冷却后输出的控制的工厂的例子的图。

图8B是表示在图8A中示出的工厂中构筑的贝叶斯网络的例子的图。

图9是说明贝叶斯网络的节点概率的图。

图10是对事件解析部使用贝叶斯网络进行事件解析的处理进行说明的流程图。

图11是表示事件解析结果的显示例的图。

图12是说明现有的事件解析装置的结构的框图。

具体实施方式

参照附图对本发明的一个实施方式进行说明。图1是表示本实施方式所涉及的事件解析装置的结构的框图。如图1所示，事件解析装置100具有事件日志收集部110、事件日志保存部120、事件解析部130、和解析结果显示部140。

事件解析装置100可使用个人计算机、服务器计算机等通用的信息处理装置而构成。即，信息处理装置具有非易失性计算机可读取存储介质，其中，该非易失性计算机可读取存储介质存储有用于进行以下处理的计算机程序，通过执行该计算机程序，该信息处理装置能够作为事件解析装置100起作用。当然，事件解析装置100也可以使用专用装置构成。

事件日志收集部110与现有技术同样地，从与事件日志收集部110连接的控制系统、数据库等收集事件日志。在事件日志中包含有事件发生的日期和时间、事件发生设备的识别符（标签）、和事件类别的识别符等。

事件日志保存部120将事件日志收集部110收集到的事件日志记录在数据库（DB）150中并进行管理。事件日志保存部120在将事件日志记录在DB150中时，将其变换为适于由事件解析部130进行解析的形式。

具体地说，按照下述方式生成矩阵，即，沿纵向设定事件日志的最小时间单位的时间轴，沿横向排列将设备识别符和事件类别识别符结合而成的项目。然后，对于事件日志中所包含的事件，变换为下述形式：在与发生的日期和时间、和发生的设备及事件类别相对应的列中，输入标记。

以下将对事件日志进行变换而得到的数据称为“事件矩阵”，将设备与事件类别的组合称为“设备事件”。例如，将在设备“TAG1”上发生的事件“ALARM1”记为设备事件“TAG1:ALARM1”。

对事件矩阵进行记录的DB150，能够记录大量的事件矩阵，可使用具有灵活的水平扩展性的NoSQL等分布式DB。由此，能够灵活地应对事件矩阵为大容量的情况、或在工厂作业中设备数量变化的情况等。也可以使用RDB。

事件解析部130是使用贝叶斯网络对设备事件之间的因果关系进行解析的功能部。因此，事件解析部130进行以下处理：基于由事件日志保存部120生成的事件矩阵而构筑贝叶斯网络的处理；针对解析对象的设备事件，使用贝叶斯网络对作为设备事件的原因的设备事件和预测之后可能发生的设备事件进行解析的处理；以及经由解析结果显示部140将解析结果显示在显示装置160上的处理。

贝叶斯网络是利用概率记述因果关系的图形模型的1种，是一种概率推理模型，即，通过有向图构造来表现复杂因果关系的推理，并且，以条件概率表示各变量的关系。本发明中的贝叶斯网络是指下述曲线图，其表现为将设备事件之间以单向箭头连结的形式，针对各设备事件显示发生概率，在箭头终点的设备事件处显示与箭头起点的设备事件之间的条件概率。

通过由有向图网络来表现因果特征，并在此基础上进行概率推理，从而能够预测复杂且不确定现象发生的容易度或可能性。基于截至目前累积的信息，针对各种情况分别求出可能发生的概率，按照这些现象发生的路径进行计算，从而能够定量地表示出沿着复杂路径的因果关系的发生概率。

通过使用贝叶斯网络，从而能够以概率表现作为某个设备事件的原因的设备事件。另外，能够以概率表现在某个设备事件发生后可能发生的设备事件。此外，通过使用长时间的事件日志来构筑贝叶斯网络，从而能够将季节变动或定期维护等要素也包含在解析中。

下面，对于事件解析装置100的动作进行说明。首先，参照图2的流程图，对事件日志收集部110和事件日志保存部120的动作进行说明。如果达到规定的收集定时（S101：是），则事件日志收集部110从控制系统、数据库等收集事件日志（S102）。

如图3中的一个例子所示，事件日志包含有事件发生的日期和时间、设备识别符（标签）、事件识别符。在图3的例子中，示出2012年10月21日18时00分00秒、在设备“TAG1”上发生了警报“ALARM1”，在00分03秒对设备“TAG2”进行了操作“OP1”等。

事件日志收集的定时，可以按照一定周期、来自用户的指示、规定的触发等进行指定，预先确定。

如果进行了事件日志收集，则事件日志保存部120基于事件日志生成事件矩阵（S103）。如上所述，事件矩阵是指生成下述矩阵，即，沿纵向设定事件日志的最小时间单位的时间轴，沿横向排列设备事件，将事件日志中所包含的事件变换为下述形式：在与发生的日期和时间、和发生的设备及事件类别相对应的列中输入标记。

图4表示对图3中示出的事件日志进行变换而得到的事件矩阵。在图4中，由于将事件日志的最小时间单位设为1秒，因此，事件矩阵的纵向时间间隔为1秒。另外，在横向排列由设备识别符和事件类别识别符结合而成的设备事件，因此，设定“TAG1:ALARM1”“TAG2:ALARM3”“TAG1:OP1”这样的列。实际中，沿横向设定与设备和事件类别的组合数量相应的列。

在本例中，由于在2012年10月21日18时00分00秒，在设备“TAG1”上发生了警报“ALARM1”，因此，在对应的列中输入标记（“○”）。同样地，由于在2012年10月21日18时00分03秒，对设备“TAG2”进行了操作“OP1”，因此，在对应的列中输入标记（“○”）

如果生成了事件矩阵，则事件日志保存部120将所生成的事件矩阵记录在DB150中（S104）。这时，还可以追加记录，以使得可以使用过去的数据。然后，事件日志收集部110等待下一个收集定时（S101）。

下面，参照图5的流程图，对事件解析部130基于事件矩阵而构筑贝叶斯网络的处理进行说明。如果达到规定的更新定时（S201：是），则事件解析部130参照在DB150中记录的事件矩阵（S202）。即，贝叶斯网络在规定的定时被更新。对贝叶斯网络进行更新的定时，可以按照一定周期、来自用户的指示、规定的触发等而指定，预先确定。

贝叶斯网络的构筑需要各设备事件的独立发生概率、设备事件之间的条件概率。为了计算上述概率，在本实施方式中，确定某个时间宽度例如10分钟、1个小时等，作为基准时间宽度。即，发生概率表示在基准时间内发生的概率。以基准时间宽度将事件矩阵的时间轴从开始至结束为止分割为多个区块（S203）。

基准时间宽度可对应于解析对象的工厂而确定。例如，在对以不存在流量、压力等延迟要素的设备为核心的工厂进行解析的情况下，可以将基准时间宽度设得较短。另一方面，在对以存在温度等一阶延迟要素的设备为核心的工厂进行解析的情况下，将基准时间宽度设定得较长。

在工厂中存在多种设备的情况下，也可以确定多个基准时间宽度而不是单个基准时间宽度，构筑与各时间宽度相对应的贝叶斯网络并进行解析。为了使该处理容易，事件矩阵以事件日志的最小时间单位设定时间轴。

确定对象的设备事件，对于各区块，判断是否发生了哪怕1次对象的设备事件，对发生设备事件的区块数进行计数。通过将该计数值除以整个期间的区块数，从而能够针对对象的设备事件计算其发生概率。通过对全部设备事件进行上述处理，从而能够计算出图6所示的各设备事件的发生概率（S204）。

然后，确定对象的设备事件的配对，对两个设备事件均发生的区块数进行计数。通过将该计数值除以整个期间的区块数，从而针对对象的设备事件配对，计算其同时概率。通过对全部设备事件配对对进行该处理，从而能够计算出图7所示的各设备事件配对的同时发生概率。

根据设备事件的独立发生概率和设备事件配对的同时发生概率，对于设备事件之间而计算条件概率（S206）。在这里，条件概率是在发生了设备事件A的情况下发生设备事件B的概率，能够根据设备事件A、设备事件B的独立发生概率、设备事件A与设备事件B的同时发生概率，通过贝叶斯定理进行计算。具体地说，在发生了设备事件A的情况下，设备事件B发生的概率，通过将设备事件A和设备事件B的同时发生概率除以设备事件A的独立发生概率而计算出。

最后，根据各设备事件之间的条件概率构筑贝叶斯网络（S207）。在贝叶斯网络的构筑中，可以使用MWST法或K2法等已知方法或其它方法。在MWST法中，使用任意的设备事件配对的关联信息量，在K2法中，使用信息量基准而提取设备事件之间的因果关系。基于设备事件的发生概率和事件之间的条件概率，计算关联信息量、信息量基准。

对于使用K2法构筑贝叶斯网络的方法的一个例子进行说明。在K2法中，为了推定曲线图构造，针对各事件生成与父候选的构造假定，使用信息量基准进行评价。信息量基准包括Cooper法、MDL（Minimum Description Length）等。以下对于MDL进行说明。在使用MDL的情况下，基于下式计算MDL值，进行使用该MDL值确定父节点的处理。

[公式1]

$-\underset{i=1}{\overset{k}{\mathrm{\Σ}}}\underset{j=0}{\overset{1}{\mathrm{\Σ}}}{n}_{\mathrm{ij}}\log \frac{n_{\mathrm{ij}}}{n_i}+\frac{1}{2}k\left(\log N\right)$

n_ij:在取第i个父变量的值的情况下，事件值为j的次数

k：父变量的数量（＝2^{父节点个数}）

N:数据数量

在使用K2法的情况下，需要预先针对作为解析对象的事件确定发生顺序。确定事件发生顺序的方法如下：

（1）从事件日志的记录开始时刻T_start开始，以一定时间宽度Δt切取时间窗。

（2）记录在T_start＋（k－1）Δt和T_start＋kΔt（k＝1、2、3…）之间发生的事件及发生顺序（或事件发生时间与T_start＋（k－1）Δt的差）。

（3）根据组中存在的全部事件设定事件配对，对于各事件配对Pair（e_i，e_j）e_i≠e_j，重复执行步骤（4）至（5）。

（4）基于上述步骤（2）的记录，在T_start＋（k－1）Δt和T_start＋kΔt（k＝1、2、3…）之间出现e_i、e_j两者的情况下，如果发生顺序是在e_i之后发生e_j，则使N_i→j递增，如果发生顺序是在e_j之后发生e_i，则使N_j→i递增，如果e_i、e_j大致同时发生（例如在1分钟以内），使N_i≈j递增。

（5）将N_i→j、N_j→i及N_i≈j进行比较，将次数最多的发生顺序确定为e_i、e_j的发生顺序，返回至上述步骤（2）。

（6）基于各事件配对的发生顺序，确定全部事件的发生顺序。

在确定了全部事件的发生顺序之后，按照下述步骤构筑贝叶斯网络：

（1）以发生顺序对事件进行排序。

E_g={e₁，e₂，···，e_k}

k:组内存在的事件数量

事件发生顺序：e₁→e₂→···e_k

（2）对于组内的各事件e_i（i＝1、2、···k），重复进行下述步骤（3）至（7）。

（3）将事件e_i定义为根（不存在父节点），使用MDL信息量基准进行评价。由于不存在父节点，因此MDL的算式如下。

（式2）

$-n_{e_i=1}\log p(e_i=1)-n_{e_i=0}\log p(e_i=0)+\frac{1}{2}\log N$

（4）将事件e_i定义为子节点，检索在事件e_i之前发生的事件e_p（p<i），将各事件e_p（p<i）设为父节点候选，基于下述MDL信

息量基准进行评价。

（式3）

$-n_{e_i=0,e_p=0}\log P(e_i=0|e_p=0)-n_{e_i=0,e_p=0}\log P(e_i=1|e_p=0)$

$-n_{e_i=0,e_p=0}\log P(e_i=0|e_p=1)-n_{e_i=0,e_p=0}\log P(e_i=1|e_p=1)+\frac{2}{2}\left(\log N\right)$

（5）在步骤（3）中得到的MDL值比在步骤（4）中得到的全部MDL值小的情况下，将事件e_i确定为根，返回至步骤（2）。在其它情况下，从候选的父节点e_p（p<i）中选择MDL值最小的事件。

（6）在存在没有选出的父节点候选的情况下，将没有选出的父节点候选一个一个地添加到已经选出的父节点中，重新计算各MDL值。

（7）在已经选出的父节点的MDL值比在步骤（6）中得到的全部MDL值小的情况下，将事件e_i的父节点确定为已选出的节点，返回至步骤（2）。在其它情况下，选出在步骤（6）中得到最小的MDL值的父节点的组合，返回至步骤（6）。

图8A示出进行将所输入的液体冷却后输出的控制的工厂的例子。图8A中示出的工厂10具有：冷却系统11，其对所输入的液体进行冷却后输出；以及管理系统12，其对冷却系统11的各设备的警报等事件进行保存。冷却系统11具有：储存箱20，其对输入的液体进行贮藏；泵30，其将所输入的液体输送至热交换机40；以及热交换机40，其对所输入的液体进行冷却。对于输入到储存箱20中的液体，由输入流量传感器F001（50）测量流量，由输入温度传感器T001（60）测量温度。经过热交换机40冷却后的液体，由冷却系统流量传感器F011（51）测量流量，由冷却系统温度传感器T011（61）测量温度。从储存箱20输出的液体由输出流量传感器F002（52）测量流量，由输出温度传感器T002（62）测量温度。在泵30上连接有用于检测泵30故障的检测部31。在热交换机40上连接有用于检测热交换机40故障的检测部41。管理系统12具有控制系统70和数据库80。冷却系统11的各设备的警报等事件，被保存在控制系统70和/或数据库80中。事件解析装置100从控制系统70和/或数据库80中收集事件日志并进行解析。图8B表示在图8A中示出的工厂10中构筑的贝叶斯网络的例子。在本例中，作为设备事件，设定有“泵：故障”“热交换机：故障”“输入流量传感器F001:LowAlarm”等。

如图8B所示，贝叶斯网络表现为下述形式，即，以节点示出各设备事件，将节点之间用单向箭头连结。在贝叶斯网络中，如图9所示，对各节点标注概率，对箭头终点的节点标注与父节点之间的条件概率。在图9中，作为父节点的设备事件D1不会独立发生的概率（D1＝0）为0.999，发生的概率（D1＝1）为0.001，作为父节点的设备事件D2不会独立发生的概率（D2＝0）为0.998，发生的概率（D2＝1）为0.002。例如，在发生了设备事件D1（D1＝1）且发生了设备事件D2（D2＝1）的情况下，发生设备事件T1的条件概率（P（T1|D1,D2）＝1为0.950，不会发生设备事件T1的条件概率（P（T1|D1,D2）＝0为0.050。

下面，参照图10的流程，对事件解析部130针对解析对象的设备事件，使用贝叶斯网络解析该设备事件的原因的设备事件和所预测的设备事件的处理进行说明。

如果从用户处接收到解析请求（S301：是），则事件解析部130进行使用贝叶斯网络的解析（S302）。用户可以以例如已发生的警报或频发的警报、此后将要进行的操作等为对象，向事件解析部130提出解析请求。另外，还能够为了改善工厂效率等而离线提出解析请求。

在使用贝叶斯网络的解析中，能够使用概率传递算法，计算作为解析对象设备事件的原因的设备事件、和今后可能发生的设备事件及其概率。

概率传递算法如下所述表示。在贝叶斯网络中，在将来自上游的观测信息设为e^＋、将来自下游的观测信息设为e^－的情况下，变量X_j的条件概率由下式表示。

（式4）

P(X_j|e^-，e⁺)=αP(e^-|X_j)P(X_j|e⁺)

在上式中，如果将从父节点传递至X_j的概率设为π（X_j）＝P（X_j| e^＋），将从子节点传递至X_j的概率设为λ（X_j）＝P（e^－|X_j），则P（X_j| e^－，e^＋）可如下变形。

（式5）

P(X_j|e^-，e⁺)=αλ(X_j)π(X_j)

$P\left(X_j\right|e^{-},e^{+})=\mathrm{\&alpha;P}\left(e^{-}\right|X_j)P\left(X_j\right|e^{+})$ $\mathrm{\&lambda;}\left(X_j\right)=\underset{X_{j+1}}{\mathrm{\&Sigma;}}\mathrm{\&lambda;}\left(X_{j+1}\right)P\left(X_{j+1}\right|X_j)$

通过对上述变形进行回归计算，从而能够求出P（X_j| e^－，e^＋）。

经由解析结果显示部140，将解析结果显示在显示装置160上（S303）。图11示出解析结果的显示画面400的例子。在图11的例子中，针对解析对象的设备事件，以概率显示被视为原因的设备事件（410）和预测今后可能发生的设备事件（420）。也可以按照用户的指示，以另外的画面显示被视为原因的设备事件和预测今后可能发生的设备事件。

如上所述，根据本实施方式的事件解析装置100，能够使用贝叶斯网络可视地掌握事件因果关系，因此容易推定事件原因和预测在事件之后可能发生事件。

另外，通过构筑贝叶斯网络，不仅是事件因果关系，还能够用于辅助事件的分组。具体地说，通过将被认为以某个位置的警报发生为契机而发生其它位置的警报的情况（共联警报）等同时发生的概率高且联动性高的警报组合进行处理，从而还能够减少工厂中发生警报的次数。

此外，还能够将使用贝叶斯网络的解析结果和现有的事件解析组合进行结合。例如，能够按照由现有的解析结果得到的发生频度的顺序，进行使用贝叶斯网络的解析。

Claims (15)

1.一种事件解析装置，其对事件进行解析，该事件包含有在多个设备中发生的警报、和以所述设备为对象的操作，

在该事件解析装置中，具有：

事件日志收集部，其收集事件日志，该事件日志中包含所述事件的发生日期和时间、发生了所述事件的所述设备的设备识别符、及所述事件的事件类别识别符；

事件日志保存部，其针对每个将所述设备识别符和所述事件类别识别符结合而成的设备事件，将所述事件日志变换为以时间序列表示所述设备事件是否发生的事件矩阵，而进行保存；以及

事件解析部，其通过将所述事件矩阵分割为规定的基准时间宽度的区块，针对每个所述区块判定各设备事件是否发生，从而计算所述设备事件之间的条件概率，构筑贝叶斯网络，

该事件解析部使用所构筑的所述贝叶斯网络，确定作为解析对象的设备事件的原因的设备事件、或之后会发生的设备事件。

2.根据权利要求1所述的事件解析装置，其中，

所述事件日志保存部，以所述事件日志的最小时间单位宽度，设定所述事件矩阵的时间序列。

3.根据权利要求1所述的事件解析装置，其中，

所述基准时间宽度是可变的。

4.根据权利要求1所述的事件解析装置，其中，

所述事件解析部，通过基于每个所述区块的各所述设备事件是否发生，计算所述设备事件的独立发生概率、和所述设备事件之间的同时发生概率，从而计算所述设备事件之间的条件概率。

5.根据权利要求4所述的事件解析装置，其中，

所述事件解析部确定对象的所述设备事件，通过将发生所述设备事件的所述区块的数量除以所述区块的总数而计算所述独立发生概率，并且所述事件解析部确定所述设备事件的配对，通过将发生所述配对中的两者的所述设备事件的所述区块的数量除以所述区块的总数而计算所述同时发生概率。

6.一种非易失性计算机可读取存储介质，其存储有计算机程序，该计算机程序对事件进行解析，该事件包含有在多个设备中发生的警报、和以所述设备为对象的操作，其中，

所述计算机程序被执行而进行下述动作：

收集事件日志，该事件日志中包含所述事件的发生日期和时间、发生了所述事件的所述设备的设备识别符、以及所述事件的事件类别识别符，

针对每个将所述设备识别符和所述事件类别识别符结合而成的设备事件，将所述事件日志变换为以时间序列表示所述事件是否发生的事件矩阵，而进行保存，

通过将所述事件矩阵分割为规定的基准时间宽度的区块，针对每个所述区块判定各所述设备事件是否发生，从而计算所述设备事件之间的条件概率，构筑贝叶斯网络，

使用所构筑的所述贝叶斯网络，确定作为解析对象的设备事件的原因的设备事件、或之后会发生的设备事件。

7.根据权利要求6所述的非易失性计算机可读取存储介质，其中，

所述计算机程序被执行而进行下述动作：

以所述事件日志的最小时间单位宽度设定所述事件矩阵的时间序列。

8.根据权利要求6所述的非易失性计算机可读取存储介质，其中，

所述基准时间宽度是可变的。

9.根据权利要求6所述的非易失性计算机可读取存储介质，其中，

所述计算机程序被执行而进行下述动作：

通过基于每个所述区块的各所述设备事件是否发生而计算所述设备事件的独立发生概率和所述设备事件之间的同时发生概率，从而计算所述设备之间的条件概率。

10.根据权利要求9所述的非易失性计算机可读取存储介质，其中，

所述计算机程序被执行而进行下述动作：

确定对象的所述设备事件，通过将发生所述设备事件的所述区块的数量除以所述区块的总数而计算所述独立发生概率，并且确定所述设备事件的配对，通过将发生所述配对中的两者的所述设备事件的所述区块的数量除以所述区块的总数而计算所述同时发生概率。

11.一种事件解析方法，该事件包含有在多个设备上发生的警报和以所述设备为对象的操作，

该事件解析方法包括以下步骤：

收集事件日志的步骤，该事件日志包含所述事件的发生日期和时间、发生了所述事件的所述设备的设备识别符、及所述事件的事件类别识别符；

针对每个将所述设备识别符和所述事件类别识别符结合而成的设备事件，将所述事件日志变换为以时间序列表示所述事件是否发生的事件矩阵，而进行保存的步骤；

通过将所述事件矩阵分割为规定的基准时间宽度的区块，针对每个所述区块判定各所述设备事件是否发生，从而计算所述设备事件之间的条件概率，构筑贝叶斯网络的步骤；以及

使用所构筑的所述贝叶斯网络，确定作为解析对象的设备事件的原因的设备事件、或之后会发生的设备事件的步骤。

12.根据权利要求11所述的事件解析方法，其中，

在变换为所述事件矩阵而保存的步骤中，以所述事件日志的最小时间单位宽度设定所述事件矩阵的时间序列。

13.根据权利要求11所述的事件解析方法，其中，

所述基准时间宽度是可变的。

14.根据权利要求11所述的事件解析方法，其中，

在构筑所述贝叶斯网络的步骤中，通过基于每个所述区块的各所述设备事件是否发生而计算所述设备事件的独立发生概率和所述设备事件之间的同时发生概率，从而计算所述设备事件之间的条件概率。

15.根据权利要求14所述的事件解析方法，其中，

在构筑所述贝叶斯网络的步骤中，确定对象的所述设备事件，通过将发生所述设备事件的所述区块的数量除以所述区块的总数而计算所述独立发生概率，并且确定所述设备事件的配对，通过将发生所述配对中的两者的所述设备事件的所述区块的数量除以所述区块的总数而计算所述同时发生概率。

Images