JP2023106720A - ゲートウェイ装置と解析システム及び解析方法 - Google Patents

ゲートウェイ装置と解析システム及び解析方法 Download PDF

Info

Publication number
JP2023106720A
JP2023106720A JP2022007612A JP2022007612A JP2023106720A JP 2023106720 A JP2023106720 A JP 2023106720A JP 2022007612 A JP2022007612 A JP 2022007612A JP 2022007612 A JP2022007612 A JP 2022007612A JP 2023106720 A JP2023106720 A JP 2023106720A
Authority
JP
Japan
Prior art keywords
data
analysis
information
server
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022007612A
Other languages
English (en)
Inventor
大樹 山田
Daiki Yamada
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Industrial Equipment Systems Co Ltd
Original Assignee
Hitachi Industrial Equipment Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Industrial Equipment Systems Co Ltd filed Critical Hitachi Industrial Equipment Systems Co Ltd
Priority to JP2022007612A priority Critical patent/JP2023106720A/ja
Priority to PCT/JP2022/045536 priority patent/WO2023139964A1/ja
Priority to TW111147591A priority patent/TW202331517A/zh
Publication of JP2023106720A publication Critical patent/JP2023106720A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment

Abstract

【課題】事前に判定ルールに落とし込めていなかった監視対象の異常を検知すること。【解決手段】機器から機器データを収集し、収集した機器データの異常の有無を判定ルールに従って判定するデータ処理部を有するゲートウェイ装置と、ゲートウェイ装置と情報の送受信を行い、受信した情報を解析する解析部、サーバ用判定ルールの入出力を実行する入出力部を有する解析サーバとを備え、ゲートウェイ装置は、データ処理部の判定結果と機器データとを含む送信データを解析サーバに送信し、解析サーバは、送信データを解析して機器データの中に判定ルールで規定された異常とは異なる異常を示す機器データが存在する場合、入力情報を基にサーバ用判定ルールの情報を更新してゲートウェイ装置に送信し、ゲートウェイ装置は、サーバ用判定ルールの情報を基に判定ルールの情報を更新する。【選択図】 図1

Description

本発明は、監視対象の状態を監視するゲートウェイ装置とゲートウェイ装置を含む解析システム及び解析方法に関する。
近年、産業分野において、機器の稼働率向上や遠隔地からの機器状態の把握などを目的とする産業IoT(Internet of Things)の導入が進んでいる。産業IoTでは、産業機器から取得したデータを、無線通信でサーバへ集約し、サーバ側でデータを参照・利活用する事で、機器の予兆検知や状態監視に役立てる。
一般に、産業機器は通信機能を持たないため、通信機能を持つゲートウェイ装置が産業機器と接続される場合が多い。ゲートウェイ装置は、RS232、RS485などの、所定の通信規格に準拠したデータであって、稼働情報等のデータを産業機器から取得し、取得したデータを周期的にサーバへ送信する。サーバは、取得したデータを参照することで、産業機器の稼働状態把握や、障害の発生検知を行う。
しかしながら、サーバで取得データを全て解析すると大きな負荷となることから、その一部をゲートウェイ装置で実行する技術が提案されている。
例えば、ゲートウェイ装置において、取得した監視情報に対して、事前に記憶された判定ルールを適用して異常を検出し、この異常検出時に、該当の異常に関連する異常情報を監視センタへ送信し、異常検出に活用する判定ルールを外部から更新する手段を有する技術がある(特許文献1参照)。特許文献1に記載された技術によれば、監視センタ(サーバ)の負荷を軽減することができる。
特開2016-197309号公報
しかし、特許文献1に記載の技術では、取得した監視情報に対して、事前に記憶された判定ルールを適用して異常を検出しているので、産業機器の異常を高精度に検出するには十分ではない。すなわち、判定ルールに落とし込める異常は既知のものであり、既知の異常を検知することは容易であるが、実際には、事前に判定ルールに落とし込めない未知の異常が発生することがある。このため、特許文献1に記載の技術では、取得した監視情報に対して、事前に判定ルールに落とし込めていなかった未知の異常を検出するには十分ではない。
本発明の目的は、事前に判定ルールに落とし込めていなかった監視対象の異常を検知することにある。
上述の課題を解決するため、本発明は、1以上のゲートウェイ装置と解析サーバとが通信ネットワークを介して接続される解析システムであって、前記ゲートウェイ装置は、監視対象となる機器から1以上の機器データを収集し、収集した前記機器データの異常の有無を判定ルールに従って判定する処理を実行するデータ処理部を備え、前記解析サーバは、前記ゲートウェイ装置と前記通信ネットワークを介して情報の送受信を行い、受信した前記情報を解析する解析部と、前記判定ルールに相当するサーバ用判定ルールの入出力を実行する入出力部と、を備え、前記データ処理部は、前記判定の処理結果と前記機器データとを含む送信データを、前記通信ネットワークを介して前記解析サーバに送信し、前記解析部は、前記送信データに属する前記機器データの中に前記判定ルールで規定された異常とは異なる異常を示す機器データが存在する場合に、少なくとも前記異なる異常を示す解析結果の情報を前記入出力部に転送し、前記入出力部は、前記解析部から転送された前記異なる異常を示す解析結果の情報を出力すると共に、入力情報を基に前記サーバ用判定ルールの情報を更新し、前記データ処理部は、更新された前記サーバ用判定ルールの情報を入力した場合、入力した前記サーバ用判定ルールの情報を基に前記判定ルールの情報を更新することを特徴とする。
本発明によれば、事前に判定ルールに落とし込めていなかった監視対象の異常を検出することができる。
本発明に係る実施例1の解析システムの全体構成を示すブロック図である。 本発明に係る実施例1の解析サーバのハードウェア構成を示すブロック図である。 本発明に係る実施例1のゲートウェイ装置のハードウェア構成を示すブロック図である。 本発明に係る実施例1の収集テーブルを示す構成図である。 本発明に係る実施例1の監視テーブルを示す構成図である。 本発明に係る実施例1の検知テーブルを示す構成図である。 本発明に係る実施例1のゲートウェイ装置が解析サーバへ送信する送信データを示す構成図である。 本発明に係る実施例1のGUI生成部が出力する収集テーブル設定画面を示す画面構成図である。 本発明に係る実施例1のGUI生成部が出力する監視テーブル設定画面を示す画面構成図である。 本発明に係る実施例1のGUI生成部が出力する検知テーブル設定画面を示す画面構成図である。 本発明に係る実施例1のGUI生成部が出力する解析結果出力画面を示す画面構成図である。 本発明に係る実施例1のGUI生成部が出力するポップアップ画面を示す画面構成図である。 本発明に係る実施例1のデータ処理部の異常検知処理を示すフローチャートである。 本発明に係る実施例1の解析部の解析処理を示すフローチャートである。 本発明に係る実施例1のGUI生成部のテーブル更新処理を示すフローチャートである。 本発明に係る実施例1の通信部の問い合わせ待ち受け処理を示すフローチャートである。 本発明に係る実施例1のデータ処理部の更新問い合わせ処理を示すフローチャートである。 本発明に係る実施例2の収集データアップロード画面を示す画面構成図である。 本発明に係る実施例3における検知テーブル設定画面を示す画面構成図である。 実施例3におけるGUI生成部の検知テーブル更新処理を示すフローチャートである。 本発明に係る実施例3における解析部の閾値決定処理を示すフローチャートである。 本発明に係る実施例4の解析システムの全体構成を示すブロック図である。 本発明に係る実施例4のNW情報の内容を示す模式図である。 本発明に係る実施例4の解析部のNW学習処理を示すフローチャートである。 本発明に係る実施例4のデータ処理部のNW計算処理を示すフローチャートである。
以下、本実施の形態について図面を参照して説明する。ただし、本発明は、以下に示す実施例の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。
以下に説明する実施例の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。
図1は、本発明に係る実施例1の解析システムの全体構成を示すブロック図である。図1において、解析システム10は、ローカル機器131、複数のゲートウェイ装置121、解析サーバ101およびモバイル通信ネットワーク111で構成される。
ローカル機器131は、稼働情報や設定情報を有する空気圧縮機などの産業機器である。ローカル機器131の状態等を示すデータである稼働情報や設定情報は、modbus等の通信規格に準拠した情報としてゲートウェイ装置121に送信される。
ゲートウェイ装置121は、ローカル機器131から、稼働情報や設定情報を含むデータを収集し、収集したデータ(機器データ)に対して閾値判定を行うことで、ローカル機器131の異常を検知する通信装置である。一台の解析サーバ101に対し、複数のゲートウェイ装置121が接続される。各ゲートウェイ装置121は、データ処理部122、WAN(Wide Area Network)通信部123、ローカル通信部125および設定ファイル124で構成される。
ローカル通信部125は、ゲートウェイ装置121の監視対象となるローカル機器131から、ローカル機器131の状態等を示す機器データを収集するデータ収集部として構成される。データ処理部122は、ローカル通信部125を介して収集された機器データの異常の有無を判定ルールに従って判定する。WAN通信部123は、解析サーバ101と通信ネットワーク111を介して情報の送受信を行うゲートウェイ用通信部として構成される。この際、WAN通信部123は、データ処理部122の判定結果と機器データとを含む送信データを、通信ネットワーク111を介して解析サーバ101に送信する。設定ファイル124は、判定ルールを規定した各種テーブル(収集テーブル、監視テーブル、検知テーブル)を含むテーブルデータ群で構成される。
解析サーバ101は、各ゲートウェイ装置121から送信された送信データを解析するサーバであり、GUI(Graphical User Interface)生成部102、解析部103、テーブルDB(DataBase)104、ログDB105および通信部106から構成される。
通信部106は、ゲートウェイ装置121と通信ネットワーク111を介して情報の送受信を行うサーバ用通信部として構成される。この際、通信部106は、ゲートウェイ装置121から設定ファイル124への更新問い合わせを受信した場合には、テーブルDB104のデータを参照し、参照結果を更新問い合わせ先に返信する。ログDB105は、通信部106が、ゲートウェイ装置121から送信された送信データを受信した場合、受信した送信データをログとして格納する。テーブルDB104は、ゲートウェイ装置121の設定ファイル124に格納された各種テーブルに相当するテーブルであって、判定ルールに相当するサーバ用判定ルールが規定された各種サーバ用テーブル(収集テーブル、監視テーブル、検知テーブル)の情報を格納する。
解析部103は、通信部106の受信による情報(送信データ)を解析する。この際、解析部103は、GUI生成部102から解析実行をトリガされると、テーブルDB104とログDB105からデータを取得して、データ解析を実行する。例えば、解析部103は、通信部106から送信データを入力した場合、送信データを解析し、送信データに属する機器データの中に、ゲートウェイ装置121の判定ルールで規定された異常とは異なる異常を示す機器データが存在するとの解析結果を得た場合に、この解析結果をGUI生成部102に転送する。この際、解析部103は、解析結果の情報にサーバ用判定ルールの更新を促す旨の更新促進情報を付加することができる。
GUI生成部102は、解析部103の解析結果を基に、解析結果出力画面を生成し、また、テーブルデータの設定画面を出力し、設定画面で保存された変更の内容をテーブルDB104に反映する。この際、GUI生成部102は、サーバ用判定ルールに関連する情報の入出力を実行する入出力部として構成され、解析部103から転送された更新促進情報を解析結果出力画面に表示すると共に、解析結果出力画面上の操作による入力情報を基にサーバ用判定ルールの情報を更新する。モバイル通信ネットワーク111は、LTE(Long Term Evolution)等の通信規格に則った通信回線である。
図2は、本発明に係る実施例1の解析サーバのハードウェア構成を示すブロック図である。図2において、解析サーバ101は、CPU(Central Processing Unit)202、主記憶装置203、補助記憶I/F(InterFace)204、入出力I/F205、ネットワークI/F206を備え、各部がバスにより結合された形態になっている。
CPU202は、解析サーバ101の各部を制御し、主記憶装置203に必要なプログラムをロードして実行する。主記憶装置203は、通常、RAM(Random Access Memory)などの揮発メモリで構成され、主記憶装置203には、CPU202が実行するプログラム、及びCPU202が参照するデータが記憶される。補助記憶I/F204は、HDD(Hard Disk Drive)やSSD(Solid State Drive)などの補助記憶装置210を接続するためのインターフェースである。
入出力I/F205は、キーボードやマウスなどの入出力装置を接続するためのインターフェースである。ネットワークI/F206は、モバイル通信ネットワーク111と接続するためのインターフェースである。補助記憶装置210は、大容量の記憶容量を有しており、本実施例を実行するためのプログラムが格納されている。例えば、補助記憶装置210には、DBMS(Data Base Management System)211、GUI生成プログラム220、解析プログラム221および通信プログラム222がインストールされている。
DBMS211、GUI生成プログラム220、解析プログラム221および通信プログラム222は、それぞれログDB105とテーブルDB104、GUI生成部102、解析部103、通信部106の機能を実現するプログラムである。
ログDB105には、ローカル機器131から収集された稼働情報(ローカル機器稼働情報)213や設定情報(ローカル機器設定情報)214を含むデータがログID毎に格納される。テーブルDB104には、サーバ用判定ルールを規定するテーブルとして、収集テーブル216、監視テーブル217、及び検知テーブル218の情報と、最終更新日時219に関する情報が格納される。
収集テーブル216は、ゲートウェイ装置121が実行するデータ収集に関わる設定の情報を記録するテーブルである。監視テーブル217は、ゲートウェイ装置121が実行するログの閾値判定に関連する設定の情報を記録するテーブルである。検知テーブル218は、ゲートウェイ装置121が実行する異常検知に関連する設定の情報を記録するテーブルである。最終更新日時219には、上述したテーブル群(収集テーブル216、監視テーブル217、及び検知テーブル218)が最後に更新された日時が記録される。
図3は、本発明に係る実施例1のゲートウェイ装置のハードウェア構成を示すブロック図である。図3において、ゲートウェイ装置121は、CPU301、主記憶装置302、WAN通信I/F303、入出力I/F304、補助記憶I/F305、シリアル通信I/F306、LAN(Local Area Network)通信I/F307を備え、各部がバスにより結合された形態になっている。
CPU301は、ゲートウェイ装置121の各部を制御し、主記憶装置302に必要なプログラムをロードして実行する。主記憶装置302は、通常、RAMなどの揮発メモリで構成され、CPU301が実行するプログラム、及びCPU301が参照するデータが記憶される。
WAN通信I/F303は、モバイル通信ネットワーク111と接続するためのインターフェースである。入出力I/F304は、キーボードやマウスなどの入出力装置を接続するためのインターフェースである。補助記憶I/F305は、EEPROM(Electrically Erasable Programmable Read Only Memory)、HDD、SSDなどの補助記憶装置310を接続するためのインターフェースである。
シリアル通信I/F306は、ローカル機器131等の配下機器とModbus-RTU(Remote Terminal Unit)などのシリアル通信を実施する場合に、配下機器のシリアル通信I/Fと接続するインターフェースである。LAN通信I/F307は、配下機器とModbus-TCP(Transmission Control Protocol)などのLAN通信を実施する場合に、配下機器のLAN通信I/Fと接続するインターフェースである。
補助記憶装置310は、大容量の記憶容量を有しており、設定ファイル124や本実施例を実行するためのプログラムが格納されている。補助記憶装置310には、データ処理プログラム316、WAN通信プログラム317、ローカル通信プログラム318がインストールされている。データ処理プログラム316、WAN通信プログラム317およびローカル通信プログラム318は、それぞれデータ処理部122、WAN通信部123、ローカル通信部125の機能を実現するプログラムである。
設定ファイル124には、判定ルールを規定するテーブルとして、収集テーブル312、監視テーブル313、及び検知テーブル314の情報が格納されると共に、最終取得日時315に関する情報が格納される。収集テーブル312、監視テーブル313および検知テーブル314は、図2におけるテーブルDB104に格納されたテーブル群(収集テーブル216、監視テーブル217、検知テーブル218)と同一の形式のファイルである。最終取得日時315には、解析サーバ101からテーブル群の情報を取得した日時の情報が記録される。
図4は、本発明に係る実施例1の収集テーブルを示す構成図である。図4において、収集テーブル312は、判定ルールのうちデータの収集条件を規定したテーブルであって、データ毎にデータID(IDentification)312a、接続先ID312b、格納先(データ格納先)312d、データ長312e、データ型312e、通信方式312f、周期312g、差分取得312h、および常時送信312iの項目を備えて構成される。以下に各項目の説明を記載する。なお、収集テーブル216は、収集テーブル312と同一の形式であるので、収集テーブル312についてのみ説明する。
データID312aは、データを一意に識別する識別子であり、データID312aには、例えば、データの種類が「電圧」である場合、「voltage」の情報が格納される。接続先ID312bは、配下機器を一意に識別する識別子である。接続先ID312bには、ゲートウェイ装置121の配下機器が1番目のローカル機器131である場合、「1」の情報が格納される。
データ格納先312cは、接続先(配下機器)でデータが格納されている箇所を特定する情報である。データ格納先312cには、例えばModbus―TCP/RTUであれば、レジスタ番号の情報が格納される。
データ長312dは、取得するデータのバイト数を示す。データ型312eは、取得するデータのデータ型を示す。データ型312eには、例えばInt16B(ビッグエンディアン16bit整数型)やFloatL(リトルエンディアン浮動小数型)などの情報が格納される。
通信方式312fは、通信装置であるゲートウェイ装置121が配下機器と通信する方式を示す。実施例1の場合、通信方式312fには、LANもしくはシリアルの情報が格納される。
周期312gは、通信装置であるゲートウェイ装置121がデータを取得する周期を秒単位で示す。周期312gに「0」の情報が設定された場合、通信装置の起動時と、データ取得値が変化した時点でデータが送信されることになる。
差分取得312hは、データが数値データである場合、直前の取得値との差分を取得するかを示す。差分取得312hには、取得するログの内容によって「1」又は「0」の情報が格納される。例えば、通信データ量は、通常、通信総量として管理されるので、ゲートウェイ装置121がデータを取得する際には、周期的に前回取得値との差分を取って増加量を取得する。このため、前回取得値との差分に意味があるログの場合、差分取得312hには、「1」の情報が格納される。差分取得312hが「1」の場合は、ゲートウェイ装置121は、直前の取得値との差分を示すデータを解析サーバ101へ送信する。差分取得312hが「0」の場合、ゲートウェイ装置121は、取得値を加工せずに、取得値を示すデータをそのまま解析サーバ101へ送信する。
常時送信312iは、平常時を含めてデータを送信するか否かを示す項目である。例えば、常時送信312iは、平常時のログ送信を行うか、平常時のログ送信を停止するかを決定する項目である。常時送信312iには、「0」又は「1」の情報が格納される。常時送信312iが「0」場合、ゲートウェイ装置121は、検知テーブル314の条件に一致した場合のみ、データを解析サーバ101へ送信し、検知テーブル314の条件に一致しない場合には、解析サーバ101へのデータの送信を停止する。常時送信312iが「1」の場合、ゲートウェイ装置121は、周期毎にデータを解析サーバ101へ送信する。この際、例えば、月のデータ量に余裕がある場合は、サンプリング的に正常時のデータを取得する、という運用が可能である。逆にローカル機器131のファームアップなどでデータ量が圧迫された月は、平常時のデータ収集をやめる、といった運用も可能である。このため、これらの運用のうちいずれを採用するかによって、常時送信312iに、「0」又は「1」の情報を設定することができる。また、平常時のデータが十分に集まっているのであれば、常時送信312iの情報を「0」にする、という運用も可能である。
図5は、本発明に係る実施例1の監視テーブルを示す構成図である。図5において、監視テーブル313は、判定ルールのうちデータの監視条件を規定したテーブルであって、監視する条件毎に監視ID313a、参照データID313b、比較方法313cおよび閾値313dの項目を備えて構成される。以下に各項目の説明を記載する。なお、監視テーブル217は、監視テーブル313と同一の形式であるので、監視テーブル313についてのみ説明する。
監視ID313aは、監視条件を一意に識別する識別子である。監視ID313aには、例えば、監視条件が電圧低下の場合、「voltage Down」の情報が格納される。
参照データID313bは、ゲートウェイ装置121で収集され、監視されるデータのIDを示す。参照データID313bには、収集テーブル312のデータID312aに記録される情報と同様に、ゲートウェイ装置121で収集されるデータの種類が電圧である場合、「voltage」の情報が格納される。
比較方法313cは、監視対象のデータを監視する場合の閾値313dとの比較方法を示す。比較方法313cには、例えば、データが数値の場合、監視対象のデータと閾値313dとの比較方法として、「以上」、「以下」、「大なり」、「小なり」、「一致」、「不一致」等の情報が格納される。また、比較方法313cには、例えば、データが文字列の場合、監視対象のデータと閾値313dとの比較方法として、「一致」、「不一致」等の情報が格納される。
閾値313dは、監視対象のデータの比較対象を示す。閾値313dには、監視対象のデータの比較対象として、例えば、「5」の情報が格納される。この際、ゲートウェイ装置121は、監視対象のデータと閾値313dに記録された情報とを比較した結果、条件が満たされた場合、監視ID313aに記録された監視条件が満たされたと判断する。
図6は、本発明に係る実施例1の検知テーブルを示す構成図である。図6において、検知テーブル314は、判定ルールのうち異常検知条件を規定したテーブルであって、検知する条件毎に検知ID314a、監視ID(ID-1)314b、監視ID(ID-2)314c、監視ID(ID-3)314d、検知方法314eおよび収集データID314fを備えて構成される。以下に各項目の説明を記載する。なお、検知テーブル218は、検知テーブル314と同一の形式であるので、検知テーブル314についてのみ説明する。
検知ID314aは、異常検知条件を一意に識別する識別子である。検知ID314aには、例えば、異常検知条件が再起動である場合、「boot」の情報が格納される。
監視ID314b~314dは、異常を検知するために監視する監視対象を一意に識別する識別子である。監視ID314b~314dには、監視テーブル313の監視ID313aに記録された情報が格納される。例えば、監視ID314bには、「voltage Down」の情報が格納される。本実施例では、監視IDとして、最大三件の条件を指定することが可能であるが、条件の数は可変である。また、監視IDの項目に、IDが一件以上、格納されていれば、異常検知条件に従った検知が行われる。
検知方法314eは、異常検知を行う検知方法を示す。検知方法314eには、監視ID314b~314dに登録された条件が複数であった場合の処理に使用される情報として、「AND」又は「OR」が格納される。検知方法314eに「AND」の情報が格納された場合、全ての条件が発生したことで、検知ID314aに記録された異常が発生したとみなされる。一方、検知方法314eに「OR」の情報が格納された場合、いずれか一つ条件が発生したことで、検知ID314aに記録された異常が発生したとみなされる。
収集データID314fは、検知ID314aに記録された異常が検知された場合に解析サーバ101に送信されるデータのデータIDを示す。なお、収集データID314fに、複数のIDを指定することができる。収集データID314fには、例えば、電圧・稼働時間に関するデータを解析サーバ101に送信する場合、「voltage」、「uptime」の情報が格納される。
図7は、本発明に係る実施例1のゲートウェイ装置が解析サーバへ送信する送信データを示す構成図である。図7において、送信データ701は、JSON(Java Script Object Notation)形式であり、要素として、エラーID702、端末ID703、タイムスタンプ704およびデータ705を備えて構成される。
エラーID702には、検知テーブル314の検知ID314aに記録された情報として、例えば、異常データの送信時には「Boot」が格納される。なお、収集テーブル312の常時送信312iが、「1」に設定されている項目については、正常データの送信時に、エラーID702には、空の文字列が格納される。この際、解析サーバ101は、エラーID702に記録された情報が、空の文字列の場合、受信した送信データ701を、正常時に送信されたデータ(正常時データ)として認識する。一方、エラーID702に記録された情報が、例えば、「Boot」の場合、解析サーバ101は、受信した送信データ701を、異常検出時に送信されたデータ(異常時データ)として認識する。
端末ID703は、ゲートウェイ装置121を一意に識別するIDである。端末ID703には、ゲートウェイ装置121が出荷される際に予め設定された値が格納される。タイムスタンプ704は、検知テーブル314の検知ID314aに記録された情報(「boot」)が検知された時刻を示す。
データ705は、検知テーブル314の収集データID314fに記録されたデータ及びデータに関連する情報を示す。データ705に、検知テーブル314の収集データID314fに記録されたデータが格納される場合には、収集データID314fに記録されたデータ(「voltage」、「uptime」等)がキーに、各データの収集値が値として格納される。
図8は、本発明に係る実施例1のGUI生成部が出力する収集テーブル設定画面を示す画面構成図である。図8において、解析サーバ101の収集テーブル設定画面801には、設定テーブル802、チェックボックス803、削除ボタン804、追加ボタン805および設定完了ボタン806が表示される。
設定テーブル802は、現在の収集テーブル216の状態(収集テーブル312と同一形式の状態)を表示し、ユーザが編集することで設定を変更できるテーブルである。
チェックボックス803は、設定テーブル802に属する要素であり、チェックボックス803には、チェック有りの場合は「1」が、チェック無しの場合は「0」が設定値として格納される。
削除ボタン804は、削除ボタン804の左側に表示された設定テーブル802の一行の情報を削除するボタンである。追加ボタン805は、設定テーブル802に一行分の情報を追加するボタンである。
設定完了ボタン806は、設定操作の完了後に、収集テーブル設定画面801を閉じるためのボタンである。設定完了ボタン806が選択されると、GUI生成部102では収集テーブル216を対象としたテーブル更新処理が実行される。
図9は、本発明に係る実施例1のGUI生成部が出力する監視テーブル設定画面を示す画面構成図である。図9において、解析サーバ101の監視テーブル設定画面901には、設定テーブル902、プルダウンボックス903、削除ボタン904、追加ボタン905、設定完了ボタン906が表示される。
設定テーブル902は、現在の監視テーブル217の状態(監視テーブル313と同一形式の状態)を表示し、ユーザが編集することで設定を変更できるテーブルである。
プルダウンボックス903は、設定テーブル902に属する要素であり、選択されると、設定可能な値(「>」、「<」、「=」等)が表示される。表示された値のいずれかを選択すると、選択した値が設定値として格納される。
削除ボタン904、追加ボタン905、設定完了ボタン906は、それぞれ収集テーブル設定画面801における削除ボタン804、追加ボタン805、設定完了ボタン806と同一の挙動を示すが、監視テーブル217を対象としている。
図10は、本発明に係る実施例1のGUI生成部が出力する検知テーブル設定画面を示す画面構成図である。図10において、解析サーバ101の検知テーブル設定画面1001には、設定テーブル1002、プルダウンボックス1003、削除ボタン1004、追加ボタン1005、設定完了ボタン1006が表示される。
設定テーブル1002は、現在の検知テーブル218の状態(検知テーブル314と同一形式の状態)を表示し、ユーザが編集することで設定を変更できるテーブルである。
プルダウンボックス1003は、監視テーブル設定画面901におけるプルダウンボックス903と同様の挙動を示す。削除ボタン1004、追加ボタン1005、設定完了ボタン1006は、それぞれ収集テーブル設定画面801における削除ボタン804、追加ボタン805、設定完了ボタン806と同一の挙動を示すが、検知テーブル218を対象としている。
図11は、本発明に係る実施例1のGUI生成部が出力する解析結果出力画面を示す画面構成図である。図11において、解析サーバ101の解析結果出力画面1101には、開始日時入力ボックス1102、終了日時入力ボックス1103、解析実行ボタン1104、検知条件更新テーブル1105、データ傾向テーブル1108、データ解析結果テーブル1111が表示される。
開始日時入力ボックス1102と終了日時入力ボックス1103には、解析対象期間を特定するための日時の情報が入力される。この際、解析部103は、解析実行にあたり、ログのタイムスタンプを参照して、解析対象となるログを開始日時入力ボックス1102と終了日時入力ボックス1103に入力された期間内のログに絞り込む。
解析実行ボタン1104は、指定された日時のログを使用して解析を開始するボタンである。解析部103による解析が完了すると、検知条件更新テーブル1105、データ傾向テーブル1108、データ解析結果テーブル1111の表示が更新される。
検知条件更新テーブル1105は、検知条件が満たされ、収集されたデータの中で、平常時のデータと比較して変化が大きかったデータ(想定外の異常を示す異常時データ)を列挙し、検知条件の更新を促すためのテーブルである。検知条件更新テーブル1105は、#(番号)1105a、検知ID1105b、関連の強いデータID1105c、検知テーブルの操作1105d、検知テーブル更新ボタン1106および検知テーブル編集ボタン1107で構成される。
検知ID1105bは、検知テーブル218で定義された検知ID(「boot」)である。関連の強いデータID1105cは、検知ID毎に、平常時のデータと比較して変化が大きかったデータを検知したときのデータIDを表示する。例えば、ゲートウェイ装置121から受信したデータの中に、「voltage」、「uptime」、「temperature」、「rotation」等のデータが存在し、これら受信データのうち、平常時と比較して変化が大きかったデータが、「温度」、「回転数」である場合、関連の強いデータID1105cには、「temperature」、「rotation」の情報が表示される。これらの情報は、検知テーブル218の更新を促進するための更新促進情報として解析結果出力画面1101に表示される。実施例1において変化が大きいとは、平均値が平常時と比較して10%以上変動した、ことを指標とする。
検知テーブルの操作1105dの検知テーブル更新ボタン1106は、検知テーブル218で収集するデータIDを更新するためのボタンである。検知テーブル更新ボタン1106による操作の意図は、異常に関連するデータIDのみを収集することで、データ通信量を減らしつつ異常検知時の情報収集効率を落とさないことである。このため、検知テーブル更新ボタン1106が押されると、例えば、検知IDにて4項目のデータIDを収集していた場合にも、関連の強いデータIDに列挙された2項目のデータのみを収集するように検知テーブル218を更新することができる。
検知テーブル編集ボタン1107は、選択されると検知テーブル設定画面1001を別画面として出力するボタンである。検知テーブル編集ボタン1107の選択により、ユーザは、検知条件更新テーブル1105を参照しながら、検知テーブル218を編集できる。
データ傾向テーブル1108は、データID毎にデータの最大値・最小値・平均値を出力するテーブルである。データ傾向テーブル1108は、#(番号)1108a、データID1108b、異常時傾向1108c、正常時傾向1108c、監視テーブルの操作1108e、監視テーブル登録ボタン1109および監視テーブル編集ボタン1110で構成される。
データID1108bは、収集テーブル312のデータID312aと同一の項目である。異常時傾向1108cは、解析対象のデータの内、エラーIDに異常時の情報(例えば、「boot」)が格納されたデータ(異常時のデータ)の最大値・最小値・平均値を出力する。
正常時傾向1108dは、解析対象のデータの内、エラーIDが空のデータ(正常時のデータ)の最大値・最小値・平均値を出力する。
監視テーブル登録ボタン1109は、監視テーブル登録ボタン1109が属する同じ行のデータIDの監視条件を新たに登録するボタンである。監視テーブル登録ボタン1109が選択されると、監視条件を追加する画面(図12の監視条件追加画面1203)が別画面として表示される。
監視テーブル編集ボタン1110は、選択されると監視テーブル設定画面901を別画面として出力するボタンである。監視テーブル編集ボタン1110の選択により、ユーザは、データ傾向テーブル1108を参照しながら、監視テーブル217を編集できる。
データ解析結果テーブル1111は、検知ID毎に、異常検知された場合に収集されたデータの平均値を出力するテーブルである。データ解析結果テーブル1111は、データID1111a、検知ID1111b、1111c、・・・で構成される。データ解析結果テーブル1111の各行の先頭にデータID111aの情報が格納される。検知ID1111b、1111cには、検知IDとして、「boot」、「overheat」が記録され、検知IDの条件が満たされた場合に収集されたデータ毎の平均値が表示される。表示される平均値が、平常時の平均値と比較して10%以上、変化がある場合には、その数値がマーキングされた状態で表示される。
データ解析結果テーブル1111を参照することで、検知ID毎に収集する必要のあるデータIDを明確化すると共に、同じデータIDのうち、データの変化が大きい検知ID同士を明確化できる。同じデータで同傾向の検知IDは、同じ現象を捉えている可能性がある。このため、条件を統合することで、データ送信の機会を減らし、データ通信量を減らしつつ異常検知時の情報収集効率を落とさない条件の更新が可能となる。
例えば、意図しない再起動と熱暴走では、熱暴走の結果、再起動が発生していることが疑われる。また、電圧が低下することでも再起動が発生していることが疑われる場合、意図しない再起動は、熱暴走と電圧低下の検知IDに分割・統合することで、詳細な異常検知とデータ量の削減が図れることとなる。
図12は、本発明に係る実施例1のGUI生成部が出力するポップアップ画面を示す画面構成図である。図12において、解析サーバ101の検知条件更新完了画面1201は、解析結果出力画面1101の検知条件更新テーブル1105における検知テーブル更新ボタン1106が選択されると出力される。検知条件更新完了画面1201には、更新された検知IDの情報(「boot」)と、更新後の収集データIDの情報(「temperature」、「rotation」)が表示される。閉じるボタン1202が選択されると検知条件更新完了画面1201は閉じる。
監視条件追加画面1203は、解析結果出力画面1101のデータ傾向テーブル1108における監視テーブル登録ボタン1109が選択されると出力される。監視条件追加画面1203は、監視テーブル設定画面901の設定テーブル902と同一の設定テーブル1204、登録ボタン1205、閉じるボタン1206で構成される。監視条件追加画面1203には、監視テーブル設定画面901と同様の設定テーブル1204が表示されるが、参照データ名の欄には、解析結果出力画面1101の監視テーブル登録ボタン1109と同じ行のデータIDに記録された情報(「voltage」)が予め記入されている。
登録ボタン1205は、選択されると、監視条件追加画面1203に記入された設定テーブル1204の情報を、既存の監視テーブル217に追加するボタンである。閉じるボタン1206が選択されると、監視条件追加画面1203は閉じる。
エラー通知画面1207は、収集テーブル設定画面801、監視テーブル設定画面901、検知テーブル設定画面1001および監視条件追加画面1203において、設定値が入力できない形式であった場合に、エラーを通知する画面である。エラー通知画面1207には、例えば、#1の条件IDを入力できない場合、「#1の条件IDが異常です」の情報が表示される。ここで、設定値が入力できないとは、数値データが期待される項目に文字列を入力した場合などを指す。各設定テーブルには行番号が振ってあるため、行番号と該当の列名称を表示することで、ユーザに入力エラーを通知することができる。複数のエラーが存在する場合には、初めに検知したエラーのみを表示する。閉じるボタン1208が選択されると、エラー通知画面1207は閉じる。
図13は、本発明に係る実施例1のデータ処理部の異常検知処理を示すフローチャートである。この処理は、ゲートウェイ装置121のCPU301がデータ処理部122を起動することにより開始される。
データ処理部122は、ゲートウェイ装置121の出荷時に予め設定された異常検知周期毎に以下の処理を実行する(S1301)。まず、データ処理部122は、設定ファイル124から収集テーブル312、監視テーブル313および検知テーブル314の情報を取得し(S1302)、取得した情報のうち監視テーブル313の情報を参照し(S1303)、以下、ステップS1304からステップS1309まで、監視テーブル313の情報を一行ずつ参照して処理を実行する。
データ処理部122は、監視テーブル313の参照箇所を確認し、テーブル末尾の行であるか否かを判定し(S1304)、ステップS1304で、テーブル末尾であると判定した場合(YES)、ステップS1310の処理に移行し、ステップS1304で、末尾以外の行であると判定した場合(NO)、監視テーブル313から一行、情報を読み出す(S1305)。
次に、データ処理部122は、ステップS1305で読み出した行に記載された参照データID313bの情報(「voltage」)を基に収集テーブル312の情報を取り込み、収集テーブル312に記録されたデータID312a(「voltage」)の行を参照し、データID312aに記録されたデータ(「voltage」)を、ローカル通信部125を介してローカル機器131から収集する(S1306)。この後、データ処理部122は、収集したデータに対して、監視テーブル313から読み出した行の比較方法313cおよび閾値313dに記録された情報を基に閾値検証として、監視条件(「voltage Down」)の検証を行い(S1307)、収集したデータが、閾値との比較で条件に一致するか否かを判定する(S1308)。
データ処理部122は、ステップS1308で、収集したデータが、閾値との比較で条件に一致しないと判定した場合(NO)、ステップS1304の処理に戻り、ステップS1304~S1308の処理を繰り返し、ステップS1308で、収集したデータが、閾値との比較で条件に一致すると判定した場合(YES)、条件が一致した監視ID313aの情報(「voltage Down」)を、監視条件として監視結果リストに加える。ここで、監視結果リストは、ゲートウェイ装置121のRAM上で管理する一時データであり、その中身は条件が一致した監視ID313aに記録された情報を列挙したリストである。この監視結果リストは、異常検知処理が完了した時点で消去される。
一方、ステップS1304で監視テーブル313の末尾であると判定した場合、データ処理部122は、ステップS1302で取得したテーブルの内、検知テーブル314の情報を参照し(S1310)、以下、ステップS1311からステップS1315の処理を、検知テーブル314の情報を一行ずつ参照して実行する。
データ処理部122は、検知テーブル314の参照箇所を確認し、テーブル末尾の行であるか否かを判定し(S1311)、ステップS1311で、検知テーブル314の末尾であると判定した場合(YES)、ステップS1316に移行し、ステップS1311で、検知テーブルの末尾以外の行であると判定した場合(NO)、検知テーブル314から一行、情報を読み出す(S1312)。
次に、データ処理部122は、検知テーブル314から読み出した情報のうち、監視ID(監視ID314a~監視ID314d)と監視結果リスト(ステップS1309の監視結果リスト)に追加された監視IDとを比較し、両者が、検知テーブル314の検知方法314eに記録された情報(「AND」又は「OR」)で、検知条件、例えば、異常検知条件(「boot」)に一致するかを検証する(S1313)。データ処理部122は、検知テーブル314の検知方法314eに「AND」が記録されている場合、検知テーブル314の監視ID314a~監視ID314dの全てが、監視結果リストに存在するかを検証する。データ処理部122は、検知テーブル314の検知方法314eに「OR」が記録されている場合、検知テーブル314の監視ID314a~監視ID314dのうち一つ以上が、監視結果リストに存在するかを検証する。
次に、データ処理部122は、ステップS1313での検証結果が、検知条件を満たすか否かを判定し(S1314)、ステップS1314で、ステップS1313での検証結果が、検知条件を満たすと判定した場合(YES)、検知テーブル314の収集データID314fに記録されたデータ(「voltage」、「uptime」等)のデータIDを収集し、収集したデータID(データ)を、WAN通信部123を介して送信データの形式で解析サーバ101へ送信し(S1315)、その後、ステップS1311に戻り、ステップS1311~ステップS1314の処理を繰り返す。
データ処理部122は、ステップS1314で、ステップS1313での検証結果が、検知条件を満たさないと判定した場合(NO)、その後、ステップS1311に戻り、ステップS1311~ステップS1314の処理を繰り返す。データ処理部122は、ステップS1304で検知テーブル314の末尾であると判定した場合(YES)、異常検知処理を終了する(S1316)。
図14は、本発明に係る実施例1の解析部の解析処理を示すフローチャートである。この処理は、解析結果出力画面1101にて解析実行ボタン1104が選択され、GUI生成部102から解析部103に解析対象期間と解析実行が通知されたことを条件に、開始される。
解析サーバ101の解析部103は、GUI生成部102から解析対象期間(開始日時から終了日時までの期間)と解析実行の通知を受信した場合、以下の処理を開始する(S1401)。
解析部103は、まず、ログDB105からエラーIDが空でなく、タイムスタンプが解析対象期間内である異常時ログを取得し(S1402)、取得した異常時ログに対して、エラーIDに相当するログID毎に最大・最小・平均値を計算する(S1403)。この際、解析部103は、解析対象期間内に異常時ログが存在しなかった場合は、各ログIDの最大・最小・平均値に空の結果を格納する。
次に、解析部103は、ログDB105からエラーIDが空で、タイムスタンプが解析対象期間内である正常時ログを取得し(S1404)、取得した正常時ログのタイムスタンプを参照して、解析周期毎に連続してログが送信されている期間(異常時ログが取得された期間)を算出し、ステップS1404で取得した正常時ログから、算出された期間内の異常時ログを除去する(S1405)。これにより、解析対象期間内のログとして、正常時ログと異常時ログが混在するのを防止することができる。
次に、解析部103は、ステップS1405の処理後の正常時ログに対して、ログID毎に最大・最小・平均値を計算する(S1406)。この際、解析部103は、解析対象期間内に正常時ログが存在しなかった場合、各ログIDの最大・最小・平均値に空の結果を格納する。
次に、解析部103は、テーブルDB104から検知テーブル218の情報を取得し(S1407)、以下、ステップS1408からステップ1413までの処理を、検知テーブル218を一行ずつ参照して実行する。
解析部103は、検知テーブル218の参照箇所を確認し、テーブル末尾であるか否かを判定し(S1408)、ステップS1408でテーブル末尾の行であると判定した場合、ステップS1415の処理に移行し、ステップS1408で末尾以外の行であると判定した場合(NO)、検知テーブル218の情報を一行読み出す(S1409)。
次に、解析部103は、ステップS1402で取得した異常時ログの中から、ステップS1409で読み出した、検知テーブル218の検知IDに記録された情報(「boot」)とエラーIDの情報(「boot」)が一致する異常時ログを取得し(S1410)、取得した異常時ログに対し、ログID毎に平均値を計算する(S1411)。
次に、解析部103は、ステップS1406で計算した正常時ログの平均値とステップS1411)で計算した異常時ログの平均値とを比較し(S1412)、比較結果を基に、正常時ログの平均値と異常時ログの平均値との間に、10%以上の乖離があるか否かを判定する(S1413)。
次に、解析部103は、正常時ログの平均値に対して、異常時ログの平均値が、10%以上乖離していると判定した場合(YES)、すなわち、正常時ログの平均値に対して、異常時ログの平均値が10%以上大きいもしくは小さい場合、ステップS1414の処理に移行し、正常時ログの平均値に対して、異常時ログの平均値が10%以内であると判定した場合(NO)、ステップS1408の処理に戻り、ステップS1408~ステップS1413の処理を繰り返す。
ステップS1414において、解析部103は、ステップS1413で10%以上の乖離が見つかった検知IDに記録された情報(「boot」)と収集データID(「voltage」)の組み合わせを検知条件(異常検知条件)の関連データリストに追加し、ステップS1408の処理に戻り、ステップS1408~ステップS1413の処理を繰り返す。関連データリストは、解析サーバ101のRAM上で管理する一時データであり、解析処理が完了した時点で消去される。
一方、ステップS1408でテーブル末尾の行であると判定した場合、解析部103は、ステップS1403で計算した異常時ログの最大・最小・平均値およびステップS1406で計算した正常時ログの最大・最小・平均値、ステップS1411で計算した異常時ログの平均値およびステップS1413で作成した関連データリストの情報を解析結果としてGUI生成部102に送信し(S1415)、その後、解析処理を終了する(S1416)。この際、解析部103は、各種テーブルの更新を促す更新促進情報をGUI生成部102に送信することもできる。
図15は、本発明に係る実施例1のGUI生成部のテーブル更新処理を示すフローチャートである。この処理は、収集テーブル設定画面801、監視テーブル設定画面901、検知テーブル設定画面1001および解析結果出力画面1101にて、ユーザがボタン操作を実施し、各種テーブルの更新操作を行った場合に開始される。
解析サーバ101のGUI生成部102は、ユーザが行う、GUIのボタン操作をトリガに更新されたテーブルの情報を受信した場合、以下、ステップS1502からステップS1506までの処理を、受信したテーブルの情報を一行ずつ参照して実行する(S1501)。
GUI生成部102は、ステップS1501で受信したテーブルの参照箇所を確認し、テーブル末尾であるか否かを判定し(S1502)、ステップS1502でテーブル末尾の行であると判定した場合(YES)、ステップS1508の処理に移行し、ステップS1502で末尾以外の行であると判定した場合(NO)、受信したテーブルの情報を一行読み出す(S1503)。
次に、GUI生成部102は、ステップS1503で読み出した、テーブル1列目のIDをキーに、テーブルDB104の該当テーブルの情報を検索する(S1504)。例えば、受信したテーブルが、収集テーブル216であれば、データIDに記録された情報(「voltage」)をキーとして収集テーブル216の情報を検索する。なお、GUI生成部102は、他のテーブルについても同様に行う。
次に、GUI生成部102は、ステップS1504の検索結果を基に、データが存在するか否かを判定し(S1505)、ステップS1505でデータが存在すると判定した場合(YES)、テーブルDB104の該当情報を更新するために、テーブルDB104に対する情報更新コマンドを実行し、情報更新コマンドに従ってテーブルを登録し(S1506)、その後、ステップS1502に戻り、ステップS1502~ステップS1505の処理を繰り返す。GUI生成部102が情報更新コマンドを実行することで、ステップS1504の検索結果で出力された情報が、ステップS1503で読み出した行の情報に更新される。
一方、ステップS1505でデータが存在しないと判定した場合(NO)、GUI生成部102は、テーブルDB104に該当情報を追加するために、テーブルDB104に対する情報追加コマンドを実行し、情報追加コマンドでテーブルを登録し(S1507)、その後、ステップS1502に戻り、ステップS1502~ステップS1506の処理を繰り返す。GUI生成部102が情報追加コマンドを実行することで、ステップS1503で読み出した行の情報がテーブルDB104に追加される。
一方、ステップS1502で末尾の行であると判定した場合(YES)、GUI生成部102は、現在の日時を更新時刻としてテーブルDB104の最終更新日時を更新し(S1508)、その後、テーブル更新処理を終了する(S1509)。
図16は、本発明に係る実施例1の通信部の問い合わせ待ち受け処理を示すフローチャートである。以下、フローチャートの項目に従い、通信部の動作を説明する。
解析サーバ101の通信部106は、CPU202の起動により、問い合わせ待ち受け処理を開始する(S1601)。通信部106が、待ち受ける問い合わせは、各種テーブルの更新問い合わせであり、一定周期でゲートウェイ装置121が解析サーバ101へと問い合わせを行う。本実施例では一例として、HTTP(Hyper Text Transfer Protocol)通信を介して、ゲートウェイ装置121がクライアント、解析サーバ101がサーバとなる場合の、通信部106の問い合わせ待ち受け処理について記載する。
通信部106は、Webサーバとしても動作し、クライアントからの問い合わせを待ち受け、問い合わせを受信したか否かを判定し(S1602)、問い合わせを受信するまでこの処理を繰り返し(NO)、問い合わせを受信したと判定した場合(YES)、問い合わせの対象となるデータに含まれる日時とテーブルDB104の最終更新日時とを比較する(S1603)。
次に、通信部106は、ステップS1603の比較結果を基に、受信した日時よりもテーブルDB104の最終更新日時の方が新しいか否かを判定し(S1604)、ステップS1604で、受信した日時よりもテーブルDB104の最終更新日時の方が新しいと判定した場合(YES)、問い合わせの返信として、テーブルDB104に格納された全てのテーブル、例えば、収集テーブル216、監視テーブル217および検知テーブル218の情報をクライアントに送信し(S1605)、その後、ステップS1602の処理に戻り、ステップS1602~ステップS1604の処理を繰り返す。
一方、ステップS1604で、受信した日時よりもテーブルDB104の最終更新日時の方が新しくない(古い)と判定した場合(NO)、問い合わせの返信として、空のレスポンスをクライアントに送信し(S1606)、その後、ステップS1602の処理に戻り、ステップS1602~ステップS1604の処理を繰り返す。
図17は、本発明に係る実施例1のデータ処理部の更新問い合わせ処理を示すフローチャートである。以下、フローチャートの項目に従い、データ処理部の動作を説明する。
ゲートウェイ装置121のデータ処理部122は、予め設定された周期で更新問い合わせ処理を開始する(S1701)。データ処理部122による更新問い合わせ処理は、周期的に実行される処理であり、その周期はゲートウェイ装置121が出荷される際に、予め設定される。
次に、データ処理部122は、WAN通信部123を介して、解析サーバ101へ最終更新日時の情報を更新問い合わせの情報として送信する(S1702)。本実施例では一例としてHTTPのPOSTメソッドを使用して、最終更新日時を送信するものとする。
次に、データ処理部122は、解析サーバ101へ最終更新日時の情報を送信した後、解析サーバ101からの応答を待ち受け、応答を受信したか否かを判定し(S1703)、ステップS1703で応答を受信していないと判定した場合(NO)、タイムアウト時間が経過しているか否かを判定し(S1704)、ステップS1704でタイムアウト時間を経過していないと判定した場合(NO)、ステップS1703の処理に戻り、ステップS1703~ステップS1704の処理を繰り返し、ステップS1704でタイムアウト時間を経過したと判定した場合(YES)、ステップS1702の処理に戻り、ステップS1702~ステップS1703の処理を繰り返す。
一方、ステップS1703で応答を受信したと判定した場合(YES)、データ処理部122は、解析サーバ101からの応答として、テーブルの情報を受信したか否かを判定する(S1705)。
データ処理部122は、ステップS1705で、解析サーバ101から、テーブルの情報を受信していないと判定した場合(NO)、ステップS1708の処理に移行し、ステップS1705で、解析サーバ101から、テーブル(収集テーブル216、監視テーブル217、検知テーブル218)の情報を受信したと判定した場合(YES)、設定ファイル124に格納されたテーブル(収集テーブル312、監視テーブル313、検知テーブル314)を、ステップS1703で受信したテーブル(収集テーブル216、監視テーブル217、検知テーブル218)に差し替えて、設定ファイル124に格納されたテーブルの情報を更新し(S1706)、設定ファイル124の最終更新日時315の内容を現在時刻に更新し(S1707)、その後、更新問い合わせ処理を終了する(S1708)。なお、データ処理部122は、更新された各テーブルの内容で同様の処理を繰り返す。例えば、データ処理部122は、その処理を設定周期毎に繰り返して実行し、各処理が終了する毎に、更新問い合わせの情報を、WAN通信部123を介して解析サーバ101に送信する。解析サーバ101は、更新問い合わせの情報を通信部106が受信したことを条件に、更新問い合わせに対する返信の情報として、更新されたサーバ用判定ルールの情報を、通信部106を介してゲートウェイ装置121に送信する。これにより、ゲートウェイ装置121と解析サーバ101において、設定周期毎に繰り返して処理を実行することができる。
実施例1において、ゲートウェイ装置121は、設定ファイル124に格納されたテーブルデータ群(収集テーブル312、監視テーブル313、検知テーブル314、最終取得日時315)に基づき、異常内容を含む異常時のデータと正常時のデータを解析サーバ101に送信する。この際、システム稼働当初は、収集テーブル312には収集可能な全てのデータの情報を記載し、監視テーブル313や検知テーブル314に対して、広い範囲の異常を検知するように設定する。例えば、多様な原因で発生するメモリ量減少や温度の上昇、再起動の発生を監視対象とする。加えて、データを収集できるように検知が発生しやすい閾値を設定する。具体的には、温度の上昇を検知するなら、平常時が50度、異常時には平均して15度の温度上昇が見込まれるローカル機器131に対して、55度で閾値を設けるなどである。そして、これらの監視条件毎に検知ID(「boot」等)を割当てて、可能な限り多くのデータを収集し、収集したデータを解析サーバ101へ送信する。
解析サーバ101では、ゲートウェイ装置121から送信されたデータを解析する事で、平常時と異なる挙動を見せるデータ(異常時データ)の可視化を実行し、各収集データの傾向解析を示す情報や効率的なテーブル更新を促す情報を、ゲートウェイ装置121に送信する。
その一ケースとして、多様な発生要因が考えられる異常に対して、原因特定に繋がるデータを特定できる。例えば、温度上昇に対して回転数や電源電圧、稼働時間が密に関係することを特定できる。
また、監視に使用する閾値に関しても、具体的な値が得られる。例えば、ローカル機器131の設置箇所によって平常時の温度が異なる場合にも、ローカル機器設置場所毎の温度データの最大・最小・平均値を元に閾値を設定し直すことができる。
他にも、検知した異常が他の異常で二次的に発生した場合にも、本来の原因を特定するデータを得ることができる。例えば、温度上昇の検知をトリガに収集したデータから、回転数の異常上昇が可視化されるようなケースである。
上記のように異常とデータの関係性が明らかになれば、ユーザは、それを鑑みてテーブルの情報を更新することができる。更新されたテーブルの情報は、解析サーバ101からゲートウェイ装置121にも配布され、想定外の異常(ゲートウェイ装置121に設定された異常以外の異常)やローカル機器131の設置環境に合わせた異常検知が可能となる。
本実施例によれば、事前に判定ルールに落とし込めていなかった監視対象の異常を検出することができる。すなわち、ゲートウェイ装置121による異常検知と解析サーバ101による異常検知とを組み合わせて、ローカル機器131の異常を検知するようにしたので、ローカル機器131の異常を検知することができる。また、本実施例によれば、検知ゲートウェイ装置121と解析サーバ101との間で情報の送受信を一定期間毎に行い、各種テーブルの更新処理を繰り返すことで、判定ルールを継続的に更新することができる。さらに、ゲートウェイ装置121に格納された各種テーブルを解析サーバ101から送信された各種テーブルと差し替えて、ゲートウェイ装置121に格納された各種テーブルを更新する際に、ゲートウェイ装置121に格納された各種テーブルの更新内容(更新ID・データの種類)を異常検知に必要なものに絞り込み、異常検知に不必要なものは削除するようにしたので、結果として判定ルールを効率的に更新することができる。
また、ゲートウェイ装置121が送信データ701を解析サーバ101に送信する際に、機器データのうち正常時データには、エラーIDに空の文字列の識別情報を付加し、異常時データには、エラーIDに「boot」等の識別情報を付加しているので、解析サーバ101では、送信データ701を解析する際に、送信データ701に付加された識別情報で異常のデータか否かを判別することができる。なお、実施例1では一例として解析方法に平均値を比較する方法を用いたが、例えばデータ毎に平均値と分散を算出して、データの分布のずれから異常と関連深いデータを抽出する方法なども考えられる。このように実施例1は、解析手法に依らず、一定のルールに従いユーザが参照しやすい形式で検知情報を出力することができる。
実施例1では、ゲートウェイ装置121において、正常時のデータも異常時のデータに合わせて解析サーバ101に送信し、解析サーバ101において、解析時に正常時のデータと異常時のデータとを比較する方式を採用している。しかしながら、この方式を、モバイル通信ネットワーク111のような一定期間内の通信量に制限のあるネットワークを介してデータの送受信を行うシステムに適用した場合、データ量の増加が課題となる。
そこで実施例2では、モバイル通信ネットワーク111とは異なるネットワークであって、一定期間内の通信量に制限のないネットワーク、例えば、従量制ではない、或いは月の最大通信量に制限のない、有線によるネットワークを介して正常時のデータを取得し、このネットワークを介して取得したデータを解析サーバ101にアップロードする方式について説明する。
図18は、本発明に係る実施例2の収集データアップロード画面を示す画面構成図である。図18において、収集データアップロード画面1801は、GUI生成部102により生成され、ユーザが、PC(Pesonal Computer)から解析サーバ101にブラウザでアクセスすることで、PCの画面上に表示される。
PCの収集データアップロード画面1801は、ファイル選択ボックス1802、アップロードボタン1803、アップロード完了ボタン1804で構成される。ファイル選択ボックス1802が選択されると、ファイル選択ボックス1802には、ユーザがアクセスしているPC上に保存されたファイルの情報が表示される。表示されたファイルが選択されると、ファイル選択ボックス1802には、選択されたファイルのファイルパスが表示される。
アップロードボタン1803は、選択された際に、ファイル選択ボックス1802で選択されたファイルの情報を解析サーバ101へアップロードするボタンである。ユーザが、ファイル選択とアップロードの操作を繰り返すことで、複数のファイルの情報を解析サーバ101へアップロードすることも可能である。この操作でアップロードされるファイルは、図7の送信データ701を繋げた形式のファイルである。アップロードボタン1803の操作によりアップロードされたファイルの情報(正常時のデータ)は、GUI生成部102によりログDB105に格納される。
アップロード完了ボタン1804は、選択された際に、収集データアップロード画面1801を閉じるボタンである。
実施例2において、解析サーバ101は、外部(ユーザのPC)から取得した正常時データを、GUI生成部102を介して取り込むことができる。この際、WAN通信部123は、データ処理部122の判定結果のうち機器データの異常を示す判定結果と、機器データのうちデータ処理部122により異常と判定された異常時データとを送信データとして、モバイル通信ネットワーク111を介して解析サーバ101に送信する。解析サーバ101のGUI生成部(入出力部)102は、送信データに付加された機器データのうちデータ処理部122により正常と判定される機器データに相当する正常時データを、モバイル通信ネットワーク111とは異なるネットワーク(有線ネットワーク)を介して入力し、入力した正常時データを解析部101に転送する。
なお、正常時データとしては、例えば、ローカル機器131の出荷前に、予め試験環境でローカル機器131から長期間取得したデータで代用することもできる。
本実施例によれば、モバイル通信ネットワーク111を介さずに、ユーザのPCから有線ネットワークを介して正常時のデータを収集するようにしたので、モバイル通信ネットワーク111におけるデータ量の増大を抑えることが可能となる。
実施例2までの解析システムでは、運用開始後ユーザの手を借りてテーブルを更新する必要がある。ここで、ユーザがローカル機器131などに詳しくない部門外の保守人員である場合、テーブル更新の方針が定まらず、保守のレベルが下がる可能性がある。
そこで実施例3では、検知テーブル毎に登録される監視ID毎に閾値や判定内容を自動更新する解析システムについて記載する。
図19は、本発明に係る実施例3における検知テーブル設定画面を示す画面構成図である。図19において、実施例3の検知テーブル設定画面1901は、図10の検知テーブル設定画面1001に対して、閾値決定を実施するかを決定するチェックボックス1007が追加された構成である。チェックボックス1007が選択された状態で、設定テーブル1002の内容が登録されると、閾値補正が有効化される。
図20は、実施例3におけるGUI生成部の検知テーブル更新処理を示すフローチャートである。図20において、実施例3における検知テーブル更新処理は、図15のテーブル更新処理のステップS1503とステップS1504との間に、ステップS2001~ステップS2003の処理を追加したものであり、以下、追加された処理についてのみ説明する。
GUI生成部102は、ステップS1503で読み出した行において、閾値補正が有効か否かを判定し(S2001)、ステップS2001で閾値補正が有効でないと判定した場合(NO)、ステップS1504の処理に移行する。GUI生成部102は、チェックボックス1007が操作され、ステップS2001で閾値補正が有効であると判定した場合(YES)、検知テーブル218で登録される監視IDが、他の検知テーブルと共用とならないように配慮する必要があるので、監視テーブル217に新たに監視IDを追加して、監視ID以外は現在登録されている内容とする(S2002)。
ここで、監視IDの値は、例えば「voltageDown_for_boot」などのように、監視ID(「voltageDown」)と検知ID(「boot」)とを対応付けるような名称とする。複数の監視IDが登録されている場合は、全ての監視IDに対して同じ操作を行う。
次に、GUI生成部102は、読み出している検知テーブル218の監視ID名を、ステップS2002で追加した監視IDの値に変更して、検知テーブル218の情報を更新し(S2003)、その後、ステップS1504の処理に移行する。この際、GUI生成部102は、ユーザの操作による入力情報にサーバ用判定ルールで規定された異常検知条件の変更を示す情報が存在する場合、サーバ用判定ルールにおける異常検知条件を更新する。また、GUI生成部102は、検知テーブル218の収集データIDに、ステップS2002で監視テーブル217に記録した監視対象のデータID(「voltage」が含まれない場合は、監視対象のデータIDの情報を収集データIDに追加する。
図21は、本発明に係る実施例3における解析部の閾値決定処理を示すフローチャートである。以下、フローチャートの項目に従い、解析部の動作を説明する。
解析サーバ101の解析部103は、予め設定された周期毎に閾値決定処理を開始し(S2101)、正常時ログをログDB105から取得する(S2102)。ここで正常時ログは、実施例2で、解析サーバ101の外部から取り込んだ正常時ログを対象とする。実施例1のように正常時と異常時のログが混ざる可能性が有る場合は、図14のステップS1405と同様の処理を実施して、異常時ログが取得された期間の正常時ログを除去する。
次に、解析部103は、ステップS2102で取得した正常時ログの平均値を計算し(S2103)、その後、テーブルDB104から検知テーブル218の情報を取得し(S2104)、以下、ステップS2105からステップS2112までの処理を、検知テーブル218の情報を一行ずつ参照して実行する。
解析部103は、ステップS2104で取得した検知テーブル218の参照箇所を確認し、テーブル末尾であるか否かを判定し(S2105)、ステップS2105で末尾以外の行であると判定した場合(NO)、検知テーブル218の情報を一行読み出し(S2106)、検知テーブル218の検知ID(「boot」)がエラーID(「boot」)と一致するデータ(異常時ログ)をログDB105から取得する(S2107)。
次に、解析部103は、ステップS2107で取得したデータ(異常時ログ)に対して、平均μと分散σを計算する(S2108)。計算の対象は、検知テーブル218の収集データIDに記録されたデータであって、監視テーブル217の参照データIDに記録されたデータ(ログ)である。複数のデータが計算対象となる場合には、データ毎に平均μと分散σを計算する。
次に、解析部103は、ステップS2108で計算した異常時ログの平均μとステップS2103で計算した正常時ログの平均値との大小を比較し(S2109)、異常時ログの平均μよりも正常時ログの平均値の方が大きいか否かを判定する(S2110)。
次に、解析部103は、ステップS2110で、異常時ログの平均μよりも正常時ログの平均値の方が大きいと判定した場合(YES)、監視テーブル217の内、監視IDに記載された監視条件の行の比較方法を「<=(以下)」とし、閾値を「μ+3σ」として、監視テーブル217の情報を更新し、ステップS2104の処理に戻り、ステップS2104~ステップS2110の処理を繰り返す。
一方、解析部103は、ステップS2110で、異常時ログの平均μよりも正常時ログの平均値の方が小さいと判定した場合(NO)、監視テーブル217の内、監視IDに記載された監視条件の行の比較方法を「>=(以上)」とし、閾値を「μ-3σ」として、監視テーブル217の情報を更新し、ステップS2104の処理に戻り、ステップS2104~ステップS2110の処理を繰り返す。なお、ステップS2108にて、複数のデータを対象に計算を実施した場合は、ステップS2110~ステップS2112の処理は計算対象としたデータ毎に実施する。
解析部103は、ステップS2105でテーブル末尾の行であると判定した場合、閾値決定処理を終了する(S2113)。
実施例3において、解析サーバ101は、閾値の決定を自動化する処理を実施する。すなわち、解析サーバ101は、送信データに属する機器データのうちデータ処理部122により正常と判定された正常時データと、データ処理部122により異常と判定された異常時データのうち検知テーブル218の異常検知条件で収集対象として規定された異常時データとを比較し、この比較結果を基にサーバ用判定ルールで規定された監視条件(監視テーブル217の閾値)を更新する。また、実施例3では、検知ID毎に、データの統計値を計算して、異常時のデータが99%以上存在すると期待される平均μ±3σを検知範囲とする形式で閾値を自動決定した。閾値決定では、他にも単純に平常時の平均値と、検知IDで収集したデータの平均値の丁度中間を取る方法などが考えられる。
また、実施例3においては、図20のステップS2002で実施する閾値決定自動化対象の監視テーブルの追加と、図20のステップS2003で実施する閾値判定対象データを検知時の収集データIDに追加する処理が重要であり、閾値の更新手法には依存しない。
本実施例によれば、解析サーバ101により、判定閾値が周期的かつ自動的に更新されるので、解析システム10やローカル機器131に知見がない人員が、保守を担当した場合に発生し得る保守のレベルの低下を防止できる。
実施例3までの解析システムは、各テーブルの初期設定や途中のテーブル更新に人の意図を介す必要がある。このため、人が感覚的に理解できないデータと異常の関係性をテーブルに反映することができなかった。
そこで実施例4では、機械学習の一技術であるニューラルネットワークを用いた計算を解析部103とデータ処理部122に導入する解析システムについて説明する。
図22は、本発明に係る実施例4の解析システムの全体構成を示すブロック図である。
実施例4では、図1の解析システムのうち、解析サーバ101にNW情報107が追加され、ゲートウェイ装置121にNW情報126が追加される。NW情報107、126は、実施例4で使用されるニューラルネットワークの計算に必要な情報で、定期的に解析部103が更新する情報である。NW情報107、126は、各種テーブルと同様に、定期的な問い合わせ処理によって、解析サーバ101からゲートウェイ装置121へ更新内容が伝えられる。
図23は、本発明に係る実施例4のNW情報の内容を示す模式図である。NW情報に含まれる情報として、NWの構造とパラメータである。この内NWの構造については、予め設定値として解析部103与えられており、実質的にはパラメータのみを更新する。パラメータは、重みw11、w12、w21、w22、w31、w32とバイアスb、bで構成される。重みw11~w32は、NWの各層間に掛け合わされる係数である。バイアスb、bは、NWの各層間で足し合わされる値である。ニューラルネットワークではパーセプトロンと呼ばれる単位で、入力値X11、X21、X31に対し、重みw11~w32を掛け合わせた後にバイアスb、bを足し合わせて中間出力a、aを得る。その後、計算結果を活性化関数h(a)と呼ばれる関数に代入して出力y、yを得る。ここで得た出力y、yを次のパーセプトロンの入力として、複数のパーセプトロンを経て、出力へと計算を進める。
前述のネットワークの構造とは主にパーセプトロンの組み合わせを指し、第一層にパーセプトロンを3つ、第二層にパーセプトロンを4つなどと配置して、ネットワークの計算内容を決定する。実施例4のニューラルネットワークでは、全パーセプトロンを経由して得られた値を、データ収集時に各検知IDに属する確率に変換して出力とする。このため、本ネットワークの入力は、ローカル機器131から得られるデータであり、ネットワークの出力は、検知ID毎の確率となる。例えば、データを収集した時点で、「boot」の異常である確率が「80%」で、「overheat」の異常である確率が「10%」で、正常である確率が「10%」であるような出力が得られることとなる。
図24は、本発明に係る実施例4の解析部のNW学習処理を示すフローチャートである。以下、フローチャートの項目に従い、解析部の動作を説明する。
解析サーバ101の解析部103は、予め設定された周期で、CPU202によって起動され、NWの学習処理を開始し(S2401)、解析部103に予め設定された一定期間内にログDB105に格納されたデータをログDB105から取得する(S2402)。
次に、解析部103は、ログDB105から取得したデータには、検知ID毎に収集されるデータ(機器データ)が格納され、また、エラーIDの名目で、検知IDの情報が格納されていることを考慮し、収集されたデータ(機器データ)を入力とし、各検知IDの状態に当てはまる確率を出力として、NWのパラメータの学習を行う(S2403)。なお、検知ID毎の収集データIDに記載がない、データについては、その値を「0」として入力する。ここで、NWの構造やハイパーパラメータは、予め解析部103に与えられているものとする。NWの学習にあたり、一般的なニューラルネットワークの学習に用いられる誤差逆伝播法などの手法が用いられる。
次に、解析部103は、NW情報107を、ステップS2403の学習の結果得られたパラメータの値に更新する(S2404)。この際、解析部103は、同時にゲートウェイ装置121からの問い合わせ時に更新後のパラメータを配布するため、最終更新日時を現在時刻とする。
次に、解析部103は、NW情報107が更新されたことを条件に、NWの学習処理を終了する(S2405)。
図25は、本発明に係る実施例4のデータ処理部のNW計算処理を示すフローチャートである。以下、フローチャートの項目に従い、データ処理部の動作を説明する。
ゲートウェイ装置121のデータ処理部122は、予め設定された周期毎にNW計算処理を開始し(S2501)、ローカル機器131から、収集テーブル312に記載された全データを取得し、ステップS2502で取得したデータを、現在のNWに入力として与え、NW情報126に従った計算を行う(S2503)。ここで、現在のNWとは、ゲートウェイ装置121が定期的に解析サーバ101に対して行う問い合わせ処理で取得したパラメータを反映したNWである。パラメータには、重み・バイアスの値やNWの構造が格納されており、入力を与えれば出力が得られる。
次に、データ処理部122は、ステップS2503の処理で得られた出力を参照し、ステップS2503の処理結果を異常状態に分類するか否かを判定する(S2504)。この際、ステップS2503の処理で得られた出力は、各検知ID(もしくは正常状態)に属する確率であり、その確率が最も高い状態を現状の状態とする。
次に、データ処理部122は、ステップS2504で、出力が検知IDのいずれかに分類されたと判定した場合(YES)、検知テーブル314の情報を設定ファイル124から取得し(S2505)、取得した検知テーブル314の情報を基に、ステップS2504により分類された検知ID(「boot」)における収集データID313dのデータ(「voltage」、「uptime」)を取得し、取得したデータを解析サーバ101へ送信する(S2506)。
データ処理部122は、ステップS2504で、出力が検知IDのいずれかに分類されないと判定した場合(NO)、或いはステップS2506の処理が完了した場合、NW計算処理を終了する(S2507)。
本実施例において、解析部103とデータ処理部122が共有するニューラルネットワークは、入力を収集データ、出力を検知テーブルの検知IDとして、ログDB105に集約したデータを用いて学習する。
本実施例によれば、ニューラルネットワークが、人の手を介さずに自動的にデータと異常の関係性を学ぶので、人が感覚的に理解できないデータと異常の関係性も踏まえて異常を検知することが可能となる。
実施例4までの解析システムは、ローカル機器131のみからデータを収集していた。このため、ゲートウェイ装置121の不調や、通信状況の変化により発生する異常を検知することができない。例えば、ローカル通信部125が故障して、ローカル機器131からのデータが収集できない場合などに、その異常を解析サーバ101に通知することができない。
そこで実施例5のゲートウェイ装置121では、ローカル機器131からデータ機器データ)に加え、ゲートウェイ装置自体の異常状態やゲートウェイ装置121とローカル機器131との間の通信経路における異常状態を示すデータ(ゲートウェイ装置121内部で収集されたデータ)を内部データとして収集し、収集した内部データを解析サーバ101へ送信する。この際、データ処理部122は、ゲートウェイ装置内部で収集された内部データを送信データに付加する。解析サーバ101で内部データを解析し、ゲートウェイ装置自体の異常を検知できるようになれば、ローカル機器131からのデータの収集が困難となった場合も、ゲートウェイ装置121の不調や、通信状況の変化により発生する異常を検知可能となる。他にも、ローカル機器131のモータの回転数が上昇するにつれ、ノイズが発生し、このノイズがローカル通信部125に影響を与え、通信が失敗する事例も存在することから、ゲートウェイ装置121内部で収集されたノイズを含むデータを内部データとして解析サーバ101で解析することで、モータの回転数と通信品質との関係性を検知することができ、結果として、異常の原因がモータにあることを把握することが可能になる。
本実施例によれば、ゲートウェイ装置121の不調や、ゲートウェイ装置121とローカル機器131との間の通信状況の変化により発生する異常を検知可能となる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、データ処理部122、WAN通信部123、ローカル通信部125を一体化し、データ処理部122に、WAN通信部123とローカル通信部125の機能を付加することができる。また、解析部103と通信部106を一体化し、解析部103に、通信部106の機能を付加することができる。さらに、GUI生成部102と通信部106を一体化し、GUI生成部102に、通信部106の機能を付加することができる。前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。
また、前述した各構成、機能等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、IC(Integrated Circuit)カード、SD(Secure Digital)カード、DVD(Digital Versatile Disc)の記録媒体に格納することができる。
10 解析システム、101 解析サーバ、102 GUI生成部、103 解析部、104 テーブルDB、105 ログDB、106 通信部、111 モバイル通信ネットワーク、121 ゲートウェイ装置、122 データ処理部、123 WAN通信部、124 設定ファイル、125 ローカル通信部、131 ローカル機器、132 稼働情報、133 設定情報、201 CPU、202 主記憶装置、203 補助記憶I/F、204 入出力I/F、205 ネットワークI/F、210 補助記憶装置、211 DBMS、213 ローカル機器稼働情報、214 ローカル機器設定情報、216 収集テーブル、217 監視テーブル、218 検知テーブル、219 最終更新日時、220 GUI生成プログラム、221 解析プログラム、222 通信プログラム、301 CPU、302 主記憶装置、303 WAN通信I/F、304 入出力I/F、305 補助記憶I/F、306 シリアル通信I/F、307 LAN通信I/F、310 補助記憶装置、311 設定ファイル、312 収集テーブル、313 監視テーブル、314 検知テーブル、315 最終取得日時、316 データ処理プログラム、317 WAN通信プログラム、318 ローカル通信プログラム

Claims (15)

  1. 1以上のゲートウェイ装置と解析サーバとが通信ネットワークを介して接続される解析システムであって、
    前記ゲートウェイ装置は、
    監視対象となる機器から1以上の機器データを収集し、収集した前記機器データの異常の有無を判定ルールに従って判定する処理を実行するデータ処理部を備え、
    前記解析サーバは、
    前記ゲートウェイ装置と前記通信ネットワークを介して情報の送受信を行い、受信した前記情報を解析する解析部と、前記判定ルールに相当するサーバ用判定ルールの入出力を実行する入出力部と、を備え、
    前記データ処理部は、
    前記判定の処理結果と前記機器データとを含む送信データを、前記通信ネットワークを介して前記解析サーバに送信し、
    前記解析部は、
    前記送信データに属する前記機器データの中に前記判定ルールで規定された異常とは異なる異常を示す機器データが存在する場合に、少なくとも前記異なる異常を示す解析結果の情報を前記入出力部に転送し、
    前記入出力部は、
    前記解析部から転送された前記異なる異常を示す解析結果の情報を出力すると共に、入力情報を基に前記サーバ用判定ルールの情報を更新し、
    前記データ処理部は、
    更新された前記サーバ用判定ルールの情報を入力した場合、入力した前記サーバ用判定ルールの情報を基に前記判定ルールの情報を更新することを特徴とする解析システム。
  2. 請求項1に記載の解析システムであって、
    前記データ処理部は、
    前記判定の処理を設定周期毎に繰り返して実行し、各処理が終了する毎に、前記送信データ及び更新問い合わせの情報を、前記通信ネットワークを介して前記解析サーバに送信し、
    前記解析部は、
    前記送信データ及び前記更新問い合わせの情報を受信したことを条件に、受信した前記送信データを解析し、当該解析結果の情報を前記入出力部に転送し、
    前記入出力部は、
    前記解析部から転送された前記解析結果の情報を入力したことを条件に、前記サーバ用判定ルールの情報を更新した場合、前記更新問い合わせに対する返信の情報として、更新された前記サーバ用判定ルールの情報を、前記通信ネットワークを介して前記ゲートウェイ装置に送信することを特徴とする解析システム。
  3. 請求項1に記載の解析システムであって、
    前記データ処理部は、
    前記判定結果のうち前記機器データの異常を示す判定結果と、前記機器データのうち前記判定の処理により異常と判定された異常時データとを前記送信データとして、前記通信ネットワークを介して前記解析サーバに送信し、
    前記入出力部は、
    前記機器データのうちに前記データ処理部により正常と判定される機器データに相当する正常時データを、前記通信ネットワークとは異なるネットワークを介して入力し、入力した前記正常時データを前記解析部に転送することを特徴とする解析システム。
  4. 請求項1に記載の解析システムであって、
    前記データ処理部は、
    前記機器データのうち前記判定の処理により正常と判定された正常時データが、前記判定ルールで規定された常時送信の条件に一致した場合に、前記正常時データを、前記通信ネットワークを介して前記解析サーバに常時又は周期的に送信し、前記正常時データが、前記常時送信の条件に不一致の場合には、前記正常時データの送信を停止することを特徴とする解析システム。
  5. 請求項1に記載の解析システムであって、
    前記入出力部は、
    前記入力情報に前記サーバ用判定ルールで規定された異常検知条件の変更を示す情報が存在する場合、前記サーバ用判定ルールにおける前記異常検知条件を更新し、
    前記解析部は、
    前記送信データに属する前記機器データのうち前記データ処理部により正常と判定された正常時データと、前記データ処理部により異常と判定された異常時データのうち前記異常検知条件で収集対象として規定された異常時データとを比較し、当該比較結果を基に前記サーバ用判定ルールで規定された監視条件を更新することを特徴とする解析システム。
  6. 請求項1に記載の解析システムであって、
    前記解析部は、
    前記送信データに属する前記機器データのうち前記データ処理部により異常と判定された異常時データの統計値を基に機械学習のパラメータを更新し、更新後の前記機械学習のパラメータを、前記通信ネットワークを介して前記ゲートウェイ装置に送信し、
    前記データ処理部は、
    前記更新後の前記機械学習のパラメータを入力した場合、入力した前記更新後の前記機械学習のパラメータを基に前記収集した前記機器データを入力とし、異常状態の発生確率を出力とする計算を実行することを特徴とする解析システム。
  7. 請求項1に記載の解析システムであって、
    前記データ処理部は、
    前記ゲートウェイ装置内部で収集された内部データを前記送信データに付加し、前記内部データを含む前記送信データを、前記通信ネットワークを介して前記解析サーバに送信し、
    前記解析部は、
    前記内部データを含む前記送信データを受信した場合、受信した前記内部データを含む前記送信データを解析することを特徴とする解析システム。
  8. 請求項1に記載の解析システムであって、
    前記解析部は、
    前記異なる異常を示す解析結果の情報を前記入出力部に転送する際に、前記サーバ用判定ルールの更新を促す旨の情報を、前記異なる異常を示す解析結果の情報に付加し、
    前記入出力部は、
    前記異なる異常を示す解析結果の情報及び前記サーバ用判定ルールの更新を促す旨の情報を受信した場合、受信した前記異なる異常を示す解析結果の情報及び前記サーバ用判定ルールの更新を促す旨の情報を画面上に表示することを特徴とする解析システム。
  9. 1以上のゲートウェイ装置と解析サーバが通信ネットワークを介して接続された解析システムにおける解析方法であって、
    前記ゲートウェイ装置が、監視対象となる機器から1以上の機器データを収集し、収集した前記機器データの異常の有無を判定ルールに従って判定する処理を実行するデータ処理ステップと、
    前記解析サーバが、前記ゲートウェイ装置と前記通信ネットワークを介して情報の送受信を行い、受信した前記情報を解析する解析ステップと、
    前記解析サーバが、前記判定ルールに相当するサーバ用判定ルールの入出力を実行する入出力ステップと、を備え、
    前記ゲートウェイ装置は、
    前記データ処理ステップでは、前記判定の処理結果と前記機器データとを含む送信データを、前記通信ネットワークを介して前記解析サーバに送信し、
    前記解析サーバは、
    前記解析ステップでは、前記送信データに属する前記機器データの中に前記判定ルールで規定された異常とは異なる異常を示す機器データが存在する場合に、少なくとも前記異なる異常を示す解析結果の情報を転送し、
    前記入出力ステップでは、前記解析ステップでの転送による前記異なる異常を示す解析結果の情報を出力すると共に、入力情報を基に前記サーバ用判定ルールの情報を更新し、
    前記ゲートウェイ装置は、
    前記データ処理ステップでは、更新された前記サーバ用判定ルールの情報を前記解析サーバから入力した場合、入力した前記サーバ用判定ルールの情報を基に前記判定ルールの情報を更新することを特徴とする解析方法。
  10. 請求項9に記載の解析方法であって、
    前記ゲートウェイ装置は、
    前記データ処理ステップでは、前記判定の処理を設定周期毎に繰り返して実行し、各処理が終了する毎に、前記送信データ及び更新問い合わせの情報を生成し、生成された前記送信データ及び前記更新問い合わせの情報を前記解析サーバに送信し、
    前記解析サーバは、
    前記解析ステップでは、前記送信データ及び前記更新問い合わせの情報を受信したことを条件に、受信した前記送信データを解析し、当該解析結果の情報を転送し、
    前記入出力ステップでは、前記解析ステップで転送された前記解析結果の情報を入力したことを条件に、前記サーバ用判定ルールの情報を更新した場合、更新された前記サーバ用判定ルールの情報を、前記更新問い合わせに対する返信の情報として前記ゲートウェイ装置に送信することを特徴とする解析方法。
  11. 請求項9に記載の解析方法であって、
    前記ゲートウェイ装置は、
    前記データ処理ステップでは、前記判定結果のうち前記機器データの異常を示す判定結果と、前記機器データのうち前記判定の処理で異常と判定された異常時データとを前記送信データとして、前記通信ネットワークを介して前記解析サーバに送信し、
    前記解析サーバは、
    前記入出力ステップでは、前記機器データのうちに前記ゲートウェイ装置で正常と判定される機器データに相当する正常時データを、前記通信ネットワークとは異なるネットワークを介して入力し、
    前記解析ステップでは、前記入出力ステップで入力した前記正常時データを前記送信データに属するデータとして解析することを特徴とする解析方法。
  12. 請求項9に記載の解析方法であって、
    前記ゲートウェイ装置は、
    前記データ処理ステップでは、前記機器データのうち前記判定の処理で正常と判定された正常時データが、前記判定ルールで規定された送信条件に一致した場合に、前記正常時データを、前記通信ネットワークを介して前記解析サーバに送信し、前記正常時データが、前記送信条件に不一致の場合には、前記正常時データの送信を停止することを特徴とする解析方法。
  13. 請求項9に記載の解析方法であって、
    前記解析サーバは、
    前記入出力ステップでは、前記入力情報に前記サーバ用判定ルールで規定された異常検知条件の変更を示す情報が存在する場合、前記サーバ用判定ルールにおける前記異常検知条件を更新し、
    前記解析ステップでは、前記送信データに属する前記機器データのうち前記ゲートウェイ装置で正常と判定された正常時データと、前記ゲートウェイ装置で異常と判定された異常時データのうち前記異常検知条件で収集対象として規定された異常時データとを比較し、当該比較結果を基に前記サーバ用判定ルールで規定された監視条件を更新することを特徴とする解析方法。
  14. 請求項9に記載の解析方法であって、
    前記解析サーバは、
    前記解析ステップでは、前記送信データに属する前記機器データのうち前記ゲートウェイ装置で異常と判定された異常時データの統計値を基に機械学習のパラメータを更新し、更新後の前記機械学習のパラメータを前記ゲートウェイ装置に送信し、
    前記ゲートウェイ装置は、
    前記データ処理ステップでは、前記更新後の前記機械学習のパラメータを入力した場合、入力した前記更新後の前記機械学習のパラメータを基に前記収集した前記機器データを入力とし、異常状態の発生確率を出力とする計算を実行することを特徴とする解析方法。
  15. 解析サーバと通信ネットワークを介して接続されるゲートウェイ装置であって、
    監視対象となる機器から1以上の機器データを収集し、収集した前記機器データの異常の有無を判定ルールに従って判定する処理を実行するデータ処理部を備え、
    前記データ処理部は、
    前記判定の処理結果を示す識別情報と前記機器データとを含む送信データを、前記通信ネットワークを介して前記解析サーバに送信し、前記解析サーバから前記判定ルールに相当するサーバ用判定ルールの情報を入力した場合、入力した前記サーバ用判定ルールの情報を基に前記判定ルールの情報を更新することを特徴とするゲートウェイ装置。
JP2022007612A 2022-01-21 2022-01-21 ゲートウェイ装置と解析システム及び解析方法 Pending JP2023106720A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2022007612A JP2023106720A (ja) 2022-01-21 2022-01-21 ゲートウェイ装置と解析システム及び解析方法
PCT/JP2022/045536 WO2023139964A1 (ja) 2022-01-21 2022-12-09 ゲートウェイ装置と解析システム及び解析方法
TW111147591A TW202331517A (zh) 2022-01-21 2022-12-12 閘道裝置、解析系統及解析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022007612A JP2023106720A (ja) 2022-01-21 2022-01-21 ゲートウェイ装置と解析システム及び解析方法

Publications (1)

Publication Number Publication Date
JP2023106720A true JP2023106720A (ja) 2023-08-02

Family

ID=87348079

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022007612A Pending JP2023106720A (ja) 2022-01-21 2022-01-21 ゲートウェイ装置と解析システム及び解析方法

Country Status (3)

Country Link
JP (1) JP2023106720A (ja)
TW (1) TW202331517A (ja)
WO (1) WO2023139964A1 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006222649A (ja) * 2005-02-09 2006-08-24 Fujitsu Ten Ltd ネットワーク監視機能付のゲートウェイ装置
JP2008204063A (ja) * 2007-02-19 2008-09-04 Ricoh Co Ltd 仲介装置、および管理装置
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP7269955B2 (ja) * 2018-11-30 2023-05-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両ログ送信装置、車両ログ解析サーバおよび車両ログ解析システム

Also Published As

Publication number Publication date
WO2023139964A1 (ja) 2023-07-27
TW202331517A (zh) 2023-08-01

Similar Documents

Publication Publication Date Title
US11055302B2 (en) Method and system for implementing target model configuration metadata for a log analytics system
US11226975B2 (en) Method and system for implementing machine learning classifications
CN105580032B (zh) 用于降低升级软件时的不稳定性的方法和系统
JP6919569B2 (ja) ログ分析システム、方法、及び記録媒体
US20200241518A1 (en) Systems and methods for determining relationships between defects
US9346562B2 (en) Aircraft troubleshooting network
US9268674B1 (en) System, method, and computer program for monitoring testing progress of a software testing project utilizing a data warehouse architecture
US20230342372A1 (en) Method and system for implementing a log parser in a log analytics system
US20200322227A1 (en) Methods and systems for device grouping with interactive clustering using hierarchical distance across protocols
EP3864516B1 (en) Veto-based model for measuring product health
US11956335B1 (en) Automated mapping of multi-tier applications in a distributed system
US11789931B2 (en) User-interactive defect analysis for root cause
CN110880128A (zh) 异常信息挖掘方法、装置、系统及终端设备
US10459730B2 (en) Analysis system and analysis method for executing analysis process with at least portions of time series data and analysis data as input data
WO2023139964A1 (ja) ゲートウェイ装置と解析システム及び解析方法
CN116648939A (zh) 用于检测异常接入行为的方法和网络节点
CN116595353A (zh) 一种调相机远程故障诊断及智能决策系统
CN111177239A (zh) 一种基于hdp大数据集群的统一日志处理方法及系统
US11544098B2 (en) Systems and methods for centralization and diagnostics for live virtual server performance data
US20230011129A1 (en) Log analyzer for fault detection
KR20210055934A (ko) 기계 학습 모델을 개발하기 위한 자가학습 시스템
US20110320587A1 (en) Real-time determination of software installation status
KR102370858B1 (ko) 기업정보시스템에 대한 이상행위 탐지 결과를 우주 궤도 형상으로 시각화하는 방법 및 시스템
US11973775B1 (en) Monitoring client networks for security threats using recognized machine operations and machine activities
CN117745401A (zh) 网上银行系统的检测方法及装置、非易失性存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240319