Echtzeitüberwachung und Langzeitanalyse mittels eingebetteter Systeme Tino Noack TU Cottbus Institut für Informatik, Informations- und Medientechnik Lehrstuhl Datenbank- und Informationssysteme Tino.Noack@tu-cottbus.de Kurzfassung Überwachung technischer Systeme ist ein sehr weit verbrei- Der vorliegende Beitrag skizziert ein interdisziplinäres For- tetes Forschungsfeld und bezieht sich auf viele heterogene schungsvorhaben im Rahmen einer Doktorarbeit. Einer der Anwendungsdomänen. Häufig werden Überwachungssyste- Forschungsbeiträge ist die Kombination von Echtzeitüber- me für spezielle Anwendungen entworfen, entwickelt und wachung und Langzeitanalyse. Diese Kombination basiert implementiert. Dies führt zu erhöhten Entwicklungskosten auf existierenden Ansätzen und umfasst Event-Condition- und gleichzeitig zur Abnahme der Flexibilität bzw. der Wie- Action-Regeln (ECA-Regeln), Data-Mining-Technologien so- derverwendbarkeit. Bedeutende Anwendungen sind z.B. die wie Complex Event Processing (CEP). Im vorliegenden Bei- Überwachung von Raumfahrzeugen [21], [22] oder die Über- trag werden zunächst drei grundlegende Annahmen und fünf wachung von Schienenfahrzeugen [16]. Die Überwachung von Überwachungsanforderungen erarbeitet. Darauf aufbauend Raumfahrzeugen ist besonders herausfordernd, da komplette wird die Forschungsfrage detailliert betrachtet. Die Grundla- Systemtests in der vorgesehenen Systemumwelt (dem Welt- ge für die vorgestellte Idee bildet ein mathematisches Modell raum) und kontinuierliche Wartung unpraktisch bzw. un- (der Zustandsraum), welches das Wissen über das zu über- möglich sind. wachende System repräsentiert. Mit Hilfe dieses Zustands- Aufgrund der steigenden Komplexität heutiger Produk- raums werden durch die Anwendung von Data-Mining-Tech- te werden verbesserte Überwachungsansätze benötigt, die nologien ECA-Regeln erzeugt und an eine CEP-Anwendung, heutige und zukünftige Anforderungen berücksichtigen. Im die sich auf einem eingebetteten System befindet, übertra- vorliegenden Beitrag steht die Überwachung des zu überwa- gen. Dieser Teilschritt bezieht sich auf die Langzeitanalyse. chenden Systems, welches im Weiteren als Produkt bezeich- Die CEP-Anwendung wertet anschließend die übertragenen net wird, im Vordergrund. Das Produkt besteht aus einer ECA-Regeln auf einem kontinuierlichen Strom von Sensor- Menge von Systemkomponenten. Nur aufgrund des Zusam- daten aus und erzeugt Aktionen. Dieser Teilschritt bezieht menspiels der einzelnen Systemkomponenten untereinander sich auf die Echtzeitüberwachung. Weiterhin wird eine Pro- genügt das Produkt einer vorher definierten Funktion bzw. zesskette vorgestellt, die zyklisch durchlaufen wird und zur Aufgabe. Zusätzlich wirken externe Einflüsse aus der umge- Kombination von Echtzeitüberwachung und Langzeitanaly- benden Produktumwelt auf das Produkt (vgl. [15], [17]). So- se dient. Hier wird ein dynamischer und flexibler Überwa- mit bezieht sich die Überwachung des Produkts je nach An- chungsansatz vorgestellt. wendungsdomäne und je nach Überwachungsziel zusätzlich auf externe Einflüsse und auf die korrekte Arbeitsweise der beteiligten Systemkomponenten. Eine strikte Trennung der Schlüsselwörter Überwachung externer Einflüsse, des Produkts selbst und Überwachung, Echtzeit, Langzeit, Eingebettete Systeme, der einzelnen Systemkomponenten, aus denen das Produkt Datenströme, Data Mining, Complex Event Processing besteht, kann nicht immer vollzogen werden. Der vorliegende Beitrag skizziert ein interdisziplinäres For- schungsvorhaben im Rahmen einer Doktorarbeit. Einer der 1. EINLEITUNG Forschungsbeiträge ist die Kombination von existierenden, Viele Produkte, in denen sich eingebettete Systeme ver- gut bekannten und bereits praktisch angewendeten Ansät- bergen, sind sicherheitskritisch und unterliegen Echtzeitan- zen, die für die Kombination von Echtzeitüberwachung und forderungen wie z.B. Kraft-, Schienen-, Luft- oder Raum- Langzeitanalyse eingesetzt werden können. Anhand des Ein- fahrzeuge. Eingebettete Systeme werden oft für Regelungs-, satzes von existierenden Ansätzen sind Einsparungen im Be- Kontroll- und Überwachungsfunktionalitäten eingesetzt. Die reich der Entwicklungskosten möglich. Das Forschungsvor- haben umfasst die Erstellung von Event-Condition-Action- Regeln (ECA-Regeln) [10], Data-Mining-Technologien [27] sowie Complex Event Processing (CEP) [12]. Hier wird ein dynamischer und flexibler Überwachungsansatz vorgestellt, der auf den drei folgenden Annahmen basiert: 1. Anwendungsübergreifend werden ähnliche Methodiken 23rd GI-Workshop on Foundations of Databases (Grundlagen von Daten- banken), 31.05.2011 - 03.06.2011, Obergurgl, Austria. und Algorithmen für die Überwachung technischer Sys- Copyright is held by the author/owner(s). teme eingesetzt. 19 2. Das Auftreten von Fehlern im laufenden Betrieb lässt sich nicht ausschließen. Daher muss durch die Ände- rung des Systemverhaltens so schnell wie notwendig eine angemessene Aktion ausgelöst werden. 3. Teile des gesamten Überwachungsprozesses sind semi- manuell. Informationssysteme werden nur zur Unter- stützung des Überwachungsprozesses angewendet. Der Rest des vorliegenden Beitrags ist wie folgt organi- siert. Kapitel 2 beschreibt ein Anwendungsbeispiel. In Kapi- tel 3 wird der Begriff eines eingebetteten Systems definiert, so wie es für die Forschungsarbeit verwendet wird. Kapi- tel 4 fasst Anforderungen an die Überwachung zusammen Abb. 1: Eingebettetes System und aufbauend darauf wird in Kapitel 5 die Forschungsfrage detailliert betrachtet. Kapitel 6 beschreibt das Systemmo- Sensoren und Aktoren mit dem Produkt und der Produk- dell, welches dem vorgeschlagenen Überwachungsansatz zu tumgebung in Interaktion. Die elektronischen Baugruppen Grunde liegt. In Kapitel 7 wird der vorgeschlagene Überwa- können mittels eines internen Netzwerkes miteinander ver- chungsansatz detailliert beschrieben. Kapitel 8 fasst existie- bunden sein. Zusätzlich kann eine temporäre Verbindung zu rende Lösungen zusammen und schließlich wird in Kapitel 9 einem externen Informationssystem vorhanden sein. Weitere eine Zusammenfassung gegeben. Informationen zu eingebetteten Systemen finden sich u.a. in [28], [20] und [23]. 2. ANWENDUNGSBEISPIEL: ZUGUN- 4. ÜBERWACHUNGSANFORDERUNGEN GLÜCK VOM ICE 884 IN ESCHEDE Entsprechend des vorgestellten Anwendungsbeispiels und Das Zugunglück vom ICE 884 in Eschede ist ein sehr pra- in Anbetracht der abstrakten Architektur eines eingebette- xisnahes Anwendungsbeispiel. Die Hauptursache des kata- ten Systems werden hier folgende fünf Überwachungsanfor- strophalen Zugunglücks war der Bruch eines gummigefeder- derungen erarbeitet: Zeit, Lokalität, Wissen, Systemressour- ten Radreifens. Dieser Bruch war die Folge von langfris- cen und Schärfe. Abbildung 2 fasst die genannten Anforde- tigen Verschleißerscheinungen (z.B. Verringerung der Rad- rungen zusammen. reifendicke und Korrosion). Bereits einige Monate vor dem Zeit: Diese Anforderung bezieht sich auf die zeitliche und Unglück wurden während der Wartung anomale Messwer- kontinuierliche Veränderung der Bauteile. te an dem besagten Radreifen festgestellt. Die detaillier- te Bruchflächenanalyse stellte heraus, dass die langfristigen • kurzfristig: Es können plötzliche Änderungen der Bau- Verschleißerscheinungen zu einem Riss in dem Radreifen, teile (z.B. Bruch des Radreifens) auftreten. Es ist not- lange vor dem Unglück, führten. Der Bruch des Radreifens wendig, diese in Echtzeit zu erkennen. führte zur Entgleisung des Zuges ([24], [13]). Der beschriebe- • langfristig: Zur Erkennung langfristiger Einflussfakto- ne Anwendungsfall deutet auf langfristige und auf kurzfristi- ren und Veränderungen (z.B. Verschleiß und Alterung) ge Einflussfaktoren hin. Verschleißerscheinungen sind lang- sind Langzeitanalysen notwendig. fristige Einflussfaktoren und der Bruch des Radreifes bzw. die Zugentgleisung sind kurzfristige Einflussfaktoren. Lokalität: Diese Anforderung bezieht sich auf Wechselwir- Durch die Langzeitanalyse können langfristige Verschleiß- kungen der Einflussfaktoren und die räumliche Lokalität der erscheinungen erkannt, analysiert und bewertet werden. Der Überwachung. Bruch des Radreifens und die nachfolgende Entgleisung des • lokal : Fehler, die sich z.B. auf wenige Bauteile bezie- Drehgestells haben zu einer plötzlichen und signifikanten hen, müssen durch eine lokale Überwachung erkannt Veränderung des Systemverhaltens geführt (bspw. Schlinger- werden. bewegung des entgleisten Drehgestells). Anhand der Anwen- dung der Echtzeitüberwachung mittels eines eingebetteten • global : Aufgrund der steigenden Komplexität von Pro- Systems kann diese plötzliche Veränderung des Systemver- dukten und eingebetteter Systeme korrelieren die Ein- haltens erkannt und in einem angemessenen Zeitraum eine flussfaktoren zunehmend. Somit entstehen komplexe Aktion (z.B. Notbremsung) durchgeführt werden. Zusammenhänge zwischen den Bauteilen, die durch ei- ne globale Analyse erfasst und erkannt werden müssen. 3. EINGEBETTETES SYSTEM Wissen: Diese Anforderung bezieht sich auf das vorhandene Abbildung 1 skizziert die abstrakte Architektur eines ein- Wissen über das eingebettete System, das Produkt und die gebetteten Systems, wie sie hier Einsatz findet. Eingebettete Produktumwelt. Systeme sind in ein umgebendes Produkt eingebettet. Das • bekannt: Es ist notwendig das bekannte Wissen über Produkt ist in eine Produktumgebung eingebettet. Einge- das eingebettete System, das Produkt und die Produk- bettete Systeme enthalten elektronische Baugruppen (Hard- tumwelt möglichst umfassend und zielorientiert für die ware), die die Systemkomponenten repräsentieren. Zusätz- Überwachung einzusetzen. lich sind diese elektronischen Baugruppen mit Software aus- gestattet. Eingebettete Systeme unterliegen eingeschränkten • unbekannt: Aufgrund unbekannter bzw. unvorherseh- Systemressourcen wie z.B. Prozessorleistung, Strom- und barer Umstände ist ein dynamischer und flexibler Über- Speicherverbrauch. Das eingebettete System steht mittels wachungsprozess notwendig. 20 gesamte zu überwachende Produkt. Dabei ist die Anzahl der Attribute je nach Anwendungsdomäne und Überwachungs- ziel unterschiedlich. Diese Daten können zur Identifikation von relevanten Wechselwirkungen Verwendung finden. Data- Mining-Technologien werden eingesetzt, um das Wissen über das Produkt mit der Zeit zu erhöhen. In Bezug zum genannten Anwendungsbeispiel werden die Daten mittels eines externen Informationssystems gesam- melt. Diese persistent gespeicherten Daten werden einge- setzt, um einen Klassifikator zu erlernen, der zwischen be- kanntem und unbekanntem Verhalten des Zuges unterschei- den kann. Dies wird in [8] als Anomalieerkennung bezeich- Abb. 2: Überwachungsanforderungen net. Weiterhin können diese gespeicherten Daten zur Er- kennung gradueller Änderungen der Systemkomponenten in Bezug zur Zeit genutzt werden. Somit können langfristige Systemressourcen: Diese Anforderung bezieht sich auf die Einflussfaktoren wie z.B. Verschleiß erkannt werden. vorhandenen Ressourcen, die für die Überwachung zur Ver- Echtzeitüberwachung wird auf dem eingebetteten Sys- fügung stehen. tem durchgeführt. Dieses unterliegt eingeschränkten System- • uneingeschränkt: Die Überwachung von Systemen be- ressourcen. Die Echtzeitüberwachung wird automatisch, on- nötigt äußerst viele Systemressourcen. Somit ist eine line und ohne Benutzerinteraktion durchgeführt. Plötzliche Kombination von interner und externer Überwachung Änderungen des Systemverhaltens müssen so schnell wie not- (hybrides Überwachungssystem [26]) notwendig, um wendig erkannt werden. Anschließend ist eine angemessene ausreichend Ressourcen für die Überwachung zur Ver- Aktion notwendig. Die gelernten Klassifikatoren bzw. ECA- fügung zu stellen. Regeln werden hier zum eingebetteten System übertragen und anschließend zur Erkennung von Änderungen des Sys- • eingeschränkt: Aufgrund der eingeschränkten System- temverhaltens bzw. zur Anomalieerkennung eingesetzt. CEP ressourcen eingebetteter Systeme ist es notwendig, die- ist hier ein ausgewähltes Werkzeug, um die ECA-Regeln se angemessen und zielführend für die Überwachung auf den kontinuierlichen Datenströmen anzuwenden. ECA- einzusetzen. Regeln repräsentieren das Wissen über das Produkt. Ver- halten, welches nicht zu diesen Regeln passt, kann als un- Schärfe: Diese Anforderung bezieht sich auf die Auswertung bekannt bzw. anomal gekennzeichnet werden. Dies ist ein von Bedingungen (vgl. [25], [4]). lokaler Aspekt, da nur eine Teilmenge der vorhandenen At- • scharf : Systemzustände müssen exakt und zuverlässig tribute für die Definition eines speziellen Verhaltens mittels durch eine exakte binäre Auswertung von Bedingungen ECA-Regeln Verwendung findet. Wie auch bei der Langzeit- (Boolesches Modell) erkannt werden. analyse ist die Anzahl der Attribute je nach Anwendungsdo- mäne und Überwachungsziel unterschiedlich, aber geringer • unscharf : Diese scharfe Grenze zwischen Systemzu- als für die Anwendung der Langzeitanalyse. ständen ist nicht immer gegeben. Um dies zu berück- In Bezug zum genannten Anwendungsbeispiel stellen das sichtigen, wird die exakte binäre Auswertung mittels Brechen des Radreifens und die anschließende Entgleisung Zugehörigkeitsgrade zwischen 0 und 1 verallgemeinert. signifikante und plötzliche Änderungen der Fahreigenschaf- Der Wert 1 wird als volle Zugehörigkeit und der Wert ten des Zuges dar. Nachfolgend wird in Bezug zum Anwen- 0 als nicht zugehörig interpretiert. dungsbeispiel der ECA-Ansatz kurz erläutert. Ein Ereignis (Event) ist hier das Verhalten des Zuges zu einer bestimmten Zeit. Die Bedingung (Condition) bezieht sich auf die gelern- 5. FORSCHUNGSFRAGE ten Klassifikatoren bzw. die Regeln, die ermittelt wurden, Es gibt eine Lücke zwischen Echtzeitüberwachung und um das Verhalten des Zuges zu einem bestimmten Zeitpunkt Langzeitanalyse von Ereignissen, die die Zuverlässigkeit von zu klassifizieren. Eine Aktion (Action) kann bspw. die Ver- Produkten beeinträchtigen. Dies ist die Motivation für un- ringerung der Geschwindigkeit des Zuges oder das Auslösen sere Forschung an der Kombination von Echtzeitüberwa- der Notbremse sein, um materielle Schäden und menschliche chung und Langzeitanalyse von Ereignissen. In dem ersten Opfer zu vermeiden. Schritt werden hier alle Überwachungsanforderungen außer der Schärfe betrachtet. Abbildung 3 fasst die Forschungsfra- ge grafisch zusammen. 6. SYSTEMMODELL Langzeitanalyse benötigt meist sehr viele Systemressour- Ein wesentlicher Punkt ist das Verständnis der Eingangs- cen. Zusätzlich sind Data-Mining-Technologien semi-manu- daten. Sensoren erzeugen kontinuierliche Daten. Diese kon- ell und müssen durch Fachpersonal betreut und gepflegt wer- tinuierlichen Sensordaten werden hier als Datenströme in- den. Aus diesem Grund ist eine Offlineverarbeitung auf ei- terpretiert. Ein Datenstrom besteht aus einer Sequenz von nem externen Informationssystem mit nahezu uneingesch- Datenelementen. Häufig ist diese Sequenz sehr lang. Ein Sys- ränkten Systemressourcen notwendig. Data-Mining-Techno- tem, welches Datenströme verarbeitet, hat keine A-Priori- logien werden hier für das Erlernen von Klassifikatoren ein- Kontrolle über die Reihenfolge der eintreffenden Datenele- gesetzt, die anschließend durch ECA-Regeln repräsentiert mente. Die erneute Übertragung von verlorenen Datenele- werden. Die persistent gespeicherten Daten umfassen alle ge- menten ist nicht möglich. Weitere Informationen über Da- sammelten Attribute und geben eine globale Sicht über das tenströme finden sich u.a. in [1], [7], [3] und [14]. 21 Abb. 3: Kombination von Echtzeitüberwachung und Langzeitanalyse Abb. 4: Zustandsraum [8] Die Menge von Eigenschaften, die das Zielsystem beschrei- ben, wird hier als eine Menge von Attributen A1 , ... , An erlernen, der das Wissen über das Produkt repräsentiert. interpretiert. Diese Attribute können u.a. nominal, ordinal Zunächst wird in diesem Kapitel eine Prozesskette für die oder metrisch sein. Attributwerte sind Funktionen der Zeit, Überwachung beschrieben. Anschließend wird diese Prozess- so dass Werte von Ai einer Funktion ai : T → R entsprechen. kette in eine abstrakte Überwachungsarchitektur überführt. Dabei ist T die Zeit und R die Menge der reellen Zahlen. So- Die Prozesskette ist in Abbildung 5 grafisch verdeutlicht. mit ist ein Zustand in Bezug zur Zeit ein Zustandsvektor Sie ist in zwei Teile gegliedert. Der obere Teil repräsen-   tiert die Echtzeitüberwachung auf dem eingebetteten Sys- a1 (t) tem. Der untere Teil repräsentiert die Langzeitanalyse auf  a2 (t)  einem externen Informationssystem. Zur besseren Übersicht- ~a(t) =  .  .    ..  lichkeit ist die untere Teilkette in umgekehrter Reihenfolge dargestellt. an (t) Im ersten Schritt startet die Prozesskette mit Ereignissen Der Raum, der durch die Attribute aufgespannt wird, heißt bzw. Zustandsvektoren. Die Vorverarbeitung ist der zweite Zustandsraum. Die Anzahl der Attribute definiert die An- Schritt. Dieser kann u.a. zur Filterung, zur Selektion oder zahl der Dimensionen des Zustandsraums. Eine Menge von für Fensterfunktionen, zur Verringerung des Verarbeitungs- Zustandsvektoren im Zustandsraum, die ähnliche Arten von aufwands, Verwendung finden. Die Ausführung der Regeln Zuständen repräsentieren, können geometrisch interpretiert ist der dritte Schritt. In diesem dritten Schritt werden die werden. Diese geometrische Interpretation wird im Rahmen im Voraus definierten Regeln auf dem Datenstrom angewen- von Data-Mining-Technologien als Cluster bezeichnet ([27], det. Der vierte Schritt umfasst das Senden von Nachrichten [8], [5], [2]). zu den Aktoren. Der fünfte Schritt wird für die temporäre Abbildung 4 veranschaulicht den Zustandsraum in einem Speicherung verwendet. Das schließt Datenaggregation zur Zeitfenster unter Berücksichtigung der zwei Attribute A1 Minimierung des Speicherbedarfs sowie angemessene Spei- und A2 . Zur besseren Übersichtlichkeit sind die Zustands- cherstrategien wie z.B. Ringpuffer oder eingebettete Daten- vektoren als Punkte dargestellt. Sei S die Menge aller mög- banken mit ein. Der letzte Schritt der obersten Teilkette be- lichen Systemzustände bzw. der gesamte Zustandsraum, Ck zieht sich auf das Senden der Daten vom eingebetteten Sys- die Menge der bekannten Cluster tem zum stationären System. Aufgrund der temporären Ver- S und Cu die MengeT aller un- bekannten Cluster, so dass Ck Cu = S und Ck Cu = ∅. bindung mittels des externen Netzwerkes können die Daten Somit sind bekannte Cluster komplementär zu unbekann- nur von Zeit zu Zeit an das externe Informationssystem ge- ten Clustern. In Abbildung 4 repräsentieren die Cluster Ck1 sendet werden. Die genannten Schritte sind automatisch. Es und Ck2 Mengen von bekannten Systemzuständen. Der Clus- ist notwendig, dass jeder Teilschritt austauschbar und konfi- ter Cu1 sowie die Punkte pu1 und pu2 stehen exemplarisch gurierbar (z.B. Plug-in-System) ist, um einen dynamischen für unbekannte Systemzustände. In [8] werden diese unbe- und flexiblen Überwachungsansatz bereitzustellen. Somit ist kannten Systemzustände als Anomalien bezeichnet. Das Ziel es möglich, das CEP-System auf die vorhandene Hardware des gelernten Systemmodells ist die Klassifizierung eines Zu- und den beabsichtigten Überwachungszweck zuzuschneiden. standsvektors zu einem Zeitpunkt t zu einem bekannten Der erste Schritt der Langzeitanalyse betrifft das Laden Cluster. Kann dieser Zustandsvektor keinem bekannten Clus- der empfangenen Daten vom eingebetteten System in ein ter zugeordnet werden, so ist dieser Zustandsvektor unbe- persistentes Datenverzeichnis wie z.B. ein Data Warehou- kannt und wird als eine Anomalie gekennzeichnet. Somit re- se (DWH). Der zweite Schritt umfasst die Erstellung der präsentieren die ECA-Regeln den Klassifikator, der mittels Regeln mittels Data-Mining-Technologien. Dazu gehört die der Data-Mining-Technologien erlernt wurde. Integration der empfangenen Daten in den Zustandsraum. Dabei steigt das Wissen über das Produkt durch die Inte- 7. KOMBINATION VON ECHTZEITÜBER- gration von neuen und noch unbekannten Zustandsvektoren in den Zustandsraum. Aktuell werden hier folgende Algo- WACHUNG UND LANGZEITANALYSE rithmen zur Klassifikation bzw. überwachtes Lernen einge- Wie bereits beschrieben, liegt die Kombination von Echt- schlossen: Regelinduktion, Support Vector Machine und k- zeitüberwachung und Langzeitanalyse im Fokus des Inter- nächste Nachbarn. In vielen Fällen müssen die genannten esses. Ziel ist es, ein Modell bzw. einen Zustandsraum zu Algorithmen ebenfalls kombiniert werden, um einen ange- 22 8. EXISTIERENDE LÖSUNGEN Zur Analyse von Datenströmen werden Datenstrom-Ma- nagement-Systeme (DSMS), z.B. STREAM [1] oder Auro- ra [6], eingesetzt. Aurora enthält ein Pfeil-Box-Architektur- Modell, welches einem Plug-in-System ähnlich ist. Ein Über- blick über DSMS wird u.a. in [14] gegeben. CEP-Systeme wie CAYUGA [9] oder ESPER [11] werden für das Anwen- Abb. 5: Prozesskette den von Regeln auf Datenströme mittels Anfragesprachen verwendet. Ein Überblick über CEP-Systeme wird in [12] gegeben. Die genannten DSMS und CEP-Systeme sind nicht für Überwachung mittels Data-Mining-Technologien konzi- piert. NanoMon [29] ist eine sehr spezielle Überwachungssoftwa- re für Sensornetzwerke. MobiMine [19] ist ein mobiles Data- Mining-System für den Aktienhandel. Beide Überwachssys- teme unterstützen die genannten Überwachungsanforderun- gen nicht. Weiterhin enthalten NanoMon und MobiMine kei- ne Anfragesprache. VEDAS [18] ist ein Datenstrom-Mining-System, welches einigen der hier erarbeiteten Überwachungsforderungen ent- spricht. Die Erkennung von ungewöhnlichem Fahrerverhal- ten ist eines der Hauptaugenmerke von VEDAS. Wie auch Abb. 6: Überwachungsarchitektur hier kommen bei VEDAS Data-Mining-Technologien zum Einsatz. Der Unterschied liegt in der Verwendung von un- messenen Klassifikator bereitzustellen ([8], [27]). Der dritte überwachtem Lernen für Datenstrom-Mining. Weiterhin gibt Schritt dient zur Evaluierung der neu ermittelten Regeln es keine strikte Trennung zwischen Echtzeitüberwachung und und zum Testen mit vorhandenen Regeln, um evtl. Seiten- Langzeitanalyse sowie zwischen automatischen und semi- effekte auszuschließen. Der letzte Schritt der unteren Teil- automatischen Funktionen. Dieses Argument kann durch die kette betrifft die Übertragung des so ermittelten Wissens interaktive Verbindung vom externen Informationssystem zum eingebetteten System. Dies schließt die Anpassung und zum eingebetteten System untermauert werden. Weiterhin die Rekonfiguration des bestehenden Überwachungssystems wird bei VEDAS die Evaluierung vernachlässigt. Zusätzlich auf Basis des neuen Wissens mit ein. Die genannten Schritte wird die Überwachungsanforderung Lokalität nicht berück- sind semi-manuell und werden durch Fachpersonal betreut. sichtigt. In VEDAS ist das eingebettete System so konfigu- Die komplette Prozesskette wird zyklisch durchlaufen. So riert, dass alle Attribute für die Überwachung Verwendung kann mit der Zeit das Wissen über das zu überwachende finden. Dies kann unter Umständen zu sehr hohem Rechen- Produkt gesteigert werden. aufwand führen. Die vorgeschlagene Überwachungsarchitektur ist in Abbil- dung 6 grafisch verdeutlicht. Sie basiert auf der Prozesskette, die bereits beschrieben wurde. Sensoren erzeugen kontinuier- 9. ZUSAMMENFASSUNG lich Datenströme, die über das interne Netzwerk übertragen Es besteht ein Bedarf an neuen Lösungen für die Überwa- werden. Es ist notwendig, diese Ereignisse bzw. Zustands- chung von Systemen, die heutige und zukünftige Anforde- vektoren kontinuierlich unter Berücksichtigung von Echt- rungen in Betracht ziehen. Der vorliegende Beitrag skizziert zeitbedingungen zu verarbeiten. Das CEP-System muss ent- ein interdisziplinäres Forschungsvorhaben im Rahmen einer sprechend der festgelegten Regeln Aktionen auslösen. Wei- Doktorarbeit. Einer der Forschungsbeiträge ist die Kombi- terhin wird der Datenstrom aggregiert und temporär gespei- nation von Echtzeitüberwachung und Langzeitanalyse mit- chert, bevor er zum externen Informationssystem übermit- tels eingebetteter Systeme, ECA-Regeln, Data-Mining-Tech- telt wird. Das externe Informationssystem wird für die Lang- nologien und CEP. Drei Annahmen bilden die Basis für zeitanalyse und zur Ermittlung neuer bzw. zur Verfeinerung den beschriebenen Überwachungsansatz. Weiterhin wurden bestehender Regeln eingesetzt. Anschließend ist die Evalu- hier fünf Überwachungsanforderungen erarbeitet. Die Ana- ierung der Regeln und die Übertragung zum eingebetteten lyse bestehender Lösungen zeigt, dass die dargestellten Über- System notwendig. wachungsanforderungen nur unzureichend in Betracht gezo- Für das beschriebene Forschungsvorhaben können folgen- gen werden. Aufbauend darauf wurde hier ein dynamischer de zwei Herausforderungen identifiziert werden. und flexibler Überwachungsansatz vorgestellt. Der hier vor- gestellte Überwachungsansatz basiert auf einem mathema- 1. Übersetzung der erlernten Klassifikatoren in verfügba- tischen Modell, welches als Zustandsraum bezeichnet wird. re Anfragesprachen bzw. Funktionen. Dieser Zustandsraum repräsentiert das Wissen über das Pro- dukt, welches im laufenden Betrieb überwacht wird. Weiter- 2. Erstellung einer dynamischen und flexiblen CEP-An- hin wurde eine Prozesskette erläutert. Diese Prozesskette wendung, die stetig an neue Anforderungen anpassbar wird zyklisch durchlaufen und somit das Wissen über das ist. Weiterhin muss unter Berücksichtigung der einge- Produkt mit der Zeit gesteigert. Der Zustandsraum wird schränkten Systemressourcen und Echtzeitanforderun- mit der Hilfe von Data-Mining-Technologien in ECA-Regeln gen ein kontinuierlicher Strom von Zustandsvektoren übersetzt und an eine CEP-Anwendung, die sich auf einem zuverlässig klassifiziert werden können. eingebetteten System befindet, übertragen. Durch die CEP- 23 Anwendung werden die ECA-Regeln verwendet, um die kon- [17] Imboden, D. M. ; Koch, S. : Systemanalyse. Springer, tinuierlich eintreffenden Zustandsvektoren als bekannt oder 2003 unbekannt zu klassifizieren. [18] Kargupta, H. ; Bhargava, R. ; Liu, K. ; Powers, M. ; Blair, P. ; Bushra, S. ; Dull, J. ; Sarkar, K. ; Klein, M. ; Vasa, M. ; Handy, D. : VEDAS: A 10. LITERATUR Mobile and Distributed Data Stream Mining System [1] Babcock, B. ; Babu, S. ; Datar, M. ; Motwani, R. ; for Real-Time Vehicle Monitoring. In: Proceedings of Widom, J. : Models and Issues in Data Stream the Fourth SIAM International Conference on Data Systems. In: PODS ’02: Proceedings of the twenty-first Mining, 2004 ACM SIGMOD-SIGACT-SIGART Symposium on [19] Kargupta, H. ; Park, B.-H. ; Pittie, S. ; Liu, L. ; Principles of Database Systems, ACM, 2002, S. 1–16 Kushraj, D. ; Sarkar, K. : MobiMine: Monitoring [2] Bellmann, R. : Adaptive Control Processes. Princeton the Stock Market from a PDA. In: SIGKDD Explor. University Press, 1961 Newsl. 3 (2002), S. 37–46 [3] Bifet, A. ; Kirkby, R. : Data Stream Mining - A [20] Marwedel, P. : Eingebettete Systeme. Practical Approach / Centre for Open Software Springer-Verlag, 2007 Innovation (COSI) - Waikato University. [21] Noack, E. ; Belau, W. ; Wohlgemuth, R. ; Version: 2009. http://moa.cs.waikato.ac.nz/ Müller, R. ; Palumberi, S. ; Parodi, P. ; wp-content/uploads/2010/05/StreamMining.pdf. – Burzagli, F. : Efficiency of the Columbus Failure Forschungsbericht Management System. In: AIAA 40th International [4] Borgelt, C. ; Klawonn, F. ; Kruse, R. ; Nauck, D. Conference on Environmental Systems, 2010 : Neuro-Fuzzy-Systeme: Von den Grundlagen [22] Noack, E. ; Noack, T. ; Patel, V. ; Schmitt, I. ; künstlicher Neuronaler Netze zur Kopplung mit Richters, M. ; Stamminger, J. ; Sievi, S. : Failure Fuzzy-Systemen. Vieweg, 2003 Management for Cost-Effective and Efficient [5] Boslaugh, S. ; Watters, P. A.: Statistics in a Spacecraft Operation. In: Proceedings of the 2011 Nutshell. O’Reilly, 2008 NASA/ESA Conference on Adaptive Hardware and [6] Carney, D. ; Çetintemel, U. ; Cherniack, M. ; Systems, IEEE Computer Society, 2011 (AHS ’11). – Convey, C. ; Lee, S. ; Seidman, G. ; Stonebraker, To appear M. ; Tatbul, N. ; Zdonik, S. : Monitoring Streams: A [23] Peckol, J. K.: Embedded Systems: A Contemporary New Class of Data Management Applications. In: Design Tool. John Wiley & Sons, 2007 VLDB ’02: Proceedings of the 28th International [24] Richard, H. ; Fulland, M. ; Sander, M. ; Conference on Very Large Data Bases, VLDB Kullmer, G. : Fracture in a rubber-sprung railway Endowment, 2002, S. 215–226 wheel. In: Engineering Failure Analysis 12 (2005), Nr. [7] Chakravarthy, S. ; Jiang, Q. : Stream Data 6, S. 986 – 999 Processing: A Quality of Service Perspective. Springer, [25] Schmitt, I. : QQL: A DB&IR Query Language. In: 2009 The VLDB Journal 17 (2008), S. 39–56 [8] Chandola, V. ; Banerjee, A. ; Kumar, V. : [26] Tsai, J. J. P. ; Yang, S. J. H.: Monitoring and Anomaly detection: A survey. In: ACM Comput. Surv. Debugging of Distributed Real-Time Systems. IEEE 41 (2009), S. 15:1–15:58 Computer Society Press, 1995 [9] Demers, A. J. ; Gehrke, J. ; Panda, B. ; [27] Witten, I. H. ; Frank, E. ; Hall, M. A.: Data Riedewald, M. ; Sharma, V. ; White, W. M.: Mining: Practical Machine Learning Tools and Cayuga: A General Purpose Event Monitoring Techniques. Elsevier, 2011 System. In: CIDR, 2007, S. 412–422 [28] Wolf, F. : Behavioral Intervals in Embedded Software: [10] Dittrich, K. R. ; Gatziu, S. ; Geppert, A. : The Timing and Power Analysis of Embedded Real-Time Active Database Management System Manifesto: A Software Processes. Kluwer Academic Publishers, 2002 Rulebase of ADBMS Features. In: SIGMOD Rec. 25 [29] Yu, M. ; Kim, H. ; Mah, P. : NanoMon: An (1996), Nr. 3, S. 40–49 Adaptable Sensor Network Monitoring Software. In: [11] EsperTech: Esper. http://www.espertech.com/ IEEE International Symposium on Consumer products/esper.php. Version: 2011. – Online: Electronics (ISCE), 2007 30.03.2011 [12] Etzion, O. ; Niblett, P. : Event Processing in Action. Manning Publications Co., 2010 [13] Fischer, G. ; Grubisic, V. : Praxisrelevante Bewertung des Radbruchs vom ICE 884 in Eschede. In: Materialwissenschaft und Werkstofftechnik 38 (2007), Nr. 10, S. 789–801 [14] Golab, L. ; Özsu, M. T.: Data Stream Management. Morgan & Claypool Publishers, 2010 [15] Gordon, G. : Systemsimulation. Oldenbourg, 1972 [16] Guo, Y. : Algorithmen zur On-Board-Diagnose von Fahrwerksschäden an Schienenfahrzeugen, TU Berlin, Diss., 2005. http://opus.kobv.de/tuberlin/ volltexte/2005/1120/ 24