Зонтичное решение на базе CEP-технологии (Complex Event Processing): архитектура, задачи и практика

На 14й ежегодной премии Global CIO в номинации “Лучший проект в телекоме” победителем признан проект Ростелекома по созданию интеллектуальной системы мониторинга аварийных событий, реализованный за период апрель 2022 - ноябрь 2025.

Виталий Трепыхалин, вице-президент по развитию информационных систем Ростелеком, руководитель проекта:

“Решение CEP стало федеральным централизованным средством управления аварийными событиями в "Ростелекоме". Решение значительно повысило эффективность службы мониторинга, обеспечило сокращение времени устранения аварий и простоя абонентских сервисов”.

О CEP-технологиях

В условиях цифровой трансформации критически важные инфраструктуры — от энергетических сетей и распределенных подстанций до корпоративных ИТ-ландшафтов — требуют оперативного анализа событий в реальном времени, глубокого понимания причинно-следственных связей между событиями и автоматизированной реакции на критические ситуации. Именно такую задачу решает технология Complex Event Processing (CEP) — комплекс обработки событийных потоков, анализирующий и коррелирующий данные в реальном времени для формирования значимых выводов и действий.

Что такое CEP?

CEP (Complex Event Processing) — это методика и технологический стек для непрерывного анализа множества событийных потоков, выявления сложных паттернов, корреляции информации и автоматизированного реагирования на значимые сочетания событий. CEP рассматривает поток событий не как разрозненные записи, а как источник информации о ситуациях, которые невозможно понять без корреляции с другими данными.

Событие (event) — это любое значимое изменение состояния системы: срабатывание устройства, изменение показателей, сообщение от сетевого компонента, сбойный сигнал или предупреждение от промышленной автоматики. CEP-движок собирает эти события, сопоставляет их по правилам, временным отношениям и контексту, и на основе этого выявляет комплексные события (complex events), требующие внимания.

Архитектура современных CEP-систем

Изображение создано с помощью ИИ, возможны неточности

Типовая архитектура зонтичного CEP-решения

1. Источники событий

Это самый нижний, «полевой» уровень, включающий:

• SCADA / АСУ ТП
• Интеллектуальные счётчики (AMI)
• Релейная защита и автоматика
• Датчики IoT
• Сетевое оборудование
• Логи ИТ-систем и сервисов

Например: измерения напряжения, тока, частоты, состояния выключателей, сигналы аварий.

2. Слой сбора и нормализации

Назначение — привести разнородные данные к единому виду.

Функции:

• приём событий по протоколам (MQTT, Kafka, REST, SNMP, OPC UA и др.);
• нормализация форматов;
• первичная фильтрация шума;
• буферизация и балансировка нагрузки.

Здесь CEP-решение выступает как зонтичная точка входа для всех событий предприятия.

3. CEP-движок

Ключевой элемент архитектуры. Сердце системы, где происходит корреляция, анализ последовательностей и проверка правил (например, обнаружение трендов, превышение порогов, сложные паттерны). Обычно реализуется с помощью встроенного EPL (Event Processing Language) — декларативного языка программирования, предназначенного для обработки данных событий в режиме реального времени и поддерживающего временные окна, агрегирование и сопоставление сложных условий.

Возможности:

• корреляция событий из разных источников;
• анализ временных окон;
• выявление последовательностей и причинно-следственных связей;
• агрегация и обогащение событий контекстом;
• выполнение правил (EPL / DSL).

Пример правила:

если в течение 30 секунд зафиксированы

– падение напряжения

– рост тока

– отключение коммутационного аппарата

→ сформировать *комплексное аварийное событие*

4. Хранилище правил и моделей

Содержит:

• бизнес-правила корреляции;
• шаблоны аварийных сценариев;
• параметры оборудования;
• топологию сети;
• справочники объектов и сервисов.

В кейсе Ростелеком здесь хранилось более 1000 параметров анализа, обеспечивающих глубокую диагностику аварий.

5. Слой реакций и интеграций

Системы визуализации, SIEM (Security Information and Event Management— система для мониторинга, анализа и управления событиями безопасности), диспетчерские щиты, системы уведомлений, электронная почта и автоматизированные управляющие модули. После выявления комплексного события CEP автоматически:

• отправляет уведомления диспетчерам;
• создает инциденты в FM / ITSM;
• передает данные в BI и аналитические системы;
• запускает сценарии автоматического реагирования.

Для энергетики - это автоматическая фиксация аварии, формирование карточки инцидента, уведомление дежурной смены.

6. Визуализация и управление

• дашборды в реальном времени;
• карты аварий и топологии;
• аналитика SLA / надёжности;
• отчеты для руководства.

Именно здесь зонтичное CEP-решение превращает “поток сигналов” в управляемую картину состояния системы.

Почему такая архитектура критична для энергетики:

✔ работает в реальном времени

✔ выявляет скрытые аварийные сценарии

✔ снижает количество ложных тревог

✔ масштабируется на тысячи источников

✔ поддерживает импортонезависимые CEP-платформы

CEP-система должна быть масштабируемой, отказоустойчивой и обеспечивать высокую производительность даже при пиковых нагрузках.

Такой «зонтичный» (объединяющий) подход позволяет объединить аналитику по разным доменам и уровням корпоративной инфраструктуры под одной логической платформой обработки событий.

Практическая ценность CEP для электроэнергетики

В энергетике источники событий — это физические измерения, телеметрия сетевых устройств, сообщения от SCADA, коммутаторов и защитных реле. CEP позволяет:

• обнаруживать сложные паттерны отказов (например, цепочки превышений токов на разных узлах за короткий интервал);
• снижать время реакции операторов и сервисов благодаря автоматизированным предупреждениям и корреляции сигналов;
• выявлять закономерности в поведении сетей еще до возникновения серьезных аварий.

Важным свойством CEP является возможность обрабатывать события по временным окнам, находить последовательные или наложенные события, что особенно важно для многокомпонентных сетей, где ухудшение состояния может проявляться в различных точках почти одновременно.

Кейс: Ростелеком и внедрение CEP на базе зонтичного решения

Визуализация СЕР Ростелеком (создано с помощью ИИ)

Один из ярких примеров практического применения CEP в России реализован в компании Ростелеком. С апреля 2022 г. по ноябрь 2025 г. специалисты реализовали федеральное централизованное решение мониторинга и управления аварийными событиями, основанное на отечественном CEP-продукте “Sceptor” от компании «ОС Груп».

Основные цели включали:

• сокращение времени устранения аварий и простоя сервисов с повышением точности диагностики и снижением задержки при регистрации инцидентов;
• снизижение нагрузки на службу мониторинга за счет унификации всех информационных потоков в “едином окне”;
• обеспечение масштабируемости и интеграции с множеством корпоративных систем (Fault Management, TTM, SQM и другими).

Достижения и результаты:

• реагирование на инциденты ускорено в 5 раз;
• производительность мониторинга выросла почти в 3 раза;
• объединены 200+ систем и 1000+ параметров для аналитики в режиме реального времени.

Этот случай — интересный и впечатляющий пример зонтичного CEP-решения на отечественном ПО для управления событиями критической инфраструктуры.

Будущее CEP

CEP-подход обеспечивает превентивный анализ и оперативное реагирование — критические аспекты для энергокомпаний, где задержки или неточности могут приводить к дорогостоящим простоям или авариям. CEP не только агрегирует данные, но и выявляет смысл в массиве событий, что делает его особенно ценным в сложных условиях распределенной энергетики с высокими требованиями к надежности и скорости реакции.