Safety und Fehlertoleranz - Sicherheit in verteilten Systemen

SafetyundFehlertoleranz
Prof.Dr.HannesFederrath
SicherheitinverteiltenSystemen(SVS)
h>p://svs.informaBk.uni-hamburg.de
1
Backup(Datensicherung)
§  Bedrohungen(Beispiele)
– 
– 
– 
– 
– 
Hardwaredefekte
Diebstahl
höhereGewalt
versehentlichesLöschen
Virenu.andereSchadprogramme
§  AuswahlderDaten
NichtwiederbeschaPareDatengenießenhöchsteBackup-Priorität:
•  selbsterstellteDateien++
•  KonfiguraBonsdateien+
•  Internet-Downloads-/+
•  Programme-(InstallaBons-CD)
•  Betriebssystem--(Setup-CD)
2
BackupundArchivierung
§  Backup:
SicherungskopievonDatenalsSchutzvorVerlust
•  einzelneDateienundVerzeichnisse
•  ganzesAbbild(Image)einesSpeichermediums(typ.
Festpla>enparBBon),z.B.sicherninkl.Betriebssystem
•  zurErfüllunggesetzlicherAuflagen(z.B.KontraG?)
§  Archivierung:
Au_ewahrungvonDatenineinembesBmmtenZustand
•  zurErfüllunggesetzlicherAuflagen
•  zureigenenDokumentaBon
•  zurVersionenkontrolle
3
Backup-Strategien
§  Voll-Backup
–  sichertalleDaten
§  InkrementellesBackup
–  sichertalleseitdemletztenBackuphinzugekommenenundveränderten
Daten
–  mehrfachhintereinanderdurchführbar
–  alleZwischenständezwischenVollbackupssindrekonstruierbar
–  RestoreerfolgtinderReihenfolgederSicherungen
–  alleSicherungenseitdemletztenVoll-Backuperforderlich
§  DifferenziellesBackup
–  sichertalleseitdemletztenVoll-Backuphinzugekommenenund
verändertenDaten
–  RestoreerfordertnurVoll-BackupundletztesdifferenziellesBackup
4
InwelchemFormatsolltegesichertwerden?
§  AlsRohdaten(raw)
§ 
§ 
–  überalllesbar
–  jenachRohdatengeringeSpeichereffizienz
InverbreitetemArchivformat(z.B.zip)
–  fastüberalllesbar(auchüberPlagormenhinweg)
–  beiKomprimierunghoheSpeichereffizienz
ImproprietäremFormatderBackup-Sohware
–  AbhängigkeitvonBetriebssystemundBackup-SohwareberücksichBgen
§  WelcheDatenmüssengesichertwerden?
–  Archiv-BitvomDateisystem(z.B.NTFS,FAT)verwaltet
•  vomBetriebssystemnachAnlegenoderVeränderneinerDatei
gesetztundvonBackup-Sohwarezurückgesetzt
•  nurbeiinkrementellemBackupnützlich
–  Backup-SohwareführtListedergesichertenDateien
5
AufwelchenMediensolltegesichertwerden?
§  ExterneStandardmedien(Streamer,CD/DVD-R/W)
– 
– 
– 
– 
meistüberalllesbar
empfehlenswertfürVoll-Backup
Haltbarkeitsdauer(DVD40...200Jahre)beachten
TreibernichtnuraufBackupsichern
§  Festpla>en-undNetzlaufwerke
–  sehreffizientfürinkrementelleunddifferenzielleSicherungen
–  Beachte:RAID(RedundantArrayofInexpensiveDisks)
•  ersetztnichtdasBackup
•  schütztnichtvorversehentlichemoderbösarBgemLöschen
§  SpezielleBackup-Systeme
6
SpezielleBackup-Systeme
Bilder:h>p://www.ualberta.ca/CNS/vrtour/tsm/
7
VorsichtsmaßnahmenbeimSichern
§  SchutzzielIntegrität:SicherungskopiesolltenachdemSchreibenmit
Originaldatenverglichenwerden
§  SchutzzielVerfügbarkeit:MehrereMediensätzeverwenden
–  SchutzvorFehlernwährenddesSicherns
•  letztenMediensatzau_ewahren
•  vorletzten(oderbesservorvorletzten)Mediensatzüberscheiben
–  Katastrophenschutz:
•  OriginaldatenundBackupanverschiedenenOrtensichern
•  SchutzvorFeuer,Wasser,...
•  Datasafe(Lampertz,Sistec)
§  SchutzzielVertraulichkeit:WerZugriffaufBackuphat,hatZugriffaufDaten.
–  sichereAu_ewahrung(Datasafe)
–  Verschlüsselung(Beachte:Schlüsselbackupggf.notwendig)
8
WechselprinzipfürinkrementelleSicherungen
§  1malproZeiteinheit(z.B.Woche)Voll-Backup(z.B.Montag)
§ 
§ 
–  aufMedium1
nmalinkrementellesBackup(z.B.Di,Mi,Do,Fr)
–  aufMedien2,3,...,n+1
AnzahlderbenöBgtenMedien:
–  1+n+1Medien
§  nächstesVoll-BackupaufMediumn+2
Mo Di Mi Do Fr
v1 i2 i3 i4 i5
Mo Di Mi Do Fr
v6 i2 i3 i4 i5
Mo Di Mi
v1 i2 i3
•  Medium1und6:etwagleiche(hohe)Kapazität
•  Medien2-5:geringereKapazitätals1und6nöBg
9
Wechselprinzipf.differenzielleSicherungen
§  AnzahlderbenöBgtenMedien:
§ 
10
10
–  2+2Medien
–  1malproZeiteinheit(z.B.Woche)Voll-Backup(z.B.Montag)auf
Medium1
–  differenzielleBackups(z.B.Di,Mi,Do,Fr)abwechselndaufMedien2und
3
–  nächstesVoll-BackupaufMedium4
Mo Do Mi Do Fr
Mo Di Mi Do Fr
Mo Di Mi Do Fr
v1 d2 d3 d2 d3
v4 d2 d3 d2 d3
v1 d2 d3 ...
FallsalleMedienausreichendgroß:
–  3Mediengenügen
–  vorletztesdifferenziellesBackupfürVoll-Backup
Mo Do Mi Do Fr
Mo Di Mi Do Fr
Mo Di Mi Do Fr
v1 d2 d3 d2 d3
v2 d3 d1 d3 d1
v3 d1 d2 ...
!!!....bloßnichtdurcheinanderkommen....!!!:-)
RAID
11
RAID:Einführung
§  Akronymfür
–  RedundantArrayofInexpensiveDisks(1982)
–  RedundantArrayofIndependentDisks(NeudefiniBon1992)
§  Steigerungvon
–  Leistung(I/O-Durchsatz,Speicherkapazität)
–  Zuverlässigkeit
§  6klassischeRAID-Level
12
12
keineRedundanz
RAID-0
DatenreplikaBon
RAID-1
FehlerkorrigierendeCodes
RAID-2
Paritätsbits
RAID-3,RAID-4,RAID-5
RAID:Grundprinzipien1/3
§  ProblemLeistung
–  CPU-LeistungundSpeicherbedarfwachsenexponenBell
–  I/O-Performancewächstdagegendeutlichlangsamer
§  Ausweg
–  MehrereDisksundI/O-KanälegleichzeiBgverwenden
§  VerteilungderDatenaufmehrereDisks(Striping,Interleaving)
–  Bit-Interleaving(bitweiseVerteilungübermehrereDisks)
–  Sector-Interleaving(Sektor-weiseVerteilung)
–  ParallelesLesenundSchreibenmöglich
–  BeiVerlusteinerDisk-->Datenverlust
13
13
RAID:Grundprinzipien2/3
§  ProblemZuverlässigkeit
§ 
§ 
§ 
14
14
–  MTBF(diskarray)=MTBF(disk)/Anzahldisks
–  Beispiel: (MTBF:MeanTimeBeforeFailure)
•  MTBFeiner80GB-Festpla>esei>50000Stunden(5,7Jahre)
•  MTBFeinesDisk-Arraysmit2Terabyte(25Disksx80GB)istdannnur
83Tage
Ausweg
–  EinsatzgeeigneterFehlertoleranzmaßnahmen
Spiegelung(mirroring,shadowing)
–  DoppelungderDatenaufeinerzweitenDisk
–  Teuer,abersehrzuverlässig
KompromisszwischenZuverlässigkeitundKosten,jenachRAID-Levelauch
verwendet:
–  Paritätsbits
–  FehlerkorrigierendeCodes
RAID:Grundprinzipien3/3
§  ProblemKosten
–  Einsatzstandardisierter,kostengünsBgerKomponenten
•  Festpla>enlaufwerke(Massenmarkt)
•  Standard-Datenbusse(z.B.SCSI,Firewire,FibreChannel)
§  TeureAlternaBve:
–  Spezial-Hardware,z.B.Festpla>enfarmimGroßrechnerbereich
§  EinsatzzielvonRAID-Technik
–  kostengünsBgeErhöhungderDatentransferrateundAusfallsicherheit
vonFestpla>en
15
15
RAID-0
§  Merkmale
§ 
–  AuheilungderDateninBlöcke,parallelesSchreibenaufvorhandene
Festpla>en(diskstriping)
–  keineRedundanz,geringeMTBF
–  SehrhoheDatentransferrate(fürkleineStrips)
–  SehrgeringeI/O-Request-Verarbeitungszeit(fürgroßeStrips)
Verwendungszweck:Anwendungenmit
–  hohenI/O-Performance-Anforderungen
–  geringenAnforderungenandieVerfügbarkeit
Strip1
Strip5
16
16
Strip2
Strip6
Strip3
Strip4
RAID-1
§  Merkmale
§ 
–  gespiegeltePla>en(mirroring,shadowing),gleicheDatenwerden
gleichzeiBgaufunterschiedlichePla>engeschrieben
–  beiDatenverluststehtDuplikatderDatenzurVerfügung
–  hoheKosten
–  Datentransferrate,I/O-Request-Verarbeitungszeit:
•  Lesen:gut,Pla>emitgeringererZugriffszeit(seekdistance)
•  Schreiben:mi>el,beidePla>enmüssenschreiben
Verwendungszweck:Anwendungenmit
–  sehrhohenAnforderungenandieVerfügbarkeit
Strip1
Strip2
Strip3
Strip4
17
17
Strip1
Strip2
Strip3
Strip4
1LogischerSchreibzugriff=2
physischeSchreibzugriffe
KombinaBonvonRAID-0undRAID-1
Striping
gespiegelteVerteilung
MirroredStrips
RAID0+1oderRAID01
Strip1
Strip3
Striping
Strip2
Strip4
Strip1
Strip3
Strip2
Strip4
Mirroring
Mirroring
verteilteSpiegelung
StripedMirrors
RAID1+0oderRAID10
18
18
Strip1
Strip2
Strip3
=
Strip1
Strip2
Strip3
Striping
Strip1
Strip3
Strip2
RAID-2
§  Merkmale
–  Verteilung(striping)
–  fehlerkorrigierenderHamming-Code(20-40ProzentOverhead)
–  Datentransferrate
•  hervorragendfürgroßeDatensätze,abergeringfürkleine
Datensätze,daimmergesamterStripgelesenwerdenmuss
–  I/O-Request-Verarbeitungszeit
•  gering:keineparallelenI/O-Requestsverarbeitbar,daalleLaufwerke
miteinemRequestbefasstsind
–  geringeprakBscheBedeutung
Datadisks
b0
19
19
b1
Checkdisks
b2
b3
f0(b)
f1(b)
f2(b)
RAID-3
§  Merkmale
– 
– 
– 
– 
– 
§ 
Verteilung(striping):bitinterleaving
ParitätsinformaBonaufzusätzlicherPla>e
beiAusfallgenaueinerPla>eRekonstrukBonderDatenmöglich
geringfügigzuverlässigeralsRAID-2,dawenigerPla>en
Performance:geringfügigbesseralsRAID-2,wg.bitweiserVerarbeitung,
aberimmernochschlecht
Verwendungszweck:
–  AnwendungenmitwenigengroßenDateien(z.B.Bildverarb.)
–  nichtgeeignetfürTransakBonssystemeundDirektzugriff
Datadisks
bit0
20
20
bit1
Checkdisk
bit2
bit3
p(bit0...3)
RAID-4
§  Merkmale
–  Verteilung(striping):sectorinterleaving
–  ParitätsinformaBonaufzusätzlicherPla>e
NeueDaten
blk0
1.Lesen
2.Lesen
3.Lesen
blk0
blk1
blk2
blk3
p
blk0
blk1
blk2
blk3
p
4.Schreiben
5.Schreiben
Datadisks
block0
21
21
block1
Checkdisk
block2
block3
p(blk0...3)
Ineffiziente
BerechnungderParität
RAID-4
§  Merkmale
–  Verteilung(striping):sectorinterleaving
–  ParitätsinformaBonaufzusätzlicherPla>e
NeueDaten
blk0
NeueDaten
blk0
Small-WriteAlgorithm:
1LogischerSchreibzugriff=
2physischeLesezugriffe+
2physischeSchreibzugriffe
22
22
1.Lesen
2.Lesen
3.Lesen
blk0
blk1
blk2
blk3
p
blk0
blk1
blk2
blk3
p
4.Schreiben
5.Schreiben
1.Lesen
2.Lesen
blk0
blk1
blk2
blk3
p
blk0
blk1
blk2
blk3
p
3.Schreiben
4.Schreiben
Besser:NeueParität
wirdausderDifferenz
desaltenundneuen
Datenblocksberechnet
RAID-4
§  Merkmale
– 
– 
– 
– 
– 
§ 
Verteilung(striping):sectorinterleaving
ParitätsinformaBonaufzusätzlicherPla>e
großeLese-undSchreibzugriffeparallelmöglich
Datendurchsatz:etwawieRAID-3
I/O-Request-Verarbeitungszeit:sehrgutfürLesen,etwasbesserals
RAID-3fürSchreiben
–  Paritätspla>ebleibtFlaschenhals
AnwendungenwieRAID-3
Datadisks
block0
23
23
block1
Checkdisk
block2
block3
p(blk0...3)
VergleichderRAID-Leves2,3und4
RAID-3
RAID-4
a0 b0 c0 d0
a0 a1 a2 a3
a1 b1 c1 d1
b0 b1 b2 b3
a2 b2 c2 d2
c0 c1 c2 c3
Datadisks
24
24
a3 b3 c3 d3
a3 b3 c3 d3
d0 d1 d2 d3
aECC2
bECC2
cECC2
dECC2
a2 b2 c2 d2
d0 d1 d2 d3
aECC1
bECC1
cECC1
dECC1
a1 b1 c1 d1
c0 c1 c2 c3
aECC0
bECC0
cECC0
dECC0
a0 b0 c0 d0
b0 b1 b2 b3
ECCa
ECCb
ECCc
ECCd
RAID-2
a0 a1 a2 a3
ECC0
ECC1
ECC2
ECC3
4Dateneinheitena,b,
c,dsindzuspeichern
Paritätwirdüberjeder
Dateneinheitberechnet
Paritätwirdübereinem
TeiljederDateneinheit
berechnet
Checkdisk(s)
RAID-5
§  Merkmale
§ 
25
25
–  Verteilung(striping)derDaten(sectorinterleaving)und
ParitätsinformaBonzurVerbesserungderPerformance
–  Ziel:VerteilenderLastaufParitätspla>e,Schreibzugriffekönnen
simultanerfolgen
–  Datendurchsatz:gutfürLesenundSchreiben
–  I/O-Request-Verarbeitungszeit:sehrgutfürLesenundSchreiben
Verwendungszweck:
–  TransakBonsorienBerteAnwendungen,Datenbanken
Disk1
Disk2
Disk3
Disk4
blk0
blk4
blk8
blk12
blk1
blk5
blk9
blk2
blk6
blk3
p(0..3)
p(4..7)
blk7
blk11
blk15
p(12..15)
p(8..11)
blk13
blk10
blk14
Disk5
Write(blk0)benöBgtDisk1
und5
Write(blk6)benöBgtDisk3
und4
VergleichvonRAID-4undRAID-5(SchreibenvonDaten)
5Disks(DatenundPariät)
Chk.dsk.
RAID-4
26
26
parallel
sequenJell
4Datadisks
RAID-5
RAID-6
– 
– 
– 
– 
VerwendungzweidimensionalerParitätähnlich
Kreuzsicherungsverfahren
kannzweigleichzeiBgePla>encrashestolerieren
rechtaufwändigeElektronik
Schreibenistlangsam
§  SchemaBsch
A0
A1
A2
p(3)
p(D)
B0
B1
p(2)
p(C)
B2
Paritätsbits
C0
p(1)
p(B)
C1
C2
p(0)
p(A)
D1
D2
D3
Datenverlust
Paritätsbits
§  Merkmale
1
0
1
1
1
0
0
0
1
1
0
0
0
0
1
1
1
1
1
1
0
1
0
0
1
1
0
1
0
1
0
1
0
0
0
1
1
1
0
0
1
0
0
0
0
0
1
0
1
1
0
1
1
1
0
0
0
1
1
0
0
0
0
1
1
1
1
1
1
0
1
0
0
1
1
0
1
0
1
0
1
0
0
0
1
1
1
0
0
1
0
0
0
0
0
1
0
1
Datenverlust
27
27
Fehlertoleranz
ArtenvonFehlern,(Nicht)-ReparierbareSysteme
RedundanztechnikenundAspektederBewertung
AnwendungsbeispielefürfehlertoleranteSysteme
28
FehlertoleranzdurchredundanteSysteme
§  Ziel
§ 
§ 
29
29
–  VerbesserungderZuverlässigkeit(Ausfallsicherheit)von
Systemkomponenten
TypischeKenngrößen
–  MeanTimeToFailure(MTTF)
•  ErwartungswertfürdieZeit(vonderInbetriebnahme)biszum
(ersten)AusfalleinesSystems
–  MeanTimeToRepair(MTTR)
•  ErwartungswertfürdieZeitzurErsetzungdesSystemsundggf.der
RekonstrukBonderDaten
ferner
–  MeanTimeToDataLoss(MTTDL)
•  ErwartungswertfürdieZeitbiszueinemnicht-maskierbarenFehler
(hauptsächlichverwendetinSpeicherkomponenten)
ArtenvonFehlern
1. Hardware-Fehler
§  betreffenphysischeTeiledesSystems
Sohware-Fehler
§  betreffenlogischeTeiledes
Systems
2. TransienteFehler
§  vorübergehendeFehler,evtl.nicht
reproduzierbar,z.B.Übertrag.fehler
§  könnenbehobenwerdendurchwiederholte
AusführungderfehlerhahenOperaBon
PermanenteFehler
§  dauerhah
§  leichterkennbar
3. Einzel-Fehler
§  betreffeneinzeneKomponenten
§  unabhängigvonderFunkBonanderer
Systemteile
30
30
Mehrfach-Fehler
§  betreffenmehrere
KomponentendesSystems
gleichzeiBg
§  durchFehlerfortpflanzungoder
gemeinsameFehlerquellen
hervorgerufen
Nicht-reparierbareSysteme
§  Zuverlässigkeit(reliability):R(t)
–  bedingteWahrscheinlichkeit,dasseinSystemdasZeiBntervall[0,t]
überlebt,wennesint=0funkBonstüchBgwar
§  Esgilt
lim R(t) = 0
t →∞
§  Ausfallrate:λ(t)
€
–  bedingteWahrscheinlichkeit,dassdasSystemimdifferenBellen
ZeiBntervall[t+dt]ausfällt
§  Typischerweisegiltim"Normalbereich"derNutzungeinesSystems(z.B.
Halbleiter-Bausteine)
λ(t)=const
31
31
«Badewannenkurve»
§  giltfürHalbleiter,
§  nichtjedochfürbeweglicheTeile(z.B.Lüher,Festpla>enetc.)
λ(t)
Normalbereich
Frühausfälle
(KonstrukBonsmängel)
32
32
Zufallsausfälle
λ=const
Spätausfälle
(Alterung)
t
Nicht-reparierbareSysteme
§  Mitλ=λ(t)=constgilt
R(t)=e-λt(ExponenBalverteilung)
§  Mi>lereZeitbiszueinemFehler(MTTF)
∞
1
MTTF
= ∫ R(t) dt =
λ
t= 0
€
33
33
ReparierbareSysteme
§  Verfügbarkeit(availability):A(t)
–  Wahrscheinlichkeit,dasseinSystemzueinemvorgegebenenZeitpunktt
bzw.ineinemZeitraum[0,t]ineinemfunkBonsfähigenZustand
angetroffenwird
§  FürNicht-reparierbareSystemegilt:
A(t)=R(t)
§  FürreparierbareSystemeErmi>lungderstaBonärenVerfügbarkeit
A = lim A(t)
t →∞
€
34
34
ReparierbareSysteme
§  StaBonäreVerfügbarkeit
µ
MTTF
=
A =
λ + µ MTTF + MTTR
MTTF
MTTR
MTTF
§  Mit
λ=λ(t)=const(Ausfallrate)
€
1
λ=
MTTF
MTTF:Mi>lereZeitbiszumAusfall
µ=µ(t)=const(Reparaturrate)
€
35
35
1
µ=
MTTR
MTTR:Mi>lereReparaturzeit
ReparierbareSysteme
MTBF
MTTF
MTTR
MTTF
§  BeireparierbarenSystemenfindetmanauchhäufigdieKenngröße
–  MeanTimeBetweenFailure(MTBF)
•  ErwartungswertfürdieZeitzwischenzweiAusfällen
vgl.LexikonInformaBkundKommunikaBonstechnik,VDIVerlag,1990,S.419
–  Achtung!
•  Meistwirddefiniert:MTBF=MTTF+MTTR
•  Manchmalauch:MTBF≡MTTF(umgangssprachlich)
–  BeispielFestpla>en:WennPla>edefekt,wirdsieüblicherweise
ausgetauscht
–  MTBFalsMeanTimeBeforeFailureverstanden
36
36
VerlässlichkeitvonDatenbankenundTransakBonssystemen
§  Fehlerrate
nichterkanntefehlerhahdurchgeführteTransakBonen
GesamtzahldurchgeführterTransakBonen
§  irrelevant:
–  TransakBonen,dieaufgrundeinesFehlersabgebrochenwurden
§  ZusammenhangzurVerfügbarkeit
–  MaßnahmenzurReduzierungderFehlerratekönnenzu
VerschlechterungderVerfügbarkeitführen
37
37
Redundanztechniken
§  Zeitredundanz
→ Berechnungenwerdenmehrfachdurchgeführt
–  transienteHardware-Fehlererkennbar
–  keineErkennbarkeitvonKonstrukBonsmängelnundpermanenten
Hardwarefehlern
§  InformaBonsredundanz
→ Datenwerdenmehrfachgespeichertoderübertragenoder
Prüfinforma@ongebildet
–  transienteFehlerwerdentoleriert
38
38
Redundanztechniken
§  FunkBonelleRedundanz
→ HinzufügenspeziellentworfenerKomponenten
–  TolerierungvonKonstrukBonsmängeln
–  Sebs>est-Komponente,Plausibilitätsprüfungen
–  N-Version-Programming:SchutzzielDiversität
•  N(mind.3)verschiedeneVersioneneinesProgramms,
MehrheitslogikvergleichtErgebnissezurLaufzeit(TripleModular
Redundancy,TMR)
–  sehrguteVerfügbarkeit,sehrhoheIntegrität
•  N(mind.2)VersioneneinesProgrammswerdenvon
konkurrierendenTeamsentwickeltundgegenseiBguntersucht,ein
opBmiertesProgrammaufZielsystem
–  sehrguteVerfügbarkeit,sehrguteVertraulichkeit(Schutzvor
verdecktenKanälenundTrojanischenPferden)
39
39
Redundanztechniken
§  StrukturelleRedundanz
→ SystemoderTeiledavonwerdenmehrfachausgelegt
–  TolerierungvonpermanentenHardwarefehlern
→ Unterscheidungen
•  RN-Redundanz:JedederNKomponentenwirdver-R-facht.
–  R-1KomponentenstehenjederderNKomponentenexklusivzur
Verfügung
N=3
K1
K2
K3
R1K1
R1K2
R1K3
R2K1
R2K2
R2K3
ohneRedundanz
N=3
R=2
–  Meist2N-Redundanz:Systemwirdgedoppelt
40
40
mitRedundanz
Redundanztechniken
§  StrukturelleRedundanz
→ SystemoderTeiledavonwerdenmehrfachausgelegt
–  TolerierungvonpermanentenHardwarefehlern
→ Unterscheidungen
•  R+N-Redundanz:DemSystem
–  bestehendausNgleicharBgenKomponenten
–  werdenRredundanteKomponentenhinzugefügt.
–  JedederRKomponentenkanneinebeliebigederN
Komponentenersetzen.
–  Bsp:1+2-Redundanz K1
N=2gleicharBgeKomponenten,z.B.Webserver
K2
R1
hinterLastverteiler
RedundanteKomponentekannsowohlK1
alsauchK2ersetzen
–  MitR=1auch:«1:N-Redundanz»
1:1-RedundanzentsprichtDoppelung
41
41
Redundanztechniken
§  StaBscheunddynamischeRedundanz
AlleKomponentensindständiginBetrieb.
InKombinaBonmitfunkBonellerRedundanz:Triple-Modular-Redundancy
(TMR)oderallgemeinN-Modular-Redundancy(NMR):HardwareKomponentenwerden3-bzw.N-fachausgeführt,Mehrheitslogikermi>elt
Ergebnis
RedundanteKomponentewirderstbeiAusfallinBetriebgenommen(StandbyVerfahren).
1.Fehlererkennung
2.RekonfiguraBon
3.Wiederanlauf
Failover-
Zeit
t
Sicherungspunkt-Erzeugung
(checkpoinBng):Festlegeneines
Wiederaufsetzpunktesimlaufenden
Betrieb
•  erzeugtmeistniedrigereVerfügbarkeitalsstaBscheR.
•  redundanteKomponentenkönnenimfehlerfreienBetriebfürandere
Aufgabenverwendetwerden
•  höhereMTTF,daredundanteKomponentensichnichtabnutzen
42
42
AspektederBewertungeinesfehlertolerantenSystems
§  Überdeckungsgrad(coveragefactor)
AnzahlderdurchFT-MaßnahmentolerierbarenFehler
AnzahlderüberhauptspezifiziertenFehler
§  SchutzvorMehrfachfehlern
–  AusfallderredundantenKomponente(z.B.weilsiegleichenFehler
ebenfallsenthält)
–  SchutzvorgegenseiBgerFehlerfortpflanzung(Diversität)
•  z.B.geograph.getrennteAufstellung,Hard-undSohware
verschiedenerHersteller
§  GesamtverfügbarkeitrichtetsichnachschwächsterStelle
–  ProduktderEinzelverfügbarkeiten
–  z.B.TMR:Vergleichslogiknureinmalvorhanden
•  single-point-of-failure
→ selbsthochverfügbarauslegen
43
43
AnwendungsbeispielefürfehlertoleranteSysteme
§  Bereiche
– 
– 
– 
– 
Raumfahrt,Medizintechnik,Luhfahrt
KriBscheInfrastrukturen
Signalsysteme(fail-stop)
SystememiterheblicherwirtschahlicherBedeutung
§  MitSchwerpunktaufIntegrität
–  DatenbanksystemevonBanken,Versicherungenetc.
§  MitSchwerpunktaufVerfügbarkeit
– 
– 
– 
– 
44
44
Telefonvermi>lungsanlagen
Buchungssysteme
lebenserhaltendeSysteme
eingebe>eteSysteme(z.B.imAuto)