Safety und Fehlertoleranz - Sicherheit in verteilten Systemen
Transcrição
Safety und Fehlertoleranz - Sicherheit in verteilten Systemen
SafetyundFehlertoleranz Prof.Dr.HannesFederrath SicherheitinverteiltenSystemen(SVS) h>p://svs.informaBk.uni-hamburg.de 1 Backup(Datensicherung) § Bedrohungen(Beispiele) – – – – – Hardwaredefekte Diebstahl höhereGewalt versehentlichesLöschen Virenu.andereSchadprogramme § AuswahlderDaten NichtwiederbeschaPareDatengenießenhöchsteBackup-Priorität: • selbsterstellteDateien++ • KonfiguraBonsdateien+ • Internet-Downloads-/+ • Programme-(InstallaBons-CD) • Betriebssystem--(Setup-CD) 2 BackupundArchivierung § Backup: SicherungskopievonDatenalsSchutzvorVerlust • einzelneDateienundVerzeichnisse • ganzesAbbild(Image)einesSpeichermediums(typ. Festpla>enparBBon),z.B.sicherninkl.Betriebssystem • zurErfüllunggesetzlicherAuflagen(z.B.KontraG?) § Archivierung: Au_ewahrungvonDatenineinembesBmmtenZustand • zurErfüllunggesetzlicherAuflagen • zureigenenDokumentaBon • zurVersionenkontrolle 3 Backup-Strategien § Voll-Backup – sichertalleDaten § InkrementellesBackup – sichertalleseitdemletztenBackuphinzugekommenenundveränderten Daten – mehrfachhintereinanderdurchführbar – alleZwischenständezwischenVollbackupssindrekonstruierbar – RestoreerfolgtinderReihenfolgederSicherungen – alleSicherungenseitdemletztenVoll-Backuperforderlich § DifferenziellesBackup – sichertalleseitdemletztenVoll-Backuphinzugekommenenund verändertenDaten – RestoreerfordertnurVoll-BackupundletztesdifferenziellesBackup 4 InwelchemFormatsolltegesichertwerden? § AlsRohdaten(raw) § § – überalllesbar – jenachRohdatengeringeSpeichereffizienz InverbreitetemArchivformat(z.B.zip) – fastüberalllesbar(auchüberPlagormenhinweg) – beiKomprimierunghoheSpeichereffizienz ImproprietäremFormatderBackup-Sohware – AbhängigkeitvonBetriebssystemundBackup-SohwareberücksichBgen § WelcheDatenmüssengesichertwerden? – Archiv-BitvomDateisystem(z.B.NTFS,FAT)verwaltet • vomBetriebssystemnachAnlegenoderVeränderneinerDatei gesetztundvonBackup-Sohwarezurückgesetzt • nurbeiinkrementellemBackupnützlich – Backup-SohwareführtListedergesichertenDateien 5 AufwelchenMediensolltegesichertwerden? § ExterneStandardmedien(Streamer,CD/DVD-R/W) – – – – meistüberalllesbar empfehlenswertfürVoll-Backup Haltbarkeitsdauer(DVD40...200Jahre)beachten TreibernichtnuraufBackupsichern § Festpla>en-undNetzlaufwerke – sehreffizientfürinkrementelleunddifferenzielleSicherungen – Beachte:RAID(RedundantArrayofInexpensiveDisks) • ersetztnichtdasBackup • schütztnichtvorversehentlichemoderbösarBgemLöschen § SpezielleBackup-Systeme 6 SpezielleBackup-Systeme Bilder:h>p://www.ualberta.ca/CNS/vrtour/tsm/ 7 VorsichtsmaßnahmenbeimSichern § SchutzzielIntegrität:SicherungskopiesolltenachdemSchreibenmit Originaldatenverglichenwerden § SchutzzielVerfügbarkeit:MehrereMediensätzeverwenden – SchutzvorFehlernwährenddesSicherns • letztenMediensatzau_ewahren • vorletzten(oderbesservorvorletzten)Mediensatzüberscheiben – Katastrophenschutz: • OriginaldatenundBackupanverschiedenenOrtensichern • SchutzvorFeuer,Wasser,... • Datasafe(Lampertz,Sistec) § SchutzzielVertraulichkeit:WerZugriffaufBackuphat,hatZugriffaufDaten. – sichereAu_ewahrung(Datasafe) – Verschlüsselung(Beachte:Schlüsselbackupggf.notwendig) 8 WechselprinzipfürinkrementelleSicherungen § 1malproZeiteinheit(z.B.Woche)Voll-Backup(z.B.Montag) § § – aufMedium1 nmalinkrementellesBackup(z.B.Di,Mi,Do,Fr) – aufMedien2,3,...,n+1 AnzahlderbenöBgtenMedien: – 1+n+1Medien § nächstesVoll-BackupaufMediumn+2 Mo Di Mi Do Fr v1 i2 i3 i4 i5 Mo Di Mi Do Fr v6 i2 i3 i4 i5 Mo Di Mi v1 i2 i3 • Medium1und6:etwagleiche(hohe)Kapazität • Medien2-5:geringereKapazitätals1und6nöBg 9 Wechselprinzipf.differenzielleSicherungen § AnzahlderbenöBgtenMedien: § 10 10 – 2+2Medien – 1malproZeiteinheit(z.B.Woche)Voll-Backup(z.B.Montag)auf Medium1 – differenzielleBackups(z.B.Di,Mi,Do,Fr)abwechselndaufMedien2und 3 – nächstesVoll-BackupaufMedium4 Mo Do Mi Do Fr Mo Di Mi Do Fr Mo Di Mi Do Fr v1 d2 d3 d2 d3 v4 d2 d3 d2 d3 v1 d2 d3 ... FallsalleMedienausreichendgroß: – 3Mediengenügen – vorletztesdifferenziellesBackupfürVoll-Backup Mo Do Mi Do Fr Mo Di Mi Do Fr Mo Di Mi Do Fr v1 d2 d3 d2 d3 v2 d3 d1 d3 d1 v3 d1 d2 ... !!!....bloßnichtdurcheinanderkommen....!!!:-) RAID 11 RAID:Einführung § Akronymfür – RedundantArrayofInexpensiveDisks(1982) – RedundantArrayofIndependentDisks(NeudefiniBon1992) § Steigerungvon – Leistung(I/O-Durchsatz,Speicherkapazität) – Zuverlässigkeit § 6klassischeRAID-Level 12 12 keineRedundanz RAID-0 DatenreplikaBon RAID-1 FehlerkorrigierendeCodes RAID-2 Paritätsbits RAID-3,RAID-4,RAID-5 RAID:Grundprinzipien1/3 § ProblemLeistung – CPU-LeistungundSpeicherbedarfwachsenexponenBell – I/O-Performancewächstdagegendeutlichlangsamer § Ausweg – MehrereDisksundI/O-KanälegleichzeiBgverwenden § VerteilungderDatenaufmehrereDisks(Striping,Interleaving) – Bit-Interleaving(bitweiseVerteilungübermehrereDisks) – Sector-Interleaving(Sektor-weiseVerteilung) – ParallelesLesenundSchreibenmöglich – BeiVerlusteinerDisk-->Datenverlust 13 13 RAID:Grundprinzipien2/3 § ProblemZuverlässigkeit § § § 14 14 – MTBF(diskarray)=MTBF(disk)/Anzahldisks – Beispiel: (MTBF:MeanTimeBeforeFailure) • MTBFeiner80GB-Festpla>esei>50000Stunden(5,7Jahre) • MTBFeinesDisk-Arraysmit2Terabyte(25Disksx80GB)istdannnur 83Tage Ausweg – EinsatzgeeigneterFehlertoleranzmaßnahmen Spiegelung(mirroring,shadowing) – DoppelungderDatenaufeinerzweitenDisk – Teuer,abersehrzuverlässig KompromisszwischenZuverlässigkeitundKosten,jenachRAID-Levelauch verwendet: – Paritätsbits – FehlerkorrigierendeCodes RAID:Grundprinzipien3/3 § ProblemKosten – Einsatzstandardisierter,kostengünsBgerKomponenten • Festpla>enlaufwerke(Massenmarkt) • Standard-Datenbusse(z.B.SCSI,Firewire,FibreChannel) § TeureAlternaBve: – Spezial-Hardware,z.B.Festpla>enfarmimGroßrechnerbereich § EinsatzzielvonRAID-Technik – kostengünsBgeErhöhungderDatentransferrateundAusfallsicherheit vonFestpla>en 15 15 RAID-0 § Merkmale § – AuheilungderDateninBlöcke,parallelesSchreibenaufvorhandene Festpla>en(diskstriping) – keineRedundanz,geringeMTBF – SehrhoheDatentransferrate(fürkleineStrips) – SehrgeringeI/O-Request-Verarbeitungszeit(fürgroßeStrips) Verwendungszweck:Anwendungenmit – hohenI/O-Performance-Anforderungen – geringenAnforderungenandieVerfügbarkeit Strip1 Strip5 16 16 Strip2 Strip6 Strip3 Strip4 RAID-1 § Merkmale § – gespiegeltePla>en(mirroring,shadowing),gleicheDatenwerden gleichzeiBgaufunterschiedlichePla>engeschrieben – beiDatenverluststehtDuplikatderDatenzurVerfügung – hoheKosten – Datentransferrate,I/O-Request-Verarbeitungszeit: • Lesen:gut,Pla>emitgeringererZugriffszeit(seekdistance) • Schreiben:mi>el,beidePla>enmüssenschreiben Verwendungszweck:Anwendungenmit – sehrhohenAnforderungenandieVerfügbarkeit Strip1 Strip2 Strip3 Strip4 17 17 Strip1 Strip2 Strip3 Strip4 1LogischerSchreibzugriff=2 physischeSchreibzugriffe KombinaBonvonRAID-0undRAID-1 Striping gespiegelteVerteilung MirroredStrips RAID0+1oderRAID01 Strip1 Strip3 Striping Strip2 Strip4 Strip1 Strip3 Strip2 Strip4 Mirroring Mirroring verteilteSpiegelung StripedMirrors RAID1+0oderRAID10 18 18 Strip1 Strip2 Strip3 = Strip1 Strip2 Strip3 Striping Strip1 Strip3 Strip2 RAID-2 § Merkmale – Verteilung(striping) – fehlerkorrigierenderHamming-Code(20-40ProzentOverhead) – Datentransferrate • hervorragendfürgroßeDatensätze,abergeringfürkleine Datensätze,daimmergesamterStripgelesenwerdenmuss – I/O-Request-Verarbeitungszeit • gering:keineparallelenI/O-Requestsverarbeitbar,daalleLaufwerke miteinemRequestbefasstsind – geringeprakBscheBedeutung Datadisks b0 19 19 b1 Checkdisks b2 b3 f0(b) f1(b) f2(b) RAID-3 § Merkmale – – – – – § Verteilung(striping):bitinterleaving ParitätsinformaBonaufzusätzlicherPla>e beiAusfallgenaueinerPla>eRekonstrukBonderDatenmöglich geringfügigzuverlässigeralsRAID-2,dawenigerPla>en Performance:geringfügigbesseralsRAID-2,wg.bitweiserVerarbeitung, aberimmernochschlecht Verwendungszweck: – AnwendungenmitwenigengroßenDateien(z.B.Bildverarb.) – nichtgeeignetfürTransakBonssystemeundDirektzugriff Datadisks bit0 20 20 bit1 Checkdisk bit2 bit3 p(bit0...3) RAID-4 § Merkmale – Verteilung(striping):sectorinterleaving – ParitätsinformaBonaufzusätzlicherPla>e NeueDaten blk0 1.Lesen 2.Lesen 3.Lesen blk0 blk1 blk2 blk3 p blk0 blk1 blk2 blk3 p 4.Schreiben 5.Schreiben Datadisks block0 21 21 block1 Checkdisk block2 block3 p(blk0...3) Ineffiziente BerechnungderParität RAID-4 § Merkmale – Verteilung(striping):sectorinterleaving – ParitätsinformaBonaufzusätzlicherPla>e NeueDaten blk0 NeueDaten blk0 Small-WriteAlgorithm: 1LogischerSchreibzugriff= 2physischeLesezugriffe+ 2physischeSchreibzugriffe 22 22 1.Lesen 2.Lesen 3.Lesen blk0 blk1 blk2 blk3 p blk0 blk1 blk2 blk3 p 4.Schreiben 5.Schreiben 1.Lesen 2.Lesen blk0 blk1 blk2 blk3 p blk0 blk1 blk2 blk3 p 3.Schreiben 4.Schreiben Besser:NeueParität wirdausderDifferenz desaltenundneuen Datenblocksberechnet RAID-4 § Merkmale – – – – – § Verteilung(striping):sectorinterleaving ParitätsinformaBonaufzusätzlicherPla>e großeLese-undSchreibzugriffeparallelmöglich Datendurchsatz:etwawieRAID-3 I/O-Request-Verarbeitungszeit:sehrgutfürLesen,etwasbesserals RAID-3fürSchreiben – Paritätspla>ebleibtFlaschenhals AnwendungenwieRAID-3 Datadisks block0 23 23 block1 Checkdisk block2 block3 p(blk0...3) VergleichderRAID-Leves2,3und4 RAID-3 RAID-4 a0 b0 c0 d0 a0 a1 a2 a3 a1 b1 c1 d1 b0 b1 b2 b3 a2 b2 c2 d2 c0 c1 c2 c3 Datadisks 24 24 a3 b3 c3 d3 a3 b3 c3 d3 d0 d1 d2 d3 aECC2 bECC2 cECC2 dECC2 a2 b2 c2 d2 d0 d1 d2 d3 aECC1 bECC1 cECC1 dECC1 a1 b1 c1 d1 c0 c1 c2 c3 aECC0 bECC0 cECC0 dECC0 a0 b0 c0 d0 b0 b1 b2 b3 ECCa ECCb ECCc ECCd RAID-2 a0 a1 a2 a3 ECC0 ECC1 ECC2 ECC3 4Dateneinheitena,b, c,dsindzuspeichern Paritätwirdüberjeder Dateneinheitberechnet Paritätwirdübereinem TeiljederDateneinheit berechnet Checkdisk(s) RAID-5 § Merkmale § 25 25 – Verteilung(striping)derDaten(sectorinterleaving)und ParitätsinformaBonzurVerbesserungderPerformance – Ziel:VerteilenderLastaufParitätspla>e,Schreibzugriffekönnen simultanerfolgen – Datendurchsatz:gutfürLesenundSchreiben – I/O-Request-Verarbeitungszeit:sehrgutfürLesenundSchreiben Verwendungszweck: – TransakBonsorienBerteAnwendungen,Datenbanken Disk1 Disk2 Disk3 Disk4 blk0 blk4 blk8 blk12 blk1 blk5 blk9 blk2 blk6 blk3 p(0..3) p(4..7) blk7 blk11 blk15 p(12..15) p(8..11) blk13 blk10 blk14 Disk5 Write(blk0)benöBgtDisk1 und5 Write(blk6)benöBgtDisk3 und4 VergleichvonRAID-4undRAID-5(SchreibenvonDaten) 5Disks(DatenundPariät) Chk.dsk. RAID-4 26 26 parallel sequenJell 4Datadisks RAID-5 RAID-6 – – – – VerwendungzweidimensionalerParitätähnlich Kreuzsicherungsverfahren kannzweigleichzeiBgePla>encrashestolerieren rechtaufwändigeElektronik Schreibenistlangsam § SchemaBsch A0 A1 A2 p(3) p(D) B0 B1 p(2) p(C) B2 Paritätsbits C0 p(1) p(B) C1 C2 p(0) p(A) D1 D2 D3 Datenverlust Paritätsbits § Merkmale 1 0 1 1 1 0 0 0 1 1 0 0 0 0 1 1 1 1 1 1 0 1 0 0 1 1 0 1 0 1 0 1 0 0 0 1 1 1 0 0 1 0 0 0 0 0 1 0 1 1 0 1 1 1 0 0 0 1 1 0 0 0 0 1 1 1 1 1 1 0 1 0 0 1 1 0 1 0 1 0 1 0 0 0 1 1 1 0 0 1 0 0 0 0 0 1 0 1 Datenverlust 27 27 Fehlertoleranz ArtenvonFehlern,(Nicht)-ReparierbareSysteme RedundanztechnikenundAspektederBewertung AnwendungsbeispielefürfehlertoleranteSysteme 28 FehlertoleranzdurchredundanteSysteme § Ziel § § 29 29 – VerbesserungderZuverlässigkeit(Ausfallsicherheit)von Systemkomponenten TypischeKenngrößen – MeanTimeToFailure(MTTF) • ErwartungswertfürdieZeit(vonderInbetriebnahme)biszum (ersten)AusfalleinesSystems – MeanTimeToRepair(MTTR) • ErwartungswertfürdieZeitzurErsetzungdesSystemsundggf.der RekonstrukBonderDaten ferner – MeanTimeToDataLoss(MTTDL) • ErwartungswertfürdieZeitbiszueinemnicht-maskierbarenFehler (hauptsächlichverwendetinSpeicherkomponenten) ArtenvonFehlern 1. Hardware-Fehler § betreffenphysischeTeiledesSystems Sohware-Fehler § betreffenlogischeTeiledes Systems 2. TransienteFehler § vorübergehendeFehler,evtl.nicht reproduzierbar,z.B.Übertrag.fehler § könnenbehobenwerdendurchwiederholte AusführungderfehlerhahenOperaBon PermanenteFehler § dauerhah § leichterkennbar 3. Einzel-Fehler § betreffeneinzeneKomponenten § unabhängigvonderFunkBonanderer Systemteile 30 30 Mehrfach-Fehler § betreffenmehrere KomponentendesSystems gleichzeiBg § durchFehlerfortpflanzungoder gemeinsameFehlerquellen hervorgerufen Nicht-reparierbareSysteme § Zuverlässigkeit(reliability):R(t) – bedingteWahrscheinlichkeit,dasseinSystemdasZeiBntervall[0,t] überlebt,wennesint=0funkBonstüchBgwar § Esgilt lim R(t) = 0 t →∞ § Ausfallrate:λ(t) € – bedingteWahrscheinlichkeit,dassdasSystemimdifferenBellen ZeiBntervall[t+dt]ausfällt § Typischerweisegiltim"Normalbereich"derNutzungeinesSystems(z.B. Halbleiter-Bausteine) λ(t)=const 31 31 «Badewannenkurve» § giltfürHalbleiter, § nichtjedochfürbeweglicheTeile(z.B.Lüher,Festpla>enetc.) λ(t) Normalbereich Frühausfälle (KonstrukBonsmängel) 32 32 Zufallsausfälle λ=const Spätausfälle (Alterung) t Nicht-reparierbareSysteme § Mitλ=λ(t)=constgilt R(t)=e-λt(ExponenBalverteilung) § Mi>lereZeitbiszueinemFehler(MTTF) ∞ 1 MTTF = ∫ R(t) dt = λ t= 0 € 33 33 ReparierbareSysteme § Verfügbarkeit(availability):A(t) – Wahrscheinlichkeit,dasseinSystemzueinemvorgegebenenZeitpunktt bzw.ineinemZeitraum[0,t]ineinemfunkBonsfähigenZustand angetroffenwird § FürNicht-reparierbareSystemegilt: A(t)=R(t) § FürreparierbareSystemeErmi>lungderstaBonärenVerfügbarkeit A = lim A(t) t →∞ € 34 34 ReparierbareSysteme § StaBonäreVerfügbarkeit µ MTTF = A = λ + µ MTTF + MTTR MTTF MTTR MTTF § Mit λ=λ(t)=const(Ausfallrate) € 1 λ= MTTF MTTF:Mi>lereZeitbiszumAusfall µ=µ(t)=const(Reparaturrate) € 35 35 1 µ= MTTR MTTR:Mi>lereReparaturzeit ReparierbareSysteme MTBF MTTF MTTR MTTF § BeireparierbarenSystemenfindetmanauchhäufigdieKenngröße – MeanTimeBetweenFailure(MTBF) • ErwartungswertfürdieZeitzwischenzweiAusfällen vgl.LexikonInformaBkundKommunikaBonstechnik,VDIVerlag,1990,S.419 – Achtung! • Meistwirddefiniert:MTBF=MTTF+MTTR • Manchmalauch:MTBF≡MTTF(umgangssprachlich) – BeispielFestpla>en:WennPla>edefekt,wirdsieüblicherweise ausgetauscht – MTBFalsMeanTimeBeforeFailureverstanden 36 36 VerlässlichkeitvonDatenbankenundTransakBonssystemen § Fehlerrate nichterkanntefehlerhahdurchgeführteTransakBonen GesamtzahldurchgeführterTransakBonen § irrelevant: – TransakBonen,dieaufgrundeinesFehlersabgebrochenwurden § ZusammenhangzurVerfügbarkeit – MaßnahmenzurReduzierungderFehlerratekönnenzu VerschlechterungderVerfügbarkeitführen 37 37 Redundanztechniken § Zeitredundanz → Berechnungenwerdenmehrfachdurchgeführt – transienteHardware-Fehlererkennbar – keineErkennbarkeitvonKonstrukBonsmängelnundpermanenten Hardwarefehlern § InformaBonsredundanz → Datenwerdenmehrfachgespeichertoderübertragenoder Prüfinforma@ongebildet – transienteFehlerwerdentoleriert 38 38 Redundanztechniken § FunkBonelleRedundanz → HinzufügenspeziellentworfenerKomponenten – TolerierungvonKonstrukBonsmängeln – Sebs>est-Komponente,Plausibilitätsprüfungen – N-Version-Programming:SchutzzielDiversität • N(mind.3)verschiedeneVersioneneinesProgramms, MehrheitslogikvergleichtErgebnissezurLaufzeit(TripleModular Redundancy,TMR) – sehrguteVerfügbarkeit,sehrhoheIntegrität • N(mind.2)VersioneneinesProgrammswerdenvon konkurrierendenTeamsentwickeltundgegenseiBguntersucht,ein opBmiertesProgrammaufZielsystem – sehrguteVerfügbarkeit,sehrguteVertraulichkeit(Schutzvor verdecktenKanälenundTrojanischenPferden) 39 39 Redundanztechniken § StrukturelleRedundanz → SystemoderTeiledavonwerdenmehrfachausgelegt – TolerierungvonpermanentenHardwarefehlern → Unterscheidungen • RN-Redundanz:JedederNKomponentenwirdver-R-facht. – R-1KomponentenstehenjederderNKomponentenexklusivzur Verfügung N=3 K1 K2 K3 R1K1 R1K2 R1K3 R2K1 R2K2 R2K3 ohneRedundanz N=3 R=2 – Meist2N-Redundanz:Systemwirdgedoppelt 40 40 mitRedundanz Redundanztechniken § StrukturelleRedundanz → SystemoderTeiledavonwerdenmehrfachausgelegt – TolerierungvonpermanentenHardwarefehlern → Unterscheidungen • R+N-Redundanz:DemSystem – bestehendausNgleicharBgenKomponenten – werdenRredundanteKomponentenhinzugefügt. – JedederRKomponentenkanneinebeliebigederN Komponentenersetzen. – Bsp:1+2-Redundanz K1 N=2gleicharBgeKomponenten,z.B.Webserver K2 R1 hinterLastverteiler RedundanteKomponentekannsowohlK1 alsauchK2ersetzen – MitR=1auch:«1:N-Redundanz» 1:1-RedundanzentsprichtDoppelung 41 41 Redundanztechniken § StaBscheunddynamischeRedundanz AlleKomponentensindständiginBetrieb. InKombinaBonmitfunkBonellerRedundanz:Triple-Modular-Redundancy (TMR)oderallgemeinN-Modular-Redundancy(NMR):HardwareKomponentenwerden3-bzw.N-fachausgeführt,Mehrheitslogikermi>elt Ergebnis RedundanteKomponentewirderstbeiAusfallinBetriebgenommen(StandbyVerfahren). 1.Fehlererkennung 2.RekonfiguraBon 3.Wiederanlauf Failover- Zeit t Sicherungspunkt-Erzeugung (checkpoinBng):Festlegeneines Wiederaufsetzpunktesimlaufenden Betrieb • erzeugtmeistniedrigereVerfügbarkeitalsstaBscheR. • redundanteKomponentenkönnenimfehlerfreienBetriebfürandere Aufgabenverwendetwerden • höhereMTTF,daredundanteKomponentensichnichtabnutzen 42 42 AspektederBewertungeinesfehlertolerantenSystems § Überdeckungsgrad(coveragefactor) AnzahlderdurchFT-MaßnahmentolerierbarenFehler AnzahlderüberhauptspezifiziertenFehler § SchutzvorMehrfachfehlern – AusfallderredundantenKomponente(z.B.weilsiegleichenFehler ebenfallsenthält) – SchutzvorgegenseiBgerFehlerfortpflanzung(Diversität) • z.B.geograph.getrennteAufstellung,Hard-undSohware verschiedenerHersteller § GesamtverfügbarkeitrichtetsichnachschwächsterStelle – ProduktderEinzelverfügbarkeiten – z.B.TMR:Vergleichslogiknureinmalvorhanden • single-point-of-failure → selbsthochverfügbarauslegen 43 43 AnwendungsbeispielefürfehlertoleranteSysteme § Bereiche – – – – Raumfahrt,Medizintechnik,Luhfahrt KriBscheInfrastrukturen Signalsysteme(fail-stop) SystememiterheblicherwirtschahlicherBedeutung § MitSchwerpunktaufIntegrität – DatenbanksystemevonBanken,Versicherungenetc. § MitSchwerpunktaufVerfügbarkeit – – – – 44 44 Telefonvermi>lungsanlagen Buchungssysteme lebenserhaltendeSysteme eingebe>eteSysteme(z.B.imAuto)