Entfernte Redundanz : Beschreibung, Analyse und Bewertung eines neuartigen Architekturkonzeptes für fehlertolerante Steuerungssysteme

Die Frage, wie sicherheitskritische Steuerungen fehlertolerant gestaltet werden können, kann als grundsätzlich beantwortet angesehen werden (Echtle, 1990). Teils seit Jahrzehnten existieren Verfahren zur Fehlererkennung, Wiederholung misslungener Rechenoperationen oder paralleler Programmausführung auf mehreren Rechnern.<br> Auf ein Gesamtsystem, wie z. B. ein Automobil bezogen, wurde jedoch bislang meist jedes einzelne Teilsystem (Lenkanlage, Bremsen etc.) isoliert betrachtet, was im Ergebnis zu massiver, aus Fehlertoleranzsicht aber entbehrlicher, struktureller Redundanz führte. Aus dieser Überlegung heraus entstand das Konzept der "Entfernten Redundanz", welches es erlaubt, im Gesamtsystem vorhandene Ressourcen unabhängig vom Ort ihres Vorhandenseins nutzbar zu machen. Als Folge können Hardwarekomponenten durch auf einem fremden Teilsystem ausgeführte Software ersetzt werden, was im Hinblick auf die für das Gesamtsystem entstehenden Kosten ein wesentliches Einsparpotenzial darstellt. Aber auch in Bezug auf ein einzelnes Teilsystem ermöglicht es der Einsatz Entfernter Redundanz, aufwändige (und darüber hinaus fehleranfällige) Verkabelungsstrukturen in beträchtlichem Umfang zu reduzieren.<br> Die durch Entfernte Redundanz entstehende Systemarchitektur ist dabei nahezu frei skalierbar und nicht etwa auf einen bestimmten Fehlertoleranzgrad eingeschränkt. Realisierbar sind dementsprechend neben den beiden in der Praxis häufigsten Anforderungen − Ausfallsicherheit und Einfehlertoleranz − beliebige n-von-m-Systeme.
The general problem of designing safety-critical control systems in a fault-tolerant manner may be regarded as largely solved (Echtle, 1990). Methods allowing for fault detection, forward/backward error recovery or fault masking using redundant computers partly exist since decades. As to a complete system, e. g. an automobile, usually each subsystem (steering system, brakes etc.) has, however, been treated and analyzed separately so far, leading to massive, but, from a fault tolerance point of view, superfluous, structural redundancy.<br> Against this background, the concept of "remote redundancy" has been developed in order to enable the use of computing resources regardless of the location of their presence. As a consequence, formerly necessary hardware components may be replaced by a piece of software running on a different node, leading to a substantial savings potential for the production of the overall system. Even with regard to a single subsystem, remote redundancy allows to reduce complex and error-prone wiring structures to a considerable degree.<br> The system architecture resulting from the appliance of remote redundancy is highly scalable and not at all restricted to a certain degree of fault tolerance. In addition to the most common requirements of single-fault tolerance and fail-safe behavior, any n-out-of-m-system is feasible.

Zitieren

Zitierform:
Zitierform konnte nicht geladen werden.

Rechte

Nutzung und Vervielfältigung:
Alle Rechte vorbehalten