Redundans (teknologi)

To fallskjerm på Apollo 15 var tilstrekkelig hvis den tredje mislyktes

Redundans (fra latin redundare , overfylt , rikelig strømmer ut ) er den ekstra tilstedeværelsen av funksjonelt identiske eller sammenlignbare ressurser i et teknisk system når disse normalt ikke er nødvendige i en problemfri operasjon. Ressurser kan f.eks. B. overflødig informasjon , motorer, enheter, komplette enheter, kontrollinjer og kraftreserver. Disse ytterligere ressursene brukes som regel til å øke feil , funksjonell og driftssikkerhet .

Det skilles mellom forskjellige typer redundans: Funksjonell redundans har som mål å utforme sikkerhetssystemer flere ganger parallelt, slik at hvis en komponent svikter, garanterer de andre tjenesten. I tillegg prøver man å romskille de overflødige systemene fra hverandre. Dette minimerer risikoen for at de vil bli utsatt for en felles forstyrrelse. Tross alt blir komponenter fra forskjellige produsenter noen ganger brukt for å unngå en systematisk feil som får alle overflødige systemer til å mislykkes ( mangfoldig redundans). Programvaren til overflødige systemer skal i størst mulig grad avvike fra følgende aspekter: spesifikasjon (forskjellige team), spesifikasjonsspråk , programmering (forskjellige team), programmeringsspråk, kompilator.

Underavdeling av redundansdesignet

Barriere i veitrafikk med flere varsellamper (varm redundans), i tillegg ulike reflekterende trafikkskilt
  • Varm redundans (engl. Hot spare ) betyr at flere delsystemer utfører innenfor det samlede systemet samme funksjon parallelt. Vanligvis brukes to enheter som arbeider parallelt, som hver kan utføre oppgaven alene hvis den andre enheten mislykkes. Det må sikres at sannsynligheten for at to enheter mislykkes samtidig har en tendens til null. I det enkleste tilfellet, hvis den ene enheten svikter, konsentreres en ellers fordelt belastning på den andre, fremdeles arbeidsenheten, uten behov for en separat koblingsprosess. I industriell sikkerhetsteknologi oppdager en testanordning svikt i en enkelt komponent og initierer en passende feilreaksjon (f.eks. Feilmelding eller maskinstopp). Sannsynligheten for samtidig svikt i begge enhetene beregnes z. B. evaluert i henhold til DIN EN ISO 13849 i henhold til risikoen som følge av en feil. I elektronikk er det en mulighet for at en velger evaluerer resultatene av minst tre parallelle systemer og overfører resultatet til flertallet.
  • Kald redundans betyr at det er flere funksjoner i systemet parallelt, men bare en fungerer. Den aktive funksjonen evalueres, og i tilfelle en feil brukes en bryter til å bytte til parallellfunksjonen. Det må gis at byttetiden er tillatt for den samlede oppgaven, og at systemet jobber med forutsigbare oppgaver. Bryterens pålitelighet må være langt større enn de funksjonelle elementene.
  • Standby-redundans (passiv redundans): Ytterligere ressurser er slått på eller gjort tilgjengelig, men er bare involvert i utførelsen av den tiltenkte oppgaven i tilfelle en feil eller funksjonsfeil.
  • ( n  + 1) redundans , også kjent som operativ redundans , betyr at et system består av n fungerende enheter som er aktive på et tidspunkt og en passiv standby-enhet. Hvis en aktiv enhet mislykkes, overtar standbyenheten funksjonen til den mislykkede enheten. Hvis en aktiv enhet mislykkes igjen, er systemet ikke lenger fullt tilgjengelig og anses generelt å ha mislyktes. For tilstrekkelig vedlikeholdsredundans må systemet økes med minst en ekstra enhet, men overkapasiteten medfører høyere kostnader. Med ( n  - 1) sikkerhet, derimot, også kjent som ( n  - 1) regelen eller ( n  - 1) kriteriet, er nettverkssikkerhet garantert i et nettverk, selv om en komponent svikter, uten å overbelaste ressursene. Forskjellen mellom ( n  + 1) og ( n  - 1) er at med ( n  + 1) kan de enkelte enhetene utnyttes fullt ut i normal drift, og den overflødige enheten forblir ubelastet, med ( n  - 1) er det ingen overflødig Enhet, men heller alle enheter er lastet så lett i normal drift at de, om nødvendig sammen, gir tilstrekkelig overflødig kapasitet til å kunne kompensere for svikt i en enhet.

Når man setter opp et redundant system, kan man skille mellom to typer komponenter av samme type, for eksempel de som brukes i forbindelse med IEC 61508 :

Mange tråder i en stålkabel på Golden Gate Bridge
  • Med homogen redundans fungerer de samme komponentene parallelt. Med dette designet kan utviklingsinnsatsen reduseres ved å bruke identiske komponenter, men designet beskytter bare mot utilsiktede feil, f.eks. B. på grunn av aldring, slitasje eller bitfeil . Med homogen redundans er det større sannsynlighet for total feil på grunn av systematiske feil (f.eks. Designfeil), siden komponentene er de samme.
Ulik redundans med forskjellige typer individuelle generatorer i et nettverk
( virtuelt kraftverk )
  • Ved mangfoldig redundans fungerer forskjellige komponenter fra forskjellige produsenter, typer og / eller funksjonelle prinsipper sammen.
    • Når det gjelder elektroniske kretser, er det en god sjanse for at det i tillegg til tilfeldige feil også vil oppdages systematiske feil (f.eks. Designfeil) under drift. Siden utviklingen er tilsvarende mer kompleks (mulige årsaker: kompensering for forskjellige beregningstider, integrering av forskjellige kontrollere, flere tester), er innsatsen tilsvarende høyere.
    For eksempel vil ikke Pentium FDIV-bug med homogen redundans være gjenkjennelig. Hvis systemet har en veldig overflødig struktur, for eksempel fra en Intel og en AMD-prosessor, kan en velger gjenkjenne forskjellige beregningsresultater som feil. Typiske applikasjoner er luftfarts- og industriell sikkerhetskontroll.
    • Ved å koble to kontaktorer i serie med forskjellige strømbryterkapasiteter , kan jevn slitasje på begge kontaktorer og dermed en mulig samtidig svikt unngås
    • Ved å koble en seteventil med en trykkbryter og en skyveventil med en posisjonsforespørsel i serie, reduseres sannsynligheten for svikt i begge ventilene eller deres testutstyr på grunn av en vanlig feil i fluidteknologi.

Feil oppførsel av overflødige systemer

Hvis det oppstår en feil i overflødige systemer, har følgende vilkår blitt tildelt denne feiloppførselen:

  1. Feilsikker betyr at i tilfelle en feil er det mislykkede systemet ikke lenger tilgjengelig og antar en kontrollerbar starttilstand. Svikt i en komponent må føre til et håndterbart sluttresultat gjennom ytterligere tiltak i systemet. Et eksempel på dette vil være hydrauliske sylindere med større dimensjoner sammenlignet med automatisk manuell drift. På denne måten kan det garanteres at et feil automatisk system alltid blir "overstyrt" med et manuelt tiltak.
  2. Mislykket passiv betyr at systemet må være konstruert av to feil-sikre systemer og må ha feilregistrering og feilundertrykkelse. Begge systemene må kunne sammenligne de opprinnelige resultatene med hverandre. Hvis de kommer til forskjellige resultater, må det resulterende innledende resultatet være null. Systemet oppfører seg altså passivt.
  3. Mislykket drift betyr at systemet fortsetter å fungere i tilfelle en feil. Systemet antar ikke en feiltilstand, det forblir i drift. For å oppnå dette må systemet minst bestå av tre systemer som også har en feildiagnose må ha og feilundertrykkelse. Ved å sammenligne systemene med hverandre, kan du finne ut at det er en feil og også hvilket system som har feilen. Denne systemstrukturen kan da også beskrives som feiltolerant.

Industrielle applikasjoner

Det kreves også permitteringer i selskaper . De bekymrer seg i produksjonsteknologien for å redusere eller eliminere risikoen for forretningsforstyrrelser . Den risikospredning vet i forbindelse med å sikre produksjon følgende typer av redundans:

Operative funksjoner må undersøkes for å bestemme hvorvidt en mangel på overtallighet kan føre til driftsforstyrrelser i produksjonsprosessen. Hos Volkswagen viste for eksempel leveransestopp fra to billeverandører i august 2016 det svake punktet at overdreven avhengighet i anskaffelsen av bildeler - med just-in-time produksjon - kan føre til umiddelbare produksjonsstopp.

Se også

weblenker

Illustrasjonseksempel: Mange enkeltfibre i kjernemanteltauet øker sikkerheten.
Commons : Redundancy  - samling av bilder, videoer og lydfiler

Individuelle bevis

  1. a b M 1.52 Redundans, modularitet og skalerbarhet i teknisk infrastruktur , Federal Office for Information Security, åpnet 28. august 2018.
  2. n-1-kriterium , Federal Network Agency, åpnet 28. august 2018.
  3. Sertifiseringsspesifikasjoner for alle væroperasjoner i EASA (CS-AWO) ( Memento 13. oktober 2006 i Internet Archive )
  4. Reinhold Hölscher, Ralph Elfgen (red.): Den utfordringen med risikostyring. Identifisering, evaluering og kontroll av industrielle risikoer. Gabler, Wiesbaden 2002, s. 15