www.wikidata.de-de.nina.az

Redundanz Technik Redundanz von lateinisch redundare überlaufen sich reichlich ergießen ist das zusätzliche Vorhandensei

Redundanz (Technik)

Redundanz (von lateinisch redundare, überlaufen, sich reichlich ergießen) ist das zusätzliche Vorhandensein funktional gleicher oder vergleichbarer Ressourcen eines technischen Systems, wenn diese bei einem störungsfreien Betrieb im Normalfall nicht benötigt werden. Ressourcen können z. B. redundante Informationen, Motoren, Baugruppen, komplette Geräte, Steuerleitungen und Leistungsreserven sein. In der Regel dienen diese zusätzlichen Ressourcen zur Erhöhung der Ausfall-, Funktions- und Betriebssicherheit.

Zwei Fallschirme bei Apollo 15 waren ausreichend beim Ausfall des dritten

Man unterscheidet verschiedene Arten der Redundanz: Funktionelle Redundanz zielt darauf ab, sicherheitstechnische Systeme mehrfach parallel auszulegen, damit beim Ausfall einer Komponente die anderen den Dienst gewährleisten. Zusätzlich versucht man, die redundanten Systeme voneinander räumlich zu trennen. Dadurch minimiert man das Risiko, dass sie einer gemeinsamen Störung unterliegen. Schließlich verwendet man manchmal Bauteile unterschiedlicher Hersteller, um zu vermeiden, dass ein systematischer Fehler sämtliche redundanten Systeme ausfallen lässt (diversitäre Redundanz). Die Software von redundanten Systemen sollte sich möglichst in den folgenden Aspekten unterscheiden: Spezifikation (verschiedene Teams), Spezifikationssprache, Programmierung (verschiedene Teams), Programmiersprache, Compiler.

Untergliederung der Redundanzauslegung Bearbeiten

Absperrung im Straßenverkehr mit mehreren Warnleuchten (heiße Redundanz), ergänzend verschiedene reflektierende Verkehrszeichen
  • Heiße Redundanz (engl. Hot-Spare) bedeutet, dass im Gesamtsystem mehrere Teilsysteme dieselbe Funktion parallel ausführen. Meist werden zwei parallel arbeitende Einheiten eingesetzt, von denen jede die Aufgabe bei Ausfall der anderen Einheit allein erfüllen kann. Es muss gewährleistet sein, dass die Wahrscheinlichkeit für den gleichzeitigen Ausfall von zwei Geräten gegen null strebt. Im einfachsten Fall konzentriert sich eine sonst verteilte Belastung bei Ausfall einer Einheit, auf die andere, weiterhin arbeitende Einheit, ohne dass hierzu ein gesonderter Schaltvorgang erforderlich wäre. In der industriellen Sicherheitstechnik wird durch eine Testeinrichtung der Ausfall einer einzelnen Komponente erkannt und eine geeignete Fehlerreaktion (z. B. Fehlermeldung oder Abschaltung der Maschine) veranlasst. Die Wahrscheinlichkeit eines gleichzeitigen Ausfalls beider Einheiten wird rechnerisch z. B. nach DIN EN ISO 13849 entsprechend dem von einem Fehler ausgehenden Risiko bewertet. In der Elektronik besteht eine Möglichkeit darin, dass ein Voter die Ergebnisse mindestens dreier paralleler Systeme auswertet und das Ergebnis der Mehrheit weiterreicht.
  • Kalte Redundanz bedeutet, dass im System mehrere Funktionen parallel vorhanden sind, aber nur eine arbeitet. Die aktive Funktion wird bewertet und im Fehlerfall durch einen Schalter auf die parallel vorhandene Funktion umgeschaltet. Es muss gegeben sein, dass für die Gesamtaufgabe die Umschaltzeit zulässig ist und das System mit vorhersagbaren Aufgaben arbeitet. Die Zuverlässigkeit des Schalters muss weitaus größer sein als die der Funktionselemente.
  • Standby-Redundanz (passive Redundanz): Zusätzliche Mittel sind eingeschaltet bzw. bereitgestellt, werden aber erst bei Ausfall oder Störung an der Ausführung der vorgesehenen Aufgabe beteiligt.
  • (n + 1)-Redundanz, auch Betriebsredundanz genannt, bedeutet, dass ein System aus n funktionierenden Einheiten, um eine aktive oder passive Einheit erweitert wird. Fällt eine Einheit aus, so sind die verbleibenden Einheiten in der Lage die komplette Last zu übernehmen. Bei einem weiteren Ausfall einer aktiven Einheit steht das System nicht mehr voll zur Verfügung und wird in der Regel als ausgefallen betrachtet. Für ausreichende Wartungsredundanz muss das System um mindestens eine weitere Einheit erhöht werden, für die Überkapazität entstehen jedoch höhere Kosten. Mit der (n − 1)-Sicherheit hingegen, auch als (n − 1)-Regel oder (n − 1)-Kriterium bezeichnet, wird in einem Netz die Netzsicherheit auch bei Ausfall einer Komponente gewährleistet, auch ohne die Betriebsmittel zu überlasten. Der Unterschied zwischen (n + 1) und (n − 1) besteht darin, dass bei (n + 1) die einzelnen Einheiten im Normalbetrieb voll ausgelastet sein können und die redundante Einheit unbelastet bleibt, bei (n − 1) gibt es keine redundante Einheit, sondern alle Einheiten werden im Normalbetrieb so gering belastet, dass sie, gegebenenfalls zusammen, ausreichende redundante Kapazitäten bereitstellen, um den Ausfall einer Einheit kompensieren zu können.

Beim Aufbau eines redundant arbeitenden Systems kann man über gleichartige Komponenten zwei Arten unterscheiden, wie sie beispielsweise im Zusammenhang mit der IEC 61508 verwendet wird:

Viele Litzen in einem Stahlseil der Golden Gate Bridge
  • Bei einer homogenen Redundanz arbeiten gleiche Komponenten parallel. Mit dieser Auslegung lässt sich der Entwicklungsaufwand durch identische Komponenten reduzieren, die Auslegung sichert aber nur gegen zufällige Ausfälle, z. B. aufgrund Alterung, Verschleiß oder Bitfehlern. Bei homogener Redundanz besteht eine höhere Wahrscheinlichkeit für einen Gesamtausfall aufgrund systematischer Fehler (z. B. Konstruktionsfehler), da die Komponenten gleich sind.
Diversitäre Redundanz mit verschiedenartigen Einzelerzeugern in einem Verbund
(Virtuelles Kraftwerk)
  • Bei der diversitären Redundanz arbeiten unterschiedliche Komponenten unterschiedlicher Hersteller, Typen und/oder Funktionsprinzipien zusammen.
    • Bei elektronischen Schaltungen besteht eine gute Aussicht, dass neben zufälligen Ausfällen auch systematische Fehler (z. B. Konstruktionsfehler) im Betrieb erkannt werden. Da die Entwicklung entsprechend aufwendiger ist (mögliche Gründe: unterschiedliche Berechnungszeiten kompensieren, verschiedene Controller einbinden, mehr Tests) ist der Aufwand entsprechend höher.
    • Durch Reihenschaltung von zwei Schützen mit unterschiedlichem Stromschaltvermögen kann ein gleichmäßiger Verschleiß beider Schütze und damit ein möglicherweise gleichzeitiger Ausfall vermieden werden
    • Durch Reihenschaltung eines Sitzventils mit Druckschalter und eines Schieberventils mit Stellungsabfrage wird in der Fluidtechnik die Wahrscheinlichkeit eines Ausfalls beider Ventile oder ihrer Testeinrichtung wegen eines gemeinsamen Fehlers reduziert.

Ausfallverhalten redundanter Systeme Bearbeiten

Tritt in redundanten Anlagen ein Fehler auf, so sind diesem Ausfallverhalten folgende Begriffe zugeordnet worden:

  1. Fail-Safe bedeutet, dass im Fehlerfall die ausgefallene Anlage nicht mehr zur Verfügung steht und einen beherrschbaren Ausgangszustand einnimmt. Der Ausfall einer Komponente muss durch zusätzliche Maßnahmen in der Anlage zu einem beherrschbaren Endergebnis führen. Ein Beispiel dafür wären gegenüber der Automatik im manuellen Betrieb größer dimensionierte Hydraulikzylinder. So kann gewährleistet werden, dass man mit einer manuellen Maßnahme eine fehlerhafte Automatik immer „überstimmt“.
  2. Fail Passive bedeutet, dass die Anlage aus zwei Fail-Safe-Systemen aufgebaut sein muss und über eine Fehlererkennung und Fehlerunterdrückung verfügen muss. Beide Systeme müssen ihre Ausgangsergebnisse miteinander vergleichen können. Kommen sie zu verschiedenen Ergebnissen, muss das resultierende Ausgangsergebnis null sein. Somit verhält sich die Anlage passiv.
  3. Fail Operational bedeutet, dass die Anlage im Fehlerfall weiterarbeitet. Die Anlage nimmt keinen Fehlerzustand ein, sie bleibt operativ. Um das zu erreichen, muss die Anlage mindestens aus drei Systemen bestehen, die ebenfalls über eine Fehlerdiagnose und Fehlerunterdrückung verfügen müssen. Durch den Vergleich der Systeme untereinander lässt sich herausfinden, dass ein Fehler vorliegt und auch welches System den Fehler hat. Diesen Anlagenaufbau kann man dann auch als fehlertolerant bezeichnen.

Industrielle Anwendungen Bearbeiten

Auch in Unternehmen sind Redundanzen erforderlich. Sie betreffen in der Produktionstechnik die Verminderung oder Beseitigung der Gefahr einer Betriebsunterbrechung. Die Risikodiversifizierung kennt im Rahmen der Produktionssicherung folgende Arten von Redundanzen:

Betriebliche Funktionen sind daraufhin zu untersuchen, ob fehlende Redundanzen zu Betriebsstörungen im Produktionsprozess führen können. So hat beispielsweise bei Volkswagen der Lieferstopp durch zwei Automobilzulieferer im August 2016 die Schwachstelle gezeigt, dass auch eine zu große Abhängigkeit in der Beschaffung von Fahrzeugteilen – bei Just-in-time-Produktion – zu sofortigen Produktionsausfällen führen kann.

Siehe auch Bearbeiten

  • die Rückfallebene mit nicht gleichwertigen aber stabilen Funktionen im Schadensfall oder bei Notsituationen,
  • beim Single Point of Failure trägt fehlende Redundanz an einem Punkt oder einzelnen Element zu einer Schwachstelle im System bei, auch bei missionskritischen Zeitpunkten kann nicht ausreichende Redundanz zu einem Totalausfall führen,
  • Parallelität etwa von Verkehrsmitteln und -wegen mit Parallelstrecken.
  • Fehlertolerantes Regelsystem

Weblinks Bearbeiten

Anschauliches Beispiel: Viele Einzelfasern beim Kernmantelseil erhöhen die Sicherheit.
Commons: Redundanz – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise Bearbeiten

  1. M 1.52 Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur, Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 28. August 2018.
  2. n-1-Kriterium, Bundesnetzagentur, abgerufen am 28. August 2018.
  3. (Memento vom 13. Oktober 2006 im Internet Archive)
  4. Reinhold Hölscher, Ralph Elfgen (Hrsg.): Herausforderung Risikomanagement. Identifikation, Bewertung und Steuerung industrieller Risiken. Gabler, Wiesbaden 2002, S. 15
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Redundanz von lateinisch redundare uberlaufen sich reichlich ergiessen ist das zusatzliche Vorhandensein funktional gleicher oder vergleichbarer Ressourcen eines technischen Systems wenn diese bei einem storungsfreien Betrieb im Normalfall nicht benotigt werden Ressourcen konnen z B redundante Informationen Motoren Baugruppen komplette Gerate Steuerleitungen und Leistungsreserven sein In der Regel dienen diese zusatzlichen Ressourcen zur Erhohung der Ausfall Funktions und Betriebssicherheit Zwei Fallschirme bei Apollo 15 waren ausreichend beim Ausfall des drittenMan unterscheidet verschiedene Arten der Redundanz Funktionelle Redundanz zielt darauf ab sicherheitstechnische Systeme mehrfach parallel auszulegen damit beim Ausfall einer Komponente die anderen den Dienst gewahrleisten Zusatzlich versucht man die redundanten Systeme voneinander raumlich zu trennen Dadurch minimiert man das Risiko dass sie einer gemeinsamen Storung unterliegen Schliesslich verwendet man manchmal Bauteile unterschiedlicher Hersteller um zu vermeiden dass ein systematischer Fehler samtliche redundanten Systeme ausfallen lasst diversitare Redundanz Die Software von redundanten Systemen sollte sich moglichst in den folgenden Aspekten unterscheiden Spezifikation verschiedene Teams Spezifikationssprache Programmierung verschiedene Teams Programmiersprache Compiler Inhaltsverzeichnis 1 Untergliederung der Redundanzauslegung 2 Ausfallverhalten redundanter Systeme 3 Industrielle Anwendungen 4 Siehe auch 5 Weblinks 6 EinzelnachweiseUntergliederung der Redundanzauslegung Bearbeiten nbsp Absperrung im Strassenverkehr mit mehreren Warnleuchten heisse Redundanz erganzend verschiedene reflektierende VerkehrszeichenHeisse Redundanz engl Hot Spare bedeutet dass im Gesamtsystem mehrere Teilsysteme dieselbe Funktion parallel ausfuhren Meist werden zwei parallel arbeitende Einheiten eingesetzt von denen jede die Aufgabe bei Ausfall der anderen Einheit allein erfullen kann Es muss gewahrleistet sein dass die Wahrscheinlichkeit fur den gleichzeitigen Ausfall von zwei Geraten gegen null strebt Im einfachsten Fall konzentriert sich eine sonst verteilte Belastung bei Ausfall einer Einheit auf die andere weiterhin arbeitende Einheit ohne dass hierzu ein gesonderter Schaltvorgang erforderlich ware In der industriellen Sicherheitstechnik wird durch eine Testeinrichtung der Ausfall einer einzelnen Komponente erkannt und eine geeignete Fehlerreaktion z B Fehlermeldung oder Abschaltung der Maschine veranlasst Die Wahrscheinlichkeit eines gleichzeitigen Ausfalls beider Einheiten wird rechnerisch z B nach DIN EN ISO 13849 entsprechend dem von einem Fehler ausgehenden Risiko bewertet In der Elektronik besteht eine Moglichkeit darin dass ein Voter die Ergebnisse mindestens dreier paralleler Systeme auswertet und das Ergebnis der Mehrheit weiterreicht Kalte Redundanz bedeutet dass im System mehrere Funktionen parallel vorhanden sind aber nur eine arbeitet Die aktive Funktion wird bewertet und im Fehlerfall durch einen Schalter auf die parallel vorhandene Funktion umgeschaltet Es muss gegeben sein dass fur die Gesamtaufgabe die Umschaltzeit zulassig ist und das System mit vorhersagbaren Aufgaben arbeitet Die Zuverlassigkeit des Schalters muss weitaus grosser sein als die der Funktionselemente Standby Redundanz passive Redundanz Zusatzliche Mittel sind eingeschaltet bzw bereitgestellt werden aber erst bei Ausfall oder Storung an der Ausfuhrung der vorgesehenen Aufgabe beteiligt n 1 Redundanz auch Betriebsredundanz genannt bedeutet dass ein System aus n funktionierenden Einheiten um eine aktive oder passive Einheit erweitert wird Fallt eine Einheit aus so sind die verbleibenden Einheiten in der Lage die komplette Last zu ubernehmen 1 Bei einem weiteren Ausfall einer aktiven Einheit steht das System nicht mehr voll zur Verfugung und wird in der Regel als ausgefallen betrachtet Fur ausreichende Wartungsredundanz muss das System um mindestens eine weitere Einheit erhoht werden fur die Uberkapazitat entstehen jedoch hohere Kosten 1 Mit der n 1 Sicherheit hingegen auch als n 1 Regel oder n 1 Kriterium bezeichnet wird in einem Netz die Netzsicherheit auch bei Ausfall einer Komponente gewahrleistet auch ohne die Betriebsmittel zu uberlasten 2 Der Unterschied zwischen n 1 und n 1 besteht darin dass bei n 1 die einzelnen Einheiten im Normalbetrieb voll ausgelastet sein konnen und die redundante Einheit unbelastet bleibt bei n 1 gibt es keine redundante Einheit sondern alle Einheiten werden im Normalbetrieb so gering belastet dass sie gegebenenfalls zusammen ausreichende redundante Kapazitaten bereitstellen um den Ausfall einer Einheit kompensieren zu konnen Beim Aufbau eines redundant arbeitenden Systems kann man uber gleichartige Komponenten zwei Arten unterscheiden wie sie beispielsweise im Zusammenhang mit der IEC 61508 verwendet wird nbsp Viele Litzen in einem Stahlseil der Golden Gate BridgeBei einer homogenen Redundanz arbeiten gleiche Komponenten parallel Mit dieser Auslegung lasst sich der Entwicklungsaufwand durch identische Komponenten reduzieren die Auslegung sichert aber nur gegen zufallige Ausfalle z B aufgrund Alterung Verschleiss oder Bitfehlern Bei homogener Redundanz besteht eine hohere Wahrscheinlichkeit fur einen Gesamtausfall aufgrund systematischer Fehler z B Konstruktionsfehler da die Komponenten gleich sind nbsp Diversitare Redundanz mit verschiedenartigen Einzelerzeugern in einem Verbund Virtuelles Kraftwerk Bei der diversitaren Redundanz arbeiten unterschiedliche Komponenten unterschiedlicher Hersteller Typen und oder Funktionsprinzipien zusammen Bei elektronischen Schaltungen besteht eine gute Aussicht dass neben zufalligen Ausfallen auch systematische Fehler z B Konstruktionsfehler im Betrieb erkannt werden Da die Entwicklung entsprechend aufwendiger ist mogliche Grunde unterschiedliche Berechnungszeiten kompensieren verschiedene Controller einbinden mehr Tests ist der Aufwand entsprechend hoher Zum Beispiel ware der Pentium FDIV Bug mit homogener Redundanz nicht erkennbar Wenn das System diversitar redundant aufgebaut wird beispielsweise aus einem Intel und einem AMD Prozessor konnte ein Voter unterschiedliche Berechnungsergebnisse als Fehler erkennen Typische Anwendungen sind Luft und Raumfahrt sowie industrielle Sicherheitssteuerungen Durch Reihenschaltung von zwei Schutzen mit unterschiedlichem Stromschaltvermogen kann ein gleichmassiger Verschleiss beider Schutze und damit ein moglicherweise gleichzeitiger Ausfall vermieden werden Durch Reihenschaltung eines Sitzventils mit Druckschalter und eines Schieberventils mit Stellungsabfrage wird in der Fluidtechnik die Wahrscheinlichkeit eines Ausfalls beider Ventile oder ihrer Testeinrichtung wegen eines gemeinsamen Fehlers reduziert Ausfallverhalten redundanter Systeme BearbeitenTritt in redundanten Anlagen ein Fehler auf so sind diesem Ausfallverhalten folgende Begriffe zugeordnet worden Fail Safe bedeutet dass im Fehlerfall die ausgefallene Anlage nicht mehr zur Verfugung steht und einen beherrschbaren Ausgangszustand einnimmt Der Ausfall einer Komponente muss durch zusatzliche Massnahmen in der Anlage zu einem beherrschbaren Endergebnis fuhren Ein Beispiel dafur waren gegenuber der Automatik im manuellen Betrieb grosser dimensionierte Hydraulikzylinder So kann gewahrleistet werden dass man mit einer manuellen Massnahme eine fehlerhafte Automatik immer uberstimmt Fail Passive bedeutet dass die Anlage aus zwei Fail Safe Systemen aufgebaut sein muss und uber eine Fehlererkennung und Fehlerunterdruckung verfugen muss Beide Systeme mussen ihre Ausgangsergebnisse miteinander vergleichen konnen Kommen sie zu verschiedenen Ergebnissen muss das resultierende Ausgangsergebnis null sein Somit verhalt sich die Anlage passiv Fail Operational bedeutet dass die Anlage im Fehlerfall weiterarbeitet Die Anlage nimmt keinen Fehlerzustand ein sie bleibt operativ Um das zu erreichen muss die Anlage mindestens aus drei Systemen bestehen die ebenfalls uber eine Fehlerdiagnose und Fehlerunterdruckung verfugen mussen Durch den Vergleich der Systeme untereinander lasst sich herausfinden dass ein Fehler vorliegt und auch welches System den Fehler hat Diesen Anlagenaufbau kann man dann auch als fehlertolerant bezeichnen 3 Industrielle Anwendungen BearbeitenAuch in Unternehmen sind Redundanzen erforderlich Sie betreffen in der Produktionstechnik die Verminderung oder Beseitigung der Gefahr einer Betriebsunterbrechung Die Risikodiversifizierung kennt im Rahmen der Produktionssicherung folgende Arten von Redundanzen regionale Streuung die Herstellung desselben Produkts in verschiedenen Betriebsstatten Parallelproduktion objektbezogene Diversifizierung Die Ausfallgefahr von technischen Anlagen wird durch sofort einsetzbare Ersatzanlagen gemindert oder beseitigt Hierunter fallt auch der Einsatz von Notstromaggregaten fur den Fall von Stromausfallen Personenbezogene Diversifizierung liegt etwa vor wenn mehrere Vorstandsmitglieder getrennt zum selben Reiseziel reisen 4 Betriebliche Funktionen sind daraufhin zu untersuchen ob fehlende Redundanzen zu Betriebsstorungen im Produktionsprozess fuhren konnen So hat beispielsweise bei Volkswagen der Lieferstopp durch zwei Automobilzulieferer im August 2016 die Schwachstelle gezeigt dass auch eine zu grosse Abhangigkeit in der Beschaffung von Fahrzeugteilen bei Just in time Produktion zu sofortigen Produktionsausfallen fuhren kann Siehe auch Bearbeitendie Ruckfallebene mit nicht gleichwertigen aber stabilen Funktionen im Schadensfall oder bei Notsituationen beim Single Point of Failure tragt fehlende Redundanz an einem Punkt oder einzelnen Element zu einer Schwachstelle im System bei auch bei missionskritischen Zeitpunkten kann nicht ausreichende Redundanz zu einem Totalausfall fuhren Parallelitat etwa von Verkehrsmitteln und wegen mit Parallelstrecken Fehlertolerantes RegelsystemWeblinks Bearbeiten nbsp Anschauliches Beispiel Viele Einzelfasern beim Kernmantelseil erhohen die Sicherheit nbsp Commons Redundanz Sammlung von Bildern Videos und AudiodateienEinzelnachweise Bearbeiten a b M 1 52 Redundanz Modularitat und Skalierbarkeit in der technischen Infrastruktur Bundesamt fur Sicherheit in der Informationstechnik abgerufen am 28 August 2018 n 1 Kriterium Bundesnetzagentur abgerufen am 28 August 2018 Certification specifications all weather operations der EASA CS AWO Memento vom 13 Oktober 2006 im Internet Archive Reinhold Holscher Ralph Elfgen Hrsg Herausforderung Risikomanagement Identifikation Bewertung und Steuerung industrieller Risiken Gabler Wiesbaden 2002 S 15 Abgerufen von https de wikipedia org w index php title Redundanz Technik amp oldid 235848392