www.wikidata.de-de.nina.az

Single Point of Failure Unter einem kurz SPOF bzw deutsch einzelner Ausfallpunkt versteht man einen Bestandteil eines te

Single Point of Failure

Unter einem Single Point of Failure (kurz SPOF bzw. deutsch einzelner Ausfallpunkt) versteht man einen Bestandteil eines technischen Systems, dessen Ausfall den Ausfall des gesamten Systems nach sich zieht.

Bei hochverfügbaren Systemen muss darauf geachtet werden, dass alle Komponenten eines Systems redundant ausgelegt sind. Auch sollte die Diversität eine Rolle spielen. Hierbei kommen Systeme unterschiedlichen Aufbaues (beispielsweise verschiedener Hersteller) für die gleiche Aufgabe zum Einsatz. Damit wird ein gleichzeitiger Ausfall mehrerer Systeme aus einem einzelnen Grund unwahrscheinlicher.

Prinzip Bearbeiten

Je nach Anforderungen dürfen redundante Geräte nicht am selben Ort betrieben werden, da ansonsten immer noch ein SPOF besteht:

  • Beim Unfall von Fukushima waren die Diesel-betriebenen Notstromaggregate zwar mehrfach vorhanden, was in vielen Schadenszenarien eine genügende Absicherung darstellt. Jedoch zerstörte der Tsunami einen großen Teil der Notstromaggregate. Seither wurden mobile Notstromgeräte und solche, die sich auf einer vor Überschwemmungen sicheren Anhöhe befinden, umgesetzt.
  • Dasselbe Problem stellt sich etwa bei der Datensicherung: Wenn Daten auf eine externe Festplatte gesichert werden und diese im eigenen Büro aufbewahrt wird, ist dies in den Szenarien “Laptop durch ausgeschütteten Kaffee zerstört” und “Dieb stiehlt den Laptop” sicherlich ausreichend, aber nicht mehr, wenn ein Brand das gesamte Büro zerstört. In einem solchen Fall müsste die Festplatte zum Beispiel in einem Bankschließfach gelagert werden, um die Redundanz zu gewährleisten.

Im IT-Bereich Bearbeiten

Als einfache Schritte zur Vermeidung von mehreren SPOF im IT-Betrieb kann man mehrere unterbrechungsfreie Stromversorgungen (USV) verwenden, Teile des Servers redundant auslegen (Netzteile und Netzwerkkarten) und die Menge der nutzenden Endgeräte ausreichend erhöhen.

Bei der Anbindung an mehrere Trafos des Energieversorgers, der Einbindung einer Kreuzverkabelung (mehrere Strompfade), eines oder mehrerer Generatoren als Netzersatzanlage, IT-Systemen mit mehreren Netzteilen oder der Verwendung mehrerer STS (Vorschaltgeräten), der redundanten Klimatechnik und multiplen Zugriffen auf die Endgeräte über das betriebseigene Netz (CorporateNetwork) erhält man eine weitgehend gegen Ausfälle abgesicherte Infrastruktur. Die nächste Steigerung der Verfügbarkeit wird durch die Verwendung intern hochredundanter (fehlertoleranter) Server oder Cluster-Systeme erreicht. Darüber hinaus können Ausweichrechenzentren für den Katastrophenfall eingesetzt werden.

In einer Firma soll das Computernetzwerk gegenüber Strom- und Server-Ausfälle gesichert werden. „SPOF“ bezeichnet jeweils ein einzelnes Element, dessen Ausfall das gesamte System beeinträchtigt.

Aviatik Bearbeiten

In der Luftfahrt ist die Vermeidung von single points of failure von herausragender Bedeutung. Wenn ein Ausfall die Sicherheit nicht beeinträchtigt, oder Sicherheitsanalysen bestätigen, dass der Ausfall ausreichend selten eintritt, ist ein single point of failure jedoch zulässig .

Die FAA teilt die Bordsysteme – aufgrund ihrer möglichen Fehlfunktionen – in folgende Kategorien ein:

  • Minor Failure (darf häufiger als 1 pro 100.000 Betriebsstunden auftreten, hat keinen Einfluss auf die Sicherheit)
  • Major Failure (muss seltener als einmal pro 100.000 h auftreten, alle Insassen überleben den Vorfall)
  • Hazardous Failure (muss seltener als einmal pro 10 Millionen Betriebsstunden auftreten, erfordert hohes fliegerisches Können, einige Insassen sterben beim Vorfall)
  • Catastrophic Failure (muss seltener als einmal pro Milliarde Betriebsstunden auftreten, Flugzeug ist auch beim besten Können der Piloten unrettbar verloren, die meisten Passagiere sterben beim Vorfall)

Bedeutet ein Systemausfall ein major failure, ist eine einzelne, nicht ausfallsichere Auslegung erlaubt. Hingegen soll der Ausfall eines einzelnen Systems nicht in einem catastrophic failure münden.

Messgeräte und Avionik Bearbeiten

Ein modernes Flugzeug verarbeitet pausenlos Dutzende von verschiedenen Messwerten: Flughöhe, Geschwindigkeit, Positionswerte des Trägheitsnavigationssystems, Triebwerksdaten, der Empfang der Signale des Instrumentenlandesystems und viele mehr.

Je nach Anforderung müssen diese Daten nicht nur ausfallsicher erhoben werden, sondern auch ausfallsicher verarbeitet werden. Bei modernen Flugzeugen sind somit drei voneinander unabhängige Flugkontrollrechner im Einsatz, welche die Rohdaten von drei voneinander unabhängigen Quellen (Pitotrohre, statische Sonden …) beziehen.

Unter der Annahme, dass die zweifache Fehlfunktion eines Systems extrem unwahrscheinlich ist, kann ein dreifach ausgelegtes System den richtigen Messwert erkennen und den falschen verwerfen. Sind nur noch zwei Systeme aktiv, kann das System die Piloten wenigstens noch auf einen fragwürdigen Messwert hinweisen – es kann aber nicht mehr entscheiden, welcher der beiden Werte nun korrekt ist.

Steuerung Bearbeiten

Die Steuerungssysteme eines Verkehrsflugzeuges wurden aus Gründen der Sicherheit doppelt oder gar dreifach ausgelegt und waren gleichzeitig spätestens für die moderneren Großraumflugzeuge Boeing 747, Lockheed Tristar oder Douglas DC-10 in rein mechanischer Form über Hebel, Gestänge oder Seilzüge nicht mehr praktikabel. An ihre Stelle traten hydraulische und später elektrische/elektronische Systeme, um die Steuerbefehle an die Klappen-Antriebe zu übertragen (sogenanntes Fly-by-Wire). Mittels elektrischer Signalübertragung war es nun viel einfacher, die notwendige Redundanz zu gewährleisten.

Im Falle hydraulischer Signalübertragung war es gegen alle Unwahrscheinlichkeit in Einzelfällen möglich, dass alle drei Systeme aufgrund örtlicher Nähe der redundanten Systeme von demselben Schadensvorfall beschädigt wurden und ausfielen. So zerstörten bei United-Airlines-Flug 232 zersplitternde Triebwerksteile einer DC-10 alle drei Hydrauliksysteme. Bei Japan-Air-Lines-Flug 123 wurden nach einer Druckentladung aus der Druckkabine alle vier Systeme einer Boeing 747 zerstört.

Eine weitergehende Verbesserung stellt das EBHA (electric back-up hydraulic actuator) an Bord der Airbus 380 und Gulfstream 650 dar. Normalerweise werden hydraulisch bewegte Aktuatoren elektrisch/elektronisch angesteuert; der Ausfall der hydraulischen Leitungen würde also einen solchen Aktuator trotzdem stilllegen. Ein EBHA hingegen verfügt über ein eigenes, autarkes hydraulisches System. EBHAs erlauben es, eines von drei hydraulischen Systemen und somit Gewicht einzusparen.

Einzelnachweise Bearbeiten

  1. Tadashi Narabayashi: Countermeasures derived from the lessons of the Fukushima Daiichi nuclear power plant accident. In: Proceedings of the 2013 21st International Conference on Nuclear Engineering. Abgerufen am 17. Juli 2019.
  2. AC 25.1309–1A „Systems Design and Analysis“, FAA, siehe AC 25.1309-1
  3. (Memento vom 18. April 2001 im Internet Archive)
  4. G650 flies with electric backup hydraulic actuators. In: Australian Aviation. Abgerufen am 25. April 2021 (australisches Englisch).
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Unter einem Single Point of Failure kurz SPOF bzw deutsch einzelner Ausfallpunkt versteht man einen Bestandteil eines technischen Systems dessen Ausfall den Ausfall des gesamten Systems nach sich zieht Bei hochverfugbaren Systemen muss darauf geachtet werden dass alle Komponenten eines Systems redundant ausgelegt sind Auch sollte die Diversitat eine Rolle spielen Hierbei kommen Systeme unterschiedlichen Aufbaues beispielsweise verschiedener Hersteller fur die gleiche Aufgabe zum Einsatz Damit wird ein gleichzeitiger Ausfall mehrerer Systeme aus einem einzelnen Grund unwahrscheinlicher Inhaltsverzeichnis 1 Prinzip 2 Im IT Bereich 3 Aviatik 3 1 Messgerate und Avionik 3 2 Steuerung 4 EinzelnachweisePrinzip BearbeitenJe nach Anforderungen durfen redundante Gerate nicht am selben Ort betrieben werden da ansonsten immer noch ein SPOF besteht Beim Unfall von Fukushima waren die Diesel betriebenen Notstromaggregate zwar mehrfach vorhanden was in vielen Schadenszenarien eine genugende Absicherung darstellt Jedoch zerstorte der Tsunami einen grossen Teil der Notstromaggregate Seither wurden mobile Notstromgerate und solche die sich auf einer vor Uberschwemmungen sicheren Anhohe befinden umgesetzt 1 Dasselbe Problem stellt sich etwa bei der Datensicherung Wenn Daten auf eine externe Festplatte gesichert werden und diese im eigenen Buro aufbewahrt wird ist dies in den Szenarien Laptop durch ausgeschutteten Kaffee zerstort und Dieb stiehlt den Laptop sicherlich ausreichend aber nicht mehr wenn ein Brand das gesamte Buro zerstort In einem solchen Fall musste die Festplatte zum Beispiel in einem Bankschliessfach gelagert werden um die Redundanz zu gewahrleisten Im IT Bereich BearbeitenAls einfache Schritte zur Vermeidung von mehreren SPOF im IT Betrieb kann man mehrere unterbrechungsfreie Stromversorgungen USV verwenden Teile des Servers redundant auslegen Netzteile und Netzwerkkarten und die Menge der nutzenden Endgerate ausreichend erhohen Bei der Anbindung an mehrere Trafos des Energieversorgers der Einbindung einer Kreuzverkabelung mehrere Strompfade eines oder mehrerer Generatoren als Netzersatzanlage IT Systemen mit mehreren Netzteilen oder der Verwendung mehrerer STS Vorschaltgeraten der redundanten Klimatechnik und multiplen Zugriffen auf die Endgerate uber das betriebseigene Netz CorporateNetwork erhalt man eine weitgehend gegen Ausfalle abgesicherte Infrastruktur Die nachste Steigerung der Verfugbarkeit wird durch die Verwendung intern hochredundanter fehlertoleranter Server oder Cluster Systeme erreicht Daruber hinaus konnen Ausweichrechenzentren fur den Katastrophenfall eingesetzt werden BeispielIn einer Firma soll das Computernetzwerk gegenuber Strom und Server Ausfalle gesichert werden SPOF bezeichnet jeweils ein einzelnes Element dessen Ausfall das gesamte System beeintrachtigt nbsp Mogliche Storungspunkte in einem unabgesicherten Betrieb Nebst anderen Schwachstellen Bei einem Stromausfall springt zwar die unterbrechungsfreie Stromversorgung UPS ein jedoch ist aber die Verbindung zwischen UPS und Computer nicht vor Ausfallen geschutzt Ebenso ist kein zweiter Computer PC vorhanden sollte dieser Storungen aufweisen nbsp Erste Reduktion der Storungspunkte fur einen IT Betrieb Einige SPOFs wurden eliminiert Jedoch konnen Daten nur uber einen Server ausgetauscht werden Ebenso kann bei Stromausfall nur so lange gearbeitet werden wie die beiden UPS Blocke Strom liefern nbsp Redundante und kreuzverkabelte Stromversorgung im Rechenzentrum Der Betrieb ist gegen Ausfalle des einen Stromnetzes des Servers und der elektrischen elektronischen Verbindungen sehr gut abgesichert Aviatik BearbeitenIn der Luftfahrt ist die Vermeidung von single points of failure von herausragender Bedeutung Wenn ein Ausfall die Sicherheit nicht beeintrachtigt oder Sicherheitsanalysen bestatigen dass der Ausfall ausreichend selten eintritt ist ein single point of failure jedoch zulassig Die FAA teilt die Bordsysteme aufgrund ihrer moglichen Fehlfunktionen in folgende Kategorien ein Minor Failure darf haufiger als 1 pro 100 000 Betriebsstunden auftreten hat keinen Einfluss auf die Sicherheit Major Failure muss seltener als einmal pro 100 000 h auftreten alle Insassen uberleben den Vorfall Hazardous Failure muss seltener als einmal pro 10 Millionen Betriebsstunden auftreten erfordert hohes fliegerisches Konnen einige Insassen sterben beim Vorfall Catastrophic Failure muss seltener als einmal pro Milliarde Betriebsstunden auftreten Flugzeug ist auch beim besten Konnen der Piloten unrettbar verloren die meisten Passagiere sterben beim Vorfall Bedeutet ein Systemausfall ein major failure ist eine einzelne nicht ausfallsichere Auslegung erlaubt Hingegen soll der Ausfall eines einzelnen Systems nicht in einem catastrophic failure munden 2 Messgerate und Avionik Bearbeiten Ein modernes Flugzeug verarbeitet pausenlos Dutzende von verschiedenen Messwerten Flughohe Geschwindigkeit Positionswerte des Tragheitsnavigationssystems Triebwerksdaten der Empfang der Signale des Instrumentenlandesystems und viele mehr Je nach Anforderung mussen diese Daten nicht nur ausfallsicher erhoben werden sondern auch ausfallsicher verarbeitet werden Bei modernen Flugzeugen sind somit drei voneinander unabhangige Flugkontrollrechner im Einsatz welche die Rohdaten von drei voneinander unabhangigen Quellen Pitotrohre statische Sonden beziehen Unter der Annahme dass die zweifache Fehlfunktion eines Systems extrem unwahrscheinlich ist kann ein dreifach ausgelegtes System den richtigen Messwert erkennen und den falschen verwerfen Sind nur noch zwei Systeme aktiv kann das System die Piloten wenigstens noch auf einen fragwurdigen Messwert hinweisen es kann aber nicht mehr entscheiden welcher der beiden Werte nun korrekt ist Steuerung Bearbeiten Die Steuerungssysteme eines Verkehrsflugzeuges wurden aus Grunden der Sicherheit doppelt oder gar dreifach ausgelegt und waren gleichzeitig spatestens fur die moderneren Grossraumflugzeuge Boeing 747 Lockheed Tristar oder Douglas DC 10 in rein mechanischer Form uber Hebel Gestange oder Seilzuge nicht mehr praktikabel 3 An ihre Stelle traten hydraulische und spater elektrische elektronische Systeme um die Steuerbefehle an die Klappen Antriebe zu ubertragen sogenanntes Fly by Wire Mittels elektrischer Signalubertragung war es nun viel einfacher die notwendige Redundanz zu gewahrleisten Im Falle hydraulischer Signalubertragung war es gegen alle Unwahrscheinlichkeit in Einzelfallen moglich dass alle drei Systeme aufgrund ortlicher Nahe der redundanten Systeme von demselben Schadensvorfall beschadigt wurden und ausfielen So zerstorten bei United Airlines Flug 232 zersplitternde Triebwerksteile einer DC 10 alle drei Hydrauliksysteme Bei Japan Air Lines Flug 123 wurden nach einer Druckentladung aus der Druckkabine alle vier Systeme einer Boeing 747 zerstort Eine weitergehende Verbesserung stellt das EBHA electric back up hydraulic actuator an Bord der Airbus 380 und Gulfstream 650 4 dar Normalerweise werden hydraulisch bewegte Aktuatoren elektrisch elektronisch angesteuert der Ausfall der hydraulischen Leitungen wurde also einen solchen Aktuator trotzdem stilllegen Ein EBHA hingegen verfugt uber ein eigenes autarkes hydraulisches System EBHAs erlauben es eines von drei hydraulischen Systemen und somit Gewicht einzusparen Einzelnachweise Bearbeiten Tadashi Narabayashi Countermeasures derived from the lessons of the Fukushima Daiichi nuclear power plant accident In Proceedings of the 2013 21st International Conference on Nuclear Engineering Abgerufen am 17 Juli 2019 AC 25 1309 1A Systems Design and Analysis FAA siehe AC 25 1309 1 Eyewitness Report United Flight 232 Memento vom 18 April 2001 im Internet Archive G650 flies with electric backup hydraulic actuators In Australian Aviation Abgerufen am 25 April 2021 australisches Englisch Abgerufen von https de wikipedia org w index php title Single Point of Failure amp oldid 235985172