Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.11.1985 - 

Zwischen Wunschtraum, Realität und Pseudo-Sicherheit:

Auch Fehlertoleranz ist nicht allmächtig

Aus vielen Einsatzbereichen sind fehlertolerante Systeme nicht mehr wegzudenken. Vor allem im kommerziellen Sektor bleibt ihre Verwendung allerdings umstritten, denn oft wird dem Anwender nur eine vorgespiegelte Sicherheit vermittelt. Eine harte Meßlatte legt Claus Weichselbaumer an.

Fehlertolerante Systeme sind in diversen technischen Disziplinen (Prozeßsteuerung und -überwachung Fertigungssteuerung, Lagersteuerung) eine Realität. Aus Raumfahrt Kernkraftwerken und giftigen chemischen Produktionsprozessen, bei denen die Sicherheit des Menschen von der Funktionsfähigkeit von DV-Systemen abhängt, sind sie überhaupt nicht wegzudenken.

In der kommerziellen Datenverarbeitung wird die Notwendigkeit fehlertoleranter Systeme mit hohen Verfügbarkeitsanforderungen, insbesondere bei einer großen Anzahl abhängiger Dialoganwender in den Fachabteilungen, begründet. Beispiele sind auch Anwendungen mit Publikumsverkehr und Reise-Reservierungssysteme, bei denen man sich einen Rechnerausfall nicht leisten kann.

Bei den derzeit gängigen Konzepten fehlertoleranter Systeme orientiert man sich nahezu ausschließlich an der Hardware. Die technischen Anwendungsgebiete beweisen jedoch, daß Software und die besonders fehleranfällige Komponente Mensch jede nur erdenkbare technische Fehlertoleranz in Frage stellen können.

Bei dem Giftgas-Unglück von Union-Carbide in Indien hatten nach offiziellen Verlautbarungen fehlerhafte Programme und Daten zumindest Mitschuld an der Katastrophe. Bei der Eroberung des Mondes führte ein falsches Fortran-Programm zum Beinahe-Absturz der Fähre auf dem Mond. Unfälle und Beinahe-Katastrophen in Kernkraftwerken sind in der Regel auf menschliches Versagen zurückzuführen. Auch Sabotage von innen oder außen ist nie ganz auszuschließen.

Zudem muß akzeptiert werden, daß die Ausfall-Wahrscheinlichkeit eines Gesamtsystems mit der Anzahl paralleler Subsysteme steigt (siehe Artikelserie "Benutzer erwarten 99 Prozent Verfügbarkeit" von Prof. Werner Dierlewanger in COMPUTERWOCHE Ausgaben 17-20/1983). Wenn man all dies berücksichtigt, muß die Frage erlaubt sein, ob angeblich fehlertolerante DV-Systeme nicht ein Gefühl der Pseudo-Sicherheit vermitteln.

Selbst wenn es gelingen würde, alle Fehler im Rahmen der DV auszuschalten, ist es fraglich, ob sich ein Gesamtsystem fehlertolerant verhält. Erfolgt zum Beispiel vom Standort eines Rechners der Anschluß an die Datenübertragungseinrichtungen der Bundespost nur über einen Weg (einen Kabelstrang) der Bundespost und wird dieser bei Bauarbeiten von einem Bagger durchtrennt oder beschädigt, was soll denn dann ein noch so fehlertolerantes DV-System, das mit erheblichen Kosten realisiert wurde.

Betrachtet man die Verfügbarkeit der heutigen Hardware mit MTBF-Zeiten von 60 000 (6,8 Jahre) Stunden zum Beispiel bei Magnetplattengeräten und den kurzen Reparaturzeiten, stellt sich unter Wirtschaftlichkeitsaspekten die Frage, wie weit der Einsatz dieser Systeme noch sinnvoll ist.

Darüber hinaus sind mit den heutigen Möglichkeiten billiger Arbeitsplatz-Computer und verteilter Verarbeitung Konzepte zu realisieren, die bei Ausfall eines Zentralrechners den eventuell entstehenden Schaden minimieren können.

Unter Wirtschaftlichkeitsaspekten sind fehlertolerante Systeme nur gerechtfertigt, wenn bei einem Rechnerausfall erhebliche Kosten entstehen und die zu erwartenden Gesamtausfallkosten während der Einsatzphase höher sind als die notwendigen Investitionen für ein sowieso nur unzureichend fehlertolerantes System. Natürlich können auch Image- oder Wettbewerbs-Aspekte eine Rolle spielen.

Die Forderung nach fehlertoleranten Systemen im kommerziellen Bereich ist meiner Ansicht nach voller Widersprüchlichkeiten, solange es nicht gelingt, die totale Redundanz herzustellen, fehlerhafte Software zu verhindern, inkonsistente Daten zu vermeiden und falsche Hantierungsmaßnahmen des Menschen auszuschließen.

Claus Weichselbaumer ist Geschäftsführer der PAMCP-Systems Unternehmens- und EDV-Beratungsgesellschaft mbH, München.