Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

22.04.1977 - 

Verfügbarkeit und Effizienz von Mehrrechnersystemen

Kompromiß zwischen Zuverlässigkeits-Anspruch und vertretbarem Aufwand

Ein wesentlicher Grund, der dazu beigetragen hat, für Prozeßsteuerung und -regelung nach neuen Automatisierungskonzepten zu suchen, ist die Notwendigkeit, die Zuverlässigkeit von Automatisierungssystemen zu erhöhen und die relativ komplexen industriellen Prozesse zu automatisieren.

Das zur Lösung dieser Aufgabe bestgeeignete Automatisierungskonzept besteht im Einsatz von Mehrrechnersystemen.

Dabei handelt es sieh entweder um mehrere Rechenanlagen, die am selben Automatisierungsproblem simultan arbeiten, also aus Zuverlässigkeitsgründen dasselbe Problem mehrfach lösen (deshalb mehrfache Rechnersysteme genannt), oder um Rechnersysteme mit verteilten Automatisierungsaufgaben, die wiederum entweder hierarchisch oder nichthierarchisch aufgebaut werden können. In beiden Fällen handelt es sich um hochzuverlässige Automatisierungssysteme, bei denen in der Regel beim Ausfall eines beliebigen Rechners des Systems seine Automatisierungsaufgaben durch einen anderen ebenfalls dem System zugehörigen Rechner übernommen werden können. Darüber hinaus sind Systeme dieser Art imstande, mehrfache Fehler- und Ausfallüberwachungen durchzuführen, so daß ihre hohe Zuverlässigkeit nicht nur aus der erhöhten Hardwareredundanz resultiert, sondern ebenso ein Ergebnis der angewandten hochzuverlässigen Software ist.

Selbstverständlich sind Mehrrechnersysteme nicht das einzige Mittel zur Realisierung von hochzuverlässigen Automatisierungssystemen. Aus der Flug- und Raumfahrttechnik ist bekannt, daß Zuverlässigkeitsaufgaben auch mit Hilfe einzelner Prozeßrechner lösbar sind, falls diese Rechner entsprechend konzipiert werden. Gemeint sind hier die sogenannten ausfalltoleranten (fault tolerant) oder ausfallsicheren Rechenanlagen.

Zu unterstreichen wäre, daß der praktischen Realisierung von Mehrrechner-Automatisierungssystemen Insbesondere die rasche Entwicklung von relativ preiswerten und hochzuverlässigen Halbleiter-Bauelementen beigetragen hat. Der Integrationsgrad dieser Bauelemente erstreckt sieh bekanntlich bis hin zu Mikroprozessoren, die als einzelne Bausteine hergestellt werden. Dadurch ist der Aufbau eines Prozeßrechners mit mehreren Prozessoren und E/A- und Speicherwerken oder der Aufbau eines Mehrrechnersystems auch in einer "niedrigeren" Preisklasse möglich geworden.

Statistisch unabhängig

Der erste Schritt, die Zuverlässigkeit von Automatisierungssystemen zu verbessern, bestünde in der Erhöhung der Zuverlässigkeit des Rechners selbst. Dieser kann durch redundante und selbstüberwachende Bauweise als ein ausfallsicheres System ausgeführt werden; als ein Rechensystem, bei dem - trotz eventueller interner Ausfälle - die anstehenden Programme verarbeitet sowie Ein- und Ausgaben von Daten korrekt durchgeführt werden. Dabei bezieht sich die Redundanz sowohl auf die Hard- als auch auf die Software.

Die Hardware-Redundanz kann entweder statisch (parallel) oder dynamisch (als Auswahllogik) ausgeführt werden; die Software-Redundanz bewirken diagnostisches selbstüberwachende und selbstkorrigierende Programme. Die Zuverlässigkeitsanalyse von ausfallsicheren Rechenanlagen mit statischer Redundanz wird mit Hilfe der klassischen Zuverlässigkeitstheorie durchgeführt, indem die einzelnen Computerbausteine als voneinander statistisch unabhängige Subsysteme aufgefaßt werden. Im Falle der dynamischen Redundanz wird die Zuverlässigkeitsanalyse komplexer, da hier das zugrunde liegende mathematische Modell die Diversität sämtlicher Ausfallsmöglichkeiten einschließen muß. Als wichtigster statistischer Parameter ist in beiden Fällen die Ausfallwahrscheinlichkeit beziehungsweise die Überlebenswahrscheinlichkeit in einem vorgegebenen Zeitabschnitt von Bedeutung.

Realisierung von ausfallsicheren Systemen mit der Redundanz auf höherer Ebene hat in den 70er Jahren zu den Mehrfachrechnersystemen geführt. Bekannt sind insbesondere Doppelrechner-, Dreifachrechner- und "2 aus 3"-Rechnersysteme (die Einschränkung auf bis zu drei Rechner war eine Folge des relativ hohen Preises des Prozeßrechners selbst). Die" Mehrrechner" wurden entweder als "Mitläufer" oder als stille Reserve eingesetzt.

Bei der Ableitung von Zuverlässigkeitsmodellen dieser Systeme wird vorausgesetzt, daß beim Ausfall des aktiven Prozeßrechners die Reserverechner des Systems intakt sind, was eine idealisierte Annahme darstellt. Die einzelnen Rechner werden grundsätzlich als reparierbare Systeme aufgefaßt, so daß sich die Ableitung von mathematischen Zuverlässigkeitsmodellen auf die Theorie der Markovschen Prozesse stützen kann. Mit Hilfe dieser Theorie werden die entsprechenden Differentialgleichungen abgeleitet, die sich für die Simulation sowohl auf einem Analog als auch auf einem Digitalrechner eignen. Aus diesen Gleichungen lassen sich dann die Zuverlässigkeit, Verfügbarkeit und die MTBF des Systems ableiten.

Eine ähnliche Betrachtungsweise wird bei der Zuverlässigkeitsanalyse von Mehrrechnersystemen angewendet. Bei Diesen Systemen wird die gesamte Automatisierungsaufgabe auf einzelne Prozeßrechner, die dem System angehören, verteilt. Deswegen muß das zugrunde liegende Zuverlässigkeitsmodell einerseits die Systemkonfiguration abbilden und andererseits den Stellenwert einzelner Rechner in bezug auf die zu lösende Aufgabe berücksichtigen, so daß bei der Zuverlässigkeitsanalyse von Systemen dieser Art zusätzlich die Ermittlung der Effizienz des Systems von Interesse ist (unter dieser wird eigentlich der Wirkungsgrad des Systems beim Ausfall oder Teilausfall seiner einzelnen Rechner verstanden).

Von geringerer Bedeutung sind in diesem Zusammenhang die Mehrrechnersysteme, die als Computernetze ausgeführt werden. Dies deswegen weil Computernetze vorwiegend in Datenkommunikations-Systemen und weniger in Prozeßautomatisierungs-Systemen vorkommen.

Die Tatsache, daß die Aufgaben der integrierten Automatisierung komplexer industrieller Prozesse hierarchisch gelagert sind, rechtfertigt den Einsatz von hierarchischen Mehrrechnersystemen zur Lösung dieser Aufgaben. Bekanntlich müssen die Computer auf der niedrigsten hierarchischen Ebene die Aufgaben der Meß-, Regelungs- und Steuerungstechnik lösen, diejenigen auf der nächsthöheren Ebene die Aufgaben der optimalen Prozeßführung und so weiter, bis hin zu den Computern auf der höchsten Prioritätsebene, die die Aufgaben der optimalen Produktionsplanung und -überwachung lösen müssen. Auch die Art der Problemstellung ist auf jeder hierarchischen Ebene verschieden: Die Probleme auf der niedrigsten hierarchischen Ebene sind zwar strukturell relativ einfach, sie verlangen jedoch eine relativ kurze Reaktionszeit des Systems. Die Probleme der optimalen Prozeßführung sind selbstverständlich nicht so "dringend" wie diejenigen auf der vorherigen Ebene, wegen der durchzuführenden umfangreichen Berechnungen jedoch speicherplatzaufwendig und rechenzeitintensiv. Die Aufgaben der Prozeßplanung und -überwachung sind wiederum mit dem Aufbau und der Manipulation von riesigen Dateien verbunden etc.

Hierarchische Rechnersysteme werden in der Regel auf dem "Master and slave"-Prinzip aufgebaut. Jeder Computer in der höheren Ebene bekommt als "Master" mehrere "Slaves" in der nächstniedrigen Ebene zugewiesen. Im Grunde genommen handelt es sich hier um eine "Tannenbaumstruktur", die jedoch zur Erhöhung der Zuverlässigkeit des gesamten Systems insoweit "verzerrt" wird, daß die benachbarten Rechner einer und derselben Ebene sowohl miteinander als auch mit den Computern der übernächsten Ebene verbunden werden. Darüber hinaus wird das Betriebssystem der gesamten Konfiguration dezentralisiert. Nur ein rudimentärer Koordinierungsteil wird einem der Computer zugewiesen.

Sind die Untersysteme reparierbar?

Die Zuverlässigkeitsanalyse hierarchischer Mehrrechnersysteme geht von der Voraussetzung aus, daß die Systemstruktur redundant wird, die einzelnen Rechner im System statistisch unabhängig und reparierbar sind und daß als Systemstörung nicht unbedingt der totale Ausfall eines einzelnen Rechners, sondern lediglich seine beschränkte Funktionsfähigkeit auftreten kann. Deshalb ist bei diesen Systemen neben der MTBF und der Ausfallwahrscheinlichkeit auch die Effizienz des Systems von Interesse.

Die optimale Auslegung von Mehrrechnersystemen in bezug auf ihre Zuverlässigkeit ist als ein Kompromiß anzusehen zwischen den hohen Zuverlässigkeits-Ansprüchen, die an das System gestellt werden, und dem finanziellen Aufwand, der gerade noch gerechtfertigt werden kann. Dabei dient als Zuverlässigkeitsmaß entweder die Verfügbarkeit oder der MTBF-Faktor des Systems. Die Fragestellung hängt eng mit der Reparierbarkeit der Untersysteme sowie mit der Ersatzteilpolitik zusammen und gehört zu den Problemen der sogenannten Erneuerungstheorie.

*Professor Dr.-Ing. D. Popovic ist Dozent an der Universität Bremen, Fachsektion Elektronik/Kybernetik