# [[Parallelverkehr|Parallelität]] etwa von Verkehrsmitteln und -wegen mit Parallelstrecken.
# [[Parallelverkehr|Parallelität]] etwa von Verkehrsmitteln und -wegen mit Parallelstrecken.
# [[Fehlertolerantes Regelsystem]]
# [[Fehlertolerantes Regelsystem]]
= TMP =
== Redundanzauslegung ==
; Untergliederung
[[Datei:Road barrier in Marburg for pumping tubes, water in a cellar caused by rising river Lahn after January snowmelt and rain in Germany 2018-01-04.jpg|mini|[[Absperrung (Straßenverkehr)|Absperrung im Straßenverkehr]] mit mehreren [[Warnleuchte]]n (heiße Redundanz), ergänzend verschiedene reflektierende Verkehrszeichen]]
* '''Heiße Redundanz''' (engl. [[Hot-Spare]]) bedeutet, dass im Gesamtsystem mehrere Teilsysteme dieselbe Funktion parallel ausführen. Meist werden zwei parallel arbeitende Einheiten eingesetzt, von denen jede die Aufgabe bei Ausfall der anderen Einheit allein erfüllen kann. Es muss gewährleistet sein, dass die Wahrscheinlichkeit für den gleichzeitigen Ausfall von zwei Geräten gegen null strebt. Im einfachsten Fall konzentriert sich eine sonst verteilte Belastung bei Ausfall einer Einheit, auf die andere, weiterhin arbeitende Einheit, ohne dass hierzu ein gesonderter Schaltvorgang erforderlich wäre. In der industriellen Sicherheitstechnik wird durch eine Testeinrichtung der Ausfall einer einzelnen Komponente erkannt und eine geeignete Fehlerreaktion (z. B. Fehlermeldung oder Abschaltung der Maschine) veranlasst. Die Wahrscheinlichkeit eines gleichzeitigen Ausfalls beider Einheiten wird rechnerisch z. B. nach [[EN ISO 13849|DIN EN ISO 13849]] entsprechend dem von einem Fehler ausgehenden Risiko bewertet. In der Elektronik besteht eine Möglichkeit darin, dass ein Voter die Ergebnisse mindestens dreier paralleler Systeme auswertet und das Ergebnis der Mehrheit weiterreicht.
* '''Kalte Redundanz''' bedeutet, dass im System mehrere Funktionen parallel vorhanden sind, aber nur eine arbeitet. Die aktive Funktion wird bewertet und im Fehlerfall durch einen Schalter auf die parallel vorhandene Funktion umgeschaltet. Es muss gegeben sein, dass für die Gesamtaufgabe die Umschaltzeit zulässig ist und das System mit vorhersagbaren Aufgaben arbeitet. Die Zuverlässigkeit des Schalters muss weitaus größer sein als die der Funktionselemente.
* '''Standby-Redundanz''' (passive Redundanz): Zusätzliche Mittel sind eingeschaltet bzw. bereitgestellt, werden aber erst bei Ausfall oder Störung an der Ausführung der vorgesehenen Aufgabe beteiligt.
* '''(''n'' + 1)-Redundanz''', auch Betriebsredundanz genannt, bedeutet, dass ein System aus ''n'' funktionierenden Einheiten, um eine aktive oder passive Einheit erweitert wird. Fällt eine Einheit aus, so sind die verbleibenden Einheiten in der Lage die komplette Last zu übernehmen.<ref name="bsi">[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/RZ-Sicherheit/redundanz-modularitaet-skalierbarkeit.html ''M 1.52 Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur''], Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 28. August 2018.</ref> Bei einem weiteren Ausfall einer aktiven Einheit steht das System nicht mehr voll zur Verfügung und wird in der Regel als ausgefallen betrachtet. Für ausreichende Wartungsredundanz muss das System um mindestens eine weitere Einheit erhöht werden, für die [[Überkapazität]] entstehen jedoch höhere Kosten.<ref name="bsi" /> Mit der (''n'' − 1)-Sicherheit hingegen, auch als [[(n – 1)-Regel|(''n'' − 1)-Regel]] oder (''n'' − 1)-Kriterium bezeichnet, wird in einem Netz die Netzsicherheit auch bei Ausfall einer Komponente gewährleistet, auch ohne die Betriebsmittel zu überlasten.<ref>[https://www.netzausbau.de/cln_112/service/glossar/Functions/glossar.html;jsessionid=6EE8516672163DC8B85FC7708D6F53F5?cms_lv2=495836&cms_lv3=239008 ''n-1-Kriterium''], Bundesnetzagentur, abgerufen am 28. August 2018.</ref> Der Unterschied zwischen (''n'' + 1) und (''n'' − 1) besteht darin, dass bei (''n'' + 1) die einzelnen Einheiten im [[Normalbetrieb]] voll ausgelastet sein können und die redundante Einheit unbelastet bleibt, bei (''n'' − 1) gibt es keine redundante Einheit, sondern alle Einheiten werden im Normalbetrieb so gering belastet, dass sie, gegebenenfalls zusammen, ausreichende redundante Kapazitäten bereitstellen, um den Ausfall einer Einheit kompensieren zu können.
Beim Aufbau eines redundant arbeitenden Systems kann man über gleichartige Komponenten zwei Arten unterscheiden, wie sie beispielsweise im Zusammenhang mit der [[IEC 61508]] verwendet wird:
[[Datei:Closeup of wires inside cable on Golden Gate Bridge, San Francisco (2006).jpg|mini|Viele Litzen in einem Stahlseil der Golden Gate Bridge]]
* Bei einer '''homogenen Redundanz''' arbeiten gleiche Komponenten parallel. Mit dieser Auslegung lässt sich der Entwicklungsaufwand durch identische Komponenten reduzieren, die Auslegung sichert aber nur gegen zufällige Ausfälle, z. B. aufgrund Alterung, Verschleiß oder [[Bitfehler]]n. Bei homogener Redundanz besteht eine höhere Wahrscheinlichkeit für einen Gesamtausfall aufgrund [[systematischer Fehler]] (z. B. [[Konstruktionsfehler]]), da die Komponenten gleich sind.
[[Datei:Virt kraftwerk.jpg|mini|Diversitäre Redundanz mit verschiedenartigen Einzelerzeugern in einem Verbund<br />([[Virtuelles Kraftwerk]])]]
* Bei der '''diversitären Redundanz''' arbeiten unterschiedliche Komponenten unterschiedlicher Hersteller, Typen und/oder Funktionsprinzipien zusammen.
** Bei elektronischen Schaltungen besteht eine gute Aussicht, dass neben zufälligen Ausfällen auch systematische Fehler (z. B. Konstruktionsfehler) im Betrieb erkannt werden. Da die Entwicklung entsprechend aufwendiger ist (mögliche Gründe: unterschiedliche Berechnungszeiten kompensieren, verschiedene Controller einbinden, mehr Tests) ist der Aufwand entsprechend höher.
*: Zum Beispiel wäre der [[Pentium-FDIV-Bug]] mit homogener Redundanz nicht erkennbar. Wenn das System diversitär redundant aufgebaut wird, beispielsweise aus einem Intel- und einem AMD-Prozessor, könnte ein {{lang|en|''Voter''}} unterschiedliche Berechnungsergebnisse als Fehler erkennen. Typische Anwendungen sind Luft- und Raumfahrt sowie industrielle Sicherheitssteuerungen.
** Durch [[Reihenschaltung]] von zwei [[Schütz (Schalter)|Schützen]] mit unterschiedlichem [[Ausschaltstrom|Stromschaltvermögen]] kann ein gleichmäßiger Verschleiß beider Schütze und damit ein möglicherweise gleichzeitiger Ausfall vermieden werden
** Durch Reihenschaltung eines Sitzventils mit Druckschalter und eines Schieberventils mit Stellungsabfrage wird in der Fluidtechnik die Wahrscheinlichkeit eines Ausfalls beider Ventile oder ihrer Testeinrichtung wegen eines gemeinsamen Fehlers reduziert.
== Ausfallverhalten redundanter Systeme ==
Tritt in redundanten Anlagen ein Fehler auf, so sind diesem Ausfallverhalten folgende Begriffe zugeordnet worden:
# '''[[Fail-Safe]]''' bedeutet, dass im Fehlerfall die ausgefallene Anlage nicht mehr zur Verfügung steht und einen beherrschbaren Ausgangszustand einnimmt. Der Ausfall einer Komponente muss durch zusätzliche Maßnahmen in der Anlage zu einem beherrschbaren Endergebnis führen. Ein Beispiel dafür wären gegenüber der Automatik im manuellen Betrieb größer dimensionierte Hydraulikzylinder. So kann gewährleistet werden, dass man mit einer manuellen Maßnahme eine fehlerhafte Automatik immer „überstimmt“.
# '''Fail Passive''' bedeutet, dass die Anlage aus zwei Fail-Safe-Systemen aufgebaut sein muss und über eine Fehlererkennung und Fehlerunterdrückung verfügen muss. Beide Systeme müssen ihre Ausgangsergebnisse miteinander vergleichen können. Kommen sie zu verschiedenen Ergebnissen, muss das resultierende Ausgangsergebnis null sein. Somit verhält sich die Anlage passiv.
# '''Fail Operational''' bedeutet, dass die Anlage im Fehlerfall weiterarbeitet. Die Anlage nimmt keinen Fehlerzustand ein, sie bleibt operativ. Um das zu erreichen, muss die Anlage mindestens aus drei Systemen bestehen, die ebenfalls über eine [[Fehlerdiagnose]] und Fehlerunterdrückung verfügen müssen. Durch den Vergleich der Systeme untereinander lässt sich herausfinden, dass ein Fehler vorliegt und auch welches System den Fehler hat. Diesen Anlagenaufbau kann man dann auch als fehlertolerant bezeichnen.<ref>{{Webarchiv|url=http://www.easa.eu.int/home/certspecs_en.html |wayback=20061013155518 |text=Certification specifications all weather operations der EASA (CS-AWO) }}</ref>
== Industrielle Anwendungen ==
Auch in [[Unternehmen]] sind Redundanzen erforderlich. Sie betreffen in der [[Produktionstechnik]] die Verminderung oder Beseitigung der Gefahr einer [[Betriebsunterbrechungsversicherung|Betriebsunterbrechung]]. Die [[Risikodiversifizierung]] kennt im Rahmen der [[Produktionssicherung]] folgende Arten von Redundanzen:
* ''regionale Streuung'': die [[Herstellung]] desselben [[Produkt (Wirtschaft)|Produkts]] in verschiedenen [[Betriebsstätte]]n (''[[Parallelproduktion]]'');
* ''objektbezogene Diversifizierung'': Die [[Versagen|Ausfallgefahr]] von [[Technische Anlage|technischen Anlagen]] wird durch sofort einsetzbare Ersatzanlagen gemindert oder beseitigt. Hierunter fällt auch der Einsatz von [[Notstromaggregat]]en für den Fall von [[Stromausfall|Stromausfällen]].
* ''Personenbezogene Diversifizierung'' liegt etwa vor, wenn mehrere [[Vorstandsmitglied]]er getrennt zum selben Reiseziel reisen.<ref>Reinhold Hölscher, Ralph Elfgen (Hrsg.): ''Herausforderung Risikomanagement. Identifikation, Bewertung und Steuerung industrieller Risiken.'' Gabler, Wiesbaden 2002, S. 15</ref>
[[Betriebliche Funktion]]en sind daraufhin zu untersuchen, ob fehlende Redundanzen zu [[Betriebsstörung]]en im [[Produktionsprozess]] führen können. So hat beispielsweise bei [[Volkswagen]] der Lieferstopp durch zwei [[Automobilzulieferer]] im August 2016 die [[Schwachstelle (Organisation)|Schwachstelle]] gezeigt, dass auch eine zu große [[Dependenz|Abhängigkeit]] in der [[Beschaffung]] von Fahrzeugteilen – bei [[Just-in-time-Produktion]] – zu sofortigen Produktionsausfällen führen kann.
Zwei Fallschirme bei Apollo 15 waren ausreichend beim Ausfall des dritten
Redundanz (von Vorlage:LaS, überlaufen, sich reichlich ergießen) ist das zusätzliche Vorhandensein funktional gleicher oder vergleichbarer Ressourcen eines technischen Systems, wenn diese bei einem störungsfreien Betrieb im Normalfall nicht benötigt werden. Ressourcen können z. B. redundante Informationen, Motoren, Baugruppen, komplette Geräte, Steuerleitungen und Leistungsreserven sein. In der Regel dienen diese zusätzlichen Ressourcen zur Erhöhung der Ausfall-, Funktions- und Betriebssicherheit.
Anschauliches Beispiel: Viele Einzelfasern beim Kernmantelseil erhöhen die Sicherheit.
Man unterscheidet verschiedene Arten der Redundanz: Funktionelle Redundanz zielt darauf ab, sicherheitstechnische Systeme mehrfach parallel auszulegen, damit beim Ausfall einer Komponente die anderen den Dienst gewährleisten. Zusätzlich versucht man, die redundanten Systeme voneinander räumlich zu trennen. Dadurch minimiert man das Risiko, dass sie einer gemeinsamen Störung unterliegen. Schließlich verwendet man manchmal Bauteile unterschiedlicher Hersteller, um zu vermeiden, dass ein systematischer Fehler sämtliche redundanten Systeme ausfallen lässt (diversitäre Redundanz). Die Software von redundanten Systemen sollte sich möglichst in den folgenden Aspekten unterscheiden: Spezifikation (verschiedene Teams), Spezifikationssprache, Programmierung (verschiedene Teams), Programmiersprache, Compiler.
die Rückfallebene mit nicht gleichwertigen aber stabilen Funktionen im Schadensfall oder bei Notsituationen,
beim Single Point of Failure trägt fehlende Redundanz an einem Punkt oder einzelnen Element zu einer Schwachstelle im System bei, auch bei missionskritischen Zeitpunkten kann nicht ausreichende Redundanz zu einem Totalausfall führen,
Parallelität etwa von Verkehrsmitteln und -wegen mit Parallelstrecken.
