Hohe Verfügbarkeit Begriffe, Definitionen, Beispiele

Transkript

1 Hohe Verfügbarkeit Begriffe, Definitionen, Beispiele Beziehungen zu Ausfallsicherheit, Zuverlässigkeit, Redundanz und Fehlertoleranz EDV&Recht e.v. Köln (W.Uhlenberg) Realität in der Prozess-Automation als Beispiel Präsentation unter (Arktikel) zu beziehen. 100% Verfügbarkeit gibt es nicht! Risiken die außerhalb der Vorstellungskraft liegen. Lebenszyklusende Übergang (Vorschau). Verfügbarkeit/Ausfallsicherheit wird für ein statisches Umgebungsmodell und Einsatzgebiet geplant z.b. Erdbeben, Meteoriteneinschlag, Flutwelle, Sabotage, Krieg kann die Planungsgrundlagen ungewünscht infrage stellen. Unwahrscheinliches findet trotzdem (selten) statt. Handhabungs- und Definitionsregeln auch für das Unvorstellbare festschreiben. Fazit: Ausfallstrategie ist für quasi 100%-Systeme ebenfalls erforderlich. Umfeld und Einordnung (Prioritäten) Einführung Was gewährleistet hohe/höchste Verfügbarkeit eines technischen Systems? (high availability) Zuverlässigkeit (Reliability) Ausfallsicherheit (Durability) Sicherheit (Safety) Fehlertoleranz (Fault Tolerance) Integrität (Integrity) Redundanz ohne Leistungsunterbrechung (Redundancy and seamlessly fail-over) Unabhängigkeit (independence) Akzeptanz (operational acceptance), Training menschliche Faktoren Hierarchie der Begriffe in der Theorie Der Oberbegriff Zuverlässigkeit subsummiert Korrektheit (Vorbedingung für Zuverlässigkeit) Verfügbarkeit Funktionsfähigkeit Ausfallsicherheit / Dauerhaftigkeit /Lebensdauer Fehlertoleranz / Desastertoleranz

2 Integrität / Konsistenz Sicherheit für Leib und Leben Sicherheit vor unberechtigtem Zugriff Sicherheit bei Fehlfunktionen oder Ausfall Zuverlässigkeit als [ Klammer ] Zuverlässigkeit ist nur in Bezug auf die zu leistende Funktion (Aufgabe) definiert [R(t)]. Messen oder rechnen? Prüfen oder modellieren? Observieren oder provozieren? Qualitative Fehlerbaumanalyse für Komponenten (Atome) mit boolescher Charakteristik. Wahrscheinlichkeit des Ausfalls durch quantitativer Fehlerbaumanalyse. Korrektheit als Vorbedingung für Zuverlässigkeit Was ist Korrekt? Das was vorliegt, ist das was in der Systemauslegung vorgesehen wurde. Das was geprüft wurde, entspricht dem Vorhandenen. Mathematischer Nachweis des Funktionsmodells. Funktionsergebnisse sind definiert und überprüfbar. Ausschluss bzw. funktionale Isolation der integritätsgefährdenden Einflüsse. Einsatzfeldbezogene, gültige Standards wurden beachtet und umgesetzt. Geltende (gesetzliche) Vorschriften, Normen werden eingehalten Das System wird der Aufgabe gerecht. Verbesserung der Verfügbarkeit Replikation Annahme: Jedes gleich aufgebaute Teilsystem (z.b. Serverhardware) fällt mit gleicher Wahrscheinlichkeit unabhängig voneinander aus. Durch Replikation wird die gesamte Ausfallwahrscheinlichkeit wie folgt verringert: z.b. 2 Rechner mit jeweils 5 % Ausfallwahrscheinlichkeit (72 Minuten pro Tag!) stellen zusammen einen Service mit einer Verfügbarkeit von 99,75 % (3,6 Minuten pro Tag [o. < 1 Tag pro Jahr]) zur Verfügung. Aber die Betrachtung von nur der Hardware-Verfügbarkeit reicht in der Regel nicht.

3 Erhöhung der Ausfallsicherheit Redundanzen (siehe auch Verfügbarkeit) Wenn jedes Teilsystem einen angeforderten Dienst parallel durchführt, kann die Ausfallsicherheit eines Systems erhöht werden. Erhöhung der Ausfallsicherheit geht über die Erhöhung der Verfügbarkeit hinaus, weil in der Regel eine Prüfung stattfindet, ob das Ergebnis eines Prozesses, einer Dienstleistung korrekt ist. Jedes System, das sicherheitsrelevante Funktionen ausführt (wie Kernkraftwerke, Flugzeuge, bemannte Raumfahrt etc.), verfügt über solche redundanten Sicherheitsmodule. Ein bewährtes Modell heißt Triple Module Redundancy, wobei jede Berechnung von drei unabhängigen Modulen durchgeführt wird und dann ein Mehrheitsvotum abgegeben wird zur Bestätigung des Resultats. Ebenso kann dieses Votum auf die Gültigkeit von gespeicherten Daten erweitert werden (Quorum-Verfahren). Mehr qualifiziertes Personal - besseres Training Erhöhung der Ausfallsicherheit Weitere Faktoren zur Robustheit und Dauerhaftigkeit (Lebensdauer). Statistische Betrachtung der MTBF Zahlen der Einzelkomponenten in kombinierten Lösungen. worst-case Toleranzbetrachtungen in der Summe Fehlerbaumanalyse (error budgets) zur Zuverlässig-keitsbestimmung wie kann das beste (ausfallsicherste) System aus mehreren Entwürfen ausgewählt werden? Wie kann die Wahrscheinlichkeit eines Ausfalls für ein System bestimmt werden? Deutsches Modell zur Ausfallsicherheit Die Sprache macht es möglich Funktionsfähigkeit Initialer mathematischer/methodischer Nachweis Prototyping, Simulation Probebetrieb, Lastprüfungen (Sabotageverhalten, Panikreaktionen isolieren) Kontinuierliche Überwachung, Diagnose Revisionsmanagement, Rückführbarkeit Fehlertoleranz mit Fehlermanagement

4 Fehlertoleranz Wie geht man mit Fehlern/ Fehlfunktionen um? Sind Mechanismen zur automatischen Erkennung in allen Komponenten enthalten? Ist das Recovery robust genug? System mit Fehlermanagement? Sicherheitsausrichtungen Was sicher ist, muss nicht zuverlässig sein! Aber umgekehrt wird es zur Bedingung Sicher in der Ausführung (im Betrieb) Sicher im Einsatzumfeld Sicher im Ergebnis Sicher in der Handhabung Sicher im Fehlerfall Sicher beim Zugriff und Datenaustausch Sicher bei der Abschaltung (im Übergang) Gefahren in heutigen Systemen Komplexität von Systemen und Anwendungen nehmen zu Konventionelle konstruktive oder analytische Entwicklungsmethoden lassen im Gesamten den Zuverlässigkeitsnachweis kaum noch mit vertrauenswürdigen Resultaten führen. Lebens-/Innovationszyklen der Komponenten eines Systems werden zunehmend kürzer Erfahrungen aus Langzeiteinsatz werden Mangelware Qualifizierte, kompetente und erfahrende Know-how-Träger fehlen Prüfaufwand wird im Verhältnis zur Nutzung unwirtschaftlich. Validation/Verifikation wird unvollständig bzw. isoliert für Teilsysteme vollzogen (Lieferantenproblem). Der menschliche Faktor gerät zunehmend in den Hintergrund. Outsourcing führt zu Zuständigkeits- und Verantwortungskonflikten

5 Was ist Hohe Verfügbarkeit? Verfügbarkeit muss so hoch sein, wie es die einsatz-spezifische Anforderung bezogen auf Dienste formuliert! Richtwerte sind vom Einsatzumfeld abhängig. Ein Ausfall darf höchstens so lange dauern, dass eine für das Einsatzfeld typische Totzeit nicht zu kritischen, unbeherrschbaren Systemzuständen und Nebeneffekten führt. Beachte: maximal 5 Minuten Ausfall im Jahr entsprechen einer Verfügbarkeitsanforderung von 99,999% (5 Nines). Gut verfügbare Systeme (z.b. Speicherlösungen) werben mit 5-nines (insgesamt weniger als 317 Sekunden pro Jahr nicht verfügbar). Klassen mit Anwendungen sind im Anhang (Referenztabellen) wiedergegeben. Was machen? Möglichst alle Risiken feststellen und einschätzen Sicherheitsrelevante und wirtschaftliche Bewertung des Gefahrenpotentials innerhalb der Designphase. Technischen Ausfall bewerten und Ersatzmaßnahmen planen (Simulationen). Redundanzen einbauen, gemäß Ziel der Bewertung. Ausfallüberbrückung technisch automatisieren. Wartungen/Austausch im laufenden Betrieb ermöglichen. Datenintegrität sichern (technisch und organisatorisch). Menschen trainieren, einen Ausfall zu bewältigen. Katastrophen-Schutzplan. Risikoanalyse

6 IT-Grundschutzhandbuch Was meint das BSI zu Risiken insbesondere im Blick auf den Server-Raum Höhere Gewalt Feuer, Wasser Unzulässige Temperatur und Luftfeuchte Organisatorische Mängel Fehlende oder unzureichende Regelungen Unbefugter Zutritt zu schutzbedürftigen Räumen Technisches Versagen Ausfall der Stromversorgung und Ausfall interner Versorgungsnetze Spannungsschwankungen/überspannung/Unterspannung Vorsätzliche Handlungen (hohes Gewicht!) Manipulation/Zerstörung von IT-Geräten oder Zubehör Manipulation an Daten oder Software Einbruch, Diebstahl, Vandalismus System Design Grundlagen der vorherigen Bewertung müssen in die Architekturauslegung münden. Vermeiden des single point of failure Problems. Verwendung robuster und redundant ausgelegter Komponenten (Resilience + Redundancy). MTBF in Bauteilen. Online Diagnose und Fehlermanagement. Klare Anforderungs-Spezifikation mit Nennung bekannter Unschärfen. Was später daraufgesetzt oder ergänzt wird kann nur unterstützend auf unabhängigen Systemen wirken; nie aber das Design ersetzen. Validation, Audits, System-Lebenszyklen mit berücksichtigen. Handhabung durch Betriebspersonal idiotensicher auslegen. Zielanwendungen Einsatzgebiete Lebens- und gesundheitsrelevante Systeme Kritische (meist kontinuierliche) technische Prozesse mit irreparablen Schäden oder Gefahr für Leib und Leben oder Umwelt bei Ausfall. Sicherheitsrelevante Systeme. Systeme die hohe finanzielle Schäden verursachen können, sollten sie ausfallen oder Fehlfunktionen ausführen. Unterstützungs-, Versorgungssysteme für alle oben genannten Wesentlich Energie-Versorgung (Strom, Öl, Gas, Wasser, Dampf usw.) Bautechnik, Statik, Klima-Isolation, Zutrittskontrolle Kommunikationssysteme

7 Allg. Anwendungen (Beispiele) Hochofen (kontrolliertes Abfahren bis zu 72 Stunden) Fermentations-Reaktor in Pharmazie (Biologische Bombe) Reaktions-Kolonnen in der Säureproduktion (Chemische Bombe) Kontinuierliche Polymerisation (Großanlagen Zerstörung) Intensivstation (lebenserhaltene externe Systeme) Bremsreglung, Navigation im Weltraum, Ballistische Zielnachführung, Verkehrsreglung (lebensbedrohlich) Devisen- und Aktienhandel (hoher finanzieller Schaden) Beispiel der Praxis Eine Polyester-Faser Produktion mit kontinuierlicher Polymerisation als Versorgung von 8 Linen mit je 4 Maschinen à 24 Wickelpositionen. (Schmelze-Durchsatz > 3500 kg/h bei ca. 280 C wenn alle Positionen Garn wickeln) Reaktor-Kaskaden können bezogen auf die Abgabemenge um maximal 5% pro Stunde geregelt werden. Gesamtes Runterfahren mit Leerlaufen des Verteilersystems dauert ca. 48 Stunden (Materialeigenschaften z.b. Viskosität). Welche Verfügbarkeit muss ein Reglungssystem aufweisen, welches den Reaktionsprozess kontrolliert, ihn an und abfahren kann? Zusätzlich sollen spontane Teilkomponenten-Ausfälle im zulässigen Rahmen von 0,5-55% der Gesamtkapazität automatisch nachgeführt werden und darüber hinaus automatisch, kontrolliert abgefahren werden. Regeleingangsgröße ist die Summe aller Messungen der Abnahmedrücke (Spinpumpen vor den Düsenpaketen). Wenn automatisch auf Teilausfälle reagiert werden soll, muss die Qualität der Messwerte bzw. deren statistische Summe in die Güte der Regelgröße mit eingehen (oder das Messsystem inklusive Sensorik garantiert 100% verfügbar sein [was es nicht gibt!]). Defekt: Eine Verteilerleitung war gerissen und hatte nach ca. 5 Stunden die Isolierummantelung an 4 Positionen voll durchtränkt und die Spinpumpen einschließlich Temperatur und Drucksensorik vergossen.

8 Warum wurde erst nach ca. einer Schicht (8h) der Ausfall in der Reaktorreglung bemerkt? (beachte menschlichen Faktor!) Technisches Problem: Die Messwerte waren über einen Zeitraum von 4 Stunden qualitativ als gut gemeldet worden und begannen danach über ca. 2 Stunden schrittweise zu versagen. Wer trägt die Kosten des Schaden bzw. der Reparatur? Wer zahlt den Produktionsausfall? (~US$ ) Versicherung sah die Verfügbarkeit und Sicherheit des Regelungssystems als nicht gewährleistet an. Regress-Forderungen gegen die Lieferanten des Regelsystems Argument: 4 von 768 Wickelpositionen sind mehr als 0,5 %, also musste nach maximal 1 Stunde der Fehler erkannt, gemeldet und automatisch in der Erzeugung der Polymer-Schmelze nachgeführt worden sein. - Diese Erkenntnis wurde aus der Spezifikation des Regelungssystems abgeleitet Gegenargument: Der Fehlerzeitpunkt konnte vom Reglungssystem nicht erkannt werden, da das Messsystem fast 6 Stunden Werte in tolerierbaren Grenzen weiter lieferte. Standpunkt: Die Verfügbarkeit des Reglungssystems war immer zu 100% gegeben. Muss die Versicherung den Industrieschaden tragen? Hat das Ganze irgendetwas mit Verfügbarkeit zu tun? Hat der Hersteller/Programmierer des Reglungssystems bezogen auf diesen Fall erkennbar Sicherheitsregeln verletzt? Fazit Verfügbarkeit, Zuverlässigkeit, Sicherheit und viele begriffliche Untervarianten werden gern vermischt und falsch verstanden. Bewusst miteinander vermengt das Marketing und die Werbung dies, um es als Prädikat ihrer Produkte verwenden zu können. Das Beispiel zeigt den Missbrauch der technischen Spezifikation im Sinne rechtlicher Argumentation. Mit der räumlichen sowie geistigen Distanz zum Problem nimmt der Enthusiasmus zur Fehleinschätzung zu.

9 Fragen:

10 Vorstellung Vorbeugen und Schlichten ist besser als Richten Spannungsfeld entsteht aus den stark unterschiedlichen zeitlichen Abläufen bei IT-Projekten und rechtlichen Verfahren. Bewusstsein der Auftraggeber für langfristige Kooperationen schärfen (größerer Nutzen). Konfliktmanagement kompetent und frühzeitig einplanen (Verträge, Ausschreibungen, Terminverfolgung). Rückkehr der Sachlichkeit fördern. Problemorientiert vorgehen. Unabhängiger Beistand kann auch dem AN nützlich sein (z.b. Fertigstellungsbescheinigungen, Abnahmen). Hohe Erfolgsaussichten bei industriellen Projekten. Kostenquotelung nach Schiedsgutachtenvorlagen (IfS) Phasenmodell zur sachverständigen Mitwirkung Wie geht es weiter? Die IHK wird uns Foren öffnen, um das Thema zu vertiefen: Fachveröffentlichungen in der Monatszeitschrift ( Niedersächsische Unternehmer ) -Bestell-Abruf der Mitglieder Feedback soll zur Seminar-Vorbereitung dienen Planung, um IT-Berufausbildungsziele mit diesen Themen zu ergänzen und es aktiv zu vermitteln. Offene Seminare für z.b. Administratoren, Betreiber, Ausschreiber zur Vertragsgestaltung (50 : 50 rechtlich : fachlich begleitet) Links in den Internet-Präsenzen (IHK und SV s)