Abstract:

Die Frage, wie sicherheitskritische Steuerungen fehlertolerant gestaltet werden können, kann als grundsätzlich beantwortet angesehen werden (Echtle, 1990). Teils seit Jahrzehnten existieren Verfahren zur Fehlererkennung, Wiederholung misslungener Rechenoperationen oder paralleler Programmausführung auf mehreren Rechnern. Auf ein Gesamtsystem, wie z. B. ein Automobil bezogen, wurde jedoch bislang meist jedes einzelne Teilsystem (Lenkanlage, Bremsen etc.) isoliert betrachtet, was im Ergebnis zu massiver, aus Fehlertoleranzsicht aber entbehrlicher, struktureller Redundanz führte. Aus dieser Überlegung heraus entstand das Konzept der "Entfernten Redundanz", welches es erlaubt, im Gesamtsystem vorhandene Ressourcen unabhängig vom Ort ihres Vorhandenseins nutzbar zu machen. Als Folge können Hardwarekomponenten durch auf einem fremden Teilsystem ausgeführte Software ersetzt werden, was im Hinblick auf die für das Gesamtsystem entstehenden Kosten ein wesentliches Einsparpotenzial darstellt. Aber auch in Bezug auf ein einzelnes Teilsystem ermöglicht es der Einsatz Entfernter Redundanz, aufwändige (und darüber hinaus fehleranfällige) Verkabelungsstrukturen in beträchtlichem Umfang zu reduzieren. Die durch Entfernte Redundanz entstehende Systemarchitektur ist dabei nahezu frei skalierbar und nicht etwa auf einen bestimmten Fehlertoleranzgrad eingeschränkt. Realisierbar sind dementsprechend neben den beiden in der Praxis häufigsten Anforderungen − Ausfallsicherheit und Einfehlertoleranz − beliebige n-von-m-Systeme.