Bundesamt für Sicherheit in der Informationstechnik

M 1.52 Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Planer

Das bewährteste Mittel zur Sicherstellung der Verfügbarkeit technischer Einrichtungen ist die Redundanz. Redundanz bedeutet, von etwas mehr zu haben, als für die eigentliche Aufgabenstellung erforderlich ist (aus dem Lateinischen: "redundare", im Überfluss vorhanden sein"). Im Bereich der IT bedeutet Redundanz damit auch das Vorhandensein funktional gleicher oder vergleichbarer Ressourcen eines technischen Systems. Damit wird sofort das Hauptproblem von Redundanz sichtbar: Um Redundanz zu haben, müssen Überkapazitäten geschaffen werden.

Die Modularität beschreibt, ob eine erforderliche technische Leistung durch eine große oder mehrere kleinere Einheiten zur Verfügung gestellt wird. Durch geschickte Nutzung der Modularität kann die erforderliche Überkapazität bei der Redundanz deutlich reduziert werden.

Keine noch so weitsichtige Planung kann so gut sein, dass es nicht nach einiger Zeit erforderlich ist, vorhandene technische Systeme einem geändertem, meist gestiegenem Leistungsbedarf anzupassen. Je einfacher ein System durch simples Hinzufügen zusätzlich Einheiten erweiterbar ist, desto besser ist es skalierbar. Auch bei der Skalierbarkeit kann sich die Modularität günstig auswirken.

Die einfachste Redundanz ist die (N+1)-Redundanz. Bei ihr wird der erforderlichen Zahl von Einheiten (N, typisch ist N=1) eine weitere hinzugestellt. Fällt dabei die ursprünglich erforderliche Einheit aus, übernimmt die zusätzliche deren Funktion. Diese Redundanz bietet ausreichenden Schutz gegen eine Betriebsstörung der technischen Einrichtung selbst. Die (N+1)-Redundanz wird daher auch "Betriebsredundanz" genannt.

Befindet sich jedoch eine der beiden Einheiten in Wartung und ist damit nicht betriebsbereit, ist keine Redundanz mehr vorhanden. Zudem ist schon für diese einfache Betriebsredundanz bei diesem Modell eine Überkapazität von 100 % erforderlich.

Soll die Redundanz auch während einer Wartung gewährleistet sein, ist eine (N+2)-Redundanz aufzubauen. Dabei werden dem Wirksystem (N=1) zwei zusätzliche Systeme zur Seite gestellt.

Zwar ist nun selbst bei wartungsbedingtem Ausfall eines der drei Systeme immer noch eine Redundanz gegeben. Dafür ist aber eine Überkapazität von 200 % erforderlich. Solche Lösungen stoßen daher rasch an räumliche und finanzielle Grenzen.

Hier schafft die Modularität sehr gut Abhilfe. Wird z. B. statt des Wertes 1 der Wert 2 für N gewählt, stellt sich der Aufbau einer (N+2)-Redundanz schon deutlich günstiger dar.

Bei gleicher Redundanzwirkung (Betriebs- und Wartungsredundanz) reduziert sich die Überkapazität von 200 % auf 100 %. Wird die Modularität z. B. auf (N=4) erweitert, sieht das Bild noch günstiger aus:

Zur Deckung der Grundlast stehen 4 Einheiten für jeweils 25 % der erforderlichen Leistung zur Verfügung. Weitere zwei 25 %-Einheiten bilden die Betriebs- und Wartungsredundanz. Die Überkapazität beträgt nur mehr 50 %.

Je höher der Wert für N getrieben wird, desto geringer wird die Überkapazität. Dass dieser Weg nicht endlos beschritten werden kann, ist klar. Zwar sinken durch die Modularität die Kosten für die Überkapazität. Gleichzeitig steigen aber die Kosten für die Unterbringung der Einheiten. Es ist erforderlich, alle Einheiten (im letzten Beispiel sind das schon 6) so unterzubringen und zu versorgen, dass durch ein externes Ereignis keinesfalls alle Einheiten zugleich betroffen sind.

Die Modularität enthält zugleich automatisch den Vorteil der Skalierbarkeit. Sobald der Leistungsbedarf steigt, kann den 4 Einheiten zu 25 % eine weitere kleine hinzugefügt werden. Bei der (N=1) Variante wäre eine Verdopplung des Erstsystems erforderlich, um das Redundanz-Prinzip aufrecht zu erhalten.

Die Modularität hat als weiteren Vorteil, dass die Restkapazität beim Ausfall von mehr als 2 Einheiten größer ist.

Bei einer (N+2)-Redundanz ist gewährleistet, dass beim Ausfall von zwei Einheiten die Restkapazität mit 100 % ausreicht, um den Betrieb normal fortzuführen. Fällt bei (N+2) mit (N=1) tatsächlich eine dritte Einheit aus, ist die Restkapazität gleich Null. Wird N hingegen mit 4 festgelegt und fallen von den nun bei (N+2)-Redundanz vorhandenen 6 Einheiten tatsächlich 3 aus, steht immerhin noch eine Restkapazität von 75 % zur Verfügung. Bei entsprechendem Lastmanagement kann damit noch ein recht störungsfreier Betrieb aufrecht erhalten werden.

Da häufig die vorhandenen Ressourcen begrenzt sind, ist es nicht immer möglich, zur Erlangung einer Betriebs- und Wartungsredundanz tatsächlich 2 zusätzliche Einheiten zu installieren. Da Wartungsfälle in der Regel mit ausreichendem Vorlauf planbar sind, kann die zweite Einheit im Bedarfsfall auch als mobile Einheit temporär angeschlossen werden.

Eine solche mobile Einheit kann in der Institution selber vorrätig gehalten oder über einen externen Dienstleister angemietet werden. Hierzu sind entsprechende SLAs mit dem Dienstleister zu vereinbaren und es müssen die erforderlichen Anschlusspunkte vorbereitet sein.

Beispiele:

  • Beim Einsatz von Klimaanlagen sollte ausreichend Redundanz vorgehalten werden. Werden von einer Komponente 6 Stück benötigt, so sollten 7 beschafft werden. Damit können Lastspitzen, z. B. in heißen Sommern abgefangen werden und auch bei Ausfall eines Gerätes oder bei Wartungsarbeiten bleibt die Verfügbarkeit der Klimatisierung insgesamt erhalten.
  • Auch für Kommunikationsverbindungen sollte geprüft werden, in welchen Bereichen Redundanzen vorgehalten werden müssen (siehe auch M 6.18 Redundante Leitungsführung ). Dies gilt um so mehr, wenn sich zentrale Netzknoten oder zentrale aktive Komponenten in unkontrollierten Bereichen befinden.
  • In einem Rechenzentrum ist die Stromversorgung redundant auszulegen. Empfehlungen hierzu finden sich in M 1.56 Netzersatzanlage . Falls sich die sekundäre Stromversorgung nicht in einem angrenzenden Brandabschnitt befindet, sollte über eine redundante Verkabelung der Stromversorgung nachgedacht werden.

Prüffragen:

  • Ist durch Lastermittlung sichergestellt, dass auch bei ungünstigen Bedingungen der IT -Betrieb nach Wegfall redundanter Systeme unbeeinträchtigt bleibt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK