Im Zusammenhang mit Großrechnern ist häufig von Fehlertoleranz die Rede: Mehrfachprozessoren oder doppelte Datenhaltung versprechen Robustheit bei Hardwarestörungen oder gegen gewisse Anwenderfehler. Aber auch lokale Netze können einen Beitrag zur Fehlertoleranz leisten. Außerdem können LANs gegen Fehler "in sich selbst" tolerant sein.

Eigentlich kann man die Toleranz eines DV-Systems nicht absolut, sondern nur relativ zu einem genau beschriebenen Fehler und zu einer (zu vermeidenden) Folge dieses Fehlers feststellen. So ist ein System tolerant bezüglich des Fehlers X und der Auswirkung Y zu nennen, wenn es beim Auftreten von X in der Lage ist, Y ohne Bedienereingriff zu verhindern.

Vielleicht sollte man von "schwacher Toleranz" dann sprechen, wenn beim Auftreten des Fehlers Y der Bediener vom System eine Möglichkeit angeboten bekommt, die Konsequenz Y zu vermeiden.

Folgende Fehler müssen einkalkuliert werden: Stromausfall, CPU-Fehler, Speicherfehler, Plattenfehler, Fehler im Anwendungsprogramm oder im Betriebssystem, Datenübertragungs- und Bedienerfehler (Eingabefehler).

Unter die möglichen Konsequenzen fallen unter anderem die DV-Übel Transaktionsabbruch, Inkonsistenz der Datenbasis und Datenverlust. Zudem können falsche Ergebnisse erzielt werden, sind Nichtverfügbarkeit des Systems, unmittelbarer Geldschaden, Datenschutzverlust und ein verzögerter Zugriff nicht auszuschließen.

Es ist nicht anzunehmen, daß man durch den Einsatz lokaler Netze als Backup den Grad von Robustheit erreicht, den man normalerweise erwartet, wenn von Fehlertoleranz die Rede ist. Wenn in der lokalen Workstation eine Kopie von Daten aus dem Großrechner vorhanden ist und vielleicht sogar Programme vorliegen, kann zwar der Ausfall des Mainframes sehr viel besser überbrückt werden, für das ordentliche (konsistente) Wiederhochkommen des Hosts muß dieser aber in der Regel schon selbst sorgen.

Der Vorteil des lokalen Netzes liegt hier in der Möglichkeit, die Arbeit unterbrechungsfrei fortsetzen zu können und keine Lücke in der Datenversorgung in Kauf nehmen zu müssen. Die Haupt-Großrechneranwendungen werden aber liegenbleiben (wie zum Beispiel die Finanzbuchhaltung oder die Fakturierung). Weiterlaufen wird alles, was mit Editieren zu tun hat sowie Zugriffe auf Auskunftssysteme, deren Datendoppel lokal verfügbar ist.

Fehlertoleranz in lokalen Netzen selbst ist insofern von Bedeutung, weil mit zunehmender Mächtigkeit der Mikrocomputer und mit zunehmender Verfügbarkeit praxistauglicher Netze die Möglichkeit gegeben ist, produktive Systeme, die bisher auf Großrechner angewiesen waren, auf Mikrocomputernetzen abzuwickeln. Dies ist meist kostengünstiger. Darüber hinaus gestattet es häufig die Realisierung einer Benutzerschnittstelle in einem Komfortniveau, das auf Mainframes undenkbar ist. Zu denken braucht man hier nur an die grafischen und farblichen Möglichkeiten eines normalen Mikros im Vergleich mit Mainframelösungen (Preisvergleich nicht vergessen!).

Wenn aber Online-Systeme auf der Basis von lokalen Netzen laufen sollen, muß hier etwas für die Fehlertoleranz getan werden.

Man sollte dabei von einem lokalen Netz, in dem jede Workstation ein eigenständiger Mikrocomputer ist und kein Mehrplatzsystem im Sinn von CPU-Sharing, ausgehen. Der Grund: Dieses Konzept ist robuster als das Mehrplatzkonzept. Sinnvoll ist es ferner, wenn im Netz mindestens zwei Hard Disks vorhanden sind und eine Hard Disk gleicher Größe als "Cold Standby" verfügbar ist. Eine weitere Hard Disk, die kleiner sein darf, sollte permanent am LAN hängen und der Aufnahme der Daten zur logischen Sicherung dienen. Diese Plattenkonfiguration ist bei den niedrigen Preisen für Festplatten heute sehr viel wirtschaftlicher als ein Wartungsvertrag, der eine Reparatur zum Beispiel in acht

Stunden absichert. Des weiteren ist ein Netz mit Bandgerät von Vorteil.

Wenn das Netz kein File-Server-Netz ist, werden die Zugriffsberechtigungen beim Booten in jede Workstation geladen, so daß diese nur legale Zugriffsverlangen verlassen. Concurrent Access wird dann vom Anwenderprogramm abgewickelt, indem von diesem Locks gesetzt und freigegeben (und auch abgefragt) werden. Diese Architektur hat den Vorteil, daß es keine ausfallgefährdete zentrale Intelligenz, eben den File Server gibt. Sie hat den Nachteil, daß der Locking-Mechanismus dezentralisiert ist und daher umständlicher, sprich zeitraubender, abläuft als beim Server-Konzept.

Wenn das Netz ein File-Server-Netz ist, muß man sich darüber in klaren sein, daß der Ausfall des Servers de facto die Arbeit mit dem Netz unmöglich macht. Sofern man einen einfachen PC als Server verwendet, kann man ihn unter Umständen beim Ausfall durch einen normalen Arbeitsplatzrechner ersetzen. Oft aber ist gerade der Server als Luxus-Rechner konzipiert, meist der Performance wegen. Und für diesen gibt es keinen stets verfügbaren Ersatz.

Organisatorisch ist sichergestellt, daß täglich eine automatische logische Sicherung durchgeführt wird und daß wöchentlich eine physikalische Doppelung aller Daten auf ein Band stattfindet.

Bei Stromausfall steht das Netz. Zwar sind keine Datenverluste zu befürchten, Robustheit aber bietet nur eine Notstromversorgung. Hier unterscheidet sich unser lokales Netz nicht von Großrechnerlösungen.

Fällt an einer Workstation die CPU aus, so kann sie durch jede andere ersetzt werden. Dies geschieht allerdings nicht automatisch. Das bedeutet, daß der Benutzer, dessen Mikro Fehlerhaft zu arbeiten beginnt, sich eine andere Workstation beschaffen muß. Wenn jedoch die Zahl der Stationen groß genug ist (zum Beispiel gleich groß der Zahl der Personen, die mit dem System arbeiten), wird das kein Problem sein: Schon bei kleinen Benutzergruppen (sicher ab zehn Personen) benötigt mindestens ein Anwender für einen Tag sein System nicht. Bei kleineren Gruppen sollte man daran denken, einen Mikro mehr als eigentlich notwendig zu beschaffen.

Fällt in der File-Server-Architektur der Server aus, so ist zumindest kein Zugriff mehr auf gemeinsame Daten möglich. Dies ist die Schwäche der File-Server-Lösung. Unter Umständen können einige Benutzer auch noch mit ihren lokal gehaltenen Daten weiter arbeiten. Vielleicht ist der Server auch durch einen Arbeitssatzrechner ersetzbar. Das Risiko einer starken Beeinträchtigung des Betriebes ist aber auf jeden Fall größer als beim Nicht-File-Server-Konzept.

Bei einem Plattenfehler wird die Cold-Standby-Platte in das Netz eingefügt. Auf sie wird der letzte Stand der "gecrashten" Platte aufgespielt. Das sichert den Datezustand vom Vortag (wenn täglich gesichert wird). Will man es noch sicherer, dann muß man von den Anwenderprogrammen aus für das doppelte Wegschreiben der Daten sorgen. Dafür liefert das Netz selbst in der Regel keine Hilfe und auch die für Mikros verfügbaren Datenbanken arbeiten nicht mit zweifacher Dateiführung. Aber auch beim Großrechner muß man das Doppeltführen oder die Verwendung anderer Sicherheitsmechanismen konkret vorsehen.

Gegen Fehler im Anwenderprogramm muß man - wie beim Großrechner - im Anwenderprogramm selbst etwas tun. Häufig wird Fehlertoleranz beim Großrechner aber so verstanden, als sei der Rechner robust gegen Programmierfehler. Dem ist nicht so. Wenn durch einen Programmierfehler ein Prozeß abstürzt, so stürzt auch der automatisch gestartete Backup-Prozeß ab, wenn er auf den nämlichen Fehler Stößt. Hier hilft nur Disziplin beim Testen und bei der Abnahme der Software.

Übertragungsfehler im Netz werden in der Regel von der Netzsoftware selbst erkannt. Se sorgt dafür, daß der Übertragungsversuch wiederholt wird.

Die Reaktion auf Bedienerfehler ist an Mikros in der Regel sehr viel freundlicher gestaltbar als am Mainframe, wie eben überhaupt die Benutzeroberfläche hier komfortabler ist als dort. Vor allzu harten Konsequenzen bei versehentlichem Löschen von Daten hilft die gewissenhaft durchgeführte Sicherung. Hier können lokales Netz und Großrechner gleiche Qualität erreichen.

Zusammenfassend laßt sich sagen, daß in einem lokaIen Netz folgende Qualität der Fehlertoleranz zu vertretbaren Kosten herstellbar ist:

- Bei Ausfall einer Hardwareeinheit kann binnen einer halben Stunde weitergearbeitet werden (diese Zeit braucht man zum Beispiel, um den Rechner des Kollegen auf seinen eigenen Arbeitsplatz zu bringen);

- Bei Ausfall einer Platte dauert es etwa zwei Stunden, bis der Datenbestand des Vortages verfügbar ist (Sicherung vorausgesetzt). Dies gilt, bei einfacher Führung der Daten;

- Irrtümlich geIöschte Daten sind zum Stand vom Vortag wieder herstellbar;

- Bedienerfehler können weicher abgefangen werden als am Großrechner;

- Fehler im Anwenderprogramm sind hier wie dort fatal.

Das lokale Netz weist gegenüber dem Großrechnerkozept vor allem den Vorteil auf, daß von vornherein jeder Arbeitsplatz mit einem eigenen Computer ausgerüstet ist. Die Verarbeitungskapazität selbst stellt also keinen Engpaß dar. Nur bei der File-Server-Lösung ist der Server selbst kritisch.

Dr. Herbert Neumaier ist Geschäftsführer der Interface Concilium GmbH, München.