Terminals mit eigener Intelligenz spielen auch in der Betriebsdatenerfassung eine immer größere Rolle. Viele Systemfunktionen können sowohl zentral als auch dezentral implementiert werden : Besonders im Zusammenhang mit den hohen Zuverlässigkeitsanforderungen an Betriebsdatenerfassungssysteme ist es wichtig, die richtige Funktionsverteilung vorzunehmen.

Die Erfahrung mit dem Einsatz von Rechnersystemen für die Betriebsdatenerfassung zeigt, daß viele Betriebsabläufe zunehmend von der ordnungsgemäßen Funktion dieser Systeme abhängig werden. Besonders, wenn Funktionen der Fertigungssteuerung mit demselben System wahrgenommen werden, kann ein länger dauernder Systemstillstand zu einem Chaos führen. Die üblicherweise vorgesehene Notbetriebsorganisation versagt insbesondere dann, wenn die Systeme sehr zuverlässig arbeiten: Da dieser Ernstfall sehr selten auftritt, fehlt es an Training für die betroffenen Mitarbeiter. An die Ausfallsicherheit von BDE-Systemen werden daher besonders hohe Anforderungen gestellt.

Hinzu kommt die Forderung nach Sicherheit und Integrität der erfaßten Daten. Dies gilt schon für die auftragsoder materialbezogenen Daten, insbesondere aber dann, wenn über das System auch Lohndaten erfaßt werden. In diesem Fall besteht auch gegenüber der Belegschaftsvertretung die Notwendigkeit, diese Datensicherheit nachzuweisen, um zu der notwendigen Betriebsvereinbarung zu kommen.

Ziel dieses Beitrages ist es, anhand einiger Systemkonzepte aufzuzeigen, wie die Speicher- und Verarbeitungskapazität intelligenter Betriebsdatenerfassungsterminals zur Verbesserung der Ausfallsicherheit eingesetzt werden kann.

BDE-Subsysteme bestehen einerseits aus den im Betrieb angeordneten BDE-Terminals und andererseits aus einem zentralen Rechnersystem, welches diese Terminals verwaltet und die Verbindung zu übergeordneten Rechnersystemen herstellt.

Der Ausfall einzelner Terminals in dieser Anordnung beeinträchtigt üblicherweise nicht die Funktionsfähigkeit des BDE-Systems: Notwendige Eingaben können auch über Nachbarterminals durchgeführt werden, und außerdem ist eine Reparatur durch den Austausch gegen ein Ersatzgerät rasch durchgeführt. Ein Ausfall des Zentralrechners dagegen führt bei heutigen Systemkonzepten zu einem Gesamtsystemausfall.

lntelligente Terminals bieten hier interessante Lösungen an, welche einen Rechnerausfall zumindest über kürzere Zeitperioden gegenüber dem Benutzer weitgehend verdecken lassen. Die Verarbeitungs- und Speicherkapazität im Terminal erlaubt bei nur unwesentlich verringertem Leistungsumfang einen "Inselbetrieb":

- Aufgaben der Fertigungssteuerung können durch das Vorhalten von vorgeplanten Aufträgen im Speicher des Terminals weitergeführt werden. Dabei werden natürlich die Dispositionsmöglichkeiten etwas eingeschränkt - ebenso wie der BDE-Rechner nicht über alle Informationen des Betriebsrechners verfügt, kann das Terminal nicht mehr auf alle Daten des BDE-Rechners zugreifen.

- Alle lokalen Dialoge werden auch bei Ausfall des BDE-Rechners in der gewohnten Form weitergeführt, wobei allerdings Plausibilitätsprüfungen nur in geringerem Umfang durchgeführt werden können, da das Terminal nicht über alle Informationen verfügt.

- Alle eingegebenen Daten werden im Terminal gespeichert, so daß sie beim späteren Wiederanlauf des BDE-Rechners automatisch dorthin übertragen werden können.

Der Ausfall des BDE-Rechners führt also zu einer gewissen funktionellen Degradierung, jedoch nicht zu einer wesentlichen Einschränkung des Betriebsverhaltens. Besondere Beachtung ist dem Problem des "Wiedereinfädelns" zu widmen. Nach dem Wiederanlauf des BDE-Rechners stehen im allgemeinen große Datenmengen zur Übertragung zwischen Terminal und Rechner an; das organisatorische Ineinanderschachteln von diesen Übertragungsvorgängen und dem gleichzeitig erforderlichen normalen Datenerfassungsbetrieb stellt ebenfalls erhebliche Anforderungen an die "Intelligenz" der Terminals.

Die Speicherkapazität moderner BDE-Terminals (etwa des im Bild 1 abgebildeten PCT 880 von PCS) erreicht heute mit 32 bis 64 KB dieselbe Größenordnung, welche vor kurzem noch die BDE-Rechner selbst hatten. Dies erlaubt einen autarken Betrieb der Einzel-Terminals auch über einen längeren Zeitraum hinweg. Geht man beispielsweise von einer Transaktionsrate von vier Transaktionen pro Minute aus, wobei mit jeder Transaktion fünf Bytes abgespeichert werden müssen, dann ergibt sich ein Datenanfall von 20 Bytes pro Minute oder 1,2 KB pro Stunde. Ein dafür reservierter Lese-/Schreibspeicher von etwa 24 KB erlaubt eine kontinuierliche Datenerfassung über einen 20-Stunden-Zeitraum, nach welchem der BDE-Rechner im allgemeinen wieder in einen funktionsfähigen Zustand gebracht werden kann.

Eine weitere Anforderung an die "Intelligenz" des BDE-Terminals ist es auch, zusätzlich benötigte Peripheriegeräte anzuschließen und auch im Insel-Betrieb autark zu bedienen. Dazu gehören Ausweisleser, Druckeinrichtungen oder auch Geräte zur direkten Maschinendatenerfassung. Das Terminal dient dabei gewissermaßen als Konzentrator für die Geräte und verwaltet sie auch dann, wenn der BDE-Rechner ausgefallen ist. Intelligente und mit ausreichender Speicherkapazität ausgestattete BDE-Terminals erlauben also einen weitgehend unterbrechungsfreien Betrieb auch dann, wenn ein (einzelner) BDE-Rechner ausfällt.

Redundante BDE-Zentralen

Unter wirtschaftlichen Gesichtspunkten wird es immer lohnender, BDE-Rechnersysteme redundant auszulegen: Zum einen wird die Rechner-Hardware immer billiger, zum anderen werden diesen Systemen zunehmend wichtigere Aufgaben anvertraut, so daß das Vermeiden von Ausfällen immer mehr eine wirtschaftliche Notwendigkeit wird. Dies gilt insbesondere dann, wenn die BDE-Zentrale intensiv als Auskunftssystem genutzt wird.

Das Problem besteht darin, das richtige Konzept für die Anordnung der redundanten Rechnersysteme zu finden. Hier gibt es viele Ansätze, bei den meisten realisierten Doppel- oder Dreifachrechnersystemen ist es jedoch nur teilweise gelungen, die Anlagen in ihrem Ausfallverhalten voneinander zu entkoppeln: Einzelfehler können bereits zum Ausfall des Gesamtsystems führen, oder der Rechnerbetrieb kann nach einem Ausfall nicht kontinuierlich weitergeführt werden (Notwendigkeit des Wiederanlaufs) .

Eine Ausnahme bietet hier der Computer-Hersteller Tandem mit seinem Nonstop-Computersystem. Diesem Mehrrechnersystem liegt ein überzeugendes Systemkonzept zugrunde, welches inzwischen in vielen Installationen praktisch erprobt werden konnte: Der Gesamt-Systementwurf von Hardware und Software ist a priori auf die Anforderungen der gegenseitigen Ersetzbarkeit von mehrfach vorhandenen Komponenten ausgelegt worden: Es gibt keine Zuverlässigkeits-Schwachstelle in dem System, welche bei Ausfall die Funktionsfähigkeit des Gesamtsystems verhindern könnte. Bild 2 zeigt bereits mit einem groben Blockdiagramm der Hardware, daß hier im Prinzip jede Komponente ausfallen darf (einschließlich Bus-Systemen, der Stromversorgung etc.).

Es stellt sich nun die Frage, wie dieses Ausfallsicherheits-Konzept auch auf die an den Tandem-Rechner angeschlossenen Terminals ausgedehnt werden kann. Im einfachsten Fall verwendet man wieder eine sternförmige Verkabelung vom Rechner zu den Terminals, wobei ein Terminal immer dann ausfällt, wenn entweder der spezielle Leitungsadapter, die Leitung zum Rechner oder das Terminal Funktionsstörungen aufweist. Auch hier kann es für den praktischen Betrieb von großer Bedeutung sein, ein Terminal mit lokaler Intelligenz zu haben: Diese kann beispielsweise dazu benutzt werden, volle Funktionskompatibilität mit Standard-Terminals des Herstellers zu erreichen, mit dem Vorteil, daß die standardmäßig angebotenen Terminal-Zugriffsverfahren ohne Modifikation angesetzt werden können. PCS bietet beispielsweise für das oben erwähnte Terminal PCT 880 ein Emulations-Paket an, welches volle Kompatibilität mit den Standard-Terminals 6520 von Tandem sicherstellt.

Zur Sicherheit ein Doppelbus

Beim Einsatz vieler Terminals kann der Verkabelungsaufwand bei sternförmig angeschlossenen Terminals recht groß werden. Es kann daher von Interesse sein, die Terminals über ein Bus-System an den Rechner anzuschließen. Leider stellt der Bus eine gewisse Zuverlässigkeits-Schwachstelle dar, da bereits einzelne Terminals bei bestimmten Fehlerarten das Bus-System außer Betrieb setzen können. Die Verwendung eines Doppelbus-Systems erlaubt es aber, das Tandem-Konzept bis zu den Einzel-Terminals herunterzuziehen: Hierzu ist allerdings wiederum Intelligenz notwendig, um den Funktionszustand der beiden Buse zu jedem Zeitpunkt überprüfen und auf jeweils funktionsfähige Systeme umschalten zu können. Die Konstruktion des Doppel-Bus-Systems muß dabei in Analogie zu dem innerhalb des Tandem-Rechners verwendeten Bus-System ausgelegt werden: Durch das Bus-Protokoll muß sichergestellt werden, daß nicht ein einzelnes Terminal beide Bus-Systeme funktionsuntüchtig machen kann. Bild 3 zeigt das hierbei verwendete Verbindungsschema.

Obwohl zunächst die Frage der Terminal-Intelligenz nichts mit den Anforderungen der Ausfallsicherheit zu tun hat, zeigt sich bei etwas genauerer Betrachtung doch, daß es für verschiedene Redundanz-Konzepte unabdingbar notwendig ist, intelligente Terminals als Partner im Terminal-Rechner-Verbund zur Verfügung zu haben. Dafür sind nicht nur die Hardware-technischen Voraussetzungen zu bieten, sondern auch leistungsfähige Software-Werkzeuge (höhere Programmiersprachen wie Pascal zur Terminalprogrammierung) für die Anpassung an die individuelle Aufgabenstellung bereitzustellen.

*Eberhard Färber ist Geschäftsführer der PCS Periphere Computersysteme GmbH, München