Om hvorfor man aldrig kan slippe af med alle single point of failures.

Dette er en del af en serie artikler om redundans, som bør læses i rækkefølge. Hvis du ikke har læst indledningen ” Redundans til at løse alle problemer”, så er den her.

Ved de fleste redundante systemer er det nødvendigt at have en switch som skal vælge om vi bruger det ene eller det andet system. Bortset fra redundante systemer hvor der anvendes load-sharing, så vil der altid være behov for at have nogen eller noget som detekterer at vi har en fejl på Main og skifter til Backup. I mange situationer vil der være tale om noget automatik, som fx måler om der er et gyldigt signal, og hvis ikke så skiftes der. Dilemmaet består så i, at uanset hvad man gør, så skal der tages én beslutning, og systemet som skal skifte til backup bliver dermed et single point of failure, som både kan komme til at skifte om når det ikke skulle, eller undlade at skifte når det skulle. Endelig kan den styreenhed der står for at koble om have en fejl, så det måske nok skifter over men undlader at give Backup besked om at starte.

De fleste detekteringsproblemer, hvor man skulle have skiftet til Backup men ikke gjorde det, skyldes at man måske nok får lavet et system som kan detektere hvis Main slet ikke virker. Men hvad nu hvis Main virker delvist ? Så er vi altså afhængige af at Main ikke virker på den rigtige måde, før der skal skiftes til backup. Hvis Main ikke virker på den forkerte måde, så detekterer vi intet, og lader bare Main sende videre. Da vi prøver at bygge et system som skal tage højde for fejlsituationer som vi ikke altid kan forestille os, kan det være ganske svært at bygge den rigtige styring. Den skulle gerne gøre det rigtige i alle situationer, både dem vi kan forestille sig og dem vi ikke kan. Det kan så gå hen og blive voldsomt kompliceret, og jo mere kompliceret det bliver, jo større er risikoen for at logikken i sig selv giver problemer og skifter når der ikke var nogen grund til det, eller måske skifter delvist eller skifter frem og tilbage hele tiden, så ingen kan finde ud af hvad der foregår.
Som minimum bør det derfor være muligt at kunne slå automatikken fra og det bør være muligt at styre om der skal sendes fra Main eller Backup.
Desuden er der så den menneskelige faktor, som vi vender tilbage til.

Som før nævnt, så vil der være mindst et single point of failure i et redundant system (bortset fra de load-sharede). Derfor er det uklogt at spare på den styring og swithen der bestemmer om det er Main eller Backup der er på – den er det eneste der kan forhindre at hverken Main eller Backup er på, og det kommer den til, hvis kvaliteten ikke er i orden. Som minimum skal man sikre sig at udsendelser kan fortsætte, selv om strømforsyningen til styring og/eller switch skulle stå af.
Mange radiostationer har en silence-detector siddende et sted i sendekæden. Silence-detectors kan være ganske fortræffelige til at opdage problemer og skifte over til et andet signal hvis der er en fejl. Men for alle silence detectors bør det det sikres at der kan sendes Main signal, selv om strømforsyningen til silence detectoren står af.

Videre...