Redundancia (ingeniería)

Duplicación de componentes críticos para aumentar la confiabilidad de un sistema.

Fuente de alimentación redundante común

Subsistema redundante "B"

Instalación de iluminación trasera ampliamente redundante en un autobús turístico tailandés

En ingeniería y teoría de sistemas , la redundancia es la duplicación intencional de componentes o funciones críticas de un sistema con el objetivo de aumentar la confiabilidad del sistema , generalmente en forma de respaldo o a prueba de fallas , o para mejorar el rendimiento real del sistema, como en el caso de receptores GNSS , o procesamiento informático multiproceso .

En muchos sistemas críticos para la seguridad , como los sistemas hidráulicos y de vuelo por cable en aeronaves , algunas partes del sistema de control pueden estar triplicadas, ^[1] lo que formalmente se denomina triple redundancia modular (TMR). Un error en un componente puede ser superado por los otros dos. En un sistema triplemente redundante, el sistema tiene tres subcomponentes, los tres deben fallar antes de que falle el sistema. Dado que cada uno rara vez falla, y los subcomponentes están diseñados para excluir modos de falla comunes (que luego pueden modelarse como fallas independientes), se calcula que la probabilidad de que fallen los tres es extraordinariamente pequeña; a menudo se ve superado por otros factores de riesgo, como el error humano . Las sobretensiones eléctricas que surgen de los rayos son un ejemplo de un modo de falla que es difícil de aislar completamente, a menos que los componentes estén alimentados por buses de energía independientes y no tengan una ruta eléctrica directa en su interconexión (se requiere comunicación por algún medio para la votación). La redundancia también puede conocerse con los términos "sistemas de votación mayoritarios" ^[2] o "lógica de votación". ^[3]

Los numerosos cables de un puente colgante son una forma de redundancia.

La redundancia a veces produce menos, en lugar de una mayor confiabilidad: crea un sistema más complejo que es propenso a varios problemas, puede llevar a la negligencia humana del deber y puede conducir a mayores demandas de producción que, al sobrecargar el sistema, pueden hacerlo menos seguro. ^[4]

La redundancia es una forma de robustez tal como se practica en informática .

La redundancia geográfica se ha vuelto importante en la industria de los centros de datos para salvaguardar los datos contra desastres naturales e inestabilidad política (ver más abajo).

Formas de despido

En informática, existen cuatro formas principales de redundancia: ^[5]

• Redundancia de hardware, como redundancia modular dual y redundancia modular triple.
• Redundancia de información, como métodos de detección y corrección de errores.
• Redundancia de tiempo, realizar la misma operación varias veces, como múltiples ejecuciones de un programa o múltiples copias de datos transmitidos.
• Redundancia de software como programación de versión N

Una forma modificada de redundancia de software, aplicada al hardware, puede ser:

• Distinta redundancia funcional, como el frenado mecánico e hidráulico en un automóvil. Se aplica en el caso del software, código escrito de forma independiente y claramente diferente pero que produce los mismos resultados para las mismas entradas.

Las estructuras también suelen diseñarse con partes redundantes, lo que garantiza que si una parte falla, toda la estructura no colapsará. Una estructura sin redundancia se denomina fractura crítica , lo que significa que un solo componente roto puede provocar el colapso de toda la estructura. Los puentes que fallaron debido a la falta de redundancia incluyen el Silver Bridge y el puente de la Interestatal 5 sobre el río Skagit .

Los sistemas paralelos y combinados demuestran diferentes niveles de redundancia. Los modelos son objeto de estudios de ingeniería de fiabilidad y seguridad. ^[6]

Redundancia diferente

A diferencia de la redundancia tradicional, que utiliza más de uno de lo mismo, la redundancia diferente utiliza cosas diferentes. La idea es que es poco probable que las diferentes cosas contengan defectos idénticos. El método de votación puede implicar una complejidad adicional si las dos cosas toman diferentes cantidades de tiempo. A menudo se utiliza redundancia diferente con el software, porque un software idéntico contiene defectos idénticos.

La posibilidad de falla se reduce usando al menos dos tipos diferentes de cada uno de los siguientes

• procesadores,
• sistemas operativos,
• software,
• sensores,
• tipos de actuadores (eléctricos, hidráulicos, neumáticos, mecánicos manuales, etc.)
• protocolos de comunicaciones,
• hardware de comunicaciones,
• redes de comunicaciones,
• vías de comunicación ^{[7] [8] [9]}

Redundancia geográfica

La redundancia geográfica corrige las vulnerabilidades de los dispositivos redundantes implementados mediante dispositivos de respaldo separados geográficamente. La redundancia geográfica reduce la probabilidad de que eventos como cortes de energía, inundaciones, fallas de HVAC, rayos, tornados, incendios de edificios, incendios forestales y tiroteos masivos inhabiliten el sistema.

Las ubicaciones de redundancia geográfica pueden ser

• más de 621 millas (999 km) continentales , ^[10]
• a más de 62 millas de distancia y a menos de 93 millas (150 km), ^[10]
• menos de 62 millas de distancia, pero no en el mismo campus, o
• diferentes edificios que están a más de 300 pies (91 m) de distancia en el mismo campus.

Los siguientes métodos pueden reducir los riesgos de daños por una conflagración de fuego :

• edificios grandes a una distancia mínima de 80 pies (24 m) a 110 pies (34 m), pero a veces a un mínimo de 210 pies (64 m). ^{[11] [12] : 9}
• edificios de gran altura separados por al menos 82 pies (25 m) ^{[12] : 12  [13]}
• espacios abiertos libres de vegetación inflamable dentro de 200 pies (61 m) a cada lado de los objetos ^[14]
• diferentes alas en el mismo edificio, en habitaciones separadas por más de 300 pies (91 m)
• diferentes pisos en la misma ala de un edificio en habitaciones que están desplazadas horizontalmente por un mínimo de 70 pies (21 m) con paredes cortafuegos entre las habitaciones que están en diferentes pisos
• dos habitaciones separadas por otra habitación, dejando al menos un espacio de 70 pies entre las dos habitaciones
• Debe haber un mínimo de dos muros cortafuegos separados y en lados opuestos de un corredor ^[10]

Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, Netflix, Dropbox, Salesforce, LinkedIn, PayPal, Twitter, Facebook, Apple iCloud, Cisco Meraki y muchos otros utilizan la redundancia geográfica para proporcionar redundancia geográfica. alta disponibilidad, tolerancia a fallas y para garantizar la disponibilidad y confiabilidad de sus servicios en la nube. ^[15]

Como otro ejemplo, para minimizar el riesgo de daños por tormentas de viento severas o daños por agua, los edificios pueden ubicarse al menos a 3,2 km (2 millas) de la costa, con una elevación de al menos 1,5 m (5 pies) sobre el nivel del mar. Para protección adicional, se pueden ubicar al menos a 100 pies (30 m) de distancia de las áreas de llanuras aluviales. ^{[16] [17]}

Funciones de redundancia

Las dos funciones de la redundancia son la redundancia pasiva y la redundancia activa . Ambas funciones evitan que la disminución del rendimiento exceda los límites de las especificaciones sin intervención humana utilizando capacidad adicional.

La redundancia pasiva utiliza el exceso de capacidad para reducir el impacto de las fallas de los componentes. Una forma común de redundancia pasiva es la resistencia adicional del cableado y los puntales utilizados en los puentes. Esta resistencia adicional permite que algunos componentes estructurales fallen sin que el puente colapse. La resistencia adicional utilizada en el diseño se llama margen de seguridad.

Los ojos y los oídos proporcionan ejemplos prácticos de redundancia pasiva. La pérdida de visión en un ojo no causa ceguera, pero se altera la percepción de la profundidad . La pérdida de audición en un oído no causa sordera pero se pierde la direccionalidad. La disminución del rendimiento se asocia comúnmente con la redundancia pasiva cuando ocurre un número limitado de fallas.

La redundancia activa elimina las caídas de rendimiento al monitorear el rendimiento de dispositivos individuales, y este monitoreo se utiliza en la lógica de votación. La lógica de votación está vinculada a una conmutación que reconfigura automáticamente los componentes. La detección y corrección de errores y el Sistema de Posicionamiento Global (GPS) son dos ejemplos de redundancia activa.

La distribución de energía eléctrica proporciona un ejemplo de redundancia activa. Varias líneas eléctricas conectan cada instalación de generación con los clientes. Cada línea eléctrica incluye monitores que detectan sobrecargas. Cada línea eléctrica también incluye disyuntores. La combinación de líneas eléctricas proporciona un exceso de capacidad. Los disyuntores desconectan una línea eléctrica cuando los monitores detectan una sobrecarga. El poder se redistribuye entre las líneas restantes. ^{[ cita necesaria ]} En el aeropuerto de Toronto, hay 4 líneas eléctricas redundantes. Cada una de las 4 líneas suministra suficiente energía para todo el aeropuerto. Una subestación de la red Spot utiliza relés de corriente inversa para abrir disyuntores en las líneas que fallan, pero permite que la energía continúe fluyendo por el aeropuerto.

Los sistemas de energía eléctrica utilizan la programación de energía para reconfigurar la redundancia activa. Los sistemas informáticos ajustan la producción de cada instalación generadora cuando otras instalaciones generadoras se pierden repentinamente. Esto evita condiciones de apagón durante eventos importantes como un terremoto.

Desventajas

Charles Perrow , autor de Accidentes normales , ha dicho que a veces los despidos resultan contraproducentes y producen menos confiabilidad, no más. Esto puede suceder de tres maneras: primero, los dispositivos de seguridad redundantes dan como resultado un sistema más complejo, más propenso a errores y accidentes. En segundo lugar, el despido puede llevar a eludir responsabilidades entre los trabajadores. En tercer lugar, la redundancia puede generar mayores presiones de producción, lo que resultaría en un sistema que opera a velocidades más altas, pero de manera menos segura. ^[4]

Lógica de votación

La lógica de votación utiliza el monitoreo del desempeño para determinar cómo reconfigurar los componentes individuales para que la operación continúe sin violar las limitaciones de las especificaciones del sistema en general. La lógica de votación a menudo involucra computadoras, pero los sistemas compuestos por elementos distintos de las computadoras pueden reconfigurarse utilizando la lógica de votación. Los disyuntores son un ejemplo de una forma de lógica de votación no informática.

La lógica de votación más simple en los sistemas informáticos implica dos componentes: primario y alternativo. Ambos ejecutan software similar, pero la salida del alternativo permanece inactiva durante el funcionamiento normal. El principal se monitorea a sí mismo y periódicamente envía un mensaje de actividad al alternativo siempre que todo esté bien. Todas las salidas del primario se detienen, incluido el mensaje de actividad, cuando el primario detecta una falla. El alternativo activa su salida y reemplaza al principal después de un breve retraso cuando cesa el mensaje de actividad. Los errores en la lógica de votación pueden hacer que ambas salidas estén activas o inactivas al mismo tiempo, o que las salidas se enciendan y apaguen.

Una forma más confiable de lógica de votación implica un número impar de tres dispositivos o más. Todos realizan funciones idénticas y las salidas se comparan mediante la lógica de votación. La lógica de votación establece una mayoría cuando hay un desacuerdo, y la mayoría actuará para desactivar la salida de otros dispositivos que no estén de acuerdo. Una sola falla no interrumpirá el funcionamiento normal. Esta técnica se utiliza con sistemas de aviónica , como los encargados del funcionamiento del transbordador espacial .

Calcular la probabilidad de fallo del sistema.

Cada componente duplicado agregado al sistema disminuye la probabilidad de falla del sistema según la fórmula: -

${\displaystyle {p}=\prod _{i=1}^{n}p_{i}}$

dónde:

• ${\displaystyle n}$– número de componentes
• ${\displaystyle p_{i}}$– probabilidad de que falle el componente i
• ${\displaystyle p}$– la probabilidad de que todos los componentes fallen (fallo del sistema)

Esta fórmula asume independencia de los eventos de falla. Eso significa que la probabilidad de que un componente B falle dado que un componente A ya falló es la misma que la de que B falle cuando A no falló. Hay situaciones en las que esto no es razonable, como usar dos fuentes de alimentación conectadas al mismo enchufe de tal manera que si una fuente de alimentación falla, la otra también lo hará.

También supone que sólo se necesita un componente para mantener el sistema en funcionamiento.

Ver también

• Air gap (redes)  : medida de seguridad de la red
• Causa común y causa especial (estadísticas)  – Concepto de estadística
• Redundancia de datos  : presencia de datos adicionales a los datos reales que pueden permitir la corrección de errores en los datos almacenados o transmitidos.Páginas que muestran descripciones de wikidata como alternativa
• Doble conmutación  : utilizar un interruptor multipolar para cerrar o abrir dos lados de un circuito.Páginas que muestran descripciones de wikidata como alternativa
• Tolerancia a fallos  : resiliencia de los sistemas ante fallos o errores de componentes.
• Endurecimiento por radiación  : procesos y técnicas utilizados para hacer que los dispositivos electrónicos sean resistentes a la radiación ionizante.
• Factor de seguridad  : resistencia del sistema más allá de la carga prevista
• Ingeniería de confiabilidad  : subdisciplina de la ingeniería de sistemas que enfatiza la confiabilidad
• Teoría de la confiabilidad del envejecimiento y la longevidad  – Teoría de la biofísica
• Ingeniería de seguridad  : disciplina de ingeniería que garantiza que los sistemas diseñados proporcionen niveles aceptables de seguridad.
• Fiabilidad (redes de computadoras)  : capacidad de reconocimiento de protocolo
• MTBF  : tiempo transcurrido previsto entre fallas inherentes de un sistema durante la operaciónPáginas que muestran descripciones breves de los objetivos de redireccionamiento
• Redundancia N+1
• Sistema informático tolerante a fallas  : resistencia de los sistemas a fallas o errores de componentes.Páginas que muestran descripciones breves de los objetivos de redireccionamiento
• ZFS  – Sistema de archivos
• Falla bizantina  : falla en un sistema informático que presenta diferentes síntomas para diferentes observadores.
• Paxos bizantino  – Familia de protocolos para resolver consensos
• Acuerdo bizantino cuántico  : versión cuántica del protocolo del acuerdo bizantino
• El problema de los dos generales  : experimento mental
• Degeneración  – Proceso en biología

Referencias

1. Técnica de gestión de redundancia para computadoras de transbordadores espaciales (PDF), IBM Research
2. R. Jayapal (4 de diciembre de 2003). "El circuito de votación analógico es más flexible que su versión digital". elecdesign.com. Archivado desde el original el 3 de marzo de 2007 . Consultado el 1 de junio de 2014 .
3. "The Aerospace Corporation | Garantizar el éxito de la misión espacial". Aero.org. 2014-05-20 . Consultado el 1 de junio de 2014 .
4. Scott D. Sagan (marzo de 2004). "Aprender de los accidentes normales" (PDF) . Organización y Medio Ambiente . Archivado desde el original (PDF) el 14 de julio de 2004.
5. Koren, Israel; Krishna, C. Mani (2007). Sistemas tolerantes a fallos . San Francisco, California: Morgan Kaufmann. pag. 3.ISBN _ 978-0-12-088525-1.
6. [1] Institución Smithsonian | Oficina de Gestión de Seguridad, Salud y Medio Ambiente | Manual de diseño de protección contra incendios y seguridad humanaFuentes independientes | Las instalaciones con una pérdida máxima posible por incendio superior a 50 millones de dólares deben tener dos fuentes independientes de agua de protección contra incendios.
7. [2] Por qué las arquitecturas redundantes diferentes son una necesidad para DAL A | Sistemas de defensa Curtis Wright]
8. [3] Circuitos de alarma contra incendios | Un circuito Clase X continuará funcionando con un solo circuito abierto o un solo cortocircuito mediante el uso de una ruta redundante.
9. [4] Protección contra el poder de los rayos | para proteger contra sobretensiones inducidas en lugar de rayos directos. 01/02/2005 Par trenzado
10. [5] Redundancia del sitio del centro de datos | HM Brotherton y J. Eric Dietz | Tecnología de la información informática, Universidad Purdue
11. [6] Compañía de seguros mutua de fábrica | 1-20 Protección contra la exposición al fuego exterior
12. [7] Consejo Nacional de Investigaciones | Canadá | División de Investigación de la Construcción | Separación espacial de edificios | noviembre de 1959
13. [8] Directrices de diseño de edificios altos | Ciudad de Toronto | marzo 2013 | Página 52 | la distancia de separación entre torres en el mismo sitio de 25 metros o más
14. [9] Protección de residencias contra incendios forestales | de Howard E. Moore (Informe técnico general PSW-50) | página 30, punto 10.
15. [10] La nube local es un fracaso. Google tiene la solución | Elías Khnaser | 17/05/2023
16. https://www.archives.gov/files/records-mgmt/storage-standards-toolkit/file3.pdf Estándares de instalaciones para instalaciones de almacenamiento de registros
17. https://www.archives.gov/preservation/storage/presidential-library-standards.html Estándares para el almacenamiento permanente de registros y bibliotecas presidenciales

enlaces externos

• Propulsión segura mediante control redundante avanzado
• Uso de powerline como canal de comunicación redundante
• Flammini, Francesco; Marrone, Stefano; Mazzocca, Nicola; Vittorini, Valeria (2009). "Un nuevo enfoque de modelado para la evaluación de seguridad de sistemas informáticos redundantes N-modulares en presencia de mantenimiento imperfecto". Ingeniería de confiabilidad y seguridad de sistemas . 94 (9): 1422-1432. arXiv : 1304.6656 . doi : 10.1016/j.ress.2009.02.014. S2CID  6932645.