Unbeaufsichtigt und Rund-um-die-Uhr sollte Digital-Signage funktionieren. Netzpalaver sprach mit Björn Christiansen, Geschäftsführer von IAdea Deutschland, über die Probleme und Herausforderungen des unbeaufsichtigten Dauerbetriebs des eigenen Digital-Signage-Portfolios und welche Maßnahmen der Hersteller ergriffen hat, um robuste Lösungen für diesen Einsatzzweck zu offerieren.
#Netzpalaver: IAdea behauptet von Ihren Digital-Signage-Produkten, dass diese robust seien. Auf was bezieht sich hierbei der Terminus „robust“?
Björn Christiansen: Robust bezieht sich auf vielerlei Parameter unserer Digital-Signage-Lösungen: Auf unsere Ansprüche in der Entwicklung, Herstellung sowie die Qualität unserer Sign-Boards, Touchscreens und Media-Player. Insbesondere bezieht sich dieses Adjektiv auf die inneren Werte in puncto Leistung, Managebarkeit, Sicherheit und vor allem Ausfallsicherheit.
#Netzpalaver: Sicherheit und vor allem Ausfallsicherheit – zwei Punkte die Sie uns näher erläutern sollten. Was bedeutet robust in diesen beiden Fällen?
Björn Christiansen: Sicherheit hat für jedes ITK-Gerät, welches sich mit dem Internet verbindet, höchste Priorität. So auch für IAdea, denn vereinfacht gesprochen sind unterm Strich unsere Digital-Signage-Lösungen ja Anzeigegeräte und da wäre es verheerend, wenn durch eine Kompromittierung des Systems böswillige Inhalte präsentiert würden. Im Vergleich dazu wäre ein Ausfall des Systems eher banal, wobei das natürlich auch nicht vorkommen darf.
#Netzpalaver: Ok, jetzt wissen wir wie kritisch Sicherheit und Ausfallsicherheit auch bei Digital-Signage-Lösungen sind. Wie sieht es denn mit der technischen Robustheit aus – a.) in Bezug auf Sicherheit und b.) in Bezug auf die Ausfallsicherheit?
Björn Christiansen: Bei missionskritischen Systemen ist es oft erforderlich, dass ihr Kern ausschließlich Lesezugriff gewährt und keine Änderungen vorgenommen werden dürfen, sodass das Verhalten des Systems durchgehend einheitlich und zuverlässig ist.
Wenn Änderungen vorgenommen werden müssen, werden sie auf einer separaten „Overlay-Ebene“ platziert, die bei Bedarf leicht rückgängig gemacht werden kann. Beispielsweise bietet das Betriebssystem Microsoft-Windows-Embedded, eine spezielle Variante der Windows-Software für Industrieanwendungen, einen derartigen Mechanismus, einen dateibasierten Schreibfilter, über seine FBWF-Technologie (File-Based-Write-Filter). Das herkömmliche Android-Betriebssystem weist allerdings kein derartiges Design auf. Hier hat IAdea sein Android-Betriebssystem um die Overlay-Dateisystemarchitektur erweitert. Datenschreibvorgänge erfolgen ausschließlich im Overlay-Dateisystem, dazu gehören auch alle Konfigurationsänderungen und Software-Upgrades. Durch eine Systemrückstellung lässt sich diese Ebene mit Leichtigkeit bereinigen und ein vorheriger Zustand des Geräts kann wiederhergestellt werden. Dadurch wird das System auch gegen Infektionen mit Malware geschützt. Generell lässt sich sagen, dass jede Bereitstellung von Anwendungen oder Informationen, die gegen Datenverlust oder ungeplante Änderungen an den Daten geschützt werden muss, von der Overlay-Dateisystem-Funktion von IAdea überwacht wird.
Neben weiteren Aspekten der Sicherheit wie Zugriffs- und Manipulationsschutz für Digital-Signage sind einschneidende Änderungen am herkömmlichen Android-Betriebssystem auch für den Part „b“ ihrer Frage ausschlaggebend.
Denn wichtige Systemparameter im Betriebssystem Android werden in Datenbanken gespeichert, die der „System-Registry“ in Microsoft-Windows ähneln. Während Windows die System-Registry in der gut gesicherten NTFS-basierten Systempartition von Windows aufbewahrt, befinden sich die Datenbanken von Android im schwächeren Dateisystem YAFFS2. Bei Beschädigung dieser Datenbanken durch Datenverlust beim Schreibvorgang im Flash-Gerät wird das Gerät funktionsuntüchtig und kann nicht mehr gestartet werden. Die Technologie von IAdea repliziert beziehungsweise erstellt zusätzliche Kopien von wesentlichen Systemdatenbanken. Beim Starten des Systems erkennt die Technologie, ob wichtige Systemdaten fehlerhaft sind. Sollte dies der Fall sein, so stellt der IAdea-Datenbankreplikationsmechanismus die Daten mithilfe der Sicherungskopie wieder her. Dadurch kann das System mit der neuesten, bekannten, ordnungsgemäßen Konfiguration“ arbeiten.
#Netzpalaver: Digital-Signage-Lösungen sind meist unbeaufsichtigt und häufig befinden sich diese im 24-Stunden-Dauerbetrieb. Ihre Geräte verwenden – wie wir gerade erfahren haben – Flash-Speicher. Nach einem wie auch immer hervorgerufenen Stromausfall bleiben Ihre Systeme dunkel?
Björn Christiansen: Flash ist ein gutes Stichwort. Und ja, Flash-Speicher beherbergen Komponenten und Konfigurationsparameter des Betriebssystems, die erforderlich sind, damit ein Gerät ordnungsgemäß funktioniert. Fehlerhafter Flash-Speicher ist der hauptsächliche Grund dafür, dass ein Gerät „sich aufhängt“ oder funktionsuntüchtig wird. Daraus resultieren dann aufwändige und damit kostenintensive Standortbesuche und Reparaturen.
#Netzpalaver: Lassen sich von vornherein kostenintensive Standortbesuche und Reparaturen durch ein Flash-Versagen – immerhin sprechen wir noch von robust – vermeiden?
Björn Christiansen: Die im Flash-Speicher enthaltenen Daten können aus zwei Gründen verlorengehen: Der angesprochene Stromausfall oder ein generelles Flash-Versagen.
Häufiger werden kritische Ausfälle in Verbindung mit dem Flash-Speicher nicht durch den Ausfall der Flash-Hardware verursacht, sondern durch den Verlust von Daten, während diese in den Flash-Speicher geschrieben werden. Das Android-Gerät geht oftmals davon aus, dass ein Akku im System vorhanden ist, wie bei den meisten Mobilfunkgeräten, um einen plötzlichen Energieabfall zu verhindern. Die kommerziellen beziehungsweise industriellen Hardwaredesigns enthalten jedoch für gewöhnlich keinen Akku oder können es schlicht nicht. Zudem zeigt das ursprüngliche Android-Design Schwächen, wenn die Energiezufuhr plötzlich unterbrochen wird.
Vor dem Speichern im Flash-Speicher werden Daten oftmals in einer mit DRAM gesicherte „Warteschlange“ platziert, der millionenfach schneller sein kann als Flash. Anders als bei Flash gehen die Daten im DRAM jedoch bei einem Stromausfall verloren. Falls dies passiert, können essenzielle Teile des Systems – z.B. Dateisystem-Indizes und Konfigurationsdatenbanken – in einen fehlerhaften Zustand geraten. Dadurch wird häufig eine Funktionsuntüchtigkeit des Geräts verursacht, sodass es nicht mehr über das Netzwerk erreicht werden kann.
Eine weitere Ursache für den Ausfall des Flash-Speichers ist der physische Verschleiß des Flash-Speichergeräts. Ein Flash-Speicher ist in „Blöcke“ unterteilt, die eine begrenzte Lebensspanne haben, die daran gemessen wird, wie oft sie gelöscht werden. Wird die zulässige Anzahl von Löschvorgängen erreicht, so wird der Block unbrauchbar und muss durch einen der Ersatzblöcke ersetzt werden. Wenn die Ersatzblöcke zur Neige gehen, wird der Flash-Speicher funktionsuntüchtig.
Wenn Daten gleichmäßig über alle Blöcke verteilt werden, Stichwort „Verschleißnivellierung“, kann ein typisches Flash-Gerät Billionen von Schreibvorgängen standhalten, und das ist wirklich viel. Das typische Mobilfunkgerät nimmt bei jedem geschossenen Foto und jedem aufgezeichneten Anruf ein paar Änderungen vor. Durchschnittlich geschieht dies einige Male pro Tag. Industrieanwendungen müssen jedoch häufig durchgehend Aktivitätsprotokolle speichern, eventuell tausende Male pro Stunde. Falls der Verschleißnivellierungsmechanismus nicht richtig entwickelt ist, können Rund-um-die-Uhr-Vorgänge den Flash-Speicher rasch zerstören.
Für die Mobilgerätebranche wird der eMMC (Embedded-Multi-Media-Controller) eingesetzt, um einen dedizierten Flash-Controller bereitzustellen, der die softwaregestützte Flash-Steuerung ersetzt. Ein guter eMMC-Controller bietet eine optimale Verschleißnivellierung und lässt den Flash-Speicher bei einem Energieverlust eventuell ein wenig eleganter herunterfahren. Der eMMC behebt jedoch nicht den Datenverlust bei Stromausfall, sodass das System weiterhin anfällig für sein häufigstes Problem ist.
IAdea hingegen bietet die grundlegende Architektur für die effektive Bewältigung dieses Problems, unabhängig von der Nutzung von eMMC oder herkömmlichem Flash-Speicher.
#Netzpalaver: Können Sie uns die Architektur des ausfallsicheren Flash-Speichers genauer erläutern?
Björn Christiansen: Typische Android-Geräte verfügen über einen integrierten Flash-Speicher und einen SD-Karten-basierten externen Flash-Speicher. Anwendungsentwickler bevorzugen oftmals die SD-Karte gegenüber dem internen Speicher, da letzterer oft kleiner ist und speziellen Zwecken dient. Außerdem lässt sich die SD-Karte bei vollständiger Abnutzung einfach ersetzen, während der interne Flash-Speicher nicht austauschbar ist. Durch das Design von Android ist die SD-Karte allerdings mangelhaft gegen Datenverlust geschützt.
Eine in ein Android-Gerät gesteckte SD-Karte wird mit dem Dateisystem FAT32 formatiert. dadurch ist eine gute Interoperabilität möglich, wenn die SD-Karte im Wechsel mit dem Android-Gerät (z.B. Mobiltelefon) und einem PC oder einer Digitalkamera verwendet wird. FAT32 ist jedoch eine veraltete Technologie, die keinen Schutz vor Datenverlust bietet. Wenn der Strom ausfällt, während Daten auf die SD-Karte geschrieben werden, können Dateifehler auftreten, durch die eine Anwendung eventuell funktionsunfähig wird.
IAdea wendet das Dateisystem EXT4 auf die SD-Karte an, das im Sinne der Lebensdauerverlängerung für das Flash-Gerät konfiguriert ist. EXT4 ist das gängige Dateisystem in Linux-Betriebssystemen und enthält einige der leistungsfähigsten Datenschutzmechanismen gegen raue Anwendungsbedingungen aller Art. Falls es durch einen Stromausfall zu einem Datenverlust kommt, erkennt und behebt die Technologie die Situation.
#Netzpalaver: Nur ein anderes, wenn auch besseres Dateissystem zu verwenden, kann noch nicht die Lösung sein. Die angesprochenen, massiven Schreib-Lese- und Löschvorgänge bleiben, oder?
Björn Christiansen: Stimmt, um den Flash-Speicher vor seinem letztendlichen verschleißbedingten physischen Ausfall zu bewahren, muss die Anzahl der Schreibvorgänge verringert werden. Flash-Speicher ist in „Seiten“, die kleinste Einheit für Lese-/Schreibvorgänge, und in „Blöcken“, die kleinste Einheit für Löschvorgänge, organisiert und beinhaltet eine Anzahl von Seiten. Bevor Daten auf eine Seite geschrieben werden können, muss erst der Block gelöscht werden, der sie enthält. Man kann die Anzahl der Löschvorgänge verringern, indem man die Daten kombiniert, sodass die Änderung mehrerer Seiten in einem Block nur einen Löschvorgang für den Block ausmacht.
Das herkömmliche Android führt bereits eine Verringerung des Schreibvolumens in begrenzter Form durch. Je länger man jedoch auf Schreibanforderungen wartet, desto höher ist das Risiko, dass die aufgereihten Anforderungen bei einem Stromausfall verloren gehen. Da ein herkömmliches Android bei derartigen Ereignissen tendenziell funktionsunfähig wird, ist das Ausmaß der Verringerung des Schreibvolumens sehr begrenzt.
Produkte von IAdea hingegen sind so konzipiert, dass sie die physische Struktur des Flash-Speichers ausnutzen und den Verschleiß reduzieren. Denn die proprietäre Technologie von IAdea leistet eine aggressive Verringerung des Schreibvolumens für den Flash-Speicher, da sie vor den Nebeneffekten des Datenverlusts – wie zuvor schon erläutert – geschützt ist.
Zusammenfassend lässt sich abschließend sagen: Durch all unsere Maßnahmen und insbesondere durch die Verbesserungen am Betriebssystem können Android-Anwendungen zuverlässiger rund um die Uhr unbeaufsichtigt ausgeführt werden.
#Netzpalaver #IAdeaDeutschland