Latenztest

Dies ist eine der häufigsten Arten von Leistungstests, weil sie in der Regel engmit einer Systembeobachtung verbunden ist, die für das Management von direktem Interesse ist: Wie lange warten unsere Kunden auf eine Transaktion (oder einen Seitenaufbau)? Das ist ein zweischneidiges Schwert, denn die quantitative Frage, die ein Latenztest beantworten soll, scheint so offensichtlich, dass sie die Notwendigkeit der Identifizierung quantitativer Fragen für andere Arten von Leistungstests verschleiern kann.

Doch selbst im einfachsten Fall hat ein Latenztest einige Feinheiten, die sorgfältig behandelt werden müssen. Eine der auffälligsten ist, dass (wie wir in "Statistiken für die JVM-Leistung" ausführlich erörtern werden ) ein einfacher Mittelwert (Durchschnitt) als Maß dafür, wie gut eine Anwendung auf Anfragen reagiert, nicht sehr nützlich ist.

Durchsatztest

Der Durchsatz ist wahrscheinlich die zweithäufigste Größe, die bei Leistungstests verwendet wird. In gewissem Sinne kann er sogar mit der Latenzzeit gleichgesetzt werden.

Wenn wir z. B. einen Latenztest durchführen, ist es wichtig, die gleichzeitig laufenden Transaktionen anzugeben (und zu kontrollieren), wenn wir eine Verteilung der Latenzergebnisse erstellen.

Ebenso führen wir normalerweise einen Durchsatztest durch, während wir die Latenz überwachen. Wir ermitteln den "maximalen Durchsatz", indem wir feststellen, wann sich die Latenzverteilung plötzlich ändert, d. h. einen "Bruchpunkt" (auch Wendepunkt genannt) des Systems. Der Sinn eines Stresstests besteht darin, solche Punkte und die Belastungsstufen, bei denen sie auftreten, zu ermitteln.

Bei einem Durchsatztest hingegen geht es darum, den beobachteten maximalen Durchsatz zu messen, bevor das System anfängt, sich zu verschlechtern.

Belastungstest

Ein Lasttest unterscheidet sich von einem Durchsatztest (oder einem Stresstest) dadurch, dass er in der Regelals binärer Test angelegt ist: "Kann das System die erwartete Last bewältigen oder nicht?" Lasttests werden manchmal im Vorfeld von erwarteten Geschäftsereignissen durchgeführt, z. B. wenn ein neuer Kunde oder ein neuer Markt hinzukommt, von dem erwartet wird, dass er den Datenverkehr in der Anwendung stark erhöht. Andere Beispiele für mögliche Ereignisse, die die Durchführung dieser Art von Tests rechtfertigen könnten, sind Werbekampagnen, Social Media Events und "virale Inhalte".

Stresstest

Eine Möglichkeit, einen Stresstest durchzuführen, besteht darin, festzustellen, wie viel Spielraum das System hat. In der Regel wird das System in einen stabilen Zustand versetzt, d. h. es wird ein bestimmter Durchsatz (oft der aktuelle Höchstwert) erreicht. Der Test erhöht dann langsam die Anzahl der gleichzeitigen Transaktionen, bis die beobachtbaren Werte des Systems abnehmen.

Der Wert kurz vor dem Beginn der Verschlechterung der Observablen bestimmt den maximalen Durchsatz, der in einem Durchsatztest erreicht wird.

Ausdauertest

Einige Probleme treten erst über einen viel längeren Zeitraum auf (oft in Tagen gemessen). Dazu gehören langsame Speicherlecks, Cache-Verschmutzung und Speicherfragmentierung (vor allem bei Anwendungen, die den Concurrent Mark and Sweep Garbage Collector verwenden, der irgendwann im Concurrent-Modus ausfallen kann; siehe "CMS" für weitere Informationen).

Um diese Art von Problemen zu erkennen, ist ein Dauertest (auch als Soak-Test bekannt) die übliche Vorgehensweise. Diese werden bei durchschnittlicher (oder hoher) Auslastung durchgeführt, aber innerhalb der beobachteten Belastungen für das System. Während des Tests werden die Ressourcen genau überwacht, um eventuelle Ausfälle oder die Erschöpfung der Ressourcen zu erkennen.

Diese Art von Test ist in Systemen mit schneller Reaktionszeit (oder niedriger Latenz) sehr verbreitet, da diese Systeme häufig nicht in der Lage sind, die Dauer eines Stop-the-World-Ereignisses zu tolerieren, das durch einen vollständigen GC-Zyklus verursacht wird (siehe Kapitel 6 und die folgenden Kapitel für weitere Informationen über Stop-the-World-Ereignisse und damit verbundene GC-Konzepte).

Kapazitätsplanungstest

Kapazitätsplanungstests haben viele Ähnlichkeiten mit Stresstests, aber sie sind eine andere Art von Test. Bei einem Stresstest geht es darum, herauszufinden, was das aktuelle System bewältigen kann, während ein Kapazitätsplanungstest eher zukunftsorientiert ist und darauf abzielt, herauszufinden, welche Last ein modernisiertes System bewältigen könnte.

Aus diesem Grund werden Kapazitätsplanungstests oft als Teil einer geplanten Planungsübung durchgeführt und nicht als Reaktion auf ein bestimmtes Ereignis oder eine Bedrohung.

Zersetzungstest

Ein Degradationstest wird auch als Teilausfalltest bezeichnet. Eine allgemeine Diskussion über Ausfallsicherheit und Failover-Tests würde den Rahmen dieses Buches sprengen, aber es genügt zu sagen, dass in den am stärksten regulierten und überprüften Umgebungen (einschließlich Banken und Finanzinstituten) Failover- und Wiederherstellungstests extrem ernst genommen werden und in der Regel sehr gründlich geplant werden.

Für unsere Zwecke ist die einzige Art von Ausfallsicherheitstest, die wir in Betracht ziehen, der Degradationstest.Der grundlegende Ansatz dieses Tests besteht darin, zu sehen, wie sich das System verhält, wenn eine Komponente oder ein ganzes Subsystem plötzlich an Kapazität verliert, während das System mit simulierten Lasten läuft, die den üblichen Produktionsvolumen entsprechen. Beispiele hierfür sind Anwendungsserver-Cluster, die plötzlich keine Mitglieder mehr haben, Datenbanken, die plötzlich keine RAID-Platten mehr haben, oder Netzwerkbandbreite, die plötzlich abfällt.

Zu den wichtigsten Beobachtungen während eines Degradationstests gehören die Verteilung der Transaktionslatenz und der Durchsatz.

Eine besonders interessante Unterart von Teilausfalltests ist der sogenannte Chaos Monkey. Er ist nach einem Projekt bei Netflix benannt, mit dem die Robustheit der Netflix-Infrastruktur überprüft werden sollte.

Die Idee hinter Chaos Monkey ist, dass in einer wirklich belastbaren Architektur der Ausfall einer einzelnen Komponente keinen kaskadierenden Ausfall verursachen oder einen bedeutenden Einfluss auf das Gesamtsystem haben sollte.

Chaos Monkey versucht, dies zu demonstrieren, indem es nach dem Zufallsprinzip Live-Prozesse beendet, die in der Produktionsumgebung tatsächlich im Einsatz sind.

Um Systeme nach dem Vorbild von Chaos Monkey erfolgreich zu implementieren, muss eine Organisation ein Höchstmaß an Systemhygiene, Service Design und operativer Exzellenz aufweisen. Dennoch ist es ein Bereich, der für immer mehr Unternehmen und Teams von Interesse und Anspruch ist.

Top-Down Leistung

Einer der Aspekte der Java-Leistung, der vielen Ingenieuren auf Anhieb entgeht, ist die Tatsache, dass ein umfangreiches Benchmarking von Java-Anwendungen in der Regel einfacher ist als der Versuch, genaue Zahlen für kleine Codeabschnitte zu ermitteln. Wir werden dies in Kapitel 5 ausführlich besprechen.

Um den Top-Down-Ansatz optimal nutzen zu können, braucht ein Testteam eine Testumgebung, eine klare Vorstellung davon, was es messen und optimieren muss, und eine Vorstellung davon, wie sich die Performance-Übung in den gesamten Lebenszyklus der Softwareentwicklung einfügt.

Erstellen einer Testumgebung

Das Einrichten einer Testumgebung ist eine der ersten Aufgaben, die die meisten Leistungstestteams erledigen müssen. Diese sollte nach Möglichkeit in allen Aspekten ein exaktes Duplikat der Produktionsumgebung sein. Dazu gehören nicht nur die Anwendungsserver (die Server sollten die gleiche Anzahl an CPUs, die gleiche Version des Betriebssystems und der Java-Laufzeitumgebung usw. haben), sondern auch Webserver, Datenbanken, Load Balancer, Netzwerk-Firewalls usw. Alle Dienste (z. B. Netzwerkdienste von Drittanbietern, die nicht einfach zu replizieren sind oder nicht über ausreichende QA-Kapazitäten verfügen, um eine der Produktion vergleichbare Last zu bewältigen) müssen für eine repräsentative Leistungstestumgebung nachgebildet werden.

Manchmal versuchen Teams, eine bestehende QA-Umgebung für Leistungstests wiederzuverwenden oder zeitlich zu teilen. Das kann für kleinere Umgebungen oder für einmalige Tests möglich sein, aber der Verwaltungsaufwand und die damit verbundenen Zeitplanungs- und Logistikprobleme sollten nicht unterschätzt werden.

In traditionellen (d. h. nicht cloudbasierten) Umgebungen ist eine produktionsähnliche Umgebung für Leistungstests relativ einfach zu erreichen: Das Team kauft einfach so viele physische Maschinen, wie in der Produktionsumgebung verwendet werden, und konfiguriert sie dann genau so wie die Produktionsumgebung.

Das Management wehrt sich manchmal gegen die zusätzlichen Infrastrukturkosten, die damit verbunden sind. Das ist fast immer eine falsche Sparsamkeit, aber leider misslingt es vielen Unternehmen, die Kosten für Ausfälle korrekt zu berücksichtigen. Das kann dazu führen, dass man glaubt, dass die Einsparungen durch den Verzicht auf eine genaue Leistungstestumgebung sinnvoll sind, da die Risiken, die durch eine QS-Umgebung entstehen, die die Produktion nicht widerspiegelt, nicht richtig berücksichtigt werden.

Jüngste Entwicklungen, vor allem das Aufkommen der Cloud-Technologien, haben dieses eher traditionelle Bild verändert. On-Demand-Infrastruktur und automatische Skalierung bedeuten, dass immer mehr moderne Architekturen nicht mehr dem Modell "Server kaufen, Netzwerkdiagramm erstellen, Software auf Hardware installieren" entsprechen. Der Devops-Ansatz, bei dem die Serverinfrastruktur als "Vieh, nicht als Haustier" behandelt wird, bedeutet, dass sich viel dynamischere Ansätze für das Infrastrukturmanagement durchsetzen.

Das macht den Aufbau einer Umgebung für Leistungstests, die der Produktionsumgebung ähnelt, zu einer potenziellen Herausforderung. Es besteht jedoch die Möglichkeit, eine Testumgebung einzurichten, die bei Nichtgebrauch abgeschaltet werden kann. Das kann dem Projekt erhebliche Kosteneinsparungen bringen, erfordert aber ein geeignetes Verfahren zum planmäßigen Starten und Abschalten der Umgebung.

Leistungsanforderungen ermitteln

Erinnern wir uns an das einfache Systemmodell, das wir in "Ein einfaches Systemmodell" kennengelernt haben . Daraus geht klar hervor, dass die Gesamtleistung eines Systems nicht allein durch deinen Anwendungscode bestimmt wird. Der Container, das Betriebssystem und die Hardware spielen alle eine Rolle.

Deshalb sollten die Kennzahlen, die wir zur Leistungsbewertung verwenden, nicht nur im Hinblick auf den Code betrachtet werden. Stattdessen müssen wir das System als Ganzes betrachten und die beobachtbaren Größen, die für Kunden und Management wichtig sind. Diesewerden normalerweise als nichtfunktionale Leistungsanforderungen (NFRs) bezeichnet und sind die Schlüsselindikatoren, die wir optimieren wollen.

Einige Ziele sind offensichtlich:

• Reduziere die Transaktionszeit im 95%-Perzentil um 100 ms.

• Verbessere das System so, dass ein 5-facher Durchsatz auf der vorhandenen Hardware möglich ist.

• Verbessere die durchschnittliche Reaktionszeit um 30%.

Andere sind vielleicht weniger offensichtlich:

• Reduziere die Ressourcenkosten für die Bedienung eines durchschnittlichen Kunden um 50%.

• Sicherstellen, dass das System immer noch innerhalb von 25 % der Reaktionsziele liegt, selbst wenn die Anwendungscluster um 50 % degradiert sind.

• Verringere die Absprungrate deiner Kunden um 25 % pro 25 ms Latenzzeit.

Eine offene Diskussion mit den Beteiligten darüber, was genau gemessen werden soll und welche Ziele erreicht werden sollen, ist unerlässlich. Idealerweise sollte diese Diskussion Teil des ersten Kick-off-Meetings für die Leistungsübung sein.

Java-spezifische Probleme

Vieles aus der Wissenschaft der Leistungsanalyse ist auf jedes moderne Softwaresystem anwendbar. Die JVM ist jedoch so beschaffen, dass es einige zusätzliche Komplikationen gibt, die der Leistungsingenieur kennen und sorgfältig berücksichtigen sollte. Diese ergeben sich größtenteils aus den dynamischen Selbstverwaltungsfähigkeiten der JVM, wie z. B. der dynamischen Abstimmung von Speicherbereichen.

Eine besonders wichtige Java-spezifische Erkenntnis bezieht sich auf die JIT-Kompilierung. Moderne JVMs analysieren, welche Methoden ausgeführt werden, um Kandidaten für die JIT-Kompilierung in optimierten Maschinencode zu identifizieren. Das bedeutet, dass, wenn eine Methode nicht JIT-kompiliert wird, eines von zwei Dingen auf diese Methode zutrifft:

• Sie wird nicht häufig genug ausgeführt, um eine Kompilierung zu rechtfertigen.

• Die Methode ist zu groß oder zu komplex, um sie für die Kompilierung zu analysieren.

Die zweite Bedingung ist viel seltener als die erste. Eine frühe Leistungsübung für JVM-basierte Anwendungen besteht jedoch darin, eine einfache Protokollierung der Methoden, die kompiliert werden, einzuschalten und sicherzustellen, dass die wichtigen Methoden für die wichtigsten Codepfade der Anwendung kompiliert werden.

In Kapitel 9 werden wir die JIT-Kompilierung im Detail besprechen und einige einfache Techniken zeigen, mit denen sichergestellt wird, dass die wichtigen Methoden der Anwendungen von der JVM für die JIT-Kompilierung ausgewählt werden.

Leistungstests als Teil des SDLC

Manche Unternehmen und Teams ziehen es vor, Leistungstests als gelegentliche, einmalige Aktivität zu betrachten. Anspruchsvollere Teams neigen jedoch dazu, laufende Leistungstests und insbesondere Leistungsregressionstests zu einem festen Bestandteil ihres Softwareentwicklungszyklus (SDLC) zu machen.

Dies erfordert die Zusammenarbeit zwischen den Entwicklern und den Infrastrukturteams, um zu kontrollieren, welche Versionen des Codes sich zu einem bestimmten Zeitpunkt in der Umgebung für Leistungstests befinden. Außerdem ist es praktisch unmöglich, ohne eine spezielle Testumgebung zu arbeiten.

Nachdem wir einige der bewährten Methoden zur Leistungssteigerung erörtert haben, wollen wir uns nun den Fallstricken und Antipatterns zuwenden, denen Teams zum Opfer fallen können.

Langeweile

Die meisten Entwickler/innen haben schon einmal erlebt, dass sie sich in ihrer Rolle gelangweilt haben, und bei manchen dauert es nicht lange, bis sie nach einer neuen Herausforderung oder Rolle im Unternehmen oder anderswo suchen. Es kann aber auch sein, dass es in dem Unternehmen keine anderen Möglichkeiten gibt und ein Wechsel in ein anderes Unternehmen nicht möglich ist.

Wahrscheinlich sind viele Leser/innen schon einmal einem Entwickler begegnet, der einfach nur ausharrt und vielleicht sogar aktiv nach einem leichteren Leben sucht. Gelangweilte Entwickler können einem Projekt jedoch auf verschiedene Weise schaden. Zum Beispiel können sie den Code komplizierter machen, als er eigentlich sein müsste, z. B. indem sie einen Sortieralgorithmus direkt in den Code schreiben, obwohl ein einfaches Collections.sort() ausreichen würde. Sie könnten ihre Langeweile auch dadurch zum Ausdruck bringen, dass sie versuchen, Komponenten mit Technologien zu bauen, die sie nicht kennen oder die vielleicht nicht zum Anwendungsfall passen, nur um sie zu nutzen - was uns zum nächsten Abschnitt führt.

Auffüllen des Lebenslaufs

Manchmal hat die übermäßige Nutzung von Technologien nichts mit Langeweile zu tun, sondern damit, dass der Entwickler die Gelegenheit nutzt, seine Erfahrung mit einer bestimmten Technologie in seinem Lebenslauf aufzuwerten. In diesem Fall versucht der/die Entwickler/in aktiv, sein/ihr potenzielles Gehalt und seine/ihre Marktfähigkeit zu erhöhen, da er/sie kurz vor dem Wiedereinstieg in den Arbeitsmarkt steht. Es ist unwahrscheinlich, dass viele Leute in einem gut funktionierenden Team damit durchkommen, aber es kann trotzdem die Ursache für eine Entscheidung sein, die ein Projekt auf einen unnötigen Weg führt.

Die Folgen einer unnötigen Technologie, die aus Langeweile oder zur Aufbesserung des Lebenslaufs eines Entwicklers hinzugefügt wurde, können weitreichend und sehr langlebig sein und noch viele Jahre andauern, nachdem der ursprüngliche Entwickler sich auf grünere Weiden begeben hat.

Gruppenzwang

Technische Entscheidungen sind oft dann am schlimmsten, wenn Bedenken nicht geäußert oder diskutiert werden, wenn die Entscheidungen getroffen werden. Das kann sich auf verschiedene Weise äußern: Vielleicht will ein Nachwuchsentwickler vor den älteren Teammitgliedern keinen Fehler machen ("Impostersyndrom"), oder ein Entwickler fürchtet, bei einem bestimmten Thema als uninformiert dazustehen. Eine andere, besonders schädliche Form des Gruppendrucks besteht darin, dass konkurrierende Teams, die als sehr schnell in der Entwicklung gelten wollen, wichtige Entscheidungen überstürzen, ohne alle Konsequenzen zu bedenken.

Mangelndes Verständnis

Entwickler/innen versuchen oft, neue Tools einzuführen, um ein Problem zu lösen, weil sie sich der vollen Leistungsfähigkeit ihrer aktuellen Tools nicht bewusst sind. Es ist oft verlockend, sich einer neuen und aufregenden Technologiekomponente zuzuwenden, weil sie für eine bestimmte Aufgabe hervorragend geeignet ist. Bei der Einführung von mehr technischer Komplexität muss jedoch abgewogen werden, was die aktuellen Tools tatsächlich leisten können.

Zum Beispiel wird Hibernate manchmal als die Antwort auf die Vereinfachung der Übersetzung zwischen Domänenobjekten und Datenbanken gesehen. Wenn das Team nur ein begrenztes Verständnis von Hibernate hat, können die Entwickler Annahmen über die Eignung von Hibernate treffen, weil sie es in einem anderen Projekt eingesetzt haben.

Dieses mangelnde Verständnis kann zu einer überkomplizierten Nutzung von Hibernate und zu nicht wiederherstellbaren Produktionsausfällen führen. Wenn du dagegen die gesamte Datenschicht mit einfachen JDBC-Aufrufen umschreibst, bleibt der Entwickler auf vertrautem Terrain. Einer der Autoren unterrichtete einen Hibernate-Kurs, in dem sich ein Teilnehmer genau in dieser Situation befand. Er versuchte, genug Hibernate zu lernen, um zu sehen, ob die Anwendung wiederhergestellt werden kann, musste aber am Ende Hibernate im Laufe eines Wochenendes aus dem Verkehr ziehen - definitiv keine beneidenswerte Situation.

Missverstandenes/nicht existierendes Problem

Entwickler/innen setzen oft eine Technologie ein, um ein bestimmtes Problem zu lösen, ohne dass der Problemraum selbst ausreichend untersucht wurde. Ohne gemessene Leistungswerte ist es fast unmöglich, den Erfolg einer bestimmten Lösung zu verstehen. Das Zusammentragen dieser Leistungskennzahlen ermöglicht oft ein besseres Verständnis des Problems.

Um Antipatterns zu vermeiden, ist es wichtig, dass die Kommunikation über technische Fragen für alle Teilnehmer/innen im Team offen ist und aktiv gefördert wird. Wenn etwas unklar ist, können das Sammeln von Fakten und die Arbeit an Prototypen helfen, die Entscheidungen des Teams zu steuern. Eine Technologie mag attraktiv aussehen, aber wenn der Prototyp nicht den Anforderungen entspricht, kann das Team eine fundierte Entscheidung treffen.

Abgelenkt durch Glänzendes

Abgelenkt durch Einfach

Assistent für Leistungsoptimierung

Stimmung durch Folklore

Der Esel der Schuld

Das große Ganze übersehen

UAT ist mein Schreibtisch

Produktionsnahe Daten sind schwierig

Reduktionistisches Denken

Diese kognitive Voreingenommenheit basiert auf einem analytischen Ansatz, der davon ausgeht, dass man ein System verstehen kann, wenn man es in genügend kleine Teile zerlegt. Jedes Teil zu verstehen bedeutet, die Wahrscheinlichkeit falscher Annahmen zu verringern.

Das Problem mit dieser Ansicht ist, dass sie in komplexen Systemen einfach nicht stimmt. Nicht-triviale Software- (oder physikalische) Systeme zeigen fast immer ein emergentes Verhalten, bei dem das Ganze größer ist, als es die einfache Addition seiner Teile vermuten lässt.

Bestätigungsvorurteil

Confirmation Bias kann zu erheblichen Problemen führen, wenn es um Leistungstests oder den Versuch geht, eine Anwendung subjektiv zu betrachten. Ein Confirmation Bias wird - meist unabsichtlich - eingeführt, wenn ein schlechtes Testset ausgewählt wird oder die Testergebnisse nicht statistisch fundiert analysiert werden. Bestätigungsfehler sind schwer zu bekämpfen, weil oft starke motivationale oder emotionale Faktoren im Spiel sind (z. B. wenn jemand im Team versucht, einen Standpunkt zu beweisen).

Nehmen wir ein Antipattern wie Distracted by Shiny, bei dem ein Teammitglied die neueste und beste NoSQL-Datenbank einführen möchte. Sie führen einige Tests mit Daten durch, die nicht mit den Produktionsdaten übereinstimmen, weil die Darstellung des vollständigen Schemas zu kompliziert für die Auswertung ist. Sie stellen schnell fest, dass die NoSQL-Datenbank auf ihrem lokalen Rechner bessere Zugriffszeiten liefert. Der Entwickler hat allen gesagt, dass dies der Fall sein würde, und nachdem er die Ergebnisse gesehen hat, fährt er mit einer vollständigen Implementierung fort. Hier sind mehrere Gegenmuster am Werk, die alle zu neuen, unbewiesenen Annahmen im neuen Bibliotheksstapel führen.

Nebel des Krieges (Action Bias)

Diese Verzerrung zeigt sich normalerweise bei Ausfällen oder in Situationen, in denen das System nicht wie erwartet funktioniert. Zu den häufigsten Ursachen gehören:

• Änderungen an der Infrastruktur, auf der das System läuft, vielleicht ohne Benachrichtigung oder ohne zu wissen, dass dies Auswirkungen haben würde

• Änderungen an Bibliotheken, von denen das System abhängig ist

• Ein seltsamer Fehler oder eine Rennsituation, die sich am geschäftigsten Tag des Jahres manifestiert

In einer gut gewarteten Anwendung mit ausreichender Protokollierung und Überwachung sollten diese eindeutige Fehlermeldungen erzeugen, die das Support-Team zur Ursache des Problems führen.

Allerdings haben zu viele Anwendungen keine Fehlerszenarien getestet und es fehlt eine angemessene Protokollierung. Unter diesen Umständen können selbst erfahrene Ingenieure in die Falle tappen, weil sie das Gefühl haben müssen, dass sie etwas tun, um den Ausfall zu beheben, und Bewegung mit Geschwindigkeit verwechseln - der "Nebel des Krieges" setzt ein.

Zu diesem Zeitpunkt können viele der in diesem Kapitel besprochenen menschlichen Elemente ins Spiel kommen, wenn die Beteiligten nicht systematisch an das Problem herangehen. Zum Beispiel kann ein Antipattern wie der "Blame Donkey" eine vollständige Untersuchung abkürzen und das Produktionsteam auf einen bestimmten Untersuchungspfad führen - und dabei oft das Gesamtbild übersehen. Ebenso kann das Team versucht sein, das System in seine Bestandteile zu zerlegen und den Code auf einer niedrigen Ebene zu untersuchen, ohne zuerst festzustellen, in welchem Teilsystem das Problem wirklich liegt.

In der Vergangenheit hat es sich vielleicht immer ausgezahlt, systematisch mit Ausfallszenarien umzugehen und alles, was nicht gepatcht werden musste, einem Postmortem zu überlassen. Dies ist jedoch das Reich der menschlichen Emotionen, und es kann sehr schwierig sein, die Spannung aus der Situation zu nehmen, besonders während eines Ausfalls.

Risikovorurteile

Menschen sind von Natur aus risikoscheu und resistent gegen Veränderungen. Meistens liegt das daran, dass die Menschen Beispiele dafür gesehen haben, wie Veränderungen schief gehen können. Das führt dazu, dass sie versuchen, das Risiko zu vermeiden. Das kann unglaublich frustrierend sein, wenn das Eingehen kleiner, kalkulierter Risiken das Produkt voranbringen könnte. Wir können die Risikobereitschaft erheblich reduzieren, indem wir robuste Einheitstests und Regressionstests für die Produktion durchführen. Wenn einem von beiden nicht vertraut wird, werden Änderungen extrem schwierig und der Risikofaktor wird nicht kontrolliert.

Diese Voreingenommenheit äußert sich oft darin, dass aus Anwendungsproblemen (sogar aus Serviceausfällen) keine Lehren gezogen werden und keine geeigneten Abhilfemaßnahmen ergriffen werden.

Ellsbergs Paradoxon

Ein Beispiel dafür, wie schlecht der Mensch die Wahrscheinlichkeitsrechnung versteht, ist das Ellsberg-Paradoxon. Benannt nach dem berühmten US-amerikanischen Enthüllungsjournalisten und Whistleblower Daniel Ellsberg, geht es bei diesem Paradoxon um den menschlichen Wunsch nach "bekannten Unbekannten" gegenüber "unbekannten Unbekannten".²

Die übliche Formulierung des Ellsberg-Paradoxons ist ein einfaches Wahrscheinlichkeitsgedankenexperiment. Stell dir eine Tonne vor, die 90 farbige Kugeln enthält - 30 sind bekanntlich blau, der Rest ist entweder rot oder grün. Die genaue Verteilung der roten und grünen Kugeln ist nicht bekannt, aber die Tonne, die Kugeln und damit die Wahrscheinlichkeiten sind durchgehend festgelegt.

Der erste Schritt des Paradoxons wird als eine Auswahl von Einsätzen ausgedrückt. Der Spieler kann sich für eine von zwei Wetten entscheiden:

1. Der Spieler gewinnt $100, wenn eine zufällig gezogene Kugel blau ist.

2. Der Spieler gewinnt 100 $, wenn eine zufällig gezogene Kugel rot ist.

Die meisten Menschen entscheiden sich für A), da die Wahrscheinlichkeit, zu gewinnen, genau 1/3 beträgt. Wenn der Spieler jedoch eine zweite Wette abgibt, passiert etwas Überraschendes (unter der Annahme, dass eine entfernte Kugel wieder in die gleiche Tonne gelegt wird und dann erneut zufällig ausgewählt wird). In diesem Fall sind die Optionen:

1. Der Spieler gewinnt 100 $, wenn eine zufällig gezogene Kugel blau oder grün ist.

2. Der Spieler gewinnt 100 $, wenn eine zufällig gezogene Kugel rot oder grün ist.

In dieser Situation entspricht die Wette D den bekannten Quoten (2/3 Gewinnchance), also wählt praktisch jeder diese Option.

Das Paradoxon besteht darin, dass die Menge der Möglichkeiten A und D irrational ist. Wenn du A wählst, drückst du implizit eine Meinung über die Verteilung der roten und grünen Kugeln aus, nämlich dass es mehr grüne als rote Kugeln gibt. Wenn du A wählst, ist die logische Strategie daher, es mit C zu kombinieren, da dies bessere Chancen bietet als die sichere Wahl von D.