Installations- und Gebäudetechnik

(Bild: iStock.com)

(Bild: Markus Gehrig)

Normen zu Rechenzentren

Seit einiger Zeit gibt es für Rechenzentren die Norm EN 50600. Können wir nun Tier 1-4 vergessen? Die wichtigsten Änderungen und Verbesserungen erfahren Sie hier.

Wenn über Verfügbarkeitsklassen in Rechenzentren gesprochen wird, fallen noch heute die Begriffe Tier 1 bis 4. Die Begriffe kamen ursprünglich vom amerikanischen Uptime-Institut, welches die proprietären Standards über Rechenzentren herausgaben und dies heute noch tun. Auch der TIA-942-Tier-Standard hat eine ähnliche Definition, macht jedoch im Gegensatz zum Uptime-Institute konkrete technische Vorgaben. Daneben gibt es noch weitere. In Europa haben wir seit einigen Jahren eine viel besser an die hiesige Situation angepasste Norm: Die EN-50600-Reihe. Sie verfolgt eher einen heuristischen Ansatz, womit der empirische und gesamtheitliche Approach gemeint ist. Die Managementebene mit der vom Kerngeschäft abgeleiteten Risikoanalyse, die Planung, der Bau und der Betrieb sind im Klassifizierungssystem berücksichtigt. Im Folgenden wollen wir uns den für die Gebäude-Elektroingenieure wichtigen Aspekten der Versorgungssicherheit annehmen.

Wie die Grafik zeigt, ist die Norm in generelle Konzepte, Planung, Betrieb, Management mit Key-Performance-Indikatoren und Supportinformationen und Technische Reports gegliedert. Die Normenreihe umfasst alle Bereiche der Gebäudetechnik, alle Ebenen der Organisation darin eingeschlossen das strategische Management. Ein Rechenzentrum erreicht eine bestimmte Klasse nur dann, wenn es entsprechend geplant, gebaut und auch betrieben wird.

Akzeptables Risiko

In den generellen Standards 50600-1 geht man von der Festlegung des akzeptablen Grenzrisikos aus. Diese determiniert im wesentlichen die folgenden Faktoren:

a) Die Auswirkungen auf das Geschäft: Damit sind die Kosten gemeint, die mit einem Ausfall der Leistungserbringung verbunden sind. Dazu gehören eine Reihe von Faktoren wie auch die Funktion und Bedeutung des RZ.

b) Der externe kommerzielle Druck (z.B. Versicherungskosten).

Zur Beurteilung des Gesamtrisikos lässt die Norm offen, welche Methode angewendet werden soll. Dazu kann ein vorhandenes Managementtool verwendet werden, welches den Vergleich zum akzeptablen Gesamtrisiko beurteilt und die Verbesserungen mit Trends aufzeigt. Jedes Ereignis, das die Dienstleistung des Datacenters stören kann, wird Ereignisrisiko genannt. Alle Ereignisrisiken müssen mit dem gleichen Massstab beurteilt werden. Das Gesamtrisiko nach dieser Norm beinhaltet nicht nur die internen Ereignisse, sondern auch externe Ereignisse und Angriffe. So spielt der Standort bezüglich Gesamtrisiko eine gleichbedeutende Rolle wie u.a. die Versorgungsstruktur. Die Auswirkungen wie auch die Eintretenswahrscheinlichkeit werden in folgende vier Stufen quantifiziert, wo bei die

gering: Verlust unkritischer Dienste

mittel: Ausfall kritischer Systemfunktionselemente, aber kein Verlust der Redundanz

hoch: Verlust der Redundanz des kritischen Systems, aber kein Serviceverlust

kritisch: Verlust des kritischen Dienstes oder Verlust von Leben (der auf Personenschäden ausgedehnt werden kann)

Eintretenswahrscheinlichkeit 1) sehr gering; 2) gering; 3) mittel; 4) hoch.

Nachdem das Risiko auf diese Art quantifiziert ist, können die Ausfallkosten berechnet werden, um risikomindernde Massnahmen zu definieren. Erst daraus kann dann das Design der RZ-Infrastruktur festgelegt werden. Die Wahl des erforderlichen Design ist kostenrelevant. Wenn ein voll redundantes System gebaut wird, aber höchstens ein teilredundantes System erforderlich wäre, ist es müssig über Kosteneinsparungen, Rabatte bei den Planern und Unternehmern zu diskutieren. Oft wird hier leider einfach auf das Bauchgefühl gehört und das ist zu wenig.

Für den planenden Ingenieur ist nun das Design wichtig: Ich konzentriere mich hier stark auf die Versorgungssicherheit und die dafür geschaffenen Klassen. Die Wahl der Klasse geht aus der Risikoanalyse hervor. Anders als bei anderen Ansätzen, wird hier eine pragmatische auf Erfahrung beruhende gesamtheitliche Herangehensweise verwendet.

Eine Lösung ist angemessen nach Klasse 1, wenn das Ergebnis der Risikoanalyse folgendes zulässt:

- Ein einziger Fehler in einem Funktionselement kann zum Verlust der Funktionsfähigkeit führen

- Eine geplante Wartung kann die Abschaltung der Last erfordern.

Eine Lösung ist angemessen nach Klasse 2, wenn das Ergebnis der Risikoanalyse folgendes als notwenig erachtet:

- ein einzelner Fehler in einem Gerät darf nicht zum Verlust der Funktionsfähigkeit dieses Pfades (über redundante Geräte) führen

- die routinemässig geplante Wartung eines redundanten Geräts darf nicht die Abschaltung der Last erfordern. (Ein Ausfall des Pfades kann zu einer ungeplanten Abschaltung der Last führen und die routinemässige Wartung nicht redundanter Geräte kann eine geplante Abschaltung der Last erfordern.)

Eine Lösung ist angemessen nach Klasse 3, wenn das Ergebnis der Risikoanalyse folgendes als notwenig erachtet:

- ein Fehler eines Funktionselements darf nicht zum Verlust der Funktionsfähigkeit führen

- die geplante Wartung darf nicht die Abschaltung der Last erfordern

- für die Umgebungskontrolle: Obwohl ein Ausfall eines Pfades zu einer ungeplanten Abschaltung der Last führen kann, dürfen die Wartungsroutinen keine geplante Abschaltung der Last erfordern, da der passive Pfad dazu dient, die gleichzeitige Wartung zu ermöglichen und die Wiederherstellung der Betriebszeit nach dem Ausfall eines Pfades zu verringern.(Minimierung der mittleren Ausfallzeit)

 Alle Pfade müssen so ausgelegt sein, dass sie die maximale Last aufnehmen können.

Eine Lösung der Klasse 4 (fehlertolerante Lösung ausser während der Wartung) ist angemessen, wenn das Ergebnis der der Risikobewertung dies als notwendig erachtet:

- ein Fehler eines Funktionselements nicht zum Verlust der Funktionsfähigkeit führt

- die geplante Instandhaltung darf nicht die Abschaltung der Last erfordern

- für die Stromversorgung und -verteilung: ein einzelnes Ereignis, das ein Funktionselement beeinträchtigt, darf nicht zu einem Verlust der Funktionsfähigkeit führen in der Lastabschaltung

- für die Umgebungskontrolle: Ein Ausfall eines Pfades darf nicht zu einer ungeplanten Lastabschaltung führen

- Alle Pfade müssen so ausgelegt sein, dass sie die maximale Last aufnehmen können.

Die Implementierung höherer Verfügbarkeitsklassen bedingt nicht nur die Planung und Installation von anspruchsvollen Lösungen, sondern auch die betrieblich-organisatorischen Massnahmen wie geschultes Servicepersonal, Ersatzteilhaltung, Wartungsverträge, präzise Handlungsanweisungen im Fehlerfall, Eskalation der Information etc.

Versorgung

Im folgenden wollen wir und den Klassen 1 bis 4 hinsichtlich der elektrischen Versorgung näher zuwenden (roter Teil der Tabelle 1 und Eigenschaften Tabelle 2). Wir unterscheiden hier zuerst die Versorgung und die Verteilung. Die Versorgung  beinhaltet die Speisung auf die Primärverteilung. Sie kann eine Primäre, eine Sekundäre oder eine Zusätzliche sein. Primäre und Sekundäre können zum Beispiel eine Haupt- und eine Nebeneinspeisung ab einer Trafostation sein, wobei die Nebeneinspeisung unabhängig von der Hauptspeisung und ständig verfügbar sein muss. Die Zusätzliche ist eine Netzersatzanlage oder eine unabhängige Noteinspeisung, die bei einem Ausfall der primären oder sekundären Versorgung Strom liefert. Denkbar wäre hier meiner Ansicht nach auch eine Einspeisung aus einem Bahnnetz über einen Umformer. Die verschiedenen Quellen werden je nach Klasse zusammengeschaltet oder umgeschaltet in der Hauptverteilung. Die Sammelschiene nach den Einspeisungen stellt die Abgrenzung zur Verteilung dar.

Verteilung

Die Verteilung ist je nach Klasse ein- oder zweikanalig mit oder ohne Redundanz. Die Klasse 1 ist einkanalig ohne Redundanz. Ein Ausfall eines Elementes führt zu einem Ausfall der Versorgung. Die Klasse 2 dagegen hat bereits eine redundante DC- oder USV-Versorgung, ist jedoch immer noch einkanalig. Redundante Systeme sind parallelgeschaltet, daher wird die Last im Verhältnis der Admittanzen auf die beiden redundanten Pfade aufgeteilt.

Erst in der Klasse 3 kommt eine zweikanalige Versorgung zur Anwendung. Der zweite Kanal kann hier jedoch noch direkt vom 2. Netz kommen und muss nicht USV-versorgt sein. Bei der zweikanaligen Versorgung stellt der zweite Kanal jeweils die Redundanz dar. Im Normalbetrieb ist die Last so gleichmässig auf die beiden Zweige verteilt, wie das Equipment in den Steckdosen der Racks gesteckt sind. Der zweite Weg könnte quasi auch weggedacht werden. In diesem Fall würde dann ein einziger Kanal die ganze Last tragen. Die Last kippt also auf den noch intakten Pfad. Bei der Klasse 4 sind dann beide Pfade über eine oder mehrere parallele USV-Anlagen versorgt. Werden mehrere USV-Anlagen pro Weg installiert, ergibt sich aus den Forderungen der Zweikanaligkeit eine Redundanz. Das bedeutet, dass unter der Voraussetzung, dass beide Versorgungskanäle verfügbar sind, eine USV-Anlage ausfallen und die zweikanalige Versorgung immer noch gewährleistet ist.

Kupplungen

Wenn in Rechenzentren Kupplungen zweier Netze vorgesehen sind, müssen diese immer in der Form Netz-Knoten-Knoten-Netz sein, damit in einem Wartungs-, Störungs- oder Havariefall eine spannungsunabhängige vollständige Trennung erfolgen kann.

Dasselbe gilt auch für Bypassschaltungen. Die endliche Nutzungsdauer einer USV-Anlage erfordert zu einem bestimmten Zeitpunkt einen Ersatz. Ein solcher Ersatz kann auch bei einem nichtredundanten einkanaligen System ohne Unterbrechung (ungestörte Netzversorgung vorausgesetzt) erfolgen, wenn das System sinnvoll geplant ist. Dieser Fall tritt ein, wenn die USV-Anlage vollständig überbrückt und allseitig getrennt werden kann. Die Bypassschaltung sollte dabei lieferantenunabhängig sein. Ob und wann die Begriffe Tier 1 bis 4 in Europa ganz verschwinden, ist schwer zu beantworten. Klar ist hingegen, dass die EN 50600 die europäischen Verhältnisse besser abbildet. Welche Bedeutung der Schutztechnik in einem Rechenzentrum zu kommt und ob sie in der Lage ist, alles über den Haufen zu werfen, lesen Sie in einer späteren Ausgabe.