Versorgungskonzepte hochverfügbarer Infrastrukturen

15.03.2019

Unter hochverfügbare Infrastrukturen versteht man meist Rechenzentren, aber auch Leitstellen, Krankenhäuser und andere kritische Infrastrukturen, die per KRITIS-Definition als solche zu betrachten sind. All diese Institutionen müssen sich Gedanken über die Verfügbarkeit ihrer Stromversorgung machen. Gemäß individueller Schutzbedarfsbetrachtung unter Einbeziehung aller Rahmenbedingungen (wie Ausweichstandorte, Dual-Site-Konzept oder ähnliches), z. B. mittels einer Risikoanalyse, gilt es, für die jeweilige Infrastruktur gezielt ein hierfür ausgelegtes elektrotechnisches Versorgungs- und Verteilungssystem zu planen. Hierbei ist in den meisten Unternehmen neben der Verfügbarkeit auch die Wirtschaftlichkeit und die Energieeffizienz zu betrachten.

Verfügbarkeit geht aber immer zwangsläufig zu Lasten des Wirkungsgrades eines Gesamtsystems. Am effektivsten arbeiten z. B. USV-Systeme (USV=Unterbrechungsfreie Stromversorgung), wenn sie mit Nennleistung (d. h. maximale Belastung) betrieben werden. Da bei einer solchen Konstellation keine "Luft" für Ausfälle bleibt, muss immer ein guter Kompromiss zwischen Verfügbarkeit und Effizienz gefunden werden. Redundanzen sind also ein selbstverständliches Muss, doch was ist ein vernünftiges Maß?

Viele Planer projektieren zahlreiche Kreuz- und Querverbindungen, die Umschaltungen zwischen den Versorgungspfaden ermöglichen. Ziel ist eine Erhöhung der Verfügbarkeit. Schnell geht jedoch bei den dann erforderlichen komplexen Schalthandlungen der Überblick verloren und es kommt zu Fehlbedienungen. Die geplante theoretische Verfügbarkeit ist dahin.

Ziel bei der Planung einer hochverfügbaren Infrastruktur sollte ein beherrschbares Stromversorgungskonzept sein. Die Herausforderung liegt nicht in der Komplexität einer Anlage, sondern in ihrer Einfachheit. Die besten Systeme sind solche, die simpel aufgebaut und auch vor Ort für den Techniker einfach zu erfassen sind. Redundanz an sich kann im Detail, wenn man im Störungsfall am Ostermontag morgens um halb vier vor einer Schaltanlage steht, sehr schnell undurchschaubar werden. Hier hilft nur eine klare einfache Struktur. Diese verringert auch das Risiko nicht oder fehlerhaft durchgeführter automatischer Umschaltprozesse – was gar nicht da ist, kann auch nicht kaputtgehen oder falsch bedient werden.

Zur Beantwortung der Frage, wieviel Redundanz zweckmäßig ist und wie diese aufzubauen ist, kann man Antworten bei verschiedenen Institutionen finden:

  • das amerikanische Uptime-Institute mit seiner bekannten Einteilung TIER 1 bis 4,
  • die deutsche Entsprechung dazu in Form der BITKOM-RZ-Kategorien A – D,
  • der TSI-Katalog des TÜViT mit den Leveln 1 – 4, die neuerdings angepasst wurden an die DIN EN 50600 mit ihren Klassen 1 – 4

Unabhängig davon, ob von TIER, Kategorie, Level oder Klasse gesprochen wird, alle besitzen eine vierstufige Einteilung. Es darf jedoch nicht angenommen werden, dass sich die Institutionen alle untereinander abgestimmt hätten. Das Gegenteil ist der Fall. Jedes Konzept sollte für sich betrachtet und mit den eigenen Ansprüchen abgeglichen werden. Sonst werden Äpfel mit Birnen verglichen. Natürlich muss man sich nicht starr an die Konzepte halten, sondern es darf auch, wenn es denn sinnvoll erscheint, davon abgewichen werden und an gewissen Stellen weniger oder auch mehr gemacht werden. Es ist dann jedoch Vorsicht geboten, wenn externe Vorgaben ein gewisses Mindestmaß fordern oder eine Zertifizierung der Infrastruktur angestrebt wird.

Stromversorgung
Hinsichtlich der Mittelspannungsversorgung ist man meist von den örtlichen Gegebenheiten des Verteilungsnetzbetreibers (VNB) abhängig. Mittelspannungsversorgungen werden oft als Ring ausgelegt und über diesen werden dann mehrere Kunden versorgt. Soll eine zweizügige Stromversorgung aufgebaut und über diesen einen Ring angebunden werden, ist das Ausfallrisiko höher als wenn zwei Ringe oder gar zwei dedizierte Umspannwerke zur Verfügung stünden. Allerdings haben die meisten VNB Bedenken, da bei einer Falschhandlung beide Ringe zusammengeschaltet werden könnten, was einem GAU gleichkäme.

Abstimmungsgespräche mit dem VNB zu einem möglichst frühen Zeitpunkt, unter anderem zur Erläuterung des Verfügbarkeitsanspruchs, sind von Vorteil. Daraus ergeben sich dann meist Lösungen, die für alle Beteiligten zufriedenstellend sind.

Abb. 1: einfache Versorgung mit Einzelpfadlösung
Abb. 2: einfache Versorgung mit Mehrpfadlösung
Abb. 3: Redundante Versorgung mit Einzelpfadlösung
Abb. 4: Redundante Versorgung mit Mehrpfadlösung

In der Regel möchte man jedoch nicht völlig dem VNB und seinen – vielleicht sogar vertraglich zugesicherten – Verfügbarkeiten vertrauen. Es kommt Ersatz für das Versorgungsnetz ins Spiel.

Zusätzliche Versorgung
Die Netzersatzanlage (NEA) – in der Regel ein Dieselaggregat – speist das Verteilnetz, wenn Primär- und/oder Sekundärversorgung nicht mehr zur Verfügung stehen. Die Netz­ersatzanlage kann in allen obigen Abbildungen als Ersatz für MS-Anlage und Trafo gesehen werden.

Abb. 5: Einzelpfadlösung mit zusätzlicher Versorgung
Abb. 6: Mehrpfadlösung mit zusätzlicher Versorgung

Möchte man den Bogen weiter spannen, so könnte Abbildung 5 doppelt realisiert werden, sodass zwei Strompfade mit jeweils eigener Primär- und zusätzlicher Versorgung zur Verfügung stünden. Die in Abbildung 6 dargestellte Variante stellt unter Kosten-/
Nutzenaspekten oft das Optimum dar. Bei Netzausfall speist das Aggregat dann oft entweder System A oder System B. Soll sie beide Systeme versorgen, muss sichergestellt sein, dass es keine Probleme mit dem zentralen Erdungspunkt (ZEP) gibt. Denn die
beiden Netze könnten, insbesondere bei räumlich weit entfernt liegenden Stationen, jeweils mit einem eigenen ZEP ausgerüstet sein, da sie im Normalbetrieb ja keine galvanischen Berührungspunkte haben. Würden diese zusammengeschaltet, könnten Ausgleichsströme auf dem Neutralleiter die Folge sein, wodurch Fehlerstromschutzorgane ansprechen können. So etwas kann man aber im Generatorbetrieb gar nicht gebrauchen.

Stromverteilung
Innerhalb der Stromverteilung wird es Haupt- und Unterverteilungen geben. Die DIN EN 50600 bezeichnet diese als Primär-, Sekundär- und Tertiärverteilungen, heruntergebrochen bis zur Steckdosenleiste (PDU) im IT-Rack oder Leitstellentisch, wo dann letztlich die Verbraucher angeschlossen werden.

Abb. 7: Einzelpfadverteilung
Abb. 8: Mehrpfadverteilung aktiv/passiv
Abb. 9: Mehrpfadverteilung aktiv/aktiv

Die dargestellten Verteilungspfade können sowohl für IT-Systeme als auch für haustechnische Systeme wie Kälteanlagen, Umluftkühler oder Rückkühler genutzt werden. Haustechnische Systeme sind in der Regel jedoch nicht USV-gepuffert. Die USV A und B sind so bemessen, dass sie im sogenannten Halblast-Parallelbetrieb arbeiten. Das bedeutet, dass jede USV im Normalbetrieb zu maximal 50 Prozent ausgelastet ist. Eine solche Gesamtkonstellation erfordert keine weiteren Reserven innerhalb eines Pfades, wie sie z. B. bei modularen Systemen gegeben wäre. Fällt ein System aus, übernimmt das verbleibende komplett die Versorgung, und zwar einfach so, ohne irgendwelche Schalt- und Steuerroutinen. Folglich müssen auch alle Schaltanlagen für die komplette Versorgung ausgelegt werden, und nicht etwa nur für 50 Prozent.

Für jedes der beiden USV-Systeme gibt es neben der internen Handumgehung noch einen externen Bypass, also einen Pfad, der es ermöglicht, Energie direkt von der Niederspannungshauptverteilung (NSHV) auf den USV-Ausgangsverteiler (USV-UV) zu schalten. Dieser Bypass ermöglicht bei größeren Wartungsarbeiten oder Totalverlust der Anlage ein schaltungstechnisches Umgehen der USV. Dies ist auch der Grund dafür, warum die USV nicht mit dem Abgangsverteiler (oder gar der NSHV) im selben Raum bzw. Brand-/Rauchabschnitt stehen sollte.

Es ist sehr wichtig darauf zu achten, dass es an allen Punkten, an denen sich die Netze "treffen", keine galvanischen Verbindungen gibt, auch nicht beim Neutralleiter. Bei der Kältetechnik zum Beispiel gibt es stattdessen eine automatische Umschaltung, bei der die Anlagen im Regelbetrieb von einem definierten Netz (z. B. Pfad A) versorgt werden. Fällt dieses Netz aus, schaltet die Umschaltung automatisch das ausgefallene Netz ab und nach kurzer Verzögerung das verbleibende Netz (Pfad B) zu.

Denn einerseits sind Klimaanlagen so robust, dass sie kurze Stromausfälle überstehen. Andererseits verursachen z. B. Kältemaschinen sehr hohe Anlaufströme, sodass das Bemessen einer USV-Anlage schnell absurde Größenordnungen annehmen würde. Und die Anlagen laufen, wenn alle Planer ihre Arbeit gut gemacht haben, nach einer kurzen Unterbrechung selbsttätig wieder an. Die entsprechenden Steuerungen sind jedoch anders  zu betrachten als beispielsweise oben genannte Klimaanlagen selbst.

Bei IT-Systemen sind ständig zwei Netzteile in Betrieb, die so bemessen sind, dass sie im Normalbetrieb mit weniger als 50 Prozent ihrer Kapazitätsgrenze belastet sind. Fällt ein Netzteil aus, hat das andere genügend Reserve, um nun den Server allein zu versorgen. Eine Unterbrechung durch Umschaltung o. ä. gibt es hier nicht.

Wichtig ist, dass es auch "Nicht-IT"-Komponenten gibt, die ein Umschalten auf Notstrom mit Unterbrechung nicht vertragen. Zu nennen wären hier die bereits weiter oben genannten Steuerungen von haustechnischen Anlagen oder die Sicherheitstechnik. Damit sich solche Systeme bei Netzausfall nicht "verschlucken", benötigen auch sie eine USV-Versorgung. Mehr und mehr macht sich die Erkenntnis breit, dass hierfür nicht die USVen der IT zu nutzen sind, da es beidseitig unerwünschte Rückwirkungen geben kann: Wird z. B. eine MSR-Steuerung (Messen, Steuern, Regeln) durch einen größeren Schaden einer Klimaanlage in Mitleidenschaft gezogen, sind Rückwirkungen bis zur USV möglich, welche dann auch die IT betreffen. Anderseits würden sich Schäden innerhalb des Rechenzentrums auf die Sicherheitstechnik auswirken. Ein zusätzliches Problem also, dass man gerade dann nicht gebrauchen kann.

Üblicherweise ist die dritte sogenannte Infrastruktur-USV von der Größenordnung her überschaubar, da die elektrischen Leistungen der angeschlossenen Steuerungen in Summe nicht übermäßig zu Buche schlagen. Alle diese Erläuterungen haben einen sehr hohen Abstrahierungsgrad. Und genau so sind sie gedacht. Hier sollten nicht alle einzelnen Schalter dargestellt oder besprochen werden, sondern die Zusammenhänge im Großen und Ganzen. Und die Erfahrung zeigt, dass es sich in jedem Planungsprozess lohnt, solche grundlegenden Betrachtungen im Hinterkopf zu behalten, um sich nicht im Detail zu verzetteln.

: : : Lutz Rossa : : :




Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de