Bundesamt für Sicherheit in der Informationstechnik

M 1.56 Netzersatzanlage

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Fachabteilung, Leiter IT

Verantwortlich für Umsetzung: Haustechnik

Die primäre Energieversorgung aus dem Netz eines Energieversorgungs-Unternehmens ( EVU ) muss bei erhöhten Anforderungen an die Verfügbarkeit um Maßnahmen zur Notfall-Versorgung des Rechenzentrums selbst ergänzt werden.

Die sekundäre Energieversorgung eines Rechenzentrums besteht üblicherweise aus einer zentralen USV für das Rechenzentrum und einer Netzersatzanlage (NEA). Falls die örtlichen Gegebenheiten und das Anforderungsprofil an die Verfügbarkeit des Rechenzentrums es zulassen, kann statt einer NEA auch eine zweite Einspeisung aus dem Netz eines zweiten Energieversorgungs-Unternehmens diese Auffang-Funktion erfüllen.

Während eine USV (siehe M 1.70 Zentrale unterbrechungsfreie Stromversorgung ) Schwankungen oder kurzfristige Unterbrechungen der Stromversorgung überbrückt, fängt eine Netzersatzanlage längerfristige Stromausfälle auf.

Bei der Dimensionierung der Netzersatzanlage sollte darauf geachtet werden, dass deren Nennleistung über der Volllast-Betriebsleistung des Rechenzentrums liegt. Damit kann sichergestellt werden, dass die Netzersatzanlage auch bei gleichzeitigem Anlauf mehrerer Verbraucher die benötigte Leistung zur Verfügung stellen kann.

Der Betriebsmittelvorrat einer NEA muss regelmäßig kontrolliert werden, er sollte für mindestens 48 Stunden ausreichen. Bei hohen oder sehr hohen Anforderungen an die Verfügbarkeit kann dieser Wert auch leicht auf bis zu 120 Stunden steigen. Bei der Festlegung der Vorratsmenge ist zu berücksichtigen, ob es technisch und logistisch möglich ist, innerhalb der Laufzeit eine Nachbefüllung der Betriebsmittel durchzuführen. Bei der Frage der technischen Möglichkeit ist insbesondere bei dieselbetriebenen Geräten zu untersuchen, ob beim Nachtanken aufgewirbelter Bodensatz im Tank nicht zu Betriebsstörungen (z. B. verstopfte Filter) führt. Bei der logistischen Möglichkeit ist z. B. zu prüfen, ob die vorgesehene Nachbefüllung nicht eventuell selbst durch einen Stromausfall beeinträchtigt werden kann.

Je nach der Anforderung an die Verfügbarkeit der über die NEA versorgten IT kann eine einfache NEA ausreichen oder diese muss redundant aufgebaut werden. Ist ein redundanter Aufbau erforderlich, bietet eine (N+1)-Redundanz ausreichenden Schutz gegen eine Betriebsstörung der NEA selbst. Soll die Redundanz auch während der Wartung einer NEA gewährleistet sein, ist eine (N+2)-Redundanz aufzubauen.

Weitere Ausführungen zum Thema Redundanz und den damit eng verbundenen Aspekten Modularität und Skalierbarkeit sind in M 1.52 Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur zu finden.

Es ist nicht immer möglich, zur Erlangung einer Betriebs- und Wartungsredundanz tatsächlich 2 zusätzliche Einheiten zu installieren. Da Wartungsfälle in der Regel mit ausreichendem Vorlauf planbar sind, kann die zweite Einheit im Bedarfsfall auch als mobile NEA temporär angeschlossen werden. Eine mobile NEA kann in der Institution selber vorrätig gehalten oder über einen externen Dienstleister angemietet werden. Hierzu sind natürlich entsprechende SLAs mit dem Dienstleister zu vereinbaren.

Bei einem länger andauernden Ausfall der primären Energieversorgung ist eine NEA für die Aufrechterhaltung des IT-Betriebs unverzichtbar. Ihr Schutzbedarf entspricht also dem der IT, die sie versorgt. Dabei ist besonders auf den Schutz vor Brand und Wasser sowie Zugriff Unbefugter zu achten.

Ein sinnvoller Schutz gegen Brand macht es nahezu unverzichtbar, die einzelnen Einheiten der NEA in getrennten Brandabschnitten unterzubringen. Nur so kann verhindert werden, dass bei Brand einer Einheit nach kurzer Zeit auch alle anderen durch Brand ausfallen.

Um die Schutzwirkung der Netzersatzanlage aufrechtzuerhalten, sind zwei Dinge unerlässlich:

  • regelmäßige Wartung
  • Testläufe unter Echtbedingungen.

Um die Schutzwirkung einer NEA aufrechtzuerhalten, muss sie regelmäßig gewartet werden. Dafür sind die vom Hersteller vorgesehenen Wartungsintervalle der NEA einzuhalten. Bei diesen Wartungen sollten auch Belastungs- und Funktionstests durchgeführt werden.

Testläufen unter Echtbedingungen kommt besondere Bedeutung zu. Nur so kann verlässlich festgestellt werden, ob alle der Not-Energieversorgung dienenden Komponenten störungsfrei zusammenwirken. Die vielfach praktizierte Übung, die EVU-Versorgung erst nach erfolgreichem Start der NEA abzuschalten, bringt keine Erkenntnis darüber, ob im Ernstfall automatisch alles klappt. Einzig das harte Abschalten der EVU-Versorgung im laufenden Betrieb bringt die nötige Sicherheit zu erkennen, ob die Notstromversorgung auch funktioniert. Ebenso kann auch der Weg zurück in den Normalbetrieb nur verlässlich geprüft werden, indem die EVU-Versorgung wieder zugeschaltet wird und alle Komponenten selbsttätig wieder in Bereitschaft gehen. Testläufe sollten mindestens einmal in zwei Jahren durchgeführt werden.

Prüffragen:

  • Wird der Betriebsmittelvorrat der NEA regelmäßig kontrolliert?

  • Werden die Wartungsintervalle der NEA eingehalten?

  • Werden bei den Wartungen Belastungs- und Funktionstests durchgeführt?

  • Wird mindestens einmal in 2 Jahren ein Testlauf der NEA unter Echtbedingung durchgeführt?

Stand: 11. EL Stand 2009