Resilienz und Verfügbarkeit in der Videotechnik
In der Sicherheitstechnik ist das Thema Verfügbarkeit schon immer wesentlich, schliesslich sollen die relevanten Schutzziele eines Sicherheitskonzeptes auch bei Störungen und Ausfällen insbesondere der Stromversorgung funktionieren. Im Bereich des IT- Systems «Videotechnik» ist das aber nicht der Fall.
Betrachten wir zunächst die Hardwarearchitektur eines solchen Systems: Es existiert immer eine Feldebene, in der die Kameras angeordnet sind. Die folgende Ebene ist bei kleinen Systemen schon die abschliessende, nämlich die Serverebene, die bei besagten Kleinanwendungen mit den Funktionen der Bildspeicherung, der Bildausgabe und des Alarmmanagements konsolidiert ist. Grössere Anwendungen benötigen dedizierte Hardwareebenen für die folgenden applikationstypischen Funktionen:
- Die Speicherung findet möglichst kameranah auf Spezialhardware statt, die für permanenten Schreib-/Lesezugriff optimiert ist.
- Das Videomanagement ist eine klassische Serveranwendung, Alarmmanagement und Video-
analyse ebenso (wobei sich letztere mehr und mehr in die Kameras verlagert). - Die Bildausgabe wird durch Clients realisiert.
- Und nicht zuletzt natürlich das allgegenwärtige Datennetz, das die Kommunikation zwischen allen Ebenen erst ermöglicht.
Unterschiedliche Risiken
Erkennbar ist, dass diese Ebenen den Widrigkeiten des Alltages in unterschiedlichen Ausprägungen ausgeliefert sind. Die Kamera, insbesondere die Aus-senkamera, bekommt Wind und Wetter voll ab, das Umfeld eines Clients ist schon eher beherrschbar und Server sollten sich in einer absoluten IT-Wohlfühlzone befinden. Doch wie rüstet man sich innerhalb dieser Ebenen nun gegen Probleme der Stromversorgung?
Verfügbarkeit der Kameras
Fangen wir bei den Kameras an: Gilt hier das alte Denkmodell noch, dass kurze Stromausfälle einzelner Kameras keine kriegsentscheidende Wirkung haben, da lokal begrenzt und nach Wiederzuschaltung bewältigt? Eher nicht, denn üblicherweise werden Kameras und
deren unterstützende Infrarotscheinwerfer per PoE (Power over Ethernet) versorgt. Damit kommt die Stromversorgung üblicherweise von einem PoE-Switch und auf diese Weise aus einem leicht abzusichernden Umfeld.
Allerdings gibt es Längenrestriktionen für Leitungen, sowohl bezüglich der Datenübertragung als auch bezüglich der Übertragung elektrischer Energie. Gerade bei grossen Liegenschaften ist man daher gezwungen, dezentrale Einheiten vorzusehen, die die weit abgelegene Peripherie anbinden. Aber müssen diese auch unterbrechungsfrei mit Strom versorgt werden? Ja, sie müssen.
Denn ein PoE-Switch kann zwar nach Stromausfällen selbsttätig wieder hochfahren – bis er aber wieder uneingeschränkt zur Verfügung steht, können mehrere Minuten vergehen. Und da dieser Switch so eine Art «Consolidation Point» darstellt, fallen dann gleich alle angeschlossenen Kameras für den genannten Zeitraum aus.
Verfügbarkeit von Servern und Bildspeichern
Auf der Ebene der Server und Bildspeicher gibt es wenig Raum für Diskussionen zur Tolerierbarkeit von Störungen der Stromversorgung, denn wäre diese nicht verfügbar, würde die gesamte Applikation verlorengehen und auch ein Datenverlust in den Speichersystemen wäre denkbar. Somit müssen in dieser Ebene konsequenterweise alle Register der Notstromversorgung gezogen werden.
Und die Client-Ebene? Naja, was nützt ein laufendes Videosystem, das keine Bilder anzeigen kann? Manchmal ganz schön viel, nämlich dann, wenn das System vorrangig zur Aufzeichnung und damit zur Dokumentation eingesetzt wird. Und sonst? Der Verlust eines Clients ist zwar immer ärgerlich und mühsam, jedoch sind Szenarien denkbar, die das Ganze beherrschbar machen, angefangen bei weiteren Clients, welche eine Stromversorgung aus anderen Segmenten bekommen, bis hin zu Notebooks, die ja bekanntlich eine Notstromversorgung an Bord haben.
Dezentrale USV
Und wie prägt man nun die Notversorgung auf den einzelnen Ebenen aus? Die Maximalforderung lautet: Alles auf USV (unterbrechungsfreie Stromversorgung)! Die schon oben erwähnte, teilweise weite räumliche Ausdehnung typischer Videosysteme zwingt uns auch hier zum Nachdenken über dezentrale Systeme, da auch beim Aufbau von USV-Netzen elektrotechnische Gegebenheiten wie Schleifenimpedanz und Spannungsfall zu berücksichtigen sind. Und dass USV bekanntlich nur begrenzte Kurzschlussströme liefern können, macht die Sache nicht besser.
Welche Überbrückungszeit?
Dezentral also, nur mit welchen Überbrückungszeiten? Wir wollen ja die USV-Zeit nicht zum Shutdown des Systems nutzen, sondern die gesamte Applikation weiterbetreiben. Und Notstromdiesel stehen längst nicht immer zur Verfügung, sodass wir von diesem ungünstigsten Zustand einmal ausgehen:
Die Überbrückungszeit der USV muss damit der Zeit entsprechen, die für die Applikation bei einem längerfristig gestörten Netz noch verfügbar sein soll. Dies kann eine Stunde sein, wenn nach dieser Zeit ein Areal geräumt ist und die Schutzziele dann nicht mehr relevant sind. Es kann aber auch eine quasi endlose Überwachung erforderlich sein, nämlich dann, wenn man in einer apokalyptischen Stromloskrise die Liegenschaft weiterhin schützen muss. Wie auch immer das Ergebnis dieser individuellen Risikobetrachtung ausfällt, es wird wohl dazu kommen, dass die USV-Lösung eher nicht im Minutenbereich, sondern im Stundenbereich zu bemessen ist.
Nun sei hier aber angemerkt, dass die Ingenieurskunst der Planung und USV-Bemessung durchaus Überraschendes zutage bringt: Gehen wir beispielsweise von einem Gesamtleistungsbedarf der Applikation von 5 Kilowatt (kW) aus und wünschen uns eine Überbrückungszeit von 24 Stunden. Dann brauchen wir augenscheinlich eine Anlage, die diese 5 kW für 24 Stunden bereitstellen kann. So weit, so gut, aber wie funktioniert das Laden der Batterien – insbesondere im zeitlichen Ablauf? Aus diversen Funktionstests ist bekannt, dass eine 8-Minuten-USV im Rechenzentrum nach rund einer Stunde Ladezeit ca. 80 Prozent ihrer Kapazität wiedererlangt hat – unabhängig von ihrer Grössenordnung. Nach 80 Minuten dürfte sie dann wieder voll geladen sein. Macht Faktor 10, nämlich 8 Minuten Überbrückungszeit, 80 Minuten Ladezeit.
Übertragen auf unser Beispiel, hiesse das bei 24 Stunden Überbrückungszeit 240 Stunden, also 10 Tage Ladezeit. So geht es also nicht. Beherrschbar wird das Ganze erst durch eine deutliche Überdimensionierung des USV-Systems. Damit sind höhere Ladeströme einhergehend mit kürzeren Ladezeiten möglich. In der Praxis käme beispielsweise eine um den Faktor 10 vergrösserte USV (50 kW) zum Einsatz, die dann die 5 kW für einen längeren Zeitraum liefern kann. Diese USV ist natürlich deutlich grösser und teurer, ermöglicht aber akzeptable Ladezeiten.
Fazit
Um die im Sicherheitskonzept wichtige Säule der Videotechnik auch bei widrigen Umständen am Leben zu erhalten, ist es also nicht damit getan, ein paar 19-Zoll-USV in Racks zu stecken. Verfechter wirksamer und krisensicherer Konzepte betrachten das Thema als ganzheitlichen Prozess und berücksichtigen die Eigenarten verschiedener Ebenen innerhalb
einer Architektur.
Dieser Fachartikel erschien in der gedruckten Ausgabe SicherheitsForum 3-2022 in unserem Dossier «Video Security».
Sie wollen die Artikel dieser Ausgabe lesen? Dann schliessen Sie gleich hier ein Abonnement ab.