Resilienz und Verfügbarkeit der Videoüberwachung
In der Sicherheitstechnik ist das Thema Verfügbarkeit wesentlich, schließlich sollen die relevanten Schutzziele eines Sicherheitskonzeptes auch bei Störungen und Ausfällen insbesondere der Stromversorgung funktionieren. Im behördlich oder anderweitig geforderten Bereich der Gefahrenmeldetechnik sind akkugestützte Inselsysteme seit Langem bewährt, im Bereich des IT-Systems Videotechnik ist das aber nicht so.
Von Jörg Schulz
Betrachten wir zunächst die Hardwarearchitektur eines solchen Systems: Immer findet man eine Feldebene vor, innerhalb dieser die Kameras angeordnet sind. Die folgende Ebene ist bei kleinen Systemen schon die abschließende, nämlich die Serverebene, die bei besagten Kleinanwendungen mit den Funktionen der Bildspeicherung, der Bildausgabe und des Alarmmanagements konsolidiert ist. Größere Anwendungen benötigen dedizierte Hardwareebenen für die folgenden applikationstypischen Funktionen:
- Die Speicherung findet möglichst kameranah auf Spezialhardware statt, die für permanenten Schreib-/Lesezugriff optimiert ist.
- Das Videomanagement ist eine klassische Serveranwendung, Alarmmanagement und Videoanalyse ebenso (wobei sich Letztere mehr und mehr in die Kameras verlagert).
- Die Bildausgabe wird durch Clients realisiert.
- Und nicht zuletzt natürlich das allgegenwärtige Datennetz, das die Kommunikation zwischen allen Ebenen überhaupt erst ermöglicht.
Widriges Umfeld
Erkennbar ist, dass diese Ebenen den Widrigkeiten des Alltages in unterschiedlichen Ausprägungen ausgeliefert sind. Die Kamera, insbesondere die Außenkamera, bekommt Wind und Wetter voll ab, das Umfeld eines Clients ist schon eher beherrschbar und Server sollten sich in einer absoluten IT-Wohlfühlzone befinden. Doch wie rüstet man sich innerhalb dieser Ebenen nun gegen Probleme der Stromversorgung?
Stromausfall neu bewerten
Fangen wir bei den Kameras an: Gilt hier das alte Denkmodell noch, dass kurze Stromausfälle einzelner Kameras keine kriegsentscheidende Wirkung haben, da lokal begrenzt und nach Wiederzuschaltung bewältigt? Eher nicht, denn üblicherweise werden Kameras wie auch deren unterstützende Infrarotscheinwerfer per PoE (Power over Ethernet) versorgt. Damit kommt die Stromversorgung üblicherweise von einem PoE-Switch und auf diese Weise aus einem leicht abzusichernden Umfeld.
Ausfall aller Kameras
Allerdings gibt es Längenrestriktionen für Leitungen, sowohl bezüglich der Datenübertragung als auch bezüglich der Übertragung elektrischer Energie. Gerade bei großen Liegenschaften ist man daher gezwungen, dezentrale Einheiten vorzusehen, die die weit abgelegene Peripherie anbinden. Aber müssen diese auch unterbrechungsfrei mit Strom versorgt werden? Ja, sie müssen. Denn ein PoE-Switch kann zwar nach Stromausfällen selbsttätig wieder hochfahren – bis er aber wieder uneingeschränkt zur Verfügung steht, können mehrere Minuten vergehen. Und da dieser Switch so eine Art Consolidation Point darstellt, fallen dann gleich alle angeschlossenen Kameras für den genannten Zeitraum aus.
Alle Register der Notstromversorgung
Auf der Ebene der Server und Bildspeicher gibt es wenig Raum für Diskussionen zur Tolerierbarkeit von Störungen der Stromversorgung, denn wäre diese nicht verfügbar, würde die gesamte Applikation verlorengehen und auch ein Datenverlust in den Speichersystemen wäre denkbar. Somit müssen in dieser Ebene konsequenterweise alle Register der Notstromversorgung gezogen werden.
Das beherrschbare Ganze
Und die Clients? Naja, was nützt ein laufendes Videosystem, das keine Bilder anzeigen kann? Manchmal viel, nämlich dann, wenn das System vorrangig zur Aufzeichnung und damit zur Dokumentation eingesetzt wird. Und sonst? Der Verlust eines Clients ist zwar immer ärgerlich und mühsam, jedoch sind Szenarien denkbar, die das Ganze beherrschbar machen, angefangen von weiteren Clients, welche eine Stromversorgung aus anderen Segmenten bekommen bis hin zu Notnotebooks, die bekanntlich eine Notstromversorgung an Bord haben.
Dezentrale USV-Systeme
Und wie prägt man nun die Notversorgung auf den einzelnen Ebenen aus? Die Maximalforderung lautet: alles auf USV (unterbrechungsfreie Stromversorgung)! Die schon oben erwähnte, teilweise weite räumliche Ausdehnung typischer Videosysteme zwingt uns aber auch hier zum Nachdenken über dezentrale Systeme, da auch beim Aufbau von USV-Netzen elektrotechnische Gegebenheiten, wie Schleifenimpedanz und Spannungsfall, zu berücksichtigen sind. Und dass USVen bekanntlich nur begrenzte Kurzschlussströme liefern können, macht die Sache nicht besser.
Überbrückungszeiten bemessen
Dezentral also, nur mit welchen Überbrückungszeiten? Wir wollen die USV-Zeit nicht zum Shutdown des Systems nutzen, sondern die gesamte Applikation weiterbetreiben. Und Notstromdiesel stehen längst nicht immer zur Verfügung, sodass wir von diesem ungünstigsten Zustand einmal ausgehen: Die Überbrückungszeit der USV muss damit der Zeit entsprechen, die die Applikation bei einem längerfristig gestörten Netz noch verfügbar sein soll. Dies kann eine Stunde sein, wenn nach dieser Zeit ein Areal geräumt ist und die Schutzziele dann nicht mehr relevant sind. Es kann aber auch eine endlose Überwachung erforderlich sein, wenn die Liegenschaft trotz einer apokalyptischen Stromloskrise weiterhin geschützt sein muss. Wie auch immer das Ergebnis dieser individuellen Risikobetrachtung ausfällt, es liegt nahe, dass die USV-Lösung eher im Stundenbereich zu bemessen ist, statt im Minutenbereich.
Faktor 10 bei der Ladezeit
Nun sei hier aber angemerkt, dass die Ingenieurskunst der Planung und USV-Bemessung durchaus Überraschendes zutage bringt: Gehen wir beispielsweise von einem Gesamtleistungsbedarf der Applikation von fünf Kilowatt (kW) aus und wünschen uns eine Überbrückungszeit von 24 Stunden. Dann brauchen wir augenscheinlich eine Anlage, die diese 5 kW für 24 Stunden bereitstellen kann. So weit, so gut, aber wie funktioniert das Laden der Batterien – insbesondere im zeitlichen Ablauf? Aus diversen Funktionstests ist bekannt, dass eine 8-Minuten-USV im Rechenzentrum nach ca. einer Stunde Ladezeit circa 80 Prozent ihrer Kapazität wiedererlangt hat – unabhängig von ihrer Größenordnung. Nach 80 Minuten dürfte sie dann wieder vollgeladen sein. Macht Faktor 10, nämlich acht Minuten Überbrückungszeit, 80 Minuten Ladezeit.
Überdimensionierung der USV
Übertragen auf unser Beispiel hieße das bei 24 Stunden Überbrückungszeit 240 Stunden, also 10 Tage Ladezeit. So geht es also nicht. Beherrschbar wird das Ganze erst durch eine deutliche Überdimensionierung des USV-Systems. Damit sind höhere Ladeströme einhergehend mit kürzeren Ladezeiten möglich. In der Praxis käme beispielsweise eine um den Faktor 10 vergrößerte USV (50 kW) zum Einsatz, die dann die 5 kW für einen längeren Zeitraum liefern kann. Diese USV ist natürlich deutlich größer und teurer, ermöglicht aber akzeptable Ladezeiten.
Ganzheitlicher Prozess
Um die im Sicherheitskonzept wichtige Säule der Videotechnik auch bei widrigen Umständen am Leben zu erhalten, ist es also nicht damit getan, ein paar 19-Zoll-USVen in Racks zu stecken. Verfechter wirksamer und krisensicherer Konzepte betrachten das Thema als ganzheitlichen Prozess und berücksichtigen die Eigenarten verschiedener Ebenen innerhalb einer Architektur.
Jörg Schulz ist Bachelor of Business Administration Business Security (BBA), Prokurist und Sicherheitsberater bei VZM mit den Spezialgebieten Hochverfügbarkeit von RZ-Infrastrukturen, Videoüberwachung, Zutrittskontrolle, Gefahrenmeldetechnik, Sicherheitszentralen. (Bild: vzm)