Zuverlässige IT in der Produktion

Früher waren Computersysteme sehr teuer, sie kosteten Millionen und natürlich wurde von ihnen ein Höchstmaß an Perfektion erwartet. Heute sind die Geräte billiger, und auch auf Grund eigener Erfahrung mit der PC-Technologie sind die Anwender etwas bescheidener geworden und nehmen gelegentliche (oft softwaremäßig begründete) Störungen heutzutage eher in Kauf. Kurz gesagt – im der kommerziellen IT und der Bürokommunikation hat man gelernt mit dem Status Quo zu leben. In der industriellen IT liegen die Verhältnisse etwas anders. Zum einen sind hier nicht nur Menschen sondern in immer höheren Maß verschiedenste Maschinen und Geräte die \’Kunden\‘ der IT. Während Menschen meist geduldig sind und die negativen Auswirkungen von irgendwelchen IT-Unpässlichkeiten oft irgendwie abfedern können, sind die leblosen \’Kunden\‘ der industriellen IT (etwa SPSen und die daran angeschlossenen Geräte) sehr pingelig und gehen in den Störungszustand, wenn die eingeplanten Service Level nicht eingehalten werden. Ein weiterer Unterschied: Die Produktionsleiter können häufig sehr genau sagen, welche Ausfallkosten durch eine bestimmte Störung verursacht worden sind. Diese Zahlen sind meist recht beeindruckend: Eine Untersuchung der Standish Group ergab schon vor einigen Jahren durchschnittliche Ausfallkosten im Bereich der Supply Chain von 11.500 Dollar pro Minute – dies ergibt schon bei einem Ausfall von einer halben Stunde Dauer einen Schaden von 345.000 Dollar (das ist mehr als ein ausfallsicher konzipiertes Rechnersystem kosten würde, dass diesen Ausfall mit hoher Wahrscheinlichkeit vermieden hätte). Wo Ausfallrisiken eine wichtige Rolle spielen und reduziert werden müssen, da ist man auch bereit andere Wege zu gehen. Der weitverbreitetste Weg hierfür ist der sogenannte \’High Availability Cluster\‘, hier werden zwei oder mehrere Rechner so miteinander verknüpft dass bei Auftreten von Störungen der Betrieb möglichst bald und mit möglichst geringen Datenverlusten fortgesetzt werden kann. Ausfälle treten zwar nach wie vor auf, aber deren Auswirkungen auf den Betrieb sind begrenzt. Die Anzahl der betriebsrelevanten Störungen geht bei Einsatz von High Avalability Clustern deutlich zurück. Paradoxerweise gehen jedoch die Ausfallzeiten nicht in gleichem Maß zurück – dies liegt an der höheren Komplexität solcher Clusterumgebungen. \’Einfache\‘ Störungen werden sehr gut abgehandelt, wenn es jedoch zu komplexeren Störungen kommt sind diese oft schwieriger zu beheben, und es ergeben sich dann zuweilen sehr lange Ausfallzeiten. Insgesamt verursachen High Availability Cluster höhere Betriebskosten als \’normale\‘ Systeme, was nicht nur an dem höheren Hardwareaufwand sondern vielmehr auch an den höheren Kosten für Systemmanagement und Anwendungspflege liegt. Änderungen am Anwendungssystem sollten immer auch in Bezug auf die Übernahme im Fehlerfall getestet werden, ansonsten kann es leicht sein, dass bei einer IT-Störung die Produktion trotz High Availability Cluster zum Stillstand kommt. Leider ist dieser Testaufwand nicht ganz trivial und recht kostenaufwändig. Die Ansicht, dass durch die Einrichtung eines High Availability Clusters die höchstmögliche Verfügbarkeit gewährleistet sei ist zwar sehr weitverbreitet aber bei genauerer Betrachtung nicht ganz zutreffend. Noch höhere Verfügbarkeit bei typischerweise günstigeren Betriebskosten bieten fehlertolerante Systeme, die auf höchstmögliche Ausfallsicherheit hin entwickelt wurden (auf Grund ihrer höheren Einstandspreise sind sie allerdings beim Einkauf nicht sehr beliebt). Solche fehlertoleranten Systeme sind quasi selbstheilend und laufen auch bei Fehlfunktion einer Systemkomponente störungsfrei und ohne Datenverlust weiter. Dies liegt an dem Prinzip des \’no single point of failure\‘, das heißt alle Systemkomponenten sind redundant ausgelegt und das System konfiguriert sich bei Auftreten einer Störung automatisch um, sodass es gar nicht erst zu einem Ausfall kommt und entsprechende Ausfallkosten vermieden werden. Darüber hinaus haben solche Systeme insgesamt einen sehr hohen Automatisierungsgrad und benötigen deutlich weniger Aufwand und Personal für das Systemanagement. Dies erhöht die Zuverlässigkeit und reduziert die laufenden Betriebskosten, wie auch die nachstehende Abbildung zeigt. Sporadische Softwarestörungen sind heute öfter die Ursache von Systemausfällen als traditionelle Hardwarefehler. Das marktführende fehlertolerante System bietet jedoch mittels einer patentierten Prozesspaar-Technologie Fehlertoleranz und Ausfallsicherheit nicht nur gegenüber Hardwarestörungen, sondern auch gegen sporadische Störungen in der Systemsoftware. Bei Erkennen einer Fehlfunktion in der Systemsoftware wird automatisch die betroffene CPU angehalten. Die dort laufenden Funktionen werden in diesem Fall automatisch durch Backup-Prozesse in anderen CPU\’s übernommen, der Betrieb wird reibungslos fortgeführt und es tritt kein Datenverlust auf. Derartige fehlertolerante Systeme sind beispielsweise als Fertigungsleitrechner in der Automobilindustrie oder in der Stahlerzeugung eingesetzt, steuern automatisierte Hochregallager oder nehmen andere Aufgaben wahr in denen hohe Ausfallsicherheit und/oder hohe Datenintegrität gefordert wird. So mag ja ein kurzzeitiger Ausfall einer Lagersteuerung noch zu verkraften sein, kritisch wird es aber wenn dabei wegen Absturz der Datenbank die Lagerdaten verloren gehen und eine manuelle Inventur durchgeführt werden muss – dies kann den Betrieb tagelang erheblich beeinträchtigen. Fehlertolerante Systeme erreichen heute extrem hohe Verfügbarkeiten bis in den Bereich von 99,999%. Solche Verfügbarkeitsraten wurden schon vor Jahren auch als Zielvorgabe für High Availability Cluster genannt, wurden dort jedoch zumindest im kommerziellen Bereich nie vollständig erreicht. Mittlerweile hat die ständig voranschreitende Komplexität von IT-Systemen (z.B. durch die Einführung von zusätzlichen Softwareschichten für die Virtualisierung) dazu geführt, dass die Verfügbarkeiten im allgemeinen sogar eher rückläufig sind. Thema IT-Sicherheit Für die Produktionstechnik ist das Thema IT-Sicherheit relativ neu. Bisher war man davon ausgegangen daß es reicht wenn die Industrial IT nicht mit dem Internet in Verbindung steht – seit Stuxnet weiß man aber, dass es noch etliche andere Angriffsvektoren gibt. Hierzu zählen etwa verseuchte USB Sticks oder unerkannte Schadsoftware auf den Laptops externer Wartungstechniker, oder auch heimlich eingeschmuggelte WLAN-Router. Das Schadenspotenzial reicht von Kollateralschäden wie etwa durch unbeabsichtigt eingeschleuste \’normale\‘ PC-Schadsoftware verursachte Produktionsstillstände bis hin zu gezielten Spionage- und Sabotageakten. Die Achillesferse der Industrial IT ist heute die weitgehende Abhängigkeit von Windows-Plattformen, wodurch Hacker und Schadsoftware ein relativ leichtes Spiel haben. Aber auch ein Umstieg auf Linux bietet kaum höhere Sicherheit, denn es gibt dort mittlerweile sogar mehr bekannte Schwachstellen als bei Windows. Die in der kommerziellen IT angewendeten und auch dort meist nicht hundertprozentig wirksamen Schutzmaßnahmen (wie etwa häufiges Security Patching) lassen sich in der Industrial IT oft nicht in gleicher Weise umsetzen. Der hohe Testaufwand und die Notwendigkeit von geplanten Stillstandszeiten stehen häufigen Änderungen entgegen. Ein deutlich höheres Maß an IT-Sicherheit ergibt sich, wenn man auf die übliche PC-Technologie so weit wie möglich verzichtet. Läuft die Industrial IT nicht auf den heute so weitverbreiteteten Standardservern in X86-Technologie, dann wird sie unempfindlich gegen die üblichen Viren, Würmer und Trojaner. Darüber hinaus: Hacker testen ihre Schadsoftware auf normalen PCs, und haben in aller Regel weder Knowhow noch Zugang zu Rechnern welche für den Betrieb in geschäftskritischen Umgebungen ausgelegt sind. Fazit: Mehr Sicherheit und Zuverlässigkeit in der Industrial IT sind erreichbar. Die dafür erforderlichen höheren Anfangsinvestitionen werden durch günstigere Betriebskosten kompensiert, nach Erreichen des Break Even Point stellt sich die qualitativ bessere auch als die wirtschaftlich günstigere Alternative dar. Benötigt werden hierfür jedoch moderne plattform- und datenbankunabhängige Anwendungen (z.B. in Java-Technologie). Forum Industrial IT: Mehr zum Thema \’Zuverlässige IT in der Produktion\‘ und insbesondere zum Thema \’IT-Security\‘ erfahren Sie auf dem Forum Industrial IT auf der Hannover Messe (23.-27.4.2012; Halle 8 Stand D05). Das vollständige Forumsprogramm finden Sie in dieser Ausgabe ab Seite 52ff.