Letzte Aktualisierung am 23. Oktober 2015.
Von Franz Hein, 08.03.15
Das im Blogbeitrag Are you prepared for the Solar Eclipse 2015 on March 20? Beschriebene ist ein Beispiel für eine gegenseitige Plausibilisierung von erhaltenen Informationen in einem Cyber-Physical-System. Das ist künftig in einem symbiotisch aufgebauten Energie(informations)system unerlässlich. Ein solches System als Symbiose von Energietechnik und Informationstechnik wird bei der ETG-Fachtagung in Kassel (25./26.03.2015) im Poster 4.1 von Dr. Franz Hein vorgestellt.
Alle informationstechnisch übermittelte, angezeigte und auch in der IT zu verarbeitende Werte müssen physikalisch gesehen plausibel sein. Das bedeutet zum einen, dass jeder Wert in der IT auf physikalisch bedingte Grenzwerte abgeprüft werden muss. Er muss innerhalb des Intervalls des physikalisch zulässig minimalsten und physikalisch zulässig höchsten Wertes liegen. Werte außerhalb deuten auf eine Störung in der IT hin und sind unverzüglich zu melden.
Es müssen aber auch die Veränderung über die Zeit geprüft werden. In aller Regel verändern sich in realen Systemen die Werte im Betrieb nur mit einer begrenzten Änderungsgeschwindigkeit hin zu höheren Werten oder auch niedrigeren Werten. Nur ein Ausfall eines Systems kann zu einem plötzlichen Abfall eines Wertes führen. Solange Systeme „leben“ ist deren Kennzeichen, dass sich die Werte ständig etwas ändern. Falls sie das nicht mehr tun, ist der Verdacht auf eine Störung auch auf der IT-Seite naheliegend (defekter Geber; fehlende Aktualisierung, fehlende Übertragung, fehlende Übernahme, usw.).
Um einen Ausfall einwandfrei nachvollziehen zu können, ist es erforderlich, dafür nicht nur übertragene Messwerte auszuwerten, sondern zusätzlich im physikalischen System getrennt erzeugte Meldungen zu verwenden, welche den Ausfall signalisieren. Das bedeutet insgesamt, dass die Verarbeitung in der IT eine Kombination von logischen Größen und analogen Größen sein muss, die keineswegs völlig unabhängig voneinander Werte annehmen können. Das ergibt einen komplex aufgebauten Werteraum, der zur Plausibilisierung herangezogen werden muss.
Das gilt für beide Informationsrichtungen. Auch Informationen in Richtung des physikalischen Bereichs des Gesamtsystems dürfen nicht beliebig sein oder sich mit beliebiger Änderungsgeschwindigkeit verändern. Auch da muss die ankommende Information mit der am Empfangsort physikalisch bedingten Situation konform sein. Beim Orchestrieren wird so die ankommende Information mit dem lokal ermittelten Systemverhalten verglichen. Das muss logisch und wertmäßig zusammen passen. Ein solches Prüfen verhindert dann ein gegenläufiges Regeln, ein Abschalten einer dringend gebrauchten Komponente oder auch das Hochfahren einer nicht gebrauchten Komponente.
Besonders wertvoll sind diese Prüfungen, um Verfälschungen im ankommenden Informationsstrom aufzudecken und deren schädliche Wirkung zu unterbinden. Dafür sind nur in der IT verankerte Prüfungen immer unzureichend. Nur Maßnahmen der IT-Security sind unzureichend. Nur in der Kombination von Physik und IT ist eine Chance begründet, Unzulässiges abzuwehren, wenn nicht auch die Software in der IT durch unzulässige Eingriffe verfälscht (worden) ist.
Letzteres weist auf einen Schwachpunkt hin, der bisher oft zu wenig Beachtung findet. IT-Systeme erfahren immer wieder einen Update und/oder werden gewartet. IT-Systeme, bei denen das nicht vorkommt, sind entweder nicht in Gebrauch oder überflüssig (oder total veraltet). Vorgänge wie Updates oder Wartungen sind „normal“, wenn sie nicht zu häufig die Verfügbarkeit beeinträchtigen und damit die Gesamtverfügbarkeit herabmindern.
Sie können aber zu unzulässigen Änderungen in der Software führen. Es erscheint unabdingbar, dass nach solchen Vorgängen die oben aufgeführten Plausibilitätsprüfungen mit Testdaten durchlaufen werden, um deren Wirksamkeit auch nach einem Update oder einer Wartung wieder sicher nachweisen zu können. Solche Wiederinbetriebnahmeprüfungen sind in jedem Falle notwendig.
Wird bei einer der beschriebenen Plausibilitätsprüfungen eine Unzulänglichkeit entdeckt, muss eine Alarmierung erfolgen – lokal und in einer Leitzentrale. Das betreffende Systemteil muss „in Quarantäne“ gesteckt werden, damit von ihm keine Schadenswirkung (mehr) ausgehen kann. Kritische Systeme, die eine hohe Verfügbarkeit aufweisen müssen, sollten in diesem Falle auf einen redundant vorhandenen Systemteil umschalten und diese Umschaltung weitermelden. Um die Verfügbarkeit dann weiterhin hoch halten zu können, muss der defekt gemeldete Teil unverzüglich untersucht und wieder betriebsfähig gemacht werden, damit die Redundanz wieder herstellt ist.
Zusätzlich zu diesen lokalen Vorgängen sollten in einer Leitzentrale in einem Gesamtbild Häufungen solcher Vorgänge an zentraler Stelle sichtbar werden. Nur so sind auch räumlich auseinanderliegende Systemstörungen gesamthaft zu erkennen und dann auch auszumerzen. Ferner ist noch ein Gesamtbild über die zeitlichen Abläufe notwendig, um Wiederholungen aufzudecken. Diese Mustererkennungen (räumlich + zeitlich) können Zusammenhänge aufdecken, die bei nur lokaler oder kurzzeitiger Betrachtungsweise nicht zu entdecken sind.
Trackbacks/Pingbacks