ThyssenKrupp Steel verlässt sich auf fehlertolerante Server

"Stahlwerke sind Unikate", erklärt Jürgen Schikowski, Teamleiter Oxygenstahlwerke bei der ThyssenKrupp Steel. "Die für den Betrieb erforderliche Anlagentechnik kann man nicht fertig von der Stange kaufen." Dementsprechend ist auch die IT, die die Anlagen der beiden Duisburger Stahlwerke des Konzerns steuert, eine Spezialanfertigung. ThyssenKrupp betreibt sie in eigener Regie und verwendet zwar soweit wie möglich Standardlösungen, doch gerade die Kernaufgabe - die Abläufe in der Stahlerzeugung zu unterstützen - kann nur eine selbst entwickelte Software erledigen.

"In diesen Applikationen ist umfangreiches metallurgisches Prozess-Know-how enthalten, das außerhalb von Stahlwerken nicht vorhanden ist", erläutert Schikowski. Werden an irgendeiner Stelle bei den metallurgischen Verfahren und in den Arbeitsprozessen technische Änderungen vorgenommen, müssen diese sofort auch in der Prozesssoftware abgebildet werden, andernfalls lassen sich die Neuerungen gar nicht in Betrieb nehmen.

Entstanden ist das System aus den klassischen Prozessrechnern der frühen 70er Jahre, die in den 80er Jahren auf wissenschaftlich fundierte Modelle umgestellt wurden. Bis in die Mitte der 90er Jahre lief Lösung auf Siemens R30/M70-Rechnern, dann wechselte der Stahlwerksbereich zu Systemen auf Basis von Windows-Serversoftware.

Um die Prozess-Software für das neue Betriebssystem nicht komplett neu schreiben zu müssen - was angesichts des Umfangs der Applikationen eine Projektlaufzeit von etwa drei Jahren erfordert hätte -, griff man auf einen Emulator zurück, der seither unter Windows die R30/M70-Umgebung 1:1 nachbildet. Durch diese Emulations-Lösung hat sich die ThyssenKrupp-IT ein Zeitfenster verschafft, in dem sie die Anwendungen Aggregat für Aggregat auf Windows .NET portieren kann.

Da diese Prozess-Applikationen den gesamten Arbeitsablauf in den beiden Duisburger Stahlwerken steuern, hängt von ihrer Verfügbarkeit der gesamte Betrieb ab. "Unterbrechungen können 350 Tonnen Stahl unbrauchbar machen." Um dies zu verhindern stellte das Unternehmen die Verfügbarkeit anfangs im Cold-Stand-By-Verfahren sicher. Dabei wurden neben den produktiven Servern weitere in Reserve gehalten, die bei Betriebsunterbrechungen durch den IT-Support manuell hochgefahren werden.

Abgesehen vom hohen Aufwand durch die ständige Bereitschaft von Personal, dauerten die Unterbrechungen bei diesem Verfahren durchaus bis zu zehn Minuten, in Extremfällen sogar bis zu einer Stunde. Hinzu kommt, dass heute weit höhere Anforderungen an die Qualitätssicherung gestellt werden als in den 70er Jahren. "Der Schaden eines Server-Ausfalls wäre kaum quantifizierbar", stellt Schikowski fest "Wir haben die daraus entstehenden Kosten daher gar nicht mehr kalkuliert, sondern uns stattdessen um eine ausfallsichere Lösung gekümmert."

Gegen die Alternative eines Cluster-Systems sprachen ein hoher Administrationsaufwand sowie die umfangreiche Anpassung der Applikationen. Der Stahlhersteller entschied sich daher für den Einsatz fehlertoleranter Server. Die Systeme, in diesem Fall "ftServer" von Stratus, verwenden für alle betriebswichtigen Bereiche, also CPU, IO-Einheit oder Festplatten, redundante Komponenten und arbeiten auch bei Hardware-Störungen ohne Unterbrechung weiter.

Sie erreichen so eine kontinuierliche Verfügbarkeit von mindestens 99,999 Prozent, was im Dauerbetrieb einer Ausfallzeit von weniger als fünf Minuten pro Jahr entspricht. Sie verhalten sich gegenüber dem Betriebssystem wie ein einziger Rechner, benötigen also im Unterschied zu Cluster-Lösungen auch keine speziell angepasste Software.

Seit 2003 hat ThyssenKrupp in seinen beiden Duisburger Stahlwerken die IT in der Steuerung der Produktion mit Stratus-Servern abgesichert. Neben den produktiven ftServern noch weitere Stratus-Server für die Betriebsdatenbank sowie für Entwicklung und Test im Einsatz. Die Entwicklungs-Server fungieren auch als Stand-by-Systeme und können notfalls selbst in den produktiven Betrieb genommen werden. "Damit sind wir weit über das Erforderliche hinaus gegangen", stellt Schikowski fest.

Und weil das Know-how wenig mit der eigentlichen Stahlerzeugung zu tun hat, lässt ThyssenKrupp die drei Doppelsysteme extern, hier von Nonstop Technologies, betreuen. Der Ausfall einzelner Komponenten, etwa einer Festplatte, wird automatisch an ein Customer Assistance Center gemeldet, von wo gegebenenfalls Austauschkomponenten direkt zum Anwender beziehungsweise zum Dienstleister geschickt werden.

Im besten Fall erfährt der Anwender von einer solchen Störung erst dann etwas, wenn das Austauschteil bereits installiert wird. Da sich die Komponenten im laufenden Betrieb austauschen lassen, ist auch dafür keine Betriebsunterbrechung notwendig. So kam es in fast fünf Jahren Dauerbetrieb zu keinem Stopp - weder geplant, noch ungeplant. "Das ist die Hochverfügbarkeit, die wir brauchen", resümiert Schikowski.