Entenda porque é bom um incêndio em um Data Hall

Falando sério, todo incidente, acidente, ou sinistro que ocorra em um Data Center deve servir para tirar lições, corrigir desvios e implementar melhorias. A prática de analisar os fatos e levantar as prováveis causas é que traz eficiência na solução dos problemas.

Então apenas com a intenção de exercitar a abordagem da solução de problemas, vamos imaginar o seguinte evento adverso hipotético:

EVENTO: Incêndio de grandes proporções em data center, com consequente interrupção (downtime) dos serviços por 12 h .

Quais os fatos para análise?

·        O fogo iniciou-se em um “servidor” na sala de servidores (Data Hall);

·        O combate ao fogo por imersão em gás “não funcionou”.

·        O evento aconteceu no “domingo” aproximadamente na “hora do almoço”;

·        O Data Center é “Tier III”.

·        O Data Center oferece serviços de Colocation.

Observando cada um dos fatos, surgem várias perguntas, buscando o por que o incêndio não foi evitado?

É factível um Servidor ser a fonte de um incêndio?

Equipamentos elétricos são os recordistas de causas de Incêndios. Aquecimento excessivo, ou centelhas/arcos de alta energia, são causas comuns. Os Aquecimentos podem ser causados por excesso de corrente (excesso de carga), ou mau contato nos cabos, nas conexões e nos componentes. As centelhas podem ser causadas por baixa rigidez dielétrica, baixa resistência ao trilhamento, ou ainda por distância de isolação reduzida.

Os servidores são os reais consumidores da energia utilizada para a execução da função principal de um data center (processar dados) e uma parte desta energia fornecida se transforma em calor. Então, a resposta é SIM, os servidores são fontes de ignição de incêndios.

É por esta razão que os servidores em data centers de grande porte, estão alocados em Data Halls (sala de servidores), que são ambientes com temperatura e umidade controlados, isentos de partículas em suspensão e normalmente são fixados em racks que formam corredores frios de um lado e quente do outro.

Os Data Hall de nível RATED 3 (TIA-942C) são equipados com sensores de calor, de fumaça e de sistemas de detecção precoce e combate a incêndio com gás inerte para evitar a extinção através de água, evitando danificar os equipamentos de TI. Se o Data Center é Tier III, talvez estes sistemas não tenham sido instalados.

Quais as contramedidas para reduzir a probabilidade de incêndio de um servidor?

Os servidores são Equipamentos de Tecnologia da Informação (ETI) e se enquadram nos requisitos de segurança da norma IEC 60950, à qual determina que a construção, os materiais e os componentes do ETI devem suportar ensaios de Rigidez dielétrica, de resistência ao trilhamento; devem ser construídos de forma a garantir mínimas distâncias de isolamento e também um bom aterramento como medidas de segurança. A norma também determina que o ETI deve suportar ensaios em situações anormais, como: sobrecorrentes, sobrecargas, sobretensões, curtos circuitos, picos e surtos de tensão, temperatura e umidade extremas, etc.

Especificamente com relação às Inflamabilidade, os componentes internos, materiais e a fiação são classificados quanto à sua resistência ao fogo no sentido horizontal e vertical; devem suportar os ensaios de flamabilidade e não podem propagar as chamas, e nem provocar gotejamento, devendo inclusive extinguir as chamas em tempo menor que 10 segundos.

A medida correta para evitar a propagação de fogo de um servidor e evitar um incêndio em um Data Hall, é adquirir e instalar servidores “CERTIFICADOS” na IEC 60950, ou na IEC 62368. Esta contramedida se aplica a todos ETIs como por exemplo, storages, roteadores, switches, etc.

Não se pode esquecer que os materiais que dão suporte ao servidor, como cabos, conectores, medidores, suportes e que também são incorporados ao rack, devem ser antichamas, além de serem construídos e instalados conforme as boas práticas de instalação, para evitar riscos de baixa isolação e aquecimentos.  

No caso do incêndio citado é necessário buscar mais informações e detalhes do sinistro, uma vez que se considerarmos que os servidores, os cabos e conectores eram certificados, o incêndio não deveria ter se propagado em velocidade tal, na qual nem o pessoal e nem os sistemas de combate instalados tivessem dado conta.

Porque o combate a gás não funcionou? 

Vamos analisar duas situações: - a primeira em que o gás foi acionado e a segunda em que o gás não foi acionado.

Se partirmos do princípio de que o gás foi acionado, podemos pensar em algumas causas do incêndio ter continuado a se propagar:

- Embora a central de incêndio haja comandado corretamente, houve falha no sistema de gás (bobina, válvula, etc);

- O reservatório de gás, ou em algum ponto do sistema estava com vazamento e a perda resultou que não havia gás suficiente para atingir o nível mínimo de concentração para extinção;

- A tubulação do gás não suportou a pressão durante o acionamento e se rompeu e o gás não chegou à sala;

- O Data hall não estava suficientemente estanque e permitiu a entrada de oxigênio e a saída de gás, não permitindo chegar na concentração ideal para extinção;

- O projeto do sistema de gás não estava adequado ao volume e geometria do Data hall.

Por outro lado, se partirmos do princípio que o gás não foi acionado, podemos pensar nas seguintes causas:

- O sistema de detecção precoce não atuou (provável causa: falta de manutenção)

- O sistema de detecção precoce atuou, acionou o alarme, mas o alarme foi silenciado e o sistema bloqueado;

- Houve demora na detecção dupla dos sensores para comandar o acionamento automático (provável causa: falta de manutenção, ou por deficiência do projeto);

É sempre muito importante em caso de alarme, insistir e nunca desistir até encontrar a causa que deu origem ao alarme. Ignorá-lo sem chegar à fonte é no mínimo, uma atitude irresponsável. 

Quais as medidas para reduzir a probabilidade do gás não funcionar?

A resposta é simples e rápida. Manter os sistemas de manutenção preventiva, preditiva e corretiva em dia, conforme o plano anual; executar todas as atividades com todo rigor e responsabilidade; manter os registros e analisar os dados periodicamente para verificar tendências e predições; manter-se atualizado, implementar inovações e reconhecer a importância do Sistema de Manutenção e de monitoramento da operação, que nunca podem ser negligenciados.

Alguns clientes de Colocation dos Data Centers não autorizam que algumas atividades de manutenção sejam executadas, com medo de operar sem a redundância, mesmo que por pouco tempo. A probabilidade de ocorrer uma falha que provoque um downtime é pequena e reduz a disponibilidade em pequeno percentual.

É conveniente avaliar se vale o risco de um sinistro, pela falta da manutenção, com a certeza que causará danos de maior monta, gravidade e consequente maior de tempo de recuperação e altos custos.

Qual o impacto do fim de semana nas regras de segurança?

Um fim de semana o pessoal em operação é reduzido, principalmente nos turnos da noite e durante as refeições.

No caso de ocorrer um alarme precoce, a equipe reduzida terá maior dificuldade na busca da fonte do alarme e ainda terá que continuar monitorando e executando as atividades que lhe são atribuídas.

Um alarme é a maior oportunidade de evitar um evento adverso. Não desistir do alarme é o princípio. A meta é descobrir a fonte do alarme.

É recomendável estudar medidas para contornar as vulnerabilidades causadas pela redução da equipe. Entre estas, deve-se estudar a implementação de rotinas de Check points e Check lists. A liderança deve manter constante o sentido de urgência nas ações e tomada de decisões, além da importância do monitoramento e a responsabilidade de cada um na equipe.

Artigo elaborado por Arnaldo Barbulio Filho – 7 abril de 2025.

Leia mais artigos em no nosso site www.dccert.com.br , ou no Linkedin, ou entre em contato conosco pelo email atendimento@deccert.com..br. 

A DCCert Certificadora pode certificar a DCI de seu Data Center. Consulte-nos e daremos uma resposta em 24h.