ЖУРНАЛ «СТА» №3/2008

СТА 3/2008 www.cta.ru В ЗАПИСНУЮ КНИЖКУ ИНЖЕНЕРА Аппаратное резервирование в промышленной автоматизации Виктор Денисенко 94 Дублированная сеть Ethernet Дублированная промышленная сеть Скоростная шина синхронизации Основной Резервный ДР ДР А B C Резервированная сеть Ethernet Резервированная промышленная сеть Дублированная сеть Ethernet Дублированная промышленная сеть Синхронизация Основной Резервный ДР ДР а б Рис. 14. «Горячее» (а) и «тёплое» (б) резервирование процессорных модулей замещением (ДР – драйвер резервирования) Рис. 15. Резервирование процессорных модулей и сетей с голосованием по схеме 2oo3 Ч АСТЬ 2 Резервирование процессорного модуля Процессорный модуль (для краткости далее будем гово рить «процессор») следует резервировать в первую очередь, так как при его отказе наступает отказ всей системы. Одно временно с процессором обычно резервируют блок питания и промышленную сеть. Резервирование процессора с целью повышения отказоус тойчивости и живучести выполняют методом замещения с «горячим» (рис. 14 а ) или «тёплым» (рис. 14 б ) резервом, а также методом голосования по схеме 2oo3 (рис. 15). Для сис тем, связанных с безопасностью, используют резервирова ние по схеме 1оо2 или 2оо2, в том числе с диагностикой (1оо2D и 2оо2D). Сложность резервирования процессоров заключается в том, что в момент замещения резервный процессор должен иметь внутренние состояния, идентичные состояниям основного. В системах резервирования замещением для быстрой перезаписи внутренних состояний используется специализированная высо коскоростная шина или оптический канал синхронизации (рис. 14 а ). В системах с голосованием большинство внутренних со стояний процессоров идентичны, поскольку они работают од новременно с одними и теми же входными данными и исполня ют одну и ту же программу, поэтому синхронизация необходима только во время «горячей» замены отказавшего процессора. Для систем, некритичных ко времени перехода на резерв, может быть использован медленный последовательный ка нал синхронизации с интерфейсами (например, RS 232, USB, RS 485) или обычная промышленная сеть (CAN, Modbus, PROFIBUS и др.) общего назначения (рис. 14 б ). Та кие системы относят к системам с «тёплым» резервом. К резервированным процессорным модулям предъявля ются следующие основные требования: ● безударное переключение на резерв (без внесения возму щений в управляемый процесс); ● малая длительность переключения; ● высокая надёжность общих средств, выполняющих функ цию переключения (шина синхронизации и программное обеспечение). Контроль работоспособности процессоров может выпол няться на каждом контроллерном цикле, перед считыванием сигналов с модулей ввода и перед выводом сигналов на испол нительные устройства. Для выполнения контроля без останов ки процесса функционирования системы источники сигнала и нагрузки отключаются на короткое время (например, 1 мс) с целью подачи тестовых воздействий и измерения реакции на них. При достаточно малой продолжительности отключённого состояния в работу системы не вносятся возмущения вслед ствие инерционности исполнительных устройств. «Горячее» резервирование замещением Основной сложностью при резервировании процессорно го модуля является обеспечение синхронизации между ос новным и резервным процессором. Для того чтобы перейти в рабочее состояние, резервный процессор должен иметь воз можность: ● обнаружить отказ основного процессора; ● синхронизировать с основным процессором работу приклад ной программы, накопленные данные, состояния регистров, состояния входов и выходов, таблицы неисправностей; ● заместить отказавший процессор. При первоначальном включении резервного процессора из выключенного состояния или после «горячей» замены он должен получить от основного следующую информацию: ● все данные, полученные со входов; ● все данные, отправленные на выходы; ● состояния ПИД регуляторов; ● уставки и другие значения, заданные пользователем в про цессе работы системы; ● содержимое регистров, в том числе счётчиков таймеров; ● другие данные, которые пользователь считает нужным синхронизировать. После первоначальной синхронизации она повторяется в каждом контроллерном цикле. Это позволяет иметь уверен ность, что резервный контроллер всегда готов к замещению ос новного. В этом заключается суть термина «“горячий” резерв». Процедура перехода на резерв обычно занимает один кон троллерный цикл. В течение этого времени выходные состо