Апраратное резервирование. Аппаратное резервирование. Httpbookasutp ruChapter8 aspx Аппаратное резервирование Страница 1 Аппаратное резервирование

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 17 б)
Рис.9. Соединение дискретных выходов при резервировании (а) и один из вариантов реализации дискретных выходных каскадов (б)
Контроль целостности линии связи и диагностика отказа в модулях вывода тока 4...20 мА выполняется как показано на рис. 8
-б. Выходной каскад модуля не только выводит ток
, но и измеряет напряжения и
, которые с помощью АЦП преобразуются в цифровую форму и передаются в процессор модуля вывода. При правильном функционировании цепи, включающей нагрузку
, должно выполняться равенство
. Если оно не выполняется, то при имеет место к. з. на землю или обрыв; при
- к. з. между линиями или в нагрузке; при имеет место к. з. верхней (по схеме) линии на шину питания, при
- нижней. При сопротивление нагрузки превышает допустимое значение и операционный усилитель находится в состоянии насыщения.
Резервирование модулей дискретного вывода и нагрузки
Резервирование модулей дискретного вывода, кабелей и нагрузки обычно выполняется методом голосования. Для этого дискретные выходы соединяются параллельно через диоды (
рис. 9
-а). Диоды используются для предотвращения протекания тока из одного канала в другой. При отказе одного из источников на рис. 9
-а в виде к. з. на землю и обрыва управление нагрузкой продолжается от второго источника. Однако, если отказом является пробой выходного каскада на шину питания, то отказавший канал блокирует выходное напряжение и оно перестает зависеть от управляющего сигнала.
Несмотря на этот недостаток, соединение дискретных выходов по схеме рис. 9
-а может быть использовано в системах, связанных с безопасностью, если рассмотренный вид отказа резервированной системы не влияет на выполнение функции безопасности.
Например, если безопасным состоянием выхода является наличие напряжения (для питания двигателей насосов в системе пожаротушения), рассмотренный отказ не является опасным и не влияет на величину вероятности отказа при наличии запроса.

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 18 а) б)
Рис. 10. Резервирование модулей вывода для реализации аварийного отключения и для повышения отказоустойчивости и живучести (б)
Таким образом, параллельное соединение дискретных выходов с целью резервирования может использоваться только в системах аварийного включения нагрузки и не может использоваться в системах аварийного отключения. Вероятность отказа при включении у такой цепи эквивалента дублированной системе, а при отключении - меньше, чем у нерезервированной.
На рис. 9
-б) показана реализация описанного выше принципа резервирования, выполненная на МОП-транзисторах. Для коммутации мощной нагрузки ключи 1 и 2 могут быть изготовлены в отдельном конструктиве с радиаторами и удалены от модулей дискретного вывода. Маломощные ключи конструктивно входят в состав модулей вывода.
При подключении нагрузки к разным источникам питания и
(как на рис. 9
-б) необходимо использовать развязывающие диоды, чтобы при одновременно открытых ключах исключить протекание тока из одного источника в другой. Если же использован общий источник питания (как на рис. 10
-б), то диоды не нужны.
Для резервирования систем аварийного
отключения используется последовательное соединение двух выходных каскадов (
рис. 10
-а). При отказе одного из
МОП-ключей в виде к. з. нагрузка отключается вторым каналом, т.е. функция отключения в данной системе является дублированной. При необходимости же включить нагрузку достаточно отказа только одного ключа, т.е. функция включения оказывается нерезервированной. Таким образом, рассмотренный каскад может быть использован только в системах аварийного отключения, но не включения.
Для построения системы, в которой резервируется не одна из функций
(включения или отключения), но обе одновременно, используется каскад из четырех ключей (
рис. 10
-б) [
Mitsubishi
]. В нем выход из строя любого выходного каскада или линии связи не приводит к нарушению ни функции включения, ни отключения.
Реализация описанной цепи с помощью электромагнитных реле показана на рис. 11
-а).
На схеме рис. 10
-б) каждый выходной каскад управляется сигналом с помощью строенного источника сигнала (
=
). Для повышения надежности сигнал управления может приходить по резервированной промышленной сети от резервированного ПЛК, как на рис. 11
-а. Голосование (например, по схеме 2оо3) в случае отказа одной из сетей выполняется непосредственно в модулях вывода.

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 19
При использовании горячего дублирования сети и контроллеров методом замещения аналогичная структура может иметь вид, показанный на рис. 11
-б. а) б)
Рис. 11. Резервирование модулей вывода, шины и контроллеров;
- нагрузка а) б)
Рис. 12. Резервирование цепей дискретного вывода для систем аварийного включения (а) и аварийного отключения (б)

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 20
Структуры систем аварийного включения и отключения с дублированной сетью и ПЛК, резервированными по схеме 2оо3, показаны на рис. 12
. Отметим, что для дублирования ключей на рис. 12
-б было бы достаточно просто соединить их последовательно, заземлив нижний (по схеме) вывод нагрузки. Однако в этом случае становится возможным опасный отказ, вызванный к. з. верхнего по схеме вывода нагрузки на источник питания. При этом отключение нагрузки оказывается невозможным.
Применение второго ключа для размыкания пути тока на землю позволяет исключить такой отказ.
Рис. 13. Принцип обнаружения обрыва линии связи и к. з. на шину питания и земли в модуле вывода дискретных сигналов
Принцип контроля и диагностики выходных каскадов и линий связи с нагрузкой иллюстрируется рис. 13
. Он аналогичен использованному в модулях аналогового вывода (см. рис. 8
-б). Напряжение (
), пропорциональное току нагрузки, и преобразуются с помощью АЦП в цифровую форму и передаются в микропроцессор модуля для извлечения диагностической информации.
8.2.4. Резервирование процессорных модулей
Процессорный модуль (для краткости будем говорить "процессор") следует резервировать в первую очередь, т.к. при его отказе наступает отказ всей системы.
Одновременно с процессором обычно резервируют блок питания и промышленную сеть.
Резервирование процессора с целью повышения отказоустойчивости и живучести выполняют методом замещения с горячим (
рис. 14
-а) или теплым (
рис. 14
-б) резервом, а также методом голосования по схеме 2oo3 (
рис. 15
). Для систем, связанных с безопасностью, используют резервирование по схеме 1оо2 или 2оо2, в том числе с диагностикой (1оо2D и 2оо2D).
Сложность резервирования процессоров заключается в том, что в момент замещения резервный процессор должен иметь внутренние состояния, идентичные состояниям основного. В системах резервирования замещением для быстрой перезаписи внутренних состояний используется специализированная высокоскоростная шина или оптический канал синхронизации (
Bertocco
-а). В системах с голосованием большинство внутренних состояний процессоров идентичны, поскольку они работают одновременно с одними и теми же входными данными и исполняют одну и ту же программу, поэтому синхронизация необходима только во время горячей замены отказавшего процессора.

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 21 а) б)
Рис. 14. Горячее (а) и теплое (б) резервирование процессорных модулей замещением; ДР - драйвер резервирования
Для систем, некритичных ко времени перехода на резерв, может быть использован медленный последовательный канал синхронизации с интерфейсами, например, RS-232, USB, RS-485 или обычная промышленная сеть (CAN, Modbus, Profibus и др.) общего назначения (
Bertocco
-б). Такие системы относят к системам с "теплым" резервом.
К резервированным процессорным модулям предъявляются следующие основные требования:

безударное переключение на резерв (без внесения возмущений в управляемый процесс);

малая длительность переключения;

высокая надежность общих средств, выполняющих функцию переключения (шина синхронизации и программное обеспечение).
Контроль работоспособности процессоров может выполняться на каждом контроллерном цикле, перед считыванием сигналов с модулей ввода и перед выводом сигналов на исполнительные устройства. Для выполнения контроля без остановки процесса функционирования системы источники сигнала и нагрузки отключаются на короткое время (например, 1 мс) для подачи тестовых воздействий и измерения реакции на них. При достаточно малой продолжительности отключенного состояния оно не вносит возмущений в работу системы вследствие инерционности исполнительных устройств.
Рис. 15. Резервирование процессорных модулей и сетей с голосованием по схеме 2oo3

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 22
Горячее резервирование замещением
Основной сложностью при резервировании процессорного модуля является обеспечение синхронизации между основным и резервным процессором. Для того, чтобы перейти в рабочее состояние, резервный процессор должен иметь возможность:

синхронизировать с основным процессором работу прикладной программы, накопленные данные, состояния регистров, состояния входов и выходов, таблицы неисправностей;

обнаружить отказ основного процессора;

заместить отказавший процессор.
При первоначальном включении резервного процессора из выключенного состояния или после горячей замены он должен получить от основного следующую информацию:

все данные, полученные со входов;

все данные, отправленные на выходы;

состояния ПИД-регуляторов;

уставки и другие значения, заданные пользователем в процессе работы системы;

содержимое регистров, в том числе счетчиков-таймеров;

другие данные, которые пользователь считает нужным синхронизировать.
После первоначальной синхронизации она повторяется в каждом контроллерном цикле. Это позволяет иметь уверенность, что резервный контроллер всегда готов к замещению основного. В этом заключается суть термина "горячий резерв".
Процедура перехода на резерв обычно занимает один контроллерный цикл. В течение этого времени выходные состояния всех модулей вывода сохраняются неизменными. Процедуру перехода на резерв выполняет специальный драйвер резервирования, который:

определяет, какой из процессоров является основным, какой - резервным. Обычно основным является тот, который раньше был включен или назначен пользователем;

убирает из основного процессора уставки, идентифицировавшие его как основной;

рассылает всем участникам сети сообщения о том, какой процессор стал основным и какого типа система получилась после перехода на резерв (в соответствии со схемой деградации);

выполняет синхронизацию;

выполняет диагностический тест, который идентифицирует ошибки шины, потерю связи с сетевыми устройствами, изменение статуса процессора.
Переключение процессора обычно выполняется без коммутатора, с помощью изменения в сетевых устройствах адреса процессора. Например, если по умолчанию основной процессор имеет адрес 31, но после отказа драйвер резервирования указал, что основной процессор изменил адрес на 30, то модули вывода не принимают данные с

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 23 адреса 31, но принимают с адреса 30. Если данные не поступают ни с адреса 31, ни с адреса 30, то модули вывода переводят свои выходы в безопасные состояния.
Приложения-клиенты верхнего уровня системы автоматизации, которые используют данные из контроллера, во время переключения на резерв должны перерегистрироваться на получение информации от нового процессора.
Для выполнения безударного переключения необходим быстрый обмен информацией между процессорами в течение одного или максимум двух-трех контроллерных циклов. Для этого используется быстродействующий канал связи (может быть использован канал прямого доступа в память [
Zhixun
]), выполненный в виде параллельной электрической шины или с помощью оптического кабеля. Оптоволоконный канал, в отличие от параллельной шины, может использоваться для разнесения основного и резервного контроллеров на большое расстояние (километры), что необходимо для снижения вероятности отказа по общей причине, например, вследствие стихийного бедствия.
Необходимость постоянной синхронизации является причиной того, что у резервированных процессоров контроллерный цикл длиннее или используются более мощные процессоры, чем обычно.
Поскольку продолжительность синхронизации является очень важным параметром, от которого зависит коэффициент готовности системы и возможность безударного переключения на резерв, появляется задача минимизации объема передаваемой информации. Одним из путей решения этой проблемы является передача данных только при наступлении определенных событий в системе, которые могут приводить к различию во внутренних состояниях основного и резервного процессоров. В частности, синхронизация по событиям выполняется, если:

происходит обмен информацией с модулями ввода-вывода;

поступает запрос на прерывание;

срабатывают запрограммированные пользователем таймеры;

изменяются данные в результате обмена по сети.
Синхронизация по событиям должна выполняться средствами операционной системы контроллера в фоновом режиме и быть не связанной с программой пользователя.
Это позволяет использовать одну и ту же прикладную программу как на резервированных процессорах, так и в системах без резервирования.
Недостатком систем с резервированием замещением является наличие нерезервированных подсистем: канала синхронизации, программного драйвера резервирования и процессора, на котором этот драйвер исполняется. Отказ этих элементов приводит к отказу всей резервированной системы.
Резервирование методом голосования
Метод голосования проще, чем резервирование замещением, поскольку не требует постоянной синхронизации состояний процессоров. Кроме того, метод голосования позволяет выполнять задачу управления без остановки во время перехода на резерв. Однако голосование с целью обеспечения безотказности возможно только в системе, состоящей не менее чем из трех процессоров, что достаточно дорого. Два

http://bookasutp.ru/Chapter8_1.aspx
Аппаратное резервирование
Страница 24 процессора, включенные по схеме голосования, могут быть использованы только в системах безопасности.
Типовая система с голосованием по схеме 2оо3 показана на рис. 16
. В ней три процессорных модуля и исполняют одну и ту же программу пользователя, получая одни и те же данные от датчиков через модули ввода
. Каждый процессорный модуль имеет три сетевых контроллера, которые исполняют протокол обмена по сети.
Работает система следующим образом. Каждый из трех параллельно работающих процессоров (
и
) отсылает в модули ввода запрос (команду). Каждый из трех модулей ввода получает эти три команды и выполняет голосование по схеме 2оо3, в результате которого из трех полученных входных значений выбирается одно, которое используется для выработки ответа на команду. Поскольку модулей ввода три, в процессор отправляется также три ответа на его команду, из которых каждый их трех процессоров выбирает один ответ по схеме 2оо3, который и используется в дальнейшей работе прикладной программы.
Аналогично происходит процедура вывода. Каждый процессор посылает в модули вывода команду вывода; каждый из модулей вывода (1, 2, 3 и 4 на рис. 16
) принимает три команды. Далее в каждом модуле вывода выполняется голосование по схеме 2оо3, в результате которого для исполнения выбирается одна команда из трех, по которой включается или выключается исполнительное устройств (в нашем примере ключ).
Рис. 16. Резервирование методом голосования
Таким образом, голосование выполняется не отдельным блоком резервирования, а в каждом элементе системы отдельно, поэтому отказ любого блока голосования не приводит к отказу всей системы.
После отказа одного из процессоров система продолжает непрерывно работать, поскольку схема голосования выдает правильной результат в результате мажоритарного голосования. После отказа двух процессоров наступает отказ системы. Однако в системах безопасности достаточно резервировать только функцию безопасности, что позволяет использовать голосование по схеме 1оо2, 2оо2 и использовать результат диагностики неисправности в качестве одного из "голосов". Поэтому после отказа одного из процессоров в системе 2оо3 она может перейти в режим 1оо2 (или 2оо2), после отказа