info@reallab.ru                                   +7 (495) 26-66-700 (многоканальный)              +7 (928) 289-24-86 (WA), +7 (961) 427-15-45 (дополнительные номера)
RealLab — Эффективная безопасностьтехнологических процессов
Российское оборудование и системы
промышленной автоматизации

 

8.2. Резервирование ПЛК и устройств ввода-вывода

8.2.1. Общие принципы резервирования

8.2.2. Модули ввода и датчики

8.2.3. Резервирование модулей вывода

8.2.4. Резервирование процессорных модулей

8.2.5. Резервирование источников питания

Несмотря на существование большого разнообразия методов резервирования, в промышленной автоматизации получили распространение только два из них: горячее резервирование замещением (hot standby) и метод голосования (2oo3 voting, 1oo2 voting и др.). Реже используется теплый резерв (warm standby).

Целью резервирования может быть обеспечение безотказности или обеспечение безопасности. Методы резервирования, используемые для достижения этих двух целей, существенно различаются. Основное различие состоит в том, что для обеспечения безопасности достаточно снизить вероятность только опасных отказов, в то время как для обеспечения безотказности требуется обеспечить работоспособность системы при всевозможных отказах. Поэтому системы, связанные с безопасностью, получаются проще, чем отказоустойчивые системы при условии одинаковой наработки до отказа.

 

8.2.1. Общие принципы резервирования

В основе метода резервирования лежит очевидная идея замены отказавшего элемента исправным, находящемся в резерве. Однако реализация этой идеи часто становится достаточно сложной, если необходимо обеспечить минимальное время перехода на резерв и минимальную стоимость оборудования при заданной вероятности безотказной работы в течение определенного времени (наработки).

Для замены отказавшего элемента достаточно иметь резервный (запасной) элемент на складе. Однако продолжительность ручной замены составляет единицы часов, что для многих систем автоматизации недопустимо долго. Сократить время вынужденного простоя позволяет применение контроллеров и модулей ввода-вывода с разъемными клеммными соединителями и с возможностью "горячей замены" [Боломытцев] при условии наличия развитой системы диагностики неисправности. Для обеспечения возможности "горячей замены" необходимо предусмотреть следующее:

  • защиту от статического электричества, которое может возникать на теле оператора, выполняющего замену устройства;
  • необходимую последовательность подачи напряжений питания и внешних сигналов. Для этого используют, например, разъемы с контактами разной длины и секвенсоры внутри устройства;
  • защиту системы от броска тока, вызванного зарядом емкостей подключаемого устройства, например, с помощью токоограничительных резисторов или отдельного источника питания;
  • защиту устройства от перенапряжения, короткого замыкания, переполюсовки, превышения напряжения питания, от ошибочного подключения;
  • программируемые устройства должны быть заранее запрограммированы, в сетевые устройства должен быть записан правильный адрес и предусмотрена подсистема автоматической регистрации нового и исключения старого устройства из сети;
  • в алгоритмах автоматического регулирования должен быть предусмотрен "безударный" режим смены контроллера или модулей ввода-вывода [Денисенко].

Если резервный элемент входит в состав системы, то она относится к резервированным системам с ручным замещением отказавшего элемента.

Системы с голосованием

Основным отличительным признаком систем резервирования с голосованием является невозможность выделения в системе основных элементов и резервных, поскольку все они равноправны, работают одновременно и выполняют одну и ту же функцию. Выбор одного сигнала из нескольких осуществляется схемой голосования, которая в частном случае нечетного числа голосов называется мажоритарной схемой.

Системы с голосованием не требуют контроля работоспособности элементов для своего функционирования, но используют подсистему диагностики для сокращения времени восстановления отказавших элементов. Наличие системы диагностики снижает также вероятность накопления скрытых неисправностей, которые со временем могут явиться причиной отказа.

Принцип работы схемы голосования рассмотрим на примере резервирования датчиков (см. рис. 8.1-а). В такой системе вместо одного датчика используются три (например, три термопары), которые подсоединены к одному модулю ввода. В схему голосования поступают, соответственно, три значения измеряемой величины (например, три значения температуры ), из которых необходимо выбрать одно. Значения температуры располагаются в порядке возрастания: , а на выход схемы голосования поступает значение, расположенное между двумя крайними (но не среднее арифметическое!). Например, если в результате измерения получены значения (0,12; 39,5; 39,4)°С, то используется только значение 39,4, остальные игнорируются.

Резервирование элементов с дискретными сигналами выполняется аналогично рассмотренному выше. Поскольку значениями дискретных сигналов являются логические "0" или "1", то в результате мажоритарного голосования выбирается то значение, которое принимают большинство сигналов. Например, при логических сигналах А="1", B="1", C="0" результатом голосования будет значение Y="1". Блок мажоритарного голосования реализует логическую функцию Y = AB + BC + CA.

Очевидно, что для работы мажоритарной схемы число "голосов" должно быть нечетным. Однако в системах безопасности возможно применение любого числа "голосов". Вместо недостающего голоса используется условие, что система считается работоспособной, если отказ является безопасным. Это позволяет использовать системы, в которых выбирается один голос из двух и такие системы по стандарту МЭК 61508 [МЭК] обозначаются как 1oo2 (1 Out Of 2). Используются также системы 2оо2 - (два голоса из двух), 2оо3 (два голоса из трех), 2оо4 (два голоса из четырех), 3 oo4 (три голоса из четырех). Нерезервированные системы обозначаются как 1оо1. Если в резервированной системе имеется развитая подсистема диагностики неисправностей, то к обозначению добавляется буква "D", например, 1oo2D .

 

а)

б)


Рис. 8.1. Устройства с голосованием по схеме 2oo3 (а) и по схеме 1oo2 (б)

 

Примером системы с голосованием вида 1oo2 может служить система охранной сигнализации двери, в которой используются два датчика А и В с целью взаимного резервирования (рис. 8.1, б). При отказе одного из датчиков (например, датчика B, когда вместо А=1, В=1 получаем А=1, В=0) система, пользуясь правилом большинства голосов, не может принять решение. Однако, если учесть, что ложное срабатывание охранной системы не приводит к опасной ситуации, а несрабатывание системы при наличии нарушителя является опасным отказом, очевидно, схема голосования должна считать, что достаточно одного голоса из двух, чтобы принять решение о подаче аварийного сигнала. Если сигналом срабатывания сигнализации является логическое значение "1", а сигналом отсутствия нарушителя является значение "0", то блок голосования реализует логическую функцию Y = A + B.

Если входными данными для голосования являются два аналоговых сигнала, то пользователь при программировании должен установить, какой сигнал из двух должен быть выбран системой в случае их несовпадения. Такой подход возможен только в системах безопасности.

Противоположная ситуация используется при голосовании вида 2 oo2. Примером может быть система контроля герметичности люка при погружении подводной лодки. Если люк имеет два датчика, то сигнал готовности к погружению может появиться только при наличии подтверждения ( A="1", B="1") от обоих датчиков одновременно (двух из двух). Выход из строя одного датчика не должен позволить системе выработать сигнал готовности к погружению, чтобы опасная ситуация не возникла. Такой блок реализует логическую функцию Y = AB.

Несмотря на высокую эффективность схем голосования с четным числом голосов, они имеют недостаток, состоящий в возможности ложного срабатывания. Хотя этот тип отказов и не является опасным, в некоторых случаях он приводит к значительному материальному ущербу. Для исключения ложного срабатывания можно использовать более дорогие системы с нечетным количеством голосов, которые снижают вероятность отказов обоих типов. Выбор наилучшей системы осуществляется на основании результатов экономических расчетов.

При отказе одного из элементов резервированной системы безопасности 2oo3 ее уровень безопасности понижается и она может начать функционировать как система 1оо2. Если замена неисправного элемента не произведена и произошел второй отказ, то система переходит в режим без резервирования 1oo1, однако в этом режиме система не может находиться долго по требованиям безопасности. Очередность перехода от одной схемы резервирования к другой называется схемой деградации.

Система безопасности 2оо3 может иметь второй вариант схемы деградации: 2oo3 - 2oo2 - 1oo1 - 0. Здесь "0" обозначает состояние, когда система перестает функционировать (останавливается). Перед остановкой система должна перевести все свои выходы в безопасные состояния. Понятие безопасного состояния для каждой системы определяется при ее проектировании. Например, для систем аварийного отключения безопасными являются обесточенные состояния исполнительных механизмов, а для систем автоматического пожаротушения или аварийной вентиляции - наоборот, состояния, при которых на исполнительные устройства подана энергия.

Схемы голосования широко используются в системах противоаварийной защиты и сигнализации, где они имеют большое разнообразие. В системах же, не связанных с безопасностью, обычно нельзя применить иные схемы голосования, кроме 2oo3, которые являются достаточно дорогими. Однако их уникальным свойством является непрерывность функционирования во время перехода на резерв и это свойство является определяющим при принятии решения о выборе метода резервирования.

Резервирование замещением

Другой класс резервированных систем составляют системы с горячим резервированием замещением (Hot Standby) (рис. 8.2). Их отличительной чертой является принципиальная необходимость в подсистеме контроля работоспособности как основного, так и резервного элементов, наличие блока переключения на резерв (обычно переключение выполняется программно), а также шины для синхронизации между процессорами (последнее относится только к резервированию процессоров). Основным параметром систем с резервированием замещением является время переключения на резерв. Переход на резерв выполняется в пределах одного или нескольких контроллерных циклов и занимает время от единиц миллисекунд до долей секунды.

Системы с более медленным переключением на резерв (от долей до единиц секунд) относят к системам с теплым резервом (Warm Standby). Конструктивное отличие теплого резервирования контроллеров от горячего заключается в отсутствии высокоскоростного канала синхронизации между процессорами, вместо него используется стандартная низкоскоростная промышленная сеть или другой последовательный канал обмена.

 


Рис. 8.2. Дублирование модуля ввода методом замещения

 

Для контроля работоспособности используются такие параметры и события, как, например, обрыв линии связи, короткое замыкание (к. з.), величина напряжения и тока питания, отсутствие связи, перегрев выходных каскадов модулей вывода, перегрузка по току, отсутствие нагрузки, выход сигналов за границы динамического диапазона, срабатывание предохранителя, срабатывание блокировок и защит, целостность линий связи с модулями ввода-вывода, ошибка контрольной суммы, ошибка памяти, "зависание" процессора и т. п. Перечень процедур контроля ПЛК приведен в ГОСТ Р 51841 [ГОСТ]. Диагностическая информация должна выводиться на пульт оператора и одновременно может использоваться для переключения на резерв.

Для исключения ошибочного перехода на резерв по причине сбоя в системе контроля используют временной фильтр, который разрешает переключение только при условии, что состояние неисправности длится не менее установленного времени (например, 1...100 мс).

Общее и поэлементное резервирование

Резервированными могут быть отдельные элементы системы, их группы и вся система в целом. Поэлементное резервирование позволяет повысить отказоустойчивость в первую очередь наиболее важных или наименее надежных элементов, выбрать различную кратность резервирования для разных элементов системы и тем самым достичь максимального отношения надежности к цене.

Общее резервирование не требует анализа соотношений между надежностью отдельных элементов системы, исключает ошибки при расчете надежности и выборе различных схем резервирования, а также ошибки, вызванные плохой наглядностью архитектуры системы при поэлементном резервировании.

В случае общего резервирования достаточно двух отказов для отказа всей системы, если один из элементов расположен в основной системе, второй - в резервной. При поэлементном резервировании вероятность такого отказа существенно ниже, поскольку для его реализации необходимо, чтобы один из отказавших элементов был основным, второй - его резервом, что крайне маловероятно.

 

8.2.2. Модули ввода и датчики

Типичными отказами при вводе сигналов в ПЛК является обрыв или короткое замыкание линии связи. На долю отказов линий связи, датчиков и исполнительных устройств в системах автоматизации приходится 85% всех отказов [SIMATIC]. Линии связи могут повреждаться в результате стихии (обмерзание проводов), земляных работ, неправильного монтажа, злонамеренных действий и т. п., поэтому их надежность часто не связана напрямую с надежностью кабеля.

Резервирование аналоговых модулей ввода и датчиков

 

а)

б)


Рис. 8.3. Резервирование модулей ввода (а) и датчиков с модулями (б)

 

Схемы голосования могут применяться для резервирования датчиков при использовании одного модуля ввода (рис. 8.1), для резервирования модулей ввода при наличии одного датчика (рис. 8.3-а) или датчиков и модулей ввода одновременно. В последнем случае потенциальные входы модулей соединяются параллельно (рис. 8.3-а), а токовые - последовательно (рис. 8.4). Поскольку при последовательном соединении отключение одного из модулей (например, для выполнения замены) приводит к разрыву всей цепи, то для устранения этого эффекта используют стабилитроны (рис. 8.4-а). При использовании источника тока с большим внутренним сопротивлением (например, стандартного источника 4...20 мА) ток не зависит от сопротивления нагрузки, поэтому появление стабилитрона в контуре с током при удалении одного из модулей не вносит погрешность в результат измерения. Ток утечки стабилитрона должен быть мал по сравнению с допустимой абсолютной погрешностью измерения тока, а напряжение стабилизации - больше максимального падения напряжения на измерительном резисторе.

Тот же эффект достигается, если использовать внешние измерительные резисторы (рис. 8.4-б), которые обеспечивают замкнутый путь для тока при удалении одного из модулей. При этом используются модули с потенциальным входом, а измерение тока выполняется косвенным методом (по падению напряжения на сопротивлении).

Схемы голосования в рассмотренных примерах и количество элементов в резервированной системе могут быть произвольными; алгоритм голосования реализуется программно в ПЛК.

Принцип работы системы, резервированной методом замещения, иллюстрируется рис. 8.2. В системе выделяется основной модуль, резервный и блок выбора модуля после отказа. До отказа на выход системы поступают данные только из основного модуля. Блок выбора постоянно контролирует состояние работоспособности модулей и после наступления отказа автоматически переключает выходной канал системы на исправный модуль. Одновременно на пульт оператора и в журнал ошибок посылается диагностическое сообщение о вышедшем из строя элементе. Переключение выполняться, как правило, программно.

Аналогично работают системы с несколькими резервными элементами. Переключение на один из них выполняется по заранее определенному алгоритму.

 

а)

б)


Рис. 8.4. Резервирование модулей ввода тока с измерительными резисторами внутри модулей (а) и снаружи (б)

 

Основной проблемой в системах, резервированных методом замещения, является автоматический контроль исправности.

Для контроля исправности аналоговых модулей ввода могут быть использованы следующие величины и события:

  • среднеквадратическое значение напряжения или тока шума;
  • напряжение смещения нуля;
  • температура внутри корпуса модуля;
  • погрешность (оценивается с помощью встроенного источника опорного напряжения);
  • зависание процессора (диагностируется с помощью сторожевого таймера);
  • напряжение питания процессора;
  • ошибка контрольной суммы;
  • ошибка в ответе на команду.

Для диагностики обрыва во входных цепях аналоговых модулей используются следующие методы:

  • контроль выхода переменной за границы динамического диапазона или границы ее изменения;
  • применение тестирующих источников тока (рис. 8.5).

Типовым методом обнаружения к. з. является измерение сопротивления входной цепи с помощью источников тока , подключенных как показано на рис. 8.5-а). Величина тока выбирается достаточно малой, чтобы падение напряжения на линии связи и внутреннем сопротивлении датчика не вносило погрешность в результат измерений. Например, в модуле NL-8TI фирмы Reallab! используется ток величиной 2 мкА. При обрыве во входной цепи напряжение между входами модуля выходит за границы динамического диапазона, что является диагностическим признаком обрыва.

 

а)

б)


Рис. 8.5. Обнаружение обрыва и к.з. в линии связи или датчике, когда носителем сигнала является напряжение (а) или ток (б)

 

При к. з. во входной цепи напряжение между входами модуля становится равным нулю, что является диагностическим признаком короткого замыкания. Для того, чтобы к. з. можно было отличить от полезного сигнала нулевой величины, диапазон изменения сигнала датчика искусственно сдвигают от нулевого уровня. Такой подход использован в стандарте 4...20 мА, где вся информация о сигнале содержится в диапазоне токов от 4 мА до 20 мА (см. рис. 8.5-б). В этом случае появление нулевого напряжения на входе приемника сигнала однозначно говорит о нарушении линии связи. Однако отличить обрыв от к. з. и в этом случае невозможно, поскольку оба отказа обнаруживаются по нулевой величине принимаемого тока.

Резервирование датчиков и модулей ввода дискретных сигналов

При вводе дискретных сигналов используются методы голосования и резервирования замещением, описанные в разделе "Резервирование ПЛК и устройств ввода-вывода".

Схемы подключения датчика типа "сухой контакт", которые обеспечивают диагностику обрыва, к. з. на землю и на шину питания, показаны на рис. 8.6 и рис. 8.7. При обрыве линии на входе модуля появляется сигнал, величина которого определяется делителем напряжения (см. рис. 8.6-а). В случае короткого замыкания на шину питания напряжение на входе модуля равно напряжению питания. При к. з. на землю напряжение на входе равно нулю. При разомкнутом состоянии датчика напряжение равно , при замкнутом - .

 

а)

б)


Рис. 8.6. Схема обнаружения обрыва и к.з. в цепи датчика: с пятью различимыми состояниями (а) и с тремя (б)

 

Таким образом, на входе модуля дискретного ввода могут быть пять различных уровней напряжения, которые с помощью АЦП преобразуются в пять различных событий: "0", "1", "к. з. на землю", к. з. на питание", "Обрыв". Переключение на резерв происходит, если в блок выбора модуля (см. рис. 8.2) поступает информация о неисправности. Тип неисправности выдается на пульт оператора системы автоматизации и заносится в журнал ошибок.

В ряде случаев достаточно иметь упрощенную схему диагностики. Например, если на рис. 8.6-а убрать резисторы и (см. рис. 8.6-б), то при замкнутом датчике получим напряжение на входе модуля, равное ; при открытом состоянии датчика, при обрыве линии и при к. з. на землю - одно и то же напряжение, равное нулю; при к. з. на шину питания - . Таким образом, вместо пяти состояний на входе получаем только три.

Предположим, что датчик используется в системе охраны и его нормальным состоянием является открытое. Тогда обрыв линии связи и к. з. на землю останутся незамеченными, поскольку их невозможно отличить от нормального состояния датчика. Предположим теперь, что нормальным состоянием датчика является замкнутое, как показано на рис. 8.6-б. Тогда при любом из перечисленных отказов линии связи сигнализация сработает, т.е. отказа, приводящего к несрабатыванию функции безопасности, произойти не может. Поэтому такая упрощенная схема контроля может быть использована в системах безопасности только с датчиками, у которых нормальным состоянием считается замкнутое.

При выборе упрощенных схем диагностики следует учитывать, что в правильно спроектированной системе безопасности срабатывание датчика не должно быть блокировано неисправностями линии связи, а если такая блокировка возможна, то она должна быть обнаружена системой контроля.

Для обнаружения неисправностей модуля ввода может использоваться автоматическое тестирование во время кратковременного отключения источников сигнала и нагрузок путем подачи на вход тестовых комбинаций логических уровней (см. выше).

 


Рис. 8.7. Схема обнаружения обрыва и к. з. в цепи датчика

 

 

8.2.3. Резервирование модулей вывода

Резервирование модулей вывода принципиально отличается от резервирования модулей ввода тем, что устройства вывода в большинстве случаев являются источниками энергии, в то время как устройства ввода являются приемниками информации (сигналов). Поэтому если для переключения на резерв в модулях ввода достаточно программно перенаправить поток принимаемой информации, то в модулях вывода необходимо переключить поток энергии, что невозможно сделать только программными средствами.

Резервирование аналоговых модулей вывода

 

а)

б)


Рис. 8.8. Резервирование (а) и диагностика (б) линии вывода аналоговых сигналов

 

Резервированный вывод аналоговых сигналов реализуется наиболее сложно и в промышленной автоматике используется редко. Проблема состоит в том, что для переключения на резерв механические реле использовать нежелательно по причине их низкой надежности, а другие способы (включая метод голосования) порождают сложные схемы, которые также понижают надежность системы. Поэтому модули аналогового вывода чаще всего просто отсутствует в промышленных резервируемых системах.

Для резервирования линий связи при выводе и передаче аналоговых сигналов в нагрузку используют преимущественно стандарт 4...20 мА, поскольку он позволяет обнаружить к. з. и обрыв линии. Непосредственно у самой нагрузки () устанавливают диоды, которые предотвращают шунтирование нагрузки при к. з. на землю в соседнем канале (рис. 8.8-а).

До наступления отказа каждый источник выдает ток, равный половине тока нагрузки (). При к. з. или обрыве линии связи ток через диод в этом канале становится равным нулю и срабатывает алгоритм резервирования, который устанавливает в исправном канале ток, равный . Использование половины тока () для каждого канала уменьшает амплитуду паразитных выбросов во время переходного процесса после отказа.

Описанная схема не пригодна для резервирования самих модулей вывода, поскольку в результате отказа источника на его выходе может установиться ток, не равный нулю.

 

а)

б)


Рис. 8.9. Соединение дискретных выходов при резервировании (а) и один из вариантов реализации дискретных выходных каскадов (б)

 

Контроль целостности линии связи и диагностика отказа в модулях вывода тока 4...20 мА выполняется как показано на рис. 8.8-б. Выходной каскад модуля не только выводит ток , но и измеряет напряжения и , которые с помощью АЦП преобразуются в цифровую форму и передаются в процессор модуля вывода. При правильном функционировании цепи, включающей нагрузку , должно выполняться равенство . Если оно не выполняется, то при имеет место к. з. на землю или обрыв; при - к. з. между линиями или в нагрузке; при имеет место к. з. верхней (по схеме) линии на шину питания, при - нижней. При сопротивление нагрузки превышает допустимое значение и операционный усилитель находится в состоянии насыщения.

Резервирование модулей дискретного вывода и нагрузки

Резервирование модулей дискретного вывода, кабелей и нагрузки обычно выполняется методом голосования. Для этого дискретные выходы соединяются параллельно через диоды (рис. 8.9-а). Диоды используются для предотвращения протекания тока из одного канала в другой. При отказе одного из источников на рис. 8.9-а в виде к. з. на землю и обрыва управление нагрузкой продолжается от второго источника. Однако, если отказом является пробой выходного каскада на шину питания, то отказавший канал блокирует выходное напряжение и оно перестает зависеть от управляющего сигнала. Несмотря на этот недостаток, соединение дискретных выходов по схеме рис. 8.9-а может быть использовано в системах, связанных с безопасностью, если рассмотренный вид отказа резервированной системы не влияет на выполнение функции безопасности. Например, если безопасным состоянием выхода является наличие напряжения (для питания двигателей насосов в системе пожаротушения), рассмотренный отказ не является опасным и не влияет на величину вероятности отказа при наличии запроса.

 

а)

б)


Рис. 8.10. Резервирование модулей вывода для реализации аварийного отключения и для повышения отказоустойчивости и живучести (б)

 

Таким образом, параллельное соединение дискретных выходов с целью резервирования может использоваться только в системах аварийного включения нагрузки и не может использоваться в системах аварийного отключения. Вероятность отказа при включении у такой цепи эквивалента дублированной системе, а при отключении - меньше, чем у нерезервированной.

На рис. 8.9-б) показана реализация описанного выше принципа резервирования, выполненная на МОП-транзисторах. Для коммутации мощной нагрузки ключи 1 и 2 могут быть изготовлены в отдельном конструктиве с радиаторами и удалены от модулей дискретного вывода. Маломощные ключи конструктивно входят в состав модулей вывода. При подключении нагрузки к разным источникам питания и (как на рис. 8.9-б) необходимо использовать развязывающие диоды, чтобы при одновременно открытых ключах исключить протекание тока из одного источника в другой. Если же использован общий источник питания (как на рис. 8.10-б), то диоды не нужны.

Для резервирования систем аварийного отключения используется последовательное соединение двух выходных каскадов (рис. 8.10-а). При отказе одного из МОП-ключей в виде к. з. нагрузка отключается вторым каналом, т.е. функция отключения в данной системе является дублированной. При необходимости же включить нагрузку достаточно отказа только одного ключа, т.е. функция включения оказывается нерезервированной. Таким образом, рассмотренный каскад может быть использован только в системах аварийного отключения, но не включения.

Для построения системы, в которой резервируется не одна из функций (включения или отключения), но обе одновременно, используется каскад из четырех ключей (рис. 8.10-б) [Mitsubishi]. В нем выход из строя любого выходного каскада или линии связи не приводит к нарушению ни функции включения, ни отключения. Реализация описанной цепи с помощью электромагнитных реле показана на рис. 8.11-а).

На схеме рис. 8.10-б) каждый выходной каскад управляется сигналом с помощью строенного источника сигнала (=). Для повышения надежности сигнал управления может приходить по резервированной промышленной сети от резервированного ПЛК, как на рис. 8.11-а. Голосование (например, по схеме 2оо3) в случае отказа одной из сетей выполняется непосредственно в модулях вывода.

При использовании горячего дублирования сети и контроллеров методом замещения аналогичная структура может иметь вид, показанный на рис. 8.11-б.

 

а)

б)


Рис. 8.11. Резервирование модулей вывода, шины и контроллеров;  - нагрузка


 

а)

б)


Рис. 8.12. Резервирование цепей дискретного вывода для систем аварийного включения (а) и аварийного отключения (б)


Структуры систем аварийного включения и отключения с дублированной сетью и ПЛК, резервированными по схеме 2оо3, показаны на рис. 8.12. Отметим, что для дублирования ключей на рис. 8.12-б было бы достаточно просто соединить их последовательно, заземлив нижний (по схеме) вывод нагрузки. Однако в этом случае становится возможным опасный отказ, вызванный к. з. верхнего по схеме вывода нагрузки на источник питания. При этом отключение нагрузки оказывается невозможным. Применение второго ключа для размыкания пути тока на землю позволяет исключить такой отказ.

 

Рис. 8.13. Принцип обнаружения обрыва линии связи и к. з. на шину питания и земли в модуле вывода дискретных сигналов

 

Принцип контроля и диагностики выходных каскадов и линий связи с нагрузкой иллюстрируется рис. 8.13. Он аналогичен использованному в модулях аналогового вывода (см. рис. 8.8-б). Напряжение (), пропорциональное току нагрузки, и преобразуются с помощью АЦП в цифровую форму и передаются в микропроцессор модуля для извлечения диагностической информации.

 

8.2.4. Резервирование процессорных модулей

Процессорный модуль (для краткости будем говорить "процессор") следует резервировать в первую очередь, т.к. при его отказе наступает отказ всей системы. Одновременно с процессором обычно резервируют блок питания и промышленную сеть.

Резервирование процессора с целью повышения отказоустойчивости и живучести выполняют методом замещения с горячим (рис. 8.14-а) или теплым (рис. 8.14-б) резервом, а также методом голосования по схеме 2oo3 (рис. 8.15). Для систем, связанных с безопасностью, используют резервирование по схеме 1оо2 или 2оо2, в том числе с диагностикой (1оо2D и 2оо2D).

Сложность резервирования процессоров заключается в том, что в момент замещения резервный процессор должен иметь внутренние состояния, идентичные состояниям основного. В системах резервирования замещением для быстрой перезаписи внутренних состояний используется специализированная высокоскоростная шина или оптический канал синхронизации (Bertocco-а). В системах с голосованием большинство внутренних состояний процессоров идентичны, поскольку они работают одновременно с одними и теми же входными данными и исполняют одну и ту же программу, поэтому синхронизация необходима только во время горячей замены отказавшего процессора.

 

а)

б)


Рис. 8.14. Горячее (а) и теплое (б) резервирование процессорных модулей замещением;
ДР - драйвер резервирования

 

Для систем, некритичных ко времени перехода на резерв, может быть использован медленный последовательный канал синхронизации с интерфейсами, например, RS-232, USB, RS-485 или обычная промышленная сеть (CAN, Modbus, Profibus и др.) общего назначения (Bertocco-б). Такие системы относят к системам с "теплым" резервом.

К резервированным процессорным модулям предъявляются следующие основные требования:

  • безударное переключение на резерв (без внесения возмущений в управляемый процесс);
  • малая длительность переключения;
  • высокая надежность общих средств, выполняющих функцию переключения (шина синхронизации и программное обеспечение).

Контроль работоспособности процессоров может выполняться на каждом контроллерном цикле, перед считыванием сигналов с модулей ввода и перед выводом сигналов на исполнительные устройства. Для выполнения контроля без остановки процесса функционирования системы источники сигнала и нагрузки отключаются на короткое время (например, 1 мс) для подачи тестовых воздействий и измерения реакции на них. При достаточно малой продолжительности отключенного состояния оно не вносит возмущений в работу системы вследствие инерционности исполнительных устройств.

 


Рис. 8.15. Резервирование процессорных модулей и сетей с голосованием по схеме 2oo3

 

Горячее резервированиезамещением

Основной сложностью при резервировании процессорного модуля является обеспечение синхронизации между основным и резервным процессором. Для того, чтобы перейти в рабочее состояние, резервный процессор должен иметь возможность:

  • синхронизировать с основным процессором работу прикладной программы, накопленные данные, состояния регистров, состояния входов и выходов, таблицы неисправностей;
  • обнаружить отказ основного процессора;
  • заместить отказавший процессор.

При первоначальном включении резервного процессора из выключенного состояния или после горячей замены он должен получить от основного следующую информацию:

  • все данные, полученные со входов;
  • все данные, отправленные на выходы;
  • состояния ПИД-регуляторов;
  • уставки и другие значения, заданные пользователем в процессе работы системы;
  • содержимое регистров, в том числе счетчиков-таймеров;
  • другие данные, которые пользователь считает нужным синхронизировать.

После первоначальной синхронизации она повторяется в каждом контроллерном цикле. Это позволяет иметь уверенность, что резервный контроллер всегда готов к замещению основного. В этом заключается суть термина "горячий резерв".

Процедура перехода на резерв обычно занимает один контроллерный цикл. В течение этого времени выходные состояния всех модулей вывода сохраняются неизменными. Процедуру перехода на резерв выполняет специальный драйвер резервирования, который:

  • определяет, какой из процессоров является основным, какой - резервным. Обычно основным является тот, который раньше был включен или назначен пользователем;
  • убирает из основного процессора уставки, идентифицировавшие его как основной;
  • рассылает всем участникам сети сообщения о том, какой процессор стал основным и какого типа система получилась после перехода на резерв (в соответствии со схемой деградации);
  • выполняет синхронизацию;
  • выполняет диагностический тест, который идентифицирует ошибки шины, потерю связи с сетевыми устройствами, изменение статуса процессора.

Переключение процессора обычно выполняется без коммутатора, с помощью изменения в сетевых устройствах адреса процессора. Например, если по умолчанию основной процессор имеет адрес 31, но после отказа драйвер резервирования указал, что основной процессор изменил адрес на 30, то модули вывода не принимают данные с адреса 31, но принимают с адреса 30. Если данные не поступают ни с адреса 31, ни с адреса 30, то модули вывода переводят свои выходы в безопасные состояния.

Приложения-клиенты верхнего уровня системы автоматизации, которые используют данные из контроллера, во время переключения на резерв должны перерегистрироваться на получение информации от нового процессора.

Для выполнения безударного переключения необходим быстрый обмен информацией между процессорами в течение одного или максимум двух-трех контроллерных циклов. Для этого используется быстродействующий канал связи (может быть использован канал прямого доступа в память [Zhixun]), выполненный в виде параллельной электрической шины или с помощью оптического кабеля. Оптоволоконный канал, в отличие от параллельной шины, может использоваться для разнесения основного и резервного контроллеров на большое расстояние (километры), что необходимо для снижения вероятности отказа по общей причине, например, вследствие стихийного бедствия.

Необходимость постоянной синхронизации является причиной того, что у резервированных процессоров контроллерный цикл длиннее или используются более мощные процессоры, чем обычно.

Поскольку продолжительность синхронизации является очень важным параметром, от которого зависит коэффициент готовности системы и возможность безударного переключения на резерв, появляется задача минимизации объема передаваемой информации. Одним из путей решения этой проблемы является передача данных только при наступлении определенных событий в системе, которые могут приводить к различию во внутренних состояниях основного и резервного процессоров. В частности, синхронизация по событиям выполняется, если:

  • происходит обмен информацией с модулями ввода-вывода;
  • поступает запрос на прерывание;
  • срабатывают запрограммированные пользователем таймеры;
  • изменяются данные в результате обмена по сети.

Синхронизация по событиям должна выполняться средствами операционной системы контроллера в фоновом режиме и быть не связанной с программой пользователя. Это позволяет использовать одну и ту же прикладную программу как на резервированных процессорах, так и в системах без резервирования.

Недостатком систем с резервированием замещением является наличие нерезервированных подсистем: канала синхронизации, программного драйвера резервирования и процессора, на котором этот драйвер исполняется. Отказ этих элементов приводит к отказу всей резервированной системы.

Резервирование методом голосования

Метод голосования проще, чем резервирование замещением, поскольку не требует постоянной синхронизации состояний процессоров. Кроме того, метод голосования позволяет выполнять задачу управления без остановки во время перехода на резерв. Однако голосование с целью обеспечения безотказности возможно только в системе, состоящей не менее чем из трех процессоров, что достаточно дорого. Два процессора, включенные по схеме голосования, могут быть использованы только в системах безопасности.

Типовая система с голосованием по схеме 2оо3 показана на рис. 8.16. В ней три процессорных модуля и исполняют одну и ту же программу пользователя, получая одни и те же данные от датчиков через модули ввода . Каждый процессорный модуль имеет три сетевых контроллера, которые исполняют протокол обмена по сети.

Работает система следующим образом. Каждый из трех параллельно работающих процессоров ( и ) отсылает в модули ввода запрос (команду). Каждый из трех модулей ввода получает эти три команды и выполняет голосование по схеме 2оо3, в результате которого из трех полученных входных значений выбирается одно, которое используется для выработки ответа на команду. Поскольку модулей ввода три, в процессор отправляется также три ответа на его команду, из которых каждый их трех процессоров выбирает один ответ по схеме 2оо3, который и используется в дальнейшей работе прикладной программы.

Аналогично происходит процедура вывода. Каждый процессор посылает в модули вывода команду вывода; каждый из модулей вывода (1, 2, 3 и 4 на рис. 8.16) принимает три команды. Далее в каждом модуле вывода выполняется голосование по схеме 2оо3, в результате которого для исполнения выбирается одна команда из трех, по которой включается или выключается исполнительное устройств (в нашем примере ключ).

 


Рис. 8.16. Резервирование методом голосования

 

Таким образом, голосование выполняется не отдельным блоком резервирования, а в каждом элементе системы отдельно, поэтому отказ любого блока голосования не приводит к отказу всей системы.

После отказа одного из процессоров система продолжает непрерывно работать, поскольку схема голосования выдает правильной результат в результате мажоритарного голосования. После отказа двух процессоров наступает отказ системы. Однако в системах безопасности достаточно резервировать только функцию безопасности, что позволяет использовать голосование по схеме 1оо2, 2оо2 и использовать результат диагностики неисправности в качестве одного из "голосов". Поэтому после отказа одного из процессоров в системе 2оо3 она может перейти в режим 1оо2 (или 2оо2), после отказа второго процессора - в режим 1оо1 и только после отказа третьего перевести свои выходы в безопасные состояния.

В системах с голосованием непрерывная синхронизация процессоров не требуется, поскольку при идентичных входных и выходных сигналах внутренние состояния процессоров оказываются также идентичны. Однако синхронизация необходима после горячей замены процессора, когда новый процессор должен получить стартовую информацию для своего функционирования синхронно с остальными процессорами. Отсутствие общего аппаратного и программного обеспечения, выполняющего функции перехода на резерв, повышает отказоустойчивость всей резервированной системы.

Несмотря на отсутствие необходимости в синхронизации, между процессорами выполняется обмен диагностическими данными и статусом. Данные, доступные всем элементам системы, называются глобальными и передаются от каждого процессора двум другим. Эти данные используются прикладными и системными программами, в частности, для реализации схемы деградации при появлении отказов. Для голосования по схеме 2оо3 в качестве третьего "голоса" каждый процессор использует свои собственные данные.

Тестирование процессорного модуля

Тестирование необходимо для своевременного перехода на резерв в системах с резервированием замещением, а также для информирования обслуживающего персонала о необходимости ручной замены отказавшего процессора. Поэтому каждый процессор постоянно исполняет программу самотестирования для обнаружения неисправностей.

Обычно тестируются следующие компоненты и функции:

  • скоростной канал связи между процессорами;
  • ядро центрального процессора;
  • внутренние ОЗУ центрального процессора;
  • флэш-память;
  • шины ввода-вывода.

Каждый процессор выполняет также сравнение контрольной суммы своей программы с другими процессорами в резервированной группе и если возникает различие, то сигнализирует об ошибке. Ошибки памяти обнаруживаются в процессе чтения-записи с помощью анализа паритета или контрольной суммы. "Зависание" обнаруживается с помощью сторожевого таймера и обработки нештатных состояний процессора.

Поскольку объем тестирования существенно зависит от отведенного для него времени, постоянно исполняемый тест является достаточно сокращенным. Поэтому может быть предусмотрен второй, более полный тест, который занимает несколько минут времени и выполняется только при включении системы, до начала ее функционирования, или по инициативе оператора.

Каждый процессор получает информацию об ошибках в других процессорах и ошибках голосования. В системах с голосованием результаты тестирования могут быть использованы как дополнительные условия при голосовании. Например, выдача сигнала управления на исполнительный механизм может быть разрешена только при условии, что результат диагностики процессоров положительный. В противном случае реализуется схема деградации при отказах.

 

8.2.5. Резервирование источников питания

Соединение источников питания с целью горячего резервирования замещением выполняется через диоды, как и соединение дискретных выходов (см. рис. 8.9-а). Поскольку падение напряжение на кремниевых диодах составляет около 1 В, напряжение источников питания следует выбирать на 1 В больше, чем требуемое напряжение на нагрузке. При падении напряжения основного источника соединенный с ним диод запирается и питание нагрузки осуществляется от резервного источника. Однако такая схема не может быть использована при отказах, когда напряжение основного источника становится больше допустимого. Эта проблема решается применением внутри источника питания резервированных элементов, снижающих вероятность отказа такого типа.

Если в качестве резервного источника используется батарея, которая не должна разряжаться, пока она находится в резерве, то напряжение основного источника должно быть больше напряжения батареи на величину разброса напряжений открытых диодов.

Для уменьшения потерь энергии используют германиевые диоды или диоды Шоттки, которые имеют меньшее напряжение в открытом состоянии по сравнению с кремниевыми.

Информация об отказе источника питания индицируется на его передней панели и пересылается на пульт оператора для принятия решения о замене.

 

 

8.1. основные понятия и определения

8.3. резервирование промышленных сетей

 

Располагается на площади 8900 м², оснащено самым современным технологическим оборудованием, имеет научно-исследовательское и конструкторское подразделение, использующие передовые средства автоматизации проектирования.

 



   
     
               
 
КОНТАКТЫ

Телефон:


Режим работы:
Адрес:

Почта:

+7 (495) 26-66-700
+7 (928) 289-24-86, 
+7 (961) 427-15-45
с 8:00 до 16:30
Биржевой Спуск, 8
г. Таганрог, Россия
info@reallab.ru

© НИЛ АП, ООО, 1989-2024

Дизайн-студия cCube. Разработка и поддержка сайтов
Разработка и поддержка
cCube.ru