Резервирование является практически единственным и широкое используемым методом кардинального повышения надежности систем автоматизации. Оно позволяет создавать системы аварийной сигнализации, противоаварийной защиты, автоматического пожаротушения, контроля и управления взрывоопасными технологическими блоками и другие, относящиеся к уровням безопасности SIL1…SIL3 по стандарту МЭК 61508-5, а также системы, в которых даже короткий простой ведет к большим финансовым потерям (системы распределения электроэнергии, непрерывные технологические процессы), Резервирование позволяет создавать высоконадежные системы из типовых изделий широкого применения.

Составной частью систем с резервированием является подсистема автоматического контроля работоспособности и диагностики неисправностей.

Большая доля отказов в системах автоматизации приходится на программное обеспечение. Однако этой теме посвящено множество специализированных книг и журнальных статей, поэтому мы ее касаться не будем.

В основе метода резервирования лежит очевидная идея замены отказавшего элемента исправным, находящемся в резерве. Однако реализация этой идеи часто становится достаточно сложной, если необходимо обеспечить минимальное время перехода на резерв и минимальную стоимость оборудования при заданной вероятности безотказной работы в течение определенного времени (наработки).

Для замены отказавшего элемента достаточно иметь резервный (запасной) элемент на складе. Однако продолжительность ручной замены составляет единицы часов, что для многих систем автоматизации недопустимо долго. Сократить время вынужденного простоя позволяет применение контроллеров и модулей ввода-вывода с разъемными клеммными соединителями и с возможностью «горячей замены» при условии наличия развитой системы диагностики неисправности. Для обеспечения возможности «горячей замены» необходимо предусмотреть следующее:

• защиту от статического электричества, которое может возникать на теле оператора, выполняющего замену устройства;
• необходимую последовательность подачи напряжений питания и внешних сигналов. Для этого используют, например, разъемы с контактами разной длины и секвенсоры внутри устройства;
• защиту системы от броска тока, вызванного зарядом емкостей подключаемого устройства, например, с помощью токоограничительных резисторов или отдельного источника питания;

Типичными отказами при вводе сигналов в ПЛК является обрыв или короткое замыкание линии связи. На долю отказов линий связи, датчиков и исполнительных устройств в системах автоматизации приходится 85 % всех отказов. Линии связи могут повреждаться в результате стихии (обмерзание проводов), земляных работ, неправильного монтажа, злонамеренных действий и т.п., поэтому их надежность часто не связана напрямую с надежностью кабеля.

Резервирование аналоговых модулей ввода и датчиков. Схемы голосования могут применяться для резервирования датчиков при использовании одного модуля ввода, для резервирования модулей ввода при наличии одного датчика или датчиков и модулей ввода одновременно, В последнем случае потенциальные входы модулей соединяются параллельно, а токовые — последовательно.

Поскольку при последовательном соединении отключение одного из модулей (например, для выполнения замены) приводит к разрыву всей цепи, то для устранения этого эффекта используют стабилитроны, При использовании источника тока с большим внутренним сопротивлением (например, стандартного источника) ток не зависит от сопротивления нагрузки, поэтому появление стабилитрона в контуре с током при удалении одного из модулей не вносит погрешность в результат измерения. Ток утечки стабилитрона должен быть мал по сравнению с допустимой абсолютной погрешностью измерения тока, а напряжение стабилизации — больше максимального падения напряжения на измерительном резисторе.

Резервирование модулей вывода принципиально отличается от резервирования модулей ввода тем, что устройства вывода в большинстве случаев являются источниками энергии, в то время как устройства ввода являются приемниками информации* (сигналов). Поэтому если для переключения на резерв в модулях ввода достаточно программно перенаправить поток принимаемой информации, то в модулях вывода необходимо переключить поток энергии, что невозможно сделать только программными средствами.

Резервирование аналоговых модулей вывода. Резервированный вывод аналоговых сигналов реализуется наиболее сложно и в промышленной автоматике используется редко- Проблема состоит в том, что для переключения на резерв механические реле использовать нежелательно по причине их низкой надежности, а другие способы (включая метод голосования) порождают сложные схемы, которые также понижают надежность системы. Поэтому модули аналогового вывода чаще всего просто отсутствует в промышленных резервируемых системах.

Для резервирования линий связи при выводе и передаче аналоговых сигналов в нагрузку используют преимущественно стандарт 4…21 мА, поскольку он позволяет обнаружить к.з. и обрыв линии. Непосредственно у самой нагрузки устанавливают диоды, которые предотвращают шунтирование нагрузки при к,з. на землю в соседнем канале.

Процессорный модуль (для краткости будем говорить «процессор») следует резервировать в первую очередь, так как при его отказе насту лает отказ всей системы. Одновременно с процессором обычно резервируют блок питания и промышленную сеть.

Резервирование процессора с целью повышения отказоустойчивости и живучести выполняют методом замещения с горячим или теплым резервом, а также методом голосования по схеме 2ооЗ, Для систем, связанных с безопасностью, используют резервирование по схеме 1оо2 или 2оо2, в том числе с диагностикой (1002D и 2002D).

Сложность резервирования процессоров заключается в том, что в момент замещения резервный процессор должен иметь внутренние состояния, идентичные состояниям основного. В системах резервирования замещением для быстрой перезаписи внутренних состояний используется специализированная высокоскоростная шина или оптический канал синхронизации. В системах с голосованием большинство внутренних состояний процессоров идентичны, поскольку они работают одновременно с одними и теми же входными данными и исполняют одну и ту же программу, поэтому синхронизация необходима только во время горячей замены отказавшего процессора.

Метод голосования проще, чем резервирование замещением, поскольку не требует постоянной синхронизации состояний процессоров. Кроме того, метод голосования позволяет выполнять задачу управления без остановки во время перехода на резерв. Однако голо-сование с целью обеспечения безотказности возможно только в системе, состоящей не менее чем из трех процессоров, что достаточно дорого. Два процессора, включенные по схеме голосования, могут быть использованы только в системах безопасности.

Типовая система с голосованием по схеме 2003

Три процессорных модуля А, В и С исполняют одну и ту же программу пользователя, получая одни и те же данные от датчиков через модули ввода AI. Каждый процессорный модуль имеет три сетевых контроллера, которые исполняют протокол обмена по сети.

Работает система следующим образом. Каждый из трех параллельно работающих процессоров (А, В и С) отсылает в модули ввода запрос (команду). Каждый из трех модулей ввода получает эти три команды и выполняет голосование по схеме 2ооЗ, в результате которого из трех полученных входных значений выбирается одно, которое используется для выработки ответа на команду. Поскольку модулей ввода три, в процессор отправляется также три ответа на его команду, из которых каждый их трех процессоров выбирает один ответ по схеме 2ооЗ, который и используется в дальнейшей работе прикладной программы.

Соединение источников питания с целью горячего резервирования замещением выполняется через диоды, как и соединение дискретных выходов. Поскольку падение напряжение на кремниевых диодах составляет около 1 В, напряжение источников питания следует выбирать на 1 В больше, чем требуемое напряжение на нагрузке. При падении напряжения основного источника соединенный с ним диод запирается и питание нагрузки осуществляется от резервного источника. Однако такая схема не может быть использована при отказах, когда напряжение основного источника становится больше допустимого. Эта проблема решается применением внутри источника питания резервированных элементов, снижающих вероятность отказа такого типа.

Если в качестве резервного источника используется батарея, которая не должна разряжаться, пока она находится в резерве, то напряжение основного источника должно быть больше напряжения батареи на величину разброса напряжений открытых диодов.

Для уменьшения потерь энергии используют германиевые диоды или диоды Шоттки, которые имеют меньшее напряжение в открытом состоянии по сравнению с кремниевыми.

В состав промышленной сети входят линии связи, коммутаторы, сетевые мосты, маршрутизаторы, сетевые контролеры, преобразователи интерфейсов и источники питания. Однако чаще всего резервируются только линии связи как наименее надежные элементы.

Основной характеристикой метода резервирования промышленных сетей является длительность перехода на резерв.

Сети Profibus, Modbus, CAN

Резервирование промышленных сетей выполняется обычно одновременно с резервированием контроллеров. Для этого в каждом ПЛК используют два (реже — три) сетевых порта, к одному из них подключают основную промышленную сеть, к другому — резервную. Каждый контроллер имеет средства контроля работоспособности сети и в случае ее отказа переключает свой порт на резервную сеть. В системах с голосованием резервирование выполняется проще: исходящий поток сообщений посылается во все сети одновременно, а входящие потоки из всех сетей проходят через схему голосования.

Резервированию в промышленных сетях Ethernet с коммутаторами посвящена серия стандартов IEEE. Однако первоначально они были предназначены только для исключения замкнутых контуров в сетях, поэтому требования к быстродействию алгоритмов учтены не были, В связи с резким ростом спроса на промышленный Ethernet (рост около 50 % в год с 2004 г.) возросли требования ко времени переключения на резерв. Поэтому в 2005 г. началась работа над новым стандартом IEC 62439 «High Availability Automation Networks» («Сети промышленной автоматизации с высокой готовностью»), которая была инициирована комитетом IEC по цифровой коммуникации ТС65С.

Основной проблемой при резервирования сетей Ethernet с коммутаторами является устранение замкнутых логических контуров (петель, циклов). Логические петли не допускаются потому, что при их наличии коммуникационные пакеты могли бы вечно путешествовать по сети, ограничивая ее пропускную способность. При возрастании трафика был бы возможен также отказ в обслуживании из-за превышения пропускной способности сети. Кроме того, в таблице МАС-адресов коммутаторов появились бы одни и те же адреса для разных портов.

Для исключения логических петель служит стандартизованный алгоритм STP, который выполняет блокировку портов коммутатора, через которые петли замыкаются. После появления промышленного Ethernet оказалось, что алгоритм STP позволяет искусственно вводить в сеть резервные ветви, которые, однако, не создают логических петель благодаря STP-алгоритму. При отказе некоторых ветвей протокол STP выбирает новые сетевые маршруты, в которых участвуют зарезервированные ранее связи.

Методы резервирования основанные даже на усовершенствованном протоколе RSTP, имеют слишком большое время переключения на резерв (до 2 с). В то же время ряд приложений требует сокращения этого времени до единиц миллисекунд (как, например, в робототехнике) или до долей секунды (во многих химических технологических процессах). Поэтому некоторые фирмы разработали собственные нестандартные методы резервирования, которых в настоящее время насчитывается более 15.

В основе этих методов лежит использование сети с кольцевой физической топологией. Одна из ветвей сети блокируется, и поэтому в режиме нормального функционирования сеть приобретает логическую шинную топологию, В случае отказа одной из ветвей мастер включает резервный порт. При этом подключается резервная ветвь, и граф сети вновь становится связным, т.е. работоспособность сети оказывается полностью восстановленной.

Существуют два метода обнаружения отказа в сети: циклический опрос и отправка уведомления об отказе.