工廠的生產工藝對自動化網(wǎng)絡提出了高可用性的要求,為此,國際電工委員會制定了IEC62439國際標準。本文通過用高可用性網(wǎng)絡的基本概念和幾種高可用性網(wǎng)絡的工作原理,對高可用性網(wǎng)絡的技術做簡要介紹,希望能對讀者有所裨益。
1.高可用自動化網(wǎng)絡的概念
1.1網(wǎng)絡失效的恢復
工廠要依靠自動化系統(tǒng)的正常運行。工廠僅能容忍自動化系統(tǒng)短時的失效,這個時間被稱為容許時間。網(wǎng)絡的恢復時間應該小于這個容許時間,在工廠回到正常運行狀態(tài)之前,應用必須要執(zhí)行額外的任務(與協(xié)議、數(shù)據(jù)處理、下一個通信周期的等待相關)。應用可以按他們的容許時間進行分類,見表1。
表1 ――應用容許的時間
應用 | 容許時間 |
非實時自動化系統(tǒng),如:企業(yè)資源計劃,制造執(zhí)行系統(tǒng) | <10 s |
通用自動化,如:人機界面,SCADA,樓宇自動化 | <1 s |
工廠自動化,如:制造自動化,過程自動化,電廠 | <100 ms |
實時自動化,如:同步驅動器,機器人控制,變電站 | <10 ms |
當有些工廠需要連續(xù)運行時,要求就會更加嚴格,不許有停機時間,只能在大修時間段進行維護和再配置。在這種情況下,容許時間就是這個嚴格要求,比如,這就規(guī)定了設備部件的熱切換的時間。
自動化系統(tǒng)可以用不同的冗余方法來解決失效問題。方法的不同在于怎樣進行冗余, 但他們的關鍵性能要素都是恢復時間,比如,在中斷發(fā)生后恢復運行所需的時間。如果恢復時間超過了工廠容許時間,保護機制會引發(fā)(安全)停車,這可能會使生產帶來巨大損失。
恢復時間的一個關鍵特性是它的確定性,比如,保證恢復時間肯定低于某個特定值,滿足基本要求(某個時間的單一失效,沒有共模失效,小于最大容許時間)。
無論工廠是否依靠自動化網(wǎng)絡的正常運行,增加網(wǎng)絡的可用性都是非常必要的。這里不討論使用元件的可靠性或者增加維護來提高可用性。我們只考慮系統(tǒng)一旦失效,協(xié)議帶來的冗余功能,以及如何自動重新配置網(wǎng)絡中的元件。
1.2網(wǎng)絡冗余的分類
考慮兩類網(wǎng)絡冗余:
? 在網(wǎng)絡內的冗余管理;
? 在終節(jié)點的冗余管理。
在網(wǎng)絡內的冗余管理
網(wǎng)絡內的冗余應用在廣域網(wǎng)上,以前現(xiàn)場總線3層路由器會根據(jù)鏈接失效計算可變的路徑。相應的協(xié)議作為IP簇的一部分,已經得到很好的驗證。根據(jù)拓撲結構,恢復時間為幾十秒,或者要幾分鐘。這種恢復時間僅能被很緩慢的應用所接受。
自動化網(wǎng)絡通常運行在一個的局域網(wǎng)(LAN)上,比如,操作的報文穿通常梭于1層的重發(fā)器或者2層的交換機之間,但不會跨越路由器。雖然通過路由器或者防火墻發(fā)出和進入的報文確實存在,但不是關鍵和主要的。
傳統(tǒng)上,在一個局域網(wǎng)內的冗余由協(xié)議來處理,當連接丟失后,重新配置局域網(wǎng),并進行切換。使用冗余連接并切換的方法有:根據(jù)IEEE 標準的快速生成樹協(xié)議(RSTP)。
改進的2層冗余協(xié)議建立在與RSTP相似的原理上,但提供了一種更快的恢復,它是根據(jù)自動化網(wǎng)絡具有環(huán)行拓撲的假定而設計。終節(jié)點(end node)是不變化的自動化節(jié)點。
在終節(jié)點內的冗余管理
對恢復時間的進一步加快需要在終節(jié)點內管理冗余,需要配備多個、冗余連接的終節(jié)點。通常,雙重連接(doubly attached)終節(jié)點提供了兩通道冗余。這種類型的冗余,不用考慮在局域網(wǎng)內的切換。
對于實時應用,例如:同步驅動器,并行運行對斷開的網(wǎng)絡保證了無間斷的恢復,但需要網(wǎng)絡的完全雙重化。有些關鍵應用還需要雙重連接節(jié)點,來對付單一連接失效,甚至都沒有恢復時間。
[DividePage:NextPage]
1.3幾種冗余協(xié)議的比較和性能指標
每種協(xié)議提供了:
? 一個最大的、確定的和保證的恢復時間(有時要取決于拓撲結構);
? 針對應用在不同環(huán)境下的實際通信透明度;并且
? 雙重連接節(jié)點可與單一連接節(jié)點互操作(如:市售產品、IT設備)。
表2 一些冗余協(xié)議的部分特性比較,按恢復時間進行排序
協(xié)議 | 方案 | 幀丟失 | 冗余協(xié)議 | 終節(jié)點連接 | 網(wǎng)絡拓撲 | 失效恢復時間 |
IP | IP 路由 | 有 | 在網(wǎng)絡中 | 單一連接 | 單一網(wǎng)格 | 典型:>30 s 無確定性 |
STP | IEEE :1998 | 有 | 在網(wǎng)絡中 | 單一連接 | 單一網(wǎng)格 | 典型:>20 s 無確定性 |
RSTP | IEEE :2004 | 有 | 在網(wǎng)絡中 | 單一連接 | 單一網(wǎng)格 | 典型:>2 s 無確定性 |
CRP | IEC 62439, 第7章 | 有 | 在終節(jié)點
| 單一和雙重連接 | 連接的, 雙重網(wǎng)格 | 最差:1 s 512個終節(jié)點 |
MRP | IEC 62439, 第5章 | 有 | 在網(wǎng)絡中
| 單一連接 | 環(huán)型 | 最差:200 ms 50個交換機 |
| IEC 62439, 第8章 | 有 | 在終節(jié)點
| 雙重連接 | 連接的, 雙重網(wǎng)格 | 最差:4,8 ms 500個終節(jié)點 |
PRP | IEC 62439, 第6章 | 無 | 在終節(jié)點
| 雙重 | 獨立雙重網(wǎng)格 | 0
|
注:表2中的保證恢復時間必須使用特定的設置和參數(shù)才能實現(xiàn)。在用戶的實踐和不斷總結中,采用不同的設置和參數(shù)可能達到更短的恢復時間。
當用戶進行具體實施時,不同解決方案的參考指標包括:
? 失效恢復時間;
? 修理恢復時間;
? 復原恢復時間;
? 最差恢復時間;
? 對正常運行的影響。
失效的情況包括:
? 當前有效網(wǎng)絡管理器(如果存在)的失效,然后修理和復原;
? 當前網(wǎng)絡時間源(如果存在)的失效,然后修理和復原。
2. MRP(Media Redundancy Protocol)――基于環(huán)型拓撲的介質冗余協(xié)議
2.1 MRP 概述
介質冗余協(xié)議指定了一種基于環(huán)型拓撲的恢復協(xié)議。MRP是對使用交換機、可能發(fā)生單一失效、具有確定性反應的網(wǎng)絡而設計。MRP 是基于ISO/IEC 8802-3 (IEEE 802.3) 和IEEE 的特性,包括過慮數(shù)據(jù)庫(FDB)功能,MRP位于數(shù)據(jù)鏈路層和應用層之間(參見圖1)。
遵從協(xié)議的網(wǎng)絡應具有環(huán)型的拓撲結構,帶有多個節(jié)點。網(wǎng)絡中的一個節(jié)點扮演介質冗余管理器(MRM)的角色。MRM的功能是監(jiān)視和控制環(huán)型拓撲結構,一旦網(wǎng)絡出現(xiàn)失效便立即反應。MRM通過一個環(huán)端口(ring port)往環(huán)上發(fā)送幀,然后在另一個環(huán)端口接收這些幀來完成其作用的,在相反方向上也是一樣的。
在環(huán)中的其他節(jié)點扮演介質冗余客戶機(MRC)的角色。一個MRC在接收來自MRM的重新配置幀時起作用,可以在它的兩個環(huán)端口上改變連接。
遵從協(xié)議的節(jié)點應能執(zhí)行下面的功能:
? 介質冗余管理器(MRM);
? 介質冗余客戶機(MRC);或者
? 既是MRM又是MRC(但兩個角色不能同時有效)。
每個MRP兼容節(jié)點都有一個內置交換機,帶兩個環(huán)端口,連接在環(huán)上。環(huán)上的每個節(jié)點能夠探測失效或者恢復內部交換機連接,或者恢復相鄰節(jié)點。
MRP由一個服務和一個協(xié)議實體組成,參看圖1中的棧模型。
[DividePage:NextPage]
圖1 – MRP 棧
2.2 環(huán)端口
MRM和MRC應該有兩個環(huán)端口。 MRM和MRC應該能夠探測失效或者使用基于IEEE 802.3機制,對一個環(huán)端口恢復連接。
2.3 介質冗余管理器(MRM)
MRM的第一個環(huán)端口應連接到MRC的一個環(huán)端口。MRC的另一個環(huán)端口一個連接到另一個MRC的環(huán)端口或者MRM的第二個環(huán)端口,從而形成一個如圖2所示的環(huán)型拓撲結構。
圖2 ―帶有一個管理器和多個客戶機的MRP環(huán)型拓撲
MRM應該監(jiān)控環(huán)的狀態(tài):
? 在配置周期,往環(huán)的兩個方向上,發(fā)送MRP_Test幀;
? 設置一個環(huán)端口為轉發(fā)(FORWARDING)狀態(tài),如果另一個環(huán)端口接收到自己的MRP_Test幀(這意味著環(huán)是閉合的,見圖2),則把它設置成阻止(BLOCKED)狀態(tài);
? 如果在一個MRP_TSTdefaultT或MRP_TSTshortT或MRP_TSTNRmax時間的配置周期里,另一個環(huán)端口不能接收到自己的MRP_Test幀(這意味著環(huán)是斷開的,見圖3),把兩個環(huán)端口都設置為轉發(fā)(FORWARDING)狀態(tài)。
圖3 ―MRP MRM 在環(huán)斷開的情況
下面的機制保證MRM和MRC之間在環(huán)拓撲變化時的同步。
MRM應該指出環(huán)狀態(tài)的變化,給所有MRC發(fā)送MRP_TopologyChange幀。當探測到環(huán)路斷開時,那么MRM通過它的兩個環(huán)端口發(fā)送 MRP_TopologyChange 幀。這個幀帶有一個延時時間,延時后執(zhí)行環(huán)型拓撲的改變。這個延時參數(shù)稱為MRP_Interval。當這個時間結束,所有MRC應該清除它們的過慮數(shù)據(jù)庫(FDB)。.
每個MRC應該對延時參數(shù)MRP_Interval,返回一個MRP_linkUp或者MRP_linkDown 幀到MRM,告訴MRM在這個時間結束后,MRC將改變它的端口狀態(tài),從BLOCKED 到 FORWARDING(MRP_linkUp幀)或者到DISABLED(MRP_linkDown幀)。
[DividePage:NextPage]
2.4 介質冗余客戶機(MRC)
每個MRC應該在一個環(huán)端口接收MRP_Test幀,然后從另一個環(huán)端口轉發(fā),反方向也一樣。
如果MRC探測到一個失效或者恢復一個環(huán)端口連接,MRC可以通過它的兩個環(huán)端口,發(fā)送MRP_linkChange幀通知這個變化。每個MRC應該從一個環(huán)端口接收MRP_linkChange 幀,然通過另一個環(huán)端口后轉發(fā),反方向的情況也一樣。
每個MRC應能從一個環(huán)端口接收MRP_TopologyChange幀,然后轉發(fā)到另一個環(huán)端口, 反方向也一樣。每個MRC應能處理這些幀。如果在一個給定間隔(MRP_TOPchgT)收到MRP_TopologyChange 幀,它應該清除它的過慮數(shù)據(jù)庫FDB。
2.5 冗余域
冗余域表示一個環(huán)。缺省時,所有MRM 和MRC都屬于整個缺省域。每個域分派了一個獨一無二的身份標識ID,做為它的關鍵屬性,特別當一個MRM或者一個MRC為多個環(huán)的成員時,這樣就不會造成混淆。在每個冗余域中,一個節(jié)點應該嚴格指派兩個唯一的環(huán)端口。
(羅克韋爾自動化(中國)有限公司 華镕)
