控制系统冗余的攻击网格电源可靠性问题
美国的停电越来越频繁。一个研究小组指出,从 2011 年到 2021 年,美国经历的停电次数比过去十年(2000-2010 年)多了 64%。这种增长在很大程度上归因于更频繁和更严重的天气事件。
导致问题的其他因素是,美国电网的很大一部分是几十年前建造的,而且它正在老化,使其更容易出现故障,而且需求增加。不断增长的人口、车辆和建筑物的电气化以及人工智能 (AI) 的能源需求给电网带来了更大的压力,增加了停电的可能性。
最后,从大型集中式发电厂转向多样化、分布式且通常不太可预测的能源的尝试引发了电网及其支持系统的尚未完全重建。目前尚不清楚这最终将如何解决。
所有这些都对流程型行业来说是个坏消息,在这些行业中,停机可能导致重大中断,包括生产线停止、材料损失、供应链中断和潜在的安全隐患。这些可能导致经济损失、设备损坏,甚至对员工安全构成风险。
减轻工业过程控制系统中计划外停电的影响对于维护安全、产品质量和系统完整性至关重要。
工程师可以采取哪些措施来帮助减轻停电影响?
许多因素都有助于弹性。减轻计划外停电影响的精心设计的策略可能包括数据保留策略、自动恢复和故障转移规划,当然,除了发电机或电池等电源保护之外。
最有效的方法之一是实施工业自动化系统冗余。它也可能是在硬件或电源故障期间保持系统可用性的最昂贵的方法,因此采用经过深思熟虑的方法非常重要。
通过提供到备用控制系统的无缝故障转移,不应损失过程控制或作员可见性。但是,这需要投资冗余可编程逻辑控制器 (PLC) 或可编程自动化控制器 (PAC),和/或实施具有冗余电源和现场 I/O 模块的热备用控制器。为了更好地衡量,请采用双以太网环。[这可能超出了大多数作的能力范围,但对于高附加值产品和/或特别苛刻的设置和重启要求来说,这可能是有意义的。
PLC 冗余的途径有哪些?
要使具有 PLC 的工艺系统冗余,您不必总是完全复制硬件,但硬件复制是最直接和可靠的方法。可以采用三种主要方法在 PLC 系统中实现冗余,具体取决于您愿意实施的可靠性、成本和复杂性级别:
1. 完全硬件冗余(也称为热备用或同步冗余)
这涉及部署两个并行运行的相同 PLC(相同品牌、型号、固件)。一个是主数据库,另一个是热备用数据库。完全硬件冗余的主要功能是内存和 I/O 的实时同步,以及在主服务器发生故障时自动切换。该安排通常还包括冗余电源、网络接口和 I/O 模块。
优点:
高可用性和快速故障转移
最大限度地减少流程中断
缺点:
由于硬件和许可证的重复而成本高
2. 部分冗余(共享或交换资源)
这涉及仅复制控制器,而某些组件(例如 I/O 机架或人机界面)通过切换逻辑共享或连接。例如,这可以通过具有双 PLC 和切换继电器或软件控制的切换逻辑的单个 I/O 来实现。
优点:
与完全复制相比节省成本
一些改进的容错能力
缺点:
管理更复杂
更长的恢复时间
共享点(如 I/O)仍可以是单点故障
3. 基于软件的冗余或高级监控冗余
这涉及在软件中实现冗余逻辑,可能在监控系统(如 SCADA 或 DCS)中或利用分布式计算的更高级别控制中实现冗余逻辑。该方法使用心跳检查和看门狗计时器或 SCADA 或 PLC 启动切换的外部系统监视器。
优点:
灵活
可以利用现有的 IT 基础架构
缺点:
不太确定
取决于网络运行状况和 SCADA 性能
冗余类型所需硬件切换时间可靠性成本
完整的硬件完全复制<1 秒非常高高部分冗余部分重复几秒钟中等中等基于软件最小(使用 IT/SCADA)变化 (较慢)低-中低
PLC 所需的冗余级别取决于过程的关键程度。对于高风险应用(例如,化工厂、发电),完全硬件冗余是首选。对于不太关键的系统或预算受限的系统,部分或基于软件的冗余仍然可以提供合理的容错能力。
PAC 冗余的一些途径有哪些?
在为 PAC 系统设计冗余时,您不必总是完全复制硬件。但是,与 PLC 一样,冗余的级别和方法取决于系统的关键程度、性能要求和成本容忍度。PAC 提供比 PLC 更大的灵活性和集成能力,因此具有更细致的冗余策略:
1. 完全硬件冗余(控制器 + I/O)
这是指您采用两个相同的 PAC,具有重复的 I/O、电源和通信接口。两个控制器运行相同的程序 — 一个是主控制器,另一个是同步备用控制器;一种在任务关键型系统(例如,水处理、制药、电力)中受到青睐的方法。商业示例包括 Allen-Bradley ControlLogix Redundancy 和 Siemens S7-400H。
优点:
快速故障转移(亚秒级)
高可用性
缺点:
由于完全复制而造成的成本最高
2. 部分硬件冗余
这是一种具有冗余 PAC 但具有共享或多路复用 I/O 模块的设置。它采用具有共享 I/O 机架和切换逻辑的冗余 CPU,用于选择哪个 CPU 处于活动状态。这在 I/O 复制成本太高或空间受限的系统中很常见。
优点:
平衡成本
达观
缺点:
共享 I/O 可以是单点故障
3. 网络冗余 + 分布式控制
这涉及跨冗余工业以太网(例如 EtherNet/IP、PROFINET)或环形网络(例如 MRP、HSR、PRP)的分布式 PAC。它之所以有效,是因为控制权是分布式的;一次 PAC 故障不会停止系统范围的功能。该方法建立在冗余网关、双 NIC 和环形拓扑之上。
优点:
模块化和可扩展
更高的故障隔离
缺点:
复杂性
不适用于紧密回路控制冗余
4. 虚拟冗余 / PAC 虚拟化
此时,PAC 功能在工业 PC 或虚拟机管理程序上通过冗余故障转移进行虚拟化。PAC 软件(例如 SoftLogix、Codesys)在具有 VM 级故障转移的虚拟环境中运行。该方法通常应用于 PAC 由软件定义的现代混合控制系统中。
优点:灵活且可扩展
轻松备份和快照
缺点:
取决于虚拟机管理程序/IT 基础架构的稳定性
5. 监控/SCADA 级冗余
在这种情况下,冗余在 SCADA 或 MES 层处理,而不是在 PAC 本身内部处理。PAC 可能不是冗余的,但监控系统可以接管控制逻辑或绕过故障重新路由。
优点:
基于软件
便宜
缺点:
响应速度较慢
对于快速控制回路,风险更大。
Redundancy Method硬件复制快速故障转移成本典型用例
完全 PAC + I/O 冗余是 (全部)是(<1 秒)高关键基础设施、制药部分硬件冗余仅 CPU温和中等具有成本限制的工业系统网络/分布式控制否(共享逻辑)温和中等模块化制造虚拟冗余否 (虚拟化)是的中等软件定义的自动化SCADA/IT 级冗余不否 (慢)低数据记录、批处理/SCADA 覆盖
双以太网环如何帮助提高弹性?
网络弹性也很重要。作为许多控制系统中的重要组件,为以太网环网添加冗余可能是一项经济高效的投资。要构建双以太网环,您需要创建一个冗余、容错的网络拓扑,其中两个反向旋转的以太网环可在工业或关键系统中提供弹性和快速故障转移。这在工业以太网、变电站自动化和任务关键型基础设施中很常见。
首先了解网络的性质及其重要要求,例如低恢复时间(通常为 <50 毫秒)、高可靠性和/或确定性通信。然后,选择支持双环设置的环冗余协议。
流行的实验方案包括:
HSR(高可用性无缝冗余):IEC 62439-3 标准;在两个环上发送重复的帧。
PRP (并行冗余协议):IEC 62439-3 标准;与 HSR 一起使用或单独使用。
带环形耦合的 MSTP/RSTP:传统的基于生成树的冗余。
MRP(媒体冗余协议):IEC 62439-2 标准;对于环形拓扑,比 RSTP 更高效(见图)。
所示为采用 MRP(媒体冗余协议)– IEC 62439-2 的冗余以太网环的通用配置,这是环形拓扑的选项之一。
您还需要支持以下功能的托管型工业以太网交换机:
双环冗余
快速故障转移(通常为 ≤20–50 毫秒)
协议支持(HSR、MRP 等)
供应商包括 Hirschmann、Moxa、Siemens、Cisco(IE 交换机)
网络设计需要创建两个独立的物理环,即顺时针以太网环和逆时针以太网环。然后,每个设备或交换机都通过两个端口连接到每个环(双 NIC 或双端换机)。
如果设备是单连接的,则可以使用冗余盒(又名 redbox)。Redbox 可以将单端口设备连接到双冗余环,也可以将单连接节点 (SAN) 连接到冗余网络。从本质上讲,redbox 充当没有两个网络连接的节点的 “代理”,使其能够参与冗余网络,就像它具有双连接一样。
在 MRP 等协议中,一台交换机充当环管理器,用于监控拓扑更改和管理环关闭。
冗余涉及在每个交换机上配置所选协议。您可能需要根据需要指定振铃管理器/主管,并验证检测信号计时、帧复制和延迟时间等设置。
最后,测试冗余!例如,您可以模拟电缆或端口故障,以验证环 A 和环 B 之间的自动故障转移,然后监控恢复时间和网络连续性。
其他一些可以帮助实现弹性的技巧:
在交换机之间使用光纤实现长距离连接。
为每个交换机提供单独的电源。
使用 SNMP 或网络管理系统 (NMS) 进行监控。
清晰地标记电缆和文档拓扑。
不要错过重定时器技术的潜在价值,尤其是在存在长电缆的情况下。
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码
