摘要：介紹羅克韋爾自動化集成過程控制系統冗余設計方法和應用實例 1冗余技術是集成過程控制系統的基礎 所謂“冗余”，是指“一個具有相同設備功能的備用系統”，當主設備出現故障時，冗余設備是可以立即使用的替代設備。 冗余設計的目的是確保下述五種故障發生時系統保持穩定可靠的運行。 第1種故障：CPU故障 第2種故障：控制層網絡故障 第3種故障：信息層網絡故障 第4種故障：主機硬件故障 第5種故障：軟件故障 羅克韋爾自動化的集成過程控制系統是一套全面集成的過程控制解決方案。集成架構作為一種技術框架,將車間現場不同的應用項目通過統一的控制、可視化和通信平臺集成在一起。這樣一來，所有的數據都能夠在整個企業內進行無逢的傳遞。 冗余設計是集成過程控制系統的基礎。 2 冗余設計 冗余設計包括硬件和軟件兩部分。 2．1 硬件冗余（圖1） [align=center] 圖1 硬件冗余[/align] 2．1．1控制站冗余 兩個互為冗余的控制站配置必須完全相同（圖1中的主/從機架），冗余功能是依靠雙槽冗余模塊1757-SRM實現。當主控制器失效時，從控制器在100ms內接替主控制器，主從控制器的同步對用戶來說是完全透明的，冗余模塊之間通過2根1米長的光纜（62.5/25μm多模光纖，SC連接）連接起來。 冗余功能的主要特性如下： ※同步透明性：控制器的同步不會引起任何可能的控制中斷。 ※切換透明性：主從控制器切換時，除了觸發相應的報警或事件，不會對操作產生其他的影響，切換的時間可以忽略。 ※可靠的存儲：當進行同步數據傳輸時，只有主機架和從機架都收到相同的信息時，系統才確認數據傳輸成功。 ※切換時數據連貫性：進行冗余切換時，輸出保持不變，保證過程不發生擾動。 ※完全不要用戶編程，程序下載到主控制器。 冗余設計規則： ①一個冗余系統至少具有2個遠程機架（2個節點） ②所有I/O模塊必須放在遠程機架，冗余機架上不能有I/O模塊 ③每個冗余機架最多插2個1756-ENBT和3個1756-CNBR ④主/從1756-CNBR模塊地址開關撥到同一地址，從機架地址在上電后自動分配 冗余功能的設置（圖2）： 1757-SRM：Auto-Synchronization 自動同步設置為Always（保持） Controller Properties：Redundancy 屬性設置為Enabled（允許） [align=center] 圖2 冗余設置[/align] 2．1．2電源冗余 圖1中，每一個I/O遠程機架配置一組1756-PAR2冗余電源（每組冗余電源由兩個1756-PA75R電源模塊，兩根1756-CPR電纜和一個1756-PSCA適配器構成）。它們分別由兩路不同的系統供電，當任一路供電系統故障時，另一路仍保持供電，因此可以確保I/O機架供電不間斷。 2．1．3 控制層網絡冗余 [align=center] 圖3 冗余通道[/align] 集成過程控制系統的控制層是ControlNet,它是羅克韋爾自動化NetLinx開放網絡架構三層（EtherNet/IP、ControlNet、DeviceNet）網絡之一,滿足IEC61158國際工業現場總線標準。圖1中1756-CNBR是ControlNet通信模塊，它有兩個冗余的網絡通道：A通道和B通道（圖3），使控制信息實現冗余。傳送速率達5Mbps,傳送介質是75Ω阻抗的1786-RG6同軸電纜，通過BNC連接器與ControlNet總線相連。注意：A、B通道不能交叉；冗余鏈路兩邊的介質必須相同。 2．1．4 信息層網絡冗余 集成過程控制系統的信息層是EtherNet/IP,圖1中1756-ENBT是EtherNet/IP通信模塊，通過工業以太網交換機將信息傳送到上層監控管理中心。冗余功能通過光纖環網實現。 2．1．5 服務器冗余 采用主/從服務器結構。當主服務器出現故障時，從服務器自動轉為主服務器，提供與控制器/RTU的通信、數據采集等功能，并為其他操作站提供服務。主服務器定時將數據庫中的所有數據信息傳送到從服務器，以確保主/從服務器之間的完全同步。 2．2 軟件冗余 一個分布式HMI系統包括Server（服務器）組件和Client（客戶機）組件。Client組件提供了系統操作員使用的接口，一般是動態更新的圖形顯示。這些圖形顯示描述了系統的當前狀態，并且允許操作員監視和控制其操作。圖形顯示中的動態信息，包括動態圖形、報警匯總、更新標簽值以及實時和歷史趨勢，都是由HMI系統中的Server組件提供。 為使操作員能夠維護和控制整個系統，Server組件必須提供連續的信息。 為此，在系統中安裝了RSView Supervisory Edition人機界面軟件（簡稱RSViewSE）。該軟件可以提供三種類型的Server,每種類型均可通過標準的組態選項配置冗余： FactoryTalk Directory Server（目錄服務） RSView SE Server（HMI服務） Date Server（數據服務） 軟件冗余功能可以概括為：“在正確的時候，把正確的信息分配給正確的人”。 “正確的時候”是指：系統運行時，如果與主計算機的連接中斷，FactoryTalk會在30秒內自動將所有Clients切換到從計算機，當與主計算機的連接恢復時，系統會自動切換回主計算機—無須用戶編程、客戶端組態，也無須操作員介入，以確保在“正確的時間“及時將信息傳送給客戶。實現了信息傳送的實時性。 “正確的信息”是指：FactoryTalk Directory為所有信息提供可查詢的映射，信息源還是存儲在整個分布式系統中。這樣既有數據集中管理的好處，又避免了整個系統使用單一數據庫的風險。保證用戶得到“正確的信息”。 “正確的人”是指：RSViewSE利用Windows安全管理工具，管理用戶權限，包括：確保唯一密碼，自動退出系統，一段時間后改變密碼等。RSViewSE為用戶提供項目級的安全保障，對RSViewSE的命令、宏、數據庫標簽、畫面等分別設置安全級別。從而實現將信息傳送給“正確的人”。 3 應用實例 [align=center] 圖4 網絡拓撲圖[/align] 圖4所示為開曼鋁業（三門峽）氧化鋁集成過程控制系統網絡拓撲圖。它是一個分布式控制系統。 系統下設原料磨、石灰消化、溶出、沉降、種子過濾、蒸發、成品過濾、焙燒八個過程控制子系統（車間），每個車間均有一臺工程師站EWS和2-3臺操作員站OPS。車間內部工藝參數的數據采集、實時監控、數據處理等信息的傳輸由ControlNet控制網實現。整個氧化鋁廠的主要生產操作由這八套子系統完成。 控制系統的信息層采用EtherNet/IP工業以太網，通過光纖將上述八個車間的信息傳送到全廠生產信息調度中心，該中心設有兩臺服務器SERVER1、SERVER2和兩臺操作站OPS1、OPS2，對全廠生產過程進行集中監視、控制和管理。 整個控制系統共配置有35個CPU模塊，650多個I/O模塊，100多個通信模塊，這些模塊分別安裝在近90個機架上，用于控制4000多點模擬量和9000多點開關量。 這個龐大的自動控制工程，如果因故障停止運行，每天經濟損失高達100多萬元人民幣，如何保證氧化鋁生產長期連續穩定運行，是擺在每一個設計、調試人員面前必須解決的基本課題。 為此，開曼鋁業氧化鋁控制系統采用下列冗余設計，實現系統穩定運行要求。 3．1每個車間的控制系統均采用圖1所示的冗余結構模式。 3．2 信息層網絡故障借助交換機冗余和雙光纖環網兩個途徑解決。 交換機冗余： 圖4中，每個車間的現場信息是通過兩個冗余以太網交換機獲取，例如溶出車間，左邊的交換機接收來自一期、二期和二期擴建主機架上的1756-ENBT模塊信息，右邊的交換機接收來自一期、二期和二期擴建副機架上的1756-ENBT模塊信息，這樣做的好處是現場信息具有冗余功能。 雙光纖環網： 全廠設有兩條100M光纖以太網環網。 環網1：設有9個工業以太網光纖交換機，用于原料磨、石灰消化、溶出、沉降、分解、蒸發、成品和焙燒等8個車間的現場數據和冗余服務器（ServerS、Server2）進行數據交換。 環網2：設有7個工業以太網光纖交換機，并在原料磨、溶出、沉降、分解、蒸發和焙燒等6個主要車間各設一臺操作員站OPS3，可以監視全廠其他車間的運行情況（只看不控）。 環網1和環網2是兩個獨立的網絡，他們之間只有一個通信通道，即信息只有通過服務器才可以進行交換。 3．3 服務器冗余： 當主Server出現故障時，自動切換到從Server.當主Server再次可用時，它自動重新繼續執行HMI Server的任務。從而保證Server組件向Client提供連續的信息，提高系統可訪問性，確保用戶監控到生產現場的運行情況，為他們做出重要的決策提供信息支持。 以溶出車間為例：掛接在環網1上的工程師站EWS及操作員站OPS1、OPS2工作于單機模式，可以監視和操作本車間一期、二期和二期擴建所有設備，掛接在環網2上的操作員站OPS3工作于分布模式，在調度中心冗余服務器上進行操作權限設置，即可在溶出車間監視全廠其他車間的運行工況（但不可對其他車間的設備進行操作）。 4 結束語 ①實現冗余的另一種方法是雙CPU冗余[3]：在同一機架插2塊CPU，兩塊CPU同時在系統中運行，一塊運行于主控模式，另一塊運行于熱備份模式。當其中任一塊CPU發生故障時另一塊CPU立即監視到并發出報警，自動將正常的CPU投入主控模式。CPU的無擾切換，使系統一直受控，確保了安全。這就是軟件冗余，其優點是系統成本低，缺點是需要用戶編程，可靠性和規范性較差。本文介紹的硬件冗余雖然成本較高，但不需要用戶編程，設計標準化，使用戶可以騰出足夠的精力去處理無法實現標準化的工作。 ②1756/1757系統硬件模塊的平均無故障時間（MTBF）在150萬小時左右，并且獲得了TUV的SIL2的認證。以每天24小時，每年365天計算，模塊在171年內將不會失效，可靠性非常高，完全可以直接應用于大部分工程項目中。只有當系統一旦失效將會造成重大經濟損失或產生人員傷亡的場合才采取相應的冗余措施。 ③如果所有I/O模塊可以全部插入一個遠程機架，則第2個遠程機架可以用1794-ACNR15替代，這樣可以大大降低成本。 In the Rockwell automation integrated process control system redundant technology and application Summary: Introduces the Rockwell automation integrated process control system redundancy design method and application example 參考文獻 [1]Allen-Bradley：ControlLogix 熱備冗余系統用戶手冊 [2]Rockwell Automation: 工業白皮書：RSView Supervisory Edition應用系統中保證系統的有效性 [3]嚴敏：PLC的雙CPU冗余控制實現，羅克韋爾自動化“A-B世界杯”集成架構產品應用論文集，P.78 [4] Rockwell Automation: FLEX I/O 和FLEX EX選型指南 1794和1797系列 潘芝渭：男，1947，高級工程師，寧波捷創技術有限公司，從事自動控制新品研發和設計 地址：浙江省寧波市賀丞新村5幢10號304室 E-mail:293246@nbip.net