dl-breadcrumbs__homedl-breadcrumb-item__separatorKonfiguration und Programmierungdl-breadcrumb-item__separatorBibliotheken und Lösungendl-breadcrumb-item__separator...dl-breadcrumb-item__separatorHohe Verfügbarkeit Modbus TCPdl-breadcrumb-item__separatorHA-Modbus TCP - Systemtechnikdl-breadcrumb-item__separatorDas AC500 Hochverfügbarkeitssystem
dl-pagination__prev-inactivedl-pagination__prev-activedl-pagination__next-inactivedl-pagination__next-active
Das AC500 Hochverfügbarkeitssystem

Das AC500 Hochverfügbarkeitssystem ist für die Anforderungen von Automatisierungssystemen konzipiert, die eine höhere Verfügbarkeit erfordern, die durch redundante Geräte und Kommunikation realisiert wird. Das Redundanzkonzept reduziert das Risiko von Produktionsausfällen durch den Ausfall von Teilen des Automatisierungssystems und minimiert dadurch geplante Stillstandszeiten.

So kann beispielsweise die Steuerung automatisch von der Sekundärstation übernommen werden, wenn die Primärstation ausfällt.

AC500 Das Hochverfügbarkeitssystem implementiert Redundanz auf der Basis von Standard-SPSen AC500:

  • SPS

  • Kommunikation vor Ort

  • SCADA Kommunikation

Allgemeine Unterschiede bei Hochverfügbarkeits-/Redundanzsystemen bestehen darin, wie und wie schnell die Umschaltung zwischen den Redundanzen erfolgt.

  • Kaltes Standby: Ein Ersatzsystem ist vorhanden, aber nicht in Betrieb - Der Prozess muss für die Umstellung vollständig angehalten werden (dürfen) - z. B. können die Ausgänge auf Null gehen.

  • Warmes Standby: Beide CPUs können in Betrieb sein (= warm), aber z.B. muss die Kommunikation für die Umschaltung gestartet/gestoppt werden - Der Prozess muss längere Einfrierzeiten z.B. bei Ausgängen tolerieren - z.B. mehrere Sekunden.

  • AC500 Hochverfügbarkeitssysteme sind "hot-standby":

    • Redundante CPUs und die gesamte Kommunikation sind immer betriebsbereit (Hot)

    • Kontinuierliche Fehlererkennung in beiden CPUs und gegenseitiger Austausch des Status

    • Kontinuierliche Synchronisierung kritischer/historischer Daten von Primär- zu Sekundärdaten

    • Automatische Umschaltung in sehr kurzer Zeit bei Ausfall der primären CPU

Abb. 305: Prinzip AC500 HA-Modbus TCP Architekturbeispiel basierend auf Ethernet Redundanz
Bild4

Details zu AC500 HA Betrieb entlang der obigen Abbildung:

  • SPS-Redundanz: Die beiden SPSen (A und B) laufen parallel und berechnen und lesen.

    Eine davon ist „primär“ = aktiv, was bedeutet, dass auch Daten in Feldgeräte geschrieben werden.

    Der andere ist „sekundär“ (= stand-by), der ebenfalls rechnet, aber nur Daten aus dem Feld liest und Synchronisationsdaten (oder kurz = sync) vom Primärrechner empfängt.

  • Synchronisationsdaten sind kritische interne Variablen mit z.B. historischem Inhalt, die über die Sync-Verbindung von der primären zur sekundären CPU übertragen werden, so dass die sekundäre CPU immer über die neuesten Daten verfügt und sofort übernehmen kann. Automatisch synchronisiert werden die historischen Daten der speziellen HA-Bibliotheksbausteine (wie Zähler, Timer, Integralregler, ...), zusätzliche Daten z.B. von Ereignissen und Diagnosen können vom Anwender mit Sync-Bausteinen synchronisiert werden. Die Sync-Verbindung überträgt auch ein „lifecom1“ Signal (hin und her) mit Diagnosedaten jeder CPU, so dass beide CPUs den Status der anderen CPU kennen. Wenn die sekundäre CPU keine „lifecom1“ mehr empfängt, geht sie davon aus, dass die primäre CPU ausgefallen ist und übernimmt den primären Status. Wenn die Sync-Verbindung unterbrochen wird, versuchen beide CPUs, den primären Status anzunehmen. Daher wird eine parallele, separate Verbindung „lifecom2“ verwendet, um einen Ausfall der Sync-Verbindung von einem Ausfall der anderen SPS zu unterscheiden. Die „lifecom2“ sollte über einen anderen physikalischen Kommunikationspfad als die Daten sync/lifecom1 geleitet werden, z.B. über das Feld- oder SCADA Netzwerk.

  • Die Feld-E/A-Verbindung erfolgt über das Protokoll Ethernet Modbus TCP - Verbindung der CI52x Geräte (CI521 oder CI522)⮫ „CI521-MODTCP“⮫ „CI522-MODTCP“.

Für eine hohe Verfügbarkeit/Redundanz des Feld- oder SCADA Netzwerks werden bewährte Ethernet Netzwerk-Redundanzmechanismen eingesetzt. (In AC500 wird davon ausgegangen, dass dies durch mindestens 2 (zur Vermeidung eines Single Point of Failure) externe, gemanagte Switches realisiert wird), was den Vorteil hat, dass AC500 HA mit jedem schnelleren Redundanzmechanismus / Protokoll verwendet werden kann.

  • Für die E/A-Kommunikation mit CI52x-Modulen existieren zwei Varianten (siehe Online-Hilfe: SPS-Automation mit V2-CPUs SPS-Integration Gerätespezifikationen Kommunikationsschnittstellenmodule (S500) Modbus XY)

    Bei kleineren Systemen können die CI52x-Module direkt in Reihe geschaltet werden (wie in der Abbildung oben), wenn MRP (Media Redundancy Protocol) oder DLR (Device Level Ring) verwendet wird. Ci52x nehmen nicht aktiv an der Ringwiederherstellung teil, eine spezielle FW ermöglicht jedoch eine schnelle Ringerkennung und sehr kurze Einfrierzeiten. Größere Systeme mit z.B. vielen IO und Clustern werden in der Regel ohnehin über einen dedizierten Managed Switch an das Netzwerk angeschlossen.

  • SCADA Die Verbindung ist durch die beiden Ethernet Ports redundant und kann durch Managed Switches um weitere Redundanzstufen erweitert werden. SCADA selbst kann auch die primäre SPS umschalten, um im Falle einer einfachen Verbindung und eines Verbindungsausfalls die Kommunikation zur aktiven SPS sicherzustellen. Wenn der Redundanzmechanismus des OPC DA Servers nicht verwendet wird, muss die Ebene SCADA selbst in der Lage sein, primäre und sekundäre SPS- und IP-Adressen basierend auf den HA-Statusbits zu handhaben und zu unterscheiden. Für CP600 gibt es ein Skript, das dasselbe für das Kommunikationsprotokoll Modbus oder AC500 tut.

Bei den meisten SPS-Anwendungen sind die kritischen Komponenten, die ausfallen können, neben der SPS in der Regel die Stromversorgung oder Kommunikationskomponenten wie Kabel oder Schalter. Daher muss ein SPOF (Single Point Of Failure) durch Hinzufügen von redundanten Geräten oder Redundanzfunktionen überall dort vermieden werden, wo eine hohe Ausfallwahrscheinlichkeit besteht und Ausfälle nicht tolerierbar sind.

Die HA-Kernfunktionen können in der Regel nur einen einzigen Ausfall auf den verschiedenen Ebenen verkraften. Dann ist eine Reparatur des ausgefallenen Teils sehr ratsam, um wieder Redundanz zu erreichen und zu gewährleisten. Wie in der obigen Abbildung dargestellt, bietet die E/A-Netzwerkverkabelung durch ihren Redundanzmechanismus (z. B. Ring) bereits eine zweite unabhängige Redundanzschicht z. B. für Kabelausfälle, die die Kommunikation ohne Umschaltung der SPS aufrechterhalten kann: Dort könnte ein zweiter Ausfall in der SPS-Ebene toleriert werden, solange die beiden angeschlossenen, verwalteten Schalter noch funktionieren, aber es wird dringend empfohlen, sie trotzdem sofort zu reparieren.

Das AC500 Hochverfügbarkeitssystem selbst kümmert sich nur um den ersten Fehler. Im Falle eines zweiten Fehlers beispielsweise bleibt die primäre SPS so lange primäre SPS, bis der zweite Fehler auftritt. Dies hat zur Folge, dass es keine weiteren Umschaltungen mehr gibt (einschließlich manueller Umschaltungen).

Dank des effizienten Datensynchronisationsmechanismus, der die Datensynchronisation über normale und gemeinsam genutzte Ethernet-Netzwerke ermöglicht, können die SPS geografisch voneinander getrennt arbeiten (viele 10th Kilometer). Selbst bei katastrophalen Ereignissen mit vollständiger mechanischer Zerstörung ist also immer noch eine SPS zur Steuerung des Prozesses oder der Infrastruktur verfügbar.

Die sekundäre SPS oder einzelne CI52x-Module können in einem laufenden System ohne Unterbrechung der primären SPS oder des Prozesses ausgetauscht werden. (Prüfen Sie das Dokument im Verzeichnis "Examples" auf Automation Builder, wenn das HA-Paket installiert wurde).

Bibliotheken

Um eine hohe Verfügbarkeit zu erreichen, muss die Anwendung CODESYS mit HA-Funktionsblöcken aus der Bibliothek HA-Modbus TCP und der CI52x-Bibliothek erweitert werden. Wenn das Bulk Data Manager-Tool (BDM) für die Konfiguration des Systems und der E/A-Module verwendet wird, erfolgt dies automatisch für die grundlegende Erstkonfiguration durch Codeerstellung, was zu einer vorbereiteten benutzerspezifischen "Vorlagen"-Anwendung führt (siehe unten).

  • HA-Modbus TCP Bibliothek enthält HA-Steuerung und HA-Dienstprogramm Funktionsblöcke

    • HA-Steuerung Funktionsblöcke verwalten die HA-Kernfunktionalität, indem sie Diagnosen sammeln und bei Bedarf schalten.

    • HA utility Funktionsblöcke bieten Standardfunktionen im Anwendungsprogramm mit internem sync für integrale Daten z.B. Timer, Zähler, PI-Steuerung.

  • Die CI52x-Bibliothek enthält einen Funktionsbaustein zur Konfiguration und Kommunikation mit den Kommunikationsschnittstellenmodulen und stellt sicher, dass nur die primäre SPS auf die Ausgänge schreibt. Die Eingänge werden von beiden SPSen gelesen.

  • Für beide SPSen muss die gleiche Anwendung verwendet/heruntergeladen werden.

Bulk-Daten-Manager-Tool (BDM)

Für die Konfiguration der CI52x Modbus TCPs steht ein separates Bulk Data Manager Tool (BDM) zur Verfügung. Besonders in größeren Systemen wird die Verwendung von BDM empfohlen, um HA komfortabel zu projektieren und CI52x-bezogene Konfigurations- und Variablendaten an einem Ort zu erstellen:

  • Konfiguration und Parameter der verwendeten E/A-Module

  • Erstellung von Programmcode für die Benennung von Variablen, Konfiguration, Kommunikation und alle grundlegenden HA-Funktionen

Das BDM-Tool kann auch SCADA Programmierung und Dokumentation auf effiziente Weise dienen.