Resilient ring networks can contribute sigNIficantly to network resilience in the event of failure but they do not in themselves provide absolute network redundancy.Weaknesses of ring topology are often not immediately visible as the actual devices are not usually shown in the illustrations. Jonas Berge explains how to implement true redundancy to the level of the stringency set by the process control industry.
弹性网络在网络故障发生时能表现出显著的网络弹性,但就网络本身来说,它并不能提供绝对的网络冗余。当主设备没有在下图中显示时,环形拓扑的缺陷不能立即显现出来。Jonas Berge在本文说明了怎样实现真正的冗余从而满足过程控制工业苛刻的要求。
以太环网并不意味着冗余,它只是一种拓扑结构。环型拓扑提供了某种程度的冗余,但还是有很多单一失效点让一个或多个器件不能通信。环型拓扑对于工厂或建筑自动化是可行的,但不能满足有着更高要求的石化过程控制等领域。
环型拓扑
设 备自身并不直接挂在环网上,因为它们不支持工业(专用)生成树协议——使设备断开时无需断网。实际往往有几个小型交换机连接在环网上。通过单线连接交换机的几个端口,这些联网设备形成了一个标准树形拓扑。如果交换机与设备间的网线发生故障,设备通讯就因一个点的故障而中断。
如果一个交换机中断了其上所有设备的连接,这个交换机也就失效了。这在过程控制中是不可接受的。在环网中增加一个交换器需要断网,即生产流程必须停下来才能进行设备扩展。如果环型拓扑不是冗余的,那么什么是完全冗余的?它包括设备、网络、端口的全部冗
余。 
图1、如果交换机、节点模块,或节点线缆故障,整个系统将失效
设备冗余
过 程控制不能完全消除控制器故障,因为如果一个控制器发生故障,许多回路将中断(图2)。因此每个控制器都使用一对冗余处理器,叫做主从处理器。如果主处理器发生故障,从处理器进行接管。主从处理器分别有独立的以太网口,以保证一个处理器发生故障时不影响另一个处理器的通信。
图2、多个冗余设备共用的一个交换机,是系统的单一失效点。
主从处理器也不能依赖单一网络,因为如果交换机发生故障,主从处理器都将无法通信。因此需要两个完全独立的网络。如果一个网络发生故障,另一个网络可以代替其工作。这两个网络被叫做网络A和网络B(图3)
图3、冗余交换机实现冗余监控
端口冗余
一 个大型工厂需要很多控制器和完善的控制策略,控制器需要进行点对点对等通信。如果所有的控制器的主处理器只连接了网络A,从处理器只连接了网络B,那么从 处理器(假定主处理器故障)无法同主处理器所在的另一个控制器直接对话(其主处理器仍处于运行状态)。为使一个控制器中的主从处理器模块同另一个控制器中主从处理器模块进行点对点对等通信,所有的主从处理器模块必须同时连接A网和B网。换句话说,每个设备需要有四个以太网端口提供全面冗余运行:两个处理器模块分别保持两个网络端口连接(图4)。缩短停产的费用节省可以弥补这些增加的成本。
图4 有了冗余模块、网络、端口,对等通信也是容错的
工作原理
设备上的四个端口有着不同的IP地址和MAC地址。HSE系统和冗余管理协议允许工程师们基于标签来使用这些装置,从所有地址的复杂性中解放出来。
在 正常运行期间,所有的设备不断地交换网络诊断信息,因此所有设备都知道哪个网络和设备在工作,然后每个设备就知道该使用哪个网络同其他设备进行通信。参与冗余规划的设备必须支持冗余管理协议。基金会现场总线(FF)HSE(高速以太网现场总线 IEC 61784行规1/IEC 61158-2)就包含了这样一个协议。这使HSE成为过程自动化系统中开放控制网络的一个理想选择。
因此,即使网线、交换机或设备发生故 障,通讯仍能不间断地进行。因为在交换机中没有转接发生,所以可用标准以太网交换机。端口排列不会变化从而使重建MAC地址没有交换延时。全冗余屏蔽了所 有单点故障,包括在环形拓扑中出现的故障。实现全冗余功能需要更多的硬件和固件,这就是一个过程自动化系统比只有单端口的单一PLC或远程I/O更昂贵的原因之一。
