摘要：介紹羅克韋爾自動(dòng)化集成過(guò)程控制系統(tǒng)冗余設(shè)計(jì)方法和應(yīng)用實(shí)例 1冗余技術(shù)是集成過(guò)程控制系統(tǒng)的基礎(chǔ) 所謂“冗余”，是指“一個(gè)具有相同設(shè)備功能的備用系統(tǒng)”，當(dāng)主設(shè)備出現(xiàn)故障時(shí)，冗余設(shè)備是可以立即使用的替代設(shè)備。 冗余設(shè)計(jì)的目的是確保下述五種故障發(fā)生時(shí)系統(tǒng)保持穩(wěn)定可靠的運(yùn)行。 第1種故障：CPU故障 第2種故障：控制層網(wǎng)絡(luò)故障 第3種故障：信息層網(wǎng)絡(luò)故障 第4種故障：主機(jī)硬件故障 第5種故障：軟件故障 羅克韋爾自動(dòng)化的集成過(guò)程控制系統(tǒng)是一套全面集成的過(guò)程控制解決方案。集成架構(gòu)作為一種技術(shù)框架,將車(chē)間現(xiàn)場(chǎng)不同的應(yīng)用項(xiàng)目通過(guò)統(tǒng)一的控制、可視化和通信平臺(tái)集成在一起。這樣一來(lái)，所有的數(shù)據(jù)都能夠在整個(gè)企業(yè)內(nèi)進(jìn)行無(wú)逢的傳遞。 冗余設(shè)計(jì)是集成過(guò)程控制系統(tǒng)的基礎(chǔ)。 2 冗余設(shè)計(jì) 冗余設(shè)計(jì)包括硬件和軟件兩部分。 2．1 硬件冗余（圖1） [align=center] 圖1 硬件冗余[/align] 2．1．1控制站冗余 兩個(gè)互為冗余的控制站配置必須完全相同（圖1中的主/從機(jī)架），冗余功能是依靠雙槽冗余模塊1757-SRM實(shí)現(xiàn)。當(dāng)主控制器失效時(shí)，從控制器在100ms內(nèi)接替主控制器，主從控制器的同步對(duì)用戶(hù)來(lái)說(shuō)是完全透明的，冗余模塊之間通過(guò)2根1米長(zhǎng)的光纜（62.5/25μm多模光纖，SC連接）連接起來(lái)。 冗余功能的主要特性如下： ※同步透明性：控制器的同步不會(huì)引起任何可能的控制中斷。 ※切換透明性：主從控制器切換時(shí)，除了觸發(fā)相應(yīng)的報(bào)警或事件，不會(huì)對(duì)操作產(chǎn)生其他的影響，切換的時(shí)間可以忽略。 ※可靠的存儲(chǔ)：當(dāng)進(jìn)行同步數(shù)據(jù)傳輸時(shí)，只有主機(jī)架和從機(jī)架都收到相同的信息時(shí)，系統(tǒng)才確認(rèn)數(shù)據(jù)傳輸成功。 ※切換時(shí)數(shù)據(jù)連貫性：進(jìn)行冗余切換時(shí)，輸出保持不變，保證過(guò)程不發(fā)生擾動(dòng)。 ※完全不要用戶(hù)編程，程序下載到主控制器。 冗余設(shè)計(jì)規(guī)則： ①一個(gè)冗余系統(tǒng)至少具有2個(gè)遠(yuǎn)程機(jī)架（2個(gè)節(jié)點(diǎn)） ②所有I/O模塊必須放在遠(yuǎn)程機(jī)架，冗余機(jī)架上不能有I/O模塊 ③每個(gè)冗余機(jī)架最多插2個(gè)1756-ENBT和3個(gè)1756-CNBR ④主/從1756-CNBR模塊地址開(kāi)關(guān)撥到同一地址，從機(jī)架地址在上電后自動(dòng)分配 冗余功能的設(shè)置（圖2）： 1757-SRM：Auto-Synchronization 自動(dòng)同步設(shè)置為Always（保持） Controller Properties：Redundancy 屬性設(shè)置為Enabled（允許） [align=center] 圖2 冗余設(shè)置[/align] 2．1．2電源冗余 圖1中，每一個(gè)I/O遠(yuǎn)程機(jī)架配置一組1756-PAR2冗余電源（每組冗余電源由兩個(gè)1756-PA75R電源模塊，兩根1756-CPR電纜和一個(gè)1756-PSCA適配器構(gòu)成）。它們分別由兩路不同的系統(tǒng)供電，當(dāng)任一路供電系統(tǒng)故障時(shí)，另一路仍保持供電，因此可以確保I/O機(jī)架供電不間斷。 2．1．3 控制層網(wǎng)絡(luò)冗余 [align=center] 圖3 冗余通道[/align] 集成過(guò)程控制系統(tǒng)的控制層是ControlNet,它是羅克韋爾自動(dòng)化NetLinx開(kāi)放網(wǎng)絡(luò)架構(gòu)三層（EtherNet/IP、ControlNet、DeviceNet）網(wǎng)絡(luò)之一,滿足IEC61158國(guó)際工業(yè)現(xiàn)場(chǎng)總線標(biāo)準(zhǔn)。圖1中1756-CNBR是ControlNet通信模塊，它有兩個(gè)冗余的網(wǎng)絡(luò)通道：A通道和B通道（圖3），使控制信息實(shí)現(xiàn)冗余。傳送速率達(dá)5Mbps,傳送介質(zhì)是75Ω阻抗的1786-RG6同軸電纜，通過(guò)BNC連接器與ControlNet總線相連。注意：A、B通道不能交叉；冗余鏈路兩邊的介質(zhì)必須相同。 2．1．4 信息層網(wǎng)絡(luò)冗余 集成過(guò)程控制系統(tǒng)的信息層是EtherNet/IP,圖1中1756-ENBT是EtherNet/IP通信模塊，通過(guò)工業(yè)以太網(wǎng)交換機(jī)將信息傳送到上層監(jiān)控管理中心。冗余功能通過(guò)光纖環(huán)網(wǎng)實(shí)現(xiàn)。 2．1．5 服務(wù)器冗余 采用主/從服務(wù)器結(jié)構(gòu)。當(dāng)主服務(wù)器出現(xiàn)故障時(shí)，從服務(wù)器自動(dòng)轉(zhuǎn)為主服務(wù)器，提供與控制器/RTU的通信、數(shù)據(jù)采集等功能，并為其他操作站提供服務(wù)。主服務(wù)器定時(shí)將數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)信息傳送到從服務(wù)器，以確保主/從服務(wù)器之間的完全同步。 2．2 軟件冗余 一個(gè)分布式HMI系統(tǒng)包括Server（服務(wù)器）組件和Client（客戶(hù)機(jī)）組件。Client組件提供了系統(tǒng)操作員使用的接口，一般是動(dòng)態(tài)更新的圖形顯示。這些圖形顯示描述了系統(tǒng)的當(dāng)前狀態(tài)，并且允許操作員監(jiān)視和控制其操作。圖形顯示中的動(dòng)態(tài)信息，包括動(dòng)態(tài)圖形、報(bào)警匯總、更新標(biāo)簽值以及實(shí)時(shí)和歷史趨勢(shì)，都是由HMI系統(tǒng)中的Server組件提供。 為使操作員能夠維護(hù)和控制整個(gè)系統(tǒng)，Server組件必須提供連續(xù)的信息。 為此，在系統(tǒng)中安裝了RSView Supervisory Edition人機(jī)界面軟件（簡(jiǎn)稱(chēng)RSViewSE）。該軟件可以提供三種類(lèi)型的Server,每種類(lèi)型均可通過(guò)標(biāo)準(zhǔn)的組態(tài)選項(xiàng)配置冗余： FactoryTalk Directory Server（目錄服務(wù)） RSView SE Server（HMI服務(wù)） Date Server（數(shù)據(jù)服務(wù)） 軟件冗余功能可以概括為：“在正確的時(shí)候，把正確的信息分配給正確的人”。 “正確的時(shí)候”是指：系統(tǒng)運(yùn)行時(shí)，如果與主計(jì)算機(jī)的連接中斷，F(xiàn)actoryTalk會(huì)在30秒內(nèi)自動(dòng)將所有Clients切換到從計(jì)算機(jī)，當(dāng)與主計(jì)算機(jī)的連接恢復(fù)時(shí)，系統(tǒng)會(huì)自動(dòng)切換回主計(jì)算機(jī)—無(wú)須用戶(hù)編程、客戶(hù)端組態(tài)，也無(wú)須操作員介入，以確保在“正確的時(shí)間“及時(shí)將信息傳送給客戶(hù)。實(shí)現(xiàn)了信息傳送的實(shí)時(shí)性。 “正確的信息”是指：FactoryTalk Directory為所有信息提供可查詢(xún)的映射，信息源還是存儲(chǔ)在整個(gè)分布式系統(tǒng)中。這樣既有數(shù)據(jù)集中管理的好處，又避免了整個(gè)系統(tǒng)使用單一數(shù)據(jù)庫(kù)的風(fēng)險(xiǎn)。保證用戶(hù)得到“正確的信息”。 “正確的人”是指：RSViewSE利用Windows安全管理工具，管理用戶(hù)權(quán)限，包括：確保唯一密碼，自動(dòng)退出系統(tǒng)，一段時(shí)間后改變密碼等。RSViewSE為用戶(hù)提供項(xiàng)目級(jí)的安全保障，對(duì)RSViewSE的命令、宏、數(shù)據(jù)庫(kù)標(biāo)簽、畫(huà)面等分別設(shè)置安全級(jí)別。從而實(shí)現(xiàn)將信息傳送給“正確的人”。 3 應(yīng)用實(shí)例 [align=center] 圖4 網(wǎng)絡(luò)拓?fù)鋱D[/align] 圖4所示為開(kāi)曼鋁業(yè)（三門(mén)峽）氧化鋁集成過(guò)程控制系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D。它是一個(gè)分布式控制系統(tǒng)。 系統(tǒng)下設(shè)原料磨、石灰消化、溶出、沉降、種子過(guò)濾、蒸發(fā)、成品過(guò)濾、焙燒八個(gè)過(guò)程控制子系統(tǒng)（車(chē)間），每個(gè)車(chē)間均有一臺(tái)工程師站EWS和2-3臺(tái)操作員站OPS。車(chē)間內(nèi)部工藝參數(shù)的數(shù)據(jù)采集、實(shí)時(shí)監(jiān)控、數(shù)據(jù)處理等信息的傳輸由ControlNet控制網(wǎng)實(shí)現(xiàn)。整個(gè)氧化鋁廠的主要生產(chǎn)操作由這八套子系統(tǒng)完成。 控制系統(tǒng)的信息層采用EtherNet/IP工業(yè)以太網(wǎng)，通過(guò)光纖將上述八個(gè)車(chē)間的信息傳送到全廠生產(chǎn)信息調(diào)度中心，該中心設(shè)有兩臺(tái)服務(wù)器SERVER1、SERVER2和兩臺(tái)操作站OPS1、OPS2，對(duì)全廠生產(chǎn)過(guò)程進(jìn)行集中監(jiān)視、控制和管理。 整個(gè)控制系統(tǒng)共配置有35個(gè)CPU模塊，650多個(gè)I/O模塊，100多個(gè)通信模塊，這些模塊分別安裝在近90個(gè)機(jī)架上，用于控制4000多點(diǎn)模擬量和9000多點(diǎn)開(kāi)關(guān)量。 這個(gè)龐大的自動(dòng)控制工程，如果因故障停止運(yùn)行，每天經(jīng)濟(jì)損失高達(dá)100多萬(wàn)元人民幣，如何保證氧化鋁生產(chǎn)長(zhǎng)期連續(xù)穩(wěn)定運(yùn)行，是擺在每一個(gè)設(shè)計(jì)、調(diào)試人員面前必須解決的基本課題。 為此，開(kāi)曼鋁業(yè)氧化鋁控制系統(tǒng)采用下列冗余設(shè)計(jì)，實(shí)現(xiàn)系統(tǒng)穩(wěn)定運(yùn)行要求。 3．1每個(gè)車(chē)間的控制系統(tǒng)均采用圖1所示的冗余結(jié)構(gòu)模式。 3．2 信息層網(wǎng)絡(luò)故障借助交換機(jī)冗余和雙光纖環(huán)網(wǎng)兩個(gè)途徑解決。 交換機(jī)冗余： 圖4中，每個(gè)車(chē)間的現(xiàn)場(chǎng)信息是通過(guò)兩個(gè)冗余以太網(wǎng)交換機(jī)獲取，例如溶出車(chē)間，左邊的交換機(jī)接收來(lái)自一期、二期和二期擴(kuò)建主機(jī)架上的1756-ENBT模塊信息，右邊的交換機(jī)接收來(lái)自一期、二期和二期擴(kuò)建副機(jī)架上的1756-ENBT模塊信息，這樣做的好處是現(xiàn)場(chǎng)信息具有冗余功能。 雙光纖環(huán)網(wǎng)： 全廠設(shè)有兩條100M光纖以太網(wǎng)環(huán)網(wǎng)。 環(huán)網(wǎng)1：設(shè)有9個(gè)工業(yè)以太網(wǎng)光纖交換機(jī)，用于原料磨、石灰消化、溶出、沉降、分解、蒸發(fā)、成品和焙燒等8個(gè)車(chē)間的現(xiàn)場(chǎng)數(shù)據(jù)和冗余服務(wù)器（ServerS、Server2）進(jìn)行數(shù)據(jù)交換。 環(huán)網(wǎng)2：設(shè)有7個(gè)工業(yè)以太網(wǎng)光纖交換機(jī)，并在原料磨、溶出、沉降、分解、蒸發(fā)和焙燒等6個(gè)主要車(chē)間各設(shè)一臺(tái)操作員站OPS3，可以監(jiān)視全廠其他車(chē)間的運(yùn)行情況（只看不控）。 環(huán)網(wǎng)1和環(huán)網(wǎng)2是兩個(gè)獨(dú)立的網(wǎng)絡(luò)，他們之間只有一個(gè)通信通道，即信息只有通過(guò)服務(wù)器才可以進(jìn)行交換。 3．3 服務(wù)器冗余： 當(dāng)主Server出現(xiàn)故障時(shí)，自動(dòng)切換到從Server.當(dāng)主Server再次可用時(shí)，它自動(dòng)重新繼續(xù)執(zhí)行HMI Server的任務(wù)。從而保證Server組件向Client提供連續(xù)的信息，提高系統(tǒng)可訪問(wèn)性，確保用戶(hù)監(jiān)控到生產(chǎn)現(xiàn)場(chǎng)的運(yùn)行情況，為他們做出重要的決策提供信息支持。 以溶出車(chē)間為例：掛接在環(huán)網(wǎng)1上的工程師站EWS及操作員站OPS1、OPS2工作于單機(jī)模式，可以監(jiān)視和操作本車(chē)間一期、二期和二期擴(kuò)建所有設(shè)備，掛接在環(huán)網(wǎng)2上的操作員站OPS3工作于分布模式，在調(diào)度中心冗余服務(wù)器上進(jìn)行操作權(quán)限設(shè)置，即可在溶出車(chē)間監(jiān)視全廠其他車(chē)間的運(yùn)行工況（但不可對(duì)其他車(chē)間的設(shè)備進(jìn)行操作）。 4 結(jié)束語(yǔ) ①實(shí)現(xiàn)冗余的另一種方法是雙CPU冗余[3]：在同一機(jī)架插2塊CPU，兩塊CPU同時(shí)在系統(tǒng)中運(yùn)行，一塊運(yùn)行于主控模式，另一塊運(yùn)行于熱備份模式。當(dāng)其中任一塊CPU發(fā)生故障時(shí)另一塊CPU立即監(jiān)視到并發(fā)出報(bào)警，自動(dòng)將正常的CPU投入主控模式。CPU的無(wú)擾切換，使系統(tǒng)一直受控，確保了安全。這就是軟件冗余，其優(yōu)點(diǎn)是系統(tǒng)成本低，缺點(diǎn)是需要用戶(hù)編程，可靠性和規(guī)范性較差。本文介紹的硬件冗余雖然成本較高，但不需要用戶(hù)編程，設(shè)計(jì)標(biāo)準(zhǔn)化，使用戶(hù)可以騰出足夠的精力去處理無(wú)法實(shí)現(xiàn)標(biāo)準(zhǔn)化的工作。 ②1756/1757系統(tǒng)硬件模塊的平均無(wú)故障時(shí)間（MTBF）在150萬(wàn)小時(shí)左右，并且獲得了TUV的SIL2的認(rèn)證。以每天24小時(shí)，每年365天計(jì)算，模塊在171年內(nèi)將不會(huì)失效，可靠性非常高，完全可以直接應(yīng)用于大部分工程項(xiàng)目中。只有當(dāng)系統(tǒng)一旦失效將會(huì)造成重大經(jīng)濟(jì)損失或產(chǎn)生人員傷亡的場(chǎng)合才采取相應(yīng)的冗余措施。 ③如果所有I/O模塊可以全部插入一個(gè)遠(yuǎn)程機(jī)架，則第2個(gè)遠(yuǎn)程機(jī)架可以用1794-ACNR15替代，這樣可以大大降低成本。 In the Rockwell automation integrated process control system redundant technology and application Summary: Introduces the Rockwell automation integrated process control system redundancy design method and application example 參考文獻(xiàn) [1]Allen-Bradley：ControlLogix 熱備冗余系統(tǒng)用戶(hù)手冊(cè) [2]Rockwell Automation: 工業(yè)白皮書(shū)：RSView Supervisory Edition應(yīng)用系統(tǒng)中保證系統(tǒng)的有效性 [3]嚴(yán)敏：PLC的雙CPU冗余控制實(shí)現(xiàn)，羅克韋爾自動(dòng)化“A-B世界杯”集成架構(gòu)產(chǎn)品應(yīng)用論文集，P.78 [4] Rockwell Automation: FLEX I/O 和FLEX EX選型指南 1794和1797系列 潘芝渭：男，1947，高級(jí)工程師，寧波捷創(chuàng)技術(shù)有限公司，從事自動(dòng)控制新品研發(fā)和設(shè)計(jì) 地址：浙江省寧波市賀丞新村5幢10號(hào)304室 E-mail:293246@nbip.net