PLC热备冗余的研究与设计

2015-01-27刘成俊彭文才

自动化与仪表 2015年2期

刘成俊，彭文才，赵涌

（南瑞集团公司（国网电力科学研究院），南京 211106）

可编程逻辑控制器PLC主要用于采集生产过程的信号，经过逻辑处理及运算，对被控对象进行调节和控制，实现高效优质运行。PLC硬件一般采用机架式模块化结构设计，机架用于安装模块并提供彼此间互联的总线，模块按功能设计，包括电源供应、信息处理与运算、通讯、信号采集、控制输出等。PLC软件通常基于IEC61131-3标准提供梯形图、结构化文本等编程语言，并将PID等关键控制算法规范化、模块化，使用方便，且有利于提高编程质量。由于PLC硬件可配置、软件可编程，软硬件的灵活性充分满足各种控制系统要求而被大量应用。

工业领域中的电力、石油化工、钢铁冶炼、轨道交通等关系国计民生的生产过程都是长期不间断运行，对作为其控制系统核心的PLC在稳定性和可靠性方面提出了很高的要求。在PLC各个部件都经过反复试验确保稳定性的前提下，采用冗余技术提高PLC可靠性是简单而有效的方法。冗余会增加硬件投资和系统复杂度，因此，需要综合考虑性能要求、重要程度，作出高效易行的冗余设计。

1 冗余与热备

1.1 冗余

在满足基本功能要求的设备之外，重复增加部分或全部设备，这配置多余设备的方式就是冗余。冗余分类方法很多，按冗余部件的数量比例分为1∶1、1∶n等多种冗余；按冗余部件的层次可分为元件级、模块级和系统级冗余；按冗余部件的设计原理和实现方法是否相同，可分为同型冗余和异型冗余。

1.2 热备

热备即“热备用”，是冗余部件的运行方式，主要相对“冷备用”而言。“冷备用”是指备用设备平时不运行，当运行的主设备出现故障时，需要人为去投入备用设备，退出主设备，隔离故障；“热备用”是指备用设备与主设备同时运行，当主设备出现故障时，系统自动投入备用设备，将故障设备转为备用或退出[1]。热备按照负载分担情况分为2种模式，一种是online模式，主用和备用设备分担不同的任务；一种是standby模式，主用设备运行全部任务，备用设备只监测但不承担运行任务，即主从热备方式。

当前，主流大中型PLC的冗余普遍针对关键部件采取1∶1基于模件级双重化配置，实现双机主从热备运行。从而避免PLC单模块故障引发停机等事故，同时方便系统在线维护、升级，提高系统平均无故障时间（MTBF），缩短平均故障修复时间（MTTR）[2]。

1.3 PLC热备冗余主要过程

（1）确定双机各自的主、从状态；

（2）主机向从机实时备份同步数据信息；

（3）双机分别进行自诊断；

（4）条件满足时进行双机主从切换。

2 PLC热备冗余的关键技术

2.1 数据同步

运行过程中主机定时或按周期把实时数据信息备份到从机，以便主从切换后，采用相同的数据继续运行，实现无扰动切换[3]。

2.2 故障自诊断

主、从机在运行过程中定期对自身硬件、关键任务的运行情况进行检测，依照设定的标准判断是否出现故障，并给出诊断信息。故障自诊断为冗余设备的状态转换提供了判断依据。

2.3 状态转换机制

冗余PLC出现主从热备之外的异常状态，根据设计的转换机制，使系统转入相对安全的状态，将故障影响降到最低。

2.4 主从切换

主机关键任务发生故障，若从机自检正常，通过主从切换，从机升级为主机，而故障设备降为备用或退出运行，并报警提示需要维护。

2.5 带电插拔

系统运行时，带电插拔更换机架上的故障模块，不影响其它模块正常工作，新更换的模块自动加载运行。

3 PLC热备冗余的设计

根据上述PLC热备冗余的关键技术，结合主流通用PLC产品，选取典型的冗余模式，介绍其在体系架构、电源、CPU模块、通讯等方面的冗余设计，以及为方便冗余PLC在线升级维护而设计的主从文件拷贝功能。

3.1 冗余PLC的体系架构

体系架构上，冗余PLC对关键环节和薄弱环节采用双重化配置，典型的冗余架构如图1所示。

图1 冗余PLC典型体系架构Fig.1 Typical construct of redundant PLC

主机架上的模块负责信息处理、运算控制、通讯管理，集中了PLC的主要功能，因此主机架采用1∶1完全冗余配置。每个主机架与扩展机架间的通讯采用双通道冗余通讯总线，提高系统通讯可靠性。PLC的2块CPU之间通过电缆互联，实现主从数据实时同步备份。

PLC冗余也可设计成通过仲裁模块或者专用热备模块实现，但这样不仅增加了硬件投资，而且增加了故障隐患点和系统同步步骤。采取双CPU间直接同步热备，由CPU决定其所在机架的主从状态，实现以机架为单位的系统级冗余，简化软硬件设计，节省投资，易于维护。

3.2 电源冗余

电源模块是PLC机架上其它模块正常工作的重要保障。单电源模块工作，若其发生故障或供电不足，往往会导致整个PLC机架控制失效，影响生产过程[4]。PLC每个机架配置2块冗余电源模块，每块电源都具备对整个机架供电的能力，正常工作时均衡分担负载，每个电源都工作在轻负荷状态，有利于电源长期稳定工作。若其中一块电源发生故障，其自动切断输出，并从系统中隔离，另一块电源承担起全部供电负荷。

3.3 通讯冗余

PLC的通讯功能可分为“对外”与“对内”。“对外”是与外部其它现场设备通讯的串口，以及与工程师站等监控系统通讯的以太网接口；“对内”是与PLC自身扩展机架通讯的总线接口。

PLC的CPU模块可以集成串口和以太网接口，并可以通过专用串口通讯模块、专用以太网通讯模块扩展更多的对外通讯接口。对外通讯的热备状态由CPU模块决定。作为备用只能响应外部通讯的读数据请求，不接收写数据报文。

与扩展机架的I/O通讯采用双总线冗余，由为主的通讯管理模块来负责调度；为从的通讯管理模块周期性地向为主的模块发送“心跳”报文，告知自身运行状态，以便主从切换时进行判断。主通讯管理模块先分别通过2个总线通道对每个I/O模块轮询，并初始化I/O模块通讯状态管理表，若某个通道出现故障，则通过另一通道与相应I/O模块通讯，此后对故障通道周期性地检测其是否修复，若双通道都发生故障，则给出该I/O模块通讯故障的报警。通讯过程中实时更新状态管理表。冗余通讯的管理如图2所示。

图2 冗余通讯管理Fig.2 Management of redundant communication

3.4 I/O冗余

PLC根据控制需要，对重要测点可以在同类型的不同I/O模块上实现冗余配置。其中开关量输入和模拟量输入可以多通道采集，由CPU模块对多个测值逻辑表决或运算求平均值；若被控对象具备多个冗余信号的仲裁表决功能，输出量通道也可冗余配置。

3.5 CPU冗余

CPU模块作为PLC的核心，是热备冗余设计的重点。PLC的冗余CPU采用相同的硬件、软件设计，安装无固定顺序要求，同型号的模块可自由互换。CPU模块基于嵌入式实时操作系统将要实现的功能划分为多个优先级不同的任务。主CPU模块启动全部任务，获取I/O信息、运算PLC程序、控制I/O输出、进行自诊断，并将实时数据通过互联的以太网接口同步备份给从CPU模块。从CPU模块启动部分任务，接收主CPU的同步信息并进行应答，不断判断是否需要主从切换，获得控制权。

3.5.1 CPU间同步

PLC冗余CPU间同步基于专用以太网接口建立有连接通讯服务，该任务出错将导致热备无法正常进行。同步的内容可分为2类：一类是编程软件联机PLC时产生，主要包括PLC程序在线修改的部分、测点和变量强制值、对时等调试命令，从而确保主、从CPU程序版本和运行结果一致；另一类是周期产生的实时过程信息，主要包括主CPU的自诊断信息、PLC程序执行情况记录表、I/O模块通讯管理表、过程值（涉及I/O测点、寄存器、定时器、计数器、变量、PID、掉电保持区、事件指针等），由主CPU每个程序执行周期组织一次，并发送给从CPU，确保两者数据同步。从CPU根据收到的同步信息更新自己的实时数据库，并把本侧自诊断信息发送给主CPU作为应答报文。冗余CPU间同步如图3所示。

图3 冗余CPU间同步Fig.3 Synchronization between redundant CPU

主CPU发送完同步报文后，继续运行其它任务，若发现致命故障，则主从切换，从CPU转变成主CPU，继续执行PLC程序。在此间隙内如果采集值发生变化，下一个PLC扫描周期将及时更新，针对重要的测点（如SOE）会产生带时标的事件保存在I/O模件中，待CPU获取并确认后才会清除，因此在细时间粒度不断的PLC周期循环下，不会发生数据丢失或突变，主从切换对生产过程也是无扰动的。

3.5.2 故障检测

PLC在CPU中创建高优先级的系统自诊断任务，对关键任务进行实时监视。程序设计时根据每个任务的功能特点插入相应的诊断节点，运行时产生诊断信息并自动记录在任务控制块中。自诊断任务综合上述信息，若发现故障，则置位故障标记、产生报警事件、点亮故障灯等。

3.5.3 状态转换

如图4所示，首先，在PLC编程组态软件中对冗余CPU模块起始的主、从状态确定机制进行配置，可以指定某个CPU为主、或者自启动快的为主等多种规则，避免出现同时为主的现象。正常运行时，根据双CPU各自的诊断信息进行判断，若发生主CPU无法与所有I/O模块互联、PLC程序执行出错、对外通讯中断等情况，且从CPU运行状态优于主CPU，则自动触发一次主从切换。主、从CPU之间除了数据同步的以太网接口之外，还设计了信号互联电缆，相互监视对侧的主备状态、故障情况。这样即使CPU间同步发生故障，也能根据互联电缆上的信号，将系统引导至相对安全的稳定状态。

图4 冗余CPU状态转换机制Fig.4 State mechanism of redundant CPU

除了可以CPU自动主从切换，还可以通过编程软件联机发命令或者CPU模件拨码实现主从切换，方便调试、维护。同时，编程软件提供支持主从切换功能的编程功能块，用户可以根据具体需求设计冗余状态转换，充分发挥PLC的灵活性。

3.5.4 主从文件拷贝

当主CPU模块发生故障，触发主从切换后，该模块变为备用状态，并发出告警提示。维护人员及时将故障模块退出，更换同型号的备件，但新CPU模块没有下载配置文件和PLC程序，不能真正成为热备用。设计主从文件拷贝功能，只需在新CPU模块上通过拨码启动，就会在主CPU模块运行间隙把配置文件和PLC程序一一拷贝至新CPU，比较文件一致后加载运行，新CPU转变为热备用状态，从而方便现场在线维护，快速排除故障。