■ 成都 程阁

典型车站环境与设备监控监控系统组成

我们以西门子的S7 400H型PLC、ET200M型远程IO为例，现场级为双总线冗余网络。S7 400H型PLC所带的以太网通信处理器能提供10/100Mbps的以太网接口，提供符合国际标准的Profibus、RS-485接口，每个PLC均提供了与编程器相连的通信接口，典型车站系统构成如图1所示。

系统及硬件特点介绍

图1 典型车站系统

图2 系统网络结构

西门子的S7 400H的PLC，为双背板、双电源、双CPU、双以太网网接口模块、双总线扩展模块的绝对硬件冗余PLC，通过专用的同步模块硬件实现冗余，不需要任何编程，相互之间的切换不占用系统的软件资源，切换方式为无扰动的硬件自动切换。可以在硬件和软件上进行操作简单的手动切换。背板槽位余量为4个预留槽位。所有RI/O模块均为高性能的模块，所有模块均为同一系列的高标准产品。支持热插拔。在控制器上电的过程中，不会对RI/O产生瞬态电流冲击的影响。

西门子414H CPU模块控制器为32位处理器，支持实时的多任务操作系统，采用完全自动内存分配机制，每毫秒处理指令数为1/0.00001875=53333。

冗余切换机制原理

1.现场级通信链路切换机制

S7 400H系统是一个高可靠性的容错系统，在这个典型车站中，冗余PLC与ET200M远程IO之间是采用冗余的Profibus-DP总线连接的，其网络结构如图2所示。

其中冗余PLC配置了双背板、双电源、双CPU、双网卡，远程IO配置了冗余的接口模块，冗余PLC与远程IO之间采用冗余的Profibus现场总线连接，图2中实线表示冗余PLC与远程IO的物理连接，虚线表示PLC与远程IO之间的数据流路径。

图2中假设左端为主CPU，右端CPU为备用CPU，此时左端总线为主总线，右端为备用总线，CPU与远程IO之间的数据经由主总线进行数据交互，其数据流向见图2中虚线部分。

当现场的某个远程IO站的总线发生故障时，主备总线不会整体切换，而是有故障的远程IO站的通信切换到备用总线，经由备用CPU、同步电缆实现与主CPU的数据交互。而无故障的站点继续在主总线上与主CPU进行数据交互，此时冗余PLC之间不发生主备切换，总线也不发生整体切换，达到的效果就是不会扩大故障范围。此时数据流向如图3所示。

图3 一个远程站总线发生故障时的数据流向

图4 两个远程站总线发生故障时的数据流向

当总线上的两个远程IO站接口分别在两条不同的总线上发生故障，则两个模块分别从无故障的总线上实现与主CPU的数据交互，不会发生总线的整体切换，冗余系统也不会在两条总线间来回切换从而造成BAS系统的不稳定。数据流向如图4所示。

只有当主总线上所有的远程IO站接口全部发生故障系统才会将所有IO站转移到备用总线，此时主备CPU仍然不会发生切换，此时的数据流如图5。

综上所述，采用西门子的S7 400H冗余PLC与ET200M远程IO系统，能实现“故障不扩大”的原则，不会因为总线上的某一个或某几个节点的故障而造成整条总线的切换，当在不同总线上同时存在多个远程IO站点故障时也不会造成系统的在冗余总线之间来回切换，从而最大限度地保证BAS系统的稳定性和功能的完整性。

同时需要说明的是，当总线发生切换时，其切换时间不大于100ms，典型时间为30ms，具体时间取决于所带远程IO节点的数量、和需要发生切换的节点数，但不论带多少站点，即使是主总线上的所有节点均要切换到备用总线，其最大的切换时间也不会大于100ms。

2.S7 400H冗余CPU的切换条件

需要澄清的一个概念是，采用冗余PLC的目的是提高系统的可用率，当主PLC有故障的时候，备用PLC应能有效、无扰动地切换到备用PLC，但是要想有一个最稳定的系统，冗余PLC不应该因为一些小的故障而发生切换，只有在十分必要、且采用别的技术已经无法避免时才发生主备PLC的切换。这样才能最大限度地保证控制系统的稳定性和更高的可用性。

西门子S7 400H冗余PLC就是这么一种非常稳定的冗余系统，由它组件的冗余系统只有如下三种情况才会发生主备切换：主PLC背板故障、主PLC电源故障（或停电）、主PLC本身CPU故障，其它任何情况不会发生主备CPU的切换而能保证整个控制系统的功能是完整的。

图5 所有远程站故障时的数据流向

图6 完整系统结构

图7 上位计算机与主CPU数据交互

3.S7 400H与上位机（如综合监控系统）的冗余切换机制

下面说明当主CPU侧网卡发生故障时，采用S7 400H如何能确保冗余CPU不发生切换而系统通信功能仍然是完整的。

如图6是一套完整的S7 400H系统，由两套电源、两套CPU、两套网卡和若干远程IO构成，S7 400H系统通过以太网与上位计算机进行通信。其中左侧CPU为主CPU，图中虚线表示了PLC与上位计算机的数据通信路由。

图6中可见，上位计算机通过主CPU侧的以太网卡实现与冗余PLC的数据通信。当主CPU侧的网卡发生故障时，主备CPU将不会发生切换，但是上位计算机通过备用CPU侧的网卡，经由同步模块和同步电缆实现了与主CPU的数据交互。如图7所示，图中虚线表示了上位计算机与主CPU数据交互的通信路由。实现上述功能是利用西门子S7 400H系统的同步模块和同步电缆的“数据路由”功能，同时在主备PLC侧配置两块独立的以太网卡，保证系统稳定性更高。西门子S7 400H不仅仅是一个冗余系统，更是一个容错系统，它能实现“不因单点故障而造成控制系统功能的缺失”，当网卡故障时不会发生主备切换且保持监控功能完整，当profibus总线故障时不会发生主备切换且保持监控功能完整。

只有主CPU故障、主PLC背板故障、主CPU电源故障（或停机）时才会发生主备切换。

总结

地铁众多机电系统中的设备均是冗余配置，如何能高效的发挥和挖掘冗余设备的功能，是地铁安全性的体现，与也能提高系统的智能化水平。西门子系列的冗余方式和施耐德、AB有些不一样，使用何种方式更好，需要通过实践判断出来。