高可用自動化網(wǎng)絡(luò)（上）

        工廠的生產(chǎn)工藝對自動化網(wǎng)絡(luò)提出了高可用性的要求，為此，國際電工委員會制定了IEC62439國際標(biāo)準(zhǔn)。本文通過用高可用性網(wǎng)絡(luò)的基本概念和幾種高可用性網(wǎng)絡(luò)的工作原理，對高可用性網(wǎng)絡(luò)的技術(shù)做簡要介紹，希望能對讀者有所裨益。

1.高可用自動化網(wǎng)絡(luò)的概念

1.1網(wǎng)絡(luò)失效的恢復(fù)

        工廠要依靠自動化系統(tǒng)的正常運行。工廠僅能容忍自動化系統(tǒng)短時的失效，這個時間被稱為容許時間。網(wǎng)絡(luò)的恢復(fù)時間應(yīng)該小于這個容許時間，在工廠回到正常運行狀態(tài)之前，應(yīng)用必須要執(zhí)行額外的任務(wù)（與協(xié)議、數(shù)據(jù)處理、下一個通信周期的等待相關(guān)）。應(yīng)用可以按他們的容許時間進行分類，見表1。

表1 ――應(yīng)用容許的時間

        當(dāng)有些工廠需要連續(xù)運行時，要求就會更加嚴(yán)格，不許有停機時間，只能在大修時間段進行維護和再配置。在這種情況下，容許時間就是這個嚴(yán)格要求，比如，這就規(guī)定了設(shè)備部件的熱切換的時間。

        自動化系統(tǒng)可以用不同的冗余方法來解決失效問題。方法的不同在于怎樣進行冗余, 但他們的關(guān)鍵性能要素都是恢復(fù)時間，比如，在中斷發(fā)生后恢復(fù)運行所需的時間。如果恢復(fù)時間超過了工廠容許時間，保護機制會引發(fā)（安全）停車，這可能會使生產(chǎn)帶來巨大損失。

        恢復(fù)時間的一個關(guān)鍵特性是它的確定性，比如，保證恢復(fù)時間肯定低于某個特定值，滿足基本要求（某個時間的單一失效，沒有共模失效，小于最大容許時間）。

        無論工廠是否依靠自動化網(wǎng)絡(luò)的正常運行，增加網(wǎng)絡(luò)的可用性都是非常必要的。這里不討論使用元件的可靠性或者增加維護來提高可用性。我們只考慮系統(tǒng)一旦失效，協(xié)議帶來的冗余功能，以及如何自動重新配置網(wǎng)絡(luò)中的元件。

1.2網(wǎng)絡(luò)冗余的分類

        考慮兩類網(wǎng)絡(luò)冗余：
        ? 在網(wǎng)絡(luò)內(nèi)的冗余管理；
        ? 在終節(jié)點的冗余管理。

        在網(wǎng)絡(luò)內(nèi)的冗余管理
        網(wǎng)絡(luò)內(nèi)的冗余應(yīng)用在廣域網(wǎng)上，以前現(xiàn)場總線3層路由器會根據(jù)鏈接失效計算可變的路徑。相應(yīng)的協(xié)議作為IP簇的一部分，已經(jīng)得到很好的驗證。根據(jù)拓撲結(jié)構(gòu)，恢復(fù)時間為幾十秒，或者要幾分鐘。這種恢復(fù)時間僅能被很緩慢的應(yīng)用所接受。

        自動化網(wǎng)絡(luò)通常運行在一個的局域網(wǎng)（LAN）上，比如，操作的報文穿通常梭于1層的重發(fā)器或者2層的交換機之間，但不會跨越路由器。雖然通過路由器或者防火墻發(fā)出和進入的報文確實存在，但不是關(guān)鍵和主要的。

        傳統(tǒng)上，在一個局域網(wǎng)內(nèi)的冗余由協(xié)議來處理，當(dāng)連接丟失后，重新配置局域網(wǎng)，并進行切換。使用冗余連接并切換的方法有：根據(jù)IEEE 802.1D標(biāo)準(zhǔn)的快速生成樹協(xié)議（RSTP）。

        改進的2層冗余協(xié)議建立在與RSTP相似的原理上，但提供了一種更快的恢復(fù)，它是根據(jù)自動化網(wǎng)絡(luò)具有環(huán)行拓撲的假定而設(shè)計。終節(jié)點（end node）是不變化的自動化節(jié)點。

        在終節(jié)點內(nèi)的冗余管理
        對恢復(fù)時間的進一步加快需要在終節(jié)點內(nèi)管理冗余，需要配備多個、冗余連接的終節(jié)點。通常，雙重連接（doubly attached）終節(jié)點提供了兩通道冗余。這種類型的冗余，不用考慮在局域網(wǎng)內(nèi)的切換。

        對于實時應(yīng)用，例如：同步驅(qū)動器，并行運行對斷開的網(wǎng)絡(luò)保證了無間斷的恢復(fù)，但需要網(wǎng)絡(luò)的完全雙重化。有些關(guān)鍵應(yīng)用還需要雙重連接節(jié)點，來對付單一連接失效，甚至都沒有恢復(fù)時間。

[DividePage:NextPage]

1.3幾種冗余協(xié)議的比較和性能指標(biāo)

        每種協(xié)議提供了：
        ? 一個最大的、確定的和保證的恢復(fù)時間（有時要取決于拓撲結(jié)構(gòu)）；
        ? 針對應(yīng)用在不同環(huán)境下的實際通信透明度；并且
        ? 雙重連接節(jié)點可與單一連接節(jié)點互操作（如：市售產(chǎn)品、IT設(shè)備）。

表2 一些冗余協(xié)議的部分特性比較，按恢復(fù)時間進行排序

        注：表2中的保證恢復(fù)時間必須使用特定的設(shè)置和參數(shù)才能實現(xiàn)。在用戶的實踐和不斷總結(jié)中，采用不同的設(shè)置和參數(shù)可能達到更短的恢復(fù)時間。

        當(dāng)用戶進行具體實施時，不同解決方案的參考指標(biāo)包括：
        ? 失效恢復(fù)時間；
        ? 修理恢復(fù)時間；
        ? 復(fù)原恢復(fù)時間；
        ? 最差恢復(fù)時間；
        ? 對正常運行的影響。

        失效的情況包括：
        ? 當(dāng)前有效網(wǎng)絡(luò)管理器（如果存在）的失效，然后修理和復(fù)原；
        ? 當(dāng)前網(wǎng)絡(luò)時間源（如果存在）的失效，然后修理和復(fù)原。

2. MRP（Media Redundancy Protocol）――基于環(huán)型拓撲的介質(zhì)冗余協(xié)議

2.1 MRP 概述
        介質(zhì)冗余協(xié)議指定了一種基于環(huán)型拓撲的恢復(fù)協(xié)議。MRP是對使用交換機、可能發(fā)生單一失效、具有確定性反應(yīng)的網(wǎng)絡(luò)而設(shè)計。MRP 是基于ISO/IEC 8802-3 (IEEE 802.3) 和IEEE 802.1D的特性，包括過慮數(shù)據(jù)庫（FDB）功能，MRP位于數(shù)據(jù)鏈路層和應(yīng)用層之間（參見圖1）。

        遵從協(xié)議的網(wǎng)絡(luò)應(yīng)具有環(huán)型的拓撲結(jié)構(gòu)，帶有多個節(jié)點。網(wǎng)絡(luò)中的一個節(jié)點扮演介質(zhì)冗余管理器（MRM）的角色。MRM的功能是監(jiān)視和控制環(huán)型拓撲結(jié)構(gòu)，一旦網(wǎng)絡(luò)出現(xiàn)失效便立即反應(yīng)。MRM通過一個環(huán)端口（ring port）往環(huán)上發(fā)送幀，然后在另一個環(huán)端口接收這些幀來完成其作用的，在相反方向上也是一樣的。

        在環(huán)中的其他節(jié)點扮演介質(zhì)冗余客戶機（MRC）的角色。一個MRC在接收來自MRM的重新配置幀時起作用，可以在它的兩個環(huán)端口上改變連接。

        遵從協(xié)議的節(jié)點應(yīng)能執(zhí)行下面的功能：
        ? 介質(zhì)冗余管理器（MRM）；
        ? 介質(zhì)冗余客戶機（MRC）；或者
        ? 既是MRM又是MRC（但兩個角色不能同時有效）。

        每個MRP兼容節(jié)點都有一個內(nèi)置交換機，帶兩個環(huán)端口，連接在環(huán)上。環(huán)上的每個節(jié)點能夠探測失效或者恢復(fù)內(nèi)部交換機連接，或者恢復(fù)相鄰節(jié)點。

        MRP由一個服務(wù)和一個協(xié)議實體組成，參看圖1中的棧模型。

[DividePage:NextPage]

圖1 – MRP 棧

2.2 環(huán)端口

        MRM和MRC應(yīng)該有兩個環(huán)端口。 MRM和MRC應(yīng)該能夠探測失效或者使用基于IEEE 802.3機制，對一個環(huán)端口恢復(fù)連接。

2.3 介質(zhì)冗余管理器（MRM）

        MRM的第一個環(huán)端口應(yīng)連接到MRC的一個環(huán)端口。MRC的另一個環(huán)端口一個連接到另一個MRC的環(huán)端口或者MRM的第二個環(huán)端口，從而形成一個如圖2所示的環(huán)型拓撲結(jié)構(gòu)。

圖2 ―帶有一個管理器和多個客戶機的MRP環(huán)型拓撲

        MRM應(yīng)該監(jiān)控環(huán)的狀態(tài)：
        ? 在配置周期，往環(huán)的兩個方向上，發(fā)送MRP_Test幀；
        ? 設(shè)置一個環(huán)端口為轉(zhuǎn)發(fā)（FORWARDING）狀態(tài)，如果另一個環(huán)端口接收到自己的MRP_Test幀（這意味著環(huán)是閉合的，見圖2），則把它設(shè)置成阻止（BLOCKED）狀態(tài)；
        ? 如果在一個MRP_TSTdefaultT或MRP_TSTshortT或MRP_TSTNRmax時間的配置周期里，另一個環(huán)端口不能接收到自己的MRP_Test幀（這意味著環(huán)是斷開的，見圖3），把兩個環(huán)端口都設(shè)置為轉(zhuǎn)發(fā)（FORWARDING）狀態(tài)。

圖3 ―MRP MRM 在環(huán)斷開的情況

        下面的機制保證MRM和MRC之間在環(huán)拓撲變化時的同步。
        MRM應(yīng)該指出環(huán)狀態(tài)的變化，給所有MRC發(fā)送MRP_TopologyChange幀。當(dāng)探測到環(huán)路斷開時，那么MRM通過它的兩個環(huán)端口發(fā)送 MRP_TopologyChange 幀。這個幀帶有一個延時時間，延時后執(zhí)行環(huán)型拓撲的改變。這個延時參數(shù)稱為MRP_Interval。當(dāng)這個時間結(jié)束，所有MRC應(yīng)該清除它們的過慮數(shù)據(jù)庫（FDB）。.

        每個MRC應(yīng)該對延時參數(shù)MRP_Interval，返回一個MRP_LinkUp或者MRP_LinkDown 幀到MRM，告訴MRM在這個時間結(jié)束后，MRC將改變它的端口狀態(tài)，從BLOCKED 到 FORWARDING（MRP_LinkUp幀）或者到DISABLED（MRP_LinkDown幀）。

[DividePage:NextPage]

2.4 介質(zhì)冗余客戶機（MRC）

        每個MRC應(yīng)該在一個環(huán)端口接收MRP_Test幀，然后從另一個環(huán)端口轉(zhuǎn)發(fā)，反方向也一樣。

        如果MRC探測到一個失效或者恢復(fù)一個環(huán)端口連接，MRC可以通過它的兩個環(huán)端口，發(fā)送MRP_LinkChange幀通知這個變化。每個MRC應(yīng)該從一個環(huán)端口接收MRP_LinkChange 幀，然通過另一個環(huán)端口后轉(zhuǎn)發(fā)，反方向的情況也一樣。

        每個MRC應(yīng)能從一個環(huán)端口接收MRP_TopologyChange幀，然后轉(zhuǎn)發(fā)到另一個環(huán)端口， 反方向也一樣。每個MRC應(yīng)能處理這些幀。如果在一個給定間隔（MRP_TOPchgT）收到MRP_TopologyChange 幀，它應(yīng)該清除它的過慮數(shù)據(jù)庫FDB。

2.5 冗余域

        冗余域表示一個環(huán)。缺省時，所有MRM 和MRC都屬于整個缺省域。每個域分派了一個獨一無二的身份標(biāo)識ID，做為它的關(guān)鍵屬性，特別當(dāng)一個MRM或者一個MRC為多個環(huán)的成員時，這樣就不會造成混淆。在每個冗余域中，一個節(jié)點應(yīng)該嚴(yán)格指派兩個唯一的環(huán)端口。

（轉(zhuǎn)載）