控制系統(tǒng)冗余的攻擊網(wǎng)格電源可靠性問題

美國的停電越來越頻繁。一個研究小組指出，從 2011 年到 2021 年，美國經(jīng)歷的停電次數(shù)比過去十年（2000-2010 年）多了 64%。這種增長在很大程度上歸因于更頻繁和更嚴重的天氣事件。

導(dǎo)致問題的其他因素是，美國電網(wǎng)的很大一部分是幾十年前建造的，而且它正在老化，使其更容易出現(xiàn)故障，而且需求增加。不斷增長的人口、車輛和建筑物的電氣化以及人工智能 （AI） 的能源需求給電網(wǎng)帶來了更大的壓力，增加了停電的可能性。

最后，從大型集中式發(fā)電廠轉(zhuǎn)向多樣化、分布式且通常不太可預(yù)測的能源的嘗試引發(fā)了電網(wǎng)及其支持系統(tǒng)的尚未完全重建。目前尚不清楚這最終將如何解決。

所有這些都對流程型行業(yè)來說是個壞消息，在這些行業(yè)中，停機可能導(dǎo)致重大中斷，包括生產(chǎn)線停止、材料損失、供應(yīng)鏈中斷和潛在的安全隱患。這些可能導(dǎo)致經(jīng)濟損失、設(shè)備損壞，甚至對員工安全構(gòu)成風(fēng)險。

減輕工業(yè)過程控制系統(tǒng)中計劃外停電的影響對于維護安全、產(chǎn)品質(zhì)量和系統(tǒng)完整性至關(guān)重要。

工程師可以采取哪些措施來幫助減輕停電影響？

許多因素都有助于彈性。減輕計劃外停電影響的精心設(shè)計的策略可能包括數(shù)據(jù)保留策略、自動恢復(fù)和故障轉(zhuǎn)移規(guī)劃，當(dāng)然，除了發(fā)電機或電池等電源保護之外。

最有效的方法之一是實施工業(yè)自動化系統(tǒng)冗余。它也可能是在硬件或電源故障期間保持系統(tǒng)可用性的最昂貴的方法，因此采用經(jīng)過深思熟慮的方法非常重要。

通過提供到備用控制系統(tǒng)的無縫故障轉(zhuǎn)移，不應(yīng)損失過程控制或作員可見性。但是，這需要投資冗余可編程邏輯控制器 （PLC） 或可編程自動化控制器 （PAC），和/或?qū)嵤┚哂?a class="contentlabel" href="http://www.2s4d.com/news/listbylabel/label/冗余">冗余電源和現(xiàn)場 I/O 模塊的熱備用控制器。為了更好地衡量，請采用雙以太網(wǎng)環(huán)。[這可能超出了大多數(shù)作的能力范圍，但對于高附加值產(chǎn)品和/或特別苛刻的設(shè)置和重啟要求來說，這可能是有意義的。

PLC 冗余的途徑有哪些？

要使具有 PLC 的工藝系統(tǒng)冗余，您不必總是完全復(fù)制硬件，但硬件復(fù)制是最直接和可靠的方法?？梢圆捎萌N主要方法在 PLC 系統(tǒng)中實現(xiàn)冗余，具體取決于您愿意實施的可靠性、成本和復(fù)雜性級別：

1. 完全硬件冗余（也稱為熱備用或同步冗余）

這涉及部署兩個并行運行的相同 PLC（相同品牌、型號、固件）。一個是主數(shù)據(jù)庫，另一個是熱備用數(shù)據(jù)庫。完全硬件冗余的主要功能是內(nèi)存和 I/O 的實時同步，以及在主服務(wù)器發(fā)生故障時自動切換。該安排通常還包括冗余電源、網(wǎng)絡(luò)接口和 I/O 模塊。

• 優(yōu)點：

• 高可用性和快速故障轉(zhuǎn)移

• 最大限度地減少流程中斷

• 缺點：

• 由于硬件和許可證的重復(fù)而成本高

2. 部分冗余（共享或交換資源）

這涉及僅復(fù)制控制器，而某些組件（例如 I/O 機架或人機界面）通過切換邏輯共享或連接。例如，這可以通過具有雙 PLC 和切換繼電器或軟件控制的切換邏輯的單個 I/O 來實現(xiàn)。

• 優(yōu)點：

• 與完全復(fù)制相比節(jié)省成本

• 一些改進的容錯能力

• 缺點：

• 管理更復(fù)雜

• 更長的恢復(fù)時間

• 共享點（如 I/O）仍可以是單點故障

3. 基于軟件的冗余或高級監(jiān)控冗余

這涉及在軟件中實現(xiàn)冗余邏輯，可能在監(jiān)控系統(tǒng)（如 SCADA 或 DCS）中或利用分布式計算的更高級別控制中實現(xiàn)冗余邏輯。該方法使用心跳檢查和看門狗計時器或 SCADA 或 PLC 啟動切換的外部系統(tǒng)監(jiān)視器。

• 優(yōu)點：

• 靈活

• 可以利用現(xiàn)有的 IT 基礎(chǔ)架構(gòu)

• 缺點：

• 不太確定

• 取決于網(wǎng)絡(luò)運行狀況和 SCADA 性能

冗余類型所需硬件切換時間可靠性成本
完整的硬件完全復(fù)制<1 秒非常高高部分冗余部分重復(fù)幾秒鐘中等中等基于軟件最?。ㄊ褂?IT/SCADA）變化 （較慢）低-中低

PLC 所需的冗余級別取決于過程的關(guān)鍵程度。對于高風(fēng)險應(yīng)用（例如，化工廠、發(fā)電），完全硬件冗余是首選。對于不太關(guān)鍵的系統(tǒng)或預(yù)算受限的系統(tǒng)，部分或基于軟件的冗余仍然可以提供合理的容錯能力。

PAC 冗余的一些途徑有哪些？

在為 PAC 系統(tǒng)設(shè)計冗余時，您不必總是完全復(fù)制硬件。但是，與 PLC 一樣，冗余的級別和方法取決于系統(tǒng)的關(guān)鍵程度、性能要求和成本容忍度。PAC 提供比 PLC 更大的靈活性和集成能力，因此具有更細致的冗余策略：

1. 完全硬件冗余（控制器 + I/O）

這是指您采用兩個相同的 PAC，具有重復(fù)的 I/O、電源和通信接口。兩個控制器運行相同的程序 — 一個是主控制器，另一個是同步備用控制器;一種在任務(wù)關(guān)鍵型系統(tǒng)（例如，水處理、制藥、電力）中受到青睞的方法。商業(yè)示例包括 Allen-Bradley ControlLogix Redundancy 和 Siemens S7-400H。

• 優(yōu)點：

• 快速故障轉(zhuǎn)移（亞秒級）

• 高可用性

• 缺點：

• 由于完全復(fù)制而造成的成本最高

2. 部分硬件冗余

這是一種具有冗余 PAC 但具有共享或多路復(fù)用 I/O 模塊的設(shè)置。它采用具有共享 I/O 機架和切換邏輯的冗余 CPU，用于選擇哪個 CPU 處于活動狀態(tài)。這在 I/O 復(fù)制成本太高或空間受限的系統(tǒng)中很常見。

• 優(yōu)點：

• 平衡成本

• 達觀

• 缺點：

• 共享 I/O 可以是單點故障

3. 網(wǎng)絡(luò)冗余 + 分布式控制

這涉及跨冗余工業(yè)以太網(wǎng)（例如 EtherNet/IP、PROFINET）或環(huán)形網(wǎng)絡(luò)（例如 MRP、HSR、PRP）的分布式 PAC。它之所以有效，是因為控制權(quán)是分布式的;一次 PAC 故障不會停止系統(tǒng)范圍的功能。該方法建立在冗余網(wǎng)關(guān)、雙 NIC 和環(huán)形拓撲之上。

• 優(yōu)點：

• 模塊化和可擴展

• 更高的故障隔離

• 缺點：

• 復(fù)雜性

• 不適用于緊密回路控制冗余

4. 虛擬冗余 / PAC 虛擬化

此時，PAC 功能在工業(yè) PC 或虛擬機管理程序上通過冗余故障轉(zhuǎn)移進行虛擬化。PAC 軟件（例如 SoftLogix、Codesys）在具有 VM 級故障轉(zhuǎn)移的虛擬環(huán)境中運行。該方法通常應(yīng)用于 PAC 由軟件定義的現(xiàn)代混合控制系統(tǒng)中。

• 
  優(yōu)點：

• 靈活且可擴展

• 輕松備份和快照

• 缺點：

• 取決于虛擬機管理程序/IT 基礎(chǔ)架構(gòu)的穩(wěn)定性

5. 監(jiān)控/SCADA 級冗余

在這種情況下，冗余在 SCADA 或 MES 層處理，而不是在 PAC 本身內(nèi)部處理。PAC 可能不是冗余的，但監(jiān)控系統(tǒng)可以接管控制邏輯或繞過故障重新路由。

• 優(yōu)點：

• 基于軟件

• 便宜

• 缺點：

• 響應(yīng)速度較慢

• 對于快速控制回路，風(fēng)險更大。

Redundancy Method硬件復(fù)制快速故障轉(zhuǎn)移成本典型用例
完全 PAC + I/O 冗余是 （全部）是（<1 秒）高關(guān)鍵基礎(chǔ)設(shè)施、制藥部分硬件冗余僅 CPU溫和中等具有成本限制的工業(yè)系統(tǒng)網(wǎng)絡(luò)/分布式控制否（共享邏輯）溫和中等模塊化制造虛擬冗余否 （虛擬化）是的中等軟件定義的自動化SCADA/IT 級冗余不否 （慢）低數(shù)據(jù)記錄、批處理/SCADA 覆蓋

雙以太網(wǎng)環(huán)如何幫助提高彈性？

網(wǎng)絡(luò)彈性也很重要。作為許多控制系統(tǒng)中的重要組件，為以太網(wǎng)環(huán)網(wǎng)添加冗余可能是一項經(jīng)濟高效的投資。要構(gòu)建雙以太網(wǎng)環(huán)，您需要創(chuàng)建一個冗余、容錯的網(wǎng)絡(luò)拓撲，其中兩個反向旋轉(zhuǎn)的以太網(wǎng)環(huán)可在工業(yè)或關(guān)鍵系統(tǒng)中提供彈性和快速故障轉(zhuǎn)移。這在工業(yè)以太網(wǎng)、變電站自動化和任務(wù)關(guān)鍵型基礎(chǔ)設(shè)施中很常見。

首先了解網(wǎng)絡(luò)的性質(zhì)及其重要要求，例如低恢復(fù)時間（通常為 <50 毫秒）、高可靠性和/或確定性通信。然后，選擇支持雙環(huán)設(shè)置的環(huán)冗余協(xié)議。

流行的實驗方案包括：

• HSR（高可用性無縫冗余）：IEC 62439-3 標準;在兩個環(huán)上發(fā)送重復(fù)的幀。

• PRP （并行冗余協(xié)議）：IEC 62439-3 標準;與 HSR 一起使用或單獨使用。

• 帶環(huán)形耦合的 MSTP/RSTP：傳統(tǒng)的基于生成樹的冗余。

• MRP（媒體冗余協(xié)議）：IEC 62439-2 標準;對于環(huán)形拓撲，比 RSTP 更高效（見圖）。

所示為采用 MRP（媒體冗余協(xié)議）– IEC 62439-2 的冗余以太網(wǎng)環(huán)的通用配置，這是環(huán)形拓撲的選項之一。

您還需要支持以下功能的托管型工業(yè)以太網(wǎng)交換機：

• 雙環(huán)冗余

• 快速故障轉(zhuǎn)移（通常為 ≤20–50 毫秒）

• 協(xié)議支持（HSR、MRP 等）

供應(yīng)商包括 Hirschmann、Moxa、Siemens、Cisco（IE 交換機）

網(wǎng)絡(luò)設(shè)計需要創(chuàng)建兩個獨立的物理環(huán)，即順時針以太網(wǎng)環(huán)和逆時針以太網(wǎng)環(huán)。然后，每個設(shè)備或交換機都通過兩個端口連接到每個環(huán)（雙 NIC 或雙端換機）。

如果設(shè)備是單連接的，則可以使用冗余盒（又名 redbox）。Redbox 可以將單端口設(shè)備連接到雙冗余環(huán)，也可以將單連接節(jié)點 （SAN） 連接到冗余網(wǎng)絡(luò)。從本質(zhì)上講，redbox 充當(dāng)沒有兩個網(wǎng)絡(luò)連接的節(jié)點的 “代理”，使其能夠參與冗余網(wǎng)絡(luò)，就像它具有雙連接一樣。

在 MRP 等協(xié)議中，一臺交換機充當(dāng)環(huán)管理器，用于監(jiān)控拓撲更改和管理環(huán)關(guān)閉。

冗余涉及在每個交換機上配置所選協(xié)議。您可能需要根據(jù)需要指定振鈴管理器/主管，并驗證檢測信號計時、幀復(fù)制和延遲時間等設(shè)置。

最后，測試冗余！例如，您可以模擬電纜或端口故障，以驗證環(huán) A 和環(huán) B 之間的自動故障轉(zhuǎn)移，然后監(jiān)控恢復(fù)時間和網(wǎng)絡(luò)連續(xù)性。

其他一些可以幫助實現(xiàn)彈性的技巧：

• 在交換機之間使用光纖實現(xiàn)長距離連接。

• 為每個交換機提供單獨的電源。

• 使用 SNMP 或網(wǎng)絡(luò)管理系統(tǒng) （NMS） 進行監(jiān)控。

• 清晰地標記電纜和文檔拓撲。

• 不要錯過重定時器技術(shù)的潛在價值，尤其是在存在長電纜的情況下。