Konfigurowanie i uruchamianie systemu wysokiej dostępności High Availibility (HA) serii RX3i

Podobne dokumenty
INFORMATOR TECHNICZNY GE FANUC. Zalecana konfiguracja systemu gorącej rezerwacji Max-ON

INFORMATOR TECHNICZNY GE IP. Zalecana konfiguracja systemu gorącej rezerwacji Hot-Standby Redundancy w oparciu o kontrolery PACSystems

Przy wdrażaniu systemu gorącej rezerwacji Max-ON, należy zadbać o poprawne skonfigurowanie określonych mechanizmów.

Konfigurowanie komunikacji w protokole EGD w sterownikach PLC, kontrolerach PAC i układach wejść/wyjść rozproszonych GE Fanuc

Informator techniczny

Synchronizowanie czasu kontrolera PACSystems do urządzeń HMI

dokument DOK wersja 1.0

4.2 STEROWNIKI SERII RCC

1. Cel ćwiczenia. Celem ćwiczenia jest zestawienie połączenia pomiędzy dwoma sterownikami PLC za pomocą protokołu Modbus RTU.

Informator techniczny

Spis treści. Dzień 1. I Konfiguracja sterownika (wersja 1410) II Edycja programu (wersja 1406) III Środowisko TIA Portal (wersja 1410)

Instrukcja do oprogramowania ENAP DEC-1

Informator techniczny

IC695PSA040 zasilacz 100/240 VAC lub 125 VDC, 40 W zasilacz dla kaset montaŝowych podstawowych

1. Opis. 2. Wymagania sprzętowe:

Konfigurator Modbus. Instrukcja obsługi programu Konfigurator Modbus. wyprodukowano dla

Konfiguracja i programowanie sterownika GE Fanuc VersaMax z modelem procesu przepływów i mieszania cieczy

INSTRUKCJA OBSŁUGI. Przekaźnik czasowy ETM ELEKTROTECH Dzierżoniów. 1. Zastosowanie

Ćwiczenia z S Komunikacja S z miernikiem parametrów sieci PAC 3200 za pośrednictwem protokołu Modbus/TCP.

Instrukcja użytkownika ARsoft-CFG WZ1 4.0

Konfiguracja parametrów pozycjonowania GPS /5

Katedra Inżynierii Systemów Sterowania WEiA PG. Przemysłowe Sieci Informatyczne Laboratorium

IC200UDR002 ASTOR GE INTELLIGENT PLATFORMS - VERSAMAX NANO/MICRO

1. INSTALACJA SERWERA

Konfigurowanie sterownika CX9000 firmy Beckhoff wprowadzenie

OPTIMA PC v Program konfiguracyjny dla cyfrowych paneli domofonowy serii OPTIMA ELFON. Instrukcja obsługi. Rev 1

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

FIRMWARE MODUŁU TIBBO INTERFEJSU ETHERNETOWEGO UNIV x - Tibbo EM500 v2.0

ASTOR IC200ALG320 4 wyjścia analogowe prądowe. Rozdzielczość 12 bitów. Kod: B8. 4-kanałowy moduł ALG320 przetwarza sygnały cyfrowe o rozdzielczości 12

Sterowniki programowalne. System GE Fanuc serii Zasady działania systemu (część I)

Konfigurowanie sterownika CX1000 firmy Beckhoff wprowadzenie. 1. Konfiguracja pakietu TwinCAT do współpracy z sterownikiem CX1000

Konfigurowanie sterownika CP6601 firmy Beckhoff wprowadzenie

INFORMATOR TECHNICZNY HORNER. Konfiguracja komunikacji GPRS pomiędzy sterownikiem XLe i oprogramowaniem Proficy HMI/SCADA Cimplicity

MODBUS RTU wersja M1.14 protokół komunikacyjny wyświetlaczy LDN

INSTRUKCJA UZUPEŁNIAJĄCA DO CENTRAL DUPLEX ZE STEROWANIEM RD4

1. Aplikacja LOGO! App do LOGO! 8 i LOGO! 7

ASTOR GE INTELLIGENT PLATFORMS - PACSYSTEMS RX3I

Tytuł Aplikacji: Aplikacja przetwornic częstotliwości Danfoss w sieci przemysłowej Profinet


1.10 MODUŁY KOMUNIKACYJNE

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Instrukcja obsługi Rejestrator Parametrów

1.1 SCHEMATY DLA PROJEKTANTÓW

ADVANCE ELECTRONIC. Instrukcja obsługi aplikacji. Modbus konfigurator. Modbus konfigurator. wersja 1.1

1. Podstawowe wiadomości Możliwości sprzętowe Połączenia elektryczne Elementy funkcjonalne programów...

Rejestratory Sił, Naprężeń.

Kod produktu: MP-W7100A-RS232

Aktualizacja modemu LTE Speed 1000

Instrukcja MM-717 Tarnów 2010

Kod produktu: MP-W7100A-RS485

TM PROGRAM TERMINALA RS232 DLA MULTIPLEKSERA 8XRS232 / ETHERNET 10BASE-T

Instrukcja użytkownika ARSoft-WZ1

PUNKTOWE STEROWNIKI VERSAMAX MICRO

2.2 JEDNOSTKI CENTRALNE

3. Sieć PLAN. 3.1 Adresowanie płyt głównych regulatora pco

asix4 Podręcznik użytkownika S7_TCPIP - drajwer do wymiany danych ze sterownikami SIMATIC poprzez Ethernet

Działanie i charakterystyka sterownika GE FANUC VersaMaxNano

1. Cel ćwiczenia. 2. Podłączenia urządzeń zewnętrznych w sterowniku VersaMax Micro

CENTRALKA DETCOM.3 DO DETEKTORÓW SERII 3.3

Konfigurowanie sterownika BX9000 firmy Beckhoff wprowadzenie. 1. Konfiguracja pakietu TwinCAT do współpracy ze sterownikiem BX9000

EPPL 1-1. KOMUNIKACJA - Interfejs komunikacyjny RS Sieciowa Karta Zarządzająca SNMP/HTTP

Konfigurowanie sterownika BC8150 firmy Beckhoff wprowadzenie

Strona 1 z Przedni panel. LED Opis funkcji ADSL

Rozdział ten zawiera informacje na temat zarządzania Modułem Modbus TCP oraz jego konfiguracji.

Internetowy serwis Era mail Aplikacja sieci Web

Funkcje: wejściowe, wyjściowe i logiczne. Konfigurowanie zabezpieczeń.

CENTRALA STERUJĄCA SMART CONTROL

MiniModbus 4DO. Moduł rozszerzający 4 wyjścia cyfrowe. Wyprodukowano dla. Instrukcja użytkownika

instrukcja instalacji modemu SpeedTouch 605s

Uniwersalny system automatyki budynkowej w oparciu o. moduł sterujący SAB i moduły wykonawcze MWD. Praca autonomiczna Moduł sterujący SAB...

Adresowanie obiektów. Adresowanie bitów. Adresowanie bajtów i słów. Adresowanie bajtów i słów. Adresowanie timerów i liczników. Adresowanie timerów

Modularny system I/O IP67

Funkcje: wejściowe, wyjściowe i logiczne. Konfigurowanie zabezpieczeń.

SERWER AKTUALIZACJI UpServ

Wstęp Architektura... 13

Artykuł : Aktualizacja ( Cscape 9.70 )

Oprogramowanie testowe CSMIO/IP v3.000 dla programu Mach4.

Spis treści. 1 Moduł Modbus TCP 4

ELPM-8DI8DOasLightCount

Konfiguracja sterowników Horner APG do pracy w trybie Modbus RTU Master

Cisco EPC2100 Instrukcja obsługi modemu

4.2 JEDNOSTKI CENTRALNE

Pomoc do programu ISO Manager

Uniwersalna kontrola dostępu w

Konfigurowanie modułu BK9050 firmy Beckhoff wprowadzenie

INSTRUKCJA OBSŁUGI PROGRAMU INSTAR 1.0

Konfiguracja i programowanie PLC Siemens SIMATIC S7 i panelu tekstowego w układzie sterowania napędami elektrycznymi. Przebieg ćwiczenia

Sterownik PLC ELPM-8DI8DO z aplikacją ELPM-8DI8DOasRoleta wersja v

7. zainstalowane oprogramowanie zarządzane stacje robocze

Moduł Ethernetowy EL-ETH. Instrukcja obsługi

Autorzy. Zespół SABUR Sp. Z o.o. Wydanie Data. Sierpień SABUR Sp. Z o. o. Wszelkie prawa zastrzeżone

Moduły kontrolno pomiarowe iologik. Marcin Krzewski

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Odczyt zegara ze sterownika do panelu serii TIU z możliwością korekty ustawień zegara w sterowniku

Przejrzystość, intuicyjny charakter i łatwość oprogramowania sterowników FATEK.

Spis treści. Utx Time Server UTX TIME SERVER nota v.1.3

INFORMATOR TECHNICZNY HORNER. Konfiguracja komunikacji GPRS pomiędzy sterownikiem XLe/XLt i oprogramowaniem narzędziowym Cscape

Konfiguracja i programowanie sterownika GE Fanuc VersaMax z modelem procesu przepływów i mieszania cieczy. Przebieg ćwiczenia

Laboratorium Elektrycznych Systemów Inteligentnych

R o g e r A c c e s s C o n t r o l S y s t e m 5

Transkrypt:

Konfigurowanie i uruchamianie systemu wysokiej dostępności High Availibility (HA) serii RX3i Zalecane kroki podczas uruchamiania systemu HA Niniejszy Informator Techniczny dedykowany jest zagadnieniom, na jakie należy zwrócić uwagę podczas konfigurowania i uruchamiania układu HA opartego o gorącą rezerwację Hot Standby Redundancy (HSR) serii RX3i. W dokumencie zebrano czynności wymagane oraz zalecane dla poprawnego uruchomienia układu wysokiej dostępności HA. Wersja dokumentu: 1.0, z dnia 2014-01-15. Spis treści Konfigurowanie i uruchamianie systemu wysokiej dostępności High Availibility (HA) serii RX3i... 1 Zalecane kroki podczas uruchamiania systemu HA... 1 Zalecana konfiguracja systemu HA... 3 Topologia układu HA z pojedynczą kasetą wejść/wyjść rozproszonych... 4 Elementy składowe do budowy systemu HA... 8 Zasoby układu HA... 9 Elementy uzupełniające, używane do budowy systemu HA... 9 Wytyczne konieczne do spełnienia... 10 Kolejność postępowania przy uruchamianiu układu wysokiej dostępności HA... 10 Odpowiedni komputer do programowania... 10 Właściwe ustawienia regionalne komputera-programatora.... 10 Wersje systemu operacyjnego w kontrolerze RX3i i jego aktualizacja... 11 Odpowiednia wersja oprogramowania narzędziowego... 11 Wersje wzorców na układ HA... 11 Moc zasilaczy PSD140, uwzględniająca najgorszy przypadek... 11 Zebranie informacji o topologii sieci Ethernet... 13 Restart modułów komunikacyjnych Etherent po załadowaniu konfiguracji sprzętowej... 14 Test komunikacji pomiędzy jednostkami nadrzędnymi i węzłami I/O (NIU001)... 14 System informowania operatora o stanie układu HA... 15 Testowanie połączenia ring w sieci Ethernet... 16 Synchronizowanie danych wejściowych dla algorytmu... 17 Poprawne podłączenie kabli Ethernet do modułów komunikacyjnych ETM001 w węźle I/O... 17 Odpowiedni rozmiar ramek EGD... 18 Zachowanie się węzła I/O w przypadku odcięcia go od jednostek nadrzędnych... 18 Detekcja, przez którą jednostkę nadrzędną aktualnie jest sterowany węzeł I/O... 18 Właściwa komunikacja oprogramowania SCADA z układem HA... 19 Kontrola sprawności łącza do synchronizacji... 20 Weryfikacja, która jednostka nadrzędna steruje procesem... 21 Kontrola, czy system sterowania ma jedną jednostkę aktywną... 22 Sprawdzenie, czy jednostka rezerwowa znajduje się w stanie RUN, czy w STOP... 22 Kontrola bitów statusowych modułów komunikacyjnych ETM001... 22 Wybór trybu Hold Last State / Zero dla wyjść w węzłach, w przypadku całkowitej utraty komunikacji z jednostkami nadrzędnymi... 23 Informator Techniczny Strona 1 z 36

Wybór trybu Hold Last State / Zero w jednostkach nadrzędnych dla danych otrzymanych z węzłów, w przypadku całkowitej utraty komunikacji z węzłem... 24 Jeżeli jest używana pamięć Flash, to załadować do niej finalną wersję programu i konfiguracji... 24 Automatyczne uruchomienie programu po załączeniu zasilania kontrolera... 25 Optymalizacja parametrów komunikacji EGD... 25 Ustawienie czasu Fail Wait Time... 25 Ustawienie czasu Watchdog Timer... 27 Ustawienie czasów na komunikację... 27 Okresowe przeglądy układu rezerwacji dokonywane przez Służby Utrzymania Ruchu... 27 Obszar danych objęty synchronizacją... 28 Poszerzanie obszaru danych odczytywanych z węzła I/O... 28 Cykliczne kopie podczas pisania programu/konfigurowania systemu... 28 Zmiana konfiguracji ramek EGD na ruchu... 29 Planowanie pamięci jednostki centralnej i odpowiednie nazewnictwo zmiennych... 29 Dostosowanie czasów wymian EGD i timeout adekwatnych do potrzeb instalacji... 29 Monitorowanie zmiennej systemowej %SA14 (#LOS_IOM)... 29 Zmienna systemowa %SA15 (#LOS_SIO)... 30 Zmienna systemowa %SA23 (#IOM_FLT)... 30 Zmienna systemowa #RACK_000r... 30 Zmienna systemowa #SLOT_0rss, diagnostyka modułów wejść/wyjść i komunikacyjnych... 31 Diagnostyka zasilaczy w węzłach NIU.... 31 Przełączenie węzła I/O na dane otrzymywane z drugiej jednostki CMU poprzez zamianę ról jednostek... 31 Przełączenie węzła I/O na dane z drugiej jednostki nadrzędnej CRU320 za pomocą bitów kontrolnych... 32 Kontrola temperatury w jednostkach nadrzędnych oraz węzłach I/O... 33 Przesyłanie informacji diagnostycznych z modułów analogowych, HSC oraz innych informacji z węzłów i/o do jednostek nadrzędnych i wizualizacji.... 34 Diagnostyka systemu w sytuacji awarii wizualizacji... 34 Kontrola, czy obie jednostki mają załadowany ten sam program... 34 Przydatne bity diagnostyczne systemu HA... 34 Konsultacje z ASTOR w zakresie układu wysokiej dostępności HA... 35 Informator Techniczny Strona 2 z 36

Zalecana konfiguracja systemu HA System wysokiej dostępności HA to rozproszony system sterowania z gorącą rezerwacją, oparty na kontrolerach PACSystems RX3i, w którym, dzięki zastosowaniu gorącej rezerwacji, przełączenie na układ rezerwowy odbywa się bezuderzeniowo. Taki rodzaj systemu sterowania stosowany jest w celu zapewnienia wysokiej dostępności układu sterowania, niezbędnej w kluczowych procesach technologicznych. Rozwiązanie to zapewnia oszczędności w trakcie eksploatacji instalacji przemysłowej, ograniczając ze względu na podniesienie poziomu bezawaryjności systemu sterowania koszty związane z awariami i przestojami w produkcji. System wysokiej dostępności HA budowany jest z dwóch nadrzędnych jednostek sterujących RX3i oraz rozproszonych układów wejść/wyjść, sterowanych za pomocą redundantnych sieci Ethernet. Jednostki nadrzędne pracują w układzie rezerwacji; jedna z nich steruje procesem, a druga czuwa w gotowości do przejęcia kontroli nad procesem, gdyby została stwierdzona niezdolność dotychczasowej jednostki do prowadzenia procesu. Za pomocą światłowodowego łącza do synchronizacji danych, jednostki pracują jak jeden spójny system sterowania. Dane procesowe przesyłane są z jednostki aktywnej do rezerwowej, co powoduje, że jednostka rezerwowa może przejąć w dowolnym momencie od jednostki aktywnej kontrolę nad procesem z tymi samymi danymi, dzięki czemu przejęcie sterowania odbędzie się w sposób bezuderzeniowy. W celu zapewnienia odpowiednio wysokiego poziomu niezawodności systemu, producent zaleca stosowanie osobnych, trzech magistrali Ethernet: do komunikacji z systemem SCADA, do sterowania układami wejść/wyjść (magistrala nr 1), do sterowania układami wejść/wyjść (magistrala nr 2 - rezerwowa). Rozdzielenie sieci SCADA od warstwy sterowania wpływa na wysoki determinizm działania systemu sterowania; zabezpiecza stabilność sterowania uniezależniając ją od okresowo wzmożonej komunikacji. Programowanie jednostek nadrzędnych może odbywać się za pomocą tej samej sieci, co komunikacja z systemem SCADA. Z kolei, druga możliwość - włączenie komputera inżynierskiego do sieci służącej do komunikacji z układami wejść/wyjść - pozwala również na serwisowy dostęp do tych układów. Ze względu na osiągnięcie wyższej dostępności, w układzie sterowania stosuje się: Podwojoną magistralę do sterowania węzłami, Podwojoną magistralę do synchronizacji danych. Również zasilacze węzłach powinny być instalowane z uwzględnieniem nadmiarowości (rezerwacji). Zapewnia to redundancję na poziomie zasilaczy, jak również i opcjonalnie źródeł zasilania. Prawidłowo skonfigurowany system pod kątem mocy powinien gwarantować dalszą pracę po wyłączeniu lub uszkodzeniu jednego, dowolnego zasilacza. Zamiast zasilaczy IC695PSD140 można stosować zasilacze IC695PSA140, jednakże IC695PSD140 są preferowane ze względu na mniejsze rozmiary (zasilacz IC695PSD140 zajmuje tylko jedno gniazdo w kasecie). Zasilacze IC695PSD140 zasilane są z napięcia 24VDC. Sprawdzenia zapotrzebowania na moc kasety w konkretnej konfiguracji można dokonać samemu, przy pomocy oprogramowania Proficy Machine Edition lub kontaktując się z firmą ASTOR. Do połączenia układu HA z systemem wizualizacji wykorzystuje osobne moduły Ethernet (IC695ETM001), przy czym używane do tego celu moduły w obu jednostkach posiadają ten sam adres IP. W zaproponowanej w dalszej części niniejszego opracowania konfiguracji układu HA, moduły te są ze sobą połączone wbudowanym wewnętrznym niezarządzanym switchem. W ten sposób każdy z serwerów ma bezpośrednie połączenia kablowe z jednostką aktywną oraz z jednostką rezerwową. Kasety zawierające wejścia/wyjścia są kasetami systemu rozproszonego i mogą być instalowane w różnych częściach zakładu produkcyjnego. Ze względu na minimalizację zakłóceń i przepięć, zaleca się stosowanie połączeń Informator Techniczny Strona 3 z 36

światłowodowych do tych kaset. Połączenie jednostek nadrzędnych z kasetami rozproszonymi może być zrealizowane standardowo w układzie gwiaździstym lub - co jest zalecane - w tzw. super-ringu, zapewniającym funkcjonowanie komunikacji Ethernet również po przerwaniu ringu w dowolnym punkcie. Istnieje możliwość utworzenia niewielkiego lokalnego programu sterującego w interfejsach komunikacyjnych, realizującego procedury awaryjne, można również do interfejsów dołączać lokalnie urządzenia w sieciach komunikacyjnych Profibus DP, RS232/485 z protokołem Modbus RTU Master/Slave oraz Serial I/O. Aby uchronić się przed utratą komunikacji z węzłem w przypadku przerwania łącza komunikacyjnego lub awarii modułu Ethernet, stosuje się dwie magistrale do sterowania układami wejść/wyjść. Wiąże się to z zainstalowaniem po dwa moduły Ethernet w układach wejść/wyjść. Aby zminimalizować możliwość jednoczesnego uszkodzenia obu magistral, magistrale sterujące powinny być prowadzone różnymi trasami kablowymi. Topologia układu HA z pojedynczą kasetą wejść/wyjść rozproszonych Idea budowy układu gorącej rezerwacji Układy wejść/wyjść oparte o serię RX3i Dla zwiększenia dostępności, magistrala komunikacyjna do systemu SCADA, podobnie, jak do węzłów I/O, może być również redundowana, co zostało bardziej szczegółowo przedstawione na kolejnym schemacie. Rezygnacja z redundancji elementów systemu pociąga świadomą rezygnację z cech wysokiej dostępności i degradację układu wysokiej dostępności do zwykłego układu sterowania w danym zakresie. Informator Techniczny Strona 4 z 36

Przykładowa architektura systemu HA zlokalizowanego w jednej szafie sterowniczej Informator Techniczny Strona 5 z 36

Przykładowa architektura systemu HA z rozproszonymi węzłami I/O (zaleca się budowę ringu przy pomocy światłowodów) Informator Techniczny Strona 6 z 36

Informator Techniczny Strona 7 z 36

Elementy składowe do budowy systemu HA Przykładowa konfiguracja pojedynczego kontrolera nadrzędnego realizowana jest w oparciu o jednostkę nadrzędną CRU320 i moduły RMX128: Nr katalogowy IC695CHS012 IC695PSD140 IC695PSD140 IC695CRU320 IC695ETM001 IC695ETM001 IC695ETM001 IC695ETM001 IC695RMX128 IC695RMX128 Opis Kaseta bazowa, 12-gniazdowa Zasilacz 24VDC Zasilacz 24VDC (w celu zapewnienia dodatkowej mocy dla IC695CRU320 i modułów komunikacyjnych - w zależności od potrzeb) Jednostka centralna do systemu gorącej rezerwacji Moduł komunikacyjny Ethernet (do komunikacji z systemem SCADA) Moduł komunikacyjny Ethernet (do komunikacji z systemem SCADA - magistrala rezerwowa) Moduł komunikacyjny Ethernet (do komunikacji z węzłami I/O) Moduł komunikacyjny Ethernet (do komunikacji z węzłami I/O - magistrala rezerwowa) Moduł do synchronizacji danych pomiędzy nadrzędnymi jednostkami sterującymi Moduł do synchronizacji danych pomiędzy nadrzędnymi jednostkami sterującymi (łącze rezerwowe) Należy przewidzieć dwa identyczne kontrolery nadrzędne - będą one pracowały w redundancji. Przykładowa konfiguracja układu wejść/wyjść rozproszonych: Nr katalogowy IC695CHS016 IC695PSD140 IC695PSD140 IC695PSD140 IC695NKT001 IC695ETM001 Moduł wejść/wyjść Moduł wejść/wyjść Moduł wejść/wyjść Moduł wejść/wyjść Moduł wejść/wyjść Moduł wejść/wyjść Moduł wejść/wyjść Moduł wejść/wyjść Moduł wejść/wyjść Opis Kaseta bazowa, 16-gniazdowa Zasilacz 24VDC Zasilacz 24VDC (w celu zapewnienia dodatkowej mocy dla modułów - używany w zależności od potrzeb) Zasilacz 24VDC (rezerwowy - używany dla celów redundancji zasilaczy i źródeł zasilania) Zestaw interfejsu komunikacyjnego do sieci Ethernet; oprócz IC695NIU001 zawiera jeden moduł IC695ETM001 Moduł komunikacyjny Ethernet (do magistrali rezerwowej) Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Moduł wejść lub wyjść dwustanowych lub analogowych - w zależności od potrzeb Katalog modułów serii RX3i dostępny jest na stronie internetowej www.astor.com.pl oraz http://platforma.astor.com.pl. Ponieważ w kasecie zawierającej układy wejść/wyjść powinny być zainstalowane dwa moduły Ethernet, należy do takiej kasety dodać moduł IC695ETM001. Informator Techniczny Strona 8 z 36

Zasoby układu HA Przy doborze systemu pamiętać należy o ilości sygnałów, jakie mogą zostać obsłużone przez pojedynczy system HA. Ilość sygnałów, na obsługę których pozwala funkcjonalność układu HA, opartego o wzorce producenta: Typ Ilość sygnałów Wejścia dyskretne (%I) 200 na jeden węzeł I/O (konfigurowalne) Wejścia analogowe (%AI) 128 na jeden węzeł I/O (konfigurowalne) Wyjścia dyskretne (%Q) 2048 Wyjścia analogowe (%AQ) 512 Ilość zmiennych synchronizowanych (dyskretnych i rejestrowych) Konfigurowalna Elementy uzupełniające, używane do budowy systemu HA Nr katalogowy IC646MPP001 AST-PWR-7524 AST-PWR-7524 AST-RDN20 JET-NET-5010G JET-SFP-100MM Serwer i oprogramowanie SCADA Opis Oprogramowanie narzędziowe do konfigurowania i programowania kontrolerów PACSystems RX3i Logic Developer PLC Professional Edition, zawiera klucz programowy. Wersja tego oprogramowania z kluczem sprzętowym to BC647MPP001. Przykładowy zasilacz obiektowy 24VDC, 3.2 A (ilość zasilaczy zależna jest od sumarycznej ilości jednostek w węzłów) Przykładowy zasilacz obiektowy 24VDC, 3.2 A - rezerwowy(ilość zasilaczy zależna jest od sumarycznej ilości jednostek w węzłów) Moduł redundantnego zasilania 24VDC (ilość modułów zależna jest od sumarycznej ilości jednostek w węzłów) Przykładowy switch Ethernet, 10 portów RJ45/3 wolne gniazd na wkładki SFP zarządzany WEB, praca w trybie SuperRing. Moduł SFP, Multi-mode 100Mbps 2KM Fiber Transceiver, złącze LC Np. oprogramowanie firmy Wodnerware, z możliwością pracy serwerów w trybie redundantnym Układ wysokiej dostępności gwarantuje dalsze działanie w przypadku wystąpienia pojedynczej awarii, np. awarii zasilacza, kontrolera, jednostki centralnej, modułu lub łącza komunikacyjnego Ethernet, łącza do synchronizacji. Przełączenie na element rezerwowy odbywa się bezuderzeniowo i nie dopuszcza do powstania stanów nieustalonych. Szersze informacje na temat wymienionych urządzeń dostępne są na stronie internetowej www.astor.com.pl oraz http://platforma.astor.com.pl. Informator Techniczny Strona 9 z 36

Wytyczne konieczne do spełnienia Kolejność postępowania przy uruchamianiu układu wysokiej dostępności HA 1. Zdefiniowanie architektury i konfiguracji układu z uwzględnieniem: a. rozmieszczenia modułów, b. połączeń sieciowych, c. adresów IP, d. weryfikacji mocy pobieranej z zasilaczy. 2. Zaprogramowanie układu HA 3. Restart zasilania układu 4. Kontrola programowej kompatybilności jednostek i stanu łącza do synchronizacji 5. Kontrola komunikacji z węzłami - sprawdzenie statusów wszystkich ramek konsumowanych przez jednostki nadrzędne i przez węzły. 6. Sprawdzenie poprawności odczytywanych danych z węzłów i danych wysyłanych na moduły wyjściowe. 7. Testy: a. zamiany ról w przypadku awarii jednostek (np. przez zatrzymanie programu lub wyłączenie zasilania kontrolera RX3i), b. łączy komunikacyjnych (odpinanie kabli komunikacyjnych), c. kontrola zmiennych objętych synchronizacją (po zamianie ról jednostek), d. komunikacji z systemem SCADA e. działania połączeń w super-ringu, f. czasu skanu przy wykonaniu pełnego programu (z wywołaniem wszystkich podprogramów), g. programowania na ruchu (przesłanie pełnego programu i sprawdzenie, czy nie nastąpi przekroczenie czasu Fail Wait Time). Odpowiedni komputer do programowania Przez odpowiedni komputer rozumie się przede wszystkim komputer z odpowiednio dużą ilością pamięci (minimum 4 GB RAM) oraz komputer ze stabilnym systemem Windows. Stosowanie nieodpowiedniego komputera może powodować zawieszanie oprogramowania narzędziowego lub systemu Windows i uszkodzenie projektu. Właściwe ustawienia regionalne komputera-programatora. Poprawne ustawienia regionalne komputera (Panel sterowania / Opcje regionalne i językowe) to: znak dziesiętny: kropka, separator listy: przecinek. Są one bardzo ważne i należy je wprowadzić przed rozpoczęciem konfigurowania/programowania układu HA. Praca z niewłaściwymi ustawieniami regionalnymi może doprowadzić do uszkodzenia projektu i niedeterministycznego zachowania. Informator Techniczny Strona 10 z 36

Wersje systemu operacyjnego w kontrolerze RX3i i jego aktualizacja Zaleca się stosowanie najnowszych wersji firmware. Wersje firmware powinny być jednakowe dla modułów tego samego typu: - obu jednostek CRU320, - wszystkich interfejsów NIU001, - wszystkich modułów ETM001, - wszystkich modułów RMX128. W firmie ASTOR dostępne są bezpłatnie programy do samodzielnego przeprowadzania uaktualnienia systemów operacyjnych RX3i (upgrade firmware). Proces ten wiąże się z zatrzymaniem pracy aktualizowanego modułu oraz z koniecznością ponownego programowania (dotyczy upgrade CRU320 oraz NIU001). Odpowiednia wersja oprogramowania narzędziowego Aby skonfigurować układ HA, należy zastosować oprogramowanie Proficy ME 5.9 LD (Logic Developer) lub nowsze. Wersje wzorców na układ HA Konfigurowanie i uruchamianie układu HA winno odbywać się w oparciu o wzorce przygotowane przez producenta. Są to wzorce na układy z 5, 10 i 20 węzłami I/O: RX3i_RCDL_05_v143B.zip RX3i_RCDL_10_v143B.zip RX3i_RCDL_20_v143B.zip Obecna wersja wzorca to 1.43B (stan na styczeń 2014). Aktualną wersję wzorca można pobrać ze strony internetowej http://platforma.astor.com.pl. Moc zasilaczy PSD140, uwzględniająca najgorszy przypadek Jeżeli celem stosowania podwojonych zasilaczy PSD140 w kasetach z NIU001 jest rezerwacja zasilaczy i źródeł zasilania, to należy sprawdzić, czy przy awarii jednego z nich, moc drugiego będzie wystarczająca z punktu widzenia zapotrzebowania modułów zainstalowanych w tej kasecie. W przypadku, gdyby okazałoby się, że jest to moc niewystarczająca, należy zastosować dodatkowy (np. trzeci) zasilacz PSD140. Bilans mocy należy również sprawdzić dla kaset z głównymi jednostkami centralnymi (CRU320). Zapotrzebowanie na moc wyliczane jest automatycznie w oprogramowaniu Proficy ME, w miarę konfigurowania systemu. Przykładowy pobór mocy z zasilacza PSD140 wygląda następująco: Informator Techniczny Strona 11 z 36

Informator Techniczny Strona 12 z 36

Zebranie informacji o topologii sieci Ethernet Przed rozpoczęciem konfigurowania układu HA konieczna jest wiedza o: topologii układu, adresach IP, jakie mają być przydzielone dla modułów Ethernet. Aby uniknąć błędów podczas konfigurowania, zaleca się wykonanie schematu wg poniższego wzorca i naniesienie na niego adresów IP. Poniższy schemat, należy zmodyfikować zgodnie z konfiguracją stosowaną w Państwa systemie, powielając układ wejść/wyjść rozproszony odpowiednią ilość razy. Schemat ten uporządkowuje informacje o adresacji Ethernet i jest pomocny zarówno podczas konfigurowania układu HA, jak i definiowania połączeń komunikacyjnych z wizualizacją. Informator Techniczny Strona 13 z 36

Restart modułów komunikacyjnych Ethernet po załadowaniu konfiguracji sprzętowej Po każdorazowym przesłaniu do CMU lub NIU konfiguracji sprzętowej (po operacji Download Hardware Configuration), w której dokonano zmiany w konfiguracji modułów Ethernet lub ramek EGD, należy na modułach Ethernet programowanego kontrolera lub układu wejść/wyjść NIU, wcisnąć przyciski ETHERNET RESTART, w celu rozpoczęcia pracy modułów Ethernet z nowymi ustawieniami. Wyłączenie i załączenie zasilania powoduje również przejście procedury restartu. W przypadku braku dostępu do kontrolera, można posłużyć się programowym restartem modułu - za pomocą funkcji SVCREQ#24. Należy zastanowić się, czy restart modułów Ethernet nie zaburzy procesu technologicznego. Wykonanie tej operacji spowoduje zerwanie komunikacji, realizowanej przez restartowany moduł ETM001 na czas kilku sekund. Test komunikacji pomiędzy jednostkami nadrzędnymi i węzłami I/O (NIU001) Po okablowaniu systemu w zakresie sieci Ethernet i po załadowaniu konfiguracji oraz restarcie modułów ETM001, należy sprawdzić statusy konsumowanych ramek EGD. O poprawności statusu świadczy kod 1 (jest to wartość liczbowa w rejestrze statusu, wynosząca 1). Dopuszczalne też są następujące kody: kod 3 - oznacza gotowość układu do odbierania znaczników czasowych z serwera czasu NTP i brak takiego serwera, kod 5 - świadczy on o poprawnej komunikacji, jednakże w takim przypadku dane wysyłane są co czas krótszy niż czasu skanu jednostki CRU320. Zaleca się ustawienie czasu produkowania dłuższego niż czas skanu jednostki, z której te dane są produkowane; wtedy wysyłane dane zostaną wcześniej zaktualizowane przez program. Projekt przygotowany przez producenta zakłada używanie serwera czasu NTP do metkowania ramek EGD produkowanych przez węzły I/O. Jeżeli znaczniki czasowe nie będą używane i nie będzie zainstalowany serwer czasu NTP na poziomie sieci Ethernet dla węzłów I/O, zaleca się wyłączenie tego mechanizmu. Wtedy, zamiast kodu 3 będzie zwracany kod 1. Wyłączenie korzystania ze znaczników czasowych polega na skasowaniu z pola AUP File Name dla wszystkich modułów Ethernet (ETM001) występujących w konfiguracji węzłów I/O. Należy sprawdzić statusy wszystkich ramek konsumowanych przez jednostki nadrzędne oraz węzły I/O. W tym celu producent przygotował tablice Data Watch zawierające rejestry statusowe ramek EGD. Po stronie jednostek nadrzędnych sprawdzania dokonuje się otwierając tablicę Data Watch o nazwie EGD_InputExchangeStatus: Informator Techniczny Strona 14 z 36

Przykładowo, komunikację z węzłem nr 1 można sprawdzić obserwując zmienne InExStatus_LANA_ENIU_01 oraz InExStatus_LANB_ENIU_01. Po stronie węzłów I/O należy w tym celu otworzyć tablicę EGDExchangeStatus: Statusy ramek EGD powinny być stabilne; należy sprawdzić, czy w rejestrach statusowych ramek EGD wyświetlana jest stabilnie wartość 1. System informowania operatora o stanie układu HA Należy przewidzieć i wdrożyć system raportowania utraty komunikacji pomiędzy jednostką nadrzędną a jakimkolwiek modułem komunikacyjnym w węzłach I/O (kasety z interfejsami NIU). Operator powinien być natychmiast informowany zarówno o całkowitej utracie komunikacji z NIU, jak i o częściowej utracie komunikacji (awaria Informator Techniczny Strona 15 z 36

pojedynczego łączą Ethernet z węzłem NIU). Pierwszy przypadek jest krytyczny dla sterowania danym węzłem, drugi zaś informuje o braku gotowości systemu do przełączenia się na rezerwę. System raportowania może polegać na utworzeniu w SCADA ekranu ze statusami połączeń oraz na utworzeniu alarmu uaktywnianego w przypadku utraty komunikacji z którymkolwiek z węzłów. Zakłada się, że łącze komunikacyjne pracuje prawidłowo, jeżeli otrzymujemy z niego poprawne ramki EGD. Jeżeli ten mechanizm jest z punktu widzenia Użytkownika niewystarczający, należy zadbać o zwrotne odsyłanie statusów odbieranych ramek EGD do urządzeń, z których zostały odebrane. Należy tak zaprojektować aplikację SCADA, aby obsługa była informowana na bieżąco o tym, czy układ HA działa nadal w pełni poprawnie, czy też występują w nim ograniczenia. Stała kontrola powinna obejmować takie mechanizmy, jak: kontrolę trybu pracy jednostki (STOP - RUN), wykrywanie, czy jednostka centralna znajduje się w trybie RUN ENABLED/DISABLED (funkcją SVC_REQ#12), kontrolę łącza do synchronizacji, sprawdzenie, czy w układzie nie występują dwie jednostki aktywne jednocześnie, kontrolę gotowości jednostki rezerwowej do przejęcia kontroli nad procesem, kontrolę modułów w jednostkach nadrzędnych, kontrolę komunikacji jednostek nadrzędnych z węzłami I/O, sygnalizację, która jednostka prowadzi proces, opcjonalnie kontrolę pozostałych modułów, opcjonalnie sprawdzenie, czy system zarejestrował w tablicy błędów nowy komunikat dotyczący rezerwacji. W przypadku wykrycia niedomagań, obsługa powinna podjąć odpowiednie kroki w celu przywrócenia pełnej gotowości układu HA. Testowanie połączenia ring w sieci Ethernet Jeżeli w sieci Ethernet stosowane jest połączenie typu ring (zwane też superring), to należy je przetestować poprzez odpięcie kabla komunikacyjnego; komunikacja powinna wtedy zostać automatycznie przesunięta na połączenie alternatywne. Ten test należy wykonać zanim zostanie uruchomione sterowanie procesem technologicznym. Zaleca się zastosowanie takich przełączników switch, które dostarczą do systemu SCADA informacje o statusie sieci Ethernet. Diagnostyka urządzeń sieciowych Ethernet ASTRAADA Net W przypadku zastosowania przełączników sieciowych z rodziny Astraada Net, diagnostykę urządzeń sieciowych można przeprowadzić na kilka sposobów. Przełączniki z rodziny Jet-Net-5010G umożliwiają diagnostykę poprzez stronę WEB, poprzez protokół SNMP jak również za pomocą protokołu Modbus TCP/IP. Najwygodniejszą metodą jest użycie gotowych narzędzi diagnostycznych obrazujących stan pracy urządzeń na bazie protokołu SNMP. Przykładem takiego oprogramowania jest pakiet Jet-View-Pro, który umożliwia śledzenie zmian w strukturze sieci (oprogramowanie licencjonowane dla liczby urządzeń sieci większej niż 16). Dodatkowe skonfigurowanie mechanizmu pułapek (Traps) pozwala na bardzo szybkie uzyskanie informacji o występujących zmianach w konfiguracji urządzeń a przez to szybkie usuniecie ewentualnej awarii. Generowane przez przełączniki zdarzenia przesyłane są na serwer SNMP (komputer z oprogramowaniem Jet-View-Pro) i na nim prezentowane. Wśród możliwych zdarzeń, które mogą być śledzone są m.in. odłączenie / podłączenie kabla do przełącznika, zmiana blokowanego połączenia (zmian RING Master), awaria jednego ze źródeł zasilania, restart urządzenia. Informator Techniczny Strona 16 z 36

Synchronizowanie danych wejściowych dla algorytmu Stan wyjść generowanych przez program zależy od realizowanej logiki oraz zmiennych wejściowych dla tej logiki. Aby wyjścia sterowane przez jednostki nadrzędne miały te same wartości, obie jednostki muszą mieć wgrany ten sam program i muszą mieć te same wartości wejściowe oraz pośrednie. Z tego względu należy pamiętać o zsynchronizowaniu wszystkich danych dla programu technologicznego, w tym bloków funkcyjnych, procedur. Synchronizowane powinny być też wszelkie dane wejściowe nastawy i wartości zadane z systemu SCADA oraz wartości robocze (np. regulatorów, liczników, timerów). Niedopełnienie powyższego wymogu może skutkować generowaniem innego stanu wyjść przez jednostkę rezerwową niż przez jednostkę aktywną. W efekcie, operator nie będzie mógł załączyć pewnych procesów lub, co gorsza, nie będzie mógł ich zatrzymać. Efekt ten występuje np. w przypadku, gdy węzeł I/O, ze względu na problemy z komunikacją z jednostką aktywną, przełączy się na komunikację z jednostką rezerwową (domyślnie, w układzie HA przełączenie węzła na komunikację z drugą jednostką nie powoduje ich zamiany ról aktywna-rezerwowa). Poprawne podłączenie kabli Ethernet do modułów komunikacyjnych ETM001 w węźle I/O Należy uważać, aby nie doszło do omyłkowego skrzyżowania kabli komunikacyjnych Ethernet do węzła NIU (tzn. zamiany magistrali A z B). Skrzyżowanie kabli prowadzi do utraty komunikacji z tym węzłem, ponieważ przy definicji ramek EGD zostało jasno określone, przez które moduły ETM001 w tym węźle mają być wysyłane/odbierane konkretne ramki EG poprzez daną magistralę. Informator Techniczny Strona 17 z 36

Odpowiedni rozmiar ramek EGD Definiując ramki EGD należy uwzględnić: dane odczytane z modułów wejściowych, dane kierowane do modułów wyjściowych, ewentualne dane statusowe i diagnostyczne modułów wejść/wyjść i komunikacyjnych, opcjonalne inne dane statusowe i diagnostyczne (np. stan zasilaczy). Wzorzec dostarczony przez producenta na konfigurację układu HA uwzględnia wysyłanie dość dużej liczby informacji do modułów (sumarycznie 2048 bitów i 512 rejestrów 16-bitowych), natomiast pozwala na odczyt 200 bitów oraz 128 rejestrów 16-bitowych z pojedynczego węzła. W sytuacji, gdyby ilość ta była niewystarczająca, należy ten obszar poszerzyć, zgodnie z punktem: Poszerzanie obszaru danych odczytywanych z węzła I/O. Zachowanie się węzła I/O w przypadku odcięcia go od jednostek nadrzędnych Należy przemyśleć zachowanie węzłów I/O, w przypadku utraty komunikacji NIU z obiema jednostkami nadrzędnymi jednocześnie. Jeżeli skonfigurowano węzeł w taki sposób, że zostaną wtedy wyłączone wyjścia, to należy zastanowić się, czy będzie to bezpieczne dla procesu; np. czy to nie spowoduje zamknięcia zaworów i w konsekwencji wzrostu ciśnienia. Należy pamiętać, że w jednostce NIU001 można utworzyć lokalny program, który uwzględniałby taki przypadek i podejmowałby podtrzymanie pewnych procesów, czuwałby nad nieprzekroczeniem dopuszczalnych parametrów, itp. Lokalna diagnostyka węzła (NIU) wykrywa fakt utraty komunikacji; informacja ta może zostać użyta do uruchomienia lokalnej logiki, realizowanej przez węzeł. Detekcja, przez którą jednostkę nadrzędną aktualnie jest sterowany węzeł I/O Za pomocą pierwszego słowa statusowego, otrzymywanego z węzła I/O do jednostek nadrzędnych, w ramach 10 słów statusowych, można sprawdzić, która jednostka nadrzędna aktualnie steruje wyjściami w węźle. Słowa statusowe wysyłane są z węzła I/O do obu jednostek nadrzędnych. W poniższym przykładzie jest to zmienna symboliczna tablicowa o nazwie StatusWords_LANA_ENIU_01. Należy śledzić element zerowy tej tablicy: Elementy zmiennej tablicowej oraz bity w rejestrach numerowane są od zera włącznie. Informator Techniczny Strona 18 z 36

Znaczenie bitów w tym rejestrze jest następujące: Należy sprawdzić bity Primary in Control oraz Secondary in Control. Właściwa komunikacja oprogramowania SCADA z układem HA Dane technologiczne można odczytywać z dowolnej jednostki nadrzędnej CRU320, ale ich zapisywanie ma tylko sens do jednostki aktywnej. Jednostka aktywna bowiem i tak nadpisuje dane w jednostce rezerwowej. Dlatego, jeżeli chodzi o dane technologiczne, to system SCADA powinien komunikować się z jednostką aktywną. W przeciwnym razie może dojść do sytuacji, w której system HA nie będzie reagował na polecenia operatora z poziomu SCADA, ponieważ będą one nadpisywane informacjami z jednostki nadrzędnej. W związku z powyższym, producent systemu wysokiej dostępności HA przewidział mechanizm do komunikacji, ułatwiający ze strony SCADA konfigurowanie połączenia komunikacyjnego. Mechanizm ten nosi nazwę Redundant IP Address i działa w oparciu o komunikację za pomocą adresu redundantnego, który ma tą właściwość, że jest taki sam dla obu jednostek nadrzędnych i uaktywnia się tylko w jednostce aktywnej. Z punktu widzenia systemu SCADA można się posługiwać tylko tym adresem do przesyłania danych technologicznych. Poza danymi technologicznymi, odczytuje się też niewielką liczbę danych indywidualnych z poszczególnych jednostek; są to głównie ich dane statusowe - w tym celu korzysta się z adresów unikalnych dla jednostek nadrzędnych. W przypadku rezygnacji z mechanizmu do komunikacji za pomocą adresu redundantnego, należy samodzielnie oprogramować system SCADA pod kątem prawidłowej komunikacji z układem wysokiej dostępności HA. Okno do definiowania adresu redundantnego: Informator Techniczny Strona 19 z 36

Kontrola sprawności łącza do synchronizacji Sprawdzenie za pomocą diod kontrolnych na modułach RMX128 Moduły RMX128 umożliwiają wizualną kontrolę sprawności łącza do synchronizacji przy pomocy diod LINK OK, SIG DETECT i OWN DATA. Informator Techniczny Strona 20 z 36

Sprawdzenie za pomocą styków FAULT Przypisując dla styku FAULT miejsce zainstalowania modułu RMX128 (np. #SLOT_0004 dla gniazda 4), można śledzić poprawną pracę modułu, włącznie ze sprawdzeniem sprawności łącza do synchronizacji. Tą metodę można użyć do sygnalizowania statusu układu HA w środowisku SCADA. Użycie styków FAULT zakłada konieczność skasowania tablicy błędów przed uruchomieniem instalacji. Skasowanie styku FAULT wykonywane jest przez uprawnione Służby poprzez skasowanie tablicy błędów. Weryfikacja, która jednostka nadrzędna steruje procesem Sprawdzenie za pomocą diod kontrolnych na modułach RMX128 Na modułach RMX128 znajdują się diody informujące o stanie układu rezerwacji: LOCAL READY - ta jednostka jest w stanie gotowości, LOCAL ACTIVE - ta jednostka steruje procesem (jest jednostką aktywną), REMOTE READY - jednostka bliźniacza jest w stanie gotowości, REMOTE ACTIVE - jednostka bliźniacza steruje procesem (jest jednostką aktywną). Sprawdzenie za pomocą bitów statusowych Stan diod sygnalizacyjnych powielony jest na zmienne systemowe %S: Bit %S Definicja Nazwa Opis Spodziewany stan w %S35 Local Unit Ready #LOC_RDY Przyjmuje stan ON, gdy lokalna jednostka jest w trybie RUN, z aktywnymi wyjściami (RUN ENABLED). Primary ON Secondary ON %S36 Local Unit Active #LOC_ACT Przyjmuje stan ON, gdy lokalna jednostka jest jednostką aktywną. Jeżeli #LOC_ACT ma stan ON, to #REM_ACT ma stan OFF. ON/OFF OFF/ON %S37 Remote Unit Ready #REM_RDY Przyjmuje stan ON, gdy druga jednostka jest w trybie RUN, z aktywnymi wyjściami (RUN ENABLED). ON ON %S38 Remote Unit Active #REM_ACT Przyjmuje stan ON, gdy druga jednostka jest jednostką aktywną. Jeżeli #REM_ACT ma stan ON, to #LOC_ACT ma stan OFF. OFF/ON ON/OFF Tą metodę można zastosować do sygnalizowania statusu układu HA w środowisku SCADA. Informator Techniczny Strona 21 z 36

Kontrola, czy system sterowania ma jedną jednostkę aktywną W układzie wysokiej dostępności HA producent przewidział dwa łącza do synchronizacji. Uszkodzenie jednego z nich jest sygnalizowane przez mechanizmy diagnostyczne, a układ nadal pracuje w pełni poprawnie. W przypadku wystąpienia dwóch awarii jednocześnie na obu łączach do synchronizacji, nastąpi rozsynchronizowanie jednostek. W takiej sytuacji zostaną zgaszone diody LINK OK, SIG DETECT i OWN DATA, LOCAL READY, REMOTE READY, REMOTE ACTIVE i obie jednostki załączą jednocześnie diody LOCAL ACTIVE (bity systemowe %S36, #LOC_ACT). Taki stan należy wykryć i zaraportować w środowisku SCADA jako utratę synchronizacji układu HA. Sprawdzenie, czy jednostka rezerwowa znajduje się w stanie RUN, czy w STOP Zmienna systemowa %S2, oprócz wykrywania ostatniego cyklu programowego (Last Scan), może posłużyć do sprawdzenia, czy jednostka jest w trybie RUN/STOP: zmienna %S2 = 0 oznacza zatrzymanie programu (tryb STOP), zmienna %S2 = 1 oznacza uruchomiony program w jednostce (tryb RUN). Ze względu na konieczność kontroli gotowości jednostki rezerwowej, należy w środowisku SCADA sprawdzać, czy jest ona w trybie wykonywania programu (RUN). Kontrola bitów statusowych modułów komunikacyjnych ETM001 Podczas konfigurowania modułów komunikacyjnych ETM001, dla każdego modułu z osobna przypisuje się 80 bitów statusowych. Znaczenie bitów statusowych jest następujące: Bity statusowe umożliwiają kontrolę interfejsu i sieci Ethernet. Gotowość do poprawnej pracy modułu ETM001 sygnalizowana jest bitami: bit 13: LAN OK, bit 16: LAN Interface OK. Informator Techniczny Strona 22 z 36

Wyzerowanie dowolnego z tych bitów powinno zostać zaraportowane obsłudze, jako brak gotowości modułu ETM001. We wzorcu producenta bity te zostały zdefiniowane jako zmienne symboliczne. Każdy z modułów komunikacyjnych ETM001 ma swoje własne bity statusowe. Wybór trybu Hold Last State / Zero dla wyjść w węzłach, w przypadku całkowitej utraty komunikacji z jednostkami nadrzędnymi Należy wybrać odpowiedni sposób reakcji wyjść w węźle w przypadku utraty komunikacji tego węzła z jednostkami nadrzędnymi. Wyjścia dwustanowe w takiej sytuacji mogą zostać wyzerowane,(a w przypadku wyjść analogowych - ustawione na wartość minimalną), lub mogą zostać zamrożone. Wyboru dokonuje się globalnie dla wszystkich węzłów, za pomocą bitów kontrolnych w programie przygotowanym przez producenta we wzorcu. Załączenie pierwszego z tych szczebli spowoduje zamrożenie wyjść węzła w przypadku utraty komunikacji węzła z jednostkami nadrzędnymi (jest to opcja Hold Last State), Załączenie drugiego z tych szczebli spowoduje wyzerowanie wyjść węzła w przypadku utraty komunikacji węzła z jednostkami nadrzędnymi (jest to opcja Zero). Informator Techniczny Strona 23 z 36

Wybór trybu Hold Last State / Zero w jednostkach nadrzędnych dla danych otrzymanych z węzłów, w przypadku całkowitej utraty komunikacji z węzłem Należy zastanowić się nad sposobem zareagowania jednostek nadrzędnych na dane z węzłów, jakie przyjmowane są dla algorytmu, w przypadku całkowitej utraty komunikacji z węzłem (węzłami). Definicja ta odbywa się globalnie dla wszystkich węzłów za pomocą wejścia fail_mode w bloku funkcyjnym CALL_INPUT_PROCESSING: przypisanie wartości 0 oznacza wybór trybu Zero, polegającego na wyzerowaniu obszaru zmiennych wejściowych przyporządkowanych dla danego węzła w przypadku utraty komunikacji z tym węzłem, przypisanie wartości 1 oznacza wybór trybu Hold Last State, polegającego na zamrożeniu wartości zmiennych wejściowych przyporządkowanych dla danego węzła w przypadku utraty komunikacji z tym węzłem. Jeżeli jest używana pamięć Flash, to załadować do niej finalną wersję programu i konfiguracji Jeżeli jednostki centralne CRU320 zostały skonfigurowane do przechowywania i uruchamiania programu oraz konfiguracji z pamięci Flash (opcja Always Flash lub Conditional Flash), to należy ostateczną wersję programu i konfiguracji załadować do pamięci Flash. W przeciwnym razie, po najbliższym wyłączeniu i załączeniu zasilania kontrolera RX3i nastąpi pobranie z pamięci Flash nieaktualnej już wersji programu/konfiguracji. Okno do definicji sposobu przechowywania programu i konfiguracji: Informator Techniczny Strona 24 z 36

Automatyczne uruchomienie programu po załączeniu zasilania kontrolera Należy podjąć decyzję, czy jednostki centralne mają samoczynnie rozpocząć wykonywanie programu po załączeniu zasilania (tzn. wejść w tryb RUN). Konfiguracji tego parametru dokonuje się w poniższym oknie: Wprowadzenie jednostki rezerwowej w tryb RUN nie spowoduje w konsekwencji sterowania procesem za pomocą tej jednostki. Jednostka aktywna nadal będzie sterować procesem, a jednostka rezerwowa będzie w stanie gotowości do przejęcia kontroli nad procesem. Po zaprogramowaniu pamięci Flash zaleca się wykonanie testu sprawdzającego, sprawdzić, czy kontrolery RX3i rzeczywiście uruchamiają program i konfigurację zapisaną w pamięci Flash. Należy w tym celu wyłączyć i włączyć zasilanie kontrolerów. Należy uważać, aby test nie spowodował zakłócenia pracy instalacji. Optymalizacja parametrów komunikacji EGD W celu przyspieszenia komunikacji EGD należy: usunąć ramki EGD dla nieistniejących i nieplanowanych węzłów, dla danych procesowych ustawić realne czasy wymian EGD z punktu widzenia prowadzonego procesu technologicznego (jest to opisane w punkcie Dostosowanie czasów wymian EGD i timeout adekwatnych do potrzeb instalacji ), dla danych serwisowych (ramki typu SVC_Xchg_from_ENIU_01) ustawić dłuższe czasy wymian EGD niż dla danych procesowych, żeby w ten sposób uzyskać uprzywilejowanie dla przesyłania danych procesowych. Ustawienie czasu Fail Wait Time W celu zapewnienia bezproblemowego programowania układu HA na ruchu, należy odpowiednio zwiększyć czas Fail Wait Time. Czas ten zależny jest od ilości węzłów sterowanych przez układ HA oraz wielkości programu, czyli ogólnie ujmując, od czasu cyklu procesorów. Przykładowo, w układzie z siedmioma węzłami zaleca się ustawienie czasu Fail Wait Time na 200ms. Zmiana czasu Fail Wait Time pociąga za sobą konieczność zmiany czasu Watchdog Timer. Informator Techniczny Strona 25 z 36

Informator Techniczny Strona 26 z 36

Ustawienie czasu Watchdog Timer Czas ten należy ustawić, biorąc pod uwagę: czas cyklu jednostek nadrzędnych: czas Watchdog Timer powinien być dłuższy niż maksymalny czas cyklu, czas Fail Wait Time: czas Watchdog Timer powinien być dwa razy dłuższy od czasu Fail Wait Time plus 10% zapasu. Np. dla czasu Fail Wait Time równego 200ms można ustawić czas Watchdog Timer na wartość 700ms. Ustawienie czasów na komunikację We wzorcu na układ HA, na zakładce Scan w konfiguracji jednostek nadrzędnych, zostały ustawione tryby okien komunikacji Background Communication Window Mode oraz Backplane Communications Window Mode na Limited. Nie wolno zmieniać tych trybów na Complete, ponieważ wtedy komunikacja np. z systemem SCADA mogłaby trwać tak długo w jednym cyklu (skanie) kontrolera, że zakłóciłaby proces synchronizacji, co mogłoby doprowadzić do całkowitego zerwania łącza do synchronizacji i utraty gorącej rezerwacji. Okresowe przeglądy układu rezerwacji dokonywane przez Służby Utrzymania Ruchu Przeglądy okresowe oraz na żądanie winny obejmować: kontrolę synchronizacji, kontrole komunikacji z węzłami, sprawdzenie tablic błędów kontrolerów i węzłów. Informator Techniczny Strona 27 z 36

Należy przeanalizować każde niedomaganie i usunąć jego przyczynę. Zaleca się zakończenie przeglądu skasowaniem wpisów z tablic błędów; w tym celu może być użyty bit 7 z pierwszego słowa kontrolnego wysyłanego do węzłów I/O ( skasowane zostaną wtedy błędy ze wszystkich węzłów I/O). Ważniejsze błędy, jakie miały miejsce w węzłach (np. utrata komunikacji interfejsu NIU z modułem I/O) są automatycznie kopiowane z tablic błędów węzłów I/O do tablic błędów jednostek nadrzędnych. Zalecenia Obszar danych objęty synchronizacją Obecna wersja narzędzia programistycznego i systemu operacyjnego w jednostkach centralnych umożliwia zmianę (np. poszerzenie) obszaru danych objętych synchronizacją. Dla listy zmiennych referencyjnych objętych synchronizacją zaleca się określenie jej wielkości już na początku programowania systemu wysokiej dostępności HA. Nowe zmienne objęte synchronizacją mogą być również definiowane na ruchu, korzystając z właściwości Input Transfer List lub Output Transfer List. Poszerzanie obszaru danych odczytywanych z węzła I/O W przypadku, gdyby zasoby o wielkości 200 bitów i 128 rejestrów nie były wystarczające dla przesłania danych z węzła, można poszerzyć obszar danych przesyłanych z węzła. Poszerzenie należy wykonać zgodnie z wytycznymi producenta zawartymi w dokumentacji GFK-2308. Dla zachowania przejrzystości projektu, zaleca się jednakowe poszerzanie danych dla wszystkich węzłów. Cykliczne kopie podczas pisania programu/konfigurowania systemu Zaleca się wykonywanie kopii zapasowych (tzw. backupów) projektu co pewien czas. Kopie te są umożliwiają łatwe cofnięcie się do wcześniejszych, poprawnie działających, wersji projektu i zapewniają zachowanie zrealizowanej pracy w przypadku awarii komputera. Informator Techniczny Strona 28 z 36

Zmiana konfiguracji ramek EGD na ruchu Po ustawieniu opcji Run Mode Enabled na True, we właściwościach ramki EGD, można ją zmieniać i ładować do kontrolera na ruchu (zmiana dotyczy zawartości ramki oraz jej właściwości). Możliwość ładowania na ruchu dotyczy również tworzenia nowych ramek oraz usuwania istniejących ramek EGD. Planowanie pamięci jednostki centralnej i odpowiednie nazewnictwo zmiennych Przystępując do programowania, zaleca się rozplanowanie pamięci jednostki centralnej CRU320, zwracając szczególną uwagę na to, czy konkretna zmienna powinna być synchronizowana. Jeżeli programista nada zmiennym odpowiednie nazwy, to będzie można je w łatwy sposób sortować i grupowo poddawać zmianom parametrów. Przykładem mogą być zmienne dla regulatorów PID. Przyporządkowanie im nazw zaczynających się od tego samego ciągu znaków (np. REG_PID_xxx) umożliwi łatwe segregowanie i filtrowanie tych zmiennych, dzięki czemu można szybko, grupowo zmieniać ich właściwości w razie potrzeby. Listę zmiennych możną opcjonalnie przygotować w oprogramowaniu Excel, korzystając z opcji export/import lub kopiując zmienne poprzez schowek systemu operacyjnego Windows. Zaleca się grupowanie zmiennych, a szczególnie umieszczanie technologicznie podobnych zmiennych w pamięci jednostki centralnej kolejno po sobie. Należy pamiętać, że w systemie wysokiej dostępności, poza zmiennymi definiowanymi przez Programistę, występują też zmienne zdefiniowane we wzorcu przygotowanym przez producenta. Używanie przypadkowego nazewnictwa spowoduje konieczność żmudnego przeglądania listy zmiennych. Złe przygotowanie listy zmiennych będzie skutkować zużyciem długiego czasu potrzebnego na odnalezienie zmiennych. Dostosowanie czasów wymian EGD i timeout adekwatnych do potrzeb instalacji Występujące we wzorcu czasy wymian EGD są krótkie. Dla większości procesów tak krótkie czasy nie są konieczne. Aby uniknąć niepotrzebnego generowania ruchu na sieci Ethernet, zaleca się sprecyzowanie oczekiwań co do czasu reakcji systemu sterowania i ustawienie czasu produkowania ramek EGD adekwatnego do potrzeb. Z reguły ustawia się czas produkowania ramek z danymi na 100 ms. W takim przypadku czas konsumowania (200ms) będzie dwa razy dłuższy niż czas produkowania i utrata pojedynczej ramki EGD pomiędzy węzłami I/O a jednostkami nadrzędnymi nie będzie niepotrzebnie raportowana. Należy również zastanowić się, po jakim czasie braku komunikacji ma zostać zgłoszony błąd. Dla większości procesów przemysłowych akceptowalne jest ustawienie czasu timeout na wartość 500ms. Monitorowanie zmiennej systemowej %SA14 (#LOS_IOM) Zmienna systemowa o nazwie #LOS_IOM (i adresie %SA14) sygnalizuje utratę komunikacji pomiędzy jednostką centralną a dowolnym modułem wejść/wyjść (np. na skutek uszkodzenia lub wyjęcia modułu). Przypisywana jest do Informator Techniczny Strona 29 z 36

zwykłego styku. Ta zmienna nie zeruje się automatycznie w momencie usunięcia usterki i wymaga wyzerowania swojej wartości bitowej. Wyzerowanie zmiennej odbywa się też w przypadku skasowania tablicy błędów PLC lub poprzez wymianę modułu i restart zasilania kasety. Zmienna systemowa %SA15 (#LOS_SIO) Zmienna systemowa o nazwie #LOS_SIO ma adres %SA15. Sygnalizuje utratę komunikacji pomiędzy jednostką centralną a modułem komunikacyjnym ETM001 (np. na skutek uszkodzenia lub wyjęcia modułu ETM001). Przypisywana jest do zwykłego styku. Zmienna nie zeruje się automatycznie w momencie usunięcia usterki i wymaga wyzerowania swojej wartości bitowej. Wyzerowanie zmiennej odbywa się też w przypadku skasowania tablicy błędów PLC lub poprzez wymianę modułu i restart zasilania kasety. Zmienna systemowa %SA23 (#IOM_FLT) Zmienna systemowa o nazwie #IOM_FLT ma adres %SA23. Sygnalizuje raportowanie błędu circuit fault lub module fault przez dowolny moduł wejść/wyjść. Przypisywana jest do zwykłego styku. Zmienna nie zeruje się automatycznie w momencie usunięcia usterki i wymaga wyzerowania swojej wartości bitowej. Wyzerowanie zmiennej odbywa się też w przypadku skasowania tablicy błędów PLC lub restart zasilania kasety lub poprawne załadowanie konfiguracji. Zmienna systemowa #RACK_000r Zmienna systemowa o nazwie #RACK_000r nie ma adresu referencyjnego (jest zmienną symboliczną). Sygnalizuje problem, który zaistniał w określonej kasecie systemu RX3i. W miejsce r należy wpisać numer kasety, przy czym 0 oznacza kasetę podstawową, 1 oznacza kasetę rozszerzająca nr 1, itd. Zmienna przypisywana jest do styku błędu Informator Techniczny Strona 30 z 36

FAULT lub braku błędu NOFLT. Zmienna zeruje się automatycznie w momencie usunięcia usterek zaistniałych w sprawdzanej kasecie. Zmienna systemowa #SLOT_0rss, diagnostyka modułów wejść/wyjść i komunikacyjnych Zmienna systemowa o nazwie #SLOT_0rss nie ma adresu referencyjnego (jest zmienną symboliczną). Sygnalizuje problem, który zaistniał w określonym gnieździe, kasety systemu RX3i. W miejsce r należy wpisać numer kasety, przy czym 0 oznacza kasetę podstawową, 1 oznacza kasetę rozszerzająca nr 1, itd. W miejsce ss wpisuje się numer gniazda, które zamierzamy sprawdzać. Zmienna ta przypisywana jest do styku błędu FAULT lub braku błędu NOFLT. Zmienna zeruje się automatycznie w momencie usunięcia usterek zaistniałych w sprawdzanej kasecie. Przypisując do styków FAULT zmienne skojarzone z poszczególnymi gniazdami w kasecie RX3i, można śledzić poprawność pracy modułów zainstalowanych w tych gniazdach i wyświetlać graficznie stan poszczególnych modułów na wizualizacji. Diagnostyka zasilaczy w węzłach NIU. Kontrolę pracy zasilaczy uzyskuje się przez styki FAULT zaadresowane zmiennymi #SLOT_0rss (np. #SLOT_0000 dla gniazda 0, #SLOT_0001 dla gniazda 1, itp.). Przypisane zmienne mają zakodowane miejsce zainstalowania zasilaczy. W ten sposób można wykrywać np. wyłączenie zasilacza za pomocą zainstalowanego na nim przełącznika lub odcięcie zasilania do tego zasilacza np. na skutek awarii źródła zasilania. Przełączenie węzła I/O na dane otrzymywane z drugiej jednostki CMU poprzez zamianę ról jednostek We wzorcu w wersji 1.43B producent zaimplementował mechanizm do zamiany ról jednostek w przypadku, gdy: dotychczasowa jednostka, pracująca jako aktywna, utraci łączność ze wszystkim węzłami. po utracie sprawności fizycznej łącza/portu dla obu kanałów komunikacyjnych jednostki jednocześnie. Informator Techniczny Strona 31 z 36

Jeżeli oczekiwana jest zamiana ról w innych przypadkach, należy ją oprogramować we własnym zakresie, korzystając z funkcji SVCREQ#26. Logika do zamiany ról winna uwzględniać sprawdzenie, czy druga jednostka jest sprawna gotowa na przejęcie kontroli nad procesem; w przypadku braku gotowości zamiana ról nie będzie miała sensu. Zamiana ról może być implementowana np. w następujących celach: serwisowym - aby jednostka, którą zamierzamy serwisować stała się rezerwową, dla uporządkowania stanu układu HA - np. ustawienia jednostki Primary jako aktywnej, a Secondary jako rezerwowej, w przypadku wykrycia niesprawności w układzie i dla ustanowienia aktywną tej jednostki, która jest w pełni sprawna. Do samoczynnej zamiany ról jednostek dochodzi w przypadku wykrycia niezdolności sterowania przez dotychczasową jednostkę nadrzędną. Przełączenie węzła I/O na dane z drugiej jednostki nadrzędnej CRU320 za pomocą bitów kontrolnych Wpływanie na wybór kanału danych dla wyjść w węźle ma zastosowanie np. dla celów serwisowych; np. przed zdemontowaniem infrastruktury sieciowej obecnie używanego łącza przez węzeł (np. modułu komunikacyjnego ETM001). Przełączenie węzła na dane otrzymywane z drugiej jednostki, jak również z drugiego łącza tej samej jednostki, odbywa się za pomocą bitów kontrolnych wysyłanych z jednostek do węzłów. Przykładowo, w jednostce Primary producent zdefiniował rejestr kontrolny jako zmienną symboliczną o nazwie ControlWords_LAN_A. Do przełączenia węzłów na drugą jednostkę nadrzędną należy posłużyć się bitami 3, 4, 13, 14 zerowego elementu zmiennej tablicowej. Elementy zmiennej tablicowej oraz bity w rejestrach numerowane są od zera włącznie. Znaczenie bitów w rejestrze kontrolnym jest następujące: Informator Techniczny Strona 32 z 36

Przy wyborze łączakomunikacyjnego, priorytet ma decyzja podejmowana lokalnie przez logikę węzła I/O. Jeżeli stwierdzi ona, że kanał na który przełączenia zażądały nadrzędne jednostki jest niesprawny, to żądanie jednostek nadrzędnych nie zostanie zrealizowane. Kontrola temperatury w jednostkach nadrzędnych oraz węzłach I/O Jednostki centralne CRU320 oraz interfejsy NIU001 mają wbudowany mechanizm kontroli swojej temperatury. Informacja o niebezpieczeństwie przegrzania dostępna jest w postaci zmiennej systemowej #OVR_TMP (o adresie %SA8). Wartość logiczna 1 tej zmiennej sygnalizuje przekroczenie temperatury 58ºC przez jednostkę CMU lub NIU, (przy czym katalogowy zakres pracy CMU oraz NIU to 0 60ºC). Zmienna ta ostrzega więc z wyprzedzeniem dwóch stopni przed przegrzaniem CMU lub NIU. Może być wykorzystana w programie, np. do automatycznego uruchomienia Informator Techniczny Strona 33 z 36

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres