18. Методы обеспечения отказоустойчивости ис.

При проектировании и реализации отказоустойчивость ИС становиться ключевым аспектом, так как в большой степени определяет характеристики надежности всей системы управления в целом.

На рисунке 1 изображена базовая архитектура полевой шины – одиночная (нерезервированная). Шина связывает контроллер К и четыре узла ввода/вывода УВВ1-УВВ4. Очевидно, что такая архитектура наименее отказоустойчива, так как обрыв шины (рис. 2), в зависимости от его локализации, ведет к потере коммуникации с одним, несколькими или всеми узлами шины. В нашем случае в результате обрыва теряется связь с двумя узлами.

Рис.1. Нерезервированная шина.

Рис.2. Нерезервированная шина. С обрывом линии.

Здесь важное значение имеет термин “единичная точка отказа” (SPOF, single point of failure). Под этим понимается место в системе, отказ компонента или обрыв связи который приводит к нарушению работы всей системы. На рисунке 2 единичная точка отказа обозначена красным крестиком.

На рисунке 3 показана конфигурация в виде дублированной полевой шины, связывающей резервированный контроллер с узлами ввода/вывода. Каждый узел ввода/вывода снабжен двумя интерфейсными модулями. Если не считать сами модули ввода/вывода, которые резервируются редко, в данной конфигурации(рис. 3, 4, 5) единичной точки отказа нет.

Рис.3. Резервированная шина.

Как видно на рисунке 4, в случае возникновения одного обрыва в работу включается резервная шина и поэтому работа ИС не нарушена.

Рис.4. Резервированная шина. Один обрыв.

В случае возникновения обрыва на резервной шине ИС выходит из строя (рис. 5).

Рис.5. Резервированная шина. Два обрыва.

Вообще, при построении отказоустойчивых АСУ ТП стараются, чтобы единичный отказ в любом компоненте (линии связи) не влиял на работу всей системы. В этом плане конфигурация в виде дублированной полевой шины является наиболее распространенным техническим решением.

На рисунке 6 показана конфигурация в виде оптоволоконного кольца. Контроллер и узлы ввода/вывода подключены к кольцу с помощью резервированных медных сегментов. Для состыковки медных сегментов сети с оптоволоконными применяются специальные конверторы среды передачи данных “медь<->оптоволокно” (OLM, Optical Link Module). Для каждого из стандартных протоколов можно выбрать соответствующий OLM.

Как и дублированная шина, оптоволоконное кольцо устойчиво к возникновению одного обрыва в любом его месте. Система такой обрыв вообще не заметит, и переключение на резервные интерфейсные и коммуникационные модули не произойдет. Более того, обрыв одного из двух медных сегментов, соединяющих узел с оптоволоконным кольцом, не приведет к потере связи с этим узлом. Однако второй обрыв кольца (рис. 7) может привести к неработоспособности системы. В общем случае два обрыва кольца в диаметрально противоположных точках ведут к потере коммуникации с половиной подключенных узлов.

- Оптоволоконный участок сети

- Медный участок сети

ОК - Оптоволоконный конвертер

Рис. 6. Одинарное оптоволоконное кольцо. Один обрыв кольца.

- Оптоволоконный участок сети

- Медный участок сети

ОК - Оптоволоконный конвертер

Рис. 7. Одинарное оптоволоконное кольцо. Два обрыва кольца.

На рисунке 8 изображена конфигурация с двойным оптическим кольцом. В случае если в результате образования двух точек обрыва первичное кольцо выходит из строя, система переключается на вторичное кольцо. Очевидно, что такая архитектура сети является наиболее отказоустойчивой.

- Оптоволоконный участок сети

- Медный участок сети

ОК - Оптоволоконный конвертер

Рис. 8. Резервированное оптоволоконное кольцо.