Un système de redondance d'UC a pour vocation de se tenir prêt à effectuer un basculement en cas de besoin. Une telle opération consiste à transférer instantanément le contrôle du réseau du PAC primaire au PAC redondant. Le transfert doit être rapide et transparent.
Le système de redondance d'UC M580 contrôle en permanence les opérations en cours du système et détermine si une condition nécessite un basculement. Lors de chaque scrutation, les PAC primaire et redondant vérifient tous deux la validité du système.
Le PAC primaire vérifie la validité des éléments suivants :
Le PAC redondant vérifie les éléments suivants :
-
l'état du PAC primaire ;
-
l'identité des modules des racks primaire et redondant ;
-
les versions des applications en cours d'exécution sur les UC primaire et redondante ;
-
les versions des firmwares des UC primaire et redondante ;
-
l'état de la liaison de redondance d'UC entre les UC primaire et redondante.
NOTE : Le PAC primaire et le PAC redondant tiennent tous les deux des historiques des événements indépendants. En cas de basculement, les événements consignés dans l'historique de l'ancien PAC primaire ne figurent pas dans celui du nouveau (anciennement PAC redondant).
Chacun des événements suivants provoque un basculement :
-
-
Le PAC primaire a détecté une erreur système ou matérielle irrécupérable.
-
Le PAC primaire a reçu une commande STOP émise par Control Expert ou le DDDT.
-
Une application est en cours de transfert sur l'UC primaire.
-
Le PAC primaire est hors tension, un cycle de puissance est en cours.
-
Les événements suivants se produisent simultanément :
-
La communication est perdue entre le PAC primaire et toutes les stations RIO.
-
La liaison de redondance d'UC est valide.
-
La communication est maintenue entre le PAC redondant et au moins une station RIO.
Similaire à un basculement, la permutation est une commande gérée qui transfère le contrôle du réseau du PAC primaire vers le PAC redondant. Une permutation peut être effectuée de plusieurs manières :
-
Exécution de la commande CMD_SWAP du DDDT par la logique du programme ou par la commande Force d'une table d'animation.
-
Sélection manuelle du bouton de basculement HSBY dans l'onglet Tâche de la fenêtre Animation de la CPU dans Control Expert.
Evénements ne provoquant pas de basculement
Les événements suivants NE PROVOQUENT PAS de basculement :
-
Interruption simultanée de la communication avec toutes les stations RIO par les PAC primaire et redondant.
-
Interruption partielle de la communication avec les stations RIO par le PAC primaire.
-
Interruption de connexion Modbus.
-
Surcharge du trafic de diffusion générée par un homologue (par exemple, SCADA, ou un autre PAC).
-
Arrêt du fonctionnement d'un module BMENOC0301/11.
-
-
Pour un système de sécurité à redondance d'UC : lorsque le PAC primaire est partiellement (programme SAFE ou programme PROCESS) à l'état HALT, et toutes les tâches du PAC redondant sont à l'état RUN.
Durée d'exécution du basculement
Lors du fonctionnement normal des PAC primaire et redondant, le système de redondance d'UC détecte tout événement provoquant un basculement dans un délai de 15 ms.
Pour un système PAC de sécurité ou non lié à la sécurité, l'effet du basculement sur le temps de réaction de l'application est :
-
15 ms pour les E/S gérées par la tâche MAST.
-
15 ms + TTASK pour les E/S gérées par la tâche FAST ou SAFE, où TTASK est la période d'exécution configurée pour cette tâche.
Une fois le basculement effectué, l'ancien PAC redondant devient le PAC primaire. Dans le pire des cas, le nouveau PAC primaire utilise les données du cycle de scrutation N, alors que les sorties ont reçu (de l'ancien PAC primaire) les données du cycle de scrutation N+1. Le nouveau PAC primaire réévalue les sorties à partir de la scrutation N+1.
L'évaluation du basculement de redondance d'UC survenant pendant la tâche MAST, l'exécution de certains programmes de la tâche FAST peut être ignorée.
Incidence du basculement sur l'affectation des adresses IP principales
Les équipements distribués utilisent le paramètre
Adresse IP principale, configuré dans l'onglet
IPConfig, pour communiquer sur un réseau Ethernet avec l'UC primaire. Lors du basculement, le paramètre
Adresse IP principale est transféré automatiquement de l'ancienne UC primaire vers l'ancienne UC redondante (désormais primaire). De la même façon, lors du basculement, le paramètre
Adresse IP principale + 1 est transféré automatiquement de l'ancienne UC redondante vers la nouvelle.
Ceci évite d'avoir à modifier les liaisons configurées entre les équipements distribués et l'UC primaire en cas de basculement.
NOTE :
-
un basculement n'a aucune incidence sur l'affectation de l'
Adresse IP A ou de l'
Adresse IP B. Le
sélecteur rotatif A/B/Effacer situé à l'arrière de l'UC seul peut effectuer ces affectations qui ne sont pas impactées par un changement d'état de redondance d'UC primaire ou redondant.
-
Lors de la connexion de Control Expert au système de redondance d'UC, utilisez Adresse IP A ou Adresse IP B pour maintenir la connexion en cas de basculement. Evitez d'utiliser le paramètre Adresse IP principale qui devient Adresse IP principale + 1 en cas de basculement et entraîne la déconnexion de Control Expert.
Incidence du basculement sur les sorties distantes
Le basculement se fait sans à-coups pour les stations RIO : l'état des sorties n'est pas affecté par le basculement. Pendant les opérations de redondance d'UC, chaque PAC conserve une connexion de propriétaire redondant indépendante avec chaque station RIO. Chaque PAC établit cette connexion par le biais de l'
Adresse IP A ou de l'
Adresse IP B, suivant le réglage du
sélecteur rotatif A/B/Effacer de l'UC. Lorsqu'un basculement se produit, le nouveau PAC primaire continue de communiquer avec les E/S a au travers de la connexion de propriétaire redondant existante.
NOTE : le basculement peut ne pas se faire sans à-coups dans le cas des sorties des équipements distribués.
Incidence du basculement sur les sorties des équipements distribués
Le comportement des sorties des équipements distribués lors d'un basculement varie selon que cet équipement prend en charge ou non le temps de rétention. Si ce n'est pas le cas, les sorties opéreront très probablement un repli lors de l'interruption de la connexion avec le PAC primaire et retrouvont leur état suite à la reconnexion au nouveau PAC primaire.
Incidence du basculement sur les modifications CCOTF
Lorsque le PAC redondant devient primaire, il utilise l'application configurée précédemment en plus du firmware. Si des modifications
CCOTF ont précédemment été apportées à l'ancien PAC primaire sans être transférées sur le PAC redondant, elles ne figurent pas dans la configuration qui s'exécute sur le nouveau PAC primaire.
Par exemple, supposons que le module d'E/S ait été ajouté à une station d'E/S distante dans la configuration qui s'exécutait sur l'ancien PAC primaire. Si la configuration modifiée n'a pas été transférée vers l'ancien PAC redondant, le module ajouté ne figure pas dans la configuration qui s'exécute sur l'ancien PAC redondant lorsqu'il devient primaire suite au basculement.
Incidence du basculement sur les modifications de la logique du programme
Il existe une différence de logique lorsque des modifications ont été apportées à l'application dans l'UC primaire, mais pas dans l'UC redondante. Si l'indicateur
LOGIC_MISMATCH_ALLOWED est défini, l'UC redondante ne peut pas continuer d'assumer ce rôle tant que la différence de logique subsiste. Dans ce cas, si un basculement se produit, la nouvelle UC primaire exécute sa propre application à l'aide des données reçues de l'ancienne UC primaire.
Les résultats obtenus varient suivant la nature de la modification subie par l'application :
|
Modification apportée à la logique de l'UC primaire initiale :
|
Incidence sur l'exécution du programme de la nouvelle UC primaire :
|
|
Seul le code est modifié (aucune modification de variables).
|
Les valeurs de toutes les variables échangées entre les contrôleurs sont inchangées (EQUAL).
|
|
De nouvelles variables ont été ajoutées.
|
Les nouvelles variables ne sont pas utilisées par la nouvelle UC primaire.
|
|
Des variables existantes ont été supprimées.
|
La nouvelle UC primaire inclut les variables supprimées dans l'exécution du programme et leur applique les valeurs les plus récentes.
|
Incidence du basculement sur la gestion du temps
Dans un système de redondance d'UC M580, l'UC primaire et l'UC redondante utilisent leurs propres temporisateurs système, qui ne sont pas synchronisés automatiquement. L'UC primaire et l'UC redondante partageant une configuration commune, elles peuvent toutes les deux être configurées pour fonctionner en tant que client ou serveur NTP.
Lorsque la fonction de client NTP est activée sur un système de redondance d'UC, l'UC primaire et l'UC redondante reçoivent indépendamment des paramètres d'heure du server NTP indiqué.
Lorsque le serveur NTP est activé dans un système de redondance d'UC, seule l'UC primaire tient le rôle de serveur.
Avant chaque scrutation, l'UC primaire transfère des données système vers l'UC redondante, y compris les valeurs d'heure système suivantes de l'UC primaire :
-
Heure
-
Compteurs d'applications
-
Compteur libre
Lors du basculement, l'UC redondante précédente (nouvelle UC primaire) applique les valeurs d'heure système envoyées par l'ancienne UC primaire. La nouvelle UC primaire continue ensuite d'exécuter l'application dans le même contexte temporel que l'ancienne. Si la fonction de serveur NTP est activée pour le système de redondance d'UC, la nouvelle UC primaire commence à tenir le rôle de serveur NTP.
Incidence du basculement sur les connexions IPsec
Lors du basculement, l'ancien module BMENOC0301/11 primaire ferme toutes les connexions qui utilisent son adresse IP principale. Elles sont rouvertes sur le nouveau module BMENOC0301/11 primaire en utilisant la nouvelle adresse IP principale après la permutation par les deux modules de leurs adresses IP principale et principale+1.
L'établissement des connexions IPsec étant relativement long, le rétablissement d'une connexion IPSEC utilisant l'adresse IP principale peut prendre jusqu'à cinq minutes.
Effet d'un basculement sur le mode de fonctionnement de sécurité
Lorsqu'un PAC de sécurité redondant M580 passe du rôle redondant au rôle de PAC primaire, le mode de fonctionnement est automatiquement défini sur le mode de sécurité.
NOTE : La configuration du mode de fonctionnement d'un PAC redondant (mode sécurité ou maintenance) n'est pas incluse dans le transfert d'une application du PAC primaire vers le PAC redondant.
Récupération d'un ancien PAC primaire
Suivant ce qui provoque le basculement, l'ancien PAC primaire peut ou non devenir le PAC redondant.
|
Si le basculement est dû à :
|
Pour que l'ancien PAC primaire devienne redondant :
|
|
Pause du PAC primaire (non lié à la sécurité)
|
Exécutez une commande INITet exécutez le PAC
|
|
Pause du PAC primaire (PAC de sécurité - tâche Process et/ou SAFE)
|
Exécutez une commande INIT (tâche Process) et/ou une commande INIT_SAFETY (tâche SAFE), et exécutez le PAC (état RUN).
|
|
Arrêt du PAC sur un PAC non lié à la sécurité, ou tâches Process et SAFE d'un PAC de sécurité.
|
Exécutez le PAC
|
|
Erreur primaire détectée
|
Exécutez une commande RESET de l'UC
|
|
Transfert d'application sur primaire
|
Effectuez le transfert et exécutez l'application
|
|
Primaire hors tension
|
Mettez le PAC sous tension
|
|
Perte de toutes les stations RIO (le cas échéant) mais la liaison HSBY est active et la CPU redondante a accès aux stations
|
Faites en sorte que le PAC récupère les stations RIO
|
|
Commande DDDT
|
L'ancien PAC primaire devient automatiquement redondant dès lors que les conditions requises sont remplies, par exemple :
-
Une différence de firmware est autorisée si elle existe.
-
Une différence de logique est autorisée si elle existe.
-
Les modifications en ligne sont autorisées si des modifications ont été effectuées.
|
|
Bouton de basculement HSBY de Control Expert
|
