控制系統(tǒng)冗余的攻擊網(wǎng)格電源可靠性問(wèn)題

美國(guó)的停電越來(lái)越頻繁。一個(gè)研究小組指出，從 2011 年到 2021 年，美國(guó)經(jīng)歷的停電次數(shù)比過(guò)去十年（2000-2010 年）多了 64%。這種增長(zhǎng)在很大程度上歸因于更頻繁和更嚴(yán)重的天氣事件。

導(dǎo)致問(wèn)題的其他因素是，美國(guó)電網(wǎng)的很大一部分是幾十年前建造的，而且它正在老化，使其更容易出現(xiàn)故障，而且需求增加。不斷增長(zhǎng)的人口、車輛和建筑物的電氣化以及人工智能 （AI） 的能源需求給電網(wǎng)帶來(lái)了更大的壓力，增加了停電的可能性。

最后，從大型集中式發(fā)電廠轉(zhuǎn)向多樣化、分布式且通常不太可預(yù)測(cè)的能源的嘗試引發(fā)了電網(wǎng)及其支持系統(tǒng)的尚未完全重建。目前尚不清楚這最終將如何解決。

所有這些都對(duì)流程型行業(yè)來(lái)說(shuō)是個(gè)壞消息，在這些行業(yè)中，停機(jī)可能導(dǎo)致重大中斷，包括生產(chǎn)線停止、材料損失、供應(yīng)鏈中斷和潛在的安全隱患。這些可能導(dǎo)致經(jīng)濟(jì)損失、設(shè)備損壞，甚至對(duì)員工安全構(gòu)成風(fēng)險(xiǎn)。

減輕工業(yè)過(guò)程控制系統(tǒng)中計(jì)劃外停電的影響對(duì)于維護(hù)安全、產(chǎn)品質(zhì)量和系統(tǒng)完整性至關(guān)重要。

工程師可以采取哪些措施來(lái)幫助減輕停電影響？

許多因素都有助于彈性。減輕計(jì)劃外停電影響的精心設(shè)計(jì)的策略可能包括數(shù)據(jù)保留策略、自動(dòng)恢復(fù)和故障轉(zhuǎn)移規(guī)劃，當(dāng)然，除了發(fā)電機(jī)或電池等電源保護(hù)之外。

最有效的方法之一是實(shí)施工業(yè)自動(dòng)化系統(tǒng)冗余。它也可能是在硬件或電源故障期間保持系統(tǒng)可用性的最昂貴的方法，因此采用經(jīng)過(guò)深思熟慮的方法非常重要。

通過(guò)提供到備用控制系統(tǒng)的無(wú)縫故障轉(zhuǎn)移，不應(yīng)損失過(guò)程控制或作員可見(jiàn)性。但是，這需要投資冗余可編程邏輯控制器 （PLC） 或可編程自動(dòng)化控制器 （PAC），和/或?qū)嵤┚哂?a class="contentlabel" href="http://2s4d.com/news/listbylabel/label/冗余">冗余電源和現(xiàn)場(chǎng) I/O 模塊的熱備用控制器。為了更好地衡量，請(qǐng)采用雙以太網(wǎng)環(huán)。[這可能超出了大多數(shù)作的能力范圍，但對(duì)于高附加值產(chǎn)品和/或特別苛刻的設(shè)置和重啟要求來(lái)說(shuō)，這可能是有意義的。

PLC 冗余的途徑有哪些？

要使具有 PLC 的工藝系統(tǒng)冗余，您不必總是完全復(fù)制硬件，但硬件復(fù)制是最直接和可靠的方法?？梢圆捎萌N主要方法在 PLC 系統(tǒng)中實(shí)現(xiàn)冗余，具體取決于您愿意實(shí)施的可靠性、成本和復(fù)雜性級(jí)別：

1. 完全硬件冗余（也稱為熱備用或同步冗余）

這涉及部署兩個(gè)并行運(yùn)行的相同 PLC（相同品牌、型號(hào)、固件）。一個(gè)是主數(shù)據(jù)庫(kù)，另一個(gè)是熱備用數(shù)據(jù)庫(kù)。完全硬件冗余的主要功能是內(nèi)存和 I/O 的實(shí)時(shí)同步，以及在主服務(wù)器發(fā)生故障時(shí)自動(dòng)切換。該安排通常還包括冗余電源、網(wǎng)絡(luò)接口和 I/O 模塊。

• 優(yōu)點(diǎn)：

• 高可用性和快速故障轉(zhuǎn)移

• 最大限度地減少流程中斷

• 缺點(diǎn)：

• 由于硬件和許可證的重復(fù)而成本高

2. 部分冗余（共享或交換資源）

這涉及僅復(fù)制控制器，而某些組件（例如 I/O 機(jī)架或人機(jī)界面）通過(guò)切換邏輯共享或連接。例如，這可以通過(guò)具有雙 PLC 和切換繼電器或軟件控制的切換邏輯的單個(gè) I/O 來(lái)實(shí)現(xiàn)。

• 優(yōu)點(diǎn)：

• 與完全復(fù)制相比節(jié)省成本

• 一些改進(jìn)的容錯(cuò)能力

• 缺點(diǎn)：

• 管理更復(fù)雜

• 更長(zhǎng)的恢復(fù)時(shí)間

• 共享點(diǎn)（如 I/O）仍可以是單點(diǎn)故障

3. 基于軟件的冗余或高級(jí)監(jiān)控冗余

這涉及在軟件中實(shí)現(xiàn)冗余邏輯，可能在監(jiān)控系統(tǒng)（如 SCADA 或 DCS）中或利用分布式計(jì)算的更高級(jí)別控制中實(shí)現(xiàn)冗余邏輯。該方法使用心跳檢查和看門(mén)狗計(jì)時(shí)器或 SCADA 或 PLC 啟動(dòng)切換的外部系統(tǒng)監(jiān)視器。

• 優(yōu)點(diǎn)：

• 靈活

• 可以利用現(xiàn)有的 IT 基礎(chǔ)架構(gòu)

• 缺點(diǎn)：

• 不太確定

• 取決于網(wǎng)絡(luò)運(yùn)行狀況和 SCADA 性能

冗余類型所需硬件切換時(shí)間可靠性成本
完整的硬件完全復(fù)制<1 秒非常高高部分冗余部分重復(fù)幾秒鐘中等中等基于軟件最小（使用 IT/SCADA）變化 （較慢）低-中低

PLC 所需的冗余級(jí)別取決于過(guò)程的關(guān)鍵程度。對(duì)于高風(fēng)險(xiǎn)應(yīng)用（例如，化工廠、發(fā)電），完全硬件冗余是首選。對(duì)于不太關(guān)鍵的系統(tǒng)或預(yù)算受限的系統(tǒng)，部分或基于軟件的冗余仍然可以提供合理的容錯(cuò)能力。

PAC 冗余的一些途徑有哪些？

在為 PAC 系統(tǒng)設(shè)計(jì)冗余時(shí)，您不必總是完全復(fù)制硬件。但是，與 PLC 一樣，冗余的級(jí)別和方法取決于系統(tǒng)的關(guān)鍵程度、性能要求和成本容忍度。PAC 提供比 PLC 更大的靈活性和集成能力，因此具有更細(xì)致的冗余策略：

1. 完全硬件冗余（控制器 + I/O）

這是指您采用兩個(gè)相同的 PAC，具有重復(fù)的 I/O、電源和通信接口。兩個(gè)控制器運(yùn)行相同的程序 — 一個(gè)是主控制器，另一個(gè)是同步備用控制器;一種在任務(wù)關(guān)鍵型系統(tǒng)（例如，水處理、制藥、電力）中受到青睞的方法。商業(yè)示例包括 Allen-Bradley ControlLogix Redundancy 和 Siemens S7-400H。

• 優(yōu)點(diǎn)：

• 快速故障轉(zhuǎn)移（亞秒級(jí)）

• 高可用性

• 缺點(diǎn)：

• 由于完全復(fù)制而造成的成本最高

2. 部分硬件冗余

這是一種具有冗余 PAC 但具有共享或多路復(fù)用 I/O 模塊的設(shè)置。它采用具有共享 I/O 機(jī)架和切換邏輯的冗余 CPU，用于選擇哪個(gè) CPU 處于活動(dòng)狀態(tài)。這在 I/O 復(fù)制成本太高或空間受限的系統(tǒng)中很常見(jiàn)。

• 優(yōu)點(diǎn)：

• 平衡成本

• 達(dá)觀

• 缺點(diǎn)：

• 共享 I/O 可以是單點(diǎn)故障

3. 網(wǎng)絡(luò)冗余 + 分布式控制

這涉及跨冗余工業(yè)以太網(wǎng)（例如 EtherNet/IP、PROFINET）或環(huán)形網(wǎng)絡(luò)（例如 MRP、HSR、PRP）的分布式 PAC。它之所以有效，是因?yàn)榭刂茩?quán)是分布式的;一次 PAC 故障不會(huì)停止系統(tǒng)范圍的功能。該方法建立在冗余網(wǎng)關(guān)、雙 NIC 和環(huán)形拓?fù)渲稀?/p>

• 優(yōu)點(diǎn)：

• 模塊化和可擴(kuò)展

• 更高的故障隔離

• 缺點(diǎn)：

• 復(fù)雜性

• 不適用于緊密回路控制冗余

4. 虛擬冗余 / PAC 虛擬化

此時(shí)，PAC 功能在工業(yè) PC 或虛擬機(jī)管理程序上通過(guò)冗余故障轉(zhuǎn)移進(jìn)行虛擬化。PAC 軟件（例如 SoftLogix、Codesys）在具有 VM 級(jí)故障轉(zhuǎn)移的虛擬環(huán)境中運(yùn)行。該方法通常應(yīng)用于 PAC 由軟件定義的現(xiàn)代混合控制系統(tǒng)中。

• 
  優(yōu)點(diǎn)：

• 靈活且可擴(kuò)展

• 輕松備份和快照

• 缺點(diǎn)：

• 取決于虛擬機(jī)管理程序/IT 基礎(chǔ)架構(gòu)的穩(wěn)定性

5. 監(jiān)控/SCADA 級(jí)冗余

在這種情況下，冗余在 SCADA 或 MES 層處理，而不是在 PAC 本身內(nèi)部處理。PAC 可能不是冗余的，但監(jiān)控系統(tǒng)可以接管控制邏輯或繞過(guò)故障重新路由。

• 優(yōu)點(diǎn)：

• 基于軟件

• 便宜

• 缺點(diǎn)：

• 響應(yīng)速度較慢

• 對(duì)于快速控制回路，風(fēng)險(xiǎn)更大。

Redundancy Method硬件復(fù)制快速故障轉(zhuǎn)移成本典型用例
完全 PAC + I/O 冗余是 （全部）是（<1 秒）高關(guān)鍵基礎(chǔ)設(shè)施、制藥部分硬件冗余僅 CPU溫和中等具有成本限制的工業(yè)系統(tǒng)網(wǎng)絡(luò)/分布式控制否（共享邏輯）溫和中等模塊化制造虛擬冗余否 （虛擬化）是的中等軟件定義的自動(dòng)化SCADA/IT 級(jí)冗余不否 （慢）低數(shù)據(jù)記錄、批處理/SCADA 覆蓋

雙以太網(wǎng)環(huán)如何幫助提高彈性？

網(wǎng)絡(luò)彈性也很重要。作為許多控制系統(tǒng)中的重要組件，為以太網(wǎng)環(huán)網(wǎng)添加冗余可能是一項(xiàng)經(jīng)濟(jì)高效的投資。要構(gòu)建雙以太網(wǎng)環(huán)，您需要?jiǎng)?chuàng)建一個(gè)冗余、容錯(cuò)的網(wǎng)絡(luò)拓?fù)洌渲袃蓚€(gè)反向旋轉(zhuǎn)的以太網(wǎng)環(huán)可在工業(yè)或關(guān)鍵系統(tǒng)中提供彈性和快速故障轉(zhuǎn)移。這在工業(yè)以太網(wǎng)、變電站自動(dòng)化和任務(wù)關(guān)鍵型基礎(chǔ)設(shè)施中很常見(jiàn)。

首先了解網(wǎng)絡(luò)的性質(zhì)及其重要要求，例如低恢復(fù)時(shí)間（通常為 <50 毫秒）、高可靠性和/或確定性通信。然后，選擇支持雙環(huán)設(shè)置的環(huán)冗余協(xié)議。

流行的實(shí)驗(yàn)方案包括：

• HSR（高可用性無(wú)縫冗余）：IEC 62439-3 標(biāo)準(zhǔn);在兩個(gè)環(huán)上發(fā)送重復(fù)的幀。

• PRP （并行冗余協(xié)議）：IEC 62439-3 標(biāo)準(zhǔn);與 HSR 一起使用或單獨(dú)使用。

• 帶環(huán)形耦合的 MSTP/RSTP：傳統(tǒng)的基于生成樹(shù)的冗余。

• MRP（媒體冗余協(xié)議）：IEC 62439-2 標(biāo)準(zhǔn);對(duì)于環(huán)形拓?fù)?，?RSTP 更高效（見(jiàn)圖）。

所示為采用 MRP（媒體冗余協(xié)議）– IEC 62439-2 的冗余以太網(wǎng)環(huán)的通用配置，這是環(huán)形拓?fù)涞倪x項(xiàng)之一。

您還需要支持以下功能的托管型工業(yè)以太網(wǎng)交換機(jī)：

• 雙環(huán)冗余

• 快速故障轉(zhuǎn)移（通常為 ≤20–50 毫秒）

• 協(xié)議支持（HSR、MRP 等）

供應(yīng)商包括 Hirschmann、Moxa、Siemens、Cisco（IE 交換機(jī)）

網(wǎng)絡(luò)設(shè)計(jì)需要?jiǎng)?chuàng)建兩個(gè)獨(dú)立的物理環(huán)，即順時(shí)針以太網(wǎng)環(huán)和逆時(shí)針以太網(wǎng)環(huán)。然后，每個(gè)設(shè)備或交換機(jī)都通過(guò)兩個(gè)端口連接到每個(gè)環(huán)（雙 NIC 或雙端換機(jī)）。

如果設(shè)備是單連接的，則可以使用冗余盒（又名 redbox）。Redbox 可以將單端口設(shè)備連接到雙冗余環(huán)，也可以將單連接節(jié)點(diǎn) （SAN） 連接到冗余網(wǎng)絡(luò)。從本質(zhì)上講，redbox 充當(dāng)沒(méi)有兩個(gè)網(wǎng)絡(luò)連接的節(jié)點(diǎn)的 “代理”，使其能夠參與冗余網(wǎng)絡(luò)，就像它具有雙連接一樣。

在 MRP 等協(xié)議中，一臺(tái)交換機(jī)充當(dāng)環(huán)管理器，用于監(jiān)控拓?fù)涓暮凸芾憝h(huán)關(guān)閉。

冗余涉及在每個(gè)交換機(jī)上配置所選協(xié)議。您可能需要根據(jù)需要指定振鈴管理器/主管，并驗(yàn)證檢測(cè)信號(hào)計(jì)時(shí)、幀復(fù)制和延遲時(shí)間等設(shè)置。

最后，測(cè)試冗余！例如，您可以模擬電纜或端口故障，以驗(yàn)證環(huán) A 和環(huán) B 之間的自動(dòng)故障轉(zhuǎn)移，然后監(jiān)控恢復(fù)時(shí)間和網(wǎng)絡(luò)連續(xù)性。

其他一些可以幫助實(shí)現(xiàn)彈性的技巧：

• 在交換機(jī)之間使用光纖實(shí)現(xiàn)長(zhǎng)距離連接。

• 為每個(gè)交換機(jī)提供單獨(dú)的電源。

• 使用 SNMP 或網(wǎng)絡(luò)管理系統(tǒng) （NMS） 進(jìn)行監(jiān)控。

• 清晰地標(biāo)記電纜和文檔拓?fù)洹?/p>

• 不要錯(cuò)過(guò)重定時(shí)器技術(shù)的潛在價(jià)值，尤其是在存在長(zhǎng)電纜的情況下。