Systemarchitektur

Die Funktionalität des Disaster Recovery Systems baut auf zwei WinCC OA Standardfunktionen auf. Dies sind " WinCC OA Hot-Standby-Redundanz" und die von WinCC OA unterstützen " Verteilten Systeme", welche zwischen dem PSS und dem SSS genutzt werden.

Verbindung

Alle Server des PSS und SSS sind mittels LAN oder WAN verbunden (TCP/IP Protokoll).

Normalbetrieb

Im Normalbetrieb hält das PSS System die Verbindung zu den Feldgeräten (oder Kopfrechner mit OPC UA Anschluss) und überträgt alle Werte mittels Control-Manager zum SSS.

Auf dem Bedienrechner gibt es zwei Möglichkeiten:

  • Es werden zwei WinCC OA User Interfaces gestartet. Eines hat Verbindung zum PSS und das andere zum SSS. Das UI des betriebsführenden Systems läuft im Vordergrund. Alle Panelumschaltungen von diesem UI werden automatisch auf das andere UI übertragen (dieses ist für den Benutzer nur sichtbar, wenn die Verbindung zum PSS verloren geht), sodass beide WinCC OA User Interfaces immer das gleiche Bild aufgeschaltet haben.
  • Es wird ein WinCC OA User Interface gestartet, welches die Verbindung zum PSS hält oder es wird ein WinCC OA User Interface gestartet, welches die Verbindung zum SSS hält. Die Entscheidung trifft der Benutzer nach dem Verbindungsverlust zum aktiven System. Der Benutzer erhält eine Meldung, wenn das System wieder passiv wird und dann das User Interface mit der Verbindung zum anderen System aufgeschaltet werden muss.

PSS (primäres Serversystem)

Das PSS besteht aus einem redundanten WinCC OA Projekt, in welchem diverse Treiber und Control-Managerbetrieben werden und somit die aktuellen Daten der Feldgeräte (oder z.B. Kopfrechner mit OPC UA-Anschluss) erhalten und weiterverarbeiten. Zwischen den beiden Servern innerhalb des primären Serversystems herrscht das Hot-Standby-Konzept. Nähere Informationen zur WinCC OA Redundanz finden Sie im Kapitel Grundlagen Redundanz.

SSS (sekundäres Serversystem)

Das SSS ist für die Betriebsführung im Falle eines Komplettausfalls des PSS oder Wartungsarbeiten am PSS gedacht. Es handelt sich dabei auch um ein redundantes WinCC OA Projekt, welches die gleichen Treiber und Control-Managerparametriert hat wie das PSS. Aus einfacher Sicht betrachtet, handelt es sich bei dem SSS um eine Spiegelung des PSS.

Im Normalfall hat das SSS keine Verbindung zu den Feldgeräten (Kopfrechnern) und führt auch keine Berechnungsvorgänge (außer WinCC OA interne Berechnungen wie Fehlergewichtung, Verdichtungen, usw.) durch. Dennoch sind die Prozessdaten mit einer sehr geringen Verzögerung ebenso auf diesem System verfügbar, da die Werte der Datenpunkte und der Alarmstatus kontinuierlich vom PSS mit dem Mechanismus der verteilten WinCC OA Systeme übertragen werden.

Wenn beide Rechner des PSS ausfallen, übernehmen die Server des SSS die komplette Überwachung und Steuerung des Projektes. Für den Benutzer bedeutet dies lediglich eine kurze Unterbrechung in der Bedienung der Applikation, bevor das SSS die Kontrolle übernimmt, dann die Verbindung zu den Feldgeräten (oder Kopfrechnern) aufbaut und dem Benutzer die aktuellen Werte zur Verfügung stellt.

Wenn die ausgefallenen Server des PSS den Betrieb wieder aufnehmen, sorgt das Disaster Recovery System für die umgekehrte Datenmigration. Während einer solchen Fallback-Umschaltung werden am PSS die WinCC OA Manager wieder gestartet und die Daten werden mit den aktuellen Daten des SSS synchronisiert. Zudem können im Zuge des Fallback-Vorgangs auch die historischen Daten abgeglichen werden. Dadurch wird sichergestellt, dass alle nach dem Failover aufgetretenen Änderungen auch am PSS verfügbar sind.

Abbildung 1. Ausfall des primären Serversystems

Wenn die Verbindung zwischen PSS und SSS ausfällt, werden beide Systeme aktiv geschaltet, da angenommen wird, dass das jeweils andere System ausgefallen ist. Dabei wird ein Alarm für den Verbindungsverlust des DIST-Managers ausgelöst. Es kann von beiden Systemen der Betrieb übernommen werden und beide Systeme stellen die Verbindung zu den Feldgeräten her.

Abbildung 2. Verbindungsunterbruch zwischen dem primären und sekundären Serversystem

Das Disaster Recovery System kann mit beiden Fällen umgehen. Der Daten-Abgleich nach einer Verbindungsunterbrechung zwischen PSS und SSS erfolgt beim nächsten Abgleichzyklus automatisch oder kann nach Auslösen des Abgleichalarms über die Bedienoberfläche wiederholt manuell angestoßen werden. Der Datenabgleich nach dem Verbindungsaufbau erfolgt immer vom PSS (Master) zum SSS (Slave).