Redundanz
Mit dem Redundanzkonzept in WinCC OA können die hohen Anforderungen von Anlagenbauern und -betreibern an die Verfügbarkeit sowie die Prozess- und Datensicherheit abgedeckt werden.
Hohe Verfügbarkeit und Ausfallsicherheit wird in der Automatisierungstechnik immer wichtiger. Schon ein kurzzeitiger Ausfall kann zu erheblichen Kosten und Sicherheitsrisiken führen. Bei Anwendungen wird Redundanz dazu genutzt, dass bei Ausfall einer Einheit eine weitere Betriebsführung ohne jede Beeinträchtigung möglich ist und somit hoher Datenverlust und damit verbundene Probleme nicht eintreten.
Die genaue Konfiguration des redundanten Rechnersystems variiert aufgrund unterschiedlicher Anforderungen. Der häufigste Fall ist aber sicher die Verdoppelung von Hard- und Software. Die Ausführung als redundantes System ist integraler Bestandteil von WinCC OA .
Die Ausfallsicherheit in einem redundanten System mit WinCC OA wird durch Hot-Standby realisiert. Hot-Standby ist eine hardwareunabhängige Lösung für hohe Verfügbarkeit. Es handelt sich um ein Sicherheitskonzept, das aus zwei miteinander verbundenen Serversystemen besteht. Beide Server sind ständig in Betrieb und unterliegen der gleichen funktionsbedingten Beanspruchung (es ist jedoch immer nur ein Server aktiv, der zweite gleicht die Daten zur Laufzeit mit der Primäreinheit ab). Bei Ausfall der aktiven Einheit erfolgt ein "fliegender Wechsel" und der bis dahin passive Server übernimmt den Führungsbetrieb. Somit ist der Zugriff auf Daten bzw. Funktionen jederzeit gewährleistet.
Für Informationen zur Redundanz zwischen zwei redundanten Serversystemen siehe Disaster Recovery System.
Redundanz in WinCC OA
Folgende Abbildung zeigt in einfacher Form eine mögliche Struktur einer Anlage, die mit einem redundanten WinCC OA System überwacht und gesteuert wird.
- Ein komplettes Serverprojekt läuft 2x auf getrennten Maschinen: Führungs- und Hot-Standby-Server (in der Abbildung Server 1 und Server 2). Der Rechner mit Führungsstatus wird auch als "aktiv", der Rechner mit Hot-Standby Funktionalität als "passiv" bezeichnet.
- Beide Server besitzen einen aktiven Prozessanschluss.
- Bei der Übernahme von Wertänderungen wählt der Standby-Server jene vom aktiven Server und verwirft jene von UIs oder Treibern.
- Damit ist sichergestellt, dass beide Maschinen ein konsistentes Prozessabbild (gleiche Zeitstempel, Daten, etc.) haben.
- Die Bedienstationen (Clients) sind immer zu beiden Servern verbunden - es werden allerdings nur Daten vom aktiven Server dargestellt.
- Im Fehlerfall erfolgt automatisch eine Umschaltung auf das andere System. Der Fehlerfall kann unterschiedlich aussehen und die Gewichtung, wie schwerwiegend der Fehler für das System ist, wird vom Benutzer parametriert (Beispiele für Fehlerfälle können sein: Ausfall eines Managers, Ausfall einer Netzwerkverbindung bei redundanten Netzwerken, Rechnerausfall, ...).
Des Weiteren gibt es zusätzlich zur Redundanz den Split-Betrieb. Im Split-Betrieb werden die redundanten Server getrennt. Ein System bleibt "aktiv", arbeitet normal weiter und versorgt die Bedienstationen. Der zweite Server kann für Tests von neuen Konfigurationen und Parametrierungen verwendet werden. Danach erfolgt eine automatische Rückführung zur Redundanz auf Basis eines beliebigen Servers (beibehalten der ursprünglichen Konfiguration oder Etablierung der neuen Konfiguration).
Folgende Aufgaben erfüllt ein redundantes WinCC OA System:
- Schnelle und störungsfreie Umschaltung im Fehlerfall
- Abgleich der dynamischen Daten zur Laufzeit
- Abgleich der historischen Daten nachdem ein Projekt komplett gestartet wurde (Recovery)
- Permanente Überwachung diverser Komponenten auf beiden Systemen (Manager, RAM-Speicher, Festplattenplatz, beliebige Datenpunkte)
- Konfigurierbare Gewichtung der Komponenten je Anwendungsfall = "Fehlerstatus"
- Interpretation des Systemstatus und Verwaltung des Aktiv/Passiv Zustands
- Automatischer (falls aktiviert) Abgleich von Dateien zwischen den Systemen, wenn sich das System vorher im Splitbetrieb befand.
Vorteile der Redundanz in WinCC OA :
- Ausfallsicherheit durch Hot-Standby
- Erhöhen der Datensicherheit durch doppelte Datenhaltung in zwei getrennten Datenbanken
- Testen neuer Konfigurationen und Parametrierungen ohne den laufenden Betrieb zu stören
- Gewähren der bestmöglichen Anlagensicherheit durch Vermeidung von Betriebsunterbrechungen
Auf den folgenden Seiten finden Sie wichtige Informationen und Details zum Anlegen eines redundanten Systems mit WinCC OA sowie Beispiele für die Parametrierung der Fehlergewichtung.