Des Systèmes Redondants Plus Économiques

Le 01/09/2013 à 14:00

L'essentiel

B&R a développé une solution de redondance entièrement basée sur du matériel standard et donc plus économique que les méthodes classiques.

La redondance est réalisée en couplant deux API à processeur Atom identiques de la gamme standard X20 de B&R. Des API standard suffisent car les fonctionnalités de redondance sont implémentées dans l'outil logiciel fourni.

Basés sur du matériel et du logiciel spécialisés, les systèmes de redondance traditionnels sont relativement coûteux. Leur utilisation est donc souvent limitée au contrôle de certains process critiques (industries chimiques et pharmaceutiques, production d'énergie électrique, etc.) et aux systèmes soumis à des environnements fortement perturbateurs (applications maritimes,ins-tallations off-shore , etc.). Les besoins de haute disponibilité, néanmoins, s'accroissent. Pour beaucoup d'industries, aujourd'hui, les arrêts d'exploitation non planifiés sont de moins en moins tolérables. Les prix sont calculés au plus juste, ce qui ne laisse guère de place pour y intégrer le coût d'un arrêt de production. Pour répondre à cette problématique, B&R Automation a développé une solution de redondance entièrement basée sur du matériel standard et donc plus économique que les solutions classiques. La haute disponibilité devient ainsi une option économiquement intéressante pour de nombreuses applications insoupçonnées, y compris pour les constructeurs de machines. Et ce d'autant plus que la solution de redondance de B&R ne requiert aucun travail d'ingénierie supplémentaire par rapport à une solution d'automatisation classique.

La solution de redondance de B&R repose sur le protocole de communication Ethernet Powerlink. Une liaison indépendante à fibre optique assure la synchronisation continue des données entre les deux API.

Dans un système d'automatisation, deux composants sont dits redondants lorsqu'ils sont identiques ou extrêmement similaires. Un système à haute disponibilité est conçu de telle sorte que la défaillance d'un composant entraîne l'activation du composant redondant qui prend alors la main dans le traitement des tâches. La probabilité de défaillance simultanée de deux composants identiques étant extrêmement faible, cette approche assure un très haut niveau de disponibilité. Le cœur, qui est aussi la partie la plus complexe d'une application d'automatisation, est l'automate programmable industriel ou API (PLC en anglais pour Programmable Logic Controller ).

Redondance d'automates avec l'API standard X20

Une défaillance de ce dernier peut donc avoir des conséquences extrêmement préjudiciables et coûteuses.B&R réalise la redondance d'automates en couplant deux API à processeur Atom identiques de sa gamme standard X20 ( voir figure 1 et figure 2 ). DesAPI standard suffisent car les fonctionnalités de redondance sont implémentées dans le logiciel.Automation Studio 4,la dernière version de l'environnement de développement de B&R, intègre en effet la redondance de manière standard. La mise en service de la redondance se limite à un paramétrage dans cet outil logiciel et à l'insertion d'un module de communication enfichable dans chaqueAPI. Il est donc très simple de passer à un système redondant à partir d'un système existant.

Modèle de redondance de Powerlink

Le modèle de redondance de Powerlink est basé sur deux (ou plus) nœuds RMN ( Redundant Managing Nodes ). Un seul de ces nœuds est actif, en tant que nœud AMN ( Active Managing Node ), tandis que les autres restent en stand-by (SMN) et se comportent comme nœuds contrôlés (CN) vis-à-vis du nœud AMN.

La seule différence entre un SMN et un CN est que le SMN surveille en permanence le réseau et les CN –en cas d'urgence, le SMN prend la main sur toutes les fonctions de l'AMN sans redémarrer. De plus, le RMN doit pouvoir demander à l'AMN d'émettre des informations sur l'état NMT des CN via le service Asynchronous Send ( ASnd).

Cette fonction est implémentée au moyen d'un système de gestion d'adresse de nœuds.

Le nœud Powerlink ID 240 est exclusivement réservé au MN ( Managing Node ), et un espace d'adresses de 241 à 251 est réservé aux RMN. En cas de dysfonctionnement de l'AMN, l'ID 240 est transféré à la volée au RMN suivant, assurant ainsi la compatibilité des CN avec tous les RMN sur le réseau. Chaque RMN doit pouvoir configurer tous les équipements du réseau, à l'exception des autres RMN.

Ce modèle de redondance autorise de nombreuses topologies.

Extrait du site: www.ethernet-powerlink.org (rubrique Technology/ Redundancy)

Pendant le fonctionnement, l'un des deux API effectue un contrôle actif, tandis que l'autre fonctionne en arrière-plan en mode stand-by . Toutes les fonctions réseaux sont surveillées en permanence, si bien que l'API de récupération, le moment venu, prend la main sur toutes les principales fonctions de l'API initial sans avoir à redémarrer. Lorsque l'API est en mode stand-by , il n'est en rien inactif. En raison de l'aptitude du réseau Powerlink à la communication directe entre esclaves, il surveille tout le trafic de données ainsi que le signal de synchronisation de l'API principal pour pouvoir répondre à une défaillance en l'espace d'un cycle réseau. De plus, les deux API s'échangent constamment des données via une liaison à fibre optique afin de rester synchronisés. Etablie à l'aide d'un module qui s'insère dans l'un des emplacements d'interface de l'API, cette liaison ultrarapide fonctionne indépendamment du bus de terrain et peut s'étendre jusqu'à une distance de 2 km. La synchronisation entre les deux API est assurée avec des temps de cycle pouvant descendre jusqu'à 100 µs sur le bus.

Le temps de basculement d'un API à l'autre est une caractéristique critique des systèmes redondants. Il correspond au laps de temps au cours duquel un système se trouve “dans le noir” lors du basculement vers l'API de récupération –et détermine donc si la transition ainsi opérée est acceptable au regard du process. En cas de défaillance, le basculement d'un API X20 à l'autre est intégralement effectué au bout de trois cycles réseaux. Si le temps de cycle de réseau s'élève à 1 ms, l'API de récupération aura donc pris le relais au bout de 3 ms ( voir figure 3 ). Pendant cette phase transitoire, le réseau conserve son état. Dans d'autres solutions, ces valeurs s'élèvent à plusieurs centaines de millisecondes,ce qui peut être préjudiciable dans des applications où cette latence aurait pour conséquence le déplacement très rapide et incontrôlé d'une pièce mécanique… Les API étant automatiquement synchronisés, les remplacements peuvent être effectués par du personnel sans formation spécifique et sans impacter la productivité. Outre les API, tout autre équipement sur le réseau peut être aussi échangé à chaud sans aucune restriction grâce aux propriétés de Powerlink.

Redondance réseau avec Powerlink

Pour le diagnostic et la programmation,l'utilisateur accède au système via une seule et unique adresse IP virtuelle ( cluster ). Il n'est donc pas nécessaire d'identifier quel API est actif et à quel moment ( voir figure 4 ). Sous Automation Studio 4, l'utilisateur déclare simplement l'API en tant qu'unité redondante et configure les paramètres de communication. Le reste est pris en charge par cet outil logiciel et par le système d'exploitation temps réel Automation Runtime sur l'automate. Comme évoqué plus haut, cette opération peut être aussi effectuée ultérieurement s'il s'agit d'ajouter la redondance à un système existant. Les variables de processus et bibliothèques peuvent être aussi définies individuellement comme redondantes ou non, avec des paramétrages différents de ceux que suggère Automation Studio 4 par défaut. En cas de mise à jour de l'application, le programme réactualisé est d'abord chargé sur l'API inactif, alors que l'autre API continue d'exécuter le programme initial.Ensuite, l'API avec le programme réactualisé prend le relais, et l'autre se met à jour automatiquement depuis l'API actif.

Dans certaines machines,les systèmes d'automatisation peuvent être soumis à de fortes vibrations. Les contraintes mécaniques s'exerçant alors sur les connexions et les câbles peuvent conduire à une rupture du réseau. Pour assurer la continuité du fonctionnement dans de tels systèmes, il peut être aussi judicieux d'appliquer la redondance au réseau. Avec Powerlink, il est possible de réaliser plusieurs types de redondance: redondance de câbles (simple ou double), redondance en anneau (simple ou double), redondance mixte (combinaison des deux technologies). La redondance de câbles ( voir figure 2 ) est nécessaire dans bon nombre d'applications d'automatisation de process ou de machines. Les câbles du réseau sont alors dédoublés, formant ainsi deux lignes de réseau auxquelles chaque nœud est connecté. Si un problème affecte un câble ou un composant réseau, le système bascule automatiquement sur la ligne qui continue de fonctionner.Avec ce type de redondance, les deux lignes peuvent emprunter deux chemins séparés, ce qui est souvent préconisé pour les systèmes de contrôle de process.

Néanmoins, sur certains types de machines et d'installations, la mise en œuvre d'une redondance de câbles est problématique. C'est le cas par exemple lorsque des composants d'automatismes sont montés sur des blocs machines reliés entre eux via des câbles hybrides (transmettant à la fois la puissance et les données). Certains constructeurs de machines choisissent ce type d'architectures pour faciliter la décentralisation des composants et réduire les coûts de câblage. Néanmoins, la redondance de câbles impliquerait alors de dédoubler les lignes de réseau dans le même câble… L'alternative à la redondance de câbles est la redondance en anneau ( voir figure 5 ). Ici, les composants Powerlink sont connectés les uns à la suite des autres sur la même ligne. Comme le dernier d'entre eux est connecté au maître, le réseau prend la forme d'un anneau. En cas de défaillance, le maître Powerlink de l'API X20 enregistre l'interruption et émet les données des deux côtés du réseau.Si l'anneau se boucle à nouveau, le maître réagit en conséquence en émettant à nouveau les données d'un seul côté du réseau. Les structures en anneau sont les plus simples à mettre en œuvre et les moins coûteuses, car elles ne nécessitent qu'un nombre limité de composants (un maître de redondance et un câble additionnel). La flexibilité de Powerlink en termes de topologie réseau permet aussi d'adjoindre à l'anneau une structure en arbre.

Les modules X20 de B&R (API, E/S, contrôleurs de bus) sont certifiés GL pour l'utilisation en zone maritime.

Il est également possible de combiner redondance d'automate et redondance réseau pour bénéficier ainsi d'une redondance totale sur l'ensemble du système d'automatisation (voir figure 2 ). Le niveau de disponibilité du système est alors maximal. Pour ses clients ayant des besoins de haute disponibilité, B&R fournit souvent des solutions combinant redondance des API X20 et redondance de câbles ou en anneau. Dans toutes ces architectures, chaque ligne de réseau doit être connectée à chaque automate pour assurer la continuité des données, quelle que soit la défaillance susceptible de se produire sur le système. De plus, tout réseau Powerlink redondant peut aussi comporter des composants d'entraînements.

Il est à noter aussi que le réseau Powerlink est le seul Ethernet industriel incluant nativement la redondance de maître et d'esclave dans ses spécifications ( voir encadré ). Tout esclave non B&R supportant Powerlink peut donc être directement intégré aux systèmes redondants évoqués plus haut.

La haute disponibilité n'est qu'une des composantes contribuant à la protection et à la fiabilité des systèmes de contrôle. Bien souvent, il est aussi nécessaire de coupler ce type de solutions à d'autres mesures préventive, comme l'utilisation de composants offrant des garanties maximales en termes de robustesse (résistance aux vibrations et à la salinité, par exemple). La gamme X20 de B&R, API inclus, est ainsi certifiée GL pour les applications maritimes et soumise à des tests complets de résistance dans des chambres Halt (Highly Accelerated Life Testing ).