试论过程控制机双机系统的FAILOVER技术夏安享夏振中(冷轧厂)(武汉测绘科技大学)摘 要通过冷轧厂五机架计算机系统改造后的过程控制计算机的双机系统实例,讨论FAILOVER 技术概念、结构和功能,及其在双机系统中的应用特点。关键词过程控制双机系统FAILOVE R技术1概述武钢冷轧厂五机架冷连轧的计算机控制系统改造后,其过程控制计算机仍采用了冗余 的双机系统,意味着过程控制机(VAX机)是采用两套独立的且又有着内在联系的硬件和软件系 统,在其上均可运行过程控制应用软件系统。当前运行的过程控制应用程序的系统称为MASTE R系统,另一个是作为STANDBY备份系统。FAILOVER技术是检测主系统错误,并自 动在备份机上起动过程控制应用系统。过程控制系统的FAILOVER技术是基于冗余的计算机 概念,见图1:图1武钢冷轧厂过程控制计算机系统配置示意图夏安享,男,教授级高级工程师2 系统错误检测2.1系统错误限定下面的错误可引起过程控制应用系统从主控系统切换到备份系统 上。(1)CPU错误。(2)DISK错误。(3)VXI错误。一般来讲,应用软件错误将不 引起一个FAILOVER切换技术,但要注意的是上面任一错误将会引起FAILOVER切换 过程,并且自动地进行,而不需要手动干预,实际切换过程仅需2~3min完成。2.2系统错 误检测在正常运行期间,过程控制系统应用软件是在主控制模式计算机上运行的,每个预定的时间 片内(亦称为“数据刷新时间”),均要把主控模式计算机的公共区关键数据和数据文件传送到备 份模式计算机。这种周期数据传送保证了备份模式计算机从不滞后主控模式计算机上实用数据的数 据刷新时间。如果一个错误发生,将采用FAILOVER技术作后盾。在主控模式机和备份模式 机上都运行了一个“看门狗”软件,它分别监控对方计算机的状态。如发现主控模式机上有一个上 述的错误,在备份模式机上的“看门狗”将起动控制应用程序,它将作如下工作。(1)停止现运 行的任何仿真过程。(2)如果必要,和一级通信的VXI软件初始化。(3)如果必要,和三级 通信的软件初始化。(4)起动所有二级过程控制系统应用过程。2.3错误检测事件和响应在自 动切换时过程控制机(二级机)的输入/输出为:输入:无。输出:通知主控模式计算机和备份模 式计算机状态的变化。过程控制级计算机内部数据流:看门狗重置从主控模式到备份模式计算机过 程及其逆过程。公共区的数据和文件从主控模式计算机传送到备份模式计算机上。如果必要,可以 选择运行一个实用程序来执行手动将应用系统从一个计算机切换到另一个计算机上。事件(EVE NTS)/响应(RESPONSES)的设计安排:E:在主控机上为备份机刷新数据的时间片 满时。R:主控机上数据备份过程是传送所有基本公共区数据和数据文件到备份机上。E:过程控 制级的主控机只要经历上面所述的一个错误。R:在备份机看门狗定时器产生时间溢出。如必要, 在备份机起动通信初始化软件。大多最新数据从主控机传送到备份机上全局公共区控制级应用软件 在备份机上起动。E:主控机问题解决后,再次投入到主控模式运行。R:数据和数据文件开始从 备份机传送到主控机的公共区。E:主控机准备再运行应用软件系统或是在机器上要求一个进程管 理的调度来运行过程控制级应用软件系统。R:系统管理员或者工程师可以运行实用程序手动地把 应用系统从一台机器切换到另台机器。当轧制过程中有中断时,或由于换辊或其它中断时,这是很 方便做到的。3FAILOVER技术正如上面提到的,FAILOVER功能是基于冗余的计算 机概念。如图1所示。1台计算机通常是在主控模式而且激活了过程控制级过程,另1台计算机通 常在备份模式而且它监控主控模式计算机,一旦主控模式计算机有上述错误,备份模式计算机自动 承担控制过程。然而有些非冗余的设备的错误会取消过程控制级的FAILOVER功能,并把两 台计算机置于IDLE模式,没有一台机器承担过程控制任务。3.1模式及其含义(1)主控模 式:VXI.ETHERNET网在运行,并且这台VAX机(MASTER)正在控制系统。( 2)备份模式:相对来说,另一台VAX机是在主控模式并(STANDBY)且正控制过程。这 台VAX机是在热备份模式,如果需要,准备承担控制。(3)空闲模式:这台VAX机即不是主 控模式、备份模式或仿真模式。(4)仿真模式:在VAX机上应用WESTNET高速公路数据 和SIMULATION原始轧机PDI数据可以模拟轧制情况,但它不控制过程。3.2FAI LOVER硬件结构过程控制系统FAILOVENR功能由两台相同VAX机通过DECNET 网的硬件和过程控制软件的联结组成的。这种组态是考虑到过程控制系统有一高的可靠性:由于每 台VAX机有它的自己的供电系统和外部设备。下面的硬件包括在每台计算机系统中。(1)1— VAX4000MODEL105ACPU有DSSI适配器和一个ETHERNET适配器以及 32MBYTE内存。(2)3—RF36集中式存储器,容量1.6GB,连到DSSI总线。 (3)1—TZ30磁带机。(4)1—4MM(DAT)盒式磁带机。(5)1—操作员控制台 。(6)1—WDPF接口站(VXI)。3.3FAILOVER软件FAILOVER包括以 下部分:(1)WATCHDOG/WATCHPUP。(2)NETBACKUP。(3)UP DMAN。以太网内部处理器通信。计算机之间内部处理器通信是由DECNET网硬件和软件提 供的。这一机制监控了每台计算机的状态,同样也提供了为刷新备份机上关键磁盘文件的路径。W ESTNETⅡ通信由独立的处理器称为VXI和WESTNETⅡ通信的提供。它控制VAX机 和WESTNETⅡ数据高速公路之间的数据交换。3.4FAILOVER功能在FAILOV ER策略中计算机是在MAS-TER、STANDBY、IDLE或SIMULATION四个 状态中的一个。正如图2所示。图2应用系统起动和计算机模式在图一的配置中,每台计算机都配 有三台集中式硬盘(1.6GB)。其中一个为系统盘,另一个为数据盘,再一个为源代码盘。如 果VAX机或VXI子系统发生故障,则一个子系统总是可用的。每个计算机都有一个专用的VX I,每个VXI站包括一个用于监控VXI连到WDPF高速公路的数据库,如VAX或VXI发 生故障则VAX/VXI子系统确认为故障。3.4.1模式启动通过采用DEC系统启动命令过 程,应用过程起动可以在引导时间内执行:DEC系统启动命令进程建立起一个基本的VMS系统 ,然后激活一个应用启动过程。这些应用启动过程包含了系统预装模式所需的逻辑进程(见图2) ,应用启动过程决定了每个VAX/VXI子系统当前的状态,并且基于现时的备件以合适的模式 启动计算机。每个系统初始模式是IDLE。IDLE模式之后的正常模式是STANDBY。如 果没有故障,计算机将从IDLE模式自动地引导到STANDBY模式。如果出现故障,计算机 将只能在清除故障后,用手动方式从I-DLE模式转入STANDBY模式。STANDBY模 式之后下一个正常模式是MASTER。如果另一台计算机不处于MASTER模式,那么系统将 自动地由STANDBY模式转入MASTER模式。IDLE或STANDBY两者中任何一个 交替模式是SIMULATION模式,这种模式仅能手动进入。3.4.2系统监控系统监控功 能是由应用启动进程激活的一个应用程序。它的主要功能是检测以下的正确操作:、(1)在DE CNET网上的CPU到CPU的通信。(2)CPU与VXI的通信。这个监控程序在启动时被 激活,周期性地运行来监控另台计算机状态。当监控程序是运行在MASTER模式中的,它将监 控并报告另一台计算机到它的计算机操作控制台的所有状态变化。若它在STANDBY模式中运 行时,则监控MAS-TER以及MASTER发生故障时它会接管。当任何一台计算机出现故障 时,它的模式将会改变为IDLE模式。3.4.3数据完整性STANDBY同步需求在线VA X机(MAS-TER模式)与后备VAX(STANDBY模式)机之间的转换是在过程控制系 统软件控制下完成的,它要求STANDBY与MASTER之间是同步操作。这一同步是由在线 机和备份机之间数据文件的周期交换达到的,这些交换过程是通过连接两台VAX系统的ETHE RNET高速公路进行的。DEC提供了硬件和软件驱动数据交换,FAILOVER应用程序负 责保证数据交换的正确和适时。数据交换基本是单向性的。在MASTERVAX机中产生的关键 数据周期性地每30秒间隔送到STANDBYVAX机中。关键数据交换包含了应用程序要求的 简单文件传送。数据交换文件类型必须是以下几种:(1)模型文件在MASTER机中模型自学 习表格做的任何改变必须反映到STANDBY机中,同时包括任何PDI数据更新。(2)全局 公用区数据由MASTERVAX机维护的内部全局公用区被周期地写到MASTER数据盘内, 这是为了MASTER可能的重新初始化,这些“全局影像”文件也传送到STANDBYVAX 机中,为此,由于系统故障SDANDBY可能接管MASTER而要初始化。(3)加工的产品 和操作文件尽管这些文件不是关键的,用于生产分析是有用的。当新的归档文件建立时,它们应该 传送到备份机中。3.4.4MASTERVAX机责任正常操作中MASTER机,执行要求的 监控功能,同时在“后台”中FAILOVER软件监控硬件和软件状态,并且用数据文件传送保持备份机同步。一个关键硬件故障的检测导致FAILOVER到备份机。一个对备份机的FAILOVER,一般起因于以下故障:(1)在线VAXCPU故障。(2)在线VXI接口故障。(3)在线DISK故障。出现以上任一区域故障,MASTER将转变为IDLE状态,并且备