Der Redundanz-Status im Webbrowser zeigt den Vitalitätsstatus der Systeme und den Zustand der Netzwerke zwischen der Visualisierung und den Rechnern sowie zwischen den Rechnern selbst.

© Certec

Mit ‚Atvise‘ ab der Version 3.0 kann nun eine Redundanz zwischen zwei Servern konfiguriert werden. Hierbei gibt es einen betriebsführenden und einen nicht betriebsführenden Server. Diese kommunizieren über eine redundante Verbindung miteinander. Der ak-tive Server leitet den Betrieb und ist grundsätzlich der führende Server, über den die Anlage visualisiert wird. Der passive Server läuft parallel mit, übernimmt aktuelle Prozessdaten sowie deren Status vom aktiven Server und puffert zusätzlich Informationen von den Datenquellen, die er aber nicht ins Prozessabbild übernimmt, so lange die Anlage sich im Normalzustand befindet. Im Fall eines Fail-Overs, also dem Totalausfall des betriebsführenden Servers, gehen wiederum keine Daten verloren, da der passive Server nun auf die gepufferten Daten von den Datenquellen zurückgreifen kann.

Das Engineering Tool: Der ‚Atvise‘-Builder mit Redundanz-Status-Display bietet eine grafische Zeichenober­fläche zur Anpassung der Visualisierung sowie ent­sprechende Parametrier­möglichkeiten.

© Certec

Beim laufenden Abgleich von Änderungen im Prozessabbild zwischen den Servern werden auch Strukturänderungen übertragen. Das bedeutet zum Beispiel: Legt man im ‚Atvise‘-Builder – dem Engineering-Tool – am aktiven Server einen Datenpunkt an, wird diese Änderung synchronisiert und vom passiven Server übernommen.

Das System überwacht den ‚Gesundheitszustand‘ beider Rechner sowie all ihre Verbindungen und zeigt den Ist-Zustand über den Vitalstatus an. Die Bewertung des Vitalstatus kann im ‚Atvise‘-Builder über eine Vielzahl an Kriterien wie beispielsweise Zustand des Netzwerks, Geschwindigkeit der CPU oder Leistungsfähigkeit des Arbeitsspeichers konfiguriert und parametriert werden (zum Beispiel Grenzwerte oder Gewichtung). Möchte man nun manuell in die Redundanz eingreifen und den betriebsführenden Server wechseln, so wird ein sogenannter Switch-Over eingeleitet, der unter der Bedingung umgesetzt wird, dass beide Server den gleichen Vitalstatus besitzen. Dieser ist auch ausschlaggebend für einen Wechsel zwischen den Rechnern, denn sollte sich der Vitalitätsstatus eines Servers verschlechtern, wird ein Fail-Over eingeleitet. Umgekehrt wird wieder in den Urzustand ­gewechselt, sollte sich der Vitalitätsstatus des ursprünglich betriebsfüh-renden Rechners wieder verbessert haben. Die bösartigste Form des Fail-Over jedenfalls ist der vollständige Ausfall des betriebsführenden Servers. Wenn dieser Fall eintritt, hat sich die Investition in die Redundanz bereits amortisiert.

Betriebsmodi für alle Fälle

Die ‚Atvise‘-Redundanz unterscheidet zwischen zwei Betriebsarten: Eine gemäß dem beschriebenen Redundanzbetrieb sowie einem sogenannten Split-Betrieb. Dieser wird vom Anwender manuell eingeleitet. Während dieses Zustands besteht nahezu keine Kommunikation zwischen den Servern – außer ‚Keep-Alive‘, Status und Vorzugslage. Das heißt, es findet auch keine Synchronisation des Prozessabbilds zwischen den Servern statt. Im Moment der Trennung übernimmt der ursprünglich aktive Server den Zustand des SOP (Split Operational) und bleibt der betriebsführende Rechner, während der zuvor passive Server nun zum SNOP (Split Non-Operational) wird und keinen Einfluss hat. Im Split-Betrieb kann man den Status der Server wechseln, also SOP wird SNOP und umgekehrt.

Der Split-Betrieb dient zu Wartungszwecken an einem der Server. In dieser Betriebsart agieren beide Server eigenständig und beeinflussen sich nicht gegenseitig, da der Redundanzbetrieb aufgehoben ist. Dadurch können Sie Ihre Anlage weiterhin mit dem betriebsführenden Server betreiben, welcher noch den alten Stand der Applikation besitzt, während zum Beispiel auf dem nicht betriebsführenden Server ein Hardwaretausch oder größere Änderungen an der Applikation durchgeführt werden können. Beim Übergang in den Redundanzbetrieb, welcher auch wieder manuell eingeleitet wird, werden die beiden Rechner wieder abgeglichen und die applikatorischen Änderungen samt aktuellem Prozessabbild auf den zweiten übertragen.

Die Voraussetzungen

Um diese Redundanz erfolgreich umzusetzen, waren viele Grundvoraussetzung vonnöten: Unter anderem wurde der Kernel in Richtung ‚Threading Building Blocks‘ (Intel TBB) getrimmt, um eine skalierbare, verbesserte Nutzung der vorhandenen Ressourcen wie Prozessoren und Kerne zu erreichen. Sinn der Maßnahme ist darüber hinaus eine Steigerung der Performanz.

Als nächstes wandten sich die Entwickler der Überarbeitung des Historien-Moduls zu – ein Kernthema in Sachen Ausfallsicherheit. Denn ein verlustfreier, automatischer Abgleich der Online-/Historischen Daten im laufenden Betrieb und ebenso nach einem Switch-Over beziehungsweise einem Ausfall müssen gewährleistet sein. Das führte auch zu einer Optimierung des ‚Atvise‘-Historien-Schirms.

Anschließend gerieten die Datenquellen in den Fokus. Hier galt es, auch solche in den Griff zu bekommen, welche redundant ausgeführt sind. Zudem kann jede Datenquelle ebenfalls mit einer redundanten Netzwerk-Verbindung aus- gestattet sein. Die Kommunikation mit redundanten Datenquellen kann über OPC UA sowie über OPC Classic erfolgen. Denn bei ‚Atvise‘-Produkten ist OPC UA immer die erste Wahl und zwar seit Anbeginn. Dieses Feature steht bei ‚Atvise 3.0‘ auch im Stand-alone Betrieb zur Verfügung.

Final integrierten die Entwickler das neueste OPC UA SDK sowie ein Update der internen Libraries wie zum Beispiel QT 5 oder OpenSSL. Zudem ­unterstützt die neueste Version das ­Kommunikationsprotokoll SNMP V1/V2C inklusive der Berechnungen und Verknüpfungen von OIDs (Object ­Identifier). SNMP ist die Basis für ein Netzwerk-Management und ermöglicht das Überwachen und Steuern von Netzwerk-Elemente wie Router, Server und Switches.

Erste Anwendungen in ­Umsetzung

Inzwischen hat sich vertriebstechnisch viel bewegt: Als Certec mit der Entwicklung der Redundanz begann, war die Nachfrage groß, hier eine derartige SCADA-Lösung etwa für Infrastrukturprojekte wie Wasser/Abwasser umzusetzen. Inzwischen haben sich vielerlei Anfragen aus weiteren, unterschiedlichen industriellen Segmenten wie der Logistik, Öl und Gas, der Marine sowie Bereiche der Automobilindustrie ergeben.

„Das Interesse an der weltweit ­ersten SCADA-Lösung mit Hot-Standby-Re-dundanz in reiner Webtechnologie ist größer als erwartet“, meint hierzu Certec Geschäftsführer Leopold Matouschek. „Die ersten Anwendungen sind bereits in ­Umsetzung und werden wohl ab dem vierten Quartal in ­Betrieb ­gehen. Be­richte darüber werden folgen.“

Autor:
Ronald Düker ist Leiter Marketing/Produktmarketing bei Certec.