Ein System ist hochverfügbar, wenn es zum Beispiel redundant ausgelegt ist. Das bedeutet jedes Endgerät doppelt einzusetzen, redundante Leitsysteme zu verwenden, doppelte Server, doppelte Schutzgeräte, doppelte Sensoren und Aktoren und doppelte Netzwerke. Weil jede Funktion im System zweimal unabhängig voneinander verfügbar ist, sollte jeder zufällige Ausfall das Gesamtsystem nicht beeinflussen. Bedingung: Das zweite System führt seine Funktion weiterhin korrekt aus. Die komplette Systemredundanz ist jedoch die teuerste Lösung für Hochverfügbarkeit. Netzwerk-Medienredundanz ist ein Konzept, das redundante Kommunikationswege bereitstellt. Ein Kommunikationsnetzwerk wird so aufgebaut, dass es die Unterbrechung einer Kommunikationsverbindung umleiten kann. Dazu wird ein entsprechender Umschaltmechanismus auf eine zweite Verbindung verwendet, die zuvor im Stand-by-Betrieb war. Medienredundanz beschreibt Konzepte, um Ausfälle in verteilten Netzwerken, einschließlich Netzwerksmedien (zum Beispiel Kabel), Netzwerk Switches und Netzschnittstellen zu behandeln. Grundlegende Voraussetzung für jedes Ethernet-Netzwerk ist die Vermeidung von Schleifen. Zu jeder Zeit ist nur genau ein einziger Pfad zwischen Quelle und Senke der Nachrichten erlaubt. Jede Schleife hätte Datenpakete zur Folge, die für immer zirkulieren, und so das Netzwerk überschwemmen. Aus diesem Grund sind bei Ethernet alternative aktive Pfade zu einem Gerät nicht erlaubt. Für die Medienredundanz jedoch werden alternative Pfade benötigt. Um diesen Konflikt zu lösen, ist ein Redundanz-Kontrollprotokoll nötig. Ein solches Protokoll muss sicherstellen, dass es zu jedem Zeitpunkt nur einen einzigen logischen Pfad zu jedem Endgerät gibt, selbst wenn vielfache physikalische Wege verfügbar wären. Das Protokoll hat nun dafür zu sorgen, dass jederzeit nur einer der Wege aktiv ist und Daten überträgt, während alle anderen Pfade im Stand-by-Modus sein müssen. Eine Lösung, die in Ethernet-Netzen sowohl in der IT als auch in der Industrie seit vielen Jahren verwendet wird: zur Überwachung der Nachrichtenpfade, zur Detektion von Kommunikationsunterbrechungen und zur Umschaltung auf einen alternativen Weg, sobald ein Ausfall erkannt wurde. Dieses Prinzip bedingt jedoch immer eine gewisse Unterbrechungszeit in der Kommunikation. Der Grund: Zuerst muss der Ausfall entdeckt werden, danach das Netzwerk auf den alternativen Pfad umschalten, damit dann die Kommunikation wieder starten kann.Es gibt eine Reihe von Protokollen auf dem Markt, die auf diesem Prinzip beruhen, die sich aber in der Umschaltzeit und der unterstützten Topologie unterscheiden. Eines der ersten Protokolle für die Redundanz-Kontrolle war das Spanning Tree Protocol (STP). Definiert am Anfang der 90er Jahre benötigt dieses Protokoll einige zehn Sekunden für die Umschaltung, funktioniert jedoch für verschiedene Topologien einschließlich vermaschter Netze. Es hatte jedoch Beschränkungen in der Anzahl von Hops (Anzahl der Switches zwischen Sender und Empfänger). Dieses Protokoll wurde viele Jahre lang in IT und Industrieanwendungen verwendet. Vor einigen Jahren wurde STP größtenteils durch RSTP, das Rapid Spanning Tree Protocol ersetzt. Es ist eine verbesserte Version von STP und wurde durch IEEE 802.1 definiert. RSTP-Implementierungen arbeiten in verschiedenen Topologien, unterstützen eine größere Anzahl von Switches und verbessern die Umschaltzeit auf eine Größenordnung von etwa einer Sekunde. Aber auch RSTP garantiert kein deterministisches Ausfallverhalten. Die Reaktionszeiten hängen davon ab, an welcher Stelle im Netz der Ausfall geschieht, und von der Art der individuellen Implementierung. Aus diesem Grund gibt es einige Versuche, RSTP zu verbessern durch Beschränkung auf Ringtopologien und die Verwendung von festen vordefinierten Parametern. Mit diesen Optimierungen werden Umschaltzeiten in der Größenordnung von 100 Millisekunden oder darunter erreicht. Das Spanning Tree Protocol, wie der Name bereits andeutet, schafft eine Baumstruktur von Verbindungen zwischen den Ethernet Switches und blockiert alle Pfade, die nicht Teil des Baumes sind. Das ergibt genau einen einzigen aktiven Pfad zwischen jeweils zwei Endgeräten. Das Protokoll verwendet sogenannte Bridge Protocol Data Units (BPDUs), um zwischen den Switches zu kommunizieren, um eine Root Bridge als die Wurzel des Baumes zu definieren und um die bestmöglichen Pfade im Netzwerk zu bestimmen. Im Falle einer Änderung im Netzwerk wird diese über Topology Change Notification BPDUs im Netz bekannt gegeben. Darauf erfolgt eine Neuberechnung des Baums, die Aktivierung der entsprechenden Alternativpfade und damit das Wiederherstellen der Kommunikation. Wenn die Topologie auf einen Ring beschränkt ist, können deterministische und vorher bestimmbare Umschaltzeiten bei RSTP erreicht werden. Voraussetzung: Das RSTP Timing der Switches ist bekannt. Ein Protokoll, das insbesondere industrielle Anwendungen adressiert, ist das Media Redundancy Protocol MRP. Dieses Protokoll wird im Standard IEC 62439 beschrieben, dem Industriestandard für hochverfügbare Netzwerke. MRP ist exklusiv für Ringleitungsnetze definiert, garantiert aber deterministisches Umschaltverhalten. Je nach gewähltem Parameterset kann die Umschaltzeit im Fehlerfall 500, 200 oder 10 Millisekunden betragen – sogar in Netzwerken mit 50 Switches in einem Ring. Bei MRP hat einer der Knoten die Funktion eines Medienredundanz-Managers (MRM). Der MRM überwacht und kontrolliert die Ringtopologie, um auf Netzwerkfehler zu reagieren. Er sendet dazu Ethernet Frames auf einen Ringport und empfängt diese auf dem anderen Port und umgekehrt. Alle anderen Knoten im Ring haben die Rolle von Medienredundanz-Clients (MRC). Ein MRC reagiert einerseits auf erhaltene Rekonfigurations-Frames des MRM und kann andererseits Zustandsänderungen seiner Ports detektieren und weitermelden.Jeder MRP-Knoten benötigt einen Switch mit zwei an den Ring angeschlossenen Ringports. Jeder Knoten im Ring kann den Ausfall oder die Wiederherstellung eines Links zwischen zwei Geräten oder eines benachbarten Knotens erkennen. Ein völlig anderer Ansatz basiert auf Netzen mit zwei unabhängigen aktiven Pfaden zwischen zwei Geräten. Der Sender verwendet zwei unabhängige Netzschnittstellen, die beide gleichzeitig dieselben Daten aussenden. Hier muss das Redundanz-Kontrollprotokoll sicherstellen, dass der Empfänger nur das erste Datenpaket verwendet und das zweite verwirft. Darüber hinaus darf es keine zirkulierenden Frames geben. Wenn nur ein Paket empfangen wird, weiß der Empfänger, dass auf dem anderen Pfad ein Ausfall aufgetreten ist. Dieses Prinzip wird vom Parallel Redundancy Protocol (PRP) und vom High Availability Seamless Ring (HSR) verwendet. Beide sind ebenfalls im Standard IEC 62439 beschrieben. PRP verwendet zwei unabhängige Netzwerke beliebiger Topologie, während HSR auf eine Ringtopologie beschränkt ist. Der große Vorteil von PRP und HSR ist die unterbrechungsfreie Umschaltung, die jede Ausfallzeit im Falle eines Fehlers vermeidet und so die höchste Verfügbarkeit bietet. Dies natürlich nur, wenn nicht beide Netzwerke gleichzeitig Ausfälle zeigen (PRP) oder wenn nicht mehr als ein Ausfall gleichzeitig auftritt (HSR). Das PRP-Protokoll muss in den Endgeräten implementiert werden, während die Switches in den Netzwerken Standard-Switches sind und nichts von PRP wissen müssen. Ein Endgerät mit PRP-Funktion wird Double Attached Node (DAN) genannt und hat je eine Verbindung zu jedem der zwei unabhängigen Netzwerke. Diese beiden Netzwerke können entweder identische Strukturen haben oder sich in der Topologie oder Leistung unterscheiden. Ein Standardgerät mit einer einzelnen Netzschnittstelle (Single Attached Node, SAN) kann an eines der beiden Netze direkt angeschlossen werden. In diesem Fall hat das Gerät natürlich keinen redundanten Pfad im Falle eines Ausfalls verfügbar. Oder ein SAN kann an eine sogenannte Redundancy-Box angeschlossen werden, welche ein oder mehrere SANs an beide Netzwerke anschließt. SANs brauchen nichts von PRP zu wissen, sie können Standardgeräte sein. In vielen Anwendungen brauchen nur kritische Geräte eine doppelte Netzwerkschnittstelle, während weniger kritische Geräte als SAN – mit oder ohne den Gebrauch einer Redundancy-Box – angeschlossen werden. Eine DAN-Implementierung muss die Redundanz steuern und muss Duplikate behandeln. Wenn ein zu sendendes Paket von den oberen Schichten erhalten wird, sendet die PRP-Einheit diesen Frame gleichzeitig über beide Ports auf das Netzwerk. Die beiden Frames durchlaufen die zwei unabhängigen Netzwerke normalerweise mit verschiedenen Verzögerungen bis zum Empfänger. Am Bestimmungsort leitet die PRP-Einheit das erste ankommende Paket an die oberen Schichten, also die Anwendung, weiter und verwirft das zweite Paket. Die Schnittstelle zur Anwendung ist damit völlig identisch wie jede andere Netzwerk-Schnittstelle auch.Die Redundancy-Box implementiert das PRP-Protokoll für alle angeschlossenen SANs und arbeitet damit als eine Art von Redundanz-Proxy für jede Art von Standard-Geräten. HSR ist eine spezielle Variante von PRP. HSR ist auf Ringtopologien beschränkt und verwendet Double Attached Nodes (DANs), die in Ringtopologie miteinander verbunden sind, ohne dedizierte Ethernet Switches zu verwenden. Im Vergleich zu anderen Lösungen wird die verfügbare Bandbreite im Netz dabei halbiert, da jedes Datenpaket zweifach über den Ring gesendet wird. Knoten innerhalb des Rings müssen HSR-fähige Endgeräte sein. Ein HSR-Knoten, der ein Paket vom Ring erhält, wird dieses zum anderen Ringport schicken und das Paket in Abhängigkeit von seinen Filterregeln an seine höheren Schichten kopieren. Nachdem der Rahmen den gesamten Ring durchlaufen hat, muss der Sender das Paket wieder vom Ring entfernen, um den Umlauf von Paketen zu vermeiden. Standard-Ethernet-Knoten (SANs) können nicht direkt in den Ring geschaltet werden, sondern benötigen eine Redundancy-Box. In der Stationsautomatisierung wird heute RSTP und teilweise MRP als Redundanz-Kontrollprotokoll verwendet. Die zukünftige IEC 61850 Edition 2 wird empfehlen, einen optimierten RSTP für Stationsbusanwendungen zu verwenden, sofern Umschaltzeiten in der Größenordnung von 100 Millisekunden tolerierbar sind. In Prozessbus-Anwendungen, wo die Kommunikation von GOOSE-Nachrichten oder Sampled Values zu Schutzzwecken notwendig ist, werden PRP oder HSR die Protokolle der Wahl sein. Während PRP bereits in einigen Anwendungen im Gebrauch ist, wird HSR zurzeit erst definiert. Die ersten Implementierungen werden innerhalb der nächsten zwölf Monate erwartet.☐
• more@click-Code: AD7095850
