Устройство отказа резервирования отказа: Устройство резервирования отказа выключателя (УРОВ): принцип действия, реализация, схемы

Устройство резервирования отказа выключателя (УРОВ): принцип действия, реализация, схемы

Пример HTML-страницы

Одно из обязательных требований к релейной защите – возможность резервирования отдельных защит в случае их отказа. Для этого, в случае невыполнения отключения аварийного режима собственной защитой присоединения должна сработать другая. Эта другая защита обычно отключает участок шин подстанции, к которому подключен неисправный фидер.

Но для обеспечения селективности отключение произойдет за более длительное время, необходимое для того, чтобы дать возможность фидеру отключиться от собственных устройств. За это время короткое замыкание принесет большие разрушения, может увеличиться в масштабах.

Чтобы ускорить этот процесс, применяют один из видов противоаварийной автоматики – УРОВ. Расшифровывается это сокращение как «устройство резервирования отказа выключателя».

Даже новый и надежный выключатель, управляемый микропроцессорным устройством РЗА, не застрахован от неисправностей.

Причины сбоев могут быть не только в его механике или в приваривании контактов. В цепях отключения тоже могут возникнуть неполадки, создающие препятствия на пути команды от выходного реле до катушки отключения. Но и на этом перечень возможных неполадок не исчерпывается. Порой в отказах виновен человеческий фактор: выбор неправильного режима работы защиты, вывод ее из действия.

Интересное видео о работе УРОВ смотрите ниже:

Содержание

  1. Принцип работы УРОВ
  2. Схемы УРОВ на электромеханической базе
  3. УРОВ в составе микропроцессорных устройств

Принцип работы УРОВ

Устройство входит в состав всех современных микропроцессорных терминалов, или выполняется отдельным для электромеханических защит. Его задача: выдать сигнал в случае отказа, который направляется в схему РЗА вышестоящего фидера.

Например, при сбое в работе защиты отходящего от шин подстанции фидера сигнал УРОВ выдает команду отключения на выключатель линии, питающей секцию шин, а также секционного выключателя (при его наличии).

Следует учесть, что в цепях отключения вводных и секционных выключателей при этом собираются воедино сигналы отключения от УРОВ от всех присоединений питаемой ими секции.

Для того, чтобы сформировался сигнал УРОВ, необходимо совпадение следующих событий:

  • срабатывание основной защиты фидера;
  • продолжение аварийного процесса после формирования команды на отключение собственного выключателя, либо отсутствие сигнала о том, что выключатель отключился.

Логика действий УРОВ предельно проста: произошло короткое замыкание, вызвавшее запуск защиты, пошла команда отключения, а сигнал от трансформаторов тока о наличии КЗ не прекращается. Значит – выключатель не отключается, или его перекрыла электрическая дуга.

Непременный атрибут УРОВ – своя собственная выдержка по времени.

Отсчитывается она между моментом подачи команды на отключение от основной защиты и командой на вышестоящий выключатель. Выдержка небольшая, но необходима для того, чтобы дать возможность сработать механике, ведь любой выключатель имеет собственное время отключения.

Схемы УРОВ на электромеханической базе

Для реализации алгоритма УРОВ на базе электромеханических реле используется несколько методов.

Самый простой: от выходного реле защит запускается реле, отсчитывающее выдержку УРОВ.

В этой цепи устанавливается накладка для вывода автоматики из действия. Замкнувшиеся контакты реле времени формируют команду на отключение.

Такая схема не получила широкого распространения из-за недостаточной надежности. Слишком много факторов могут приводить к ее ложному срабатыванию.

Разумный выход из создавшегося положения – добавить в схему узел, контролирующий наличие короткого замыкания в сети. Простейший вариант – установка реле напряжения. Оно замыкает свои контакты в цепи при снижении линейного напряжения или реагирует на его прямую или обратную последовательность. Но иногда не чувствует существенных изменений при КЗ за трансформаторами.

Эффективнее работает автоматика с контролем тока присоединения.

Формирование сигнала происходит при совпадении двух факторов: срабатывании у защиты выходного реле и наличии тока через выключатель, контролируемого дополнительным токовым реле.

Для еще большего повышения надежности в цепи УРОВ включаются контакты, выводящие его из действия при оперировании ключом управления. А также вводится дополнительная цепь отключения собственного выключателя командой УРОВ, не зависимая от цепей отключения от защит.

В случае неправильных действий УРОВ это иногда позволяет избежать масштабных отключений, ограничившись ложным отключением выключателя своего присоединения.

Но влияние человеческого фактора на ложные действия УРОВ исключить трудно. Если не будет выведена накладка (разомкнута цепь отключения), то при проверке или опробовании РЗА может возникнуть ситуация, когда отключающий импульс все же сформируется.

УРОВ в составе микропроцессорных устройств

Терминалы современных релейных защит по умолчанию содержат в своем составе УРОВ. Вводить его или не вводить – это проектное решение, принимаемое для конкретного случая применения.

В настройках УРОВ терминала выбирается вся необходимая для ее работы конфигурация, включая уставки по времени и контролю тока.

Поскольку все защиты собраны в одном корпусе и связаны между собой, работа автоматики становится более надежной. Остается только одна проблема: вывод УРОВ из работы перед проверкой защиты персоналом электролабораторий необходим в обязательном порядке. При проверке уставок срабатывания и возврата любой защиты ток, соответствующий аварийному параметру, существует на входе терминала длительное время, которого с лихвой хватает на формирование сигнала УРОВ.

Поэтому вывод в ремонт и ввод в действие устройств, содержащих противоаварийную автоматику, должен производиться по заранее составленным программам.

УРОВ. Введение | Проект РЗА

Что делать, если короткое замыкание произошло, а защита или выключатель не могут его устранить? Конечно, заранее выполнять их резервирование. Про дальнее и ближнее резервирование защит мы уже говорили в этой статье.  Сегодня поговорим о способах резервирования при отказе выключателя.

УРОВ — это устройство или алгоритм, который выполняет ближнее резервирование, т.е. дополняет установленные на конкретном объекте защиты. Это может быть отдельный шкаф с электромеханическими реле, а может быть и распределенный алгоритм в нескольких микропроцессорных терминалах.

Принцип действия УРОВ состоит в следующем:

Если на защищаемом участке происходит короткое замыкание и срабатывание его защиты, но при этом выключатель по каким-то причинам это КЗ не устраняет, то УРОВ выдает команду на отключение смежных выключателей, через которые идет подпитка точки КЗ. Делается это с определенной выдержкой времени для отстройки от времени действия выключателя. Контроль отключения выключателя выполняется при помощи измерения первичного тока и фиксации положения выключателя

Таким образом, для стандартной схемы 6-10 кВ, при отказе выключателя линии, УРОВ будет действовать на ввод своей секции и СВ. Несмотря на то, что СВ в нормальном режиме отключен воздействие от УРОВ присоединений на него всегда выполняется, чтобы не вводить дополнительную логику определения режима секции

 

Для схем 110 кВ и выше, где сети обычно кольцевые, УРОВ будет действовать на все выключатели 110 кВ и на вводные выключатели 6-10 и 35 кВ, если через них возможна подпитка точки КЗ.

 

Изначально УРОВ, в виде панели с электромеханическими реле, применялось на подстанциях и станциях с РУ 220 кВ и выше. Его применение обусловлено повышенными требованиями к надежности отключение короткого замыкания за наименьший промежуток времени.

Представьте, что на линии 220 кВ, в соответствии с принципом ближнего резервирования, установлены комплекты основной (ДФЗ) и резервных защит (ДЗ, ТЗНП, ТО), и все это бесполезно из-за механической неисправности привода выключателя. Сигнал на отключение защитами выдан, но ничего не происходит, и линия продолжает «гореть».

Остается надежда только на защиты дальнего резервирования, которые установлены на противоположных концах соседних линий.

По требованию дальнего резервирования эти защиты обязаны чувствовать КЗ на смежной лини и устранять их. Но во-первых, выдержки времени в этом случае могут быть достаточно большими (особенно, если ДЗ или ТЗНП начинают чувствовать КЗ только после отключения некоторых параллельных линий). А во-вторых, дальнее резервирование удается обеспечить не всегда. К тому же при действии защит дальнего резервирования происходит отключение множества выключателей на разных подстанциях, что затрудняет работу диспетчера при локализации аварии.

В таких случая, требуется меры по усилению ближнего резервирования, т.е. установке устройства резервирования при отказе выключателя.

УРОВ принимает команду отключения выключателя от защит и если через время Туров отключения не происходит, то устройство дает команду на отключение смежных выключателей. Просто и надежно

При этом время отключения от УРОВ всегда определено как сумма времени действия собственной защиты присоединения плюс ступень селективности. К тому же УРОВ «использует» чувствительность своей защиты, которая выше, чем у защиты дальнего резервирования.

На напряжении 110 кВ и ниже УРОВ использовался реже из-за стоимости панели и отсутствия жестких требований к скорости отключения, как на сверхвысоком напряжении. Ведь панель УРОВ стоит денег и занимает место.

Однако, с развитием микропроцессорной техники функция УРОВ стала практически бесплатной. Распределенный алгоритм УРОВ стал использоваться в логике терминалов, а «снаружи» остались только шинки и ключи ввода/вывода. Сегодня УРОВ применяют на всех классах напряжения, начиная с 6 кВ.

Давайте рассмотрим, что дает УРОВ на стандартной подстанции по схеме «6-1» (одна секционированная система шин 6 кВ).

1 случай (удаленное КЗ на линии 1)

При возникновении короткого замыкания на линии 1 в зоне действия МТЗ (конец линии), защита срабатывает с выдержкой времени 0,9 с. При отказе выключателя алгоритм УРОВ отключит вводной выключатели через время Тзащ. = Тмтз + Туров = 0,9 + 0,3= 1,2 с.

Если алгоритм УРОВ отсутствует, то МТЗ ввода отключит КЗ через 1,5 с (дальнее резервирование).

Таким образом, мы получаем выигрыш 0,3 с.

Также обратите внимание, что здесь для пуска алгоритма мы используем МТЗ линии, а не ввода, что дает значительно большую чувствительность. Особенно сильна эта разница будет для секций 6 кВ с двигателями.

2 случай (близкое КЗ на линии 1)

При возникновении короткого замыкания на линии 1 в зоне действия отсечки (начало линии), защита срабатывает с выдержкой времени 0,1 с. При отказе выключателя алгоритм УРОВ отключит вводной выключатели через время Тзащ. = Тто + Туров = 0,1 + 0,3= 0,4 с.

По дальнему резервированию мы так же получим 1,5 с, т.е. теперь выигрыш уже 1,1 с.

Очевидно, что и на 6 кВ применение УРОВ дает преимущество в быстродействии и чувствительности

При всех своих плюсах УРОВ — достаточно «опасная» функция и применять ее нужно обдуманно. Следует помнить, что при срабатывании УРОВ полностью отключает участок сети с блокировкой любой автоматики восстановления питания, такой как АПВ и АВР. Это означает невозможность быстрого восстановления нормального режима и массовый недоотпуск электроэнергии (особенно если нижестоящие потребители не имеют своих АВР).

В связи с этой особенностью при пуске УРОВ, помимо контроля тока через выключатель, применяют различные способы ограничения возможности излишнего действия.

О логике и схемах УРОВ мы поговорим в следующей статье

Основы системы резервирования

— что такое резервирование системы?

Введение

Избыточность — распространенный подход к повышению надежности и доступности системы. Добавление избыточности увеличивает стоимость и сложность конструкции системы, а благодаря высокой надежности современных электрических и механических компонентов многие приложения не нуждаются в избыточности для успешной работы. Однако, если цена отказа достаточно высока, избыточность может быть привлекательным вариантом.

В этом документе представлены основные сведения о типах резервирования, которые могут быть встроены в систему, и объясняется, как рассчитать влияние резервирования на надежность системы. Контроллеры National Instruments обеспечивают гибкость для создания различных избыточных архитектур.

Модели резервирования

Несмотря на то, что существуют различные методы, методы и термины для реализации резервирования, следующие модели представляют собой наиболее распространенные модели, используемые в промышленности. Три основные модели, описанные в этой статье, Резервное резервирование, Модульное резервирование N, и Резервирование 1:N .

Резервное резервирование

Резервное резервирование, также известное как Резервное резервирование , — это когда у вас есть идентичный дополнительный блок для резервирования основного блока. Дополнительный блок обычно не контролирует систему, а используется как запасной. Резервный блок обычно не синхронизируется с основным блоком, поэтому он должен согласовывать свои входные и выходные сигналы при захвате устройства под управлением (DUC). Такой подход приводит к «удару» при передаче, что означает, что вторичный блок может отправлять управляющие сигналы на DUC, которые не синхронизированы с последними управляющими сигналами, поступившими от основного устройства.

Вам также необходимо третье лицо в качестве сторожевого таймера, который контролирует систему, чтобы решить, когда выполняется условие переключения, и дает команду системе переключить управление на резервный блок и избиратель, который является компонентом, который решает, когда переключиться и какой блок получает управление DUC. Увеличение стоимости системы для этого типа резервирования обычно составляет около 2 раз или меньше в зависимости от ваших затрат на разработку программного обеспечения. Резервирование в режиме ожидания бывает двух основных типов: Холодное резервирование и Горячий резерв.

Холодный резерв

В режиме холодного резерва вторичный блок отключается, что сохраняет его надежность. Недостаток этой схемы заключается в том, что время простоя больше, чем при горячем резерве, потому что вам нужно включить резервный блок и перевести его в режим онлайн в известное состояние. Это усложняет решение проблем с синхронизацией, но если учесть время, необходимое для включения резервного устройства, вы, как правило, столкнетесь с большим ударом при переключении.

Горячее резервирование

В горячем резервировании вспомогательное устройство включено и может дополнительно контролировать DUC. Если вы используете вторичный блок в качестве сторожевого таймера и/или избирателя для принятия решения о переключении, вы можете исключить необходимость участия третьего лица в этой работе. Эта конструкция не сохраняет надежность резервного блока, а также конструкцию холодного резерва. Однако это сокращает время простоя, что, в свою очередь, повышает доступность системы.

Некоторые разновидности Hot Standby аналогичны Dual Modular Redundancy (DMR) или Parallel Redundancy , которые рассматриваются в следующем разделе. Эти соглашения об именах обычно меняются местами. Основное различие между Hot Standby и DMR заключается в том, насколько тесно синхронизированы первичный и вторичный. DMR полностью синхронизирует основной и дополнительный блоки. Однако в некоторых источниках термин DMR широко используется для обозначения любой модели резервирования, в которой используются два устройства.

N Модульное резервирование

N Модульное резервирование, также известное как параллельное резервирование, относится к подходу, при котором несколько устройств работают параллельно. Все устройства высоко синхронизированы и получают одну и ту же входную информацию в одно и то же время. Затем их выходные значения сравниваются, и голосующий решает, какие выходные значения следует использовать. Эта модель легко обеспечивает плавное переключение.

Эта модель обычно имеет меньшее время переключения, чем модели с горячим резервированием, поэтому доступность системы очень высока, но поскольку все блоки включены и активно взаимодействуют с DUC, система подвергается большему риску возникновения общего отказа все единицы. Существуют методы, помогающие избежать этого риска, которые упоминаются далее в этом документе.

Принятие решения о том, какой юнит правильный, может быть сложной задачей, если у вас только два юнита. Иногда вам просто нужно выбрать, какой из них вы собираетесь доверять больше всего, и это может быть сложно. Если у вас более двух юнитов, проблема упрощается, обычно побеждает большинство или двое, которые согласны. В модульном резервировании N существует три основных типа: двойное модульное резервирование, тройное модульное резервирование, и четырехкратное резервирование .

Двойное модульное резервирование

Двойное модульное резервирование (DMR) использует два функционально эквивалентных блока, поэтому любой из них может управлять DUC. Наиболее сложным аспектом DMR является определение момента переключения на вторичный блок. Поскольку оба модуля наблюдают за приложением, вы должны решить, что делать, если они не согласны. Вам нужно либо создать контрольное голосование, либо просто назначить второстепенную единицу победителем по умолчанию, предполагая, что она заслуживает большего доверия, чем основная единица. Вы можете больше доверять вторичному устройству, если первичный обычно находится под контролем и если на вторичном устройстве выполняется регулярная диагностика, чтобы обеспечить его надежность, но это очень зависит от приложения.

Среднее увеличение стоимости системы DMR примерно в два раза выше, чем у системы без резервирования, с учетом стоимости дополнительного оборудования и дополнительного времени на разработку программного обеспечения.

Тройное модульное резервирование

 

Тройное модульное резервирование (TMR) использует три функционально эквивалентных модуля для обеспечения резервного резервирования. Этот подход очень распространен в аэрокосмических приложениях, где цена отказа чрезвычайно высока.

TMR более надежен, чем DMR, благодаря двум основным аспектам. Наиболее очевидная причина заключается в том, что теперь у вас есть два «резервных» устройства вместо одного. Другая причина заключается в том, что в TMR вы обычно видите применение техники, называемой платформами разнообразия или программированием разнообразия. В этом методе вы будете использовать разные программные или аппаратные платформы в своих резервных системах, чтобы предотвратить общий отказ.

Например, блоки 1 и 2 могут быть спроектированы с использованием одной аппаратной платформы, такой как CompactRIO, а блок 3 будет использовать PXI или Compact FieldPoint. Вы можете применить ту же концепцию к программному обеспечению, используя LabVIEW для двух систем и LabWindows/CVI для другой. У вас даже могут быть совершенно разные команды разработчиков, работающие отдельно над разными системами. Каждая система предназначена для решения одной и той же проблемы с использованием одних и тех же общих требований.

Избиратель решает, какое подразделение будет активно контролировать приложение. В TMR решение о том, какой системе доверять, принимается демократическим путем, и правит большинство. Если вы получите три разных ответа, избиратель должен решить, какой системе доверять, или отключить всю систему. Таким образом, решение о переключении принимается просто и быстро. Недостатком этого подхода является стоимость; TMR может повысить стоимость вашей системы как минимум в 3 раза.

Четырехкратное модульное резервирование

Четырехкратное модульное резервирование (QMR) принципиально похоже на TMR, но использует четыре модуля вместо трех для повышения надежности. Очевидным недостатком является увеличение стоимости системы в 4 раза.

1:N Избыточность

1:N — это метод проектирования, используемый при наличии одной резервной копии для нескольких систем, и эта резервная копия может функционировать вместо любой отдельной активной системы. Этот метод предлагает резервирование по гораздо более низкой цене, чем другие модели, за счет использования одного резервного блока для нескольких основных блоков.

Этот подход хорошо работает только тогда, когда все основные устройства имеют очень похожие функции, что позволяет резервному устройству резервировать любое из основных устройств в случае отказа одного из них.

Другими недостатками этого подхода являются дополнительная сложность принятия решения о том, когда переключаться, и матрицы переключения, которая может правильно и эффективно перенаправлять сигналы.

Избыточность повышает надежность

Надежность определяется как вероятность отсутствия сбоев в конкретной среде в течение определенного времени работы. Надежность — это статистическая вероятность, и нет никаких абсолютов или гарантий. Цель состоит в том, чтобы максимально увеличить шансы на успех в пределах разумного.

Следующее уравнение представляет собой уравнение вероятности, наиболее часто используемое в промышленности для расчета надежности. Это уравнение предполагает, что у вас есть постоянная частота отказов (λ).

R(t) = e -λt , где:

R(t) — вероятность успеха

t — время выполнения задачи, или время, в течение которого система должна работать без сбоя

λ — постоянная интенсивность отказов во времени ( N отказов/час)

1/λ — среднее время до отказа (MTTF)

Обычно единственным фактором, на который можно повлиять, является частота отказов (λ).   Среда определяется характером самого приложения. Обычно вы не можете изменить время миссии, если только вы не можете проводить плановое техническое обслуживание в стратегически важные моменты. Таким образом, вы можете наилучшим образом повлиять на надежность вашей системы, тщательно выбирая детали и применяя методы проектирования.

Базовая математика демонстрирует, как методы проектирования системы с резервированием могут повысить надежность вашей системы: 

R — вероятность успеха, F — вероятность неудачи. Согласно математической теории множеств, все приложения либо успешны, либо не успешны (неудача). Таким образом, сумма двух логических состояний равна единице.

Следовательно, мы можем утверждать, что:

R + F = 1       

Поскольку большинство компаний склонны отслеживать неудачи больше, чем успехи, вы можете изменить уравнение для расчета надежности:

R = 1 — F

В следующем примере используется 10-процентная вероятность отказа:

R = 1 — 0,1 = 0,90

100 должно получиться.

Чтобы использовать эту концепцию для расчета надежности резервированной системы, используйте следующее уравнение:

R = 1 — (F 1 )(F 2 )

Если системы 1 и 2 являются резервными системами , что означает, что одна система может функционально дублировать другую, тогда F 1 — вероятность отказа системы 1 и F 2 — вероятность отказа системы 2.

Если мы используем избыточность, вероятность успеха для данной системы будет 99%, или 99 из 100 должны быть успешными:

R = 1 — (0,1)(0,1) = 0,99

Другой способ расчета надежности состоит в том, чтобы взять уравнение вероятности и вместо этого решить среднее время до отказа ( MTTF ) системы:

R (T) = E -λt = E -T / MTTF

Решение для MTTF :

MTTF = -(T / LN [T)]] )

Например, если ваше приложение работало 24 часа в сутки, 7 дней в неделю, в течение одного года (24/7/365), и вы получили показатель успеха 90%:

MTTF = — (1 год / ln [0,90] ) = 9,49 года

Если вы добавите избыточность, то вероятность успеха увеличится примерно до 99 % для того же времени работы:

MTTF = — (1 год / ln [0,99]) = 99,50 лет

Эти уравнения эффективно демонстрируют значительное повышение надежности, которое резервирование может обеспечить любой системе.

Уровни избыточности

Во многих ситуациях может быть выгоднее применять избыточность только к менее надежному компоненту системы.

Следующая модель изображает систему, состоящую из трех последовательно соединенных зависимых компонентов. Если один компонент выходит из строя, вся система выходит из строя.

R 1 = Компонент 1 Надежность

R 2 = Компонент 2 Надежность

R 3 = Компонент 3 Религиозности

. Можно это можно было расчет. умножая надежность каждого из компонентов вместе взятых.

R система = (R 1 ) (R 2 ) (R 3 )

Например, если R 1 = 0,98, R 2 = 0,85 и R 3 = 0,97, то надежность системы будет: (0,85) (0,97) = 0,81

Если вы создадите резервную копию только наименее надежного компонента системы, R 2 , с избыточностью, модель теперь будет выглядеть так:

Помните, так как:

R = 1 — F

И для резервного компонента:

R = 1 — (F 1 )(F 2 )

Уравнение надежности системы теперь выглядит так: (F 2 ) (F 2 )) (R 3 )

Если вы пересказываете пример для R 1 = . 98, R 2 = .85,. R 3 = .97, надежность системы теперь:

R система = (0,98) (1 — (0,15) (0,15) ) (0,97) = 0,93

Мы повысили надежность системы на 12 процентных пунктов за счет резервирования только одного компонента.

Существует множество уровней, на которых можно реализовать эту стратегию, и она зависит от приложения. Вы должны понимать, какие компоненты, скорее всего, откажут. Это может быть датчик, кабели, устройство, шасси, источник питания или любое количество других компонентов системы.

Избыточность повышает доступность

Доступность — это процент времени, в течение которого система работает в течение определенного времени миссии.

Доступность = Время безотказной работы/(Время безотказной работы + Время простоя)

Если вы работаете круглосуточно и без выходных в течение шести месяцев и не имеете простоев, то у вас будет 100% доступность. Если у вас есть один день простоя для той же миссии, то доступность системы становится 99,4%.

Когда вы разрабатываете стратегии повышения доступности, вы должны сначала принять тот факт, что время от времени вам придется сталкиваться со сбоями. Таким образом, основное внимание при проектировании любой системы с высокой доступностью уделяется сокращению времени простоя и максимальному сокращению времени ремонта.

Без резервирования время простоя системы зависит от того, как быстро вы сможете:

1.      Обнаружить сбой.

2.      Диагностика проблемы.

3.      Отремонтируйте или замените неисправную часть системы.

4.      Верните систему в полностью рабочее состояние.

В случае аппаратных сбоев лучшим решением является замена неисправного компонента или системы. В зависимости от доступности и наличия запасных частей замена может занять от нескольких минут до нескольких дней. Если вы столкнулись с программным сбоем, вам может понадобиться только перезагрузить систему, чтобы временно восстановить ее. Однако перезагрузка может занять от нескольких секунд до нескольких часов, в зависимости от сложности системы.

При резервировании время простоя системы зависит от того, насколько быстро вы сможете обнаружить сбой и переключиться на резервный модуль. Это легко менее одной секунды, и многие системы могут достигать времени простоя менее миллисекунды. Таким образом, резервирование может повысить доступность вашей системы на несколько порядков.

Например, рассмотрим систему, которая должна работать круглосуточно и без выходных в течение одного года. Если во время миссии он простоит один час, доступность составит 99,9 % (или 3 девятки в доступности.) Если вы используете избыточность и время простоя составляет одну секунду, доступность будет 99,99999% или 7 девяток .

 

Время миссии

Общее время простоя

Наличие

24/7 на 1 год

1,2 месяца

90,0%

24/7 на 1 год

3,7 дня

99,0%

24/7 на 1 год

8,8 часа

99,9%

24/7 на 1 год

5,3 минуты

99,999%

24/7 на 1 год

3,2 секунды

99,99999%

 

Еще одна важная концепция, которую следует помнить, заключается в том, что время переключения для резервирования обычно настолько быстрое, что время простоя не оказывает заметного влияния на систему. Таким образом, для всех практических целей система никогда не сталкивалась с простоями, что обеспечивает 100% доступность.

Резюме

Резервирование может значительно повысить надежность и доступность вашей системы управления и/или мониторинга. Большинству приложений не требуется избыточность для успешной работы, но если цена отказа достаточно высока, вам может понадобиться избыточность. Вам нужно будет оценить ваше приложение и выбрать модель резервирования, которая наилучшим образом соответствует вашим потребностям. С продуктами National Instruments вы можете реализовать любую из упомянутых выше моделей с резервированием.

Для получения дополнительной информации об использовании продуктов National Instruments в приложениях, требующих высокой надежности и/или высокой доступности, обратитесь к местному инженеру по продажам.

Что такое сетевое резервирование и почему оно важно?

Что такое сетевое резервирование?

Избыточность сети — это процесс предоставления нескольких путей для трафика, чтобы данные могли продолжать передаваться даже в случае сбоя. Проще говоря: больше избыточности означает больше надежности. Это также помогает в управлении распределенным сайтом. Идея состоит в том, что если одно устройство выходит из строя, другое может автоматически вступить во владение. Добавляя немного сложности, мы уменьшаем вероятность того, что сбой приведет к отключению сети.

Но сложность — враг надежности. Чем сложнее что-то, тем сложнее это понять, тем выше вероятность человеческой ошибки и тем выше вероятность того, что программная ошибка вызовет новый режим отказа. Таким образом, при проектировании сети важно сбалансировать избыточность и сложность.

Какие существуют типы резервирования сети?

Существуют две основные формы резервирования сети. Первый — это отказоустойчивость , которая использует полное аппаратное резервирование — существует по крайней мере одна полная копия аппаратного обеспечения системы, работающая параллельно с основной системой. Если одна система выйдет из строя, другая одновременно вступит во владение без потери обслуживания.

Второй тип резервирования сети — высокая доступность . В этой структуре вместо дублирования всего физического оборудования кластер серверов работает вместе. Серверы контролируют друг друга и имеют 90 551 отказоустойчивость 90 552, поэтому, если есть проблема на одном сервере, резервная копия может принять меры.

Если вам интересно узнать о преимуществах и недостатках каждого из них, обратите внимание на следующее: системы отказоустойчивости обеспечивают почти нулевое время простоя, но очень дороги в реализации, в то время как инфраструктура высокой доступности дешевле в реализации, но может быть сопряжена с незначительным риском влияние на обслуживание во время отключений.

Проектирование резервирования

Существуют полезные протоколы сетевого резервирования на многих различных уровнях OSI. Первое, о чем нужно подумать, это то, что произойдет на каждом уровне, если вы потеряете какое-либо отдельное звено или часть оборудования.

Если вы новичок в этом, я предлагаю создать подробные сетевые диаграммы уровня 1, уровня 2 и уровня 3, показывающие каждый блок и каждую ссылку. Наведите карандаш или мышь на каждую строку или поле по очереди и задайте следующие вопросы для каждого элемента:

  • Что произойдет на уровне 1, если это поле или ссылка выйдет из строя? У вас еще есть связь?
  • Что происходит на уровне 2? У вас все еще есть непрерывность всех VLAN в сети?
  • Что происходит на уровне 3? У вас все еще есть шлюз по умолчанию для каждого сегмента?

Существует множество различных протоколов резервирования, не все из которых одинаково надежны. Вам нужно будет выбрать соответствующие протоколы для вашего оборудования и сети, но вот те, которые я обычно использую.

На уровнях 1 и 2 мне нравится использовать протокол управления агрегацией каналов (LACP) для резервирования каналов. Это включает в себя варианты LACP с несколькими шасси, такие как технология Cisco Virtual Port Channel (VPC), доступная на всех коммутаторах Nexus. Обратите внимание, однако, что большинство протоколов агрегации каналов с несколькими шасси имеют серьезные ограничения. HP Distributed Trunking , например, лучше всего использовать для обеспечения резервного соединения для серверов и может иметь странное поведение при соединении пар коммутаторов.

Другим важным протоколом уровня 2, который следует использовать, является протокол связующего дерева (STP). Я предпочитаю современные быстро сходящиеся варианты STP, MSTP и RSTP . (Я уже писал о протоколе связующего дерева ранее).

На уровне 3 ваши механизмы резервирования должны обеспечивать доступность функций маршрутизации в случае сбоя устройства. Выбор протокола здесь зависит от многих факторов. Если устройства в этом сегменте сети в основном являются конечными устройствами, такими как серверы или рабочие станции, то я предпочитаю использовать протокол, который позволит функции шлюза по умолчанию перейти к резервному устройству в случае отказа основного устройства. Лучшим выбором для этого являются проприетарные Протокол маршрутизации с горячим резервированием (HSRP) или открытый стандарт Протокол резервирования виртуального маршрутизатора (VRRP).

Если сегмент используется в основном для соединения сетевых устройств, то может иметь смысл использовать протокол динамической маршрутизации, такой как OSPF, EIGRP или BGP . Я не рекомендую использовать старый протокол RIP, поскольку он имеет серьезные ограничения как по времени сходимости, так и по размеру сети. Однако я настоятельно рекомендую не использовать оба типа протоколов, например развертывание HSRP с OSPF. Это может привести к нестабильности сети, особенно при работе с многоадресным трафиком.

Для резервирования физической коробки наилучший выбор будет определять конкретная технология. Для брандмауэров, которым необходимо поддерживать массивные таблицы информации о состоянии для каждого соединения, не существует жизнеспособных открытых стандартов. В этих случаях вам действительно нужно использовать проприетарные механизмы аппаратного резервирования поставщика.

Аналогичным образом, стекируемые коммутаторы всегда очень просты в развертывании и обычно почти не требуют специальной настройки для обеспечения резервирования коробчатых сетевых коммутаторов. Единственное, что нужно иметь в виду, это то, что вам нужно быть осторожным с тем, как вы распределяете соединения между членами стека.

Для резервирования коммутаторов (и маршрутизаторов) имеет смысл объединить протоколы уровня 1, 2 и с протоколом уровня 3 из рассмотренных выше. Однако будьте осторожны. Убедитесь, что одно и то же устройство является «главным» на всех уровнях. Например, в любой момент ваш шлюз уровня 3 по умолчанию должен быть тем же физическим устройством, что и корневой мост связующего дерева.

Во всех случаях убедитесь, что вы полностью понимаете рекомендации по внедрению для каждой технологии, которую будете использовать, и строго соблюдаете их. Если вы этого не понимаете, попытка попробовать это в производственной сети может ограничить вашу карьеру. И ради бога, держите резервные копии в сети на случай чрезвычайных ситуаций!

DDoS-атаки и избыточность сети

Распределенные атаки типа «отказ в обслуживании» или DDoS-атаки — это кибератаки, с которыми сетевые администраторы не хотят иметь дело. Цель такой атаки — вывести сеть или службу из строя. К счастью, избыточность сети может помочь смягчить воздействие DDoS-атак, поскольку она повышает безопасность сети.

Используя нескольких интернет-провайдеров, центры обработки данных могут перенаправлять сетевые службы в случае попытки DDoS-атаки. Вот почему крайне важно иметь резервные сети с гибким доступом в Интернет. Предприятия не могут работать, если сеть не работает — в наши дни необходимы постоянное подключение к Интернету и работающие технологии. Если в вашей сети отсутствует избыточность, особенно избыточное подключение к Интернету, сбой одного устройства может привести к многочасовому простою всей сети.

Сетевое резервирование и инфраструктура

Термины «сбой» и «сбой» до сих пор встречались довольно часто, потому что при планировании сетевого резервирования важно учитывать все причины, по которым сеть может выйти из строя. Помимо проблем с программным обеспечением, подумайте о физических факторах и факторах окружающей среды, которые могут повлиять на производительность устройства.

При планировании резервирования сети необходимо учитывать такие факторы, как тепло, вода и электроэнергия. Убедитесь, что вы используете резервные источники питания, включая ИБП и, возможно, даже резервные генераторы, имеете резервные системы охлаждения и резервные датчики окружающей среды, чтобы предупредить вас, если физическая среда становится менее чем идеальной для сетевых устройств.

В конце концов, логическая избыточность сети требует, чтобы устройства резервного копирования и пути резервных данных были физически работоспособны!

Советы по обеспечению минимальной сложности резервирования сети

Ниже приведен список моментов, которые следует учитывать при реализации резервирования сети при минимизации сложности. Рассмотрим некоторые передовые методы проектирования сети.

Идентичные системы с идентичными соединениями

Мне нравится обеспечивать избыточность, внедряя точные дублирующие системы в ключевых точках сети. Например, основной коммутатор будет состоять из двух идентичных коммутаторов. Когда я говорю идентичные, я имею в виду, что они должны быть одной модели, с одним и тем же программным обеспечением и иметь одинаковые соединения, насколько это возможно. Самый простой способ сделать это с помощью коммутаторов — использовать стекируемые коммутаторы. Тогда действительно нечего делать — подключите кабель для стекирования, и вы получите избыточность из коробки.

Простые протоколы резервирования

Существует множество способов реализовать сетевое резервирование. Самые надежные предполагают самую простую конфигурацию на наименьшем количестве устройств. Например, если мне нужен высокодоступный брандмауэр, я реализую пару устройств. И я всегда буду использовать отказоустойчивые механизмы поставщика. Тогда мне не нужно беспокоиться о том, чтобы межсетевой экран участвовал в каких-либо протоколах маршрутизации. Если у брандмауэра нет веских причин для запуска протокола маршрутизации, это только вводит ненужную сложность. Всегда используйте самую простую конфигурацию, отвечающую требованиям!

Держите все параллельно

Одна вещь, которая часто ставит людей в тупик, — это то, как соединить последовательные уровни резервных устройств. Хитрость заключается в том, чтобы держать все это параллельно. Создайте путь A и путь B с перекрестным соединением на каждом слое. Идея состоит в том, что любое устройство может полностью выйти из строя без нарушения сквозного пути.

Например, предположим, что у меня есть пара коммутаторов доступа, пара основных коммутаторов и пара брандмауэров. Я бы подключил коммутатор доступа A к основному коммутатору A, который также поддерживает брандмауэр A. Точно так же коммутатор доступа B подключается к основному коммутатору B, который подключается к брандмауэру B. Я также соединил бы два коммутатора доступа друг с другом и двумя ядра переключаются друг на друга.

В этом примере у вас может возникнуть соблазн дополнительно подключить коммутатор доступа A к базовому коммутатору B, а коммутатор доступа B к базовому коммутатору A. Это, безусловно, обычная конфигурация, но как только вы это сделаете, вам нужно знать, что вам нужно. re делает с точки зрения агрегации ссылок и связующего дерева. Это может значительно усложнить работу, если вы новичок в проектировании сетей.

Никогда не делайте больше, чем нужно

Как видно из предыдущего примера, в реализации избыточности легко пойти дальше, чем это абсолютно необходимо. Во многих случаях дополнительная избыточность гарантирована и может обеспечить дополнительную функциональность. Но внимательно рассмотрите каждую единицу оборудования, каждую связь и каждый протокол. Для каждого из них спросите, предоставляет ли он достаточно дополнительных функций, чтобы оправдать дополнительную сложность.

Формочки для печенья

Наконец, чрезвычайно полезно следовать стандартной модели при реализации сетей. Если у вас несколько центров обработки данных, сделайте их как можно более идентичными с точки зрения топологии.

Точно так же сделайте коммутаторы доступа как можно более идентичными. Используйте общие назначения VLAN везде, используйте общую схему IP-адресации, которая работает везде. Сделайте так, чтобы шлюз по умолчанию в каждом сегменте следовал общему правилу, такому как первый или последний IP-адрес. Если вы используете протоколы резервирования, такие как HSRP, используйте их везде и везде настраивайте одинаково.

Все это сходство помогает ограничить возможность человеческой ошибки. Возможно, новый инженер никогда раньше не смотрел на это конкретное устройство. Но если он точно такой же, как и любое другое устройство, выполняющее подобную функцию, то гораздо менее вероятно, что он или она пропустит какую-то непонятную часть магии протокола, которая была реализована на этом устройстве и только на этом устройстве.

Максимальная доступность при минимальной сложности

Цель — максимальная доступность при минимальной сложности. Поэтому жизненно важно сохранять простоту конфигурации. Не применяйте несколько механизмов резервирования, которые пытаются выполнить одну и ту же логическую функцию, иначе навигация по сети станет очень сложной.

Когда дело доходит до протоколов маршрутизации, подумайте, сможете ли вы обойтись без статического маршрута, указывающего на шлюз по умолчанию HSRP.

Устройство отказа резервирования отказа: Устройство резервирования отказа выключателя (УРОВ): принцип действия, реализация, схемы