台达楼宇系统 控制层双级容错 工作原理

台达楼宇（LOYTEC / Delta Controls）双级容错，本质是两层兜底保护：第一级：管理服务器冗余容错第二级：现场 DDC 控制器本地自治容错简单一句话：服务器坏了有备用服务器顶；两台服务器全挂了，现场控制器自己照样独立控设备，不瘫痪、不乱逻辑。

一、先搞清楚双级指哪两级

1. 上层：中央管理服务器级（enteliWEB / LINX 服务器）

2. 下层：现场 DDC 控制器级（LIOB、VAV、IO 控制器）

两级各自独立容错、又互相联动，形成层层兜底。

二、第一级：中央服务器主备热备容错 工作流程

1. 架构配置

配置一主一备两台服务器，同网段、同步工程配置、同步实时点位数据、报警、时间表、联动逻辑。

2. 正常运行

• 主服务器负责：画面监控、下发时间表、跨系统联动、存储历史数据、远程操作。

• 备用服务器实时热同步，时刻监听主服务器状态，不主动接管，但数据完全镜像。

3. 故障触发切换

当主服务器出现以下任意故障：

• 系统死机、服务崩溃

• 断电、网卡故障

• 系统宕机、数据库异常

切换过程：

1. 备用服务器检测到主站心跳丢失

2. 秒级自动无缝接管所有权限、所有点位、所有联动逻辑

3. 前端操作界面自动切到备用服务器，运维无感

4. 现场所有 DDC 控制器通讯自动切换指向备机，无需人工改配置

4. 故障恢复

主服务器修复上线后，自动重新同步数据，可手动或自动切回主备模式。

这一级解决：中央平台单点崩溃，整个楼宇监控和联动不中断。

三、第二级：现场 DDC 控制器本地自治容错

这是台达和很多品牌最大区别：不靠服务器活着，控制器自带完整控制逻辑。

1. 底层设计特点

• 所有控制程序、PID 调节、逻辑联锁、时间表、温湿度设定、设备启停逻辑，全部下装固化在本地 DDC 控制器内部。

• 控制器不依赖上位服务器运算，自带独立运算引擎。

2. 极端故障场景：两台服务器全部宕机 / 断网

出现：服务器全坏、机房断电、骨干网络瘫痪。

系统工作状态：

1. 所有现场 DDC完全脱离上位独立运行

2. 空调、风阀、水阀、风机、水泵、VAV 继续按原有逻辑自动闭环控制

3. 温湿度恒定、联锁保护、时序启停、高低限保护全部正常执行

4. 现场触摸屏、楼层控制面板依然可以本地手动 / 自动操作

3. 网络分段容错

园区 / 大楼某一段交换机瘫痪、某条主干网断：

• 剩余网段内的控制器自成子网自治运行

• 互不影响各自区域控制，不会一栋楼全瘫痪

4. 控制器自身硬件容错

• 硬件看门狗：程序跑飞自动重启，不卡死

• 掉电参数闪存保存：断电再来电，自动恢复运行参数和控制模式，不复位、不混乱

• I/O 端口光电隔离、浪涌保护，单点 IO 损坏不拖垮整台控制器

四、双级容错完整联动逻辑（全场景流程）

1. 正常工况主服务器管控 → 备机同步待命 → DDC 执行下发逻辑 + 本地备份逻辑双保险。

2. 单台服务器故障备机自动秒级接管 → 监控、报警、联动全部无缝延续。

3. 双服务器全故障 / 骨干网断网上位彻底失联 → 所有 DDC 进入本地自治模式 → 楼宇设备照常自控、保护逻辑不失效。

4. 服务器 / 网络恢复后自动重新握手同步 → 历史报警、趋势数据补传 → 恢复集中监控模式，无需人工下装程序。

五、双级容错带来的实际价值

1. 真正 7×24 不间断，不会因机房服务器、网络故障导致空调、机房、洁净区失控。

2. 适合医院、数据中心、厂房洁净室、大型商业综合体等高可靠场景。

3. 后期维护升级服务器、做系统改版时，可停机维护不影响现场设备运行。

4. 减少现场值守，不怕半夜服务器崩溃导致设备乱启停。

六、和传统楼宇系统的区别

很多品牌：控制逻辑跑在中央服务器，服务器一挂、网络一断，现场 DDC 变成 “哑巴”，设备失控。

台达 LOYTEC 双级容错：逻辑下沉到控制器 + 服务器主备兜底，从上到下两层保险，怎么坏都不会全盘瘫痪。