이번 글은 자동화 공장에서 동시 연결을 통해 지원되는 ‘고가용성 프로세스 안전애플리케이션’에 대한 소개로 2회를 연재한다.

 

 

대부분의 프로세스 제어 및 많은 제조 애플리케이션에서는 제어 시스템의 고장으로 인해 예기치 않은 시스템 정지가 발생할 경우, 제품 손실에 따른 재정적 손해가 발생할 수 있으며 시스템 재가동에도 상당한 시간이 소요될 수 있다. 따라서 이러한 애플리케이션에서는 결함 허용 제어 시스템을 설계할 수 있는 능력이 매우 중요하다.

 

이는 특히 안전이 중요한 사고 발생 시, 일반적인 제조 장비에서 사용하는 즉각적인 장비 정지가 아니라 안전 상태로의 고도로 제어된 전환이 요구되는 경우 더욱 중요하다. 이러한 애플리케이션은 예기치 않은 고장이 발생하더라도 제어 시스템이 “높은 가용성”을 유지하는 것에 의존한다.

 

제품은 고장을 최소화하도록 설계될 수는 있지만, 완전히 제거할 수는 없다. 시스템은 단일 고장으로 인해 제어 시스템 전체가 작동 불능 상태가 되는 가능성을 제거하기 위해 이중화를 적용할 수 있다. 두 방법 모두 도움이 되지만 여전히 한계가 존재한다.

 

ODVA는 2023년 봄 CIP(CIP Family of Specifications) 규격 개정판에서 유연하고 전환 시간이 전혀 없는 종단 간 이중화 솔루션을 가능하게 하는 중요한 신기술인 “동시 접속(Concurrent Connections)”의 추가를 발표했다.

 

본 문서는 가용성이 어떻게 측정되는지에 대한 간략한 소개를 제공하고, 현재의 고가용성 솔루션이 가진 몇 가지 문제점을 설명하며, 동시 접속이 이를 어떻게 해결하는지를 강조한다. 또한 이 새로운 기능을 추가하기 위해 수정된 CIP 규격의 주요 내용도 요약하여 설명한다.

 

이중화 시스템 개념 개요

 

1. 가용성

산업 자동화 시스템에서의 가용성은 시스템이 일정 기간 동안 의도된 기능을 정상적으로 수행할 수 있는 능력을 의미한다. 가용성은 시스템 전체 운영 시간 대비 정상적으로 동작한 시간의 비율을 백분율(%)로 표현한다. 가용성은 다음 공식으로 계산된다.

 

가용성 = MTTF / (MTTF + MTTR)

 

여기서,

MTTF(Mean Time To Failure, 평균 고장 시간)는 시스템이 고장을 경험하기 전까지 정상적으로 서비스를 제공할 수 있는 평균 시간을 의미한다. 시스템의 MTTF는 구성 요소들의 MTTF를 기반으로 계산된다. 단일 모듈의 MTTF는 해당 공급업체(vendor)가 제공하며, 모듈을 구성하는 부품의 사양, 모듈 설계, 그리고 1년 이후 발생한 모듈 보증 반환(warranty returns) 수 등을 기반으로 산정된다.

 

MTTR(Mean Time To Restore/Repair, 평균 복구/수리 시간)은 시스템에 고장이 발생한 이후 서비스를 다시 정상 상태로 복구하는 데 걸리는 평균 시간을 의미한다. MTTR에는 고장을 탐지(detect)하는 데 소요되는 시간도 포함된다. MTTR 값은 다양한 요인에 따라 달라지며 시스템마다 고유한 특성을 가진다. 일반적으로 이 값은 시스템 구축업체가 제공한다.

 

2. 고가용성

 

고가용성(High Availability)은 가용성 개념을 기반으로 하는 것으로, 일반적인 시스템 가용성보다 더 높은 수준의 가용성을 의미한다. 일반적으로 고가용성은 시스템이 얼마나 안정적으로 운영되는지를 나타내기 위해 “나인의 개수(Number of Nines)”라는 방식으로 표현된다. 예를 들어 99.9%, 99.99%, 99.999%와 같이 표시되며, 숫자가 높을수록 시스템 중단 없이 운영될 가능성이 크다는 의미를 가진다(표 1).

 

 

고가용성을 구현하기 위해서는 시스템의 평균 고장 시간(MTTF)을 최대화하고 평균 복구 시간(MTTR)을 최소화해야 한다. 단일 모듈의 MTTF를 높이기 위해서는 신뢰성이 입증된 고품질 부품을 사용해야 하며, 산업 자동화 시스템의 특정 운전 환경에서도 안정적으로 견딜 수 있도록 설계되어야 한다. 그러나 단일 모듈 자체의 MTTF를 향상시키는 데에는 기술적인 한계가 존재한다.

 

따라서 시스템 전체의 MTTF를 더욱 향상시키기 위해서는 시스템 구성 요소에 이중화를 적용하는 방법이 사용된다. 이중화를 통해 특정 구성 요소에 장애가 발생하더라도 시스템 전체가 즉시 중단되지 않고 계속 동작할 수 있도록 만들 수 있다.

 

한편, MTTR을 최소화하기 위해서는 장애를 가능한 한 빠르게 탐지하고 신속하게 복구할 수 있어야 한다. 이를 위해서는 신뢰성 높은 진단 기능이 필요하며, 유지보수 담당 인력에 대한 복구 절차 교육도 충분히 이루어져야 한다. 또한 예비 부품을 적절히 확보하고 있어야 장애 발생 시 빠른 교체와 복구가 가능해진다. 이러한 요소들이 종합적으로 갖추어질 때 시스템의 고가용성을 효과적으로 실현할 수 있다.

 

3. 이중화

산업 자동화 시스템에서 이중화(Redundancy)는 동일한 기능을 수행할 수 있는 구성 요소를 중복으로 사용하는 것을 의미한다. 이러한 중복 구성 요소는 주 시스템에 장애가 발생했을 때 백업 역할을 수행하며, 시스템 장애를 방지하거나 장애로 인해 발생할 수 있는 영향을 최소화하기 위해 설계된다. 이중화는 여러 가지 측면에서 구분할 수 있다.

 

첫 번째는 백업 방식(Backup Type)이다. 백업 방식은 Hot, Warm, Cold 방식으로 나뉜다. Hot 방식은 백업 장치가 항상 완전히 준비된 상태를 유지하고 있어, 활성 장치(active device)에 장애가 발생하는 즉시 즉각적으로 역할을 인계받을 수 있는 형태이다. Warm 방식은 백업 장치에 전원이 공급되고 있는 상태이지만 실제 동작을 위해서는 별도의 활성화 과정이 필요한 형태이다. Cold 방식은 백업 장치에 전원이 공급되지 않는 상태로 유지되며, 장애 발생 이후에 전원을 공급하고 구동해야 하는 형태를 의미한다.

 

두 번째는 동기화 방식(Synchronization)이다. 동기화는 Active 방식과 Passive 방식으로 구분된다. Active 방식에서는 백업 장치가 활성 장치와 항상 동기화된 상태를 유지한다. 따라서 장애 발생 시에도 최신 상태를 그대로 이어받아 운영할 수 있다. 반면 Passive 방식에서는 백업 장치가 활성 장치와 동기화되지 않은 상태로 유지된다. 이 경우 장애 발생 시 추가적인 동기화 과정이 필요할 수 있다.

 

세 번째는 전환 방식(Switchover or Concurrent)이다. Switchover 방식에서는 활성 장치만 실제 공정에 참여하고 있으며, 백업 장치는 대기 상태로 존재하다가 활성 장치에 장애가 발생했을 때 동작을 시작한다. 반면 Concurrent 방식에서는 이중화된 장치들이 기능적으로 동일한 역할을 수행하면서 동시에 공정에 참여한다. 즉, 각각의 장치가 서로의 백업 역할을 동시에 수행하는 구조이다.

 

4. 결함 허용

산업 자동화 시스템에서 결함 허용(Fault Tolerance)이란 시스템에 장애나 고장이 발생하더라도 본래 의도된 기능과 운영을 지속할 수 있는 능력을 의미한다. 이러한 결함 허용성을 확보하거나 향상시키기 위한 대표적인 방법 중 하나가 바로 이중화이다.

 

시스템은 특정 부분에 대해서만 결함 허용 기능을 갖도록 설계될 수 있다. 일반적으로 결함 허용이 적용되는 시스템 구성 요소에는 다음과 같은 항목들이 포함된다.

 

· 컨트롤러

· 전원 공급 장치

· 네트워크 인프라

· 입출력 장치

· 필드 장치

 

어떤 부분에 이중화를 적용하고 결함 허용 기능을 구현할지는 시스템 구축자의 판단에 따라 결정된다. 시스템 내 모든 장치에 대해 결함 허용 기능을 지원하는 시스템은 일반적으로 “단일 장애 지점이 없는 시스템”이라고 불린다. 이는 특정 한 지점의 장애가 시스템 전체 중단으로 이어지지 않도록 설계된 구조를 의미한다.

 

시스템 내 장애를 허용하면서 운영을 지속할 수 있도록 지원하는 기술의 한 예로 DLR(Device Level Ring)이 있다. DLR을 사용하는 시스템은 링(Ring) 구조로 연결된 네트워크에서 단일 네트워크 매체(케이블) 장애가 발생하더라도 시스템 운영을 계속 유지할 수 있다. 즉, 하나의 연결 경로에 문제가 발생해도 다른 경로를 통해 통신이 유지되도록 설계된 기술이다.

 

또 다른 결함 허용 기술의 예로는 PRP(Parallel Redundancy Protocol)가 있다. PRP를 사용하는 시스템은 네트워크 매체에 여러 장애가 발생하더라도 연결 참여자 간 최소 하나의 네트워크 경로만 유지된다면 시스템 운영을 계속 지속할 수 있다. 이를 통해 네트워크 신뢰성과 시스템 가용성을 더욱 높일 수 있다.

 

프로세스 산업에서의 고가용성

 

“프로세스 산업”이라는 용어는 매우 다양한 산업 분야를 포괄한다. 대표적인 예로는 발전 산업(화력·가스·원자력 발전 등 전력 생산), 석유 및 가스 산업(탐사·생산·정제·운송), 광업 및 광물 산업, 식음료 제조 산업, 제약 산업, 화학 제조 산업, 펄프 및 제지 산업, 섬유 제조 산업, 시멘트 제조 산업, 수처리 산업, 반도체 제조 산업, 도료 및 코팅 제조 산업, 유리 제조 산업 등이 있다.

 

이러한 프로세스 산업의 공통적인 특징은 연속 공정 또는 배치 공정을 통해 물리적 또는 화학적 제품을 생산한다는 점이다. 대부분의 프로세스 산업 설비는 대규모이면서도 매우 복잡한 구조를 가지고 있으며, 대량의 원재료를 처리하고 변환한다. 또한 공정 과정에서 고온, 고압 및 다양한 위험 조건이 수반되는 경우가 많아 공정을 갑작스럽게 중단하는 것이 매우 어렵거나 위험하며, 경우에 따라서는 사실상 불가능하기도 하다.

 

특히 이러한 공정은 원재료를 사용하는 경우가 많기 때문에 공정이 중단되면 원재료를 다시 저장하거나 재사용하기 어려운 문제가 발생한다. 예를 들어 석유 및 가스 산업에서는 유전과 가스전을 쉽게 정지하거나 재가동할 수 없으며, 공정을 갑자기 중단하거나 다시 시작할 경우 저장층(reservoir)에 손상이 발생할 수 있다. 화학 산업에서도 반응 공정을 중도에 멈추면 고가의 원재료와 제품이 손실될 수 있다.

 

또 다른 사례로 유리 제조 산업에서는 유리 용융 공정이 시작되면 필요한 고온 상태를 유지하기 위해 수년간 연속적으로 운전하는 경우가 일반적이다. 이러한 공정을 갑자기 정지하면 설비 자체나 생산 중인 유리 제품에 심각한 손상이 발생할 수 있다.

 

산업 공정이 갑자기 중단되거나 제어를 상실할 경우 그 결과는 매우 치명적일 수 있다. 인명 피해는 물론 환경 오염과 설비 손상이 발생할 수 있으며, 생산 중단에 따른 생산성 저하, 수익 손실, 공정 재가동 비용 증가 등 막대한 경제적 손실도 초래될 수 있다.

 

프로세스 산업에서 발생한 대표적인 대형 사고 사례는 다음과 같다.

 

· 1984년 인도 보팔(Bhopal)에서 발생한 보팔 가스 참사는 살충제 공장에서 유독가스인 메틸 아이소사이아네이트(Methyl Isocyanate)가 누출되면서 즉시 약 3,000명이 사망했고, 이후 수년 동안 약 15,000명이 추가로 사망했으며 50만 명 이상이 부상을 입은 사고였다.

· 1988년 북해의 파이퍼 알파(Piper Alpha) 해상 석유 시추 시설에서 발생한 폭발 사고는 167명의 작업자가 사망하고 심각한 환경 피해를 초래했다. 당시 보험 손실 규모는 약 20억 달러(1988년 기준)에 달했으며, 해당 플랫폼은 북해 전체 석유·가스 생산량의 약 10%를 차지하고 있었다.

 

· 2010년 멕시코만에서 발생한 딥워터 호라이즌(Deepwater Horizon) 원유 유출 사고는 시추 설비 폭발로 인해 11명이 사망하고 대규모 원유 유출로 심각한 환경 피해를 발생시켰다.

2015년 중국 톈진 화학물질 저장시설 폭발 사고는 173명의 사망자와 수백 명의 부상자를 발생시켰으며, 주변 지역에도 막대한 피해를 남겼다.

 

이처럼 산업 공정 실패가 초래하는 결과가 매우 심각하기 때문에 프로세스 산업은 엄격한 규제를 받는다.

 

프로세스 산업에서 고가용성이 중요한 이유는 다음과 같다. 첫째, 안전성 측면이다. 고가용성은 사고를 예방하고 작업자의 안전을 보호하는 데 중요한 역할을 한다. 둘째, 생산성 측면이다. 고가용성은 공정 중단 시간을 최소화함으로써 생산성을 유지할 수 있도록 한다. 셋째, 기업 평판 측면이다. 산업 공정 사고는 기업 이미지와 신뢰도에 심각한 영향을 미칠 수 있기 때문에, 고가용성은 이러한 사고를 예방하는 데 매우 중요하다. 넷째, 비용 절감 측면이다. 고가용성은 사고 예방을 통해 설비 손상 및 교체 비용을 줄이고, 공정 재가동과 관련된 비용도 최소화할 수 있도록 한다.

 

CIP 규격에서의 고가용성 및 이중화

 

현재 CIP 네트워크 라이브러리에는 고가용성과 이중화를 지원하기 위한 여러 가지 기능과 기술이 포함되어 있다. 그러나 이러한 솔루션들은 시스템 전체를 완전하게 포괄하지 못하고 일부 세부 기능이 부족한 부분이 있기 때문에, 실제 산업 현장에서는 장비 제조업체들이 자체적인 벤더 전용 솔루션을 추가로 개발하여 사용하는 경우가 많았다.

 

CIP 네트워크 라이브러리의 제1권 CIP(Common Industrial Protocol)에서는 “Redundant Owner”라는 연결 유형을 정의하고 있다. 이 기능은 여러 개의 컨트롤러가 하나의 장치 출력에 대해 표준화된 방식으로 소유권을 가질 수 있도록 지원하는 기술이다.

 

이 방식은 포워드 개방 요청의 네트워크 연결 파라미터에 포함되는 Redundant Owner 비트(Bit)를 사용하며, 연결 실시간 헤더에서는 클레임 출력 소유권(COO) 비트와 출력 소유권(ROO) 비트를 함께 활용한다. 이를 통해 다수의 컨트롤러가 특정 장치의 출력 제어 권한을 공유하거나 대체할 수 있도록 구성된다.

 

그러나 이러한 방식은 연결 대상 자체의 이중화까지는 지원하지 못한다는 한계가 있다. 또한 Redundant Owner와 ROO, COO 기반의 이중화 방식은 과거 ControlNet 장치 환경에서는 널리 사용되었지만, EtherNet/IP 장치 환경에서는 동일한 수준의 보급이나 활용으로 이어지지는 못했다.

 

한편, CIP 네트워크 라이브러리의 제2권인 EtherNet/IP Adaptation of CIP에서는 네트워크 매체 이중화를 구현하기 위한 기술로 DLR(Device Level Ring)과 PRP(Parallel Redundancy Protocol)를 정의하고 있다. 이러한 기술은 네트워크 케이블이나 통신 경로에 장애가 발생하더라도 시스템 통신을 유지할 수 있도록 설계된 것이다.

 

또한 CIP 네트워크 라이브러리의 제4권인 ControlNet Adaptation of CIP에서는 네트워크 매체 이중화와 링 토폴로지 구현 방식을 정의하고 있다. 이를 통해 산업 네트워크의 안정성과 가용성을 향상시킬 수 있도록 지원한다.

 

기존 이중화 솔루션과 그 문제점

 

현재 CIP 네트워크 라이브러리에서 제공하는 이중화 지원 기능은 제한적이지만, 시장에는 CIP를 기반으로 한 다양한 벤더 전용 이중화 솔루션들이 존재한다.

 

한편으로는 서로 다른 제조업체의 이중화 지원 장치들이 원활하게 통합될 수 있도록 이중화 방식의 표준화가 필요하다. 그러나 다른 한편으로 이중화 기술은 매우 중요한 핵심 시스템에 사용되기 때문에, 장애 위험을 최소화하기 위해 제조업체들은 특정 버전의 특정 장치들만을 조합한 “이중화 번들” 형태의 솔루션을 제공하는 경향이 있다. 즉, 제조업체는 자신들이 지정한 특정 장비 조합에 대해서만 정상적인 이중화 동작을 보장한다.

 

대표적인 벤더 전용 CIP 기반 이중화 솔루션 중 하나는 EtherNet/IP 네트워크의 유연성을 활용하는 방식이다. 이 방식에서는 TCP, UDP, IP, Ethernet 프로토콜 계열을 추상화 계층으로 사용하여, 활성 컨트롤러에 장애가 발생했을 때 백업 컨트롤러가 해당 역할을 이어받을 수 있도록 구성한다.

 

활성 장치는 EtherNet/IP 네트워크 상에서 자신을 식별하기 위한 IP 주소와 MAC 주소를 가지고 있으며, 이를 이용해 시스템 내 다른 장치들과 통신한다. 활성 장치의 역할을 백업 장치가 이어받는 과정은 일반적으로 스위치오버(Switchover) 또는 페일오버(Failover)라고 불린다.

 

스위치오버 과정에서 백업 장치는 장애가 발생한 장치의 IP 주소를 인계받고, 해당 IP 주소가 새로운 MAC 주소와 연결되었음을 네트워크에 알리기 위해 Gratuitous ARP를 전송한다. 이후 백업 장치는 그림 1에 표시된 것처럼 장애가 발생한 활성 장치의 작업을 계속 수행하게 된다. 이러한 방식은 스위치오버 기반 이중화의 대표적인 사례라고 할 수 있다. 위에서 설명한 솔루션은 장점과 단점을 모두 가지고 있다.

 

 

1. 기존 이중화 방식의 장점

EtherNet/IP 네트워크에 연결된 모든 장치가 반드시 이중화를 지원할 필요는 없다. 따라서 시스템 일부에서는 다른 영역에서 이중화가 사용되고 있다는 사실조차 인식하지 못할 수 있다. 이는 EtherNet/IP를 지원하는 다양한 장치들과 이중화 솔루션을 비교적 쉽게 통합할 수 있도록 해준다.

 

또한 이 솔루션이 Hot 방식과 Active 방식의 이중화와 결합될 경우, 스위치오버가 연결 타임아웃 이전에 완료되기만 하면 CIP 암시적 연결을 유지할 수 있다.

 

2. 기존 이중화 방식의 단점

앞서 설명한 스위치오버 기반 이중화 방식에는 여러 장점이 존재하지만, 동시에 중요한 한계와 문제점도 존재한다.

 

첫째, 스위치오버가 진행되는 동안에는 일정 시간 동안 어떤 이중화 장치에서도 CIP 암시적 연결 데이터가 전송되지 않는 구간이 발생한다. 즉, 이 시간 동안에는 시스템 공정(Process)이 정상적으로 제어되지 못하는 상태가 된다.

 

둘째, 스위치오버 시간은 CIP 연결 파라미터의 설정에도 제약을 준다. Requested Packet Interval(RPI) 값과 Connection Timeout Multiplier 값은 스위치오버 과정 중 연결이 타임아웃되지 않도록 조정되어야 한다. 특히 이러한 연결 타임아웃 설정은 CIP Safety 연결에서 매우 중요하다. 안전 연결이 타임아웃되면 시스템은 자동으로 안전 상태(Safe State)로 전환되는데, 이는 실제 위험 상황이 아님에도 시스템이 정지되는 “오동작 정지”를 초래할 수 있다. 그러나 연결 타임아웃 시간을 지나치게 길게 설정하는 것도 문제가 된다. 이중화 기능과 함께 연결 문제를 신속하게 감지하기를 원하는 사용자 입장에서는 긴 타임아웃 설정이 적합하지 않기 때문이다.

 

셋째, 이 기술로 보장할 수 있는 스위치오버 시간은 일부 시스템에서는 여전히 너무 길 수 있다. 특히 안전 시스템의 경우 긴 스위치오버 시간은 곧 긴 안전 반응 시간을 의미하며, 이는 작업자와 설비를 안전하게 유지하기 위한 시스템의 물리적 제약 조건에 영향을 줄 수 있다. 심한 경우에는 시스템이 해당 시간 동안 제어 불가능 상태가 되어서는 안 되는 환경에서는 이러한 방식 자체가 적용 불가능할 수도 있다.

 

넷째, 활성 장치가 유지하고 있는 모든 CIP 연결에 대해 O→T Network Connection ID와 T→O Network Connection ID를 활성 장치에서 백업 장치로 전달해야 한다. 그래야만 CIP 연결을 끊지 않고 스위치오버를 수행할 수 있다.

 

다섯째, EtherNet/IP 환경에서 CIP Explicit 연결은 TCP 기반으로 동작한다. 그런데 활성 장치와 백업 장치 간 TCP 세션을 동기화하는 것은 매우 어렵기 때문에, 일반적으로 스위치오버 시 CIP Explicit 연결은 끊어지게 된다. 이로 인해 HMI 장치와의 통신이 중단되며, 다시 연결 과정을 수행해야 하는 문제가 발생한다.

 

여섯째, 이러한 이중화 기술은 EtherNet/IP Originator 장치에만 적용 가능하다는 제한이 있다.

 

일부 장치에서는 또 다른 접근 방식으로, 연결 타임아웃이 발생한 이후에도 일정 시간 동안 연결 장애 동작을 지연시키는 방법을 사용하기도 한다. 이 추가 지연 시간 내에 다른 발신자 또는 동일한 발신자가 연결을 다시 설정하면 연결 장애 동작을 피할 수 있다.

 

그러나 이 방식 역시 추가 지연 시간 동안 제어가 일시 중단되기 때문에, 모든 애플리케이션에서 허용 가능한 방식은 아니다.

 

동시 연결 기술의 등장

 

2023년 봄에 발표된 CIP 네트워크 라이브러리 개정판에서는 새로운 기술인 동시 연결(Concurrent Connections) 기술이 도입되었다.

 

동시 연결은 앞서 언급된 기존 이중화 솔루션들의 여러 한계를 해결하기 위해 개발된 기술이다. 간단히 말하면, 이 기술은 유연하면서도 스위치오버 시간이 전혀 없는 종단 간 이중화 솔루션을 가능하게 한다.

 

동시 연결를 가장 쉽게 이해하는 방법은 PRP(Parallel Redundancy Protocol)와 비교하는 것이다. 동시 연결은 CIP 연결 계층에서 구현되는 PRP와 유사한 개념이라고 볼 수 있다.

 

이 기술은 연결 경로 상에 존재하는 모든 종단 장치와 라우터에 대해 이중화를 적용할 수 있도록 지원한다. 또한 연결에 참여하는 모든 장치 사이에서 CIP 데이터를 여러 경로를 통해 동시에 전송할 수 있도록 한다. 즉, CIP 데이터는 그림 2와 같이 여러 분기를 통해 동시에 전달되며, 모든 참여 장치를 거쳐 연결의 반대편 끝까지 도달하게 된다.

 

 

예시 구조에서는 세 개의 이중화 장치가 사용된다. 하나는 이중화 Originator(듀플렉스 발신기), 하나는 이중화 Router(듀플렉스 라우터), 그리고 하나는 이중화 Target(듀플렉스 대상)이다. 동시 연결은 이들 모든 참여 장치 간의 연결 링크 전체를 의미한다.

 

이 구조에서는 총 8개의 링크가 존재하며, CIP 규격에서는 이를 동시 연결의 “브랜치”라고 부른다. 이러한 토폴로지 구조 덕분에 Originator 측 참여 장치에서 전송된 데이터는 여러 경로를 통해 Target 측 참여 장치로 전달될 수 있으며, 반대 방향 역시 동일하게 동작한다.

 

이러한 모든 브랜치들은 함께 하나의 논리적 CIP 애플리케이션 연결을 구성한다. 따라서 애플리케이션 관점에서는 동시 연결이 일반적인 비동시 연결과 동일하게 보인다. 즉, 내부적으로는 다중 경로 이중화가 동작하고 있지만 응용 프로그램은 이를 특별히 인식하지 않아도 된다.

 

 

동시 연결에 참여하는 장치 중 하나에 장애가 발생하면 해당 장치와 관련된 브랜치들은 동작을 멈추게 된다. 또한 네트워크 경로 자체에 장애가 발생한 경우에도 영향을 받은 브랜치들은 중단된다. 그러나 Originator와 Target 사이에 최소 한 개 이상의 경로만 유지된다면, 나머지 브랜치들은 계속해서 데이터를 전달할 수 있다. 즉, 그림 3처럼 일부 장치나 네트워크 경로에 장애가 발생하더라도 전체 연결은 계속 유지되며 시스템 운영 역시 지속될 수 있다. 

<다음 편에 계속>