W każdej branży występują systemy sterowania, w przypadku których wyzwaniem jest zagwarantowanie odpowiedniej dostępności, nie zaś realizacja skomplikowanej logiki sterującej. W branży energetycznej taką instalacją jest system nawęglania elektrowni, czyli po prostu taśmociąg dostarczający węgiel do kotła. W branży chemicznej będzie to system sterowania baterią koksowniczą, a więc wygrzewaniem węgla kamiennego w kontrolowanej temperaturze. Zatrzymanie tego procesu oznacza uszkodzenie baterii i konieczność jej rozbiórki. Z kolei w aplikacjach przemysłowych wrażliwymi komponentami okazują się systemy awaryjnego zasilania, kontroli temperatury i układów chłodzenia oraz zbierania danych procesowych niezbędne do śledzenia produkcji danej partii.

Z punktu widzenia zadania, jakie ma spełniać każdy z tych systemów, logika jego funkcjonowania nie jest skomplikowana. Natomiast pewność działania w każdych warunkach – w tym w sytuacji awarii – jest dużym wyzwaniem. Jak zidentyfikować taki system? Wystarczy zastanowić się, jakie są konsekwencje nieplanowanego zatrzymania danej instalacji. Jeśli ryzyko jego wystąpienia jest wysokie, a koszty z nim związane – nieakceptowalne powinien to być pierwszy sygnał, aby rozważyć podniesienie dostępności układu.

Cold, warm i hot standby
Jednym ze sposobów podniesienia owej dostępności jest właśnie redundancja. Jej typ i zakres mogą być różne w zależności od aplikacji i oczekiwań klienta. Według kryterium przełączenia z elementu głównego na zapasowy wyróżnić można trzy jej typy: Cold Standby, Warm Standby oraz Hot Standby.

W pierwszym przypadku proces przełączania jest realizowany ręcznie, dlatego model ten nadaje się do prostych systemów sterowania, w których krótkotrwałe zatrzymanie produkcji nie podnosi znacząco kosztów operacyjnych i nie generuje dodatkowych zagrożeń. W modelu ciepłej redundancji (Warm Standby) proces przełączania zachodzi co prawda automatycznie, ale w trakcie jego realizacji element rezerwowy może zacząć sterować systemem z innymi danymi niż miał element główny w chwili wystąpienia awarii. Model ten jest przeznaczony do aplikacji, w których pojawiające się stany nieustalone nie powodują dodatkowych awarii systemu. W przeciwieństwie do niego układ Hot Standby – dzięki synchronizacji pracy urządzeń – zachodzi całkowicie automatycznie i w sposób niezauważalny dla procesu, dlatego przeznaczony jest do zastosowań, w których niedopuszczalne są choćby krótkie przestoje bądź stany nieustalone.

Redundancja w systemie
Niezależnie od branży architektura systemów sterowania jest podobna i składa się z warstwy obiektowej, sterującej oraz aplikacyjnej. W pierwszej pracują urządzania wykonawcze, takie jak silniki, siłowniki czy czujniki zbierające sygnały wykorzystywane podczas sterowania. Druga – składająca się z kontrolerów nadrzędnych – odpowiada za zarządzanie procesem produkcji i wymianę danych ze wszystkimi elementami systemu. Ostatnia – warstwa aplikacyjna – obejmuje stacje i konsole operatorskie, serwery bazodanowe oraz systemy planowania i zarządzania produkcją. Podniesienie dostępności systemu przez redundancję może być realizowane w każdej z tych warstw.

Najczęściej stosowaną metodą podniesienia dostępności systemu jest podwojenie elementów odpowiedzialnych za sterowanie. Jako że w 99% przypadków zatrzymanie pracy kontrolera oznacza wstrzymanie całej produkcji, architektura systemu odpornego na awarie powinna zawierać podwojone kontrolery, jednostki centralne, zasilacze systemowe oraz moduły i magistrale komunikacyjne. Taka redundancja zabezpiecza przed uszkodzeniem kontrolerów, awarią źródeł zasilania i przerwaniem kabli komunikacyjnych. W warstwie tej najczęściej stosowany jest układ Hot Standby, ponieważ gwarantuje on niezauważalne, bezuderzeniowe przełączenie sterowania na element zapasowy w czasie jednego cyklu pracy kontrolera. Ma to istotne znaczenie w przypadku urządzeń wykonawczych, gdyż zapobiega gwałtownym zmianom stanów (chwilowemu załączeniu/wyłączeniu pomp, zaworów itd.), które znacząco obniżają ich żywotność i mogą być źródłem dodatkowych awarii. Podwoić można także urządzenia odpowiedzialne za zbieranie sygnałów obiektowych i wysyłanie sygnałów sterujących za pośrednictwem dedykowanych układów wykonawczych.

Redundancja warstwy aplikacyjnej i infrastruktury komunikacyjnej ma z kolei na celu zabezpieczenie konsol operatorskich oraz zapewnienie efektywnego składowania danych produkcyjnych w chwili uszkodzenia serwera bazodanowego. Ponieważ rejestracja i archiwizacja danych jest niezbędna do śledzenia produkcji danej partii, konieczna jest redundancja serwerów i magistral dostarczających dane do systemu. W przypadku konsol operatorskich podniesienie ich dostępności daje możliwość bezprzerwowego zarządzania produkcją i zadawania parametrów, eliminując ryzyko obniżenia jakości lub wydajności spowodowane awarią.

Redundowane mogą być również urządzenia komunikacyjne zapewniające wymianę danych między stacjami operatorskimi a kontrolerami odpowiedzialnymi za sterowanie produkcją. Podwojone magistrale i interfejsy oraz komunikacja w topologii RING gwarantują stały dostęp do danych różnymi trasami. Ma to szczególne znaczenie w przypadku aplikacji rozproszonych, w których dane przesyłane są na duże odległości, co sprzyja ryzyku przerwania magistrali komunikacyjnej.

Uzasadnienie inwestycji w system redundancji
W zależności od miejsca wystąpienia awarii jej konsekwencje mogą być różne – poczynając od pogorszenia jakości i wydajności produkcji, przez utratę danych pozwalających na jej śledzenie, a na uszkodzeniu maszyn i linii technologicznych oraz zniszczeniu wsadu skończywszy. Oprócz tego niesie ona ze sobą również znacznie trudniej policzalne skutki pośrednie, jak utrata wiarygodności przedsiębiorstwa czy zagrożenie dla życia personelu.

W celu szybkiego usunięcia i minimalizacji strat wynikających z awarii komponentów systemów sterowania wiele zakładów przemysłowych tworzy własne magazyny serwisowe zapewniające natychmiastową dostępność części zamiennych. Należy jednak pamiętać, że sama wymiana elementu na zapasowy nie zawsze wystarcza: w wielu przypadkach trzeba go jeszcze skonfigurować i zaprogramować co powoduje znaczące wydłużenie czasu usunięcia awarii. Warto więc zastanowić się, czy nie wykorzystać posiadanych elementów do zbudowania systemu o architekturze redundantnej, który w razie pojawiania się awarii automatycznie przełączy sterowanie na układy rezerwowe. Dzięki temu niskim kosztem eliminujemy potencjalne zagrożenia, dając jednocześnie czas służbom utrzymania ruchu na lokalizację i eliminację przyczyn awarii. Taki model działania stosuje duża część przedsiębiorstw z branży chemicznej, petrochemicznej oraz energetyki, górnictwa i hutnictwa.

Czas zwrotu z inwestycji w systemy redundantne
Oszacowanie czasu zwrotu nakładów poniesionych na systemy wysokiej dostępności wymaga wyliczenia rzeczywistych kosztów nieplanowanych przestojów produkcji. Składają się na nie m.in. wydatki poniesione w związku ze spadkiem wydajności i jakości produkcji, zakupem elementów zastępczych, usunięciem awarii, konfiguracją i programowaniem sprzętu oraz ponownym rozruchem instalacji. Niekiedy awaria jednej linii może też spowodować przestoje innych obiektów lub uszkodzenie powiązanych urządzeń, generując dodatkowe koszty.

Przykładowo na świecie, jeśli linia produkcyjna na skutek nieplanowanych przestojów tworzy koszty w wysokości ok. 50 tys. dolarów rocznie, a typowy system wysokiej dostępności wymaga zainwestowania dodatkowych 15 tys. dolarów, to nakłady poniesione na tę inwestycję zwrócą się już po 4 miesiącach od jej wdrożenia. W Polsce – w zależności od typu aplikacji oraz branży – nakłady te mogą się zwrócić już przy pierwszym nieplanowanym przestoju instalacji.

Budowa systemu wysokiej dostępności krok po kroku
Projektując system redundancji, należy się zastanowić, gdzie go chcemy zastosować, jaka forma redundancji jest nam potrzebna i przed jakimi awariami powinien nas chronić. Ważne jest też, aby uwzględnić elastyczność i skalowalność systemu pozwalającą na późniejszą rozbudowę bez konieczności jego zatrzymania.

Podstawą każdego tego typu systemu są redundantne zasilacze umożliwiające nie tylko dostarczenie nadmiarowej mocy do układu, ale też podłączenie różnych źródeł zasilania. Warto też zastosować układ wykorzystujący dwa niezależne kontrolery zamiast dwóch procesorów pracujących w tej samej kasecie montażowej. Jest on bowiem odporny na uszkodzenie kasety, a także może być zainstalowany w dwóch osobnych szafach, co jest istotne np. w aplikacjach tunelowych, w których redundantne kontrolery muszą znajdować się na dwóch końcach tunelu.

Jeśli decydujemy się na rozwiązanie klasy Hot Standby, najważniejsze jest zagwarantowanie szybkiej synchronizacji danych. Warto zatem zainwestować w rozwiązania, które wykorzystują dedykowane moduły do synchronizacji danych i w których jako medium komunikacyjne stosuje się niezawodne, odporne na zakłócenia światłowody. W ofercie kluczowych dostawców automatyki dostępne są moduły pozwalające na dwukrotną synchronizację danych między kontrolerami w każdym cyklu programu bez znacznego wydłużania czasu skanu kontrolera.

Jeśli system ma pracować w architekturze rozproszonej, warto zainwestować w redundantną komunikację. Jako że uszkodzenie magistral to jedna z najczęściej występujących awarii, należy zapewnić nadmiarowe kable komunikacyjne. Ważne, aby magistrale zapasowe były puszczone inną drogą niż magistrala główna: układanie ich w tych samych korytach kablowych nie do końca ma sens. Redundancja magistral może być realizowana w sieci o topologii gwiazdy, magistrali lub ringu za pośrednictwem protokołu Profinet. Profinet i RING w warstwie sterującej i obiektowej są jedną z najlepszych form redundancji, ponieważ standard ten jest niezależny od producenta i nie generuje dodatkowych kosztów. Na rynku dostępne są rozwiązania (np. GE Automation & Controls) z wbudowanymi redundantnymi portami pozwalającymi na łączenie urządzeń w pierścień i wymianę danych z szybkością 1 Gb oraz z portami światłowodowymi, dzięki którym RING można zbudować z pominięciem dokowych urządzeń sieciowych. Taka architektura przynosi znaczne oszczędności i zwiększa niezawodność układu dzięki eliminacji zbędnych modułów.

Redundancja w warstwie aplikacyjnej teoretycznie jest najprostsza. Kluczowi dostawcy systemów nadzorczych (np. Wonderware) dostarczają w cenie licencji redundantne drivery oraz obsługę logiki przełączania między elementami głównymi i zapasowymi. Należy jednak zwrócić uwagę na czas synchronizacji. W tym celu dostarczane są dedykowane mechanizmy, które – podobnie jak samą sieć i interfejsy sieciowe w stacjach operatorach i serwerach danych – należy odpowiednio skonfigurować. Obecnie dostarczane systemy programuje się dokładnie tak samo, jak systemy z jednym procesorem, a cała funkcjonalność redundancji oraz synchronizacji danych zaszyta jest w kontrolerze. Oprogramowanie narzędziowe ma gotowe wizardy konfiguracyjne wymagające od programisty jedynie podania podstawowych informacji o poziomie redundancji, na bazie których zostanie wygenerowany gotowy plik z konfiguracją. To bardzo ułatwia i przyspiesza proces programowania.