Redundancja to nadmiarowość. W układach automatyki stosujemy ją ze względu na bezpieczeństwo, koszty związane z potencjalną awarią albo organizację/zarządzanie sposobami jej usunięcia.
Omówienie zagadnienia redundancji chyba najlepiej rozpocząć od pokuszenia się o definicję. Za Wikipedią „Redundancja (łac. redundantia „powódź, nadmiar, zbytek”) – nadmiarowość w stosunku do tego, co konieczne lub zwykłe. Określenie może odnosić się zarówno do nadmiaru zbędnego lub szkodliwego, niecelowo zużywającego zasoby, jak i do pożądanego zabezpieczenia na wypadek uszkodzenia części systemu.”
Dla projektanta, wykonawcy i użytkownika systemów automatyki będzie bardziej przydatne sformułowanie, że redundancja to dodatkowa instalacja techniczna (identyczna, co do zasobów sprzętowych i funkcjonalności w stosunku do instalacji podstawowej), która przy normalnych warunkach pracy (bez awarii) jest nadmiarowa wobec tego, co jest wymagane do poprawnej pracy układu automatyki.
Powody stosowania redundancji układów automatyki
Skoro redundancja to nadmiarowość, w stosunku do tego co jest potrzebne żeby nasz system pracował prawidłowo, to po co w ogóle ją stosować?
Powody, w pewnym uproszczeniu, można podzielić na 3 kategorie:
- bezpieczeństwo – gdy w wyniku awarii pojedynczego elementu układu automatyki może dojść do sytuacji zagrożenia ludzi – np. w krytycznych instalacjach przemysłowych,
- koszty – gdy w wyniku takiej awarii może dojść do zniszczenia zasobów sprzętowych lub gdy zatrzymanie lub ponowne uruchomienie instalacji jest drogie – np. w elektrowniach lub zakładach chemicznych,
- organizacja – gdy chcemy optymalnie zarządzać sposobem usunięcia awarii w sytuacji ograniczonych zasobów (czasu, wykfalifikowanego personelu, szybko dostępnych części zamiennych, itp.) – np. na statkach, w zdalnej infrastrukturze przemysłowej – wiatraki, przepompownie, oczyszczalnie ścieków).
Podsumowując, redundancję stosujemy wtedy, gdy chcemy zabezpieczyć się przed potencjalnie wysokokosztowymi skutkami awarii pojedynczych elementów automatyki lub po prostu ochronić ludzi i/lub zasoby sprzętowe.
W niektórych instalacjach przemysłowych zastosowanie redundancji regulują przepisy. Np. dla elementów automatyki zastosowanych w instalacjach morskich wymagane są certyfikaty/dopuszczenia DNV GL, które w zasadach klasyfikacji dla statków (w części DNVGL-RU-Ship-Pt.4Ch.9 “Control Systems”, pkt 1.3.1) definiują, że “zintegrowany system powinien być zaprojektowany z wystarczającą redundancją i/lub segregacją, aby zapobiec utracie podstawowych funkcji lub wielu głównych funkcji w przypadku pojedynczej awarii” (tłumaczenie własne autora).
W powyższym dokumencie odnajdziemy także szczegółowe wymagania dotyczące czasu reakcji tych instalacji.
Rodzaje redundancji – obszary zastosowań
Redundancja zasilania
Zasilanie jest to obszar, w którym najczęściej występują awarie. Szczególnie wrażliwe na uszkodzenia są przetworniki/zasilacze. Dlatego bardzo popularne (i stosunkowo niedrogie) jest zastosowanie w tym przypadku redundancji polegającej na wykorzystaniu dwóch urządzeń, z których każdy może „udźwignąć” zasilanie całego układu w przypadku awarii drugiego.
Dla właściwej skuteczności tego rozwiązania trzeba zwrócić uwagę na szczegóły. Połączenie po stronie wtórnej obu zasilaczy wymaga zastosowania specjalnego układu, który odetnie, w razie awarii, uszkodzoną jednostkę – najlepiej sprawdzają się dedykowane dla tego celu moduły redundancyjne. Przy zastosowaniu standardowych zasilaczy (w trakcie normalnej pracy) musimy liczyć się z nierównomiernym obciążeniem obu jednostek (wystarczy minimalna różnica w napięciu po stronie wtórej zasilaczy). Jeżeli chcemy żeby obie jednostki „zużywały się” w tym samym tempie musimy zastosować rozwiązania zaprojektowane do takiej pracy.
Najbardziej skuteczne podtrzymanie zasilania opiera się na wykorzystaniu różnych źródeł podpiętych po stronach pierwotnych zasilaczy i/lub zastosowanie dodatkowych modułów UPS z osobnymi akumulatorami.
Redundancja komunikacji/sieci komunikacyjnej
Kolejnym „krytycznym” obszarem układów automatyki jest komunikacja i sieci komunikacyjne. Zastosowanie tu redundancji podnosi na wyższy poziom zapewnienie pewności i stabilności przesyłu danych. W tym przypadku chcemy ochronić się przed awarią elementów infrastruktury sieciowej i/lub uszkodzeń okablowania.
Zadanie możemy rozwiązać na bazie 2 różnych topologii sieciowych.
W strukturze Dual-LAN (ilustracja po lewej stronie poniżej) funkcjonują równolegle 2 osobne sieci komunikacyjne. W uproszczeniu – komunikacją „zarządza” sterownik, który aktywuje tylko jedną linię. Druga jest aktywowana po wystąpieniu awarii na pierwszej. To rozwiązanie charakteryzuje się dużą ilością przewodów sieciowych, ale także możliwością zastosowania standardowych (niezarządzalnych) switchy. Dużym ograniczeniem w tym przypadku jest maksymalna odległość pomiędzy 2 urządzeniami w sieci Ethernet – 100m (np. od switcha do najbardziej oddalonego elementu).
W strukturze Single-LAN (ilustracja po prawej stronie poniżej) sieć komunikacyjna jest skonfigurowana w oparciu o topologię ringu. Do każdego urządzenia mamy dostęp z „dwóch stron”. W sytuacji wystąpienia awarii lub uszkodzenia przewodu komunikacja jest przełączana i kontynuowana w drugim kierunku. Takie rozwiązanie pozwala budować sieci na większe odległości – nawet krotności minimalnych odległości pomiędzy dwoma urządzeniami i dodatkowo oszczędza ilość przewodów sieciowych. Komunikacją zarządzają switche zarządzalne. Od ich możliwości zależy rodzaj zastosowanego ringu i co za tym idzie szybkości przełączania kierunku komunikacji.
Dla obu tych sposobów do redundancji komunikacji możemy się przymierzyć tylko w przypadku, jeżeli nasze urządzenia zdalne posiadają podwójne karty sieciowe.
Redundancja sterowania
Trzecim obszarem do omówienia jest redundancji sterowników PLC.
W tym przypadku w układzie występują 2 identyczne jednostki główne, które realizują dokładnie ten sam program użytkownika. Najczęściej do obu równocześnie trafiają dane procesowe, ale tylko jedna z nich może wpływać na stan pracy instalacji (fizycznie sterować elementami wykonawczymi), druga pozostaje w rezerwie (nie ma dostępu do fizycznego sterowania instalacją). Sterowniki na bieżąco wymieniają dane o stanie zmiennych wewnętrznych oraz przede wszystkim kontrolują się wzajemnie. W momencie awarii (lub zatrzymania serwisowego) jednostki, która wtedy steruje instalacją ta, która do tej pory pozostawała w rezerwie podejmuje pracę (zyskuje fizyczny dostęp do elementów wykonawczych). Cała operacja przełączenia jednostek nie ma wpływu na ciągłość pracy chronionej instalacji.
Powód zastosowania redundancji w tym miejscu to jednak niekoniecznie tylko chęć kontynuowania pracy układu przy awarii jednej jednostki. W układach zabezpieczeń stosuje się ją, żeby mieć pewność poprawności działania samych sterowników oraz jednoznaczność i równoczesność (czas reakcji jest często bardzo istotny) wykonywanych przez nie programów użytkownika. W tym przypadku oba bliźniacze sterowniki pracują równocześnie (także fizycznie sterują elementami wykonawczymi), ale przede wszystkim kontrolują się wzajemnie. W przypadku odkrycia jakiejkolwiek różnicy w ich działaniu natychmiast wdrażane są procedury bezpieczeństwa (najczęściej sprowadzenie instalacji do stanu bezpiecznego).
Rodzaje redundancji – kategorie
Na koniec trzeba jeszcze wspomnieć o rodzajach redundancji – potocznie nazywanych: zimną rezerwą (ang. cold standby), ciepłą rezerwą (warm standby) i gorącą rezerwą (hot standby). Opisują one czas (i po części także sposób) reakcji na wystąpienie przesłanek do przełączenia elementów układów redundancji.
- cold standby – w tym przypadku rezerwowe układy redundancyjne najczęściej są normalnie wyłączone, krótkotrwałe zatrzymania instalacji są dopuszczalne, a do obsługi awarii mogą być przewidziane operacje manualne; wymagany czas reakcji jest podawany w minutach (np. 30 minut, 15 minut, 1 minuta)
- warm standby – podstawowa i rezerwowa instalacja w układzie redundancyjnym jest „pod napięciem”, awarie w układzie automatyki wymagają szybkiej, jednak niekoniecznie natychmiastowej reakcji (np. chwilowy brak przepływu niekrytycznych danych), przełączenie jest automatyczne; wymagany czas reakcji jest podawany w sekundach (np. 10 sekund, 1 sekunda, 0,1 sekundy)
- hot standby – podstawowa i rezerwowa instalacja pracują równolegle, awarie są obsługiwane automatycznie i natychmiast, błąd w układzie automatyki nie ma wpływu na system techniczny/technologiczny; wymagany czas reakcji jest określany jako „bezprzerwowe przełączenie” lub w milisekundach (np. 100ms, 10 ms, 1ms).
Przymierzając się do zastosowania redundancji w naszych systemach automatyki musimy rozważyć jaki rodzaj potrzebujemy i oczywiście związane z tym koszty – nie tylko te wydane na zakup sprzętu, ale także jego uruchomienia, późniejszych modernizacji oraz obsługi serwisowej. Niestety w dostępnych na rynku systemach automatyki przeważają specjalne rozwiązania dla układów redundancyjnych. W efekcie, często, nie możemy zastosować podstawowych sterowników danego producenta tylko specjalnie zakupione (z reguły dużo droższe) rozwiązania. Takie podejście producentów mocno ogranicza zasadność zastosowania redundancji w większości projektów.
Na tym tle rozwiązanie Application-based Controller Redundancy (ACR) od WAGO bazujące na standardowych sterownikach z rodziny PFC wydaje się atrakcyjną propozycją. Czytelników zainteresowanych szczegółami zapraszam do lektury kolejnych artykułów o redundancji układów automatyki na blogu WAGO.
Autor: Paweł Frankowski
Kierownik Zespołu Rozwoju Sprzedaży Automatyka Przemysłowa
w WAGO ELWAG Sp. z o.o.
źródło: WAGO.pl