Przykładem potrzeby redundancji w systemie automatyki może być zapewnienie prawidłowego działania przedsiębiorstwa wodociągowego. W celu zagwarantowania wysokiej jakości wody użytkowej i do celów spożywczych władze miejskie w każdym rejonie świata muszą zapewnić poprawne funkcjonowanie systemu dystrybucji wody przez 24 godziny na dobę, przy jak najmniejszych kosztach i jednoczesnym uwzględnieniu wciąż modyfikowanych przepisów, kryteriów jakościowych, nowych norm bezpieczeństwa oraz postępującej z czasem degradacji infrastruktury systemowej. By sprostać tym wyzwaniom, wiele zakładów komunalnych decyduje się na modernizację wykorzystywanych u siebie systemów automatyki lub też na ich instalację po raz pierwszy. Wraz z rozważaniami dotyczącymi modernizacji lub pierwszej instalacji nowoczesnego systemu sterowania w aplikacji przemysłowej, zawsze pojawia się kwestia wprowadzenia odpowiedniego poziomu redundancji w strukturze urządzeń sterujących.
Co to jest redundancja?
Redundancja pojawia się we współczesnych systemach automatyki w wielu formach, a w niektórych aplikacjach przemysłowych jest wręcz ich integralną częścią. W swej najprostszej postaci redundancja urządzeń wymaga zainstalowania ręcznych, dublowanych przełączników praktycznie dla każdego urządzenia systemowego. W systemach automatyzowanych pracę urządzeń kontrolują odpowiednie, dedykowane sterowniki. W niektórych aplikacjach jednak praca nadmiernie zautomatyzowana może prowadzić do sytuacji groźniejszych niż sterowanie manualne.
Na przykład w utleniających rowach cyrkulacyjnych automatyczne sterowanie procesem może doprowadzić do nadmiernego nasycenia tlenem przez aeratory. W trybie ręcznym najlepszym wyjściem w takiej sytuacji może się okazać szybkie wyłączenie wszystkich aeratorów, co zapewni właściwy poziom nasycenia powietrzem, bez konieczności stałego monitoringu wskaźników procesowych. Jednakże może to również zaowocować większymi stratami energii. Rozwiązaniem alternatywnym jest zastosowanie obejścia – bypassu – w formie kanału omijającego urządzenie filtrujące, co zapewnia poprawne funkcjonowanie linii procesowej. Może jednak prowadzić do pojawienia się w nadmiernej ilości szkodliwych cząstek zanieczyszczeń w dalszych etapach oczyszczania – odstojnikach, klarownicach, zbiornikach.
Innym sposobem realizacji redundancji jest tzw. nadmiarowość urządzeń, a więc instalacja większej ich liczby niż niezbędna w procesie. Na przykład montaż trzech pomp, gdy konieczne są tylko dwie. Tego typu rozwiązania są bardzo popularne. Zwykle każda z takich pomp ma swój własny układ rozruchowy, moduł falownikowy i sterownik, dzięki czemu idea redundancji systemu dotyka też sfery automatyki i sterowania takim układem. Realizacja idei redundancji może być również osiągnięta poprzez budowę kilku osobnych ciągów produkcyjnych/przetwórczych, z których każdy ma zazwyczaj niezależny system sterowania lub są one częściowo powiązane funkcjonalnie.
I wreszcie redundancja może być oparta na odpowiednim projekcie, strukturze i funkcjonalności systemu automatyki.
Trzy typy redundancji w systemach automatyki
W automatyce przemysłowej redundancja systemowa może być zrealizowana na trzy sposoby, jako tzw.: zimna, ciepła i gorąca (cold, warm, hot).
Redundancja cold. Ten rodzaj redundancji stosuje się do sterowania procesami, gdzie czas reakcji ma minimalne znaczenie, a obsługa systemu zwykle wymaga interwencji operatora. Przykładem może być instalacja dwóch pras, z których każda ma własny panel sterowania. W przypadku awarii jednej z nich operator przywraca funkcjonalność procesu przez załączenie drugiej prasy. W takiej aplikacji wyłączenie prasy głównej może skutkować brakiem wytłoczenia co najwyżej kilku elementów, jednakże nie prowadzi do całkowitego zablokowania produkcji. Dlatego też taka redundancja może bazować na czynniku ludzkim, a więc interwencji operatora.
Jeżeli jednak czynnik czasu reakcji systemu staje się już parametrem krytycznym, należy stosować tzw. redundancję warm lub hot.
Redundancja warm. Ten typ redundancji spotykany jest w aplikacjach, gdzie czas reakcji jest parametrem znaczącym, jednak wciąż dopuszczalne są bardzo krótkie zatrzymania procesu, skutkujące nagłymi uderzeniami (w układach wodnych, gazowych itp.). W czasie takich uderzeń zawory, silniki pomp i inne urządzenia mogą podlegać krótkotrwałym wyłączeniom, a związane z nimi czujniki mogą nie przekazywać przez pewien czas informacji o swoim stanie do np. sterowników PLC. Ten typ redundancji może być zobrazowany na przykładzie systemu ATAD (autotermicznej tlenowej stabilizacji osadu), w którym w czasie przemian biologicznych powstaje ciepło. Do jego rozproszenia wykorzystuje się zwykle mieszalniki, aeratory i reduktory piany, dostarczające powietrze i ograniczające gromadzenie się piany. Przy nagłym pojawieniu się przerwy, okresu przejściowego, wartość ciepła w procesie może pozostawać na stałym poziomie, co z kolei prowadzi do zmniejszenia jego wydajności energetycznej. Trzeba jednak pamiętać, że wyłączenie mikserów, aeratorów, reduktorów piany na dłużej niż kilka minut powoduje nadmierny, nieprzewidziany przyrost piany i rozwarstwienie osadów, na skutek czego procesy przemian biologicznych mogą przejść w niekorzystną fazę beztlenową. Dlatego też w systemie sterowania dla takich aplikacji dopuszcza się kilkusekundowe przerwy w pracy urządzeń, które jednak powinny być jak najszybciej automatycznie przywrócone do pracy, by uniknąć zaburzeń procesów tlenowej stabilizacji osadu.
Systemy redundantne typu warm zbudowane są zwykle w oparciu o dwa mikrokontrolery (sterowniki) włączone jako główny i zapasowy (w trybie oczekiwania standby). Sterownik główny steruje układami we/wy obsługującymi sygnały procesowe, podczas gdy zapasowy jest zasilony i otrzymuje okresowo sygnały nastaw ze sterownika głównego, oczekując na jego ewentualne wyłączenie na skutek awarii itp. Jeżeli awaria nastąpi, sterownik zapasowy przejmuje proces sterowania wszystkimi modułami w miejsce sterownika głównego, który w tym czasie może być serwisowany. Sygnały nastaw/stanów sterownika głównego przekazywane są zwykle na zakończenie każdej sekwencji programowej w postaci najbardziej istotnych danych, niezbędnych do podtrzymania ciągłości sterowanych procesów. Dlatego też w momencie przejęcia sterowania przez sterownik zapasowy, w procesach mogą nastąpić małe przerwy i uderzenia, zanikające po kilku sekundach i unormowaniu wszystkich bieżących nastaw.
Pod względem sprzętu typy redundancji warm i hot są bardzo podobne i często mylone, nawet przez specjalistów. Dlatego warto wiedzieć o najistotniejszych różnicach między nimi.
Redundancja hot. Tego typu redundancję stosuje się, gdy w obsługiwanej aplikacji w żadnych okolicznościach niedopuszczalna jest nawet najmniejsza przerwa w sterowaniu. Przykładem mogą być ciśnieniowe układy membranowe i zaworowe. W obu przypadkach te procesy technologiczne nie wymagają same z siebie sterowania w układzie redundancji typu hot, jednak w przypadku prowadzenia strumieni zwrotnych jest już ona niezbędna. W czasie odwracania strumienia może bowiem nastąpić odwrócenie zaworów, zaburzenie ich sekwencji działania lub zatrzymanie silników, przez co proces odwracania może być niekompletny. Na skutek tego do czystej wody mogą się dostać zanieczyszczenia, a niektóre z urządzeń mogą ulec nieodwracalnym zniszczeniom. Takie sytuacje są niedopuszczalne – dlatego też w tego typu aplikacji konieczne jest zastosowanie redundancji hot.
Jak już wspomniano wcześniej, sfera sprzętowa układów z redundancją hot jest identyczna jak w przypadku typu warm, z tą jednak podstawową różnicą, że w systemach hot nie ma żadnego opóźnienia, przerw i uderzeń w momencie przełączania sterowania między sterownikiem głównym a zapasowym. Aby to było możliwe, konieczne jest odpowiednie zarządzanie transmisją danych, ustawień pomiędzy dwoma sterownikami, które w rzeczywistości przekazywane są na bieżąco, czyli w każdym cyklu logicznym pracy układu sterującego. Organizację transmisji danych w takim reżimie realizuje się zwykle według dwóch dostępnych metod.
Pierwsza z nich to wysłanie danych ze sterownika głównego po zeskanowaniu nastaw programowych po każdym cyklu pracy programu. W takim trybie, zwanym „skanuj i wyślij”, tylko po potwierdzeniu transmisji danych do sterownika zapasowego możliwy jest kolejny krok programu i w efekcie na jego końcu ponowne skanowanie parametrów. Technika ta po raz pierwszy była zastosowana przez firmę Modicon przy budowie pierwszych redundantnych sterowników PLC. Z powodzeniem stosowana jest również w wielu współczesnych aplikacjach i jak wskazuje praktyka, gwarantuje właściwy poziom niezawodności oraz szybkości działania. Jednakże przy stosowaniu tej metody trzeba zwrócić uwagę na kilka istotnych kwestii. Po pierwsze rzeczywisty czas skanu parametrów między sterownikami jest połączeniem czasu skanowania programu oraz czasu transmisji zeskanowanych danych między sterownikami. Ponieważ czas skanowania może być parametrem krytycznym w niektórych aplikacjach, dostawcy systemów redundantnych zwracają uwagę w dokumentacji swoich urządzeń, że program sterownika powinien być zoptymalizowany pod kątem jak największej szybkości skanowania. Niejednokrotnie sugerują w nich również, jak ograniczyć zbędne kroki i operacje skanowania tylko do niezbędnych, związanych bezpośrednio z bieżącymi faktycznymi zmianami parametrów. Jeżeli sugestie te nie zostaną właściwie uwzględnione, może to doprowadzić do nadmiernego obciążenia łączy komunikacyjnych i w momencie awarii do nieprawidłowego przejęcia sterowania przez układ zapasowy. Układy redundancji typu hot bazujące na wspomnianej metodzie funkcjonują już od dłuższego czasu w automatyce przemysłowej i dobrze się sprawdzają. Trzeba jednak mieć świadomość ich wspomnianych ułomności.
Postęp technologiczny w dziedzinie układów sterujących pozwolił w ostatnim czasie na opracowanie nowej metody transmisji danych w układach redundantnych hot, tym razem niezależnej od czasu skanowania parametrów programu w sterowniku głównym. Ta nowa metoda zwana jest transmisją asynchroniczną. Do jej realizacji niezbędny jest sterownik główny wyposażony w dwa wbudowane mikroprocesory, z których pierwszy zajmuje się obsługą kolejnych procedur programowych. Po każdym zakończeniu cyklu programu wszystkie dane, nastawy są przekazywane do drugiego mikroprocesora, który z kolei ma za zadanie obsługę transmisji danych, podczas gdy procesor pierwszy już uruchamia kolejny cykl programowy. W ten sposób w sterowniku pracują dwa procesory – jeden wykonujący program sterowania, drugi odpowiedzialny za obsługę transmisji danych do sterownika zapasowego, a sama transmisja przebiega asynchronicznie w stosunku do realizowanego algorytmu sterowania. Dzięki temu możliwe jest przesyłanie kompletnych tabel parametrycznych, bez wpływu na opóźnienie realizacji obsługi sterowania urządzeń procesowych. Sam program sterowania nie musi być już zatem rygorystycznie optymalizowany pod kątem szybkości skanowania niezbędnych parametrów i nastaw. Dlatego też w większości przypadków ta metoda obsługi redundancji hot jest lepsza do zastosowań w zakładach uzdatniania wody, gdzie większość procesów funkcjonuje w trybie wysokiej niezawodności, ze względu na krytyczność parametrów czystości wody.
Trzeba jednak pamiętać, że redundancja w systemach sterowania to zawsze pewna filozofia ich działania, nie zaś gotowe rozwiązanie. Wymaga zawsze dokładnego przeanalizowania dla każdej aplikacji, zarówno pod kątem funkcjonalności, jak i kosztów instalacji i utrzymania.
Artykuł pod redakcją dr. inż. Andrzeja Ożadowicza – AGH Kraków
Autor: Grant van Hemert
