Redundantní řešení GE Fanuc na základě PACSystems RX7i
Firma GE Fanuc Automation v loňském roce zahájila dodávky řídicích systémů nové generace PACSystems™, které poskytují uživatelům velký výkon, maximální flexibilitu a snadnou přenositelnost aplikačního softwaru mezi hardwarovými platformami. V současné době je nejvýkonnější řada PACSystems RX7i doplněna o redundantní řešení, tzv. systém s velkou provozní spolehlivostí (high availability system).
Redundantní systémy
Pro řízení běžných technologických zařízení se používají řídicí systémy na bázi jednoho programovatelného automatu (řídicího systému). K jeho havárii může dojít v podstatě dvojím způsobem. Jednak může nastat výpadek tohoto automatu, který následně přestane řídit. Podle použitého způsobu řešení pak technologické zařízení buď zůstane v posledním stavu, nebo se zastaví a výpadek automatu je snadno rozpoznán. Druhým případem je stav, kdy automat sice zařízení řídí, ale vycházejí z něj nesprávná výstupní data, ať už v důsledku chyby v provádění algoritmu, závady na výstupním systému, nebo z jiných důvodů. Takový stav může být detekován vlastním automatem, ale teoreticky také nemusí být rozpoznán. Technologické zařízení je potom řízeno chybně, což může způsobit nemalé následné škody. V závislosti na konkrétní situaci je třeba určit přípustnou pravděpodobnost výskytu chyby v řídicím systému (míru rizika) a výši škod, které tato chyba může způsobit, a to nejen škod finančních, ale i škod v podobě ohrožení životního prostředí a lidských životů. Použije-li se např. programovatelný automat k řízení bezobslužného podavače materiálu k obráběcímu stroji, stroj se při výpadku automatu zastaví (možná vyrobí zmetek). Použije-li se ale řídicí systém např. pro řízení vrtné plošiny pro těžbu ropy, může jakýkoliv, byť jen krátkodobý výpadek znamenat ekologickou havárii a ohrožení lidských životů. Logicky se tedy u první z uvedených úloh vystačí s jednoduchým řešením, zatímco ve druhém případě bude požadováno zabezpečení pro případ výpadku řídicího systému.
Pro vyloučení (zmenšení) rizik při řízení vznikla redundantní řešení. Základním principem redundance je rozšíření základního hardwaru o další nadbytečné (redundantní) komponenty, nejčastěji o celé programovatelné automaty. Tak, jako se možné výpadky dělí na dvě skupiny, jsou na dvě skupiny rozdělena také redundantní řešení. Pro vyloučení selhání celého systému při výpadku jednoho automatu se používají řešení s velkou provozní spolehlivostí (high availability), zatímco pro vyloučení chybného provádění algoritmu se používají rozhodovací systémy (voting systems). Rozhodovací systémy využívají dvě nebo více řídicích jednotek současně provádějících řídicí algoritmus. Za chodu jsou porovnávány vstupní hodnoty, výstupní hodnoty, kontrolní součty procesoru a mnoho dalších údajů a v případě odchylky je indikována chyba. Podle typu a konfigurace systém na uvedenou odchylku zareaguje. Může pokračovat v činnosti a spoléhat na zbývající systémy, nebo může zahájit přechod do bezpečného stavu a řízené zařízení bezpečně zastavit.
Systémy s velkou provozní spolehlivostí
Systémy s velkou provozní spolehlivostí, na rozdíl od rozhodovacích systémů, nezajišťují ochranu proti chybě při provádění řídicího algoritmu, ale zajišťují kontinuitu řízení při výpadku programovatelného automatu. Architektura takového systému je založena na dvou stejných programovatelných automatech, z nichž jeden, označovaný jako hlavní (master), řídí technologický proces stejně jako v případě jednoduchého systému, zatímco druhý automat, označovaný jako záložní (backup), slouží jako záloha schopná převzít řízení v případě výpadku hlavního automatu. Vlastní technologické zařízení tedy v každém okamžiku řídí jen jeden automat.
Kritickým momentem tohoto uspořádání je okamžik výpadku hlavního automatu. Tehdy se musí automaticky přepnout na záložní automat, který musí pokračovat v řízení technologického zařízení přesně ve stejném místě, kde byl hlavní automat v okamžiku výpadku. V případě, že se hodnoty hlavního a záložního automatu budou lišit, může nastat skoková změna výstupních hodnot, která se z pohledu řízeného zařízení jeví jako „náraz„, a může dokonce vést i k jeho poškození. Proto je nezbytné hlavní a záložní automat nepřetržitě synchronizovat. Tím jsou v obou automatech zajištěny stejné hodnoty, a tudíž i beznárazové přepnutí řízení z jednoho na druhý.
Kde najdou redundantní řídicí systémy uplatnění? Typicky všude tam, kde je z určitých důvodů požadována skutečně nepřetržitá činnost řídicího systému. Jedná se např. o:
nepřetržité nebo šaržové výrobní procesy, kde náhlý výpadek může znamenat zničení rozpracované výroby, jako např. ve vodárenství, metalurgii nebo výrobě polovodičů,
dopravní techniku, kde musí být zjištěna plynulá funkce, např. osvětlení letištních drah, řízení dopravních systémů v tunelech nebo na mostech apod.,
řízení zařízení na vzdálených či jinak pro údržbu obtížně dostupných místech, jako jsou vzdálené čerpací stanice, malé vodní elektrárny, produktovody nebo těžba v moři,
činnosti, jejichž přerušení znamená zastavení výroby, jako v případě jeřábů nebo při řízení přídavných zařízení turbín apod.
Je třeba si také uvědomit, že redundantní systémy neposkytují zálohu řízení pouze v případě neplánovaného výpadku řídicího systému, ale také při případných modifikacích jeho softwaru i hardwaru. Díky vlastnostem redundantních systémů je možné zavést novou verzi (upgrade) systému, vyměnit moduly nebo změnit algoritmus řízení bez zastavení řízeného zařízení, které mnohdy na požádání ani zastavit nelze.
Redundantní řešení od firmy GE Fanuc
Firma GE Fanuc Automation je dlouholetým dodavatelem redundantních řešení na všech úrovních bezpečnosti. Na nejnižším stupni bezpečnosti je systém Max-ON. Je to řešení s velkou spolehlivostí, s omezenou synchronizací dat realizované na bázi řídicího systému Series 90-30. Vzhledem k omezené synchronizaci dat je systém Max-ON vhodný pro technologie, které mohou akceptovat náraz při přepnutí z hlavního řídicího systému na záložní. Pro úlohy vyžadující beznárazový přechod mezi hlavním a záložním řídicím systémem je k dispozici řešení PACSystems™ High Availability. Vyšší úrovně bezpečnosti se dosahuje použitím rozhodovacích systémů GMR (Genius Modular Redundancy), které existují v provedení 1oo1D (rozhodování 1 z 1 s diagnostikou) pro SIL 2 (Safety Integrity Level, úroveň integrity bezpečnosti) a v provedeních 1oo2D (1 ze 2 s diagnostikou) a 2oo3D (2 ze 3 s diagnostikou), certifikovaných TÜV pro SIL 3. Přehled redundantních řešení nabízených firmou GE Fanuc je na obr. 1.
Metoda CMX
Metoda CMX (Control Memory eXchange) je řešení využívající patentovanou metodu reflektivní paměti sloužící ke sdílení dat v systémech pro řízení průmyslových technologických procesů. Vyvinula ji a úspěšně mnohokrát použila firma VMIC, která je od roku 2001 součástí GE Fanuc Automation. Základem řešení CMX je ultrarychlá deterministická optická síť s rychlostí přenosu 2,12 GBd, na kterou lze připojit až 256 uzlů ve vzdálenosti až 300 m. Každý uzel je představován paměťovou kartou s pamětí o velikosti 16 MB instalovanou v příslušném zařízení, kterým může být programovatelný automat, PC, jednodeskové PC atd. (tyto karty existují v provedení pro sběrnice VMEbus, PCI, MOC bus a Multibus I). Paměťová karta pracuje paralelně s hlavní pamětí systému a nemá téměř žádný vliv na rychlost jeho procesoru, a tedy ani na odezvu systému. Jakmile dojde k zápisu do paměti CMX, změněná data jsou okamžitě automaticky odeslána do všech uzlů v síti přenosovou rychlostí 174 MB/s a dobou přenosu mezi dvěma uzly 450 ns. V případě čtyř uzlů v síti tak budou data v celé síti synchronizována za 1,35 s. Při běžném cyklu programovatelného automatu v řádu jednotek, popř. desítek milisekund lze tedy synchronizaci považovat za okamžitou.
Systém CMX se chová jako virtuální globální paměť a při výpadku optického spojení je stále k dispozici lokální karta CMX s daty odpovídajícími poslední synchronizaci. Data jsou tudíž stále k dispozici, pouze se po dobu výpadku sítě neobnovují (nesynchronizují).
Řešení CMX ideálně vyhovuje rozsáhlým úlohám vyžadujícím velmi rychlou odezvu. Řízení technologického procesu může být snadno rozděleno do několika zařízení, která tímto způsobem sdílejí data potřebná pro spolupráci. Metoda CMX nevyžaduje ke své činnosti použití jednoho typu řídicího systému, a dokonce není ani vázána na použití systémů od firmy GE Fanuc. Lze ji použít v jakémkoliv systému, který má již zmíněná komunikační rozhraní.
Systém s velkou spolehlivostí na bázi PACSystems RX7i
Systém s velkou spolehlivostí RMX (Redundancy Memory eXchange) používá stejný způsob synchronizace dat jako systém CMX. Vychází ze standardního systému PACSystems RX7i, který je v některých prvcích modifikován pro řešení RMX. V případě systému RMX je použit jiný firmware procesorové jednotky, jenž se od standardního liší pouze v malém rozšíření pro automatickou podporu synchronizace dat. Nový firmware je dodáván v procesorových jednotkách určených pro systémy RMX. Nicméně může být zaveden i do již existujících jednotek.
Základem procesorové jednotky je procesor Pentium III s taktovací frekvencí 700 MHz a s vestavěným ethernetovým rozhraním a uživatelskou pamětí 10 MB, poskytující dostatečný výkon i paměť pro všechny aplikační programy. Pro zajištění synchronizace dat musí být použita 16MB karta RMX, která umožní realizovat spojení optickým kabelem s druhým systémem vzdáleným až 300 m. Vstupně-výstupní systém lze připojit po sběrnici Genius bus nebo po Ethernetu, popř. lze také použít vstupně-výstupní systém obsažený přímo v sestavě PACSystems RX7i. Při smíšených úlohách, kde je část řízení redundantní a část jednoduchá, lze u příslušných sestav PACSystems RX7i použít různou skladbu hardwaru podle potřeby. Pro zvýšení bezpečnosti lze volitelně použít jak zdvojené synchronizační propojení, tak zdvojenou sběrnici pro komunikaci se systémem vstupů a výstupů. V rámci systému s velkou spolehlivostí je také možné používat vstupně-výstupní systém VersaMax® I/O, který mj. nabízí podporu dvojité sběrnice Genius bus, možnost uživatelské konfigurace vstupně-výstupních stanic a výměnu modulů za chodu.
Součástí redundantního řešení na bázi PACSystems RX7i je i metoda Redundant IP, která zjednodušuje a zrychluje ethernetovou komunikaci mezi redundantními sestavami PACSystems RX7i a nadřazeným monitorovacím a ovládacím systémem (Supervisory Control and Data Acquisition/Human-Machine Interface – SCADA/HMI). Jedno ethernetové rozhraní je vestavěno v procesorové jednotce a v případě požadavku na zdvojení ethernetové sítě lze do obou sestav PCSystems RX7i přidat druhou ethernetovou kartu (obr. 2).
Vlastní řídicí systémy s velkou dostupností na bázi PACSystems RX7i je možné snadno konfigurovat při použití nástroje Redundancy Wizard, který je součástí vývojového prostředí Proficy™ Machine Edition. Uživatel v něm velmi snadno charakterizuje sestavu hardwaru celého řídicího systému i vstupní a výstupní data sdílená oběma systémy, hlavním a záložním (která jsou během chodu celého řešení automaticky synchronizována).
Závěr
Nová generace řídicích systémů PACSystems RX7i od firmy GE Fanuc umožňuje, vlivem rozšíření o systém s velkou spolehlivostí (high availability), realizovat širokou škálu náročných řídicích úloh. Díky flexibilitě a přenositelnosti řešení mezi hardwarovými platformami mohou zákazníci optimálně zvolit řešení odpovídající potřebám dané úlohy. Řešení s velkou spolehlivostí na bázi PACSystems RX7i nabízí velký výkon, velkou kapacitu paměti a nepřetržitou synchronizaci dat v řídicím systému s minimální časovou nejistotou, představující zlomek doby cyklu programovatelného automatu. Vedle použití pro nové úlohy, kde je systém s velkou provozní spolehlivostí přímo požadován, lze na systém s velkou spolehlivostí změnit také dosavadní jednoduché systémy PACSystems RX7i nebo Series 90-70. Díky jasně definované přenositelnosti softwarových řešení a jejich flexibilitě nevyžaduje takové rozšíření tvorbu nového aplikačního softwaru, ale umožňuje použít již existující software, do kterého se pouze doplní a popř. automaticky zkonvertuje (u sestav Series 90-70) redundantní konfigurace.
Ing. Jan Koudelka,
GE Fanuc Automation ČR, s. r. o.
GE Fanuc Automation ČR s. r. o.
U Studánky 3
170 00 Praha 7 – Holešovice
tel.: 233 372 503, 233 372 501
fax: 233 370 821
e-mail: info@gefanuc.cz
http://www.gefanuc.cz
|