Redundance zní impozantně. Duplikujeme řídicí jednotky, sítě, servery. To vše proto, aby porucha jednoho prvku nezastavila výrobu. Zní to jako ideální plán. Majitelé továren to milují. Prodejci zařízení to mají rádi ještě víc.
Vraťme se však na zem. V praxi je zdvojování všeho bez rozmyslu prostě absurdní. Nadbytečná architektura situaci ne vždy zachrání. Často jen zvyšuje náklady, komplikuje kód a přidává zcela nové body selhání. Klíčová otázka tedy vůbec nezní „zda zajistit redundanci“. Otázka zní „kde přestat“.
Kdy má duplikace smysl, aneb objektivní posouzení rizika
V zásadě je to jednoduché. Redundance má smysl tam, kde je výpadek nejbolestivější. Mluvíme o nepřetržitých procesech. O velkých chemických závodech, energetice nebo hutních pecích. Tam hrozí při náhlém zastavení zařízení výbuch, požár nebo milionové ztráty v podobě zničeného materiálu.
V takových případech je konfigurace primární-záložní naprosto zásadní. Došlo k poruše hlavního PLC? Záložní systém převezme řízení během zlomku sekundy. Proces pokračuje dál. Operátor si často ani nevšimne výkyvu na grafech. Nezapomínejme však, že se jedná o skutečně kritické situace.
Na běžné plnicí nebo montážní lince je situace úplně jiná. Dojde k poruše řídicí jednotky? Linka se zastaví. Údržba zařízení vymění za hodinu nebo dvě. Výroba se opět rozběhne. Ztráty samozřejmě vzniknou, ale jsou přijatelné. Balení v takovém uspořádání s plnou redundancí je v rozporu s obchodním cílem.
Falešný pocit bezpečí. Pozor na společný bod selhání
Zde se skrývá největší úskalí při projektování. Falešný pocit bezpečí. Máte dva výkonné řadiče? Skvělé. Dvě nezávislé síťové karty? Výborně. Ale k čemu to je, když oba tyto systémy napájíte ze stejné rozvodné skříně? Nebo vedete komunikační kabely ve stejném kabelovém žlabu?
Tento jev se nazývá Single Point of Failure (SPOF), tedy jediný bod selhání. Praskne vodovodní potrubí a zaplaví obě skříně najednou. Řidič vysokozdvižného vozíku přeřízne hlavní napájecí kabel haly. V tu chvíli se celá tato cesta, zdvojnásobená investice, zhroutí jako domeček z karet.
Při navrhování redundantních systémů je bezpodmínečně nutné myslet na fyzické oddělení zařízení. Bez oddělených kabelových tras, nezávislých zdrojů napájení a odpovídající protipožární izolace je zdvojení elektroniky pouze nákladnou iluzí ochrany.
Co vlastně duplikujeme? Od napájení až po ovladače
V automatizaci lze zdvojit téměř cokoli. Začněme od základů, tedy od napájení. Dva nezávislé napájecí okruhy a spolehlivý UPS jsou dnes standardem. Ale instalovat to do malých objektů bez významu je přehnané. Podobně je tomu u komunikačních sítí. Dvě přenosové cesty skvěle stabilizují provoz velkých systémů. V malých strojích, kde nedochází ke kritické synchronizaci pohonů, je to však pouhá nadbytečnost.
Pojďme se podívat na vyšší úroveň struktury. Paralelní provoz řídicích jednotek PLC zajišťuje kontinuitu v případě poruchy zařízení. To je skvělá věc. Ale psát složitý synchronizační kód pro jednoduchý balicí stroj je inženýrská chyba. A co servery SCADA? Zde se vyplatí mít záložní stroj. Na druhou stranu musíme mít na paměti, že dočasný výpadek náhledu velmi zřídka zastaví samotný výrobní proces.
Podobně je tomu i u přístrojů pro měření v terénu. Dvojité snímače zaručují spolehlivost měření. Pokud však dané měření slouží inženýrům pouze pro statistické účely nebo pro obecný dohled, je jeho zdvojení pouhým plýtváním rozpočtem. Stačí jeden, ale spolehlivý snímač.
Skryté náklady na údržbu. Složitost, která se po letech vymstí
Příliš často zapomínáme na jeden klíčový aspekt. Redundance není jen jednorázový nákup druhého řídicího zařízení. Jedná se o výrazné a trvalé zvýšení složitosti celého systému. Někdo musí napsat sofistikovanou logiku přepínání. Někdo to musí důkladně otestovat. A pak to někdo musí po dlouhá léta na místě provozovat a udržovat.
Složitý systém je ve stresové situaci těžší pochopit. Provozní služby pak mají obrovský problém s rychlou diagnostikou. Výměna poškozeného prvku v redundantním systému často vyžaduje speciální, striktní postupy. Jedna malá chyba technika a celá instalace je mimo provoz.
Někdy opravíte jednoduchý, samostatný systém s notebookem na klíně za čtvrt hodiny. Obnovení stability ve špatně navrženém, zdvojeném kolosu může inženýrům zabrat až dva pracovní dny.
Hranice rentability. Kdy říct „dost“
Každý průmyslový projekt má svou logickou hranici. Hranice rentability nastává přesně tam, kde náklady a rostoucí složitost převyšují reálné riziko výpadku. Duplikace řídicího systému často stojí dvakrát tolik jako samotné základní zařízení. Je třeba zaplatit za další licence, stovky inženýrských hodin a složité přejímací zkoušky.
Dobrý automatikář ví, kdy se má zastavit. Místo toho, aby zdvojoval celou linku, zabezpečí pouze jedno kritické úzké místo. Dbá na to, aby měl k dispozici kvalitní a aktuální zálohu programu. Skladuje klíčové náhradní díly.
V mnoha případech to k zajištění klidu zcela stačí. Umění totiž nespočívá v tom, utratit milion zlotých za záložní vybavení. Skutečným uměním je udělat to s rozvahou a na základě obchodního zdůvodnění.
Shrnutí
Redundance v průmyslové automatizaci je mocným nástrojem, ale pouze tehdy, pokud vychází z objektivního posouzení rizik, a nikoli z inženýrského ega. Nejde o to, bezmyšlenkovitě zdvojovat každý snímač, kabel a řídicí jednotku ve výrobní hale. Jde o cílené, precizní zabezpečení těch míst, jejichž výpadek firmu stojí nejvíce. Dobře navržená redundance zachrání závod před katastrofou, zatímco ta přehnaná a špatně navržená pouze vyčerpává rozpočty a způsobuje údržbářským službám neustálé bolesti hlavy.
