Redundantie klinkt indrukwekkend. We zorgen voor dubbele besturingssystemen, netwerken en servers. Dit alles om te voorkomen dat een storing in één onderdeel de productie stillegt. Het klinkt als een ideaal plan. Fabriekseigenaren zijn er dol op. Verkopers van apparatuur vinden het nog leuker.
Laten we echter even met beide benen op de grond blijven staan. In de praktijk is het simpelweg absurd om alles klakkeloos te dupliceren. Overbodige architectuur redt de situatie niet altijd. Vaak drijft het alleen maar de kosten op, maakt het de code ingewikkelder en voegt het geheel nieuwe storingspunten toe. De cruciale vraag is dus helemaal niet „moeten we redundantie inbouwen?”. De vraag is „waar moeten we ophouden?”.
Waar dubbelwerk zinvol is, oftewel een strenge risicobeoordeling
Het komt eigenlijk heel eenvoudig neer. Redundantie is zinvol op die plekken waar een stilstand de grootste schade veroorzaakt. We hebben het dan over continue processen. Zoals de chemische industrie, de energiesector of smeltovens. Daar kan een plotselinge stilstand van de installatie leiden tot een explosie, brand of miljoenenverliezen aan beschadigd materiaal.
Op zulke plekken is een primary-standby-opstelling absoluut essentieel. Een storing in de hoofd-PLC? De reserve-PLC neemt binnen een fractie van een seconde de leiding over. Het proces gaat gewoon door. De operator merkt vaak niet eens een schommeling in de grafieken. Maar laten we niet vergeten dat dit echt kritieke situaties zijn.
Op een gewone afvul- of assemblagelijn ligt de situatie heel anders. Gaat er een besturingseenheid kapot? Dan staat de lijn stil. De onderhoudsdienst vervangt de apparatuur binnen een uur of twee. De productie loopt weer op gang. Er zijn natuurlijk wel verliezen, maar die zijn acceptabel. Verpakken in een dergelijke opstelling met volledige redundantie gaat voorbij aan het zakelijke doel.
Een vals gevoel van veiligheid. Pas op voor het gemeenschappelijke zwakke punt
Hier schuilt de grootste valkuil bij het ontwerp: een vals gevoel van veiligheid. Heb je twee krachtige controllers? Geweldig. Twee onafhankelijke netwerkkaarten? Fantastisch. Maar wat heb je daar aan als je beide systemen vanuit dezelfde schakelkast van stroom voorziet? Of als je de communicatiekabels door dezelfde kabelgoot leidt?
Dit fenomeen wordt Single Point of Failure (SPOF) genoemd. Een enkel storingspunt. Er barst een waterleiding en beide kasten lopen tegelijk onder water. De bestuurder van een vorkheftruck snijdt de hoofdstroomkabel van de hal door. Dan stort dit hele traject, deze dubbele investering, als een kaartenhuis in elkaar.
Bij het ontwerpen van redundante systemen moet absoluut rekening worden gehouden met de fysieke scheiding van de apparatuur. Zonder aparte kabeltrajecten, onafhankelijke stroombronnen en voldoende brandwerende scheiding is het dupliceren van de elektronica slechts een dure illusie van beveiliging.
Wat dupliceren we eigenlijk? Van de stroomvoorziening tot de besturingssystemen
In de automatisering kan bijna alles worden gedupliceerd. Laten we bij het begin beginnen, namelijk de stroomvoorziening. Twee onafhankelijke voedingscircuits en een degelijke UPS zijn tegenwoordig de norm. Maar dit toepassen op kleine installaties van geen betekenis is overdreven. Hetzelfde geldt voor communicatienetwerken. Twee transmissiepaden stabiliseren de werking van grote systemen uitstekend. In kleine machines, waar geen kritische synchronisatie van aandrijvingen plaatsvindt, is dit echter gewoon meer vorm dan inhoud.
Laten we een stapje hoger in de structuur kijken. Het parallel werken van PLC-controllers zorgt voor continuïteit bij een storing in de apparatuur. Dat is geweldig. Maar het schrijven van ingewikkelde synchronisatiecode voor een eenvoudige verpakkingsmachine is een ingenieursfout. En SCADA-servers? Hier is het de moeite waard om een reservemachine te hebben. Aan de andere kant moeten we niet vergeten dat een tijdelijk gebrek aan inzicht het productieproces zelf zelden tot stilstand brengt.
Hetzelfde geldt voor instrumenten die in installaties worden ingebouwd. Dubbele sensoren bieden zekerheid over de meetresultaten. Als de betreffende meting echter alleen dient voor statistische doeleinden of algemeen toezicht, is het dubbel opstellen ervan pure verspilling van budget. Eén degelijke sensor is voldoende.
Verborgen onderhoudskosten. Complexiteit die zich na jaren wreekt
We vergeten maar al te vaak één cruciaal aspect. Redundantie is niet alleen een eenmalige aanschaf van een tweede besturingsunit. Het betekent een aanzienlijke en blijvende toename van de complexiteit van het hele systeem. Iemand moet geavanceerde schakellogica programmeren. Iemand moet dit grondig testen. En daarna moet iemand dit jarenlang ter plaatse onderhouden.
Een complex systeem is in een stressvolle situatie moeilijker te begrijpen. De onderhoudsdiensten hebben dan enorme moeite om snel een diagnose te stellen. Het vervangen van een defect onderdeel in een redundant systeem vereist vaak speciale, strakke procedures. Eén klein foutje van een technicus kan de hele installatie platleggen.
Soms kun je een eenvoudig, op zichzelf staand systeem binnen een kwartier repareren met je laptop op schoot. Het kan ingenieurs echter wel twee werkdagen kosten om de stabiliteit te herstellen in een slecht ontworpen, dubbel opgebouwd kolos.
De grenzen van de rentabiliteit. Wanneer moet je „stop“ zeggen?
Elk project in de industrie kent zijn logische grens. De rendabiliteitsgrens ligt precies daar waar de kosten en de toenemende complexiteit het reële risico op stilstand overstijgen. Het dupliceren van een besturingssysteem kost vaak twee keer zoveel als de basisapparatuur zelf. Er moeten extra licenties, honderden ingenieursuren en uitgebreide acceptatietests worden betaald.
Een goede automatiseringsingenieur weet wanneer hij het moet laten rusten. In plaats van de hele productielijn te dupliceren, beveiligt hij slechts één cruciaal knelpunt. Hij zorgt voor een goede en actuele back-up van het programma. Hij houdt cruciale reserveonderdelen op voorraad.
In heel veel gevallen is dat ruimschoots voldoende om gemoedsrust te garanderen. Het is namelijk geen kunst om een miljoen zloty uit te geven aan reserveapparatuur. De echte kunst is om dat op een verstandige manier te doen, met een zakelijke onderbouwing.
Samenvatting
Redundantie in de industriële automatisering is een krachtig hulpmiddel, maar alleen als het voortkomt uit een grondige risicobeoordeling en niet uit het ego van de ingenieur. Het gaat er niet om elke sensor, kabel en besturingseenheid in de productieruimte klakkeloos te dupliceren. Het gaat om een gerichte, chirurgische beveiliging van die punten waarvan een storing het bedrijf het meest kost. Goed opgezette redundantie redt de fabriek van een ramp, terwijl overdreven en slecht ontworpen redundantie alleen maar de budgetten uitput en de onderhoudsdiensten een permanente hoofdpijn bezorgt.
