Jak zapewnić bezpieczeństwo systemowe w aplikacjach sterujących?
Kontakt w sprawie artykułu: Piotr Adamczyk - 2018-11-05
Z tego artykułu dowiesz się:
- Jakie konsekwencje przynoszą nieplanowane przestoje
- Co oznacza wysoka dostępność systemu
- Jakie kryteria należy wziąć pod uwagę przy decyzji o wdrożeniu systemu redundancji
- Jakie są typy redundancji
- Jaka jest architektura systemów redundancji
Ryzyko pojawiających się przestojów ma bardzo negatywny wpływ na planowanie zasobów operacyjnych oraz bezpieczeństwo całego systemu.Według agencji ARC, przestój instalacji generuje średnie koszty na poziomie $12 500 za godzinę.
Z uwagi na istotne zagrożenie i negatywny wpływ na rentowność wynikającą z nieplanowanych przerw w działaniu systemów, przedsiębiorstwa produkcyjne poszukują rozwiązań, które pozwolą uzyskać przewagę konkurencyjną dzięki zmianie architektury systemu sterowania na zapewniającą wyższy poziom bezpieczeństwa i dostępności. Duży nacisk na takie działania jest obserwowany nie tylko w systemach infrastruktury krytycznej, ale i wszędzie tam, gdzie miarą dostępności systemu są coraz częściej koszty związane z brakiem dostępności do systemu, a nie tylko czas jego pracy.
Jak można się spodziewać, zapotrzebowanie na takie systemy występuje przede wszystkim w aplikacjach procesowych o charakterze ciągłym, czyli systemach działających w branży energetycznej, produkcji wody, chemicznej, farmaceutycznej i petrochemicznej.
Jednak rozwiązania takie z powodzeniem można stosować również w systemach dyskretnych, realizujących złożone algorytmy sterowania z bardzo dużą szybkością, w których choćby krótki przestój pociąga za sobą straty finansowe, operacyjne oraz spadek reputacji firmy.
Trendy rynkowe
Spowolnienie gospodarcze w latach 2009–2012 oraz zauważalne wstrzymanie inwestycji w 2016 r. spowodowały w przedsiębiorstwach produkcyjnych wzrost zapotrzebowania na rozwiązania mające na celu podniesienie bezpieczeństwa, optymalizację działań, produkcji i kosztów.
Działania zorientowane były przede wszystkim na redukcję ponoszonych przez przedsiębiorstwa kosztów przy jednoczesnym wzroście efektywności oraz podniesienie poziomu bezpieczeństwa. Doprowadziło to w wielu firmach do restrukturyzacji organizacji, zamykania nierentownych części przedsiębiorstw, redukcji personelu działającego w kluczowych obszarach wsparcia, m.in. odpowiedzialnych za utrzymanie ciągłości procesu produkcyjnego. W rezultacie firmy te pozbawione zostały możliwości sprawnego i szybkiego usuwania awarii systemu, co znacznie podniosło ryzyko potencjalnych kosztów związanych z nieplanowanymi przestojami.
Tolerancja przedsiębiorstw na nieplanowane przestoje
W zależności od branży, wielkości w której działa przedsiębiorstwo oraz przyjętej strategii działania w razie pojawienia się awarii, wpływ nieplanowanego przestoju na ciągłość produkcji może się różnić i mieć inne konsekwencje. Na przykład przedsiębiorstwa, które mają możliwość powrotu do sterowania ręcznego, mogą pracować dalej w razie awarii systemu sterowania, ale na znacznie niższym poziomie jakości i efektywności.
Popularnym sposobem zabezpieczenia się na wypadek uszkodzenia elementów systemu jest również lokalny magazyn serwisowy – w tym przypadku awaria występuje i teoretycznie mamy szanse ją szybko usunąć. Teoretycznie, ponieważ w większości przypadków pomimo wymiany elementu na nowy konieczna jest jego konfiguracja i programowanie, co wymaga dodatkowego czasu wydłużając tym samym przestój.
Szczególnie kosztowne i uciążliwe są nieplanowane przestoje w dużych zakładach przemysłowych, w których cały proces produkcyjny składa się szeregu innych procesów. W takim przypadku potencjalnie niegroźna awaria jednego z nich może doprowadzić do zatrzymania całego ciągu produkcyjnego.
Niestety w wielu firmach nieplanowany przestój oznacza nie tylko niższą jakość i efektywność produkcji. W wielu przypadkach dochodzi również do zniszczenia wsadu produkcyjnego oraz uszkodzenia maszyn, czy wręcz całych ciągów technologicznych.
Koszty przestoju | Szacowany czas zwrotu z inwestycji |
---|---|
$50000 | 3,6 miesiąca |
$25000 | 7,2 miesiąca |
$15000 | 1 rok |
$10000 | 1,8 roku |
$5000 | 3 lata |
Co oznacza wysoka dostępność systemu?
Wysoka dostępność systemu wyraża się wartością 99,999%, podczas gdy dla pojedynczego kontrolera wynosi ona 99,9%. Jak pokazuje zestawienie w tabeli 2, te dodatkowe 0,099% dostępności stanowi redukcję nieplanowanych przestojów do 5 minut rocznie w stosunku do 9 godzin w przypadku pojedynczego kontrolera. Przekłada się to bezpośrednio na ponoszone koszty, które w zależności od branży i typu aplikacji mogą wynosić od kilku do kilkuset tysięcy dolarów.
Aby określić potrzeby związane z zastosowaniem systemów wysokiej dostępności, przedsiębiorstwa muszą rozważyć aspekty związanie z kosztami, jakie akceptują w przypadku pojawienia się awarii.
Dostępność systemu | Orientacyjncy czas przestoju na rok |
---|---|
95% | 18 dni |
99% | 4 dni |
99,9% | 9 godzin |
99,99% | 1 godzina |
99,999% | 5 minut |
Zwrot z inwestycji w systemy o wysokiej dostępności
To, co należy przeanalizować w pierwszej kolejności, zanim podejmiemy decyzję o wdrożeniu systemu redundancji, to:
- Jak często w ciągu roku pojawiają się nieplanowane przestoje?
- Jaki jest średni czas usunięcia awarii (MTTR) dla procesu?
- Jakie są koszty godzinowe zatrzymania produkcji na linii?
- Czy instalacja jest częścią składową większego procesu? Jaki wpływ na resztę procesu ma wyłączenie naszej instalacji i jaki koszt generuje?
- Czy w zakładzie służby odpowiedzialne za utrzymanie ruchu są stale na miejscu?
Typy redundancji – co i gdzie się stosuje?
W zależności od typu obiektu i charakteru prowadzonego procesu, klienci stosują 3 typy redundancji: Cold, Warm oraz Hot. Pierwszy z nich (Cold) to nic innego jak zapasowa jednostka centralna na lokalnym magazynie u użytkownika, którą wykorzystuje się, gdy uszkodzeniu ulega jednostka główna. Wada takiego rozwiązania to zatrzymanie produkcji na czas usunięcia awarii. Jest to jednak najbardziej ekonomiczna forma redundancji.
Drugi typ redundancji (Warm) to układ podwojonych jednostek centralnych, ale bez synchronizacji danych procesowych. Nadaje się do aplikacji, gdzie dopuszcza się pojawianie stanów nieustalonych w razie awarii. Układ taki wymaga zainwestowania w drugi kontroler.
Trzeci typ redundancji (Hot) to układ podwojonych jednostek centralnych z synchronizacją danych pomiędzy nimi. Taka architektura gwarantuje, że proces sterowania pomiędzy kontrolerami jest niezauważalny z punktu widzenia procesu produkcyjnego. Ten model jest najdroższy, ale daje największe korzyści użytkownikowi.
Architektura systemów redundantnych
Najczęściej spotykana architektura to modułowy kontroler, na kasecie którego montowane są kolejno zasilacze systemowe, jednostki centralne, moduły synchronizacji danych oraz moduły komunikacyjne.
W celach redundancji taki kontroler należy podwoić i taka budowa systemu powoduje, że architektura systemu jest znacząco wyższa w porównaniu do tradycyjnych systemów Simplex. Z tego powodu systemy o architekturze Hot stosowane były wyłącznie w aplikacjach przemysłowych, gdzie inwestycję w taki system można było łatwo uzasadnić biznesowo. Nowy kontroler, GE Automation&Controls o numerze katalogowym IC695CPE400 to rozwiązanie o budowie kompaktowej, integrujące wszystkie niezbędne elementy: zasilacz, jednostkę centralną oraz moduły komunikacyjne. 6 portów Ethernet pozwala wykorzystać je do komunikacji z układami wejść/wyjść, systemem SCADA, chmurą obliczeniową GE i w celu synchronizacji jednostek ze sobą. Ten ostatni element w połączeniu z obsługą komunikacji Profinet RING z MRP powoduje, że CPE400 może pracować w architekturze redundantnej klasy HSR. I to, co istotne – znacząco ogranicza koszty inwestycyjne.
CPE400 jest standardową jednostką centralną, która może pracować w systemach Simplex z możliwością rozbudowy do układu redundancji jednostek centralnych pracujących w gorącej rezerwacji. Inwestycja w system redundancji HSR wymaga zatem zainwestowania tylko w dodatkową jednostkę centralną, jak w przypadku systemów Cold. Konieczne też będzie spięcie jednostek ze sobą przy pomocy wbudowanych interfejsów komunikacyjnych, które w tym przypadku pracują w redundancji. To znacząco ogranicza czas oraz koszty wdrożenia systemu.
Wdrożenie redundantnego systemu sterowania zawsze musi znaleźć uzasadnienie biznesowe z uwagi na spore nakłady inwestycyjne, dlatego z systemów takich do tej porty korzystali wyłącznie użytkownicy, dla których zatrzymanie systemu sterowania wiązało się z bardzo dużymi kosztami operacyjnymi.
W większości przypadków decyzja o wdrożeniu systemu redundantnego była pozytywna, jeśli system redundantny mógł spłacić się w czasie pierwszego nieplanowanego przestoju (a w zasadzie zabezpieczył system przed nieplanowanym zatrzymaniem).