Redundância em CLPs da Serie S7–1500 da Siemens

Neste artigo vai apresentar os aspectos mais importantes do sistema de redundância da CPU modelo S7–1500 da fabricante Siemens. Inicialmente teremos uma visão geral de um sistema redundante. Posteriormente falaremos sobre como pode ser configurado utilizando o Portal TIA Software e como comissionar esse tipo de sistema e por fim falaremos sobre como as principais medidas de manutenção e correção de falhas em sistemas de redundância.

Como funciona um sistema redundante de CLP? De forma simples, um sistemas de controle redundante funciona com duas CPUs que possuem os mesmo dados dos processos e o mesmo programa sendo executados em paralelo, se uma das CPUs falhar por algum motivo a outra toma o controle do processo sem perdas para o mesmo. Este artigo trata apenas dos sistemas de redundâncias de CLPs do modelo S7–1500R/H.

Mas qual o objetivo? Bem, para quem é profissional ou estudante da área de tecnologia sabe bem pra que funciona um equipamento redundante e pode listar varias justificativas do porque utilizar um sistema dito como redundante. Mesmo assim, vou listar algumas aqui que considero mais importante.

Resiliência é a capacidade de superar problemas sem prejudicar a funcionalidade. Aqui fica obvio o motivo da utilização de um sistema redundante, diria inclusive que é o motivo maior de o por que utilizar, afinal queremos nossos processos (industriais ou não) funcionando 100% do tempo sem interrupções. Sistema de mobilidade urbana, fornecimento de energia e água, Usinas de geração de energia DEVEM funcionar ininterruptamente e uma falha em um controlador nunca deveria interromper os processos mais críticos de uma industria.

Disponibilidade como o próprio nome já faz diz é a capacidade do sistema estar disponivel sempre que necessario. Sistemas com uma carga de trabalho 24/7 e que operam a velocidades muito rapidas, uma falaha de algumas horas pode significar uma perca monetaria consideravel, sem contar perca de produtos, horas de pessoal tentando desesperadamente retomar o funcionamento da planta, etc. Um sistema de controle redundante evita que tais paradas acontencam devido a um problema com o CLP. Pela minha experiencia no é o problema mais frequente de paradas de produção mais é o mais catastrófico e um dos mais demorados pra se resolver.

Segurança, para sistemas de controle temos um pensamento um tanto diferente do que entendemos como segurança da TI, apesar de aqui falaremos sim sobre a segurança da informação de sistemas de controle (de forma superficial terei que confessar), o foco na palavra seguranca aqui se da no entendimento de seguranca fisica, poderiamos entender tambemcomo integridade fisica. As CPUs nao podem falhar em certos sistemas, nao apenas devido aos prejjuizos causados pela parada mas ao dano que pode causar a vida das pessoas e aos patromonio da empresa e da sociedade. Imaginem os danos causados por um defeito no controlador de uma usina Nuclear, de uma refinaria, do sistema de abastecimento de agua ou energia.

Mãos nos Bits! Bem na figura abaixo temos a arquitetura de um sistema de automacao. Observe que no Control Level existem duas CPUs modelo 1515R-2 PN interligadas por um cabo PROFINET.

Fonte: Siemens Existem dois tipo de sistemas redundantes que podem ser usandos com a linha S7–1500 os sistemas chamados R e H, vejamos alguns exemplos

Redundancia S7–1500R Na figura abaixo observe que as CPUs (1) estão ligadas por um cabo PROFINET (2) formando um anel com todos os demais dispositivos apresentados na figura.

Para esta configuração todos os dispositivos de vem possuir oferecer suporte para Media Redundancy Protocol (MRP). Nesta arquitetura uma das CPUs é identificada como primaria e a outra como backup, a troca se da quando houver falha da CPU primaria.

Sistema S7–1500R (Fonte:Siemens) Redundância S7–1500H A grande diferença dessa arquitetura (pelo menos visual) é que as CPUs (10 é que o anel PROFINET é fechado por um cabo de fibra óptica (3). O processo de sincronia entre as CPUs é feita exclusivamente pela fibra óptica o que acarreta em uma menor carga da banda da rede PROFINET que pode ser usada para comunicação com os controladores do field level.

Sistema S7–1500H (Fonte:Siemens) RxH, qual devo usar? A resposta mais correta seria DEPENDE. Mas pensando na maioria dos sistemas e em como uma planta trabalha de maneira muito particular a fabrica como um todo eu diria que o sistema R é o mais indicado uma vez que a maioria dos sistemas utiliza uma quantidade de dados relativamente pequena trafegando pela rede PROFINET.

Porem caso o seu sistema possua dezenas de CPUs de campo distribuídas, milhares de IOs, eu recomendaria que se utilize o sistema H e se possível fosse colocando uma CPU há quilômetros uma da outra (o limite é 10 km para esse sistema) evitando assim que a te explosões ou sabotagens possam comprometer o sistema.

A decisão aqui cabe ser feita apos a verificação de uma matriz de riscos da empresa e do processo, velhas ferramentas são sempre bem vindas afinal.

Vamos programar logo pelo amor dos meus bits Como a maioria gosta mesmo é de por a mão, vamos la teremos muito trabalho daqui pra frente.

Inicialmente como já afirmamos iremos precisar do portal TIA (possivelmente o V14). Os passos são:

Criamos um projeto no Portal TIA. Selecionar a CPU S7–1515R-2 PN no catalogo de hardware e puxar para o seu projeto. Pronto, o Portal TIA vai criar automaticamente duas CPUs já configuradas como redundantes. Isso mesmo,apenas isso. Nenhuma configuração a mais é necessária, e isso é a beleza do TIA (Em outro momento vou falar sobre a Serie 400 com redundância ai vocês verão o por que usando TIA é tao lindo).

Bom para quem esperava que fosse necessário horas de configuração, dezenas de blocos de configuração , linhas de código. Bem, existe ainda varias configurações que você pode realizar desde endereçamento de IPs ate mensagens de diagnósticos especificas de equipamentos de rede. Mas no geral o portal TIA faz a maior parte do trabalho (consumindo alguns gigas de memoria, mas faz!).

No quesito segurança, temos basicamente as mesmas preocupações e medidas das demais CPUs da linha S7. Existem 4 níveis de acesso especifico, que limitam o acesso a areas de memorias e acoes especificas como o estado de execução do CLP e , então quando puder use.

Fonte : Siemens Algumas medidas adicionais que devem ser verificados que podem ser verificados para uma maior segurança do sistema contra um acesso/ataque externo são a não ativação de sincronização horário utilizando servidores NTP e a não ativação de comunicação GET e PUT.

Problemas que acontecem as 17:59 de uma sexta feira. Uma CPU deu defeito Sexta 17:59: Sobre um alarme de falha de CPU no sistema SCADA, a pressão cai e você pensa acabou o fim de semana, recuperado do susto voce verifica em campo que a CPU queimou (por ironia dos deuses da automação).

Sexta 18:07: Já de posse da nova CPU, você remove a defeituosa, poe a nova no lugar e retoma a alimentação. Antes de você poder guardar seu multímetro na mochila a CPU já executou o SYNCUP (nesse estado todo o projeto é copiado da CPU primaria para a CPU backup), e já esta executando em modo de redundância normalmente.

Sexta 18:15: Batendo o ponto, tranquilo.

Simples, sem precisar ficar online com a CPU, sem precisar fazer download de programa, sem se preocupar com a ultima versão, nada disso. Sim isso é lindo e elegante.

Conclusão Neste artigo você viu como funciona o sistema de redundância das CPUs modelo S7–1500, vimos brevemente como configurar um sistema redundante e o quão simples é para mante-lo ativo.

Se você quiser saber mais sobre esse assunto acesse www.novatecnologia.srv.br, nos somos especialistas em desenvolvimento de sistemas automáticos de controle.

Referencias e Fontes:

https://www.siemens.com/

https://www.siemens.com/industrialsecurity

https://support.industry.siemens.com/cs/ww/en/view/86140384

https://support.industry.siemens.com/cs/ww/en/view/86630375

https://support.industry.siemens.com/My/ww/en/documentation