Aktuální vydání

celé číslo

03

2021

Digitální transformace, chytrá výroba, digitální dvojčata

Komunikační sítě, IIoT, kybernetická bezpečnost

celé číslo

Vybrané způsoby zabezpečení spolehlivosti řídicích systémů s IPC

Automa 1/2000

doc. Dr. Ing. Petr Novák,
katedra robototechniky, Fakulta strojní, VŠB-TU Ostrava,
e-mail: petr.novak@vsb.cz

Vybrané způsoby zabezpečení spolehlivosti řídicích systémů s IPC

Článek si klade za cíl seznámit širší odbornou veřejnost s možnostmi konkrétního řešení spolehlivosti řídicího systému založeného na průmyslovém PC při výskytu hardwarových nebo softwarových chyb. Tento text volně navazuje na článek „Spolehlivost řídicích systémů s IPC“, kde byly vysvětleny základní pojmy. V tomto příspěvku tedy budou zmíněny některé vybrané konkrétní způsoby ovlivňující spolehlivost (pohotovost) řídicího systému založeného na IPC.

Vybrané způsoby zabezpečení spolehlivosti řídicího systému s IPC

Mechanická konstrukce IPC
Jde o koncepci bezpečného života (life-safe). Používání počítačů na bázi PC v průmyslových provozech si vyžádalo používat speciálních komponent, které zajistí stabilitu systému i při extrémních pracovních podmínkách (vnější vlivy). K těmto vlivům patří zejména:

Obr. 1.

  • vibrace 0 až 500 Hz při 1 g, rázy do 10 g,
  • pracovní teplotní rozsah 0 až +55 °C; popř. –40 až +85 °C,
  • relativní vlhkost 10 až 90 % (bez kondenzace),
  • mokré a prašné prostředí vyžadující elektrické krytí až IP65/68.

Konstrukce PC vhodného do průmyslového prostředí se od klasického stolního kancelářského PC odlišuje skříní, která má robustní plechovou konstrukci se sacím ventilátorem s vyměnitelným prachovým filtrem. Nucená cirkulace vzduchu je na druhé straně zajištěna výtlačným ventilátorem zabudovaným zpravidla do napájecího zdroje počítače. Na pasivní sběrnici s více sloty se pomocí antivibračních lišt pevně fixují zásuvné karty ISA nebo PCI. Toto uspořádání umožňuje karty snadno vyměnit, operativně rozšiřovat systém a zaručuje lepší mechanické vlastnosti celého systému. Mechanická konstrukce použitých šasi umožňuje montovat počítače do vlastních 19" rámů. K dispozici jsou také atypická šasi ve spojení s integrovanými kartami CPU. Při zvláště vysokých nárocích na provozní klimatické podmínky (prašnost, vlhkost a teplota) lze použít speciální klimatizované skříně, do kterých je IPC včetně vnějších připojovacích kart umístěno.

Výběr komponent IPC s ohledem na MTBF
Jde o koncepci bezpečného života (life-safe). Způsobem, jak nejjednodušeji ovlivnit provozní spolehlivost řídicího systému založeného na průmyslovém PC, je vhodný výběr komponent s ohledem na hodnotu MTBF. Příklad hodnot MTBF některých komponent je v tab. 1.

Hodnoty MTBF uváděné u průmyslových pracovních stanic a panelových PC jsou vesměs udávány v hodnotě 50 000 hodin, takže s touto hodnotou lze počítat i u IPC, kde MTBF není uvedena (např. komponenty a sestavy IPC firmy AXIOM).

U některých kart není udávána hodnota MTBF, ale údaj o počtu určitých operací. Například u reléové karty bývá často uveden zaručený počet sepnutí a rozepnutí kontaktu. Z tohoto údaje a periody spínání reléového kontaktu lze odhadnout hodnotu MTBF (s ohledem na konkrétní aplikaci a algoritmus jejího řídicího programu).

Obr. 2.

Paměťový subsystém
Vnější paměťový subsystém IPC může být tvořen pevným diskem (disky) s řadičem IDE, popř. SCSI, a jednotkou pružného disku. S ohledem na průmyslové použití jsou mechaniky těchto jednotek připevněny pomocí speciálních antivibračních lišt. V situaci, kdy ani tato možnost z hlediska spolehlivosti nevyhovuje, je možné použít jiná řešení.

Jsou to zejména tzv. RAM, ROM a flash polovodičové disky. Ty bývaly nejčastěji realizovány v podobě zásuvné karty ISA osazené paměťovými moduly EPROM, SRAM nebo flash EPROM. Firma Advantech pod obchodním názvem DiskOnChip® 2000 nabízí paměťové moduly přímo určené do některých slotových kart CPU. Dostupné jsou v kapacitách od 2 do 144 MB v jednom pouzdře. V současné době se nabídka polovodičových disků rozšířila i o tzv. IDE Flash Drive [2], které jsou přímo vybaveny rozhraním IDE a rozměrově odpovídají (podle kapacity) diskům v provedení 2,5" a 3,5". Těmito disky je tedy možné přímo nahradit klasický pevný disk. Z těchto disků je také možné zavádět operační systém. Konkrétně Advantech uvádí dva tyto disky pod označením PCD-250/350 (obr. 1) v kapacitách od 20 do 220 MB. Odolnost proti vibracím je uváděna 15 g (špička-špička) a odolnost proti nárazu do 1 000 g. Obě hodnoty platí během provozu. To jsou hodnoty klasickým pevným diskem naprosto nedosažitelné. Bezkonkurenční je rovněž střední doba mezi poruchami (MTBF) větší než milión hodin při pracovní teplotě 25 °C. I pouze tato vlastnost může být dobrým argumentem pro použití tohoto typu disku.

Operační paměť je tvořena zásuvnými moduly RAM. Pro použití v průmyslových PC s požadavky na spolehlivost je vhodné volit moduly s paritou.

Napájení
Napájení kancelářského PC je standardně řešeno spínaným zdrojem 220 V, poskytujícím na svém výstupu stejnosměrná napětí +5 V, –5 V, +12 V a –12 V. Proudová zatížitelnost je uváděna zpravidla na krytu zdroje a běžného uživatele nezajímá.

U IPC je však situace jiná. V situacích, kde je na pasivní sběrnici větší počet zásuvných kart, musí být brán zřetel na vyšší proudové odběry. Při dimenzování výkonu zdroje je třeba vycházet z technických údajů kart, dále proudových odběrů externích montážních desek, odběru displeje LCD, pevného disku apod. a zaručované proudové (krátkodobé) přetížitelnosti zdroje. Pro napájení IPC je možné, vyžaduje-li to aplikace, použít i stejnosměrné zdroje obou polarit, popř. střídavé zdroje s jiným vstupním napětím o frekvenci od 47 do 440 Hz. Dalším důležitým parametrem je zaručovaná střední doba poruchy MTBF a povolený pracovní teplotní rozsah, elektrické a mechanické krytí atd. (tab. 2).

U některých aplikací je také zapotřebí řešit problém rušení napájecí sítě a její možné výpadky. Pro oba tyto případy lze najít východisko použitím tzv. záložních zdrojů nebo také nepřerušitelných zdrojů napájení, známých pod zkratkou UPS (Uninterruptible Power Supply). V zásadě rozlišujeme dva druhy těchto zdrojů: off-line a on-line.

Pro napájení průmyslových počítačů existuje široká nabídka napájecích zdrojů se střídavým i stejnosměrným napájecím napětím, včetně provedení ATX. Výkonnostně tyto zdroje pokrývají oblast od 50 W do 300 W. Jejich uváděná MTBF bývá 100 000 až 350 000 hodin. Jsou-li požadavky na spolehlivost ještě přísnější, je možné použít též zálohovaných zdrojů – až s trojnásobnou redundancí, které navíc mohou být vyměnitelné za provozu.

Obr. 3.

Zahoření
Z pohledu na tvar vanové křivky (obr. 2) vyplývá, že v jejím počátku do doby t1 je průběh intenzity poruch nepříznivý. Je proto výhodné uvádět do provozu řídicí systém až poté, co projde obdobím časných poruch. Absolvování této fáze lze rozdělit mezi dodavatele řídicího systému, který by měl být vybaven vhodným pracovištěm, kde zahoří PC osazené všemi potřebnými kartami podle ověřených postupů, a který vystaví protokol o testech; a mezi realizátora, který dokončí zahoření v etapě zkušebního provozu daného projektu.

Obvod WDT
Jde o obvod realizující koncepci bezpečnosti při poruše (fail-safe).

Nejrozšířenějším způsobem monitorování funkčnosti procesorové jednotky a korektního chodu programu je použití obvodu WDT (Watch Dog Timer). Tento obvod bývá standardní součástí kart CPU do průmyslového PC. Princip obvodu WDT je založen na periodickém občerstvování příslušného registru. Tímto občerstvováním se ve většině případů rozumí prosté čtení obsahu tohoto registru. Za periodické občerstvování je zodpovědný řídicí program. Není-li v průběhu nastavené časové prodlevy občerstvení uskutečněno, je obvodem WDT generováno přerušení zvoleného typu, popř. signál RESET.

Důvodem, proč občerstvení nebylo uskutečněno, může být (typicky):

  • nesprávně napsaný program (zacyklení),
  • hardwarová závada procesoru a jeho paměťového podsystému apod.

Nejspolehlivější signál generovaný obvodem WDT z hlediska 100% zachycení je RESET. Při něm je systém vždy inicializován, bez ohledu na funkčnost CPU a dalších subsystémů. Jestliže návrh řídicího systému procesní úrovně počítá s touto možností, je vhodné, používají-li se zásuvné I/O karty a řídicí karty, vybrat je s ohledem na to, zda se výstupy těchto kart inicializují (po zapnutí počítače a generování signálu RESET) na definovaný stav. Akční členy by pak měly být těmito stavy deaktivovány. Tímto způsobem je neřízeně odstavena ovládaná technologie.

Generuje-li se přerušení včetně NMI (Non Maskable Interrupt, nemaskovatelné přerušení) ve snaze odskočit do rutiny zajišťující řízené odstavení dané technologie, není tento postup funkční při poruše CPU, popř. při závadě paměťové oblasti s tabulkou vektorů přerušení. Dále může být nechtěně přepsán kód obsluhy daného přerušení (je-li uložen v paměti RAM), který pak nevykoná očekávanou odstavovací sekvenci technologie.

Obr. 4.

Jednoduché řídicí systémy
Jednoduché řídicí systémy se vyznačují jedinou procesorovou jednotkou propojenou jednoduchou sběrnicí se vstupními a výstupními moduly v jednoduchém provedení bez zálohy. Mají-li být takovéto systémy použity pro aplikace s jistými nároky na bezpečnost a spolehlivost provozu, musí k tomu být zvlášť uzpůsobeny. Musí být vybaveny průběžným testováním funkce jednotky CPU a testovatelnými I/O moduly (obvod WDT). Při zjištění chyby jednoduchého řídicího systému je nutné okamžitě odstavit řízený proces. Akční členy v technologii tedy musí být konstruovány tak, aby při výpadku řízení uvedly technologické zařízení do bezpečného stavu. Odstavení technologie může být řízené nebo neřízené.

Redundance
Další možností, jak dále zvýšit spolehlivost provozu řídicího systému, je řešit řídicí systém jako redundantní.

Jedním z důležitých hledisek při volbě řídicího systému pro určitou technologii je hledisko přizpůsobení úrovně bezpečnosti a spolehlivosti řízení nárokům dané technologie. Nevhodná volba řídicího systému se může projevit v zásadě dvěma způsoby:

  • u předimenzovaného systému je zbytečně vynakládáno více prostředků na pořízení, oživení a provoz systému,
  • u poddimenzovaného systému je následkem neúnosné riziko havárie řízené technologie způsobené poruchou řízení.

Zdvojené řídicí systémy
Zdvojené řídicí systémy jsou v různé míře vybaveny redundancí. Základní provedení má jednoduchý I/O systém, jednoduchou sběrnici a redundantní jednotky CPU. Znamená to, že ve funkci je jeden procesor a druhý tvoří tzv. horkou zálohu. V obou procesorech paralelně běží stejný program, přičemž si vhodným způsobem vzájemně kontrolují svou činnost. Při poruše přebírá řízení v plném rozsahu záložní procesor.

Obr. 5.

Podporou paralelního běhu dvou procesorů a vzájemné kontroly disponují procesory Pentium. Pro vyšší nároky na spolehlivost bývají zdvojeny také sběrnice a I/O systém. Při poruše zdvojeného systému není nutné bezprostředně odstavovat řízený proces. Jestliže takový požadavek s ohledem na bezpečnost je, musí být systém navržen tak, aby při přechodu na záložní systém automaticky spustil odstavovací sekvence. Vlastní proces je v tomto případě odstaven řídicím systémem, a akční členy zde tedy nemusejí být konstruovány pro přechod do bezpečného stavu při výpadku řízení jako u jednoduchých řídicích systémů.

Řídicí systémy typu TMR
K řízení procesů s nejvyššími požadavky na bezpečnost a provozuschopnost jsou určeny trojnásobně redundantní (TMR – Triple Modular Redundant) řídicí systémy. Jejich architektura zajišťuje bezchybnou a nepřerušenou činnost při výpadku některého z prvků i při poruchách způsobených některou jinou vnější nebo vnitřní příčinou.

Bližší informace týkající se metodiky stanovení stupně redundance řídicího systému spolu s odkazem na existující zahraniční normy lze nalézt např. v [7].

Elektromagnetická kompatibilita
Významným, ale často opomíjeným hlediskem je dodržení zásad elektromagnetické kompatibility (EMC), které spočívají v omezení zdrojů rušení v řízeném objektu, v omezení možností jejich vyzařování a šíření rušení v prostoru, ale i v odolnosti systému (zmenšení citlivosti) proti rušivým vlivům. Cílem je zajistit maximální životnost řídicího systému, jeho maximální spolehlivost a plnou funkčnost. Nedodržení konstrukčních zásad se může projevit „jen“ náhodnými chybami přechodného charakteru – velmi obtížně lokalizovatelnými. Někdy pominou samy, jindy je nutné restartovat systém, znovu načíst program nebo použít jiný zásah.

Jindy se nedodržení zásad plynoucích z EMC může projevit jako neúměrná zátěž elektronických součástek (např. v důsledku přepětí na logických a analogových vstupech), která vede k jejich postupné degradaci, jejímž konečným důsledkem je zmenšená spolehlivost nebo zkrácená životnost řídicího systému nebo jeho části.

Přívody k řídicímu IPC (vstupní a výstupní vodiče, spojovací linky, napájecí přívody) by měly být chráněny před vlivy rušivých vysokofrekvenčních polí. Měly by být vedeny odděleně od silových vodičů a pokud možno co nejdále od všech zdrojů rušení a opatřeny elektrickým, popř. magnetickým stíněním. Účinnou ochranou je umístit systém IPC do kovové rozváděčové skříně, popř. do oddělené a odstíněné části rozváděče vyhrazené jen pro IPC a jeho zakončovací panely (daughter boards).

Obr. 6.

Teplota
Pracovní teplota průmyslového počítače zpravidla bývá výrobci zaručována v rozmezí od 0 do 50 až 60 °C. Při požadavku na použití v širších teplotních rozsazích je výběr vhodných komponent omezen. Existují systémy, např. výrobky řady PC4 a PC5compact společnosti or Industrial Computers pracující v rozsahu pracovních teplot od –40 °C do +70 °C nebo některé moduly řady CMH PC104 amerického výrobce Real Time Devices, které pracují při teplotách od –40 °C do +85 °C. Ceny těchto výrobků však odpovídají jejich výjimečnosti.

Má-li tedy počítač pracovat i v teplotním prostředí mimo povolené teplotní rozsahy, popř. při teplotách zaručujících příznivější hodnotu MTBF (tab. 4 a obr. 5), je nutné věnovat pozornost tepelnému režimu skříně, v které je zabudován.

Tepelný režim uvnitř skříně
Při umístění IPC do rozváděčové skříně v provozu, což je jeho nejčastější umístění, je nutné si uvědomit, že uvnitř skříně dochází k výkonovým ztrátám, při nichž je produkováno teplo samotným počítačem i monitorem a dalšími elektrickými komponenty (stabilizovanými zdroji, transformátory atd.). Podle velikosti těchto tepelných ztrát, objemu skříně a okolní teploty vně skříně lze řešit problém odvodu tepla několika způsoby: zabudovat uvnitř skříně ventilátor, který zamezí akumulaci teplejšího vzduchu v horní části skříně a rozptýlí jej po celém objemu, instalovat výtlačné ventilátory nebo klimatizační jednotku. Uvedené možnosti včetně hodnot dosažitelného elektrického krytí jsou stručně popsány v tab. 5.

PCL-752
Jde o obvod realizující koncepci bezpečnosti při poruše (fail-safe) a zajišťující monitorování důležitých částí IPC.

PCL-752 je inteligentní PC karta ISA s vlastním napájením, která monitoruje důležité části PC. Pomocí této karty lze zjišťovat překročení tolerancí hodnot sledovaných parametrů a vhodným způsobem na ně automaticky reagovat. Mezi sledované hodnoty patří:

  • tolerance napájecích napětí +5 V, –5 V, +12 V a –12 V na sběrnici ISA,
  • napětí na třech externích analogových vstupech,
  • otáčky tří ventilátorů,
  • teploty tří teplotních senzorů,
  • obvod WDT pro monitorování stavu CPU,
  • další obvod WDT pro monitorování stavu této karty,
  • dva digitální vstupy.

Karta může prostřednictvím tří konfigurovatelných stavů:

  • kritická porucha,
  • podstatná porucha,
  • nepodstatná porucha

reagovat svými třemi reléovými výstupy, dále akusticky, popř. zasláním zprávy na sériový port (RS-232 nebo RS-485), který je též součástí karty. Aktivací WTD je samozřejmě generován zvolený typ přerušení, tak jak bylo popsáno v předcházejícím textu.

Aplikace této karty není omezena pouze na lokální použití, ale díky sériovému rozhraní lze monitorovat stav daného IPC i dálkově. V takovém případě je zapotřebí na kartě nastavit její ID číslo, které je v rozsahu 1 až 255. Tato karta může díky svému napájení, jež je nezávislé na stavu napájení PC, v kterém je karta zasunuta, automaticky informovat nadřízenou úroveň i o fatální poruše tohoto IPC, popř. může prostřednictvím svých reléových výstupů odpojit napájení akčních členů dané technologie apod. Blokové schéma této karty je na obr. 6.

Velmi důležitá je možnost monitorovat stav ventilátorů (otáčky) a teplotu uvnitř skříně IPC. Nejčastější příčinou poruchy procesoru totiž bývá jeho tepelné přetížení, často způsobené závadou ventilátoru. Tyto poruchy se pak chovají jako občasné, popř. jako náhlé. Možnost monitorovat stav ventilátoru tedy může být využita k diagnostikování možné příčiny eventuálních poruchových stavů. Díky již zmiňované možnosti komunikovat po RS-232/485 lze o těchto problémech informovat nadřazený systém.

Závěr
V článku byly uvedeny některé vybrané způsoby zabezpečení spolehlivosti řídicího systému postaveného na IPC, jako je mechanická konstrukce IPC, výběr komponent IPC s ohledem na parametr MTBF, komunikace, napájení, zahoření a redundance řídicího systému. Rovněž byla popsána funkce obvodu WDT, který je v oblasti průmyslových PC standardem.

Tab. 1. Příklady hodnot MTBF u některých komponent

Komponenta MTBF (h) Poznámka
ACE-932T 141 000 napájecí zdroj (40 až 70 V DC)
PCM-3820/C 1 000 000 PC104 flash disk (1 až 32 MB)
PCM-5862 21 853 při 25 °C deska CPU Pentium
PCA-6147 81 000 při 25 °C
20 900 při 60 °C
karta CPU 486
AWS-850 50 000 průmyslová pracovní stanice (bez CPU)
MiPC-70,
PPC-100T
50 000 panelové PC s displejem LCD (bez CPU); zdroj podsvětlení LCD má MTBF 10 000 h

Tab. 2. Přehled vlastností zdrojů řady ACE-870 do IPC [3]

Typ Vstupní napětí MTBF (h)
ACE-870A 85 až 265 V AC (47 až 63 Hz a 440 Hz) 274 000
ACE-870T 36 až 72 V DC 225 000
ACE-870C 18 až 36 V DC 224 000
ACE-870V 8 až 16 V DC 213 000

Tab. 3. Doba provozu (v minutách) UPS v závislosti na zátěži

Zatížení Typ
400 V.A 700 V.A 1 000 V.A
100 V.A 40 60 80
200 V.A 22 40 60
300 V.A 11 20 35
400 V.A 5 15 25
500 V.A 9 18

Tab. 4. Příklady hodnot MTBF u karty CPU PCA-6147 pro různé pracovní teploty

Komponenta MTBF (h) Teplota
PCA-6147 81 000 25 °C
20 900 60 °C

Tab. 5. Způsoby řešení tepelných pracovních podmínek IPC umístěného ve skříni (uvedené výkony jsou vztaženy k 19" skříni o výšce 1,8 m)

Teplota okolí Výkon (W) Chlazení (vyhřívání)
mráz vyhřívaná skříň, IP65
nižší než vnitřní teplota ve skříni 500 žádné, IP65
1 000 akumulace vyšší teploty v horní části uzavřené skříně – ventilátor rozptýlí ohřátý vzduch na celou vnitřní plochu skříně a tím se zvětší odvod tepla, IP65
2 000 tlačný ventilátor nebo ventilátory ve spodní části skříně s prachovými filtry, IP53
3 000 výměník tepla (např. vodní zdroj), IP54
vyšší než vnitřní teplota ve skříni klimatizační jednotka
Literatura:

[1] Advantech, Tchai-wan : Advantech Industrial Computer-Complete PC/based Systems and Boards for Industrial Automation (katalog). 1999.

[2] Advantech, Tchai-wan: Advantech Total Solution for PC-based Industrial Automation (katalog). 1999.

[3] ICP, Tchai-wan: Icp – Design & Manufacture (katalog). 1999.

[4] NOSKIEVIČ, P.: Technická dokumentace 4-NOR-0023. Ostrava, NORTECH spol. s r. o. 1995.

[5] NOVÁK, P.: Řídicí systém automatického řízení pohybu navařovací hubice při renovaci exponovaných míst kolejnic navařováním. In: XX. seminář ASŘ ’97 Počítače v měření, diagnostice a řízení, mechatronika. Ostrava, FS VŠB-TUO 1997, s. 24/1-3.

[6] NOVÁK, P.: Některé způsoby řešení bezpečnosti řídicího sytému založeného na průmyslovém PC. In: Mezinárodní konference COMTEP ’98. Prešov, Strojnícka fakulta TU v Košiciach 1998, s. 113-116.

[7] STANĚK, B. – KONEČNÝ, I.: Trojnásobně redundantní řídicí a zabezpečovací systémy. Automatizace, 1997, č. 2, s. 59-62.

[8] VROŽINA, M.: Základy spolehlivosti technických objektů. Učební texty pro postgraduální studium. Ostrava, VŠB-TUO, FMMI 1997.

[9] ŽÁČEK, J.: Elektromagnetická kompatibilita a projektování elektrotechnických systémů. Automatizace, 1998, č. 1, s. 10-16.