Combinar los controles y red de negocio puede traer problemas indeseados.

Todo está tranquilo en una planta de producción de gran extensión y altamente automatizada. Las lineas de producción estan funcionando sin problemas, no ha habido paradas inesperadas de máquinas, las mediciones están cerca de los setpoints y los procesos están bajo control. Es un buen día.
En esta instalación en particular, los controladores PLCs en este caso, y las estaciones gráficas de de control se distribuyen por todas partes, comunicándose entre sí a través de una red de control amplia y moderna, implementada con Ethernet, ControlNet y DeviceNet. La producción utiliza esta red para monitorear y ajustar procesos en forma remota. Un operador de la sala de control puede controlar enforma remota cientos de máquinas ubicadas por todo un edifcio de grandes dimensiones. El mantemineto utiliza esta red para acceder a los controladores en forma remota par resolver y diagnosticar problemas en máquinas y líneas de producción.
La parte Ethernet de la red de controles comparte los mismos switches y cables entre switches con la red de negocio, pero el tráfico de la red de controles se encuentra virtualmente aislado del tráfico de la red de negocio que usa VLANs. Con esta configuración de hardware de red compartido, la mayor parte de la comunicación controlador a estación gráfica se enrutan a través de los mismos switches de red Ethernet que atienden las computadoras, servidores e impresoras de oficina. Sólo los controladores y las estaciones gráficas que están muy cerca unos de otras no usan el hardware de red compartido. Estos vecinos cercanos suelen utilizar ControlNet para hablar directamente entre sí.
Posiblemente, los problemas con el hardware de red compartido puedan llegar a afectar a la red de controles. Los Problemas podrían ser erorreros de hardware, tales como fallas de los switches de la red o roturas de cables, o errores de configuración, por ejemplo ajuste inadecuado de los switches de la red. El equiopde servicios informáticoses el responsable de mantener este hardware compartido, pero no sabe nada de la manera en que este hardwareforma un backbone de comunicación crítico para la red de controles.
Y ocurrió que el equipo de servicios informáticos cambió la configuración de enrutamiento en los switches de red compartidos, enrutando inadvertidamente todo el tráfico de la red a través de la Internet.
A resultas de esto, el flujo de datos a través de ambas redes se volvió muy lento, lo que a su vez hizo que las estaciones de control y las estaciones de resolución de problemas y mantenimiento dejaran de responder. Esto también bloqueó algunas comunicaciones controlador a controlador, lo cual, a su vez, impidió la transmisión de señales de interenclavamiento automático entre algunas máquinas. Las máquinas aguas arriba ya no podían arrancar o detenerse automáticamente en base al estado de máquinas abajo.
El operador de la sala de control descubrió que ya no podía utilizar sus estaciones de control para cambiar el comportamiento o los ajustes de todas las máquinas de producción y reportó de inmediato el problema al equipo de mantenimiento eléctrico. Las máquinas de producción operaban a ciegas controladas sólo por con sus controladores locales corriendo los programas y ajustes existentes. El personal todavía podía detener las máquinas con los controles locales, pero sin posibilidad de recurrir a control y ajustes remotos.
El equipo de mantenimiento eléctrico utilizó entonces herramientas de software de comunicación en dos computadoras diferentes ubicadas en distintas partes de la red para resolver el problema y descubrió que ningún controlador en la red respondía. Este síntoma indicó una falla importante, por lo que se contactó de nuevo con el equipo de servicios informáticos, que restableció las configuraciones originales de enrutamiento de los switches de la red, con lo cual el comportamiento de ambas redes retornó a la normalidad después de casi una hora de operar a ciegas.ñ
Si esta situación de operar a ciegas hubiese persistido por más tiempo, muy problablemente tendría que haberse parado todas las líneas de producción manualmente, usando controles locales, para detener así una situación fuera de control, dando lugar a una parada extensa y costosa. Esto requiere una presencia humana mínima, y muy pocas inastalaciones altamente automatizadas como ésta tiene ese personal, por lo que la operación de la maquinaria a través de controles locales no es fácil ni rápida.
La ausencia de señales de interenclavamiento controlador a controlador podría haber llevado a alagunos incidentes importantes. Por ejemplo, si alguna de las bombas de efluentes de la fábrica hubiera dejado de funcionar, como la maquinaria de producción no se detiene en forma automática, esto hubiera llevado probablemente a desbordes de los efluentes.
Otro ejemplo es el interenclavamiento entre los sistemas de vapor y de refrigeración. La ausencia de comunicación con esos sistemas de abastecimiento podría haber llevado a problemas de calidad de producto debido a una cocción o un congelamiento inadecuado.
Conviene separar físicamente la red de controles de la red de negocio, minimizar el número de conexiones entre las dos redes e implementar fuertes restricciones en el tráfico a través de esas conexiones. En la nueva red de controles separada físicamente, asegúrese de que el hardware de red y los cambios de software estén siempre ampliamente probados y evaluados de preferencia en un entorno de laboratorio, antes de su implementación.
También hay que pensar en la implementación deun diseño de red redundante, tal como una estructura de anillo para las comunicaciones switch a switch.

Preparado en base a una presentación de Steve Perry, ingeniero de manufactura de Barber Foods.