Download em PLC: Conheça seu poder destruidor

Lembra-se de quando você fazia suas aulas de programação de PLC e vez ou outra precisava mudar um comentário de uma network, declarar uma nova variável ou até mesmo adicionar aquele temporizador que faltava para fazer funcionar sua lógica de semáforo?
Se lembra disso, talvez se lembre de uma outra coisa que fazia após isto. Caso não, é quase certo que uma coisa era feita: Download

Tela de confirmação de download no RSLogix500

O download era executado para que todas as modificações feitas na lógica fossem transferidas para o PLC. A gente ficava ali, só olhando para aquela barrinha de transferência na expectativa dela terminar e ver nossa lógica funcionar. Por hora, dependendo do que havia na bancada, a gente escutava um “estalo” de um contator aqui ou ali desligando, leds se apagando e aquelas luzinhas na CPU e módulos de entradas e saídas piscando como se o PLC fosse uma árvore de Natal em forma de caixinha. Por fim, a transferência se completava, você clicava para colocar o PLC em modo Run e ficava orgulhoso de si mesmo ao ver sua lógica rodando perfeitamente.

Mas tem uma parte desta história que não é nos ditos na maioria dos cursos e treinamentos que vemos no mercado. E tem a ver justamente com ato de fazer o download. Ou melhor: O que acontece após o dele.

Quando saímos do mundo acadêmico e nos projetamos para um ambiente industrial, muitas ações que fazíamos por diversas e diversas vezes no PLC de bancada sem se preocupar com que viria a seguir podem ser perigosas de se fazerem em um PLC de PROCESSO. O download é uma delas. A palavra “processo” foi escrita em maiúsculo propositalmente. Não para deixar a impressão de estar gritando, mas para deixar em evidência a importância e o peso que essa palavra tem.

Para entender melhor sobre as consequências que um download acarreta, primeiramente vamos entender de uma forma bem resumida o ciclo de operação de um PLC. Embora a arquitetura interna de um PLC possa variar de um fabricante para outro, os blocos básicos de um PLC são:

Arquitetura interna de um PLC

Para realizar o controle de um processo, o PLC realiza as seguintes tarefas abaixo, na seguinte ordem:

1. Executa a leitura das entradas dos dispositivos de campo e armazena os status dessas entradas em sua área de memória de entrada
2. O processador executa a lógica de controle interna, que foi programada pelo usuário. Após a validação de toda a lógica, ele atualiza a área de memória de saída
3. Por último, ele transfere os valores da memória de saída para os módulos de saídas, acionando ou desligando dispositivos de campo

Não menos importante, ele também armazena, acessa e atualiza valores em sua área de memória interna. Estes valores podem ser cálculos efetuados pela lógica, um setpoint de velocidade de um motor que foi parametrizado por um operador via supervisório, um totalizador de produção etc. É esse ciclo de operação que faz com que um PLC mantenha um processo operando. E quando fazemos um download, a primeira coisa que fazemos é interromper este ciclo.

O download nada mais é do que você apagar toda a aplicação armazenada na área de memória do PLC e substituir pela sua nova. O PLC não entende que a diferença entre a aplicação que está sendo executada nele e a que você está transferindo está apenas em um comentário editado ou uma variável declarada. Ele irá apagar toda a sua aplicação existente apagada e substituída pela nova. E durante esse processo de download, algumas coisas acontecem:

• Como o download irá apagar toda a aplicação existente do PLC, já retiramos o segundo elemento do ciclo de operação, que é processar a lógica.
• O download também irá fazer com que toda a área de memória das entradas e saídas sejam apagadas, bem como a comunicação com os módulos de IO.
• Além das áreas de memória de entradas e saídas, os valores armazenados em sua área de memória interna também são apagados.
• A aplicação nova é carregada, o PLC reinicializa, realiza rotinas de checks e por fim retorna ao seu modo de operação cíclico (ler entradas, processa lógica, atualiza saídas).

Efeitos colaterais de um download

O que podemos perceber a partir dessas etapas é que durante o ciclo do download, o PLC sofre um apagão e o processo que ele está controlando fica à deriva, sem seu maestro. Pensa em uma orquestra que está performando uma música regida pelo seu maestro e ele fica ali parado diante deles, sem fazer nada?

O download em um PLC pode acarretar ou não efeitos colaterais, dependendo das características da lógica e do processo que ele controla. A equipe de automação tem de ter conhecimento desses efeitos para que, após realizar o download, situações indesejadas não ocorram e que também possam trazer a planta de volta a operação com o mínimo de tempo, perda de produção e risco às pessoas e equipamentos. Algumas das consequências mais comuns que você deve se atentar:

Desligamento dos equipamentos e parada da planta (ou área)

A primeira consequência é a perda de controle e eventual desligamentos dos equipamentos ao qual o controla. Isto porque o ciclo de controle é quebrado (ler entradas, processa lógica, atualiza saídas). Então, ao efetuar um download, esteja ciente de que irá acarretar uma parada parcial ou total da planta. Há plantas que possuem arquitetura de múltiplos PLCs e a parada ainda pode se propagar, como será visto adiante.

Há exceções onde que para trazer o processo a uma condição segura, o equipamento irá ligar quando perder a comunicação com o PLC, ao invés de desligar. Um exemplo é um sistema de ventilação de túneis, onde o inversor que controla o ventilador ao perceber que houve problemas de comunicação com o PLC que o controla, irá acionar o ventilador ligado à sua saída, pois na falta de seu “maestro” que não dita mais o que ele tem a fazer, a melhor saída é ventilar do que ficar parado e deixar gases acumular dentro do túnel.

Algumas dicas para este tipo de situação:

• Não há como evitar a interrupção de operação dos equipamentos que o PLC controla durante o download e uma parada será inevitável. Logo, comunique bem as áreas (principalmente para operação e processo) para que todos tenham ciência da parada que ocorrerá no momento do download. E faça isto com antecedência. Dependendo do processo, com bastante antecedência.
• É importante informar a eles uma previsão do tempo desta parada, para que as equipes possam se planejar. Não execute download em um PLC sem antes passar por esta etapa de comunicação / autorização das equipes de operação e processo.

O download pode trazer uma condição insegura para as pessoas e equipamentos

É um dos principais itens que se deve estar atento, pois envolve segurança de pessoas e equipamentos. Assegure-se de que todos os equipamentos estejam desligados e/ou em condições segura de sofrer um desligamento com o download.

Para alguns equipamentos, dependendo da operação que estão realizando, uma parada pode ser problema. Material pode secar dentro do mesmo, como em espessadores de lama, misturadores de concreto industrial. Há equipamentos complexos, como moinhos de bola, fornos rotativos, viradores de vagões onde paradas abruptas fora de sua condição segura de operação não é desejável e pode acarretar danos aos mesmos.

Outra consequência é trazer uma condição insegura para as pessoas, como por exemplo desligar um exaustor dentro de uma cimenteira ou siderúrgica quando está ocorrendo uma concentração maior de poeira no ambiente ou desligar um bombeamento de água em um ambiente de nível inferior que está com o nível de água de processo / pluvial subindo.

Lembre-se: O processo deve estar em condição segura para fazer o download

O download e o problema dos valores correntes x iniciais

Esse problema é clássico e pode trazer muita dor de cabeça quando o processo depende destes valores e no procedimento de download são perdidos. A ideia e a seguinte:

Quando fazemos download em um PLC, além da aplicação, transferimos para ele a base de dados com as variáveis que são utilizadas por ela. Estas variáveis, independente da lógica, irão assumir um valor bem no primeiro momento (primeiro ciclo) em que o PLC entra em operação (modo Run). A maioria vai por default com seu valor inicial zerado, mas o usuário pode especificar um valor com qual elas irão assumir. A este valor que vem “embutido” na variável, damos o nome de valor inicial.

Após o primeiro ciclo, o valor dessas variáveis pode ou não se alterar, dependendo se a lógica, supervisório ou outros dispositivos que comunicam com o PLC alterem elas.

Download em um PLC

Para dar um exemplo prático, vamos tomar como base um cenário onde um PLC está controlando a temperatura de material em 10 tanques. Este PLC recebe os parâmetros de controle de cada tanque por um operador, via sala de controle e armazena estes valores em variáveis em sua memória interna. Assim que foi feito o primeiro download, estas variáveis assumiram um valor inicial do projeto, que pode ser zero ou um valor pré-definido pelo programador. Mas com o passar do tempo, este valor é alterado pelo operador, para sintonizar o processo da melhor forma possível.

Setpoints de operador enviados para controle no campo

Vamos imaginar que depois de 2 anos de muitos testes, observações e trabalho, a operação chegou a uma sintonia ótima dos parâmetros dos 10 tanques. Estes parâmetros ficam armazenados na memória interna do PLC. De repente, há uma necessidade de alteração da aplicação, com consequente download. A aplicação é então transferida para o PLC, o PLC entra em operação novamente e a planta volta a operar. Tudo certo?

Não.

Lembra dos parâmetros do controle de temperatura dos 10 tanques que a operação levou 2 anos para sintonizar? Não vai demorar muito para todos perceberem que há algo de errado com o controle de temperatura dos tanques e depois de um tempo investigando, descobrir que os parâmetros que foram ajustados pela operação não estão mais lá.

Isto porque durante o download do PLC, a sua memória interna é apagada, zerando todos os valores correntes que estão gravados nela, dentre eles os parâmetros dos tanques. Assim que o programa é transferido, as variáveis são inicializadas com seus valores iniciais configurados na aplicação. Todo o histórico de sintonização foi apagado e sobrescrevido pelos valores iniciais.

Setpoints de operadores perdidos com o download

Foi citado um exemplo de 10 tanques, mas imagine em um PLC controlando mais de 100 equipamentos, cada um com seus parâmetros, como Setpoints de velocidade, temperatura, Setpoints de PIDs etc. A perda destes parâmetros acarretaria a perda de um trabalho de sintonia que pode ter levado semanas, meses ou até anos de muito esforço e expertise da equipe. E para trazer a planta novamente para a sintonia que havia sido feita antes do download, será demandado muito esforço da equipe novamente. Isso quando a perda destes parâmetros não afetar a qualidade do produto e trazer prejuízo financeiro para a fábrica.

Outros exemplos de informações importantes que um download pode apagar:

• Totalizadores de produção: Os totalizadores de produção são indicadores importantes para equipes operacionais e de processo se nortearem com as métricas de produção e gestão de uma planta, e se você zerar esses totalizadores, terá trabalho e dor de cabeça com essas equipes.
• Horímetros: Os horímetros são muito utilizados para indicadores de produção, como tempo de equipamento funcionando, parado e com defeito, por exemplo. Também são muito utilizados pela manutenção, para saber o momento de efetuar aquela manutenção preventiva ou lubrificação de um determinado equipamento.
• Status de seleção de equipamentos: Rota de materiais, seleção de bombas.
• Variáveis forçadas: variáveis modificadas ou forçadas, como por exemplo um sinal de um sensor de nível que foi desativado em campo e na lógica foi forçado a ficar com um valor válido

Para evitar este tipo de situação:

• Tenha uma boa gestão destas variáveis que são críticas e devem ter seus valores preservados após um download.
• Alguns softwares de programação de PLCs possuem a opção de salvar os valores das variáveis em um arquivo no computador, para que estes valores possam ser restaurados após o mesmo. É como se fosse tirada uma “foto” do mapa de memória interna do PLC e os valores contidos na mesma. E é óbvio, esta “foto” deve ser retirada antes do download.
• Tire print se necessário de valores de totalizadores, horímetros, setpoints. Na pior das hipóteses, poderá restaurar estes dados manualmente no PLC após o download.
• E obviamente, após o download, retorne estes valores para o PLC

Propagação de parada após um download

Em plantas que são controladas por múltiplos PLCs, o download em um PLC específico não significa apenas que os equipamentos aos quais ele controla irão sofrer uma parada. É comum nesse tipo de arquitetura que eles troquem informações importantes entre si para gerar algum tipo de intertravamento.

Na imagem a seguir, você pode fazer um download em um PLC A e parar equipamentos (e até mesmo todo um processo) controlados por outros PLCs (PLCs B e C). Isto porque estes outros PLCs estavam monitorando alguma variável crítica no PLC A e durante o download esta variável irá zerar ou congelar para estes PLCs (dependendo dos parâmetros de comunicação), disparando lógicas de proteção.

Dependendo de como as lógicas dos PLCs estão se relacionando, a parada nos PLCs B e C podem gerar paradas nos PLCs D e E, gerando um efeito em cascata:

Propagação de parada em download em arquiteturas de múltiplos PLCs

Para este tipo de situação, conheça bem os impactos adjacentes que um download acarreta cada PLC da planta. Se for necessário efetuar download em um determinado PLC e evitar que este download não afete PLCs adjacentes, será preciso acessar a aplicação destes PLCs adjacentes e intervir em suas lógicas para que proteções não sejam disparadas quando o download for executado. Este tipo de procedimento pode envolver riscos à segurança de pessoas e equipamentos. Portanto, faça uso dele apenas quando não tiver outra opção, e tome medidas de controle, como:

• Informar as áreas de que certas condições de proteção estão sendo “forçadas” para não atuarem
• Preste bastante atenção nas condições de proteção que foram forçadas. Como a lógica não irá mais executar estas proteções, é preciso um monitoramento visual delas (via supervisório, sistemas de CFTV ou até mesmo em campo, perto do equipamento, se não há riscos.
• E é claro, após efetuado o download, retorne as lógicas de proteções ao estado normal. Você não vai querer provocar algum acidente porque uma proteção está forçada para nunca atuar, né?

Pressão

É muito provável que você sofrerá pressão (da equipe da operação, de processo, de quem está em casa e recebeu uma mensagem via celular, etc,). Uma parada em um processo acarreta perdas de produção, diminuição no cumprimento de metas das equipes de operação e prejuízo financeiro. Dependendo do tipo de planta e do processo, essa pressão pode ser pouca ou muita (muita pressão mesmo). Lembre-se que ao parar uma planta para fazer um download, “ela estará em suas mãos”. Você irá parar a planta e um monte de pessoas irão parar suas atividades e ficarão esperando por você.

A dica aqui é a comunicação e controle emocional:

Primeiramente peça autorização. Há uma frase famosa dentro de processos fabris de que “quem paga as contas é a produção”. E geralmente, a primeira equipe que terá de ser consultada para lhe dar a permissão do download é ela.

Comunique bastante com as equipes de operação / processo. E comunique com antecedência. Dê horários de início e término para que eles possam se planejar. Estes funcionários trabalham com metas e tem todo um cronograma para seguir. Como o download irá parar o processo, terá de atentar a este item ou então terá de dar explicações depois.

Mantenha a cabeça no lugar: Mesmo cumprindo bem os itens anteriores, você irá sofrer pressão. Principalmente se algo não saiu como planejado e faça com que você precise de um prazo maio que informou. Neste momento, é importante que concentre bem nas suas atividades para que a pressão e cobrança que irá sofrer não afete a sua calma e atrapalhe seu raciocínio, lhe induzindo a erros. A calma e foco neste momento são suas aliadas. Concentre-se no serviço para que tudo ocorra bem, mesmo com pressão, e deixe para gastar energia com pressão depois.

Equipamentos que entram em falha após um download

Alguns dispositivos eletrônicos podem entrar em estado de falha quando perdem a comunicação com o PLC no momento do download. Relés inteligentes, inversores, gateways são exemplos. Este estado de falha pode se normalizar automaticamente ou não após o download, dependendo das características ou da programação deles.

Fique atendo aos equipamentos que entram em estado de falha e precisam de um rearme manual após o download. Tenha conhecimento se o PLC ao qual irá executar o download tenha este tipo de equipamento. As principais dicas aqui são:

• Conheça estes equipamentos (que entram em falha e não rearmam automaticamente). Quais são e onde estão, para uma rápida intervenção após download.
• Antecipe-se: Se por exemplo, todos os relés conectados ao PLC irão entrar em falha durante o download e precisarão de um rearme manual, fique ciente que precisará de ter alguém perto deles para rearmá-los após o download. Então por que não ter esta pessoa por perto antes do download?

Complexibilidade em startup de equipamentos

Há equipamentos mais complexos e que para alcançarem seu estado nominal de funcionamento requerem um esforço e/ou tempo considerável, como um alto forno em um processo siderúrgico, um forno rotativo em uma cimenteira, dentre outros.

Herdar problemas que não eram seus (e pagar tempo de parada por causa disto)

Uma situação que é não é muito difícil de acontecer é logo após o download aparecer equipamentos que estão com problemas e você escutar a seguinte afirmação de funcionários:

-“Deu problema depois que foi feito o download!”.

Às vezes, este tipo de responsabilidade acusação nem é lançada contra você por má fé do operador, mas por falta de conhecimento, capacidade ou até mesmo falta de vontade de analisar de forma mais detalhada a causa do problema. E relaciona a falha que o equipamento possui com o download.

Outras vezes você pode levar a culpa de um problema que já existia de forma proposital mesmo, principalmente em empresas que são muito rígidas em cobrar cumprimento métricas com seus funcionários. Aquele download que você fez servirá de belo álibi para mascarar uma ação incorreta de um operador ou um “vacilo” de um eletricista que esqueceu de ligar o cabo de rede de um inversor depois de fazer uma intervenção sobre o mesmo e você terá de pagar pelo tempo daquela parada que não teve nada a ver com o seu download.

Outras equipes podem pegar “carona” na parada que você está causando como uma oportunidade de realizar alguma intervenção com a parada da planta e podem deixar um “presente” para você, como uma falha em um equipamento. Procure-se informar desses caroneiros e o que eles irão fazer.

No momento da cobrança e “distribuição de culpa”, há pessoas que não agem de forma ética e farão de tudo para livrar de pagar o preço de uma parda. Pagar pode ser no sentido financeiro, se você é, por exemplo prestador de serviço e sua empresa ou a que você trabalha pode ser penalizada dependendo do contrato, ou pode ser pagando com penalização de desempenho da equipe, pois aquelas horas de parada serão contabilizadas como horas improdutivas causadas pela automação.

• A dica neste caso é entender bem antes do download a situação dos equipamentos que estão sendo controlados pelo PLC. Estão todos OK? Há algum equipamento com alguma falha ativa? Se possível, verifique e tire print no supervisório de estado de equipamentos defeituosos, comunicação de dispositivos que estão conectados ao PLC via rede, como relés, inversores etc. para que isso possa lhe ajudar a entender se uma falha já estava ativa antes do download ou foi provocada após ele. Mesmo se foi provocada após ele, tente entender se houve alguma intervenção no mesmo por outras pessoas.
• Há plantas que possuem sistema SCADA com histórico de eventos de equipamentos. Se for necessário, faça uso do mesmo para tentar entender se um equipamento que está em falha apresentou realmente a falha após o download ou se já estava com a falha desde o dia anterior.

Falha de comunicação (entre pessoas)

Pode parecer exagero citar isto como consequência, mas a falta de comunicação entre pessoas e equipes podem gerar mal entendimentos e transtornos nestes momentos.

Você pode ter feito todo o dever de casa de comunicar e programar com as equipes do seu download, fazer todo o processo de forma ágil e assertiva. Mas se você não avisar para a operação que o download terminou e a planta está disponível para voltar a operar, eles podem ficar sentados de braços cruzados achando que você ainda está executando sua intervenção. E a responsabilidade deste tempo de parada pode ser sua.

O download é inevitável?

A boa notícia é que o download pode ser evitado, em certas circunstâncias e você poderá transferir suas modificações para o PLC de forma online, sem parar o processo e sem causar um transtorno que o download causa.

Há softwares de fabricantes que te permite fazer modificações online, sem parar o processo. Para isto, ao invés dele descarregar todo o projeto, ele envia para o PLC apenas as modificações que você fez. Isto é chamado de mudanças incrementais, ou incremental changes, do inglês.

Na maioria dos casos, onde apenas a lógica é alterada, é possível de transferir apenas os trechos alterados para o PLC, sem causar nenhuma parada no processo.

Em resumo…

Sempre que possível, evite fazer download em um PLC de processo. Boa parte dos softwares de programação possuem a opção de efetuar mudanças incrementais, de forma online. Mas caso não tenha como fugir do download:

• Entenda bem os impactos que o download irá acarretar no processo.
• Entenda bem a abrangência da interferência do seu download em toda a planta, não somente no PLC em que será feito o download. Reações em cadeia em sistemas de múltiplos PLCs são comuns de ocorrerem.
• Entenda bem o que acontece com o processo após o download, para poder ter uma reação rápida e trazer a planta ao seu estado operacional de forma rápida
• Tome cuidado com os valores correntes da planta pra não apagar informações valiosas. Salve-os antes do download e retorne-os após
• Sempre comunique e programe-se às áreas operacionais sobre o download
• Faça, se possível um checklist de download. E se o local onde você trabalha tem vários PLCs controlando áreas diferentes, faça checklists personalizado de cada área

Conclusão

Em um ambiente acadêmico, download é mais um comando que aprendemos a fazer para descarregar nossa lógica no PLC quantas vezes for necessário. E aprendemos muito bem fazê-lo. O que talvez não nos é ensinado é que se tratando de um ambiente industrial, o download é algo que assusta a todos só de falar. E com razão.

Horas de paradas podem custar muito caro, dependendo do processo. E é importante você star ciente dos efeitos colaterais que virão com um download seu (ou da sua equipe) e saber como intervir de forma assertiva após o download, ou depois terá de sentar em uma mesa redonda com gerentes de produção, operadores e técnicos de segurança apontando o dedo para você. Isto quando, dependendo das consequências do download, você não terá de se responder em esfera jurídica.

É claro que depois de um tempo e alguns downloads performados, você irá entender bem os impactos que ele gera e terá mais confiança de o fazer. Mas em um ambiente industrial, onde muitas vezes estamos em situação de pressão para resolver algum problema (pressão que pode aumentar ainda mais durante um download) nunca é demais ter um checklist, pois nestes momentos de pressão estamos suscetíveis a falhas.

E você? Achava que uma ação tão comum de se fazer durante um curso de programação pudesse gerar tamanho impacto em um PLC de processo? Já passou ou conhece alguém que passou por alguma experiência onde um download em um PLC trouxe dor de cabeça? Tem alguma informação que poderíamos incluir? Agradeceríamos muito se pudesse compartilhar conosco e com outros leitores esta experiência, para podermos aprender juntos.