Definicin preliminar de aspectos crticos para sistemas de
control local
Definicin preliminar de aspectos crticos de diseo para sistemas
de control local en las estaciones de bombeo y terminales de la
Vicepresidencia de Transporte de Ecopetrol S.A.
1. Porcentaje de carga de CPU y uso de memoria
El sistema de control debe estar dimensionado para que los
niveles de desempeo especificados se logren con los siguientes
porcentajes de uso:
a) Uso de CPU: mximo 40 % en promedio (sin considerar picos
eventuales). Lo anterior deja un 20 % para crecimiento de proyectos
menores y un 40% para absorber cargas eventuales. Lo anterior para
cualquier procesador del sistema.
b) Memoria principal (RAM) y disco duro: Cmo mximo debe ser
utilizado el 40% de la capacidad fsica mxima del sistema.
2. Modos de falla
Para DCS:
Cuando el mdulo de procesamiento (controlador) pierda energa o
falle, el estado o valor al que deben ir las salidas a campo debe
poderse configurar para mantenerse en el ltimo valor o irse a una
posicin predeterminada de falla. Cada punto de salida debe poderse
configurar individualmente.
Cuando el mdulo de Entradas/Salidas pierda energa, las salidas
anlogas deben generar corriente de 0 mA (incluyendo cualquier punto
que reciba energa de otro lazo que pueda estar energizado) y las
salidas discretas deben ser desenergizadas y los contactos
normalmente abiertos no deben colocarse en modo de conduccin.
Luego de la recuperacin de un modo de falla, los controladores
deben asumir la operacin normal y debe ocurrir una de las
siguientes respuestas de las seales de salida: 1) Si las salidas
fueron mantenidas durante la interrupcin, el control debe reasumir
su funcin sin sobresaltos, 2) Si la energa de los mdulos de
Entrada/Salida fue interrumpida, las salidas deben colocarse en la
posicin configurada de reinicializacin.
Cada vez que un controlador se est recuperando de una falla
(incluyendo prdida de energa y reemplazo del controlador) los datos
de configuracin y operacin deben ser recargados automticamente de
la base de datos y el controlador debe colocarse en un estado
preconfigurado de reinicio. Adicionalmente dicho evento debe
registrarse y anunciarse.
Los controladores deben monitorear la calidad de las seales de
entrada usadas para control (p. ej. si la seal est por fuera de un
rango definido, la seal debe marcarse como en falla y anunciarse y
registrarse en el registro de alarmas). Si un controlador pierde la
variable de proceso de entrada (bsicamente cuando sale del rango en
que est programada) debe pasar automticamente a posicin manual.
Si ocurre una falla en la seal de entrada a un lazo de control
que es secundario en una configuracin en cascada, todos los
controladores primarios que estn arriba en la cascada deben
suspender las acciones de control automtico.
El valor de la seal de entrada justo antes de la falla debe
mantenerse para ser mostrada en despliegues (marcada como en falla
en todos los despliegues donde aparezca).
Luego de la recuperacin de la falla de la seal de entrada, todas
las acciones de filtro de la seal que puedan estar activas, deben
desactivarse para permitir una rpida recuperacin del lazo de
control. Luego de la recuperacin, las acciones de control automtico
pueden reiniciar en todos los lazos de control afectados. La
recuperacin de la falla debe ser incluida en el registro de
alarmas.
Para PLC:
En general, el PLC debe disearse para que una falla (hardware o
software) en el PLC no resulte en acciones no programadas hacia
elementos de campo (p.ej. una bomba o una vlvula).
El PLC debe contar con contactos que den una seal de falla del
PLC.
Cuando el PLC arranque o reinicie debe: 1) Inhibir todas las
acciones de control hasta que el operador lo indique (los lazos de
control, si se requieren, deben colocarse por defecto en modo
manual). 2) Todos los setpoints deben ser iguales a sus respectivas
variables de proceso. 3) Informar al HMI y al sistema SCADA central
el reinicio exitoso.
3. Redundancia
El fabricante del sistema debe disearlo para que tenga una
disponibilidad mnima del 98% durante un perodo mnimo de 90 das para
cada sistema de bombeo (Ver numeral 5). Lo anterior incide en
aspectos tales como: no tener puntos nicos de falla, redundancia de
controladores, redundancia de Entradas/Salidas, redundancia de
redes locales, redundancia de fuentes, etc.
4. Autodiagnstico
Para DCS o PLC:
El DCS o PLC debe monitorear continuamente todos los componentes
del sistema para anunciar fallas o condiciones de error incluyendo:
1) Integridad de comunicaciones. 2) Prdida de la red local de
datos. 3) Prdida de un dispositivo de la red en una o las dos redes
locales. 4) Tarjetas correctas presentes en todo el sistema. 5)
Operabilidad y calibracin de todo el hardware. 6) Presencia y
operabilidad de todos los dispositivos de respaldo (Por ejemplo,
fuentes, controladores). 7) RAM y ROM. 8) Fuentes de energa. 9)
Ventiladores. 10) Perifricos como discos, unidades de cinta,
impresoras, etc.
Todas las interfaces de comunicaciones con equipos dedicados (p.
ej. computadores de flujo, estaciones maestras de vlvulas) deben
tener diagnsticos incluidos y estadsticas de rendimiento para
efectos de detectar desperfectos.
Cuando el DCS o PLC detecte una falla o error, debe: 1)
Anunciar. 2) Registrar en un archivo la falla o error incluyendo la
descripcin (hasta el nivel de tarjeta si es aplicable), fecha y
hora de ocurrencia. 3) Identificar la falla y localizacin (hasta el
nivel de tarjeta si es aplicable) en un despliegue de status del
sistema.
Todos los componentes para los que est disponible la indicacin
de falla, pero requieran una conexin externa (Por ejemplo,
interruptores indicativos de falla en ventiladores, fuentes,
perifricos, etc.) deben identificarse. El fabricante puede agrupar
dichos dispositivos siempre y cuando Ecopetrol pueda localizar
fcilmente la falla sin conocimiento, equipo o herramientas
especiales.
El sistema debe permitir el monitoreo remoto del estado
operacional de todas las condiciones descritas anteriormente.
Para PLC:
El sistema debe tener software de diagnstico y/o indicadores
luminosos y algn otro mtodo para probar la operacin del
microprocesador del PLC, entradas/salidas y comunicaciones. Los
diagnsticos deberan permitir identificar rpidamente el subsistema
que fall al nivel de tarjeta electrnica.
La CPU debe tener los siguientes indicadores luminosos: CPU
operando, fuente de alimentacin operando correctamente, batera baja
(se requiere su reemplazo), conjunto de indicadores cuando la CPU
est enviando o recibiendo informacin por los canales de
comunicaciones.
Los diagnsticos de la CPU deben dar informacin sobre el estado
de la CPU, memoria, comunicaciones y funciones de entrada/salida.
La CPU debe: indicar condiciones de falla (con fecha y hora);
mostrar mensajes automticos, preferiblemente en espaol, en la
interfaz hombre-mquina cada vez que ocurran fallas; hacer
verificaciones internas de integridad de datos (checksum); tener
watchdog interno del scan del programa; tener acciones programables
ante la ocurrencia de fallas. Los registros y bits de diagnstico
deben ser accesibles dentro del programa por medio de instrucciones
normales de acceso a informacin del PLC.
Diagnstico de entradas/salidas para PLC:
Cada mdulo de entrada/salida debe tener indicadores del estado
de las comunicaciones. Adicionalmente, los mdulos de seales
discretas deben tener indicacin de estado para cada canal.
La informacin del procesador o las tablas de diagnstico incluirn
bits separados para: fallas de comunicaciones con cada equipo
dedicado (computador de flujo, maestra de vlvulas, etc.), falla de
cada tarjeta de entrada/salida, falla de cada canal individual de
entrada. Estos bits deben actualizarse automticamente en cada
scan.
5. Distribucin funcional de controladores por proceso
Cada proceso de bombeo debe estar programado en un controlador
exclusivo. Por ejemplo, si un sistema tiene operacin de recibo y
operacin de despacho de la misma lnea, entonces debe haber un
controlador para el recibo y otro controlador para el despacho.
Los siguientes procesos deben estar en equipos dedicados y no
como parte del sistema de control: Telemetra de tanques,
Contraincendio, Medicin dinmica de producto, Rels de proteccin
elctrica, Sistemas de parada de emergencia (Sistemas Instrumentados
de Seguridad).
Aquellos procesos que no sean directamente relacionados con el
control de la operacin, por ejemplo, adquisicin de datos para
facturacin de producto, deben correr en procesadores independientes
a los controladores de proceso (por proceso de bombeo), pero pueden
estar dentro del sistema de control de la estacin.
6. Esquema de seguridad de red
Considerando que se proyecta conexin de los sistemas de control
local a la red de datos de Ecopetrol, el sistema de control debe
conectarse a la misma por medio de un firewall con las
especificaciones que tenga vigentes la Direccin de Informtica
Corporativa.
Lo anterior, debido a iniciativas como: gestin centralizada de
mantenimiento, sincronizacin de reloj, envo al computador del
coordinador de planta de informacin de volumen inyectado de
marcador de combustible comparado con volumen en tanque y envo de
archivos de control de la transmisin automtica de tiquetes.
7. Computadores para operacin y computador para ingeniera
Con el fin de tener redundancia para la estacin de operador, el
sistema de control debe tener como mnimo dos estaciones de trabajo.
El nmero final de estaciones de trabajo (as como el nmero de
pantallas por estacin de trabajo) se debe determinar de acuerdo a
las necesidades del proceso controlado.
El sistema de control debe contar con una mquina dedicada para
ingeniera con el fin de no interrumpir las labores operacionales
durante las intervenciones al sistema de control, as como ayudar a
la integridad de la informacin de ingeniera y configuracin del
sistema.
8. Recoleccin de datos de campo
Siempre que sea posible, se usarn unidades concentradoras de
entradas/salidas en campo, localizadas en reas elctricas no
clasificadas, montadas en gabinetes o cajas adecuadas al medio
ambiente en que se van a instalar (p. ej., ambiente costero salino)
y con control de temperatura y humedad para evitar, por ejemplo,
sobrecalentamiento en el da y condensacin durante la noche.
El medio de comunicacin entre la unidad concentradora de campo y
la sala de control ser preferiblemente fibra ptica redundante.
Al utilizar las unidades concentradoras de campo se verificar en
el diseo que el tiempo de refresco de las seales en la sala de
operaciones y el tiempo de envo de comandos no excedan de los
tiempos mximos aceptados para la planta (estacin o terminal) en que
se instalarn.
9. Control y monitoreo de vlvulas motorizadas
En general, los actuadores de vlvulas deben ser controlados
mediante red de campo, redundante, y utilizar la estacin maestra de
control, tambin con redundancia, suministrada por el fabricante de
los actuadores, con el fin de no tener desarrollos particulares
para cada sistema de control (lo cual puede suceder cuando se
programa el control de las vlvulas directamente en el PLC o DCS de
la estacin).
En el diseo se deben estimar los tiempos de respuesta para
verificar que cumplen con los requeridos para la estacin en
particular, considerando tambin la visualizacin y comando (a las
vlvulas que aplique) en el Centro de Control Maestro de
Operaciones.
10. Comunicaciones de equipos dedicados al SCL
En lo posible, los equipos dedicados (computadores de flujo,
estaciones maestras de vlvulas, sistemas de telemetra de tanques,
interfaces humano-mquina) deben tener puertos Ethernet y protocolos
sobre TCP/IP. Lo anterior con el fin de tener ms velocidad en la
red local y evitar cuellos de botella, sobretodo con la operacin
remota.
11. Comunicaciones con SCADA central
El sistema de control local debe admitir que el maestro del
protocolo Modbus sea el Centro de Control.
El sistema de control local debe tener un controlador dedicado
exclusivamente a la comunicacin con el SCADA central, con el fin de
tener mayor velocidad de comunicaciones, descargar a los
controladores del proceso local de tareas de comunicacin con el
SCADA central y tener mayor flexibilidad potencial de disponer de
otros protocolos diferentes a Modbus.
12. Gestin de mantenimiento centralizada
El sistema de control local debe tener la facilidad (para ser
adquirida posteriormente, si as se decide) para efectuar
actividades de administracin y mantenimiento en forma remota tales
como: mostrar despliegue del estado funcional de los elementos del
sistema de control, despliegue del desempeo de los elementos del
sistema de control y permitir cambios en configuracin.
13. Sincronizacin de reloj
Se considera que el mtodo ms adecuado para realizar la
sincronizacin de los relojes de todos los sistemas de control es
conectar un computador del sistema de control local (p. ej. el
computador supervisorio) a la red de datos de Ecopetrol y usando el
protocolo especfico NTP.
14. Variedad de Marcas
Cuando se realice la actualizacin o ampliacin de un sistema de
control existente, se recomienda que la primera opcin sea utilizar
la misma marca de los equipos existentes. Lo anterior aplica tanto
a los sistemas de control como a la estacin maestra de control de
vlvulas con red de campo y a los actuadores elctricos de
vlvulas.
Lo anterior debido a que se facilita el proyecto de integracin
de los nuevos equipos o elementos, as como el mantenimiento (por
ejemplo: menor cantidad de repuestos para comprar y almacenar,
menor cantidad requerida de cursos de entrenamiento, menor nmero de
contratos de mantenimiento con terceros, posibles menores costos en
los mismos por ser mayor la poblacin a cubrir).
15. Capacidad de cambiar tarjetas en caliente.
El sistema de control local debe tener la capacidad de que el
reemplazo de tarjetas pueda ser realizado sin desenergizar los
equipos, con el fin de no interrumpir la operacin de otros
procesos.
16. Uso de Estndares SCADA 2006.
Para el diseo y dimensionamiento del sistema de control local
deben ser usados los Estndares SCADA 2006 de Ecopetrol S.A. de la
Vicepresidencia de Transporte.
17. Escalabilidad de los sistemas de control
Cuando se ample un sistema de control local, dicha ampliacin (en
hardware y/o software) no debe afectar el desempeo global del
sistema de control de acuerdo con lo requerido por el proceso
hidrulico y adicionalmente deben seguirse manteniendo los parmetros
de carga de CPU y memoria mencionados anteriormente. Con los
factores anteriores se considera que un sistema de control es
escalable.
18. Sistema de alimentacin
El sistema de control debe estar alimentado por una UPS que
tenga una carga del 40% de la capacidad mxima y un tiempo de
autonoma de acuerdo a la confiabilidad y disponibilidad de la
planta de energa elctrica de la estacin (mnimo 15 minutos a una
carga del 100%). Su uso debe ser exclusivo para el sistema de
control. La disponibilidad de la UPS debe ser de 95% durante un
perodo mnimo de 90 das y no debe ser de tecnologa ferroresonante
(debido a presencia alta de armnicos y eficiencia no homognea en
todo el rango de operacin).
La instrumentacin de campo debe estar alimentada a 24 VDC con
las tolerancias requeridas por los instrumentos instalados.
Cuando las unidades concentradoras de campo estn a una distancia
mayor a 30 m. de la fuente de voltaje, se recomienda alimentarlas
con corriente alterna, proveniente de UPS dedicada a instrumentacin
con las protecciones adecuadas para transientes.
19. Reserva instalada para entradas/salidas del sistema de
control
Para los sistemas de control nuevos, se recomienda entregar una
reserva instalada del 25% para las entradas/salidas.
20. Vlvulas de control
Como criterio de diseo las vlvulas de control deben
especificarse para que al fallar la fuente de energa (normalmente
aire) pasen a una posicin segura para el proceso.
21. Herramientas de control
Debe contar con bloques funcionales que permitan la configuracin
grfica de las estrategias de control regulatorio y su
correspondiente depuracin. Dichos bloques son, por ejemplo:
Lead/Lag y sus opciones comopolinomios de diferente ordenpara el
Lead y el Lag.
Filtro: Primer o segundo orden, Butterfly, pasa bajos, pasa
altos.
El bloque de control PID debe tener la opcin de reset feedback
en el bloque PID para evitar el windup(saturacin) en la estrategia
override.
Control por adelanto (feedforward, lazo abierto)
