snptee seminÁrio nacional de produÇÃo e ......usinas hidrelétricas , visando a disponibilidade e...
TRANSCRIPT
*Rua Friedrich von Voith, 825 - CEP 02995-000 - São Paulo - SP - BRASILTel.: (011) 3944-5179 - Fax: (011) 3944-5182 - E-MAIL: [email protected]
SNPTEESEMINÁRIO NACIONALDE PRODUÇÃO ETRANSMISSÃO DEENERGIA ELÉTRICA
GGH-0819 a 24 Outubro de 2003
Uberlândia - Minas Gerais
GRUPO IGRUPO DE ESTUDO DE GERAÇÃO HIDRÁULICA - GGH
CONFIABILIDADE E DISPONIBILIDADE EM SISTEMAS DE AUTOMAÇÃODE USINAS HIDRELÉTRICAS
Alexandre Nogueira Machado* Eduardo H. V. Gorga Voith Siemens Hydro Power Generation Voith Siemens Hydro Power Generation
RESUMO
No contexto atual as agências reguladoras e a opiniãopública vem exigindo índices mais altos de qualidadede energia enquanto os investidores pressionam porcustos mais baixos de produção e maiorcompetitividade . A automação da geração de energiavem surgindo como resposta a tais necessidades.Como o cerne do comando e controle da usina osistema digital desempenha um papel capital e temgrande impacto nos índices de disponibilidade . Estetrabalho tem como objetivo discutir os conceitosutilizados no projeto de Sistemas de Automação paraUsinas Hidrelétricas , visando a disponibilidade e aconfiabilidade da usina.
PALAVRAS-CHAVE
Hidrogeração. Automação. Conf iabi l idade.Disponibilidade.
1.0 - INTRODUÇÃO
Os sistemas de automação de usinashidrelétricas evoluíram para a arquitetura conhecidahoje como Sistema Digital de Supervisão e Controle(SDSC) que é hierarquizado e distribuído , comomostrado na figura 1. Tal sistema , assim comoqualquer outro , está sujeito a falhas. Tais falhasinfluenciam no funcionamento da usina , podendo levaraté a sua total indisponibilidade , consequentementecom a perda da geração . No entanto , é possível ,reduzir de forma efetiva a possibilidade de ocorrênciadestas falhas se forem levadas em conta certosconceitos e recursos , que hoje apresentam osequipamentos eletrônicos , quando da concepção doprojeto . De maneira geral , o rápido avanço da
tecnologia digital e a redução dos custos dosequipamentos permitem a utilização de técnicas como:
FIGURA 1 – SISTEMA DIGITAL DE SUPERVISÃO ECONTROLE
- Distribuição de funções em elementos dehardware cada vez menores . Comoconseqüência , a falha de um elemento ficarestrita a uma parte dos sistema, permitindo ,mesmo com restrições , a operação segura dosistema . Características como auto-diagnosee possibilidade de troca a “quente” sãoaltamente desejáveis a tais elementos ,influenciando diretamente em grandezascomo o MTTR( Mean Time to Repair- tempomédio para reparo)
- Redundância ou duplicação/realocação derecursos para execução de uma dada função .Qualquer elemento que possua uma funçãocrítica no sistema ou que tenha um MTBF (mean time between failure – tempo médioentre falhas ) inaceitável podem ser
2
CLP
E/S Distribuído
• Operação
• Arquivo histórico
• Comunicação
• Base de dados em tempo realLAN
considerados como sujeitos a aplicação detécnicas de redundância. A característica maisrelevante para equipamentos redundantes é ochaveamento perfeito , ou “bumpless” . Talcaracterística permite que o processo nãosofra qualquer alteração no momento dacomutação , causada por falha , de umequipamento para outro.
É importante notar que nenhum sistema atinge 100%de disponibilidade . Tal grandeza deve sercorretamente estudada face aos seguintes requisitos:
• investimentos necessários• custos das paradas de máquina• redução de manutenção e custos operacionais.• requisitos das agências reguladoras
Tais requisitos influenciam diretamente naconfiguração dos elementos do sistema . A experiênciaacumulada em vários projetos e os avanços na área detecnologia da informação permi t i ram odesenvolvimento de soluções mais confiáveis e quepodem ser aplicadas em todos os níveis hierárquicosdo SDSC.
2.0 - SISTEMA SUPERVISÓRIO
O Sistema Supervisório de uma usina é composto deuma estrutura cliente/servidor e tem as seguintesfuncões básicas:-Operação(Base de Dados em tempo Real)-Arquivamento Histórico-Treinamento-Engenharia-Comunicação com outros Sistemas
2.1 Arquitetura Centralizada
Dependendo dos requisitos do sistema , tais funcõespodem ser concentradas em uma única estação ,comomostrado na figura 2.
FIGURA 2 –ESTAÇÃO COM FUNÇÕESCENTRALIZADASO hardware deverá possuir um índice suficiente dedisponibilidade pois quando a estação falha , asingularidade da arquitetura causa a indisponibilidadedo Sistema de Automação.
Uma alternativa a esta situação seria a utilização depainéis de IHM’s(Interface homem-máquina) nospainéis de controle local , com chaveamentoautomático (hot stand-by) ou chaveamento manual ,executado pelo operador. Quando do evento de falha ,a operação poderia ser executada através da IHM .
Tabela 1 - DISPONIBILIDADE TÍPICA DE ESTAÇÕESTipo Disponibilidade
(%)Indisponibilidade(horas/ano)
PC’s para usodoméstico
99% 87 hs
Servidores de altaconfiabilidade
9 9 , 9 % a99,99%
8,8 hsa 53 minutos
Servidorestolerante a falhas
9 9 , 9 9 9 % a99,9999%
5 minutosa 32 segundos
Fonte:Intel
2.2 Arquitetura Distribuída
A distribuição das funções como mostrada na figura 3aumenta a confiabilidade do sistema como um todo epermite que sejam aplicadas soluções específicas parao aumento da confiabilidade de cada componente.
FIGURA 3 –ARQUITETURA DISTRIBUÍDA
O servidor é responsável pelas tarefas de aquisição daimagem de processo(base de dados em tempo real) ,prover as estações de operação(clientes) com osdados de processo , curvas de tendência , arquivos demensagens , arquivamento histórico , comunicaçãocom os clientes e outros sistemas remotos. Devido asua importância , normalmente se aplicam técnicas deredundância no hardware do servidor. No entantoapenas a redundância de hardware não garante que osistema seja tolerante a falhas , é necessário tambémestratégias no software instalado no servidores com oobjetivo de :• Identificar qual estação é a principal e qual é a
backup e o status de ambas• Sincronização dos arquivos entre as estações
primária e backup (histórico,eventos,alarmes)• Redirecionar os clientes para o servidor
apropriado no evento de falha• Redirecionar a rota de comunicação entre clientes
e servidores através de rotas alternativas
O O
Sn
...
...
O - Estações deOperação
S - Servidor
AH - ArquivoHistórico
AH S1
RAID
3
As estações de operação tem a função permitir omonitoramento e o controle da planta , tambémpodendo ser aplicada a redundância nestas estações .Quando existem múltiplas estações elas normalmentesão identicas e têm as mesmas prioridades de acessoao servidores.O Arquivamento Histórico é responsável peloarmazenamento de informações de longa duração ,que servem para fins de informação administrativa ,construção de gráfico de tendências , registros dehoras de operação dos equipamentos. Um conjunto dediscos rigidos normalmente é utilizado para oarmazenamento dos dados .
FIGURA 4 - CONFIGURAÇÕES DE RAID
A forma como estes discos são configuradosnormalmente é chamada de RAID (redundant arrayof independent disks) e pode variar desde RAID 0 atéRAID 10 , de acordo com a sua configuração. O RAID0 faz apenas a distribuição de dados entre os ‘n’ discosdo conjunto, aumentando a performance detransferência de dados , enquanto a configuraçãoRAID 1 apresentam um espelhamento dos dados emdiscos redundantes.
Tabela 2 - DISPONIBILIDADE DE ALGUNSARRANJOS DE RAIDTipo Disponibilidade
A do conjuntoNúmerodediscos
Disponibilidadecom AI=0,999942
RAID 0 2iA 1 99,9884003%
RAID 1 2i )]A1[(1 -- 2 99,9999997%
RAID0+1
]))A(1[(1 22i--
4 99,9999987%
Ai = disponibilidade individual do disco Fonte: Dell
A configuração RAID 0+1 apresenta as duascaracterísticas , a distribuição dos dados entre osdiscos do conjunto e o espelhamento em discosredundantes e representa , como pode ser observadona Tabela 2, um bom compromisso entre confiabilidadee desempenho .
3.0 - CONTROLADORES LÓGICOS PROGRAMÁVEIS
Os Controladores Lógicos Programáveis(CLP) sãoresponsáveis pelo controle do processo e pelaaquisição dos dados dos instrumentos de campo eatuadores via módulos discretos ou fieldbus.Normalmente são montados em racks ou gabinetes
que se compõe basicamente de fonte , CPU , módulosde I/O , módulos de comunicação ,etc . Para avaliaçãodos índices de confiabilidade do conjunto , todos esteselementos podem ser considerados como umaestrutura em série como mostrado na figura 5:
FIGURA 5 – REPRESENTAÇÃO DO BASTIDOR DECLP
A confiabilidade de cada componente , assumindo queapresentem uma taxa constante de falha pode sercalculada através da seguinte equação:
(1)Na estrutura em série o MTBF do sistema todo ,seeste for constituído por n componentes , é calculadopela seguinte equação, derivada da equação 1:
(2)
Cada componente tem tipicamente, um valor de MTBF.A tabela abaixo ilustra alguns valores típicos paracomponentes do CLP :
Tabela 3 –VALORES TÍPICOS DE MTBF e MTTRTipo MTBF
(ANOS)MTTR(horas)
Fonte 103 2CPU 23 1,5Módulo de Comunicação(CP) 16 1,5Módulo de E/S 68 1,5Rack 204 2
Para ilustrar os procedimentos adotados na busca daotimização dos índices de confiabilidade será utilizadouma configuração básica de um bastidor mostrada nafigura 6:
FIGURA 6 – EXEMPLO DE CONFIGURAÇÃO DEBASTIDORUtilizando-se dos índices da tabela 3 e as equações(1) e (2) pode-se calcular o MTBFi do bastidor da figura5 :
MTBFi=5,57 (anos)
AH
RAID 1
RAID 0
RAID 0+1
Fonte
CPU
CP
E/S E/S E/S E/S
MTBFt
etR-
=)(
nMTBFMTBFMTBFMTBF1..111
21+++=
2041
684
161
231
1031
MTBF1
i++++=
4
O MTTR do conjunto é calculado levando-se em contaa taxa de falha de cada componente e o temponecessário para o seu reparo :
Â
Â
=
== n
j j
n
j j
j
MTBF
MTBFMTTR
MTTR
1
1
1 (3)
Calculando-se o valor para o bastido da figura 6temos:
MTTRi = 1,54 (horas)A indisponibilidade do bastidor é calculada através doMTBF e MTTR :
57,5x876054,1
54,1
MTBFMTTR
MTTRU
ii
ii +
=+
=
Ui = 3,1 x 10-5 = 0,0031% = 16,6 min/anoAi = 1-Ui = 99,9968%
Com o objetivo de otimizar tais resultados , pode seraplicada a distribuição dos módulos de E/S e aredundância do bastidor . No entanto , como no casodos servidores ,a CPU deverá possuir algumascaracterísticas essenciais para a operação redundante, dentre as quais :
• Chaveamento Perfeito , isto é , no evento defalha de uma CPU , a outra CPU assumiria oprocessamento sem causar qualqueralteração ao sistema
• Detecção de Erro e Localização da Falhas• Reparo durante a Operação• Sincronização entre as CPU’s
Com estas características , a aplicação da redundânciaaumenta consideravelmente os valores do MTBFapesar da inclusão de um novo bastidor. A alteraçãoda confiabilidade do sistema como um todo pode servisto pelo exemplo da figura 7 :
FIGURA 7 – EXEMPLO DE CONFIGURAÇÃO DEBASTIDOR REDUNDANTE
A equação que representa a disponibilidade de umsistema com n elementos em paralelo em que apenasum necessita funcionar para o sucesso do sistemapode ser escrita como:
n
n)1
iA1 (1A --=˙̊˘
ÍÎ
È (3)
ondeA[1/n] é a confiabilidade do sistema redundanteAi(t) é a disponibilidade do elementon é o número de elementos em paraleloReescrevendo a equação (3) em função dos resultadosencontrados para o bastidor singular , teremos :
2 ) 0,999968(112
1A --=˙
˚
˘ÍÎ
È
A = 99,999999989%U = 1,024 x 10-9= 0,24 seg/anoOu seja , comparando os dois valores dedisponibilidade nota-se que o sistema redundante temuma disponibilidade extremamente alta emcomparação ao sistema com bastidor singular.
4.0 - REDES DE COMUNICAÇÃO
As redes de comunicação interligam todos os níveis doprocesso , tanto o sistema supervisório com os CLP’s ,normalmente através de redes Ethernet , assim comoentre os PLC’s e os instrumentos de processo atravésdas redes fieldbus. A disponibilidade do sistema decomunicação pode ser otimizada por redundância domeio, duplicação de subcomponentes, ou duplicaçãode todos os componentes do barramento. A missão darede de comunicação é interconectar dois ou maissistemas de maneira que estes interoperem .Estafunção pode ser modelada como o sistema da figura 8.
FIGURA 8 – MODELO BASE DE COMUNICAÇÃOENTRE CPU’S
Considerando o MTBF do Barramento infinito e osvalores da tabela 3 temos :
510x69,2U48,6x876053,1
53,1U -=fi+
=
U = 2,35 (horas/ano)A=1-U = 99,9973%
O método mais simples de aumentar a disponibilidadede sistemas interconectados é a utilização de umbarramento redundante conjugado ao sistema debastidor redundante analisado anteriormente. Omonitoramento e os mecanismos de sincronizaçãoasseguram que no caso da falha de um componente,outro assumirá as funções e manterá pelo menos umarota ativa. A figura 9 ilustra tal modelo:
E/S
E/S
E/S
E/S
Fonte
CPU
CP
E/S
E/S
E/S
E/S
Sincronização
Fonte
CP
CPU
204
1
68
4
16
1
23
1
103
1204
2
68
5,1x4
16
5,1
23
5,1
103
2
MTTR++++
++++=
)anos(48,6MTBF2042
162
1032
MTBF1
=fi++=
)horas(53,1MTTR48,6
2042x2
165,1x2
1035,1x2
MTTR 1 =fi++
=-
5
FIGURA 9 – BARRAMENTO REDUNDANTE
Utilizando a equação 3 , podemos calcular adisponibilidade do sistema da figura 9:
2)21
0,99997311 (1A --=˙̊˘
ÍÎ
È
A = 99,9999999276%U=1-A = 7,24x10-10 = 0,022 seg/ano
De maneira geral , os PC’s não tem um hardwaretolerante a falha , no entanto eles podem ser montadose configurados para que acessem a rede decomunicação de uma forma confiável. Adisponibiliidade do sistema supervisório e ogerenciamento das rotas de comunicação pode serassegurada pelo uso de software específico para essasaplicações. A figura 10 ilustra basicamente a conexãoentre CLP e PC sem qualquer característica especial:
FIGURA 10 – COMUNICAÇÃO ENTRE PC E CLP
O MTBF da conexão do sistema da figura 10 ,considerando o MTBF do barramento infinito e o MTBFtipíco de um PC(Servidor) igual a 5,5 anos é:
O MTTR do PC(servidor) tem um valor típico de 5horas , e o MTTR do sistema pode ser calculado :
A indisponibilidade do sistema é
82,2876030,330,3
xMTBFMTTRMTTRU
+=
+=
U= 1,34x10-4 =0,013% = 70 minutos/ano
A duplicação do barramento , criando rotas alternativasde comunicação torna a conexão entre o PC(servidor)e o CLP mais confiável , aumentando a disponibilidadedo sistema :
FIGURA 11 – COMUNICAÇÃO REDUNDANTEENTRE PC E CLP
O modelo acima pode ser simplificado para o cálculoda disponibilidade do sistema , resultando em doissistemas em paralelo , idênticos , em série com o PCcomo mostra a figura abaixo:
FIGURA 12 – MODELO SIMPLIFICADO
O MTBF e o MTTR do sistema A são :
A indisponibilidade do sistema A será :
77,5876051,151,1
xMTBFMTTRMTTRU
AA
AA +
=+
=
UA= 2,99x10-5
Um sistema com dois componentes em paralelo setorna indisponível quando ambos os componentesestiverem indisponíveis e este valor pode ser calculadoda seguinte forma:
2AAA UxUUU == (4)
E a disponibililidade do sistema inteiro pode sercalculada considerando a disponibilidade do PC daseguinte forma :
)()( PCA AxUA 21-= (5)
)5,5x87605
51(x))10x99,2(1(A 25
+--= -
A = 99,9896%U=1-A = 1,03x10-4 = 55 minutos /ano
Podemos notar pelos cálculos anteriores que o fatorlimitante em relação a otimização da indisponibilidadedeste sistema é a confiabilidade do PC. Tal fato, aliadoa importância da função do servidor , leva comumentea aplicação da técnica de redundância de hardwarenesta estação como pode ser visto na figura abaixo:
2,82(anos)MTBF =fi+++=5,5
12041
162
2311
MTBF
)3,30(horasMTTR =fi+++
+++=
5,51
2041
162
231
2042
5,55
165,12
235,1 x
MTTR
5,77(anos)MTBF A =fi++=2041
162
2311
AMTBF
)1,51(horasMTTR A =fi++
++=
2041
162
231
2042
165,12
235,1 x
MTTRA
6
FIGURA 13 – COMUNICAÇÃO ENTRE CLP E PC’SREDUNDANTES
O sistema acima pode ser simplificado até se reduzir aum sistema série e então se calcula a suadisponibilidade.
FIGURA 14– SIMPLIFICAÇÕES DO MODELO DAFIG.13
A simplificação é útil para se calcular o MTBF e MTTRde A , como mostrado na Figura 14:
A indisponibilidade do bloco A será :
10,4x876011,4
11,4
MTBFMTTR
MTTRU
AA
AA +
=+
=
UA= 1,14x10-4
Utilizando a equação 4 temos a indisponibilidade dobloco B:
UB = (1,14x10-4)2 = UB = 1,3x10-8
Calculando a disponibilidade total do sistema temos:
)U1)(U1)(U1)(U1(A B1Cpa1Racka1CPUa ----=
999999,0x999989,0x999999,0x999993,0A =
A = 0,999980U= 1,999989x10-5= 10,5 (min/ano)
Comparando esta indisponibilidade com a configuraçãoanterior ,percebe-se que houve uma grande diminuição,pelo fato da utilização de redundância nos PC’s , quetem um valor de MTBF e MTTR incompatível com osvalores dos outros equipamentos do sistema deautomação.
5.0 - CONCLUSÕES
Os métodos e conceitos aqui discutidos provaram asua eficácia através dos projetos executados e nabusca de solução otimizada para alcançar os índicesprevistos nas normas operativas das agênciasreguladoras . É importante notar que os sistemasforam analisados separadamente , o que resultou , demaneira geral , nos elevados valores de disponibilidade. O que não impede a adoção dos mesmos conceitos eprocedimentos para sistemas mais complexos ,levando-se em consideração que quanto maior acomplexidade do sistema , piores serão os seusindíces de confiabilidade e consequentemente a suadisponibilidade. Com base nos valores teóricos dedisponibilidade e confiabilidade apresentados nestetrabalho, a VOITH SIEMENS HYDRO vemaprimorando suas soluções para automação de usinashidrelétricas, mantendo-as compatíveis com asexigências operacionais e normativas vigentes.Recomenda-se adotar alternativas (sub-automatismosdistribuídos e autônomos, sistemas de retaguardaindependentes, etc.) para a supervisão e controle doprocesso em função do custo da indisponibilidade doSDSC para o empreendedor.
6.0 - REFERÊNCIAS BIBLIOGRÁFICAS
(1) VOITH S IEMENS HYDRO POWERGENERATION. Cálculo de Disponibilidade dosSistemas Digitais de Supervisão e Controle dasUHE’s Emborcação , Volta Grande e Jaguara.Relatório Técnico A576.592-0/002. São Paulo,1997-06-06;
(2) SIEMENS A. G. – ANL A 45 – ReliabilityEngineering – Introduction to the methods ofreliability assessment of systems – 05/96;
(3) SIEMENS A. G. Manual S7-400H ProgrammableController Fault Tolerant Systems - 07/2001
(4) Department of Defense U.S.A. . EletronicReliability Design Handbook MIL-HDBK-338B.1998-10-01.
4,10(anos)MTBF5,5
1161
MTBF1
AA
=fi+=
)4,11(horasMTTR
5,5
1
16
15,5
5
16
5,1
MTTR AA =fi+
+=