Aula 8 Sistemas de Controle de Alta Disponibilidade · § Em sistemas de automação já implementados verifica -se, com freqüência, a necessidade de melhorar os programas dos controladores

FENG – ENGENHARIA DE CONTROLE E AUTOMAÇÃO

Sistemas de Alta Disponibilidade e Diagnósticos de FalhasAutomação Semestre 01/2015

Engenharia de Controle e Automação


Introdução

§ Atribuem-se às palavras defeito, falha e erro significados específicos: § Defeito é a degradação no desempenho de um componente ou do

sistema.§ Falha: é a degradação total, a paralisação de um componente ou

do sistema.§ Então, dependendo do caso, um defeito ou uma falha em um

componente pode acarretar um defeito ou uma falha no sistema.§ Erro: é o conceito mais abrangente, pois designa o mau

desempenho do sistema, em qualquer que seja sua origem: defeitos, falhas ou comandos externos não previstos.


Introdução

§ Assuntos:§ Sinalizações e Falhas;§ Proteção e Sinalização;§ Alta Disponibilidade;§ Aperfeiçoamento Progressivo de Controladores;§ Recuperação de Erro;§ Diagnóstico Pós-Falha;§ Sistemas Especialistas;§ Base de Conhecimento em Grandes Plantas Industriais.


Sinalização e Falhas

§ Os fluxos de matéria, de energia ou de informação que sejam essenciais para a finalidade produtiva de uma planta costumam ser chamados de processos técnicos.

§ É esclarecedor considerar de que maneira perturbações e respostas normais dos processos técnicos, sob controle regulatório, geram eventos que exigem entrada, num primeiro estágio, de controladores de eventos; num segundo estágio, de controladores de falhas, e, finalmente, de operadores via sistema supervisório.

§ O controle regulatório somente é possível com os sinais dentro de certos limites de amplitude, além dos quais algum componente atinge sua máxima capacidade de atuar, entrando em saturação.

§ Esses possíveis acontecimentos, que ocorrem a qualquer momento, são eventos importantes para o projeto de sistemas, porque a partir deles devem entrar em ação também os controladores de eventos e falhas.


Proteção e Sinalização

§ Desligamento:§ Definindo posições:

§ N = normal; E = Emergência; D = Desligado; P = Perturbação; LM = Comando manual liga; DM = Comando manual desliga; DA = Processo de Desligamento, ativo; DI = Processo de Desligamento, inativo.

§ Se o estado E está ativo e DI ativo, estes disparam o início da rotina de desligamento DA. O estado E permanece ativo por causa do self-loop. Terminado o desligamento, o processo técnico vai para o estado D, desligado, e o controlador de desligamento vai para o estado DI.

§ Sinalizações para o operador são usualmente representadas por self-loops adicionais que representam informações passadas pelo sistema supervisório.



§ Reenergização Automática com Memória (R):§ Definindo posições:

§ N = normal; E = Emergência; D = Desligado; P = Perturbação; LM = Comando manual liga; DM = Comando manual desliga; DA = Processo de Desligamento, ativo; DI = Processo de Desligamento, inativo; RA = Processo de Reenergização, ativo; RI = Processo de Reenergização, inativo.

§ De modo semelhante ao anterior, constrói-se uma lógica adicional representando o ciclo de reenergização. Este ciclo somente é executado se o desligamento do processo se deu previamente por emergência, e não pela ação do operador. Para isto fica o registro em memória do evento de E.



§ Desligamento e Reenergização Automática Restrita:§ Definindo posições:

§ RA = Processo de Reenergização, ativado; RI = Processo de Reenergização, inativo.

§ De modo geral, a reenergização automática não deve ser repetida indefinidamente, pois pode ampliar danos ao sistema. Um contador de ciclos percorridos, de RI para RA, após uma emergência pode ser utilizado para interromper a reenergização automática e pedir por alarme ou intervenção do operador ou da manutenção.

§ Um exemplo de utilização deste procedimento é para o sistema de distribuição de energia elétrica, onde perturbações climáticas são na maioria transitórios, e o religamento automático se justifica, porém se após algumas tentativas a perturbação permanece, o religamento automático deve ser abandonado.


Alta Disponibilidade

§ Componentes reais estão sujeitos a defeitos, e assim a normal correspondência entre estímulos e respostas deixa de existir. Basicamente, há dois tipos de falhas:

§ Quando um evento ocorre sem que exista o estímulo correspondente; esta falha é chamada de falha de reduzida segurança (reduced security);

§ Quando um comando ocorre sem que a resposta correspondente aconteça; este tipo é chamado de falha de reduzida causalidade(reduced dependability).

§ Falhas são eventos que ocorrem de maneira aleatória. Suas conseqüências “do tipo pior caso” podem ser analisadas deterministicamente; já suas conseqüências “em média” requerem tratamento ou simulação de caráter estatístico.



§ Aumentar a confiabilidade de um sistema, isto é, reduzir a sua probabilidade de falha, pode ser feito por dois caminhos: empregando componentes de melhor qualidade, que são usualmente mais caros, ou introduzindo componentes redundantes.

§ Redundância significa duplicar ou triplicar sensores, atuadores e CPUs e reunir os seus sinais de saída em um sinal único, por meio de operadores lógicos AND, OR ou XOR.

§ Esses operadores lógicos são escolhidos AND, quando se trata de falhas redutoras de segurança, ou OR, quando se trata de falhas redutoras de causalidade.


MTTF,MTTR, MTBF

Successful Operation

Failure

TIME

MTBF (Mean Time Between Failure)

MTTF (Mean Time To Failure) MTTR (Mean Time To Repair)

MTBF is a term that applies only to repairable systems.10 Hours is a common time period used for MTTR calculations

Availability is measurable as a %: A = MTBF / MTBF+MTTR


Alta Disponibilidade - Tradicional


Alta Disponibilidade – Atual e Tendência


Alta Disponibilidade – I/O redundanteRedundant Power

Supply

Two Slot Adapter Backplane

DLR Ports

Redundant Ethernet Adapters

Redundant Input Modules

Redundant Output Modules

Redundant Termination Assemblies

Three Slot I/O Backplanes

• 24VDC Discrete Input Module• 24VDC Discrete Output Module• 4 to 20 ma Analog Input Module• 4 to 20 ma Analog Output Module• Redundant 24VDC Power supply connections


Alta Disponibilidade – Controlador de Tripla Redundância

Triplicated CPUs

Triplicated Terminations

Fault Tolerant outputs

Triplicated inputs





§ Se a redundância se faz contra falhas de reduzida segurança nos sensores (por exemplo), isto é, de transições disparadas sem as devidas habilitações, é a favor da segurança confirmar a presença do estímulo nos dois canais; então utilizamos o operador lógico AND.

§ Se a redundância se realiza contra falhas de reduzida causalidade nos sensores, isto é, de transições habilitadas sem que se complete a execução, deve-se dar como certa a presença do estímulo quando qualquer um dos dois canais ou os dois informam positivamente. Portanto, a redundância contra a reduzida causalidade requer sistema implementado com o operador lógico OR.


Aperfeiçoamento Progressivo de Controladores

§ Em sistemas de automação já implementados verifica-se, com freqüência, a necessidade de melhorar os programas dos controladores.

§ Historicamente, existe um grande esforço de programação dedicado à solução de problemas posteriores à instalação.

§ Estes trabalhos visam à correção de erros de especificação, de concepção ou de programação, ou então à proteção contra falhas de funcionamento.

§ Estas podem decorrer tanto de defeitos em componentes como de eventos de entrada não previstos.



§ Os engenheiros de Automação tentam, na fase de projeto, antecipar-se a essas situações de falha, mas correm riscos de dois tipos:

§ Por excesso, prevenindo contra eventos raríssimos.§ Por falta, deixando de prever eventos prováveis e de real

importância.

§ Com isso é inevitável que surjam necessidades de corrigir programas de automação da operação real de sistemas, alterando ou acrescentando funções.

§ Esta é mais uma justificativa para a recomendação de registrar com clareza e conservar a documentação dos projetos de automação, principalmente o projeto conceitual.



§ Neste momento, a nossa ação trata-se de

programar a saída automática da situação de

falha operacional, e de levar automaticamente o

sistema para um estado seguro.

§ Com isso podemos considerar que o sistema

final evoluirá para algo como o diagrama de

blocos ao lado, em que além dos blocos da

planta, do sensoreamento e da atuação, são

incluídos blocos ou programas de controle

automático de eventos, de deteção de erros e

de recuperação de erros.

PLC

RP-R

RP-D

RP-C

Atuador Planta Sensor


Introduzindo a Recuperação de Erro

§ Uma vez detectado um erro ou um estado lógico anormal, durante os testes de plataforma ou de campo ou na operação real, a primeira providência é caracterizá-lo integralmente em termos do histórico recente das variáveis do sistema para poder representar aquele estado lógico por uma posição no projeto conceitual e seus pré-sets.

§ É a partir dessa nova posição que será projetado o processo de recondução a um dos estados normais; ele será modelado por uma sub-rede do projeto conceitual dita recuperadora (error recovery). Recomenda-se acrescentá-la evitando inserir possibilidades de introdução de novas falhas no sistema.


Introduzindo a Recuperação de Erro

§ Existem basicamente três métodos para a recuperação de Erro:§ Método do condicionamento de Entrada: O projeto conceitual

pode fazer com que , conforme seja mais adequado, a peça seja sucateada, processada à parte ou recolocada novamente no processo. Terminada execução de recuperação do erro, o processo de produção deve ser retomado.

§ Método do Caminho Alternativo: Em certas situações, o erro detectado pode ser sanado evitando-se a peça passe para outra unidade de produção.

§ Método de Recuperação para Trás: É utilizado quando a mera repetição do processo normal, isto é, a peça retorna à unidade de produção anterior para retrabalho.


Diagnóstico Pós-Falha§ Introdução

§ O erro pode decorrer de causas muito diferentes, dentre elas a falha ou quebra de componente do sistema. Independentemente de haver ou não recuperação do erro, se o responsável pelo erro foi a falha de um componente é importante identificá-lo.

§ Entende-se por diagnóstico pós-falha o processo que deve entrar em ação a fim de identificar o componente falho. (Verificar função ADR – Auto Device-Replace na Rede DeviceNet ou ADC na Rede Ethernet/IP)

§ Sua meta é aumentar a rapidez e a segurança na detecção do componente responsável, tarefa difícil nos sistemas industriais de hoje em função da sua complexidade usual.

§ O objetivo é reduzir o MTTR, e isto implica em maior disponibilidade e %OEE.


Diagnóstico Pós-Falha

§ Com o aumento da complexidade dos processos industriais e de seus serviços a importância dos sistemas de diagnóstico vem crescendo rapidamente.

§ A complexidade não apenas gera maior probabilidades de defeitos em componentes como também aumenta a informação de que os técnicos necessitam em suas intervenções de manutenção.

§ Maior complexidade usualmente está associada a um maior custo de parada, o que exige maior velocidade da informação técnica para a manutenção.



§ Definições:§ Projeto: qualquer arranjo de meios que atinja um resultado desejado por

razões estabelecidas.§ Equipamento/Sistema Físico: qualquer realização física de um projeto.§ Defeito (fault): qualquer discrepância entre o desempenho real de um

sistema e seu projeto.§ Falha (failure/break): paralisação operacional de componente ou sistema.§ Sintoma: qualquer observação do desempenho real que seja inconsistente

com o desempenho do projeto.§ Diagnóstico: determinação do defeito ou da falha responsável pelo

sintoma.§ Diagnóstico Passivo: diagnóstico apenas a partir dos sinais de operação.§ Diagnóstico Ativo: com a cooperação de técnicos em experimentos.



§ Um diagnóstico é sempre um processo de dedução lógica.

§ Quanto estabelecido exclusivamente a partir de descrições precisas e lógicas do projeto e das descrições do sistemas, tem-se o diagnóstico por modelos lógicos.

§ Quando montado a partir de prescrições heurísticas (investigativas) ou práticas, oriundas de especialistas, tem-se o diagnóstico por sistema especialista. É o tipo de diagnóstico automático mais eficiente e adequado às atividades industriais. É fácil aceitar que a seleção e a redução do número dos suspeitos causadores de uma falha, em um sistema complexo, dependam em alto grau de regras práticas, não exatas, não únicas e muitas vezes só percebidas. É vital servir-se de computador e da arquitetura dos sistemas especialistas.


Perguntas?

Documents

Aula 8 Sistemas de Controle de Alta Disponibilidade · § Em sistemas de automação já implementados verifica -se, com freqüência, a necessidade de melhorar os programas dos controladores