*Rua Friedrich von Voith, 825 - CEP 02995-000 - São Paulo - SP - BRASILTel.: (011) 3944-5179 - Fax: (011) 3944-5182 - E-MAIL: alexandre.machado@vs-hydro.com

SNPTEESEMINÁRIO NACIONALDE PRODUÇÃO ETRANSMISSÃO DEENERGIA ELÉTRICA

GGH-0819 a 24 Outubro de 2003

Uberlândia - Minas Gerais

GRUPO IGRUPO DE ESTUDO DE GERAÇÃO HIDRÁULICA - GGH

CONFIABILIDADE E DISPONIBILIDADE EM SISTEMAS DE AUTOMAÇÃODE USINAS HIDRELÉTRICAS

Alexandre Nogueira Machado* Eduardo H. V. Gorga Voith Siemens Hydro Power Generation Voith Siemens Hydro Power Generation

RESUMO

No contexto atual as agências reguladoras e a opiniãopública vem exigindo índices mais altos de qualidadede energia enquanto os investidores pressionam porcustos mais baixos de produção e maiorcompetitividade . A automação da geração de energiavem surgindo como resposta a tais necessidades.Como o cerne do comando e controle da usina osistema digital desempenha um papel capital e temgrande impacto nos índices de disponibilidade . Estetrabalho tem como objetivo discutir os conceitosutilizados no projeto de Sistemas de Automação paraUsinas Hidrelétricas , visando a disponibilidade e aconfiabilidade da usina.

PALAVRAS-CHAVE

Hidrogeração. Automação. Conf iabi l idade.Disponibilidade.

1.0 - INTRODUÇÃO

Os sistemas de automação de usinashidrelétricas evoluíram para a arquitetura conhecidahoje como Sistema Digital de Supervisão e Controle(SDSC) que é hierarquizado e distribuído , comomostrado na figura 1. Tal sistema , assim comoqualquer outro , está sujeito a falhas. Tais falhasinfluenciam no funcionamento da usina , podendo levaraté a sua total indisponibilidade , consequentementecom a perda da geração . No entanto , é possível ,reduzir de forma efetiva a possibilidade de ocorrênciadestas falhas se forem levadas em conta certosconceitos e recursos , que hoje apresentam osequipamentos eletrônicos , quando da concepção doprojeto . De maneira geral , o rápido avanço da

tecnologia digital e a redução dos custos dosequipamentos permitem a utilização de técnicas como:

FIGURA 1 – SISTEMA DIGITAL DE SUPERVISÃO ECONTROLE

- Distribuição de funções em elementos dehardware cada vez menores . Comoconseqüência , a falha de um elemento ficarestrita a uma parte dos sistema, permitindo ,mesmo com restrições , a operação segura dosistema . Características como auto-diagnosee possibilidade de troca a “quente” sãoaltamente desejáveis a tais elementos ,influenciando diretamente em grandezascomo o MTTR( Mean Time to Repair- tempomédio para reparo)

- Redundância ou duplicação/realocação derecursos para execução de uma dada função .Qualquer elemento que possua uma funçãocrítica no sistema ou que tenha um MTBF (mean time between failure – tempo médioentre falhas ) inaceitável podem ser

2

CLP

E/S Distribuído

• Operação

• Arquivo histórico

• Comunicação

• Base de dados em tempo realLAN

considerados como sujeitos a aplicação detécnicas de redundância. A característica maisrelevante para equipamentos redundantes é ochaveamento perfeito , ou “bumpless” . Talcaracterística permite que o processo nãosofra qualquer alteração no momento dacomutação , causada por falha , de umequipamento para outro.

É importante notar que nenhum sistema atinge 100%de disponibilidade . Tal grandeza deve sercorretamente estudada face aos seguintes requisitos:

• investimentos necessários• custos das paradas de máquina• redução de manutenção e custos operacionais.• requisitos das agências reguladoras

Tais requisitos influenciam diretamente naconfiguração dos elementos do sistema . A experiênciaacumulada em vários projetos e os avanços na área detecnologia da informação permi t i ram odesenvolvimento de soluções mais confiáveis e quepodem ser aplicadas em todos os níveis hierárquicosdo SDSC.

2.0 - SISTEMA SUPERVISÓRIO

O Sistema Supervisório de uma usina é composto deuma estrutura cliente/servidor e tem as seguintesfuncões básicas:-Operação(Base de Dados em tempo Real)-Arquivamento Histórico-Treinamento-Engenharia-Comunicação com outros Sistemas

2.1 Arquitetura Centralizada

Dependendo dos requisitos do sistema , tais funcõespodem ser concentradas em uma única estação ,comomostrado na figura 2.

FIGURA 2 –ESTAÇÃO COM FUNÇÕESCENTRALIZADASO hardware deverá possuir um índice suficiente dedisponibilidade pois quando a estação falha , asingularidade da arquitetura causa a indisponibilidadedo Sistema de Automação.

Uma alternativa a esta situação seria a utilização depainéis de IHM’s(Interface homem-máquina) nospainéis de controle local , com chaveamentoautomático (hot stand-by) ou chaveamento manual ,executado pelo operador. Quando do evento de falha ,a operação poderia ser executada através da IHM .

Tabela 1 - DISPONIBILIDADE TÍPICA DE ESTAÇÕESTipo Disponibilidade

(%)Indisponibilidade(horas/ano)

PC’s para usodoméstico

99% 87 hs

Servidores de altaconfiabilidade

9 9 , 9 % a99,99%

8,8 hsa 53 minutos

Servidorestolerante a falhas

9 9 , 9 9 9 % a99,9999%

5 minutosa 32 segundos

Fonte:Intel

2.2 Arquitetura Distribuída

A distribuição das funções como mostrada na figura 3aumenta a confiabilidade do sistema como um todo epermite que sejam aplicadas soluções específicas parao aumento da confiabilidade de cada componente.

FIGURA 3 –ARQUITETURA DISTRIBUÍDA

O servidor é responsável pelas tarefas de aquisição daimagem de processo(base de dados em tempo real) ,prover as estações de operação(clientes) com osdados de processo , curvas de tendência , arquivos demensagens , arquivamento histórico , comunicaçãocom os clientes e outros sistemas remotos. Devido asua importância , normalmente se aplicam técnicas deredundância no hardware do servidor. No entantoapenas a redundância de hardware não garante que osistema seja tolerante a falhas , é necessário tambémestratégias no software instalado no servidores com oobjetivo de :• Identificar qual estação é a principal e qual é a

backup e o status de ambas• Sincronização dos arquivos entre as estações

primária e backup (histórico,eventos,alarmes)• Redirecionar os clientes para o servidor

apropriado no evento de falha• Redirecionar a rota de comunicação entre clientes

e servidores através de rotas alternativas

O O

Sn

...

...

O - Estações deOperação

S - Servidor

AH - ArquivoHistórico

AH S1

RAID

3

As estações de operação tem a função permitir omonitoramento e o controle da planta , tambémpodendo ser aplicada a redundância nestas estações .Quando existem múltiplas estações elas normalmentesão identicas e têm as mesmas prioridades de acessoao servidores.O Arquivamento Histórico é responsável peloarmazenamento de informações de longa duração ,que servem para fins de informação administrativa ,construção de gráfico de tendências , registros dehoras de operação dos equipamentos. Um conjunto dediscos rigidos normalmente é utilizado para oarmazenamento dos dados .

FIGURA 4 - CONFIGURAÇÕES DE RAID

A forma como estes discos são configuradosnormalmente é chamada de RAID (redundant arrayof independent disks) e pode variar desde RAID 0 atéRAID 10 , de acordo com a sua configuração. O RAID0 faz apenas a distribuição de dados entre os ‘n’ discosdo conjunto, aumentando a performance detransferência de dados , enquanto a configuraçãoRAID 1 apresentam um espelhamento dos dados emdiscos redundantes.

Tabela 2 - DISPONIBILIDADE DE ALGUNSARRANJOS DE RAIDTipo Disponibilidade

A do conjuntoNúmerodediscos

Disponibilidadecom AI=0,999942

RAID 0 2iA 1 99,9884003%

RAID 1 2i )]A1[(1 -- 2 99,9999997%

RAID0+1

]))A(1[(1 22i--

4 99,9999987%

Ai = disponibilidade individual do disco Fonte: Dell

A configuração RAID 0+1 apresenta as duascaracterísticas , a distribuição dos dados entre osdiscos do conjunto e o espelhamento em discosredundantes e representa , como pode ser observadona Tabela 2, um bom compromisso entre confiabilidadee desempenho .

3.0 - CONTROLADORES LÓGICOS PROGRAMÁVEIS

Os Controladores Lógicos Programáveis(CLP) sãoresponsáveis pelo controle do processo e pelaaquisição dos dados dos instrumentos de campo eatuadores via módulos discretos ou fieldbus.Normalmente são montados em racks ou gabinetes

que se compõe basicamente de fonte , CPU , módulosde I/O , módulos de comunicação ,etc . Para avaliaçãodos índices de confiabilidade do conjunto , todos esteselementos podem ser considerados como umaestrutura em série como mostrado na figura 5:

FIGURA 5 – REPRESENTAÇÃO DO BASTIDOR DECLP

A confiabilidade de cada componente , assumindo queapresentem uma taxa constante de falha pode sercalculada através da seguinte equação:

(1)Na estrutura em série o MTBF do sistema todo ,seeste for constituído por n componentes , é calculadopela seguinte equação, derivada da equação 1:

(2)

Cada componente tem tipicamente, um valor de MTBF.A tabela abaixo ilustra alguns valores típicos paracomponentes do CLP :

Tabela 3 –VALORES TÍPICOS DE MTBF e MTTRTipo MTBF

(ANOS)MTTR(horas)

Fonte 103 2CPU 23 1,5Módulo de Comunicação(CP) 16 1,5Módulo de E/S 68 1,5Rack 204 2

Para ilustrar os procedimentos adotados na busca daotimização dos índices de confiabilidade será utilizadouma configuração básica de um bastidor mostrada nafigura 6:

FIGURA 6 – EXEMPLO DE CONFIGURAÇÃO DEBASTIDORUtilizando-se dos índices da tabela 3 e as equações(1) e (2) pode-se calcular o MTBFi do bastidor da figura5 :

MTBFi=5,57 (anos)

AH

RAID 1

RAID 0

RAID 0+1

Fonte

CPU

CP

E/S E/S E/S E/S

MTBFt

etR-

=)(

nMTBFMTBFMTBFMTBF1..111

21+++=

2041

684

161

231

1031

MTBF1

i++++=

4

O MTTR do conjunto é calculado levando-se em contaa taxa de falha de cada componente e o temponecessário para o seu reparo :

Â

Â

=

== n

j j

n

j j

j

MTBF

MTBFMTTR

MTTR

1

1

1 (3)

Calculando-se o valor para o bastido da figura 6temos:

MTTRi = 1,54 (horas)A indisponibilidade do bastidor é calculada através doMTBF e MTTR :

57,5x876054,1

54,1

MTBFMTTR

MTTRU

ii

ii +

=+

=

Ui = 3,1 x 10-5 = 0,0031% = 16,6 min/anoAi = 1-Ui = 99,9968%

Com o objetivo de otimizar tais resultados , pode seraplicada a distribuição dos módulos de E/S e aredundância do bastidor . No entanto , como no casodos servidores ,a CPU deverá possuir algumascaracterísticas essenciais para a operação redundante, dentre as quais :

• Chaveamento Perfeito , isto é , no evento defalha de uma CPU , a outra CPU assumiria oprocessamento sem causar qualqueralteração ao sistema

• Detecção de Erro e Localização da Falhas• Reparo durante a Operação• Sincronização entre as CPU’s

Com estas características , a aplicação da redundânciaaumenta consideravelmente os valores do MTBFapesar da inclusão de um novo bastidor. A alteraçãoda confiabilidade do sistema como um todo pode servisto pelo exemplo da figura 7 :

FIGURA 7 – EXEMPLO DE CONFIGURAÇÃO DEBASTIDOR REDUNDANTE

A equação que representa a disponibilidade de umsistema com n elementos em paralelo em que apenasum necessita funcionar para o sucesso do sistemapode ser escrita como:

n

n)1

iA1 (1A --=˙̊˘

ÍÎ

È (3)

ondeA[1/n] é a confiabilidade do sistema redundanteAi(t) é a disponibilidade do elementon é o número de elementos em paraleloReescrevendo a equação (3) em função dos resultadosencontrados para o bastidor singular , teremos :

2 ) 0,999968(112

1A --=˙

˚

˘ÍÎ

È

A = 99,999999989%U = 1,024 x 10-9= 0,24 seg/anoOu seja , comparando os dois valores dedisponibilidade nota-se que o sistema redundante temuma disponibilidade extremamente alta emcomparação ao sistema com bastidor singular.

4.0 - REDES DE COMUNICAÇÃO

As redes de comunicação interligam todos os níveis doprocesso , tanto o sistema supervisório com os CLP’s ,normalmente através de redes Ethernet , assim comoentre os PLC’s e os instrumentos de processo atravésdas redes fieldbus. A disponibilidade do sistema decomunicação pode ser otimizada por redundância domeio, duplicação de subcomponentes, ou duplicaçãode todos os componentes do barramento. A missão darede de comunicação é interconectar dois ou maissistemas de maneira que estes interoperem .Estafunção pode ser modelada como o sistema da figura 8.

FIGURA 8 – MODELO BASE DE COMUNICAÇÃOENTRE CPU’S

Considerando o MTBF do Barramento infinito e osvalores da tabela 3 temos :

510x69,2U48,6x876053,1

53,1U -=fi+

=

U = 2,35 (horas/ano)A=1-U = 99,9973%

O método mais simples de aumentar a disponibilidadede sistemas interconectados é a utilização de umbarramento redundante conjugado ao sistema debastidor redundante analisado anteriormente. Omonitoramento e os mecanismos de sincronizaçãoasseguram que no caso da falha de um componente,outro assumirá as funções e manterá pelo menos umarota ativa. A figura 9 ilustra tal modelo:

E/S

E/S

E/S

E/S

Fonte

CPU

CP

E/S

E/S

E/S

E/S

Sincronização

Fonte

CP

CPU

204

1

68

4

16

1

23

1

103

1204

2

68

5,1x4

16

5,1

23

5,1

103

2

MTTR++++

++++=

)anos(48,6MTBF2042

162

1032

MTBF1

=fi++=

)horas(53,1MTTR48,6

2042x2

165,1x2

1035,1x2

MTTR 1 =fi++

=-

5

FIGURA 9 – BARRAMENTO REDUNDANTE

Utilizando a equação 3 , podemos calcular adisponibilidade do sistema da figura 9:

2)21

0,99997311 (1A --=˙̊˘

ÍÎ

È

A = 99,9999999276%U=1-A = 7,24x10-10 = 0,022 seg/ano

De maneira geral , os PC’s não tem um hardwaretolerante a falha , no entanto eles podem ser montadose configurados para que acessem a rede decomunicação de uma forma confiável. Adisponibiliidade do sistema supervisório e ogerenciamento das rotas de comunicação pode serassegurada pelo uso de software específico para essasaplicações. A figura 10 ilustra basicamente a conexãoentre CLP e PC sem qualquer característica especial:

FIGURA 10 – COMUNICAÇÃO ENTRE PC E CLP

O MTBF da conexão do sistema da figura 10 ,considerando o MTBF do barramento infinito e o MTBFtipíco de um PC(Servidor) igual a 5,5 anos é:

O MTTR do PC(servidor) tem um valor típico de 5horas , e o MTTR do sistema pode ser calculado :

A indisponibilidade do sistema é

82,2876030,330,3

xMTBFMTTRMTTRU

+=

+=

U= 1,34x10-4 =0,013% = 70 minutos/ano

A duplicação do barramento , criando rotas alternativasde comunicação torna a conexão entre o PC(servidor)e o CLP mais confiável , aumentando a disponibilidadedo sistema :

FIGURA 11 – COMUNICAÇÃO REDUNDANTEENTRE PC E CLP

O modelo acima pode ser simplificado para o cálculoda disponibilidade do sistema , resultando em doissistemas em paralelo , idênticos , em série com o PCcomo mostra a figura abaixo:

FIGURA 12 – MODELO SIMPLIFICADO

O MTBF e o MTTR do sistema A são :

A indisponibilidade do sistema A será :

77,5876051,151,1

xMTBFMTTRMTTRU

AA

AA +

=+

=

UA= 2,99x10-5

Um sistema com dois componentes em paralelo setorna indisponível quando ambos os componentesestiverem indisponíveis e este valor pode ser calculadoda seguinte forma:

2AAA UxUUU == (4)

E a disponibililidade do sistema inteiro pode sercalculada considerando a disponibilidade do PC daseguinte forma :

)()( PCA AxUA 21-= (5)

)5,5x87605

51(x))10x99,2(1(A 25

+--= -

A = 99,9896%U=1-A = 1,03x10-4 = 55 minutos /ano

Podemos notar pelos cálculos anteriores que o fatorlimitante em relação a otimização da indisponibilidadedeste sistema é a confiabilidade do PC. Tal fato, aliadoa importância da função do servidor , leva comumentea aplicação da técnica de redundância de hardwarenesta estação como pode ser visto na figura abaixo:

2,82(anos)MTBF =fi+++=5,5

12041

162

2311

MTBF

)3,30(horasMTTR =fi+++

+++=

5,51

2041

162

231

2042

5,55

165,12

235,1 x

MTTR

5,77(anos)MTBF A =fi++=2041

162

2311

AMTBF

)1,51(horasMTTR A =fi++

++=

2041

162

231

2042

165,12

235,1 x

MTTRA

6

FIGURA 13 – COMUNICAÇÃO ENTRE CLP E PC’SREDUNDANTES

O sistema acima pode ser simplificado até se reduzir aum sistema série e então se calcula a suadisponibilidade.

FIGURA 14– SIMPLIFICAÇÕES DO MODELO DAFIG.13

A simplificação é útil para se calcular o MTBF e MTTRde A , como mostrado na Figura 14:

A indisponibilidade do bloco A será :

10,4x876011,4

11,4

MTBFMTTR

MTTRU

AA

AA +

=+

=

UA= 1,14x10-4

Utilizando a equação 4 temos a indisponibilidade dobloco B:

UB = (1,14x10-4)2 = UB = 1,3x10-8

Calculando a disponibilidade total do sistema temos:

)U1)(U1)(U1)(U1(A B1Cpa1Racka1CPUa ----=

999999,0x999989,0x999999,0x999993,0A =

A = 0,999980U= 1,999989x10-5= 10,5 (min/ano)

Comparando esta indisponibilidade com a configuraçãoanterior ,percebe-se que houve uma grande diminuição,pelo fato da utilização de redundância nos PC’s , quetem um valor de MTBF e MTTR incompatível com osvalores dos outros equipamentos do sistema deautomação.

5.0 - CONCLUSÕES

Os métodos e conceitos aqui discutidos provaram asua eficácia através dos projetos executados e nabusca de solução otimizada para alcançar os índicesprevistos nas normas operativas das agênciasreguladoras . É importante notar que os sistemasforam analisados separadamente , o que resultou , demaneira geral , nos elevados valores de disponibilidade. O que não impede a adoção dos mesmos conceitos eprocedimentos para sistemas mais complexos ,levando-se em consideração que quanto maior acomplexidade do sistema , piores serão os seusindíces de confiabilidade e consequentemente a suadisponibilidade. Com base nos valores teóricos dedisponibilidade e confiabilidade apresentados nestetrabalho, a VOITH SIEMENS HYDRO vemaprimorando suas soluções para automação de usinashidrelétricas, mantendo-as compatíveis com asexigências operacionais e normativas vigentes.Recomenda-se adotar alternativas (sub-automatismosdistribuídos e autônomos, sistemas de retaguardaindependentes, etc.) para a supervisão e controle doprocesso em função do custo da indisponibilidade doSDSC para o empreendedor.

6.0 - REFERÊNCIAS BIBLIOGRÁFICAS

(1) VOITH S IEMENS HYDRO POWERGENERATION. Cálculo de Disponibilidade dosSistemas Digitais de Supervisão e Controle dasUHE’s Emborcação , Volta Grande e Jaguara.Relatório Técnico A576.592-0/002. São Paulo,1997-06-06;

(2) SIEMENS A. G. – ANL A 45 – ReliabilityEngineering – Introduction to the methods ofreliability assessment of systems – 05/96;

(3) SIEMENS A. G. Manual S7-400H ProgrammableController Fault Tolerant Systems - 07/2001

(4) Department of Defense U.S.A. . EletronicReliability Design Handbook MIL-HDBK-338B.1998-10-01.

4,10(anos)MTBF5,5

1161

MTBF1

AA

=fi+=

)4,11(horasMTTR

5,5

1

16

15,5

5

16

5,1

MTTR AA =fi+

+=