Alta disponibilidad en sistemas de control modernos

Asegurar alta disponibilidad en el sistema de control de un proceso o una máquina industrial es un deber. Los tradicionales PLC's  ya cumplían esta función de forma sobrada y era precisamente ésta una característica de diseño básico fundamental en estos equipos. Sin embargo, la necesidad de mejorar la productividad y los costes de fabricación hacen imprescindible incrementar las características de estos equipos hasta, casi, el infinito. En AeI nos preguntamos qué opciones tenemos en controladores de última generación de incrementar disponibilidad, redundando cpu's, fuentes de alimentación, redes de comunicación y entradas/salidas distribuidas.

La primera cuestión que abordamos es de qué depende la disponibilidad de un sistema de control y cómo se mide. Luis Majó Puerta, Offer Manager Ecostruxure Plant en Schneider Electric, tiene la respuesta: “La disponibilidad se define como la probabilidad de que un sistema opere exitosamente cuando se le necesita, por tanto, es la proporción de tiempo que un sistema está en condición de operación y puede realizar su misión sin ningún fallo. Se presenta con valores de porcentajes típicos mayores del 99.9%. Disponibilidad = MTBF / (MTBF+MTTR), donde MTBF es el tiempo medio entre fallos y MTTR es el tiempo medio de reparación”. Por su parte, Daniel Benítez Almarza, Consultor Técnico en Rockwell Automation, opina que “la disponibilidad es el tanto por ciento del tiempo que un sistema está funcionando y disponible para ejecutar su misión. Por lo tanto, todo lo que limite esta capacidad de ejecutar su misión restará disponibilidad. Usualmente se consideran que los tiempos de parada no programada son debidos a errores operacionales, problemas de hardware, problemas de software y fallos de la infraestructura que sustenta los sistemas de control. Pero también hemos de tener en cuenta los tiempos de parada programada para poder ejecutar funciones de mantenimiento y/o actualizaciones del sistema que puedan ser necesarias una vez arrancado el sistema. La disponibilidad del sistema se mide en tanto por ciento. Usualmente de forma informal nos referimos a la disponibilidad con un indicador numérico de la cantidad de ‘nueves’ que tiene el tanto por ciento”. Y pone el siguiente ejemplo: disponibilidad de 4 ‘nueves’ hace referencia al 99.99%:

Por último, Rafael Margarit Gardes, Digital Lead de ABB para la división Process Industries, explica que ABB AbilityTM 800xA es la plataforma de automatización usada por ABB para aquellos procesos industriales con las necesidades de disponibilidad más exigentes del mercado. Este sistema de control distribuido de ABB ha sido diseñado para controlar y monitorizar procesos de fabricación continuos más exigentes, 24 horas los 7 días a la semana sin descanso, gracias a sus capacidades de arquitectura y configuración de redundancia a todos los niveles de la pirámide de automatización, que van desde el sensor hasta el sistema de visualización y reporte. Todo ello debe ser diseñado para cumplir con los requisitos de tasa de fallos especificado para ese proceso industrial según la naturaleza de este y las consecuencias de un fallo.

¿Qué se puede hacer para mejorar la disponibilidad de un sistema de control?

“La redundancia es el método preferido para aumentar la disponibilidad si una desactivación del sistema de control o la pérdida de visibilidad causa una pérdida de equipo, lesiones personales o una interrupción de los servicios públicos”, explican desde Schneider Electric, “se pueden diferenciar dos tipos de redundancia, la ‘warm’ standby, donde sólo hay sincronización de las E/S distribuidas pero no de los programas de las 2 CPUs de control, y la ‘hot’ standby, donde hay una sincronización total del contexto de los programas de control. Pero, aparte de la redundancia, tenemos más opciones para aumentar y mejorar la disponibilidad:

• Diseño correcto de la arquitectura: Es el punto clave para maximizar la disponibilidad de nuestros procesos, la definición de caminos críticos de fallos no hablando solo de ejecución sino también de caminos de comunicaciones y la dependencia de la disponibilidad en función de la asignación de señales físicas a las remotas de campo asignadas en el sistema. Juegan especial relevancia los sistemas de votación de las señales duplicando, triplicando la asignación física de las variables de proceso en el conexionado en las tarjetas de los controladores de campo. Una correcta gestión de la energía en los cuadros eléctricos es clave en la disponibilidad. Fuentes de alimentación redundantes, suministro ininterrumpido de energía median SAI´s, uso de baterías de backup son los métodos más usados y comunes.
• Mantenimiento: Gestión del stock de seguridad en el mantenimiento de nuestra planta industrial. Gestión correcta de la formación del personal de mantenimiento para minimizar los tiempos de sustitución y restauración, minimizando los tiempos de parada.
• Diagnóstico: Monitorización de la disponibilidad, es decir, del estado de diagnóstico de los equipos que realizan el control de nuestro proceso, para evitar predictivamente que se produzcan fallos. La gestión de las alarmas no debe ser sólo de proceso sino que habrán de incluir una gestión correcta del diagnóstico de todos los elementos hardware que consideremos críticos.
• Ciberseguridad: En un mundo de control en el que cada vez tenemos más dispositivos y más conectados no debemos olvidarnos nunca del riesgo que entraña una vulnerabilidad informática de los equipos conectados. Una denegación de servicio es fácilmente asimilado como una pérdida del dispositivo y por ende, una pérdida de disponibilidad, por lo tanto una correcta gestión de la protección de los equipos a través de una defensa en profundidad de nuestro sistema favorecerá la robustez y resiliencia de nuestros procesos industriales”.

Para Rockwell Automation, la mejora de la disponibilidad de un sistema se suele basar en cinco puntos:

• Redundancia de los componentes. La redundancia de los componentes elimina los puntos únicos de fallo. Duplicar los componentes de hardware o de software permiten reparar, reemplazar, mantener o recuperarse de un fallo en uno de ellos sin disrumpir la operación.
• Diseño de la red. La red de un sistema de alta disponibilidad tiene que permitir ser gestionada, detectar fallos simples y/o múltiples y que permita recuperarse de los fallos sin interrumpir las comunicaciones.
• Cambios “online”. Los sistemas suelen ponerse en marcha con unas especificaciones funcionales que usualmente evolucionan con el tiempo, por tanto, el sistema ha de permitir la adición, modificación o mejora de la configuración tanto de hardware como de software sin parar la instalación.
• Diagnósticos. Tener la capacidad de diagnosticar los elementos del sistema de control es básico para una rápida detección y aislamiento de los fallos.
• Virtualización. La consolidación de los recursos de computación de forma que múltiples sistemas operativos y aplicaciones puedan compartir un mismo servidor reduce la dependencia que el software tiene sobre el hardware sobre el que se ejecuta. Esto ayuda a una mayor flexibilidad respecto el hardware lo cual implicará menos restricciones durante la vida de explotación.

“Por ejemplo, en los controladores ControlLogix se pueden redundar las CPU’s colocándolas en chasis separados a distancias de kilómetros entre ellas. Fijémonos en que, aparte de mejorar la disponibilidad de las CPU’s del sistema de control, estamos minimizando los efectos negativos de los factores externos. Factores externos como un incendio en el edificio del centro de control podría dejar fuera de servicio el armario eléctrico donde está una de las CPUs, pero si la hemos redundado en otro chasis instalado en otro edificio (a metros o a kilómetros de distancia) la instalación seguirá bajo control”, puntualiza Benítez.

Y desde ABB, añaden que existen muchos elementos involucrados en el sistema de control de un proceso industrial, empezando por la instrumentación (sensor y actuador), módulos de E/S, buses de campo, PLC-controladores, infraestructura de redes, clientes-servidores y almacenamiento de históricos. “Otro punto crítico es el diseño de la red de alimentaciones de todo el sistema desde los 24vdc a nivel de campo, así como los 220vac de todos los equipos de infraestructura y clientes-servidores los cuales deberán disponer de redundancia a nivel de líneas y fuentes de alimentación”, indica Rafael Margarit. Y añade: “Además, la sustitución de cualquier equipo averiado del sistema de control deberá ser ‘en caliente’, es decir, sin afectar al proceso y recuperando nuevamente la redundancia en ese punto, es otra de las condiciones indispensables para un sistema de control de alta disponibilidad”.

¿Es posible en todas las gamas de producto?

Majó Puerta tiene clara la respuesta a esta cuestión: “No, normalmente, sólo los equipos de automatización de gama alta disponen de unas referencias standalone y de otras referencias equivalentes redundantes (HSBY). La primera opción es redundar las CPUs y las Fuentes de Alimentación (tanto de los bastidores locales como remotos), en arquitecturas más críticas se opta por redundar los canales de comunicaciones y, en relativamente pocas situaciones, se opta por redundar las E/S distribuidas.

“Las redundancias que se montaban antiguamente basadas en dos CPUs independientes con dos programas separados (aunque realizasen la misma función) y con un sistema de diodos en paralelo para las entradas y de relés para las salidas, se pueden montar con cualquier gama de producto. Incluso se recomendaba usar gamas de producto diferentes para minimizar el vector de fallo llamado ‘efecto de causa común’. Este método de poner en paralelo dos controladores actualmente está en desuso por la complejidad de implementarlo y sobre todo de mantenerlo”, opina el consultor técnico de Rockwell y añade que en la actualidad, “cuando nos referimos a un sistema redundante, estamos pensando en un sistema donde el programa del controlador es único (y tanto se sincroniza el código que editamos en RUN como la información que envían los Scadas de forma automática entre las dos CPU’s); estamos pensando en conjuntos de entrada y salidas con cableado único pero evaluación en tarjetas dobladas y auto-diagnosticadas; hablamos de redes de comunicación que soporten un fallo de cualquier elemento con un tiempo de recuperación de pocos milisegundos (un anillo Ethernet con protocolo DLR solo tarda 3 milisegundos con un máximo de 50 nodos)  o, incluso, que el fallo de un elemento de la red no provoque ni la pérdida de un solo paquete de datos (redes PRP Paralel Redundant Protocol). En este caso la solución solo se puede obtener con la gama alta de controladores ControlLogix. Existen soluciones redundantes para las familias de controladores CompactLogix, pero no son tan simples ni eficientes como en la gama ControlLogix”.

Mientras, Margarit Gardes responde que ABB AbilityTM 800xA es un sistema de control muy escalable, que soporta una implementación simple que vaya creciendo a lo largo del tiempo, pudiendo añadir redundancias a todos los niveles, extensiones de software y certificaciones de seguridad a medida que las necesidades de nuestros clientes van creciendo. “Esto es gracias a que es un sistema diseñado desde el inicio para el control de procesos continuos y está preparado con un sistema básico con capacidad de ser ampliado con infinidad de opciones de buses de campo, protocolos de comunicación, conectividad con cualquier PLC del mercado; así como ser actualizado en línea”.

Protocolos de comunicación

Pero, ¿qué protocolos de comunicación son los más adecuados para desarrollar arquitecturas de control altamente disponibles? “El protocolo EtherNet/IP (con topologías en anillo en redes ethernet industrial) proporciona una plataforma de comunicaciones sencilla pero robusta que ofrece control en tiempo real y flujo de información desde la capa de dispositivos de campo hasta la de control y, por último, a la de IT”, indican desde Schneider Electric, mientras que en Rockwell Automation usan el protocolo EtheNet/IP. Este protocolo industrial les permite obtener una redundancia de comunicaciones óptimas entre CPUs separadas por kilómetros. La capacidad de las entradas/salidas para hablar protocolo EtherNet/IP usando telegramas unicast o multicast hace transparente para el usuario la recepción/envío de datos desde las dos CPUs sin tener que escribir ni una sola línea de código. “Incluso en caso de caída de un chasis con su CPU, los sistemas Scada no tienen ni que tan siquiera modificar la dirección IP del tópico usado en su driver de comunicación, el sistema de control se autogestiona para seguir entregando datos al sistema Scada desde la misma IP independientemente de cual sea la CPU primaria en cada momento”, explica Daniel Benítez, no obstante, añade que, “aparte de tener un protocolo (EtherNet/IP) capaz de gestionar la redundancia, también es muy importante la arquitectura de red sobre la que circularán las tramas”. En el caso de Rockwell Automation, la recomendación es usar arquitecturas ethernet estándares de alta resiliencia, en concreto, “usamos arquitecturas en anillos con protocolo DLR (Device Level Ring) cuando la instalación acepta tiempos de recuperación inferiores a 3 milisegundos y en el caso de que no sea aceptable ni tan siquiera la pérdida de una sola trama, proponemos arquitecturas de red PRP (paralel redundant protocol)”.

Finalmente, ABB AbilityTM 800xA es uno de los sistemas de control distribuidos que soporta más protocolos de comunicaciones tanto serie como ethernet, (Modbus TCP, Profinet IO, IEC61850, Ethernet IP, Hart, OPC UA, Foundation Fieldbus y otros protocolos propietarios de ABB) resistente a todo tipo de topologías en árbol, anillo o hibridas, así como redundancias a nivel de maestro, de medio y también de esclavo. Todo ello permite ofrecer una gran flexibilidad para seleccionar el protocolo de comunicación que se adapte mejor a las necesidades de los clientes.

¿Está relacionada la disponibilidad de un sistema con la seguridad del mismo?

“No están del todo relacionados”, contesta Luis Majó desde Schneider Electric, “aunque ambos conceptos tratan de calcular las probabilidades de fallo uno se refiere a la continuidad de servicio y el otro se refiere más a la integridad del resultado de la ejecución del control. La seguridad estará relacionada con la integridad del control, o sea en el ‘cómo de seguros’ estamos de que una función de interlock va a ejecutarse de manera correcta. La disponibilidad se referirá más a la gestión de redundancia, a la conmutación de controladores, a la búsqueda de un segundo camino alternativo de comunicaciones”. “Habría que concretar qué entendemos por seguridad, pero si por seguridad entendemos evitar daños a la instalación que está siendo controlada (o a las personas cercanas) es evidente que el mejorar la disponibilidad, hace el sistema más seguro”, añade Benítez Almarza desde Rockwell Automation. Y añade el siguiente ejemplo: un reactor químico fuera de control puede llevar a situaciones peligrosas para la instalación y las personas, como pueden ser una explosión o un escape de sustancias nocivas. Mejorar la disponibilidad reduce la posibilidad de perder el control del proceso.

“Existen procesos industriales de alto riesgo donde reacciones inestables pueden salir de control y tener unas consecuencias graves para el personal, las instalaciones y la producción. Por ello, se crean unos sistemas de instrumentación y control seguros (SIS), certificados tanto en hardware como en software”, afirma Margarit Gardes, “ABB AbilityTM 800xA está certificado por TÜV para aplicaciones de seguridad hasta SIL3 IEC61508. Los controladores AC800 HI soportan la ejecución tanto de aplicaciones de proceso como aplicaciones de seguridad. Asimismo, ABB AbilityTM 800xA es la única plataforma de control distribuido capaz de integrar el control de procesos industriales y de procesos de seguridad”.

Págs. 44 a 47.