Definicin preliminar de aspectos crticos de diseo para sistemas de control local en las

estaciones de bombeo y terminales de la Vicepresidencia de Transporte de Ecopetrol

S.A.

1. Porcentaje de carga de CPU y uso de memoria

El sistema de control debe estar dimensionado para que los niveles de desempeo
especificados se logren con los siguientes porcentajes de uso:
a) Uso de CPU: mximo 40 % en promedio (sin considerar picos eventuales). Lo anterior
deja un 20 % para crecimiento de proyectos menores y un 40% para absorber cargas
eventuales. Lo anterior para cualquier procesador del sistema.
b) Memoria principal (RAM) y disco duro: Cmo mximo debe ser utilizado el 40% de la
capacidad fsica mxima del sistema.

2. Modos de falla
Para DCS:
Cuando el mdulo de procesamiento (controlador) pierda energa o falle, el estado o valor al
que deben ir las salidas a campo debe poderse configurar para mantenerse en el ltimo valor o
irse a una posicin predeterminada de falla. Cada punto de salida debe poderse configurar
individualmente.
Cuando el mdulo de Entradas/Salidas pierda energa, las salidas anlogas deben generar
corriente de 0 mA (incluyendo cualquier punto que reciba energa de otro lazo que pueda estar
energizado) y las salidas discretas deben ser desenergizadas y los contactos normalmente
abiertos no deben colocarse en modo de conduccin.
Luego de la recuperacin de un modo de falla, los controladores deben asumir la operacin
normal y debe ocurrir una de las siguientes respuestas de las seales de salida: 1) Si las
salidas fueron mantenidas durante la interrupcin, el control debe reasumir su funcin sin
sobresaltos, 2) Si la energa de los mdulos de Entrada/Salida fue interrumpida, las salidas
deben colocarse en la posicin configurada de reinicializacin.
Cada vez que un controlador se est recuperando de una falla (incluyendo prdida de energa y
reemplazo del controlador) los datos de configuracin y operacin deben ser recargados
automticamente de la base de datos y el controlador debe colocarse en un estado
preconfigurado de reinicio. Adicionalmente dicho evento debe registrarse y anunciarse.
Los controladores deben monitorear la calidad de las seales de entrada usadas para control
(p. ej. si la seal est por fuera de un rango definido, la seal debe marcarse como en falla y
anunciarse y registrarse en el registro de alarmas). Si un controlador pierde la variable de
proceso de entrada (bsicamente cuando sale del rango en que est programada) debe pasar
automticamente a posicin manual.
Si ocurre una falla en la seal de entrada a un lazo de control que es secundario en una
configuracin en cascada, todos los controladores primarios que estn arriba en la cascada
deben suspender las acciones de control automtico.
El valor de la seal de entrada justo antes de la falla debe mantenerse para ser mostrada en
despliegues (marcada como en falla en todos los despliegues donde aparezca).

Versin 0.1, Mayo 29/07

Luego de la recuperacin de la falla de la seal de entrada, todas las acciones de filtro de la

seal que puedan estar activas, deben desactivarse para permitir una rpida recuperacin del
lazo de control. Luego de la recuperacin, las acciones de control automtico pueden reiniciar
en todos los lazos de control afectados. La recuperacin de la falla debe ser incluida en el
registro de alarmas.

Para PLC:
En general, el PLC debe disearse para que una falla (hardware o software) en el PLC no
resulte en acciones no programadas hacia elementos de campo (p.ej. una bomba o una
vlvula).
El PLC debe contar con contactos que den una seal de falla del PLC.
Cuando el PLC arranque o reinicie debe: 1) Inhibir todas las acciones de control hasta que el
operador lo indique (los lazos de control, si se requieren, deben colocarse por defecto en modo
manual). 2) Todos los setpoints deben ser iguales a sus respectivas variables de proceso. 3)
Informar al HMI y al sistema SCADA central el reinicio exitoso.
3. Redundancia
El fabricante del sistema debe disearlo para que tenga una disponibilidad mnima del 98%
durante un perodo mnimo de 90 das para cada sistema de bombeo (Ver numeral 5). Lo
anterior incide en aspectos tales como: no tener puntos nicos de falla, redundancia de
controladores, redundancia de Entradas/Salidas, redundancia de redes locales, redundancia de
fuentes, etc.

4. Autodiagnstico
Para DCS o PLC:
El DCS o PLC debe monitorear continuamente todos los componentes del sistema para
anunciar fallas o condiciones de error incluyendo: 1) Integridad de comunicaciones. 2) Prdida
de la red local de datos. 3) Prdida de un dispositivo de la red en una o las dos redes locales.
4) Tarjetas correctas presentes en todo el sistema. 5) Operabilidad y calibracin de todo el
hardware. 6) Presencia y operabilidad de todos los dispositivos de respaldo (Por ejemplo,
fuentes, controladores). 7) RAM y ROM. 8) Fuentes de energa. 9) Ventiladores. 10) Perifricos
como discos, unidades de cinta, impresoras, etc.
Todas las interfaces de comunicaciones con equipos dedicados (p. ej. computadores de flujo,
estaciones maestras de vlvulas) deben tener diagnsticos incluidos y estadsticas de
rendimiento para efectos de detectar desperfectos.
Cuando el DCS o PLC detecte una falla o error, debe: 1) Anunciar. 2) Registrar en un archivo la
falla o error incluyendo la descripcin (hasta el nivel de tarjeta si es aplicable), fecha y hora de
ocurrencia. 3) Identificar la falla y localizacin (hasta el nivel de tarjeta si es aplicable) en un
despliegue de status del sistema.
Todos los componentes para los que est disponible la indicacin de falla, pero requieran una
conexin externa (Por ejemplo, interruptores indicativos de falla en ventiladores, fuentes,
perifricos, etc.) deben identificarse. El fabricante puede agrupar dichos dispositivos siempre y

Versin 0.1, Mayo 29/07

cuando Ecopetrol pueda localizar fcilmente la falla sin conocimiento, equipo o herramientas
especiales.
El sistema debe permitir el monitoreo remoto del estado operacional de todas las condiciones
descritas anteriormente.
Para PLC:
El sistema debe tener software de diagnstico y/o indicadores luminosos y algn otro mtodo
para probar la operacin del microprocesador del PLC, entradas/salidas y comunicaciones. Los
diagnsticos deberan permitir identificar rpidamente el subsistema que fall al nivel de tarjeta
electrnica.
La CPU debe tener los siguientes indicadores luminosos: CPU operando, fuente de
alimentacin operando correctamente, batera baja (se requiere su reemplazo), conjunto de
indicadores cuando la CPU est enviando o recibiendo informacin por los canales de
comunicaciones.
Los diagnsticos de la CPU deben dar informacin sobre el estado de la CPU, memoria,
comunicaciones y funciones de entrada/salida. La CPU debe: indicar condiciones de falla (con
fecha y hora); mostrar mensajes automticos, preferiblemente en espaol, en la interfaz
hombre-mquina cada vez que ocurran fallas; hacer verificaciones internas de integridad de
datos (checksum); tener watchdog interno del scan del programa; tener acciones
programables ante la ocurrencia de fallas. Los registros y bits de diagnstico deben ser
accesibles dentro del programa por medio de instrucciones normales de acceso a informacin
del PLC.
Diagnstico de entradas/salidas para PLC:
Cada mdulo de entrada/salida debe tener indicadores del estado de las comunicaciones.
Adicionalmente, los mdulos de seales discretas deben tener indicacin de estado para cada
canal.
La informacin del procesador o las tablas de diagnstico incluirn bits separados para: fallas
de comunicaciones con cada equipo dedicado (computador de flujo, maestra de vlvulas, etc.),
falla de cada tarjeta de entrada/salida, falla de cada canal individual de entrada. Estos bits
deben actualizarse automticamente en cada scan.

5. Distribucin funcional de controladores por proceso

Cada proceso de bombeo debe estar programado en un controlador exclusivo. Por ejemplo, si
un sistema tiene operacin de recibo y operacin de despacho de la misma lnea, entonces
debe haber un controlador para el recibo y otro controlador para el despacho.
Los siguientes procesos deben estar en equipos dedicados y no como parte del sistema de
control: Telemetra de tanques, Contraincendio, Medicin dinmica de producto, Rels de
proteccin elctrica, Sistemas de parada de emergencia (Sistemas Instrumentados de
Seguridad).
Aquellos procesos que no sean directamente relacionados con el control de la operacin, por
ejemplo, adquisicin de datos para facturacin de producto, deben correr en procesadores
independientes a los controladores de proceso (por proceso de bombeo), pero pueden estar
dentro del sistema de control de la estacin.

Versin 0.1, Mayo 29/07

6. Esquema de seguridad de red

Considerando que se proyecta conexin de los sistemas de control local a la red de datos de
Ecopetrol, el sistema de control debe conectarse a la misma por medio de un firewall con las
especificaciones que tenga vigentes la Direccin de Informtica Corporativa.
Lo anterior, debido a iniciativas como: gestin centralizada de mantenimiento, sincronizacin de
reloj, envo al computador del coordinador de planta de informacin de volumen inyectado de
marcador de combustible comparado con volumen en tanque y envo de archivos de control
de la transmisin automtica de tiquetes.
7. Computadores para operacin y computador para ingeniera
Con el fin de tener redundancia para la estacin de operador, el sistema de control debe tener
como mnimo dos estaciones de trabajo. El nmero final de estaciones de trabajo (as como el
nmero de pantallas por estacin de trabajo) se debe determinar de acuerdo a las necesidades
del proceso controlado.
El sistema de control debe contar con una mquina dedicada para ingeniera con el fin de no
interrumpir las labores operacionales durante las intervenciones al sistema de control, as como
ayudar a la integridad de la informacin de ingeniera y configuracin del sistema.

8. Recoleccin de datos de campo

Siempre que sea posible, se usarn unidades concentradoras de entradas/salidas en campo,
localizadas en reas elctricas no clasificadas, montadas en gabinetes o cajas adecuadas al
medio ambiente en que se van a instalar (p. ej., ambiente costero salino) y con control de
temperatura y humedad para evitar, por ejemplo, sobrecalentamiento en el da y condensacin
durante la noche.
El medio de comunicacin entre la unidad concentradora de campo y la sala de control ser
preferiblemente fibra ptica redundante.
Al utilizar las unidades concentradoras de campo se verificar en el diseo que el tiempo de
refresco de las seales en la sala de operaciones y el tiempo de envo de comandos no
excedan de los tiempos mximos aceptados para la planta (estacin o terminal) en que se
instalarn.

9. Control y monitoreo de vlvulas motorizadas

En general, los actuadores de vlvulas deben ser controlados mediante red de campo,
redundante, y utilizar la estacin maestra de control, tambin con redundancia, suministrada
por el fabricante de los actuadores, con el fin de no tener desarrollos particulares para cada
sistema de control (lo cual puede suceder cuando se programa el control de las vlvulas
directamente en el PLC o DCS de la estacin).
En el diseo se deben estimar los tiempos de respuesta para verificar que cumplen con los
requeridos para la estacin en particular, considerando tambin la visualizacin y comando (a
las vlvulas que aplique) en el Centro de Control Maestro de Operaciones.

Versin 0.1, Mayo 29/07

10. Comunicaciones de equipos dedicados al SCL

En lo posible, los equipos dedicados (computadores de flujo, estaciones maestras de vlvulas,
sistemas de telemetra de tanques, interfaces humano-mquina) deben tener puertos Ethernet
y protocolos sobre TCP/IP. Lo anterior con el fin de tener ms velocidad en la red local y evitar
cuellos de botella, sobretodo con la operacin remota.
11. Comunicaciones con SCADA central
El sistema de control local debe admitir que el maestro del protocolo Modbus sea el Centro de
Control.
El sistema de control local debe tener un controlador dedicado exclusivamente a la
comunicacin con el SCADA central, con el fin de tener mayor velocidad de comunicaciones,
descargar a los controladores del proceso local de tareas de comunicacin con el SCADA
central y tener mayor flexibilidad potencial de disponer de otros protocolos diferentes a
Modbus.
12. Gestin de mantenimiento centralizada
El sistema de control local debe tener la facilidad (para ser adquirida posteriormente, si as se
decide) para efectuar actividades de administracin y mantenimiento en forma remota tales
como: mostrar despliegue del estado funcional de los elementos del sistema de control,
despliegue del desempeo de los elementos del sistema de control y permitir cambios en
configuracin.
13. Sincronizacin de reloj
Se considera que el mtodo ms adecuado para realizar la sincronizacin de los relojes de
todos los sistemas de control es conectar un computador del sistema de control local (p. ej. el
computador supervisorio) a la red de datos de Ecopetrol y usando el protocolo especfico NTP.
14. Variedad de Marcas
Cuando se realice la actualizacin o ampliacin de un sistema de control existente, se
recomienda que la primera opcin sea utilizar la misma marca de los equipos existentes. Lo
anterior aplica tanto a los sistemas de control como a la estacin maestra de control de vlvulas
con red de campo y a los actuadores elctricos de vlvulas.
Lo anterior debido a que se facilita el proyecto de integracin de los nuevos equipos o
elementos, as como el mantenimiento (por ejemplo: menor cantidad de repuestos para
comprar y almacenar, menor cantidad requerida de cursos de entrenamiento, menor nmero de
contratos de mantenimiento con terceros, posibles menores costos en los mismos por ser
mayor la poblacin a cubrir).
15. Capacidad de cambiar tarjetas en caliente.
El sistema de control local debe tener la capacidad de que el reemplazo de tarjetas pueda ser
realizado sin desenergizar los equipos, con el fin de no interrumpir la operacin de otros
procesos.

Versin 0.1, Mayo 29/07

16. Uso de Estndares SCADA 2006.

Para el diseo y dimensionamiento del sistema de control local deben ser usados los
Estndares SCADA 2006 de Ecopetrol S.A. de la Vicepresidencia de Transporte.
17. Escalabilidad de los sistemas de control
Cuando se ample un sistema de control local, dicha ampliacin (en hardware y/o software) no
debe afectar el desempeo global del sistema de control de acuerdo con lo requerido por el
proceso hidrulico y adicionalmente deben seguirse manteniendo los parmetros de carga de
CPU y memoria mencionados anteriormente. Con los factores anteriores se considera que un
sistema de control es escalable.
18. Sistema de alimentacin
El sistema de control debe estar alimentado por una UPS que tenga una carga del 40% de la
capacidad mxima y un tiempo de autonoma de acuerdo a la confiabilidad y disponibilidad de
la planta de energa elctrica de la estacin (mnimo 15 minutos a una carga del 100%). Su uso
debe ser exclusivo para el sistema de control. La disponibilidad de la UPS debe ser de 95%
durante un perodo mnimo de 90 das y no debe ser de tecnologa ferroresonante (debido a
presencia alta de armnicos y eficiencia no homognea en todo el rango de operacin).
La instrumentacin de campo debe estar alimentada a 24 VDC con las tolerancias requeridas
por los instrumentos instalados.
Cuando las unidades concentradoras de campo estn a una distancia mayor a 30 m. de la
fuente de voltaje, se recomienda alimentarlas con corriente alterna, proveniente de UPS
dedicada a instrumentacin con las protecciones adecuadas para transientes.

19. Reserva instalada para entradas/salidas del sistema de control

Para los sistemas de control nuevos, se recomienda entregar una reserva instalada del 25%
para las entradas/salidas.

20. Vlvulas de control

Como criterio de diseo las vlvulas de control deben especificarse para que al fallar la fuente
de energa (normalmente aire) pasen a una posicin segura para el proceso.

21. Herramientas de control

Debe contar con bloques funcionales que permitan la configuracin grfica de las estrategias
de control regulatorio y su correspondiente depuracin. Dichos bloques son, por ejemplo:

Lead/ Lag y sus opciones como polinomios de diferente orden para el Lead y el Lag.

Filtro: Primer o segundo orden, Butterfly, pasa bajos, pasa altos.

El bloque de control PID debe tener la opcin de reset feedback en el bloque PID
para evitar el windup(saturacin) en la estrategia override.

Control por adelanto (feedforward, lazo abierto)

Versin 0.1, Mayo 29/07