CONTROL TOLERANTE A FALLOS EN SISTEMA MIMO

J. M. Herrero, J. Candau, L. J. De Miguel Centro de Automatizacin, Robtica y Tecnologas de la Informacin y la Fabricacin (C.A.R.T.I.F.) Parque Tecnolgico de Boecillo, Parcela 205- 47151 Boecillo (Valladolid) e-mail: migher@cartif.es , pepcan@eis.uva.es , luimig@cartif.es

Resumen
El presente artculo desarrolla el proceso de diseo as como los resultados obtenidos en la implantacin de un sistema de control tolerante a fallos en un equipo real de laboratorio. Se emplean mtodos basados en mnimos cuadrados para la identificacin previa del sistema MIMO. El control se basar en el diseo previo de un sistema de deteccin de fallos, segn el mtodo de las ecuaciones de paridad, siendo la ltima parte el desarrollo de un mdulo de acomodacin encargado de recuperar las posibles anomalas manteniendo el control sobre la planta.. Palabras clave: Control diagnstico de fallos. tolerante a fallos,

ECUACIONES DE PARIDAD

Si consideramos las ecuaciones de espacio estado para un sistema MIMO:

x(t + 1) = Ax(t ) + Bu(t ) y(t ) = Cx(t ) + Du(t )

(1) (2)

se obtiene el modelo equivalente de entrada-salida:

G( z )u(t ) H( z )y( t) = 0

(3)

En realidad la ecuacin (3) no se cumple debido a los trminos relativos a los fallos de proceso, a los ruidos aditivos y las perturbaciones en los parmetros de la planta. Con ello da lugar el vector de residuos:
r( t ) = y(t ) S( z )u(t ) = q(t ) + R( z )p(t )

(4)

INTRODUCCIN

A medida que en el campo de la industria va aumentando el grado de automatizacin de los distintos procesos productivos aumentan tambin las partes de cada sistema, que estn sujetas a posibles fallos o funcionamientos anmalos. Dado que la bonanza de un control aumentar si se trabaja con medidas provenientes del propio proceso y con modelizaciones adecuadas; se puede concluir que hacen falta tcnicas que permitan detectar funcionamientos anmalos en un determinado componente, y si procede, salvar la disfuncin que ste pueda causar a la situacin global. Con este planteamiento surgen los sistemas de control tolerantes a fallos, que aumentarn la precisin y/o seguridad de los sistemas de control. El objetivo de este trabajo es el diseo de un sistema de control tolerante a fallos que sea capaz de detectar fallos en sensores y actuadores as como reconfigurar el control para fallos en sensores. Para ello se ha construido un controlador en espacio de estado junto con un sistema de deteccin y diagnstico de fallos basado en ecuaciones de paridad entrada-salida as como un banco de observadores de estado.

Los residuos a partir de las variables observadas y de las funciones racionales S(z), e introduciendo H(z),:
r* (t ) = H( z )y(t ) G( z )u( t) = H( z )q( t) + F( z )p(t )

(5)

En las ecuaciones de residuos (4) y (5) las primeras igualdades representan la forma computacional, (a partir de las variables observadas), mientras que las segundas representan la forma interna, (describen las perturbaciones y fallos que originan los residuos). Estas ecuaciones se denominarn ecuaciones de paridad primarias, y la dimensin del vector de residuos asociados a ellas, s, coincidir con la dimensin del vector de salidas y(t). Transformamos linealmente con polinomios en z, para conseguir una estructura en las ecuaciones de paridad que cumpla los objetivos del diagnstico. Definiendo (6) se cumple la ecuacin ideal (7):
u( t ) ( t ) = 0 G( z ) 0 F( z ) = y( t ) 0 F( z )( t ) = 0 H( z ) 0

(6)

(7)

En la prctica, se obtiene mediante tcnicas de identificacin un modelo F(z) que se considera una estimacin vlida del sistema. Sobre dicho modelo se

aplican los valores medidos en lnea (t) obtenindose las ecuaciones de paridad, en las cuales el trmino derecho de la igualdad no ser cero, en general, sino el vector de residuos:

pueden conducir a cientos de modelos que satisfagan las condiciones de diagnosticabilidad. La aparicin de ceros, o bien dependencias lineales en el modelo inicial, reduce el nmero de modelos transformados posibles. En particular, si la dependencia por columnas es total (rango de la matriz es uno) no es posible efectuar el diagnstico por medios analticos, y ser necesario aadir nuevos sensores.

~ ( z ) F (t ) = r (t )

(8)

Este vector de residuos r(t) es resultado de combinar ruidos, fallos aditivos y discrepancias en el modelo (fallos multiplicativos y errores de modelado). 2.1 CONSIDERACIONES SOBRE LA DIAGNOSTICABILIDAD.

LA PLANTA

Se define matriz de incidencia para el modelo F: = Inc(F) (9)

En el presente proyecto se escogi como planta un sistema de tres tanques acoplados denominado DTS200 de AMIRA:
Bomba 1 Bomba 2 T3
q2 q1

donde la matriz de incidencia es una matriz booleana con sus elementos definidos como:
ij = 1 , ij = 0 , si si fij 0 fij = 0

T1

T2

Si F es la matriz del modelo de entrada-salida, entonces ij = 1 significa que una desviacin en la medida de la variable j, originada por ruido o por un fallo, influye en el residuo i, y ij = 0 lo contrario. Segn la estructura de la matriz de incidencia: - El sistema definido por la matriz F(z) tiene una estructura sensible al conjunto de fallos asociados a las variables (t) si ninguna de las columnas de su matriz de incidencia tiene todos sus elementos nulos. - El sistema tendr una estructura dbilmente aislante s todas las columnas de son distintas. - La estructura ser fuertemente aislante si todas las columnas de tienen al menos dos elementos distintos entre s. Puede resultar interesante la transformacin del modelo obtenido para obtener una disposicin ms adecuada para el diagnstico segn las condiciones anteriores. El nuevo modelo puede tener ms, menos o las mismas ecuaciones que el original. Si fuesen ms, algunas seran linealmente dependientes, pero la estructura de la matriz de incidencia distinta. El problema consiste en hallar la matriz T(z) tal que:
F ( z ) = T( z )F( z )
x

q13

q32

q20

Figura 1: Sistema de tres tanques acoplados. El primer paso ser la identificacin del sistema, esta parte, es la ms importante del trabajo, pues de su bonanza depender la consecucin de unas ecuaciones adecuadas para nuestros propsitos. Ser esta parte la que consumir mayor tiempo. Si se obtienen las ecuaciones fsicas que rigen el comportamiento de la planta (11), nos encontraremos ante expresiones no lineales, por lo que para poder linealizar stas, se hace necesario elegir un punto de funcionamiento, que denominaremos nominal, en torno al cul linealizar. Ser esta una decisin importante pues de ella depender la bondad del sistema final de control.
dh1 = q1 q13 dt dh A 3 = q13 q32 dt dh A 2 = q2 + q32 q20 dt A

(11)

q13 = az1S n sign(h1 h3 ) 2 g h1 h3

q32 = az 3 S n sign(h3 h2 ) 2 g h3 h2 q20 = az2 Sn 2 gh2

(10) x

El modelo buscado viene dado por F (z), y se x especifica a partir de la matriz de incidencia . x Cada fila en determina una ecuacin algebraica lineal. Las caractersticas de la solucin dependern de la matriz T(z). Este tipo de transformaciones

Recogidos valores que caracterizan la planta en torno al punto nominal, se procede a una identificacin del mismo usando diferentes modelos que nos proporciona el software comercial MATLAB. As, despus de ensayar varias posibilidades, se vio como era suficiente considerar un modelo ARX

(autorregresivo y con entradas exgenas), mediante esta identificacin por mnimos cuadrados se obtienen tres ecuaciones que nos dan la evolucin temporal de la altura del fluido medida en cada tanque en funcin de medidas anteriores de estas y de los caudales de entrada en cada tanque. Se obtienen: H1(t)=H1(t)-H1(t-1)=0.9977H1(t-1)+ +0.0022H3(t-1)+0.0013 Q1(t-1)-0.0208 (12) H2(t)=H2(t)-H2(t-1)=0.9955H2(t-1)+ +0.0021H3(t-1)+0.0012Q2(t-1)-0.0240 (13) H3(t)= H3(t)-H3(t-1)=0.9947H3(t-1)+ +0.0024H1(t-1)+0.0028H2(t-1)-0.0069..(14) Ahora es posible disear un controlador en el espacio de estados, utilizando la tcnica de ubicacin de polos dominantes en lazo cerrado para la construccin de la matriz de realimentacin. Adems, en este caso, y por usarse en la operacin habitual referencias mviles se hace necesaria la adiccin de una accin integradora que sea capaz de eliminar el error en estado estacionario. Al final, y usando diversos programas construidos en MATLAB se utiliza la configuracin que se muestra a continuacin, ya que nos da una solucin adecuada entre respuestas demasiado lentas y con poco sobrepaso (polos cercanos al origen) y otras rpidas pero con excesivo sobrepaso (polos alejados del origen). Adems debe ajustarse con cuidado la ganancia de la accin integral pues valores bajos pueden llevarnos a errores en estacionario, mientras que otros excesivamente altos pueden causar oscilaciones o incluso prdida de estabilidad.

unas leyes de control preestablecidas y usando informacin procedente de la redundancia analtica son capaces de reconfigurarse o adaptarse en lnea. En el presente trabajo se han utilizado mtodos que hacen uso del modelo matemtico de la planta, su arquitectura puede modelarse como:
GENERADOR DE RESIDUOS

SAD

DETECTOR DECAMBIOS

MODULO DE DECISION

MODULO DE ADAPTACION

ENTRADAS EXTERNAS

Figura 3: Arquitectura de un sistema de diagnstico. El mdulo de adaptacin reconfigura el control segn lo indicado por el mdulo de decisin en base a la informacin recibida del generador de residuos, que trabajar calculando las diferencias entre medidas reales procedentes de la planta y medidas calculadas analticamente segn los modelos que se manejen.
hcontrol
Mod. Decisin

hmedidae hest Est.

DDF href
+

Ggan

qequilib
+ + + -

Planta L.A.

hmedida

-1

+ -

Figura 4: Control tolerante implementado A nivel de diagramas de bloques, el sistema de control desarrollado se puede dividir en tres etapas que condicionan los diferentes niveles de diseo: Figura 2: Caudales y alturas registradas En la etapa inicial se dise el controlador de base, que fue un control en el espacio de estado. A continuacin se construye el sistema DDF. Se generarn residuos (definidos como la diferencia entre valores medidos y tericos) a partir de las ecuaciones de paridad del modelo de entrada-salida. Con ellos se obtiene la denominada matriz de incidencia, que indica que residuos son sensibles a cada fallo, esto es, cuales son capaces de detectar una determinada contingencia con cambios "detectables" en su valor. Por ltimo, para completar el DDF se disea el mdulo de decisin, que ser el encargado

SISTEMA DE CONTROL TOLERANTE A FALLOS

Se distinguen dos mtodos fundamentales de control tolerante: Los sistemas pasivos, dnde los fallos son modelados como perturbaciones en el diseo, y que constituyen las denominadas tcnicas de control robusto; y los sistemas activos, dnde se tiene un sistema de deteccin y diagnstico de fallos (DDF) y un mdulo de acomodacin. stos funcionan con

de valorar la informacin que aportan los residuos de cara a detectar y clasificar, si procede, un determinado fallo. Para ello se usan y comparan el mtodo denominado de los dos umbrales y el basado en la lgica borrosa. Por ltimo se desarrolla el mdulo de acomodacin, que teniendo presente la informacin recibida del mdulo DDF reconfigura el controlador sustituyendo la variable medida por la variable observada, caso de declarase el fallo. 4.1 GENERACIN DE RESIDUOS

manera que, aunque se llegue a expresiones sin significado fsico, nos permitan diferenciar entre fallos ahora no distinguibles. As se obtienen tres nuevas expresiones fruto de "identificar" (insistamos en el carcter puramente algebraico de estas expresiones) la suma de la altura que alcanza el fluido en los tanques inicial y central por un lado, central y final por otro y en los tres por el otro. Dado que se pretende tener una estructura no slo aislante, sino fuertemente aislante (es decir, cada columna de la matriz de incidencia, que caracteriza a un determinado fallo, se distinguir de cualquier otra en, al menos dos elementos) de cara a tener un sistema lo suficientemente seguro y fiable se busca un sptimo residuo, en el que, por cuestiones algebraicas se tendrn que considerar datos obtenidos dos periodos de muestreo antes del considerado: Dado que se pretende tener una estructura no slo aislante, sino fuertemente aislante (es decir, cada columna de la matriz de incidencia, que caracteriza a un determinado fallo, se distinguir de cualquier otra en, al menos dos elementos) de cara a tener un sistema lo suficientemente seguro y fiable se busca un sptimo residuo, en el que, por cuestiones algebraicas se tendrn que considerar datos obtenidos dos periodos de muestreo antes del considerado:
h (t 1) b q (t 1) c 1h1 (t 1) a 2 h3 (t 1) b 1 r6 (t ) = h1 (t ) + h3 (t ) a 1 2 2 1 h (t 1) a h (t 1) b h (t 1) b q (t 1) c r (t ) = h (t ) + h (t ) a
7 2 3 1 2 2 3 1 1 2 2 1

Una vez diseado el controlador de base, se procede al diseo del sistema DDF (Sistema de Deteccin y Diagnstico de Fallos). Para ello se construyen los residuos (definidos como la diferencia entre la medida obtenida y la analtica a partir de las ecuaciones identificadas), que se denominan primarios utilizando las tres ecuaciones identificadas para la variacin de la altura en los depsitos. Si ahora nos fijamos en las expresiones de estos residuos y tratamos de ver cuales de ellos son sensibles a cada posible fallo de los que se van a analizar:
h (t 1) b q (t 1) c 1 h1 (t 1) b 1 r1 (t ) = h1 (t ) a 1 3 2 1
h (t 1) b q (t 1) c 1 h 2 (t 1) b 1 r2 (t ) = h 2 (t ) a 1 3 2 2

h (t 1) b h (t 1) c 1h3 (t 1) b 1 r3 (t ) = h3 (t ) a 1 1 2 2

R1 R2 R3

H1 1 0 1

H2 0 1 1

H3 1 1 1

Q1 1 0 0

Q2 0 1 0

13 1 0 1

23 1 1 1

q (t 1) b q (t 1) c 1h1(t 1) a 2h2(t 1) a 3h3(t 1) b 1 r8(t) = h1(t) +h2(t) +h3(t) a 1 1 2 2

h (t 1) b q (t 1) b q (t 2) c 1h1 (t 1) a 2 h1 (t 2) b 1 r9 (t ) = h1 (t ) a 1 2 2 1 3 1

Figura 5: Residuos y diagnosticabilidad. Los fallos considerados se expresan como Hi haciendo referencia los fallos en los sensores de altura de cada uno de los tres depsitos; como Qi los referidos a fallos en los dos actuadores que alimentan a los tanques extremos denominados 1 y 2; los fallos 13 y 23 hacen referencia a los atascos en los conductos de comunicacin entre los tanques 1y 3 (inicial y central) y 2 y 3 (central y final) respectivamente. La matriz de incidencia representada a la derecha indica con 1 s el residuo correspondiente "detecta" el fallo y con 0 si no.Es claro que este conjunto inicial de residuos no es suficiente para discriminar entre los fallos a considerar pues el conjunto reaccionara de igual forma ante, por ejemplo un fallo en el sensor de altura del tanque 1 y un atasco entre dicho tanque y el central; por tanto se hace necesario buscar ms residuos que permitan salvar este problema. Para ello se recurre a expresiones nuevas que surgen de las ecuaciones identificadas, se combinarn stas de

R1 R2 R3 R4 R5 R6 R7

H1 1 0 1 1 1 1 1

H2 0 1 1 1 1 1 1

H3 1 1 1 1 1 1 0

Q1 1 0 0 1 0 1 1

Q2 0 1 0 0 1 1 0

13 1 0 1 0 1 0 1

23 0 1 1 1 0 0 1

Figura 6: Residuos y diagnosticabilidad. Hay que matizar que un cuarto grupo de fallos, considerado inicialmente, las fugas en los tanques, hubo de ser apartado del anlisis final, pues no existe manera de conseguir ecuaciones de residuos que discriminen entre estos y el correspondiente fallo en el sensor de altura de aquel tanque. Captulo aparte merece el tema del filtrado de residuos. En el presente desarrollo, se ha utilizado un filtro MA de orden 100, esto es, en cada valor del residuo se calcula la media de los ltimos 100 valores obtenidos para obtener el valor actual del residuo filtrado, que es el que se va a considerar en el diagnstico. Es importante ajustar bien el orden del

filtro, ya que valores demasiado elevados, aunque salvarn bien los posibles ruidos y con ello las falsas alarmas, pueden introducir retrasos en el diagnstico o incluso llegar a pasar por alto perturbaciones leves pero importantes en los residuos, pasando por alto posibles fallos; por el contrario valores muy bajos aunque aceleren la deteccin pueden hacer que perturbaciones producidas por ruidos sean consideradas, y activando residuos, nos conduzcan a falsas alarmas, perdiendo as seguridad el sistema.

riesgo de falsas alarmas. Por tanto deber buscarse una situacin de compromiso basada en la experimentacin, y teniendo en cuenta los valores extremos indicados que marcan las dos tendencias. El diagnstico se apoya en un contador auxiliar que nos indica cuantos periodos de muestreo ha estado el residuo fuera de su comportamiento habitual, as se establece un nmero significativo de veces que el residuo ha de estar fuera de banda para declararlo significativo. Se incrementar cuando salga por arriba, y se decrementar cuando lo haga por debajo, en cualquier caso, cuando supere en valor absoluto, el lmite establecido se declarar activo. Si todos los residuos que caracterizan un fallo segn la matriz de incidencia estn activos ese fallo se considera. A la derecha aparece el mtodo que se basa en la lgica borrosa. La deteccin se basa en el concepto de pertenencia al conjunto borroso definido como "ser residuo significativo". En este sentido, se definen, a partir de las bandas "optimista" y "pesimista" antes descritas (es decir separadas de la media sin fallo, dos y cuatro veces el valor de la varianza sin fallo) tres zonas diferenciadas: Una primera en la que se dice que el residuo no es significativo, cuando oscila dentro de la banda definida por distancias menores que dos veces la varianza en torno al valor medio. En este caso el valor de la funcin de pertenencia al conjunto borroso "ser residuo significativo" es =0. La segunda zona, es aquella en la que el residuo est entre las dos bandas, la optimista y la pesimista (es decir no se aleja de la media en ms de cuatro veces la varianza sin fallo, pero no se acerca al valor medio ms de dos veces dicha varianza). En este caso se dice que el residuo tiene un comportamiento dudoso, y por tanto su funcin de pertenencia estar entre 0 y 1, con valores crecientes hacia 1 a medida que se aleje ms de la media. Por ltimo, la tercera zona, aquella en la que el residuo se sale del lmite ms extremo, se considera como residuo activo con seguridad, es decir, con funcin de pertenencia =1. Una vez establecido el grado de pertenencia de cada uno de los residuos necesarios en el diagnstico al conjunto borroso "ser residuo significativo" se completa el diagnstico siguiendo las reglas de la lgica borrosa: Se define adicionalmente, el conjunto borroso complementario del anterior ("no ser residuo significativo"), es claro, que la funcin de pertenencia a este segundo conjunto ser la complementaria de la definida, es decir, 1-; as, para realizar un diagnstico, se contemplan para cada fallo, que residuos han de activarse, y cuales no, fijndonos en la matriz de incidencia. Si, por ejemplo, se considera un fallo en el sensor de altura del tanque inicial (fallo H1) se ve que activar todos los residuos salvo el segundo, esto indica que deben considerarse las funciones de pertenencia al conjunto "ser residuo significativo" para todos los residuos

Figura 7: Filtrado de residuos En la figura anterior podemos ver la diferencia entre residuos filtrados y sin filtrar, a la izquierda se ve el comportamiento en el caso de aparecer un fallo al cual el residuo es sensible y a la derecha en el caso de no haber presencia de fallo. 4.2 MDULO DE DECISIN

Los residuos proporcionan la informacin que el mdulo de decisin va a valorar. Para construir el mdulo de decisin se han utilizado, y comparado dos tcnicas: Una primera denominada de los dos umbrales, y otra segunda basada en la lgica borrosa.
Incremento Dudoso

Inactivo

Activo

Decremento

Figura 8: Mtodos de diagnstico. A la izquierda se ilustra el mtodo de los dos umbrales. Aqu, se establecen dos bandas, fuera de las cuales se considera que los residuos tienen un comportamiento anmalo. Tericamente, estos umbrales han de colocarse en torno al valor medio del comportamiento de dicho residuo en la situacin de funcionamiento nominal sin fallo, distanciados de este valor en dos o cuatro veces la varianza en la situacin sin fallo. Es evidente que la eleccin de estos umbrales tendr una influencia decisiva en el diagnstico: umbrales altos, esto es, alejados, nos salvaguardan de falsas alarmas, pero ralentizarn la deteccin al tardar ms el residuo en salirse de la banda considerada; por su parte unos umbrales ms bajos adelantan la deteccin, eso s, aumentando el

salvo para el segundo (el que no ha de activarse), que contemplamos la pertenencia al complementario "no ser residuo significativo". A continuacin, y sabiendo que la unin se transforma en el campo borroso como la operacin mnimo, calcularemos la posibilidad de presencia de ese fallo como el mnimo de las funciones de pertenencia consideradas. As, se calcularn las posibilidades de presencia de cada fallo, y estableciendo un umbral que diga que posibilidad es necesaria para declararlos, se considerar un fallo si el mximo de todas las posibilidades para cada uno, rebasa ese umbral. Se ha de tener cuidado, y recurrir a la experimentacin para elegir el umbral lmite de posibilidad, valorando como antes la tendencia optimista y la pesimista. Si vemos el comportamiento de un residuo ante un fallo al cual es sensible:

Figura 9: Comportamiento de residuos ante fallos El residuo de la izquierda ante un fallo, reacciona rpidamente con un fuerte pico para a continuacin volver a su banda "habitual" de comportamiento; en cambio el de la derecha reacciona ms lentamente, con una variacin menor pero duradera en el tiempo, es decir, tras la perturbacin el residuo evoluciona hasta una nueva banda dentro de la cual se situar en la evolucin venidera. Durante la experimentacin, se pudo comprobar como en algunos casos se daban diagnsticos transitorios errneos, se muestra el caso de provocar un fallo en el sensor de altura del tanque inicial:

un fallo en el sensor de altura del tanque 1 y a la derecha en el caso de tener un fallo en el actuador que alimenta dicho tanque. La matriz de incidencia nos indicaba que el fallo en H1 activa todos los residuos definidos, salvo el segundo y que el fallo denominado Q1 activa el primero, cuarto, sexto y sptimo. Por tanto, estos dos posibles diagnsticos se diferencian en los residuos tercero y quinto que slo se activan en el caso del fallo en el sensor de altura. Si nos fijamos en la forma de activarse que estos residuos tienen para este fallo (H1), observamos que responden a la tendencia antes descrita como de evolucin lenta, pero permanente en el tiempo; lo cul induce a pensar que los dems residuos se "activarn" antes, por lo cual se corre el riesgo de tener diagnsticos transitorios errneos, es decir por unos instantes (hasta que estos residuos "rezagados" se declaren activos) se diagnstica fallo en el actuador, cuando realmente est aconteciendo un fallo en el sensor. En el programa de control, se ha salvado esta dificultad aadiendo un contador adicional que, penalizando en cierta forma estos fallos que, pueden detectarse de forma transitoria, nos salvan de esta dificultad. Simplemente "obligaremos" a estos fallos a estar "declarados un cierto nmero de veces" antes de considerarlos, es decir, daremos tiempo para ver si los residuos ms lentos van a evolucionar o no. Se muestra el diagnstico de un fallo en el sensor en la parte izquierda, y de un fallo en el correspondiente actuador en la parte derecha:

Tdetec=28

Tdetec=20 Tdetec=35

Tdetec=40

Figura 11: Tiempos de deteccin. Adems de los diagnsticos transitorios errneos, la diferencia de evolucin de los residuos incide directamente sobre las diferencias en los tiempos de deteccin para los dos mtodos considerados. Se comprueba como la lgica borrosa proporciona mejores valores en la deteccin de aquellos fallos que requieren la activacin de menos residuos, teniendo stos reacciones ms rpidas y altas ante los fallos (como ocurra en el caso del fallo en el actuador anteriormente comentado); por su parte el mtodo de los dos umbrales proporciona resultados ms brillantes para el caso de aquellos fallos que

Figura 10: Fallo en sensor y en actuador. A la izquierda se muestran las evoluciones de los siete residuos considerados, en el caso de provocarse

necesitan la activacin de ms residuos, aunque estos respondan a perturbaciones menos importantes. La razn est en que por su evolucin, las perturbaciones ms agudas son ms favorables para el diagnstico borroso, pues dan ms rpidamente funciones de pertenencia elevadas y, por el contrario no estn muchos intervalos de tiempo fuera de la banda para favorecer el diagnstico con el mtodo de los dos umbrales. Al contrario, las perturbaciones ms dbiles pero duraderas en el tiempo, favorecen al mtodo de los dos umbrales, pues hacen salir al residuo de su banda habitual de manera definitiva, por lo que, aunque no den funciones de pertenencia en el sentido borroso muy elevadas, hacen que el contador de fuera de lmite del mtodo de los umbrales pueda incrementarse hasta llegar a considerar el residuo activo. 4.3 MDULO DE ACOMODACIN

Si se elige un punto de equilibrio fijo, al cambiar la consigna el observador comienza a operar fuera de la zona lineal, y como se ve en la parte izquierda, las observaciones pueden ser errneas; en cambio, usando un punto de equilibrio variable el observador caso de operar fuera de la zona lineal, considerar como puntos de equilibrio algunos que, en realidad no lo son, por lo que de nuevo podramos estar ante problemas caso de tener grandes variaciones en las consignas. Finalmente se ha optado por una solucin intermedia, consistente en actualizar los valores de equilibrio cada cierto nmero de intervalos de muestreo; hay que notar que, en la prctica estamos mucho ms cerca de estar trabajando con referencias variables, pero con esta salvedad evitamos parte de los problemas que pueden surgir al considerar puntos de equilibrio, que en realidad no lo son.

Detectados los fallos, se disea el mdulo de acomodacin, que ser el encargado de retomar el control de la planta, cuando, una vez detectado un fallo esto sea posible. Para ello se ha construido un banco de observadores reducidos de orden 1 que estimarn la medida que, se detecta como errnea para sustituir dicho valor por el estimado en busca de mantener el control sobre la planta mientras se avisa del fallo, durante el tiempo que se invertira en una hipottica reparacin y evitando as posibles consecuencias como desbordamientos. En este caso, como se ha dicho, se usan observadores de orden 1, por tanto polo y ganancia coinciden por lo que valores altos pueden llevarnos a inducir retrasos, de modo que el valor considerado responda a valores demasiado "antiguos" llevando a oscilaciones a la hora de recuperar el fallo (debemos buscar un observador compatible en velocidad con el controlador); por otro lado valores bajos pueden llevar a incontrolabilidad. Otro problema a tener en cuenta, es la necesidad de filtrar los datos para evitar ruidos en las medidas que hagan muy oscilante la observacin, para ello otra vez deben tenerse en cuenta las dos tendencias en el momento de tomar el tamao del filtro (pequeo lleva a oscilacin excesiva y grande a retrasos inadmisibles). De nuevo se utiliza un filtro MA de orden 100, que resulta adecuado, tras la experimentacin. Se utiliza un observador continuo discretizado, usando incrementos en torno al punto de equilibrio elegido, que en principio ser el que se eligi, en su momento como de funcionamiento nominal. Para concluir el diseo del banco de observadores, tan slo debe elegirse entre la utilizacin de un punto de equilibrio fijo o uno variable.

Figura 12: Observadores de estado La implementacin del banco de observadores nos permite tener medidas analticas de las variables consideradas de salida, de cara a recuperar algunos fallos; en general, cada tipo de fallo tendr unos tratamientos distintos tras su deteccin: Si tenemos fallos en los actuadores, avisaremos de su existencia, y como se ver a continuacin, si las posibilidades fsicas del sistema lo permiten, se mantendr el control aumentando la consigna de entrada. Si aparece un atasco en un conducto, se avisa de su presencia, y de nuevo, si las posibilidades fsicas lo permiten, se mantiene el control, eso s, teniendo en cuenta que, ahora la planta, desde el punto de vista de su modelado, es otra diferente. Por ltimo, ante fallos en los sensores, tras el oportuno aviso, se proceder a sustituir la medida que se estima, es errnea, por la que nos est suministrando el banco de observadores de estado, para dicha magnitud con el objetivo de retomar el control sobre la planta. 4.3.1 Fallos en actuadores

A la izquierda se muestra el caso de un fallo en el tanque inicial de un tamao del 30%. En este caso a la reaccin inicial de perdida de altura en el tanque al bajar el caudal del actuador correspondiente, el controlador reacciona aumentando la consigna pues "cree" no estar dando el caudal suficiente para mantener la consigna solicitada. As, y dado que el aumento de caudal hipottico necesario para mantener el sistema estable, resulta estar dentro de

las posibilidades fsicas de las bombas, el control se mantiene. En el caso mostrado a la derecha se nuestra un fallo en el actuador que alimenta al tanque final (tanque 2); de nuevo, ante la prdida inicial de altura en el correspondiente tanque el sistema reacciona con un aumento en la consigna de la correspondiente bomba. La diferencia est, en que en este caso el sistema llega a su saturacin en lo referente al caudal posible para la bomba 2; de esta manera resulta ms lento llegar a retomar el control sobre la planta. No es difcil suponer que este caso, es una situacin lmite, pues a la vista de que la bomba 2 llega a su saturacin para mantener a duras penas el control, un tamao de fallo algo mayor hara que el control no llegara a retomar la consigna.

reaccionar del controlador ser en ambos casos consecuencia de las sucesivas reacciones que acontecen: por ejemplo, en el caso del atasco entre 1 y 3, la primera reaccin ser un aumento de altura en el tanque inicial pues, desaloja menos cantidad de fluido, manteniendo constante en cambio el fluido que recibe por parte del actuador; a esto el controlador reaccionar disminuyendo el aporte a dicho tanque, para buscar de nuevo el punto inicial de equilibrio. Por su parte el tanque final habr visto mermado su aporte de caudal proveniente del tanque central, por lo que su bomba, al ver como baja su altura de fluido, ver aumentada su consigna por parte del controlador. En resumen, si las posibilidades fsicas de la bomba del tanque final lo permiten el control se mantendr, eso si, habiendo cambiado completamente la configuracin. Se puede insistir como en el caso representado a la derecha, el control se pierde, pues la bomba llega a su saturacin sin poder llevar a la planta al equilibrio inicial. 4.3.3 Fallos en los sensores de altura

Figura 13: Fallo en el actuador del tanque 1 4.3.2 Atascos en los conductos de comunicacin

A continuacin se analizan los atascos en los conductos de comunicacin entre depsitos. Como se ha indicado, en caso de producirse una contingencia de este tipo, podramos decir que la planta ve modificada su estructura, es decir, las ecuaciones identificadas en el paso inicial, ya no responderan a las ecuaciones fsicas que ahora describen la planta.

Se provoc un fallo en el sensor de altura del tanque inicial. Como puede verse la recuperacin es ms brillante en el caso de haber utilizado la deteccin por el mtodo de los dos umbrales, ya que, como se justific, al conseguirse la deteccin ms rpidamente, el pico originado por el fallo es menor. Al acontecer el fallo, la lectura del sensor decrece, por lo que el controlador "creyendo" que en el tanque no se est en la consigna, aumenta el caudal de suministro. As, el efecto real (no el que lee el sensor) es aumentar el nivel del fluido. En el momento en que se detecta el fallo, el controlador deja de "alimentarse" de datos provenientes del sensor para hacerlo de datos obtenidos analticamente por el observador, por lo que consigue retomar el control:

Figura 14: Atasco en conductos de comunicacin. En la parte izquierda se representa un atasco entre los tanques inicial y central, el 1 y el 3; y en la parte derecha un atasco entre el tanque central y el final (el 3 y el 2). La primera consecuencia del cambio de las ecuaciones fsicas llevar a situaciones de equilibrio diferentes de las anteriores, en particular, la altura que el fluido alcanza en el tanque central (el que no recibe alimentacin directa de actuador alguno) se acercar tanto ms cuanto mayor sea el grado del atasco, a la altura del tanque extremo con el que mantenga intacta su comunicacin. La forma de

Figura 15: Fallo en el sensor del tanque 1. Cabe observar la evolucin de los caudales suministrados, que tras el aumento inicial, se anulan (detectado el fallo, se sabe que estamos por encima de la consigna) para, a continuacin, con mayor o menor oscilacin, dependiendo de la rapidez de los observadores y de la deteccin, volver a entrar en estado estacionario de equilibrio inicial, con unas

oscilaciones incluso menores que antes de acontecer el fallo, debido en principio, a que las medidas observadas (convenientemente filtradas) estn menos afectadas por el ruido que las medidas reales provenientes de la planta. Los mismos comentarios valen para el caso de un fallo en el actuador que alimenta el tanque final:

necesitar esas ecuaciones. Por tanto, se puede concluir que el sistema DDF obtenido es vlido en torno a los valores nominales elegidos en la etapa de identificacin, pero no se puede garantizar su validez si nos alejamos de esos valores del sistema. Necesitndose fijar unos umbrales que declaren significativo el comportamiento de un residuo para una situacin de equilibrio, nos topamos con que esa determinacin nos condiciona tanto la rapidez en la deteccin, como la aparicin de falsas alarmas. Unos umbrales bajos (optimistas) propician falsas alarmas, mientras unos altos (pesimistas) retrasan la deteccin, pudiendo sta llegar tan tarde que el sistema ya no sera reconfigurable. La solucin adoptada, apoyada en la programacin, es introducir contadores que fuerzan a que la declaracin de determinados fallos (los que necesitan que pocos residuos se activen) se tenga que hacer en varios instantes de tiempo consecutivos. De esta forma, no se penalizan todas las detecciones y se evita que al pasar por situaciones intermedias se declaren falsas alarmas. Se han provocado slo fallos abruptos porque el sistema real no permite provocar fallos evolutivos cmo podramos hacer en el caso de una simulacin sin ms que introducir la funcin matemtica que modelara una rampa. Los ensayos realizados en la planta real nos muestran como lo que en realidad se consigue, es introducir una secuencia, ms o menos regular de pequeos escalones. Esto se traduce en que los incrementos son muy irregulares, y pese a la dinmica lenta del sistema, hace que los residuos evolucionen en un orden bastante aleatorio segn el pulso del usuario, favoreciendo claramente la aparicin de falsas alarmas, y en ltima instancia, el retraso en el diagnstico. Para tratar de obtener un mejor comportamiento para todo tipo de referencias dadas al sistema de control (dentro del rango habitual de funcionamiento), se ha optado a la hora de programar por el mtodo de punto de equilibrio para el observador variable con cada consigna, obtenindose as buenos resultados. De cualquier manera, en procesos reales que trabajen con referencias fijas (control de proporciones en un proceso qumico) parece ms recomendable el uso de un punto de equilibrio fijo, que permitir detectar con mayor anticipacin fallos del sistema. Adems, dado que se depende de la linealidad del sistema de observacin, nos encontramos con que un alejamiento grande del punto de equilibrio de dicho observador puede provocar una defectuosa estimacin de los valores, con el consiguiente perjuicio en el control. Una solucin sera usar observadores no lineales, aunque se ha optado por introducir un nuevo punto de equilibrio para el observador con cada cambio de referencia y

Fallo 16: Fallo en el sensor del tanque 2. El ltimo fallo posible, el del sensor de altura del tanque central, no se analiza, pues al hacer referencia a una variable fsicamente no controlable, no tiene inters prctico.

CONCLUSIONES

Podemos recapitular las conclusiones obtenidas de este estudio: Resulta decisiva la etapa de identificacin de la planta, ya no tanto por la bondad de las ecuaciones obtenidas, sino por obtener ecuaciones sensibles desde el punto de vista de la deteccin de fallos. Por ello no es necesario complicar mucho el modelo, sino obtener unas ecuaciones "tiles" para nuestros propsitos. Quedan salvados en esta etapa los problemas que pueden surgir de las no linealidades presentes en la planta. Las limitaciones introducidas en la etapa de identificacin (linealizacin del sistema, eleccin del orden en el modelo ARX) provocan dos problemas. Primeramente nos obligan a trabajar en condiciones muy cercanas a las de funcionamiento nominal si se quieren obtener buenos resultados. Adems, aparece un cierto sesgo con el tiempo en caso de aparecer un fallo, es decir, si aparece un fallo, y ste permanece durante un cierto tiempo, se corre el riesgo de que el sistema se aleje de las condiciones nominales, provocando, que residuos que no eran significativos pasen a serlo, pudiendo aparecer con ello diagnsticos errneos. Este problema podra salvarse eliminando las ecuaciones en las que se da este efecto, de forma que se asegurara un periodo de tiempo en el que se tendra un diagnstico adecuado, pudiendo reconfigurar el controlador. Pero esta no es la mejor solucin, pues en futuros fallos podemos

actualizarlo para cada cierto nmero de instantes de muestreo. Los resultados obtenidos con esta solucin, han sido aceptables. Adems, y como consecuencia de lo anterior: El conjunto del sistema tolerante a fallos que se ha diseado, tiene su mejor aplicacin para sistemas de dinmica lenta y fcilmente identificable; ya que as se hace ms sencillo el proceso de identificacin de residuos y el de control, con lo que se mantiene un comportamiento robusto frente a la presencia de un fallo. Las principales diferencias que se pueden destacar respecto a la simulacin de este mismo sistema son: Los resultados que de esta tcnica se haban obtenido para este mismo sistema en el campo de la simulacin, se ven limitados en el equipo real, no slo por la presencia de ruidos en medidas y en actuadores, sino tambin por la exigencia de actuar en lnea. En comparacin con simulaciones de este mismo sistema ha habido que modificar los valores de los parmetros del controlador (matriz de realimentacin, ganancia del controlador integral). Tambin se han modificado las ubicaciones de los polos de los observadores para tener una velocidad aceptable en la reconfiguracin. El sistema DDF obtenido para el sistema real permite diagnosticar fallos no contemplados en la simulacin (atascos en los conductos) aunque stos no son acomodables. El cambio de punto de referencia tiene en el caso real una gran influencia en la validez del diagnstico, y en consecuencia en las posibilidades reales de reconfiguracin. Cmo conclusin final del comportamiento del sistema tolerante activo construido se destaca que el uso de un control lineal no afecta al rendimiento del mdulo DDF y el sistema as obtenido tolera fallos en los actuadores y atascos y es capaz de recuperar fallos en los sensores.

[3]

Frank, P.M. (1990) Fault diagnosis in dynamic systems using analytical and Knowledgebased redundancy: A survey and some new results. Automtica, 26(3):459474. Garrido, E. A. (1998) Control tolerante a fallos en un sistema de tres tanques. Proyecto final de carrera, Departamento de Ingeniera de Sistemas y Automtica. Universidad de Valladolid Jiang, J. (1994) Detection/Diagnosis and Controller Reconfiguration in Dynamic Systems. Proceedings SAFEPROCESS, pp:81-86. De Miguel, L. J. (1994) Diagnstico Automtico de Fallos Basado en Ecuaciones de Paridad. Tesis doctoral. E.T.S.I.I. Departamento de Ingeniera de Sistemas y Automtica, Universidad de Valladolid. Valladolid. Patton, R. J. (1997) Fault-Tolerant Control: The 1997 Situation. In Proceedings SAFEPROCESS'97, pp 1033-1055, HullU.K., Agosto 1997. IFAC Symposium. Patton, R. J., Frank, P. y Clark R (1989) Fault Diagnosis in Dynamic Systems. Theory and Applications. Prentice Hall Int. Patton; R. J., Simani; S., Daley; S.; Pike; A. (2000) Fault Diagnosis of a Simulated Model of an Industrial Gas Turbine Prototype Using Identification Techniques; SAFEPROCESS`2000; pp 518-523 Theilliol; D., Ponsart; J., Noura; H. (2000) Sensor Fault Diagnosis and Accomodation Based on Analytical Redundancy SAFEPROCESS`2000; pp 542-547.

[4]

[5]

[6]

[7]

[8]

[9]

[10]

6
[1]

BIBLIOGRAFA
Basseville, M. y Nikiforov, I. (1993) Detection of Abrupt Changes. Theory and Application. Prentice-Hall, Inc. Castro, A. (1995) Diagnstico de Fallos basado en ecuaciones de paridad. Aplicacin a un motor de c.c. con carga variable. Proyecto final de carrera, Departamento de Ingeniera de Sistemas y Automtica. Universidad de Valladolid.

[2]