ARTIGO
Implantação de plano de contingência no caso de perda do CCO
da EFC
Cassio Miranda¹, Eggo Pinheiro¹, Francinaldo Santos¹, Joel Saraiva², Theo Laguna³
1Departamento de Automação e Telecomunicações, Estrada de Ferro Carajás, Vale, Avenida Dos
Portugueses, SN, Praia do Boqueirão, 65085580, SÃO LUÍS/MA
2 Departamento de Controle de Tráfego, Trem de Passageiros e Combustíveis, Estrada de Ferro
Carajás, Vale, Avenida Dos Portugueses, SN, Praia do Boqueirão, 65085580, SÃO LUÍS/MA
3 Departamento de Engenharia, Trem de Passageiros e Combustíveis, Estrada de Ferro Carajás,
Vale, Avenida Dos Portugueses, SN, Praia do Boqueirão, 65085580, SÃO LUÍS/MA
e-mail: cassio.miranda@vale.com, eggo.pinheiro@vale.com, francinaldo.santos@vale.com, joel.saraiva@vale.com, theo.laguna@vale.com
Resumo O papel do Centro de Controle Operacional (CCO) é essencial para a operação de ferrovia heavy haul. Na Estrada de Ferro Carajás (EFC), os sistemas de controle do tráfego ferroviário, de gerenciamento das equipes em campo e de monitoramento dos ativos de transporte, sinalização e segurança permitem a integração entre gestão e tecnologia para garantir o atingimento da capacidade de produção. A indisponibilidade do CCO da EFC impactaria de forma significativa em um dos principais corredores logísticos da Vale – Sistema Norte. As perdas em transporte de minério de ferro, de manganês, de cobre e de cargas em geral afetariam inclusive o abastecimento do mercado internacional. Por esta razão, a perda do CCO da EFC é tema do comitê de Gerenciamento de Riscos Operacionais (GRO) que trata riscos estratégicos da companhia, sendo fator direto para avaliação do risco de continuidade do negócio. Neste contexto, foi elaborado um plano de contingência operacional considerando cenários de perda parcial (sistemas de informação, sistemas de comunicação, energia, equipamentos etc.) e um cenário de perda total (desastres naturais, catástrofes, atentados) do CCO. O plano prevê a adoção de procedimentos emergenciais, a mobilização de recursos para atendimento e a manutenção de equipamentos sobressalentes tendo em vista mitigar as perdas de produção. Em cenários de alta severidade, visando manter elevada disponibilidade operacional, bem como uma recuperação rápida, foi construído um novo centro de controle backup baseado no método de redundância e de cluster geográfico com replicação de dados (conjunto de servidores) e de ativos (equipamentos).
Palavras-Chaves: gestão, contingência, centro de controle, redundância.
1. INTRODUÇÃO
Um Plano de Continuidade Operacional (PCO) é composto por documentos e protocolos com definição de ações/tarefas para a recuperação, em nível e escala temporal aceitável, de atividades críticas à uma organização que por ventura foram interrompidas.
O PCO para o CCO da EFC foi construído a partir da análise de risco e impacto numa possível perda de seu centro de controle. Entre
2010 (ano em que foi elaborado o Plano Diretor de Segurança Operacional EFC) e 2013, foram discutidas e implementadas estratégias para criação de uma estrutura capaz de reagir a situações de emergência, à luz de ações coordenadas e integradas, combinando a mobilização de recursos humanos e materiais, com o objetivo de minimizar as perdas ao transporte ferroviário.
Como forma ilustrativa, abaixo listamos os cenários de maior severidade em caso de perda do CCO EFC.
Operação por CCO Backup: prazo de seis horas para ativação com possibilidade de suporte à operação no período de até 60 dias (perda estimada em 1,20% da produção anual no período máximo suportado);
Operação degradada em controle local ao longo da EFC: prazo de 24 horas para ativação com possibilidade de suporte à operação no período de até sete dias (perda estimada em 1,15% da produção anual no período máximo suportado); 2. OBJETIVO E APLICAÇÃO
O objetivo do PCO da EFC é estabelecer diretrizes sobre os procedimentos a serem adotados pela empresa, durante a ocorrência de situações críticas para o CCO, a fim de orientar e determinar as ações para operação em emergência.
O plano apresenta os procedimentos de resposta às situações emergenciais que eventualmente possam vir a ocorrer interrompendo a alimentação de energia e/ou a comunicação (dados, voz, rádio, sistemas de informação) culminando em paralisação parcial ou total do controle de tráfego ferroviário. Além disso, visa também definir as atribuições e responsabilidades dos envolvidos, de forma a propiciar as condições necessárias para o restabelecimento do controle de tráfego, a transição para os cenários de ativação do CCO Backup ou de Operação Degradada.
3. PLANO DE CONTINGÊNCIA
OPERACIONAL
3.1. Estrutura do Sistema de Gestão de Tráfego
A Estrada de Ferro Carajás é equipada com alguns sistemas de telecomunicações e automação que propiciam uma melhor gestão da informação e um melhor controle operacional das operações ferroviárias. É dentro do centro de controle onde vários desses sistemas são supervisionados e comandados. Entre os sitemas disponíveis destacam-se o Sistema de Gestão Ferrovária (SGF), Sistema de Sinalização da ferrovia, Sistema Terra Trem (Sistema de Supervisão Embarcado), Sistema de análise de
temperatura de rodas e rolamentos (Hotbox/HotWhee), Sistema de análise de rodas e trilhos (Wayside), além dos sistemas de telecomunicações que possibilitam a comunicação desses sistemas ao longo da estrada de ferro de São Luís à Carajás.
Fig. 1 Sistemas de automação disponíveis no CCO O sistema de controle tráfego é composto por um sistema de servidores principal e outro secundário. O principal está localizado no prédio do CCO, e os servidores secundários estão localizados no prédio operacional da Gerência de Sinalização e Telecomunicações na oficina central.
Fig. 2 Overview topologia de rede
A figura a seguir ilustra a localização geográfica dos centros de controle operacionais da EFC.
O Centro de Controle Operacional (CCO) principal está situado na Praia do Boqueirão e o contingência na região da oficina ferroviária. A distância entre os sítios principal e contingência é de aproximadamente 7km.
Fig. 3 Geoposicionamento dos CCO EFC O sistema opera utilizando apenas os servidores primários. Caso ocorra algum evento que impacte severamente nas operações do sistema de supervisão do centro de controle no CCO, o sistema secundário (CCO Backup) poderá ser ativado por equipe treinada nos procedimentos do plano. A arquitetura do sistema principal e do reserva pode ser visualizada nas figuras 4 e 5.
Fig. 4 Arquitetura do sistema CCO Principal
Fig. 5 Arquitetura do sistema CCO Backup
O CCO Backup é uma solução baseada em premissas de recuperação de desastres, alta disponibilidade e replicação de dados.
A replicação de dados garantida por meio de enlace de fibra óptica entre os Centros de Controle permite que Sistemas como o SGF realizem a replicação dos principais dados que possibilitam a recuperação da gestão e planejamento da ferrovia com um mínimo de impacto à operação de trens.
3.2. Responsabilidades
A responsabilidade de operar o CCO é da área de Operação de CCO, já a responsabilidade por manter os ativos que compõem o sistema de controle e supervisão é da área de Manutenção em Sinalização e Telecomunicações. Matricialmente, a área de Engenharia coordena as ações voltadas para a Segurança Operacional. Assim, o PCO da EFC tem gestão compartilhada, bem como as atividades que compõem sua ativação.
3.3. Cenários de Atuação
3.3.1. Queda de alimentação de energia elétrica
Em caso de supressão parcial ou total da alimentação de energia elétrica ao prédio do CCO, são acionados, de forma automática, os grupos geradores existentes, não sendo necessária interferência humana no processo de acionamento.
Se, por motivo de falha ou ausência de combustível (óleo diesel), não for possível o acionamento dos grupos geradores do prédio CCO, deve ser acionada a área de Manutenção em Sinalização e Telecomunicações para acionamento de grupos geradores sobressalentes.
Paralelamente ao acionamento dos grupos geradores sobressalentes, automaticamente são acionados bancos de bateria para alimentação dos computadores, servidores e equipamentos necessários ao controle de tráfego ferroviário, evitando assim qualquer impacto para a circulação de trens na EFC. Os bancos de bateria existentes no prédio CCO permitem uma autonomia de aproximadamente oito horas de funcionamento.
Após três horas da entrada dos bancos de bateria, sendo permanecida a situação de ausência de alimentação de energia elétrica e falha dos grupos geradores titulares e
sobressalentes, deve ser iniciado o processo de ativação do CCO Backup.
No período entre o a perda de autonomia dos bancos de bateria e o início da operação no CCO Backup, devem ser interrompidas todas as operações ferroviárias em curso, bem como paralisados todos os trens presentes na EFC. 3.3.2. Perda de Comunicação - Problemas de
Equipamento em geral
Em ocasião de falha ou quebra de equipamentos/hardware ligado ao sistema de despacho de trens (computadores, servidores, rádio, monitores etc.) que limite parcialmente ou totalmente o controle de tráfego ferroviário, deve ser acionada a equipe de manutenção para a pronta substituição do equipamento por um sobressalente.
A troca deve ocorrer em até três horas e, em caso de limitação total de controle de tráfego, a circulação de trens deve ser interrompida nesse período.
Ocorrendo falha permanente, ausência de equipamento sobressalente e/ou limitação total de controle de tráfego ferroviário, deve-se migrar a operação para o CCO Backup. No período entre a falha do(s) equipamento(s) e o início de operação do CCO Backup, devem ser interrompidas todas as operações ferroviárias em curso, bem como paralizados todos os trens presentes na EFC.
3.3.3. Perda de Comunicação - Problemas com a Comunicação via Rádio
Se, por motivo de falha, interferência ou ausência de frequência (perda de sinal), for interrompida a comunicação via rádio dos controladores de tráfego com os trens existentes, deve ser acionada a equipe de manutenção para a transferência imediata da comunicação referente ao controle de tráfego para uma frequência alternativa.
Não sendo possível a transferência de frequência ou persistência do problema nos consoles de despacho do CCO, a equipe de manutenção deverá transferir a operação de controle de tráfego provisoriamente para as estações do centro de Controle de Manutenção.
Sendo a falha existente limitadora de todas as frequências de comunicação, deve ser interrompida a circulação de trens e prontamente acionado o processo de operação do CCO Backup.
3.3.4. Perda de Comunicação - Problemas de Sinalização e Automação
O sistema de sinalização e automação da operação ferroviária na EFC é composto por três modelos de comunicação. A primeira instância de comunicação é de fibra ótica subterrânea disposta ao longo de toda a extensão da ferrovia. A segunda é uma rede de dados e voz fornecida por uma operadora de telecomunicações (dados e voz) que abrange uma área de aproximadamente 520 km (locação 01 à locação 33) ou dos municípios de São Luís à Açailândia. E a terceira é uma rede de rádio digital via satélite que abrange toda a ferrovia porém dividida em três área diferentes: uma que vai da locação 01 à locação 33 (São Luís à Açailândia), outra que vai da locação 33 à locação 48 (Açailândia à Marabá) e outra que vai da locação 48 à locação 58 (Marabá à Carajás).
Assim, é estabelecida, no mínimo, uma redundância de comunicação desse sistema na EFC (locação 33 a 58), sendo duas redundâncias no trecho entre São Luís e Açailândia (locação 01 a 33).
Em caso de um ponto de rompimento na fibra ótica no trecho da locação 01 a 33, automaticamente a comunicação é restabelecida através da rede de dados e voz, não havendo impacto à circulação de trens. Caso o rompimento seja no trecho da locação 33 a 58, a comunicação também é restaurada de forma automática pela rede via satélite. Em situação de falhas simultâneas nas redes de fibra ótica e dados/voz (trecho da locação 1 a 33), é acionada a rede satelital.
Em caso de rompimento de dois ou mais pontos de fibra ótica, mesmo com os sistemas de redundância existentes, perde-se comunicação com o trecho entre os dois pontos de rompimento. Nesse caso, deve ser acionado a área de manutenção em Sinalização e Telecomunicações para deslocar-se imediatamente ao local. Neste cenário, a circulação de trens pode ser mantida, porém a operação dos veículos ferroviários deve ser realizada em caráter restrito (velocidade reduzida) e o chaveamento da linha férrea deve ser realizado por equipes de manutenção ou operação, através dos equipamentos de automação local ou de maneira manual.
Em ocasião de falhas simultâneas de todos os sistemas de sinalização, devem ser acionadas todas as equipes de manutenção disponíveis e deslocá-las para os pontos de maior tráfego
ferroviário em acordo com o CCO. Nessa situação, toda a circulação de trens deve ser realizada em caráter restrito, com o controle de tráfego sendo realizado via rádio e com o chaveamento sendo realizado nas próprias locações, de forma manual ou com os equipamentos de automação local.
3.3.5. Perda de Comunicação - Problemas de Sistema
Para o tratamento de perda de comunicação relacionada a problemas de sistemas vislumbrou-se a necessidade de priorizar quais sistemas deveriam ser contemplados no plano. A ferramenta utilizada foi uma matriz de criticidade elaborada e discutida por diferentes área de operação, manutenção e engenharia. Nessa matriz, foram considerados os fatores de Severidade (nível de importância) e Frequência (volume de utilização), chegando, assim, em uma classificação dos sistemas críticos:
Sistema de Gestão Ferroviária – SGF; Sistema Unificado da Logística – UNILOG; WAYSIDE
Fig. 6 Matriz de priorização e criticidade de sistemas
3.3.6. Sistema de Gestão Ferroviária (SGF) Em caso de problemas de sistema (software), no caso do CCO, problemas com o sistema SGF que limitem parcialmente ou totalmente a operação de controle de tráfego, deve ser acionada a equipe de manutenção e imediatamente interrompida momentaneamente a circulação de trens. Se o problema identificado não for classificado como “severo”, deve-se aguardar o restabelecimento do sistema por até três horas. Paralelamente, o CCO deverá iniciar o processo de mapeamento de todos os trens existentes na ferrovia através da comunicação via rádio. Esse mapeamento completo deverá ser realizado também dentro do intervalo de três horas.
Se não for possível restabelecer o sistema ou o problema identificado for classificado como “severo”, a empresa responsável pela
manutenção do sistema SGF deve ser acionada, sendo o tratamento do problema realizado em conjunto (equipe de manutenção própria e fornecedor). Com a circulação de trens ainda interrompida, deve ser avaliada a ativação do CCO Backup.
Caso a falha identificada também atinja o CCO Backup, deve ser iniciado o processo de ativação da Operação Degradada em Controle Local ao longo da EFC.
3.3.7. Sistema Unificado Da Logística (UNILOG)
O sistema UNILOG é responsável por fornecer e gerenciar praticamente todos os indicadores ferroviários da EFC. Mais que isso, é também utilizado pela operação/manutenção para inserir/cadastrar todas as informações sobre trens e ativos existentes. Ou seja, informações sobre locomotivas, vagões, plano de circulação de trem, data de liberação de trem etc.
Qualquer problema identificado pela equipe de manutenção ou operação, que afete parcialmente ou totalmente a operação ferroviária, deverá ser reportado imediatamente ao colaborador normativo do sistema. Após avaliação do problema, deve ser acionada a empresa de manutenção do sistema.
Paralelamente, enquanto não é restabelecido o sistema UNILOG, a operação ferroviária e a circulação de trens deverão continuar normalmente. A movimentação dos trens deve ser acompanhada via gráfico de trens e SGF. No entanto, o controle de informações de composição e formação dos trens em circulação deverá ser feito através de fichas de trem impressas. Tais fichas devem ser solicitadas pelo CCO às operações de campo responsáveis pela formação de cada trem. 3.3.8. Wayside
Este é um sistema integrado por um conjunto de instrumentos que possibilitam controlar e gerenciar os fatores influentes no desempenho e vida útil de rodas e trilhos.
As informações coletadas pelo Wayside são utilizadas para priorizar e para determinar a parada/retenção de vagões por problemas de manutenção. Seu papel preventivo contribui de forma significativa para as reduções de degradação da via e de seus custos de manutenção, além de obviamente contribuir na
mitigação de possíveis acidentes envolvendo materiais rodantes.
Em função de evento, catastrófico ou não, em que não for possível estabelecer comunicação com o sistema Wayside, deve-se acionar a equipe de manutenção responsável pelo sistema para que o banco de dados com os parâmetros e registros coletados em campo seja enviado para às área de confiabilidade e planejamento de manutenção de rodantes. Em caso de danificação dos componentes de campo do sistema, deve-se acionar às equipes de manutenção em Sinalização e Telecomunicações, bem como de Material Rodante para que se desloquem a campo a fim de recuperar o sistema.
3.3.9. Catástrofes
Se houver qualquer sinistro, catástrofes como incêndios, enchentes, furacões etc., que cause danos ao prédio do CCO impossibilitando totalmente a operação de controle de tráfego, deverá ser imediatamente iniciado o processo de ativação do CCO Backup. Caso o CCO Backup também tenha sido afetado pelo sinistro em questão, deve-se iniciar imediatemente o plano de Operação Degradada em Controle Local.
3.3.10. Plano de Operação Degradada em Controle Local (Sinistros severos) Em casos de sinistros severos ou simultaneidade de cenários de degradação envolvendo situações descritas anteriormente, sendo afetado o sistema de despacho central de trens composto pelo SGF e pelos consoles de controle de tráfego tanto do CCO Principal quanto do CCO Backup, deve ser iniciado o Plano de Operação Degradada.
Nessas ocasiões, o recurso a ser utilizado para o controle parcial da EFC será o sistema de rádio (VHF) localizado em 24 bases de comunicação que existem ao longo da estrada de ferro.
No início da Operação Degradada, os consoles de operação instalados nos pátios das locações 33 e 48, por estarem em pontos de conexão da EFC com pátios ferroviários e também por estarem próximos a sedes da empresa (Açailândia e Marabá), serão os primeiros a serem mobilizados e operados. Deste modo, os controladores dos pátios citados devem ser deslocados para as bases a fim de realizarem o controle parcial do tráfego.
Em seguida, os próximos consoles a serem mobilizados são os localizados nas locações 04, 09, 14, 24, 42, e 56, pois estão em pontos estratégicos da EFC – mais fácil acesso às equipes de operação/manutenção – e distribuídos de forma a maximizar o controle de tráfego já que cada base de comunicação tem a capacidade para cobrir aproximadamente um raio de 30 km de distância.
Fig. 7 Diagrama das Bases de Comunicação (locação 01 a 27)
Fig. 8 Diagrama das Bases de Comunicação (locação 28 a 58)
Nas locações onde não houver cobertura, o controle de tráfego será realizado como sendo trecho singelo, isto é, será autorizada a circulação de apenas um trem por vez.
Com o quadro efetivo de 26 empregados do Centro de Controle Operacional contando com controladores e inspetores teríamos oito equipes de três empregados trabalhando em turno emergencial de 12 por 24 horas.
3.3.11. Plano de Ativação do CCO Backup O PCO do CCO tem como principal objetivo prover recursos tecnológicos necessários para no caso de sinistro em suas instalações principais, os impactos no licenciamento de veículos ferroviários ao longo da EFC sejam minimizados.
Caso ocorra indisponibilidade no sistema de gestão e controle do CCO, seja ela parcial ou total, e que impossibilite a continuidade da operação de trens, a equipe de manutenção em Sinalização e Telecomunicações deve ser acionada imediatamente.
Para determinar como o plano deve ser executado após o pedido de ativação, é essencial avaliar a natureza e a extensão do dano ao sistema. Esta avaliação deve ser finalizada tão rápido quanto as condições permitirem. A equipe de manutenção corretiva deve ser a primeira equipe a ser notificada do incidente. Esta equipe deverá realizar
avaliação, que deve contemplar os seguintes requisitos:
Área afetada pela emergência;
Estado da infraestrutura física (Integridade estrutural da sala de painéis, condição de fornecimento de energia elétrica, rede de comunicação e sistema de refrigeração); Uma vez que o impacto no sistema tenha sido determinado, a equipe de avaliação deverá reportar a informação atualizada para os líderes das áreas que compartilham a gestão deste plano.
O plano de contingência deverá ser ativado apenas quando a avaliação do dano indicar que pelo menos um critério de ativação tenha sido atingido.
Infraestrutura predial do CCO danificada; Previsão de reestabelecimento do sistema
principal maior que seis horas;
O próximo passo em direção à continuidade operacional é transferir as operações do CCO Principal para o Backup através da ativação dos servidores (redundantes) localizados fisicamente no prédio Backup.
O sequenciamento de atividades deve refletir o tempo estimado de retorno da operacionalidade no CCO Backup de forma a evitar impactos significativos à operação conforme o plano. Na sequência, são apresentadas as atividades necessárias para sua execução.
Mobilizar a equipe de manutenção e recursos para ativação do CCO Backup; Monitorar o deslocamento da equipe de
contingência até o ponto de encontro (CCO Backup);
Ativar Sistema de Telecomunicação; Iniciar o SGF;
Verificar se todos os serviços estão ativos com operação assistida;
Realização de teste de rotas do sistema SGF;
Entrega do CCO Backup ao CCO; 4. REFERÊNCIAS
[1] Schmidt, Klaus, High Availability and
Disaster Recovery: Concepts, Design, Implementation, Frankfurt: Springer, 2006.
[2] P. Badcock, Access to terminals remains a
concern for open-access freight,
