Cap 2.2 Sistemas de Seguridades (Parte 2)

26 Noviembre 2009

 

2.2.4   Selección de la TECNOLOGIA

 

¿Neumática, Relés, Estado Sólido, PLC's?

 

 

Cada una tiene ventajas e inconvenientes.

 

Depende de muchos factores: presupuesto, tamaño, nivel de riesgo, flexibilidad, mantenimiento, requerimientos de interfase y comunicaciones, seguridad, etc.

 

Los sistemas neumáticos pueden ser más convenientes para pequeñas aplicaciones donde interese la simplicidad, seguridad intrínseca y la ausencia de tensiones eléctricas.

 

Los relés son simples, son relativamente baratos, inmunes a la mayoría de ruidos electromagnéticos y pueden utilizarse para muy diversos rangos de tensiones. No incorporan generalmente ningún tipo de interfase o comunicación. Los cambios en la lógica pueden ser complejos. En general, los sistemas de relés se utilizan para aplicaciones relativamente pequeñas.

 

Los sistemas de estado sólido no utilizan software. Muchos de ellos fueron diseñados específicamente para aplicaciones de seguridad e incluyen posibilidades de prueba, by-passes y comunicaciones. Los cambios en la lógica pueden ser complejos. Estos sistemas pierden adeptos cada día debido a su limitada flexibilidad, alto coste y a la aceptación generalizada de los sistemas basados en software.

 

Los sistemas basados en PLC´s ofrecen muchas ventajas:

 

Bajo coste, facilidad de realizar cambios, capacidad de comunicación y de interfases, gráficos para el operador, autodocumentación, etc.... y ¿autodiagnósticos?

 

La mayoría de PLC's no han sido diseñados con la suficiente capacidad de autodiagnóstico y no se recomiendan para aplicaciones de seguridad SIL2 o SIL3 La ausencia de autodiagnósticos es el punto débil de la mayoría de PLC's en aplicaciones de seguridad.

 

¿Cómo conseguir Seguridad + Disponibilidad al mismo tiempo?

Figura 2-13. Seguridad  Disponibilidad

Figura 2-13. Seguridad  Disponibilidad

 

En los años 70 se intentó elevar el nivel de seguridad utilizando salidas en serie de PLC's de propósito general.

 

Figura 2-14. PLC's en serie

 

Figura 2-14. PLC's en serie

 

En los años 80 se intentó aumentar el grado de disponibilidad utilizando salidas en paralelo de PLC's de propósito general.

 

Figura 2-15. PLC's en paralelo

Figura 2-15. PLC's en paralelo

 

Posteriormente, a mediados de los 80, apareció el principio de voto mayoritario con lógica 2 de 3.

Figura 2-16. Lógica 2 de 3

Figura 2-16. Lógica 2 de 3


Figura 2-17. Lógica 2 de 3

Figura 2-17. Lógica 2 de 3


Otra arquitectura también muy utilizada e incluso recogida en algunos Estándares es la mostrada en la Figura 2-18.

Figura 2-18. Sistema Redundante de Relés

Figura 2-18. Sistema Redundante de Relés


¿ Qué mejoras introduce el PLC de seguridad?


Analicemos por ejemplo, paso a paso, la electrónica utilizada en una salida digital. Partimos del circuito más simple, con un solo transistor de salida:


Figura 2-19. Salida digital

Figura 2-19. Salida digital


 

Si se cortocircuita el transistor estaremos ante un fallo peligroso no detectado (FTD=Fail To Danger).


Para al menos detectarlo, introducimos una realimentación de la salida y una rutina de diagnóstico de micropulsos de prueba:

 

Figura 2-20. Salida digital

Figura 2-20. Salida digital


Para actuar sobre la salida en caso de fallo utilizamos un segundo transistor en serie.


Figura 2-21. Salida digital

Figura 2-21. Salida digital

 

Realimentamos también el segundo transistor y además lo enclavamos con el circuito watchdog:


Figura 2-22. Salida digital

Figura 2-22. Salida digital

 

Hasta ahora hemos conseguido un circuito de salida seguro ("fail-safe"), tolerante a fallo para Seguridad pero no para Disponibilidad.


Figura 2-23. Seguridad - Disponibilidad

Figura 2-23. Seguridad - Disponibilidad

 

Si redundamos el circuito tendremos las dos cosas:

 

Figura 2-24. Salida digital redundante

 

Figura 2-24. Salida digital redundante

 

Existen muchas diferencias entre un PLC estándar, de propósito general, y un PLC de seguridad. A continuación se indican las más importantes:

 

 

PLC fail-safe

  • Cumple estrictamente las Normas de diseño de Sistemas de Seguridad tales como la IEC61508, FPA, FM
  • Certificado por organismos competentes de prestigio como TÜV
  • Incorporan rutinas de autodiagnóstico de todo el hardware y software que detectan cualquier fallo interno peligroso (>99%)
  • El fallo a situación segura está garantizado si falla cualquier componente interno
  • Las modificaciones se autodocumentan automáticamente por lo que se minimizan los errores
PLC estándar


  • No cumple ninguna Norma de Seguridad
  • La ausencia de autodiagnósticos requiere una labor extra de pruebas frecuentes de mantenimiento que algunas veces exige la parada del sistema
  • Los fallos peligrosos "escondidos" no se detectan por lo que se pueden producir situaciones peligrosas. No son seguros ante fallo.
  • Ejemplos de fallos peligrosos no detectados: cortocircuito de la salida, pérdida o corrupción de memoria o de transferencia de datos en el bus interno, bloqueo de I/O a estado "1" o "0", fallos en la CPU, etc.

 

2.2.5 Dispositivos de campo

 

El nuevo Estándar IEC-61508 introduce el concepto de SIS (Safety Instrumented System). El SIS no es solamente el PLC, sino también los dispositivos de campo, la corriente eléctrica, etc.

 

Si atendiéramos a la probabilidad de fallo de cada parte del SIS deberíamos cuidar mucho más el diseño de la parte de campo que la del propio PLC.

 

Figura 2-25. Concepto SIS

 

Figura 2-25. Concepto SIS

La Figura 2-26 se refiere solamente a los fallos del hardware sin tener en cuenta otros factores externos como el mantenimiento incorrecto o insuficiente, errores de calibración y la formación.
Figura 2-26. Fallos hardware
Figura 2-26. Fallos hardware

También   con   los   dispositivos   de   campo   se   deben   hacer   una   serie   de consideraciones:

  • Fallos peligrosos (FTD) y fallos molestos (FTN)
  • Selección correcta para cada aplicación
  • Tendencia al uso de transmisores “smart” (más diagnósticos)

Redundancia:

  • La probabilidad de fallo simultáneo en dos sensores es remota, excepto en los fallos por causas comunes (temperatura, vibraciones, montaje, alimentaciones, cableado, errores humanos)
  • La influencia de las causas comunes internas disminuye cuanto mayor es el nivel de redundancia.
  • Efectiva contra fallos aleatorios pero no contra errores de diseño o sistemáticos.
  • Lógica sensores: 1oo1,1oo1D,1oo2,1oo2D,2oo3.
  • Lógica elementos finales: 1oo1,1oo2,2oo2.


2.2.5.1   Requerimientos de diseño:

Los siguientes puntos deben tenerse en cuenta en el diseño de los dispositivos de campo de cualquier sistema de seguridades:
  • Independientes de los del Sistema de Control.
  • Fail-safe: la pérdida de energía provoca el disparo.
  • Sensores: cableados directamente al PLC, transmisores smart, alarmas de discrepancia si hay redundancia, rangos apropiados.
  • Elementos finales: posición en caso de fallo de aire o energía eléctrica, finales de carrera, rapidez de respuesta, ambiente agresivo, etc.).
  • Cableado: inducciones, tierras, cajas y multicables separados, cables sin comunes, fusibles.
2.2.6    Hardware del Sistema

Los siguientes puntos deben tenerse en cuenta en el diseño del hardware de cualquier sistema de seguridades:
  • Desenergizar para disparar.
  • Rutinas de diagnósticos por el carácter pasivo del SIS.
  • Minimizar los fallos por causas comunes.
  • Protección   contra    agentes   externos:    tª,    humedad,    ruido    eléctrico, vibraciones, etc.
  • Alimentación eléctrica: limpia, protegida y estabilizada.
  • Tierras adecuadas.
  • Relés: para máxima y mínima carga.
  • Bypasses con alarma individual.
  • Procedimiento completo de pruebas.
2.2.7    Software del Sistema

Los siguientes puntos deben tenerse en cuenta en el diseño del software de cualquier sistema de seguridades:
  • Estructurado y con método.
  • Comentado con la máxima claridad.
  • La funcionalidad debe probarse a fondo mediante un procedimiento y el uso de simuladores.
  • Prevenir los accesos no autorizados.
  • No realizar cambios “on-line”.
  • Cualquier cambio en planta debe probarse a fondo y documentarse.
2.2.8    Mantenimiento del Sistema

Los siguientes puntos deben tenerse en cuenta en el mantenimiento de cualquier sistema de seguridades:
  • Por personal bien entrenado.
  • Pruebas periódicas para verificar la integridad del SIS incluyendo el PLC y campo.
  • La   capacidad   de   autodiagnósticos   del   PLC   influye   mucho   sobre   la periodicidad.
  • Cualquier cambio debe probarse a fondo y documentarse.
2.2.9    Requerimientos de diseño de la NFPA

El Estándar NFPA es posiblemente el más utilizado y aceptado en todo el mundo. Se trata de una Norma de carácter general donde se dan una serie de recomendaciones tanto desde el punto de vista del proceso como del sistema de seguridades utilizado. Muchas de estas recomendaciones son de obligado cumplimiento, otras son solo recomendables y otras se dejan en manos del fabricante o diseñador. Algunas veces las recomendaciones son interpretables de formas distintas según el punto de vista y los intereses del que lo hace.
Desde el punto de vista del "Sistema lógico" existen algunas recomendaciones que se indican en el apartado 2.3.1.
2.2.10 Conclusiones prácticas

Sacar conclusiones de todo lo anterior es realmente difícil. Sin embargo lo hemos intentado por medio de la Figura 2-27, en la parte relativa al diseño de PLC (hardware + software).
Figura 2-27. Sistema BPS-BMS
Figura 2-27. Sistema BPS-BMS



2.2.11 Detectores de llama

Dentro de los dispositivos de campo, los detectores de llama son seguramente unos de los más importantes en un Sistema de Seguridades de Caldera. Por ello y por el desconocimiento que existe en muchos técnicos hemos querido hablar algo de ellos en este curso.
En la parte superior de la Figura 2-28 se muestran las curvas de Foto-sensibilidad vs. longitud de onda, de los sensores más habitualmente utilizados.
La curva S1 es la del sensor del detector ultravioleta (UV) y la curva S3 la del sensor de sulfito de plomo del detector de infrarrojos (IR).
En la parte central inferior de las gráficas (de 400 a 800nm.) se muestra la zona de radiación visible por el ojo humano.
En la parte inferior de la Figura 2-28 se muestran las curvas de Energía-emitida vs. longitud de onda, de las llamas de los combustibles más habituales.
La F1 corresponde a la llama de fuel-oil. Se observa que emite radiación UV y mucha IR.
La F2 corresponde a la llama de carbón pulverizado. Se observa que emite poca radiación UV y mucha IR.
La F3 corresponde a la llama de gas. Se observa que emite mucha radiación UV y mucha IR.
La F4 corresponde a la radiación emitida por la pared caliente de la caldera. Se observa que sólo emite radiación IR
Figura 2-28. Curvas detectores
Figura 2-28. Curvas detectores

De la observación de estas curvas se pueden sacar algunas conclusiones.

En primer lugar parece claro que para el gas debemos utilizar el detector UV y para el carbón pulverizado el detector IR/Flicker. La llama de gas emite también mucha radiación IR pero de una frecuencia similar a la de la pared caliente de la caldera.

El efecto Flicker es el de pulsación de la llama. La frecuencia de pulsación es distinta según sea el combustible, la zona de la llama y las condiciones de la combustión. Por ello es muy importante que el amplificador de llama incorpore filtros de frecuencia que puedan discriminar unas frecuencias de otras.

En segundo lugar debemos tener cuidado con las radiaciones de baja frecuencia de la pared caliente pues pueden producir señales falsas de llama si no las filtramos. Cuando utilizamos la zona IR debemos, casi siempre, evitar las bajas frecuencias.

En la Figura 2-29 se muestra un resumen muy general de las ventajas y desventajas de cada tipo de detector.

Figura 2-29. Detectores UV/IR

Figura 2-29. Detectores UV/IR
En la Figura 2-30 se muestran algunas curvas típicas de llamas de fuel-oil y carbón pulverizado.

Obsérvese que puede ocurrir (ver gráfico inferior derecho) que en algunas frecuencias (las bajas) las intensidades con el quemador apagado sean superiores a las del quemador encendido.

Figura 2-30. Curvas llama típicas
Figura 2-30. Curvas llama típicas

2.2.12 Terminología de seguridad

  • MTTF              Mean Time To Failure
  • PFD                  Probability of Failure on Demand
  • SIS                   Safety Instrumented System
  • SIL                   Safety Integrity Level
  • FMEA              Failure Modes and Effects Analysis
  • FTA                  Fault Tree Analysis
  • HAZOPS          Hazard and Operational Analysis
  • MTTR             Mean Time to Repair
  • MTBF              Mean Time Between Failures
  • FIT                   Failures per billion (109) hours
  • RRF                 Risk Reduction Factor
  • MTTFD           Mean Time To Fail Dangerously
  • PFS                   Probability of Failing Safely
  • MTTFS            Mean Time To Fail Safely
  • FMEDA           Failure Modes, Effects and Diagnostic Analysis
  • FTD                  Fail To Danger
  • FTN                  Fail To Nuisance

 

José Carlos Villajulca

Soy un apasionado Ingeniero Electrónico especializado en Control, Automatizacion e Instrumentacion Industrial. Experimentado en el desarrollo, ejecución y gestión de proyectos asi como en la Operacion de sistemas automaticos.

Cualquier consulta hacerla en el Grupo de Facebook https://www.facebook.com/instrumentacionycontrol.net/ (unico medio para consultas)

Sitio Web: https://www.linkedin.com/in/josevillajulca/ Email Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.