Componentes en un sistema SCADA

 

A)  LA ESTACIÓN MAESTRA O MASTER

 

Recibe datos de las condiciones de los equipos en campo que es enviada por las estaciones remotas (RTU). Procesa la información y envía comandos a las estaciones remotas para mantener las variables de los procesos dentro de los parámetros establecidos.

 

La estación maestra dependiendo del tipo de sistema a Scada a implementar puede ser una PC con un software de supervisión y control. En muchos casos se opta por trabajar con un PLC con capacidad de comunicación que realizaría la tarea de leer la información de las unidades remotas.

 

Fig. 3 - Estacion Maestra o Master

Fig. 3 - Estacion Maestra o Master

 

B) LAS UNIDADES REMOTAS O RTU
 
Controlan todas las señales de entrada y salida del campo como válvulas, equipos de medición, motores, etc. Monitorean las condiciones de los dispositivos de campo y almacenan los estados de las alarmas. Envían los estados y alarmas de los equipos en campo y reciben comandos de la estación maestra.
 
Fig. 4 La estación maestra interroga a las RTU por medio de un proceso de encuesta o Polling
Fig. 4 La estación maestra interroga a las RTU por medio de un proceso de encuesta o Polling
 
 
Algunos  autores clasifican  a   las  RTU  es  unidades tontas y  unidades inteligentes. A los inicios de los sistemas Scada era común instalar unidades tontas que sólo se encargaban de enviar información a la estación maestra y esta estación tomaba la decisión y se la transmitía al RTU.
 
En la actualidad las RTU tontas han sido reemplazados por los RTU inteligentes que básicamente son pequeños PLC's que tienen capacidad de comunicaciones y se encargan de hacer un control de procesos en forma local y posteriormente la estación maestra se informa de la acción tomada por la RTU a fin de actualizar su registro de los datos.
 
Otros autores clasifican a las RTU dependiendo del número de señales de entrada salida que maneja cada equipo. Se considera a un RTU con menos de 100 señales de I/O como pequeñas, hasta 500 I/O como medianas y mayores a 500 I/O como grandes.
 
 
C)  RED DE TELEMETRÍA
 
Permite establecer el intercambio de información entre la estación maestra y las unidades remotas. Cuando hablamos de telemetría nos referimos básicamente a tres componentes:
 
• La topología usada : Corresponde al arreglo geométrico de los nodos. Entre los principales se tiene el punto a punto, punto a multipunto, etc.
 
• Modo de transmisión : Es la forma como viaja la información entre los distintos nodos de la red. Se puede tener dos modos principales: Full Duplex y Half Duplex.
 
• El medio utilizado : Corresponde al tipo de medio utilizado para enviar y recibir la información. Puede ser una línea física dedicada, a través del medio atmosférico, a través de las líneas de alta tensión, etc.
 
Fig. 5 - Red de Telemetria
Fig. 5 - Red de Telemetria
 
 
D) LA ESTACIÓN DE SUPERVISIÓN
 
Permite la visualización gráfica del estado del proceso, es decir proporciona al operador las funciones de control y supervisión de la planta. El proceso se representa mediante sinópticos almacenados en el ordenador de proceso y generados desde el editor incorporado en el SCADA o importados desde otra aplicación durante la configuración del paquete.
 
Fig. 6 - Estacion de Supervision
Fig. 6 - Estacion de Supervision
Algunos softwares de supervisión:
 
• RSView32, de Rockwell Software.
• InTouch, de Wonderware.
• WinCC, de Siemens.
• Coros LS-B/Win, de Siemens.
• SYSMAC SCS, de Omron.
• FIXDMACS, de Omron-Intellution.
 
 
Un software de supervisión SCADA debe estar en disposición de ofrecer las siguientes prestaciones:
 
• Posibilidad de crear paneles de alarma, que exigen la presencia del operador para reconocer una parada o situación de alarma, con registro de incidencias.
• Generación de históricos de señal de planta, que pueden ser volcados para su proceso sobre una hoja de cálculo.
• Ejecución de programas que modifican la ley de control o incluso, el programa total sobre el autómata, bajo ciertas condiciones.
• Posibilidad de programación numérica, que permite realizar cálculos aritméticos de elevada resolución sobre la CPU del ordenador y no sobre la del autómata, menos especializado, etc.

 

3.2.1    Control de presión del fuel oil

 

Objetivo

El objetivo de este lazo es mantener la presión del suministro de fuel oil en su valor adecuado. El mantener la presión correcta en el suministro del fuel oil será un elemento necesario para poder realizar un control de caudal, de acuerdo con la demanda de carga, satisfactorio.

La fabricación de imanes artificiales por medio del paso de corriente eléctrica a través del arrollamiento de bobinas de alambre de cobre sobre un núcleo de metal permeable al flujo magnético, es la base fundamental que ha permitido el desarrollo de los motores eléctricos.

Que es SCADA?

 

SCADA son las siglas de Supervisión Control y Adquisición de Datos. También algunos autores lo definen como la tecnología que habilita la colección de datos de locaciones remotas, así como el envío de información a estas locaciones.

El sistema de control de una caldera es la herramienta mediante la cual se consiguen los equilibrios de masa y de energía de la misma ante las variaciones en la demanda de los consumidores.

 

Los requisitos de diseño y funcionales del sistema de seguridades en una caldera de recuperación son análogos a los comentados para una caldera industrial. Incluso la mayoría de las secuencias descritas para ellas serán válidas en este caso también.

2.3.1   Requisitos de diseño

Los siguientes requisitos de diseño están extraídos de los requerimientos exigidos por la NFPA 8502.

 

El BMS se diseñará de forma que un fallo individual en el sistema no impida la ejecución de un disparo. Se deberán generar las alarmas necesarias para indicar mal funcionamiento del equipo, condiciones de riesgo o mala operación. El primer objetivo es el de alarmar condiciones que supongan una amenaza de peligros próximos o inmediatos.

 

El diseñador del sistema deberá evaluar como mínimo los siguientes modos de fallos de los componentes:

 

a) Interrupciones, excursiones, restablecimiento, caídas, transitorios y pérdidas parciales de tensión.

b) Corrupción y pérdida de memoria.

c) Corrupción y pérdida de transferencia de información.

d) Fallo a energizado o desenergizado de las entradas y salidas.

e) Señales no legibles o no leídas.

f) Fallo en la detección de errores.

g) Fallos de procesador.

h) Fallos en las bobinas de los relés.

i)  Fallos a abrir o cerrar en los contactos de los relés.

j)  Fallos en los temporizadores.

 

Se deberán incluir diagnósticos para vigilar el funcionamiento del procesador.

 

Los fallos del sistema lógico no impedirán la intervención propia del operador.

 

La lógica estará protegida contra cambios no autorizados.

 

La lógica no se cambiará con el equipo asociado en operación.

 

El tiempo de respuesta del sistema será suficientemente corto como para prevenir efectos negativos sobre la aplicación.

 

 

Deberá tener una protección adecuada al ruido para prevenir falsas maniobras.

 

El operador siempre estará provisto de un pulsador manual dedicado que actúe sobre el relé MFT independiente y directamente.

 

El sistema BMS no será combinado con ningún otro sistema lógico.

 

El BMS incluirá como mínimo, aunque no estará limitado, las siguientes funciones de seguridad: enclavamientos y temporizado de la purga, disparos de seguridad obligatorios, tiempo de encendidos y vigilancia de la llama.

 

El BMS estará limitado a una sola caldera.

 

El BMS estará provisto de lógica independiente, entradas y salidas independientes, fuentes de alimentación independientes, y estará física y funcionalmente separado de otros sistemas lógicos.

 

Se permite el uso de comunicaciones software con otros sistemas. Las señales que inicien disparos deberán ser cableadas.

 

Las secuencias y equipos que causen un disparo, una vez iniciado éste, requerirán la acción del operador para restablecer la operación del equipo disparado. No se permitirá que ninguna secuencia lógica o equipo cierre momentáneamente y reabra inadvertidamente las válvulas de combustible.

 

2.3.2   Requisitos funcionales

 

La función del sistema de seguridades de caldera y manejo de quemadores es la de vigilar la caldera y poner o quitar de servicio de una forma segura los quemadores.

 

De acuerdo con todas las señales procedentes de la instrumentación de campo (transmisores de presión, temperatura, nivel, finales de carrera, etc.) y, si es el caso, de las procedentes de otros sistemas o equipos auxiliares, el BMS se encargará de ejecutar las acciones necesarias (cierre de válvulas de combustible, etc.) para evitar sobrepasar los límites de funcionamiento considerados aceptables para la caldera o el proceso, llevando a la caldera a una situación de seguridad desde la cual se podrá reiniciar su puesta en servicio.

 

Además de la vigilancia continua del estado general de la caldera, el BMS se encargará de ejecutar, de una forma segura, todas las secuencias de encendido y apagado de los quemadores e ignitores.

 

De forma general, se podrían distinguir las siguientes secuencias:

 

Disparos de Caldera. Cualquier situación de riesgo para la caldera o el proceso provocará un disparo de la misma. Dicho disparo provocará el cierre de todas las válvulas de corte de combustible, así como la desenergización del relé MFT.

 

 

Barrido o Purga de Caldera. Después de cualquier disparo de caldera se debe realizar un barrido del hogar y de todos sus conductos asociados, con el objetivo de evitar que una posible atmósfera rica en combustible, debida a pequeñas fugas o a inquemados, pueda causar una explosión en el caso de un encendido.

 

-  Rearme de Caldera. Una vez que el barrido ha sido finalizado y no hay ninguna condición de disparo, se ha de rearmar el relé MFT. Esta acción produce el reset de todas las memorias de disparo, tanto a nivel software (PLC) como hardware (relé MFT), lo que permitirá el encendido del quemador. El relé MFT es un relé de seguridad que es manejado por el PLC además de ser desenergizado directamente por los pulsadores de disparo de emergencia. La tensión a todas las válvulas de corte combustible se establece a través de sus contactos de forma que si el relé MFT está desenergizado no es posible la apertura de dichas válvulas.

 

-  Encendido y apagado de los quemadores e ignitores. Estas secuencias se encargarán de la puesta en servicio de los quemadores, asegurando que todos los permisivos necesarios para ello se van cumpliendo adecuadamente. Asimismo, se encargará de la vigilancia permanente del estado de los quemadores, de forma que provocará el disparo de los mismos ante una anomalía en las señales de proceso (pérdida de llama, alta/baja presión de combustible etc.), cortando inmediatamente la aportación de combustible al hogar.

 

 

2.3.3    Barrido de caldera

 

Después de cada disparo de caldera se debe utilizar el barrido con el VTF para remover del hogar cualquier resto de combustible gaseoso o suspendido y reemplazarlo por aire.

 

2.3.3.1   Permisivos

El operador comprobará que se satisfacen todos los permisivos de arranque del VTF y lo arrancará. Para poder realizar el barrido de caldera se deberán cumplir las siguientes condiciones:

 

a)  Caldera disparada.

b)  Caudal aire combustión no bajo/bajo.

c)  Todas las válvulas de corte de combustible cerradas.

d)  VTF en marcha.

e)  Presión hogar no alta/alta.

f)   No disparo de emergencia.

g) Alabes VTF no forzados a posición completamente abierta (tiro natural).

 

h) No bloqueo de álabes del VTF. Situación que se produce ante un disparo de caldera debido a un muy bajo caudal de aire de combustión o a una muy baja relación combustible-aire.

i)  No llama detectada.

 

En este momento la indicación de iniciar barrido caldera se iluminará hasta que el operador presione el pulsador de inicio de barrido, iniciándose entonces la secuencia de barrido.

 

 

2.3.3.2   Secuencia automática

 

Una vez presionado el pulsador de inicio del barrido, se dará orden de situar los álabes del VTF en posición de barrido.

 

Para que la secuencia de barrido se lleve a cabo con éxito, se deben cumplir las siguientes condiciones:

 

a)      Permisos de barrido satisfechos.

b)      Caudal de aire >= 25 % de plena carga.

c)      Registros de aire de los quemadores abiertos.

 

Si estas condiciones se cumplen, se iluminará la indicación de barrido de caldera en progreso durante un período de 300 seg. Si durante la secuencia automática se pierde algún permisivo, será necesario repetir la secuencia de barrido.

 

 

2.3.3.3   Rearme

 

Una vez finalizado el barrido de caldera y si no existe ninguna condición de disparo (ver 2.3.4) se iluminará la indicación de rearmar caldera y el operador deberá accionar el pulsador correspondiente con el objeto de rearmar el relé MFT y la lógica de disparo de caldera. Una vez rearmada la caldera la indicación de caldera disparada desaparece, quedando la caldera en disposición de encendido.

 

 

2.3.4   Disparos de caldera

 

2.3.4.1   General

 

Cualquier disparo de caldera provocará el cierre de todas las válvulas de corte de combustible así como la desenergización del relé MFT.

 

 

2.3.4.2   Disparos

 

Cualquiera de las siguientes causas provocará un disparo de caldera:

 

a) Relación aire/combustible muy bajo.

b) Nivel del calderín muy bajo.

c) Presión del vapor del calderín muy alta.

d) Presión del hogar muy alta.

e) Presión del aire de instrumentación muy baja.

f) Fallo de alimentación del sistema de control.

g) VTF no en marcha.

h) Caudal aire combustión muy bajo.

i)  Disparo de emergencia.

j)  Pérdida de todas las llamas.

k) Ultima válvula de combustible cerrada.

 

 

2.3.5   Ignitor

 

2.3.5.1   General

 

El ignitor se pondrá en servicio cuando sea requerido para el encendido del quemador al actuar sobre el pulsador de encendido del quemador, o cuando sea requerido para la purga del combustible líquido.

 

2.3.5.2   Permisivos de encendido

 

El ignitor podrá ser puesto en servicio si las siguientes condiciones están presentes:

 

a) No existen condiciones de disparo de emergencia del ignitor (ver 2.3.5.4).

b) Transcurrido el tiempo entre encendidos.

c) Todas las válvulas de combustible cerradas y no hay llama en caldera, o algún quemador está en servicio.

d) No hay llama de ignitor detectada o algún quemador está en servicio.

e)  No existen condiciones de disparo de caldera.

 

 

En este momento el ignitor quedará listo para encender desde la lógica de encendido del quemador.

 

2.3.5.3   Secuencia automática de encendido

 

La secuencia de encendido del ignitor será como sigue:

 

a) Los transformadores de ignición se energizarán durante 10 seg.

b) Las válvulas de corte del ignitor se energizarán durante 10 seg.

c) Si tras el fin de estos 10 seg. se recibe la señal de llama ignitor detectada, se activará la indicación de ignitor en servicio manteniéndose abiertas sus válvulas y retirando el transformador.

 

2.3.5.4   Apagado del ignitor

 

El ignitor se apagará cuando éste no sea requerido por el quemador ó cuando ocurra cualquiera de las siguientes condiciones de disparo de emergencia del ignitor:

 

a) Disparo de la caldera.

b) Fallo de llama del ignitor.

 

 

2.3.6   Quemador de gas

 

2.3.6.1   Permisivos de encendido

 

El operador podrá encender el quemador si los siguientes permisivos de encendido están satisfechos:

 

a) Llama de quemador no detectada e ignitor listo para encender, o el quemador está en servicio con combustible líquido.

b) No disparo de caldera.

c) Presión de suministro de gas natural no baja.

d) Válvulas de corte del quemador de gas natural cerradas.

e) Condiciones de disparo del quemador de gas natural no presentes (ver 2.3.6.3).

 

f) Ningún quemador se encuentra en secuencia de encendido.

g) Válvula de control de gas natural en posición de encendido.

 

En este momento la indicación quemador de gas natural listo se iluminará y el operador podrá encenderlo actuando sobre su correspondiente pulsador.

 

2.3.6.2   Secuencia automática de encendido

 

La secuencia automática de encendido del quemador con gas natural será como sigue:

 

a) El ignitor es puesto en servicio (si el quemador no está en servicio con combustible líquido) según se describe en 2.3.5.3.

b) Se da orden de abrir las válvulas de   corte y orden de cerrar la válvula de venteo de dicho quemador.

 

Si se reciben las señales de válvulas de corte de gas natural no cerradas y llama de quemador detectada, transcurridos 5 seg., se iluminará la indicación de quemador de gas natural en servicio.

 

c) Se da orden de apagar el ignitor (si está en servicio).

 

2.3.6.3   Apagado del quemador

 

El apagado del quemador de gas natural se provocará cuando el operador actúe sobre el correspondiente pulsador de apagado o por cualquiera de las siguientes condiciones de disparo, haciendo que sus válvulas de corte se cierren:

 

a) Disparo de caldera.

b) Muy baja presión de gas natural (3 seg. después de la apertura de las válvulas de corte de gas natural).

c) Muy alta presión de gas natural.

d) Condición de disparo gas natural (input excedido).

e) Fallo llama quemador gas natural.

f) Fallo de encendido del ignitor al ser requerido por la secuencia del quemador.

g) Fallo de válvulas de corte de gas natural.

 

 

 

2.3.7   Quemador de fuel oil

 

2.3.7.1   Permisivos de encendido

 

El operador podrá encender el quemador si los siguientes permisivos de encendido están satisfechos:

 

a) Llama de quemador no detectada e ignitor listo para encender, o el quemador está en servicio con gas natural.

b) No disparo de caldera.

c) Presión de suministro de vapor de atomización no baja.

d) Presión de suministro de combustible liquido no baja.

e) Válvulas de corte de combustible líquido cerradas.

f) Condiciones de disparo del quemador con combustible líquido no presentes (ver 2.3.7.3).

g) Ningún quemador se encuentra en secuencia de encendido.

h) Válvula de control de combustible líquido en posición de encendido.

 

En este momento la indicación quemador de combustible líquido listo se iluminará y el operador podrá encenderlo actuando sobre dicho pulsador.

 

2.3.7.2   Secuencia automática de encendido

 

La secuencia automática de encendido del quemador con combustible líquido será como sigue:

 

a) El ignitor es puesto en servicio (si el quemador no está en servicio con gas natural) según se describe en 2.3.5.3.

b) Se da orden de cierre a la válvula de recirculación y de apertura a las válvulas de corte de combustible líquido y del vapor de atomización de dicho quemador.

 

Si se reciben las señales de válvulas de corte de combustible liquido no cerradas, válvula de atomización abierta y llama de quemador detectada, transcurridos 5 sg., se iluminará la indicación de quemador de combustible líquido en servicio.

 

c) Se da orden de apagar el ignitor (si está en servicio).

 

 

2.3.7.3   Apagado del quemador

 

El apagado del quemador de combustible líquido se provocará cuando el operador actúe sobre el correspondiente pulsador de apagado o por cualquiera de las siguientes condiciones de disparo, haciendo que sus válvulas de corte se cierren:

 

a) Disparo de caldera.

b) Muy baja temperatura del combustible líquido.

c) Muy alta temperatura del combustible líquido.

d) Muy baja presión del combustible líquido.

e) Muy alta presión del combustible líquido.

f) Muy baja presión diferencial vapor atomización/ combustible líquido.

g) Condición de disparo combustible líquido (input excedido).

h) Lanza del quemador combustible líquido no acoplada.

i)  Fallo de llama de quemador combustible liquido.

j)  Fallo de encendido del ignitor al ser requerido por la secuencia del quemador.

k) Fallo de válvulas de corte de combustible líquido.

l)  Fallo de válvula de corte de vapor de atomización

 

2.3.7.4   Purga del combustible líquido

 

Cuando se produce un apagado o disparo del quemador de combustible líquido y una vez estén cerradas sus correspondientes válvulas de corte, se llevará a cabo una secuencia de purga para limpiar la caña del quemador. La secuencia automática que se genera es la siguiente:

 

a) Secuencia de encendido del ignitor (sólo si el quemador no tiene gas natural en servicio).

b) Se da orden de abrir la válvula de purga y vapor de atomización, iniciándose una temporización de 60 seg.

c) Pasado este tiempo, la secuencia de purga se considera finalizada y se da orden de cerrar a la válvula de purga y de vapor de atomización y de apagar el ignitor.

 

 

El proceso de purga de la caña del combustible líquido puede ser bloqueado por cualquiera de los siguientes motivos:

 

a) Disparo de caldera.

b) Fallo de válvulas de corte de combustible líquido.

c) Muy baja presión del vapor de atomización.

d) Lanza no acoplada.

e) La válvula de atomización no está abierta.

f) El ignitor no entra o no está en servicio cuando es requerido.

 

Si la secuencia de purga es bloqueada, el operador puede reiniciarla si todos los permisivos se cumplen a través del pulsador de apagar quemador de combustible líquido.

 

 

2.2.4   Selección de la TECNOLOGIA

 

¿Neumática, Relés, Estado Sólido, PLC's?

 

 

2.2.1    Introducción

 

¿Qué es un "Sistema de Seguridad"?

 

Los Sistemas de Seguridades están diseñados para proteger a las personas, equipos y entorno ante condiciones que puedan resultar peligrosas. En estos casos deben actuar inmediatamente llevando la planta o el equipo a una posición segura.

 

Con frecuencia el diseñador del Sistema de Seguridades cae en el error de no considerar al Sistema como algo "global". Se fija demasiado en una parte, por ejemplo el tipo de hardware a utilizar, y descuida otras partes creando lamentables cuellos de botella y puntos débiles.

 

Figura 2-3. Objetivos del Sistema de Seguridad

Figura 2-3. Objetivos del Sistema de Seguridad

 

 

El Comité Técnico de la IEC examinó 34 accidentes que fueron el resultado directo de fallos en los sistemas de control y seguridades en diferentes industrias.

 

El resultado es muy ilustrativo y se refleja en la Figura 2-4.

 

Figura 2-4. Causas de fallos

Figura 2-4. Causas de fallos

 

Es decir, casi la mitad de los errores fueron debidos a especificaciones incorrectas.

 

Como consecuencia de este estudio el Comité estableció unos requerimientos generales y estrategias para conseguir la seguridad funcional de los Sistemas de Seguridades.

 

Figura 2-5. Estrategias para la seguridad funcional

Figura 2-5. Estrategias para la seguridad funcional

 

 

Capacidad  de  las  personas: formación  adecuada,  buenos   conocimientos   y experiencia.

 

Gestión de Seguridad: la política de seguridad debe fijarse en un plan de seguridad que debe realizarse para cada proyecto.

 

Requerimientos técnicos: evaluación de riesgos, nivel de seguridad requerido (SIL), requerimientos del hardware y del software, documentación.

 

Estos requerimientos deben tenerse en cuenta en cada una de las 16 fases del llamado "Ciclo Global de Vida de Seguridad".

Figura 2-6. Ciclo Global de Vida de Seguridad

 

Figura 2-6. Ciclo Global de Vida de Seguridad (Click en la Imagen para agrandar)

 

 

El ciclo se inicia con el concepto definición (el escenario), continúa con el análisis de riesgos, realización, puesta en marcha, mantenimiento y finaliza con el fuera de servicio definitivo.

 

Cada periodo del ciclo de vida incluye:

■       Objetivos

■       Requerimientos

■       Campo de aplicación

■       Especificación

■       Resultados

 

La evaluación de la seguridad funcional debe ser realizada en todas las fases, especialmente en los casos de niveles más altos de seguridad, por expertos independientes (empleados, departamentos, organizaciones) con acceso a todo el personal, toda la documentación asociada y todos los equipos.

 

Dentro de la fase 9 del Ciclo existen dos conceptos claramente diferenciados: el hardware (parte 2 de la IEC-61508) y el software (parte 3).

 

2.2.2   Diseño de los Sistemas de Seguridades. Consideraciones Generales
 
Cuando nos enfrentamos ante un Sistema de Seguridades debemos fijar unos criterios básicos de diseño que serán vitales en las fases posteriores:
  • ¿Qué Tecnología utilizar? : Relés, Estado Sólido, Microprocesador
  • ¿Qué Niveles de Redundancia? ¿Depende de la Tecnología o del Nivel de riesgo?
  • Dispositivos de campo: ¿Digitales o Analógicos? ¿Redundantes? ¿Cada cuánto deben ser probados? ¿Depende de la aplicación, tecnología o del nivel de riesgo?
  • Pruebas periódicas: ¿Cada cuánto? ¿Depende de la tecnología, del nivel de redundancia o del nivel de riesgo?
  • ¿Tipos de fallos del Sistema de Seguridad?
  • Normativa: ¿Cuál aplicar?

 

 

En cualquier proceso existen muchos riesgos que pueden causar un accidente.

 

En la Figura 2-7 se muestran todas las posibles causas de un fallo.

 

 

Figura 2-7. Riesgos principales

Figura 2-7. Riesgos principales

 

 

 

2.2.3   Sistema de Control versus Sistema de Seguridad

 

Es algo reconocido por todos los expertos en seguridad y recomendado por todas las Normas que ambos Sistemas deben ser independientes. A pesar de todo todavía hoy encontramos técnicos o responsables de planta que no ven o no quieren ver la diferencia entre ambos sistemas y ponen intereses económicos o de otro tipo por encima de la seguridad de la planta.

 

Es obvio que el utilizar el mismo sistema para ambas funciones (control y seguridad) tiene ventajas (por ejemplo costo y mantenimiento) pero también es evidente que ello tiene muchos riesgos que esperamos aclarar en este capítulo.

 

Supongamos que el mismo Sistema de Control realiza también las funciones de protección y seguridad y que se produce una demanda de seguridad desde el proceso o caldera, por ejemplo, una repentina subida de presión dentro del hogar. El Sistema de Control debe actuar inmediatamente disparando la caldera, lo que conlleva, por ejemplo, el cierre de todas las válvulas de corte de combustible (SOV=Shut-off Valve).

 

¿Qué pasa si se produce un fallo en el Sistema de Control? Un fallo de este tipo no debe nunca impedir que la caldera alcance un estado seguro.

Figura 2-8. Demanda de seguridad

Figura 2-8. Demanda de seguridad

 

 

En la Figura 2-8 se muestra un claro y sencillo ejemplo de fallo peligroso.

 

Si durante la operación de la caldera se había producido un cortocircuito en una salida digital, ni el sistema ni el operador se habían enterado.

 

Aunque la CPU ordene el cierre de la válvula (desenergización) ésta no se producirá si el transistor de salida está cortocircuitado.

 

 

Figura 2-9. Fallo Activo y Pasivo

Figura 2-9. Fallo Activo y Pasivo

 

 

Ahora   supongamos   que   existe   un   Sistema   de   Seguridades   separado   e independiente.

 

El Sistema de Seguridades también podría fallar y por ello debe cumplir con ciertos criterios de diseño que lo diferencia enormemente del Sistema de Control.

 

 

Figura 2-10. Demanda de seguridad
Figura 2-10. Demanda de seguridad
 
El fallo a posición Segura es esencial. Deben minimizarse los "disparos sin motivo" o "fallos molestos".
Figura 2-11. Tipos de fallos
Figura 2-11. Tipos de fallos
 
Los tipos de fallos del Sistema de Seguridades o SIS (Safety Instrumented System, según la IEC-61508) son:
  • Fallo peligroso no detectado: es el peor, se evita con las pruebas periódicas o mejorando los autodiagnósticos
  • Fallo peligroso detectado: debe actuarse rápidamente
  • Modo degradado por fallo parcial del sistema redundante: es el mejor, la redundancia aumenta el costo de inversión pero reduce el costo total del ciclo de vida
  • Disparo falso: debe mejorarse el MTBF del sistema, puede inducir al abuso de los bypasses
  • La IEC-61508 realiza muchas consideraciones en relación a los fallos del SIS.
Por ejemplo, clasifica los componentes del E/E/PES en 2 grupos:
 
■   Componentes Tipo A
Los modos de fallo de todos los componentes están bien definidos y los componentes pueden ser totalmente probados y existe un buen histórico de datos de fallos (100.000 horas de operación en 2 años en 10 sistemas en diferentes aplicaciones).
 
Ejemplo: resistencias, relés.
 
■   Componentes Tipo B
Los modos de fallo no están bien definidos ó no todos los componentes pueden ser totalmente probados ó
no existe un buen histórico de fallos.
 
Ejemplo: microprocesadores.
 
A partir de esta clasificación y considerando el porcentaje de diagnósticos del equipo se establecen los niveles SIL que pueden alcanzarse.
 
La mayoría de los usuarios han tenido afortunadamente pocas experiencias de fallos en los PLC´s. Los típicos fallos del "watchdog" de la CPU o de una salida digital que no se energiza son conocidos por todos, pero muy pocos conocen a fondo la cantidad de posibles fallos que puede tener un PLC, muchos de ellos semi-ocultos y a veces difíciles de reconocer como fallos claros.
 
A título de ejemplo diremos que según la IEC-61508 ningún sistema basado en microprocesador puede tener un nivel superior a SIL3 aunque el porcentaje de autodiagnósticos sea del 99%.
Las diferencias principales entre el Sistema de Control y de Seguridades se muestran en el siguiente resumen:
 
 
Los Sistemas de Control son activos y dinámicos, de ahí que la mayoría de los fallos se autodetectan por sí solos. Los Sistemas de Seguridades son pasivos y estáticos por lo que muchos fallos permanecen ocultos. Necesitan ser probados manualmente o incorporar autodiagnósticos, algo que los PLC´s de propósito general apenas incorporan.
 
Combinar ambas funciones, control y seguridad, en un sólo sistema tiene ventajas: alimentación única, simplifica el mantenimiento y almacenaje de repuestos, facilita la formación del personal técnico y disminuye el costo. Sin embargo casi todas las Normas, Estándares y recomendaciones de los especialistas desaconsejan insistentemente esta combinación.
 
Si alguien decidiera ir contra estas recomendaciones debiera tener poderosas y documentadas razones para hacerlo. ¿Cómo se podría justificar en caso de accidente ante un jurado una decisión de este tipo?
Ambos Sistemas deben estar física y funcionalmente separados incluyendo los instrumentos y actuadores.
 
Figura 2-12. Niveles de Control
 
Figura 2-12. Niveles de Control
 
 
Los fallos por causas comunes deben evitarse (hardware, software, vibraciones, calor, errores de diseño, errores de mantenimiento, etc.).

 

 

 

 

 

2.1.1    Introducción

Existen hoy en día en todo el mundo muchas Normas o Estándares relacionados con la seguridad que poco a poco, sobre todo en los últimos años, están convergiendo hacia un único Estándar mundial que sea aceptado por todos o casi todos los países.

Página 30 de 39