Sensores de campo

Como regla general, el 90% de los fallos del sistema se deben a los sensores y elementos finales de control y solo el 10% restante se deben al sistema lógico (ver figura 7.5.1 del capítulo 7.5). Estos números son solo una aproximación ya que pueden variar según la tecnología y configuración adoptada.

128

En general los sensores son usados para medir temperatura, presión, nivel, flujo, concentración, etc. Estos pueden ser discretos, cambian de estado cuando se alcanza un set point o analógicos, dan una salida variable en relación a la variable de proceso.

En sistemas de seguridad existen dos categorías de fallo principales que afectan a un sensor. Puede ser un fallo seguro (fail safe) cuya causa nos llevará a un paro no esperado de la planta, ejemplo de un cambio de estado del sensor sin que suceda un cambio en la variable de proceso. O puede ser un fallo peligroso, por ejemplo que falle la respuesta a una demanda actual o cambio de la variable de proceso sin indicación por parte del sensor. Está claro que un sensor puede fallar por diferentes razones: corrosión en los contactos, suciedad en el contacto, termopares quemados, salidas erráticas, transmisores inteligentes (smart transmitter) en modo salida forzada, bloqueo de las líneas de proceso del transmisor, etc.

El modo normal y recomendado por la mayor parte de compañías es diseñar el sistema instrumentado de seguridad para que funcione en modo fail-safe, para asegurar que los fallos sean siempre seguros. Esto quiere decir que cualquier anomalía en la función de seguridad que no responda a una situación peligrosa en el proceso provocará llevar el propio proceso a un estado seguro, puede implicar el paro de planta, es decir provocará paros no deseados, molestos (spurious trip). Para minimizar estos paros no deseados existen diferentes medidas a adoptar:

• Uso de tecnología fiable, selección de equipos “uso probado1_{” o basados en una}

certificación IEC 61508.

• Uso de estructuras multicanal (p.ej. votaciones 2oo3).

• Realizando instalaciones apropiadas de los equipos (p.ej. uso de tubing de acero inoxidable en lugar de plástico).

Requerimientos básicos para un sistema en operando en modo fail-safe:

• Los sensores de contacto serán cerrados y energizados en condiciones normales de operación del proceso.

• Las señales de los transmisores analógicos irán al punto de disparo bajo cualquier fallo, a no ser que sea detectado por el sistema para que se tome una acción correctiva.

• Los contactos de salida del sistema lógico en operación normal del proceso estarán energizadas y cerrados.

• Los elementos finales a fallo de aire irán a la posición de seguridad (p.ej. válvulas).

• Otros elementos finales como motores o turbinas se pararán.

El modo de fallo de los transmisores debe ser descrito en el documento SRS (especificaciones de los requerimientos de seguridad), ya que para un estado seguro del proceso, un transmisor en caso de fallo puede requerir ir a su estado bajo (Low) o alto (High), dependiendo de su punto de disparo de seguridad.

1 _{Equipos “uso probado” (proven in use) son equipos aceptados por la IEC 61511 para el diseño de}

sistemas de seguridad y basados en los años de experiencia de las empresas en el uso de un equipo sin fallos peligrosos y adecuadamente documentado, aún cuando no cuente con certificación de seguridad.

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

129

Hay que tener gran cuidado a la hora de elegir los sensores, ya que la precisión de sus medidas depende del rango en que trabajen. Así un sensor diseñado para medir presiones de hasta 15 bares, no es capaz de medir intervalos de 5 milibares.

Se ha de evitar compartir sensores entre el BPCS y el SIS. Cuando utilizamos sensores redundantes y compartimos elementos de campo entre el BPCS y el SIS, un fallo en el BPCS no debe inhibir el correcto funcionamiento del SIS, por lo que un aislador de señal debe ser instalado entre el BPCS y el SIS.

Siempre que sea posible se utilizarán sensores y transmisores2 _{analógicos ya que}

estos presentan las siguientes ventajas ante los sensores de contacto:

• Tenemos indicación de la variable de proceso, por lo que nos dará una idea de si su funcionamiento es correcto. Con un switch se debe hacer un test para saber si es correcto su posición.

• Fácil de realizar un test parcial de la medida online –el setpoint de disparo del controlador puede ser modificado-.

• Posibilidad de realizar diagnósticos.

• Menor tasa de fallos peligrosos y seguros.

• Podemos comparar la señal con la del BPCS.

• Mejor precisión, rangeabilidad y fiabilidad que un switch.

• Un único transmisor puede sustituir algunos switches.

• El controlador puede ser bloqueado por seguridad.

Es muy interesante el uso del protocolo HART (Highway Addressable Remote Transducer) junto con transmisores inteligentes ya que son capaces de darnos a través de la señal 4-20 mA una serie de datos con los que podemos realizar diagnósticos y detectar alguno de los siguientes fallos de señal:

• Funcionamiento no correcto del transmisor.

• Señal de entrada del sensor fuera de rango.

• Señal de salida del transmisor congelada.

• Salida analógica fuera de rango.

Solamente utilizando estos cuatro diagnósticos podemos incrementar aproximadamente en un 20% la cobertura de diagnóstico (DC) del transmisor. La realización de un análisis de modos de fallo, efectos y diagnósticos (FMEDA) nos dará el nivel de cobertura de diagnóstico del transmisor. Muchos fabricantes proveen evaluaciones realizadas por terceros (EXIDA es un ejemplo) donde se incluye el FMEDA de diferentes equipos utilizados en SIS.

2 _{El transmisor lo podemos considerar como parte del sensor y es el que nos da la señal analógica en}

130 7.5.3.1 Transmisores inteligentes

Se trata de transmisores con diagnósticos adicionales y comunicación digital en lugar del convencional transmisor analógico con solo una salida 4-20 mA. Las ventajas de estos transmisores son:

• Mayor precisión.

• Excelente estabilidad.

• Mejora sustancialmente los diagnósticos, podemos llegar a unos factores de cobertura de diagnóstico y fracción de fallo seguro (SFF) mayores al 80%.

• Mayor predicción de modo de fallos.

• Capacidad de hacer mantenimiento y calibración de forma remota (uso de protocolo HART) con las ventajas que conlleva el no tener que ir a campo para realizar mantenimiento3_.

Como desventajas para la seguridad funcional destacamos:

• Fácil de dejar el instrumento en modo test o modo salida forzada.

• Coste, son más caros que los transmisores convencionales.

• La respuesta puede ser más lenta que los transmisores convencionales analógicos. Pese a las desventajas cada vez más se están utilizando transmisores inteligentes en aplicaciones de seguridad.

7.5.3.2 Diagnósticos de sensores

Mejorando los diagnósticos (aumenta la cobertura de diagnóstico) de un sistema de seguridad, mejoramos la seguridad del sistema. En otras palabras, reducimos la probabilidad de fallo en demanda (PFD). Las siguientes fórmulas nos muestran el impacto de la cobertura de diagnóstico en el ratio de fallos peligrosos:

λdd = λd * DCd (1)

λdu = λd * (1 – DCd) (2)

λd = λdd + λdu (3)

DCd; Factor de cobertura de diagnóstico de fallos peligrosos λd; tasa de fallos peligrosos

λdu; tasa de fallos peligrosos no detectados λdd; tasa de fallos peligrosos detectados λs; tasa de fallos seguros

λsd; tasa de fallos seguros detectados λsu; tasa de fallos seguros no detectados

3 _{El ajuste de los parámetros de proceso ha de estar protegido y bajo control para evitar cambios no}

Sistema Insrumentado de Seguridad Sistemas Instrumentados de Seguridad

131

Si incrementamos el factor de cobertura, incrementa la tasa de fallos peligrosos detectados y decrece la tasa de fallos no detectados. Notar que la tasa de fallos peligrosos total no cambia con los diagnósticos, lo que mejora es el porcentaje de fallos que son detectados.

La importancia de los diagnósticos reside en la posibilidad de no parar la producción por un fallo en un sensor y generar solo una alarma para que este sensor sea reparado. El sistema puede bypasear la señal mientras se realiza la reparación. Para realizar el bypass deben existir procedimientos que asegure la seguridad del proceso mientras el equipo está en bypass.

Otro parámetro muy utilizado para indicar la efectividad del diagnóstico es la fracción de fallo seguro (SFF) y se define como la razón entre la tasa promedio de fallos seguros más tasa promedio de fallos peligrosos detectados, sobre el total de las tasas promedio de fallos del sistema. El SFF puede ser determinado para cada componente del sistema (sensor, elemento final, SPLC).

du dd su sd dd su sd SFF λ + λ + λ + λ λ + λ + λ = (4)

El mantenimiento periódico y el test manual del equipo pueden ser reducidos mejorando los diagnósticos del sensor. Los transmisores inteligentes aportan un gran nivel de diagnóstico que mejora sustancialmente el factor de cobertura y por tanto el SFF.

Resumiendo podemos decir que el diagnóstico en línea permite:

• Reparación rápida de las unidades en fallo, por lo que reduce el tiempo de operación en modo degradado (capítulo 7.5.6 Requerimientos para la Tolerancia a Fallos Hardware (HFT))

• Conversión de los fallos peligrosos en fallos seguros.

Bibliografía y referencias:

[1] Safety Instrumented Systems: Design, Analysis and Justification. Paul Gruhn and Harry L. Cheddie. 2nd Edition. ISA 2006.

[2] Curso: Experto en Seguridad Funcional I y II, Madrid, Octubre 2006, EXIDA (ISA). Instructor: Oswaldo E. Moreno, CFSE.

[3] Seminario: Descripción general de la Seguridad. EMERSON Process Management, Tarragona, Junio 2006.

[4] Fiabilidad y Seguridad: Su aplicación en procesos industriales. Antoni Creus i Solé. 2ª edición. MARCOMBO, 2005.