Uso de ControlLogix en aplicaciones SIL2

Transcripción

1 Uso de ControlLogix en aplicaciones SIL2 Productos 1756 Manual de referencia de seguridad

2 Información importante para el usuario Debido a la variedad de usos de los productos descritos en esta publicación, las personas responsables de la aplicación y uso de estos productos deben asegurarse de que se hayan seguido todos los pasos necesarios para que cada aplicación y uso cumpla con todos los requisitos de rendimiento y seguridad, incluyendo leyes, reglamentos, códigos y normas aplicables. En ningún caso se responsabilizará a Rockwell Automation por daños indirectos o resultantes del uso o aplicación de estos productos. Los usuarios deben realizar una correcta evaluación de los riesgos de su aplicación y de las funciones de seguridad y deben garantizar que el personal esté bien formado y sea cualificado. Los ejemplos de ilustraciones, gráficos, programas y esquemas mostrados en esta publicación tienen la única intención de ilustrar el texto. Debido a las muchas variables y requisitos asociados con cualquier instalación particular, Rockwell Automation no puede asumir responsabilidad u obligación (incluyendo responsabilidad de propiedad intelectual) por el uso real basado en los ejemplos mostrados en esta publicación. La publicación SGI-1.1 de Rockwell Automation, Safety Guidelines for the Application, Installation and Maintenance of Solid-State Control (disponible a través de la oficina regional de Rockwell Automation), describe algunas diferencias importantes entre dispositivos de estado sólido y dispositivos electromecánicos, las cuales deben tenerse en consideración al usar productos tales como los descritos en esta publicación. Está prohibida la reproducción total o parcial del contenido de esta publicación de propiedad exclusiva, sin el permiso escrito de Rockwell Automation. En esta publicación hacemos estas anotaciones para informarle de consideraciones de seguridad Las siguientes anotaciones y sus declaraciones ayudarán a identificar un posible peligro, evitar un posible peligro y reconocer las consecuencias de un posible peligro. ADVERTENCIA! Identifica información acerca de prácticas o circunstancias que pueden causar una explosión en un ambiente peligroso, lo cual podría causar lesiones personales o la muerte, daños materiales o pérdidas económicas. ATENCIÓN! Identifica información sobre prácticas o circunstancias que pueden conducir a lesiones personales o la muerte, o a daños materiales o pérdidas económicas. IMPORTANTE Identifica información importante para la aplicación y entendimiento correctos del producto. Sírvase tomar nota de que en esta publicación se usa el punto decimal para separar la parte entera de la decimal de todos los números.

3 Prefacio Introducción El objetivo de este manual de aplicación es describir los componentes del sistema de control ControlLogix disponibles a través de Rockwell Automation ideales para su uso en aplicaciones SIL2. Organización del manual Este manual está diseñado para ayudar a entender cómo puede obtener el sistema de control ControlLogix una certificación SIL2. En la Tabla Prefacio.1 se indica la información disponible en cada sección. Tabla Prefacio.1 Sección: Título: Descripción: Capítulo 1 Política SIL Introducción a la política SIL y a su relación con el sistema ControlLogix. Capítulo 2 El sistema ControlLogix Breve descripción general de todos los componentes presentes en el sistema ControlLogix con certificación SIL2. Capítulo 3 Hardware del sistema ControlLogix Descripción de las fuentes de alimentación eléctrica y los chasis ControlLogix usados en el sistema ControlLogix con certificación SIL2. Capítulo 4 Controlador ControlLogix Descripción del controlador ControlLogix usado en el sistema ControlLogix con certificación SIL2. Capítulo 5 Módulos de comunicaciones ControlLogix Descripción de los módulos de comunicaciones ControlLogix usados en el sistema ControlLogix con certificación SIL2. Capítulo 6 Módulos de E/S ControlLogix Descripción de los módulos de E/S ControlLogix usados en el sistema ControlLogix con certificación SIL2. Capítulo 7 Fallos en el sistema ControlLogix Descripción de dos condiciones comunes que causan un fallo en un sistema ControlLogix. Capítulo 8 Capítulo 9 Capítulo 10 Apéndice A Apéndice B Apéndice C Requisitos generales para el software de aplicación Requisitos técnicos SIL2 para el programa de aplicación Uso y aplicación de interfaces HMI Tiempos de respuesta en ControlLogix Autoprueba del sistema y respuestas programadas por el usuario Información adicional sobre el manejo de fallos en el sistema ControlLogix Pautas para el desarrollo de aplicaciones en RSLogix 5000 relacionadas con SIL2. Descripción de la seguridad técnica necesaria en aplicaciones ControlLogix con certificación SIL2. Descripción de las precauciones y técnicas que deben usarse con los dispositivos HMI cuando se usan con aplicaciones ControlLogix con certificación SIL2. Información adicional sobre los componentes presentes en una aplicación ControlLogix con certificación SIL2. Explicación de las autopruebas y de las respuestas del sistema disponibles en el sistema ControlLogix. Información adicional que puede ayudar al usuario a manejar fallos. 1

4 Prefacio 2 Terminología En la tabla siguiente se describen los acrónimos usados en este manual. Tabla Prefacio.2 Lista de los acrónimos usados en el manual de aplicación de seguridad Acrónimo: CIP DC Término completo: Protocolo de control e información Cobertura de diagnóstico Definición: Protocolo de mensajes usado por los sistemas Logix5000. Es un protocolo de comunicaciones nativo usado en redes de comunicaciones ControlNet, entre otras. Diseño avanzado ofrecido en módulos de entrada y salida ControlLogix específicos que proporciona al módulo más oportunidades para detectar y aislar errores o funcionamientos incorrectos. EN Norma europea Estándar europeo oficial. GSV Get System Value (Obtener un valor del sistema) Instrucción de salida de lógica de escalera que recupera información de estado del controlador especificado y la coloca en un tag de destino. MTBF MTTR PADT PC PFD PFH Tiempo medio entre fallos Tiempo medio para restauración Herramienta de programación y depuración Computadora personal Probabilidad de fallo bajo demanda Probabilidad de fallo por hora Tiempo medio entre instancias de fallos del sistema. IEC cuantifica esta clasificación afirmando que la frecuencia de las demandas de operación del sistema de seguridad no es mayor que una vez al año en el modo de demanda baja, o es mayor que una vez al año en el modo de demanda alta o continuada. Tiempo medio necesario para que un sistema de control restaure el funcionamiento normal después de un error. Software RSLogix 5000 usado para programar y depurar una aplicación ControlLogix con certificación SIL2. Computadora usada para interactuar con un sistema ControlLogix (y controlarlo) mediante software de programación RSLogix Probabilidad media de que un sistema no pueda efectuar su función de diseño bajo demanda o probabilidad de fallo bajo demanda. Probabilidad por hora de que un sistema presente un fallo que pueda ser peligroso.

5 Índice Capítulo 1 Política SIL Introducción a SIL Certificación SIL Pruebas de funcionamiento a plena carga Componentes del sistema ControlLogix con certificación SIL Certificaciones y cumplimiento de normas de seguridad Diseños de hardware y funciones de firmware Diferencia entre PFD y PFH Distribución y peso de cumplimiento con SIL Certificaciones Tiempos de respuesta Tiempo del temporizador de control (watchdog) en el sistema ControlLogix Información de contacto si se produce un fallo en el dispositivo Resumen de este capítulo y contenido del siguiente Capítulo 2 El sistema ControlLogix Descripción general de la plataforma ControlLogix Descripción general de la arquitectura ControlLogix Generación de informes de fallos del módulo Manejo de fallos Comprobación de la comunicación del eco de datos Prueba de impulsos Software Comunicaciones Otras características únicas que son de ayuda en los diagnósticos Lista de comprobación del sistema ControlLogix Resumen del capítulo y contenido del siguiente Hardware del sistema ControlLogix Capítulo 3 Introducción al hardware Chasis ControlLogix Fuentes de alimentación ControlLogix Fuente de alimentación no redundante Fuente de alimentación redundante Recomendaciones para el uso del hardware del sistema Chasis Fuentes de alimentación eléctrica Documentación relacionada con el hardware ControlLogix Resumen del capítulo y contenido del siguiente Capítulo 4 Controlador ControlLogix Introducción al controlador Recomendaciones para el uso del controlador Documentación relacionada con el controlador Resumen del capítulo y contenido del siguiente iii

6 iv Índice Módulos de comunicaciones ControlLogix Capítulo 5 Introducción a los módulos de comunicaciones Módulo de puente ControlNet Cableado ControlNet Cobertura de diagnósticos de módulos ControlNet Módulo Ethernet Diferencias entre Ethernet y ControlNet Recomendaciones para el uso de módulos de comunicaciones Documentación relacionada con los módulos de comunicaciones Resumen del capítulo y contenido del siguiente Capítulo 6 Módulos de E/S ControlLogix Descripción general de los módulos de E/S ControlLogix Generación de informes de fallos del módulo para cualquier módulo de E/S ControlLogix Uso de módulos de entrada digital Consideraciones generales sobre el uso de módulos de entrada digital ControlLogix Cableado de los módulos de entrada digital ControlLogix Uso de módulos de salida digital Consideraciones generales sobre el uso de módulos de salida digital ControlLogix Cableado de los módulos de salida digital ControlLogix Módulos de salida digital de diagnóstico Módulos de salida digital estándar Uso de módulos de entrada analógica Consideraciones generales sobre el uso de módulos de entrada analógica ControlLogix Cableado de los módulos de entrada analógica ControlLogix Cableado de un módulo de entrada unipolar en modo de voltaje Cableado de un módulo de entrada unipolar en modo de corriente Cableado del módulo de entrada termopar Cableado del módulo de entrada RTD Uso de módulos de salida analógica Consideraciones generales sobre el uso de módulos de salida analógica ControlLogix Cableado de los módulos de salida analógica ControlLogix Cableado del módulo de salida analógica en el modo de voltaje Cableado del módulo de salida analógica en el modo de corriente Lista de comprobación para entradas SIL Lista de comprobación para salidas SIL

7 Índice v Capítulo 7 Fallos en el sistema ControlLogix Introducción Comprobación de la posición del interruptor de llave con la instrucción GSV Examen de la alarma alta de un módulo de entrada analógica Requisitos generales para el software de aplicación Requisitos técnicos SIL2 para el programa de aplicación Uso y aplicación de interfaces HMI Tiempos de respuesta en ControlLogix Capítulo 8 Software para sistemas relacionados con SIL Programación SIL Concepto de seguridad del sistema ControlLogix Pautas generales para el desarrollo de software de aplicación Comprobación del programa de aplicación creado Posibilidades de identificación de programa Forzado Seguridad Modos de operación del sistema ControlLogix Selección de un modo de controlador Lista de comprobación para la creación de un programa de aplicación Capítulo 9 Procedimiento general Conceptos básicos de programación Instrucciones de programa/tarea SIL Lenguajes de programación Edición en línea Forzado Ciclo de vida de puesta en marcha Capítulo 10 Uso de precauciones y de técnicas con HMI Acceso a sistemas relacionados con la seguridad Cambio de parámetros en sistemas no relacionados con la seguridad Apéndice A Módulos digitales A-1 Configuración del chasis local A-1 Configuración del chasis remoto A-2 Módulos analógicos A-3 Configuración del chasis local A-3 Configuración del chasis remoto A-4

8 vi Índice Autoprueba del sistema y respuestas programadas por el usuario Información adicional sobre el manejo de fallos en el sistema ControlLogix Apéndice B Pruebas de inicialización del sistema B-1 Autopruebas del sistema B-1 Desarrollo de una rutina de fallo B-2 Cómo usar este procedimiento B-2 Creación del tipo de datos FAULTRECORD B-3 Creación de una rutina de fallo B-3 Cómo borrar un fallo mayor B-5 Prueba de una rutina de fallo B-7 Creación de un fallo mayor definido por el usuario B-8 Creación de un fallo mayor definido por el usuario B-9 Fallos menores del monitor B-10 Desarrollo de una rutina de encendido B-13 Apéndice C Introducción C-1 Instrucciones GSV (Get System Value) y SSV (Set System Value) C-2 Objetos GSV/SSV C-4 Acceso al objeto CONTROLLER C-4 Acceso al objeto CONTROLLERDEVICE C-5 Acceso al objeto CST C-7 Acceso al objeto DF C-8 Acceso al objeto FAULTLOG C-11 Acceso al objeto MESSAGE C-12 Acceso al objeto MODULE C-14 Acceso al objeto MOTIONGROUP C-15 Acceso al objeto PROGRAM C-16 Acceso al objeto ROUTINE C-17 Acceso al objeto SERIALPORT C-18 Acceso al objeto TASK C-20 Acceso al objeto WALLCLOCKTIME C-20 Generación de informes de fallos por módulos de entrada digital C-22 Módulos de entrada digital estándar C-22 Módulos de diagnóstico de entrada C-23 Generación de informes de fallos por módulos de salida digital C-24 Módulos de salida digital estándar C-24 Módulos de diagnóstico de salida C-26 Generación de informes de fallos por módulos de entrada analógica C-28 Módulo 1756-IF C-28 Módulos 1756-IR6I y 1756-IT6I C-32 Generación de informes de fallos por módulos de salida analógica C OF C-37 Códigos de fallo C-40 Códigos de fallo mayor C-41 Códigos de fallos menores C-43

9 Capítulo 1 Política SIL Este capítulo ofrece una introducción a la política SIL e indica cómo el sistema ControlLogix cumple con los requisitos para la certificación SIL2. Para obtener información acerca de: Vea la página: Introducción a SIL 1-1 Certificación SIL2 1-4 Pruebas de funcionamiento a plena carga 1-5 Componentes del sistema ControlLogix con 1-6 certificación SIL2 Certificaciones y cumplimiento de normas de 1-7 seguridad Diseños de hardware y funciones de firmware 1-8 Diferencia entre PFD y PFH 1-8 Distribución y peso de cumplimiento con SIL 1-13 Certificaciones 1-13 Tiempos de respuesta 1-14 Tiempo del temporizador de control (watchdog) 1-15 en el sistema ControlLogix Información de contacto si se produce un fallo 1-15 en el dispositivo Introducción a SIL Determinados números de catálogo (listados en la Tabla 1.1 en la página 1-6) del sistema ControlLogix son tipos aprobados y certificados para su uso en aplicaciones SIL2, de acuerdo con las aplicaciones IEC y AK4 y con DIN V Los requisitos de SIL se basan en los estándares vigentes en el momento de la certificación. Estos requisitos consisten en MTBF, probabilidad de fallo, regímenes de fallos, cobertura de diagnósticos y fracciones de fallo seguro que cumplen con los criterios SIL2. Los resultados del sistema ControlLogix hacen que éste sea adecuado hasta SIL2 (inclusive). Para el soporte en la creación de programas, se necesita la herramienta PADT (Programming and Debugging Tool). La herramienta PADT para ControlLogix es RSLogix 5000, según IEC , y este Manual de referencia de seguridad. 1

10 1-2 Política SIL TUV Rheinland ha aprobado el sistema ControlLogix para su uso en aplicaciones relacionadas con la seguridad hasta SIL 2 (inclusive) en las que el estado desactivado se considera que es el estado seguro. Todos los ejemplos relacionados con E/S que se incluyen en este manual se basan en conseguir que el estado desactivado sea el estado seguro para los sistemas de apagado de emergencia ESD típicos. ControlLogix es un sistema modular y configurable que tiene la capacidad de preconfigurar salidas y otras respuestas para condiciones de fallo. Como tal, puede diseñarse un sistema que cumpla con los requisitos para retener el último estado en el caso de un fallo, de modo que pueda usarse el sistema hasta el nivel SIL 2 con aplicaciones de gas y fuego, entre otras, que requieren que las señales de salida para los accionadores permanezcan activas. Al entender el comportamiento del sistema ControlLogix para una aplicación de apagado de emergencia (ESD), el diseño del sistema puede incorporar medidas apropiadas para cumplir con los requisitos de otras aplicaciones. Estas medidas están relacionadas con el control de salidas y los accionadores que deben permanecer activos para estar en un estado seguro. Los otros requisitos para SIL 2 relacionados con las entradas de los detectores, software etc., también deben cumplirse. A continuación se indican las medidas y modificaciones relacionadas con aplicaciones de gas y fuego. Es necesario usar una anulación manual para garantizar que el operador pueda mantener el control deseado en el caso de que se produzca un fallo en el controlador. En cuanto a concepto, esto es parecido a la función del relé externo o de salidas redundantes necesario para garantizar que se llega a un estado de desactivación para un sistema ESD si se produce un fallo que pueda impedir que esto se produzca, como ocurre en el caso de un driver de salida cortocircuitado. El sistema sabe que tiene un fallo, pero el modo de fallo requiere un medio independiente para mantener el control y poder o bien eliminar la alimentación o bien proporcionar una vía alternativa para mantener la alimentación en el accionador final. Si la aplicación no puede tolerar una salida que se activa de forma normal y que puede fallar en un fallo abierto, debe conectarse mediante cable un relé externo o una salida paralela al dispositivo de salida. El usuario debe desarrollar un programa de aplicación que inicie cualquiera de las vías paralelas si se produce un fallo.

11 Política SIL 1-3 Este circuito de anulación manual se muestra en la Figura 1.1. Está formado por un conjunto cableado de contactos de un interruptor selector o un pulsador. Un contacto normalmente abierto proporciona el bypass de alimentación de la salida del controlador directamente al accionador. El otro es un contacto normalmente cerrado para eliminar o aislar la salida del controlador. Es necesario generar un programa de aplicación para monitorear los módulos de diagnóstico de salida en caso de fallos que supongan un peligro, como por ejemplo un canal de driver de salida abierto o cortocircuitado. Los módulos de diagnóstico de salida deben configurarse de modo que retengan el último estado en caso de que se produzca un fallo. Debe generarse una alarma de diagnóstico para notificar al operador que se requiere un control manual. El módulo con fallo debe sustituirse en un plazo de tiempo razonable. Siempre que se detecte un fallo, el usuario deberá notificarlo a un operador (por ejemplo, mediante una luz de alarma). Figura 1.1 L1 Anulación manual Accionador L2 ó tierra Fallo Alarma al operador

12 1-4 Política SIL Certificación SIL2 La Figura 1.2 muestra un lazo SIL típico, que incluye lo siguiente: El lazo de seguridad global La parte ControlLogix del lazo de seguridad global Cómo se conectan otros dispositivos (por ejemplo, HMI) al lazo, mientras operan fuera del lazo La figura también muestra el peso relacionado de anomalías de los componentes principales en el lazo de seguridad según IEC Figura 1.2 Software de programación Para aplicaciones SIL, generalmente no se conecta un terminal de programación. HMI Para Diagnósticos y Visualización (acceso de sólo lectura a los controladores en el lazo de seguridad). Para obtener más información, vea el Capítulo 10. Ethernet/Serie a nivel de toda la planta Lazo de seguridad global Parte del lazo de seguridad global de los componentes de ControlLogix con certificación SIL2 Detector E N B T C N B C N B ControlNet C N B Otros chasis de E/S ControlLogix remotos relacionados con la seguridad Accionador ControlNet Sistemas relacionados que no son de seguridad que se encuentran fuera de la parte ControlLogix del lazo con certificación SIL2. Para obtener más información, vea el Capítulo 5.

13 Política SIL 1-5 IMPORTANTE El usuario del sistema es responsable de lo siguiente: Configuración, capacidad y validación SIL de cualquier detector o accionador conectado al sistema de control ControlLogix. Administración de proyectos y verificación de la funcionalidad. Programación del software de aplicación y configuración de módulos de acuerdo con lo descrito en los capítulos siguientes. La parte SIL2 del sistema certificado excluye las herramientas de desarrollo y los dispositivos de visualización y de la interface HMI (Human Machine Interface); estas herramientas y dispositivos no forman parte del lazo de control en tiempo de ejecución. Pruebas de funcionamiento a plena carga El sistema ControlLogix con certificación SIL2 requiere que el usuario lleve a cabo distintas pruebas de funcionamiento a plena carga en el equipo usado en el sistema. Estas pruebas de funcionamiento a plena carga se llevan a cabo en las horas definidas por el usuario (por ejemplo, intervalo de pruebas establecido en una vez al año) e incluyen algunas de las pruebas siguientes: Prueba de todas las rutinas de fallo para verificar que los parámetros de proceso se monitoreen correctamente y que el sistema reaccione en caso de que surja una condición de fallo. Prueba de los canales de entrada y salida digital para verificar que no se quedan atascados en el estado activado o desactivado. Calibración de los módulos de entrada y salida analógica para verificar que se obtienen y usan datos precisos en los módulos. Para obtener más información sobre las pruebas de funcionamiento a plena carga del sistema, vea el Capítulo 2, El sistema ControlLogix. Para obtener más información sobre las pruebas necesarias de funcionamiento a plena carga de módulos de E/S, vea el Capítulo 6, Módulos de E/S ControlLogix.

14 1-6 Política SIL Componentes del sistema ControlLogix con certificación SIL2 La Tabla 1.1 contiene una lista de los componentes disponibles para su uso en el sistema ControlLogix con certificación SIL2. Tipo de dispositivo: Número de catálogo: Hardware 1756-A4, A7, A10, A13 y A17 Tabla 1.1 Componentes para su uso en el sistema SIL 2 Descripción: Serie: Revisión de firmware: (1) Documentación relacionada (2) con más información en número de catálogo: Instrucciones de instalación: Manual de usuario: Chasis ControlLogix B na 1756-IN080 No disponible para estos números de catálogo 1756-PA75 Fuente de alimentación de CA A na PB75 Fuente de alimentación de CC A na 1756-PA75R Fuente de alimentación de CA redundante A na 1756-IN PB75R Fuente de alimentación de CC A na redundante 1756-PSCA Módulo del adaptador de chasis de A na 1756-IN574 fuente de alimentación redundante Controlador 1756-L55M16 Controlador ControlLogix de 7.5 Mb A IN UM001 Módulos de E/S 1756-IA16I Módulo de entrada aislada de CA A IN UM IA8D Módulo de entrada de diagnóstico de CA A IN IB16D Módulo de entrada de diagnóstico de CC A IN IB16I Módulo de entrada aislada de CC A IN OA16I Módulo de salida aislada de CA A IN OA8D Módulo de entrada de diagnóstico de CA A IN OB16D Módulo de salida de diagnóstico de CC A IN OB16I Módulo de salida aislada de CC A IN OB8EI Módulo de salida aislada de CC A IN OX8I Módulo de salida de relé aislada A IN IF8 Módulo de entrada analógica A IN IR6I Módulo de entrada de RTD A IN IT6I Módulo de entrada de termopar A IN OF8 Módulo de salida analógica A Módulos de comunicación 1756-CNB Módulo de comunicación ControlNet D IN CNBR Módulo de comunicación ControlNet D 5.27 redundante 1756-ENBT Módulo de comunicación EtherNet A IN UM050 (1) Los usuarios deben usar estas series y revisiones de firmware para que su aplicación tenga la certificación SIL2. Las revisiones de firmware están disponibles en (2) Estas publicaciones están disponibles a través de Rockwell Automation, en el sitio o

15 Política SIL 1-7 Certificaciones y cumplimiento de normas de seguridad La Tabla 1.2 contiene una lista de los productos ControlLogix a los que se hace referencia en este manual, y se indican las certificaciones y el cumplimiento de norma de seguridad para las que se ha aprobado cada uno de los productos. Número de catálogo: Tabla 1.2 Certificaciones de producto UL 508 UL 1604 CSA C22.2 Nº. 142 CSA C22.2 Nº. 213 CSA C22.2 Nº FM 3600, FM Axx X X X X X 1756-CNB X X X X 1756-CNBR X X X X 1756-ENBT X X X X 1756-IA16I X X X X X 1756-IA8D X X X X X 1756-IB16D X X X X X 1756-IB16I X X X X X 1756-IF8 X X X X 1756-IR6I X X X X X 1756-IT6I X X X X X 1756-L55, X X X X L55Mxx 1756-OA16I X X X X X 1756-OA8D X X X X X 1756-OB16D X X X X X 1756-OB16I X X X X X 1756-OB8EI X X X X X 1756-OF8 X X X X X 1756-OX8I X X X X X 1756-PA75R X X X X X 1756-PB75R X X X X X 1756-PSCA X X X X X IEC

16 1-8 Política SIL Diseños de hardware y funciones de firmware Los diseños de hardware de diagnóstico y las funciones de firmware diseñadas en la plataforma ControlLogix permiten al sistema conseguir como mínimo la certificación SIL2 en una configuración de un solo controlador. Estas funciones de diagnóstico están incorporadas en componentes de ControlLogix específicos, tales como: Procesador Fuente de alimentación eléctrica Módulos de E/S Backplane Estos componentes se describen en otras secciones. Los diseños, las funciones y las características de la plataforma ControlLogix la convierten en una de las plataformas más inteligentes. Algunas de las características de ControlLogix son: Varios microprocesadores que se comprueban a sí mismos y entre ellos Módulos de E/S con microprocesadores internos Una arquitectura de E/S que incluye módulos con conexiones de backplane a la unidad de proceso central (CPU) Las conexiones de backplane, junto con identidades de configuración, permiten un nuevo nivel de diagnósticos de módulos de E/S que no estaba disponible en plataformas anteriores. Diferencia entre PFD y PFH Los sistemas relacionados con la seguridad pueden clasificarse como operativos en un modo de baja demanda o en un modo de alta demanda/continuo. IEC los clasifica de la siguiente manera: si la frecuencia de las demandas para la operación del sistema de seguridad no es superior a una vez por año, tendrá el modo de baja demanda; si es mayor que una vez al año, el modo de alta demanda/continuo. En términos generales, no obstante, la frecuencia de una vez al año se amplía a diez veces al año. El valor de SIL para un sistema relacionado con la seguridad de baja demanda está relacionado directamente con los rangos de orden de magnitud de su probabilidad media de fallo para llevar a cabo correctamente su función de seguridad según la demanda, o a la probabilidad de fallo según la demanda (PFD). El valor de SIL para un sistema relacionado con la seguridad en modo de alta demanda/continuo está relacionado directamente con la probabilidad por hora de los fallos que suponen un peligro (PFH). Aunque los valores PFD y PFH generalmente se asocian con cada uno de los tres elementos que configuran un sistema relacionado con la seguridad (los detectores, los accionadores y el elemento lógico), pueden asociarse con cada uno de los componentes del elemento lógico, es decir, con cada módulo de un controlador programable. En la Tabla 1.3 y la Tabla 1.4 se presentan los valores de PFD y PFH para productos ControlLogix específicos evaluados por TUV.

17 Política SIL 1-9 Los valores de tiempo medio entre fallos (MTBF) que se indican en la Tabla 1.3 y en la Tabla 1.4 se calculan a partir de los datos de campo para cada producto. Debe existir una base instalada mínima por lo menos un año antes de que se calcule un valor. Se presupone que los productos se usan 16 horas al día, 5 días a la semana, 52 semanas al año. Debe tenerse en cuenta que estos valores se actualizan mensualmente y que los valores que se presentan en la tabla siguiente eran válidos en el momento de preparar esta publicación. La columna del régimen de fallos (λ) de la Tabla 1.3 y la Tabla 1.4 es la recíproca de MTBF. Para realizar el cálculo de PFD, se presupuso lo siguiente: El 50% de los fallos de cada producto notificados a Rockwell Automation son fallos que suponen un peligro. El tiempo medio de restauración (MTTR) es de diez horas. El intervalo de pruebas de funcionamiento a plena carga (T 1 ) es de un año (8760 horas). La cobertura de diagnóstico es del 90% para los módulos usados en una arquitectura 1oo1 y del 60% para los módulos usados en una arquitectura 1oo2. La fracción de fallos detectados de causa común (β D ) es del 1%. La fracción de fallos no detectados de causa común (β) es del 2%. Puesto que Rockwell Automation no sabe ni puede saber cuáles son las aplicaciones que se usan para cada producto, los cálculos tuvieron que hacerse tomando como premisa estos supuestos prudentes. Los dos últimos supuestos son tiempos máximos que no deben sobrepasarse para mantener la validez de estos cálculos. La ecuación para PFD, de IEC61508, para una arquitectura 1oo1 es: PFD = (λ DU + λ DD ) = λ D t CE - donde t CE es el tiempo de inactividad medio equivalente a un canal Para una arquitectura 1oo2, la ecuación PFD es mucho más compleja. Vea IEC61508 Parte 6 Anexo B. Los valores de PFD de la Tabla 1.3 se indican para la arquitectura que debe usarse para que determinados productos consigan la certificación SIL 2. La Tabla 1.4 incluye los mismos valores de MTBF y de régimen de fallos que la Tabla 1.3, pero agrega los valores de PFH calculados para la operación en modo de alta demanda/continuo.

18 1-10 Política SIL Número de catálogo Descripción La ecuación para PFH, de IEC61508, para una arquitectura 1oo1 es: PFH = λ DU Para una arquitectura 1oo2, vea la Parte 6 de IEC Los valores de PFD de la Tabla 1.4 se indican para la arquitectura que debe usarse para que determinados productos consigan la certificación SIL 2. Tabla 1.3 Probabilidad de anomalía en cálculos de demanda de productos ControlLogix Tiempo medio entre fallos (MTBF) (2) 1756-Axx Chasis ControlLogix (1) 40,143, E E-06 (promedio (3) ) 1756-CNB Puente ControlNet (2) 3,596, E E CNBR Puente ControlNet redundante (2) 3,385, E E-05 λ (4) PFD calculado: Arquitectura 1oo1 Arquitectura 1oo IA16I Entrada aislada de CA 4,144, E E IA8D Entrada de diagnóstico de CA 3,856, E E IB16D Entrada de diagnóstico de CC 7,386, E E IB16I Entrada aislada de CC 3,562, E E IF8 Entrada analógica 1,690, E E IR6I Entrada de RTD 3,456, E E IT6I Entrada de termopar 4,784, E E L55M16 Controlador ControlLogix 5555 (2) 2,855, E E OA16I Salida aislada de CA 1,994, E E OA8D Salida de diagnóstico de CA 3,839, E E OB16D Salida de CC 4,520, E E OB16I Salida aislada de CC 1,703, E E OB8EI Salida de CC protegida con fusible 1,239, E E OF8 Salida analógica 2,054, E E OX8I Salida de contacto 6,639, E E PA75 Fuente de alimentación de CA (2) 7,301, E E-05 4,380,000, E E PA75R Fuente de alimentación redundante de CA (2), (3) 1756-PB75 Fuente de alimentación de CC (2) 7,100, E E PB75R 1756-PSCA Fuente de alimentación redundante de CC (2), (3) 4,380,000, E E-08 Módulo adaptador de chasis de 45,146, E E-06 fuente de alimentación (2) (1) Se calcula usando valores basados en el campo para los componentes. (2) MTBF medido en horas. (3) Promedio = Media aritmética de los MTBF de los cinco chasis (1756-A4, A7, A10, A13 y A17). (4) λ = Régimen de fallos = 1/MTBF

19 Política SIL 1-11 Número de catálogo Descripción Tabla 1.4 Probabilidad por hora de fallos no detectados que suponen un peligro en productos ControlLogix Tiempo medio entre fallos (MTBF) (3) λ (5) PFH calculado: Arquitectura 1oo1 Arquitectura 1oo A-- Chasis ControlLogix (1) 40,143, E E-09 (promedio (4) ) 1756-CNB Puente ControlNet 3,596, E E CNBR Puente ControlNet redundante 3,385, E E IA16I Entrada aislada de CA 4,144, E E IA8D Entrada de diagnóstico de CA 3,856, E E IB16D Entrada de diagnóstico de CC 7,386, E E IB16I Entrada aislada CC 3,562, E E IF8 Entrada analógica 1,690, E E IR6I Entrada de RTD 3,456, E E IT6I Entrada de termopar 4,784, E E L55 Procesador ControlLogix ,855, E E OA16I Salida aislada de CA 1,994, E E OA8D Salida de diagnóstico de CA 3,839, E E OB16D Salida de CC 4,520, E E OB16I Salida aislada de CC 1,703, E E OB8EI Salida de CC protegida con fusible 1,239, E E OF8 Salida analógica 2,054, E E OX8I Salida de contacto 6,639, E E PA75 Fuente de alimentación de CA 7,301, E E PA75R Fuente de alimentación de CA 4,380,000, E E-11 redundante (2) 1756-PB75 Fuente de alimentación de CC 7,100, E E PB75R Fuente de alimentación de CC 4,380,000, E E-11 redundante 1756-PSCA Adaptador de chasis de fuente de alimentación 45,146, E E-09 (1) Se calcula usando valores basados en el campo para los componentes. (2) Supone que ambas fuentes de alimentación fallan simultáneamente. (3) MTBF medido en horas. (4) Promedio = Media aritmética de los MTBF de los cinco chasis (1756-A4, A7, A10, A13 y A17). (5) λ = Régimen de fallos = 1/MTBF

20 1-12 Política SIL La Tabla 1.5 muestra un ejemplo de un cálculo PFD para un lazo de seguridad que incluye dos módulos de entrada CC usados en una configuración 1oo2 y un módulo de salida CC. Tabla 1.5 Número de Descripción: MTBF: PFD calculado: catálogo: 1756-Axx Chasis ControlLogix 40,143, E-06 (promedio) 1756-L55M16 Controlador 2,855, E-05 ControlLogix OB16D Salida de CC 4,520, E IB16D Entrada de 7,386, E-06 diagnóstico de CC Cálculo de PFD total para un lazo de seguridad que consiste en 1.36E-04 estos productos: Este ejemplo se muestra gráficamente en el primer lazo mostrado en la Figura 1.3 en la página 1-13.

21 Política SIL 1-13 Distribución y peso de cumplimiento con SIL Generalmente, puede suponerse que el controlador programable contribuye en un 10% a la carga de fiabilidad. (Vea la Figura 1.3.) Es posible que un sistema SIL 2 deba incorporar varias entradas para detectores y dispositivos de entrada críticos, así como salidas dobles conectadas en serie a accionadores dobles que dependen de valoraciones del SIL para el sistema relacionado con la seguridad. (Vea la Figura 1.3.) Figura 1.3 Lazo o sistemas ControlLogix +V 10% del PFD 40% del PFD Detector Módulo de entrada Fuente de alimentación Controlador Módulo salida diag. Accionador 50% del PFD Detector Módulo de entrada V 10% del PFD 40% del PFD Detector Módulo de entrada Fuente de alimentación Controlador Módulo de salida estándar Accionador Detector Módulo de entrada Módulo de entrada de monitoreo 50% del PFD Certificaciones En la documentación de usuario entregada con los productos ControlLogix generalmente se indican las certificaciones para las que se han aprobado los productos. Si un producto ha conseguido una certificación, se marca como tal

22 1-14 Política SIL en la etiqueta del producto. Las certificaciones del producto se indican en la tabla de especificaciones del producto, como se muestra en el ejemplo siguiente. Certificación UL Equipo de control industrial listado por UL CSA Equipo de control de procesos certificado por CSA para las ubicaciones peligrosas de Clase I, División 2 Grupo A,B,C,D FM Equipo aprobado por FM para su uso en ubicaciones peligrosas de Clase I, División 2 Grupo A,B,C,D CE Directiva 89/336/EEC EMC de la Unión Europea, que cumple con: EN ; Emisiones industriales C-Tick Ley Australiana de Comunicaciones de Radio, que cumple con: AS/NZS 2064; Emisiones industriales Tiempos de respuesta El tiempo de respuesta de un sistema se define como la cantidad de tiempo necesario para que un cambio en una condición de entrada sea reconocido y procesado por el programa de lógica de escalera del controlador y luego se inicie la señal de salida apropiada para un accionador. El tiempo de respuesta del sistema es la suma de lo siguiente: Retardos de hardware de entrada Filtrado de entrada Parámetros RPI del módulo de E/S y de comunicaciones Tiempos de escán del programa controlador Retardos de propagación del módulo de salida Cada uno de los tiempos indicados anteriormente depende de forma variable de factores tales como el tipo de módulo de E/S y las instrucciones usadas en el programa de lógica de escalera. Para obtener ejemplos sobre cómo se realizan estos cálculos, consulte el Apéndice A, Tiempos de respuesta en ControlLogix. Para obtener información sobre las instrucciones disponibles y una descripción completa de la operación lógica y su ejecución, consulte las publicaciones siguientes: Controladores Logix Manual de referencia del conjunto de instrucciones generales, publicación 1756-RM003E-ES-P. Sistema ControlLogix - Manual del usuario, publicación 1756-UM001E-ES-P. Estas publicaciones están disponibles a través de Rockwell Automation.

23 Política SIL 1-15 Tiempo del temporizador de control (watchdog) en el sistema ControlLogix El tiempo del temporizador de control (watchdog) del programa (watchdog del software) es un tiempo definido por el usuario que se define en el menú de atributos del controlador del software RSLogix Consulte el documento Sistema ControlLogix - Manual del usuario, número de publicación 1756-UM001E-ES-P para obtener más información. La publicación está disponible a través de Rockwell Automation. El tiempo del temporizador de control (watchdog) del programa es el tiempo máximo permitido para un ciclo de ejecución (tiempo del ciclo). Si el tiempo del ciclo excede el tiempo del temporizador de control (watchdog) del programa, se produce un fallo mayor en el controlador. Los usuarios deben monitorear el temporizador de control (watchdog) y programar las salidas del sistema de modo que se produzca una transición a un estado seguro (generalmente el estado desactivado) si se produce un fallo mayor en el controlador. Para obtener más información sobre los fallos, consulte el Capítulo 7, Fallos en el sistema ControlLogix. El tiempo de temporizador de control (watchdog) debe ser 10 ms y debe ser <50% del tiempo de seguridad necesario para un sistema ControlLogix. El tiempo de seguridad es la cantidad máxima de tiempo durante el cual el proceso tolera una señal equivocada. Información de contacto si se produce un fallo en el dispositivo Si el usuario experimenta un fallo en cualquier dispositivo ControlLogix con certificación SIL2, deberá ponerse en contacto con la oficina regional de ventas de Rockwell Automation. Con este contacto, el usuario puede hacer lo siguiente: Devolver el dispositivo a Rockwell Automation de modo que se registre correctamente el fallo para el número de catálogo afectado y se cree un registro del fallo. Solicitar un análisis del fallo (si es necesario) para determinar la causa del fallo, si es posible. Resumen de este capítulo y contenido del siguiente En este capítulo se proporcionó información sobre la política SIL. El Capítulo 2 ofrece una descripción general de El sistema ControlLogix.

24 1-16 Política SIL Notas:

25 Capítulo 2 El sistema ControlLogix En este capítulo se ofrece una descripción general de algunas de las características estándar de la arquitectura ControlLogix que permiten que el sistema sea adecuado para su uso en aplicaciones SIL2. Para obtener información acerca de: Vea la página: Descripción general de la plataforma ControlLogix 2-1 Descripción general de la arquitectura ControlLogix 2-2 Generación de informes de fallos del módulo 2-3 Manejo de fallos 2-3 Comprobación de la comunicación del eco de datos 2-4 Prueba de impulsos 2-5 Software 2-6 Comunicaciones 2-6 Otras características únicas que son de ayuda en los 2-7 diagnósticos Descripción general de la plataforma ControlLogix Muchos de los métodos y de las técnicas de diagnóstico usados en la plataforma ControlLogix son versiones mejoradas de técnicas y diseños incorporados con anterioridad en las plataformas PLC de Allen-Bradley a lo largo de las tres últimas décadas. Se trata de diseños que han evolucionado para mantener la estabilidad y respuesta determinista que nuestros clientes esperan cuando migran de una tecnología electromecánica a una tecnología de estado sólido. Los diagnósticos y las rutinas de autocomprobación realizados por sistemas basados en un microprocesador (por ejemplo, ControlLogix) han sido objeto de grandes avances a lo largo de los años. Los controladores programables tales como ControlLogix pueden programarse y configurarse para realizar comprobaciones en todo el sistema, inclusive en su configuración, cableado y rendimiento, así como para monitorear los detectores y los dispositivos de salida. 1

26 2-2 El sistema ControlLogix Si se detecta una anomalía (que no sea una desactivación automática), el sistema puede programarse para iniciar rutinas de manejo de fallos definidas por el usuario. Los módulos de salida pueden desactivar determinadas salidas si se produce un fallo. Los nuevos módulos de E/S de diagnóstico realizan autopruebas para comprobar que el cableado de campo funcione correctamente. Los módulos de salida usan pruebas de impulsos para garantizar que los dispositivos de conmutación de salida no estén cortocircuitados. Usando estas características internas, junto con software de aplicación si es necesario, los clientes de ControlLogix de hoy en día pueden conseguir sistemas de control altamente fiables. Descripción general de la arquitectura ControlLogix El sistema ControlLogix es la última generación de controladores programables de Rockwell Automation. Inherentes a su diseño e implementación se encuentran varias características que reemplazan todo lo ofrecido en las arquitecturas de productos anteriores. La inclusión de estas características representa una mejora dirigida por la demanda de los clientes en cuanto al tiempo de productividad y a la fiabilidad, así como la experiencia en diseño desarrollado durante mucho tiempo por Rockwell para producir este tipo de productos. Uno de los cambios más significativos que ha sufrido la arquitectura es la implementación del modelo de comunicación productor/ consumidor (P/C) entre el controlador y la E/S. El modelo de comunicación P/C reemplaza la encuesta (polling) tradicional de los módulos de E/S y, consecuentemente, ha cambiado el comportamiento global de estos componentes con respecto a sus equivalentes en arquitecturas anteriores. Los módulos de entrada producen datos, mientras que el controlador y los módulos de salida producen y consumen datos. Estos cambios se adoptaron debido a la integridad de datos y a las capacidades de generación de informes de fallos que proporcionan. Los módulos de E/S ahora intercambian mucho más que el estado de activación/desactivación de los dispositivos a los que están conectados. La información de identificación de los módulos, el estado de la comunicación, los códigos de fallo y, a través del uso de módulos diseñados específicamente, los diagnósticos de campo ahora pueden recuperarse desde el sistema de E/S como parte del conjunto de características estándar del modelo de comunicaciones productor/consumidor. (Vea la Figura 2.1).

27 El sistema ControlLogix 2-3 Figura 2.1 Modelo de comunicaciones productor/consumidor Controlador Logix Módulos de entrada Módulos de salida Datos compartidos comúnmente Generación de informes de fallos del módulo Uno de los conceptos clave de este modelo es el de propiedad. Cada uno de los módulos del sistema de control ahora es propiedad, como mínimo, de un controlador de la arquitectura. Cuando un controlador es propietario de un módulo de E/S, significa que dicho controlador almacena los datos de configuración del módulo, definidos por el usuario; dichos datos determinan el comportamiento del módulo en el sistema. Inherente a esta configuración y propiedad es el establecimiento de un impulso entre el controlador y el módulo; este impulso también se conoce como intervalo entre paquetes solicitados (RPI). La existencia del RPI forma la base para la generación de informes de fallos a nivel de módulo en la arquitectura ControlLogix, una capacidad inherente a todos los módulos de E/S de ControlLogix. Para obtener más información sobre la generación de informes de fallos del módulo en el controlador ControlLogix, específicamente las instrucciones GSV, consulte el Capítulo 7, Fallos en el sistema ControlLogix. Manejo de fallos El RPI define un intervalo de tiempo mínimo en el que el controlador y el módulo de E/S deben comunicarse entre sí. Si, por algún motivo, no es posible establecer o mantener la comunicación (es decir, el módulo de E/S ha fallado), el sistema puede programarse para ejecutar una rutina de manejo de fallos especial. Esta rutina determina si el sistema debe continuar funcionando o si la condición de fallo garantiza una desactivación de la aplicación.