El ProSafe-RS es un sistema de seguridad certificado por la organización alemana Technische Überwachungs-Verein (TÜV). Cumple con un Nivel de Integridad de Seguridad (SIL) 3 conforme a lo especificado en la norma IEC 61508.
El sistema de seguridad basado en ProSafe-RS se compone de por lo menos una Estación de Control de Seguridad (SCS), una Estación de Trabajo de Ingeniaría para Seguridad (SENG) y un Bus de control orientado a redes denominado Vnet/IP por medio del cual se conectan la SCS, la SENG, las Unidades de Nodo de Seguridad (SNU) y el resto del hardware que integran el sistema ProSafe-RS.
ProSafe-RS cuenta con una arquitectura dual única y excelente que se basa en la tecnología sumamente confiable del Sistema de Control Distribuido de Yokogawa. El SIS tiene un diseño modular y se aplica una arquitectura dual dentro de cada módulo procesador así como en los módulos de entradas y salidas (E/S) que a su vez se pueden instalar en una configuración redundante dual. Esto es controlado por el SIS y es totalmente transparente para el usuario. Este método maximiza la seguridad y la disponibilidad, de forma independiente y simultánea. Esta configuración flexible del sistema permite al usuario configurar la redundancia en un solo módulo logrando de esta forma la disponibilidad requerida en cada componente del sistema.
Utilizando las últimas técnicas de diseño electrónico y ensamble de componentes, los diseñadores de Yokogawa han tenido éxito en la miniaturización de los circuitos de control de seguridad. Cada procesador ProSafe-RS, módulo de entrada y el módulo de salida presenta una nueva arquitectura interna dual, proporcionando nivel de protección SIL3 en una sola tarjeta.
Esta arquitectura es simple de entender, diseñar, instalar y mantener.
Cuando un mayor nivel de disponibilidad del sistema y de tolerancia a fallos es requerido, ProSafe-RS puede ser diseñado con redundancia dual con tan sólo insertar una tarjeta adicional. Esta capacidad se denomina "Redundancia Modular Versátil" (VMR - Versatile Modular Redundancy). Debido a que las funciones de I/O y de procesamiento de ProSafe-RS son modulares, la redundancia se puede aplicar exactamente donde se necesita, a la entrada, salida y los módulos del procesador.
Cualquier combinación de redundancia dual puede ser configurada.
Al tener una configuración totalmente redundante con su robustez extrema, es posible mantener SIL3 incluso cuando se producen los siguientes casos:
• Falla en el Módulo de Entrada. • Falla en el Procesador.
• Falla en el Módulo de Salida.
A diferencia de sistemas que se basan enteramente en la redundancia para conseguir la seguridad y disponibilidad, el sistema VMR no tiene un modo de degradación, ni impone
Filosofía del sistema Bases de Diseño
Parte de los requisitos del estándar IEC 61508 son los pasos a seguir para la realización de un proyecto los cuales son denominados Administración Funcional de Seguridad (FSM). FMS registra la ejecución de todos los pasos en el ciclo de ejecución del proyecto, los cuales pueden ser verificados y controlados en cualquier momento.
Los pasos relevantes para las fases de procura y construcción se muestran en la Figura 9.1. Se asume que el cliente final y el contratista son responsables de la especificación de los Requerimientos de Seguridad. Las Matrices de Causa y Efecto, la especificación del proyecto y la Filosofía de Paro por Emergencia serán producto de la Especificación de Requerimientos de Seguridad y serán las bases durante la fase de procura y construcción.
Figura: 9.1 Fuente: IEC 61508 Diagrama de la fase de Procura y Construcción.
Debido a que las normas IEC 61508 y 61511 tienen diferentes ciclos de vida de seguridad, Yokogawa ha decidido seguir la norma IEC 61508 que es la más extensa.
Principios de Redundancia
El sistema ProSafe-RS será configurado bajo las siguientes arquitecturas: • Controlador Par Redundante (1oo2D).
• Módulos de I/O simples (1oo2D).
La denominación de la arquitectura 'D' refleja las capacidades extensivas de autodiagnóstico dentro de cada canal y un camino secundario que incluye un elemento secundario de control para diagnóstico.
La implementación 1oo2D (con controladores simples/redundantes o módulos de I/O) es elegible para aplicaciones de riesgo SIL 3.
La configuración 1oo2D es para aplicaciones SIL 3 según la norma IEC 61508.
El ProSafe-RS está diseñado como un sistema des-energizado para activar, lo cual define el estado de seguridad de todas las salidas como des-energizado y el estado de activación para todas las entradas como des-energizado.
Respecto a la disponibilidad del sistema y la tolerancia a fallas, el sistema ESD está configurado para redundancia dual, manteniendo SIL3 simplemente con la conexión apropiada a la tarjeta de I/O. Puesto que las funciones de los I/O ó las funciones de procesamiento del ProSafe-RS tiene una modularidad que se extiende hasta el nivel de función, la redundancia se puede aplicar exactamente donde se necesita, a la entrada, a la salida ó en los módulos de procesador. Esta flexibilidad permite cualquier combinación de redundancia dual para ser configurado como una entrada simple y salida redundante ó una entrada redundante y de salida simple.
El sistemas ESD funcionará según el principio 1oo2D a fin de cumplir el requisito de seguridad y disponibilidad.
Solucionador de Lógica
El ESD seguirá el principio de des-energizar para seguridad (DTS). Esto significa que para el ESD bajo condiciones saludables, la lógica es energizada y las salidas envían 24V (alimentación externa) a los dispositivos de campo.
Niveles de apagado y Filosofía de Reset
En general, los sistemas de Paro por Emergencia funcionan para aislar las corrientes de hidrocarburos entrantes ó salientes de los equipos de la planta así como de las instalaciones, retiraran el suministro de calor hacia los calefactores y recalentadores y detener todos los equipos rotativos asociados.
El SIS normalmente opera como un sistema independiente con la intervención manual posterior para propósitos de puesta en marcha, según sea necesario.
En el caso de una situación de emergencia (un proceso fuera de control que no se puede poner dentro de límites controlables ya sea automáticamente ó por la intervención manual), la planta deberá ser parcial ó totalmente parada de una manera controlada.
Para lograr esto, se deberán utilizar distintos niveles de Paro por Emergencia para la disminución potencial de riesgo. A fin de lograr una estructura jerárquica y geográfica para el sistema ESD, se deberá utilizar el principio de los niveles de Paro por Emergencia.
La jerarquía del sistema ESD operará en tres niveles: Nivel 1: Paro por Emergencia Total.
Nivel 2: Paro por Emergencia de un Equipo/Unidad (inicio manual y/o automático).
Nivel 3: Una acción de nivel 3, puede poner fuera de operación una sección grande de la planta.
El sistema ESD será diseñado bajo un principio de cascada, de tal manera, que cuando se inicie el Paro por Emergencia inmediatamente iniciará el paro en todos los niveles subordinados, según lo definidito en la Matriz de Causa y Efecto.
Secuencia de reinicio después del Paro por Emergencia: • Borrar todas las condiciones de disparo.
• Realizar restablecimientos locales (si procede).
• Aplicar la puesta en marcha en forma manual, en caso de ser necesario.
• Reiniciar el proceso desde el Cuarto de Control, detener el quipo, abrirlo, cerrarlo, etc.
Principio de votación
Los principios de típicos de votación utilizados para este proyecto serán:
1oo2
Esto significa que cuando uno de cada dos transmisores/dispositivos está en condiciones de disparo se inicia la ejecución de una acción.
2oo2
Esto significa que cuando dos de cada dos transmisores/dispositivos está en condiciones de disparo se inicia la ejecución de una acción.
2oo3
Esto significa que cuando dos de cada tres transmisores/dispositivos está en condiciones de disparo se inicia la ejecución de una acción.
Función de Primer Disparo
La función de Primer Disparo se basará primeramente en los grupos definidos por el cliente (si estos son definidos). Las condiciones de disparo de los iniciadores de entrada son monitoreadas en la transición de normal a disparo.
Cuando una de las entradas adquiere la condición de disparo la función de Primer Disparo es activada y marcara esta entrada como la primera causa del disparo. La marca del primer disparo será reestablecida cuando el correspondiente grupo de Primer Disparo sea restablecido. Este reset solo será posible cuando la señal causante del primer disparo ha regresado a condiciones normales. La utilización de la función de Primer Disparo deberá ser definida por el cliente.
Asignación de I/O
Reglas de segregación a observar:
• I/O se asignarán de manera que la disponibilidad de la planta sea optimizada y al mismo tiempo se logre una ocupación eficiente de los módulos de I/O.
• Para las I/O de equipos paralelos se utilizaran tarjetas separadas, en la medida que el diseño lo permita.
• Las Entradas Analógicas de 4 a 20 mA se asignarán a los módulos de SAI143. • Las Entradas Digitales serán asignadas a los módulos SDV144.
• Salidas digitales serán asignadas a los módulos SDV541.
• Los dispositivos de entrada 1oo2 y 2oo3 serán cableados hacia módulos separados de I/O, en la medida que el diseño lo permita.
• La asignación será realizada basándose en la distribución de Nodo/Slot/Canal definida por el cliente y en la base de datos de entradas y salidas también suministrada por el cliente.
• Diagnóstico del Sistema
• Los propósitos de los diagnósticos del SCS son:
• Notificar a los operadores de funcionamientos erróneos en es SCS ó fallas en el cableado de las I/O.
• Cambio automático en la configuración dúplex.
• Apagado automático de canal o módulo si se detecta una falla peligrosa.
Debido a las acciones adoptadas por diagnóstico de una falla peligrosa detectada, este tipo de fallas no resultará en una degradación del nivel SIS bajo demanda.El Procesador y módulos de I/O utilizados por el ProSafe-RS están clasificados como intrínsecamente seguros. De forma tal que no son permitidos fallas peligrosas no detectadas.
• El diagnóstico de amplia cobertura del SCS incluye: • Módulos Procesadores.
• Módulos de entrada. • Módulos de salida.
• Diagnóstico de cableado de campo con dispositivos de EOL (si aplica). •
Las descripciones detalladas de la función de gestión y diagnóstico así como de los Mensajes de Diagnostico se puede encontrar en la Estación de Control de Seguridad.
Algunas de las características de diagnóstico de canales I/O pueden ser activadas ó desactivadas por medio de los parámetros de I/O en el software de aplicación.
El EWS será utilizado para supervisar el sistema ESD con las herramientas de diagnóstico siguientes:
• SCS Status Overview • SCS State Management • SCS Diagnostic Information
En la ventana SCS Status Overview mostrará una lista de los procesadores del SCS en sus respectivas ubicaciones.
Además de las condiciones actuales de funcionamiento de cada uno de los SCS, esta ventana también mostrará mensajes con información de las funciones de diagnóstico de cada uno de los procesadores del SCS. Será posible identificar rápidamente si alguno de los procesadores del SCS tuviera fallas de sistema.
Figura: 9.2 Ventana SCS Status Overview.
La ventana SCS State Management muestra la información detallada sobre el estado de operación de los módulos procesadores y los módulos de entradas/salida para un solo controlador de SCS. Si una falla del sistema está presente, el equipo en falla será mostrado en un color diferente. Esta ventana también mostrará si existen algunos mensajes que hayan sido reconocidos. La ventana SCS State Management también es utilizada para las siguientes funciones.
Figura: 9.3 Ventana SCS State Management.
La ventana Diagnostic Information mostrará mensajes de información de diagnóstico en un formato de lista de un controlador SCS seleccionado.
La ventana Diagnostic Information es accesible desde la ventana SCS Status Overview ó la ventana SCS State Management. Sólo los mensajes de información de diagnóstico relacionados con el dispositivo seleccionado son mostrados en la ventana Diagnostic Information.
Hasta cinco ventanas Diagnostic Information pueden ser mostradas al mismo tiempo, cada ventana mostrará la información de una estación individual, un módulo de entradas/salidas, etc.
Reporte de Fallas
La aparición de un error de diagnóstico en cada SCS estará alarmado en la interfaz del operador. En la EWS por medio de la herramienta State Management se puede obtener información detallada sobre la causa del error.
Detección de fallas en Cableado
Las entradas de campo digitales y analógicas así como las salidas analógicas serán configuradas para detectar condiciones de falla en el cableado (circuito abierto y/o corto circuito).
Nivel de Seguridad en el SCS
Tres niveles de seguridad se proporcionan para el SCS del ProSafe -RS: nivel 2, 1 y 0. El SCS controla los niveles de seguridad para una operación segura del sistema.
Durante la operación normal, el nivel de seguridad se establece en el nivel 2 para proteger el SCS contra acceso ilegal.
El SCS tiene que ser fijado en un nivel de seguridad 1 para mantenimiento y en nivel 0 para operación fuera de línea (off-line).
Para evitar cambios erróneos del nivel de seguridad, es necesaria la autorización por contraseña. Diferentes contraseñas deben ser asignadas para la autorización de los niveles individuales de seguridad y SCS.
Control de acceso a la EWS
La aplicación de seguridad almacenada en la EWS protegida con contraseña, de modo que sólo al usuario autorizado se le permite operarla y modificarla. Cada proyecto SCS consiste en un controlador ProSafe-RS y su aplicación asociada.
Interfaces de operación
El software de ingeniería y mantenimiento del sistema ESD está instalado en la estación de trabajo de ingeniería (EWS). El EWS es un Microsoft Windows instalado en una PC que soporta el paquete de software Yokogawa ProSafe-RS. Esta PC será cargada con el paquete de software del ProSafe-RS junto con el Manual Electrónico de Instrucciones (Electronic Instruction Manual). La EWS tendrá las siguientes capacidades:
Workbench: Esta herramienta se utiliza para generar la lógica de seguridad relacionada con la aplicación, utilizando los siguientes lenguajes normados por la IEC 61131.
• Diagramas de lógica de escalera. • Diagramas de bloques funcionales • Texto estructurado.
SCS Status Overview: Esta herramienta se puede utilizar para supervisar el estado/operación del controlador SCS.
SOE Viewer: Esta herramienta se utiliza para configurar/monitorear el SOE (Secuencia de Eventos).
Implementación
Las matrices de causa y efecto suministradas por el cliente serán consideradas como el documento maestro para propósitos de configuración por encima del resto de documentos. Narrativas de control (si procede) se utilizarán para apoyar las Matrices de causa y efecto.
En resumen, los pasos en la aplicación del SIS son los siguientes: • Asignación de I/O.
• Definición de típicos y la asignación de Hardware para I/O. • Definición de típicos y la asignación de Software para I/O.
• Programación de configuración usando bloques de función según IEC 61131.
• Pruebas internas contra matrices de causa y efecto para comprobar el correcto funcionamiento.
Información General del Equipo
Organización del Sistema
El componente principal del SCS es la Unidad de Control de Seguridad (SCU), que consiste en un nodo con los módulos Controladores y fuentes de alimentación. El programa de aplicación en el Controlador ejecutará diagnósticos y recogerá el estado de las I/O. Los módulos I/O están conectados al Controlador por medio del Bus ESB. Este Bus se puede extender a otros nodos de unidades de seguridad, que se componen de nodos con fuentes de alimentación y módulos de interfaz de Bus ESB y ofrece ranuras adicionales para módulos de I/O.
Por medio de cables del sistema se proporciona la conexión desde los módulos de I/O hasta las Tablillas de Conexiones de Campo (FTA) donde se conectarán los lazos de los circuitos de campo.
La Vnet/IP (IEEE 802.3 Bus orientado a redes) es la red de control de procesos, conectando todos los componentes activos del ProSafe -RS. La red Vnet/IP es utilizada para transferir información de configuración y datos de las aplicaciones de seguridad. El SCS del ProSafe-RS está conectado a la red de control y seguridad a través de una interface Vnet/IP en el SCU.
Dentro de los componentes básicos de la PC destinada para ser EWS, se incluirá una tarjeta de interfaz Vnet/IP que se utiliza para la comunicación segura y confiable en la red.
Descripción del sistema Sistema ESD
Un (1) Sistema ESD: Solución basada en un sistema ProSafe-RS con los módulos de I/O no redundantes y procesadores redundantes (1oo2D), incluyendo dos fuentes de alimentación con redundancia dual y todas las tarjetas de interfaz necesarias así como el cableado dentro del sistema. Materiales comunes
Una (1) Estación de Trabajo de Ingeniería (EWS), para el desarrollo de programas y procedimientos de mantenimiento: PC de escritorio.
Configuración Interna del sistema
Para cualquier proyecto el SCS puede tener una configuración parcial ó completamente dúplex. Cada Controlador ProSafe-RS, módulo de entradas ó salidas, presenta una arquitectura dual que proporciona protección a nivel SIL 3 en una sola tarjeta.
El SCS en la configuración de dúplex tiene redundancia dual en los módulos I/O y redundancia dual en los controladores, pero también es posible cualquier combinación de módulos simples y redundantes. Como ejemplo, dos de las configuraciones populares se muestran en las siguientes figuras. Cabe señalar que la combinación de una I/O simple ó redundante y las configuraciones del Controlador y el rack pueden ser diseñadas para adaptarse a la disponibilidad requerida.
La configuración de un solo módulo consiste en un módulo de control y un conjunto de módulos de I/O.
Figura: 9.6 ProSafe-RS Arquitectura interna dual, configuración redundante completa. La configuración de hardware dúplex se compone de dos módulos de control y dos juegos idénticos de módulos I/O que residen en las ranuras adyacentes en el mismo rack.
Los módulos Controladores CPU y módulos I/O son diagnosticados por el hardware y el software periódicamente. Los errores en la comunicación entre el módulo Controlador y módulos I/O y en la comunicación entre SCS pueden ser detectados por las distintas mediciones.
Cuando se detecta un error, el valor de estado-seguro en caso de fallos es utilizado como el valor de salida y un mensaje de información de diagnóstico es emitido. El mensaje de información de diagnóstico es entregado a la EWS por medio de la Vnet/IP, es útil para identificar los detalles y la causa del error.
En la configuración redundante, el otro módulo Controlador que está funcionando normalmente toma el control para continuar la operación. El mensaje de información de diagnóstico que se emite al mismo tiempo ayuda a identificar la ubicación de error.
Acciones de falla-segura pueden ser configuradas en el sistema cuando se detecte un fallo en un módulo I/O.
De acuerdo a sus requerimientos de la especificación solicitada para la implementación de un sistema instrumentado de seguridad de la Planta Termoeléctrica Alberto Lovera que comprende el BOP
Alcance
Suministro e instalación de un Sistema Instrumentado de Seguridad basado en equipos de la familia ProSafe-RS los cuales cuentan con certificación TUV Nivel de Integridad SIL 3, procesamiento Pair & Sapre, tecnología Hot-Swap, votación 1oo2D y sin degradación para el sistema el Sistema de Parada de Emergencia (ESD), asociado a los Sistemas de Procesos que constituyen el "Balance de Planta" - BOP, en la Planta Termoeléctrica Alberto Lovera (PAL), ubicada Refinería de Puerto La Cruz (PDVSA), Puerto La Cruz Edo. Anzoátegui, de la República Bolivariana de Venezuela.
Suministro del hardware de campo necesario para llevar a cabo la correcta integración del sistema propuesto como son controladores, bastidores, módulos de entradas, salidas, módulos de comunicación, etc.
Suministro del Software de control necesario en cumplimento con la especificación técnica para llevar a cabo la Operación, Ingeniería.
Suministro de los dispositivos necesarios para la implementación de una red de control