Arquitecturas más utilizadas
En la siguiente tabla mostramos las arquitecturas más utilizadas al diseñar Funciones Instrumentadas de Seguridad (SIF).
Lógica | Canales | HFT (S) | HFT (D) | Objetivos | Uso en |
1oo1 | 1 | 0 | 0 | sensor, actuador | |
1oo2 | 2 | 1 | 0 | Más Seguridad | sensor, actuador |
2oo2 | 2 | 0 | 1 | Más Disponibilidad | sensor, actuador |
2oo3 | 3 | 1 | 1 | Seguridad + Disponibilidad | sensor, PLC |
1oo2D | 2 | 1 | 0 | Seguridad con diagnósticos altos | PLC (DMR) |
2oo4D | 4 | 2 | 1/2 | Seg.+ Disp. con diagnósticos altos | PLC (QMR) |
2oo3D | 3 | 1/2 | 1/2 | Seg.+ Disp. con diagnósticos altos | PLC (TMR) |
HTF(S)= Tolerancia a fallo para Seguridad
HFT(D)= Tolerancia a fallo para Disponibilidad
Recordemos que la lógica de los subsistemas sensor y actuador se programa en el Logic Solver (PLC de Seguridad). Esta lógica puede ser sencilla (1oo1, 1oo2, 2oo3, 2oo2) o mucho más compleja combinando varios grupos (por ejemplo, arquitectura 2oo2 con 2 grupos 1oo2).
¿Qué significa “MooN”?
En una SIF hay 3 subsistemas, cada uno puede tener una arquitectura diferente. Cuando hablamos de una arquitectura MooN (M de N, o en inglés “M out of N”) tenemos:
- N canales (por ejemplo: N sensores, o N válvulas de corte, o N microprocesadores en el PLC, o N transistores en cada salida digital del PLC, etc.)
- Hay un sistema de votación entre los N canales, de forma que M canales deben actuar para que la arquitectura realice correctamente su función de seguridad (por ejemplo, si tengo 2 sensores con una arquitectura 1oo2 entonces es suficiente con sobrepasar el umbral de disparo en 1 canal para que la SIF actúe sobre el elemento final).

¿Qué es la “tolerancia a fallo” de una arquitectura?
La tolerancia a fallo (en inglés HFT de “Hardware Fault Tolerance”) nos indica el número máximo de canales que pueden fallar para seguir protegidos, aunque se haya producido una degradación de la arquitectura.
Por ejemplo, si uno de los canales de la arquitectura 1oo2 falla (por ejemplo, una de las válvulas se queda agarrotada y no puede cerrar) entonces la arquitectura se degrada a 1oo1 pues nos queda 1 válvula para cerrar el paso de fluido en caso de que se demande la actuación de la Función de Seguridad.
En la siguiente gráfica se comparan varias arquitecturas. En el eje vertical tenemos la PFDavg (probabilidad media de fallo en demanda) y en el horizontal el valor de MTTFS (“Mean Time To Fail Spuriously”. Este parámetro mide cada cuantos años es probable que se produzca un fallo seguro de la SIF y, por tanto, que se pare el proceso).
La arquitectura 2oo3 es la más utilizada en sistemas críticos en los que necesitamos tanto seguridad como disponibilidad del proceso.
