Diagnósticos del transmisor
En el artículo anterior hemos explicado de una forma breve cuáles son los fallos del transmisor que afectan al cálculo de PFDavg / PFH y MTTFS de la Función Instrumentada de Seguridad (SIF). Vamos a profundizar un poco más sobre los diagnósticos del transmisor y a explicarlo con algún ejemplo.
Recordemos que los fallos “Fail High” y “Fail Low” no son detectados por los diagnósticos del transmisor, pero pueden detectarse en el PLC (Logic Solver). Sin embargo, los fallos “Fail Detected” sí que son detectados por los diagnósticos internos del transmisor.
Cuando la señal del proceso (por ejemplo, de presión de gas) está fuera del rango de medida del transmisor entonces se produce la saturación de la señal de 4-20 mA (>20 mA o <4 mA). Lo normal es que esta indicación de señal saturada esté dentro de unos ciertos límites, como se muestra en la tabla de ejemplo. Si la señal está fuera de esos límites entonces lo que indica es que se ha producido un fallo interno en el transmisor (“Fail High”, “Fail Low” o “Fail Detected”).
Ejemplo de un transmisor Rosemount:
| Nivel | Valor de saturación (4-20 mA) | Alarma por fallo de la señal 4-20 mA |
| Bajo | 3.9 mA | ≤ 3.75 mA |
| Alto | 20.8 mA | ≥ 21.75 mA |
En el software de aplicación del PLC de seguridad podemos diagnosticar estos tipos de fallos del transmisor. Los fallos “Fail High” y “Fail Low” son fallos no detectados por los diagnósticos del transmisor, pero pueden convertirse en fallos detectados por el PLC.
Los fallos “Fail Detected” sí que son detectados por los diagnósticos del transmisor. Si el transmisor se ha configurado en “over-range” entonces la señal analógica se va a un valor mayor de 20 mA (en el ejemplo ≥21.75 mA), si se ha configurado en “under-range” entonces la señal se va a menos de 4 mA (en el ejemplo ≤ 3.75 mA).
En cada Función Instrumentada de Seguridad la lógica a implementar en el PLC puede variar, dependiendo del tipo de disparo (High o Low), del tipo de arquitectura y de los criterios de diseño utilizados en el diseño del SIS.
Además, cuando calculamos la probabilidad de fallo PFDavg debemos tener esto en cuenta con objeto de clasificar correctamente los fallos. Cualquiera de estos fallos puede ser peligroso o seguro dependiendo del caso.
Para entender mejor esto veamos un ejemplo sencillo.
Criterios de diseño de esta SIF de ejemplo:
1-El transmisor debe disparar el proceso por alta presión cuando la señal llega a 17 mA.
2-La arquitectura es 1oo1, y cualquier fallo peligroso detectado del transmisor debe generar una alarma, pero no debe parar el proceso.
3-El transmisor se configura en posición LOW (“under-range”), de forma que todos los fallos detectados “Fail Detected” llevan la señal del transmisor a menos de 3.75 mA.
4-Los modos de fallo del transmisor y sus tasas de fallos por hora son las siguientes (información proporcionada por el fabricante):
| Tipo de fallo | Tasas de fallos/hora (FITS) | Notas |
| Fail Safe Undetected (SU) | 94 | |
| Fail Detected | 222 | Fallos internos detectados. Pueden ser SD o DD (si se programa en el PLC). |
| Fail High | 29 | Señal >20 mA. Puede ser SD o DD. |
| Fail Low | 27 | Señal <4 mA. Puede ser SD o DD. |
| Fail Dangerous Undetected (DU) | 41 |
Clasificación de los fallos en esta SIF:
Con estos criterios debemos implementar en el PLC diagnósticos de aplicación de forma que debemos alarmar y no disparar el proceso cuando la señal del transmisor sea menor de 4 mA.
La Tabla de modos de fallo del transmisor, con estos criterios de diseño, se convierte en lo siguiente:
| Tipo de fallo | Tasas de fallos/hora (FITS) | Notas |
| Fail Safe Undetected (SU) | 94 | Fallos seguros no detectados por los diagnósticos del transmisor |
| Fail Detected (DD) | 222 | Fallos internos detectados. La señal se va a 3.75 mA pues el transmisor se ha configurado en “under-range”. Se alarma en el PLC. |
| Fail High (SD) | 29 | Señal >20 mA. Se dispara el proceso. |
| Fail Low (DD) | 27 | Señal <4 mA. Se alarma en el PLC. |
| Fail Dangerous Undetected (DU) | 41 | Fallos peligrosos no detectados. Son los que más impactan al valor de PFDavg / PFH. |
Es muy recomendable implementar este tipo de diagnósticos de aplicación en el PLC. En cada proyecto hay que definir en la SRS (especificación de requerimientos de seguridad) los criterios a seguir para cada tipo de arquitectura. Por ejemplo, si queremos dar prioridad a la producción, podemos definir que en la arquitectura 1oo1 no se dispare el proceso (como en el ejemplo anterior), en la 1oo2 no disparamos el proceso y degradamos temporalmente la arquitectura a 1oo1 (LOW), sin embargo, en las 2oo2 y 2oo3 disparamos el canal afectado y degradamos las arquitecturas a 1oo1 y 1oo2 respectivamente (el transmisor se configura en HIGH en estos 2 casos pues el proceso no se dispara aunque falle un canal).
| Arquitectura | Setpoint de disparo del proceso | Configuración del transmisor | La arquitectura se degrada temporalmente a: |
| 1oo1 | High | Low | SIF anulada |
| 1oo2 | High | Low | 1oo1 |
| 2oo2 | High | High | 1oo1 |
| 2oo3 | High | High | 1oo2 |
Si el setpoint de disparo fuera “Low” la configuración del transmisor sería al revés.
Si preferimos dar prioridad a la seguridad (disparo del proceso) entonces la configuración del transmisor del ejemplo sería siempre “High” (“over-range”). En este caso todos los fallos se convierten en SD de la forma siguiente:
| Tipo de fallo | Tasas de fallos/hora (FITS) | Notas |
| Fail Safe Undetected (SU) | 94 | Fallos seguros no detectados por los diagnósticos del transmisor |
| Fail Detected (SD) | 222 | Fallos internos detectados. La señal se va a 21.75 mA pues el transmisor se ha configurado en “over-range”. El PLC dispara el proceso. |
| Fail High (SD) | 29 | Señal >20 mA. El PLC dispara el proceso. |
| Fail Low (SD) | 27 | Señal <4 mA. El PLC dispara el proceso. |
| Fail Dangerous Undetected (DU) | 41 |
¿Cómo se configura en la herramienta SILcet?
Ejemplo: El proceso se dispara por alta presión.
| Transmisor en «under range» | Transmisor en «over range» |
| Clasificar las tasas de fallo proporcionadas por el fabricante del transmisor como en el primer ejemplo, es decir, los fallos “Fail Low” y “Fail Detected” son fallos DD. Los “Fail High” son SD (lo más práctico es realizar esta clasificación en la hoja “sensor” donde hemos creado la base de datos de los componentes del proyecto). | Clasificar las tasas de fallo proporcionadas por el fabricante del transmisor como en el segundo ejemplo, es decir, los fallos “Fail High”, “Fail Low” y “Fail Detected” son fallos SD (lo más práctico es realizar esta clasificación en la hoja “sensor” donde hemos creado la base de datos de los componentes del proyecto). |
| Dejar vacía la columna «Trip» (columna Z) | Dejar vacía la columna «Trip» (columna Z) |
¿Qué ocurre si no implementamos estos diagnósticos en el Logic Solver?
Lo que ocurre es que todos los fallos son “no detectados”, es decir, SU y DU.
Si el disparo es por alta (High Trip) y el transmisor se configura en “over-range” las tasas de fallos serían las siguientes:
| Tipo de fallo > | SD | SU | DD | DU |
| Sin diagnósticos en el Logic Solver (PLC) | 0 | 94+ 222+ 29 | 0 | 41 + 27 |
Enlace relacionado: