Introducción
Las consecuencias de un disparador falso o fallido pueden ser enormes en la turbomaquinaria moderna. Consideremos por un momento un compresor de etileno en el que falla un cojinete de empuje sin una función de disparo fiable. Al destruirse el cojinete, no hay nada que limite el movimiento axial del conjunto del rotor. Las juntas se limpian y el etileno se escapa, entrando en contacto con la cara caliente de la junta. Se produce un incendio y una explosión. Sin embargo, el daño está lejos de haber terminado. El rotor sigue moviéndose axialmente, sin cesar, ya que las piezas giratorias y las fijas entran en contacto, y el conjunto multimillonario antes conocido como rotor se convierte en una mazorca de maíz. La planta se ve obligada a quemar. Se generan titulares que llegan a las noticias nacionales. Se suceden las multas y los pleitos, algunos relacionados con cuestiones medioambientales. Se pierden semanas de producción. La planta se esfuerza por encontrar piezas de repuesto y movilizar al personal para efectuar las reparaciones, que no se limitan a la máquina averiada y han dañado muchas partes de la unidad de proceso. Los clientes de fases posteriores de la cadena de valor también se ven afectados, ya que la falta de materia prima crea un efecto dominó. Y, sólo si la planta es excepcionalmente afortunada, no se producen lesiones graves ni víctimas mortales.
Se podrían pintar cuadros similares en múltiples industrias y tipos de máquinas. No es de extrañar que muchos operadores estén insistiendo en el uso de bucles de protección SIL en un número cada vez mayor de máquinas. Entendemos esta necesidad y nos complace ofrecer la certificación SIL-2 en nuestra plataforma VM600Mk2 , al igual que la ofrecimos en nuestra plataforma VM600 original. La certificación está disponible tanto en nuestro módulo universal MPC4Mk2 “una tarjeta lo hace todo” como en nuestro módulo de relés RLC16Mk2 de 16 canales.
Historia de SIL
Hoy en día, la necesidad de SIL es abundante, ya que muchos clientes consideran la vibración seleccionada, el empuje y otros parámetros como una Función Instrumentada de Seguridad (SIF) en un esfuerzo por reducir el riesgo. Aunque artificioso, el ejemplo de la introducción de este artículo es aleccionador y, por desgracia, totalmente plausible.
El uso creciente de la instrumentación para reducir riesgos en la industria de procesos se remonta sobre todo a la catástrofe de Union Carbide en Bhopal en 1984, considerada el peor accidente industrial de la historia. El número exacto de víctimas mortales sólo puede estimarse, pero las estimaciones oficiales del gobierno superan las 5.200 personas y se indemnizó a más de 570.000 personas que sufrieron lesiones. La frase “nunca más” resonó en todas las industrias de procesos y en las dos décadas siguientes aparecieron normas como ISA S84.01, IEC 61508 e IEC 61511 como orientación sobre el uso de instrumentación (Sistemas Instrumentados de Seguridad) para reducir riesgos. Los fabricantes siguieron el ejemplo desarrollando arquitecturas altamente redudantes y tolerantes a fallos, así como una metodología normalizada para cuantificar la reducción del riesgo en un factor de 10-99 (SIL 1), 100-999 (SIL 2) o 1000-9999 (SIL 3).
Figura 1: ISA S84.01 fue la primera norma para el sector de la industria de procesos relativa a los Sistemas Instrumentados de Seguridad (SIS) y se publicó originalmente en 1996. IEC 61511 es esencialmente la versión internacionalizada de S84.01 y se publicó en 2003.
Aunque en un principio se limitaba principalmente a los autómatas programables (PLC) utilizados como sistemas de parada de emergencia (ESD), se hizo evidente la necesidad de dispositivos de campo que también tuvieran clasificación SIL, así como la necesidad de sistemas que alimentaran a su vez el sistema ESD. En conjunto, se conocen como sistemas electrónicos programables (PES) que proporcionan funciones instrumentadas de seguridad (SIF) con certificaciones de nivel de integridad de seguridad (SIL). ¿Qué le parece esta frase llena de acrónimos?
El resultado final, sin embargo, es que un bucle de instrumentos (una o más entradas de la cadena de medición, un monitor que proporciona el procesamiento y la alarma asociados, y una o más salidas) es tan fuerte como su eslabón más débil. Así, si un bucle consta de un elemento SIL 3 (quizás un relé de interposición o un elemento de parada final como una válvula), un elemento SIL 2 (como un sensor) y un elemento SIL 1 (como un sistema de supervisión), el propio bucle será SIL 1. Como dispositivos simples, la mayoría de los sensores no son el factor limitante en la clasificación SIL de un bucle. Suele ser el monitor. Del mismo modo, la mayoría de los elementos de control final son dispositivos sencillos y pueden alcanzar SIL 2 o 3 mediante redundancia.
En la práctica, la gran mayoría de las aplicaciones de vibración de maquinaria en las que se requiere un bucle con clasificación SIL son SIL 1 o SIL 2. Por el contrario, SIL 3 es común en los requisitos de los bucles de protección contra sobrevelocidad, lo que garantiza que se puede escalar incluso a las aplicaciones más exigentes cumpliendo los requisitos SIL 3 y ajustándose a API 670.
Disparos falsos frente a disparos perdidos
Un falso disparo (a veces llamado disparo “espurio”) puede tener grandes repercusiones económicas porque muchas máquinas también detienen el proceso y reiniciar un proceso puede llevar muchas horas y a veces incluso un día o más. Sin embargo, una desconexión falsa rara vez es un problema de seguridad, sino económico. En el mundo de los sistemas instrumentados de seguridad, el estado seguro de una máquina se considera siempre su estado de parada. Por consiguiente, la seguridad funcional se limita necesariamente a las desconexiones fallidas, no a las falsas desconexiones.
Siguiendo este razonamiento, el sistema más seguro utilizaría n niveles de redundancia y una votación de 1 sobre n. Por ejemplo, si se utilizaran tres sistemas de desconexión independientes, sería tres veces menos probable que se produjera un fallo que si se utilizara un enfoque simplex (1 sobre 1). El problema, claro está, es que los sistemas también pueden generar un falso disparo y esto también es 3 veces más probable bajo una configuración 1-de-3. Podríamos reducir arbitrariamente la probabilidad de que se produzca un falso viaje pasando a 1 de 4, 1 de 5, etc., pero la probabilidad de que se produzca un falso viaje también aumenta. Como ya se ha dicho, esto rara vez es aceptable porque un viaje falso tiene repercusiones económicas.
Por otro lado, se puede reducir la probabilidad de que se produzcan viajes falsos utilizando votaciones redundantes. Por ejemplo, si tomamos los mismos 3 sistemas supuestos anteriormente, y en lugar de la votación lógica OR (1 de 3), empleamos la votación lógica AND (3 de 3). La probabilidad de que los tres sistemas fallen al mismo tiempo y generen un falso disparo es claramente menor que en un sistema de 1 sobre 3, pero si uno solo de los tres bucles falla, perderemos un disparo y, por tanto, un sistema de 3 sobre 3 es menos seguro que un sistema de 1 sobre 3.
Para hacer frente a estas necesidades simultáneas pero contrapuestas, la industria ha adoptado generalmente un enfoque m-de-n para lograr una seguridad funcional que equilibre la probabilidad de falsas desconexiones con la de desconexiones omitidas, alcanzando al mismo tiempo el Nivel de Integridad de la Seguridad (SIL) necesario. Encontrará más información sobre este tema a partir de la página 9 de nuestra publicación informativa SPEEDOMETER.
Módulos con clasificación SIL
Los dos módulos que proporcionan protección de parada de máquina en nuestra plataforma VM600Mk2 son el módulo de supervisión MPC4Mk2 de 4 canales de configuración universal y el módulo de relés RLC16Mk2 de 16 canales. El MPC4Mk2 contiene sus propios relés y, por lo tanto, la necesidad de un módulo RLC16Mk2 sólo se produce cuando se requieren más contactos de cableado o una lógica de votación más compleja que la que pueden acomodar los cuatro relés de alarma configurables por el usuario y el único relé de estado a bordo de cada MPC4Mk2.
Las versiones SIL de los módulos MPC4Mk2 (izquierda) y RLC16Mk2 (derecha) se distinguen fácilmente por el uso del “naranja de seguridad” en las asas de inserción/extracción. El IOC4Mk2 (centro) también cuenta con asas de extracción de color naranja de seguridad y es el módulo de E/S complementario del MPC4Mk2.
Para aplicaciones SIL, siempre se requieren fuentes de alimentación redundantes.
Dado que ninguno de los otros módulos VM600Mk2 forma parte de las funciones de protección, no se requiere clasificación SIL. Esto incluye el CPUM (utilizado para comunicaciones), el XMC16 (monitorización del estado de la combustión) y el XMV16 (monitorización del estado de las vibraciones).
Tanto los módulos SIL como los no SIL pueden coexistir en el mismo bastidor VM600; los sistemas con clasificación SIL siempre requieren fuentes de alimentación redundantes.
Sin embargo, con los nuevos módulos MPC4Mk2, ya no son necesarios los módulos de monitorización de estado independientes del XMV16: el MPC4Mk2 integra tanto las capacidades de protección como las de monitorización de estado en el mismo módulo físico.
Preguntas frecuentes
P1: ¿Cómo se consigue el SIL 2? ¿Requiere sensores redundantes? ¿Canales redundantes? ¿Relés redundantes?
R1: SIL 2 sólo requiere un único canal, excepto para aquellas mediciones que son intrínsecamente de doble canal, como la doble expansión de caja, la doble expansión diferencial, etc. Los filtros de seguimiento merecen una mención especial porque requieren entradas tanto de velocidad como de vibración, pero a diferencia de la versión no SIL de la medición, los filtros de seguimiento SIL requieren canales de velocidad redundantes. Así pues, una medición de un filtro de seguimiento SIL consume tres (3) canales MPC4Mk2, como se indica a continuación:
1) Canal de vibración
2) Canal de velocidad 1
3) Canal de velocidad 2
P2: ¿En qué se diferencian los módulos SIL de los que no lo son? ¿Son idénticos excepto por el firmware o existen otras diferencias?
A2: Un módulo SIL contiene circuitos adicionales en comparación con los módulos no SIL, lo que permite una mejor cobertura de diagnóstico. Los módulos SIL también utilizan un firmware diferente al de los módulos no SIL. Por esta razón, las instalaciones que tienen una mezcla de módulos SIL y no SIL deben llevar dos repuestos diferentes.
P3: ¿Pueden actualizarse los módulos SIL sobre el terreno con un nuevo firmware?
R3: Sí, pero existen restricciones, ya que los responsables deben aprobar todo el bucle de seguridad cuando se realizan cambios. Por tanto, no se trata simplemente de instalar un nuevo firmware. Cuando se publica un nuevo firmware para un módulo no SIL, es incompatible y, por tanto, no puede instalarse en un módulo SIL. A la inversa, cuando se publica un nuevo firmware para un módulo SIL, el proceso generalmente implica algo más que la simple instalación del firmware: implica un nivel de papeleo y autorizaciones utilizado por su organización en conjunción con sus sistemas instrumentados de seguridad, funciones y bucles. Por lo general, estos trámites no serán exclusivos del VM600Mk2, sino que serán de aplicación general en toda la organización.
P4: Aunque se pueden mezclar módulos SIL y no SIL en el mismo bastidor, ¿se pueden mezclar canales SIL y no SIL en el mismo módulo con clasificación SIL?
R4: Aunque es posible, no se recomienda como práctica recomendada. Una vez que se introducen mediciones no SIL en un módulo SIL, quedan sujetas a las restricciones de los canales SIL del módulo. Uno de los problemas de mezclar canales es que resulta más fácil confundir canales SIL y no SIL cuando coexisten en el mismo módulo. Por lo tanto, actividades como la derivación de un canal, el cambio de un punto de ajuste o retardo de alarma, el cambio de un parámetro de configuración, etc. requieren una vigilancia adicional para garantizar que el cambio se realiza en los canales no SIL y no en los canales SIL. La forma más sencilla de evitar posibles errores es separar completamente las mediciones SIL y no SIL en módulos diferentes.
P5: Dentro de un MPC4Mk2 con clasificación SIL, ¿hay alguna restricción en cuanto a los tipos de canales disponibles, o están disponibles los mismos canales que en la versión no SIL?
R5: Los tipos de canales disponibles entre los dos módulos son los mismos. Sin embargo, algunos canales deben configurarse de forma diferente en la versión SIL y en la versión no SIL. Los filtros de seguimiento son un ejemplo notable (véase Q1). El manual de seguridad del VM600Mk2 es el documento definitivo sobre las limitaciones y restricciones de configuración/aplicación y debe ser consultado.
P6: Para los tipos de canal que requieren una entrada de velocidad o fase además de un sensor de vibraciones, como un canal de filtro de seguimiento aerodinámico, ¿cómo se gestiona esto y hay disponible una solución SIL?
A6: Consulte nuestra respuesta a la pregunta 1.
P7: ¿Hay alguna razón por la que los módulos CPUM, XMV16 y XMC16 no tengan certificaciones SIL?
R7: Estos módulos no se utilizan para la protección de la maquinaria -sólo para comunicaciones, monitorización del estado de las vibraciones y retroalimentación de la dinámica de combustión al sistema de control de la turbina- y, por tanto, SIL no es un requisito, ya que estos bucles no forman parte de las funciones instrumentadas de seguridad. En el momento en que los clientes puedan imponer requisitos SIL en mediciones como la dinámica de combustión9, volveremos a examinar la necesidad de certificación de tipos de módulos adicionales.
P8: ¿Se dispone de entradas de temperatura o variables de proceso con clasificación SIL en la plataforma VM600MK2?
R8: El MPC4Mk2 incorpora la filosofía “una tarjeta lo hace todo” de los vibrómetros y, por lo tanto, puede alojar entradas de temperatura y variables de proceso para aplicaciones con clasificación SIL. Cualquier canal (incluidos los dos canales “auxiliares”) de cada MPC4Mk2 puede configurarse para aceptar señales proporcionales de CC (tensión o corriente). De este modo, las variables de proceso son directamente compatibles. Las entradas de temperatura requieren un transmisor de temperatura para convertir la señal de un termopar o RTD en una señal de 4-20 mA.
P9: ¿Pueden utilizarse los canales de velocidad del VM600MK2 para la protección contra el exceso de velocidad SIL?
R9: No. Las entradas de referencia de velocidad/fase no están diseñadas para utilizarse en aplicaciones de sobrevelocidad, tanto si tienen clasificación SIL como si no.
Q10: Cuando se utiliza un módulo RLC16Mk2, ¿hay alguna indicación en el panel frontal sobre dónde reside el módulo?
R10: No. Por lo tanto, el RLC16Mk2 no tiene un módulo correspondiente ni una placa frontal especial; consiste únicamente en un módulo de E/S diseñado para su inserción en la parte posterior del rack. Dependiendo de cómo se compartan las señales de relé en el backplane, existe una flexibilidad considerable en cuanto a la ubicación del RLC16Mk2 (tanto en la versión SIL como en la no SIL), a excepción de la ranura 0 (detrás del CPUM). En algunos casos, el mejor lugar para colocarlo será inmediatamente detrás de una ranura frontal vacía del rack. En otros casos, puede tener sentido que ocupe una ranura disponible (16) detrás de la fuente de alimentación. El software Protect del paquete VibroSight se utiliza para configurar el VM600Mk2 y es capaz de indicar dónde residen todos los módulos en el bastidor, incluidos los módulos de relé.
P11: ¿Cuál es la función del módulo IOC4Mk2 y por qué cuenta con la certificación SIL?
A11: La IOC4Mk2 (tarjeta de entrada/salida) proporciona toda la conversión analógico-digital de las señales de los sensores entrantes para la MPC4Mk2 (tarjeta de protección de la máquina) y es donde va a parar su cableado. Dado que gestiona las señales utilizadas para la protección, tiene clasificación SIL. El procesamiento real de las señales, la comparación de umbrales de alarma y otras funciones de protección tienen lugar en el propio módulo MPC4Mk2 correspondiente. A excepción del RLC16Mk2, todos los módulos del VM600Mk2 constan de un módulo de panel frontal y un módulo de E/S correspondiente que se inserta por la parte posterior.
P12: ¿Hay alguna diferencia entre una configuración SIL 1 y SIL 2? ¿Se puede utilizar el sistema para cumplir cualquiera de las dos clasificaciones SIL?
R12: No hay ninguna diferencia de hardware o configuración entre un canal SIL-1 y un canal SIL-2 en el sistema VM600Mk2. Por lo tanto, cuando existe un requisito SIL-1, se puede utilizar la clasificación SIL-2 del VM600Mk2 para cumplir (superar) dicho requisito.
P13: ¿Qué empresa se utiliza para proporcionar la certificación SIL del VM600Mk2?
R13: Hemos seleccionado a Exida (www.exida.com) para esta tarea. Puede obtener más información sobre la certificación SIL y los conceptos SIL en general en esta presentación informativa titulada “Understanding the How, Why, and What of a Safety Integrity Level”.
P14: ¿Se puede utilizar cualquier versión de VibroSight Protect para configurar los nuevos módulos SIL?
R14: No. Sólo la versión 7.3.0 (junio de 2023) o posterior.
P15: ¿Cuál es el intervalo de prueba recomendado?
R15: Un (1) año es lo habitual; cinco (5) años es lo máximo según lo estipulado en nuestra certificación SIL.
P16: ¿Pueden coexistir las funciones de monitorización de estado con las funciones de protección de las tarjetas MPC4Mk2 con clasificación SIL?
R16: Sí. Como se indica en la P2, el hardware de las tarjetas con clasificación SIL es diferente e incorpora redundancia autónoma para las funciones de protección, lo que permite mejorar tanto la detección de fallos como la tolerancia a los fallos a lo largo de la ruta de procesamiento de la señal de protección. Al igual que con las tarjetas MPC4Mk2 estándar, la protección integrada y la monitorización de estado pueden activarse sin necesidad de módulos de monitorización de estado independientes y dedicados, como el XMV16. Si el usuario opta por habilitar la funcionalidad de monitorización de estado en módulos MPC4Mk2 con clasificación SIL, esto no afecta a la clasificación SIL, ya que este procesamiento se lleva a cabo en una parte completamente diferente del módulo.