1-2
Política SIL
Publicación 1756-RM092A-ES-P - Septiembre 2002
TUV Rheinland ha aprobado el sistema ControlLogix para su uso en
aplicaciones relacionadas con la seguridad hasta SIL 2 (inclusive) en las que el
estado desactivado se considera que es el estado seguro. Todos los ejemplos
relacionados con E/S que se incluyen en este manual se basan en conseguir
que el estado desactivado sea el estado seguro para los sistemas de apagado de
emergencia ESD típicos.
ControlLogix es un sistema modular y configurable que tiene la capacidad de
preconfigurar salidas y otras respuestas para condiciones de fallo. Como tal,
puede diseñarse un sistema que cumpla con los requisitos para "retener el
último estado" en el caso de un fallo, de modo que pueda usarse el sistema
hasta el nivel SIL 2 con aplicaciones de gas y fuego, entre otras, que requieren
que las señales de salida para los accionadores permanezcan activas. Al
entender el comportamiento del sistema ControlLogix para una aplicación de
apagado de emergencia (ESD), el diseño del sistema puede incorporar medidas
apropiadas para cumplir con los requisitos de otras aplicaciones. Estas medidas
están relacionadas con el control de salidas y los accionadores que deben
permanecer activos para estar en un estado seguro. Los otros requisitos para
SIL 2 relacionados con las entradas de los detectores, software etc., también
deben cumplirse. A continuación se indican las medidas y modificaciones
relacionadas con aplicaciones de gas y fuego.
• Es necesario usar una anulación manual para garantizar que el operador
pueda mantener el control deseado en el caso de que se produzca un
fallo en el controlador. En cuanto a concepto, esto es parecido a la
función del relé externo o de salidas redundantes necesario para
garantizar que se llega a un estado de desactivación para un sistema ESD
si se produce un fallo que pueda impedir que esto se produzca, como
ocurre en el caso de un driver de salida cortocircuitado. El sistema sabe
que tiene un fallo, pero el modo de fallo requiere un medio
independiente para mantener el control y poder o bien eliminar la
alimentación o bien proporcionar una vía alternativa para mantener la
alimentación en el accionador final.
• Si la aplicación no puede tolerar una salida que se activa de forma
normal y que puede fallar en un fallo abierto, debe conectarse mediante
cable un relé externo o una salida paralela al dispositivo de salida. El
usuario debe desarrollar un programa de aplicación que inicie cualquiera
de las vías paralelas si se produce un fallo.