PLC de seguridad para el BMS
Veamos un ejemplo sobre la distribución de señales en el caso de un PLC de seguridad para un sistema protección y de manejo de quemadores de una caldera de recuperación de calor. La caldera tiene 8 rampas de quemadores como se muestra en la imagen. Lo recomendable es utilizar un PLC de seguridad y verificar el diseño y nivel SIL de las funciones instrumentadas de seguridad con una herramienta como SILcet u otras.

La distribución de señales la vamos a realizar de forma que el fallo de un módulo de E/S no provoque ningún disparo de la caldera, es decir, queremos que haya una alta disponibilidad. Hemos hecho varios grupos:
- E/S generales con lógica 2 de 3: son señales críticas que disparan la caldera, como por ejemplo una alta presión en la línea principal de gas, un alto nivel en el calderín de vapor, alta presión en el vapor de salida, etc. La mayoría son analógicas.
- E/S generales redundantes con lógica 2 de 2: son señales también críticas relacionados con los equipos principales cuyo mal funcionamiento provoca el disparo total o parcial, por ejemplo los finales de carrera y las órdenes de abrir/cerrar a las válvulas principales de gas. Si utilizamos señales redundantes con arquitectura 2oo2 es importante utilizar un PLC de seguridad de forma que la arquitectura interna del hardware de cada señal sea 1oo2 o 2oo3 según el tipo de marca de PLC utilizado.
- E/S generales simples (grupo “p1” en la imagen): son señales que no provocan directamente un disparo, por ejemplo permisivos de encendido, señales de las válvulas generales de los ignitores, salidas a lámparas, etc.
- E/S simples de las rampas de quemadores 1 a 4 (grupo “p2”): son señales específicas de las 4 primeras rampas de quemadores, por ejemplo finales de carrera y órdenes a las válvulas de cada rampa, detectores de llama, etc. El fallo de alguna señal (fallo en el módulo o fallo en el instrumento) provocará el disparo de todas o alguna de las rampas.
- E/S simples de las rampas de quemadores 5 a 8 (grupo “p3”): son señales específicas de las 4 últimas rampas de quemadores, por ejemplo finales de carrera y órdenes a las válvulas de cada rampa, detectores de llama, etc. El fallo de alguna señal (fallo en el módulo o fallo en el instrumento) provocará el disparo de todas o alguna de las rampas.

Veamos ahora varios ejemplos de distribución de las señales realizado con IO_Builder. Hemos considerado 2 casos con módulos disponibles entre los fabricantes de PLCs de seguridad.
Casos A y C: PLC con módulos de 24 ED, 10 SD y 6 EA (todas ellas seguras).
Casos B y D: PLC con módulos de 32 ED, 32 SD y 32 EA (todas ellas seguras). En este caso utilizamos módulos de alta densidad que no son tan habituales en los PLCs de seguridad.

El dato de “exceso de E/S” se refiere a las señales que nos sobran, que no necesitamos pues en las cantidades anteriores ya hemos incluido las reservas.
Con el modelo 1 obtenemos un precio del hardware similar en ambos casos por lo que la elección será claramente técnica. Desde el punto de vista de disponibilidad nos decantaríamos por el A.
En el caso del modelo 2 el precio es claramente menor en el D. Esta arquitectura utiliza un solo Rack de E/S, y por tanto debe llevar fuente de alimentación redundante. A efectos de disponibilidad deberíamos analizar bien cuál es el MTBF (Mean Time Between Failures) de las partes comunes (rack y bus al menos) y otros factores si quisiéramos profundizar más.
La elección entre un fabricante y otro dependerá del coste total y de otros factores (dependiendo de si soy el cliente final o el integrador de sistemas). En cualquier caso este tipo de análisis es importante realizarlo dependiendo de la complejidad de la arquitectura.
Por último os dejamos una imagen con las arquitecturas de los casos A y C generadas por IO_Builder.

