Un sistema de control se clasifica como Failsafe (o "F") cuando incorpora una estructura adicional de diagnóstico (tanto a nivel de hardware como software) de todo lo que procesa, de manera que ante una situación "incontrolable" sea capaz de llevar todo a una detención controlada (shutdown), sin exceder límites peligrosos. Por ejemplo, una situación puede volverse "incontrolable" por la influencia de factores no estimados en el diseño (inundaciones, incendios, fallos de órganos de maniobra, reacciones físicas indeterminadas, bugs de programación, etc.).

Entonces, estos sistemas son necesidades típicas de procesos tipo:

• Químicos y petroquímicos, donde reacciones inadecuadas pueden evolucionar eventualmente a una tasa superior a la capacidad de procesamiento de un controlador estándar. Incluye también procesos mineros y transporte de combustibles.

• Transporte de personas, donde magnitudes como velocidad, peso y aceleración, representan el estado de control del sistema y la mínima falla implica directamente peligro de vidas.

• Ventilación de túneles.

• Industria medioam-biental (incineración de basura).

• Maquinarias de corte, prensado, soldadura automática, etc.

Para que un sistema sea seguro no basta con que el PLC sea de seguridad, sino que la seguridad debe estar conceptualizada en todo el diseño del sistema, siendo su punto más falible el que definirá el nivel de seguridad del sistema total.

Es muy importante destacar que el comportamiento de un controlador de seguridad ante un fallo, se define por normas hoy día probadas y verificadas, como IEC 61508. En cambio, el nivel de seguridad demandado por un proceso está definido por organismos internacionales relacionados a comités de la industria y especializados en el tema, quienes en base a profundas investigaciones indican cómo un sistema debe estar preparado ante eventos. Así, surgen las clasificaciones de seguridad de un proceso -según índices SIL o AK- que definen qué nivel de seguridad se requiere. En este sentido, entidades gubernamentales deben tener muy presentes estas consideraciones y legislar co-rrespondientemente.

Sistemas de alta disponibilidad de funcionamiento

En cierta manera, el concepto de es-tos sistemas se opone a los de seguridad, pues en éstos se intenta prio-rizar contra toda vicisitud el funcionamiento del sistema, proceso o planta. Para ello, el método más difundido es el de duplicar o hasta triplicar los órganos de control, adquisición, comunicación y procesamiento del sistema.

En controladores, se definen los sistemas "H", por Hot Standby. En és-tos, un controlador toma la tarea activa de control del proceso, mientras que un segundo está de reserva, monitoreando incesantemente al activo, con información actualizada y capacidad para que al detectar cualquier evento que indisponga al controlador activo, tome control inmediatamente.

Sin embargo, un proceso automático muy pocas veces falla por un problema real del controlador, sino que generalmente por el daño de un canal de señal, la interrupción de la red de comunicación o el fallo de un actuador o un sensor, por lo que no basta tomar precauciones sólo a nivel de controladores. El concepto típico de "redundancia" de los sistemas de alta disponibilidad se opti-miza al estar toda la plataforma del sistema preparada para aceptar redundancia en todos los niveles del sistema de control (canales de entradas y salidas, buses de comunicación y en algunos casos, la sensórica).

La estimación de qué nivel de continuidad se garantiza en una planta es una cuestión de análisis de probabilidades de funcionamiento y de fallo, que se puede observar en el siguiente esquema :

El controlador actúa sobre el actuador por medio de dos canales, cada uno con su diagnóstico. Deberían fallar los dos para que el sistema no pueda activar al actuador, con lo que el sistema es más seguro. No obstante, existe un problema de disponibilidad porque si un canal falla accidentalmente el diagnóstico informará del error al control para su auxilio.

La decisión del sistema más apropiado

Tanto un sistema H como uno F tienen costos muy distintos comparados a un sistema de control estándar y, por ello, la decisión por éstos debe ser meticulosamente estudiada y siempre en el contexto del sistema general.

Para orientarse por alguno de estos sistemas, debería responderse lo siguiente: ¿es posible que el sistema de control entre en un proceso que exceda su capacidad de reacción?. Si es así , ¿con qué probabilidad?, y en esos casos, ¿qué sucedería?, ¿habrían pérdidas productivas o de materiales?, ¿por qué valor?, ¿se pueden mitigar esos riesgos corrigiendo la ingeniería y tomando precauciones de seguridad adicionales?. Tras eso, ¿cuál es el nivel de riesgo que queda?, ¿con qué probabilidad?, ¿es ésta aceptable?, ¿no traerá pérdidas de gran cuantía, aún siendo baja su probabilidad?.

En todo caso, si está en juego la seguridad de vidas humanas la necesidad de un sistema F es considerable.

Para un sistema de alta disponibilidad, debe analizarse: ¿por qué el sistema podría detenerse?, ¿con qué probabilidad podría suceder?, ¿cuánto se tardaría en resolver tal inconveniente?, ¿cuáles serían las pérdidas involucradas en esa situación?, ¿puede resolverse ese nivel de riesgo con medidas especiales? (como utilizando componentes de mejor calidad, disponer de repuestos y procedimientos ante fallos, rutinas intensivas de mantenimiento, etc.). Si luego de aplicar estas alternativas, todavía subsiste un nivel de riesgo de detención del sistema y pérdidas asociadas de gran cuantía, entonces la utilización de un sistema H es apropiada.

Cabe mencionar que también existen sistemas HF que reúnen ambas condiciones: integran funciones especiales de diagnóstico de seguridad y además se integran en forma redundante para garantizar alta disponibilidad.