You are on page 1of 18

Cuaderno Tcnico n 175

Seguridad de las protecciones en MT y AT

Por: Marielle Lemaire

La Biblioteca Tcnica constituye una coleccin de ttulos que recogen las novedades electrotcnicas y electrnicas. Estn destinados a Ingenieros y Tcnicos que precisen una informacin especfica o ms amplia, que complemente la de los catlogos, guas de producto o noticias tcnicas Estos documentos ayudan a conocer mejor los fenmenos que se presentan en las instalaciones, los sistemas y equipos elctricos. Cada uno trata en profundidad un tema concreto del campo de las redes elctricas, protecciones, control y mando y de los automatismos industriales. Puede accederse a estas publicaciones en Internet: http://www.schneiderelectric.es Igualmente pueden solicitarse ejemplares en cualquier delegacin comercial de Schneider Electric Espaa S.A., o bien dirigirse a: Centro de Formacin Schneider C/ Miquel i Badia, 8 bajos 08024 Barcelona Telf. (93) 285 35 80 Fax: (93) 219 64 40 e-mail: formacion@schneiderelectric.es

La coleccin de Cuadernos Tcnicos forma parte de la Biblioteca Tcnica del Grupo Schneider.

Advertencia Los autores declinan toda responsabilidad derivada de la incorrecta utilizacin de las informaciones y esquemas reproducidos en la presente obra y no sern responsables de eventuales errores u omisiones, ni de las consecuencias de la aplicacin de las informaciones o esquemas contenidos en la presente edicin. La reproduccin total o parcial de este Cuaderno Tcnico est autorizada haciendo la mencin obligatoria: Reproduccin del Cuaderno Tcnico n 175 de Schneider Electric.

Cuaderno Tcnico Schneider n 175 / p. 2

cuaderno tcnico no 175


Seguridad de las protecciones en MT y AT

Marielle LEMAIRE Obtuvo su diploma de Ingeniero IEG, especialidad Fsica, en 1986. Despus de dos aos pasados en un laboratorio de la Universidad de TUCSON (Arizona) entra en Merlin Gerin donde participa en el desarrollo de convertidores estticos de potencia. Especialista en la seguridad de funcionamiento, colabor como experta francesa en el grupo de trabajo WG7 del Comit Tcnico fiabilidad de las protecciones de la CEI (TC 95). Participa cinco aos despus, en el desarrollo de sistemas de proteccin de las instalaciones de media y alta tensin.

Por: Marielle Lemaire Trad.: J. M. Gir

Edicin francesa: marzo 1995 Versin espaola: febrero 2000

Terminologa (nota del traductor)

En este, como en otros Cuadernos Tcnicos, la traduccin de ciertos trminos requiere perfrasis fcilmente aplicables. Pero la traduccin de la terminologa tcnica no slo requiere una fidelidad a la idea sino tambin a las normas y debe de ser vlida para los diversos idiomas, en este caso espaol, francs e ingls. Por este motivo se adjunta en este punto un pequeo lxico de los trminos principales de este cuaderno con su equivalente en francs (idioma del texto original) y en ingls (por su validez internacional).

n Disponibilidad - Disponibilit Availability: es la probabilidad de que una proteccin est en situacin de cumplir su misin, en unas condiciones dadas y en un instante determinado. n Fiabilidad - Fiabilit - Reliability: es la probabilidad de que una proteccin pueda cumplir con su misin en unas condiciones dadas y en un intervalo de tiempo dado; en concreto y sobre todo, la capacidad de disparar cuando haga falta y la capacidad de no-disparar intempestivamente. n Mantenibilidad - Maintenibilit Maintenibility: es la probabilidad de que una operacin determinada de

mantenimiento activo pueda efectuarse en un intervalo de tiempo dado. n Seguridad - Scurit - Satefy: es la probabilidad de que una proteccin no acte intempestivamente, en unas condiciones dadas y en un intervalo de tiempo determinado. Tiene un sentido particular. n Seguridad o garanta de buen funcionamiento - Sret Dependability: tiene el sentido categrico, general o integral de la seguridad. (Vase especialmente lo indicado en las pginas 8 y 18 de este mismo cuaderno).

Cuaderno Tcnico Schneider n 175 / p. 4

Seguridad de las protecciones en MT y AT

ndice
1 Introduccin Objetivo de este cuaderno Aparamenta de proteccin Exigencias de la seguridad de funcionamiento: un compromiso entre dos situaciones extremas indeseables El diseo en funcin de la seguridad Terminologa Las herramientas del especialista en fiabilidad Los recursos de la seguridad de funcionamiento La seguridad de funcionamiento Calidad del software Calificacin de los equipos de proteccin Control de calidad Anlisis de la informacin de retorno de la experiencia Conclusin Anexo Bibliografa p. p. p. 6 6 6

p. 8 p. 10 p. 10 p. 14 p. 14 p. 16 p. 17 p. 17 p. 18 p. 18

4 5 6 7

Cuaderno Tcnico Schneider n 175 / p. 5

1 Introduccin

Objetivo de este cuaderno


Este estudio presenta los diversos factores que contribuyen a conseguir un funcionamiento correcto de los equipos de proteccin de las redes de media y alta tensin, as como los mtodos que se pueden utilizar para conseguir estos objetivos de seguridad. Se desarrollan especialmente: n el tener en cuenta la seguridad de funcionamiento durante el diseo; n la bsqueda de la calidad (en el software, en la calificacin, en la fabricacin) con tcnicas adecuadas a los esfuerzos que se presentan en MT y AT; n el anlisis de la informacin de retorno que da la experiencia. Este documento se adeca a las tcnicas utilizadas en los aos 90 durante el diseo de la nueva gama de proteccin Sepam.

analgica o digital. Un equipo de proteccin digital (basado en el uso de un microprocesador) puede efectuar, adems de su misin principal de proteccin, funciones de automatismo, de medida, de autovigilancia y de comunicacin. Un equipo as se integra entonces naturalmente dentro de los sistemas de control y mando, asegurando funciones de automatizacin, indicacin de estado e indicacin sinptica (figura 2).

La continuidad del suministro de energa es tan importante para el industrial como para las compaas suministradoras. Un disparo intempestivo debido a la propia proteccin puede generar prdidas econmicas considerables (parada de la produccin, lucro cesante por la energa no distribuida...). Este fenmeno puede evitarse mejorando la seguridad de la proteccin.

Exigencias de la seguridad de funcionamiento: un compromiso entre dos situaciones extremas indeseables


Los sistemas de proteccin asociados a los interruptores automticos tienen la misin de garantizar la seguridad de la instalacin asegurando al mismo tiempo la mayor continuidad posible del suministro. En cuanto a la proteccin en s misma, hay dos situaciones extremas posibles que, para que todo vaya bien, nunca deberan de producirse: n primer extremo indeseable: que no acte la proteccin. Las consecuencias de no eliminar inmediatamente un defecto pueden ser catastrficas (riesgo para las personas, destruccin de los centros de transformacin, prdida de produccin...). Para la seguridad de la explotacin, el equipo de proteccin debe de detectar selectivamente y lo ms rpidamente posible los defectos de la red elctrica. Esta situacin se puede evitar mejorando la disponibilidad de la proteccin. n segundo extremo indeseable: disparo intempestivo de la proteccin.

Aparamenta de proteccin
La aparamenta de proteccin tiene como misiones principales la deteccin de los defectos de la red, supervisando diversos parmetros (corriente, tensin...) y enviando una orden de apertura al interruptor automtico en caso de situacin anormal. La aparamenta suele proteger especialmente alguno de los diversos componentes de un centro de distribucin elctrica, como son: una entrada o una salida de lneas, un motor o un transformador. En MT y AT, estos materiales suelen formar parte de la celda que contiene el interruptor automtico (figura 1), siendo por tanto considerables los esfuerzos del entorno (temperatura, vibraciones, perturbaciones electromagnticas). Los equipos de proteccin estn fabricados o bien con tecnologa electromagntica (la ms antigua), o bien con tecnologa electrnica (tambin llamada esttica), sea

Fig. 1: Equipo de proteccin incorporado a una celda de Media Tensin.

Cuaderno Tcnico Schneider n 175 / p. 6

G
I on O off trip I on O off trip A V/Hz W/ j Wh clear alarm reset A V/Hz W/ j Wh clear alarm reset

MERLIN GERIN

MERLIN GERIN

I on

O off

trip

I on

O off

trip

I on

O off

trip

I on

O off

trip

V/Hz

W/ j

Wh

clear

alarm

reset

V/Hz

W/ j

Wh

clear

alarm

reset

V/Hz

W/ j

Wh

clear

alarm

reset

V/Hz

W/ j

Wh

clear

alarm

reset

MERLIN GERIN

MERLIN GERIN

MERLIN GERIN

MERLIN GERIN

Fig. 2: Ejemplo de sistema digital de control y mando de un centro de transformacin.

Frecuentemente, la disponibilidad y la seguridad estn contrapuestas. La mejor manera de que un avin no se estrelle es que se quede en tierra. Su seguridad es, entonces, perfecta, pero su disponibilidad, nula! Por el contrario, un avin que vuela en exceso, sin mantenimiento, pone en peligro la vida de las personas. El diseo de cualquier equipo, sea el que sea, obliga a un compromiso entre la disponibilidad y la seguridad. La disponibilidad y seguridad aumentan al jugar con otras dos componentes de seguridad de buen funcionamiento: la mantenibilidad y la fiabilidad (figura 3). En lo que respecta a los equipos de proteccin, estn sometidos a mltiples agresiones que pueden tender a provocar los citados fenmenos indeseables, por ejemplo: o temperaturas extremas, o vibraciones debidas a las maniobras de los interruptores automticos,

o atmsferas corrosivas en aplicaciones industriales (industrias qumicas, del papel o del cemento...), o picos de campos electromagnticos intensos (hasta varias decenas de kV/m, con un tiempo de rampa de subida del orden de 5ns, a 1metro de la celda del interruptor automtico. Este entorno, tan extremadamente duro, y el hecho de que las redes de MT y AT alimenten a numerosos usuarios de la energa elctrica hacen necesario un perfecto control de la fiabilidad y la mantenibilidad. Los equipos de proteccin que utilizan los microprocesadores han permitido un avance considerable. Por ejemplo: o con la integracin disminuyen los problemas de cableado y aumenta la fiabilidad, o con la autovigilancia aumenta la disponibilidad.

seguridad 100 %

(1)

100 % disponibilidad

Fig. 3: Al aumentar la fiabilidad y la mantenibilidad (1) aumenta la disponibilidad y la seguridad.

Cuaderno Tcnico Schneider n 175 / p. 7

2 El diseo en funcin de la seguridad de funcionamiento

Terminologa
Desde que se empieza el diseo de un equipo de proteccin hay que tener en cuenta los objetivos de Fiabilidad, Seguridad, Disponibilidad y Mantenibilidad. Recordemos las definiciones de estas magnitudes: n la disponibilidad es la probabilidad de que una proteccin est en situacin de cumplir su misin, en unas condiciones dadas y en un instante determinado; n la seguridad es la probabilidad de que una proteccin no acte intempestivamente, en unas condiciones dadas y en un intervalo de tiempo determinado; n la fiabilidad es la probabilidad de que una proteccin pueda cumplir con su misin en unas condiciones dadas y en un intervalo de tiempo dado; en concreto y sobre todo, la capacidad de disparar cuando haga falta y la capacidad de no-disparar intempestivamente; n la mantenibilidad es la probabilidad de que una operacin determinada de mantenimiento activo se pueda efectuar en un intervalo de tiempo dado. Estas magnitudes no tienen necesariamente el mismo significado segn se piense en la proteccin o en la instalacin elctrica. As, la disponibilidad y la mantenibilidad de la proteccin contribuyen a la seguridad de las personas y de los materiales. La seguridad del dispositivo de proteccin favorece la disponibilidad de la distribucin de la energa elctrica. Nota: estas definiciones son coherentes con el Vocabulario Electrotcnico Internacional -VEI191y se usan frecuentemente. Una norma en preparacin (WG 7 del TC 95), relativa a la fiabilidad de los equipos de proteccin, da

definiciones parecidas, incluyendo la nocin de seguridad de funcionamiento en la fiabilidad. Aqu se usa esta expresin seguridad de funcionamiento como trmino que engloba a todos. Los diversos estados posibles de una proteccin se esquematizan en la figura 4 con sus consecuencias para la distribucin elctrica. La razn entre el tiempo pasado en el estado de marcha y el tiempo total de referencia es la disponibilidad. El lector interesado en la cuantificacin de los valores de la seguridad de buen funcionamiento puede leer tanto el anexo como el Cuaderno Tcnico n144. Si se observa la figura 3, uno de los objetivos del diseador de equipos de proteccin es tratar de manera preventiva el mximo nmero posible de fallos (mantenibilidad) para aumentar la disponibilidad. Slo un

nmero mnimo de sucesos debe de llevar a la prdida de seguridad de la proteccin (el concepto y los mecanismos de autovigilancia se vern en los prximos captulos). En cuanto a las protecciones de las redes de MT y AT, su seguridad debe de ser muy buena respecto a la mayora de equipos de BT. Un Anlisis Preliminar de Riesgos permite determinar las situaciones indeseables relacionadas con las funciones que cumple el equipo de proteccin (figura 5). Un equipo de especialistas, independiente del equipo de diseo, realiza los estudios previos de seguridad y propone soluciones tcnicas compatibles con el nivel especificado. Un conjunto de aproximaciones sucesivas permite modificar el diseo hasta que se consiguen los objetivos buscados.

proteccin funcionando
FIABILIDAD MANTENIBILIDAD

(avera grave)

(reparacin)
- -

proteccin averiada
SEGURIDAD

deteccion y sealizacion

fallo de red

disparo intempestivo

no disparo

DISPONIBILIDAD!

SEGURIDAD!

Fig. 4: Grfica de los estados de la proteccin y consecuencias en la distribucin elctrica.

Cuaderno Tcnico Schneider n 175 / p. 8

fenmenos indeseables disparo intempestivo

efectos n apertura intempestiva del interruptor automtico n la energa no est disponible, lo que implica prdidas econmicas importantes (parada de la produccin...)

causas n internas, por ejemplo: o deteccin intempestiva de un fallo, o accionamiento intempestivo del mando... n externas, por ejemplo: o perturbaciones electromagnticas o saturacin de los captadores o defectos en el diseo del plan de proteccin... n internas, por ejemplo: o no deteccin de un fallo o mando bloqueado... n externas, por ejemplo : o perturbaciones electromagnticas o saturacin de los captadores o fallo de la alimentacin auxiliar o circuito de disparo del interruptor automtico abierto o error en el diseo del plan de de proteccin...

previsin por ejemplo: n funciones de autodiagnstico n posicin de repliegue n compatibilidad electromagntica n captadores amagnticos

enmascaramiento de una orden de disparo

n disparo de un nivel aguas arriba de la proteccin con posibilidad de destruccin local de material n destruccin importante de materiales (incendio...), si no hay proteccin aguas arriba

por ejemplo : n funciones de autodiagnstico n compatibilidad electromagntica n captadores amagnticos n mdulo de socorro n supervisin del circuito de disparo n selectividad lgica

Fig. 5: Situaciones indeseables relativas a la funcin de proteccin. Microcircuits, gate/logic arrays and microprocessors Description: 1. bipolar devices, digital and linear gate/logic arrays 2. MOS devices, digital and linear gate/logic arrays 3. microprocessors

p = (C1 . T + C2 . E) Q . L failures/106 hours


bipolar digital and linear gate/logic array die complexity failure rate - C1 digital no. gates 1 to 100 101 to 1,000 1,001 to 3,000 3,001 to 10,000 10,001 to 30,000 30,001 to 60,000 digital no. gates 1 to 100 101 to 1,000 1,001 to 3,000 3,001 to 10,000 10,001 to 30,000 30,001 to 60,000 C1 .0025 .0050 .010 .020 .040 .080 linear no. transistors 1 to 100 101 to 300 301 to 1,000 1,001 to 10,000 C1 .010 .020 .040 .060 prog. logic array no. gates up to 200 201 to 1,000 1,001 to 5,000

C1 .010 .021 .042

MOS digital and linear gate/logic array die complexity failure rate - C 1 C1 .010 .020 .040 .080 .16 .29 linear no. transistor 1 to 100 101 to 300 301 to 1,000 1,001 to 10,000 C1 .010 .020 .040 .060

floating gate prog. logic array no. cells, C C1 up to 16 K .00085 16 K < C 64 K .0017 64 K < C 256 K .0034 256 K < C 1M .0068

microprocessor die complexity failure rate - C1 no. bits bipolar MOS C1 C1 up to 8 .060 .14 up to 16 .12 .28 up to 32 .24 .56

all other model parameters parameter section T 5.8 C2 5.9 E, Q, L 5.10

Fig. 6: Ejemplo de datos de fiabilidad, segn el Military Handbook (transcripcin literal).

Cuaderno Tcnico Schneider n 175 / p. 9

Las herramientas del especialista en fiabilidad


Tcnicas especializadas de evaluacin y de modelizacin de la seguridad de funcionamiento permiten convertir los objetivos en exigencias de diseo. n el anlisis provisional de la fiabilidad determina la tasa de fallo de cada componente del equipo en condiciones reales de utilizacin. Por esto, se utilizan bases de datos de fiabilidad, como la Military Handbook 217 (MIL-HDBK-217) (figura6), o el folleto CNET (RDF 93). Ambas se usan para calcular la fiabilidad de un circuito constituido por varios componentes. Si es necesario, el diseador modifica el factor de carga de algunos de ellos, o utiliza componentes que tengan garanta de larga duracin (este es el caso, por ejemplo, de los condensadores electrolticos). n El Anlisis de los Modos de Fallos, de sus Efectos y de su Criticidad, realizado tanto sobre el hardware como sobre el software, valora los efectos de cada tipo de fallo conocido durante el funcionamiento del equipo. Asimismo, este Anlisis de los Modos de Fallos, de sus Efectos y de su Criticidad se usa para corregir ciertos riesgos de disfuncin y especificar las funciones de autovigilancia. Este anlisis puede aplicarse a nivel de una funcin general (la funcin de proteccin); de una funcin concreta (la funcin de proteccin contra corriente mxima, por ejemplo); aplicarse

simplemente a una de sus subfunciones (figura 7); o llegar hasta el nivel ms bajo, el de los componentes (los colocados en las tarjetas de circuito impreso). n los fenmenos indeseables relativos a los equipos de proteccin se modelizan con varias tcnicas: o los rboles de fallos describen, a partir de un fenmeno indeseable, todas las causas posibles de este suceso (figura 8). El rbol de fallos es la representacin booleana que se usa para determinar los caminos ms crticos para que se produzca un determinado suceso. o las grficas de Markov son una representacin del comportamiento donde aparecen los estados de marcha, de marcha degradada y de avera del equipo. La transicin de un estado a otro se califica por las tasas de fallo () y de reparacin (). Estas grficas se usan para calcular la probabilidad de permanencia en estado de fallo (figura 9). o las redes de Petri tienen el mismo objeto que las grficas de Markov, es decir, modelizar los estados de un sistema. Permiten estudiar sistemas ms complejos, donde la transicin entre estados no sigue necesariamente una ley exponencial ley o distribucin de Weibull, por ejemplo (figura 10). Estos sistemas de modelizacin se usan para hacer una simulacin cuantificada de la seguridad de buen funcionamiento y tambin para obtener las probabilidades que corresponden a la fiabilidad,

mantenibilidad, disponibilidad y seguridad del equipo de proteccin. El lector podr encontrar en la bibliografa, en la referencias [Villemeur] o [Pages-Gondran], una informacin ms precisa de estas tcnicas.

Los recursos de la seguridad de funcionamiento


Para conseguir las mximas garantas de funcionamiento de una instalacin elctrica, deben de controlarse la fiabilidad, la seguridad y la mantenibilidad de la proteccin. Fijados los objetivos ligados a estas magnitudes, el diseador de la proteccin, ayudado por el tcnico en fiabilidad, utiliza un cierto nmero de medios para conseguirlos: n gracias al especialista en fiabilidad y sus herramientas, controla la fiabilidad intrnseca antes y durante el desarrollo; n gracias a los medios de autovigilancia, de sealizacin de los fallos y de la comunicacin, puede: o mejorar la seguridad de la proteccin pasndola a la posicin de repliegue, o mejorar la mantenibilidad y la disponibilidad de la proteccin. Examinemos los medios que se usan: n autovigilancia. La eficacia y aplicabilidad de la autovigilancia son vitales para la seguridad de buen funcionamiento

funcin medir las corrientes de fase

modo de fallo corriente medida errnea: nivel continuo > umbral de disparo

efecto sobre la proteccin proteccin activada disparo intempestivo

corriente medida errnea: nivel continuo < umbral de disparo

proteccin no-disponible no hay disparo ante un posible fallo

medio de deteccin el algoritmo utilizado trabaja sobre el clculo del mdulo de la corriente a 50 Hz deteccin por el clculo peridico de la componente continua de la seal los medios de deteccin son los mismos

sealizacin inhibicin natural de la proteccin sealizar el fallo en el panel frontal y a travs del sistema de comunicaciones sealizar

Fig. 7: Tabla de AMDEC realizada con una subfuncin de la proteccin contra intensidad mxima.

Cuaderno Tcnico Schneider n 175 / p. 10

con un fallo en la instalacin elctrica no abre el interruptor automtico Y

interruptor automtico falla al abrir O hay un fallo en la instalacin elctrica

de la proteccin. A modo de ejemplo, se citan algunos medios que pueden aumentar la disponibilidad y la seguridad: o Al conectar, y despus peridicamente, hay que hacer un control de la integridad de los datos contenidos en programa y en los datos constantes. Este control se hace calculando el checksum y llevndolo a la parte alta de la memoria utilizada. Este checksum arrastrado cubre el 99,95% , para 128octetos, (99,998% para 128 kilooctetos) del movimiento de los bits de direccin y de los bits de
Para el control de la integridad de los datos. Se pueden utilizar varias tcnicas: n Control de paridad. Consiste en convertir en par sistemticamente el nmero de bits transmitidos, completando el mensaje til con un bit de paridad. De este modo, el receptor puede controlar el mensaje si hay un error de 1 bit o de 3... La alteracin de un nmero par de bits no se puede detectar.

no disponibilidad del rgano de corte

no disponibilidad del circuito de disparo

no disponibilidad del equipo de proteccin

no disponibilidad de los captadores

Fig. 8: Ejemplo simple de rbol de fallos.

marcha

marcha degradada (un nico reparador)

avera

n El CRC (Cyclic Redundancy Check) consiste en adjuntar a la informacin til el resto de dividirlo por un polinomio normalizado por el CCIT. Por ejemplo, el polinomio divisor de grado 16 (x16+x15+x2+1 = 1100 0000 0000 0011) utilizado por el CRC 16 permite la deteccin de 16 errores simultneos. n El Checksum consiste en hacer la suma binaria de los octetos y aadir el resultado (cortando en uno o varios octetos) al mensaje til. El Checksum puede aadirse, por ejemplo, al control de paridad en los octetos

Fig. 9: Ejemplo de un grfico de Markov para un sistema constituido por dos componentes redundantes y reparables. Si se trata de dos componentes electrnicos (fiabilidad exponencial), la duracin media de buen funcionamiento despus de una reparacin es MUT =
1 2 .

La red de Petri representada tiene dos posiciones estables (P1, P2), dos transiciones (T1, T2) y cuatro arcos. Esta red representa el comportamiento de un componente reparable, al aplicarle, por ejemplo, los significados siguientes T1 a las posiciones estables y transitorias: P1: el componente est funcionando correctamente, P2: el componente est averiado, T1: el componente pasa a avera, T2: el componente acaba de ser reparado.

P1

P1

El control de integridad del mensaje por el receptor es ms fcil que para el CRC y puede ser ms eficaz. Para controlar que el programa se ejecute bien Usada frecuentemente en automatismos, la tcnica del perro guardin consiste en ejecutar peridicamente una instruccin de prueba. Si no se ejecuta esta instruccin en un lapso de tiempo determinado, indica que hay un fallo y provoca el disparo de una alarma para que se enve el equipo de proteccin a revisar. Fig. 11: Los medios digitales de autocontrol.

T2

T1

T2

P2

P2

Fig. 10: Ejemplo de una red de Petri aplicada a un sistema constituido por un elemento reparable.

Cuaderno Tcnico Schneider n 175 / p. 11

memoria. Para controlar un volumen de informacin mayor de varios centenares de octetos, el clculo del checksum con arrastre es ms eficaz que el clculo de un CRC 16, por ejemplo. o Hay que disponer de un perro guardin de hardware y de software para detectar cualquier bloqueo de la unidad central (debido a un defecto de un componente, a un parsito o a una sobrecarga del microprocesador). Tambin hay que tener seguridad de la validez de la seal de salida del perro guardin. El perro guardin debe de cubrir incluso los fallos del cristal de cuarzo o del oscilador del microprocesador (figura 11). o Hay que controlar el tiempo de ciclo del programa. Si se usan las interrupciones para secuenciar los ciclos, hay que asegurarse del buen funcionamiento de estos mecanismos. o Hay que efectuar continuamente un control de la tensin de alimentacin para prevenir la cada eventual de la misma y que se quede parado el microprocesador (salvaguardar los parmetros). o Si se usan memorias EEPROM, hay que supervisar la utilizacin de este componente, contando el nmero de grabaciones, que no debe de superar las 10000. o Hay que evitar tratar los datos digitales errneos inmediatamente despus de un fallo de la cadena de conversin analgico-digital. Un control eficaz para esto es el verificar permanentemente dos seales de referencia a la entrada del multiplexor con dos direcciones complementarias (se consigue as detectar el 100% de fallos del convertidor analgico-digital y el 100% de los cambios a 1 a 0 de los bits de seleccin del multiplexor).

Se usan otros muchos mecanismos de deteccin, dependiendo sobre todo de la tecnologa utilizada. n la posicin de repliegue Las funciones de autovigilancia detectan el mximo nmero de fallos que podramos llamar mayores. Un fallo se clasifica como de categora mayor si puede provocar un mal funcionamiento de la proteccin. Un fallo de este tipo no debe de degenerar en un disparo de la proteccin. El dispositivo de proteccin pasa a la posicin predeterminada de repliegue para evitar el paso de rdenes aleatorias. Se informa al usuario del paso a esta posicin de repliegue, y se puede pasar inmediatamente a la posicin de mantenimiento para retornar la proteccin a su plena disponibilidad. Asimismo, existen fallos llamados menores, como por ejemplo, el fallo de un perifrico (el visor o la consola); se sealiza, pero no afecta a la disponibilidad de la proteccin. n la sealizacin de los fallos Las funciones de autovigilancia deben de ofrecer medios de diagnstico adaptados para permitir

un retorno rpido al estado de marcha de la proteccin que ha fallado, es decir: o dar al usuario una informacin externa clara y global sobre el estado de la proteccin, o dar al fabricante una informacin interna clara y precisa del estado de la proteccin, durante una operacin de conservacin e incluso despus del retorno a fbrica de una proteccin defectuosa. Por ejemplo, el fallo de la proteccin se puede sealizar mediante: o un piloto en el panel frontal, o una salida del rel perro guardin, o un mensaje en el visor del panel frontal, o una informacin que se guarde o grave detallando el origen del fallo, o un mensaje a travs del sistema de comunicacin cuando la proteccin forma parte del sistema de control y mando. Todo esto es una ventaja importante respecto a protecciones de tecnologas anteriores en las que un dispositivo poda permanecer averiado largo tiempo sin que el usuario se enterara (figura 12) y que

proteccin electromecnica o analgica conexin

fallo interno no detectado

tiempo

1 mantenimientos peridicos 1, 2, 3...

2 instalacin no protegida

proteccin digital conexin

fallo interno detectado

tiempo

sin mantenimiento peridico

no disponibilidad limitada al tiempo de intervencin

Fig. 12: La autosupervisin permite reducir el tiempo de no-disponibilidad de la proteccin y por tanto aumentar la seguridad de la instalacin elctrica.

Cuaderno Tcnico Schneider n 175 / p. 12

adems no poda dar ninguna informacin sobre el origen de la avera... n abertura hacia los sistemas de supervisin y de mando y control. Como ya se ha dicho, la proteccin digital puede abarcar funciones de automatismo y de comunicacin. Se convierte as en un punto de unin del sistema de supervisin con el de mando y control de la instalacin elctrica, lo que facilita la explotacin al permitir la vigilancia, la comunicacin y la gestin de la red de distribucin: o vigilancia de los estados y de los valores de las magnitudes elctricas (medida), o vigilancia del estado de los equipos (posicin del aparato, temperatura, presin...), o tratamiento de alarmas, o mando a distancia de los rganos de maniobra, o reconfiguracin automtica de las redes despus de un defecto, o gestin de la energa consumida en funcin de la tarificacin de las compaas suministradoras, o edicin de informes de explotacin, o asignacin de los costes de energa a cada uno de los consumidores de la instalacin.

n la facilidad de mantenimiento o la autovigilancia, la sealizacin y la comunicacin facilitan el conocimiento del estado del defecto y de ah la accin inmediata del personal de mantenimiento, o el autodiagnstico permite al que repara el aparato conocer el origen del fallo y de ah la rapidez de reparacin, o las funciones programadas, que personalizan la proteccin en cuanto a las aplicaciones o funciones que puede realizar, se almacenan en un cartucho removible. Esto facilita la reposicin inmediata del servicio despus de reemplazar la parte fsica del aparato (hard), que est estandarizada. n casos especiales La fiabilidad de la proteccin puede ser insuficiente si sufre agresiones excepcionales o si las necesidades de disponibilidad y seguridad de la distribucin elctrica son excepcionalmente elevadas: o entornos severos Los sistemas de proteccin estn a veces instalados en ambientes excepcionales que sobrepasan las especificaciones de los materiales: - temperatura, - vibraciones

En cada caso, el departamento de diseo debe de identificar claramente las necesidades. De esta forma se proponen soluciones personalizadas: - ajustes especiales de tarjetas electrnicas, - contrato de mantenimiento especfico. o necesidades excepcionales de seguridad Un mdulo auxiliar de emergencia puede asumir la proteccin en caso de: - fallo de la alimentacin, - fallo del cableado, - fallo del rel de disparo, - proteccin principal fuera de servicio. Otra solucin consiste en duplicar el equipo de proteccin, con un circuito o en el sistema de mando del rgano de corte. Para la instalacin, la seguridad queda muy reforzada y la disponibilidad de la energa no disminuye, cuando se emplean sistemas de proteccin con la posicin de repliegue. Como solucin extrema, se pueden tomar en consideracin los sistemas 2/3.

Cuaderno Tcnico Schneider n 175 / p. 13

3 La seguridad de funcionamiento como una parte de la bsqueda de la calidad total


Calidad del software
Una parte importante de las prestaciones de los equipos de proteccin digitales la realiza el software. Por tanto es necesario conseguir un software de calidad para poder lograr los objetivos globales de seguridad. El control de la calidad del software se consigue siguiendo un riguroso mtodo de trabajo. Este mtodo, nacido de las recomendaciones establecidas por organismos nacionales e internacionales (IEEE), exige seguir una serie de pasos: n La divisin de la aplicacin en una sucesin de fases (figura 13): o especificacin, o anteproyecto, o diseo detallado, o codificacin, o pruebas unitarias, o integracin y prueba de integracin, o validacin. A cada una de estas fases se le asocia un conjunto de documentos que se usan y se producen durante ese paso. Estos documentos contienen los estudios realizados en cada fase y deben de ser validados antes de pasar a la fase siguiente. n La utilizacin de reglas y mtodos de diseo y codificacin que tienen por objetivo el conseguir un alto nivel de estructuracin del software (por ejemplo, SADT desarrollado en las herramientas ASA o MACH). n La utilizacin de herramientas de gestin de la configuracin del software, lo que permite gestionar todos los componentes del programa y especialmente controlar la evolucin y las nuevas versiones de todos los componentes (por ejemplo, la herramienta CMS). Por otra parte, se usan con gran provecho los mtodos de revisin de cdigo. Un verificador efecta una lectura crtica del cdigo y hace sus observaciones. Este anlisis manual resulta ser en este punto uno de los mtodos ms eficaces para descubrir los fallos lgicos (los errores de programa). Finalmente, una vez que cada programa est integrado y validado, una ltima fase de calificacin, dirigida por un equipo independiente del equipo de desarrollo, asegura un control final eficaz. Las perturbaciones elctricas encontradas en los centros de transformacin tienen diversos orgenes: o las descargas de rayo que inciden directamente en las lneas o cerca de los centros de transformacin pueden producir sobretensiones de unos centenares de kV y con un frente de subida de orden del microsegundo; o la maniobra normal de la aparamenta, al abrir y cerrar el rgano de corte de MT o AT, provoca sobretensiones de maniobra (onda oscilatoria amortiguada). Estas sobretensiones pueden producir campos elctricos con crestas del orden de 10 kV/m a 1metro del interruptor automticos; o los operarios pueden provocar descargas electrostticas que producen sobre el material impulsos de corriente de algunas decenas de amperio y de frente muy rpido, del orden de nanosegundos;

Calificacin de los equipos de proteccin


Los equipos de proteccin, antes de salir al mercado, pasan por un proceso completo de calificacin. Se detallan aqu ciertos criterios de calificacin especficos para los entornos de MT y AT: n la inmunidad a las perturbaciones electromagnticas (conducidas o radiadas).

especificacin del programa

plan de validacin del programa

validacin del programa

diseo preliminar

plan de integracin del programa

integracin del programa

diseo detallado

plan de prueba

pruebas unitarias

codificacin

Fig. 13: Ciclo de desarrollo de un programa (llamado en V).

Cuaderno Tcnico Schneider n 175 / p. 14

o los emisores radioelctricos (talkies-walkies, por ejemplo) producen campos de varias decenas de V/m a 1 metro. El lector que desee profundizar en el tema de la Compatibilidad Electromagntica -CEM- puede leer el Cuaderno Tcnico n 149. Los valores estndar internos de resistencia a los esfuerzos elctricos definen los niveles de inmunidad necesarios para el funcionamiento de los sistemas de proteccin en un centro de transformacin elctrico. Estos niveles corresponden a las resistencias dielctricas definidas por las normas CEI255 y, a veces, hasta ms severas. Con los ensayos se controla que se respeten los niveles de exigencia definidos. Se realizan cuatro tipos de ensayos:

o onda oscilatoria amortiguada (CEI255-22-1) severidad: clase III, 2,5 kV, o transitorios rpidos (CEI-255-22-4) severidad: clase IV, 4 kV, o descargas electrostticas (CEI255-22-2) severidad: clase III, 8 kV, o campos radiados (CEI-255-22-3) severidad: mejor que la clase III, 30 V/m (figura 14).

Nota: el ensayo de transitorios rpidos es la transcripcin en modo conducido de campos electromagnticos impulsionales radiados, producidos durante las maniobras de la aparamenta. Adems de los ensayos de CEM, los equipos de proteccin se someten a ensayos en situaciones reales. A ttulo de ejemplo, con el equipo situado en el lado de BT de una celda de MT, se hacen un centenar de maniobras cerrar-abrir del interruptor automtico. Al hacerlo con poca carga y ser sta de tipo autoinductivo aparecen importantes

estacin grfica

clculo de fenmenos transitorios de las redes

conversin de los resultados de los clculos en seales analgicas en tiempo real

ordenador programa de modelizacin MORGAT, EMTP

convertidor digital analgico


Fig. 14: Ensayos de perturbaciones electromagnticas en cmara aneocoica.
adaptacin de corrientes y de tensiones a nivel de entrada de la proteccin

sistema de toma de datos


registro de la respuesta de la proteccin

amplificador de corriente y tensin proteccin a probar

generador de seales aleatorias sntesis de seales especficas

Fig. 15 : Laboratorio Kirchhoff de ensayos de protecciones.

Fig. 16: Descripcin del sistema de ensayos de protecciones.

Cuaderno Tcnico Schneider n 175 / p. 15

sobretensiones de corte de la corriente. Durante estos ensayos, el equipo de proteccin no debe de tener ningn fallo intempestivo. n el laboratorio Kirchhoff: ensayos de protecciones. Las funciones realizadas por los sistemas de proteccin son complejas. El buen funcionamiento de las protecciones debe de quedar garantizado para el conjunto de fenmenos susceptibles de producirse en las redes elctricas. Por tanto, es necesario un laboratorio que realice ensayos de las protecciones (figura 15). El laboratorio Kirchhoff permite reproducir con valores reales los fenmenos tal como aparecen en las redes elctricas (figura 16). Est equipado con un simulador digital que permite: o calcular las corrientes y tensiones de red, precisamente en el momento en que se produce un cortocircuito, un defecto de aislamiento o la maniobra de un aparato, o generar las seales correspondientes y aplicarlas al aparato bajo prueba. Se analiza entonces el comportamiento de las protecciones sometindolas a condiciones idnticas a las que se encontrarn en la red real. La simulacin digital de redes elctricas del laboratorio Kirchhoff usa dos programas: o EMTP (ElectroMagnetic Transient Program), programa para calcular fenmenos transitorios. Este programa, mundialmente utilizado, permite, a partir de una base de datos con las caractersticas de los materiales (transformadores, lneas, mquinas...), elaborar modelos de todo tipo de redes elctricas, simular un fallo o maniobra de un aparato y calcular con precisin la variacin en el tiempo de las corrientes y tensiones; o MORGAT, simulador de redes elctricas, desarrollado por la EDF (Electricidad de Francia). Este programa permite simultneamente analizar con precisin el comportamiento de las redes y

controlar el aspecto tiempo real en el laboratorio Kirchhoff. Las corrientes y tensiones, calculadas en diversos puntos de la red elctrica simulada, se convierten en seales analgicas para aplicarlas en la proteccin que se est probando.

Control de calidad
Tanto durante la produccin como al acabar sta, los equipos de proteccin sufren numerosas pruebas de control. Por ejemplo, las tarjetas electrnicas sufren un primer control en el banco de pruebas dielctrico que hace los ensayos de aislamiento. A continuacin se les aplica una prueba de funcionamiento in situ (figura 17). La prueba in situ comprueba el funcionamiento de cada componente de la tarjeta electrnica y adems que estn bien implantados. Detecta sobre todo los defectos de fabricacin y ciertos defectos de los componentes. Da un diagnstico implcito y permite una rpida reparacin de la tarjeta. A continuacin el servicio de calidad analiza los resultados y se consigue detectar rpidamente cualquier desviacin en calidad de los

componentes o de la fabricacin de las tarjetas. Despus de haber pasado por la prueba in situ, las tarjetas se someten a esfuerzos trmicos y elctricos combinados. Esta accin elimina los defectos de juventud del material electrnico y permite reducir la duracin del perodo llamado de juventud, consiguiendo que aparezcan los defectos de fabricacin antes de que lleguen a la explotacin. Y, adems, el servicio de control de calidad tambin utiliza las estadsticas de defectos para corregir rpidamente cualquier prdida de calidad de la fabricacin. Las pruebas finales permiten asegurar que las tarjetas que se instalan se comuniquen perfectamente entre ellas y que la configuracin que se monta sea la que responda mejor a lo que pide el cliente. Para comprobarlo, se verifica que las seales aplicadas al interfaz del equipo ya montado activa el conjunto de funciones que tiene que prestar el aparato de proteccin. Por otra parte, los controles sistemticos realizados sobre la produccin y los test de calidad se hacen peridicamente sobre una muestra representativa de toda la gama del producto.

Fig. 17: Prueba in situ.

Cuaderno Tcnico Schneider n 175 / p. 16

4 Anlisis de la informacin de retorno de la experiencia


Para tener una informacin de retorno significativa de la explotacin de los equipos, es necesario, cuando la fiabilidad es muy buena, tener un parque muy amplio de equipos en servicio. Es entonces cuando se pueden analizar los datos de fallos en explotacin. Este anlisis de la informacin de retorno de la explotacin es fundamental para: n medir la fiabilidad operacional de los equipos; n validar los estudios de seguridad realizados durante el diseo; n acumular experiencia tcnica para progresar; n disponer de una base de dilogo entre el fabricante y el usuario. La informacin de retorno de la experiencia descansa sobre una coleccin fiable y ordenada de informaciones relativas a los problemas de los clientes. La fiabilidad operacional (calculada con la informacin de retorno) slo es til si el defecto es detectable, detectado y registrado. Los datos de fallos obtenidos de un parque de equipos que no tienen funciones de autovigilancia o cuyo mantenimiento peridico es poco frecuente pueden no ser representativos de la fiabilidad real. Los datos de fiabilidad operacional obtenidos de un parque de protecciones digitalizadas son muy buenos para hacer una autovigilancia. Se ha constatado que la fiabilidad operacional era al menos diez veces superior a la previsible (calculada a partir de una muestra de datos MILHDBK-217E). Esta diferencia proceda probablemente de una toma de datos de fiabilidad intencionadamente pesimista y a la vez anacrnica (las tecnologas y la calidad de los componentes electrnicos evolucionan muy rpidamente). Las ltimas actualizaciones de tomas de datos de fiabilidad han reducido considerablemente la diferencia entre los resultados de fiabilidad operacional y prevista. Hoy, el MTBF correspondiente al disparo intempestivo o al no funcionamiento de la proteccin alcanza varios centenares de aos.

Conclusin

Los equipos de proteccin de las redes MT y AT garantizan una funcin de seguridad primordial. Deben de garantizar la proteccin de materiales y personas asegurando a la vez la disponibilidad de la energa. Sus disfunciones pueden producir a los usuarios prdidas econmicas importantes. Es, por tanto, esencial que respondan a altas exigencias de fiabilidad, seguridad, disponibilidad y mantenibilidad. Para esto, los equipos de proteccin deben de tener ciertas caractersticas tcnicas e

industriales, de las que, las ms significativas, son: n proteger bien las redes y equipos MT y AT, gracias a algoritmos adaptados a las diversas funciones de proteccin; n ser fciles de instalar, de utilizar y mantener; n ser fiables en un entorno severo, y adems: o ser capaces de autovigilarse, o tener una posicin de repliegue.

Gracias al trabajo de los que durante el diseo estudian la fiabilidad y la calidad, los equipos de proteccin digitales que hay actualmente en el mercado responden a estas exigencias. Actualmente, teniendo en cuenta el desarrollo de las comunicaciones digitales (bus) y de la supervisin, la funcionalidad de los equipos de proteccin llega hasta el dominio del mando y control para una gestin ptima de la distribucin elctrica.

Cuaderno Tcnico Schneider n 175 / p. 17

Anexo

Tiempos medios que caracterizan la seguridad (figura 18): El MTTF (Mean Time To first Failure) es el tiempo medio de buen funcionamiento antes de un fallo. El MTTR (Mean Time To Repair) es el tiempo medio de reparacin. El MTBF (Mean Time Between Failure) es el tiempo medio entre dos fallos (para un sistema reparable). El MDT (Mean Down Time) es la duracin media de fallo que abarca la deteccin de la avera, el tiempo de intervencin, el tiempo de reparacin y el tiempo de volver a dar servicio. El MUT (Mean Up Time) es la duracin media de buen funcionamiento despus de una reparacin. El trmino MTBF se traduce inadecuadamente como la media de tiempos de buen funcionamiento. Esta definicin es, de hecho, la del MTTF! La confusin viene del hecho de que frecuentemente el MTTR (del orden de algunas horas) es despreciable respecto al MTTF (del orden de varios miles de horas).

Las probabilidades La Fiabilidad, R(t) (Reliability) es la probabilidad de que un sistema no falle en un tiempo t. La Mantenibilidad (Maintenability) es la probabilidad de que un sistema pueda repararse en un tiempo t. La Disponibilidad (Availability) es la probabilidad de que un sistema funcione en un instante t. La Seguridad (Safety) es la probabilidad de evitar un suceso catastrfico. En general, se trabaja con una magnitud que es la tasa de fallos (t). Es la probabilidad de que el sistema falle en el instante siguiente, pensando que el sistema no ha de fallar. Para un componente electrnico, la tasa de fallos sigue una evolucin en el tiempo llamada curva en forma de baera. Durante el perodo llamado de vida til, el componente no envejece y su tasa de fallos se mantiene constante en el tiempo. Se obtienen entonces las eventuales relaciones fundamentales siguientes: Fiabilidad R(t)=et y MTTF=1/.

Ejemplo: Si un equipo tiene un MTTF de 100aos, su tasa de fallo =1/MTTF es de 102 / ao. La probabilidad de fallo es, cada ao, del 1%. Un MTTF (o MTBF) de 100 aos no significa en modo alguno que el sistema no fallar en 100 aos! El MTTF no es, por tanto, asimilable ni a la duracin garantizada ni a la esperanza de vida...

MTTF MDT

MTBF MUT

falta

reparacin estado de avera estado de funcionamiento

Fig. 18: diagrama de tiempos medios establecido para un sistema que necesita no interrumpir su funcionamiento para hacer el mantenimiento preventivo.

7 Bibliografa
Publicaciones diversas n Reliability design approach for protection and control equipment for MV distribution networks. Segunda Conferencia internacional de The Reliability of Transmission and Distribution Equipement. M.LEMAIRE, J. C.TOBIAS. Marzo 1995. n Sret de fonctionnement des systmes industriels. Eyrolles EDF. A. VILLEMEUR, 1988. n Fiabilit des systmes. Eyrolles EDF. A.PAGES, M.GONDRAN, 1980. n Autotest dune mmoire programme: deux solutions. Electronique n 4. Enero 1991. n Military Handbook 217 -FDepartment Of Defense, USA. n Recueils de donnes de fiabilit des composants lectroniques, RDF 93 CNET. n CEI 191. Cuadernos Tcnicos Merlin Gerin n Introduccin al diseo de la seguridad. CT n 144. P.BONNEFOI n La CEM: la compatibilidad electromagntica. CT n 149. F.VAILLANT n Protecciones de redes de AT-A industriales y terciarias. CT n 174. A.SASTR

Cuaderno Tcnico Schneider n 175 / p. 18