seguridad de las protecciones en mt y atautomata.cps.unizar.es/bibliotecaschneider/at-mt/ct17… ·...

Cuaderno Técnico nº 175

Seguridad de las proteccionesen MT y AT

Por: Marielle Lemaire

Cuaderno Técnico Schneider n° 175 / p. 2

La Biblioteca Técnica constituye una colección de títulos que recogen lasnovedades electrotécnicas y electrónicas. Están destinados a Ingenieros yTécnicos que precisen una información específica o más amplia, quecomplemente la de los catálogos, guías de producto o noticias técnicas

Estos documentos ayudan a conocer mejor los fenómenos que se presentan enlas instalaciones, los sistemas y equipos eléctricos. Cada uno trata enprofundidad un tema concreto del campo de las redes eléctricas, protecciones,control y mando y de los automatismos industriales.

Puede accederse a estas publicaciones en Internet:

http://www.schneiderelectric.es

Igualmente pueden solicitarse ejemplares en cualquier delegación comercial deSchneider Electric España S.A., o bien dirigirse a:

Centro de Formación SchneiderC/ Miquel i Badia, 8 bajos08024 Barcelona

Telf. (93) 285 35 80Fax: (93) 219 64 40e-mail: [email protected]

La colección de Cuadernos Técnicos forma parte de la «Biblioteca Técnica» delGrupo Schneider.

Advertencia

Los autores declinan toda responsabilidad derivada de la incorrecta utilización de lasinformaciones y esquemas reproducidos en la presente obra y no serán responsables deeventuales errores u omisiones, ni de las consecuencias de la aplicación de las informacioneso esquemas contenidos en la presente edición.

La reproducción total o parcial de este Cuaderno Técnico está autorizada haciendo la menciónobligatoria: «Reproducción del Cuaderno Técnico nº 175 de Schneider Electric».

cuadernotécnico no 175

Seguridad de lasprotecciones en MTy AT

Por: Marielle Lemaire

Trad.: J. M. Giró

Edición francesa: marzo 1995

Versión española: febrero 2000

Marielle LEMAIRE

Obtuvo su diploma de Ingeniero IEG,especialidad Física, en 1986.

Después de dos años pasados enun laboratorio de la Universidad deTUCSON (Arizona) entra en MerlinGerin donde participa en el desarrollode convertidores estáticos depotencia.

Especialista en la seguridad defuncionamiento, colaboró comoexperta francesa en el grupo detrabajo WG7 del Comité Técnico«fiabilidad de las protecciones» de laCEI (TC 95). Participa cinco añosdespués, en el desarrollo desistemas de protección de lasinstalaciones de media y alta tensión.


En este, como en otros CuadernosTécnicos, la traducción de ciertostérminos requiere perífrasisfácilmente aplicables.

Pero la traducción de la terminologíatécnica no sólo requiere una fidelidada la idea sino también a las normas ydebe de ser válida para los diversosidiomas, en este caso español,francés e inglés.

Por este motivo se adjunta en estepunto un pequeño léxico de lostérminos principales de estecuaderno con su equivalente enfrancés (idioma del texto original) y eninglés (por su validez internacional).

nnnnn Disponibilidad - Disponibilité -Availability: es la probabilidad de queuna protección esté en situación decumplir su misión, en unascondiciones dadas y en un instantedeterminado.

nnnnn Fiabilidad - Fiabilité - Reliability: esla probabilidad de que una protecciónpueda cumplir con su misión en unascondiciones dadas y en un intervalode tiempo dado; en concreto y sobretodo, la capacidad de dispararcuando haga falta y la capacidad deno-disparar intempestivamente.

nnnnn Mantenibilidad - Maintenibilité -Maintenibility: es la probabilidad deque una operación determinada de

mantenimiento activo puedaefectuarse en un intervalo de tiempodado.

nnnnn Seguridad - Sécurité - Satefy: es laprobabilidad de que una protecciónno actúe intempestivamente, en unascondiciones dadas y en un intervalode tiempo determinado. Tiene unsentido particular.

nnnnn Seguridad o garantía de buenfuncionamiento - Sûreté -Dependability: tiene el sentidocategórico, general o integral de laseguridad.

(Véase especialmente lo indicado enlas páginas 8 y 18 de este mismocuaderno).

Terminología (nota del traductor)


Índice

Seguridad de las protecciones en MT y AT

1 Introducción Objetivo de este cuaderno p. 6

Aparamenta de protección p. 6

Exigencias de la seguridad de p. 6funcionamiento: un compromisoentre dos situaciones extremasindeseables

2 El diseño en función de la seguridad Terminología p. 8

Las herramientas del p. 10especialista en fiabilidad

Los recursos de la seguridad p. 10de funcionamiento

3 La seguridad de funcionamiento Calidad del software p. 14

Calificación de los equipos de p. 14protección

Control de calidad p. 16

4 Análisis de la información de retorno p. 17de la experiencia

5 Conclusión p. 17

6 Anexo p. 18

7 Bibliografía p. 18


1 Introducción

Objetivo de este cuaderno

Este estudio presenta los diversosfactores que contribuyen a conseguirun funcionamiento correcto de losequipos de protección de las redesde media y alta tensión, así como losmétodos que se pueden utilizar paraconseguir estos objetivos deseguridad.

Se desarrollan especialmente:

n el tener en cuenta la seguridad defuncionamiento durante el diseño;

n la búsqueda de la calidad (en elsoftware, en la calificación, en lafabricación) con técnicas adecuadasa los esfuerzos que se presentan enMT y AT;

n el análisis de la información deretorno que da la experiencia.

Este documento se adecúa a lastécnicas utilizadas en los años 90durante el diseño de la nueva gamade protección Sepam.

Aparamenta de protección

La aparamenta de protección tienecomo misiones principales ladetección de los defectos de la red,supervisando diversos parámetros(corriente, tensión...) y enviando unaorden de apertura al interruptorautomático en caso de situaciónanormal. La aparamenta sueleproteger especialmente alguno delos diversos componentes de uncentro de distribución eléctrica, comoson: una entrada o una salida delíneas, un motor o un transformador.

En MT y AT, estos materiales suelenformar parte de la celda que contieneel interruptor automático (figura 1),siendo por tanto considerables losesfuerzos del entorno (temperatura,vibraciones, perturbacioneselectromagnéticas).

Los equipos de protección estánfabricados o bien con tecnologíaelectromagnética (la más antigua), obien con tecnología electrónica(también llamada estática), sea

analógica o digital. Un equipo deprotección digital (basado en el usode un microprocesador) puedeefectuar, además de su misiónprincipal de protección, funciones deautomatismo, de medida, deautovigilancia y de comunicación. Unequipo así se integra entoncesnaturalmente dentro de los sistemasde control y mando, asegurandofunciones de automatización,indicación de estado e indicaciónsinóptica (figura 2).

Exigencias de la seguridadde funcionamiento: uncompromiso entre dossituaciones extremasindeseables

Los sistemas de protecciónasociados a los interruptoresautomáticos tienen la misión degarantizar la seguridad de lainstalación asegurando al mismotiempo la mayor continuidad posibledel suministro.

En cuanto a la protección en símisma, hay dos situacionesextremas posibles que, para que todovaya bien, nunca deberían deproducirse:

n primer extremo indeseable: que noactúe la protección.

Las consecuencias de no eliminarinmediatamente un defecto puedenser catastróficas (riesgo para laspersonas, destrucción de los centrosde transformación, pérdida deproducción...). Para la seguridad dela explotación, el equipo deprotección debe de detectarselectivamente y lo más rápidamenteposible los defectos de la redeléctrica. Esta situación se puedeevitar mejorando la disponibilidad dela protección.

n segundo extremo indeseable:disparo intempestivo de laprotección.

La continuidad del suministro deenergía es tan importante para elindustrial como para las compañíassuministradoras. Un disparointempestivo debido a la propiaprotección puede generar pérdidaseconómicas considerables (paradade la producción, lucro cesante por laenergía no distribuida...). Estefenómeno puede evitarse mejorandola seguridad de la protección.

Fig. 1: Equipo de protección incorporadoa una celda de Media Tensión.


Frecuentemente, la disponibilidad yla seguridad están contrapuestas.

La mejor manera de que un avión nose estrelle es que se quede en tierra.Su seguridad es, entonces, perfecta,¡pero su disponibilidad, nula! Por elcontrario, un avión que vuela enexceso, sin mantenimiento, pone enpeligro la vida de las personas. Eldiseño de cualquier equipo, sea elque sea, obliga a un compromisoentre la disponibilidad y la seguridad.

La disponibilidad y seguridadaumentan al jugar con otras doscomponentes de seguridad de buenfuncionamiento: la mantenibilidad y lafiabilidad (figura 3).

En lo que respecta a los equipos deprotección, están sometidos amúltiples agresiones que puedentender a provocar los citados«fenómenos indeseables», porejemplo:

o temperaturas extremas,

o vibraciones debidas a lasmaniobras de los interruptoresautomáticos,

Fig. 2: Ejemplo de sistema digital de control y mando de un centro de transformación.

Fig. 3: Al aumentar la fiabilidad y lamantenibilidad (1) aumenta ladisponibilidad y la seguridad.

seguridad

disponibilidad

0

(1)

100 %

100 %

o atmósferas corrosivas enaplicaciones industriales (industriasquímicas, del papel o del cemento...),

o picos de camposelectromagnéticos intensos (hastavarias decenas de kV/m, con untiempo de rampa de subida del ordende 5 ns, a 1 metro de la celda delinterruptor automático.

Este entorno, tan extremadamenteduro, y el hecho de que las redes deMT y AT alimenten a numerososusuarios de la energía eléctricahacen necesario un perfecto controlde la fiabilidad y la mantenibilidad.

Los equipos de protección queutilizan los microprocesadores hanpermitido un avance considerable.Por ejemplo:

o con la integración disminuyen losproblemas de cableado y aumenta lafiabilidad,

o con la autovigilancia aumenta ladisponibilidad.

G

A V/Hz W/ jj clear reset

I on trip

alarmWh

O off

MERLIN GERIN


I on trip

alarmWh

O off

MERLIN GERIN


I on trip

alarmWh

O off

MERLIN GERIN


I on trip

alarmWh

O off

MERLIN GERIN


I on trip

alarmWh

O off

MERLINGERIN


I on trip

alarmWh

O off

MERLINGERIN


2 El diseño en función de la seguridad de funcionamiento

Terminología

Desde que se empieza el diseño deun equipo de protección hay quetener en cuenta los objetivos deFiabilidad, Seguridad, Disponibilidady Mantenibilidad.

Recordemos las definiciones deestas magnitudes:

n la disponibilidad es la probabilidadde que una protección esté ensituación de cumplir su misión, enunas condiciones dadas y en uninstante determinado;

n la seguridad es la probabilidad deque una protección no actúeintempestivamente, en unascondiciones dadas y en un intervalode tiempo determinado;

n la fiabilidad es la probabilidad deque una protección pueda cumplircon su misión en unas condicionesdadas y en un intervalo de tiempodado; en concreto y sobre todo, lacapacidad de disparar cuando hagafalta y la capacidad de no-dispararintempestivamente;

n la mantenibilidad es laprobabilidad de que una operacióndeterminada de mantenimiento activose pueda efectuar en un intervalo detiempo dado.

Estas magnitudes no tienennecesariamente el mismo significadosegún se piense en la protección oen la instalación eléctrica.

Así, la disponibilidad y lamantenibilidad de la proteccióncontribuyen a la seguridad de laspersonas y de los materiales. Laseguridad del dispositivo deprotección favorece la disponibilidadde la distribución de la energíaeléctrica.

Nota: estas definiciones soncoherentes con el VocabularioElectrotécnico Internacional -VEI 191-y se usan frecuentemente. Unanorma en preparación (WG 7 del TC95), relativa a la fiabilidad de losequipos de protección, da

definiciones parecidas, incluyendo lanoción de «seguridad defuncionamiento» en la fiabilidad. Aquíse usa esta expresión �seguridad defuncionamiento� como término queengloba a todos.

Los diversos estados posibles deuna protección se esquematizan enla figura 4 con sus consecuenciaspara la distribución eléctrica.

La razón entre el tiempo pasado en elestado de marcha y el tiempo total dereferencia es la disponibilidad. Ellector interesado en la cuantificaciónde los valores de la seguridad debuen funcionamiento puede leer tantoel anexo como el Cuaderno Técnicon° 144.

Si se observa la figura 3, uno de losobjetivos del diseñador de equiposde protección es tratar de manerapreventiva el máximo número posiblede fallos (mantenibilidad) paraaumentar la disponibilidad. Sólo un

número mínimo de sucesos debe dellevar a la pérdida de seguridad de laprotección (el concepto y losmecanismos de autovigilancia severán en los próximos capítulos).

En cuanto a las protecciones de lasredes de MT y AT, su seguridad debede ser muy buena respecto a lamayoría de equipos de BT.

Un Análisis Preliminar de Riesgospermite determinar las situacionesindeseables relacionadas con lasfunciones que cumple el equipo deprotección (figura 5).

Un equipo de especialistas,independiente del equipo de diseño,realiza los estudios previos deseguridad y propone solucionestécnicas compatibles con el nivelespecificado. Un conjunto deaproximaciones sucesivas permitemodificar el diseño hasta que seconsiguen los objetivos buscados.

protecciónfuncionando

protecciónaveriada

deteccion y señalizacion

SEGURIDAD

¡SEGURIDAD!¡DISPONIBILIDAD!

FIABILIDAD(avería grave)

MANTENIBILIDAD(reparación)

fallo de red

disparointempestivo

nodisparo

- -

Fig. 4: Gráfica de los estados de la protección y consecuencias en la distribucióneléctrica.


Fig. 5: Situaciones indeseables relativas a la función de protección.

Fig. 6: Ejemplo de datos de fiabilidad, según el Military Handbook (transcripción literal).

microprocessordie complexity failure rate - C1

no. bits bipolar MOSC1 C1

up to 8 .060 .14up to 16 .12 .28up to 32 .24 .56

all other model parameters

parameter section

πT 5.8C2 5.9πE, πQ, πL 5.10

MOS digital and linear gate/logic array die complexity failure rate - C1

digital linear floating gate prog. logic arrayno. gates C1 no. transistor C1 no. cells, C C1

1 to 100 .010 1 to 100 .010 up to 16 K .00085101 to 1,000 .020 101 to 300 .020 16 K < C ≤ 64 K .00171,001 to 3,000 .040 301 to 1,000 .040 64 K < C ≤ 256 K .00343,001 to 10,000 .080 1,001 to 10,000 .060 256 K < C ≤ 1M .006810,001 to 30,000 .1630,001 to 60,000 .29

Microcircuits, gate/logic arrays and microprocessors

Description:

1. bipolar devices, digital and linear gate/logic arrays2. MOS devices, digital and linear gate/logic arrays3. microprocessors

λp = (C1 . πT + C2 . πE) πQ . πL failures/106 hours

bipolar digital and linear gate/logic array die complexity failure rate - C1

digital linear prog. logic array

no. gates C1 no. transistors C1 no. gates C1

1 to 100 .0025 1 to 100 .010 up to 200 .010101 to 1,000 .0050 101 to 300 .020 201 to 1,000 .0211,001 to 3,000 .010 301 to 1,000 .040 1,001 to 5,000 .0423,001 to 10,000 .020 1,001 to 10,000 .06010,001 to 30,000 .04030,001 to 60,000 .080

fenómenos efectos causas previsiónindeseablesdisparo n apertura intempestiva n internas, por ejemplo: por ejemplo:intempestivo del interruptor automático o detección intempestiva n funciones de autodiagnóstico

n la energía no está disponible, de un fallo, n posición de replieguelo que implica pérdidas económicas o accionamiento intempestivo n compatibilidad electromagnéticaimportantes (parada de la producción...) del mando... n captadores amagnéticos

n externas, por ejemplo:o perturbaciones electromagnéticaso saturación de los captadoreso defectos en el diseño del plande protección...

enmascaramiento n disparo de un nivel aguas arriba n internas, por ejemplo: por ejemplo :de una orden de de la protección con posibilidad de o no detección de un fallo n funciones de autodiagnósticodisparo destrucción local de material o mando bloqueado... n compatibilidad electromagnética

n destrucción importante de n externas, por ejemplo : n captadores amagnéticosmateriales (incendio...), si no hay o perturbaciones electromagnéticas n módulo de socorroprotección aguas arriba o saturación de los captadores n supervisión del circuito de

o fallo de la alimentación auxiliar disparoo circuito de disparo del interruptor n selectividad lógicaautomático abiertoo error en el diseño del plan dede protección...


Las herramientas delespecialista en fiabilidad

Técnicas especializadas deevaluación y de modelización de laseguridad de funcionamientopermiten convertir los objetivos enexigencias de diseño.

n el análisis provisional de lafiabilidad determina la tasa de fallode cada componente del equipo encondiciones reales de utilización.

Por esto, se utilizan bases de datosde fiabilidad, como la MilitaryHandbook 217 (MIL-HDBK-217)(figura 6), o el folleto CNET (RDF 93).Ambas se usan para calcular lafiabilidad de un circuito constituidopor varios componentes. Si esnecesario, el diseñador modifica elfactor de carga de algunos de ellos, outiliza componentes que tengangarantía de larga duración (este es elcaso, por ejemplo, de loscondensadores electrolíticos).

n El Análisis de los Modos de Fallos,de sus Efectos y de su Criticidad,realizado tanto sobre el hardwarecomo sobre el software, valora losefectos de cada tipo de fallo conocidodurante el funcionamiento del equipo.

Asimismo, este Análisis de losModos de Fallos, de sus Efectos y desu Criticidad se usa para corregirciertos riesgos de disfunción yespecificar las funciones deautovigilancia. Este análisis puedeaplicarse a nivel de una funcióngeneral (la función de «protección»);de una función concreta (la funciónde «protección contra corrientemáxima», por ejemplo); aplicarse

simplemente a una de sussubfunciones (figura 7); o llegarhasta el nivel más bajo, el de loscomponentes (los colocados en lastarjetas de circuito impreso).

n los fenómenos indeseablesrelativos a los equipos de protecciónse modelizan con varias técnicas:

o los árboles de fallos describen, apartir de un fenómeno indeseable,todas las causas posibles de estesuceso (figura 8).

El árbol de fallos es larepresentación «booleana» que seusa para determinar los caminosmás críticos para que se produzca undeterminado suceso.

o las gráficas de Markov son unarepresentación del comportamientodonde aparecen los estados demarcha, de marcha degradada y deavería del equipo. La transición de unestado a otro se califica por las tasasde fallo (λ) y de reparación (µ). Estasgráficas se usan para calcular laprobabilidad de permanencia enestado de fallo (figura 9).

o las redes de Petri tienen el mismoobjeto que las gráficas de Markov, esdecir, modelizar los estados de unsistema. Permiten estudiar sistemasmás complejos, donde la transiciónentre estados no siguenecesariamente una ley exponencial�ley o distribución de Weibull, porejemplo (figura 10).

Estos sistemas de modelización seusan para hacer una simulacióncuantificada de la seguridad de buenfuncionamiento y también paraobtener las probabilidades quecorresponden a la fiabilidad,

mantenibilidad, disponibilidad yseguridad del equipo de protección.

El lector podrá encontrar en labibliografía, en la referencias[Villemeur] o [Pages-Gondran], unainformación más precisa de estastécnicas.

Los recursos de laseguridad defuncionamiento

Para conseguir las máximasgarantías de funcionamiento de unainstalación eléctrica, deben decontrolarse la fiabilidad, la seguridady la mantenibilidad de la protección.

Fijados los objetivos ligados a estasmagnitudes, el diseñador de laprotección, ayudado por el técnico enfiabilidad, utiliza un cierto número demedios para conseguirlos:

nnnnn gracias al especialista enfiabilidad y sus herramientas,controla la fiabilidad intrínseca antesy durante el desarrollo;

nnnnn gracias a los medios deautovigilancia, de señalización de losfallos y de la comunicación, puede:

ooooo mejorar la seguridad de laprotección pasándola a la posiciónde repliegue,

ooooo mejorar la mantenibilidad y ladisponibilidad de la protección.

Examinemos los medios que seusan:

nnnnn autovigilancia.

La eficacia y aplicabilidad de laautovigilancia son vitales para laseguridad de buen funcionamiento

función modo de fallo efecto sobre la protección medio de detección señalizaciónmedir las corrientes corriente medida errónea: protección activada el algoritmo utilizado inhibición «natural» de lade fase nivel continuo → disparo trabaja sobre el cálculo protección

> umbral de disparo intempestivo del módulo de la corrientea 50 Hzdetección por el cálculo señalizar el fallo en el panelperiódico de la frontal y a través del sistemacomponente continua de comunicacionesde la señal

corriente medida errónea: protección no-disponible los medios de detección señalizarnivel continuo → no hay disparo ante son los mismos< umbral de disparo un posible fallo

Fig. 7: Tabla de AMDEC realizada con una subfunción de la protección contra intensidad máxima.


Fig. 9: Ejemplo de un gráfico de Markov para un sistema constituido por doscomponentes redundantes y reparables. Si se trata de dos componentes electrónicos(fiabilidad exponencial), la duración media de buen funcionamiento después de una

reparación es MUT =1

2 ..

Fig. 10: Ejemplo de una red de Petri aplicada a un sistema constituido por un elementoreparable.

Fig. 8: Ejemplo simple de árbol de fallos.

Fig. 11: Los medios digitales deautocontrol.

con un fallo en la instalación eléctricano abre el interruptor automático

interruptor automáticofalla al abrir

nodisponibilidad

del circuitode disparo

Y

O

hay un falloen la

instalacióneléctrica

nodisponibilidad del equipo de

protección

nodisponibilidad

de loscaptadores

nodisponibilidad

del órganode corte

marcha averíamarchadegradada

(un único reparador)

2

P1

P2

T1 T2

P1

P2

T1 T2

La red de Petri representada tienedos posiciones estables (P1, P2),dos transiciones (T1, T2)y cuatro arcos.Esta red representa elcomportamiento de un componentereparable, al aplicarle, por ejemplo,los significados siguientesa las posiciones estables y transitorias:P1: el componente está funcionando correctamente,P2: el componente está averiado,T1: el componente pasa a avería,T2: el componente acaba de ser reparado.

Para el control de la integridad de losdatos.

Se pueden utilizar varias técnicas:

nnnnn Control de paridad.Consiste en convertir en parsistemáticamente el número de bitstransmitidos, completando el mensaje útilcon un «bit de paridad».

De este modo, el receptor puede controlarel mensaje si hay un error de 1 bit o de 3...La alteración de un número par de bits nose puede detectar.

nnnnn El CRC (Cyclic Redundancy Check)consiste en adjuntar a la información útil elresto de dividirlo por un polinomionormalizado por el CCIT.

Por ejemplo, el polinomio divisor de grado16 (x16 + x15 + x2 + 1 = 1100 0000 00000011) utilizado por el «CRC 16» permite ladetección de 16 errores simultáneos.

nnnnn El Checksum consiste en hacer la sumabinaria de los octetos y añadir el resultado(cortando en uno o varios octetos) almensaje útil.

El Checksum puede añadirse, por ejemplo,al control de paridad en los octetos�

El control de integridad del mensaje por elreceptor es más fácil que para el CRC ypuede ser más eficaz.

Para controlar que el programa seejecute bien

Usada frecuentemente en automatismos,la técnica del «perro guardián» consisteen ejecutar periódicamente unainstrucción de prueba.

Si no se ejecuta esta instrucción en unlapso de tiempo determinado, indica quehay un fallo y provoca el disparo de unaalarma para que se envíe el equipo deprotección a revisar.

de la protección. A modo de ejemplo,se citan algunos medios que puedenaumentar la disponibilidad y laseguridad:

ooooo Al conectar, y despuésperiódicamente, hay que hacer uncontrol de la integridad de los datoscontenidos en «programa» y en los«datos constantes». Este control sehace calculando el «checksum» yllevándolo a la parte alta de lamemoria utilizada. Este «checksum»arrastrado cubre el 99,95% , para128 octetos, (99,998% para 128kilooctetos) del movimiento de losbits de dirección y de los bits de


memoria. Para controlar un volumende información mayor de varioscentenares de octetos, el cálculo del«checksum» con arrastre es máseficaz que el cálculo de un CRC 16,por ejemplo.

ooooo Hay que disponer de un «perroguardián» de hardware y de softwarepara detectar cualquier bloqueo de launidad central (debido a un defectode un componente, a un parásito o auna sobrecarga delmicroprocesador).

También hay que tener seguridad dela validez de la señal de salida del«perro guardián». El «perroguardián» debe de cubrir incluso losfallos del cristal de cuarzo o deloscilador del microprocesador(figura 11).

ooooo Hay que controlar el tiempo deciclo del programa. Si se usan lasinterrupciones para secuenciar losciclos, hay que asegurarse del buenfuncionamiento de estosmecanismos.

ooooo Hay que efectuar continuamenteun control de la tensión dealimentación para prevenir la caídaeventual de la misma y que se quedeparado el microprocesador(salvaguardar los parámetros).

ooooo Si se usan memorias EEPROM,hay que supervisar la utilización deeste componente, contando elnúmero de grabaciones, que no debede superar las 10000.

ooooo Hay que evitar tratar los datosdigitales erróneos inmediatamentedespués de un fallo de la cadena deconversión analógico-digital. Uncontrol eficaz para esto es el verificarpermanentemente dos señales dereferencia a la entrada del multiplexorcon dos direccionescomplementarias (se consigue asídetectar el 100% de fallos delconvertidor analógico-digital y el100% de los cambios a 1 ó a 0 de losbits de selección del multiplexor).

Se usan otros muchos mecanismosde detección, dependiendo sobretodo de la tecnología utilizada.

nnnnn la posición de repliegue

Las funciones de autovigilanciadetectan el máximo número de fallosque podríamos llamar «mayores».Un fallo se clasifica como decategoría «mayor» si puede provocarun mal funcionamiento de laprotección.

Un fallo de este tipo no debe dedegenerar en un disparo de laprotección. El dispositivo deprotección pasa a la posiciónpredeterminada de repliegue paraevitar el paso de órdenes aleatorias.

Se informa al usuario del paso a esta«posición de repliegue», y se puedepasar inmediatamente a la posiciónde mantenimiento para retornar laprotección a su plena disponibilidad.

Asimismo, existen fallos llamados«menores», como por ejemplo, elfallo de un periférico (el visor o laconsola); se señaliza, pero no afectaa la disponibilidad de la protección.

nnnnn la señalización de los fallos

Las funciones de autovigilanciadeben de ofrecer medios dediagnóstico adaptados para permitir

un retorno rápido al estado demarcha de la protección que hafallado, es decir:

ooooo dar al usuario una informaciónexterna clara y global sobre el estadode la protección,

ooooo dar al fabricante una informacióninterna clara y precisa del estado dela protección, durante una operaciónde conservación e incluso despuésdel retorno a fábrica de unaprotección defectuosa.

Por ejemplo, el fallo de la protecciónse puede señalizar mediante:

ooooo un piloto en el panel frontal,

ooooo una salida del relé «perroguardián»,

ooooo un mensaje en el visor del panelfrontal,

ooooo una información que se guarde ograve detallando el origen del fallo,

ooooo un mensaje a través del sistemade comunicación cuando laprotección forma parte del sistema decontrol y mando.

Todo esto es una ventaja importanterespecto a protecciones detecnologías anteriores en las que undispositivo podía permaneceraveriado largo tiempo sin que elusuario se enterara (figura 12) y que

!

!

1 2 3

mantenimientos periódicos 1, 2, 3...

conexiónfallo internono detectado

instalaciónno protegida

tiempo

sin mantenimiento periódico

protección digital

protección electromecánica o analógica

conexiónfallo internodetectado

no disponibilidad limitadaal tiempo de intervención

tiempo

Fig. 12: La autosupervisión permite reducir el tiempo de no-disponibilidad de laprotección y por tanto aumentar la seguridad de la instalación eléctrica.


además no podía dar ningunainformación sobre el origen de laavería...

nnnnn abertura hacia los sistemas desupervisión y de mando y control.

Como ya se ha dicho, la proteccióndigital puede abarcar funciones deautomatismo y de comunicación. Seconvierte así en un punto de unióndel sistema de supervisión con elde mando y control de la instalacióneléctrica, lo que facilita laexplotación al permitir la vigilancia,la comunicación y la gestión de lared de distribución:

o vigilancia de los estados y de losvalores de las magnitudeseléctricas (medida),

o vigilancia del estado de losequipos (posición del aparato,temperatura, presión...),

ooooo tratamiento de alarmas,

ooooo mando a distancia de losórganos de maniobra,

ooooo reconfiguración automática delas redes después de un defecto,

ooooo gestión de la energía consumidaen función de la tarificación de lascompañías suministradoras,

ooooo edición de informes deexplotación,

ooooo asignación de los costes deenergía a cada uno de losconsumidores de la instalación.

nnnnn la facilidad de mantenimiento

ooooo la autovigilancia, la señalización y lacomunicación facilitan el conocimientodel estado del defecto y de ahí laacción inmediata del personal demantenimiento,

ooooo el autodiagnóstico permite al querepara el aparato conocer el origen delfallo y de ahí la rapidez de reparación,

ooooo las funciones programadas, quepersonalizan la protección en cuanto alas aplicaciones o funciones quepuede realizar, se almacenan en uncartucho removible. Esto facilita lareposición inmediata del serviciodespués de reemplazar la parte físicadel aparato (hard), que estáestandarizada.

nnnnn casos especiales

La fiabilidad de la protección puedeser insuficiente si sufre agresionesexcepcionales o si las necesidades dedisponibilidad y seguridad de ladistribución eléctrica sonexcepcionalmente elevadas:

ooooo entornos severos

Los sistemas de protección están aveces instalados en ambientesexcepcionales que sobrepasan lasespecificaciones de los materiales:

- temperatura,

- vibraciones�

En cada caso, el departamento dediseño debe de identificar claramentelas necesidades. De esta forma seproponen soluciones personalizadas:

- ajustes especiales de tarjetaselectrónicas,

- contrato de mantenimientoespecífico.

ooooo necesidades excepcionales deseguridad

Un módulo auxiliar de emergenciapuede asumir la protección en casode:

- fallo de la alimentación,

- fallo del cableado,

- fallo del relé de disparo,

- protección principal fuera deservicio.

Otra solución consiste en duplicar elequipo de protección, con un circuito«o» en el sistema de mando delórgano de corte. Para la instalación,la seguridad queda muy reforzada y ladisponibilidad de la energía nodisminuye, cuando se empleansistemas de protección con laposición de repliegue.

Como solución extrema, se puedentomar en consideración los sistemas

2/3.


3 La seguridad de funcionamiento como unaparte de la búsqueda de la calidad total

Calidad del software

Una parte importante de lasprestaciones de los equipos deprotección digitales la realiza elsoftware. Por tanto es necesarioconseguir un software de calidadpara poder lograr los objetivosglobales de seguridad.

El control de la calidad del softwarese consigue siguiendo un rigurosométodo de trabajo.

Este método, nacido de lasrecomendaciones establecidas pororganismos nacionales einternacionales (IEEE), exige seguiruna serie de pasos:

nnnnn La división de la aplicación en unasucesión de fases (figura 13):

ooooo especificación,ooooo anteproyecto,ooooo diseño detallado,ooooo codificación,ooooo pruebas unitarias,ooooo integración y prueba deintegración,ooooo validación.

A cada una de estas fases se leasocia un conjunto de documentosque se usan y se producen duranteese paso.

Estos documentos contienen losestudios realizados en cada fase ydeben de ser validados antes depasar a la fase siguiente.

nnnnn La utilización de reglas y métodosde diseño y codificación que tienenpor objetivo el conseguir un alto nivelde estructuración del software (porejemplo, SADT desarrollado en lasherramientas ASA o MACH).

nnnnn La utilización de herramientas degestión de la configuración delsoftware, lo que permite gestionartodos los componentes del programay especialmente controlar laevolución y las nuevas versiones detodos los componentes (por ejemplo,la herramienta CMS).

Por otra parte, se usan con granprovecho los métodos de revisión decódigo. Un verificador efectúa una

lectura crítica del código y hace susobservaciones. Este análisis«manual» resulta ser en este puntouno de los métodos más eficacespara descubrir los fallos lógicos (loserrores de programa).

Finalmente, una vez que cadaprograma está integrado y validado,una última fase de calificación,dirigida por un equipo independientedel equipo de desarrollo, asegura uncontrol final eficaz.

Calificación de los equiposde protección

Los equipos de protección, antes desalir al mercado, pasan por unproceso completo de calificación.

Se detallan aquí ciertos criterios decalificación específicos para losentornos de MT y AT:

nnnnn la inmunidad a las perturbacioneselectromagnéticas (conducidas oradiadas).

plan de integracióndel programa

especificacióndel programa

plan de validación del programa

diseñopreliminar

diseñodetallado

plande

prueba

validacióndel programa

integracióndel programa

pruebasunitarias

codificación

Fig. 13: Ciclo de desarrollo de un programa (llamado en V).

Las perturbaciones eléctricasencontradas en los centros detransformación tienen diversosorígenes:

ooooo las descargas de rayo que incidendirectamente en las líneas o cerca delos centros de transformaciónpueden producir sobretensiones deunos centenares de kV y con un frentede subida de orden delmicrosegundo;

ooooo la maniobra normal de laaparamenta, al abrir y cerrar elórgano de corte de MT o AT, provocasobretensiones de «maniobra»(onda oscilatoria amortiguada). Estassobretensiones pueden producircampos eléctricos con crestas delorden de 10 kV/m a 1 metro delinterruptor automáticos;

ooooo los operarios pueden provocardescargas electrostáticas queproducen sobre el material impulsosde corriente de algunas decenas deamperio y de frente muy rápido, delorden de nanosegundos;


ooooo los emisores radioeléctricos(talkies-walkies, por ejemplo)producen campos de varias decenasde V/m a 1 metro.

El lector que desee profundizar en eltema de la CompatibilidadElectromagnética -CEM- puede leer elCuaderno Técnico nº 149.

Los valores estándar internos deresistencia a los esfuerzos eléctricosdefinen los niveles de inmunidadnecesarios para el funcionamiento delos sistemas de protección en uncentro de transformación eléctrico.

Estos niveles corresponden a lasresistencias dieléctricas definidaspor las normas CEI 255 y, a veces,hasta más severas. Con los ensayosse controla que se respeten losniveles de exigencia definidos. Serealizan cuatro tipos de ensayos:

Fig. 14: Ensayos de perturbacioneselectromagnéticas en cámara aneocoica.

Fig. 15 : Laboratorio Kirchhoff deensayos de protecciones. Fig. 16: Descripción del sistema de ensayos de protecciones.

ooooo onda oscilatoria amortiguada(CEI 255-22-1)

severidad: clase III, 2,5 kV,

ooooo transitorios rápidos

(CEI-255-22-4)

severidad: clase IV, 4 kV,

ooooo descargas electrostáticas(CEI 255-22-2)

severidad: clase III, 8 kV,

ooooo campos radiados

(CEI-255-22-3)

severidad: mejor que la clase III,

30 V/m (figura 14).

estacióngráfica

ordenadorprograma demodelizaciónMORGAT, EMTP

convertidordigitalanalógico

sistema detoma de datos

amplificadorde corrientey tensión

proteccióna probar

adaptaciónde corrientes

y de tensionesa nivel de entrada

de la protección

cálculo de fenómenostransitorios de las redes

conversión de losresultados de los cálculosen señales analógicasen tiempo real

generador de señalesaleatorias

síntesisde señalesespecíficas

registro de larespuesta dela protección

Nota: el ensayo de transitoriosrápidos es la transcripción en modo«conducido» de camposelectromagnéticos impulsionales«radiados», producidos durante lasmaniobras de la aparamenta.

Además de los ensayos de CEM, losequipos de protección se someten aensayos «en situaciones reales».

A título de ejemplo, con el equiposituado en el lado de BT de una celdade MT, se hacen un centenar demaniobras «cerrar-abrir» delinterruptor automático. Al hacerlo conpoca carga y ser ésta de tipoautoinductivo aparecen importantes


sobretensiones de corte de lacorriente.

Durante estos ensayos, el equipo deprotección no debe de tener ningúnfallo intempestivo.

nnnnn el laboratorio Kirchhoff: ensayos deprotecciones.

Las funciones realizadas por lossistemas de protección soncomplejas. El buen funcionamientode las protecciones debe de quedargarantizado para el conjunto defenómenos susceptibles deproducirse en las redes eléctricas.Por tanto, es necesario un laboratorioque realice ensayos de lasprotecciones (figura 15).

El laboratorio Kirchhoff permitereproducir con valores reales losfenómenos tal como aparecen en lasredes eléctricas (figura 16).

Está equipado con un simuladordigital que permite:

ooooo calcular las corrientes y tensionesde red, precisamente en el momentoen que se produce un cortocircuito,un defecto de aislamiento o lamaniobra de un aparato,

ooooo generar las señalescorrespondientes y aplicarlas alaparato bajo prueba. Se analizaentonces el comportamiento de lasprotecciones sometiéndolas acondiciones idénticas a las que seencontrarán en la red real.

La simulación digital de redeseléctricas del laboratorio Kirchhoffusa dos programas:

ooooo EMTP (ElectroMagnetic TransientProgram), programa para calcularfenómenos transitorios. Esteprograma, mundialmente utilizado,permite, a partir de una base dedatos con las características de losmateriales (transformadores, líneas,máquinas...), elaborar modelos detodo tipo de redes eléctricas, simularun fallo o maniobra de un aparato ycalcular con precisión la variación enel tiempo de las corrientes ytensiones;

ooooo MORGAT, simulador de redeseléctricas, desarrollado por la EDF(Electricidad de Francia). Esteprograma permite simultáneamenteanalizar con precisión elcomportamiento de las redes y

controlar el aspecto «tiempo real» enel laboratorio Kirchhoff. Lascorrientes y tensiones, calculadas endiversos puntos de la red eléctricasimulada, se convierten en señalesanalógicas para aplicarlas en laprotección que se está probando.

Control de calidad

Tanto durante la producción como alacabar ésta, los equipos deprotección sufren numerosaspruebas de control.

Por ejemplo, las tarjetas electrónicassufren un primer control en el bancode pruebas dieléctrico que hace losensayos de aislamiento.

A continuación se les aplica unaprueba de funcionamiento «in situ»(figura 17).

La prueba «in situ» comprueba elfuncionamiento de cada componentede la tarjeta electrónica y ademásque estén bien implantados. Detectasobre todo los defectos defabricación y ciertos defectos de loscomponentes. Da un diagnósticoimplícito y permite una rápidareparación de la tarjeta. Acontinuación el servicio de calidadanaliza los resultados y se consiguedetectar rápidamente cualquierdesviación en calidad de los

componentes o de la fabricación delas tarjetas.

Después de haber pasado por laprueba «in situ», las tarjetas sesometen a esfuerzos térmicos yeléctricos combinados. Esta acciónelimina los defectos de juventud delmaterial electrónico y permite reducirla duración del período llamado dejuventud, consiguiendo queaparezcan los defectos de fabricaciónantes de que lleguen a la explotación.

Y, además, el servicio de control decalidad también utiliza lasestadísticas de defectos para corregirrápidamente cualquier pérdida decalidad de la fabricación.

Las pruebas finales permitenasegurar que las tarjetas que seinstalan se comuniquenperfectamente entre ellas y que laconfiguración que se monta sea laque responda mejor a lo que pide elcliente. Para comprobarlo, se verificaque las señales aplicadas al interfazdel equipo ya montado activa elconjunto de funciones que tiene queprestar el aparato de protección.

Por otra parte, los controlessistemáticos realizados sobre laproducción y los test de calidad sehacen periódicamente sobre unamuestra representativa de toda lagama del producto.

Fig. 17: Prueba «in situ».


4 Análisis de la información deretorno de la experiencia

Para tener una información de retornosignificativa de la explotación de losequipos, es necesario, cuando lafiabilidad es muy buena, tener unparque muy amplio de equipos enservicio. Es entonces cuando sepueden analizar los datos de fallosen explotación. Este análisis de lainformación de retorno de laexplotación es fundamental para:

n medir la fiabilidad operacional delos equipos;

n validar los estudios de seguridadrealizados durante el diseño;

n acumular experiencia técnica paraprogresar;

n disponer de una base de diálogoentre el fabricante y el usuario.

La información de retorno de laexperiencia descansa sobre unacolección fiable y ordenada deinformaciones relativas a losproblemas de los clientes. Lafiabilidad operacional (calculada conla información de retorno) sólo es útilsi el defecto es detectable, detectadoy registrado. Los datos de fallosobtenidos de un parque de equiposque no tienen funciones deautovigilancia o cuyo mantenimientoperiódico es poco frecuente puedenno ser representativos de la fiabilidadreal.

Los datos de fiabilidad operacionalobtenidos de un parque deprotecciones digitalizadas son muybuenos para hacer unaautovigilancia.

Se ha constatado que la fiabilidadoperacional era al menos diez vecessuperior a la previsible (calculada apartir de una muestra de datos MIL-HDBK-217E). Esta diferenciaprocedía probablemente de una tomade datos de fiabilidadintencionadamente pesimista y a lavez anacrónica (las tecnologías y lacalidad de los componenteselectrónicos evolucionan muyrápidamente).

Las últimas actualizaciones de tomasde datos de fiabilidad han reducidoconsiderablemente la diferencia entrelos resultados de fiabilidadoperacional y prevista.

Hoy, el MTBF correspondiente aldisparo intempestivo o al nofuncionamiento de la protecciónalcanza varios centenares de años.

5 Conclusión

Los equipos de protección de lasredes MT y AT garantizan una funciónde seguridad primordial. Deben degarantizar la protección de materialesy personas asegurando a la vez ladisponibilidad de la energía. Susdisfunciones pueden producir a losusuarios pérdidas económicasimportantes. Es, por tanto, esencialque respondan a altas exigencias defiabilidad, seguridad, disponibilidad ymantenibilidad. Para esto, losequipos de protección deben de tenerciertas características técnicas e

industriales, de las que, las mássignificativas, son:

n proteger bien las redes y equiposMT y AT, gracias a algoritmosadaptados a las diversas funcionesde protección;

n ser fáciles de instalar, de utilizar ymantener;

n ser fiables en un entorno severo, yademás:

o ser capaces de autovigilarse,

o tener una posición de repliegue.

Gracias al trabajo de los que duranteel diseño estudian la fiabilidad y lacalidad, los equipos de proteccióndigitales que hay actualmente en elmercado responden a estasexigencias.

Actualmente, teniendo en cuenta eldesarrollo de las comunicacionesdigitales (bus) y de la supervisión, lafuncionalidad de los equipos deprotección llega hasta el dominio delmando y control para una gestiónóptima de la distribución eléctrica.


6 Anexo

Ejemplo:

Si un equipo tiene un MTTF de100 años, su tasa de fallo λ = 1/MTTFes de 10�2 / año. La probabilidad defallo es, cada año, del 1%.

¡Un MTTF (o MTBF) de 100 años nosignifica en modo alguno que elsistema no fallará en 100 años! ElMTTF no es, por tanto, asimilable ni ala duración garantizada ni a laesperanza de vida...

Tiempos medios que caracterizan laseguridad (figura 18):

El MTTF (Mean Time To first Failure)es el tiempo medio de buenfuncionamiento antes de un fallo.

El MTTR (Mean Time To Repair) es eltiempo medio de reparación.

El MTBF (Mean Time BetweenFailure) es el tiempo medio entre dosfallos (para un sistema reparable).

El MDT (Mean Down Time) es laduración media de fallo que abarca ladetección de la avería, el tiempo deintervención, el tiempo de reparacióny el tiempo de volver a dar servicio.

El MUT (Mean Up Time) es laduración media de buenfuncionamiento después de unareparación.

El término MTBF se traduceinadecuadamente como la media detiempos de buen funcionamiento.¡Esta definición es, de hecho, la delMTTF! La confusión viene del hechode que frecuentemente el MTTR (delorden de algunas horas) esdespreciable respecto al MTTF (delorden de varios miles de horas).

Las probabilidades

La Fiabilidad, R(t) (Reliability) es laprobabilidad de que un sistema nofalle en un tiempo t.

La Mantenibilidad (Maintenability) esla probabilidad de que un sistemapueda repararse en un tiempo t.

La Disponibilidad (Availability) es laprobabilidad de que un sistemafuncione en un instante t.

La Seguridad (Safety) es laprobabilidad de evitar un sucesocatastrófico.

En general, se trabaja con unamagnitud que es la tasa de fallos λ(t). Es la probabilidad de que elsistema falle en el instante siguiente,pensando que el sistema no ha defallar.

Para un componente electrónico, latasa de fallos sigue una evolución enel tiempo llamada curva en forma de«bañera». Durante el períodollamado «de vida útil», el componenteno envejece y su tasa de fallos λ semantiene constante en el tiempo. Seobtienen entonces las eventualesrelaciones fundamentales siguientes:

Fiabilidad R(t) = e � λt y MTTF = 1 / λ.

Fig. 18: diagrama de tiempos mediosestablecido para un sistema que necesitano interrumpir su funcionamiento parahacer el mantenimiento preventivo.

7 Bibliografía

Publicaciones diversas

n Reliability design approach forprotection and control equipment forMV distribution networks. SegundaConferencia internacional de «TheReliability of Transmission andDistribution Equipement».M. LEMAIRE, J. C. TOBIAS. Marzo1995.

n Sûreté de fonctionnement dessystèmes industriels. Eyrolles EDF.A. VILLEMEUR, 1988.

n Fiabilité des systèmes. EyrollesEDF. A. PAGES, M. GONDRAN, 1980.

n Autotest d�une mémoireprogramme: deux solutions.Electronique n° 4. Enero 1991.

n Military Handbook 217 -F-Department Of Defense, USA.

n Recueils de données de fiabilitédes composants électroniques, RDF93 CNET.

n CEI 191.

Cuadernos Técnicos Merlin Gerin

n Introducción al diseño de laseguridad. CT n° 144. P. BONNEFOI

n La CEM: la compatibilidadelectromagnética. CT n° 149.F. VAILLANT

n Protecciones de redes de AT-Aindustriales y terciarias. CT n° 174.A. SASTRÉ

MTTF MTBF

MUTMDT

falta

estado de averíaestado de funcionamiento

reparación

seguridad de las protecciones en mt y atautomata.cps.unizar.es/bibliotecaschneider/at-mt/ct17… ·...

Documents