Está en la página 1de 18

Cuaderno Tcnico n 175

Seguridad de las protecciones


en MT y AT

Por: Marielle Lemaire

La Biblioteca Tcnica constituye una coleccin de ttulos que recogen las


novedades electrotcnicas y electrnicas. Estn destinados a Ingenieros y
Tcnicos que precisen una informacin especfica o ms amplia, que
complemente la de los catlogos, guas de producto o noticias tcnicas
Estos documentos ayudan a conocer mejor los fenmenos que se presentan en
las instalaciones, los sistemas y equipos elctricos. Cada uno trata en
profundidad un tema concreto del campo de las redes elctricas, protecciones,
control y mando y de los automatismos industriales.
Puede accederse a estas publicaciones en Internet:
http://www.schneiderelectric.es
Igualmente pueden solicitarse ejemplares en cualquier delegacin comercial de
Schneider Electric Espaa S.A., o bien dirigirse a:
Centro de Formacin Schneider
C/ Miquel i Badia, 8 bajos
08024 Barcelona
Telf. (93) 285 35 80
Fax: (93) 219 64 40
e-mail: formacion@schneiderelectric.es

La coleccin de Cuadernos Tcnicos forma parte de la Biblioteca Tcnica del


Grupo Schneider.

Advertencia
Los autores declinan toda responsabilidad derivada de la incorrecta utilizacin de las
informaciones y esquemas reproducidos en la presente obra y no sern responsables de
eventuales errores u omisiones, ni de las consecuencias de la aplicacin de las informaciones
o esquemas contenidos en la presente edicin.
La reproduccin total o parcial de este Cuaderno Tcnico est autorizada haciendo la mencin
obligatoria: Reproduccin del Cuaderno Tcnico n 175 de Schneider Electric.

Cuaderno Tcnico Schneider n 175 / p. 2

cuaderno
tcnico no 175

Marielle LEMAIRE
Obtuvo su diploma de Ingeniero IEG,
especialidad Fsica, en 1986.
Despus de dos aos pasados en
un laboratorio de la Universidad de
TUCSON (Arizona) entra en Merlin
Gerin donde participa en el desarrollo
de convertidores estticos de
potencia.
Especialista en la seguridad de
funcionamiento, colabor como
experta francesa en el grupo de
trabajo WG7 del Comit Tcnico
fiabilidad de las protecciones de la
CEI (TC 95). Participa cinco aos
despus, en el desarrollo de
sistemas de proteccin de las
instalaciones de media y alta tensin.

Seguridad de las
protecciones en MT
y AT

Por: Marielle Lemaire


Trad.: J. M. Gir

Edicin francesa: marzo 1995


Versin espaola: febrero 2000

Terminologa (nota del traductor)

En este, como en otros Cuadernos


Tcnicos, la traduccin de ciertos
trminos requiere perfrasis
fcilmente aplicables.
Pero la traduccin de la terminologa
tcnica no slo requiere una fidelidad
a la idea sino tambin a las normas y
debe de ser vlida para los diversos
idiomas, en este caso espaol,
francs e ingls.
Por este motivo se adjunta en este
punto un pequeo lxico de los
trminos principales de este
cuaderno con su equivalente en
francs (idioma del texto original) y en
ingls (por su validez internacional).

n Disponibilidad - Disponibilit Availability: es la probabilidad de que


una proteccin est en situacin de
cumplir su misin, en unas
condiciones dadas y en un instante
determinado.
n Fiabilidad - Fiabilit - Reliability: es
la probabilidad de que una proteccin
pueda cumplir con su misin en unas
condiciones dadas y en un intervalo
de tiempo dado; en concreto y sobre
todo, la capacidad de disparar
cuando haga falta y la capacidad de
no-disparar intempestivamente.
n Mantenibilidad - Maintenibilit Maintenibility: es la probabilidad de
que una operacin determinada de

mantenimiento activo pueda


efectuarse en un intervalo de tiempo
dado.
n Seguridad - Scurit - Satefy: es la
probabilidad de que una proteccin
no acte intempestivamente, en unas
condiciones dadas y en un intervalo
de tiempo determinado. Tiene un
sentido particular.
n Seguridad o garanta de buen
funcionamiento - Sret Dependability: tiene el sentido
categrico, general o integral de la
seguridad.
(Vase especialmente lo indicado en
las pginas 8 y 18 de este mismo
cuaderno).

Cuaderno Tcnico Schneider n 175 / p. 4

Seguridad de las protecciones en MT y AT

ndice
1 Introduccin

p.
p.
p.

p. 8
p. 10

4
5
6
7

Objetivo de este cuaderno


Aparamenta de proteccin
Exigencias de la seguridad de
funcionamiento: un compromiso
entre dos situaciones extremas
indeseables
El diseo en funcin de la seguridad Terminologa
Las herramientas del
especialista en fiabilidad
Los recursos de la seguridad
de funcionamiento
La seguridad de funcionamiento
Calidad del software
Calificacin de los equipos de
proteccin
Control de calidad
Anlisis de la informacin de retorno
de la experiencia
Conclusin
Anexo
Bibliografa

6
6
6

p. 10
p. 14
p. 14
p. 16
p. 17
p. 17
p. 18
p. 18

Cuaderno Tcnico Schneider n 175 / p. 5

1 Introduccin

Objetivo de este cuaderno


Este estudio presenta los diversos
factores que contribuyen a conseguir
un funcionamiento correcto de los
equipos de proteccin de las redes
de media y alta tensin, as como los
mtodos que se pueden utilizar para
conseguir estos objetivos de
seguridad.
Se desarrollan especialmente:
n el tener en cuenta la seguridad de
funcionamiento durante el diseo;
n la bsqueda de la calidad (en el
software, en la calificacin, en la
fabricacin) con tcnicas adecuadas
a los esfuerzos que se presentan en
MT y AT;
n el anlisis de la informacin de
retorno que da la experiencia.
Este documento se adeca a las
tcnicas utilizadas en los aos 90
durante el diseo de la nueva gama
de proteccin Sepam.

Aparamenta de proteccin
La aparamenta de proteccin tiene
como misiones principales la
deteccin de los defectos de la red,
supervisando diversos parmetros
(corriente, tensin...) y enviando una
orden de apertura al interruptor
automtico en caso de situacin
anormal. La aparamenta suele
proteger especialmente alguno de
los diversos componentes de un
centro de distribucin elctrica, como
son: una entrada o una salida de
lneas, un motor o un transformador.
En MT y AT, estos materiales suelen
formar parte de la celda que contiene
el interruptor automtico (figura 1),
siendo por tanto considerables los
esfuerzos del entorno (temperatura,
vibraciones, perturbaciones
electromagnticas).
Los equipos de proteccin estn
fabricados o bien con tecnologa
electromagntica (la ms antigua), o
bien con tecnologa electrnica
(tambin llamada esttica), sea

analgica o digital. Un equipo de


proteccin digital (basado en el uso
de un microprocesador) puede
efectuar, adems de su misin
principal de proteccin, funciones de
automatismo, de medida, de
autovigilancia y de comunicacin. Un
equipo as se integra entonces
naturalmente dentro de los sistemas
de control y mando, asegurando
funciones de automatizacin,
indicacin de estado e indicacin
sinptica (figura 2).

La continuidad del suministro de


energa es tan importante para el
industrial como para las compaas
suministradoras. Un disparo
intempestivo debido a la propia
proteccin puede generar prdidas
econmicas considerables (parada
de la produccin, lucro cesante por la
energa no distribuida...). Este
fenmeno puede evitarse mejorando
la seguridad de la proteccin.

Exigencias de la seguridad
de funcionamiento: un
compromiso entre dos
situaciones extremas
indeseables
Los sistemas de proteccin
asociados a los interruptores
automticos tienen la misin de
garantizar la seguridad de la
instalacin asegurando al mismo
tiempo la mayor continuidad posible
del suministro.
En cuanto a la proteccin en s
misma, hay dos situaciones
extremas posibles que, para que todo
vaya bien, nunca deberan de
producirse:
n primer extremo indeseable: que no
acte la proteccin.
Las consecuencias de no eliminar
inmediatamente un defecto pueden
ser catastrficas (riesgo para las
personas, destruccin de los centros
de transformacin, prdida de
produccin...). Para la seguridad de
la explotacin, el equipo de
proteccin debe de detectar
selectivamente y lo ms rpidamente
posible los defectos de la red
elctrica. Esta situacin se puede
evitar mejorando la disponibilidad de
la proteccin.
n segundo extremo indeseable:
disparo intempestivo de la
proteccin.

Fig. 1: Equipo de proteccin incorporado


a una celda de Media Tensin.

Cuaderno Tcnico Schneider n 175 / p. 6

G
I on

V/Hz

W/ j

Wh

trip

O off

clear

alarm

I on

reset

MERLIN GERIN

I on

V/Hz

W/ j

Wh

alarm

reset

MERLIN GERIN

W/ j

Wh

trip

O off

clear

alarm

reset

MERLIN GERIN

trip

O off

clear

V/Hz

I on

V/Hz

W/ j

Wh

trip

O off

clear

alarm

reset

I on

MERLIN GERIN

V/Hz

W/ j

Wh

trip

O off

clear

alarm

I on

reset

MERLIN GERIN

V/Hz

W/ j

Wh

trip

O off

clear

alarm

reset

MERLIN GERIN

Fig. 2: Ejemplo de sistema digital de control y mando de un centro de transformacin.

Frecuentemente, la disponibilidad y
la seguridad estn contrapuestas.
La mejor manera de que un avin no
se estrelle es que se quede en tierra.
Su seguridad es, entonces, perfecta,
pero su disponibilidad, nula! Por el
contrario, un avin que vuela en
exceso, sin mantenimiento, pone en
peligro la vida de las personas. El
diseo de cualquier equipo, sea el
que sea, obliga a un compromiso
entre la disponibilidad y la seguridad.
La disponibilidad y seguridad
aumentan al jugar con otras dos
componentes de seguridad de buen
funcionamiento: la mantenibilidad y la
fiabilidad (figura 3).
En lo que respecta a los equipos de
proteccin, estn sometidos a
mltiples agresiones que pueden
tender a provocar los citados
fenmenos indeseables, por
ejemplo:
o temperaturas extremas,
o vibraciones debidas a las
maniobras de los interruptores
automticos,

o atmsferas corrosivas en
aplicaciones industriales (industrias
qumicas, del papel o del cemento...),
o picos de campos
electromagnticos intensos (hasta
varias decenas de kV/m, con un
tiempo de rampa de subida del orden
de 5ns, a 1metro de la celda del
interruptor automtico.
Este entorno, tan extremadamente
duro, y el hecho de que las redes de
MT y AT alimenten a numerosos
usuarios de la energa elctrica
hacen necesario un perfecto control
de la fiabilidad y la mantenibilidad.
Los equipos de proteccin que
utilizan los microprocesadores han
permitido un avance considerable.
Por ejemplo:
o con la integracin disminuyen los
problemas de cableado y aumenta la
fiabilidad,
o con la autovigilancia aumenta la
disponibilidad.

seguridad
100 %

(1)

100 %
disponibilidad

Fig. 3: Al aumentar la fiabilidad y la


mantenibilidad (1) aumenta la
disponibilidad y la seguridad.

Cuaderno Tcnico Schneider n 175 / p. 7

2 El diseo en funcin de la seguridad de funcionamiento

Terminologa
Desde que se empieza el diseo de
un equipo de proteccin hay que
tener en cuenta los objetivos de
Fiabilidad, Seguridad, Disponibilidad
y Mantenibilidad.
Recordemos las definiciones de
estas magnitudes:
n la disponibilidad es la probabilidad
de que una proteccin est en
situacin de cumplir su misin, en
unas condiciones dadas y en un
instante determinado;
n la seguridad es la probabilidad de
que una proteccin no acte
intempestivamente, en unas
condiciones dadas y en un intervalo
de tiempo determinado;
n la fiabilidad es la probabilidad de
que una proteccin pueda cumplir
con su misin en unas condiciones
dadas y en un intervalo de tiempo
dado; en concreto y sobre todo, la
capacidad de disparar cuando haga
falta y la capacidad de no-disparar
intempestivamente;
n la mantenibilidad es la
probabilidad de que una operacin
determinada de mantenimiento activo
se pueda efectuar en un intervalo de
tiempo dado.
Estas magnitudes no tienen
necesariamente el mismo significado
segn se piense en la proteccin o
en la instalacin elctrica.
As, la disponibilidad y la
mantenibilidad de la proteccin
contribuyen a la seguridad de las
personas y de los materiales. La
seguridad del dispositivo de
proteccin favorece la disponibilidad
de la distribucin de la energa
elctrica.
Nota: estas definiciones son
coherentes con el Vocabulario
Electrotcnico Internacional -VEI191y se usan frecuentemente. Una
norma en preparacin (WG 7 del TC
95), relativa a la fiabilidad de los
equipos de proteccin, da

definiciones parecidas, incluyendo la


nocin de seguridad de
funcionamiento en la fiabilidad. Aqu
se usa esta expresin seguridad de
funcionamiento como trmino que
engloba a todos.
Los diversos estados posibles de
una proteccin se esquematizan en
la figura 4 con sus consecuencias
para la distribucin elctrica.
La razn entre el tiempo pasado en el
estado de marcha y el tiempo total de
referencia es la disponibilidad. El
lector interesado en la cuantificacin
de los valores de la seguridad de
buen funcionamiento puede leer tanto
el anexo como el Cuaderno Tcnico
n144.
Si se observa la figura 3, uno de los
objetivos del diseador de equipos
de proteccin es tratar de manera
preventiva el mximo nmero posible
de fallos (mantenibilidad) para
aumentar la disponibilidad. Slo un

nmero mnimo de sucesos debe de


llevar a la prdida de seguridad de la
proteccin (el concepto y los
mecanismos de autovigilancia se
vern en los prximos captulos).
En cuanto a las protecciones de las
redes de MT y AT, su seguridad debe
de ser muy buena respecto a la
mayora de equipos de BT.
Un Anlisis Preliminar de Riesgos
permite determinar las situaciones
indeseables relacionadas con las
funciones que cumple el equipo de
proteccin (figura 5).
Un equipo de especialistas,
independiente del equipo de diseo,
realiza los estudios previos de
seguridad y propone soluciones
tcnicas compatibles con el nivel
especificado. Un conjunto de
aproximaciones sucesivas permite
modificar el diseo hasta que se
consiguen los objetivos buscados.

proteccin
funcionando
FIABILIDAD

MANTENIBILIDAD

(avera grave)

(reparacin)
- -

proteccin
averiada
SEGURIDAD

deteccion y sealizacion

fallo de red

disparo
intempestivo

no
disparo

DISPONIBILIDAD!

SEGURIDAD!

Fig. 4: Grfica de los estados de la proteccin y consecuencias en la distribucin


elctrica.

Cuaderno Tcnico Schneider n 175 / p. 8

fenmenos
indeseables
disparo
intempestivo

enmascaramiento
de una orden de
disparo

efectos

causas

previsin

n apertura intempestiva
del interruptor automtico
n la energa no est disponible,
lo que implica prdidas econmicas
importantes (parada de la produccin...)

n internas, por ejemplo:


o deteccin intempestiva
de un fallo,
o accionamiento intempestivo
del mando...
n externas, por ejemplo:
o perturbaciones electromagnticas
o saturacin de los captadores
o defectos en el diseo del plan
de proteccin...

por ejemplo:
n funciones de autodiagnstico
n posicin de repliegue
n compatibilidad electromagntica
n captadores amagnticos

n disparo de un nivel aguas arriba


de la proteccin con posibilidad de
destruccin local de material
n destruccin importante de
materiales (incendio...), si no hay
proteccin aguas arriba

n internas, por ejemplo:


o no deteccin de un fallo
o mando bloqueado...
n externas, por ejemplo :
o perturbaciones electromagnticas
o saturacin de los captadores
o fallo de la alimentacin auxiliar
o circuito de disparo del interruptor
automtico abierto
o error en el diseo del plan de
de proteccin...

por ejemplo :
n funciones de autodiagnstico
n compatibilidad electromagntica
n captadores amagnticos
n mdulo de socorro
n supervisin del circuito de
disparo
n selectividad lgica

Fig. 5: Situaciones indeseables relativas a la funcin de proteccin.


Microcircuits, gate/logic arrays and microprocessors
Description:
1. bipolar devices, digital and linear gate/logic arrays
2. MOS devices, digital and linear gate/logic arrays
3. microprocessors

p = (C1 . T + C2 . E) Q . L failures/106 hours


bipolar digital and linear gate/logic array die complexity failure rate - C1
digital
no. gates
1 to 100
101 to 1,000
1,001 to 3,000
3,001 to 10,000
10,001 to 30,000
30,001 to 60,000

C1
.0025
.0050
.010
.020
.040
.080

linear
no. transistors
1 to 100
101 to 300
301 to 1,000
1,001 to 10,000

C1
.010
.020
.040
.060

MOS digital and linear gate/logic array die complexity failure rate - C 1

digital
no. gates
1 to 100
101 to 1,000
1,001 to 3,000
3,001 to 10,000
10,001 to 30,000
30,001 to 60,000

C1
.010
.020
.040
.080
.16
.29

microprocessor
die complexity failure rate - C1
no. bits
bipolar
MOS
C1
C1
up to 8
.060
.14
up to 16
.12
.28
up to 32
.24
.56

linear
no. transistor
1 to 100
101 to 300
301 to 1,000
1,001 to 10,000

C1
.010
.020
.040
.060

prog. logic array


no. gates
up to 200
201 to 1,000
1,001 to 5,000

C1
.010
.021
.042

floating gate prog. logic array


no. cells, C
C1
up to 16 K
.00085
16 K < C 64 K
.0017
64 K < C 256 K
.0034
256 K < C 1M
.0068

all other model parameters


parameter
section
T
5.8
C2
5.9
E, Q, L
5.10

Fig. 6: Ejemplo de datos de fiabilidad, segn el Military Handbook (transcripcin literal).

Cuaderno Tcnico Schneider n 175 / p. 9

Las herramientas del


especialista en fiabilidad
Tcnicas especializadas de
evaluacin y de modelizacin de la
seguridad de funcionamiento
permiten convertir los objetivos en
exigencias de diseo.
n el anlisis provisional de la
fiabilidad determina la tasa de fallo
de cada componente del equipo en
condiciones reales de utilizacin.
Por esto, se utilizan bases de datos
de fiabilidad, como la Military
Handbook 217 (MIL-HDBK-217)
(figura6), o el folleto CNET (RDF 93).
Ambas se usan para calcular la
fiabilidad de un circuito constituido
por varios componentes. Si es
necesario, el diseador modifica el
factor de carga de algunos de ellos, o
utiliza componentes que tengan
garanta de larga duracin (este es el
caso, por ejemplo, de los
condensadores electrolticos).
n El Anlisis de los Modos de Fallos,
de sus Efectos y de su Criticidad,
realizado tanto sobre el hardware
como sobre el software, valora los
efectos de cada tipo de fallo conocido
durante el funcionamiento del equipo.
Asimismo, este Anlisis de los
Modos de Fallos, de sus Efectos y de
su Criticidad se usa para corregir
ciertos riesgos de disfuncin y
especificar las funciones de
autovigilancia. Este anlisis puede
aplicarse a nivel de una funcin
general (la funcin de proteccin);
de una funcin concreta (la funcin
de proteccin contra corriente
mxima, por ejemplo); aplicarse

funcin
medir las corrientes
de fase

simplemente a una de sus


subfunciones (figura 7); o llegar
hasta el nivel ms bajo, el de los
componentes (los colocados en las
tarjetas de circuito impreso).
n los fenmenos indeseables
relativos a los equipos de proteccin
se modelizan con varias tcnicas:
o los rboles de fallos describen, a
partir de un fenmeno indeseable,
todas las causas posibles de este
suceso (figura 8).
El rbol de fallos es la
representacin booleana que se
usa para determinar los caminos
ms crticos para que se produzca un
determinado suceso.
o las grficas de Markov son una
representacin del comportamiento
donde aparecen los estados de
marcha, de marcha degradada y de
avera del equipo. La transicin de un
estado a otro se califica por las tasas
de fallo () y de reparacin (). Estas
grficas se usan para calcular la
probabilidad de permanencia en
estado de fallo (figura 9).
o las redes de Petri tienen el mismo
objeto que las grficas de Markov, es
decir, modelizar los estados de un
sistema. Permiten estudiar sistemas
ms complejos, donde la transicin
entre estados no sigue
necesariamente una ley exponencial
ley o distribucin de Weibull, por
ejemplo (figura 10).
Estos sistemas de modelizacin se
usan para hacer una simulacin
cuantificada de la seguridad de buen
funcionamiento y tambin para
obtener las probabilidades que
corresponden a la fiabilidad,

modo de fallo
corriente medida errnea:
nivel continuo
> umbral de disparo

corriente medida errnea:


nivel continuo
< umbral de disparo

efecto sobre la proteccin


proteccin activada
disparo
intempestivo

proteccin no-disponible
no hay disparo ante
un posible fallo

mantenibilidad, disponibilidad y
seguridad del equipo de proteccin.
El lector podr encontrar en la
bibliografa, en la referencias
[Villemeur] o [Pages-Gondran], una
informacin ms precisa de estas
tcnicas.

Los recursos de la
seguridad de
funcionamiento
Para conseguir las mximas
garantas de funcionamiento de una
instalacin elctrica, deben de
controlarse la fiabilidad, la seguridad
y la mantenibilidad de la proteccin.
Fijados los objetivos ligados a estas
magnitudes, el diseador de la
proteccin, ayudado por el tcnico en
fiabilidad, utiliza un cierto nmero de
medios para conseguirlos:
n gracias al especialista en
fiabilidad y sus herramientas,
controla la fiabilidad intrnseca antes
y durante el desarrollo;
n gracias a los medios de
autovigilancia, de sealizacin de los
fallos y de la comunicacin, puede:
o mejorar la seguridad de la
proteccin pasndola a la posicin
de repliegue,
o mejorar la mantenibilidad y la
disponibilidad de la proteccin.
Examinemos los medios que se
usan:
n autovigilancia.
La eficacia y aplicabilidad de la
autovigilancia son vitales para la
seguridad de buen funcionamiento

medio de deteccin
el algoritmo utilizado
trabaja sobre el clculo
del mdulo de la corriente
a 50 Hz
deteccin por el clculo
peridico de la
componente continua
de la seal
los medios de deteccin
son los mismos

sealizacin
inhibicin natural de la
proteccin
sealizar el fallo en el panel
frontal y a travs del sistema
de comunicaciones
sealizar

Fig. 7: Tabla de AMDEC realizada con una subfuncin de la proteccin contra intensidad mxima.

Cuaderno Tcnico Schneider n 175 / p. 10

de la proteccin. A modo de ejemplo,


se citan algunos medios que pueden
aumentar la disponibilidad y la
seguridad:
o Al conectar, y despus
peridicamente, hay que hacer un
control de la integridad de los datos
contenidos en programa y en los
datos constantes. Este control se
hace calculando el checksum y
llevndolo a la parte alta de la
memoria utilizada. Este checksum
arrastrado cubre el 99,95% , para
128octetos, (99,998% para 128
kilooctetos) del movimiento de los
bits de direccin y de los bits de

con un fallo en la instalacin elctrica


no abre el interruptor automtico
Y

interruptor automtico
falla al abrir
hay un fallo
en la
instalacin
elctrica

no
disponibilidad
del circuito
de disparo

no
disponibilidad
del rgano
de corte

no
disponibilidad
del equipo de
proteccin

no
disponibilidad
de los
captadores

Para el control de la integridad de los


datos.
Se pueden utilizar varias tcnicas:
n Control de paridad.
Consiste en convertir en par
sistemticamente el nmero de bits
transmitidos, completando el mensaje til
con un bit de paridad.

Fig. 8: Ejemplo simple de rbol de fallos.

De este modo, el receptor puede controlar


el mensaje si hay un error de 1 bit o de 3...
La alteracin de un nmero par de bits no
se puede detectar.

marcha
degradada

marcha

n El CRC (Cyclic Redundancy Check)


consiste en adjuntar a la informacin til el
resto de dividirlo por un polinomio
normalizado por el CCIT.

avera

(un nico reparador)

Por ejemplo, el polinomio divisor de grado


16 (x16+x15+x2+1 = 1100 0000 0000
0011) utilizado por el CRC 16 permite la
deteccin de 16 errores simultneos.

Fig. 9: Ejemplo de un grfico de Markov para un sistema constituido por dos


componentes redundantes y reparables. Si se trata de dos componentes electrnicos
(fiabilidad exponencial), la duracin media de buen funcionamiento despus de una
reparacin es MUT =

1
2 .

n El Checksum consiste en hacer la suma


binaria de los octetos y aadir el resultado
(cortando en uno o varios octetos) al
mensaje til.

La red de Petri representada tiene


dos posiciones estables (P1, P2),
dos transiciones (T1, T2)
y cuatro arcos.
Esta red representa el
comportamiento de un componente
reparable, al aplicarle, por ejemplo,
los significados siguientes
T1
a las posiciones estables y transitorias:
P1: el componente est funcionando
correctamente,
P2: el componente est averiado,
T1: el componente pasa a avera,
T2: el componente acaba de ser
reparado.

El Checksum puede aadirse, por ejemplo,


al control de paridad en los octetos
P1

El control de integridad del mensaje por el


receptor es ms fcil que para el CRC y
puede ser ms eficaz.

P1

Para controlar que el programa se


ejecute bien

T2

P2

T1

T2

P2

Fig. 10: Ejemplo de una red de Petri aplicada a un sistema constituido por un elemento
reparable.

Usada frecuentemente en automatismos,


la tcnica del perro guardin consiste
en ejecutar peridicamente una
instruccin de prueba.
Si no se ejecuta esta instruccin en un
lapso de tiempo determinado, indica que
hay un fallo y provoca el disparo de una
alarma para que se enve el equipo de
proteccin a revisar.
Fig. 11: Los medios digitales de
autocontrol.

Cuaderno Tcnico Schneider n 175 / p. 11

memoria. Para controlar un volumen


de informacin mayor de varios
centenares de octetos, el clculo del
checksum con arrastre es ms
eficaz que el clculo de un CRC 16,
por ejemplo.
o Hay que disponer de un perro
guardin de hardware y de software
para detectar cualquier bloqueo de la
unidad central (debido a un defecto
de un componente, a un parsito o a
una sobrecarga del
microprocesador).
Tambin hay que tener seguridad de
la validez de la seal de salida del
perro guardin. El perro
guardin debe de cubrir incluso los
fallos del cristal de cuarzo o del
oscilador del microprocesador
(figura 11).
o Hay que controlar el tiempo de
ciclo del programa. Si se usan las
interrupciones para secuenciar los
ciclos, hay que asegurarse del buen
funcionamiento de estos
mecanismos.
o Hay que efectuar continuamente
un control de la tensin de
alimentacin para prevenir la cada
eventual de la misma y que se quede
parado el microprocesador
(salvaguardar los parmetros).
o Si se usan memorias EEPROM,
hay que supervisar la utilizacin de
este componente, contando el
nmero de grabaciones, que no debe
de superar las 10000.
o Hay que evitar tratar los datos
digitales errneos inmediatamente
despus de un fallo de la cadena de
conversin analgico-digital. Un
control eficaz para esto es el verificar
permanentemente dos seales de
referencia a la entrada del multiplexor
con dos direcciones
complementarias (se consigue as
detectar el 100% de fallos del
convertidor analgico-digital y el
100% de los cambios a 1 a 0 de los
bits de seleccin del multiplexor).

Se usan otros muchos mecanismos


de deteccin, dependiendo sobre
todo de la tecnologa utilizada.
n la posicin de repliegue
Las funciones de autovigilancia
detectan el mximo nmero de fallos
que podramos llamar mayores.
Un fallo se clasifica como de
categora mayor si puede provocar
un mal funcionamiento de la
proteccin.
Un fallo de este tipo no debe de
degenerar en un disparo de la
proteccin. El dispositivo de
proteccin pasa a la posicin
predeterminada de repliegue para
evitar el paso de rdenes aleatorias.
Se informa al usuario del paso a esta
posicin de repliegue, y se puede
pasar inmediatamente a la posicin
de mantenimiento para retornar la
proteccin a su plena disponibilidad.
Asimismo, existen fallos llamados
menores, como por ejemplo, el
fallo de un perifrico (el visor o la
consola); se sealiza, pero no afecta
a la disponibilidad de la proteccin.
n la sealizacin de los fallos
Las funciones de autovigilancia
deben de ofrecer medios de
diagnstico adaptados para permitir

un retorno rpido al estado de


marcha de la proteccin que ha
fallado, es decir:
o dar al usuario una informacin
externa clara y global sobre el estado
de la proteccin,
o dar al fabricante una informacin
interna clara y precisa del estado de
la proteccin, durante una operacin
de conservacin e incluso despus
del retorno a fbrica de una
proteccin defectuosa.
Por ejemplo, el fallo de la proteccin
se puede sealizar mediante:
o un piloto en el panel frontal,
o una salida del rel perro
guardin,
o un mensaje en el visor del panel
frontal,
o una informacin que se guarde o
grave detallando el origen del fallo,
o un mensaje a travs del sistema
de comunicacin cuando la
proteccin forma parte del sistema de
control y mando.
Todo esto es una ventaja importante
respecto a protecciones de
tecnologas anteriores en las que un
dispositivo poda permanecer
averiado largo tiempo sin que el
usuario se enterara (figura 12) y que

proteccin electromecnica o analgica

conexin

fallo interno
no detectado

tiempo

3
instalacin
no protegida

mantenimientos peridicos 1, 2, 3...

proteccin digital
conexin

sin mantenimiento peridico

fallo interno
detectado

tiempo

no disponibilidad limitada
al tiempo de intervencin

Fig. 12: La autosupervisin permite reducir el tiempo de no-disponibilidad de la


proteccin y por tanto aumentar la seguridad de la instalacin elctrica.

Cuaderno Tcnico Schneider n 175 / p. 12

adems no poda dar ninguna


informacin sobre el origen de la
avera...
n abertura hacia los sistemas de
supervisin y de mando y control.
Como ya se ha dicho, la proteccin
digital puede abarcar funciones de
automatismo y de comunicacin. Se
convierte as en un punto de unin
del sistema de supervisin con el
de mando y control de la instalacin
elctrica, lo que facilita la
explotacin al permitir la vigilancia,
la comunicacin y la gestin de la
red de distribucin:
o vigilancia de los estados y de los
valores de las magnitudes
elctricas (medida),
o vigilancia del estado de los
equipos (posicin del aparato,
temperatura, presin...),
o tratamiento de alarmas,
o mando a distancia de los
rganos de maniobra,
o reconfiguracin automtica de
las redes despus de un defecto,
o gestin de la energa consumida
en funcin de la tarificacin de las
compaas suministradoras,
o edicin de informes de
explotacin,
o asignacin de los costes de
energa a cada uno de los
consumidores de la instalacin.

n la facilidad de mantenimiento
o la autovigilancia, la sealizacin y la
comunicacin facilitan el conocimiento
del estado del defecto y de ah la
accin inmediata del personal de
mantenimiento,
o el autodiagnstico permite al que
repara el aparato conocer el origen del
fallo y de ah la rapidez de reparacin,
o las funciones programadas, que
personalizan la proteccin en cuanto a
las aplicaciones o funciones que
puede realizar, se almacenan en un
cartucho removible. Esto facilita la
reposicin inmediata del servicio
despus de reemplazar la parte fsica
del aparato (hard), que est
estandarizada.
n casos especiales
La fiabilidad de la proteccin puede
ser insuficiente si sufre agresiones
excepcionales o si las necesidades de
disponibilidad y seguridad de la
distribucin elctrica son
excepcionalmente elevadas:
o entornos severos
Los sistemas de proteccin estn a
veces instalados en ambientes
excepcionales que sobrepasan las
especificaciones de los materiales:
- temperatura,
- vibraciones

En cada caso, el departamento de


diseo debe de identificar claramente
las necesidades. De esta forma se
proponen soluciones personalizadas:
- ajustes especiales de tarjetas
electrnicas,
- contrato de mantenimiento
especfico.
o necesidades excepcionales de
seguridad
Un mdulo auxiliar de emergencia
puede asumir la proteccin en caso
de:
- fallo de la alimentacin,
- fallo del cableado,
- fallo del rel de disparo,
- proteccin principal fuera de
servicio.
Otra solucin consiste en duplicar el
equipo de proteccin, con un circuito
o en el sistema de mando del
rgano de corte. Para la instalacin,
la seguridad queda muy reforzada y la
disponibilidad de la energa no
disminuye, cuando se emplean
sistemas de proteccin con la
posicin de repliegue.
Como solucin extrema, se pueden
tomar en consideracin los sistemas
2/3.

Cuaderno Tcnico Schneider n 175 / p. 13

3 La seguridad de funcionamiento como una


parte de la bsqueda de la calidad total
Calidad del software
Una parte importante de las
prestaciones de los equipos de
proteccin digitales la realiza el
software. Por tanto es necesario
conseguir un software de calidad
para poder lograr los objetivos
globales de seguridad.
El control de la calidad del software
se consigue siguiendo un riguroso
mtodo de trabajo.
Este mtodo, nacido de las
recomendaciones establecidas por
organismos nacionales e
internacionales (IEEE), exige seguir
una serie de pasos:
n La divisin de la aplicacin en una
sucesin de fases (figura 13):
o especificacin,
o anteproyecto,
o diseo detallado,
o codificacin,
o pruebas unitarias,
o integracin y prueba de
integracin,
o validacin.
A cada una de estas fases se le
asocia un conjunto de documentos
que se usan y se producen durante
ese paso.
Estos documentos contienen los
estudios realizados en cada fase y
deben de ser validados antes de
pasar a la fase siguiente.
n La utilizacin de reglas y mtodos
de diseo y codificacin que tienen
por objetivo el conseguir un alto nivel
de estructuracin del software (por
ejemplo, SADT desarrollado en las
herramientas ASA o MACH).
n La utilizacin de herramientas de
gestin de la configuracin del
software, lo que permite gestionar
todos los componentes del programa
y especialmente controlar la
evolucin y las nuevas versiones de
todos los componentes (por ejemplo,
la herramienta CMS).
Por otra parte, se usan con gran
provecho los mtodos de revisin de
cdigo. Un verificador efecta una

lectura crtica del cdigo y hace sus


observaciones. Este anlisis
manual resulta ser en este punto
uno de los mtodos ms eficaces
para descubrir los fallos lgicos (los
errores de programa).
Finalmente, una vez que cada
programa est integrado y validado,
una ltima fase de calificacin,
dirigida por un equipo independiente
del equipo de desarrollo, asegura un
control final eficaz.

Calificacin de los equipos


de proteccin
Los equipos de proteccin, antes de
salir al mercado, pasan por un
proceso completo de calificacin.
Se detallan aqu ciertos criterios de
calificacin especficos para los
entornos de MT y AT:
n la inmunidad a las perturbaciones
electromagnticas (conducidas o
radiadas).

Las perturbaciones elctricas


encontradas en los centros de
transformacin tienen diversos
orgenes:
o las descargas de rayo que inciden
directamente en las lneas o cerca de
los centros de transformacin
pueden producir sobretensiones de
unos centenares de kV y con un frente
de subida de orden del
microsegundo;
o la maniobra normal de la
aparamenta, al abrir y cerrar el
rgano de corte de MT o AT, provoca
sobretensiones de maniobra
(onda oscilatoria amortiguada). Estas
sobretensiones pueden producir
campos elctricos con crestas del
orden de 10 kV/m a 1metro del
interruptor automticos;
o los operarios pueden provocar
descargas electrostticas que
producen sobre el material impulsos
de corriente de algunas decenas de
amperio y de frente muy rpido, del
orden de nanosegundos;

plan de validacin del programa

especificacin
del programa

diseo
preliminar

plan de integracin
del programa

diseo
detallado

plan
de
prueba

validacin
del programa

integracin
del programa

pruebas
unitarias

codificacin

Fig. 13: Ciclo de desarrollo de un programa (llamado en V).

Cuaderno Tcnico Schneider n 175 / p. 14

o los emisores radioelctricos


(talkies-walkies, por ejemplo)
producen campos de varias decenas
de V/m a 1 metro.
El lector que desee profundizar en el
tema de la Compatibilidad
Electromagntica -CEM- puede leer el
Cuaderno Tcnico n 149.
Los valores estndar internos de
resistencia a los esfuerzos elctricos
definen los niveles de inmunidad
necesarios para el funcionamiento de
los sistemas de proteccin en un
centro de transformacin elctrico.
Estos niveles corresponden a las
resistencias dielctricas definidas
por las normas CEI255 y, a veces,
hasta ms severas. Con los ensayos
se controla que se respeten los
niveles de exigencia definidos. Se
realizan cuatro tipos de ensayos:

o onda oscilatoria amortiguada


(CEI255-22-1)
severidad: clase III, 2,5 kV,
o transitorios rpidos
(CEI-255-22-4)
severidad: clase IV, 4 kV,
o descargas electrostticas
(CEI255-22-2)
severidad: clase III, 8 kV,
o campos radiados
(CEI-255-22-3)
severidad: mejor que la clase III,
30 V/m (figura 14).

Nota: el ensayo de transitorios


rpidos es la transcripcin en modo
conducido de campos
electromagnticos impulsionales
radiados, producidos durante las
maniobras de la aparamenta.
Adems de los ensayos de CEM, los
equipos de proteccin se someten a
ensayos en situaciones reales.
A ttulo de ejemplo, con el equipo
situado en el lado de BT de una celda
de MT, se hacen un centenar de
maniobras cerrar-abrir del
interruptor automtico. Al hacerlo con
poca carga y ser sta de tipo
autoinductivo aparecen importantes

estacin
grfica

clculo de fenmenos
transitorios de las redes

ordenador
programa de
modelizacin
MORGAT, EMTP

conversin de los
resultados de los clculos
en seales analgicas
en tiempo real

convertidor
digital
analgico
Fig. 14: Ensayos de perturbaciones
electromagnticas en cmara aneocoica.

sistema de
toma de datos

adaptacin
de corrientes
y de tensiones
a nivel de entrada
de la proteccin

registro de la
respuesta de
la proteccin

amplificador
de corriente
y tensin
proteccin
a probar

generador de seales
aleatorias
sntesis
de seales
especficas

Fig. 15 : Laboratorio Kirchhoff de


ensayos de protecciones.

Fig. 16: Descripcin del sistema de ensayos de protecciones.

Cuaderno Tcnico Schneider n 175 / p. 15

sobretensiones de corte de la
corriente.
Durante estos ensayos, el equipo de
proteccin no debe de tener ningn
fallo intempestivo.
n el laboratorio Kirchhoff: ensayos de
protecciones.
Las funciones realizadas por los
sistemas de proteccin son
complejas. El buen funcionamiento
de las protecciones debe de quedar
garantizado para el conjunto de
fenmenos susceptibles de
producirse en las redes elctricas.
Por tanto, es necesario un laboratorio
que realice ensayos de las
protecciones (figura 15).
El laboratorio Kirchhoff permite
reproducir con valores reales los
fenmenos tal como aparecen en las
redes elctricas (figura 16).
Est equipado con un simulador
digital que permite:
o calcular las corrientes y tensiones
de red, precisamente en el momento
en que se produce un cortocircuito,
un defecto de aislamiento o la
maniobra de un aparato,
o generar las seales
correspondientes y aplicarlas al
aparato bajo prueba. Se analiza
entonces el comportamiento de las
protecciones sometindolas a
condiciones idnticas a las que se
encontrarn en la red real.
La simulacin digital de redes
elctricas del laboratorio Kirchhoff
usa dos programas:
o EMTP (ElectroMagnetic Transient
Program), programa para calcular
fenmenos transitorios. Este
programa, mundialmente utilizado,
permite, a partir de una base de
datos con las caractersticas de los
materiales (transformadores, lneas,
mquinas...), elaborar modelos de
todo tipo de redes elctricas, simular
un fallo o maniobra de un aparato y
calcular con precisin la variacin en
el tiempo de las corrientes y
tensiones;
o MORGAT, simulador de redes
elctricas, desarrollado por la EDF
(Electricidad de Francia). Este
programa permite simultneamente
analizar con precisin el
comportamiento de las redes y

controlar el aspecto tiempo real en


el laboratorio Kirchhoff. Las
corrientes y tensiones, calculadas en
diversos puntos de la red elctrica
simulada, se convierten en seales
analgicas para aplicarlas en la
proteccin que se est probando.

Control de calidad
Tanto durante la produccin como al
acabar sta, los equipos de
proteccin sufren numerosas
pruebas de control.
Por ejemplo, las tarjetas electrnicas
sufren un primer control en el banco
de pruebas dielctrico que hace los
ensayos de aislamiento.
A continuacin se les aplica una
prueba de funcionamiento in situ
(figura 17).
La prueba in situ comprueba el
funcionamiento de cada componente
de la tarjeta electrnica y adems
que estn bien implantados. Detecta
sobre todo los defectos de
fabricacin y ciertos defectos de los
componentes. Da un diagnstico
implcito y permite una rpida
reparacin de la tarjeta. A
continuacin el servicio de calidad
analiza los resultados y se consigue
detectar rpidamente cualquier
desviacin en calidad de los

componentes o de la fabricacin de
las tarjetas.
Despus de haber pasado por la
prueba in situ, las tarjetas se
someten a esfuerzos trmicos y
elctricos combinados. Esta accin
elimina los defectos de juventud del
material electrnico y permite reducir
la duracin del perodo llamado de
juventud, consiguiendo que
aparezcan los defectos de fabricacin
antes de que lleguen a la explotacin.
Y, adems, el servicio de control de
calidad tambin utiliza las
estadsticas de defectos para corregir
rpidamente cualquier prdida de
calidad de la fabricacin.
Las pruebas finales permiten
asegurar que las tarjetas que se
instalan se comuniquen
perfectamente entre ellas y que la
configuracin que se monta sea la
que responda mejor a lo que pide el
cliente. Para comprobarlo, se verifica
que las seales aplicadas al interfaz
del equipo ya montado activa el
conjunto de funciones que tiene que
prestar el aparato de proteccin.
Por otra parte, los controles
sistemticos realizados sobre la
produccin y los test de calidad se
hacen peridicamente sobre una
muestra representativa de toda la
gama del producto.

Fig. 17: Prueba in situ.

Cuaderno Tcnico Schneider n 175 / p. 16

4 Anlisis de la informacin de
retorno de la experiencia
Para tener una informacin de retorno
significativa de la explotacin de los
equipos, es necesario, cuando la
fiabilidad es muy buena, tener un
parque muy amplio de equipos en
servicio. Es entonces cuando se
pueden analizar los datos de fallos
en explotacin. Este anlisis de la
informacin de retorno de la
explotacin es fundamental para:
n medir la fiabilidad operacional de
los equipos;
n validar los estudios de seguridad
realizados durante el diseo;
n acumular experiencia tcnica para
progresar;
n disponer de una base de dilogo
entre el fabricante y el usuario.

La informacin de retorno de la
experiencia descansa sobre una
coleccin fiable y ordenada de
informaciones relativas a los
problemas de los clientes. La
fiabilidad operacional (calculada con
la informacin de retorno) slo es til
si el defecto es detectable, detectado
y registrado. Los datos de fallos
obtenidos de un parque de equipos
que no tienen funciones de
autovigilancia o cuyo mantenimiento
peridico es poco frecuente pueden
no ser representativos de la fiabilidad
real.
Los datos de fiabilidad operacional
obtenidos de un parque de
protecciones digitalizadas son muy
buenos para hacer una
autovigilancia.

Se ha constatado que la fiabilidad


operacional era al menos diez veces
superior a la previsible (calculada a
partir de una muestra de datos MILHDBK-217E). Esta diferencia
proceda probablemente de una toma
de datos de fiabilidad
intencionadamente pesimista y a la
vez anacrnica (las tecnologas y la
calidad de los componentes
electrnicos evolucionan muy
rpidamente).
Las ltimas actualizaciones de tomas
de datos de fiabilidad han reducido
considerablemente la diferencia entre
los resultados de fiabilidad
operacional y prevista.
Hoy, el MTBF correspondiente al
disparo intempestivo o al no
funcionamiento de la proteccin
alcanza varios centenares de aos.

industriales, de las que, las ms


significativas, son:
n proteger bien las redes y equipos
MT y AT, gracias a algoritmos
adaptados a las diversas funciones
de proteccin;
n ser fciles de instalar, de utilizar y
mantener;
n ser fiables en un entorno severo, y
adems:
o ser capaces de autovigilarse,
o tener una posicin de repliegue.

Gracias al trabajo de los que durante


el diseo estudian la fiabilidad y la
calidad, los equipos de proteccin
digitales que hay actualmente en el
mercado responden a estas
exigencias.
Actualmente, teniendo en cuenta el
desarrollo de las comunicaciones
digitales (bus) y de la supervisin, la
funcionalidad de los equipos de
proteccin llega hasta el dominio del
mando y control para una gestin
ptima de la distribucin elctrica.

Conclusin

Los equipos de proteccin de las


redes MT y AT garantizan una funcin
de seguridad primordial. Deben de
garantizar la proteccin de materiales
y personas asegurando a la vez la
disponibilidad de la energa. Sus
disfunciones pueden producir a los
usuarios prdidas econmicas
importantes. Es, por tanto, esencial
que respondan a altas exigencias de
fiabilidad, seguridad, disponibilidad y
mantenibilidad. Para esto, los
equipos de proteccin deben de tener
ciertas caractersticas tcnicas e

Cuaderno Tcnico Schneider n 175 / p. 17

Anexo

Tiempos medios que caracterizan la


seguridad (figura 18):
El MTTF (Mean Time To first Failure)
es el tiempo medio de buen
funcionamiento antes de un fallo.
El MTTR (Mean Time To Repair) es el
tiempo medio de reparacin.
El MTBF (Mean Time Between
Failure) es el tiempo medio entre dos
fallos (para un sistema reparable).
El MDT (Mean Down Time) es la
duracin media de fallo que abarca la
deteccin de la avera, el tiempo de
intervencin, el tiempo de reparacin
y el tiempo de volver a dar servicio.
El MUT (Mean Up Time) es la
duracin media de buen
funcionamiento despus de una
reparacin.
El trmino MTBF se traduce
inadecuadamente como la media de
tiempos de buen funcionamiento.
Esta definicin es, de hecho, la del
MTTF! La confusin viene del hecho
de que frecuentemente el MTTR (del
orden de algunas horas) es
despreciable respecto al MTTF (del
orden de varios miles de horas).

Las probabilidades
La Fiabilidad, R(t) (Reliability) es la
probabilidad de que un sistema no
falle en un tiempo t.
La Mantenibilidad (Maintenability) es
la probabilidad de que un sistema
pueda repararse en un tiempo t.
La Disponibilidad (Availability) es la
probabilidad de que un sistema
funcione en un instante t.
La Seguridad (Safety) es la
probabilidad de evitar un suceso
catastrfico.
En general, se trabaja con una
magnitud que es la tasa de fallos
(t). Es la probabilidad de que el
sistema falle en el instante siguiente,
pensando que el sistema no ha de
fallar.
Para un componente electrnico, la
tasa de fallos sigue una evolucin en
el tiempo llamada curva en forma de
baera. Durante el perodo
llamado de vida til, el componente
no envejece y su tasa de fallos se
mantiene constante en el tiempo. Se
obtienen entonces las eventuales
relaciones fundamentales siguientes:
Fiabilidad R(t)=et y MTTF=1/.

Ejemplo:
Si un equipo tiene un MTTF de
100aos, su tasa de fallo =1/MTTF
es de 102 / ao. La probabilidad de
fallo es, cada ao, del 1%.
Un MTTF (o MTBF) de 100 aos no
significa en modo alguno que el
sistema no fallar en 100 aos! El
MTTF no es, por tanto, asimilable ni a
la duracin garantizada ni a la
esperanza de vida...

MTTF

MTBF
MDT

falta

MUT

reparacin
estado de avera
estado de funcionamiento

Fig. 18: diagrama de tiempos medios


establecido para un sistema que necesita
no interrumpir su funcionamiento para
hacer el mantenimiento preventivo.

7 Bibliografa
Publicaciones diversas
n Reliability design approach for
protection and control equipment for
MV distribution networks. Segunda
Conferencia internacional de The
Reliability of Transmission and
Distribution Equipement.
M.LEMAIRE, J. C.TOBIAS. Marzo
1995.
n Sret de fonctionnement des
systmes industriels. Eyrolles EDF.
A. VILLEMEUR, 1988.

n Fiabilit des systmes. Eyrolles


EDF. A.PAGES, M.GONDRAN, 1980.
n Autotest dune mmoire
programme: deux solutions.
Electronique n 4. Enero 1991.
n Military Handbook 217 -FDepartment Of Defense, USA.
n Recueils de donnes de fiabilit
des composants lectroniques, RDF
93 CNET.
n CEI 191.

Cuadernos Tcnicos Merlin Gerin


n Introduccin al diseo de la
seguridad. CT n 144. P.BONNEFOI
n La CEM: la compatibilidad
electromagntica. CT n 149.
F.VAILLANT
n Protecciones de redes de AT-A
industriales y terciarias. CT n 174.
A.SASTR

Cuaderno Tcnico Schneider n 175 / p. 18