Módulo controlador independiente GE IS420UCSBS1A UCSA

El IS420UCSBS1A es un controlador de seguridad de la serie Mark VIeS, diseñado específicamente para bucles de seguridad funcional industriales que requieren capacidades SIL 2 y SIL 3 (nivel de integridad de seguridad). Diseñado como una unidad informática robusta e independiente, este controlador es fundamental para aplicaciones de seguridad críticas en industrias como la generación de energía, petróleo y gas y procesamiento químico, donde la confiabilidad operativa y la mitigación de riesgos son primordiales.

Certificado de acuerdo con el estándar IEC 61508, el IS420UCSBS1A, junto con sus módulos de E/S de seguridad dedicados, proporciona una plataforma certificada para implementar sistemas instrumentados de seguridad (SIS), reduciendo eficazmente el riesgo en funciones de seguridad críticas.

2. Arquitectura del sistema y diseño de hardware

2.1 Diseño modular independiente
El IS420UCSBS1A presenta una arquitectura modular autónoma. A diferencia de los controladores tradicionales donde las E/S se alojan en un backplane, se comunica con paquetes de E/S distribuidas exclusivamente a través de una red Ethernet privada de propósito especial llamada IONet. Este diseño elimina cualquier punto único de falla en la entrada de la aplicación. Si un controlador se apaga para mantenimiento o reparación, la arquitectura del sistema garantiza que no se pierda ninguna entrada, lo que garantiza el funcionamiento continuo del circuito de seguridad.

2.2 Procesador y Memoria

• Microprocesador: utiliza un procesador Intel EP80579 de 600 MHz, que ofrece el rendimiento determinista necesario para el control de seguridad en tiempo real.

• Memoria:

• SDRAM DDR2 de 256 MB con código de corrección de errores (ECC) para mejorar la integridad de los datos.

• 2 Gigabytes de NAND Flash para almacenar el sistema operativo, el firmware y el código de la aplicación.

• SRAM respaldada por flash para variables de programa no volátiles.

2.3 Diseño y fuente de alimentación sin ventilador

• Enfriamiento: El IS420UCSBS1A es un módulo sin ventilador que se basa en enfriamiento pasivo a través de aletas térmicas integradas. Esto elimina un punto común de falla, mejora la confiabilidad y reduce el mantenimiento.

• Entrada de alimentación: Acepta una entrada de 28 V CC.

• Conversión de energía interna: Los 28 V CC entrantes se convierten en un suministro interno regulado de 5 V CC, del cual se derivan todos los demás planos de energía internos.

• Consumo de energía: El consumo máximo de energía es de 26,7 W, con un consumo operativo nominal de 15,6 W.

2.4 Robustez ambiental

• Temperatura de funcionamiento: Clasificado para -30 °C a 65 °C (-22 °F a 149 °F), lo que lo hace adecuado para su implementación en entornos industriales hostiles.

3. Capacidades de comunicación y redes

3.1 La red IONet
El controlador se conecta a los módulos de E/S a través de tres puertos IONet independientes.

• Tipo de red: Una red Ethernet privada dedicada exclusivamente a los dispositivos de control Mark*.

• Protocolo: utiliza TCP/IP para una comunicación confiable entre controladores y módulos de E/S.

• Redundancia: la redundancia de IONet es igual a la redundancia del controlador. En sistemas redundantes, múltiples rutas IONet independientes garantizan la integridad de la comunicación.

3.2 Interfaces Ethernet primaria y secundaria

• ENET1 (Primario):

• Normalmente se configura como una conexión UDH (Unit Data Highway).

• Se utiliza para comunicaciones con HMI, historiadores y otros controladores.

• Admite protocolos como EGD (Ethernet Global Data), Modbus y OPC-UA.

• ENET2 (Secundaria):

• Nota: No es compatible con el controlador Mark VIeS Safety. En controladores que no son de seguridad, normalmente se usa para conexiones CDH de igual a igual.

3.3 Sincronización de reloj de precisión
El sistema utiliza el protocolo de tiempo de precisión (PTP) IEEE 1588 en los IONets R, S y T para sincronizar los relojes de todos los paquetes de E/S y controladores dentro de ±100 microsegundos, lo que garantiza la adquisición de datos coherentes en el tiempo y la ejecución del control.

4. Sistema de software y programación

4.1 Sistema operativo
El IS420UCSBS1A se ejecuta en QNX Neutrino, un sistema operativo en tiempo real (RTOS) probado diseñado para aplicaciones industriales de alta velocidad y alta confiabilidad. Su comportamiento determinista es crucial para satisfacer las demandas de tiempo de respuesta de las funciones de seguridad.

4.2 Lenguajes de programación
El controlador admite múltiples paradigmas de programación para adaptarse a diferentes preferencias de ingeniería:

• Lenguaje de bloques de control: para bucles de control analógicos y discretos complejos que utilizan bloques de funciones.

• Diagrama de escalera de relés (RLD): para implementar la lógica booleana en un formato de escalera familiar.

• Tipos de datos admitidos: un conjunto completo que incluye números booleanos, enteros con/sin signo de 16/32 bits y números de punto flotante de 32/64 bits.

4.3 Modificaciones en línea
Se pueden realizar modificaciones menores al software de control en línea sin necesidad de reiniciar el controlador, lo que mejora la disponibilidad del sistema y simplifica la resolución de problemas.

4.4 Marca del software de seguridad
La marca, una característica fundamental para la seguridad funcional, es un proceso obligatorio que se requiere cada vez que se cambia y descarga el código de aplicación en un controlador Mark VIeS Safety. Este proceso 'marca' criptográficamente el nuevo código, asegurando su autenticidad e integridad. Cualquier cambio no autorizado provoca una discrepancia en la marca, alertando a los operadores sobre un posible problema de integridad de seguridad. Este es un requisito fundamental para mantener la certificación SIL 2/3.

5. Certificaciones y características de seguridad

5.1 Nivel de seguridad funcional
El controlador IS420UCSBS1A y sus módulos de E/S de seguridad asociados están diseñados y certificados específicamente para su uso en bucles de seguridad SIL 2 y SIL 3 según lo definido por IEC 61508.

5.2 Certificación de hardware y software
El hardware y software de control específicos que componen el sistema Mark VIeS han recibido la certificación IEC 61508 de un evaluador externo, lo que proporciona una validación independiente de su idoneidad para aplicaciones críticas para la seguridad.

5.3 Redundancia y tolerancia a fallos
El controlador está diseñado para funcionar en configuraciones dobles o triples con redundancia modular (TMR). En estas configuraciones, se sincroniza con controladores pares, intercambiando:

• Valores de estado internos para votación e inicialización.

• Información de estado y sincronización.
  Esta arquitectura garantiza que un solo fallo del controlador no provoque un fallo peligroso de la función de seguridad.

6. Instalación y mantenimiento

6.1 Instalación física
El controlador es un módulo único que se monta directamente en un panel de chapa metálica mediante un diseño de montaje en forma de cerradura. Debe instalarse con flujo de aire vertical a través de las aletas de enfriamiento para garantizar una gestión térmica adecuada.

6.2 Indicadores de estado (LED)
El panel frontal proporciona un conjunto completo de LED para una evaluación inmediata del estado:

• Enlace: El color verde fijo indica un enlace Ethernet IONet establecido.

• Act: Verde fijo o intermitente indica tráfico de paquetes IONet.

• Alimentación: El color verde fijo indica que el suministro interno de 5 V está operativo.

• En línea: El color verde fijo indica que el controlador está en línea y ejecutando el código de la aplicación.

• DC: El color verde fijo indica que este controlador es el controlador designado en un conjunto redundante.

• OT (sobretemperatura): el amarillo indica una condición de alarma; El rojo indica que se ha producido un viaje.

7. Copia de seguridad, restauración y reemplazo

7.1 Procedimiento de copia de seguridad y restauración
Un botón dedicado en el controlador permite realizar una copia de seguridad y restaurar la configuración y el firmware del controlador en una unidad USB.

• Requisito de unidad USB: debe ser compatible con USB 2.0, no cifrada, con una capacidad mínima de 4 GB y formateada como FAT32.

• Proceso: El estado de copia de seguridad/restauración se indica mediante el LED USB encendido. Una luz fija durante el proceso indica actividad y se apaga al finalizar con éxito. El parpadeo indica una falla.

7.2 Reemplazo del controlador
Se define un procedimiento estructurado para reemplazar un controlador defectuoso, enfatizando la seguridad y la integridad de los datos:

1. Copia de seguridad: si es posible, haga una copia de seguridad de la memoria flash NAND del controlador defectuoso.

2. Apagado: desconecte el enchufe de alimentación específico (JCR, JCS o JCT) en el JPDC asociado.

3. Desconecte los cables: retire los cables IONet y VLAN.

4. Extracción física: Afloje los tornillos y retire el controlador utilizando el montaje en forma de cerradura.

5. Instalación: Invierta el proceso para instalar el nuevo controlador.

6. Restaurar y configurar: restaure la copia de seguridad en el nuevo controlador o configure su dirección IP utilizando la herramienta de ingeniería ToolboxST a través del puerto COM1.