InfoPLC Net Seguridad Maquina SEiS Maquinaria

SEGURIDAD EN MAQUINARIA
EN ISO 13849-1
B. GUTIRREZ
SEIS MAQUINARIA
AUTOMATISME I CONTROL ELECTRIC S.A.
C/SAMONT, N 22 - POL. IND. FONTSANTA - 08970 SANT JOAN DESP - ( BARCELONA )

TEL.: 93 477 62 62 - FAX: 93 477 62 39 - http:// www.acesa.es - E-mail: acesa@acesa.es
SEGURIDAD EN MAQUINARIA EN 13849-1
Seis Maquinara S.L.L.

-1-

-2-
1. NDICE
1.
2.
NDICE ....................................................................................................... 3
INTRODUCCIN ....................................................................................... 5
Objetivos .................................................................................................... 5
Introduccin EN ISO 13849 ....................................................................... 7
Antecedentes EN 954-1 ........................................................................... 10
3. DEFINICIONES ....................................................................................... 11
4. ANLISIS Y EVALUACIN DE RIESGOS .............................................. 14
5. DISEO DE LAS SRP/CS ....................................................................... 16
6. IDENTIFICACIN DE LAS FUNCIONES DE SEGURIDAD .................... 18
7. DETERMINACIN DEL PLr (REQUERIDO) ........................................... 21
S - Gravedad de la Lesin ....................................................................... 24
F - Frecuencia o tiempo de exposicin al peligro ..................................... 25
P - Posibilidad de evitar o limitar el peligro .............................................. 26
8. DISEO DE LAS PARTES DEL SISTEMA MANDO SEGURIDAD ......... 27
9. DETERMINACIN DEL PL ..................................................................... 29
Categoras y arquitecturas designadas.................................................... 30
Categora b .............................................................................................. 32
Categora 1 .............................................................................................. 33
Categora 2 .............................................................................................. 35
Categora 3 .............................................................................................. 38
Categora 4 .............................................................................................. 40
MTTFd por canal ...................................................................................... 42
Cobertura del diagnstico (DC)................................................................ 45
Estimacin de los fallos de causa comn ................................................ 49
Requisitos de seguridad del software ...................................................... 51
Combinacin de SRP/CS PL global ...................................................... 57
Mtodo simplificado de estimacin del pl ................................................. 59
10. VERIFICACIN PL PLr (REQUERIDO) ............................................... 63
11. VALIDACIN ........................................................................................... 64
Plan de validacin .................................................................................... 65
Validacin por anlisis ............................................................................. 66
Validacin por ensayos ............................................................................ 66

-3-

-4-
2. INTRODUCCIN
OBJETIVOS
La oferta formativa de SEIS MAQUINARIA, desarrollada con la experiencia
adquirida en proyectos de adecuacin y Marcado CE de mquinas, abarca
diferentes cursos sobre los aspectos legales y normativos que tienen que ver
con la seguridad en los equipos de trabajo en general y, ms concretamente,
en aquellos encuadrados como mquinas segn la Directiva 98/37/CE.
El presente curso se centra en el sistema de mando de la mquina. En una
mquina, el sistema de mando es el automatismo mecnico, elctrico,
electrnico, neumtico, hidrulico o de cualquier otra tecnologa que se
encarga del control de los procesos y movimientos.
En este curso se revisar y resumir la normativa referida a la seguridad en los
sistemas de mando, oficialmente denominadas, las partes del sistema de
mando de la mquina relativas a las funciones de seguridad (SRP/CS). El
estudio de esta parte de la mquina se har tanto desde el punto de vista del
diseo de la misma, como de la validacin y comprobacin de su funcionalidad.
Un ejemplo de una funcin de seguridad tpica presente en casi todas las
mquinas es la funcin de parada de emergencia.

-5-
Para conocer la normativa bsica de los sistemas de mando de seguridad se

estudiar el grupo de normas EN ISO 13849:
EN ISO 13849-1:2006 Que indica los requisitos de diseo de las partes
del sistema de mando relativas a seguridad.
EN ISO 13849-2:2004 Que establece los criterios, procedimientos y
requisitos para la validacin.

-6-
INTRODUCCIN EN ISO 13849

La norma EN ISO 13849 ha sido preparada por el CEN (Comit Europeo de
Normalizacin)
en
colaboracin
con
el
organismo
internacional
ISO
(International Organization for Standarization).

En este caso, han colaborado respectivamente los comits CEN/TC 114 e
ISO/TC 199, ambos de Seguridad de las mquinas.
La norma EN ISO 13849 est clasificada como de tipo B1 segn la clasificacin
definida en la EN 12100-1:2004:
La EN ISO 13849 es armonizada respecto a la Directiva 98/37/CE de

Mquinas, otorgando presuncin de conformidad con los requisitos esenciales
de seguridad y salud indicados en los apartados 1.2.1 y 1.2.7 del Anexo I de
esta Directiva.

-7-
La norma se compone de tres partes:
EN ISO 13849-1:2006 Seguridad de las mquinas. Partes del sistema de

mando relativas a seguridad. Parte 1: Principios generales para el diseo
Pensada como la sustitucin de la anterior EN 954-1:1996, esta norma es una
revisin de la primera versin ISO 13849-1:1999 a la que cancela y reemplaza.
Se complementa con la IEC EN 62061:2005, aunque esta ltima est referida
sobre todo a sistemas de mando elctricos y electrnicos, mientras que la EN
ISO 13849-1 abarca todo tipo de tecnologas. Ver el siguiente cuadro resumen:
Tecnologa implementada en el/las

funciones de seguridad
A
B
ISO 13849-1
No elctrica (por ej. hidrulica)
Electromecnica (por ej. rels) y/o

electrnica poco compleja
IEC 62061
No cubierta
Limitado a las arquitecturas

a
designadas y hasta PL = e
Todas las arquitecturas

hasta SIL 3
Electrnica compleja (por ej. programable)

a
designadas y hasta PL = d

hasta SIL 3
A combinada con B

a
designadas y hasta PL = e
C combinada con B

a
designadas y hasta PL = d

hasta SIL 3
C combinada con A, o bien C combinada

con A y B
indica que este punto es tratado en el estndar internacional mostrado en la columna de cabecera
Las arquitecturas designadas estn definidas en 6.2 para dar una aproximacin simplificada en la cuantificacin del nivel de fiabilidad (PL)
Para electrnica compleja: usar las arquitecturas designadas de acuerdo con esta ISO 13849-1 hasta PL = d o cualquier arquitectura de acuerdo con la IEC 62061
Para tecnologa no electrnica, usar partes de acuerdo con esta ISO 13849-1 como subsistemas

-8-
EN ISO 13849-2:2004 Seguridad de las mquinas. Partes del sistema de

mando relativas a seguridad. Parte 2: Validacin
Inicialmente como proyecto de norma prEN 954-2, aparece, sin embargo
editada como EN ISO 13849-2:2004, antes incluso que la primera parte. En
esta segunda parte, para el proceso de validacin se hace referencia en lo que
respecta al diseo tanto a la EN 954-1 como a su sustituta ISO 13849-1.
Especifica los procedimientos a seguir para la validacin por anlisis y ensayo
de las funciones de seguridad y las categoras del sistema de mando. No
proporciona requisitos de validacin completos para sistemas electrnicos
programables. En este caso se hace referencia a la IEC EN 62061 y, sobre
todo, a la IEC EN 61508.
ISO/TR 13849-100 Seguridad de las mquinas. Partes del sistema de

mando relativas a seguridad. Parte 100: Gua para la utilizacin y la
aplicacin de la norma ISO 13849-1 [Technical Report]
Da consejos para evitar malas interpretaciones de su norma relacionada.

-9-
ANTECEDENTES EN 954-1
Una de las normas que ms ha influenciado los cambios de mentalidad en el
diseo de las mquinas ha sido, quizs la EN 954-1. Durante estos aos de
vigencia esta norma, sin embargo, ha recibido algunas crticas que han
motivado su necesidad de revisin.
Unos de los aspectos ms importantes a mejorar se centra en la necesidad de
establecer requisitos especiales para sistemas de mando complejos o sistemas
programables (PES) que ejecuten funciones de seguridad. Estos requisitos ya
aparecen recogidos en detalle, tanto para hardware como para software en las
IEC EN 61508 y ms centrados en el sector de la maquinaria en la IEC EN
62062. Era necesario integrarlos junto con otras tecnologas del sistema de
mando en una nueva revisin de la norma EN 954-1.
Otro aspecto mejorable es que la EN 954-1 tampoco establece una relacin
clara entre la reduccin de riesgo y las diferentes categoras. Efectivamente, la
actual norma no tiene en cuenta la complejidad del sistema de mando a la hora
de su diseo, ya que slo trata aspectos de estructura de o seleccin de
componentes que componen el sistema de mando. No tratan aspectos
cuantitativos que influyen en la fiabilidad de los componentes, como los valores
del tiempo medio hasta fallo peligroso o la cobertura del diagnstico. Tampoco
se gestionan los fallos por causa comn que pueden tener influencia importante
en las estructuras de bicanal.

- 10 -
3. DEFINICIONES
SRP/CS = Safety Related Parts of a Control Systems

-
Parte del sistema de mando que responde a seales de entrada

seguras y genera seales de salida seguras
Es la parte que se encarga de las funciones de seguridad, desde

el actuador (ej. detector) hasta el elemento de control (ej.
contactor)
Definicin 3.1.1 segn ISO 13849-1
En castellano se denominan Partes del Sistema de Mando

Relativas a la Seguridad y se pueden abreviar como PSMRS
PL = Performance Level
-
Traducido como Nivel de Prestaciones, o bien Nivel de Fiabilidad
Valor discreto usado para especificar la capacidad de las partes

del sistema de mando relativas a seguridad para implementar una
funcin de seguridad bajo las condiciones previstas
PLr = Required Performance Level

-
PL aplicado para conseguir la reduccin de riesgo requerida para

cada funcin de seguridad
MTTF = Mean Time To Failure

-
Tiempo medio hasta fallo
Normalmente expresado como periodo medio de tiempo esperado

hasta el fallo
Definicin 3.2.24 segn IEC 62061

- 11 -
MTTFd = Mean Time To dangerous Failure

-
Tiempo medio hasta fallo peligroso
MTBF = Mean Time Between Failure

-
Tiempo medio entre fallos (MTTF + MTTR)
Se estable como la suma del MTTF y el MTTR (Mean Time To

Reapair)
DC = Diagnostic Coverage
-
Cobertura del diagnstico
Medida de la efectividad del diagnstico, expresada como la

relacin entre la probabilidad de fallos peligrosos detectados y la
de fallos peligrosos totales
Definicin 3.1.26 segn ISO 13849-1, adaptada de la 3.8.6 segn

EN 61508-4
Se representa con la siguiente fraccin

DC =
DD
Dtotal
DD = probabilidad de fallos peligrosos detectados

Dtotal = probabilidad de fallos peligrosos totales
Esta expresa la disminucin de la probabilidad de fallos

peligrosos que resulta del funcionamiento de ensayos de
diagnstico automticos
Puede existir para la totalidad del sistema relativo a seguridad o

para partes del mismo

- 12 -
CCF = Common Cause Failure

-
Fallo de varios elementos, resultado de un solo evento, dnde

estos fallos no son consecuencia unos de otros
Los fallos coincidentes en dos o ms canales de un sistema de

canales mltiples pueden conducir al fallo del sistema
No confundir con Fallos de modo comn. Los fallos de modo

comn son fallos de varios elementos caracterizados por el
mismo modo de fallo. Los distintos fallos pueden resultar de
varias causas diferentes
Definiciones de fallos de causa comn en 3.1.6 segn ISO 138491, 3.6.10 segn EN 61508-4 y 3.33 segn EN 12100-1
Definicin de fallos de modo comn en 3.34 segn EN 12100-1

- 13 -
4. ANLISIS Y EVALUACIN DE RIESGOS
El fabricante dispone de un mtodo iterativo para el diseo y desarrollo de la

mquina segn los criterios de seguridad. Este mtodo est descrito en la
norma EN 1050 y desarrollado en las EN 12100-1 y EN 12100-2
En la EN 1050:1997 - Principios para la evaluacin de riesgos se detalla este
mtodo en forma de diagrama de flujo, tal y como se indica en la grfica
encuadrado en lnea discontinua.

- 14 -
El proceso completo ante de la atacar las estrategias de reduccin de riesgo se

denomina Evaluacin de riesgos, mientras que el conjunto de las primeras
fases donde se establecen los lmites de la mquina, se identifican los peligros
y se valora el riesgo se denomina Anlisis de riesgos.
La norma EN ISO 12100-1:2003 se encarga de esta fase de anlisis, mientras
que la EN ISO 12100-2:2003 plantea estrategias de reduccin de riesgos
Esta EN ISO 12100-2:2003 establece una jerarqua dentro de la estrategia para
la reduccin de riesgos que se basa en aplicar una serie de medidas
ordenadamente para reducir los peligros:
En el apartado 4 se tratan de las estrategias para la prevencin

intrnseca, es decir, la eliminacin de los peligros en la fase de diseo.
Si con la estrategia anterior no se eliminan todos los peligros ni si

reducen aceptablemente, el apartado 5 nos indica como aplicar
proteccin y medidas preventivas suplementarias, precisamente contra
aquellos peligros que no pueden evitarse en el diseo.
El apartado 6 da informacin para la utilizacin contra los riesgos

residuales.
Estos tres tipos de medidas deben aplicarse en este orden, debiendo agotarse
las posibilidades de cada tipo antes de pasar a aplicar una del tipo siguiente.

- 15 -
5. DISEO DE LAS SRP/CS

El proceso de seleccin y diseo de las partes del sistema de mando relativas
a seguridad se integra dentro del proceso general de anlisis y reduccin de
riesgos, segn se indica en el diagrama de flujo siguiente:
El proceso iterativo se puede resumir en seis pasos fundamentales que son los
que se explican en detalle en la EN ISO 13849-1 y con los que ocuparemos el
resto de este curso.

- 16 -
Estos pasos son:

1. Identificacin y requisitos de las funciones de seguridad (SF)
2. Determinacin del PL requerido (PLr)
3. Diseo e identificacin de las partes del sistema de mando relativas a
seguridad
4. Determinacin del PL de las partes del sistema de mando relativas a
seguridad
-
Aspectos cuantificables (categora, MTTFd, DC, CCF)
Aspectos no cuantificables
5. Verificacin PL PLr
6. Validacin

- 17 -
6. IDENTIFICACIN DE LAS FUNCIONES DE SEGURIDAD

La identificacin de las funciones de seguridad con parte en el sistema de
mando no es tan inmediata como podra parecer. En el apartado 5.1 de la EN
13849-1 se indican ciertas funciones relativas a seguridad en las que
intervienen habitualmente partes del sistema de mando relativas a seguridad
en forma de dos tablas.
La tabla 8, indica las caractersticas y funciones de seguridad tpicas y sus
requisitos:
Requisitos
Caracterstica o
funcin de seguridad
Funcin de parada segura iniciada por un
resguardo a
Funcin de rearme manual
Funcin de puesta en marcha y puesta en marcha
tras parada
Esta ISO
13849-1
ISO 121001:2003
ISO 121002:2003
5.2.1
3.26.8
4.11.3
5.2.2
5.2.3
Funcin de mando manual
5.2.4
Funcin de Muting
Funcin de mando sensitivo
5.2.5
Funcin dispositivo de validacin
4.11.3,
4.11.4
4.11.8,
4.11.10
4.11.8 b)
4.11.4
Prevencin de puesta marcha intempestiva
Escape y rescate de personas atrapadas
5.5.3
Funcin de aislamiento y disipacin de energa
5.5.4
Seleccin y control de modos de trabajo
Interaccin entre diferentes partes de un sistema

de mando de seguridad (sincronizacin)
Monitorizacin de parametrizacin con datos de

entrada relativos a seguridad
4.6.4
5.5.2
Funcin parada de emergencia b
4.11.8,
4.11.10
4.11.1
(ltimo
prrafo)
Para informacin adicional, ver:

IEC 60204-1:2005, 9.2.2, 9.2.5.3,
9.2.5.5
IEC 60204-1:2005, 9.2.5.3,
9.2.5.4
IEC 60204-1:2005, 9.2.1, 9.2.5.1,
9.2.5.2, 9.2.6
IEC 60204-1:2005, 10.1.5
IEC 60204-1:2005,9.2.6.1
IEC 60204-1:2005, 9.2.6.3, 10.9
ISO 14118 (EN 1037:1995); IEC
60204-1:2005,5.4
ISO 14118 (EN 1037:1995); IEC
60204-1:2005, 5.3, 6.3.1
IEC 60204-1:2005, 9.2.3, 9.2.4
IEC 60204-1:2005, 9.3.4
ISO/IEC 13850 (EN 418:1993);
IEC 60204-1:2005, 9.2.5.4
Incluidos resguardos con enclavamiento y dispositivos limitadores (por ej. sobrevelocidad, sobretemperatura, sobrepresin).
Medida de proteccin complementaria, ver ISO 12100-1:2003.

- 18 -
La tabla 9 aade otros parmetros relativos a seguridad (tiempo, temperatura,

presin, velocidad, etc.)
Funcin / parmetro
relativo a seguridad
Tiempo de respuesta
Parmetro relativo a seguridad como velocidad, temperatura
o presin
Fluctuacin, perdida y restablecimiento de la tensin de
alimentacin
Indicaciones y alarmas
Requisitos
Esta ISO
13849-1
5.2.6
ISO 121002:2003
-
5.2.7
4.11.8 e)
5.2.8
4.11.8 e)
4.8
Para informacin adicional,

ver:
ISO 13855:2000, 3.2, A.3, A.4
IEC 60204-1:2005, 7.1, 9.3.2,
9.3.4
IEC 60204-1:2005, 4.3, 7.1,
7.5
ISO 7731
ISO 11428
ISO 11429
IEC 61310-1
IEC 60204-1:2005, 10.3, 10.4
IEC61131
IEC 62061
Aunque en ambas tablas los requisitos estn referidos a tecnologa elctrica,

pueden ser fcilmente extrapolados a otras tecnologas (por ejemplo hidrulica
o neumtica).
Al especificar las funciones de seguridad se deben tener en cuenta las
siguientes consideraciones:
a) Tener en cuenta los resultados del anlisis de riesgos y considerar las
funciones de seguridad necesarias para cada peligro o situacin
peligrosa posible.
b) Considerar las caractersticas en la operacin de mquina, es decir:
-
Tanto el buen uso, como el mal uso razonablemente predecible
Las situaciones peligrosas en todos los modos de operacin
El tiempo de ciclo de la mquina
El tiempo de respuesta
c) Tener en cuenta la operacin en caso de emergencia

- 19 -
d) Considerar la relacin e interaccin entre las diferentes operaciones

como reparacin y mantenimiento, ajuste, limpieza, etc.
e) Tener en cuenta el comportamiento peligroso de la mquina que la
funcin de seguridad quiere cubrir o prevenir
f) Prever las condiciones en las que la funcin de seguridad ser activada
o desactivada, por ejemplo, en qu modo de trabajo, ...
g) Tener en cuenta la frecuencia de operacin de la mquina y la de
requerimiento de la funcin de seguridad
h) Considerar la posibilidad de actuaciones simultneas de distintas
funciones, establecer prioridades de actuacin para resolver conflictos.

- 20 -
7. DETERMINACIN DEL PLr (REQUERIDO)

En el Anexo A de la EN ISO 13849-1 se indican los criterios recomendados
para la determinacin del PLr. Bsicamente se presenta un rbol de seleccin
similar al rbol de seleccin de categoras de riesgo en la EN 954-1, aunque no
idntico:
-
Los parmetros de decisin S, F y P son iguales y tienen el

mismo significado, aunque en la EN ISO 13849-1 se detallan
mejor los criterios de seleccin
La estructura del rbol de decisiones es diferente, siendo la de la

nueva EN ISO 13849-1 ms ramificada
La graduacin en los diferentes PL tambin es diferente, existen 5

niveles directos (de la a a la e) a la salida, no habiendo
posibilidad de seleccin en una matriz como la de las categoras
En la figura de arriba se representa a la izquierda el arbol de decisiones para el

PLr de la EN ISO 13849-1 y a la derecha el de las categoras de la EN 954-1

- 21 -
El anlisis para la determinacin del PLr se inicia cuando ya se han aadido

todas las otras medidas de reduccin de riesgo que sean independientes de las
partes del sistema de mando relativas a seguridad (por ejemplo medidas
mecnicas).
El PLr se determina para cada funcin de seguridad considerada. Con 1 se

indica en el rbol el punto de partida para evaluar la contribucin de esa
funcin de seguridad a la reduccin de riesgo.
El resultado son 5 niveles nombrados como a, b, c, d, y e, dnde las partes del
sistema de mando relativas a seguridad tendrn:
-
una contribucin baja a la reduccin de riesgo (indicado como L)
un contribucin alta a la reduccin de riesgo (indicado como H)

- 22 -
Tal y como se indica en el apartado 7.2 de la EN 1050, el nivel riesgo asociado

a un peligro o una situacin peligrosa es proporcional a:
a) la gravedad o severidad del dao
b) la probabilidad de ocurrencia del peligro
Mientras que para la severidad del dao la EN ISO 13849-1 fija un solo
parmetro (S), la probabilidad se valora con dos (F y P). En total:
a) Severidad del dao
S Gravedad de la lesin
b) Probabilidad de ocurrencia
F Frecuencia / tiempo exposicin peligro
P Posibilidad de evitar o limitar el peligro
A continuacin veremos en detalle criterios para seleccionar ms facilmente los
parmetros adecuados en este rbol de decisiones.

- 23 -
S - GRAVEDAD DE LA LESIN
S1 Leve (normalmente reversible)

El fallo de la funcin de seguridad slo puede conllevar daos leves,
normalmente golpes, contusiones o heridas leves
Las lesiones sern reversibles en el sentido de que, tras el tratamiento, el
afectado queda en la misma situacin que antes del dao
S2 Grave (normalmente irreversible)

El fallo de la funcin de seguridad conlleva habitualmente daos graves,
irreversibles o que conlleven secuelas permanentes, incluida la muerte

- 24 -
F - FRECUENCIA O TIEMPO DE EXPOSICIN AL PELIGRO
F1 De raramente a poco frecuente o tiempos de exposicin cortos

En caso de que se requiera slo acceso ocasional
F2 De frecuente a continua o tiempos de exposicin largos

Se
debe
seleccionar
F2
siempre
que
una
persona
est
sometida
frecuentemente o de forma continua al peligro, independientemente de que se

trate de la misma personas o de personas sucesivas (ej. ascensores).
Si la frecuencia es superior a una vez por hora se debe seleccionar F2 siempre
que no exista otra justificacin
Si se desconoce la frecuencia de acceso al peligro, pero se conoce la

frecuencia de demanda de la funcin de seguridad, se deber coger esta como
dato. Se debe evaluar el valor sobre la base de la frecuencia de exposicin en
relacin con el periodo total de uso del equipo, por ejemplo, el acceso de una
vez por ciclo depender del ciclo de la mquina.

- 25 -
P - POSIBILIDAD DE EVITAR O LIMITAR EL PELIGRO
P1 Posible bajo ciertas condiciones

Existe una posibilidad realista de evitar o reducir el accidente cuando se
produce la situacin peligrosa o de reducir sus efectos
P2 Raramente posible
La situacin peligrosa provocar casi seguro un accidente en caso de
desencadenarse
La seleccin del parmetro P1 P2 puede venir determinada por diferentes

condicionantes:
Si la identificacin del peligro es directa o es necesaria la ayuda de

instrumentos para detectarlo (por ejemplo indicadores de niveles de
presin o de contaminacin)

- 26 -
El tipo de operacin, por ejemplo, si esta se realiza con o sin

supervisin, por personal experto o por no profesionales. Otro posible
criterio es la existencia de mtodos de trabajo seguros implementados.
La velocidad de ocurrencia del peligro, sobre todo en relacin con el

tiempo de reaccin del operario.
La posibilidad de evitar el peligro cuando este se produzca, por ejemplo,

si existen vas de escape o mecanismos de emergencia efectivos
cercanos a la zona de operacin.
8. DISEO DE LAS PARTES DEL SISTEMA MANDO SEGURIDAD

La fase de diseo e identificacin de las partes del sistema de mando relativas
a seguridad es en la que se aplican los conocimientos especficos de
ingeniera, diseo y seguridad. No hay una relacin uno a uno entre las
funciones de seguridad determinadas y las partes del sistema de mando de
seguridad que llevan asociadas estas funciones de seguridad. En este sentido,
una funcin de seguridad puede estar formada por una o ms partes del
sistema de mando o, a la inversa, varias funciones de seguridad pueden
compartir las partes del sistema de mando de seguridad correspondiente.
Adems, y esto es habitual sobre todo en sistemas electrnicos, las partes del
sistema de mando de seguridad pueden implementar, al mismo tiempo que
funciones de seguridad otras funciones estndar (ST) necesarias. Un ejemplo
puede ser una barrera fotoelctrica con funcin de proteccin y control en una
prensa (funcionamiento a pulsos).

- 27 -
Para la representacin de las partes del sistema de mando relativas a

seguridad se suele utilizar un sistema bloques lgicos dnde cada estructura
suele tener una parte de entrada, otra de lgica (procesamiento) y otra de
salida (ej. elementos de control de potencia). Esta estructura es til de cara a
anlisis posteriores (por ejemplo, la identificacin de arquitecturas designadas
o la estimacin del DCavg)
En el esquema lgico de arriba, iab, ibc representa los medios de interconexin

(ejemplo: elctricos, pticos) y 1 y 2 son los eventos:
1. Evento de iniciacin (ej. interrupcin de barrera, apertura de
resguardo, pulsacin botn parada, )
2. Actuador en la mquina (ej. frenos del motor)

- 28 -
9. DETERMINACIN DEL PL
Para cada parte del sistema de mando relativa a seguridad o cada combinacin
de estas partes que formen una funcin de seguridad, se debe hacer una
estimacin del PL.
El PL depende de varios aspectos, algunos de ellos cuantificables y otros no.
Son aspectos cuantificables que influyen en las partes del sistema de mando
relativas a seguridad:
La estructura del sistema, tanto si se trata de arquitecturas designadas

como si no. La categora es la que determina el nivel de fiabilidad de la
estructura.
El MTTFd, es decir, el tiempo medio hasta fallo peligroso del conjunto.

Este valor nos da una idea de la fiabilidad de los componentes.
La cobertura del diagnstico (DC). Esta nos da una idea de la fiabilidad

debida al diagnstico.
Las medidas contra los fallos de causa comn (CCF). Estas nos dan una
idea de la inmunidad del sistema a fallos que afectan a ms de un canal.
Los aspectos no cuantificables de las partes del sistema de mando relativas a

seguridad pueden ser, por ejemplo, los relativos al software que tenga
influencia en seguridad, el comportamiento de la funcin de seguridad en
condiciones de fallo, los fallos sistemticos, la influencia de las condiciones
ambientales, as como otros aspectos operacionales, la tasa de demanda o de
chequeo de la funcin de seguridad, etc.

- 29 -
CATEGORAS Y ARQUITECTURAS DESIGNADAS

La estructura de las partes del sistema de mando relativas a seguridad tiene
una gran influencia en el PL final obtenido. Esta estructura debe estar de
acuerdo con alguna de las cinco categoras descritas en la EN ISO 13849-1.
La descripcin, los requisitos y el comportamiento en caso de fallo de cada
categora es muy parecida a lo indicado en la predecesora EN 954-1, Hay
requisitos mnimos adicionales en lo que respecta a la cobertura del
diagnstico, el tiempo medio entre fallo peligroso de los componentes y la
inmunidad a los fallos de causa comn.
Como resumen:
Categoras B y 1
La categora B es la categora bsica. En ella, la aparicin de un fallo puede
conducir a la prdida de la funcin de seguridad. La categora 1 presenta una
mayor resistencia a fallos en las partes del sistema de mando relativas a
seguridad bsicamente por la seleccin y aplicacin de componentes
adecuados.

- 30 -
Categoras 2, 3 y 4
La mejora en la resistencia a defectos de la funcin de seguridad en estas
categoras se implementa, bsicamente mejorando la estructura de las partes
del sistema de mando relativas a seguridad.
En la categora 2 esto se realiza mediante un sistema automtico de chequeo
peridico de la funcin de seguridad. En las categoras 3 y 4, un fallo simple no
provoca la prdida de la funcin de seguridad. La categora 3 debe detectar
este primer fallo simple, si es razonablemente factible. En la categora 4 se
debe especificar una resistencia del sistema a la acumulacin de fallos.
Arquitecturas Designadas
El detalle de los requisitos de cada categora se acompaa de las llamadas
arquitecturas designadas. Estas no representan diagramas de circuitos, sino
slo esquemas lgicos de estructura.
Las partes del sistema de mando relativas a seguridad se pueden apartar de
las arquitecturas designadas y, an as, cumplir con la categora necesaria. Si
no se usan las arquitecturas designadas, sin embargo, se debera justificar la
categora con otros mtodos analticos (por ejemplo el modelo de Markov o el
anlisis por rbol de fallos)

- 31 -
CATEGORA B
Las partes del sistema de mando relativas a seguridad deben ser, como
mnimo, diseadas, construidas, seleccionadas, montadas y combinadas de
acuerdo con las normas pertinentes y usando los principios de seguridad
bsicos para la aplicacin considerada, de manera que puedan resistir las
solicitaciones de funcionamiento previstas, la influencia de los materiales
procesados y otras influencias externas relevantes.
Consultar las normas especficas de producto para requisitos de, por ejemplo,
compatibilidad electromagntica (IEC 61800-3 Sistemas de control de potencia)
o inmunidad (IEC 61000-6-2 EMC: Inmunidad en ambientes industriales).
La categora B no exige cobertura de diagnstico (DCavg = 0), es necesario un
MTTFd medio o bajo para cada canal y no precisa medidas especiales para los
fallos de causa comn (CCF no relevante) ya que normalmente se trata de
estructuras monocanal. El mximo PL alcanzable en esta categora es PL = b.
Arquitectura designada en categora B

- 32 -
CATEGORA 1
Se deben aplicar los requisitos de la categora B, adems de los indicados
aqu. Las partes del sistema de mando relativas a seguridad se deben disear
y construir utilizando componentes y principios* de eficacia probada en
seguridad
Son componentes de eficacia probada en seguridad aquellos que
-
se han utilizado ampliamente en el pasado dando buenos resultados en

aplicaciones similares
se han construido y verificado de acuerdo con principios que demuestran

su adecuacin y fiabilidad para aplicaciones relativas a seguridad
Los componentes de nuevo desarrollo sern de eficacia probada si cumplen el

segundo punto.
La seleccin de un componente como de eficacia probada depender de la
aplicacin. Por ejemplo un detector mecnico de posicin de apertura positiva
puede ser un componente de eficacia probada en una aplicacin para mquinaherramienta pero puede no ser vlido, por ej. en la industria lechera o de
alimentacin ya que el cido de la leche destruira el componente es pocos
meses.
Habitualmente
los
componentes
electrnicos
complejos
como
PLCs,
microprocesadores o circuitos integrados de aplicacin especfica no se

pueden considerar por s mismos como componentes de eficacia probada en
seguridad.

- 33 -
La categora 1 no exige cobertura de diagnstico (DCavg = 0), es necesario un

MTTFd alto para cada canal, mayor que en categora B, por eso la prdida de la
funcin de seguridad es menos probable, y no precisa medidas especiales para
los fallos de causa comn (CCF no relevante) ya que normalmente se trata de
estructuras monocanal. El mximo PL alcanzable en esta categora es PL = c.
Se debe distinguir entre componente de eficacia probada y exclusin de fallos o
exclusin de defectos. La exclusin de defectos suele conllevar un PL ms
elevado, pero se deben garantizar medidas para evitar fallos en todo el ciclo de
vida del componente. Normalmente son necesarias medidas adicionales
externas a las partes del sistema de mando relativas a seguridad.
Por ejemplo, un detector mecnico de posicin de apertura positiva es un
componente de eficacia probada en determinadas aplicaciones. Para garantizar
exclusin de defectos se deberan tomar medidas para asegurar la fijacin del
detector despus del ajuste; para asegurar la no rotura de la roldana o la leva,
as como su estabilidad transversal; para evitar sobrerrecorridos por choques o
desalineamiento; para evitar daos del exterior; etc.
Arquitectura designada en categora 1

- 34 -
CATEGORA 2
y construir utilizando componentes y principios de eficacia probada en
seguridad.
Las partes del sistema de mando relativas a seguridad se deben disear de
forma que las funciones de seguridad se comprueben a intervalos adecuados
por el sistema de mando.
Esta comprobacin se debe efectuar en el proceso de puesta en marcha de la
mquina, antes de que se inicie cualquier situacin peligrosa o peridicamente
durante la operacin si la evaluacin del riesgo y el tipo de funcionamiento
indican que esto es necesario. El inicio de esta comprobacin debe ser
automtico, a diferencia de lo indicado en la antecesora EN 954-1 dnde se
permita tambin el inicio manual del proceso de comprobacin cclica.
Tras la comprobacin de la funcin de seguridad, si no se detecta ningn
defecto se debe permitir el funcionamiento. Si se detecta un defecto se debe
generar una seal de salida que desencadene una accin de mando adecuada.
La seal de salida debera iniciar un estado seguro que se debe mantener
hasta que se elimine el defecto. Si esto no es posible, la seal de salida debe
proporcionar una advertencia del peligro. En cualquier caso, la comprobacin
no debe conducir por s misma a una situacin peligrosa

- 35 -
El equipo de comprobacin puede ser parte integrante de las partes del

sistema de mando relativas a seguridad que desempean la funcin de
seguridad o independiente de las mismas.
En algunos casos, la categora 2 no es aplicable porque la comprobacin de la
funcin de seguridad no se puede aplicar a todos los componentes que la
forman.
Por tanto, el comportamiento de un sistema en categora 2 permite que la
aparicin de un defecto pueda conducir a la prdida de la funcin de seguridad
en el intervalo entre dos comprobaciones. Mediante la comprobacin se
detectar esta prdida.
La categora 2 exige, al menos, una cobertura de diagnstico baja para todas
las partes del sistema de mando relativas a seguridad (DCavg = baja). El MTTFd
puede ser alto, medio o bajo dependiendo del PLr. Para el clculo MTTFd y
DCavg, se deben considerar slo los canales funcionales y no el canal de
comprobacin. Son necesarias medidas contra los fallos de causa comn (CCF
relevante). El mximo PL alcanzable en esta categora es PL = d.

- 36 -
La lnea discontinua representa deteccin de defectos razonablemente factible.

Los medios tcnicos adoptados reducirn la probabilidad de ocurrencia de la
situacin peligrosa (por ejemplo por aumento de frecuencia de las
comprobaciones).

- 37 -
CATEGORA 3
seguridad.
forma que un solo defecto en cualquiera de estas partes no conduzca a la
prdida de la funcin de seguridad. Siempre que sea razonablemente factible
se debe detectar este defecto en el momento de producirse o antes de la
siguiente solicitud de la funcin de seguridad.
El requisito de deteccin de un solo defecto no significa que se detecten todos
los defectos. La acumulacin de defectos no detectados puede entraar una
salida imprevista y una situacin peligrosa en la mquina
Ejemplos de medidas razonablemente factibles aplicables para la deteccin de
defectos pueden ser los contactos de gua forzada en un rel o el autocontrol
de salidas elctricas redundantes.
El comportamiento de un sistema en categora 3 permite que cuando se
produce un solo defecto la funcin de seguridad se desempee siempre. Por
tanto se detectan algunos defectos, pero no todos por lo que la acumulacin de
defectos no detectados puede conducir a la prdida de la funcin de seguridad.

- 38 -
La categora 3 exige, al menos, una cobertura de diagnstico baja para todas

las partes del sistema de mando relativas a seguridad (DCavg = baja). El MTTFd
puede ser alto, medio o bajo dependiendo del PLr. Son necesarias medidas
contra los fallos de causa comn (CCF relevante).
La lnea discontinua representa deteccin de defectos razonablemente factible.

La
tecnologa
adoptada
tendr
influencia
en
implementacin de sistemas de deteccin de defectos

- 39 -
las
posibilidades
de
CATEGORA 4
seguridad.
forma que un solo defecto en cualquiera de estas partes no conduzca a la
prdida de la funcin de seguridad. Adems, se debe detectar dicho defecto en
el momento de producirse o antes de la siguiente solicitud de la funcin de
seguridad. Si la deteccin no es posible, la acumulacin de defectos no debe
conducir a la prdida de la funcin de seguridad.
El comportamiento de un sistema en categora 4 permite que cuando se
produce un solo defecto, la funcin de seguridad se desempee siempre. Los
defectos se detectan a tiempo para prevenir la prdida de la funcin de
seguridad. Se tiene en cuenta la acumulacin de defectos no detectados (en la
prctica, la consideracin de una combinacin de dos defectos suele ser
suficiente).
La categora 4 exige una cobertura de diagnstico alta para todas las partes del
sistema de mando relativas a seguridad (DCavg = alta). Precisamente esta
mayor cobertura de diagnstico es una de las diferencias bsicas entre la
categora 3 y 4. El MTTFd debe ser alto, por lo que la inmunidad a fallos de los
componentes en categora 4 tambin es habitualmente mayor que en 3. Son
necesarias medidas contra los fallos de causa comn (CCF relevante).

- 40 -
La lnea continua en la supervisin representa una cobertura de diagnstico

mayor que la de la arquitectura designada correspondiente a la categora 3.

- 41 -
Como hemos visto anteriormente, las categoras y las arquitecturas designadas

no son los nicos parmetros que determinan el nivel de reduccin de riesgo
del sistema de mando. Existen otros aspectos cuantificables alrededor de las
categoras que calcularemos ahora:
MTTFd POR CANAL

El valor del MTTFd por canal se expresa en aos y representa el tiempo medio
hasta el fallo peligroso de cada canal de la arquitectura de las partes del
sistema de mando relativas a seguridad de la funcin de seguridad
considerada.

- 42 -
El valor est comprendido entre 3 y 100 aos para el canal completo.
MTTFd
Descripcin
Rango por canal
Bajo
3 aos MTTFd < 10 aos
Medio
Alto
No se consideran MTTFd menores de 3 aos, ya que esto significara que, tras

un ao, el 30% de los sistemas en el mercado deberan ser sustituidos.
El valor mximo por canal es de 100 aos para que la seguridad de las partes
del sistema de mando relativas a seguridad no dependa slo de la fiabilidad de
los componentes, sino adems de otros aspectos como la arquitectura.
Mtodo de la cuenta de partes

El valor del MTTFd se calcula para cada canal de individualmente porque, en
arquitecturas de doble canal, se supone que los valores de MTTFd para ambos
canales son iguales.
El MTTFd se puede calcular utilizando el denominado mtodo de la cuenta de
partes, indicado en el Anexo D de la EN ISO 13849-1. Para ello se utilizan
como base los MTTFd de los componentes por separado que forman las partes
del sistema de mando relativas a seguridad de ese canal

- 43 -
Este mtodo es una aproximacin que genera un error siempre del lado
seguro. La frmula general de clculo es:
m
m
nj
1
1
=
=
MTTFd i =1 MTTFdi j =1 MTTFdj
donde
-
MTTFd
es para el canal completo
MTTFdi MTTFdj
es para los componentes
nmero total de componentes
nj
nmero componentes con el mismo MTTFdj
Asimetra
El MTTFd por canal con asimetra se aplica si, en una arquitectura de de doble
canal, el MTTFd de ambos canales no es igual. En este caso, se puede tomar
el menor valor de ambos (worst case) o aplicar la frmula de simetrizacin:
2
1
MTTFd = MTTFdC1 + MTTFdC 2

1
1
3
MTTFdC1 MTTFdC 2
donde
-
MTTFd
valor equivalente un sistema con canales simtricos
MTTFdC1
es el valor para el canal 1
MTTFdC2
es el valor para el canal 2

- 44 -
Estimacin MTTFd de componentes

Para el clculo del MTTFd de cada canal se deben tener los MTTFd de los
componentes que lo forman. Para la estimacin del MTTFd de los componentes
aplicar en este orden:
los datos de los fabricantes de los componentes
los mtodos y datos generales de componentes hidrulicos, neumticos,

electromecnicos y electrnicos de los Anexos C y D de la EN ISO
13849-1
seleccionar MTTFd = 10 aos

COBERTURA DEL DIAGNSTICO (DC)
Para el valor de la cobertura de diagnstico se establecen cuatro niveles segn

la siguiente tabla:
DC
Descripcin
Rango
Ninguna
DC < 60%
Baja
60% DC < 90%
Media
90% DC < 99%
Alta
99% DC
Segn se desprende de la tabla, hay tres valores clave en distribucin

logartmica: el 60 %, el 90 % y el 99 %.

- 45 -
Se demuestra empricamente que un diagnstico que cubra menos del 60 %

del sistema no tiene prcticamente influencia en la fiabilidad del mismo. De la
misma forma, una cobertura mayor del 99 % es muy difcil de conseguir en
sistemas complejos.
Para la estimacin de la cobertura del diagnstico hay mtodos como el FMEA
failure mode and effects analysis detallado en IEC 60812. Sin embargo, para
una estimacin simplificada son suficientes las tablas dadas en el Anexo E de
la EN ISO 13849-1
Estas tablas se refieren a los dispositivos de entrada, dispositivos lgicos y
dispositivos de salida tal y como se describen en las arquitecturas designadas
Medida
Dispositivo de Entrada
Estmulos cclicos de chequeo en cambios dinmicos en las
seales de entrada
Chequeo de plausibilidad, por ej. usar contactos NA y NC
guiados mecnicamente
Supervisin cruzada de entradas sin chequeo dinmico
Supervisin cruzada de seales de entrada con chequeo
dinmico si los cortocircuitos no son detectables (para mltiples
E/S)
Supervisin cruzada de seales de entrada y resultados
intermedios en la lgica (L) y supervisin lgica y temporal del
software durante el flujo del programa y deteccin de fallos
estticos y cortocircuitos (para mltiples (E/S)
Supervisin indirecta (por ej. supervisin por detectores de
presin, supervisin elctrica de posicin de actuadores)
Supervisin directa (por ej. supervisin elctrica de posicin de
vlvulas de control, supervisin de dispositivos electromecnicos
por elementos con contactos guiados mecnicamente)
Deteccin de defectos por el proceso
Supervisin de algunas caractersticas del sensor (tiempo de
respuesta, rango de las seales analgicas, por ej. por resitencia
elctrica, capacidad)
Cobertura de Diagnstico (DC)
90%
99%
0% al 99%, dependiendo de cada
cunto la aplicacin realiza un cambio
de seal
90%
99%
90% al 99%, dependiendo de la
aplicacin
99%
0% al 99 %, dependiendo de la
aplicacin; nicamente esta medida
por s misma no es suficiente para
alcanzar un PLr = e
60%

- 46 -
Medida

Dispositivo Lgico

90% al 99% dependiendo de la

aplicacin

99%
Supervisin simple temporal de los tiempos de ejecucin de la
lgica (por ej. con temporizadores como watchdog - perro guardian
60%
- dnde los puntos de disparo estn dentro del programa)
Supervisin lgica y temporal de la parte lgica mediante
watchdog (perro guardian), donde el equipo de pruebas realiza
90%
chequeos de plausibilidad sobre el comportamiento de la lgica
Autochequeos al arranque para detectar defectos latentes en
90% (dependiendo de la tcnica
partes de la lgica (por ej. memorias de datos y programas, puertos
de chequeo)
de E/S, interfaces)
Chequeo de la capacidad de reaccin del dispositivo de
supervisin (por ej. watchdog o perro guardian) en el canal principal
al arranque o cuando se demanda la funcin de seguridad o
90%
cuando lo demanda una seal externa a travs del sistema de
entrada
Principio dinmico (todos los componentes de la lgica cambian
su estado ON-OFF cuando se demanda la funcin de seguridad),
por ej. circuito de enclavamiento implementado con rels
Memoria fija: cdigo de control, firma, CRC de una palabra (8
bits)
Memoria fija: cdigo de control, firma, CRC de doble palabra (16
bits)
Memoria variable: chequeo de RAM mediante el uso de datos
redundantes, por ej. flags, marcadores, constantes, temporizadores
y comparacin cruzada de estos datos
Memoria variable: chequeo de legibilidad y capacidad de
escritura en clulas de memoria usadas
Memoria variable: supervisin RAM con cdigo Hamming
modificado o autochequeo de RAM (por ej. "galpat" o "Abraham")
Unidad de proceso: autochequeo por software
Unidad de proceso: procesamiento codificado
99%
90%
99%
60%
60%
99%
60% al 90%
90% al 99%
alcanzar un PLr = e

- 47 -
Medida

Dispositivo de Salida
Supervisin de salidas por un canal sin chequeo dinmico

Supervisin cruzada de salidas sin chequeo dinmico
Supervisin cruzada de seales de salida con chequeo
dinmico si los cortocircuitos no son detectables (para mltiples
E/S)
Supervisin cruzada de seales de salida y resultados
intermedios en la lgica (L) y supervisin lgica y temporal del
software durante el flujo del programa y deteccin de fallos
estticos y cortocircuitos (para mltiples (E/S)
Va de desconexin redundante sin supervisin del actuador
Va de desconexin redundante con supervisin de uno de los
actuadores realizada por la lgica o por el equipo de chequeo
Va de desconexin redundante con supervisin de los
actuadores realizada por la lgica y por el equipo de chequeo

de seal
de seal
90%
99%
0%
90%
99%
90% al 99% dependiendo de la
aplicacin
alcanzar un PLr = e
99%
Para estimaciones adicionales de la cobertura del diagnstico, consultar las

tablas A.1 a A.15 de la EN 61508-2:2001
Estimacin de la DCavg
Las distintas medidas para deteccin de fallo pueden aplicarse a distintas
partes de las SRP/CS. Cada medida aplicada puede tener asociada distinta
cobertura del diagnstico. Para la determinacin del PL, sin embargo, es
necesaria una cobertura del diagnstico para todas las partes del sistema de
mando relativas a seguridad que implementan la funcin de seguridad
estudiada. Esta ser la cobertura de diagnstico media (DCavg).

- 48 -
El DCavg se determina con la siguiente frmula
DCavg
DC1
DC2
DCn
+
+ ... +
MTTFd 1 MTTFd 2
MTTFdn
=
1
1
1
+
+ ... +
MTTFd 1 MTTFd 2
MTTFdn
Los componentes sin deteccin de defecto (aquellos que no son chequeados,

es decir, DC = 0) slo contribuyen al denominador de la frmula anterior.
ESTIMACIN DE LOS FALLOS DE CAUSA COMN
Para la estimacin de los fallos de causa comn se establece un mtodo
simplificado basado en un sistema de puntuacin. En la tabla F1 del Anexo F
se recogen una serie de medidas para reducir los fallos de causa comn, cada
una de ellas con una puntacin.
Se suman las puntuaciones de las medidas que se han adoptado en todas las
partes del sistema de mando relativas a seguridad en estudio. Las medidas se
deben adoptar totalmente; la adopcin parcial de determinadas medidas no
sumar puntos.

- 49 -
El nmero mximo de puntos a sumar es de 100 puntos. Cuando los fallos de

causa comn sean relevantes, para conseguir cumplir los requisitos de evitar
los mismos se deben sumar ms de 65 puntos
Nr.
1
Medida contra CCF
Puntuacin
Separacin / Segregacin
Separacin fsica entre vas de seal:
15
separacin de cableado / tuberas,

espacios de separacin suficientes y distancias de fuga en pistas de circuitos impresos.
2
Diversidad
Uso de diferentes tecnologas, diferente diseo o principios fsicos distintos, por ejemplo:
20
primer canal con electrnica programable y segundo canal cableado,

algn tipo de inicializacin,
presin y temperatura.
Medida de distancia y presin,
digital y analgica.
Componentes de diferentes fabricantes.
3
Diseo / Aplicacin / Experiencia
3.1
Proteccin contra sobretensin, sobrepresin, sobrecorriente, etc.
15
3.2
Uso de componentes de eficacia probada
Evaluacin / Anlisis
Se han tenido en cuenta los resultados de un anlisis del modo de fallo y efectos para evitar
los CCF durante el diseo?
Competencia / Formacin
Tienen formacin los diseadores y el personal de mantenimiento para entender las causas
y consecuencias de los CCF?
6
6.1
Ambiental
Prevencin de contaminacin y compatibilidad electromagntica (EMC) contra CCF de
acuerdo con las normas adecuadas
Sistemas hidrodinmicos: filtracin del medio de presin, prevencin de suciedad y
contaminacin del fluido, drenaje del aire comprimido, por ej. cumplimiento de las
recomendaciones del fabricante de los componentes en lo relativo a la pureza del medio de
presin.
25
Sistemas elctricos: se ha chequeado el sistema contra inmunidad electromagntica, por

ejemplo segn lo especificado en las normas relevantes contra los CCF?
Para sistemas combinados elctricos e hidrodinmicos, se deben considerar ambos
aspectos.
6.2
Otras influencias
10
Se han considerado los requisitos de inmunidad de todas las influencias ambientales

relevantes como temperatura, choque, vibracin, humedad (por ej. segn lo especificado en
las normas relevantes)?
TOTAL
mx. 100

- 50 -
REQUISITOS DE SEGURIDAD DEL SOFTWARE

El principal objetivo de establecer requisitos de seguridad para el software es el
obtener un software para las partes del sistema de mando relativas a seguridad
que sea legible, comprensible, chequeable y mantenible, es decir, evitar la
introduccin de fallos en todos los ciclos de creacin del mismo.
Para describir todas las fases del ciclo de vida de la creacin del software de
seguridad existe un modelo denominado Modelo V:

- 51 -
Definiciones
LVL - Limited Variability Language
Tipo de lenguaje provee la capacidad de combinar funciones de

librera predefinidas especficamente para una aplicacin con el
objeto de implementar las especificaciones de los requisitos de
seguridad (ej. ladder, FBL, tpicos de PLC, )
FVL - Full Variability Language
Tipo de lenguaje provee la capacidad de implementar un amplio

rango de funciones y aplicaciones (ej. C, C++, Ensamblador, etc.)
SRESW - Safety-related embedded software
Software que es parte del sistema suministrado por el fabricante

del control y que no es accesible para ser modificado por el
fabricante
de
la
mquina
(este
software
est
escrito
habitualmente en FVL)
SRASW - Safety-related application software
Software especfico de la aplicacin, implementado por el

fabricante de la mquina y, en general, conteniendo secuencias
lgicas, lmites y expresiones que controlan las E/S adecuadas y
realizan los clculos y toman las decisiones necesarias para
cumplir los requisitos de partes del sistema de mando relativas a
seguridad

- 52 -
Requisitos SRESW
Requisitos PLr = a d
Aplicar las especificaciones del Modelo V anterior
Documentar las especificaciones de diseo
Programacin modular y estructurada
Control de fallos sistemticos: control secuencia de comandos,

watchdog, etc.
Si existen medidas de software para el chequeo de fallos de hardware,

verificar de su correcta implementacin
Realizar chequeos funcionales (Black-Box Test)
Documentar las modificaciones
Requisitos adicionales PLr = c / d
Gestin del proyecto y gestin de calidad segn normativa relevante (por

ej. IEC 61508, ISO 9001, )
Separacin del software no relativo a seguridad
Limitar el tamao de los mdulos de programa
Usar de lenguajes de programacin adecuados y herramientas probadas
Realizar chequeos funcionales ampliados (Grey-Box Test)
Requisitos adicionales PLr = e
Aplicar los requisitos incluidos en el apartado 7 de la IEC 61508-3:2001

- 53 -
Requisitos SRASW
Requisitos PLr = a e
Si el software est escrito en FVL, se pueden aplicar los requisitos del SRESW.
En general:
Aplicar las especificaciones del Modelo V
Documentar las especificaciones de diseo
Programacin modular y estructurada
Chequeos funcionales amplios (Black-Box, Grey-Box Test)
Documentar las modificaciones
Requisitos adicionales PLr = c / d / e

En PLr altos hay requisitos especficos:
a) Requisitos en la especificacin del software
b) Requisitos en la seleccin de herramientas, libreras y lenguajes
c) Requisitos especficos para el diseo del software
d) Combinacin SRASW y no-SRASW
e) Requisitos para la codificacin
f) Requisitos en la fase de chequeo
g) Requisitos para la documentacin
h) Requisitos para la verificacin
i) Gestin
j) Modificaciones

- 54 -
Consultar el apartado 4.6.3 de la EN ISO 13849-1:2006 para el detalle de todos

los requisitos. Como resumen, a continuacin se muestran algunos de los ms
destacados:
Se recomienda el uso de libreras de funciones (FB) validadas o

suministradas por el proveedor de la herramienta
Utilizar modelos de arquitectura de tres estados para la elaboracin de

los diferentes mdulos
Asignar las salidas de seguridad slo en un punto del programa
Establecer una codificacin separada de SRASW y no SRASW
Chequeos de integridad de datos y de plausibilidad
Black-Box Test
Documentar todo el ciclo (Modelo V) y las modificaciones
El proceso de verificacin slo es imprescindible para el cdigo de

aplicacin especfica, no para las libreras de funcin validadas
Establecer procedimientos de gestin de la documentacin asociada a

las versiones

- 55 -
Parametrizacin del Software de SRP/CS

La parametrizacin de parmetros de seguridad utilizando software especfico
puede representar un aspecto importante de las partes del sistema de mando
relativas a seguridad
A continuacin se detallan algunos requisitos importantes relativos a estos
aspectos:
La parametrizacin se debe llevar a cabo utilizando una herramienta de

software dedicada; suministrada por el fabricante de las partes del
sistema de mando relativas a seguridad; con identificacin propia
(nombre, versin, ); protegida contra modificaciones no autorizadas
(ej. contrasea)
Control de la integridad de datos
rango de valores de entrada de parmetros
corrupcin de datos en la transmisin
control del efecto de los errores de transmisin
control del efecto de transmisiones incompletas
control del efecto de errores o fallos en el hardware o software de

la herramienta de parametrizacin
En relacin con la transmisin de datos se recomienda la retransmisin

de datos modificados como comprobacin o cualquier otros medio para
comprobar la integridad de los datos transmitidos

- 56 -
Las siguientes supervisiones deberan realizarse por la herramienta de

software de parametrizacin
verificacin de los settings correctos de los parmetros (mximos,

mnimos, etc.)
verificacin de plausibilidad (ej. valores invlidos)
verificacin de modificaciones no autorizadas
verificacin de que los datos son generados y procesados de

forma que los fallos no puedan provocar una prdida de la funcin
de seguridad
Todos
estos
requisitos
son
especialmente
importantes
cuando
la
parametrizacin se realiza con un dispositivo que no ha sido diseado

especficamente para este fin, por ejemplo, un ordenador personal
COMBINACIN DE SRP/CS PL GLOBAL

Una funcin de seguridad se puede realizar como una combinacin de varias
partes del sistema de mando relativas a seguridad segn se representa en el
diagrama siguiente:

- 57 -
Cada una de las partes del sistema de mando relativas a seguridad puede
tener asociada una categora y se puede calcular un PL (PL1, PL2, , PLn en el
diagrama anterior).
Para la determinacin del PL global teniendo el PL de cada parte se puede
aplicar el siguiente mtodo:
Identificar el PLi ms bajo de todas las SRP/CSi PLbajo
Identificar el nmero de PLi que tienen este PLbajo Nbajo
Aplicar la tabla adjunta

PLbajo
a
Nbajo
PL
>3
Ninguno, no permitido
>2
>2
>3
>3

- 58 -
MTODO SIMPLIFICADO DE ESTIMACIN DEL PL

Este mtodo se basa en el uso de las arquitecturas designadas. Otras
arquitecturas se pueden transformar en estas para estimar ms fcilmente el
PL.
Para estas arquitecturas designadas se hacen las siguientes suposiciones:
Tiempo de vida = 20 aos
Tasa de fallos constante durante el tiempo de vida
Para categora 2
La tasa chequeo de la funcin de seguridad debe ser, al menos,

100 veces mayor que la tasa de demanda de la misma.
El MTTFd de la parte de chequeo debe ser, al menos, superior a

la mitad del MTTFd de la lgica. Si no se pueden separar los
bloques lgicos, podemos considerar (TE, OTE) por un lado y (I,
O, L) por otro.
Para la estimacin del PL, la figura de la pgina siguiente da diferentes

combinaciones posibles de categora y cobertura de diagnstico (en el eje
horizontal), as como MTTDd en las barras verticales. El MTTFd se divide en
alto, medio o bajo para alcanzar el PLr. Antes de entrar en el diagrama, por
tanto hay que calcular el DCavg y MTTFd por canal, as como la categora de las
partes del sistema de mando relativas a seguridad.

- 59 -
La figura representa los resultados de diferentes modelos de Markov basados

en las arquitecturas designadas.
Para las categoras 3 y 4, adems, se deben tener en cuenta medidas

suficientes contra los fallos de causa comn (CCF).

- 60 -
Los valores numricos que dan lugar al mtodo grfico anterior se detallan en
forma de tabla en el Anexo K. Se puede recurrir a esta tabla si se necesitan
valores ms precisos de probabilidad de fallo peligroso por hora (PFHd).

- 61 -
Estos resultados han sido editados en forma de disco en el llamado PL

Calculator (PLC) que suministra el BGIA alemn (Berufgenossenschaftliches
Institut fr Arbeitsschutz), equivalente al INSHT nacional.
Se puede solicitar gratuitamente en la pgina web de esta institucin

(http://www.hvbg.de/bgia - WebCode = 1674855).

- 62 -
10. VERIFICACIN PL PLr (REQUERIDO)

Se debe verificar que el PL calculado es mayor o igual que el requerido
obtenido segn el rbol de seleccin visto en el paso 2. Si esto no es as, se
debe repetir el proceso iterativo.

- 63 -
11. VALIDACIN
Las partes del sistema de mando relativas a seguridad se deben validar para
demostrar que todas las SF cumplen los requisitos indicados en la ISO 13849-1
Para la validacin, sirve de ayuda la
norma EN ISO 13849-2
El
proceso
de
validacin
debe
comprobar la conformidad de las partes

del sistema de mando relativas a
seguridad con la norma EN ISO 138491
con
las
especificaciones
de
seguridad de la mquina realizadas

durante el diseo
La validacin debera comenzar en
paralelo con el proceso de diseo y
efectuarse por personas independientes
del diseo.
Se realiza por anlisis (captulo 4 de la EN ISO 13849-2) y ensayo (captulo 5
de la EN ISO 13849-2) o por cualquier combinacin de ambas.

- 64 -
PLAN DE VALIDACIN
En el plan de validacin se debera establecer:
a) la documentacin de especificacin
b) las condiciones de funcionamiento y condiciones ambientales
c) los principios fundamentales de seguridad
d) los principios de seguridad de eficacia probada
e) los componentes de eficacia probada
f) los defectos y exclusin de defectos
g) los anlisis y ensayos a aplicar
Para los puntos c), d), e) y f) anteriores, la norma EN ISO 13849-2 suministra
tablas detalladas en su Anexo A.

- 65 -
VALIDACIN POR ANLISIS

Existen tcnicas de anlisis descendentes o tcnicas deductivas y tcnicas de
anlisis ascendentes o tcnicas inductivas. En el Anexo B de la norma EN
1050:1996 hay ms informacin sobre diferentes mtodos de anlisis.
Ejemplos de tcnicas de anlisis deductivas son el Anlisis por el rbol de
fallos (AAF) - ver Norma IEC 61025 o el Anlisis por el rbol de sucesos
(AAS).
Ejemplos de tcnicas de anlisis inductivas son el Anlisis de modos de fallo y
sus efectos (AMFE) ver Norma IEC 60812 o el Anlisis de modos de fallo y
la criticidad de sus efectos (AMFEC).
VALIDACIN POR ENSAYOS

Necesaria solo cuando la validacin por anlisis no es suficiente.
Se debe elaborar un plan de ensayos, realizar informes de los ensayos
llevados a cabo y finalmente cotejar los resultados con el plan de ensayos
inicial.
Para los ensayos, tener en cuenta los requisitos de la norma EN ISO 13849-2.
Las mediciones, por ejemplo deberan encontrarse dentro del rango del 5%
(temperatura 5K), tanto para tiempo, presin, fuerza, humedad relativa,
medidas elctricas, etc.

- 66 -
Gracias por su atencin.

- 67 -

InfoPLC Net Seguridad Maquina SEiS Maquinaria

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

InfoPLC Net Seguridad Maquina SEiS Maquinaria

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD EN MAQUINARIA

AUTOMATISME I CONTROL ELECTRIC S.A.

C/SAMONT, N 22 - POL. IND. FONTSANTA - 08970 SANT JOAN DESP - ( BARCELONA )

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

Para conocer la normativa bsica de los sistemas de mando de seguridad se

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

INTRODUCCIN EN ISO 13849

(International Organization for Standarization).

La EN ISO 13849 es armonizada respecto a la Directiva 98/37/CE de

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

La norma se compone de tres partes:

EN ISO 13849-1:2006 Seguridad de las mquinas. Partes del sistema de

Tecnologa implementada en el/las

No elctrica (por ej. hidrulica)

Electromecnica (por ej. rels) y/o

Limitado a las arquitecturas

Todas las arquitecturas

Electrnica compleja (por ej. programable)

Limitado a las arquitecturas

Todas las arquitecturas

Limitado a las arquitecturas

Limitado a las arquitecturas

Todas las arquitecturas

C combinada con A, o bien C combinada

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

EN ISO 13849-2:2004 Seguridad de las mquinas. Partes del sistema de

ISO/TR 13849-100 Seguridad de las mquinas. Partes del sistema de

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

SRP/CS = Safety Related Parts of a Control Systems

Parte del sistema de mando que responde a seales de entrada

Es la parte que se encarga de las funciones de seguridad, desde

Definicin 3.1.1 segn ISO 13849-1

En castellano se denominan Partes del Sistema de Mando

Traducido como Nivel de Prestaciones, o bien Nivel de Fiabilidad

Valor discreto usado para especificar la capacidad de las partes

Definicin 3.1.23 segn ISO 13849-1

PLr = Required Performance Level

PL aplicado para conseguir la reduccin de riesgo requerida para

Definicin 3.1.24 segn ISO 13849-1

MTTF = Mean Time To Failure

Tiempo medio hasta fallo

Normalmente expresado como periodo medio de tiempo esperado

Definicin 3.2.24 segn IEC 62061

SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.

MTTFd = Mean Time To dangerous Failure

Tiempo medio hasta fallo peligroso

Definicin 3.1.25 segn ISO 13849-1

MTBF = Mean Time Between Failure