Documentos de Académico
Documentos de Profesional
Documentos de Cultura
InfoPLC Net Seguridad Maquina SEiS Maquinaria
InfoPLC Net Seguridad Maquina SEiS Maquinaria
EN ISO 13849-1
B. GUTIRREZ
SEIS MAQUINARIA
1. NDICE
1.
2.
NDICE ....................................................................................................... 3
INTRODUCCIN ....................................................................................... 5
Objetivos .................................................................................................... 5
Introduccin EN ISO 13849 ....................................................................... 7
Antecedentes EN 954-1 ........................................................................... 10
3. DEFINICIONES ....................................................................................... 11
4. ANLISIS Y EVALUACIN DE RIESGOS .............................................. 14
5. DISEO DE LAS SRP/CS ....................................................................... 16
6. IDENTIFICACIN DE LAS FUNCIONES DE SEGURIDAD .................... 18
7. DETERMINACIN DEL PLr (REQUERIDO) ........................................... 21
S - Gravedad de la Lesin ....................................................................... 24
F - Frecuencia o tiempo de exposicin al peligro ..................................... 25
P - Posibilidad de evitar o limitar el peligro .............................................. 26
8. DISEO DE LAS PARTES DEL SISTEMA MANDO SEGURIDAD ......... 27
9. DETERMINACIN DEL PL ..................................................................... 29
Categoras y arquitecturas designadas.................................................... 30
Categora b .............................................................................................. 32
Categora 1 .............................................................................................. 33
Categora 2 .............................................................................................. 35
Categora 3 .............................................................................................. 38
Categora 4 .............................................................................................. 40
MTTFd por canal ...................................................................................... 42
Cobertura del diagnstico (DC)................................................................ 45
Estimacin de los fallos de causa comn ................................................ 49
Requisitos de seguridad del software ...................................................... 51
Combinacin de SRP/CS PL global ...................................................... 57
Mtodo simplificado de estimacin del pl ................................................. 59
10. VERIFICACIN PL PLr (REQUERIDO) ............................................... 63
11. VALIDACIN ........................................................................................... 64
Plan de validacin .................................................................................... 65
Validacin por anlisis ............................................................................. 66
Validacin por ensayos ............................................................................ 66
2. INTRODUCCIN
OBJETIVOS
La oferta formativa de SEIS MAQUINARIA, desarrollada con la experiencia
adquirida en proyectos de adecuacin y Marcado CE de mquinas, abarca
diferentes cursos sobre los aspectos legales y normativos que tienen que ver
con la seguridad en los equipos de trabajo en general y, ms concretamente,
en aquellos encuadrados como mquinas segn la Directiva 98/37/CE.
El presente curso se centra en el sistema de mando de la mquina. En una
mquina, el sistema de mando es el automatismo mecnico, elctrico,
electrnico, neumtico, hidrulico o de cualquier otra tecnologa que se
encarga del control de los procesos y movimientos.
En este curso se revisar y resumir la normativa referida a la seguridad en los
sistemas de mando, oficialmente denominadas, las partes del sistema de
mando de la mquina relativas a las funciones de seguridad (SRP/CS). El
estudio de esta parte de la mquina se har tanto desde el punto de vista del
diseo de la misma, como de la validacin y comprobacin de su funcionalidad.
Un ejemplo de una funcin de seguridad tpica presente en casi todas las
mquinas es la funcin de parada de emergencia.
en
colaboracin
con
el
organismo
internacional
ISO
ISO 13849-1
IEC 62061
No cubierta
A combinada con B
C combinada con B
indica que este punto es tratado en el estndar internacional mostrado en la columna de cabecera
Las arquitecturas designadas estn definidas en 6.2 para dar una aproximacin simplificada en la cuantificacin del nivel de fiabilidad (PL)
Para electrnica compleja: usar las arquitecturas designadas de acuerdo con esta ISO 13849-1 hasta PL = d o cualquier arquitectura de acuerdo con la IEC 62061
Para tecnologa no electrnica, usar partes de acuerdo con esta ISO 13849-1 como subsistemas
ANTECEDENTES EN 954-1
Una de las normas que ms ha influenciado los cambios de mentalidad en el
diseo de las mquinas ha sido, quizs la EN 954-1. Durante estos aos de
vigencia esta norma, sin embargo, ha recibido algunas crticas que han
motivado su necesidad de revisin.
Unos de los aspectos ms importantes a mejorar se centra en la necesidad de
establecer requisitos especiales para sistemas de mando complejos o sistemas
programables (PES) que ejecuten funciones de seguridad. Estos requisitos ya
aparecen recogidos en detalle, tanto para hardware como para software en las
IEC EN 61508 y ms centrados en el sector de la maquinaria en la IEC EN
62062. Era necesario integrarlos junto con otras tecnologas del sistema de
mando en una nueva revisin de la norma EN 954-1.
Otro aspecto mejorable es que la EN 954-1 tampoco establece una relacin
clara entre la reduccin de riesgo y las diferentes categoras. Efectivamente, la
actual norma no tiene en cuenta la complejidad del sistema de mando a la hora
de su diseo, ya que slo trata aspectos de estructura de o seleccin de
componentes que componen el sistema de mando. No tratan aspectos
cuantitativos que influyen en la fiabilidad de los componentes, como los valores
del tiempo medio hasta fallo peligroso o la cobertura del diagnstico. Tampoco
se gestionan los fallos por causa comn que pueden tener influencia importante
en las estructuras de bicanal.
3. DEFINICIONES
PL = Performance Level
-
DC = Diagnostic Coverage
-
DD
Dtotal
Definiciones de fallos de causa comn en 3.1.6 segn ISO 138491, 3.6.10 segn EN 61508-4 y 3.33 segn EN 12100-1
Estos tres tipos de medidas deben aplicarse en este orden, debiendo agotarse
las posibilidades de cada tipo antes de pasar a aplicar una del tipo siguiente.
El proceso iterativo se puede resumir en seis pasos fundamentales que son los
que se explican en detalle en la EN ISO 13849-1 y con los que ocuparemos el
resto de este curso.
Aspectos no cuantificables
5. Verificacin PL PLr
6. Validacin
Requisitos
Caracterstica o
funcin de seguridad
Funcin de parada segura iniciada por un
resguardo a
Funcin de rearme manual
Funcin de puesta en marcha y puesta en marcha
tras parada
Esta ISO
13849-1
ISO 121001:2003
ISO 121002:2003
5.2.1
3.26.8
4.11.3
5.2.2
5.2.3
5.2.4
Funcin de Muting
Funcin de mando sensitivo
5.2.5
4.11.3,
4.11.4
4.11.8,
4.11.10
4.11.8 b)
4.11.4
5.5.3
5.5.4
4.6.4
5.5.2
4.11.8,
4.11.10
4.11.1
(ltimo
prrafo)
Incluidos resguardos con enclavamiento y dispositivos limitadores (por ej. sobrevelocidad, sobretemperatura, sobrepresin).
Funcin / parmetro
relativo a seguridad
Tiempo de respuesta
Parmetro relativo a seguridad como velocidad, temperatura
o presin
Fluctuacin, perdida y restablecimiento de la tensin de
alimentacin
Indicaciones y alarmas
Requisitos
Esta ISO
13849-1
5.2.6
ISO 121002:2003
-
5.2.7
4.11.8 e)
5.2.8
4.11.8 e)
4.8
El tiempo de respuesta
Mientras que para la severidad del dao la EN ISO 13849-1 fija un solo
parmetro (S), la probabilidad se valora con dos (F y P). En total:
a) Severidad del dao
S Gravedad de la lesin
b) Probabilidad de ocurrencia
F Frecuencia / tiempo exposicin peligro
P Posibilidad de evitar o limitar el peligro
A continuacin veremos en detalle criterios para seleccionar ms facilmente los
parmetros adecuados en este rbol de decisiones.
S - GRAVEDAD DE LA LESIN
debe
seleccionar
F2
siempre
que
una
persona
est
sometida
P2 Raramente posible
La situacin peligrosa provocar casi seguro un accidente en caso de
desencadenarse
9. DETERMINACIN DEL PL
Para cada parte del sistema de mando relativa a seguridad o cada combinacin
de estas partes que formen una funcin de seguridad, se debe hacer una
estimacin del PL.
El PL depende de varios aspectos, algunos de ellos cuantificables y otros no.
Son aspectos cuantificables que influyen en las partes del sistema de mando
relativas a seguridad:
Las medidas contra los fallos de causa comn (CCF). Estas nos dan una
idea de la inmunidad del sistema a fallos que afectan a ms de un canal.
Categoras B y 1
La categora B es la categora bsica. En ella, la aparicin de un fallo puede
conducir a la prdida de la funcin de seguridad. La categora 1 presenta una
mayor resistencia a fallos en las partes del sistema de mando relativas a
seguridad bsicamente por la seleccin y aplicacin de componentes
adecuados.
Categoras 2, 3 y 4
La mejora en la resistencia a defectos de la funcin de seguridad en estas
categoras se implementa, bsicamente mejorando la estructura de las partes
del sistema de mando relativas a seguridad.
En la categora 2 esto se realiza mediante un sistema automtico de chequeo
peridico de la funcin de seguridad. En las categoras 3 y 4, un fallo simple no
provoca la prdida de la funcin de seguridad. La categora 3 debe detectar
este primer fallo simple, si es razonablemente factible. En la categora 4 se
debe especificar una resistencia del sistema a la acumulacin de fallos.
Arquitecturas Designadas
El detalle de los requisitos de cada categora se acompaa de las llamadas
arquitecturas designadas. Estas no representan diagramas de circuitos, sino
slo esquemas lgicos de estructura.
Las partes del sistema de mando relativas a seguridad se pueden apartar de
las arquitecturas designadas y, an as, cumplir con la categora necesaria. Si
no se usan las arquitecturas designadas, sin embargo, se debera justificar la
categora con otros mtodos analticos (por ejemplo el modelo de Markov o el
anlisis por rbol de fallos)
CATEGORA B
Las partes del sistema de mando relativas a seguridad deben ser, como
mnimo, diseadas, construidas, seleccionadas, montadas y combinadas de
acuerdo con las normas pertinentes y usando los principios de seguridad
bsicos para la aplicacin considerada, de manera que puedan resistir las
solicitaciones de funcionamiento previstas, la influencia de los materiales
procesados y otras influencias externas relevantes.
Consultar las normas especficas de producto para requisitos de, por ejemplo,
compatibilidad electromagntica (IEC 61800-3 Sistemas de control de potencia)
o inmunidad (IEC 61000-6-2 EMC: Inmunidad en ambientes industriales).
La categora B no exige cobertura de diagnstico (DCavg = 0), es necesario un
MTTFd medio o bajo para cada canal y no precisa medidas especiales para los
fallos de causa comn (CCF no relevante) ya que normalmente se trata de
estructuras monocanal. El mximo PL alcanzable en esta categora es PL = b.
CATEGORA 1
Se deben aplicar los requisitos de la categora B, adems de los indicados
aqu. Las partes del sistema de mando relativas a seguridad se deben disear
y construir utilizando componentes y principios* de eficacia probada en
seguridad
Son componentes de eficacia probada en seguridad aquellos que
-
los
componentes
electrnicos
complejos
como
PLCs,
CATEGORA 2
Se deben aplicar los requisitos de la categora B, adems de los indicados
aqu. Las partes del sistema de mando relativas a seguridad se deben disear
y construir utilizando componentes y principios de eficacia probada en
seguridad.
Las partes del sistema de mando relativas a seguridad se deben disear de
forma que las funciones de seguridad se comprueben a intervalos adecuados
por el sistema de mando.
Esta comprobacin se debe efectuar en el proceso de puesta en marcha de la
mquina, antes de que se inicie cualquier situacin peligrosa o peridicamente
durante la operacin si la evaluacin del riesgo y el tipo de funcionamiento
indican que esto es necesario. El inicio de esta comprobacin debe ser
automtico, a diferencia de lo indicado en la antecesora EN 954-1 dnde se
permita tambin el inicio manual del proceso de comprobacin cclica.
Tras la comprobacin de la funcin de seguridad, si no se detecta ningn
defecto se debe permitir el funcionamiento. Si se detecta un defecto se debe
generar una seal de salida que desencadene una accin de mando adecuada.
La seal de salida debera iniciar un estado seguro que se debe mantener
hasta que se elimine el defecto. Si esto no es posible, la seal de salida debe
proporcionar una advertencia del peligro. En cualquier caso, la comprobacin
no debe conducir por s misma a una situacin peligrosa
CATEGORA 3
Se deben aplicar los requisitos de la categora B, adems de los indicados
aqu. Las partes del sistema de mando relativas a seguridad se deben disear
y construir utilizando componentes y principios de eficacia probada en
seguridad.
Las partes del sistema de mando relativas a seguridad se deben disear de
forma que un solo defecto en cualquiera de estas partes no conduzca a la
prdida de la funcin de seguridad. Siempre que sea razonablemente factible
se debe detectar este defecto en el momento de producirse o antes de la
siguiente solicitud de la funcin de seguridad.
El requisito de deteccin de un solo defecto no significa que se detecten todos
los defectos. La acumulacin de defectos no detectados puede entraar una
salida imprevista y una situacin peligrosa en la mquina
Ejemplos de medidas razonablemente factibles aplicables para la deteccin de
defectos pueden ser los contactos de gua forzada en un rel o el autocontrol
de salidas elctricas redundantes.
El comportamiento de un sistema en categora 3 permite que cuando se
produce un solo defecto la funcin de seguridad se desempee siempre. Por
tanto se detectan algunos defectos, pero no todos por lo que la acumulacin de
defectos no detectados puede conducir a la prdida de la funcin de seguridad.
tecnologa
adoptada
tendr
influencia
en
las
posibilidades
de
CATEGORA 4
Se deben aplicar los requisitos de la categora B, adems de los indicados
aqu. Las partes del sistema de mando relativas a seguridad se deben disear
y construir utilizando componentes y principios de eficacia probada en
seguridad.
Las partes del sistema de mando relativas a seguridad se deben disear de
forma que un solo defecto en cualquiera de estas partes no conduzca a la
prdida de la funcin de seguridad. Adems, se debe detectar dicho defecto en
el momento de producirse o antes de la siguiente solicitud de la funcin de
seguridad. Si la deteccin no es posible, la acumulacin de defectos no debe
conducir a la prdida de la funcin de seguridad.
El comportamiento de un sistema en categora 4 permite que cuando se
produce un solo defecto, la funcin de seguridad se desempee siempre. Los
defectos se detectan a tiempo para prevenir la prdida de la funcin de
seguridad. Se tiene en cuenta la acumulacin de defectos no detectados (en la
prctica, la consideracin de una combinacin de dos defectos suele ser
suficiente).
La categora 4 exige una cobertura de diagnstico alta para todas las partes del
sistema de mando relativas a seguridad (DCavg = alta). Precisamente esta
mayor cobertura de diagnstico es una de las diferencias bsicas entre la
categora 3 y 4. El MTTFd debe ser alto, por lo que la inmunidad a fallos de los
componentes en categora 4 tambin es habitualmente mayor que en 3. Son
necesarias medidas contra los fallos de causa comn (CCF relevante).
MTTFd
Descripcin
Bajo
Medio
Alto
Este mtodo es una aproximacin que genera un error siempre del lado
seguro. La frmula general de clculo es:
m
m
nj
1
1
=
=
MTTFd i =1 MTTFdi j =1 MTTFdj
donde
-
MTTFd
MTTFdi MTTFdj
nj
Asimetra
El MTTFd por canal con asimetra se aplica si, en una arquitectura de de doble
canal, el MTTFd de ambos canales no es igual. En este caso, se puede tomar
el menor valor de ambos (worst case) o aplicar la frmula de simetrizacin:
2
1
MTTFdC1 MTTFdC 2
donde
-
MTTFd
MTTFdC1
MTTFdC2
DC
Descripcin
Rango
Ninguna
DC < 60%
Baja
Media
Alta
99% DC
Medida
Dispositivo de Entrada
Estmulos cclicos de chequeo en cambios dinmicos en las
seales de entrada
Chequeo de plausibilidad, por ej. usar contactos NA y NC
guiados mecnicamente
Supervisin cruzada de entradas sin chequeo dinmico
Supervisin cruzada de seales de entrada con chequeo
dinmico si los cortocircuitos no son detectables (para mltiples
E/S)
Supervisin cruzada de seales de entrada y resultados
intermedios en la lgica (L) y supervisin lgica y temporal del
software durante el flujo del programa y deteccin de fallos
estticos y cortocircuitos (para mltiples (E/S)
Supervisin indirecta (por ej. supervisin por detectores de
presin, supervisin elctrica de posicin de actuadores)
Supervisin directa (por ej. supervisin elctrica de posicin de
vlvulas de control, supervisin de dispositivos electromecnicos
por elementos con contactos guiados mecnicamente)
Deteccin de defectos por el proceso
Supervisin de algunas caractersticas del sensor (tiempo de
respuesta, rango de las seales analgicas, por ej. por resitencia
elctrica, capacidad)
90%
99%
0% al 99%, dependiendo de cada
cunto la aplicacin realiza un cambio
de seal
90%
99%
90% al 99%, dependiendo de la
aplicacin
99%
0% al 99 %, dependiendo de la
aplicacin; nicamente esta medida
por s misma no es suficiente para
alcanzar un PLr = e
60%
Medida
99%
90%
99%
60%
60%
99%
60% al 90%
90% al 99%
0% al 99 %, dependiendo de la
aplicacin; nicamente esta medida
por s misma no es suficiente para
alcanzar un PLr = e
Medida
99%
0%
90%
99%
90% al 99% dependiendo de la
aplicacin
0% al 99 %, dependiendo de la
aplicacin; nicamente esta medida
por s misma no es suficiente para
alcanzar un PLr = e
99%
Estimacin de la DCavg
Las distintas medidas para deteccin de fallo pueden aplicarse a distintas
partes de las SRP/CS. Cada medida aplicada puede tener asociada distinta
cobertura del diagnstico. Para la determinacin del PL, sin embargo, es
necesaria una cobertura del diagnstico para todas las partes del sistema de
mando relativas a seguridad que implementan la funcin de seguridad
estudiada. Esta ser la cobertura de diagnstico media (DCavg).
DCavg
DC1
DC2
DCn
+
+ ... +
MTTFd 1 MTTFd 2
MTTFdn
=
1
1
1
+
+ ... +
MTTFd 1 MTTFd 2
MTTFdn
Puntuacin
Separacin / Segregacin
Separacin fsica entre vas de seal:
15
Diversidad
Uso de diferentes tecnologas, diferente diseo o principios fsicos distintos, por ejemplo:
20
3.1
15
3.2
Evaluacin / Anlisis
Se han tenido en cuenta los resultados de un anlisis del modo de fallo y efectos para evitar
los CCF durante el diseo?
Competencia / Formacin
Tienen formacin los diseadores y el personal de mantenimiento para entender las causas
y consecuencias de los CCF?
6
6.1
Ambiental
Prevencin de contaminacin y compatibilidad electromagntica (EMC) contra CCF de
acuerdo con las normas adecuadas
Sistemas hidrodinmicos: filtracin del medio de presin, prevencin de suciedad y
contaminacin del fluido, drenaje del aire comprimido, por ej. cumplimiento de las
recomendaciones del fabricante de los componentes en lo relativo a la pureza del medio de
presin.
25
Otras influencias
10
mx. 100
Definiciones
de
la
mquina
(este
software
est
escrito
habitualmente en FVL)
Requisitos SRESW
Requisitos PLr = a d
Requisitos SRASW
Requisitos PLr = a e
Si el software est escrito en FVL, se pueden aplicar los requisitos del SRESW.
En general:
Black-Box Test
Todos
estos
requisitos
son
especialmente
importantes
cuando
la
Cada una de las partes del sistema de mando relativas a seguridad puede
tener asociada una categora y se puede calcular un PL (PL1, PL2, , PLn en el
diagrama anterior).
Para la determinacin del PL global teniendo el PL de cada parte se puede
aplicar el siguiente mtodo:
Nbajo
PL
>3
Ninguno, no permitido
>2
>2
>3
>3
Para categora 2
Los valores numricos que dan lugar al mtodo grfico anterior se detallan en
forma de tabla en el Anexo K. Se puede recurrir a esta tabla si se necesitan
valores ms precisos de probabilidad de fallo peligroso por hora (PFHd).
11. VALIDACIN
Las partes del sistema de mando relativas a seguridad se deben validar para
demostrar que todas las SF cumplen los requisitos indicados en la ISO 13849-1
Para la validacin, sirve de ayuda la
norma EN ISO 13849-2
El
proceso
de
validacin
debe
con
las
especificaciones
de
PLAN DE VALIDACIN
En el plan de validacin se debera establecer:
a) la documentacin de especificacin
b) las condiciones de funcionamiento y condiciones ambientales
c) los principios fundamentales de seguridad
d) los principios de seguridad de eficacia probada
e) los componentes de eficacia probada
f) los defectos y exclusin de defectos
g) los anlisis y ensayos a aplicar
Para los puntos c), d), e) y f) anteriores, la norma EN ISO 13849-2 suministra
tablas detalladas en su Anexo A.