infoPLC Net Seguridad Maquina SEiS Maquinaria PDF

SEGURIDAD EN MAQUINARIA
EN ISO 13849-1
B. GUTIRREZ
SEIS MAQUINARIA
AUTOMATISME I CONTROL ELECTRIC S.A.

C/SAMONT, N 22 - POL. IND. FONTSANTA - 08970 SANT JOAN DESP - ( BARCELONA )
TEL.: 93 477 62 62 - FAX: 93 477 62 39 - http:// www.acesa.es - E-mail: acesa@acesa.es
SEGURIDAD EN MAQUINARIA EN 13849-1

Seis Maquinara S.L.L.
-1-

-2-
1. NDICE
1. NDICE ....................................................................................................... 3
2. INTRODUCCIN ....................................................................................... 5
Objetivos .................................................................................................... 5
Introduccin EN ISO 13849 ....................................................................... 7
Antecedentes EN 954-1 ........................................................................... 10
3. DEFINICIONES ....................................................................................... 11
4. ANLISIS Y EVALUACIN DE RIESGOS .............................................. 14
5. DISEO DE LAS SRP/CS ....................................................................... 16
6. IDENTIFICACIN DE LAS FUNCIONES DE SEGURIDAD .................... 18
7. DETERMINACIN DEL PLr (REQUERIDO) ........................................... 21
S - Gravedad de la Lesin ....................................................................... 24
F - Frecuencia o tiempo de exposicin al peligro ..................................... 25
P - Posibilidad de evitar o limitar el peligro .............................................. 26
8. DISEO DE LAS PARTES DEL SISTEMA MANDO SEGURIDAD ......... 27
9. DETERMINACIN DEL PL ..................................................................... 29
Categoras y arquitecturas designadas.................................................... 30
Categora b .............................................................................................. 32
Categora 1 .............................................................................................. 33
Categora 2 .............................................................................................. 35
Categora 3 .............................................................................................. 38
Categora 4 .............................................................................................. 40
MTTFd por canal ...................................................................................... 42
Cobertura del diagnstico (DC)................................................................ 45
Estimacin de los fallos de causa comn ................................................ 49
Requisitos de seguridad del software ...................................................... 51
Combinacin de SRP/CS PL global ...................................................... 57
Mtodo simplificado de estimacin del pl ................................................. 59
10. VERIFICACIN PL PLr (REQUERIDO) ............................................... 63
11. VALIDACIN ........................................................................................... 64
Plan de validacin .................................................................................... 65
Validacin por anlisis ............................................................................. 66
Validacin por ensayos ............................................................................ 66

-3-

-4-
2. INTRODUCCIN
OBJETIVOS
La oferta formativa de SEIS MAQUINARIA, desarrollada con la experiencia

adquirida en proyectos de adecuacin y Marcado CE de mquinas, abarca
diferentes cursos sobre los aspectos legales y normativos que tienen que ver
con la seguridad en los equipos de trabajo en general y, ms concretamente,
en aquellos encuadrados como mquinas segn la Directiva 98/37/CE.
El presente curso se centra en el sistema de mando de la mquina. En una

mquina, el sistema de mando es el automatismo mecnico, elctrico,
electrnico, neumtico, hidrulico o de cualquier otra tecnologa que se
encarga del control de los procesos y movimientos.
En este curso se revisar y resumir la normativa referida a la seguridad en los

sistemas de mando, oficialmente denominadas, las partes del sistema de
mando de la mquina relativas a las funciones de seguridad (SRP/CS). El
estudio de esta parte de la mquina se har tanto desde el punto de vista del
diseo de la misma, como de la validacin y comprobacin de su funcionalidad.
Un ejemplo de una funcin de seguridad tpica presente en casi todas las

mquinas es la funcin de parada de emergencia.

-5-
Para conocer la normativa bsica de los sistemas de mando de seguridad se
estudiar el grupo de normas EN ISO 13849:
EN ISO 13849-1:2006 Que indica los requisitos de diseo de las partes

del sistema de mando relativas a seguridad.
EN ISO 13849-2:2004 Que establece los criterios, procedimientos y
requisitos para la validacin.

-6-
INTRODUCCIN EN ISO 13849
La norma EN ISO 13849 ha sido preparada por el CEN (Comit Europeo de

Normalizacin) en colaboracin con el organismo internacional ISO
(International Organization for Standarization).
En este caso, han colaborado respectivamente los comits CEN/TC 114 e

ISO/TC 199, ambos de Seguridad de las mquinas.
La norma EN ISO 13849 est clasificada como de tipo B1 segn la clasificacin

definida en la EN 12100-1:2004:
La EN ISO 13849 es armonizada respecto a la Directiva 98/37/CE de

Mquinas, otorgando presuncin de conformidad con los requisitos esenciales
de seguridad y salud indicados en los apartados 1.2.1 y 1.2.7 del Anexo I de
esta Directiva.

-7-
La norma se compone de tres partes:
EN ISO 13849-1:2006 Seguridad de las mquinas. Partes del sistema de

mando relativas a seguridad. Parte 1: Principios generales para el diseo
Pensada como la sustitucin de la anterior EN 954-1:1996, esta norma es una

revisin de la primera versin ISO 13849-1:1999 a la que cancela y reemplaza.
Se complementa con la IEC EN 62061:2005, aunque esta ltima est referida

sobre todo a sistemas de mando elctricos y electrnicos, mientras que la EN
ISO 13849-1 abarca todo tipo de tecnologas. Ver el siguiente cuadro resumen:
Tecnologa implementada en el/las

ISO 13849-1 IEC 62061
funciones de seguridad
A No elctrica (por ej. hidrulica) X No cubierta
Electromecnica (por ej. rels) y/o Limitado a las arquitecturas Todas las arquitecturas
B a
electrnica poco compleja designadas y hasta PL = e hasta SIL 3
Limitado a las arquitecturas Todas las arquitecturas

C Electrnica compleja (por ej. programable) a
designadas y hasta PL = d hasta SIL 3
Limitado a las arquitecturas c

D A combinada con B a X
designadas y hasta PL = e
Limitado a las arquitecturas Todas las arquitecturas

E C combinada con B a
designadas y hasta PL = d hasta SIL 3
C combinada con A, o bien C combinada b c

F X X
con A y B
X indica que este punto es tratado en el estndar internacional mostrado en la columna de cabecera
a Las arquitecturas designadas estn definidas en 6.2 para dar una aproximacin simplificada en la cuantificacin del nivel de fiabilidad (PL)
b Para electrnica compleja: usar las arquitecturas designadas de acuerdo con esta ISO 13849-1 hasta PL = d o cualquier arquitectura de acuerdo con la IEC 62061
c Para tecnologa no electrnica, usar partes de acuerdo con esta ISO 13849-1 como subsistemas

-8-
EN ISO 13849-2:2004 Seguridad de las mquinas. Partes del sistema de
mando relativas a seguridad. Parte 2: Validacin
Inicialmente como proyecto de norma prEN 954-2, aparece, sin embargo

editada como EN ISO 13849-2:2004, antes incluso que la primera parte. En
esta segunda parte, para el proceso de validacin se hace referencia en lo que
respecta al diseo tanto a la EN 954-1 como a su sustituta ISO 13849-1.
Especifica los procedimientos a seguir para la validacin por anlisis y ensayo

de las funciones de seguridad y las categoras del sistema de mando. No
proporciona requisitos de validacin completos para sistemas electrnicos
programables. En este caso se hace referencia a la IEC EN 62061 y, sobre
todo, a la IEC EN 61508.
ISO/TR 13849-100 Seguridad de las mquinas. Partes del sistema de

mando relativas a seguridad. Parte 100: Gua para la utilizacin y la
aplicacin de la norma ISO 13849-1 [Technical Report]
Da consejos para evitar malas interpretaciones de su norma relacionada.

-9-
ANTECEDENTES EN 954-1
Una de las normas que ms ha influenciado los cambios de mentalidad en el

diseo de las mquinas ha sido, quizs la EN 954-1. Durante estos aos de
vigencia esta norma, sin embargo, ha recibido algunas crticas que han
motivado su necesidad de revisin.
Unos de los aspectos ms importantes a mejorar se centra en la necesidad de

establecer requisitos especiales para sistemas de mando complejos o sistemas
programables (PES) que ejecuten funciones de seguridad. Estos requisitos ya
aparecen recogidos en detalle, tanto para hardware como para software en las
IEC EN 61508 y ms centrados en el sector de la maquinaria en la IEC EN
62062. Era necesario integrarlos junto con otras tecnologas del sistema de
mando en una nueva revisin de la norma EN 954-1.
Otro aspecto mejorable es que la EN 954-1 tampoco establece una relacin

clara entre la reduccin de riesgo y las diferentes categoras. Efectivamente, la
actual norma no tiene en cuenta la complejidad del sistema de mando a la hora
de su diseo, ya que slo trata aspectos de estructura de o seleccin de
componentes que componen el sistema de mando. No tratan aspectos
cuantitativos que influyen en la fiabilidad de los componentes, como los valores
del tiempo medio hasta fallo peligroso o la cobertura del diagnstico. Tampoco
se gestionan los fallos por causa comn que pueden tener influencia importante
en las estructuras de bicanal.

- 10 -
3. DEFINICIONES
SRP/CS = Safety Related Parts of a Control Systems

- Parte del sistema de mando que responde a seales de entrada
seguras y genera seales de salida seguras
- Es la parte que se encarga de las funciones de seguridad, desde
el actuador (ej. detector) hasta el elemento de control (ej.
contactor)
- Definicin 3.1.1 segn ISO 13849-1
- En castellano se denominan Partes del Sistema de Mando
Relativas a la Seguridad y se pueden abreviar como PSMRS
PL = Performance Level
- Traducido como Nivel de Prestaciones, o bien Nivel de Fiabilidad
- Valor discreto usado para especificar la capacidad de las partes
del sistema de mando relativas a seguridad para implementar una
funcin de seguridad bajo las condiciones previstas
PLr = Required Performance Level

- PL aplicado para conseguir la reduccin de riesgo requerida para
cada funcin de seguridad
MTTF = Mean Time To Failure

- Tiempo medio hasta fallo
- Normalmente expresado como periodo medio de tiempo esperado
hasta el fallo
- Definicin 3.2.24 segn IEC 62061

- 11 -
MTTFd = Mean Time To dangerous Failure
- Tiempo medio hasta fallo peligroso
MTBF = Mean Time Between Failure

- Tiempo medio entre fallos (MTTF + MTTR)
- Se estable como la suma del MTTF y el MTTR (Mean Time To
Reapair)
DC = Diagnostic Coverage
- Cobertura del diagnstico
- Medida de la efectividad del diagnstico, expresada como la
relacin entre la probabilidad de fallos peligrosos detectados y la
de fallos peligrosos totales
- Definicin 3.1.26 segn ISO 13849-1, adaptada de la 3.8.6 segn
EN 61508-4
- Se representa con la siguiente fraccin
DC =
DD DD = probabilidad de fallos peligrosos detectados
Dtotal Dtotal = probabilidad de fallos peligrosos totales
- Esta expresa la disminucin de la probabilidad de fallos

peligrosos que resulta del funcionamiento de ensayos de
diagnstico automticos
- Puede existir para la totalidad del sistema relativo a seguridad o
para partes del mismo

- 12 -
CCF = Common Cause Failure
- Fallo de varios elementos, resultado de un solo evento, dnde
estos fallos no son consecuencia unos de otros
- Los fallos coincidentes en dos o ms canales de un sistema de
canales mltiples pueden conducir al fallo del sistema
- No confundir con Fallos de modo comn. Los fallos de modo

comn son fallos de varios elementos caracterizados por el
mismo modo de fallo. Los distintos fallos pueden resultar de
varias causas diferentes
- Definiciones de fallos de causa comn en 3.1.6 segn ISO 13849-
1, 3.6.10 segn EN 61508-4 y 3.33 segn EN 12100-1
- Definicin de fallos de modo comn en 3.34 segn EN 12100-1

- 13 -
4. ANLISIS Y EVALUACIN DE RIESGOS
El fabricante dispone de un mtodo iterativo para el diseo y desarrollo de la

mquina segn los criterios de seguridad. Este mtodo est descrito en la
norma EN 1050 y desarrollado en las EN 12100-1 y EN 12100-2
En la EN 1050:1997 - Principios para la evaluacin de riesgos se detalla este

mtodo en forma de diagrama de flujo, tal y como se indica en la grfica
encuadrado en lnea discontinua.

- 14 -
El proceso completo ante de la atacar las estrategias de reduccin de riesgo se
denomina Evaluacin de riesgos, mientras que el conjunto de las primeras
fases donde se establecen los lmites de la mquina, se identifican los peligros
y se valora el riesgo se denomina Anlisis de riesgos.
La norma EN ISO 12100-1:2003 se encarga de esta fase de anlisis, mientras

que la EN ISO 12100-2:2003 plantea estrategias de reduccin de riesgos
Esta EN ISO 12100-2:2003 establece una jerarqua dentro de la estrategia para

la reduccin de riesgos que se basa en aplicar una serie de medidas
ordenadamente para reducir los peligros:
- En el apartado 4 se tratan de las estrategias para la prevencin

intrnseca, es decir, la eliminacin de los peligros en la fase de diseo.
- Si con la estrategia anterior no se eliminan todos los peligros ni si

reducen aceptablemente, el apartado 5 nos indica como aplicar
proteccin y medidas preventivas suplementarias, precisamente contra
aquellos peligros que no pueden evitarse en el diseo.
- El apartado 6 da informacin para la utilizacin contra los riesgos

residuales.
Estos tres tipos de medidas deben aplicarse en este orden, debiendo agotarse
las posibilidades de cada tipo antes de pasar a aplicar una del tipo siguiente.

- 15 -
5. DISEO DE LAS SRP/CS
El proceso de seleccin y diseo de las partes del sistema de mando relativas

a seguridad se integra dentro del proceso general de anlisis y reduccin de
riesgos, segn se indica en el diagrama de flujo siguiente:
El proceso iterativo se puede resumir en seis pasos fundamentales que son los
que se explican en detalle en la EN ISO 13849-1 y con los que ocuparemos el
resto de este curso.

- 16 -
Estos pasos son:
1. Identificacin y requisitos de las funciones de seguridad (SF)

2. Determinacin del PL requerido (PLr)
3. Diseo e identificacin de las partes del sistema de mando relativas a
seguridad
4. Determinacin del PL de las partes del sistema de mando relativas a
seguridad
- Aspectos cuantificables (categora, MTTFd, DC, CCF)
- Aspectos no cuantificables
5. Verificacin PL PLr
6. Validacin

- 17 -
6. IDENTIFICACIN DE LAS FUNCIONES DE SEGURIDAD
La identificacin de las funciones de seguridad con parte en el sistema de

mando no es tan inmediata como podra parecer. En el apartado 5.1 de la EN
13849-1 se indican ciertas funciones relativas a seguridad en las que
intervienen habitualmente partes del sistema de mando relativas a seguridad
en forma de dos tablas.
La tabla 8, indica las caractersticas y funciones de seguridad tpicas y sus

requisitos:
Requisitos
Caracterstica o
Para informacin adicional, ver:
funcin de seguridad Esta ISO ISO 12100- ISO 12100-
13849-1 1:2003 2:2003
Funcin de parada segura iniciada por un IEC 60204-1:2005, 9.2.2, 9.2.5.3,
5.2.1 3.26.8 4.11.3
resguardo a 9.2.5.5
IEC 60204-1:2005, 9.2.5.3,
Funcin de rearme manual 5.2.2 - -
9.2.5.4
Funcin de puesta en marcha y puesta en marcha 4.11.3, IEC 60204-1:2005, 9.2.1, 9.2.5.1,
5.2.3 -
tras parada 4.11.4 9.2.5.2, 9.2.6
4.11.8,
Funcin de mando manual 5.2.4 - IEC 60204-1:2005, 10.1.5
4.11.10
Funcin de Muting 5.2.5 - - -
Funcin de mando sensitivo - 4.11.8 b) IEC 60204-1:2005,9.2.6.1
Funcin dispositivo de validacin - - IEC 60204-1:2005, 9.2.6.3, 10.9
ISO 14118 (EN 1037:1995); IEC
Prevencin de puesta marcha intempestiva - - 4.11.4
60204-1:2005,5.4
Escape y rescate de personas atrapadas - - 5.5.3 -
ISO 14118 (EN 1037:1995); IEC
Funcin de aislamiento y disipacin de energa - - 5.5.4
60204-1:2005, 5.3, 6.3.1
4.11.8,
Seleccin y control de modos de trabajo - - IEC 60204-1:2005, 9.2.3, 9.2.4
4.11.10
4.11.1
Interaccin entre diferentes partes de un sistema
- - (ltimo IEC 60204-1:2005, 9.3.4
de mando de seguridad (sincronizacin)
prrafo)
Monitorizacin de parametrizacin con datos de
4.6.4 - - -
entrada relativos a seguridad
ISO/IEC 13850 (EN 418:1993);
Funcin parada de emergencia b - - 5.5.2
IEC 60204-1:2005, 9.2.5.4
a
Incluidos resguardos con enclavamiento y dispositivos limitadores (por ej. sobrevelocidad, sobretemperatura, sobrepresin).
b
Medida de proteccin complementaria, ver ISO 12100-1:2003.

- 18 -
La tabla 9 aade otros parmetros relativos a seguridad (tiempo, temperatura,
presin, velocidad, etc.)
Requisitos
Funcin / parmetro Para informacin adicional,
relativo a seguridad Esta ISO ISO 12100- ver:
13849-1 2:2003
Tiempo de respuesta 5.2.6 - ISO 13855:2000, 3.2, A.3, A.4
Parmetro relativo a seguridad como velocidad, temperatura IEC 60204-1:2005, 7.1, 9.3.2,
5.2.7 4.11.8 e)
o presin 9.3.4
Fluctuacin, perdida y restablecimiento de la tensin de IEC 60204-1:2005, 4.3, 7.1,
5.2.8 4.11.8 e)
alimentacin 7.5
ISO 7731
ISO 11428
ISO 11429
Indicaciones y alarmas - 4.8 IEC 61310-1
IEC 60204-1:2005, 10.3, 10.4
IEC61131
IEC 62061
Aunque en ambas tablas los requisitos estn referidos a tecnologa elctrica,

pueden ser fcilmente extrapolados a otras tecnologas (por ejemplo hidrulica
o neumtica).
Al especificar las funciones de seguridad se deben tener en cuenta las

siguientes consideraciones:
a) Tener en cuenta los resultados del anlisis de riesgos y considerar las

funciones de seguridad necesarias para cada peligro o situacin
peligrosa posible.
b) Considerar las caractersticas en la operacin de mquina, es decir:

- Tanto el buen uso, como el mal uso razonablemente predecible
- Las situaciones peligrosas en todos los modos de operacin
- El tiempo de ciclo de la mquina
- El tiempo de respuesta
c) Tener en cuenta la operacin en caso de emergencia

- 19 -
d) Considerar la relacin e interaccin entre las diferentes operaciones
como reparacin y mantenimiento, ajuste, limpieza, etc.
e) Tener en cuenta el comportamiento peligroso de la mquina que la

funcin de seguridad quiere cubrir o prevenir
f) Prever las condiciones en las que la funcin de seguridad ser activada

o desactivada, por ejemplo, en qu modo de trabajo, ...
g) Tener en cuenta la frecuencia de operacin de la mquina y la de

requerimiento de la funcin de seguridad
h) Considerar la posibilidad de actuaciones simultneas de distintas

funciones, establecer prioridades de actuacin para resolver conflictos.

- 20 -
7. DETERMINACIN DEL PLr (REQUERIDO)
En el Anexo A de la EN ISO 13849-1 se indican los criterios recomendados

para la determinacin del PLr. Bsicamente se presenta un rbol de seleccin
similar al rbol de seleccin de categoras de riesgo en la EN 954-1, aunque no
idntico:
- Los parmetros de decisin S, F y P son iguales y tienen el
mismo significado, aunque en la EN ISO 13849-1 se detallan
mejor los criterios de seleccin
- La estructura del rbol de decisiones es diferente, siendo la de la
nueva EN ISO 13849-1 ms ramificada
- La graduacin en los diferentes PL tambin es diferente, existen 5
niveles directos (de la a a la e) a la salida, no habiendo
posibilidad de seleccin en una matriz como la de las categoras
En la figura de arriba se representa a la izquierda el arbol de decisiones para el

PLr de la EN ISO 13849-1 y a la derecha el de las categoras de la EN 954-1

- 21 -
El anlisis para la determinacin del PLr se inicia cuando ya se han aadido
todas las otras medidas de reduccin de riesgo que sean independientes de las
partes del sistema de mando relativas a seguridad (por ejemplo medidas
mecnicas).
El PLr se determina para cada funcin de seguridad considerada. Con 1 se

indica en el rbol el punto de partida para evaluar la contribucin de esa
funcin de seguridad a la reduccin de riesgo.
El resultado son 5 niveles nombrados como a, b, c, d, y e, dnde las partes del

sistema de mando relativas a seguridad tendrn:
- una contribucin baja a la reduccin de riesgo (indicado como L)
- un contribucin alta a la reduccin de riesgo (indicado como H)

- 22 -
Tal y como se indica en el apartado 7.2 de la EN 1050, el nivel riesgo asociado
a un peligro o una situacin peligrosa es proporcional a:
a) la gravedad o severidad del dao
b) la probabilidad de ocurrencia del peligro
Mientras que para la severidad del dao la EN ISO 13849-1 fija un solo
parmetro (S), la probabilidad se valora con dos (F y P). En total:
a) Severidad del dao
S Gravedad de la lesin
b) Probabilidad de ocurrencia
F Frecuencia / tiempo exposicin peligro
P Posibilidad de evitar o limitar el peligro
A continuacin veremos en detalle criterios para seleccionar ms facilmente los

parmetros adecuados en este rbol de decisiones.

- 23 -
S - GRAVEDAD DE LA LESIN
S1 Leve (normalmente reversible)

El fallo de la funcin de seguridad slo puede conllevar daos leves,
normalmente golpes, contusiones o heridas leves
Las lesiones sern reversibles en el sentido de que, tras el tratamiento, el

afectado queda en la misma situacin que antes del dao
S2 Grave (normalmente irreversible)

El fallo de la funcin de seguridad conlleva habitualmente daos graves,
irreversibles o que conlleven secuelas permanentes, incluida la muerte

- 24 -
F - FRECUENCIA O TIEMPO DE EXPOSICIN AL PELIGRO
F1 De raramente a poco frecuente o tiempos de exposicin cortos

En caso de que se requiera slo acceso ocasional
F2 De frecuente a continua o tiempos de exposicin largos

Se debe seleccionar F2 siempre que una persona est sometida
frecuentemente o de forma continua al peligro, independientemente de que se
trate de la misma personas o de personas sucesivas (ej. ascensores).
Si la frecuencia es superior a una vez por hora se debe seleccionar F2 siempre

que no exista otra justificacin
Si se desconoce la frecuencia de acceso al peligro, pero se conoce la

frecuencia de demanda de la funcin de seguridad, se deber coger esta como
dato. Se debe evaluar el valor sobre la base de la frecuencia de exposicin en
relacin con el periodo total de uso del equipo, por ejemplo, el acceso de una
vez por ciclo depender del ciclo de la mquina.

- 25 -
P - POSIBILIDAD DE EVITAR O LIMITAR EL PELIGRO
P1 Posible bajo ciertas condiciones

Existe una posibilidad realista de evitar o reducir el accidente cuando se
produce la situacin peligrosa o de reducir sus efectos
P2 Raramente posible
La situacin peligrosa provocar casi seguro un accidente en caso de
desencadenarse
La seleccin del parmetro P1 P2 puede venir determinada por diferentes

condicionantes:
- Si la identificacin del peligro es directa o es necesaria la ayuda de

instrumentos para detectarlo (por ejemplo indicadores de niveles de
presin o de contaminacin)

- 26 -
- El tipo de operacin, por ejemplo, si esta se realiza con o sin
supervisin, por personal experto o por no profesionales. Otro posible
criterio es la existencia de mtodos de trabajo seguros implementados.
- La velocidad de ocurrencia del peligro, sobre todo en relacin con el

tiempo de reaccin del operario.
- La posibilidad de evitar el peligro cuando este se produzca, por ejemplo,

si existen vas de escape o mecanismos de emergencia efectivos
cercanos a la zona de operacin.
8. DISEO DE LAS PARTES DEL SISTEMA MANDO SEGURIDAD
La fase de diseo e identificacin de las partes del sistema de mando relativas

a seguridad es en la que se aplican los conocimientos especficos de
ingeniera, diseo y seguridad. No hay una relacin uno a uno entre las
funciones de seguridad determinadas y las partes del sistema de mando de
seguridad que llevan asociadas estas funciones de seguridad. En este sentido,
una funcin de seguridad puede estar formada por una o ms partes del
sistema de mando o, a la inversa, varias funciones de seguridad pueden
compartir las partes del sistema de mando de seguridad correspondiente.
Adems, y esto es habitual sobre todo en sistemas electrnicos, las partes del
sistema de mando de seguridad pueden implementar, al mismo tiempo que
funciones de seguridad otras funciones estndar (ST) necesarias. Un ejemplo
puede ser una barrera fotoelctrica con funcin de proteccin y control en una
prensa (funcionamiento a pulsos).

- 27 -
Para la representacin de las partes del sistema de mando relativas a
seguridad se suele utilizar un sistema bloques lgicos dnde cada estructura
suele tener una parte de entrada, otra de lgica (procesamiento) y otra de
salida (ej. elementos de control de potencia). Esta estructura es til de cara a
anlisis posteriores (por ejemplo, la identificacin de arquitecturas designadas
o la estimacin del DCavg)
En el esquema lgico de arriba, iab, ibc representa los medios de interconexin

(ejemplo: elctricos, pticos) y 1 y 2 son los eventos:
1. Evento de iniciacin (ej. interrupcin de barrera, apertura de
resguardo, pulsacin botn parada, )
2. Actuador en la mquina (ej. frenos del motor)

- 28 -
9. DETERMINACIN DEL PL
Para cada parte del sistema de mando relativa a seguridad o cada combinacin
de estas partes que formen una funcin de seguridad, se debe hacer una
estimacin del PL.
El PL depende de varios aspectos, algunos de ellos cuantificables y otros no.
Son aspectos cuantificables que influyen en las partes del sistema de mando
relativas a seguridad:
La estructura del sistema, tanto si se trata de arquitecturas designadas

como si no. La categora es la que determina el nivel de fiabilidad de la
estructura.
El MTTFd, es decir, el tiempo medio hasta fallo peligroso del conjunto.

Este valor nos da una idea de la fiabilidad de los componentes.
La cobertura del diagnstico (DC). Esta nos da una idea de la fiabilidad

debida al diagnstico.
Las medidas contra los fallos de causa comn (CCF). Estas nos dan una
idea de la inmunidad del sistema a fallos que afectan a ms de un canal.
Los aspectos no cuantificables de las partes del sistema de mando relativas a

seguridad pueden ser, por ejemplo, los relativos al software que tenga
influencia en seguridad, el comportamiento de la funcin de seguridad en
condiciones de fallo, los fallos sistemticos, la influencia de las condiciones
ambientales, as como otros aspectos operacionales, la tasa de demanda o de
chequeo de la funcin de seguridad, etc.

- 29 -
CATEGORAS Y ARQUITECTURAS DESIGNADAS
La estructura de las partes del sistema de mando relativas a seguridad tiene

una gran influencia en el PL final obtenido. Esta estructura debe estar de
acuerdo con alguna de las cinco categoras descritas en la EN ISO 13849-1.
La descripcin, los requisitos y el comportamiento en caso de fallo de cada

categora es muy parecida a lo indicado en la predecesora EN 954-1, Hay
requisitos mnimos adicionales en lo que respecta a la cobertura del
diagnstico, el tiempo medio entre fallo peligroso de los componentes y la
inmunidad a los fallos de causa comn.
Como resumen:
Categoras B y 1
La categora B es la categora bsica. En ella, la aparicin de un fallo puede

conducir a la prdida de la funcin de seguridad. La categora 1 presenta una
mayor resistencia a fallos en las partes del sistema de mando relativas a
seguridad bsicamente por la seleccin y aplicacin de componentes
adecuados.

- 30 -
Categoras 2, 3 y 4
La mejora en la resistencia a defectos de la funcin de seguridad en estas

categoras se implementa, bsicamente mejorando la estructura de las partes
del sistema de mando relativas a seguridad.
En la categora 2 esto se realiza mediante un sistema automtico de chequeo

peridico de la funcin de seguridad. En las categoras 3 y 4, un fallo simple no
provoca la prdida de la funcin de seguridad. La categora 3 debe detectar
este primer fallo simple, si es razonablemente factible. En la categora 4 se
debe especificar una resistencia del sistema a la acumulacin de fallos.
Arquitecturas Designadas
El detalle de los requisitos de cada categora se acompaa de las llamadas

arquitecturas designadas. Estas no representan diagramas de circuitos, sino
slo esquemas lgicos de estructura.
Las partes del sistema de mando relativas a seguridad se pueden apartar de

las arquitecturas designadas y, an as, cumplir con la categora necesaria. Si
no se usan las arquitecturas designadas, sin embargo, se debera justificar la
categora con otros mtodos analticos (por ejemplo el modelo de Markov o el
anlisis por rbol de fallos)

- 31 -
CATEGORA B
Las partes del sistema de mando relativas a seguridad deben ser, como
mnimo, diseadas, construidas, seleccionadas, montadas y combinadas de
acuerdo con las normas pertinentes y usando los principios de seguridad
bsicos para la aplicacin considerada, de manera que puedan resistir las
solicitaciones de funcionamiento previstas, la influencia de los materiales
procesados y otras influencias externas relevantes.
Consultar las normas especficas de producto para requisitos de, por ejemplo,
compatibilidad electromagntica (IEC 61800-3 Sistemas de control de potencia)
o inmunidad (IEC 61000-6-2 EMC: Inmunidad en ambientes industriales).
La categora B no exige cobertura de diagnstico (DCavg = 0), es necesario un

MTTFd medio o bajo para cada canal y no precisa medidas especiales para los
fallos de causa comn (CCF no relevante) ya que normalmente se trata de
estructuras monocanal. El mximo PL alcanzable en esta categora es PL = b.
Arquitectura designada en categora B

- 32 -
CATEGORA 1
Se deben aplicar los requisitos de la categora B, adems de los indicados

aqu. Las partes del sistema de mando relativas a seguridad se deben disear
y construir utilizando componentes y principios* de eficacia probada en
seguridad
Son componentes de eficacia probada en seguridad aquellos que

- se han utilizado ampliamente en el pasado dando buenos resultados en
aplicaciones similares
- se han construido y verificado de acuerdo con principios que demuestran
su adecuacin y fiabilidad para aplicaciones relativas a seguridad
Los componentes de nuevo desarrollo sern de eficacia probada si cumplen el

segundo punto.
La seleccin de un componente como de eficacia probada depender de la

aplicacin. Por ejemplo un detector mecnico de posicin de apertura positiva
puede ser un componente de eficacia probada en una aplicacin para mquina-
herramienta pero puede no ser vlido, por ej. en la industria lechera o de
alimentacin ya que el cido de la leche destruira el componente es pocos
meses.
Habitualmente los componentes electrnicos complejos como PLCs,

microprocesadores o circuitos integrados de aplicacin especfica no se
pueden considerar por s mismos como componentes de eficacia probada en
seguridad.

- 33 -
La categora 1 no exige cobertura de diagnstico (DCavg = 0), es necesario un
MTTFd alto para cada canal, mayor que en categora B, por eso la prdida de la
funcin de seguridad es menos probable, y no precisa medidas especiales para
los fallos de causa comn (CCF no relevante) ya que normalmente se trata de
estructuras monocanal. El mximo PL alcanzable en esta categora es PL = c.
Se debe distinguir entre componente de eficacia probada y exclusin de fallos o

exclusin de defectos. La exclusin de defectos suele conllevar un PL ms
elevado, pero se deben garantizar medidas para evitar fallos en todo el ciclo de
vida del componente. Normalmente son necesarias medidas adicionales
externas a las partes del sistema de mando relativas a seguridad.
Por ejemplo, un detector mecnico de posicin de apertura positiva es un

componente de eficacia probada en determinadas aplicaciones. Para garantizar
exclusin de defectos se deberan tomar medidas para asegurar la fijacin del
detector despus del ajuste; para asegurar la no rotura de la roldana o la leva,
as como su estabilidad transversal; para evitar sobrerrecorridos por choques o
desalineamiento; para evitar daos del exterior; etc.
Arquitectura designada en categora 1

- 34 -
CATEGORA 2

y construir utilizando componentes y principios de eficacia probada en
seguridad.
Las partes del sistema de mando relativas a seguridad se deben disear de

forma que las funciones de seguridad se comprueben a intervalos adecuados
por el sistema de mando.
Esta comprobacin se debe efectuar en el proceso de puesta en marcha de la

mquina, antes de que se inicie cualquier situacin peligrosa o peridicamente
durante la operacin si la evaluacin del riesgo y el tipo de funcionamiento
indican que esto es necesario. El inicio de esta comprobacin debe ser
automtico, a diferencia de lo indicado en la antecesora EN 954-1 dnde se
permita tambin el inicio manual del proceso de comprobacin cclica.
Tras la comprobacin de la funcin de seguridad, si no se detecta ningn

defecto se debe permitir el funcionamiento. Si se detecta un defecto se debe
generar una seal de salida que desencadene una accin de mando adecuada.
La seal de salida debera iniciar un estado seguro que se debe mantener

hasta que se elimine el defecto. Si esto no es posible, la seal de salida debe
proporcionar una advertencia del peligro. En cualquier caso, la comprobacin
no debe conducir por s misma a una situacin peligrosa

- 35 -
El equipo de comprobacin puede ser parte integrante de las partes del
sistema de mando relativas a seguridad que desempean la funcin de
seguridad o independiente de las mismas.
En algunos casos, la categora 2 no es aplicable porque la comprobacin de la

funcin de seguridad no se puede aplicar a todos los componentes que la
forman.
Por tanto, el comportamiento de un sistema en categora 2 permite que la

aparicin de un defecto pueda conducir a la prdida de la funcin de seguridad
en el intervalo entre dos comprobaciones. Mediante la comprobacin se
detectar esta prdida.
La categora 2 exige, al menos, una cobertura de diagnstico baja para todas

las partes del sistema de mando relativas a seguridad (DCavg = baja). El MTTFd
puede ser alto, medio o bajo dependiendo del PLr. Para el clculo MTTFd y
DCavg, se deben considerar slo los canales funcionales y no el canal de
comprobacin. Son necesarias medidas contra los fallos de causa comn (CCF
relevante). El mximo PL alcanzable en esta categora es PL = d.

- 36 -
La lnea discontinua representa deteccin de defectos razonablemente factible.

Los medios tcnicos adoptados reducirn la probabilidad de ocurrencia de la
situacin peligrosa (por ejemplo por aumento de frecuencia de las
comprobaciones).

- 37 -
CATEGORA 3

seguridad.

forma que un solo defecto en cualquiera de estas partes no conduzca a la
prdida de la funcin de seguridad. Siempre que sea razonablemente factible
se debe detectar este defecto en el momento de producirse o antes de la
siguiente solicitud de la funcin de seguridad.
El requisito de deteccin de un solo defecto no significa que se detecten todos

los defectos. La acumulacin de defectos no detectados puede entraar una
salida imprevista y una situacin peligrosa en la mquina
Ejemplos de medidas razonablemente factibles aplicables para la deteccin de

defectos pueden ser los contactos de gua forzada en un rel o el autocontrol
de salidas elctricas redundantes.
El comportamiento de un sistema en categora 3 permite que cuando se

produce un solo defecto la funcin de seguridad se desempee siempre. Por
tanto se detectan algunos defectos, pero no todos por lo que la acumulacin de
defectos no detectados puede conducir a la prdida de la funcin de seguridad.

- 38 -
La categora 3 exige, al menos, una cobertura de diagnstico baja para todas
las partes del sistema de mando relativas a seguridad (DCavg = baja). El MTTFd
puede ser alto, medio o bajo dependiendo del PLr. Son necesarias medidas
contra los fallos de causa comn (CCF relevante).
La lnea discontinua representa deteccin de defectos razonablemente factible.

La tecnologa adoptada tendr influencia en las posibilidades de
implementacin de sistemas de deteccin de defectos

- 39 -
CATEGORA 4

seguridad.

forma que un solo defecto en cualquiera de estas partes no conduzca a la
prdida de la funcin de seguridad. Adems, se debe detectar dicho defecto en
el momento de producirse o antes de la siguiente solicitud de la funcin de
seguridad. Si la deteccin no es posible, la acumulacin de defectos no debe
conducir a la prdida de la funcin de seguridad.
El comportamiento de un sistema en categora 4 permite que cuando se

produce un solo defecto, la funcin de seguridad se desempee siempre. Los
defectos se detectan a tiempo para prevenir la prdida de la funcin de
seguridad. Se tiene en cuenta la acumulacin de defectos no detectados (en la
prctica, la consideracin de una combinacin de dos defectos suele ser
suficiente).
La categora 4 exige una cobertura de diagnstico alta para todas las partes del
sistema de mando relativas a seguridad (DCavg = alta). Precisamente esta
mayor cobertura de diagnstico es una de las diferencias bsicas entre la
categora 3 y 4. El MTTFd debe ser alto, por lo que la inmunidad a fallos de los
componentes en categora 4 tambin es habitualmente mayor que en 3. Son
necesarias medidas contra los fallos de causa comn (CCF relevante).

- 40 -
La lnea continua en la supervisin representa una cobertura de diagnstico

mayor que la de la arquitectura designada correspondiente a la categora 3.

- 41 -
Como hemos visto anteriormente, las categoras y las arquitecturas designadas
no son los nicos parmetros que determinan el nivel de reduccin de riesgo
del sistema de mando. Existen otros aspectos cuantificables alrededor de las
categoras que calcularemos ahora:
MTTFd POR CANAL
El valor del MTTFd por canal se expresa en aos y representa el tiempo medio
hasta el fallo peligroso de cada canal de la arquitectura de las partes del
sistema de mando relativas a seguridad de la funcin de seguridad
considerada.

- 42 -
El valor est comprendido entre 3 y 100 aos para el canal completo.
MTTFd
Descripcin Rango por canal
Bajo 3 aos MTTFd < 10 aos
Medio 10 aos MTTFd < 30 aos
Alto 30 aos MTTFd < 100 aos
No se consideran MTTFd menores de 3 aos, ya que esto significara que, tras

un ao, el 30% de los sistemas en el mercado deberan ser sustituidos.
El valor mximo por canal es de 100 aos para que la seguridad de las partes
del sistema de mando relativas a seguridad no dependa slo de la fiabilidad de
los componentes, sino adems de otros aspectos como la arquitectura.
Mtodo de la cuenta de partes
El valor del MTTFd se calcula para cada canal de individualmente porque, en

arquitecturas de doble canal, se supone que los valores de MTTFd para ambos
canales son iguales.
El MTTFd se puede calcular utilizando el denominado mtodo de la cuenta de

partes, indicado en el Anexo D de la EN ISO 13849-1. Para ello se utilizan
como base los MTTFd de los componentes por separado que forman las partes
del sistema de mando relativas a seguridad de ese canal

- 43 -
Este mtodo es una aproximacin que genera un error siempre del lado
seguro. La frmula general de clculo es:
1 m
1 m nj
= =
MTTFd i =1 MTTFdi j =1 MTTFdj
donde
- MTTFd es para el canal completo
- MTTFdi MTTFdj es para los componentes
- m nmero total de componentes
- nj nmero componentes con el mismo MTTFdj
Asimetra
El MTTFd por canal con asimetra se aplica si, en una arquitectura de de doble
canal, el MTTFd de ambos canales no es igual. En este caso, se puede tomar
el menor valor de ambos (worst case) o aplicar la frmula de simetrizacin:

2 1
MTTFd = MTTFdC1 + MTTFdC 2
3 1
+
1
MTTFdC1 MTTFdC 2
donde
- MTTFd valor equivalente un sistema con canales simtricos
- MTTFdC1 es el valor para el canal 1
- MTTFdC2 es el valor para el canal 2

- 44 -
Estimacin MTTFd de componentes
Para el clculo del MTTFd de cada canal se deben tener los MTTFd de los
componentes que lo forman. Para la estimacin del MTTFd de los componentes
aplicar en este orden:
- los datos de los fabricantes de los componentes
- los mtodos y datos generales de componentes hidrulicos, neumticos,

electromecnicos y electrnicos de los Anexos C y D de la EN ISO
13849-1
- seleccionar MTTFd = 10 aos
COBERTURA DEL DIAGNSTICO (DC)
Para el valor de la cobertura de diagnstico se establecen cuatro niveles segn

la siguiente tabla:
DC
Descripcin Rango
Ninguna DC < 60%
Baja 60% DC < 90%
Media 90% DC < 99%
Alta 99% DC
Segn se desprende de la tabla, hay tres valores clave en distribucin

logartmica: el 60 %, el 90 % y el 99 %.

- 45 -
Se demuestra empricamente que un diagnstico que cubra menos del 60 %
del sistema no tiene prcticamente influencia en la fiabilidad del mismo. De la
misma forma, una cobertura mayor del 99 % es muy difcil de conseguir en
sistemas complejos.
Para la estimacin de la cobertura del diagnstico hay mtodos como el FMEA

failure mode and effects analysis detallado en IEC 60812. Sin embargo, para
una estimacin simplificada son suficientes las tablas dadas en el Anexo E de
la EN ISO 13849-1
Estas tablas se refieren a los dispositivos de entrada, dispositivos lgicos y

dispositivos de salida tal y como se describen en las arquitecturas designadas
Medida Cobertura de Diagnstico (DC)

Dispositivo de Entrada
Estmulos cclicos de chequeo en cambios dinmicos en las
90%
seales de entrada
Chequeo de plausibilidad, por ej. usar contactos NA y NC
99%
guiados mecnicamente
0% al 99%, dependiendo de cada
Supervisin cruzada de entradas sin chequeo dinmico cunto la aplicacin realiza un cambio
de seal
Supervisin cruzada de seales de entrada con chequeo
dinmico si los cortocircuitos no son detectables (para mltiples 90%
E/S)
Supervisin cruzada de seales de entrada y resultados
intermedios en la lgica (L) y supervisin lgica y temporal del
99%
software durante el flujo del programa y deteccin de fallos
estticos y cortocircuitos (para mltiples (E/S)
Supervisin indirecta (por ej. supervisin por detectores de 90% al 99%, dependiendo de la
presin, supervisin elctrica de posicin de actuadores) aplicacin
Supervisin directa (por ej. supervisin elctrica de posicin de
vlvulas de control, supervisin de dispositivos electromecnicos 99%
por elementos con contactos guiados mecnicamente)
0% al 99 %, dependiendo de la
aplicacin; nicamente esta medida
Deteccin de defectos por el proceso
por s misma no es suficiente para
alcanzar un PLr = e
Supervisin de algunas caractersticas del sensor (tiempo de
respuesta, rango de las seales analgicas, por ej. por resitencia 60%
elctrica, capacidad)

- 46 -
Dispositivo Lgico
Supervisin indirecta (por ej. supervisin por detectores de 90% al 99% dependiendo de la
Supervisin simple temporal de los tiempos de ejecucin de la
lgica (por ej. con temporizadores como watchdog - perro guardian 60%
- dnde los puntos de disparo estn dentro del programa)
Supervisin lgica y temporal de la parte lgica mediante
watchdog (perro guardian), donde el equipo de pruebas realiza 90%
chequeos de plausibilidad sobre el comportamiento de la lgica
Autochequeos al arranque para detectar defectos latentes en
90% (dependiendo de la tcnica
partes de la lgica (por ej. memorias de datos y programas, puertos
de chequeo)
de E/S, interfaces)
Chequeo de la capacidad de reaccin del dispositivo de
supervisin (por ej. watchdog o perro guardian) en el canal principal
al arranque o cuando se demanda la funcin de seguridad o 90%
cuando lo demanda una seal externa a travs del sistema de
entrada
Principio dinmico (todos los componentes de la lgica cambian
su estado ON-OFF cuando se demanda la funcin de seguridad), 99%
por ej. circuito de enclavamiento implementado con rels
Memoria fija: cdigo de control, firma, CRC de una palabra (8
90%
bits)
Memoria fija: cdigo de control, firma, CRC de doble palabra (16
99%
bits)
Memoria variable: chequeo de RAM mediante el uso de datos
redundantes, por ej. flags, marcadores, constantes, temporizadores 60%
y comparacin cruzada de estos datos
Memoria variable: chequeo de legibilidad y capacidad de
60%
escritura en clulas de memoria usadas
Memoria variable: supervisin RAM con cdigo Hamming
99%
modificado o autochequeo de RAM (por ej. "galpat" o "Abraham")
Unidad de proceso: autochequeo por software 60% al 90%
Unidad de proceso: procesamiento codificado 90% al 99%
alcanzar un PLr = e

- 47 -
Dispositivo de Salida
Supervisin de salidas por un canal sin chequeo dinmico cunto la aplicacin realiza un cambio
de seal
Supervisin cruzada de salidas sin chequeo dinmico cunto la aplicacin realiza un cambio
de seal
Supervisin cruzada de seales de salida con chequeo
dinmico si los cortocircuitos no son detectables (para mltiples 90%
E/S)
Supervisin cruzada de seales de salida y resultados
intermedios en la lgica (L) y supervisin lgica y temporal del
99%
software durante el flujo del programa y deteccin de fallos
estticos y cortocircuitos (para mltiples (E/S)
Va de desconexin redundante sin supervisin del actuador 0%
Va de desconexin redundante con supervisin de uno de los
90%
actuadores realizada por la lgica o por el equipo de chequeo
Va de desconexin redundante con supervisin de los
99%
actuadores realizada por la lgica y por el equipo de chequeo
Supervisin indirecta (por ej. supervisin por detectores de 90% al 99% dependiendo de la
alcanzar un PLr = e
Para estimaciones adicionales de la cobertura del diagnstico, consultar las

tablas A.1 a A.15 de la EN 61508-2:2001
Estimacin de la DCavg
Las distintas medidas para deteccin de fallo pueden aplicarse a distintas

partes de las SRP/CS. Cada medida aplicada puede tener asociada distinta
cobertura del diagnstico. Para la determinacin del PL, sin embargo, es
necesaria una cobertura del diagnstico para todas las partes del sistema de
mando relativas a seguridad que implementan la funcin de seguridad
estudiada. Esta ser la cobertura de diagnstico media (DCavg).

- 48 -
El DCavg se determina con la siguiente frmula
DC1 DC2 DCn

+ + ... +
MTTFd 1 MTTFd 2 MTTFdn
DCavg =
1 1 1
+ + ... +
MTTFd 1 MTTFd 2 MTTFdn
Los componentes sin deteccin de defecto (aquellos que no son chequeados,

es decir, DC = 0) slo contribuyen al denominador de la frmula anterior.
ESTIMACIN DE LOS FALLOS DE CAUSA COMN
Para la estimacin de los fallos de causa comn se establece un mtodo

simplificado basado en un sistema de puntuacin. En la tabla F1 del Anexo F
se recogen una serie de medidas para reducir los fallos de causa comn, cada
una de ellas con una puntacin.
Se suman las puntuaciones de las medidas que se han adoptado en todas las
partes del sistema de mando relativas a seguridad en estudio. Las medidas se
deben adoptar totalmente; la adopcin parcial de determinadas medidas no
sumar puntos.

- 49 -
El nmero mximo de puntos a sumar es de 100 puntos. Cuando los fallos de
causa comn sean relevantes, para conseguir cumplir los requisitos de evitar
los mismos se deben sumar ms de 65 puntos
Nr. Medida contra CCF Puntuacin

1 Separacin / Segregacin
Separacin fsica entre vas de seal: 15
separacin de cableado / tuberas,
espacios de separacin suficientes y distancias de fuga en pistas de circuitos impresos.
2 Diversidad
Uso de diferentes tecnologas, diferente diseo o principios fsicos distintos, por ejemplo: 20
primer canal con electrnica programable y segundo canal cableado,
algn tipo de inicializacin,
presin y temperatura.
Medida de distancia y presin,
digital y analgica.
Componentes de diferentes fabricantes.
3 Diseo / Aplicacin / Experiencia
3.1 Proteccin contra sobretensin, sobrepresin, sobrecorriente, etc. 15
3.2 Uso de componentes de eficacia probada 5
4 Evaluacin / Anlisis
Se han tenido en cuenta los resultados de un anlisis del modo de fallo y efectos para evitar 5
los CCF durante el diseo?
5 Competencia / Formacin
Tienen formacin los diseadores y el personal de mantenimiento para entender las causas 5
y consecuencias de los CCF?
6 Ambiental
6.1 Prevencin de contaminacin y compatibilidad electromagntica (EMC) contra CCF de 25
acuerdo con las normas adecuadas
Sistemas hidrodinmicos: filtracin del medio de presin, prevencin de suciedad y
contaminacin del fluido, drenaje del aire comprimido, por ej. cumplimiento de las
recomendaciones del fabricante de los componentes en lo relativo a la pureza del medio de
presin.
Sistemas elctricos: se ha chequeado el sistema contra inmunidad electromagntica, por

ejemplo segn lo especificado en las normas relevantes contra los CCF?
Para sistemas combinados elctricos e hidrodinmicos, se deben considerar ambos

aspectos.
6.2 Otras influencias 10

Se han considerado los requisitos de inmunidad de todas las influencias ambientales
relevantes como temperatura, choque, vibracin, humedad (por ej. segn lo especificado en
las normas relevantes)?
TOTAL mx. 100

- 50 -
REQUISITOS DE SEGURIDAD DEL SOFTWARE
El principal objetivo de establecer requisitos de seguridad para el software es el

obtener un software para las partes del sistema de mando relativas a seguridad
que sea legible, comprensible, chequeable y mantenible, es decir, evitar la
introduccin de fallos en todos los ciclos de creacin del mismo.
Para describir todas las fases del ciclo de vida de la creacin del software de
seguridad existe un modelo denominado Modelo V:

- 51 -
Definiciones
LVL - Limited Variability Language

- Tipo de lenguaje provee la capacidad de combinar funciones de
librera predefinidas especficamente para una aplicacin con el
objeto de implementar las especificaciones de los requisitos de
seguridad (ej. ladder, FBL, tpicos de PLC, )
FVL - Full Variability Language

- Tipo de lenguaje provee la capacidad de implementar un amplio
rango de funciones y aplicaciones (ej. C, C++, Ensamblador, etc.)
SRESW - Safety-related embedded software

- Software que es parte del sistema suministrado por el fabricante
del control y que no es accesible para ser modificado por el
fabricante de la mquina (este software est escrito
habitualmente en FVL)
SRASW - Safety-related application software

- Software especfico de la aplicacin, implementado por el
fabricante de la mquina y, en general, conteniendo secuencias
lgicas, lmites y expresiones que controlan las E/S adecuadas y
realizan los clculos y toman las decisiones necesarias para
cumplir los requisitos de partes del sistema de mando relativas a
seguridad

- 52 -
Requisitos SRESW
Requisitos PLr = a d
Aplicar las especificaciones del Modelo V anterior

Documentar las especificaciones de diseo
Programacin modular y estructurada
Control de fallos sistemticos: control secuencia de comandos,
watchdog, etc.
Si existen medidas de software para el chequeo de fallos de hardware,
verificar de su correcta implementacin
Realizar chequeos funcionales (Black-Box Test)
Documentar las modificaciones
Requisitos adicionales PLr = c / d
Gestin del proyecto y gestin de calidad segn normativa relevante (por

ej. IEC 61508, ISO 9001, )
Separacin del software no relativo a seguridad
Limitar el tamao de los mdulos de programa
Usar de lenguajes de programacin adecuados y herramientas probadas
Realizar chequeos funcionales ampliados (Grey-Box Test)
Requisitos adicionales PLr = e
Aplicar los requisitos incluidos en el apartado 7 de la IEC 61508-3:2001

- 53 -
Requisitos SRASW
Requisitos PLr = a e
Si el software est escrito en FVL, se pueden aplicar los requisitos del SRESW.
En general:
Aplicar las especificaciones del Modelo V

Documentar las especificaciones de diseo
Programacin modular y estructurada
Chequeos funcionales amplios (Black-Box, Grey-Box Test)
Documentar las modificaciones
Requisitos adicionales PLr = c / d / e
En PLr altos hay requisitos especficos:
a) Requisitos en la especificacin del software

b) Requisitos en la seleccin de herramientas, libreras y lenguajes
c) Requisitos especficos para el diseo del software
d) Combinacin SRASW y no-SRASW
e) Requisitos para la codificacin
f) Requisitos en la fase de chequeo
g) Requisitos para la documentacin
h) Requisitos para la verificacin
i) Gestin
j) Modificaciones

- 54 -
Consultar el apartado 4.6.3 de la EN ISO 13849-1:2006 para el detalle de todos
los requisitos. Como resumen, a continuacin se muestran algunos de los ms
destacados:
Se recomienda el uso de libreras de funciones (FB) validadas o

suministradas por el proveedor de la herramienta
Utilizar modelos de arquitectura de tres estados para la elaboracin de

los diferentes mdulos
Asignar las salidas de seguridad slo en un punto del programa
Establecer una codificacin separada de SRASW y no SRASW
Chequeos de integridad de datos y de plausibilidad
Black-Box Test
Documentar todo el ciclo (Modelo V) y las modificaciones
El proceso de verificacin slo es imprescindible para el cdigo de

aplicacin especfica, no para las libreras de funcin validadas
Establecer procedimientos de gestin de la documentacin asociada a

las versiones

- 55 -
Parametrizacin del Software de SRP/CS
La parametrizacin de parmetros de seguridad utilizando software especfico

puede representar un aspecto importante de las partes del sistema de mando
relativas a seguridad
A continuacin se detallan algunos requisitos importantes relativos a estos

aspectos:
La parametrizacin se debe llevar a cabo utilizando una herramienta de

software dedicada; suministrada por el fabricante de las partes del
sistema de mando relativas a seguridad; con identificacin propia
(nombre, versin, ); protegida contra modificaciones no autorizadas
(ej. contrasea)
Control de la integridad de datos

- rango de valores de entrada de parmetros
- corrupcin de datos en la transmisin
- control del efecto de los errores de transmisin
- control del efecto de transmisiones incompletas
- control del efecto de errores o fallos en el hardware o software de
la herramienta de parametrizacin
En relacin con la transmisin de datos se recomienda la retransmisin

de datos modificados como comprobacin o cualquier otros medio para
comprobar la integridad de los datos transmitidos

- 56 -
Las siguientes supervisiones deberan realizarse por la herramienta de
software de parametrizacin
- verificacin de los settings correctos de los parmetros (mximos,
mnimos, etc.)
- verificacin de plausibilidad (ej. valores invlidos)
- verificacin de modificaciones no autorizadas
- verificacin de que los datos son generados y procesados de
forma que los fallos no puedan provocar una prdida de la funcin
de seguridad
Todos estos requisitos son especialmente importantes cuando la

parametrizacin se realiza con un dispositivo que no ha sido diseado
especficamente para este fin, por ejemplo, un ordenador personal
COMBINACIN DE SRP/CS PL GLOBAL
Una funcin de seguridad se puede realizar como una combinacin de varias

partes del sistema de mando relativas a seguridad segn se representa en el
diagrama siguiente:

- 57 -
Cada una de las partes del sistema de mando relativas a seguridad puede
tener asociada una categora y se puede calcular un PL (PL1, PL2, , PLn en el
diagrama anterior).
Para la determinacin del PL global teniendo el PL de cada parte se puede

aplicar el siguiente mtodo:
Identificar el PLi ms bajo de todas las SRP/CSi PLbajo
Identificar el nmero de PLi que tienen este PLbajo Nbajo
Aplicar la tabla adjunta
PLbajo Nbajo PL
>3 Ninguno, no permitido
a
3 a
>2 a
b
2 b
>2 b
c
2 c
>3 c
d
3 d
>3 d
e
3 e

- 58 -
MTODO SIMPLIFICADO DE ESTIMACIN DEL PL
Este mtodo se basa en el uso de las arquitecturas designadas. Otras

arquitecturas se pueden transformar en estas para estimar ms fcilmente el
PL.
Para estas arquitecturas designadas se hacen las siguientes suposiciones:
- Tiempo de vida = 20 aos
- Tasa de fallos constante durante el tiempo de vida
- Para categora 2
La tasa chequeo de la funcin de seguridad debe ser, al menos,
100 veces mayor que la tasa de demanda de la misma.
El MTTFd de la parte de chequeo debe ser, al menos, superior a
la mitad del MTTFd de la lgica. Si no se pueden separar los
bloques lgicos, podemos considerar (TE, OTE) por un lado y (I,
O, L) por otro.
Para la estimacin del PL, la figura de la pgina siguiente da diferentes

combinaciones posibles de categora y cobertura de diagnstico (en el eje
horizontal), as como MTTDd en las barras verticales. El MTTFd se divide en
alto, medio o bajo para alcanzar el PLr. Antes de entrar en el diagrama, por
tanto hay que calcular el DCavg y MTTFd por canal, as como la categora de las
partes del sistema de mando relativas a seguridad.

- 59 -
La figura representa los resultados de diferentes modelos de Markov basados
en las arquitecturas designadas.
Para las categoras 3 y 4, adems, se deben tener en cuenta medidas

suficientes contra los fallos de causa comn (CCF).

- 60 -
Los valores numricos que dan lugar al mtodo grfico anterior se detallan en
forma de tabla en el Anexo K. Se puede recurrir a esta tabla si se necesitan
valores ms precisos de probabilidad de fallo peligroso por hora (PFHd).

- 61 -
Estos resultados han sido editados en forma de disco en el llamado PL
Calculator (PLC) que suministra el BGIA alemn (Berufgenossenschaftliches
Institut fr Arbeitsschutz), equivalente al INSHT nacional.
Se puede solicitar gratuitamente en la pgina web de esta institucin

(http://www.hvbg.de/bgia - WebCode = 1674855).

- 62 -
10. VERIFICACIN PL PLr (REQUERIDO)
Se debe verificar que el PL calculado es mayor o igual que el requerido

obtenido segn el rbol de seleccin visto en el paso 2. Si esto no es as, se
debe repetir el proceso iterativo.

- 63 -
11. VALIDACIN
Las partes del sistema de mando relativas a seguridad se deben validar para
demostrar que todas las SF cumplen los requisitos indicados en la ISO 13849-1
Para la validacin, sirve de ayuda la

norma EN ISO 13849-2
El proceso de validacin debe

comprobar la conformidad de las partes
del sistema de mando relativas a
seguridad con la norma EN ISO 13849-
1 y con las especificaciones de
seguridad de la mquina realizadas
durante el diseo
La validacin debera comenzar en

paralelo con el proceso de diseo y
efectuarse por personas independientes
del diseo.
Se realiza por anlisis (captulo 4 de la EN ISO 13849-2) y ensayo (captulo 5

de la EN ISO 13849-2) o por cualquier combinacin de ambas.

- 64 -
PLAN DE VALIDACIN
En el plan de validacin se debera establecer:
a) la documentacin de especificacin
b) las condiciones de funcionamiento y condiciones ambientales
c) los principios fundamentales de seguridad
d) los principios de seguridad de eficacia probada
e) los componentes de eficacia probada
f) los defectos y exclusin de defectos
g) los anlisis y ensayos a aplicar
Para los puntos c), d), e) y f) anteriores, la norma EN ISO 13849-2 suministra
tablas detalladas en su Anexo A.

- 65 -
VALIDACIN POR ANLISIS
Existen tcnicas de anlisis descendentes o tcnicas deductivas y tcnicas de

anlisis ascendentes o tcnicas inductivas. En el Anexo B de la norma EN
1050:1996 hay ms informacin sobre diferentes mtodos de anlisis.
Ejemplos de tcnicas de anlisis deductivas son el Anlisis por el rbol de

fallos (AAF) - ver Norma IEC 61025 o el Anlisis por el rbol de sucesos
(AAS).
Ejemplos de tcnicas de anlisis inductivas son el Anlisis de modos de fallo y
sus efectos (AMFE) ver Norma IEC 60812 o el Anlisis de modos de fallo y
la criticidad de sus efectos (AMFEC).
VALIDACIN POR ENSAYOS
Necesaria solo cuando la validacin por anlisis no es suficiente.
Se debe elaborar un plan de ensayos, realizar informes de los ensayos

llevados a cabo y finalmente cotejar los resultados con el plan de ensayos
inicial.
Para los ensayos, tener en cuenta los requisitos de la norma EN ISO 13849-2.
Las mediciones, por ejemplo deberan encontrarse dentro del rango del 5%
(temperatura 5K), tanto para tiempo, presin, fuerza, humedad relativa,
medidas elctricas, etc.

- 66 -
Gracias por su atencin.

- 67 -

infoPLC Net Seguridad Maquina SEiS Maquinaria PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

infoPLC Net Seguridad Maquina SEiS Maquinaria PDF

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD EN MAQUINARIA

AUTOMATISME I CONTROL ELECTRIC S.A.

SEGURIDAD EN MAQUINARIA EN 13849-1

SEGURIDAD EN MAQUINARIA EN 13849-1

La oferta formativa de SEIS MAQUINARIA, desarrollada con la experiencia

El presente curso se centra en el sistema de mando de la mquina. En una

En este curso se revisar y resumir la normativa referida a la seguridad en los

Un ejemplo de una funcin de seguridad tpica presente en casi todas las

SEGURIDAD EN MAQUINARIA EN 13849-1

EN ISO 13849-1:2006 Que indica los requisitos de diseo de las partes

SEGURIDAD EN MAQUINARIA EN 13849-1

La norma EN ISO 13849 ha sido preparada por el CEN (Comit Europeo de

En este caso, han colaborado respectivamente los comits CEN/TC 114 e

La norma EN ISO 13849 est clasificada como de tipo B1 segn la clasificacin

La EN ISO 13849 es armonizada respecto a la Directiva 98/37/CE de

SEGURIDAD EN MAQUINARIA EN 13849-1

EN ISO 13849-1:2006 Seguridad de las mquinas. Partes del sistema de

Pensada como la sustitucin de la anterior EN 954-1:1996, esta norma es una

Se complementa con la IEC EN 62061:2005, aunque esta ltima est referida

Tecnologa implementada en el/las

Limitado a las arquitecturas Todas las arquitecturas

Limitado a las arquitecturas c

Limitado a las arquitecturas Todas las arquitecturas

C combinada con A, o bien C combinada b c

SEGURIDAD EN MAQUINARIA EN 13849-1

Inicialmente como proyecto de norma prEN 954-2, aparece, sin embargo

Especifica los procedimientos a seguir para la validacin por anlisis y ensayo

ISO/TR 13849-100 Seguridad de las mquinas. Partes del sistema de

Da consejos para evitar malas interpretaciones de su norma relacionada.

SEGURIDAD EN MAQUINARIA EN 13849-1

Una de las normas que ms ha influenciado los cambios de mentalidad en el

Unos de los aspectos ms importantes a mejorar se centra en la necesidad de

Otro aspecto mejorable es que la EN 954-1 tampoco establece una relacin

SEGURIDAD EN MAQUINARIA EN 13849-1

SRP/CS = Safety Related Parts of a Control Systems

PLr = Required Performance Level

MTTF = Mean Time To Failure

SEGURIDAD EN MAQUINARIA EN 13849-1

MTBF = Mean Time Between Failure

- Esta expresa la disminucin de la probabilidad de fallos

SEGURIDAD EN MAQUINARIA EN 13849-1

- No confundir con Fallos de modo comn. Los fallos de modo

SEGURIDAD EN MAQUINARIA EN 13849-1

El fabricante dispone de un mtodo iterativo para el diseo y desarrollo de la

En la EN 1050:1997 - Principios para la evaluacin de riesgos se detalla este

SEGURIDAD EN MAQUINARIA EN 13849-1

La norma EN ISO 12100-1:2003 se encarga de esta fase de anlisis, mientras

Esta EN ISO 12100-2:2003 establece una jerarqua dentro de la estrategia para

- En el apartado 4 se tratan de las estrategias para la prevencin

- Si con la estrategia anterior no se eliminan todos los peligros ni si

- El apartado 6 da informacin para la utilizacin contra los riesgos

SEGURIDAD EN MAQUINARIA EN 13849-1

El proceso de seleccin y diseo de las partes del sistema de mando relativas

SEGURIDAD EN MAQUINARIA EN 13849-1

1. Identificacin y requisitos de las funciones de seguridad (SF)

SEGURIDAD EN MAQUINARIA EN 13849-1

La identificacin de las funciones de seguridad con parte en el sistema de

La tabla 8, indica las caractersticas y funciones de seguridad tpicas y sus

SEGURIDAD EN MAQUINARIA EN 13849-1

Aunque en ambas tablas los requisitos estn referidos a tecnologa elctrica,

Al especificar las funciones de seguridad se deben tener en cuenta las

a) Tener en cuenta los resultados del anlisis de riesgos y considerar las

b) Considerar las caractersticas en la operacin de mquina, es decir: