norma española TÍTULO
UNE-EN ISO 13849-1
Seguridad de las máquinas Partes de los sistemas de mando relativas a la seguridad Parte 1: Principios generales para el diseño (ISO 13849-1:2006)
Safety of machinery. Safety-related parts of control systems. Part 1: General principles for design. (ISO 13849-1:2006) Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de conception. (ISO 13849-1:2006)
CORRESPONDENCIA
Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 13849-1:2006, que a su vez adopta la Norma Internacional ISO 13849-1:2006.
OBSERVACIONES
Esta norma anulará y sustituirá a las Normas UNE-EN 954-1:1997 y UNE-EN 954-1:1998 Erratum antes de 2009-12-01.
ANTECEDENTES
Esta norma ha sido elaborada por el comité técnico AEN/CTN 81 Prevención y Medios de Protección Personal y Colectiva en el Trabajo cuya Secretaría desempeña AENOR-INSHT.
Editada e impresa por AENOR Depósito legal: M :2007
LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
© AENOR
C Génova, 6 28004 MADRID-España
2007 Reproducción prohibida
94 Páginas Teléfono Fax
91 432 60 00 91 310 40 32
Grupo
S
NORMA EUROPEA EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM
EN ISO 13849-1 Noviembre 2006
ICS 13.110
Sustituye a EN 954-1:1996
Versión en español
Seguridad de las máquinas Partes de los sistemas de mando relativas a la seguridad Parte 1: Principios generales para el diseño (ISO 13849-1:2006) Safety of machinery. Safety-related parts of control systems. Part 1: General principles for design. (ISO 13849-1:2006)
Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de conception. (ISO 13849-1:2006)
Sicherheit von Maschinen. Sicherheitsbezogene Teile von Steuerungen. Teil 1: Allgemeine Gestaltungsleitsätze. (ISO 13849-1:2006)
Esta norma europea ha sido aprobada por CEN el 2006-10-02. Los miembros CEN estánsin sometidos al Reglamento Interior de CEN/CENELEC que define condiciones dentro de las cuales debedeadoptarse, modificación, la norma europea como norma nacional. Laslascorrespondientes listas actualizadas y las referencias bibliográficas relativas a estas normas nacionales pueden obtenerse en el Centro de Gestión de CEN, o a través de sus miembros. Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al Centro de Gestión, tiene el mismo rango que aquéllas. Los miembros de CEN son los organismos nacionales de normalización de los países siguientes: Alemania, Austria, Bélgica, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia y Suiza.
CEN COMITÉ EUROPEO DE NORMALIZACIÓN European Committee for Standardization Comité Européen de Normalisation Europäisches Komitee für Normung CENTRO DE GESTIÓN: Rue de Stassart, 36 B-1050 Bruxelles ©
2006 Derechos de reproducción reservados a los Miembros de CEN.
EN ISO 13849-1:2006
-4-
PRÓLOGO El texto de la Norma EN ISO 13849-1:2006 ha sido elaborado por el Comité Técnico CEN/TC 114
Seguridad máquinasde, máquinas cuya Secretaría desempeña DIN, en colaboración con el Comité Técnico ISO/TC 199deSeguridad . Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto idéntico a ella o mediante ratificación antes de finales de mayo de 2007, y todas las normas nacionales técnicamente divergentes deben anularse antes de finales de noviembre de 2009. Esta norma anula y sustituye a la Norma Europea EN 954-1:1996. Esta norma europea ha sido elaborada bajo un Mandato dirigido a CEN por la Comisión Europea y por la Asociación Europea de Libre Cambio, y sirve de apoyo a los requisitos esenciales de las Directivas europeas. La relación con las Directivas UE se recoge en el anexo informativo ZA, que forma parte integrante de esta norma. De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea los organismos de normalización de los siguientes países: Alemania, Austria, Bélgica, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania,Suecia Luxemburgo, Checa, Rumanía, y Suiza.Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República
-5-
ISO 13849-1:2006
ÍNDICE Página PRÓLOGO ............................................... ........................................................ .................................
7
INTRODUCCIÓN ........................................................ ............................................................ ........
8
1 2
OBJETO Y CAMPO DE APLICACIÓN ...................................................... ................ NORMAS PARA CONSULTA............................... ........................................................
10 10
3 3.1 3.2
TÉRMINOS, DEFINICIONES, SÍMBOLOS Y ABREVIATURAS ........................... Términos y definiciones ................................................................ ................................... Símbolos y abreviaturas .................................................... ..............................................
11 11 15
4 4.1 4.2 4.2.1 4.2.2 4.3 4.4 4.5 4.5.1 4.5.2 4.5.3 4.5.4 4.6 4.6.1 4.6.2 4.6.3 4.6.4 4.7 4.8
CONSIDERACIONES RELATIVAS AL DISEÑO...................................................... Objetivos de seguridad en el diseño .......................................................... ...................... Estrategia para la reducción del riesgo ....................................................... ................... Generalidades ................................................................. .................................................. Contribución a la reducción del riesgo mediante el sistema de mando ....................... Determinación del nivel de prestaciones requerido PLr ............................................... Diseño de las SRP/CS ....................................................... ................................................ Estimación del nivel de prestaciones obtenido y relación con el SIL.......... ................. Nivel de Prestaciones PL ......................................................... ........................................ Tiempo medio hasta el fallo peligroso de cada canal (MTTFd) .................................... Cobertura del diagnóstico (DC) ............................................................. ......................... Procedimiento simplificado para la estimación de un PL....................................... ...... Requisitos para el soporte lógico de seguridad ............................................................. . Generalidades ................................................................. .................................................. Soporte lógico integrado relativo a la seguridad (SRESW)................ .......................... Soporte lógico de aplicación relativo a la seguridad (SRASW)................................... . Parametrización basada en el soporte lógico ................................................................. Verificación de que el PL obtenido satisface el PLr.................................................. ..... Aspectos ergonómicos del diseño ............................................................ ........................
17 17 18 18 18 21 21 22 22 24 24 25 27 27 28 29 32 33 33
5 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7 5.2.8
FUNCIONES DE SEGURIDAD..................... ................................................................ Especificación de las funciones de seguridad ................................................................. Detalles de las funciones de seguridad...................................... ...................................... Función de parada relativa a la seguridad.......................... ........................................... Función de rearme manual............................................................... ............................... Puesta en marcha y nueva puesta en marcha ............................................................. ... Función de mando local ............................................................ ....................................... Inhibición ............................................................. ........................................................... .. Tiempo de respuesta ......................................................... ............................................... Parámetros relativos a la seguridad .............................................. ................................. Variaciones, pérdida y restablecimiento de la alimentación de energía ......................
33 33 35 35 36 36 37 37 37 38 38
ISO 13849-1:2006
6
-6-
6.1 6.2 6.2.1 6.2.2 6.2.3
CATEGORÍAS Y SU RELACIÓN CON LOS MTTFd DE CADA CANAL, DCavgY CCF ....................................................... ........................................................... ... 38 Generalidades .............................................................. ..................................................... 38 Especificaciones de las categorías ......................................................... .......................... 39 Generalidades ................................................................. .................................................. 39 Arquitecturas tipo ........................................................... ................................................. 39 Categoría B ........................................................ ....................................................... ........ 39
6.2.4 6.2.5 6.2.6 6.2.7 6.3
Categoría 1................... ........................................................ ............................................. Categoría 2................... ........................................................ ............................................. Categoría 3................... ........................................................ ............................................. Categoría 4................... ........................................................ ............................................. Combinación de SRP/CS para obtener un PL global ...................................................
40 41 43 44 48
7 7.1 7.2 7.3
CONSIDERACIÓN DE DEFECTOS, EXCLUSIÓN DE DEFECTOS ...................... Generalidades .............................................................. ..................................................... Consideración de defectos .............................................................. ................................. Exclusión de defectos ........................................................... ............................................
49 49 49 49
8
VALIDACIÓN .................................................... ............................................................ .
49
9
MANTENIMIENTO.................................................. ......................................................
50
10
DOCUMENTACIÓN TÉCNICA ................................................................. ..................
50
11 INFORMACIÓN PARA LA UTILIZACIÓN ...................................................... ......... ANEXO A (Informativo) DETERMINACIÓN DEL NIVEL DE PRESTACIONES REQUERIDO (PLr) .......................................................................
50
ANEXO B (Informativo)
52
MÉTODO DE LOS BLOQUES Y DIAGRAMA DE BLOQUES RELATIVO A LA SEGURIDAD .............................
55
CÁLCULO VALORACIÓN DEL MTTFd PARA COMPONENTES INDIVIDUALES ............................................
57
ANEXO D (Informativo)
MÉTODO SIMPLIFICADO PARA ESTIMAR EL MTTFd PARA CADA CANAL ....................................................... ............
65
ANEXO E (Informativo)
ESTIMACIONES PARA LA COBERTURA DEL DIAGNÓSTICO (DC) PARA LAS FUNCIONES Y LOS MÓDULOS.......
67
ESTIMACIONES PARA LOS FALLOS DE CAUSA COMÚN (CCF) ........................................................ ......................
70
ANEXO G (Informativo)
FALLOS SISTEMÁTICOS...........................................................
72
ANEXO H (Informativo)
EJEMPLO DE COMBINACIÓN DE VARIAS PARTES DEL SISTEMA DE M ANDO RELATIVAS A LA SEGURIDAD (SRP/CS) ......................................................
75
ANEXO C (Informativo)
ANEXO F (Informativo)
ANEXO I (Informativo)
EJEMPLOS ................................................... .................................
78
ANEXO J (Informativo)
SOPORTE LÓGICO ............................................... ......................
85
ANEXO K (Informativo)
REPRESENTACIÓN NUMÉRICA DE LA FIGURA 5 .............
88
BIBLIOGRAFÍA
....................................................... ...................................................
91
-7-
ISO 13849-1:2006
PRÓLOGO ISO (la Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros ISO).técnicos El trabajo de preparación de lasmiembro normas internacionales normalmente se realiza a través de los de comités de ISO. Cada organismo interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/IEC. La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas internacionales adoptados por los comités técnicos se envían a los organismos miembros para su votación. La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos miembros con derecho a voto. Se llama la atención sobre la posibilidad de que algunos de los elementos de esta norma internacional puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente. La Norma 13849-1 fue preparada el Comité Europeo CEN/TC 114Internacional Seguridad de ISO máquinas , en colaboración conpor el Comité Técnico ISO/TCde199Normalización Seguridad de máquinas, de acuerdo con el Acuerdo de cooperación técnica entre ISO y CEN (Acuerdo de Viena). Esta segunda edición anula y sustituye a la primera edición (ISO 13849-1:1999), que ha sido revisada técnicamente. La Norma ISO 13849 consta de las partes siguientes, bajo el título general Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad: −
Parte 1: Principios generales para el diseño.
−
Parte 2: Validación.
−
Parte 100: Directrices para el uso y la aplicación de ISO 13849-1 [Informe Técnico].
ISO 13849-1:2006
-8-
INTRODUCCIÓN La estructura de las normas en el ámbito de la seguridad de las máquinas es la siguiente: a) Normas de tipo A (normas de seguridad fundamentales) que precisan nociones fundamentales, principios para el diseño y aspectos generales que pueden ser aplicados a todos los tipos de máquinas. b) Normas de tipo B (normas de seguridad relativas a una materia) que tratan de uno o más aspectos de seguridad o de uno o más tipos de protecciones, que son válidas para una amplia gama de máquinas: −
normas de tipo B1, que tratan de aspectos particulares de la seguridad (por ejemplo, distancias de seguridad, temperatura superficial, ruido);
−
normas de tipo B2, que tratan de protecciones (por ejemplo, mando a dos manos, dispositivos de enclavamiento, dispositivos sensibles a la presión, resguardos).
c) Normas de tipo C (normas de seguridad de las máquinas) que tratan de requisitos de seguridad detallados para una máquina particular o para un grupo de máquinas. Esta parte de la Norma ISO 13849-1 es una norma de tipo B-1 tal como se establece en la Norma ISO 12100-1. Si las especificaciones de una norma de tipo C son diferentes de las establecidas en las normas de tipo A o de tipo B, las especificaciones de la norma de tipo C tienen prioridad sobre las especificaciones de otras normas, para máquinas que se hayan diseñado y construido conforme a las especificaciones de la norma de tipo C. Esta parte de la Norma ISO 13849 está prevista para guiar a aquellos que estén implicados en el diseño y evaluación de los sistemas de mando, así como a los Comités Técnicos que elaboran las normas de tipo B2 o de tipo C que se presumen Máquinas. conformesEsta a los requisitos esenciales deespecíficas seguridadpara del cumplir anexo Icon de otras la Directiva delCE. Consejo 98/37/CE, Directiva norma no da orientaciones Directivas Como parte de la estrategia global de reducción de riesgos de una máquina, un diseñador optará a menudo por conseguir alguna medida de reducción de riesgos mediante la aplicación de protecciones que emplean una o varias funciones de seguridad. Las partes de los sistemas de mando de las máquinas que tienen asignado desempeñar funciones de seguridad se denominan partes de los sistemas de mando relativas a la seguridad (SRP/CS) y pueden estar constituidas de soporte material (hardware) y de soporte lógico (software) y pueden estar separadas del sistema de mando de la máquina o ser una parte integral del mismo. Además de desempeñar las funciones de seguridad, las SRP/CS pueden desempeñar también funciones operativas (por ejemplo, dispositivos de mando a dos manos como medio para la puesta en marcha de un proceso). La aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles, está clasificada en cinco niveles denominados niveles de prestaciones (PL). Estos niveles de prestaciones se definen en términos de probabilidad de fallo peligroso por hora (véase la tabla 3). La probabilidad de fallo peligroso de una función de seguridad depende de varios factores, incluyendo la estructura del soporte material del soporte la magnitud de los mecanismos defectos [cobertura del diagnóstico (DC)],y fiabilidad de lógico, los componentes [tiempo medio hasta un de fallodetección peligrosode(MTTF d), fallos de causa común (CCF)], proceso de diseño, esfuerzos de funcionamiento, condiciones ambientales y procedimientos de trabajo. Con el fin de ayudar al diseñador y facilitarle la evaluación del PL conseguido, este documento emplea una metodología basada en la categorización de estructuras conforme a criterios de diseño específicos y a comportamientos especificados en caso de defecto. Estas categorías se clasifican en cinco niveles, denominados Categorías B, 1, 2, 3 y 4.
-9-
ISO 13849-1:2006
Los niveles de prestaciones y las categorías se pueden aplicar a las partes de los sistemas de mando relativas a la seguridad, tales como: – dispositivos de protección (por ejemplo, dispositivos de mando a dos manos, dispositivos de enclavamiento), dispositivos de protección electrosensibles (por ejemplo, barreras fotoeléctricas), dispositivos sensibles a la presión; – las unidades de mando (por ejemplo, un bloque lógico para funciones de mando, tratamiento de datos, control, etc.), y – elementos de mando de los accionadores (por ejemplo, relés, válvulas, etc.), así como a los sistemas de mando que desempeñan funciones de seguridad en todo tipo de máquinas, desde las más sencillas (por ejemplo, pequeñas máquinas de cocina, o puertas y barreras automáticas) a instalaciones manufactureras (por ejemplo, máquinas de embalaje, máquinas de imprimir, prensas). El objetivo de esta parte de la Norma ISO 13849 es proporcionar una base clara que permita evaluar el diseño y las prestaciones de cualquier aplicación de SRP/CS (y de la máquina), por una tercera parte o internamente o por un laboratorio de ensayo independiente, por ejemplo.
Información sobre la aplicación recomendada de la Norma IEC 62061 y esta parte de la Norma ISO 13849 La Norma IEC 62061 y esta parte de la Norma ISO 13849 especifican los requisitos para el diseño y la implementación de sistemas de mando relativos a la seguridad de las máquinas. La utilización de cualquiera de estas normas internacionales, de acuerdo con sus campos de aplicación, puede dar presunción de conformidad con los requisitos esenciales de seguridad pertinentes. La tabla siguiente resume los campos de aplicación de la Norma IEC 62061 y de esta parte de la Norma ISO 13849.
Tabla 1 – Aplicación recomendada de la Norma IEC 62061 y de la Norma ISO 13849-1
D
Tecnología que implementa la(s) función(es) de mando relativa(s) a la seguridad No eléctrica, por ejemplo, hidráulica Electromecánica, por ejemplo, relés y/o electrónica no compleja Electrónica compleja, por ejemplo, programable A combinada con B
E
C combinada con B
F
C combinada con A, o C
A B C
ISO 13849-1
IEC 62061
X
No cubierta a
Restringida a arquitecturas tipo y hasta un PL = e Restringida a arquitecturas tipoa y hasta un PL = d Restringida a arquitecturas tipoa y hasta un PL = e Restringida a arquitecturas tipo (véase la Nota 1) y hasta un PL = d
Todas las arquitecturas y hasta un SIL 3 Todas las arquitecturas y hasta un SIL 3
Xb
Xc
Xc Todas las arquitecturas y hasta un SIL 3
combinada con A y B X indica que este aspecto se trata en la norma internacional mostrada en el encabezamiento de la columna. a
En el apartado 6.2 se definen las arquitecturas tipo con el fin de dar una aproximación simplificada para la cuantificación del nivel de prestaciones.
b
Para electrónica compleja: utilizar arquitecturas tipo de acuerdo con esta parte de la Norma ISO 13849 hasta un PL = d, o cualquier arquitectura de acuerdo con la Norma IEC 62061.
c
Para tecnología no eléctrica, utilizar partes de acuerdo con esta parte de la Norma ISO 13849 como subsistemas.
ISO 13849-1:2006
- 10 -
1 OBJETO Y CAMPO DE APLICACIÓN Esta parte de la Norma ISO 13849 proporciona requisitos de seguridad y orientaciones sobre los principios para el diseño e integración de las partes de los sistemas de mando relativas a la seguridad (SRP/CS), incluyendo el diseño del soporte lógico (software). Para estas partes especifica las características, incluyendo el nivel de prestaciones requerido, para desempeñar las funciones de seguridad. Se aplica a las SRP/CS de cualquier tipo de máquina, independientemente de la tecnología y del tipo de energía utilizadas (eléctrica, hidráulica, neumática, mecánica, etc.). En ella no se especifican qué funciones de seguridad ni qué niveles de prestaciones se deben utilizar en un caso particular. Esta parte de la Norma ISO 13849 proporciona requisitos específicos para SRP/CS que utilizan sistemas electrónicos programables. En ella no se dan requisitos específicos para el diseño de componentes integrados en las SRP/CS. Sin embargo, se pueden utilizar los principios establecidos, tales como las categorías o los niveles de prestaciones. NOTA 1 Ejemplos de componentes integrados en las SRP/CS: relés, electroválvulas, interruptores de posición, PLCs, unidades de control de motores, dispositivos de mando a dos manos, equipos sensibles a la presión. Para el diseño de dichos componentes, es importante remitirse a las Normas Internacionales específicas, por ejemplo, ISO 13851, ISO 13856-1 e ISO 13856-2. NOTA 2 Para la definición de nivel de prestaciones requerido, véase el apartado 3.1.24. NOTA 3 Los requisitos proporcionados en esta parte de la Norma ISO 13849 para sistemas electrónicos programables son compatibles con la metodología para el diseño y desarrollo de las partes de los sistemas de mando eléctricos, electrónicos y electrónicos programables, relativas a la seguridad de las máquinas, dadas en la Norma IEC 62061. NOTA 4 Para soporte lógico embebido relativo a la seguridad en componentes con PLr = e, véase el capítulo 7 de la Norma IEC 61508-3:1998. NOTA 5 Véase también la tabla 1.
2 NORMAS PARA CONSULTA Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición de la norma (incluyendo cualquier modificación de ésta). ISO 12100-1:2003 Seguridad de las máquinas. Conceptos básicos, principios generales para el diseño. Parte 1: Terminología básica. Metodología. ISO 12100-2:2003 Seguridad de las máquinas. Conceptos básicos, principios generales para el diseño. Parte 2: Principios técnicos. ISO 13849-2:2003 Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad. Parte 2: Validación. ISO 141211) Seguridad de las máquinas. Principios para la evaluación del riesgo. IEC 60050-191:1990 Vocabulario electrotécnico internacional. Capítulo 191: Confiabilidad y calidad Capítulo de servicio, y Vocabulario electrotécnico internacional. 191: IEC 60050-191-mod1:1999 y IEC 60050-191-mod2:2002:1999 Confiabilidad y calidad de servicio. IEC 61508-3:1998 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 3: Requisitos del software (soporte lógico), y IEC 61508-3 Corr.1:1999, Corrigendum 1 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 3: Requisitos del software (soporte lógico).
1) Pendiente de publicar (Revisión de la Norma ISO 14121:1999).
- 11 -
ISO 13849-1:2006
IEC 61508-4:1998 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 4: Definiciones y abreviaturas, y IEC 61508-4 Corr.1:1999, Corrigendum 1 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 4: Definiciones y abreviaturas.
3 TÉRMINOS, DEFINICIONES, SÍMBOLOS Y ABREVIATURAS 3.1 Términos y definiciones Para los fines de este documento, se aplican los términos y definiciones de las Normas ISO 12100-1 e IEC 60050-191, así como los siguientes. 3.1.1 parte de un sistema de mando relativa a la seguridad (SRP/CS): Parte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad. NOTA 1 Las partes combinadas de un sistema de mando relativas a la seguridad comienzan en los puntos en los que se generan las señales de entrada relativas a la seguridad (incluyendo, por ejemplo, la leva de accionamiento y el rodillo del interruptor de posición) y terminan a la salida de los elementos de mando de los accionadores (incluyendo, por ejemplo, los contactos principales de un contactor). NOTA 2 Si se utilizan sistemas de control para los diagnósticos, éstos también se consideran SRP/CS.
3.1.2 categoría: Clasificación de las partes de un sistema de mando relativas a la seguridad en función de su resistencia a defectos y de su comportamiento subsecuente en caso de defecto, y que se obtiene mediante la arquitectura de dichas partes, la detección de defectos y/o su fiabilidad. 3.1.3 defecto o avería: Estado de una unidad caracterizado por la incapacidad para desempeñar la función requerida, excluyendo la incapacidad debida al mantenimiento preventivo o a otras acciones programadas o debido a la falta de medios externos. NOTA 1 A menudo un defecto es la consecuencia de un fallo de la propia unidad, pero puede existir sin fallo previo.
[IEC 60050-191:1990, 05-01] NOTA 2 En esta parte de la Norma ISO 13849, “defecto” significa defecto aleatorio.
3.1.4 fallo: Cese de la aptitud de una unidad para cumplir una función requerida. NOTA 1 Después de que una unidad falla, tiene un defecto. NOTA 2 Un fallo es un suceso, mientras que un defecto en un estado. NOTA 3 La noción de defecto, tal como se ha definido, no se aplica a una unidad constituida solamente por un soporte lógico.
[IEC 60050-191:1990, 04-01] NOTA 4 Los fallos que solamente afectan a la disponibilidad del proceso controlado por el sistema de mando no están cubiertos por el campo de aplicación de esta parte de la Norma ISO 13849.
3.1.5 fallo peligroso: Fallo que potencialmente puede poner una SRP/CS en un estado peligroso o defectuoso. NOTA 1 El hecho de que se materialice o no dicha “potencialidad” puede depender de la arquitectura de canales del sistema; en sistemas redundantes, es menos probable que un fallo peligroso en el soporte material de lugar a un estado global peligroso o defectuoso. NOTA 2 Adaptada de la Norma IEC 61508-4:1998, definición 3.6.7.
ISO 13849-1:2006
- 12 -
3.1.6 fallo de causa común (CCF): Fallo de varios elementos, que resultan de un solo suceso y que no son consecuencia unos de otros. [IEC 60050-191-mod1:1999, 04-23] NOTA Los fallos de causa común no se deberían confundir con los fallos de modo común (véase la Norma ISO.12100-1:2003, 3.34).
3.1.7 fallo sistemático: Fallo asociado de manera determinista a una cierta causa, que solamente puede ser eliminado mediante una modificación del diseño o del proceso de fabricación, de los procedimientos de trabajo, de la documentación o de otros factores apropiados. NOTA 1 El mantenimiento correctivo sin modificación, no eliminará, normalmente, la causa del fallo. NOTA 2 Un fallo sistemático se puede inducir simulando la causa del fallo.
[IEC 60050-191:1990, 04-19] NOTA 3 Ejemplos de causas de fallos sistemáticos incluyen los errores humanos en: −
las especificaciones de los requisitos de seguridad;
−
el diseño, la fabricación, la instalación, el funcionamiento del soporte material y
−
el diseño, la implementación, etc., del soporte lógico.
3.1.8 inhibición: Interrupción automática y temporal de la(s) función(es) de seguridad mediante las SRP/CS. 3.1.9 rearme manual: Función interna a las SRP/CS que permite restablecer manualmente funciones de seguridad determinadas antes de una nueva puesta en marcha de la máquina. 3.1.10 daño: Lesión física o deterioro de la salud. [ISO 12100-1:2003, 3.5]
3.1.11 peligro: Fuente de posible daño. NOTA 1 El concepto "peligro" se puede cualificar con el fin de definir su srcen (por ejemplo, peligro mecánico, peligro eléctrico) o la naturaleza del posible daño (por ejemplo, peligro de choque eléctrico, peligro de corte, peligro de intoxicación, peligro de incendio). NOTA 2 El peligro considerado en esta definición: −
puede estar permanentemente presente durante el uso previsto de la máquina (por ejemplo, elementos móviles peligrosos en movimiento, arco eléctrico durante una operación de soldadura, postura incómoda, emisión de ruido, temperatura alta); o
−
puede aparecer de forma imprevista (por ejemplo, explosión, peligro de aplastamiento como consecuencia de una puesta en marcha inesperada / intempestiva, proyección como consecuencia de una rotura, caída como consecuencia de una aceleración / deceleración).
[ISO 12100-1:2003, 3.6]
3.1.12 situación peligrosa: Circunstancia en la que una(o varias) persona(s) está(n) expuesta(s) al menos a un peligro. La exposición puede dar lugar a un daño de forma inmediata o después de un periodo de tiempo. [ISO 12100-1:2003, 3.9]
- 13 -
ISO 13849-1:2006
3.1.13 riesgo: Combinación de la probabilidad de que se produzca un daño y de la gravedad de dicho daño. [ISO 12100-1:2003, 3.11]
3.1.14 riesgo residual: Riesgo que queda después de que se hayan tomado las medidas preventivas. Véase la figura 2. NOTA Adaptada de la Norma ISO 12100-1:2003, definición 3.12.
3.1.15 evaluación del riesgo: Proceso global que comprende el análisis de riesgos y la valoración de riesgos. [ISO 12100-1:2003, 3.13]
3.1.16 análisis del riesgo: Combinación de la especificación de los límites de la máquina, la identificación del peligro y la estimación del riesgo. [ISO 12100-1:2003, 3.14]
3.1.17 valoración del riesgo: Juzgar, conforme al resultado del análisis del riesgo, si los objetivos de reducción del riesgo se han alcanzado. [ISO 12100-1:2003, 3.16]
3.1.18 usomáquina, previstode deacuerdo una máquina: Uso de una con la información proporcionada en las instrucciones para la utilización. [ISO 12100-1:2003, 3.22]
3.1.19 mal uso razonablemente previsible: Uso de una máquina de una manera para la que no está destinada por el diseñador, pero que puede resultar de un comportamiento humano fácilmente predecible. [ISO 12100-1:2003, 3.23]
3.1.20 función de seguridad: Función de una máquina cuyo fallo podría dar lugar a un aumento inmediato del (de los) riesgo(s). [ISO 12100-1:2003, 3.28]
3.1.21 control: Función de seguridad que asegura que se inicia una medida preventiva si disminuye la aptitud de un componente o de un elemento para desempeñar su función o si se modifican las condiciones del proceso de manera que se genera una disminución de la reducción de riesgo.
3.1.22 sistema electrónico programable (PES): Sistema para mando, protección o control cuyo funcionamiento depende de uno o más dispositivos electrónicos programables, incluyendo todos los elementos del sistema tales como las fuentes de alimentación, los sensores y otros dispositivos de entrada, contactores y otros dispositivos de salida. NOTA Adaptada de la Norma IEC 61508-4:1998, definición 3.3.2.
ISO 13849-1:2006
- 14 -
3.1.23 nivel de prestaciones (PL): Nivel discreto utilizado para especificar la aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles. NOTA Véase el apartado 4.5.1.
3.1.24 nivel de prestaciones requerido (PLr): Nivel de prestaciones (PL) aplicado con el fin de conseguir la reducción de riesgo requerida para cada función de seguridad. Véanse las figuras 2 y A.1.
3.1.25 tiempo medio hasta un fallo peligroso (MTTFd): Valor probable de la duración media hasta un fallo peligroso. NOTA Adaptada de la Norma IEC 62061:2005, definición del apartado 3.2.34.
3.1.26 cobertura del diagnóstico (DC): Medida de la efectividad del diagnóstico, que se puede determinar como la relación entre el número de fallos peligrosos detectados y el número total de fallos peligrosos. NOTA 1 La cobertura del diagnóstico puede referirse a la totalidad o a parte de un sistema relativo a la seguridad. Por ejemplo, la cobertura del diagnóstico puede referirse a los sensores y/o a un sistema lógico y/o a los elementos finales. NOTA 2 Adaptada de la Norma IEC 61508-4:1998, definición del apartado 3.8.6.
3.1.27 medida preventiva: Medida prevista para lograr la reducción del riesgo. EJEMPLO 1 Implementada por el diseñador: diseño inherentemente seguro, protección y medidas preventivas complementarias, información para la utilización. EJEMPLO 2 Implementada por el usuario: organización (procedimientos de trabajo seguros, supervisión, sistemas de permiso de trabajo); provisión y utilización de protecciones adicionales; utilización de equipos de protección individual, formación. NOTA Adaptada de la Norma ISO 12100-1:2003, definición del apartado 3.18.
3.1.28 duración de la misión (TM): Periodo de tiempo que comprende el uso previsto de una SRP/CS. 3.1.29 tasa de verificación (rt): Frecuencia de las verificaciones automáticas para detectar defectos en una SRP/CS, valor inverso del intervalo entre verificaciones de diagnóstico. 3.1.30 tasa de solicitación (rd): Frecuencia de solicitación de una acción relativa a la seguridad de una SRP/CS. 3.1.31 tasa de reparación (rr): Valor del periodo deevidente tiempodel entre la detección de undel fallo peligroso, ya después sea por una automática por uninverso mal funcionamiento sistema y el reinicio funcionamiento de laverificación reparación del sistema oo la sustitución del sistema/componente. NOTA El tiempo de reparación no incluye el tiempo necesario para la detección del fallo.
- 15 -
ISO 13849-1:2006
3.1.32 sistema de mando de la máquina: Sistema que responde a señales de entrada de partes de las máquinas, de los operadores, de los órganos de mando externos o de cualquier combinación de estos y que genera señales de salida que dan lugar a que la máquina se comporte de una manera prevista. NOTA El sistema de mando de una máquina puede utilizar cualquier tecnología o cualquier combinación de tecnologías diferentes (por ejemplo, eléctrica/electrónica, hidráulica, neumática, mecánica).
3.1.33 nivel de integridad de la seguridad (SIL): Nivel discreto (entre cuatro posibles), para especificar los requisitos de integridad de la seguridad de las funciones de mando relativas a la seguridad asignadas a los sistemas eléctricos, electrónicos y electrónicos programables relativos a la seguridad, siendo el nivel 4 de integridad de la seguridad el que posee el nivel más alto de integridad de la seguridad y el nivel 1 de integridad de la seguridad el que posee el más bajo. [IEC 61508-4:1998, 3.5.6]
3.1.34 lenguaje de variabilidad limitada (LVL): Tipo de lenguaje que proporciona la posibilidad de combinar funciones de bibliotecas, predefinidas, específicas para una aplicación, con el fin de implementar las especificaciones de los requisitos relativos a la seguridad. NOTA 1 Adaptada de la Norma IEC 61511-1:2003, definición del apartado 3.2.80.1.2. NOTA 2 En la Norma IEC 61131-3 se dan ejemplos típicos de LVL (escala lógica, esquema de bloques funcionales). NOTA 3 Un ejemplo típico de sistema que utiliza el LVL: PLC.
3.1.35 lenguaje de variabilidad total (FVL): Tipo de lenguaje que proporciona la posibilidad de implementar una amplia gama de funciones y aplicaciones. Ejemplo C, C++, Ensamblador. NOTA 1 Adaptada de la Norma IEC 61511-1:2003, definición del apartado 3.2.80.1.3. NOTA 2 Un ejemplo típico de sistema que utiliza el FVL: Sistemas integrados. NOTA 3 En el ámbito de las máquinas, el FVL se encuentra en los soportes lógicos integrados y raramente en los soportes lógicos de aplicación.
3.1.36 soporte lógico de aplicación: Soporte lógico específico para una aplicación, implementado por el fabricante de la máquina y que generalmente contiene secuencias lógicas, límites y expresiones que gobiernan las entradas, las salidas, cálculos apropiados y las decisiones necesarias para cumplir los requisitos de las SRP/CS. 3.1.37 soporte lógico integrado (soporte lógico rígido, soporte lógico del sistema): Soporte lógico que es parte del sistema suministrado por el fabricante y que no es accesible para modificaciones por el usuario de la máquina. NOTA El soporte lógico integrado se escribe normalmente en FVL.
3.2 Símbolos y abreviaturas Véase la tabla 2.
ISO 13849-1:2006
- 16 -
Tabla 2 – Símbolos y abreviaturas Símbolo o abreviatura a, b, c, d, e AMFD AOPD
Definición o lugar en el que aparece Denominación de los niveles de prestaciones Tabla 3 Análisis de los modos de fallo y sus efectos 7.2 Dispositivo de protección optoelectrónico activo (por ejemplo, barrera Anexo H fotoeléctrica)
B,10d1, 2, 3, 4 B
Denominación de las categorías Anexo7C Número de ciclos hasta que el 10% de los componentes falla peligrosa- Tabla mente (para componentes neumáticos y electromecánicos) Categoría 3.1.2 Convertidor de corriente Anexo I Fallo de causa común 3.1.6 Cobertura del diagnóstico 3.1.26 Cobertura del diagnóstico media E.2 Frecuencia y/o tiempo de exposición al peligro A.2.2 Bloque funcional 4.6.3 Lenguaje de variabilidad total 3.1.35 Dispositivo de entrada, por ejemplo, sensor 6.2 Índice de conteo Anexo D Entradas/salidas Tabla E.1 Medios de interconexión Figura 4 Contactores Anexo I Lógica 6.2 Lenguaje de variabilidad limitada 3.1.34 Motor Anexo I Tiempo medio hasta un fallo Anexo C Tiempo medio hasta un fallo peligroso 3.1.25 Número de elementos 6.3, D.1 Número de SRP/CS con PLlow en una combinación de SRP/CS 6.3 Dispositivo de salida, por ejemplo, accionador 6.2 Posibilidad de evitar el daño A.2.3 Sistema electrónico programable 3.1.22 Nivel de prestaciones 3.1.23 Autómata programable Anexo I Nivel de prestaciones más bajo de una SRP/CS en una combinación de 6.3 SRP/CS Nivel de prestaciones requerido 3.1.24 Tasa de solicitación 3.1.30 Detector de rotación Anexo I Severidad del daño A.2.1 Interruptores de posición Anexo I
Cat. CC CCF DC DCavg F, F1, F2 FB FVL I, I1, I2 i, j I/O iab, ibc K1A, K1B L, L1, L2 LVL M MTTF MTTFd n, N, Ñ Nlow O, O1, O2, OTE P, P1, P2 PES PL PLC PLlow PLr rd RS S, S1, S2 SW1A, SW1B, SW2 SIL SRASW SRESW SRP SRP/CS TE TM
Descripción
Nivel de integridad de la seguridad Soporte lógico de aplicación relativo a la seguridad Soporte lógico integrado relativo a la seguridad Parte relativa a la seguridad Parte de un sistema de mando relativa a la seguridad Equipo de ensayo Duración de la misión
Tabla 4 4.6.3 4.6.2 General 3.1.1 6.2 3.1.28
- 17 -
ISO 13849-1:2006
4 CONSIDERACIONES RELATIVAS AL DISEÑO 4.1 Objetivos de seguridad en el diseño Las SRP/CS deben ser diseñadas y construidas de manera que se tengan totalmente en cuenta los principios de las Normas ISO 12100 e ISO 14121 (véanse las figuras 1 y 3). Se debe tener en cuenta cualquier uso previsto y cualquier mal uso razonablemente previsible.
a
Referencia a la Norma ISO 12100-1:2003.
b
Referencia a esta parte de la Norma ISO 13849.
Figura 1 Presentación de la evaluación del riesgo/reducción del riesgo
ISO 13849-1:2006
- 18 -
4.2 Estrategia para la reducción del riesgo 4.2.1 Generalidades La estrategia para la reducción de riesgos en la máquina se da en el capítulo 5 de la Norma ISO 12100-1:2003 y en los capítulos 4 (medidas de diseño inherentemente seguro) y 5 (protección y medidas preventivas suplementarias). Esta estrategia cubre el ciclo completo de la vida de la máquina. El proceso de evaluación del riesgo y de reducción del riesgo para una máquina impone que se eliminen los peligros o que se reduzcan los riesgos mediante una jerarquía de medidas: − eliminación del peligro o reducción del riesgo por diseño (véase el capítulo 4 de la Norma ISO 12100-2:2003); −
reducción del riesgo por protección y posibles medidas preventivas suplementarias (véase el capítulo 5 de la Norma ISO 12100-2:2003);
−
reducción del riesgo proporcionando información para la utilización acerca del riesgo residual (véase el capítulo 6 de la Norma ISO 12100-2:2003).
4.2.2 Contribución a la reducción del riesgo mediante el sistema de mando El objetivo del procedimiento general de diseño de una máquina es conseguir los objetivos de seguridad (véase el apartado 4.1). El diseño de una SRP/CS para obtener la reducción del riesgo requerida es parte integrante del proceso global de diseño de una máquina. La SRP/CS desempeña una (varias) función (es) de seguridad para un PL con el que se alcanza la reducción del riesgo requerida. El diseño de una SRP/CS es una parte de la estrategia para la reducción del riesgo en la medida en que asegura una (varias) función (es) de seguridad, ya sea formando parte del diseño inherentemente seguro o como mando asociado a una protección o un dispositivo de protección. Se trata del proceso iterativo ilustrado en las figuras 1 y 3. Para cada función de seguridad, se deben detallar y documentar las características prestaciones requerido, en las especificaciones relativas a los requisitos de seguridad. (véase el capítulo 5) y el nivel de En esta parte de la Norma ISO 13849 los niveles de prestaciones se definen en términos de probabilidad de fallo peligroso por hora. Se establecen cinco niveles de prestaciones (del a al e), mediante una gama de probabilidades de fallo peligroso por hora (véase la tabla 3).
Tabla 3 – Niveles de prestaciones (PL) PL a b c d e
Probabilidad media de un fallo peligroso por hora 1/h ! 10-5 a < 10 -4 -6 -5 ! 3 x 10 a < 10 -6 -6 ! 10 a < 3 x 10 -7 -6 ! 10 a < 10 -8 -7 ! 10 a < 10
NOTA Además de la probabilidad media de fallo peligroso por hora, son necesarias otras medidas para obtener el PL.
A partir de la evaluación de riesgos (véase la Norma ISO 14121) de la máquina, el diseñador debe decidir la contribución a la reducción del riesgo que debe aportar la función de seguridad pertinente, desempeñada por la(s) SRP/CS. Esta contribución no cubre el riesgo global de la máquina considerada; por ejemplo, no se tiene en cuenta el riesgo global de una prensa mecánica, o de una lavadora, sino solamente la parte del riesgo reducida por la aplicación de las funciones de seguridad particulares. La función de parada iniciada por un dispositivo de protección electrosensible en una prensa o la función de bloqueo de la puerta de una lavadora, son ejemplos de dichas funciones. La reducción del riesgo se puede obtener aplicando varias medidas preventivas (tanto SRP/CS como no SRP/CS), con el resultado final de lograr una condición segura (véase la figura 2).
- 19 -
ISO 13849-1:2006
Leyenda Rh
para una determinada situación peligrosa, es el riesgo existente antes de aplicar medidas preventivas
Rr Ra 1
reducción del riesgo que es necesario obtener mediante las medidas preventivas reducción del riesgo realmente conseguida mediante las medidas preventivas solución 1: una parte importante de la reducción del riesgo se debe a medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico) y una pequeña parte de la reducción del riesgo se debe a la SRP/CS solución 2: una parte importante de la reducción del riesgo se debe a la SRP/CS (por ejemplo, una barrera fotoeléctrica) y una pequeña parte de la reducción del riesgo se debe a medidas preventivas distintas de la SRP/CS (por ejemplo, medidas de tipo mecánico) reducción del riesgo adecuada reducción del riesgo inadecuada riesgo riesgo residual obtenido mediante las soluciones 1 y 2 riesgo obtenido adecuado
2
3 4 R a b R1SRP/CS, R2SRP/CS R1M, R2M
reducción del riesgo mediante la función de seguridad desempeñada por la SRP/CS reducción del riesgo mediante medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico)
NOTA Para más información sobre la reducción del riesgo véase la Norma ISO 12100.
Figura 2 Visión de conjunto del proceso de reducción del riesgo para cada situación peligrosa
ISO 13849-1:2006
a
- 20 -
La Norma ISO 13849-2 proporciona una ayuda complementaria para la validación
Figura 3 Proceso iterativo para el diseño de las partes del sistema de mando relativas a la seguridad (SRP/CS)
- 21 -
ISO 13849-1:2006
4.3 Determinación del nivel de prestaciones requerido PLr Para cada función de seguridad seleccionada que debe ser desempeñada por una SRP/CS, se debe determinar y documentar el nivel de prestaciones requerido (PL r) (véase el anexo A sobre las directrices para determinar el PL r). El nivel de prestaciones requerido se determina como resultado de la evaluación de riesgos y se refiere a la cantidad de reducción del riesgo proporcionada por las partes del sistema de mando relativas a la seguridad (véase la figura 2). Cuanto mayor sea la cantidad de reducción del riesgo que debe ser proporcionada por la SRP/CS, mayor debe ser el PLr.
4.4 Diseño de las SRP/CS Parte del proceso de reducción del riesgo consiste en determinar las funciones de seguridad de la máquina. Esto comprende las funciones de seguridad del sistema de mando, por ejemplo, la prevención de una puesta en marcha intempestiva. Una función de seguridad puede ser desempeñada por una o varias SRP/CS, y varias funciones de seguridad pueden compartir una o más SRP/CS [por ejemplo, una unidad lógica, elementos de mando de los accionadores]. También es posible que una SRP/CS implemente funciones de seguridad y funciones de mando normales. El diseñador puede utilizar cualquiera de las tecnologías disponibles, por separado o en combinación. Las SRP/CS también pueden proporcionar una función operativa (por ejemplo, una AOPD como medio para iniciar un ciclo). En la figura 4 se da una representación esquemática de una función de seguridad tipo, que representa una combinación de partes del sistema de mando relativas a la seguridad (SRP/CS) para: −
la entrada (SRP/CS a);
− −
la lógica/el tratamiento (SRP/CS b); la salida/los elementos de mando de los accionadores (SRP/CSc), y
−
los medios de interconexión ( iab, ibc) (por ejemplo, eléctricos, ópticos).
NOTA 1 Para una misma máquina es importante distinguir entre las diferentes funciones de seguridad y sus respectivas SRP/CS que desempeñan una función de seguridad dada.
Después de haber identificado las funciones de seguridad del sistema de mando, el diseñador debe identificar las SRP/CS (véanse las figuras 1 y 3) y, si es preciso, debe asignarlas a la entrada, a la lógica y a la salida y, en el caso de redundancia, los canales individuales y entonces, estimar el nivel de prestaciones PL (véase la figura 3). NOTA 2 En el capítulo 6 se dan arquitecturas tipo. NOTA 3 Todos los medios de interconexión están incluidos en las partes relativas a la seguridad.
ISO 13849-1:2006
- 22 -
Leyenda I
Entrada
L
Lógica
O Salida 1
suceso iniciador (por ejemplo, accionamiento manual de un pulsador, apertura de un resguardo, interrupción de un haz de un AOPD)
2
accionador de la máquina (por ejemplo, el freno)
Figura 4 – Representación esquemática de una combinación de partes del sistema de mando relativas a la seguridad para el tratamiento de una función de seguridad típica 4.5 Estimación del nivel de prestaciones obtenido y relación con el SIL 4.5.1 Nivel de Prestaciones PL Para los fines de esta parte de la Norma ISO 13849, la aptitud de las partes relativas a la seguridad para desempeñar una función de seguridad se expresa mediante la determinación del nivel de prestaciones. Para cada SRP/CS seleccionada y/o para cualquier combinación de SRP/CS que desempeñe una función de seguridad se debe realizar una estimación del PL. El PL de la SRP/CS se debe determinar mediante la estimación de los siguientes aspectos: −
el valor de MTTF d para componentes independientes (véanse los anexos C y D);
−
la DC (véase el anexo E);
−
los CCF (véase el anexo F);
−
la estructura (véase el capítulo 6);
−
el comportamiento de la función de seguridad en condiciones de defecto (véase el capítulo 6);
−
el soporte lógico relativo a la seguridad (véanse el apartado 4.6 y el anexo J);
−
los fallos sistemáticos (véase el anexo G);
−
la aptitud para desempeñar una función de seguridad en las condiciones ambientales previstas.
NOTA 1 También pueden tener una cierta influencia otros parámetros como, por ejemplo, los aspectos operativos, la tasa de solicitación o la tasa de comprobación.
- 23 -
ISO 13849-1:2006
Estos aspectos se pueden agrupar según dos enfoques, con respecto al proceso de estimación: a) los aspectos cuantificables (valor de MTTFd para componentes independientes, DC, CCF, estructura); b) los aspectos cualitativos no cuantificables, que afectan al comportamiento de la SRP/CS (comportamiento de la función de seguridad en condiciones de defecto, soporte lógico relativo a la seguridad, fallos sistemáticos y condiciones ambientales). Entre los aspectos cuantificables, la contribución de la fiabilidad (por ejemplo, MTTF d, estructura), puede variar según la tecnología que se utilice. Por ejemplo, es posible (dentro de ciertos límites) que partes relativas a la seguridad de un solo canal de alta fiabilidad, en una tecnología dada, ofrezca un PL igual o superior al de una estructura tolerante a defectos de fiabilidad menor, en una tecnología diferente. Existen varios métodos para estimar los aspectos cuantificables del PL para cualquier tipo de sistema (por ejemplo, una estructura compleja). Estos métodos son, por ejemplo, los modelos de Markov, las redes de Petri estocásticas generalizadas (GSPN), los diagramas de bloques de confiabilidad [véase, por ejemplo, la Norma IEC 61508]. Para facilitar la valoración de los aspectos cuantificables del PL, esta parte de la Norma ISO 13849 proporciona un método simplificado basado en la definición de cinco arquitecturas tipo que satisfacen criterios específicos de diseño y de comportamiento en condiciones de defecto (véase el apartado 4.5.4). Para una SRP/CS o una combinación de SRP/CS diseñada conforme a los requisitos del Capítulo 6, la probabilidad media de fallo peligroso se puede estimar mediante la figura 5 y el procedimiento establecido en los anexos A a H, J y K. Para una SRP/CS que no respete las arquitecturas tipo, se debe proporcionar un cálculo detallado para demostrar que se ha alcanzado el nivel de prestaciones requerido (PLr). En aplicaciones en las que la SRP/CS se puede considerar sencilla y el nivel de prestaciones requerido está entre a y c, se puede aceptar una estimación cualitativa del PL en los fundamentos del diseño. NOTA 2 Para el diseño de sistemas de mando complejos, tales como los PES diseñados para desempeñar funciones de seguridad, puede ser apropiado utilizar otras normas (por ejemplo, las Normas IEC 61508, IEC 62061 o IEC 61496).
El logro de los aspectos cualitativos del PL, se puede demostrar mediante la aplicación de las medidas recomendadas en el apartado 4.6 y en el anexo G. En las normas en línea con la Norma IEC 61508, la capacidad del sistema de mando relativo a la seguridad para desempeñar una función de seguridad se indica mediante un SIL. La tabla 4 proporciona la relación entre estos dos conceptos (PLs y SILs). El PL a no tiene correspondencia en la escala de los SIL y se utiliza principalmente para la reducción del riesgo de una lesión ligera y normalmente reversible. Puesto que el SIL 4 está reservado a los sucesos catastróficos que se pueden dar en la industria de procesos, este nivel no es relevante para riesgos en máquinas. Por eso el PL e correspondiente al SIL 3 se define como el nivel máximo.
Tabla 4 – Relación entre el nivel de prestaciones (PL) y el nivel de integridad de la seguridad (SIL) PL a b c d e
(IEC 61508-1, SIL para información) Modo de funcionamiento elevado/continuo Sin correspondencia 1 1 2 3
ISO 13849-1:2006
- 24 -
En consecuencia, se deben aplicar medidas preventivas para reducir los riesgos, en particular las siguientes: −
Reducir la probabilidad de defectos a nivel de los componentes. El objetivo es reducir la probabilidad de defectos o de fallos que afecten a la función de seguridad. Esto se puede realizar incrementando la fiabilidad de los componentes, por ejemplo, seleccionando componentes de eficacia probada y/o aplicando principios de seguridad de eficacia probada, con el fin de minimizar o de excluir defectos o fallos críticos (véase la Norma ISO 13849-2).
−
Mejorando la estructura de las SRP/CS. El objetivo es evitar los efectos peligrosos de un defecto. Algunos defectos se pueden detectar y puede ser necesaria una estructura redundante y/o autocontrolada.
Estas dos medidas se pueden utilizar separadamente o combinadas. Con algunas tecnologías, se puede obtener la reducción del riesgo mediante la selección de componentes fiables y por exclusión de defectos; pero con otras tecnologías, la reducción del riesgo puede requerir un sistema redundante y/o autocontrolado. Además, se deben tener en cuenta los fallos de causa común (CCF) (véase la figura 3). Para las limitaciones arquitectónicas, véase el capítulo 6.
4.5.2 Tiempo medio hasta el fallo peligroso de cada canal (MTTFd) El valor del MTTFd de cada canal se ha clasificado en tres niveles (véase la tabla 5) y se debe tener en cuenta para cada canal (por ejemplo, un solo canal, cada canal de un sistema redundante) individualmente. De acuerdo con el MTTF d, se puede tener en cuenta un valor máximo de 100 años.
Tabla 5 – Tiempo medio hasta el fallo peligroso de cada canal (MTTFd) MTTFd Índice para cada canal
Gama para cada canal
Bajo Medio Alto
3 años " MTTF d < 10 años 10 años " MTTFd < 30 años 30 años " MTTFd " 100 años
NOTA 1 La selección de una gama de MTTFd está basada en las tasas de fallo encontradas sobre la materia, en el estado actual de la técnica, que forman una especie de escala logarítmica coherente con la escala logarítmica de los PL. Se supone que no se va a encontrar un valor de MTTFd para cada canal inferior a tres años para SRP/CS reales, ya que esto significaría que después de un año cerca del 30% de todos los sistemas en el mercado habrán fallado y será necesario reemplazarlos. No es aceptable un valor de MTTFd, para cada canal, superior a 100 años, porque las SRP/CS para riesgo elevado no debería depender exclusivamente de la fiabilidad de los componentes. Con el fin de reforzar las SRP/CS contra los fallos sistemáticos y aleatorios, se deberían requerir medidas adicionales tales como la redundancia y las comprobaciones. Por razones prácticas, el número de gamas se ha restringido a tres. La limitación del MTTFd de cada canal a un valor máximo de 100 años, se refiere a las SRP/CS de un solo canal que desempeña la función de seguridad. Se pueden utilizar valores de MTTFd más elevados para componentes individuales (véase la tabla D.1). NOTA 2 Se supone que los valores límites indicados en esta tabla tienen una precisión del 5%.
El procedimiento jerárquico para encontrar los datos para la estimación del MTTF d de un componente, debe ser como sigue: a) utilizar los datos de los fabricantes; b) utilizar los métodos de los anexos C y D; c) tomar 10 años.
4.5.3 Cobertura del diagnóstico (DC) El valor de la DC se ha clasificado en cuatro niveles. Para la estimación de la DC, se puede utilizar, en la mayoría de los casos, el análisis de los modos de fallo y sus efectos (AMFE, véase la Norma IEC 60812) u otros métodos similares. En este caso, se deberían considerar todos los defectos y/o modos de fallo pertinentes y verificar el PL de la combinación de las SRP/CS que desempeñan la función de seguridad con respecto al nivel de prestaciones requerido (PL r). Para un enfoque simplificado de estimación de la DC, véase el anexo E.
- 25 -
ISO 13849-1:2006
Tabla 6 – Cobertura del diagnóstico (DC) DC Índice Nula Baja Media Alta
Gama DC < 60% 60% " DC < 90% 90% " DC < 99% 99% " DC
NOTA 1 Para SRP/CS constituidas de varias partes, en la figura 5, en el capítulo 6 y en el capítulo E.2 se utiliza un valor medio DCavg. NOTA 2 La selección de la gama de DC se basa en los valores clave del 60%, 90% y 99%, también establecidos en otras normas (por ejemplo, IEC 61508) que tratan de la cobertura del diagnóstico de las verificaciones. Las investigaciones muestran que (1 – DC) más que la propia DC es una medida característica para determinar la eficacia de la (1 – DC) para los valores clave del 60%, 90% y 99% forma una especie de escala logarítmica coherente con la escala logarítmica de los PL. Un valor de DC inferior al 60% tiene sólo un ligero efecto sobre la fiabilidad del sistema comprobado y por lo tanto se denomina “nula”. Es muy difícil obtener un valor de DC superior al 99% para sistemas complejos. Por razones prácticas, el número de gamas se ha restringido a cuatro. Se supone que los valores límites indicados en esta tabla tienen una precisión del 5%.
4.5.4 Procedimiento simplificado para la estimación de un PL El PL se puede estimar teniendo en cuenta todos los parámetros pertinentes y los métodos apropiados para el cálculo (véase el apartado 4.5.1). Este apartado describe un procedimiento simplificado para estimar el PL de una SRP/CS basado en arquitecturas tipo. Otras arquitecturas con una estructura similar se pueden adaptar a estas arquitecturas tipo con el fin de obtener una estimación del PL. Las arquitecturas tipo se han representado en diagramas de bloques y se han listado en el contexto de cada categoría en el apartado 6.2. En apartado 6.2 y el anexo B, se da información sobre el método de bloques y los diagramas de bloques relativos a laelseguridad. Las arquitecturas tipo muestran una representación lógica de la estructura del sistema para cada categoría. La realización técnica o, por ejemplo, el diagrama funcional del circuito, puede tener una representación totalmente diferente. Las arquitecturas tipo se han esquematizado para las SRP/CS combinadas, a partir de los puntos en los que se inician las señales relativas a la seguridad y acaban con las salidas de los preaccionadotes (véase también el anexo A de la Norma ISO 12100-1). Las arquitecturas tipo también se pueden utilizar para describir una parte o una subparte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad. De esta manera, el elemento de “entrada” puede representar, por ejemplo, una barrera fotoeléctrica (AOPD) así como circuitos de entrada de la lógica de mando o una entrada de un interruptor. Una “salida” puede representar también, por ejemplo, una señal de salida de un interruptor (OSSD) o una salida de escáneres láser. Para las arquitecturas tipo se han hecho las hipótesis siguientes: −
duración de la misión: 20 años (véase el capítulo 10);
−
tasa de fallo constante durante la duración de la misión;
−
para la categoría 2, tasa de solicitación " 1/100 de la tasa de verificación;
−
para la categoría 2: MTTF d,TE mayor que la mitad de MTTF d,L.
NOTA Cuando los bloques de cada canal no se pueden independizar, se puede aplicar lo siguiente: MTTFd del canal de comprobación conjunto (TE, OTE) mayor que la mitad del MTTFd del canal funcional conjunto (I, L, O).
La metodología considera las categorías como arquitecturas con una DC avg definida. El PL de cada SRP/CS depende de la arquitectura, del tiempo medio hasta un fallo peligroso (MTTF d) en cada canal y de la DC avg.
ISO 13849-1:2006
- 26 -
También se deberían tener en cuenta los fallos de causa común (CCF) (para orientaciones, véase el anexo F). Para las SRP/CS con soporte lógico, se aplican los requisitos del apartado 4.6. Si no se dispone o no se utilizan datos cuantitativos (por ejemplo, sistemas de poca complejidad), se deberían seleccionar los valores más desfavorables de todos los parámetros pertinentes. Una combinación de SRP/CS o un SRP/CS único puede tener un PL. La combinación de varias SRP/CS con diferentes PL se considera en el apartado 6.3. En el caso de aplicaciones con PLr de a a c, pueden ser suficientes medidas para evitar los defectos; para aplicaciones de riesgo más elevado, PLr de d a e, la estructura de la SRP/CS puede proporcionar medidas para evitar, detectar o tolerar los defectos. Las medidas prácticas incluyen la redundancia, la diversidad, el autocontrol (véase también el capítulo 3 de la Norma ISO 12100-2:2003 y la Norma IEC 60204-1:2000). La figura 5 presenta el procedimiento para la selección de las categorías en combinación con el MTTF d de cada canal y la DCavg con el fin de obtener el PL requerido de la función de seguridad. Para la estimación del PL, la figura 5 da las diferentes combinaciones posibles de categorías con la DC avg (eje horizontal) y el MTTFd de cada canal (barras). Las barras en el diagrama representan las tres gamas de MTTF d de cada canal (bajo, medio y alto) que se pueden seleccionar para obtener el PL requerido. Antes de utilizar este procedimiento simplificado con la figura 5 (que representa los resultados de los diferentes modelos de Markov basados en las arquitecturas tipo del capítulo 6), se deben determinar la categoría del SRP/CS así como la DCavg y el MTTFd de cada canal (véase el capítulo 6 y los anexos C a E). Para las categorías 2, 3 y 4, se deben adoptar medidas suficientes contra los fallos de causa común (para orientaciones véase el anexo parámetros de en una cuenta, la figura 5 proporciona un método gráfico paraydeterminar PL obtenido porF).laTeniendo SRP/CS. estos La combinación categoría (incluyendo los fallos de causa común) de la DC avgel, determina qué columna de la figura 5 se debe seleccionar. Según el MTTF d de cada canal, se debe seleccionar una de las tres superficies sombreadas de la columna pertinente. La posición vertical de esta superficie determina el PL obtenido que se puede leer en el eje vertical. Si la superficie cubre 2 ó 3 PL posibles, el PL obtenido se da en la tabla 7. Para una selección numérica del PL más precisa, en función de un valor preciso del MTTF d de cada canal, véase el anexo K.
- 27 -
ISO 13849-1:2006
Leyenda PL 1 2 3
nivel de prestaciones MTTFd de cada canal = bajo MTTFd de cada canal = medio MTTFd de cada canal = alto
Figura 5 – Relación entre las categorías, la DC avg, el MTTFd de cada canal y el PL
Tabla 7 – Procedimiento simplificado para valorar el PL obtenido por la SRP/CS Categoría B 1 DCavg nula nula baja MTTFd de cada canal Bajo a No cubierto Medio b No cubierto Alto No cubierto c
2 media a b c
2 baja b c d
3 media b c d
3
4 alta
c d d
No cubierto No cubierto e
4.6 Requisitos para el soporte lógico de seguridad 4.6.1 Generalidades Todas las actividades del ciclo de vida del soporte lógico integrado o de aplicación, relativo a la seguridad, deben ante todo tratar de evitar la introducción de defectos durante el ciclo de vida del soporte lógico (véase la figura 6). El objetivo principal de los requisitos siguientes es obtener un soporte lógico legible, comprensible, verificable y mantenible.
ISO 13849-1:2006
- 28 -
NOTA El anexo J da recomendaciones más detalladas sobre el análisis del ciclo de vida.
Figura 6 – Modelo en V simplificado del ciclo de vida del soporte lógico de seguridad
4.6.2 Soporte lógico integrado relativo a la seguridad (SRESW) Para el SRESW de un componente con un PL r de a a d, se deben aplicar las siguientes medidas básicas: −
ciclo de vida del soporte lógico relativo a la seguridad con verificación y validación de las actividades, véase la figura 6;
−
documentación de la especificación y del diseño;
−
diseño y programación modulares y estructurados;
−
control de fallos sistemáticos (véase el capítulo G.2);
−
cuando se utilicen medidas basadas en el soporte lógico para controlar los fallos aleatorios del soporte material, verificación de que se aplican correctamente;
−
comprobaciones funcionales, por ejemplo, ensayo de caja negra;
−
actividades apropiadas del ciclo de vida del soporte lógico relativo a la seguridad después de realizar modificaciones;
- 29 -
ISO 13849-1:2006
Para el SRESW de un componente con un PL r de c o d, se deben aplicar las siguientes medidas adicionales: −
sistema de gestión de proyecto y de gestión de la calidad comparables a, por ejemplo, los de las Normas IEC 61508 o ISO 9001;
−
documentación de todas las actividades relevantes durante el ciclo de vida del soporte lógico de seguridad;
−
gestión de las configuraciones con el fin de identificar los parámetros de configuración y los documentos relativos a
−
una versión dada del SRESW; especificación estructurada con los requisitos y el diseño relativos a la seguridad;
−
utilización de lenguajes de programación adecuados y herramientas informáticas fiables;
−
programación modular y estructurada, separación del soporte lógico no relativo a la seguridad, tamaño de los módulos limitado con interfaces completamente definidas, utilización de métodos de diseño y codificación normalizados;
−
verificación de la codificación mediante el ensayo/análisis con análisis del flujo de mando;
−
−
comprobaciones funcionales prolongadas, por ejemplo, ensayo de caja gris, comprobación o simulación de prestaciones; análisis de impacto y actividades apropiadas del ciclo de vida del soporte lógico relativo a la seguridad después de realizar modificaciones.
El SRESW de un componente con un PLr = e, debe cumplir el capítulo 7 de la Norma IEC 61508-3, apropiado para el SIL 3. Cuando se utiliza la diversidad en las especificaciones, el diseño y la codificación, para los dos canales definidos en una SRP/CS con categoría 3 ó 4, se puede obtener un PL r = e, con las medidas mencionadas anteriormente para PLr de c o d. NOTA 1 Para una descripción detallada de tales medidas, véase, por ejemplo, la Norma IEC 61508-7:2000. NOTA 2 Para un SRESW con diversidad en el diseño y la codificación, para componentes utilizados en una SRP/CS de categoría 3 ó 4, las medidas aplicadas para evitar fallos sistemáticos pueden ser rebajadas, por ejemplo, verificando las partes del soporte lógico considerando únicamente los aspectos estructurales en lugar de comprobar cada línea del código fuente.
4.6.3 Soporte lógico de aplicación relativo a la seguridad (SRASW) El ciclo de vida del soporte lógico de seguridad (véase la figura 6), también se aplica al SRASW (véase el anexo J). El SRASW, escrito en LVL y que cumpla los siguientes requisitos, puede alcanzar un PL de a a e. Si el SRASW está escrito en FVL, se deben aplicar los requisitos para el SRESW y se puede obtener un PL de a a e. Si una parte del SRASW de un componente tiene algún impacto (por ejemplo, si se modifica) sobre varias funciones de seguridad con PL diferentes, entonces se aplican los requisitos relativos al PL más elevado. Para un SRASW de un componente con un PLr de a a e, se deben aplicar las siguientes medidas básicas: −
desarrollo del ciclo de vida del soporte lógico con verificación y validación de las actividades, véase la figura 6;
−
documentación de la especificación y del diseño;
−
diseño y programación modulares y estructurados;
−
comprobaciones funcionales;
−
actividades apropiadas del ciclo de vida después de realizar modificaciones;
ISO 13849-1:2006
- 30 -
Para el SRESW de un componente con un PL r de c a e, se requieren o se recomiendan las siguientes medidas adicionales con una eficacia mejorada (eficacia baja para un PLr de c, eficacia media para un PLr de d, eficacia alta para un PLr de e): a) La especificación del soporte lógico relativo a la seguridad se debe revisar (véase también el anexo J), debe estar disponible para cualquier persona implicada en el ciclo de vida y debe contener la descripción de: 1) las funciones de seguridad con el PL requerido y los modos de funcionamiento asociados; 2) los criterios de prestaciones, por ejemplo, los tiempos de reacción; 3) la arquitectura del soporte material con las interfaces de las señales externas, y 4) la detección y el control de los fallos externos. b) Selección de herramientas, bibliotecas, lenguajes: 1) Se deben utilizar herramientas adecuadas que sean fiables (para un PL = e, obtenido para un componente con su herramienta, ésta debe ser conforme con la norma de seguridad apropiada; si se utilizan dos componentes diferentes con dos herramientas diferentes, la confianza en la utilización puede ser suficiente) con características técnicas que permitan detectar condiciones que puedan causar errores sistemáticos (tales como la incoherencia de los datos, la asignación ambigua de memoria dinámica, las interfaces incompletas, la recursividad, el indicador aritmético). Se deberían realizar comprobaciones principalmente durante la compilación y no sólo durante la ejecución. Las herramientas deberían hacer respetar los subconjuntos del lenguaje y las líneas directrices para la programación o, al menos, supervisar o guiar al programador que los utiliza. 2) Siempre que sea razonable y practicable, se deberían utilizar bibliotecas de bloques funcionales validados (FB): ya sean bibliotecas de FBpara relativos proporcionados porespecíficamente el fabricante de lasuna herramientas (sumamente recomendado los PL a= la e) oseguridad bibliotecas de FB validadas para aplicación concreta y conforme con esta parte de la Norma ISO 13849. 3) Se debería utilizar un subconjunto LVL apropiado y validado para un enfoque modular, por ejemplo, un subconjunto reconocido de lenguajes de la Norma IEC 61131-3. Están sumamente recomendados los lenguajes gráficos (por ejemplo, diagrama bloque de una función, diagrama jerarquizado). c) El diseño del soporte lógico debe tener las características siguientes: 1) métodos semiformales para describir los datos y el flujo de mando, por ejemplo, el diagrama de estado o el organigrama del programa; 2) programación modular y estructurada, realizada predominantemente mediante bloques funcionales provenientes de bibliotecas de bloques funcionales validados relativos a la seguridad; 3) bloques funcionales con un tamaño de programa limitado; 4) ejecución del código dentro del bloque funcional, con un punto de entrada y un punto de salida; 5) modelo de arquitectura a tres niveles: Entradas ! Tratamiento ! Salidas (véase la figura 7 y el anexo J); 6) asignación de una salida de seguridad en un único lugar del programa, y 7) utilización de técnicas para la detección de fallos externos y para la programación defensiva en los bloques de entrada, de tratamiento y de salida que conduzcan a un estado seguro.
- 31 -
ISO 13849-1:2006
Figura 7 – Modelo general de arquitectura del soporte lógico d) Cuando un SRASW y un no SRASW están combinados en un componente: 1) el SRASW y el no SRASW se deben codificar en bloques funcionales diferentes con vínculos entre datos bien definidos, y 2) no debe existir ninguna combinación lógica de datos no relativos a la seguridad y de datos relativos a la seguridad que pueda conducir a una degradación de la integridad de las señales relativas a la seguridad, por ejemplo, combinando señales relativas a la seguridad con señales no relativas a la seguridad mediante una “O” lógica, en el caso en el que el resultado controla señales relativas a la seguridad. e) Aplicación/programación del soporte lógico: 1) el código fuente debe ser legible, comprensible y comprobable, y por ello se deberían utilizar variables de tipo simbólico (en lugar de direcciones explícitas de soporte material); 2) se deben utilizar directrices para la programación justificadas o reconocidas (véase también el anexo J); 3) se deberían utilizar comprobaciones de la integridad y de la verosimilitud de los datos (por ejemplo, comprobaciones de los límites), disponibles en capas de aplicación (programación defensiva); 4) el código fuente debería ser comprobado por simulación; 5) la verificación debería ser por control y análisis del flujo de datos para los PL = d o e. f) Comprobación: 1) el método de validación apropiado es el ensayo de caja negra del comportamiento funcional y de los criterios de prestaciones (por ejemplo, tiempo de respuesta); 2) para PL = d o e, se recomienda el ensayo de ejecución de los valores límites; 3) se recomienda una planificación de la comprobación, que debería incluir casos de comprobación con criterios de cumplimiento y herramientas necesarias; 4) los ensayos I/O deben demostrar que las señales relativas a la seguridad se utilizan correctamente en el SRASW. g) Documentación: 1) deben estar documentados todo el ciclo de vida y las actividades de modificación; 2) la documentación debe ser completa, manejable, explícita y comprensible;
ISO 13849-1:2006
- 32 -
3) la documentación del código fuente debe contener cabeceras de módulos con entidad legal la descripción funcional y la de I/O, la versión y la versión de la biblioteca de bloques funcionales utilizada, y suficientes comentarios de la red/instrucción y de las líneas de declaración. h) Verificación 2) Ejemplo: Proceso de revisión, inspección, ensayo o cualquier otra actividad apropiada.
i) Gestión de las configuraciones Está sumamente recomendado establecer procedimientos y salvaguardia de datos para identificar y archivar documentos, módulos de soporte lógico, resultados de la verificación/validación y la configuración de las herramientas relativas a una versión específica del SRASW. j) Modificaciones Después de una modificación del SRASW, se debe realizar un análisis de impacto para asegurar las especificaciones. Después de las modificaciones se deben realizar las actividades apropiadas del ciclo de vida. Se debe controlar el derecho de acceso a las modificaciones y se debe documentar el histórico de las mismas. NOTA Una modificación no afecta a los sistemas que ya estén en uso.
4.6.4 Parametrización basada en el soporte lógico La parametrización basada en el soporte lógico de los parámetros relativos a la seguridad se debe considerar como un aspecto relativo a la seguridad del diseño de un SRP/CS, a describir en los requisitos de seguridad de las especificaciones del soporte lógico. La parametrización se debe realizar utilizando una herramienta específica de soporte lógico proporcionado por el fabricante de la SRP/CS. Esta herramienta debe tener su identificación propia (nombre, versión, etc.) y debe evitar modificaciones no autorizadas, por ejemplo, mediante una contraseña de acceso. Se debe mantener la integridad de todos los datos utilizados para la parametrización. Esto se debe obtener aplicando medidas para: −
controlar la gama de entradas válidas;
−
controlar la corrupción de los datos antes de su transmisión;
−
controlar los efectos de los errores que provengan del proceso de transmisión de los parámetros;
−
controlar los efectos de una transmisión incompleta de los parámetros, y
−
controlar los efectos de los defectos y fallos del soporte material y del soporte lógico de la herramienta utilizada para la parametrización.
La herramienta de parametrización debe cumplir todos los requisitos de las SRP/CS, conforme a esta parte de la Norma ISO 13849. Como alternativa, se debe utilizar un procedimiento especial para determinar los parámetros relativos a la seguridad. Este procedimiento debe incluir la confirmación de los parámetros de entrada de las SRP/CS por: −
retransmisión de los parámetros modificados a la herramienta de parametrización, o
−
otros medios que confirmen la integridad de los parámetros,
y confirmación posterior, por ejemplo, por una persona formada de manera apropiada y mediante comprobación automática mediante una herramienta de parametrización. NOTA 1 Esto es particularmente importante en el caso en el que la parametrización se realiza utilizando un dispositivo que no está previsto para este uso (por ejemplo, un ordenador personal o un equipo equivalente). 2) La verificación es necesaria solamente para un código fuente de una aplicación específica y no para una biblioteca de funciones validada.
- 33 -
ISO 13849-1:2006
Los módulos del soporte lógico utilizados para codificación/decodificación en el proceso de transmisión/retransmisión y los módulos de software utilizados para la visualización de los parámetros relativos a la seguridad al usuario, deben, como mínimo, utilizar la diversidad en las funciones para evitar fallos sistemáticos. La documentación de parametrización basada en el soporte lógico debe indicar los datos utilizados (por ejemplo, ajustes de parámetros predefinidos) y la información necesaria para identificar los parámetros asociados a las SRP/CS, la(s) persona(s) que realizan la parametrización y cualquier otra información relevante tal como la fecha de parametrización. Se deben aplicar las siguientes actividades de verificación para la parametrización basada en el soporte lógico: −
−
verificación del ajuste correcto de cada parámetro relativo a la seguridad (mínimo, máximo y valores representativos); verificación de que los parámetros relativos a la seguridad han sido comprobados en términos de verosimilitud, por ejemplo, utilizando valores no válidos, etc.;
−
verificación de que no es posible la modificación no autorizada de los parámetros relativos a la seguridad;
−
verificación de que los datos/señales para la parametrización son generados y tratados de manera que un defecto no pueda conducir a la pérdida de la función de seguridad.
NOTA 2 Esto es particularmente importante en el caso en el que la parametrización se realiza utilizando un dispositivo que no está previsto para este uso (por ejemplo, un ordenador personal o un equipo equivalente).
4.7 Verificación de que el PL obtenido satisface el PLr Para cada función de seguridad individual, el PL de la SRP/CS correspondiente debe satisfacer el nivel de prestaciones requerido (PLr) determinado conforme al apartado 4.3 (véase la figura 3). Si no es el caso, es necesaria una iteración del proceso descrito en la figura 3. El PL de las requerido diferentes(PL SRP/CS que forman parte de una función de seguridad debe ser superior o igual al nivel de prestaciones r) para dicha función de seguridad.
4.8 Aspectos ergonómicos del diseño La interfaz entre los operadores y las SPR/CS se debe diseñar y realizar de manera que nadie esté en peligro durante el uso previsto y el mal uso razonablemente previsible de la máquina (véanse también las Normas ISO 12100-2; EN 614-1; ISO 9355-1, ISO 9355-2, ISO 9355-3; EN 1005-3; el capítulo 10 de la Norma IEC 60204-1:2000, IEC 60447 y IEC 61310). Los principios ergonómicos se deberían aplicar de manera que la máquina y el sistema de mando, incluyendo las partes relativas a la seguridad, sean fáciles de utilizar y de manera que el operador no esté tentado de actuar de manera peligrosa. Se deben aplicar los requisitos de seguridad relativos al respeto de los principios ergonómicos dados en el apartado 4.8 de la Norma ISO 12100-2:2003.
5 FUNCIONES DE SEGURIDAD 5.1 Especificación de las funciones de seguridad Este capítulo proporciona una lista y detalles de funciones de seguridad típicas que pueden ser realizadas por las SRP/CS. El diseñador (o el redactor de una norma de tipo C), debe incluir las funciones de seguridad necesarias para obtener las medidas de seguridad requeridas en el sistema de mando para la aplicación considerada. Ejemplo: Función de parada relativa a la seguridad, prevención de una puesta en marcha intempestiva, función de rearme manual, función de inhibición, función de mando sensitivo. NOTA Los sistemas de mando de las máquinas proporcionan funciones operativas y/o de seguridad. Las funciones operativas (por ejemplo, la puesta en marcha, la parada normal) también pueden ser funciones de seguridad, pero esto sólo se puede confirmar después de una evaluación de riesgos completa de la máquina.
ISO 13849-1:2006
- 34 -
En las tablas 8 y 9 se enumeran algunas funciones de seguridad típicas y, respectivamente, algunas de sus características y los parámetros relativos a la seguridad, haciendo referencia a otras normas internacionales cuyos requisitos se refieren a las funciones, a las características o a los parámetros de seguridad. El diseñador (o el redactor de la norma de tipo C), debe asegurarse de que se satisfacen todos los requisitos aplicables a las funciones de seguridad pertinentes listadas en las tablas. Para algunas características de las funciones de seguridad se establecen en este capítulo requisitos adicionales. Si es necesario, diferentes fuenteslosderequisitos energía. para las características y las funciones de seguridad se deben adaptar a la utilización de Ya que la mayoría de las referencias de las tablas 8 y 9 provienen de normas eléctricas, será necesario adaptar los requisitos aplicables a otras tecnologías (por ejemplo, hidráulica, neumática).
Tabla 8 – Algunas normas internacionales aplicables a funciones de seguridad típicas de las máquinas y algunas de sus características Requisito(s) Función de seguridad/ Característica
Esta parte de la Norma ISO 13849
ISO 12100-1:2003
ISO 12100-2:2003
Función de parada relativa a la seguridad iniciada por un protector a Función de rearme manual
5.2.1
3.26.8
4.11.3
5.2.2
−
−
Función de puesta en
5.2.3
−
4.11.3, 4.11.4
IEC 60204-1:2005, 9.2.5.3, 9.2.5.4 IEC 60204-1:2005, 9.2.1,
5.2.4 5.2.5
−
4.11.8, 4.11.10
9.2.5.1, 9.2.5.2, 9.2.6 IEC 60204-1:2005, 10.1.5
marcha/ nueva puesta en marcha Función de mando local Función de inhibición Función de mando sensitivo Función de validación
−
−
−
4.11.8.b)
−
−
Para información complementaria, véase:
IEC 60204-1: 2005, 9.2.2, 9.2.5.3, 9.2.2.5
−
IEC 60204-1: 2005, 9.2.6.1 IEC 60204-1:2005, 9.2.6.3, 10.9 ISO 14118, IEC 60204-1:2005, 5.4
Prevención de una puesta en marcha intempestiva Liberación y rescate de personas atrapadas Función de consignación
−
−
4.11.4
−
−
5.5.3
−
−
−
5.5.4
Modos de mando y su selección Interacción entre diferentes partes de los sistemas de mando relativas a la seguridad Control de la parametrización de valores de entrada relativos a la seguridad Función de parada de emergencia b
−
−
4.11.8, 4.11.10
−
−
4.11.1 (última frase)
ISO 14118, IEC 60204-1:2005, 5.3, 6.3.1 IEC 60204-1:2005, 9.2.3, 9.2.4 IEC 60204-1:2005, 9.3.4
4.6.4
−
−
−
−
5.5.2
a b
−
ISO/IEC 13850, IEC 60204-1:2005, 9.2.5.4
Incluyendo los resguardos con dispositivo de enclavamiento y dispositivos limitadores (por ejemplo, sobrevelocidad, sobretemperatura, sobrepresión). Medida preventiva suplementaria, véase la Norma ISO 12100-1:2003
- 35 -
ISO 13849-1:2006
Tabla 9 – Algunas normas internacionales aplicables que dan requisitos para determinadas funciones de seguridad y parámetros relativos a la seguridad Función de seguridad/ parámetro relativo a la seguridad Tiempo de respuesta Parámetros relativos a la seguridad tales como la velocidad, la temperatura o la presión Variaciones, pérdida y restablecimiento de las fuentes de alimentación de energía Indicadores y señales de advertencia
Requisito Esta parte de la ISO 12100-2:2003 Norma ISO 13849 5.2.6 − 5.2.7 4.11.8 e) 5.2.8
4.11.8 e)
−
4.8
Para información complementaria, véase ISO 13855:2000, 3.2, A.3, A.4 IEC 60204-1:2005, 7.1, 9.3.2, 9.3.4 IEC 60204-1:2005, 4.3, 7.1. 7.5 ISO 7731 ISO 11428 ISO 11429 IEC 61310-1 IEC 60204-1:2005, 10.3, 10.4 IEC 61131 IEC 62061
Al identificar y especificar las funciones de seguridad, se debe tener en cuenta, como mínimo, lo siguiente: a) resultados de la evaluación de riesgos para cada peligro o situación peligrosa específica; b) características de funcionamiento de la máquina, incluyendo: −
el uso previsto de la máquina (incluyendo el mal uso razonablemente previsible);
−
los modos de funcionamiento (por ejemplo, modo local, modo automático, modos relativos a una zona o una parte de la máquina);
−
la duración del ciclo;
−
el tiempo de respuesta:
c) el funcionamiento en condiciones de emergencia; d) la descripción de la interacción entre los diferentes procesos de trabajo y las actividades manuales (reparación, ajuste, limpieza, búsqueda de averías, etc.); e) el comportamiento de la máquina que una función de seguridad está previsto que consiga o evite; f) la(s) condición(es) (por ejemplo, modo de funcionamiento) de la máquina en la(s) que está activa o inhabilitada; g) la frecuencia de utilización; h) la prioridad de las funciones que pueden estar activas simultáneamente y que pueden ocasionar acciones contradictorias.
5.2 Detalles de las funciones de seguridad 5.2.1 Función de parada relativa a la seguridad Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes.
ISO 13849-1:2006
- 36 -
Una función de parada relativa a la seguridad (por ejemplo, la iniciada por un protector), debe poner la máquina en un estado de seguridad tan pronto como sea necesario después de la actuación del sistema. Este tipo de parada debe tener prioridad con respecto a una parada por razones operativas. Cuando un grupo de máquinas trabajan juntas de manera coordinada, se deben prever disposiciones para señalar al sistema de supervisión y/o a las demás máquinas que existe una condición de parada de este tipo. NOTA Una función de parada relativa a la seguridad puede crear problemas de funcionamiento y dificultades para una nueva puesta en marcha, por ejemplo, en aplicaciones de soldadura al arco. Para reducir la tentación de neutralizar esta función de parada, ésta puede ser precedida de una parada por razones operativas, con el fin de finalizar la operación en curso y preparar una nueva puesta en marcha fácil y rápida a partir de la posición de parada (por ejemplo, sin perjudicar a la producción). Una solución es utilizar un dispositivo de enclavamiento con bloqueo, en el que dicho bloqueo se libera cuando el ciclo ha alcanzado una posición definida tal que sea posible una fácil nueva puesta en marcha.
5.2.2 Función de rearme manual Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. Después de iniciada una orden de parada por un protector, se debe mantener la condición de parada hasta que sea accionado el dispositivo de rearme manual y existan condiciones seguras para una nueva puesta en marcha. El restablecimiento de la función de seguridad por rearme del protector anula la orden de parada. Cuando la evaluación del riesgo lo indique, la anulación de la orden de parada debe ser confirmada por una acción manual, distinta y voluntaria (rearme manual). La función de rearme manual: −
debe ser proporcionada por un dispositivo distinto, accionado manualmente y ligado a las SRP/CS;
−
sólo se debe ejecutar siesta todas las funciones tentación de neutralizar función de parada;de seguridad y sistemas de protección están operativos reducir la −
por sí misma no debe iniciar un movimiento o una situación peligrosa;
−
se debe realizar por una acción voluntaria;
−
debe preparar al sistema de mando para aceptar una orden de puesta en marcha distinta;
−
sólo debe ser aceptada al separar el órgano de accionamiento de su posición activa (marcha).
El nivel de prestaciones de las partes relativas a la seguridad que realizan la función de rearme manual, se debe seleccionar de manera que la inclusión de la función de rearme manual no disminuya la seguridad requerida de la función de seguridad correspondiente. El órgano de accionamiento para el rearme se debe situar fuera de la zona peligrosa y en una posición segura, desde la que exista buena visibilidad para controlar que no hay nadie en la zona peligrosa. Cuando la visibilidad de la zona peligrosa no sea completa, se requiere un procedimiento específico de rearme manual. NOTA Una solución puede consistir en utilizar un segundo órgano de accionamiento para el rearme. La función de rearme se inicia en la zona peligrosa mediante el primer órgano de accionamiento en combinación con un segundo órgano de accionamiento de rearme situado fuera de la zona peligrosa (cerca del protector). Es necesario que este procedimiento de rearme se realice en un tiempo limitado antes de que el sistema de mando autorice una orden de puesta en marcha diferente.
5.2.3 Puesta en marcha y nueva puesta en marcha Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes.
- 37 -
ISO 13849-1:2006
Una nueva puesta en marcha sólo se debe realizar automáticamente si no puede existir ninguna situación peligrosa. En particular, para los resguardos con dispositivo de enclavamiento con función de puesta en marcha, se aplica el apartado 5.3.2.5 de la Norma ISO 12100-2:2003. Estos requisitos para la puesta en marcha y para una nueva puesta en marcha se deben aplicar también a las máquinas que puedan ser mandadas a distancia. NOTA Una señal de retorno de un sensor al sistema de mando puede iniciar una nueva puesta en marcha automática. Ejemplo: En el caso de una máquina que realice operaciones automáticas, las señales de retorno del sensor al sistema de mando se utilizan a menudo para controlar el flujo del proceso. Si una pieza cambia de posición, el flujo del proceso se detiene. Si el control del dispositivo de enclavamiento no es superior al del control automático del proceso, entonces podría existir un peligro de una nueva puesta en marcha de la máquina mientras el operador reajusta la pieza. Por lo tanto la nueva puesta en marcha controlada a distancia no debería ser autorizada hasta que el protector sea cerrado de nuevo y el operador de mantenimiento haya abandonado la zona peligrosa. La contribución a la prevención de una puesta en marcha intempestiva proporcionada por el sistema de mando depende del resultado de la evaluación de riesgos.
5.2.4 Función de mando local Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. Cuando una máquina se gobierna con un mando local, por ejemplo, mediante un dispositivo de mando portátil o mediante una botonera, se deben aplicar los requisitos siguientes: −
los medios para seleccionar el mando local deben estar situados fuera de la zona peligrosa;
−
no debe ser posible iniciar situaciones peligrosas con un mando local más que desde una zona definida mediante la evaluación de riesgos;
−
la conmutación entre el mando local y el mando principal, no debe crear una situación peligrosa.
5.2.5 Inhibición Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. La inhibición no debe dar lugar a situaciones peligrosas para las personas. Durante la inhibición, se deben garantizar las condiciones de seguridad por otros medios. Al finalizar la inhibición, deben restablecerse todas las funciones de seguridad de las SRP/CS. El nivel de prestaciones de las partes relativas a la seguridad que desempeñan la función de inhibición, se debe seleccionar de manera que la inclusión de la función de inhibición no disminuya la seguridad requerida de la función de seguridad correspondiente. NOTA En algunas aplicaciones es necesaria una señal que indique la inhibición.
5.2.6 Tiempo de respuesta Además de los requisitos a los que se hace referencia en la tabla 9, se deben aplicar los siguientes. Se debe determinar el tiempo de respuesta de las SRP/CS cuando la evaluación del riesgo de las SRP/CS indica que esto es necesario (véase también el capítulo 11). NOTA El tiempo de respuesta del sistema de mando es una parte del tiempo de respuesta total de la máquina. El tiempo de respuesta total de la máquina requerido puede influir en el diseño de la parte relativa a la seguridad, por ejemplo, sobre la necesidad de prever un sistema de frenado.
ISO 13849-1:2006
- 38 -
5.2.7 Parámetros relativos a la seguridad Además de los requisitos a los que se hace referencia en la tabla 9, se deben aplicar los siguientes. Cuando los parámetros relativos a la seguridad, como por ejemplo, la posición, la velocidad, la temperatura o la presión, se desvían de los límites preestablecidos, el sistema de mando debe iniciar las medidas apropiadas, por ejemplo, una orden de parada, una señal de advertencia, una alarma. Si los errores que se cometan en la introducción manual de datos relativos a la seguridad en sistemas electrónicos programables pueden conducir a una situación peligrosa, es preciso prever un sistema de comprobación de datos integrado en el sistema de mando relativo a la seguridad, por ejemplo, un control de límites, del formato y/o de los valores de entrada lógicos.
5.2.8 Variaciones, pérdida y restablecimiento de la alimentación de energía Además de los requisitos a los que se hace referencia en la tabla 9, se deben aplicar los siguientes. Cuando las variaciones de los niveles de la alimentación de energía sobrepasan los límites previstos en el diseño, incluyendo el fallo de la alimentación de energía, las SRP/CS deben seguir proporcionando o deben iniciar una o varias señales de salida que permitan que las demás partes del sistema de la máquina mantengan un estado seguro.
6 CATEGORÍAS Y SU RELACIÓN CON LOS MTTFd DE CADA CANAL, DCavg Y CCF 6.1 Generalidades Las SRP/CS deben estar de acuerdo con los requisitos de una o varias de las 5 categorías especificadas en el apartado 6.2. Las categorías son los parámetros básicos utilizados para obtener un PL específico. Establecen el comportamiento requerido de las SRP/CS con respecto a su resistencia a defectos, basándose en las consideraciones de diseño descritas en el capítulo 4. La categoría B es la categoría básica. Si se produce un defecto, éste puede llevar a la pérdida de la función de seguridad. En la categoría 1, se obtiene una mejor resistencia a defectos, fundamentalmente mediante la selección y aplicación de los componentes. En las categorías 2, 3 y 4, se obtienen mejores prestaciones con respecto a la función de seguridad especificada, fundamentalmente mejorando la estructura de la SRP/CS. En la categoría 2, esto se realiza comprobando periódicamente que se cumple la función de seguridad especificada. En las categorías 3 y 4, esto se realiza garantizando que un solo defecto no conduce a la pérdida de la función de seguridad. Dicho defecto se detecta en la categoría 4 y, siempre que sea razonablemente factible, en la categoría 3. En la categoría 4, se especifica la resistencia a la acumulación de defectos. La tabla 10 proporciona una visión de conjunto de las categorías de las SRP/CS, de los requisitos correspondientes y del comportamiento del sistema en caso de defectos. Cuando se tienen en cuenta las causas de los fallos de algunos componentes, es posible excluir determinados defectos (véase el capítulo 7). La determinación de una categoría para una SRP/CS, depende principalmente de: −
la reducción del riesgo a obtener mediante la función de seguridad a la que contribuye dicha parte;
−
el nivel de prestaciones requerido (PL r);
−
la tecnología utilizada;
−
el riesgo que se puede presentar en el caso de uno o varios defectos en dicha parte;
- 39 -
ISO 13849-1:2006
−
la posibilidad de evitar uno o varios defectos en dicha parte (defectos sistemáticos);
−
la probabilidad de que se produzcan uno o varios defectos en dicha parte y los parámetros pertinentes;
−
el tiempo medio hasta un fallo peligroso (MTTF d);
−
la cobertura del diagnóstico (DC), y
−
los fallos de causa común (CCF), en el caso de las categorías 2, 3 y 4.
6.2 Especificaciones de las categorías 6.2.1 Generalidades Cada SRP/CS debe cumplir con los requisitos de la categoría pertinente, véanse los apartados 6.2.3 a 6.2.7. Las arquitecturas siguientes satisfacen, por regla general, los requisitos de las categorías correspondientes. Las figuras siguientes no son ejemplos sino arquitecturas generales. Una desviación de estas arquitecturas siempre es posible, pero cualquier desviación debe estar justificada mediante herramientas analíticas apropiadas (por ejemplo, modelos de Markov, análisis del árbol de fallos), con el fin de demostrar que el sistema satisface el nivel de prestaciones requerido (PLr). Las arquitecturas tipo no se pueden considerar solamente como esquemas de circuito sino también como esquemas lógicos. Para las categorías 3 y 4 esto significa que no es necesario que todas las partes sean físicamente redundantes sino que hay medios redundantes que aseguran que un defecto no ocasiona la pérdida de la función de seguridad. Las líneas y flechas de las figuras 8 a 12 representan medios lógicos de interconexión y posibles medios lógicos de diagnóstico.
6.2.2 Arquitecturas tipo La estructura de una SRP/CS es una característica clave que tiene una influencia determinante en el PL. Incluso aunque la diversidad de estructuras posibles sea elevada, los conceptos básicos son a menudo similares. Por eso, la mayoría de las estructuras que se encuentran en el ámbito de las máquinas, se pueden aproximar a alguna de estas categorías. Para cada categoría, se puede hacer una representación típica tal como un diagrama de bloques relativo a la seguridad. Estas realizaciones típicas se denominan arquitecturas tipo y se listan en el contexto de cada una de las categorías siguientes. Es importante que el PL mostrado en la figura 5, que depende de la categoría, del MTTFd de cada canal y de la DC avg, esté basado en las arquitecturas tipo. Si se utiliza la figura 5 para estimar el PL, se debería demostrar que la arquitectura de las SRP/CS es equivalente a la arquitectura tipo de la categoría requerida. El diseño que satisfaga las características de una determinada categoría, es, en general, equivalente a la correspondiente arquitectura tipo de dicha categoría. NOTA En algunos casos, como resultado de una solución técnica específica o determinada por una norma de tipo C, se puede requerir la prestación relativa a la seguridad de una SPR/CS solamente mediante una categoría, sin un PL r adicional. Para dichos casos específicos, la seguridad está proporcionada, especialmente, por la arquitectura y los requisitos para el MTTF, la DC y los CCF, no se aplican.
6.2.3 Categoría B Las SRP/CS deben ser, como mínimo, diseñadas, construidas, seleccionadas, montadas y combinadas de acuerdo con las normas pertinentes, utilizando los principios fundamentales de seguridad para la aplicación considerada, de manera que puedan resistir: −
las solicitaciones de funcionamiento previstas, por ejemplo, mediante la fiabilidad en lo que respecta a la capacidad y frecuencia de corte;
−
la influencia de los materiales procesados, por ejemplo, los detergentes en una lavadora;
ISO 13849-1:2006
−
- 40 -
otras influencias externas relevantes, por ejemplo, vibraciones mecánicas, interferencias electromagnéticas, interrupciones o perturbaciones de la alimentación de energía.
No existe ninguna cobertura del diagnóstico (DC avg = nula) en los sistemas de categoría B y el MTTF d de cada canal puede ser bajo a medio. En tales estructuras (normalmente sistemas de un solo canal), no es pertinente tomar en consideración los CCF. El PL máximo que se puede obtener con la categoría B es PL = b. NOTA Cuando se produce un defecto, éste puede conducir a la pérdida de la función de seguridad.
Los requisitos específicos para la compatibilidad electromagnética se encuentran en las normas de producto pertinentes, por ejemplo, la Norma IEC 61800-3 para los accionamientos eléctricos de potencia. Para la seguridad funcional de una SRP/CS en particular, los requisitos de inmunidad son apropiados. Si no existe ninguna norma de producto, se deberían seguir al menos los requisitos de inmunidad de la Norma IEC 61000-6-2.
Leyenda
im I L O
medios de interconexión dispositivo de entrada, por ejemplo, sensor lógica dispositivo de salida, por ejemplo, contactor principal
Figura 8 – Arquitectura tipo para la categoría B 6.2.4 Categoría 1 Para la categoría 1 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. Además, se aplican los requisitos siguientes. Las SRP/CS de categoría 1 deben ser diseñadas y construidas utilizando componentes y principios de seguridad de eficacia probada (véase la Norma ISO 13849-2). Un componente de eficacia probada para una aplicación relativa a la seguridad es un componente que ha sido: a) ampliamente utilizado en el pasado dando buenos resultados en aplicaciones similares; o b) construido y verificado de acuerdo con principios que demuestran su adecuación y fiabilidad para aplicaciones relativas a la seguridad. Componentes y principios de seguridad de nuevo desarrollo, se pueden considerar equivalentes a los de eficacia probada si cumplen las condiciones de b). La decisión de aceptar que un componente determinado es de eficacia probada depende de la aplicación. NOTA 1 Los componentes electrónicos complejos (por ejemplo, un PLC, un microprocesador, un circuito integrado con una aplicación específica), no se pueden considerar de eficacia probada.
El MTTFd de cada canal debe ser alto.
- 41 -
ISO 13849-1:2006
El PL máximo que se puede obtener con la categoría 1 es PL = c. NOTA 2 No existe ninguna cobertura del diagnóstico (DCavg = nula) en tales estructuras no es pertinente tomar en consideración los CCF. NOTA 3 Cuando se produce un defecto, éste puede conducir a la pérdida de la función de seguridad. Sin embargo, en la categoría 1, el MTTFd de cada canal es más alto que el de la categoría B. En consecuencia, es menos probable que se pierda la función de seguridad.
Es importante establecer una clara distinción entre “componente de eficacia probada” y “exclusión de defectos” (véase el capítulo 7). La calificación de un componente como de eficacia probada depende de su aplicación. Por ejemplo, un interruptor depero posición con contactospara de una apertura positiva podría considerar de (por eficacia probada para una máquina herramienta, sería inapropiado aplicación en se la industria alimentaria ejemplo, en la industria láctea, este interruptor sería destruido por los ácidos lácteos después de unos pocos meses de utilización). Una exclusión de defectos puede entrañar un PL muy elevado, pero las medidas apropiadas para permitir dicha exclusión de defectos se deberían aplicar durante todo el ciclo de vida del dispositivo. Con el fin de asegurar esto, puede ser necesario adoptar medidas suplementarias fuera del sistema de mando. En el caso de un interruptor de posición, algunos ejemplos de estas medidas son: −
medios para asegurar la fijación del interruptor después de su ajuste;
−
medios para asegurar la fijación de la leva;
−
medios para asegurar la estabilidad transversal de la leva;
−
medios para evitar un desplazamiento excesivo del interruptor de posición, por ejemplo, mediante una resistencia adecuada del montaje del absorbedor de choques y de cualquier dispositivo de alineamiento, y
−
medios para protegerlo contra daños del exterior.
Leyenda
im I L O
medios de interconexión dispositivo de entrada, por ejemplo, sensor lógica dispositivo de salida, por ejemplo, contactor principal
Figura 9 – Arquitectura tipo para la categoría 1 6.2.5 Categoría 2 Para la categoría 2 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. También se deben seguir los “principios de seguridad de eficacia probada” de acuerdo con el apartado 6.2.4. Además, se aplican los requisitos siguientes. Las SRP/CS de categoría 2 se deben diseñar de manera que su(s) función(es) se compruebe(n) a intervalos adecuados por el sistema de mando de la máquina. Esta comprobación de la(s) función(es) de seguridad se debe efectuar: − −
en la puesta en marcha de la máquina y antes de que se inicie cualquier situación peligrosa, por ejemplo inicio de un nuevo ciclo o inicio de otros movimientos, y/o periódicamente durante el funcionamiento, si la evaluación del riesgo y el tipo de funcionamiento indican que esto es necesario.
ISO 13849-1:2006
- 42 -
La iniciación de esta comprobación puede ser automática o manual. Cualquier comprobación de la(s) función(es) de seguridad debe: −
permitir el funcionamiento, si no se detecta ningún defecto; o
−
generar una señal de salida que desencadene una acción de mando adecuada, si se detecta un defecto.
Siempre que sea posible, dicha señal debe iniciar un estado seguro. Dicho estado seguro se debe mantener hasta que se elimine la el señal defecto. Cuando no proporcionar sea posible llegar a un estadodel seguro (por ejemplo, contacto soldado en el interruptor de salida), de salida debe una advertencia peligro. Para la arquitectura tipo de la categoría 2, presentada en la figura 10, se deberían tener en cuenta solamente los bloques del canal funcional para el cálculo del MTTFd y de la DCavg (por ejemplo, I, L y O en la figura 10) y no los bloques del canal de comprobación (por ejemplo, TE y OTE en la figura 10). La cobertura del diagnóstico (DCavg) del conjunto de las SRP/CS, incluyendo la detección de defectos, debe ser baja. El MTTFd de cada canal debe ser de bajo a alto, dependiendo del nivel de prestaciones requerido (PLr). Se deben aplicar medidas contra los CCF (véase el anexo F). La comprobación no debe conducir por sí misma a una situación peligrosa (debida, por ejemplo, a un aumento del tiempo de respuesta). El sistema de comprobación puede ser una parte integral o separada de la(s) parte(s) relativa(s) a la seguridad que desempeña(n) la función de seguridad. El PL máximo que se puede obtener con la categoría 2 es PL = d. NOTA 1 En algunos casos, la categoría 2 no es aplicable porque la comprobación de la función de seguridad no se puede aplicar a todos los componentes. NOTA 2 El comportamiento de un sistema de categoría 2 permite que: −
la aparición de un defecto pueda conducir a la pérdida de la función de seguridad en el intervalo entre dos comprobaciones;
−
mediante la comprobación se detecte la pérdida de la función de seguridad.
NOTA 3 El principio que soporta la validez de una función de categoría 2 es que la adopción de las disposiciones técnicas y, por ejemplo, la selección de la frecuencia de comprobación, pueden reducir la probabilidad de que ocurra una situación peligrosa.
- 43 -
ISO 13849-1:2006
Las líneas a trazos representan la detección de defectos razonablemente practicable. Leyenda
im medios de interconexión I dispositivo de entrada, por ejemplo, sensor L lógica m control O dispositivo de salida, por ejemplo, contactor principal TE equipo de comprobación OTE salida de TE
Figura 10 – Arquitectura tipo para la categoría 2 6.2.6 Categoría 3 Para la categoría 3 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. También se deben seguir los “principios de seguridad de eficacia probada” de acuerdo con el apartado 6.2.4. Además, se aplican los requisitos siguientes. Las SRP/CS de categoría 3 se deben diseñar de manera que un solo defecto en cualquiera de estas partes no conduzca a la pérdida de la función de seguridad. Siempre que sea razonablemente factible, un solo defecto se debe detectar en el momento de, o antes de, la siguiente solicitación de la función de seguridad. La cobertura del diagnóstico (DCavg) del conjunto de las SRP/CS, incluyendo la detección de defectos, debe ser baja. El MTTFd de cada uno de los canales redundantes debe ser de bajo a alto, dependiendo del PL r. Se deben aplicar medidas contra los CCF (véase el anexo F). NOTA 1 Este requisito de detección de un solo defecto no significa que se detecten todos los defectos. En consecuencia, la acumulación de defectos no detectados puede entrañar una señal de salida imprevista y una situación peligrosa en la máquina. Como ejemplos típicos de medidas aplicables para la detección de defectos, se pueden citar la unión mecánica de los contactos de un relé o el control de salidas eléctricas redundantes. NOTA 2 Si es necesario, debido a la tecnología y a la aplicación, los que elaboran las normas de tipo C deben dar detalles suplementarios sobre la detección de defectos. NOTA 3 El comportamiento de un sistema de categoría 3 permite que: −
cuando se produce un solo defecto, la función de seguridad se desempeñe siempre;
−
algunos defectos se detecten, pero no todos.
−
la acumulación de defectos no detectados pueda conducir a la pérdida de la función de seguridad.
NOTA 4 La tecnología utilizada influye en las posibilidades de implementación de la detección de defectos.
ISO 13849-1:2006
- 44 -
Las líneas a trazos representan la detección de defectos razonablemente practicable. Leyenda
im medios de interconexión c control cruzado I1, I2 dispositivo de entrada, por ejemplo, sensor L1, L2 lógica m control O1, O2 dispositivo de salida, por ejemplo, contactor principal
Figura 11 – Arquitectura tipo para la categoría 3 6.2.7 Categoría 4 Para la categoría 4 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. También se deben seguir los “principios de seguridad de eficacia probada” de acuerdo con el apartado 6.2.4. Además, se aplican los requisitos siguientes. Las SRP/CS de categoría 4 se deben diseñar de manera que: −
un solo defecto en cualquiera de estas partes relativas a la seguridad no conduzca a la pérdida de la función de seguridad, y
−
se detecte dicho defecto en el momento de, o antes de, la siguiente solicitación de la función de seguridad, por ejemplo, inmediatamente, al poner en marcha la máquina, o al final del ciclo de funcionamiento de la máquina,
pero si esta detección no es posible, una acumulación de defectos no detectados no debe conducir a la pérdida de la función de seguridad. La cobertura del diagnóstico (DCavg) del conjunto de las SRP/CS, incluyendo la detección de defectos, debe ser alta. El MTTFd de cada uno de los canales redundantes debe ser alto. Se deben aplicar medidas contra los CCF (véase el anexo F). NOTA 1 El comportamiento de un sistema de categoría 4 permite que: −
cuando se produce un solo defecto, la función de seguridad se desempeñe siempre;
−
los defectos se detecten a tiempo para impedir la pérdida de la función de seguridad;
−
se tenga en cuenta la acumulación de defectos no detectados.
NOTA 2 La diferencia entre la categoría 3 y la categoría 4 es que la DCavg es más alta en la categoría 4 y que el MTTF d requerido es solamente alto.
- 45 -
ISO 13849-1:2006
En la práctica, puede ser suficiente con tener en cuenta la combinación de dos defectos.
Las líneas continuas para el control representan una cobertura del diagnóstico más alta que en la arquitectura tipo para la categoría 3. Leyenda
im medios de interconexión c control cruzado I1, I2 dispositivo de entrada, por ejemplo, sensor L1, L2 lógica m control O1, O2 dispositivo de salida, por ejemplo, contactor principal
Figura 12 – Arquitectura tipo para la categoría 4
ISO 13849-1:2006
- 46 -
Tabla 10 Resumen de los requisitos relativos a las categorías Categoría
Resumen de requisitos
B (véase 6.2.3)
Las SRP/CS y/o sus dispositivos de protección, así como sus componentes, se deben diseñar, construir, seleccionar, montar y combinar de acuerdo con las normas pertinentes de manera que puedan soportar las influencias esperadas. Se deben utilizar los principios básicos de seguridad Se deben aplicar los requisitos de B. Se deben utilizar componentes de eficacia probada y principios de seguridad de eficacia probada
1 (véase 6.2.4)
2 (véase 6.2.5)
Se deben aplicar los requisitos de B y utilizar los principios de seguridad de eficacia probada. La función de seguridad debe ser comprobada a intervalos adecuados por el sistema de mando de la máquina
Comportamiento del sistema Si se produce un defecto, este puede conducir a la pérdida de la función de seguridad
La aparición de un defecto puede conducir a la pérdida de la función de seguridad, pero la probabilidad de que se produzca dicho defecto es menor que en la categoría B La aparición de un defecto puede conducir a la pérdida de la función de seguridad en el intervalo entre dos comprobaciones. Mediante la comprobación se detecta la pérdida de la función de seguridad
Principios para obtener la seguridad Se caracterizan principalmente por la selección de los componentes
MTTFd de cada canal Baja a media
Se caracterizan principalmente por la selección de los componentes
Se caracterizan principalmente por la estructura
DCavg
CCF
Nula
No pertinente
Alta
Nula
No pertinente
Baja a alta
Baja a media
Véase el anexo F
- 47 -
Resumen de requisitos
Comportamiento del sistema
Principios para obtener la seguridad
Se deben aplicar los requisitos de B y utilizar los principios de seguridad de eficacia probada.
Cuando se produce un solo defecto, la función de seguridad se desempeña siempre.
Se caracterizan principalmente por la estructura
Las partes relativas a la seguridad se deben diseñar de manera que:
Algunos defectos se detectan, pero no todos.
Categoría 3 (véase 6.2.6)
ISO 13849-1:2006
−
un solo defecto en cualquiera de estas partes no conduzca a la pérdida de la función de seguridad, y
siempre que sea razonablemente factible, se detecte dicho defecto. Se deben aplicar los requisitos de B y utilizar los principios de seguridad de
MTTFd de cada canal Baja a alta
DCavg
CCF
Baja a media
Véase el anexo F
Alta incluyen do la acumula
Véase el anexo F
La acumulación de defectos no detectados puede conducir a la pérdida de la función de seguridad.
−
4 (véase 6.2.7)
eficacia probada. Las partes relativas a la seguridad se deben diseñar de manera que: −
−
un solo defecto en cualquiera de estas partes no conduzca a la pérdida de la función de seguridad, y se detecte dicho defecto en el momento de, o antes de, la siguiente solicitación de la función de seguridad, pero si
Cuando se produce un solo defecto, la función de seguridad se desempeña siempre. La detección de defectos acumulados reduce la probabilidad de que se pierda la función de seguridad. Los defectos serán detectados a tiempo para impedir la pérdida de la función de seguridad.
esta detección posible, una no es acumulación de defectos no detectados no debe conducir a la pérdida de la función de seguridad. NOTA Para la totalidad de los requisitos, véase el capítulo 6.
Se caracterizan principalmente por la estructura
Alta
ción de defectos
ISO 13849-1:2006
- 48 -
6.3 Combinación de SRP/CS para obtener un PL global Una función de seguridad se puede realizar mediante una combinación de varias SRP/CS (entrada del sistema, unidad de tratamiento de señales, salida del sistema). Estas SRP/CS pueden estar asignadas a una o a varias categorías. Para cada SRP/CS utilizada, se debe seleccionar una categoría de acuerdo con el apartado 6.2. Para la combinación global de estas SRP/CS, se puede encontrar un PL global utilizando la tabla 11. En este caso, se requiere la validación de la combinación de SRP/CS (véase la figura 3). De acuerdo con el apartado 6.2, la combinación de las partes relativas a la seguridad de un sistema de mando comienza en los puntos en los que se inician las señales relativas a la seguridad y termina a la salida de los accionadores. Pero la combinación de SRP/CS puede consistir en conectar varias partes de una manera lineal (alineamiento en serie) o redundante (alineamiento en paralelo). Con el fin de evitar una compleja nueva estimación del nivel de prestaciones (PL) obtenido mediante la combinación de SRP/CS cuando ya se han calculado los PL separados de todas las partes, se presentan las estimaciones siguientes para un alineamiento en serie de SRP/CS. Se suponen N SRP/CS separadas, alineadas en serie, que en conjunto desempeñan una función de seguridad. Para cada SRP/CSi, ya se ha calculado un PL i. Esta situación se muestra en la figura 13 (véase también la figura 4 y la figura H.2).
Figura 13 – Combinación de SRP/CS para obtener un PL global El método siguiente permite calcular el PL del conjunto de SRP/CS combinadas que desempeñan la función de seguridad: a) Identificar el PLi más bajo, que se denomina PL low. b) Identificar el número Nlow " N de las SRP/CSi, que tengan un PLi = PLlow. c) Determinar el PL en la tabla 11.
Tabla 11 – Cálculo del PL para SRP/CS alineadas en serie PLlow a b c d e
>3 "3 >2 "2
PL Ninguno, no autorizado a a b
>2 "2 >3 "3 >3 "3
b c c d d e
Nlow
NOTA Los valores calculados de esta tabla están basados en los valores de fiabilidad medios de cada PL.
- 49 -
ISO 13849-1:2006
7 CONSIDERACIÓN DE DEFECTOS, EXCLUSIÓN DE DEFECTOS 7.1 Generalidades De acuerdo con la categoría seleccionada, las partes relativas a la seguridad se deben diseñar con el objetivo de obtener el nivel de prestaciones requerido (PLr). Se debe evaluar la capacidad para resistir defectos.
7.2 Consideración de defectos En la Norma ISO 13849-2 se listan los defectos y fallos importantes para diversas tecnologías. Las listas de defectos no son exclusivas y, si es necesario, se deben tener en cuenta y enumerar defectos suplementarios. En tales casos, también se debería detallar claramente el método de valoración. Para nuevos componentes no mencionados en la Norma ISO 13849-2, se debería realizar un análisis de los modos de fallo y sus efectos (AMFE, véase la Norma IEC 60812) para establecer los defectos que se deben tener en cuenta para estos componentes. En general, se deben tener en cuenta los siguientes criterios de defectos: −
si, como consecuencia de un defecto, otros componentes fallan, el primer defecto y todos los siguientes se deben considerar como un solo defecto;
−
dos o más defectos distintos que tengan una causa común, se deben considerar como un solo defecto (conocido como CCF);
−
se considera altamente improbable la ocurrencia simultánea de dos o más defectos independientes y, por lo tanto, no es necesario tenerlo en cuenta.
7.3 Exclusión de defectos No es siempre posible valorar las SRP/CS sin asumir que determinados defectos se pueden excluir. Para una información detallada sobre la exclusión de defectos, véase la Norma ISO 13849-2. La exclusión de defectos es un compromiso entre los requisitos técnicos de seguridad y las posibilidades teóricas de que ocurra un defecto. La exclusión de defectos se puede basar en: −
la improbabilidad técnica de que ocurran determinados defectos;
−
la experiencia técnica generalmente admitida que se puede utilizar independientemente de la aplicación considerada, y
−
los requisitos técnicos relativos a la aplicación y al riesgo específico estudiado.
Si se excluyen defectos, se debe dar una justificación detallada en la documentación técnica.
8 VALIDACIÓN Se debe validar el diseño de las SRP/CS (véase la figura 3). La validación debe demostrar que la combinación de SRP/CS que proporcionan cada función de seguridad, satisfacen todos los requisitos aplicables de esta parte de la Norma ISO 13849. Para una información detallada sobre la validación, véase la Norma ISO 13849-2.
ISO 13849-1:2006
- 50 -
9 MANTENIMIENTO Normalmente es necesario un mantenimiento preventivo o correctivo para mantener las prestaciones especificadas de las partes relativas a la seguridad. Las variaciones con el tiempo de las prestaciones especificadas pueden conducir al deterioro de la seguridad o incluso conducir a una situación peligrosa. La información para la utilización de las SRP/CS debe incluir instrucciones para el mantenimiento (incluyendo la inspección periódica) de las SRP/CS. Las disposiciones para la mantenibilidad de las partes de un sistema de mando relativas a la seguridad, deben respetar los principios establecidos en 4.7 de la Norma ISO 12100-2:2003. Toda la información relativa al mantenimiento debe ser conforme con el apartado 6.5.1 e), de la Norma ISO 12100-2:2003.
10
DOCUMENTACIÓN TÉCNICA
Cuando se diseña una SRP/CS, el diseñador debe proporcionar, como mínimo, la siguiente información relativa a dicha parte relativa a la seguridad: −
la(s) función(es) de seguridad proporcionada(s) por la SRP/CS;
−
las características de cada función de seguridad;
−
los puntos exactos en los que comienza(n) y termina(n) la (las) parte(s) relativa(s) a la seguridad;
−
las condiciones ambientales;
−
el nivel de prestaciones (PL);
−
la(s) categoría(s) seleccionada(s);
−
los parámetros relativos a la fiabilidad (MTTF d, DC, CCF y duración de la misión);
−
las medidas adoptadas contra los fallos sistemáticos;
−
la(s) tecnología(s) utilizada(s);
−
todos los defectos relativos a la seguridad que se han tenido en cuenta;
−
la justificación de las exclusiones de defectos (véase la Norma ISO 13849-2);
−
el razonamiento seguido en el diseño (por ejemplo, los defectos considerados, los defectos excluidos);
−
la documentación del soporte lógico;
−
las disposiciones contra un mal uso razonablemente previsible.
NOTA En general, esta documentación está prevista para uso interno del fabricante y no será distribuida al usuario de la máquina.
11
INFORMACIÓN PARA LA UTILIZACIÓN
Se deben aplicar los principios del apartado 6.5.2 de la Norma ISO 12100-2:2003, y las partes aplicables de otros documentos pertinentes, por ejemplo, el capítulo 17 de la Norma IEC 60204-1:2005. En particular, se debe dar al usuario la información que sea importante para la utilización segura de las SRP/CS. Esto debe incluir, aunque de manera no limitativa, lo siguiente: −
los límites de las partes relativas a la seguridad para la(s) categoría(s) seleccionada(s) y las exclusiones de defectos;
- 51 -
ISO 13849-1:2006
−
los límites de la SRP/CS y todas las exclusiones de defectos (véase 7.3), para las que, cuando son esenciales para mantener la(s) categoría(s) seleccionada(s) y las prestaciones de seguridad, se debe dar la información apropiada (por ejemplo, para la modificación, el mantenimiento y la reparación), con el fin de asegurar que las exclusiones de defectos permanecen justificadas;
−
los efectos de las variaciones de las prestaciones especificadas sobre la(s) función(es) de seguridad;
−
descripciones claras de las interfaces entre las SRP/CS y los dispositivos de protección;
−
el tiempo de respuesta;
−
los límites de funcionamiento (incluyendo las condiciones ambientales);
−
los indicadores y las señales de advertencia;
−
la inhibición y la neutralización de las funciones de seguridad;
−
los modos de mando;
−
el mantenimiento (véase el capítulo 9);
−
las listas de comprobación para el mantenimiento;
−
la facilidad de acceso y de sustitución de partes internas;
−
medios que permitan que la localización de averías sea segura y fácil;
−
información que explique las aplicaciones para la utilización correspondiente a la categoría a la que se hace referencia;
−
los intervalos de las comprobaciones, si es pertinente.
Se debe dar información específica sobre la(s) categoría(s) y el nivel de prestaciones de las SRP/CS, de la manera siguiente: −
la referencia con fecha de esta parte de la Norma ISO 13849 (es decir ISO 13849-1:2006);
−
la categoría B, 1, 2, 3 ó 4;
−
el nivel de prestaciones a, b, c, d o e.
Ejemplo: Una SRP/CS conforme a esta edición de la Norma ISO 13849-1, de categoría B y de nivel de prestaciones a, sería denominada de la manera siguiente:
ISO 13849-1:2006 Categoría B PL a
ISO 13849-1:2006
- 52 -
ANEXO A (Informativo) DETERMINACIÓN DEL NIVEL DE PRESTACIONES REQUERIDO (PL r)
A.1 Selección del PLr Este anexo trata de la contribución a la reducción del riesgo aportada por las partes del sistema de mando considerado, relativas a la seguridad. El método dado aquí proporciona solamente una estimación de la reducción del riesgo y está destinado para guiar al diseñador y a los que elaboran las normas, en la determinación del PL r para cada función de seguridad que deba desempeñar una SRP/CS. La evaluación de riesgos parte de una situación previa a la existencia de la función de seguridad. La reducción del riesgo mediante otras medidas técnicas independientes del sistema de mando (por ejemplo, resguardos fijos), o funciones de seguridad adicionales, se puede tener en cuenta al determinar el PLr de dicha función de seguridad; en este caso, el punto de partida de la figura A.1 se puede seleccionar después de la implementación de estas medidas (véase también la figura 2). La gravedad de la lesión (denominada S) es relativamente fácil de estimar (por ejemplo, laceración, amputación, muerte). Para la probabilidad de que esta se produzca, se utilizan parámetros auxiliares para mejorar la estimación. Estos parámetros son: −
frecuencia y la duración de la exposición al peligro (F), y
−
posibilidad de evitar el peligro o de limitar el daño (P).
La experiencia ha mostrado que estos parámetros se pueden combinar como en la figura A.1 para obtener una gradación del riesgo, de bajo a alto. Es preciso subrayar que este es un proceso cualitativo que solamente da una estimación del riesgo.
A.2 Guía de selección de los parámetros S, F y P para la estimación del riesgo A.2.1 Gravedad de una lesión S1 y S2 Al estimar el riesgo que resulta de un fallo de la función de seguridad, solamente se consideran las lesiones ligeras (normalmente reversibles) y las lesiones graves (normalmente irreversibles, incluyendo la muerte). Para tomar una decisión se deberían tener en cuenta las consecuencias habituales de los accidentes y los procesos de curación normales, para determinar S1 y S2; por ejemplo, los cardenales y/o laceraciones sin complicaciones, se clasificarían como S1 mientras que una amputación o una muerte se clasificaría como S2.
A.2.2 Frecuencia y/o duración de la exposición al peligro F1 y F2 No es posible especificar una duración que sea válida en todos los casos, para elegir entre los parámetros F1 o F2. Sin embargo, las explicaciones siguientes pueden ayudar a tomar la decisión correcta en caso de duda. Se debería seleccionar F2 si una persona está frecuentemente o continuamente expuesta peligro. Es sucesivas, irrelevantepor el hecho de que sean las mismas o diferentes personas las que están expuestas al peligro en al exposiciones ejemplo, en la utilización de ascensores. El parámetro frecuencia se debería seleccionar en función de la frecuencia y de la duración de la exposición al peligro. Si la tasa de solicitación de la función de seguridad es conocida por el diseñador, se pueden seleccionar la frecuencia y la duración de esta solicitación, en lugar de la frecuencia y la duración de la exposición al peligro. En esta parte de la Norma ISO 13849, se supone que la tasa de solicitación de la función de seguridad es superior a una vez por año.
- 53 -
ISO 13849-1:2006
La duración de la exposición al peligro se debería evaluar basándose en un valor medio que se puede comparar con la duración total de utilización del equipo. Por ejemplo, si es necesario introducir regularmente las manos en la zona de trabajo de una máquina que funciona ciclo a ciclo, para cargar y descargar las piezas, se debería seleccionar F2. Si el acceso es necesario sólo de vez en cuando, se puede seleccionar F1. NOTA En ausencia de otras justificaciones, se debería seleccionar F2 si la frecuencia es superior a una vez por hora.
A.2.3 Posibilidad de evitar el peligro P1 y P2 Es importante saber si se puede reconocer y evitar una situación peligrosa, antes de que pueda conducir a un accidente. Por ejemplo, es importante saber si se puede identificar el peligro directamente por sus características físicas, o si solamente puede ser reconocido por medios técnicos, por ejemplo, indicadores. Otros aspectos importantes que influyen en la selección del parámetro P, por ejemplo: −
funcionamiento con o sin supervisión;
−
manejo de la máquina por personal cualificado o por no profesionales;
−
velocidad de aparición del suceso peligroso, por ejemplo, rápida o lenta;
−
posibilidad de evitar el peligro, por ejemplo, escapando;
−
experiencias prácticas de seguridad relativas al proceso.
Cuando se produce una situación peligrosa, se debería seleccionar P1 sólo si existe una posibilidad real de evitar un accidente o de reducir significativamente sus efectos. Se debería seleccionar P2 si no existe prácticamente ninguna posibilidad de evitar el peligro. La figura A.1 es una ayuda para determinar el PL r relativo a la seguridad en función de los resultados de la evaluación del riesgo. Se debería tener en cuenta este gráfico para cada función de seguridad. El método de evaluación del riesgo está basado en la Norma ISO 14121 y se debería aplicar conforme a la Norma ISO 12100-1.
ISO 13849-1:2006
- 54 -
Leyenda
Parámetros del riesgo:
1
S Gravedad de la lesión S1 Lesión leve (normalmente reversible) S2 Lesión grave (normalmente irreversible, incluyendo la muerte)
punto de partida para la estimación de la contribución de las funciones de seguridad a la reducción del riesgo L contribución a la reducción del riesgo baja H contribución a la reducción del riesgo alta Plr nivel de prestaciones requerido
F F1 F2 P P1 P2
Frecuencia y/o duración de la exposición al peligro Raro a bastante frecuente y/o corta duración de la exposición Frecuente a continuo y/o larga duración de la exposición Posibilidad de evitar el peligro o de limitar el daño Posible en determinadas condiciones Raramente posible
Figura A.1 – Gráfico del riesgo para determinar el nivel de prestaciones requerido (PLr) para cada función de seguridad
- 55 -
ISO 13849-1:2006
ANEXO B (Informativo) MÉTODO DE LOS BLOQUES Y D IAGRAMA DE BLOQUES RELATIVO A LA SEGURIDAD
B.1 Método de los bloques El enfoque simplificado requiere una representación lógica de las SRP/CS mediante bloques. Las SRP/CS se deberían dividir en un pequeño número de bloques según las líneas directrices siguientes: −
los bloques deberían representar unidades lógicas de las SRP/CS, relativas a la ejecución de la función de seguridad;
−
convendría separar los diferentes canales de la función de seguridad en diferentes bloques (si un bloque ya no es capaz de desempeñar su función, no debería quedar afectada la ejecución de la función de seguridad a través de los bloques del otro canal);
−
cada canal puede estar constituido por uno o varios bloques (no es obligatorio el número de tres bloques por canal, entrada, tratamiento y salida, en las arquitecturas tipo, sino que simplemente es un ejemplo para una separación lógica dentro de cada canal);
−
cada unidad de soporte material de las SRP/CS debería pertenecer a un solo bloque, lo que permite calcular la MTTFd de la unidad de soporte material que corresponde al bloque (por ejemplo, mediante un análisis de los modos de fallo y sus efectos o por el método del recuento de partes, véase el anexo D.1);
−
las unidades de soporte material utilizadas solamente para diagnóstico (por ejemplo, un equipo de comprobación), y que no afectan a la ejecución de la función de seguridad en los diferentes canales cuando estos fallan, pueden estar separadas canales. de las unidades de soporte material necesarias para la ejecución de la función de seguridad en los diferentes
NOTA Para los fines de esta parte de la Norma ISO 13849, los bloques no corresponden a los bloques funcionales o a los bloques de fiabilidad.
B.2 Diagrama de bloques relativo a la seguridad Los bloques definidos por el método de bloques, se pueden utilizar para representar gráficamente la estructura lógica de las SRP/CS en un diagrama de bloques. Para dicha representación gráfica, se pueden seguir las líneas directrices siguientes: −
el fallo de un bloque en una alineación de bloques en serie conduce al fallo de todo el canal (por ejemplo, en el caso de que se produzca un fallo peligroso en una unidad de soporte material de un canal de una SRP/CS, el canal completo no podría ejecutar la función de seguridad);
−
solamente el fallo peligroso de todos los canales en una alineación en paralelo conduce a la pérdida de la función de seguridad (por ejemplo, una función de seguridad desempeñada por varios canales se ejecuta mientras se mantenga al menos un canal sin fallo);
−
los bloques utilizados solamente para fines de comprobación, que no afectan a la ejecución de la función de seguridad en los diferentes canales cuando tienen un fallo peligroso, se pueden separar de los bloques de los diferentes canales.
Véase la figura B.1 como ejemplo.
ISO 13849-1:2006
- 56 -
I1 y O1 constituyen el primer canal (alineación en serie); mientras que I2, L y O2 constituyen el segundo canal (alineación en serie). Los dos canales ejecutan la función de seguridad de manera redundante (alineación en paralelo). T se utiliza solamente para comprobación. Leyenda I1, I2 L O1, O2 T
dispositivos de entrada, por ejemplo, sensor lógica dispositivos de salida, por ejemplo, contactor principal dispositivo de comprobación
Figura B.1 – Ejemplo de diagrama de bloques relativo a la seguridad
- 57 -
ISO 13849-1:2006
ANEXO C (Informativo) CÁLCULO O VALORACIÓN DEL MTTFd PARA COM PONENTES INDIVIDUALES
C.1 Generalidades Este anexo ofrece varios métodos para calcular o valorar los valores de MTTF d para componentes individuales: el método dado en el capítulo C.2 está basado en el respeto de las buenas prácticas de la ingeniería para diferentes tipos de componentes; el que se da en el capítulo C.3 es aplicable a componentes hidráulicos; C.4 proporciona un medio de calcular el MTTFd de componentes neumáticos, mecánicos y electromecánicos a partir de B10 (véase C.4.1); C5 lista los valores de MTTFd para componentes eléctricos.
C.2 Método de las buenas prácticas de la ingeniería Si se cumplen los criterios siguientes, el valor de MTTF d o B10d para un componente se puede estimar de acuerdo con la tabla C.1. a) Los componentes se han fabricado de acuerdo con los principios básicos de seguridad y de eficacia probada de acuerdo con la Norma ISO 13849-2:2003, o la norma pertinente (véase la tabla C.1) para el diseño del componente (confirmación en la hoja de características del componente). NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
b) El fabricante del componente especifica la aplicación apropiada y las condiciones de funcionamiento para el usuario. c) El de las SRP/CS los principios de seguridad y de eficacia probada, de acuerdo con la Norma ISOdiseño 13849-2:2003, para lacumple implementación y elbásicos funcionamiento del componente.
C.3 Componentes hidráulicos Si se cumplen los criterios siguientes, el valor de MTTF d para un componente hidráulico individual, por ejemplo, un distribuidor, se puede estimar para 150 años. a) Los componentes hidráulicos se han fabricado de acuerdo con los principios básicos de seguridad y de eficacia probada de acuerdo con las tablas C.1 y C.2 de la Norma ISO 13849-2:2003, para el diseño de componentes hidráulicos (confirmación en la hoja de características del componente). NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
b) El fabricante del componente hidráulico especifica la aplicación apropiada y las condiciones de funcionamiento para el usuario. El fabricante de una SRP/CS debe proporcionar la información pertinente sobre su responsabilidad de respetar los principios básicos de seguridad y de eficacia probada, de acuerdo con las tablas C.1 y C.2 de la Norma ISO 13849-2:2003, para la implementación y el funcionamiento del componente hidráulico. Si alguno de los criterios a) o b) no se cumple, el valor de MTTF d para un componente hidráulico individual lo debe dar el fabricante.
ISO 13849-1:2006
- 58 -
Tabla C.1 – Normas internacionales relativas a los MTTFd o a los B10d para componentes
Componentes mecánicos Componentes hidráulicos Componentes neumáticos Relés y contactores auxiliares con carga ligera (carga mecánica) Relés y contactores auxiliares con carga máxima Interruptores de proximidad con carga ligera (carga mecánica) Interruptores de proximidad con carga máxima Contactores con carga ligera (carga mecánica) Contactores con carga nominal Interruptor de posición a independiente de la carga Interruptor de posición (con accionador separado, resguardo con bloqueo) independiente de la carga a Dispositivo de parada de emergencia independiente de la carga a Dispositivo de parada de emergencia con exigencias máximas de funcionamiento a Pulsador (por ejemplo, interruptores de validación) independiente de la carga a
Principios básicos de seguridad y de eficacia probada de acuerdo con la Norma ISO 13849-2:2003 Tablas A.1 y A.2 Tablas C.1 y C.2 Tablas B.1 y B.2 Tablas D.1 y D.2
Tablas D.1 y D.2
Otras normas pertinentes
EN 982 EN 983 EN 50205, IEC 61810, IEC 60947
Valores típicos: MTTFd (años) o B10d (ciclos) MTTFd = 150 MTTF d = 150 B10d = 20 000 000 B10d = 20 000 000
B10d = 400 000
Tablas D.1 y D.2
EN 50205, IEC 61810, IEC 60947 IEC 60947, EN 1088
Tablas D.1 y D.2
IEC 60947, EN 1088
Tablas D.1 y D.2
IEC 60947
B10d = 20 000 000
Tablas D.1 y D.2
IEC 60947
B10d = 2 000 000
Tablas D.1 y D.2
IEC 60947, EN 1088
B10d = 20 000 000
Tablas D.1 y D.2
IEC 60947, EN 1088
B10d = 2 000 000
Tablas D.1 y D.2
IEC 60947, ISO 13850
B10d = 100 000
Tablas D.1 y D.2
IEC 60947, ISO 13850
B10d = 6 050
Tablas D.1 y D.2
IEC 60947
B10d = 20 000 000 B10d = 400 000
B10d = 100 000
Para la definición y utilización de B10d, véase el capítulo C.4. NOTA 1 B10d se estima como dos veces B10 (50% de fallos peligrosos). NOTA 2 Carga ligera significa, por ejemplo, el 20% del valor nominal; para más información, véase la Norma ISO 13849-2. a
Si es posible la exclusión de defectos para una apertura directa.
- 59 -
ISO 13849-1:2006
C.4 MTTFd para componentes n eumáticos, mecánicos y electromecánicos C.4.1 Generalidades Para componentes neumáticos, mecánicos y electromecánicos (por ejemplo distribuidores neumáticos, relés, contactores, interruptores de posición, levas de los interruptores de posición, etc.) puede ser difícil calcular el tiempo medio hasta un fallo peligroso (MTTFd para componentes), que se da en años y que se exige en esta parte de la Norma ISO 13849. Normalmente, los fabricantes de este tipo de componentes dan solamente el número medio de ciclos hasta que el 10% de los componentes falla de manera peligrosa (B10d). Este capítulo da un método para calcular el MTTF d para componentes, a partir de B10d o T (duración de la vida) proporcionado por el fabricante en estrecha relación con el número de ciclos en función de la aplicación. Si se cumplen los criterios siguientes, el valor de MTTFd para un componente neumático, electromecánico o mecánico individual, se puede estimar de acuerdo con el apartado C.4.2. a) Los componentes se han fabricado de acuerdo con los principios básicos de seguridad y de eficacia probada conforme a la tabla B.1 o la tabla D.1 de la Norma ISO 13849-2:2003 para el diseño del componente (confirmación en la hoja de características del componente). NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
b) Los componentes a utilizar en las categorías 1, 2, 3 ó 4, se han fabricado de acuerdo con los principios básicos de seguridad y de eficacia probada conforme a las tablas B.2 o D.2 de la Norma ISO 13849-2:2003, para el diseño de componentes (confirmación en la hoja de características del componente). NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
c) El fabricante del componente especifica la aplicación apropiada y las condiciones de funcionamiento para el usuario. El fabricante de una SRP/CS debe proporcionar la información pertinente sobre su responsabilidad de respetar los principios básicos de seguridad y de eficacia probada, de acuerdo con las tablas B.1 o D.1 de la Norma ISO 13849-2:2003, para la implementación y el funcionamiento del componente. Para las categorías 1, 2, 3 ó 4, el usuario debe ser informado de su responsabilidad de respetar los principios básicos de seguridad y de eficacia probada de acuerdo con las tablas B.2 o D.2 de la Norma ISO 13849-2:2003, para la implementación y el funcionamiento del componente.
C.4.2 Cálculo de MTTFd para componentes a partir de B10d El número medio de ciclos hasta que el 10% de los componentes falla de manera peligrosa ( B10d)3) debería ser determinado por el fabricante del componente conforme a los métodos de ensayo de las normas de producto pertinentes (por ejemplo, IEC 60957-5-1, ISO 19973, IEC 61810). Se deben definir los modos de fallo peligroso del componente, por ejemplo, contactos pegados al final del recorrido o modificación de los tiempos de conmutación. Si algunos de estos componentes no fallan de manera peligrosa durante los ensayos (por ejemplo, de siete componentes ensayados, solamente 5 fallan de manera peligrosa), se debería realizar un análisis para tener en cuenta los componentes que no han fallado de manera peligrosa.
3) Si la fracción peligrosa de B10d no viene dada, se puede utilizar el 50% de B10; en ese caso se recomienda B10d = 2 B10.
ISO 13849-1:2006
- 60 -
Con B10d y nop, el número medio de utilizaciones por año, el MTTFd para componentes, se puede calcular de la siguiente manera: MTTFd
=
dop
×
B10d 0,1 × nop
(C.1)
hop × 3 600 s/h tciclo
(C.2)
donde
nop
=
habiendo hecho las hipótesis siguientes sobre la aplicación del componente:
hop
es el número medio de horas de utilización por día;
dop
es el número medio de días de utilización por año;
tciclo
es el tiempo medio entre el comienzo de dos días sucesivos del componente (por ejemplo, conmutación de un distribuidos) en segundos por ciclo.
La duración de la utilización de un componente está limitada a T10d, el tiempo medio hasta que el 10% de los componentes falla de manera peligrosa:
T10d
=
B10d nop
(C.3)
NOTA La explicación en las fórmulas en el apartado C.4.2.
B10d, el número medio de ciclos hasta que el 10% de los componentes falla de manera peligrosa se puede convertir en T10d el tiempo medio hasta que el 10% de los componentes falla de manera peligrosa, utilizando nop, el número medio de utilizaciones por año: T10d
=
B10d nop
(C.4)
Los métodos de fiabilidad de esta parte de la Norma ISO 13849, parten de la hipótesis de que el fallo de los componentes sigue una distribución exponencial en función del tiempo: F(t) = 1 – exp(−#dt). Para componentes neumáticos y electromecánicos, es más adecuada una distribución de tipo weibull. Si el tiempo de utilización de los componentes se limita al tiempo medio hasta que el 10% de los componentes falla de manera peligrosa ( T10d), entonces se puede estimar una constante de fallo peligroso (#d) durante este tiempo de utilización, de la siguiente manera: λd ≈
0,1
=
0,1 × nop
(C.5)
T10d B10d La ecuación (C.5) implica, con la constante de fallo peligroso, que, para una aplicación dada, el 10% de los componentes fallarán después de T10d [años], lo que corresponde a B10d [ciclo]. Para ser exactos: F(T10d) = 1 – exp(-#d T10d) = 10% significa
λd =
ln(0,9)
T10d
=
0,105 36
T10d
≈
0,1
T10d
(C.6)
- 61 -
ISO 13849-1:2006
Con MTTFd = 1/#d para una distribución exponencial, es decir
T B10d MTTFd = 10d = 0,1 0,1× n op
(C.7)
C.4.3 Ejemplo Para un distribuidor neumático, el fabricante fija un valor medio de B10d de 60 millones de ciclos. El distribuidor se utiliza para conmutaciones por día y 220 días operativos por año. El tiempo medio entre dos conmutaciones sucesivas se dos estima en 5 s. Es decir: −
dop de 220 días por año;
−
hop de 16 h por día;
−
tciclo de 5 s por ciclo;
−
B10d de 60 millones de ciclos.
Con estos valores de entrada se pueden calcular las cantidades siguientes:
n op =
220 día/año ×16 h/día ×3 600 s/h 6 = 2,53×10ciclos/año 5 s/ciclo
T10d =
60×1 0 6 ciclos = 23, 7 años 2,53×10 6 ciclos/año
MTTFd =
23,7 años = 237años 0,1
(C.8)
(C.9)
(C.10)
Esto da un MTTFd elevado para el componente, de acuerdo con la tabla 5. Estas hipótesis solamente son válidas para un tiempo de utilización restringido de 23,7 años para el distribuidor. C.5 Datos de MTTFd para componentes eléctricos C.5.1 Generalidades Las tablas C.2 a C.7 dan los valores de MTTF d para componentes electrónicos. Los datos se han extraído de la base de datos de la serie SN 29500 [40]. Todos estos datos son de tipo general. Existen varias bases de datos disponibles (véase la lista no exhaustiva en la Bibliografía) que dan valores de MTTF d para diferentes componentes electrónicos. En el caso de que el diseñador de una SRP/CS tenga otros datos específicos fiables de los componentes utilizados, está sumamente recomendado utilizar dichos datos específicos. Los valores dados en las tablas C.2 a C.7, son válidos para una temperatura de 40 ºC, y carga nominal para la corriente y la tensión. En la columna MTTF de las tablas, los valores de la SN 29500 se aplican a componentes genéricos para todos los modos de fallos posibles, que no son necesariamente peligrosos. En la columna MTTFd se supone normalmente que no todos los modos de fallo ocasionan fallos peligrosos. Esto depende principalmente de la aplicación. Una manera precisa de determinar el MTTFd típico para componentes consiste en realizar un AMFD. Algunos componentes, por ejemplo, los transistores utilizados como interruptores, pueden tener como fallos cortocircuitos o interrupciones. Solamente uno de estos dos modos puede ser peligroso; por lo tanto la columna “Observaciones” supone que solamente el 50% son fallos peligrosos, lo que significa que el MTTFd para los componentes es el doble del valor dado de MTTF. En caso de duda, se da un valor más desfavorable de MTTFd para componentes en la columna “caso más desfavorable”, con un coeficiente de seguridad de 10.
ISO 13849-1:2006
- 62 -
C.5.2 Semiconductores Véanse las tablas C.2 y C.3. Tabla C.2 – Transistores (utilizados como interruptores)
Ejemplo
componentes años
TO18, TO92, SOT23 TO5, TO39
34 247
MTTFd para componentes años Caso más Tipo desfavorable 68 493 6 849
5 708
11 416
1 142
50% de fallos peligrosos
TO3, TO220, D-Pack Junction MOS
1 941
3 881
388
50% de fallos peligrosos
22 831
45 662
4 566
50% de fallos peligrosos
1 142
2 283
228
50% de fallos peligrosos
MTTF para Transistor Bipolar Bipolar, baja potencia Bipolar, de potencia Transistor de efecto campo MOS, de potencia
TO3, TO220, D-Pack
Observaciones 50% de fallos peligrosos
Tabla C.3 – Diodos, semiconductores de potencia
Ejemplo
MTTF para componentes años
Universal
−
114 155
MTTFd para componentes años Caso más Tipo desfavorable 228 311 22 831
Dispositivo antiparasitarios Diodo Zener Ptot < 1 W Diodos rectificadores Puentes rectificadores Tiristores
−
15 981
31 963
3 196
50% de fallos peligrosos
−
114 155
228 311
22 831
50% de fallos peligrosos
−
57 078
114 155
11 416
50% de fallos peligrosos
−
11 415
22 831
2 283
50% de fallos peligrosos
−
2 283
4 566
457
50% de fallos peligrosos
Triacs, Diacs Circuitos integrados (programables y no programables
−
1 484
2 968
297
50% de fallos peligrosos
Diodo
Utilizar los datos del fabricante
Observaciones
50% de fallos peligrosos
50% de fallos peligrosos
- 63 -
ISO 13849-1:2006
C.6 Componentes pasivos Véanse las tablas C.4 a C.7. Tabla C.4 – Condensadores
57 078
MTTFd para componentes años Caso más Tipo desfavorable 114 155 11 416
50% de fallos peligrosos
22 831 22 831
45 662 45 662
4 566 4 566
50% de fallos peligrosos 50% de fallos peligrosos
37 671
75 342
7 534
50% de fallos peligrosos
11 415
22 831
2 283
50% de fallos peligrosos
114 155
228 311
22 831
50% de fallos peligrosos
MTTF para Condensador Estándar, sin potencia
Cerámico Electrolítico de aluminio Electrolítico de aluminio Electrolítico de tántalo Electrolítico de tántalo
Ejemplo KS, KP, KC, KT, MKT, MKC, MKP, MKU, MP, MKV −
Electrolito no sólido Electrolito sólido Electrolito no sólido Electrolito sólido
componentes años
Observaciones
Tabla C.5 – Resistencias MTTFd para componentes años Caso más Tipo desfavorable 228 311 22 831
Ejemplo
MTTF para componentes años
Película de carbono
−
114 155
Película de metal Óxido metálico y enrollado
−
570 776 22 831
1 141 552 45 662
114 155 4 566
50% de fallos peligrosos 50% de fallos peligrosos
Variable
−
3 767
7 534
753
50% de fallos peligrosos
Resistencia
−
Observaciones
50% de fallos peligrosos
ISO 13849-1:2006
- 64 -
Tabla C.6 – Bobinas de inducción
37 671
MTTFd para componentes años Caso más Tipo desfavorable 75 342 7 534
50% de fallos peligrosos
22 831
45 662
4 566
50% de fallos peligrosos
11 415
22 831
2 283
50% de fallos peligrosos
Ejemplo
MTTF para componentes años
Para aplicaciones MC
−
Bobinas de inducción y transformadores de baja frecuencia Transformadores principales y transformadores para los modos conmutados y las alimentaciones de energía
−
−
Bobinas de inducción
Observaciones
Tabla C.7 – Acopladores optoelectrónicos
Acopladores optoelectrónicos Salida bipolar Salida del transistor de efecto campo
MTTF para Ejemplo
componentes años
SFH 610 LH 1056
7 648 2 854
MTTFd para componentes años Observaciones Caso más Tipo desfavorable 15 296 1 530 50% de fallos peligrosos 5 708 571 50% de fallos peligrosos
- 65 -
ISO 13849-1:2006
ANEXO D (Informativo) MÉTODO SIMPLIFICADO PARA ESTIMAR EL MTTFd PARA CADA CANAL D.1 Método de recuento de partes El método de “recuento de partes” sirve para estimar el MTTFd de cada canal por separado. En los cálculos se utilizan los valores de MTTFd de todos los componentes independientes que forman parte del canal correspondiente. 4) La fórmula general es: %
%
N N nj 1 1 = = MTTFd i =1 MTTFd i j =1 MTTFd j
"
"
(D.1)
donde MTTFd
es el valor para el canal completo;
MTTFdi, MTTFdj
son los correspondientes MTTF d de cada componente que contribuye a la función de seguridad.
La primera suma se establece a partir de cada componente tomado por separado; la segunda suma es una forma equivalente simplificada en la que se han agrupado todos los componentes idénticos nj, que tengan el mismo MTTFdj. El ejemplo dado en la tabla D.1, da un MTTF d de 21,43 años, que corresponde a un índice “medio”, según la tabla 5.
Tabla D.1 – Ejemplo de listas de partes de una tarjeta de circuitos Componente
j
1
Transistores, bipolar, baja potencia (véase la tabla C.2) 2 Resistencia, película de carbono (véase la tabla C.5 3 Condensador, estándar, sin potencia (véase la tabla C.4) 4 Relé (con carga ligera, véase el capítulo C.2) (B10d = 20 000 000 ciclos,nop = 633 600) 5 Contactor (con carga nominal, véase el capítulo C.2) (B10d = 2 000 000 ciclos,nop = 633 600) "(nj /MTTFdj) MTTFd
=1/
"(nj /MTTFd j)
[años]
2
MTTFdj Caso más desfavorable años 1 142
1/MTTFdj Caso más desfavorable 1/año 0,000 876
Caso más desfavorable 1/año 0,001 752
5
22 831
0,000 044
0,000 219
4
11 416
0,000 088
0,000 350
4
315,66
0,003 168
0,012 672
1
31,57
0,031 676
0,031 676
Unidades nj
n j/MTTFdj
0,046 669 21,43
NOTA 1 Este método se basa en la hipótesis de que un fallo peligroso de un componente en un canal conduce a un fallo peligroso de todo el canal. El cálculo de MTTFd dado en la tabla D.1 está basado en esta hipótesis. NOTA 2 En este ejemplo, el contactor es el componente que más influye. Los valores seleccionados para MTTFd y B10d para este ejemplo, provienen del anexo C. Para el ejemplo de aplicación, se suponen los valores dop = 220 días/año, hop = 8 h/día y tciclo = 10 s/ciclo, con lo que se obtiene nop = 633 600 ciclos/año. En general, si se toman los valores del fabricante para MTTF d y B10d se obtienen mejores resultados, es decir, un MTTF d más elevado para el canal.
4) El “método de recuento de partes”, es una aproximación con errores orientados hacia la seguridad. Si se requieren valores más exactos, el diseñador debería tener en cuenta los modos de fallo, pero esto puede ser muy complicado.
ISO 13849-1:2006
- 66 -
D.2 MTTFd para diferentes canales, simetrización de MTTFd para cada canal Las arquitecturas tipo del apartado 6.2 suponen que para diferentes canales en una SRP/CS redundante, los valores de MTTFd para cada canal son iguales. Este valor por canal debería ser la entrada en la figura 5. Si los canales tienen MTTFd diferentes, existen dos posibilidades: −
como hipótesis del caso más desfavorable, se debería tener en cuenta el valor más bajo;
−
se puede utilizar la ecuación (D.2) como una estimación de un valor de sustitución de MTTFd para cada canal: # %
2 MTTFd = % MTTF C1d 3%
+ MTTF C2d
% '
$ & & & 1 1 + MTTFd C1 MTTFd C2 &(
1
(D.2)
donde MTTFd C1 y MTTFd C2 son los valores para dos canales redundantes diferentes. Ejemplo: Un canal tiene un MTTFdC1 = 3 años y el otro canal tiene un MTTF d C2 = 100 años, con lo que resulta un MTTFd = 66 años. Esto significa que un sistema redundante en el que un canal tiene un MTTF d = 100 años y el otro un MTTFd = 3 años es igual a un sistema en el que el MTTFa de cada canal es de 66 años. Un sistema redundante con dos canales y valores diferentes de MTTF d para cada canal se puede sustituir por un sistema redundante con un MTTFd idéntico para cada canal utilizando la fórmula anterior. Este procedimiento es necesario para utilizar correctamente la figura 5. NOTA Este método supone que los canales paralelos son independientes.
- 67 -
ISO 13849-1:2006
ANEXO E (Informativo) ESTIMACIONES PARA LA COBERTURA DEL DIAGNÓSTICO (DC) PARA LAS FUNCIONES Y LOS MÓDULOS
E.1 Ejemplos para la cobertura del diagnóstico (DC) Véase la tabla E.1.
Tabla E.1 – Estimaciones para la cobertura del diagnóstico (DC) Medida
DC Dispositivo de entrada Estímulo cíclico de comprobación mediante cambio dinámico de las 90% señales de entrada Prueba de verosimilitud, por ejemplo, utilización de contactos 99% normalmente abiertos y normalmente cerrados, guiados mecánicamente Control cruzado de señales de entrada sin comprobación dinámica 0% a 99%, dependiendo de la frecuencia con la que la aplicación cambia la señal Control cruzado de señales de entrada con comprobación dinámica, en el 90% caso de que los cortocircuitos no sean detectables (para I/O múltiples) Control cruzado de las señales de entrada y de los resultados intermedios 99% en la lógica (L) y control temporal y lógico del soporte lógico y del flujo del programa y detección de defectos estáticos y de cortocircuitos (para I/O múltiples) Control indirecto (por ejemplo, control mediante un presostato, control 90% a 99%, dependiendo de la aplicación de la posición eléctrica de los accionadores) Control directo (por ejemplo, control de la posición eléctrica de los 99% distribuidores de mando, control de los dispositivos electromecánicos mediante elementos de contacto unidos mecánicamente) Detección de defectos mediante el proceso 0% a 99%, dependiendo de la aplicación; esta medida por sí sola no es suficiente para un nivel requerido de prestaciones “e”! Control de algunas características del sensor (tiempo de respuesta, gama 60% de las señales analógicas, por ejemplo, resistencia eléctrica, capacidad)
ISO 13849-1:2006
- 68 -
Medida
DC Lógica Control indirecto (por ejemplo, control mediante un presostato, control de 90% a 99%, dependiendo de la la posición eléctrica de los accionadores) aplicación Control directo (por ejemplo, control de la posición eléctrica de los 99% distribuidores de mando, control de los dispositivos electromecánicos mediante elementos de contacto unidos mecánicamente) Control temporal simple de la lógica (por ejemplo, temporizador como perro guardián, cuando los puntos de disparo se encuentran en el programa de la lógica) Control temporal y lógico de la lógica mediante el perro guardián, cuando el equipo de comprobación realiza pruebas de verosimilitud del comportamiento de la lógica Autocontroles a la puesta en marcha para detectar los defectos latentes en partes de la lógica (por ejemplo, memorias de programa y de datos, puertos de entrada/salida, interfaces) Comprobación de la capacidad de reacción del dispositivo de control (por ejemplo, perro guardián) por el canal principal a la puesta en marcha, o cuando se solicita la función de seguridad o cuando una señal externa la solicita a través de un dispositivo de entrada Principio dinámico (todos los componentes de la lógica deben cambiar de estado MARCHA-PARADA-MARCHA cuando se solicita la función de seguridad), por ejemplo circuito de enclavamiento realizado mediante relés Memoria invariable: firma de una palabra (8 bit) Memoria invariable: firma de dos palabras (16 bit) Memoria variable: comprobación de la RAM utilizando datos redundantes, por ejemplo banderas, marcadores, constantes, temporizadores y comparación mutua de dichos datos Memoria variable: comprobación de la legibilidad y aptitud para la lectura de las células de memoria utilizadas Memoria variable: control de la RAM con un código Hamming modificado o autocontrol de la RAM (por ejemplo, “galpat” o “Abraham”) Tratamiento por unidad: autocontrol mediante soporte lógico Tratamiento por unidad: tratamiento codificado Detección de defectos mediante el proceso
60%
90%
90% (dependiendo de la técnica de comprobación) 90%
99%
90% 99% 60%
60% 99% 60% a 90% 90% a 99% 0% a 99%, dependiendo de la aplicación; esta medida por sí sola no es suficiente para un nivel requerido de prestaciones “e”!
- 69 -
ISO 13849-1:2006
Medida
DC
Dispositivo de salida Control de salidas mediante un canal sin comprobación dinámica Control cruzado de señales de salida sin comprobación dinámica
0% a 99%, dependiendo de la frecuencia con la que la aplicación cambia la señal 0% a 99%, dependiendo de la frecuencia con la que la aplicación cambia la señal
Control cruzado de señales de salida con comprobación dinámica, sin detección de cortocircuitos (para I/O múltiples) Control cruzado de las señales de salida y de los resultados intermedios en la lógica (L) y control temporal y lógico del soporte lógico y del flujo del programa y detección de defectos estáticos y de cortocircuitos (para I/O múltiples) Vía de parada redundante sin control del accionador Vía de parada redundante con control de uno de los accionadores, mediante lógica o por un equipo de comprobación Vía de parada redundante con control de los accionadores mediante lógica y un equipo de comprobación Control indirecto (por ejemplo, control mediante un presostato, control de la posición eléctrica de los accionadores) Detección de defectos mediante el proceso
90%
Control directo (por ejemplo, control de la posición eléctrica de los distribuidores de mando, control de los dispositivos electromecánicos mediante elementos de contacto unidos mecánicamente)
99%
99%
0% 90% 99% 90% a 99%, dependiendo de la aplicación 0% a 99%, dependiendo de la aplicación; esta medida por sí sola no es suficiente para un nivel requerido de prestaciones “e”!
NOTA 1 Para estimaciones adicionales de la DC, véase, por ejemplo, las tablas A.2 a A.15 de la Norma IEC 61508-2:2000. NOTA 2 Si la lógica demanda una DC media o alta, tiene que aplicarse al menos una medida para la memoria variable, la memoria invariable y la unidad de tratamiento, siendo cada DC al menos del 60%. También se pueden utilizar otras medidas distintas de las listadas en esta tabla.
E.2 Estimación de la DC media (DCavg) En muchos sistemas, es posible utilizar varias medidas para la detección de defectos. Estas medidas podrían comprobar diferentes partes de la SRP/CS y tener diferentes DC. Para una estimación del PL de acuerdo con la figura 5, solamente es aplicable una DC media para el conjunto de las SRP/CS que desempeñan la función de seguridad. La DC se puede definir como la relación entre la tasa de fallos peligrosos detectados y la tasa total de fallos peligrosos. Conforme a esta definición, se estima una cobertura del diagnóstico media DCavg mediante la fórmula siguiente: DC1
+
DC 2
+ ... +
DC N
MTTFdN DC avg = MTTFd1 MTTFd2 1 1 1 + + ... + MTTFd1 MTTFd2 MTTFdN
(E.1)
En este caso, se deben tener en cuenta todos los componentes de la SRP/CS sin exclusión de defectos y se deben sumar. Para cada parte se toman en cuenta el MTTF d y la DC. En esta fórmula, la DC significa la relación entre la tasa de fallos peligrosos detectados de esta parte (independientemente de las medidas utilizadas para detectar los fallos) y la tasa total de fallos peligrosos de dicha parte. La DC se refiere, por lo tanto, a la parte comprobada y no al dispositivo de comprobación. Los componentes sin detección de fallo (por ejemplo, los que no se comprueban), tienen una DC = 0 y solamente contribuyen en el denominador de DCavg.
ISO 13849-1:2006
- 70 -
ANEXO F (Informativo) ESTIMACIONES PARA LOS FALLOS DE CAUSA COMÚN (CCF)
F.1 Requisitos para los CCF En el anexo D, de la Norma IEC 61508-6:2000, por ejemplo, se da un procedimiento completo para las medidas contra los CCF de los sensores/accionadores, por una parte, y de la lógica de mando por otra. No todas las medidas que se dan allí son aplicables al ámbito de las máquinas. Las medidas más importantes se enumeran a continuación. NOTA En esta parte de la Norma ISO 13849, se supone que para sistemas redundantes, un factor $, de acuerdo con el anexo D, de la Norma IEC 61508-6:2000, debería ser inferior o igual al 2%.
F.2 Estimación del efecto de los CCF Este proceso cuantitativo se debería realizar para el conjunto del sistema. Se debería tener en cuenta cada componente de las partes de los sistemas de mando relativas a la seguridad. La tabla F.1 enumera las medidas y contiene los valores asociados, fundados en criterios de ingeniería, que representan la contribución de cada medida a la reducción de los fallos de causa común. Para cada medida listada, solamente se puede atribuir la puntuación total o ninguna puntuación. Si una medida se cumple sólo parcialmente, el resultado para esta medida es cero. La tabla F.2 da una cuantificación de los CCF.
- 71 -
ISO 13849-1:2006
Tabla F.1 – Proceso de puntuación de las medidas contra los CCF Nº 1
2
Medida contra los CCF Separación/Aislamiento Separación física entre los caminos de las señales: separación en el cableado, en las tuberías, − distancias de aislamiento y líneas de fuga en tarjetas para circuitos impresos − Diversidad
Puntuación
Utilizar diferentes tecnologías/principios de diseño o principios físicos, por ejemplo: − primer canal electrónico programable y segundo canal cableado, − tipo de iniciación, presión y temperatura −
20
15
Medida de la distancia y de la presión, por ejemplo: − digital y analógica Componentes de diferentes fabricantes 3 Diseño/aplicación/experiencia 3.1 Protección contra sobretensión, sobrepresión, sobreintensidad, etc. 3.2 Utilización de componentes de eficacia probada 4 Evaluación/Análisis ¿En el diseño se tienen en cuenta los resultados de un análisis de los modos de fallo y sus efectos para evitar los fallos de causa común? 5 Competencia/formación ¿Han sido formados los diseñadores y el personal de mantenimiento para entender las causas y consecuencias de los fallos de causa común?
6 6.1
Medio ambiente Prevención de la contaminación y de las perturbaciones electromagnéticas (CEM) contra los CCF, de conformidad con las normas pertinentes
15 5 5 5 25
Sistemas fluídicos: filtración del medio a presión, prevención de la absorción de impurezas, drenaje del aire comprimido, por ejemplo, de conformidad con los requisitos del fabricante del componente en lo que se refiere a la pureza del medio a presión Sistemas eléctricos: ¿se ha comprobado la inmunidad electromagnética del sistema, por ejemplo tal como se especifica en las normas pertinentes contra los CCF? 6.2
Para sistemas combinados fluídicos y eléctricos, se deberían considerar ambos aspectos Otras influencias ¿Se han tenido en cuenta los requisitos relativos a la inmunidad contra todas la influencias ambientales pertinentes, tales como la temperatura, los choques, las vibraciones, la humedad (por ejemplo, tal como se especifica en las normas pertinentes)? Total
Puntuación total 65 o mejor Menos de 65 a
Medidas para evitar los CCF a Cumple los requisitos Proceso fallido ! seleccionar medidas adicionales
10
[máx. alcanzable 100]
Cuando no son pertinentes las medidas técnicas, los puntos detallados en la columna de la derecha se pueden considerar como un cálculo completo.
ISO 13849-1:2006
- 72 -
ANEXO G (Informativo) FALLOS SISTEMÁTICOS
G.1 Generalidades La Norma ISO 13849-2 proporciona una lista completa de medidas que se deberían aplicar contra los fallos sistemáticos, tales como los principios básicos de seguridad y los principios de eficacia probada.
G.2 Requisitos para controlar los fallos sistemáticos Se deberían aplicar las medidas siguientes: −
Utilizar la desactivación de energía (véase la Norma ISO 13849-2). Las partes del sistema de mando relativas a la seguridad (SRP/CS) se deberían diseñar de manera que sea posible obtener o mantener un estado de seguridad de la máquina en caso de pérdida de la alimentación de energía.
−
Medidas para controlar los efectos de los cortes de tensión, variaciones de tensión, sobretensiones, caídas de tensión. Se debería predeterminar el comportamiento de las SRP/CS en respuesta a los cortes de tensión, las variaciones de tensión, las sobretensiones y las caídas de tensión, de manera que las SRP/CS puedan obtener o mantener un estado de seguridad de la máquina (véase también la Norma IEC 60204-1 y A.8 de la Norma IEC 61508-7:2000).
−
Medidas para controlar o evitar los efectos del medio ambiente físico (por ejemplo, la temperatura, la humedad, el agua, las vibraciones, el polvo, las sustancias corrosivas, las interferencias electromagnéticas y sus efectos). Se debería predeterminar el comportamiento de las SRP/CS en respuesta a los efectos del medio ambiente físico, de manera que las SRP/CS puedan obtener o mantener un estado de seguridad de la máquina (véase también, por ejemplo, la IEC 60529 y la IEC 60204-1).
−
Se debería utilizar el control de la secuencia del programa en el caso de las SRP/CS con soporte lógico, con el fin de detectar una secuencia de programa defectuosa. Existe una secuencia de programa defectuosa si los elementos individuales de un programa (por ejemplo, módulos del soporte lógico, subprogramas u órdenes) se procesan siguiendo una secuencia errónea o durante un lapso de tiempo incorrecto o si el reloj del procesador está averiado (véase el capítulo A.9 de la IEC 61508-7:2001).
−
Medidas para controlar los efectos de los errores y otros efectos que pueden resultar de cualquier proceso de comunicación de datos (véase el apartado 7.4.8 de la Norma IEC 61508-2:2000).
Además, se deberían aplicar una o varias de las medidas siguientes, teniendo en cuenta la complejidad de las SRP/CS y su PL: −
detección de fallos mediante comprobaciones automáticas;
−
comprobaciones mediante soporte material redundante;
−
diversidad del soporte material;
−
funcionamiento en modo positivo;
−
contactos unidos mecánicamente;
- 73 -
−
acción de apertura directa;
−
modo de fallo orientado;
−
ISO 13849-1:2006
sobredimensionamiento mediante un coeficiente apropiado, cuando el fabricante puede demostrar que la devaluación mejorará la seguridad – si el sobredimensionamiento es apropiado, se debería utilizar un coeficiente de sobredimensionamiento de 1,5 como mínimo.
Véase también el capítulo D.3 de la Norma ISO 13849-2:2003.
G.3 Requisitos para evitar los fallos sistemáticos Se deberían aplicar las medidas siguientes: −
Utilización de materiales apropiados y de fabricación adecuada. Selección del material, de los métodos de fabricación y de tratamiento, con respecto a, por ejemplo, las tensiones, la durabilidad, la elasticidad, el rozamiento, el desgaste, la corrosión, la temperatura, la conductividad y la rigidez dieléctrica.
−
Dimensionamiento y forma apropiados. Tener en cuenta, por ejemplo, las tensiones, la deformación, la fatiga, la temperatura, el estado superficial, las tolerancias y la fabricación.
−
Selección, combinación, disposiciones, montaje e instalación correctas de los componentes, incluyendo el cableado, las conexiones y todas las interconexiones. Aplicar las normas apropiadas y las notas de aplicación del fabricante, por ejemplo, fichas de catálogos, instrucciones de instalación, especificaciones y utilización de buenas prácticas de la ingeniería.
−
Compatibilidad. Utilizar componentes con características de funcionamiento compatibles.
−
Resistencia a condiciones del medio ambiente específicas. Diseño de la SRP/CS de manera que pueda funcionar en todas las condiciones medioambientales previstas y en cualquier condición desfavorable previsibles, por ejemplo, temperatura, humedad, vibraciones e interferencias electromagnéticas (EMI) (véase el capítulo D.2 de la Norma ISO 13849-2:2003).
−
Utilización de componentes diseñados conforme a una norma apropiada y cuyos modos de fallo estén bien definidos. Para reducir el riesgo de no detectar defectos, mediante la utilización de componentes que tengan características específicas (véase el apartado B.3.3 de la Norma IEC 61508-7:2000).
Además, se deberían aplicar una o varias de las medidas siguientes, teniendo en cuenta la complejidad de las SRP/CS y su PL: −
Revisión del diseño del soporte material (por ejemplo mediante inspección o por ensayo). Para revelar, mediante revisiones y análisis, las discrepancias entre la especificación y la implementación (véanse los apartados B.3.7 y B.3.8 de la Norma IEC 61508-7:2000).
ISO 13849-1:2006
−
- 74 -
Herramientas de diseño asistidas por ordenador capaces de realizar simulaciones o análisis. Ejecutar el procedimiento de diseño de manera sistemática, incluyendo elementos de construcción automáticos apropiados que estén ya disponibles y verificados (véase el apartado B.3.5 de la Norma IEC 61508-7:2000).
−
Simulación. Realizar una inspección sistemática y completa del diseño de una SRP/CS, en términos tanto de prestaciones funcionales, como de dimensionamiento correcto de los componentes (véase el apartado B.3.6 de la Norma IEC 61508-7:2000).
G.4 Medidas para evitar los fallos sistemáticos al integrar una SRP/CS Al integrar una SRP/CS se deberían aplicar las medidas siguientes: −
comprobaciones funcionales;
−
gestión de proyecto;
−
documentación.
Además, se debería aplicar el ensayo de “caja negra”, en función de la complejidad de la SRP/CS y de su PL.
- 75 -
ISO 13849-1:2006
ANEXO H (Informativo) EJEMPLO DE COMBINACIÓN DE VARIAS PARTES DEL SISTEMA DE MANDO RELATIVAS A LA SEGURIDAD (SRP/CS)
La figura H.1 es una representación esquemática de las partes relativas a la seguridad que realizan una de las funciones de mando de undemostrar accionador de la máquina. No se trata de un diagrama funcional o de ejecución y está destinado únicamente para el principio de combinación de categorías y tecnologías en dicha función particular. El mando está asegurado por la lógica de mando electrónico y un distribuidor direccional hidráulico. El riesgo se ha reducido mediante una AOPD que detecta el acceso a la zona peligrosa e impide la puesta en marcha del accionador fluídico en caso de interrupción del haz luminoso. Las partes relativas a la seguridad que realizan la función de seguridad son: el AOPD, la lógica de mando electrónico, el distribuidor direccional hidráulico y los medios de interconexión. Estas partes relativas a la seguridad combinadas, proporcionan una función de parada como función de seguridad. Cuando el haz luminoso se interrumpe, las salidas transmiten una señal a la lógica de mando electrónico que envía una señal al distribuidor direccional hidráulico para detener el flujo hidráulico a la salida de la SRP/CS. En la máquina, esto detiene el movimiento peligroso del accionador. Esta combinación de partes relativas a la seguridad realiza una función de seguridad e ilustra la combinación de diferentes categorías y tecnologías de acuerdo con los requisitos dados en el capítulo 6. Utilizando los principios dados en esta parte de la Norma ISO 13849, las partes relativas a la seguridad mostradas en la figura H.2 se pueden describir como sigue: −
Categoría 2, PL = c para el dispositivo de protección electrosensible (barrera luminosa). Para reducir la probabilidad de defectos, este dispositivo utiliza los principios de seguridad de eficacia probada;
−
Categoría 3, PL = d para la lógica de mando electrónico. Para aumentar el nivel de prestaciones de seguridad de esta lógica de mando electrónico, la estructura de esta SRP/CS es redundante e implementa varias medidas de detección de defectos, de manera que puede detectar la mayoría de los defectos;
−
Categoría 1, PL = c para el distribuidor direccional hidráulico. El que sea calificado de eficacia probada depende esencialmente de la aplicación. En este ejemplo, el distribuidor se considera de eficacia probada. Para reducir la probabilidad de defectos, este dispositivo está constituido de componentes de eficacia probada aplicados utilizando los principios de seguridad de eficacia probada y teniendo en cuenta todas las condiciones de la aplicación (véase el apartado 6.2.4).
NOTA 1 La posición, dimensiones e implantación de los medios de interconexión, también se deben tener en cuenta.
Esta combinación lleva con PLlow = c y Nlow = 2, a un nivel de prestaciones global de PL = c (véase el apartado 6.3). NOTA 2 En el caso de un defecto en las partes de categoría 1 o de categoría 2 de la figura H.2, puede producirse una pérdida de la función de seguridad.
ISO 13849-1:2006
- 76 -
Leyenda AOPD
dispositivo de protección electrosensible (por ejemplo, barrera luminosa), SRP/CSa: Categoría 2 [Tipo 2], PL = c
E
lógica de mando electrónico, SRP/CSb: Categoría 3, PL = d
F
fluídica, SRP/CSc: Categoría 1, PL = c
Fa
accionador fluídico
H
movimiento peligroso
Figura H.1 – Ejemplo Diagrama de bloques para explicitar la combinación de SRP/CS
- 77 -
ISO 13849-1:2006
Leyenda AOPD E F I, I1, I2 L, L1, L2 O, O1, O2, OTE TE
dispositivo de protección electrosensible (por ejemplo, barrera luminosa) lógica de mando electrónico fluídica dispositivos de entrada, por ejemplo detector lógicas dispositivos de salida, por ejemplo, contactor principal equipo de comprobación
Figura H.2 – Sustitución de la figura H.1 por arquitecturas tipo
ISO 13849-1:2006
- 78 -
ANEXO I (Informativo) EJEMPLOS
I.1 Generalidades Este anexo da ejemplos de utilización de los métodos presentados en los anexos precedentes para identificar las funciones de seguridad y determinar el PL. Se detalla la cuantificación de dos circuitos de mando ampliamente utilizados. Para ver el procedimiento paso a paso, véase la figura 3. Se examinan dos ejemplos diferentes de circuitos de mando, A y B, representados respectivamente en las figuras I.1 e I.3. Ambos ejemplos ilustran las prestaciones de la misma función de seguridad de enclavamiento de un resguardo. El primer ejemplo comprende un solo canal de componentes electromecánicos con valores de MTTFd elevados. El segundo ejemplo, comprende dos canales, uno electromecánico y el otro electrónico programable, provisto de comprobaciones, pero cuyos componentes tienen MTTFd, más bajos.
I.2 Función de seguridad y nivel de prestaciones requerido (PLr) Para ambos ejemplos, la función de seguridad del enclavamiento de un resguardo se puede seleccionar como sigue: El movimiento peligroso se detiene cuando el resguardo se abre (por desactivación de energía del motor eléctrico). De acuerdo con el método del gráfico del riesgo (véase la figura A.1), los parámetros del riesgo son los siguientes: −
gravedad de la lesión, S = S2, grave;
−
frecuencia y/o duración de la exposición al peligro, F = F1, raro a bastante frecuente y/o corta duración de exposición;
−
posibilidad de evitar el peligro o de limitar el daño, P = P1, posible en determinadas condiciones.
Estas decisiones conducen a un nivel de prestaciones requerido PLr de “c”. Determinación de la categoría preferente: un nivel de prestaciones “c”, se puede obtener con sistemas de un solo canal muy fiables (categoría 1) o con arquitecturas redundantes (categoría 2 ó 3) (véanse la figura 5 y el capítulo 6).
I.3 Ejemplo A, sistema de un solo canal I.3.1 Identificación de las partes relativas a la seguridad En la figura I.1 están representados todos los componentes que contribuyen a la función de seguridad. No están representados los detalles funcionales que no contribuyen a la función de seguridad de enclavamiento (como los dispositivos de puesta en marcha y de parada).
- 79 -
ISO 13849-1:2006
Leyenda o c M
abierto cerrado motor
K1A SW1A
contactor interruptor (NC)
Figura I.1 – Circuito de mando A para desempeñar la función de seguridad En este ejemplo, un interruptor de puerta está provisto de contactos normalmente cerrados (aunque no se ha justificado la exclusión de defectos) está conectado a un contactor capaz de desconectar la alimentación de energía del motor: −
un canal de componentes electromecánicos;
−
el interruptor SW1A tiene un MTTF d medio;
−
el contactor K1A tiene un MTTF d bajo.
El contactor seleccionado en este ejemplo, es un componente de eficacia probada, si se implementa de acuerdo con la Norma ISO 13849-2. Las partes relativas a la seguridad y su repartición en canales se pueden ilustrar en un diagrama de bloques relativo a la seguridad, tal como el representado en la figura I.2.
Leyenda K1A SW1A
contactor dispositivo de enclavamiento
Figura I.2 – Diagrama de bloques relativo a la seguridad identificando la partes relativas a la seguridad del ejemplo A
ISO 13849-1:2006
- 80 -
I.3.2 Cuantificación del MTTFd para cada canal, de la DCavg, de los fallos de causa común, de la categoría y del PL Se supone que los valores del MTTFd para cada canal, la DC avg y los fallos de causa común, se estiman conforme a los anexos C, D, E y F, o están dados por el fabricante. Las categorías se estiman de acuerdo con el apartado 6.2.
MTTFd El contactor K1A y el interruptor SW1A contribuyen al MTTFd de un solo canal. Se supone que los MTTF d dados por el fabricante son MTTF d, K1A, = 50 años y MTTFd,SW1A, = 20 años. El MTTFd, de este canal se obtiene a partir del método de recuento de partes indicado en el capítulo D.1: 1 1 1 1 10 , 07 = + = + = MTTFd MTTFSW1A MTTFK1A 20a ños 50 años años
(I.1)
de donde se obtiene MTTFd = 14,3 años o “medio” para el canal, conforme a la tabla 5, de 4.5.2. NOTA Si no se dispone de información para K1A, se podría utilizar el caso más desfavorable de acuerdo con los capítulos C.2 o C.4.
DC Puesto que en el circuito de mando A no se realiza ninguna comprobación, la DC = 0 o “nula”, de acuerdo con la tabla 6, del apartado 5.4.3.
Categoría Aunque la categoría preferente para este circuito es la categoría 1, el MTTFd obtenido para el canal es “medio”. Este es un argumento que indica que este diseño solamente permite obtener la categoría B. Los datos de entrada para la figura 5 son: MTTF d “medio” para cada canal (14,3 años), DCavg, “nula” y categoría B. Esto se puede interpretar como un nivel de prestaciones b. Este resultado no corresponde al nivel de prestaciones requerido “c” según I.2. Por lo tanto, el circuito tiene que ser diseñado y valorado de nuevo hasta obtener el nivel de prestaciones “c”, con el fin de satisfacer los requisitos de reducción del riesgo de la aplicación dada en el capítulo I.2.
I.4 Ejemplo B, sistema redundante I.4.1 Identificación de las partes relativas a la seguridad En la figura I.3 están representados todos los componentes que contribuyen a la función de seguridad. No están representados los detalles funcionales que no contribuyen a la función de seguridad de enclavamiento (como los dispositivos de puesta en marcha y de parada o la temporización de K1B).
- 81 -
ISO 13849-1:2006
Leyenda PLC CC M RS o c
autómata programable convertidor de corriente motor detector de rotación abierto cerrado
Cs función de parada (estándar) S1B bloqueo de impulso seguro K1B contactor SW1B interruptor (NC) SW2 interruptor (NO)
Figura I.3 – Circuito de mando B para desempeñar la función de seguridad En este segundo ejemplo, se utilizan dos canales redundantes. Como en el ejemplo A, el primer canal está constituido por un interruptor de puerta provisto de contactos de apertura forzada, accionado según el modo positivo. Este interruptor de puerta está conectado a un contactor capaz de desconectar la alimentación de energía del motor. En el segundo canal se utilizan componentes electrónicos (programables) adicionales. Un segundo interruptor de puerta está conectado a un autómata programable industrial, capaz de controlar al convertidor de corriente para desconectar la alimentación de energía del motor: −
canales redundantes, uno electromecánico y el otro electrónico programable;
−
el interruptor SW1B está provisto de contactos de acción mecánica positiva, el MTTFd de SW2 es medio;
−
el contactor K1B tiene un MTTF d medio, el contactor seleccionado en este ejemplo es un componente que no es de eficacia probada;
−
los componentes electrónicos tienen un MTTF d medio.
ISO 13849-1:2006
- 82 -
Las partes relativas a la seguridad y su repartición en canales se pueden ilustrar en un diagrama de bloques relativo a la seguridad, tal como el representado en la figura I.4. NOTA En cuanto a la diversidad redundante, los requisitos para el soporte lógico, de acuerdo con el apartado 4.6 para el camino del PLC, no se consideran apropiados.
SW1B y K1B constituyen el primer canal, SW2, PLc y CC constituyen el segundo canal; RS solamente se utiliza para comprobar el convertidor de corriente. Leyenda SW1B K1B SW2 PLC CC RS
dispositivo de enclavamiento contactor interruptor autómata programable convertidor de corriente detector de rotación
Figura I.4 – Diagrama de bloques identificando la part es relativas a la seguridad del ejemplo B
I.4.2 Cuantificación del MTTFd para cada canal, de la DC avg, de los fallos de causa común, de la categoría y del PL Se supone que los valores del MTTFd para cada canal, la DC avg y los fallos de causa común, se estiman conforme a los anexos C, D, E y F, o están dados por el fabricante. Las categorías se estiman de acuerdo con el apartado 6.2. El interruptor SW1B es de apertura forzada y está accionado según el modo positivo. Por lo tanto, están excluidos los defectos relativos a la no apertura de un contacto o la no actuación del interruptor debido a un fallo mecánico (por ejemplo, rotura de una lengüeta, desgaste de la leva de accionamiento, desajuste). NOTA Estas hipótesis son válidas para los contactores auxiliares, conforme al anexo K de la Norma IEC 60957-5-1:1997 y para la fijación mecánica adecuada y el accionamiento de los interruptores de acuerdo a la especificación del fabricante (véase la Norma ISO 13849-2).
- 83 -
−
ISO 13849-1:2006
MTTFd El contactor K1B es el único elemento que contribuye al MTTFd de un canal. Se supone que el MTTFK1B dado por el fabricante es de 30 años. El MTTF d, de este canal se obtiene a partir del método de recuento de partes indicado en el capítulo D.1: 1 1 = MTTFC1 MTTF d K1B d
(I.2)
de donde se obtiene MTTFd = 30 años para el canal. En el segundo canal SW2, PLC y CC contribuyen al MTTFd C2. Para estos tres componentes, así como para el detector RS, se supone que el MTTFd dado por el fabricante es de 20 años. El MTTFdC2, del segundo canal se obtiene a partir del método de recuento de partes indicado en el capítulo D.1: 1 MTTFC2 d
=
1 MTTF SW2 d
+
1 MTTF PLC d
+
1
=
CC dMTTF
1 1 1 0,15 + + = 20 años 20 años 20 años años
(I.3)
de donde se obtiene MTTFd = 6,7 años para el canal.
FALTA PÁRRAFO DC En el circuito de mando B, cuatro de las partes relativas a la seguridad son comprobadas por el PLC: el PLC controla SW2 y K1B, se autocomprueba y controla el CC a través del RS. Las DC que corresponden a cada parte sometida a comprobación son: 1) DCSW2 = 60%, “baja”, debido a que el control de las señales de entrada se realiza sin comprobación dinámica, véase la tabla E.1 (tercera fila de la parte relativa a los dispositivos de entrada); 2) DCK1B = 99%, “alta”, debido a que los contactos normalmente abiertos y los normalmente cerrados están mecánicamente guiados, véase la tabla E.1 (segunda fila de la parte relativa a dispositivos de entrada); 3) DCPLC = 30%, “nula”, debido a la baja efectividad de las autocomprobaciones (se supone que el fabricante ha calculado este valor mediante un AMFD), y 4) DCCC = 90%, “media”, debido a la redundancia del camino de corte con control del accionador mediante la lógica de mando, véase la tabla E.1 (sexta fila de la parte relativa a dispositivos de salida). Si el PLC detecta un fallo del CC, debe ser capaz de detener el movimiento con un impulso de bloqueo seguro (vía de parada adicional). Para estimar el PL, es necesario un valor medio de DC (DC avg) como dato de entrada de la figura 5.
DC
= avg
DCavg
DC SW2 MTTFSW2 d
+
DC K1B MTTF K1B d
1111 + MTTFSW2 MTTF d K1B d
+ +
DC PLC MTTF PLC d MTTF PLC d
+ +
DC CC MTTF CC d MTTF CC d
0, 6 0,99 0,3 0,9 + + + 20y 30y 20y 20y 0,123 = = = 67,1% 1111 0,183 + + + 20y 30y 20y 20y es, por lo tanto, “baja” de acuerdo con el apartado 4.5.3 y la tabla 6.
(I.4)
ISO 13849-1:2006
- 84 -
CCF Se supone que se ha realizado una estimación de las medidas contra los CCF de acuerdo con el capítulo F.2, para el circuito de mando B. Se han deducido las puntuaciones indicadas en la tabla I.1.
Tabla I.1 – Estimación de las medidas contra los CCF para el ejemplo B Nº 1 2
3 3.1 3.2 4
5
6 6.1 6.2
Concepto Separación/Aislamiento Separación física entre los caminos de las señales Diversidad Utilizar diferentes tecnologías/principios de diseño o principios físicos Diseño/aplicación/experiencia Protección contra sobretensiones, sobrepresiones, sobreintensidades, etc. Utilización de componentes de eficacia probada Evaluación/Análisis ¿En el diseño se tienen en cuenta los resultados de un análisis de los modos de fallo y sus efectos para evitar los fallos de causa común? Competencia/formación ¿Han sido formados los diseñadores y el personal de mantenimiento para entender las causas y consecuencias de los fallos de causa común? Medio ambiente Prevención de la contaminación y de las perturbaciones electromagnéticas (CEM) contra los CCF, de conformidad con las normas pertinentes Otras influencias ¿Se han tenido en cuenta los requisitos relativos a la inmunidad contra todas la influencias ambientales pertinentes, tales como la temperatura, los choques, las vibraciones, la humedad (por ejemplo, tal como se especifica en las normas pertinentes)? Total
Puntuación para el circuito de mando
Puntuación máxima posible
15
15
20
20
Nula
15
5
5
5
5
Nula
5
25
25
10
10
80
Máx. 100
La puntuación mínima requerida para que las medidas contra los CCF sean suficientes, es de 65. En el ejemplo B, la puntuación de 80 es suficiente para satisfacer los requisitos contra los CCF. Un solo defecto en cualquiera de estas partes no conduce a la pérdida de la función de seguridad. Siempre que sea razonablemente factible, un solo defecto se detecta cuando se solicita la función de seguridad o antes de la siguiente solicitación de dicha función. La cobertura del diagnóstico (DC avg) está comprendida entre 60% y 90%. Las medidas contra los CCF son suficientes. Estas características son típicas de la categoría 3. Los datos de entrada para la figura 5 son: MTTF d “medio” para el canal (20 años), DCavg, “baja” y categoría 3. Esto se puede interpretar como un nivel de prestaciones c. Este resultado corresponde al nivel de prestaciones requerido “c” según I.2. Por lo tanto, el circuito de mando B satisface los requisitos de reducción del riesgo de la aplicación dada en el capítulo I.2.
- 85 -
ISO 13849-1:2006
ANEXO J (Informativo) SOPORTE LÓGICO
J.1 Descripción del ejemplo En este anexo, se exponen las actividades típicas para realizar el SRESW de una SRP/CS, de PL r = d. La SRP/CS está interconectada con el equipo de la máquina. Garantiza: −
la adquisición de la información enviada por los diferentes sensores;
−
el tratamiento requerido para hacer funcionar los elementos de mando, teniendo en cuenta los requisitos de seguridad, y
−
el mando de los accionadores.
El diseño del SRESW de esta aplicación al nivel de bloques funcionales se ha hecho tal como se representa en la figura J.1.
Fig. J.1 – Ejemplo de diseño de un soporte lógico al nivel de bloques funcionales
ISO 13849-1:2006
- 86 -
J.2 Aplicación del modelo en V al ciclo de vida del soporte lógico de seguridad La tabla J.1 presenta un ejemplo de síntesis de las actividades y documentos elaborados durante la aplicación del modelo en V al ciclo de vida del soporte lógico de seguridad del mando de una máquina.
Tabla J.1 – Actividades y documentos relativos al ciclo de vida del soporte lógico de seguridad Actividad de desarrollo Aspecto Máquina: Identificación de las funciones involucradas en la SRP/CS Aspecto Arquitectura: Definición de la arquitectura de mando con sensores y accionadores Aspecto Especificación del soporte lógico: Transcripción de las funciones de la máquina en funciones del soporte lógico Aspecto Arquitectura del soporte lógico: Detallar las funciones en bloques funcionales Aspecto Codificación: Codificación conforme a las reglas de programación (véase J.4) Aspecto Validación: Realización de los escenarios de comprobación: aspecto funcional de las funciones aspecto de comportamiento en caso de fallo
Actividad de verificación
Documentación asociada
Identificación de las funciones relativas a la seguridad
“Especificación de la máquina relativodel a lamando seguridad”
Comentarios sobre las características de seguridad de los componentes seleccionados Relectura de las descripciones (véase J.3)
“Definición de la arquitectura de mando”
Definición de los bloques críticos sujetos a un mayor esfuerzo de análisis y validación
“Modelización de los bloques funcionales”
Relectura del código fuente. Verificación de las funciones y de su conformidad con las reglas del arte
“Inclusión de comentarios de la codificación en el código fuente”
Verificación de la cobertura de las comprobaciones Verificación de los resultados de las comprobaciones
“Descripción del soporte lógico”
“Fichas de relectura de la codificación” “Matriz de correspondencia” que relaciona las referencias de los apartados de la especificación con las comprobaciones correspondientes “Fichas de comprobación” que comprende los escenarios de las comprobaciones y los comentarios sobre los resultados obtenidos
J.3 Verificación de la especificación del soporte lógico Como parte del ciclo de vida del soporte lógico, la actividad de verificación al nivel de la especificación del soporte lógico consiste en leer las descripciones con el fin de verificar que todos los puntos delicados se han descrito adecuadamente. Al verificar cada una de las funciones, se deberían tener en cuenta los siguientes aspectos: − −
limitar los casos de interpretación errónea de la especificación del sistema; evitar lagunas en la especificación que dan como resultado un comportamiento a priori desconocido de la SRP/CS;
−
definir con precisión las condiciones para la activación y la desactivación de las funciones;
−
garantizar con precisión que se han tratado todos los casos posibles;
−
las comprobaciones de coherencia;
−
los diferentes casos de programación;
−
las reacciones como consecuencia de un fallo.
- 87 -
ISO 13849-1:2006
J.4 Ejemplo de reglas de programación Para los CCF, en general, debería ser posible autentificar el programa mediante el autor, la fecha de carga, la versión y el último tipo de acceso. En lo que respecta a las reglas de programación, se pueden distinguir las reglas siguientes:
a) Reglas de programación al nivel de la estructura del programa La programación se debería estructurar de manera que muestre una estructura general coherente y comprensible, que permita localizar fácilmente los diferentes procesos de tratamiento. Esto implica: 1) la utilización de formatos para un programa tipo o para bloques funcionales; 2) la partición del programa en segmentos con el fin de identificar las partes principales correspondientes a las “entradas”, “procesos de tratamiento” y “salidas”; 3) los comentarios en cada sección del programa en el código fuente para facilitar la puesta al día de los comentarios en caso de modificación; 4) la descripción del papel que tiene un bloque funcional cuando se hace una llamada a dicho bloque; 5) que la ubicación de memoria se debería utilizar solamente por un único tipo de datos, identificándolos por una única etiqueta, y 6) que la secuencia de trabajo no debería depender de variables tales como direcciones de saltos calculados durante la ejecución del programa. Se autorizan los saltos condicionales.
b) Reglas de programación relativas a la utilización de variables −
La activación o desactivación de cualquier salida se debería realizar una sola vez (condiciones centralizadas).
−
El programa debería estar estructurado de tal manera que las ecuaciones para la puesta al día de una variable estén centralizadas. Cada variable global, entrada o salida, debería tener un nombre nemotécnico suficientemente explícito y estar descrita mediante un comentario en el programa fuente.
−
c) Reglas de programación al nivel de un bloque funcional −
Utilizar preferentemente bloques funcionales que hayan sido validados por el suministrador de la SRP/CS, comprobando que las condiciones de utilización previstas para dichos bloques corresponden a las condiciones del programa.
−
El tamaño del bloque codificado debería estar limitado a los valores aconsejados siguientes: i) parámetros: máximo ocho digitales y dos entradas número entero, una salida; ii) código fuente de la función: máximo diez variables locales, máximo 20 ecuaciones boolianas.
−
Los bloques funcionales no deberían modificar las variables globales.
−
Se debería controlar un valor digital con respecto a las cotas prefijadas con el fin de garantizar su dominio de validez.
−
Un bloque funcional debería tratar de detectar las incoherencias de las variables a tratar.
−
El código de defectos de un bloque debería ser accesible para discriminar un defecto de los demás.
−
Se deberían describir los códigos de defectos y el estado del bloque después de la detección de un defecto se deberían describir mediante comentarios.
−
Se deberían describir el rearme del bloque o el restablecimiento de un estado normal mediante comentarios.
ISO 13849-1:2006
- 88 -
ANEXO K (Informativo) REPRESENTACIÓN NUMÉRICA DE LA FIGURA 5
Véase la tabla K.1.
- 89 -
ISO 13849-1:2006
L P
4 t. a C
ta l a =
g v a
C D
L P
5 a r u g if la e d a ci ré m u n ió c ta n es er p e R – 1 . K la b a T
) L P ( et en i d n o sp er r o c se n io c ta se r p e d le v i n y ) /h 1 ( a r o h r o p s ro ig le p o ll fa n u e d a i d e m d a id il b a b o r P
3 t. a C
b
a i ed m = g v a
C D L P
3 .t a C
ja a b =
g v a
C D
L P
2 .t a C
ia d e m = g v a
C D L P
2 t. a C
ja a b =
g v a
C D
6 −
0 1
b
6 −
0 1
b
6 −
0 1
b
6 −
0 1
b
6 −
0 1
b
6 −
0 1
b
6 −
0 1
c
6 −
0 1
c
6 −
0 1
c
6 −
0 1
c
6 −
0 1
c
6 −
0 1
c
6 −
0 1
c
6 −
0 1
c
6 −
0 1
c
6 −
0 1
d
7 −
0 1
× 9 0 , 6
× 1 4 , 5
× 6 8 , 4
× 0 4 , 4
× 9 8 , 3
× 8 4 , 3
× 5 1 , 3
× 0 8 , 2
× 7 4 , 2
× 0 2 , 2
× 5 9 , 1
× 4 7 , 1
× 3 5 , 1
× 6 3 , 1
× 8 1 , 1
× 4 0 , 1
× 1 2 , 9
a
a
a
b
b
b
b
b
b
b
b
b
b
b
c
c
c
5 −
0 1
5 −
0 1
5 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
× 6 ,2 1
× 3 ,1 1
× 3 ,0 1
× 7 ,3 9
× 9 ,3 8
× 8 ,5 7
× 1 ,9 6
× 1 ,2 6
× 3 ,5 5
× 8 ,9 4
× 5 ,4 4
× 2 ,0 4
× 7 ,5 3
× 1 ,2 3
× 1 ,8 2
× 9 ,4 2
× 3 ,2 2
a
a
a
a
a
a
a
b
b
b
b
b
b
b
b
b
b
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
× 9 ,9
× 9 ,7
× 2 ,6
× 8 ,4
× 3 ,3
× 0 ,2
× 0 ,1
× 7 ,8
× 0 ,8
× 3 ,9
× 0 ,1
× 3 ,4
× 1 ,7
× 4 ,1
× 3 ,5
× 4 ,0
× 4 ,6
1
1
1
1
1
1
1
9
8
7
7
6
5
5
4
4
3
a
a
a
a
a
a
a
a
a
a
b
b
b
b
b
b
b
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
6 −
0 1
× 8 5 , 2
× 3 3 , 2
× 3 1 , 2
× 5 9 , 1
× 6 7 , 1
× 0 6 , 1
× 7 4 , 1
× 3 3 , 1
× 9 1 , 1
× 8 0 , 1
× 5 7 , 9
× 7 8 , 8
× 4 9 , 7
× 8 1 , 7
× 4 4 , 6
× 4 8 , 5
× 3 3 , 5
a
a
a
a
a
a
a
a
a
a
a
a
a
a
a
b
b
L P
1 .t a C
la u n =
g v a
C D
L P
B .t a C l a n a c a d ca a r a p d F T T M
a l u n =
g v a
C D
s o ñ a
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
5 −
0 1
6 −
0 1
6 −
0 1
× 0 ,8 3
× 6 ,4 3
× 7 ,1 3
× 3 ,9 2
× 5 ,6 2
× 3 ,4 2
× 4 ,2 2
× 4 ,0 2
× 4 ,8 1
× 8 ,6 1
× 2 ,5 1
× 9 ,3 1
× 5 ,2 1
× 4 ,1 1
× 4 ,0 1
× 1 ,5 9
× 8 ,7 8
3
,3 3
,6 3
,9 3
,3 4
,7 4
,1 5
,6 5
,2 6
,8 6
,5 7
,2 8
,1 9
0 1
1 1
2 1
3 1
ISO 13849-1:2006
- 90 -
L P
4 t. a C
ta l a = g v a C D
L P ) L P ( et en i d n o sp er r o c se n io c ta se r p e d le v i n y ) /h 1 ( a r o h r o p s ro ig le p o ll fa n u e d a i d e m d a id il b a b o r P
3 t. a C
ia d e m = g v a C D
L P
3 .t a C
a j a b = g v a C D
L P
2 t. a C
ia ed m = g v Ca D
L P
2 t. a C
ja a b = g v a C D
d
d
7 − 0 1
B .t a C l a n a c a d ca a r a p d F T T M
a l u n = g v a C D
s o ñ a
e
e
e
e
e
e
e
e
e
e
e
e
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
×
×
×
×
×
×
×
×
×
×
×
×
×
×
4 5 , 9
7 5 , 8
7 7 , 7
1 1 , 7
7 3 , 6
6 7 , 5
6 2 , 5
3 7 , 4
2 2 , 4
0 8 , 3
1 4 , 3
8 0 , 3
4 7 , 2
7 4 , 2
d
d
d
d
d
d
d
d
d
d
d
d
e
e
e
e
e
e
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
8 − 0 1
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
4 4 , 7
6 7 , 6
7 6 , 5
5 8 , 4
1 2 , 4
0 7 , 3
0 1 , 3
5 6 , 2
0 3 , 2
1 0 , 2
8 7 , 1
4 5 , 1
4 3 , 1
9 1 , 1
3 0 , 1
4 8 , 8
8 6 , 7
2 6 , 6
9 7 , 5
4 9 , 4
9 2 , 4
c
c
c
d
d
d
d
d
d
d
d
d
d
d
d
d
d
d
d
c
c
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
2 8 , 1
7 6 , 1
1 4 , 1
2 2 , 1
7 0 , 1
7 4 , 9
4 0 , 8
4 9 , 6
4 9 , 5
6 1 , 5
3 5 , 4
7 8 , 3
5 3 , 3
3 9 , 2
2 5 , 2
3 1 , 2
4 8 , 1
7 5 , 1
5 3 , 1
4 1 , 1
1 0 , 1
c
c
c
c
c
c
c
d
d
d
d
d
d
d
d
d
d
d
d
b
c
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
1 0 , 3
7 7 , 2
7 3 , 2
6 0 , 2
2 8 , 1
2 6 , 1
9 3 , 1
1 2 , 1
6 0 , 1
9 3 , 9
0 4 , 8
4 3 , 7
9 4 , 6
0 8 , 5
0 1 , 5
3 4 , 4
0 9 , 3
0 4 , 3
1 0 , 3
1 6 , 2
9 2 , 2
b
b
c
c
c
c
c
c
c
c
c
c
c
d
d
d
d
d
d
b
b
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
7 − 0 1
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
3 5 , 4
1 2 , 4
8 6 , 3
6 2 , 3
3 9 , 2
5 6 , 2
2 3 , 2
6 0 , 2
5 8 , 1
7 6 , 1
3 5 , 1
7 3 , 1
4 2 , 1
3 1 , 1
2 0 , 1
6 0 , 9
7 1 , 8
1 3 , 7
1 6 , 6
8 8 , 5
8 2 , 5
b
b
b
c
c
c
c
c
c
c
c
c
c
c
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
×
×
×
×
×
×
×
×
×
×
×
×
×
×
0 8 , 3
6 4 , 3
7 1 , 3
3 9 , 2
5 6 , 2
3 4 , 2
4 2 , 2
4 0 , 2
4 8 , 1
8 6 , 1
2 5 , 1
9 3 , 1
5 2 , 1
4 1 , 1
0 3
3 3
6 3
9 3
3 4
7 4
1 5
6 5
2 6
8 6
5 7
2 8
1 9
0 0 1
a l u n = g v a C D
L P
e
d
L P
1 .t a C
e
b
b
6 − 0 1
× 1 6 , 7
5 1
b
b
b
b
b
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
6 − 0 1
×
×
×
×
×
×
3 1 , 7
4 3 , 6
1 7 , 5
9 1 , 5
6 7 , 4
3 2 , 4
8 1
0 2
2 2
4 2
7 2
6 1
- 91 -
ISO 13849-1:2006
BIBLIOGRAFÍA Publicaciones sobre sistemas electrónicos programables [1]
IEC 61000-4-4 Compatibilidad electromagnética (CEM). Parte 4-4: Técnicas de ensayo y de medida. Ensayos de inmunidad a los transitorios eléctricos rápidos en ráfagas.
[2]
61496-1 Seguridad de las máquinas. Equipos de protección electrosensibles. Parte 1: Requisitos generales yIEC ensayos.
[3]
IEC 61496-2 Seguridad de las máquinas. Equipos de protección electrosensibles. Parte 2: Requisitos particulares para equipos utilizando dispositivos de protección optoelectrónicos activos.
[4]
IEC 61496-3 Seguridad de las máquinas. Equipos de protección electrosensibles. Parte 3: Requisitos particulares para equipos que utilizan dispositivos opto-electrónicos activos sensibles a las reflexiones difusas (AOPDDR).
[5]
IEC 61508-1:1998 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 1: Requisitos generales.
[6]
IEC 61508-2:2000 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 2: Requisitos para los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad.
[7]
IEC 61508-5:1998 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 5: Ejemplos de métodos de determinación de los niveles de integridad de
[8] [9]
seguridad. IEC 61508-6:2000 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 6: Directrices para la aplicación de las Normas CEI 61508-2 y CEI 61508-3. IEC 61508-7:2000 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 7: Presentación de técnicas y medidas.
[10] IEC 62061 Seguridad de las máquinas. Seguridad funcional de sistemas de mando eléctricos, electrónicos y programables relativos a la seguridad. [11] HSE Guidelines, Programmable Electronic Systems in Safety-related Applications, Parts 1 (ISBN 0 11 883906 6) and 2 (ISBN 0 11 883906 3). [12] CECR-184 Personal Safety in Microprocessor Control Systems (Elektronikcentralen, Denmark).
Otras publicaciones [13] ISO/FDIS 13850 Seguridad de las máquinas. Paro de emergencia. Principios de diseño. [14] ISO 13851 Safety of machinery — Two-hand control devices — Functional aspects and design principles. [15] ISO 13856-1 Safety of machinery — Pressure-sensitive protective devices — Part 1: General principles for design and testing of pressure-sensitive mats and pressure-sensitive floors. [16] ISO 13856-2 Safety of machinery — Pressure-sensitive protective devices — Part 2: General principles for the design and testing of pressure-sensitive edges and pressure-sensitive bars.
ISO 13849-1:2006
- 92 -
[17] ISO 11428 Safety of machinery — Visual danger signals — General requirements, design and testing. [18] ISO 9001 Sistemas de gestión de la calidad. Requisitos. [19] ISO 9355-1 Ergonomic requirements for the design of displays and control actuators — Part 1: Human interactions with displays and control actuators. [20] ISO 9355-2 Ergonomic requirements for the design of displays and control actuators — Part 2: Displays. [21] ISO 9355-3 Ergonomic requirements for the design of displays and control actuators — Part 3: Control actuators. [22] ISO 11429 Ergonomics — System of auditory and visual danger and information signals. [23] ISO 7731 Ergonomía. Señales de peligro para lugares públicos y lugares de trabajo. Señales acústicas de peligro. [24] ISO 4413 Hydraulic fluid power — General rules relating to systems. [25] ISO 4414 Pneumatic fluid power — General rules relating to systems. [26] ISO 13855:2000 Safety of machinery — Positioning of protective equipment with respect to the approach speeds of parts of the human body. [27]
ISO 14118 Safety of machinery — Prevention of unexpected start-up.
[28] ISO 19973 (all parts), Pneumatic fluid power — Assessment of component reliability testing. [29] IEC 60204-1:2005 Seguridad de las máquinas. Equipo eléctrico de las máquinas. Parte 1: Requisitos generales. [30]
IEC 60447 Basic and safety principles for man-machine interface (MMI) — Actuating principles.
[31]
IEC 60529 Degrees of protection provided by enclosures (IP code).
[32] IEC 60812 Técnicas de análisis de la fiabilidad de sistemas. Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE). [33] IEC 60947 (todas las partes) Aparamenta de baja tensión. [34] IEC 61000-6-2 Compatibilidad electromagnética (CEM). Parte 6-2: Normas genéricas. Inmunidad en entornos industriales. [35] IEC 61800-3 Accionamientos eléctricos de potencia de velocidad variable. Parte 3: Requisitos CEM y métodos de ensayo específicos. [36] IEC 61810 (todas las partes) Relés electromecánicos elementales. [37] IEC 61300 (todas las partes) Dispositivos de interconexión de fibra óptica y componentes pasivos. Ensayos básicos y procedimientos de medida. [38] IEC 61310 (todas las partes) Seguridad de las máquinas. Indicación, marcado y maniobra. [39] IEC 61131-3 Autómatas programables. Parte 3: Lenguajes de programación. [40]
EN 457 Safety of machinery — Auditory danger signals — General requirements, design and testing.
- 93 -
ISO 13849-1:2006
[41] EN 614-1 Seguridad de las máquinas. Principios de diseño ergonómico. Parte 1: Terminología y principios generales. [42] EN 982 Seguridad de las máquinas. Requisitos de seguridad para sistemas y componentes para transmisiones hidráulicas y neumáticas. Hidráulica. [43] EN 983 Seguridad de las máquinas. Requisitos de seguridad para sistemas y componentes para transmisiones hidráulicas y neumáticas. Neumática. [44] EN 1005-3 Seguridad de las máquinas. Comportamiento físico del ser humano. Parte 3: Límites de fuerza recomendados para la utilización de máquinas. [45] EN 1088 Seguridad de las máquinas. Dispositivos de enclavamiento asociados a resguardos. Principios para el diseño y selección. [46] EN 50205 Relés con contactos guiados forzados (ligados mecánicamente). [47] SN 29500 (all parts), Failure rates of components. [48] GOBLE, W.M. Control systems — Evaluation and Rehability. 2nd Edition. Instrument Society of America (ISA), North Carolina, 1998.
Databases [49] SN 29500, Failure rates of components, Edition 1999-11, Siemens AG 1999, www.pruefinstitut.de [50] components, IEC/TR 62380, Reliability data handbook Universal model forData reliability prediction of electronics PCBs and equipment, identical — to RDF 2000/Reliability Handbook , UTE C 80-810, Union Technique de l’Electricité et de la Communication (www.ute-fr.com). [51] Reliability Prediction of Electronic Equipment, MIL-HDBK-217E, Department of Defense, Washington DC, 1982. [52] Reliability Prediction Procedure for Electronic Equipment, Telcordia SR-332, Issue 01, May 2001 (telecominfo.telcordia.com), Bellcore TR-332, Issue 06. [53] EPRD, Electronic Parts Reliability Data (RAC-STD-6100), Reliability Analysis Centre, 201 Mill Street, Rome, NY 13440 (rac.alionscience.com). [54] NPRD-95, Non-electronic Parts Reliability Data (RAC-STD-6200), Reliability Analysis Centre, 201 Mill Street, Rome, NY 13440 (rac.alionscience.com). [55] British Handbook for Reliability Data for Components used in Telecommunication Systems, British Telecom (HRD5, last issue). [56] Chinese Military Standard, GJB/z 299B.
EN ISO 13849-1:2006
- 94 -
ANEXO ZA (Informativo) CAPÍTULOS DE ESTA NORMA EUROPEA RELACIONADOS CON LOS REQUISITOS ESENCIALES U OTRAS DISPOSICIONES DE LA DIRECTIVA DE LA UE 98/37/CE, MODIFICADA POR LA DIRECTIVA 98/79/CE
Esta norma ha sido yelaborada unaMandato dirigido a CEN por la Asociación Europea de europea Libre Cambio, sirve de bajo apoyo los requisitos esenciales de la Comisión Directiva Europea ydepor Nuevo Enfoque 98/37/CE, modificada por la Directiva 98/79/CE. Una vez que esta norma se cite en el Diario Oficial de la Unión Europea bajo esa directiva, y se implemente como norma nacional en, al menos, un Estado Miembro, la conformidad con los capítulos de esta norma, dentro de los límites del objeto y campo de aplicación de esta norma, es un medio para satisfacer los requisitos esenciales específicos de la correspondiente Directiva 1.2.1 y 1.2.7 del anexo I y los Reglamentos de la AELC asociados.
ADVERTENCIA: Los productos incluidos en el campo de aplicación de esta norma pueden estar afectados por otros requisitos o Directivas de la UE.
Dirección C Génova, 6 28004 MADRID-España
Teléfono 91 432 60 00
Fax 91 310 40 32