Professional Documents
Culture Documents
ndice
Introduccin Importancia de la seguridad Marco legal Evaluacin de riesgos Diseo seguro y proteccin Seguridad funcional Ejemplos prticos de sistemas de control segn normas Fuentes de informacin Anexos - arquitecturas
6 8 12 18 24 32 40 58 60
Introduccin
Existen diferentes guas sobre legislacin de seguridad en maquinarias que tienden a presentar una visin distorsionada de los requisitos de dicha legislacin.
La nalidad de este manual es aportar informacin actualizada y objetiva para ayudar a los fabricantes de mquinas y usuarios para que puedan ofrecer a las personas que trabajan con stas, que sean seguras, legales y ecientes. No pretende ser una gua exhaustiva sobre el cumplimiento de la legislacin en seguridad, ni sustituir a las normativas pertinentes, sino servir de gua a travs de los pasos lgicos e indicar las fuentes de informacin relevantes.
Importancia de la seguridad
Adems de la obligacin moral de evitar daar a cualquier persona, existen leyes que exigen que las mquinas sean seguras, as como importantes motivos econmicos para evitar accidentes.
La seguridad debe tenerse en cuenta desde la fase de diseo y estar presente en todas las etapas del ciclo de vida de la mquina: el diseo, la fabricacin, la instalacin, el ajuste, el funcionamiento, el mantenimiento y su posterior desmontaje y eliminacin.
Diseo/fabricacin
Instalacin
Ajuste/funcionamiento
Mantenimiento
10
11
Marco legal
12
Directiva CE:
Instrumento legal para armonizar la legislacin de los Estados miembros europeos. Dene los requisitos esenciales de salud y seguridad. Los conceptos se transponen en las leyes nacionales (ley, decreto, orden, normativas).
Norma:
Una norma es una especicacin tcnica aprobada por un organismo de normalizacin reconocido para su aplicacin continua o repetida, cuyo cumplimiento no es obligatorio.
Norma armonizada:
Una norma se convierte en armonizada cuando se publica en todos los Estados miembros.
Presuncin de conformidad:
Cuando un producto cumple una norma europea armonizada, cuya referencia se publica en el Diario Ocial de la Unin Europea para una Directiva especca, y que cubre uno o ms de los requisitos de seguridad esenciales, se supone que el producto cumple con esos requisitos de seguridad esenciales de la Directiva. Se puede acceder a una lista de estas normas en la direccin http://www.newapproach.org/Directives/DirectiveList.asp.
Es necesario asegurar el cumplimiento del resto de requisitos esenciales de salud y seguridad, as como de aquellos para los que se da una Presuncin de conformidad por el uso de una norma especfica.
13
Normas de tipo A, B y C:
Las normas europeas de Seguridad para Mquinas forman la siguiente estructura:
B1
B2
Normas de tipo A
(Normas bsicas de seguridad) aportan conceptos bsicos, principios de diseo yaspectos generales que pueden aplicarse a todas las mquinas;
Normas de tipo B
(Normas de seguridad genricas) que tratan sobre un aspecto de la seguridad o un tipo de dispositivo de seguridad que puede utilizarse en una amplia gama de mquinas:
- Normas de tipo B1 sobre aspectos particulares de la seguridad (por ejemplo, distancias de seguridad, temperatura de supercies, ruido); - Normas de tipo B2 sobre dispositivos de seguridad (por ejemplo, mando bimanual, dispositivos de enclavamiento, dispositivos de proteccin sensibles a la presin, protectores);
Normas de tipo C
(Normas de seguridad para mquinas) relativas a requisitos de seguridad especcos para una mquina o un grupo de mquinas determinado.
14
Si una norma de tipo C se desva de una o ms disposiciones tratadas en una norma de tipo A o en una norma de tipo B, la norma de tipo C tiene prioridad.
15
16
17
Evaluacin de riesgos
18
Para que una mquina u otro equipo sean seguros, esnecesario evaluar los riesgos que pueden resultar desu uso. La evaluacin y la reduccin de riesgos delasmquinas se describen en EN ISO 14121-1.
Existen diversas tcnicas para la evaluacin de riesgos y no se puede armar que ninguna sea la correcta para realizar la evaluacin. La Normativa local especica algunos principios generales pero no puede especicar exactamente qu debe hacerse en cada caso. Seradeseable que la norma indicara un valor o puntuacin para cada riesgo y un valor objetivo para el valor mximo que no debe superarse, pero no es el caso por varios motivos. La puntuacin que se asignara a cada riesgo, as como el nivel de riesgo que se puede tolerar, depende de una serie de estimaciones y variar en funcin de la persona que realice la evaluacin, as como del entorno. Por ejemplo, los riesgos que pueden ser razonables enuna fbrica que emplea a trabajadores cualicados pueden ser inaceptables en un entorno en el que est presente el resto de personas, incluidos nios. Los porcentajes histricos de accidentes e incidentes pueden resultar indicadores tiles, pero no sirven de indicacin certera de los porcentajes de accidentes que pueden producirse.
19
Golpes
Aplastamiento
A continuacin se indican ejemplos de peligros tpicos, aunque no se trata de una lista exhaustiva. Se puede obtener una lista ms detallada en EN ISO 14121-1.
Electrocucin
Quemaduras
20
21
Reduccin de riesgos
La reduccin de riesgos se incluye en la norma EN ISO 12100-2. La reduccin de riesgos se dene en trminos de eliminacin del riesgo: el objetivo de lasmedidas adoptadas debe ser eliminar cualquier riesgo a lo largo de la vida til previsible de la mquina, incluidas las fases de transporte, montaje, desmontaje, desactivacin ydesmontaje. En general, si se puede reducir un riesgo, deber reducirse. No obstante, deber atenuarse segn las realidades comerciales y las normativas, que utilizan palabras como razonable para indicar que puede que no sea posible eliminar algunos riesgos sin uncoste desproporcionado. El proceso de la evaluacin de riesgos es iterativo, es decir, los riesgos deben identicarse, establecerse prioridades entre ellos, cuanticarse, disear medidas para reducirlos (primero mediante un diseo seguro y luego con protecciones) y despus de este proceso se debe repetir para evaluar si los riesgos individuales se han reducido hasta un nivel tolerable y que no se han introducido riesgos adicionales. En el siguiente captulo, se analizar el diseo seguro y la proteccin.
22
Inicio
Estimacin de riesgos
Evaluacin de riesgos
Fin
Evaluacin de riesgos
23
24
Fuente: BS PD 5304
Tenga cuidado para no sustituir un peligro por otro. Por ejemplo, las herramientas accionadas con aire evitan los peligros asociados a la electricidad, pero pueden introducir otros por el uso de aire comprimido, como la inyeccin de aire en el cuerpo y el ruido de un compresor.
Las normas y la legislacin determinan una clara jerarqua para los controles. La principal prioridad es la eliminacin de los peligros o la reduccin de los riesgos hasta un nivel tolerable, mediante medidas de diseo inherentemente seguro.
25
Entre los dispositivos de proteccin tpicos utilizados como parte del sistema de proteccin se incluyen los siguientes:
Interruptores de enclavamiento para detectar la posicin de las protecciones mviles para el interbloqueo del control, normalmente para permitir tareas como la carga/descarga, la limpieza, la conguracin, el ajuste, etc. Se protege a los operarios al detener la mquina cuando el actuador se retira del cabezal del interruptor, cuando se acciona la palanca o el pulsador, cuando la proteccin se abra o la bisagra de la proteccin gira 5, normalmente en mquinas con baja inercia (es decir, con tiempos rpidos de parada).
26
Enclavamientos por electroimn (protecciones elctricas) para evitar la apertura de las protecciones
Durante fases peligrosas de funcionamiento. A diferencia de los enclavamientos sin electroimn, se utilizan en cargas de alta inercia, es decir, en los casos en los que el tiempo de detencin es largo y es preferible permitir el acceso nicamente cuando se haya detenido el movimiento peligroso. Se utilizan amenudo en un circuito con temporizacin (en el que se conoce y dene eltiempo de detencin de la mquina) o en la parada real de velocidad cero(en la que el tiempo de parada puede variar) para permitir el acceso nicamente cuando se den condiciones seguras. Los dispositivos de enclavamiento deben seleccionarse e instalarse para reducir al mnimo la posibilidad de fallos y defectos y la proteccin general nodebe impedir las tareas de produccin. Entre los pasos que se deben adoptar para lograrlo se incluyen los siguientes: - jacin de los dispositivos con seguridad en un lugar (jo) y que sea necesario el uso de una herramienta para retirarlo o ajustarlo; - dispositivos o sistemas codicados, por ejemplo, mecnicamente, elctricamente, magnticamente u pticamente; - obstruccin fsica o blindaje para evitar el acceso al dispositivo de interbloqueo cuando la proteccin est abierta; - el soporte de los dispositivos debe ser sucientemente rgido como para mantener el funcionamiento correcto.
28
Dos de las normas disponibles en el momento de publicacin del presente documentoson EN ISO 13849-1 (quesubstituir directamente a la EN 954-1) y EN IEC 62061.
Rel de seguridad
Controlador deseguridad
La proteccin por lo general incluir el uso de algn tipo de sistema de control y la Directiva de Mquinas destacadiversos requisitos sobre las prestaciones del sistema de control. En especial, indica que Los sistemas de control deben disearse y montarse de modo que se evite la generacin de situaciones peligrosas. La Directiva de Mquinas no especica el uso de ninguna norma determinada, pero el uso de un sistema de control que cumpla los requisitos de las normas armonizadas es una forma de demostrar el cumplimento de este requisito de la Directiva de Mquinas. Dos de las normas disponibles en el momento de publicacin del presente documentoson EN ISO 13849-1 (que sustituir a la EN 954-1) y EN IEC 62061.
29
Riesgos residuales
Una vez que se han reducido al mximo los riesgos mediante el diseo y mediante la proteccin, deber repetirse la evaluacin de riesgos para comprobar que no se han introducido nuevos riesgos (por ejemplo, las protecciones elctricas pueden introducir peligros de enganches) y para estimar que se han reducido los riesgos hasta un nivel aceptable. Incluso despus de realizar varias veces el procedimiento de evaluacin ydereduccin de riesgos, es posible que existan riesgos residuales. Excepto en el caso de mquinas diseadas segn una norma armonizada especca (norma tipo C), el diseador es quien deber determinar si el riesgo residual es tolerable osideben tomarse ms medidas de seguridad y ofrecer informacin sobre dichos riesgosresiduales, mediante letreros de advertencia, instrucciones de uso, etc. Lasinstrucciones adems debern especicar las medidas necesarias, como el uso deequipos de proteccin individual (EPI) o procedimientos de trabajo especiales, perotodo ello no es tan able como las medidas implementadas por el diseador.
30
31
Seguridad funcional
32
Seguridad funcional
La IEC ha publicado una serie de preguntas frecuentes relacionadas con la Seguridad funcional en la direccin http://www.iec.ch/zone/fsafety/ En los ltimos aos se han publicado una serie de normas relativas al concepto de seguridad funcional. Entre los ejemplos se incluyen IEC 61508, IEC 62061, IEC 61511, ISO13849-1 e IEC 61800-5-2, que se han adoptado en Europa y se han publicado como EN. La seguridad funcional es un concepto relativamente nuevo que sustituye a las antiguas Categoras de comportamiento ante condiciones de fallo que se denan en EN 954-1 yse describan errneamente como Categoras de seguridad.
El concepto es que cuanto ms dependa la reduccin de riesgos del sistema de control de mquinas de seguridad * (SRECS), ms resistente a los fallos deber ser (como cortocircuitos, contactos soldados, etc). El comportamiento de las categoras segn las condiciones de fallo se dena del siguiente modo: - Los circuitos de control de categora B son bsicos y pueden causar prdidas en la funcin de seguridad debido a un fallo. - La categora 1 tambin puede llevar a una prdida de la funcin de seguridad, pero con menos probabilidad que la categora B. - Los circuitos de categora 2 detectan fallos mediante una prueba peridica en intervalos pertinentes (la funcin de seguridad puede perderse entre las pruebas peridicas).
*El sistema de control de seguridad de la mquina se denomina: - SRP/CS Partes de los sistemas de mando relativas a la seguridad segn la norma EN ISO 13849-1. - SRECS Sistema de control elctrico relacionado con la seguridad segn la norma EN IEC 62061.
33
- Los circuitos de categora 3 garantizan la funcin de seguridad en presencia de un nico fallo, por ejemplo, empleando dos canales (redundantes), pero se puede producir una prdida de la funcin de seguridad si se acumulan varios fallos.
- Los circuitos de categora 4 garantizan que la funcin de seguridad siempre se encuentra disponible incluso en el caso de uno o ms fallos, normalmente empleando la redundancia de entrada y de salida, junto a un bucle de retorno para la supervisin continua de las salidas.
34
La seguridad funcional es parte de la seguridad general relacionada con la EUC* y el sistema de control de EUC que depende del funcionamiento correcto de los sistemas relacionados con la seguridad de E/E/PE**, otros sistemas tecnolgicos relacionados con la seguridad y las instalaciones de reduccin de riesgos externos. Tenga en cuenta que se trata de un atributo del equipo bajo control y del sistema de control, no de ningn componente en particular ni de un tipo especco de dispositivo. Se aplica a todos los componentes que contribuyen al rendimiento de la una funcin de seguridad, incluidos por ejemplo, interruptores de entrada, dispositivos de resolucin de lgica, como autmatas y PC Industriales (incluido el software y el rmware) y dispositivos de salida, como los contactores y los variadores de velocidad. * EUC equivale a Equipment Under Control, equipo bajo control. **Nota E/E/PE equivale a Electrical/Electronic/Programmable Electronic (elctrico/electrnico/electrnico programable). Tambin debe recordarse que las palabras funcionamiento correcto signican que la funcin es correcta, no slo lo que se esperaba, lo que signica que las funciones deben seleccionarse correctamente. Antes, se tenda a elegir componentes especicados segn una categora superior de EN 954-1, en lugar de componentes de categora inferior que en realidad podran disponer de funciones ms idneas. Esto quizs se deba a la creencia errnea de que las categoras eran jerrquicas, de modo que, por ejemplo, la categora 3 siempre sera mejor que la categora 2, etc. Las normas de seguridad funcional estn ideadas para que los diseadores se centren ms en las funciones que son necesarias para reducir cada riesgo individual y en el rendimiento necesario para cada funcin, en lugar de basarse nicamente en componentes determinados.
35
EN IEC 62061
Es importante tener en cuenta cada funcin al detalle: EN IEC 62061 requiere que se establezca una especicacin de requisitos de seguridad o SRS (Safety Requirements Specication). Esto incluye una especicacin funcional (qu hace, en detalle) y una especicacin de la integridad de la seguridad, que dene la probabilidad de que la funcin se desarrolle en condiciones especcas. Un ejemplo que se utiliza a menudo es detener la mquina cuando la proteccin est abierta, que necesita una consideracin ms detallada de la especicacin funcional inicial. Por ejemplo, se detendr la mquina al eliminar la tensin de la bobina de un contactor o reduciendo la velocidad con un variador de velocidad? Es necesario que la proteccin quede cerrada hasta que se hayan detenido los movimientos peligrosos? Deber desactivarse el resto de equipos, aguas arriba o aguas abajo? Cmo se detendr la apertura de la proteccin? La especicacin de integridad de la seguridad debe tener en cuenta los fallos aleatorios de hardware, as como los fallos sistemticos. Los fallos sistemticos son los relativos a una causa especca y slo se pueden evitar al eliminar dicha causa, normalmente modicando el diseo. En la prctica, la mayora de fallos en el mundo real son sistemticos y se producen por una especicacin incorrecta. Como parte del proceso de diseo normal, esta especicacin debe dar lugar a la seleccin de medidas de diseo idneas, por ejemplo, las protecciones pesadas y mal alineadas pueden provocar daos en los interruptores de enclavamiento, a menos que se instalen amortiguadores y pasadores de alineacin, los contactores deben estar protegidos debidamente contra sobrecargas. Con qu frecuencia se abrirn las protecciones? Cules pueden ser las consecuencias de un fallo en la funcin? Cules sern las condiciones ambientales (temperatura, vibracin, humedad, etc.)? En EN IEC 62061, un requisito de integridad de la seguridad se expresa como un valor de fallo objetivo de la probabilidad de un fallo peligroso por hora de cada funcin de control relacionada con la seguridad o SRCF (Safety related control function). Esto se puede calcular a partir de los datos de abilidad de cada componente o subsistema y se relaciona con el nivel de SIL, tal y como se muestra en la Tabla 3 de la norma:
36
EN ISO 13849-1
EN ISO 13849-1 emplea una combinacin del tiempo medio hasta que se produce un fallo peligroso MTTFd (Mean Time To Dangerous Failure), la cobertura de diagnstico DC (Diagnostic Coverage) y la arquitectura (categora) para determinar el nivel de prestaciones PL (Performance Level) con los siguientes niveles (a, b, c, d, e). Un mtodo simplicado del PL estimado se incluye en la Tabla 7 de la norma. Las categoras son las mismas que las de EN 954-1, que se explican en el Anexo 2.
Categora
DCavg
B
Ninguna
1
Ninguna
2
Baja
2
Media
3
Baja
3
Media
4
Alta
En la tabla anterior puede observarse que slo se puede utilizar una arquitectura de categora 4 para lograr el nivel PLe mximo, pero que se pueden lograr niveles PL inferiores con otras categoras en funcin de la combinacin de MTTFd y la DC de los componentes utilizados.
Cat. B Cat. 1 Cat. 2 Cat. 2 Cat. 3 Cat. 3 Cat. 4 DC avg = DC avg = DC avg = DC avg = DC avg = DC avg = DC avg = 0 0 bajo medio bajo medio alto
37
ndice
Bajo Medio Alto
Tabla 3: Niveles de MTTFd.
Rango de MTTFd
3 aos MTTFd < 10 aos 10 aos MTTFd < 30 aos 30 aos MTTFd 100 aos
Para la estimacin del tiempo medio hasta que se produce un fallo peligroso MTTFd de un componente, se puede pueden utilizar los siguientes datos, en orden de preferencia: 1. Datos del fabricante (MTTFd, B10 o B10d). 2. Mtodos en los Anexos C y D de EN ISO 13849-1. 3. Elegir 10 aos. La cobertura del diagnstico DC es una medida de cuntos fallos peligrosos detectar un sistema de diagnstico. El nivel de seguridad puede aumentar cuando los subsistemas se prueben internamente mediante autodiagnstico.
ndice
Nula Baja Media Alta
Tabla 4: Niveles de cobertura de diagnstico.
Los fallos de causa comn CCF (Common Cause Failures) se producen cuando un efecto externo (como un dao fsico) hacen que una serie de componentes no puedan utilizarse, independientemente del MTTFd. Entre los pasos que deben adoptarse para reducir los CCF se incluyen los siguientes: - Diversidad en los componentes utilizados y modos en los que se accionan. - Proteccin contra la polucin. - Separacin. - Compatibilidad electromagntica mejorada.
38
Qu norma utilizar?
A menos que una norma C especique un nivel de SIL o un nivel de PL, el diseador puede elegir entre utilizar EN IEC 62061 o EN ISO 13849-1, o cualquier otra norma. Tanto EN IEC 62061 como EN ISO 13849-1 son normas armonizadas que aportan una Presuncin de conformidad con los requisitos esenciales de la Directiva de Mquinas, siempre que se apliquen. Sin embargo, debe recordarse que sea cual sea la norma elegida, debe emplearse en su totalidad y no pueden mezclarse en un mismo sistema. Se estn realizando trabajos conjuntos entre IEC e ISO, para producir un Anexo comn para las dos normas con el objetivo de crear una nica norma. EN IEC 62061 es quizs ms completo en lo que respecta a responsabilidades de especicacin y gestin, mientras que EN ISO 13849-1 se ha diseado para permitir una transicin ms sencilla a partir de EN 954-1.
Certificacin
Algunos componentes se encuentran disponibles con certicacin para un SIL PL especcos. Debe recordarse que estos certicados son slo una indicacin del nivel mximo SIL o el nivel mximo PL que puede lograr un sistema utilizando ese componente en una conguracin especca y no son una garanta de que un sistema completo cumplir un nivel SIL o un nivel PL especcos.
39
40
Quizs el mejor modo de comprender la aplicacin de EN IEC 62061 y ENISO 13849-1 es mediante los ejemplos prcticos de las siguientes pginas.
Para ambas normas utilizaremos el ejemplo en el que la apertura de una proteccin deba hacer que se detengan las partes mviles de una mquina y en caso contrario, la posible lesin resultante puede ser un brazo roto o la amputacin de un dedo.
41
- El proceso de diseo estructurado y documentado para los sistemas de control elctricos (SRECS), - Los procedimientos y recursos para la grabacin y el mantenimiento de la informacin adecuada, - El proceso para la gestin y la modicacin de la conguracin, teniendo en cuenta la organizacin y el personal autorizado, - La vericacin y el plan de validacin.
42
La ventaja de este enfoque es que puede ofrecer un mtodo de clculo que incluye todos los parmetros que pueden afectar a la abilidad de los sistemas de control. El mtodo consiste en asignar un nivel de integridad de la seguridad o SIL a cada funcin, teniendo en cuenta los siguientes parmetros: - La probabilidad de un fallo peligroso de los componentes (PFHD), - El tipo de arquitectura (A, B, C o D), es decir: Con o sin redundancia, Con o sin funciones de seguridad, lo que hace posible controlar algunos de los fallos peligrosos, - Fallos de causa comn CCF (Common Cause of Failures), incluidos; Cortocircuitos entre canales, Sobretensin, Prdida de alimentacin elctrica, etc., - La probabilidad de errores de transmisin peligrosos en los que se emplee comunicacin digital, - Interferencias electromagnticas (EMI).
El diseo de un sistema se divide en 5 pasos, tras haber establecido el plan de seguridad funcional: 1. En funcin de la evaluacin de los riesgos, asignar un nivel de integridad de la seguridad (SIL) e identicar la estructura bsica del sistema de control elctrico (SRECS), describir cada funcin relacionada (SRCF), 2. Desglosar cada funcin en una estructura de bloques de funciones o FB (function block), 3. Enumerar los requisitos de seguridad para cada bloque de funciones y asignar los bloques de funciones a los subsistemas dentro de la arquitectura, 4. Seleccionar los componentes de cada subsistema, 5. Disear la funcin de diagnstico y comprobar que se alcanza el nivel de integridad de seguridad especicado (SIL).
En nuestro ejemplo, plantearemos una funcin que corte la alimentacin de un motor cuando se abra una proteccin. Si la funcin falla, el operario de la mquina podra romperse un brazo o amputarse un dedo.
43
Paso 1 - Asignar un nivel de integridad de la seguridad (SIL) e identificar la estructura del sistema de control elctrico relacionado con la seguridad (SRECS)
En funcin de la evaluacin de riesgos realizada segn EN ISO 14121-1, se realiza la estimacin del nivel de SIL necesario para cada funcin de control relacionada con la seguridad (SRCF) y se desglosa en parmetros, tal y como se muestra en la siguiente ilustracin.
Frecuencia y duracin de la exposicin (Fr) Probabilidad de que se produzca una situacin peligrosa (Pr) Probabilidad de evitar o limitar el dao (Av)
44
Gravedad Se
La gravedad de las lesiones o el dao en la salud se pueden estimar teniendo en cuenta las lesiones reversibles, las lesiones irreversibles o la defuncin. En la siguiente tabla se muestra la clasicacin recomendada.
Consecuencias
Irreversible: muerte, prdida de un ojo o un brazo 2 Irreversible: extremidad(es) rota(s), prdida de dedo(s) Reversible: necesidad de asistencia mdica Reversible: necesidad de primeros auxilios
Gravedad (Se)
4 3 2 1
Frecuencia de exposicin
Fr < 1 h 1 h < Fr < 1 da 1 da < Fr < 2 semanas 2 semanas < Fr < 1 ao Fr > 1 ao
45
Probabilidad (Pr)
5 4 3 2 1
46
Asignacin de SIL:
La estimacin se realiza con la ayuda de la siguiente tabla. En nuestro ejemplo, el grado de gravedad (Se) es 3 porque existe el riesgo de amputacin de un dedo; este valor se muestra en la primera columna de la tabla. Los dems parmetros deben aadirse juntos para seleccionar una de las clases (las columnas verticales de la siguiente tabla), lo que da como resultado: Fr = 5 acceso varias veces al da Pr = 4 situacin peligrosa probable Av = 3 probabilidad de evitar casi imposible Por lo tanto, una clase CI = 5 + 4 + 3 = 12 El sistema de control elctrico relacionado con la seguridad (SRECS) de la mquina debe realizar esta funcin con un nivel de integridad de SIL 2.
5-7
SIL 2 (OM)
8-10
SIL 2 SIL 1 (OM)
11-13
SIL 3
14-15
SIL 3 SIL 3 SIL 2 SIL 1
SIL 2
SIL 1 (OM)
SRECS Subsistemas
Entrada
Resolucin de lgica
Salida
47
Paso 2 - Desglosar cada funcin en una estructura de bloques de funciones FB (function block)
Un bloque de funciones (FB) es el resultado de un desglose detallado de una funcin relacionada con la seguridad. La estructura del bloque de funciones ofrece un concepto inicial de la arquitectura del sistema de control elctrico relacionado con la seguridad (SRECS). Los requisitos de seguridad de cada bloque se derivan de la especicacin de los requisitos de seguridad de la funcin correspondiente de control relacionada con la seguridad.
SRECS
SIL requerido= SIL2 Subsistema 1
Deteccin de apertura de la proteccin
Bloque de funciones FB1
Subsistema 2
Resolucin de lgica
Bloque de funciones FB2
Subsistema 3
Interrupcin de la alimentacin del motor
Bloque de funciones FB3
Entrada
Lgica
Salida
Paso 3 - Enumerar los requisitos de seguridad para cada bloque de funciones y asignar los bloques de funciones a los subsistemas dentro de la arquitectura
Cada bloque de funciones se asigna a un subsistema en la arquitectura del sistema SRECS. (La norma dene subsistema de forma que el fallo de cualquier subsistema producir el fallo de una funcin de control relacionada con la seguridad.) A cada subsistema se puede asignar ms de un bloque de funciones. Cada subsistema puede incluir elementos de subsistemas y si fuera necesario, funciones de diagnstico para garantizar que se pueden detectar los fallos y tomar las medidas adecuadas. Estas funciones de diagnstico se consideran funciones separadas; se pueden realizar dentro del subsistema o mediante otro subsistema. Los subsistemas deben alcanzar al menos la misma capacidad de SIL que la asignada a toda la funcin de control relacionada con la seguridad, cada uno con su propio SIL CL (SIL Claim Limit). En este caso, el SILCL de cada subsistema debe ser 2.
SRECS
Subsistema 1
Deteccin de apertura de la proteccin
Interruptor de enclavamiento 1 Elemento de subsistema 1.1 Interruptor de enclavamiento 2 Elemento de subsistema 1.2
Subsistema 2
Resolucin de lgica
Controlador de seguridad
Subsistema 3
Interrupcin de la alimentacin del motor
Contactor 1 Elemento de subsistema 3.1 Contactor 2 Elemento de subsistema 3.2
SILCL 2
SILCL 2
SILCL 2
48
Resolucin de lgica
Subsistema 2 (SS2)
Interruptor de seguridad 1
Contactor 1
Interruptor de seguridad 2
Contactor 2
Componente
Interruptores de posicin de seguridad XCS Mdulo de seguridad XPS AK Contactor LC1 TeSys
% fallos peligrosos
20%
Vida til
10 aos
73%
20 aos
Los datos de abilidad se obtienen a travs del fabricante. La duracin del ciclo en este ejemplo es de 450 segundos, por lo que el ciclo de trabajo C es de 8 operaciones por hora, es decir, la proteccin se abrir 8 veces por hora.
49
50
Resolucin de lgica
Subsistema 2 (SS2)
D
Elemento de subsistema 1.2 e = 0,1 p C/B10 De = e p 20% Elemento de subsistema 3.2 e = 0,1 p C/B10 De = e p 73%
D Rel de seguridad
Subsistema SS1
PFHD = ? (Arquitectura D)
Subsistema SS2
PFHD = 7.389 10-9
Subsistema SS3
PFHD = ? (Arquitectura B)
Bucle de retorno no utilizado
La tasa de fallos, , de un elemento de subsistema electromagntico se dene como e = 0,1 C / B10, donde C es el nmero de operaciones por hora en la aplicacin y B10 es el nmero esperado de operaciones en el que el 10% de los componentes habr fallado. En este ejemplo, consideraremos que C = 8 operaciones por hora. SS1 SS3 2 interruptores de 2 contactores posicin supervisados sin diagnstico
Tasa de fallo de cada elemento e e = 0.1 C/B10
Tasa de fallos De = e proporcin de fallos peligrosos de cada peligrosos elemento De DC Factor de fallo de causa comn T1 Intervalo de pruebas de diagnstico T2 Frmulas para la arquitectura B: Tasa de fallos peligrosos de cada DSSB = (1 )2 De1 De2 subsistema T1 + (De1 + De2) /2 Frmulas para la arquitectura D para subsistemas del mismo diseo: DSSD = (1 )2 {[De2 2 DC] T2/2 + [De2 (1 DC)] T1} + De T1 = min (vida til, B10/C) 99% Peor caso asumido del 10% (10 000 000/8) = 1 250 000 Cada demanda, es decir, 8 veces cada hora, = 1/8 = 0,125 h (1 000 000/8) = 125 000 No aplicable No aplicable
51
Examinando los contactores de salida en el subsistema SS3, debemos calcular el PFHD. Para la arquitectura de tipo B (tolerante a un solo fallo, sin diagnstico) la probabilidad de un fallo peligroso del subsistemas es: DSSB = (1 )2 De1 De2 T1 + (De1 + De2 )/2 [Ecuacin B de la norma] PFHDSSD = DSSB 1h En este ejemplo, = 0.1 De1 = De2 = 0.73 (0.1 C / 1 000 000) = 0.73 (0.8/1 000 000) = 5.84 10-7 T1 = min (vida til, B10/C) = min (175 200, 1 000 000/8) = min (175 200, 125 000) = 125 000 h DSSB = (1 0.1)2 5.84 10-7 5.84 10-7 125 000 + 0.1 [(5.84 10-7) + (5.84 10-7)] /2 = 0.81 5.84 10-7 5.84 10-7 125 000 + 0.1 5.84 10-7 = 0.81 3.41056 10-13 125 000 + 0.1 5.84 10-7 = (3.453 10-8) + (5.84 10-8) = 9.29 10-8 Puesto que PFHDSSB = DSSB 1h, PFHD para los contactores en el Subsistema SS3 = 9.29 10-8 Est dentro de los lmites de SILCL 2 y SILCL 3. Sin embargo, la Tabla 5 de la norma EN 62061 nos da unas limitaciones de arquitectura para lograr alcanzar un lmite de SIL claim en particular, y en este caso la arquitectura B donde el porcentaje de fallo seguro es menor al 60% (la fraccin de fallo seguro es del 27% para los contactores) y la tolerancia a fallos del hardware es 1, el estado mximo del lmite SIL claim que puede ser alcanzado, es en realidad SILCL 1. Esto signica que el nivel SIL general de este sistema no puede ser mayor a 1. De forma que para alcanzar un SILCL mayor a 1 para los contactores, necesitamos tener una cobertura del diagnstico adicional, en el caso de los contactores de Schneider Electric ste puede ser conseguido cableando los contactos espejo (contactos NC auxiliares) en el rel de seguridad, en la entrada EDM external device monitoring, logrando as obtener una arquitectura de tipo D con un SFF >99% y un SILCL 3 (se adjuntan los clculos a continuacin).
1
SILCL 1 SILCL 2 SILCL 3 SILCL 3 (ver la nota 2)
2
SILCL 2 SILCL 3 SILCL 3 (ver la nota 2) SILCL 3 (ver la nota 2)
Nota 1: Un fallo de tolerancia hardware N signica que el fallo N+1 puede provocar la prdida de la funcin de control relativa a la seguridad. Nota 2: Un lmite SIL claim 4 no es considerado en esta norma. Para SIL 4 ver IEC 51508-1. Nota 3: Ver 6.7.6.4 para subsistemas donde las exclusiones de fallo se aplican a fallos que pueden originar un fallo peligroso, ver 6.7.7.
Para elementos del subsistema del mismo diseo. DSSD = (1- )2 {[De2 2 DC] T2/2 + [De2 (1-DC)] T1} + De PFHDSSD = DSSD 1h En este ejemplo, = 0.1 De = 0.73 (0.1 C / 1 000 000) = 5.84 10-7 T1 = min (vida til, B10/C) = min (175 200, 1 000 000/8) = min (175 200, 125 000) = 125 000 h T2 = 1/C = 1/8 = 0.125 DC = 0.99 (alcanzado mediante la realimentacin de los contactos espejo de los contactores en el rel de seguridad para detectar soldaduras en el contactor).
Nota: el cableado de los contactores retorna al rel de seguridad con lo cual tambin cambia la Fraccin de fallo seguro del subsistema del contactor desde un valor inferior al 60% a un valor superior al 99% (un fallo peligroso de uno de los contactores no permitir un reinicio del sistema), por lo que se reere a la tabla 5, ser posible alcanzar hasta un SILCL3.
DSSD = (1 0.1)2 {[5.84 10-7 2 0.99] 0.125 /2 + [5.84 10-7 5.84 10-7 (1-0.99)] 125 000} + 0.1 5.84 10-7 = 0.92 (6.753 10-13) 0.0625 + (6.753 10-13 0.1 125 000) + 5.84 10-8 = (3.883 10-14) + (8.44 10-9) + (5.84 10-8) = 6.684 10-8 A partir de PFHDSSD = DSSD 1h, el PFHDSSD para el subsistema del contactor en arquitectura D es 6.684 10-8. Esto signica que el subsistema tiene un SILCL3
52
Para los interruptores de posicin en el subsistema SS1 los cuales estn en una arquitectura D D.2 de la norma PFHDSSD = DSSD 1h e= 0,1 C / B10 = 0.1 8/10 000 000 = 8 10-8 De= e 0.2 = 1.6 10-8 DC = 99% = 10% (peor caso) T1 = min (vida til, B10/C) = min (87 600, 10 000 000/8) = min (87 600, 1 250 000) = 87 600 T2 = 1/C = 1/8 = 0.125 hora A partir de D.2; para elementos del mismo diseo: DSSD = (1 0.1)2 {[ (1.6 10-8)2 2 0.99] 0.125/2 + [1.6 10-8)2 (1 0.99)] 87 600} + 0.1 1.6 10-8 = 2.566 10-17 + 2.24 10-13 + 1.6 10-9 = 1.6 10-9 Puesto que PFHDSSD = DSSD 1h, PFHD para los interruptores de posicin en el Subsistema SS1 = 1.60 10-9 Ya sabemos que para el Subsistema SS2, PFHD para el bloque de funcin del dispositivo de resolucin de lgica (implementado mediante el rel de seguridad XPSAK) es 7.389 10-9 (datos del fabricante) El PFHD general para el sistema de control elctrico de seguridad (SRECS) es la suma del PFHDs de todos los Bloques de funciones y por lo tanto es: PFHDSRECS = PFHDSS1 + PFHDSS2 + PFHDSS3 = 1.60 10-9 + 7.389 10-9 + 6.684 10-8= 7.58 10-8 Todos los subsistemas tienen un SIL claim de SILCL3, adems los clculos anteriores dan un SIL general para el sistema dentro de los lmites de SIL3.
Nivel de integridad de la seguridad (SIL) Probabilidad de un fallo peligroso por hora PFHD
3 2 1
Tabla 1: Relacin entre SIL y PFHD
53
54
PASO 3: Se tendr en cuenta la misma arquitectura bsica que en el ejemplo anterior para EN IEC 62061, es decir, una arquitectura de categora 3 sin retorno.
Entrada
Lgica
Salida
Contactor 1 CON1
Contactor 2 CON2
SRP/CSa
SRP/CSb
SRP/CSc
PASO 4: El nivel PL de la SRP/CS se determina mediante la estimacin de los siguientes parmetros: (vase el Anexo 2): - La CATEGORA (estructura) (vase punto 6 de EN ISO 13849-1). Tenga en cuenta que en este ejemplo, el uso de una arquitectura de categora 3 signica que no se utilizan los contactos espejo en los contactores. - El MTTFd para cada componente (vanse los Anexos C y D de EN ISO 13849-1). - La Cobertura del diagnstico (vase el Anexo E de EN ISO 13849-1). - Los Fallos de causa comn (vase la tabla de puntuaciones en el Anexo F de EN ISO 13849-1). El fabricante facilita los siguientes datos de los componentes:
Ejemplo SRP/CS
Interruptores de posicin de seguridad Mdulo de seguridad XPSAK Contactores
DC
99% 99% 0%
Obsrvese que como el fabricante desconoce los detalles de la aplicacin y en particular el nmero de ciclos de los dispositivos electromecnicos, slo puede ofrecer datos de B10 o B10d de los componentes electromecnicos. Esto explica por qu ningn fabricante debe aportar una cifra de MTTFd para un dispositivo electromecnico.
55
El MTTFd de los componentes se puede calcular con la siguiente frmula: MTTFd = B10d / (0.1 nop) Donde nop es el nmero medio de operaciones por ao. B10 es el nmero de operaciones en las que el 10% de los componentes habr fallado. B10d es el tiempo esperado en el que el 10% de los componentes habr fallado en un modo peligroso. Sin tener conocimientos especcos sobre el modo en el que se est utilizando un componente, y qu constituye un fallo peligroso, para un interruptor de posicin, el % de fallo peligroso es un 20%, por lo que B10d = B10/20% Asumiendo que la mquina se utiliza durante 8 horas al da, durante 220 das al ao, con un tiempo de ciclo de 120 segundos, nop ser 52 800 operaciones al ao. Asumiendo que B10d = B10/20%, la tabla de resultados es la siguiente:
MTTFd (aos)
9 469 154.5 259
DC
99% 99% 0%
Los valores de MTTFd resaltados en rojo se han obtenido de los datos de la aplicacin utilizando el nmero de ciclo y los datos de B10d. El MTTFd de cada canal se puede calcular utilizando el mtodo de recuento de partes en el Anexo D la norma.
Canal 1
Canal 2 IdP2 MTTFd = 9 469 aos MTTFd = 154.5 aos CON2 MTTFd = 259 aos
En este ejemplo, el clculo es idntico para los canales 1 y 2: 1 MTTFd 1 9 469 aos 1 154.5 aos 1 259 aos 1 95.85 aos
El MTTFd de cada canal es por lo tanto de 95.85 aos; es nivel alto segn la Tabla 3. A partir de las ecuaciones en el Anexo E la norma, se puede determinar que DCavg = 62.4%.
56
PASO 5: Vericar que el nivel PL del sistema coincide con el PL requerido (PLr). Teniendo en cuenta que disponemos de una arquitectura de categora 3, un MTTFd alto y una Cobertura media del diagnstico baja (DCavg), se puede observar en la siguiente tabla (g. 5 de la norma) que se ha alcanzado un PL=d, lo que cumple el nivel PLr=d requerido. Al igual que el ejemplo prctico de EN IEC 62061, slo es necesario que el cableado de los contactos espejo auxiliares normalmente cerrados de ambos contactores vaya a la entrada de supervisin de los dispositivos externos (EDM) del rel de seguridad para cambiar la arquitectura a categora 4. Al hacerlo el clculo del PL pasar de un nivel d a un nivel e. Teniendo en cuenta que disponemos de una arquitectura de categora 4, un MTTFd alto y una Cobertura media del diagnstico alta (DCavg), al consultar la Tabla 7 de la norma se demuestra que el nivel de prestaciones resultante es PL=e, que coincide con el PLr.
Cat. B Cat. 1 Cat. 2 Cat. 2 Cat. 3 Cat. 3 Cat. 4 DC avg = DC avg = DC avg = DC avg = DC avg = DC avg = DC avg = 0 0 bajo medio bajo medio alto
PASO 6: Validacin comprobar el funcionamiento y probar donde sea necesario (EN ISO 13849-2).
57
Fuentes de informacin
58
Legislacin
Directiva europea de mquinas 2006/42/CE. EN ISO 14121-1 Seguridad de las mquinas. Evaluacin del riesgo - Parte 1: Principios. EN ISO 12100-1 Seguridad de las mquinas Conceptos bsicos, principios generales para el diseo - Parte 1: Terminologa bsica, metodologa. EN ISO 12100-2 Seguridad de las mquinas. Conceptos bsicos, principios generales para el diseo - Parte 2: Principios tcnicos. EN IEC 60204 Seguridad de las mquinas. Equipo elctrico de las mquinas. Requisitos generales. EN ISO 13850 Seguridad de las mquinas. Parada de emergencia. Principios de diseo. EN IEC 62061 Seguridad de las mquinas, Seguridad funcional de sistemas de control elctricos, electrnicos y programables relativos a la seguridad. EN IEC 61508 Seguridad funcional de los sistemas elctricos / electrnicos / electrnicos programables relacionados con la seguridad. EN ISO 13849-1 Seguridad de las mquinas - Partes de los sistemas de mando relativas a la seguridad - Parte 1: Principios generales para el diseo.
59
Anexos arquitecturas
60
Anexo 1
Arquitecturas de EN IEC 62061
> Arquitectura A: Tolerancia a cero fallos, sin funcin de diagnstico Donde: De es la tasa de fallos peligrosos del elemento DSSA = De1 + ... + Den PFHDSSA = DSSA 1h
Arquitectura A
Elemento de subsistema 1 De1 Elemento de subsistema 1 Den
> Arquitectura B: Tolerancia a un nico fallo, sin funcin de diagnstico Donde: T1 es el intervalo de test de pruebas o la vida til, la cifra que sea menor (Dato proporcionado por el proveedor o calcular para el producto electromecnico mediante: T1 = B10/C). es la susceptibilidad a fallos de causa comn ( se determina mediante la Tabla de puntuacin F.1 de EN IEC 62061). DSSB = (1 - )2 De1 De2 T1 + (De1 + De2)/2 PFHDSSB = DSSB 1h
Arquitectura B
Elemento de subsistema 1 De1 Fallo de causa comn Elemento de subsistema 2 De2
61
> Arquitectura C: Tolerancia a cero fallos, con una funcin de diagnstico Donde: DC es la cobertura del diagnstico = DD/D DD es la tasa de fallos peligrosos detectados y D es la tasa de los fallos peligrosos totales La DC depende de la efectividad de la funcin de diagnstico utilizada en este subsistema DSSC = De1 (1 - DC1) + ... + Den (1 - DCn) PFHDSSC = DSSC 1h
Arquitectura C
Elemento de subsistema 1 De1 Elemento de subsistema n Den
Funcin(es) de diagnstico
> Arquitectura D: Tolerancia a un nico fallo, con una funcin de diagnstico Donde: T1 es el intervalo de test de pruebas o la vida til, lo que sea menor T2 es el intervalo de test de diagnstico (Al menos igual al tiempo entre las demandas de la funcin de seguridad) es la susceptibilidad a los fallos de causa comn (Se determinar con la tabla de puntuaciones del Anexo F de EN IEC 62061) DC es la cobertura del diagnstico = DD/D (DD es la tasa de fallos peligrosos detectados y D es la tasa de los fallos peligrosos totales)
Arquitectura D
Elemento de subsistema 1 De1
Funcin(es) de diagnstico
62
> Arquitectura D: Tolerancia a un nico fallo, con una funcin de diagnstico Para elementos del Subsistema de diseo distinto De1 = tasa de fallos peligrosos del elemento del subsistema 1; DC1 = cobertura del diagnstico del elemento del subsistema 1. De2 = tasa de fallos peligrosos del elemento del subsistema 2; DC2 = cobertura del diagnstico del elemento del subsistema 2. DSSD = (1-)2 {[De1 De2 (DC1 + DC2)]T2/2 + [De1 De2(2-DC1-DC2)] T1 /2} + (De1 + De2) /2 PFHDSSD = DSSD 1h Para los elementos del Subsistema del mismo diseo De = tasa de fallos peligrosos de un elemento de un subsistema 1 o 2; DC = cobertura del diagnstico del elemento del subsistema 1 o 2. DSSD = (1-)2 {[De2 2 DC] T2/2 + [De2 (1-DC)] T1} + De PFHDSSD = DSSD 1h
Anexo 2
Categoras en EN ISO 13849-1
Categora
Categora B
Descripcin
Cuando se produce un fallo, se puede perder la funcin de seguridad
Ejemplo
Entrada im Lgica im Salida
Categora 1
Cuando se produce un fallo, se puede perder la funcin de seguridad, pero el MTTFd de cada canal en la Categora 1 es superior al de la Categora B. Por consiguiente, la prdida de la funcin de seguridad es menos probable. El comportamiento del sistema de Categora 2 permite que: si se produce un fallo, puede producirse la prdida de la funcin de seguridad entre los ciclos de comprobaciones; la prdida de la funcin de seguridad se detecta mediante ciclos de comprobacin.
Entrada
im
Lgica
im
Salida
Categora 2
Entrada
im
Lgica
im
Salida
Test equipo
im
Test salida
Categora 3
El SRP/CS para la Categora 3 debe disearse de modo que un nico fallo en cualquiera de estas partes relacionadas con la seguridad no produzcan la prdida de la funcin de seguridad. Siempre que sea razonablemente posible, este nico fallo debe detectarse antes o en la siguiente demanda de la funcin de seguridad
Entrada 1
im
m Lgica 1 im Salida 1
Supervisin cruzada
Entrada 2
im
m Lgica 2 im Salida 2
Categora 4
El SRP/CS para la Categora 4 debe disearse de modo que un nico fallo en cualquiera de las partes relacionadas con la seguridad no produzca la prdida de la funcin de seguridad, y este nico fallo se detecte antes o en la siguiente demanda de las funciones de seguridad, es decir, de inmediato, al activar o al nalizar el ciclo de operacin de la mquina. Si esta deteccin no es posible, una acumulacin de fallos sin detectar no debe producir la prdida de la funcin de seguridad.
Entrada 1
im
m Lgica 1 im Salida 1
Supervisin cruzada
Entrada 2
im
m Lgica 2 im Salida 2
63
Eleccin Asesoramiento
Diagnstico
www.isefonline.es
Instituto Schneider Electric de Formacin Tel.: 934 337 003 Fax: 934 337 039
Schneider Electric Espaa, S.A.U. Bac de Roda, 52, edicio A 08019 Barcelona Tel.: 93 484 31 00 Fax: 93 484 33 07
ESMKT13009B11
ESMKT13009B11