Manual Robótica UTN - 2. La Seguridad en Las Celdas Robotizadas

Universidad Tecnológica Nacional Departamento Ingeniería Eléctrica
Facultad Regional General Pacheco Robótica y Automación 2018

2. La seguridad en las celdas robotizadas
2. SEGURIDAD EN INSTALACIONES ROBOTIZADAS Y PROCESOS INDUSTRIALES

La seguridad es un tema crítico a tener en consideración durante el diseño, implementación
y operación de una instalación robotizada.
Fundamentalmente porque el robot posee mayor índice de riesgo a un accidente que otra
máquina de características similares. Las masas puestas en juego son muy elevadas (análisis
dinámico) con altas velocidades de trabajo (análisis cinemático). Los movimientos están
comprendidos en un espacio de trabajo que incluso va más allá de las dimensiones de la base del
robot, implicando la no previsibilidad de su campo de acción.
Estudios realizados en Suecia y Japón indican que la mayoría de los accidentes en
instalaciones robotizadas no se producen en condiciones normales de funcionamiento sino en
tiempo de programación, mejoras, reparaciones, pruebas, montaje o ajuste. Durante estas tareas el
operador, programador o encargado de mantenimiento correctivo pueden temporalmente
encontrarse dentro de la zona de trabajo del robot. En tal situación, una operación imprevista
puede resultar en una lesión.
La seguridad en sistemas robotizados presentará dos puntos de vista: aquel que se refiere a
la seguridad intrínseca del robot y que es responsabilidad del fabricante; y aquel relacionado con el
diseño e implantación del sistema y su posterior utilización, programación y mantenimiento,
responsabilidad del usuario.
Para prevenir los posibles accidentes ocasionados por robots, debemos comenzar por
detectar qué tipo de accidentes se producen, para luego analizar el por qué se originan y finalmente
determinar cómo pueden evitarse.
2.1. Tipos de accidentes
En función de lo comentado anteriormente, los robots industriales debido a su
automatización dan lugar a accidentes de especiales características. Los riesgos más frecuentes en
su manejo son:
 Colisión entre robot y hombre

Debido a un funcionamiento errático durante una secuencia de programación el
operador puede resultar golpeado. El golpe puede darse directamente por el brazo del
robot, una herramienta o el elemento terminar que va unido al brazo.
 Atrapamiento o aplastamiento del hombre por el robot

Un operario entra a la zona de trabajo del robot y queda atrapado entre la parte de
atrás del robot y la reja de seguridad u otro obstáculo que se encuentre a su alrededor.
 Proyección de material o piezas transportadas por el robot

Los operarios pueden ser alcanzados por piezas que el robot deje caer o proyecte,
partes de herramienta luego de rotura o producirse quemaduras por gotas de material
fundido o cáustico vertidos por una mala operación realizada por él.
 Accidentes tradicionales
Son los mencionados en los puntos anteriores, pero producidos como consecuencia de
la sustitución del robot por un operario en caso de avería de aquel. Los riesgos se
originan por la falta de práctica y pérdida del método de trabajo.
Ing. Alberto R. Kremer 1-48

2.2. Causas de accidentes

Habiéndose establecido los distintos tipos de accidentes que se pueden presentar, las causas
que los originan se deben entre otros factores a:
 Mal funcionamiento del sistema de control

Los accidentes originados por este tipo de riesgos pueden deberse a averías en los
materiales que componen el sistema de control, o bien riesgos por fallos en la lógica de
programación.
Podemos citar en este apartado:
- Riesgos como consecuencia de un fallo material que origina un defecto por ejemplo
en la memoria RAM.
- Perturbaciones en el equipamiento producidas por choques, vibraciones,
temperatura y exigencias físicas originadas por los desplazamientos dinámicos y
cinemáticos del robot.
- Perturbaciones en el equipamiento de origen eléctrico (variaciones en las tensiones
de alimentación, caídas de tensión, variación de la frecuencia de la red, tensiones
impulsivas en operaciones normales de conmutación de cargas, sobretensiones de
origen atmosférico, etc.).
- Riesgos por problemas de control en los sistemas hidráulicos y/o neumáticos que
forman el entorno del robot (defectos en válvulas, fallos en las conducciones, etc.).
- Fallos producidos por el programador al crear el programa y que no han sido
detectados durante los períodos de ensayo y pruebas de funcionamiento.
- Fallos en los programas por intervención de los usuarios, creando secuencias
peligrosas.
 Acceso indebido de personal a la zona de trabajo del robot

Son los riesgos más importantes y peligrosos y se producen como consecuencia del
acceso del operario a lugares que normalmente no le son permitidos.
Estos eventos pueden producirse por dos causas principales:
- Falta de conocimiento del manejo y áreas de trabajo del robot
- Exceso de familiaridad / confianza con el robot
 Errores humanos
Son los riesgos que se producen en las etapas de mantenimiento, programación,
pruebas de funcionamiento y puesta en servicio.
En algunos casos, también se producen por exceso de confianza del programador o
personal de mantenimiento.
 Fallos de origen mecánico

Se derivan de las piezas o herramientas manipulados o transportados por el robot, como
ser piezas con aristas vivas, cargas pesadas, electrodos, etc.
Un fallo mecánico puede ser el resultado de una sobrecarga del robot, pudiéndose
producir el accidente al soltarse una pieza que se esté manipulando.
Influyen en este ítem la fatiga de los materiales y la realización de trabajos en ambientes
corrosivos.

2.3. Estrategias para la implementación de medidas de seguridad

Las normativas internacionales que dictan lineamientos respecto de la seguridad en
instalaciones robotizadas presentan en general una estrategia de trabajo para el desarrollo y
selección de medidas de seguridad. Esta estrategia comprende las siguientes consideraciones:
 Determinación de la zona de protección (área de trabajo del robot).

 Identificación y descripción de todos aquellos peligros que pueda generar la máquina
durante el período de trabajo en sus diferentes etapas.
 Definición de cada riesgo que puede producir un accidente.
 Comprobación de que las medidas de seguridad adoptadas son adecuadas.
2.4. Medidas de seguridad

Se hace preciso determinar las medidas de seguridad que disminuyan el riesgo y la gravedad
de los posibles accidentes. Será de gran importancia, para lograr un nivel de seguridad adecuado, el
impedir el acceso de operarios al campo de acción del robot mientras éste está en funcionamiento.
O bien, en caso de ocurrir, detener cualquier acción del robot que implique un riesgo para la
persona que ingresó al área de trabajo.
Analizaremos las distintas medidas factibles de tomar en función del ámbito de aplicación.
2.4.1. Medidas de seguridad a tomar en la fase de diseño del robot

En el diseño del robot y de su sistema de control debe considerarse siempre el posible
accidente, tomándose las acciones oportunas para evitarlo o bien limitar sus efectos negativos. El
propio robot deberá contar con las siguientes consideraciones:
 Supervisión del sistema de control

El sistema de control debiera supervisar en forma continua su correcto funcionamiento
(match-dog), el de los sistemas dependientes y el de los lazos de comunicación entre
todos ellos. En el proceso de inicialización el sistema de control debiera realizar un
chequeo general (autodiagnóstico) previo a la habilitación del equipo.
 Velocidad máxima limitada

Todas las tareas del robot que requieran la presencia de personal dentro del espacio de
trabajo del mismo, deben realizarse a velocidad inferior a la nominal. Dentro de estas
tareas se encuentran: la programación en sus diferentes metodologías, el
mantenimiento, la calibración, las pruebas de funcionamiento de nuevos programas o
modificaciones en los existentes, la puesta en marcha, etc.
Esta velocidad reducida deberá seleccionarse en forma automática (sin intervención del
operador) al seleccionarse el modo de programación o funcionamiento manual.
Como referencia, la velocidad en las circunstancias mencionadas debe ser inferior en

todos los ejes a 250mm/seg. (Norma ANSI/RIA R15.06).
 Detectores de sobrecargas
Incluidos en los accionamientos, deben desactivarlos cuando se sobrepase un valor
excesivo (caso de colisión o de atrapamiento de una persona contra una parte fija, o de
una parte del robot contra sectores de la instalación indeseados).

 Dispositivo de habilitación
La unidad de programación deberá contar con un pulsador de tres posiciones que sea
empleado para el movimiento manual del robot. Los movimientos del robot sólo se
lograrán cuando el pulsador esté apretado en su posición intermedia, deteniéndose en
su totalidad cuando esté apretado totalmente o cuando esté soltado.
 Códigos de acceso
El manejo de la unidad de control, las acciones de arranque y parada, las modificaciones
a los programas, etc., deben ser tareas restringidas al personal habilitado a tal efecto.
Deberán estar limitadas mediante el empleo de llaves, códigos de seguridad, etc.).
 Frenos mecánicos adicionales

Deberán existir en caso de manejo de grandes cargas, a fin de funcionar en caso de
corte de alimentación de los accionamientos, y disponer de medios manuales para su
desactivación.
2.4.2. Medidas de seguridad a tomar en la fase de diseño de la estación robotizada

En el diseño del lay-out de la instalación robotizada se deberá considerar la utilización de
barreras de acceso y protección en general que minimicen el riesgo de aparición de un accidente.
Dentro de las medidas a tomar, se destacan:
 Delimitación segura del área de trabajo del robot
Se deberá identificar claramente la zona máxima en que se produce el movimiento del
robot con marcación en el suelo, señales y barreras especiales y colocar todos los
controles de los equipos fuera de esa zona.
El área de trabajo del robot debe ser considerado espacio restringido y protegido, de
manera de evitar el ingreso indeseado de personal. A tal efecto deberán disponerse de
barreras adecuadas de acceso y protecciones que detecten el eventual ingreso de
personal no autorizado actuando en consecuencia (parada inmediata al entrar en la
zona de trabajo del robot).
Dentro de los dispositivos a ser empleados se deberá contar con barreras de seguridad
fotoeléctricas industriales, sensores de presencia o proximidad, sistemas de visión,
scanner láser, etc. Estos elementos serán descriptos en próximo apartado.
Sensores fotoeléctricos, barreras infrarrojas, scanner laser

 Función de paro
A nivel internacional existe una armonización de las normas respecto a las categorías de
paro para máquinas o sistemas industriales. Las funciones de paro tienen tres
categorías:
- Categoría 0: es el paro por medio de la desconexión inmediata de la alimentación

eléctrica a los accionadores de la máquina. Considerado un paro no controlado, la
acción eventual de frenado que requiera alimentación eléctrica no será eficaz. Esto
permitirá que los motores giren libremente y paren por inercia. En otros casos, la
máquina que esté reteniendo accesorios los dejará caer si requiere alimentación
eléctrica para retener el material.
El paro de categoría 0 tiene prioridad sobre los paros de categoría 1 ó 2.
- Categoría 1: es un paro controlado con alimentación eléctrica disponible para

accionadores de la máquina para realizar el freno. Esto permite que el freno
eléctrico detenga rápidamente el movimiento peligroso y luego la alimentación
eléctrica puede desconectarse de los accionadores.
- Categoría 2: es un paro controlado con alimentación eléctrica disponible para los

accionadores de la máquina. Un paro de producción normal se considera paro de
categoría 2.
Cuando la función de paro es la acción tomada por los dispositivos relacionados a la

seguridad del sistema de control en respuesta a una señal de entrada, debería utilizarse
la categoría 0 ó 1.
 Función de paro de emergencia

Esta función, que corresponderá a un paro de categoría 0 ó 1, debe ser iniciada por una
sola acción humana. Cuando se ejecuta, debe anular todas las otras funciones y modos
de operación de la máquina. El objetivo será desconectar la alimentación eléctrica tan
rápidamente como sea posible sin crear peligros adicionales.
Cuando se accione el dispositivo de paro de emergencia, éste se debe enclavar y no
debe ser posible generar el comando de paro sin enclavarlo. El restablecimiento del
dispositivo de paro de emergencia no causará una situación peligrosa, empleándose una
acción separada y deliberada para reiniciar la máquina.
Botoneras de seguridad para paro de emergencia

Los paneles de operación deben contar con al menos un dispositivo de paro de

emergencia. Otros dispositivos pueden ser empleados en otros lugares según sea
necesario. En todos los casos, estarán diseñados y construidos para cumplir tal función.
Los más usuales son los pulsadores que tienen forma de hongo (o de operación con la
palma de la mano), de color rojo y fondo amarillo.
Estas paradas debieran ser ubicadas en lugares estratégicos que puedan ser alcanzados
fácilmente por cualquier persona que advierta la ocurrencia de un accidente. Es
fundamental que los operarios conozcan la ubicación de dichos pulsadores.
En caso de que la pinza o garra sujete alguna pieza, esta deberá permanecer sujeta ante
una parada de emergencia, con lo que la categoría adecuada de utilización será la
categoría 1.
 Funcionamiento condicionado
El programa del robot deberá contemplar la detención del equipo en caso de que
durante el funcionamiento de la estación el operario necesite realizar trabajos
ingresando al área de trabajo (por ejemplo, para abastecer de un insumo o para
reposición de piezas).
 Zonas de mantenimiento
Se contemplará la existencia de zonas de reparación y mantenimiento. Estas zonas,
dentro del campo de acción del robot, estarán fuera de su zona de trabajo. En ellas se
asegurará mediante diferentes dispositivos que el robot no realizará movimientos de
manera automática.
 Señalización adecuada
La instalación debe estar dotada de una adecuada señalización del estado del robot o
línea robotizada mediante señales luminosas y acústicas. En toda etapa de puesta en
servicio, pero en particular luego de una parada de cualquier naturaleza, el sistema
deberá advertir al personal del próximo e inminente inicio de ciclo del robot.
Una señalización (luminosa o acústica) indicará en todo momento que el robot está o va
a ponerse en funcionamiento.
 Dispositivo de intercambio de piezas

En caso de que el operador deba poner/quitar piezas situadas dentro del área de trabajo
del robot, se emplearán dispositivos que permitan realizar estas acciones a distancia,
utilizando, por ejemplo, mesas giratorias.

2.4.3. Medidas de seguridad a tomar en la fase de utilización

Se deberá reducir el riesgo de accidentes durante las etapas de programación, pruebas de
funcionamiento, puesta en marcha y funcionamiento normal del sistema. Para el logro de este
objetivo es de vital importancia considerar:
 Normalización de la metodología para la prueba de programas

Un programa nuevo o existente con modificaciones deberá ejecutarse primero a
velocidad restringida y paso a paso, luego a velocidad restringida en forma continua y
finalmente se podrá aumentar en forma progresiva la velocidad de funcionamiento
hasta llegar a la nominal.
Todas las pruebas a realizarse que requieran la presencia del programador dentro del
espacio de trabajo del robot deberán hacerse a velocidad lenta, y con la participación de
un segundo operario observando la marcha del proceso dispuesto a accionar una parada
de emergencia en caso de necesidad.
Esta consideración contempla tareas tales como: prueba de programas nuevos, prueba
de programas existentes con modificaciones (aún si son consideradas menores),
calibraciones y ajustes del robot, pruebas de funcionamiento en general.
En cualquier caso, el funcionamiento en automático del robot deberá ser realizado con
el personal fuera del área de trabajo, aun siendo en fase de pruebas.
 Capacitación adecuada del personal

La capacitación deberá hacer hincapié en los riesgos de accidentes que un robot o
sistema robotizado puede presentar, y debiera estar dirigido a la totalidad de personal
involucrado con dichos equipos (operadores, programadores, personal de
mantenimiento, etc.).
 Revisión de protecciones
Las protecciones y sistemas de seguridad deberán ser revisados en forma periódica,
siguiendo un programa preestablecido que pueda ser supervisado y controlado en
forma adecuada.

2.5. Sistemas de seguridad

Hemos visto que al hablar de seguridad hablamos de tratar de evitar los riesgos que puedan
originarse y que puedan derivar en un accidente.
Reiterando conceptos ya vistos, los objetivos a lograr serán básicamente:
- La ausencia de personas en el espacio de trabajo del robot (área protegida) durante el
funcionamiento en automático.
- La eliminación o reducción de riesgos durante las tareas que deban realizarse en el área
de trabajo del robot durante las intervenciones por mantenimiento, calibración, pruebas
de funcionamiento, etc.
Podemos concluir que el éxito en la obtención de una estación robotizada segura dependerá
del adecuado diseño de la instalación de la estación. En esta etapa, será fundamental realizar una
correcta selección de los dispositivos y elementos de protección requeridos, y éstos deberán
cumplir ciertos requisitos tanto de funcionamiento como de respuesta ante eventos específicos.
Describiremos a continuación los principales sistemas de seguridad empleados en esta
instancia.
2.5.1. Barreras materiales – Guardas de aislamiento fijas

Nos referimos básicamente a impedir el acceso del operario a la zona de trabajo del robot
mediante barreras físicas que delimiten dicha zona. En el caso de que el sistema sea violado, otros
dispositivos de seguridad en el interior del área protegida debieran detectar la presencia no
autorizada y provocar la parada de la instalación.
Este objetivo se logra con un cerramiento mediante vallas o guardas, de dimensiones

adecuadas al tipo de riesgo existente y al robot instalado. El sistema de protección debe ser
diseñado en base a la combinación de altura y distancia, de manera de garantizar el no acceso al
punto peligroso desde cualquier dirección posible (por encima, por debajo, alrededor, por detrás o
a través del mismo).

2.5.2. Barreras materiales – Acceso a la zona de seguridad

Dado que existen tareas que deben ser realizadas dentro del área de trabajo, los
cerramientos deberán implementarse en su mayoría mediante puertas de acceso que permitan el
ingreso del personal al sector protegido.
En estos casos, se deberá hacer uso de un interruptor de enclavamiento de seguridad que
enclave la puerta de guarda con el suministro de energía de los equipos involucrados.
Cuando la puerta de la guarda se abre, la alimentación eléctrica se aísla, asegurando así que
la máquina está segura cuando el operador requiere acceso.
2.5.2.1. Características y requisitos generales
 Confiabilidad
Un interruptor de enclavamiento debe funcionar de manera confiable en condiciones
extremas y de tratamiento brusco. El mecanismo de operación debe ser lo más simple
posible y todos los materiales usados en su fabricación deben ser de la más alta calidad.
El diseño debe asegurar que el desgaste del componente se mantenga al mínimo,
debiendo estar el mecanismo contenido dentro de un envolvente cerrado resistente.
 Modo de operación positivo

Se dice que los componentes de un sistema están conectados en modo positivo cuando
un componente mecánico móvil inevitablemente mueve otro componente.
Con interruptores de enclavamiento mecánicos simples, cuando la guarda se abre, el

movimiento de la guarda debe conectarse en el modo positivo a los contactos de
seguridad del interruptor. Esto asegura que los contactos se separen físicamente o se
“desconecten por fuerza” debido al movimiento de la guarda.
Sistema en modo negativo Sistema en modo positivo
No existe un vínculo directo entre la puerta de la Una leva se monta sobre la bisagra de la puerta
guarda y los contactos de seguridad, de manera de manera que hace funcionar directamente los
que el sistema depende completamente de la contactos cada vez que se abre la puerta de la
presión del resorte para abrir los contactos. guarda.
En caso de fallar el resorte o quedar los La presión del resorte cierra los contactos
contactos soldados, el sistema fallará. únicamente con la puerta cerrada, y su rotura
resultará en un fallo y retorno a la condición de
seguridad.

 Seguridad
La seguridad de un interruptor de enclavamiento depende de su capacidad de resistir
intentos de cambiar el mecanismo. Cuanto mayor sea la posibilidad de que el personal
se vea tentado de suprimir el interruptor de alguna manera, mayor deberá ser la
dificultad para lograrlo.
Por lo general, la forma más práctica de lograr un alto grado de seguridad es mediante
la forma de montaje.
2.5.2.2. Formas de enclavamiento eléctrico

Hay dos formas de enclavamiento eléctrico:
- Enclavamiento de alimentación eléctrica: El suministro de energía de la fuente de

peligro (normalmente eléctrica, pero puede tratarse de energía hidráulica o neumática)
se interrumpe directamente debido a la apertura de la guarda.
El método más práctico de enclavamiento de la alimentación es un sistema de
atrapamiento de llave. El interruptor de aislamiento de la alimentación funciona
mediante una llave que queda atrapada en su posición mientras el interruptor está
cerrado. Cuando se gira la llave, los contactos del interruptor de aislamiento se enclavan
en la posición abierta y la llave puede retirarse. La puerta de la guarda se enclava en la
posición cerrada y la única manera de desenclavarla es usando la llave de bloqueo de la
guarda, que quedará atrapada en su posición y no puede retirarse hasta que la guarda
se cierre y se bloquee nuevamente liberándola. Recién en esta instancia la llave podrá
ser empleada para cerrar el interruptor principal de aislación del sistema eléctrico.
De esta manera, es imposible abrir la guarda sin aislar primero la fuente de alimentación
eléctrica, y también es imposible conectar la alimentación eléctrica sin cerrar y bloquear
la guarda.
- Enclavamiento de control: El suministro de energía de la fuente de peligro es

interrumpido por la conmutación de un circuito que controla el dispositivo de
conmutación eléctrica.
Siendo el método más empleado, consiste en acoplar un interruptor de enclavamiento a
la guarda para detectar el movimiento y abrir los contactos de conmutación cada vez
que la guarda no está completamente cerrada. Los contactos se conectan a través de un
circuito de control al elemento de control primario (contactor) de la fuente de peligro.
Dentro de este tipo de enclavamiento, encontramos dispositivos con bloqueo de guarda
y sin bloqueo de guarda. Y entre los dispositivos sin bloqueo de guarda, encontramos los
de accionamiento mecánico y los accionamientos sin contacto.

a. Interruptores de enclavamiento sin bloqueo de guarda

Estos dispositivos no restringen el acceso y la puerta de la guarda puede abrirse
en cualquier momento, pero tan pronto como se abre, el interruptor aísla la
alimentación eléctrica a la fuente de peligro mediante el circuito de control de
contactores. Los requisitos de seguridad se cumplen si el peligro siempre se
elimina inmediatamente y el operador no puede acceder al equipo mientras sea
peligroso.
Si el peligro no se elimina inmediatamente, entonces habrá que recurrir a una de
las siguientes opciones:
o Emplear un dispositivo de enclavamiento con bloqueo de guarda
o Lograr un paro rápido de los equipos mediante dispositivos de frenado
o Lograr una distancia de seguridad adecuada
b. Interruptores de enclavamiento sin bloqueo de guarda con accionamiento
mecánico
Con estos dispositivos, la puerta de la guarda está vinculada mecánicamente a
los contactos del circuito de control del interruptor mediante operación de modo
positivo. Podemos encontrar tres tipos principales de accionamiento:
Accionamiento a lengüeta Accionamiento a bisagra Accionamiento a leva
c. Interruptores de enclavamiento sin bloqueo de guarda con accionamiento sin

contacto (no mecánico)
Están formados por dos elementos que se reconocen entre ellos sin necesidad
de contacto. Se pueden codificar y tienen baja probabilidad de ser burlados.
Son muy útiles para cualquier tipo de resguardos ya que su instalación es muy
sencilla y tienen una gran tolerancia de alineación.
Una consideración importante para aplicar interruptores sin contacto es la

dirección de aproximación del accionador.

d. Interruptores de enclavamiento con bloqueo de guarda

Estos dispositivos son apropiados para máquinas con características de descarga,
pero también pueden ofrecer un aumento significativo del nivel de protección
para la mayoría de tipos de máquinas.
Proporcionan el enclavamiento de la fuente de alimentación peligrosa con el
movimiento de la guarda y evitan la apertura de la guarda hasta que sea seguro
hacerlo.
El uso de estos dispositivos es indicado cuando el riesgo de accidentes es alto en
caso de ingreso al área protegida, como sucede en las estaciones robotizadas.
Pero debe complementarse el sistema mediante un dispositivo mecánico y/o
eléctrico que permita la apertura desde el interior, a fin de evitar la posibilidad
de dejar atrapada a una persona dentro del área protegida sin posibilidad de
salida.
A fin de permitirse el ingreso al sector de personal autorizado, se dispondrá en
cada una de las puertas de algún dispositivo que permita realizar una petición de
ingreso (puede ser una llave selectora o un pulsador). Una vez solicitado el
acceso mediante estos elementos se producirá la apertura de la puerta
correspondiente cuando se hayan parado todos los equipos que originen una
situación de riesgo dentro del recinto.
2.5.3. Barreras inmateriales
Estas barreras empleadas en sistemas de seguridad como protección perimetral aportan un
nivel inferior de seguridad respecto de las barreras físicas. Si se produjese la proyección de
materiales por fallo en la garra de sujeción o rotura de herramientas – situación muy probable
debido a las exigencias cinemáticas y dinámicas puestas en juego en una estación robotizada – sólo
una barrera material puede proteger al personal ubicado fuera del área protegida.
Por su parte, la longitud perimetral puede ser considerable y originar paradas accidentales
de producción.
Se pueden instalar en localizaciones específicas de acceso, teniéndose en cuenta las
siguientes indicaciones:
- El dispositivo sensible debe estar instalado y dispuesto de manera que no pueda entrar
ninguna persona y alcanzar una zona peligrosa sin haber activado el dispositivo o que no
pueda alcanzar el espacio restringido antes de que hayan cesado las condiciones
peligrosas.
- Sólo será posible el acceso a la zona peligrosa a través de la zona de detección del
dispositivo de seguridad.
- Se debe disponer de un sistema de rearme por cada barrera de seguridad implementada.
- Cuando un dispositivo sensible ha sido activado, puede ser posible volver a poner la
célula en marcha a partir de la posición de parada, siempre y cuando esto no provoque
otros peligros.

2.5.3.1. Cortinas fotoeléctricas de seguridad

Las cortinas de luz son ideales para aplicaciones donde el personal necesita acceso frecuente
y fácil a un punto de peligro, permitiendo un alto nivel de seguridad y mayor productividad que los
sistemas de guardas materiales.
2.5.3.1.1. Operación
Las cortinas luminosas constan de dos cuerpos, un emisor que emite luz (infrarroja,
ultravioleta, etc.) y un receptor que capta estos rayos de luz. Se disponen de manera tal que forman
una cortina de haces luminosos y detectan su interrupción debido a un objeto opaco presente en la
zona de detección.
Para eliminar la sensibilidad a disparos falsos atribuidos a la luz ambiental e interferencias

con otros dispositivos optoelectrónicos, los leds incorporados en el emisor son pulsados a un
régimen específico (frecuencia modulada), con pulsos secuenciales de cada led de manera que un
emisor sólo puede afectar al receptor asociado con éste.
El sistema emisor-receptor puede interconectarse con una unidad de control que

proporcione la lógica de seguridad y las funciones adicionales necesarias o bien puede instalarse en
forma independiente funcionando como un interruptor de control confiable.
2.5.3.1.2. Confiabilidad del control

Conforme el estándar ANSI B11, su definición es: “La capacidad del sistema de control de
máquina, protección, otros componentes de control e interfaces relacionadas de lograr un estado
de seguridad en caso de un fallo de sus funciones de seguridad”.
Si bien haremos referencia a estos conceptos más adelante en este mismo capítulo,
podemos decir que los siguientes tres conceptos ayudan a asegurar el rendimiento de la función de
seguridad:
- Redundancia: uso de métodos idénticos
- Diversidad: uso de métodos diferentes
- Monitoreo: uso de métodos de verificación
En términos de protección optoelectrónica, esto significa que el sistema de cortina luminosa

de seguridad debe poder enviar una señal de paro a la máquina aún en el caso de fallo(s) de un
componente.
Para asegurar la fiabilidad, el sistema auto chequea el circuito electrónico, la alineación y da

aviso de la suciedad de las lentes, las cuales parpadean tan pronto la señal de percepción es inferior
al doble del umbral de respuesta. Suelen disponer de dos salidas de monitoreo cruzado diseñadas
para cambiar de estado cuando se rompe el campo de detección de la cortina. Si una de las salidas
fallas, la otra salida responde y envía una señal de parada a la máquina controlada, detectándose
que la otra salida no cambió de estado o no respondió. Entonces el sistema entra en un estado de
bloqueo que evita la operación de la máquina hasta que se repare la cortina luminosa de seguridad.
En estos casos, el restablecer las cortinas luminosas de seguridad o desconectar y volver a

conectar la alimentación eléctrica no borrará la condición de bloqueo.
El diseño de instalaciones que empleen cortinas luminosas de seguridad debe contemplar el

cálculo de la distancia de seguridad requerida.

2.5.3.1.3. Aplicaciones de cortinas fotoeléctricas de seguridad

a. Control de punto de operación
El sistema permite un acceso frecuente y fácil a los
peligros del punto de operación.
Estas cortinas se emplean cuando el operador

necesita hacer interface con maquinaria a una
distancia relativamente corta del área peligrosa.
La resolución habitual es de 14mm y 30mm para

protección de los dedos y de la mano,
respectivamente.
b. Control de acceso a área

Se emplean unidades de emisor y receptor de un
solo haz para crear una barrera protectora
alrededor de máquinas peligrosas, incluyendo
celdas robóticas, estaciones de transferencia,
paletizadoras y máquinas de carga.
La rotura del haz luminoso provoca la detención de

los movimientos de la máquina peligrosa.
Con el uso de espejos de esquina, se logra control

de acceso de dos haces o múltiples lados.
c. Control de acceso a perímetro
Las cortinas luminosas de seguridad para control de
acceso a perímetro crean una barrera de un haz o
múltiples haces para detección de todo cuerpo
alrededor de la maquinaria peligrosa.
Cuando alguien entra al perímetro protegido, la

cortina de seguridad envía una señal de paro a la
máquina protegida, deteniendo el movimiento
peligroso de la máquina y protegiendo al personal.
d. Aplicaciones horizontales
Este tipo de montaje permite emplear una cortina
luminosa de seguridad para la detección de área. La
posición de montaje no debe ser muy cerca del piso
para evitar suciedad, ni muy alta para evitar que
alguien pueda pasar por debajo. Normalmente se
emplea a 300mm del piso.
Una resolución de 50mm es usualmente válida para

la detección de un tobillo.

2.5.3.1.4. Función de supresión

La supresión permite inhabilitar porciones de un campo de detección de la cortina luminosa
de seguridad para que ésta ignore los objetos típicamente asociados con el proceso.
La supresión puede ser fija (cuando el objeto a ser ignorado es estacionario) o bien flotante
(cuando el objeto – como ser material de alimentación – puede ingresar en el campo de detección
en cualquier punto sin parar la máquina).
a. Supresión fija
Haz de
supresión Siendo el objeto estacionario, también lo es la
fija porción de supresión del haz.
Esta función requiere que el objeto (accesorio de

montaje, herramienta, etc.) esté en área
especificada en todo momento. Si alguno de los
haces programados como “suprimidos” no son
bloqueados por el accesorio o pieza de trabajo, se
Pieza de envía una señal de parada a la máquina.
trabajo
b. Supresión flotante
Esta supresión se logra inhabilitando hasta dos
Haz de
supresión haces de luz en cualquier lugar dentro del campo
flotante de detección. En lugar de crear una ventana fija, los
haces suprimidos se mueven hacia arriba y hacia
Pieza de abajo según sea necesario.
trabajo
2.5.3.1.5. Función de silenciamiento o “muting”

Esta función se caracteriza como la suspensión temporaria, automática y permitida de una
función de seguridad. Resulta necesaria cuando el proceso requiere que el ciclo de trabajo se
detenga al ingresar personal al área y continúe funcionando cuando se introduce material de
alimentación automática.
La función de “muting” está permitida durante la porción del ciclo de máquina que no es
peligrosa o que no debe exponer a una persona al peligro.
El silenciamiento requiere la combinación de una cortina de luz, dos o cuatro detectores de

silenciamiento y una unidad de control para procesar señales y determinar si se activa la función y
cuándo se activa.

Silenciamiento con 2 sensores Silenciamiento con 4 sensores

Lado peligroso
Lado peligroso
Lado no peligroso
Flujo de material
Lado no peligroso
Flujo de material
Monitoreo de relé de Monitoreo de relé de
seguridad o PLC seguridad o PLC
A continuación, se muestra cómo funciona un sistema de estas características.
Muting – Fase 1 Muting – Fase 2
- Material delante de la zona de peligro - Sensores muting 1+2 accionados

- Barrera fotoeléctrica activa - Barrera fotoeléctrica puenteada
- Lámpara muting apagada - Lámpara muting activada
Muting – Fase 3 Muting – Fase 4
- Sensores muting 3+4 accionados - Proceso de muting finalizado

- Barrera fotoeléctrica puenteada - Barrera fotoeléctrica de nuevo activa
- Lámpara muting activada - Lámpara muting apagada

El acceso a las celdas robóticas también puede realizarse por medio de la función “muting”.
Los interruptores fin de carrera, ubicados en la base del robot, indican la posición del robot. Se
aplica muting a los dispositivos de protección (las cortinas luminosas y tapetes de seguridad)
cuando el robot no está en una posición peligrosa.
Zona 3
Tapetes de Cortina de luz

seguridad
Zona 1 Zona 2
Sensores muting
2.5.3.2. Scanner láser

Se trata de un dispositivo de seguridad que explora su entorno mediante un haz de luz
infrarroja que, al ser desviado por un espejo giratorio, crea un plano de detección sin necesidad de
utilizar reflector o receptor separado. El escáner láser crea dos zonas: una zona de advertencia y
una zona de seguridad. En la primera, se proporciona una señal que no desactiva el peligro y da
información de su proximidad. En la segunda, el escáner emite un comando de parada.
Una ventaja del escáner frente a las cortinas de luz es la posibilidad de configurar el área,
por ejemplo, para ignorar los objetos estructurales.
Campo de advertencia
Campo de seguridad
Debido a que no aportan una categoría máxima de seguridad, cuando se trabaja con robots
no debieran ser empleados como un sistema primario de seguridad.
Resultan muy útiles para detectar personas en áreas de riesgo dentro de las células
robotizadas e impedir de esta forma el arranque de la instalación con operarios dentro de ellas.
También pueden ser empleadas para permitir el paso de un tipo de pieza.

El ángulo de barrido es normalmente 180º, aunque se comercializan dispositivos que tienen

un ángulo de trabajo mucho mayor. Para su uso vertical deben estar homologados específicamente.
El cálculo de la distancia de seguridad debe utilizarse para determinar el tamaño adecuado
de la zona de seguridad.
2.5.3.3. Alfombras o tapetes sensibles de seguridad
Las alfombras sensibles son interruptores eléctricos de área sensibles a la presión. Se
emplean para detectar la presencia de personal no autorizado en áreas de trabajo peligrosa.
Controlador
Superficie antideslizante Placa conductora

superior
Acero
placas Separador comprimible
Moldeado no conductor
Vinilo
Tapete no presionado Placa conductora
Separador inferior
Tapete activado
En la etapa de diseño de la instalación debe tenerse en especial consideración la
determinación de la distancia de seguridad, para evitar que una persona accediendo a un área
peligrosa por la alfombra pueda llegar al peligro antes de la parada total del equipamiento
robotizado.
Al igual que los scanner láser no proporcionan un grado máximo de seguridad, por lo que
deben asociarse a otros sistemas cuando trabajamos en estaciones robotizadas.
Resultan también muy útiles para detectar personas en áreas de riesgo dentro de las células
robotizadas e impedir el arranque de la instalación con operarios dentro de ellas.

2.5.4. Distancia de Seguridad (Ds)

Los equipos peligrosos deben estar en un estado de seguridad antes de que el operador
entre en contacto con ellos.
Surge el concepto de Distancia de Seguridad (Ds), que representa la distancia mínima de
seguridad de la zona de peligro hasta el punto de detección más cercano. Dependerá del tiempo
requerido para procesar el comando de parada y cuánto puede penetrar el operador en la zona de
protección antes de ser detectado.
El cálculo desarrollado a continuación responde a las indicaciones establecidas en la norma
ANSI RIA R15.06, pero los resultados satisfacen los requerimientos de la totalidad de normas
existentes sobre este tema.
Siendo:
Ds = K ∗ (t s + t c + t r ) + Dpf Ds = Distancia de Seguridad [m].
K = Constante de velocidad [m/s]
t s = Peor tiempo de parada de la máquina / equipo [s]

t c = Peor tiempo de parada del sistema de control [s]
t r = Tiempo de respuesta del elemento de protección,
incluyendo su interface.
Dpf = Factor de penetración de profundidad [m]
Ds: Distancia mínima de seguridad de la zona de peligro hasta el punto de detección más
cercano. Dependerá del tiempo requerido para procesar el comando de parada y cuánto
puede penetrar el operador en la zona de protección antes de ser detectado.
K: Valor de velocidad que depende de los movimientos del operador. Este parámetro se basa
en datos de investigación que muestran razonable suponer una velocidad de mano de
1,6m/s (63”/s) de un operador mientras el cuerpo está estacionario. Como guía general la
velocidad de aproximación variará de 1,6m/s a 2,5m/s correspondiendo ésta última a la
velocidad de caminata normal.
T = ts + tc + tr Tiempo total de parada del sistema. Si los valores individuales son

desconocidos, se mide mediante un dispositivo de medición de tiempos.
Dpf: Representa el máximo recorrido hacia el peligro en el campo de actuación de los elementos
de protección por sensado de presencia (PSSD) que puede ocurrir antes de producirse la
señal de parada. Los factores de penetración de profundidad cambiarán según el tipo de
dispositivo y la aplicación. Para una aproximación normal a una cortina de luz o escáner de
área, cuya sensibilidad de objeto es menor de 64mm (2,5”), las normas ANSI emplean:
Dpf = 3,4 * (sensibilidad de objeto – 6,875mm) (pero no menor que cero).
En el caso de aplicaciones con tapetes de seguridad instalados en el suelo, el primer paso

que da el operador sobre el tapete es un Dpf = 1,2m (48”). Si el operador debe subirse a una
plataforma, entonces el Dpf puede reducirse en un 40%.

2.5.5. Sistemas de supervisión

Los circuitos de seguridad empleados en estaciones robotizadas deben tener una categoría
de seguridad elevada. Esto sólo se consigue mediante dispositivos que permitan la supervisión del
funcionamiento de los elementos distribuidos a través del sistema.
En el caso de empleo de sistemas con PLC para gestionar el control de la automatización de
la instalación, el mismo no puede estar a cargo del sistema de seguridad a menos que esté
homologado para ejercer tal función. Los elementos de seguridad distribuidos deberán estar
supervisados por módulos de seguridad, módulos de seguridad programables o autómatas
programables de seguridad (PLC Fail-Safe: seguros ante fallos).
2.5.5.1. Módulos de seguridad

Siendo el sistema más sencillo de implementar, estos elementos permiten supervisar
distintos elementos distribuidos de seguridad, desde un interruptor de seguridad, una parada de
emergencia o un sistema de mando bimanual.
Dado que una categoría alta de seguridad requiere la supervisión de la totalidad de
elementos existentes en el sistema, se requerirá un módulo por cada dispositivo instalado, por lo
que será adecuado en instalaciones muy pequeñas.
2.5.5.2. Módulos programables de seguridad

Son módulos que permiten la supervisión de varios elementos distribuidos y que permiten
ser implementados en instalaciones de complejidad media.
Utilizan un sistema de programación muy visual y los elementos se deben cablear uno a uno
al sistema de supervisión.
2.5.5.3. Controlador lógico programable (PLC) de seguridad (Fail Safe)

Los PLC’s de seguridad (Fail Safe: Seguros ante Fallos) están basados en sistemas
redundantes, donde la misma función es desarrollada por varios sistemas en forma simultánea.
Por sus características, estos equipos aportan:
- Flexibilidad para modificación de funciones.
- Módulos de programación estándar (parada de emergencia, protección bimanual,
etc.).
- Alta categoría de seguridad a bajo costo de cableado.
- Tiempos de puesta en marcha muy cortos
- Confiabilidad y larga vida gracias a un desgaste mínimo
2.6. Sistemas de control con fines de seguridad

Un sistema de control relacionado con la seguridad es la parte del sistema de control de una
máquina que evita que ocurra una condición peligrosa. Puede ser un sistema dedicado separado o
puede estar integrado con el sistema de control normal de la máquina.
Los sistemas de control con fines de seguridad están diseñados para realizar funciones de
seguridad, es decir, deben continuar operando correctamente en todas las condiciones previstas.

2.6.1. Función de seguridad

Las partes relacionadas a la seguridad del sistema de control de la máquina implementan
una función de seguridad para lograr o mantener el equipo bajo control – en un estado de
seguridad – con respecto a un peligro específico. Un fallo de la función de seguridad puede resultar
en un aumento inmediato de los riesgos de usar el equipo, es decir, una condición peligrosa.
La función de seguridad a menudo puede describirse con requisitos de múltiples partes.
Analicemos por ejemplo una estación robotizada, donde el área de trabajo del robot se encuentra
protegida mediante una reja de seguridad. Al sector se ingresa a través de una puerta con
enclavamiento. Cuando esta puerta se abre, se inicia la función de seguridad que deberá implicar:
- El robot no puede operar hasta que la puerta esté cerrada.
- La apertura de la puerta deberá detener todo movimiento del robot si es que éste está
operativo al momento de la apertura.
- El cierre de la puerta no debe reiniciar el movimiento del robot protegido por el
cerramiento.
Cuando la función de seguridad se establece para una aplicación específica, no hacemos
referencia a un peligro sino a un peligro específico. El peligro no debe ser confundido con los
resultados del peligro. Mientras que un motor representa un peligro, los resultados del peligro
pueden ser en este caso las quemaduras, trituración o cortes producidos por el motor en
determinadas circunstancias.
Al estudiarse el tema de los sistemas de seguridad es frecuente hacer referencia a la
demanda impuesta sobre una función de seguridad. Una demanda impuesta sobre una función de
seguridad es un evento que exige su adecuada respuesta. Por ejemplo, una demanda sobre la
función de seguridad es la apertura de una puerta con enclavamiento, la interrupción de una
cortina luminosa o presionar un pulsador de parada de emergencia. El operador mediante estos
eventos demanda que el robot detenga sus movimientos o que permanezca desenergizado si ya
estaba detenido.
Los componentes con fines de seguridad del sistema de control de la máquina ejecutan la
función de seguridad. En el ejemplo de la puerta con enclavamiento, la función de seguridad es
implementada por el enclavamiento de la reja, el dispositivo lógico que recibe la señal de comando
y el accionador que resulta inhabilitado.

2.7. Normativas Internacionales

Las normativas internacionales más relevantes en la temática que nos ocupa son:
 Normativa ISO 10218-1 (Internacional)

“Requerimientos de seguridad en entornos con Robots Industriales”
- Realizada por el Organismo Internacional de Normalización (ISO), está dedicada al

análisis de la seguridad, la definición de riesgos y la identificación de posibles
fuentes de peligros o accidentes.
- Contiene además una sección sobre diseño y fabricación, que dedica un breve
análisis al diseño de sistemas robotizados, teniendo en cuenta aspectos mecánicos,
ergonómicos y de control.
 Normativa ANSI / RIA R15.06 (Americana en primera instancia, convertida luego en

estándar Internacional).
“Requerimientos de seguridad para Robots Industriales y Sistemas Robots”
- Proporciona especificaciones para la fabricación de robots industriales, la

integración/instalación de sistemas de robots, y los métodos para implementar la seguridad
del personal asociado con el empleo de robots y sistemas robots.
 Normativa EN 775 y española UNE-EN 775

“Robots Manipuladores. Seguridad”
Esta normativa, aprobada por el Comité Europeo de Normalización, ha sido anulada y
reemplazada por la ISO 10218-1:2006.
 Norma EN ISO 13.849-1

“Seguridad de las máquinas. Partes del sistema de mando relativas a la seguridad.”
- Parte 1: Principios generales para el diseño.
Esta normativa abarca todo tipo de tecnologías (eléctrica – electrónica – neumática –
hidráulica – mecánica – etc.). Reemplaza la norma EN 954-1 basada en las categorías de
seguridad, incorporando sus conceptos con requisitos adicionales de seguridad.
 Norma EN IEC 62.061

“Seguridad de máquinas – Seguridad funcional de sistemas eléctricos, electrónicos y
electrónicos programables relacionados a la seguridad”.
Conforme se observa en su título, a diferencia de la norma anterior no abarca la
totalidad de tecnologías industriales disponibles.

ANEXO 1 – Introducción a la Norma EN ISO 13849-1

La norma trabaja con el concepto de PL (Nivel de Prestaciones).
PL (Nivel de Prestaciones) es un concepto neutro en cuanto a tecnología que puede utilizarse en

soluciones de seguridad eléctrica, mecánica, neumática e hidráulica.
¿Qué significa PL (Nivel de Prestaciones)?

PL es una medida de la fiabilidad de una función de seguridad. PL se divide en cinco niveles (a-e). PLe
aporta la mayor fiabilidad y equivale a aquella necesaria cuando el nivel de riesgo es máximo.
Para calcular qué nivel PL alcanza el sistema, se debe conocer:

• La estructura del sistema (Categorías B, 1-4).
• El tiempo medio hasta fallo peligroso del componente (MTTFd).
• La cobertura del diagnóstico del sistema (DC).
También deberá:
• Proteger el sistema contra un fallo que anula ambos canales (CCF).
• Proteger el sistema contra errores sistemáticos integrados en el diseño.
• Seguir reglas que garanticen que el software puede desarrollarse y validarse de forma adecuada.
Los cinco niveles PL (a-e) corresponden a determinados rangos de valores PFHD
(probabilidad de fallo peligroso por hora). Indican la probabilidad de que pueda producirse un fallo
peligroso en el período de una hora. En el cálculo, es recomendable usar valores PFHD
directamente, dado que PL es una simplificación que no proporciona resultados tan precisos.
Siempre que se pueda, se recomienda el uso de componentes de seguridad con valores PL y

PFHD precalculados, como los productos ABB, Pilz o Schneider entre otros.
Términos especificados en EN ISO 13849-1
PL (Performance Level)
Nivel de prestaciones dividido desde “a” hasta “e” que logra una función de seguridad.
PLr (Required Performance Level)
Nivel de prestaciones requerido (para una función de seguridad en particular).
MTTF El tiempo medio hasta un fallo en general.
MTTFd El tiempo medio hasta fallo peligroso. Se divide en Bajo, Medio y Alto.
B10d Número de ciclos hasta que el 10% de los componentes sufre un fallo peligroso (para componentes
neumáticos y electromecánicos).
T10d Tiempo medio hasta que el 10% de los componentes sufre un fallo peligroso (El tiempo de
funcionamiento de componentes se limita a T10d).
CCF (Common Cause Failure)
Fallo de causa común, donde varios elementos pueden fallar como resultado de un solo evento.
DC (Diagnostic Coverage)
Cobertura del diagnóstico, dividida en Baja, Media y Alta. Mide la efectividad del diagnóstico.
PFHD Probabilidad de fallo peligroso por hora (probabilidad media de fallo peligroso por hora).

Método de trabajo según EN ISO 13849-1
El fabricante de máquinas (cualquiera que fabrique o modifique una máquina) debe efectuar una
evaluación de riesgos respecto al diseño de la máquina y también incluir una valoración de todas las
operaciones de trabajo que deben realizarse. La norma ISO 13849-1 se basa en la ISO 12.100 que estipula los
requisitos para la evaluación de riesgos, requisito previo para poder trabajar con la norma.
Paso 1 – Evaluación de riesgos

Se inicia determinando el alcance de la
máquina. Esto incluye el espacio que la
máquina y sus operarios necesitan para
todas sus aplicaciones previstas, y todas
las etapas operativas durante el ciclo de
vida de la máquina.
Seguidamente, se identifican todas las
fuentes de riesgo para todas las
operaciones de trabajo durante el ciclo de
vida de la máquina.
Finalmente, se efectúa una estimación de
riesgos para cada fuente de riesgo, es
decir, la indicación del grado de riesgo.
Paso 2 – Reducir el riesgo

Si determina que es necesario reducir el
riesgo, debe observar la prioridad al
seleccionar las medidas:
1. Evite el riesgo en la etapa de diseño
(reducir la potencia, evitar interferencias
en la zona de peligro)
2. Utilice dispositivos de protección y/o
seguridad (Cerramientos, cortinas
fotoeléctricas o dispositivos de mando).
3. Informe sobre cómo puede utilizarse
la máquina con seguridad (Manuales,
carteles, indicaciones).
Si se reduce el riesgo mediante
dispositivos de seguridad, el sistema de
control que los supervisa debe diseñarse
como se especifica en la presente norma.
Paso 3 – Diseñar y calcular las funciones

de seguridad
Para empezar, hay que identificar las
funciones de seguridad de la máquina
(Por ejemplo, el paro de emergencia y el
control de puertas).
Para cada función de seguridad debe
definirse un PLr. A continuación, se diseña
e implementa la solución para la función
de seguridad. Una vez finalizado el diseño,
puede calcular el PL que alcanza la
función de seguridad. Luego, se debe
comprobar que el PL calculado sea por lo
menos tan elevado como el PLr, y validar
el sistema según el plan de validación. También se deberá verificar que se satisfagan los requisitos no incluidos en el
cálculo del PL, es decir, garantizar que el software ha sido desarrollado y validado correctamente, y haber adoptado
las medidas adecuadas para proteger el enfoque técnico de errores sistemáticos.

Evaluación de riesgos – Cálculo del PL requerido

El nivel de riesgo asociado a un peligro o una
situación peligrosa es proporcional a:
- La gravedad o severidad del daño
- La probabilidad de ocurrencia
Para evaluar un peligro, la norma fija los
siguientes parámetros relacionados:
G: Gravedad del daño
F: Frecuencia de exposición al riesgo
P: Posibilidad de evitar o limitar el daño
G1 Leve (normalmente reversible)

Normalmente golpes, contusiones o heridas
leves. Hematomas, abrasiones, heridas
punzantes y lesiones leves por aplastamiento.
Son reversibles en el sentido de que, tras el
tratamiento, el afectado queda en la misma
situación que antes del daño.
G2 Grave (normalmente irreversible)

Lesiones esqueléticas, amputaciones, muerte.
Las secuelas son permanentes, incluida la
muerte.
F1 De raramente a poco frecuente o tiempos de

exposición cortos
Menos de una vez cada dos semanas. En caso de
que se requiere sólo acceso ocasional.
F2 De frecuente a continua o tiempos de exposición

largos
Más de una vez cada dos semanas. Si la frecuencia es
superior a una vez por hora se debe seleccionar F2
siempre. Si se desconoce la frecuencia de acceso al
peligro, pero se conoce la frecuencia de demanda de
la función de seguridad, se deberá coger esta como dato. Se debe evaluar el valor sobre la base de la frecuencia de
exposición en relación con el período total de uso del equipo, por ejemplo, el acceso de una vez por ciclo
dependerá del ciclo de la máquina.
P1 Posible bajo ciertas condiciones

Movimientos lentos de la máquina, mucho espacio, baja potencia.
P2 Raramente posible
Movimientos rápidos de la máquina, concurrido, alta potencia.
La selección del parámetro P1 o P2 puede venir determinada por diferentes factores:
- Si la identificación del peligro es directa o es necesaria la ayuda de instrumentos para detectarlo (por
ejemplo, indicadores de niveles de presión o de contaminación).
- El tipo de operación, por ejemplo, si esta se realiza con o sin supervisión, por personal experto o por no
profesionales. Otro posible criterio es la existencia de métodos de trabajo seguros implementados.
- La velocidad de ocurrencia del peligro, sobre todo en relación con el tiempo de reacción del operario.
- La posibilidad de evitar el peligro cuando este se produzca, por ejemplo, si existen vías de escape o
mecanismos de emergencia efectivos cercanos a la zona de operación.
Al definir G, F y P para el riesgo, obtendrá el nivel de prestaciones PLr (requerido) que es necesario
para la fuente de riesgo. Finalmente, la evaluación de riesgos incluye una valoración de riesgos en la que se
determina si tiene que reducirse el riesgo o si se garantiza una seguridad suficiente.

Función de seguridad - Cálculo del PL

Al calcular el PL para una función de seguridad, lo más sencillo es dividirlo en bloques independientes y bien
definidos (también llamados “subsistemas”). Con frecuencia es lógico efectuar el desglose de acuerdo con:
- La entrada (por ejemplo, un interruptor de seguridad)
- La lógica (por ejemplo, un relé de seguridad)
- La salida (por ejemplo, contactores)
También puede haber más de 3 bloques en función de la conexión y el número de componentes utilizados
(por ejemplo, un relé de expansión podría crear un bloque de lógica adicional).
Por cada bloque se debe calcular un valor de PL o PFHd. Por lo general estos valores los da el fabricante, pero
los cálculos eventualmente pueden ser calculados siguiendo la norma ISO 13849-1.
Para calcular los valores PL o PFHd para un bloque, se debe conocer:
- La categoría del sistema – B, 1, 2, 3 o 4  Fiabilidad de la estructura
- El MTTFd.  Fiabilidad de los componentes
- La cobertura de diagnóstico – DC.  Fiabilidad debida al diagnóstico
Además, se tiene que evitar errores sistemáticos y asegurarse de que un error no anula ambos canales, así
como generar y validar correctamente cualquier software que se utilice.
Para determinaciones más precisas, la norma suministra una tabla con resultados tabulares de
diferentes modelos Markov que crearon la base de este diagrama.
Si se conoce el PFHd del sistema o subsistema, la norma suministra una tabla para determinar en
forma directa el PL.

Categorías de arquitecturas
La norma emplea las cinco categorías originales utilizadas en la EN 954-1. Las categorías pueden
aplicarse a un sistema completo o a un subsistema.
Categorías: Clasificaciones del rendimiento de un sistema de seguridad bajo condiciones de fallo.
Los diagramas a continuación no deben tomarse puramente como estructura física; están diseñados
más como representación gráfica de requisitos conceptuales.
La categoría B de arquitectura designada debe usar
principios de seguridad básicos. El sistema o subsistema
puede fallar en el caso de un fallo único.
La categoría 1 tiene la misma estructura que la categoría B,

e igualmente puede fallar en caso de un fallo único. Pero
debido a que también debe utilizar principios de seguridad
probados, esto es menos probable que para la categoría B.
La categoría 2 debe usar principios básicos de seguridad.

También debe haber monitorización de diagnóstico a
través de una prueba funcional del sistema o del
subsistema. Esta debe ocurrir durante la puesta en marcha
y luego periódicamente con una frecuencia equivalente a
por lo menos cien pruebas por cada demanda sobre la
función de seguridad. El sistema o el subsistema
igualmente puede fallar si ocurre un fallo único entre las
pruebas funcionales, pero esto es normalmente menos
probable que en el caso de la categoría 1.
La categoría 3 debe usar principios de seguridad básicos.

También existe el requisito de que el sistema o subsistema
no debe fallar en el caso de un fallo único. Esto significa
que el sistema debe tener tolerancia a fallo único con
respecto a su función de seguridad. La forma más común
de cumplir con este requisito es utilizar una arquitectura de
doble canal. Además de ello, también se requiere que,
siempre que sea posible, se detecte el fallo único.
La frase “siempre que sea posible” tenía en la norma
anterior un significado problemático. Significaba que la
categoría 3 podría cubrir todo desde un sistema con
redundancia, pero sin detección de fallo (a menudo
denominada “redundancia estúpida”) a un sistema
redundante donde todos los fallos únicos son detectados.
Este tema se trata en la IEC 13849-1 por el requisito de calcular la calidad de la cobertura de diagnóstico (DC). Podemos
ver que mientras mayor sea la fiabilidad (MTTFd) del sistema, menor necesidad de cobertura de diagnóstico. Sin
embargo, es claro que debe ser DC al menos 60% para la categoría 3.
La categoría 4 debe usar principios de seguridad básicos.
Tiene un diagrama de requisitos similares para la categoría
3, pero demanda mayor monitorización, es decir, mayor
cobertura de diagnóstico. En el diagrama si visualiza con
líneas punteadas más gruesas. En esencia la diferencia
entre las categorías 3 y 4 es que para la categoría 3 la
mayoría de los fallos deben ser detectados, pero para la
categoría 4 todos los fallos únicos deben ser detectados. La
cobertura de diagnóstico debe ser de por lo menos 99%.
Incluso las combinaciones de fallos no deben causar un
fallo peligroso.

El siguiente cuadro resume las categorías y sus alcances.
Resumen de requisitos Comportamiento del sistema Principio

CATEGORÍA B
(Orientado a la PREVENCIÓN de los fallos)

Las piezas relacionadas con la seguridad de los sistemas
de control de máquina y/o su equipo protector, así como
Cuando ocurre un fallo, éste
Por selección de componentes

sus componentes, deben ser diseñados, construidos,
puede causar la pérdida de la
seleccionados, ensamblados y combinados de acuerdo
función de seguridad.
con las normas pertinentes, de manera que puedan
soportar las influencias previstas.
Se deben aplicar principios de seguridad básicos.
CATEGORÍA 1
- Los requisitos de la CATEGORÍA B se aplican junto con
el uso de componentes de seguridad y principios de Al igual que la Categoría B, pero
seguridad debidamente comprobados. con una fiabilidad más alta de la
- Los componentes de seguridad diseñados se función de seguridad.
consideran de eficacia comprobada si están diseñados y
verificados de acuerdo a normas apropiadas.
CATEGORÍA 2 La verificación detecta la pérdida
- Los requisitos de la CATEGORÍA B y el uso de principios de la función de seguridad. La
de seguridad debidamente comprobados. ocurrencia de un fallo puede
- El sistema de control de la máquina verificará la(s) causar la pérdida de la función de
función(es) de seguridad al momento de la puesta en seguridad entre los intervalos de
(Orientado a la DETECCIÓN de los fallos)

marcha y periódicamente. verificación.
CATEGORÍA 3 Cuando ocurre el fallo, la función
- Los requisitos de la CATEGORÍA B y el uso de principios de seguridad siempre se ejecuta.
Por estructura del sistema

de seguridad debidamente comprobados. Se detectarán algunos fallos, pero
- El sistema estará diseñado de manera que un fallo en no todos. Una acumulación de
cualquiera de sus partes no cause la pérdida de la fallos no detectados puede causar
función de seguridad. Cuando sea práctico, se la pérdida de la función de
detectará un fallo individual. seguridad.
CATEGORÍA 4
- Los requisitos de la CATEGORÍA B y el uso de principios
de seguridad debidamente comprobados.
Cuando ocurren fallos, la función
- El sistema estará diseñado de manera que un solo fallo
de seguridad siempre se ejecuta.
en alguna de sus partes no conduzca a la pérdida de la
Los fallos se detectarán a tiempo
función de seguridad. El fallo individual se detecta al
para evitar la pérdida de las
momento de la siguiente demanda sobre la función de
funciones de seguridad.
seguridad o antes de ésta. Si esta detección no es
posible, entonces una acumulación de fallos no causará
una pérdida de la función de seguridad.

MTTFd - Tiempo medio hasta fallo peligroso de un canal individual

El MTTFd es un indicador de calidad que se refiere a la fiabilidad de los componentes y dispositivos
de una SRP/CS. Es una media estadística que representa el tiempo de funcionamiento previsto sin averías,
expresado en años. Sólo se tienen en cuenta las averías consideradas peligrosas, es decir, que podrían
ocasionar el fallo de la función de seguridad en un canal.
Es un valor promedio de MTTFd de los bloques o componentes de cada canal individual, y puede
aplicarse a un sistema o subsistema. Para la estimación del MTTFd de los componentes aplicar en este orden:
 Los datos de los fabricantes de los componentes
 El método dado en la norma para el cálculo
 Seleccionar MTTFd = 10 años
La norma da la siguiente fórmula que se usa para calcular el promedio de todos los MTTFd de cada
elemento usado en un sistema de canal individual o subsistema:
𝑁𝑁
1 1
=�
MTTFd MTTF𝑑𝑑𝑑𝑑
𝑖𝑖=1
En la mayoría de sistemas, ambos canales son idénticos por lo que el resultado de la fórmula
representa cualquiera de los canales. Si los canales son diferentes, la norma proporciona una fórmula para
promediar los dos promedios (también se puede usar el valor del peor canal):
2 1
MTTFd = �MTTFdC1 + MTTFdC2 − �
3 1 1
+
MTTFdC1 MTTFdC2
La norma agrupa los MTTFd en tres rangos de la manera siguiente:
Denotación de MTTFd de cada canal Rango de MTTFd de cada canal
Bajo 3 años ≤ MTTFd < 10 años
Mediano 10 años ≤ MTTFd < 30 años
Alto 30 años ≤ MTTFd < 100 años
El punto de cálculo de partida es el valor B10d

(promedio de ciclos hasta que el 10% de los
componentes sufre un fallo peligroso).
Al calcular el MTTFd se debe realizar el cálculo
según el número total de ciclos de funcionamiento
del componente. Por ejemplo, en el caso de
contactores que actúen de modo simultáneo para
varias funciones de seguridad, se debe considerar
la suma de ciclos al año de todas las funciones de
seguridad que utilicen dichos contactores.
Ejemplo: dop = 365días hop = 24hs t ciclo = 1800seg → nop = 17520ciclos

Si B10d = 2 x 106 → MTTFd = 1141años que corresponde a un 𝐌𝐌𝐌𝐌𝐌𝐌𝐌𝐌𝐝𝐝 = 𝐚𝐚𝐚𝐚𝐚𝐚𝐚𝐚
Si el MTTFd resulta en un valor inferior a 200 años, es necesario sustituir el componente después del
10% del valor MTTFd. Es decir, un componente con MTTFd = 160 años debe ser sustituido después de 16
años de uso para que las condiciones del PL sigan siendo válidas. Esto se debe a que la ISO 13849-1 se basa
en un “tiempo de misión” de 20 años.
No se consideran MTTFd menores a 3 años ya que esto significaría que, tras un año, el 30% de los
sistemas en el mercado deberían ser sustituidos. El valor máximo por canal es de 100 años para que la
seguridad de las partes del sistema de mando relativas a la seguridad no dependa sólo de la fiabilidad de los
componentes, sino además de otros aspectos como la arquitectura.

DC - Cobertura de Diagnóstico
Cuando mencionamos las categorías 2, 3 y 4 las mismas requerían alguna forma de prueba de
diagnóstico para verificar si la función de seguridad sigue estando funcionando. Llamamos Cobertura de
diagnóstico (DC) a la eficacia de esta prueba.
Por ejemplo, se obtiene un valor DC = 99% (valor alto) para un par de contactores controlándolos con
un dispositivo lógico.
La cobertura de diagnóstico expresa la relación de la tasa de ocurrencia (𝛌𝛌) de fallos peligrosos
detectados respecto de la tasa de ocurrencia de la totalidad de fallos peligrosos que pudiesen surgir,
expresada como porcentaje.
𝜆𝜆𝜆𝜆𝜆𝜆
𝐷𝐷𝐷𝐷 = 𝜆𝜆𝜆𝜆𝜆𝜆: Fallo peligroso detectado. Son los fallos que podrían causar pérdida de la
𝜆𝜆𝜆𝜆
función de seguridad, pero que son detectados. Luego de la detección, una
función de reacción al fallo ocasiona que el dispositivo o sistema pase a
estado de seguridad.
𝜆𝜆𝜆𝜆: Fallo peligroso. Son todos los fallos que pudieran potencialmente causar o
llegar a causar pérdida de la función de seguridad, tanto los fallos que son
detectados como los que no son detectados (éstos últimos los
verdaderamente peligrosos).
La norma IEC 13849-1 proporciona un método simplificado para obtener el valor de DC a través de
tablas de consulta, enumerándose varias técnicas de diagnóstico típicas junto con el porcentaje de cobertura
de diagnóstico que se considera se obtenga según su uso. Son valores obviamente aproximados, y se basan
en una extensa investigación llevada a cabo por los redactores de la norma.
Se obtienen cuatro rangos de cobertura de diagnóstico:
Denotación Rango
Ninguna DC < 60%
Baja 60% ≤ DC < 90%
Media 90% ≤ DC < 99%
Alta 99% ≤ DC
Se demuestra empíricamente que un diagnóstico que cubra menos del 60% del sistema no tiene
prácticamente influencia en la fiabilidad del mismo. De la misma forma, una cobertura mayor que el 99% es
muy difícil de conseguir.
La ISO 13849-1 suministra tablas con valores de DC en función de dispositivos de entrada,
dispositivos lógicos y dispositivos de salida típicos tal y como se describen en las arquitecturas designadas.
Cada medida aplicada para detección de fallo que puede aplicarse a distintas partes de las SRP/CS
puede tener asociada distinta DC. Para la determinación del PL es necesaria una DC para todas las partes del
sistema que implementan la función de seguridad estudiada. Esta será la Cobertura de Diagnóstico media
(DCavg). Este valor se determina con la siguiente fórmula:
Los componentes sin detección de defecto (aquellos que no son chequeados, es decir, DC=0) sólo
contribuyen al denominador de la fórmula anterior.

CCF - Fallo por causas comunes

Además de las arquitecturas, el cálculo de MTTFd y el análisis de la DC, el nivel de prestaciones viene
dado por un cuarto parámetro, la gestión de fallos por causa común (CCF).
Este parámetro se aplica sólo en estructuras de 2 canales a partir de la categoría 2, puesto que está
destinado a prevenir fallos en una SRP/CS con una causa y un efecto común.
Estos fallos pueden producir la activación de un modo de fallo crítico en ambos canales al mismo
tiempo, por ejemplo, como consecuencia de un relámpago (sobretensión), afectando las salidas de
semiconductores redundantes y produciendo como resultado la incapacidad de ambos canales de abrirse o
cerrarse.
En la mayoría de los sistemas o subsistemas de doble canal (tolerantes a fallo único) el principio de
diagnóstico está basado en la premisa de que no habrá fallos peligrosos en ambos canales al mismo tiempo.
El término “al mismo tiempo” puede expresarse con más exactitud como “dentro del intervalo de prueba de
diagnóstico”. Si este intervalo es razonablemente corto (por ej. menor a 8 hs) es razonable asumir que dos
fallos no relacionados e independientes tienen baja probabilidad de ocurrir dentro de ese tiempo. El asunto
es determinar si las posibilidades de fallo son realmente independientes y no relacionadas. Por ejemplo, si un
fallo en un componente puede ocasionar de manera previsible fallos de otros componentes, entonces la
totalidad resultante de fallos se considera un fallo único.
También es posible que un evento que ocasione el fallo de un componente pueda también causar el
fallo de otros componentes. Esto se denomina fallos por causa común (CFF). El grado de predisposición de
fallos por causa común se describe como el factor beta (β)
La norma 13849-1 ofrece una lista de medidas eficaces para evitar los fallos por causa común:
Número Medida contra CFF Puntaje

Separación / segregación
1 Separación física entre vías de señal: separación de cableado / tuberías, espacios 15
de separación suficientes y distancias de fuga en pistas de circuitos impresos.
Diversidad
2 Uso de diferentes tecnologías, diferente diseño o principios físicos distintos. Por 20
ejemplo, primer canal con electrónica programable y segundo canal cableado.
Diseño / aplicación / experiencia
3 Protección contra sobretensión, sobre temperatura, sobrepresión, uso de 20
componentes de eficacia probada.
Evaluación / análisis
4 ¿Se han tenido en cuenta los resultados de un análisis del modo de fallo y efectos 5
para evitar los CCF durante el diseño?
Capacitación / formación técnica
5 ¿Tienen formación los diseñadores y el personal de mantenimiento para entender 5
las causas y consecuencias de los CCF?
Condiciones ambientales
Prevención de contaminación y compatibilidad electromagnética (EMC) contra CCF
6 35
de acuerdo a normas. Sistemas hidrodinámicos (filtración del medio de presión,
prevención de suciedad, etc.).
TOTAL 100
La norma EN ISO 13849-1 establece una puntuación máxima de 100 puntos y una mínima a
obtenerse de 65 puntos.

Fallos sistemáticos
Hemos visto datos de fiabilidad cuantitativos en la forma de MTTFd y la probabilidad de fallo
peligroso. Hasta acá pensábamos en términos de fallos que parecían de naturaleza aleatoria. Pero existen
también fallos conocidos colectivamente como “fallos sistemáticos” que pueden atribuirse a errores
cometidos en el proceso de diseño o fabricación.
La norma proporciona medidas para evitar estos errores (y por consiguiente los fallos). Comprenden
el uso de materiales adecuados y técnicas de fabricación, revisión, análisis y simulación por ordenador.
También existen eventos previsibles, como la falta de alimentación eléctrica. Aunque parezca de sentido
común, los fallos previsibles deben ser considerados y resultar en un estado de seguridad del sistema.
Exclusión de fallos
El diseñador y el usuario deben entender cómo se desempeña el sistema de seguridad en presencia
de fallos. Existen herramientas específicas para el análisis de fallos. Durante el análisis, es posible que se
descubran algunos fallos cuya detección implique un costo excesivo. Y aún más, pueden ser de muy baja
probabilidad de ocurrencia. En estos casos, puede excluirse el fallo. Esta exclusión de un fallo significa
descartar la ocurrencia de un fallo porque la probabilidad técnica de que se produzca es insignificante.
La norma proporciona ejemplos y justificaciones para excluir ciertos fallos en los sistemas eléctricos,
neumáticos, hidráulicos y mecánicos basados en la improbabilidad técnica de ocurrencia, la experiencia
técnica generalmente aceptada y los requisitos técnicos relacionados con la aplicación.
Diseño y combinaciones de subsistemas
Cuando un sistema está formado por la combinación de dos o más subsistemas, surge que:
- El sistema sólo puede ser tan bueno como su subsistema más débil.
- Cuánto más subsistemas haya, mayor es la posibilidad de fallo.
Luego, la siguiente tabla permite determinar el PL resultante en función del PL del subsistema más
bajo y la cantidad de subsistemas con este PL de menor valor:
En este ejemplo, los niveles de PL más bajos son

los del subsistema 1 y 2. Ambos con PLb. Luego,
entrando en la tabla con PLb, el número de
subsistemas es ≤ 2 resulta que el PL del sistema
es b.
Si todos los subsistemas tuvieran el nivel PLb, Nlow sería > 2 y el PL logrado sería Pla.

EJEMPLO DE APLICACIÓN
Metodología de resolución
El proceso iterativo se divide

en 8 pasos, empezando por la
selección de una función de
seguridad (1) y luego
siguiendo los pasos (2) al (7)
se determina si se ha
conseguido el PLr (8).
Según la norma EN ISO 13849-

1 el nivel de prestaciones
requerido debe ser PLr=c.
La siguiente figura presenta una estructura de una SRP/CS.

Como ambos canales del ejemplo presentan una construcción distinta, deben determinarse primero los
valores MTTFd correspondientes a los canales A y B y simetrizarlos.
A continuación se muestra el análisis de la cobertura de diagnóstico (DC) y la determinación del nivel de

gestión de CCF:

Finalmente, con los datos obtenidos, verificamos el valor de PL obtenido respecto del PLr.
Naturalmente, la división meticulosa de cada uno de los pasos del ejemplo anterior es un tanto exagerada.
Además, el ejemplo ilustra dos canales de diferente construcción tanto en el ámbito del sensor como en el
del proceso lógico, por lo que parece más complejo que los que se suelen usar en la práctica.
En el ejemplo no se han tenido en cuenta el valor B10d para el dispositivo de enclavamiento (como
dispositivo electromecánico), que debería haberse incluido para una mayor precisión.
Los componentes electromecánicos K1B y SW2 que sí poseen un valor B10d. Este valor requeriría un nuevo
cálculo del MTTFd para K1B y SW2.
A continuación, vemos el cálculo asumiendo que el resguardo funciona 240 días por año a razón de 16 horas
diarias, con un modo de demanda medio de 20 segundos:
En este ejemplo, el presupuesto F1 del gráfico de riesgo ya no sería aplicable. Debería asumirse el F2, y con él
el nivel de prestaciones requerido “d”. Sin embargo, gracias a la corrección del valor MTTFd que pasa a ser
“bueno”, ello no supone un problema.
VALIDACIÓN: El último paso es la validación según EN ISO 13849-2. Teniendo en cuenta que la mayoría de los
accidentes de máquinas no pueden achacarse a fallos coincidentes, sino a errores en las especificaciones y a
posteriores ajustes y modificaciones, el tema de la validación es de suma importancia en la seguridad de la
máquina.

ANEXO 2 – Introducción a la Norma EN IEC 62.061

Esta norma “Seguridad de máquinas – Seguridad funcional de sistemas eléctricos, electrónicos y
electrónicos programables relacionados a la seguridad” proporciona requisitos aplicables al diseño de nivel
de sistema para todos los tipos de sistemas de control eléctrico relacionados a la seguridad de las máquinas y
también a subsistemas o dispositivos no complejos.
Los requisitos de integridad de seguridad se expresan en niveles llamados niveles de integridad de
seguridad (SIL). Según la complejidad del sistema, algunos o todos los elementos de la siguiente tabla
deberán ser considerados:
Subsistemas
En la IEC 62061 se llama subsistema a la subdivisión de primer nivel de un sistema que, si llegaran a
fallar, causarían un fallo de la función de seguridad. Por ejemplo, si se usan dos interruptores redundantes en
un sistema, ninguno de los interruptores individuales es un subsistema. El subsistema comprende a ambos
interruptores y cualquier otra función de diagnóstico de fallo asociada.
Probabilidad de fallo peligroso por hora (PFHd)
En la norma IEC 62061 no hay una consideración de MTTFd en años. La tasa de fallos por hora (λ) se
calcula directamente o se obtiene o deriva a partir del valor B10 mediante la siguiente fórmula:
𝑪𝑪
λ = 0,1 x donde C = Números de ciclos de operación por hora
𝑩𝑩𝑩𝑩𝑩𝑩
Existe una diferencia significativa entre las normas en la metodología para determinar el valor de
PFHd total para un subsistema o un sistema. Se debe llevar a cabo el análisis de componentes para
determinar la probabilidad de fallo de los subsistemas.
Los valores de probabilidad de fallos peligros (PFHd) de cada subsistema se suman para determinar el
PFHd total del sistema. La siguiente tabla proporcionada por la norma puede usarse para determinar qué
nivel de integridad de seguridad (SIL) es apropiado a ese rango de PFHd.
Los datos de PFHd de un subsistema son normalmente provistos por el fabricante.

La norma también indica que los manuales de datos de fiabilidad pueden usarse cuando
corresponde.

Para dispositivos electromecánicos de baja complejidad, el mecanismo de fallo generalmente está

vinculado al número y frecuencia de operaciones, y no sólo al tiempo.
En general lo siguiente es verdadero (tomando en cuenta un factor para cambiar años a horas):
1
PFHd =
MTTFd
Sin embargo es importante entender que, para un sistema de doble canal (con o sin diagnóstico), no
1
es correcto usar PFHd para determinar el MTTFd requerido por la norma ISO 13849-1. Esa norma requiere el
MTTFd de un canal individual, siendo éste un valor muy diferente al MTTFd de la combinación de ambos
canales de un subsistema de doble canal.
Restricciones de arquitecturas
La característica esencial de la norma IEC 62061 es que el sistema de seguridad está dividido en
subsistemas. El nivel de integridad de seguridad del hardware que puede declararse para un subsistema está
limitado no sólo por el PFHd sino también por la tolerancia a fallos del hardware y la fracción de fallos de
seguridad de los subsistemas.
La tolerancia a fallos del hardware es la capacidad del sistema de ejecutar su función en presencia de
fallos.
Una tolerancia a fallos de cero significa que la función no se realiza cuando se produce un fallo. Una
tolerancia a fallo de uno permite que el subsistema realice su función en presencia de un solo fallo.
La fracción de fallos no peligrosos es la porción de la tasa de fallos totales que no resulta en un fallo
peligroso. La combinación de estos dos elementos se conoce como restricción arquitectónica, y su salida es el
límite de declaración del nivel de integridad de seguridad (SIL CL).
La siguiente tabla muestra la relación de las restricciones de arquitecturas con respecto al límite de
declaración del nivel de integridad de seguridad (SIL CL). Un subsistema (y por lo tanto su sistema) debe
satisfacer tanto los requisitos del PFHd como las restricciones arquitectónicas junto con otras disposiciones.
Por ejemplo, una arquitectura que posee tolerancia a un solo fallo y tiene una fracción de fallos no
peligrosos del 75% está limitada a una clasificación no mayor que SIL2, independientemente de la
probabilidad de fallo peligroso. Cuando se combinan los subsistemas, el nivel de integridad de seguridad
obtenido por el SRCS (Sistema de control relacionado con la seguridad) está limitado a ser menor o igual
que el límite de declaración del nivel de integridad de seguridad (SIL CL) más bajo de cualquiera de los
subsistemas involucrados en la función de control relacionada a la seguridad.
Realización del sistema
Para calcular la probabilidad de fallo peligroso (PFHd), cada una de las funciones de seguridad debe
desglosarse en bloques de funciones, que luego se ejecutan como subsistemas.

La implementación de diseño de sistema de una función de seguridad típica incluye:

- Un dispositivo de detección, conectado a
- Un dispositivo lógico, conectado a
- Un accionador.
Representa una configuración de subsistemas en serie, y la probabilidad de fallo del sistema se
calcula como suma de la probabilidad de fallos de los subsistemas (PFHd = PFHd 1 + PFHd 2 + PFHd 3).
Diseño del subsistema
Si un diseñador de sistema utiliza componentes ensamblados en subsistemas según IEC 62061, las
cosas se facilitan porque no se aplican requisitos específicos para el diseño de subsistemas. Estos requisitos
son cubiertos por el fabricante del dispositivo (subsistema).
La norma proporciona requisitos para el diseño de subsistemas de menor complejidad (en caso de
subsistemas complejos, como un PLC de seguridad, se remite a otras normas específicas). Normalmente esto
incluye componentes eléctricos relativamente simples, como interruptores con enclavamiento y relés de
control de seguridad electromecánicos.
Se proporcionan cuatro arquitecturas lógicas de subsistemas, que pueden usarse para evaluar el
PFHd logrado por un subsistema de baja complejidad y corresponden a representaciones lógicas (no físicas).
Subsistema A
Las probabilidades de fallos peligrosos para este

subsistema simplemente se suman.
λ se emplea para designar la tasa de fallos. Las
unidades de la tasa de fallos son fallos por hora.
𝛌𝛌𝐃𝐃 es la tasa de fallos peligrosos.
𝛌𝛌𝐃𝐃𝐃𝐃𝐃𝐃𝐃𝐃 es la tasa de fallos peligrosos del subsistema A.
Corresponde a la suma de las tasas de fallos de los
elementos individuales, e1, e2, en.
Finalmente, la probabilidad de fallos peligros se
multiplica por 1 hora para crear la probabilidad de fallo durante una hora.
Subsistema B
Este diagrama muestra un sistema tolerante a un
solo fallo sin función de diagnósticos. Cuando se
incluye tolerancia a un solo fallo, existe el potencial
de fallos por causa común y debe considerarse.
Esta arquitectura toma en consideración la
configuración paralela de los elementos del
subsistema. Se emplean en las fórmulas:
β Probabilidad de fallos por causa común
T1 Intervalo de prueba de calidad (diseñada
para detectar fallos y la degradación del subsistema
de seguridad) o vida útil (tiempo de reemplazo), el
menor de los dos.

Subsistema C
Este diagrama muestra la representación funcional de
un sistema tolerante a cero fallos con una función de
diagnósticos. La cobertura de diagnósticos se usa para
reducir la probabilidad de fallos de hardware peligrosos.
Las pruebas de diagnóstico se realizan
automáticamente.
La definición de cobertura de diagnóstico (DC) es igual
que en la ISO 13849-1, o sea, la relación de la tasa de
fallos peligrosos detectados con la tasa de todos los
fallos peligrosos.
Subsistema D
Este subsistema es tolerante a un solo fallo e incluye
una función de diagnóstico.
El potencial de fallos por causa común también debe
considerarse en los sistemas tolerantes a un solo fallo.
Si los elementos del subsistema son diferentes resulta:
Si los elementos del subsistema son iguales entonces:
El parámetro adicional T2 es el intervalo de diagnóstico. Esta es sólo una revisión periódica de la función, y
resulta una prueba menos compleja que la prueba de calidad.
Fallos por causa común (CCF)
Los fallos por causa común suceden cuando múltiples fallos que son resultado de una sola causa
producen un fallo peligroso. La información sobre fallos por causa común generalmente sólo la requiere el
diseñador del subsistema, generalmente el fabricante. Generalmente no se requiere a nivel de diseño del
sistema.
La norma proporciona un método simple para calcular los fallos por causa común (CCF).
Se otorgan puntos para emplear medidas

específicas contra fallos por causa común.
Los puntos se suman para determinar el factor

de fallos por causa común (β) como se puede
ver en la siguiente tabla.

Cobertura de diagnósticos (DC)

La cobertura de diagnósticos es la relación de la probabilidad de fallos peligrosos detectados
respecto con la probabilidad de todos los fallos peligrosos. Está comprendido entre 0 y 1, pero se considera
como valor máximo 0,99 (99%) dado sería ideal considerar que se pueden detectar todos los fallos de
hardware peligrosos.
Tolerancia a fallos de hardware
Representa el número de fallos que un subsistema puede sostener antes de que se produzca un fallo
peligroso. Por ejemplo, una tolerancia a fallos de hardware de 1 significa que 2 fallos causarían una pérdida
de la función de control de seguridad, pero no un solo fallo.
Intervalo de prueba de calidad
Representa el tiempo después del cual un subsistema debe verificarse o reemplazarse totalmente
para asegurar que quede en condición “como nuevo”. En la práctica, en el sector de máquinas, esto se realiza
mediante el reemplazo. Por lo tanto, el intervalo de prueba de calidad generalmente es igual que la vida útil.
A diferencia de las pruebas de diagnóstico que son automáticas, las pruebas de calidad generalmente
se realizan manualmente y fuera de línea.
Fracción de fallo no peligroso (SFF)
La fracción de fallo no peligroso es similar a la cobertura de diagnóstico, pero también toma en
consideración cualquier tendencia inherente de fallo a un estado de seguridad. Por ejemplo, cuando se funde
un fusible hay un fallo, pero es muy probable que el fallo sea un circuito abierto que, en la mayoría de casos
sería un fallo “no peligroso”.
La fracción de fallo no peligroso puede calcularse como:
Obviamente los fallos a tenerse en cuenta son aquellos

que pudiesen tener algún efecto en la función de seguridad.
La mayoría de dispositivos mecánicos de baja complejidad, tales como botones de parada de

emergencia o interruptores de enclavamiento, tienen (por sí mismos) un SFF. La mayoría de dispositivos
electrónicos tienen redundancia y monitorización por seguridad en su diseño, por lo tanto, un SFF de más del
90% es común a pesar de que esto generalmente se debe completamente a la capacidad de la cobertura de
diagnóstico. El valor de SFF normalmente lo proporciona el fabricante.
Fallo sistemático
Los fallos sistemáticos son diferentes a los fallos de hardware aleatorios, que son fallos que ocurren
en momentos aleatorios, generalmente como resultado de la degradación de piezas de hardware. Los fallos
sistemáticos típicos son errores de diseño de software, errores de diseño de hardware, errores de
especificación de requisitos y procedimientos de operación.

ANEXO 3 – Seguridad intrínseca del robot
Introducción
Todas las operaciones normales en el modo de funcionamiento automático deberán ser ejecutadas
desde el exterior de la zona protegida del robot.
El robot constituye una masa extremadamente pesada y potente, incluso cuando funciona a
velocidad reducida. Cuando se penetra dentro del área protegida del robot, se deberán observar las normas
de seguridad que correspondan.
Los usuarios deben ser conscientes del hecho que el robot puede realizar movimientos inesperados.
Una pausa (o incluso un paro) dentro de un conjunto de movimientos puede estar seguido por un
movimiento a alta velocidad. Los usuarios deben saber también que las señales externas pueden influir en
los programas del robot de forma que ciertas trayectorias de movimiento pueden cambiar sin previo aviso.
Si el trabajo que se debe realizar se sitúa dentro del área de trabajo del robot, se deberá seguir las
siguientes instrucciones:
• El selector de modo de funcionamiento del controlador deberá estar en la posición manual para
permitir que el dispositivo de habilitación sea operativo y para bloquear el funcionamiento
desde un enlace a computador o desde el panel de control remoto.
• La velocidad del robot está limitada a los 250mm/s como máximo, cuando el selector de modo
de funcionamiento está en la posición <250mm/s. Esta debe ser la posición normal en que debe
estar el robot cuando se entra en el área de trabajo del robot. La posición al 100% - velocidad
máxima - sólo podrá ser utilizada por personal experimentado que sea consciente de los riesgos
que engendra.
• No se deberán cambiar las relaciones de transmisión de los engranajes ni ningún parámetro
cinemático desde la unidad de programación ni desde una Pc, dado que afectaría la función de
seguridad Velocidad reducida a 250mm/s.
• Durante la programación y la realización de pruebas del sistema, el dispositivo de habilitación
deberá estar liberado tan pronto como el robot no tenga la necesidad de moverse.
• El dispositivo de habilitación no deberá estar nunca bloqueado por ningún motivo.
• El programador deberá llevar siempre consigo la unidad de programación cuando pasa por la
puerta de seguridad para penetrar en el área de trabajo del robot, a fin de que nadie más tenga
la posibilidad de tomar el control del robot sin su conocimiento.
Función de seguridad
Una función de seguridad es implementada por las partes relacionadas a la seguridad del sistema de
control de la máquina para lograr o mantener el equipo bajo control en un estado de seguridad con respecto
a un peligro específico. Un fallo de la función de seguridad puede resultar en un aumento inmediato de los
riesgos de usar el equipo, es decir, una condición peligrosa.
Una máquina debe tener por lo menos un "peligro", de lo contrario no es una máquina. Una
"condición peligrosa" ocurre cuando una persona está expuesta a un peligro. Una condición peligrosa no
necesariamente implica que la persona sufrirá daño, ya que puede tener capacidad de reconocer el peligro y
evitar ser lesionada. Pero podría no tener dicha capacidad. El peligro también puede ser causado por una
puesta en marcha inesperada.
La tarea principal del diseñador del sistema de seguridad es evitar condiciones peligrosas y evitar una
puesta en marcha inesperada.

Funciones de seguridad del Robot ABB

El robot cumple todos los estándares de salud y seguridad especificados en las directivas de la CEE
Normas de relativas a maquinaria.
seguridad y salud Ha sido diseñado de acuerdo con los requisitos de la norma ISO 10218-1992, y cumple también con las
especificaciones de ANSI/RIA 15.06-1992.
Sistema de El controlador del robot se ha diseñado para ofrecer una seguridad total. Cuenta con un sistema de
seguridad basado seguridad dedicado, que se basa en un circuito de doble canal permanentemente monitorizado. Si
en un circuito de ocurre un error en el sistema o cualquiera de los componentes falla, se interrumpe la alimentación
doble canal eléctrica de los motores y se aplican los frenos.
La avería de un solo componente, por ejemplo, un relé en el que los contactos se han quedado
bloqueados, se detectará en la siguiente operación MOTORES ON/MOTORES OFF. Se impide la acción
Categoría de MOTORES ON y se indicará que ha ocurrido un fallo. De esta forma, se cumple con la categoría 3 de la
seguridad 3 norma EN 954-1 Seguridad de maquinaria.
Nota: La norma EN 954-1 perdió vigencia desde finales de 2011 generando la necesidad de migrar a la
norma EN ISO 13849-1 ó EN 62061
Selección del El robot puede utilizarse de forma manual (a velocidad reducida y a velocidad normal) o automática.
modo de En el modo manual, el robot sólo puede utilizarse mediante la unidad de programación, es decir, no se
funcionamiento admite el uso desde equipos externos.
Velocidad reducida En el modo manual, la velocidad está limitada a un máximo de 250mm/s (600pulgadas/minuto).
La limitación de velocidad no sólo se aplica al TCP (punto central de la herramienta), sino a todas las
ISO 10218-3.2.17 partes del robot. También es posible monitorizar la velocidad de los equipos montados sobre el robot.
Es necesario utilizar el dispositivo de habilitación de la unidad de programación para poder mover el

robot durante el modo manual, tanto a velocidad reducida como a velocidad total. En este modo,
apretando el dispositivo de habilitación el robot se pondrá en MOTORES ON.
Dispositivo de
habilitación El dispositivo de habilitación se basa en un interruptor de tres posiciones, lo que significa que todos
los movimientos del robot se detienen cuando se presiona completamente el dispositivo de
habilitación o cuando éste se libera completamente. De esta forma, se consigue aumentar la
seguridad durante el uso del robot.
Movimiento Es posible mover el robot con un joystick en lugar de que el operador tenga que buscar la tecla
manual seguro adecuada en la unidad de programación.
Protección contra
La velocidad del robot es monitorizada por dos ordenadores independientes.
excesos de
velocidad
Existe un pulsador de paro de emergencia en el controlador y otro en la unidad de programación.
Paro de
También es posible instalar pulsadores de paro de emergencia adicionales al circuito de la cadena de
emergencia
seguridad del robot.
El controlador cuenta con varias entradas eléctricas que pueden utilizarse para conectar equipos de
Paro de espacio seguridad externos, como puertas de seguridad y barreras fotoeléctricas. De esta forma, es posible
protegido activar las funciones de seguridad del robot tanto desde los equipos periféricos como desde el propio
robot.
El uso de un paro retardado proporciona un paro más suave. El robot se detiene de la misma forma
Paro retardado de
que un paro de programa, sin desviarse de la trayectoria programada. Después de aproximadamente
espacio protegido
1 segundo, se corta la alimentación de los motores.
Detección de En el caso de una complicación de tipo mecánico, como una colisión, electrodos pegados, etc., el
colisiones robot se detiene y retrocede ligeramente desde su posición de paro.

Para ciertos tipos de aplicaciones, el movimiento de los ejes principales del robot debe ser limitado a
fin de crear una zona de seguridad lo suficientemente amplia. Ello reducirá considerablemente el
riesgo de accidente del robot, imposibilitándole la colisión con cualquier elemento de seguridad
externo como barreras etc.
Limitación del área
Es posible limitar el movimiento de los distintos ejes mediante límites de software. Existen topes para
de trabajo
áreas protegidas que permiten la conexión de interruptores de límite que restringen el área de
trabajo.
En algunos robots, como en el robot ABB, los ejes 1, 2 y 3 también pueden restringirse mediante topes
mecánicos.
Control de La función "Hold-to-run" o concepto de "funcionamiento sostenido" significa que es necesario

funcionamiento presionar el botón de inicio para poder mover el robot. Al soltarse, el robot se detendrá. La función
sostenido hold-to-run hace que las pruebas de programas resulten más seguras.
Seguridad contra Tanto el manipulador como el sistema de control cumplen los estrictos requisitos del UL
incendios (Underwriters Laboratory) en cuanto a seguridad contra incendios.
Lámpara de Como opción, el robot puede contar con una lámpara de seguridad montada sobre el manipulador. La
seguridad lámpara se activa cuando el controlador se encuentra en el estado MOTORES ON.

Funciones de Seguridad
La cadena de control de la seguridad del funcionamiento
La cadena de control de seguridad del funcionamiento está basada en un sistema de cadenas de seguridad
eléctricas duales que interaccionan con el computador del robot y que habilitan el modo MOTORES ON.
Las cadenas de seguridad eléctricas están formadas por varios interruptores interconectados de forma que
todos ellos deben estar cerrados antes de que el robot pueda pasar al modo MOTORES ON. En este modo, la
tensión ha sido aplicada a los motores.
Si algún contacto de la cadena de seguridad de funcionamiento se encuentra abierto, el robot siempre
regresará al modo MOTORES OFF. Este modo implica que la alimentación a los motores está desactivada y
que los frenos están aplicados.
Las posiciones de los interruptores están indicadas por los LEDs situados en el frente del módulo en el
armario de control, y aparecen visualizados en la unidad de programación (ventana E/S).
Después de un paro, el interruptor deberá ser rearmado en la unidad que ha provocado el paro, antes de que
se ordene al robot que arranque de nuevo.
No se deberá nunca puentear, modificar o cambiar las cadenas de seguridad por ningún motivo.
Parada de emergencia
Es una condición que bloquea todos los controles del robot, desconecta la alimentación de las unidades de
accionamiento para los motores de los ejes del robot e inicia el paro de todas las partes en movimiento, así
como desconecta la alimentación de otras funciones peligrosas controladas por el robot.
El paro de emergencia deberá ser activado cuando exista un peligro real para el personal o para el equipo.
Los pulsadores de paro de emergencia incorporados están situados en el panel de control del sistema de
control y en la unidad de programación.
También es posible instalar pulsadores de paro de emergencia adicionales al circuito de la cadena de
seguridad del robot.
Antes de la puesta en servicio del robot, todos los pulsadores de paro de emergencia o cualquier otro tipo de
equipo de seguridad deberán ser comprobados por el usuario para asegurar su funcionamiento correcto.
Antes de volver a pasar al modo MOTORES ON, se deberá haber determinado el motivo que ha originado el
paro y corregir el fallo.

Selección del modo de funcionamiento

Las normas de seguridad vigentes para la utilización de los robots, de acuerdo con la norma ISO 10218,
establecen diferentes modos de funcionamiento seleccionables mediante dispositivos de control con
posiciones muy determinadas.
El sistema dispone de un modo de funcionamiento automático y dos modos manuales:
Modo Manual:
- <250mm/s: Velocidad limitada
- 100%: Velocidad total
Modo Automático: El robot puede ser operado a través de un dispositivo remoto.
Manual <250mm/s: Está destinado a la programación y pruebas del sistema, y deberá seleccionarse siempre
que alguien entre al área protegida del robot. El robot deberá ser operado mediante la unidad de
programación.
- Los programas sólo podrán ser arrancados utilizando la unidad de programación con el
dispositivo de habilitación activado.
- La función de paro de seguridad (AS) no está activa en este modo de funcionamiento.
Manual 100%: Se deberá utilizar la función de Control de Funcionamiento Sostenido para iniciar el
movimiento del robot.
- Los programas sólo podrán ser arrancados utilizando la unidad de programación con el
dispositivo de habilitación activado.
- Para la función de "Control de Funcionamiento Sostenido", la tecla de control
correspondiente deberá permanecer activada. En cuanto se suelte esta tecla, la ejecución
del programa se detiene.
- El modo de funcionamiento con la velocidad del sistema al 100% deberá ser utilizado
únicamente por personal experimentado.
Automático: En este modo, todos los dispositivos de seguridad como puertas y vallas de protección, barreras
fotoeléctricas, trampillas de contacto, etc., quedan activadas. En esta condición, nadie podrá entrar en el
área protegida del robot. Todos los controles, como los paros de emergencia, el panel de control y el armario
de control deberán ser de fácil acceso desde el exterior del área de trabajo del robot.
- El modo de MOTORES ON debe haber sido seleccionado.
- Para arrancar el programa se podrá utilizar tanto la unidad de programación como cualquier
dispositivo de control remoto conectado al sistema. Estas funciones deberán estar
interconectadas con cables y el usuario deberá encontrarse siempre fuera del área de
trabajo del robot.
Velocidad reducida (ISO 10218-3.2.17)

Reducción de la velocidad a un nivel determinado para proporcionar el tiempo necesario a la evacuación del
área peligrosa, en caso de movimientos extraños o para detener el robot.
En el modo manual, la velocidad está limitada a un máximo de 250mm/s (600pulgadas/minuto).
La limitación de velocidad no sólo se aplica al TCP (punto central de la herramienta), sino a todas las partes
del robot. También es posible monitorizar la velocidad de los equipos montados sobre el robot.

Dispositivo de habilitación
Es un dispositivo operado manualmente que permite controlar el movimiento del robot sólo cuando está en
una determinada posición. Así, permite utilizar las funciones peligrosas sin iniciarlas y ello únicamente
cuando el dispositivo de habilitación está activado de forma continua. En cualquier otra posición, permite el
bloqueo de las funciones peligrosas con toda seguridad.
Es necesario utilizar el dispositivo de habilitación de la unidad de programación para poder mover el robot
durante el modo manual, tanto a velocidad reducida como a velocidad total. En este modo, apretando el
dispositivo de habilitación el robot se pondrá en MOTORES ON.
Si por alguna razón el robot regresa al modo MOTORES OFF estando el dispositivo de habilitación apretado,
habrá que liberarlo para que pueda regresar al modo MOTORES ON. Esto es una función de seguridad para
imposibilitar que se desactive el dispositivo.
Cuando se suelta el dispositivo de habilitación, la alimentación de los motores queda desactivada, los frenos
quedan activados y el robot regresa al modo MOTORES OFF.
Si se vuelve a activar el dispositivo de habilitación, el robot pasa el modo MOTORES ON.
Características funcionales del dispositivo de habilitación de 3 posiciones
1. Posición 1 4. ON 7. Soltado
2. Posición 2 5. OFF 8. Sujeción suave
3. Posición 3 6. Presionado 9. Sujeción fuerte
a. Cuando la parte de operación es presionada totalmente a la pos. 3, el contacto es abierto nuevamente.
b. Cuando la parte de operación vuelve de la pos. 3 a la pos. 1, el contacto debe permanecer abierto sin pasar funcionalmente a la
posición 2.
El dispositivo de habilitación se basa en un interruptor de tres posiciones, lo que significa que todos los
movimientos del robot se detienen cuando se presiona completamente el dispositivo de habilitación o
cuando éste se libera completamente.

Control de funcionamiento sostenido (Hold-to-run)

Es un tipo de control que permite la realización de movimientos únicamente durante la activación manual del
mismo e implica que los movimientos se paren cuando se deje de activar.
La función "Hold-to-run" o concepto de "funcionamiento sostenido" significa que es necesario presionar la
tecla de arranque de programa para poder mover el robot. Al soltarse la tecla, el robot se detendrá. La
función hold-to-run hace que las pruebas de programas resulten más seguras.
Esta función está siempre activa cuando el selector de modo de funcionamiento está en la posición MANUAL
VELOCIDAD TOTAL. Si se desea también se podrá activar un parámetro para que esta función esté activada
cuando el selector de modo de funcionamiento esté en la posición MANUAL.
Cuando la función de Control de Funcionamiento Sostenido está activa, el dispositivo de habilitación y la tecla
de arranque de la unidad de programación deben estar pulsados a fin de ejecutar el programa. Cuando se
suelte esta tecla, los movimientos de los ejes se detienen y el robot permanece en el modo MOTORES ON.
Los siguientes son los pasos a seguir para ejecutar un programa con el control de funcionamiento sostenido:
• Activar el dispositivo de habilitación situado en la unidad de programación.
• Seleccionar el modo de funcionamiento utilizando las teclas de función de la unidad de
programación:
- Start (ejecución continua del programa)
- FWD (una instrucción hacia adelante)
- BWD (una instrucción hacia atrás)
• Esperar que aparezca la ventana de aviso del control de funcionamiento sostenido.
• Activar el pulsador de control de funcionamiento sostenido en la unidad de programación.
Ahora el programa se ejecutará (con el modo de ejecución seleccionado) mientras se apriete el pulsador de
control de funcionamiento sostenido. Si se suelta el pulsador se parará la ejecución del programa y si se
activa el pulsador, la ejecución del programa arrancará de nuevo.
En el modo de funcionamiento FWD (hacia adelante) y BWD (hacia atrás), la siguiente instrucción será
ejecutada soltando y activando el pulsador de control de funcionamiento sostenido.
Si se desea, se podrá cambiar de modo de funcionamiento cuando el pulsador de control de funcionamiento
sostenido está soltado y a continuación proseguir la ejecución del programa con el nuevo modo de
funcionamiento sólo activando de nuevo el pulsador de control de funcionamiento sostenido, con lo cual no
aparecerá ninguna ventana de aviso.
En el caso en que se haya detenido la ejecución del programa con el pulsador de paro de la unidad de
programación, la ejecución del programa continuará si se suelta y se vuelve a activar el pulsador de control
de funcionamiento sostenido.
Cuando se suelta el dispositivo de habilitación de la unidad de programación, la secuencia descrita
anteriormente deberá volver a repetirse desde el principio.
Parada de seguridad
El paro de seguridad debe tener prevista la conexión de dispositivos de protección y bloqueo a este circuito.
Es necesario desconectar la alimentación de los motores del sistema antes de que pueda inicializarse
cualquier movimiento del robot. La desconexión de la alimentación por el paro de seguridad, por sí mismo no
implica que se inicialice cualquier movimiento.

Cadena de paro de emergencia

El equipo de seguridad externo podrá conectarse a la cadena de paro de emergencia del robot – que es doble
– de varias formas distintas, como se puede observar en la siguiente figura:
Conexión del paro de protección del área en modo general (GS)

La conexión del GS (paro general) sirve para bloquear los dispositivos de seguridad externos, como las
barreras fotoeléctricas. El GS se activa independientemente de la posición del selector de modo de
funcionamiento.
Cuando esta conexión está abierta, el robot pasa al modo MOTORES OFF. Para reinicializar el modo
MOTORES ON, el dispositivo que provocó el paro de seguridad deberá ser rearmado previamente. Esta
operación no suele hacerse con la reinicialización simple del dispositivo en sí.
Conexión del paro de protección del área en modo automático (AS)

La conexión del AS (paro automático) sirve para bloquear los dispositivos de seguridad externos, como las
barreras fotoeléctricas, utilizadas de forma externa por el instalador del sistema. El AS está previsto
específicamente para ser utilizado en el modo automático, durante la ejecución normal del programa.
El AS deja de funcionar cuando el selector de modo de funcionamiento está en la posición MANUAL o
MANUAL A VELOCIDAD TOTAL.
Bloqueo de seguridad (ISO 10218-3.2.8)

Es una función que interconecta los dispositivos de bloqueo con el controlador del robot y/o el sistema de
alimentación del robot y su equipo adicional.

Manual Robótica UTN - 2. La Seguridad en Las Celdas Robotizadas

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual Robótica UTN - 2. La Seguridad en Las Celdas Robotizadas

Uploaded by

Copyright:

Available Formats

Universidad Tecnológica Nacional Departamento Ingeniería Eléctrica

Facultad Regional General Pacheco Robótica y Automación 2018

2. SEGURIDAD EN INSTALACIONES ROBOTIZADAS Y PROCESOS INDUSTRIALES

 Colisión entre robot y hombre

 Atrapamiento o aplastamiento del hombre por el robot

 Proyección de material o piezas transportadas por el robot

Ing. Alberto R. Kremer 1-48

2.2. Causas de accidentes

 Mal funcionamiento del sistema de control

 Acceso indebido de personal a la zona de trabajo del robot

 Fallos de origen mecánico

Ing. Alberto R. Kremer 2-48

2.3. Estrategias para la implementación de medidas de seguridad

 Determinación de la zona de protección (área de trabajo del robot).

2.4. Medidas de seguridad

2.4.1. Medidas de seguridad a tomar en la fase de diseño del robot

 Supervisión del sistema de control

 Velocidad máxima limitada

Como referencia, la velocidad en las circunstancias mencionadas debe ser inferior en

Ing. Alberto R. Kremer 3-48

 Frenos mecánicos adicionales

2.4.2. Medidas de seguridad a tomar en la fase de diseño de la estación robotizada

Sensores fotoeléctricos, barreras infrarrojas, scanner laser

Ing. Alberto R. Kremer 4-48

- Categoría 0: es el paro por medio de la desconexión inmediata de la alimentación

El paro de categoría 0 tiene prioridad sobre los paros de categoría 1 ó 2.

- Categoría 1: es un paro controlado con alimentación eléctrica disponible para

- Categoría 2: es un paro controlado con alimentación eléctrica disponible para los

Cuando la función de paro es la acción tomada por los dispositivos relacionados a la

 Función de paro de emergencia

Botoneras de seguridad para paro de emergencia

Ing. Alberto R. Kremer 5-48

Los paneles de operación deben contar con al menos un dispositivo de paro de

 Dispositivo de intercambio de piezas

Ing. Alberto R. Kremer 6-48

2.4.3. Medidas de seguridad a tomar en la fase de utilización

 Normalización de la metodología para la prueba de programas

 Capacitación adecuada del personal

Ing. Alberto R. Kremer 7-48

2.5. Sistemas de seguridad

2.5.1. Barreras materiales – Guardas de aislamiento fijas

Este objetivo se logra con un cerramiento mediante vallas o guardas, de dimensiones

Ing. Alberto R. Kremer 8-48

2.5.2. Barreras materiales – Acceso a la zona de seguridad

2.5.2.1. Características y requisitos generales

 Modo de operación positivo

Con interruptores de enclavamiento mecánicos simples, cuando la guarda se abre, el

Ing. Alberto R. Kremer 9-48

2.5.2.2. Formas de enclavamiento eléctrico

- Enclavamiento de alimentación eléctrica: El suministro de energía de la fuente de

- Enclavamiento de control: El suministro de energía de la fuente de peligro es

Ing. Alberto R. Kremer 10-48

a. Interruptores de enclavamiento sin bloqueo de guarda

Accionamiento a lengüeta Accionamiento a bisagra Accionamiento a leva

c. Interruptores de enclavamiento sin bloqueo de guarda con accionamiento sin

Una consideración importante para aplicar interruptores sin contacto es la

Ing. Alberto R. Kremer 11-48

d. Interruptores de enclavamiento con bloqueo de guarda

Ing. Alberto R. Kremer 12-48

2.5.3.1. Cortinas fotoeléctricas de seguridad

Para eliminar la sensibilidad a disparos falsos atribuidos a la luz ambiental e interferencias

El sistema emisor-receptor puede interconectarse con una unidad de control que

2.5.3.1.2. Confiabilidad del control