Sei sulla pagina 1di 150

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Principios, normas e implementacin

Sistemas de seguridad para maquinaria industrial Contenido


Captulo 1
Directivas y legislacin de la UE, Directiva de maquinaria, Directiva de uso de equipo de trabajo, Regulaciones de EE.UU., Administracin de seguridad y salud Ocupacional, Regulaciones canadienses

SAFEBOOK 4

Reglamentos...................................................................................... 2

Captulo 2

ISO (Organizacin Internacional de Normalizacin), IEC (Comisin Electrotcnica Internacional), Normas Europeas Armonizadas (EN), Normas OSHA, Normas ANSI, Normas canadienses, Normas australianas

Normativa......................................................................................... 18

Captulo 3

Evaluacin de riesgos, determinacin de lmites de mquina, identificacin de tareas y riesgo, estimacin de riesgo y reduccin de riesgo, diseo inherentemente seguro, sistemas y medidas de proteccin, evaluacin, formacin tcnica, equipo de proteccin personal, normas

Estrategia de seguridad................................................................. 23

Captulo 4 Captulo 5

Cmo evitar el acceso, resguardos de aislamiento fijas, deteccin de acceso, y productos y sistemas de seguridad

Medidas de proteccin y equipo complementario....................... 35 Clculo de la distancia de seguridad............................................ 59

Frmulas, gua y aplicacin de soluciones de seguridad utilizando clculos de distancia de seguridad para el control seguro de piezas mviles potencialmente peligrosas

Captulo 6

Bloqueo/etiquetado de seguridad, sistemas de aislamiento de seguridad, desconexin de carga, sistemas con atrapamiento de llave, medidas alternativas al bloqueo

Prevencin de una puesta en marcha intempestiva.................... 63

Captulo 7

Sistemas de control relacionados a la seguridad y seguridad funcional..................................................................... 65


Introduccin, qu es la seguridad funcional? IEC/EN 62061 y EN ISO 13849-1:2008, SIL e IEC/EN 62061, PL y EN ISO 13849-1:2008, comparacin de PL y SIL

Captulo 8

Arquitecturas de sistemas de seguridad (estructuras), tiempo de misin, tiempo medio a fallo peligroso (MTTFd), cobertura de diagnsticos (DC), fallos por causa comn (CCF), fallo sistemtico, nivel de rendimiento (PL), diseo y combinaciones de subsistemas, validacin, puesta en servicio de mquina, exclusin de fallo

Diseo del sistema de acuerdo a EN ISO 13849-1:2008............. 71

Captulo 9

Diseo de subsistemas IEC/EN 62061, efecto del intervalo de prueba de calidad, efecto del anlisis de fallos por causa comn, metodologa de transicin para categoras, restricciones de arquitecturas, B10 y B10d, fallos por causa comn (CCF), cobertura de diagnsticos (DC), tolerancia a fallos de hardware, gestin de seguridad funcional, probabilidad de fallos peligrosos (PFHd), intervalo de prueba de calidad, fraccin de fallos no peligrosos (SFF), fallo sistemtico

Diseo del sistema de acuerdo IEC/EN 62061............................. 94

Captulo 10 Consideraciones de la estructura de los sistemas de mando relativos a la seguridad................................................... 106


Descripcin general, categoras de sistemas de control, fallos no detectados, clasificacin de componentes y sistemas, consideraciones de fallo, exclusiones de fallo, categoras de parada segn IEC/EN 60204-1 y NFPA 79, requisitos de sistemas de control de EE.UU., normas de robots: EE.UU. y Canad

Captulo 11 Ejemplo de aplicacin usando SISTEMA................................... 130


Ejemplo de aplicacin de cmo usted podra usar la herramienta de clculo de nivel de rendimiento SISTEMA con la biblioteca de productos SISTEMA de Rockwell Automation

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Directivas y legislacin de la Unin Europea
Esta seccin se proporciona como gua para las personas encargadas de la seguridad de mquinas, especialmente sistemas protectores de resguardos y sistemas de proteccin en la Unin Europea. Ha sido concebida para diseadores y usuarios de equipo industrial. Con el objeto de promover el concepto de un mercado abierto dentro del rea Econmica Europea (EEA) (que comprende todos los estados miembros de la UE y tres pases adicionales) todos los estados miembros estn obligados a promulgar legislacin que defina los requisitos de seguridad esenciales para la maquinaria y su uso. La maquinaria que no cumpla estos requisitos no podrn suministrarse a o dentro de los pases de la EEA. Hay varias directivas europeas que pueden aplicarse a la seguridad de mquinas y equipos industriales, pero las dos que tienen la relevancia ms directa son: 1 Directiva de maquinaria 2 Directiva de uso de equipos de trabajo por trabajadores en el mbito laboral Estas dos directivas estn directamente relacionadas con los Requisitos Esenciales de Seguridad y Salud (RESS) de la directiva de mquinas, y pueden usarse para confirmar la seguridad del equipo indicada en la Directiva de uso de equipos de trabajo. Esta seccin trata aspectos de ambas directivas, y se recomienda enfticamente que las personas relacionadas con el diseo, el suministro, la compra o el uso de equipo industrial a o dentro de la EEA y tambin algunos otros pases europeos se familiaricen con sus requisitos. La mayora de suministradores y usuarios de maquinaria simplemente no podrn suministrar ni operar maquinaria en estos pases a menos que cumplan con estas directivas. Hay otras directivas europeas que pueden ser pertinentes a la maquinaria. La mayora son especializadas en su aplicacin y, por lo tanto, no se incluyen en esta seccin, pero es importante anotar que, cuando sea pertinente, sus requisitos tambin deben cumplirse. Los ejemplos son: La Directiva EMC 2004/108/EC y la Directiva ATEX 94/9/EC.

Reglamentos
Directiva de maquinaria
La Directiva de maquinaria abarca el suministro de nueva maquinaria y de otros equipos junto con componentes de seguridad. Es un delito suministrar maquinaria dentro de la UE a menos que se cumplan las disposiciones y los requisitos de la Directiva. La definicin ms amplia de maquina dada dentro de la Directiva es la siguiente: Conjunto de partes o componentes vinculados entre si, de los cuales al menos uno es movil, asociados para una aplicacion determinada, provisto o destinado a estar provisto de un sistema de accionamiento distinto de la fuerza humana o animal, aplicada directamente. La actual Directiva de maquinaria (2006/42/EC) ha reemplazado la versin anterior (98/37/EC) a fines de 2009. sta aclara y enmienda, pero no introduce cambios radicales a sus requisitos esenciales de seguridad y salud (RESS). Introduce algunos cambios para tomar en cuenta los cambios en tecnologa y mtodos. Extiende su alcance para cubrir algunos tipos adicionales de equipos (por ej., Distintivo CE en la mquina cabrestantes en obras de construccin). Ahora existe un requisito explcito para una evaluacin de riesgos, y para cuya determinacin se aplican los requisitos esenciales de seguridad y salud (RESS), y existen cambios a los procedimientos de evaluacin de cumplimiento normativo para equipo del Anexo IV. Disposiciones clave de la Directiva original (98/37/EC) entraron en vigencia para maquinaria el 1 de enero de 1995, y para componentes de seguridad el 1 de enero de 1997. Las disposiciones de la actual Directiva (2006/42/EC) entraron en vigencia el 29 de diciembre de 2009. Es responsabilidad del fabricante o de su representante autorizado asegurar que el equipo suministrado cumpla con la Directiva. Esto incluye: Asegurar que se cumpla con los requisitos esenciales de seguridad y salud (RESS) aplicables incluidos en el Anexo I de la Directiva Preparar un expediente tcnico Realizar la evaluacin de conformidad adecuada Dar una Declaracin CE de conformidad Colocar la marcado CE donde corresponda Proporcionar instrucciones para el uso seguro

SAFEBOOK 4

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Requisitos esenciales de seguridad y salud
El Anexo I de la Directiva proporciona una lista de los requisitos esenciales de seguridad y salud (denominados RESS) que debe cumplir la maquinaria donde sea pertinente. El propsito de esta lista es asegurar que la maquinaria sea segura y que est diseada y construida de manera que pueda usarse, regularse y que pueda recibir mantenimiento en todas las fases de su vida til sin poner en riesgo a los operadores. El La mquina debe satisfacer los RESS siguiente texto es una descripcin rpida de algunos requisitos tpicos, pero es importante considerar todos los requisitos esenciales de seguridad y salud (RESS) descritos en el Anexo 1. Debe realizarse una evaluacin de riesgos para determinar qu requisitos esenciales de seguridad y salud (RESS) son aplicables al equipo bajo consideracin. Los requisitos esenciales de seguridad y salud (RESS) en el Anexo I proporcionan una jerarqua de medidas para eliminar riesgos: (1) Diseo inherentemente seguro. Siempre que sea posible, el diseo debe evitar peligros. En los casos en que esto no sea posible, debern usarse (2) dispositivos de proteccin adicionales, por ej., resguardos con puntos de acceso enclavados, barreras inmateriales tales como cortinas de luz, tapetes de seguridad, etc. Cualquier otro riesgo que no pueda eliminarse mediante los mtodos anteriores deber eliminarse mediante (3) equipo de proteccin personal y/o formacin tcnica. El suministrador de la mquina deber especificar lo apropiado. Debern usarse materiales idneos de construccin y operacin. Debern proporcionarse iluminacin e instalaciones de manejo adecuadas. Los controles y los sistemas de control debern ser seguros y fiables. Las mquinas no debern poder ponerse en marcha en forma intempestiva y debern contar con uno o ms dispositivos de parada de emergencia. Se deber dar consideracin a instalaciones complejas donde los procesos corriente arriba o corriente abajo puedan afectar la seguridad de una mquina. El fallo de una fuente de alimentacin elctrica o de un circuito de control no deber causar una situacin peligrosa. Las mquinas debern ser estables y capaces de soportar tensiones previsibles. No deber haber bordes ni superficies expuestas que puedan causar lesiones al personal.

Reglamentos
Debern usarse resguardos o dispositivos de proteccin para evitar riesgos tales como los causados por piezas mviles. stas debern ser de construccin robusta y difciles de omitir. Las resguardos fijas deben ser slo del tipo que requiere montaje y desmontaje mediante el uso de herramientas. Las resguardos mviles deben estar enclavadas. Las resguardos regulables deben tener la capacidad de ser reguladas de inmediato, sin necesidad de usar herramientas. Debern evitarse los peligros elctricos y de suministro de energa. Deber haber riesgo mnimo de lesiones por temperatura, explosin, ruido, vibracin, polvo, gases o radiacin. Debern tomarse las provisiones apropiadas al realizar el mantenimiento y el servicio. Debern proporcionarse suficientes indicaciones y dispositivos de advertencia. La maquinaria deber proporcionarse con instrucciones para la instalacin, el uso, la regulacin, etc. con toda seguridad.

SAFEBOOK 4

Evaluacin de conformidad
El diseador u otra persona responsable deber mostrar pruebas que verifiquen la conformidad con los requisitos esenciales de seguridad y salud (RESS). Este archivo debe incluir toda la informacin pertinente, como resultados de pruebas, esquemas, especificaciones, etc.
RESULTADOS DE PRUEBAS ---------------------------NORMAS ------------------------------

La mquina debe satisfacer los RESS

Un Norma Armonizada Europea (EN) listado en el Diario Oficial de la Unin Europea bajo la Directiva para maquinarias, y cuya fecha de suspensin de presuncin de conformidad no ha caducado, otorga presuncin de conformidad con algunos de los RESS. (Muchas normas recientes listados en el Diario Oficial incluyen una referencia cruzada que identifica los RESS que abarca la normativa).

Por lo tanto, cuando el equipo cumple con dichas Norma Armonizada Europea actuales, la tarea de demostrar conformidad con los requisitos esenciales de seguridad y salud (RESS) queda considerablemente simplificada, y el fabricante tambin se beneficia de mayor certeza legal. Estas normas no son requisito legal; sin embargo, su uso se recomienda enfticamente ya que probar la conformidad por mtodos alternativos puede ser extremadamente complejo. Estas normas apoyan la Directiva de maquinaria y son producidas por el CEN (Comit Europeo de Normalizacin) en cooperacin con ISO y CENELEC (Comit Europeo de Normalizacin Electrotcnica) en cooperacin con IEC.

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Deber realizarse una evaluacin de riesgos detallada y documentada para asegurar que se hayan eliminado todos los posibles riesgos en la mquina. De manera similar es responsabilidad del fabricante de la mquina asegurar que se cumplan todos los requisitos esenciales de seguridad y salud (RESS), incluso aquellos que no abarcan las normas EN armonizadas.

Archivo tcnico
El fabricante o su representante autorizado debe preparar un expediente tcnico para proveer prueba de conformidad con los requisitos esenciales de seguridad y salud (RESS). Este archivo debe incluir toda la informacin pertinente, como resultados de pruebas, esquemas, especificaciones, etc. No es esencial que toda la informacin est disponible permanentemente en copia impresa, pero debe ser posible disponer del expediente tcnico completo para inspeccin a pedido de una autoridad competente (agencia designada por un pas de la UE para monitorizar la conformidad de la maquinaria). Como mnimo, la siguiente documentacin debe incluirse en un expediente tcnico: 1. Esquemas generales del equipo, incluidos esquemas del circuito de control. 2. Esquemas detallados, notas de clculo, etc., que se requieran para verificar la conformidad de la maquinaria con los requisitos esenciales de seguridad y salud (RESS). 3. Documentacin de evaluacin de riesgos, incluida una lista de requisitos esenciales para la salud y la seguridad que aplican a la maquinaria, y una descripcin de las medidas de proteccin implementadas. 4. Lista de normas y otras especificaciones tcnicas utilizadas, que indique los requisitos esenciales de seguridad y salud que abarca. 5. Descripcin de los mtodos adoptados para eliminar los riesgos que presenta la mquina. 6. En caso de que fuera relevante, cualquier informe tcnico o certificados obtenidos de alguna instalacin de prueba u otra entidad. 7. Si se declara conformidad con alguna norma europea armonizada, cualquier informe tcnico que proporcione resultados de las pruebas correspondientes. 8. Copia de las instrucciones de la mquina. 9. Cuando sea pertinente, declaracin de incorporacin de la maquinaria parcialmente completada y las instrucciones de ensamblaje relevantes de la misma. 10. Cuando sea pertinente, copias de la declaracin CE de conformidad de la maquinaria u otros productos incorporados a la maquinaria.

Reglamentos
11. Copia de la declaracin CE de conformidad. En el caso de fabricacin en serie, detalles de las medidas internas (sistemas de calidad, por ejemplo) para asegurar que toda la maquinaria producida est en conformidad: El fabricante debe realizar la investigacin o las pruebas necesarias de componentes, conexiones o maquinaria completa para determinar si por su diseo y construccin puede instalarse y ponerse en servicio con toda seguridad. No es necesario que el expediente tcnico exista como archivo nico permanente, pero debe ser posible archivarlo para que est disponible en un plazo razonable. Deber estar disponible durante diez aos despus de la produccin de la ltima unidad.

SAFEBOOK 4

No es necesario que el expediente tcnico incluya planos detallados ni informacin especfica respecto a los subensamblajes usados en la fabricacin de la mquina, a menos que sean esenciales para verificar la conformidad con los requisitos esenciales de seguridad y salud (RESS).

Evaluacin de conformidad para mquinas listadas en el Anexo IV


Algunos tipos de equipo estn sujetos a medidas especiales. Estos equipos aparecen en el Anexo IV de la directiva, e incluyen mquinas peligrosas tales como mquinas para trabajo de madera, prensas, mquinas de moldeado por inyeccin, equipo subterrneo, mecanismos de elevacin para mantenimiento de vehculos, etc.
R D ESU P OS LTA ---- RUEB DE ---- ANO ---S S RM -A

i vo ch o Ar cnic t

Evaluaciones de conformidad

El Anexo IV tambin incluye ciertos componentes de seguridad diseados para detectar la presencia de personas (por ej., cortinas de luz) y unidades lgicas para asegurar las funciones de seguridad.

En el caso de mquinas del Anexo IV que no estn en conformidad total con las normas europeas armonizadas, el fabricante o su representante autorizado debe aplicar los siguientes procedimientos: 1. Examen CE de tipo. Se debe preparar un expediente tcnico y un ejemplo de la mquina para ser presentado ante un organismo notificado (laboratorio de

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


pruebas) para examen CE de tipo. Si pasa el examen se otorga un certificado de examen CE de tipo para la mquina. La validez del certificado debe ser revisada cada cinco aos con el organismo notificado. 2. Aseguramiento de calidad total. Se debe preparar un expediente tcnico, y el fabricante debe operar un sistema de calidad aprobado para diseo, fabricacin, inspeccin final y pruebas. El sistema de calidad debe asegurar la conformidad de la maquinaria con las disposiciones de esta Directiva. El sistema de calidad debe ser auditado peridicamente por un organismo notificado. En el caso de mquinas que estn o no incluidas en el Anexo IV, pero que estn en conformidad con las normas europeas armonizadas, el fabricante o su representante autorizado tiene adems la opcin de preparar la evaluacin tcnica y autoevaluacin y declarar la conformidad del equipo. Se deben realizar revisiones internas para asegurar que el equipo fabricado mantenga la conformidad.

Exmenes del organismo notificado

Entidades notificadas Existe una red de organismos notificados que se comunican entre s y trabajan con un criterio comn en toda la UE. Las entidades notificadas las asignan los gobiernos (no los sectores) y los detalles de las organizaciones con estado de entidades notificadas puede obtenerse en: http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm

Procedimiento de la Declaracin CE de conformidad


El marcado CE debe ser aplicada a todas las mquinas suministradas. Las mquinas deben tambin suministrarse con una declaracin CE de conformidad . El distintivo CE indica que la mquina cumple con todas las Directivas Europeas aplicables y que se han realizado los procedimientos apropiados de evaluacin de conformidad. Es un delito colocar la marcado CE para la directiva de maquinaria, a menos que la mquina satisfaga los requisitos esenciales de seguridad y salud (RESS) correspondientes.

Reglamentos
La declaracin CE de conformidad debe contener la siguiente informacin: Nombre del negocio y direccin completa del fabricante y, de ser necesario, el representante autorizado; Nombre y direccin de la persona autorizada para compilar el expediente tcnico, quien debe estar establecido en la comunidad (en el caso de un fabricante fuera de la UE, ste puede ser el representante autorizado); Descripcin e identificacin de la maquinaria, incluida la denominacin genrica, el modelo, el tipo, el nmero de serie y el nombre comercial; Un prrafo que declare expresamente que la maquinaria cumple con todas las provisiones pertinentes de esta Directiva y, de ser necesario, una oracin similar que declare la conformidad con otras directivas y/o provisiones pertinentes con las que cumple la maquinaria; En caso necesario, una referencia a las normas armonizadas utilizadas; En caso necesario, la referencia a otras normas tcnicas y especificaciones utilizadas; (En el caso de mquinas del anexo IV) de ser necesario, el nombre, la direccin y el nmero de identificacin del organismo notificado que ha llevado a cabo el examen CE de tipo al cual se hace referencia en el anexo IX, y el nmero del certificado del examen CE de tipo; (En el caso de mquinas del anexo IV), de ser necesario, el nombre, la direccin y el nmero de identificacin del organismo notificado que haya aprobado el sistema de aseguramiento de calidad total al que se hace referencia en el anexo X; Lugar y fecha de la declaracin; Identidad y firma de la persona apoderada para redactar la declaracin en nombre del fabricante o del representante autorizado.

SAFEBOOK 4

Declaracin CE de incorporacin de mquinas parcialmente completadas


Se debe emitir una DECLARACIN DE INCORPORACIN junto con el equipo en los casos en que ste sea suministrado para ensamblaje con otros tems para formar una mquina completa en un futuro. El marcado CE no debe usarse. La declaracin debe indicar que el equipo no debe ponerse en servicio mientras no se haya declarado la conformidad de la mquina a la cual ha sido incorporado. Debe prepararse un expediente tcnico y la maquinaria parcialmente completada debe suministrarse con informacin que contenga la descripcin de las condiciones que deben cumplirse para incorporarla correctamente en la maquinaria final, con el objeto de no afectar la seguridad.

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Esta opcin no est disponible para equipos que pueden funcionar independientemente o que modifican la funcin de una mquina. La Declaracin de incorporacin debe contener la siguiente informacin: Razn social y direccin completa del fabricante de la maquinaria parcialmente completada y, de ser necesario, del representante autorizado; Nombre y direccin de la persona autorizada para compilar la documentacin tcnica pertinente, quien debe estar establecida en la comunidad (en el caso de fabricantes fuera de la UE esta persona puede ser el representante autorizado); Descripcin e identificacin de la maquinaria parcialmente completada incluida la denominacin genrica, la funcin, el modelo, el tipo, el nmero de serie y el nombre comercial; Un prrafo que declare qu requisitos esenciales de esta Directiva se aplican y cumplen, y que la documentacin tcnica pertinente es compilada de acuerdo a la parte B del anexo VII, y, de ser necesario, un prrafo que declare la conformidad de la maquinaria parcialmente completada con otras Directivas pertinentes; El compromiso de transmitir, en respuesta a una solicitud justificada por las autoridades nacionales, la informacin pertinente relativa a la maquinaria parcialmente completada. Esto incluye el mtodo de transmisin sin menoscabo de los derechos de propiedad intelectual del fabricante de la maquinaria parcialmente completada; Un prrafo que indique que la maquinaria parcialmente completada no debe ser puesta en servicio mientras la maquinaria final a la cual ha sido incorporada no haya sido declarada en conformidad con las provisiones de esta Directiva, de ser necesario; Lugar y fecha de la declaracin; Identidad y firma de la persona apoderada para redactar la declaracin en nombre del fabricante o del representante autorizado.

Maquinaria suministrada desde fuera de la UE Representantes autorizados


Si un fabricante con sede fuera de la UE (o del Espacio Econmico Europeo [EEA]) exporta maquinaria a la UE, deber designar a un representante autorizado. Un representante autorizado es cualquier persona natural o legal establecida en la Comunidad Europea que haya recibido un mandato por escrito del fabricante de cumplir en su nombre todas o parte de las obligaciones y formalidades relacionadas con la Directiva de maquinaria.

10

Reglamentos
La Directiva de uso de equipos de trabajo de la UE (Directiva Social)
Toda la maquinaria debe satisfacer los requisitos de salud y seguridad esenciales
La mayora de la maquinaria y los componentes de seguridad (excepto los listados en el Anexo IV) Mquinas y componentes de seguridad listados en el Anexo IV

SAFEBOOK 4

Deben cumplir con Deben cumplir las normas directamente con europeas los EHSR armonizadas O BIEN pertinentes

Si CUMPLEN con las normas europeas armonizadas pertinentes

Si NO CUMPLEN conlas normas europeas armonizadas pertinentes

Enviar el ARCHIVO TCNICO a una Enviar el equipo a entidad aprobada Enviar el ARCHIVO una entidad para que lo examine TCNICO a una aprobada y emita un entidad aprobada O BIEN O BIEN para EXAMEN CERTIFICADO que confirme TIPO CE DESUFICIENCIA recepcin. para el archivo.

Usted debe poder preparar el ARCHIVO TCNICO a pedido

ste DEBE remitirse a una entidad aprobada para EXAMEN TIPO CE

PARA MAQUINARIA Usted debe emitir una Declaracin de Conformidad y colocar la marca CE o emitir una Declaracin de Incorporacin. PARA COMPONENTES DE SEGURIDAD Usted debe emitir una Declaracin de Conformidad.

Descripcin general de procedimientos para la Directiva de maquinaria

Mientras que la Directiva para mquinas est dirigida a los proveedores, esta Directiva (89/655/EEC segn modificacin por 95/63/EC, 2001/45/EC y 2007/30/EC) est dirigida a los usuarios de las mquinas. Abarca todos los sectores industriales e impone deberes generales a los usuarios, junto con requisitos mnimos para la seguridad del equipo de trabajo. Todos los pases de Unin Europea estn promulgando sus propias formas de legislacin para implementar esta Directiva.

11

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Por ejemplo su implementacin en el Reino Unido bajo el nombre de Regulaciones sobre disposicin y uso de equipo de trabajo (conocido generalmente con la abreviatura P.U.W.E.R.). La forma de implementacin puede variar de un pas a otro, pero el efecto de la Directiva es el mismo. Los artculos de la Directiva proporcionan detalles de qu tipos de equipo y lugares de trabajo cubre por la Directiva. Tambin imponen deberes generales a los usuarios, como implementar sistemas seguros de trabajo y proporcionar equipos idneos y seguros que deben recibir el mantenimiento adecuado. Los operadores de las mquinas deben recibir informacin y formacin tcnica adecuadas para poder usar la mquina con toda seguridad. Las mquinas nuevas (y la maquinaria de segunda mano proveniente de pases fuera de la UE) suministradas despus del 1 de enero de 1993, deben satisfacer las directivas para productos pertinentes, por ej., la Directiva de maquinaria (sujeto a arreglos de transicin). Los equipos de segunda mano provenientes de pases dentro de la UE que se suministraron por primera vez en el lugar de trabajo deben satisfacer inmediatamente los requisitos mnimos proporcionados en el anexo de la Directiva Social. Nota: La maquinaria existente o de segunda mano que sea significativamente reacondicionada o modificada se clasifica como equipo nuevo, de manera que el trabajo que se realice en la misma debe asegurar el cumplimiento con la Directiva de maquinaria (aunque sea para el propio uso de la compaa). La idoneidad del equipo de trabajo es un requisito importante de la Directiva y resalta la responsabilidad del empleador de llevar a cabo un proceso adecuado de evaluacin de riesgos. Es un requisito que la maquinaria reciba el servicio de mantenimiento apropiado. Esto normalmente significa que debe haber un programa rutinario y planificado de mantenimiento preventivo. Se recomienda usar un registro y mantenerlo actualizado. Esto es especialmente importante en casos en los que el mantenimiento y la inspeccin del equipo contribuyen a la seguridad y a la integridad continua de un dispositivo o sistema protector. El Anexo de la Directiva Social. describe los requisitos generales mnimos aplicables al equipo de trabajo. Si el equipo cumple con las directivas del producto pertinentes, por ej., la Directiva de maquinaria, cumple automticamente con los requisitos de diseo de mquina dados en la seccin de requisitos mnimos del Anexo. Los estados miembros pueden emitir legislacin respecto al uso de equipo de trabajo ms all del mbito de los requisitos mnimos de la Directiva Social.

12

Reglamentos
Puede encontrar informacin detallada sobre el uso de la Directiva de equipos de trabajo en el sitio web oficial de la UE: http://europa.eu/legislation_summaries/employment_and_social_policy/health_ hygiene_safety_at_work/c11116_en.htm

SAFEBOOK 4

Regulaciones de los EE.UU.


Esta seccin presenta algunas de las regulaciones sobre seguridad de resguardos para mquinas industriales en los EE.UU. ste es slo un punto de inicio; los lectores deben investigar ms a fondo los requisitos de sus aplicaciones especficas y tomar medidas para asegurar que sus diseos, usos y procedimientos de mantenimiento y prcticas cumplan con sus propias necesidades, as como con los cdigos y las regulaciones locales y nacionales. Hay muchas organizaciones que promueven la seguridad industrial en los Estados Unidos. stas incluyen: 1. Corporaciones que usan requisitos establecidos y establecen sus propios requisitos internos; 2. La OSHA (Occupational Safety and Health Administration); 3. Organizaciones industriales tales como National Fire Protection Association (NFPA), Robotics Industries Association (RIA) y Association of Manufacturing Technology (AMT); y los proveedores de productos y soluciones de seguridad, como Rockwell Automation. Occupational Safety and Health Administration (OSHA) En los Estados Unidos, uno de los principales impulsores de la seguridad industrial es la OSHA. La OSHA fue establecida en 1970 por una Ley del Congreso de los EE.UU. El propsito de esta ley es proporcionar condiciones de trabajo saludables y de seguridad, y preservar los recursos humanos. La ley autoriza que el Secretario de Trabajo establezca normas de seguridad y salud ocupacional obligatorios aplicables a los negocios que afectan el comercio interestatal. Esta Ley se aplica con respecto al empleo realizado en un lugar de trabajo en un estado, el Distrito de Columbia, el Estado Asociado de Puerto Rico, las Islas Vrgenes, Samoa Americana, Guam, el territorio de las Islas del Pacfico, la Isla Wake, la Plataforma Continental Exterior, la Isla Johnson y la zona del canal. El Artculo 5 de la Ley establece los requisitos bsicos. Cada empleador debe proporcionar a cada uno de sus empleados empleo y un lugar de empleo sin peligros reconocidos que causen o pudieran causar la muerte o lesiones fsicas graves a sus empleados; y debe cumplir con las normas de seguridad y de salud ocupacional promulgados bajo esta Ley.

13

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


El Artculo 5 tambin establece que cada uno de los empleados debe cumplir con las normas de seguridad y de salud ocupacionales, y con todas las reglas, las regulaciones y las rdenes emitidas de conformidad con esta Ley, que sean aplicables a sus propias acciones y conducta. La ley de OSHA establece que la responsabilidad corresponde tanto al empleador como al empleado. Esto es muy diferente de la Directiva para maquinarias que requiere que los proveedores pongan en el mercado mquinas que no representen peligro. En los EE.UU., un proveedor puede vender una mquina sin ninguna proteccin. El usuario debe aadir la proteccin para que la mquina sea segura. Si bien sta era una prctica comn cuando se aprob la Ley, la tendencia es que los proveedores proporcionen mquinas con proteccin incorporada, ya que disear la seguridad incorporada en la mquina es mucho ms econmico que aadir la proteccin despus de que la mquina ha sido diseada y construida. La intencin de las normas ahora es tratar que el proveedor y el usuario se comuniquen mutuamente los requisitos de proteccin, de modo que las mquinas fabricadas sean no slo seguras sino ms productivas. El Secretario de Trabajo tiene la autoridad de promulgar como norma de seguridad o de salud ocupacional cualquier estndar de consenso y cualquier estndar federal, a menos que la promulgacin de dicho estndar no resulte en seguridad o salud mejorada para los empleados designados especficamente. OSHA lleva a cabo esta tarea publicando reglamentos en el Ttulo 29 del Cdigo de Reglamentos Federales (29 CFR). Las normas pertinentes a las mquinas industriales son publicadas por OSHA en la Parte 1910 de 29 CFR. stos estn disponibles libremente en el sitio web de OSHA en www.osha.gov. A diferencia de la mayora de las normas voluntarias, las normas de la OSHA son leyes. Algunas de las secciones importantes pertinentes a la seguridad de la mquina son: A B C H I J O R S Generalidades Adopcin y extensin de normas federales establecidas Disposiciones de seguridad y salud generales Materiales peligrosos Equipo de proteccin personal Controles ambientales generales incluye bloqueo-marcado de seguridad Maquinaria y barreras protectoras de maquinaria Sectores especiales Especificaciones elctricas

Algunas normas de OSHA se refieren a normas voluntarias. El efecto legal de incorporar por referencia es que el material se trata como si fuera publicado en su totalidad en el Registro Federal. Cuando una norma de consenso nacional se incorpora como referencia en una de las subpartes, dicha norma se considera ley.

14

Reglamentos
Por ejemplo, NFPA 70, norma voluntaria conocida como Cdigo Elctrico Nacional de los EE.UU., se referencia en la Subparte S. Esto hace que los requisitos de la norma NFPA 70 sean obligatorios. 29 CFR 1910.147, en la Subparte J, abarca el control de energa peligrosa. Esto se conoce como norma de bloqueo-marcado de seguridad. La norma voluntaria equivalente es ANSI Z244.1. En resumen, esta norma requiere que la alimentacin elctrica de la mquina se bloquee durante las tareas de servicio o mantenimiento. El propsito es evitar la activacin o puesta en marcha intempestiva de la mquina, misma que podra resultar en lesiones a los empleados. Los empleadores deben establecer un programa y utilizar procedimientos para bloquear o etiquetar de manera apropiada los dispositivos con el objeto de aislar la energa y, por otro lado, inhabilitar las mquinas o el equipo para evitar la activacin o la puesta en marcha inesperada, o la liberacin de energa almacenada a fin evitar lesiones a los empleados. Esta norma no abarca cambios ni ajustes menores de herramientas y otras actividades de servicio menores que se realizan durante las operaciones normales de produccin, si son tareas de rutina, repetitivas e integrales al uso del equipo de produccin, siempre y cuando el trabajo se realice usando medidas alternativas que proporcionen proteccin eficaz. Las medidas alternativas incluyen dispositivos de proteccin como cortinas de luz, tapetes de seguridad, enclavamiento de puertas protectoras y otros dispositivos similares conectados a un sistema de seguridad. El reto para el diseador y para el usuario de la mquina es determinar cules son las tareas menores y de rutina, repetitivas e integrales. La Subparte O abarca Maquinaria y proteccin de la maquinaria. Esta subparte enuncia requisitos generales para todas las mquinas, as como requisitos para algunas mquinas especficas. Cuando se constituy la OSHA en 1970, adopt muchas normas ANSI existentes. Por ejemplo, B11.1 en el caso de prensas de potencia mecnica fue adoptada como 1910.217. 1910.212 es la norma general de OSHA para mquinas. Establece que debe proporcionarse uno o ms mtodos de proteccin de mquina para proteger al operador y a otros empleados en el rea de la mquina contra peligros tales como los creados por el punto de operacin, puntos de atrapamiento, piezas giratorias, rebabas que salen disparadas y chispas. Siempre que sea posible, las resguardos deben incorporarse a la mquina, o deben fijarse de alguna otra manera si por alguna razn no es posible incorporarlas a la misma. La resguardo no debe representar un peligro de accidente por s misma. El punto de operacin es el rea de la mquina donde se realiza el trabajo relacionado con el material procesado. Debe protegerse el punto de operacin de

SAFEBOOK 4

15

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


una mquina cuya operacin expone a un empleado a sufrir lesiones. El dispositivo protector debe cumplir con las normas vigentes o, en ausencia de normas especficas aplicables, debe estar diseado y construido para evitar que el operador tenga ninguna parte de su cuerpo en la zona de peligro durante el ciclo de operacin. La Subparte S (1910.399) establece los requisitos elctricos de OSHA. Una instalacin o un equipo se considera aceptable por el Subsecretario de Trabajo y aprobado de acuerdo al significado de esta Subparte S, si ha sido aceptado, certificado, listado, etiquetado o de algn otro modo ha sido determinada su seguridad por parte de un laboratorio de pruebas reconocido a nivel nacional (NRTL). Qu es el equipo? Es un trmino general que incluye materiales, conexiones, dispositivos, artefactos, accesorios y similares, usados como parte de una instalacin elctrica o en conexin con sta. Qu significa Listado? Un equipo est listado si es de un tipo mencionado en una lista que (a) es publicada por un laboratorio reconocido a nivel nacional que realiza inspecciones peridicas de la produccin de tal equipo y (b) establece que dicho equipo cumple con normas reconocidas a nivel nacional o que ha sido probado y se ha determinado su seguridad para uso de manera especfica. A partir de agosto de 2009, las siguientes compaas son reconocidas por OSHA como laboratorios de prueba reconocidos a nivel nacional: Canadian Standards Association (CSA) Communication Certification Laboratory, Inc. (CCL) Curtis-Straus LLC (CSL) Aprobaciones legales FM LLC (FM) Intertek Testing Services NA, Inc. (ITSNA) MET Laboratories, Inc. (MET) NSF International (NSF) National Technical Systems, Inc. (NTS) SGS U.S. Testing Company, Inc. (SGSUS) Southwest Research Institute (SWRI) TUV America, Inc. (TUVAM) TUV Product Services GmbH (TUVPSG) TUV Rheinland of North America, Inc. (TUV) Underwriters Laboratories Inc. (UL) Wyle Laboratories, Inc. (WL)

Algunos estados han adoptados sus propias normas locales de la OSHA. Veinticuatro estados, Puerto Rico y las Islas Vrgenes tienen planes estatales aprobados por OSHA, y han adoptado sus propias normas y polticas de cumplimiento. En su mayor parte, estos estados adoptan normas idnticas a las federales de la OSHA.

16

Reglamentos
Sin embargo, algunos estados han adoptado distintas normas aplicables a este tema, o pueden tener polticas de cumplimiento diferentes. Las empresas deben reportar el historial de incidentes a la OSHA. OSHA compila las tasas de incidentes, transmite la informacin a las oficinas locales, y utiliza esta informacin para priorizar las inspecciones. Los impulsores de inspeccin clave son: Peligro inminente Catstrofes y fatalidades Quejas de empleados Sectores altamente peligrosos Inspecciones locales planificadas Inspecciones de seguimiento Programas nacionales y de enfoque local

SAFEBOOK 4

Las violaciones a las normas de la OSHA pueden resultar en multas. El detalle de las multas es: Grave: hasta $7000 por violacin No graves: a discrecin, pero no ms de $7000 Repetitivas: hasta $70.000 por violacin A sabiendas: hasta $70.000 por violacin Violaciones que resultan en muerte: multas adicionales No corregir la violacin: $7000/da

La tabla que figura a continuacin muestra las 14 citaciones principales de la OSHA desde octubre de 2004 hasta septiembre de 2005. Norma Descripcin 1910.147 Control de energa peligrosa (bloqueo-marcado de seguridad) 1910.1200 Comunicacin peligrosa 1910.212 Requisitos generales para todas las mquinas 1910.134 Proteccin respiratoria 1910.305 Mtodos de cableado, componentes y equipo de uso general 1910.178 Camiones industriales 1910.219 Transmisin de potencia mecnica 1910.303 Requisitos generales 1910.213 Maquinaria de carpintera 19102.215 Maquinaria de ruedas abrasivas 19102.132 Requisitos generales 1910.217 Prensas mecnicas 1910.095 Exposicin ocupacional a ruido 1910.023 Proteccin contra aberturas y agujeros en el suelo y las paredes

17

SAFEBOOK 4

Seguridad funcional de sistemas de control


Regulaciones canadienses
En Canad, la seguridad industrial se rige a nivel de provincias. Cada provincia tiene sus propias normativas que se deben mantener y respetar. Por ejemplo, Ontario ha establecido la Ley de seguridad y salud Ocupacional que establece los derechos y los deberes de todas las partes en el lugar de trabajo. Su principal propsito es proteger a los trabajadores contra peligros de seguridad y salud en el trabajo. La ley establece procedimientos para resolver los peligros en el lugar de trabajo y para hacer cumplir la ley cuando el cumplimiento no se realiza voluntariamente. Dentro de la Ley est la regulacin 851, seccin 7 que define la revisin de las normas de seguridad y salud antes del arranque. Esta revisin es un requisito obligatorio en Ontario para cualquier maquinaria nueva, reconstruida o modificada, y un ingeniero profesional debe generar el informe respectivo.

Normativa
Esta seccin proporciona una lista de algunas de las normas internacionales y nacionales tpicas pertinentes a la seguridad de la mquina. No tiene el objeto de ser una lista completa, sino de proporcionar informacin sobre asuntos de seguridad de maquinaria que estn sujetos a normalizacin. Esta seccin debe leerse junto con la seccin de Normativa. Muchos pases del mundo estn trabajando para lograr la armonizacin global de normas. Esto se observa de manera especial en el rea de seguridad de la mquina. Dos organizaciones rigen las normas globales de seguridad de maquinaria: ISO e IEC. Las normas regionales y de los pases todava existen y apoyan los requisitos locales, pero muchos pases se estn dirigiendo al uso de normas internacionales producidas por ISO e IEC. Por ejemplo, las normas EN (Norma Europea) se usan en todos los pases de la EEA. Todas las nuevas normas EN estn en lnea con las normas ISO e IEC, y en la mayora de casos tienen texto idntico. La IEC abarca asuntos electrotcnicos y la ISO trata otros asuntos. La mayora de pases industrializados son miembros de IEC y de ISO. Las normas de seguridad de maquinaria son escritas por grupos de trabajo formados por expertos de muchos pases. En la mayora de pases las normas pueden considerarse como voluntarias, mientras que las regulaciones son legalmente obligatorias. Sin embargo, las

18

Estndares
normas generalmente se usan como interpretacin prctica de las regulaciones. Por lo tanto, el entorno de las normas y de las regulaciones est estrechamente vinculado. Consulte el catlogo de seguridad disponible en: www.ab.com/safety para obtener una lista completa de normas. ISO (International Organization for Standardization) ISO es una organizacin no gubernamental formada por las entidades de normas nacionales de la mayora de los pases del mundo (157 pases al momento de impresin de este documento). Una secretara central situada en Ginebra, Suiza, coordina el sistema. ISO genera normas para disear, fabricar y usar maquinaria de manera ms eficiente, segura y limpia. Estas normas tambin facilitan y permiten que sea ms justo el comercio entre pases. Las normas de la ISO pueden identificarse por las letras ISO. Las normas para mquinas ISO estn organizadas de la misma manera que las normas EN, en tres niveles: Tipo A, B y C (consulte la seccin posterior en Normas Europeas Armonizadas EN). Para obtener ms informacin visite el sitio web de ISO: www.iso.org. IEC (International Electrotechnical Commission) La IEC prepara y publica normas internacionales para tecnologas elctricas, electrnicas y otras afines. A travs de sus miembros, la IEC promueve la cooperacin internacional en todos los temas de normalizacin electrotcnica y asuntos relacionados, tales como la evaluacin de conformidad con las normas electrotcnicas. Para obtener ms informacin visite el sitio web de IEC: www.iec/ch Normas Europeas Armonizadas de EN Estas normas son comunes a todos los pases de la EEA, y son producidas por las organizaciones de normalizacin europea CEN y CENELEC. Su uso es voluntario, pero el diseo y la fabricacin de equipos conforme a sus especificaciones es la manera ms directa de demostrar cumplimiento con los requisitos esenciales de seguridad y salud (RESS) de la directiva de maquinaria. Estn divididas en 3 tipos: Normas A, B y C.

SAFEBOOK 4

19

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


NORMAS Tipo A: Abarcan aspectos aplicables a todo tipo de mquinas. NORMAS Tipo B: Subdivididas en 2 grupos. NORMAS Tipo B1: Abarcan aspectos especficos de seguridad y ergonoma de maquinaria. NORMAS Tipo B2: Abarcan componentes y dispositivos de proteccin. NORMAS Tipo C: Abarcan tipos o grupos especficos de mquinas. Es importante notar que cumplir con una norma tipo C proporciona la suposicin automtica de conformidad con los requisitos esenciales de seguridad y salud (RESS). En ausencia de una norma tipo C adecuada, pueden usarse las normas tipos A y B como prueba parcial o total de conformidad con los requisitos esenciales de seguridad y salud (RESS), indicando el cumplimiento con las secciones pertinentes. Se han concertado acuerdos para lograr la colaboracin entre CEN/CENELEC y entidades tales como ISO e IEC. Eventualmente, esto debe resultar en la implementacin de normas comunes en todo el mundo. En la mayora de casos una norma EN tiene una contraparte en IEC o ISO. En general los dos textos son iguales y cualquier diferencia regional se expresa en referencia con la norma. Para obtener una lista completa de las normas de seguridad de maquinaria de EN visite: http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm.

Normas de los EE.UU.


Normas de OSHA Siempre que sea posible, OSHA promulga normas de consenso nacional o normas federales establecidas como normas de seguridad. Las disposiciones obligatorias (es decir la palabra implica obligatorio) de las normas, incorporadas por referencia, tienen el mismo vigor y efecto que las normas listadas en la Parte 1910. Por ejemplo, la norma de consenso nacional NFPA 70 se lista como documento de referencia en el Apndice A de la Subparte S-Elctrica de la Parte 1910 de 29 CFR. NFPA 70 es una norma voluntaria desarrollada por la National Fire Protection Association (NFPA). NFPA 70 se conoce tambin como Cdigo Elctrico Nacional (NEC). Por incorporacin, todos los requisitos mandatorios del NEC son mandatorios de OSHA. Normas de ANSI El American National Standards Institute (ANSI) sirve como administrador y coordinador del sistema de normalizacin voluntaria del sector privado de los Estados Unidos. Es una organizacin de miembros privada y sin fines de lucro, que cuenta con el apoyo de un grupo diverso de organizaciones de los sectores privado y pblico.

20

Estndares
ANSI no desarrolla normas, sino que facilita el desarrollo de stas mediante el establecimiento de consenso entre los grupos calificados. ANSI tambin asegura que los grupos calificados sigan los principios de abertura y consenso, y los procedimientos debidos. A continuacin se ofrece una lista parcial de normas de seguridad que pueden obtenerse por medio de. Estas normas estn categorizadas como normas de aplicacin o como normas de construccin. Las normas de aplicacin definen cmo aplicar un dispositivo de proteccin a la maquinaria. Algunos ejemplos incluyen ANSI B11.1, que proporciona informacin sobre el uso de resguardos de mquina en prensas mecnicas y ANSI/ RIA R15.06, que describe el uso de dispositivos de seguridad para proteccin de robots. National Fire Protection Association (NFPA) La National Fire Protection Association (NFPA) se organiz en 1896. Su misin es reducir el efecto de los incendios en la calidad de vida promoviendo cdigos y normas con base cientfica, as como investigacin y educacin sobre incendios y aspectos relacionados a la seguridad. La NFPA auspicia muchas normas para ayudar a llevar a cabo su misin. Dos normas muy importantes relacionadas con la seguridad industrial y con la proteccin son el Cdigo Elctrico Nacional (NEC) y la Normativa Elctrica para Maquinaria Industrial. La National Fire Protection Association ha actuado como patrocinador de la NEC desde 1911. El documento del cdigo original fue desarrollado en 1897 como resultado de los esfuerzos unidos de diversos intereses aliados en temas seguridad, electricidad y arquitectura. Desde entonces la NEC se ha actualizado muchas veces, y el contenido de su normativa se revisa cada tres aos. El Artculo 670 del NEC abarca algunos detalles sobre maquinarias industriales y refiere al lector a la Normativa Elctrica para Maquinaria Industrial, NFPA 79. NFPA 79 es aplicable a equipos elctricos/electrnicos, aparatos o sistemas de mquinas industriales que funcionan a un voltaje nominal de 600 volts o menor. El propsito de NFPA 79 es proporcionar informacin detallada para la aplicacin de equipos, aparatos o sistemas elctricos/electrnicos suministrados como parte de mquinas industriales que promueven la seguridad personal y de la propiedad. NFPA 79, adoptada oficialmente por ANSI en 1962, es muy similar en contenido a la Norma IEC 60204-1. Las mquinas que no estn incluidas en las normas especficas de la OSHA, no deben representar ninguna fuente de peligro reconocida que pudiera causar la muerte o lesiones personales graves. Estas mquinas deben disearse y mantenerse de manera que se satisfagan o se superen los requisitos de las normas industriales aplicables. NFPA 79 es una norma que se aplicara a las mquinas no especficamente cubiertas por las normas de OSHA.

SAFEBOOK 4

21

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Normas canadienses
Las normas CSA reflejan un consenso nacional de productores y usuarios, entre ellos fabricantes, consumidores, vendedores minoristas, sindicatos y organizaciones profesionales y entidades gubernamentales. Las normas son ampliamente usadas por la industria y el comercio, y a menudo son adoptadas en sus regulaciones por los gobiernos municipales, provinciales y federales, particularmente en los campos de salud, seguridad y construccin, as como medioambientales. Las personas, las compaas y las asociaciones en todo Canad demuestran su apoyo al desarrollo de normas de la CSA ofreciendo de manera voluntaria su tiempo y conocimientos para el trabajo que realiza el Comit de la CSA y apoyando los objetivos de la Asociacin. El total de miembros de la CSA est formado por ms de 7000 voluntarios de comits y 2000 asociados. El Standards Council of Canada es la entidad coordinadora del Sistema de Normas Nacionales, una federacin de organizaciones independientes y autnomas que trabajan para el desarrollo y la mejora de la normalizacin voluntaria a favor de los intereses nacionales.

Normas australianas
La mayora de estas normas est en lnea con las normas de ISO/IEC/EN equivalentes. Standards Australia Limited 286 Sussex Street, Sydney, NSW 2001 Telfono: +61 2 8206 6000 Correo electrnico: mail@standards.org.au Sitio web: www.standards.org.au Para comprar copias de las normas: SAI Global Limited 286 Sussex Street, Sydney, NSW 2001 Telfono: +61 2 8206 6000 Fax: +61 2 8206 6001 Correo electrnico: mail@sai-global.com Sitio web: www.saiglobal.com/shop Consulte el catlogo de seguridad disponible en: www.ab.com/safety para obtener una lista completa de normas.

22

Estrategia de seguridad
Estrategia de seguridad
Desde un punto de vista puramente funcional, es mejor que una mquina realice su tarea de procesar material de la manera ms eficiente posible. Pero para que una mquina sea viable, tambin debe ser segura. De hecho, la seguridad debe ser una consideracin principal. Para desarrollar una estrategia de seguridad adecuada existen dos pasos que funcionan coordinadamente, como se muestra a continuacin.

SAFEBOOK 4

EVALUACIN DE RIESGOS
Identifique todas las mquinas en el lugar de trabajo Luego, por cada mquina Consulte la informacin y experiencia pertinentes LMITES DE LA MQUINA Puede usted prever todas las situaciones posibles de operacin y uso de la mquina?

NO

S
IDENTIFICACIN DE RIESGOS Identifique cada situacin de peligro Entonces, por cada peligro

ESTIMACIN DE RIESGOS
Calcule el nivel de riesgo debido al peligro

REDUCCIN DEL RIESGO


EVALUACIN DE RIESGOS Es aceptable el nivel de riesgo?
Se han analizado las medidas de seguridad y se hacomprobado que son adecuadas?

NO

Solucione la situacin de peligro mediante un proceso de rediseo o medidas adicionales Determine si el desempeo y las caractersticas funcionales de la medida de seguridad son apropiadas para la mquina y su uso

NO

S
FIN DEL PROCESO

ESTRATEGIA DE SEGURIDAD

23

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


EVALUACIN DE RIESGOS basada en el claro entendimiento de los lmites y de las funciones de la mquina y las tareas que pueden requerirse en la mquina durante el transcurso de su vida til. Luego se procede a la REDUCCIN DE RIESGOS, de ser necesario, y se seleccionan medidas de seguridad en base a la informacin derivada de la etapa de evaluacin de riesgos. La manera en que esto se ha realizado es la base de la ESTRATEGIA DE SEGURIDAD de la mquina. Necesitamos seguir una lista de verificacin y asegurar que todos los aspectos estn considerados y que el principio que debe prevalecer no se pierda en los detalles. Todo el proceso debe documentarse. Esto no slo asegura un trabajo ms minucioso, sino que tambin permite que los resultados estn disponibles para que sean verificados por terceros. Esta seccin se aplica tanto a los fabricantes como a los usuarios de la mquina. El fabricante debe asegurar que su mquina pueda usarse de manera segura. La evaluacin de riesgos debe comenzar en la fase de diseo de la mquina y debe considerar todas las tareas previsibles que debern realizarse en la mquina. Esta estrategia basada en tareas en las etapas tempranas de la evaluacin de riesgos es muy importante. Por ejemplo, puede haber la necesidad frecuente de ajustar las piezas mviles de la mquina. En la fase de diseo debe ser posible disear medidas que permitan realizar este procedimiento de manera segura. Si stas se omiten en una etapa temprana puede ser difcil o imposible implementarlas en una etapa posterior. Como resultado, los ajustes de las piezas mviles probablemente todava necesiten realizarse pero tendran que realizarse de manera arriesgada o ineficiente (o ambas). Una mquina cuyas tareas han sido consideradas en su totalidad durante la evaluacin de riesgos es una mquina ms segura y ms eficiente. El usuario necesita asegurar que las mquinas en su entorno de trabajo sean seguras. Incluso si una mquina ha sido declarada segura por el fabricante, el usuario de la mquina debe realizar una evaluacin de riesgos para determinar si el equipo es seguro en su propio entorno. A menudo las mquinas se usan en circunstancias no previstas por el fabricante. Por ejemplo, una mquina fresadora usada en el taller de un colegio necesita consideraciones adicionales con respecto a una que se usa en una sala de herramientas industriales. Tambin debe recordarse que si una compaa usuaria adquiere dos o ms mquinas independientes y las integra en un proceso, ellos resultan ser los fabricantes de la mquina combinada. Por lo tanto, consideremos ahora los pasos esenciales para obtener una estrategia de seguridad apropiada. Lo siguiente puede aplicarse a una instalacin de fbrica existente o a una sola mquina nueva.

24

Estrategia de seguridad
Evaluacin de riesgos
Es un error considerar la evaluacin de riesgos como una carga. Es un proceso til que proporciona informacin vital y que permite que el usuario o el diseador tomen decisiones lgicas acerca de las maneras de lograr la seguridad. Hay varias normas que abarcan este tema. ISO 14121: Principios de la evaluacin de riesgos e ISO 12100: Seguridad de la mquina Principios bsicos contiene orientacin que se aplica de manera ms global. Cualquiera que sea la tcnica usada para llevar a cabo la evaluacin de riesgos, un equipo de personas provenientes de diversas reas generalmente produce un resultado con cobertura ms amplia y mejor equilibro que una sola persona. La evaluacin de riesgos es un proceso reiterativo; se realiza en distintas etapas del ciclo de vida de la mquina. La informacin disponible vara de acuerdo a la etapa del ciclo de vida. Por ejemplo, una evaluacin de riesgos realizada por un constructor de mquinas tiene acceso a cada detalle de los mecanismos de la mquina y a los materiales de construccin, pero probablemente una suposicin slo aproximada del entorno de trabajo en que se usa la mquina. Una evaluacin de riesgos realizada por el usuario de la mquina no necesariamente tendra acceso a los detalles tcnicos minuciosos, pero tiene acceso a todos los detalles del entorno de trabajo de la mquina. Lo ideal es que el resultado de una accin repetitiva sirva de aporte al siguiente proceso. Determinacin de lmites de la mquina Incluye recolectar y analizar informacin respecto a las piezas, los mecanismos y las funciones de una mquina. Tambin es necesario considerar todos los tipos de interaccin humana con la mquina y el entorno donde funciona la mquina. El objetivo es obtener un entendimiento claro de la mquina y sus usos. En los casos en que mquinas independientes estn vinculadas ya sea mecnicamente o por sistemas de control, stas deben considerarse como una sola mquina, a menos que estn zonificadas por medidas de proteccin apropiadas. Es importante considerar todas las limitaciones y las etapas de la vida de una mquina, includa instalacin, puesta en servicio, mantenimiento, desmantelamiento, correcto uso y operacin as como las consecuencias del mal uso o mal funcionamiento razonablemente previsible.

SAFEBOOK 4

25

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Identificacin de tareas y peligros Todos los peligros de la mquina deben identificarse y listarse en trminos de su naturaleza y ubicacin. Los tipos de peligro incluyen trituracin, corte, enredo, expulsin de piezas, vapores, radiacin, substancias txicas, calor, ruido, etc. Los resultados del anlisis de tareas debe compararse con los resultados de la identificacin de peligros. Esto muestra dnde existe la posibilidad de convergencia de un peligro con una persona, es decir, una situacin peligrosa. Todas las situaciones peligrosas deben listarse. Podra ser que el mismo peligro pueda producir diferentes tipos de situaciones peligrosas, segn la naturaleza de la tarea o de la persona. Por ejemplo, la presencia de un tcnico de mantenimiento muy diestro y con alta formacin tcnica puede tener diferentes implicaciones que la presencia de un encargado de limpieza no calificado y sin conocimientos de la mquina. En esta situacin, si cada caso es listado y tratado por separado puede ser posible justificar diferentes medidas de proteccin para el tcnico de mantenimiento que para el encargado de limpieza. Si los casos no se listan y tratan por separado, entonces debe utilizarse el peor de los casos, y el tcnico de mantenimiento y el encargado de limpieza quedan cubiertos por la misma medida de proteccin. Algunas veces es necesario llevar a cabo una evaluacin de riesgos general sobre una mquina existente que ya tiene medidas protectoras (por ejemplo, una mquina con piezas mviles peligrosas protegida por una puerta con resguardo de enclavamiento). Las piezas mviles constituyen un peligro potencial que puede convertirse en un peligro real en el caso de fallo del sistema de enclavamiento. A menos que el sistema de enclavamiento ya haya sido validado (por ejemplo, por medio de una evaluacin de riesgos o diseo conforme a una norma apropiada), su presencia no debe considerarse. Estimacin de riesgos ste es uno de los aspectos ms fundamentales de la evaluacin de riesgos. Existen muchas maneras de abordar este tema, y las siguientes pginas ilustran los principios bsicos. Cualquier mquina que tenga un potencial de situaciones peligrosas presenta un riesgo de evento peligroso (es decir, dao). Cuanto mayor sea el riesgo, ms importante es hacer algo al respecto. En un peligro el riesgo podra ser tan pequeo que podramos tolerarlo y aceptarlo, pero en otro peligro el riesgo podra ser tan alto que necesitaramos tomar medidas extremas para brindar proteccin. Por lo tanto, para tomar una decisin respecto a si hacer algo y qu hacer para evitar el riesgo, necesitamos cuantificarlo.

26

Estrategia de seguridad
El riesgo a menudo se considera nicamente en trminos de la severidad de la lesin en caso de accidente. Debe tenerse en consideracin la gravedad de la lesin potencial Y la probabilidad de su ocurrencia para calcular la magnitud de riesgo presente. La sugerencia para calcular riesgos proporcionada en las siguientes pginas no se ofrece como mtodo definitivo, ya que las circunstancias individuales pueden indicar la necesidad de seguir algn otro mtodo. HA SIDO DISEADA NICAMENTE COMO PAUTA GENERAL PARA FOMENTAR EL USO DE UNA ESTRUCTURA METDICA Y DOCUMENTADA. El sistema de puntos usado no ha sido evaluado en ningn tipo de aplicacin en especial; por lo tanto es posible que no sea adecuado para algunas aplicaciones. El documento ISO TR (Informe tcnico) 14121-2 Evaluacin de riesgos Orientacin prctica y ejemplos de mtodos proporciona orientacin prctica muy til, y muestra algunos mtodos diferentes para cuantificar los riesgos. Los siguientes factores se tienen en consideracin: GRAVEDAD DE UNA LESIN POTENCIAL. PROBABILIDAD DE SU OCURRENCIA. La probabilidad de la ocurrencia incluye dos factores: FRECUENCIA DE EXPOSICIN. PROBABILIDAD DE LESIN. Trataremos cada factor independientemente, y asignaremos valores a cada uno de estos factores. Use todos los datos y las experiencias disponibles. Puesto que est tratando con todos las etapas de la vida til de la mquina, y para evitar excesiva complejidad, base sus decisiones en el peor de los casos para cada factor. Tambin es importante usar el sentido comn. Las decisiones deben tener en consideracin lo que es factible, realista y posible. Es aqu donde es valioso el enfoque de un equipo que incluya miembros de diversas reas. Recuerde que para el propsito de este ejercicio, usted normalmente no debe tener en consideracin ningn sistema protector existente. Si esta estimacin de riesgos muestra que se requiere un sistema de proteccin, existen algunas metodologas mostradas posteriormente en este captulo que pueden ser tiles para determinar las caractersticas requeridas.

SAFEBOOK 4

27

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


1. Gravedad de una lesin potencial Para esta consideracin estamos asumiendo que ha ocurrido un accidente o incidente, quizs como resultado del peligro. Un estudio cuidadoso de la fuente de peligro revela cul es la lesin ms grave posible. Recuerde: Para esta consideracin estamos suponiendo que una lesin es inevitable y slo estamos preocupados por su gravedad. Debe suponer que el operador est expuesto al movimiento o proceso peligroso. La gravedad de la lesin debe evaluarse como:

10 6 3 1
Menor Grave Mayor Fatal

FATAL: Muerte MAYOR: (Normalmente irreversible) Incapacidad permanente, prdida de la vista, amputacin de extremidad, dao respiratorio... GRAVE: (Normalmente reversible) Prdida del conocimiento, quemaduras, roturas... MENOR: Magulladuras, cortes, abrasiones ligeras... A cada descripcin se le asigna el valor de puntos mostrado.

Puntos asignados a la gravedad

2. Frecuencia de exposicin La frecuencia de exposicin responde a la pregunta de con qu frecuencia est expuesto al peligro el operador o la persona a cargo de mantenimiento. La frecuencia de exposicin al peligro puede clasificarse como:

4 1
Infrecuente

2
Ocasional Frecuente

FRECUENTE: Varias veces al da. OCASIONAL: Diariamente. INFRECUENTE: Semanalmente o menos. A cada descripcin se le asigna el valor de puntos mostrado.

Puntos asignados a la frecuencia de exposicin

28

Estrategia de seguridad
3. Probabilidad de lesin Debe suponer que el operador est expuesto al movimiento o proceso peligroso. Al considerar la manera en la que el operador est involucrado con la mquina y otros factores (velocidad de arranque, por ejemplo), la probabilidad de lesin puede clasificarse como:

SAFEBOOK 4

6 4 1 2
Probable Segura

IMPROBABLE PROBABLE POSIBLE SEGURA

A cada descripcin se le asigna el valor de puntos mostrado.

Improbable Posible

untos asignados a la frecuencia de exposicin

Se asigna un valor a todos los encabezados y se suman para obtener un clculo inicial. La suma de los tres componentes llega a un valor de 13. Pero debemos considerar algunos factores adicionales. (Nota: Esto no se basa necesariamente en las ilustraciones de los ejemplos previos). El siguiente paso es ajustar el clculo inicial considerando factores adicionales tales como los indicados en la siguiente tabla. A menudo stos slo pueden considerarse correctamente cuando la mquina est instalada en su ubicacin permanente. Factor tpico Ms de una persona estn expuestas al peligro Tiempo prolongado en la zona de peligro sin aislamiento completo de la alimentacin elctrica El operador es inexperto o no tiene la formacin tcnica requerida Accin sugerida Multiplique el factor de gravedad por el nmero de personas Si el tiempo de cada acceso es ms de 15 minutos, agregue 1 punto al factor de frecuencia Agregue 2 puntos al total

Intervalos muy largos (por ej., 1 ao) entre Aada puntos equivalentes al mximo accesos. (Puede haber fallos progresivos factor de frecuencia y no detectados, especialmente en los sistemas de monitorizacin.)
Consideraciones adicionales para la estimacin de riesgos

29

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Los resultados de los factores adicionales se suman al total previo, tal como se muestra.

20 18 16 14

20 18 16

1 6

12 10 8 6

2 1 6

14 12 10 8 6

4 2
Valor final sin ajustes

4 2
Valor final con ajustes

Reduccin de riesgos
Ahora debemos considerar cada mquina y sus riesgos respectivos, y tomar medidas para solucionar todos sus peligros. La siguiente tabla es una sugerencia para parte de un proceso documentado que considera todos los aspectos de seguridad de la maquinaria en uso. Debe usarse como gua para los usuarios de maquinaria, pero los fabricantes o proveedores de mquinas tambin pueden usar el mismo principio para confirmar que todo el equipo haya sido evaluado. Tambin acta como ndice para informes ms detallados sobre la evaluacin de riesgos. Muestra que cuando una mquina lleva la marcado CE, simplifica el proceso porque los peligros de la mquina ya fueron evaluados por el fabricante y se han tomado todas las medidas necesarias. Incluso con equipo marcado con el distintivo CE es posible que hayan peligros debido a la naturaleza de la aplicacin o al material que se est procesando, lo cual no fue previsto por el fabricante.

30

Estrategia de seguridad
Compaa MAYKIT WRIGHT LTD Instalacin Sala de herramientas Fbrica del Este. Fecha 8/29/95 Perfil del operador hbil
Identificacin y fecha del equipo Cumplimiento con directiva Evaluacin de Historial de Notas riesgos Nmero accidentes de informe Identificacin del peligro Tipo de peligro Accin requerida Implementado e inspeccionado Referencia

SAFEBOOK 4

Torno central Bloggs. Ninguno N.o de serie 8390726 declarado Instalado en 1978

RA302

Ninguno

Rotacin del El equipo elctrico cumple con la norma BS mandril con la EN 60204 sobre paradas guarda abierta de emergencia acopladas (reemplaz. en 1989) Fluido cortante Limpiezas de rebabas

Corte por atasco mecnico

Acoplar interruptor de enclavamiento de guarda

11/25/94 J Kershaw Informe N.o 9567

Txico Corte

Cambiar a tipo no txico Suministrar guantes

11/30/94 J Kershaw Informe Nm. 9714 11/30/94 J Kershaw Informe N.o 9715 4/13/95 J Kershaw Informe N.o 10064

Molino con cabezal de Dir. M/c torreta Bloggs m/c Dir. EMC N.o de serie.17304294 Fabricado en 1995 Instalado en mayo 95

RA416

Ninguno

Movimiento de plataforma (hacia la pared)

Trituracin

Mover mquina para dar suficiente espacio libre

Jerarqua de medidas de reduccin de riesgos Existen tres mtodos bsicos que deben considerarse y usarse en el siguiente orden: 1. Eliminar o reducir riesgos en la medida de lo posible (diseo y construccin de mquina inherentemente segura). 2. Instalar los sistemas y las medidas de proteccin necesarios (por ejemplo, resguardos de enclavamiento, cortinas de luz, etc.) en relacin con los riesgos que no pueden ser eliminados por diseo. 3. Informar a los usuarios respecto a riesgos residuales debidos a deficiencias de las medidas de proteccin adoptadas; indicar si se requiere formacin tcnica en particular y especificar la necesidad de proporcionar equipo de proteccin personal. Cada medida de la jerarqua debe considerarse, empezando por la ms importante, y usarse siempre que sea posible. Esto generalmente resulta en el uso de una combinacin de medidas. Diseo inherentemente seguro En la fase de diseo de la mquina es posible evitar muchos de los posibles peligros simplemente mediante una consideracin cuidadosa de factores tales como materiales, requisitos de acceso, superficies calientes, mtodos de transmisin, puntos de atrapamiento, niveles de voltaje, etc. Por ejemplo, si no se requiere acceso a un rea peligrosa, la solucin es protegerla dentro del cuerpo de la mquina o por algn tipo de resguardo de aislamiento fija.

31

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Sistemas y medidas de proteccin Si se requiere acceso, entonces las cosas se complican un poco. Es necesario asegurar que slo pueda obtenerse acceso mientras la mquina est en condicin de seguridad. Se requieren medidas de proteccin tales como puertas de resguardo enclavadas y/o sistemas de disparo. La seleccin del dispositivo o sistema depende significativamente de las caractersticas de operacin de la mquina. Esto es extremadamente importante ya que un sistema que menoscaba la eficiencia de la mquina tiene el riesgo de que sea retirado o anulado sin autorizacin. La seguridad de la mquina en este caso depende del uso apropiado y de la correcta operacin del sistema de proteccin incluso en condiciones de fallo. Ahora debe considerarse la correcta operacin del sistema. Dentro de cada tipo es posible que haya una variedad de tecnologas con diversos grados de rendimiento de la monitorizacin, deteccin o prevencin de fallos. En condiciones ideales, todo sistema de proteccin sera perfecto sin posibilidades de fallo ni condiciones peligrosas. Sin embargo, en el mundo real, estamos restringidos por los lmites actuales de conocimientos y materiales. Otra restriccin muy real son los costes. Debido a estos factores, es obvio que se requiere sentido de proporcin. El sentido comn nos indica que sera ridculo insistir en que la integridad de un sistema de seguridad de una mquina que puede causar, en el peor de los casos, magulladuras leves, sea igual a la integridad de un sistema requerido para mantener un avin en el aire. Las consecuencias de un fallo son drsticamente diferentes y, por lo tanto, necesitamos tener alguna manera de relacionar el grado de las medidas de proteccin con el nivel de riesgo obtenido en la etapa de estimacin de riesgos. Independientemente del tipo de dispositivo protector seleccionado debe recordarse que un sistema de mando relativo a la seguridad puede contener muchos elementos, entre ellos el dispositivo protector, el cableado, el dispositivo de conmutacin de alimentacin elctrica y algunas veces partes del sistema de control operativo de la mquina. Todos estos elementos del sistema (incluido resguardos, montaje, cableado, etc.) deben tener caractersticas de rendimiento apropiadas pertinentes a sus principios y tecnologa de diseo. IEC/EN 62061 y EN ISO 13849-1 clasifican niveles jerrquicos de rendimiento para las partes de los sistemas de control relacionadas a la seguridad, y proporcionan mtodos de evaluacin de riesgos en sus anexos para determinar los requisitos de integridad para un sistema de proteccin. EN ISO 13849-1:2008 proporciona un grfico de riesgos mejorado en su Anexo A.

32

Estrategia de seguridad
Nivel de rendimiento, PLr P1 F1 S1 F2 Arranque F1 S2 F2 P2 P1 P2 P1 P2 P1 Contribucin a Reduccin del riesgo

SAFEBOOK 4

a b c d

Bajo

P2 e S = Severidad F = Frecuencia o duracin de la exposicin P = Probabilidad de evitar Debe determinarse para cada funcin de seguridad!

Alto

IEC 62061 tambin proporciona un mtodo en su Anexo A, el cual tiene el formato mostrado a continuacin.
N.o de documento:

Evaluacin de riesgos y medidas de seguridad


Producto: Emitido por: Fecha:
Consecuencias Severidad Se

Parte de: Evaluacin previa de riesgos Evaluacin intermedia de riesg Evaluacin de riesgos de seg

rea negra = Requiere medidas de seguridad rea gris = Medidas de seguridad recomendadas

Muerte, prdida de un ojo o brazo Permanente, prdida de dedo Reversible, atencin mdica Reversible, primeros auxilios 1

4 3 2

34 SIL 2

57 SIL 2 OM

Clase Cl 8 10 11 13 14 15 SIL 2 SIL 3 SIL 3 SIL 1 SIL 2 SIL 3 OM SIL 1 SIL 2 OM SIL 1

Frecuencia y duracin, Fr

Probabilidad de evento de peligro Pr

Evita

<= 1 hora > 1 h <=da


>1da <= 2semanas
> 2semanas <= 1 ao

> 1 ao
N.o ser. N.o peligro

5 5 4 3 2

Comn 5 Probable 4 Posible 3 Raramente 2 Insignificante 1 Medida de seguridad

Impo Pos Prob

Peligro

Se

Fr

Pr

Av

Cl

Comentarios

El uso de cualquiera de los mtodos anteriores debe proporcionar resultados equivalentes. Cada mtodo est diseado para considerar el contenido detallado de la norma a la cual pertenece.

33

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


En ambos casos es muy importante que se use la orientacin provista en el texto de la norma. La tabla o el grfico de riesgos no debe usarse de manera aislada o excesivamente simplista. Evaluacin Despus de seleccionar la medida de proteccin y antes de implementarla, es importante repetir la estimacin de riesgo. ste es un procedimiento que a menudo se omite. Puede darse el caso de que si instalamos una medida de proteccin, el operador de la mquina pudiese sentir que est total y completamente protegido contra el riesgo previsto. Puesto que ya no tiene la concientizacin original del peligro puede intervenir en la mquina de manera diferente. Quizs quede expuesto al peligro con mayor frecuencia o acceda al interior de la mquina repetidamente. Esto significa que si la medida de proteccin falla, exista mayor riesgo que el previsto anteriormente. ste es el riesgo real que debemos calcular. Por lo tanto, la estimacin de riesgo debe repetirse teniendo en cuenta cualquier cambio previsto en la manera en que el personal pueda intervenir en la mquina. El resultado de esta actividad se usa para verificar si las medidas de proteccin propuestas son, de hecho, apropiadas. Para obtener mayor informacin se recomienda leer el Anexo A del IEC/EN 62061. Formacin tcnica, equipo protector personal, etc. Es importante que los operadores tengan la formacin tcnica necesaria en los mtodos de trabajo seguro de una mquina. Esto no significa que deban omitirse otras medidas. No es aceptable simplemente indicarle a un operador que no debe acercarse a las reas peligrosas (como alternativa de proteccin). Tambin puede ser necesario que el operador use equipos como guantes especiales, gafas de proteccin, mscaras, etc. El diseador de la maquinaria debe especificar el tipo de equipo requerido. El uso de equipo de proteccin personal generalmente no constituye el mtodo de proteccin principal, sino que complementa las medidas indicadas anteriormente. Normas Muchas normas e informes tcnicos proporcionan orientacin para la evaluacin de riesgos. Algunos se escriben para aplicacin amplia y otros para aplicaciones especficas. La siguiente es una lista de normas que incluye informacin sobre la evaluacin de riesgos. ANSI B11.TR3: Evaluacin de riesgos y reduccin de riesgos Gua para calcular, evaluar y reducir riesgos asociados con mquinas herramienta.

34

Estrategia de seguridad
ANSI PMMI B155.1: Requisitos de seguridad para maquinaria de envasado y maquinaria de conversin relacionada al envasado. ANSI RIA R15.06: Requisitos de seguridad para robots y sistemas robticos industriales. AS 4024.1301-2006: Principios de la evaluacin de riesgos CSA Z432-04: Proteccin de maquinaria. CSA Z434-03: Robots y sistemas robticos industriales Requisitos de seguridad generales. IEC/EN 61508: Seguridad funcional de sistemas relacionados con la seguridad elctrica, electrnica y electrnica programable. IEC/EN 62061: Seguridad de maquinaria: seguridad funcional de sistemas de control relacionados con la seguridad elctrica, electrnica y electrnica programable. EN ISO 13849-1: Seguridad de las Mquinas: Partes de los Sistemas de Mando Relativas a la Seguridad. EN ISO 14121-1: Principios de evaluacin de riesgos. ISO TR 14121-2: Evaluacin de riesgos: orientacin prctica y ejemplos de mtodos.

SAFEBOOK 4

Medidas de proteccin y equipo complementario


Cuando la evaluacin de riesgos muestra que una mquina o que un proceso tiene el riesgo de causar lesiones personales, la fuente de peligro debe eliminarse o minimizarse. La manera de hacer esto depende del tipo de mquina y de la fuente de peligro. Medidas protectoras en combinacin con resguardos de proteccin evitan ya sea el acceso a un rea de peligro o movimientos peligrosos en un rea peligrosa cuando es posible el acceso. Ejemplos tpicos de medidas de proteccin son resguardos enclavadas, cortinas de luz, tapetes de seguridad, control con las dos manos y dispositivos de validacin. Los sistemas y los dispositivos de parada de emergencia estn asociados con sistemas de control relacionados a la seguridad, pero no son sistemas de proteccin directa, slo deben considerarse como medidas de proteccin complementarias.

35

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Cmo evitar el acceso con resguardos de aislamiento fijas Si la fuente de peligro se encuentra en una parte de la mquina que no requiere acceso, debe contar con una resguardo fija permanente en la maquinaria. Estos tipos de resguardos deben requerir herramientas para su desinstalacin. Las resguardos fijas deben 1) resistir su entorno de operacin, 2) contener proyectiles si es necesario y 3) no crear peligros mediante bordes puntiagudos, por ejemplo. Es posible que las resguardos fijas tengan aberturas donde la resguardo se acopla con la maquinaria o debido a un envolvente tipo malla. Las ventanas proporcionan una manera conveniente de monitorizar el rendimiento de la mquina, cuando permiten acceso a una seccin de la misma. Se debe tener en cuenta el material usado, ya que la interaccin qumica con fluidos cortantes, los rayos ultravioleta o el simple envejecimiento causan que los materiales de las mismas se degraden con el transcurso del tiempo. El tamao de las aberturas debe impedir que el operador llegue al peligro. Las tablas O-10 de U.S. OHSA 1910.217 (f) (4), ISO 13854, D-1 de ANSI B11.19, 3 de CSA Z432 y AS4024.1 dan orientacin sobre la distancia apropiada a las piezas de riesgo a la que debe estar una abertura especfica. Deteccin de acceso Se pueden utilizar medidas de proteccin para detectar el acceso a una zona de peligro. Cuando se selecciona la deteccin como mtodo de reduccin de riesgos, el diseador debe entender que debe usarse un sistema de seguridad completo; el dispositivo de proteccin, por s mismo, no proporciona la reduccin de riesgo necesaria. Este sistema de seguridad generalmente consta de tres bloques: 1) un dispositivo de entrada que detecta el acceso al peligro, 2) un dispositivo lgico que procesa las seales del dispositivo detector, verifica el estado del sistema de seguridad y activa o desactiva los dispositivos de salida, y 3) un dispositivo de salida que controla el accionamiento (por ejemplo, un motor).

Dispositivos de deteccin
Muchos dispositivos alternativos estn disponibles para detectar la presencia de una persona que entra o que est dentro del rea peligrosa. La mejor opcin para una aplicacin en particular depende de una serie de factores. Frecuencia de acceso; Tiempo de parada del peligro; Importancia de completar el ciclo de la mquina, y Contencin de proyectiles, fluidos, nubes txicas, vapores, etc.

36

Medidas de proteccin y equipo


Las resguardos mviles seleccionadas de manera adecuada pueden enclavarse para proporcionar proteccin contra proyectiles, fluidos, nubes txicas y otros tipos de peligros, y a menudo se usan cuando el acceso al peligro es poco frecuente. Las resguardos de enclavamiento tambin pueden bloquearse para evitar el acceso mientras la mquina est dentro del ciclo y cuando la mquina requiera tiempo prolongado para detenerse. Los dispositivos de deteccin de presencia, como cortinas de seguridad, tapetes sensibles y escneres, proporcionan acceso rpido y fcil al rea de peligro y generalmente se seleccionan cuando los operadores deben tener acceso frecuente al rea de peligro. Estos tipos de dispositivos no proporcionan proteccin contra proyectiles, nubes txicas, fluidos u otros tipos de peligros. La mejor seleccin de medida de proteccin es un dispositivo o sistema que proporcione la mxima proteccin con la mnima obstruccin a la operacin normal de la mquina. Todos los aspectos del uso de la mquina deben considerarse, ya que la experiencia demuestra que es ms probable que un sistema difcil de usar sea retirado o pasado por alto. Dispositivos de deteccin de presencia Cuando se decide cmo proteger una zona o un rea, es importante comprender claramente qu funciones de seguridad se requieren exactamente. En general habr por lo menos dos funciones. Desactivar o desconectar la alimentacin elctrica cuando una persona entra al rea de peligro. Evitar activar o conectar la alimentacin elctrica cuando una persona est en el rea de peligro. En un inicio podra parecer que estas dos funciones son lo mismo, pero aunque obviamente estn vinculadas y generalmente son realizadas por el mismo equipo, en realidad son dos funciones distintas. Para lograr el primer punto, necesitamos usar alguna forma de dispositivo de disparo. En otras palabras, un dispositivo que detecte que una parte de una persona ha pasado ms all de un punto especfico y que proporcione una seal para desconectar la alimentacin elctrica. Si la persona puede entonces continuar pasado este punto de disparo y su presencia ya no es detectada, entonces puede que no se logre el segundo punto (evitar la activacin).

SAFEBOOK 4

37

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Punto de disparo: Inicio de deteccin Fin de deteccin Punto de disparo: Inicio de deteccin Detectado Detectado No detectado

Peligro Peligro

Acceso de cuerpo completo

Acceso de cuerpo parcial

El siguiente diagrama muestra un ejemplo de acceso del cuerpo completo con una cortina de seguridad montada verticalmente como dispositivo de disparo. Las puertas de resguardo enclavadas tambin pueden considerarse como dispositivo slo de disparo, cuando no haya nada que evite que la puerta se cierre despus de la entrada. Si el acceso de todo el cuerpo no es posible y, por lo tanto, una persona no puede continuar ms all del punto de disparo, su presencia siempre es detectada y se logra el segundo punto (evitar la activacin). Para aplicaciones con acceso parcial del cuerpo, los mismos tipos de dispositivos realizan deteccin de presencia y de disparo. La nica diferencia es el tipo de aplicacin. Los dispositivos de deteccin de presencia se usan para detectar la presencia de personas. La familia de dispositivos incluye cortinas de luz de seguridad, cortinas de luz de seguridad de un solo haz, escneres de rea de seguridad, tapetes sensibles de seguridad y bordes de seguridad. Cortinas de luz de seguridad Las cortinas de luz de seguridad son detectores fotoelctricos de presencia diseados especficamente para proteger al personal contra lesiones relacionadas al movimiento peligroso de la mquina. Conocidas tambin como AOPD (dispositivos de proteccin optoelectrnica activa) o ESPE (equipo protector electrosensible) las cortinas de luz ofrecen seguridad ptima, permiten mayor productividad y son la solucin ms ergonmica en comparacin con las resguardos mecnicas. Son ideales para aplicaciones en las que el personal debe obtener acceso fcilmente y con frecuencia a un punto de operacin que presenta algn tipo de peligro. Las cortinas de luz estn diseadas y probadas para cumplir con las normas IEC 61496-1 y -2. No hay una versin EN armonizada de la parte 2, por lo que el Anexo IV de la Directiva de maquinaria europea requiere de certificacin de otros fabricantes de cortinas de luz previo a colocarlas en el mercado en la Comunidad

38

Medidas de proteccin y equipo


Europea. Terceros prueban las cortinas de luz para asegurar que cumplan con esta norma internacional. Underwriters Laboratory ha adoptado IEC 61496-1 como norma nacional de los EE.UU. Escneres de lser de seguridad Los escneres lser de seguridad usan un espejo giratorio que desva los pulsos de luz sobre un arco, creando un plano de deteccin. El ngulo de rotacin del espejo determina la ubicacin del objeto. Mediante una tcnica de tiempo de vuelo de un haz reflejado de luz invisible, el escner tambin puede detectar la distancia a la que el objeto se encuentra del escner. Al tomar la distancia medida y la ubicacin del objeto, el escner de lser determina la posicin exacta del objeto. Tapetes de seguridad para el suelo, sensibles a la presin Estos dispositivos se usan para proporcionar resguardo a cierta rea del suelo alrededor de una mquina. Se coloca una matriz de tapetes interconectados alrededor del rea de peligro, y la presin aplicada al tapete (por ej., la pisada de un operador) causa que la unidad controladora del tapete desactive la alimentacin elctrica al punto de peligro. Los tapetes sensibles a la presin generalmente se usan dentro de un rea cerrada que contenga varias mquinas celdas robticas o de manufactura flexible, por ejemplo. Cuando se requiere acceso a la celda (para configurar al robot o aprendizaje del robot, por ejemplo), los tapetes evitan movimiento peligroso si el operador se llegara a salir del rea de seguridad o si debe colocarse detrs de una pieza de equipo. El tamao y la posicin del tapete deben tomar en consideracin la distancia de seguridad. Bordes sensibles a la presin Estos dispositivos son tiras que pueden montarse al borde de una pieza mvil, como una mesa o una puerta elctrica de una mquina que presente un riesgo de trituracin o corte. Si la pieza mvil golpea al operador (o viceversa), el borde sensible flexible se oprime e inicia un comando para desactivar la fuente de energa del peligro. Los bordes sensibles tambin pueden usarse para resguardar maquinaria cuando existe el riesgo de atrapamiento. Si un operador queda atrapado en la mquina, el contacto con el borde sensible desactiva la alimentacin elctrica a la mquina. Se usa una serie de tecnologas para crear los bordes de seguridad. Una tecnologa popular es insertar lo que esencialmente es un interruptor largo dentro del borde. Este mtodo proporciona bordes rectos y generalmente utiliza tecnologa de conexin de 4 cables.

SAFEBOOK 4

39

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Las cortinas de luz, los escneres, los tapetes para el suelo y los bordes sensibles se clasifican como dispositivos de disparo. No restringen el acceso, lo detectan. Se basan totalmente en su capacidad de deteccin y conmutacin para ofrecer seguridad. Generalmente son adecuados slo para maquinarias que se detienen razonablemente rpido despus que se desconecta la alimentacin elctrica. Puesto que un operador puede caminar o entrar directamente al rea peligrosa, obviamente es necesario que el tiempo requerido para que el movimiento se detenga sea menor que el tiempo requerido para que el operador entre en contacto con la zona peligrosa.

Interruptores de seguridad
Cuando el acceso a la mquina no es frecuente, es preferible usar resguardos mviles (operables). La resguardo se enclava con el suministro de energa de la pieza de peligro de manera que asegure que cada vez que la puerta de la resguardo no est cerrada, se desactive la alimentacin elctrica de la zona de peligro. Este mtodo requiere el uso de un interruptor de enclavamiento acoplado a la puerta de la resguardo. El control de la fuente de energa de la zona de peligro es controlado a travs de la seccin de conmutacin de la unidad. La fuente de energa es generalmente elctrica, pero podra ser tambin neumtica o hidrulica. Cuando se detecta movimiento (abertura) de la puerta de la resguardo, el interruptor de enclavamiento inicia un comando para aislar el suministro de energa ya sea directamente o mediante un contactor de alimentacin elctrica (o vlvula). Algunos interruptores de enclavamiento tambin incorporan un dispositivo de enclavamiento que enclava la puerta de la resguardo en posicin cerrada y no permite que se abra mientras la mquina no est en condicin segura. En la mayora de las aplicaciones, la solucin ms fiable y econmica es la combinacin de una resguardo movible y un interruptor de enclavamiento con o sin bloqueo de la resguardo. Existe una amplia variedad de opciones de interruptores de seguridad: Interruptores con enclavamiento de lengeta estos dispositivos requieren meter y sacar un accionador en forma de lengeta del interruptor para su operacin. Interruptores de enclavamiento de bisagra estos dispositivos se colocan sobre el pasador de la bisagra de una puerta de resguardo, y utilizan la accin de abertura de la resguardo para el accionamiento. Interruptores de enclavamiento con bloqueo En algunas aplicaciones se requiere bloquear la resguardo cerrada o retardar la abertura de la resguardo. Los dispositivos adecuados para este requisito se conocen como interruptores de enclavamiento con bloqueo de resguardo. Estos dispositivos son apropiados para mquinas con retardo al paro, pero tambin pueden ofrecer un aumento significativo del nivel de proteccin a la mayora de tipos de mquinas.

40

Medidas de proteccin y equipo


Interruptores de enclavamiento sin contacto estos dispositivos no requieren contacto fsico para actuar con algunas versiones que incorporan una funcin de codificacin para aumentar la resistencia a las intrusiones. Dispositivos de enclavamiento de posicin (interruptor de final de carrera) El accionamiento operado por levas generalmente toma la forma de un interruptor de final de carrera (o posicin) positivo y una leva lineal o giratoria. Generalmente se usan en resguardos deslizantes. Dispositivos de enclavamiento con atrapamiento de llave Las llaves de bloqueo mecnico pueden realizar enclavamiento de control as como enclavamiento de la alimentacin elctrica. Con el enclavamiento de control un dispositivo de enclavamiento inicia un comando de parada a un dispositivo intermedio, el cual desactiva un dispositivo subsiguiente para desconectar la energa del accionador. Con el enclavamiento de la alimentacin elctrica, el comando de parada interrumpe directamente el suministro de energa a los accionadores de la mquina.

SAFEBOOK 4

Interfaces operador-mquina
Funcin de parada En los EE.UU., Canad, Europa y a nivel internacional existe armonizacin de normas con respecto a la descripcin de las categoras de parada para mquinas o sistemas de fabricacin. Nota: Estas categoras son distintas a las categoras EN 954-1 (ISO 13849-1). Vea las normas NFPA 79 e IEC/EN 60204-1 para obtener ms detalles. Las funciones de parada pertenecen a tres categoras: Categora 0 es parada mediante desconexin inmediata de la alimentacin elctrica a los accionadores de la mquina. Esto se considera parada no controlada. Con la alimentacin elctrica desconectada, la accin de freno que requiere alimentacin elctrica no es eficaz. Esto permite que los motores giren libremente y que paren por inercia en un largo perodo de tiempo. En otros casos, las mquinas que retienen accesorios puede dejar caer material, ya que requieren alimentacin elctrica para retener el material. Tambin pueden usarse medios de parada mecnica que no requieren alimentacin elctrica con paradas categora 0. Las paradas categora 0 tienen prioridad sobre las paradas categora 1 2. Categora 1 es una parada controlada con alimentacin elctrica disponible a los accionadores de la mquina para realizar la parada. Luego, cuando se realiza la parada, la alimentacin elctrica se desconecta de los accionadores. Esta categora de parada permite que el freno energizado detenga rpidamente el movimiento peligroso, y luego la alimentacin elctrica puede desconectarse de los accionadores. Categora 2 es una parada controlada con alimentacin elctrica disponible a los accionadores de la mquina. Una parada de produccin normal se considera parada categora 2.

41

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Estas categoras de parada deben aplicarse a cada una de las funciones de parada, cuando es la accin tomada por los dispositivos de control de seguridad en respuesta a una seal de entrada, debe utilizarse la categora 0 1. Las funciones de parada deben anular las funciones de arranque relacionadas. La seleccin de la categora de parada de cada una de las funciones de paro debe determinarse mediante una evaluacin de riesgos.

Funcin de parada de emergencia


La funcin de parada de emergencia debe funcionar como parada de categora 0 o de categora 1, segn lo determine una evaluacin de riesgos. Debe ser iniciada por una sola accin humana. Al ejecutarse debe anular todas las dems funciones y los modos de operacin de la mquina. El objetivo es desconectar la alimentacin elctrica tan rpidamente como sea posible, sin crear peligros adicionales. Hasta hace poco se requeran componentes electromecnicos cableados para circuitos de parada de emergencia. Los cambios recientes en normas tales como IEC 60204-1 y NFPA 79 significan que los PLC de seguridad y otras formas de lgica electrnica que cumplen con los requisitos de normativa como IEC 61508, pueden usarse en el circuito de parada de emergencia. Dispositivos de parada de emergencia Siempre que exista el peligro de que un operador corra algn riesgo con una mquina, debe haber facilidades para el acceso rpido a un dispositivo de parada de emergencia. El dispositivo de parada de emergencia debe estar operativo continuamente y ser fcilmente accesible. Los paneles de operador deben tener por lo menos un dispositivo de parada de emergencia. Otros dispositivos de emergencia pueden utilizarse en otros lugares, segn sea necesario. Los dispositivos de parada de emergencia vienen en diversos formatos. Algunos ejemplos populares son los interruptores de botn pulsador y los interruptores accionados por cable. Cuando se activa el dispositivo de parada de emergencia, ste debe bloquearse y no debe ser posible generar el comando de parada sin bloqueo. El restablecimiento de la parada de emergencia no debe causar una situacin peligrosa. Debe utilizarse una accin independiente y deliberada para volver a arrancar la mquina. Para obtener ms informacin sobre dispositivos de parada de emergencia, lea ISO/EN 13850, IEC 60947-5-5, NFPA 79 e IEC 60204-1, AS4024.1, Z432-94. Botones de parada de emergencia Los dispositivos de parada de emergencia se consideran equipo de proteccin complementaria. No se consideran dispositivos de proteccin primaria porque no evitan el acceso a piezas peligrosas o no detectan el acceso a piezas peligrosas. La manera usual de proporcionar esto es mediante un botn pulsador tipo hongo de color rojo sobre fondo amarillo que el operador presiona en caso de emergencia. Deben estar colocados estratgicamente en suficiente cantidad alrededor de la mquina para asegurar que siempre haya uno al alcance en un punto peligroso.

42

Medidas de proteccin y equipo


Los botones de parada de emergencia deben estar accesibles y disponibles en todos los modos de operacin de la mquina. Cuando se use un botn pulsador como dispositivo de parada de emergencia, ste debe ser del tipo hongo (o de operacin con la palma de la mano) y debe ser de color rojo con fondo amarillo. Al oprimir el botn, los contactos deben cambiar de estado a la vez que el botn se enclava en la posicin de oprimido. Una de las ms recientes tecnologas que se aplican a las paradas de emergencia es la tcnica de automonitorizacin. Se aade un contacto adicional en la parte posterior del botn de parada de emergencia, para monitorizar si otros bloques de contacto siguen estando presentes. Esto se conoce como bloque de contactos automonitorizados. Consta de un contacto accionado por resorte que se cierra cuando el bloque de contactos se encaja en su lugar en el panel. La Figura 80 muestra el contacto de automonitorizacin conectado en serie con uno de los contactos de seguridad de abertura directa. Interruptores accionados por cable Para maquinarias tales como transportadores, generalmente es ms conveniente y eficaz usar como dispositivo de parada de emergencia un dispositivo accionado por cable a lo largo del rea peligrosa. Estos dispositivos usan un cuerda de acero conectada a los interruptores de accionamiento por cuerda, de manera que al tirar de la cuerda en cualquier direccin y en cualquier punto a lo largo de su longitud se acciona el interruptor y se corta la alimentacin elctrica a la mquina. Los interruptores accionados por cable deben detectar tanto el tiro como la holgura excesiva en el cable. La deteccin de holgura asegura que el cable no est cortado y que est listo para ser usado. El recorrido del cable afecta el rendimiento del interruptor. Para distancias cortas, el interruptor de seguridad se monta en un extremo y un resorte de tensin se monta en el otro. Para distancias mayores debe montarse un interruptor de seguridad en ambos extremos del cable para asegurar que una accin nica por parte del operador inicie un comando de parada. La fuerza de accionamiento requerida del interruptor del cable no debe exceder 200 N (45 lbs) ni una distancia de 400 mm (15,75 pulg.) en una posicin centrada entre dos soportes de cable. Control de mandos bimanuales El uso de los controles con las dos manos (llamados tambin controles bimanuales) es un mtodo comn para evitar el acceso mientras la mquina est en condicin peligrosa. Dos controles deben operarse concurrentemente (a 0,5 s uno de otro) para arrancar la mquina. Esto asegura que ambas manos del operador estn ocupadas en una posicin segura (por ej., en los controles) y, por lo tanto, no puedan estar en el rea peligrosa. Los controles deben operarse continuamente durante condiciones peligrosas. La operacin de la mquina debe detenerse cuando se suelta cualquiera de los controles. Si se suelta uno de los controles, el otro control tambin debe soltarse para que pueda arrancar la mquina.

SAFEBOOK 4

43

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Un mando bimanual depende en gran medida de la integridad de su sistema de control y monitorizacin para detectar cualquier fallo, por lo tanto es importante que este aspecto est diseado segn la especificacin correcta. El rendimiento de un sistema de un mando bimanual est caracterizado en tipos por ISO 13851 (EN 574) como se muestra, y estn relacionados a las categoras de ISO 13849-1. Los tipos ms comnmente usados para seguridad de maquinaria son IIIB e IIIC. La siguiente tabla muestra la relacin de los tipos con respecto a las categoras de rendimiento de seguridad. Tipos Requisito I II III A X X X X X X B X C X

Accionamiento asncrono Use de la categora 1 (de ISO 13849-1) Use de la categora 3 (de ISO 13849-1) Use de la categora 4 (de ISO 13849-1)

La separacin en el diseo fsico debe impedir la operacin incorrecta (por ej., con la mano y el codo). Esto puede realizarse mediante distancia o protectores. La mquina no debe ir de un ciclo a otro sin soltar y presionar ambos botones. Esto evita la posibilidad de bloquear ambos botones, dejando la mquina en funcionamiento continuo. Soltar cualquiera de los botones debe causar que la mquina se detenga. El uso del control de dos manos debe considerarse con cautela, ya que generalmente permite la exposicin a algn tipo de riesgo. El control de dos manos slo protege a la persona que los utiliza. El operador protegido debe ser capaz de observar todos los accesos a la pieza peligrosa, ya que otro personal quizs no est protegido. ISO 13851 (EN 574) proporciona orientacin adicional sobre el control de dos manos. Dispositivos de validacin Los dispositivos de validacin son controles que permiten que un operador ingrese en un rea peligrosa con la pieza peligrosa en operacin mientras el operador sujeta el dispositivo de validacin en posicin de accionamiento. Los dispositivos de validacin utilizan tipos de interruptores de dos o tres posiciones. Los tipos de dos posiciones estn desactivados cuando no se opera el accionador y estn activados cuando se opera el accionador. Los interruptores de tres posiciones estn desactivados cuando no estn accionados (posicin 1), activados cuando se mantienen en la posicin cen-

44

Medidas de proteccin y equipo


tral (posicin 2), y desactivados cuando el accionador se opera pasando la posicin central (posicin 3). Adems, al regresar de la posicin 3 a la posicin 1, el circuito de salida no debe cerrarse al pasar a travs de la posicin 2. Los dispositivos de validacin deben usarse junto con otra funcin relacionada con la seguridad. Un ejemplo tpico es dejar el movimiento en modo lento controlado. Una vez que est en modo lento, un operador puede entrar al rea peligrosa sujetando el dispositivo de validacin. Al usar un dispositivo de validacin, una seal debe indicar que el dispositivo de validacin est activo.

SAFEBOOK 4

Dispositivos lgicos
Los dispositivos lgicos desempean un papel central en la pieza relacionada a la seguridad del sistema de control. Los dispositivos lgicos realizan la verificacin y la monitorizacin del sistema de seguridad, y permiten que la mquina arranque o ejecutan comandos para parar la mquina. Hay una gama de dispositivos lgicos disponibles para crear una arquitectura de seguridad que satisfaga los requisitos de complejidad y funcionalidad de la mquina. Los rels de seguridad cableados de monitorizacin son ms econmicos para mquinas de menor tamao que requieren un dispositivo lgico dedicado para completar la funcin de seguridad. Se prefieren rels de seguridad para monitorizacin modulares y configurables cuando se requiere un nmero grande y diverso de dispositivos de proteccin y control mnimo de zona. Para una mquina de mediana a grande y ms compleja son preferibles los sistemas programables con E/S distribuidas. Rels de control de seguridad Los mdulos de rel de control de seguridad (MSR) desempean un papel clave en muchos sistemas de seguridad. Estos mdulos generalmente comprenden dos o ms rels con gua positiva con circuitos adicionales para asegurar el rendimiento de la funcin de seguridad. Los rels con gua positiva son rels especiales con contactos guiados mecnicamente. Los rels con gua positiva deben cumplir con los requisitos de rendimiento de EN 50025. Esencialmente estn diseados para evitar que los contactos normalmente cerrados y normalmente abiertos se cierren simultneamente. Los diseos ms modernos reemplazan las salidas electromecnicas por salidas de seguridad de estado slido. Los rels de control de seguridad realizan muchas verificaciones en el sistema de seguridad. En el momento del encendido realizan autoverificaciones de sus componentes internos. Cuando se activan los dispositivos de entrada, el MSR compara los resultados de las entradas redundantes. Si son aceptables, el MSR

45

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


verifica los accionadores externos. Si estn bien, el MSR espera una seal de restablecimiento para activar sus salidas. La seleccin del rel de seguridad apropiado depende de una serie de factores: el tipo de dispositivo que monitoriza, el tipo de restablecimiento, el nmero y el tipo de salidas. Tipos de entradas Los dispositivos de proteccin tienen distintos mtodos para indicar que algo ha sucedido: Dispositivos de enclavamiento con contactos y paradas de emergencia: Contactos mecnicos, un solo canal con un contacto normalmente cerrado o doble canal, ambos normalmente cerrados. El MSR debe ser capaz de aceptar uno o doble canal y proporcionar deteccin de fallo cruzado para la configuracin de doble canal. Dispositivos de enclavamiento sin contactos y paradas de emergencia: Contactos mecnicos, doble canal, uno normalmente abierto y uno normalmente cerrado. El MSR debe ser capaz de procesar diversas entradas. Dispositivos de conmutacin de estado slido de salida: Las cortinas de luz, los escneres a lser, los dispositivos de estado slido sin contacto tienen dos salidas surtidoras y realizan deteccin de fallo cruzado. El MSR debe ignorar el mtodo de deteccin de fallo cruzado de los dispositivos. Tapetes sensibles a la presin: Los tapetes crean un cortocircuito entre doble canal. El MSR debe resistir los cortocircuitos repetidos. Bordes sensibles a la presin: Algunos bordes estn diseados como tapetes de 4 cables. Algunos son dispositivos de dos cables que crean un cambio en la resistencia. El MSR debe ser capaz de detectar un cortocircuito o el cambio de resistencia. Tensin: Mide la fuerza contraelectromotriz de un motor durante la desaceleracin hasta la parada de mismo. El MSR debe tolerar altas tensiones as como detectar bajas tensiones a medida que el motor desacelera. Interrupcin de movimiento: El MSR debe detectar flujos de impulsos provenientes de diversos sensores redundantes. Mando bimanual: El MSR debe detectar entradas diversas normalmente abiertas y normalmente cerradas, y proporcionar temporizacin de 0,5 s y lgica de secuenciamiento. Los rels de seguridad de monitorizacin deben disearse especficamente para hacer interfaz con cada uno de estos tipos de dispositivos, ya que tienen caractersticas elctricas diferentes. Algunos MSR pueden hacer conexin con varios tipos de entradas, pero una vez que el dispositivo se ha seleccionado, el MSR slo puede hacer interfaz con dicho dispositivo. El diseador debe seleccionar un MSR compatible con el dispositivo de entrada.

46

Medidas de proteccin y equipo


Impedancia de entrada La impedancia de entrada de los rels de control de seguridad determina cuntos dispositivos de entrada pueden conectarse al rel y a qu distancia mxima pueden montarse. Por ejemplo, un rel de seguridad puede tener una impedancia de entrada permitida mxima de 500 ohms (~). Cuando la impedancia de entrada es mayor que 500~, ste no activa sus salidas. El usuario debe tener cuidado para asegurarse de que la impedancia de entrada permanezca bajo la especificacin mxima. La longitud, el tamao y el tipo de cable usado afecta la impedancia de entrada. Nmero de dispositivos de entrada El proceso de evaluacin de riesgos debe usarse para ayudar a determinar cuntos dispositivos de entrada deben conectarse a una unidad de rel de control de seguridad MSR y con qu frecuencia deben verificarse los dispositivos de entrada. Para asegurar que los dispositivos de parada de emergencia y los dispositivos de enclavamiento de compuerta estn en estado operativo, su funcionamiento debe verificarse a intervalos regulares, segn lo determinado por la evaluacin de riesgos. Por ejemplo, un MSR de entrada de doble canal conectado a una compuerta enclavada que debe abrirse en cada ciclo de la mquina (por ej., varias veces al da) quizs no necesite verificarse. Esto se debe a que la abertura de la resguardo hace que el MSR se autoverifique, as como sus entradas y sus salidas (de acuerdo a la configuracin) para determinar si tiene fallos individuales. A mayor frecuencia de abertura de la resguardo, mayor integridad del proceso de verificacin. Otro ejemplo pueden ser los dispositivos de parada de emergencia. Puesto que los dispositivos de parada de emergencia normalmente slo se usan para emergencias, stos generalmente se usan muy poco. Por lo tanto, debe establecerse un programa para ejecutar las paradas de emergencia y confirmar su efectividad segn un cronograma especificado. Ejecutar un sistema de seguridad de esta manera se conoce como realizar una prueba de calidad, y el tiempo entre pruebas de calidad se conoce como intervalo de prueba de calidad. Un tercer ejemplo pueden ser las puertas de acceso para realizar ajustes en la mquina, las cuales, al igual que las paradas de emergencia, pueden usarse con poca frecuencia. Aqu nuevamente debe establecerse una verificacin programada. La evaluacin de riesgos ayuda a determinar si los dispositivos de entrada necesitan verificarse y con qu frecuencia. A mayor nivel de riesgo se requiere mayor integridad del proceso de verificacin. Y mientras menos frecuente sea la verificacin automtica, ms frecuente debe ser la verificacin manual impuesta. Deteccin de fallo cruzado de entrada En sistemas de doble canal, los fallos de cortocircuito de canal a canal de los dispositivos de entrada, tambin conocidos como fallos cruzados, deben ser detectados por el sistema de seguridad. Esto lo realiza un dispositivo detector o el rel de control de seguridad.

SAFEBOOK 4

47

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Los rels de control de seguridad basados en microprocesador, como las cortinas de luz, los escneres de lser y los sensores sin contacto ms sofisticados detectan estos cortocircuitos de diversas maneras. Una manera comn de detectar fallos cruzados es usar test de pulsos. Las seales de salida tienen pulsos muy rpidos. El pulso del canal 1 es offset del pulso del canal 2. Si se produce un cortocircuito, los pulsos ocurren concurrentemente y son detectados por el dispositivo. Los rels de control de seguridad electromecnicos emplean una tcnica diferente: una entrada de activacin y una entrada de desactivacin. Un cortocircuito del canal 1 al canal 2 hace que el dispositivo de proteccin contra sobrecorriente se active y el sistema de seguridad se desactiva. Salidas Los MSR vienen con diversos nmeros de salidas. Los tipos de salidas ayudan a determinar qu MSR debe usarse en aplicaciones especficas. La mayora de los MSR tiene por lo menos 2 salidas de seguridad de operacin inmediatas. Las salidas de seguridad de los MSR se caracterizan por estar normalmente abiertas. Tienen clasificacin de seguridad debido a la redundancia y verificacin interna. Un segundo tipo de salida son las salidas retardadas. Las salidas retardadas generalmente se usan en paradas categora 1, en las que la mquina requiere tiempo para ejecutar la funcin de parada antes de permitir acceso al rea peligrosa. Los MSR tambin tienen salidas auxiliares. Generalmente stas se consideran normalmente cerradas. Especificaciones de salida Las especificaciones de salida describen la capacidad que tiene el dispositivo de proteccin de conmutar las cargas. Normalmente, las especificaciones de los dispositivos industriales se describen como resistivas o electromagnticas. Una carga resistiva puede ser un elemento calefactor. Las cargas electromagnticas son tpicamente rels, contactores o solenoides con una gran caracterstica inductiva de la carga. El Anexo A de la norma IEC 60947-5-1 describe las capacidades nominales de las cargas. Esto tambin se muestra en la seccin principios del catlogo de seguridad. Letra de designacin: La designacin es una letra seguida por un nmero, por ejemplo A300. La letra se refiere a la corriente trmica convencional incluida y si dicha corriente es directa o alterna. Por ejemplo A representa 10 amperes de corriente alterna. Los nmeros se refieren a la tensin de aislamiento nominal. Por ejemplo, 300 representa 300 V. Utilizacin: La utilizacin describe los tipos de carga que el dispositivo es capaz de conmutar. Las utilizaciones relevantes a IEC 60947-5 se muestran en la siguiente tabla.

48

Medidas de proteccin y equipo


Utilizacin AC-12 AC-13 AC-14 AC-15 DC-12 DC-13 DC-14 Descripcin de la carga Control de cargas resistivas de estado slido con aislamiento por optoacopladores Control de cargas de estado slido con aislamiento de transformador Control de cargas electromagnticas (menores de 72 VA) Cargas electromagnticas mayores de 72 VA Control de cargas resistivas de estado slido con aislamiento por optoacopladores Control de cargas electromagnticas Control de cargas electromagnticas que tienen resistencias en el circuito

SAFEBOOK 4

Corriente trmica, Ith: La corriente trmica incluida convencional es el valor de corriente usado para las pruebas de subida de temperatura del equipo cuando est instalado en un envolvente especificado. Tensin Ue y corriente de operacin nominal Ie; La tensin y la corriente de operacin nominales especifican las capacidades de cierre y abertura de los elementos de conmutacin bajo condiciones de operacin normal. La capacidad nominal de los productos Guardmaster de Allen-Bradley es 125 VCA, 250 VCA y 24 VCC. Consulte con la fbrica para obtener informacin sobre uso a distintas tensiones a estas capacidades nominales especificadas. VA: Las especificaciones de VA (Tensin x Amperaje) indican las especificaciones de los elementos de conmutacin cuando se cierra el circuito y cuando se abre el circuito. Ejemplo 1: Una capacidad nominal de A150, AC-15 indica que los contactos pueden cerrar un circuito de 7200 VA. A 120 VCA, los contactos pueden cerrar un circuito de entrada al momento del arranque de 60 amperes. Puesto que AC-15 es una carga electromagntica, los 60 amperes tienen una corta duracin al momento del arranque de la carga. La abertura del circuito es slo 720 VA porque la corriente de mantenimiento de la carga es 6 A, o sea la corriente nominal o de consumo. Ejemplo 2: Una capacidad nominal de N150, DC-13 indica que los contactos pueden cerrar un circuito de 275 VA. A 125 VCA, los contactos pueden cerrar un circuito de 2,2 amperes. Las cargas electromagnticas de CC no tienen una

49

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


corriente de entrada al momento del arranque como las cargas electromagnticas de CA. La abertura del circuito tambin es 275 VA porque la corriente es 2,2, nominal o de consumo. Rearme de la mquina Si, por ejemplo, se abre una resguardo enclavada en una mquina en operacin, el interruptor de enclavamiento de seguridad detiene la mquina. En la mayora de casos es imperativo que la mquina no se vuelva a arrancar inmediatamente cuando se cierra la resguardo. Una manera comn de lograr esto es usar una configuracin de arranque con contactor de enclavamiento. Presionar y soltar el botn de inicio momentneamente activa la bobina de control del contactor, lo cual cierra los contactos de alimentacin elctrica. Siempre que la alimentacin est fluyendo a travs de los contactos de alimentacin, la bobina de control se mantiene activada (enclavada elctricamente) mediante los contactos auxiliares del contactor, los cuales estn mecnicamente vinculados a los contactos de alimentacin. Una interrupcin de la alimentacin principal o del suministro del control resulta en la desactivacin de la bobina y en la abertura de los contactos auxiliares y la alimentacin principal. El enclavamiento de resguardo est cableado al circuito de control del contactor. Esto significa que el rearranque puede lograse slo cerrando la resguardo y luego realizando el encendido por medio del botn de arranque normal, lo cual restablece el contactor y arranca la mquina. Los requisitos para situaciones de enclavamiento normales se aclaran en ISO 12100-1 Prrafo 3.22.4 (extracto) Cuando el resguardo est cerrada las zonas peligrosas de la mquina pueden funcionar, pero al cerrar la resguardo no se inicia el funcionamiento automticamente. Muchas mquinas ya tienen contactores sencillos o dobles que funcionan como se describe anteriormente (o tienen un sistema que logra el mismo resultado). Cuando se acopla un enclavamiento a una maquinaria existente, es importante determinar si la configuracin de control de alimentacin elctrica cumple con estos requisitos, y tomar las medidas adicionales necesarias. Funciones de rearme Los rels de control de seguridad Guardmaster de Allen-Bradley estn diseados con rearme manual monitorizado o restablecimiento automtico/manual. Restablecimiento manual monitorizado El restablecimiento manual monitorizado requiere el cambio de estado del circuito de restablecimiento despus que la compuerta se cierra o se restablece la parada

50

Medidas de proteccin y equipo


de emergencia. Los contactos auxiliares normalmente cerrados unidos mecnicamente de los contactores de conmutacin de alimentacin elctrica estn conectados en serie con un botn pulsador momentneo. Despus de que la resguardo se abre y se cierra nuevamente, el rel de seguridad no permite que la mquina sea reiniciada hasta que haya un cambio de estado en el pulsador de rearme. Esto es en cumplimiento de los requisitos para restablecimiento manual adicional tal como se describe en EN ISO 13849-1, es decir, la funcin de restablecimiento asegura que ambos contactores estn DESACTIVADOS y que ambos circuitos de enclavamiento (y por lo tanto las resguardos) estn cerradas y adems (debido a que se requiere un cambio de estado) que el accionador de restablecimiento no haya sido eludido o bloqueado de ninguna manera. Si estas verificaciones son satisfactorias, la mquina puede volverse a arrancar con los controles normales. La normativa EN ISO 13849-1 cita el cambio de estado de activado a desactivado, pero el mismo principio de proteccin tambin puede obtenerse por el efecto opuesto. El interruptor de restablecimiento debe ubicarse en un lugar que proporcione buena visibilidad de la fuente de peligro, de manera que el operador pueda verificar que el rea est despejada antes de la operacin. Rearme automtico/manual Algunos rels de seguridad tienen restablecimiento automtico/manual. El modo de restablecimiento manual no se monitoriza y el restablecimiento se produce cuando se presiona el botn. No se detecta si el interruptor de restablecimiento est en cortocircuito u obstruido. Con esta estrategia quizs no sea posible cumplir con los requisitos de restablecimiento manual adicional tal como se indica en EN ISO 13849-1, a menos que se usen medidas adicionales. Alternativamente, la lnea de restablecimiento puede conectarse en puente, permitiendo as el restablecimiento automtico. Entonces el usuario debe proporcionar otro mecanismo para impedir el arranque de la mquina al cerrar la puerta. Un dispositivo de restablecimiento automtico no requiere accin de conmutacin manual, pero despus de la desactivacin, siempre conduce una verificacin de integridad del sistema antes de restablecer el mismo. Un sistema de restablecimiento automtico no debe confundirse con un dispositivo sin capacidad de restablecimiento. En este ltimo, el sistema de seguridad se habilita inmediatamente despus de la desactivacin, pero no se lleva a cabo la verificacin de integridad del sistema. El interruptor de restablecimiento debe ubicarse en un lugar que proporcione buena visibilidad de la fuente de peligro, de manera que el operador pueda verificar que el rea est despejada antes de la operacin.

SAFEBOOK 4

51

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Resguardo de control Una resguardo de control detiene el funcionamiento de la mquina cuando se abre la resguardo e inicia directamente el funcionamiento nuevamente cuando se cierra la resguardo. El uso de resguardos de control slo se permite bajo estrictas condiciones, ya que cualquier arranque inesperado o incapacidad de parar puede ser extremadamente peligroso. El sistema de enclavamiento debe tener la ms alta fiabilidad posible (a menudo se aconseja usar enclavamiento de resguardo). El uso de resguardos de control SLO se puede considerar en maquinaria donde NO EXISTA LA POSIBILIDAD de que un operador o parte de su cuerpo permanezca o entre en la zona de peligro mientras la resguardo est cerrada. La resguardo de control debe ser el nico acceso al rea de peligro.

Controladores programables de seguridad


La necesidad de aplicaciones de seguridad flexibles y escalables ha impulsado el desarrollo de PLC/controladores de seguridad. Los controladores de seguridad programables proporcionan a los usuarios el mismo nivel de flexibilidad de control en una aplicacin de seguridad al que estn acostumbrados con los controladores programables estndar. Sin embargo existen diferencias extensas entre los PLC estndar y de seguridad. Los PLC de seguridad vienen en varias plataformas para acomodar la capacidad de escalado, los requisitos funcionales y de integracin de los sistemas de seguridad complejos. Se usan mltiples microprocesadores para procesar las E/S, la memoria y las comunicaciones de seguridad. Los circuitos de temporizador de control (watchdog) realizan anlisis de diagnsticos. Este tipo de arquitectura se conoce como 1oo2D, debido a que cualquiera de los dos microprocesadores puede realizar la funcin de seguridad, y los diagnsticos extensos se realizan para asegurar que ambos microprocesadores estn operando de manera sincronizada.

Microprocesador Direccin Datos Control SINC Direccin Datos Control Microprocesador


Arquitectura 1oo2D

Flash

RAM

Puertos

Mdulo de E/S

WATCHDOG/ COMPARACIN

Flash

RAM

Adems, cada circuito de entrada se prueba internamente repetidas veces cada segundo para asegurar que funcione correctamente. Usted quizs slo use la parada de emergencia una vez al mes, pero cuando lo haga, el circuito habr sido

52

Medidas de proteccin y equipo


probado continuamente de modo que la parada de emergencia ser detectada correctamente en el interior del PLC de seguridad.
Microprocesador
Direccin Datos

SAFEBOOK 4

Entrada 1

Prueba Datos Bfers


Entrada 2

SINC

WATCHDOG/ COMPARACIN Direccin Datos Control

BUS DE E/S

Control

Prueba
Entrada 3

Prueba Prueba Circuito de control

Microprocesador
Diagrama de bloques de mdulo de entrada de seguridad

Las salidas del PLC de seguridad son electromecnicas o de estado slido con clasificacin de seguridad. Al igual que los circuitos de entrada, los circuitos de salida se prueban mltiples veces cada segundo para asegurar que puedan desactivar la salida. Si uno de los tres falla, la salida es desactivada por los otros dos, y el fallo es reportado por el circuito de monitorizacin interno. Cuando se usan dispositivos de seguridad con contactos mecnicos (paradas de emergencia, interruptores de compuerta, etc.) el usuario puede aplicar seales de prueba de impulsos para detectar fallos cruzados. Para no usar salidas de seguridad costosas, muchos PLC de seguridad proporcionan salidas de impulsos especficas que pueden conectarse a dispositivos de contactos mecnicos. Software Los PLC de seguridad se programan de manera similar a los PLC estndar. Todos los diagnsticos adicionales y la verificacin de errores mencionados anteriormente son realizados por el sistema operativo, por lo tanto el programador no tiene conocimiento de lo que est sucediendo. La mayora de los PLC de seguridad cuentan con instrucciones especiales para escribir el programa para el sistema de seguridad, y estas instrucciones tienden a simular la funcin de los rels de seguridad homlogos. Por ejemplo, la instruccin de parada de emergencia funciona de manera muy parecida a un MSR 127. Si bien la lgica de estas instrucciones es compleja, los programas de seguridad tienen una apariencia relativamente simple porque el programador simplemente conecta estos bloques juntos. Estas instrucciones, junto con otras instrucciones lgicas, matemticas, de manipulacin de datos, etc., cuentan con certificacin de terceros para asegurar que su operacin sea coherente con las normas vigentes.

53

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Los bloques de funciones son mtodos predominantes para las funciones de seguridad de programacin. Adems de los bloques de funcin y lgica de escalera, los PLC de seguridad tambin proporcionan instrucciones de aplicacin de seguridad certificadas. Las instrucciones de seguridad certificadas proporcionan comportamiento especfico a la aplicacin. Este ejemplo muestra una instruccin de parada de emergencia. Para lograr la misma funcin en diagramas de lgica de escalera se requeriran aproximadamente 16 renglones de lgica de escalera. Puesto que el comportamiento lgico est incorporado en la instruccin E-Stop, no es necesario probar la lgica incorporada. Hay bloques de funciones certificados disponibles para hacer interfaz con casi todos los dispositivos de seguridad. Una excepcin a esta lista es el borde de seguridad que utiliza tecnologa resistiva. Los PLC de seguridad generan una firma que proporciona la capacidad de realizar el seguimiento de los cambios realizados. Esta firma generalmente es una combinacin del programa, la configuracin de entradas y salidas, y un sello de hora. Al finalizar y validar el programa, el usuario debe registrar esta firma como parte de los resultados de validacin para referencia futura. Si el programa necesita modificacin, es necesario revalidar y registrar una nueva firma. El programa tambin puede bloquearse con una contrasea para evitar cambios no autorizados. El cableado se simplifica con los programas lgicos, en comparacin con los rels de control de seguridad. A diferencia de cablear a terminales especficos en los rels de control de seguridad, los dispositivos de entrada se conectan a cualquier terminal de entrada y los dispositivos de salida se conectan a cualquier terminal de salida. Luego los terminales son asignados mediante el software. Controladores de seguridad integrada Las soluciones de control de seguridad ahora proporcionan integracin completa dentro de una sola arquitectura de control, donde las funciones de seguridad y las funciones de control estndar residen y trabajan juntas. La capacidad de realizar control de movimiento, velocidad, proceso, lotes, control secuencial de alta velocidad y seguridad SIL3 en un controlador ofrece ventajas importantes. La integracin de los controles de seguridad y de control estndar ofrece la oportunidad de utilizar herramientas comunes y tecnologas que reducen los costes asociados con el diseo, la instalacin, la puesta en servicio y el mantenimiento. La capacidad de utilizar hardware de control comn, E/S de seguridad distribuidas o dispositivos en redes de seguridad y dispositivos de interfaz de operador-mquina (HMI) comunes reducen los costes de adquisicin y mantenimiento as como tambin el tiempo de desarrollo. Todas estas caractersticas aumentan la productividad y la velocidad relacionada con la resolucin de problemas, y reducen los costes de formacin tcnica gracias a la homogeneidad. El siguiente diagrama muestra un ejemplo de la integracin del control y la seguridad. Las funciones de control estndar no relacionadas a la seguridad residen en la tarea principal. Las funciones relacionadas con la seguridad residen en la tarea de seguridad.

54

Medidas de proteccin y equipo


Todas las funciones relacionadas al control estndar y a la seguridad estn aisladas unas de otras. Por ejemplo, los tags de seguridad pueden ser ledos directamente por la lgica estndar. Los tags de seguridad pueden intercambiarse entre los controladores GuardLogix mediante EtherNet, ControlNet o DeviceNet. Los datos de tags de seguridad pueden ser ledos directamente por dispositivos externos, interfaces de mquina-operador (HMI), ordenadores personales (PC) y otros controladores. 1. Los tags estndar y la lgica se comportan igual que ControlLogix. 2. Datos de tags estndar, programa o dispositivos al alcance del controlador, HMI, PC, otros controladores, etc. 3. Como controlador integrado, GuardLogix proporciona la capacidad de mover (asignar) datos de tags estndar a tags de seguridad para uso dentro de la tarea de seguridad. El objeto de ello es proporcionar a los usuarios la capacidad de leer informacin de estado desde el lado estndar de GuardLogix. Estos datos no deben usarse para controlar directamente una salida de seguridad. 4. Los tags de seguridad pueden ser ledos directamente por la lgica estndar. 5. Los tags de seguridad pueden ser escritos o ledos por la lgica de seguridad. 6. Los tags de seguridad pueden intercambiarse entre los controladores GuardLogix mediante EtherNet. 7. Los datos de tags de seguridad, del programa o de los dispositivos al alcance del controlador pueden ser ledos por dispositivos externos, HMI, PC u otros controladores, etc. Tome nota de que una vez que se leen estos datos, se consideran datos estndar, no datos de seguridad.

SAFEBOOK 4

Integrated Tasks

55

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Redes de seguridad
Las redes de comunicacin de la planta tradicionalmente han proporcionado a los fabricantes la capacidad de mejorar la flexibilidad, aumentar los diagnsticos, aumentar las distancias, reducir los costes de instalacin y cableado, facilitar el mantenimiento y en general mejorar la productividad de sus operaciones de fabricacin. Estas mismas motivaciones tambin estn impulsando la implementacin de redes de seguridad industriales. Estas redes de seguridad permiten a los fabricantes distribuir E/S de seguridad y dispositivos de seguridad alrededor de su maquinaria mediante un solo cable de red, para reducir los costes de instalacin a la vez que se mejoran los diagnsticos y se habilitan sistemas de seguridad de mayor complejidad. Tambin permiten comunicaciones seguras entre los PLC de seguridad/ controladores y permiten a los usuarios distribuir su control de seguridad entre varios sistemas inteligentes. Las redes de seguridad no eliminan los errores de comunicacin. Las redes de seguridad tienen mayor capacidad de detectar errores de transmisin y luego permitir que los dispositivos de seguridad realicen las acciones apropiadas. Los errores de comunicacin que se detectan incluyen: insercin de mensajes, prdida de mensajes, corrupcin de mensajes, retardo de mensajes, repeticin de mensajes y secuencia incorrecta de mensajes. En la mayora de las aplicaciones, cuando se detecta un error el dispositivo entra en un estado desactivado conocido, generalmente llamado estado de seguridad. La entrada de seguridad o el dispositivo de seguridad es responsable de detectar estos errores de comunicacin y luego entrar en el estado de seguridad si corresponde. Las redes de seguridad de versiones anteriores estaban vinculadas a un tipo de medio fsico o a un esquema de acceso a medio fsico; por lo tanto, los fabricantes deban usar cables especficos, tarjetas de interfaz de red, encaminadores, puentes, etc., que tambin se convertan en parte de la funcin de seguridad. Estas redes estaban limitadas en el sentido que slo aceptaban comunicacin entre dispositivos de seguridad. Esto significaba que los fabricantes tenan que usar dos o ms redes para su estrategia de control de mquina (una red para el control estndar y otra para el sistema de control relacionado a la seguridad), lo cual aumentaba los costes de instalacin, formacin tcnica y piezas de repuesto. Las redes de seguridad modernas permiten que un solo cable de red se comunique con los dispositivos de control de seguridad y estndar. El protocolo CIP Safety (protocolo industrial comn) es un protocolo estndar abierto publicado por ODVA (Asociacin de proveedores de Open DeviceNet) que permite comunicaciones de seguridad entre dispositivos de seguridad en las redes DeviceNet, ControlNet y EtherNet/IP. Puesto que CIP Safety es una extensin del protocolo CIP estndar, los dispositivos de seguridad y los dispositivos estndar pueden residir en la misma red. Los usuarios tambin pueden hacer conexin en puente entre redes que contienen dispositivos de seguridad, lo cual les permite subdividir los dispositivos de seguridad para realizar ajustes finos en los tiempos de respuesta de seguridad,

56

Medidas de proteccin y equipo


o simplemente facilitar la distribucin de los dispositivos de seguridad. Puesto que el protocolo de seguridad es nicamente responsabilidad de los dispositivos finales (PLC de seguridad/controlador, modulo de E/S de seguridad, componente de seguridad), se usan cables estndar, tarjetas de interfaz de red, encaminadores y puentes, lo cual elimina accesorios especiales de conexin en red y permite apartar estos dispositivos de la funcin de seguridad.

SAFEBOOK 4

Dispositivos de salida
Rels de control de seguridad y contactores de seguridad Los rels de control y los contactores se usan para desconectar la alimentacin elctrica del accionador. Se aaden caractersticas especiales a los rels de control y contactores para proporcionar la clasificacin de seguridad. Se usan contactos normalmente cerrados unidos mecnicamente para informar del estado de los rels de control y de los contactores al dispositivo lgico. El uso de contactos unidos mecnicamente ayuda a asegurar la funcin de seguridad. Para cumplir con los requisitos de los contactos mecnicamente unidos, los contactos normalmente cerrados y normalmente abiertos no pueden estar simultneamente en el estado cerrado. La normativa IEC 60947-5-1 define los requisitos para los contactos mecnicamente unidos. Si los contactos normalmente abiertos se soldaran, los contactos normalmente cerrados se abriran por lo menos 0,5 mm. Por el contrario, si los contactos normalmente cerrados se soldaran, entonces los contactos normalmente abiertos permaneceran abiertos. Los sistemas de seguridad slo deben arrancar en lugares especficos. Los rels de control y los contactores estndar permiten que se acte manualmente sobre el contactor. En los dispositivos de seguridad no se puede actuar manualmente ya que estn protegidos. En los rels de control de seguridad, el contacto normalmente cerrado es accionado por el vnculo mecnico principal. Los contactores de seguridad utilizan un mdulo aditivo de contactos para ubicar los contactos mecnicamente unidos. Si el bloque de contactos se cayera de la base, los contactos mecnicamente unidos permaneceran cerrados. Los contactos mecnicamente unidos estn permanentemente adheridos al rel de control de seguridad o al contactor de seguridad. En los contactores de mayor tamao, un mdulo aditivo de contactos es insuficiente para reflejar con precisin el estado del vnculo mecnico ms ancho. Se usan contactos en espejo, mostrados en la Figura 4.81, que se ubican a cado lado del contactor. El tiempo de desconexin de los rels de control o contactores desempea un papel en el clculo de la distancia de seguridad. A menudo se coloca un supresor de sobretensin en la bobina para aumentar la vida til de los contactos que accionan la bobina. En el caso de las bobinas activadas por CA, el tiempo de desconexin no se ve afectado. En el caso de las bobinas activadas por CC, el tiempo de desconexin aumenta. El aumento depende del tipo de supresin seleccionado.

57

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Los rels de control y los contactores estn diseados para conmutar grandes cargas, desde 0,5 A hasta ms de 100 A. El sistema de seguridad opera con baja corriente. La seal de realimentacin generada por el dispositivo lgico del sistema de seguridad puede estar en el orden de unos pocos miliamperios hasta decenas de miliamperios, generalmente a 24 VCC. Los rels de control de seguridad y los contactores de seguridad usan contactos bifurcados con recubrimiento de oro para conmutar de manera fiable esta baja corriente. Proteccin contra sobrecarga Las normas elctricas requieren proteccin contra sobrecarga de motores. Los diagnsticos provistos por el dispositivo de proteccin contra sobrecarga mejoran no slo la seguridad del equipo sino tambin la seguridad del operador. Las tecnologas disponibles hoy en da pueden detectar condiciones de fallo como sobrecarga, prdida de fase, fallo de tierra, bloqueo, atasco, baja carga, desequilibrio de corriente y sobretemperatura. Detectar y comunicar condiciones anormales antes del disparo ayuda a mejorar el tiempo productivo y evita condiciones peligrosas no previstas para los operadores y el personal de mantenimiento. Variadores y servos Los variadores y servos con clasificacin de seguridad pueden usarse para evitar el riesgo de movimiento mecnico al ejecutar paradas de seguridad as como paradas de emergencia. Los variadores de CA logran la clasificacin de seguridad con canales redundantes para desconectar la alimentacin elctrica al circuito de control de la compuerta. Un canal es la seal de validacin, una seal de hardware que elimina la seal de entrada del circuito de control de compuerta. El segundo canal es un rel con gua positiva que elimina el suministro de alimentacin elctrica del circuito de control de la compuerta. El rel con gua positiva tambin proporciona una seal de estado de regreso al sistema lgico. Este enfoque redundante permite que el variador de seguridad se aplique en circuitos de parada de emergencia sin necesidad de un contactor. El servo logra un resultado de manera similar a los variadores de CA mediante seales de seguridad redundantes para lograr la funcin de seguridad. Una seal interrumpe la alimentacin elctrica del variador al circuito de control de compuerta. Una segunda seal interrumpe la alimentacin elctrica a la fuente de alimentacin elctrica del circuito de control de compuerta. Se usan dos rels con gua positiva para eliminar las seales y proporcionar tambin realimentacin al dispositivo lgico de seguridad.

Sistemas de conexin
Los sistemas de conexin aaden valor al reducir los costes de instalacin y de mantenimiento de los sistemas de seguridad. Los diseos deben tener en cuenta aspectos tales como una solo canal, doble canal, doble canal con indicacin y mltiples tipos de dispositivos.

58

Clculos de distancia de seguridad


Cuando se necesita una conexin en serie de enclavamientos de doble canal, un bloque de distribucin puede simplificar la instalacin. Con la clasificacin IP67, estos tipos de cajas pueden montarse en la mquina en lugares remotos. Cuando se requiere un conjunto diverso de dispositivos puede usarse una caja ArmorBlock Guard I/O. Las entradas pueden ser configuradas mediante software para aceptar varios tipos de dispositivos.

SAFEBOOK 4

Clculo de la distancia de seguridad


La piezas peligrosas deben estar en un estado de seguridad antes de que el operador entre en contacto con ellas. Para realizar el clculo de la distancia de seguridad, existen dos grupos de normas usadas comnmente. En este captulo, estas normas se agrupan de la siguiente manera: ISO EN: (ISO 13855 y EN 999) US CAN (ANSI B11.19, ANSI RIA R15.06 y CAN/CSA Z434-03) Frmula La distancia de seguridad mnima depende del tiempo requerido para procesar el comando de parada y cunto puede penetrar el operador en la zona de deteccin antes de ser detectado. La frmula usada en todo el mundo tiene el mismo formato y los mismos requisitos. Las diferencias son los smbolos usados para representar las variables y las unidades de medicin. Las frmulas son: ISO EN: S = US CAN: Ds = Kx Kx T (Ts + Tc + Tr + Tbm) +C + Dpf

Donde: Ds y S son la distancia segura mnima de la zona de peligro hasta el punto de deteccin ms cercano Direcciones de aproximacin Al considerar el clculo de la distancia de seguridad donde se usa una cortina de luz o un escner de rea, debe tenerse en cuenta la aproximacin al dispositivo de deteccin. Se consideran tres tipos de aproximacin: Normal aproximacin perpendicular al plano de deteccin Horizontal aproximacin paralela al plano de deteccin En ngulo aproximacin en ngulo a la zona de deteccin.

59

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Constante de velocidad K es una constante de velocidad. El valor de la constante de velocidad depende de los movimientos del operador (por ej., velocidad de las manos, velocidad al caminar y longitud del paso al caminar). Este parmetro se basa en datos de investigacin que muestran que es razonable suponer una velocidad de las manos de 1600 mm/seg (63 pulg./s) de un operador mientras el cuerpo est estacionario. Deben tenerse en cuenta las circunstancias de la aplicacin real. Como gua general, la velocidad de aproximacin vara de 1600 mm/s (63 pulg./s) a 2500 mm/seg (100 pulg./s). La constante de velocidad apropiada debe ser determinada por la evaluacin de riesgos. Tiempo de parada T representa el tiempo de parada general del sistema. El tiempo total en segundos comienza a partir del inicio de la seal de parada hasta el momento en que deja de haber peligro. Este tiempo puede desglosarse en sus partes incrementales (Ts, Tc, Tr y Tbm) para facilitar el anlisis. Ts representa el tiempo de parada en el peor de los casos de la mquina o el equipo. Tc representa el tiempo de parada en el peor de los casos del sistema de control. Tr representa el tiempo de respuesta del dispositivo de proteccin, incluso su interfaz. Tbm representa el tiempo de parada adicional permitido por el monitor de freno antes de que detecte deterioro del tiempo de parada ms all de los lmites predeterminados por los usuarios finales. Tbm se usa para prensas mecnicas con revolucin parcial. Ts + Tc + Tr generalmente son medidos por un dispositivo de medicin de tiempo de parada si los valores son desconocidos. Factores de penetracin de profundidad Los factores de penetracin de profundidad son representados por los smbolos C y Dpf. Es el mximo recorrido hacia el peligro antes de la deteccin por parte del dispositivo de proteccin. Los factores de penetracin de profundidad cambian segn el tipo de dispositivo y de aplicacin. Es necesario la norma apropiada para determinar el mejor factor de penetracin de profundidad. En el caso de aproximacin normal a una cortina de luz o escner de rea cuya sensibilidad objeto sea menor a 64 mm (2,5 pulg.), las normas ANSI y lAs canadienses usan: Dpf = 3,4 x (sensibilidad objeto 6,875 mm), pero no menos de cero. En el caso de aproximacin normal a una cortina de luz o escner de rea cuya sensibilidad objeto sea menor a 40 mm (1,57 pulg.), las normas ISO y EN usan: C = 8 x (sensibilidad objeto 14 mm), pero no menos de 0. Estas dos frmulas tienen un punto de cruce a 19,3 mm. En el caso de sensibilidades de objeto menores a 19 mm, la aproximacin US CAN es ms restrictiva, puesto que la cortina de luz o el escner de rea debe colocarse ms alejado del peligro. En el caso de sensibilidades de objetos de ms de 19,3 mm, la norma ISO EN es ms restrictiva. Los constructores de mquinas que deseen construir una mquina para

60

Clculos de distancia de seguridad


uso en todo el mundo, deben usar las condiciones en el peor de los casos de ambas ecuaciones. Aplicaciones de aproximacin horizontal Cuando se usan sensibilidades de objetos ms grandes, las normas US CAN e ISO EN difieren ligeramente en el factor de penetracin de profundidad y en la sensibilidad del objeto. El valor de ISO EN es 850 mm, donde el valor de US CAN es 900 mm. Las normas tambin difieren en la sensibilidad del objeto. Donde la norma ISO EN permite de 40 a 70 mm, la norma US CAN permite hasta 600 mm. Aplicaciones de aproximacin vertical Ambas normas aceptan que la altura mnima del haz ms bajo sea de 300 mm, pero difieren con respecto a la altura mnima del haz ms alto. ISO EN establece 900 mm, mientras que US CAN establece 1200 mm. El valor para el haz ms alto parece ser irrelevante. Al considerar una aplicacin de alcance a travs, la altura del haz ms alto tiene que ser mucho ms alta para adaptarse a un operador de pie. Si el operador puede alcanzar por arriba del plano de deteccin, entonces se aplican los criterios de alcanzar por arriba. Uno o varios haces Los haces individuales o mltiples son definidos en ms detalle por las normas ISO EN. Las siguientes figuras muestran las alturas prcticas de mltiples haces arriba del suelo. La penetracin de profundidad es 850 mm en la mayora de los casos y 1200 mm para el uso de haz individual. En comparacin, la aproximacin US CAN toma esto en consideracin mediante los requisitos de alcanzar al otro lado. Siempre debe tenerse en consideracin si es necesario pasar por encima, por debajo o alrededor de uno o mltiples haces. N. de haces 1 2 3 4
o

SAFEBOOK 4

Altura por encima del piso mm (pulg.) 750 (29,5) 400 (15,7), 900 (35,4) 300 (11,8), 700 (27,5), 1100 (43,3) 300 (11,8), 600 (23,6), 900 (35,4), 1200 (47,2)

C mm (pulg.) 1200 (47,2) 850 (33,4) 850 (33,4) 850 (33,4)

Clculos de distancia
En el caso de aproximacin normal a las cortinas de luz, el clculo de la distancia de seguridad para ISO EN y US CAN es parecido, pero existen diferencias. En el caso de aproximacin normal a cortinas de luz verticales, donde la sensibilidad del objeto es un mximo de 40 m, la aproximacin ISO EN requiere dos pasos. Primero, calcular S usando 2000 como la constante de velocidad. S = 2000 x T + 8 x (d -1 4) La distancia mnima a la que puede estar S es 100 mm.

61

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Un segundo paso puede usarse cuando la distancia es mayor que 500 mm. Entonces, el valor de K puede reducirse a 1600. Cuando se usa K = 1600, el valor mnimo de S es 500 mm. La aproximacin de US CAN utiliza un mtodo de un paso: Ds = 1600 x T * Dpf Esto causa diferencias mayores del 5% entre las normas, cuando el tiempo de respuesta es menor que 560 ms. Aproximaciones en ngulo La mayora de las aplicaciones de cortinas de luz y escneres se instalan en plano vertical (aproximacin normal) u horizontal (aproximacin en paralelo). Estas instalaciones nos son consideradas angulares si estn dentro de 5 del diseo propuesto. Cuando el ngulo excede 5, deben tenerse en cuenta los riesgos potenciales (por ej., distancias ms cortas) de aproximaciones previstas. En general, los ngulos mayores de 30 con respecto al plano de referencia (por ej., el suelo) deben considerarse normales y los ngulos menores de 30 deben considerarse paralelos. Tapetes de seguridad Con los tapetes de seguridad, la distancia de seguridad debe tener en cuenta el ritmo de los pasos y la zancada de los operadores. Suponiendo que el operador est caminando y los tapetes de seguridad estn instalados sobre el suelo. El primer paso que da el operador sobre el tapete es un factor de penetracin de profundidad de 1200 mm o 48 pulg. Si el operador debe subirse sobre una plataforma, entonces el factor de penetracin de profundidad puede reducirse por un factor del 40% de la altura del paso. Ejemplo Ejemplo: Un operador se aproxima de manera normal a una cortina de luz de 14 mm, que est conectada a un rel de control de seguridad que est conectado a un contactor activado a CC con un supresor de diodos. El tiempo de respuesta del sistema de seguridad, Tr, es 20 + 15 + 95 = 130 ms. El tiempo de parada de la mquina, Ts+Tc, es 170 ms. No se usa monitor de freno. El valor Dpf es 1 pulgada y el valor C es cero. El clculo sera como se indica a continuacin: Dpf = 3,4 (14 6,875) = 1 pulg. (24,2 mm) Ds = K x (Ts + Tc + Tr + Tbm) + Dpf Ds = 63 x (0,17 + 0,13 + 0) + 1 Ds = 63 x (0,3) + 1 Ds = 18,9 + 1 Ds = 19,9 pulg. (505 mm) C = 8 (14-14) = 0 S=KxT+C S = 1600 x (0,3) + 0 S = 480 mm (18,9 pulg.)

Por lo tanto, la distancia de seguridad mnima a la que la cortina de luz de seguridad debe instalarse con respecto al punto de peligro es 20 pulgadas o 508 mm, en el caso de mquinas que se usen en cualquier lugar del mundo.

62

Prevencin de una puesta en marcha intempestiva


Prevencin de puesta en marcha intempestiva
Muchas normas abarcan la prevencin de una puesta en marcha intempestiva. Algunos ejemplos son ISO 14118, EN 1037, ISO 12100, OSHA 1910.147, ANSI Z244-1, CSA Z460-05 y AS 4024.1603. Estas normas tienen un tema en comn: el mtodo primario de evitar la activacin inesperada es desconectar la energa del sistema y bloquear el sistema en estado desactivado. El propsito es permitir el ingreso seguro de personas a las zonas peligrosas de la mquina. Consignacion Las nuevas mquinas deben construirse con dispositivos bloqueables de aislamiento de energa. Los dispositivos se aplican a todos los tipos de energa, tales como elctrica, hidrulica, neumtica, de gravedad y lser. Bloqueo significa aplicar un bloqueo a un dispositivo aislador de energa. El bloqueo slo debe ser retirado por quien lo haya puesto o por un supervisor bajo condiciones controladas. Cuando varias personas deben trabajar en la mquina, cada persona debe aplicar sus bloqueos a los dispositivos de aislamiento de energa. Cada bloqueo debe ser identificable a quien los haya puesto. En los EE.UU. el etiquetado de seguridad es una alternativa al bloqueo de mquinas antiguas si nunca se instal un dispositivo bloqueable. En este caso la mquina se desactiva y se coloca una etiqueta para advertir a todo el personal que no arranque la mquina mientras el portador de la etiqueta est trabajando en ella. A partir de 1990, las mquinas modificadas deben actualizarse para incluir un dispositivo aislador de energa bloqueable. Un dispositivo aislador de energa es un dispositivo mecnico que evita fsicamente la transmisin o la liberacin de energa. Estos dispositivos pueden ser un interruptor automtico, un desconectador, un interruptor operado manualmente, una combinacin de conector/socket o una vlvula de operacin manual. Los dispositivos de aislamiento elctrico deben desconectar las fases de alimentacin de suministro sin conexin a tierra y ningn polo debe funcionar independientemente. El propsito del bloqueo y etiquetado de seguridad es evitar el arranque inesperado de la mquina. El arranque inesperado puede ser resultado de varias causas: Un fallo del sistema de control; una accin inapropiada en un control de arranque, sensor, contactor o vlvula; restauracin de la alimentacin elctrica despus de una interrupcin, o alguna otra influencia interna o externa. Despus de realizar el procedimiento de bloqueo o etiquetado de seguridad, debe verificarse la disipacin de energa. Sistemas de aislamiento de seguridad Los sistemas de aislamiento de seguridad ejecutan la desactivacin ordenada de una mquina, y tambin proporcionan un mtodo fcil de bloquear la alimentacin elctrica a una mquina. Este mtodo funciona bien para sistemas de fabricacin y

SAFEBOOK 4

63

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


mquinas de mayor tamao, especialmente cuando varias fuentes de energa estn ubicadas a nivel de entresuelo o en lugares distantes. Interruptores de corte de carga Para el aislamiento local de dispositivos elctricos es posible colocar interruptores justo antes del dispositivo que necesita aislarse y bloquearse. Los interruptores de carga referencia 194E son un ejemplo de un producto con capacidad de aislamiento y bloqueo. Sistemas con atrapamiento de llave Los sistemas con atrapamiento de llave son otro mtodo para implementar un sistema de bloqueo. Muchos sistemas con atrapamiento de llave comienzan con un dispositivo aislador de energa. Cuando el interruptor es desactivado por la llave primaria, se desconecta la energa elctrica a la mquina simultneamente de todos los conductores de alimentacin sin conexin a tierra. La llave primaria puede retirarse y llevase a un lugar donde se requiera acceso a la mquina. Es posible aadir varios componentes para configuraciones de bloqueo ms complejas. Medidas alternativas al bloqueo El bloqueo y el etiquetado de seguridad deben usarse durante las tareas de servicio o mantenimiento de las mquinas. La proteccin incluye intervenciones de mquinas durante las operaciones normales de produccin. La diferencia entre las operaciones de servicio/mantenimiento y las operaciones normales de produccin no siempre es clara. Algunos ajustes menores y tareas de servicio que se llevan a cabo durante las operaciones de produccin normales no necesariamente requieren que se bloquee la mquina. Algunos ejemplos son carga y descarga de materiales, cambios y ajustes menores en las herramientas, niveles de lubricacin de servicio y retirar el material de desecho. Estas tareas deben ser rutinarias, repetitivas e integrales al uso del equipo de produccin, y el trabajo se debe realizar usando medidas alternativas, tales como medidas eficaces de proteccin. Las medidas de proteccin incluyen dispositivos como resguardos de enclavamiento, cortinas de luz y tapetes de seguridad. Con la lgica de seguridad y los dispositivos de salida apropiados, los operadores pueden obtener acceso de manera segura a las zonas peligrosas de la mquina durante las tareas de produccin normales y de servicio de mantenimiento menor.

64

Sistemas de control relacionados a la seguridad y seguridad funcional


Sistemas de mando relativos a la seguridad
Introduccin Qu es un sistema de control relacionado a la seguridad (conocido por la abreviatura SRCS)? Es la parte del sistema de mando relativos a la seguridad de una mquina que evita que se presente una condicin peligrosa. Puede ser un sistema dedicado independiente o puede estar integrado al sistema de control normal de la mquina. Su complejidad puede variar desde un sistema simple, como un interruptor de enclavamiento de puerta de resguardo y un interruptor de parada de emergencia conectados en serie, una bobina de control de un contactor de alimentacin elctrica, y hasta un sistema complejo con dispositivos simples y complejos que se comunican a travs de software y hardware. Los sistemas de mando relativos a la seguridad estn diseados para realizar funciones de seguridad. Los sistemas de mando relativos a la seguridad (SRCS) deben continuar funcionando correctamente en todas las condiciones previsibles. Por lo tanto qu es una funcin de seguridad; cmo diseamos un sistema que logre seguridad, y cuando lo hayamos hecho, cmo lo demostramos? Funcin de seguridad Una funcin de seguridad es implementada por las partes del sistema de control de la mquina relacionadas a la seguridad para poner o mantener el equipo bajo control en un estado de seguridad con respecto a un peligro especfico. Un fallo de la funcin de seguridad puede resultar en el aumento inmediato de los riesgos de usar el equipo, es decir, una condicin peligrosa. Una mquina debe tener por lo menos un peligro, de lo contrario no es una mquina. Una condicin peligrosa es cuando una persona queda expuesta a un peligro. Una condicin peligrosa no implica que la persona sufra dao. La persona expuesta puede tener capacidad de reconocer el peligro y evitar ser lesionada. La persona expuesta podra no ser capaz de reconocer el peligro, o el peligro puede ser causado por un arranque inesperado. La tarea principal del diseador del sistema de seguridad es evitar condiciones peligrosas y los arranques inesperados. La funcin de seguridad a menudo puede describirse con requisitos de mltiples partes. Por ejemplo, la funcin de seguridad iniciada por una resguardo de enclavamiento tiene tres partes: 1. Los puntos peligrosos protegidos por la resguardo no pueden operar mientras la resguardo no est cerrada; 2. Abrir la resguardo causa que el punto peligroso se detenga si est operativo al momento de abertura; y 3. El cierre de la resguardo no inicia el arranque del punto peligroso protegido por la resguardo.

SAFEBOOK 4

65

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Al establecer la funcin de seguridad para una aplicacin especfica, la frase punto peligroso debe cambiarse al nombre del punto peligroso especfico. El peligro no debe confundirse con los resultados del peligro. La trituracin, los cortes y las quemaduras son resultados de un peligro. Un ejemplo de un punto peligroso es un motor, un ariete, una cuchilla, un soplete, una bomba, un lser, un robot, un efector final, un solenoide, una vlvula, otro tipo de accionador o un peligro mecnico que implica gravedad. Al tratar los sistemas de seguridad se utiliza la frase al imponer o antes de que se imponga una demanda sobre una funcin de seguridad. Qu es una demanda impuesta sobre una funcin de seguridad? Algunos ejemplos de demandas impuestas sobre la funcin de seguridad son la abertura de una resguardo de enclavamiento, la interrupcin de una cortina de luz, pisar un tapete de seguridad o presionar un botn de parada de emergencia. Un operador demanda que se detenga el punto peligroso o que permanezca desenergizado si ya est detenido. Las partes relacionadas a la seguridad del sistema de control de la mquina ejecutan la funcin de seguridad. La funcin de seguridad no es ejecutada por un solo dispositivo, por ejemplo solamente la resguardo. El enclavamiento de la resguardo enva un comando a un dispositivo lgico el cual, a su vez, inhabilita un accionador. La funcin de seguridad se inicia con el comando y termina con la implementacin. El sistema de seguridad debe disearse con un nivel de integridad acorde con los riesgos de la mquina. Los riesgos ms altos requieren niveles de integridad mayores para asegurar el rendimiento de la funcin de seguridad. Los sistemas de seguridad de la mquina pueden clasificarse en niveles de rendimiento de su capacidad para asegurar la funcin de seguridad o, en otras palabras, su nivel de integridad de seguridad funcional.

Seguridad funcional de sistemas de control


Importante: Las normas y los requisitos considerados en esta seccin son relativamente nuevos. Todava se siguen realizando trabajos de prueba en algunos aspectos especialmente relacionados a la aclaracin y combinacin de algunas de estas normas. Por lo tanto, es probable que haya cambios sobre algunos de los detalles proporcionados en estas pginas. Para obtener la informacin ms reciente, consulte: http://www.ab.com/safety. Qu es la seguridad funcional? La seguridad funcional es la parte de la seguridad global que depende del funcionamiento correcto del proceso o del equipo en respuesta a sus entradas. La IEC TR 61508-0 proporciona el siguiente ejemplo para ayudar a aclarar el significado de la seguridad funcional. Un ejemplo de seguridad funcional es un dispositivo de pro-

66

Sistemas de control relacionados a la seguridad y seguridad funcional


teccin contra sobretemperatura que utiliza un sensor trmico en los bobinados de un motor elctrico para desactivar el motor antes de que pueda calentarse en exceso. Sin embargo, proporcionar aislamiento especial para resistir altas temperaturas no es un ejemplo de seguridad funcional (aunque es un ejemplo de seguridad y podra proteger precisamente contra el mismo peligro). Como otro ejemplo comparemos una proteccin basada en hardware con una resguardo con enclavamiento. La resguardo basada en hardware no se considera seguridad funcional aunque puede proteger contra el acceso al mismo punto peligroso que una puerta con enclavamiento. La puerta con enclavamiento es un ejemplo de seguridad funcional. Si se abre la resguardo, el enclavamiento acta como entrada para un sistema que alcanza un estado de seguridad. De manera similar se utiliza equipo de proteccin personal (PPE) como medida de proteccin para ayudar a aumentar la seguridad del personal. El equipo de proteccin personal no se considera seguridad funcional. La seguridad funcional es un trmino introducido en la norma IEC 61508:1998. Desde entonces el trmino se ha asociado algunas veces con los sistemas de seguridad programables. Esto es un concepto errneo. La seguridad funcional cubre una amplia gama de dispositivos usados para crear sistemas de seguridad. Dispositivos tales como enclavamientos, cortinas de luz, rels de seguridad, PLC de seguridad, contactores de seguridad y variadores de seguridad se interconectan para formar un sistema de seguridad, el cual realiza una funcin especfica relacionada con la seguridad. Esto es seguridad funcional. Por lo tanto, la seguridad funcional de un sistema de control elctrico es muy importante para el control de peligros que surgen de las piezas en movimiento de la maquinaria. Se necesita dos tipos de requisitos para lograr seguridad funcional: la funcin de seguridad y la integridad de la seguridad.

SAFEBOOK 4

La evaluacin de riesgos desempea un papel clave en el desarrollo de los requisitos de seguridad funcional. La tarea y el anlisis de riesgos indican los requisitos de la funcin de seguridad (es decir la funcin de seguridad). La cuantificacin de riesgos produce los requisitos de integridad de seguridad (por ejemplo la integridad de seguridad o el nivel de rendimiento). Cuatro normas de seguridad funcional importantes para sistema de control para maquinaria son: 1. IEC/EN 61508 Seguridad funcional de sistemas de control elctricos, electrnicos y electrnicos programables relacionados con la seguridad Esta norma contiene los requisitos y las disposiciones aplicables al diseo de complejos sistemas y subsistemas electrnicos y programables. La norma es genrica; por lo tanto no est restringida al sector de mquinas.

67

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


2. IEC/EN 62061 Seguridad de mquinas Seguridad funcional de sistemas de control elctricos, electrnicos y electrnicos programables relacionados con la seguridad Esta norma es la implementacin especfica para maquinarias de IEC/EN 61508. Proporciona requisitos aplicables al diseo de nivel del sistema de todos los tipos de seguridad de maquinaria relacionada con sistemas de control elctricos y tambin al diseo de subsistemas o dispositivos no complejos. Requiere que los subsistemas programables o complejos satisfagan los requisitos de la norma IEC/EN 61508 3. EN ISO 13849-1:2008 Seguridad de mquinas Piezas de los sistemas de control relacionadas a la seguridad Esta norma est destinada a proporcionar una ruta de transicin directa desde las categoras de la norma anterior EN 954-1 4. IEC 61511 Seguridad funcional Sistemas de instrumentos de seguridad para el sector de la industria de procesos Esta norma es la implementacin especfica en el sector de procesos de IEC/EN 61508 Las normas de seguridad funcional representan un paso importante ms all de los requisitos existentes conocidos, tales como control fiable y sistemas de categoras ISO 13849-1:1999 (EN 954-1:1996) previas. Las categoras no desaparecen completamente, tambin son utilizadas en las normas actuales EN ISO 13849-1 que utiliza el concepto de seguridad funcional y que ha introducido nueva terminologa y nuevos requisitos. Tiene adiciones significativas y diferencias con la norma antigua EN 954-1 (ISO 13849-1:1999). En esta seccin nos referiremos a la versin actual como EN ISO 13849-1. (EN ISO 13849-1:2008 tiene el mismo texto que ISO 13849-1:2006). IEC/EN 62061 e EN ISO 13849-1:2008 Tanto IEC/EN 62061 como ISO/EN 13849-1 abarcan sistemas de control elctricos relacionados con la seguridad. El objetivo es que eventualmente se combinen como dos partes de una norma con terminologa comn. Ambas normas producen los mismos resultados pero emplean mtodos diferentes. Su propsito es proporcionar a los usuarios una opcin para seleccionar el ms idneo para su situacin. Un usuario puede decidir usar cualquiera de las normas, y ambas estn armonizadas bajo la Directiva Europea de Maquinarias. Los resultados de ambas normas son niveles comparables de rendimiento de seguridad o integridad. Las metodologas de cada norma tienen diferencias apropiadas para usuarios especficos. La metodologa descrita en IEC/EN 62061 tiene el propsito de permitir funcionalidad de seguridad compleja que puede ser implementada por arquitecturas de sistemas

68

Sistemas de control relacionados a la seguridad y seguridad funcional


que antes eran no convencionales. La metodologa de EN ISO 13849-1 est diseada para proporcionar una ruta ms directa y menos complicada para la funcionalidad de seguridad convencional implementada por arquitecturas de sistema convencionales. Una distincin importante entre estas dos normas es la aplicabilidad a varias tecnologas. La normativa IEC/EN 62061 est limitada a sistemas elctricos. EN ISO 13849-1 puede aplicarse a sistemas neumticos, hidrulicos y mecnicos, as como a sistemas elctricos. Informe tcnico conjunto acerca de las normas IEC/EN 62061 y EN ISO 13849-1 Se ha preparado un informe conjunto sobre las normas IEC y ISO para ayudar a los usuarios de ambas normas. El reporte explica la relacin entre las dos normas y explica cmo puede obtenerse la equivalencia entre PL (nivel de rendimiento) de EN ISO 13849-1 y SIL (nivel de integridad de seguridad) de IEC/EN 62061 ambas a nivel de sistema y subsistema. Para mostrar que ambas normas dan resultados equivalentes, el informe muestra un ejemplo de sistema de seguridad calculado segn las metodologas de ambas normas. El informe tambin aclara una serie de aspectos que han sido objeto de varias interpretaciones. Quizs uno de los aspectos ms importantes es el de exclusin de fallo. En general, cuando se requiere un PLe para una funcin de seguridad a ser implementada por el sistema de control relacionado a la seguridad, no es normal confiar slo en las exclusiones de fallo para lograr este nivel de resultados. Esto depende de la tecnologa utilizada y del entorno de funcionamiento previsto. Por lo tanto es esencial que el diseador tenga especial cuidado con el uso de las exclusiones de fallos a medida que aumenta el requisito de PL. En general, el uso de exclusiones de fallo no se aplica a los aspectos mecnicos de los interruptores de posicin electromecnicos y a los interruptores operados manualmente (por ej., el dispositivo de parada de emergencia) para poder lograr el PLe en el diseo de un sistema de control relacionado a la seguridad. Aquellas exclusiones de fallo que pueden ser aplicadas a condiciones especficas de fallo mecnico (por ej., desgaste/corrosin, fractura) se describen en la Tabla A.4 de ISO 13849-2. Por ejemplo, un sistema de enclavamiento de puerta que tiene que lograr un PLe debe incorporar una tolerancia de fallo mnima de 1 (por ej., dos interruptores de posicin mecnicos convencionales) para poder llegar a este nivel de rendimiento ya que no es normalmente justificable excluir fallos, tales como, accionadores de conmutacin inoperables. Sin embargo puede ser aceptable excluir fallos, tales como un cortocircuito de cableado dentro de un panel de control diseado de acuerdo a las normas pertinentes.

SAFEBOOK 4

69

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


SIL e IEC/EN 62061 IEC/EN 62061 describe tanto la magnitud de riesgo que debe reducirse como la capacidad del sistema de control de reducir dicho riesgo en trminos de SIL (nivel de integridad de seguridad). Se usan tres niveles SIL en el sector de maquinaria; SIL1 es el ms bajo y SIL3 es el ms alto. Puesto que el trmino SIL se aplica de la misma manera en otros sectores industriales, tales como productos petroqumicos, generacin de energa y ferrocarriles, IEC/EN 62061 es muy til cuando la maquinaria se usa dentro de dichos sectores. Pueden ocurrir riesgos de mayor magnitud en otros sectores como la industria de procesos, y por esa razn IEC 61508 y el estndar especfico para el sector de procesos IEC 61511 incluyen SIL4. El SIL se aplica a una funcin de seguridad. Los subsistemas que conforman el sistema que implementa la funcin de seguridad deben tener la capacidad SIL apropiada. Esto algunas veces se conoce como lmite de declaracin de SIL (SIL CL). Se requiere un estudio completo y detallado de IEC/EN 62061 para poder aplicarlo correctamente. PL y EN ISO 13849-1:2008 EN ISO 13849-1:2008 no utiliza el trmino SIL; en lugar de ello utiliza el trmino PL (nivel de rendimiento). En muchos aspectos PL puede relacionarse con SIL. Existen cinco niveles de rendimiento, PLa es el ms bajo y PLe es el ms alto. Comparacin de PL y SIL Esta tabla muestra la relacin aproximada entre PL y SIL cuando se aplica a estructuras de circuitos tpicos. PL (Nivel de rendimiento) a b c d e PFHd (Probabilidad de fallos peligrosos por hora) 105 a <104 3 x 10 a <10
6 5

SIL (Nivel de integridad de seguridad) Ninguno 1 1 2 3

106 a <3 x 106 107 a <106 10 a <10


8 7

Correspondencia aproximada entre PL y SIL

70

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


IMPORTANTE: La tabla anterior se proporciona como orientacin general y NO debe usarse para fines de conversin. Deben referenciarse los requisitos totales de las normas.

SAFEBOOK 4

Diseo del sistema de acuerdo a la norma EN ISO 13849 y SISTEMA


Se requiere un estudio completo y detallado de EN ISO 13849-1:2008 para poder aplicarlo correctamente. La siguiente es una descripcin general breve: Esta norma proporciona requisitos para el diseo y la integracin de las piezas relacionadas a la seguridad de los sistemas de control e incluye algunos aspectos de software. La norma aplica a un sistema relacionado a la seguridad, pero tambin puede ser aplicada a las piezas que componen el sistema. Herramienta de clculo PL del software SISTEMA SISTEMA es una herramienta software para la implementacin de EN ISO 13849-1. Su uso simplifica ampliamente la implementacin de la norma. SISTEMA representa las siglas en ingls de Safety Integrity Software Tool for the Evaluation of Machine Applications [Herramienta de software de integridad de seguridad para la evaluacin de aplicaciones de mquinas]). Fue desarrollada por BGIA en Alemania y est disponible para uso gratuito. Requiere la introduccin de varios tipos de datos de seguridad funcional, como se describe posteriormente en esta seccin. Los datos pueden ingresarse manual o automticamente usando una biblioteca de datos SISTEMA del fabricante. La biblioteca de datos SISTEMA de Rockwell Automation est disponible para descarga, junto con un vnculo al sitio de descarga de SISTEMA, en: www.discoverrockwellautomation.com/safety Descripcin general de EN ISO 13849-1 Esta norma tiene una amplia aplicabilidad, ya que puede aplicarse a todas las tecnologas, incluidas elctrica, hidrulica, neumtica y mecnica. Aunque la norma ISO 13849-1 se aplica a sistemas complejos, tambin dirige al lector a las normas IEC 62061 e IEC 61508 para complejos sistemas incorporados de software. Examinemos las diferencias bsicas entre la antigua norma EN 954-1 y la nueva norma EN ISO 13849-1. Las salidas de la norma antigua eran categoras [B, 1, 2, 3 4]. Las salidas de la norma nueva son niveles de rendimiento [PL a, b, c, d, e]. El concepto de categora se conserva, pero deben satisfacerse requisitos adicionales antes de que PL pueda aseverarse para un sistema.

71

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Los requisitos pueden enumerarse de manera bsica de la siguiente forma: Arquitectura del sistema. Esencialmente esto captura lo que conocemos como categoras Se requiere fiabilidad de informacin para las partes que constituyen el sistema Se requiere cobertura de diagnstico [DC] del sistema. Esto representa de manera eficaz el nivel de monitorizacin de fallos en el sistema Proteccin contra fallo por causa comn Proteccin contra fallos sistemticos Requisitos especficos para el software cuando sea pertinente

Ms adelante examinamos estos factores en mayor detalle, pero antes es necesario considerar el propsito y el principio bsico de toda la norma. En esta etapa es claro que hay nuevos puntos que aprender, pero los detalles tendrn ms sentido una vez que hayamos entendido lo que se trata de lograr y por qu. En primer lugar, por qu necesitamos la nueva norma? Es obvio que la tecnologa utilizada en los sistemas de seguridad de la mquina ha progresado y cambiado de manera considerable a lo largo de los ltimos diez aos. Hasta hace relativamente poco, los sistemas de seguridad dependan de equipos simples con modos de fallo predecibles y previsibles. Ms recientemente hemos visto un incremento en el uso de dispositivos programables y electrnicos complejos en los sistemas de seguridad. Esto nos ha dado ventajas en trminos de costes, flexibilidad y compatibilidad pero tambin ha causado que las normas pre-existentes ya no sean adecuadas. Para poder saber si un sistema de seguridad es lo suficientemente bueno, necesitamos conocer ms acerca de l. sta es la razn por la cual la nueva norma pide mayor informacin. A medida que los sistemas de seguridad comienzan a utilizar un enfoque ms similar a la caja negra, necesitamos confiar ms en su cumplimiento normativo. Por lo tanto esas normas necesitan ser capaces de interrogar adecuadamente la tecnologa. Para poder cumplir con estos requisitos es necesario ocuparse de los factores bsicos de fiabilidad, deteccin de fallos, integridad sistemtica y arquitectnica. sta es la intencin de EN ISO 13849-1. Con el objeto de trazar un curso lgico a travs de la norma es necesario considerar dos tipos de usuarios fundamentalmente diferentes: Los diseadores de subsistemas relacionados a la seguridad, y los diseadores de sistemas relacionados a la seguridad. En general el diseador de subsistemas [normalmente un fabricante de componentes de seguridad] est sujeto a un mayor nivel de complejidad. Debe proporcionar la informacin requerida para que el diseador del sistema pueda asegurar que el subsistema tenga la integridad adecuada para el sistema. Esto normalmente requeiere pruebas, anlisis y clculos. Los resultados se expresan en formato de datos requeridos por la norma.

72

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


El diseador del sistema [tpicamente un diseador o integrador de mquinas] usa los datos del subsistema para realizar algunos clculos relativamente sencillos para determinar el nivel de rendimiento [PL] total del sistema. PLr se usa para indicar el nivel de rendimiento requerido por la funcin de seguridad. Para determinar el PLr, la norma proporciona un grfico de riesgos dentro del cual se ingresan los factores de gravedad de lesin de la aplicacin, la frecuencia de exposicin y la posibilidad de evitarla.
P1 F1 S1 F2 Arranque F1 S2 F2 P2 P1 P2 P1 P2 P1 P2
Grfico de riesgos del Anexo A de EN ISO 13849-1

SAFEBOOK 4

a b c d e
S1 P1 F1 S2 F2 P2 P2 P1

Categoras B 1 2 3 4

Grfico de riesgos del Anexo B de EN 945-1

La salida es el PLr. Los usuarios de la antigua EN 954-1 estn familiarizados con este enfoque, pero note que la lnea S1 ahora subdivide mientras que el grfico de riesgos antiguo no lo haca. Note que esto significa una posible reconsideracin de medidas de seguridad requeridas para niveles de riesgo ms bajos. Sin embargo, an queda una parte muy importante sin cubrir. Ahora sabemos por la norma cun bueno debe ser el sistema y tambin cmo determinar cun bueno es, pero no sabemos qu debe hacer. Necesitamos decidir cul es la funcin de seguridad. Es claro que la funcin de seguridad debe ser apropiada a la tarea, entonces cmo aseguramos esto? De qu manera nos ayuda la norma? Es importante darse cuenta de que la funcionalidad requerida slo puede determinarse considerando las caractersticas que prevalecen en la aplicacin actual. Esto puede considerarse como la etapa de diseo del concepto de seguridad. No puede ser completamente cubierta por la norma porque la norma no conoce todas las caractersticas de una aplicacin especfica. Esto generalmente tambin se aplica al fabricante de mquinas que produce la mquina, pero que no necesariamente conoce las condiciones exactas de uso. La norma ofrece ayuda al listar muchas de las funciones de seguridad usadas comnmente (por ej., la funcin de parada de seguridad iniciada por proteccin, funcin de muting, funcin de arranque/rearranque) y proporcionar algunos

73

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


requisitos normalmente asociados. Otras normas tales como EN ISO 12100: Principios de diseo bsico y EN ISO 14121: Usar la evaluacin de riesgos es altamente recomendable en esta etapa. Adems existe una amplia gama de normas especficas para mquinas que proporcionan soluciones para mquinas especficas. Dentro de las normas EN europeas se denominan normas tipo C, y algunas de ellas tienen equivalentes exactos en las normas ISO. Por lo tanto, ahora podemos ver que la etapa de diseo del concepto de seguridad depende del tipo de mquina y tambin de las caractersticas de la aplicacin y del entorno en el que se usa. El constructor de la mquina debe anticipar estos factores para poder disear un concepto de seguridad. Las condiciones previstas [es decir, anticipadas] de uso deben aparecer en el manual del usuario. El usuario de la mquina debe revisar que coincidan con las condiciones de uso reales. Entonces ahora tenemos la descripcin de la funcionalidad de seguridad. Del anexo A de la norma tambin tenemos el nivel de rendimiento requerido [PLr] para las partes del sistema de control relacionadas a la seguridad [SRP/CS] que se usan para implementar esta funcionalidad. Ahora necesitamos disear el sistema y asegurar que cumpla con el PLr. Uno de los factores significativos en la decisin de qu norma usar [EN ISO 138491 o EN/IEC 62061] es la complejidad de la funcin de seguridad. En la mayora de los casos para maquinaria, la funcin de seguridad es relativamente simple y EN ISO 13849-1 es la ruta ms adecuada. Informacin de fiabilidad, cobertura del diagnstico [DC], [categora] de la arquitectura del sistema, fallo por causa comn y, donde sea pertinente, se utilizan requisitos para software para evaluar los PL. sta es una descripcin simplificada con el solo propsito de dar una descripcin general. Es importante comprender que deben aplicarse todas las provisiones proporcionadas en el texto de la norma. Sin embargo, hay ayuda a la mano. La herramienta software SISTEMA est disponible para ayudar con los aspectos de clculo y documentacin. Ello tambin produce un expediente tcnico. Al momento de impresin de esta publicacin, SISTEMA est disponible en alemn y en ingls. Las versiones en otros idiomas estarn disponibles dentro de poco. BGIA, quien desarroll SISTEMA, es una reconocida institucin de investigacin y pruebas, con sede en Alemania. Est particularmente involucrada en la solucin de problemas tcnicos y cientficos relacionados a la seguridad en el contexto de prevencin y seguros contra accidentes estatutarios en Alemania. Trabaja en conjunto con agencias de seguridad y salud ocupacional en ms de 20 pases. Expertos de BGIA, junto con sus colegas de BG, participaron de manera significativa en la elaboracin de las normas EN ISO 13849-1 y IEC/EN 62061.

74

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


La biblioteca de datos de componentes de seguridad de Rockwell Automation para uso con SISTEMA est disponible en: www.discoverrockwellautomation.com/safety Cualquiera que sea la forma de calcular el PL, es importante comenzar a partir de un fundamento correcto. Necesitamos ver nuestro sistema de la misma manera que la norma; entonces empecemos con eso. Estructura del sistema Cualquier sistema puede ser dividido en componentes bsicos del sistema o subsistemas. Cada subsistema tiene su propia funcin discreta. La mayora de los sistemas pueden ser divididos en tres funciones bsicas: entrada, solucin lgica y actuacin [algunos sistemas simples quizs no tengan solucin lgica]. Los grupos de componentes que implementan estas funciones son los subsistemas.

SAFEBOOK 4

Subsistema de entrada

Subsistema lgico

Subsistema de salida

Cualquier sistema puede ser dividido en componentes bsicos del sistema o subsistemas. Cada subsistema tiene su propia funcin discreta. La mayora de los sistemas pueden ser divididos en tres funciones bsicas: entrada, solucin lgica y actuacin [algunos sistemas simples quizs no tengan solucin lgica]. Los grupos de componentes que implementan estas funciones son los subsistemas.
Dispositivo de salida Dispositivo de salida

Interruptor de final de carrera

Contactor de seguridad

Interruptor de enclavamiento y contactor de seguridad

Arriba se muestra un ejemplo sencillo de sistema elctrico de canal individual. Slo comprende subsistemas de entrada y de salida.

75

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Dispositivo de salida Subsistema lgico Subsistema de salida

Salida a otros sistemas


Interruptor de final de carrera SmartGuard 600 Contactor de seguridad

Interruptor de enclavamiento, controlador de seguridad y contactor de seguridad

El sistema es un poco ms complejo porque se requiere algo de lgica. El controlador de seguridad es internamente tolerante a fallo (es decir, de doble canal), pero todo el sistema est an limitado a un estado de canal individual debido al interruptor de final de carrera simple y al contactor nico.
Subsistema de entrada Subsistema lgico Subsistema de salida

Interruptor de final de carrera

SmartGuard 600

Contactor de seguridad

Sistema de seguridad de doble canal

Tomando la arquitectura bsica del diagrama anterior, tambin hay algunas puntos que se deben tomar en consideracin. Primero, cuntos canales tiene el sistema? Un sistema de canal individual falla si uno de sus subsistemas falla. Un sistema de doble canal [tambin llamado redundante] debe tener dos fallos, uno en cada canal, antes de que el sistema falle. Debido a que tiene doble canal puede tolerar un fallo nico y seguir funcionando. El diagrama anterior muestra un sistema de doble canal.

76

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


Obviamente un sistema de doble canal tiene menos probabilidad de fallar y entrar en condicin peligrosa que un sistema de canal individual. Pero podemos hacerlo an ms fiable [en trminos de su funcin de seguridad] si incluimos medidas de diagnstico para deteccin de fallos. Por supuesto, despus de haber detectado el fallo tambin debemos reaccionar al mismo y poner el sistema en estado de seguridad. El siguiente diagrama muestra la inclusin de las medidas de diagnstico logradas por las tcnicas de monitorizacin.
Subsistema de entrada Subsistema lgico
Monitorizacin

SAFEBOOK 4

Subsistema de salida

Monitorizacin Monitorizacin

Interruptor de final de carrera

SmartGuard 600

Contactor de seguridad

Diagnsticos con un sistema de seguridad de doble canal

Generalmente [aunque no siempre] el sistema comprende doble canal en todos sus subsistemas. Por lo tanto, podemos ver que en este caso cada subsistema tiene dos subcanales. La norma describe estos como bloques. Un subsistema de doble canal tiene un mnimo de dos bloques, y un subsistema de canal individual tiene un mnimo de un bloque. Es posible que algunos sistemas comprendan una combinacin de bloques de doble canal y de canal individual. Si deseamos investigar el sistema en mayor profundidad debemos ver las partes que componen los bloques. La herramienta SISTEMA utiliza el trmino elementos para estas partes de los componentes.

77

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Elemento

Subsistema de entrada

Elemento Bloque

Subsistema lgico

Subsistema de dispositivos

CANAL 1

Monitorizacin

Varillaje

Contactos
Monitorizacin

CANAL 2

Varillaje

Contactos

Bloque

Monitorizacin

Interruptor de final de carrera Elemento Elemento

SmartGuard 600 Diagnsticos

Contactor de seguridad Diagnsticos

Sistema subdividido con diagnsticos con sistema de seguridad de doble canal

El subsistema de interruptores de final de carrera se muestra subdividido hasta su nivel de elemento. El subsistema de contactor de salida est subdividido hasta su nivel de bloque, y el subsistema lgico no est subdividido. La funcin de monitorizacin tanto para los interruptores de final de carrera como para los contactores se realiza en el controlador lgico. Por lo tanto, los cuadros que representan los subsistemas de interruptor de final de carrera y contactor tienen una pequea superposicin con el cuadro del subsistema lgico. Este principio de subdivisin de sistema puede reconocerse en la metodologa indicada en EN ISO 13849-1 y en el principio de estructura de sistema bsico para la herramienta SISTEMA. Sin embargo, es importante notar que existen algunas diferencias sutiles. La norma no es restrictiva en su metodologa pero para el mtodo simplificado para el clculo del PL, el primer paso comn es desglosar la estructura del sistema en canales y en los bloques dentro de cada uno de los canales. Con SISTEMA, el sistema generalmente primero se divide en subsistemas. La norma no describe de manera explcita el concepto de subsistema, pero su uso como se da en SISTEMA proporciona un enfoque ms comprensible e intuitivo. Por supuesto no se afecta el clculo final. SISTEMA y la norma utilizan los mismos principios y las mismas frmulas. Es interesante notar que el enfoque de subsistema tambin se utiliza en EN/IEC 62061.

78

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


El sistema que hemos estado utilizando como ejemplo es slo uno de los cinco tipos bsicos de arquitecturas de sistemas que designa la norma. Quienes estn familiarizados con el sistema de categoras pueden reconocer que nuestro ejemplo es representativo de la categora 3 4. La norma utiliza las categoras EN 954-1 originales como sus cinco tipos bsicos de arquitecturas designadas de sistema. Las llama categoras de arquitecturas designadas. Los requisitos para las categoras son casi [pero no del todo] idnticas a aquellas que aparecen en EN 954-1. Las categoras de arquitecturas designadas estn representadas por las siguientes figuras. Es importante notar que stas pueden aplicarse a un sistema completo o a un subsistema. Los diagramas no deben tomarse puramente como estructura fsica; estn diseados ms como representacin grfica de requisitos conceptuales.

SAFEBOOK 4

Dispositivo de entrada
Categora B de arquitectura designada

Lgica

Dispositivo de salida

La categora B de arquitectura designada debe usar principios de seguridad bsicos [vea el anexo de EN ISO 13849-2]. El sistema o subsistema puede fallar en el caso de un fallo nico. Consulte EN ISO 13849-1 para obtener los requisitos completos.

Dispositivo de entrada
Categora 1 de arquitectura designada

Lgica

Dispositivo de salida

La categora 1 de arquitectura designada tiene la misma estructura que la categora B, e igualmente puede fallar en caso de un fallo nico. Pero debido a que tambin debe utilizar principios de seguridad probados [vea el anexo de EN ISO 13849-2], esto es menos probable que para la categora B. Consulte EN ISO 13849-1 para obtener los requisitos completos.

79

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial

Dispositivo de entrada

Cableado

Cableado

Lgica

Dispositivo de salida

Monitorizacin

Prueba
Categora 2 de arquitectura designada

Salida de prueba

La categora 2 de arquitectura designada debe usar principios bsicos de seguridad [vea el anexo de EN ISO 13849-2]. Tambin debe haber monitorizacin de diagnstico a travs de una prueba funcional del sistema o del subsistema. sta debe ocurrir durante la puesta en marcha y luego peridicamente con una frecuencia equivalente a por lo menos cien pruebas por cada demanda sobre la funcin de seguridad. El sistema o el subsistema igualmente puede fallar si ocurre un fallo nico entre las pruebas funcionales, pero esto es normalmente menos probable que en el caso de la categora 1. Vea EN ISO 13849-1 para obtener los requisitos completos.

Dispositivo de entrada

Cableado

Cableado

Lgica
Monitorizacin Cruzada Monitorizacin

Dispositivo de salida

Dispositivo de entrada

Cableado

Cableado

Lgica
Monitorizacin

Dispositivo de salida

Categora 3 de arquitectura designada

La categora 3 de arquitectura designada debe usar principios de seguridad bsicos [vea el anexo de EN ISO 13849-2]. Tambin existe el requisito de que el sistema o subsistema no debe fallar en el caso de un fallo nico. Esto significa que el sistema debe tener tolerancia a fallo nico con respecto a su funcin de seguridad. La forma ms comn de cumplir con este requisito es utilizar una arquitectura de doble canal como se muestra arriba. Adems de ello, tambin se requiere que, siempre que sea posible, se detecte el fallo nico. Este requisito es el mismo que el requisito original para la categora 3 de EN 954-1. En ese contexto el significado de la frase siempre

80

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


que sea posible result ser de alguna manera problemtica. Significaba que la categora 3 podra cubrir todo desde un sistema con redundancia pero sin deteccin de fallo [a menudo denominada de manera descriptiva y apropiada redundancia estpida] a un sistema redundante donde todos los fallos nicos son detectados. Este tema es tratado en la norma EN ISO 13849-1 por el requisito de calcular la calidad de la cobertura de diagnstico [DC]. Podemos ver que mientras mayor sea la fiabilidad [MTTFd] del sistema, menor necesidad de cobertura de diagnstico. Sin embargo, tambin es claro que la cobertura de diagnstico debe ser al menos 60% para la arquitectura de categora 3.

SAFEBOOK 4

Dispositivo de entrada

Cableado

Cableado

Lgica
Monitorizacin Cruzada Monitorizacin

Dispositivo de salida

Dispositivo de entrada

Cableado

Cableado

Lgica
Monitorizacin

Dispositivo de salida

Categora 4 de arquitectura designada

La categora 4 de arquitectura designada debe usar principios de seguridad bsicos [vea el anexo de EN ISO 13849-2]. Tiene un diagrama de requisitos similares para la categora 3, pero demanda mayor monitorizacin, es decir, mayor cobertura de diagnstico. Esto se ilustra con lineas punteadas ms gruesas que representan las funciones de monitorizacin. En esencia la diferencia entre las categoras 3 y 4 es que para la categora 3 la mayora de los fallos deben ser detectados pero para la categora 4 todos los fallos nicos deben ser detectados. La cobertura de diagnstico debe ser de por lo menos 99%. Incluso las combinaciones de fallos no deben causar un fallo peligroso. Datos de fiabilidad EN ISO 13849-1 utiliza datos de fiabilidad cuantitativos como parte del clculo del PL obtenido por las piezas del sistema de control relacionadas a la seguridad. ste es un punto de desviacin significativo respecto a EN 954-1. La primera pregunta que esto genera es, de dnde obtenemos esta informacin? Es posible utilizar datos de manuales de fiabilidad reconocida, pero la norma aclara que la fuente de preferencia es el fabricante. Para este fin, Rockwell Automation est haciendo que la informacin importante est disponible en forma de biblioteca de datos para SISTEMA. A su debido tiempo tambin publicar los datos en otros formatos. Antes de continuar debemos considerar qu tipos de datos se requieren y tambin entender cmo se producen.

81

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


El tipo fundamental de datos requeridos como parte de la determinacin de PL en la norma [y en SISTEMA] es el valor PFH [la probabilidad de fallo peligroso por hora]. stos son los mismos datos que estn representados por la abreviatura PFHd utilizada en IEC/EN 62061. PL (Nivel de rendimiento) a b c d e PFHd (Probabilidad de fallos peligrosos por hora) 105 a <104 3 x 106 a <105 10 a <3 x 10
6 6

SIL (Nivel de integridad de seguridad) Ninguno 1 1 2 3

107 a <106 108 a <107

La tabla anterior muestra la relacin entre PFH y PL y SIL. Para algunos subsistemas el PFH puede estar disponible a travs del fabricante. Esto facilita el clculo. El fabricante usualmente tiene que llevar a cabo clculos relativamente complejos y/o pruebas en sus subsistemas para poder proveerlo. En el caso en que no est disponible, la norma EN ISO 13849-1 nos proporciona un enfoque simplificado alternativo basado en el valor MTTFd promedio [tiempo medio para fallo peligroso] de un canal individual. El PL [y por consiguiente el PFH] de un sistema o subsistema puede luego calcularse utilizando la metodologa y las frmulas indicadas en la norma. Puede hacerse de manera an ms conveniente utilizando SISTEMA. Nota: Es importante entender que, para un sistema de doble canal (con o sin diagnstico), no es correcto usar 1/PFHd para determinar el MTTFd requerido por la norma EN ISO 13849-1. La norma requiere el MTTFd de un canal individual. ste es un valor muy diferente al MTTFd de la combinacin de ambos canales de un subsistema de doble canal. Si se conoce el PFHd de un subsistema de doble canal, simplemente puede ingresarse directamente en SISTEMA. MTTFd de un canal individual Representa el tiempo medio promedio antes de la ocurrencia de un fallo que podra ocasionar el fallo de la funcin de seguridad. Se expresa en aos. Es un valor promedio de MTTFd de los bloques de cada canal individual, y puede aplicarse a un sistema o a un subsistema. La norma da la siguiente frmula que se usa para calcular el promedio de todos los MTTFd de cada elemento usado en un sistema de canal individual o subsistema.

82

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


En esta etapa, el valor de SISTEMA se vuelve evidente. Los usuarios no invierten tiempo consultando tablas y clculos de frmulas debido a que estas tareas son realizadas por el software. Los resultados finales pueden ser impresos en formato de informe de mltiples pginas.
(Frmula D1 de la norma EN ISO 13849-1) 1 1 nj = = MTTFd i=1 MTTFdi j=1 MTTFdj

SAFEBOOK 4

En la mayora de sistemas, ambos canales son idnticos, por lo tanto, el resultado de la frmula representa cualquiera de los canales. Si los canales del sistema o del subsistema son diferentes, la norma proporciona una frmula para ello.

MTTFd =

2 MTTFdC1 +MTTFdC2 3

1 1 1 + MTTFdC1 MTTFdC2

Esto, en efecto, promedia los dos promedios. Para simplificar, tambin se permite usar el valor de canal en el peor de los casos. La norma agrupa los MTTFd en tres rangos de la manera siguiente: Denotacin de MTTFd de cada canal Bajo Mediano Alto
Niveles de MTTFd

Rango de MTTFd de cada canal 3 aos <= MTTFd <10 aos 10 aos <= MTTFd <30 aos 30 aos <= MTTFd <100 aos

Tome nota de que la norma EN ISO 13849-1 limita el valor MTTFd utilizable de un canal individual de un subsistema a un mximo de 100 aos, aunque los valores reales derivados pueden ser mucho ms altos. Como veremos posteriormente, el rango logrado del MTTFd promedio luego se combina con la categora de arquitecturas designadas y la cobertura de diagnstico [DC] para proporcionar una clasificacin de PL preliminar. El trmino preliminar se utiliza aqu porque an se debe cumplir con otros requisitos, incluida la integridad sistemtica y las medidas contra fallo por causa comn, cuando sea pertinente.

83

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Mtodos de determinacin de datos Ahora necesitamos indagar ms profundamente cmo el fabricante determina los datos, ya sea en la forma de PFHd o MTTFd. Entender esto es esencial al tratar con los datos de los fabricantes. Los componentes pueden agruparse en tres tipos bsicos: Mecanstico (electromecnico, mecnico, neumtico, hidrulico, etc.) Electrnico (por ej., estado slido) Software Existe una diferencia fundamental entre los mecanismos de fallo comn de estos tres tipos de tecnologa. En forma bsica puede resumirse de la siguiente manera: Tecnologa mecnica: El fallo es proporcional respecto a la fiabilidad inherente y a la tasa de uso. Mientras mayor es la tasa de uso, mayor es la probabilidad de que una de las piezas de los componentes se degrade y falle. Note que sta no es la nica causa de fallo, pero a menos que limitemos el tiempo/ciclos de operacin, ser la predominante. Es evidente que un contactor que tiene un ciclo de conmutacin de una vez cada diez segundos opera de manera ms fiable durante un tiempo mucho ms corto que un contactor idntico que opera una vez por da. Los dispositivos tecnolgicos fsicos generalmente comprenden componentes diseados de manera individual para uso especfico. Los componentes son formados, moldeados, fundidos, maquinados, etc. Se combinan con varillajes, resortes, imanes, bobinados elctricos, etc. para formar un mecanismo. Debido a que las piezas de los componentes en general no tienen ningn historial de uso en otras aplicaciones, no podemos encontrar datos fiables preexistentes. El clculo de PFHd o MTTFd para el mecanismo se basa normalmente en pruebas. Tanto EN/IEC 62061 como EN ISO 13849-1 recomiendan un proceso de prueba conocido como prueba B10d. En la prueba B10d se prueba una serie de dispositivos de muestra [generalmente diez por lo menos] bajo condiciones adecuadamente representativas. El nmero medio de ciclos de operacin ejecutados antes de que falle un 10% de las muestras a una condicin peligrosa se conoce como el valor B10d. En la prctica generalmente todas las muestras fallan a un estado seguro, pero en ese caso la norma indica que el valor B10d [peligroso] puede tomarse como el doble del valor B10 [seguro].

84

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


Tecnologa electrnica: No existe desgaste fsico relacionado a las piezas movibles. Dado un entorno de operacin acorde con las caractersticas elctricas y de temperatura [etc.], el fallo predominante de un circuito electrnico es proporcional a la fiabilidad inherente de sus componentes constituyentes [o la falta de la misma]. Existen muchas razones de fallo de un componente individua: imperfeccin introducida durante la fabricacin, sobretensin excesiva, problemas de conexin mecnica, etc. En general los fallos de los componentes electrnicos son difciles de predecir por anlisis y parecen ser de naturaleza aleatoria. Por lo tanto, la prueba de un dispositivo electrnico en condiciones de prueba de laboratorio no necesariamente revela patrones tpicos de fallo a largo plazo. Para poder determinar la fiabilidad de los dispositivos electrnicos es comn el uso de anlisis y clculo. Podemos encontrar buenos datos para los componentes individuales en los manuales de datos de fiabilidad. Podemos utilizar el anlisis para determinar qu modos de fallo de componentes son peligrosos. Es aceptable y comn calcular el promedio de los modos de fallo de componentes como 50% seguro y 50% peligroso. Esto normalmente resulta en datos relativamente conservadores. IEC 61508 proporciona frmulas que pueden usarse para calcular la probabilidad total de fallo peligroso [PFH o PFD] del dispositivo, es decir, el subsistema. Las frmulas son bastante complejas y toman en cuenta [de ser aplicable] la fiabilidad del componente, el potencial de fallos por causa comn [factor beta], la cobertura de diagnstico [DC], el intervalo de prueba funcional y el intervalo de prueba de calidad. La conveniente es que este clculo complejo normalmente lo realiza el fabricante del dispositivo. Tanto EN/IEC 62061 como EN ISO 13849-1 aceptan un subsistema calculado de esta manera segn IEC 61508. El valor PFHd resultante puede usarse directamente en el Anexo K de EN ISO 13849-1 o en la herramienta de clculo SISTEMA.

SAFEBOOK 4

85

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Software: Los fallos del software son de naturaleza inherentemente sistemtica. Cualquier fallo es causado por la forma en que es concebido, escrito o compilado. Por lo tanto, todos los fallos son causados por el sistema bajo el cual es producido, no por su uso. Por esto, para controlar los fallos debemos controlar ese sistema. Tanto la norma IEC 61508 como EN ISO 13849-1 proporcionan requisitos y metodologas para esto. No necesitamos entrar en detalles aqu, excepto decir que stas utilizan el modelo clsico V. El software incorporado es una tarea para el diseador del dispositivo. El enfoque comn es desarrollar software incorporado de acuerdo a los mtodos formales explicados en la norma IEC 61508 parte 3. Cuando se trata de un cdigo de aplicacin, el software con el que un usuario se interconecta, la mayora de los dispositivos de seguridad programables estn provistos de bloque de funciones certificados o rutinas. Esto simplifica la tarea de validacin para el cdigo de aplicacin, pero debe recordarse que el programa de aplicacin completo an necesita ser validado. La manera en cmo estn vinculados y parametrizados los bloques debe ser correcta y vlida para la tarea prevista. Normas EN ISO 13849-1 y IEC/EN 62061, ambas proporcionan pautas para este proceso.

Especificacin de funciones de seguridad

Especificacin de software relacionado a la seguridad

Validacin

Validacin

Software validado

Diseo de sistema

Prueba de integracin

Diseo de mdulo

Prueba de mdulo

Resultado Verificacin
Modelo V para desarrollo de software

Codificacin

86

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


Cobertura de diagnostico Ya hemos mencionado este tema cuando consideramos las categoras 2, 3 y 4 de la arquitectura designada. Dichas categoras requieren alguna forma de prueba de diagnstico para verificar si la funcin de seguridad sigue estando funcionando. El trmino cobertura de diagnstico [normalmente abreviado como DC] se utiliza para caracterizar la eficacia de esta prueba. Es importante darse cuenta de que la cobertura de diagnstico no est basada slo en el nmero de componentes que pueden fallar de manera peligrosa. Tiene en cuenta la tasa total de fallos peligrosos. El smbolo se usa para tasa de fallo. La cobertura de diagnstico expresa la relacin de las tasas de ocurrencia de los dos siguientes tipos de fallos peligrosos: Fallo peligroso detectado [dd], es decir, aquellos fallos que podran causar, o podran llegar a causar, prdida de la funcin de seguridad, pero que son detectados. Despus de la deteccin, una funcin de reaccin al fallo ocasiona que el dispositivo o sistema pase al estado de seguridad. Fallo peligroso [d], es decir, todos aquellos fallos que pudieran potencialmente causar, o llegar a causar, prdida de la funcin de seguridad. Esto incluye tanto los fallos que son detectados como aquellos que no lo son. Por supuesto que los fallos que son verdaderamente peligrosos son los fallos peligrosos no detectados [denominados du]. La cobertura de diagnstico se expresa mediante la frmula: DC = dd/d, expresada como porcentaje. Este significado del trmino cobertura de diagnstico es comn en EN ISO 13849-1 y en EN/IEC 62061. Sin embargo, la manera en la que se deriva difiere. La segunda norma propone el uso de clculo basado en el anlisis de modo de fallo, pero EN ISO 13849-1 proporciona un mtodo simplificado en la forma de tablas de consulta. Varias tcnicas de diagnstico tpicas se enumeran junto con el porcentaje de cobertura de diagnstico que se considera se obtenga segn su uso. En algunos casos, se requiere igualmente el juicio racional, por ejemplo en algunas tcnicas la cobertura de diagnstico obtenida es proporcional a la frecuencia con que se realiza la prueba. A veces se argumenta que este enfoque es bastante impreciso. Sin embargo, el clculo de la cobertura de diagnstico puede depender de muchas variables diferentes, e independientemente de cualquiera de las tcnicas que se utilice, el resultado en general realmente slo puede describirse como aproximado.

SAFEBOOK 4

87

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Es adems importante entender que las tablas proporcionadas por la norma EN ISO 13849-1 se basan en una extensa investigacin llevada a cabo por el BGIA con respecto a los resultados obtenidos por tcnicas de diagnstico reales conocidas utilizadas en aplicaciones reales. Para simplificar, la norma divide la cobertura de diagnstico en cuatro rangos bsicos. <60% = ninguna 60% a <90% = baja 90% a <99% = media 99% = alta Este enfoque de usar rangos en vez de valores porcentuales individuales tambin puede considerarse ms realista en trminos de la precisin que se puede lograr. La herramienta SISTEMA utiliza los mismos datos histricos que la norma. A medida que aumenta el uso de electrnica compleja en dispositivos relacionados a la seguridad, la cobertura de diagnstico se convierte en un factor ms importante. Es probable que el trabajo futuro en las normas trate de aclarar este tema. Mientras tanto, el uso del anlisis racional de ingeniera y sentido comn debera ser suficiente para llevar a la correcta eleccin del rango de cobertura de diagnstico. Fallo por causas comunes En la mayora de los sistemas o de los subsistemas de doble canal [es decir, tolerantes a fallo nico], el principio de diagnstico est basado en la premisa de que no habr fallos peligrosos en ambos canales al mismo tiempo. El trmino al mismo tiempo puede expresarse con ms exactitud como dentro del intervalo de prueba de diagnstico. Si el intervalo de prueba del diagnstico es razonablemente corto [por ej., menor de ocho horas] es razonable asumir que dos fallos no relacionados e independientes tienen baja probabilidad de ocurrir dentro de ese tiempo. Sin embargo, la norma deja en claro que debemos pensar cuidadosamente acerca de si las posibilidades de fallo son realmente independientes y no relacionadas. Por ejemplo, si un fallo en un componente puede ocasionar de manera previsible fallos de otros componentes, entonces la totalidad resultante de fallos se considera un fallo nico. Es adems posible que un evento que ocasione el fallo de un componente pueda tambin causar el fallo de otros componentes. Esto se denomina fallos por causa comn, normalmente abreviado como CCF. El grado de predisposicin de fallos por causa comn se describe normalmente como el factor beta (). Es muy

88

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


importante que los diseadores de sistemas y subsistemas estn al tanto de las posibilidades de fallos por causa comn. Existen muchos tipos diferentes de fallos por causa comn y, correspondientemente, muchas distintas formas de evitarlos. EN ISO 13849-1 grafica un curso racional entre los extremos de complejidad y la simplificacin excesiva. Al igual que EN/IEC 62061 adopta un enfoque que es esencialmente cualitativo. Ofrece una lista de medidas eficaces para evitar los fallos por causa comn. Nm. 1 2 3 4 5 6 Medida contra CCF Separacin/segregacin Diversidad Diseo/aplicacin/experiencia Evaluacin/anlisis Capacitacin/formacin tcnica Condiciones ambientales Puntaje 15 20 20 5 5 35

SAFEBOOK 4

Puntaje para fallos por causa comn

Se debe implementar una cantidad suficiente de estas medidas para el diseo de un sistema o subsistema. Se puede aducir, con cierta justificacin, que el uso de esta lista puede no ser adecuada para evitar todas las posibilidades de fallos por causa comn. Sin embargo, si el propsito de la lista se considera de manera apropiada, es claro que el espritu de este requisito es hacer que el diseador analice las posibilidades de fallos por causa comn e implemente medidas apropiadas para evitarlos, basadas en el tipo de tecnologa y las caractersticas de la aplicacin prevista. El uso de la lista aplica la consideracin de algunas de las tcnicas ms fundamentales y eficaces, tales como diversidad de modo de fallo y habilidades de diseo. La herramienta SISTEMA de BGIA tambin requiere la implementacin de las tablas de consulta de fallos por causa comn de la norma, y las pone a disposicin de forma conveniente.

89

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Fallos sistemticos Ya hemos discutido datos de fiabilidad cuantitativos en la forma de MTTFd y la probabilidad de fallo peligroso. Sin embargo, esto no es todo. Cuando nos referimos a esos trminos estbamos pensando acerca de fallos que parecan ser de naturaleza aleatoria. De hecho, la norma IEC/EN 62061 se refiere especficamente a la abreviatura PFHd como la probabilidad de fallos aleatorios de hardware. Pero existen algunos tipos de fallos conocidos colectivamente como fallos sistemticos que pueden atribuirse a errores cometidos en el proceso de diseo o fabricacin. El ejemplo clsico de esto es un error en el cdigo del software. La norma proporciona medidas en el Anexo G para evitar estos errores [y por consiguiente los fallos]. Estas medidas incluyen disposiciones tales como el uso de materiales adecuados y tcnicas de fabricacin, revisin, anlisis y simulacin por ordenador. Tambin existen eventos y caractersticas previsibles que pueden ocurrir en el entorno de operacin que pueden causar fallo a menos que su efecto sea controlado. EL Anexo G tambin proporciona medidas para esto. Por ejemplo, es fcilmente previsible que puede haber prdidas ocasionales de alimentacin elctrica. Por lo tanto, la desactivacin de los componentes debe resultar en un estado de seguridad del sistema. Estas medidas pueden parecer simplemente de sentido comn, y en realidad lo son, sin embargo son esenciales. El resto de los requisitos de la norma no tienen sentido a menos que se d debida consideracin al control y se eviten los fallos sistemticos. Esto requiere adems los mismos tipos de medidas utilizadas para el control de fallos de hardware aleatorios [para lograr el PFHd requerido] tales como prueba de diagnstico automtica y hardware redundante. Exclusin de fallos Una de las principales herramientas de anlisis para sistemas de seguridad es el anlisis de fallos. El diseador y el usuario deben entender cmo se desempea el sistema de seguridad en presencia de fallos. Hay muchas tcnicas disponibles para realizar el anlisis. Algunos ejemplos son anlisis de rbol de fallos, modos de fallo, anlisis de efectos y criticidad, anlisis de rbol de eventos, y anlisis de carga y fuerza. Durante el anlisis es posible que se descubran algunos fallos que no pueden detectarse con pruebas automticas de diagnostico sin un coste econmico excesivo. Ms an, la probabilidad de que ocurran estos fallos puede ser extremadamente baja al usar diseo de mitigacin, construccin y mtodos de prueba. Bajo estas condiciones puede excluirse mayor consideracin de los fallos. Exclusin de un fallo significa descartar la ocurrencia de un fallo porque la probabilidad de que se produzca dicho fallo del SRCS es insignificante.

90

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


ISO 13849-1:2006 permite la exclusin de un fallo en base a la improbabilidad tcnica de ocurrencia, la experiencia tcnica generalmente aceptada, y los requisitos tcnicos relacionados con la aplicacin. ISO 13849-2:2003 proporciona ejemplos y justificaciones para excluir ciertos fallos en los sistemas elctricos, neumticos, hidrulicos y mecnicos. La exclusin de fallos debe declararse con justificaciones detalladas provistas en la documentacin tcnica. No siempre es posible evaluar el sistema de control relacionado a la seguridad sin suponer que pueden excluirse ciertos fallos. Para obtener informacin detallada sobre las exclusiones de fallos, consulte ISO 13849-2. A medida que aumenta el nivel de riesgo, la justificacin para exclusin de fallos es ms rigurosa. En general, cuando se requiere un PLe para una funcin de seguridad a ser implementada por el sistema de control relacionado a la seguridad, no es normal confiar slo en las exclusiones de fallo para lograr este nivel de rendimiento. Esto depende de la tecnologa utilizada y del entorno de funcionamiento previsto. Por lo tanto es esencial que el diseador tenga especial cuidado con el uso de las exclusiones de fallos a medida que aumenta el requisito de PL. Por ejemplo, un sistema de enclavamiento de puerta que tiene que lograr un PLe necesita incorporar una tolerancia de fallo mnima de 1 (por ej., dos interruptores de posicin mecnicos convencionales) para poder llegar a este nivel de rendimiento ya que no es normalmente justificable excluir fallos, tales como, accionadores de conmutacin rotos. Sin embargo puede ser aceptable excluir fallos, tales como un cortocircuito en el cableado dentro de un panel de control diseado de acuerdo a las normas pertinentes. Nivel de rendimiento (PL) El nivel de rendimiento es un nivel discreto que especifica la capacidad de las piezas relacionadas a la seguridad de un sistema de control para realizar una funcin de seguridad. Para evaluar el nivel de rendimiento logrado por la implementacin de cualquiera de las cinco arquitecturas designadas, se requieren los siguientes datos del sistema (o subsistema): MTTFd (tiempo medio para fallo peligroso de cada canal) DC (cobertura de diagnstico) Arquitectura (la categora)

SAFEBOOK 4

91

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


El siguiente diagrama muestra un mtodo grfico para determinar el nivel de rendimiento a partir de una combinacin de estos factores. La tabla al final de este documento muestra los resultados tabulares de diferentes modelos Markov que crearon la base de este diagrama. Consulte la tabla cuando necesite determinaciones ms precisas.

a
Nivel de rendimiento

b c d e
DCprom ninguno DCprom ninguno DCprom bajo

Cat. B

Cat. 1

Cat. 2

Cat. 2
DCprom med

Cat. 3

Cat. 3

Cat. 4
DCprom alto

DCprom bajo DCprom med

MTTFd bajo MTTFd mediano MTTFd alto

Determinacin grfica de PL

Tambin deben lograrse otros factores para satisfacer el nivel de rendimiento requerido. Estos requisitos incluyen las disposiciones para fallos de causa comn, fallos sistemticos, condiciones ambientales y tiempo de misin. Si el PFHd del sistema o subsistema se conoce, puede usarse la Tabla 10.4 (Anexo K de la norma) para determinar el PL. Diseo y combinaciones de subsistemas Los subsistemas que cumplen con las especificaciones del nivel de rendimiento pueden combinarse de manera sencilla en un sistema mediante la Tabla 10.3. La razn de esta tabla es clara. Primero, que el sistema slo puede ser tan bueno como su subsistema ms dbil. Segundo, cuanto ms subsistemas haya, mayor es la posibilidad de fallo.

92

Diseo del sistema de acuerdo a EN ISO 13849-1:2008


PLlow a b c d e Nlow >3 3 >2 2 >2 2 >3 3 >3 3 PL no permitido a a b b c c d d e
Clculo del nivel de rendimiento para subsistemas combinados en serie

SAFEBOOK 4

En el sistema del siguiente diagrama, los niveles de rendimiento ms bajos estn en los subsistemas 1 y 2. Ambos son PLb. Por lo tanto, al usar esta tabla podemos leer horizontalmente b (en la columna PLlow), hasta 2 (en la columna Nlow) y encontrar el nivel de rendimiento del sistema como b (en la columna PL). Si todos los subsistemas tuvieran el nivel PLb, el nivel de rendimiento logrado sera PLa.

Subsistema 1

Subsistema 2

Subsistema 3

PLb
Validacin

PLb

PLc

Combinacin de subsistemas en serie como sistema PLb

La validacin desempea un papel importante en todo el proceso de desarrollo y puesta en servicio del sistema de seguridad. ISO/EN 13849-2:2003 establece los requisitos de validacin. Requiere un plan de validacin y describe la validacin mediante tcnicas de prueba y anlisis tales como anlisis de rbol de fallos y modos de fallos, anlisis de efectos y criticidad. La mayora de estos requisitos se aplican al fabricante del subsistema y no al usuario del subsistema. Puesta en servicio de la mquina En la etapa de puesta en servicio del sistema o de la mquina debe llevarse a cabo la validacin de todas las funciones de seguridad en todos los modos de operacin, y deben cubrirse todas las condiciones anormales previsibles. Tambin deben considerarse las combinaciones de entradas y las secuencias de operacin. Este procedimiento es importante porque siempre es necesario verificar que el sistema sea idneo para las caractersticas de operacin y ambientales reales. Algunas de estas caractersticas pueden ser distintas de las previstas en la etapa de diseo.

93

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Diseo del sistema de acuerdo a IEC/EN 62061
IEC/EN 62061, Seguridad de mquinas Seguridad funcional de sistemas elctricos, electrnicos y electrnicos programables relacionados a la seguridad es la implementacin especfica de mquinas de IEC/EN 61508. Proporciona requisitos aplicables al diseo de nivel de sistema para todos los tipos de sistemas de control elctrico relacionados a la seguridad de las mquinas y tambin para el diseo de subsistemas o dispositivos no complejos. La evaluacin de riesgos resulta en una estrategia de reduccin de riesgos que a su vez identifica la necesidad de funciones del sistema de control relacionado a la seguridad. Estas funciones deben documentarse y deben incluir: especificacin de requisitos funcionales; especificacin de requisitos de integridad de seguridad.

Los requisitos funcionales incluyen detalles como la frecuencia de operacin, el tiempo de respuesta requerido, los modos de operacin, los ciclos de servicio, el ambiente de operacin y las funciones de reaccin ante fallo. Los requisitos de integridad de seguridad se expresan en niveles llamados niveles de integridad de seguridad (SIL). Segn la complejidad del sistema, algunos o todos los elementos indicados en la siguiente tabla deben considerarse para determinar si el diseo del sistema cumple con las especificaciones del nivel de integridad de seguridad requerido. Elemento para consideracin de SIL Probabilidad de fallos peligrosos por hora Tolerancia a fallos de hardware Fraccin de fallo no peligroso Intervalo de prueba de calidad Intervalo de prueba de diagnstico Probabilidad de fallos por causa comn Cobertura de diagnostico
Elementos para consideracin del de integridad de seguridad

Smbolo PFHd Sin smbolo SFF T1 T2 DC

Subsistemas El trmino subsistema tiene un significado especial en IEC/EN 62061. Es la subdivisin de primer nivel de un sistema en piezas que, si llegaran a fallar,

94

Diseo del sistema de acuerdo a IEC/EN 62061


causaran un fallo de la funcin de seguridad. Por lo tanto, si se usan dos interruptores redundantes en un sistema, ninguno de los interruptores individuales es un subsistema. El subsistema podra comprender ambos interruptores y cualquier otra funcin de diagnstico de fallo asociada. Probabilidad de fallo peligroso por hora (PFHd) IEC/EN 62061 utiliza los mismos mtodos bsicos descritos en la seccin acerca de la norma EN ISO 13849-1 para determinar las tasas de fallo a nivel de componentes. Las mismas disposiciones y los mismos mtodos aplican a componentes electrnicos y meacnicos. En la norma IEC/EN 62061 no hay una consideracin de MTTFd en aos. La tasa de fallos por hora () se calcula directamente o se obtiene o deriva a partir del valor B10 mediante la siguiente frmula: = 0,1 x C/B10 (donde C = nmero de ciclos de operacin por hora) Existe una diferencia significativa entre las normas en la metodologa para determinar el valor de PFHd total para un subsistema o sistema. Se debe llevar a cabo el anlisis de componentes para determinar la probabilidad de fallo de los subsistemas. Se proporcionan frmulas ms simples para el clculo de arquitecturas de subsistemas comunes (descritos ms adelante en el texto). Cuando estas frmulas no sean apropiadas ser necesario utilizar mtodos de clculo ms complejos, tales como los modelos Markov. Los valores de probabilidad de fallos peligrosos (PFHd) de cada subsistema se suman para determinar el PFHd total del sistema. La Tabla 15 (Tabla 3 de la norma) puede usarse para determinar qu nivel de integridad de seguridad (SIL) es apropiado a ese rango de PFHd. DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2)/2 Las frmulas para esta arquitectura toman en consideracin la configuracin paralela de los elementos del subsistema y aaden los siguientes dos elementos de la tabla previa: (Beta) probabilidad de fallos por causa comn SIL (Nivel de integridad de seguridad) 3 2 1 PFHd (Probabilidad de fallos peligrosos por hora) 108 a <107 107 a <106 106 a <105

SAFEBOOK 4

Probabilidades de fallo peligroso para niveles de integridad de seguridad (SIL)

Los datos de PFHd de un subsistema son normalmente provistos por el fabricante.

95

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


La informacin para los componentes y los sistemas de seguridad de Rockwell Automation est disponible en varias formas, entre ellas: www.discoverrockwellautomation.com/safety IEC/EN 62061 tambin indica que los manuales de datos de fiabilidad pueden usarse cuando corresponde. Para dispositivos electromecnicos de baja complejidad, el mecanismo de fallo generalmente est vinculado al nmero y a la frecuencia de operaciones, y no slo al tiempo. Por lo tanto, para estos componentes la informacin se deriva de alguna forma de prueba (por ej., prueba B10 como se describe en el captulo de EN ISO 13849-1). La informacin basada en la aplicacin, tal como el nmero anticipado de operaciones por ao, se requiere luego para poder convertir el B10 o informacin similar a PFHd. Nota: En general lo siguiente es verdadero (tomando en cuenta un factor para cambiar aos a horas): PFHd = 1/MTTFd Sin embargo es importante entender que, para un sistema de doble canal (con o sin diagnstico), no es correcto usar 1/ PFHd para determinar el MTTFd requerido por la norma EN ISO 13849-1. Esa norma requiere el MTTFd de un canal individual. ste es un valor muy diferente al MTTFd de la combinacin de ambos canales de un subsistema de doble canal. Restricciones de arquitecturas La caracterstica esencial de la norma IEC/EN 62061 es que el sistema de seguridad est dividido en subsistemas. El nivel de integridad de seguridad del hardware que puede declararse para un subsistema est limitado no slo por el PFHd sino tambin por la tolerancia a fallos del hardware y la fraccin de fallos de seguridad de los subsistemas. La tolerancia a fallos del hardware es la capacidad del sistema de ejecutar su funcin en presencia de fallos. Una tolerancia a fallos de cero significa que la funcin no se realiza cuando se produce un fallo. Una tolerancia a fallo de uno permite que el subsistema realice su funcin en presencia de un solo fallo. La fraccin de fallos no peligrosos es la porcin de la tasa de fallos totales que no resulta en un fallo peligroso. La combinacin de estos dos elementos se conoce como restriccin arquitectnica, y su salida es el lmite de declaracin del nivel de integridad de seguridad (SIL CL). La siguiente tabla muestra la relacin de las restricciones de arquitecturas con respecto al lmite de declaracin del nivel de integridad de seguridad (SIL CL). Un subsistema (y por lo tanto su sistema) debe satisfacer tanto los requisitos del PFHd como las restricciones arquitectnicas junto con otras disposiciones relevantes de la norma.

96

Diseo del sistema de acuerdo a IEC/EN 62061


Fraccin de fallo no peligroso (SFF) <60% 60% <90% 90% <99% 99% Tolerancia a fallos de hardware 0 No permitido a menos que se apliquen excepciones especficas SIL1 SIL2 SIL3 1 SIL1 SIL2 SIL3 SIL3 2 SIL2 SIL3 SIL3 SIL3

SAFEBOOK 4

Restricciones de arquitecturas con respecto al SIL

Por ejemplo, una arquitectura que posee tolerancia a un solo fallo y tiene una fraccin de fallos no peligrosos del 75% est limitada a una clasificacin no mayor que SIL2, independientemente de la probabilidad de fallo peligroso. Cuando se combinan los subsistemas, el nivel de integridad de seguridad obtenido por el SRCS est limitado a ser menor o igual que el lmite de declaracin del nivel de integridad de seguridad (SIL CL) ms bajo de cualquiera de los subsistemas involucrados en la funcin de control relacionada a la seguridad. Realizacin del sistema Para calcular la probabilidad de fallo peligroso, cada una de las funciones de seguridad debe desglosarse en bloques de funciones, los cuales luego se ejecutan como subsistemas. La implementacin de diseo de sistema de una funcin de seguridad tpica incluye un dispositivo de deteccin conectado a un dispositivo lgico conectado a un accionador. Esto crea una configuracin de subsistemas en serie. Como ya hemos visto, si podemos determinar la probabilidad de fallo peligroso para cada subsistema y conocer su SIL CL, entonces la probabilidad de fallo del sistema se calcula con mayor facilidad sumando la probabilidad de fallos de los subsistemas. Este concepto se muestra a continuacin.
SUBSISTEMA 1
Deteccin de posicin Requisitos funcionales y de integridad de IEC/EN 62061 Restricciones de arquitecturas SIL CL 2 PFHd = 1x107

SUBSISTEMA 2
Resolucin lgica Requisitos funcionales y de integridad de IEC/EN 62061 Restricciones de arquitecturas SIL CL 2 PFHd = 1x107

SUBSISTEMA 3
Activacin de salida Requisitos funcionales y de integridad de IEC/EN 62061 Restricciones de arquitecturas SIL CL 2 PFHd = 1x107

= PFHd 1 + PFHd 2 = 1x107 + 1x107 = 3x107 es decir, idneo para SIL2

+ PFHd 3 + 1x107

97

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Por ejemplo, si deseamos lograr el nivel SIL2, cada subsistema debe tener un lmite de declaracin de SIL (SIL CL) de por lo menos SIL2, y la suma de los valores de PFHd del sistema no debe superar el lmite permitido en la tabla anterior que muestra la probabilidad de fallos peligrosos para niveles SIL. Diseo del subsistema IEC/EN 62061 Si un diseador de sistema utiliza componentes ensamblados en subsistemas segn IEC/EN 62061, las cosas se facilitan mucho porque no se aplican los requisitos especficos para el diseo de subsistemas. Estos requisitos son cubiertos, en general, por el fabricante del dispositivo (subsistema) y son mucho ms complejos que los requeridos para el diseo a nivel de sistema. IEC/EN 62061 requiere que los subsistemas complejos, como los PLC de seguridad, cumplan con las especificaciones de IEC 61508 u otras normas adecuadas. Esto significa que, para dispositivos que usan componentes complejos electrnicos o programables, est en pleno vigor la norma IEC 61508. Esto puede ser un proceso muy difcil y laborioso. Por ejemplo, la evaluacin de PFHd lograda por un subsistema complejo puede ser un proceso complicado con tcnicas tales como modelado Markov, diagramas de bloques de fiabilidad o anlisis de rbol de fallos. IEC/EN 62061 proporciona requisitos para el diseo de subsistemas de menor complejidad. Normalmente esto incluye componentes elctricos relativamente simples, como interruptores con enclavamiento y rels de control de seguridad electromecnicos. Los requisitos no son tan laboriosos como los de IEC 61508, pero pueden ser bastante complicados. IEC/EN 62061 proporciona cuatro arquitecturas lgicas de subsistemas, incluidas sus frmulas, que pueden usarse para evaluar el PFHd logrado por un subsistema de baja complejidad. Estas arquitecturas son representaciones puramente lgicas y no deben considerarse arquitecturas fsicas. En los siguientes cuatro diagramas se muestran las cuatro arquitecturas lgicas de subsistemas, incluidas sus frmulas. Para la arquitectura de subsistema bsica mostrada a continuacin, las probabilidades de fallos peligrosos simplemente se suman.

98

Diseo del sistema de acuerdo a IEC/EN 62061


Subsistema A Subsistema elemento 1 De1
Arquitectura lgica de subsistema A

SAFEBOOK 4

Subsistema elemento n Den

DssA = De1 + . . . + Den PFHDssA = DssA x 1h , Lambda se usa para designar la tasa de fallos. Las unidades de la tasa de fallos son fallos por hora. D, Lambda sub D es la tasa de fallos peligrosos. DssA, Lambda sub DssA es la tasa de fallos peligrosos del subsistema A. Lambda sub DssA es la suma de las tasas de fallos de los elementos individuales, e1, e2, e3, hasta e incluyendo en. La probabilidad de fallos peligrosos se multiplica por 1 hora para crear la probabilidad de fallo durante una hora. El siguiente diagrama muestra un sistema tolerante a un solo fallo sin funcin de diagnsticos. Cuando la arquitectura incluye tolerancia a un solo fallo, existe el potencial de fallos por causa comn y debe tomarse en consideracin. La derivacin dlos fallos por causa comn se describe brevemente en este captulo.
Subsistema B Subsistema elemento 1 De1 Subsistema elemento 2 De2
Arquitectura lgica de subsistema B

Fallo por causa comn

DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2)/2 PFHDssB = DssB x 1h Las frmulas para esta arquitectura toman en consideracin la configuracin paralela de los elementos del subsistema y aaden los siguientes dos elementos de la tabla previa Elementos para consideracin de SIL.

99

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


probabilidad de fallos por causa comn (Beta) T1 intervalo de prueba de calidad o vida til, el menor de los dos. La prueba de calidad est diseada para detectar fallos y la degradacin del subsistema de seguridad de modo que el subsistema pueda restaurarse a una condicin de operacin. En trminos prcticos, esto normalmente implica reemplazo (como el trmino equivalente tiempo de misin en EN ISO 13849-1). El siguiente diagrama muestra la representacin funcional de un sistema tolerante a cero fallos con una funcin de diagnsticos. La cobertura de diagnsticos se usa para reducir la probabilidad de fallos de hardware peligrosos. Las pruebas de diagnstico se realizan automticamente. La definicin de cobertura de diagnstico es la misma que se da en la norma EN ISO 13849-1, es decir, la relacin de la tasa de fallos peligrosos detectados con la tasa de todos los fallos peligrosos.
Subsistema C Subsistema elemento 1 De1 Subsistema elemento n Den

Funcines de diagnstico
Arquitectura lgica de subsistema C

DssC = De1 (1-DC1)+ . . . + Den (1-DCn) PFHDssC = DssC x 1h Estas frmulas incluyen la cobertura de diagnsticos, DC, para cada elemento del subsistema. Las tasas de fallos de cada uno de los subsistemas se reduce por la cobertura de diagnostico de cada subsistema. A continuacin se muestra el cuarto ejemplo de una arquitectura de subsistemas. Este subsistema es tolerante a un solo fallo e incluye una funcin de diagnstico. El potencial de fallos por causa comn tambin debe considerarse en los sistemas tolerantes a un solo fallo.

100

Diseo del sistema de acuerdo a IEC/EN 62061


Subsistema D Subsistema elemento 1 De1

SAFEBOOK 4

Fallo por causa comn

Funcines de diagnstico

Subsistema elemento 2 De2


Arquitectura lgica de subsistema D

Si los elementos del subsistema son diferentes se usan las siguientes frmulas: DssD = (1 )2 { De1 x De2 x (DC1 + DC2) x T2/2 + De1 x De2 x (2- DC1 DC2) x T1/2 } + x (De1 + De2)/2 PFHDssD = DssD x 1h Si los elementos del subsistema son los mismos se usan las siguientes frmulas: DssD = (1 )2 {[ De2 x 2 x DC] x T2/2 + [De2 x (1-DC)] x T1 }+ x De PFHDssD = DssD x 1h Observe que ambas frmulas usan un parmetro adicional, T2, el intervalo de diagnstico. Esta es slo una revisin peridica de la funcin. sta es una prueba menos completa que la prueba de calidad. Como ejemplo, suponga los siguientes valores para el ejemplo en que los elementos del subsistema son diferentes: = 0,05 De = 1 x 106 fallos/hora T1 = 87.600 horas (10 aos) T2 = 2 horas DC = 90% PFHDssD = 5.791E-08 fallos peligrosos por hora. Esto est ara dentro del rango requerido para SIL3.

101

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Efecto del intervalo de prueba de calidad IEC/EN 62061 establece que un intervalo de prueba de calidad (PTI) de 20 aos es preferible (pero no obligatorio). Veamos el efecto que el intervalo de prueba de calidad tiene en el sistema. Si recalculamos la frmula con T1 a 20 aos nos da el resultado PFHDssD = 6.581E-08. Esto todava est dentro del rango requerido para SIL3. El diseador debe mantener en consideracin que el subsistema debe combinarse con otros subsistemas para calcular la tasa total de fallos peligrosos. Efecto del anlisis de fallos por causa comn Examinemos el efecto que los fallos por causa comn tienen en el sistema. Supongamos que tomamos medidas adicionales y nuestro valor (Beta) mejora a 1% (0,01), a la vez que el intervalo de prueba de calidad se mantiene en 20 aos. La tasa de fallo peligroso mejora a 2.71E-08, lo cual significa que el subsistema es ahora ms adecuado para usar en un sistema de SIL3. Fallos por causa comn (CCF) Los fallos por causa comn sucenden cuando mltiples fallos que son resultado de una sola causa producen un fallo peligroso. La informacin sobre fallos por causa comn generalmente slo la requiere el diseador del subsistema, generalmente el fabricante. Se usa como parte de las frmulas dadas para el clculo del valor PFHd de un subsistema. Generalmente no se requiere a nivel de diseo del sistema. El Anexo F de IEC/EN 62061 proporciona un mtodo simple para calcular los fallos por causa comn (CCF). La siguiente tabla muestra un resumen del proceso de puntaje. Nm. 1 2 3 4 5 6 Medida contra CCF Separacin/segregacin Diversidad Diseo/aplicacin/experiencia Evaluacin/anlisis Capacidad/Formacin tcnica Condiciones ambientales Puntaje 25 38 2 18 4
18

Puntaje para medidas contra fallos por causa comn

Se otorgan puntos para emplear medidas especificas contra fallos por causa comn (CCF). Los puntos se suman para determinar el factor de fallos por causa comn, el cual se muestra en la siguiente tabla. El factor beta se usa en modelos de subsistemas para regular la tasa de fallos.

102

Diseo del sistema de acuerdo a IEC/EN 62061


Puntaje total <35 35 65 65 85 85 100
Factor beta para fallos por causa comn

SAFEBOOK 4

Factor de fallos por causa comn () 10% (0,1) 5% (0,05) 2% (0,02) 1% (0,01)

Cobertura de diagnsticos (DC) Las pruebas automticas de diagnstico se emplean para reducir la probabilidad de fallos peligrosos de hardware. Sera ideal poder detectar todos los fallos de hardware peligrosos, pero en la prctica, el mximo valor se establece en 99% (que tambin puede expresarse como 0,99). La cobertura de diagnsticos es la relacin de la probabilidad de fallos peligrosos detectados comparado con la probabilidad de todos los fallos peligrosos. Probabilidad de fallos peligrosos detectados, DD DC = --------------------------------------------------------------Probabilidad de fallos peligrosos totales, Dtotal El valor de la cobertura de diagnsticos queda entre cero y uno. Tolerancia a fallos de hardware La tolerancia a fallos de hardware representa el nmero de fallos que un subsistema puede sostener antes de que se produzca un fallo peligroso. Por ejemplo, una tolerancia a fallos de hardware de 1 significa que 2 fallos causaran una prdida de la funcin de control de seguridad, pero no un solo fallo. Gestin de la seguridad funcional La norma proporciona requisitos para el control de gestin y las actividades tcnicas necesarias para lograr un sistema de control elctrico relacionado con la seguridad.

103

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Intervalo de prueba de calidad El intervalo de prueba de calidad representa el tiempo despus del cual un subsistema debe verificarse o reemplazarse totalmente para asegurar que quede en condicin como nuevo. En la prctica, en el sector de mquinas, esto se realiza mediante el reemplazo. Por lo tanto, el intervalo de prueba de calidad generalmente es igual que la vida til. EN ISO 13849-1:2008 se refiere a ello como tiempo de misin. Una prueba de calidad es la verificacin que puede detectar fallos y degradacin en un SRCS, de modo que el SRCS pueda restaurarse a la condicin como nuevo. La prueba de calidad debe detectar el 100% de todos los fallos peligrosos. Los distintos canales deben probarse independientemente. A diferencia de las pruebas de diagnstico que son automticas, las pruebas de calidad generalmente se realizan manualmente y fuera de lnea. Por ser automticas, las pruebas de diagnstico se realizan a menudo en comparacin con las pruebas de calidad que se hacen con poca frecuencia. Por ejemplo, los circuitos que van a un interruptor de enclavamiento en una resguardo pueden probarse automticamente para detectar condiciones de cortocircuito y circuito abierto con pruebas de diagnstico (por ej., impulsos). El intervalo de prueba de calidad debe ser declarado por el fabricante. Algunas veces el fabricante proporciona un rango de distintos intervalos de prueba de calidad. Fraccin de fallo no peligroso (SFF) La fraccin de fallo no peligroso es similar a la cobertura de diagnstico, pero tambin toma en consideracin cualquier tendencia inherente de fallo a un estado de seguridad. Por ejemplo, cuando se funde un fusible hay un fallo, pero es muy probable que el fallo sea un circuito abierto que, en la mayora de casos sera un fallo no peligroso. SFF es (la suma de la tasa de fallos no peligrosos ms la tasa de fallos peligrosos detectados) dividido entre (la suma de la tasa de fallos no peligrosos ms la tasa de fallos peligrosos detectados y no detectados). Es importante anotar que los nicos tipos de fallos a considerar son aquellos que pudiesen tener algn efecto en la funcin de seguridad. La mayora de dispositivos mecnicos de baja complejidad, tales como botones de parada de emergencia o interruptores de enclavamiento, tienen (por s mismos) un SFF. La mayora de dispositivos electrnicos tienen redundancia y monitorizacin por seguridad en su diseo, por lo tanto un SFF de ms del 90% es comn a pesar

104

Diseo del sistema de acuerdo a IEC/EN 62061


de que esto generalmente se debe completamente a la capacidad de la cobertura de diagnstico. El valor de SFF normalmente lo proporciona el fabricante. La fraccin de fallo no peligroso (SFF) puede calcularse mediante la siguiente ecuacin: SFF = ( S + DD)/( S + D) donde S = tasa de fallo no peligroso, S + D = tasa de fallos totales, DD = tasa de fallos peligrosos detectados, D = tasa de fallos peligrosos. Fallo sistemtico El estndar tiene requisitos para el control y la prevencin de fallos sistemticos. Los fallos sistemticos son diferentes a los fallos de hardware aleatorios, que son fallos que ocurren en momentos aleatorios, generalmente como resultado de la degradacin de piezas de hardware. Los tipos tpicos de posibles fallos sistemticos son errores de diseo de software, errores de diseo de hardware, errores de especificacin de requisitos y procedimientos de operacin. Algunos ejemplos de los pasos necesarios para evitar un fallo sistemtico son: correcta seleccin, combinacin, configuraciones, ensamblaje e instalacin de componentes; uso de buenas prcticas de ingeniera; seguir las especificaciones del fabricante y las instrucciones de instalacin; asegurar la compatibilidad entre componentes; resistencia a las condiciones ambientales; uso de materiales apropiados.

SAFEBOOK 4

105

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Consideraciones de la estructura de los sistemas de mando relativos a la seguridad
Descripcin general Este captulo trata las consideraciones y los principios estructurales en general que deben tenerse en cuenta al momento de disear sistemas de control relacionados a la seguridad segn cualquier norma. Utiliza mucho del lenguaje de las categoras que aparecen en la norma predecesora EN 954-1 porque las categoras principalmente estn dirigidas a la estructura de los sistemas de control. Categoras de sistemas de control Las categoras del sistema de control tuvieron su origen en la norma anterior EN 954-1:1996 (ISO 13849-1:1999). Sin embargo, todava se usan con frecuencia para describir sistemas de control de seguridad y continan siendo parte integral de EN ISO 13849-1, como se trata en la seccin Introduccin a la seguridad funcional de los sistemas de control. Hay cinco categoras que describen los resultados de la reaccin ante fallo de un sistema de control relacionado con la seguridad. Vea un resumen de estas categoras en la Tabla 19. Las siguientes notas se aplican a la tabla. Nota 1: La categora B por s misma no tiene medidas especiales de seguridad, pero forma la base para las dems categoras. Nota 2: En caso de mltiples fallos causados por una causa comn o como consecuencia inevitable del primer fallo, stos deben contarse como un solo fallo. Nota 3: La revisin de fallos puede limitarse a dos fallos combinados, si se justifica, pero los circuitos complejos (por ej., circuitos de microprocesador) pueden requerir la consideracin de ms fallos combinados. La categora 1 tiene el propsito de PREVENIR fallos. Esto se logra utilizando principios de diseo, componentes y materiales adecuados. La simplicidad del principio y el diseo complementado con caractersticas estables y predecibles de materiales, son la clave de esta categora. Las categoras 2, 3 y 4 requieren que si un fallo no se puede evitar, ste se debe DETECTAR y debe realizarse la accin apropiada. La redundancia, la diversidad y la monitorizacin son las claves de estas categoras. La redundancia es la duplicacin de la misma tcnica. Diversidad es usar dos tcnicas diferentes. Monitorizacin es verificar el estado de los dispositivos y luego tomar la accin apropiada segn los resultados del estado. El mtodo ms comn de monitoreo, pero no el nico, es duplicar las funciones crticas de seguridad y comparar el funcionamiento.

106

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Resumen de requisitos
CATEGORA B (vea la nota 1)
Las piezas relacionadas con la seguridad de los sistemas de control de mquina y/o su equipo protector, as como sus componentes, se disearn, construirn, seleccionarn, ensamblarn y combinarn de acuerdo a las normas pertinentes, de manera que puedan soportar las influencias previstas. Se aplicarn los principios de seguridad bsicos

SAFEBOOK 4

Comportamiento del sistema


Cuando ocurre un fallo, ste puede causar la prdida de la funcin de seguridad.

CATEGORA 1
Los requisitos de la categora B se aplican junto con el uso de componentes de seguridad y principios de seguridad debidamente comprobados.

Como se describi para la categora B, pero con una fiabilidad ms alta de la funcin de seguridad. (Cuanta ms alta la fiabilidad, menor la probabilidad de un fallo). La verificacin detecta la prdida de la funcin de seguridad. La ocurrencia de un fallo puede causar la prdida de la funcin de seguridad entre los intervalos de verificacin.

CATEGORA 2
Se aplican los requisitos de la categora B y el uso de principios de seguridad debidamente comprobados. El sistema de control de la mquina verificar la(s) funcin(es) de seguridad al momento de la puesta en marcha de la mquina y peridicamente. Si se detecta un fallo se iniciar un estado de seguridad o, si esto no es posible, se emitir una advertencia. La norma EN ISO 13849-1 supone que la tasa de prueba es por lo menos 100 veces ms frecuente que la tasa de demanda. La norma EN ISO 13849-1 supone que el valor de MTTFd del equipo de prueba externo es mayor que la mitad del valor de MTTFd del equipo funcinoal que se est probando.

CATEGORA 3 (vea las notas 2 y 3)


Se aplican los requisitos de la categora B y el uso de principios de seguridad debidamente comprobados. El sistema estar diseado de manera que un fallo en cualquiera de sus piezas no cause la prdida de la funcin de seguridad. Cuando sea prctico, se detectar un fallo individual.

Cuando ocurre el fallo, la funcin de seguridad siempre se ejecuta. Se detectarn algunos fallos, pero no todos. Una acumulacin de fallos no detectados puede causar la prdida de la funcin de seguridad. Cuando ocurren fallos, la funcin de seguridad siempre se ejecuta. Los fallos se detectarn a tiempo para evitar la prdida de las funciones de seguridad.

CATEGORA 4 (vea las notas 2 y 3)


Se aplican los requisitos de la categora B y el uso de principios de seguridad debidamente comprobados. El sistema se disear de manera que un solo fallo en alguna de sus partes no conduzca a la prdida de la funcin de seguridad. El fallo individual se detecta al momento de la siguiente demanda sobre la funcin de seguridad o antes de sta. Si esta deteccin no es posible, entonces una acumulacin de fallos no causar una prdida de la funcin de seguridad.

107

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Categora B La categora B proporciona los requisitos bsicos de cualquier sistema de control; ya sea un sistema de control relacionado o no relacionado a la seguridad. Un sistema de control debe funcionar en su entorno esperado. El concepto de fiabilidad proporciona una base para los sistemas de control, ya que la fiabilidad se define como la probabilidad de que un dispositivo realice su funcin prevista durante un intervalo especificado y bajo condiciones previstas. La categora B requiere la aplicacin de los principios de seguridad bsicos. La norma ISO 13849-2 indica los principios de seguridad bsicos para sistemas elctricos, neumticos, hidrulicos y mecnicos. Los principios elctricos se resumen de la siguiente manera: Correcta seleccin, combinacin, configuracin, montaje e instalacin (es decir, segn las instrucciones del fabricante) Compatibilidad de componentes con tensiones e intensidades Resistencia a las condiciones ambientales Uso del principio de desactivacin Supresin de transitorios Reduccin del tiempo de respuesta Proteccin contra arranques inesperados Instalacin segura de dispositivos de entrada (p.e., instalacin de dispositivos de enclavamiento) Proteccin del circuito de control (segn NFPA 79 y IEC 60204-1) Correcta conexin equipotencial de proteccin

El diseador debe seleccionar, instalar y montar de acuerdo a las instrucciones del fabricante. Estos dispositivos deben funcionar dentro de los rangos de tensin y intensidades previstas. Tambin deben considerarse condiciones ambientales previstas, como compatibilidad electromagntica, vibracin, choque, contaminacin, proyecciones de agua. Se usa el principio de desactivacin. La proteccin contra transitorios se instala en las bobinas de los contactores. El motor est protegido contra sobrecargas. El cableado y la conexin a tierra cumple con las normas elctricas apropiadas. Categora 1 La categora 1 requiere que el sistema cumpla con los trminos de la categora B y el uso de componentes de seguridad de eficacia probada. Qu son exactamente los componentes de eficacia probada y cmo sabemos si han sido debidamente ensayados? La norma ISO 13849-2 ayuda a responder esas preguntas para los sistemas mecnicos, hidrulicos, meumticos y elctricos. El Anexo D describe los componentes elctricos.

108

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Los componentes se consideran de eficacia probada si han sido usados de manera correcta en muchas aplicaciones similares. Los componentes de seguridad recientemente diseados se consideran de eficacia probada si han sido diseados y verificados en cumplimiento de las normas apropiadas. Componente de eficacia probada Interruptor con accionamiento de modo positivo (accin de abertura directa) Dispositivo de parada de emergencia Fusible Interruptor automtico Contactores Contactos unidos mecnicamente Contactor auxiliar (por ej., contactor, rel de control, rels guiados mecnicamente) Transformador Cable Dispositivos de enclavamiento Termostato Presostato Dispositivo o equipo de maniobra y proteccin (SCP) Controlador lgico programable Noramtiva IEC 60947-5-1 ISO 13850, IEC 60947-5-5 IEC 60269-1 IEC 60947-2 IEC 60947-4-1, IEC 60947-5-1 IEC 60947-5-1 EN 50205 IEC 60204-1, IEC 60947-5-1 IEC 60742 IEC 60204-1 ISO 14119 IEC 60947-5-1 Requisitos de sistemas neumticos o hidrulicos + IEC 60947-5-1 IEC 60947-6-2 IEC 61508, IEC 62061

SAFEBOOK 4

109

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Al aplicar componentes de eficacia probada segn nuestro sistema de categora B, el interruptor de final de carrera sera sustituido por un interruptor de accionamiento por lengeta de apertura postiva y el contactor se sobredimensionar para que la proteccin contra contactos soldados sea mayor proteccin contra contactos soldados. Aqu se muestran los cambios en un sisL1 L2 L3 SCP tema de categora B K1 Arranque SCP Aux. simple para lograr la categora 1. El disK1 Parada positivo de enclavaProtector miento y el contactor contra sobrecargas Interruptor desempean pape(OP) de lengeta Guarda les clave en la descerrada Motor conexin de la ener(Peligro) Protector contra ga del accionador, K1 Contactor sobretensiones cuando se necesita (TS) Tierra acceso a la zona peligrosa. El dispositivo Sistema de seguridad de categora 1 simple con enclavamiento de lengeta cumple con los requisitos de la norma IEC 60947-5-1 para los contactos de apertura postiva, sealizado mediante el smbolo de flecha dentro del crculo. Con los componentes debidamente probados, la probabilidad de que se desconecte la energa es mayor en la categora 1 que en la categora B. El uso de componentes de eficacia probada est diseado para evitar la prdida de la funcin de seguridad. Incluso con estas mejoras, un fallo individual puede causar la prdida de la funcin de seguridad.
+V

Las categoras B y 1 se basan en la prevencin. El diseo est previsto para evitar una situacin peligrosa. Cuando la prevencin por s misma no proporciona suficiente reduccin del riesgo, debe usarse la deteccin de fallos. Las categoras 2, 3 y 4 se basan en la deteccin de fallos, con requisitos cada vez ms exigentes para lograr altos niveles de reduccin de riesgos.

110

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Categora 2 Adems de cumplir con los requisitos de la categora B y usar principios de seguridad de eficiacia probada, el sistema de seguridad debe someterse a pruebas para cumplir con la categora 2. Las pruebas deben disearse para detectar fallos dentro de las de los sistemas de mando relativos a la seguridad. Si no se detectan fallos, la mquina puede funcionar. Si se detectan fallos, la prueba debe iniciar una accin. Siempre que sea posible, la accin debe llevar a la mquina a un estado de seguro.
Cableado Cableado

SAFEBOOK 4

Entrada

Lgica

Salida

Deteccin de fallo razonablemente prctica Prueba Prueba Salida

La prueba debe proporcionar deteccin de fallos razonablemente prctica. El equipo que realiza la prueba puede ser una parte integral del sistema de seguridad o una pieza independiente del equipo. Las prueba debe ser realizada: cuando la mquina se pone en marcha, antes de la iniciacin del peligro, y peridicamente fuera necesario por la evaluacin de riesgos. Nota: EN ISO 138491-1 considera una prueba del ratio de la demanda de la funcin de seguridad de 100:1. El ejemplo dado aqu no cumple con dicho requisito. Las palabras siempre que sea posible y razonablemente prctico indican que no todos los fallos son detectables. Puesto que ste es un sistema de un solo canal (es decir, un cable conecta la entrada a la lgica y a la salida), un solo fallo puede causar la prdida de la funcin de seguridad. En algunos casos, la categora 2 no puede aplicarse completamente a un sistema de seguridad porque no todos los componentes pueden verificarse.

111

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


+V SCP Arranque K1 Aux.

L1

L2

L3 SCP

Parada Rel de control de seguridad Guarda cerrada Interruptor de lengeta


Protector contra sobretensiones (TS)

K1 Protector contra sobrecargas (OP) K1 Contactor Motor (Peligro)

Tierra

Sistema de seguridad de categora 2

Aqu se muestra un sistema de categora 1 simple, mejorado para cumplir con los requisitos de la categora 2. Un rel de control de seguridad (MSR) realiza la prueba. En el momento de la conexin el MSR verifica sus componentes internos. Si no se detectan fallos, el MSR verifica el interruptor de lengeta controlando el ciclo de sus contactos. Si no se detectan fallos y la resguardo est cerrada, entonces el MSR verifica el dispositivo de salida: los contactos mecnicamente unidos del contactor. Si no se detectan fallos y el contactor est desactivado, el MSR activa su salida interna y conecta la bobina de K1 al pulsador de parada. En este punto, las partes no relacionadas a la seguridad del sistema, el circuito de arranque/paro/enclavamiento, pueden conectar y desconectar la mquina. Al abrir la resguardo, las salidas del MSR se desactivan. Cuando la resguardo se vuelve a cerrar, el MSR repite las verificaciones del sistema de seguridad. Si no se detectan fallos, el MSR activa su salida interna. El MSR permite que este circuito cumpla con los requisitos de la categora 2 realizando pruebas en el dispositivo de entrada, el dispositivo lgico (en s mismo) y el dispositivo de salida. La prueba se realiza en el momento del arranque inicial y antes de la condicin de riesgo. Con sus capacidades lgicas inherentes, un sistema de seguridad basado en PLC puede disearse para cumplir con las especificaciones de la categora 2. Como se indic en la descripcin de la categora 1 anteriormente, se convierte en un reto la justificacin debidamente probada del PLC (inclusive sus capacidades de prueba). Para sistemas de seguridad complejos que requieren una clasificacin de categora 2, un PLC con clasificacin de seguridad IEC 61508 debe sustituirse por el PLC sin clasificacin de seguridad.

112

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Aqu se muestra un ejemplo de un sisSCP SCP tema complejo que TS Arranque usa un PLC de seguParada K1 ridad. El PLC de seTS Int1 Clasificacin de seguridad guridad cumple con Int2 Entrada Lgica Salida K2 los requisitos de Int3 estar debidamente K3 comprobado segn K1 K2 TS la norma apropiada y K3 de acuerdo a su diseo. Los contactos Tierra mecnicamente uniSistema de seguridad de categora 2 compleja dos de los contactores son alimentados a la entrada del PLC para fines de prueba. Estos contactos pueden estar conectados en serie a un terminal de entrada o a terminales de entrada individuales, dependiendo de la lgica del programa.
+V

SAFEBOOK 4

Si bien se usan componentes de seguridad de eficacia probada, un solo fallo que ocurra entre las verificaciones puede causar la prdida de la funcin de seguridad. Por lo tanto, se usan sistemas de categora 2 en aplicaciones de menor riesgo. Cuando se necesitan niveles ms altos de tolerancia a fallos, el sistema de seguridad debe cumplir con las especificaciones de las categoras 3 4. Categora 3 Adems de cumplir con los requisitos de la categora B y con los principios de seguridad de eficacia probada, la categora 3 requiere resultados satisfactorios de la funcin de seguridad en presencia de un fallo individual. El fallo debe ser detectado durante o antes de que se imponga la siguiente demanda sobre la funcin de seguridad, siempre que sea razonablemente prctico. Aqu nuevamente tenemos la frase siempre que sea razonablemente prctico. Esto abarca los fallos que pueden no ser detectados. Siempre y cuando el fallo no detectable tenga como consecuencia en la prdida de la funcin de seguridad, la funcin de seguridad puede cumplir con las especificaciones de la categora 3. En consecuencia, una acumulacin de fallos no detectados puede causar la prdida de la funcin de seguridad.
Entrada Cableado Cableado Lgica

Entrada

Cableado

Lgica

Aqu se presenta un diagrama de bloques para explicar los principios de un sistema de categora 3. Se Deteccin de fallo usa la redundancia combinada con razonablemente prctica control cruzado de salidas razonaSalida blemente prcticas para asegurar Cableado los resultados de la funcin de seguridad.
Salida

113

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


+V SCP Arranque K1 Aux. K2 Aux. L1 L2 L3 SCP

Cn2 Cn1

Parada K1

Guarda cerrada

Rel de control Cn1 de seguridad Cn2 Interruptor de lengeta


Protector contra sobretensiones (TS)

K2 Protector contra sobrecargas (OP) Motor (Peligro)

K1

K2

Tierra

Protector contra sobretensiones (TS)

Contactores

Sistema de seguridad de categora 3

Aqu se muestra un ejemplo de un sistema de categora 3. Un conjunto de contactos redundantes se aade al interruptor con enclavamiento de lengeta. Internamente el rel de control de seguridad (MSR) tiene circuitos redundantes que realizan control cruzado entre s. Un conjunto redundante de contactores desconecta la alimentacin elctrica del motor. Los contactores son controlados por el MSR a travs los de contactos mecnicamente unidos de manera razonablemente prctica. Debe considerarse la deteccin de fallos para cada parte del sistema de seguridad, as como las conexiones (es decir, el sistema). Cules son los modos de fallo de un interruptor de lengeta de doble canal? Cules son los modos de fallo del MSR? Cules son los modos de fallo de los contactores K1 y K2? Cules son los modos de fallo del cableado? El interruptor con enclavamiento de lengeta est diseado con contactos de apertura positiva. Por lo tanto, sabemos que la abertura de resguardo est diseada para abrir un contacto soldado. Esto resuelve un modo de fallo. Existen otros modos de fallo? El interruptor de accin de apertura positiva generalmente est diseado con un resorte de retorno. Si se retira o se rompe el cabezal, los contactos de seguridad vuelven al estado cerrado (de seguridad). Muchos interruptores con enclavamiento estn diseados con cabezales extrables para aceptar los requisitos de instalacin de diversas aplicaciones. El cabezal puede retirarse y girarse de dos a cuatro posiciones.

114

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Puede producirse un fallo cuando no se aplica el par de apriete correcto a los tornillos de montaje del cabezal. Con esta condicin, la vibracin prevista de la mquina puede causar que se aflojen los tornillos de montaje del cabezal. El cabezal de operacin, bajo presin del resorte, retira la presin de los contactos de seguridad y se cierran los contactos de seguridad. Consecuentemente, abrir la resguardo no abre los contactos de seguridad y se produce un fallo en la seguridad. De manera similar, es necesario revisar el mecanismo de operacin al interior del interruptor. Cul es la probabilidad de que un fallo de un solo componente cause la prdida de la funcin de seguridad? Una prctica comn es usar dispositivos con enclavamiento de lengeta con contactos dobles en circuitos de categora 3. Este uso debe basarse en excluir el fallo individual del interruptor para abrir los contactos de seguridad. Esto se considera exclusin de fallo y se describe posteriormente en este captulo. Un rel de control de seguridad (MSR) generalmente es evaluado por terceros y se le asigna un nivel de categora (y/o un PL y SIL CL). El MSR generalmente incluye capacidad de doble canal, monitorizacin de canal cruzado, control de dispositivos externos y proteccin contra cortocircuito. No se han escrito normas especficas para proporcionar orientacin sobre el diseo o el uso de rels de control de seguridad. Los MSR son evaluados por su capacidad de realizar la funcin de seguridad segn la norma ISO 13849-1 o la predecesora EN 954-1. La clasificacin del MSR debe ser la misma o mayor que la clasificacin requerida del sistema en el cual se utiliza. Dos contactores ayudan a asegurar que los dispositivos de salida satisfagan la funcin de seguridad. Con proteccin contra sobrecarga y cortocircuito, la probabilidad de que falle el contactor con contactos soldados es pequea pero no imposible. Los contactores tambin pueden fallar debido a que los contactos principales permanezcan conectados por un bloqueo del circuito magntico o de la bobina. Si un contactor falla, el segundo contactor desconecta la alimentacin elctrica de la pieza peligrosa. El MSR detecta el contactor en fallo durante el siguiente ciclo de la mquina. Cuando se cierra la compuerta y se presiona el botn de arranque, los contactos mecnicamente unidos del contactor en fallo permanecen abiertos y el MSR no puede cerrar sus contactos de seguridad, revelando de ese modo el fallo. Fallos no detectados Con una estructura de sistema de categora 3 puede haber algunos fallos que no pueden ser detectados pero no deben, por s mismos, ocasionar la prdida de la funcin de seguridad. Cuando los fallos pueden detectarse necesitamos saber si, bajo algunas circunstancias, pueden ser enmascarados o borrados accidentalmente por la operacin de otros dispositivos dentro de la estructura del sistema.

SAFEBOOK 4

115

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


+V SCP Fallo de cableado en el sistema Sw2 Sw3 K1 Aux.
Arranque

L1 L2 L3 SCP

K2 Aux.

Sw1

Cn2

Parada

K1 Cn1
Rel de control Cn1 de seguridad

K2
Protector contra sobrecargas (OP)

Cn2

Tierra

Protector contra sobretensiones (TS)

K1

K2

Protector contra sobretensiones (TS)

Motor (Peligro)

Conexin en serie de dispositivos de entrada

Contactores

Aqu se muestra un mtodo ampliamente usado para conectar mltiples dispositivos a un rel de control de seguridad. Cada dispositivo dispone de dos contactos de apertura potiva normalmente cerrados. Estos dispositivos pueden ser una combinacin de dispositivos de enclavamiento o pulsadores de parada de emergencia. Este mtodo ahorra costes de cableado ya que los dispositivos de entrada estn conectados en serie. Supongamos que ocurre un fallo de cortocircuito en uno de los contactos en Sw2 como muestra en la figura. Puede detectarse este fallo? Si se abre el interruptor Sw1 (o Sw3), ambos canales Cn1 y Cn2 son circuitos abiertos y el MSR desconecta la alimentacin elctrica del rea de peligro. Si Sw3 se abre y luego se cierra nuevamente, el fallo en sus contactos no es detectado porque no hay cambio de estado en el MSR: ambos canales Cn1 y Cn2 permanecen abiertos. Si Sw1 (o Sw3) se cierra despus, el peligro puede reiniciarse presionando el pulsador de arranque. Bajo estas circunstancias el fallo no ocasiona prdida de la funcin de seguridad, pero no es detectado, permanece en el sistema y un fallo subsiguiente (un cortocircuito en el segundo contacto del Sw2) puede ocasionar la prdida de la funcin de seguridad.

116

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Si solo Sw2 fue abierto y cerrado, sin operacin de los otros interruptores, el Cn1 se abre y el Cn2 permanece cerrado. El MSR desactiva el motor porque se abri Cn1. Cuando se cierra Sw2, el motor no puede arrancar cuando se presiona el botn de arranque porque no se abre Cn2. El fallo es detectado. Sin embargo, si por alguna razn, el Sw1 (o Sw3) se abre y se cierra, el circuito de ambos canales Cn1 y Cn2 se abre y luego se cierra. Esta secuencia simula el borrado del fallo y provoca el rearme no intencionado en el MSR. Esto presenta la pregunta de qu cobertura de diagnsticos (DC) podra declararse para los interruptores individuales dentro de esta estructura al usar EN ISO 13849-1 o IEC 62061. Al momento de publicacin de este texto no existe una pauta especfica acerca de esto pero es comn y razonable considerar una cobertura de diagnsticos del 60% con la condicin de que los interruptores sean probados de manera individual en perodos adecuados para revelar fallos. Si se puede predecir que uno (o ms) de los interruptores nunca ser probado de manera individual, entonces se puede decir que su cobertura de diagnsticos debera ser descrita como cero. Al momento de la publicacin de este texto la norma EN ISO 13849-2 est pasando por un proceso de revisin. Cuando se publique podr proporcionar mayor orientacin acerca de este tema. La conexin en serie de los contactos mecnicos est limitada a la categora 3, ya que puede causar la prdida de la funcin de seguridad debido a la acumulacin de fallos. En trminos prcticos, la reduccin de la cobertura de diagnsticos (y por lo tanto SFF) limitara el PL y SIL mximo alcanzable a PLd and SIL2. Es interesante notar que estas caractersticas de una estructura de categora 3 siempre han requerido consideracin, pero se indican en gran detalle en las nuevas normas de seguridad funcional.

SAFEBOOK 4

117

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


L1 L2 L3 +V SCP 24 VCC Parada de emergencia Arranque
Alimentacin de control resguardo

Parada

Rel de control Cn1 de seguridad Cn2 Cn1 Com Cn2 Tierra Variador de frecuencia con clasificacin de seguridad Habilitar Circuito de control de resguardo

Motor (Peligro)

Variadores de seguridad con parada de emergencia de categora 3

Aqu se muestra un circuito de categora 3 que usa un variador de frecuencia con clasificacin de seguridad. Los avances tecnolgicos de los variadores junto con la actualizacin de las normas EN/IEC 60204-1 y NFPA 79 permiten que los variadores sean utilizados en circuitos de parada de emergencia sin necesidad de una desconexin electromecnica del accionamiento (por ej., el motor). Al presionar la parada de emergencia se abre las salidas del MSR. Esto enva una seal de parada al variador, retira la seal de validacin y abre la alimentacin de control de la resguardo. El variador ejecuta una parada de categora 0 desconexin inmediata de alimentacin elctrica al motor. Esta funcin se denomina Desconexin de par seguro. El variador logra la categora 3 porque dispone de seales redundantes para desconectar la alimentacin elctrica al motor: la validacin un rel con contactos guiados. El rel con contactos guiados proporciona realimentacin razonablemente prctica al accionamiento. El mismo variador es analizado para determinar que un fallo no cause la prdida de la funcin de seguridad.

118

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


+V SCP Arranque K1 Aux. K2 Aux. L1 L2 L3 SCP

SAFEBOOK 4

Cn2 Cn1

Parada K1

Guarda cerrada

Rel de control Cn1 de seguridad Cn2 Interruptor de lengeta

K2 Protector contra sobrecargas (OP) K2


Protector contra sobretensiones (TS)

Tierra

Protector contra sobretensiones (TS)

K1

Motor (Peligro)

Contactores

Ejemplo de un fallo de cableado

Fallo de cableado en el sistema

Aqu se muestra un ejemplo de un fallo de cableado, un cortocircuito, desde la salida de seguridad del canal 2 del MSR hasta la bobina del contactor K1. Todos los componentes estn funcionando correctamente. Este fallo de cableado puede ocurrir antes de la puesta en marcha de la mquina en una fecha posterior durante el mantenimiento o durante las mejoras. Puede detectarse este fallo? Este fallo no puede ser detectado por el sistema de seguridad como se muestra. Afortunadamente, este fallo en s no causa prdida de la funcin de seguridad. Este fallo, as como el fallo del Cn1 a K2, debe ser detectado durante la puesta en marcha o durante las revisiones siguientes al trabajo de mantenimiento. La lista de posibles exclusiones de fallo en EN ISO 13849-2, Anexo D, Tabla D4, deja claro que estos tipos de fallos pueden ser excluidos si el equipo est contenido dentro de una envolvente elctrica y tanto la envolvente como el cableado cumplen con los requisitos de la norma IEC/EN 60204-1. El expediente tcnico en EN ISO 13849-1 y en IEC 62061 adems deja claro que esta exclusin de fallo puede considerarse hasta e incluidos PLe y SIL3. Tambin se puede utilizar en la categora 4.

119

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Fallo de cableado de canal cruzado en el sistema +V SCP OSSD1 OSSD2 K1 Aux. Arranque K2 Aux. L1 L2 L3 SCP

Parada K1

Transmisor

Receptor Rel de control Cn1 de seguridad Cn2 K2 Protector contra sobrecargas (OP) Motor (Peligro)

Tierra

Protector contra sobretensiones (TS)

K1

K2

Protector contra sobretensiones (TS)

Fallo de cableado de canal cruzado con cortinas de luz

Contactores

Aqu se muestra un ejemplo de sistema de seguridad con las cortinas de luz (salidas OSSD). Puede detectar este fallo el sistema de seguridad? El rel de control de seguridad (MSR) no puede detectar este fallo porque ambas entradas estn cableadas al positivo. En este ejemplo el fallo de cableado es detectado por la cortina de luz. Algunas cortinas de luz usan una tcnica de deteccin de fallo llamada prueba de impulso. Con estas cortinas de luz la deteccin del fallo es inmediata y la cortina de luz desactiva su salida. En otros, la deteccin se realiza cuando la cortina de luz se rearma. Cuando la cortina de luz intenta activar su salida, se detecta el fallo y la salida permanece desactivada. En cualquiera de los casos, el riesgo permanece inactivo en presencia del fallo. Deteccin de fallo por prueba de pulsos Los circuitos estn diseados para portar corriente cuando el sistema de seguridad est activo y el punto peligroso est protegido. La prueba de pulsos es una tcnica en la que la corriente del circuito cae a cero durante un perodo muy corto. La duracin es demasiado corta para que el circuito de seguridad responda y desactive el accionamiento, pero es suficientemente largo para que lo detecte un sistema basado en microprocesador. Los pulsos en los canales estn defasados uno con respecto a otro. Si ocurre un cortocircuito de fallo cruzado, el microprocesador detecta los pulsos en ambos canales e inicia una orden para desactivar el accionamiento.

120

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Categora 4 Al igual que la categora 3, la categora 4 requiere que el sistema de seguridad cumpla con las especificaciones de la categora B, que use principios de seguridad y que realice la funcin de seguridad en presencia de un fallo individual. A diferencia de la categora 3, en la que la acumulacin de fallos puede causar la prdida de la funcin de seguridad, la categora 4 requiere resultados de la funcin de seguridad en presencia de la acumulacin de fallos. Al considerar la acumulacin de fallos, 2 fallos podran ser suficientes, aunque 3 fallos pueden ser necesarios para algunos diseos.
Entrada
Cableado Cableado

SAFEBOOK 4

Lgica

Salida Monitorizacin obligatoria para deteccin de fallo

Entrada

Cableado

Lgica
Cableado

Salida

Aqu se muestra el diagrama de bloques para la categora 4. Es esencial monitorizar ambos dispositivos de salida y la monitorizacin cruzada, no slo cuando es razonablemente prctico. Esto ayuda a diferenciar la categora 4 de la categora 3.
K1 Aux.

+V SCP Arranque L1 L2 L3 SCP

K2 Aux.

Cn2 Cn1

Parada K1

Guarda cerrada

Rel de control Cn1 de seguridad Cn2 Interruptor de lengeta


Protector contra sobretensiones (TS)

K2 Protector contra sobrecargas (OP) Motor (Peligro)

K1

K2

Tierra

Protector contra sobretensiones (TS)

Contactores

Categora 4 con exclusin de fallo en el dispositivo con enclavamiento de lengeta

Aqu se muestra un ejemplo de circuito de categora 4 que usa exclusin de fallo en el dispositivo con enclavamiento de lengeta. La exclusin de fallo elimina la consideracin de fallo de apertura de los contactos del dispositivo de enclavamiento con lengeta. La exclusin de fallo debe ser justificada y documentada tcnicamente. En la justificacin deben considerarse la velocidad del accionamiento, la alineacin del accionador, las paradas mecnicas y un cabezal operativo protegido.

121

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Si el diseador del sistema de seguridad prefiere usar dispositivos de enclavamiento tipo lengeta pero no est seguro del uso de la exclusin de fallo en los dispositivos de enclavamiento, entonces pueden usarse dos dispositivos con enclavamiento de lengeta para cumplir con los requisitos de la categora 4. El rel de control de seguridad debe tener clasificacin de categora 4, y deben monitorizarse los contactores de salida con contactos mecnicamente unidos. Puede aplicarse diversidad para reducir ms an la probabilidad de prdida de la funcin de seguridad debido al modo comn o a fallos de causa comn, uno de los interruptores con enclavamiento de lengeta puede convertirse al modo negativo. Un interruptor que funcione en modo negativo es aceptable siempre que un segundo interruptor use contactos de apertura positiva. El siguiente diagrama muestra un ejemplo de esta estrategia diversa. Con esta estrategia, el MSR debe disearse para aceptar entradas normalmente abiertas y normalmente cerradas.
Modo negativo +V SCP Cn1 Arranque K1 Aux. K2 Aux. L1 L2 L3 SCP

Parada K1

Guarda cerrada

Rel de control Cn1 de seguridad Cn2 Interruptores de lengeta Cn2

K2 Protector contra sobrecargas (OP) Motor (Peligro)

Tierra

Protector contra sobretensiones (TS)

K1

K2

Protector contra sobretensiones (TS)

Contactores

Categora 4 con dispositivos con enclavamiento de lengeta redundantes

Clasificaciones de los componentes y del sistema Las categoras se pueden utilizar como parte de las clasificaciones del componente de seguridad (dispositivo), as como clasificaciones del sistema. Esto genera alguna confusin que puede aclararse al comprender los componentes y sus capacidades. Teniendo en cuenta los ejemplos anteriores encontramos que un componente, como un interruptor de enclavamiento clasificado para la categora 1, puede usarse por s mismo en un sistema de categora 1, y puede usarse en un sistema de categora 2 si se proporciona una funcin adicional de monitorizacin. Tambin

122

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


puede formar parte de un sistema de categora 3 4 si dos de los componentes se usan junto con una funcin de diagnstico proporcionada por un rel de control de seguridad. Algunos componentes tales como los rels de control de seguridad y los controladores de seguridad programables tienen sus propios diagnsticos internos y se verifican para asegurar resultados correctos. Por lo tanto pueden clasificarse como componentes de seguridad para cumplir con las categoras 2, 3 4 sin ninguna medida adicional. Consideraciones y exclusiones de fallos El anlisis de seguridad requiere un anlisis extenso de fallos y comprender perfectamente los resultados del sistema de seguridad en presencia de fallos. Las normas ISO 13849-1 e ISO 13849-2 proporcionan detalles sobre las consideraciones de fallos y las exclusiones de fallos. Si un fallo provoca otro fallo de un componente subsiguiente, ste y todos los fallos subsiguientes se consideran un solo fallo. Si dos o ms fallos se producen como resultado de una misma causa, los fallos se consideran un solo fallo. Esto se conoce como fallos por causa comn. La presencia simultnea de dos o ms fallos se considera altamente improbable y no se considera en este anlisis. Hay un supuesto bsico que slo ocurre un fallo entre las demandas que se realizan en la funcin de seguridad, siempre que los perodos entre el uso de la funcin no sean excesivamente largos. Exclusiones de fallos La norma anterior EN 954-1, y las ms recientes EN ISO 13849-1 e IEC 62061, permiten el uso de exclusiones de fallos cuando se determina una clasificacin del sistema de seguridad si puede demostrarse que la ocurrencia del fallo es extremadamente improbable. Es importante que donde se utilicen las exclusiones de fallos, stas sean justificadas de manera apropiada y vlidas para la vida til prevista del sistema de seguridad. Mientras mayor sea el nivel de riesgo protegido por el sistema de seguridad ms estricta ser la justificacin requerida para la exclusin del fallo. Esto siempre ha causado confusin acerca de cundo se pueden o no se pueden usar ciertos tipos de exclusiones de fallo. Como ya hemos visto en este captulo, recientes normas y documentos de orientacin han aclarado algunos aspectos de este tema. En general, cuando se especifica PLe o SIL3 para una funcin de seguridad a ser implementada por un sistema de seguridad, no es normal confiar solo en las exclusiones de fallo para lograr este nivel de rendimiento. Esto depende de la tecnologa utilizada y del entorno de funcionamiento previsto. Por lo tanto es esencial que el

SAFEBOOK 4

123

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


diseador tenga especial cuidado con el uso de las exclusiones de fallos a medida que aumenta dicho PL o SIL. Por ejemplo, la exclusin de fallos no se aplica a los aspectos mecnicos de los interruptores de posicin electromecnicos y a los interruptores operados manualmente (por ej., un dispositivo de parada de emergencia) para poder obtener un sistema PLe o SIL3. Aquellas exclusiones de fallos que pueden ser aplicadas a condiciones especficas de fallo mecnico (por ej., desgaste/ corrosin, fractura) se describen en la Tabla A 4 de ISO 13849-2. Por lo tanto, un sistema de enclavamiento de resguardo que tiene que lograr un PLe o SIL3 debe incorporar una tolerancia de fallo mnima de 1 (por ej., dos interruptores de posicin mecnicos convencionales) para poder llegar a este nivel de rendimiento ya que no es normalmente justificable excluir fallos, tales como, accionamientos de maniobra averiados. Sin embargo, puede ser aceptable excluir fallos tales como un cortocircuito de cableado dentro de un panel de control diseado de acuerdo a las normas pertinentes. Se proporcionar informacin adicional sobre el uso de exclusiones de fallo en la prxima revisin de EN ISO 13849-2. Categoras de parada de acuerdo a IEC/EN 60204-1 y NFPA 79 Es desafortunado y a la vez confuso que el trmino Categora en relacin con los sistemas de control relacionados a la seguridad tenga dos significados diferentes. Hasta ahora hemos discutido las categoras que se originaron en EN 954-1. Son una clasificacin del rendimiento de un sistema de seguridad bajo condiciones de fallo. Tambin existe una clasificacin conocida como categoras de parada que se originaron en IEC/EN 60204-1 y NFPA 79. Hay tres categoras de parada. Categora de parada 0 requiere desconexin inmediata de la alimentacin elctrica a los accionamientos. Esto algunas veces se considera como una parada no controlada porque en algunas circunstancias el movimiento puede requerir cierto tiempo para detenerse debido a que el motor puede estar libre para parar por inercia. Categora de parada 1 requiere mantener la alimentacin elctrica para aplicar el freno hasta lograr la parada y luego desconectar la alimentacin elctrica del accionamiento. Categora de parada 2 permite que no se desconecte la alimentacin elctrica del accionamiento. Tome nota de que slo las categoras de parada 0 1 pueden usarse en las paradas de emergencia. La eleccin de la categora a usar debe ser definida por medio de una evaluacin de riesgos. Todos los ejemplos de circuitos mostrados hasta ahora en este captulo han usado una categora de parada 0. Se logra una categora de parada 1 con una salida con retardo a la desconexin final de la alimentacin elctrica. Una resguardo enclavada con bloqueo de resguardo generalmente forma parte de un sistema de

124

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


parada de categora 1. Esto mantiene la resguardo bloqueada en posicin cerrada hasta que la mquina llega a un estado seguro (por ejemplo, parado). Parar una mquina sin considerar adecuadamente el controlador programable puede afectar el rearranque y podra causar graves daos a la misma. No se puede confiar slo en un PLC estndar (no relacionado con la seguridad) para una tarea de parada relacionada con la seguridad; por lo tanto, es necesario considerar otros enfoques. Dos soluciones posibles se proporcionan a continuacin: 1. Rel de seguridad con prioridad de mando y tiempo de retardo Se usa un rel de seguridad con salidas tanto de accionamiento inmediato como de accin con retraso. Las salidas de accin inmediata se conectan a las entradas en el dispositivo programable (por ej., PLC) y las salidas de accin retardada se conectan al contactor. Cuando se activa el interruptor de enclavamiento resguardo conmutan las salidas de accin inmediata en de rel de seguridad. stas indican al sistema programable que realice una parada con la secuencia correcta. Luego de que ha pasado un tiempo corto pero suficiente para permitir este proceso, conmuta la salida retardada en el rel de seguridad y asla el contactor principal. Nota: Cualquier clculo para determinar el tiempo total de parada debe tomar en cuenta el perodo de retardo de la salida del rel de seguridad. Esto es especialmente importante cuando se usa este factor para determinar la posicin de los dispositivos segn el clculo de la distancia de seguridad. 2. PLC de seguridad Las funciones lgicas y de temporizacin requeridas pueden implementarse de manera conveniente por medio de un PLC (de seguridad) con un nivel de integridad de seguridad adecuado. En la prctica esto podra lograrse utilizando un PLC de seguridad tal como el SmartGuard o GuardLogix. Requisitos del sistema de control de seguridad en los EE.UU. En los EE.UU, los requisitos del sistema de control de seguridad pueden encontrarse en una serie de normas, pero dos documentos sobresalen: ANSI B11.TR3 y ANSI R15.06. El informe tcnico ANSI B11.TR3 establece cuatro niveles caracterizados por la magnitud prevista de reduccin de riesgo que cada uno puede proporcionar: Los requisitos para cada nivel se indican a continuacin. Grado ms bajo De conformidad con ANSI B11.TR3, las medidas de proteccin que proporcionan el grado ms bajo de reduccin de riesgos incluyen sistemas de control elctrico, electrnico, hidrulico o neumtico, y controles asociados que usan una configuracin de canal individual. Est implcito el requisito de usar dispositivos con clasifica-

SAFEBOOK 4

125

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


cin de seguridad. Esto concuerda estrictamente con la categora 1 de la norma ISO 13849-1. Reduccin baja/intermedia de riesgos Las medidas de proteccin que proporcionan reduccin baja/intermedia de riesgos segn ANSI B11.TR3 incluyen sistemas de control con redundancia que puede comprobarse manualmente para verificar los resultados del sistema de seguridad. Al examinar exclusivamente los requisitos, el sistema emplea redundancia simple. No se requiere la funcin de verificacin. Sin verificacin alguno de los componentes de seguridad redundante podra fallar y el sistema de seguridad no lo notara. Esto resultara en un sistema de canal individual. Este nivel de reduccin de riesgos concuerda mejor con la categora 2 cuando se usa verificacin. Reduccin alta/intermedia riesgos Medidas de proteccin que proporcionan reduccin alta/intermedia de riesgos segn ANSI B11. TR3 incluyen sistemas de control con redundancia y autoverificacin al momento de puesta en marcha para confirmar los resultados del sistema de seguridad. En el caso de mquinas que se arrancan diariamente, la autoverificacin proporciona una mejora significativa en la integridad de la seguridad con respecto al sistema puramente redundante. En el caso de mquinas que funcionan de forma permanente (24/7), la autoverificacin es una mejora marginal, en el mejor de los casos. El empleo de monitorizacin peridica del sistema concuerda con los requisitos de la categora 3. Grado ms alto de reduccin de riesgo ANSI B11.TR3 proporciona el ms alto grado de reduccin de riesgos mediante sistemas de control con redundancia y autoverificacin continua. La autoverificacin debe verificar los resultados del sistema de seguridad. El reto para el diseador del sistema de seguridad es determinar lo que es continuo. Muchos sistemas de seguridad realizan sus verificaciones al momento de puesta en marcha y cuando se impone una demanda sobre el sistema de seguridad. Por el contrario, algunos componentes realizan autoverificacin continua. Las cortinas de luz, por ejemplo, activan y desactivan sus indicadores LED secuencialmente. Si se produce un fallo, la cortina de luz desactiva todas sus salidas antes de que se imponga una demanda sobre el sistema de seguridad, a medida que se autoverifica continuamente. Los rels basados en microprocesador y los PLC de seguridad son otros componentes que realizan autoverificacin continua. El requisito del sistema de control de autoverificacin continua no tiene el propsito de limitar la seleccin de componentes a las cortinas de luz y unidades lgicas basadas en microprocesador. La verificacin debe realizarse al momento de

126

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


puesta en marcha y despus de cada demanda impuesta sobre el sistema. Este nivel de reduccin de riesgos tiene el propsito de concordar con la categora 4 de la norma ISO 13849-1. Normas para robots: EE.UU. y Canad Las normas para robots en los EE.UU (ANSI RIA R15.06) y Canad (CSA Z434-03) son bastante similares. Ambas tienen cuatro niveles similares a las categoras de EN 954-1:1996 que se describen a continuacin. Simple En su nivel ms bajo, los sistemas de control de seguridad simples deben disearse y construirse con circuitos de canal individual aceptados, y estos sistemas puede ser programables. En Canad, este nivel est ms restringido y se usa slo con fines de sealizacin y avisos. El reto para el diseador del sistema de seguridad es determinar lo que es aceptado. Qu es un circuito de canal individual aceptado? Para quin es aceptable el sistema? La categora simple concuerda ms estrictamente con la categora B de EN 954-1:1996. Canal individual El siguiente nivel es un sistema de control de seguridad de canal individual que: se basa en hardware o es un dispositivo de software/firmware relacionado con la seguridad incluye componentes de seguridad; y se usa de acuerdo a las recomendaciones de los fabricantes y usa diseos de circuitos de eficacia probada.

SAFEBOOK 4

Un ejemplo de un diseo de circuito de eficacia probada es un dispositivo de apertura postiva de un solo canal que transmite una seal de parada en estado desenergizado. Puesto que es un sistema de canal individual, el fallo de un solo componente puede conducir a la prdida de la funcin de seguridad. La categora simple concuerda ms estrictamente con la categora 1 de EN 9541:1996. Dispositivo de software/firmware con clasificacin de seguridad Si bien los sistemas basados en hardware han sido el mtodo preferido para proporcionar proteccin de robots, los dispositivos de software/firmware se estn convirtiendo en la opcin ms popular por su capacidad de gestionar sistemas complejos. Se permite el uso de dispositivos de software/firmware (PLC de seguridad o controladores de seguridad) siempre y cuando tengan clasificacin de seguridad. Esta clasificacin requiere que un solo componente relacionado con la seguridad

127

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


o un fallo de firmware no cause la prdida de la funcin de seguridad. Cuando se detecta un fallo se detiene la operacin automtica subsiguiente del robot hasta que se corrige el fallo. Para lograr la clasificacin de seguridad, el dispositivo de software/firmware debe probarse segn una norma aprobada por una entidad reconocida. En los EE.UU., OSHA mantiene una lista de laboratorios de prueba con reconocimiento nacional (NRTL). En Canad, el Standards Council of Canada (SCC) mantiene una lista similar. Canal individual con monitorizacin Los sistemas de control de seguridad de canal individual con monitorizacin deben cumplir con los requisitos para un canal individual, tener clasificacin de seguridad y utilizar verificacin. La verificacin de las funcines de seguridad debe realizarse durante la puesta en marcha de la mquina, y peridicamente durante el funcionamiento. La verificacin automtica es preferible a la verificacin manual. La operacin de verificacin permite el funcionamiento si no se han detectado fallos, o se genera una seal de parada si se detecta un fallo. Debe proporcionarse una advertencia si un accionamiento permanece activado despus que se ha detenido el movimiento. Por supuesto, la verificacin en s no debe causar una situacin peligrosa. Despus de detectar el fallo, el robot debe permanecer en un estado de seguridad hasta que se corrija el fallo. La categora de canal individual con monitorizacin concuerda ms estrictamente con la categora 2 de EN 954-1:1996. Control fiable El ms alto nivel de reduccin de riesgos establecido en las normas para robots de los EE.UU. y Canad se logra mediante sistemas de control de seguridad que cumplen con los requisitos de control fiable. Los sistemas de control relacionados con la seguridad con control fiable son arquitecturas de doble canal con monitorizacin. La funcin de parada del robot no debe evitarse mediante el fallo de un componente individual, incluso la funcin de monitorizacin. La funcin de monitorizacin genera uan ordern de parada al detectarse un fallo. Si un peligro permanece despus que se detiene el movimiento, debe proporcionarse una seal de alarma. El sistema de seguridad debe permanecer en estado de seguridad hasta que se corrige el fallo. Preferiblemente, el fallo se debe detectar al momento en que se genera. Si esto no puede realizarse, entonces el fallo debe detectarse durante el siguiente ciclo del sistema de seguridad. Los fallos del modo comn deben tomase en cuenta si existe probabilidad significativa de que ocurra dicho tipo de fallo.

128

Consideraciones de la estructura de los sistemas de mando relativos a la seguridad


Los requisitos canadienses difieren de los requisitos de los EE.UU. en dos requisitos adicionales. Primero, los sistemas de control relacionados a la seguridad son independientes de los sistemas normales de control de programa. Segundo, el sistema de seguridad no debe neutralizarse ni omitirse sin deteccin. Los sistemas fiables de control concuerdan con las categoras 3 y 4 de EN 954-1:1996. Comentarios sobre el control fiable El aspecto ms fundamental del control fiable es la tolerancia a un solo fallo. Los requisitos establecen cmo el sistema de seguridad debe responder en presencia de un fallo nico, cualquier fallo nico, o un fallo de cualquier componente individual. Hay tres conceptos muy importantes que deben considerarse respecto a los fallos: (1) no todos los fallos se detectan, (2) aadir la palabra componente ocasiona preguntas acerca del cableado, y (3) el cableado forma parte integral del sistema de seguridad. Los fallos del cableado pueden causar en la prdida de la funcin de seguridad. El propsito de la fiabilidad del control claramente es el resultado de la funcin de seguridad en presencia de un fallo. Si se detecta el fallo, entonces el sistema de seguridad debe ejecutar una accin de seguridad, proporcionar notificacin sobre el fallo y detener el funcionamiento de la mquina hasta que el fallo sea corregido. Si no se detecta el fallo, entonces la funcin de seguridad debe realizarse bajo demanda.

SAFEBOOK 4

129

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Ejemplo de aplicacin usando SISTEMA
Este ejemplo de aplicacin ilustra cmo cablear, configurar y programar un PAC Compact GuardLogix y PointGuard I/O para monitorizar un sistema de seguridad de dos zonas. Cada zona consta de un interruptor de enclavamiento de seguridad individual que, cuando se acciona, seala la desconexin de la alimentacin elctrica de una pareja de contactores redundantes para esa zona. Esto se duplica en la segunda zona. Ambas zonas tambin estn protegidas por un pulsador de parada de emergencia global que, al activarse, seala la desactivacin segura de ambas zonas. Nota: Este ejemplo se ofrece nicamente con fines ilustrativos. Debido a las muchas variables y los muchos requisitos relacionados con cualquier instalacin en particular, Rockwell Automation, Inc. no puede asumir ninguna responsabilidad ni obligacin por el uso que se haga con base a este ejemplo. Caractersticas y ventajas Compact GuardLogix permite ejecutar aplicaciones estndar y de seguridad en un solo controlador. Las E/S estndar y de seguridad pueden combinarse en un solo adaptador Ethernet. La informacin de estado de seguridad y de diagnstico puede pasarse fcilmente de la aplicacin de seguridad a la aplicacin estndar para visualizacin en la interface de operado (HMI) y pasarse remotamente a dispositivos adicionales mediante Ethernet. La aplicacin descrita aqu puede ampliarse e incorporarse en la aplicacin del cliente.

Descripcin Esta aplicacin monitoriza dos zonas. Cada una de las zonas est protegida por un interruptor de seguridad SensaGuard. Si se abre cualquiera de las compuertas se desactivan los contactores de salida, desactivndose as cualquier maquinaria asociada con dicha zona. Rearme es manual. Ambas zonas tambin estn protegidas por un pulsador de parada de emergencia global. Si se acciona la parada de emergencia, entonces se desactivan ambos conjuntos de contactores. Funcin de seguridad Cada uno de los interruptores de seguridad SensaGuard est conectado a una pareja de entradas de seguridad de un mdulo 1734-IB8S (POINTGuard I/O). El mdulo de E/S est conectado va CIP Safety por medio de una red EtherNet/IP al controlador de seguridad Compact GuardLogix (1768-L43S). El cdigo de seguridad en el procesador de seguridad monitoriza el estado de las entradas de seguridad usando una instruccin de seguridad precertificada llamada Dual Channel Input Stop (DCS). El cdigo de seguridad se ejecuta en paralelo en una configuracin de pro-

130

Ejemplo de aplicacin usando SISTEMA


cesador 1oo2. Cuando todas las condiciones se han satisfecho, el resguardo de seguridad est cerrada, no hay fallos detectados en los mdulos de entrada, la parada de emergencia global no est accionada y el pulsador de rearme est presionado, un segundo bloque de funciones certificado llamado Configurable Redundant Output (CROUT) verifica el estado de los dispositivos de control finales, una pareja de contactores redundantes 100S. El controlador entonces emite una seal de salida al mdulo 1734-OBS para activar una pareja de salidas para activar los contactores de seguridad. La funcin de parada de emergencia global tambin es monitorizada por una instruccin DCS. Si se acciona la parada de emergencia global, sta desactiva ambas zonas. Lista de materiales Este ejemplo de aplicacin utiliza estos componentes.
Nmero de catlogo 440N-Z21SS2A Descripcin Interruptor SensaGuard RFP plstico sin contacto Pulsador de rearme 800F Metal, protegido, azul, R, con soporte de contactos, 1 contacto N.A., estndar Gama 100S-C Contactores de seguridad Mdulo puente CompactLogix EtherNet/IP Procesador CompactLogix L43, memoria estndar de 2,0 MB, memoria de seguridad de 0,5 MB Fuente de alimentacin elctrica, entrada de 120/240 VCA, 3,5 A a 24 VCC Terminacin de tapa final derecha Adaptador Ethernet de 24 VCC Base de mdulo con terminales de tornillo IEC extrables Mdulo de entrada de seguridad Mdulo de salida de seguridad Switch Ethernet no gestionado Stratix 2000 Cantidad 2

SAFEBOOK 4

800FM-G611MX10

100S-C09ZJ23C 1768-ENBT 1768-L43S 1768-PA3 1769-ECR 1734-AENT 1734-TB 1734-IB8S 1734-OB8S 1783-US05T

2 1 1 1 1 1 4 2 1 1

131

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Instalacin y cableado Para obtener informacin completa sobre la instalacin y el cableado, consulte los manuales de usuario incluidos con los productos, o descrguelos de: http://literature.rockwellautomation.com Descripcin general del sistema El mdulo de entrada 1734-IB8S monitoriza las entradas de ambos interruptores SensaGuard. SensaGuard utiliza salidas OSSD, las cuales realizan pruebas peridicas de las salidas. De este modo, son salidas OSSD las que estn probando la integridad del cableado entre el interruptor SensaGuard y las entradas de seguridad. Las salidas de pulsos de prueba se configuran como fuentes de 24 V. El dispositivo de control final es una pareja de contactores de seguridad 100S, K1 y K2. Los contactores son controlados por el mdulo de salida 1734-OBS. stos se cablean en una configuracin redundante, y se prueban al momento del arranque para determinar si hay fallos. La prueba de arranque se realiza monitorizando el circuito de realimentacin a la entrada 2 (I2), antes de que activen los contactores. Esto se logra mediante la instruccin Configurable Redundant Output (CROUT). El sistema se rearma por el pulsador de rearme, PB1. Cableado
Rearmede fallo PB2 Rearme PB1 1734-IB8S
I0 Blanco Rosa Gris Azul Marrn Rojo Amarillo Blanco Rosa Gris Azul Marrn Rojo Amarillo I2 I1 14 I3 16 15 I0 17 I2 I1 I3

Parada de emergencia

Interruptor

Accionador

Accionador

Interruptor

COM COM COM COM COM COM T0 T1 T2 T3M T0 T1

O0

O1 O4 O3 O6

O5

K1 K2
O2 O7

K3 K4

COM COM COM COM

M
1734-OB8S

COM COM COM COM

132

Ejemplo de aplicacin usando SISTEMA


Configuracin El controlador Compact GuardLogix se configura mediante RSLogix 5000, versin 18 o posterior. Usted debe crear un nuevo proyecto y aadir los mdulos de E/S. Luego debe configurar los mdulos de E/S para los tipos correctos de entradas y salidas. La descripcin detallada de cada paso est fuera del alcance de este documento. Se supone que el lector tiene conocimientos del entorno de programacin RSLogix. Configure el controlador y aada mdulos de E/S Siga estos pasos: 1. En el software RSLogix 5000, cree un nuevo proyecto.

SAFEBOOK 4

2. En el Controller Organizer, aada el mdulo 1768-ENBT al bus 1768.

133

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


3. Seleccione el mdulo 1768-ENBT y haga clic en OK.

4. Asigne nombre al mdulo, escriba su direccin IP y haga clic en OK. En este ejemplo de aplicacin usamos 192.168.1.8. La suya puede ser diferente.

134

Ejemplo de aplicacin usando SISTEMA


5. Aada el adaptador 1734-AENT haciendo clic con el botn derecho del mouse en el mdulo 1768-ENBT en el Controller Organizer y seleccionando New Module.

SAFEBOOK 4

6. Seleccione el adaptador 1734-AENT y haga clic en OK.

135

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


7. Asigne nombre al mdulo, escriba su direccin IP y haga clic en OK. En este ejemplo de aplicacin usamos 192.168.1.11. La suya puede ser diferente. 8. Haga clic en Change.

9. Establezca Chassis Size en 4 para el adaptador 1734-AENT y haga clic en OK. El tamao del chasis es el nmero de mdulos que se insertan en el chasis. Se considera que el adaptador 1734-AENT est en la ranura 0, por lo tanto para dos mdulos de entrada y un mdulo de salida, el tamao del chasis es 4. 10. En el Controller Organizer, haga clic con el botn derecho del mouse en el adaptador 1734-AENT y seleccione New Module.

136

Ejemplo de aplicacin usando SISTEMA


11. Expanda Safety, seleccione el mdulo 1734-IB8S y haga clic en OK.

SAFEBOOK 4

12. En el cuadro de dilogo New Module, asigne el nombre de dispositivo CellGuard_1 y haga clic en Change.

137

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


13. Cuando se abra el cuadro de dilogo Module Definition, cambie Input Status a Combined Status-Power, y haga clic en OK. 14. Cierre el cuadro de dilogo Module Properties haciendo clic en OK. 15. Repita los pasos del 10 al 14 para aadir un segundo mdulo de entrada de seguridad 1734-IB8S y un mdulo de salida de seguridad 1734-OB8S.

Configure los mdulos de E/S Siga estos pasos para configurar los mdulos POINT Guard I/O. 1. En el Controller Organizer haga clic con el botn derecho del mouse en el mdulo 1734-IB8S, y seleccione Properties. 2. Haga clic en Input Configuration y configure el mdulo como se muestra.

138

Ejemplo de aplicacin usando SISTEMA


3. Haga clic en Test Output y configure el mdulo como se muestra.

SAFEBOOK 4

4. Haga clic en OK. 5. En el Controller Organizer, haga clic con el botn derecho del mouse en el segundo mdulo 1734-IB8S, y seleccione Properties. 6. Haga clic en Input Configuration y configure el mdulo como se muestra.

7. Haga clic en Test Output y configure el mdulo como se muestra.

139

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial

8. Haga clic en OK. 9. En el Controller Organizer haga clic con el botn derecho del mouse en el mdulo 1734-OB8S, y seleccione Properties. 10. Haga clic en Output Configuration y configure el mdulo como se muestra.

11. Haga clic en OK.

140

Ejemplo de aplicacin usando SISTEMA


Programacin La instruccin Dual Channel Input Stop (DCS) monitoriza los dispositivos de seguridad de doble entrada cuya funcin principal es detener el movimiento de una mquina de manera segura, por ejemplo, un botn de parada de emergencia, una cortina de luz o un resguardo de seguridad. Esta instruccin slo puede activar Output 1 cuando ambas entradas de seguridad Channel A y Channel B, estn en el estado activo segn lo determinado por el parmetro Input Type, y se realizan las acciones de rearme correctas. La instruccin DCS monitoriza la uniformidad de los canales de entrada doble (Equivalente Activo alto) y detecta y atrapa los fallos cuando se detecta una inconsistencia mayor del valor configurado para Discrepancy Time (ms). La instruccin Configurable Redundant Output (CROUT) controla y monitoriza las salidas redundantes. El tiempo de reaccin para la realimentacin de salida es configurable. La instruccin es compatible con seales de realimentacin positiva y negativa. El cdigo de aplicacin de seguridad en la rutina de salida de seguridad evita que las salidas vuelvan a arrancar si el canal de entrada reama automticamente, proporcionando la funcionalidad de antifijacin para el circuito de rearme.

SAFEBOOK 4

141

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


Rearme segn flanco de bajada EN ISO 13849-1 estipula que deben existir funciones rearme de instruccin en las seales de flanco de bajada. Para cumplir con este requisito aada una instruccin One Shot Falling en el cdigo de rearme, como se muestra a continuacin.

Datos de rendimiento Cuando se configuran correctamente, cada una de las funciones de seguridad puede obtener una clasificacin de seguridad de PLe, CAT 4 segn EN ISO 13849.1 2008. Los clculos se basan en una operacin de 360 das al ao durante 16 horas al da, con accionamiento de del resguardo de seguridad una vez por hora en un total de 5760 operaciones al ao. La funcin de parada de emergencia global se prueba una vez al mes.

142

Ejemplo de aplicacin usando SISTEMA


Cada una de las funciones del resgurado de seguridad puede representarse de la siguiente manera.

SAFEBOOK 4

K1 100S SensaGuard SS1 1734-IB8S 1768-L43S 1734-OB8S K2 100S

SubSistema 1

SubSistema 2

SubSistema 3

SubSistema 4

SubSistema 5

143

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial


La funcin de parada de emergencia puede representarse de la siguiente manera.

Parada de emergencia 1 S1 1734-IB8S 1768-L43S 1734-OB8S

K1 100S

Parada de emergencia 1 S2

K2 100S

SubSistema 1

SubSistema 2

SubSistema 3

SubSistema 4

SubSistema 5

Este ejemplo, su archivo de clculo SISTEMA y el cdigo de aplicacin RSLogix 5000 pueden descargarse de: www.discoverrockwellautomation.com

144

Ejemplo de aplicacin usando SISTEMA


Para obtener ms informacin acerca de los productos usados en este ejemplo, consulte la Literature Library de Rockwell Automation y busque los nmeros de publicacin resaltados a continuacin. Como alternativa visite www.ab.com para obtener la descripcin general de los productos. La direccin de Literature Library es: www.theautomationbookstore.com Recurso Compact GuardLogix Controllers User Manual. Publicacin: 1768-UM002 POINT Guard I/O Safety Modules Installation and User Manual. Publicacin: 1734-UM013 GuardLogix Controller Systems Safety Reference Manual. Publicacin: 1756-RM093 GuardLogix Safety Application Instruction Set Reference Manual. Publicacin: 1756-RM095 Safety Accelerator Toolkit for GuardLogix Systems, Quick Start Guide. Publicacin: IASIMP-QS005 Safety Products Calatogue Publicacin: S117-CA001A Descripcin Informacin sobre cmo configurar, operar y dar mantenimiento a controladores Compact GuardLogix Informacin sobre cmo instalar, configurar y operar mdulos POINT Guard I/O Requisitos detallados para obtener y mantener las clasificaciones de seguridad con el sistema controlador GuardLogix Informacin detallada acerca del conjunto de instrucciones de aplicaciones de seguridad GuardLogix Gua paso a paso para usar informacin de diseo, programacin y diagnsticos en el Safety Accelerator Toolkit Publicacin completa que incluye productos de seguridad, ejemplos de aplicacin e informacin til

SAFEBOOK 4

Rockwell Automation ha desarrollado un conjunto de ejemplos similares que pueden descargarse de la Literature Library. Entre en Literature Library y realice una bsqueda de SAFETY-AT en el campo de bsqueda, seleccionando en el men despelgable Publication Number. Los clculos de SISTEMA y los cdigos de aplicacin de RSLogix 5000 estn disponibles para algunas de las aplicaciones, y pueden descargarse desde: www.discoverrockwellautomation.com

145

Probabilidad promedio de fallos peligroso por hora (1/h) y nivel de rendimiento correspondiente (PL) PL PL DCavg = medio
1,99 x 10
5 5 5 5 5 5 6 6 6

MTTFd para cada canal en aos Cat. 2 Cat. 3 DCavg = medio


6,09 x 10 5,41 x 10 4,86 x 10 4,40 x 106 3,89 x 106 3,48 x 10 3,15 x 10 2,80 x 10 2,47 x 10 b b
6 6 6 6 6

Cat. B PL DCavg = alto DCavg = bajo


2,58 x 10
5 5 5

PL DCavg = bajo
1,26 x 10 1,13 x 10 1,03 x 10 9,37 x 106 8,39 x 106 7,58 x 10
6 6 6 6

Cat. 1

Cat. 2

PL

Cat. 3

PL

Cat. 4

PL

DCavg = ninguno DCavg = ninguno


a a 1,79 x 10 1,62 x 10 1,48 x 105 1,33 x 105 1,20 x 10
5 5 6 6

3 2,33 x 10 2,13 x 10 1,95 x 105 1,76 x 105 1,60 x 10


5 5 5 5

3,80 x 10 a a a b b b b c c 2,20 x 106 1,95 x 106 4,02 x 10 3,57 x 10 b


6

a a a b b b b b b b b

SAFEBOOK 4

3,3 a a a a a 1,10 x 10 9,87 x 10 6,21 x 10 5,53 x 10 4,98 x 106 4,45 x 106 8,80 x 10 7,93 x 106 7,10 x 106 6,43 x 10
6 6

3,46 x 10

3,6

3,17 x 10

3,9 a a a 6,91 x 10 b b b b b b

2,93 x 105

4,3

2,65 x 105

4,7 1,47 x 10 1,33 x 10 1,19 x 10 1,08 x 105 9,75 x 106 8,87 x 10


6 6 6

2,43 x 10

5,1 a a a b b b 5,71 x 10 5,14 x 10 b b b b b


6 6

2,24 x 10

5,6

2,04 x 10

Sistemas de seguridad para maquinaria industrial

146
b
6

6,2

1,84 x 10

6,8

1,68 x 105

c c 1,74 x 10 b 1,53 x 10
6 6

7,5

1,52 x 105

8,2 7,94 x 10 7,18 x 10 6,44 x 106 5,84 x 106 5,33 x 10


6

1,39 x 10

c c 3,21 x 10
6

9,1

1,25 x 10

10

1,14 x 10

b b b 2,81 x 106 c 2,49 x 106 c

1,36 x 10

c 1,18 x 106 c 1,04 x 106 c

11

1,04 x 105

4,53 x 106 4,04 x 106 3,64 x 10 3,01 x 10


6 6

12

9,51 x 105

13 4,53 x 10 4,21 x 10

8,78 x 10

b b b 2,77 x 10
6

2,23 x 10 1,82 x 10 c 1,67 x 10

6 6 6

c c c

9,21 x 10 7,44 x 10 6,76 x 10

7 7 7

d d d

15

7,61 x 10

16

7,31 x 10

Probabilidad promedio de fallos peligroso por hora (1/h) y nivel de rendimiento correspondiente (PL) PL DCavg = bajo
3,68 x 10
6 6 6 6 6

MTTFd para cada canal en aos Cat. 2 PL DCavg = medio


2,37 x 10
6 6 6 6 7 7 7

Cat. B DCavg = bajo


1,41 x 10 1,22 x 10 1,07 x 10 9,47 x 107 8,04 x 107 6,94 x 10
7 7 7 7

PL DCavg = medio
5,67 x 10 4,85 x 10 4,21 x 10 3,70 x 107 3,10 x 107 2,65 x 10 2,30 x 10 2,01 x 10 1,78 x 10 d d
7 7 7 7 7

Cat. 1 DCavg = alto

Cat. 2

PL

Cat. 3

PL

Cat. 3

PL

Cat. 4 PL

DCavg = ninguno DCavg = ninguno


b b 2,06 x 10 1,82 x 10 1,62 x 106 1,39 x 106 1,21 x 10
6 6 7 7

18 3,26 x 10 2,93 x 10 2,65 x 106 2,32 x 106


6 6 6 6

6,34 x 10 c c c c c c 5,94 x 10 5,16 x 10 4,53 x 10 3,87 x 107 3,35 x 107 2,93 x 10 2,52 x 10 d
7

b c c d d d d d d d d d d d 1,54 x 107 1,34 x 107 d


7

c d d d

20 c c c c c 1,06 x 10 9,39 x 10 8,40 x 10 7,34 x 107 6,49 x 107 5,80 x 10


7 7

5,71 x 10

22

5,19 x 10

24

4,76 x 106

27 b 2,06 x 10
6 6 6 6

4,23 x 106

30 b 1,85 x 10 1,67 x 10 1,53 x 10 1,37 x 106 1,24 x 106 1,13 x 10


6 6 7

3,80 x 10

9,54 x 108 8,57 x 10 7,77 x 10 7,11 x 10 d d


8 8 8

e e e e 6,37 x 108 5,76 x 108 e e

33 b c c c c c 1,02 x 10 9,06 x 10 8,17 x 107 7,31 x 107 6,61 x 10


7 7 7

3,46 x 10 c c c c c c 5,10 x 10 4,43 x 10 d d d d d d d d d d d d

36

3,17 x 10

Diseo del sistema de acuerdo a EN ISO 13849-1:2008

147
6 6 6

39

2,93 x 10

43

2,65 x 106

47

2,43 x 106

51

2,24 x 10

1,19 x 10 d 2,13 x 10
7

d 1,03 x 10 d 8,84 x 10
7 8

5,26 x 10 d e 4,73 x 10 4,22 x 10

8 8 8

e e e

56 c c c c c 5,88 x 10 5,28 x 10 c

2,04 x 10

62

1,84 x 10

68

1,68 x 106

3,90 x 107 3,40 x 107 3,01 x 10 2,61 x 10 2,29 x 10


7 7 7

d d d d d

1,84 x 107 1,57 x 107 1,35 x 10 1,14 x 10 1,01 x 10


7 7 7

d d d d d

7,68 x 108 6,62 x 108 5,79 x 10 4,94 x 10 4,29 x 10


8 8 8

e e e e e

3,80 x 108 3,41 x 108 3,08 x 10 2,74 x 10 2,47 x 10


8 8 8

e e e e e

75
6 6 6

1,52 x 106

82

1,39 x 10

91

1,25 x 10

SAFEBOOK 4

100

1,14 x 10

SAFEBOOK 4

Sistemas de seguridad para maquinaria industrial

148

Publicacin: SAFEBK-RM002B-SP-P Marzo de 2011


Sustituye la publicacin: SAFEBK-RM002A-SP-P

2011 Rockwell Automation, Inc. Todos los derechos reservados.