norma española
UNE-EN ISO 13849-1
Septiembre 2016 TÍTULO
Seguridad de las máquinas Partes de los sistemas de mando relativas a la seguridad Parte 1: Principios generales para el diseño (ISO 13849-1:2015)
Safety of machinery. Safety-related parts of control systems. Part 1: General principles for design. (ISO 13849-1:2015). 13849-1:2015). Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de conception. conception. (ISO 13849-1:2015). 13849-1:2015).
CORRESPONDENCIA
Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 13849-1:2015, que a su vez adopta la Norma Internacional ISO 13849-1:2015.
OBSERVACIONES
Esta norma anula y sustituye a las Normas UNE-EN ISO 13849-1:2008 y UNE-EN ISO 13849-1:2008/AC:2009.
ANTECEDENTES
Esta norma ha sido elaborada por el comité técnico AEN/CTN 81 Prevención y medios de protección personal y colectiva en el trabajo cuya Secretaría desempeña INSHT.
Editada e impresa por AENOR Depósito legal: M 33799:2016
LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
AENOR 2016 Reproducción prohibida
102 Páginas Génova, 6 28004 MADRID-España
[email protected] www.aenor.es
Tel.: 902 102 201 Fax: 913 104 032
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
S
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
NORMA EUROPEA EUROPEAN STANDARD ORME EUROPÉENNE EUROPÄISCHE NORM
EN ISO 13849-1 Diciembre 2015
ICS 13.110
Sustituye a EN ISO 13849-1:2008
Versión en español
Seguridad de las máquinas Partes de los sistemas de mando relativas a la seguridad Parte 1: Principios generales para el diseño (ISO 13849-1:2015) Safety of machinery. Safety-related parts of control systems. Part 1: General rinciples for design. (ISO 13849-1:2015).
Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de conception. (ISO 13849-1:2015). 13849-1:2015).
Sicherheit von Maschinen. Sicherheitsbezogene Teile von Steuerungen. Teil 1: Allgemeine Gestaltungsleitsätze. (ISO 13849-1:2015). 13849-1:2015).
Esta norma europea ha sido aprobada por CEN el 2015-06-20. Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas normas nacionales pueden obtenerse en el Centro de Gestión de CEN, o a través de sus miembros. Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada bajo la responsabilidad de un miembro miembro de CEN en su idioma nacional, y notificada al Centro de Gestión, Gestión, tiene el mismo rango que aquéllas. Los miembros de CEN son los organismos nacionales de normalización de los países siguientes: Alemania, Antigua República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Polonia, Portugal, Reino Unido, República República Checa, Rumanía, Suecia, Suiza Suiza y Turquía.
CEN COMITÉ EUROPEO DE NORMALIZACIÓN European Committee for Standardization Comité Européen de Normalisation Europäisches Komitee für Normung CENTRO DE GESTIÓN: Avenue Marnix, 17-1000 Bruxelles 2015
CEN. Derechos de reproducción reservados a los Miembros de CEN.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN ISO 13849-1:2015
-4-
Prólogo europeo El texto de la Norma EN ISO 13849-1:2015 ha sido elaborado por el Comité Técnico ISO/TC 199 Seguridad de máquinas en colaboración con el Comité Técnico CEN/TC 114 Seguridad de máquinas, cuya Secretaría desempeña DIN. Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto idéntico a ella o mediante ratificación antes de finales de junio de 2016, y todas las normas nacionales técnicamente divergentes deben anularse antes de finales de junio de 2016. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén sujetos a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de dichos derechos de patente. Esta norma anula y sustituye a la Norma EN ISO 13849-1:2008. Esta norma europea ha sido elaborada bajo un Mandato dirigido a CEN por la Comisión Europea y por la Asociación Europea de Libre Comercio, y sirve de apoyo a los requisitos esenciales de las Directivas europeas. La relación con las Directivas UE se recoge en el anexo informativo ZA, que forma parte integrante de esta norma. De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea los organismos de normalización de los siguientes países: Alemania, Antigua República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza y Turquía.
Declaración El texto de la Norma ISO 13849-1:2015 ha sido aprobado por CEN como Norma EN ISO 13849-1:2015 sin ninguna modificación.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
-5-
ISO 13849-1:2015
Índice Prólogo........................................................... ................................................................. .......................... 7 0
Introducción ................................................................. ........................................................... 8
1
Objeto y campo de aplicación ........................................................... ................................... 10
2
Normas para consulta .......................................................................................................... 10
3 3.1 3.2
Términos, definiciones, símbolos y abreviaturas ............................................................... 11 Términos y definiciones.......................................................... .............................................. 11 Símbolos y abreviaturas ....................................................................................................... 16
4 4.1 4.2 4.2.1 4.2.2 4.3 4.4 4.5 4.5.1 4.5.2 4.5.3 4.5.4 4.5.5 4.6 4.6.1 4.6.2 4.6.3 4.6.4 4.7 4.8
Consideraciones relativas al diseño ............................................................. ........................ 17 Objetivos de seguridad en el diseño .................................................................................... 17 Estrategia para la reducción del riesgo............................................................................... 19 Generalidades ....................................................................................................................... 19 Contribución a la reducción del riesgo mediante el sistema de mando ........................... 19 Determinación del nivel de prestaciones requerido (PLr) ................................................. 23 Diseño de las SRP/CS ........................................................................................................... 23 Estimación del nivel de prestaciones obtenido y relación con el SIL ............................... 24 Nivel de Prestaciones PL ........................................................ .............................................. 24 Tiempo medio hasta el fallo peligroso de cada canal (MTTF D) ........................................ 26 Cobertura del diagnóstico (DC) .......................................................................................... 27 Procedimiento simplificado para la estimación de los aspectos cuantificables de un PL ..................................................................................................................................... 27 Descripción de la parte de salida de la SRP/CS mediante la categoría ............................ 29 Requisitos para el soporte lógico de seguridad .................................................................. 30 Generalidades ....................................................................................................................... 30 Soporte lógico empotrado relativo a la seguridad (SRESW) ............................................ 31 Soporte lógico de aplicación relativo a la seguridad (SRASW) ........................................ 32 Parametrización basada en el soporte lógico...................................................................... 35 Verificación de que el PL obtenido satisface el PL r ........................................................... 36 Aspectos ergonómicos del diseño ................................................................ ......................... 36
5 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7 5.2.8
Funciones de seguridad .......................................................... .............................................. 37 Especificación de las funciones de seguridad ................................ ..................................... 37 Detalles de las funciones de seguridad ................................................................ ................ 40 Función de parada relativa a la seguridad ......................................................................... 40 Función de rearme manual .................................................................................................. 40 Puesta en marcha y nueva puesta en marcha..................................................... ................ 41 Función de mando local ....................................................................................................... 41 Función de inhibición ........................................................................................................... 41 Tiempo de respuesta ............................................................... .............................................. 42 Parámetros relativos a la seguridad ............................................................ ........................ 42 Variaciones, pérdida y restablecimiento de la alimentación de energía .......................... 42
6 6.1 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.2.5
Categorías y su relación con los MTTF D de cada canal, DC avg y CCF ............................. 42 Generalidades ....................................................................................................................... 42 Especificaciones de las categorías................................................................ ........................ 43 Generalidades ....................................................................................................................... 43 Arquitecturas tipo ................................................................................................................ 43 Categoría B............................................................................................................................ 44 Categoría 1 ............................................................................................................................ 44 Categoría 2 ............................................................................................................................ 46
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
-6-
6.2.6 6.2.7 6.3
Categoría 3 ............................................................................................................................ 47 Categoría 4 ............................................................................................................................ 48 Combinación de SRP/CS para obtener un PL global ........................................................ 50
7 7.1 7.2 7.3
Consideración de defectos, exclusión de defectos............................................................... 52 Generalidades ....................................................................................................................... 52 Consideración de defectos ................................................................ .................................... 52 Exclusión de defectos .............................................................. .............................................. 52
8
Validación........................................................... .............................................................. ..... 53
9
Mantenimiento .............................................................. ........................................................ 53
10
Documentación técnica ........................................................... .............................................. 53
11
Información para utilización ............................................................................................... 54
Anexo A (Informativo)
Determinación del nivel de prestaciones requerido (PLr) ..................... 56
Anexo B (Informativo)
Método de los bloques y diagrama de bloques relativo a la seguridad ................................................................ ................................... 60
Anexo C (Informativo)
Cálculo o evaluación del MTTFD para componentes ............................ 62
Anexo D (Informativo)
Método simplificado para estimar el MTTFD para cada canal ............ 70
Anexo E (Informativo)
Estimaciones de la cobertura del diagnóstico (DC) para las funciones y los módulos ............................................................... ............. 72
Anexo F (Informativo)
Estimaciones para los fallos de causa común (CCF) ............................. 75
Anexo G (Informativo)
Fallo sistemático ............................................................... ........................ 77
Anexo H (Informativo)
Ejemplo de combinación de varias partes del sistema de mando relativas a la seguridad (SRP/CS) ...................................................... ..... 80
Anexo I (Informativo)
Ejemplos ................................................................ .................................... 83
Anexo J (Informativo)
Soporte lógico......................................................... ................................... 92
Anexo K (Informativo)
Representación numérica de la figura 5 ................................................. 95
Bibliografía............................................................................................................................................. 99
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
-7-
ISO 13849-1:2015
Prólogo ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. En la parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar esta norma y para su mantenimiento posterior. En particular debería tomarse nota de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Esta norma se redactó de acuerdo a las reglas editoriales de la parte 2 de las Directivas ISO/IEC. www.iso.org/directives. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de esta norma se indican en la introducción y/o en la lista ISO de declaraciones de patente recibidas. www.iso.org/patents. Cualquier nombre comercial utilizado en esta norma es información que se proporciona para comodidad del usuario y no constituye una recomendación. Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones relacionadas con la evaluación de la conformidad, así como información de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a los Obstáculos Técnicos al Comercio (OTC), véase la siguiente dirección: http://www.iso.org/iso/foreword.html. El comité responsable de esta norma es el ISO/TC 199, Seguridad de máquinas. Esta tercera edición anula y sustituye a la segunda edición (Norma ISO 13849-1:2006) que ha sido revisada técnicamente. También incorpora el Corrigendum Técnico ISO 13849-1:2006/Cor 1:2009. Los cambios respecto a la edición previa incluyen: –
eliminación de la antigua tabla 1 de la Introducción;
–
actualización y adición de referencias normativas;
–
modificación de las definiciones de los términos situación peligrosa y demanda alta o modo continuo;
–
adición de un nuevo término y definición, probado en uso;
–
modificación editorial, no técnica, de la figura 1;
–
un nuevo apartado, 4.5.5, así como modificaciones a las secciones existentes incluyendo los anexos, modificaciones sustanciales al anexo C y un nuevo anexo I completo.
La Norma ISO 13849 consta de las siguientes partes, bajo el título general Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad: –
Parte 1: Principios generales para el diseño.
–
Parte 2: Validación.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
-8-
0 Introducción La estructura de las normas en el ámbito de la seguridad de las máquinas es la siguiente: a) Normas de tipo A (normas de seguridad fundamentales) que precisan nociones fundamentales, principios para el diseño y aspectos generales que pueden ser aplicados a todos los tipos de máquinas. b) Normas de tipo B (normas de seguridad relativas a una materia) que tratan de uno o más aspectos de seguridad o de uno o más tipos de protecciones, que son válidas para una amplia gama de máquinas: –
normas de tipo B1, que tratan de aspectos particulares de la seguridad (por ejemplo, distancias de seguridad, temperatura superficial, ruido);
–
normas de tipo B2, que tratan de protecciones (por ejemplo, mando a dos manos, dispositivos de enclavamiento, dispositivos sensibles a la presión, resguardos).
c) Normas de tipo C (normas de seguridad de las máquinas) que tratan de requisitos de seguridad detallados para una máquina particular o para un grupo de máquinas. Esta parte de la Norma ISO 13849 es una norma de tipo B1 tal como se establece en la Norma ISO 12100. Este documento es de relevancia, en particular, para los siguientes grupos de partes interesadas que representan a los agentes de mercado en materia de seguridad de las máquinas: –
los fabricantes de máquinas (pequeñas, medianas y grandes empresas);
–
los organismos de seguridad y salud (legisladores, organizaciones de prevención de accidentes, de vigilancia de mercado, etc.).
Otros que se pueden ver afectados por el nivel de seguridad de las máquinas conseguido por los grupos de partes interesadas mencionados anteriormente usando este documento son: –
los usuarios de máquinas/empresarios (pequeñas, medianas y grandes empresas);
–
los usuarios de máquinas/empleados (por ejemplo, sindicatos, organizaciones de personas con necesidades especiales);
–
los proveedores de servicios, por ejemplo, para el mantenimiento (pequeñas, medianas y grandes empresas);
–
los consumidores (en caso de máquinas destinadas para su uso por los consumidores).
A los grupos de interés mencionados anteriormente se les ha dado la posibilidad de participar en el proceso de elaboración de este documento. Además, este documento está destinado a los organismos de normalización que elaboran normas de tipo C. Una norma de tipo C puede complementar o modificar los requisitos de este documento. Para las máquinas que están cubiertas por el alcance de una norma de tipo C y que se han diseñado y construido de acuerdo con sus requisitos, los requisitos de dicha norma de tipo C tienen prioridad. Si las especificaciones de una norma de tipo C son diferentes de las establecidas en las normas de tipo A o de tipo B, las especificaciones de la norma de tipo C tienen prioridad sobre las especificaciones de otras normas, para máquinas que se hayan diseñado y construido conforme a las especificaciones de la norma de tipo C.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
-9-
ISO 13849-1:2015
Esta parte de la Norma ISO 13849 está prevista para guiar a aquellos que estén implicados en el diseño y evaluación de los sistemas de mando, así como a los Comités Técnicos que elaboran las normas de tipo B2 o de tipo C que se presumen conformes a los requisitos esenciales de seguridad del anexo I de la Directiva 2006/42/CE sobre máquinas. Esta norma no da orientaciones específicas para cumplir con otras Directivas CE. Como parte de la estrategia global de reducción de riesgos de una máquina, un diseñador optará a menudo por conseguir alguna medida de reducción de riesgos mediante la aplicación de protecciones que emplean una o varias funciones de seguridad. Las partes de los sistemas de mando de las máquinas que tienen asignada desempeñar funciones de seguridad se denominan partes de los sistemas de mando relativas a la seguridad (SRP/CS) y pueden estar constituidas de soporte material (hardware) y de soporte lógico (software) y pueden estar separadas del sistema de mando de la máquina o ser una parte integral del mismo. Además de desempeñar las funciones de seguridad, las SRP/CS pueden desempeñar también funciones operativas (por ejemplo, dispositivos de mando a dos manos como medio para la puesta en marcha de un proceso). La aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles, está clasificada en cinco niveles denominados niveles de prestaciones (PL). Estos niveles de prestaciones se definen en términos de probabilidad de fallo peligroso por hora (véase la tabla 2). La probabilidad de fallo peligroso de una función de seguridad depende de varios factores, incluyendo la estructura del soporte material y del soporte lógico, la magnitud de los mecanismos de detección de defectos [cobertura del diagnóstico (DC)], la fiabilidad de los componentes [tiempo medio hasta un fallo peligroso (MTTF D), los fallos de causa común (CCF)], el proceso de diseño, los esfuerzos de funcionamiento, las condiciones ambientales y los procedimientos de trabajo. Con el fin de ayudar al diseñador y facilitarle la evaluación del PL conseguido, este documento emplea una metodología basada en la categorización de estructuras conforme a criterios de diseño específicos y a comportamientos especificados en caso de defecto. Estas categorías se clasifican en cinco niveles, denominados Categorías B, 1, 2, 3 y 4. Los niveles de prestaciones y las categorías se pueden aplicar a las partes de los sistemas de mando relativas a la seguridad, tales como: –
dispositivos de protección (por ejemplo, dispositivos de mando a dos manos, dispositivos de enclavamiento), dispositivos de protección electrosensibles (por ejemplo, barreras fotoeléctricas), dispositivos sensibles a la presió n;
–
las unidades de mando (por ejemplo, un bloque lógico para funciones de mando, tratamiento de datos, control, etc.), y
–
elementos de mando de los accionadores (por ejemplo, relés, válvulas, etc.),
así como a los sistemas de mando que desempeñan funciones de seguridad en todo tipo de máquinas, desde las más sencillas (por ejemplo, pequeñas máquinas de cocina, o puertas y barreras automáticas) a instalaciones de fabricación (por ejemplo, máquinas de embalaje, máquinas de imprimir, prensas). El objetivo de esta parte de la Norma ISO 13849 es proporcionar una base clara que permita evaluar el diseño y las prestaciones de cualquier aplicación de SRP/CS (y de la máquina), por ejemplo, por una tercera parte o internamente o por un laboratorio de ensayo independiente.
Información sobre la aplicación recomendada de la Norma IEC 62061 y esta parte de la Norma ISO 13849 La Norma IEC 62061 y esta parte de la Norma ISO 13849 especifican los requisitos para el diseño y la implementación de sistemas de mando relativos a la seguridad de las máquinas. La utilización de cualquiera de estas normas internacionales, de acuerdo con sus campos de aplicación, puede dar presunción de conformidad con los requisitos esenciales de seguridad pertinentes. El Informe Técnico ISO/TR 23849 ofrece orientaciones para la aplicación de esta parte de la Norma ISO 13849 y de la Norma IEC 62061 en el diseño de sistemas de mando relativos a la seguridad para máquinas.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 10 -
Junto con el Informe Técnico ISO/TR 23849, se ha añadido el Informe Técnico ISO/TR 22100-2 a la lista de referencias normativas dada en el capítulo 2 – este último debido a su importancia para la comprensión de la relación entre esta parte de la Norma ISO 13849 y la Norma ISO 12100.
1
Objeto y campo de aplicación
Esta parte de la Norma ISO 13849 proporciona requisitos de seguridad y orientaciones sobre los principios para el diseño e integración de las partes de los sistemas de mando relativas a la seguridad (SRP/CS), incluyendo el diseño del soporte lógico (software). Para estas partes especifica las características, incluyendo el nivel de prestaciones requerido, para desempeñar las funciones de seguridad. Se aplica a las SRP/CS para modo de alta solicitación y modo continuo, independientemente de la tecnología y del tipo de energía utilizadas (eléctrica, hidráulica, neumática, mecánica, etc.). En ella no se especifican qué funciones de seguridad ni qué niveles de prestaciones se deben utilizar en un caso particular. Esta parte de la Norma ISO 13849 proporciona requisitos específicos para SRP/CS que utilizan sistemas electrónicos programables. En ella no se dan requisitos específicos para el diseño de componentes integrados en las SRP/CS. Sin embargo, se pueden utilizar los principios establecidos, tales como las categorías o los niveles de prestaciones. NOTA 1 Ejemplos de componentes integrados en las SRP/CS: relés, electroválvulas, interruptores de posición, PLCs, unidades de mando de motores, dispositivos de mando a dos manos, equipos sensibles a la presión. Para el diseño de dichos componentes, es importante remitirse a las normas internacionales específicas, por ejemplo, ISO 13851, ISO 13856-1 e ISO 13856-2. NOTA 2 Para la definición de nivel de prestaciones requerido, véase el apartado 3.1.24. NOTA 3 Los requisitos proporcionados en esta parte de la Norma ISO 13849 para sistemas electrónicos programables son compatibles con la metodología para el diseño y desarrollo de las partes de los sistemas de mando eléctricos, electrónicos y electrónicos programables, relativas a la seguridad de las máquinas, dadas en la Norma IEC 62061. NOTA 4 Para el soporte lógico empotrado relativo a la seguridad en componentes con PLr = e, véase el capítulo 7 de la Norma IEC 61508-3:1998.
2
Normas para consulta
Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la aplicación de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición (incluyendo cualquier modificación de ésta). ISO 12100:2010, Seguridad de las máquinas. Principios generales para el diseño. Evaluación del riesgo y reducción del riesgo. ISO 13849-2:2012, Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad. Parte 2: Validación. IEC 60050-191:1990, International electrotechnical vocabulary. Chapter 191: Dependability and quality of service. Amended by IEC 60050 191-am1:1999 and IEC 60050 191-am2:2002:1999. IEC 61508-3:2010, Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 3: Requisitos del software. Corregida por IEC 61508-3/Cor.1:1999. IEC 61508-4:2010, Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables r elacionados con la seguridad. Parte 4: Definiciones y abreviaturas. Corregida por IEC 61508-4 Cor.1:1999. IEC 62061:2012, Seguridad de las máquinas. Seguridad funcional de sistemas de mando eléctricos, electrónicos y electrónicos programables relativos a la seguridad.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 11 -
ISO 13849-1:2015
ISO/TR 22100-2:2013, Safety of machinery. Relationship with ISO 12100. Part 2: How ISO 12100 relates to ISO 13849-1 ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery.
3
Términos, definiciones, símbolos y abreviaturas
3.1 Términos y definiciones Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas ISO 12100 e IEC 60050-191 además de los siguientes:
3.1.1 parte de un sistema de mando relativa a la seguridad; SRP/CS: Parte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad. NOTA 1 Las partes combinadas de un sistema de mando relativas a la seguridad comienzan en los puntos en los que se generan las señales de entrada relativas a la seguridad (incluyendo, por ejemplo, la leva de accionamiento y la roldana del interruptor de posición) y terminan a la salida de los elementos de mando de los accionadores (incluyendo, por ejemplo, los contactos principales de un contactor). NOTA 2 Si se utilizan sistemas de control para los diagnósticos, éstos también se consideran SRP/CS.
3.1.2 categoría: Clasificación de las partes de un sistema de mando relativas a la seguridad en función de su resistencia a defectos y de su comportamiento subsecuente en caso de defecto, y que se obtiene mediante la arquitectura de dichas partes, la detección de defectos y/o su fiabilidad. 3.1.3 defecto o avería: Estado de una unidad caracterizado por la incapacidad para desempeñar la función requerida, excluyendo la incapacidad debida al mantenimiento preventivo o a otras acciones programadas o debido a la falta de medios externos. NOTA 1 A menudo un defecto es la consecuencia de un fallo de la propia unidad, pero puede existir sin fallo previo. NOTA 2 En esta parte de la Norma ISO 13849, “defecto” significa defecto aleatorio.
[FUENTE: IEC 60050-191:1990, 05-01]
3.1.4 fallo: Cese de la aptitud de una unidad para cumplir una función requerida. NOTA 1 Después de que una unidad falla, tiene un defecto. NOTA 2 Un fallo es un suceso, mientras que un defecto en un estado. NOTA 3 La noción de defecto, tal como se ha definido, no se aplica a una unidad constituida solamente por un soporte lógico. NOTA 4 Los fallos que solamente afectan a la disponibilidad del proceso bajo mando no están cubiertos por el campo de aplicación de esta parte de la Norma ISO 13849.
[FUENTE: IEC 60050-191:1990, 04-01]
3.1.5 fallo peligroso: Fallo que potencialmente puede poner una SRP/CS en un estado peligroso o defectuoso. NOTA 1 El hecho de que se materialice o no dicha “potencialidad” puede depender de la arquitectura de canales del sistema; en sistem as redundantes, es menos probable que un fallo peligroso en el soporte material dé lugar a un estado global peligroso o defectuoso.
[FUENTE: IEC 61508-4, 3.6.7 modificada]
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 12 -
3.1.6 fallo de causa común; CCF: Fallo de varios elementos, que resultan de un solo suceso y que no son consecuencia unos de otros. NOTA 1 Los fallos de causa común no se deberían confundir con los fallos de modo común (véase la Norma ISO 12100:2010, 3.36).
[FUENTE: IEC 60050-191-mod.1:1999, 04-23]
3.1.7 fallo sistemático: Fallo asociado de manera determinista a una cierta causa, que solamente puede ser eliminado mediante una modificación del diseño o del proceso de fabricación, de los procedimientos de trabajo, de la documentación o de otros factores apropiados. NOTA 1 El mantenimiento correctivo sin modificación, no eliminará, normalmente, la causa del fallo. NOTA 2 Un fallo sistemático se puede inducir simulando la causa del fallo. NOTA 3 Ejemplos de causas de fallos sistemáticos incluyen los errores humanos en: –
las especificaciones de los requisitos de seguridad,
–
el diseño, la fabricación, la instalación, el funcionamiento del soporte material, y
–
el diseño, la implementación, etc., del soporte lógico.
[FUENTE: IEC 60050-191:1990, 04-19]
3.1.8 inhibición: Interrupción automática y temporal de la(s) función(es) de seguridad mediante las SRP/CS. 3.1.9 rearme manual: Función interna a las SRP/CS que permite restablecer manualmente funciones de seguridad determinadas antes de una nueva puesta en marcha de la máquina. 3.1.10 daño: Lesión física o deterioro de la salud. [FUENTE: ISO 12100:2010, 3.5]
3.1.11 peligro: Fuente de posible daño. NOTA 1 El concepto "peligro" se puede cualificar con el fin de definir su origen (por ejemplo, peligro mecánico, peligro eléctrico) o la naturaleza del posible daño (por ejemplo, peligro de choque eléctrico, peligro de corte, peligro de intoxicación, peligro de incendio). NOTA 2 El peligro considerado en esta definición: –
puede estar permanentemente presente durante el uso previsto de la máquina (por ejemplo, elementos móviles peligrosos en movimiento, arco eléctrico durante una operación de soldadura, postura incómoda, emisión de ruido, temperatura alta), o
–
puede aparecer de forma imprevista (por ejemplo, explosión, peligro de aplastamiento como consecuencia de una puesta en marcha inesperada/intempestiva, proyección como consecuencia de una rotura, caída como consecuencia de una aceleración/deceleración).
[FUENTE: ISO 12100:2010, 3.6 modificada]
3.1.12 situación peligrosa: Circunstancia en la que una(o varias) persona(s) está(n) expuesta(s) al menos a un peligro. NOTA 1 La exposición puede dar lugar a un daño de forma inmediata o después de un periodo de tiempo.
[FUENTE: ISO 12100:2010, 3.10]
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 13 -
ISO 13849-1:2015
3.1.13 riesgo: Combinación de la probabilidad de que se produzca un daño y de la gravedad de dicho daño. [FUENTE: ISO 12100:2010, 3.12]
3.1.14 riesgo residual: Riesgo que queda después de que se hayan tomado las medidas preventivas. NOTA 1 Véase la figura 2.
[FUENTE: ISO 12100:2010, 3.13 modificada]
3.1.15 evaluación del riesgo: Proceso global que comprende el análisis de riesgos y la valoración de riesgos. [FUENTE: ISO 12100:2010, 3.17]
3.1.16 análisis del riesgo: Combinación de la especificación de los límites de la máquina, la identificación del peligro y la estimación del riesgo. [FUENTE: ISO 12100:2010, 3.15]
3.1.17 valoración del riesgo: Juzgar, conforme al resultado del análisis del riesgo, si los objetivos de reducción del riesgo se han alcanzado. [FUENTE: ISO 12100:2010, 3.16]
3.1.18 uso previsto de una máquina: Uso de una máquina, de acuerdo con la información proporcionada en las instrucciones para la utilización. [FUENTE: ISO 12100:2010, 3.23]
3.1.19 mal uso razonablemente previsible: Uso de una máquina de una manera para la que no está destinada por el diseñador, pero que puede resultar de un comportamiento humano fácilmente predecible. [FUENTE: ISO 12100:2010, 3.24]
3.1.20 función de seguridad: Función de una máquina cuyo fallo podría dar lugar a un aumento inmediato del (de los) riesgo(s). [FUENTE: ISO 12100:2010, 3.30]
3.1.21 control: Función de seguridad que asegura que se inicia una medida preventiva si disminuye la aptitud de un componente o de un elemento para desempeñar su función o si se modifican las condiciones del proceso de manera que se genera una disminución de la reducción de riesgo. 3.1.22 sistema electrónico programable, PES: Sistema para mando, protección o control cuyo funcionamiento depende de uno o más dispositivos electrónicos programables, incluyendo todos los elementos del sistema tales como las fuentes de alimentación, los detectores y otros dispositivos de entrada, contactores y otros dispositivos de salida. [FUENTE: IEC 61508-4:1998, 3.3.2, modificada]
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 14 -
3.1.23 nivel de prestaciones, PL: Nivel discreto utilizado para especificar la aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles. NOTA 1 Véase el apartado 4.5.1.
3.1.24 nivel de prestaciones requerido, PL r: Nivel de prestaciones (PL) aplicado con el fin de conseguir la reducción de riesgo requerida para cada función de seguridad. NOTA 1Véanse las figuras 2 y A.1.
3.1.25 tiempo medio hasta el fallo peligroso; MTTFD: Valor probable de la duración media hasta el fallo peligroso. [FUENTE: IEC 62061:2005, 3.2.34, modificada].
3.1.26 cobertura del diagnóstico, DC: Medida de la efectividad del diagnóstico, que se puede determinar como la relación entre la tasa de fallo de los fallos peligrosos detectados y la tasa de fallo del total de fallos peligrosos. NOTA 1 La cobertura del diagnóstico puede referirse a la totalidad o a parte de un sistema relativo a la seguridad. Por ejemplo, la cobertura del diagnóstico puede referirse a los detectores y/o a un sistema lógico y/o a los elementos finales.
[FUENTE: IEC 61508-4:1998, 3.8.6, modificada]
3.1.27 medida preventiva: Medida prevista para lograr la reducción del riesgo. EJEMPLO 1 Implementada por el diseñador: diseño inherentemente seguro, protección y medidas preventivas complementarias, información para la utilización. EJEMPLO 2 Implementada por el usuario: organización (procedimientos de trabajo seguros, supervisión, sistemas de permiso de trabajo); provisión y utilización de protecciones adicionales; utilización de equipos de protección individual, formación.
[FUENTE: ISO 12100:2010, 3.19, modificada]
3.1.28 duración de la misión, T M: Periodo de tiempo que comprende el uso previsto de una SRP/CS. 3.1.29 tasa de verificación, r t: Frecuencia de las verificaciones automáticas para detectar defectos en una SRP/CS, valor inverso del intervalo entre verificaciones de diagnóstico. 3.1.30 tasa de solicitación, r d: Frecuencia de solicitación de una acción relativa a la seguridad de una SRP/CS. 3.1.31 tasa de reparación, r r: Valor inverso del periodo de tiempo entre la detección de un fallo peligroso, ya sea por una verificación automática o por un mal funcionamiento evidente del sistema y el reinicio del funcionamiento después de la reparación del sistema o la sustitución del sistema/componente. NOTA 1 El tiempo de reparación no incluye el tiempo necesario para la detección del fallo.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 15 -
ISO 13849-1:2015
3.1.32 sistema de mando de la máquina: Sistema que responde a señales de entrada de partes de las máquinas, de los operadores, de los órganos de mando externos o de cualquier combinación de estos y que genera señales de salida que dan lugar a que la máquina se comporte de una manera prevista. NOTA 1 El sistema de mando de una máquina puede utilizar cualquier tecnología o cualquier combinación de tecnologías diferentes (por ejemplo, eléctrica/electrónica, hidráulica, neumática, mecánica).
3.1.33 nivel de integridad de la seguridad, SIL: Nivel discreto (entre cuatro posibles), para especificar los requisitos de integridad de la seguridad de las funciones de mando relativas a la seguridad asignadas a los sistemas eléctricos, electrónicos y electrónicos programables relativos a la seguridad, siendo el nivel 4 de integridad de la seguridad el que posee el nivel más alto de integridad de la seguridad y el nivel 1 de integridad de la seguridad el que posee el más bajo. [FUENTE: IEC 61508-4:1998, 3.5.6]
3.1.34 lenguaje de variabilidad limitada, LVL: Tipo de lenguaje que proporciona la posibilidad de combinar funciones de bibliotecas, predefinidas, específicas para una aplicación, con el fin de implementar las especificaciones de los requisitos relativos a la seguridad. NOTA 1 En la Norma IEC 61131-3 se dan ejemplos típicos de LVL (diagrama de escalera, diagrama de bloques funcionales). NOTA 2 Un ejemplo típico de sistema que utiliza el LVL: PLC.
[FUENTE: IEC 61511-1:2003 3.2.80.1.2, modificada]
3.1.35 lenguaje de variabilidad total, FVL: Tipo de lenguaje que proporciona la posibilidad de implementar una amplia gama de funciones y aplicaciones. EJEMPLO 1 C, C++, Ensamblador. NOTA 1 Un ejemplo típico de sistema que utiliza el FVL: sistemas empotrados. NOTA 2 En el ámbito de las máquinas, el FVL se encuentra en los soportes lógicos empotrados y raramente en los soportes lógicos de aplicación.
[FUENTE: IEC 61511-1:2003, 3.2.80.1.3, modificada]
3.1.36 soporte lógico de aplicación: Soporte lógico específico para una aplicación, implementado por el fabricante de la máquina y que generalmente contiene secuencias lógicas, límites y expresiones que gobiernan las entradas, las salidas, cálculos apropiados y las decisiones necesarias para cumplir los requisitos de las SRP/CS. 3.1.37 soporte lógico empotrado (soporte lógico rígido, soporte lógico del sistema): Soporte lógico que es parte del sistema suministrado por el fabricante y que no es accesible para modificaciones por el usuario de la máquina. NOTA 1 El soporte lógico empotrado se escribe normalmente en FVL.
3.1.38 modo de alta solicitación o modo continuo: Modo de funcionamiento en el que la frecuencia de las solicitaciones de una SRP/CS es superior a una por año o la función de mando relativa a la seguridad mantiene la máquina en un estado de seguridad como parte del funcionamiento normal. [FUENTE: IEC 62061:2012, 3.2.27, modificada]
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 16 -
3.1.39 uso probado: Demostración, basada en un análisis de la experiencia operacional para una configuración específica de un elemento, de que la probabilidad de defectos sistemáticos peligrosos es lo suficientemente baja como para que cada función de seguridad que utiliza el elemento alcance su nivel de prestaciones requerido (PL r ). [FUENTE: IEC 61508-4: 2010, 3.8.18, modificada]
3.2 Símbolos y abreviaturas Véase la tabla 1.
Tabla 1 – Símbolos y abreviaturas Símbolo o abreviatura
Descripción
Definición o lugar en el que aparece
a, b, c, d, e
Denominación de los niveles de prestaciones
Tabla 3
AMFE
Análisis de los modos de fallo y sus efectos
7.2
AOPD
Dispositivo de protección optoelectrónico activo (por ejemplo, barrera Anexo H fotoeléctrica)
B, 1, 2, 3, 4
Denominación de las categorías
B10D
Número de ciclos hasta que el 10% de los componentes falla peligrosa- Anexo C mente (para componentes neumáticos y electromecánicos)
Cat.
Categoría
3.1.2
CC
Convertidor de corriente
Anexo I
CCF
Fallo de causa común
3.1.6
DC
Cobertura del diagnóstico
3.1.26
DCavg
Cobertura del diagnóstico media
E.2
F, F1, F2
Frecuencia y/o tiempo de exposición al peligro
A.2.2
FB
Bloque funcional
4.6.3
FVL
Lenguaje de variabilidad total
3.1.35
I, I1, I2
Dispositivo de entrada, por ejemplo, sensor
6.2
i, j
Índice de conteo
Anexo D
I/O
Entradas/salidas
Tabla E.1
iab, i bc
Medios de interconexión
Figura 4
K1A, K1B
Contactores
Anexo I
L, L1, L2
Lógica
6.2
LVL
Lenguaje de variabilidad limitada
3.1.34
M
Motor
Anexo I
MTTF
Tiempo medio hasta el fallo
Anexo C
MTTFD
Tiempo medio hasta el fallo peligroso
3.1.25
n, N, Ñ
Número de elementos
6.3, D.1
N low
Número de SRP/CS con PLlow en una combinación de SRP/CS
6.3
Tabla 7
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Símbolo o abreviatura
- 17 -
ISO 13849-1:2015
Descripción
Definición o lugar en el que aparece
nop
Número medio de operaciones por año
Anexo C
O, O1, O2, OTE
Dispositivo de salida, por ejemplo, accionador
6.2
P, P1, P2
Posibilidad de evitar el daño
A.2.3
PES
Sistema electrónico programable
3.1.22
PFHD
Probabilidad media de fallo peligroso por hora
Tabla 3 y Tabla K.1
PL
Nivel de prestaciones
3.1.23
PLC
Autómata programable
Anexo I
PLlow
Nivel de prestaciones más bajo de una SRP/CS en una combinación de 6.3 SRP/CS
PLr
Nivel de prestaciones requerido
3.1.24
r D
Tasa de solicitación
3.1.30
r t
Tasa de verificación
3.1.29
RS
Detector de rotación
Anexo I
S, S1, S2
Severidad del daño
A.2.1
SW1A, SW1B, SW2 Interruptores de posición
Anexo I
SIL
Nivel de integridad de la seguridad
Tabla 4
SRASW
Soporte lógico de aplicación relativo a la seguridad
4.6.3
SRESW
Soporte lógico empotrado relativo a la seguridad
4.6.2
SRP
Parte relativa a la seguridad
General
SRP/CS
Parte de un sistema de mando relativa a la seguridad
3.1.1
TE
Equipo de ensayo
6.2
T M
Duración de la misión
3.1.28
T10D
Tiempo medio hasta que el 10% de los componentes falla de forma Anexo C peligrosa
4
Consideraciones relativas al diseño
4.1 Objetivos de seguridad en el diseño Las SRP/CS deben ser diseñadas y construidas de manera que se tengan totalmente en cuenta los principios de la Norma ISO 12100 (véanse las figuras 1 y 3). Se debe tener en cuenta cualquier uso previsto y cualquier mal uso razonablemente previsible.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
a
- 18 -
Referencia a la Norma ISO 12100:2010 Referencia a esta parte de la Norma ISO 13849
Figura 1 – Presentación de la evaluación del riesgo/reducción del riesgo
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 19 -
ISO 13849-1:2015
4.2 Estrategia para la reducción del riesgo 4.2.1
Generalidades
La estrategia para la reducción de riesgos en la máquina se da en el apartado 6.1 de la Norma ISO 12100:2010 y en los apartado 6.2 (medidas de diseño inherentemente seguro) y 6.3 (protección y medidas preventivas suplementarias) de la Norma ISO 12100:2010. Esta estrategia cubre el ciclo de vida completo de la máquina. El proceso de evaluación del riesgo y de reducción del riesgo para una máquina impone que se eliminen los peligros o que se reduzcan los riesgos mediante una jerarquía de medidas: –
eliminación del peligro o reducción del riesgo por diseño (véase 6.2 de la Norma ISO 12100:2010);
–
reducción del riesgo por protección y posibles medidas preventivas suplementarias (véase 6.3 de la Norma ISO 12100:2010);
–
reducción del riesgo proporcionando información para la utilización acerca del riesgo residual (véase 6.4 de la Norma ISO 12100:2010).
4.2.2
Contribución a la reducción del riesgo mediante el sistema de mando
El objetivo del procedimiento general de diseño de una máquina es conseguir los objetivos de seguridad (véase 4.1). El diseño de una SRP/CS para obtener la reducción del riesgo requerida es parte integrante del proceso global de diseño de una máquina. La SRP/CS desempeña una (varias) función (es) de seguridad con un PL con el que se alcanza la reducción del riesgo requerida. El diseño de una SRP/CS es una parte de la estrategia para la reducción del riesgo en la medida en que asegura una (varias) función (es) de seguridad, ya sea formando parte del diseño inherentemente seguro o como mando de un resguardo con dispositivo de enclavamiento o un dispositivo de protección. Se trata del proceso iterativo ilustrado en las figuras 1 y 3. NOTA No es necesario aplicar esta estrategia de reducción del riesgo a las partes de los sistemas de mando no relativas a la seguridad o a los elementos puramente funcionales de una máquina (véase el Informe ISO/TR 22100-2:2013, 3).
Para cada función de seguridad, se deben detallar y documentar las características (véase 5) y el nivel de prestaciones requerido, en las especificaciones relativas a los requisitos de seguridad. En esta parte de la Norma ISO 13849 los niveles de prestaciones se definen en términos de probabilidad de fallo peligroso por hora. Se establecen cinco niveles de prestaciones, del más bajo PL “a” al má s alto PL “e” mediante una
gama de probabilidades de fallo peligroso por hora (véase la tabla 2). Para obtener un PL, además de los aspectos cuantitativos, también es necesario satisfacer requisitos relativos a aspectos cualitativos del PL (véase 4.5).
Tabla 2 – Niveles de prestaciones (PL) PL a b c
Probabilidad media de fallo peligroso por hora (PFHD) 1/h 10
-5
a 10-4
-6 -5 3 10 a 10 10
-6
a 3 10-6
d
10
-7
a 10-6
e
10
-8
a 10-7
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 20 -
A partir de la evaluación de riesgos (véase la Norma ISO 12100) de la máquina, el diseñador debe decidir la contribución a la reducción del riesgo que debe aportar cada función de seguridad pertinente, desempeñada por la(s) SRP/CS. Esta contribución no cubre el riesgo global de la máquina considerada; por ejemplo, no se tiene en cuenta el riesgo global de una prensa mecánica, o de una lavadora, sino solamente la parte del riesgo reducida por la aplicación de las funciones de seguridad particulares. La función de parada iniciada por un dispositivo de protección electrosensible en una prensa o la función de bloqueo de la puerta de una lavadora, son ejemplos de dichas funciones. La reducción del riesgo se puede obtener aplicando varias medidas preventivas (tanto SRP/CS como no SRP/CS), con el resultado final de lograr una condición segura (véase la figura 2).
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 21 -
Leyenda R h R r R a 1 2 3 4 R a R1SRP/CS , R2SRP/CS R1M, R2M
ISO 13849-1:2015
Para una determinada situación peligrosa, es el riesgo existente antes de aplicar medidas preventivas Reducción del riesgo que es necesario obtener mediante las medidas preventivas Reducción del riesgo realmente conseguida mediante las medidas preventivas Solución 1: una parte importante de la reducción del riesgo se debe a medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico) y una pequeña parte de la reducción del riesgo se debe a la SRP/CS Solución 2: una parte importante de la reducción del riesgo se debe a la SRP/CS (por ejemplo, una barrera fotoeléctrica) y una pequeña parte de la reducción del riesgo se debe a medidas preventivas distintas de la SRP/CS (por ejemplo, medidas de tipo mecánico) Reducción del riesgo adecuada Reducción del riesgo inadecuada Riesgo Riesgo residual obtenido mediante las soluciones 1 y 2 Riesgo obtenido adecuado Reducción del riesgo mediante la función de seguridad desempeñada por la SRP/CS Reducción del riesgo mediante medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico)
NOTA Para más información sobre la reducción del riesgo véase la Norma ISO 12100.
Figura 2 – Visión de conjunto del proceso de reducción del riesgo para cada situación peligrosa
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
a
- 22 -
La Norma ISO 13849-2 proporciona una ayuda complementaria para la validación
Figura 3 – Proceso iterativo para el diseño de las partes del sistema de mando relativas a la seguridad (SRP/CS)
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 23 -
ISO 13849-1:2015
4.3 Determinación del nivel de prestaciones requerido (PL r) Para cada función de seguridad seleccionada que debe ser desempeñada por una SRP/CS, se debe determinar y documentar el nivel de prestaciones requerido (PL r ) (véase el anexo A sobre las directrices para determinar el PL r ). El nivel de prestaciones requerido se determina como resultado de la evaluación de riesgos y se refiere a la cantidad de reducción del riesgo proporcionada por las partes del sistema de mando relativas a la seguridad (véase la figura 2). Cuanto mayor sea la cantidad de reducción del riesgo que debe ser proporcionada por la SRP/CS, mayor debe ser el PLr .
4.4 Diseño de las SRP/CS Parte del proceso de reducción del riesgo consiste en determinar las funciones de seguridad de la máquina. Esto comprende las funciones de seguridad del sistema de mando, por ejemplo, la prevención de una puesta en marcha intempestiva. Una función de seguridad puede ser desempeñada por una o varias SRP/CS, y varias funciones de seguridad pueden compartir una o más SRP/CS [por ejemplo, una unidad lógica, elementos de mando de los accionadores]. También es posible que una SRP/CS implemente funciones de seguridad y funciones de mando normales. El diseñador puede utilizar cualquiera de las tecnologías disponibles, por separado o en combinación. Las SRP/CS también pueden proporcionar una función operativa (por ejemplo, una AOPD como medio para iniciar un ciclo). En la figura 4 se da una representación esquemática de una función de seguridad tipo, que representa una combinación de partes del sistema de mando relativas a la seguridad (SRP/CS) para: –
la entrada (SRP/CSa);
–
la lógica/el tratamiento (SRP/CS b);
–
la salida/los elementos de mando de los accionadores (SRP/CS c), y
–
los medios de interconexión (iab, i bc) (por ejemplo, eléctricos, ópticos).
NOTA 1 Para una misma máquina es importante distinguir entre las diferentes funciones de seguridad y sus respectivas SRP/CS que desempeñan una función de seguridad dada.
Después de haber identificado las funciones de seguridad del sistema de mando, el diseñador debe identificar las SRP/CS (véanse las figuras 1 y 3) y, si es preciso, debe asignarlas a la entrada, a la lógica y a la salida y, en el caso de redundancia, los canales individuales y entonces, estimar el nivel de prestaciones PL (véase la figura 3). NOTA 2 En el capítulo 6 se dan arquitecturas tipo. NOTA 3 Todos los medios de interconexión están incluidos en las partes relativas a la seguridad.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 24 -
Leyenda I Entrada (por ejemplo, interruptor de seguridad, detector, AOPD) L Lógica O Salida (por ejemplo, válvula, contactor, convertidor de corriente) 1 Suceso iniciador (por ejemplo, accionamiento manual de un pulsador, apertura de un resguardo, interrupción de un haz de un AOPD) 2 Accionador de la máquina (por ejemplo, motor, cilindro)
Figura 4 – Representación esquemática de una combinación de partes del sistema de mando relativas a la seguridad para el tratamiento de una función de seguridad típica
4.5 Estimación del nivel de prestaciones obtenido y relación con el SIL 4.5.1
Nivel de Prestaciones PL
Para los fines de esta parte de la Norma ISO 13849, la aptitud de las partes relativas a la seguridad para desempeñar una función de seguridad se expresa mediante la determinación del nivel de prestaciones. Para cada SRP/CS seleccionada y/o para cualquier combinación de SRP/CS que desempeñe una función de seguridad se debe realizar una estimación del PL. El PL de la SRP/CS se debe determinar mediante la estimación de los siguientes aspectos: –
el valor de MTTFD para componentes independientes (véanse el anexo C y el anexo D);
–
la DC (véase el anexo E);
–
los CCF (véase el anexo F);
–
la estructura (véase 6);
–
el comportamiento de la función de seguridad en condiciones de defecto (véase 6);
–
el soporte lógico relativo a la seguridad (véanse 4.6 y el anexo J);
–
los fallos sistemáticos (véase el anexo G);
–
la aptitud para desempeñar una función de seguridad en las condiciones ambientales previstas.
NOTA 1 También pueden tener una cierta influencia otros parámetros como, por ejemplo, los aspectos operativos, la tasa de solicitación o la tasa de verificación.
Estos aspectos se pueden agrupar según dos enfoques, con respecto al proceso de estimación:
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 25 -
ISO 13849-1:2015
a) los aspectos cuantificables (valor de MTTF D para componentes independientes, DC, CCF, estructura); b) los aspectos cualitativos no cuantificables, que afectan al comportamiento de la SRP/CS (comportamiento de la función de seguridad en condiciones de defecto, soporte lógico relativo a la seguridad, fallos sistemáticos y condiciones ambientales). Entre los aspectos cuantificables, la contribución de la fiabilidad (por ejemplo, MTTF D, estructura), puede variar según la tecnología que se utilice. Por ejemplo, es posible (dentro de ciertos límites) que partes relativas a la seguridad de un solo canal de alta fiabilidad, en una tecnología dada, ofrezca un PL igual o superior al de una estructura tolerante a defectos de fiabilidad menor, en una tecnología diferente. Existen varios métodos para estimar los aspectos cuantificables del PL para cualquier tipo de sistema (por ejemplo, una estructura compleja). Estos métodos son, por ejemplo, los modelos de Markov, las redes de Petri estocásticas generalizadas (GSPN), los diagramas de bloques de fiabilidad [véase, por ejemplo, la Norma IEC 61508]. Para facilitar la evaluación de los aspectos cuantificables del PL, esta parte de la Norma ISO 13849 proporciona un método simplificado basado en la definición de cinco arquitecturas tipo que satisfacen criterios específicos de diseño y de comportamiento en condiciones de defecto (véase 4.5.4). Para una SRP/CS o una combinación de SRP/CS diseñada conforme a los requisitos del capítulo 6, la probabilidad media de fallo peligroso se puede estimar mediante la figura 5 y el procedimiento establecido en los anexos A a H, J y K. Para una SRP/CS que no respete las arquitecturas tipo, se debe proporcionar un cálculo detallado para demostrar que se ha alcanzado el nivel de prestaciones requerido (PL r ). En aplicaciones en las que la SRP/CS se puede considerar sencilla y el nivel de prestaciones requerido está entre “a” y “c”, se puede aceptar una estimación cualitativa del PL basada en los fundamentos del diseñ o (véase también 4.5.5). NOTA 2 Para el diseño de sistemas de mando complejos, tales como los PES diseñados para desempeñar funciones de seguridad, puede ser apropiado utilizar otras normas pertinentes (por ejemplo, las Normas IEC 61508 o IEC 61496).
El logro de los aspectos cualitativos del PL se puede demostrar mediante la aplicación de las medidas recomendadas en el apartado 4.6 y en el anexo G. En las normas en línea con la Norma IEC 61508, la aptitud del sistema de mando relativo a la seguridad para desempeñar una función de seguridad se indica mediante un SIL. La tabla 3 proporciona la relación entre estos dos conceptos (PLs y SILs). de una lesión ligera y normalmente reversible. Puesto que el SIL 4 está reservado a los sucesos catastróficos que se pueden El PL “a” no tiene correspondencia en la escala de los SIL y se utiliza principalmente para la reducción del riesgo
dar en la industria de procesos, este nivel no es relevante para riesgos en máquinas. Por eso el PL “e” correspondiente al
SIL 3 se define como el nivel máximo.
Tabla 3 – Relación entre el nivel de prestaciones (PL) y el nivel de integridad de la seguridad (SIL) PL
SIL (IEC 61508-1, para información) Modo de funcionamiento de alta/continua solicitación
a
Sin correspondencia
b
1
c
1
d
2
e
3
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 26 -
Cuando se diseña una función de mando relativa a la seguridad utilizando una o más SRP/CS, cada SRP/CS se debe diseñar conforme a esta parte de la Norma ISO 13849 o conforme a las Normas IEC 62061/IEC 61508 (véase también ISO/TR 23849) – aunque exista correspondencia entre los PLs de esta parte y los SILs de las Normas IEC 61508 e IEC 62061, las SRP/CS se deben combinar de acuerdo con el apartado 6.3. En consecuencia, se deben aplicar medidas preventivas para reducir los riesgos, en particular las siguientes: –
Reducir la probabilidad de defectos a nivel de los componentes. El objetivo es reducir la probabilidad de defectos o de fallos que afecten a la función de seguridad. Esto se puede realizar incrementando la fiabilidad de los componentes, por ejemplo, seleccionando componentes de eficacia probada y/o aplicando principios de seguridad de eficacia probada, con el fin de minimizar o de excluir defectos o fallos críticos (véase la Norma ISO 13849 -2).
–
Mejorar la estructura de las SRP/CS. El objetivo es evitar los efectos peligrosos de un defecto. Algunos defectos se pueden detectar y puede ser necesaria una estructura redundante y/o ontrolada.
Estas dos medidas se pueden utilizar separadamente o combinadas. Con algunas tecnologías, se puede obtener la reducción del riesgo mediante la selección de componentes fiables y por exclusión de defectos; pero con otras tecnologías, la reducción del riesgo podría requerir un sistema redundante y/o controlado. Además, se deben tener en cuenta los fallos de causa común (CCF) (véase la figura 3). Para las limitaciones arquitectónicas, véase el capítulo 6.
4.5.2
Tiempo medio hasta el fallo peligroso de cada canal (MTTFD)
El valor del MTTFD de cada canal se ha clasificado en tres niveles (véase la tabla 4) y se debe tener en cuenta para cada canal (por ejemplo, un solo canal, cada canal de un sistema redundante) individualmente. Para cada SRP/CS (subsistema) de acuerdo con la tabla 4, el valor máximo del MTTF D para cada canal es 100 años. Para SRP/CS (subsistemas) de Categoría 4 el valor máximo del MTTF D para cada canal se incrementa a 2 500 años. NOTA El valor más alto se justifica porque en la Categoría 4 los otros aspectos cuantificables, estructura y DC, están en su punto más alto y esto permite las combinaciones en serie de más de 3 subsistemas (SRP/CS) y obtener un PL “e” de acuerdo con el apartado 6.3.
Tabla 4 – Tiempo medio hasta el fallo peligroso de cada canal (MTTF D) MTTFD Índice para cada canal
Gama para cada canal
Bajo
3 años MTTFD 10 años
Medio
10 años MTTFD 30 años
Alto
30 años MTTFD 100 años
NOTA 1 La selección de una gama de MTTFD está basada en las tasas de fallo encontradas en campo, en el estado actual de la técnica, que forman una especie de escala logarítmica coherente con la escala logarítmica de los PL. Se supone que no se va a encontrar un valor de MTTF D de cada canal inferior a tres años para SRP/CS reales, ya que esto significaría que después de un año cerca del 30% de todos los sistemas en el mercado habrían fallado y sería necesario reemplazarlos. No es aceptable un valor de MTTF D de cada canal superior a 100 años porque las SRP/CS para riesgo elevado no debería depender exclusivamente de la fiabilidad de los componentes. Con el fin de r eforzar las SRP/CS contra los fallos sistemáticos y aleatorios, se deberían requerir medidas adicionales tales como la redundancia y las comprobaciones. Por razones prácticas, el número de gamas se ha restringido a tres. La limitación del MTTF D de cada canal a un valor máximo de 100 años, se refiere a las SRP/CS de un solo canal que desempeña la función de seguridad. Se pueden utilizar valores de MTTFD más elevados para componentes individuales (véase la tabla D.1). NOTA 2 Se supone que los valores límites indicados en esta tabla tienen una precisión del 5%.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 27 -
ISO 13849-1:2015
El procedimiento jerárquico para encontrar los datos para la estimación del MTTF D de un componente, debe ser como sigue: a) utilizar los datos de los fabricantes; b) utilizar los métodos del anexo C y del anexo D; c) tomar 10 años.
4.5.3
Cobertura del diagnóstico (DC)
El valor de la DC se ha clasificado en cuatro niveles (véase tabla 5). Para la estimación de la DC, en la mayoría de los casos, se puede utilizar el análisis de los modos de fallo y sus efectos (AMFE, véase la Norma IEC 60812) u otros métodos similares. En este caso, se deberían considerar todos los defectos y/o modos de fallo pertinentes. Para un enfoque simplificado de estimación de la DC, véase el anexo E. NOTA En el anexo E se dan ejemplos de estimación de la cobertura de diagnóstico (DC).
Tabla 5 – Cobertura del diagnóstico (DC) DC Índice
Gama
Nula
DC 60%
Baja
60% DC 90%
Media
90% DC 99%
Alta
99% DC
NOTA 1 Para SRP/CS constituidas de varias partes, en la figura 5, en el capítulo 6 y en el capítulo E.2 se utiliza un valor medio DCavg. NOTA 2 La selección de la gama de DC se basa en los valores clave del 60%, 90% y 99%, también establecidos en otras normas (por ejemplo, IEC 61508) que tratan de la cobertura del diagnóstico de las verificaciones. Las investigaciones muestran que (1 – DC) más que la propia DC es una medida característica para determinar la eficacia de la verificación. (1 – DC) para los valores clave del 60%, 90% y 99% forma una especie de escala logarítmica coherente con la escala logarítmica de los PL. Un valor de DC inferior al 60% tiene sólo un ligero efecto sobre la fiabilidad del sistema comprobado y por lo tanto se denomina “nula”. Es muy difícil obtener un valor d e DC superior al 99% para sistemas complejos. Por razones prácticas, el número de gamas se ha restringido a cuatro. Se supone que los valores límites indicados en esta tabla tienen una precisión del 5%.
4.5.4
Procedimiento simplificado para la estimación de los aspectos cuantificables de un PL
El PL se puede estimar teniendo en cuenta todos los parámetros pertinentes y los métodos apropiados para el cálculo (véase 4.5.1). Este apartado describe un procedimiento simplificado para estimar los aspectos cuantificables del PL de una SRP/CS basado en arquitecturas tipo. Otras arquitecturas con una estructura similar se pueden adaptar a estas arquitecturas tipo con el fin de obtener una estimación del PL. Las arquitecturas tipo se han representado en diagramas de bloques y se han listado en el contexto de cada categoría en el apartado 6.2. En el apartado 6.2 y el anexo B, se da información sobre el método de bloques y los diagramas de bloques relativos a la seguridad. Las arquitecturas tipo muestran una representación lógica de la estructura del sistema para cada categoría. La realización técnica o, por ejemplo, el diagrama funcional del circuito, puede tener una representación totalmente diferente.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 28 -
Las arquitecturas tipo se han esquematizado para las SRP/CS combinadas, a partir de los puntos en los que se inician las señales relativas a la seguridad y acaban con las salidas de los elementos de mando de potencia (véase también el anexo A de la Norma ISO 12100:2010). Las arquitecturas tipo también se pueden utilizar para describir una parte o una subparte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad. De esta manera, el elemento de “entrada” puede representar, por ejemplo, una barrera fotoeléctrica (AOPD) así como circuitos de entrada de la lógica de mando o interruptores de entrada. Una “salida” puede representar también, por
ejemplo, un dispositivo de conmutación de la señal de salida (OSSD) o las salidas de escáneres láser. Para las arquitecturas tipo se han hecho las hipótesis siguientes: –
duración de la misión: 20 años (véase 10);
–
tasa de fallo constante durante la duración de la misión;
–
para la categoría 2, la tasa de solicitación 1/100 de la tasa de verificación (véase también la Nota en el anexo K); o la verificación se produce inmediatamente cuando se solicita la función de seguridad y el tiempo total para detectar el defecto y llevar la máquina a una condición no peligrosa (generalmente a la parada de la máquina) es más corto que el tiempo necesario para alcanzar el peligro (véase también la Norma ISO 13855);
–
para la categoría 2, el MTTF D del canal de verificación es mayor que la mitad del MTTF D del canal funcional.
La metodología considera las categorías como arquitecturas con una DC avg definida. El PL de cada SRP/CS depende de la arquitectura, del tiempo medio hasta un fallo peligroso (MTTF D) de cada canal y de la DC avg. También se deberían tener en cuenta los fallos de causa común (CCF) (para orientaciones, véase el anexo F). Para las SRP/CS con soporte lógico, se deben aplicar los requisitos del apartado 4.6. Si no se dispone o no se utilizan datos cuantitativos (por ejemplo, sistemas de poca complejidad), se deberían seleccionar los valores más desfavorables de todos los parámetros pertinentes. Una combinación de SRP/CS o un SRP/CS único puede tener un PL. La combinación de varias SRP/CS con diferentes PL se considera en el apartado 6.3. En el caso de aplicaciones con PL r de “a” a “c”, pueden ser suficientes las medidas para evitar los defectos; para aplicaciones de riesgo más elevado, PL r de “d” a “e”, la estructura de la SRP/CS puede proporcionar medidas para evitar, detectar o tolerar los defectos. Las medidas prácticas incluyen la redundancia, la diversidad, el control (véase también 3 de la Norma ISO 12100:2010 y la Norma IEC 60204-1:2005). La figura 5 presenta el procedimiento para la selección de las categorías en combinación con el MTTF D de cada canal y la DCavg con el fin de obtener el PL requerido de la función de seguridad. Para la estimación del PL, la figura 5 da las diferentes combinaciones posibles de categorías con la DC avg (eje horizontal) y el MTTFD de cada canal (barras). Las barras en el diagrama representan las tres gamas de MTTF D de cada canal (bajo, medio y alto) que se pueden seleccionar para obtener el PL requerido. Antes de utilizar este procedimiento simplificado con la figura 5 (que representa los resultados de los diferentes modelos de Markov basados en las arquitecturas tipo de 6), se deben determinar la categoría del SRP/CS así como la DCavg y el MTTFD de cada canal (véase el 6 y los anexos C a E). Para las categorías 2, 3 y 4, se deben adoptar medidas suficientes contra los fallos de causa común (para orientaciones véase el anexo F). Teniendo estos parámetros en cuenta, la figura 5 proporciona un método gráfico para determinar el PL obtenido por la SRP/CS. La combinación de categoría (incluyendo los fallos de causa común) y DC avg, determina qué columna de la figura 5 se debe seleccionar. Según el MTTF D de cada canal, se debe seleccionar una de las tres superficies sombreadas de la columna pertinente.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 29 -
ISO 13849-1:2015
La posición vertical de esta superficie determina el PL obtenido que se puede leer en el eje vertical. Si la superficie cubre 2 o 3 PL posibles, el PL obtenido se da en la tabla 6. Para una selección numérica del PL más precisa, en función de un valor preciso del MTTF D de cada canal, véase el anexo K.
Leyenda PL Nivel de prestaciones 1 MTTFD de cada canal = bajo 2 MTTFD de cada canal = medio 3 MTTFD de cada canal = alto
Figura 5 – Relación entre las categorías, la DC avg, el MTTFD de cada canal y el PL
Tabla 6 – Procedimiento simplificado para evaluar el PL obtenido por la SRP/CS Categoría
B
1
2
2
3
3
4
nula
nula
baja
media
baja
media
alta
Bajo
a
No cubierto
a
b
b
c
No cubierto
Medio
b
No cubierto
b
c
c
d
No cubierto
No cubierto
c
c
d
d
d
e
DCavg MTTFD de cada canal
Alto
4.5.5
Descripción de la parte de salida de la SRP/CS mediante la categoría
Si para los componentes mecánicos, hidráulicos o neumáticos (o componentes que comprenden una mezcla de tecnologías) no hay datos de fiabilidad específicos de la aplicación disponibles, el fabricante de la máquina puede evaluar los aspectos cuantificables del PL sin ningún cálculo de MTTF D.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 30 -
Para tales casos, el nivel de prestaciones relativo a la seguridad (PL) se implementa mediante la arquitectura, el diagnóstico y las medidas contra CCF. La tabla 7 muestra la relación entre el PL alcanzable (correspondiente a la figura 5) y las categorías. El PL “a” y el PL “b” se pueden implementar con la Categoría B. El PL “c” se puede implementar con la Categoría 1 o la Categoría. 2, si
se utilizan componentes de eficacia probada y los principios de seguridad de eficacia probada. Al implementar una función de seguridad de PL “c” con Categoría 1, se determinan los valores T 10D de los componentes
relevantes para la seguridad que no se controlan en el proceso. El fabricante de la máquina puede determinar estos valores T10D en base a los datos de uso probado. El MTTFD del canal de verificación en Categoría 2 debe ser al menos 10 años.
El PL “d” se puede implementar con Categoría. 3, si se utilizan componentes de eficacia probada y los principios de seguridad de eficacia probada. El PL “e” se puede implementar con Categoría 4, si se utilizan compo nentes de eficacia
probada y los principios de seguridad de eficacia probada. En principio: cuando se implementa una función de seguridad con Categoría 2, Categoría 3 o Categoría 4, se tienen que considerar los fallos de causa común (CCF) y una cobertura de diagnóstico (DC) suficiente (baja, media para Categoría 2 y 3, alta para Categoría 4). En este caso el cálculo de la DC avg se reduce al valor de la media aritmética de todas las DCs individuales de los componentes en el canal funcional.
Tabla 7 – Estimación más desfavorafle del PL y la PFH D, basada en la categoría, la DC avg, y el uso de componentes de probada eficacia
0 –
1* 2*
PFHD (1/H)
Cat. B
Cat. 1
Cat. 2
Cat. 3
Cat. 4
PL a
2*10 – 5
0
0
0
0
PL b
5*10 – 6
0
0
0
0
PL c
1,7*10 – 6
–
2*
1*
0
0
PL d
2,9*10 – 7
–
–
–
1*
0
PL e
4,7*10 – 8
–
–
–
–
1*
Se recomienda la categoría aplicada. La categoría aplicada es opcional. No está permitida la categoría. Se deben utilizar componentes de uso probado (véase 3.1.39) o de eficacia probada (confirmados por el fabricante que son adecuados para la aplicación particular) y los principios de seguridad de eficacia probada. Se deben utilizar componentes de eficacia probada y los principios de seguridad de eficacia probada. Para los componentes relativos a la seguridad que no se controlan en el proceso, el fabricante de la máquina puede determinar los valores T 10D en base a los datos de uso probado.
4.6 Requisitos para el soporte lógico de seguridad 4.6.1
Generalidades
Todas las actividades del ciclo de vida del soporte lógico empotrado o de aplicación, relativo a la seguridad deben ante todo tratar de evitar la introducción de defectos durante el ciclo de vida del soporte lógico (véase la figura 6). El objetivo principal de los requisitos siguientes es obtener un soporte lógico legible, comprensible, verificable y mantenible.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 31 -
ISO 13849-1:2015
NOTA El anexo J da recomendaciones más detalladas sobre las actividades del ciclo de vida.
Figura 6 – Modelo en V simplificado del ciclo de vida del soporte lógico de seguridad 4.6.2
Soporte lógico empotrado relativo a la seguridad (SRESW)
Para el SRESW de un componente con un PL r de “a” a “d”, se deben aplicar las siguientes medidas básicas: –
ciclo de vida del soporte lógico relativo a la seguridad con actividades de verificación y validación, véase la figura 6;
–
documentación de la especificación y del diseño;
–
diseño y codificación modulares y estructurados;
–
control de fallos sistemáticos (véase G.2);
–
cuando se utilicen medidas basadas en el soporte lógico para controlar los fallos aleatorios del soporte material, verificación de que se aplican correctamente;
–
comprobaciones funcionales, por ejemplo, ensayo de caja negra;
–
actividades apropiadas del ciclo de vida del soporte lógico relativo a la seguridad después de realizar modificaciones;
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 32 -
Para el SRESW de un componente con un PL r de”c” o “d”, se deben aplicar las siguientes medidas adicionales: –
sistema de gestión de proyecto y de gestión de la calidad comparables a, por ejemplo, los de las Normas IEC 61508 o ISO 9001;
–
documentación de todas las actividades relevantes durante el ciclo de vida del soporte lógico de seguridad;
–
gestión de las configuraciones con el fin de identificar los elementos de configuración y los documentos relativos a una versión dada del SRESW;
–
especificación estructurada con los requisitos y el diseño relativos a la seguridad;
–
utilización de lenguajes de programación adecuados y herramientas informáticas fiables;
–
programación modular y estructurada, separación del soporte lógico no relativo a la seguridad, tamaño de los módulos limitado con interfaces completamente definidas, utilización de normas de diseño y codificación;
–
verificación de la codificación mediante la técnica del recorrido/revisión con análisis del flujo de control;
–
comprobaciones funcionales ampliadas, por ejemplo, ensayo de caja gris, ensayo o simulación de prestaciones;
–
análisis de impacto y actividades apropiadas del ciclo de vida del soporte lógico relativo a la seguridad después de realizar modificaciones.
El SRESW de un componente con un PL r = e, debe cumplir el capítulo 7 de la Norma IEC 61508-3:1998, apropiado para el SIL 3. Cuando se utiliza la diversidad en las especificaciones, el diseño y la codificación, para los dos canales utilizados en una SRP/CS con categoría 3 o 4, se puede obtener un PL r = e, con las medidas mencionadas anteriormente para PLr “c” o “d”. NOTA 1 Para una descripción detallada de tales medidas, véase, por ejemplo, la Norma IEC 61508-7:2000. NOTA 2 Para un SRESW con diversidad en el diseño y la codificación, para los componentes utilizados en una SRP/CS de categoría 3 o 4, las medidas aplicadas para evitar fallos sistemáticos pueden ser rebajadas, por ejemplo, revisando las partes del soporte lógico considerando únicamente los aspectos estructurales en lugar de comprobar cada línea del código fuente.
Los componentes que no cumplan los requisitos de SRESW, por ejemplo, PLCs sin clasificación de seguridad por parte del fabricante, se pueden utilizar en las siguientes condiciones alternativas: – La SRP/CS se limita a PL “a” o “b” y se u tiliza en categoría B, 2 o 3; – La SRP/CS se limita a PL “c” o “d” y se pueden utilizar múltiples componentes para dos canales en categoría 2 o 3.
Los componentes de estos dos canales utilizan tecnologías diversas.
4.6.3
Soporte lógico de aplicación relativo a la seguridad (SRASW)
El ciclo de vida del soporte lógico de seguridad (véase la figura 6), también se aplica al SRASW (véase el anexo J). El SRASW, escrito en LVL y que cumpla los siguientes requisitos, puede alcanzar un PL “a” a “e”. Si el SRASW está escrito en FVL, se deben aplicar los requisitos para el SRESW y se puede obtener un PL de “a” a “e”. Si una parte del
SRASW de un componente tiene algún impacto (por ejemplo, si se modifica) sobre varias funciones de seguridad con PL diferentes, entonces se aplican los requisitos relativos al PL más elevado. Para un SRASW de un componente con un PLr de “a” a “e”, se deben aplicar las siguientes medidas básicas: –
desarrollo del ciclo de vida del soporte lógico con las actividades de verificación y validación, véase la figura 6;
–
documentación de la especificación y del diseño;
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 33 -
–
diseño y programación modulares y estructurados;
–
ensayos funcionales;
–
actividades apropiadas del ciclo de vida después de realizar modificaciones;
ISO 13849-1:2015
Para el SRASW de un componente con un PL r de “c” a “e”, se requieren o se recomiendan las siguientes medidas adicionales con una eficacia mejorada (eficacia baja para un PL r de “c”, eficacia media para un PL r de “d”, eficacia alta para un PLr de “e”): a) La especificación del soporte lógico relativo a la seguridad se debe revisar (véase también el anexo J), debe estar disponible para cualquier persona implicada en el ciclo de vida y debe contener la descripción de: 1) las funciones de seguridad con el PL requerido y los modos de funcionamiento asociados, 2) los criterios de prestaciones, por ejemplo, los tiempos de reacción, 3) la arquitectura del soporte material con las interfaces de las señales externas, y 4) la detección y el control de los fallos externos. b) Selección de herramientas, bibliotecas, lenguajes: 1) Se deben utilizar herramientas adecuadas que sean fiables (para un PL = e, obtenido para un componente con su herramienta, ésta debe ser conforme con la norma de seguridad apropiada; si se utilizan dos componentes diferentes con dos herramientas diferentes, la confianza de su utilización p uede ser suficiente) con características técnicas que permitan detectar condiciones que puedan causar errores sistemáticos (tales como la incoherencia de los datos, la asignación ambigua de memoria dinámica, las interfaces incompletas, la recursividad, el indicador aritmético). Se deberían realizar comprobaciones principalmente durante la compilación y no sólo durante la ejecución. Las herramientas deberían hacer respetar los subconjuntos del lenguaje y las líneas directrices para la codificación o, al menos, supervisar o guiar al programador que los utiliza. 2) Siempre que sea razonable y practicable, se deberían utilizar bibliotecas de bloques funcionales validados (FB): ya sean bibliotecas de FB relativos a la seguridad proporcionados por el fabricante de las herramientas (sumamente recomendado para los PL = e) o bibliotecas de FB validadas específicamente para una aplicación concreta y conforme con esta parte de la Norma ISO 13849. 3) Se debería utilizar un subconjunto LVL apropiado y validado para un enfoque modular, por ejemplo, un subconjunto reconocido de lenguajes de la Norma IEC 61131-3. Están sumamente recomendados los lenguajes gráficos (por ejemplo, diagrama de bloques de una función, diagrama de escalera). c) El diseño del soporte lógico debe tener las características siguientes: 1) métodos semiformales para describir el flujo de datos y de control, por ejemplo, el diagrama de estado o el organigrama del programa, 2) programación modular y estructurada, realizada predominantemente mediante bloques de función provenientes de bibliotecas de bloques de función validados relativos a la seguridad, 3) bloques funcionales con un tamaño de código limitado, 4) ejecución del código dentro del bloque de función, el cual debería tener un punto de entrada y un punto de salida, 5) modelo de arquitectura a tres niveles: Entradas
Tratamiento Salidas
(véase la figura 7 y el anexo J),
6) asignación de una salida de seguridad en un único lugar del programa, y
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 34 -
7) utilización de técnicas para la detección de fallos externos y para la programación defensiva en los bloques de entrada, de tratamiento y de salida que conduzcan a un estado seguro.
Figura 7 – Modelo general de arquitectura del soporte lógico d) Cuando un SRASW y un no SRASW están combinados en un componente: 1) el SRASW y el no SRASW se deben codificar en bloques de función diferentes con vínculos entre datos bien definidos, y 2) no debe existir ninguna combinación lógica de datos no relativos a la seguridad y de datos relativos a la seguridad que pueda conducir a una degradación de la integridad de las señales relativas a la seguridad, por ejemplo, combinando señales relativas a la seguridad con señales no relativas a la seguridad mediante una “O”
lógica, cuando el resultado controla señales relativas a la seguridad. e) Codificación/implementación del soporte lógico: 1) el código fuente debe ser legible, comprensible y verificable, y por ello se deberían utilizar variables de tipo simbólico (en lugar de direcciones explícitas de soporte material), 2) se deben utilizar directrices para la codificación justificadas o reconocidas (véase también el anexo J), 3) se deberían utilizar comprobaciones de la integridad y de la verosimilitud de los datos (por ejemplo, comprobaciones de los límites), disponibles en capas de aplicación (programación defensiva), 4) el código fuente debería ser ensayado por simulación, 5) la verificación debería ser por control y análisis del flujo de datos para los PL = d o “e”. f) Ensayo: 1) el método de validación apropiado es el ensayo de caja negra del comportamiento funcional y de los criterios de prestaciones (por ejemplo, tiempo de respuesta), 2) para PL = d o “e”, se recomienda el ensayo de e jecución de los valores límites, 3) se recomienda una planificación del ensayo, que debería incluir casos de ensayo con los criterios de conclusión y las herramientas necesarias, 4) los ensayos de las I/O deben demostrar que las señales relativas a la seguridad se utilizan correctamente en el SRASW.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 35 -
ISO 13849-1:2015
g) Documentación: 1) deben estar documentados todas las actividades del ciclo de vida y de modificación; 2) la documentación debe ser completa, disponible, legible y comprensible; 3) la documentación del código fuente debe contener cabeceras de módulos con entidad legal, descripción funcional y de las I/O, versión del código fuente y versión de la biblioteca de bloques funcionales utilizada, y suficientes comentarios de las redes/instrucción y de las líneas de declaración. h) Verificación 1) EJEMPLO Actividades de revisión, inspección, análisis mediante recorridos o cualquier otra apropiada.
i) Gestión de las configuraciones Está sumamente recomendado establecer procedimientos y copia de datos para identificar y archivar documentos, módulos de soporte lógico, resultados de la verificación/validación y la configuración de las herramientas relativas a una versión específica del SRASW. j) Modificaciones Después de una modificación del SRASW, se debe realizar un análisis de impacto para asegurar las especificaciones. Después de las modificaciones se deben realizar las actividades apropiadas del ciclo de vida. Se debe controlar el derecho de acceso para realizar modificaciones y se debe documentar el histórico de las mismas. NOTA Una modificación no afecta a los sistemas que ya estén en uso.
4.6.4
Parametrización basada en el soporte lógico
La parametrización basada en el soporte lógico de los parámetros relativos a la seguridad se debe considerar como un aspecto relativo a la seguridad del diseño de un SRP/CS, a describir en los requisitos de seguridad de las especificaciones del soporte lógico. La parametrización se debe realizar utilizando una herramienta específica de soporte lógico proporcionado por el fabricante de la SRP/CS. Esta herramienta debe tener su identificación propia (nombre, versión, etc.) y debe evitar modificaciones no autorizadas, por ejemplo, mediante una contraseña de acceso. Se debe mantener la integridad de todos los datos utilizados para la parametrización. Esto se debe obtener aplicando medidas para: –
controlar la gama de entradas válidas;
–
controlar la corrupción de los datos antes de su transmisión;
–
controlar los efectos de los errores del proceso de transmisión de los parámetros;
–
controlar los efectos de una transmisión incompleta de los parámetros, y
–
controlar los efectos de los defectos y fallos del soporte material y del soporte lógico de la herramienta utilizada para la parametrización.
La herramienta de parametrización debe cumplir todos los requisitos de las SRP/CS, conforme a esta parte de la Norma ISO 13849. Como alternativa, se debe utilizar un procedimiento especial para fijar los parámetros relativos a la seguridad. Este procedimiento debe incluir la confirmación de los parámetros de entrada de las SRP/CS por: –
retransmisión de los parámetros modificados a la herramienta de parametrización; o
1) La verificación es necesaria solamente para el código fuente de una aplicación específica y no para las funciones validadas de una biblioteca.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
–
- 36 -
otros medios que confirmen la integridad de los parámetros,
y confirmación posterior, por ejemplo, por una persona formada de manera apropiada y mediante una comprobación automática realizada mediante una herramienta de parametrización. NOTA 1 Esto es particularmente importante en el caso en que la parametrización se realiza utilizando un dispositivo que no está espe cíficamente previsto para este uso (por ejemplo, un ordenador personal o un equipo equivalente).
Los módulos del soporte lógico utilizados para codificación/decodificación en el proceso de transmisión/retransmisión y los módulos del soporte lógico utilizados para la visualización de los parámetros relativos a la seguridad al usuario, deben, como mínimo, utilizar la diversidad en las funciones para evitar fallos sistemáticos. La documentación de parametrización basada en el soporte lógico debe indicar los datos utilizados (por ejemplo, ajustes de parámetros predefinidos) y la información necesaria para identificar los parámetros asociados a las SRP/CS, la(s) persona(s) que realiza(n) la parametrización y cualquier otra información relevante tal como la fecha de parametrización. Se deben aplicar las siguientes actividades de verificación para la parametrización basada en el soporte ló gico: –
verificación del ajuste correcto de cada parámetro relativo a la seguridad (mínimo, máximo y valores representativos);
–
verificación de que los parámetros relativos a la seguridad han sido comprobados en términos de verosimilitud, por ejemplo, utilizando valores no válidos, etc.;
–
verificación de que no es posible la modificación no autorizada de los parámetros relativos a la seguridad;
–
verificación de que los datos/señales para la parametrización son generados y tratados de manera que un defecto no pueda conducir a la pérdida de la función de seguridad.
NOTA 2 Esto es particularmente importante en el caso en que la parametrización se realiza utilizando un dispositivo que no está espe cíficamente previsto para este uso (por ejemplo, un ordenador personal o un equipo equivalente).
4.7 Verificación de que el PL obtenido satisface el PL r Para cada función de seguridad individual, el PL de la SRP/CS correspondiente debe satisfacer el nivel de prestaciones requerido (PLr ) determinado conforme al apartado 4.3 (véase la figura 3). Si no es el caso, es necesaria una iteración del proceso descrito en la figura 3. El PL de las diferentes SRP/CS que forman parte de una función de seguridad debe ser superior o igual al nivel de prestaciones requerido (PLr ) para dicha función de seguridad.
4.8 Aspectos ergonómicos del diseño La interfaz entre los operadores y las SPR/CS se debe diseñar y realizar de manera que nadie esté en peligro durante el uso previsto y el mal uso razonablemente previsible de la máquina (véanse también las Normas ISO 12100, EN 614-1, ISO 9355-1, ISO 9355-2, ISO 9355-3; EN 1005-3; Capítulo 10 de la Norma IEC 60204-1:2005, IEC 60447 y IEC 61310). Los principios ergonómicos se deberían aplicar de manera que la máquina y el sistema de mando, incluyendo las partes relativas a la seguridad, sean fáciles de utilizar y de manera que el operador no esté tentado de actuar de manera peligrosa. Se deben aplicar los requisitos de seguridad relativos al respeto de los principios ergonómicos dados en el apartado 6.2.8 de la Norma ISO 12100:2010.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 37 -
5
ISO 13849-1:2015
Funciones de seguridad
5.1 Especificación de las funciones de seguridad Este capítulo proporciona una lista y detalles de funciones de seguridad típicas que pueden ser realizadas por las SRP/CS. El diseñador (o el redactor de una norma de tipo C), debe incluir las funciones de seguridad necesarias para obtener las medidas de seguridad requeridas en el sistema de mando para la aplicación considerada. EJEMPLO Función de parada relativa a la seguridad, prevención de una puesta en marcha intempestiva, función de rearme manual, función de inhibición, función de mando sensitivo. NOTA Los sistemas de mando de las máquinas proporcionan funciones operativas y/o de seguridad. Las funciones operativas (por ejemplo, la puesta en marcha, la parada normal) también pueden ser funciones de seguridad, pero esto sólo se puede confirmar después de una evaluación de riesgos completa de la máquina.
En las tablas 8 y 9 se enumeran algunas funciones de seguridad típicas y, respectivamente, algunas de sus características y parámetros relativos a la seguridad, haciendo referencia a otras normas internacionales cuyos requisitos se refieren a las funciones, a las características o a los parámetros de seguridad. El diseñador (o el redactor de la norma de tipo C), debe asegurarse de que se satisfacen todos los requisitos aplicables a las funciones de seguridad pertinentes listadas en las tablas. En este capítulo, para algunas características de las funciones de seguridad se establecen requisitos adicionales. Si es necesario, los requisitos para las características y las funciones de seguridad se deben adaptar a la utilización de diferentes fuentes de energía. Ya que la mayoría de las referencias de las tablas 8 y 9 provienen de normas eléctricas, será necesario adaptar los requisitos aplicables a otras tecnologías (por ejemplo, hidráulica, neumática).
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 38 -
Tabla 8 – Algunas normas internacionales aplicables a funciones de seguridad típicas de las máquinas y algunas de sus características Función de seguridad/ Característica
Requisito(s)
Para información complementaria, véase:
Esta parte de la Norma ISO 13849
ISO 12100:2010
Función de parada relativa a la seguridad iniciada por un protector a
5.2.1
3.28.8, 6.2.11.3
IEC 60204-1: 2005, 9.2.2, 9.2.5.3, 9.2.5.5 ISO 14119 ISO 13855
Función de rearme manual
5.2.2
–
IEC 60204-1:2005, 9.2.5.3, 9.2.5.4
Función de puesta en marcha/nueva puesta en marcha
5.2.3
6.2.11.3, 6.2.11.4 IEC 60204-1:2005, 9.2.1, 9.2.5.1, 9.2.5.2, 9.2.6
Función de mando local
5.2.4
6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 10.1.5
Función de inhibición
5.2.5
Función de mando sensitivo
–
6.2.11.8.b)
Función de validación
–
Prevención de una puesta en marcha intempestiva
–
6.2.11.4
Liberación y rescate de personas atrapadas
–
6.3.5.3
Función de consignación
–
6.3.5.4
Modos de mando y su selección
–
Interacción entre diferentes partes de los sistemas de mando relativas a la seguridad
–
6.2.11.1 (última frase)
Control de la parametrización de valores de entrada relativos a la seguridad
4.6.4
–
–
6.3.5.2
Función de parada de emergencia b
IEC/TS 62046:2008, 5.5 IEC 60204-1: 2005, 9.2.6.1 IEC 60204-1:2005, 9.2.6.3, 10.9 ISO 14118, IEC 60204-1:2005, 5.4
ISO 14118, IEC 60204-1:2005, 5.3, 6.3.1
6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 9.2.3, 9.2.4 IEC 60204-1:2005, 9.3.4
–
ISO 13850, IEC 60204-1:2005, 9.2.5.4
a
Incluyendo los resguardos con dispositivo de enclavamiento y dispositivos limitadores (por ejemplo, sobrevelocidad, sobretemperatura, sobrepresión).
b
Medida preventiva suplementaria, véase la Norma ISO 12100:2010
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 39 -
ISO 13849-1:2015
Tabla 9 – Algunas normas internacionales aplicables que dan requisitos para determinadas funciones de seguridad y parámetros relativos a la seguridad Función de seguridad/ parámetro relativo a la seguridad
Requisito
Para información complementaria, véase
Esta parte de la Norma ISO 13849
ISO 12100:2010
Tiempo de respuesta
5.2.6
–
Parámetros relativos a la seguridad tales como la velocidad, la temperatura o la presión
5.2.7
6.2.11.8 e)
IEC 60204-1:2005, 7.1, 9.3.2, 9.3.4
Variaciones, pérdida y restablecimiento de las fuentes de alimentación de energía
5.2.8
6.2.11.8 e)
IEC 60204-1:2005, 4.3, 7.1. 7.5
–
6.2.8
Indicaciones y alarmas
ISO 13855:2010, 3.2, A.3, A.4
ISO 7731 ISO 11428 ISO 11429 IEC 61310-1 IEC 60204-1:2005, 10.3, 10.4 IEC 61131 IEC 62061
Al identificar y especificar las funciones de seguridad, se debe tener en cuenta, como mínimo, lo siguiente: a) resultados de la evaluación de riesgos para cada peligro o situación peligrosa específica; b) características de funcionamiento de la máquina, incluyendo: –
el uso previsto de la máquina (incluyendo el mal uso razonablemente previsible),
–
los modos de funcionamiento (por ejemplo, modo local, modo automático, modos relativos a una zona o una parte de la máquina),
–
la duración del ciclo,
–
el tiempo de respuesta,
c) el funcionamiento en condiciones de emergencia; d) la descripción de la interacción entre los diferentes procesos de trabajo y las actividades manuales (reparación, ajuste, limpieza, búsqueda de averías, etc.); e) el comportamiento de la máquina que una función de seguridad está previsto que consiga o evite; f) el comportamiento de la máquina en caso de pérdida de alimentación (véase también 5.2.8); NOTA En algunos casos puede ser necesario tener en cuenta el comportamiento de la máquina en caso de pérdida de alimentación, por ejemplo, cuando es necesario mantener un eje vertical para evitar una caída por gravedad. Esto puede requerir dos funciones de seguridad separadas: con alimentación disponible y sin alimentación disponible.
g) la(s) condición(es) (por ejemplo, modo de funcionamiento) de la máquina en la(s) que está activa o inhabilitada;
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 40 -
h) la frecuencia de utilización; i) la prioridad de las funciones que pueden estar activas simultáneamente y que pueden ocasionar acciones contradictorias.
5.2 Detalles de las funciones de seguridad 5.2.1
Función de parada relativa a la seguridad
Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. Una función de parada relativa a la seguridad (por ejemplo, la iniciada por un protector), debe poner la máquina en un estado de seguridad tan pronto como sea necesario después de la actuación del sistema. Este tipo de parada debe tener prioridad con respecto a una parada por razones operativas. Cuando un grupo de máquinas trabajan juntas de manera coordinada, se deben prever disposiciones para señalar al sistema de supervisión y/o a las demás máquinas que existe una condición de parada de este tipo. NOTA Una función de parada relativa a la seguridad puede crear problemas de funcionamiento y dificultades para una nueva puesta en marcha, por ejemplo, en aplicaciones de soldadura al arco. Para reducir la tentación de neutralizar esta función d e parada, ésta puede ser precedida de una parada por razones operativas, con el fin de finalizar la operación en curso y preparar una nueva puesta en marcha fácil y rápida a partir de la posición de parada (por ejemplo, sin perjudicar a la producción). Una solución es utilizar un dispositivo de enclavamiento con bloqueo, en el que dicho bloqueo se libera cuando el ciclo ha alcanzado una posición definida tal que sea posible una fácil nueva puesta en marcha.
5.2.2
Función de rearme manual
Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. Después de iniciada una orden de parada por un protector, se debe mantener la condición de parada hasta que existan condiciones seguras para una nueva puesta en marcha. El restablecimiento de la función de seguridad por reinicio del protector anula la orden de parada. Cuando la evaluación del riesgo lo indique, la anulación de la orden de parada debe ser confirmada por una acción manual, distinta y voluntaria (rearme manual). La función de rearme manual: –
debe ser proporcionada por un dispositivo distinto, accionado manualmente y ligado a las SRP/CS;
–
sólo se debe ejecutar si todas las funciones de seguridad y sistemas de protección están operativos;
–
por sí misma no debe iniciar un movimiento o una situación peligrosa;
–
se debe realizar por una acción voluntaria;
–
debe preparar al sistema de mando para aceptar una orden de puesta en marcha distinta;
–
sólo debe ser aceptada al separar el órgano de accionamiento de su posición energizada (activa).
El nivel de prestaciones de las partes relativas a la seguridad que realizan la función de rearme manual, se debe seleccionar de manera que la inclusión de la función de rearme manual no disminuya la seguridad requerida de la función de seguridad correspondiente. El órgano de accionamiento para el rearme se debe situar fuera de la zona peligrosa y en una posición segura, desde la que exista buena visibilidad para controlar que no hay nadie en la zona peligrosa.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 41 -
ISO 13849-1:2015
Cuando la visibilidad de la zona peligrosa no sea completa, se requiere un procedimiento específico de rearme manual. NOTA Una solución puede consistir en utilizar un segundo órgano de accionamiento para el rearme. La función de rearme se inicia en la zona peligrosa mediante el primer órgano de accionamiento en combinación con un segundo órgano de accionamiento de rearme situado fuera de la zona peligrosa (cerca del protector). Es necesario que este procedimiento de rearme se realice en un tiempo limitado antes de que el sistema de mando acepte una orden de puesta en marcha diferente.
5.2.3
Puesta en marcha y nueva puesta en marcha
Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. Una nueva puesta en marcha sólo se debe realizar automáticamente si no puede existir ninguna situación peligrosa. En particular, para los resguardos con dispositivo de enclavamiento con función de puesta en marcha, se aplica el apartado 6.3.3.2.5 de la Norma ISO 12100:2010. Estos requisitos para la puesta en marcha y para una nueva puesta en marcha se deben aplicar también a las máquinas que puedan ser mandadas a distancia. NOTA Una señal de retorno de un detector al sistema de mando puede iniciar una nueva puesta en marcha automática.
EJEMPLO En el caso de una máquina que realice operaciones automáticas, las señales de retorno de los detectores al sistema de mando se utilizan a menudo para controlar el flujo del proceso. Si una pieza se sale de su posición, el flujo del proceso se detiene. Si el control del resguardo enclavado no es superior al del mando del proceso automático, entonces podría existir un peligro de una nueva puesta en marcha de la máquina mientras el operador reajusta la pieza. Por lo tanto la nueva puesta en marcha mandada a distancia no debería ser autorizada hasta que el protector sea cerrado de nuevo y el operador de mantenimiento haya abandonado la zona peligrosa. La contribución de la prevención de una puesta en marcha intempestiva proporcionada por el sistema de mando depende del resultado de la evaluación de riesgos.
5.2.4
Función de mando local
Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. Cuando una máquina se gobierna con un mando local, por ejemplo, mediante un dispositivo de mando portátil o mediante una botonera, se deben aplicar los requisitos siguientes: –
los medios para seleccionar el mando local deben estar situados fuera de la zona peligrosa;
–
no debe ser posible iniciar situaciones peligrosas con un mando local más que desde una zona definida mediante la evaluación de riesgos;
–
la conmutación entre el mando local y el mando principal, no debe crear una situación peligrosa.
5.2.5
Función de inhibición
Además de los requisitos a los que se hace referencia en la tabla 8, se deben aplicar los siguientes. La inhibición no debe dar lugar a situaciones peligrosas para las personas. Durante la inhibición, se deben garantizar las condiciones de seguridad por otros medios. Al finalizar la inhibición, deben restablecerse todas las funciones de seguridad de las SRP/CS. El nivel de prestaciones de las partes relativas a la seguridad que desempeñan la función de inhibición, se debe seleccionar de manera que la inclusión de la función de inhibición no disminuya la seguridad requerida de la función de seguridad correspondiente. NOTA En algunas aplicaciones es necesaria una señal que indique la inhibición.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
5.2.6
- 42 -
Tiempo de respuesta
Además de los requisitos a los que se hace referencia en la tabla 9, se deben aplicar los siguientes. Se debe determinar el tiempo de respuesta de las SRP/CS cuando la evaluación del riesgo de las SRP/CS indica que esto es necesario (véase también 11). NOTA El tiempo de respuesta del sistema de mando es una parte del tiempo de respuesta total de la máquina. El tiempo de respuesta total de la máquina requerido puede influir en el diseño de la parte relativa a la seguridad, por ejemplo, sobre la necesidad de prever un sistema de frenado.
5.2.7
Parámetros relativos a la seguridad
Además de los requisitos a los que se hace referencia en la tabla 9, se deben aplicar los siguientes. Cuando los parámetros relativos a la seguridad, como por ejemplo, la posición, la velocidad, la temperatura o la presión, se desvían de los límites preestablecidos, el sistema de mando debe iniciar las medidas apropiadas (por ejemplo, una orden de parada, una señal de advertencia, una alarma). Si los errores que se cometan en la introducción manual de datos relativos a la seguridad en sistemas electrónicos programables pueden conducir a una situación peligrosa, es preciso prever un sistema de comprobación de datos integrado en el sistema de mando relativo a la seguridad, por ejemplo, un control de límites, del formato y/o de los valores de entrada lógicos.
5.2.8
Variaciones, pérdida y restablecimiento de la alimentación de energía
Además de los requisitos a los que se hace referencia en la tabla 9, se deben aplicar los siguientes. Cuando las variaciones de los niveles de la alimentación de energía sobrepasan los límites previstos en el diseño, incluyendo el fallo de la alimentación de energía, las SRP/CS deben seguir proporcionando o deben iniciar una o varias señales de salida que permitan que las demás partes del sistema de la máquina mantengan un estado seguro.
6
Categorías y su relación con los MTTF D de cada canal, DC avg y CCF
6.1 Generalidades Las SRP/CS deben estar de acuerdo con los requisitos de una o varias de las 5 categorías especificadas en el apartado 6.2. Las categorías son los parámetros básicos utilizados para obtener un PL específico. Establecen el comportamiento requerido de las SRP/CS con respecto a su resistencia a defectos, basándose en las consideraciones de diseño descritas en el capítulo 4. La categoría B es la categoría básica. Si se produce un defecto, éste puede llevar a la pérdida de la función de seguridad. En la categoría 1, se obtiene una mejor resistencia a defectos, fundamentalmente mediante la selección y aplicación de los componentes. En las categorías 2, 3 y 4, se obtienen mejores prestaciones con respecto a la función de seguridad especificada, fundamentalmente mejorando la estructura de la SRP/CS. En la categoría 2, esto se realiza comprobando periódicamente que se cumple la función de seguridad especificada. En las categorías 3 y 4, esto se realiza garantizando que un solo defecto no conduce a la pérdida de la función de seguridad. Dicho defecto se detecta en la categoría 4 y, siempre que sea razonablemente factible, en la categoría 3. En la categoría 4, se especifica la resistencia a la acumulación de defectos. La tabla 10 proporciona una visión de conjunto de las categorías de las SRP/CS, de los requisitos correspondientes y del comportamiento del sistema en caso de defectos.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 43 -
ISO 13849-1:2015
Cuando se tienen en cuenta las causas de los fallos de algunos componentes, es posible excluir determinados defectos (véase 7). La selección de una categoría para una SRP/CS, depende principalmente de: –
la reducción del riesgo a obtener mediante la función de seguridad a la que contribuye dicha parte;
–
el nivel de prestaciones requerido (PL r );
–
la tecnología utilizada;
–
el riesgo que se puede presentar en el caso de uno o varios defectos en dicha parte;
–
la posibilidad de evitar uno o varios defectos en dicha parte (defectos sistemáticos);
–
la probabilidad de que se produzcan uno o varios defectos en dicha parte y los parámetros pertinentes;
–
el tiempo medio hasta un fallo peligroso (MTTFD);
–
la cobertura del diagnóstico (DC); y
–
los fallos de causa común (CCF), en el caso de las categorías 2, 3 y 4.
6.2 Especificaciones de las categorías 6.2.1
Generalidades
Cada SRP/CS debe cumplir con los requisitos de la categoría pertinente, véanse los apartados 6.2.3 a 6.2.7. Las arquitecturas siguientes satisfacen, por regla general, los requisitos de las categorías correspondientes. Las figuras siguientes no son ejemplos sino arquitecturas generales. Una desviación de estas arquitecturas siempre es posible, pero cualquier desviación debe estar justificada mediante herramientas analíticas apropiadas (por ejemplo, modelos de Markov, análisis del árbol de fallos), con el fin de demostrar que el sistema satisface el nivel de prestaciones requerido (PLr ). Las arquitecturas tipo no se pueden considerar solamente como esquemas de circuito sino también como esquemas lógicos. Para las categorías 3 y 4 esto significa que no es necesario que todas las partes sean físicamente redundantes sino que hay medios redundantes que aseguran que un defecto no ocasiona la pérdida de la función de seguridad. Las líneas y flechas de las figuras 8 a 12 representan medios lógicos de interconexión y posibles medios lógicos de diagnóstico.
6.2.2
Arquitecturas tipo
La estructura de una SRP/CS es una característica clave que tiene una influencia determinante en el PL. Incluso aunque la diversidad de estructuras posibles sea elevada, los conceptos básicos son a menudo similares. Por eso, la mayoría de las estructuras que se encuentran en el ámbito de las máquinas, se pueden aproximar a alguna de estas categorías. Para cada categoría, se puede hacer una representación típica tal como un diagrama de bloques relativo a la seguridad. Estas realizaciones típicas se denominan arquitecturas tipo y se listan en el contexto de cada una de las categorías siguientes. Es importante que el PL mostrado en la figura 5, que depende de la categoría, del MTTF D de cada canal y de la DC avg, esté basado en las arquitecturas tipo. Si se utiliza la figura 5 para estimar el PL, se debería demostrar que la arquitectura de las SRP/CS es equivalente a la arquitectura tipo de la categoría requerida. El diseño que satisfaga las características de una determinada categoría es, en general, equivalente a la correspondiente arquitectura tipo de dicha categoría.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
6.2.3
- 44 -
Categoría B
Las SRP/CS deben ser, como mínimo, diseñadas, construidas, seleccionadas, montadas y combinadas de acuerdo con las normas pertinentes y utilizar los principios fundamentales de seguridad para la aplicación considerada, de manera que puedan resistir: –
las solicitaciones de funcionamiento previstas, por ejemplo, mediante la fiabilidad en lo que respecta a la capacidad y frecuencia de corte;
–
la influencia de los materiales procesados, por ejemplo, los detergentes en una lavadora;
–
otras influencias externas relevantes, por ejemplo, vibraciones mecánicas, interferencias electromagnéticas, interrupciones o perturbaciones de la alimentación de energía.
No existe ninguna cobertura del diagnóstico (DC avg = nula) en los sistemas de categoría B y el MTTF D de cada canal puede ser “bajo” a “medio”. En tales estructuras (normalmente sistemas de un solo canal), no es pertinente tomar en consideración los CCF. El PL máximo que se puede obtener con la categoría B es PL = b. NOTA Cuando se produce un defecto, éste puede conducir a la pérdida de la función de seguridad.
Los requisitos específicos para la compatibilidad electromagnética se encuentran en las normas de producto pertinentes, por ejemplo, la Norma IEC 61800-3 para los accionamientos eléctricos de potencia. Para la seguridad funcional de una SRP/CS en particular, los requisitos de inmunidad son pertinentes. Si no existe ninguna norma de producto, se deberían seguir al menos los requisitos de inmunidad de la Norma IEC 61000-6-2.
Leyenda m Medios de interconexión I Dispositivo de entrada, por ejemplo, sensor L Lógica O Dispositivo de salida, por ejemplo, contactor principal
Figura 8 – Arquitectura tipo para la categoría B 6.2.4
Categoría 1
Para la categoría 1 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. Además, se aplican los requisitos siguientes. Las SRP/CS de categoría 1 deben ser diseñadas y construidas utilizando componentes y principios de seguridad de eficacia probada (véase la Norma ISO 13849-2). Un componente de eficacia probada para una aplicación relativa a la seguridad es un componente que ha sido: a) ampliamente utilizado en el pasado dando buenos resultados en aplicaciones similares; o b) construido y verificado de acuerdo con principios que demuestran su adecuación y fiabilidad para aplicaciones relativas a la seguridad.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 45 -
ISO 13849-1:2015
Componentes y principios de seguridad de nuevo desarrollo, se pueden considerar equivalentes a los de eficacia probada si cumplen las condiciones de b). La decisión de aceptar que un componente determinado es de eficacia probada depende de la aplicación. NOTA 1 Los componentes electrónicos complejos (por ejemplo, un PLC, un microprocesador, un circuito integrado con una aplicación específica), no se pueden considerar de eficacia probada.
El MTTFD de cada canal debe ser “alto”. El PL máximo que se puede obtener con la categoría 1 es PL = c. NOTA 2 No existe ninguna cobertura del diagnóstico (DCavg = nula) en tales estructuras no es pertinente tomar en consideración los CCF. NOTA 3 Cuando se produce un defecto, éste puede conducir a la pérdida de la función de seguridad. Sin embargo, en la categoría 1, el MTTFD de cada canal es más alto que el de la categoría B. En consecuencia, es menos probable que se pierda la función de seguridad.
Es importante establecer una clara distinción entre “componente de eficacia probada” y “exclusión de defectos” (véase
el capítulo 7). La calificación de un componente como de eficacia probada depende de su aplicación. Por ejemplo, un interruptor de posición con contactos de apertura positiva se podría considerar de eficacia probada para una máquina herramienta, pero sería inapropiado para una aplicación en la industria alimentaria (por ejemplo, en la industria láctea, este interruptor sería destruido por los ácidos lácteos después de unos pocos meses de utilización). Una exclusión de defectos puede entrañar un PL muy elevado, pero las medidas apropiadas para permitir dicha exclusión de defectos se deberían aplicar durante todo el ciclo de vida del dispositivo. Con el fin de asegurar esto, puede ser necesario adoptar medidas suplementarias fuera del sistema de mando. En el caso de un interruptor de posición, algunos ejemplos de estas medidas son: –
medios para asegurar la fijación del interruptor después de su ajuste;
–
medios para asegurar la fijación de la leva;
–
medios para asegurar la estabilidad transversal de la leva;
–
medios para evitar un desplazamiento excesivo del interruptor de posición, por ejemplo, mediante una resistencia adecuada del montaje del absorbedor de choques y de cualquier dispositivo de alineamiento; y
–
medios para protegerlo contra daños del exterior.
Leyenda Medios de interconexión m I Dispositivo de entrada, por ejemplo, sensor L Lógica O Dispositivo de salida, por ejemplo, contactor principal
Figura 9 – Arquitectura tipo para la categoría 1
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
6.2.5
- 46 -
Categoría 2
Para la categoría 2 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. También se deben seguir los “principios de seguridad de eficacia probada” de acuerdo con el apartado 6.2.4. Además, se aplican los
requisitos siguientes. Las SRP/CS de categoría 2 se deben diseñar de manera que su(s) función(es) se compruebe(n) a intervalos adecuados por el sistema de mando de la máquina. Esta comprobación de la(s) función(es) de seguridad se debe efectuar: –
en la puesta en marcha de la máquina; y
–
antes de que se inicie cualquier situación peligrosa, por ejemplo inicio de un nuevo ciclo o inicio de otros movimientos, inmediatamente después de la solicitación de la función de seguridad, y/o periódicamente durante el funcionamiento, si la evaluación del riesgo y el tipo de funcionamiento indican que esto es necesario.
La iniciación de esta comprobación puede ser automática o manual. Cualquier comprobación de la(s) función(es) de seguridad debe: –
permitir el funcionamiento, si no se detecta ningún defecto; o
–
generar una señal de salida (OTE) que inicie una acción de mando adecuada, si se detecta un defecto.
Para PLr = d la salida (OTE) debe iniciar un estado seguro que se mantiene hasta que se elimine el defecto. Para PLr hasta y que incluya PL r = c, siempre que sea posible la salida (OTE) debe iniciar un estado seguro que se mantiene hasta que se elimine el defecto. Cuando esto no sea posible (por ejemplo, contacto soldado en el interruptor de salida) puede ser suficiente que la salida del equipo de ensayo OTE proporcione una advertencia. Para la arquitectura tipo de la categoría 2, presentada en la figura 10, se deberían tener en cuenta solamente los bloques del canal funcional para el cálculo del MTTF D y de la DC avg (por ejemplo, I, L y O en la figura 10) y no los bloques del canal de comprobación (por ejemplo, TE y OTE en la figura 10). La cobertura del diagnóstico (DC avg) del canal funcional debe ser al menos “baja”. El MTTF D de cada canal debe ser de “bajo” a “alto”, dependiendo del nivel de prestaciones requerido (PL r ). Se deben aplicar medidas contra los CCF (véase el anexo F). La comprobación no debe conducir por sí misma a una situación peligrosa (debida, por ejemplo, a un aumento del tiempo de respuesta). El equipo de ensayo puede ser una parte integral o separada de la(s) parte(s) relativa(s) a la seguridad que desempeña(n) la función de seguridad. El PL máximo que se puede obtener con la categoría 2 es PL = d. NOTA 1 En algunos casos, la categoría 2 no es aplicable porque la comprobación de la función de seguridad no se puede aplicar a todos los componentes. NOTA 2 El comportamiento de un sistema de categoría 2 se caracteriza por: –
la aparición de un defecto puede conducir a la pérdida de la función de seguridad en el intervalo entre dos comprobaciones,
–
mediante la comprobación se detecta la pérdida de la función de seguridad.
NOTA 3 El principio que apoya la validez de una función de categoría 2 es que la adopción de las disposiciones técnicas y, por ejemplo, la selección de la frecuencia de comprobación, pueden reducir la probabilidad de que ocurra una situación peligrosa. NOTA 4 Para aplicar el enfoque simplificado basado en las arquitecturas tipo, remítase a las hipótesis del apartado 4.5.4.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 47 -
ISO 13849-1:2015
Leyenda Medios de interconexión I Dispositivo de entrada, por ejemplo, detector L Lógica M Control O Dispositivo de salida, por ejemplo, contactor principal TE Equipo de ensayo OTE Salida del TE Las líneas a trazos representan la detección de defectos razonablemente practicable. m
Figura 10 – Arquitectura tipo para la categoría 2 6.2.6
Categoría 3
Para la categoría 3 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. También se deben seguir los “principios de seguridad de eficacia probada” de acuerdo con el apartado 6.2.4. Además, se aplican los
requisitos siguientes. Las SRP/CS de categoría 3 se deben diseñar de manera que un solo defecto en cualquiera de estas partes no conduzca a la pérdida de la función de seguridad. Siempre que sea razonablemente factible, un solo defecto se debe detectar en el momento de, o antes de, la siguiente solicitación de la función de seguridad. La cobertura del diagnóstico (DC avg) del conjunto de las SRP/CS debe ser al menos “baja”. El MTTF D de cada uno de los canales redundantes debe ser de “bajo” a “alto”, dependiendo del PL r . Se deben aplicar medidas contra los CCF (véase el anexo F). NOTA 1 Este requisito de detección de un solo defecto no significa que se detecten todos los defectos. En consecuencia, la acumulación de defectos no detectados puede conducir a una señal de salida imprevista y una situación peligrosa en la máquina. Como ejemplos típicos de medidas aplicables para la detección de defectos, se pueden citar la unión mecánica de los contactos de un relé o el control de salidas eléctricas redundantes. NOTA 2 Si es necesario, debido a la tecnología y a la aplicación, los que elaboran las normas de tipo C deben dar detalles suplementarios sobre la detección de defectos. NOTA 3 El comportamiento de un sistema de categoría 3 se caracteriza por: –
desempeño de la función de seguridad en presencia de un solo defecto;
–
detección de algunos defectos, pero no todos.
–
posible pérdida de la función de seguridad debido a la acumulación de defectos no detectados.
NOTA 4 La tecnología utilizada influye en las posibilidades de implementación de la detección de defectos.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 48 -
Leyenda Medios de interconexión m c Control cruzado I1, I2 Dispositivo de entrada, por ejemplo, detector L1, L2 Lógica m Control O1, O2 Dispositivo de salida, por ejemplo, contactor principal Las líneas a trazos representan la detección de defectos razonablemente practicable.
Figura 11 – Arquitectura tipo para la categoría 3 6.2.7
Categoría 4
Para la categoría 4 se deben aplicar los mismos requisitos que los del apartado 6.2.3 para la categoría B. También se deben seguir los “principios de seguridad de eficacia probada” de acuerdo con el apartado 6.2.4. Además, se aplican los
requisitos siguientes. Las SRP/CS de categoría 4 se deben diseñar de manera que: –
un solo defecto en cualquiera de estas partes relativas a la seguridad no conduzca a la pérdida de la función de seguridad; y
–
se detecte dicho defecto en el momento de, o antes de, la siguiente solicitación de la función de seguridad, por ejemplo, inmediatamente, al poner en marcha la máquina, o al final del ciclo de funcionamiento de la máquina;
pero si esta detección no es posible, una acumulación de defectos no detectados no debe conducir a la pérdida de la función de seguridad. La cobertura del diagnóstico (DC avg) del conjunto de las SRP/CS, incluyendo la acumulación de defectos, debe ser “alta”. El MTTF D de cada uno de los canales redundantes debe ser “alto”. Se deben aplicar medidas contra los CCF (véase el anexo F). NOTA 1 El comportamiento de un sistema de categoría 4 se caracteriza por: –
desempeño de la función de seguridad en presencia de un solo defecto,
–
detección de los defectos a tiempo para impedir la pérdida de la función de seguridad,
–
se tiene en cuenta la acumulación de defectos no detectados.
NOTA 2 La diferencia entre la categoría 3 y la categoría 4 es que la DCavg es más alta en la categoría 4 y que el MTTF D requerido es solamente “alto”.
En la práctica, puede ser suficiente con tener en cuenta la combinación de dos defectos.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 49 -
ISO 13849-1:2015
Leyenda Medios de interconexión m c Control cruzado I1, I2 Dispositivo de entrada, por ejemplo, detector L1, L2 Lógica m Control O1, O2 Dispositivo de salida, por ejemplo, contactor principal Las líneas continuas para el control representan una cobertura del diagnóstico más alta que en la arquitectura tipo para la categoría 3.
Figura 12 – Arquitectura tipo para la categoría 4 Tabla 10 – Resumen de los requisitos relativos a las categorías Categoría
Resumen de requisitos
Comportamiento del sistema
Las SRP/CS y/o sus dispositi- Si se produce un defecto, vos de protección, así como sus este puede conducir a la componentes, se deben diseñar, pérdida de la función de construir, seleccionar, montar y seguridad. B combinar de acuerdo con las (véase 6.2.3) normas pertinentes de manera que puedan soportar las influencias esperadas. Se deben utilizar los principios básicos de seguridad. Se deben aplicar los requisitos de B. Se deben utilizar componentes de eficacia probada y 1 principios de seguridad de (véase 6.2.4) eficacia probada.
La aparición de un defecto puede conducir a la pérdida de la función de seguridad, pero la probabilidad de que se produzca dicho defecto es menor que en la categoría B.
Principios para obtener la seguridad
MTTFD de cada canal
DCavg
CCF
Se caracterizan principalmente por la selección de los componentes.
Baja a media
Nula
No pertinente
Se caracterizan principalmente por la selección de los componentes.
Alta
Nula
No pertinente
Baja a alta
Baja a media
Véase el anexo F
Se deben aplicar los requisitos La aparición de un defecto de B y utilizar los principios de puede conducir a la pérdida seguridad de eficacia probada. de la función de seguridad Se caracterizan La función de seguridad debe en el intervalo entre dos principalmente 2 (véase 6.2.5) ser comprobada a intervalos comprobaciones. por la adecuados por el sistema de estructura. mando de la máquina (véase Mediante la comprobación se detecta la pérdida de la 4.5.4). función de seguridad.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
Categoría
- 50 -
Resumen de requisitos
Comportamiento del sistema
Principios para obtener la seguridad
Se deben aplicar los requisitos Cuando se produce un solo de B y utilizar los principios de defecto, la función de seguseguridad de eficacia probada. ridad se desempeña siempre. Las partes relativas a la seguridad se deben diseñar de Algunos defectos se detecSe caracterizan manera que: tan, pero no todos. 3 principalmente (véase 6.2.6) – un solo defecto en cualquie- La acumulación de defec por la ra de estas partes no con- tos no detectados puede estructura duzca a la pérdida de la conducir a la pérdida de la función de seguridad, y función de seguridad.
MTTFD de cada canal
DCavg
CCF
Baja a alta
Baja a media
Véase el anexo F
– siempre que sea razonable-
mente factible, se detecte dicho defecto. Se deben aplicar los requisitos Cuando se produce un solo de B y utilizar los principios de defecto, la función de seguseguridad de eficacia probada. ridad se desempeña siem pre. Las partes relativas a la seguridad se deben diseñar de La detección de defectos manera que: acumulados reduce la probabilidad de pérdida de – un solo defecto en cualla función de seguridad quiera de estas partes no (DC alta). Se caracterizan conduzca a una pérdida de 4 principalmente la función de seguridad, y Los defectos serán detecta(véase 6.2.7) por la dos a tiempo para impedir estructura – se detecte dicho defecto en la pérdida de la función de el momento de, o antes de, seguridad. la siguiente solicitación de la función de seguridad, pero si esta detección no es posible, una acumulación de defectos no detectados no debe conducir a la pérdida de la función de seguridad.
Alta
Alta incluyendo la Véase el acumulació anexo F n de defectos
NOTA Para la totalidad de los requisitos, véase el capítulo 6.
6.3 Combinación de SRP/CS para obtener un PL global Una función de seguridad se puede realizar mediante una combinación de varias SRP/CS (entrada del sistema, unidad de tratamiento de señales, salida del sistema). Estas SRP/CS pueden estar asignadas a una o a varias categorías. Para cada SRP/CS utilizada, se debe seleccionar una categoría de acuerdo con el apartado 6.2. Para la combinación global de estas SRP/CS, se puede encontrar un PL global utilizando los métodos descritos en este apartado. En este caso, se requiere la validación de la combinación de SRP/CS (véase la figura 3). De acuerdo con el apartado 6.2, la combinación de las partes relativas a la seguridad de un sistema de mando comienza en los puntos en los que se inician las señales relativas a la seguridad y termina a la salida de los elementos de mando de potencia. Pero la combinación de SRP/CS puede consistir en conectar varias partes de una manera lineal (alineamiento en serie) o redundante (alineamiento en paralelo). Con el fin de evitar una compleja nueva estimación del nivel de prestaciones (PL) obtenido mediante la combinación de SRP/CS cuando ya se han calculado los PL separados de todas las partes, se presentan las estimaciones siguientes para una combinación en serie de SRP/CS.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 51 -
ISO 13849-1:2015
Se asume que hay N SRP/CS separadas, en una combinación en serie, combinación que en conjunto desempeña una función de seguridad. Para cada SRP/CS i, ya se ha calculado un PL i. Esta situación se muestra en la figura 13 (véase también la figura 4 y la figura H.2). Si se conocen los valores de las PFH D de todas las SRP/CS i, entonces la PFH D de la combinación de las SRP/CS es la suma de todos los valores de las PFH D de las N SRP/CS i individuales. El PL de la combinación de las SRP/CS está limitado por: –
el valor de PL más bajo de todas las SRP/CSi individuales implicadas en el desempeño de la función de seguridad (porque el PL viene determinado también por aspectos no cuantificables); y
–
el PL correspondiente a la PFH D de la combinación de las SRP/CS de acuerdo con la tabla 2.
NOTA Véase el anexo H y el apartado 8.2.6 del Informe Técnico ISO/TR 23849 para un ejemplo de este método.
SRP/CS PL PFHD = PFHD1 + PFHD2 + ... + PFH DN Figura 13 – Combinación de SRP/CS para obtener un PL global Si no se conocen los valores de las PFH D de todas las SRP/CS i individuales, entonces como alternativa más desfavorable al método descrito anteriormente, el PL del conjunto de la combinación de las SRP/CS que desempeñan la función de seguridad se puede calcular utilizando la tabla 11 como sigue: a) Identificar el PLi más bajo: éste es el PL low. b) Identificar el número N low N de las SRP/CSi, que tengan un PL i = PLlow. c) Determinar el PL en la tabla 11.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 52 -
Tabla 11 – Cálculo del PL para SRP/CS alineadas en serie PLlow a b c d e
PL
N low 3
Ninguno, no autorizado
3
a
2
a
2
b
2
b
2
c
3
c
3
d
3
d
3
e
NOTA Los valores calculados de esta tabla están basados en los valores de fiabilidad medios de cada PL.
7
Consideración de defectos, exclusión de defectos
7.1 Generalidades De acuerdo con la categoría seleccionada, las partes relativas a la seguridad se deben diseñar con el objetivo de obtener el nivel de prestaciones requerido (PL r ). Se debe evaluar la capacidad para resistir defectos.
7.2 Consideración de defectos En la Norma ISO 13849-2 se listan los defectos y fallos importantes para diversas tecnologías. Las listas de defectos no son exhaustivas y, si es necesario, se deben tener en cuenta y enumerar defectos suplementarios. En tales casos, también se debería detallar claramente el método de valoración. Para nuevos componentes no mencionados en la Norma ISO 13849-2, se debería realizar un análisis de los modos de fallo y sus efectos (AMFE, véase la Norma IEC 60812) para establecer los defectos que se deben tener en cuenta para estos componentes. En general, se deben tener en cuenta los siguientes criterios de defectos: –
si, como consecuencia de un defecto, otros componentes fallan, el primer defecto y todos los siguientes se deben considerar como un solo defecto;
–
dos o más defectos distintos que tengan una causa común, se deben considerar como un solo defecto (conocido como CCF);
–
se considera altamente improbable la ocurrencia simultánea de dos o más defectos independientes y, por lo tanto, no es necesario tenerlo en cuenta.
7.3 Exclusión de defectos No es siempre posible valorar las SRP/CS sin asumir que determinados defectos se pueden excluir. Para una información detallada sobre la exclusión de defectos, véase la Norma ISO 13849-2.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 53 -
ISO 13849-1:2015
La exclusión de defectos es un compromiso entre los requisitos técnicos de seguridad y las posibilidades teóricas de que ocurra un defecto. La exclusión de defectos se puede basar en: –
la improbabilidad técnica de que ocurran determinados defectos;
–
la experiencia técnica generalmente admitida que se puede utilizar independientemente de la aplicación considerada; y
–
los requisitos técnicos relativos a la aplicación y al riesgo específico estudiado.
Si se excluyen defectos, se debe dar una justificación detallada en la documentación técnica.
8 Validación Se debe validar el diseño de las SRP/CS (véase la figura 3). La validación debe demostrar que la combinación de SRP/CS que proporciona cada función de seguridad, satisface todos los requisitos aplicables de esta parte de la Norma ISO 13849. Para una información detallada sobre la validación, véase la Norma ISO 13849-2.
9 Mantenimiento Normalmente es necesario un mantenimiento preventivo o correctivo para mantener las prestaciones especificadas de las partes relativas a la seguridad. Las variaciones con el tiempo de las prestaciones especificadas pueden conducir al deterioro de la seguridad o incluso conducir a una situación peligrosa. La información para la utilización de las SRP/CS debe incluir instrucciones para el mantenimiento (incluyendo la inspección periódica) de las SRP/CS. Las disposiciones para la mantenibilidad de las partes de un sistema de mando relativas a la seguridad, deben respetar los principios establecidos en 6.2.7 de la Norma ISO 12100:2010. Toda la información relativa al mantenimiento debe ser conforme con el punto e) del apartado 6.4.5.1 de la Norma ISO 12100:2010.
10 Documentación técnica Cuando se diseña una SRP/CS, el diseñador debe documentar, como mínimo, la siguiente información relativa a dicha parte relativa a la seguridad: –
la(s) función(es) de seguridad proporcionada(s) por la SRP/CS;
–
las características de cada función de seguridad;
–
los puntos exactos en los que comienza(n) y termina(n) la (las) parte(s) relativa(s) a la seguridad;
–
las condiciones ambientales;
–
el nivel de prestaciones (PL);
–
la(s) categoría(s) seleccionada(s);
–
los parámetros relativos a la fiabilidad (MTTF D, DC, CCF y duración de la misión);
–
las medidas adoptadas contra los fallos sistemáticos;
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 54 -
–
la(s) tecnología(s) utilizada(s);
–
todos los defectos relativos a la seguridad que se han tenido en cuenta;
–
la justificación de las exclusiones de defectos (véase la Norma ISO 13849-2);
–
el razonamiento seguido en el diseño (por ejemplo, los defectos considerados, los defectos excluidos);
–
la documentación del soporte lógico;
–
las medidas contra un mal uso razonablemente previsible.
NOTA En general, esta documentación está prevista para uso interno del fabricante y no será distribuida al usuario de la máquina.
11 Información para utilización Se deben aplicar los principios del apartado 6.4.5.2 de la Norma ISO 12100:2010, y las partes aplicables de otros documentos pertinentes, por ejemplo, el capítulo 17 de la Norma IEC 60204-1:2005. En particular, se debe dar al usuario la información que sea importante para la utilización segura de las SRP/CS. Esto debe incluir, aunque de manera no restrictiva, lo siguiente: –
los límites de las partes relativas a la seguridad para la(s) categoría(s) seleccionada(s) y las exclusiones de defectos;
–
los límites de la SRP/CS y todas las exclusiones de defectos (véase 7.3), para las que, cuando son esenciales para mantener la(s) categoría(s) seleccionada(s) y las prestaciones de seguridad, se debe dar la información apropiada (por ejemplo, para la modificación, el mantenimiento y la reparación), con el fin de asegurar que las exclusiones de defectos permanecen justificadas;
–
los efectos de las variaciones de las prestaciones especificadas sobre la(s) función(es) de seguridad;
–
descripciones claras de las interfaces entre las SRP/CS y los dispositivos de protección;
–
el tiempo de respuesta;
–
los límites de funcionamiento (incluyendo las condiciones ambientales);
–
las indicaciones y alarmas;
–
la inhibición y la neutralización de las funciones de seguridad;
–
los modos de mando;
–
el mantenimiento (véase el capítulo 9);
–
las listas de comprobación para el mantenimiento;
–
la facilidad de acceso y de sustitución de partes internas;
–
medios que permitan que la localización de averías sea segura y fácil;
–
información que explique las aplicaciones para la utilización correspondiente a la categoría a la que se hace referencia;
–
los intervalos de las comprobaciones, si es pertinente.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 55 -
ISO 13849-1:2015
Se debe dar información específica sobre la(s) categoría(s) y el nivel de prestaciones de las SRP/CS, de la manera siguiente: –
la referencia con fecha de esta parte de la Norma ISO 13849 (es decir ISO 13849-1:2006);
–
la categoría B, 1, 2, 3 o 4;
– el nivel de prestaciones “a”, “b”, “c”, “d” o “e”.
EJEMPLO Una SRP/CS conforme a esta edición de la Norma ISO 13849-1, de categoría B y de nivel de prestaciones “a”, sería denominada de la manera siguiente:
ISO 13849-1:2006 Categoría B PL a
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 56 -
Anexo A (Informativo) Determinación del nivel de prestaciones requerido (PLr)
A.1 Selección del PLr El anexo A trata de la contribución a la reducción del riesgo aportada por las partes del sistema de mando relativas a la seguridad consideradas. El método dado aquí proporciona solamente una estimación de la reducción del riesgo requerida y está destinado sólo para guiar al diseñador y a los que elaboran las normas, en la determinación del PL r para cada función de seguridad que deba desempeñar una SRP/CS. NOTA Esta metodología para estimar el PLr no es obligatoria. Es un enfoque genérico que asume el caso más desfavorable de la probabilidad de ocurrencia de un suceso peligroso (es decir, la probabilidad de ocurrencia es 100%). Se pueden utilizar otros métodos de estimación del riesgo para determinados tipos de máquinas según sea apropiado y se debería tener en cuenta la experiencia en tratar con éxito máquinas/peligros similares a la hora de estimar el P Lr . Por lo tanto, el PL requerido por una norma de tipo C puede diferir de aquel indicado por el enfoque genérico dado en la figura A.1.
El gráfico de la figura A.1 se basa en la situación previa a la existencia de la función de seguridad prevista (véase también el Informe Técnico ISO/TR 22100-2:2013). Para determinar la PL r de la función de seguridad prevista se debe tener en cuenta la reducción del riesgo por medidas técnicas independientes del sistema de mando (por ejemplo, resguardos mecánicos), o funciones de seguridad adicionales; en cuyo caso, el punto de partida de la figura A.1 se selecciona después de la aplicación de estas medidas (véase también la figura 2). La gravedad de la lesión (denominada S) sólo se estima de forma aproximada (por ejemplo, laceración, amputación, muerte). Para la probabilidad de que ésta se produzca, se utilizan parámetros auxiliares para mejorar la estimación. Estos parámetros son: –
la frecuencia y la duración de la exposición al peligro (F); y
–
la posibilidad de evitar el peligro o de limitar el daño (P).
La experiencia ha mostrado que estos parámetros se pueden combinar, como en la figura A.1, para obtener una gradación del riesgo, de bajo a alto. Es preciso subrayar que este es un proceso cualitativo que solamente da una estimación del riesgo.
A.2 Guía de selección de los parámetros S, F y P para la estimación del riesgo A.2.1 Gravedad de una lesión S1 y S2 Al estimar el riesgo que resulta de un fallo de la función de seguridad, solamente se consideran las lesiones ligeras (normalmente reversibles) y las lesiones graves (normalmente irreversibles, incluyendo la muerte). Para tomar una decisión a la hora de determinar S1 y S2, se deberían tener en cuenta las consecuencias habituales de los accidentes y los procesos de curación normales; por ejemplo, los hematomas y/o laceraciones sin complicaciones se clasificarían como S1, mientras que una amputación o una muerte se clasificaría como S2.
A.2.2 Frecuencia y/o tiempo de exposición al peligro F1 y F2 No es posible especificar una duración que sea válida en todos los casos, para elegir entre los parámetros F1 o F2. Sin embargo, las explicaciones siguientes pueden ayudar a tomar la decisión correcta en caso de duda.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 57 -
ISO 13849-1:2015
Se debería seleccionar F2 si una persona está frecuentemente o continuamente expuesta al peligro. Es irrelevante el hecho de que sean las mismas o diferentes personas las que están expuestas al peligro en exposiciones sucesivas, por ejemplo, en la utilización de ascensores. El parámetro frecuencia se debería seleccionar en función de la frecuencia y de la duración de la exposición al peligro. Si la tasa de solicitación de la función de seguridad es conocida por el diseñador, se pueden seleccionar la frecuencia y la duración de esta solicitación, en lugar de la frecuencia y la duración de la exposición al peligro. En esta parte de la Norma ISO 13849, se supone que la tasa de solicitación de la función de seguridad es superior a una vez por año. El período de exposición se debería evaluar sobre la base de un valor medio que pueda ser visto en relación al período total de tiempo durante el cual se utiliza el equipo. Por ejemplo, si es necesario acceder regularmente entre las herramientas de la máquina durante el funcionamiento cíclico con el fin de alimentar y mover las piezas de trabajo, entonces se debería seleccionar F2. Si no existe otra justificación, se debería elegir F2 si la frecuencia es mayor de una vez cada 15 min. Se puede elegir F1 si el tiempo de exposición acumulado no excede de 1/20 del tiempo de funcionamiento global y la frecuencia no es mayor de una vez cada 15 min.
A.2.3 Posibilidad de evitar el peligro P1 y P2 y probabilidad de ocurrencia La probabilidad de evitar el peligro y la probabilidad de ocurrencia de un suceso peligroso se combinan en el parámetro P. Cuando se produce una situación peligrosa, sólo se debería seleccionar P1 si hay una posibilidad real de evitar un peligro o de reducir significativamente su efecto; de lo contrario se debería seleccionar P2. Cuando la probabilidad de ocurrencia de un suceso peligroso se puede justificar como baja, la PL r se puede reducir un nivel, véase el apartado A.2.3.2.
A.2.3.1
Posibilidad de evitar el peligro
Es importante saber si se puede reconocer una situación peligrosa antes de que pueda causar daño y así evitarlo. Por ejemplo, se puede identificar la exposición a un peligro directamente por sus características físicas, o solamente se puede reconocer por medios técnicos, por ejemplo, indicadores. Otros aspectos importantes que influyen en la selección del parámetro P, incluyen, por ejemplo: –
velocidad de aparición del suceso peligroso (por ejemplo, rápida o lenta);
–
posibilidad de evitar el peligro (por ejemplo, escapando);
–
experiencias prácticas de seguridad relativas al proceso;
–
si son utilizadas por operadores entrenados y adecuados;
–
utilizadas con o sin supervisión.
A.2.3.2
Probabilidad de ocurrencia de un suceso peligroso
La probabilidad de ocurrencia de un suceso peligroso depende tanto de la conducta humana como de los fallos técnicos. En la mayoría de los casos, las probabilidades apropiadas son desconocidas o difíciles de identificar. La estimación de la probabilidad de ocurrencia de un suceso peligroso se debería basar en factores que incluyen: –
datos de fiabilidad;
–
historial de accidentes en las máquinas comparables.
NOTA Un bajo número de accidentes no significa necesariamente que la ocurrencia de sucesos peligrosos es baja, sino que las medidas de seguridad en las máquinas son suficientes.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 58 -
Las máquinas son comparables si –
incluyen el(los) mismo(s) riesgo(s) que la función de seguridad pertinente tiene previsto reducir,
–
requieren el mismo proceso y la misma acción del operador,
–
aplican la misma tecnología que causa el peligro.
Leyenda 1 Punto de partida para la estimación de la contribución de las funciones de seguridad a la reducción del riesgo L Contribución a la reducción del riesgo baja H Contribución a la reducción del riesgo alta PLr Nivel de prestaciones requerido Parámetros del riesgo: S Gravedad de la lesión S1 Lesión leve (normalmente reversible) S2 Lesión grave (normalmente irreversible, incluyendo la muerte) F Frecuencia y/o duración de la exposición al peligro F1 Raro a bastante frecuente y/o corta duración de la exposición F2 Frecuente a continuo y/o larga duración de la exposición P Posibilidad de evitar el peligro o de limitar el daño P1 Posible en determinadas condiciones P2 Raramente posible
Figura A.1 – Gráfico del riesgo para determinar el nivel de prestaciones requerido (PLr) para cada función de seguridad La figura A.1 proporciona una guía para la determinación del PL r relativo a la seguridad en función de la evaluación del riesgo para toda la máquina. El método de evaluación del riesgo se basa en la Norma ISO 12100 (véase la figura 1 y también el Informe Técnico ISO/TR 22100-2). El gráfico se debería considerar para cada función de seguridad.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 59 -
ISO 13849-1:2015
A.3 Superposición de peligros Cuando se utiliza la Norma ISO 13849-1, todos los peligros se consideran como un peligro o situación peligrosa específica. Para la cuantificación del riesgo, por lo tanto, cada peligro se puede evaluar por separado. Cuando es obvio que hay una combinación de peligros relacionados directamente que siempre se producen de forma simultánea entonces éstos se deberían combinar en la estimación del riesgo. La determinación de si los peligros se deberían considerar por separado o en combinación se debería tener en cuenta durante la evaluación del riesgo de la máquina. EJEMPLO 1 Un robot de soldadura continua puede crear diversas situaciones peligrosas simultáneas, por ejemplo, aplastamiento causado por el movimiento y quemaduras debidas al proceso de soldadura. Esto se puede considerar como una combinación de peligros directamente relacionados. EJEMPLO 2 Para una célula robotizada en la que los robots están trabajando por separado, cada robot se considera por separado. EJEMPLO 3 Como resultado de una evaluación de riesgos de una mesa giratoria con dispositivos de amarre, se puede considerar cada dispositivo de amarre por separado.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 60 -
Anexo B (Informativo) Método de los bloques y diagrama de bloques relativo a la seguridad
B.1 Método de los bloques El enfoque simplificado requiere una representación lógica de las SRP/CS mediante bloques. Las SRP/CS se deberían dividir en un pequeño número de bloques según las líneas directrices siguientes: –
los bloques deberían representar unidades lógicas de las SRP/CS, relativas a la ejecución de la función de seguridad;
–
convendría separar los diferentes canales de la función de seguridad en diferentes bloques (si un bloque ya no es capaz de desempeñar su función, no debería quedar afectada la ejecución de la función de seguridad a través de los bloques del otro canal);
–
cada canal puede estar constituido por uno o varios bloques (no es obligatorio el número de tres bloques por canal, entrada, tratamiento y salida, en las arquitecturas tipo, sino que simplemente es un ejemplo para una separación lógica dentro de cada canal);
–
cada unidad de soporte material de las SRP/CS debería pertenecer a un solo bloque, lo que permite calcular la MTT D del bloque a partir de las MTTF D de las unidades de soporte material que pertenecen al bloque (por ejemplo, mediante un análisis de los modos de fallo y sus efectos o por el método del recuento de partes, véase D.1);
–
las unidades de soporte material utilizadas solamente para diagnóstico (por ejemplo, un equipo de ensayo), y que cuando fallan peligrosamente no afectan a la ejecución de la función de seguridad en los diferentes canales, pueden ser separadas de las unidades de soporte material necesarias para la ejecución de la función de seguridad de los diferentes canales.
NOTA Para los fines de esta parte de la Norma ISO 13849, los bloques no corresponden a los bloques funcionales o a los bloques de fiabilidad.
B.2 Diagrama de bloques relativo a la seguridad Los bloques definidos por el método de bloques, se pueden utilizar para representar gráficamente la estructura lógica de las SRP/CS en un diagrama de bloques. Para dicha representación gráfica, se pueden seguir las líneas directrices siguientes: –
el fallo de un bloque en una alineación de bloques en serie conduce al fallo de todo el canal (por ejemplo, en el caso de que se produzca un fallo peligroso en una unidad de soporte material de un canal de una SRP/CS, el canal completo no podría ejecutar la función de seguridad);
–
solamente el fallo peligroso de todos los canales en una alineación en paralelo conduce a la pérdida de la función de seguridad (por ejemplo, una función de seguridad desempeñada por varios canales se ejecuta mientras se mantenga al menos un canal sin fallo);
–
los bloques utilizados solamente para fines de comprobación, que no afectan a la ejecución de la función de seguridad en los diferentes canales cuando tienen un fallo peligroso, se pueden separar de los bloques de los diferentes canales.
Véase la figura B.1 como ejemplo.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 61 -
Leyenda I1, I2 L O1, O2 T I1 y O1 I2, L y O2 T
ISO 13849-1:2015
Dispositivos de entrada, por ejemplo, detector Lógica Dispositivos de salida, por ejemplo, contactor principal Dispositivo de ensayo Constituyen el primer canal (alineación en serie) Constituyen el segundo canal (alineación en serie), con ambos canales ejecutando la función de seguridad de manera redundante (alineación en paralelo) Se utiliza solamente para comprobación
Figura B.1 – Ejemplo de diagrama de bloques relativo a la seguridad
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 62 -
Anexo C (Informativo) Cálculo o evaluación del MTTFD para componentes
C.1 Generalidades El anexo C ofrece varios métodos de cálculo o evaluación de los valores de MTTF D para los componentes individuales: el método dado en el capítulo C.2 se basa en respetar las buenas prácticas de ingeniería para los diferentes tipos de componentes; el que se da en el capítulo C.3 es aplicable a componentes hidráulicos; el capítulo C.4 proporciona un medio de cálculo del MTTF D para los componentes neumáticos, mecánicos y electromecánicos a partir de B10 (véase C.4.1); el capítulo C5 lista los valores de MTTF D para componentes eléctricos.
C.2 Método de las buenas prácticas de ingeniería Si se cumplen los criterios siguientes, el valor de MTTF D o B10D para un componente se puede estimar de acuerdo con la tabla C.1. a) Los componentes se han fabricado según los principios de seguridad fundamentales y de eficacia probada de acuerdo con la Norma ISO 13849-2:20012, o la norma pertinente (véase la tabla C.1) para el diseño del componente (confirmación en la hoja de características del componente). NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
b) El fabricante del componente especifica la aplicación apropiada y las condiciones de funcionamiento para el diseñador de la SRP/CS. c) El diseño de las SRP/CS cumple los principios de seguridad fundamentales y de eficacia probada de acuerdo con la Norma ISO 13849-2:2012, para la implementación y el funcionamiento del componente.
C.3 Componentes hidráulicos Si se cumplen los criterios siguientes, el valor de MTTF D para un componente hidráulico individual, por ejemplo, una válvula, se puede estimar en 150 años. a) Los componentes hidráulicos se han fabricado según los principios de seguridad fundamentales y de eficacia probada de acuerdo con las tablas C.1 y C.2 de la Norma ISO 13849-2:2012, para el diseño de componentes hidráulicos (confirmación en la hoja de características del componente). NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
b) El fabricante del componente hidráulico especifica la aplicación apropiada y las condiciones de funcionamiento para el diseñador de la SRP/CS. El diseñador de una SRP/CS debe proporcionar la información pertinente sobre su responsabilidad de respetar los principios de seguridad fundamentales y de eficacia probada de acuerdo con las tablas C.1 y C.2 de la Norma ISO 13849-2:2012, para la implementación y el funcionamiento del componente hidráulico. Si se cumplen los criterios presentados en el capítulo C.4, el valor de MTT F D para un componente hidráulico individual, por ejemplo una válvula, se puede estimar en 150 años. Si el número medio de operaciones por año (n op) es inferior a 1 000 000, se puede estimar que el valor de MTTF D es superior al indicado en la tabla C.1.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 63 -
ISO 13849-1:2015
Si alguno de los criterios a) o b) no se cumple, el valor de MTTF D para el componente hidráulico individual lo debe dar el fabricante. En lugar de utilizar un valor fijo para el MTTF D según se acaba de describir, se permite utilizar el concepto B 10D para el MTTFD de componentes neumáticos, mecánicos y electromecánicos, también para los componentes hidráulicos, si el fabricante puede proporcionar los datos correspondientes.
Tabla C.1 – Normas internacionales relativas a los MTTF D o a los B10D para componentes Principios de seguridad fundamentales y de eficacia probada de acuerdo con la Norma ISO 13849-2:2012
Normas pertinentes
Valores típicos: MTTFD (años) o B10D (ciclos)
Componentes mecánicos
Tablas A.1 y A.2
–
MTTFD = 150
Componentes hidráulicos con no 1 000 000 ciclos por año
Tablas C.1 y C.2
ISO 4413
MTTF D = 150
Componentes hidráulicos con 1 000 000 ciclos por año nop 500 000 ciclos por año
Tablas C.1 y C.2
ISO 4413
MTTF D = 300
Componentes hidráulicos con 500 000 ciclos por año nop 250 000 ciclos por año
Tablas C.1 y C.2
ISO 4413
MTTF D = 600
Componentes hidráulicos con 250 000 ciclos por año nop
Tablas C.1 y C.2
ISO 4413
MTTF D = 1 200
Componentes neumáticos
Tablas B.1 y B.2
ISO 4414
B10D = 20 000 000
Relés y contactores auxiliares con carga ligera
Tablas D.1 y D.2
EN 50205 IEC 61810 IEC 60947
B10D = 20 000 000
Relés y contactores auxiliares con carga nominal
Tablas D.1 y D.2
EN 50205 IEC 61810 IEC 60947
B10D = 400 000
Interruptores de proximidad con carga ligera
Tablas D.1 y D.2
IEC 60947 ISO 14119
B10D = 20 000 000
Interruptores de proximidad con carga nominal
Tablas D.1 y D.2
IEC 60947 ISO 14119
B10D = 400 000
Contactores con carga ligera
Tablas D.1 y D.2
IEC 60947
B10D = 20 000 000
Contactores con carga nominal
Tablas D.1 y D.2
IEC 60947
B10D = 1 300 000 (véase la Nota1)
Interruptores de posición a
Tablas D.1 y D.2
IEC 60947 ISO 14119
B10D = 20 000 000
Interruptores de posición (con accionador separado, bloqueo de resguardo) a
Tablas D.1 y D.2
IEC 60947 ISO 14119
B10D = 2 000 000
Dispositivos de parada de emergencia a
Tablas D.1 y D.2
IEC 60947 ISO 13850
B10D = 100 000
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 64 -
Pulsador (por ejemplo, interruptores de validación) a
Principios de seguridad fundamentales y de eficacia probada de acuerdo con la Norma ISO 13849-2:2012
Normas pertinentes
Valores típicos: MTTFD (años) o B10D (ciclos)
Tablas D.1 y D.2
IEC 60947
B10D = 100 000
Para la definición y utilización de B10D, véase el capítulo C.4. NOTA 1 B10D se estima como dos veces B10 (50% de fallos peligrosos) si no se dispone de otra información (por ejemplo, la norma de producto) NOTA 2 “Carga nominal” o “carga ligera” deberían tener en cuenta los principios de seguri dad descritos en la Norma ISO 13849-2, como el sobredimensionamiento del valor de la corriente asignada. “Carga ligera” significa, por ejemplo, el 20%. NOTA 3 Los dispositivos de parada de emergencia conformes a la Norma IEC 60947-5-5 y la Norma ISO 13850 y los interruptores de validación conformes a la Norma IEC 60947-5-8 se pueden estimar como un subsistema Categoría 1 o Categoría 3/4 dependiendo del número de contactos eléctricos de salida y de la detección de defectos en el subsiguiente SRP/CS. Cada elemento de contacto (incluyendo el accionamiento mecánico) se puede considerar como un canal con su respectivo valor B 10D. Para los interruptores de validación conformes a la Norma IEC 60947-5-8 esto implica la función de apertura al pulsar o al liberar. En algunos casos es posible, que el fabricante pueda aplicar una exclusión de defectos de acuerdo con la tabla D.8 de la Norma ISO 13849-2, teniendo en cuenta la aplicación específica y las condiciones medioambientales del dispositivo. a Si es posible la exclusión de defectos para una apertura directa.
C.4 MTTFD para componentes neumáticos, mecánicos y electromecánicos C.4.1 Generalidades Para componentes neumáticos, mecánicos y electromecánicos (válvulas neumáticas, relés, contactores, interruptores de posición, levas de los interruptores de posición, etc.) puede ser difícil calcular el tiempo medio hasta el fallo peligroso (MTTFD para componentes), que se da en años y que se exige en esta parte de la Norma ISO 13849. Normalmente, los fabricantes de este tipo de componentes proporcionan solamente el número medio de ciclos hasta que el 10% de los componentes falla de manera peligrosa ( B10D). Este capítulo ofrece un método para calcular el MTTF D de los componentes, a partir de B10 o de T (duración de la vida) proporcionado por el fabricante en estrecha relación con el número de ciclos en función de la aplicación. Si se cumplen todos los criterios siguientes, el valor de MTTF D para un componente neumático, electromecánico o mecánico individual, se puede estimar de acuerdo con el apartado C.4.2. a) Los componentes se han diseñado y fabricado según los principios de seguridad fundamentales conforme a la tabla A1, la tabla B.1 o la tabla D.1 de la Norma ISO 13849-2:2012. NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
b) Los componentes que se van a utilizar en las categorías 1, 2, 3 o 4, se han diseñado y fabricado según los principios de seguridad de eficacia probada conforme a las tablas A2, B.2 o D.2 de la Norma ISO 13849 -2:2012. NOTA Esta información se puede encontrar en la hoja de características del fabricante del componente.
c) El fabricante del componente especifica la aplicación apropiada y las condiciones de funcionamiento para el diseñador de la SRP/CS. El diseñador de la SRP/CS debe proporcionar la información pertinente sobre su responsabilidad de respetar los principios de seguridad fundamentales, de acuerdo con las tablas B.1 o D.1 de la Norma ISO 13849-2:2012, para la implementación y el funcionamiento del componente. Para las categorías 1, 2, 3 o 4, el usuario debe ser informado de su responsabilidad de respetar los principios de seguridad de eficacia probada de acuerdo con las tablas B.2 o D.2 de la Norma ISO 13849-2:2012, para la implementación y el funcionamiento del componente.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 65 -
ISO 13849-1:2015
C.4.2 Cálculo de MTTFD para componentes a partir de B 10D El número medio de ciclos hasta que el 10% de los componentes falla de manera peligrosa ( B10D)2 debería ser determinado por el fabricante del componente conforme a los métodos de ensayo de las normas de producto pertinentes (por ejemplo, la Norma IEC 60957-5-1, la Norma ISO 19973, la Norma IEC 61810). Se deben definir los modos de fallo peligroso del componente, por ejemplo, contactos pegados al final del recorrido o modificación de los tiempos de conmutación. Si algunos de estos componentes no fallan de manera peligrosa durante los ensayos (por ejemplo, de siete componentes ensayados, solamente cinco fallan de manera peligrosa), se debería realizar un análisis para tener en cuenta los componentes que no han fallado de manera peligrosa. Con B10D y nop, el número medio de operaciones por año, el MTTF D para componentes, se puede calcular de la siguiente manera: B10D 0,1 nop
MTTFD
(C.1)
donde nop
dop hop 3 600 s/h t cycle
(C.2)
habiendo hecho las hipótesis siguientes sobre la aplicación del componente: hop
es el número medio de horas de operación por día;
d op
es el número medio de días de operación por año;
t cycle
es el tiempo medio de la operación entre el comienzo de dos ciclos sucesivos del componente (por ejemplo, conmutación de una válvula) en segundos por ciclo.
El tiempo de operación de un componente está limitado a T 10D, el tiempo medio hasta que el 10% de los componentes falla de manera peligrosa: T 10D
B10D nop
(C.3)
NOTA Explicación de las fórmulas en el apartado C.4.2.
B10D, el número medio de ciclos hasta que el 10% de los componentes falla de manera peligrosa, se puede convertir en T 10D, el tiempo medio hasta que el 10% de los componentes falla de manera peligrosa, utilizando nop, el número medio de operaciones por año: T 10D
B10D nop
(C.4)
Los métodos de fiabilidad de esta parte de la Norma ISO 13849, parten de la hipótesis de que el fallo de los componentes sigue una distribución exponencial en función del tiempo: F (t ) = 1 – exp( – dt). Para componentes neumáticos y electromecánicos, es más adecuada una distribución de tipo weibull. Si el tiempo de operación de los componentes se limita al tiempo medio hasta que el 10% de los componentes falla de manera peligrosa ( T 10D), entonces se puede estimar una tasa de fallo peligroso constante ( D) durante ese tiempo de operación, de la siguiente manera: 2) Si la fracción peligrosa de B10 no viene dada (por ejemplo, por el fabricante), se puede utilizar el 50% de B 10; en ese caso se recomienda B10D = 2 B10.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 66 -
D
0,1
T10D
0,1 nop
(C.5)
B10D
La fórmula (C.5) implica que para una aplicación dada, con una tasa de fallo peligroso constante, el 10% de los componentes habrá fallado para T 10D [años], lo que corresponde a B10D [ciclos]. Para ser exactos: F T10 D 1 exp D T 10D 10% significa que D
ln 0,9 0,10 536
T10D
T10D
0,1
T 10D
(C.6)
Con MTTFD = 1/λ D para una distribución exponencial, resulta T B10D MTTFD 10D 0,1 0,1 nop
(C.7)
NOTA Todas las variables utilizadas en las ecuaciones son magnitudes físicas expresadas como producto de un valor numérico y una unidad de medida. La aplicación correcta, por ejemplo, de las fórmulas C.5, C.6 y MTTFD = 1/λ D puede requerir convertir “años” en “horas” utilizando 1 año = 8 760 h.
C.4.3 Ejemplo Para una válvula neumática, un fabricante fija un valor medio de B 10D de 60 millones de ciclos. La válvula se utiliza en dos turnos por día y 220 días de trabajo por año. El tiempo medio entre el comienzo de dos conmutaciones sucesivas se estima en 5 s. Es decir: –
d op de 220 días por año;
–
hop de 16 h por día;
–
t cycle de 5 s por ciclo;
–
B10D de 60 millones de ciclos.
Con estos valores de entrada se pueden calcular los valores siguientes: nop
220 días/año 16 h/día 3 600 s/h 5 s/ciclo
T 10D
60 106 ciclos 2,53 106 ciclos/año
MTTFD
23,7 años 0,1
2,53 106 ciclos/año
(C.8)
23,7 años
(C.9)
237 años
(C.10)
Esto da un MTTF D ”alto” para el componente, de acuerdo con la tabla 5. Estas hipótesis solamente son válidas para un tiempo de operación restringido de 23,7 años para la válvula.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 67 -
ISO 13849-1:2015
C.5 Datos de MTTFD para componentes eléctricos C.5.1 Generalidades Las tablas C.2 a C.7 dan los valores medios típicos de MTTF D para componentes electrónicos. Los datos se han extraído de la base de datos de la serie SN 29500 [46]. Todos estos datos son de tipo general. Existen varias bases de datos disponibles (véase la lista no exhaustiva en la Bibliografía) que proporcionan valores de MTTF D para diferentes componentes electrónicos. En caso de que el diseñador de una SRP/CS tenga otros datos específicos fiables de los componentes utilizados, está sumamente recomendado utilizar dichos datos específicos. Los valores dados en las tablas C.2 a C.7, son válidos para una temperatura de 40ººC, y carga nominal para la corriente y la tensión. En la columna MTTF de las tablas, los valores extraídos de la SN 29500 se refieren a componentes genéricos para todos los modos de fallos posibles, que no son necesariamente peligrosos. En la columna MTTF D se supone normalmente que no todos los modos de fallo ocasionan fallos peligrosos. Esto depende principalmente de la aplicación. Una manera precisa de determinar el MTTF D “típico” para componentes consiste en realiza r un AMFE. Algunos componentes, por ejemplo los transistores utilizados como interruptores, pueden tener como fallos cortocircuitos o interrupciones. Solamente uno de estos dos modos puede ser peligroso; por lo tanto la columna “observaciones” supone que s olamente el 50% son fallos peligrosos, lo que significa que el MTTF D para los componentes es el doble del valor de MTTF dado.
C.5.2 Semiconductores Véanse las tablas C.2 y C.3.
Tabla C.2 – Transistores (utilizados como interruptores) MTTF para componentes años
MTTFD para componentes años Típico
TO18, TO92, SOT23
38 052
76 104
50% de fallos peligrosos
TO5, TO39
5 708
11 416
50% de fallos peligrosos
Bipolar, de potencia
TO3, TO220, D-Pack
1 903
3 806
50% de fallos peligrosos
Transistor de efecto campo
Junction MOS
22 831
45 662
50% de fallos peligrosos
MOS, de potencia
TO3, TO220, D-Pack
1 903
3 806
50% de fallos peligrosos
Transistor
Ejemplo
Bipolar Bipolar, baja potencia
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Observación
ISO 13849-1:2015
- 68 -
Tabla C.3 – Diodos, semiconductores de potencia y circuitos integr ados Ejemplo
MTTF para componentes años
MTTFD para componentes años Típico
Propósito general
–
114 155
228 311
50% de fallos peligrosos
Dispositivo antiparasitario
–
16 308
32 616
50% de fallos peligrosos
Diodo Zener Ptot 1 W
–
114 155
228 311
50% de fallos peligrosos
Diodos rectificadores
–
57 078
114 155
50% de fallos peligrosos
Puentes rectificadores
–
11 415
22 831
50% de fallos peligrosos
Tiristores
–
2 283
4 566
50% de fallos peligrosos
Triacs, Diacs
–
1 522
3 044
50% de fallos peligrosos
Diodo
Circuitos integrados (programables y no programables)
Observación
50% de fallos peligrosos
Utilizar los datos del fabricante
C.5.3 Componentes pasivos Véanse las tablas C.4 a C.7.
Tabla C.4 – Condensadores Condensador Estándar, no de potencia
Ejemplo
MTTF para MTTFD para componentes años componentes años Típico
Observación
KS, KP, KC, KT, MKT, MKC, MKP, MKU, MP, MKV
57 078
114 155
50% de fallos peligrosos
–
22 831
45 662
50% de fallos peligrosos
Electrolítico de aluminio
Electrolito no sólido
22 831
45 662
50% de fallos peligrosos
Electrolítico de aluminio
Electrolito sólido
38 052
76 104
50% de fallos peligrosos
Electrolítico de tántalo
Electrolito no sólido
11 415
22 831
50% de fallos peligrosos
Electrolítico de tántalo
Electrolito sólido
114 155
228 311
50% de fallos peligrosos
Cerámico
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 69 -
ISO 13849-1:2015
Tabla C.5 – Resistencias Resistencias Ejemplo
MTTF para componentes años
MTTFD para componentes años Típico
Película de carbono
–
114 155
228 311
50% de fallos peligrosos
Película de metal
–
570 776
1 141 552
50% de fallos peligrosos
Óxido metálico y bobinado
–
22 831
45 662
50% de fallos peligrosos
Variable
–
3 805
7 618
50% de fallos peligrosos
Resistencia
Observación
Tabla C.6 – Inductancias Inductancias Ejemplo
MTTF para componentes años
MTTFD para componentes años Típico
Para aplicaciones MC
–
38 052
76 104
50% de fallos peligrosos
Inductancias de baja frecuencia y transformadores
–
22 831
45 662
50% de fallos peligrosos
Transformadores principales y transformadores para modos conmutados y fuentes de alimentación
–
11 415
22 831
50% de fallos peligrosos
Inductancias
Observación
Tabla C.7 – Acopladores Acopladores optoelectrónicos Acopladores optoelectrónicos
Ejemplo
MTTF para componentes años
MTTFD para componentes años Típico
Salida bipolar
SFH 610
7 610
15 220
50% de fallos peligrosos
Salida de transistor de efecto campo
LH 1056
2 854
5 708
50% de fallos peligrosos
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Observación
ISO 13849-1:2015
- 70 -
Anexo D (Informativo) Método simplificado para estimar el MTTFD para cada canal D.1 Método de recuento recuento de partes partes El método de recuento de partes sirve para estimar el MTTF D para cada canal por separado. En los cálculos se utilizan los valores de MTTF D de todos los componentes individuales que forman parte pa rte del canal correspondiente. 3 La fórmula general es: 1 MTTFD
Ñ
MTTF
i 1
1
Ñ
Di
n j
MTTF
(D.1)
Dj
j 1
donde MTTFD
es el valor para el canal completo;
MTTFDi, MTTFDj son los correspondientes MTTF D de cada componente que contribuye a la función de seguridad. La primera suma se establece a partir de cada componente tomado por separado; la segunda suma es una forma equivalente simplificada en la que se han agrupado agr upado todos los componentes idénticos n j que tienen el mismo MTTF Dj. El ejemplo dado en la tabla D.1 da un MTTF D de 22,4 años, que corresponde a un índice “medio”, según la tabla 5.
Tabla D.1 – Ejemplo Ejemplo de lista de partes de una tarjeta de circuitos Componente
j
Unidades n j
MTTFDj típico años
1/MTTFDj típico 1/año
n j/MTTFDj
típico 1/año
1
Transistores, bipolar, baja potencia (véase la tabla C.2)
2
11 416
0,000 087 6 0,000 175 2
2
Resistencia, película de carbono (véase la tabla C.5)
5
228 311
0,000 004 4 0,000 021 9
3
Condensador, estándar, no de potencia (véase la tabla C.4)
4
114 155
0,000 008 8 0,000 035 0
4
Relé, valor proporcionado por el fabricante ( B B10D = 20 000 000 ciclos, nop = 633 600 ciclos por año)
4
315,7
0,003 167 6 0,012 670 3
5
Contactor, valor proporcionado por el fabricante ( B B10D = 2 000 000 ciclos, nop = 633 600 ciclos por año)
1
31,6
0,031 645 6 0,031 645 6 0,044 548 0
(n j/MTTFDj)
MTTFD = 1/(n j/MTTFDj) [años]
22,4
3) El método de recuento de partes es una aproximación con errores orientados hacia la seguridad. Si se requieren valores más exactos, el diseñador debería tener en cuenta los modos de fallo, pero es to puede ser muy complicado.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 71 -
ISO 13849-1:2015
NOTA 1 Este método se basa en la hipótesis de que un fallo peligroso de cualquier componente componente (estimación del caso más desfavorable) en un canal conduce a un fallo peligroso de todo el canal. El cálculo de MTTF D dado en la tabla D.1 está basado en esa hipótesis. NOTA 2En este ejemplo, el contactor es el componente que más influye. Los valores seleccionados para MTTFD y B y B10D para este ejemplo provienen del anexo C. Para el ejemplo de aplicación, se suponen los valores d oopp = 220 días/año, hop = 8 h/día y t cycle cycle = 10 s/ciclo, con lo que se obtiene nop = 633 600 ciclos/año. En general, si se toman los valores del fabricante para MTTFD y B y B10D se obtienen mejores resultados, es decir, un MTTFD más elevado para el canal.
D.2 MTTFD para diferentes canales, simetrización de MTTF D para cada canal Las arquitecturas tipo del apartado 6.2 suponen que para diferentes canales en una SRP/CS redundante, los valores de MTTFD para cada canal son iguales. Este valor por canal debería ser el dato de entrada en la figura 5. Si los canales tienen MTTF D diferentes, existen dos posibilidades: –
como hipótesis del caso más más desfavorable, se debería tener en cuenta el valor más bajo;
–
se puede utilizar la fórmula fórmula D.2 como como una estimación estimación de un un valor de sustitución de MTTF D para cada canal: 2 1 MTTFD MTTFD C1 MTTFD C2 1 1 3 MTTFD C1 MTTFD C2
(D.2)
donde MTTFD C1 y MTTFD C2 son los valores para dos canales redundantes diferentes cada uno limitado a un valor máximo de 100 años (categorías B, 1, 2 y 3) o 2 500 años (categoría 4) antes de aplicar la fórmula D.2. EJEMPLO Un canal tiene un MTTFD C1 = 3 años y el otro canal tiene un MTTFD C2 = 100 años, entonces resulta un MTTFD = 6 años para cada canal. Esto significa que un sistema redundante en el que un canal tiene un MTTFD = 100 años y el otro un MTTFD = 3 años es igual a un sistema en el que el MTTFD de cada canal es de 66 años.
Un sistema redundante con dos canales y valores diferentes de MTTF D para cada canal se puede sustituir por un sistema redundante con un MTTF D idéntico para cada canal utilizando la fórmula anterior. Este procedimiento es necesario para utilizar correctamente la figura 5. NOTA Este método supone supone que los canales paralelos paralelos son independientes. independientes.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 72 -
Anexo E (Informativo) Estimaciones de la cobertura del diagnóstico (DC) para las funciones y los módulos
E.1 Ejemplos de cobertura de diagnóstico (DC) Véase la tabla E.1.
Tabla E.1 – Estimaciones para la cobertura del diagnóstico (DC) Medida
DC Dispositivo de entrada
Estímulo cíclico de ensayo mediante cambio dinámico de las señales 90% de entrada Comprobación de verosimilitud, por ejemplo, utilización de contactos 99% normalmente abiertos y normalmente cerrados, guiados mecánicamente Control cruzado de señales de entrada sin ensayo dinámico
0% a 99%, dependiendo de la frecuencia con la que la aplicación cambia la señal
Control cruzado de señales de entrada con ensayo dinámico, en el caso 90% de que los cortocircuitos no sean detectables (para I/O múltiples) Control cruzado de las señales de entrada y de los resultados inter- 99% medios en la lógica (L) y control temporal y lógico por el soporte lógico del flujo del programa y detección de defectos estáticos y de cortocircuitos (para I/O múltiples) Control indirecto (por ejemplo, control mediante un presostato, control 90% a 99%, dependiendo de la aplicación eléctrico de la posición de los accionadores) Control directo (por ejemplo, control eléctrico de la posición de las 99% válvulas de mando, control de los dispositivos electromecánicos mediante elementos de contacto unidos mecánicamente) Detección de defectos mediante el proceso
0% a 99%, dependiendo de la aplicación; esta medida por sí sola no es suficiente para un nivel de prestaciones requerido “e”!
Control de algunas características del sensor (tiempo de respuesta, 60% gama de las señales analógicas, por ejemplo, resistencia eléctrica, capacidad)
Lógica Control indirecto (por ejemplo, control mediante un presostato, control 90% a 99%, dependiendo de la aplicación eléctrico de la posición de los accionadores) Control directo (por ejemplo, control eléctrico de la posición de las 99% válvulas de mando, control de los dispositivos electromecánicos mediante elementos de contacto unidos mecánicamente)
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 73 -
ISO 13849-1:2015
Medida
DC
Control temporal simple de la lógica (por ejemplo, temporizador como 60% perro guardián, cuando los puntos de disparo se encuentran en el programa de la lógica) Control temporal y lógico de la lógica mediante el perro guardián, 90% cuando el equipo de ensayo realiza comprobaciones de verosimilitud del comportamiento de la lógica Auto-tests en la puesta en marcha para detectar los defectos latentes en 90% (dependiendo de la técnica de ensayo) partes de la lógica (por ejemplo, memorias de programa y de datos, puertos de entrada/salida, entrada/salida, interfaces) Comprobación de la capacidad de reacción del dispositivo de control 90% (por ejemplo, perro guardián) por el canal principal en la puesta en marcha, o cuando se solicita la función de seguridad o cuando una señal externa la solicita a través de una línea de entrada Principio dinámico (todos los componentes de la lógica deben cambiar 99% de estado ACTIVADO-DESACTIVADO-ACTIVADO cuando se solicita la función de seguridad), por ejemplo circuito de enclavamiento realizado mediante relés Memoria invariable: firma de una palabra (8 bit)
90%
Memoria invariable: firma de dos palabras (16 bit)
99%
Memoria variable: ensayo de la RAM utilizando datos redundantes, 60% por ejemplo bits de estado, marcadores, constantes, temporizadores y comparación cruzada de dichos datos Memoria variable: comprobación de la legibilidad y aptitud para la 60% lectura de las células de memoria utilizadas Memoria variable: control de la RAM con un código Hamming 99% modificado o auto-test de la RAM (por ejemplo, “galpat” o “Abraham”)
Unidad de procesamiento:auto-tests mediante soporte lógico
60% a 90%
Unidad de procesamiento: procesamiento codificado
90% a 99%
Detección de defectos mediante el proceso
0% a 99%, dependiendo de la aplicación; esta medida por sí sola no es suficiente para un nivel de prestaciones requerido “e”!
Dispositivo de salida Control de salidas mediante un canal sin ensayo dinámico
0% a 99%, dependiendo de la frecuencia con la que la aplicación cambia la señal
Control cruzado de señales de salida sin ensayo dinámico
0% a 99%, dependiendo de la frecuencia con la que la aplicación cambia la señal
Control cruzado de señales de salida con ensayo dinámico, sin 90% detección de cortocircuitos (para I/O múltiples) Control cruzado de las señales de salida y de los resultados inter- 99% medios en la lógica (L) y control temporal y lógico por el soporte lógico del flujo del programa y detección de defectos estáticos y de cortocircuitos (para I/O múltiples) Vía de desconexión redundante con control de los accionadores, 99% mediante lógica y un equipo de ensayo
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 74 -
Medida
DC
Control indirecto (por ejemplo, control mediante un presostato, control 90% a 99%, dependiendo de la aplicación eléctrico de la posición de los accionadores) Detección de defectos mediante el proceso
0% a 99%, dependiendo de la aplicación; esta medida por sí sola no es suficiente para un nivel de prestaciones requerido “e”!
Control directo (por ejemplo, control eléctrico de la posición de las 99% válvulas de mando, control de los dispositivos electromecánicos mediante elementos de contacto unidos mecánicamente) NOTA 1 Para estimaciones adicionales adicionales de la DC, véase, por ejemplo, ejemplo, las tablas A.2 a A.15 A.15 de la Norma IEC 61508-2:2010. 61508-2:2010. NOTA 2 Si se le exige a la lógica una DC “media” o “alta”, tiene que aplicarse al menos una medida para la memoria variable, la memoria invariable y la unidad de procesamiento, siendo cada DC al menos del 60%. También se pueden utilizar otras medidas distintas de las listadas en esta tabla. NOTA 3 Cuando se indica un margen de DC para una medida (por ejemplo, detección de defectos por el proceso) el valor correcto de DC se puede determinar considerando todos los los defectos peligrosos y decidiendo cuáles de estos se detectan por las medida de DC. En caso de duda la estimación del DC debería basarse en un AMFE.
Para la aplicación de la tabla E.1 véanse los ejemplos indicativos que figuran a continuación. EJEMPLO 1 El anexo A de la Norma ISO 13849-2 presenta un ejemplo práctico completo (muy detallado) para la validación del comportamiento ante defectos y de las medidas de diagnóstico de una máquina de montaje automática. EJEMPLO 2 El Informe Técnico ISO/TR 24119 propone una metodología basada en una tabla pragmática que describe paso a paso la evaluación de la cobertura de diagnóstico para dispositivos de enclavamiento conectados en serie. EJEMPLO 3 La medida de DC “detección de defectos mediante el proceso” solo se puede aplicar si el componente relativo a la seguridad está implicado en el proceso de producción, por ejemplo, un PLC estándar o detectores estándar que se utilizan para el procesado de una pieza y como parte de uno de los dos canales funcionales redundantes que ejecutan la función de seguridad. El nivel de DC apropiado depende del solapamiento de los recursos utilizados habitualmente (lógica, entradas/salidas etc.). Por ejemplo, cuando todos los defectos de un encoder en una máquina de impresión conducen a una interrupción muy visible del proceso de impresión, el DC para ese detector utilizado para controlar una velocidad limitada de manera segura se puede estimar entre 90% y 99%.
E.2 Estimación de la DC DC media media (DC avg) En muchos sistemas, es posible utilizar varias medidas para la detección de defectos. Estas medidas podrían comprobar diferentes partes de la SRP/CS y tener diferentes DC. Para una estimación del PL de acuerdo con la figura 5, solamente es aplicable una DC media para el conjunto de las SRP/CS que desempeñan la función de seguridad. La DC se puede definir como la relación entre la tasa de fallo de los fallos peligrosos detectados y la tasa de fallo del total de fallos peligrosos. Conforme a esta definición, se estima una cobertura del diagnóstico media DC avg mediante la fórmula siguiente: DC1 DCavg
MTTFD1 1 MTTFD1
DC2 MTTFD2 1 MTTFD2
... ...
DC N MTTFDN 1
(E.1)
MTTFDN
En este caso, se deben tener en cuenta todos los componentes a los que no se les ha aplicado la ex clusión de defectos de la SRP/CS y se deben sumar. Para cada parte se toman en cuenta el MTTF D y la DC. En esta fórmula, la DC significa la relación entre la tasa de fallo de los fallos peligrosos detectados de la parte (independientemente de las medidas utilizadas para detectar los fallos) y la tasa de fallo del total de fallos peligrosos de dicha parte. La DC se refiere, por lo tanto, a la parte comprobada y no al dispositivo de comprobación. Los componentes sin detección de fallo (por ejemplo, los que no se comprueban), tienen una DC = 0 y solamente contribuyen en el denominador de DC avg.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 75 -
ISO 13849-1:2015
Anexo F (Informativo) Estimaciones para los fallos de causa común (CCF)
F.1 Requisitos para los CCF En el anexo D de la Norma IEC 61508-6:2000, por ejemplo, se da un procedimiento completo para las medidas contra los CCF de los detectores/accionadores, por una parte, y de la lógica de mando por otra. No todas las medidas que se dan allí son aplicables a las máquinas. Las medidas más importantes se enumeran a continuación. continuaci ón. NOTA En esta parte de la Norma ISO 13849, se supone que para sistemas redundantes un factor β, de acuerdo con el anexo D de la Norma IEC 61508-6:2000, debería ser inferior o igual al 2%.
F.2 Estimación del efecto de los CCF Este proceso cuantitativo se debería realizar para el conjunto del sistema. Se debería tener en cuenta cada componente de las partes de los sistemas de mando relativas a la seguridad. La tabla F.1 enumera las medidas y contiene los valores asociados, basados en criterios de ingeniería, que representan la contribución de cada medida a la reducción de los fallos de causa común. Para cada medida listada, solamente se puede atribuir la puntuación total o ninguna puntuación. Si una medida se cumple sólo parcialmente, el resultado para esta medida es cero.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 76 -
Tabla F.1 – Proceso de puntuación de las medidas contra los CCF Nº Medida contra los CCF 1 Separación/Aislamiento Separación física entre las vías de las señales, por ejemplo: – separación en el cableado/tuberías; – detección de cortocircuitos y circuito abiertos en cables por ensayos dinámicos; – blindaje separado para cada vía de señal de cada canal; – distancias de aislamiento y líneas de fuga suficientes en tarjetas de circuitos impresos. 2 Diversidad Utilizar diferentes tecnologías/principios de diseño o principios físicos, por ejemplo: – primer canal electrónico o electrónico programable y segundo canal electromecánico cableado; – diferente iniciación de la función de seguridad para cada canal (por ejemplo, posición, presión, temperatura); y/o medición digital y analógica de variables (por ejemplo, distancia, presión o temperatura); y/o componentes de diferentes fabricantes. 3 Diseño/aplicación/experiencia 3.1 Protección contra sobretensión, sobrepresión, sobreintensidad, sobretemperatura, etc. 3.2 Utilización de componentes de eficacia probada. 4 Evaluación/Análisis Para cada parte de las partes relativas a la seguridad del sistema de mando se ha llevado a cabo un análisis de los modos de fallo y sus efectos y sus resultados se han tenido en cuenta con el fin de evitar los fallos de causa común en el diseño. 5 Competencia/formación Formación de los diseñadores para entender las causas y consecuencias de los fallos de causa común. 6 Medio ambiente 6.1 Para sistemas eléctricos/electrónicos, prevención de la contaminación y de las perturbaciones electromagnéticas (CEM) para proteger contra los fallos de causa común de conformidad con las normas pertinentes (por ejemplo, la Norma IEC 61326-3-1). Sistemas fluídicos: filtración del medio a presión, prevención de la absorción de impurezas, drenaje del aire comprimido, por ejemplo, de conformidad con los requisitos del fabricante del componente en lo que se refiere a la pureza del medio a presión.
Puntuación 15
20
15 5 5
5
25
NOTA Para sistemas combinados fluídicos y eléctricos, se deberían considerar ambos aspectos.
6.2 Otras influencias 10 Consideración de los requisitos relativos a la inmunidad contra todas la influencias ambientales pertinentes, tales como, la temperatura, los choques, las vibraciones, la humedad (por ejemplo, tal como se especifica en las normas pertinentes). Total [máx. alcanzable 100] a Puntuación total Medidas para evitar los CCF 65 o mejor Cumple los requisitos Menos de 65 Proceso fallido seleccionar medidas adicionales a
Cuando no son pertinentes las medidas técnicas, los puntos detallados en la columna de la derecha se pueden considerar en el cálculo completo.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 77 -
ISO 13849-1:2015
Anexo G (Informativo) Fallo sistemático
G.1 Generalidades La Norma ISO 13849-2 proporciona una lista completa de medidas que se deberían aplicar contra los fallos sistemáticos, tales como los principios de seguridad fundamentales y los de eficacia probada.
G.2 Medidas para controlar los fallos sistemáticos Se deberían aplicar las medidas siguientes: –
Utilizar la desenergización (véase la Norma ISO 13849-2).
Las partes del sistema de mando relativas a la seguridad (SRP/CS) se deberían diseñar de manera que sea posible alcanzar o mantener un estado de seguridad de la máquina en caso de pérdida de la alimentación de energía. –
Medidas para controlar los efectos de los cortes de tensión, variaciones de tensión, sobretensiones, caídas de tensión.
Se debería predeterminar el comportamiento de las SRP/CS en respuesta a los cortes de tensión, las variaciones de tensión, las sobretensiones y las caídas de tensión, de manera que las SRP/CS puedan obtener o mantener un estado de seguridad de la máquina (véase también la Norma IEC 60204-1 y A.8 de la Norma IEC 6 1508-7:2000). –
Medidas para controlar o evitar los efectos del medio ambiente físico (por ejemplo, la temperatura, la humedad, el agua, las vibraciones, el polvo, las sustancias corrosivas, las interferencias electromagnéticas y sus efectos).
Se debería predeterminar el comportamiento de las SRP/CS en respuesta a los efectos del medio ambiente físico, de manera que las SRP/CS puedan obtener o mantener un estado de seguridad de la máquina (véase también, por ejemplo, la Norma IEC 60529 y la Norma IEC 60204-1). –
Se debería utilizar el control de la secuencia del programa en el caso de las SRP/CS con soporte lógico, con el fin de detectar una secuencia de programa defectuosa.
Existe una secuencia de programa defectuosa si los elementos individuales de un programa (por ejemplo, módulos del soporte lógico, subprogramas u órdenes) se procesan siguiendo una secuencia errónea o durante un lapso de tiempo incorrecto o si el reloj del procesador está averiado (véase A.9 de la Norma IEC 61508-7:2001). –
Medidas para controlar los efectos de los errores y otros efectos que pueden resultar de cualquier proceso de comunicación de datos (véase 7.4.8 de la Norma IEC 61508-2:2000).
Además, se deberían aplicar una o varias de las medidas siguientes, teniendo en cuenta la complejidad de las SRP/CS y su PL: –
detección de fallos mediante ensayos automáticos;
–
ensayos mediante soporte material redundante;
–
diversidad del soporte material;
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 78 -
–
funcionamiento en modo positivo;
–
contactos unidos mecánicamente;
–
acción de apertura directa;
–
modo de fallo orientado;
–
sobre-dimensionamiento mediante un coeficiente apropiado, cuando el fabricante puede demostrar que la devaluación mejorará la fiabilidad – si el sobredimensionamiento es apropiado, se debería utilizar un coeficiente de sobredimensionamiento de 1,5 como mínimo.
Véase también el capítulo D.3 de la Norma ISO 13849-2:2012.
G.3 Requisitos para evitar los fallos sistemáticos Se deberían aplicar las medidas siguientes: –
Utilización de materiales apropiados y de fabricación adecuada. Selección del material, de los métodos de fabricación y de tratamiento, con respecto a, por ejemplo, las tensiones, la durabilidad, la elasticidad, el rozamiento, el desgaste, la corrosión, la temperatura, la conductividad y la rigidez dieléctrica.
–
Dimensionamiento y forma apropiados. Tener en cuenta, por ejemplo, las tensiones, la deformación, la fatiga, la temperatura, la rugosidad superficial, las tolerancias y la fabricación.
–
Selección, combinación, disposiciones, montaje e instalación correctos de los componentes, incluyendo el cableado, las conexiones y todas las interconexiones. Aplicar las normas apropiadas y las notas de aplicación del fabricante, por ejemplo, fichas de catálogos, instrucciones de instalación, especificaciones y utilización de buenas prácticas de ingeniería.
–
Compatibilidad. Utilizar componentes con características de funcionamiento compatibles. NOTA 1 Componentes tales como las válvulas hidráulicas y neumáticas pueden requerir la conmutación cíclica para evitar fallos por la no conmutación o por un aumento inaceptable de los tiempos de conmutación. En ese caso, es necesario proceder a los ensayos periódicos.
–
Resistencia a condiciones del medio ambiente específicas. Diseño de la SRP/CS de manera que pueda funcionar en todas las condiciones medioambientales previstas y en cualquier condición desfavorable previsibles, por ejemplo, temperatura, humedad, vibraciones e interferencias electromagnéticas (EMI) (véase el capítulo D.2 de la Norma ISO 13849-2:2012).
–
Utilización de componentes diseñados conforme a una norma apropiada y cuyos modos de fallo estén bien definidos. Reducción del riesgo de defectos no detectados, mediante la utilización de componentes que tengan características específicas (véase B.3.3 de la Norma IEC 61508-7:2000).
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 79 -
ISO 13849-1:2015
Además, se deberían aplicar una o varias de las medidas siguientes, teniendo en cuenta la complejidad de las SRP/CS y su PL: –
Revisión del diseño del soporte material (por ejemplo mediante inspección o por análisis de recorridos). Para revelar mediante revisiones y análisis las discrepancias entre la especificación y la implementación (véanse los apartados B.3.7 y B.3.8 de la Norma IEC 61508-7:2000).
–
Herramientas de diseño asistidas por ordenador capaces de realizar simulaciones o análisis. Realizar el procedimiento de diseño de manera sistemática, incluyendo elementos de construcción automáticos apropiados que estén ya disponibles y verificados (véase B.3.5 de la Norma IEC 61508-7:2000).
–
Simulación. Realizar una inspección sistemática y completa del diseño de una SRP/CS, en términos tanto de prestaciones funcionales, como de dimensionamiento correcto de los componentes (véase B.3.6 de la Norma IEC 61508-7:2000).
NOTA 2 El anexo F de la Norma IEC 61508-2:2010 especifica las técnicas y medidas para evitar fallos sistemáticos durante el diseño y el desarrollo de los circuitos integrados de aplicación específica (ASICs), los arrays de puertas programables en campo (FPGAs), los dispositivos lógicos programables, etc.
G.4 Medidas para evitar los fallos sistemáticos durante la integración de una SRP/CS Al integrar una SRP/CS se deberían aplicar las medidas siguientes: –
ensayos funcionales;
–
gestión de proyecto;
–
documentación.
Además, se debería aplicar el ensayo de “caja negra”, en función de la compleji dad de la SRP/CS y de su PL.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 80 -
Anexo H (Informativo) Ejemplo de combinación de varias partes del sistema de mando relativas a la seguridad (SRP/CS)
La figura H.1 es una representación esquemática de las partes relativas a la seguridad que realizan una de las funciones de mando de un accionador de máquina. No se trata de un diagrama funcional o de ejecución y está destinado únicamente a demostrar el principio de combinación de categorías y tecnologías en dicha función particular. El mando se asegura mediante una lógica de mando electrónica y una válvula direccional hidráulica. El riesgo se ha reducido mediante una AOPD que detecta el acceso a la zona peligrosa e impide la puesta en marcha del accionador fluídico mientras el haz luminoso está interrupción. Las partes relativas a la seguridad que realizan la función de seguridad son: el AOPD, la lógica de mando electrónica, la válvula direccional hidráulica y los medios de interconexión. Estas partes relativas a la seguridad combinadas proporcionan una función de parada como función de seguridad. Cuando el AOPD se interrumpe, sus salidas transmiten una señal a la lógica de mando electrónica que a su vez envía una señal a la válvula direccional hidráulica para detener el flujo hidráulico a la salida de la SRP/CS. En la máquina, esto detiene el movimiento peligroso del accionador. Esta combinación de partes relativas a la seguridad realiza una función de seguridad e ilustra la combinación de diferentes categorías y tecnologías de acuerdo con los requisitos dados en el capítulo 6. Utilizando los principios dados en esta parte de la Norma ISO 13849, las partes relativas a la seguridad mostradas en la figura H.2 se pueden describir como sigue: –
Categoría 2, PL = c para el dispositivo de protección electrosensible (barrera luminosa). Para reducir la probabilidad de defectos, este dispositivo utiliza los principios de seguridad de eficacia probada;
–
Categoría 3, PL = d para la lógica de mando electrónico. Para aumentar el nivel de prestaciones de seguridad de esta lógica de mando electrónica, la estructura de esta SRP/CS es redundante e implementa varias medidas de detección de defectos, de manera que puede detectar la mayoría de los defectos;
–
Categoría 1, PL = c para la válvula direccional hidráulica. El que sea calificado de eficacia probada depende esencialmente de la aplicación. En este ejemplo, la válvula se considera de eficacia probada. Para reducir la probabilidad de defectos, este dispositivo posee componentes de eficacia probada aplicados utilizando los principios de seguridad de eficacia probada y teniendo en cuenta todas las condiciones de la aplicación (véase el apartado 6.2.4).
NOTA 1 La posición, dimensiones y distribución de los medios de interconexión, también se deben tener en cuenta.
Esta combinación conduce, con PL low = c y N low = 2, a un nivel de prestaciones global de PL = c (véase 6.3). NOTA 2 En el caso de un defecto en las partes de categoría 1 o de categoría 2 de la figura H.2, puede producirse una pérdida de la función de seguridad.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 81 -
ISO 13849-1:2015
Leyenda AOPD Dispositivo de protección opto-electrónico activo (por ejemplo, barrera luminosa), SRP/CSa: Categoría 2 [Tipo 2], PL = c E Lógica de mando electrónica, SRP/CS b: Categoría 3, PL = d F Fluídica, SRP/CSc: Categoría 1, PL = c Fa Accionador fluídico H Movimiento peligroso
Figura H.1 – Ejemplo. Diagrama de bloques para explicitar la combinación de SRP/CS
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
Leyenda AOPD E F I, I1, I2 L, L1, L2 O, O1, O2, OTE TE
- 82 -
Dispositivo de protección opto-electrónico activo (por ejemplo, barrera luminosa) Lógica de mando electrónica Fluídica Dispositivos de entrada, por ejemplo detector Lógicas Dispositivos de salida, por ejemplo contactor principal Equipo de ensayo
Figura H.2 – Sustitución de la figura H.1 por arquitecturas tipo
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 83 -
ISO 13849-1:2015
Anexo I (Informativo) Ejemplos
I.1 Generalidades El anexo I proporciona ejemplos de utilización de los métodos presentados en los anexos precedentes para identificar las funciones de seguridad y determinar el PL. Se detalla la cuantificación de dos circuitos de mando. Para ver el procedimiento paso a paso, véase la figura 3. Se examinan dos ejemplos (A y B) de circuitos de mando para diferentes máquinas, representados respectivamente en las figuras I.1 e I.3. Ambos ejemplos ilustran las prestaciones de la función de seguridad del enclavamiento de un resguardo, pero tienen diferente PL r por tratarse de distintas aplicaciones. El primer ejemplo consta de un solo canal de componentes electromecánicos con valores de MTTF D medios y altos, mientras que el segundo ejemplo está formado por dos canales – uno electromecánico y el otro electrónico programable – de componentes con valores de MTTF D medios y altos, y con ensayos de diagnóstico apropiados.
I.2 Función de seguridad y nivel de prestaciones requerido (PL r) Para ambos ejemplos, los requisitos de la función de seguridad asociada al dispositivo de enclavamiento del resguardo se pueden especificar de la siguiente manera. El movimiento peligroso se detiene (por deceleración o desactivación de energía del motor eléctrico) cuando el resguardo con enclavamiento se abre. NOTA Para el ejemplo B, la evaluación de riesgos determinó que una pérdida de la deceleración controlada del motor como resultado de un malfuncionamiento (SW2, CC o PLC) era aceptable.
La mínima distancia entre el resguardo con enclavamiento y las partes móviles de la máquina se determinó de acuerdo con la Norma ISO 13855, en base a las prestaciones de parada de la máquina. Para el ejemplo A, de acuerdo con el método del gráfico del riesgo (véase la figura A.1), los parámetros del riesgo son los siguientes: –
gravedad de la lesión, S = S2, grave;
–
frecuencia y/o duración de la exposición al peligro, F = F1, raro a bastante frecuente y/o corta duración de exposición;
–
posibilidad de evitar el peligro o de limitar el daño, P = P1, posible en determinadas condiciones.
Esta selección de los parámetros del riesgo conduce a un nivel de prestaciones requerido PL r de “c”. Determinación de la categoría preferente: un nivel de prestaciones “c” g eneralmente
se puede obtener con sistemas de un solo canal muy fiables (categoría 1), sistemas de un solo canal con comprobación (categoría 2) o con arquitecturas redundantes (categoría 3) (véanse la figura 5 y el capítulo 6). Para el ejemplo B, los parámetros del riesgo S2 y P1 son los mismos, pero la frecuencia y/o duración de la exposición al peligro son F = F2, frecuente a continuo y/o larga duración de la exposición. Estas decisiones conducen a un nivel de prestaciones requerido PL r de “d”.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 84 -
Determinación de la categoría preferente: un nivel de prestaciones “d” generalmente se puede obtener con arquitecturas redundantes (categorías 2 o 3) (véase la figura 5 y el capítulo 6).
I.3 Ejemplo A, sistema de un solo canal I.3.1 Identificación de las partes relativas a la seguridad En la figura I.1 se representan todos los componentes que contribuyen a la función de seguridad enclavamiento del resguardo. Por simplicidad no se representan los componentes que no contribuyen a la función de seguridad (por ejemplo, los interruptores de puesta en marcha y de parada).
Leyenda o c M K1A SW1A
Resguardo abierto Resguardo cerrado Motor Relé contactor Interruptor de posición (NC) Apertura directa
Figura I.1 – Circuito de mando A para realizar la función de seguridad En este ejemplo, un interruptor de posición SW1A con apertura forzada se utiliza en modo positivo, pero no se ha justificado ninguna exclusión de defectos para las piezas mecánicas. El interruptor de posición está conectado a un r elé contactor K1A, que es capaz de desconectar la alimentación de energía del motor. Las características esenciales de estas partes relativas a la seguridad son por lo tanto las siguientes: –
un canal de componentes electromecánicos;
–
el interruptor de posición SW1A (NC) tiene un contacto con acción mecánica positiva y presenta un B10D elevado;
–
el relé contactor K1A tiene un B10D elevado.
El interruptor de posición y el relé contactor de este ejemplo son componentes de eficacia probada, cuando se implementan de acuerdo con la Norma ISO 13849-2.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 85 -
ISO 13849-1:2015
Las partes relativas a la seguridad se pueden ilustrar con un diagrama de bloques relativo a la seguridad, tal como el representado en la figura I.2.
Leyenda K1A Relé contactor SW1A Interruptor de posición
Figura I.2 – Diagrama de bloques relativo a la seguridad identificando las partes relativas a la seguridad del ejemplo A I.3.2 Cuantificación del MTTFD, de la DC avg, de las medidas contra CCF, de la categoría y del PL Se supone que los valores del MTTF D, de la DC avg y de las medidas contra CCF se estiman conforme a los anexos C, D, E y F, o los da el fabricante. Las categorías se estiman de acuerdo con el apartado 6.2. –
MTTFD El interruptor de posición SW1A y el relé contactor K1A contribuyen al MTTF D del único canal. Se supone que el fabricante proporciona los valores de B10D SW1A = 20 000 000 ciclos (interruptor de posición independiente de la carga) y B10D K1A = 400 000 (relé contactor con carga máxima). Aplicando el método del apartado C.4.2 con 220 días de trabajo por año, 8 h de trabajo por día y una duración de ciclo de 60 min, resulta un MTTF D SW1A = 113 636 años y un MTTFD K1A = 2 273 años. A continuación utilizando el método de recuento de partes del capítulo D.1 el MTTFD del único canal se calcula como: 1 MTTFD
1 MTTFD,SW1A
1 MTTFD,K1A
1 113 636 años
1 2 273 años
0,000 45 años
(I.1)
de donde se obtiene un MTTF D = 2 222 años (limitado a 100 años) para el canal, lo cual es “alto” conforme a la tabla 5 del apartado 4.5.2. NOTA Si no se dispone de información del B10D para SW1A o K1A, se podría tomar por hipótesis el caso más desfavorable de acuerdo con el capítulo C.2o C.4.
–
T10D El método del apartado C.4.2 da un T 10D,SW1A = 11 364 años y un T 10D,K1A = 227años, estos dos resultados sobrepasan la duración de la misión de 20 años y eliminan por tanto la necesidad de un reemplazamiento preventivo.
–
DC Puesto que en el circuito de mando A no se realiza ninguna ensayo de diagnóstico, la DC = 0 o “nula”, de acuerdo
con la tabla 6, del apartado 4.5.3. –
CCF Como solo se utiliza un canal, las medidas contra CCF no son pertinentes.
–
Categoría Las características de la categoría 1 (principios de seguridad fundamentales y de eficacia probada, componentes de eficacia probada) se cumplen, incluido el requisito de que el MTTF D del canal debe ser “alto”.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 86 -
Los datos de entrada para la figura 5 son: MTTF D del canal “alto” (100 años), DC avg “nula” y categoría 1. Entrando en la figura 5, esto se puede interpretar como un nivel de prestaciones “c”.
Aplicando el anexo K se obtiene una probabilidad media de fallo peligroso por hora (PFH D) de 1,14 10-6/h y un PL “c”. Este resultado corresponde al nivel de prestaciones requerido “c” según el capítulo I.2. Por tanto, el circuito de mando
A satisface los requisitos de reducción de riesgo del ejemplo de aplicación A propuesto en el capítulo I.2, con S2, F1, P1 y PLr “c”.
I.4 Ejemplo B, sistema redundante I.4.1 Identificación de las partes relativas a la seguridad En la figura I.3 se representan todos los componentes que contribuyen a la función de seguridad enclavamiento del resguardo. Por simplicidad no se representan los componentes que no contribuyen a la función de seguridad (por ejemplo, los interruptores de puesta en marcha y de parada o la temporización de K1B).
Leyenda PLC Autómata programable CC Convertidor de corriente M Motor RS Detector de rotación o Resguardo abierto c Resguardo cerrado
Ca Es K1B SW1B SW2
Señal de parada Habilitación (estándar) Relé contactor Interruptor de posición (NC) Interruptor de posición (NO) Apertura directa
Figura I.3 – Circuito de mando B para realizar la función de seguridad
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 87 -
ISO 13849-1:2015
En este segundo ejemplo, se utiliza una arquitectura de dos canales para proporcionar la redundancia. Como en el ejemplo A, el primer canal incluye un interruptor de posición SW1B de apertura forzada utilizado en modo positivo. Este interruptor de posición está conectado a un relé contactor K1B, que es capaz de desconectar la alimentación de energía del motor. En el segundo canal, que incluye componentes electrónicos (programables), un segundo interruptor de posición SW2 está conectado a un autómata programable PLC que puede ordenar al convertidor de corriente CC desconectar la alimentación de energía del motor. Las características esenciales de estas partes relativas a la seguridad son por tanto las siguientes: –
canales redundantes, uno electromecánico y el otro electrónico programable;
–
solo el interruptor de posición SW1B (NC) está provisto de contactos de acción mecánica positiva, pero ambos interruptores de posición SW1B y el SW2 tienen un B 10D elevado;
–
el relé contactor K1B tiene un MTTF D “alto”;
–
los componentes electrónicos PLC y CC tienen un MTTF D “medio”.
–
el soporte lógico de aplicación relativo a la seguridad del PLC (SRASW), por ejemplo la parte del soporte lógico relativo al control de las señales de entrada SW2, K1B, RS y de las órdenes de salida para el convertidor de corriente, se especifica, diseña y verifica de acuerdo con el apartado 4.6.3 para un PL r “d”.
Las partes relativas a la seguridad y su división en canales se puede ilustrar en un diagrama de bloques relativo a la seguridad, tal como el representado en la figura I.4. El primer canal por tanto consta de SW1B y K1B y el segundo canal consta de SW2, PLC y CC, mientras RS solo se utiliza para ensayar el convertidor de corriente.
Leyenda SW1B K1B SW2 PLC CC RS
Interruptor de posición Relé contactor Interruptor de posición Autómata programable Convertidor de corriente Detector de rotación
Figura I.4 – Diagrama de bloques identificando la partes relativas a la seguridad del ejemplo B
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 88 -
I.4.2 Cuantificación del MTTFD, de la DC avg, de las medidas contra CCF, de la categoría y del PL Se supone que los valores del MTTF D para cada canal, de la DC avg y de las medidas contra fallos de causa común se estiman conforme a los anexos C, D, E y F, o los da el fabricante. Las categorías se determinan de acuerdo con el apartado 6.2. El interruptor de posición SW1B es de apertura forzada y se utiliza en modo positivo, pero no se ha justificado ninguna exclusión de defectos para las piezas mecánicas. –
MTTFD El relé contactor K1B contribuye al MTTF D, C1 del primer canal. Se supone que el fabricante proporciona los valores de B10D, SW1B = 20 000 000 ciclos (interruptor de posición independiente de la carga) y B 10D, K1B = 400 000 ciclos (relé contactor con máxima carga). Aplicando el método del apartado C.4.2 con 300 días de trabajo por año, 16 horas de trabajo por día y una duración de ciclo de 4 minutos, resulta un MTTF D, SW1B = 2 778 años y un MTTF D, K1B = 56 años. A continuación utilizando el método de recuento de partes del capítulo D.1, el MTTF D, C1 del primer canal se calcula como: 1 MTTFD, C1
1 MTTFD,SW1B
1 MTTFD,K1B
1 2 778 años
1 56 años
0,0182
(I.2)
años
de donde se obtiene un MTTF D, C1 = 55 años para el canal , , lo cual es “alto” conforme a la tabla 5 del apartado 4.5.2. En el segundo canal SW2, PLC y CC contribuyen al MTTF D, C2. Se supone que el fabricante proporciona el B10D,SW2 = 1 000 000 ciclos. Aplicando el método del apartado C.4.2 como para el primer canal resulta un MTTFD,SW2 = 139 años. Se supone que el fabricante proporciona un MTTF D de 20 años para el PLC y el CC. A continuación aplicando el método de recuento de partes del capítulo D.1 para calcular el MTTF D, C2 del segundo canal se obtiene: 1 MTTFD, C2
1 MTTFD,SW2
1 MTTFD,PLC
1 MTTFD,CC
1 139 años
1 20 años
1 20 años
0,0107 años
(I.3)
de donde se obtiene un MTTF D, C2 = 9,3 años para el canal, , lo cual es “bajo” conforme al apartado 4.5.2. NOTA Si no se dispone de información del MTTFD para SW1B, SW2 o K1B , se podría tomar por hipótesis el caso más desfavorable de acuerdo con el capítulo C.2o C.4.
Como ambos canales tiene valores de MTTF D diferentes, se puede utilizar la fórmula del capítulo D.2 para calcular los valores idénticos equivalentes de MTTF D para un sistema de dos canales simétrico. Aplicando esta fórmula se obtiene un MTTFD = 37 años para cada canal, lo cual es “alto” conforme a la tabla 5 del apartado 4.5.2. –
T10D El método del apartado C.4.2 da un T 10D,SW1B = 278 años, un T 10D,K1B = 5,5 años y un T 10D,SW2 = 13,9 años, siendo los dos últimos inferiores a la duración de la misión de 20 años. La estimación del PL y la PFH es por tanto válida solo si K1B se reemplaza antes de 5,5 años y si SW2 se reemplaza antes de 13,9 años de funcionamiento.
–
DC En el circuito de mando B, cinco de las partes relativas a la seguridad son ensayadas por el PLC: el ensayo consiste en la relectura de SW1B, SW2 y K1B, la relectura del CC via el RS por el PLC y los auto-tests que se hace el PLC a si mismo. Los valores de DC que corresponden a cada parte sometida a ensayo son:
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 89 -
ISO 13849-1:2015
1) DCSW1B = DC SW2 = 99%, “alta”, debido a las comprobaciones de verosimilitud, véase la tabla E.1 (segunda línea de la parte relativa a los dispositivos de entrada); 2) DCK1B = 99%, “alta”, debido a que los contactos normalmente abiertos y los normalmente cerrados están mecánicamente guiados, véase la tabla E.1 (segunda línea de la parte relativa a dispositivos de entrada); 3) DCPLC = 30%, “nula”, debido a la baja efectividad de los auto -tests (el fabricante del PLC ha facilitado este valor calculado por ejemplo mediante un AMFE), y 4) DCCC = 90%, “media”, debido al control indirecto del accionador por la lógica de mando, véase la tabla E.1 (sexta línea de la parte relativa a dispositivos de salida). Si el PLC detecta un fallo del CC, es capaz de detener el movimiento con la habilitación (estándar) y de des-energizar el relé contactor K1B (vía de corte adicional). Para estimar el PL, es necesario un valor medio de DC (DC avg) como dato de entrada de la figura 5. DCSW1B DCavg
MTTFD,SW1B 1 MTTFD,SW1B
0, 99 2 778 años 1
0, 99 56 años 1
DCK1B MTTFD,K1B 1 MTTFD,K1B 0, 99 139 años 1
DCSW2 MTTFD,SW2 1 MTTFD,SW2
0, 3 20 años 1
DC PLC MTTFD,PLC 1 MTTFD,PLC
DC CC MTTFD,CC 1
MTTFD,CC
(I.4)
0, 9
20 años 0,99 67,9% 1 0,13 2 778 años 56 años 139 años 20 años 20 años
DCavg resultante es, por lo tanto, “baja” de acuerdo con el apartado 4.5.3 y la tabla 6. –
CCF Para la estimación de las medidas contra los CCF de acuerdo con el capítulo F.2, las puntuaciones asociadas al circuito de mando B se indican en la tabla I.1.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 90 -
Tabla I.1 – Estimación de las medidas contra los CCF para el ejemplo B Nº
Concepto
Puntuación para el circuito de mando
Puntuación máxima posible
15
15
20
20
15
15
Ninguno (solo se cumple parcialmente véase F.2
5
Ninguno
5
Nula
5
Para sistemas eléctricos/electrónicos, prevención de la contaminación y de las perturbaciones electromagnéticas 6.1 (CEM) para proteger contra los fallos de causa común de conformidad con las normas pertinentes (por ejemplo, la Norma IEC 61326-3-1).
25
25
Otras influencias Consideración de los requisitos relativos a la inmunidad contra 6.2 todas la influencias ambientales pertinentes, tales como, la temperatura, los choques, las vibraciones, la humedad (por ejemplo, tal como se especifica en las normas pertinentes).
10
10
85
Máx. 100
1 Separación/Aislamiento Separación física entre las vías de las señales.
2 Diversidad Utilizar diferentes tecnologías/principios de diseño o principios físicos.
3 Diseño/aplicación/experiencia 3.1 3.2
Protección contra sobretensión, sobrepresión, sobreintensidad, sobretemperatura, etc. Utilización de componentes de eficacia probada.
4 Evaluación/Análisis Para cada parte de las partes relativas a la seguridad del sistema de mando se ha llevado a cabo un análisis de los modos de fallo y sus efectos y sus resultados se han tenido en cuenta con el fin de evitar los fallos de causa común en el diseño.
5 Competencia/formación Formación de los diseñadores para entender las causas y consecuencias de los fallos de causa común.
6 Medio ambiente
Total
La puntuación mínima requerida para que las medidas contra los CCF sean suficientes es de 65, Por tanto, en el ejemplo B, la puntuación de 85 es suficiente para satisfacer los requisitos contra los CCF. Las características de la categoría 3 se cumplen ya que un solo defecto en cualquiera de estas partes no conduce a la pérdida de la función de seguridad, siempre que sea razonablemente factible un solo defecto se detecta cuando se solicita la función de seguridad o antes de la siguiente solicitación de dicha función, la cobertura del diagnóstico (DC avg) está comprendida entre 60% y 90%, las medidas contra los CCF son suficientes y el MTTF D equivalente para cada canal es “alto”.
Los datos de entrada para la figura 5 son: MTTF D “alto” para el canal (37 años), DC avg, “baja” y categoría 3.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 91 -
ISO 13849-1:2015
Utilizando la figura 5 esto se puede interpretar como un nivel de prestaciones “d”.
Aplicando el anexo K (utilizar 36 años) se obtiene una probabilidad media de fallo peligroso por hora (PFH D) de 5,16 10-7 /h y un PL “d”. Este resultado corresponde al nivel de prestaciones requerido “d” según I.2. El circuito de mando B satisface por tanto los requisitos de reducción del riesgo del ejemplo de aplicación B dado en el capítulo I.2, con S2, F2, P1 y un PL r “d”.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 92 -
Anexo J (Informativo) Soporte lógico
J.1 Descripción del ejemplo En el anexo J, se exponen las actividades típicas para realizar el SRESW de una SRP/CS, de PL r = d. La SRP/CS está interconectada con el equipo de la máquina. Garantiza: –
la adquisición de la información enviada por los diferentes detectores;
–
el tratamiento requerido para hacer funcionar los elementos de mando, teniendo en cuenta los requisitos de seguridad, y
–
el mando de los accionadores.
El diseño del SRESW de esta aplicación a nivel de bloques de función se ha hecho tal como se representa en la figura J.1.
Figura J.1 – Ejemplo de diseño de un soporte lógico a nivel de bloques funcionales
J.2 Aplicación del modelo en V al ciclo de vida del soporte lógico de seguridad La tabla J.1 presenta un ejemplo de síntesis de las actividades y los documentos elaborados durante la aplicación del modelo en V al ciclo de vida del soporte lógico de seguridad del mando de una máquina.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 93 -
ISO 13849-1:2015
Tabla J.1 – Actividades y documentos relativos al ciclo de vida del soporte lógico de seguridad Actividad de desarrollo
Actividad de verificación
Aspecto máquina: Identificación de las Identificación de las funciones relativas a la seguridad involucradas en la SRP/CS
Documentación asociada
funciones “Especificación relativa a la seguridad, para el mando de la máquina”
Aspecto arquitectura:
Comentarios sobre las características “Definición de la arquitectura de Definición de la arquitectura de mando de seguridad de los componentes mando” seleccionados con detectores y accionadores Aspecto especificación del soporte Relectura de las descripciones (véase “Descripción del soporte lógico” lógico: J.3) Transcripción de las funciones de la máquina en funciones del soporte lógico Aspecto lógico:
arquitectura
del
soporte Definición de los bloques críticos “Modelización sujetos a un mayor esfuerzo de funcionales” Detallar las funciones en bloques análisis y validación funcionales
de
los
bloques
Aspecto codificación: Relectura del código fuente. “Inclusión de comentarios de la Codificación conforme a las reglas de Verificación de las funciones y de su codificación en el código fuente” conformidad con las reglas programación (véase J.4) “Fichas de relectura de la codificación”
Aspecto validación:
Verificación de la cobertura de los “Matriz de correspondencia” que relaciona las referencias de los Realización de los escenarios de ensayos ensayo: Verificación de los resultados de los apartados de la especificación con los ensayos correspondientes ensayos aspecto funcional de las funciones aspecto de comportamiento en caso de fallo
“Fichas de ensayo” que comprende los
escenarios de los ensayos y los comentarios sobre los resultados obtenidos
J.3 Verificación de la especificación del soporte lógico Como parte del ciclo de vida del soporte lógico de seguridad, la actividad de verificación al nivel de la especificación del soporte lógico consiste en leer las descripciones con el fin de verificar que todos los puntos delicados se han descrito adecuadamente. Al verificar cada una de las funciones, se deberían tener en cuenta los siguientes aspectos: –
limitar los casos de interpretación errónea de la especificación del sistema;
–
evitar lagunas en la especificación que dan como resultado un comportamiento a priori desconocido de la SRP/CS;
–
definir con precisión las condiciones para la activación y la desactivación de las funciones;
–
garantizar con precisión que se han tratado todos los casos posibles;
–
las comprobaciones de coherencia;
–
los diferentes casos de parametrización;
–
las reacciones como consecuencia de un fallo.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 94 -
J.4 Ejemplo de reglas de programación Para los CCF, en general, debería ser posible autentificar el programa mediante el autor, la fecha de carga, la versión y el último tipo de acceso. En lo que respecta a las reglas de programación, se pueden distinguir las reglas siguientes: a) Reglas de programación al nivel de la estructura del programa La programación se debería estructurar de manera que muestre una estructura general coherente y comprensible, que permita localizar fácilmente los diferentes procesos de tratamiento. Esto implica: 1) la utilización de formatos para un programa tipo o para bloques de función; 2) la partición del programa en segmentos con el fin de identificar las partes principales correspondientes a las “entradas”, “procesos de tratamiento” y “salidas”;
3) los comentarios en cada sección del programa en el código fuente para facilitar la puesta al día de los comentarios en caso de modificación; 4) la descripción del papel que tiene un bloque de función cuando se hace una llamada a dicho bloque; 5) que la ubicación de memoria se debería utilizar solamente por un único tipo de datos, identificándolos por una única etiqueta; y 6) que la secuencia de trabajo no debería depender de variables tales como direcciones de saltos calculados durante la ejecución del programa. Se autorizan los saltos condicionales. b) Reglas de programación relativas a la utilización de variables –
La activación o desactivación de cualquier salida se debería realizar una sola vez (condiciones centralizadas).
–
El programa debería estar estructurado de tal manera que las ecuaciones para la puesta al día de una variable estén centralizadas.
–
Cada variable global, entrada o salida, debería tener un nombre nemotécnico suficientemente explícito y estar descrita mediante un comentario en el programa fuente.
c) Reglas de programación al nivel de un bloque de función –
Utilizar preferentemente bloques funcionales que hayan sido validados por el suministrador de la SRP/CS, comprobando que las condiciones de utilización previstas para dichos bloques corresponden a las condiciones del programa. El tamaño del bloque codificado debería estar limitado a los valores aconsejados siguien tes: i) parámetros: máximo ocho digitales y dos entradas número entero, una salida; ii) código fuente de la función: máximo 10 variables locales, máximo 20 ecuaciones booleanas.
–
Los bloques de función no deberían modificar las variables globales.
–
Se debería controlar un valor digital con respecto a las cotas prefijadas con el fin de garantizar su dominio de validez.
–
Un bloque de función debería tratar de detectar las incoherencias de las variables a tratar.
–
El código de defectos de un bloque debería ser accesible para discriminar un defecto de los demás.
–
Se deberían describir los códigos de defectos y el estado del bloque después de la detección de un defecto mediante comentarios.
–
Se deberían describir el rearme del bloque o el restablecimiento de un estado normal mediante comentarios.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 95 -
ISO 13849-1:2015
Anexo K (Informativo) Representación numérica de la figura 5
Véase la tabla K.1.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Tabla K.1 – Representación numérica de la figura 5 MTTFD de cada canal años
Probabilidad media de un fallo peligroso por hora PFH D (1/h) y nivel de prestaciones correspondiente (PL) Cat. B
PL
DCavg = nula
Cat. 1
PL
DCavg = nula
Cat. 2
PL
DCavg = baja
Cat. 2
PL
DCavg = media
Cat. 3
PL
DCavg = baja
Cat. 3
PL
DCavg = media
Cat. 4
PL
DCavg = alta
3
3,80 10 – 5
a
2,58 10 – 5
a
1,99 10 – 5
a
1,26 10 – 5
a
6,09 10 – 6
b
3,3
3,46 10 – 5
a
2,33 10 – 5
a
1,79 10 – 5
a
1,13 10 – 5
a
5,41 10 – 6
b
3,6
3,17 10 – 5
a
2,13 10 – 5
a
1,62 10 – 5
a
1,03 10 – 5
a
4,86 10 – 6
b
3,9
2,93 10 – 5
a
1,95 10 – 5
a
1,48 10 – 5
a
9,37 10 – 6
b
4,40 10 – 6
b
4,3
2,65 10 – 5
a
1,76 10 – 5
a
1,33 10 – 5
a
8,39 10 – 6
b
3,89 10 – 6
b
4,7
2,43 10 – 5
a
1,60 10 – 5
a
1,20 10 – 5
a
7,58 10 – 6
b
3,48 10 – 6
b
5,1
2,24 10 – 5
a
1,47 10 – 5
a
1,10 10 – 5
a
6,91 10 – 6
b
3,15 10 – 6
b
5,6
2,04 10 – 5
a
1,33 10 – 5
a
9,87 10 – 6
b
6,21 10 – 6
b
2,80 10 – 6
c
6,2
1,84 10 – 5
a
1,19 10 – 5
a
8,80 10 – 6
b
5,53 10 – 6
b
2,47 10 – 6
c
6,8
1,68 10 – 5
a
1,08 10 – 5
a
7,93 10 – 6
b
4,98 10 – 6
b
2,20 10 – 6
c
7,5
1,52 10 – 5
a
9,75 10 – 6
b
7,10 10 – 6
b
4,45 10 – 6
b
1,95 10 – 6
c
8,2
1,39 10 – 5
a
8,87 10 – 6
b
6,43 10 – 6
b
4,02 10 – 6
b
1,74 10 – 6
c
9,1
1,25 10 – 5
a
7,94 10 – 6
b
5,71 10 – 6
b
3,57 10 – 6
b
1,53 10 – 6
c
10
1,14 10 – 5
a
7,18 10 – 6
b
5,14 10 – 6
b
3,21 10 – 6
b
1,36 10 – 6
c
11
1,04 10 – 5
a
6,44 10 – 6
b
4,53 10 – 6
b
2,81 10 – 6
c
1,18 10 – 6
c
12
9,51 10 – 6
b
5,84 10 – 6
b
4,04 10 – 6
b
2,49 10 – 6
c
1,04 10 – 6
c
13
8,78 10 – 6
b
5,33 10 – 6
b
3,64 10 – 6
b
2,23 10 – 6
c
9,21 10 – 7
d
15
7,61 10 – 6
b
4,53 10 – 6
b
3,01 10 – 6
b
1,82 10 – 6
c
7,44 10 – 7
d
16
7,13 10 – 6
b
4,21 10 – 6
b
2,77 10 – 6
c
1,67 10 – 6
c
6,76 10 – 7
d
18
6,34 10 – 6
b
3,68 10 – 6
b
2,37 10 – 6
c
1,41 10 – 6
c
5,67 10 – 7
d
20
5,71 10 – 6
b
3,26 10 – 6
b
2,06 10 – 6
c
1,22 10 – 6
c
4,85 10 – 7
d
22
5,19 10 – 6
b
2,93 10 – 6
c
1,82 10 – 6
c
1,07 10 – 6
c
4,21 10 – 7
d
24
4,76 10 – 6
b
2,65 10 – 6
c
1,62 10 – 6
c
9,47 10 – 7
d
3,70 10 – 7
d
27
4,23 10 – 6
b
2,32 10 – 6
c
1,39 10 – 6
c
8,04 10 – 7
d
3,10 10 – 7
d
9 6 -
30
3,80 10 – 6
b
2,06 10 – 6
c
1,21 10 – 6
c
6,94 10 – 7
d
2,65 10 – 7
d
9,54 10−8
e
33
3,46 10 – 6
b
1,85 10 – 6
c
1,06 10 – 6
c
5,94 10 – 7
d
2,30 10 – 7
d
8,57 10−8
e
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I S O 1 3 8 4 9 -1 : 2 0 1 5
MTTFD de cada canal años
Probabilidad media de un fallo peligroso por hora PFH D (1/h) y nivel de prestaciones correspondiente (PL) Cat. B DCavg = nula
PL
Cat. 1
PL
DCavg = nula
Cat. 2
PL
DCavg = baja
Cat. 2
PL
DCavg = media
Cat. 3
PL
DCavg = baja
Cat. 3
PL
DCavg = media
Cat. 4
PL
DCavg = alta
36
3,17 10 – 6
b
1,67 10 – 6
c
9,39 10 – 7
d
5,16 10 – 7
d
2,01 10 – 7
d
7,77 10−8
e
39
2,93 10 – 6
c
1,53 10 – 6
c
8,40 10 – 7
d
4,53 10 – 7
d
1,78 10 – 7
d
7,11 10−8
e
43
2,65 10 – 6
c
1,37 10 – 6
c
7,34 10 – 7
d
3,87 10 – 7
d
1,54 10 – 7
d
6,37 10−8
e
47
2,43 10 – 6
c
1,24 10 – 6
c
6,49 10 – 7
d
3,35 10 – 7
d
1,34 10 – 7
d
5,76 10−8
e
51
2,24 10 – 6
c
1,13 10 – 6
c
5,80 10 – 7
d
2,93 10 – 7
d
1,19 10 – 7
d
5,26 10−8
e
56
2,04 10 – 6
c
1,02 10 – 6
c
5,10 10 – 7
d
2,52 10 – 7
d
1,03 10 – 7
d
4,73 10−8
e
62
1,84 10 – 6
c
9,06 10 – 7
d
4,43 10 – 7
d
2,13 10 – 7
d
8,84 10 – 8
e
4,22 10−8
e
68
1,68 10 – 6
c
8,17 10 – 7
d
3,90 10 – 7
d
1,84 10 – 7
d
7,68 10 – 8
e
3,80 10−8
e
75
1,52 10 – 6
c
7,31 10 – 7
d
3,40 10 – 7
d
1,57 10 – 7
d
6,62 10 – 8
e
3,41 10−8
e
82
1,39 10 – 6
c
6,61 10 – 7
d
3,01 10 – 7
d
1,35 10 – 7
d
5,79 10 – 8
e
3,08 10−8
e
91
1,25 10 – 6
c
5,88 10 – 7
d
2,61 10 – 7
d
1,14 10 – 7
d
4,94 10 – 8
e
2,74 10−8
e
100
1,14 10 – 6
c
5,28 10 – 7
d
2,29 10 – 7
d
1,01 10 – 7
d
4,29 10 – 8
e
2,47 10−8
e
110
2,23 10−8
e
120
2,03 10−8
e
130
1,87 10−8
e
150
1,61 10−8
e
160
1,50 10−8
e
180
1,33 10−8
e
200
1,19 10−8
e
220
1,08 10−8
e
240
9,81 10−9
e
270
8,67 10−9
e
300
7,76 10−9
e
330
7,04 10−9
e
360
6,44 10−9
e
390
5,94 10−9
e
430
5,38 10−9
e
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
9 7 -
I S O 1 3 8 4 9 1 : 2 0 1 5
MTTFD de cada canal años
Probabilidad media de un fallo peligroso por hora PFH D (1/h) y nivel de prestaciones correspondiente (PL) Cat. B DCavg = nula
PL
Cat. 1
PL
DCavg = nula
Cat. 2 DCavg = baja
PL
Cat. 2 DCavg = media
PL
Cat. 3
PL
DCavg = baja
Cat. 3 DCavg = media
PL
Cat. 4
PL
DCavg = alta
470
4,91 10−9
e
510
4,52 10−9
e
560
4,11 10−9
e
620
3,70 10−9
e
680
3,37 10−9
e
750
3,05 10−9
e
820
2,79 10−9
e
910
2,51 10−9
e
1 000
2,28 10−9
e
1 100
2,07 10−9
e
1 200
1,90 10−9
e
1 300
1,75 10−9
e
1 500
1,51 10−9
e
1 600
1,42 10−9
e
1 800
1,26 10−9
e
2 000
1,13 10−9
e
2 200
1,03 10−9
e
2 300
9,85 10−10
e
2 400
9,44 10−10
e
2 500
9,06 10−10
e
NOTA 1 Si para la categoría 2 la tasa de solicitación 1/25 de la tasa de verificación (véase 4.5.4), entonces se pueden utilizar los valores de PFHD establecidos en la tabla K.1 para la categoría 2 multiplicados por un factor 1,1, como una estimación del caso más desfavorable. NOTA 2 Los cálculos de los valores de PFHD se basaron en las siguientes DCavg: – DCavg = baja, calculada con el 60% – DCavg = media, calculada con el 90% – DCavg = alta, calculada con el 99%
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
I S O 1 3 8 4 9 -1 : 2 0 1 5
9 8 -
- 99 -
ISO 13849-1:2015
Bibliografía Publicaciones sobre sistemas electrónicos programables [1]
IEC 61000-4-4, Electromagnetic compatibility (EMC). Part 4: Testing and measurement techniques. Section 4: Electrical fast transient/burst immunity test.
[2]
IEC 61496-1, Safety of machinery. Electro-sensitive protective equipment. Part 1: General requirements and tests.
[3]
IEC 61496-2, Safety of machinery. Electro-sensitive protective equipment. Part 2: Particular requirements for equipment using active opto-electronic protective devices.
[4]
IEC 61496-3, Safety of machinery. Electro-sensitive protective equipment. Part 3: Particular requirements for active opto-electronic protective devices responsive to diffuse reflection (AOPDDR).
[5]
IEC 61508-1:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems. Part 1: General requirements.
[6]
IEC 61508-2:2000, Functional safety of electrical/electronic/programmable electronic safety-related systems. Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems.
[7]
IEC 61508-5:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems. Part 5: Examples of methods for the determination of safety integrity levels.
[8]
IEC 61508-6:2000, Functional safety of electrical/electronic/programmable electronic safety-related systems. Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3.
[9]
IEC 61508-7:2000, Functional safety of electrical/electronic/programmable electronic safety-related systems. Part 7: Overview of techniques and measures.
[10]
GUIDELINES HSE, Programmable Electronic Systems in Safety-related Applications, Parts 1 (ISBN 0 11 883906 6) and 2 (ISBN 0 11 883906 3).
[11]
CECR-184, Personal Safety in Microprocessor Control Systems (Elektronikcentralen, Denmark).
Otras publicaciones [12]
ISO 13850, Safety of machinery. Emergency stop. Principles for design.
[13]
ISO 13851, Safety of machinery. Two-hand control devices. Functional aspects and design principles.
[14]
ISO 13856-1, Safety of machinery. Pressure-sensitive protective devices. Part 1: General principles for design and testing of pressure-sensitive mats and pressure-sensitive floors.
[15]
ISO 13856-2, Safety of machinery. Pressure-sensitive protective devices. Part 2: General principles for design and testing of pressure-sensitive edges and pressure-sensitive bars.
[16]
ISO 11428, Ergonomics. Visual danger signals. General requirements, design and testing.
[17]
ISO 9001, Quality management systems. Requirements.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
ISO 13849-1:2015
- 100 -
[18]
ISO 9355-1, Ergonomic requirements for the design of displays and control actuators. Part 1: Human interactions with displays and control actuators.
[19]
ISO 9355-2, Ergonomic requirements for the design of displays and control actuators. Part 2: Displays.
[20]
ISO 9355-3, Ergonomic requirements for the design of displays and control actuators. Part 3: Control actuators.
[21]
ISO 11429, Ergonomics. System of auditory and visual danger and information signals.
[22]
ISO 7731, Ergonomics. Danger signals for public and work areas. Auditory danger signals.
[23]
ISO 4413, Hydraulic fluid power. General rules and safety requirements for systems and their components.
[24]
ISO 4414, Pneumatic fluid power. General rules and safety requirements for systems and their components.
[25]
ISO 13855:2010, Safety of machinery. Positioning of protective equipment with respect to the approach speeds of parts of the human body.
[26]
ISO 14118, Safety of machinery. Prevention of unexpected start-up.
[27]
ISO 19973 (all parts), Pneumatic fluid power. Assessment of component reliability by testing.
[28]
IEC 60204-1:2005, Safety of machinery. Electrical equipment of machines. Part 1: General requirements.
[29]
IEC 60447, Basic and safety principles for man-machine interface (MMI). Actuating principles.
[30]
IEC 60529, Degrees of protection provided by enclosures (IP code).
[31]
IEC 60812, Analysis techniques for system reliability. Procedure for failure mode and effects analysis (FMEA).
[32]
IEC 60947 (all parts), Low-voltage switchgear and controlgear.
[33]
IEC 61000-6-2, Electromagnetic compatibility (EMC). Part 6-2: Generic standards. Immunity for industrial environments.
[34]
IEC 61800-3, Adjustable speed electrical power drive systems. Part 3: EMC requirements and specific test methods.
[35]
IEC 61810 (all parts), Electromagnetic elementary relays.
[36]
IEC 61300 (all parts), Fibre optic interconnecting devices and passive components. Basic test and measurement procedures.
[37]
IEC 61310 (all parts), Safety of machinery. Indication, marking and actuation.
[38]
IEC 61131-3, Programmable controllers. Part 3: Programming languages.
[39]
EN 457, Safety of machinery. Auditory danger signals. General requirements, design and testing.
[40]
EN 614-1, Safety of machinery. Ergonomic design principles. Part 1: Terminology and general principles.
[41]
EN 982, Safety of machinery. Safety requirements for fluid power systems and their components. Hydraulic.
[42]
EN 983, Safety of machinery. Safety requirements for fluid power systems and their components. Pneumatic.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
- 101 -
ISO 13849-1:2015
[43]
EN 1005-3, Safety of machinery. Human physical performance. Part 3: Recommended force limits for machinery operation.
[44]
EN 1088, Safety of machinery. Interlocking devices associated with guards. Principles for design and selection.
[45]
EN 50205, Relays with forcibly guided (mechanically linked) contacts.
[46]
SN 29500 (all parts), Failure rates of components.
[47]
GOBLE W.M. Control systems. Evaluation and Rehability. 2nd Edition. Instrument Society of America (ISA), North Carolina, 1998.
[48]
BGIA-Report 2/2008e, Functional safety of machine controls – Application of ISO 13849, German Social Accident Insurance (DGUV), June 2009, ISBN 978-3-88383-793-2, free download in the Internet: www.dguv.de/ifa/13849e
Bases de datos [49]
SN 29500, Failure rates of components, Edition 1999-11, Siemens AG 1999.
[50]
IEC/TR 62380, Reliability data handbook. Universal model for reliability prediction of electronics components, PCBs and equipment. 4)
[51]
Reliability Prediction of Electronic Equipment, MIL-HDBK-217E. Department of Defense, Washington, DC, 1982.
[52] Reliability Prediction Procedure for Electronic Equipment , Telcordia SR-332, Issue 01, May 2001 (telecominfo.telcordia.com), Bellcore TR-332, Issue 06. [53] EPRD, Electronic Parts Reliability Data (RAC-STD-6100), Reliability Analysis Centre, 201 Mill Street, Rome, NY 13440. [54]
NPRD-95. Non-electronic Parts Reliability Data (RAC-STD-6200), Reliability Analysis Centre, 201 Mill Street, Rome, NY 13440.
[55] British Handbook for Reliability Data for Components used in Telecommunication Systems, British Telecom (HRD5, last issue). [56]
Chinese Military Standard, GJB/z 299B.
4) Idéntica a RDF 2000/ Reliability Data Handbook , UTE C 80-180, Union Technique de l'Electricité et de la Communication.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
EN ISO 13849-1:2015
- 102 -
Anexo ZA (Informativo) Relación entre esta norma europea y los requisitos esenciales de la Directiva 2006/42/CE Esta norma europea ha sido elaborada bajo un Mandato dirigido a CEN por la Comisión Europea y por la Asociación Europea de Libre Comercio, para proporcionar un medio de dar cumplimiento a los requisitos esenciales de la Directiva 2006/42/CE. Una vez que esta norma se cite en el Diario Oficial de la Unión Europea bajo esta directiva, y se implemente como norma nacional en al menos un Estado Miembro, el cumplimiento de los capítulos de esta norma, dentro de los límites del campo de aplicación de esta norma, es un medio para dar presunción de conformidad con los requisitos esenciales 1.2.1 del anexo I de esta directiva y los reglamentos de la AELC asociados.
ADVERTENCIA: Los productos incluidos en el campo de aplicación de esta norma pueden estar afectados por otros requisitos o directivas de la UE.
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por GREMIO DE CERRAJEROS el 6 de Octubre de 2016. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
