ISO 13849-1_2016 Principios Para Diseño de Partes de Sist.de Mando

(1)

española

Septiembre 2016

TÍTULO

Seguridad de las máquinas

Partes de los sistemas de mando relativas a la seguridad

Parte 1: Principios generales para el diseño

(ISO 13849-1:2015)

Safety of machinery. Safety-related parts of control systems. Part 1: General principles for design. Safety of machinery. Safety-related parts of control systems. Part 1: General principles for design. (ISO

(ISO 13849-1:20113849-1:2015).5).

Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de conce

généraux de conception. (ISO 13849-1:2ption. (ISO 13849-1:2015).015).

CORRESPONDENCIA

Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 13849-1:2015,Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 13849-1:2015, que a su vez adopta la

que a su vez adopta la Norma Internacional ISO 13849-1:2015.Norma Internacional ISO 13849-1:2015.

OBSERVACIONES

Esta norma anula y sustituye a las Normas UNE-EN ISO 13849-1:2008 yEsta norma anula y sustituye a las Normas UNE-EN ISO 13849-1:2008 y UNE-EN ISO 13849-1:2008/AC:2009.

UNE-EN ISO 13849-1:2008/AC:2009.

ANTECEDENTES

Esta norma ha sido elaborada por el comité técnico AEN/CTN 81Esta norma ha sido elaborada por el comité técnico AEN/CTN 81 Prevención y medios Prevención y medios de protección personal y colectiva en el trabajo

de protección personal y colectiva en el trabajo cuya Secretaría desempeña INSHT.cuya Secretaría desempeña INSHT.

Editada e impresa por AENOR

(2)

(3)

(4)

ICS

ICS 13.110 13.110 Sustituye Sustituye a a EN EN ISO ISO 13849-1:200813849-1:2008

Versión en español Versión en español

Seguridad de las máquinas

Partes de los sistemas de mando relativas a la seguridad

Parte 1: Principios generales para el diseño

(ISO 13849-1:2015)

Safety of machinery. Safety-related parts Safety of machinery. Safety-related parts of control systems. Part 1: General of control systems. Part 1: General

rinciples for design.

rinciples for design. (ISO 13849-1:2015).(ISO 13849-1:2015).

Sécurité des machines. Parties des Sécurité des machines. Parties des systèmes de commande relatives à la systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de sécurité. Partie 1: Principes généraux de conception. (ISO

conception. (ISO 13849-1:20113849-1:2015).5).

Sicherheit von Maschinen. Sicherheit von Maschinen. Sicherheitsbezogene Teile von Sicherheitsbezogene Teile von Steuerungen. Teil 1: Allgemeine Steuerungen. Teil 1: Allgemeine Gestaltungsleitsätze. (ISO

Gestaltungsleitsätze. (ISO 13849-1:20113849-1:2015).5).

Esta norma europea ha sido aprobada por CEN el 2015-06-20. Esta norma europea ha sido aprobada por CEN el 2015-06-20. Los miembros de CEN están sometidos al

Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que Reglamento Interior de CEN/CENELEC que define las condiciones dentro dedefine las condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas normas nacionales pueden obtenerse en el Centro de actualizadas y las referencias bibliográficas relativas a estas normas nacionales pueden obtenerse en el Centro de Gestión de CEN, o a través de sus miembros.

Gestión de CEN, o a través de sus miembros.

Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada bajo la responsabilidad de un miem

bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al Centro de Gesbro de CEN en su idioma nacional, y notificada al Centro de Gestión, tiene el mismotión, tiene el mismo rango que aquéllas.

rango que aquéllas.

Los miembros de CEN son los organismos nacionales de normalización de los países siguientes: Alemania, Antigua Los miembros de CEN son los organismos nacionales de normalización de los países siguientes: Alemania, Antigua República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polon

Noruega, Países Bajos, Polonia, Portugal, Reino Unido, Repúblicia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Sua Checa, Rumanía, Suecia, Suiza y Turquía.iza y Turquía.

CEN CEN

COMITÉ EUROPEO DE NORMALIZACIÓN COMITÉ EUROPEO DE NORMALIZACIÓN

European Committee for Standardization European Committee for Standardization

Comité Européen de Normalisation Comité Européen de Normalisation Europäisches Komitee für Normung Europäisches Komitee für Normung CENTRO DE GESTIÓN: Avenue Marnix, 17-1000

CENTRO DE GESTIÓN: Avenue Marnix, 17-1000 BruxellesBruxelles



(5)

Prólogo europeo

El texto de la Norma EN ISO 13849-1:2015 ha sido elaborado por el Comité Técnico ISO/TC 199 Seguridad de máquinas en colaboración con el Comité Técnico CEN/TC 114 Seguridad de máquinas, cuya Secretaría desempeña DIN.

Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto idéntico a ella o mediante ratificación antes de finales de junio de 2016, y todas las normas nacionales técnicamente divergentes deben anularse antes de finales de junio de 2016.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén sujetos a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de dichos derechos de patente.

Esta norma anula y sustituye a la Norma EN ISO 13849-1:2008.

Esta norma europea ha sido elaborada bajo un Mandato dirigido a CEN por la Comisión Europea y por la Asociación Europea de Libre Comercio, y sirve de apoyo a los requisitos esenciales de las Directivas europeas.

La relación con las Directivas UE se recoge en el anexo informativo ZA, que forma parte integrante de esta norma.

De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea los organismos de normalización de los siguientes países: Alemania, Antigua República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza y Turquía.

Declaración

El texto de la Norma ISO 13849-1:2015 ha sido aprobado por CEN como Norma EN ISO 13849-1:2015 sin ninguna modificación.

(6)

Índice

Prólogo ... ... ... 7

0 Introducción ... ... 8

1 Objeto y campo de aplicación ... ... 10

2 Normas para consulta ... 10

3 Términos, definiciones, símbolos y abreviaturas ... 11

3.1 Términos y definiciones ... ... 11

3.2 Símbolos y abreviaturas ... 16

4 Consideraciones relativas al diseño ... ... 17

4.1 Objetivos de seguridad en el diseño ... 17

4.2 Estrategia para la reducción del riesgo... 19

4.2.1 Generalidades ... 19

4.2.2 Contribución a la reducción del riesgo mediante el sistema de mando ... 19

4.3 Determinación del nivel de prestaciones requerido (PLr) ... 23

4.4 Diseño de las SRP/CS ... 23

4.5 Estimación del nivel de prestaciones obtenido y relación con el SIL ... 24

4.5.1 Nivel de Prestaciones PL ... 24

4.5.2 Tiempo medio hasta el fallo peligroso de cada canal (MTTF_D) ... 26

4.5.3 Cobertura del diagnóstico (DC) ... 27

4.5.4 Procedimiento simplificado para la estimación de los aspectos cuantificables de un PL ... 27

4.5.5 Descripción de la parte de salida de la SRP/CS mediante la categoría ... 29

4.6 Requisitos para el soporte lógico de seguridad ... 30

4.6.2 Soporte lógico empotrado relativo a la seguridad (SRESW) ... 31

4.6.3 Soporte lógico de aplicación relativo a la seguridad (SRASW) ... 32

4.6.4 Parametrización basada en el soporte lógico... 35

4.7 Verificación de que el PL obtenido satisface el PLr ... 36

4.8 Aspectos ergonómicos del diseño ... ... 36

5 Funciones de seguridad ... ... 37

5.1 Especificación de las funciones de seguridad ... ... 37

5.2 Detalles de las funciones de seguridad ... ... 40

5.2.1 Función de parada relativa a la seguridad ... 40

5.2.2 Función de rearme manual ... 40

5.2.3 Puesta en marcha y nueva puesta en marcha ... 41

5.2.4 Función de mando local ... 41

5.2.5 Función de inhibición ... 41

5.2.6 Tiempo de respuesta ... ... 42

5.2.7 Parámetros relativos a la seguridad ... ... 42

5.2.8 Variaciones, pérdida y restablecimiento de la alimentación de energía ... 42

6 Categorías y su relación con los MTTFD de cada canal, DCavg y CCF ... 42

6.1 Generalidades ... 42

6.2 Especificaciones de las categorías ... ... 43

6.2.2 Arquitecturas tipo ... 43

6.2.3 Categoría B... 44

6.2.4 Categoría 1 ... 44

(7)

6.2.6 Categoría 3 ... 47

6.2.7 Categoría 4 ... 48

6.3 Combinación de SRP/CS para obtener un PL global ... 50

7 Consideración de defectos, exclusión de defectos... 52

7.1 Generalidades ... 52 7.2 Consideración de defectos ... ... 52 7.3 Exclusión de defectos ... ... 52 8 Validación ... ... ... 53 9 Mantenimiento ... ... 53 10 Documentación técnica ... ... 53

11 Información para utilización ... 54

Anexo A (Informativo) Determinación del nivel de prestaciones requerido (PLr) ... 56

Anexo B (Informativo) Método de los bloques y diagrama de bloques relativo a la seguridad ... ... 60

Anexo C (Informativo) Cálculo o evaluación del MTTFD para componentes ... 62

Anexo D (Informativo) Método simplificado para estimar el MTTFD para cada canal ... 70

Anexo E (Informativo) Estimaciones de la cobertura del diagnóstico (DC) para las funciones y los módulos ... ... 72

Anexo F (Informativo) Estimaciones para los fallos de causa común (CCF) ... 75

Anexo G (Informativo) Fallo sistemático ... ... 77

Anexo H (Informativo) Ejemplo de combinación de varias partes del sistema de mando relativas a la seguridad (SRP/CS) ... ... 80

Anexo I (Informativo) Ejemplos ... ... 83

Anexo J (Informativo) Soporte lógico ... ... 92

Anexo K (Informativo) Representación numérica de la figura 5 ... 95

(8)

Prólogo

ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC)

en todas las materias de normalización electrotécnica.

En la parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar esta norma y para su mantenimiento posterior. En particular debería tomarse nota de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Esta norma se redactó de acuerdo a las reglas editoriales de la parte 2 de las Directivas ISO/IEC. www.iso.org/directives.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de esta norma se indican en la introducción y/o en la lista ISO de declaraciones de patente recibidas. www.iso.org/patents.

Cualquier nombre comercial utilizado en esta norma es información que se proporciona para comodidad del usuario y no constituye una recomendación.

Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones relacionadas con la evaluación de la conformidad, así como información de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a los Obstáculos Técnicos al

Comercio (OTC), véase la siguiente dirección: http://www.iso.org/iso/foreword.html. El comité responsable de esta norma es el ISO/TC 199, Seguridad de máquinas.

Esta tercera edición anula y sustituye a la segunda edición (Norma ISO 13849-1:2006) que ha sido revisada técnicamente. También incorpora el Corrigendum Técnico ISO 13849-1:2006/Cor 1:2009. Los cambios respecto a la edición previa incluyen:

– eliminación de la antigua tabla 1 de la Introducción;

– actualización y adición de referencias normativas;

– modificación de las definiciones de los términos situación peligrosa y demanda alta o modo continuo;

– adición de un nuevo término y definición, probado en uso;

– modificación editorial, no técnica, de la figura 1;

– un nuevo apartado, 4.5.5, así como modificaciones a las secciones existentes incluyendo los anexos,

modificaciones sustanciales al anexo C y un nuevo anexo I completo.

La Norma ISO 13849 consta de las siguientes partes, bajo el título general Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad:

– Parte 1: Principios generales para el diseño.

(9)

0 Introducción

La estructura de las normas en el ámbito de la seguridad de las máquinas es la siguiente:

a) Normas de tipo A (normas de seguridad fundamentales) que precisan nociones fundamentales, principios para el diseño y aspectos generales que pueden ser aplicados a todos los tipos de máquinas.

b) Normas de tipo B (normas de seguridad relativas a una materia) que tratan de uno o más aspectos de seguridad o de uno o más tipos de protecciones, que son válidas para una amplia gama de máquinas:

– normas de tipo B1, que tratan de aspectos particulares de la seguridad (por ejemplo, distancias de seguridad,

temperatura superficial, ruido);

– normas de tipo B2, que tratan de protecciones (por ejemplo, mando a dos manos, dispositivos de enclavamiento,

dispositivos sensibles a la presión, resguardos).

c) Normas de tipo C (normas de seguridad de las máquinas) que tratan de requisitos de seguridad detallados para una máquina particular o para un grupo de máquinas.

Esta parte de la Norma ISO 13849 es una norma de tipo B1 tal como se establece en la Norma ISO 12100.

Este documento es de relevancia, en particular, para los siguientes grupos de partes interesadas que representan a los agentes de mercado en materia de seguridad de las máquinas:

– los fabricantes de máquinas (pequeñas, medianas y grandes empresas);

– los organismos de seguridad y salud (legisladores, organizaciones de prevención de accidentes, de vigilancia de

mercado, etc.).

Otros que se pueden ver afectados por el nivel de seguridad de las máquinas conseguido por los grupos de partes interesadas mencionados anteriormente usando este documento son:

– los usuarios de máquinas/empresarios (pequeñas, medianas y grandes empresas);

– los usuarios de máquinas/empleados (por ejemplo, sindicatos, organizaciones de personas con necesidades

especiales);

– los proveedores de servicios, por ejemplo, para el mantenimiento (pequeñas, medianas y grandes empresas);

– los consumidores (en caso de máquinas destinadas para su uso por los consumidores).

A los grupos de interés mencionados anteriormente se les ha dado la posibilidad de participar en el proceso de elaboración de este documento.

Además, este documento está destinado a los organismos de normalización que elaboran normas de tipo C. Una norma de tipo C puede complementar o modificar los requisitos de este documento.

Para las máquinas que están cubiertas por el alcance de una norma de tipo C y que se han diseñado y construido de acuerdo con sus requisitos, los requisitos de dicha norma de tipo C tienen prioridad.

Si las especificaciones de una norma de tipo C son diferentes de las establecidas en las normas de tipo A o de tipo B, las especificaciones de la norma de tipo C tienen prioridad sobre las especificaciones de otras normas, para máquinas que se hayan diseñado y construido conforme a las especificaciones de la norma de tipo C.

(10)

Esta parte de la Norma ISO 13849 está prevista para guiar a aquellos que estén implicados en el diseño y evaluación de los sistemas de mando, así como a los Comités Técnicos que elaboran las normas de tipo B2 o de tipo C que se presumen conformes a los requisitos esenciales de seguridad del anexo I de la Directiva 2006/42/CE sobre máquinas.

Esta norma no da orientaciones específicas para cumplir con otras Directivas CE.

Como parte de la estrategia global de reducción de riesgos de una máquina, un diseñador optará a menudo por conseguir alguna medida de reducción de riesgos mediante la aplicación de protecciones que emplean una o varias funciones de seguridad.

Las partes de los sistemas de mando de las máquinas que tienen asignada desempeñar funciones de seguridad se denominan partes de los sistemas de mando relativas a la seguridad (SRP/CS) y pueden estar constituidas de soporte material (hardware) y de soporte lógico (software) y pueden estar separadas del sistema de mando de la máquina o ser una parte integral del mismo. Además de desempeñar las funciones de seguridad, las SRP/CS pueden desempeñar también funciones operativas (por ejemplo, dispositivos de mando a dos manos como medio para la puesta en marcha de un proceso).

La aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles, está clasificada en cinco niveles denominados niveles de prestaciones (PL). Estos niveles de prestaciones se definen en términos de probabilidad de fallo peligroso por hora (véase la tabla 2).

La probabilidad de fallo peligroso de una función de seguridad depende de varios factores, incluyendo la estructura del soporte material y del soporte lógico, la magnitud de los mecanismos de detección de defectos [cobertura del diagnóstico (DC)], la fiabilidad de los componentes [tiempo medio hasta un fallo peligroso (MTTFD), los fallos de

causa común (CCF)], el proceso de diseño, los esfuerzos de funcionamiento, las condiciones ambientales y los procedimientos de trabajo.

Con el fin de ayudar al diseñador y facilitarle la evaluación del PL conseguido, este documento emplea una metodología basada en la categorización de estructuras conforme a criterios de diseño específicos y a comportamientos especificados

en caso de defecto. Estas categorías se clasifican en cinco niveles, denominados Categorías B, 1, 2, 3 y 4.

Los niveles de prestaciones y las categorías se pueden aplicar a las partes de los sistemas de mando relativas a la seguridad, tales como:

– dispositivos de protección (por ejemplo, dispositivos de mando a dos manos, dispositivos de enclavamiento),

dispositivos de protección electrosensibles (por ejemplo, barreras fotoeléctricas), dispositivos sensibles a la presió n;

– las unidades de mando (por ejemplo, un bloque lógico para funciones de mando, tratamiento de datos, control, etc.), y

– elementos de mando de los accionadores (por ejemplo, relés, válvulas, etc.),

así como a los sistemas de mando que desempeñan funciones de seguridad en todo tipo de máquinas, desde las más sencillas (por ejemplo, pequeñas máquinas de cocina, o puertas y barreras automáticas) a instalaciones de fabricación (por ejemplo, máquinas de embalaje, máquinas de imprimir, prensas).

El objetivo de esta parte de la Norma ISO 13849 es proporcionar una base clara que permita evaluar el diseño y las prestaciones de cualquier aplicación de SRP/CS (y de la máquina), por ejemplo, por una tercera parte o internamente o por un laboratorio de ensayo independiente.

Información sobre la aplicación recomendada de la Norma IEC 62061 y esta parte de la Norma ISO 13849

La Norma IEC 62061 y esta parte de la Norma ISO 13849 especifican los requisitos para el diseño y la implementación de sistemas de mando relativos a la seguridad de las máquinas. La utilización de cualquiera de estas normas interna-cionales, de acuerdo con sus campos de aplicación, puede dar presunción de conformidad con los requisitos esenciales de seguridad pertinentes. El Informe Técnico ISO/TR 23849 ofrece orientaciones para la aplicación de esta parte de la Norma ISO 13849 y de la Norma IEC 62061 en el diseño de sistemas de mando relativos a la seguridad para máquinas.

(11)

Junto con el Informe Técnico ISO/TR 23849, se ha añadido el Informe Técnico ISO/TR 22100-2 a la lista de

referencias normativas dada en el capítulo 2 – este último debido a su importancia para la comprensión de la relación

entre esta parte de la Norma ISO 13849 y la Norma ISO 12100.

1 Objeto y campo de aplicación

Esta parte de la Norma ISO 13849 proporciona requisitos de seguridad y orientaciones sobre los principios para el diseño e integración de las partes de los sistemas de mando relativas a la seguridad (SRP/CS), incluyendo el diseño del soporte lógico (software). Para estas partes especifica las características, incluyendo el nivel de prestaciones requerido, para desempeñar las funciones de seguridad. Se aplica a las SRP/CS para modo de alta solicitación y modo continuo,

independientemente de la tecnología y del tipo de energía utilizadas (eléctrica, hidráulica, neumática, mecánica, etc.). En ella no se especifican qué funciones de seguridad ni qué niveles de prestaciones se deben utilizar en un caso particular.

Esta parte de la Norma ISO 13849 proporciona requisitos específicos para SRP/CS que utilizan sistemas electrónicos programables.

En ella no se dan requisitos específicos para el diseño de componentes integrados en las SRP/CS. Sin embargo, se pueden utilizar los principios establecidos, tales como las categorías o los niveles de prestaciones.

NOTA 1 Ejemplos de componentes integrados en las SRP/CS: relés, electroválvulas, interruptores de posición, PLCs, unidades de mando de motores, dispositivos de mando a dos manos, equipos sensibles a la presión. Para el diseño de dichos componentes, es importante remitirse a las normas internacionales específicas, por ejemplo, ISO 13851, ISO 13856-1 e ISO 13856-2.

NOTA 2 Para la definición de nivel de prestaciones requerido, véase el apartado 3.1.24.

NOTA 3 Los requisitos proporcionados en esta parte de la Norma ISO 13849 para sistemas electrónicos programables son compatibles con la metodología para el diseño y desarrollo de las partes de los sistemas de mando eléctricos, electrónicos y electrónicos programables, relativas a la seguridad de las máquinas, dadas en la Norma IEC 62061.

NOTA 4 Para el soporte lógico empotrado relativo a la seguridad en componentes con PLr = e, véase el capítulo 7 de la Norma IEC 61508-3:1998.

2 Normas para consulta

Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la aplicación de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición (incluyendo cualquier modificación de ésta).

ISO 12100:2010, Seguridad de las máquinas. Principios generales para el diseño. Evaluación del riesgo y reducción del riesgo.

ISO 13849-2:2012, Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad. Parte 2: Validación.

IEC 60050-191:1990, International electrotechnical vocabulary. Chapter 191: Dependability and quality of service. Amended by IEC 60050 191-am1:1999 and IEC 60050 191-am2:2002:1999.

IEC 61508-3:2010, Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 3: Requisitos del software. Corregida por IEC 61508-3/Cor.1:1999.

IEC 61508-4:2010, Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables r elacionados con la seguridad. Parte 4: Definiciones y abreviaturas. Corregida por IEC 61508-4 Cor.1:1999.

(12)

ISO/TR 22100-2:2013, Safety of machinery. Relationship with ISO 12100. Part 2: How ISO 12100 relates to ISO 13849-1

ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery.

3 Términos, definiciones, símbolos y abreviaturas

3.1 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas ISO 12100 e IEC 60050-191 además de los siguientes:

3.1.1 parte de un sistema de mando relativa a la seguridad; SRP/CS:

Parte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad.

NOTA 1 Las partes combinadas de un sistema de mando relativas a la seguridad comienzan en los puntos en los que se generan las señales de entrada relativas a la seguridad (incluyendo, por ejemplo, la leva de accionamiento y la roldana del interruptor de posición) y terminan a la salida de los elementos de mando de los accionadores (incluyendo, por ejemplo, los contactos principales de un contactor).

NOTA 2 Si se utilizan sistemas de control para los diagnósticos, éstos también se consideran SRP/CS.

3.1.2 categoría:

Clasificación de las partes de un sistema de mando relativas a la seguridad en función de su resistencia a defectos y de su comportamiento subsecuente en caso de defecto, y que se obtiene mediante la arquitectura de dichas partes, la detección de defectos y/o su fiabilidad.

3.1.3 defecto o avería:

Estado de una unidad caracterizado por la incapacidad para desempeñar la función requerida, excluyendo la incapacidad debida al mantenimiento preventivo o a otras acciones programadas o debido a la falta de medios externos.

NOTA 1 A menudo un defecto es la consecuencia de un fallo de la propia unidad, pero puede existir sin fallo previo. NOTA 2 En esta parte de la Norma ISO 13849, “defecto” significadefecto aleatorio.

[FUENTE: IEC 60050-191:1990, 05-01] 3.1.4 fallo:

Cese de la aptitud de una unidad para cumplir una función requerida.

NOTA 1 Después de que una unidad falla, tiene un defecto.

NOTA 2 Un fallo es un suceso, mientras que un defecto en un estado.

NOTA 3 La noción de defecto, tal como se ha definido, no se aplica a una unidad constituida solamente por un soporte lógico.

NOTA 4 Los fallos que solamente afectan a la disponibilidad del proceso bajo mando no están cubiertos por el campo de aplicación de esta parte de la Norma ISO 13849.

[FUENTE: IEC 60050-191:1990, 04-01] 3.1.5 fallo peligroso:

Fallo que potencialmente puede poner una SRP/CS en un estado peligroso o defectuoso.

NOTA 1 El hecho de que se materialice o no dicha “potencialidad” puede depender de la arquitectura de canales del sistema; en sistemas redundantes, es menos probable que un fallo peligroso en el soporte material dé lugar a un estado global peligroso o defectuoso.

(13)

3.1.6 fallo de causa común; CCF:

Fallo de varios elementos, que resultan de un solo suceso y que no son consecuencia unos de otros.

NOTA 1 Los fallos de causa común no se deberían confundir con los fallos de modo común (véase la Norma ISO 12100:2010, 3.36).

[FUENTE: IEC 60050-191-mod.1:1999, 04-23] 3.1.7 fallo sistemático:

Fallo asociado de manera determinista a una cierta causa, que solamente puede ser eliminado mediante una modifica-ción del diseño o del proceso de fabricamodifica-ción, de los procedimientos de trabajo, de la documentamodifica-ción o de otros factores apropiados.

NOTA 1 El mantenimiento correctivo sin modificación, no eliminará, normalmente, la causa del fallo. NOTA 2 Un fallo sistemático se puede inducir simulando la causa del fallo.

NOTA 3 Ejemplos de causas de fallos sistemáticos incluyen los errores humanos en: – las especificaciones de los requisitos de seguridad,

– el diseño, la fabricación, la instalación, el funcionamiento del soporte material, y – el diseño, la implementación, etc., del soporte lógico.

[FUENTE: IEC 60050-191:1990, 04-19] 3.1.8 inhibición:

Interrupción automática y temporal de la(s) función(es) de seguridad mediante las SRP/CS. 3.1.9 rearme manual:

Función interna a las SRP/CS que permite restablecer manualmente funciones de seguridad determinadas antes de una nueva puesta en marcha de la máquina.

3.1.10 daño:

Lesión física o deterioro de la salud. [FUENTE: ISO 12100:2010, 3.5] 3.1.11 peligro:

Fuente de posible daño.

NOTA 1 El concepto "peligro" se puede cualificar con el fin de definir su origen (por ejemplo, peligro mecánico, peligro eléctrico) o la naturaleza del posible daño (por ejemplo, peligro de choque eléctrico, peligro de corte, peligro de intoxicación, peligro de incendio).

NOTA 2 El peligro considerado en esta definición:

– puede estar permanentemente presente durante el uso previsto de la máquina (por ejemplo, elementos móviles peligrosos en movimiento, arco eléctrico durante una operación de soldadura, postura incómoda, emisión de ruido, temperatura alta), o

– puede aparecer de forma imprevista (por ejemplo, explosión, peligro de aplastamiento como consecuencia de una puesta en marcha inesperada/intempestiva, proyección como consecuencia de una rotura, caída como consecuencia de una aceleración/deceleración).

[FUENTE: ISO 12100:2010, 3.6 modificada] 3.1.12 situación peligrosa:

Circunstancia en la que una(o varias) persona(s) está(n) expuesta(s) al menos a un peligro.

(14)

3.1.13 riesgo:

Combinación de la probabilidad de que se produzca un daño y de la gravedad de dicho daño. [FUENTE: ISO 12100:2010, 3.12]

3.1.14 riesgo residual:

Riesgo que queda después de que se hayan tomado las medidas preventivas.

NOTA 1 Véase la figura 2.

[FUENTE: ISO 12100:2010, 3.13 modificada] 3.1.15 evaluación del riesgo:

Proceso global que comprende el análisis de riesgos y la valoración de riesgos. [FUENTE: ISO 12100:2010, 3.17]

3.1.16 análisis del riesgo:

Combinación de la especificación de los límites de la máquina, la identificación del peligro y la estimación del riesgo. [FUENTE: ISO 12100:2010, 3.15]

3.1.17 valoración del riesgo:

Juzgar, conforme al resultado del análisis del riesgo, si los objetivos de reducción del riesgo se han alcanzado. [FUENTE: ISO 12100:2010, 3.16]

3.1.18 uso previsto de una máquina:

Uso de una máquina, de acuerdo con la información proporcionada en las instrucciones para la utilización. [FUENTE: ISO 12100:2010, 3.23]

3.1.19 mal uso razonablemente previsible:

Uso de una máquina de una manera para la que no está destinada por el diseñador, pero que puede resultar de un comportamiento humano fácilmente predecible.

[FUENTE: ISO 12100:2010, 3.24] 3.1.20 función de seguridad:

Función de una máquina cuyo fallo podría dar lugar a un aumento inmediato del (de los) riesgo(s). [FUENTE: ISO 12100:2010, 3.30]

3.1.21 control:

Función de seguridad que asegura que se inicia una medida preventiva si disminuye la aptitud de un componente o de un elemento para desempeñar su función o si se modifican las condiciones del proceso de manera que se genera una disminución de la reducción de riesgo.

3.1.22 sistema electrónico programable, PES:

Sistema para mando, protección o control cuyo funcionamiento depende de uno o más dispositivos electrónicos progra-mables, incluyendo todos los elementos del sistema tales como las fuentes de alimentación, los detectores y otros dispo-sitivos de entrada, contactores y otros dispodispo-sitivos de salida.

(15)

3.1.23 nivel de prestaciones, PL:

Nivel discreto utilizado para especificar la aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles.

NOTA 1 Véase el apartado 4.5.1.

3.1.24 nivel de prestaciones requerido, PLr:

Nivel de prestaciones (PL) aplicado con el fin de conseguir la reducción de riesgo requerida para cada función de seguridad.

NOTA 1Véanse las figuras 2 y A.1.

3.1.25 tiempo medio hasta el fallo peligroso; MTTFD:

Valor probable de la duración media hasta el fallo peligroso. [FUENTE: IEC 62061:2005, 3.2.34, modificada].

3.1.26 cobertura del diagnóstico, DC:

Medida de la efectividad del diagnóstico, que se puede determinar como la relación entre la tasa de fallo de los fallos peligrosos detectados y la tasa de fallo del total de fallos peligrosos.

NOTA 1 La cobertura del diagnóstico puede referirse a la totalidad o a parte de un sistema relativo a la seguridad. Por ejemplo, la cobertura del diagnóstico puede referirse a los detectores y/o a un sistema lógico y/o a los elementos finales.

[FUENTE: IEC 61508-4:1998, 3.8.6, modificada] 3.1.27 medida preventiva:

Medida prevista para lograr la reducción del riesgo.

EJEMPLO 1 Implementada por el diseñador: diseño inherentemente seguro, protección y medidas preventivas complementarias, información para la utilización.

EJEMPLO 2 Implementada por el usuario: organización (procedimientos de trabajo seguros, supervisión, sistemas de permiso de trabajo); provisión y utilización de protecciones adicionales; utilización de equipos de protección individual, formación.

[FUENTE: ISO 12100:2010, 3.19, modificada] 3.1.28 duración de la misión,T M:

Periodo de tiempo que comprende el uso previsto de una SRP/CS. 3.1.29 tasa de verificación, r t:

Frecuencia de las verificaciones automáticas para detectar defectos en una SRP/CS, valor inverso del intervalo entre verificaciones de diagnóstico.

3.1.30 tasa de solicitación,r d:

Frecuencia de solicitación de una acción relativa a la seguridad de una SRP/CS. 3.1.31 tasa de reparación,r r:

Valor inverso del periodo de tiempo entre la detección de un fallo peligroso, ya sea por una verificación automática o por un mal funcionamiento evidente del sistema y el reinicio del funcionamiento después de la reparación del sistema o

la sustitución del sistema/componente.

(16)

3.1.32 sistema de mando de la máquina:

Sistema que responde a señales de entrada de partes de las máquinas, de los operadores, de los órganos de mando externos o de cualquier combinación de estos y que genera señales de salida que dan lugar a que la máquina se comporte de una manera prevista.

NOTA 1 El sistema de mando de una máquina puede utilizar cualquier tecnología o cualquier combinación de tecnologías diferentes (por ejemplo, eléctrica/electrónica, hidráulica, neumática, mecánica).

3.1.33 nivel de integridad de la seguridad, SIL:

Nivel discreto (entre cuatro posibles), para especificar los requisitos de integridad de la seguridad de las funciones de mando relativas a la seguridad asignadas a los sistemas eléctricos, electrónicos y electrónicos programables relativos a la seguridad, siendo el nivel 4 de integridad de la seguridad el que posee el nivel más alto de integridad de la seguridad y el nivel 1 de integridad de la seguridad el que posee el más bajo.

[FUENTE: IEC 61508-4:1998, 3.5.6]

3.1.34 lenguaje de variabilidad limitada, LVL:

Tipo de lenguaje que proporciona la posibilidad de combinar funciones de bibliotecas, predefinidas, específicas para una aplicación, con el fin de implementar las especificaciones de los requisitos relativos a la seguridad.

NOTA 1 En la Norma IEC 61131-3 se dan ejemplos típicos de LVL (diagrama de escalera, diagrama de bloques funcionales). NOTA 2 Un ejemplo típico de sistema que utiliza el LVL: PLC.

[FUENTE: IEC 61511-1:2003 3.2.80.1.2, modificada] 3.1.35 lenguaje de variabilidad total, FVL:

Tipo de lenguaje que proporciona la posibilidad de implementar una amplia gama de funciones y aplicaciones.

EJEMPLO 1 C, C++, Ensamblador.

NOTA 1 Un ejemplo típico de sistema que utiliza el FVL: sistemas empotrados.

NOTA 2 En el ámbito de las máquinas, el FVL se encuentra en los soportes lógicos empotrados y raramente en los soportes lógicos de aplicación.

[FUENTE: IEC 61511-1:2003, 3.2.80.1.3, modificada] 3.1.36 soporte lógico de aplicación:

Soporte lógico específico para una aplicación, implementado por el fabricante de la máquina y que generalmente contiene secuencias lógicas, límites y expresiones que gobiernan las entradas, las salidas, cálculos apropiados y las decisiones necesarias para cumplir los requisitos de las SRP/CS.

3.1.37 soporte lógico empotrado (soporte lógico rígido, soporte lógico del sistema):

Soporte lógico que es parte del sistema suministrado por el fabricante y que no es accesible para modificaciones por el usuario de la máquina.

NOTA 1 El soporte lógico empotrado se escribe normalmente en FVL.

3.1.38 modo de alta solicitación o modo continuo:

Modo de funcionamiento en el que la frecuencia de las solicitaciones de una SRP/CS es superior a una por año o la función de mando relativa a la seguridad mantiene la máquina en un estado de seguridad como parte del funcionamiento normal.

(17)

3.1.39 uso probado:

Demostración, basada en un análisis de la experiencia operacional para una configuración específica de un elemento, de que la probabilidad de defectos sistemáticos peligrosos es lo suficientemente baja como para que cada función de seguridad que utiliza el elemento alcance su nivel de prestaciones requerido (PLr ).

[FUENTE: IEC 61508-4: 2010, 3.8.18, modificada]

3.2 Símbolos y abreviaturas

Véase la tabla 1.

Tabla 1_– Símbolos y abreviaturas

Símbolo o

abreviatura Descripción Definición o lugar enel que aparece

a, b, c, d, e Denominación de los niveles de prestaciones Tabla 3

AMFE Análisis de los modos de fallo y sus efectos 7.2

AOPD Dispositivo de protección optoelectrónico activo (por ejemplo, barrera

fotoeléctrica) Anexo H

B, 1, 2, 3, 4 Denominación de las categorías Tabla 7

B10D Número de ciclos hasta que el 10% de los componentes falla

peligrosa-mente (para componentes neumáticos y electromecánicos)

Anexo C

Cat. Categoría 3.1.2

CC Convertidor de corriente Anexo I

CCF Fallo de causa común 3.1.6

DC Cobertura del diagnóstico 3.1.26

DCavg Cobertura del diagnóstico media E.2

F, F1, F2 Frecuencia y/o tiempo de exposición al peligro A.2.2

FB Bloque funcional 4.6.3

FVL Lenguaje de variabilidad total 3.1.35

I, I1, I2 Dispositivo de entrada, por ejemplo, sensor 6.2

i, j Índice de conteo Anexo D

I/O Entradas/salidas Tabla E.1

i_ab, i_bc Medios de interconexión Figura 4

K1A, K1B Contactores Anexo I

L, L1, L2 Lógica 6.2

LVL Lenguaje de variabilidad limitada 3.1.34

M Motor Anexo I

MTTF Tiempo medio hasta el fallo Anexo C

MTTFD Tiempo medio hasta el fallo peligroso 3.1.25

n, N, Ñ Número de elementos 6.3, D.1

(18)

Símbolo o

abreviatura Descripción

Definición o lugar en el que aparece

nop Número medio de operaciones por año Anexo C

O, O1, O2, OTE Dispositivo de salida, por ejemplo, accionador 6.2

P, P1, P2 Posibilidad de evitar el daño A.2.3

PES Sistema electrónico programable 3.1.22

PFHD Probabilidad media de fallo peligroso por hora Tabla 3 y Tabla K.1

PL Nivel de prestaciones 3.1.23

PLC Autómata programable Anexo I

PLlow Nivel de prestaciones más bajo de una SRP/CS en una combinación de

SRP/CS

6.3

PLr Nivel de prestaciones requerido 3.1.24

r D Tasa de solicitación 3.1.30

r t Tasa de verificación 3.1.29

RS Detector de rotación Anexo I

S, S1, S2 Severidad del daño A.2.1

SW1A, SW1B, SW2 Interruptores de posición Anexo I

SIL Nivel de integridad de la seguridad Tabla 4

SRASW Soporte lógico de aplicación relativo a la seguridad 4.6.3

SRESW Soporte lógico empotrado relativo a la seguridad 4.6.2

SRP Parte relativa a la seguridad General

SRP/CS Parte de un sistema de mando relativa a la seguridad 3.1.1

TE Equipo de ensayo 6.2

T M Duración de la misión 3.1.28

T10D Tiempo medio hasta que el 10% de los componentes falla de forma

peligrosa Anexo C

4 Consideraciones relativas al diseño

4.1 Objetivos de seguridad en el diseño

Las SRP/CS deben ser diseñadas y construidas de manera que se tengan totalmente en cuenta los principios de la Norma ISO 12100 (véanse las figuras 1 y 3). Se debe tener en cuenta cualquier uso previsto y cualquier mal uso razonablemente previsible.

(19)

a _{Referencia a la Norma ISO 12100:2010} Referencia a esta parte de la Norma ISO 13849

(20)

4.2 Estrategia para la reducción del riesgo

4.2.1 Generalidades

La estrategia para la reducción de riesgos en la máquina se da en el apartado 6.1 de la Norma ISO 12100:2010 y en los apartado 6.2 (medidas de diseño inherentemente seguro) y 6.3 (protección y medidas preventivas suplementarias) de la Norma ISO 12100:2010. Esta estrategia cubre el ciclo de vida completo de la máquina.

El proceso de evaluación del riesgo y de reducción del riesgo para una máquina impone que se eliminen los peligros o que se reduzcan los riesgos mediante una jerarquía de medidas:

– eliminación del peligro o reducción del riesgo por diseño (véase 6.2 de la Norma ISO 12100:2010);

– reducción del riesgo por protección y posibles medidas preventivas suplementarias (véase 6.3 de la Norma

ISO 12100:2010);

– reducción del riesgo proporcionando información para la utilización acerca del riesgo residual (véase 6.4 de la

Norma ISO 12100:2010).

4.2.2 Contribución a la reducción del riesgo mediante el sistema de mando

El objetivo del procedimiento general de diseño de una máquina es conseguir los objetivos de seguridad (véase 4.1). El diseño de una SRP/CS para obtener la reducción del riesgo requerida es parte integrante del proceso global de diseño de una máquina. La SRP/CS desempeña una (varias) función (es) de seguridad con un PL con el que se alcanza la reducción del riesgo requerida. El diseño de una SRP/CS es una parte de la estrategia para la reducción del riesgo en la medida en que asegura una (varias) función (es) de seguridad, ya sea formando parte del diseño inherentemente seguro o como mando de un resguardo con dispositivo de enclavamiento o un dispositivo de protección. Se trata del proceso iterativo ilustrado en las figuras 1 y 3.

NOTA No es necesario aplicar esta estrategia de reducción del riesgo a las partes de los sistemas de mando no relativas a la seguridad o a los elementos puramente funcionales de una máquina (véase el Informe ISO/TR 22100-2:2013, 3).

Para cada función de seguridad, se deben detallar y documentar las características (véase 5) y el nivel de prestaciones requerido, en las especificaciones relativas a los requisitos de seguridad.

En esta parte de la Norma ISO 13849 los niveles de prestaciones se definen en términos de probabilidad de fallo

peligroso por hora. Se establecen cinco niveles de prestaciones, del más bajo PL “a” al má s alto PL “e” mediante una

gama de probabilidades de fallo peligroso por hora (véase la tabla 2).

Para obtener un PL, además de los aspectos cuantitativos, también es necesario satisfacer requisitos relativos a aspectos cualitativos del PL (véase 4.5).

Tabla 2_– Niveles de prestaciones (PL)

PL Probabilidad media de fallo peligroso por hora (PFHD)

1/h a  10-5 a 10-4 b  3  10-6 a 10-5 c  10-6 a 3 10-6 d  10-7 a 10-6 e  10-8 a 10-7

(21)

A partir de la evaluación de riesgos (véase la Norma ISO 12100) de la máquina, el diseñador debe decidir la contribución a la reducción del riesgo que debe aportar cada función de seguridad pertinente, desempeñada por la(s) SRP/CS. Esta contribución no cubre el riesgo global de la máquina considerada; por ejemplo, no se tiene en cuenta el riesgo global de una prensa mecánica, o de una lavadora, sino solamente la parte del riesgo reducida por la aplicación de las funciones de seguridad particulares. La función de parada iniciada por un dispositivo de protección electrosensible en una prensa o la función de bloqueo de la puerta de una lavadora, son ejemplos de dichas funciones. La reducción del riesgo se puede obtener aplicando varias medidas preventivas (tanto SRP/CS como no SRP/CS), con el resultado final de lograr una condición segura (véase la figura 2).

(22)

Leyenda

R h Para una determinada situación peligrosa, es el riesgo existente antes de aplicar medidas preventivas

R r Reducción del riesgo que es necesario obtener mediante las medidas preventivas

R a Reducción del riesgo realmente conseguida mediante las medidas preventivas

1 Solución 1: una parte importante de la reducción del riesgo se debe a medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico) y una pequeña parte de la reducción del riesgo se debe a la SRP/CS

2 Solución 2: una parte importante de la reducción del riesgo se debe a la SRP/CS (por ejemplo, una barrera fotoeléctrica) y una pequeña parte de la reducción del riesgo se debe a medidas preventivas distintas de la SRP/CS (por ejemplo, medidas de tipo mecánico)

3 Reducción del riesgo adecuada 4 Reducción del riesgo inadecuada R Riesgo

a Riesgo residual obtenido mediante las soluciones 1 y 2 Riesgo obtenido adecuado

R1SRP/CS,

R2SRP/CS

Reducción del riesgo mediante la función de seguridad desempeñada por la SRP/CS

R1M, R2M Reducción del riesgo mediante medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico)

NOTA Para más información sobre la reducción del riesgo véase la Norma ISO 12100.

(23)

a _{La Norma ISO 13849-2 proporciona una ayuda complementaria para la validación}

(24)

4.3 Determinación del nivel de prestaciones requerido (PL

r

)

Para cada función de seguridad seleccionada que debe ser desempeñada por una SRP/CS, se debe determinar y documentar el nivel de prestaciones requerido (PLr ) (véase el anexo A sobre las directrices para determinar el PLr ). El

nivel de prestaciones requerido se determina como resultado de la evaluación de riesgos y se refiere a la cantidad de reducción del riesgo proporcionada por las partes del sistema de mando relativas a la seguridad (véase la figura 2). Cuanto mayor sea la cantidad de reducción del riesgo que debe ser proporcionada por la SRP/CS, mayor debe ser el PLr .

4.4 Diseño de las SRP/CS

Parte del proceso de reducción del riesgo consiste en determinar las funciones de seguridad de la máquina. Esto comprende las funciones de seguridad del sistema de mando, por ejemplo, la prevención de una puesta en marcha intempestiva.

Una función de seguridad puede ser desempeñada por una o varias SRP/CS, y varias funciones de seguridad pueden compartir una o más SRP/CS [por ejemplo, una unidad lógica, elementos de mando de los accionadores]. También es posible que una SRP/CS implemente funciones de seguridad y funciones de mando normales. El diseñador puede

utilizar cualquiera de las tecnologías disponibles, por separado o en combinación. Las SRP/CS también pueden proporcionar una función operativa (por ejemplo, una AOPD como medio para iniciar un ciclo).

En la figura 4 se da una representación esquemática de una función de seguridad tipo, que representa una combinación de partes del sistema de mando relativas a la seguridad (SRP/CS) para:

– la entrada (SRP/CSa);

– la lógica/el tratamiento (SRP/CS b);

– la salida/los elementos de mando de los accionadores (SRP/CSc), y

– los medios de interconexión (iab, i bc) (por ejemplo, eléctricos, ópticos).

NOTA 1 Para una misma máquina es importante distinguir entre las diferentes funciones de seguridad y sus respectivas SRP/CS que desempeñan una función de seguridad dada.

Después de haber identificado las funciones de seguridad del sistema de mando, el diseñador debe identificar las SRP/CS (véanse las figuras 1 y 3) y, si es preciso, debe asignarlas a la entrada, a la lógica y a la salida y, en el caso de redundancia, los canales individuales y entonces, estimar el nivel de prestaciones PL (véase la figura 3).

NOTA 2 En el capítulo 6 se dan arquitecturas tipo.

(25)

Leyenda

I Entrada (por ejemplo, interruptor de seguridad, detector, AOPD) L Lógica

O Salida (por ejemplo, válvula, contactor, convertidor de corriente)

1 Suceso iniciador (por ejemplo, accionamiento manual de un pulsador, apertura de un resguardo, interrupción de un haz de un AOPD) 2 Accionador de la máquina (por ejemplo, motor, cilindro)

Figura 4_– Representación esquemática de una combinación de partes del sistema de mando relativas a la

seguridad para el tratamiento de una función de seguridad típica

4.5 Estimación del nivel de prestaciones obtenido y relación con el SIL

4.5.1 Nivel de Prestaciones PL

Para los fines de esta parte de la Norma ISO 13849, la aptitud de las partes relativas a la seguridad para desempeñar una función de seguridad se expresa mediante la determinación del nivel de prestaciones.

Para cada SRP/CS seleccionada y/o para cualquier combinación de SRP/CS que desempeñe una función de seguridad se debe realizar una estimación del PL.

El PL de la SRP/CS se debe determinar mediante la estimación de los siguientes aspectos:

– el valor de MTTFD para componentes independientes (véanse el anexo C y el anexo D);

– la DC (véase el anexo E);

– los CCF (véase el anexo F);

– la estructura (véase 6);

– el comportamiento de la función de seguridad en condiciones de defecto (véase 6);

– el soporte lógico relativo a la seguridad (véanse 4.6 y el anexo J); – los fallos sistemáticos (véase el anexo G);

– la aptitud para desempeñar una función de seguridad en las condiciones ambientales previstas.

NOTA 1 También pueden tener una cierta influencia otros parámetros como, por ejemplo, los aspectos operativos, la tasa de solicitación o la tasa de verificación.

(26)

a) los aspectos cuantificables (valor de MTTFD para componentes independientes, DC, CCF, estructura);

b) los aspectos cualitativos no cuantificables, que afectan al comportamiento de la SRP/CS (comportamiento de la función de seguridad en condiciones de defecto, soporte lógico relativo a la seguridad, fallos sistemáticos y condiciones ambientales).

Entre los aspectos cuantificables, la contribución de la fiabilidad (por ejemplo, MTTF_D, estructura), puede variar según

la tecnología que se utilice. Por ejemplo, es posible (dentro de ciertos límites) que partes relativas a la seguridad de un solo canal de alta fiabilidad, en una tecnología dada, ofrezca un PL igual o superior al de una estructura tolerante a defectos de fiabilidad menor, en una tecnología diferente.

Existen varios métodos para estimar los aspectos cuantificables del PL para cualquier tipo de sistema (por ejemplo, una estructura compleja). Estos métodos son, por ejemplo, los modelos de Markov, las redes de Petri estocásticas genera-lizadas (GSPN), los diagramas de bloques de fiabilidad [véase, por ejemplo, la Norma IEC 61508].

Para facilitar la evaluación de los aspectos cuantificables del PL, esta parte de la Norma ISO 13849 proporciona un método simplificado basado en la definición de cinco arquitecturas tipo que satisfacen criterios específicos de diseño y de comportamiento en condiciones de defecto (véase 4.5.4).

Para una SRP/CS o una combinación de SRP/CS diseñada conforme a los requisitos del capítulo 6, la probabilidad me-dia de fallo peligroso se puede estimar meme-diante la figura 5 y el procedimiento establecido en los anexos A a H, J y K. Para una SRP/CS que no respete las arquitecturas tipo, se debe proporcionar un cálculo detallado para demostrar que se ha alcanzado el nivel de prestaciones requerido (PLr ).

En aplicaciones en las que la SRP/CS se puede considerar sencilla y el nivel de prestaciones requerido está entre “a” y “c”, se puede aceptar una estimación cualitativa del PL basada en los fundamentos del diseño (véase también 4.5.5).

NOTA 2 Para el diseño de sistemas de mando complejos, tales como los PES diseñados para desempeñar funciones de seguridad, puede ser apropiado utilizar otras normas pertinentes (por ejemplo, las Normas IEC 61508 o IEC 61496).

El logro de los aspectos cualitativos del PL se puede demostrar mediante la aplicación de las medidas recomendadas en el apartado 4.6 y en el anexo G.

En las normas en línea con la Norma IEC 61508, la aptitud del sistema de mando relativo a la seguridad para desempeñar una función de seguridad se indica mediante un SIL. La tabla 3 proporciona la relación entre estos dos conceptos (PLs y SILs).

El PL “a” no tiene correspondencia en la escala de los SIL y se utiliza principalmente para la reducción del riesgo de

una lesión ligera y normalmente reversible. Puesto que el SIL 4 está reservado a los sucesos catastróficos que se pueden

dar en la industria de procesos, este nivel no es relevante para riesgos en máquinas. Por eso el PL “e” correspondiente al

SIL 3 se define como el nivel máximo.

Tabla 3_– Relación entre el nivel de prestaciones (PL) y el nivel de integridad de la seguridad (SIL)

PL SIL

(IEC 61508-1, para información)

Modo de funcionamiento de alta/continua solicitación

a Sin correspondencia

b 1

c 1

d 2

(27)

Cuando se diseña una función de mando relativa a la seguridad utilizando una o más SRP/CS, cada SRP/CS se debe diseñar conforme a esta parte de la Norma ISO 13849 o conforme a las Normas IEC 62061/IEC 61508 (véase también

ISO/TR 23849) – aunque exista correspondencia entre los PLs de esta parte y los SILs de las Normas IEC 61508 e

IEC 62061, las SRP/CS se deben combinar de acuerdo con el apartado 6.3.

En consecuencia, se deben aplicar medidas preventivas para reducir los riesgos, en particular las siguientes:

– Reducir la probabilidad de defectos a nivel de los componentes. El objetivo es reducir la probabilidad de defectos o

de fallos que afecten a la función de seguridad. Esto se puede realizar incrementando la fiabilidad de los componentes, por ejemplo, seleccionando componentes de eficacia probada y/o aplicando principios de seguridad de eficacia probada, con el fin de minimizar o de excluir defectos o fallos críticos (véase la Norma ISO 13849 -2).

– Mejorar la estructura de las SRP/CS. El objetivo es evitar los efectos peligrosos de un defecto. Algunos defectos se

pueden detectar y puede ser necesaria una estructura redundante y/o ontrolada.

Estas dos medidas se pueden utilizar separadamente o combinadas. Con algunas tecnologías, se puede obtener la reducción del riesgo mediante la selección de componentes fiables y por exclusión de defectos; pero con otras tecnologías, la reducción del riesgo podría requerir un sistema redundante y/o controlado. Además, se deben tener en cuenta los fallos de causa común (CCF) (véase la figura 3).

Para las limitaciones arquitectónicas, véase el capítulo 6.

4.5.2 Tiempo medio hasta el fallo peligroso de cada canal (MTTFD)

El valor del MTTFD de cada canal se ha clasificado en tres niveles (véase la tabla 4) y se debe tener en cuenta para cada

canal (por ejemplo, un solo canal, cada canal de un sistema redundante) individualmente.

Para cada SRP/CS (subsistema) de acuerdo con la tabla 4, el valor máximo del MTTF D para cada canal es 100 años.

Para SRP/CS (subsistemas) de Categoría 4 el valor máximo del MTTFD para cada canal se incrementa a 2 500 años.

NOTA El valor más alto se justifica porque en la Categoría 4 los otros aspectos cuantificables, estructura y DC, están en su punto más alto y esto permite las combinaciones en serie de más de 3 subsistemas (SRP/CS) y obtener un PL “e” de acuerdo con el apartado 6.3.

Tabla 4_–Tiempo medio hasta el fallo peligroso de cada canal (MTTFD)

MTTFD

Índice para cada canal Gama para cada canal

Bajo 3 años MTTF_{D } 10 años

Medio 10 años  MTTF_{D } 30 años

Alto 30 años MTTF_{D } 100 años

NOTA 1 La selección de una gama de MTTFD está basada en las tasas de fallo encontradas en campo, en el estado actual de la técnica, que forman

una especie de escala logarítmica coherente con la escala logarítmica de los PL. Se supone que no se va a encontrar un valor de MTTF D

de cada canal inferior a tres años para SRP/CS reales, ya que esto significaría que después de un año cerca del 30% de todos los sistemas en el mercado habrían fallado y sería necesario reemplazarlos. No es aceptable un valor de MTTFD de cada canal superior a 100 años

porque las SRP/CS para riesgo elevado no debería depender exclusivamente de la fiabilidad de los componentes. Con el fin de r eforzar las SRP/CS contra los fallos sistemáticos y aleatorios, se deberían requerir medidas adicionales tales como la redundancia y las comprobaciones. Por razones prácticas, el número de gamas se ha restringido a tres. La limitación del MTTFD de cada canal a un valor

máximo de 100 años, se refiere a las SRP/CS de un solo canal que desempeña la función de seguridad. Se pueden utilizar valores de MTTFD más elevados para componentes individuales (véase la tabla D.1).

(28)

El procedimiento jerárquico para encontrar los datos para la estimación del MTTFD de un componente, debe ser como

sigue:

a) utilizar los datos de los fabricantes;

b) utilizar los métodos del anexo C y del anexo D; c) tomar 10 años.

4.5.3 Cobertura del diagnóstico (DC)

El valor de la DC se ha clasificado en cuatro niveles (véase tabla 5).

Para la estimación de la DC, en la mayoría de los casos, se puede utilizar el análisis de los modos de fallo y sus efectos (AMFE, véase la Norma IEC 60812) u otros métodos similares. En este caso, se deberían considerar todos los defectos y/o modos de fallo pertinentes. Para un enfoque simplificado de estimación de la DC, véase el anexo E.

NOTA En el anexo E se dan ejemplos de estimación de la cobertura de diagnóstico (DC).

Tabla 5_– Cobertura del diagnóstico (DC)

DC Índice Gama Nula DC 60% Baja 60% DC 90% Media 90% DC 99% Alta 99% DC

NOTA 1 Para SRP/CS constituidas de varias partes, en la figura 5, en el capítulo 6 y en el capítulo E.2 se utiliza un valor medio DCavg.

NOTA 2 La selección de la gama de DC se basa en los valores clave del 60%, 90% y 99%, también establecidos en otras normas (por ejemplo, IEC 61508) que tratan de la cobertura del diagnóstico de las verificaciones. Las investigaciones muestran que (1 – DC) más que la propia DC es una medida característica para determinar la eficacia de la verificación. (1 – DC) para los valores clave del 60%, 90% y 99% forma una especie de escala logarítmica coherente con la escala logarítmica de los PL. Un valor de DC inferior al 60% tiene sólo un ligero efecto sobre la fiabilidad del sistema comprobado y por lo tanto se denomina “nula”. Es muy difícil obtener un valor de DC superior al 99% para sistemas complejos. Por razones prácticas, el número de gamas se ha restringido a cuatro. Se supone que los valores límites indicados en esta tabla tienen una precisión del 5%.

4.5.4 Procedimiento simplificado para la estimación de los aspectos cuantificables de un PL

El PL se puede estimar teniendo en cuenta todos los parámetros pertinentes y los métodos apropiados para el cálculo (véase 4.5.1).

Este apartado describe un procedimiento simplificado para estimar los aspectos cuantificables del PL de una SRP/CS basado en arquitecturas tipo. Otras arquitecturas con una estructura similar se pueden adaptar a estas arquitecturas tipo

con el fin de obtener una estimación del PL.

Las arquitecturas tipo se han representado en diagramas de bloques y se han listado en el contexto de cada categoría en el apartado 6.2. En el apartado 6.2 y el anexo B, se da información sobre el método de bloques y los diagramas de bloques relativos a la seguridad.

Las arquitecturas tipo muestran una representación lógica de la estructura del sistema para cada categoría. La realización técnica o, por ejemplo, el diagrama funcional del circuito, puede tener una representación totalmente diferente.

(29)

Las arquitecturas tipo se han esquematizado para las SRP/CS combinadas, a partir de los puntos en los que se inician las señales relativas a la seguridad y acaban con las salidas de los elementos de mando de potencia (véase también el anexo A de la Norma ISO 12100:2010). Las arquitecturas tipo también se pueden utilizar para describir una parte o una subparte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad.

De esta manera, el elemento de “entrada” puede representar, por ejemplo, una barrera fotoeléctrica (AOPD) así como

circuitos de entrada de la lógica de mando o interruptores de entrada. Una “salida” puede representar también, por

ejemplo, un dispositivo de conmutación de la señal de salida (OSSD) o las salidas de escáneres láser. Para las arquitecturas tipo se han hecho las hipótesis siguientes:

– duración de la misión: 20 años (véase 10);

– tasa de fallo constante durante la duración de la misión;

– para la categoría 2, la tasa de solicitación  1/100 de la tasa de verificación (véase también la Nota en el anexo K); o

la verificación se produce inmediatamente cuando se solicita la función de seguridad y el tiempo total para detectar el defecto y llevar la máquina a una condición no peligrosa (generalmente a la parada de la máquina) es más corto que el tiempo necesario para alcanzar el peligro (véase también la Norma ISO 13855);

– para la categoría 2, el MTTFD del canal de verificación es mayor que la mitad del MTTFD del canal funcional.

La metodología considera las categorías como arquitecturas con una DCavg definida. El PL de cada SRP/CS depende de

la arquitectura, del tiempo medio hasta un fallo peligroso (MTTFD) de cada canal y de la DCavg.

También se deberían tener en cuenta los fallos de causa común (CCF) (para orientaciones, véase el anexo F). Para las SRP/CS con soporte lógico, se deben aplicar los requisitos del apartado 4.6.

Si no se dispone o no se utilizan datos cuantitativos (por ejemplo, sistemas de poca complejidad), se deberían seleccionar los valores más desfavorables de todos los parámetros pertinentes.

Una combinación de SRP/CS o un SRP/CS único puede tener un PL. La combinación de varias SRP/CS con diferentes PL se considera en el apartado 6.3.

En el caso de aplicaciones con PLr de “a” a “c”, pueden ser suficientes las medidas para evitar los defectos; para

aplicaciones de riesgo más elevado, PLr de “d” a “e”, la estructura de la SRP/CS puede proporcionar medidas para

evitar, detectar o tolerar los defectos. Las medidas prácticas incluyen la redundancia, la diversidad, el control (véase también 3 de la Norma ISO 12100:2010 y la Norma IEC 60204-1:2005).

La figura 5 presenta el procedimiento para la selección de las categorías en combinación con el MTTF D de cada canal y

la DCavg con el fin de obtener el PL requerido de la función de seguridad.

Para la estimación del PL, la figura 5 da las diferentes combinaciones posibles de categorías con la DC _avg (eje

horizontal) y el MTTFD de cada canal (barras). Las barras en el diagrama representan las tres gamas de MTTF D de cada

canal (bajo, medio y alto) que se pueden seleccionar para obtener el PL requerido.

Antes de utilizar este procedimiento simplificado con la figura 5 (que representa los resultados de los diferentes modelos de Markov basados en las arquitecturas tipo de 6), se deben determinar la categoría del SRP/CS así como la DCavg y el MTTFD de cada canal (véase el 6 y los anexos C a E).

Para las categorías 2, 3 y 4, se deben adoptar medidas suficientes contra los fallos de causa común (para orientaciones véase el anexo F). Teniendo estos parámetros en cuenta, la figura 5 proporciona un método gráfico para determinar el

PL obtenido por la SRP/CS. La combinación de categoría (incluyendo los fallos de causa común) y DCavg, determina

qué columna de la figura 5 se debe seleccionar. Según el MTTF_D de cada canal, se debe seleccionar una de las tres

(30)

La posición vertical de esta superficie determina el PL obtenido que se puede leer en el eje vertical. Si la superficie cubre 2 o 3 PL posibles, el PL obtenido se da en la tabla 6. Para una selección numérica del PL más precisa, en función

de un valor preciso del MTTFD de cada canal, véase el anexo K.

Leyenda

PL Nivel de prestaciones 1 MTTFD de cada canal = bajo

2 MTTFD de cada canal = medio

3 MTTFD de cada canal = alto

Figura 5_– Relación entre las categorías, la DCavg, el MTTFD de cada canal y el PL

Tabla 6_– Procedimiento simplificado para evaluar el PL obtenido por la SRP/CS

Categoría B 1 2 2 3 3 4

DCavg nula nula baja media baja media alta

MTTFD de cada canal

Bajo a No cubierto a b b c No cubierto

Medio b No cubierto b c c d No cubierto

Alto No cubierto c c d d d e

4.5.5 Descripción de la parte de salida de la SRP/CS mediante la categoría

Si para los componentes mecánicos, hidráulicos o neumáticos (o componentes que comprenden una mezcla de tecnologías) no hay datos de fiabilidad específicos de la aplicación disponibles, el fabricante de la máquina puede

(31)

Para tales casos, el nivel de prestaciones relativo a la seguridad (PL) se implementa mediante la arquitectura, el diagnóstico y las medidas contra CCF.

La tabla 7 muestra la relación entre el PL alcanzable (correspondiente a la figura 5) y las categorías. El PL “a” y el PL “b” se pueden implementar con la Categoría B. El PL “c” se puede implementar con la Categoría 1 o la Categoría. 2, si

se utilizan componentes de eficacia probada y los principios de seguridad de eficacia probada.

Al implementar una función de seguridad de PL “c” con Categoría 1, se determinan los valores T10D de los componentes

relevantes para la seguridad que no se controlan en el proceso. El fabricante de la máquina puede determinar estos valores T10D en base a los datos de uso probado.

El MTTFD del canal de verificación en Categoría 2 debe ser al menos 10 años.

El PL “d” se puede implementar con Categoría. 3, si se utilizan componentes de eficacia probada y los principios de seguridad de eficacia probada. El PL “e” se puede implementar con Categoría 4, si se utilizan componentes de eficacia

probada y los principios de seguridad de eficacia probada.

En principio: cuando se implementa una función de seguridad con Categoría 2, Categoría 3 o Categoría 4, se tienen que considerar los fallos de causa común (CCF) y una cobertura de diagnóstico (DC) suficiente (baja, media para Categoría 2 y 3, alta para Categoría 4).

En este caso el cálculo de la DCavg se reduce al valor de la media aritmética de todas las DCs individuales de los

componentes en el canal funcional.

Tabla 7_– Estimación más desfavorafle del PL y la PFHD, basada en la categoría, la DCavg, y el uso de

componentes de probada eficacia

PFHD(1/H) Cat. B Cat. 1 Cat. 2 Cat. 3 Cat. 4

PL a 2*10 – 5  0 0 0 0

PL b 5*10 – 6  0 0 0 0

PL c 1,7*10 – 6 – 2* 1* 0 0

PL d 2,9*10 – 7 – – – 1* 0

PL e 4,7*10 – 8 – – – – 1*

 Se recomienda la categoría aplicada.

0 La categoría aplicada es opcional. – No está permitida la categoría.

1* Se deben utilizar componentes de uso probado (véase 3.1.39) o de eficacia probada (confirmados por el fabricante que son adecuados para la aplicación particular) y los principios de seguridad de eficacia probada.

2* Se deben utilizar componentes de eficacia probada y los principios de seguridad de eficacia probada. Para los componentes relativos a la seguridad que no se controlan en el proceso, el fabricante de la máquina puede determinar los valores T10D en base a los datos de uso probado.

4.6 Requisitos para el soporte lógico de seguridad

4.6.1 Generalidades

Todas las actividades del ciclo de vida del soporte lógico empotrado o de aplicación, relativo a la seguridad deben ante todo tratar de evitar la introducción de defectos durante el ciclo de vida del soporte lógico (véase la figura 6). El objetivo principal de los requisitos siguientes es obtener un soporte lógico legible, comprensible, verificable y mantenible.