Prueba de composición

(1)

Prueba de composición

española

TÍTULO

Seguridad de las máquinas

Partes de los sistemas de mando relativas a la seguridad

Parte 1: Principios generales para el diseño

(ISO 13849-1:2006)

Safety of machinery. Safety-related parts of control systems. Part 1: General principles for design. (ISO 13849-1:2006)

Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de conception. (ISO 13849-1:2006)

CORRESPONDENCIA

Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 13849-1:2006, que a su vez adopta la Norma Internacional ISO 13849-1:2006.

OBSERVACIONES

Esta norma anulará y sustituirá a las Normas UNE-EN 954-1:1997 y UNE-EN 954-1:1998 Erratum antes de 2009-12-01.

ANTECEDENTES

Esta norma ha sido elaborada por el comité técnico AEN/CTN 81 Prevención y Medios de Protección Personal y Colectiva en el Trabajo cuya Secretaría desempeña AENOR-INSHT.

Editada e impresa por AENOR Depósito legal: M :2007

LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

94 Páginas © AENOR 2007

(2)

(3)

Prueba de composición

EUROPÄISCHE NORM

ICS 13.110 Sustituye a EN 954-1:1996

Versión en español

Seguridad de las máquinas

Partes de los sistemas de mando relativas a la seguridad

Parte 1: Principios generales para el diseño

(ISO 13849-1:2006)

Safety of machinery. Safety-related parts

of control systems. Part 1: General principles for design.

(ISO 13849-1:2006)

Sécurité des machines. Parties des systèmes de commande relatives à la sécurité. Partie 1: Principes généraux de conception.

(ISO 13849-1:2006)

Sicherheit von Maschinen. Sicherheitsbezogene Teile von Steuerungen. Teil 1: Allgemeine Gestaltungsleitsätze.

(ISO 13849-1:2006)

Esta norma europea ha sido aprobada por CEN el 2006-10-02.

Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas normas nacionales pueden obtenerse en el Centro de Gestión de CEN, o a través de sus miembros.

Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al Centro de Gestión, tiene el mismo rango que aquéllas.

Los miembros de CEN son los organismos nacionales de normalización de los países siguientes: Alemania, Austria, Bélgica, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia y Suiza.

CEN

COMITÉ EUROPEO DE NORMALIZACIÓN European Committee for Standardization

Comité Européen de Normalisation Europäisches Komitee für Normung

(4)

Prueba de composición

PRÓLOGO

El texto de la Norma EN ISO 13849-1:2006 ha sido elaborado por el Comité Técnico CEN/TC 114 Seguridad de máquinas, cuya Secretaría desempeña DIN, en colaboración con el Comité Técnico ISO/TC 199 Seguridad de máquinas.

Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto idéntico a ella o mediante ratificación antes de finales de mayo de 2007, y todas las normas nacionales técnicamente divergentes deben anularse antes de finales de noviembre de 2009.

Esta norma anula y sustituye a la Norma Europea EN 954-1:1996.

Esta norma europea ha sido elaborada bajo un Mandato dirigido a CEN por la Comisión Europea y por la Asociación Europea de Libre Cambio, y sirve de apoyo a los requisitos esenciales de las Directivas europeas.

La relación con las Directivas UE se recoge en el anexo informativo ZA, que forma parte integrante de esta norma.

De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea los organismos de normalización de los siguientes países: Alemania, Austria, Bélgica, Chipre, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia y Suiza.

(5)

Prueba de composición

ÍNDICE

Página

PRÓLOGO ... 7

INTRODUCCIÓN ... 8

1 OBJETO Y CAMPO DE APLICACIÓN ... 10

2 NORMAS PARA CONSULTA... 10

3 TÉRMINOS, DEFINICIONES, SÍMBOLOS Y ABREVIATURAS ... 11

3.1 Términos y definiciones ... 11

3.2 Símbolos y abreviaturas ... 15

4 CONSIDERACIONES RELATIVAS AL DISEÑO... 17

4.1 Objetivos de seguridad en el diseño... 17

4.2 Estrategia para la reducción del riesgo ... 18

4.2.1 Generalidades ... 18

4.2.2 Contribución a la reducción del riesgo mediante el sistema de mando ... 18

4.3 Determinación del nivel de prestaciones requerido PLr... 21

4.4 Diseño de las SRP/CS... 21

4.5 Estimación del nivel de prestaciones obtenido y relación con el SIL... 22

4.5.1 Nivel de Prestaciones PL ... 22

4.5.2 Tiempo medio hasta el fallo peligroso de cada canal (MTTFd)... 24

4.5.3 Cobertura del diagnóstico (DC) ... 24

4.5.4 Procedimiento simplificado para la estimación de un PL... 25

4.6 Requisitos para el soporte lógico de seguridad... 27

4.6.1 Generalidades ... 27

4.6.2 Soporte lógico integrado relativo a la seguridad (SRESW)... 28

4.6.3 Soporte lógico de aplicación relativo a la seguridad (SRASW)... 29

4.6.4 Parametrización basada en el soporte lógico ... 32

4.7 Verificación de que el PL obtenido satisface el PLr... 33

4.8 Aspectos ergonómicos del diseño ... 33

5 FUNCIONES DE SEGURIDAD... 33

5.1 Especificación de las funciones de seguridad... 33

5.2 Detalles de las funciones de seguridad... 35

5.2.1 Función de parada relativa a la seguridad... 35

5.2.2 Función de rearme manual... 36

5.2.3 Puesta en marcha y nueva puesta en marcha ... 36

5.2.4 Función de mando local ... 37

5.2.5 Inhibición ... 37

5.2.6 Tiempo de respuesta ... 37

5.2.7 Parámetros relativos a la seguridad ... 38

(6)

Prueba de composición

6 CATEGORÍAS Y SU RELACIÓN CON LOS MTTFd DE CADA CANAL,

DCavg Y CCF... 38

6.1 Generalidades ... 38

6.2 Especificaciones de las categorías ... 39

6.2.1 Generalidades ... 39 6.2.2 Arquitecturas tipo ... 39 6.2.3 Categoría B ... 39 6.2.4 Categoría 1... 40 6.2.5 Categoría 2... 41 6.2.6 Categoría 3... 43 6.2.7 Categoría 4... 44

6.3 Combinación de SRP/CS para obtener un PL global ... 48

7 CONSIDERACIÓN DE DEFECTOS, EXCLUSIÓN DE DEFECTOS ... 49

7.1 Generalidades ... 49 7.2 Consideración de defectos ... 49 7.3 Exclusión de defectos ... 49 8 VALIDACIÓN ... 49 9 MANTENIMIENTO... 50 10 DOCUMENTACIÓN TÉCNICA ... 50

11 INFORMACIÓN PARA LA UTILIZACIÓN ... 50

ANEXO A (Informativo) DETERMINACIÓN DEL NIVEL DE PRESTACIONES REQUERIDO (PLr) ... 52

ANEXO B (Informativo) MÉTODO DE LOS BLOQUES Y DIAGRAMA DE BLOQUES RELATIVO A LA SEGURIDAD ... 55

ANEXO C (Informativo) CÁLCULO VALORACIÓN DEL MTTFd PARA COMPONENTES INDIVIDUALES ... 57

ANEXO D (Informativo) MÉTODO SIMPLIFICADO PARA ESTIMAR EL MTTFd PARA CADA CANAL ... 65

ANEXO E (Informativo) ESTIMACIONES PARA LA COBERTURA DEL DIAGNÓS- TICO (DC) PARA LAS FUNCIONES Y LOS MÓDULOS... 67

ANEXO F (Informativo) ESTIMACIONES PARA LOS FALLOS DE CAUSA COMÚN (CCF) ... 70

ANEXO G (Informativo) FALLOS SISTEMÁTICOS... 72

ANEXO H (Informativo) EJEMPLO DE COMBINACIÓN DE VARIAS PARTES DEL SISTEMA DE MANDO RELATIVAS A LA SEGURIDAD (SRP/CS) ... 75

ANEXO I (Informativo) EJEMPLOS ... 78

ANEXO J (Informativo) SOPORTE LÓGICO ... 85

ANEXO K (Informativo) REPRESENTACIÓN NUMÉRICA DE LA FIGURA 5... 88

(7)

Prueba de composición

PRÓLOGO

ISO (la Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica.

Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/IEC.

La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas internacionales adoptados por los comités técnicos se envían a los organismos miembros para su votación. La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos miembros con derecho a voto.

Se llama la atención sobre la posibilidad de que algunos de los elementos de esta norma internacional puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente.

La Norma Internacional ISO 13849-1 fue preparada por el Comité Europeo de Normalización CEN/TC 114 Seguridad de máquinas, en colaboración con el Comité Técnico ISO/TC 199 Seguridad de máquinas, de acuerdo con el Acuerdo de cooperación técnica entre ISO y CEN (Acuerdo de Viena). Esta segunda edición anula y sustituye a la primera edición (ISO 13849-1:1999), que ha sido revisada técnicamente.

La Norma ISO 13849 consta de las partes siguientes, bajo el título general Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad:

− Parte 1: Principios generales para el diseño.

− Parte 2: Validación.

(8)

Prueba de composición

INTRODUCCIÓN

La estructura de las normas en el ámbito de la seguridad de las máquinas es la siguiente:

a) Normas de tipo A (normas de seguridad fundamentales) que precisan nociones fundamentales, principios para el diseño y aspectos generales que pueden ser aplicados a todos los tipos de máquinas.

b) Normas de tipo B (normas de seguridad relativas a una materia) que tratan de uno o más aspectos de seguridad o de uno o más tipos de protecciones, que son válidas para una amplia gama de máquinas:

− normas de tipo B1, que tratan de aspectos particulares de la seguridad (por ejemplo, distancias de seguridad, temperatura superficial, ruido);

− normas de tipo B2, que tratan de protecciones (por ejemplo, mando a dos manos, dispositivos de enclavamiento, dispositivos sensibles a la presión, resguardos).

c) Normas de tipo C (normas de seguridad de las máquinas) que tratan de requisitos de seguridad detallados para una máquina particular o para un grupo de máquinas.

Esta parte de la Norma ISO 13849-1 es una norma de tipo B-1 tal como se establece en la Norma ISO 12100-1.

Si las especificaciones de una norma de tipo C son diferentes de las establecidas en las normas de tipo A o de tipo B, las especificaciones de la norma de tipo C tienen prioridad sobre las especificaciones de otras normas, para máquinas que se hayan diseñado y construido conforme a las especificaciones de la norma de tipo C.

Esta parte de la Norma ISO 13849 está prevista para guiar a aquellos que estén implicados en el diseño y evaluación de los sistemas de mando, así como a los Comités Técnicos que elaboran las normas de tipo B2 o de tipo C que se presumen conformes a los requisitos esenciales de seguridad del anexo I de la Directiva del Consejo 98/37/CE, Directiva Máquinas. Esta norma no da orientaciones específicas para cumplir con otras Directivas CE.

Como parte de la estrategia global de reducción de riesgos de una máquina, un diseñador optará a menudo por conseguir alguna medida de reducción de riesgos mediante la aplicación de protecciones que emplean una o varias funciones de seguridad.

Las partes de los sistemas de mando de las máquinas que tienen asignado desempeñar funciones de seguridad se denominan partes de los sistemas de mando relativas a la seguridad (SRP/CS) y pueden estar constituidas de soporte material (hardware) y de soporte lógico (software) y pueden estar separadas del sistema de mando de la máquina o ser una parte integral del mismo. Además de desempeñar las funciones de seguridad, las SRP/CS pueden desempeñar también funciones operativas (por ejemplo, dispositivos de mando a dos manos como medio para la puesta en marcha de un proceso).

La aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles, está clasificada en cinco niveles denominados niveles de prestaciones (PL). Estos niveles de prestaciones se definen en términos de probabilidad de fallo peligroso por hora (véase la tabla 3).

La probabilidad de fallo peligroso de una función de seguridad depende de varios factores, incluyendo la estructura del soporte material y del soporte lógico, la magnitud de los mecanismos de detección de defectos [cobertura del diagnóstico (DC)], fiabilidad de los componentes [tiempo medio hasta un fallo peligroso (MTTFd), fallos de causa

común (CCF)], proceso de diseño, esfuerzos de funcionamiento, condiciones ambientales y procedimientos de trabajo. Con el fin de ayudar al diseñador y facilitarle la evaluación del PL conseguido, este documento emplea una metodología basada en la categorización de estructuras conforme a criterios de diseño específicos y a comportamientos especificados en caso de defecto. Estas categorías se clasifican en cinco niveles, denominados Categorías B, 1, 2, 3 y 4.

(9)

Prueba de composición

Los niveles de prestaciones y las categorías se pueden aplicar a las partes de los sistemas de mando relativas a la seguridad, tales como:

– dispositivos de protección (por ejemplo, dispositivos de mando a dos manos, dispositivos de enclavamiento), dispositivos de protección electrosensibles (por ejemplo, barreras fotoeléctricas), dispositivos sensibles a la presión; – las unidades de mando (por ejemplo, un bloque lógico para funciones de mando, tratamiento de datos, control, etc.), y – elementos de mando de los accionadores (por ejemplo, relés, válvulas, etc.),

así como a los sistemas de mando que desempeñan funciones de seguridad en todo tipo de máquinas, desde las más sencillas (por ejemplo, pequeñas máquinas de cocina, o puertas y barreras automáticas) a instalaciones manufactureras (por ejemplo, máquinas de embalaje, máquinas de imprimir, prensas).

El objetivo de esta parte de la Norma ISO 13849 es proporcionar una base clara que permita evaluar el diseño y las prestaciones de cualquier aplicación de SRP/CS (y de la máquina), por una tercera parte o internamente o por un laboratorio de ensayo independiente, por ejemplo.

Información sobre la aplicación recomendada de la Norma IEC 62061 y esta parte de la Norma ISO 13849 La Norma IEC 62061 y esta parte de la Norma ISO 13849 especifican los requisitos para el diseño y la implementación de sistemas de mando relativos a la seguridad de las máquinas. La utilización de cualquiera de estas normas internacionales, de acuerdo con sus campos de aplicación, puede dar presunción de conformidad con los requisitos esenciales de seguridad pertinentes. La tabla siguiente resume los campos de aplicación de la Norma IEC 62061 y de esta parte de la Norma ISO 13849.

Tabla 1 – Aplicación recomendada de la Norma IEC 62061 y de la Norma ISO 13849-1 Tecnología que implementa

la(s) función(es) de mando

relativa(s) a la seguridad ISO 13849-1 IEC 62061

A No eléctrica, por ejemplo,

hidráulica X No cubierta

B Electromecánica, por ejemplo, relés

y/o electrónica no compleja Restringida a arquitecturas tipo

a_y

hasta un PL = e Todas las arquitecturas y hasta un SIL 3 C Electrónica compleja, por ejemplo,

programable Restringida a arquitecturas tipo

a_y

hasta un PL = d Todas las arquitecturas y hasta un SIL 3 D A combinada con B Restringida a arquitecturas tipoa_y

hasta un PL = e Xc

E C combinada con B Restringida a arquitecturas tipo

(véase la Nota 1) y hasta un PL = d Todas las arquitecturas y hasta un SIL 3 F C combinada con A, o C

combinada con A y B Xb Xc

X indica que este aspecto se trata en la norma internacional mostrada en el encabezamiento de la columna.

a_{En el apartado 6.2 se definen las arquitecturas tipo con el fin de dar una aproximación simplificada para la cuantificación del nivel de} prestaciones.

b_{Para electrónica compleja: utilizar arquitecturas tipo de acuerdo con esta parte de la Norma ISO 13849 hasta un PL = d, o cualquier arquitectura} de acuerdo con la Norma IEC 62061.

(10)

Prueba de composición

1 OBJETO Y CAMPO DE APLICACIÓN

Esta parte de la Norma ISO 13849 proporciona requisitos de seguridad y orientaciones sobre los principios para el diseño e integración de las partes de los sistemas de mando relativas a la seguridad (SRP/CS), incluyendo el diseño del soporte lógico (software). Para estas partes especifica las características, incluyendo el nivel de prestaciones requerido, para desempeñar las funciones de seguridad. Se aplica a las SRP/CS de cualquier tipo de máquina, independientemente de la tecnología y del tipo de energía utilizadas (eléctrica, hidráulica, neumática, mecánica, etc.).

En ella no se especifican qué funciones de seguridad ni qué niveles de prestaciones se deben utilizar en un caso particular.

Esta parte de la Norma ISO 13849 proporciona requisitos específicos para SRP/CS que utilizan sistemas electrónicos programables.

En ella no se dan requisitos específicos para el diseño de componentes integrados en las SRP/CS. Sin embargo, se pueden utilizar los principios establecidos, tales como las categorías o los niveles de prestaciones.

NOTA 1 Ejemplos de componentes integrados en las SRP/CS: relés, electroválvulas, interruptores de posición, PLCs, unidades de control de motores, dispositivos de mando a dos manos, equipos sensibles a la presión. Para el diseño de dichos componentes, es importante remitirse a las Normas Internacionales específicas, por ejemplo, ISO 13851, ISO 13856-1 e ISO 13856-2.

NOTA 2 Para la definición de nivel de prestaciones requerido, véase el apartado 3.1.24.

NOTA 3 Los requisitos proporcionados en esta parte de la Norma ISO 13849 para sistemas electrónicos programables son compatibles con la metodología para el diseño y desarrollo de las partes de los sistemas de mando eléctricos, electrónicos y electrónicos programables, relativas a la seguridad de las máquinas, dadas en la Norma IEC 62061.

NOTA 4 Para soporte lógico embebido relativo a la seguridad en componentes con PLr = e, véase el capítulo 7 de la Norma IEC 61508-3:1998. NOTA 5 Véase también la tabla 1.

2 NORMAS PARA CONSULTA

Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición de la norma (incluyendo cualquier modificación de ésta).

ISO 12100-1:2003 Seguridad de las máquinas. Conceptos básicos, principios generales para el diseño. Parte 1: Terminología básica. Metodología.

ISO 12100-2:2003 Seguridad de las máquinas. Conceptos básicos, principios generales para el diseño. Parte 2: Principios técnicos.

ISO 13849-2:2003 Seguridad de las máquinas. Partes de los sistemas de mando relativas a la seguridad. Parte 2: Validación.

ISO 141211)_{Seguridad de las máquinas. Principios para la evaluación del riesgo.}

IEC 60050-191:1990 Vocabulario electrotécnico internacional. Capítulo 191: Confiabilidad y calidad de servicio, y IEC 60050-191-mod1:1999 y IEC 60050-191-mod2:2002:1999 Vocabulario electrotécnico internacional. Capítulo 191: Confiabilidad y calidad de servicio.

IEC 61508-3:1998 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 3: Requisitos del software (soporte lógico), y IEC 61508-3 Corr.1:1999, Corrigendum 1 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 3: Requisitos del software (soporte lógico).

(11)

Prueba de composición

IEC 61508-4:1998 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 4: Definiciones y abreviaturas, y IEC 61508-4 Corr.1:1999, Corrigendum 1 Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Parte 4: Definiciones y abreviaturas.

3 TÉRMINOS, DEFINICIONES, SÍMBOLOS Y ABREVIATURAS

3.1 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones de las Normas ISO 12100-1 e IEC 60050-191, así como los siguientes.

3.1.1 parte de un sistema de mando relativa a la seguridad (SRP/CS):

Parte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad.

NOTA 1 Las partes combinadas de un sistema de mando relativas a la seguridad comienzan en los puntos en los que se generan las señales de entrada relativas a la seguridad (incluyendo, por ejemplo, la leva de accionamiento y el rodillo del interruptor de posición) y terminan a la salida de los elementos de mando de los accionadores (incluyendo, por ejemplo, los contactos principales de un contactor).

NOTA 2 Si se utilizan sistemas de control para los diagnósticos, éstos también se consideran SRP/CS.

3.1.2 categoría:

Clasificación de las partes de un sistema de mando relativas a la seguridad en función de su resistencia a defectos y de su comportamiento subsecuente en caso de defecto, y que se obtiene mediante la arquitectura de dichas partes, la detección de defectos y/o su fiabilidad.

3.1.3 defecto o avería:

Estado de una unidad caracterizado por la incapacidad para desempeñar la función requerida, excluyendo la incapacidad debida al mantenimiento preventivo o a otras acciones programadas o debido a la falta de medios externos.

NOTA 1 A menudo un defecto es la consecuencia de un fallo de la propia unidad, pero puede existir sin fallo previo.

[IEC 60050-191:1990, 05-01]

NOTA 2 En esta parte de la Norma ISO 13849, “defecto” significa defecto aleatorio.

3.1.4 fallo:

Cese de la aptitud de una unidad para cumplir una función requerida.

NOTA 1 Después de que una unidad falla, tiene un defecto. NOTA 2 Un fallo es un suceso, mientras que un defecto en un estado.

NOTA 3 La noción de defecto, tal como se ha definido, no se aplica a una unidad constituida solamente por un soporte lógico.

[IEC 60050-191:1990, 04-01]

NOTA 4 Los fallos que solamente afectan a la disponibilidad del proceso controlado por el sistema de mando no están cubiertos por el campo de aplicación de esta parte de la Norma ISO 13849.

3.1.5 fallo peligroso:

Fallo que potencialmente puede poner una SRP/CS en un estado peligroso o defectuoso.

NOTA 1 El hecho de que se materialice o no dicha “potencialidad” puede depender de la arquitectura de canales del sistema; en sistemas redundantes, es menos probable que un fallo peligroso en el soporte material de lugar a un estado global peligroso o defectuoso.

(12)

Prueba de composición

3.1.6 fallo de causa común (CCF):

Fallo de varios elementos, que resultan de un solo suceso y que no son consecuencia unos de otros. [IEC 60050-191-mod1:1999, 04-23]

NOTA Los fallos de causa común no se deberían confundir con los fallos de modo común (véase la Norma ISO.12100-1:2003, 3.34).

3.1.7 fallo sistemático:

Fallo asociado de manera determinista a una cierta causa, que solamente puede ser eliminado mediante una modificación del diseño o del proceso de fabricación, de los procedimientos de trabajo, de la documentación o de otros factores apropiados.

NOTA 1 El mantenimiento correctivo sin modificación, no eliminará, normalmente, la causa del fallo. NOTA 2 Un fallo sistemático se puede inducir simulando la causa del fallo.

[IEC 60050-191:1990, 04-19]

NOTA 3 Ejemplos de causas de fallos sistemáticos incluyen los errores humanos en: − las especificaciones de los requisitos de seguridad;

− el diseño, la fabricación, la instalación, el funcionamiento del soporte material y − el diseño, la implementación, etc., del soporte lógico.

3.1.8 inhibición:

Interrupción automática y temporal de la(s) función(es) de seguridad mediante las SRP/CS. 3.1.9 rearme manual:

Función interna a las SRP/CS que permite restablecer manualmente funciones de seguridad determinadas antes de una nueva puesta en marcha de la máquina.

3.1.10 daño:

Lesión física o deterioro de la salud. [ISO 12100-1:2003, 3.5]

3.1.11 peligro: Fuente de posible daño.

NOTA 1 El concepto "peligro" se puede cualificar con el fin de definir su origen (por ejemplo, peligro mecánico, peligro eléctrico) o la naturaleza del posible daño (por ejemplo, peligro de choque eléctrico, peligro de corte, peligro de intoxicación, peligro de incendio).

NOTA 2 El peligro considerado en esta definición:

− puede estar permanentemente presente durante el uso previsto de la máquina (por ejemplo, elementos móviles peligrosos en movimiento, arco eléctrico durante una operación de soldadura, postura incómoda, emisión de ruido, temperatura alta); o

− puede aparecer de forma imprevista (por ejemplo, explosión, peligro de aplastamiento como consecuencia de una puesta en marcha inesperada / intempestiva, proyección como consecuencia de una rotura, caída como consecuencia de una aceleración / deceleración).

[ISO 12100-1:2003, 3.6] 3.1.12 situación peligrosa:

Circunstancia en la que una(o varias) persona(s) está(n) expuesta(s) al menos a un peligro. La exposición puede dar lugar a un daño de forma inmediata o después de un periodo de tiempo.

(13)

Prueba de composición

3.1.13 riesgo:

Combinación de la probabilidad de que se produzca un daño y de la gravedad de dicho daño. [ISO 12100-1:2003, 3.11]

3.1.14 riesgo residual:

Riesgo que queda después de que se hayan tomado las medidas preventivas. Véase la figura 2.

NOTA Adaptada de la Norma ISO 12100-1:2003, definición 3.12.

3.1.15 evaluación del riesgo:

Proceso global que comprende el análisis de riesgos y la valoración de riesgos. [ISO 12100-1:2003, 3.13]

3.1.16 análisis del riesgo:

Combinación de la especificación de los límites de la máquina, la identificación del peligro y la estimación del riesgo. [ISO 12100-1:2003, 3.14]

3.1.17 valoración del riesgo:

Juzgar, conforme al resultado del análisis del riesgo, si los objetivos de reducción del riesgo se han alcanzado. [ISO 12100-1:2003, 3.16]

3.1.18 uso previsto de una máquina:

Uso de una máquina, de acuerdo con la información proporcionada en las instrucciones para la utilización. [ISO 12100-1:2003, 3.22]

3.1.19 mal uso razonablemente previsible:

Uso de una máquina de una manera para la que no está destinada por el diseñador, pero que puede resultar de un comportamiento humano fácilmente predecible.

[ISO 12100-1:2003, 3.23] 3.1.20 función de seguridad:

Función de una máquina cuyo fallo podría dar lugar a un aumento inmediato del (de los) riesgo(s). [ISO 12100-1:2003, 3.28]

3.1.21 control:

Función de seguridad que asegura que se inicia una medida preventiva si disminuye la aptitud de un componente o de un elemento para desempeñar su función o si se modifican las condiciones del proceso de manera que se genera una disminución de la reducción de riesgo.

3.1.22 sistema electrónico programable (PES):

Sistema para mando, protección o control cuyo funcionamiento depende de uno o más dispositivos electrónicos programables, incluyendo todos los elementos del sistema tales como las fuentes de alimentación, los sensores y otros dispositivos de entrada, contactores y otros dispositivos de salida.

(14)

Prueba de composición

3.1.23 nivel de prestaciones (PL):

Nivel discreto utilizado para especificar la aptitud de las partes de los sistemas de mando relativas a la seguridad para desempeñar una función de seguridad en condiciones previsibles.

NOTA Véase el apartado 4.5.1.

3.1.24 nivel de prestaciones requerido (PLr):

Nivel de prestaciones (PL) aplicado con el fin de conseguir la reducción de riesgo requerida para cada función de seguridad.

Véanse las figuras 2 y A.1.

3.1.25 tiempo medio hasta un fallo peligroso (MTTFd): Valor probable de la duración media hasta un fallo peligroso.

NOTA Adaptada de la Norma IEC 62061:2005, definición del apartado 3.2.34.

3.1.26 cobertura del diagnóstico (DC):

Medida de la efectividad del diagnóstico, que se puede determinar como la relación entre el número de fallos peligrosos detectados y el número total de fallos peligrosos.

NOTA 1 La cobertura del diagnóstico puede referirse a la totalidad o a parte de un sistema relativo a la seguridad. Por ejemplo, la cobertura del diagnóstico puede referirse a los sensores y/o a un sistema lógico y/o a los elementos finales.

NOTA 2 Adaptada de la Norma IEC 61508-4:1998, definición del apartado 3.8.6.

3.1.27 medida preventiva:

Medida prevista para lograr la reducción del riesgo.

EJEMPLO 1 Implementada por el diseñador: diseño inherentemente seguro, protección y medidas preventivas complementarias, información para la utilización.

EJEMPLO 2 Implementada por el usuario: organización (procedimientos de trabajo seguros, supervisión, sistemas de permiso de trabajo); provisión y utilización de protecciones adicionales; utilización de equipos de protección individual, formación.

NOTA Adaptada de la Norma ISO 12100-1:2003, definición del apartado 3.18.

3.1.28 duración de la misión (TM):

Periodo de tiempo que comprende el uso previsto de una SRP/CS. 3.1.29 tasa de verificación (rt):

Frecuencia de las verificaciones automáticas para detectar defectos en una SRP/CS, valor inverso del intervalo entre verificaciones de diagnóstico.

3.1.30 tasa de solicitación (rd):

Frecuencia de solicitación de una acción relativa a la seguridad de una SRP/CS. 3.1.31 tasa de reparación (rr):

Valor inverso del periodo de tiempo entre la detección de un fallo peligroso, ya sea por una verificación automática o por un mal funcionamiento evidente del sistema y el reinicio del funcionamiento después de la reparación del sistema o la sustitución del sistema/componente.

(15)

Prueba de composición

3.1.32 sistema de mando de la máquina:

Sistema que responde a señales de entrada de partes de las máquinas, de los operadores, de los órganos de mando externos o de cualquier combinación de estos y que genera señales de salida que dan lugar a que la máquina se comporte de una manera prevista.

NOTA El sistema de mando de una máquina puede utilizar cualquier tecnología o cualquier combinación de tecnologías diferentes (por ejemplo, eléctrica/electrónica, hidráulica, neumática, mecánica).

3.1.33 nivel de integridad de la seguridad (SIL):

Nivel discreto (entre cuatro posibles), para especificar los requisitos de integridad de la seguridad de las funciones de mando relativas a la seguridad asignadas a los sistemas eléctricos, electrónicos y electrónicos programables relativos a la seguridad, siendo el nivel 4 de integridad de la seguridad el que posee el nivel más alto de integridad de la seguridad y el nivel 1 de integridad de la seguridad el que posee el más bajo.

[IEC 61508-4:1998, 3.5.6]

3.1.34 lenguaje de variabilidad limitada (LVL):

Tipo de lenguaje que proporciona la posibilidad de combinar funciones de bibliotecas, predefinidas, específicas para una aplicación, con el fin de implementar las especificaciones de los requisitos relativos a la seguridad.

NOTA 1 Adaptada de la Norma IEC 61511-1:2003, definición del apartado 3.2.80.1.2.

NOTA 2 En la Norma IEC 61131-3 se dan ejemplos típicos de LVL (escala lógica, esquema de bloques funcionales). NOTA 3 Un ejemplo típico de sistema que utiliza el LVL: PLC.

3.1.35 lenguaje de variabilidad total (FVL):

Tipo de lenguaje que proporciona la posibilidad de implementar una amplia gama de funciones y aplicaciones.

Ejemplo C, C++, Ensamblador.

NOTA 1 Adaptada de la Norma IEC 61511-1:2003, definición del apartado 3.2.80.1.3. NOTA 2 Un ejemplo típico de sistema que utiliza el FVL: Sistemas integrados.

NOTA 3 En el ámbito de las máquinas, el FVL se encuentra en los soportes lógicos integrados y raramente en los soportes lógicos de aplicación.

3.1.36 soporte lógico de aplicación:

Soporte lógico específico para una aplicación, implementado por el fabricante de la máquina y que generalmente contiene secuencias lógicas, límites y expresiones que gobiernan las entradas, las salidas, cálculos apropiados y las decisiones necesarias para cumplir los requisitos de las SRP/CS.

3.1.37 soporte lógico integrado (soporte lógico rígido, soporte lógico del sistema):

Soporte lógico que es parte del sistema suministrado por el fabricante y que no es accesible para modificaciones por el usuario de la máquina.

NOTA El soporte lógico integrado se escribe normalmente en FVL.

3.2 Símbolos y abreviaturas Véase la tabla 2.

(16)

Prueba de composición

Tabla 2 – Símbolos y abreviaturas

Símbolo o

abreviatura Descripción Definición o lugaren el que aparece

a, b, c, d, e Denominación de los niveles de prestaciones Tabla 3

AMFD Análisis de los modos de fallo y sus efectos 7.2

AOPD Dispositivo de protección optoelectrónico activo (por ejemplo, barrera

fotoeléctrica) Anexo H

B, 1, 2, 3, 4 Denominación de las categorías Tabla 7

B10d Número de ciclos hasta que el 10% de los componentes falla

peligrosa-mente (para componentes neumáticos y electromecánicos)

Anexo C

Cat. Categoría 3.1.2

CC Convertidor de corriente Anexo I

CCF Fallo de causa común 3.1.6

DC Cobertura del diagnóstico 3.1.26

DCavg Cobertura del diagnóstico media E.2

F, F1, F2 Frecuencia y/o tiempo de exposición al peligro A.2.2

FB Bloque funcional 4.6.3

FVL Lenguaje de variabilidad total 3.1.35

I, I1, I2 Dispositivo de entrada, por ejemplo, sensor 6.2

i, j Índice de conteo Anexo D

I/O Entradas/salidas Tabla E.1

iab, ibc Medios de interconexión Figura 4

K1A, K1B Contactores Anexo I

L, L1, L2 Lógica 6.2

LVL Lenguaje de variabilidad limitada 3.1.34

M Motor Anexo I

MTTF Tiempo medio hasta un fallo Anexo C

MTTFd Tiempo medio hasta un fallo peligroso 3.1.25

n, N, Ñ Número de elementos 6.3, D.1

Nlow Número de SRP/CS con PLlow en una combinación de SRP/CS 6.3

O, O1, O2, OTE Dispositivo de salida, por ejemplo, accionador 6.2

P, P1, P2 Posibilidad de evitar el daño A.2.3

PES Sistema electrónico programable 3.1.22

PL Nivel de prestaciones 3.1.23

PLC Autómata programable Anexo I

PLlow Nivel de prestaciones más bajo de una SRP/CS en una combinación de

SRP/CS 6.3

PLr Nivel de prestaciones requerido 3.1.24

rd Tasa de solicitación 3.1.30

RS Detector de rotación Anexo I

S, S1, S2 Severidad del daño A.2.1

SW1A, SW1B,

SW2 Interruptores de posición Anexo I

SIL Nivel de integridad de la seguridad Tabla 4

SRASW Soporte lógico de aplicación relativo a la seguridad 4.6.3

SRESW Soporte lógico integrado relativo a la seguridad 4.6.2

SRP Parte relativa a la seguridad General

SRP/CS Parte de un sistema de mando relativa a la seguridad 3.1.1

TE Equipo de ensayo 6.2

(17)

Prueba de composición

4 CONSIDERACIONES RELATIVAS AL DISEÑO

4.1 Objetivos de seguridad en el diseño

Las SRP/CS deben ser diseñadas y construidas de manera que se tengan totalmente en cuenta los principios de las Normas ISO 12100 e ISO 14121 (véanse las figuras 1 y 3). Se debe tener en cuenta cualquier uso previsto y cualquier mal uso razonablemente previsible.

a _{Referencia a la Norma ISO 12100-1:2003.} b _{Referencia a esta parte de la Norma ISO 13849.}

(18)

Prueba de composición

4.2 Estrategia para la reducción del riesgo

4.2.1 Generalidades

La estrategia para la reducción de riesgos en la máquina se da en el capítulo 5 de la Norma ISO 12100-1:2003 y en los capítulos 4 (medidas de diseño inherentemente seguro) y 5 (protección y medidas preventivas suplementarias). Esta estrategia cubre el ciclo completo de la vida de la máquina.

El proceso de evaluación del riesgo y de reducción del riesgo para una máquina impone que se eliminen los peligros o que se reduzcan los riesgos mediante una jerarquía de medidas:

− eliminación del peligro o reducción del riesgo por diseño (véase el capítulo 4 de la Norma ISO 12100-2:2003); − reducción del riesgo por protección y posibles medidas preventivas suplementarias (véase el capítulo 5 de la Norma

ISO 12100-2:2003);

− reducción del riesgo proporcionando información para la utilización acerca del riesgo residual (véase el capítulo 6 de la Norma ISO 12100-2:2003).

4.2.2 Contribución a la reducción del riesgo mediante el sistema de mando

El objetivo del procedimiento general de diseño de una máquina es conseguir los objetivos de seguridad (véase el apartado 4.1). El diseño de una SRP/CS para obtener la reducción del riesgo requerida es parte integrante del proceso global de diseño de una máquina. La SRP/CS desempeña una (varias) función (es) de seguridad para un PL con el que se alcanza la reducción del riesgo requerida. El diseño de una SRP/CS es una parte de la estrategia para la reducción del riesgo en la medida en que asegura una (varias) función (es) de seguridad, ya sea formando parte del diseño inherentemente seguro o como mando asociado a una protección o un dispositivo de protección. Se trata del proceso iterativo ilustrado en las figuras 1 y 3.

Para cada función de seguridad, se deben detallar y documentar las características (véase el capítulo 5) y el nivel de prestaciones requerido, en las especificaciones relativas a los requisitos de seguridad.

En esta parte de la Norma ISO 13849 los niveles de prestaciones se definen en términos de probabilidad de fallo peligroso por hora. Se establecen cinco niveles de prestaciones (del a al e), mediante una gama de probabilidades de fallo peligroso por hora (véase la tabla 3).

Tabla 3 – Niveles de prestaciones (PL)

PL Probabilidad media de un fallo peligroso por hora

1/h a ≥ 10-5_{a < 10}-4 b ≥ 3 x 10-6_{a < 10}-5 c ≥ 10-6_{a < 3 x 10}-6 d ≥ 10-7_{a < 10}-6 e ≥ 10-8 a < 10-7

NOTA Además de la probabilidad media de fallo peligroso por hora, son necesarias otras medidas para obtener el PL.

A partir de la evaluación de riesgos (véase la Norma ISO 14121) de la máquina, el diseñador debe decidir la contribución a la reducción del riesgo que debe aportar la función de seguridad pertinente, desempeñada por la(s) SRP/CS. Esta contribución no cubre el riesgo global de la máquina considerada; por ejemplo, no se tiene en cuenta el riesgo global de una prensa mecánica, o de una lavadora, sino solamente la parte del riesgo reducida por la aplicación de las funciones de seguridad particulares. La función de parada iniciada por un dispositivo de protección electrosensible en una prensa o la función de bloqueo de la puerta de una lavadora, son ejemplos de dichas funciones. La reducción del riesgo se puede obtener aplicando varias medidas preventivas (tanto SRP/CS como no SRP/CS), con el resultado final de lograr una condición segura (véase la figura 2).

(19)

Prueba de composición

Leyenda

Rh para una determinada situación peligrosa, es el riesgo existente antes de aplicar medidas preventivas Rr reducción del riesgo que es necesario obtener mediante las medidas preventivas

Ra reducción del riesgo realmente conseguida mediante las medidas preventivas

1 solución 1: una parte importante de la reducción del riesgo se debe a medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico) y una pequeña parte de la reducción del riesgo se debe a la SRP/CS

2 solución 2: una parte importante de la reducción del riesgo se debe a la SRP/CS (por ejemplo, una barrera fotoeléctrica) y una pequeña parte de la reducción del riesgo se debe a medidas preventivas distintas de la SRP/CS (por ejemplo, medidas de tipo mecánico)

3 reducción del riesgo adecuada

4 reducción del riesgo inadecuada

R riesgo

a riesgo residual obtenido mediante las soluciones 1 y 2

b riesgo obtenido adecuado

R1SRP/CS, R2SRP/CS reducción del riesgo mediante la función de seguridad desempeñada por la SRP/CS

R1M, R2M reducción del riesgo mediante medidas preventivas distintas de las SRP/CS (por ejemplo, medidas de tipo mecánico) NOTA Para más información sobre la reducción del riesgo véase la Norma ISO 12100.

(20)

Prueba de composición

a_{La Norma ISO 13849-2 proporciona una ayuda complementaria para la validación}

(21)

Prueba de composición

4.3 Determinación del nivel de prestaciones requerido PLr

Para cada función de seguridad seleccionada que debe ser desempeñada por una SRP/CS, se debe determinar y documentar el nivel de prestaciones requerido (PLr) (véase el anexo A sobre las directrices para determinar el PLr). El

nivel de prestaciones requerido se determina como resultado de la evaluación de riesgos y se refiere a la cantidad de reducción del riesgo proporcionada por las partes del sistema de mando relativas a la seguridad (véase la figura 2). Cuanto mayor sea la cantidad de reducción del riesgo que debe ser proporcionada por la SRP/CS, mayor debe ser el PLr.

4.4 Diseño de las SRP/CS

Parte del proceso de reducción del riesgo consiste en determinar las funciones de seguridad de la máquina. Esto comprende las funciones de seguridad del sistema de mando, por ejemplo, la prevención de una puesta en marcha intempestiva.

Una función de seguridad puede ser desempeñada por una o varias SRP/CS, y varias funciones de seguridad pueden compartir una o más SRP/CS [por ejemplo, una unidad lógica, elementos de mando de los accionadores]. También es posible que una SRP/CS implemente funciones de seguridad y funciones de mando normales. El diseñador puede utilizar cualquiera de las tecnologías disponibles, por separado o en combinación. Las SRP/CS también pueden proporcionar una función operativa (por ejemplo, una AOPD como medio para iniciar un ciclo).

En la figura 4 se da una representación esquemática de una función de seguridad tipo, que representa una combinación de partes del sistema de mando relativas a la seguridad (SRP/CS) para:

− la entrada (SRP/CSa);

− la lógica/el tratamiento (SRP/CSb);

− la salida/los elementos de mando de los accionadores (SRP/CSc), y

− los medios de interconexión (iab, ibc) (por ejemplo, eléctricos, ópticos).

NOTA 1 Para una misma máquina es importante distinguir entre las diferentes funciones de seguridad y sus respectivas SRP/CS que desempeñan una función de seguridad dada.

Después de haber identificado las funciones de seguridad del sistema de mando, el diseñador debe identificar las SRP/CS (véanse las figuras 1 y 3) y, si es preciso, debe asignarlas a la entrada, a la lógica y a la salida y, en el caso de redundancia, los canales individuales y entonces, estimar el nivel de prestaciones PL (véase la figura 3).

NOTA 2 En el capítulo 6 se dan arquitecturas tipo.

(22)

Prueba de composición

Leyenda I Entrada L Lógica O Salida

1 suceso iniciador (por ejemplo, accionamiento manual de un pulsador, apertura de un resguardo, interrupción de un haz de un AOPD) 2 accionador de la máquina (por ejemplo, el freno)

Figura 4 – Representación esquemática de una combinación de partes del sistema de mando relativas a la seguridad para el tratamiento de una función de seguridad típica 4.5 Estimación del nivel de prestaciones obtenido y relación con el SIL

4.5.1 Nivel de Prestaciones PL

Para los fines de esta parte de la Norma ISO 13849, la aptitud de las partes relativas a la seguridad para desempeñar una función de seguridad se expresa mediante la determinación del nivel de prestaciones.

Para cada SRP/CS seleccionada y/o para cualquier combinación de SRP/CS que desempeñe una función de seguridad se debe realizar una estimación del PL.

El PL de la SRP/CS se debe determinar mediante la estimación de los siguientes aspectos: − el valor de MTTFd para componentes independientes (véanse los anexos C y D);

− la DC (véase el anexo E); − los CCF (véase el anexo F); − la estructura (véase el capítulo 6);

− el comportamiento de la función de seguridad en condiciones de defecto (véase el capítulo 6); − el soporte lógico relativo a la seguridad (véanse el apartado 4.6 y el anexo J);

− los fallos sistemáticos (véase el anexo G);

− la aptitud para desempeñar una función de seguridad en las condiciones ambientales previstas.

NOTA 1 También pueden tener una cierta influencia otros parámetros como, por ejemplo, los aspectos operativos, la tasa de solicitación o la tasa de comprobación.

(23)

Prueba de composición

Estos aspectos se pueden agrupar según dos enfoques, con respecto al proceso de estimación:

a) los aspectos cuantificables (valor de MTTFd para componentes independientes, DC, CCF, estructura);

b) los aspectos cualitativos no cuantificables, que afectan al comportamiento de la SRP/CS (comportamiento de la función de seguridad en condiciones de defecto, soporte lógico relativo a la seguridad, fallos sistemáticos y condiciones ambientales).

Entre los aspectos cuantificables, la contribución de la fiabilidad (por ejemplo, MTTFd, estructura), puede variar según

la tecnología que se utilice. Por ejemplo, es posible (dentro de ciertos límites) que partes relativas a la seguridad de un solo canal de alta fiabilidad, en una tecnología dada, ofrezca un PL igual o superior al de una estructura tolerante a defectos de fiabilidad menor, en una tecnología diferente.

Existen varios métodos para estimar los aspectos cuantificables del PL para cualquier tipo de sistema (por ejemplo, una estructura compleja). Estos métodos son, por ejemplo, los modelos de Markov, las redes de Petri estocásticas generalizadas (GSPN), los diagramas de bloques de confiabilidad [véase, por ejemplo, la Norma IEC 61508].

Para facilitar la valoración de los aspectos cuantificables del PL, esta parte de la Norma ISO 13849 proporciona un método simplificado basado en la definición de cinco arquitecturas tipo que satisfacen criterios específicos de diseño y de comportamiento en condiciones de defecto (véase el apartado 4.5.4).

Para una SRP/CS o una combinación de SRP/CS diseñada conforme a los requisitos del Capítulo 6, la probabilidad media de fallo peligroso se puede estimar mediante la figura 5 y el procedimiento establecido en los anexos A a H, J y K.

Para una SRP/CS que no respete las arquitecturas tipo, se debe proporcionar un cálculo detallado para demostrar que se ha alcanzado el nivel de prestaciones requerido (PLr).

En aplicaciones en las que la SRP/CS se puede considerar sencilla y el nivel de prestaciones requerido está entre a y c, se puede aceptar una estimación cualitativa del PL en los fundamentos del diseño.

NOTA 2 Para el diseño de sistemas de mando complejos, tales como los PES diseñados para desempeñar funciones de seguridad, puede ser apropiado utilizar otras normas (por ejemplo, las Normas IEC 61508, IEC 62061 o IEC 61496).

El logro de los aspectos cualitativos del PL, se puede demostrar mediante la aplicación de las medidas recomendadas en el apartado 4.6 y en el anexo G.

En las normas en línea con la Norma IEC 61508, la capacidad del sistema de mando relativo a la seguridad para desempeñar una función de seguridad se indica mediante un SIL. La tabla 4 proporciona la relación entre estos dos conceptos (PLs y SILs).

El PL a no tiene correspondencia en la escala de los SIL y se utiliza principalmente para la reducción del riesgo de una lesión ligera y normalmente reversible. Puesto que el SIL 4 está reservado a los sucesos catastróficos que se pueden dar en la industria de procesos, este nivel no es relevante para riesgos en máquinas. Por eso el PL e correspondiente al SIL 3 se define como el nivel máximo.

Tabla 4 – Relación entre el nivel de prestaciones (PL) y el nivel de integridad de la seguridad (SIL) PL

SIL

(IEC 61508-1, para información) Modo de funcionamiento elevado/continuo

a Sin correspondencia

b 1 c 1 d 2 e 3

(24)

Prueba de composición

En consecuencia, se deben aplicar medidas preventivas para reducir los riesgos, en particular las siguientes:

− Reducir la probabilidad de defectos a nivel de los componentes. El objetivo es reducir la probabilidad de defectos o de fallos que afecten a la función de seguridad. Esto se puede realizar incrementando la fiabilidad de los componentes, por ejemplo, seleccionando componentes de eficacia probada y/o aplicando principios de seguridad de eficacia probada, con el fin de minimizar o de excluir defectos o fallos críticos (véase la Norma ISO 13849-2). − Mejorando la estructura de las SRP/CS. El objetivo es evitar los efectos peligrosos de un defecto. Algunos defectos

se pueden detectar y puede ser necesaria una estructura redundante y/o autocontrolada.

Estas dos medidas se pueden utilizar separadamente o combinadas. Con algunas tecnologías, se puede obtener la reducción del riesgo mediante la selección de componentes fiables y por exclusión de defectos; pero con otras tecnologías, la reducción del riesgo puede requerir un sistema redundante y/o autocontrolado. Además, se deben tener en cuenta los fallos de causa común (CCF) (véase la figura 3).

Para las limitaciones arquitectónicas, véase el capítulo 6.

4.5.2 Tiempo medio hasta el fallo peligroso de cada canal (MTTFd)

El valor del MTTFd de cada canal se ha clasificado en tres niveles (véase la tabla 5) y se debe tener en cuenta para cada

canal (por ejemplo, un solo canal, cada canal de un sistema redundante) individualmente. De acuerdo con el MTTFd, se puede tener en cuenta un valor máximo de 100 años.

Tabla 5 – Tiempo medio hasta el fallo peligroso de cada canal (MTTFd) MTTFd

Índice para cada canal Gama para cada canal

Bajo 3 años ≤ MTTFd < 10 años

Medio 10 años ≤ MTTFd < 30 años

Alto 30 años ≤ MTTFd ≤ 100 años

NOTA 1 La selección de una gama de MTTFd está basada en las tasas de fallo encontradas sobre la materia, en el estado actual de la técnica, que forman una especie de escala logarítmica coherente con la escala logarítmica de los PL. Se supone que no se va a encontrar un valor de MTTFd para cada canal inferior a tres años para SRP/CS reales, ya que esto significaría que después de un año cerca del 30% de todos los sistemas en el mercado habrán fallado y será necesario reemplazarlos. No es aceptable un valor de MTTFd, para cada canal, superior a 100 años, porque las SRP/CS para riesgo elevado no debería depender exclusivamente de la fiabilidad de los componentes. Con el fin de reforzar las SRP/CS contra los fallos sistemáticos y aleatorios, se deberían requerir medidas adicionales tales como la redundancia y las comprobaciones. Por razones prácticas, el número de gamas se ha restringido a tres. La limitación del MTTFd de cada canal a un valor máximo de 100 años, se refiere a las SRP/CS de un solo canal que desempeña la función de seguridad. Se pueden utilizar valores de MTTFd más elevados para componentes individuales (véase la tabla D.1).

NOTA 2 Se supone que los valores límites indicados en esta tabla tienen una precisión del 5%.

El procedimiento jerárquico para encontrar los datos para la estimación del MTTFd de un componente, debe ser como

sigue:

a) utilizar los datos de los fabricantes; b) utilizar los métodos de los anexos C y D; c) tomar 10 años.

4.5.3 Cobertura del diagnóstico (DC)

El valor de la DC se ha clasificado en cuatro niveles.

Para la estimación de la DC, se puede utilizar, en la mayoría de los casos, el análisis de los modos de fallo y sus efectos (AMFE, véase la Norma IEC 60812) u otros métodos similares. En este caso, se deberían considerar todos los defectos y/o modos de fallo pertinentes y verificar el PL de la combinación de las SRP/CS que desempeñan la función de seguridad con respecto al nivel de prestaciones requerido (PLr). Para un enfoque simplificado de estimación de la DC,

(25)

Prueba de composición

Tabla 6 – Cobertura del diagnóstico (DC)

DC Índice Gama Nula DC < 60% Baja 60% ≤ DC < 90% Media 90% ≤ DC < 99% Alta 99% ≤ DC

NOTA 1 Para SRP/CS constituidas de varias partes, en la figura 5, en el capítulo 6 y en el capítulo E.2 se utiliza un valor medio DCavg. NOTA 2 La selección de la gama de DC se basa en los valores clave del 60%, 90% y 99%, también establecidos en otras normas (por

ejemplo, IEC 61508) que tratan de la cobertura del diagnóstico de las verificaciones. Las investigaciones muestran que (1 – DC) más que la propia DC es una medida característica para determinar la eficacia de la (1 – DC) para los valores clave del 60%, 90% y 99% forma una especie de escala logarítmica coherente con la escala logarítmica de los PL. Un valor de DC inferior al 60% tiene sólo un ligero efecto sobre la fiabilidad del sistema comprobado y por lo tanto se denomina “nula”. Es muy difícil obtener un valor de DC superior al 99% para sistemas complejos. Por razones prácticas, el número de gamas se ha restringido a cuatro. Se supone que los valores límites indicados en esta tabla tienen una precisión del 5%.

4.5.4 Procedimiento simplificado para la estimación de un PL

El PL se puede estimar teniendo en cuenta todos los parámetros pertinentes y los métodos apropiados para el cálculo (véase el apartado 4.5.1).

Este apartado describe un procedimiento simplificado para estimar el PL de una SRP/CS basado en arquitecturas tipo. Otras arquitecturas con una estructura similar se pueden adaptar a estas arquitecturas tipo con el fin de obtener una estimación del PL.

Las arquitecturas tipo se han representado en diagramas de bloques y se han listado en el contexto de cada categoría en el apartado 6.2. En el apartado 6.2 y el anexo B, se da información sobre el método de bloques y los diagramas de bloques relativos a la seguridad.

Las arquitecturas tipo muestran una representación lógica de la estructura del sistema para cada categoría. La realización técnica o, por ejemplo, el diagrama funcional del circuito, puede tener una representación totalmente diferente.

Las arquitecturas tipo se han esquematizado para las SRP/CS combinadas, a partir de los puntos en los que se inician las señales relativas a la seguridad y acaban con las salidas de los preaccionadotes (véase también el anexo A de la Norma ISO 12100-1). Las arquitecturas tipo también se pueden utilizar para describir una parte o una subparte de un sistema de mando que responde a señales de entrada y genera señales de salida relativas a la seguridad. De esta manera, el elemento de “entrada” puede representar, por ejemplo, una barrera fotoeléctrica (AOPD) así como circuitos de entrada de la lógica de mando o una entrada de un interruptor. Una “salida” puede representar también, por ejemplo, una señal de salida de un interruptor (OSSD) o una salida de escáneres láser.

Para las arquitecturas tipo se han hecho las hipótesis siguientes: − duración de la misión: 20 años (véase el capítulo 10); − tasa de fallo constante durante la duración de la misión;

− para la categoría 2, tasa de solicitación ≤ 1/100 de la tasa de verificación; − para la categoría 2: MTTFd,TE mayor que la mitad de MTTFd,L.

NOTA Cuando los bloques de cada canal no se pueden independizar, se puede aplicar lo siguiente: MTTFd del canal de comprobación conjunto (TE, OTE) mayor que la mitad del MTTFd del canal funcional conjunto (I, L, O).

La metodología considera las categorías como arquitecturas con una DCavg definida. El PL de cada SRP/CS depende de

(26)

Prueba de composición

También se deberían tener en cuenta los fallos de causa común (CCF) (para orientaciones, véase el anexo F).

Para las SRP/CS con soporte lógico, se aplican los requisitos del apartado 4.6.

Si no se dispone o no se utilizan datos cuantitativos (por ejemplo, sistemas de poca complejidad), se deberían seleccionar los valores más desfavorables de todos los parámetros pertinentes.

Una combinación de SRP/CS o un SRP/CS único puede tener un PL. La combinación de varias SRP/CS con diferentes PL se considera en el apartado 6.3.

En el caso de aplicaciones con PLr de a a c, pueden ser suficientes medidas para evitar los defectos; para aplicaciones de

riesgo más elevado, PLr de d a e, la estructura de la SRP/CS puede proporcionar medidas para evitar, detectar o tolerar

los defectos. Las medidas prácticas incluyen la redundancia, la diversidad, el autocontrol (véase también el capítulo 3 de la Norma ISO 12100-2:2003 y la Norma IEC 60204-1:2000).

La figura 5 presenta el procedimiento para la selección de las categorías en combinación con el MTTFd de cada canal y

la DCavg con el fin de obtener el PL requerido de la función de seguridad.

Para la estimación del PL, la figura 5 da las diferentes combinaciones posibles de categorías con la DCavg (eje

horizontal) y el MTTFd de cada canal (barras). Las barras en el diagrama representan las tres gamas de MTTFd de cada

canal (bajo, medio y alto) que se pueden seleccionar para obtener el PL requerido.

Antes de utilizar este procedimiento simplificado con la figura 5 (que representa los resultados de los diferentes modelos de Markov basados en las arquitecturas tipo del capítulo 6), se deben determinar la categoría del SRP/CS así como la DCavg y el MTTFd de cada canal (véase el capítulo 6 y los anexos C a E).

Para las categorías 2, 3 y 4, se deben adoptar medidas suficientes contra los fallos de causa común (para orientaciones véase el anexo F). Teniendo estos parámetros en cuenta, la figura 5 proporciona un método gráfico para determinar el PL obtenido por la SRP/CS. La combinación de una categoría (incluyendo los fallos de causa común) y de la DCavg,

determina qué columna de la figura 5 se debe seleccionar. Según el MTTFd de cada canal, se debe seleccionar una de

las tres superficies sombreadas de la columna pertinente.

La posición vertical de esta superficie determina el PL obtenido que se puede leer en el eje vertical. Si la superficie cubre 2 ó 3 PL posibles, el PL obtenido se da en la tabla 7. Para una selección numérica del PL más precisa, en función de un valor preciso del MTTFd de cada canal, véase el anexo K.

(27)

Prueba de composición

Leyenda

PL nivel de prestaciones 1 MTTFd de cada canal = bajo 2 MTTFd de cada canal = medio 3 MTTFd de cada canal = alto

Figura 5 – Relación entre las categorías, la DCavg, el MTTFd de cada canal y el PL

Tabla 7 – Procedimiento simplificado para valorar el PL obtenido por la SRP/CS

Categoría B 1 2 2 3 3 4

DCavg nula nula baja media baja media alta

MTTFd de cada canal

Bajo a No cubierto a b b c No cubierto

Medio b No cubierto b c c d No cubierto

Alto No cubierto c c d d d e

4.6 Requisitos para el soporte lógico de seguridad 4.6.1 Generalidades

Todas las actividades del ciclo de vida del soporte lógico integrado o de aplicación, relativo a la seguridad, deben ante todo tratar de evitar la introducción de defectos durante el ciclo de vida del soporte lógico (véase la figura 6). El objetivo principal de los requisitos siguientes es obtener un soporte lógico legible, comprensible, verificable y mantenible.

(28)

Prueba de composición

NOTA El anexo J da recomendaciones más detalladas sobre el análisis del ciclo de vida.

Figura 6 – Modelo en V simplificado del ciclo de vida del soporte lógico de seguridad

4.6.2 Soporte lógico integrado relativo a la seguridad (SRESW)

Para el SRESW de un componente con un PLr de a a d, se deben aplicar las siguientes medidas básicas:

− ciclo de vida del soporte lógico relativo a la seguridad con verificación y validación de las actividades, véase la figura 6;

− documentación de la especificación y del diseño; − diseño y programación modulares y estructurados; − control de fallos sistemáticos (véase el capítulo G.2);

− cuando se utilicen medidas basadas en el soporte lógico para controlar los fallos aleatorios del soporte material, verificación de que se aplican correctamente;

− comprobaciones funcionales, por ejemplo, ensayo de caja negra;

− actividades apropiadas del ciclo de vida del soporte lógico relativo a la seguridad después de realizar modifica-ciones;

(29)

Prueba de composición

Para el SRESW de un componente con un PLr de c o d, se deben aplicar las siguientes medidas adicionales:

− sistema de gestión de proyecto y de gestión de la calidad comparables a, por ejemplo, los de las Normas IEC 61508 o ISO 9001;

− documentación de todas las actividades relevantes durante el ciclo de vida del soporte lógico de seguridad;

− gestión de las configuraciones con el fin de identificar los parámetros de configuración y los documentos relativos a una versión dada del SRESW;

− especificación estructurada con los requisitos y el diseño relativos a la seguridad; − utilización de lenguajes de programación adecuados y herramientas informáticas fiables;

− programación modular y estructurada, separación del soporte lógico no relativo a la seguridad, tamaño de los módulos limitado con interfaces completamente definidas, utilización de métodos de diseño y codificación normalizados;

− verificación de la codificación mediante el ensayo/análisis con análisis del flujo de mando;

− comprobaciones funcionales prolongadas, por ejemplo, ensayo de caja gris, comprobación o simulación de prestaciones;

− análisis de impacto y actividades apropiadas del ciclo de vida del soporte lógico relativo a la seguridad después de realizar modificaciones.

El SRESW de un componente con un PLr = e, debe cumplir el capítulo 7 de la Norma IEC 61508-3, apropiado para el

SIL 3. Cuando se utiliza la diversidad en las especificaciones, el diseño y la codificación, para los dos canales definidos en una SRP/CS con categoría 3 ó 4, se puede obtener un PLr = e, con las medidas mencionadas anteriormente para PLr

de c o d.

NOTA 1 Para una descripción detallada de tales medidas, véase, por ejemplo, la Norma IEC 61508-7:2000.

NOTA 2 Para un SRESW con diversidad en el diseño y la codificación, para componentes utilizados en una SRP/CS de categoría 3 ó 4, las medidas aplicadas para evitar fallos sistemáticos pueden ser rebajadas, por ejemplo, verificando las partes del soporte lógico considerando únicamente los aspectos estructurales en lugar de comprobar cada línea del código fuente.

4.6.3 Soporte lógico de aplicación relativo a la seguridad (SRASW)

El ciclo de vida del soporte lógico de seguridad (véase la figura 6), también se aplica al SRASW (véase el anexo J). El SRASW, escrito en LVL y que cumpla los siguientes requisitos, puede alcanzar un PL de a a e. Si el SRASW está escrito en FVL, se deben aplicar los requisitos para el SRESW y se puede obtener un PL de a a e. Si una parte del SRASW de un componente tiene algún impacto (por ejemplo, si se modifica) sobre varias funciones de seguridad con PL diferentes, entonces se aplican los requisitos relativos al PL más elevado. Para un SRASW de un componente con un PLr de a a e, se deben aplicar las siguientes medidas básicas:

− desarrollo del ciclo de vida del soporte lógico con verificación y validación de las actividades, véase la figura 6; − documentación de la especificación y del diseño;

− diseño y programación modulares y estructurados; − comprobaciones funcionales;

(30)

Prueba de composición

Para el SRESW de un componente con un PLr de c a e, se requieren o se recomiendan las siguientes medidas

adicionales con una eficacia mejorada (eficacia baja para un PLr de c, eficacia media para un PLr de d, eficacia alta para

unPLr de e):

a) La especificación del soporte lógico relativo a la seguridad se debe revisar (véase también el anexo J), debe estar disponible para cualquier persona implicada en el ciclo de vida y debe contener la descripción de:

1) las funciones de seguridad con el PL requerido y los modos de funcionamiento asociados; 2) los criterios de prestaciones, por ejemplo, los tiempos de reacción;

3) la arquitectura del soporte material con las interfaces de las señales externas, y 4) la detección y el control de los fallos externos.

b) Selección de herramientas, bibliotecas, lenguajes:

1) Se deben utilizar herramientas adecuadas que sean fiables (para un PL = e, obtenido para un componente con su herramienta, ésta debe ser conforme con la norma de seguridad apropiada; si se utilizan dos componentes diferentes con dos herramientas diferentes, la confianza en la utilización puede ser suficiente) con características técnicas que permitan detectar condiciones que puedan causar errores sistemáticos (tales como la incoherencia de los datos, la asignación ambigua de memoria dinámica, las interfaces incompletas, la recursividad, el indicador aritmético). Se deberían realizar comprobaciones principalmente durante la compilación y no sólo durante la ejecución. Las herramientas deberían hacer respetar los subconjuntos del lenguaje y las líneas directrices para la programación o, al menos, supervisar o guiar al programador que los utiliza.

2) Siempre que sea razonable y practicable, se deberían utilizar bibliotecas de bloques funcionales validados (FB): ya sean bibliotecas de FB relativos a la seguridad proporcionados por el fabricante de las herramientas (sumamente recomendado para los PL = e) o bibliotecas de FB validadas específicamente para una aplicación concreta y conforme con esta parte de la Norma ISO 13849.

3) Se debería utilizar un subconjunto LVL apropiado y validado para un enfoque modular, por ejemplo, un subconjunto reconocido de lenguajes de la Norma IEC 61131-3. Están sumamente recomendados los lenguajes gráficos (por ejemplo, diagrama bloque de una función, diagrama jerarquizado).

c) El diseño del soporte lógico debe tener las características siguientes:

1) métodos semiformales para describir los datos y el flujo de mando, por ejemplo, el diagrama de estado o el organigrama del programa;

2) programación modular y estructurada, realizada predominantemente mediante bloques funcionales provenientes de bibliotecas de bloques funcionales validados relativos a la seguridad;

3) bloques funcionales con un tamaño de programa limitado;

4) ejecución del código dentro del bloque funcional, con un punto de entrada y un punto de salida;

5) modelo de arquitectura a tres niveles: Entradas ⇒ Tratamiento ⇒ Salidas (véase la figura 7 y el anexo J); 6) asignación de una salida de seguridad en un único lugar del programa, y

7) utilización de técnicas para la detección de fallos externos y para la programación defensiva en los bloques de entrada, de tratamiento y de salida que conduzcan a un estado seguro.