Principios, estándares e implementación

Catalogs > Catálogo de productos de seguridad > Principios, estándares e implementación > Consideraciones de la estructura del sistema de control con fines de seguridad

Consideraciones de la estructura del sistema de control con fines de seguridad

Descripción general Categorías de los sistemas de control Fallos no detectados Clasificaciones de componente y sistema Consideraciones de los fallos
Exclusiones de fallos Categorías de paro de acuerdo a IEC/EN 60204-1 y NFPA 79 Requisitos del sistema de control de seguridad para EE.UU Normas para robots: EE:UU y Canadá
Categorías de los sistemas de control

Las “Categorías” del sistema de control tuvieron su origen en la norma predecesora EN 954-1:1996 (ISO13849-1:1999). Sin embargo, aún son utilizadas a menudo para describir los sistemas de control de seguridad y continúan siendo una parte integral de EN ISO13849-1 como se describió en la Introducción a la seguridad funcional de los sistemas de control sección.

Existen cinco categorías que describen el desarrollo de la reacción al fallo de un sistema de control con fines de seguridad. Vea un resumen de estas categorías en la Tabla 19. Las siguientes notas se aplican a la Tabla.

Nota 1: La categoría B en sí no tiene medidas específicas pero conforma la base para las otras categorías.

Nota 2: Los fallos múltiples ocasionados por una causa común o como consecuencias inevitables del primer fallo deben ser contados como fallo único.

Nota 3: La revisión de fallo puede estar limitada a dos fallos en combinación si puede justificarse, pero los circuitos complejos (por ej., circuitos del microprocesador) pueden requerir la consideración de más fallos combinados.

La categoría 1 tiene como objetivo la prevención de fallos. Se logra mediante el uso de principios, componentes y materiales de diseño apropiados. La simplicidad de principio y diseño junto con características materiales estables y predecibles son la clave de esta categoría.

Las categorías 2, 3 y 4 requieren que si los fallos no pueden prevenirse deben ser detectados y se deben tomar las medidas apropiadas.


Redundancia, diversidad y monitoreo son los elementos clave para estas categorías. La redundancia es la duplicación de la misma técnica. Diversidad es utilizar dos técnicas diferentes. Monitoreo es revisar el estado de los dispositivos y luego tomar las medidas apropiadas en base a los resultados del estado. El método más común de monitoreo, pero no el único, es duplicar las funciones críticas de seguridad y comparar el funcionamiento.

Resumen de requisitos Comportamiento del sistema
Categoría B (ver Nota 1)
Las piezas relacionadas con la seguridad de los sistemas de control de máquina y/o su equipo protector, así como sus componentes, deben ser diseñados, construidos, seleccionados, ensamblados y combinados de acuerdo con las normas pertinentes, de manera que puedan soportar las influencias previstas.
Se deben aplicar principios de seguridad básicos.
Cuando ocurre un fallo, puede ocasionar la pérdida de la función de seguridad.
CATEGORÍA 1
Los requisitos de la categoría B aplican junto con el uso de componentes de seguridad de comprobada eficacia y principios de seguridad.
Como se describió para la categoría B pero con mayor confiabilidad relacionada a la seguridad de la función relacionada a la seguridad. (Mientras mayor sea la confiabilidad, menor será la probabilidad de un fallo).
CATEGORÍA 2
Se aplican los requisitos de la categoría B y el uso de principios de seguridad eficaces.
La(s) función(es) de seguridad deben ser revisadas en el momento de la puesta en marcha de la máquina y periódicamente por el sistema de control de la máquina. Si se detecta un fallo se debe iniciar un estado de seguridad o si esto no es posible se debe dar una advertencia.
EN ISO 13849-1 considera que la tasa de prueba es al menos 100 veces más frecuente que la tasa demandada.
EN ISO 13849-1 considera que el MTTFd del equipo de prueba externo es mayor que la mitad del MTTFd del equipo funcional que se está probando.
La pérdida de la función de seguridad es detectada por la revisión. La ocurrencia de un fallo puede llevar a la pérdida de la función de seguridad entre los intervalos de prueba.
CATEGORÍA 3 (ver Notas 2 & 3)
Se aplican los requisitos de la categoría B y el uso de principios de seguridad eficaces.
El sistema debe estar diseñado para que un fallo único en cualquiera de sus partes no ocasione la pérdida de la función de seguridad.
Siempre que sea posible, un fallo único debería ser detectado.
Cuando ocurre un fallo único, la función de seguridad siempre se ejecuta.
Algunos pero no todos los fallos serán detectados.
Una acumulación de fallos no detectados puede llevar a la pérdida de la función de seguridad.
Categoría 4 (ver Notas 2 & 3)
Se aplican los requisitos de la categoría B y el uso de principios de seguridad eficaces.
El sistema debe estar diseñado para que el fallo único en cualquiera de sus partes no ocasione la pérdida de la función de seguridad.
El fallo único es detectado en o antes de la próxima demanda impuesta sobre la función de seguridad. Si esta detección no es posible entonces una acumulación de fallos no ocasionará una pérdida de la función de seguridad.
Cuando ocurren los fallos, la función de seguridad siempre se ejecuta. Los fallos serán detectados a tiempo para evitar la pérdida de las funciones de seguridad.
  
Tabla 19: Categorías del rendimiento de seguridad

Categoría B

La categoría B proporciona los requisitos básicos de cualquier sistema de control, ya sea un sistema de control con fines de seguridad o sin fines de seguridad. Un sistema de control debe funcionar en su ambiente previsto. El concepto de confiabilidad proporciona una base para los sistemas de control, ya que la confiabilidad se define como la probabilidad de que un dispositivo realizará su función deseada por un intervalo específico bajo condiciones esperadas.

La categoría B requiere la aplicación de principios de seguridad básicos. ISO 13849-2 nos proporciona los principios de seguridad básicos para sistemas mecánicos, hidráulicos, neumáticos y eléctricos. Los principios eléctricos se resumen de la siguiente manera:



El diseñador debe seleccionar, instalar y ensamblar de acuerdo a las instrucciones del fabricante. Estos dispositivos deben funcionar dentro del voltaje previsto y las capacidades nominales de corriente. Las condiciones ambientales previstas, como compatibilidad electromecánica, vibración, choque, contaminación, proyecciones de agua, también deben considerarse. Se utiliza el principio de desactivación. La protección contra transientes se instala en las bobinas del contactos. El motor está protegido contra sobrecargas. El cableado y conexión a tierra cumplen con las normas de electricidad apropiadas.

Categoría 1

La categoría 1 requiere que el sistema cumpla con los términos de la categoría B y , además, utilizar componentes eficaces. EN ISO 13849-2 proporciona información acerca de los componentes eficaces para sistemas eléctricos, neumáticos, hidráulicos, y mecánicos. El Anexo D se ocupa de los componentes eléctricos.

Los componentes se consideran de comprobada eficacia si han sido utilizados de manera exitosa en muchas aplicaciones similares. Los componentes de seguridad diseñados recientemente se consideran de eficacia comprobada si están diseñados y verificados de acuerdo con las normas apropiadas. La Tabla 20 enumera algunos componentes eléctricos y sus respectivas normas.


Componente de eficacia comprobada Estándar
Interruptor con accionamiento de modo positivo (acción de apertura directa) IEC 60947-5-1
Dispositivo de paro de emergencia ISO 13850, IEC60947-5-5
Fusible IEC 60269-1
Disyuntor IEC 60947-2-
Contactores IEC 60947-4-1, IEC 60947-5-1
Contactos mecánicamente unidos IEC 60947-5-1
Contactor auxiliar (por ej., contactor, relé de control, relés con guía positiva) EN 50205
IEC 60204–1, IEC 60947–5–1
Transformador IEC 60742
Cable IEC 60204-1
Enclavamientos ISO 14119
Interruptor de temperatura IEC 60947-5-1
Interruptor de presión IEC 60947-5-1 + requisitos hidráulicos o neumáticos
Equipo o dispositivo de conmutación de control y protector (CPS) IEC 60947-6-2
Controlador lógico programable IEC 61508
 
Tabla 20: Normas para componentes de eficacia comprobada

Al aplicar componentes de eficacia comprobada a nuestro sistema de categoría B, se reemplazaría el interruptor de final de carrera por un interruptor de lengüeta con acción de apertura directa y el contactor sería sobredimensionado para proteger adicionalmente contra los circuitos soldados.

La Figura 140 muestra los cambios en un sistema simple de categoría B para obtener categoría 1. El enclavamiento y el contactor desempeñan papeles clave al momento de desactivar el accionador, cuando se necesita acceso al área de peligro. El enclavamiento con lengüeta cumple con los requisitos de IEC 60947-5-1 para contactos de acción de apertura directa, lo cual se ilustra con el símbolo de la flecha dentro del círculo. Con los componentes de eficacia comprobada, la probabilidad de desactivación es mayor para la categoría 1 que para la categoría B. El uso de componentes de eficacia comprobada tiene el propósito de prevenir una pérdida de la función de seguridad. Aún con estas mejoras, un fallo único todavía puede ocasionar la pérdida de la función de seguridad.


Click to enlarge - Fig 141 Cat 1 Simple System
 
Figura 140: Categoría 1 del sistema simple de seguridad

Las categorías B y 1 se basan en la prevención. El diseño tiene como propósito prevenir una situación peligrosa. Cuando la prevención por sí misma no proporciona la suficiente reducción de riesgo, debe usarse detección de fallo. Las categorías 2, 3 y 4 se basan en la detección de fallos, con requisitos cada vez más estrictos para obtener mayores niveles de reducción de riesgos.

Categoría 2

Además de cumplir con los requisitos de la categoría B y utilizar principios de seguridad de eficacia comprobada, el sistema de seguridad debe pasar por una prueba para cumplir con la categoría 2. Las pruebas deben ser diseñadas para detectar fallos dentro las partes del sistema de control relacionadas a la seguridad. Si no se detectan fallos, se permite que la máquina siga funcionando. SI se detectan fallos, la prueba debe iniciar un comando para colocar a la máquina en un estado seguro.

La Figura 141 muestra un diagrama de bloque del sistema de categoría 2. El equipo que esté llevando a cabo la prueba puede ser una parte integral del sistema de seguridad o una pieza separada del equipo.


Click to enlarge - Fig 142 Cat 2 Block Diagram
 
Figura 141: Diagrama de bloque de la categoría 2

La prueba debe llevarse a cabo:


Nota: EN ISO 138491-1 considera una prueba de la ración de la demanda de función de seguridad de 100:1. El ejemplo proporcionado aquí no cumpliría con ese requisito.

Los términos “cuando sea posible” y “razonablemente posible” indican que no todos los fallos son detectables. Debido a que éste es un sistema de doble canal (es decir, un cable conecta la entrada a la lógica a la salida), un fallo único puede ocasionar la pérdida de la función de seguridad. En algunos casos, la categoría 2 no puede ser aplicada completamente al sistema de seguridad, porque no todos los componentes pueden ser revisados.


La Figura 140 muestra el sistema simple de categoría 1 con características mejoradas para poder cumplir con la categoría 2. Un relé de monitoreo de seguridad (MSR) lleva a cabo la prueba. En el momento de encendido, el MSR revisa los componentes internos. Si no se detectan fallos, el MSR revisa el interruptor de lengüeta monitoreando los ciclos de sus contactos. Si no se detectan fallos y la guarda está cerrada, entonces el MSR revisa el dispositivo de salida: los contactos unidos mecánicamente del contactor. Si se detectan fallos y el contactor está apagado, el MSR energizará su salida interna y conectará la bobina de K1 del botón de paro. En este punto, las partes clasificadas como no relacionadas a la seguridad del sistema de control de la máquina, el circuito de arranque/paro/enclavamiento, pueden encender y apagar la máquina.

Click to enlarge - Fig 143 Cat 2 System
 
Figura 142: Sistema de seguridad de categoría 2

Al abrir la guarda las salidas del MSR se apagan. Cuando la guarda se cierra nuevamente, el MSR repite las verificaciones del sistema de seguridad. Si no se descubre ningún fallo, el MSR enciende su saluda interna. El MSR permite que el circuito cumpla con la categoría 2 llevando a cabo pruebas en el dispositivo de entrada, en el dispositivo lógico (en sí mismo) y en el dispositivo de salida. La prueba se lleva a cabo en el momento de encendido inicial y antes del inicio del peligro.

Con sus capacidades lógicas inherentes, un sistema de seguridad basado en PLC (PLC relacionado a la seguridad en IEC 61508) puede diseñarse para cumplir con las especificaciones de la categoría 2.


Click to enlarge - Fig 144 Complex Cat 2 System
 
Figura 143: Sistema de seguridad complejo de categoría 2

La Figura 143 muestra un ejemplo de un sistema complejo que utiliza un PLC de seguridad. Un PLC de seguridad cumple con los requisitos de eficaces debido a que está diseñado según una norma apropiada. Los contactos unidos mecánicamente de los contactores son conectados en la entrada del PLC para fines de prueba. Estos contactos pueden ser conectados en serie a un terminal de entrada o a terminales de entrada individuales, dependiendo de la lógica del programa.

A pesar de que se utilizan componentes de seguridad de eficacia comprobada, un fallo único que ocurra entre las verificaciones puede ocasionar la pérdida de la función de seguridad. Por lo tanto, los sistemas de categoría 2 se utilizan en aplicaciones de riesgos más bajos. Cuando se necesitan niveles de tolerancia a fallos más altos, el sistema de seguridad cumple con las categorías 3 ó 4.


Categoría 3

Además de cumplir con los requisitos de la categoría B y los principios de seguridad de eficacia comprobada, la categoría 3 requiere un desempeño exitoso de la función de seguridad en caso de que ocurra un fallo único. El fallo debe ser detectado durante o antes de la próxima demanda impuesta en la función de seguridad, siempre que sea razonablemente posible.

Aquí nuevamente tenemos la frase “siempre que sea razonablemente posible.” Esto abarca los fallos que pueden no ser detectados. Siempre y cuando el fallo no detectable no resulte en la pérdida de la función de seguridad, la función de seguridad puede cumplir con las especificaciones de la categoría 3. En consecuencia, una acumulación de fallos no detectados puede causar la pérdida de la función de seguridad.


Click to enlarge - Fig 7.8 Cat 3 Block Diagram
 
Figura 144: Diagrama de bloque de la categoría 3

La Figura 144 muestra un diagrama de bloque para explicar los principios del sistema de categoría 3. La redundancia, combinada con monitoreo cruzado y monitoreo de salidas razonablemente factibles, se usa para asegurar el rendimiento de la función de seguridad

La Figura 145 muestra un ejemplo de un sistema de categoría 3. Un conjunto de contactos redundantes se añade al interruptor con enclavamiento de lengüeta. Internamente el relé de monitoreo de seguridad (MSR) tiene circuitos redundantes que realizan monitoreo cruzado entre sí. Un conjunto redundante de contactores desconecta la alimentación eléctrica del motor. Los contactores son monitoreados por el MSR a través los de contactos mecánicamente unidos “razonablemente posibles”.

Debe considerarse la detección de fallos para cada parte del sistema de seguridad, así como las conexiones (es decir, el sistema). ¿Cuáles son los modos de fallo de un interruptor de lengüeta de dos canales? ¿Cuáles son los modos de fallo del MSR? ¿Cuáles son los modos de fallo de los contactores K1 y K2? ¿Cuáles son los modos de fallo del cableado?

El interruptor con enclavamiento de lengüeta está diseñado con contactos de apertura directa. Por lo tanto, sabemos que la apertura de guarda está diseñada para abrir un contacto soldado. Esto resuelve un modo de fallo. ¿Existen otros modos de fallo?


Click to enlarge - Fig 7.9 Cat 3 System
 
Figura 145: Sistema de categoría 3

El interruptor de acción de apertura directa generalmente está diseñado con un retorno de resorte. Si se retira o se rompe el cabezal, los contactos de seguridad regresan al estado cerrado (de seguridad). Muchos interruptores con enclavamiento están diseñados con cabezales extraíbles para satisfacer los requisitos de instalación de diversas aplicaciones. El cabezal puede retirarse y girarse entre dos a cuatro posiciones.

Puede producirse un fallo cuando no se ha realizado correctamente el apriete de los tornillos de montaje del cabezal. Con esta condición, la vibración prevista de la máquina puede causar que los tornillos de montaje del cabezal se aflojen. El cabezal de operación, bajo presión del resorte, retira la presión de los contactos de seguridad y los contactos de seguridad se cierran. Consecuentemente, abrir la guarda no abre los contactos de seguridad y se produce un fallo en la seguridad.

De manera similar, el mecanismo de operación al interior del interruptor debe revisarse. ¿Cuál es la probabilidad de que un fallo de un solo componente cause la pérdida de la función de seguridad? Una práctica común es utilizar enclavamientos de lengüeta con contactos duales en circuitos de categoría 3. Este uso debe basarse en la exclusión de un fallo único del interruptor para abrir los contactos de seguridad. Esto se considera una “exclusión de fallo” y se discutirá más adelante en este capítulo.

Un relé de monitoreo de seguridad (MSR) es evaluado a menudo por terceros y se le asigna un nivel de categoría (y/o un PL y SIL CL). El MSR generalmente incluye capacidad de doble canal, monitoreo de canal cruzado, monitoreo de dispositivos externos y protección contra cortocircuito. No se han escrito estándares específicos para proporcionar orientación sobre el diseño o uso de relés de monitoreo de seguridad. Los MSR son evaluados por su capacidad de realizar la función de seguridad según la norma ISO 13849-1 o la predecesora EN 954-1. La clasificación del MSR debe ser la misma o mayor que la clasificación requerida del sistema en el cual se utiliza.


Dos contactores ayudan a asegurar que la función de seguridad sea satisfecha por los dispositivos de salida. Con protección contra sobrecarga y cortocircuito, la probabilidad de que falle el contactor con contactos soldados es pequeña pero no imposible. Un contactor también puede fallar debido a los contactos de conmutación de alimentación eléctrica que permanecen cerrados debido a un inducido atascado. Si un contactor falla en un estado de peligro, el segundo contactor desconectará la alimentación eléctrica de la pieza peligrosa. El MSR detectará el contactor en fallo el siguiente ciclo de la máquina. Cuando se cierra la compuerta y se presiona el botón Start, los contactos mecánicamente unidos del contactor en fallo permanecerán abiertos y el MSR no podrá cerrar sus contactos de seguridad revelando de ese modo el fallo.