United States
Select country
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

ISO 13849-1 PL

 

NOTA

Contrariamente a EN954-1 en lo que respecta a Categorías, aquí los PLrs son totalmente jerárquicos.
PLr(e) proporciona la mayor contribución a la reducción del riesgo, mientras que PLr(a) hace la contribución más baja.

Partes Relacionadas con la Seguridad de los Sistemas de Mando, Parte 1: Principios generales para el diseño

ISO 13849-1 es una versión revisada de la EN 954-1.

Las fórmulas matemáticas complejas de la teoría de confiabilidad del sistema fueron reemplazadas por tablas precalculadas.

Se conservaron algunos conceptos de EN 954, es decir, categorías, redundancia y monitoreo.

Se modificó un número, es decir, gráfico de riesgo, selección de categorías.

El papel de las categorías ya no es crucial como en la norma EN 954-1.

Para evaluar la resistencia a fallas peligrosas, el concepto de Categoría se reemplaza por Nivel de Desempeño (PL) como la capacidad del sistema de mando de la maquinaria relacionado con la seguridad (en lo sucesivo denominado SRP/CS) para garantizar la protección en condiciones operativas específicas.

El parámetro utilizado para evaluar el PL de la función de seguridad es la probabilidad promedio de falla peligrosa/hora. Se considera que una falla es peligrosa cuando inhibe la función de protección del sistema si no se detecta.

Existen 5 niveles, PLa a PLe.



fig3

 

Tabla de ISO 13849-1 

Cuanto mayor es la contribución a la reducción del riesgo, menor debe ser la probabilidad promedio de falla peligrosa del SRP/CS.


PL es una función de la arquitectura del sistema de mando, la confiabilidad de los componentes, la capacidad de detectar rápidamente fallas internas que puedan afectar la función de seguridad y la calidad del diseño.


La siguiente tabla resume los requisitos obligatorios cualitativos y cuantitativos que se deben cumplir para el diseño del sistema de mando seguro conforme ISO 13849-1.


Consultar también el glosario

fig4

 

Requisitos obligatorios cualitativos y cuantitativos que deben cumplirse para el diseño del sistema de mando seguro conforme ISO 13849-1

Para reivindicar un determinado PL, además de evaluar la probabilidad promedio de falla peligrosa/hora para el sistema de mando en cuestión, también será necesario demostrar el cumplimiento con los requisitos de calidad especificados por la norma.

El PL reivindicado debe validarse utilizando ISO 13849-2 Partes Relacionadas con la Seguridad de los Sistemas de Mando - Validación que define los procedimientos de prueba y análisis, para la evaluación de:

  •  Función de seguridad provista
  •  Categoría alcanzada
  •  Nivel de desempeño alcanzado

 

¡IMPORTANTE!

La Probabilidad Promedio de Falla Peligrosa/Hora es solo uno de los parámetros que contribuyen a la asignación de PL.
Para obtener una calificación PL, también es obligatorio probar y justificar haber considerado y cumplido con todos los requisitos, que incluyen:
• Monitoreo de fallas sistemáticas
• Usar componentes robustos y confiables (de acuerdo con los estándares del producto, si están disponibles)

• Trabajar de acuerdo a las buenas prácticas de ingeniería
• Considerar las condiciones ambientales en las que operará el sistema relacionado con la seguridad
• En el caso de un nuevo software, adopte todos los aspectos organizativos del modelo de desarrollo de tipo V que se muestra en la Figura 6 de la Norma
ISO 13849-1 y cumplir los requisitos de desarrollo para aplicaciones y SW integrados.



El diseño de un SRP/CS de acuerdo a la norma ISO 13849-1 se puede resumir en los siguientes ocho pasos

1 – Identificación de la función relacionada con la seguridad a través del análisis de riesgos
2 – Asignación de nivel de desempeño solicitado (PLr) a través del gráfico de riesgo
3 – Selección de la estructura del sistema (arquitecturas) y técnicas de autodiagnóstico
4 – Desarrollo técnico del sistema de mando
5 – Cálculo de MTTFd, DCavg y verificación de CCF
6 – Cálculo de PL usando la Tabla 5

7 – Verificación de PL (si el PL calculado está por debajo de PLr, volver al paso 3)

8 – Validación.

Identificación del artículo relacionado con la seguridad y asignación del nivel de desempeño requerido - PLh
Para cada función relacionada con la seguridad identificada (por ejemplo, mediante el uso de ISO / TR14121-2 - Evaluación de Riesgos), el diseñador de la SRP/CS decide la contribución a la reducción del riesgo que se proporcionará, es decir, PL r.


Esta contribución no cubre el riesgo total de la máquina, sino solo la parte de riesgo relacionada con la aplicación de la función de seguridad en cuestión.


El parámetro PL r representa el nivel de desempeño requerido para la función relacionada con la seguridad en cuestión.


El parámetro PL representa el nivel de desempeño alcanzado por el hardware de implementación. PL de hardware debe ser igual o mayor que el PL r especificado.


Un gráfico de tipo de árbol de decisiones se usa para encontrar la contribución a la reducción de riesgos que debe proporcionar la función relacionada con la seguridad, lo que lleva a la identificación unívoca de PL r. Si se identifican más de una función relacionada con la seguridad, se identificará PLr para cada una de las mismas.

fig5

 Gráfico tipo de árbol de decisiones

 

 

Diseño del sistema de mando relacionado con la seguridad y evaluación del PL

Después de decidir sobre el PLr necesario, se diseña un SRP/CS adecuado, calculando el PL resultante y asegurando que sea mayor o igual que el PLr.


Para obtener el PL, se debe calcular la probabilidad promedio de falla peligrosa/hora del SRP/CS diseñado.

La probabilidad promedio de falla peligrosa/hora para un sistema de mando relacionado con la seguridad se puede estimar de varias maneras.

El uso de tales métodos implica que para cada componente se conoce lo siguiente:

  • Tasa de falla (λ)
  • Distribución porcentual de la tasa de fallas para todos los modos de falla del componente (por ejemplo, para un interruptor de acción positivo los modos de falla son: el contacto no se abrirá cuando sea necesario = 20% de los casos, y el contacto no se cerrará cuando sea necesario = 80% de los casos). Resulta: no se abrirá = λ x 0,2; no se cerrará = λ x 0,8)
  • El efecto de cada falla en el desempeño del sistema relacionado con la seguridad (por ejemplo, falla peligrosa = λd o falla no peligrosa = λs)
  • Porcentaje de fallas peligrosas detectadas (mediante técnicas automáticas de autodiagnóstico implementadas) fuera de las fallas totales peligrosas: λdd = λd x DC.
  • Porcentaje de fallas peligrosas no detectadas (por técnicas automáticas de autodiagnóstico implementadas) fuera de fallas peligrosas totales: λdu = λd x (1-DC).


La norma ISO 13849-1 simplifica el cálculo al proporcionar una tabla basada en modelos de Markov en la cual la probabilidad promedio de falla peligrosa por hora se calcula previamente para varias combinaciones de Categoría y valores de rango de MTTFd y DCavg que a su vez se obtienen usando tablas

Denotaciones de MTTFd Rango de MTTFd   Denominación DCavg Rango de valor  DC/ DCavg
Bajo  años ≤ MTTFd < 10   Ninguno      DC < 60%
Medio 10 años ≤ MTTFd < 30   Bajo 60% ≤ DC < 90%
Alto 30 años ≤ MTTFd < 100   Medio 90% ≤ DC < 99%
      Alto Alto 99% ≤ DC
 
Category selection
CATEGORÍA REQUISITOS COMPORTAMIENTO PRINCIPIOS DE SEGURIDAD
B El SRP/CS y/o su equipo de protección, así como sus componentes, deberán diseñarse, construirse, seleccionarse, ensamblarse y combinarse de acuerdo con las normas pertinentes para que puedan soportar la influencia prevista. Se deben utilizar los principios de seguridad básicos La ocurrencia de una falla puede llevar a la pérdida de la función de seguridad Caracterizada principalmente por la selección de componentes
1 Se aplicarán los requisitos de B Se utilizarán componentes y principios de seguridad de eficacia comprobada La ocurrencia de una falla puede llevar a la pérdida de la función de seguridad, pero la probabilidad de ocurrencia es menor que para la categoría B
2 Se aplicarán los requisitos de B y se solicitará el uso de principios de seguridad de eficacia comprobada La función de seguridad debe ser revisada a intervalos adecuados por la máquina. La ocurrencia de una falla puede llevar a la pérdida de la función de seguridad entre las comprobaciones. Se detecta la pérdida de la función de seguridad Principalmente caracterizado por estructuras
3 Se aplicarán los requisitos de B y se solicitará el uso de principios de seguridad de eficacia comprobada. Las partes relacionadas con la seguridad se diseñarán de manera que:
- una sola falla en cualquiera de estas partes no conduzca a la pérdida de la seguridad función, y
siempre que sea razonablemente practicable, la única falla es detectada.
Cuando ocurre una sola falla, la función de seguridad se realiza siempre. Algunas, pero no todas las fallas serán detectadas. La acumulación de fallas no detectadas puede conducir a la pérdida de la función de seguridad
4 Se aplicarán los requisitos de B y se solicitará el uso de principios de seguridad de eficacia comprobada. Las partes relacionadas con la seguridad se diseñarán de manera que:
- una sola falla en cualquiera de estas partes no conduzca a la pérdida de la seguridad función, y
- la falla única se detecta en la siguiente demanda o antes de la función de seguridad, pero si esta detección no es posible, una acumulación de fallas no detectadas no debe llevar a la pérdida de la función de seguridad
Cuando ocurre una sola falla, la función de seguridad siempre se ejecuta.
La detección de fallas acumuladas reduce la probabilidad de la pérdida de la función de seguridad (alto DC).
La falla se detectará a tiempo para evitar la pérdida de la función de seguridad

 

Para Cat. B y Cat.1 la capacidad de resistir la falla se debe a la solidez de los componentes (evitar fallas en la medida de lo posible).


Para Cat. 2,3,4 la capacidad de resistir la falla se debe a la estructura del sistema (control de la falla). La falla se controla a través del monitoreo de ciclo para Cat.2, redundancia para Cat.3, redundancia más monitoreo para Cat.4.


Los requisitos operacionales se especifican para cada categoría. Los modos de falla de los componentes eléctricos están definidos y enumerados. La relación entre Categorías y el desempeño de seguridad del sistema de mando en caso de falla está bien definida (enfoque determinista).


El problema se reduce a: seleccionar la arquitectura, calcular DCavg en relación con las técnicas de autodiagnóstico implementadas, calcular el MTTFd simplificado del circuito diseñado y verificar el cumplimiento de los requisitos para el funcionamiento del canal independiente (CCF) para arquitecturas redundantes (Cat. 2, 3 y 4).


La combinación de Categoría más DCavg adoptada, se muestra en una de las siete columnas de la Figura 5 de la norma ISO 13849-1.
El MTTFd calculado determina qué parte de la columna se debe considerar. El PL correspondiente se muestra a la izquierda de la tabla.


 

fig6Figura de ISO 13849-1

La parte de la columna seleccionada puede incluir dos o tres valores posibles de PL, por ejemplo, para Cat. 3, DCavg = Medio y MTTFd = Bajo, los siguientes tres valores son posibles: PLb, PLc, PLd. En estos casos, para obtener el PL correcto, se utiliza la Tabla K.1 del Anexo K de la Norma (no se muestra) que proporciona valores detallados de la probabilidad promedio de falla peligrosa por hora y PL en relación con el valor real de MTTFd y la combinación Categoría más DCavg implementado.

 

Como se puede ver en la figura anterior para cada Nivel de desempeño especificado, existen distintas opciones disponibles. Se proporciona un ejemplo en la Tabla 5 donde para un sistema que tiene PL de "c" son posibles las siguientes cinco alternativas:

 

1. Categoría 3 con MTTFd = Bajo y DCavg medio
2. Categoría 3 con MTTFd = Medio y DCavg bajo

3. Categoría 2 con MTTFd = medio y DCavg medio
4. Categoría 2 con MTTFd = Alto y DCavg bajo
5. Categoría 1 con MTTFd = Alto

 

Excepción solo para la parte de salida de SRP/CS.


Si para componentes mecánicos, hidráulicos o neumáticos (o componentes que comprenden una combinación de tecnologías) no se dispone de datos de confiabilidad específicos de la aplicación, el fabricante de la máquina podrá evaluar los aspectos cuantificables del PL sin ningún cálculo de MTTFd.


Para tales casos, el nivel de desempeño relacionado (PL) relacionado con la seguridad es implementado por la arquitectura, el diagnóstico y las medidas contra el CCF. La siguiente tabla muestra la relación entre PL alcanzable y categorías.

 

  PFHd 1/h) Cet. B Cat. 1 Cat. 2 Cat. 3 Cat. 4
PL a 2*10-5 * 0 0 0 0
PL b 5*10-6 * 0 0 0 0
PL c 1,7*10-6 - *2 *1 0 0
PL d 2,9*10-7 - - - *1 0
PL e 4,7*10-8 - - - - *1
* Se recomienda la categoría aplicada
0 La categoría aplicada es opcional
- La categoría no está permitida
*1 Se deben utilizar componentes de eficacia comprobada (confirmado por el fabricante del componente como adecuado para aplicaciones específicas) y principios de seguridad de eficacia comprobada
*2     Se deben usar componentes y principios de seguridad de eficacia comprobada. Para los componentes relacionados con la seguridad que no son monitoreados en el proceso, el valor T10d puede determinarse según los datos de uso comprobados por el fabricante de la máquina

Combinación de varios SRC/PS para lograr el PL general

La función relacionada con la seguridad puede incluir uno o más SRP/CS, y varias funciones relacionadas con la seguridad pueden usar las mismas SRP/CS. Los SRP/CS individuales también podrían obtenerse utilizando otras arquitecturas. Donde la función relacionada con la seguridad se obtiene mediante una conexión en serie de varios SRP/CS, por ejemplo, cortinas ópticas de seguridad, lógica de control, potencia de salida, y si se conocen los valores PFHd de todos los SRP/CS, que el PHFd de la SRP/CS combinada es la suma de todos los valores PFHd de los N SRP/CS individuales.

El PL del SRP/CS combinado está limitado por:

  • el PL más bajo de cualquier SRP/CS individual involucrado en la realización de la función de seguridad (porque el PL está determinado también por aspectos no cuantificables) y
  • el PL correspondiente al PFHd del SRP/CS combinado de acuerdo a la tabla 3 de la norma ISO 13849-1

Si los valores de PFHd de todos los SRP/CS individuales son desconocidos:

Localizar la pieza con PL = PL bajo
Encontrar la cantidad de piezas que tienen PL = PL bajo
Ingresar los datos en la siguiente tabla para obtener PL total

 

fig7

 

El PL obtenido usando esta tabla se refiere a los valores de confiabilidad en la posición media para cada uno de los intervalos en la Tabla 3 de la norma ISO 13849-1.

 

fig8

 

Tenemos:    PL bajo = d              N bajo = 1 (< 3) 

Por lo tanto:   PL total = d 

y la probabilidad promedio de falla peligrosa por hora para todo el sistema será un número que este entre 1 x 10-6 and 1 x 10-7 (revisar Tabla 3 de la norma ISO 13849-1).

 

Next ... IEC 62061 SIL - Conclusiones