58. Aplicaciones de seguridad
Editores de capítulos: Kenneth Gerecke y Charles T. Pope
Análisis de Sistemas
Manh Trung Ho
Seguridad de herramientas manuales y eléctricas portátiles
Departamento de Trabajo de EE. UU.—Administración de Salud y Seguridad Ocupacional; editado por Kenneth Gerecke
Piezas móviles de máquinas
Tomas Backström y Marianne Döös
Protección de la máquina
Departamento de Trabajo de EE. UU.—Administración de Salud y Seguridad Ocupacional; editado por Kenneth Gerecke
Detectores de presencia
Pablo Schreiber
Dispositivos para el Control, Aislamiento y Conmutación de Energía
René Troxler
Aplicaciones relacionadas con la seguridad
Dietmar Reinert y Karlheinz Meffert
Software y Computadoras: Sistemas Automatizados Híbridos
Waldemar Karwowski y Jozef Zurada
Principios para el Diseño de Sistemas de Control Seguros
Jorge Vondracek
Principios de seguridad para máquinas herramienta CNC
Toni Retsch, Guido Schmitter y Albert Marty
Principios de seguridad para robots industriales
Toni Retsch, Guido Schmitter y Albert Marty
Sistemas de control relacionados con la seguridad eléctrica, electrónica y electrónica programable
ron campana
Requisitos técnicos para sistemas relacionados con la seguridad basados en dispositivos eléctricos, electrónicos y electrónicos programables
John Brazendale y Ron Bell
Rollover
Bengt Springfeldt
Caídas desde alturas
Juan Arteau
Espacios confinados
neil mcmanus
Principios de Prevención: Manejo de Materiales y Tráfico Interno
kari hakkinen
Haga clic en un enlace a continuación para ver la tabla en el contexto del artículo.
1. Posibles disfunciones de un circuito de control de dos botones.
2. Guardias de la máquina
3. Dispositivos
4. Métodos de alimentación y expulsión
5. Combinaciones de estructuras de circuitos en controles de máquinas.
6. Niveles de integridad de seguridad para sistemas de protección
7. Diseño y desarrollo de software
8. Nivel de integridad de seguridad: componentes tipo B
9. Requisitos de integridad: arquitecturas de sistemas electrónicos
10. Caídas desde alturas: Quebec 1982-1987
11.Sistemas típicos de prevención y detención de caídas
12. Diferencias entre prevención de caídas y detención de caídas
13. Formulario de muestra para la evaluación de condiciones peligrosas
14. Un permiso de entrada de muestra
Apunte a una miniatura para ver el título de la figura, haga clic para ver la figura en el contexto del artículo.
A te se puede definir como un conjunto de componentes interdependientes combinados de tal manera que realizan una función determinada en condiciones específicas. Una máquina es un ejemplo tangible y particularmente claro de un sistema en este sentido, pero hay otros sistemas, que involucran a hombres y mujeres en un equipo o en un taller o fábrica, que son mucho más complejos y no tan fáciles de definir. Seguridad sugiere la ausencia de peligro o riesgo de accidente o daño. Para evitar ambigüedades, el concepto general de ocurrencia no deseada será empleado. La seguridad absoluta, en el sentido de la imposibilidad de que ocurra un incidente más o menos desafortunado, no es alcanzable; de manera realista, uno debe apuntar a una probabilidad muy baja, en lugar de cero, de ocurrencias no deseadas.
Un sistema dado puede considerarse seguro o inseguro solo con respecto al rendimiento que realmente se espera de él. Con esto en mente, el nivel de seguridad de un sistema se puede definir de la siguiente manera: “Para cualquier conjunto dado de sucesos no deseados, el nivel de seguridad (o inseguridad) de un sistema está determinado por la probabilidad de que estos sucesos ocurran durante un período determinado. período de tiempo". Ejemplos de sucesos no deseados que serían de interés en el presente contexto incluyen: muertes múltiples, muerte de una o varias personas, lesiones graves, lesiones leves, daños al medio ambiente, efectos nocivos en los seres vivos, destrucción de plantas o edificios, y lesiones graves. o daños limitados al material o al equipo.
Propósito del Análisis del Sistema de Seguridad
El objeto de un análisis de seguridad del sistema es determinar los factores que inciden en la probabilidad de ocurrencias no deseadas, estudiar la forma en que se producen estas ocurrencias y, en última instancia, desarrollar medidas preventivas para reducir su probabilidad.
La fase analítica del problema se puede dividir en dos aspectos principales:
Una vez estudiadas las distintas disfunciones y sus consecuencias, los analistas de seguridad del sistema pueden dirigir su atención a las medidas preventivas. La investigación en esta área se basará directamente en hallazgos anteriores. Esta investigación de medios preventivos sigue los dos aspectos principales del análisis de seguridad del sistema.
Métodos de análisis
El análisis de seguridad del sistema puede realizarse antes o después del evento (a priori o a posteriori); en ambos casos, el método utilizado puede ser directo o inverso. Se lleva a cabo un análisis a priori antes de la ocurrencia no deseada. El analista toma un cierto número de tales ocurrencias y se dispone a descubrir las diversas etapas que pueden conducir a ellas. Por el contrario, un análisis a posteriori se lleva a cabo después de que se haya producido la ocurrencia no deseada. Su finalidad es servir de orientación para el futuro y, en concreto, extraer las conclusiones que puedan ser de utilidad para los posteriores análisis a priori.
Aunque pueda parecer que un análisis a priori sería mucho más valioso que un análisis a posteriori, dado que precede al incidente, los dos son de hecho complementarios. El método que se use depende de la complejidad del sistema involucrado y de lo que ya se sabe sobre el tema. En el caso de sistemas tangibles como máquinas o instalaciones industriales, la experiencia previa suele servir para preparar un análisis a priori bastante detallado. Sin embargo, incluso entonces el análisis no es necesariamente infalible y seguramente se beneficiará de un análisis posterior a posteriori basado esencialmente en un estudio de los incidentes que ocurren en el curso de la operación. En cuanto a sistemas más complejos que involucran personas, como turnos de trabajo, talleres o fábricas, el análisis a posteriori es aún más importante. En tales casos, la experiencia pasada no siempre es suficiente para permitir un análisis a priori detallado y confiable.
Un análisis a posteriori puede convertirse en un análisis a priori a medida que el analista va más allá del proceso único que condujo al incidente en cuestión y comienza a investigar los diversos sucesos que podrían conducir razonablemente a tal incidente o incidentes similares.
Otra forma en que un análisis a posteriori puede convertirse en un análisis a priori es cuando el énfasis no se pone en la ocurrencia (cuya prevención es el objetivo principal del análisis actual) sino en incidentes menos graves. Estos incidentes, como problemas técnicos, daños materiales y accidentes potenciales o menores, de relativamente poca importancia en sí mismos, pueden identificarse como señales de advertencia de sucesos más graves. En tales casos, aunque se realice con posterioridad a la ocurrencia de incidentes menores, el análisis será un análisis a priori respecto de hechos más graves que aún no se hayan producido.
Hay dos métodos posibles para estudiar el mecanismo o la lógica detrás de la secuencia de dos o más eventos:
La Figura 1 es un diagrama de un circuito de control que requiere dos botones (B1 y B2) para ser presionados simultáneamente para activar la bobina del relé (R) y poner en marcha la máquina. Este ejemplo puede utilizarse para ilustrar, en términos prácticos, la de reservas y marcha atrás métodos utilizados en el análisis de seguridad del sistema.
Figura 1. Circuito de control de dos botones
Método directo
En Los método directo, el analista comienza por (1) enumerar fallas, disfunciones y desajustes, (2) estudiar sus efectos y (3) determinar si esos efectos son o no una amenaza para la seguridad. En el caso de la figura 1, pueden ocurrir las siguientes fallas:
Luego, el analista puede deducir las consecuencias de estas fallas, y los hallazgos se pueden presentar en forma tabular (tabla 1).
Tabla 1. Posibles disfunciones de un circuito de control de dos botones y sus consecuencias
Fallos |
Consecuencias |
Romper el cable entre 2 y 2' |
Imposible poner en marcha la máquina* |
Cierre accidental de B1 (o B2 ) |
Sin consecuencia inmediata |
Contacto en C1 (o C2 ) como resultado de |
Ninguna consecuencia inmediata, pero la posibilidad de la |
Cortocircuito entre 1 y 1' |
Activación de la bobina del relé R—arranque accidental de |
* Ocurrencia con influencia directa en la confiabilidad del sistema
** Ocurrencia responsable de una grave reducción del nivel de seguridad del sistema
*** Suceso peligroso que debe evitarse
Ver texto y figura 1.
En la tabla 1, las consecuencias que son peligrosas o pueden reducir seriamente el nivel de seguridad del sistema pueden designarse mediante signos convencionales como ***.
Nota: En la tabla 1 una rotura en el cable entre 2 y 2´ (mostrado en la figura 1) resulta en una ocurrencia que no se considera peligrosa. No tiene efecto directo sobre la seguridad del sistema; sin embargo, la probabilidad de que ocurra tal incidente tiene una relación directa con la confiabilidad del sistema.
El método directo es particularmente apropiado para la simulación. La figura 2 muestra un simulador analógico diseñado para estudiar la seguridad de los circuitos de control de prensas. La simulación del circuito de control permite verificar que, mientras no haya falla, el circuito es realmente capaz de garantizar la función requerida sin infringir los criterios de seguridad. Además, el simulador puede permitir al analista introducir fallos en los distintos componentes del circuito, observar sus consecuencias y así distinguir aquellos circuitos bien diseñados (con pocos o ningún fallo peligroso) de aquellos mal diseñados. Este tipo de análisis de seguridad también se puede realizar usando una computadora.
Figura 2. Simulador para el estudio de circuitos prensa-control
Método inverso
En Los método inverso, el analista trabaja hacia atrás desde el suceso, incidente o accidente indeseable, hacia los diversos sucesos anteriores para determinar cuál puede resultar en los sucesos a evitar. En la figura 1, el último suceso a evitar sería el arranque no intencionado de la máquina.
Los resultados de este análisis se pueden representar en un diagrama que se parece a un árbol (por esta razón, el método inverso se conoce como "análisis de árbol de fallas"), como se muestra en la figura 3.
Figura 3. Posible cadena de eventos
El diagrama sigue operaciones lógicas, las más importantes de las cuales son las operaciones "OR" y "AND". La operación “OR” significa que [X1] ocurrirá si [A] o [B] (o ambos) tienen lugar. La operación “AND” significa que antes de [X2] puede ocurrir, tanto [C] como [D] deben haber ocurrido (ver figura 4).
Figura 4. Representación de dos operaciones lógicas
El método inverso se utiliza con mucha frecuencia en el análisis a priori de sistemas tangibles, especialmente en las industrias química, aeronáutica, espacial y nuclear. También se ha encontrado extremadamente útil como método para investigar accidentes industriales.
Aunque son muy diferentes, los métodos directo e inverso son complementarios. El método directo se basa en un conjunto de fallas o disfunciones y, por lo tanto, el valor de dicho análisis depende en gran medida de la relevancia de las diversas disfunciones tenidas en cuenta al principio. Visto así, el método inverso parece ser más sistemático. Dado el conocimiento de qué tipos de accidentes o incidentes pueden ocurrir, el analista puede, en teoría, aplicar este método para trabajar hacia atrás, hacia todas las disfunciones o combinaciones de disfunciones capaces de provocarlos. Sin embargo, debido a que todos los comportamientos peligrosos de un sistema no necesariamente se conocen de antemano, pueden descubrirse por el método directo, aplicado por simulación, por ejemplo. Una vez que se han descubierto, los peligros se pueden analizar con mayor detalle mediante el método inverso.
Problemas de análisis de seguridad del sistema
Los métodos analíticos descritos anteriormente no son solo procesos mecánicos que solo necesitan aplicarse automáticamente para llegar a conclusiones útiles para mejorar la seguridad del sistema. Por el contrario, los analistas encuentran una serie de problemas en el curso de su trabajo, y la utilidad de sus análisis dependerá en gran medida de cómo se propongan resolverlos. A continuación se describen algunos de los problemas típicos que pueden surgir.
Comprender el sistema a estudiar y sus condiciones de funcionamiento.
Los problemas fundamentales en cualquier análisis de seguridad de un sistema son la definición del sistema a estudiar, sus limitaciones y las condiciones bajo las cuales se supone que operará a lo largo de su existencia.
Si el analista tiene en cuenta un subsistema demasiado limitado, el resultado puede ser la adopción de una serie de medidas preventivas aleatorias (situación en la que todo está orientado a prevenir ciertos tipos particulares de ocurrencia, mientras que los peligros igualmente graves son ignorados o subestimados). ). Si, por el contrario, el sistema considerado es demasiado completo o general en relación con un problema determinado, puede resultar en una excesiva vaguedad de concepto y responsabilidades, y el análisis puede no conducir a la adopción de las medidas preventivas adecuadas.
Un ejemplo típico que ilustra el problema de definir el sistema a estudiar es la seguridad de máquinas o plantas industriales. En este tipo de situación, el analista puede verse tentado a considerar solo el equipo real, pasando por alto el hecho de que debe ser operado o controlado por una o más personas. La simplificación de este tipo es a veces válida. Sin embargo, lo que debe analizarse no es solo el subsistema de la máquina, sino todo el sistema trabajador-máquina en las diversas etapas de la vida útil del equipo (incluidos, por ejemplo, transporte y manipulación, montaje, prueba y ajuste, funcionamiento normal). , mantenimiento, desmontaje y, en algunos casos, destrucción). En cada etapa, la máquina es parte de un sistema específico cuyo propósito y modos de funcionamiento y mal funcionamiento son totalmente diferentes a los del sistema en otras etapas. Por tanto, debe estar diseñado y fabricado de forma que permita el desempeño de la función requerida en buenas condiciones de seguridad en cada una de las etapas.
De manera más general, en lo que respecta a los estudios de seguridad en las empresas, existen varios niveles de sistema: la máquina, el puesto de trabajo, el turno, el departamento, la fábrica y la empresa en su conjunto. Según el nivel del sistema que se esté considerando, los posibles tipos de disfunción y las medidas preventivas pertinentes son bastante diferentes. Una buena política de prevención debe tener en cuenta las disfunciones que se pueden producir en los distintos niveles.
Las condiciones de funcionamiento del sistema pueden definirse en términos de la forma en que se supone que funciona el sistema y las condiciones ambientales a las que puede estar sujeto. Esta definición debe ser lo suficientemente realista para tener en cuenta las condiciones reales en las que es probable que funcione el sistema. Un sistema que es muy seguro solo en un rango operativo muy restringido puede no ser tan seguro si el usuario no puede mantenerse dentro del rango operativo teórico prescrito. Por lo tanto, un sistema seguro debe ser lo suficientemente robusto para soportar variaciones razonables en las condiciones en las que funciona, y debe tolerar ciertos errores simples pero previsibles por parte de los operadores.
Modelado de sistemas
A menudo es necesario desarrollar un modelo para analizar la seguridad de un sistema. Esto puede plantear ciertos problemas que vale la pena examinar.
Para un sistema conciso y relativamente simple como una máquina convencional, el modelo se deriva casi directamente de las descripciones de los componentes materiales y sus funciones (motores, transmisión, etc.) y la forma en que estos componentes están interrelacionados. El número de posibles modos de falla de los componentes está igualmente limitado.
Las máquinas modernas como las computadoras y los robots, que contienen componentes complejos como microprocesadores y circuitos electrónicos con una integración a gran escala, plantean un problema especial. Este problema no ha sido completamente resuelto en términos de modelado o de predicción de los diferentes modos de falla posibles, debido a que hay muchos transistores elementales en cada chip y debido al uso de diversos tipos de software.
Cuando el sistema a analizar es una organización humana, un problema interesante encontrado en el modelado radica en la elección y definición de ciertos componentes no materiales o no completamente materiales. Una estación de trabajo particular puede estar representada, por ejemplo, por un sistema que comprende trabajadores, software, tareas, máquinas, materiales y entorno. (El componente de "tarea" puede resultar difícil de definir, ya que no es la tarea prescrita lo que cuenta sino la tarea tal como se realiza realmente).
Al modelar organizaciones humanas, el analista puede optar por dividir el sistema bajo consideración en un subsistema de información y uno o más subsistemas de acción. El análisis de fallas en diferentes etapas del subsistema de información (adquisición, transmisión, procesamiento y uso de información) puede ser muy instructivo.
Problemas asociados con múltiples niveles de análisis
Los problemas asociados con múltiples niveles de análisis a menudo se desarrollan porque a partir de una ocurrencia no deseada, el analista puede retroceder hacia incidentes que son cada vez más remotos en el tiempo. Según el nivel de análisis considerado, varía la naturaleza de las disfunciones que se producen; lo mismo se aplica a las medidas preventivas. Es importante poder decidir en qué nivel se debe detener el análisis y en qué nivel se deben tomar medidas preventivas. Un ejemplo es el caso simple de un accidente resultante de una falla mecánica causada por la utilización repetida de una máquina en condiciones anormales. Esto puede deberse a la falta de capacitación de los operadores oa una mala organización del trabajo. Según el nivel de análisis considerado, la acción preventiva requerida puede ser la sustitución de la máquina por otra capaz de soportar condiciones de uso más severas, el uso de la máquina sólo en condiciones normales, cambios en la capacitación del personal o una reorganización de trabajar.
La eficacia y el alcance de una medida preventiva dependen del nivel en el que se introduzca. Es más probable que la acción preventiva en las inmediaciones del suceso no deseado tenga un impacto directo y rápido, pero sus efectos pueden ser limitados; por otro lado, trabajando hacia atrás en una medida razonable en el análisis de eventos, debería ser posible encontrar tipos de disfunción que son comunes a numerosos accidentes. Cualquier acción preventiva tomada a este nivel tendrá un alcance mucho más amplio, pero su efectividad puede ser menos directa.
Teniendo en cuenta que existen varios niveles de análisis, también pueden existir numerosos patrones de acción preventiva, cada uno de los cuales lleva su parte de trabajo preventivo. Este es un punto extremadamente importante, y basta con volver al ejemplo del accidente que se está considerando para apreciar el hecho. Proponer que la máquina sea reemplazada por otra máquina capaz de soportar condiciones de uso más severas coloca la responsabilidad de la prevención en la máquina. Decidir que la máquina debe usarse solo en condiciones normales significa colocar la responsabilidad en el usuario. Del mismo modo, la responsabilidad puede recaer en la formación del personal, la organización del trabajo o simultáneamente en la máquina, el usuario, la función de formación y la función de organización.
Para cualquier nivel de análisis dado, un accidente a menudo parece ser la consecuencia de la combinación de varias disfunciones o desajustes. Según se actúe sobre una u otra disfunción, o sobre varias simultáneamente, variará la pauta de actuación preventiva adoptada.
Las herramientas son una parte tan común de nuestras vidas que a veces es difícil recordar que pueden presentar peligros. Todas las herramientas se fabrican pensando en la seguridad, pero ocasionalmente puede ocurrir un accidente antes de que se reconozcan los peligros relacionados con la herramienta. Los trabajadores deben aprender a reconocer los peligros asociados con los diferentes tipos de herramientas y las precauciones de seguridad requeridas para prevenir esos peligros. Se debe usar el equipo de protección personal adecuado, como gafas de seguridad o guantes, para protegerse de los peligros potenciales que pueden surgir al usar herramientas eléctricas portátiles y herramientas manuales.
Herramientas Manuales
Las herramientas manuales no tienen motor e incluyen de todo, desde hachas hasta llaves inglesas. Los mayores peligros que presentan las herramientas manuales son el resultado del mal uso, el uso de la herramienta incorrecta para el trabajo y el mantenimiento inadecuado. Algunos de los peligros asociados con el uso de herramientas manuales incluyen, entre otros, los siguientes:
El empleador es responsable de la condición segura de las herramientas y el equipo proporcionado a los empleados, pero los empleados tienen la responsabilidad de usar y mantener las herramientas de manera adecuada. Los trabajadores deben alejar las hojas de sierra, los cuchillos u otras herramientas de las áreas de los pasillos y de otros empleados que trabajen en las proximidades. Los cuchillos y las tijeras deben mantenerse afilados, ya que las herramientas desafiladas pueden ser más peligrosas que las afiladas. (Ver figura 1.)
Figura 1. Un destornillador
La seguridad requiere que los pisos se mantengan lo más limpios y secos posible para evitar resbalones accidentales cuando se trabaja con o cerca de herramientas manuales peligrosas. Aunque las chispas producidas por las herramientas manuales de hierro y acero normalmente no son lo suficientemente calientes como para ser fuentes de ignición, cuando se trabaja con materiales inflamables o cerca de ellos, se pueden usar herramientas resistentes a las chispas hechas de latón, plástico, aluminio o madera para evitar la formación de chispas.
Herramientas Eléctricas
Las herramientas eléctricas son peligrosas cuando no se usan correctamente. Hay varios tipos de herramientas eléctricas, generalmente clasificadas según la fuente de energía (eléctricas, neumáticas, de combustible líquido, hidráulicas, de vapor y accionadas por polvo explosivo). Los empleados deben estar calificados o capacitados en el uso de todas las herramientas eléctricas utilizadas en su trabajo. Deben comprender los peligros potenciales asociados con el uso de herramientas eléctricas y observar las siguientes precauciones generales de seguridad para evitar que ocurran esos peligros:
Guardias de proteccion
Es necesario proteger las piezas móviles peligrosas de las herramientas eléctricas. Por ejemplo, las correas, los engranajes, los ejes, las poleas, las ruedas dentadas, los husillos, los tambores, los volantes, las cadenas u otras partes del equipo que se mueven, giran o se mueven en vaivén deben protegerse si dichas partes están expuestas al contacto de los trabajadores. Cuando sea necesario, se deben proporcionar resguardos para proteger al operador y a otros con respecto a los peligros asociados con:
Nunca se deben quitar las protecciones de seguridad cuando se utiliza una herramienta. Por ejemplo, las sierras circulares portátiles deben estar equipadas con protectores. Una protección superior debe cubrir toda la hoja de la sierra. Un protector inferior retráctil debe cubrir los dientes de la sierra, excepto cuando haga contacto con el material de trabajo. La protección inferior debe volver automáticamente a la posición de cobertura cuando se retira la herramienta del trabajo. Observe los protectores de la hoja en la ilustración de una sierra eléctrica (figura 2).
Figura 2. Una sierra circular con protector
Interruptores y controles de seguridad
Los siguientes son ejemplos de herramientas eléctricas manuales que deben estar equipadas con un interruptor de control de "encendido-apagado" de contacto momentáneo:
Estas herramientas también pueden estar equipadas con un control de bloqueo, siempre que el apagado se pueda lograr con un solo movimiento del mismo dedo o dedos que lo encienden.
Las siguientes herramientas eléctricas manuales pueden estar equipadas solo con un interruptor de control positivo de "encendido-apagado":
Otras herramientas eléctricas manuales que deben estar equipadas con un interruptor de presión constante que apagará la energía cuando se libere la presión incluyen:
Herramientas electricas
Los trabajadores que utilizan herramientas eléctricas deben ser conscientes de varios peligros. La más grave de ellas es la posibilidad de electrocución, seguida de quemaduras y descargas leves. Bajo ciertas condiciones, incluso una pequeña cantidad de corriente puede provocar una fibrilación del corazón que puede provocar la muerte. Una descarga también puede hacer que un trabajador se caiga de una escalera u otra superficie de trabajo elevada.
Para reducir la posibilidad de que los trabajadores sufran lesiones por descargas eléctricas, las herramientas deben estar protegidas por al menos uno de los siguientes medios:
Figura 3. Un taladro eléctrico
Estas prácticas generales de seguridad deben seguirse al usar herramientas eléctricas:
Ruedas abrasivas motorizadas
Las ruedas abrasivas eléctricas para esmerilar, cortar, pulir y pulir con alambre crean problemas especiales de seguridad porque las ruedas pueden desintegrarse y arrojar fragmentos voladores.
Antes de montar las ruedas abrasivas, se deben inspeccionar de cerca y probar el sonido (o el sonido) golpeando suavemente con un instrumento no metálico liviano para asegurarse de que no tengan grietas ni defectos. Si las ruedas están agrietadas o suenan muertas, podrían volar en pedazos durante el funcionamiento y no deben usarse. Una rueda sana y sin daños dará un tono metálico claro o "anillo".
Para evitar que la rueda se agriete, el usuario debe asegurarse de que encaje libremente en el eje. La tuerca del husillo debe apretarse lo suficiente para mantener la rueda en su lugar sin deformar la brida. Siga las recomendaciones del fabricante. Se debe tener cuidado para asegurar que la rueda del husillo no exceda las especificaciones de la rueda abrasiva. Debido a la posibilidad de que una rueda se desintegre (explote) durante el arranque, el trabajador nunca debe pararse directamente frente a la rueda mientras acelera a la velocidad máxima de funcionamiento. Las herramientas abrasivas portátiles deben estar equipadas con protecciones de seguridad para proteger a los trabajadores no solo de la superficie de la rueda en movimiento, sino también de los fragmentos que vuelan en caso de rotura. Además, cuando se utiliza una amoladora eléctrica, se deben observar estas precauciones:
Herramientas neumáticas
Las herramientas neumáticas funcionan con aire comprimido e incluyen astilladoras, taladros, martillos y lijadoras. Aunque existen varios peligros potenciales encontrados en el uso de herramientas neumáticas, el principal es el peligro de ser golpeado por uno de los accesorios de la herramienta o por algún tipo de sujetador que el trabajador esté usando con la herramienta. Se requiere protección ocular y se recomienda protección facial cuando se trabaja con herramientas neumáticas. El ruido es otro peligro. Trabajar con herramientas ruidosas como martillos neumáticos requiere el uso adecuado y efectivo de protección auditiva adecuada.
Al usar una herramienta neumática, el trabajador debe verificar que esté bien sujeta a la manguera para evitar una desconexión. Un cable corto o un dispositivo de bloqueo positivo que conecte la manguera de aire a la herramienta servirá como protección adicional. Si una manguera de aire tiene más de ½ pulgada (1.27 cm) de diámetro, se debe instalar una válvula de exceso de flujo de seguridad en la fuente de suministro de aire para cerrar el aire automáticamente en caso de que se rompa la manguera. En general, se deben tomar las mismas precauciones con una manguera de aire que se recomiendan para cables eléctricos, porque la manguera está sujeta al mismo tipo de daño o golpe accidental, y también presenta un peligro de tropiezo.
Las pistolas de aire comprimido nunca deben apuntar hacia nadie. Los trabajadores nunca deben “apuntar” la boquilla contra ellos mismos o cualquier otra persona. Se debe instalar un clip o retenedor de seguridad para evitar que los accesorios, como un cincel en un martillo picador, salgan disparados accidentalmente del cañón. Deben instalarse pantallas para proteger a los trabajadores cercanos de ser golpeados por fragmentos voladores alrededor de astilladoras, pistolas remachadoras, martillos neumáticos, engrapadoras o taladros neumáticos.
Las pistolas rociadoras sin aire que atomizan pinturas y fluidos a altas presiones (1,000 libras o más por pulgada cuadrada) deben estar equipadas con dispositivos de seguridad visuales automáticos o manuales que eviten la activación hasta que el dispositivo de seguridad se libere manualmente. Los martillos neumáticos pesados pueden causar fatiga y tensiones que pueden reducirse mediante el uso de empuñaduras de goma pesadas que brindan un agarre seguro. Un trabajador que opere un martillo neumático debe usar anteojos de seguridad y zapatos de seguridad para protegerse contra lesiones si el martillo se resbala o se cae. También se debe usar un protector facial.
Herramientas impulsadas por combustible
Las herramientas que funcionan con combustible generalmente funcionan con pequeños motores de combustión interna que funcionan con gasolina. Los peligros potenciales más graves asociados con el uso de herramientas impulsadas por combustible provienen de los vapores de combustible peligrosos que pueden quemarse o explotar y emitir gases de escape peligrosos. El trabajador debe tener cuidado de manipular, transportar y almacenar la gasolina o el combustible únicamente en recipientes aprobados para líquidos inflamables, de acuerdo con los procedimientos adecuados para líquidos inflamables. Antes de rellenar el tanque de una herramienta que funciona con combustible, el usuario debe apagar el motor y dejar que se enfríe para evitar la ignición accidental de vapores peligrosos. Si se utiliza una herramienta que funciona con combustible dentro de un área cerrada, se necesita una ventilación eficaz y/o equipo de protección para evitar la exposición al monóxido de carbono. Los extintores de incendios deben estar disponibles en el área.
Herramientas explosivas accionadas por pólvora
Las herramientas explosivas accionadas por pólvora funcionan como un arma cargada y deben tratarse con el mismo respeto y precauciones. De hecho, son tan peligrosos que solo deben ser operados por empleados especialmente capacitados o calificados. La protección adecuada para los oídos, los ojos y la cara es esencial cuando se utiliza una herramienta accionada por pólvora. Todas las herramientas accionadas por pólvora deben diseñarse para cargas de pólvora variables, de modo que el usuario pueda seleccionar el nivel de pólvora necesario para realizar el trabajo sin una fuerza excesiva.
El extremo de la boca de la herramienta debe tener un escudo protector o un protector centrado perpendicularmente en el cañón para proteger al usuario de cualquier fragmento o partícula que salga volando y que pueda crear un peligro cuando se dispara la herramienta. La herramienta debe estar diseñada para que no se dispare a menos que tenga este tipo de dispositivo de seguridad. Para evitar que la herramienta se dispare accidentalmente, se requieren dos movimientos separados para disparar: uno para colocar la herramienta en posición y otro para apretar el gatillo. Las herramientas no deben poder funcionar hasta que se presionen contra la superficie de trabajo con una fuerza de al menos 5 libras más que el peso total de la herramienta.
Si una herramienta accionada por pólvora falla, el usuario debe esperar al menos 30 segundos antes de intentar dispararla nuevamente. Si aún no se dispara, el usuario debe esperar al menos otros 30 segundos para que sea menos probable que explote el cartucho defectuoso, luego retire la carga con cuidado. El cartucho defectuoso debe sumergirse en agua o desecharse de manera segura de acuerdo con los procedimientos del empleador.
Si una herramienta accionada por pólvora desarrolla un defecto durante el uso, se debe etiquetar y poner fuera de servicio inmediatamente hasta que se repare adecuadamente. Las precauciones para el uso y manejo seguro de las herramientas accionadas por pólvora incluyen las siguientes:
Al usar herramientas accionadas por pólvora para aplicar sujetadores, se deben considerar las siguientes precauciones de seguridad:
Herramientas de energía hidráulica
El fluido utilizado en las herramientas eléctricas hidráulicas debe estar aprobado para el uso previsto y debe conservar sus características de funcionamiento a las temperaturas más extremas a las que estará expuesto. No se debe exceder la presión de operación segura recomendada por el fabricante para mangueras, válvulas, tuberías, filtros y otros accesorios. Cuando exista la posibilidad de una fuga a alta presión en un área donde puedan estar presentes fuentes de ignición, como llamas abiertas o superficies calientes, se debe considerar el uso de fluidos resistentes al fuego como medio hidráulico.
Jacks
Todos los gatos (gatos de palanca y de trinquete, gatos de tornillo y gatos hidráulicos) deben tener un dispositivo que evite que se levanten demasiado. El límite de carga del fabricante debe estar marcado permanentemente en un lugar destacado en el gato y no debe excederse. Use bloques de madera debajo de la base si es necesario para nivelar y asegurar el gato. Si la superficie del elevador es de metal, coloque un bloque de madera dura de 1 cm (2.54 pulgada) de espesor o equivalente entre la parte inferior de la superficie y la cabeza del gato de metal para reducir el peligro de deslizamiento. Nunca se debe usar un gato para soportar una carga levantada. Una vez que se ha levantado la carga, debe apoyarse inmediatamente en bloques.
Para configurar un gato, asegúrese de las siguientes condiciones:
El mantenimiento adecuado de los gatos es esencial para la seguridad. Todos los gatos deben inspeccionarse antes de cada uso y lubricarse periódicamente. Si un gato se somete a una carga o impacto anormal, debe examinarse minuciosamente para asegurarse de que no se haya dañado. Los gatos hidráulicos expuestos a temperaturas bajo cero deben llenarse con un líquido anticongelante adecuado.
Resumen
Los trabajadores que utilizan herramientas manuales y eléctricas y que están expuestos a los peligros de objetos y materiales que caen, vuelan, abrasivos y salpican, o a los peligros de polvos, humos, neblinas, vapores o gases nocivos, deben estar provistos del equipo personal apropiado necesario para protegerlos del peligro. Los trabajadores pueden prevenir todos los riesgos relacionados con el uso de herramientas eléctricas siguiendo cinco reglas básicas de seguridad:
Los empleados y los empleadores tienen la responsabilidad de trabajar juntos para mantener las prácticas laborales seguras establecidas. Si se encuentra una herramienta insegura o una situación peligrosa, se debe informar inmediatamente a la persona adecuada.
Este artículo analiza situaciones y cadenas de eventos que conducen a accidentes atribuibles al contacto con la parte móvil de las máquinas. Las personas que operan y mantienen maquinaria corren el riesgo de verse involucradas en accidentes graves. Las estadísticas estadounidenses sugieren que 18,000 amputaciones y más de 800 muertes en los Estados Unidos cada año se pueden atribuir a tales causas. Según el Instituto Nacional de Seguridad y Salud Ocupacional de EE. UU. (NIOSH), la categoría de lesiones "atrapado en, debajo o entre" en su clasificación ocupó el primer lugar entre los tipos más importantes de lesiones ocupacionales en 1979. Tales lesiones generalmente involucran máquinas ( Etherton y Myers 1990). El “contacto con la parte móvil de la máquina” se ha informado como el principal evento de lesión en poco más del 10% de los accidentes laborales desde que esta categoría se introdujo en las estadísticas suecas de lesiones laborales en 1979.
La mayoría de las máquinas tienen partes móviles que pueden causar lesiones. Tales partes móviles se pueden encontrar en el punto de operación donde se realiza el trabajo en el material, como donde se lleva a cabo el corte, la conformación, el taladrado o la deformación. Se pueden encontrar en los aparatos que transmiten energía a las partes de la máquina que realizan el trabajo, como volantes, poleas, bielas, acopladores, levas, husillos, cadenas, manivelas y engranajes. Pueden encontrarse en otras partes móviles de la máquina, como ruedas de equipos móviles, motores de engranajes, bombas, compresores, etc. Los movimientos peligrosos de las máquinas también se pueden encontrar entre otros tipos de maquinaria, especialmente en los equipos auxiliares que manipulan y transportan cargas tales como piezas de trabajo, materiales, desechos o herramientas.
Todas las partes de una máquina que se mueven en el curso de la ejecución del trabajo pueden contribuir a accidentes que causen lesiones y daños. Tanto los movimientos rotatorios como los lineales de las máquinas, así como sus fuentes de energía, pueden ser peligrosos:
Movimiento giratorio. Incluso los ejes giratorios suaves pueden agarrar una prenda de ropa y, por ejemplo, llevar el brazo de una persona a una posición peligrosa. El peligro en un eje giratorio aumenta si tiene partes salientes o superficies irregulares o afiladas, como tornillos de ajuste, pernos, hendiduras, muescas o bordes cortantes. Las piezas giratorias de la máquina dan lugar a “puntos de presión” de tres maneras diferentes:
Movimientos lineales. El movimiento vertical, horizontal y alternativo puede causar lesiones de varias maneras: una persona puede recibir un empujón o un golpe de una parte de la máquina, y puede quedar atrapada entre la parte de la máquina y algún otro objeto, o puede cortarse con un borde afilado o sufrir una lesión por pellizco al quedar atrapado entre la parte móvil y otro objeto (figura 1).
Figura 1. Ejemplos de movimientos mecánicos que pueden lesionar a una persona
Fuentes de energía. Con frecuencia, se emplean fuentes externas de energía para hacer funcionar una máquina que puede implicar cantidades considerables de energía. Estos incluyen sistemas de energía eléctrica, de vapor, hidráulicos, neumáticos y mecánicos, todos los cuales, si se liberan o no se controlan, pueden provocar lesiones o daños graves. Un estudio de accidentes que ocurrieron durante un año (1987 a 1988) entre granjeros en nueve aldeas en el norte de la India mostró que las máquinas cortadoras de forraje, todas con el mismo diseño, son más peligrosas cuando están impulsadas por un motor o un tractor. La frecuencia relativa de accidentes con más de una lesión menor (por máquina) fue de 5.1 por mil para cortadoras manuales y de 8.6 por mil para cortadoras eléctricas (Mohan y Patel 1992).
Lesiones asociadas con movimientos de máquinas
Dado que las fuerzas asociadas con los movimientos de la máquina suelen ser bastante grandes, se puede suponer que las lesiones que provocan serán graves. Esta presunción es confirmada por varias fuentes. Según las estadísticas británicas (HSE 5), el “contacto con maquinaria en movimiento o material que se está mecanizando” representó solo el 10% de todos los accidentes laborales, pero hasta el 1989% de los accidentes mortales y graves (fracturas, amputaciones, etc.). Los estudios de dos lugares de trabajo de fabricación de vehículos en Suecia apuntan en la misma dirección. Los accidentes causados por movimientos de máquinas dieron lugar al doble de días de baja por enfermedad, medidos en valores medianos, en comparación con los accidentes no relacionados con máquinas. Los accidentes relacionados con máquinas también diferían de otros accidentes con respecto a la parte del cuerpo lesionada: los resultados indicaron que el 80 % de las lesiones sufridas en accidentes con “máquinas” fueron en manos y dedos, mientras que la proporción correspondiente para “otros” accidentes fue 40% (Backström y Döös 1995).
La situación de riesgo en las instalaciones automatizadas ha resultado ser diferente (en términos de tipo de accidente, secuencia de eventos y grado de gravedad de las lesiones) y más complicada (tanto en términos técnicos como en cuanto a la necesidad de habilidades especializadas) que en instalaciones donde se utilice maquinaria convencional. El termino soluciones en este documento se refiere a equipos que, sin la intervención directa de un ser humano, pueden iniciar el movimiento de una máquina o cambiar su dirección o función. Tal equipo requiere dispositivos sensores (p. ej., sensores de posición o microinterruptores) y/o alguna forma de controles secuenciales (p. ej., un programa de computadora) para dirigir y monitorear sus actividades. Durante las últimas décadas, una controlador lógico programable (PLC) se ha empleado cada vez más como unidad de control en los sistemas de producción. Las computadoras pequeñas son ahora los medios más comunes utilizados para controlar los equipos de producción en el mundo industrializado, mientras que otros medios de control, como las unidades electromecánicas, son cada vez menos comunes. En la industria manufacturera sueca, el uso de máquinas de control numérico (NC) aumentó entre un 11 y un 12 % por año durante la década de 1980 (Hörte y Lindberg 1989). En la producción industrial moderna, ser lesionado por “partes móviles de máquinas” es cada vez más equivalente a ser lesionado por “movimientos de máquinas controlados por computadora”.
Las instalaciones automatizadas se encuentran en cada vez más sectores de la industria y tienen un número cada vez mayor de funciones. La gestión de tiendas, la manipulación de materiales, el procesamiento, el montaje y el embalaje se están automatizando. La producción en serie ha llegado a parecerse a la producción por procesos. Si se mecanizan la alimentación, el mecanizado y la expulsión de las piezas de trabajo, el operador ya no necesita estar en la zona de riesgo durante el curso de una producción normal y sin interrupciones. Los estudios de investigación de la fabricación automatizada han demostrado que los accidentes ocurren principalmente en el manejo de perturbaciones que afectan la producción. Sin embargo, las personas también pueden interferir con los movimientos de la máquina al realizar otras tareas, como la limpieza, el ajuste, el reinicio, el control y la reparación.
Cuando la producción está automatizada y el proceso ya no está bajo el control directo del ser humano, aumenta el riesgo de movimientos inesperados de la máquina. La mayoría de los operadores que trabajan con grupos o líneas de máquinas interconectadas han experimentado este tipo de movimientos inesperados de la máquina. Muchos accidentes de automatización ocurren como resultado de tales movimientos. Un accidente de automatización es un accidente en el que el equipo automático controla (o debería haber controlado) la energía que da lugar a la lesión. Esto significa que la fuerza que daña a la persona proviene de la propia máquina (por ejemplo, la energía del movimiento de una máquina). En un estudio de 177 accidentes de automatización en Suecia, se encontró que la lesión fue causada por el “arranque inesperado” de una parte de una máquina en el 84% de los casos (Backström y Harms-Ringdahl 1984). En la figura 2 se muestra un ejemplo típico de una lesión causada por el movimiento de una máquina controlada por computadora.
Figura 2. Un ejemplo típico de una lesión causada por el movimiento de una máquina controlada por computadora
Uno de los estudios mencionados anteriormente (Backström y Döös 1995) mostró que los movimientos de máquinas controlados automáticamente estaban causalmente relacionados con períodos más prolongados de baja por enfermedad que las lesiones debidas a otros tipos de movimientos de máquinas, siendo el valor medio cuatro veces mayor en uno de los lugares de trabajo. . El patrón de lesiones de los accidentes de automatización fue similar al de otros accidentes de máquinas (principalmente en manos y dedos), pero la tendencia fue que el primer tipo de lesiones fuera más grave (amputaciones, aplastamientos y fracturas).
El control por computadora, como el manual, tiene debilidades desde la perspectiva de la confiabilidad. No hay garantía de que un programa de computadora funcione sin errores. Los componentes electrónicos, con sus bajos niveles de señal, pueden ser sensibles a las interferencias si no se protegen adecuadamente, y no siempre es posible predecir las consecuencias de las fallas resultantes. Además, los cambios de programación a menudo se dejan sin documentar. Un método que se utiliza para compensar esta debilidad es, por ejemplo, operar sistemas “dobles” en los que hay dos cadenas independientes de componentes funcionales y un método de seguimiento de modo que ambas cadenas muestren el mismo valor. Si los sistemas muestran valores diferentes, esto indica una falla en uno de ellos. Pero existe la posibilidad de que ambas cadenas de componentes sufran la misma falla y que ambos puedan quedar fuera de servicio por la misma perturbación, dando así una lectura falsa positiva (como ambos sistemas están de acuerdo). Sin embargo, sólo en algunos de los casos investigados se ha podido atribuir un accidente a un fallo informático (ver más abajo), a pesar de que es habitual que un único ordenador controle todas las funciones de una instalación (incluso la parada de una máquina como resultado de la activación de un dispositivo de seguridad). Como alternativa, se puede considerar la posibilidad de proporcionar un sistema probado con componentes electromecánicos para funciones de seguridad.
Problemas técnicos
En general, se puede decir que un mismo accidente tiene muchas causas, entre ellas técnicas, individuales, ambientales y organizacionales. Para fines preventivos, es mejor considerar un accidente no como un evento aislado, sino como un secuencia de eventos o un proceso (Backström 1996). En el caso de los accidentes de automatización, se ha demostrado que los problemas técnicos son frecuentemente parte de esa secuencia y ocurren en una de las primeras etapas del proceso o cerca del evento de lesión del accidente. Los estudios en los que se han examinado los problemas técnicos involucrados en los accidentes de automatización sugieren que estos se encuentran detrás del 75 al 85% de los accidentes. Al mismo tiempo, en cualquier caso concreto, suelen existir otras causas, como las de carácter organizativo. Solo en una décima parte de los casos se ha encontrado que la fuente directa de energía que da lugar a una lesión podría atribuirse a una falla técnica, por ejemplo, el movimiento de una máquina a pesar de que la máquina está en la posición de parada. Cifras similares han sido reportadas en otros estudios. Por lo general, un problema técnico generaba problemas con el equipo, por lo que el operador tenía que cambiar de tareas (p. ej., para volver a colocar una pieza que estaba en una posición torcida). El accidente ocurrió entonces durante la ejecución de la tarea, provocado por la falla técnica. Una cuarta parte de los accidentes de automatización fueron precedidos por una perturbación en el flujo de materiales, como que una pieza se atascara o quedara en una posición torcida o defectuosa (consulte la figura 3).
Figura 3. Tipos de problemas técnicos involucrados en accidentes de automatización (número de accidentes = 127)
En un estudio de 127 accidentes relacionados con la automatización, 28 de estos accidentes, descritos en la figura 4, se investigaron más a fondo para determinar los tipos de problemas técnicos que estaban involucrados como factores causales (Backström y Döös, en prensa). Los problemas especificados en las investigaciones de accidentes fueron causados con mayor frecuencia por componentes atascados, defectuosos o desgastados. En dos casos, un problema fue causado por un error en el programa de la computadora y en uno por una interferencia electromagnética. En más de la mitad de los casos (17 de 28), las fallas habían estado presentes durante algún tiempo pero no se subsanaron. Solo en 5 de los 28 casos en los que se aludió a una falla técnica o desviación, el defecto no se manifestó anteriormente. Algunas fallas habían sido reparadas solo para reaparecer más tarde. Ciertos defectos estaban presentes desde el momento de la instalación, mientras que otros se debían al desgaste y al impacto ambiental.
La proporción de accidentes de automatización que se producen en el curso de la corrección de una perturbación en la producción asciende a entre un tercio y dos tercios de todos los casos, según la mayoría de los estudios. En otras palabras, existe un acuerdo general en que el manejo de las perturbaciones en la producción es una tarea ocupacional peligrosa. La variación en la medida en que ocurren tales accidentes tiene muchas explicaciones, entre ellas las relacionadas con el tipo de producción y con la clasificación de las tareas ocupacionales. En algunos estudios de perturbaciones, solo se han considerado problemas y paradas de máquinas en el curso de la producción regular; en otros, se ha tratado una gama más amplia de problemas, por ejemplo, los relacionados con la instalación del trabajo.
Una medida muy importante en la prevención de accidentes de automatización es preparar procedimientos para eliminar las causas de las perturbaciones en la producción para que no se repitan. En un estudio especializado de las perturbaciones de producción en el momento del accidente (Döös y Backström 1994), se encontró que la tarea más común a la que daban lugar las perturbaciones era la liberación o la corrección de la posición de una pieza de trabajo que se había atascado o mal colocado. metido. Este tipo de problema inició una de dos secuencias de eventos bastante similares: (1) la pieza se liberó y volvió a su posición correcta, la máquina recibió una señal automática para arrancar y la persona resultó lesionada por el movimiento de la máquina iniciado, (2 ) no hubo tiempo para liberar o reposicionar la pieza antes de que la persona resultara lesionada por un movimiento de la máquina que se produjo de forma inesperada, más rápida o con mayor fuerza de la esperada por el operador. Otro manejo de perturbaciones implicó generar un impulso de sensor, liberar una parte de la máquina atascada, llevar a cabo tipos simples de rastreo de fallas y organizar el reinicio (consulte la figura 4).
Figura 4. Tipo de manejo de perturbaciones en el momento del accidente (número de accidentes =76)
Seguridad del trabajador
Las categorías de personal que tienden a lesionarse en accidentes de automatización dependen de cómo se organiza el trabajo, es decir, en qué grupo ocupacional realiza las tareas peligrosas. En la práctica, se trata de una cuestión de qué persona en el lugar de trabajo se asigna para hacer frente a los problemas y perturbaciones de forma rutinaria. En la industria sueca moderna, normalmente se exigen intervenciones activas de las personas que manejan la máquina. Esta es la razón por la cual, en el estudio del lugar de trabajo de fabricación de vehículos en Suecia mencionado anteriormente (Backström y Döös, aceptado para publicación), se encontró que el 82% de las personas que sufrieron lesiones por máquinas automatizadas eran trabajadores u operadores de producción. Los operadores también tuvieron una frecuencia relativa de accidentes más alta (15 accidentes de automatización por 1,000 operadores por año) que los trabajadores de mantenimiento (6 por 1,000). Los resultados de los estudios que indican que los trabajadores de mantenimiento se ven más afectados se explican, al menos en parte, por el hecho de que en algunas empresas no se permite a los operadores entrar en las áreas de mecanizado. En organizaciones con un tipo diferente de distribución de tareas, otras categorías de personal, por ejemplo, se les puede asignar la tarea de resolver cualquier problema de producción que surja.
La medida correctiva más común que se toma en este sentido para elevar el nivel de seguridad personal es proteger a la persona de los movimientos peligrosos de la máquina mediante el uso de algún tipo de dispositivo de seguridad, como la protección de la máquina. El principio principal aquí es el de la seguridad “pasiva”, es decir, la provisión de protección que no requiere acción por parte del trabajador. Sin embargo, es imposible juzgar la eficacia de los dispositivos de protección sin un muy buen conocimiento de los requisitos de trabajo reales en la máquina en cuestión, una forma de conocimiento que normalmente sólo poseen los propios operadores de la máquina.
Hay muchos factores que pueden poner fuera de servicio incluso lo que aparentemente es una buena protección de la máquina. Para realizar su trabajo, es posible que los operadores deban desactivar o eludir un dispositivo de seguridad. En un estudio (Döös y Backström 1993), se encontró que dicha desvinculación o elusión había tenido lugar en 12 de 75 de los accidentes de automatización cubiertos. A menudo se trata de que el operador sea ambicioso y ya no esté dispuesto a aceptar los problemas de producción o el retraso en el proceso de producción que implica corregir las perturbaciones de acuerdo con las instrucciones. Una forma de evitar este problema es hacer que el dispositivo de protección sea imperceptible, para que no afecte el ritmo de producción, la calidad del producto o el desempeño de la tarea. Pero esto no siempre es posible; y donde hay perturbaciones repetidas en la producción, incluso los inconvenientes menores pueden incitar a las personas a no utilizar los dispositivos de seguridad. Nuevamente, las rutinas deben estar disponibles para eliminar las causas de las perturbaciones en la producción para que no se repitan. La falta de medios para confirmar que los dispositivos de seguridad realmente funcionan de acuerdo con las especificaciones es otro factor de riesgo significativo. Las conexiones defectuosas, las señales de arranque que permanecen en el sistema y luego dan lugar a arranques inesperados, la acumulación de presión de aire y los sensores que se han soltado pueden causar fallas en el equipo de protección.
Resumen
Como se ha mostrado, las soluciones técnicas a los problemas pueden dar lugar a nuevos problemas. Aunque las lesiones son causadas por los movimientos de las máquinas, que son esencialmente de naturaleza técnica, esto no significa automáticamente que el potencial para su erradicación resida en factores puramente técnicos. Los sistemas técnicos seguirán funcionando mal, y las personas no podrán manejar las situaciones a las que dan lugar estos fallos. Los riesgos seguirán existiendo y sólo pueden controlarse mediante una amplia variedad de medios. La legislación y el control, las medidas organizativas en las empresas individuales (en forma de capacitación, rondas de seguridad, análisis de riesgos y el informe de perturbaciones y cuasi accidentes) y un énfasis en mejoras constantes y continuas son necesarios como complementos al desarrollo puramente técnico.
Parece haber tantos peligros potenciales creados por las piezas móviles de las máquinas como diferentes tipos de máquinas. Las salvaguardas son esenciales para proteger a los trabajadores de lesiones innecesarias y prevenibles relacionadas con la maquinaria. Por lo tanto, se debe proteger cualquier parte, función o proceso de la máquina que pueda causar lesiones. Cuando la operación de una máquina o el contacto accidental con ella pueda lesionar al operador o a otras personas en las inmediaciones, el peligro debe controlarse o eliminarse.
Movimientos y acciones mecánicas
Los peligros mecánicos generalmente involucran piezas móviles peligrosas en las siguientes tres áreas básicas:
Una amplia variedad de movimientos y acciones mecánicas que pueden presentar riesgos para los trabajadores incluyen el movimiento de elementos giratorios, brazos alternativos, correas móviles, engranajes engranados, dientes cortantes y cualquier pieza que impacte o corte. Estos diferentes tipos de movimientos y acciones mecánicas son básicos para casi todas las máquinas, y reconocerlos es el primer paso para proteger a los trabajadores de los peligros que pueden presentar.
Mociones
Hay tres tipos básicos de movimiento: giratorio, alternativo y transversal.
Movimiento giratorio Puede ser peligroso; incluso los ejes suaves que giran lentamente pueden agarrar la ropa y forzar un brazo o una mano a una posición peligrosa. Las lesiones debidas al contacto con las piezas giratorias pueden ser graves (consulte la figura 1).
Figura 1. Punzonadora mecánica
Los collares, acoplamientos, levas, embragues, volantes, extremos de ejes, husillos y ejes horizontales o verticales son algunos ejemplos de mecanismos giratorios comunes que pueden ser peligrosos. Existe un peligro adicional cuando los pernos, las mellas, las abrasiones y las llaves salientes o los tornillos de fijación quedan expuestos en las piezas giratorias de la maquinaria, como se muestra en la figura 2.
Figura 2. Ejemplos de proyecciones peligrosas en piezas giratorias
Punto de pellizco en marchaLos s son creados por piezas giratorias en la maquinaria. Hay tres tipos principales de puntos de contacto en funcionamiento:
Figura 3. Puntos de pinzamiento comunes en piezas giratorias
Figura 4. Puntos de presión entre elementos giratorios y piezas con movimientos longitudinales
Figura 5. Puntos de presión entre los componentes de la máquina giratoria
movimientos alternativos puede ser peligroso porque durante el movimiento hacia adelante y hacia atrás o hacia arriba y hacia abajo, un trabajador puede ser golpeado o atrapado entre una parte móvil y una parte estacionaria. Un ejemplo se muestra en la figura 6.
Figura 6. Movimiento alternativo peligroso
movimiento transversal (movimiento en línea recta y continua) crea un peligro porque un trabajador puede ser golpeado o atrapado en un punto de pellizco o corte por una parte móvil. En la figura 7 se muestra un ejemplo de movimiento transversal.
Figura 7. Ejemplo de movimiento transversal
Acciones
Existen cuatro tipos básicos de acción: cortar, punzonar, cizallar y doblar.
Acción de corte Implica un movimiento giratorio, alternativo o transversal. La acción de corte crea peligros en el punto de operación donde pueden ocurrir lesiones en los dedos, la cabeza y los brazos y donde las astillas o el material de desecho pueden golpear los ojos o la cara. Los ejemplos típicos de máquinas con riesgos de corte incluyen sierras de cinta, sierras circulares, máquinas taladradoras o perforadoras, máquinas de torneado (tornos) y fresadoras. (Ver figura 8.)
Figura 8. Ejemplos de peligros de corte
Acción de puñetazo se produce cuando se aplica energía a una corredera (pistón) con el fin de cortar, estirar o estampar metal u otros materiales. El peligro de este tipo de acción ocurre en el punto de operación donde se inserta, sostiene y retira el material a mano. Las máquinas típicas que utilizan la acción de punzonado son las prensas mecánicas y los trabajadores del hierro. (Ver figura 9.)
Figura 9. Operación típica de punzonado
Acción de cizallamiento Implica aplicar potencia a una corredera o cuchillo para recortar o cortar metal u otros materiales. Se produce un peligro en el punto de operación donde se inserta, retiene y retira el material. Ejemplos típicos de maquinaria utilizada para operaciones de cizallamiento son las cizallas mecánicas, hidráulicas o neumáticas. (Ver figura 10.)
Figura 10. Operación de corte
Acción de flexión se produce cuando se aplica energía a una corredera para dar forma, estirar o estampar metal u otros materiales. El peligro ocurre en el punto de operación donde se inserta, retiene y retira el material. El equipo que utiliza la acción de flexión incluye prensas eléctricas, plegadoras y dobladoras de tubos. (Ver figura 11.)
Figura 11. Operación de doblado
Requisitos para las salvaguardias
Las salvaguardas deben cumplir con los siguientes requisitos generales mínimos para proteger a los trabajadores contra riesgos mecánicos:
Prevenir el contacto. La protección debe evitar que las manos, los brazos o cualquier parte del cuerpo o la ropa de un trabajador entren en contacto con piezas móviles peligrosas, eliminando la posibilidad de que los operadores u otros trabajadores coloquen partes de su cuerpo cerca de piezas móviles peligrosas.
Proveer seguridad. Los trabajadores no deben poder quitar o manipular fácilmente la protección. Las protecciones y los dispositivos de seguridad deben estar hechos de un material duradero que resista las condiciones de uso normal y que estén firmemente sujetos a la máquina.
Proteger de la caída de objetos. La protección debe garantizar que ningún objeto pueda caer en las piezas móviles y dañar el equipo o convertirse en un proyectil que pueda golpear y lesionar a alguien.
No crear nuevos peligros. Una protección anula su propósito si crea un peligro propio, como un punto de corte, un borde dentado o una superficie sin terminar. Los bordes de las protecciones, por ejemplo, deben enrollarse o atornillarse de tal manera que eliminen los bordes afilados.
No crear interferencia. Las salvaguardias que impiden que los trabajadores realicen su trabajo pronto podrían ser anuladas o ignoradas. Si es posible, los trabajadores deberían poder lubricar las máquinas sin desconectar o quitar las protecciones. Por ejemplo, ubicar depósitos de aceite fuera de la protección, con una línea que conduzca al punto de lubricación, reducirá la necesidad de ingresar al área peligrosa.
Capacitación en salvaguardias
Incluso el sistema de protección más elaborado no puede ofrecer una protección eficaz a menos que los trabajadores sepan cómo usarlo y por qué. La capacitación específica y detallada es una parte importante de cualquier esfuerzo para implementar la protección contra los peligros relacionados con las máquinas. La protección adecuada puede mejorar la productividad y mejorar la eficiencia, ya que puede aliviar los temores de los trabajadores acerca de las lesiones. La formación en salvaguardias es necesaria para los nuevos operadores y el personal de mantenimiento o instalación, cuando se ponen en servicio salvaguardas nuevas o alteradas, o cuando se asigna a los trabajadores a una nueva máquina u operación; debe incluir instrucción o capacitación práctica en lo siguiente:
Métodos de protección de máquinas
Hay muchas formas de proteger la maquinaria. El tipo de operación, el tamaño o la forma del material, el método de manejo, la disposición física del área de trabajo, el tipo de material y los requisitos o limitaciones de producción ayudarán a determinar el método de protección adecuado para la máquina individual. El diseñador de la máquina o el profesional de la seguridad debe elegir la protección más efectiva y práctica disponible.
Las salvaguardas se pueden clasificar en cinco clasificaciones generales: (1) guardas, (2) dispositivos, (3) separación, (4) operaciones y (5) otros.
Resguardo con resguardos
Existen cuatro tipos generales de resguardos (barreras que impiden el acceso a zonas de peligro), como sigue:
Guardias fijos. Una protección fija es una parte permanente de la máquina y no depende de las piezas móviles para realizar su función prevista. Puede estar construido de láminas de metal, pantalla, tela metálica, barras, plástico o cualquier otro material que sea lo suficientemente sólido para resistir cualquier impacto que pueda recibir y soportar un uso prolongado. Las protecciones fijas suelen ser preferibles a todos los demás tipos debido a su relativa simplicidad y permanencia (consulte la tabla 1).
Tabla 1. Protectores de máquinas
Método |
Acción de salvaguardia |
Ventajas |
Limitaciones |
Fijo |
· Proporciona una barrera |
· Se adapta a muchas aplicaciones específicas |
· Puede interferir con la visibilidad |
Enclavado |
· Apaga o desconecta la energía y evita el arranque de la máquina cuando la protección está abierta; debe requerir que la máquina se detenga antes de que el trabajador pueda alcanzar el área de peligro |
· Proporciona la máxima protección |
· Requiere cuidadoso ajuste y mantenimiento |
Ajustable |
· Proporciona una barrera que se puede ajustar para facilitar una variedad de operaciones de producción |
· Se puede construir para adaptarse a muchas aplicaciones específicas |
· El operador puede ingresar al área de peligro: la protección puede no ser completa en todo momento |
Autoajustable |
· Proporciona una barrera que se mueve de acuerdo con el tamaño del ganado que ingresa al área de peligro |
· Los protectores listos para usar están disponibles comercialmente |
· No siempre proporciona la máxima protección |
En la figura 12, una protección fija en una prensa eléctrica encierra completamente el punto de operación. El material se alimenta a través del costado de la protección hacia el área del troquel, y el material de desecho sale por el lado opuesto.
Figura 12. Protección fija en la prensa eléctrica
La figura 13 muestra un protector de recinto fijo que protege la correa y la polea de una unidad de transmisión de potencia. Se proporciona un panel de inspección en la parte superior para minimizar la necesidad de quitar la protección.
Figura 13. Protección fija que encierra correas y poleas
En la figura 14, se muestran protectores de gabinete fijos en una sierra de cinta. Estos protectores protegen a los operadores de las ruedas giratorias y de la hoja de sierra en movimiento. Normalmente, la única vez que se abrirían o quitarían los protectores sería para cambiar la hoja o para mantenimiento. Es muy importante que estén bien sujetos mientras se usa la sierra.
Figura 14. Protectores fijos en sierra de cinta
Guardias entrelazados. Cuando se abren o retiran las protecciones interbloqueadas, el mecanismo de activación y/o la energía se apagan o se desconectan automáticamente, y la máquina no puede funcionar ni arrancarse hasta que la protección interbloqueada vuelva a estar en su lugar. Sin embargo, reemplazar la protección de enclavamiento no debería reiniciar automáticamente la máquina. Los resguardos interbloqueados pueden usar energía eléctrica, mecánica, hidráulica o neumática, o cualquier combinación de estos. Los enclavamientos no deben impedir el "avance lento" (es decir, movimientos progresivos graduales) por control remoto, si es necesario.
En la figura 15 se muestra un ejemplo de una protección interbloqueada. En esta figura, el mecanismo batidor de una máquina recogedora (utilizada en la industria textil) está cubierto por una protección de barrera interbloqueada. Esta protección no se puede levantar mientras la máquina está funcionando, ni se puede reiniciar la máquina con la protección en la posición levantada.
Figura 15. Protección interbloqueada en la máquina recogedora
Guardias ajustables. Los protectores ajustables permiten flexibilidad para acomodar varios tamaños de material. La Figura 16 muestra un protector de recinto ajustable en una sierra de cinta.
Figura 16. Protección ajustable en sierra de cinta
Protectores autoajustables. Las aperturas de las protecciones autoajustables están determinadas por el movimiento de la culata. A medida que el operador mueve el material hacia el área de peligro, la protección se aleja, proporcionando una abertura que es lo suficientemente grande para admitir solo el material. Después de retirar la culata, el protector vuelve a la posición de reposo. Esta protección protege al operador colocando una barrera entre el área de peligro y el operador. Las protecciones pueden estar construidas de plástico, metal u otro material sólido. Los protectores autoajustables ofrecen diferentes grados de protección.
La Figura 17 muestra una sierra de brazo radial con un protector autoajustable. A medida que se pasa la hoja por la culata, la protección se mueve hacia arriba y permanece en contacto con la culata.
Figura 17. Protección autoajustable en sierra de brazo radial
Protección con dispositivos
Los dispositivos de seguridad pueden detener la máquina si una mano o cualquier parte del cuerpo se coloca inadvertidamente en el área de peligro, pueden restringir o retirar las manos del operador del área de peligro durante la operación, pueden requerir que el operador use ambas manos en los controles de la máquina simultáneamente ( manteniendo tanto las manos como el cuerpo fuera de peligro) o puede proporcionar una barrera sincronizada con el ciclo de funcionamiento de la máquina para evitar la entrada al área de peligro durante la parte peligrosa del ciclo. Hay cinco tipos básicos de dispositivos de seguridad, como sigue:
Dispositivos de detección de presencia
A continuación se describen tres tipos de dispositivos de detección que detienen la máquina o interrumpen el ciclo de trabajo o la operación si un trabajador se encuentra dentro de la zona de peligro:
La dispositivo de detección de presencia fotoeléctrico (óptico) utiliza un sistema de fuentes de luz y controles que pueden interrumpir el ciclo de funcionamiento de la máquina. Si el campo de luz se rompe, la máquina se detiene y no realiza el ciclo. Este dispositivo debe utilizarse únicamente en máquinas que puedan detenerse antes de que el trabajador llegue a la zona de peligro. La figura 18 muestra un dispositivo fotoeléctrico de detección de presencia utilizado con una prensa plegadora. El dispositivo se puede girar hacia arriba o hacia abajo para adaptarse a diferentes requisitos de producción.
Figura 18. Dispositivo fotoeléctrico de detección de presencia en la prensa plegadora
La dispositivo de detección de presencia de radiofrecuencia (capacitancia) utiliza un haz de radio que forma parte del circuito de control. Cuando se rompe el campo de capacitancia, la máquina se detendrá o no se activará. Este dispositivo debe utilizarse únicamente en máquinas que puedan detenerse antes de que el trabajador pueda llegar a la zona de peligro. Esto requiere que la máquina tenga un embrague de fricción u otro medio confiable para detenerse. La figura 19 muestra un dispositivo detector de presencia por radiofrecuencia montado en una prensa mecánica de revolución parcial.
Figura 19. Dispositivo de detección de presencia por radiofrecuencia en una sierra eléctrica
La dispositivo de detección electromecánico tiene una sonda o barra de contacto que desciende a una distancia predeterminada cuando el operador inicia el ciclo de la máquina. Si hay una obstrucción que le impide descender toda la distancia predeterminada, el circuito de control no activa el ciclo de la máquina. La figura 20 muestra un dispositivo de detección electromecánico en un ojeteador. También se muestra la sonda de detección en contacto con el dedo del operador.
Figura 20. Dispositivo de detección electromecánico en máquina de letras ojo
Dispositivos de retroceso
Los dispositivos de retroceso utilizan una serie de cables conectados a las manos, muñecas y/o brazos del operador y se utilizan principalmente en máquinas con acción de carrera. Cuando la corredera/pistón está levantada, el operador puede acceder al punto de operación. Cuando la corredera/pistón comienza a descender, un enlace mecánico asegura automáticamente la retirada de las manos del punto de operación. La figura 21 muestra un dispositivo de retroceso en una prensa pequeña.
Figura 21. Dispositivo de retroceso en prensa mecánica
Dispositivos de sujeción
En algunos países se han utilizado dispositivos de sujeción, que utilizan cables o correas que se sujetan entre un punto fijo y las manos del operador. Estos dispositivos generalmente no se consideran medidas de seguridad aceptables porque el operador los pasa por alto fácilmente, lo que permite colocar las manos en la zona de peligro. (Ver tabla 2.)
Tabla 2. Dispositivos
Método |
Acción de salvaguardia |
Ventajas |
Limitaciones |
Fotoeléctrico |
· La máquina no iniciará el ciclo cuando se interrumpa el campo de luz |
· Puede permitir un movimiento más libre para el operador |
· No protege contra fallas mecánicas |
Frecuencia de radio |
· El ciclo de la máquina no comenzará cuando se interrumpa el campo de capacitancia |
· Puede permitir un movimiento más libre para el operador |
· No protege contra fallas mecánicas |
Electromecánico |
· La barra de contacto o la sonda recorre una distancia predeterminada entre el operador y el área de peligro |
· Puede permitir el acceso en el punto de operación |
· La barra de contacto o la sonda deben ajustarse adecuadamente para cada aplicación; este ajuste debe mantenerse correctamente |
Pullback |
· A medida que la máquina comienza a funcionar, las manos del operador se retiran del área de peligro |
· Elimina la necesidad de barreras auxiliares u otras interferencias en el área de peligro |
· Limita el movimiento del operador |
Controles de viaje de seguridad: |
· Detiene la máquina cuando se dispara |
· Simplicidad de uso |
· Todos los controles deben activarse manualmente |
Control a dos manos |
· Se requiere el uso simultáneo de ambas manos, evitando que el operador ingrese al área de peligro |
· Las manos del operador están en un lugar predeterminado lejos del área de peligro |
· Requiere máquina de ciclo parcial con freno |
Viaje a dos manos |
· El uso simultáneo de dos manos en controles separados evita que las manos estén en el área de peligro cuando comienza el ciclo de la máquina |
· Las manos del operador están alejadas del área de peligro |
· El operador puede tratar de llegar al área de peligro después de tropezar con la máquina |
Puerta de sonido |
· Proporciona una barrera entre el área de peligro y el operador u otro personal |
· Puede evitar alcanzar o caminar en el área de peligro |
· Puede requerir inspección frecuente y mantenimiento regular |
Dispositivos de control de seguridad
Todos estos dispositivos de control de seguridad se activan manualmente y deben restablecerse manualmente para reiniciar la máquina:
Figura 22. Barra de carrocería sensible a la presión en molino de caucho
Figura 23. Varilla de seguridad en molino de caucho
Figura 24. Cable trampa de seguridad en calandra
Figura 25. Botones de control a dos manos en prensa de embrague de revolución parcial
Figura 26. Botones de control a dos manos en una prensa de embrague de revolución completa
Figura 27. Prensa mecánica con compuerta
Resguardo por ubicación o distancia
Para proteger una máquina por ubicación, la máquina o sus partes móviles peligrosas deben colocarse de manera que las áreas peligrosas no sean accesibles o no representen un peligro para un trabajador durante la operación normal de la máquina. Esto se puede lograr con paredes o cercas que restrinjan el acceso a las máquinas, o ubicando una máquina de modo que una característica del diseño de la planta, como una pared, proteja al trabajador y al resto del personal. Otra posibilidad es tener partes peligrosas ubicadas lo suficientemente altas como para estar fuera del alcance normal de cualquier trabajador. Es esencial realizar un análisis exhaustivo de los peligros de cada máquina y situación particular antes de intentar esta técnica de protección. Los ejemplos que se mencionan a continuación son algunas de las numerosas aplicaciones del principio de protección por ubicación/distancia.
Proceso de alimentación. El proceso de alimentación se puede salvaguardar por ubicación si se puede mantener una distancia segura para proteger las manos del trabajador. Las dimensiones del material sobre el que se trabaja pueden proporcionar una seguridad adecuada. Por ejemplo, al operar una punzonadora de un solo extremo, si el material tiene varios pies de largo y solo se está trabajando en un extremo del material, el operador puede sostener el extremo opuesto mientras se realiza el trabajo. Sin embargo, dependiendo de la máquina, es posible que se requiera protección para otro personal.
Controles de posicionamiento. El posicionamiento de la estación de control del operador proporciona un enfoque potencial para la protección por ubicación. Los controles del operador pueden estar ubicados a una distancia segura de la máquina si no hay razón para que el operador esté presente en la máquina.
Métodos de protección de alimentación y expulsión
Muchos métodos de alimentación y expulsión no requieren que los operadores coloquen sus manos en el área de peligro. En algunos casos, no es necesaria la participación del operador después de configurar la máquina, mientras que en otras situaciones, los operadores pueden alimentar manualmente el material con la ayuda de un mecanismo de alimentación. Además, se pueden diseñar métodos de eyección que no requieran la participación de ningún operador después de que la máquina comience a funcionar. Algunos métodos de alimentación y expulsión pueden incluso crear peligros por sí mismos, como un robot que puede eliminar la necesidad de que un operador esté cerca de la máquina pero puede crear un nuevo peligro por el movimiento de su brazo. (Ver tabla 3.)
Tabla 3. Métodos de alimentación y expulsión
Método |
Acción de salvaguardia |
Ventajas |
Limitaciones |
Alimentación automática |
· El stock se alimenta de rollos, indexado por mecanismo de máquina, etc. |
· Elimina la necesidad de involucrar al operador en el área de peligro |
· También se requieren otros resguardos para la protección del operador, generalmente resguardos de barrera fijos |
Semi-automática |
· El material es alimentado por conductos, troqueles móviles, dial |
· Elimina la necesidad de involucrar al operador en el área de peligro |
· También se requieren otros resguardos para la protección del operador, generalmente resguardos de barrera fijos |
Automático |
· Las piezas de trabajo son expulsadas por aire o medios mecánicos |
· Elimina la necesidad de involucrar al operador en el área de peligro |
· Puede crear un peligro de astillas o escombros |
Semi-automática |
· Las piezas de trabajo son expulsadas por medios mecánicos |
· El operador no tiene que ingresar al área de peligro para retirar el trabajo terminado |
· Se requieren otras protecciones para el operador |
Robots |
· Realizan el trabajo generalmente realizado por el operador |
· El operador no tiene que entrar en la zona de peligro |
· Pueden crear peligros por sí mismos |
El uso de uno de los siguientes cinco métodos de alimentación y expulsión para proteger las máquinas no elimina la necesidad de protecciones y otros dispositivos, que deben usarse según sea necesario para brindar protección contra la exposición a peligros.
Alimentación automática. Las alimentaciones automáticas reducen la exposición del operador durante el proceso de trabajo y, a menudo, no requieren ningún esfuerzo por parte del operador una vez que la máquina está configurada y en funcionamiento. La prensa mecánica de la figura 28 tiene un mecanismo de alimentación automático con una protección de recinto fijo transparente en la zona de peligro.
Figura 28. Prensa mecánica con avance automático
Alimentación semiautomática. Con la alimentación semiautomática, como en el caso de una prensa mecánica, el operador utiliza un mecanismo para colocar la pieza que se está procesando debajo del carnero en cada golpe. El operador no necesita alcanzar el área de peligro y el área de peligro está completamente cerrada. La figura 29 muestra una tolva de alimentación en la que cada pieza se coloca a mano. El uso de un canal de alimentación en una prensa inclinada no solo ayuda a centrar la pieza a medida que se desliza en el troquel, sino que también puede simplificar el problema de la expulsión.
Figura 29. Prensa mecánica con alimentación por tolva
Expulsión automática. La eyección automática puede emplear presión de aire o un aparato mecánico para retirar la pieza terminada de una prensa, y puede interconectarse con los controles operativos para evitar la operación hasta que se complete la eyección de la pieza. El mecanismo de transferencia de bandeja que se muestra en la figura 30 se mueve debajo de la pieza terminada a medida que la corredera se mueve hacia la posición superior. Luego, el transbordador atrapa la pieza que los pasadores ciegos quitaron de la corredera y la desvía hacia una tolva. Cuando el ariete desciende hacia el siguiente espacio en blanco, la lanzadera del plato se aleja del área del troquel.
Figura 30. Sistema de eyección de la lanzadera
Expulsión semiautomática. La figura 31 muestra un mecanismo de eyección semiautomático utilizado en una prensa eléctrica. Cuando el émbolo se retira del área del troquel, la pata eyectora, que está acoplada mecánicamente al émbolo, expulsa el trabajo completo.
Figura 31. Mecanismo de eyección semiautomático
Robots. Los robots son dispositivos complejos que cargan y descargan existencias, ensamblan piezas, transfieren objetos o realizan trabajos que de otro modo realizaría un operador, eliminando así la exposición del operador a los peligros. Se utilizan mejor en procesos de alta producción que requieren rutinas repetidas, donde pueden proteger contra otros peligros para los empleados. Los robots pueden crear peligros y se deben usar protecciones adecuadas. La Figura 32 muestra un ejemplo de un robot alimentando una prensa.
Figura 32. Uso de protecciones de barrera para proteger la envoltura del robot
Ayudas de salvaguardia misceláneas
Si bien las ayudas de protección misceláneas no brindan una protección completa contra los peligros de la máquina, pueden proporcionar a los operadores un margen adicional de seguridad. Se necesita buen juicio en su aplicación y uso.
Barreras de conciencia. Las barreras de alerta no brindan protección física, solo sirven para recordar a los operadores que se están acercando al área de peligro. Generalmente, las barreras de concientización no se consideran adecuadas cuando existe una exposición continua al peligro. La figura 33 muestra una cuerda utilizada como barrera de alerta en la parte trasera de una cizalla cuadrática. Las barreras no impiden físicamente que las personas ingresen a las áreas de peligro, sino que solo brindan información sobre el peligro.
Figura 33. Vista trasera de la escuadra de cizallamiento
Shields. Los escudos se pueden usar para brindar protección contra partículas que vuelan, salpicaduras de fluidos para trabajar metales o refrigerantes. La Figura 34 muestra dos aplicaciones potenciales.
Figura 34. Aplicaciones de escudos
Herramientas de sujeción. Colocar las herramientas de sujeción y retirar el stock. Un uso típico sería para llegar al área de peligro de una prensa o plegadora. La Figura 35 muestra una variedad de herramientas para este propósito. No se deben utilizar herramientas de sujeción de otras protecciones de máquinas; son simplemente un complemento a la protección que brindan otros guardias.
Figura 35. Herramientas de sujeción
empujar palos o bloques, como se muestra en la figura 36, se puede usar cuando se alimenta material a una máquina, como una hoja de sierra. Cuando sea necesario que las manos estén muy cerca de la hoja, la palanca o el bloque de empuje pueden proporcionar un margen de seguridad y evitar lesiones.
Figura 36. Uso de palanca de empuje o bloque de empuje
Los desarrollos generales en microelectrónica y en la tecnología de sensores dan motivos para esperar que se pueda lograr una mejora en la seguridad laboral a través de la disponibilidad de detectores de presencia y aproximación confiables, resistentes, de bajo mantenimiento y económicos. Este artículo describirá la tecnología de sensores, los diferentes procedimientos de detección, las condiciones y restricciones aplicables al uso de sistemas de sensores, y algunos estudios y trabajos de estandarización realizados en Alemania.
Criterios del detector de presencia
El desarrollo y ensayo práctico de los detectores de presencia es uno de los mayores retos futuros de los esfuerzos técnicos para mejorar la seguridad laboral y la protección del personal en general. Detectores de presencia son sensores que señalan de forma fiable y segura la cerca de la presencia o acercamiento de una persona. Además, esta advertencia debe ocurrir rápidamente para que la acción evasiva, el frenado o el apagado de una máquina estacionaria puedan tener lugar antes de que se produzca el contacto previsto. El hecho de que las personas sean grandes o pequeñas, sea cual sea su postura o su forma de vestir no debería afectar a la fiabilidad del sensor. Además, el sensor debe tener certeza de funcionamiento y ser robusto y económico, de modo que pueda usarse en las condiciones más exigentes, como en obras de construcción y para aplicaciones móviles, con un mantenimiento mínimo. Los sensores deben ser como una bolsa de aire en el sentido de que no requieren mantenimiento y están siempre listos. Dada la renuencia de algunos usuarios a mantener lo que pueden considerar como equipo no esencial, los sensores pueden quedar sin servicio durante años. Otra característica de los detectores de presencia, mucho más solicitada, es que también detectan obstáculos distintos a los humanos y alertan al operador a tiempo para tomar medidas defensivas, reduciendo así costes de reparación y daños materiales. Esta es una razón para instalar detectores de presencia que no debe menospreciarse.
Aplicaciones de detectores
Innumerables accidentes mortales y lesiones graves que parecen actos del destino inevitables e individuales, pueden evitarse o minimizarse siempre que los detectores de presencia sean más aceptados como medida de prevención en el campo de la seguridad laboral. Los periódicos informan de estos accidentes con demasiada frecuencia: aquí una persona fue golpeada por un cargador que se movía hacia atrás, allí el operador no vio a alguien que fue atropellado por la rueda delantera de una pala mecánica. Los camiones que retroceden en las calles, las instalaciones de la empresa y las obras de construcción son la causa de muchos accidentes para las personas. Las empresas completamente racionalizadas de hoy en día ya no proporcionan copilotos u otras personas que actúen como guías para el conductor que está dando marcha atrás a un camión. Estos ejemplos de accidentes en movimiento se pueden extender fácilmente a otros equipos móviles, como carretillas elevadoras. Sin embargo, se necesita con urgencia el uso de sensores para prevenir accidentes que involucren equipos semimóviles y puramente estacionarios. Un ejemplo son las áreas traseras de las máquinas de carga grandes, que han sido identificadas por el personal de seguridad como áreas potencialmente peligrosas que podrían mejorarse mediante el uso de sensores económicos. Muchas variaciones de detectores de presencia se pueden adaptar de manera innovadora a otros vehículos y grandes equipos móviles para proteger contra los tipos de accidentes que se analizan en este artículo, que generalmente causan daños extensos y lesiones graves, si no fatales.
La tendencia de las soluciones innovadoras a generalizarse parecería prometer que los detectores de presencia se convertirán en la tecnología de seguridad estándar en otras aplicaciones; sin embargo, este no es el caso en ninguna parte. El avance, motivado por accidentes y daños materiales elevados, se espera en el seguimiento detrás de furgonetas de reparto y camiones pesados y para las áreas más innovadoras de las “nuevas tecnologías”: las máquinas robotizadas móviles del futuro.
La variación de los campos de aplicación de los detectores de presencia y la variabilidad de las tareas, por ejemplo, tolerar objetos (incluso objetos en movimiento, bajo ciertas condiciones) que pertenecen a un campo de detección y que no deben disparar una señal, requieren sensores en los que “ La tecnología de evaluación "inteligente" apoya los mecanismos de la función del sensor. Esta tecnología, que es un tema para el desarrollo futuro, se puede elaborar a partir de métodos basados en el campo de la inteligencia artificial (Schreiber y Kuhn 1995). Hasta la fecha, una universalidad limitada ha restringido severamente los usos actuales de los sensores. Hay cortinas de luz; barras de luz; esteras de contacto; sensores infrarrojos pasivos; detectores de movimiento por ultrasonido y radar que utilizan el efecto Doppler; sensores que miden el tiempo transcurrido de impulsos ultrasónicos, de radar y de luz; y escáneres láser. Las cámaras de televisión normales conectadas a monitores no se incluyen en esta lista porque no son detectores de presencia. Sin embargo, se incluyen aquellas cámaras que sí se activan automáticamente al detectar la presencia de una persona.
La tecnología de sensores
Hoy en día, los principales problemas de los sensores son (1) la optimización del uso de los efectos físicos (infrarrojos, luz, ultrasonido, radar, etc.) y (2) el autocontrol. Los escáneres láser se están desarrollando intensamente para su uso como instrumentos de navegación para robots móviles. Para ello se deben resolver dos tareas, en principio parcialmente diferentes: la navegación del robot y la protección de las personas (y materiales o equipos) presentes para que no sean golpeados, atropellados o agarrados (Freund, Dierks y Rossman 1993). ). Los futuros robots móviles no pueden conservar la misma filosofía de seguridad de "separación espacial de robot y persona" que se aplica estrictamente a los robots industriales estacionarios de hoy. Esto significa dar una gran importancia al funcionamiento fiable del detector de presencia que se va a utilizar.
El uso de “nuevas tecnologías” está muchas veces ligado a problemas de aceptación, y se puede suponer que el uso generalizado de robots móviles que puedan moverse y agarrar, entre personas en plantas, en áreas de tránsito público, o incluso en casas o áreas recreativas , sólo serán aceptados si están equipados con detectores de presencia muy desarrollados, sofisticados y fiables. Los accidentes espectaculares deben evitarse a toda costa para no agravar un posible problema de aceptación. El nivel de gasto actual para el desarrollo de este tipo de sensores de protección laboral no se acerca a tener en cuenta esta consideración. Para ahorrar muchos costes, los detectores de presencia deben desarrollarse y probarse simultáneamente con los robots móviles y los sistemas de navegación, no después.
Con respecto a los vehículos de motor, las cuestiones de seguridad han adquirido una importancia cada vez mayor. La seguridad innovadora de los pasajeros en los automóviles incluye cinturones de seguridad de tres puntos, asientos para niños, bolsas de aire y el sistema de frenos antibloqueo verificado por pruebas de choque en serie. Estas medidas de seguridad representan una porción relativamente creciente de los costos de producción. Los sistemas de sensor de radar y bolsas de aire laterales para medir la distancia con respecto al automóvil de adelante son desarrollos evolutivos en la protección de los pasajeros.
La seguridad externa de los vehículos de motor, es decir, la protección de terceros, está recibiendo una mayor atención. Recientemente, se ha requerido protección lateral, principalmente para camiones, para evitar que los motociclistas, ciclistas y peatones corran el peligro de caer debajo de las ruedas traseras. El siguiente paso lógico sería monitorear el área detrás de vehículos grandes con detectores de presencia e instalar equipos de advertencia en la parte trasera. Esto tendría el efecto secundario positivo de proporcionar la financiación necesaria para desarrollar, probar y poner a disposición sensores económicos de máximo rendimiento, autosupervisados, libres de mantenimiento y de funcionamiento fiable para fines de seguridad laboral. El proceso de prueba que acompañaría a la implementación amplia de sensores o sistemas de sensores facilitaría considerablemente la innovación en otras áreas, como palas mecánicas, cargadores pesados y otras máquinas móviles grandes que retroceden hasta la mitad del tiempo durante su operación. El proceso evolutivo de robots estacionarios a robots móviles es un camino adicional de desarrollo para los detectores de presencia. Por ejemplo, se podrían realizar mejoras en los sensores que se utilizan actualmente en los transportadores de materiales de robots móviles o "tractores de piso de fábrica sin conductor", que siguen caminos fijos y, por lo tanto, tienen requisitos de seguridad relativamente bajos. El uso de detectores de presencia es el siguiente paso lógico en la mejora de la seguridad en el ámbito del transporte de materiales y viajeros.
Procedimientos de detección
Varios principios físicos, disponibles en relación con la medición electrónica y los métodos de autocontrol y, hasta cierto punto, los procedimientos informáticos de alto rendimiento, pueden utilizarse para evaluar y resolver las tareas mencionadas anteriormente. La operación segura y aparentemente sin esfuerzo de las máquinas automatizadas (robots) tan común en las películas de ciencia ficción, posiblemente se logrará en el mundo real mediante el uso de técnicas de imagen y algoritmos de reconocimiento de patrones de alto rendimiento en combinación con métodos de medición de distancia análogos a los empleados por los escáneres láser. Hay que reconocer la paradójica situación de que todo lo que parece sencillo para las personas es difícil para los autómatas. Por ejemplo, una tarea difícil como jugar al ajedrez de manera excelente (que requiere actividad del cerebro anterior) puede simularse y llevarse a cabo más fácilmente mediante máquinas automatizadas que una tarea simple como caminar erguido o llevar a cabo la coordinación mano-ojo y otros movimientos (mediados por cerebro medio y posterior). A continuación se describen algunos de estos principios, métodos y procedimientos aplicables a las aplicaciones de sensores. Además de estos, existe una gran cantidad de procedimientos especiales para tareas muy especiales que funcionan en parte con una combinación de varios tipos de efectos físicos.
Barreras y cortinas de barrera de luz. Entre los primeros detectores de presencia se encuentran las cortinas y barras de barrera de luz. Tienen una geometría de monitoreo plana; es decir, ya no se detectará a quien haya pasado la barrera. La mano de un operador, o la presencia de herramientas o piezas en la mano de un operador, por ejemplo, se pueden detectar de forma rápida y fiable con estos dispositivos. Ofrecen una importante contribución a la seguridad laboral de máquinas (como prensas y punzonadoras) que requieren que el material se introduzca a mano. La confiabilidad tiene que ser extremadamente alta estadísticamente, porque cuando la manecilla alcanza solo dos o tres veces por minuto, se realizan alrededor de un millón de operaciones en solo unos pocos años. El autocontrol mutuo de los componentes emisor y receptor se ha desarrollado a un nivel técnico tan alto que representa un estándar para todos los demás procedimientos de detección de presencia.
Esteras de contacto (esteras de interruptores). Existen tapetes y pisos de contacto tanto eléctricos como neumáticos, tanto pasivos como activos (bomba), que inicialmente se usaron en gran número en funciones de servicio (abridores de puertas), hasta que fueron reemplazados por detectores de movimiento. Un mayor desarrollo evoluciona con el uso de detectores de presencia en todo tipo de zonas de peligro. Por ejemplo, el desarrollo de la fabricación automatizada con un cambio en la función del trabajador, de operar la máquina a monitorear estrictamente su función, produjo una demanda correspondiente de detectores apropiados. La estandarización de este uso está muy avanzada (DIN 1995a), y las limitaciones especiales (diseño, tamaño, zonas "muertas" máximas permitidas) requirieron el desarrollo de experiencia para la instalación en esta área de uso.
Surgen posibles usos interesantes de las esteras de contacto junto con sistemas de robots múltiples controlados por computadora. Un operador cambia uno o dos elementos para que el detector de presencia recoja su posición exacta e informe a la computadora, que administra los sistemas de control del robot con un sistema integrado para evitar colisiones. En una prueba avanzada por el instituto federal alemán de seguridad (BAU), se construyó un piso de tapete de contacto, que consiste en pequeños tapetes de interruptores eléctricos, debajo del área de trabajo del brazo robótico para este propósito (Freund, Dierks y Rossman 1993). Este detector de presencia tenía la forma de un tablero de ajedrez. El campo de tapete activado respectivamente le indicó a la computadora la posición del operador (figura 1) y cuando el operador se acercó demasiado al robot, se alejó. Sin el detector de presencia, el sistema de robot no podría determinar la posición del operador y, por lo tanto, el operador no podría estar protegido.
Figura 1. Una persona (derecha) y dos robots en cuerpos envolventes computarizados
Reflectores (sensores de movimiento y detectores de presencia). Por meritorios que puedan ser los sensores discutidos hasta ahora, no son detectores de presencia en el sentido más amplio. Su idoneidad, principalmente por razones de seguridad laboral, para vehículos grandes y equipos móviles grandes presupone dos características importantes: (1) la capacidad de monitorear un área desde una posición y (2) funcionamiento sin errores sin necesidad de medidas adicionales en la parte de, por ejemplo, el uso de dispositivos reflectores. Detectar la presencia de una persona que entra en la zona vigilada y permanece parada hasta que esta persona se ha marchado implica también la necesidad de detectar una persona que permanece absolutamente inmóvil. Esto distingue a los llamados sensores de movimiento de los detectores de presencia, al menos en conexión con equipos móviles; Los sensores de movimiento casi siempre se activan cuando el vehículo se pone en movimiento.
Sensores de movimiento. Los dos tipos básicos de sensores de movimiento son: (1) "sensores infrarrojos pasivos" (PIRS), que reaccionan al cambio más pequeño en el haz infrarrojo en el área monitoreada (el haz detectable más pequeño es de aproximadamente 10-9 W con un rango de longitud de onda de aproximadamente 7 a 20 μm); y (2) sensores de ultrasonido y microondas que utilizan el principio Doppler, que determina las características del movimiento de un objeto de acuerdo con los cambios de frecuencia. Por ejemplo, el efecto Doppler aumenta la frecuencia de la bocina de una locomotora para un observador cuando se acerca y reduce la frecuencia cuando la locomotora se aleja. El efecto Doppler hace posible la construcción de sensores de aproximación relativamente simples, ya que el receptor solo necesita monitorear la frecuencia de la señal de las bandas de frecuencia vecinas para detectar la aparición de la frecuencia Doppler.
A mediados de la década de 1970, el uso de detectores de movimiento se generalizó en aplicaciones de funciones de servicio, como abridores de puertas, seguridad antirrobo y protección de objetos. Para uso estacionario, la detección de una persona que se acercaba a un punto de peligro era adecuada para dar una advertencia oportuna o para apagar una máquina. Esta fue la base para estudiar la idoneidad de los detectores de movimiento para su uso en seguridad laboral, especialmente mediante PIRS (Mester et al. 1980). Debido a que una persona vestida generalmente tiene una temperatura más alta que el área circundante (cabeza 34 °C, manos 31 °C), detectar a una persona que se aproxima es algo más fácil que detectar objetos inanimados. Hasta cierto punto, las piezas de la máquina pueden moverse en el área monitoreada sin activar el detector.
El método pasivo (sin transmisor) tiene ventajas y desventajas. La ventaja es que un PIRS no aumenta los problemas de ruido y smog eléctrico. Para la seguridad contra robos y la protección de objetos, es particularmente importante que el detector no sea fácil de encontrar. Sin embargo, un sensor que es puramente un receptor difícilmente puede controlar su propia eficacia, que es esencial para la seguridad laboral. Un método para superar este inconveniente fue probar pequeños emisores de infrarrojos modulados (5 a 20 Hz) que se instalaron en el área monitoreada y que no activaron el sensor, pero cuyos haces se registraron con una amplificación electrónica fija ajustada a la frecuencia de modulación. Esta modificación lo convirtió de un sensor “pasivo” a un sensor “activo”. De esta forma también fue posible verificar la precisión geométrica del área monitoreada. Los espejos pueden tener puntos ciegos, y la actividad brusca de una planta puede desviar la dirección de un sensor pasivo. La Figura 2 muestra un diseño de prueba con un PIRS con una geometría monitoreada en forma de manto piramidal. Debido a su gran alcance, los sensores infrarrojos pasivos se instalan, por ejemplo, en los pasillos de las áreas de almacenamiento en estanterías.
Figura 2. Sensor de infrarrojos pasivo como detector de aproximación en una zona de peligro
En general, las pruebas mostraron que los detectores de movimiento no son adecuados para la seguridad laboral. El suelo de un museo nocturno no se puede comparar con las zonas de peligro en un lugar de trabajo.
Detectores de ultrasonidos, radares y de impulsos de luz. Los sensores que utilizan el principio de pulso/eco, es decir, mediciones de tiempo transcurrido de impulsos de ultrasonido, radar o luz, tienen un gran potencial como detectores de presencia. Con los escáneres láser, los impulsos de luz pueden barrer en rápida sucesión (generalmente de forma rotatoria), por ejemplo, horizontalmente, y con la ayuda de una computadora se puede obtener un perfil de distancia de los objetos en un plano que reflejan la luz. Si, por ejemplo, no solo se desea una sola línea, sino la totalidad de lo que se encuentra ante el robot móvil en el área hasta una altura de 2 metros, entonces se deben procesar grandes cantidades de datos para representar el área circundante. Un futuro detector de presencia “ideal” consistirá en una combinación de los dos procesos siguientes:
La Figura 3 muestra, del proyecto BAU citado anteriormente (Freund, Dierks y Rossman 1993), el uso de un escáner láser en un robot móvil que también asume tareas de navegación (a través de un haz de detección de dirección) y protección contra colisiones para objetos en el entorno inmediato. vecindad (a través de un haz de medición terrestre para la detección de presencia). Dadas estas características, el robot móvil tiene la capacidad de conducción libre automatizada activa (es decir, la capacidad de conducir alrededor de obstáculos). Técnicamente, esto se logra utilizando el ángulo de 45° de rotación del escáner hacia atrás en ambos lados (hacia babor y estribor del robot) además del ángulo de 180° hacia el frente. Estos rayos están conectados con un espejo especial que actúa como una cortina de luz en el suelo frente al robot móvil (proporcionando una línea de visión desde el suelo). Si de ahí sale un reflejo láser, el robot se detiene. Mientras que los escáneres láser y de luz certificados para su uso en seguridad laboral están en el mercado, estos detectores de presencia tienen un gran potencial para un mayor desarrollo.
Figura 3. Robot móvil con escáner láser para uso de navegación y detección de presencia
Los sensores de ultrasonido y radar, que utilizan el tiempo transcurrido desde la señal hasta la respuesta para determinar la distancia, son menos exigentes desde el punto de vista técnico y, por lo tanto, se pueden producir de forma más económica. El área del sensor tiene forma de maza y tiene una o más mazas laterales más pequeñas, que están dispuestas simétricamente. La velocidad de propagación de la señal (sonido: 330 m/s; onda electromagnética: 300,000 km/s) determina la velocidad requerida de la electrónica utilizada.
Dispositivos de advertencia en la parte trasera. En la Exposición de Hannover de 1985, BAU mostró los resultados de un proyecto inicial sobre el uso de sensores de ultrasonido para asegurar el área detrás de vehículos grandes (Langer y Kurfürst 1985). Se instaló un modelo de tamaño completo de un cabezal sensor hecho con sensores Polaroid™ en la pared trasera de un camión de suministro. La figura 4 muestra esquemáticamente su funcionamiento. El gran diámetro de este sensor produce áreas de medición en forma de maza de ángulo relativamente pequeño (aproximadamente 18°), de largo alcance, dispuestas una al lado de la otra y configuradas en diferentes rangos máximos de señal. En la práctica, permite establecer cualquier geometría monitoreada deseada, que es escaneada por los sensores aproximadamente cuatro veces por segundo para detectar la presencia o entrada de personas. Otros sistemas de advertencia de área trasera demostrados tenían varios sensores dispuestos en paralelo individuales.
Figura 4. Disposición del cabezal de medición y área monitoreada en la parte trasera de un camión
Esta vívida demostración fue un gran éxito en la exposición. Mostró que la protección del área trasera de vehículos y equipos grandes está siendo estudiada en muchos lugares, por ejemplo, por comités especializados de las asociaciones comerciales industriales. (Berufsgenossenschaften), las aseguradoras de accidentes municipales (que son responsables de los vehículos municipales), los funcionarios de supervisión de la industria estatal y los productores de sensores, que habían estado pensando más en términos de automóviles como vehículos de servicio (en el sentido de centrarse en los sistemas de estacionamiento para proteger contra daños en la carrocería). De manera espontánea, se formó un comité ad hoc formado por los grupos para promover los dispositivos de advertencia en la parte trasera, que tuvo como primera tarea la elaboración de una lista de requisitos desde la perspectiva de la seguridad laboral. Han pasado diez años durante los cuales se ha trabajado mucho en la vigilancia de la zona trasera, posiblemente la tarea más importante de los detectores de presencia; pero aún falta el gran avance.
Se han realizado muchos proyectos con sensores de ultrasonido, por ejemplo, en grúas clasificadoras de madera en rollo, palas hidráulicas, vehículos municipales especiales y otros vehículos utilitarios, así como en carretillas elevadoras y cargadoras (Schreiber 1990). Los dispositivos de advertencia en el área trasera son especialmente importantes para maquinaria grande que da marcha atrás la mayor parte del tiempo. Los detectores de presencia por ultrasonidos se utilizan, por ejemplo, para la protección de vehículos especializados sin conductor, como las máquinas robotizadas de manipulación de materiales. En comparación con los topes de goma, estos sensores tienen un área de detección mayor que permite frenar antes de que se haga contacto entre la máquina y un objeto. Los sensores correspondientes para automóviles son desarrollos apropiados e implican requisitos considerablemente menos estrictos.
Mientras tanto, el Comité de Normas Técnicas del Sistema de Transporte de DIN elaboró la norma 75031, "Dispositivos de detección de obstáculos durante la marcha atrás" (DIN 1995b). Los requisitos y las pruebas se establecieron para dos rangos: 1.8 m para camiones de suministro y 3.0 m (un área de advertencia adicional) para camiones más grandes. El área monitoreada se establece a través del reconocimiento de cuerpos de prueba cilíndricos. El rango de 3 m también es el límite de lo que actualmente es técnicamente posible, ya que los sensores de ultrasonido deben tener membranas metálicas cerradas, dadas sus duras condiciones de trabajo. Se están estableciendo los requisitos para el autocontrol del sistema de sensores, ya que la geometría monitoreada requerida solo se puede lograr con un sistema de tres o más sensores. La Figura 5 muestra un dispositivo de advertencia para el área trasera que consta de tres sensores de ultrasonido (Microsonic GmbH 1996). Lo mismo se aplica al dispositivo de notificación en la cabina del conductor y al tipo de señal de advertencia. El contenido de la norma DIN 75031 también se establece en el informe técnico internacional ISO TR 12155, "Vehículos comerciales: dispositivo de detección de obstáculos durante la marcha atrás" (ISO 1994). Varios productores de sensores han desarrollado prototipos de acuerdo con este estándar.
Figura 5. Camión mediano equipado con un dispositivo de advertencia en la parte trasera (foto de Microsonic).
Conclusión
Desde principios de la década de 1970, varias instituciones y fabricantes de sensores han trabajado para desarrollar y establecer "detectores de presencia". En la aplicación especial de "dispositivos de advertencia de la zona trasera" existen la norma DIN 75031 y el informe ISO TR 12155. En la actualidad, Deutsche Post AG está realizando una prueba importante. Varios fabricantes de sensores han equipado cada uno cinco camiones medianos con tales dispositivos. Un resultado positivo de esta prueba redunda en gran medida en interés de la seguridad laboral. Como se destacó al principio, los detectores de presencia en el número requerido son un gran desafío para la tecnología de seguridad en las muchas áreas de aplicación mencionadas. Por lo tanto, deben ser realizables a bajo costo si se quiere relegar al pasado los daños a equipos, maquinarias y materiales y, sobre todo, las lesiones a las personas, a menudo muy graves.
Los dispositivos de control y los dispositivos utilizados para el aislamiento y la conmutación siempre deben discutirse en relación con sistemas tecnicos, término utilizado en este artículo para incluir máquinas, instalaciones y equipos. Todo sistema técnico cumple una tarea práctica específica y asignada. Se requieren dispositivos de conmutación y control de seguridad apropiados para que esta tarea práctica sea factible o incluso posible en condiciones seguras. Dichos dispositivos se utilizan para iniciar el control, interrumpir o retardar la corriente y/o los impulsos de energías eléctricas, hidráulicas, neumáticas y también potenciales.
Aislamiento y Reducción de Energía
Los dispositivos de aislamiento se utilizan para aislar la energía desconectando la línea de suministro entre la fuente de energía y el sistema técnico. El dispositivo de aislamiento normalmente debe producir una desconexión real inequívocamente determinable del suministro de energía. La desconexión del suministro de energía también debe combinarse siempre con la reducción de la energía almacenada en todas las partes del sistema técnico. Si el sistema técnico está alimentado por varias fuentes de energía, todas estas líneas de suministro deben poder aislarse de forma fiable. Las personas capacitadas para manejar el tipo de energía relevante y que trabajan en el extremo energético del sistema técnico, utilizan dispositivos de aislamiento para protegerse de los peligros de la energía. Por razones de seguridad, estas personas siempre comprobarán que no quede energía potencialmente peligrosa en el sistema técnico, por ejemplo, comprobando la ausencia de potencial eléctrico en el caso de la energía eléctrica. El manejo sin riesgos de ciertos dispositivos de aislamiento solo es posible para especialistas capacitados; en tales casos, el dispositivo de aislamiento debe ser inaccesible a personas no autorizadas. (Ver figura 1.)
Figura 1. Principios de los dispositivos de aislamiento eléctrico y neumático
El interruptor maestro
Un dispositivo de interruptor maestro desconecta el sistema técnico del suministro de energía. A diferencia del dispositivo de aislamiento, puede ser operado sin peligro incluso por "especialistas no energéticos". El dispositivo interruptor maestro se utiliza para desconectar los sistemas técnicos que no están en uso en un momento dado si, por ejemplo, su funcionamiento es obstaculizado por terceras personas no autorizadas. También se utiliza para efectuar una desconexión con fines de mantenimiento, reparación de averías, limpieza, reposición y reacondicionamiento, siempre que dicho trabajo pueda realizarse sin energía en el sistema. Naturalmente, cuando un dispositivo interruptor maestro posee además las características de un dispositivo seccionador, también puede asumir y/o compartir su función. (Ver figura 2.)
Figura 2. Ejemplo de ilustración de dispositivos de interruptores maestros eléctricos y neumáticos
Dispositivo de desconexión de seguridad
Un dispositivo de desconexión de seguridad no desconecta todo el sistema técnico de la fuente de energía; más bien, elimina energía de las partes del sistema críticas para un subsistema operativo en particular. Se pueden designar intervenciones de corta duración para subsistemas operativos, por ejemplo, para la instalación o el restablecimiento/reacondicionamiento del sistema, para la reparación de fallas, para la limpieza periódica y para los movimientos esenciales y designados y las secuencias de funciones requeridas durante el curso. de configuración, reinicio/reacondicionamiento o pruebas de funcionamiento. En estos casos, las instalaciones y los equipos de producción complejos no se pueden apagar simplemente con un dispositivo de interruptor maestro, ya que todo el sistema técnico no podría volver a ponerse en marcha donde se quedó después de que se haya reparado un mal funcionamiento. Además, el dispositivo interruptor maestro rara vez se encuentra, en los sistemas técnicos más extensos, en el lugar donde debe efectuarse la intervención. Así, el dispositivo de desconexión de seguridad está obligado a cumplir una serie de requisitos, como los siguientes:
Cuando el dispositivo interruptor maestro utilizado en un sistema técnico determinado pueda cumplir todos los requisitos de un dispositivo de desconexión de seguridad, también puede asumir esta función. Pero eso, por supuesto, será un recurso fiable sólo en sistemas técnicos muy sencillos. (Ver figura 3.)
Figura 3. Ilustración de principios elementales de un dispositivo de desconexión de seguridad
Equipos de control para subsistemas operativos
Los equipos de control permiten que los movimientos y las secuencias funcionales necesarias para que los subsistemas operativos del sistema técnico sean implementados y controlados de forma segura. Es posible que se requieran dispositivos de control para los subsistemas operativos para la configuración (cuando se van a ejecutar pruebas); para la regulación (cuando se deban reparar fallas en el funcionamiento del sistema o cuando se deban eliminar obstrucciones); o propósitos de entrenamiento (demostración de operaciones). En tales casos, el funcionamiento normal del sistema no puede simplemente reiniciarse, ya que la persona que interviene estaría en peligro por movimientos y procesos provocados por señales de control introducidas o generadas erróneamente. Un equipo de control para subsistemas operativos debe cumplir con los siguientes requisitos:
Figura 4. Dispositivos de actuación en los equipos de control para subsistemas operativos móviles y estacionarios
El interruptor de emergencia
Los interruptores de emergencia son necesarios cuando el funcionamiento normal de los sistemas técnicos podría dar lugar a peligros que ni el diseño adecuado del sistema ni la adopción de las precauciones de seguridad adecuadas pueden evitar. En los subsistemas operativos, el interruptor de emergencia suele formar parte del equipo de control del subsistema operativo. Cuando se opera en caso de peligro, el interruptor de emergencia implementa procesos que devuelven el sistema técnico a un estado operativo seguro lo más rápido posible. Con respecto a las prioridades de seguridad, la protección de las personas es una preocupación primordial; la prevención del daño material es secundaria, a menos que este último también pueda poner en peligro a las personas. El interruptor de emergencia debe cumplir los siguientes requisitos:
Figura 5. Ilustración de los principios de los paneles de control en los interruptores de emergencia
Dispositivo de control de interruptor de función
Los dispositivos de control de interruptor de función se utilizan para encender el sistema técnico para el funcionamiento normal y para iniciar, implementar e interrumpir los movimientos y procesos designados para el funcionamiento normal. El dispositivo de control de interruptor de función se utiliza exclusivamente en el curso de la operación normal del sistema técnico, es decir, durante la ejecución sin interrupciones de todas las funciones asignadas. Es utilizado en consecuencia por las personas que ejecutan el sistema técnico. Los dispositivos de control del interruptor de función deben cumplir con los siguientes requisitos:
Figura 6. Representación esquemática de un panel de control de operaciones
Interruptores de monitoreo
Los interruptores de vigilancia impiden el arranque del sistema técnico mientras no se cumplan las condiciones de seguridad vigiladas e interrumpen el funcionamiento en cuanto deja de cumplirse una condición de seguridad. Se utilizan, por ejemplo, para monitorear puertas en compartimentos de protección, para verificar la posición correcta de los resguardos de seguridad o para asegurar que no se excedan los límites de velocidad o recorrido. Por consiguiente, los interruptores de vigilancia deben cumplir los siguientes requisitos de seguridad y fiabilidad:
Figura 7. Diagrama de un interruptor con operación mecánica positiva y desconexión positiva
Circuitos de control de seguridad
Varios de los dispositivos de conmutación de seguridad descritos anteriormente no ejecutan la función de seguridad directamente, sino que emiten una señal que luego es transmitida y procesada por un circuito de control de seguridad y finalmente llega a las partes del sistema técnico que ejercen la función de seguridad real. El dispositivo de desconexión de seguridad, por ejemplo, provoca frecuentemente la desconexión de la energía en puntos críticos de forma indirecta, mientras que un interruptor principal suele desconectar directamente el suministro de corriente al sistema técnico.
Dado que los circuitos de control de seguridad deben transmitir señales de seguridad de forma fiable, se deben tener en cuenta los siguientes principios:
Los componentes utilizados en los circuitos de control de seguridad deben ejecutar la función de seguridad de forma especialmente fiable. Las funciones de los componentes que no cumplan este requisito se implementarán disponiendo una redundancia lo más diversificada posible y se mantendrán bajo vigilancia.
En los últimos años, los microprocesadores han jugado un papel cada vez mayor en el campo de la tecnología de seguridad. Debido a que las computadoras completas (es decir, la unidad central de procesamiento, la memoria y los componentes periféricos) ahora están disponibles en un solo componente como "computadoras de un solo chip", la tecnología de microprocesadores se emplea no solo en el control de máquinas complejas, sino también en salvaguardas de diseño relativamente simple. (por ejemplo, rejillas fotoeléctricas, dispositivos de control a dos manos y bordes de seguridad). El software que controla estos sistemas consta de entre mil y varias decenas de miles de comandos individuales y, por lo general, consta de varios cientos de ramas del programa. Los programas operan en tiempo real y en su mayoría están escritos en el lenguaje ensamblador de los programadores.
La introducción de sistemas controlados por computadora en el ámbito de la tecnología de seguridad ha ido acompañada en todos los equipos técnicos a gran escala no solo de costosos proyectos de investigación y desarrollo, sino también de importantes restricciones diseñadas para mejorar la seguridad. (La tecnología aeroespacial, la tecnología militar y la tecnología de energía atómica pueden citarse aquí como ejemplos de aplicaciones a gran escala). Hasta ahora, el campo colectivo de la producción industrial en masa ha sido tratado solo de manera muy limitada. Esto se debe en parte a que los rápidos ciclos de innovación característicos del diseño de máquinas industriales dificultan la transferencia, salvo de manera muy restringida, de los conocimientos que pueden derivarse de los proyectos de investigación relacionados con la prueba final de máquinas a gran escala. dispositivos de seguridad. Esto hace que el desarrollo de procedimientos de evaluación rápidos y de bajo costo sea un desiderátum (Reinert y Reuss 1991).
Este artículo primero examina las máquinas y las instalaciones en las que los sistemas informáticos actualmente realizan tareas de seguridad, utilizando ejemplos de accidentes que ocurren predominantemente en el área de protección de máquinas para describir el papel particular que desempeñan las computadoras en la tecnología de seguridad. Estos accidentes dan una idea de las precauciones que se deben tomar para que el equipo de seguridad controlado por computadora que actualmente se usa cada vez más no provoque un aumento en el número de accidentes. La sección final del artículo esboza un procedimiento que permitirá que incluso los sistemas informáticos más pequeños alcancen un nivel apropiado de seguridad técnica a un costo justificable y dentro de un período de tiempo aceptable. Los principios indicados en esta parte final se están introduciendo actualmente en los procedimientos de normalización internacional y tendrán implicaciones para todas las áreas de la tecnología de seguridad en las que las computadoras encuentran aplicación.
Ejemplos del uso de software y computadoras en el campo de la protección de máquinas
Los siguientes cuatro ejemplos dejan en claro que el software y las computadoras están entrando cada vez más en las aplicaciones relacionadas con la seguridad en el dominio comercial.
Las instalaciones de señalización de emergencia personal consisten, por regla general, en una estación receptora central y una serie de dispositivos de señalización de emergencia personal. Los dispositivos son transportados por personas que trabajan solas en el lugar. Si alguna de estas personas que trabajan solas se encuentra en una situación de emergencia, puede usar el dispositivo para disparar una alarma por señal de radio en la estación receptora central. Tal activación de alarma dependiente de la voluntad también puede complementarse con un mecanismo de activación independiente de la voluntad activado por sensores integrados en los dispositivos de emergencia personales. Tanto los dispositivos individuales como la estación receptora central suelen estar controlados por microordenadores. Es concebible que la falla de funciones individuales específicas de la computadora incorporada pueda conducir, en una situación de emergencia, a que no se dispare la alarma. Por lo tanto, se deben tomar precauciones para percibir y reparar a tiempo tal pérdida de función.
Las imprentas que se utilizan hoy en día para imprimir revistas son máquinas grandes. Las bandas de papel normalmente se preparan en una máquina separada de manera que se permita una transición sin problemas a un nuevo rollo de papel. Las páginas impresas se pliegan en una máquina plegadora y posteriormente se procesan a través de una cadena de otras máquinas. Esto da como resultado paletas cargadas con revistas completamente cosidas. Aunque tales plantas están automatizadas, hay dos puntos en los que se deben realizar intervenciones manuales: (1) en el enhebrado de las rutas del papel y (2) en la limpieza de obstrucciones causadas por rasgaduras de papel en puntos peligrosos de los rodillos giratorios. Por esta razón, la tecnología de control debe garantizar una velocidad de funcionamiento reducida o un modo de avance lento limitado en el tiempo o en el recorrido durante el ajuste de las prensas. Debido a los complejos procedimientos de dirección involucrados, cada estación de impresión debe estar equipada con su propio controlador lógico programable. Cualquier falla que ocurra en el control de una planta de impresión mientras las rejillas de protección están abiertas debe evitarse que provoque el arranque inesperado de una máquina parada o que la operación exceda las velocidades apropiadamente reducidas.
En grandes fábricas y almacenes, los vehículos robóticos guiados automatizados y sin conductor se mueven en pistas especialmente marcadas. Estas vías pueden ser transitadas en cualquier momento por personas, o los materiales y equipos pueden dejarse inadvertidamente en las vías, ya que no están separadas estructuralmente de otras líneas de tráfico. Por esta razón, se debe utilizar algún tipo de equipo de prevención de colisiones para garantizar que el vehículo se detenga antes de que ocurra una colisión peligrosa con una persona u objeto. En aplicaciones más recientes, la prevención de colisiones se efectúa por medio de escáneres ultrasónicos o de luz láser usados en combinación con un parachoques de seguridad. Dado que estos sistemas funcionan bajo control informático, es posible configurar varias zonas de detección permanentes para que un vehículo pueda modificar su reacción en función de la zona de detección concreta en la que se encuentre una persona. Los fallos en el dispositivo de protección no deben provocar una colisión peligrosa con una persona.
Las guillotinas del dispositivo de control de corte de papel se utilizan para presionar y luego cortar pilas gruesas de papel. Se activan mediante un dispositivo de control a dos manos. El usuario debe alcanzar la zona de peligro de la máquina después de cada corte. Se utiliza una protección inmaterial, generalmente una rejilla de luz, junto con el dispositivo de control a dos manos y un sistema seguro de control de la máquina para evitar lesiones cuando se alimenta papel durante la operación de corte. Casi todas las guillotinas más grandes y modernas que se usan hoy en día están controladas por sistemas de microcomputadoras multicanal. Tanto el manejo a dos manos como la rejilla fotoeléctrica también deben garantizar un funcionamiento seguro.
Accidentes con Sistemas Controlados por Computador
En casi todos los campos de aplicación industrial, se reportan accidentes con software y computadoras (Neumann 1994). En la mayoría de los casos, las fallas de la computadora no provocan lesiones a las personas. Tales incumplimientos, en todo caso, sólo se hacen públicos cuando son de interés público general. Esto significa que los casos de mal funcionamiento o accidente relacionados con computadoras y software en los que se involucran lesiones a personas representan una proporción relativamente alta de todos los casos publicitados. Desafortunadamente, los accidentes que no causan mucha sensación pública no se investigan en cuanto a sus causas con la misma intensidad que los accidentes más prominentes, típicamente en plantas a gran escala. Por este motivo, los ejemplos que siguen se refieren a cuatro descripciones de fallos de funcionamiento o accidentes típicos de sistemas controlados por ordenador fuera del campo de la protección de máquinas, que se utilizan para sugerir lo que debe tenerse en cuenta cuando se hacen juicios sobre tecnología de seguridad.
Accidentes causados por fallas aleatorias en el hardware
El siguiente percance fue causado por una concentración de fallas aleatorias en el hardware combinadas con una falla de programación: Un reactor se sobrecalentó en una planta química, por lo que se abrieron las válvulas de alivio, lo que permitió que el contenido del reactor se descargara a la atmósfera. Este percance ocurrió poco tiempo después de que se diera una advertencia de que el nivel de aceite en una caja de cambios era demasiado bajo. Una cuidadosa investigación del percance mostró que poco después de que el catalizador hubiera iniciado la reacción en el reactor, como consecuencia de lo cual el reactor habría requerido más enfriamiento, la computadora, sobre la base del informe de bajos niveles de aceite en la caja de engranajes, congeló todo. magnitudes bajo su control a un valor fijo. Esto mantuvo el flujo de agua fría a un nivel demasiado bajo y, como resultado, el reactor se sobrecalentó. La investigación posterior mostró que la indicación de niveles bajos de aceite había sido señalada por un componente defectuoso.
El software había respondido de acuerdo a la especificación con el disparo de una alarma y la fijación de todas las variables operativas. Esto fue consecuencia del estudio HAZOP (Hazards and Operability Analysis) (Knowlton 1986) realizado antes del evento, que requería que todas las variables controladas no se modificaran en caso de falla. Dado que el programador no conocía el procedimiento en detalle, este requisito se interpretó en el sentido de que los actuadores controlados (válvulas de control en este caso) no debían modificarse; no se prestó atención a la posibilidad de un aumento de la temperatura. El programador no tuvo en cuenta que después de haber recibido una señal errónea, el sistema podía encontrarse en una situación dinámica del tipo que requería la intervención activa de la computadora para evitar un percance. Además, la situación que condujo al percance era tan improbable que no había sido analizada en detalle en el estudio HAZOP (Levenson 1986). Este ejemplo proporciona una transición a una segunda categoría de causas de accidentes informáticos y de software. Son los fallos sistemáticos que están en el sistema desde el principio, pero que se manifiestan sólo en determinadas situaciones muy concretas que el desarrollador no ha tenido en cuenta.
Accidentes causados por fallas operativas
En las pruebas de campo durante la inspección final de los robots, un técnico tomó prestado el casete de un robot vecino y lo sustituyó por uno diferente sin informar a su colega que lo había hecho. Al regresar a su lugar de trabajo, el colega insertó el casete equivocado. Dado que se paró junto al robot y esperaba una secuencia particular de movimientos de él, una secuencia que resultó diferente debido al programa intercambiado, se produjo una colisión entre el robot y el ser humano. Este accidente describe el ejemplo clásico de una falla operativa. El papel de tales fallas en mal funcionamiento y accidentes está aumentando actualmente debido a la creciente complejidad en la aplicación de mecanismos de seguridad controlados por computadora.
Accidentes causados por fallas sistemáticas en hardware o software
Un torpedo con una ojiva debía haber sido disparado con fines de entrenamiento, desde un buque de guerra en alta mar. Debido a un defecto en el aparato impulsor, el torpedo permaneció en el tubo lanzatorpedos. El capitán decidió regresar al puerto de origen para rescatar el torpedo. Poco después de que el barco comenzara a regresar a casa, el torpedo explotó. Un análisis del accidente reveló que los desarrolladores del torpedo se habían visto obligados a construir en el torpedo un mecanismo diseñado para evitar que regresara a la plataforma de lanzamiento después de haber sido disparado y, por lo tanto, destruyera la nave que lo había lanzado. El mecanismo escogido para ello fue el siguiente: Tras el disparo del torpedo se comprobaba, mediante el sistema de navegación inercial, si su rumbo se había alterado en 180°. Tan pronto como el torpedo sintió que había girado 180°, el torpedo detonó inmediatamente, supuestamente a una distancia segura de la plataforma de lanzamiento. Este mecanismo de detección se activó en el caso del torpedo que no se había lanzado correctamente, con el resultado de que el torpedo explotó después de que el barco hubiera cambiado su rumbo 180°. Este es un ejemplo típico de un accidente que ocurre debido a una falla en las especificaciones. El requisito en las especificaciones de que el torpedo no debe destruir su propio barco si su rumbo cambia no se formuló con suficiente precisión; la precaución fue así programada erróneamente. El error se hizo evidente solo en una situación particular, una que el programador no había tenido en cuenta como una posibilidad.
El 14 de septiembre de 1993, un Lufthansa Airbus A 320 se estrelló mientras aterrizaba en Varsovia (figura 1). Una cuidadosa investigación del accidente mostró que las modificaciones en la lógica de aterrizaje de la computadora de a bordo realizadas después de un accidente con un Lauda Air Boeing 767 en 1991 fueron en parte responsables de este aterrizaje forzoso. Lo que sucedió en el accidente de 1991 fue que la desviación de empuje, que desvía una parte de los gases del motor para frenar el avión durante el aterrizaje, se había activado mientras aún estaba en el aire, lo que obligó a la máquina a caer en picado incontrolable. Por esta razón, se había incorporado un bloqueo electrónico de la desviación del empuje en las máquinas de Airbus. Este mecanismo permitió que la desviación del empuje entrara en vigor solo después de que los sensores en ambos juegos de tren de aterrizaje hubieran señalado la compresión de los amortiguadores bajo la presión de las ruedas al tocar tierra. Sobre la base de información incorrecta, los pilotos del avión en Varsovia anticiparon un fuerte viento lateral.
Figura 1. Lufthansa Airbus después del accidente en Varsovia 1993
Por esta razón, trajeron la máquina con una ligera inclinación y el Airbus aterrizó solo con la rueda derecha, dejando la izquierda soportando menos del peso total. Debido al bloqueo electrónico de la desviación del empuje, el ordenador de a bordo denegó al piloto durante nueve segundos maniobras que hubieran permitido al avión aterrizar con seguridad a pesar de las circunstancias adversas. Este accidente demuestra muy claramente que las modificaciones en los sistemas informáticos pueden conducir a situaciones nuevas y peligrosas si no se considera de antemano el rango de sus posibles consecuencias.
El siguiente ejemplo de mal funcionamiento también demuestra los efectos desastrosos que la modificación de un solo comando puede tener en los sistemas informáticos. El contenido de alcohol de la sangre se determina mediante pruebas químicas utilizando suero sanguíneo claro del que se han centrifugado previamente los glóbulos sanguíneos. El contenido de alcohol del suero es, por lo tanto, mayor (en un factor de 1.2) que el de la sangre total más espesa. Por esta razón, los valores de alcohol en suero deben dividirse por un factor de 1.2 para establecer las cifras de partes por mil legal y médicamente críticas. En la prueba entre laboratorios realizada en 1984, los valores de alcohol en sangre determinados en pruebas idénticas realizadas en diferentes instituciones de investigación utilizando suero debían compararse entre sí. Dado que solo se trataba de una cuestión de comparación, el comando de dividir por 1.2 se borró del programa en una de las instituciones durante la duración del experimento. Una vez finalizada la prueba entre laboratorios, se introdujo erróneamente en el programa en este punto un comando para multiplicar por 1.2. Como resultado, se calcularon aproximadamente 1,500 valores incorrectos de partes por mil entre agosto de 1984 y marzo de 1985. Este error fue crítico para la carrera profesional de los camioneros con niveles de alcohol en sangre entre 1.0 y 1.3 por mil, ya que una sanción legal de confiscación de la licencia de conducir por tiempo prolongado es consecuencia de un valor de 1.3 por mil.
Accidentes causados por influencias de estrés operativo o estrés ambiental
Como consecuencia de una perturbación provocada por la recogida de residuos en la zona efectiva de una punzonadora y mordisqueadora CNC (control numérico computarizado), el usuario efectuó la “parada programada”. Mientras intentaba retirar los desechos con las manos, la varilla de empuje de la máquina comenzó a moverse a pesar de la parada programada y lesionó gravemente al usuario. Un análisis del accidente reveló que no se había tratado de un error en el programa. No se pudo reproducir el inicio inesperado. Se habían observado irregularidades similares en el pasado en otras máquinas del mismo tipo. Parece plausible deducir de estos que el accidente debió haber sido causado por interferencias electromagnéticas. Se informan accidentes similares con robots industriales en Japón (Neumann 1987).
Un mal funcionamiento en la sonda espacial Voyager 2 el 18 de enero de 1986 deja aún más clara la influencia de las tensiones ambientales en los sistemas controlados por computadora. Seis días antes del acercamiento más cercano a Urano, grandes campos de líneas en blanco y negro cubrieron las imágenes de la Voyager 2. Un análisis preciso mostró que un solo bit en una palabra de comando del subsistema de datos de vuelo había causado la falla, observada como las imágenes fueron comprimidas en la sonda. Lo más probable es que este bit se haya salido de su lugar dentro de la memoria del programa por el impacto de una partícula cósmica. La transmisión sin errores de las fotografías comprimidas de la sonda se efectuó solo dos días después, utilizando un programa de reemplazo capaz de pasar por alto el punto de memoria fallido (Laeser, McLaughlin y Wolff 1987).
Resumen de los accidentes presentados
Los accidentes analizados muestran que ciertos riesgos que podrían ser despreciados en condiciones de uso de tecnología electromecánica simple, ganan importancia cuando se utilizan computadoras. Los ordenadores permiten el procesamiento de funciones de seguridad complejas y específicas de la situación. Una especificación inequívoca, libre de errores, completa y verificable de todas las funciones de seguridad se vuelve especialmente importante. Los errores en las especificaciones son difíciles de descubrir y con frecuencia son la causa de accidentes en sistemas complejos. Los controles libremente programables generalmente se introducen con la intención de poder reaccionar de manera flexible y rápida al mercado cambiante. Sin embargo, las modificaciones, particularmente en sistemas complejos, tienen efectos secundarios que son difíciles de prever. Por lo tanto, todas las modificaciones deben estar sujetas a un procedimiento de gestión de cambios estrictamente formal en el que una separación clara de las funciones de seguridad de los sistemas parciales que no son relevantes para la seguridad ayudará a que las consecuencias de las modificaciones para la tecnología de seguridad sean fáciles de evaluar.
Las computadoras funcionan con bajos niveles de electricidad. Por lo tanto, son susceptibles a la interferencia de fuentes de radiación externas. Dado que la modificación de una sola señal entre millones puede provocar un mal funcionamiento, vale la pena prestar especial atención al tema de la compatibilidad electromagnética en relación con las computadoras.
El mantenimiento de los sistemas controlados por computadora se está volviendo cada vez más complejo y, por lo tanto, menos claro. La ergonomía del software del usuario y del software de configuración es, por lo tanto, cada vez más interesante desde el punto de vista de la tecnología de seguridad.
Ningún sistema informático es 100% comprobable. Un mecanismo de control simple con 32 puertos de entrada binarios y 1,000 rutas de software diferentes requiere 4.3 × 1012 Pruebas para un control completo. A un ritmo de 100 pruebas por segundo ejecutadas y evaluadas, una prueba completa tardaría 1,362 años.
Procedimientos y Medidas para la Mejora de los Dispositivos de Seguridad Controlados desde Computador (PC)
Se han desarrollado procedimientos en los últimos 10 años que permiten el dominio de desafíos específicos relacionados con la seguridad en relación con las computadoras. Estos procedimientos se dirigen a las fallas de la computadora descritas en esta sección. Los ejemplos descritos de software y ordenadores en la protección de máquinas y los accidentes analizados muestran que la magnitud del daño y, por lo tanto, también el riesgo involucrado en diversas aplicaciones es extremadamente variable. Por lo tanto, es claro que las precauciones necesarias para la mejora de las computadoras y el software utilizado en tecnología de seguridad deben establecerse en relación con el riesgo.
La figura 2 muestra un procedimiento cualitativo mediante el cual se puede determinar la reducción de riesgos necesaria que se puede obtener mediante los sistemas de seguridad, independientemente del alcance y la frecuencia con que se produzcan los daños (Bell y Reinert 1992). Los tipos de fallos en los sistemas informáticos analizados en el apartado “Accidentes con sistemas controlados por ordenador” (anterior) pueden relacionarse con los denominados Niveles de Integridad de la Seguridad, es decir, las facilidades técnicas para la reducción del riesgo.
Figura 2. Procedimiento cualitativo para la determinación del riesgo
La Figura 3 deja en claro que la efectividad de las medidas tomadas, en cualquier caso dado, para reducir los errores en el software y las computadoras debe crecer con el aumento del riesgo (DIN 1994; IEC 1993).
Figura 3, Efectividad de las precauciones tomadas contra errores independientemente del riesgo
El análisis de los accidentes esbozados arriba muestra que la falla de las protecciones controladas por computadora es causada no solo por fallas aleatorias de los componentes, sino también por condiciones de operación particulares que el programador no ha tenido en cuenta. Las consecuencias no inmediatamente obvias de las modificaciones del programa realizadas en el curso del mantenimiento del sistema constituyen una fuente adicional de error. De ello se deduce que pueden existir fallos en los sistemas de seguridad controlados por microprocesadores que, aunque se produzcan durante el desarrollo del sistema, pueden dar lugar a una situación de peligro sólo durante su funcionamiento. Por lo tanto, se deben tomar precauciones contra tales fallas mientras los sistemas relacionados con la seguridad se encuentran en la etapa de desarrollo. Estas llamadas medidas para evitar fallas deben tomarse no solo durante la fase de concepto, sino también en el proceso de desarrollo, instalación y modificación. Ciertas fallas pueden evitarse si se descubren y corrigen durante este proceso (DIN 1990).
Como deja en claro el último percance descrito, la falla de un solo transistor puede conducir a la falla técnica de equipos automatizados altamente complejos. Dado que cada circuito individual está compuesto por muchos miles de transistores y otros componentes, se deben tomar numerosas medidas para evitar fallas a fin de reconocer tales fallas en el funcionamiento e iniciar una reacción apropiada en el sistema informático. La Figura 4 describe los tipos de fallas en los sistemas electrónicos programables, así como ejemplos de precauciones que se pueden tomar para evitar y controlar las fallas en los sistemas informáticos (DIN 1990; IEC 1992).
Figura 4. Ejemplos de precauciones tomadas para controlar y evitar errores en los sistemas informáticos
Posibilidades y perspectivas de los sistemas electrónicos programables en tecnología de seguridad
Las máquinas e instalaciones modernas son cada vez más complejas y deben realizar tareas cada vez más completas en períodos de tiempo cada vez más cortos. Por esta razón, los sistemas informáticos se han apoderado de casi todas las áreas de la industria desde mediados de la década de 1970. Este aumento en la complejidad por sí solo ha contribuido significativamente al aumento de los costos involucrados en la mejora de la tecnología de seguridad en tales sistemas. Si bien el software y las computadoras representan un gran desafío para la seguridad en el lugar de trabajo, también hacen posible la implementación de nuevos sistemas amigables con los errores en el campo de la tecnología de seguridad.
Un verso divertido pero instructivo de Ernst Jandl ayudará a explicar lo que significa el concepto amigable con los errores. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. (“Dilection: Muchos creen en la luz y no pueden ser intelcambiados, qué elol”.) A pesar del intercambio de cartas r y l, esta frase es fácilmente entendida por un humano adulto normal. Incluso alguien con poca fluidez en el idioma inglés puede traducirlo al inglés. Sin embargo, la tarea es casi imposible para una computadora traductora por sí sola.
Este ejemplo muestra que un ser humano puede reaccionar de una manera mucho más amigable con los errores que una computadora de lenguaje. Esto significa que los humanos, como todas las demás criaturas vivientes, pueden tolerar los fracasos remitiéndolos a la experiencia. Si uno mira las máquinas en uso hoy en día, puede ver que la mayoría de las máquinas penalizan las fallas del usuario no con un accidente, sino con una disminución en la producción. Esta propiedad conduce a la manipulación o evasión de las salvaguardas. La tecnología informática moderna pone a disposición de la seguridad en el trabajo sistemas que pueden reaccionar de forma inteligente, es decir, de forma modificada. Dichos sistemas hacen posible, por lo tanto, un modo de comportamiento favorable a los errores en las máquinas novedosas. En primer lugar, advierten a los usuarios durante una operación incorrecta y apagan la máquina solo cuando esta es la única forma de evitar un accidente. El análisis de los accidentes muestra que existe en esta área un potencial considerable para reducir los accidentes (Reinert y Reuss 1991).
Un sistema automatizado híbrido (HAS) tiene como objetivo integrar las capacidades de las máquinas artificialmente inteligentes (basadas en tecnología informática) con las capacidades de las personas que interactúan con estas máquinas en el curso de sus actividades laborales. Las principales preocupaciones de la utilización de HAS se relacionan con la forma en que se deben diseñar los subsistemas humano y de máquina para hacer el mejor uso del conocimiento y las habilidades de ambas partes del sistema híbrido, y cómo los operadores humanos y los componentes de la máquina deben interactuar entre sí. para asegurar que sus funciones se complementen entre sí. Muchos sistemas automatizados híbridos han evolucionado como productos de aplicaciones de metodologías modernas basadas en información y control para automatizar e integrar diferentes funciones de sistemas tecnológicos a menudo complejos. HAS se identificó originalmente con la introducción de sistemas basados en computadora utilizados en el diseño y operación de sistemas de control en tiempo real para reactores de energía nuclear, para plantas de procesamiento químico y para tecnología de fabricación de partes discretas. HAS ahora también se puede encontrar en muchas industrias de servicios, como el control del tráfico aéreo y los procedimientos de navegación de aeronaves en el área de la aviación civil, y en el diseño y uso de vehículos inteligentes y sistemas de navegación de carreteras en el transporte por carretera.
Con el progreso continuo en la automatización basada en computadoras, la naturaleza de las tareas humanas en los sistemas tecnológicos modernos cambia de aquellas que requieren habilidades perceptivo-motoras a aquellas que requieren actividades cognitivas, que son necesarias para la resolución de problemas, para la toma de decisiones en el monitoreo del sistema y para tareas de control de supervisión. Por ejemplo, los operadores humanos en los sistemas de fabricación integrados por computadora actúan principalmente como monitores del sistema, solucionadores de problemas y tomadores de decisiones. Las actividades cognitivas del supervisor humano en cualquier entorno HAS son (1) planificar lo que debe hacerse durante un período de tiempo determinado, (2) diseñar procedimientos (o pasos) para lograr el conjunto de objetivos planificados, (3) monitorear el progreso de procesos (tecnológicos), (4) “enseñar” al sistema a través de una computadora interactiva humana, (5) intervenir si el sistema se comporta de manera anormal o si las prioridades de control cambian y (6) aprender a través de la retroalimentación del sistema sobre el impacto de acciones de supervisión (Sheridan 1987).
Diseño de sistema híbrido
Las interacciones hombre-máquina en un HAS implican la utilización de bucles de comunicación dinámicos entre los operadores humanos y las máquinas inteligentes, un proceso que incluye la detección y el procesamiento de información y el inicio y ejecución de tareas de control y toma de decisiones, dentro de una estructura dada de asignación de funciones entre humanos y máquinas. Como mínimo, las interacciones entre las personas y la automatización deben reflejar la alta complejidad de los sistemas automatizados híbridos, así como las características relevantes de los operadores humanos y los requisitos de las tareas. Por lo tanto, el sistema automatizado híbrido se puede definir formalmente como un quíntuple en la siguiente fórmula:
TIENE = (T, U, C, E, I)
donde T = requisitos de la tarea (físicos y cognitivos); U = características del usuario (físicas y cognitivas); C = las características de automatización (hardware y software, incluidas las interfaces informáticas); E = el entorno del sistema; I = un conjunto de interacciones entre los elementos anteriores.
El conjunto de interacciones I incorpora todas las posibles interacciones entre T, U y C in E independientemente de su naturaleza o fuerza de asociación. Por ejemplo, una de las posibles interacciones podría involucrar la relación de los datos almacenados en la memoria de la computadora con el conocimiento correspondiente, si lo hay, del operador humano. las interacciones I puede ser elemental (es decir, limitado a una asociación uno a uno) o complejo, como implicaría interacciones entre el operador humano, el software particular utilizado para lograr la tarea deseada y la interfaz física disponible con la computadora.
Los diseñadores de muchos sistemas automatizados híbridos se enfocan principalmente en la integración asistida por computadora de máquinas sofisticadas y otros equipos como parte de la tecnología basada en computadora, y rara vez prestan mucha atención a la necesidad primordial de una integración humana efectiva dentro de tales sistemas. Por lo tanto, en la actualidad, muchos de los sistemas (tecnológicos) integrados por computadora no son totalmente compatibles con las capacidades inherentes de los operadores humanos expresadas por las habilidades y el conocimiento necesarios para el control y monitoreo efectivo de estos sistemas. Tal incompatibilidad surge en todos los niveles de funcionamiento humano, máquina y hombre-máquina, y puede definirse dentro de un marco de referencia del individuo y de toda la organización o instalación. Por ejemplo, los problemas de integración de personas y tecnología en empresas de fabricación avanzada ocurren al principio de la etapa de diseño de HAS. Estos problemas se pueden conceptualizar utilizando el siguiente modelo de integración de sistemas de la complejidad de las interacciones, I, entre los diseñadores del sistema, D, operadores humanos, H, o usuarios potenciales del sistema y la tecnología, T:
yo (H, T) = F [ Yo (H, D), Yo (D, T)]
donde I significa interacciones relevantes que tienen lugar en la estructura de un HAS dado, mientras que F indica relaciones funcionales entre diseñadores, operadores humanos y tecnología.
El modelo de integración del sistema anterior destaca el hecho de que las interacciones entre los usuarios y la tecnología están determinadas por el resultado de la integración de las dos interacciones anteriores, a saber, (1) aquellas entre los diseñadores de HAS y los usuarios potenciales y (2) aquellas entre los diseñadores. y la tecnología HAS (a nivel de máquinas y su integración). Cabe señalar que, aunque normalmente existen fuertes interacciones entre los diseñadores y la tecnología, solo se pueden encontrar muy pocos ejemplos de interrelaciones igualmente fuertes entre los diseñadores y los operadores humanos.
Se puede argumentar que incluso en los sistemas más automatizados, el papel humano sigue siendo crítico para el desempeño exitoso del sistema a nivel operativo. Bainbridge (1983) identificó un conjunto de problemas relevantes para la operación del HAS que se deben a la naturaleza de la automatización en sí, como sigue:
Asignación de tareas
Uno de los temas importantes para el diseño de HAS es determinar cuántas y qué funciones o responsabilidades deben asignarse a los operadores humanos, y cuáles y cuántas a las computadoras. En general, hay tres clases básicas de problemas de asignación de tareas que deben considerarse: (1) la asignación de tareas de supervisor humano-computadora, (2) la asignación de tareas humano-humano y (3) la asignación de tareas de supervisión computadora-computadora. Idealmente, las decisiones de asignación deben tomarse a través de algún procedimiento de asignación estructurado antes de comenzar el diseño del sistema básico. Desafortunadamente, un proceso sistemático de este tipo rara vez es posible, ya que las funciones que se asignarán pueden necesitar un examen más detallado o deben llevarse a cabo de forma interactiva entre los componentes del sistema humano y de la máquina, es decir, mediante la aplicación del paradigma de control de supervisión. La asignación de tareas en los sistemas automatizados híbridos debe centrarse en el alcance de las responsabilidades de supervisión humana y de la computadora, y debe considerar la naturaleza de las interacciones entre el operador humano y los sistemas de soporte de decisiones computarizados. También se deben considerar los medios de transferencia de información entre las máquinas y las interfaces de entrada y salida humanas y la compatibilidad del software con las capacidades cognitivas humanas de resolución de problemas.
En los enfoques tradicionales para el diseño y la gestión de sistemas automatizados híbridos, se consideraba a los trabajadores como sistemas de entrada-salida deterministas, y había una tendencia a ignorar la naturaleza teleológica del comportamiento humano, es decir, el comportamiento orientado a objetivos que se basa en la adquisición de información relevante y la selección de metas (Goodstein et al. 1988). Para tener éxito, el diseño y la gestión de sistemas automatizados híbridos avanzados deben basarse en una descripción de las funciones mentales humanas necesarias para una tarea específica. El enfoque de “ingeniería cognitiva” (descrito más adelante) propone que los sistemas hombre-máquina (híbridos) deben concebirse, diseñarse, analizarse y evaluarse en términos de procesos mentales humanos (es decir, el modelo mental del operador de los sistemas adaptativos se toma en consideración). cuenta). Los siguientes son los requisitos del enfoque centrado en el ser humano para el diseño y la operación de HAS formulados por Corbett (1988):
Ingeniería Cognitiva de Factores Humanos
La ingeniería cognitiva de factores humanos se centra en cómo los operadores humanos toman decisiones en el lugar de trabajo, resuelven problemas, formulan planes y aprenden nuevas habilidades (Hollnagel y Woods 1983). Los roles de los operadores humanos que funcionan en cualquier HAS se pueden clasificar utilizando el esquema de Rasmussen (1983) en tres categorías principales:
En el diseño y gestión de un HAS se deben considerar las características cognitivas de los trabajadores para asegurar la compatibilidad de la operación del sistema con el modelo interno del trabajador que describe sus funciones. En consecuencia, el nivel de descripción del sistema debe cambiarse de los aspectos del funcionamiento humano basados en habilidades a los basados en reglas y conocimientos, y se deben usar métodos apropiados de análisis de tareas cognitivas para identificar el modelo de sistema del operador. Un tema relacionado en el desarrollo de un HAS es el diseño de medios de transmisión de información entre el operador humano y los componentes del sistema automatizado, tanto a nivel físico como cognitivo. Dicha transferencia de información debe ser compatible con los modos de información utilizados en los diferentes niveles de operación del sistema, es decir, visual, verbal, táctil o híbrida. Esta compatibilidad informativa asegura que las diferentes formas de transferencia de información requerirán una incompatibilidad mínima entre el medio y la naturaleza de la información. Por ejemplo, una pantalla visual es mejor para la transmisión de información espacial, mientras que la entrada auditiva puede usarse para transmitir información textual.
Muy a menudo, el operador humano desarrolla un modelo interno que describe el funcionamiento y la función del sistema de acuerdo con su experiencia, formación e instrucciones en relación con el tipo de interfaz hombre-máquina dado. A la luz de esta realidad, los diseñadores de un HAS deberían intentar construir en las máquinas (u otros sistemas artificiales) un modelo de las características físicas y cognitivas del operador humano, es decir, la imagen del sistema del operador (Hollnagel y Woods 1983) . Los diseñadores de un HAS también deben tener en cuenta el nivel de abstracción en la descripción del sistema, así como varias categorías relevantes del comportamiento del operador humano. Estos niveles de abstracción para modelar el funcionamiento humano en el entorno laboral son los siguientes (Rasmussen 1983): (1) forma física (estructura anatómica), (2) funciones físicas (funciones fisiológicas), (3) funciones generalizadas (mecanismos psicológicos y cognitivos). y procesos afectivos), (4) funciones abstractas (procesamiento de información) y (5) propósito funcional (estructuras de valores, mitos, religiones, interacciones humanas). Estos cinco niveles deben ser considerados simultáneamente por los diseñadores para asegurar un desempeño HAS efectivo.
Diseño de software del sistema
Dado que el software de computadora es un componente principal de cualquier entorno HAS, el desarrollo de software, incluido el diseño, las pruebas, la operación y la modificación, y los problemas de confiabilidad del software también deben considerarse en las primeras etapas del desarrollo de HAS. De esta manera, uno debería poder reducir el costo de la detección y eliminación de errores de software. Sin embargo, es difícil estimar la confiabilidad de los componentes humanos de un HAS debido a las limitaciones en nuestra capacidad para modelar el desempeño de tareas humanas, la carga de trabajo relacionada y los posibles errores. Una carga de trabajo mental excesiva o insuficiente puede conducir a una sobrecarga de información y al aburrimiento, respectivamente, y puede resultar en un desempeño humano degradado, lo que lleva a errores y aumenta la probabilidad de accidentes. Los diseñadores de un HAS deberían emplear interfaces adaptables, que utilizan técnicas de inteligencia artificial, para resolver estos problemas. Además de la compatibilidad hombre-máquina, debe tenerse en cuenta la cuestión de la adaptabilidad hombre-máquina entre sí para reducir los niveles de estrés que se producen cuando se pueden superar las capacidades humanas.
Debido al alto nivel de complejidad de muchos sistemas automatizados híbridos, la identificación de cualquier peligro potencial relacionado con el hardware, el software, los procedimientos operativos y las interacciones hombre-máquina de estos sistemas se vuelve fundamental para el éxito de los esfuerzos destinados a reducir las lesiones y los daños a los equipos. . Los peligros para la salud y la seguridad asociados con los sistemas automatizados híbridos complejos, como la tecnología de fabricación integrada por computadora (CIM), es claramente uno de los aspectos más críticos del diseño y la operación del sistema.
Problemas de seguridad del sistema
Los entornos automatizados híbridos, con su importante potencial de comportamiento errático del software de control en condiciones de perturbación del sistema, crean una nueva generación de riesgos de accidentes. A medida que los sistemas automatizados híbridos se vuelven más versátiles y complejos, las perturbaciones del sistema, incluidos los problemas de arranque y apagado y las desviaciones en el control del sistema, pueden aumentar significativamente la posibilidad de un peligro grave para los operadores humanos. Irónicamente, en muchas situaciones anormales, los operadores generalmente confían en el correcto funcionamiento de los subsistemas de seguridad automatizados, una práctica que puede aumentar el riesgo de lesiones graves. Por ejemplo, un estudio de accidentes relacionados con el mal funcionamiento de los sistemas de control técnico mostró que alrededor de un tercio de las secuencias de accidentes incluyeron la intervención humana en el circuito de control del sistema perturbado.
Dado que las medidas de seguridad tradicionales no se pueden adaptar fácilmente a las necesidades de los entornos HAS, las estrategias de control de lesiones y prevención de accidentes deben reconsiderarse en vista de las características inherentes de estos sistemas. Por ejemplo, en el área de la tecnología de fabricación avanzada, muchos procesos se caracterizan por la existencia de cantidades sustanciales de flujos de energía que los operadores humanos no pueden anticipar fácilmente. Además, los problemas de seguridad suelen surgir en las interfaces entre subsistemas, o cuando las perturbaciones del sistema progresan de un subsistema a otro. De acuerdo con la Organización Internacional para la Estandarización (ISO 1991), los riesgos asociados con los peligros debidos a la automatización industrial varían según los tipos de máquinas industriales incorporadas en el sistema de fabricación específico y con las formas en que el sistema se instala, programa, opera y mantiene. y reparado. Por ejemplo, una comparación de accidentes relacionados con robots en Suecia con otros tipos de accidentes mostró que los robots pueden ser las máquinas industriales más peligrosas utilizadas en la industria manufacturera avanzada. La tasa de accidentes estimada para los robots industriales fue de un accidente grave por 45 años-robot, una tasa más alta que la de las prensas industriales, que se informó que era de un accidente por 50 años-máquina. Cabe señalar aquí que las prensas industriales en los Estados Unidos representaron alrededor del 23 % de todas las muertes relacionadas con máquinas metalúrgicas durante el período 1980-1985, y las prensas eléctricas ocuparon el primer lugar con respecto al producto gravedad-frecuencia para lesiones no fatales.
En el dominio de la tecnología de fabricación avanzada, existen muchas piezas móviles que son peligrosas para los trabajadores, ya que cambian de posición de manera compleja fuera del campo visual de los operadores humanos. Los rápidos desarrollos tecnológicos en la fabricación integrada por computadora crearon una necesidad crítica de estudiar los efectos de la tecnología de fabricación avanzada en los trabajadores. Para identificar los peligros causados por varios componentes de dicho entorno HAS, los accidentes pasados deben analizarse cuidadosamente. Desafortunadamente, los accidentes que involucran el uso de robots son difíciles de aislar de los informes de accidentes relacionados con máquinas operadas por humanos y, por lo tanto, puede haber un alto porcentaje de accidentes no registrados. Las normas de salud y seguridad en el trabajo de Japón establecen que “los robots industriales no cuentan en la actualidad con medios fiables de seguridad y los trabajadores no pueden estar protegidos de ellos a menos que se regule su uso”. Por ejemplo, los resultados de la encuesta realizada por el Ministerio de Trabajo de Japón (Sugimoto 1987) de accidentes relacionados con robots industriales en las 190 fábricas encuestadas (con 4,341 robots en funcionamiento) mostraron que hubo 300 perturbaciones relacionadas con robots, de los cuales 37 casos de los actos inseguros resultaron en algunos casi accidentes, 9 fueron accidentes que produjeron lesiones y 2 fueron accidentes fatales. Los resultados de otros estudios indican que la automatización basada en computadora no necesariamente aumenta el nivel general de seguridad, ya que el hardware del sistema no puede hacerse a prueba de fallas mediante funciones de seguridad en el software de la computadora solamente, y los controladores del sistema no siempre son altamente confiables. Además, en un HAS complejo, uno no puede depender exclusivamente de dispositivos de detección de seguridad para detectar condiciones peligrosas y emprender estrategias apropiadas para evitar peligros.
Efectos de la automatización en la salud humana
Como se discutió anteriormente, las actividades de los trabajadores en muchos entornos HAS son básicamente aquellas de control de supervisión, monitoreo, soporte del sistema y mantenimiento. Estas actividades también se pueden clasificar en cuatro grupos básicos de la siguiente manera: (1) tareas de programación, es decir, codificar la información que guía y dirige la operación de la maquinaria, (2) monitoreo de los componentes de producción y control de HAS, (3) mantenimiento de los componentes de HAS para prevenir o aliviar el mal funcionamiento de la maquinaria, y (4) realizar una variedad de tareas de apoyo, etc. Muchas revisiones recientes del impacto del HAS en el bienestar de los trabajadores concluyeron que aunque la utilización de un HAS en el área de fabricación puede eliminar tareas pesadas y peligrosas , trabajar en un entorno HAS puede ser insatisfactorio y estresante para los trabajadores. Las fuentes de estrés incluyeron el monitoreo constante requerido en muchas aplicaciones HAS, el alcance limitado de las actividades asignadas, el bajo nivel de interacción de los trabajadores permitido por el diseño del sistema y los riesgos de seguridad asociados con la naturaleza impredecible e incontrolable del equipo. Si bien algunos trabajadores que participan en actividades de programación y mantenimiento sienten los elementos del desafío, que pueden tener efectos positivos en su bienestar, estos efectos a menudo se ven contrarrestados por la naturaleza compleja y exigente de estas actividades, así como por la presión. ejercida por la administración para completar estas actividades rápidamente.
Si bien en algunos entornos HAS los operadores humanos están alejados de las fuentes de energía tradicionales (el flujo de trabajo y el movimiento de la máquina) durante las condiciones normales de operación, muchas tareas en los sistemas automatizados aún deben realizarse en contacto directo con otras fuentes de energía. Dado que el número de diferentes componentes HAS aumenta continuamente, se debe hacer especial hincapié en la comodidad y la seguridad de los trabajadores y en el desarrollo de disposiciones eficaces para el control de lesiones, especialmente en vista del hecho de que los trabajadores ya no pueden mantenerse al día con la sofisticación y complejidad de tales sistemas.
Con el fin de satisfacer las necesidades actuales de control de lesiones y seguridad de los trabajadores en los sistemas de fabricación integrados por computadora, el Comité de Sistemas de Automatización Industrial de ISO ha propuesto una nueva norma de seguridad titulada "Seguridad de los sistemas de fabricación integrados" (1991). Esta nueva norma internacional, que se desarrolló en reconocimiento de los peligros particulares que existen en los sistemas de fabricación integrados que incorporan máquinas industriales y equipos asociados, tiene como objetivo minimizar las posibilidades de lesiones al personal mientras trabaja en un sistema de fabricación integrado o junto a él. Las principales fuentes de peligros potenciales para los operadores humanos en CIM identificados por esta norma se muestran en la figura 1.
Figura 1. Fuente principal de peligros en la fabricación integrada por computadora (CIM) (después de ISO 1991)
Errores humanos y del sistema
En general, los peligros en un HAS pueden surgir del propio sistema, de su asociación con otros equipos presentes en el entorno físico o de las interacciones del personal humano con el sistema. Un accidente es solo uno de los varios resultados de las interacciones hombre-máquina que pueden surgir en condiciones peligrosas; los accidentes cercanos y los incidentes con daños son mucho más comunes (Zimolong y Duda 1992). La ocurrencia de un error puede llevar a una de estas consecuencias: (1) el error pasa desapercibido, (2) el sistema puede compensar el error, (3) el error conduce a una falla de la máquina y/o al paro del sistema o (4) ) el error conduce a un accidente.
Dado que no todos los errores humanos que resultan en un incidente crítico causarán un accidente real, es apropiado distinguir aún más entre las categorías de resultados de la siguiente manera: (1) un incidente inseguro (es decir, cualquier ocurrencia no intencional independientemente de si resulta en lesiones, daños o pérdida), (2) un accidente (es decir, un evento inseguro que resulta en una lesión, daño o pérdida), (3) un incidente de daño (es decir, un evento inseguro que resulta solo en algún tipo de daño material), (4) un casi accidente o “casi accidente” (es decir, un evento inseguro en el que una lesión, daño o pérdida se evitó fortuitamente por un margen estrecho) y (5) la existencia de un accidente potencial (es decir, eventos inseguros que podrían haber resultado en lesiones, daños o pérdidas). , o pérdida, pero, debido a las circunstancias, no resultó ni siquiera en un casi accidente).
Se pueden distinguir tres tipos básicos de error humano en un HAS:
Esta taxonomía, ideada por Reason (1990), se basa en una modificación de la clasificación del desempeño humano de habilidad-regla-conocimiento de Rasmussen, como se describe anteriormente. En el nivel basado en habilidades, el desempeño humano se rige por patrones almacenados de instrucciones preprogramadas representadas como estructuras análogas en un dominio de espacio-tiempo. El nivel basado en reglas es aplicable para abordar problemas familiares en los que las soluciones se rigen por reglas almacenadas (llamadas "producciones", ya que se accede a ellas o se producen según sea necesario). Estas reglas exigen la realización de determinados diagnósticos (o juicios) o la realización de determinadas acciones correctoras, dado que se han dado determinadas condiciones que exigen una respuesta adecuada. En este nivel, los errores humanos se asocian típicamente con la clasificación errónea de situaciones, lo que lleva a la aplicación de una regla incorrecta o al recuerdo incorrecto de juicios o procedimientos consecuentes. Los errores basados en el conocimiento ocurren en situaciones novedosas para las cuales se deben planificar acciones “on-line” (en un momento dado), utilizando procesos analíticos conscientes y conocimiento almacenado. Los errores en este nivel surgen de limitaciones de recursos y conocimientos incompletos o incorrectos.
Los sistemas genéricos de modelado de errores (GEMS) propuestos por Reason (1990), que intenta localizar los orígenes de los tipos básicos de errores humanos, se pueden utilizar para derivar la taxonomía general del comportamiento humano en un HAS. GEMS busca integrar dos áreas distintas de investigación de errores: (1) deslices y fallas, en los que las acciones se desvían de la intención actual debido a fallas en la ejecución y/o fallas en el almacenamiento y (2) errores, en los cuales las acciones pueden ejecutarse de acuerdo con el plan. pero el plan es inadecuado para lograr el resultado deseado.
Evaluación y Prevención de Riesgos en CIM
De acuerdo con la ISO (1991), la evaluación de riesgos en CIM debe realizarse para minimizar todos los riesgos y servir como base para determinar los objetivos y medidas de seguridad en el desarrollo de programas o planes tanto para crear un entorno de trabajo seguro como para garantizar la seguridad y la salud del personal también. Por ejemplo, los riesgos laborales en entornos HAS basados en la fabricación se pueden caracterizar de la siguiente manera: (1) el operador humano puede necesitar ingresar a la zona de peligro durante las tareas de recuperación, servicio y mantenimiento de perturbaciones, (2) la zona de peligro es difícil de determinar, percibir y controlar, (3) el trabajo puede ser monótono y (4) los accidentes que ocurren dentro de los sistemas de fabricación integrados por computadora son a menudo graves. Cada peligro identificado debe evaluarse por su riesgo, y deben determinarse e implementarse las medidas de seguridad apropiadas para minimizar ese riesgo. Los peligros también deben determinarse con respecto a todos los siguientes aspectos de cualquier proceso dado: la unidad individual en sí; la interacción entre unidades individuales; las secciones operativas del sistema; y el funcionamiento del sistema completo para todos los modos y condiciones de funcionamiento previstos, incluidas las condiciones en las que se suspenden los medios de protección normales para operaciones tales como programación, verificación, resolución de problemas, mantenimiento o reparación.
La fase de diseño de la estrategia de seguridad ISO (1991) para CIM incluye:
La especificación de seguridad del sistema debe incluir:
De acuerdo con la ISO (1991), todos los requisitos necesarios para garantizar una operación segura del sistema CIM deben tenerse en cuenta en el diseño de procedimientos sistemáticos de planificación de la seguridad. Esto incluye todas las medidas de protección para reducir eficazmente los peligros y requiere:
El procedimiento de planificación de seguridad debe abordar, entre otros, los siguientes aspectos de seguridad de CIM:
Control de perturbaciones del sistema
En muchas instalaciones HAS utilizadas en el área de fabricación integrada por computadora, normalmente se necesitan operadores humanos con el fin de controlar, programar, mantener, preconfigurar, reparar o solucionar problemas. Las perturbaciones en el sistema conducen a situaciones que hacen necesario que los trabajadores ingresen a las áreas peligrosas. A este respecto, se puede suponer que las perturbaciones siguen siendo la razón más importante de la interferencia humana en CIM, porque los sistemas se programarán con mayor frecuencia desde fuera de las áreas restringidas. Uno de los temas más importantes para la seguridad de CIM es prevenir perturbaciones, ya que la mayoría de los riesgos ocurren en la fase de solución de problemas del sistema. La prevención de perturbaciones es el objetivo común en lo que se refiere tanto a la seguridad como a la rentabilidad.
Una perturbación en un sistema CIM es un estado o función de un sistema que se desvía del estado planificado o deseado. Además de la productividad, las perturbaciones durante la operación de un CIM tienen un efecto directo en la seguridad de las personas involucradas en la operación del sistema. Un estudio finlandés (Kuivanen 1990) mostró que aproximadamente la mitad de las perturbaciones en la fabricación automatizada reducen la seguridad de los trabajadores. Las principales causas de las perturbaciones fueron errores en el diseño del sistema (34 %), fallas en los componentes del sistema (31 %), errores humanos (20 %) y factores externos (15 %). La mayoría de las fallas de las máquinas fueron causadas por el sistema de control y, en el sistema de control, la mayoría de las fallas ocurrieron en los sensores. Una forma eficaz de aumentar el nivel de seguridad de las instalaciones CIM es reducir el número de perturbaciones. Si bien las acciones humanas en sistemas perturbados previenen la ocurrencia de accidentes en el ambiente HAS, también contribuyen a ellos. Por ejemplo, un estudio de accidentes relacionados con el mal funcionamiento de los sistemas de control técnico mostró que alrededor de un tercio de las secuencias de accidentes incluyeron la intervención humana en el circuito de control del sistema perturbado.
Los principales temas de investigación en la prevención de perturbaciones CIM se refieren a (1) las principales causas de las perturbaciones, (2) los componentes y funciones no confiables, (3) el impacto de las perturbaciones en la seguridad, (4) el impacto de las perturbaciones en la función del sistema, ( 5) daños materiales y (6) reparaciones. La seguridad de HAS debe planificarse al principio de la etapa de diseño del sistema, con la debida consideración de la tecnología, las personas y la organización, y ser una parte integral del proceso general de planificación técnica de HAS.
HAS Diseño: Desafíos Futuros
Para asegurar el máximo beneficio de los sistemas automatizados híbridos, como se mencionó anteriormente, se necesita una visión mucho más amplia del desarrollo de sistemas, que se base en la integración de personas, organizaciones y tecnología. Aquí se deben aplicar tres tipos principales de integración de sistemas:
Los requisitos mínimos de diseño para los sistemas automatizados híbridos deben incluir lo siguiente: (1) flexibilidad, (2) adaptación dinámica, (3) capacidad de respuesta mejorada y (4) la necesidad de motivar a las personas y hacer un mejor uso de sus habilidades, juicio y experiencia. . Lo anterior también requiere que se desarrollen estructuras organizacionales, prácticas de trabajo y tecnologías de HAS para permitir que las personas en todos los niveles del sistema adapten sus estrategias de trabajo a la variedad de situaciones de control de sistemas. Por lo tanto, las organizaciones, prácticas de trabajo y tecnologías de HAS deberán diseñarse y desarrollarse como sistemas abiertos (Kidd 1994).
Un sistema automatizado híbrido abierto (OHAS) es un sistema que recibe entradas y envía salidas a su entorno. La idea de un sistema abierto se puede aplicar no solo a las arquitecturas de sistemas y estructuras organizativas, sino también a las prácticas de trabajo, las interfaces humano-computadora y la relación entre las personas y las tecnologías: se pueden mencionar, por ejemplo, los sistemas de programación, los sistemas de control y Sistemas de Soporte a la Decisión. Un sistema abierto también es adaptativo cuando permite a las personas un alto grado de libertad para definir el modo de operar del sistema. Por ejemplo, en el área de fabricación avanzada, los requisitos de un sistema automatizado híbrido abierto se pueden cumplir a través del concepto de Manufactura integrada por humanos y computadoras (HCIM). Desde este punto de vista, el diseño de la tecnología debe abordar la arquitectura general del sistema HCIM, incluidos los siguientes: (1) consideraciones de la red de grupos, (2) la estructura de cada grupo, (3) la interacción entre grupos, (4) la naturaleza del software de soporte y (5) las necesidades técnicas de comunicación e integración entre los módulos de software de soporte.
El sistema automatizado híbrido adaptativo, a diferencia del sistema cerrado, no restringe lo que pueden hacer los operadores humanos. El papel del diseñador de un HAS es crear un sistema que satisfaga las preferencias personales del usuario y permita a sus usuarios trabajar de la forma que consideren más apropiada. Un requisito previo para permitir la entrada del usuario es el desarrollo de una metodología de diseño adaptativo, es decir, un OHAS que permita habilitar tecnología asistida por computadora para su implementación en el proceso de diseño. La necesidad de desarrollar una metodología para el diseño adaptativo es uno de los requisitos inmediatos para realizar el concepto OHAS en la práctica. También es necesario desarrollar un nuevo nivel de tecnología de control de supervisión humana adaptativa. Dicha tecnología debería permitir que el operador humano "vea a través" del sistema de control del funcionamiento del HAS, que de otro modo sería invisible, por ejemplo, mediante la aplicación de un sistema de video interactivo de alta velocidad en cada punto de control y operación del sistema. Finalmente, también es muy necesaria una metodología para el desarrollo de un soporte basado en computadora inteligente y altamente adaptable de roles humanos y funcionamiento humano en los sistemas automatizados híbridos.
En general, se acepta que los sistemas de control deben ser seguros durante su uso. Con esto en mente, la mayoría de los sistemas de control modernos están diseñados como se muestra en la figura 1.
Figura 1. Diseño general de los sistemas de control
La forma más sencilla de hacer que un sistema de control sea seguro es construir un muro impenetrable a su alrededor para evitar el acceso humano o la interferencia en la zona de peligro. Tal sistema sería muy seguro, aunque poco práctico, ya que sería imposible acceder para realizar la mayoría de los trabajos de prueba, reparación y ajuste. Debido a que se debe permitir el acceso a las zonas de peligro bajo ciertas condiciones, se requieren medidas de protección además de paredes, cercas y similares para facilitar la producción, instalación, servicio y mantenimiento.
Algunas de estas medidas de protección pueden estar total o parcialmente integradas en los sistemas de control, como sigue:
Este tipo de medidas de protección son activadas por los operadores. Sin embargo, debido a que los seres humanos a menudo representan un punto débil en las aplicaciones, muchas funciones, como las siguientes, se realizan automáticamente:
El funcionamiento normal de los sistemas de control es la condición previa más importante para la producción. Si una función de producción se interrumpe debido a una falla de control, es a lo sumo inconveniente pero no peligroso. Si no se realiza una función relevante para la seguridad, podría provocar pérdidas de producción, daños en el equipo, lesiones o incluso la muerte. Por lo tanto, las funciones del sistema de control relevantes para la seguridad deben ser más fiables y seguras que las funciones normales del sistema de control. De acuerdo con la Directiva del Consejo Europeo 89/392/EEC (Directrices para máquinas), los sistemas de control deben diseñarse y construirse de manera que sean seguros y confiables.
Los controles consisten en una serie de componentes conectados entre sí para realizar una o más funciones. Los controles se subdividen en canales. Un canal es la parte de un control que realiza una función específica (p. ej., arranque, parada, parada de emergencia). Físicamente, el canal es creado por una serie de componentes (transistores, diodos, relés, puertas, etc.) a través de los cuales, de un componente al siguiente, la información (principalmente eléctrica) que representa esa función se transfiere de entrada a salida.
Al diseñar canales de control para funciones relevantes para la seguridad (aquellas funciones en las que intervienen personas), deben cumplirse los siguientes requisitos:
Fiabilidad
Fiabilidad es la capacidad de un canal de control o componente para realizar una función requerida en condiciones específicas durante un período de tiempo determinado sin fallar. (La probabilidad de componentes específicos o canales de control puede calcularse usando métodos adecuados). La confiabilidad siempre debe especificarse para un valor de tiempo específico. En general, la confiabilidad se puede expresar mediante la fórmula de la figura 2.
Figura 2. Fórmula de confiabilidad
Fiabilidad de sistemas complejos
Los sistemas se construyen a partir de componentes. Si se conocen las confiabilidades de los componentes, se puede calcular la confiabilidad del sistema como un todo. En tales casos, se aplica lo siguiente:
Sistemas en serie
La fiabilidad total Ra de un sistema en serie que consta de N componentes de la misma fiabilidad RC se calcula como en la figura 3.
Figura 3. Gráfico de confiabilidad de componentes conectados en serie
La confiabilidad total es menor que la confiabilidad del componente menos confiable. A medida que aumenta la cantidad de componentes conectados en serie, la confiabilidad total de la cadena disminuye significativamente.
Sistemas paralelos
La fiabilidad total Ra de un sistema paralelo formado por N componentes de la misma fiabilidad RC se calcula como en la figura 4.
Figura 4. Gráfico de confiabilidad de componentes conectados en paralelo
La fiabilidad total se puede mejorar significativamente mediante la conexión en paralelo de dos o más componentes.
La Figura 5 ilustra un ejemplo práctico. Tenga en cuenta que el circuito apagará el motor de forma más fiable. Incluso si el relé A o B no logra abrir su contacto, el motor seguirá estando apagado.
Figura 5. Ejemplo práctico de la figura 4
Calcular la confiabilidad total de un canal es simple si se conocen y están disponibles todas las confiabilidades de los componentes necesarios. En el caso de componentes complejos (circuitos integrados, microprocesadores, etc.) el cálculo de la fiabilidad total es difícil o imposible si el fabricante no publica la información necesaria.
Seguridad
Cuando los profesionales hablan de seguridad y piden máquinas seguras, se refieren a la seguridad de toda la máquina o sistema. Sin embargo, esta seguridad es demasiado general y no está definida con suficiente precisión para el diseñador de controles. La siguiente definición de la seguridad puede ser práctico y utilizable para los diseñadores de circuitos de control: La seguridad es la capacidad de un sistema de control para realizar la función requerida dentro de los límites prescritos, durante un período determinado, incluso cuando ocurran fallas anticipadas. En consecuencia, debe aclararse durante el diseño qué tan "seguro" debe ser el canal relacionado con la seguridad. (El diseñador puede desarrollar un canal que sea seguro contra la primera falla, contra cualquier falla, contra dos fallas, etc.) Además, un canal que realiza una función que se usa para prevenir accidentes puede ser esencialmente confiable, pero no tiene estar inevitablemente a salvo de los fallos. Esto se puede explicar mejor con los siguientes ejemplos:
Ejemplo
El ejemplo ilustrado en la figura 6 es un canal de control relevante para la seguridad que realiza la función de seguridad requerida. El primer componente puede ser un interruptor que controle, por ejemplo, la posición de una puerta de acceso a una zona peligrosa. El último componente es un motor que acciona piezas mecánicas móviles dentro del área de peligro.
Figura 6. Un canal de control relevante para la seguridad que realiza la función de seguridad requerida
La función de seguridad requerida en este caso es doble: si la puerta está cerrada, el motor puede funcionar. Si la puerta está abierta, el motor debe estar apagado. Conociendo las confiabilidades R1 a R6, es posible calcular la fiabilidad Rnene. Los diseñadores deben usar componentes confiables para mantener una confiabilidad suficientemente alta de todo el sistema de control (es decir, la probabilidad de que esta función aún se pueda realizar en, digamos, incluso 20 años debe tenerse en cuenta en el diseño). Como resultado, los diseñadores deben cumplir dos tareas: (1) el circuito debe realizar la función requerida y (2) la confiabilidad de los componentes y de todo el canal de control debe ser adecuada.
Ahora se debe hacer la siguiente pregunta: ¿El canal antes mencionado realizará las funciones de seguridad requeridas incluso si ocurre una falla en el sistema (por ejemplo, si un contacto de relé se atasca o un componente no funciona correctamente)? La respuesta es no". La razón es que un solo canal de control que consta solo de componentes conectados en serie y que trabaja con señales estáticas no es seguro contra una falla. El canal solo puede tener una cierta confiabilidad, lo que garantiza la probabilidad de que se lleve a cabo la función. En tales situaciones, la seguridad siempre se entiende como relacionado con fallas.
Ejemplo
Para que un canal de control sea confiable y seguro, el diseño debe modificarse como se muestra en la figura 7. El ejemplo ilustrado es un canal de control relevante para la seguridad que consta de dos subcanales completamente separados.
Figura 7. Un canal de control relevante para la seguridad con dos subcanales completamente separados
Este diseño es seguro contra la primera falla (y posibles fallas adicionales en el mismo subcanal), pero no es seguro contra dos fallas que pueden ocurrir en dos subcanales diferentes (simultáneamente o en momentos diferentes) porque no hay un circuito de detección de fallas. En consecuencia, inicialmente ambos subcanales funcionan con una alta confiabilidad (ver sistema paralelo), pero después de la primera falla solo funcionará un subcanal y la confiabilidad disminuye. Si se produce un segundo fallo en el subcanal que sigue funcionando, ambos habrán fallado y la función de seguridad dejará de funcionar.
Ejemplo
El ejemplo ilustrado en la figura 8 es un canal de control relevante para la seguridad que consta de dos subcanales completamente separados que se supervisan entre sí.
Figura 8. Un canal de control relevante para la seguridad con dos subcanales completamente separados que se supervisan entre sí
Tal diseño es a prueba de fallas porque después de cualquier falla, solo un subcanal no funcionará, mientras que el otro subcanal permanecerá disponible y realizará la función de seguridad. Además, el diseño tiene un circuito de detección de fallas. Si, debido a una falla, ambos subcanales no funcionan de la misma manera, esta condición será detectada por el circuito "o exclusivo", con el resultado de que la máquina se apagará automáticamente. Esta es una de las mejores formas de diseñar controles de máquinas: diseñar subcanales relevantes para la seguridad. Son seguros contra una falla y, al mismo tiempo, brindan suficiente confiabilidad para que las posibilidades de que ocurran dos fallas simultáneamente sean minúsculas.
Redundancia
Es evidente que existen varios métodos mediante los cuales un diseñador puede mejorar la confiabilidad y/o la seguridad (contra fallas). Los ejemplos anteriores ilustran cómo una función (es decir, puerta cerrada, el motor puede funcionar; puerta abierta, el motor debe detenerse) puede realizarse mediante varias soluciones. Algunos métodos son muy simples (un subcanal) y otros más complicados (dos subcanales con supervisión mutua). (Ver figura 9.)
Figura 9. Confiabilidad de sistemas redundantes con o sin detección de fallas
Existe cierta redundancia en los circuitos y/o componentes complejos en comparación con los simples. Redundancia se puede definir de la siguiente manera: (1) Redundancia es la presencia de más medios (componentes, canales, factores de seguridad más altos, pruebas adicionales, etc.) de los que son realmente necesarios para el simple cumplimiento de la función deseada; (2) la redundancia obviamente no “mejora” la función, que se realiza de todos modos. La redundancia solo mejora la confiabilidad y/o la seguridad.
Algunos profesionales de la seguridad creen que la redundancia es solo duplicar o triplicar, y así sucesivamente, el sistema. Esta es una interpretación muy limitada, ya que la redundancia puede interpretarse de manera mucho más amplia y flexible. La redundancia no solo puede estar incluida en el hardware; también puede estar incluido en el software. Mejorar el factor de seguridad (p. ej., una cuerda más fuerte en lugar de una cuerda más débil) también se puede considerar como una forma de redundancia.
Entropía
Entropía, un término que se encuentra principalmente en la termodinámica y la astronomía, se puede definir de la siguiente manera: Todo tiende a la descomposición. Por lo tanto, es absolutamente seguro que todos los componentes, subsistemas o sistemas, independientemente de la tecnología utilizada, fallarán en algún momento. Esto significa que no existen sistemas, subsistemas o componentes 100% confiables y/o seguros. Todos ellos son simplemente más o menos fiables y seguros, dependiendo de la complejidad de la estructura. Los fracasos que inevitablemente ocurren antes o después demuestran la acción de la entropía.
El único medio disponible para que los diseñadores contrarresten la entropía es la redundancia, que se logra (a) introduciendo más confiabilidad en los componentes y (b) brindando más seguridad en toda la arquitectura del circuito. Solo aumentando suficientemente la probabilidad de que la función requerida se realice durante el período de tiempo requerido, los diseñadores pueden defenderse en cierto grado contra la entropía.
Evaluación de Riesgos
Cuanto mayor sea el riesgo potencial, mayor será la confiabilidad y/o seguridad (contra fallas) que se requiere (y viceversa). Esto se ilustra con los siguientes dos casos:
Caso 1
El acceso a la herramienta de moldeo fijada en una máquina de moldeo por inyección está protegido por una puerta. Si la puerta está cerrada, la máquina puede funcionar, y si la puerta está abierta, todos los movimientos peligrosos deben detenerse. En ningún caso (incluso en caso de avería del canal relacionado con la seguridad) pueden producirse movimientos, especialmente los que accionan la herramienta.
Caso 2
El acceso a una línea de ensamblaje controlada automáticamente que ensambla pequeños componentes de plástico bajo presión neumática está protegido por una puerta. Si se abre esta puerta, habrá que parar la línea.
En el Caso 1, si falla el sistema de control de supervisión de la puerta, se pueden producir lesiones graves si la herramienta se cierra inesperadamente. En el caso 2, solo pueden producirse lesiones leves o daños insignificantes si falla el sistema de control de supervisión de la puerta.
Es obvio que en el primer caso se debe introducir mucha más redundancia para lograr la confiabilidad y/o seguridad (contra fallas) requerida para proteger contra un riesgo extremadamente alto. De hecho, según la norma europea EN 201, el sistema de control de supervisión de la puerta de la máquina de moldeo por inyección debe tener tres canales; dos de los cuales son eléctricos y supervisados entre sí y uno de los cuales está equipado en su mayoría con circuitos hidráulicos y de prueba. Todas estas tres funciones de supervisión se relacionan con la misma puerta.
Por el contrario, en aplicaciones como la descrita en el Caso 2, un solo canal activado por un interruptor con acción positiva es apropiado para el riesgo.
Categorías de controles
Dado que todas las consideraciones anteriores se basan generalmente en la teoría de la información y, en consecuencia, son válidas para todas las tecnologías, no importa si el sistema de control se basa en componentes electrónicos, electromecánicos, mecánicos, hidráulicos o neumáticos (o una combinación de ellos). , o en alguna otra tecnología. La inventiva del diseñador, por un lado, y las cuestiones económicas, por otro lado, son los factores principales que afectan a un número casi infinito de soluciones sobre cómo realizar canales relevantes para la seguridad.
Para evitar confusiones, es práctico establecer ciertos criterios de clasificación. Las estructuras de canales más típicas utilizadas en los controles de máquinas para realizar funciones relacionadas con la seguridad se clasifican según:
Sus combinaciones (no se muestran todas las combinaciones posibles) se ilustran en la tabla 1.
Tabla 1. Algunas combinaciones posibles de estructuras de circuitos en controles de máquinas para funciones relacionadas con la seguridad
Criterios (Preguntas) |
estrategia básica |
|||||
Al aumentar la confiabilidad (¿se traslada la ocurrencia de fallas a un futuro posiblemente lejano?) |
Mediante una estructura (arquitectura) de circuito adecuada, al menos se detectará la falla (Cat. 2) o se eliminará el efecto de falla en el canal (Cat. 3) o la falla se revelará inmediatamente (Cat. 4) |
|||||
Categorías |
||||||
Esta solución es básicamente incorrecta. |
B |
1 |
2 |
3 |
4 |
|
¿Pueden los componentes del circuito soportar las influencias esperadas? ¿Están construidos de acuerdo con el estado del arte? |
No |
Sí |
Sí |
Sí |
Sí |
Sí |
¿Se han utilizado componentes y/o métodos bien probados? |
No |
No |
Sí |
Sí |
Sí |
Sí |
¿Se puede detectar una falla automáticamente? |
No |
No |
No |
Sí |
Sí |
Sí |
¿Un fallo impide el desempeño de la función relacionada con la seguridad? |
Sí |
Sí |
Sí |
Sí |
No |
No |
¿Cuándo se detectará la falla? |
Nunca |
Nunca |
Nunca |
Temprano (más tarde al final del intervalo que no es más largo que un ciclo de máquina) |
Inmediatamente (cuando la señal pierde dinámica |
|
En productos de consumo |
Para ser utilizado en máquinas. |
La categoría aplicable para una máquina específica y su sistema de control relacionado con la seguridad se especifica principalmente en las nuevas normas europeas (EN), a menos que la autoridad nacional, el usuario y el fabricante acuerden mutuamente que se debe aplicar otra categoría. Luego, el diseñador desarrolla un sistema de control que cumple con los requisitos. Por ejemplo, las consideraciones que rigen el diseño de un canal de control pueden incluir lo siguiente:
Este proceso es reversible. Usando las mismas preguntas, se puede decidir a qué categoría pertenece un canal de control existente desarrollado previamente.
Ejemplos de categorías
Categoría B
Los componentes del canal de control que se utilizan principalmente en los productos de consumo deben resistir las influencias esperadas y estar diseñados de acuerdo con el estado de la técnica. Un interruptor bien diseñado puede servir como ejemplo.
Categoría 1
El uso de componentes y métodos bien probados es típico para la Categoría 1. Un ejemplo de Categoría 1 es un interruptor con acción positiva (es decir, requiere la apertura forzada de los contactos). Este interruptor está diseñado con piezas robustas y es activado por fuerzas relativamente altas, alcanzando así una confiabilidad extremadamente alta solo en la apertura de contactos. A pesar de los contactos pegados o incluso soldados, estos interruptores se abrirán. (Nota: los componentes como los transistores y los diodos no se consideran componentes bien probados). La Figura 10 servirá como ilustración de un control de Categoría 1.
Figura 10. Un interruptor con una acción positiva
Este canal utiliza el interruptor S con acción positiva. El contactor K es supervisado por la luz L. Se advierte al operador que los contactos normalmente abiertos (NO) se adhieren por medio de la luz indicadora L. El contactor K tiene contactos guiados forzados. (Nota: Los relés o contactores con guía forzada de contactos tienen, en comparación con los relés o contactores habituales, una jaula especial hecha de material aislante de modo que si los contactos normalmente cerrados (NC) están cerrados, todos los contactos NA deben abrirse y viceversa). viceversa. Esto significa que mediante el uso de contactos NC se puede realizar una verificación para determinar que los contactos de trabajo no estén pegados o soldados entre sí).
Categoría 2
La categoría 2 prevé la detección automática de fallas. La detección automática de fallas debe generarse antes de cada movimiento peligroso. Solo si la prueba es positiva se puede realizar el movimiento; de lo contrario, la máquina se detendrá. Los sistemas automáticos de detección de fallas se utilizan para barreras de luz para demostrar que todavía están funcionando. El principio se ilustra en la figura 1.
Figura 11. Circuito que incluye un detector de fallas
Este sistema de control se prueba regularmente (u ocasionalmente) inyectando un impulso a la entrada. En un sistema que funcione correctamente, este impulso se transferirá a la salida y se comparará con un impulso de un generador de prueba. Cuando ambos impulsos están presentes, el sistema obviamente funciona. En caso contrario, si no hay impulso de salida, el sistema ha fallado.
Categoría 3
Los circuitos se han descrito previamente en el Ejemplo 3 en la sección Seguridad de este artículo, figura 8.
El requisito, es decir, la detección automática de fallas y la capacidad de realizar la función de seguridad incluso si ha ocurrido una falla en cualquier lugar, puede cumplirse mediante estructuras de control de dos canales y mediante la supervisión mutua de los dos canales.
Solo para los controles de la máquina, se deben investigar las fallas peligrosas. Cabe señalar que existen dos tipos de fallas:
Categoría 4
La categoría 4 generalmente proporciona la aplicación de una señal dinámica que cambia continuamente en la entrada. La presencia de una señal dinámica en los medios de salida. correr (“1”), y la ausencia de una señal dinámica significa detener ("0").
Para tales circuitos, es típico que después de la falla de cualquier componente, la señal dinámica ya no esté disponible en la salida. (Nota: el potencial estático en la salida es irrelevante). Dichos circuitos pueden llamarse "a prueba de fallas". Todas las fallas se divulgarán inmediatamente, no después del primer cambio (como en los circuitos de Categoría 3).
Otros comentarios sobre las categorías de control
La Tabla 1 se ha desarrollado para los controles de máquinas habituales y muestra solo las estructuras básicas del circuito; de acuerdo con la directiva de máquinas, debe calcularse asumiendo que solo ocurrirá una falla en un ciclo de máquina. Por este motivo, la función de seguridad no tiene que ejecutarse en el caso de dos fallos coincidentes. Se supone que se detectará una falla dentro de un ciclo de máquina. La máquina se detendrá y luego se reparará. El sistema de control luego comienza de nuevo, completamente operativo, sin fallas.
La primera intención del diseñador debe ser no permitir fallas "permanentes", que no se detectarían durante un ciclo, ya que luego podrían combinarse con fallas nuevas (acumulación de fallas). Tales combinaciones (una falla permanente y una nueva falla) pueden causar un mal funcionamiento incluso en los circuitos de Categoría 3.
A pesar de estas tácticas, es posible que ocurran dos fallas independientes al mismo tiempo dentro del mismo ciclo de máquina. Solo es muy improbable, especialmente si se han utilizado componentes altamente confiables. Para aplicaciones de muy alto riesgo, se deben usar tres o más subcanales. Esta filosofía se basa en el hecho de que el tiempo medio entre fallas es mucho mayor que el ciclo de la máquina.
Sin embargo, esto no significa que la tabla no pueda ampliarse más. La Tabla 1 es básica y estructuralmente muy similar a la Tabla 2 utilizada en EN 954-1. Sin embargo, no intenta incluir demasiados criterios de clasificación. Los requisitos se definen de acuerdo con las leyes rigurosas de la lógica, por lo que solo se pueden esperar respuestas claras (SÍ o NO). Esto permite una evaluación, ordenación y clasificación más exactas de los circuitos enviados (canales relacionados con la seguridad) y, por último, pero no menos importante, una mejora significativa de la reproducibilidad de la evaluación.
Sería ideal si los riesgos pudieran clasificarse en varios niveles de riesgo y luego se estableciera un vínculo definitivo entre los niveles de riesgo y las categorías, todo esto independientemente de la tecnología en uso. Sin embargo, esto no es completamente posible. Al principio, después de crear categorías, quedó claro que incluso con la misma tecnología, varias preguntas no se respondían suficientemente. ¿Qué es mejor: un componente muy fiable y bien diseñado de la Categoría 1 o un sistema que cumple los requisitos de la Categoría 3 con poca fiabilidad?
Para explicar este dilema hay que diferenciar entre dos cualidades: fiabilidad y seguridad (frente a fallos). No son comparables, ya que ambas cualidades tienen características diferentes:
Teniendo en cuenta lo anterior, puede ser que la mejor solución (desde el punto de vista de alto riesgo) sea usar componentes altamente confiables y configurarlos para que el circuito esté seguro contra al menos una falla (preferiblemente más). Está claro que tal solución no es la más económica. En la práctica, el proceso de optimización es principalmente la consecuencia de todas estas influencias y consideraciones.
La experiencia con el uso práctico de las categorías muestra que rara vez es posible diseñar un sistema de control que pueda utilizar una sola categoría en todo momento. La combinación de dos o incluso tres partes, cada una de una categoría diferente, es típica, como se ilustra en el siguiente ejemplo:
Muchas barreras de luz de seguridad están diseñadas en la categoría 4, en la que un canal funciona con una señal dinámica. Al final de este sistema suele haber dos subcanales mutuamente supervisados que funcionan con señales estáticas. (Esto cumple con los requisitos para la Categoría 3.)
Según EN 50100, estas barreras de luz se clasifican como Dispositivos de protección electrosensibles de tipo 4, aunque se componen de dos partes. Desafortunadamente, no hay acuerdo sobre cómo denominar los sistemas de control que consisten en dos o más partes, cada parte de otra categoría.
Sistemas electrónicos programables (PES)
Los principios utilizados para crear la tabla 1 pueden, por supuesto, con ciertas restricciones, aplicarse también a los SPE.
Sistema solo PES
Al utilizar los PES para el control, la información se transfiere del sensor al activador a través de una gran cantidad de componentes. Más allá de eso, incluso pasa "a través" del software. (Ver figura 12).
Figura 12. Un circuito del sistema PES
Aunque los PES modernos son muy confiables, la confiabilidad no es tan alta como se requiere para procesar las funciones de seguridad. Más allá de eso, los sistemas PES habituales no son lo suficientemente seguros, ya que no realizarán la función relacionada con la seguridad en caso de falla. Por lo tanto, no se permite el uso de PES para el procesamiento de funciones de seguridad sin medidas adicionales.
Aplicaciones de muy bajo riesgo: Sistemas con un PES y medidas adicionales
Cuando se utiliza un solo PES para el control, el sistema consta de las siguientes partes principales:
Parte de entrada
La confiabilidad de un sensor y la entrada de un PES se puede mejorar duplicándolos. Tal configuración de entrada de doble sistema puede ser supervisada adicionalmente por software para verificar si ambos subsistemas están entregando la misma información. Así se pueden detectar los fallos en la parte de entrada. Esta es casi la misma filosofía que se requiere para la Categoría 3. Sin embargo, debido a que la supervisión se realiza mediante software y solo una vez, esto puede denominarse 3- (o no tan confiable como 3).
Parte media
Aunque esta parte no se puede duplicar bien, se puede probar. Al encender (o durante la operación), se puede realizar una verificación de todo el conjunto de instrucciones. A los mismos intervalos, la memoria también puede comprobarse mediante patrones de bits adecuados. Si dichas comprobaciones se llevan a cabo sin fallas, ambas partes, la CPU y la memoria, obviamente funcionan correctamente. La parte central tiene ciertas características típicas de la Categoría 4 (señal dinámica) y otras típicas de la Categoría 2 (pruebas realizadas regularmente a intervalos adecuados). El problema es que estas pruebas, a pesar de su extensión, no pueden ser realmente completas, ya que el sistema de un PES inherentemente no las permite.
Parte de salida
Similar a una entrada, la salida (incluidos los activadores) también se puede duplicar. Ambos subsistemas pueden ser supervisados con respecto al mismo resultado. Se detectarán los fallos y se ejecutará la función de seguridad. Sin embargo, hay los mismos puntos débiles que en la parte de entrada. En consecuencia, se elige la Categoría 3 en este caso.
En la figura 13 se lleva la misma función a los relés. A y B. Los contactos de mando a y b, luego informa a dos sistemas de entrada si ambos relés están haciendo el mismo trabajo (a menos que haya ocurrido una falla en uno de los canales). La supervisión se realiza nuevamente por software.
Figura 13. Un circuito PES con un sistema de detección de fallas
Todo el sistema puede describirse como Categoría 3-/4/2/3- si se realiza de manera adecuada y extensa. No obstante, los puntos débiles de tales sistemas como los descritos anteriormente no pueden eliminarse por completo. De hecho, los PES mejorados se utilizan realmente para funciones relacionadas con la seguridad solo cuando los riesgos son bastante bajos (Hölscher y Rader 1984).
Aplicaciones de bajo y medio riesgo con un PES
Hoy en día, casi todas las máquinas están equipadas con una unidad de control PES. Para resolver el problema de la confiabilidad insuficiente y, por lo general, la seguridad insuficiente contra fallas, se usan comúnmente los siguientes métodos de diseño:
Figura 14. Estado del arte para parada categoría 0
Figura 15. Estado del arte para parada categoría 1
Figura 16. Estado del arte para parada categoría 2
Aplicaciones de alto riesgo: sistemas con dos (o más) PES
Aparte de la complejidad y el costo, no hay otros factores que impidan que los diseñadores utilicen sistemas PES totalmente duplicados, como Siemens Simatic S5-115F, 3B6 Typ CAR-MIL, etc. Por lo general, estos incluyen dos PES idénticos con software homogéneo y asumen el uso de PES "bien probados" y compiladores "bien probados" (un PES o compilador bien probado puede considerarse uno que en muchas aplicaciones prácticas durante 3 o más años ha demostrado que los fallos sistemáticos han sido obviamente eliminados). Aunque estos sistemas de PSA doble no tienen los puntos débiles de los sistemas de PSA simple, esto no significa que los sistemas de PSA doble resuelvan todos los problemas. (Ver figura 17).
Figura 17. Sistema sofisticado con dos PES
Fallas Sistemáticas
Las fallas sistemáticas pueden deberse a errores en las especificaciones, el diseño y otras causas, y pueden estar presentes tanto en el hardware como en el software. Los sistemas de doble PES son adecuados para su uso en aplicaciones relacionadas con la seguridad. Tales configuraciones permiten la detección de fallas de hardware aleatorias. Mediante la diversidad de hardware, como el uso de dos tipos diferentes o productos de dos fabricantes diferentes, se podrían revelar fallas sistemáticas de hardware (es muy poco probable que ocurra una falla sistemática de hardware idéntica en ambos PES).
Software
El software es un elemento nuevo en las consideraciones de seguridad. El software es correcto o incorrecto (con respecto a las fallas). Una vez correcto, el software no puede volverse incorrecto instantáneamente (en comparación con el hardware). Los objetivos son erradicar todos los errores en el software o al menos identificarlos.
Hay varias formas de lograr este objetivo. uno es el verificación del programa (una segunda persona intenta descubrir los errores en una prueba posterior). Otra posibilidad es diversidad del software, en el que dos programas diferentes, escritos por dos programadores, abordan el mismo problema. Si los resultados son idénticos (dentro de ciertos límites), se puede suponer que ambas secciones del programa son correctas. Si los resultados son diferentes, se presume que hay errores. (Nota: El arquitectura del hardware naturalmente también debe ser considerado.)
Resumen
Cuando se utilizan PES, generalmente se deben tener en cuenta las mismas consideraciones básicas siguientes (como se describe en las secciones anteriores).
Un factor nuevo es que para el sistema con un PES, incluso el software debe evaluarse desde el punto de vista de la corrección. El software, si es correcto, es 100% fiable. En esta etapa de desarrollo tecnológico, probablemente no se utilizarán las mejores soluciones técnicas posibles y conocidas, ya que los factores limitantes siguen siendo económicos. Además, varios grupos de expertos continúan desarrollando los estándares para las aplicaciones de seguridad de los PES (p. ej., EC, EWICS). Aunque ya existen varios estándares disponibles (VDE0801, IEC65A, etc.), este tema es tan amplio y complejo que ninguno de ellos puede considerarse definitivo.
Cada vez que se automatiza un equipo de producción simple y convencional, como las máquinas herramienta, el resultado son sistemas técnicos complejos, así como nuevos peligros. Esta automatización se logra mediante el uso de sistemas de control numérico por computadora (CNC) en máquinas herramienta, llamados Máquinas herramientas CNC (por ejemplo, fresadoras, centros de mecanizado, taladros y rectificadoras). Para poder identificar los peligros potenciales inherentes a las herramientas automáticas, se deben analizar los distintos modos de funcionamiento de cada sistema. Los análisis realizados con anterioridad indican que se debe diferenciar entre dos tipos de funcionamiento: funcionamiento normal y funcionamiento especial.
A menudo es imposible prescribir los requisitos de seguridad para las máquinas herramienta CNC en forma de medidas específicas. Esto puede deberse a que existen muy pocas regulaciones y estándares específicos para el equipo que brinden soluciones concretas. Los requisitos de seguridad solo pueden determinarse si los posibles peligros se identifican sistemáticamente mediante la realización de un análisis de peligros, especialmente si estos sistemas técnicos complejos están equipados con sistemas de control libremente programables (como con las máquinas herramienta CNC).
En el caso de máquinas herramienta CNC de nuevo desarrollo, el fabricante está obligado a realizar un análisis de riesgos del equipo para identificar los peligros que puedan estar presentes y mostrar mediante soluciones constructivas que todos los peligros para las personas, en todos los Se eliminan diferentes modos de funcionamiento. Todos los peligros identificados deben someterse a una evaluación de riesgos en la que cada riesgo de un evento depende del alcance del daño y la frecuencia con la que puede ocurrir. Al peligro a evaluar también se le asigna una categoría de riesgo (minimizado, normal, aumentado). Siempre que no se pueda aceptar el riesgo sobre la base de la evaluación de riesgos, se deben encontrar soluciones (medidas de seguridad). El propósito de estas soluciones es reducir la frecuencia de ocurrencia y el alcance del daño de un incidente no planificado y potencialmente peligroso (un "evento").
Los enfoques de soluciones para riesgos normales y aumentados se encuentran en la tecnología de seguridad indirecta y directa; para minimizar los riesgos, se encuentran en la tecnología de seguridad de referencia:
Requisitos internacionales de seguridad
La Directiva de Máquinas de la CE (89/392/EEC) de 1989 establece los principales requisitos de seguridad y salud para las máquinas. (Según la Directiva de Máquinas, se considera que una máquina es la suma total de partes o dispositivos interconectados, de los cuales al menos uno se puede mover y, en consecuencia, tiene una función). Además, los organismos internacionales de normalización crean estándares individuales para ilustrar posibles soluciones (por ejemplo, atendiendo a aspectos fundamentales de seguridad, o examinando equipos eléctricos montados en maquinaria industrial). El objetivo de estas normas es especificar objetivos de protección. Estos requisitos de seguridad internacionales brindan a los fabricantes la base legal necesaria para especificar estos requisitos en los análisis de peligros y evaluaciones de riesgos mencionados anteriormente.
Modos de funcionamiento
Cuando se utilizan máquinas herramienta, se hace una diferenciación entre operación normal y operación especial. Las estadísticas y las investigaciones indican que la mayoría de los incidentes y accidentes no se producen en el funcionamiento normal (es decir, durante el cumplimiento automático de la misión en cuestión). Con este tipo de máquinas e instalaciones, se hace hincapié en modos especiales de funcionamiento, como la puesta en marcha, la configuración, la programación, las pruebas de funcionamiento, las comprobaciones, la resolución de problemas o el mantenimiento. En estos modos de funcionamiento, las personas suelen estar en una zona de peligro. El concepto de seguridad debe proteger al personal de eventos dañinos en este tipo de situaciones.
Operación normal
Lo siguiente se aplica a las máquinas automáticas cuando realizan una operación normal: (1) la máquina cumple la tarea para la que fue diseñada y construida sin ninguna intervención adicional por parte del operador, y (2) aplicado a una máquina de torneado simple, esto significa que un la pieza de trabajo se gira a la forma correcta y se producen virutas. Si la pieza de trabajo se cambia manualmente, el cambio de pieza de trabajo es un modo especial de operación.
Modos especiales de operación
Los modos especiales de funcionamiento son procesos de trabajo que permiten un funcionamiento normal. Bajo este epígrafe, por ejemplo, se incluirían cambios de pieza o herramienta, rectificación de un fallo en un proceso de producción, rectificación de un fallo de máquina, configuración, programación, pruebas de funcionamiento, limpieza y mantenimiento. En funcionamiento normal, los sistemas automáticos cumplen sus tareas de forma independiente. Sin embargo, desde el punto de vista de la seguridad en el trabajo, el funcionamiento normal automático se vuelve crítico cuando el operador tiene que intervenir en los procesos de trabajo. En ningún caso las personas que intervengan en dichos procesos podrán estar expuestas a peligros.
Personal
Se debe tener en cuenta a las personas que trabajan en los distintos modos de operación, así como a terceros cuando se protegen las máquinas herramienta. Los terceros también incluyen aquellos indirectamente relacionados con la máquina, tales como supervisores, inspectores, ayudantes para el transporte de material y trabajos de desmontaje, visitantes y otros.
Requisitos y medidas de seguridad para accesorios de máquinas
Las intervenciones para trabajos en modos de operación especiales significan que se deben usar accesorios especiales para garantizar que el trabajo se pueda realizar de manera segura. Él primer tipo de accesorios incluyen equipos y elementos utilizados para intervenir en el proceso automático sin que el operador tenga que acceder a una zona peligrosa. Este tipo de accesorio incluye (1) ganchos para virutas y tenazas que han sido diseñados de tal manera que las virutas en el área de mecanizado se pueden quitar o sacar a través de las aberturas provistas en los protectores de seguridad, y (2) dispositivos de sujeción de la pieza de trabajo con los que el material de producción se puede insertar o quitar manualmente de un ciclo automático
Varios modos especiales de operación, por ejemplo, trabajo de reparación o trabajo de mantenimiento, hacen que sea necesario que el personal intervenga en un sistema. También en estos casos, existe toda una gama de accesorios para máquinas diseñados para aumentar la seguridad en el trabajo, por ejemplo, dispositivos para manejar muelas abrasivas pesadas cuando estas últimas se cambian en rectificadoras, así como eslingas de grúa especiales para desmontar o montar componentes pesados cuando las máquinas están revisadas. Estos dispositivos son los segundo tipo de accesorio de máquina para aumentar la seguridad durante el trabajo en operaciones especiales. También se puede considerar que los sistemas de control de operaciones especiales representan un segundo tipo de accesorio de máquina. Ciertas actividades pueden llevarse a cabo de forma segura con dichos accesorios; por ejemplo, se puede configurar un dispositivo en los ejes de la máquina cuando los movimientos de avance son necesarios con las protecciones de seguridad abiertas.
Estos sistemas especiales de control de operaciones deben satisfacer requisitos particulares de seguridad. Por ejemplo, deben asegurarse de que solo el movimiento solicitado se realice en la forma solicitada y solo durante el tiempo solicitado. Por lo tanto, el sistema especial de control de operaciones debe diseñarse de manera que se evite que cualquier acción defectuosa se convierta en movimientos o estados peligrosos.
Los equipos que aumentan el grado de automatización de una instalación pueden ser considerados como tercer tipo de accesorios de la máquina para aumentar la seguridad en el trabajo. Las acciones que antes se realizaban manualmente las realiza automáticamente la máquina en funcionamiento normal, como equipos que incluyen cargadores de pórtico, que cambian automáticamente las piezas de trabajo en las máquinas herramienta. La salvaguardia del funcionamiento normal automático plantea pocos problemas porque no es necesaria la intervención de un operador en el curso de los acontecimientos y porque los dispositivos de seguridad pueden prevenir posibles intervenciones.
Requisitos y Medidas de Seguridad para la Automatización de Máquinas Herramienta
Desafortunadamente, la automatización no ha llevado a la eliminación de accidentes en las plantas de producción. Las investigaciones simplemente muestran un cambio en la ocurrencia de accidentes de operación normal a especial, principalmente debido a la automatización de la operación normal, de modo que las intervenciones en el curso de la producción ya no son necesarias y, por lo tanto, el personal ya no está expuesto a peligros. Por otro lado, las máquinas altamente automáticas son sistemas complejos que son difíciles de evaluar cuando ocurren fallas. Incluso los especialistas empleados para corregir averías no siempre pueden hacerlo sin incurrir en accidentes. La cantidad de software necesaria para operar máquinas cada vez más complejas está creciendo en volumen y complejidad, con el resultado de que un número cada vez mayor de ingenieros eléctricos y de puesta en marcha sufren accidentes. No existe el software perfecto, y los cambios en el software a menudo conducen a cambios en otros lugares que no se esperaban ni se deseaban. Para evitar que la seguridad se vea afectada, no deben ser posibles comportamientos defectuosos peligrosos causados por influencias externas y fallas de los componentes. Esta condición sólo puede cumplirse si el circuito de seguridad se diseña de la forma más sencilla posible y está separado del resto de los controles. Los elementos o subconjuntos utilizados en el circuito de seguridad también deben ser a prueba de fallas.
Es tarea del diseñador desarrollar diseños que satisfagan los requisitos de seguridad. El diseñador no puede evitar tener que considerar con sumo cuidado los procedimientos de trabajo necesarios, incluidos los modos especiales de funcionamiento. Se deben realizar análisis para determinar qué procedimientos de trabajo seguro son necesarios y el personal operativo debe familiarizarse con ellos. En la mayoría de los casos será necesario un sistema de control de funcionamiento especial. El sistema de control normalmente observa o regula un movimiento, mientras que, al mismo tiempo, no se debe iniciar ningún otro movimiento (ya que no se necesita ningún otro movimiento para este trabajo y, por lo tanto, el operador no espera ninguno). El sistema de control no tiene necesariamente que realizar las mismas asignaciones en los distintos modos de funcionamiento especial.
Requisitos y Medidas de Seguridad en Modos de Operación Normal y Especial
Operación normal
La especificación de objetivos de seguridad no debe impedir el progreso técnico porque se pueden seleccionar soluciones adaptadas. El uso de máquinas herramienta CNC impone exigencias máximas en el análisis de peligros, la evaluación de riesgos y los conceptos de seguridad. A continuación se describen varios objetivos de seguridad y posibles soluciones con mayor detalle.
objetivo de seguridad
Soluciones posibles
objetivo de seguridad
Solución posible
operación especial
Las interfaces entre el funcionamiento normal y el funcionamiento especial (p. ej., dispositivos de enclavamiento de puertas, barreras de luz, alfombras de seguridad) son necesarias para permitir que el sistema de control de seguridad reconozca automáticamente la presencia de personal. A continuación se describen ciertos modos de operación especiales (p. ej., configuración, programación) en máquinas herramienta CNC que requieren movimientos que deben evaluarse directamente en el sitio de operación.
Objetivos de seguridad
Solución posible
Exigencias de los sistemas de control de seguridad
Una de las características de un sistema de control de seguridad debe ser que se garantice que la función de seguridad funcione cada vez que surja cualquier falla para dirigir los procesos de un estado peligroso a un estado seguro.
Objetivos de seguridad
Soluciones posibles
Conclusión
Es evidente que la tendencia creciente de accidentes en modos de funcionamiento normales y especiales no se puede detener sin un concepto de seguridad claro e inequívoco. Este hecho debe tenerse en cuenta en la elaboración de normas y directrices de seguridad. Son necesarias nuevas directrices en forma de objetivos de seguridad para permitir soluciones avanzadas. Este objetivo permite a los diseñadores elegir la solución óptima para un caso específico y, al mismo tiempo, demostrar las características de seguridad de sus máquinas de una manera bastante sencilla al describir una solución para cada objetivo de seguridad. Luego, esta solución se puede comparar con otras soluciones existentes y aceptadas, y si es mejor o al menos de igual valor, se puede elegir una nueva solución. De esta manera, el progreso no se ve obstaculizado por regulaciones estrictamente formuladas.
Principales Características de la Directiva de Maquinaria de la CEE
La Directiva del Consejo del 14 de junio de 1989 sobre la aproximación de las legislaciones de los Estados miembros en materia de maquinaria (89/392/CEE) se aplica a cada estado individual.
Objetivos de seguridad para la construcción y el uso de máquinas herramienta CNC
1. Tornos
1.1 Modo normal de funcionamiento
1.1.1 El área de trabajo debe protegerse para que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos, ya sea intencionalmente o no.
1.1.2 El almacén de herramientas debe protegerse de manera que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos, ya sea intencionalmente o no.
1.1.3 El almacén de piezas debe protegerse de manera que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos, ya sea intencionalmente o no.
1.1.4 La extracción de virutas no debe provocar lesiones personales debido a las virutas o piezas móviles de la máquina.
1.1.5 Deben evitarse las lesiones personales resultantes de acceder a los sistemas de accionamiento.
1.1.6 Debe evitarse la posibilidad de acceder a las zonas de peligro de los transportadores de virutas en movimiento.
1.1.7 No se deben producir lesiones personales a los operadores oa terceros debido a la proyección de piezas de trabajo o partes de las mismas.
Por ejemplo, esto puede ocurrir
1.1.8 No se deben producir lesiones personales por el desprendimiento de elementos de sujeción de piezas de trabajo.
1.1.9 No deben producirse lesiones personales por las virutas que salgan volando.
1.1.10 No deben resultar lesiones personales por herramientas voladoras o partes de las mismas.
Por ejemplo, esto puede ocurrir
1.2 Modos especiales de funcionamiento
1.2.1 Cambio de piezas.
1.2.1.1 La sujeción de la pieza de trabajo se debe realizar de tal manera que ninguna parte del cuerpo quede atrapada entre los accesorios de sujeción de cierre y la pieza de trabajo o entre la punta del manguito de avance y la pieza de trabajo.
1.2.1.2 Debe evitarse el arranque de un accionamiento (husillos, ejes, manguitos, cabezales de torreta o transportadores de virutas) como consecuencia de un mando defectuoso o inválido.
1.2.1.3 Debe ser posible manipular la pieza de trabajo manualmente o con herramientas sin peligro.
1.2.2 Cambio de herramienta en portaherramientas o cabezal de torreta portaherramientas.
1.2.2.1 Debe evitarse el peligro resultante del comportamiento defectuoso del sistema o debido a la introducción de un comando no válido.
1.2.3 Cambio de herramienta en el almacén de herramientas.
1.2.3.1 Los movimientos en el almacén de herramientas resultantes de un comando defectuoso o inválido deben evitarse durante el cambio de herramientas.
1.2.3.2 No debe ser posible acceder a otras partes móviles de la máquina desde la estación de carga de herramientas.
1.2.3.3 No debe ser posible acceder a las zonas de peligro con el movimiento posterior del almacén de herramientas o durante la búsqueda. Si se realizan con las protecciones para el modo de funcionamiento normal quitadas, estos movimientos solo pueden ser del tipo designado y solo pueden llevarse a cabo durante el período de tiempo ordenado y solo cuando se puede garantizar que ninguna parte del cuerpo se encuentra en estas zonas de peligro. .
1.2.4 Comprobación de medidas.
1.2.4.1 Solo debe ser posible alcanzar el área de trabajo después de que todos los movimientos se hayan detenido.
1.2.4.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
1.2.5 Montaje.
1.2.5.1 Si los movimientos se ejecutan durante la configuración con las protecciones para el modo de operación normal quitadas, entonces el operador debe estar protegido por otros medios.
1.2.5.2 No se deben iniciar movimientos peligrosos o cambios de movimientos como resultado de un comando defectuoso o una entrada de comando inválida.
1.2.6 Programación.
1.2.6.1 No se podrán iniciar movimientos durante la programación que pongan en peligro a una persona en el área de trabajo.
1.2.7 Fallo de producción.
1.2.7.1 Debe evitarse el arranque de un variador como resultado de un comando defectuoso en un punto de ajuste de entrada de comando no válido.
1.2.7.2 No se iniciarán movimientos o situaciones peligrosas por el movimiento o remoción de la pieza de trabajo o desperdicio.
1.2.7.3 Cuando los movimientos deban tener lugar con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando pueda garantizarse que ninguna parte del cuerpo se encuentran en estas zonas de peligro.
1.2.8 Resolución de problemas.
1.2.8.1 Debe evitarse el acceso a las zonas de peligro de los movimientos automáticos.
1.2.8.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
1.2.8.3 Debe evitarse un movimiento de la máquina al manipular la pieza defectuosa.
1.2.8.4 Deben evitarse las lesiones personales que resulten de una parte de la máquina que se astille o se caiga.
1.2.8.5 Si, durante la resolución de problemas, se deben realizar movimientos con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando se pueda garantizar que ninguna parte del cuerpo se encuentra en estas zonas de peligro.
1.2.9 Mal funcionamiento y reparación de la máquina.
1.2.9.1 Se debe impedir el arranque de la máquina.
1.2.9.2 La manipulación de las diferentes partes de la máquina debe ser posible ya sea manualmente o con herramientas sin ningún peligro.
1.2.9.3 No debe ser posible tocar partes vivas de la máquina.
1.2.9.4 La emisión de medios fluidos o gaseosos no debe causar lesiones personales.
2. Fresadoras
2.1 Modo normal de funcionamiento
2.1.1 El área de trabajo debe protegerse para que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos, ya sea intencionalmente o no.
2.1.2 La extracción de virutas no debe provocar lesiones personales debido a las virutas o piezas móviles de la máquina.
2.1.3 Deben evitarse las lesiones personales resultantes de acceder a los sistemas de accionamiento.
No se deben producir lesiones personales a los operadores oa terceros debido a la proyección de piezas de trabajo o partes de las mismas.
Por ejemplo, esto puede ocurrir
2.1.4 No deben producirse lesiones personales por los dispositivos de sujeción de piezas de trabajo que salgan volando.
2.1.5 No deben producirse lesiones personales por las virutas que salgan volando.
2.1.6 No deben resultar lesiones personales por herramientas voladoras o partes de las mismas.
Por ejemplo, esto puede ocurrir
Modos especiales de operación
2.2.1 Cambio de piezas.
2.2.1.1 Cuando se utilicen dispositivos de sujeción accionados mecánicamente, no debe ser posible que partes del cuerpo queden atrapadas entre las partes de cierre del dispositivo de sujeción y la pieza de trabajo.
2.2.1.2 Debe evitarse el arranque de un accionamiento (cabezal, eje) como resultado de un comando defectuoso o una entrada de comando no válida.
2.2.1.3 La manipulación de la pieza debe ser posible manualmente o con herramientas sin ningún peligro.
2.2.2 Cambio de herramienta.
2.2.2.1 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
2.2.2.2 No debe ser posible que los dedos queden atrapados al colocar las herramientas.
2.2.3 Comprobación de medidas.
2.2.3.1 Solo debe ser posible alcanzar el área de trabajo después de que todos los movimientos se hayan detenido.
2.2.3.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
2.2.4 Montaje.
2.2.4.1 Si los movimientos se ejecutan durante el montaje con las protecciones para el modo de operación normal quitadas, el operador debe estar protegido por otros medios.
2.2.4.2 No se deben iniciar movimientos peligrosos o cambios de movimientos como resultado de un comando defectuoso o una entrada de comando inválida.
2.2.5 Programación.
2.2.5.1 No se deben iniciar movimientos durante la programación que pongan en peligro a una persona en el área de trabajo.
2.2.6 Fallo de producción.
2.2.6.1 Debe evitarse el arranque de la unidad como resultado de un comando defectuoso o una entrada de comando inválida.
2.2.6.2 No se deben iniciar movimientos o situaciones peligrosas por el movimiento o remoción de la pieza de trabajo o desperdicio.
2.2.6.3 Cuando los movimientos deban tener lugar con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando pueda garantizarse que ninguna parte del cuerpo se encuentran en estas zonas de peligro.
2.2.7 Resolución de problemas.
2.2.7.1 Debe evitarse el acceso a las zonas de peligro de los movimientos automáticos.
2.2.7.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
2.2.7.3 Debe evitarse cualquier movimiento de la máquina al manipular la pieza defectuosa.
2.2.7.4 Deben evitarse las lesiones personales que resulten de una parte de la máquina que se astille o se caiga.
2.2.7.5 Si, durante la resolución de problemas, se deben realizar movimientos con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando se pueda garantizar que ninguna parte del cuerpo se encuentra en estas zonas de peligro.
2.2.8 Mal funcionamiento y reparación de la máquina.
2.2.8.1 Debe evitarse el arranque de la máquina.
2.2.8.2 La manipulación de las diferentes partes de la máquina debe ser posible manualmente o con herramientas sin ningún peligro.
2.2.8.3 No debe ser posible tocar partes vivas de la máquina.
2.2.8.4 La emisión de medios fluidos o gaseosos no debe causar lesiones personales.
3. Centros de mecanizado
3.1 Modo normal de funcionamiento
3.1.1 El área de trabajo debe estar protegida de manera que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos, ya sea intencionalmente o no.
3.1.2 El almacén de herramientas debe estar protegido de manera que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos.
3.1.3 El almacén de piezas debe estar protegido de manera que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos.
3.1.4 La extracción de virutas no debe provocar lesiones personales debido a las virutas o piezas móviles de la máquina.
3.1.5 Deben evitarse las lesiones personales resultantes de acceder a los sistemas de accionamiento.
3.1.6 Debe evitarse la posibilidad de acceder a las zonas de peligro de los transportadores de virutas en movimiento (sinfín transportador, etc.).
3.1.7 No se deben producir lesiones personales a los operadores oa terceros debido a la proyección de piezas de trabajo o partes de las mismas.
Por ejemplo, esto puede ocurrir
3.1.8 No deben producirse lesiones personales por los dispositivos de sujeción de piezas de trabajo que salgan volando.
3.1.9 No deben producirse lesiones personales por las virutas que salgan volando.
3.1.10 No deben resultar lesiones personales por herramientas voladoras o partes de las mismas.
Por ejemplo, esto puede ocurrir
3.2 Modos especiales de funcionamiento
3.2.1 Cambio de piezas.
3.2.1.1 Cuando se utilicen dispositivos de sujeción accionados mecánicamente, no debe ser posible que partes del cuerpo queden atrapadas entre las partes de cierre del dispositivo de sujeción y la pieza de trabajo.
3.2.1.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
3.2.1.3 Debe ser posible manipular la pieza de trabajo manualmente o con herramientas sin ningún peligro.
3.2.1.4 Cuando se cambien piezas de trabajo en una estación de sujeción, no debe ser posible desde esta ubicación alcanzar o entrar en secuencias de movimiento automáticas de la máquina o el almacén de piezas de trabajo. El control no debe iniciar ningún movimiento mientras haya una persona presente en la zona de sujeción. La inserción automática de la pieza de trabajo sujetada en la máquina o en el depósito de piezas de trabajo solo debe tener lugar cuando la estación de sujeción también está protegida con un sistema de protección correspondiente al modo de funcionamiento normal.
3.2.2 Cambio de herramienta en el cabezal.
3.2.2.1 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
3.2.2.2 No debe ser posible que los dedos queden atrapados al colocar las herramientas.
3.2.3 Cambio de herramienta en almacén de herramientas.
3.2.3.1 Los movimientos en el almacén de herramientas resultantes de comandos defectuosos o entrada de comandos no válidos deben evitarse durante el cambio de herramientas.
3.2.3.2 No debe ser posible acceder a otras partes móviles de la máquina desde la estación de carga de herramientas.
3.2.3.3 No debe ser posible acceder a las zonas de peligro con el movimiento posterior del almacén de herramientas o durante la búsqueda. Si se llevan a cabo con las protecciones para el modo normal de operación quitadas, estos movimientos solo pueden ser del tipo designado y solo pueden ejecutarse durante el período de tiempo ordenado y solo cuando se puede asegurar que ninguna parte del cuerpo se encuentra en estas zonas de peligro. .
3.2.4 Comprobación de medidas.
3.2.4.1 Solo debe ser posible alcanzar el área de trabajo después de que todos los movimientos se hayan detenido.
3.2.4.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
3.2.5 Montaje.
3.2.5.1 Si los movimientos se ejecutan durante la configuración con las protecciones para el modo de operación normal quitadas, entonces el operador debe estar protegido por otros medios.
3.2.5.2 No se deben iniciar movimientos peligrosos o cambios de movimiento como resultado de un comando defectuoso o una entrada de comando inválida.
3.2.6 Programación.
3.2.6.1 No se deben iniciar movimientos durante la programación que pongan en peligro a una persona en el área de trabajo.
3.2.7 Fallo de producción.
3.2.7.1 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
3.2.7.2 No se deben iniciar movimientos o situaciones peligrosas por el movimiento o remoción de la pieza de trabajo o desperdicio.
3.2.7.3 Cuando los movimientos deban tener lugar con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando pueda garantizarse que ninguna parte del cuerpo se encuentran en estas zonas de peligro.
3.2.8 Resolución de problemas.
3.2.8.1 Debe evitarse el acceso a las zonas de peligro de los movimientos automáticos.
3.2.8.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
3.2.8.3 Debe evitarse cualquier movimiento de la máquina al manipular la pieza defectuosa.
3.2.8.4 Deben evitarse las lesiones personales que resulten de una parte de la máquina que se astille o se caiga.
3.2.8.5 Si, durante la resolución de problemas, se deben realizar movimientos con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando se pueda garantizar que ninguna parte del cuerpo se encuentra en estas zonas de peligro.
3.2.9 Mal funcionamiento y reparación de la máquina.
3.2.9.1 Debe evitarse el arranque de la máquina.
3.2.9.2 La manipulación de las diferentes partes de la máquina debe ser posible manualmente o con herramientas sin ningún peligro.
3.2.9.3 No debe ser posible tocar partes vivas de la máquina.
3.2.9.4 La emisión de medios fluidos o gaseosos no debe causar lesiones personales.
4. Rectificadoras
4.1 Modo normal de funcionamiento
4.1.1 El área de trabajo debe protegerse para que sea imposible alcanzar o pisar las zonas de peligro de los movimientos automáticos, ya sea intencionalmente o no.
4.1.2 Deben evitarse las lesiones personales resultantes de acceder a los sistemas de accionamiento.
4.1.3 No se deben producir lesiones personales a los operadores oa terceros debido a la proyección de piezas de trabajo o partes de las mismas.
Por ejemplo, esto puede ocurrir
4.1.4 No deben producirse lesiones personales por los dispositivos de sujeción de piezas de trabajo que salgan volando.
4.1.5 Las chispas no deben provocar lesiones personales ni incendios.
4.1.6 No se deben producir lesiones personales por las piezas volantes de las muelas abrasivas.
Por ejemplo, esto puede ocurrir
Modos especiales de operación
4.2.1 Cambio de piezas.
4.2.1.1 Cuando se utilicen dispositivos de sujeción accionados mecánicamente, no debe ser posible que partes del cuerpo queden atrapadas entre las partes de cierre del dispositivo de sujeción y la pieza de trabajo.
4.2.1.2 Debe evitarse el arranque de un accionamiento de alimentación como resultado de un comando defectuoso o una entrada de comando no válida.
4.2.1.3 Se deben evitar lesiones personales causadas por la muela abrasiva giratoria al manipular la pieza de trabajo.
4.2.1.4 No deben ser posibles las lesiones personales resultantes de una muela abrasiva que revienta.
4.2.1.5 La manipulación de la pieza debe ser posible manualmente o con herramientas sin ningún peligro.
4.2.2 Cambio de herramienta (cambio de muela abrasiva)
4.2.2.1 Debe evitarse el arranque de un accionamiento de avance como resultado de un comando defectuoso o una entrada de comando inválida.
4.2.2.2 Las lesiones personales causadas por la muela abrasiva giratoria no deben ser posibles durante los procedimientos de medición.
4.2.2.3 No deben ser posibles las lesiones personales resultantes de una muela abrasiva que revienta.
4.2.3 Comprobación de medidas.
4.2.3.1 Debe evitarse el arranque de un accionamiento de alimentación como resultado de un comando defectuoso o una entrada de comando no válida.
4.2.3.2 Las lesiones personales causadas por la muela abrasiva giratoria no deben ser posibles durante los procedimientos de medición.
4.2.3.3 No deben ser posibles las lesiones personales resultantes de una muela abrasiva que revienta.
4.2.4. Configuración.
4.2.4.1 Si los movimientos se ejecutan durante la configuración con las protecciones para el modo de operación normal quitadas, entonces el operador debe estar protegido por otros medios.
4.2.4.2 No se deben iniciar movimientos peligrosos o cambios de movimiento como resultado de un comando defectuoso o una entrada de comando inválida.
4.2.5 Programación.
4.2.5.1 No se deben iniciar movimientos durante la programación que pongan en peligro a una persona en el área de trabajo.
4.2.6 Fallo de producción.
4.2.6.1 Debe evitarse el arranque de un accionamiento de alimentación como resultado de un comando defectuoso o una entrada de comando no válida.
4.2.6.2 No se deben iniciar movimientos o situaciones peligrosas por el movimiento o remoción de la pieza de trabajo o desperdicio.
4.2.6.3 Cuando los movimientos deban tener lugar con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando pueda garantizarse que ninguna parte del cuerpo se encuentran en estas zonas de peligro.
4.2.6.4 Deben evitarse lesiones personales causadas por la muela abrasiva giratoria.
4.2.6.5 No deben ser posibles las lesiones personales resultantes de una muela abrasiva que revienta.
4.2.7 Resolución de problemas.
4.2.7.1 Debe evitarse el acceso a las zonas de peligro de los movimientos automáticos.
4.2.7.2 Debe evitarse el arranque de un accionamiento como resultado de un comando defectuoso o una entrada de comando no válida.
4.2.7.3 Debe evitarse cualquier movimiento de la máquina al manipular la pieza defectuosa.
4.2.7.4 Deben evitarse las lesiones personales que resulten de una parte de la máquina que se astille o se caiga.
4.2.7.5 Deben evitarse las lesiones personales provocadas por el contacto del operador o por el estallido de la muela abrasiva giratoria.
4.2.7.6 Si, durante la resolución de problemas, se deben realizar movimientos con las protecciones para el modo normal de operación quitadas, estos movimientos solo podrán ser del tipo designado y solo se ejecutarán durante el período de tiempo ordenado y solo cuando se pueda garantizar que ninguna parte del cuerpo se encuentra en estas zonas de peligro.
4.2.8 Mal funcionamiento y reparación de la máquina.
4.2.8.1 Debe evitarse el arranque de la máquina.
4.2.8.2 La manipulación de las diferentes partes de la máquina debe ser posible manualmente o con herramientas sin ningún peligro.
4.2.8.3 No debe ser posible tocar partes vivas de la máquina.
4.2.8.4 La emisión de medios fluidos o gaseosos no debe causar lesiones personales.
Los robots industriales se encuentran en toda la industria dondequiera que se deban satisfacer demandas de alta productividad. El uso de robots, sin embargo, requiere el diseño, aplicación e implementación de los controles de seguridad apropiados para evitar la creación de peligros para el personal de producción, programadores, especialistas en mantenimiento e ingenieros de sistemas.
¿Por qué son peligrosos los robots industriales?
Una definición de robots es “máquinas automáticas en movimiento que son libremente programables y pueden operar con poca o ninguna interfaz humana”. Este tipo de máquinas se utilizan actualmente en una amplia variedad de aplicaciones en la industria y la medicina, incluida la formación. Los robots industriales se utilizan cada vez más para funciones clave, como nuevas estrategias de fabricación (CIM, JIT, producción ajustada, etc.) en instalaciones complejas. Su número y amplitud de aplicaciones y la complejidad de los equipos e instalaciones dan como resultado peligros como los siguientes:
Investigaciones en Japón indican que más del 50% de los accidentes laborales con robots pueden atribuirse a fallas en los circuitos electrónicos del sistema de control. En las mismas investigaciones, el “error humano” fue responsable de menos del 20%. La conclusión lógica de este hallazgo es que los peligros causados por fallas del sistema no pueden evitarse mediante medidas de comportamiento tomadas por los seres humanos. Por lo tanto, los diseñadores y operadores deben proporcionar e implementar medidas técnicas de seguridad (ver figura 1).
Figura 1. Sistema de control operativo especial para la configuración de un robot de soldadura móvil
Accidentes y Modos de Operación
Los accidentes fatales que involucran robots industriales comenzaron a ocurrir a principios de la década de 1980. Las estadísticas e investigaciones indican que la mayoría de los incidentes y accidentes no se producen en el funcionamiento normal (cumplimiento automático del encargo correspondiente). Cuando se trabaja con máquinas e instalaciones de robots industriales, se hace hincapié en los modos de funcionamiento especiales, como la puesta en marcha, la configuración, la programación, las pruebas, las comprobaciones, la resolución de problemas o el mantenimiento. En estos modos de funcionamiento, las personas suelen estar en una zona de peligro. El concepto de seguridad debe proteger al personal de eventos negativos en este tipo de situaciones.
Requisitos internacionales de seguridad
La Directiva de Maquinaria de la CEE de 1989 (89/392/CEE) (consulte el artículo “Principios de seguridad para máquinas herramienta CNC” en este capítulo y en otras partes de este Enciclopedia)) establece los principales requisitos de seguridad y salud de las máquinas. Se considera que una máquina es la suma total de partes o dispositivos interrelacionados, de los cuales al menos una parte o dispositivo puede moverse y, en consecuencia, tiene una función. En lo que respecta a los robots industriales, debe tenerse en cuenta que todo el sistema, no solo un único equipo en la máquina, debe cumplir con los requisitos de seguridad y estar equipado con los dispositivos de seguridad adecuados. El análisis de peligros y la evaluación de riesgos son métodos adecuados para determinar si se han cumplido estos requisitos (véase la figura 2).
Figura 2. Diagrama de bloques para un sistema de seguridad del personal
Requisitos y medidas de seguridad en funcionamiento normal
El uso de la tecnología robótica impone exigencias máximas en el análisis de peligros, la evaluación de riesgos y los conceptos de seguridad. Por esta razón, los siguientes ejemplos y sugerencias pueden servir solo como pautas:
1. Dado el objetivo de seguridad de que debe evitarse el acceso manual o físico a áreas peligrosas que involucren movimientos automáticos, las soluciones sugeridas incluyen las siguientes:
2. Dado el objetivo de seguridad de que ninguna persona resulte lesionada como resultado de la liberación de energía (piezas voladoras o haces de energía), las soluciones sugeridas incluyen:
3. Las interfaces entre el funcionamiento normal y el funcionamiento especial (p. ej., dispositivos de enclavamiento de puertas, barreras de luz, tapetes de seguridad) son necesarias para permitir que el sistema de control de seguridad reconozca automáticamente la presencia de personal.
Exigencias y Medidas de Seguridad en Modos Especiales de Operación
Ciertos modos de operación especiales (por ejemplo, configuración, programación) en un robot industrial requieren movimientos que deben evaluarse directamente en el sitio de operación. El objetivo de seguridad relevante es que ningún movimiento pueda poner en peligro a las personas involucradas. Los movimientos deben ser
Una solución sugerida para este objetivo podría involucrar el uso de sistemas especiales de control operativo que permitan solo movimientos controlables y manejables usando controles reconocibles. De este modo, la velocidad de los movimientos se reduce de manera segura (reducción de energía mediante la conexión de un transformador de aislamiento o el uso de un equipo de monitoreo de estado a prueba de fallas) y se reconoce la condición segura antes de permitir que se active el control (consulte la figura 3).
Figura 3. Robot industrial de seis ejes en una jaula de seguridad con puertas de material
Exigencias de los sistemas de control de seguridad
Una de las características de un sistema de control de seguridad debe ser que la función de seguridad requerida esté garantizada para funcionar siempre que surja cualquier falla. Las máquinas robóticas industriales deben ser dirigidas casi instantáneamente de un estado peligroso a un estado seguro. Las medidas de control de seguridad necesarias para lograr esto incluyen los siguientes objetivos de seguridad:
Las soluciones sugeridas para proporcionar sistemas de control de seguridad confiables serían:
Objetivos de Seguridad para la Construcción y Uso de Robots Industriales.
Cuando se construyen y utilizan robots industriales, tanto los fabricantes como los usuarios deben instalar controles de seguridad de última generación. Aparte del aspecto de la responsabilidad legal, también puede haber una obligación moral de garantizar que la tecnología robótica sea también una tecnología segura.
Modo de funcionamiento normal
Se deben proporcionar las siguientes condiciones de seguridad cuando las máquinas robóticas funcionan en el modo normal:
Modos de operación especiales
Se deben proporcionar las siguientes condiciones de seguridad cuando las máquinas robóticas funcionan en modos especiales:
Durante la subsanación de una avería en el proceso de producción debe evitarse lo siguiente:
Se deben garantizar las siguientes condiciones de seguridad durante la instalación:
No se pueden iniciar movimientos peligrosos como resultado de un comando defectuoso o entrada de comando incorrecta.
Durante la programación, se aplican las siguientes condiciones de seguridad:
Las operaciones de prueba seguras requieren las siguientes precauciones:
Impedir el acceso manual o físico a zonas peligrosas por movimientos automáticos.
Al inspeccionar máquinas robóticas, los procedimientos seguros incluyen lo siguiente:
La solución de problemas a menudo requiere poner en marcha la máquina robot mientras se encuentra en una condición potencialmente peligrosa, y se deben implementar procedimientos especiales de trabajo seguro como los siguientes:
La reparación de una falla y el trabajo de mantenimiento también pueden requerir la puesta en marcha mientras la máquina se encuentra en condiciones inseguras y, por lo tanto, requieren las siguientes precauciones:
Este artículo analiza el diseño y la implementación de sistemas de control relacionados con la seguridad que se ocupan de todo tipo de sistemas eléctricos, electrónicos y electrónicos programables (incluidos los sistemas basados en computadora). El enfoque general está de acuerdo con la Norma 1508 de la Comisión Electrotécnica Internacional (IEC) propuesta (Seguridad funcional: relacionada con la seguridad
Todas las funciones a su disposición) (CEI 1993).
Antecedentes
Durante la década de 1980, los sistemas basados en computadora, denominados genéricamente sistemas electrónicos programables (PES), se usaban cada vez más para llevar a cabo funciones de seguridad. Las principales fuerzas impulsoras detrás de esta tendencia fueron (1) la funcionalidad mejorada y los beneficios económicos (particularmente considerando el ciclo de vida total del dispositivo o sistema) y (2) el beneficio particular de ciertos diseños, que solo podían realizarse cuando se usaba tecnología informática. . Durante la introducción temprana de los sistemas basados en computadora se hicieron una serie de hallazgos:
Para resolver estos problemas, varios organismos publicaron o comenzaron a desarrollar pautas para permitir la explotación segura de la tecnología PSA. En el Reino Unido, el Ejecutivo de Salud y Seguridad (HSE) desarrolló pautas para sistemas electrónicos programables utilizados para aplicaciones relacionadas con la seguridad, y en Alemania se publicó un proyecto de norma (DIN 1990). Dentro de la Comunidad Europea, se inició un elemento importante en el trabajo sobre normas europeas armonizadas relacionadas con los sistemas de control relacionados con la seguridad (incluidos los que emplean PES) en relación con los requisitos de la Directiva de máquinas. En los Estados Unidos, la Sociedad de Instrumentos de América (ISA) ha producido un estándar sobre PES para su uso en las industrias de procesos, y el Centro para la Seguridad de Procesos Químicos (CCPS), una dirección del Instituto Americano de Ingenieros Químicos, ha elaborado directrices para el sector de procesos químicos.
Actualmente se está llevando a cabo una importante iniciativa de estándares dentro de IEC para desarrollar un estándar internacional de base genérica para sistemas relacionados con la seguridad eléctricos, electrónicos y electrónicos programables (E/E/PES) que podría ser utilizado por muchos sectores de aplicaciones, incluido el proceso, sector médico, transporte y maquinaria. La norma internacional IEC propuesta consta de siete partes bajo el título general IEC 1508. Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Las distintas partes son las siguientes:
Cuando esté finalizada, esta norma internacional de base genérica constituirá una publicación de seguridad básica de IEC que cubrirá la seguridad funcional para sistemas eléctricos, electrónicos y electrónicos programables relacionados con la seguridad y tendrá implicaciones para todas las normas de IEC, cubriendo todos los sectores de aplicación con respecto al diseño y uso futuros de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Un objetivo principal de la norma propuesta es facilitar el desarrollo de normas para los diversos sectores (ver figura 1).
Figura 1. Normas genéricas y sectoriales de aplicación
Beneficios y problemas del PSA
La adopción de PES con fines de seguridad tenía muchas ventajas potenciales, pero se reconoció que estas se lograrían solo si se usaban metodologías de diseño y evaluación apropiadas, porque: (1) muchas de las características de los PES no permiten la integridad de la seguridad (que es decir, el rendimiento de seguridad de los sistemas que llevan a cabo las funciones de seguridad requeridas) que debe predecirse con el mismo grado de confianza que tradicionalmente ha estado disponible para sistemas menos complejos basados en hardware ("cableados"); (2) se reconoció que, si bien las pruebas eran necesarias para sistemas complejos, no eran suficientes por sí solas. Esto significaba que incluso si el PES estaba implementando funciones de seguridad relativamente simples, el nivel de complejidad de la electrónica programable era significativamente mayor que el de los sistemas cableados que estaban reemplazando; y (3) este aumento en la complejidad significó que las metodologías de diseño y evaluación tuvieron que ser mucho más consideradas que antes, y que el nivel de competencia personal requerido para lograr niveles adecuados de desempeño de los sistemas relacionados con la seguridad fue posteriormente mayor.
Los beneficios de los PES basados en computadora incluyen lo siguiente:
El uso de sistemas informáticos en aplicaciones relacionadas con la seguridad crea una serie de problemas que deben abordarse adecuadamente, como los siguientes:
Sistemas de seguridad bajo consideración
Los tipos de sistemas relacionados con la seguridad que se están considerando son los sistemas eléctricos, electrónicos y electrónicos programables (E/E/PES). El sistema incluye todos los elementos, en particular las señales que se extienden desde los sensores o desde otros dispositivos de entrada en el equipo bajo control, y se transmiten a través de autopistas de datos u otras vías de comunicación a los actuadores u otros dispositivos de salida (consulte la figura 2).
Figura 2. Sistema eléctrico, electrónico y electrónico programable (E/E/PES)
El término dispositivo eléctrico, electrónico y electrónico programable se ha utilizado para abarcar una amplia variedad de dispositivos y cubre las siguientes tres clases principales:
Por definición, un sistema relacionado con la seguridad tiene dos propósitos:
Este concepto se ilustra en la figura 3.
Figura 3. Características clave de los sistemas relacionados con la seguridad
Fallos del sistema
Para garantizar el funcionamiento seguro de los sistemas relacionados con la seguridad de E/E/PES, es necesario reconocer las diversas causas posibles de falla del sistema relacionado con la seguridad y garantizar que se toman las precauciones adecuadas contra cada una. Las fallas se clasifican en dos categorías, como se ilustra en la figura 4.
Figura 4. Categorías de falla
Protección de sistemas relacionados con la seguridad
Los términos que se utilizan para indicar las medidas de precaución requeridas por un sistema relacionado con la seguridad para proteger contra fallas aleatorias de hardware y fallas sistemáticas son medidas de integridad de seguridad del hardware y medidas sistemáticas de integridad de la seguridad respectivamente. Las medidas de precaución que un sistema relacionado con la seguridad puede aplicar contra fallas aleatorias de hardware y fallas sistemáticas se denominan integridad de seguridad. Estos conceptos se ilustran en la figura 5.
Figura 5. Términos de desempeño de seguridad
Dentro de la norma internacional propuesta IEC 1508 hay cuatro niveles de integridad de seguridad, denominados Niveles de integridad de seguridad 1, 2, 3 y 4. El Nivel de integridad de seguridad 1 es el nivel de integridad de seguridad más bajo y el Nivel de integridad de seguridad 4 es el más alto. El Nivel de integridad de la seguridad (ya sea 1, 2, 3 o 4) para el sistema relacionado con la seguridad dependerá de la importancia del papel que desempeña el sistema relacionado con la seguridad para lograr el nivel de seguridad requerido para el equipo bajo control. Pueden ser necesarios varios sistemas relacionados con la seguridad, algunos de los cuales pueden estar basados en tecnología neumática o hidráulica.
Diseño de Sistemas Relacionados con la Seguridad
Un análisis reciente de 34 incidentes relacionados con los sistemas de control (HSE) encontró que el 60 % de todos los casos de falla habían sido "incorporados" antes de que se pusiera en uso el sistema de control relacionado con la seguridad (figura 7). Es necesario tener en cuenta todas las fases del ciclo de vida de la seguridad si se van a producir sistemas adecuados relacionados con la seguridad.
Figura 7. Causa principal (por fase) de falla del sistema de control
La seguridad funcional de los sistemas relacionados con la seguridad depende no solo de garantizar que los requisitos técnicos se especifiquen correctamente, sino también de garantizar que los requisitos técnicos se implementen de manera efectiva y que la integridad del diseño inicial se mantenga durante toda la vida útil del equipo. Esto se puede lograr solo si se cuenta con un sistema de gestión de la seguridad eficaz y si las personas involucradas en cualquier actividad son competentes con respecto a las funciones que tienen que realizar. En particular, cuando se trata de sistemas complejos relacionados con la seguridad, es esencial contar con un sistema de gestión de la seguridad adecuado. Esto lleva a una estrategia que asegura lo siguiente:
Para abordar todos los requisitos técnicos relevantes de la seguridad funcional de manera sistemática, se ha desarrollado el concepto del ciclo de vida de la seguridad. En la figura 1508 se muestra una versión simplificada del ciclo de vida de seguridad en la norma internacional emergente IEC 8. Las fases clave del ciclo de vida de seguridad son:
Figura 8. Papel del ciclo de vida de la seguridad en el logro de la seguridad funcional
Nivel de seguridad
La estrategia de diseño para el logro de niveles adecuados de integridad de la seguridad para los sistemas relacionados con la seguridad se ilustra en la figura 9 y la figura 10. Un nivel de integridad de la seguridad se basa en el papel que desempeña el sistema relacionado con la seguridad en el logro del nivel general. de seguridad para el equipo bajo control. El nivel de integridad de seguridad especifica las precauciones que deben tenerse en cuenta en el diseño contra fallas aleatorias de hardware y sistemáticas.
Figura 9. Rol de los niveles de integridad de la seguridad en el proceso de diseño
Figura 10. Papel del ciclo de vida de la seguridad en el proceso de especificación y diseño
El concepto de seguridad y nivel de seguridad se aplica al equipo bajo control. El concepto de seguridad funcional se aplica a los sistemas relacionados con la seguridad. Debe lograrse la seguridad funcional de los sistemas relacionados con la seguridad si se quiere lograr un nivel adecuado de seguridad para el equipo que genera el peligro. El nivel de seguridad especificado para una situación específica es un factor clave en la especificación de requisitos de integridad de seguridad para los sistemas relacionados con la seguridad.
El nivel de seguridad requerido dependerá de muchos factores, por ejemplo, la gravedad de la lesión, la cantidad de personas expuestas al peligro, la frecuencia con la que las personas están expuestas al peligro y la duración de la exposición. Los factores importantes serán la percepción y las opiniones de las personas expuestas al evento peligroso. Para llegar a lo que constituye un nivel apropiado de seguridad para una aplicación específica, se consideran una serie de entradas, que incluyen lo siguiente:
Resumen
Al diseñar y utilizar sistemas relacionados con la seguridad, debe recordarse que es el equipo bajo control el que crea el peligro potencial. Los sistemas relacionados con la seguridad están diseñados para reducir la frecuencia (o probabilidad) del evento peligroso y/o las consecuencias del evento peligroso. Una vez que se ha establecido el nivel de seguridad para el equipo, se puede determinar el nivel de integridad de seguridad para el sistema relacionado con la seguridad, y es el nivel de integridad de seguridad lo que le permite al diseñador especificar las precauciones que deben incorporarse en el diseño para implementarse contra fallas aleatorias de hardware y sistemáticas.
La maquinaria, las plantas de proceso y otros equipos pueden, si funcionan mal, presentar riesgos de eventos peligrosos como incendios, explosiones, sobredosis de radiación y piezas móviles. Una de las formas en que tales plantas, equipos y maquinaria pueden funcionar mal es por fallas de los dispositivos electromecánicos, electrónicos y electrónicos programables (E/E/PE) utilizados en el diseño de sus sistemas de control o seguridad. Estas fallas pueden surgir de fallas físicas en el dispositivo (p. ej., del desgaste que ocurre aleatoriamente en el tiempo (fallas aleatorias de hardware)); o de fallas sistemáticas (p. ej., errores cometidos en la especificación y el diseño de un sistema que hacen que falle debido a (1) alguna combinación particular de entradas, (2) alguna condición ambiental, (3) entradas incorrectas o incompletas de los sensores, ( 4) ingreso de datos incompletos o erróneos por parte de los operadores, y (5) fallas sistemáticas potenciales debido a un diseño deficiente de la interfaz).
Fallas de los sistemas relacionados con la seguridad
Este artículo cubre la seguridad funcional de los sistemas de control relacionados con la seguridad y considera los requisitos técnicos de hardware y software necesarios para lograr la integridad de seguridad requerida. El enfoque general está de acuerdo con la norma propuesta de la Comisión Electrotécnica Internacional IEC 1508, Partes 2 y 3 (IEC 1993). El objetivo general del proyecto de norma internacional IEC 1508, Seguridad funcional: sistemas relacionados con la seguridad, es garantizar que la planta y el equipo se puedan automatizar de forma segura. Un objetivo clave en el desarrollo de la norma internacional propuesta es prevenir o minimizar la frecuencia de:
El artículo “Sistemas relacionados con la seguridad eléctricos, electrónicos y electrónicos programables” establece el enfoque general de gestión de seguridad incorporado en la Parte 1 de IEC 1508 para garantizar la seguridad de los sistemas de control y protección que son importantes para la seguridad. Este artículo describe el diseño de ingeniería conceptual general que se necesita para reducir el riesgo de un accidente a un nivel aceptable, incluida la función de cualquier sistema de control o protección basado en tecnología E/E/PE.
En la figura 1, el riesgo del equipo, planta de proceso o máquina (generalmente denominado equipo bajo control (EUC) sin dispositivos de protección) está marcado en un extremo de la escala de riesgo de EUC, y el nivel objetivo de riesgo que se necesita para alcanzar el nivel de seguridad requerido está en el otro extremo. En el medio se muestra la combinación de sistemas relacionados con la seguridad e instalaciones externas de reducción de riesgos necesarios para compensar la reducción de riesgos requerida. Estos pueden ser de varios tipos: mecánicos (p. ej., válvulas de alivio de presión), hidráulicos, neumáticos, físicos, así como sistemas E/E/PE. La Figura 2 enfatiza el papel de cada capa de seguridad en la protección del EUC a medida que avanza el accidente.
Figura 1. Reducción de riesgos: Conceptos generales
Figura 2. Modelo general: Capas de protección
Siempre que se haya realizado un análisis de peligros y riesgos en el EUC como se requiere en la Parte 1 de IEC 1508, se ha establecido el diseño conceptual general para la seguridad y, por lo tanto, las funciones requeridas y el nivel de integridad de seguridad (SIL) objetivo para cualquier E/E/ Se ha definido un sistema de control o protección de PE. El objetivo del nivel de integridad de la seguridad se define con respecto a una medida de falla objetivo (consulte la tabla 1).
Tabla 1. Niveles de integridad de seguridad para sistemas de protección: medidas de falla objetivo
Nivel de Integridad Seguro Modo de operación bajo demanda (Probabilidad de falla en realizar su función de diseño bajo demanda)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Sistemas de proteccion
Este documento describe los requisitos técnicos que el diseñador de un sistema relacionado con la seguridad E/E/PE debe tener en cuenta para satisfacer el objetivo de nivel de integridad de seguridad requerido. El enfoque está en un sistema de protección típico que utiliza electrónica programable para permitir una discusión más profunda de los problemas clave con poca pérdida de generalidad. En la figura 3 se muestra un sistema de protección típico, que representa un sistema de seguridad de un solo canal con un apagado secundario activado a través de un dispositivo de diagnóstico. En funcionamiento normal, la condición insegura del EUC (p. ej., exceso de velocidad en una máquina, alta temperatura en una planta química) será detectada por el sensor y transmitida a la electrónica programable, que ordenará a los actuadores (a través de los relés de salida) que pongan el sistema a un estado seguro (p. ej., quitando energía al motor eléctrico de la máquina, abriendo una válvula para aliviar la presión).
Figura 3. Sistema de protección típico
Pero, ¿y si hay fallas en los componentes del sistema de protección? Esta es la función del apagado secundario, que se activa mediante la función de diagnóstico (autoverificación) de este diseño. Sin embargo, el sistema no es completamente a prueba de fallas, ya que el diseño solo tiene una cierta probabilidad de estar disponible cuando se le solicita que realice su función de seguridad (tiene una cierta probabilidad de falla a pedido o un cierto Nivel de Integridad de Seguridad). Por ejemplo, el diseño anterior podría detectar y tolerar ciertos tipos de fallas en la tarjeta de salida, pero no podría soportar una falla en la tarjeta de entrada. Por lo tanto, su integridad de seguridad será mucho menor que la de un diseño con una tarjeta de entrada de mayor confiabilidad, diagnóstico mejorado o alguna combinación de estos.
Existen otras causas posibles de fallas en las tarjetas, incluidas fallas físicas “tradicionales” en el hardware, fallas sistemáticas que incluyen errores en la especificación de requisitos, fallas de implementación en el software y protección inadecuada contra las condiciones ambientales (p. ej., humedad). Es posible que los diagnósticos en este diseño de un solo canal no cubran todos estos tipos de fallas y, por lo tanto, esto limitará el nivel de integridad de seguridad logrado en la práctica. (La cobertura es una medida del porcentaje de fallas que un diseño puede detectar y manejar de manera segura).
Requerimientos Técnicos
Las partes 2 y 3 del borrador de IEC 1508 proporcionan un marco para identificar las diversas causas potenciales de falla en el hardware y el software y para seleccionar características de diseño que superen esas posibles causas de falla apropiadas para el nivel de integridad de seguridad requerido del sistema relacionado con la seguridad. Por ejemplo, el enfoque técnico general para el sistema de protección en la figura 3 se muestra en la figura 4. La figura indica las dos estrategias básicas para superar fallas y fallas: (1) prevención de fallas, donde se tiene cuidado para evitar que se creen fallas; y 2) Tolerancia a fallos, donde el diseño se crea específicamente para tolerar fallas específicas. El sistema de un solo canal mencionado anteriormente es un ejemplo de un diseño tolerante a fallas (limitado) donde se utilizan diagnósticos para detectar ciertas fallas y poner el sistema en un estado seguro antes de que ocurra una falla peligrosa.
Figura 4. Especificación de diseño: solución de diseño
Prevención de fallas
La prevención de fallas intenta evitar que se introduzcan fallas en un sistema. El enfoque principal es utilizar un método sistemático de gestión del proyecto para que la seguridad se trate como una cualidad definible y manejable de un sistema, durante el diseño y, posteriormente, durante la operación y el mantenimiento. El enfoque, que es similar a la garantía de calidad, se basa en el concepto de retroalimentación e implica: (1) planificar (definir los objetivos de seguridad, identificar las formas y los medios para lograr los objetivos); (2) medición logro contra el plan durante la implementación y (3) aplicando realimentación para corregir cualquier desviación. Las revisiones de diseño son un buen ejemplo de una técnica para evitar fallas. En IEC 1508, este enfoque de "calidad" para evitar fallas se ve facilitado por los requisitos para usar un ciclo de vida de seguridad y emplear procedimientos de gestión de seguridad tanto para hardware como para software. Para estos últimos, estos a menudo se manifiestan como procedimientos de aseguramiento de la calidad del software como los descritos en la norma ISO 9000-3 (1990).
Además, las Partes 2 y 3 de IEC 1508 (sobre hardware y software, respectivamente) califican ciertas técnicas o medidas que se consideran útiles para evitar fallas durante las diversas fases del ciclo de vida de seguridad. La Tabla 2 da un ejemplo de la Parte 3 para la fase de diseño y desarrollo del software. El diseñador usaría la tabla para ayudar en la selección de técnicas para evitar fallas, según el nivel de integridad de seguridad requerido. Con cada técnica o medida en las tablas, hay una recomendación para cada nivel de integridad de seguridad, del 1 al 4. El rango de recomendaciones cubre Altamente recomendado (HR), Recomendado (R), Neutral, ni a favor ni en contra (—) y No recomendado (NR).
Tabla 2. Diseño y desarrollo de software
Técnica/medida |
SIL 1 |
SIL 2 |
SIL 3 |
SIL 4 |
1. Métodos formales que incluyen, por ejemplo, CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Métodos semiformales |
HR |
HR |
HR |
HR |
3. Estructurado. Metodología que incluye, por ejemplo, JSD, MASCOT, SADT, SSADM y YOURDON |
HR |
HR |
HR |
HR |
4. Enfoque modular |
HR |
HR |
HR |
HR |
5. Estándares de diseño y codificación |
R |
HR |
HR |
HR |
HR = muy recomendable; R = recomendado; NR = no recomendado;— = neutral: la técnica/medida no está ni a favor ni en contra del SIL.
Nota: se seleccionará una técnica/medida numerada de acuerdo con el nivel de integridad de la seguridad.
Tolerancia a fallos
IEC 1508 requiere niveles crecientes de tolerancia a fallas a medida que aumenta el objetivo de integridad de seguridad. El estándar reconoce, sin embargo, que la tolerancia a fallas es más importante cuando los sistemas (y los componentes que componen esos sistemas) son complejos (designados como Tipo B en IEC 1508). Para sistemas menos complejos, “bien probados”, el grado de tolerancia a fallas puede relajarse.
Tolerancia contra fallas de hardware aleatorias
La Tabla 3 muestra los requisitos para la tolerancia a fallas contra fallas de hardware aleatorias en componentes de hardware complejos (por ejemplo, microprocesadores) cuando se usa en un sistema de protección como el que se muestra en la figura 3. El diseñador puede necesitar considerar una combinación apropiada de diagnóstico, tolerancia a fallas y verificaciones de prueba manuales para superar esta clase de falla, dependiendo del Nivel de Integridad de Seguridad requerido.
Tabla 3. Nivel de integridad de seguridad: requisitos de falla para componentes de tipo B1
1 Las fallas no detectadas relacionadas con la seguridad se detectarán mediante la verificación de prueba.
2 Para los componentes sin cobertura de diagnóstico medio en línea, el sistema deberá poder realizar la función de seguridad en presencia de una sola falla. Los fallos no detectados relacionados con la seguridad se detectarán mediante la verificación de pruebas.
3 Para componentes con alta cobertura de diagnóstico en línea, el sistema debe poder realizar la función de seguridad en presencia de una sola falla. Para componentes sin alta cobertura de diagnóstico en línea, el sistema deberá poder realizar la función de seguridad en presencia de dos fallas. Los fallos no detectados relacionados con la seguridad se detectarán mediante la verificación de pruebas.
4 Los componentes deberán poder realizar la función de seguridad en presencia de dos fallas. Las fallas se detectarán con alta cobertura de diagnóstico en línea. Los fallos no detectados relacionados con la seguridad se detectarán mediante la verificación de pruebas. El análisis cuantitativo del hardware se basará en suposiciones del peor de los casos.
1Componentes cuyos modos de falla no están bien definidos o no se pueden probar, o para los cuales existen datos deficientes sobre fallas de la experiencia de campo (por ejemplo, componentes electrónicos programables).
IEC 1508 ayuda al diseñador al proporcionar tablas de especificaciones de diseño (consulte la tabla 4) con parámetros de diseño indexados contra el nivel de integridad de seguridad para una serie de arquitecturas de sistemas de protección de uso común.
Tabla 4. Requisitos para el Nivel de Integridad de Seguridad 2 - Arquitecturas de sistemas electrónicos programables para sistemas de protección
Configuración del sistema PE |
Cobertura de diagnóstico por canal |
Intervalo de prueba de prueba fuera de línea (TI) |
Tiempo medio para viaje espurio |
PE simple, E/S simple, ext. WD |
Alta |
6 meses |
1.6 años |
Doble PE, E/S única |
Alta |
6 meses |
10 años |
PE doble, E/S doble, 2oo2 |
Alta |
3 meses |
1,281 años |
PE doble, E/S doble, 1oo2 |
Ninguna |
2 meses |
1.4 años |
PE doble, E/S doble, 1oo2 |
Baja |
5 meses |
1.0 años |
PE doble, E/S doble, 1oo2 |
Mediana |
18 meses |
0.8 años |
PE doble, E/S doble, 1oo2 |
Alta |
36 meses |
0.8 años |
PE doble, E/S doble, 1oo2D |
Ninguna |
2 meses |
1.9 años |
PE doble, E/S doble, 1oo2D |
Baja |
4 meses |
4.7 años |
PE doble, E/S doble, 1oo2D |
Mediana |
18 meses |
18 años |
PE doble, E/S doble, 1oo2D |
Alta |
48 + meses |
168 años |
PE triple, E/S triple, IPC, 2oo3 |
Ninguna |
1 mes |
20 años |
PE triple, E/S triple, IPC, 2oo3 |
Baja |
3 meses |
25 años |
PE triple, E/S triple, IPC, 2oo3 |
Mediana |
12 meses |
30 años |
PE triple, E/S triple, IPC, 2oo3 |
Alta |
48 + meses |
168 años |
La primera columna de la tabla representa arquitecturas con diversos grados de tolerancia a fallas. En general, las arquitecturas ubicadas cerca de la parte inferior de la tabla tienen un mayor grado de tolerancia a fallas que las que se encuentran cerca de la parte superior. Un sistema 1oo2 (uno de dos) es capaz de soportar cualquier falla, al igual que 2oo3.
La segunda columna describe el porcentaje de cobertura de cualquier diagnóstico interno. Cuanto más alto sea el nivel de los diagnósticos, más fallas se detectarán. En un sistema de protección, esto es importante porque, siempre que el componente defectuoso (por ejemplo, una tarjeta de entrada) se repare en un tiempo razonable (a menudo 8 horas), hay poca pérdida en la seguridad funcional. (Nota: este no sería el caso de un sistema de control continuo, ya que es probable que cualquier falla provoque una condición insegura inmediata y la posibilidad de un incidente).
La tercera columna muestra el intervalo entre pruebas de calidad. Son pruebas especiales que se requieren realizar para ejercitar a fondo el sistema de protección para asegurar que no haya fallas latentes. Por lo general, estos son realizados por el proveedor del equipo durante los períodos de parada de la planta.
La cuarta columna muestra la tasa de disparos espurios. Un disparo espurio es aquel que hace que la planta o el equipo se apaguen cuando no hay desviación del proceso. El precio de la seguridad suele ser una mayor tasa de disparos falsos. Un sistema de protección redundante simple, 1oo2, tiene, con todos los demás factores de diseño sin cambios, un nivel de integridad de seguridad más alto pero también una tasa de disparo espurio más alta que un sistema de un solo canal (1oo1).
Si no se utiliza una de las arquitecturas de la tabla o si el diseñador desea realizar un análisis más fundamental, la norma IEC 1508 permite esta alternativa. Las técnicas de ingeniería de confiabilidad, como el modelado de Markov, se pueden usar para calcular el elemento de hardware del nivel de integridad de seguridad (Johnson 1989; Goble 1992).
Tolerancia frente a fallos sistemáticos y de causa común
Esta clase de falla es muy importante en los sistemas de seguridad y es el factor limitante en el logro de la integridad de la seguridad. En un sistema redundante, se duplica un componente o subsistema, o incluso todo el sistema, para lograr una alta confiabilidad a partir de partes de menor confiabilidad. La mejora de la confiabilidad ocurre porque, estadísticamente, la posibilidad de que dos sistemas fallen simultáneamente por fallas aleatorias será el producto de las confiabilidades de los sistemas individuales y, por lo tanto, será mucho menor. Por otro lado, las fallas sistemáticas y de causa común hacen que los sistemas redundantes fallen coincidentemente cuando, por ejemplo, un error de especificación en el software hace que las partes duplicadas fallen al mismo tiempo. Otro ejemplo sería la falla de una fuente de alimentación común a un sistema redundante.
IEC 1508 proporciona tablas de técnicas de ingeniería clasificadas según el nivel de integridad de seguridad que se considera eficaz para brindar protección contra fallas sistemáticas y de causa común.
Ejemplos de técnicas que brindan defensas contra fallas sistemáticas son la diversidad y la redundancia analítica. La base de la diversidad es que si un diseñador implementa un segundo canal en un sistema redundante utilizando una tecnología o un lenguaje de software diferentes, las fallas en los canales redundantes pueden considerarse independientes (es decir, una baja probabilidad de falla coincidente). Sin embargo, particularmente en el área de los sistemas basados en software, se sugiere que esta técnica puede no ser efectiva, ya que la mayoría de los errores están en la especificación. La redundancia analítica intenta explotar información redundante en la planta o máquina para identificar fallas. Para las otras causas de fallas sistemáticas, por ejemplo, tensiones externas, el estándar proporciona tablas que brindan consejos sobre buenas prácticas de ingeniería (por ejemplo, separación de cables de señal y de alimentación) indexadas contra el nivel de integridad de seguridad.
Conclusiones
Los sistemas basados en computadora ofrecen muchas ventajas, no solo económicas, sino también el potencial para mejorar la seguridad. Sin embargo, la atención al detalle requerida para realizar este potencial es significativamente mayor que en el caso de usar componentes de sistemas convencionales. En este artículo se han esbozado los principales requisitos técnicos que un diseñador debe tener en cuenta para explotar con éxito esta tecnología.
Los tractores y otra maquinaria móvil en trabajos agrícolas, forestales, de construcción y minería, así como en el manejo de materiales, pueden generar serios peligros cuando los vehículos vuelcan hacia los lados, hacia adelante o hacia atrás. Los riesgos aumentan en el caso de tractores de ruedas con centros de gravedad elevados. Otros vehículos que presentan un riesgo de vuelco son los tractores de oruga, los cargadores, las grúas, los recolectores de frutas, las topadoras, los volquetes, las mototraíllas y las motoniveladoras. Estos accidentes suelen ocurrir demasiado rápido para que los conductores y los pasajeros se alejen del equipo, y pueden quedar atrapados debajo del vehículo. Por ejemplo, los tractores con centros de gravedad altos tienen una probabilidad considerable de vuelco (y los tractores angostos tienen incluso menos estabilidad que los anchos). Se introdujo en los tractores un interruptor de corte del motor de mercurio para apagar la energía al detectar movimiento lateral, pero se demostró que era demasiado lento para hacer frente a las fuerzas dinámicas generadas en el movimiento de vuelco (Springfeldt 1993). Por lo tanto, se abandonó el dispositivo de seguridad.
El hecho de que dicho equipo a menudo se utilice en terrenos inclinados o irregulares o en tierra blanda, y en ocasiones muy cerca de zanjas, trincheras o excavaciones, es una causa importante que contribuye a los vuelcos. Si el equipo auxiliar se coloca en lo alto de un tractor, aumenta la probabilidad de volcarse hacia atrás al subir una pendiente (o volcarse hacia adelante al descender). Además, un tractor puede volcar debido a la pérdida de control debido a la presión ejercida por el equipo tirado por el tractor (por ejemplo, cuando el carro se mueve hacia abajo en una pendiente y el equipo acoplado no frena y pasa por delante del tractor). Surgen peligros especiales cuando los tractores se utilizan como vehículos remolcadores, especialmente si el gancho de remolque del tractor se coloca a un nivel más alto que el eje de la rueda.
Historia
Se tomó nota del problema de los vuelcos a nivel nacional en ciertos países donde ocurrieron muchos vuelcos fatales. En Suecia y Nueva Zelanda, el desarrollo y las pruebas de estructuras protectoras contra vuelcos (ROPS) en tractores (figura 1) ya estaban en progreso en la década de 1950, pero este trabajo fue seguido por regulaciones solo por parte de las autoridades suecas; estas normas entraron en vigor a partir del año 1959 (Springfeldt 1993).
Figura 1. Tipos habituales de ROPS en tractores
Las regulaciones propuestas que prescriben ROPS para tractores encontraron resistencia en el sector agrícola en varios países. Se montó una fuerte oposición contra los planes que requieren que los empleadores instalen ROPS en los tractores existentes, e incluso contra la propuesta de que los fabricantes solo equipen los tractores nuevos con ROPS. Eventualmente, muchos países exigieron con éxito ROPS para tractores nuevos, y más tarde algunos países también pudieron exigir que ROPS se readaptara en tractores viejos. Las normas internacionales sobre tractores y maquinaria de movimiento de tierras, incluidas las normas de prueba para ROPS, contribuyeron a diseños más fiables. Los tractores se diseñaron y fabricaron con centros de gravedad más bajos y ganchos de remolque más bajos. La tracción en las cuatro ruedas ha reducido el riesgo de vuelco. Pero la proporción de tractores con ROPS en países con muchos tractores antiguos y sin mandatos para la actualización de ROPS sigue siendo bastante baja.
Investigaciones
Los accidentes de vuelco, particularmente aquellos que involucran tractores, han sido estudiados por investigadores en muchos países. Sin embargo, no existen estadísticas internacionales centralizadas con respecto al número de accidentes causados por los tipos de maquinaria móvil revisados en este artículo. Sin embargo, las estadísticas disponibles a nivel nacional muestran que el número es alto, especialmente en la agricultura. Según un informe escocés de accidentes con vuelcos de tractores en el período 1968-1976, el 85 % de los tractores involucrados tenían equipo acoplado en el momento del accidente, y de estos, la mitad tenía equipo remolcado y la otra mitad montado. Dos tercios de los accidentes con vuelcos de tractores en el informe escocés ocurrieron en pendientes (Springfeldt 1993). Más tarde se demostró que el número de accidentes se reduciría tras la introducción de la formación para la conducción en pendientes, así como la aplicación de un instrumento para medir la pendiente de la pendiente combinado con un indicador de límites de pendiente seguros.
En otras investigaciones, los investigadores de Nueva Zelanda observaron que la mitad de sus accidentes fatales con vuelcos ocurrieron en terreno llano o en pendientes leves, y solo una décima parte ocurrió en pendientes pronunciadas. En terreno llano, los conductores de tractores pueden estar menos atentos a los peligros de vuelco y pueden juzgar mal el riesgo que representan las zanjas y el terreno irregular. De las muertes por vuelcos en tractores en Nueva Zelanda en el período 1949-1980, el 80% ocurrió en tractores de ruedas y el 20% en tractores de orugas (Springfeldt 1993). Los estudios en Suecia y Nueva Zelanda mostraron que alrededor del 80% de las muertes por vuelcos de tractores ocurrieron cuando los tractores volcaron hacia los lados. La mitad de los tractores involucrados en las muertes de Nueva Zelanda habían girado 180°.
Los estudios de la correlación entre las muertes por vuelcos en Alemania Occidental y el modelo del año de los tractores agrícolas (Springfeldt 1993) mostraron que 1 de cada 10,000 1957 tractores viejos sin protección fabricados antes de 1970 estuvo involucrado en una fatalidad por vuelco. De los tractores con ROPS prescritos, fabricados en 1 y posteriores, 25,000 de 1980 tractores estuvo involucrado en una fatalidad por vuelco. De los vuelcos fatales de tractores en Alemania Occidental en el período 1985–1993, dos tercios de las víctimas fueron expulsadas de su área protegida y luego atropelladas o golpeadas por el tractor (Springfeldt 1). De los vuelcos no fatales, una cuarta parte de los conductores fueron arrojados desde el asiento del conductor pero no fueron atropellados. Es evidente que el riesgo de fatalidad aumenta si el conductor es lanzado fuera del área protegida (similar a los accidentes automovilísticos). La mayoría de los tractores involucrados tenían un arco de dos pilares (figura XNUMX C) que no evita que el conductor salga despedido. En unos pocos casos, la ROPS había estado sujeta a roturas o fuertes deformaciones.
Springfeldt (100,000) calculó las frecuencias relativas de lesiones por 1993 tractores en diferentes períodos en algunos países y la reducción de la tasa de mortalidad. La eficacia de ROPS para disminuir las lesiones en accidentes de vuelco de tractores ha sido probada en Suecia, donde el número de muertes por cada 100,000 17 tractores se redujo de aproximadamente 0.3 a 1960 durante un período de tres décadas (1990–2) (figura 98). Al final del período se estimó que alrededor del 1% de los tractores estaban equipados con ROPS, principalmente en forma de cabina a prueba de aplastamiento (figura 24 A). En Noruega, las muertes se redujeron de aproximadamente 4 a 100,000 por cada XNUMX XNUMX tractores durante un período similar. Sin embargo, se lograron peores resultados en Finlandia y Nueva Zelanda.
Figura 2. Lesiones por vuelco por cada 100,000 tractores en Suecia entre 1957 y 1990
Prevención de lesiones por vuelcos
El riesgo de vuelco es mayor en el caso de los tractores; sin embargo, en las labores agrícolas y forestales es poco lo que se puede hacer para evitar que los tractores vuelquen. Al montar ROPS en tractores y en esos tipos de maquinaria de movimiento de tierra con riesgos potenciales de vuelco, se puede reducir el riesgo de lesiones personales, siempre que los conductores permanezcan en sus asientos durante los eventos de vuelco (Springfeldt 1993). La frecuencia de muertes por vuelcos depende en gran medida de la proporción de máquinas protegidas en uso y los tipos de ROPS utilizados. Un arco (figura 1 C) brinda mucha menos protección que una cabina o un marco (Springfeldt 1993). La estructura más efectiva es una cabina a prueba de aplastamiento, que permite que el conductor permanezca adentro, protegido, durante un vuelco. (Otra razón para elegir una cabina es que brinda protección contra la intemperie). El medio más efectivo para mantener al conductor dentro de la protección de la ROPS durante un vuelco es el cinturón de seguridad, siempre que el conductor use el cinturón mientras opera el equipo. En algunos países, hay placas de información en el asiento del conductor que advierten que se debe agarrar el volante en caso de vuelco. Una medida de seguridad adicional es diseñar la cabina del conductor o el entorno interior y la ROPS para evitar la exposición a peligros como bordes afilados o protuberancias.
En todos los países, los vuelcos de maquinaria móvil, principalmente tractores, están causando lesiones graves. Sin embargo, existen diferencias considerables entre los países en cuanto a las especificaciones técnicas relacionadas con el diseño de la maquinaria, así como los procedimientos administrativos para los exámenes, pruebas, inspecciones y comercialización. La diversidad internacional que caracteriza los esfuerzos de seguridad en este sentido puede explicarse por consideraciones como las siguientes:
Regulaciones de seguridad
La naturaleza de las reglas que rigen los requisitos para ROPS y el grado de implementación de las reglas en un país tiene una gran influencia en los accidentes de vuelco, especialmente en los fatales. Con esto en mente, el desarrollo de maquinaria más segura ha sido fomentado por directivas, códigos y estándares emitidos por organizaciones internacionales y nacionales. Además, muchos países han adoptado prescripciones rigurosas para ROPS que han resultado en una gran reducción de las lesiones por vuelco.
Comunidad Económica Europea
A partir de 1974, la Comunidad Económica Europea (CEE) emitió directivas relativas a la homologación de tipo de tractores agrícolas y forestales de ruedas, y en 1977 emitió directivas especiales adicionales relativas a ROPS, incluida su fijación a los tractores (Springfeldt 1993; EEC 1974, 1977, 1979, 1982, 1987). Las directivas prescriben un procedimiento para la homologación de tipo y la certificación por parte de la fabricación de tractores, y la ROPS debe ser revisada mediante un examen de homologación de tipo CEE. Las directivas han ganado la aceptación de todos los países miembros.
Algunas directivas de la CEE relativas a ROPS en tractores fueron derogadas el 31 de diciembre de 1995 y reemplazadas por la directiva de maquinaria general que se aplica a los tipos de maquinaria que presentan riesgos debido a su movilidad (EEC 1991). Los tractores de ruedas, así como algunas máquinas de movimiento de tierras con una capacidad superior a 15 kW (a saber, cargadoras de orugas y de ruedas, retroexcavadoras, tractores de orugas, traíllas, motoniveladoras y dúmperes articulados) deben estar equipados con un ROPS. En caso de vuelco, la estructura ROPS debe ofrecer al conductor ya los operadores un volumen limitador de deflexión adecuado (es decir, espacio que permita el movimiento de los cuerpos de los ocupantes antes de que entren en contacto con los elementos interiores durante un accidente). Es responsabilidad de los fabricantes o de sus representantes autorizados realizar las pruebas adecuadas.
Organización para la Cooperación y el Desarrollo Económico
En 1973 y 1987, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) aprobó códigos estándar para probar tractores (Springfeldt 1993; OCDE 1987). Dan resultados de pruebas de tractores y describen el equipo de prueba y las condiciones de prueba. Los códigos requieren la prueba de muchas partes y funciones de la maquinaria, por ejemplo, la resistencia de ROPS. Los Códigos de Tractores de la OCDE describen un método estático y dinámico de prueba ROPS en ciertos tipos de tractores. Una ROPS puede diseñarse únicamente para proteger al conductor en caso de vuelco del tractor. Debe volver a probarse para cada modelo de tractor en el que se vaya a instalar la ROPS. Los Códigos también exigen que sea posible montar una protección contra la intemperie para el conductor en la estructura, de carácter más o menos temporal. Los códigos de tractores han sido aceptados por todos los organismos miembros de la OCDE desde 1988, pero en la práctica, los Estados Unidos y Japón también aceptan ROPS que no cumplen con los requisitos del código si se proporcionan cinturones de seguridad (Springfeldt 1993).
Organización Internacional del Trabajo
En 1965, la Organización Internacional del Trabajo (OIT) en su manual, Seguridad y Salud en el Trabajo Agrícola, exigía que se fijara adecuadamente a los tractores una cabina o un bastidor de suficiente resistencia para proporcionar una protección satisfactoria al conductor y a los pasajeros dentro de la cabina en caso de vuelco del tractor (Springfeldt 1993; OIT 1965). De acuerdo con los códigos de práctica de la OIT, los tractores agrícolas y forestales deben estar provistos de ROPS para proteger al operador y a cualquier pasajero en caso de vuelco, caída de objetos o desplazamiento de la carga (OIT 1976).
La instalación de ROPS no debería afectar negativamente
Estándares internacionales y nacionales
En 1981, la Organización Internacional de Normalización (ISO) emitió una norma para tractores y maquinaria agrícola y forestal (ISO 1981). La norma describe un método de prueba estático para ROPS y establece las condiciones de aceptación. La norma ha sido aprobada por los organismos miembros en 22 países; sin embargo, Canadá y Estados Unidos han expresado su desaprobación del documento por motivos técnicos. Una práctica estándar y recomendada emitida en 1974 por la Sociedad de Ingenieros Automotrices (SAE) en América del Norte contiene requisitos de rendimiento para ROPS en tractores agrícolas de ruedas y tractores industriales utilizados en la construcción, mototraíllas con neumáticos, cargadores frontales, bulldozers, cargadores de orugas y motoniveladoras (SAE 1974 y 1975). Los contenidos de la norma han sido adoptados como reglamentos en los Estados Unidos y en las provincias canadienses de Alberta y Columbia Británica.
Reglas y Cumplimiento
Los Códigos y Normas Internacionales de la OCDE se refieren al diseño y la construcción de ROPS, así como al control de su resistencia, pero carecen de la autoridad para exigir que se ponga en práctica este tipo de protección (OCDE 1987; ISO 1981). La Comunidad Económica Europea también propuso que los tractores y la maquinaria de movimiento de tierras estuvieran equipados con protección (EEC 1974-1987). El objetivo de las directivas de la CEE es lograr la uniformidad entre las entidades nacionales con respecto a la seguridad de la maquinaria nueva en la etapa de fabricación. Los países miembros están obligados a seguir las directivas y expedir las prescripciones correspondientes. A partir de 1996, los países miembros de la CEE tienen la intención de emitir reglamentos que exijan que los nuevos tractores y maquinaria de movimiento de tierras estén equipados con ROPS.
En 1959, Suecia se convirtió en el primer país en requerir ROPS para tractores nuevos (Springfeldt 1993). Los requisitos correspondientes entraron en vigor en Dinamarca y Finlandia diez años después. Posteriormente, en las décadas de 1970 y 1980, los requisitos obligatorios de ROPS en tractores nuevos entraron en vigor en Gran Bretaña, Alemania Occidental, Nueva Zelanda, Estados Unidos, España, Noruega, Suiza y otros países. En todos estos países excepto en los Estados Unidos, las reglas se extendieron a los tractores viejos algunos años después, pero estas reglas no siempre fueron obligatorias. En Suecia, todos los tractores deben estar equipados con una cabina protectora, una regla que en Gran Bretaña se aplica solo a todos los tractores utilizados por trabajadores agrícolas (Springfeldt 1993). En Dinamarca, Noruega y Finlandia, todos los tractores deben contar con al menos un bastidor, mientras que en Estados Unidos y los estados australianos se aceptan arcos. En los Estados Unidos los tractores deben tener cinturones de seguridad.
En los Estados Unidos, la maquinaria de manejo de materiales que se fabricó antes de 1972 y se usa en trabajos de construcción debe estar equipada con ROPS que cumpla con los estándares mínimos de desempeño (US Bureau of National Affairs 1975). Las máquinas cubiertas por el requisito incluyen algunas traíllas, cargadores frontales, topadoras, tractores de oruga, cargadores y motoniveladoras. Se llevó a cabo el reacondicionamiento de ROPS en máquinas fabricadas unos tres años antes.
Summary
En países con requisitos obligatorios para ROPS para tractores nuevos y reacondicionamiento de ROPS en tractores viejos, ha habido una disminución de las lesiones por vuelco, especialmente las fatales. Es evidente que una cabina a prueba de aplastamiento es el tipo de ROPS más efectivo. Un arco brinda poca protección en caso de vuelco. Muchos países han prescrito ROPS eficaces al menos en los tractores nuevos y, a partir de 1996, en las máquinas de movimiento de tierras. A pesar de este hecho, algunas autoridades parecen aceptar tipos de ROPS que no cumplen con los requisitos promulgados por la OCDE y la ISO. Se espera que una armonización más general de las reglas que rigen ROPS se logre gradualmente en todo el mundo, incluidos los países en desarrollo.
" EXENCIÓN DE RESPONSABILIDAD: La OIT no se responsabiliza por el contenido presentado en este portal web que se presente en un idioma que no sea el inglés, que es el idioma utilizado para la producción inicial y la revisión por pares del contenido original. Ciertas estadísticas no se han actualizado desde la producción de la 4ª edición de la Enciclopedia (1998)."