Principios para el Diseño de Sistemas de Control Seguros

Lunes, abril 04 2011 18: 20

Principios para el Diseño de Sistemas de Control Seguros

Tamaño de fuente disminuir el tamaño de la fuente aumentar tamaño de la fuente
Imprimir
Correo electrónico

Valora este artículo

(2 votos)

En general, se acepta que los sistemas de control deben ser seguros durante su uso. Con esto en mente, la mayoría de los sistemas de control modernos están diseñados como se muestra en la figura 1.

Figura 1. Diseño general de los sistemas de control

La forma más sencilla de hacer que un sistema de control sea seguro es construir un muro impenetrable a su alrededor para evitar el acceso humano o la interferencia en la zona de peligro. Tal sistema sería muy seguro, aunque poco práctico, ya que sería imposible acceder para realizar la mayoría de los trabajos de prueba, reparación y ajuste. Debido a que se debe permitir el acceso a las zonas de peligro bajo ciertas condiciones, se requieren medidas de protección además de paredes, cercas y similares para facilitar la producción, instalación, servicio y mantenimiento.

Algunas de estas medidas de protección pueden estar total o parcialmente integradas en los sistemas de control, como sigue:

El movimiento se puede detener inmediatamente si alguien entra en la zona de peligro, mediante botones de parada de emergencia (ES).
Los controles de botón permiten el movimiento solo cuando el botón está activado.
Los controles de doble mano (DHC) permiten el movimiento solo cuando ambas manos están ocupadas presionando los dos elementos de control (así se asegura que las manos se mantengan alejadas de las zonas de peligro).

Este tipo de medidas de protección son activadas por los operadores. Sin embargo, debido a que los seres humanos a menudo representan un punto débil en las aplicaciones, muchas funciones, como las siguientes, se realizan automáticamente:

Los movimientos de los brazos robóticos durante el mantenimiento o “aprendizaje” son muy lentos. No obstante, la velocidad se controla continuamente. Si, debido a una falla del sistema de control, la velocidad de los brazos robóticos automáticos aumentara inesperadamente durante el período de servicio o aprendizaje, el sistema de monitoreo se activaría y terminaría inmediatamente el movimiento.
Se proporciona una barrera de luz para evitar el acceso a una zona de peligro. Si se interrumpe el haz de luz, la máquina se detendrá automáticamente.

El funcionamiento normal de los sistemas de control es la condición previa más importante para la producción. Si una función de producción se interrumpe debido a una falla de control, es a lo sumo inconveniente pero no peligroso. Si no se realiza una función relevante para la seguridad, podría provocar pérdidas de producción, daños en el equipo, lesiones o incluso la muerte. Por lo tanto, las funciones del sistema de control relevantes para la seguridad deben ser más fiables y seguras que las funciones normales del sistema de control. De acuerdo con la Directiva del Consejo Europeo 89/392/EEC (Directrices para máquinas), los sistemas de control deben diseñarse y construirse de manera que sean seguros y confiables.

Los controles consisten en una serie de componentes conectados entre sí para realizar una o más funciones. Los controles se subdividen en canales. Un canal es la parte de un control que realiza una función específica (p. ej., arranque, parada, parada de emergencia). Físicamente, el canal es creado por una serie de componentes (transistores, diodos, relés, puertas, etc.) a través de los cuales, de un componente al siguiente, la información (principalmente eléctrica) que representa esa función se transfiere de entrada a salida.

Al diseñar canales de control para funciones relevantes para la seguridad (aquellas funciones en las que intervienen personas), deben cumplirse los siguientes requisitos:

Los componentes utilizados en los canales de control con funciones relevantes para la seguridad deben poder soportar los rigores del uso normal. Generalmente, deben ser lo suficientemente confiables.
Los errores en la lógica no deben causar situaciones peligrosas. Generalmente, el canal relevante para la seguridad debe ser suficientemente resistente a fallos.
Las influencias externas (factores) no deben conducir a fallas temporales o permanentes en los canales relevantes para la seguridad.

Fiabilidad

Fiabilidad es la capacidad de un canal de control o componente para realizar una función requerida en condiciones específicas durante un período de tiempo determinado sin fallar. (La probabilidad de componentes específicos o canales de control puede calcularse usando métodos adecuados). La confiabilidad siempre debe especificarse para un valor de tiempo específico. En general, la confiabilidad se puede expresar mediante la fórmula de la figura 2.

Figura 2. Fórmula de confiabilidad

Fiabilidad de sistemas complejos

Los sistemas se construyen a partir de componentes. Si se conocen las confiabilidades de los componentes, se puede calcular la confiabilidad del sistema como un todo. En tales casos, se aplica lo siguiente:

Sistemas en serie

La fiabilidad total R_a de un sistema en serie que consta de N componentes de la misma fiabilidad R_C se calcula como en la figura 3.

Figura 3. Gráfico de confiabilidad de componentes conectados en serie

La confiabilidad total es menor que la confiabilidad del componente menos confiable. A medida que aumenta la cantidad de componentes conectados en serie, la confiabilidad total de la cadena disminuye significativamente.

Sistemas paralelos

La fiabilidad total R_a de un sistema paralelo formado por N componentes de la misma fiabilidad R_C se calcula como en la figura 4.

Figura 4. Gráfico de confiabilidad de componentes conectados en paralelo

La fiabilidad total se puede mejorar significativamente mediante la conexión en paralelo de dos o más componentes.

La Figura 5 ilustra un ejemplo práctico. Tenga en cuenta que el circuito apagará el motor de forma más fiable. Incluso si el relé A o B no logra abrir su contacto, el motor seguirá estando apagado.

Figura 5. Ejemplo práctico de la figura 4

Calcular la confiabilidad total de un canal es simple si se conocen y están disponibles todas las confiabilidades de los componentes necesarios. En el caso de componentes complejos (circuitos integrados, microprocesadores, etc.) el cálculo de la fiabilidad total es difícil o imposible si el fabricante no publica la información necesaria.

Safety

Cuando los profesionales hablan de seguridad y piden máquinas seguras, se refieren a la seguridad de toda la máquina o sistema. Sin embargo, esta seguridad es demasiado general y no está definida con suficiente precisión para el diseñador de controles. La siguiente definición de la seguridad puede ser práctico y utilizable para los diseñadores de circuitos de control: La seguridad es la capacidad de un sistema de control para realizar la función requerida dentro de los límites prescritos, durante un período determinado, incluso cuando ocurran fallas anticipadas. En consecuencia, debe aclararse durante el diseño qué tan "seguro" debe ser el canal relacionado con la seguridad. (El diseñador puede desarrollar un canal que sea seguro contra la primera falla, contra cualquier falla, contra dos fallas, etc.) Además, un canal que realiza una función que se usa para prevenir accidentes puede ser esencialmente confiable, pero no tiene estar inevitablemente a salvo de los fallos. Esto se puede explicar mejor con los siguientes ejemplos:

ejemplo 1

El ejemplo ilustrado en la figura 6 es un canal de control relevante para la seguridad que realiza la función de seguridad requerida. El primer componente puede ser un interruptor que controle, por ejemplo, la posición de una puerta de acceso a una zona peligrosa. El último componente es un motor que acciona piezas mecánicas móviles dentro del área de peligro.

Figura 6. Un canal de control relevante para la seguridad que realiza la función de seguridad requerida

La función de seguridad requerida en este caso es doble: si la puerta está cerrada, el motor puede funcionar. Si la puerta está abierta, el motor debe estar apagado. Conociendo las confiabilidades R₁ a R₆, es posible calcular la fiabilidad R_nene. Los diseñadores deben usar componentes confiables para mantener una confiabilidad suficientemente alta de todo el sistema de control (es decir, la probabilidad de que esta función aún se pueda realizar en, digamos, incluso 20 años debe tenerse en cuenta en el diseño). Como resultado, los diseñadores deben cumplir dos tareas: (1) el circuito debe realizar la función requerida y (2) la confiabilidad de los componentes y de todo el canal de control debe ser adecuada.

Ahora se debe hacer la siguiente pregunta: ¿El canal antes mencionado realizará las funciones de seguridad requeridas incluso si ocurre una falla en el sistema (por ejemplo, si un contacto de relé se atasca o un componente no funciona correctamente)? La respuesta es no". La razón es que un solo canal de control que consta solo de componentes conectados en serie y que trabaja con señales estáticas no es seguro contra una falla. El canal solo puede tener una cierta confiabilidad, lo que garantiza la probabilidad de que se lleve a cabo la función. En tales situaciones, la seguridad siempre se entiende como relacionado con fallas.

ejemplo 2

Para que un canal de control sea confiable y seguro, el diseño debe modificarse como se muestra en la figura 7. El ejemplo ilustrado es un canal de control relevante para la seguridad que consta de dos subcanales completamente separados.

Figura 7. Un canal de control relevante para la seguridad con dos subcanales completamente separados

Este diseño es seguro contra la primera falla (y posibles fallas adicionales en el mismo subcanal), pero no es seguro contra dos fallas que pueden ocurrir en dos subcanales diferentes (simultáneamente o en momentos diferentes) porque no hay un circuito de detección de fallas. En consecuencia, inicialmente ambos subcanales funcionan con una alta confiabilidad (ver sistema paralelo), pero después de la primera falla solo funcionará un subcanal y la confiabilidad disminuye. Si se produce un segundo fallo en el subcanal que sigue funcionando, ambos habrán fallado y la función de seguridad dejará de funcionar.

ejemplo 3

El ejemplo ilustrado en la figura 8 es un canal de control relevante para la seguridad que consta de dos subcanales completamente separados que se supervisan entre sí.

Figura 8. Un canal de control relevante para la seguridad con dos subcanales completamente separados que se supervisan entre sí

Tal diseño es a prueba de fallas porque después de cualquier falla, solo un subcanal no funcionará, mientras que el otro subcanal permanecerá disponible y realizará la función de seguridad. Además, el diseño tiene un circuito de detección de fallas. Si, debido a una falla, ambos subcanales no funcionan de la misma manera, esta condición será detectada por el circuito "o exclusivo", con el resultado de que la máquina se apagará automáticamente. Esta es una de las mejores formas de diseñar controles de máquinas: diseñar subcanales relevantes para la seguridad. Son seguros contra una falla y, al mismo tiempo, brindan suficiente confiabilidad para que las posibilidades de que ocurran dos fallas simultáneamente sean minúsculas.

Redundancia

Es evidente que existen varios métodos mediante los cuales un diseñador puede mejorar la confiabilidad y/o la seguridad (contra fallas). Los ejemplos anteriores ilustran cómo una función (es decir, puerta cerrada, el motor puede funcionar; puerta abierta, el motor debe detenerse) puede realizarse mediante varias soluciones. Algunos métodos son muy simples (un subcanal) y otros más complicados (dos subcanales con supervisión mutua). (Ver figura 9.)

Figura 9. Confiabilidad de sistemas redundantes con o sin detección de fallas

Existe cierta redundancia en los circuitos y/o componentes complejos en comparación con los simples. Redundancia se puede definir de la siguiente manera: (1) Redundancia es la presencia de más medios (componentes, canales, factores de seguridad más altos, pruebas adicionales, etc.) de los que son realmente necesarios para el simple cumplimiento de la función deseada; (2) la redundancia obviamente no “mejora” la función, que se realiza de todos modos. La redundancia solo mejora la confiabilidad y/o la seguridad.

Algunos profesionales de la seguridad creen que la redundancia es solo duplicar o triplicar, y así sucesivamente, el sistema. Esta es una interpretación muy limitada, ya que la redundancia puede interpretarse de manera mucho más amplia y flexible. La redundancia no solo puede estar incluida en el hardware; también puede estar incluido en el software. Mejorar el factor de seguridad (p. ej., una cuerda más fuerte en lugar de una cuerda más débil) también se puede considerar como una forma de redundancia.

Entropía

Entropía, un término que se encuentra principalmente en la termodinámica y la astronomía, se puede definir de la siguiente manera: Todo tiende a la descomposición. Por lo tanto, es absolutamente seguro que todos los componentes, subsistemas o sistemas, independientemente de la tecnología utilizada, fallarán en algún momento. Esto significa que no existen sistemas, subsistemas o componentes 100% confiables y/o seguros. Todos ellos son simplemente más o menos fiables y seguros, dependiendo de la complejidad de la estructura. Los fracasos que inevitablemente ocurren antes o después demuestran la acción de la entropía.

El único medio disponible para que los diseñadores contrarresten la entropía es la redundancia, que se logra (a) introduciendo más confiabilidad en los componentes y (b) brindando más seguridad en toda la arquitectura del circuito. Solo aumentando suficientemente la probabilidad de que la función requerida se realice durante el período de tiempo requerido, los diseñadores pueden defenderse en cierto grado contra la entropía.

Evaluación de Riesgos

Cuanto mayor sea el riesgo potencial, mayor será la confiabilidad y/o seguridad (contra fallas) que se requiere (y viceversa). Esto se ilustra con los siguientes dos casos:

Caso 1

El acceso a la herramienta de moldeo fijada en una máquina de moldeo por inyección está protegido por una puerta. Si la puerta está cerrada, la máquina puede funcionar, y si la puerta está abierta, todos los movimientos peligrosos deben detenerse. En ningún caso (incluso en caso de avería del canal relacionado con la seguridad) pueden producirse movimientos, especialmente los que accionan la herramienta.

Caso 2

El acceso a una línea de ensamblaje controlada automáticamente que ensambla pequeños componentes de plástico bajo presión neumática está protegido por una puerta. Si se abre esta puerta, habrá que parar la línea.

En el Caso 1, si falla el sistema de control de supervisión de la puerta, se pueden producir lesiones graves si la herramienta se cierra inesperadamente. En el caso 2, solo pueden producirse lesiones leves o daños insignificantes si falla el sistema de control de supervisión de la puerta.

Es obvio que en el primer caso se debe introducir mucha más redundancia para lograr la confiabilidad y/o seguridad (contra fallas) requerida para proteger contra un riesgo extremadamente alto. De hecho, según la norma europea EN 201, el sistema de control de supervisión de la puerta de la máquina de moldeo por inyección debe tener tres canales; dos de los cuales son eléctricos y supervisados entre sí y uno de los cuales está equipado en su mayoría con circuitos hidráulicos y de prueba. Todas estas tres funciones de supervisión se relacionan con la misma puerta.

Por el contrario, en aplicaciones como la descrita en el Caso 2, un solo canal activado por un interruptor con acción positiva es apropiado para el riesgo.

Categorías de controles

Dado que todas las consideraciones anteriores se basan generalmente en la teoría de la información y, en consecuencia, son válidas para todas las tecnologías, no importa si el sistema de control se basa en componentes electrónicos, electromecánicos, mecánicos, hidráulicos o neumáticos (o una combinación de ellos). , o en alguna otra tecnología. La inventiva del diseñador, por un lado, y las cuestiones económicas, por otro lado, son los factores principales que afectan a un número casi infinito de soluciones sobre cómo realizar canales relevantes para la seguridad.

Para evitar confusiones, es práctico establecer ciertos criterios de clasificación. Las estructuras de canales más típicas utilizadas en los controles de máquinas para realizar funciones relacionadas con la seguridad se clasifican según:

fiabilidad
comportamiento en caso de falla
tiempo de revelación de fallas.

Sus combinaciones (no se muestran todas las combinaciones posibles) se ilustran en la tabla 1.

Tabla 1. Algunas combinaciones posibles de estructuras de circuitos en controles de máquinas para funciones relacionadas con la seguridad

Criterios (Preguntas)	estrategia básica
	Al aumentar la confiabilidad (¿se traslada la ocurrencia de fallas a un futuro posiblemente lejano?)			Mediante una estructura (arquitectura) de circuito adecuada, al menos se detectará la falla (Cat. 2) o se eliminará el efecto de falla en el canal (Cat. 3) o la falla se revelará inmediatamente (Cat. 4)
	Categorías
	Esta solución es básicamente incorrecta.	B	1	2	3	4
¿Pueden los componentes del circuito soportar las influencias esperadas? ¿Están construidos de acuerdo con el estado del arte?	No	Sí	Sí	Sí	Sí	Sí
¿Se han utilizado componentes y/o métodos bien probados?	No	No	Sí	Sí	Sí	Sí
¿Se puede detectar una falla automáticamente?	No	No	No	Sí	Sí	Sí
¿Un fallo impide el desempeño de la función relacionada con la seguridad?	Sí	Sí	Sí	Sí	No	No
¿Cuándo se detectará la falla?	Nunca	Nunca	Nunca	Temprano (más tarde al final del intervalo que no es más largo que un ciclo de máquina)		Inmediatamente (cuando la señal pierde dinámica personaje)
		En productos de consumo	Para ser utilizado en máquinas.

La categoría aplicable para una máquina específica y su sistema de control relacionado con la seguridad se especifica principalmente en las nuevas normas europeas (EN), a menos que la autoridad nacional, el usuario y el fabricante acuerden mutuamente que se debe aplicar otra categoría. Luego, el diseñador desarrolla un sistema de control que cumple con los requisitos. Por ejemplo, las consideraciones que rigen el diseño de un canal de control pueden incluir lo siguiente:

Los componentes tienen que soportar las influencias esperadas. (SÍ NO)
Su construcción debe estar de acuerdo con los estándares más modernos. (SÍ NO)
Se utilizan componentes y métodos probados. (SÍ NO)
Fracaso debe ser detectado. (SÍ NO)
¿Se ejecutará la función de seguridad incluso en caso de falla? (SÍ NO)
¿Cuándo se detectará la falla? (NUNCA, TEMPRANO, INMEDIATAMENTE)

Este proceso es reversible. Usando las mismas preguntas, se puede decidir a qué categoría pertenece un canal de control existente desarrollado previamente.

Ejemplos de categorías

Categoría B

Los componentes del canal de control que se utilizan principalmente en los productos de consumo deben resistir las influencias esperadas y estar diseñados de acuerdo con el estado de la técnica. Un interruptor bien diseñado puede servir como ejemplo.

Categoría 1

El uso de componentes y métodos bien probados es típico para la Categoría 1. Un ejemplo de Categoría 1 es un interruptor con acción positiva (es decir, requiere la apertura forzada de los contactos). Este interruptor está diseñado con piezas robustas y es activado por fuerzas relativamente altas, alcanzando así una confiabilidad extremadamente alta solo en la apertura de contactos. A pesar de los contactos pegados o incluso soldados, estos interruptores se abrirán. (Nota: los componentes como los transistores y los diodos no se consideran componentes bien probados). La Figura 10 servirá como ilustración de un control de Categoría 1.

Figura 10. Un interruptor con una acción positiva

Este canal utiliza el interruptor S con acción positiva. El contactor K es supervisado por la luz L. Se advierte al operador que los contactos normalmente abiertos (NO) se adhieren por medio de la luz indicadora L. El contactor K tiene contactos guiados forzados. (Nota: Los relés o contactores con guía forzada de contactos tienen, en comparación con los relés o contactores habituales, una jaula especial hecha de material aislante de modo que si los contactos normalmente cerrados (NC) están cerrados, todos los contactos NA deben abrirse y viceversa). viceversa. Esto significa que mediante el uso de contactos NC se puede realizar una verificación para determinar que los contactos de trabajo no estén pegados o soldados entre sí).

Categoría 2

La categoría 2 prevé la detección automática de fallas. La detección automática de fallas debe generarse antes de cada movimiento peligroso. Solo si la prueba es positiva se puede realizar el movimiento; de lo contrario, la máquina se detendrá. Los sistemas automáticos de detección de fallas se utilizan para barreras de luz para demostrar que todavía están funcionando. El principio se ilustra en la figura 1.

Figura 11. Circuito que incluye un detector de fallas

Este sistema de control se prueba regularmente (u ocasionalmente) inyectando un impulso a la entrada. En un sistema que funcione correctamente, este impulso se transferirá a la salida y se comparará con un impulso de un generador de prueba. Cuando ambos impulsos están presentes, el sistema obviamente funciona. En caso contrario, si no hay impulso de salida, el sistema ha fallado.

Categoría 3

Los circuitos se han descrito previamente en el Ejemplo 3 en la sección Seguridad de este artículo, figura 8.

El requisito, es decir, la detección automática de fallas y la capacidad de realizar la función de seguridad incluso si ha ocurrido una falla en cualquier lugar, puede cumplirse mediante estructuras de control de dos canales y mediante la supervisión mutua de los dos canales.

Solo para los controles de la máquina, se deben investigar las fallas peligrosas. Cabe señalar que existen dos tipos de fallas:

No peligroso las fallas son aquellas que, luego de su ocurrencia, provocan un “estado seguro” de la máquina previendo el apagado del motor.
peligroso las fallas son aquellas que, después de su ocurrencia, provocan un “estado inseguro” de la máquina, ya que el motor no se puede apagar o el motor comienza a moverse inesperadamente.

Categoría 4

La categoría 4 generalmente proporciona la aplicación de una señal dinámica que cambia continuamente en la entrada. La presencia de una señal dinámica en los medios de salida. correr (“1”), y la ausencia de una señal dinámica significa detener ("0").

Para tales circuitos, es típico que después de la falla de cualquier componente, la señal dinámica ya no esté disponible en la salida. (Nota: el potencial estático en la salida es irrelevante). Dichos circuitos pueden llamarse "a prueba de fallas". Todas las fallas se divulgarán inmediatamente, no después del primer cambio (como en los circuitos de Categoría 3).

Otros comentarios sobre las categorías de control

La Tabla 1 se ha desarrollado para los controles de máquinas habituales y muestra solo las estructuras básicas del circuito; de acuerdo con la directiva de máquinas, debe calcularse asumiendo que solo ocurrirá una falla en un ciclo de máquina. Por este motivo, la función de seguridad no tiene que ejecutarse en el caso de dos fallos coincidentes. Se supone que se detectará una falla dentro de un ciclo de máquina. La máquina se detendrá y luego se reparará. El sistema de control luego comienza de nuevo, completamente operativo, sin fallas.

La primera intención del diseñador debe ser no permitir fallas "permanentes", que no se detectarían durante un ciclo, ya que luego podrían combinarse con fallas nuevas (acumulación de fallas). Tales combinaciones (una falla permanente y una nueva falla) pueden causar un mal funcionamiento incluso en los circuitos de Categoría 3.

A pesar de estas tácticas, es posible que ocurran dos fallas independientes al mismo tiempo dentro del mismo ciclo de máquina. Solo es muy improbable, especialmente si se han utilizado componentes altamente confiables. Para aplicaciones de muy alto riesgo, se deben usar tres o más subcanales. Esta filosofía se basa en el hecho de que el tiempo medio entre fallas es mucho mayor que el ciclo de la máquina.

Sin embargo, esto no significa que la tabla no pueda ampliarse más. La Tabla 1 es básica y estructuralmente muy similar a la Tabla 2 utilizada en EN 954-1. Sin embargo, no intenta incluir demasiados criterios de clasificación. Los requisitos se definen de acuerdo con las leyes rigurosas de la lógica, por lo que solo se pueden esperar respuestas claras (SÍ o NO). Esto permite una evaluación, ordenación y clasificación más exactas de los circuitos enviados (canales relacionados con la seguridad) y, por último, pero no menos importante, una mejora significativa de la reproducibilidad de la evaluación.

Sería ideal si los riesgos pudieran clasificarse en varios niveles de riesgo y luego se estableciera un vínculo definitivo entre los niveles de riesgo y las categorías, todo esto independientemente de la tecnología en uso. Sin embargo, esto no es completamente posible. Al principio, después de crear categorías, quedó claro que incluso con la misma tecnología, varias preguntas no se respondían suficientemente. ¿Qué es mejor: un componente muy fiable y bien diseñado de la Categoría 1 o un sistema que cumple los requisitos de la Categoría 3 con poca fiabilidad?

Para explicar este dilema hay que diferenciar entre dos cualidades: fiabilidad y seguridad (frente a fallos). No son comparables, ya que ambas cualidades tienen características diferentes:

El componente con mayor confiabilidad tiene la característica desagradable de que, en caso de falla (aunque sea muy improbable), la función dejará de funcionar.
Los sistemas de categoría 3, en los que incluso en caso de un solo fallo se realizará la función, no son seguros frente a dos fallos al mismo tiempo (lo que puede ser importante es si se han utilizado componentes suficientemente fiables).

Teniendo en cuenta lo anterior, puede ser que la mejor solución (desde el punto de vista de alto riesgo) sea usar componentes altamente confiables y configurarlos para que el circuito esté seguro contra al menos una falla (preferiblemente más). Está claro que tal solución no es la más económica. En la práctica, el proceso de optimización es principalmente la consecuencia de todas estas influencias y consideraciones.

La experiencia con el uso práctico de las categorías muestra que rara vez es posible diseñar un sistema de control que pueda utilizar una sola categoría en todo momento. La combinación de dos o incluso tres partes, cada una de una categoría diferente, es típica, como se ilustra en el siguiente ejemplo:

Muchas barreras de luz de seguridad están diseñadas en la categoría 4, en la que un canal funciona con una señal dinámica. Al final de este sistema suele haber dos subcanales mutuamente supervisados que funcionan con señales estáticas. (Esto cumple con los requisitos para la Categoría 3.)

Según EN 50100, estas barreras de luz se clasifican como Dispositivos de protección electrosensibles de tipo 4, aunque se componen de dos partes. Desafortunadamente, no hay acuerdo sobre cómo denominar los sistemas de control que consisten en dos o más partes, cada parte de otra categoría.

Sistemas electrónicos programables (PES)

Los principios utilizados para crear la tabla 1 pueden, por supuesto, con ciertas restricciones, aplicarse también a los SPE.

Sistema solo PES

Al utilizar los PES para el control, la información se transfiere del sensor al activador a través de una gran cantidad de componentes. Más allá de eso, incluso pasa "a través" del software. (Ver figura 12).

Figura 12. Un circuito del sistema PES

Aunque los PES modernos son muy confiables, la confiabilidad no es tan alta como se requiere para procesar las funciones de seguridad. Más allá de eso, los sistemas PES habituales no son lo suficientemente seguros, ya que no realizarán la función relacionada con la seguridad en caso de falla. Por lo tanto, no se permite el uso de PES para el procesamiento de funciones de seguridad sin medidas adicionales.

Aplicaciones de muy bajo riesgo: Sistemas con un PES y medidas adicionales

Cuando se utiliza un solo PES para el control, el sistema consta de las siguientes partes principales:

Parte de entrada

La confiabilidad de un sensor y la entrada de un PES se puede mejorar duplicándolos. Tal configuración de entrada de doble sistema puede ser supervisada adicionalmente por software para verificar si ambos subsistemas están entregando la misma información. Así se pueden detectar los fallos en la parte de entrada. Esta es casi la misma filosofía que se requiere para la Categoría 3. Sin embargo, debido a que la supervisión se realiza mediante software y solo una vez, esto puede denominarse 3- (o no tan confiable como 3).

Parte media

Aunque esta parte no se puede duplicar bien, se puede probar. Al encender (o durante la operación), se puede realizar una verificación de todo el conjunto de instrucciones. A los mismos intervalos, la memoria también puede comprobarse mediante patrones de bits adecuados. Si dichas comprobaciones se llevan a cabo sin fallas, ambas partes, la CPU y la memoria, obviamente funcionan correctamente. La parte central tiene ciertas características típicas de la Categoría 4 (señal dinámica) y otras típicas de la Categoría 2 (pruebas realizadas regularmente a intervalos adecuados). El problema es que estas pruebas, a pesar de su extensión, no pueden ser realmente completas, ya que el sistema de un PES inherentemente no las permite.

Parte de salida

Similar a una entrada, la salida (incluidos los activadores) también se puede duplicar. Ambos subsistemas pueden ser supervisados con respecto al mismo resultado. Se detectarán los fallos y se ejecutará la función de seguridad. Sin embargo, hay los mismos puntos débiles que en la parte de entrada. En consecuencia, se elige la Categoría 3 en este caso.

En la figura 13 se lleva la misma función a los relés. A y B. Los contactos de mando a y b, luego informa a dos sistemas de entrada si ambos relés están haciendo el mismo trabajo (a menos que haya ocurrido una falla en uno de los canales). La supervisión se realiza nuevamente por software.

Figura 13. Un circuito PES con un sistema de detección de fallas

Todo el sistema puede describirse como Categoría 3-/4/2/3- si se realiza de manera adecuada y extensa. No obstante, los puntos débiles de tales sistemas como los descritos anteriormente no pueden eliminarse por completo. De hecho, los PES mejorados se utilizan realmente para funciones relacionadas con la seguridad solo cuando los riesgos son bastante bajos (Hölscher y Rader 1984).

Aplicaciones de bajo y medio riesgo con un PES

Hoy en día, casi todas las máquinas están equipadas con una unidad de control PES. Para resolver el problema de la confiabilidad insuficiente y, por lo general, la seguridad insuficiente contra fallas, se usan comúnmente los siguientes métodos de diseño:

En máquinas relativamente simples como los ascensores, las funciones se dividen en dos grupos: (1) las funciones que no están relacionadas con la seguridad son procesadas por el PES; (2) las funciones relacionadas con la seguridad se combinan en una cadena (circuito de seguridad) y se procesan fuera del PES (consulte la figura 14).

Figura 14. Estado del arte para parada categoría 0

El método dado arriba no es adecuado para máquinas más complejas. Una de las razones es que tales soluciones por lo general no son lo suficientemente seguras. Para aplicaciones de riesgo medio, las soluciones deben cumplir con los requisitos de la categoría 3. En la figura 15 y la figura 16 se presentan ideas generales sobre cómo pueden verse estos diseños.

Figura 15. Estado del arte para parada categoría 1

Figura 16. Estado del arte para parada categoría 2

Aplicaciones de alto riesgo: sistemas con dos (o más) PES

Aparte de la complejidad y el costo, no hay otros factores que impidan que los diseñadores utilicen sistemas PES totalmente duplicados, como Siemens Simatic S5-115F, 3B6 Typ CAR-MIL, etc. Por lo general, estos incluyen dos PES idénticos con software homogéneo y asumen el uso de PES "bien probados" y compiladores "bien probados" (un PES o compilador bien probado puede considerarse uno que en muchas aplicaciones prácticas durante 3 o más años ha demostrado que los fallos sistemáticos han sido obviamente eliminados). Aunque estos sistemas de PSA doble no tienen los puntos débiles de los sistemas de PSA simple, esto no significa que los sistemas de PSA doble resuelvan todos los problemas. (Ver figura 17).

Figura 17. Sistema sofisticado con dos PES

Fallas Sistemáticas

Las fallas sistemáticas pueden deberse a errores en las especificaciones, el diseño y otras causas, y pueden estar presentes tanto en el hardware como en el software. Los sistemas de doble PES son adecuados para su uso en aplicaciones relacionadas con la seguridad. Tales configuraciones permiten la detección de fallas de hardware aleatorias. Mediante la diversidad de hardware, como el uso de dos tipos diferentes o productos de dos fabricantes diferentes, se podrían revelar fallas sistemáticas de hardware (es muy poco probable que ocurra una falla sistemática de hardware idéntica en ambos PES).

Software

El software es un elemento nuevo en las consideraciones de seguridad. El software es correcto o incorrecto (con respecto a las fallas). Una vez correcto, el software no puede volverse incorrecto instantáneamente (en comparación con el hardware). Los objetivos son erradicar todos los errores en el software o al menos identificarlos.

Hay varias formas de lograr este objetivo. uno es el verificación del programa (una segunda persona intenta descubrir los errores en una prueba posterior). Otra posibilidad es diversidad del software, en el que dos programas diferentes, escritos por dos programadores, abordan el mismo problema. Si los resultados son idénticos (dentro de ciertos límites), se puede suponer que ambas secciones del programa son correctas. Si los resultados son diferentes, se presume que hay errores. (Nota: El arquitectura del hardware naturalmente también debe ser considerado.)

Resumen

Cuando se utilizan PES, generalmente se deben tener en cuenta las mismas consideraciones básicas siguientes (como se describe en las secciones anteriores).

Un sistema de control sin redundancia puede asignarse a la Categoría B. Un sistema de control con medidas adicionales puede ser de Categoría 1 o incluso superior, pero no superior a 2.
Un sistema de control de dos partes con comparación mutua de resultados puede asignarse a la Categoría 3. Un sistema de control de dos partes con comparación mutua de resultados y más o menos diversidad puede asignarse a la Categoría 3 y es adecuado para aplicaciones de mayor riesgo.

Un factor nuevo es que para el sistema con un PES, incluso el software debe evaluarse desde el punto de vista de la corrección. El software, si es correcto, es 100% fiable. En esta etapa de desarrollo tecnológico, probablemente no se utilizarán las mejores soluciones técnicas posibles y conocidas, ya que los factores limitantes siguen siendo económicos. Además, varios grupos de expertos continúan desarrollando los estándares para las aplicaciones de seguridad de los PES (p. ej., EC, EWICS). Aunque ya existen varios estándares disponibles (VDE0801, IEC65A, etc.), este tema es tan amplio y complejo que ninguno de ellos puede considerarse definitivo.

Atrás

Leer 10922 veces Ultima modificacion el Miércoles, agosto 31 2011 16: 05

Publicado en 58. Aplicaciones de seguridad

Más en esta categoría: « Software y Computadoras: Sistemas Automatizados Híbridos Principios de seguridad para máquinas herramienta CNC »

Volver arriba

" EXENCIÓN DE RESPONSABILIDAD: La OIT no se responsabiliza por el contenido presentado en este portal web que se presente en un idioma que no sea el inglés, que es el idioma utilizado para la producción inicial y la revisión por pares del contenido original. Ciertas estadísticas no se han actualizado desde la producción de la 4ª edición de la Enciclopedia (1998)."

Contenido

Referencias de aplicaciones de seguridad

Arteau, J, A Lan y JF Corveil. 1994. Uso de líneas de vida horizontales en la construcción de acero estructural. Actas del Simposio Internacional de Protección contra Caídas, San Diego, California (27 y 28 de octubre de 1994). Toronto: Sociedad Internacional para la Protección contra Caídas.

Backström, T. 1996. Riesgo de accidentes y protección de la seguridad en la producción automatizada. Tesis doctoral. Arbete och Hälsa 1996:7. Solna: Instituto Nacional para la Vida Laboral.

Backström, T y L Harms-Ringdahl. 1984. Un estudio estadístico de los sistemas de control y accidentes de trabajo. J Ocupación cc. 6:201–210.

Backström, T y M Döös. 1994. Defectos técnicos detrás de accidentes en la producción automatizada. En Advances in Agile Manufacturing, editado por PT Kidd y W Karwowski. Ámsterdam: IOS Press.

—. 1995. Una comparación de accidentes laborales en industrias con tecnología de fabricación avanzada. Int J Hum Factores Manufac. 5(3). 267–282.

—. En prensa. La génesis técnica de las fallas de las máquinas que conducen a los accidentes laborales. Int J Ind Ergonomía.

—. Aceptado para su publicación. Frecuencias absolutas y relativas de accidentes de automatización en diferentes tipos de equipos y para diferentes grupos ocupacionales. Res. J Saf.

Bainbridge, L. 1983. Ironías de la automatización. Automática 19: 775–779.

Bell, R y D Reinert. 1992. Conceptos de riesgo e integridad del sistema para sistemas de control relacionados con la seguridad. Saf Sci 15:283–308.

Bouchard, P. 1991. Échafaudages. Guía serie 4. Montreal: CSST.

Oficina de Asuntos Nacionales. 1975. Normas de seguridad y salud en el trabajo. Estructuras de protección contra vuelcos para equipos de manipulación de materiales y tractores, Secciones 1926, 1928. Washington, DC: Oficina de Asuntos Nacionales.

Corbet, JM. 1988. Ergonomía en el desarrollo de AMT centrado en el ser humano. Ergonomía aplicada 19:35–39.

Culver, C y C Connolly. 1994. Prevenir caídas fatales en la construcción. Saf Salud Septiembre 1994:72–75.

Deutsche Industrie Norman (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlín: Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlín: Beuth Verlag.

—. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Seguridad de máquinas—Equipos de protección sensibles a la presión]. DIN prEN 1760. Berlín: Beuth Verlag.

—. 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Vehículos comerciales—Detección de obstáculos al dar marcha atrás—Requisitos y pruebas]. Norma DIN 75031. Febrero 1995.

Döös, M y T Backström. 1993. Descripción de los accidentes en el manejo automatizado de materiales. En Ergonomics of Materials Handling and Information Processing at Work, editado por WS Marras, W Karwowski, JL Smith y L Pacholski. Varsovia: Taylor y Francis.

—. 1994. Las perturbaciones en la producción como riesgo de accidente. En Advances in Agile Manufacturing, editado por PT Kidd y W Karwowski. Ámsterdam: IOS Press.

Comunidad Económica Europea (CEE). 1974, 1977, 1979, 1982, 1987. Directivas del consejo sobre estructuras de protección contra vuelcos de tractores agrícolas y forestales de ruedas. Bruselas: CEE.

—. 1991. Directiva del Consejo sobre la Aproximación de las Leyes de los Estados Miembros relativas a Maquinaria. (91/368/CEE) Luxemburgo: CEE.

Etherton, JR y ML Myers. 1990. Investigación de seguridad de máquinas en NIOSH y direcciones futuras. Int J Ind Erg 6:163–174.

Freund, E, F Dierks y J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Pruebas de seguridad ocupacional de robots móviles y sistemas de robots múltiples]. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Evaluación de la confiabilidad del sistema de control. Nueva York: Instrument Society of America.

Goodstein, LP, HB Anderson y SE Olsen (eds.). 1988. Tareas, Errores y Modelos Mentales. Londres: Taylor y Francis.

Gryfe, CI. 1988. Causas y prevención de caídas. En Simposio Internacional de Protección contra Caídas. Orlando: Sociedad Internacional para la Protección contra Caídas.

Ejecutivo de Seguridad y Salud. 1989. Estadísticas de salud y seguridad 1986–87. Emplear Gaz 97(2).

Heinrich, HW, D Peterson y N Roos. 1980. Prevención de Accidentes Laborales. 5ª ed. Nueva York: McGraw-Hill.

Hollnagel, E y D Woods. 1983. Ingeniería de sistemas cognitivos: Vino nuevo en botellas nuevas. Int J Man Machine Stud 18: 583–600.

Hölscher, H y J Rader. 1984. Mikrocomputer in der Sicherheitstechnik. Renania: Verlag TgV-Reinland.

Hörte, S-Å y P Lindberg. 1989. Difusión e Implementación de Tecnologías Avanzadas de Fabricación en Suecia. Documento de trabajo No. 198:16. Instituto de Innovación y Tecnología.

Comisión Electrotécnica Internacional (IEC). 1992. 122 Borrador de norma: Software para computadoras en la aplicación de sistemas relacionados con la seguridad industrial. IEC 65 (seg). Ginebra: IEC.

—. 1993. 123 Proyecto de norma: Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables; Aspectos Genéricos. Parte 1, Requisitos generales Ginebra: IEC.

Organización Internacional del Trabajo (OIT). 1965. Seguridad y Salud en el Trabajo Agrícola. Ginebra: OIT.

—. 1969. Seguridad y Salud en el Trabajo Forestal. Ginebra: OIT.

—. 1976. Construcción y Operación Segura de Tractores. Un Repertorio de recomendaciones prácticas de la OIT. Ginebra: OIT.

Organización Internacional de Normalización (ISO). 1981. Tractores Agrícolas y Forestales de Ruedas. Estructuras de Protección. Método de prueba estática y condiciones de aceptación. ISO 5700. Ginebra: ISO.

—. 1990. Normas de gestión y garantía de la calidad: Directrices para la aplicación de la norma ISO 9001 al desarrollo, suministro y mantenimiento de software. ISO 9000-3. Ginebra: ISO.

—. 1991. Sistemas de automatización industrial: seguridad de los sistemas de fabricación integrados: requisitos básicos (CD 11161). TC 184/WG 4. Ginebra: ISO.

—. 1994. Vehículos comerciales—Dispositivo de detección de obstáculos durante la marcha atrás—Requisitos y pruebas. Informe técnico TR 12155. Ginebra: ISO.

Johnson, B. 1989. Diseño y análisis de sistemas digitales tolerantes a fallas. Nueva York: Addison Wesley.

Kidd, P. 1994. Fabricación automatizada basada en habilidades. En Organización y Gestión de Sistemas Avanzados de Fabricación, editado por W Karwowski y G Salvendy. Nueva York: Wiley.

Knowlton, RE. 1986. Introducción a los estudios de riesgo y operabilidad: el enfoque de la palabra guía. Vancouver, BC: Química.

Kuivanen, R. 1990. El impacto en la seguridad de las perturbaciones en los sistemas de fabricación flexibles. En Ergonomics of Hybrid Automated Systems II, editado por W Karwowski y M Rahimi. Ámsterdam: Elsevier.

Laeser, RP, WI McLaughlin y DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau y JF Corbeil. 1994. Protección contra caídas desde vallas publicitarias sobre el suelo. Simposio Internacional de Protección contra Caídas, San Diego, California, 27 y 28 de octubre de 1994. Actas Sociedad Internacional para la Protección contra Caídas.

Langer, HJ y W Kurfurst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Uso de sensores para asegurar el área detrás de vehículos grandes]. FB 605. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Levenson, NG. 1986. Seguridad del software: por qué, qué y cómo. Encuestas Informáticas ACM (2):S. 129–163.

McManus, TN. Nd Espacios Confinados. Manuscrito.

Microsonic GmbH. 1996. Comunicación de empresa. Dortmund, Alemania: Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens y U Ahrens. 1980. Gefahrenschutz durch pasiva Infrarot-Sensoren (II) [Protección contra peligros por sensores infrarrojos]. FB 243. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Mohan, D y R Patel. 1992. Diseño de equipos agrícolas más seguros: Aplicación de la ergonomía y la epidemiología. Int J Ind Erg 10:301–310.

Asociación Nacional de Protección contra Incendios (NFPA). 1993. NFPA 306: Control de riesgos de gas en embarcaciones. Quincy, MA: NFPA.

Instituto Nacional de Seguridad y Salud Ocupacional (NIOSH). 1994. Muertes de trabajadores en espacios confinados. Cincinnati, OH, EE. UU.: DHHS/PHS/CDCP/NIOSH Pub. Nº 94-103. NIOSH.

Neumann, PG. 1987. Los N mejores (o peores) casos de riesgo relacionados con la informática. Sistema IEEE T Man Cyb. Nueva York: S.11–13.

—. 1994. Riesgos ilustrativos para el público en el uso de sistemas informáticos y tecnologías relacionadas. Notas de ingeniería de software SIGSOFT 19, No. 1:16–29.

Administración de Seguridad y Salud Ocupacional (OSHA). 1988. Fatalidades ocupacionales seleccionadas relacionadas con la soldadura y el corte según se encuentran en los informes de las investigaciones de fatalidades/catástrofes de OSHA. Washington, DC: OSHA.

Organización para la Cooperación y el Desarrollo Económicos (OCDE). 1987. Códigos estándar para la prueba oficial de tractores agrícolas. París: OCDE.

Organisme professionel de prevention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, Francia: OPPBTP.

Rasmussen, J. 1983. Habilidades, reglas y conocimientos: Agenda, signos y símbolos, y otras distinciones en los modelos de actuación humana. Transacciones IEEE sobre Sistemas, Hombre y Cibernética. SMC13(3): 257–266.

Razón, J. 1990. Error Humano. Nueva York: Cambridge University Press.

Reese, CD y GR Mills. 1986. Epidemiología del trauma de muertes en espacios confinados y su aplicación a la intervención/prevención ahora. En La naturaleza cambiante del trabajo y la fuerza laboral. Cincinnati, OH: NIOSH.

Reinert, D y G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. En BIA-Handbuch. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

Sociedad de Ingenieros Automotrices (SAE). 1974. Protección del Operador para Equipos Industriales. Norma SAE j1042. Warrendale, Estados Unidos: SAE.

—. 1975. Criterios de desempeño para la protección contra vuelcos. Práctica recomendada por SAE. Norma SAE j1040a. Warrendale, Estados Unidos: SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Estado de desarrollo de los dispositivos de advertencia de zona trasera]. Technische Überwachung, Nr. 4, abril, S. 161.

Schreiber, P y K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Tecnología de la información en la técnica de producción, serie del Instituto Federal de Seguridad y Salud en el Trabajo]. FB 717. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Control de supervisión. En Handbook of Human Factors, editado por G. Salvendy. Nueva York: Wiley.

Springfeldt, B. 1993. Efectos de las normas y medidas de seguridad en el trabajo con especial atención a las lesiones. Ventajas de las soluciones de trabajo automático. Estocolmo: Instituto Real de Tecnología, Departamento de Ciencias del Trabajo.

Sugimoto, N. 1987. Temas y problemas de la tecnología de seguridad de los robots. En Seguridad y Salud Ocupacional en Automatización y Robótica, editado por K Noto. Londres: Taylor & Francis. 175.

Sulowski, AC (ed.). 1991. Fundamentos de la protección contra caídas. Toronto, Canadá: Sociedad Internacional para la Protección contra Caídas.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

Zimolong, B y L Duda. 1992. Estrategias de reducción de errores humanos en sistemas de fabricación avanzados. En Human-robot Interaction, editado por M Rahimi y W Karwowski. Londres: Taylor & Francis.