Search

Diseo del sistema de acuerdo a la norma IEC/EN 62061

Introduccin
IEC/EN 62061, Seguridad de la maquinaria: La seguridad funcional de sistemas de control relacionados con la seguridad elctricos, electrnicos y electrnicos
programables, es la implementacin especfica de la maquinaria segn la norma IEC/EN 61508. Proporciona requisitos que son aplicables al diseo de nivel del sistema
de todos los tipos de sistemas de control elctricos relacionados a la seguridad y tambin para el diseo de subsistemas o dispositivos no complejos.
La evaluacin de riesgos resulta en una estrategia de reduccin de riesgo que a su vez identifica la necesidad de las funciones de control relacionadas a la seguridad.
Estas funciones deben estar documentadas y deben incluir:
Especificacin de requisitos funcionales
Especificacin de requisitos de integridad de seguridad

Los requisitos funcionales incluyen detalles como frecuencia de operacin, tiempo de respuesta requerido, modos de operacin, ciclos de servicio, ambiente de
operacin y funciones de reaccin al fallo. Los requisitos de integridad de seguridad se expresan en niveles llamados nivel de integridad de seguridad (SIL).
Dependiendo de la complejidad del sistema, algunos o todos los elementos en la Tabla 14 deben considerarse para determinar si el diseo del sistema cumple con el SIL
requerido.

Elemento para consideracin de SIL Smbolo

Probabilidad de fallo peligroso por hora

PFHD

Tolerancia a fallos de hardware

Sin smbolo

Fraccin de fallo no peligrosos

SFF

Intervalo de prueba de calidad

T1

Intervalo de prueba de diagnstico

T2

Susceptibilidad a fallos por causa comn

Cobertura de diagnstico

CC

Tabla14:ElementosparaconsideracindeSIL

Subsistemas
El trmino subsistema tiene un significado especial en IEC/EN 62061. Es el primer nivel de subdivisin de un sistema en partes que, si fallan, podra ocasionar un
fallo de la funcin de seguridad. Por lo tanto, si se utilizan dos interruptores redundantes en un sistema ninguno de los interruptores es un subsistema. El subsistema
podra comprender ambos interruptores y cualquier otra funcin de diagnstico de fallo asociada.

Probabilidad de fallo peligroso por hora (PFHDD)

IEC/EN 62061 utiliza los mismos mtodos bsicos descritos en la seccin acerca de la norma EN ISO 138491 para determinar las tasas de fallo a nivel de los
componentes. Las mismas disposiciones y mtodos aplican a componentes electrnicos y mecansticos. En la norma IEC/EN 62061 no hay una consideracin de MTTFd
en aos. La tasa de fallo por hora (l) se calcula directamente o se obtiene o deriva del valor B10 siguiendo la siguiente frmula:
l = 0.1 x C/B10 (donde C = el nmero de ciclos de operacin por hora)
Existe una diferencia significativa entre las normas en la metodologa para determinar el PFH totalD para un sistema o subsistema. Se debe llevar a cabo un anlisis de
los componentes para determinar la probabilidad de fallo de los subsistemas. Se proporcionan frmulas ms simples para el clculo de arquitecturas de subsistemas
comunes (descritos ms adelante en el texto). Cuando estas frmulas no sean apropiadas ser necesario utilizar mtodos de clculo ms complejos tales como los
modelos Markov. Los valores de probabilidad de fallos peligrosos (PFHD) de cada subsistema se suman para determinar el PFHD total para el sistema. La Tabla 15
(Tabla 3 de la norma) puede usarse para determinar qu nivel de integridad de seguridad (SIL) es apropiado a ese rango de PFHD.
lDssB = (1)2 x lDe1 x lDe2 x T1 + x (lDe1 + lDe2) / 2
PFHDssB = lDssB x 1h
Las frmulas para esta arquitectura tienen en cuenta la configuracin paralela de los elementos del subsistema y aaden los siguientes dos elementos de la Tabla 14:
(Beta) es la susceptibilidad a los fallos por causa comn.

SIL (Nivel de integridad de la seguridad) PFHD (Probabilidad de fallos peligrosos por hora)
3

108<107

107<10-6

106<105

Tabla 15: Probabilidades de fallo peligroso por SILs

Los datos de PFHD para un subsistema sern normalmente provistos por el fabricante. La informacin para los componentes y sistemas de seguridad de Rockwell
Automation est disponible en varias formas incluyendo:http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx
Este sitio web ser actualizado peridicamente ya que a lo largo del tiempo habr ms informacin disponible acerca de otros componentes y sistemas de seguridad de
Rockwell Automation.
IEC/EN 62061 tambin deja en claro que los manuales de datos de confiabilidad pueden ser utilizados solo cuando corresponda.
Para dispositivos electromecnicos de baja complejidad, el mecanismo de fallo est normalmente relacionado al nmero y frecuencia de operaciones en lugar de solo
tiempo. Por lo tanto, para estos componentes la informacin ser derivada de alguna forma de prueba (por ej., prueba B10 como se describe en el captulo de EN ISO
138491). La informacin basada en la aplicacin, tal como el nmero anticipado de operaciones por ao, ser luego requerida para poder convertir el B10 o informacin
similar a PFHD.
NOTA: En general lo siguiente es verdadero (teniendo en cuenta un factor para cambiar aos a horas):
PFHD = 1/MTTFd
Sin embargo, es importante entender que, para un sistema de doble canal (con o sin diagnstico), no es correcto usar 1/ PFHD para determinar el MTTFd requerido por
la norma EN ISO 138491. Esa norma requiere el MTTFd de un canal individual. Este es un valor muy diferente al MTTFd de la combinacin de ambos canales de un
subsistema de doble canal.

Restriccionesarquitectnicas
La caracterstica esencial de la norma IEC/EN 62061 es que el sistema de seguridad est dividido en subsistemas. El nivel de integridad de seguridad del hardware que
puede solicitarse para un subsistema est limitado no solo por el PHFD sino tambin por tolerancia a fallos de hardware y la fraccin de fallo de seguridad de los
subsistemas. La tolerancia a fallos de hardware se refiere a la capacidad del sistema para ejecutar su funcin en el caso de fallos. Una tolerancia a fallos de cero
significa que la funcin no se est llevando a cabo cuando ocurre un solo fallo. Una tolerancia a fallos de uno permite al subsistema desarrollar su funcin en el caso de
un fallo nico. La fraccin de fallo de seguridad es la porcin de la tasa de fallo total que no resulta en fallo peligroso. La combinacin de estos dos elementos se conoce
como restriccin arquitectnica y su salida es el lmite de declaracin de SIL (SIL CL) La Tabla 16 muestra la relacin de las restricciones arquitectnicas a SILCL. Un
subsistema (y por lo tanto su sistema) debe satisfacer tanto los requisitos del PFHD como las restricciones arquitectnicas junto con otras disposiciones relevantes de la
norma.

Fraccin de fallos no peligrosos (SFF) Tolerancia a fallos de hardware

0

<60%

No permitido a menos que se apliquen excepciones especficas

SIL1

SIL2

60%<90%

SIL1

SIL2

SIL3

90%<99%

SIL2

SIL3

SIL3

99%

SIL3

SIL3

SIL3

Tabla16:RestriccionesarquitectnicasconrespectoaSIL

Por ejemplo, una arquitectura que posee tolerancia a un solo fallo y tiene una fraccin de fallos no peligrosos de 75% est limitada a una clasificacin no mayor que
SIL2, independientemente de la probabilidad de fallo peligroso.

Realizacindelsistema
Para calcular la probabilidad de fallo peligroso, cada funcin de seguridad debe ser desglosada en bloques de funciones, los cuales son luego considerados subsistemas.
Una implementacin de diseo de sistema de una funcin de seguridad tpica incluira un dispositivo de deteccin conectado a un dispositivo lgico conectado a un
accionador. Esto crea una configuracin en serie de subsistemas. Como ya hemos visto, si podemos determinar la probabilidad de fallo peligroso para cada subsistema
y conocer su SIL CL, entonces la probabilidad de fallo del sistema se calcula con mayor facilidad sumando la probabilidad de fallos de los subsistemas. Este concepto
puede observarse en la Figura 136.

Figura135:Ejemplodecombinacindesubsistemas

Si, por ejemplo, queremos obtener un SIL 2, cada sistema debe tener un SIL CL de al menos SIL 2, y la suma del PFHD para el sistema no debe exceder el lmite
permitido en la Tabla 15.

Diseodesubsistema:IEC/EN62061
Si un diseador de sistema utiliza componentes ensamblados en subsistemas segn IEC/EN 62061, las cosas se facilitan mucho porque no se aplican los requisitos
especficos para el diseo de subsistemas. Estos requisitos sern cubiertos, en general, por el fabricante del dispositivo (subsistema) y son mucho ms complejos que
los requeridos para el diseo de niveles del sistema.
IEC/EN 62061 requiere que los subsistemas complejos, como los PLC de seguridad, cumplan con las especificaciones de IEC 61508 u otras normas adecuadas. Esto
significa que, para dispositivos que usan componentes complejos electrnicos o programables, est en pleno vigor la norma IEC 61508. Esto puede ser un proceso muy
difcil y laborioso. Por ejemplo, la evaluacin de PFHD lograda por un subsistema complejo puede ser un proceso complicado con tcnicas tales como modelado Markov,
diagramas de bloques de confiabilidad o anlisis de rbol de fallos.
IEC/EN 62061 proporciona requisitos para el diseo de subsistemas de menor complejidad. Normalmente esto incluira componentes elctricos relativamente simples
tales como interruptores de enclavamiento y rels de control de seguridad electromecnicos. Los requisitos no son iguales a los de la norma IEC 61508 pero an as
pueden ser bastante complicados.
La norma IEC/EN 62061 proporciona cuatro arquitecturas lgicas de subsistemas, incluidas sus frmulas, que pueden usarse para evaluar el PFHD logrado por un
subsistema de baja complejidad. Estas arquitecturas son representaciones puramente lgicas y no deben considerarse arquitecturas fsicas. En las Figuras 136 hasta la
139 se pueden observar las cuatro arquitecturas lgicas de subsistemas, incluidas sus frmulas.
Para la arquitectura de subsistema bsica mostrada en la Figura 136, las probabilidades de fallos peligrosos simplemente se suman.

Figura136:ArquitecturalgicadelsubsistemaA

lDssA = lDe1 ++ lDen

PFHDssA = lDssA x 1h
El smbolo l (lambda) se utiliza para tasa de fallo. Las unidades de la tasa de fallos son fallos por hora. lD es la tasa de fallos peligrosos. lDssA, es la tasa de fallos
peligrosos del subsistema A. Es la suma de las tasas de fallos de los elementos individuales, e1, e2, e3, hasta e incluyendo en. La probabilidad de fallos peligrosos se
multiplica por 1 hora para crear la probabilidad de fallo durante una hora.
La Figura 137 muestra un sistema tolerante a un solo fallo sin funcin de diagnstico. Cuando la arquitectura incluye tolerancia a un solo fallo, existe el potencial de
fallo por causa comn y debe considerarse. La derivacin del fallo por causa comn se describe brevemente en esta seccin.

Figura137:ArquitecturalgicadelsubsistemaB

lDssB= (1)2 x lDe1 x lDe2 x T1 + x (lDe1 + lDe2) / 2

PFHDssB = lDssB x 1h

Las frmulas para esta arquitectura tienen en cuenta la configuracin paralela de los elementos del subsistema y aaden los siguientes dos elementos de la Tabla 14:
(Beta) es la susceptibilidad a los fallos por causa comn.
T1 es el intervalo de prueba de calidad o la vida til, el menor de los dos. La prueba de calidad est diseada para detectar fallos y la degradacin del subsistema de
seguridad de modo que el subsistema pueda restaurarse a una condicin de operacin perfecta. En trminos prcticos esto normalmente implica reemplazo (como el
trmino equivalente tiempo de misin en EN ISO 138491).
La Figura 139 muestra la representacin funcional de un sistema tolerante a cero fallos con una funcin de diagnstico. La cobertura de diagnstico se utiliza para
disminuir la probabilidad de fallos de hardware peligrosos. Las pruebas de diagnstico se realizan automticamente. La definicin de cobertura de diagnstico es la
misma que se da en la norma EN ISO 138491 es decir, la relacin de la tasa de fallos peligrosos detectados y la tasa de todos los fallos peligrosos.
Estas frmulas incluyen la cobertura de diagnstico, DC, para cada uno de los elementos del subsistema. Las tasas de fallo de cada uno de los subsistemas son
reducidas por la cobertura de diagnstico de cada subsistema.
El cuarto ejemplo de una arquitectura de subsistema puede observarse en la Figura 139. Este subsistema es tolerante a fallo nico e incluye una funcin de diagnstico.
El potencial de fallo por causa comn tambin debe ser considerado con sistemas tolerantes a fallo nico.

Figura138:ArquitecturalgicadelsubsistemaC

La Figura 138 muestra la representacin funcional de un sistema tolerante a cero fallos con una funcin de diagnstico. La cobertura de diagnstico se utiliza para
disminuir la probabilidad de fallos de hardware peligrosos. Las pruebas de diagnstico se realizan automticamente. La definicin de cobertura de diagnstico es la
misma que se da en la norma EN ISO 138491 es decir, la relacin de la tasa de fallos peligrosos detectados comparada con la tasa de todos los fallos peligrosos.
Estas frmulas incluyen una cobertura de diagnstico, DC, para cada uno de los elementos del subsistema. Las tasas de fallo de cada uno de los subsistemas son
reducidos por la cobertura de diagnstico de cada subsistema.
lDssC = lDe1 (1-DC1)+ . . . + lDen (1-DCn)
PFHDssC = lDssC x 1h
El cuarto ejemplo de una arquitectura de subsistema puede verse en la Figura 139. Este subsistema es tolerante a fallo nico e incluye una funcin de diagnstico. El
potencial de fallo por causa comn tambin debe considerarse con sistemas tolerantes a fallo nico.

Figura139:ArquitecturalgicadelsubsistemaD

Si los elementos del subsistema son diferentes en cada canal, se usa la siguiente frmula:
lDssD = (1 - b)2 { lDe1 x lDe2 x (DC1+ DC2) x T2 / 2 + lDe1 x lDe2 x (2- DC1 - DC2) x T1 / 2 } + b x (lDe1 + lDe2 ) / 2
PFHDssD = lDssD x 1h
Si los elementos del subsistema son los mismos en cada canal se usa la siguiente frmula:
lDssD = (1 - b)2 {[ lDe2 x 2 x DC] x T2 / 2 + [lDe2 x lDe2 x (1-DC)] x T1 } + b x (lDe
PFHDssD = lDssD x 1h
Observe que ambas frmulas usan un parmetro adicional, T2, el intervalo de diagnstico. Esta es solo una revisin peridica de la funcin. Es una prueba menos
completa que la prueba de calidad.
Como ejemplo, considere los siguientes factores para el ejemplo donde los elementos del subsistema son diferentes:

b = 0.05
T2 = 2 horas
lDe = 1 x 10 -6 fallos/hora DC = 90%
T1 = 87600 horas (10 aos)
PFHDssD = 5.791E08 fallos peligrosos por hora. Esto estara dentro del rango requerido para el SIL 3.

Efecto del intervalo de prueba de calidad

IEC/EN 62061 establece que un intervalo de prueba de calidad (PTI) de 20 aos es preferible (pero no obligatorio). Veamos el efecto que el intervalo de prueba de
calidad tiene en el sistema. Si recalculamos la frmula con T1 a 20 aos nos da el resultado PFHDssD = 6.581E08. Esta an dentro del rango requerido para SIL 3. El
diseador debe tener en mente que este subsistema debe ser combinado con otros subsistemas para calcular la tasa de fallos peligrosos total.

Efectoenelanlisisdefalloporcausacomn
Veamos el efecto que los fallos por causa comn tienen en el sistema. Supongamos que tomamos medidas adicionales y nuestro valor b (Beta) mejora a 1% (0,01), a la
vez que el intervalo de prueba de calidad se mantiene en 20 aos. La tasa de fallo peligroso mejora a 2.71E08 lo cual significa que el subsistema es ahora ms
adecuado para usar en un sistema de SIL 3.

Falloporcausacomn(CCF)
El fallo por causa comn ocurre cuando mltiples fallos que resulten de una sola causa producen un fallo peligroso. La informacin acerca de CCF generalmente solo ser
requerida por el diseador del subsistema, normalmente el fabricante. Se utiliza como parte de las frmulas proporcionadas en PFHD de un subsistema. Normalmente no
ser requerido en el nivel de diseo del sistema.
El Anexo F de IEC/EN62061 proporciona un enfoque simple para el clculo de CCF. La Tabla 17 muestra un resumen del proceso de calificacin.

No.

Medida contra CCF

Puntaje

Separacin/Segregacin

25

Diversidad

38

Diseo/Aplicacin/Experiencia

Evaluacin/Anlisis

18

Aptitud/Capacitacin

Especificaciones ambientales

18

Tabla 17: Puntuacin para medidas contra el fallo por causa comn

Se otorgan puntos por emplear medidas especficas contra el CCF. Esta puntuacin se suma para determinar el factor de fallo por causa comn, que puede observarse
en la Tabla 18. El factor beta se utiliza en las frmulas simplificadas de arquitectura del subsistema para influir en la tasa de fallo como ya se ha observado.

Puntuacin general Factor (b) de fallo por causa comn

<35

10% (0,1)

3565

5% (0,05)

6585

2% (0,02)

85100

1% (0.01)

Tabla 18: Factor Beta para fallo por causa comn

Coberturadediagnstico(DC)
Las pruebas de diagnstico automticas se utilizan para disminuir la probabilidad de fallos peligrosos de hardware. Sera ideal poder detectar todos los fallos peligrosos
de hardware, pero en la prctica el valor mximo est establecido en 99% (esto tambin puede expresarse como 0.99)
La cobertura de diagnsticos es la relacin de los fallos peligrosos detectados comparado con todos los fallos peligrosos.
Probabilidad de fallos peligrosos detectados, lDD
DC =
------------------------------------------------------Probabilidad de fallos peligrosos totales, lDtotal

Tolerancia a fallos de hardware

La tolerancia a fallos de hardware representa el nmero de fallos que pueden ser soportados por un subsistema antes de que cause un fallo peligroso. Por ejemplo, una

tolerancia a fallos de hardware de uno significa que dos fallos podran causar la prdida de la funcin de control relacionado a la seguridad pero esto no ocurrira con un
fallo.

Administracindelaseguridadfuncional
La norma proporciona los requisitos para el control de planeamiento apropiado, gestin de proyectos y actividades tcnicas que son necesarias para el logro del sistema
de control elctrico relacionado a la seguridad.

Intervalo de prueba de calidad

El intervalo de prueba de calidad representa el tiempo despus del cual un subsistema debe estar totalmente revisado o reemplazado para asegurar que est en
condicin de nuevo. En la prctica, en el sector de la maquinaria, esto se logra con un reemplazo. Entonces el intervalo de prueba de calidad es normalmente lo
mismo que la vida til. EN ISO 138491 hace referencia a esto como tiempo de misin.
Una prueba de calidad es una revisin que puede detectar fallos y degradacin en un SRCS para que el SRCS pueda ser restaurado lo ms cercano posible a la condicin
como nuevo. La prueba de calidad debe detectar el 100% de todos los fallos peligrosos. Los canales separados deben probarse de manera separada.
En contraste a las pruebas funcionales de diagnstico, que son automticas, las pruebas de calidad normalmente se realizan manera manual y fuera de lnea. La prueba
funcional de diagnstico normalmente se realiza con frecuencia (usualmente en unas pocas horas) a comparacin de la prueba de calidad que se realiza de manera
infrecuente (usualmente por muchos aos). Por ejemplo, los circuitos que van a un interruptor de enclavamiento en una guarda pueden probarse funcionalmente de
manera automtica para detectar condiciones de cortocircuito y circuito abierto con pruebas de diagnstico (por ej., impulso).
El intervalo de prueba de calidad debe ser declarado por el fabricante. A veces el fabricante proporcionar un rango de intervalos de prueba de calidad diferentes.

Fraccindefallosnopeligrosos(SFF)
La fraccin de fallos no peligrosos es similar a la cobertura de diagnstico (DC), pero tambin toma en consideracin cualquier tendencia inherente de fallo a un estado
de seguridad. Por ejemplo, cuando se funde un fusible hay un fallo, pero es muy probable que el fallo sea un circuito abierto que, en la mayora de casos sera un fallo
no peligroso. SFF es (la suma de la tasa de fallos no peligrosos ms la tasa de fallos peligrosos detectados) dividido entre (la suma de la tasa de fallos no
peligrosos ms la tasa de fallos peligrosos detectados y no detectados). Es importante darse cuenta de que los nicos tipos de fallos a considerar son aquellos que
podran tener algn efecto en la funcin de seguridad.
La mayora de dispositivos mecnicos de baja complejidad, tales como botones de paro de emergencia e interruptores de enclavamiento (por si mismos) tendrn un
SFF relativamente bajo. La mayora de dispositivos electrnicos por seguridad tienen redundancia y monitoreo en su diseo, por lo tanto un SFF de ms del 90% es
comn a pesar de que esto es normalmente debido a la capacidad de la cobertura de diagnstico en su totalidad.
El valor SFF ser normalmente provisto por el fabricante.
La fraccin de fallo no peligroso (SFF) puede calcularse utilizando la siguiente ecuacin:
SFF = (Sl S + Sl DD) / (Sl S + Sl D)
donde
lS

= la tasa de fallo no peligroso

Sl S + Sl D = La tasa de fallos totales,

l DD

= la tasa de fallos peligrosos detectados

lD

= la tasa de fallos peligrosos.

Fallosistemtico
La norma tiene requisitos para controlar y evitar los fallos sistemticos. Los fallos sistemticos difieren de los fallos de hardware aleatorios, que son fallos que ocurren
en un tiempo aleatorio, normalmente como resultado de la degradacin de partes de hardware. Los tipos tpicos de posibles fallos sistemticos son errores de diseo de
software, errores de diseo de hardware, errores de especificacin de requisitos y procedimientos de operacin. Algunos ejemplos de pasos necesarios para evitar un
fallo sistemtico incluyen:
Correcta seleccin, combinacin, configuraciones, ensamblaje e instalacin de componentes;
Uso de buenas prcticas de ingeniera,
Seguir las especificaciones del fabricante y las instrucciones de instalacin,
Asegurar la compatibilidad entre los componentes,
Resistencia a las condiciones ambientales,
Uso de materiales apropiados.

Copyright2016Rockwell Automation, Inc. Todos los Derechos Reservados.