Академический Документы
Профессиональный Документы
Культура Документы
Los requisitos funcionales incluyen detalles como frecuencia de operacin, tiempo de respuesta requerido, modos de operacin, ciclos de servicio, ambiente de
operacin y funciones de reaccin al fallo. Los requisitos de integridad de seguridad se expresan en niveles llamados nivel de integridad de seguridad (SIL).
Dependiendo de la complejidad del sistema, algunos o todos los elementos en la Tabla 14 deben considerarse para determinar si el diseo del sistema cumple con el SIL
requerido.
PFHD
Sin smbolo
SFF
T1
T2
Cobertura de diagnstico
CC
Tabla14:ElementosparaconsideracindeSIL
Subsistemas
El trmino subsistema tiene un significado especial en IEC/EN 62061. Es el primer nivel de subdivisin de un sistema en partes que, si fallan, podra ocasionar un
fallo de la funcin de seguridad. Por lo tanto, si se utilizan dos interruptores redundantes en un sistema ninguno de los interruptores es un subsistema. El subsistema
podra comprender ambos interruptores y cualquier otra funcin de diagnstico de fallo asociada.
SIL (Nivel de integridad de la seguridad) PFHD (Probabilidad de fallos peligrosos por hora)
3
108<107
107<10-6
106<105
Los datos de PFHD para un subsistema sern normalmente provistos por el fabricante. La informacin para los componentes y sistemas de seguridad de Rockwell
Automation est disponible en varias formas incluyendo:http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx
Este sitio web ser actualizado peridicamente ya que a lo largo del tiempo habr ms informacin disponible acerca de otros componentes y sistemas de seguridad de
Rockwell Automation.
IEC/EN 62061 tambin deja en claro que los manuales de datos de confiabilidad pueden ser utilizados solo cuando corresponda.
Para dispositivos electromecnicos de baja complejidad, el mecanismo de fallo est normalmente relacionado al nmero y frecuencia de operaciones en lugar de solo
tiempo. Por lo tanto, para estos componentes la informacin ser derivada de alguna forma de prueba (por ej., prueba B10 como se describe en el captulo de EN ISO
138491). La informacin basada en la aplicacin, tal como el nmero anticipado de operaciones por ao, ser luego requerida para poder convertir el B10 o informacin
similar a PFHD.
NOTA: En general lo siguiente es verdadero (teniendo en cuenta un factor para cambiar aos a horas):
PFHD = 1/MTTFd
Sin embargo, es importante entender que, para un sistema de doble canal (con o sin diagnstico), no es correcto usar 1/ PFHD para determinar el MTTFd requerido por
la norma EN ISO 138491. Esa norma requiere el MTTFd de un canal individual. Este es un valor muy diferente al MTTFd de la combinacin de ambos canales de un
subsistema de doble canal.
Restriccionesarquitectnicas
La caracterstica esencial de la norma IEC/EN 62061 es que el sistema de seguridad est dividido en subsistemas. El nivel de integridad de seguridad del hardware que
puede solicitarse para un subsistema est limitado no solo por el PHFD sino tambin por tolerancia a fallos de hardware y la fraccin de fallo de seguridad de los
subsistemas. La tolerancia a fallos de hardware se refiere a la capacidad del sistema para ejecutar su funcin en el caso de fallos. Una tolerancia a fallos de cero
significa que la funcin no se est llevando a cabo cuando ocurre un solo fallo. Una tolerancia a fallos de uno permite al subsistema desarrollar su funcin en el caso de
un fallo nico. La fraccin de fallo de seguridad es la porcin de la tasa de fallo total que no resulta en fallo peligroso. La combinacin de estos dos elementos se conoce
como restriccin arquitectnica y su salida es el lmite de declaracin de SIL (SIL CL) La Tabla 16 muestra la relacin de las restricciones arquitectnicas a SILCL. Un
subsistema (y por lo tanto su sistema) debe satisfacer tanto los requisitos del PFHD como las restricciones arquitectnicas junto con otras disposiciones relevantes de la
norma.
<60%
SIL1
SIL2
60%<90%
SIL1
SIL2
SIL3
90%<99%
SIL2
SIL3
SIL3
99%
SIL3
SIL3
SIL3
Tabla16:RestriccionesarquitectnicasconrespectoaSIL
Por ejemplo, una arquitectura que posee tolerancia a un solo fallo y tiene una fraccin de fallos no peligrosos de 75% est limitada a una clasificacin no mayor que
SIL2, independientemente de la probabilidad de fallo peligroso.
Realizacindelsistema
Para calcular la probabilidad de fallo peligroso, cada funcin de seguridad debe ser desglosada en bloques de funciones, los cuales son luego considerados subsistemas.
Una implementacin de diseo de sistema de una funcin de seguridad tpica incluira un dispositivo de deteccin conectado a un dispositivo lgico conectado a un
accionador. Esto crea una configuracin en serie de subsistemas. Como ya hemos visto, si podemos determinar la probabilidad de fallo peligroso para cada subsistema
y conocer su SIL CL, entonces la probabilidad de fallo del sistema se calcula con mayor facilidad sumando la probabilidad de fallos de los subsistemas. Este concepto
puede observarse en la Figura 136.
Figura135:Ejemplodecombinacindesubsistemas
Si, por ejemplo, queremos obtener un SIL 2, cada sistema debe tener un SIL CL de al menos SIL 2, y la suma del PFHD para el sistema no debe exceder el lmite
permitido en la Tabla 15.
Diseodesubsistema:IEC/EN62061
Si un diseador de sistema utiliza componentes ensamblados en subsistemas segn IEC/EN 62061, las cosas se facilitan mucho porque no se aplican los requisitos
especficos para el diseo de subsistemas. Estos requisitos sern cubiertos, en general, por el fabricante del dispositivo (subsistema) y son mucho ms complejos que
los requeridos para el diseo de niveles del sistema.
IEC/EN 62061 requiere que los subsistemas complejos, como los PLC de seguridad, cumplan con las especificaciones de IEC 61508 u otras normas adecuadas. Esto
significa que, para dispositivos que usan componentes complejos electrnicos o programables, est en pleno vigor la norma IEC 61508. Esto puede ser un proceso muy
difcil y laborioso. Por ejemplo, la evaluacin de PFHD lograda por un subsistema complejo puede ser un proceso complicado con tcnicas tales como modelado Markov,
diagramas de bloques de confiabilidad o anlisis de rbol de fallos.
IEC/EN 62061 proporciona requisitos para el diseo de subsistemas de menor complejidad. Normalmente esto incluira componentes elctricos relativamente simples
tales como interruptores de enclavamiento y rels de control de seguridad electromecnicos. Los requisitos no son iguales a los de la norma IEC 61508 pero an as
pueden ser bastante complicados.
La norma IEC/EN 62061 proporciona cuatro arquitecturas lgicas de subsistemas, incluidas sus frmulas, que pueden usarse para evaluar el PFHD logrado por un
subsistema de baja complejidad. Estas arquitecturas son representaciones puramente lgicas y no deben considerarse arquitecturas fsicas. En las Figuras 136 hasta la
139 se pueden observar las cuatro arquitecturas lgicas de subsistemas, incluidas sus frmulas.
Para la arquitectura de subsistema bsica mostrada en la Figura 136, las probabilidades de fallos peligrosos simplemente se suman.
Figura136:ArquitecturalgicadelsubsistemaA
Figura137:ArquitecturalgicadelsubsistemaB
Las frmulas para esta arquitectura tienen en cuenta la configuracin paralela de los elementos del subsistema y aaden los siguientes dos elementos de la Tabla 14:
(Beta) es la susceptibilidad a los fallos por causa comn.
T1 es el intervalo de prueba de calidad o la vida til, el menor de los dos. La prueba de calidad est diseada para detectar fallos y la degradacin del subsistema de
seguridad de modo que el subsistema pueda restaurarse a una condicin de operacin perfecta. En trminos prcticos esto normalmente implica reemplazo (como el
trmino equivalente tiempo de misin en EN ISO 138491).
La Figura 139 muestra la representacin funcional de un sistema tolerante a cero fallos con una funcin de diagnstico. La cobertura de diagnstico se utiliza para
disminuir la probabilidad de fallos de hardware peligrosos. Las pruebas de diagnstico se realizan automticamente. La definicin de cobertura de diagnstico es la
misma que se da en la norma EN ISO 138491 es decir, la relacin de la tasa de fallos peligrosos detectados y la tasa de todos los fallos peligrosos.
Estas frmulas incluyen la cobertura de diagnstico, DC, para cada uno de los elementos del subsistema. Las tasas de fallo de cada uno de los subsistemas son
reducidas por la cobertura de diagnstico de cada subsistema.
El cuarto ejemplo de una arquitectura de subsistema puede observarse en la Figura 139. Este subsistema es tolerante a fallo nico e incluye una funcin de diagnstico.
El potencial de fallo por causa comn tambin debe ser considerado con sistemas tolerantes a fallo nico.
Figura138:ArquitecturalgicadelsubsistemaC
La Figura 138 muestra la representacin funcional de un sistema tolerante a cero fallos con una funcin de diagnstico. La cobertura de diagnstico se utiliza para
disminuir la probabilidad de fallos de hardware peligrosos. Las pruebas de diagnstico se realizan automticamente. La definicin de cobertura de diagnstico es la
misma que se da en la norma EN ISO 138491 es decir, la relacin de la tasa de fallos peligrosos detectados comparada con la tasa de todos los fallos peligrosos.
Estas frmulas incluyen una cobertura de diagnstico, DC, para cada uno de los elementos del subsistema. Las tasas de fallo de cada uno de los subsistemas son
reducidos por la cobertura de diagnstico de cada subsistema.
lDssC = lDe1 (1-DC1)+ . . . + lDen (1-DCn)
PFHDssC = lDssC x 1h
El cuarto ejemplo de una arquitectura de subsistema puede verse en la Figura 139. Este subsistema es tolerante a fallo nico e incluye una funcin de diagnstico. El
potencial de fallo por causa comn tambin debe considerarse con sistemas tolerantes a fallo nico.
Figura139:ArquitecturalgicadelsubsistemaD
Si los elementos del subsistema son diferentes en cada canal, se usa la siguiente frmula:
lDssD = (1 - b)2 { lDe1 x lDe2 x (DC1+ DC2) x T2 / 2 + lDe1 x lDe2 x (2- DC1 - DC2) x T1 / 2 } + b x (lDe1 + lDe2 ) / 2
PFHDssD = lDssD x 1h
Si los elementos del subsistema son los mismos en cada canal se usa la siguiente frmula:
lDssD = (1 - b)2 {[ lDe2 x 2 x DC] x T2 / 2 + [lDe2 x lDe2 x (1-DC)] x T1 } + b x (lDe
PFHDssD = lDssD x 1h
Observe que ambas frmulas usan un parmetro adicional, T2, el intervalo de diagnstico. Esta es solo una revisin peridica de la funcin. Es una prueba menos
completa que la prueba de calidad.
Como ejemplo, considere los siguientes factores para el ejemplo donde los elementos del subsistema son diferentes:
b = 0.05
T2 = 2 horas
lDe = 1 x 10 -6 fallos/hora DC = 90%
T1 = 87600 horas (10 aos)
PFHDssD = 5.791E08 fallos peligrosos por hora. Esto estara dentro del rango requerido para el SIL 3.
Efectoenelanlisisdefalloporcausacomn
Veamos el efecto que los fallos por causa comn tienen en el sistema. Supongamos que tomamos medidas adicionales y nuestro valor b (Beta) mejora a 1% (0,01), a la
vez que el intervalo de prueba de calidad se mantiene en 20 aos. La tasa de fallo peligroso mejora a 2.71E08 lo cual significa que el subsistema es ahora ms
adecuado para usar en un sistema de SIL 3.
Falloporcausacomn(CCF)
El fallo por causa comn ocurre cuando mltiples fallos que resulten de una sola causa producen un fallo peligroso. La informacin acerca de CCF generalmente solo ser
requerida por el diseador del subsistema, normalmente el fabricante. Se utiliza como parte de las frmulas proporcionadas en PFHD de un subsistema. Normalmente no
ser requerido en el nivel de diseo del sistema.
El Anexo F de IEC/EN62061 proporciona un enfoque simple para el clculo de CCF. La Tabla 17 muestra un resumen del proceso de calificacin.
No.
Puntaje
Separacin/Segregacin
25
Diversidad
38
Diseo/Aplicacin/Experiencia
Evaluacin/Anlisis
18
Aptitud/Capacitacin
Especificaciones ambientales
18
Tabla 17: Puntuacin para medidas contra el fallo por causa comn
Se otorgan puntos por emplear medidas especficas contra el CCF. Esta puntuacin se suma para determinar el factor de fallo por causa comn, que puede observarse
en la Tabla 18. El factor beta se utiliza en las frmulas simplificadas de arquitectura del subsistema para influir en la tasa de fallo como ya se ha observado.
10% (0,1)
3565
5% (0,05)
6585
2% (0,02)
85100
1% (0.01)
Coberturadediagnstico(DC)
Las pruebas de diagnstico automticas se utilizan para disminuir la probabilidad de fallos peligrosos de hardware. Sera ideal poder detectar todos los fallos peligrosos
de hardware, pero en la prctica el valor mximo est establecido en 99% (esto tambin puede expresarse como 0.99)
La cobertura de diagnsticos es la relacin de los fallos peligrosos detectados comparado con todos los fallos peligrosos.
Probabilidad de fallos peligrosos detectados, lDD
DC =
------------------------------------------------------Probabilidad de fallos peligrosos totales, lDtotal
tolerancia a fallos de hardware de uno significa que dos fallos podran causar la prdida de la funcin de control relacionado a la seguridad pero esto no ocurrira con un
fallo.
Administracindelaseguridadfuncional
La norma proporciona los requisitos para el control de planeamiento apropiado, gestin de proyectos y actividades tcnicas que son necesarias para el logro del sistema
de control elctrico relacionado a la seguridad.
Fraccindefallosnopeligrosos(SFF)
La fraccin de fallos no peligrosos es similar a la cobertura de diagnstico (DC), pero tambin toma en consideracin cualquier tendencia inherente de fallo a un estado
de seguridad. Por ejemplo, cuando se funde un fusible hay un fallo, pero es muy probable que el fallo sea un circuito abierto que, en la mayora de casos sera un fallo
no peligroso. SFF es (la suma de la tasa de fallos no peligrosos ms la tasa de fallos peligrosos detectados) dividido entre (la suma de la tasa de fallos no
peligrosos ms la tasa de fallos peligrosos detectados y no detectados). Es importante darse cuenta de que los nicos tipos de fallos a considerar son aquellos que
podran tener algn efecto en la funcin de seguridad.
La mayora de dispositivos mecnicos de baja complejidad, tales como botones de paro de emergencia e interruptores de enclavamiento (por si mismos) tendrn un
SFF relativamente bajo. La mayora de dispositivos electrnicos por seguridad tienen redundancia y monitoreo en su diseo, por lo tanto un SFF de ms del 90% es
comn a pesar de que esto es normalmente debido a la capacidad de la cobertura de diagnstico en su totalidad.
El valor SFF ser normalmente provisto por el fabricante.
La fraccin de fallo no peligroso (SFF) puede calcularse utilizando la siguiente ecuacin:
SFF = (Sl S + Sl DD) / (Sl S + Sl D)
donde
lS
lD
Fallosistemtico
La norma tiene requisitos para controlar y evitar los fallos sistemticos. Los fallos sistemticos difieren de los fallos de hardware aleatorios, que son fallos que ocurren
en un tiempo aleatorio, normalmente como resultado de la degradacin de partes de hardware. Los tipos tpicos de posibles fallos sistemticos son errores de diseo de
software, errores de diseo de hardware, errores de especificacin de requisitos y procedimientos de operacin. Algunos ejemplos de pasos necesarios para evitar un
fallo sistemtico incluyen:
Correcta seleccin, combinacin, configuraciones, ensamblaje e instalacin de componentes;
Uso de buenas prcticas de ingeniera,
Seguir las especificaciones del fabricante y las instrucciones de instalacin,
Asegurar la compatibilidad entre los componentes,
Resistencia a las condiciones ambientales,
Uso de materiales apropiados.