Cualquiera que haya sufrido un pinchazo sabe lo desagradable que puede ser. Especialmente de camino a unas vacaciones, a una cita importante o, por la noche, en una solitaria carretera rural. Para poder seguir conduciendo en estos casos durante al menos un tiempo limitado, la industria de los neumáticos ha desarrollado los denominados "neumáticos runflat" o antipinchazos, con los que es posible circular a baja velocidad hasta llegar al taller más próximo en el lugar de destino.
¿En qué medida puede trasladarse este concepto a los conceptos de producción automatizados, especialmente en el ámbito de la tecnología de seguridad?
Estado seguro
Con los conceptos de seguridad actuales, si se produce un fallo relevante para la seguridad, el estado seguro suele alcanzarse lo antes posible, aunque la mayoría de las funciones de seguridad están diseñadas de forma redundante para niveles de integridad de la seguridad (SIL) o niveles de rendimiento (PL) más altos.
Por ejemplo, en caso de detección de un cortocircuito entre dos canales del circuito de sensores de un pulsador de paro de emergencia, se desconectan inmediatamente los movimientos peligrosos.
Por ello, un grupo de trabajo en ZVEI, con la participación de varias empresas socias y un instituto, ha abordado la cuestión de hasta qué punto es admisible, desde el punto de vista normativo, que continúe funcionando un sistema de automatización con un fallo crítico para la seguridad durante un período de tiempo limitado.
Funcionamiento de la máquina en estado degradado
En las instalaciones de ingeniería de procesos, algunos pasos de producción podrían completarse con parámetros de proceso críticos, dependiendo de la visualización cuando se produce un fallo y el estado mostrado de "funcionamiento degradado". El "responsable de la toma de decisiones" debe lograr el estado seguro antes de que se supere el tiempo de funcionamiento máximo en "estado degradado".
En el marco de un análisis del tipo de error y su impacto, se distinguen dos tipos de error. En caso de errores no tolerables no se puede garantizar un funcionamiento seguro y debe producirse una parada inmediata. Los errores tolerables permiten continuar el funcionamiento durante un periodo de tiempo limitado, siempre que, p. ej., una segunda vía de desconexión independiente pueda realizar correctamente la función de seguridad.
Cálculo de la probabilidad de fallo
Las normas pertinentes EN ISO 13849 o IEC 62061 no contienen ningún requisito con respecto a las reacciones inmediatas o instantáneas ante un fallo. Además, los modelos para el cálculo de la probabilidad de fallo (PFHd) también dejan el margen de diseño necesario, ya que la probabilidad de fallo se mantiene inicialmente en un nivel bajo en arquitecturas redundantes y va aumentando con el tiempo. Dependiendo de la evaluación de riesgos y de la calidad de las medidas de control de errores utilizadas, el "responsable de la toma de decisiones" puede esperar hasta un máximo de una semana para la desconexión. El método de cálculo alternativo indicado en la norma EN 62061 define un intervalo de prueba de diagnóstico que, en la práctica, también constituye una proporción insignificante del PFHd.
Ambos métodos de cálculo parten de la base de que la implementación de la función de seguridad cuenta con una reserva suficiente para fallos y que se han tenido en cuenta los requisitos relativos a los fallos de causa común (common cause failure).
Progresión cualitativa del riesgo
Medidas de seguridad complementarias
Otro enfoque se basa en la idea de que el encargado de la toma de decisiones active mecanismos de seguridad alternativos y complementarios en caso de fallo. En este sentido, si se supervisan los límites de velocidad de seguridad de un sistema de accionamiento (SLS según EN 61800-5-2), en caso de fallo el encargado de la toma de decisiones puede indicar que solo se permita el funcionamiento a velocidad reducida. Con la limitación de velocidad se reduce de PL d a PL c el nivel necesario para mitigar los riesgos. En los sistemas de transporte sin conductor (AGV) surgen campos de aplicación concretos en los que el control de rutas se realiza mediante el dimensionamiento del campo de protección de un escáner láser en función de la velocidad.
Panorama
Los autores del Whitepaper publicado por ZVEI llegan a la conclusión de que la evaluación de las medidas descritas se ajusta a los objetivos de protección de la directiva de maquinaria y no contradice a las normas armonizadas EN ISO 13849 y EN 62061.
El factor decisivo para la aceptación será si el beneficio que ofrece la posibilidad de un "funcionamiento degradado" puede ser medido. La capacidad de diagnosticar los componentes individuales en relación a la disponibilidad de la planta resulta cada vez más importante, en particular a la vista de la creciente interconexión.
Señalización activa de fallos en la industria de procesos
Lo que todavía es un sueño en el sector de la fabricación de maquinaria es ya una realidad en muchas partes de la industria de procesos. Por ejemplo, los módulos de acoplamiento seguro de la familia PSRmini están equipados con una señalización activa de fallos que permite al control de seguridad de nivel superior SIS (Safety Instrumented System) realizar una evaluación sobre la seguridad. Esta se hace sin necesidad de entradas digitales para releer los contactos NC. La retroalimentación de error activa del relé de acoplamiento provoca una desintonización de impedancia de la salida digital segura. Por lo tanto, la decisión de continuar con el funcionamiento o de iniciar reacciones de error alternativas sigue correspondiéndole a la CPU del sistema de seguridad (SIS).
