Volver a la vista general

Tolerancia de error en la seguridad de máquinas

Todos los que hayan sufrido alguna vez un pinchazo con su coche saben lo desagradable que puede llegar a ser. No queremos vernos en esta situación, sobre todo si estamos de vacaciones, de camino a una cita importante o incluso por la noche en una carretera rural solitaria.

Para poder seguir conduciendo en estos casos durante al menos un periodo limitado, la industria de los neumáticos ha desarrollado neumáticos sin aire con los que es posible conducir a una velocidad reducida hasta llegar al taller más próximo. ¿Qué pasa si se traspasa esa idea a los conceptos de producción automatizados, especialmente en el ámbito de la tecnología de seguridad?

Pinchazo

En los conceptos de seguridad actuales, si se produce un fallo que afecta a la seguridad, en muchos casos se cambia lo antes posible al estado seguro. Esto continúa produciéndose, a pesar del hecho de que la mayoría de las funciones de seguridad tienen un diseño redundante para alcanzar un nivel de integridad de seguridad o un nivel de rendimiento más altos. Por ejemplo, en caso de detección de un cortocircuito entre dos canales del circuito de sensores de un pulsador de paro de emergencia, se desconectan inmediatamente los movimientos peligrosos.

Por lo tanto, se plantea la cuestión de si, desde el punto de vista normativo, es admisible permitir que un sistema de automatización con un fallo crítico para la seguridad siga funcionando durante un período de tiempo limitado, y en qué condiciones. Un grupo de trabajo de la ZVEI, con la participación de varias empresas y del Instituto de protección laboral (IFA) de St. Augustin, ha abordado este reto y ha publicado un libro blanco titulado "Tolerancia de error en la seguridad de máquinas".

Las posibilidades son inmensas: por ejemplo, en las instalaciones de ingeniería de procesos se pueden terminar algunos pasos de producción con parámetros de proceso críticos. Un requisito importante para no interrumpir el funcionamiento es la indicación de la presencia de un fallo y la señalización del "funcionamiento degradado" de la función de seguridad. La capacidad de diagnosticar la disponibilidad de los componentes individuales resulta cada vez más importante, en particular a la vista de la creciente conexión en red de la Industria 4.0.

El responsable de la toma de decisiones debe lograr el estado seguro antes de que se supere el tiempo de funcionamiento máximo en estado degradado. Además, el responsable de la toma de decisiones tiene otra gran responsabilidad: al analizar el tipo de error y su impacto, se distingue entre los errores tolerables y los no tolerables. En caso de errores no tolerables, como en la comunicación entre dos controladores a través del interprocesador, no se puede garantizar un funcionamiento seguro, por lo que la parada debe ser inmediata. Por el contrario, un cortocircuito/alimentación externa (stuck-at fault) en la salida digital de un sistema de control o sensor puede tolerarse durante un período de tiempo determinado, siempre y cuando una segunda ruta de desconexión independiente pueda realizar correctamente la función de seguridad.

Al examinar las normas pertinentes EN ISO 13849 o EN 62061, no encontramos indicaciones sobre los requisitos de reacción inmediata o inminente cuando se produce un error. Además, los modelos para el cálculo de la probabilidad de fallo (PFHD) también dejan el margen de diseño necesario, ya que se mantiene inicialmente en un nivel bajo en arquitecturas redundantes y va aumentando con el tiempo. Dependiendo de la evaluación de riesgos y de la calidad de las medidas de control de errores utilizadas, el responsable de la toma de decisiones puede esperar hasta un máximo de una semana para la desconexión.

El proceso de cálculo alternativo indicado en EN 62061 define un intervalo de prueba de diagnóstico que, en la práctica, también constituye una proporción insignificante del PFHD.

Ambos métodos de cálculo parten de la base de que la implementación de la función de seguridad cuenta con una reserva suficiente para fallos y que se han tenido en cuenta los requisitos relativos a los fallos de causa común (Common cause failure).

Evolución del riesgo

Otro enfoque se basa en la idea de que el encargado de la toma de decisiones active mecanismos de seguridad alternativos y complementarios en caso de fallo. En este sentido, si se supervisan los límites de velocidad de seguridad de un sistema de accionamiento (SLS según EN 61800-5-2), en caso de fallo el encargado de la toma de decisiones puede indicar que solo se permita el funcionamiento a velocidad reducida. Con la limitación de velocidad, se reduce de PL d a PL c el nivel necesario para mitigar los riesgos. En los sistemas de transporte sin conductor (AGV) surgen campos de aplicación concretos en los que el control de rutas se realiza mediante el dimensionamiento del campo de protección de un escáner láser en función de la velocidad.

PSRmini

Lo que todavía es un sueño para la fabricación de maquinaria es ya una realidad en muchas partes de la industria de procesos. Por ejemplo, los módulos de acoplamiento seguro de la familia PSRmini están equipados con una retroalimentación de errores activa, que permite al control de seguridad de nivel superior SIS (Safety Instrumented System) realizar una evaluación sobre la seguridad. Esta se hace sin necesidad de entradas digitales para releer los contactos NC. La retroalimentación de error activa del relé de acoplamiento provoca una desintonización de impedancia de la salida digital segura. Por lo tanto, la decisión de continuar con el funcionamiento o de iniciar reacciones de error alternativas sigue correspondiéndole a la CPU del SIS.

Los autores del libro blanco publicado por ZVEI llegan a la conclusión de que la evaluación de las medidas descritas se ajusta a los objetivos de protección de la directiva de maquinaria y no contradice a las normas armonizadas EN ISO 13849 y EN 62061.

El factor decisivo para la aceptación será si se pueden medir las ventajas que ofrece la posibilidad de un funcionamiento degradado o si existen otros factores que perjudican la disponibilidad de la planta, por ejemplo, derivados de la creciente vinculación entre la tecnología de la información y los componentes de automatización.

PHOENIX CONTACT S.A.

Calle Nueva 1661-G
Huechuraba, Santiago

Teléfono: (+56 2) 2652-2000
Fax: (+56 2) 2652-2050
Fax: (+56 2) 2652-2020