United States
Select country
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

IEC 62061 SIL - Conclusiones

 

Nota

Los PLC relacionados con la seguridad, bus de seguridad, actuadores, cortinas ópticas de seguridad y en general todos los dispositivos complejos relacionados con la seguridad, con lógica integral programable y software integrado, si se utilizan para construir un SRECS, deben cumplir con los requisitos de las Normas de Producto apropiadas (si corresponde) y con la norma IEC 61508 en lo que se refiere a seguridad funcional.

Seguridad de la maquinaria: seguridad funcional de sistema de mando eléctrico, electrónico y electrónico programable relativo a la seguridad.

 

La IEC 62061 se deriva de IEC 61508 - Seguridad funcional de sistemas de mando eléctricos/electrónicos/electrónicos programables relacionados con la seguridad.

IEC 61508 es la norma de referencia internacional en seguridad funcional de sistemas eléctricos, electrónicos, electrónicos programables. La Norma consta de siete secciones. Las primeras tres secciones especifican los requisitos de seguridad para hardware y software, el resto son de carácter informativo y ofrecen soporte para la correcta aplicación de la primera.

La norma IEC 62061 conserva las características de la norma IEC 61508, pero simplifica los requisitos de seguridad (de hardware y software) adaptándolos a las necesidades específicas de la maquinaria industrial.

Los requisitos de seguridad se consideran sólo para el modo de alta demanda, es decir, la solicitud de más de una vez al año de la función de seguridad.

La norma se basa en dos conceptos básicos:

  • Gestión de Seguridad Operacional.
  • Nivel de Integridad de Seguridad.

Gestión de Seguridad Operacional

Especifica todos los aspectos de diseño necesarios para alcanzar el nivel requerido de seguridad funcional, desde la asignación de los requisitos de seguridad para documentación, la gestión del diseño hasta la validación.

Cada diseño debe tener su propio Plan de Seguridad Funcional escrito apropiadamente, documentado y debidamente actualizado según sea necesario.

El Plan de Seguridad Funcional identificará personas, funciones y recursos necesarios para el diseño e implementación del sistema de seguridad.

Nivel de Integridad de Seguridad (SIL)
La metodología y los requisitos están dados para:
  • especificando los requisitos funcionales de cada función relacionada con la seguridad que se implementará.
  • asignando el Nivel de Integridad de Seguridad (SIL) para cada función relacionada con la seguridad prevista.
  • permitir el diseño de un SRECS adecuado para la función relacionada con la seguridad que se implementará.
  • validando el SRECS.

 

Asignación SIL

Para la asignación de SIL, utilice el método del Anexo A (aunque la Norma también acepta las técnicas de IEC 61508-5).

Para cada riesgo identificado, se debe evaluar lo siguiente:

  • Grado de severidad (Se) de posibles daños.
  • Frecuencia y tiempo (Fr) de exposición al peligro.
  • Probabilidad de evento peligroso (Pr) vinculado al modo de funcionamiento de la máquina.
  • Evitabilidad (Av) de peligro. Cuanto más difícil es evitar el peligro, mayor será el número que representa la evitabilidad.

 

La siguiente tabla, extraída del formulario de la Figura A.3 de la norma IEC 62061, ayudará a obtener el SIL que se asignará a la función relacionada con la seguridad.


fig9
OM (Otras Medidas) = Se recomienda el uso de otros parámetros.

La suma de las calificaciones obtenidas para los atributos de frecuencia, probabilidad y evitabilidad proporciona la clase de probabilidad de peligro:

Cl = Fr + Pr + Av

 

Para obtener el SIL, alinear el Cl actual con el nivel de severidad (Se) identificado.

Este es un proceso iterativo. De hecho, dependiendo de la acción protectora emprendida, algunos parámetros pueden cambiar, por ejemplo, Fr o Pr, en cuyo caso el proceso de asignación de SIL tendrá que repetirse usando nuevos valores para los parámetros modificados.

Se prevén tres niveles: SIL 1, SIL 2, SIL 3.

 

Probabilidad promedio de falla grave por hora (PFHd) 

fig10

 

Tabella 3 di IEC 62061 

Por lo tanto, el SIL representa el nivel de seguridad que se asignará a un SRECS para el logro de su integridad de seguridad en las condiciones de funcionamiento y en todo el tiempo especificado.

 

El parámetro utilizado para definir el SIL (Nivel de Integridad de Seguridad) es la probabilidad de falla peligrosa/hora (PFHd).

 

Cuanto más alto es el SIL, menor es la probabilidad de que el SRECS no funcione de forma tan segura como se esperaba.

 

El SIL debe definirse para cada función relacionada con la seguridad resultante del análisis de riesgos.

Desarrollo y proceso de diseño

Cada función relacionada con la seguridad identificada a través del análisis de riesgos se describirá en términos de:

  • Requisitos operacionales (modo de operación, tiempo de ciclo, condiciones ambientales, tiempo de respuesta, tipo de interfaz con otros componentes o elementos, nivel de EMC etc.).
  • Requisitos de seguridad (SIL).

Cada función relacionada con la seguridad se dividirá en bloques funcionales, por ejemplo, bloque funcional de datos de entrada, bloque funcional de procesamiento de datos lógicos, bloque funcional de datos de salida.

 

Un subsistema está asociado a cada bloque funcional.
A su vez, los subsistemas consistirán en componentes eléctricos interconectados entre sí. Los componentes eléctricos se conocen como elementos del subsistema.

 

La implementación de la técnica SRECS dará como resultado una arquitectura típica como se muestra (en este caso, control de acceso a través de una cortina fotoeléctrica).


fig11

 

Para que SRECS cumpla con los requisitos operativos y de seguridad identificados, se deben cumplir los siguientes requisitos:



fig12
Cada subsistema consistirá en circuitos eléctricos adecuados para alcanzar el SIL requerido.

El SIL máximo alcanzable por un subsistema se identifica como SILCL (reclamo SIL).

Los SILCL del subsistema dependen de PFHd, las restricciones de arquitectura, el rendimiento bajo condiciones de falla y la capacidad de controlar y evitar fallas sistemáticas.

Software relacionado con la seguridad

Para el diseño del software, el código debe desarrollarse de acuerdo a las normas de referencia según el tipo de software en cuestión de la siguiente manera:


fig13

 

 

¡IMPORTANTE!
El aspecto de probabilidad es solo uno de los elementos que contribuyen a la asignación de SIL.
Para reclamar un SIL específico, los solicitantes deben probar y documentar que:
  • Adoptaron acciones y técnicas de gestión adecuadas para alcanzar el nivel requerido de seguridad operacional
  • Implantaron un Plan de Seguridad Operacional documentado y actualizado
  • Se evita la falla sistemática en la medida de lo posible
  • Se evaluó el desempeño del sistema de seguridad (a través de inspecciones y pruebas) en condiciones ambientales reales
  • Se desarrolló el software después de adoptar todos los aspectos organizativos requeridos.

 


Cálculo del subsistema PFHd

Para calcular el subsistema PFHd, seleccione primero el tipo de arquitectura (estructura). La Norma sugiere cuatro arquitecturas predefinidas, proporcionando una fórmula simplificada diferente para cada una de las mismas.
Este cálculo requiere el uso de los siguientes parámetros:

λd = Tasa de falla peligrosa de cada elemento del subsistema. Obtenido a partir de su índice de fallas conocido λ, distribución porcentual de la tasa de fallas para todos los modos de falla y análisis del desempeño del subsistema después de la falla (Falla Peligrosa = λd o Falla No Peligrosa = λs).

T1 = Prueba de Verificación. El intervalo de prueba de verificación (inspección y reparación externa que devuelve el sistema a una condición nueva) para maquinaria industrial generalmente coincide con el tiempo de vida útil (20 años).

T2 = Intervalo de prueba de las funciones de diagnóstico. Dependiendo del diseño o de los dispositivos utilizados, las funciones de diagnóstico pueden ejecutarse mediante circuitos internos del mismo SRECS o mediante otros SRECS.

DC = Cobertura de Diagnóstico:
Parámetro que representa el porcentaje de fallas peligrosas detectadas de todas las posibles fallas peligrosas.
DC depende de las técnicas de autodiagnóstico implementadas.
Asumiendo que la falla siempre es posible (de lo contrario no tendría sentido definir λ), esos mecanismos para detectar fallas no son necesariamente todos igualmente efectivos y sensibles (dependiendo del tipo de falla, algunos pueden demorar más), que es imposible detectar todas las fallas, que las arquitecturas de circuitos apropiados y pruebas efectivas pueden permitir la detección de fallas más peligrosas, se puede definir un parámetro de DC para estimar la efectividad de las técnicas de autodiagnóstico implementadas.
La norma IEC 62061 no proporciona datos para obtener DC en relación con las técnicas de diagnóstico implementadas. Sin embargo, pueden utilizarse los datos de la norma IEC 61508-2 Anexo A.

β = Factor de falla de causa común. Proporciona una medida del grado de independencia del funcionamiento de los sistemas de canales redundantes.

Habiendo calculado el subsistema PFHd mediante las fórmulas de la norma IEC 62061, es importante asegurar que el SILCL asociado obtenido de la Tabla 3 de IEC 62061 sea compatible con las restricciones impuestas por la arquitectura ya que el SILCL máximo alcanzable por un determinado subsistema está restringido por la tolerancia a fallas de hardware de la arquitectura y por SFF como se indica en la siguiente tabla

 

Fracción de falla segura (SFF) Tolerancia a fallas de hardware
0 1 2
SFF < 60% No permitido SIL 1 SIL 2
60% ≤ SFF < 90% SIL 1 SIL 2 SIL 3
90% ≤ SFF < 99% SIL 2 SIL 3 SIL 3
SFF ≥ 99% SIL 3 SIL 3 SIL 3
(Tabla 5 de la norma IEC 62061)

 

La fracción de falla de seguridad del subsistema (SFF) es, por definición, la fracción de la tasa de falla global que no involucra falla peligrosa

 
SFF = (Σλs + Σλdd) / (Σλs + Σλdd + Σλdu).

λdd (tasa de falla detectable de fallas peligrosas) y λdu (tasa de falla de fallas peligrosas indetectables) se obtienen a partir de la efectividad conocida de las técnicas de diagnóstico implementadas.

Si se conocen PFHd y SILCL de cada subsistema, será posible calcular el SIL global de SRECS.

La probabilidad global de falla peligrosa/hora de SRECS será igual a la suma de las probabilidades de falla peligrosa/hora de todos los subsistemas involucrados e incluirá, si es necesario, también la probabilidad de falla peligrosa por hora (PTE) de cualquier comunicación relacionada con la seguridad líneas:

PFHd  = PFHd1 + ... + PFHdN  +PTE

Conocido el PFHd, el SIL resultante del SRECS se obtiene de la Tabla 3.
El SIL debe compararse con el SILCL de cada subsistema, ya que el SIL que puede reclamarse para el SRECS debe ser menor o igual al valor más bajo del SILCL de cualquiera de los subsistemas.


Ejemplo:


fig14

Cuando un subsistema involucre dos o más funciones relacionadas con la seguridad que requieren diferentes SIL, se aplicará el SIL más alto.

 

CONCLUSIONES


Los procedimientos especificados en la norma ISO 13849-:2006 simplifican la estimación de la Probabilidad Promedio de Fallas Peligrosas por Hora en comparación con la norma IEC 61508, ofreciendo un enfoque pragmático más en línea con las necesidades de la industria de máquina herramienta.

 

Al conservar Categorías y otros conceptos básicos, como la función relacionada con la seguridad y el gráfico de riesgos, la continuidad sin interrupciones con la norma EN 954: 1996 está asegurada.

 

Sin embargo, mantener un enfoque estrechamente lineal con la norma EN 954-1:1996 muestra los límites de la norma ISO 13849-1:2006. Donde se prevé la adopción de tecnología compleja, por ejemplo, electrónica programable, aplicaciones de bus relacionadas con la seguridad, diferentes arquitecturas etc., será más apropiado diseñar de acuerdo de acuerdo a la norma IEC 62061.

 

Donde se utilicen dispositivos y/o subsistemas diseñados de acuerdo con la norma ISO EN 13849-1: 999, Norma IEC 62061 muestra cómo integrarlos en SRECS.

 

No se puede identificar una equivalencia biunívoca precisa entre PL y SIL.

 

Sin embargo, el lado probabilístico de PL y SIL se puede comparar ya que utilizan el mismo concepto, a saber, la probabilidad promedio de falla peligrosa por hora, para definir el grado de resistencia a la falla.

 

Además, aunque el concepto de probabilidad utilizado en las dos normas es la misma, el resultado puede diferir ya que el rigor del cálculo no es el mismo.

 

De hecho, para evaluar PFHd, la norma IEC 62061 especifica un procedimiento basado en fórmulas derivadas de la teoría de confiabilidad del sistema. Los resultados en algunos casos, por ejemplo, la cantidad reducida de componentes, la alta eficiencia de las técnicas de autodiagnóstico implementadas, resulta ser muy baja, es decir, muy buena.

 

Para simplificar y acelerar la evaluación de Probabilidad de Falla Peligrosa por Hora, la norma ISO 13849-1 utiliza tablas de aproximación que necesariamente deben considerar escenarios de peor caso, con resultados consecuentemente más altos, es decir, inferiores a los calculados con la norma IEC 62061.

 

Siguiente... EN ISO 14119