Riesgo: puesta en marcha ‘intempestiva’
6 de abril de 2011
Al no conocer la situación concreta y las circunstancias relacionadas de este caso específico, no se deben lanzar hipótesis sobre las causas probables y qué podría haberse hecho para evitar el accidente. No obstante, sí que se puede aprovechar esta oportunidad para profundizar en algunos aspectos a los que debe prestarse atención en relación con estos hechos y que ilustran las posibilidades que ofrecen en la actualidad los componentes de seguridad dirigidos a minimizar este tipo de riesgos.
Para empezar, la reactivación de una máquina, instalación mecánica o sistema de producción constituye una función de seguridad en todos los casos en que exista riesgo de puesta en marcha (reinicio) ‘intempestiva’ o imprevista como consecuencia de que se hagan movimientos peligrosos en zonas accesibles de la máquina o bien de que exista la posibilidad de acceder a las zonas situadas por detrás de los dispositivos de protección. Este problema puede abordarse al realizar la evaluación de riesgos que todos los fabricantes de maquinaria o integradores de sistemas están obligados a llevar a cabo y documentar por ley. Esta cuestión hace referencia a la eventual presencia voluntaria o casual de personas en las zonas peligrosas de máquinas que han sido apagadas, y está relacionada con la probabilidad de una puesta en marcha (reinicio) inesperada. Cuando proceda, deberán implantarse medidas adicionales que, cuando estén relacionadas con el mando, deberán incorporarse asimismo en una evaluación de nivel de prestaciones. Por último, aunque no por ello menos importante, el hecho de que esta cuestión cuente con una norma armonizada propia da fe del carácter específico del problema que deseamos tratar aquí.
La norma EN 1037:2008 define la puesta en marcha imprevista (involuntaria) —expresión que incluye el término ‘reinicio’— como cualquier puesta en marcha causada por los siguientes elementos: un comando de inicio generado por un fallo en el sistema de mando o provocado por una influencia externa sobre éste; un comando de inicio generado por un error operativo en un componente accionador del inicio o en otra parte de la máquina, como por ejemplo un sensor o un elemento de control eléctrico; la vuelta del suministro energético tras una interrupción; influencias internas/externas (gravedad, viento, encendido automático de motores de combustión, etc.) sobre partes de la máquina.
Nota: Aunque el inicio automático de una máquina en el marco de su funcionamiento normal no es involuntario, sí que puede considerarse inesperado desde la perspectiva del operario. En este caso, el riesgo de accidente se cubre utilizando medidas de protección (véase la norma EN ISO 12 100-2, sección 4).
La norma describe de forma general una serie de aspectos y requisitos a los que debe prestarse atención, además de estipular medidas de seguridad de diseño destinadas a prevenir la puesta en marcha imprevista con el objetivo de facilitar a las personas un contacto seguro en zonas peligrosas. El objeto de la norma lo constituye el reinicio inesperado derivado de cualquier tipo de energía, es decir, del suministro energético (por ejemplo eléctrico, hidráulico o neumático), de la energía almacenada, que puede pasarse por alto fácilmente (por ejemplo, como consecuencia de la gravedad o de resortes en tensión), o de otras influencias externas (por ejemplo, viento). En la figura 1 se muestra el índice pormenorizado de la norma.
A título ilustrativo, a continuación se describen algunas soluciones de la gama Schmersal para gestionar los problemas existentes en este ámbito.
Ejecución del comando de parada
En las ejecuciones descritas a continuación se supone en todos los casos que, en primer lugar, se genera de forma segura un comando de parada mediante la activación de un dispositivo de protección en la cadena Entrada, Lógica y Salida con el nivel de prestaciones necesario, y que se implanta con las categorías de parada 0, 1 ó 2.
No debe confundirse el término ‘categoría’ como se ha utilizado en el anterior párrafo con la categoría de control o similar. En este caso se está haciendo referencia a la distinción indicada en el punto 9.2.2 de la norma EN 60 204-1:2007, de acuerdo con la cual un comando de parada puede implantarse como un apagado no controlado (mediante la interrupción inmediata del suministro eléctrico —Parada 0—, o bien como un apagado controlado (mediante la interrupción programada del suministro eléctrico —Parada 1—, en función de cuál sea el mejor escenario de reducción de riesgos. Además, cuando vaya a ejecutarse un comando de parada con una categoría de parada 2, es decir, un apagado controlado pero con continuidad del suministro eléctrico tras apagarse la máquina, se requiere también una función de control del apagado de seguridad (véase la norma EN 1037:2008, punto 6.4, en este sentido).
Todos los dispositivos de protección y de control de seguridad de la gama Schmersal han sido diseñados de forma específica para ofrecer numerosas posibilidades de materialización de los
comandos de parada de seguridad. Por ejemplo, podríamos mencionar los dispositivos de control de apagado destinados de forma específica a la categoría de parada 2 de las gamas AZR 31 S1 y FWS o, para operaciones más complejas, los sistemas de control de la seguridad de la gama PDMS (foto 2).
Medida: comando de parada permanentemente presente
El comando de parada permanentemente presente desempeña una función importante, sobre todo cuando alguien debe trabajar durante un periodo prolongado en una zona peligrosa y con poca visibilidad.
En este contexto la expresión ‘permanentemente’ debe interpretarse de forma ejemplar, es decir, que ningún tercero puede activar ni iniciar la puesta en marcha de la máquina. La falta de visibilidad de una zona peligrosa para un tercero constituye un fenómeno bastante habitual: basta con pensar en la conexión de máquinas individuales, los sistemas de producción integrados y las instalaciones de maquinaria. Una forma sencilla y sin embargo más efectiva de conseguir este mismo objetivo la constituyen los dispositivos de protección móviles (dispositivos de seguridad, rejillas de protección, etc.), es decir, lo que el Grupo Schmersal denomina ‘señales de bloqueo’ (véase foto 2). Estos accesorios permiten asegurar mediante candados dispositivos de enclavamiento (interruptores de seguridad con y sin sistema de cierre) abiertos, de forma que no puedan volver a accionarse los dispositivos, es decir, que se impide de modo eficaz a cualquier tercero volver a cerrar el dispositivo de protección móvil e iniciar la máquina tanto por medios mecánicos como por medios de control. En la foto 3 puede verse un ejemplo de ejecución de los dispositivos de enclavamiento de seguridad electrónicos modelo SZ 200.
Sistemas de transferencia de llave
Los sistemas de transferencia de llave ofrecen posibilidades inteligentes para protegerse ante puestas en marcha inesperadas (involuntarias) cuando los operarios también deban utilizar modos de funcionamiento especiales en el interior de una zona peligrosa con poca visibilidad. El accionamiento de un interruptor selector que se activa mediante una llave garantiza, en primer lugar, que se interrumpa de forma segura el modo de funcionamiento automático, es decir, que el interruptor se mueve de la posición E a la posición S y se abre un contacto normalmente cerrado; con esta llave, que tan solo puede sacarse en esta posición, el operario puede accionar un segundo interruptor selector activado mediante llave situado en el interior de la máquina (posición S ➔ posición E) que hace posible el modo de funcionamiento especial, de forma que, ahora, la llave no puede sacarse en esta posición. Gracias al cierre con código personal, nadie excepto el operario puede invertir la configuración del panel de mando externo. Así, el comando de parada correspondiente al modo de funcionamiento automático está presente de forma segura y permanente.
La filosofía subyacente a un sistema de transferencia de llave puede materializarse de varias maneras. Por ejemplo, sería posible colocar un dispositivo de enclavamiento en el ciclo intermedio, equipado asimismo con una estación de transferencia de llave, es decir, que la llave del interruptor selector activado mediante llave se utilizaría primero para desbloquear el dispositivo de protección y, a continuación, podría sacarse una segunda llave que se utilizaría para permitir el modo de funcionamiento especial en el interior de la máquina (véase figura 4 para una mejor comprensión de este sistema). El reinicio de la máquina se llevaría a cabo de forma inversa. Las estaciones de distribución de llave (gama SVM) y los dispositivos de enclavamiento (gama SVE) constituyen otras formas de utilizar un sistema de transferencia de llave para cubrir los riesgos de inicio inesperado.
Reinicio con reconocimiento doble
Este tipo de medidas adicionales no será necesario en todos los casos y (si pensamos, por ejemplo, en la optoelectrónica) los dispositivos de protección no siempre incluyen dispositivos de seguridad móviles que deban protegerse con dispositivos de enclavamiento. Para otras aplicaciones en zonas peligrosas con visibilidad reducida puede plantearse el uso del procedimiento de reconocimiento doble, que aquí ilustramos utilizando los módulos de relé de seguridad Protect SRB 100DR (véase figura 5). La función del módulo garantiza que tan solo puede reiniciarse el sistema de control de la máquina: una vez el operario haya accionado de forma previa el botón de reinicio 1 y, tras abandonar la zona peligrosa y, en caso necesario, cerrar y bloquear el dispositivo de seguridad de nuevo; una vez se haya accionado un interruptor de reinicio o ‘rearme’ 2 situado fuera de la instalación. Para ejecutar este reconocimiento ‘doble’ se proporciona un plazo de tiempo ajustable de entre 3 y 30 segundos (determinado a través de un interruptor DIP) en el que debe producirse el accionamiento (exclusivamente siguiendo el orden botón 1 ➔ botón 2). El plazo de tiempo puede establecerse en función de los procesos operativos. Si el operario no acciona el botón 1 o no acciona el botón 2 dentro del plazo de tiempo establecido, no se produce ninguna activación y debe repetirse el procedimiento de reconocimiento doble. En ese momento se produce un procesamiento adicional de la señal de reinicio mediante los módulos de relé de seguridad disponibles en el mercado, como por ejemplo los de la gama Protec-SRB; en el caso del módulo SRB 100DR, se trata de un dispositivo de corriente ascendente instalado con nivel de prestaciones ‘e’.
Requisito fundamental en el futuro: procesamiento de señal del borde de salida con botones de reinicio
Con independencia de que se instale una señal de reinicio (esta expresión es sinónima de ‘señal de rearme o reconocimiento’) única o doble tras abandonar una zona peligrosa accesible o una zona a la que pueda accederse desde atrás, ya sea con un interruptor selector mediante llave o utilizando un botón pulsador disponible en el mercado, etc., en el futuro el requisito de detección del borde de salida será aplicable al procesamiento de la señal. Esto significa que el reconocimiento tan solo podrá producirse liberando al elemento activador de su posición (accionada) de ‘encendido’. En el futuro este requisito dimanará del punto 5.2.2 de la norma EN ISO 13849-1:2008 (2006) con independencia del tipo de dispositivo de protección reconocido. Gracias a este requisito de procesamiento dinámico de la señal de rearme en relación con el borde de salida podrán detectarse fallos y errores en el dispositivo de control, que, de lo contrario, constituirían un riesgo potencial de reinicio inesperado. La función de reinicio también debe contar con los siguientes requisitos: debe proporcionarse a través de un dispositivo independiente y accionado manualmente en la parte de seguridad del sistema de control de la máquina; tan solo debe poder accederse al dispositivo si todas las funciones de seguridad y dispositivos de protección funcionan perfectamente; no debe iniciar de por sí ningún movimiento o situación peligrosa, y la función de rearme debe constituir una acción voluntaria que permita al sistema de control aceptar un comando de inicio independiente. En este caso, el nivel de prestaciones no debe reducir la seguridad de la función de seguridad correspondiente. La sección 4 de la norma EN ISO 12 100-2:2008 (2003) incluye requisitos adicionales aplicables a la cuestión del ‘reconocimiento’.