Você está na página 1de 22

Projeto do sistema de acordo com a

norma EN ISO 13849 e SISTEMA


Um estudo completo e detalhado da norma EN ISO 13849-1 necessrio antes que ela possa
ser corretamente aplicado. O que se segue um breve resumo:

Esta norma prev requisitos para a concepo e integrao de peas relacionadas com a
segurana dos sistemas de controlo, incluindo alguns aspectos do software. A norma aplica-se
a um sistema de segurana, mas tambm pode ser aplicado aos componentes do sistema.

Ferramenta de software SISTEMA para calculo de NP

SISTEMA uma ferramenta de software para a implementao da norma EN ISO 13849-1. Sua
utilizao vai simplificar a aplicao da norma.

SISTEMA um acrnimo para "Safety Integrity Software Tool for the Evaluation of Machine
Applications" Foi desenvolvido pela BGIA na Alemanha e de uso livre. necessria a entrada
de vrios tipos de dados de segurana funcional, como descrito posteriormente nesta seo.

Os dados podem ser inseridos manualmente ou automaticamente usando a biblioteca de
dados do SISTEMA de um fabricante.

A biblioteca de dados SISTEMA da Rockwell Automation est disponvel para download,
juntamente com um link para o site de download do SISTEMA, no seguinte
endereo:http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx.

Resumo da EN ISO 13849-1

Esta norma tem larga aplicao, como se aplica a todas as tecnologias, incluindo eltrica,
hidrulica, pneumtica e mecnica. Embora a ISO 13849-1 seja aplicvel aos sistemas
complexos, ela tambm remete o leitor para IEC 62061 e IEC 61508 para sistemas de software
complexos incorporados.

Vamos olhar quais so as diferenas bsicas entre a EN 954-1 antiga e a nova EN ISO 13849-1.
As sadas do padro antigo era categorias [B, 1, 2, 3 ou 4]. As sadas da nova norma so os
nveis de performance [NP a, b, c, d ou e]. O conceito de categoria mantido, mas existem
requisitos adicionais a serem preenchidas para que um NP pode ser reivindicada por um
sistema.

Os requisitos podem ser listados na forma bsica, como se segue:
A arquitetura do sistema. Essencialmente, este
captura o que ns nos acostumamos como as
categorias
A confiabilidade dos dados necessria para as
partes constituintes do sistema
O diagnstico cobertura [DC] do sistema
necessrio. Isso efetivamente representa a
quantidade de monitoramento de falhas no sistema
Proteo contra falhas de causa comum
Proteo contra falhas sistemticas
Sempre que necessrio, requisitos especficos de
software

Mais tarde vamos dar uma olhada nesses fatores, mas antes de faz-lo, ser til considerar a
inteno bsica e o princpio da norma geral. claro neste momento que h coisas novas para
aprender, mas o detalhe far mais sentido uma vez que tenhamos entendido o que ele est
tentando alcanar e por qu.

Primeiro de tudo porque precisamos do novo padro? bvio que a tecnologia utilizada nos
sistemas de segurana da mquina avanou e mudou consideravelmente ao longo dos ltimos
dez anos. At h relativamente pouco tempo os sistemas de segurana tm dependido de
"simples" equipamentos com modos de falha muito previsvel. Mais recentemente, temos visto
uma crescente utilizao de aparelhos eletrnicos mais complexos e programvel em sistemas
de segurana. Isto deu-nos vantagens em termos de custo, flexibilidade e compatibilidade,
mas ele tambm significou que as normas pr-existentes j no so suficientes. Para saber se
um sistema de segurana bom o suficiente, precisamos saber mais sobre ele. por isso que
a nova norma solicita mais informaes. Como os sistemas de segurana comeam a usar uma
abordagem "caixa preta" comeamos a confiar mais pesadamente sobre a sua conformidade
com as normas. Portanto, essas normas precisam ser capazes de interrogar corretamente a
tecnologia. Para cumprir isso, eles devem falar com os elementos bsicos de confiabilidade,
deteco de falhas, arquitectnico e integridade sistemtica. Esta a inteno da norma EN
ISO 13849-1.

A fim de traar um caminho lgico atravs do padro, h dois tipos fundamentalmente
diferentes de usurio devem ser considerados: o projetista de subsistemas de segurana e os
projetistas de sistemas de segurana. Em geral, o projetista do subsistema [normalmente um
fabricante de componentes de segurana] vai ser sujeito a um maior nvel de complexidade.
Eles tero de fornecer os dados necessrios para que o projetista do sistema pode garantir
que o subsistema a integridade adequada para o sistema. Isso geralmente requer alguns
testes, anlise e clculo. Os resultados sero expressos sob a forma dos dados exigidos pela
norma.

O projetista do sistema [normalmente um projetista de mquinas ou integrador] ir utilizar os
dados do subsistema para realizar alguns clculos relativamente simples para determinar o
nvel geral de desempenho [NP] do sistema.

NPr utilizado para designar o nvel de desempenho que exigido pela funo de segurana.
A fim de determinar a NPr,a norma fornece um grfico de risco em que os fatores de
aplicao da gravidade dos ferimentos, a frequncia de exposio e a possibilidade de evaso
so introduzidos.


Figura 119: Grfico de risco do anexo A da EN ISO 13849-1

A saida a NPr. Usurios da antiga EN 954-1 estaro familiarizados com esta abordagem, mas
tome nota de que a linha S1 agora subdivide na qual o antigo grfico de risco no o fazia.
Note que isto significa uma eventual reapreciao da integridade das medidas de segurana
necessrias em nveis mais baixos de risco.


Figura 120: Grfico de risco do anexo B da EN 945-1

Existe uma parte muito importante ainda a ser tratada. Ns sabemos agora, da norma, quo
bom o sistema precisa de ser e tambm como determinar o quo bom ele , mas no sabemos
o que ele precisa fazer. Precisamos decidir qual a funo de segurana. evidente que a
funo de segurana devem ser adequados para a tarefa, ento como podemos garantir isso?
Como o padro pode nos ajudar?

importante perceber que a funcionalidade s pode ser determinado considerando as
caractersticas predominantes na aplicao real. Isso pode ser considerado como a fase do
conceito de projeto de segurana. Ele no pode ser completamente cobertos pela norma, pois
a norma no conhece todas as caractersticas de um aplicativo especfico. Isso tambm
aplica-se frequentemente ao construtor da mquina que produz a mquina, mas no
necessariamente conhece as condies exatas em que ele ser usada.

A norma prev alguma ajuda listando muitas das funes de segurana comumente utilizados
(por exemplo, funo de parada de segurana iniciado por salvaguardar, funo de
silenciamento, de incio/reincio de funes) e dando alguns requisitos normalmente
associados. Outras normas, como a EN ISO 12100: Princpios bsicos de projeto e EN ISO
14121: A avaliao de riscos, so altamente recomendados para uso nesta fase. Tambm h
uma grande variedade de normas especficas da mquina que ir fornecer solues para
mquinas especficas. Dentro das normas europeias EN so denominadas normas tipo C, alguns
deles tm equivalentes exatos em normas ISO.

Assim, podemos ver agora que a fase de concepo de conceito de projeto de segurana
dependente do tipo de mquina e tambm sobre as caractersticas da aplicao e do
ambiente em que ela usada. O construtor da mquina deve antecipar esses fatores, a fim de
ser capaz de projetar o conceito de segurana. A condies pretendidas de uso devem ser
dadas no manual do usurio. O usurio da maquina precisa checar a correspondencia entra as
condies do uso atual.

Ento agora temos uma descrio da funcionalidade de segurana. Do anexo A da norma
tambm temos o necessrio nvel de desempenho [NPr] para as peas relacionadas com a
segurana do sistema de controle [SRP/CS], que sero usados para implementar essa
funcionalidade. Precisamos agora de projeto do sistema e se certificar de que cumpre com o
PLr.

Um dos fatores importantes na deciso sobre qual padro usar [EN ISO 13849-1 e EN/IEC
62061] a complexidade da funo de segurana. Na maioria dos casos, para as mquinas, a
funo de segurana, ser relativamente simples e EN ISO 13849-1 ser a rota mais adequada.
Confiabilidade dos dados, diagnstico de cobertura [DC], a arquitetura do sistema [categoria],
insuficincia de causa comum e, quando pertinente, os requisitos de software so utilizados
para avaliar o NP.

Esta uma descrio simplificada apenas para dar uma viso geral. importante
compreender que todas as disposies contidas no corpo da norma devem ser aplicadas. No
entanto, a ajuda est mo. A ferramenta de software SISTEMA est disponvel para ajudar
com os aspectos de documentao e clculo. Ele tambm gera um arquivo tcnico.

At a impresso desta publicao, o SISTEMA estava disponvel em alemo e ingls. Outros
idiomas sero lanados no futuro prximo. BGIA, o desenvolvedor do SISTEMA, uma
instituio de pesquisa e teste muito respeitada, com matriz na Alemanha. Ele est
particularmente envolvido na resoluo de problemas cientficos e tcnicos relacionados com
a segurana no mbito do seguro obrigatrio contra acidentes e preveno na Alemanha. Ele
trabalha em cooperao com a sade e as agncias de segurana em mais de 20 pases. Os
peritos da BGIA, junto com seus colegas de BG, tiveram significativa participao na
elaborao de ambos EN ISO 13849-1 e IEC/EN 62061.

A biblioteca de componentes de segurana da Rockwell Automation para o SISTEMA est
disponvel em:http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx.

Independentemente da forma como o clculo do NP feito, importante comear desde a
fundao correta. Precisamos ver o nosso sistema, da mesma forma como o padro, ento
vamos comear com isso.

Estrutura de sistema

Qualquer sistema pode ser dividido em componentes de sistema bsicos ou "subsistemas."
Cada subsistema tem sua prpria funo discreta. A maioria dos sistemas pode ser dividida em
trs funes bsicas; de entrada, a resoluo de lgica e atuao [alguns sistemas simples
podem no ter resoluo de lgica]. Os grupos de componentes que implementam estas
funes so os subsistemas.


Figura 121:

Um sistema eletrico simples de canal nico dado na figura 122. composto apenas de
entrada e sada de subsistemas.


Figura 122: Dispositivo de intertravamento e contator

Na figura 123, o sistema um pouco mais complexo devido a necessidade de alguma lgica. O
controlador de segurana em si vai ser tolerante a falhas (por exemplo, duplo canal)
internamente, mas todo o sistema ainda limitado ao estado de canal nico por causa do fim
de curso nico e contator nico.


Figura 123: Dispositivo de intertravamento, controlador de segurana e contator de segurana

Se tomarmos a arquitetura bsica da figura 123, h tambm algumas outras coisas a
considerar. Primeiro, quantos "canais" o sistema tem? Um sistema de canal nico falhar se
um dos seus subsistemas falharem. Um sistema de duplo canal [tambm chamado de
redundante] precisaria ter duas falhas, uma em cada canal, antes de o sistema falhar. Porque
h dois canais, ele podem tolerar uma nica falha e ainda continuar trabalhando. A figura 124
mostra um sistema de dois canais.


Figura 124: Canal duplo com dispositivo de intertravamento, controle de segurana e contatores de segurana

evidente que o sistema mostrado na figura 124 menos provvel de falhar do que o
mostrado na figura 123, mas podemos torn-la ainda mais confivel [em termos de sua funo
de segurana] se incluir medidas de diagnstico para deteco de falhas. Naturalmente, ter
detectado a falha tambm precisamos reagir e colocar o sistema em um estado seguro. A
figura 125 mostra a incluso de medidas de diagnstico obtido atravs de tcnicas de
monitoramento.


Figura 125: Sistema de duplo canal com chave de intertravamento, controlador de segurana e contator
de segurana - Diagnstico exibido por setas tracejadas

geralmente [mas nem sempre] o caso que o sistema composto por dois canais em todos os
seus subsistemas, como mostrado na figura 125. Portanto, pode-se ver que, nesse caso, cada
subsistema tem dois "sub canais." A norma os descreve como "blocos." Um subsistema de dois
canais ter dois blocos e um subsistema de um canal ter um bloco. possvel que alguns
sistemas sejam compostos por uma combinao de dois canais e blocos de canal nico.

Se queremos investigar o sistema com mais profundidade precisamos olhar para as partes
componentes dos blocos. A ferramenta SISTEMA usa o termo "elementos" para essas partes
componentes. A figura 126 mostra nosso sistema usando a terminologia do SISTEMA.


Figura 126: Sistema de duplo canal mostrado subdividido em subsistemas, blocos e elementos

A o subsistema de chave fim de curso mostrado subdividido para seu nivel de elemento. O
subsistema de contator de sada subdividida para o seu nvel de bloco e do subsistema
lgica no subdividida em todos. A funo de acompanhamento para ambas as chaves de
fim de curso e os contatores executada no controlador de lgica. Portanto, as caixas
representam os subsistemas de curso e contator tem uma pequena sobreposio com a caixa
de subsistema de lgica.

Este princpio de subdiviso do sistema pode ser reconhecido na metodologia apresentada na
EN ISO 13849-1 e no princpio bsico do sistema estrutura para a ferramenta SISTEMA. No
entanto, importante notar que existem algumas diferenas sutis. A norma no restritiva
em sua metodologia, mas para o mtodo simplificado para estimar o NP, o primeiro passo
usual o de quebrar a estrutura do sistema em canais e os blocos dentro de cada canal. Com
o SISTEMA, o sistema o primeiro dividido em subsistemas. O padro no explicitamente a
descrever um conceito subsistema mas a sua utilizao, tal como consta no SISTEMA fornece
uma abordagem mais compreensvel e intuitiva. claro que no h nenhum efeito sobre o
clculo final. SISTEMA e a norma ambos usam os mesmos princpios e frmulas. interessante
notar que a abordagem do subsistema tambm utilizado na norma EN/IEC 62061.

O sistema que temos usado como exemplo apenas um dos cinco tipos bsicos de
arquiteturas de sistema que designa o padro. Qualquer pessoa familiarizada com o sistema
de categorias ir reconhecer o nosso exemplo como representante da categoria 3 ou 4.

O padro usa as categorias EN 954-1 originais, j que seus cinco tipos bsicos de arquiteturas
de sistema designado. Ela se chama categorias designidas de arquitetura. Os requisitos para
as categorias so quase [mas no muito] idnticas s previstas na norma EN 954-1. as
categorias designada de arquitetura so representadas por figuras a seguir. importante
notar que eles podem ser aplicados tanto a um sistema ou um subsistema. Os esquemas no
devem ser tomados apenas como uma estrutura fsica. Destinam-se mais como uma
representao grfica dos requisitos conceituais.

Um olhar mais detalhado para a aplicao prtica das categorias tratado em um captulo
posterior.


Figura 127: Arquitetura designada de categoria B

Arquitetura designada da categoria B deve usar princpios bsicos de segurana [ver anexo da
norma EN ISO 13849-2]. O sistema ou subsistema pode falhar em caso de avaria. Consulte EN
ISO 13849-1 para todas as especificaes.


Figura 128: Arquitetura designinada categoria 1

Arquitetura designada de categoria 1 tem a mesma estrutura de categoria B e ainda pode
falhar em caso de avaria. Mas porque tambm deve usar princpios de segurana a muito
usados [ver anexo da norma EN ISO 13849-2] isso menos provvel do que para a categoria B.
Consulte EN ISO 13849-1 para todas as especificaes.


Figura 129: Arquitetura designinada categoria 2

Arquitetura designada da categoria 2 deve usar princpios bsicos de segurana [ver anexo da
norma EN ISO 13849-2]. Deve haver tambm acompanhamento de diagnstico atravs de um
teste funcional do sistema ou subsistema. O teste deve ocorrer no incio e, em seguida,
periodicamente com uma frequncia que equivale a pelo menos cem testes para cada
demanda na funo de segurana. Note-se que esta taxa de teste uma exigncia adicional
ao que dado na antiga EN 954-1. O sistema ou subsistema ainda pode falhar se uma nica
falha ocorre entre os testes funcionais, mas isso geralmente menos provvel do que para a
categoria 1. Consulte EN ISO 13849-1 para todas as especificaes.


Figura 130: Arquitetura designada categoria 3

A arquitetura designada categoria 3 deve usar princpios bsicos de segurana [ver anexo da
norma EN ISO 13849-2]. H tambm a exigncia de que o sistema/subsistema no deve falhar
em caso de uma nica falha. Isso significa que o sistema precisa ter tolerncia a falhas
individuais no que diz respeito sua funo de segurana. A forma mais comum de realizar
este requisito empregar uma arquitetura de canal duplo, como mostrado na figura 130.
Alm disso, uma nica falha deve ser detectada, sempre que possvel. Esta exigncia o
mesmo que o requisito inicial para a categoria 3 da EN 954-1. Nesse contexto, o significado da
frase"sempre que aplicavel" prova ser um tanto problematica. Isso significava que categoria 3
pode abranger tudo, desde um sistema com redundncia, mas no deteco de falhas [muitas
vezes de forma descritiva e adequadamente denominados "redundancia estupida"] a sistemas
redundantes onde todas as falhas so detectadas. Esta questo abordada na EN ISO 13849-1
pela exigncia para estimar a qualidade da cobertura diagnostica [DC]. Por referencia ao
anexo K ou tabela 10. Podemos ver que, quanto maior a confiabilidade [MTTFd] do sistema,
menos o CC que precisamos. No entanto, CC deve ser pelo menos 60% para a arquitetura de
categoria 3.


Figura 131: Arquitetura designinada categoria 4

A arquitetura designada categoria 4 deve usar princpios bsicos de segurana [ver anexo da
norma EN ISO 13849-2]. Tem um diagrama de requisitos semelhantes aos de categoria 3, mas
isto exige uma maior vigilncia maior cobertura de diagnstico. Isso mostrado pelas linhas
pontilhadas mais grossas representando as funes de monitorizao. Em essncia, a
diferena entre as categorias 3 e 4 que para a categoria 3 a maioria dos defeitos devem ser
detectados, mas para a categoria 4, todas as falhas devem ser detectadas. A CC deve ser pelo
menos 99%. Mesmo a acumulao de falhas no devem causar uma falha perigosa.

Confiabilidade dos dados

A EN ISO 13849-1 usa a confiabilidade dos dados quantitativos, como parte do clculo do NP
alcanado pelas partes relacionados com a segurana de um sistema de controle. Este um
desvio significativo da EN 954-1. A primeira questo que isso suscita "de onde que vamos
obter esses dados?" possvel utilizar dados de pronturios fiabilidade reconhecida, mas a
norma deixa claro que a fonte preferida o fabricante. Para esse efeito, a Rockwell
Automation est fazendo a informao relevante disponvel na forma de uma biblioteca de
dados para o SISTEMA. No momento certo tambm ir publicar os dados de outras formas.
Antes de irmos adiante, devemos considerar que tipos de dados so necessrios e tambm
ganhar uma compreenso de como ele produzido.

O ltimo tipo de dados requeridos como parte da determinao do NP na norma [e SISTEMA]
o PFH [a probabilidade de falha perigosa por hora]. Este o mesmo dado como representado
pela sigla PFHd utilizados na IEC/EN 62061.
NP Probabilidade de falha perigosa por hora mdia (1/h) SIL
a 10
-5
a <10
-4
Sem correspondencia
b 3 x 10
-6
a <10
-5
1
c 10
-6
a <3 x 10
-6
1
d 10
-7
a <10
-6
2
e 10
-8
a <10
-7
3

Tabela 9

A tabela 9 mostra a relao entre o PFH, NP e SIL. Para alguns subsistemas do PFH podem
estar disponveis a partir do fabricante. Isto torna a vida mais fcil para o clculo. O
fabricante normalmente ter de realizar alguns clculos relativamente complexos e/ou testes
em seus subsistemas, a fim de fornec-lo. No caso em que ele no esteja disponvel, EN
ISO13849-1 d-nos uma abordagem alternativa simplificada com base na mdia MTTFd [tempo
mdio de uma falha perigosa] de um nico canal. O NP [e, portanto, o PFH] de um sistema ou
subsistema pode ser calculada utilizando a metodologia e as frmulas da norma. Pode ser
feito ainda mais convenientemente usando SISTEMA.

OBSERVAO: importante compreender que, para um sistema de canal duplo (com ou sem
diagnstico), no correto usar 1/PFH
D
para determinar a MTTFd que exigida pela norma EN
ISO 13849-1. A norma exige a MTTFd de um nico canal. Este um valor muito diferente do
MTTFd da combinao de dois canais de um subsistema de dois canais. Se a PFH
D
de um
subsistema de dois canais conhecida, ela pode simplesmente ser inserido diretamente no
SISTEMA.

MTTFd de um nico canal

Isto representa o tempo mdio de dizer antes da ocorrncia de uma falha que poderia levar
falncia da funo de segurana. expresso em anos. um valor mdio das MTTFd
dos"blocos" de um nico canal e pode ser aplicada tanto para sistema quanto para
subsistemas. A norma d a seguinte frmula que usada para calcular a mdia de todos as
MTTFd de cada elemento utilizado em um nico canal ou subsistema.

Nesta fase, o valor do SISTEMA se torna aparente. Usurios so poupados de tempo
consultando tabelas e frmulas de clculo uma vez que essas tarefas so executadas pelo
software. O resultado final pode ser impresso na forma de um relatrio com vrias pginas


Formula Prof. 1 da EN ISO 13849-1

Na maioria dos sistemas de canal duplo, ambos os canais so idnticos, portanto, o resultado
da frmula representa um dos canais.

Se o sistema/subsistema so de canais diferentes, a norma prev uma frmula para atender a
isso.


Formula 1 da EN ISO 13849-1

Esta, com efeito, a mdia das duas mdias. Na causa de simplificao, tambm permitido
usar apenas o valor do pior canal.

A norma agroupa as MTTFd em trs faixas, da seguinte forma:
Denotao da MTTFd de cada canal Faixa da MTTFd de cada canal
Baixo 3 anos<= MTTFd < 10 anos
Mdio 10 anos<= MTTFd < 30 anos
Alto 30 anos<= MTTFd < 100 anos

Tabela 10: Niveis da MTTFd

Note-se que a norma EN ISO 13849-1 limita os utilizveis MTTF
d
de um canal nico de um
subsistema a um mximo de 100 anos, embora os valores reais obtidos podem ser muito
maiores.

Como veremos mais tarde, o intervalo obtido da mdia MTTFd ento combinada com a
categoria de arquitetura designada e os diagnsticos de cobertura [DC] para fornecer uma
classificao preliminar NP. O preliminar termo usado aqui porque outros requisitos,
incluindo a integridade sistemtica e medidas contra o fracasso de causa comum ainda tm
que ser cumpridos, quando pertinente.

Metodos de determinao de dados

Precisamos agora aprofundar um estgio mais profundo na forma como um fabricante
determina os dados sob a forma de PFH
D
ou MTTF
d
. A compreenso disso essencial quando
se lida com dados dos fabricantes.

Os dados podem ser agrupados em dois tipos bsicos: 1) mecnico (eletro-mecnica,
mecnica, hidrulica e pneumtica) e 2) eletronicas (estado slido).

H uma diferena fundamental entre os mecanismos de falha comum destes trs tipos de
tecnologia. Na forma bsica pode ser resumido da seguinte forma:

Tecnologia mecanistica: O fracasso proporcional tanto da confiabilidade inerente e da taxa
de utilizao. A maior taxa de uso, maior a probabilidade de que um dos componentes possam
se degradada e falhar. Note que esta no a nica causa da falha, mas ao menos ns
limitemos o tempo de operao/ciclos, predominamente um. evidente que um contator que
tem ciclo de comutao de uma vez a cada dez segundos ir operar de forma confivel por
um tempo muito menor que um contator idnticos que opera um por dia. Dispositivos fisicos
de tecnologia de fsica em geral, compreendem os componentes que so projetados
individualmente para uso prprio. Os componentes so em forma, moldado, fundido, usinado,
etc Eles so combinados com as ligaes, molas, ms, bobinas eltricas etc para formar um
mecanismo. Como os componentes no, em geral, tm alguma histria de uso em outras
aplicaes, no podemos encontrar qualquer confiabilidade dos dados pr-existentes para
eles. A estimativa da PFH
D
ou MTTF
d
para o mecanismo normalmente baseada em testes.
Ambos EN/IEC 62061 e EN ISO 13849-1 defendem um processo de teste conhecido como Teste
B10d.

No teste B10d, um nmero de amostras do dispositivo [normalmente, pelo menos dez] so
devidamente testados sob condies representativas. O nmero mdio de ciclos de
explorao realizados antes de 10% das amostras no a condio de perigosos conhecido
como o valor B10d.

Na prtica, frequentemente o caso que todas as amostras falhar a um estado seguro, mas
nesse caso, a norma diz que o valor B10d [perigosos] pode ser tomado como duas vezes o
valor do B10 [segurana].

Tecnologia eletronica: No h peas de desgaste fsico relacionado movimento. Dado um
ambiente operacional compatvel com o especificado eltrica e temperatura [etc]
caractersticas, a falha predominante de um circuito eletrnico proporcional
confiabilidade inerente de seus componentes constituintes [ou a falta fora dele]. H muitas
razes para a falha de um componente individual; imperfeio introduzidas durante a
fabricao, surtos de potncia excessiva, prolemas de conexo mecnica etc. Em geral, as
falhas em componentes eletrnicos so difceis de prever pela anlise e elas parecem ser de
natureza aleatria. Portanto, testar um dispositivo eletrnico em condies de laboratrio de
teste no necessariamente revelam padres de falha tpicos de longo prazo.

A fim de determinar a confiabilidade de dispositivos eletrnicos comum usar a anlise e
clculo. Podemos encontrar bons dados para os componentes individuais em pronturios a
confiabilidade dos dados. Podemos usar a anlise para determinar qual modos componente de
falha so perigosos. aceitvel e usual calcular a mdia de modos de falha de um
componente de 50% seguro e 50% perigoso. Isto normalmente resulta em dados relativamente
conservador.

IEC 61508 fornece frmulas que podem ser usados para calcular a probabilidade global de
falha perigosa [PFH ou PFD] do dispositivo ou seja, o subsistema. As frmulas so bastante
complexas e levam em conta [quando aplicvel] a confiabilidade dos componentes, o
potencial para causar falha comum [fator beta], a cobertura de diagnstico [DC], intervalo de
teste funcional e teste de intervalo de prova. A boa notcia que este clculo complexo ser
normalmente feito pelo fabricante do dispositivo. Ambos EN/IEC 62061 e EN ISO 13849-1
aceitar um subsistema calculados desta forma a norma IEC 61508. A PFH
D
resultante pode ser
usada diretamente em ambas anexo K da EN ISO 13849-1 ou a ferramente de calculo SISTEMA.

Software: Falhas de software so inerentemente sistemtica por natureza. Quaisquer falhas
so causadas pela forma como concebido, escrito e compilado. Assim, todas as falhas so
causadas pelo sistema sob o qual produzido, e no pelo seu uso. Portanto, a fim de
controlar as falhas devemos controlar esse sistema. Ambas a IEC 61508 e aEN ISO 13849-1
estabelecem requisitos e metodologias para isso. Ns no precisamos entrar em detalhes
aqui, alm de dizer que eles usam o modelo V clssico.


Figura 132: Modelo V para desenvolvimento de software

O software integrado um problema para o projetista do aparelho. A abordagem usual o
desenvolvimento de software embarcado, de acordo com os mtodos formais explicado no IEC
61508 parte 3. Quando se trata de cdigo de aplicao, o software que um usurio com
interfaces, dispositivos de segurana mais programveis so fornecidas com funo
"certificada" de blocos ou rotinas. Isso simplifica a tarefa de validao para o cdigo do
aplicativo, mas preciso lembrar que o programa de candidatura devidamente preenchido
ainda precisa ser validado. A forma como os blocos so ligados e parmetrizados deve ser
provada correta e vlida para a tarefa pretendida. EN ISO 13849-1 e IEC/EN 62061, ambas,
fornecem orientaes para esse processo.

Cobertura de diagnostico

J tocamos neste assunto, quando se considerou as arquitetura designada de categorias 2, 3 e
4. Essas categorias exigem alguma forma de teste de diagnstico para verificar se a funo de
segurana ainda est trabalhando. O termo"cobertura de diagnostico" [normalmente
abreviado para DC] usado para caracterizar a efetividade dos testes. importante perceber
que a CC no se baseia apenas no nmero de componentes que podem falhar de forma
perigosa. Leva em conta a taxa de falha total perigoso. O smbolo (lambda) usado para
"taxa de falha." CC expressa a relao entre as taxas de ocorrncia dos dois seguintes tipos de
falha perigosa:
Falhas perigosas detectadas [dd], ou seja, aquelas
falhas que causam, ou podem levar a uma perda da
funo de segurana, mas que so detectados. Aps
a deteco, uma funo de reao falha faz com que
o dispositivo ou sistema para ir para um estado
seguro.
Falha perigosa [d] Ou seja, todos os fracassos que
poderiam causar ou levar a uma perda da funo de
segurana. Isso inclui tanto as falhas que so
detectadas e aquelas que no so. claro que as
falhas que so verdadeiramente perigosas so os
perigosas detectadas [denominadas du].

A CC expressado pela frmula;

CC = dd/d expressada em porcentagem.

Esse significado do termo CC comum na EN ISO 13849-1 e EN/IEC 62061. No entanto, a
maneira que ele derivado diferente. A segunda norma prope o uso de clculo com base na
anlise do modo de falha, mas a EN ISO 13849-1 fornece um mtodo simplificado, na forma de
tabelas de consulta. Vrias tcnicas tpicas de diagnstico esto listados juntamente com a
percentagem CC que seu uso seja considerado como conseguir. Em alguns casos julgamento
racional ainda necessrio, por exemplo, em algumas tcnicas, a CC alcanada
proporcional frequncia com que o teste realizado. Algumas vezes se argumenta que esta
abordagem muito vaga. No entanto, a estimativa da CC pode depender de muitas variveis
diferentes, e qualquer tcnica utilizada, o resultado s pode geralmente ser
verdadeiramente descrito como aproximados. Tambm importante compreender que os
quadros EN ISO 13849-1 so baseados em uma ampla pesquisa realizada pela BGIA, sobre os
resultados obtidos pela conhecida tcnicas de diagnstico utilizados em aplicaes reais. No
interesse da simplificao do padro CC divide em quatro faixas de base:

<60% = nenhum

60% a <90% = baixo

90% a <99% = medio

99%+ = alto

Essa abrodagem de lidar com faixas em vez de valores pecentuais individuais podem tambem
ser consideradas mais realistas em termos de exatidao atingivel. A ferramenta SISTEMA usa a
mesma tabelas de consulta que as do padro. Conforme aumenta o uso de produtos
eletrnicos complexos nos dispositivos de segurana CC torna-se um fator mais importante.
provvel que os futuros trabalhos sobre as normas vo olhar mais para esclarecer esta
questo. Entretanto, a utilizao de critrios tcnicos e do senso comum deve ser suficiente
para levar escolha correta da faixa contnua.

Falhas de causa comum

Na maioria dos sistemas canais duplos [ou seja, sistemas tolerantes a falhas individuais] ou
subsistemas, o princpio de diagnstico se baseia na premissa de que no haver falhas
perigosas dos dois canais ao mesmo tempo. A expresso ao mesmo tempo mais
precisamente expressa como dentro do intervalo de teste de diagnstico. Se o intervalo de
teste de diagnstico razoavelmente breves [por exemplo menos de oito horas], uma
suposio razovel de que duas falhas separadas e independentes so altamente improvveis
de ocorrer dentro desse prazo. No entanto, a norma deixa claro que temos de pensar
cuidadosamente sobre se as possibilidades de falha realmente so separadas e independentes.
Por exemplo, se uma falha em um componente pode previsivelmente, levar a falhas de outros
componentes, em seguida, o conjunto resultante de falhas so consideradas como uma nica
falha.

Tambm possvel que um evento que faa com que um componente possa causar a falha de
outros componentes. Isso chamado de fracasso de causa comum (CCF). Esse grau de
propensidade para o CCF nromalmente descrito como o fator beta []. muito importante
que os projetistas de subsistema e sistema estejam conscientes das possibilidades de CCF. H
muitos tipos diferentes de CCF e, correspondentemente, diferentes maneiras de evit-los. EN
ISO 13849-1 mostra um curso racional entre os extremos de complexidade e excesso de
simplificao. Em comum com a norma EN/IEC 62061, ela adota uma abordagem que
essencialmente qualitativa. Ele fornece uma lista de medidas conhecido por ser eficaz em
evitar as CCF.

A tabela 11 mostra um resumo do processo de pontuao.
. Medidas contra CCF Pontuao
1 Separao/segregao 15
2 Diversidade 20
3 Projeto/aplicao/
experiencia
20
4 Avaliao/analise 5
5 Competncia/treinamento 5
6 Ambiental 35

Tabela 11: Pontuao para falhas de causa comun

Um nmero suficiente de tais medidas devem ser implementadas no projeto de um sistema ou
subsistema. Poderia ser alegado, com certa razo, que a utilizao desta lista podem no ser
adequadas para impedir qualquer possibilidade de CCF. No entanto, se a inteno da lista
considerada adequadamente, torna-se claro que o esprito da sua obrigao fazer o
projetista analisar as possibilidades de CCF e implementar medidas de preveno apropriadas
com base no tipo de tecnologia e as caractersticas da aplicao pretendida. Use a lista impe
a considerao de algumas das tcnicas mais fundamentais e eficazes, tais como a
diversidade de modos de falha e competncias de projetos. A ferramenta BGIA SISTEMA
tambm exige a implementao de tabelas de consulta padrao CCF e as torna disponveis de
uma forma conveniente.

Tempo de misso

Misso tempo representa o perodo mximo de tempo para que um subsistema (ou sistema)
pode ser usado. Aps este tempo, ele deve ser substitudo. Misso tempo deve ser declarado
pelo fabricante dos componentes. Misso tempo ser normalmente o mesmo que o intervalo
de teste de provaou vida (o que for menor), usado no IEC/EN62061. O projetista do
sistema de segurana deve, ento, considerar o tempo da misso dos componentes para
determinar o tempo da misso de cada funo de segurana. Para os componentes mecnicos
do valor T10d d esse valor da vida til em termos de nmero de operaes. O valor
derivado T10d como parte do clculo B10d.

Falhas sistematicas

Ns j discutimos a confiabilidade dos dados quantificados de segurana sob a forma de
MTTFd e a probabilidade de falha perigosa. No entanto, esta no toda a histria. Quando
nos referimos a esses termos, estvamos realmente pensando sobre as falhas que parecem ser
aleatrios por natureza. Na verdade IEC/EN 62061 refere-se especificamente abreviatura da
PFH
D
como a probabilidade de falha de hardware aleatria. Mas existem alguns tipos de falhas
conhecidas coletivamente como falha sistemtica, que pode ser atribuda a erros cometidos
no projeto ou processo de fabricao. O exemplo clssico um erro no cdigo de software. A
norma prev medidas no Anexo G, para evitar esses erros [e, portanto, as falhas]. Estas
medidas incluem disposies tais como o uso de materiais adequados e tcnicas de
fabricao, estudos, anlises e simulao computacional. H tambm eventos previsveis e
caractersticas que podem ocorrer no ambiente operacional que pode causar falha, a menos
que seu efeito seja controlado. Anexo G tambm prev medidas para isso. Por exemplo,
facilmente previsvel que possa haver eventuais perdas de energia. Portanto, a
desenergizao de componentes deve resultar em um estado seguro para o sistema. Estas
medidas podem parecer ser apenas o senso comum, e de fato so, mas so, no entanto,
essenciais. Todo o resto dos requisitos da norma no faro sentido, ao menos que a devida
ateno seja dada ao controle e preveno de falhas sistemticas. Isso tambm, por vezes,
exigem o mesmo tipo de medidas utilizadas para o controle de [falha aleatria de hardware
para alcanar a necessria PFH
D
] como teste de diagnstico automtico e hardware
redundante.

Excluso de falha

Uma das ferramentas de anlise preliminar de sistemas de segurana a anlise de falha. O
designer eo usurio deve entender como o sistema de segurana realiza na presena de
falhas. Muitas tcnicas esto disponveis para realizar a anlise. Exemplos incluem arvore de
analise de falhas; modos de falha, efeitos e enlise da criticidade; arvore de analise de
eventos e opinies fora de carga.

Durante a anlise, certas falhas podem ser descobertas que no podem ser detectados com
testes de diagnstico automtico, sem custos econmicos indevidos. Alm disso, a
probabilidade de que essas falhas podem ocorrer pode ser extremamente pequeno, usando
atenuantes concepo, construo e mtodos de ensaio. Sob essas condies, as falhas podem
ser excludas de considerao. Falha de excluso a excluso da ocorrncia de uma falha,
porque a probabilidade de que a falha especfica do SRCS seja desprezvel.

ISO13849-1: 2006 permite a excluso de falha baseado na tcnica improbabilidade de
ocorrncia, geralmente experincia tcnica aceitas e os requisitos tcnicos relacionados com
a aplicao. ISO13849-2: 2003 fornece exemplos e justificativas para a excluso de certas
falhas de sistemas eltricos, pneumticos, hidrulicos e mecnicos. Excluses de falha deve
ser declarada com justificativas detalhadas na documentao tcnica.

Nem sempre possvel avaliar com segurana relacionadas com sistema de controle sem
assumir que certas falhas possam ser excludas. Para obter informaes detalhadas sobre as
excluses de falhas, ver ISO 13849-2.

Como o nvel de risco fica maior, a justificativa para a excluso de falha se torna mais
rigorosas. Em geral, quando NPe necessrio para uma funo de segurana a ser
implementado um sistema de controlo de segurana no normal invocar excluses culpa
sozinho para alcanar este nvel de desempenho. Esta dependente da tecnologia utilizada e
do ambiente operacional pretendido. Portanto, essencial o projetista ter cuidados
adicionais sobre o uso das excluses de falhas, ja que aumenta a exigncia de NP.

Por exemplo, um sistema de bloqueio da porta que tem que conseguir NPe ter que
incorporar uma tolerncia a falhas mnimo de 1 (por exemplo, dois interruptores de posio
mecnica convencional), a fim de atingir esse nvel de desempenho, uma vez que
normalmente no justificvel exclui falhas, tais como atuadores de chave quabrados. No
entanto, pode ser aceitvel para excluir defeitos, tais como curto-circuito da fiao em um
painel de controle elaboradas em conformidade com as normas pertinentes.

Nivel de performance (NP)

O nvel de desempenho um nvel discreto, que especifica a capacidade das partes
relacionadas com a segurana do sistema de controle para executar uma funo de
segurana.

A fim de avaliar o NP atingido por uma implementao de qualquer uma das cinco
arquiteturas designadas, os seguintes dados so necessrios para o sistema (ou subsistema):
MTTF
d
(tempo mdio para falha perigosa de cada
canall)
CC (cobertura de diagnostico)
Arquitetura (a categoria)

A tabela 12 mostra os NP atingidos por varias combinaes Veja o anexo K da norma para
determinao mais precisa.


Figura 133: Determinao grfica do NP

A tabela 12 mostra os NP atingidos por vrias combinaes Veja o anexo K da norma para
determinao mais precisa. Por exemplo, um aplicativo usa a categoria 3 arquitetura
designada. Se a CC est entre 60% e 90%, e se o MTTFd de cada canal est entre 10 e 30 anos,
em seguida, de acordo com a figura 133, PL
d
atingido.

Outros fatores tambm devem ser realizados para satisfazer o NP exigido. Esses requisitos
incluem as disposies j discutidos, tais como falhas de causa comum, o fracasso sistemtico
e tempo de misso.

Se a PFH
D
do sistema ou subsistema conhecido, a Tabela 12 (anexo K da norma) pode ser
usado para derivar o NP.
MTTF
d
para
cada canall
Probabilidade media de falha perigosa por hora (1/h) e nivel de
performance correspondente (NP)
Cat.
B
NP Cat.
1
NP Cat.
2
NP Cat.
2
NP Cat.
3
NP Cat.
3
NP Cat.
4
NP
Anos DC
avg
=
nenhum
DC
avg
=
nenhum
DC
avg
=
baixo
DC
avg
=
mdio
DC
avg
=
baixo
DC
avg
=
mdio
DC
avg
=
alto
3 3,80
x 10
-5

a 2,58
x 10
-5

a 1,99
x 10
-5

A 1,26
x 10
-5

a 6,09
x 10
-6

b
3,3 3,46
x 10
-5

a 2,33
x 10
-5

a 1,79
x 10
-5

A 1,13
x 10
-5

a 5,41
x 10
-6

b
3,6 3,17
x 10
-5

a 2,13
x 10
-5

a 1,62
x 10
-5

a 1,03
x 10
-5

a 4,86
x 10
-6

b
3,9 2,93
x 10
-5

a 1,95
x 10
-5

a 1,48
x 10
-5

a 9,37
x 10
-6

b 4,40
x 10
-6

b
4,3 2,65
x 10
-5

a 1,76
x 10
-5

a 1,33
x 10
-5

a 8,39
x 10
-6

b 3,89
x 10
-6

b
4,7 2,43
x 10
-5

a 1,60
x 10
-5

a 1,20
x 10
-5

a 7,58
x 10
-6

b 3,48
x 10
-6

b
5,1 2,24
x 10
-5

a 1,47
x 10
-5

a 1,10
x 10
-5

a 6,91
x 10
-6

b 3,15
x 10
-6

b
5,6 2,04
x 10
-5

a 1,33
x 10
-5

a 9,87
x 10
-6

b 6,21
x 10
-6

b 2,80
x 10
-6

c
6,2 1,84
x 10
-5

a 1,19
x 10
-5

a 8,80
x 10
-6

b 5,53
x 10
-6

b 2,47
x 10
-6

c
6,8 1,68
x 10
-5

a 1,08
x 10
-5

a 7,93
x 10
-6

b 4,98
x 10
-6

b 2,20
x 10
-6

c
7,5 1,52
x 10
-5

a 9,75
x 10
-6

b 7,10
x 10
-6

b 4,45
x 10
-6

b 1,95
x 10
-6

c
8,2 1,39
x 10
-5

a 8,87
x 10
-6

b 6,43
x 10
-6

b 4,02
x 10
-6

b 1,74
x 10
-6

c
9,1 1,25
x 10
-5

a 7,94
x 10
-6

b 5,71
x 10
-6

b 3,57
x 10
-6

b 1,53
x 10
-6

c
10 1,14
x 10
-5

a 7,18
x 10
-6

b 5,14
x 10
-6

b 3,21
x 10
-6

b 1,36
x 10
-6

c
11 1,04
x 10
-5

a 6,44
x 10
-6

b 4,53
x 10
-6

b 2,81
x 10
-6

c 1,18
x 10
-6

c
12 9,51
x 10
-6

b 5,84
x 10
-6

b 4,04
x 10
-6

b 2,49
x 10
-6

c 1,04
x 10
-6

c
13 8,78
x 10
-6

b 5,33
x 10
-6

b 3,64
x 10
-6

b 2,23
x 10
-6

c 9,21
x 10
-7

d
15 7,61
x 10
-6

b 4,53
x 10
-6

b 3,01
x 10
-6

b 1,82
x 10
-6

c 7,44
x 10
-7

d
16 7,31
x 10
-6

b 4,21
x 10
-6

b 2,77
x 10
-6

c 1,67
x 10
-6

c 6,76
x 10
-7

d
18 6,34
x 10
-6

b 3,68
x 10
-6

b 2,37
x 10
-6

c 1,41
x 10
-6

c 5,67
x 10
-7

d
20 5,71
x 10
-6

b 3,26
x 10
-6

b 2,06
x 10
-6

c 1,22
x 10
-6

c 4,85
x 10
-7

d
22 5,19
x 10
-6

b 2,93
x 10
-6

c 1,82
x 10
-6

c 1,07
x 10
-6

c 4,21
x 10
-7

d
24 4,76
x 10
-6

b 2,65
x 10
-6

c 1,62
x 10
-6

c 9,47
x 10
-7

d 3,70
x 10
-7

d
27 4,23
x 10
-6

b 2,32
x 10
-6

c 1,39
x 10
-6

c 8,04
x 10
-7

d 3,10
x 10
-7

d
30 3,80
x 10
-6

b 2,06
x 10
-6

c 1,21
x 10
-6

c 6,94
x 10
-7

d 2,65
x 10
-7

d 9,54
x 10
-8

e
33 3,46
x 10
-6

b 1,85
x 10
-6

c 1,06
x 10
-6

c 5,94
x 10
-7

d 2,30
x 10
-7

d 8,57
x 10
-8

e
36 3,17
x 10
-6

b 1,67
x 10
-6

c 9,39
x 10
-7

d 5,16
x 10
-7

d 2,01
x 10
-7

d 7,77
x 10
-8

e
39 2,93
x 10
-6

c 1,53
x 10
-6

c 8,40
x 10
-7

d 4,53
x 10
-7

d 1,78
x 10
-7

d 7,11
x 10
-8

e
43 2,65
x 10
-6

c 1,37
x 10
-6

c 7,34
x 10
-7

d 3,87
x 10
-7

d 1,54
x 10
-7

d 6,37
x 10
-8

e
47 2,43
x 10
-6

c 1,24
x 10
-6

c 6,49
x 10
-7

d 3,35
x 10
-7

d 1,34
x 10
-7

d 5,76
x 10
-8

e
51 2,24
x 10
-6

c 1,13
x 10
-6

c 5,80
x 10
-7

d 2,93
x 10
-7

d 1,19
x 10
-7

d 5,26
x 10
-8

e
56 2,04
x 10
-6

c 1,02
x 10
-6

c 5,10
x 10
-7

d 2,52
x 10
-7

d 1,03
x 10
-7

d 4,73
x 10
-8

e
62 1,84
x 10
-6

c 9,06
x 10
-7

d 4,43
x 10
-7

d 2,13
x 10
-7

d 8,84
x 10
-8

e 4,22
x 10
-8

e
68 1,68
x 10
-6

c 8,17
x 10
-7

d 3,90
x 10
-7

d 1,84
x 10
-7

d 7,68
x 10
-8

e 3,80
x 10
-8

e
75 1,52
x 10
-6

c 7,31
x 10
-7

d 3,40
x 10
-7

d 1,57
x 10
-7

d 6,62
x 10
-8

e 3,41
x 10
-8

e
82 1,39
x 10
-6

c 6,61
x 10
-7

d 3,01
x 10
-7

d 1,35
x 10
-7

d 5,79
x 10
-8

e 3,08
x 10
-8

e
91 1,25
x 10
-6

c 5,88
x 10
-7

d 2,61
x 10
-7

d 1,14
x 10
-7

d 4,94
x 10
-8

e 2,74
x 10
-8

e
100 1,14
x 10
-6

c 5,28
x 10
-7

d 2,29
x 10
-7

d 1,01
x 10
-7

d 4,29
x 10
-8

e 2,47
x 10
-8

e

Tabela 12: Preciso MTTFd para determinar NP

Fonte da tabela 12 e a tabela K1 da ISO/EN 13849-1:2006

Projeto de subsistema e combinaes

Se os NPs de todos os substistemas so conhecidos, eles podem ser combinados simplesmente
num sistema usando a tabela 13. A razo por trs dessa tabela clara. Primeiro, o sistema
pode apenas se tao bom quanto seu ponto mais fraco (subsistema). Segundo, quanto mais
subsistemas existem, maiores as possibilidade de falha.
NP
baixo
N
baixo
NP
a >3 No permitido
=<3 a
b >2 a
=<2 b
c >2 b
=<2 c
d >3 c
=<3 d
e >3 d
.
3 e

Tabela 13: Calculo da NP para series combinadas de subsistemas

No sistema mostrado na figura 135, o nivel de performance mais baixo esta nos subsistemas 1
e 2. Ambos so NPb. Portanto, utilizando a tabela 13, podemos ler atraves a b (na coluna
NPbaixo), a 2 (na coluna Nbaixo) e encontrar o NP que o sistema atingiu como b (na coluna
NP). Se todos os trs subsistemas fossem NPb, o NP alcanado seria NPa.

Observao: A aplicao dessa tabela no mandatoria. A utilizao do anexo K da norma
(ou sistema) o mtodo preferido. Este quadro destina-se apenas de proporcionar uma
abordagem muito simples para pequenos sistemas.


Figura 134: Combinao de serie de subsistemas como um sistema NPb

Validao

Validao desempenha um papel importante durante o desenvolvimento do sistema de
segurana e processo de comissionamento. ISO/EN 13849-2:2003 define os requisitos para
validao. Ele pede um plano de validao e discute validao por testes e anlises tcnicas,
tais como arvorde de analise de falhas, e modos de falha, efeitos e anlise da criticidade. A
maioria destes requisitos aplicveis ao fabricante do subsistema, ao invs do usurio do
subsistema.

Comissionamento da maquina

No sistema de estgio ou mquina em funcionamento, a validao das funes de segurana
deve ser realizada em todos os modos de operao e deve abranger todas as condies
normais e previsveis anormal. Combinaes de insumos e sequncias de operao tambm
deve ser levado em considerao. Este procedimento importante porque sempre
necessrio verificar se o sistema adequado para as reais caractersticas operacionais e
ambientais. Algumas dessas caractersticas podem ser diferentes dos previstos na fase de
projeto.
Ferramentas e Recursos|Encontrar Escritrios no Mundo|Entre em Contato|Mapa do
Site|Observaes Importantes
Copyright 2013 Rockwell Automation, Inc. All Rights Reserved.