Você está na página 1de 149

Substitui a publicao: SAFEBK-RM002A-PT-P

2011 Rockwell Automation, Inc.Todos os direitos reservados.

SAFEBOOK 4

SAFEBOOK 4 - Sistemas de controle relacionados segurana de mquinas / Princpios, padres e implementao


Publicao: SAFEBK-RM002B-PT-P Maro de 2011

Sistemas de controle relacionados


segurana de mquinas
Princpios, padres e implementao

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas

Captulo 1
Captulo 2
Captulo 3
Captulo 4
Captulo 5
Captulo 6
Captulo 7
Captulo 8
Captulo 9

ndice

Regulamentaes ........................................................................... 2

Diretrizes e legislao da UE, diretriz de mquinas, diretriz de uso de equipamento


no trabalho, regulamentaes dos EUA, regulamentaes canadenses
de administrao, de sade e de segurana ocupacional

Padres .......................................................................................... 18
ISO (Organizao Internacional de Padronizao), IEC (Comisso Eletrotcnica
Internacional), padres europeus harmonizados EN, padres dos EUA,
padres da OSHA, padres ANSI, padres canadenses, padres australianos

Estratgia de segurana ............................................................... 23

Avaliao de risco, determinao do limite da mquina, identificao de tarefas


e perigos, estimativa de risco e reduo de risco, projeto inerentemente seguro,
sistemas e medidas de proteo, avaliao, treinamento, equipamento de proteo
individual, padres

Medidas de proteo e equipamentos complementares ........... 36

Preveno de acesso, protees delimitadoras fixas, deteco de acesso,


produtos e sistemas de segurana

Clculo da distncia de segurana ............................................. 59

Frmulas, orientao e aplicao de solues de segurana utilizando clculos


de distncia de segurana para o controle seguro de peas mveis
potencialmente perigosas.

Preveno de ativao inesperada ............................................. 63

Procedimentos LOTO, sistemas de isolamento de segurana, desconexes


de carga, sistemas de chave com segredo, medidas alternativas de bloqueio

Sistemas de controle relacionados segurana


e segurana funcional .................................................................. 65

Introduo, O que segurana funcional? IEC/EN 62061 e EN ISO 13849-1:2008,


SIL e IEC/EN 62061, PL e EN ISO 13849-1:2008, Comparao entre PL e SIL

Projeto de sistema de acordo com o EN ISO 13849-1:2008 ..... 71

Arquiteturas (estruturas) do sistema de segurana, tempo de misso, tempo mdio


de falha perigosa (MTTFd), cobertura de diagnsticos (DC), falha de causa comum
(FCC), falha sistemtica, nvel de desempenho (PL), projeto e combinaes
de subsistemas, validao, comissionamento de mquinas, excluso de falhas

Projeto de sistema de acordo com o IEC/EN 62061 ................... 94

Projeto de subsistemas EN/IEC 62061, efeito do intervalo de teste de provas,


efeito da anlise de falhas de causa comum, metodologia de transio para as
categorias, restries de arquitetura, B10 e B10d, falha de causa comum (FCC),
cobertura de diagnsticos (DC), tolerncia a falhas de hardware, gesto
de segurana funcional, probabilidade de falha perigosa (PFHD), intervalo
de teste de prova, frao de falha segura (FFS), falha sistemtica

Captulo 10 Sistema de controle relacionado segurana,


consideraes estruturais ......................................................... 106
Caractersticas gerais, categorias de sistemas de controle, falhas no detectadas,
classificaes de sistemas e componentes, consideraes de falhas, excluses
de falhas, categorias de interrupes de acordo com IEC/EN 60204-1 e NFPA 79,
requisitos do sistema de controle segurana dos EUA, padres de robs:
EUA e Canad

Captulo 11 Exemplo de aplicao usando o SISTEMA ............................. 130


Exemplo de aplicao de como voc pode utilizar a ferramenta calculadora
de nvel de desempenho SISTEMA com a biblioteca de produtos SISTEMA
da Rockwell Automation

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Diretivas e legislao de UE

O objetivo desta seo atuar como um guia para qualquer pessoa preocupada
com a segurana de mquinas, especialmente os sistemas de proteo e guarda
da Unio Europeia. Destina-se a projetistas e usurios de equipamentos industriais.
A fim de promover o conceito de mercado aberto dentro do Espao Econmico
Europeu - EEE (que compreende todos os estados-membros da UE, mais trs
outros pases) todos os estados-membros so obrigados a adotar uma legislao
que defina os requisitos essenciais de segurana para o uso de mquinas.

As mquinas que no satisfaam esses requisitos no podem ser fornecidas para


ou dentro dos pases do EEE.
Existem vrias diretrizes europeias que podem ser aplicadas segurana
de mquinas e equipamentos industriais, mas as duas que apresentam
a mais direta relevncia so:
1 A diretiva de mquinas

2 O uso de equipamentos no trabalho pelos operrios na diretriz de trabalho

Essas duas diretrizes esto diretamente relacionadas como requisitos essenciais


de segurana e sade (EHSR), presentes na diretriz de mquinas, podem ser
utilizadas para confirmar a segurana dos equipamentos diretriz de uso de
equipamentos no trabalho.

Esta seo trata de aspectos das duas diretrizes e altamente recomendvel


que qualquer pessoa preocupada com o projeto, fornecimento, aquisio ou uso
de equipamentos industriais dentro ou para o EEE e, tambm, determinados
pases europeus, se familiarizem com seus requisitos. A maioria dos fornecedores
e usurios de mquinas simplesmente no poder fornecer ou operar mquinas
nesses pases, a menos que cumpram com essas diretrizes.
Existem outras diretrizes europeias que podem ter relevncia para as mquinas.
A maioria delas bastante especializada em sua aplicao e, portanto, excluda
do escopo desta seo, mas importante observar que, quando pertinentes,
seus requisitos tambm devem ser cumpridos. Os exemplos incluem: a diretriz
EMC 2004/108/CE e a diretriz ATEX 94/9/EC.

SAFEBOOK 4

Regulamentaes
A diretriz de mquinas

A diretriz de mquinas abrange o fornecimento de novas mquinas e outros


equipamentos, inclusive componentes de segurana. um delito fornecer
mquinas dentro da UE, a menos que sejam cumpridas as disposies
e requisitos da diretriz.

A definio mais ampla de mquinas, conforme a diretriz, enunciada a seguir:


um conjunto, equipado ou destinado a ser equipado com um sistema de inversores,
ao invs da aplicao direta do esforo humano ou animal, consistindo em peas
ou componentes vinculados, com pelo menos uma pea ou componente mvel,
unidas para uma aplicao especfica.

A diretriz de mquinas atual (2006/42/EC)


substitui a verso anterior (98/37/EC)
no final de 2009. Ela traz esclarecimentos
e alteraes, mas no introduz nenhuma
mudana radical em seus requisitos
essenciais de sade e segurana (EHSRs).
Ela introduz algumas mudanas para
atender s alteraes na tecnologia e nos
mtodos. Estende seu escopo para cobrir
alguns tipos adicionais de equipamentos
Marcao CE afixada na mquina
(por exemplo, guindastes da construo
civil). Agora existe um requisito explcito
de avaliao de risco para a determinao dos quais EHSRs so aplicveis;
existem alteraes feitas nos procedimentos de avaliao da conformidade
de equipamentos do Anexo IV.
As principais disposies da diretriz original (98/37/CE) entraram em vigor
para mquinas em 1 de janeiro de 1995 e, para componentes de segurana,
em 1 de janeiro de 1997.

As disposies da diretriz atual (2006/42/CE) tornaram-se aplicveis em 29 de


dezembro de 2009. responsabilidade do fabricante ou de seu representante
autorizado a garantia de que o equipamento fornecido est em conformidade com
a diretriz. Isso inclui:

A garantia de cumprimento dos EHSRs aplicveis contidos no Anexo I


da diretriz
preparado um arquivo tcnico
realizada a avaliao de conformidade adequada
fornecida uma Declarao de Conformidade CE
A marcao CE afixada no devido local
So fornecidas instrues de uso seguro

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Requisitos essenciais de sade e segurana

O Anexo 1 da diretriz fornece uma lista de


requisitos essenciais de sade e segurana
(conhecidos como EHSR) que as
respectivas mquinas devem cumprir,
quando for o caso. O objetivo desta lista
garantir que a mquina seja segura,
projetada e construda de forma que
possa ser utilizada, ajustada e conservada
ao longo de todas as fases da sua vida
til, sem colocar pessoas em risco.
O texto a seguir fornece caractersticas
A mquina deve atender s EHSRs
gerais rpidas de alguns requisitos
tpicos, mas importante considerar todos os EHSR constantes no Anexo 1.
A avaliao de risco deve ser efetuada para determinar quais EHSR so aplicveis
ao equipamento em questo.

Os EHSR do Anexo 1 fornecem uma hierarquia de medidas para eliminao do risco:


(1) Projeto inerentemente seguro. Quando possvel, o prprio projeto evitar
qualquer perigo.

Quando isso no for possvel, devem ser utilizados (2) dispositivos de proteo
adicionais, por exemplo, guardas com pontos de acesso intertravados, barreiras
no-materiais, tais como cortinas de luz, esteiras de deteco, etc.
Quaisquer riscos residuais que no puderem ser resolvidos com os mtodos
acima devem ser contidos por (3) equipamentos de proteo individual e/ou
treinamento. O fornecedor da mquina deve especificar o que adequado.

Materiais adequados devem ser utilizados na construo e operao. Devem ser


providenciadas instalaes adequadas de manuseio e iluminao. Os controles
e sistemas de controle devem ser seguros e confiveis. As mquinas no devem
ser capazes de inicializarem inesperadamente e devem ser equipadas com um
ou mais dispositivos de parada de emergncia. Deve-se tomar cuidado com
instalaes complexas onde os processos a montante ou a jusante podem afetar
a segurana de uma mquina. A falha em uma fonte de alimentao ou no circuito
de controle no deve levar a uma situao perigosa. As mquinas devem ser
estveis e capazes de suportar tenses previsveis. Elas no devem ter bordas
expostas ou superfcies suscetveis de causar leses.

SAFEBOOK 4

Regulamentaes
Devem ser utilizados dispositivos de proteo ou guardas para proteger de riscos,
tais como peas mveis. Estes devem ter estrutura robusta e dificuldade para ignorar.
As guardas fixas devem ser montadas por mtodos que somente as permita remover
com ferramentas. As guardas mveis devem ser intertravadas. As guardas ajustveis
devem ser facilmente fixadas, sem o uso de ferramentas.
Devem ser evitados os perigos eltricos e outros riscos do fornecimento de energia
eltrica. Deve haver o mnimo risco de leses por conta de temperatura, exploso,
rudo, vibrao, poeira, gases ou radiao. Deve haver disposies adequadas
de manuteno e servios. Devem ser fornecidos dispositivos de advertncia
e indicao suficientes. As mquinas devem vir acompanhadas de instrues
de instalao, uso, ajuste, etc., com segurana.

Avaliao de conformidade

O projetista ou outro rgo responsvel deve ser capaz de mostrar evidncias que
comprovem a conformidade com os EHSRs. Este arquivo deve incluir todas as
informaes relevantes, tais como resultados de testes, diagramas, especificaes, etc.
RESULTADOS
DO TESTE
---------------------------PADRES
------------------------------

O padro europeu harmonizado (EN),


que consta do Jornal Oficial da Unio
Europeia (JO) no mbito da diretriz de
mquinas e cuja data de cessao da
presuno de conformidade no expirou,
confere uma presuno de conformidade
com determinados EHSRs. (Muitos
padres recentes listados no JO incluem
uma referncia cruzada identificando
os EHSRs abrangidos pelo padro).

Portanto, nos pontos em que o


equipamento est em conformidade
com esses atuais padres europeus harmonizados, a tarefa de demonstrar a
conformidade com os EHSRs bastante simplificada e o fabricante tambm se
beneficia de maior certeza legal. Esses padres no so legalmente obrigatrios;
no entanto, sua utilizao altamente recomendvel, pois a prova da conformidade
atravs de mtodos alternativos pode ser um problema extremamente complexo.
Esses padres suportam a diretriz de mquinas e so produzidos pelo CEN
(Comit Europeu de Padronizao) em cooperao com a ISO e o CENELEC
(Comit Europeu de Padronizao Eletrotcnica) e em cooperao com a IEC.
A mquina deve atender s EHSRs

Deve ser realizada uma avaliao de risco completa e documentada para garantir
que todos os potenciais perigos da mquina sejam considerados. Da mesma forma,
de responsabilidade do fabricante da mquina garantir que todos os EHSR sejam
cumpridos, mesmo aqueles que no so abordados nos padres harmonizados EN.

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Arquivo tcnico

O fabricante ou seu representante autorizado deve preparar um arquivo tcnico


para fornecer evidncias da conformidade com os EHSRs. Este arquivo deve incluir
todas as informaes relevantes, tais como resultados de testes, diagramas,
especificaes, etc.
No essencial que todas as informaes estejam permanentemente disponveis
como cpia impressa, mas deve ser possvel disponibilizar todo arquivo tcnico
para inspeo, por solicitao de uma autoridade competente (um rgo indicado
por um pas da UE para monitorar a conformidade das mquinas).
No mnimo, deve ser includa a seguinte documentao em um arquivo tcnico:
1. Diagramas esquemticos do equipamento, incluindo diagramas do circuito
de controle.
2. Diagramas detalhados, notas de clculo, etc., necessrios verificao
da conformidade da mquina com os EHSRs.

3. Documentao de avaliao de risco, incluindo uma lista dos requisitos


essenciais de sade e segurana aplicveis s mquinas e uma descrio
das medidas de proteo implementadas.
4

5
6
7
8

Uma lista de padres e outras especificaes tcnicas utilizadas, indicando


os requisitos essenciais de sade e segurana cobertos.

Uma descrio dos mtodos adotados para eliminar os riscos apresentados


pelas mquinas.
Se for o caso, quaisquer relatrios ou certificados tcnicos obtidos de uma
instalao de testes ou de outro rgo.

Se a conformidade for declarada com um padro europeu harmonizado,


qualquer relatrio tcnico que contenha os respectivos resultados de testes.
Uma cpia das instrues da mquina.

Quando for adequado, a declarao de incorporao das mquinas semiacabadas


includas e as instrues de montagem relevantes para essas mquinas.

10 Quando for adequado, cpias da declarao CE de conformidade de mquinas


ou outros produtos incorporados mquina.
11 Uma cpia da declarao CE de conformidade

SAFEBOOK 4

Regulamentaes
Na produo em srie, detalhes de medidas internas (sistemas de qualidade, por
exemplo) para garantir que todas as mquinas produzidas permaneam conformes:

O fabricante deve realizar a pesquisa ou os testes necessrios em


componentes, acessrios ou em mquinas acabadas para determinar se,
atravs de seu projeto e construo, elas so capazes de serem suspensas
e colocadas em funcionamento com segurana.

O arquivo tcnico no precisa existir como um nico arquivo permanente,


mas deve ser possvel sua elaborao para torn-lo disponvel em um tempo
razovel. Ele deve ficar disponvel durante dez anos aps a produo da
ltima unidade.

O arquivo tcnico no precisa incluir planos detalhados ou qualquer outra informao


especfica referente aos subconjuntos utilizados na produo das mquinas, a menos
que eles sejam essenciais verificao da conformidade com os EHSRs.

Avaliao da conformidade das mquinas do Anexo IV

Determinados tipos de equipamento


esto sujeitos a medidas especiais.
Este equipamento consta no Anexo IV
da diretriz e inclui mquinas perigosas,
como algumas mquinas de trabalho
com madeira, prensas, mquinas de
moldagem por injeo, equipamentos
subterrneos, elevadores para
manuteno de veculos, etc.

O Anexo IV tambm inclui determinados


componentes de segurana, tais como
dispositivos de proteo projetados para
Avaliaes de conformidade
detectar a presena de pessoas (por
exemplo, cortinas de luz) e unidades
de lgica para garantir as funes de segurana.
TE TAD
--- ---- STE O
--- ------- ----P-A
-D--S- --DR
O

i vo
qu o
Ar cnic
t

R
DO ESUL

Para as mquinas do Anexo IV que no esto em plena conformidade com os padres


europeus harmonizados relevantes, o fabricante ou o seu representante autorizado
deve aplicar um dos seguintes procedimentos:
1. Exame do tipo CE. O arquivo tcnico deve ser preparado e um exemplo
da mquina deve ser submetido a um rgo notificado (local de teste) para
o exame de CE. Se passar, a mquina receber um certificado de exame
tipo CE. A validade do certificado deve ser revista a cada cinco anos com
o rgo notificado.

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
2. Garantia de qualidade plena. Um arquivo tcnico deve ser preparado
e o fabricante deve aplicar um sistema de qualidade aprovado para o projeto,
produo, inspeo final e teste. O sistema de qualidade deve garantir a
conformidade das mquinas com as disposies desta diretriz. O sistema
de qualidade deve ser periodicamente fiscalizado por um rgo notificado.

Exames por rgos notificados

rgos notificados

Para as mquinas que no esto includas


no Anexo IV ou as mquinas que esto
includas no Anexo IV, mas esto em
plena conformidade com os padres
europeus harmonizados relevantes,
o fabricante ou seu representante tambm
tem a opo de preparar a avaliao
tcnica e a autoavaliao e declarar
a conformidade do equipamento.
Deve haver verificaes internas para
garantir que o equipamento fabricado
permanea em conformidade.

Existe uma rede de rgos notificados que se comunicam uns com os outros
e funcionam com critrios comuns em toda a UE. Os rgos notificados so
nomeados pelos governos (no pela indstria) e os detalhes de organizaes
com status de rgo notificado podem ser obtido em:

http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm

Declarao CE do procedimento de conformidade

A marcao CE deve ser aplicada a todas as mquinas fornecidas.


As mquinas tambm devem ser fornecidas com uma declarao CE
de conformidade.

A marca CE indica que a mquina est em conformidade com todas as diretrizes


europeias aplicveis e que os procedimentos de avaliao de conformidade
adequados foram concludos. um delito aplicar a marca CE para a diretriz
de mquinas, a menos que a mquina cumpra os EHSRs relevantes.

SAFEBOOK 4

Regulamentaes
A declarao CE de conformidade deve conter as informaes a seguir:

Razo social e endereo completo do fabricante e, se for o caso,


do representante autorizado
Nome e endereo da pessoa autorizada a compilar o arquivo tcnico,
que deve estar estabelecida na comunidade (no caso de um fabricante
fora da EU, pode ser o representante autorizado);
Descrio e identificao da mquina, incluindo a denominao genrica,
funo, modelo, tipo, nmero de srie e nome comercial;
Uma frase declarando expressamente que as mquinas cumprem todas as
disposies relevantes desta diretriz e, se for o caso, uma frase semelhante,
declarando a conformidade com outras diretrizes e/ou disposies relevantes
com as quais as mquinas esto conformes;
Quando for o caso, utilizada uma referncia aos padres harmonizados;
Quando for o caso, a referncia a outros padres e especificaes
tcnicas utilizadas;
(Para mquinas do anexo IV) Se for o caso, o nome, endereo e nmero
de identificao do rgo notificado que fez o exame de tipo CE mencionado
no anexo IX e o nmero de certificao do exame de tipo CE;
(Para mquinas do Anexo IV) Se for o caso, o nome, endereo e nmero
de identificao do rgo notificado que aprovou o sistema pleno de garantia
de qualidade mencionado no Anexo X;
O local e a data da declarao;
A identidade e assinatura da pessoa habilitada para elaborar a declarao
em nome do fabricante ou o representante autorizado.

Declarao CE de incorporao para mquinas semiacabadas

Quando o equipamento fornecido para montagem com outros itens a fim de


formar uma mquina completa em uma data posterior, deve ser emitida uma
DECLARAO DE INCORPORAO para acompanh-la. A marca CE no deve
ser aplicada. A declarao dever indicar que o equipamento no deve ser posto
em funcionamento at que a mquina na qual ele foi incorporado tenha sido
declarada conforme. Um arquivo tcnico deve ser preparado e as mquinas
semiacabadas devem ser fornecidas com informaes que contenham uma
descrio das condies que devem ser atendidas, tendo em vista a correta
incorporao das mquinas acabadas, para no comprometer a segurana.

Esta opo no est disponvel para equipamentos que possam funcionar de forma
independente ou que modifiquem a funo de uma mquina.

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
A declarao de incorporao deve conter as informaes a seguir:

Razo social e endereo completo do fabricante das mquinas


semiacabadas e, se for o caso, do representante autorizado;
Nome e endereo da pessoa autorizada a compilar a documentao
tcnica relevante, que deve estar estabelecida na comunidade (no caso
de um fabricante fora da EU, esse pode ser o representante autorizado);
Descrio e identificao de mquinas semiacabadas, incluindo:
denominao genrica, funo, modelo, tipo, nmero de srie
e nome comercial;
Uma frase declarando que os requisitos essenciais desta diretriz so
aplicados e cumpridos e que a documentao tcnica pertinente compilada
em conformidade com a parte B do Anexo VII e, se for o caso, uma frase
declarando a conformidade das mquinas semiacabadas com outras
diretrizes relevantes;
Um plano de ao para transmitir, em resposta a uma solicitao
fundamentada das autoridades nacionais, as informaes relevantes sobre
as mquinas semiacabadas. Isso deve incluir o mtodo de transmisso e
dever ocorrer sem prejuzo dos direitos de propriedade intelectual do
fabricante das mquinas semiacabadas;
Uma declarao de que as mquinas semiacabadas no devem ser postas
em funcionamento at que as mquinas acabadas nas quais ela deve ser
incorporada sejam declaradas conformes com as disposies da presente
diretriz, se for o caso;
O local e a data da declarao;
A identidade e assinatura da pessoa habilitada a elaborar a declarao
em nome do fabricante ou do representante autorizado.

Mquinas fornecidas de fora da UE representantes autorizados


Se um fabricante baseado fora da UE (ou EEE) exporta mquinas para a UE,
ser necessrio nomear um representante autorizado.

Um representante autorizado significa qualquer pessoa fsica ou jurdica estabelecida


na Comunidade Europeia que tenha recebido um mandato por escrito do fabricante
para executar em seu nome todas ou parte das obrigaes e formalidades vinculadas
diretriz de mquinas.

10

SAFEBOOK 4

Regulamentaes
A diretriz do uso do equipamento no trabalho na UE
(diretriz U.W.E.)
Todas as mquinas devem satisfazer os requisitos
essenciais de sade e segurana
Mquinas e componentes
de segurana listados
no Anexo IV

A maioria das mquinas


e componentes de segurana
(que no so listados no Anexo IV)

Devem estar em
Devem estar em
conformidade com
os padres europeus conformidade direta
com os EHSRs
harmonizados
OU
aplicveis

Enviar o ARQUIVO
TCNICO a um
rgo aprovado
que ir acusar o
RECEBIMENTO
do mesmo

Se ela ESTIVER
EM CONFORMIDADE
com os padres
europeus harmonizados
aplicveis

Enviar o ARQUIVO
TCNICO a um
rgo aprovado
que ir examin-lo
e emitir um
OU CERTIFICADO
DE ADEQUAO
do arquivo

OU

Se ela NO ESTIVER
EM CONFORMIDADE
com os padres
europeus harmonizados
aplicveis

Enviar o
equipamento para
um rgo
aprovado para
EXAME DO
TIPO CE

Ela DEVE ser


submetida a um
rgo aprovado
para exame
do tipo CE

Voc deve ser


capaz de montar o
ARQUIVO TCNICO
quando solicitado

PARA MQUINAS: voc deve emitir uma Declarao de conformidade e fixar


a marca CE ou emitir uma Declarao de incorporao.
PARA COMPONENTES DE SEGURANA: voc deve emitir uma Declarao
de conformidade.

Procedimento de caractersticas gerais para a diretriz de mquinas

Enquanto a diretriz de mquinas destina-se a fornecedores, a presente diretriz


(89/655/CEE alterada pela 95/63/CE, 2001/45/CE e 2007/30/CE) destina-se a
usurios de mquinas. Ela abrange todos os setores industriais e impe obrigaes
gerais aos empregadores, juntamente com os requisitos mnimos para a segurana
do equipamento de trabalho. Todos os pases da UE esto aplicando suas prprias
formas de legislao para implementar esta diretriz.

11

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Serve como exemplo sua implementao no Reino Unido com o nome de Proviso
e uso da regulamentao de equipamentos de trabalho (muitas vezes abreviado
como P.U.W.E.R.). A forma de implementao pode variar entre pases, mas o efeito
da diretriz retido.
Os artigos da diretriz fornecem detalhes de quais tipos de equipamentos e locais
de trabalho so cobertos pela diretriz.

Eles tambm impem obrigaes gerais sobre empregadores, tais como a instituio
de sistemas seguros de trabalho e o fornecimento de equipamentos adequados
e seguros que devem ter uma manuteno adequada. Os operadores de mquinas
devem receber a informao e o treinamento adequados para a utilizao segura
da mquina.

As novas mquinas (e mquinas de segunda mo de fora da UE) fornecidas


depois de 1 de janeiro de 1993 devem satisfazer todas as diretrizes relevantes de
produtos, por exemplo, a diretriz de mquinas (sujeitas a disposies transitrias).
Os equipamentos de segunda mo de dentro da UE, fornecidos pela primeira vez
no local de trabalho, devem imediatamente estabelecer requisitos mnimos constantes
em um Anexo da diretriz da U.W.E.
Observao: As mquinas existentes ou de segunda mo que so revisadas
ou modificadas significativamente sero classificadas como novos equipamentos,
de modo que o trabalho efetuado deve garantir a conformidade com a diretriz de
mquinas (mesmo se forem para uso da prpria empresa).
A adequao dos equipamentos de trabalho um requisito importante da diretriz
e destaca a responsabilidade do empregador na realizao de um processo
adequado de avaliao de risco.

um dos requisitos que as mquinas tenham a manuteno adequada. Isso


normalmente significa que deve haver uma rotina e um cronograma de manuteno
preventiva planejada. recomendvel que um registro seja compilado e mantido
atualizado. Isso especialmente importante nos casos em que a manuteno
e inspeo de equipamentos contribui para a integridade contnua de segurana
de um dispositivo ou sistema de proteo.
O Anexo da diretriz U.W.E. fornece requisitos mnimos gerais aplicveis ao
equipamento de trabalho.

Se os equipamentos estiverem em conformidade com as diretrizes relevantes


do produto, por exemplo, a diretriz de mquinas, eles automaticamente cumpriro
com os respectivos requisitos de projeto de mquinas constantes nos requisitos
mnimos do Anexo.

Os Estados-Membros tm competncia para elaborar leis sobre o uso de


equipamentos de trabalho que vo alm dos requisitos mnimos da diretriz do U.W.E.

12

SAFEBOOK 4

Regulamentaes
Pode-se encontrar informaes detalhadas sobre o uso da diretriz de equipamentos
de trabalho no site oficial da UE:

http://europa.eu/legislation_summaries/employment_and_social_policy/health_hygie
ne_safety_at_work/c11116_en.htm

Regulamentaes dos EUA

Esta seo apresenta algumas das regulamentaes de segurana que protegem


as mquinas industriais nos EUA. Este apenas um ponto de partida; os leitores
devem investigar mais sobre os requisitos para conhecer suas aplicaes especficas
e tomar medidas para garantir que seus projetos, utilizaes, procedimentos
e prticas de manuteno atendam a suas prprias necessidades, bem como
s regulamentaes e cdigos nacionais e locais.
Existem muitas organizaes que promovem a segurana industrial nos Estados
Unidos. Estas incluem:
1. Corporaes, que usam os requisitos estabelecidos, bem como estabelecem
seus prprios requisitos internos;
2. A Administrao de Segurana e Sade Ocupacional (OSHA);

3. Organizaes industriais, como a Associao Nacional de Proteo contra


Incndios (NFPA), a Associao das Indstrias de Robtica (RIA) e a
Associao de Tecnologia de Produo (AMT); alm dos fornecedores
de produtos e solues de segurana, como a Rockwell Automation.
Administrao de Segurana e Sade Ocupacional

Nos Estados Unidos, um dos principais impulsionadores da segurana industrial


a Administrao de Segurana e Sade Ocupacional (OSHA). A OSHA foi
fundada em 1970 por uma lei do Congresso dos EUA. A finalidade desta lei
fornecer condies de trabalho seguras e saudveis e preservar os recursos
humanos. A lei autoriza o Ministrio do Trabalho a definir padres obrigatrios
de sade e segurana ocupacional aplicveis s empresas que participam do
comrcio interestadual. Esta lei deve se aplicar em relao s tarefas realizadas
no local de trabalho de um estado, do distrito de Columbia, de Porto Rico,
Ilhas Virgens, Samoa Americana, Guam, territrio chancelado das Ilhas do
Pacfico, Ilha Wake, terras de plataformas continentais externas definidas na
respectiva lei, Ilha Johnston e Zona do Canal.

O artigo 5 da lei estabelece os requisitos bsicos. Cada empregador deve estipular


tarefas a cada um de seus funcionrios e um local de trabalho que sejam livres de
perigos reconhecidos que causem ou possam vir a causar morte ou srias leses

13

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
fsicas a seus funcionrios; e devem cumprir os padres de segurana e sade
ocupacionais promulgados nesta lei.

O artigo 5 tambm afirma que cada funcionrio deve cumprir os padres de


segurana e sade ocupacionais e todas as regras, regulamentos e ordens de
servio emitidas nos termos da presente lei que sejam aplicveis s suas prprias
aes e condutas.
A lei da OSHA imputa a responsabilidade tanto sobre o empregador quanto
o funcionrio. Isso bastante divergente da diretriz de mquinas, a qual exige
que os fornecedores coloquem no mercado mquinas que estejam livres de
perigos. Nos Estados Unidos, um fornecedor pode vender uma mquina sem
qualquer segurana. O usurio deve adicionar a proteo para tornar a mquina
segura. Embora essa fosse uma prtica comum na poca da aprovao da lei,
a tendncia que os fornecedores ofeream mquinas com a proteo, pois
projetar a segurana em uma mquina muito mais econmico do que adicionar
a proteo depois que a mquina for projetada e construda. Os padres esto
agora tentando fazer com que os fornecedores e usurios divulguem os requisitos
de proteo, para que as mquinas se tornem no apenas seguras, mas tambm
mais produtivas.

O Ministrio do Trabalho tem a autoridade para promulgar como padro de sade


ou segurana ocupacional qualquer padro de consenso nacional e qualquer
padro federal estabelecido, a menos que a promulgao de tal padro no resulte
em maior segurana ou sade para funcionrios especificamente designados.
A OSHA realiza esta tarefa atravs da publicao de regulamentos no ttulo 29 do
Cdigo de Regulamentao Federal (29 CFR). Os padres referentes a mquinas
industriais so publicados pela OSHA na seo 1910 do 29 CFR. Eles esto
disponveis gratuitamente no site da OSHA em www.osha.gov. Ao contrrio
da maioria dos padres, que so voluntrios, os padres da OSHA so leis.
Algumas das sees importantes que dizem respeito segurana de mquinas
so listadas abaixo:
A
B
C
H
I
J
O
R
S

- Geral
- Adoo e extenso de padres federais estabelecidos
- Disposies gerais sobre segurana e sade
- Materiais perigosos
- Equipamento de proteo individual
- Controles ambientais em geral - incluem LOTO
- Mquinas e proteo de mquinas
- Indstrias especiais
- Eltrica

14

SAFEBOOK 4

Regulamentaes
Alguns padres da OSHA referenciam padres voluntrios. O efeito jurdico da
incorporao por referncia que o material tratado como se fosse publicado
ntegro no Registro Federal. Quando um padro de consenso nacional incorporado
por referncia em uma das subsees, esse padro considerado com fora de lei.
Por exemplo, o NFPA 70, um padro voluntrio conhecido como o Cdigo Eltrico
Nacional dos EUA, mencionado na subseo S. Isso torna obrigatrios os requisitos
do padro NFPA70.
O CFR 29 1910.147, na subseo J, abrange o controle de energia perigosa.
Este normalmente conhecido como padro LOTO. O padro voluntrio equivalente
ANSI Z244.1. Essencialmente, este padro exige que a energia para a mquina
seja bloqueada quando submetida a servios ou manuteno. A finalidade evitar
a energizao ou a partida inesperada da mquina que resultaria em leses
aos funcionrios.

Os empregadores devem estabelecer um programa e utilizar procedimentos para


a instalao de dispositivos de bloqueio ou dispositivos LOTO em dispositivos de
isolamento de energia e, por outro lado, desativar mquinas ou equipamentos para
impedir a energizao, a partida inesperada ou a liberao de energia armazenada
para evitar leses aos funcionrios.

Alteraes e ajustes mnimos de ferramentas, alm de outras atividades


de manuteno menos importantes que ocorrem durante as operaes normais
de produo, no so cobertos por este padro, caso sejam rotineiros, repetitivos
e integrais no uso de equipamentos para produo, desde que o trabalho seja
realizado utilizando medidas alternativas que forneam proteo eficaz. Medidas
alternativas so dispositivos de proteo como cortinas de luz, esteiras de segurana,
intertravamentos de porto e outros dispositivos similares conectados a um sistema
de segurana. O desafio para o projetista e usurio da mquina determinar o que
menos importante e o que rotineiro, repetitivo e integral.

A subseo O trata de Mquinas e proteo de mquinas. Esta subseo lista os


requisitos gerais para todas as mquinas, bem como os requisitos para algumas
mquinas especficas. Quando a OSHA foi fundada em 1970, ela adotou muitos
padres ANSI existentes. Por exemplo, o B11.1 para prensas de energia mecnica
foi adotado como o 1910.217.
O 1910.212 o padro geral da OSHA para mquinas. Ele declara que um ou mais
mtodos de proteo de mquinas devem ser fornecidos para proteger o operador
e outros funcionrios na rea de mquinas de riscos, tais como aqueles criados pelo
ponto de operao, pontos de laminagem de entrada, peas rotativas, lascas
e fagulhas que escapam. As protees devero ser fixadas na mquina, sempre
que possvel, e presas em outro lugar para o caso de impossibilidade de integrar
mquina qualquer acessrio, por qualquer razo. A proteo deve ser instalada
de tal modo que ela mesma no oferea risco de acidentes.

15

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
O ponto de operao a rea de uma mquina onde o trabalho realmente
realizado no material sendo processado. O ponto de operao de uma mquina
cujo funcionamento expe um funcionrio a leses deve ser protegido. O dispositivo
de proteo deve estar em conformidade com quaisquer padres adequados ou,
na ausncia de padres especficos aplicveis, devero ser concebidos e construdos
de forma a evitar que o operador exponha qualquer parte de seu corpo zona de
perigo durante o ciclo operacional.
A subseo S (1910.399) trata dos requisitos eltricos da OSHA. Uma instalao
ou um equipamento aceitvel para o ministro do trabalho e aprovado na acepo
da presente subseo S, caso seja aceito, certificado, listado, rotulado ou,
por qualquer outro meio, considerado seguro por um laboratrio de testes
reconhecido nacionalmente (NRTL).
O que equipamento? Um termo geral que inclui materiais, acessrios, dispositivos,
aparelhos eltricos, fixaes, aparatos e similares, utilizados como parte, ou em
conexo com uma instalao eltrica.
O que significa listado? O equipamento listado se for do tipo mencionado em
uma lista que: (a) seja publicada por um laboratrio reconhecido nacionalmente
e que faa a inspeo peridica da produo desse equipamento e (b) declare
que esse equipamento atende os padres nacionalmente reconhecidos ou que
foi testado e considerado seguro para uso de uma maneira especificada.
A partir de agosto de 2009, as seguintes empresas so reconhecidas pela OSHA
como NRTLs:

Canadian Standards Association (CSA)


Communication Certification Laboratory, Inc. (CCL)
Curtis-Straus LLC (CSL)
FM Approvals LLC (FM)
Intertek Testing Services NA, Inc. (ITSNA)
MET Laboratories, Inc. (MET)
NSF International (NSF)
National Technical Systems, Inc. (NTS)
SGS U.S. Testing Company, Inc. (SGSUS)
Southwest Research Institute (SWRI)
TUV America, Inc. (TUVAM)
TUV Product Services GmbH (TUVPSG)
TUV Rheinland of North America, Inc. (TUV)
Underwriters Laboratories Inc. (UL)
Wyle Laboratories, Inc. (WL)

Alguns estados adotaram suas prprias OSHAs locais. Vinte e quatro estados,
Porto Rico e Ilhas Virgens tm projetos estaduais aprovados pela OSHA e adotaram

16

SAFEBOOK 4

Regulamentaes
seus prprios padres e polticas de execuo. Na maior parte, esses estados
adotam padres que so idnticos OSHA federal. Contudo, alguns estados
adotaram diferentes padres aplicveis a este tpico ou podem ter polticas
de execuo distintas. Os empregadores devem relatar o histrico de incidentes
OSHA. A OSHA compila as taxas de incidentes e transmite as informaes
para escritrios locais e utiliza essas informaes para priorizar inspees.
So os seguintes os principais motivos de inspeo:

Perigo iminente
Catstrofes e fatalidades
Reclamaes de funcionrios
Indstrias de alto risco
Inspees locais planejadas
Inspees de acompanhamento
Programas com focos nacionais e locais

Graves: at US$ 7000 por violao


Outras: discricionrias, porm, no mais que US$ 7000
Reincidentes: at US$ 70.000 por violao
Intencionais: at US$ 70.000 por violao
Violaes que resultem em morte: penalidades adicionais
Sem mitigao: US$ 7000/dia

As violaes de padres da OSHA podem resultar em multas. A classificao


das multas pode ser:

A tabela abaixo mostra as 14 principais citaes da OSHA entre outubro de 2004


e setembro 2005.

Padro
1910.147
1910.1200
1910.212
1910.134
1910.305
1910.178
1910.219
1910.303
1910.213
19102.215
19102.132
1910.217
1910.095
1910.023

Descrio
Controle de energia perigosa (LOTO)
Comunicao perigosa
Requisitos gerais para todas as mquinas
Proteo respiratria
Mtodos de fiao, componentes e equipamentos de uso geral
Caminhes com potncia industrial
Transmisso de energia mecnica
Requisitos gerais
Mquinas de carpintaria
Mquinas de rodas abrasivas
Requisitos gerais
Prensas com energia mecnica
Exposio a rudos do trabalho
Proteo contra aberturas e perfuraes no piso e na parede

17

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Regulamentaes canadenses

No Canad, a segurana industrial regida ao nvel de provncia. Cada provncia


tem seus prprios regulamentos que so mantidos e cumpridos. Por exemplo,
Ontrio estabeleceu a Lei de segurana e sade ocupacional, que dispe sobre
os direitos e deveres de todos os funcionrios no local de trabalho. Seu principal
objetivo proteger os trabalhadores contra riscos de sade e segurana no trabalho.
A lei estabelece procedimentos para lidar com os perigos no local de trabalho
e prev a aplicao da lei nos casos em que a conformidade no tenha sido
atingida voluntariamente.
No mbito dessa lei, h o Regulamento 851, seo 7, que define a reviso prvia
de sade e segurana. Essa reviso um requisito da regio de Ontrio vlido para
qualquer mquina nova, reconstruda ou modificada e necessria a elaborao
de um relatrio por um profissional de engenharia.

Padres

Esta coluna fornece uma lista de alguns dos padres internacionais e nacionais
tpicos que so relevantes segurana de mquinas. Ela no pretende formar
uma lista exaustiva, mas sim oferecer uma viso sobre quais questes de
segurana de mquinas constituem o objeto da padronizao.
Esta coluna deve ser lida em conjunto com a coluna de regulamentao.

Os pases do mundo esto trabalhando para a harmonizao global de padres.


Isso fica especialmente evidente na rea de segurana de mquinas. Os padres
globais de segurana para mquinas so regidos por duas organizaes: ISO e IEC.
Os padres regionais e do pas ainda existem e continuam a oferecer suporte aos
requisitos locais, mas em muitos pases houve um avano com a utilizao dos
padres internacionais produzidos pela ISO e IEC.
Por exemplo, os padres EN (norma europeia) so utilizados em todos os pases
do EEE. Todos os novos padres EN se alinham e, na maioria dos casos,
apresentam texto idntico aos padres ISO e IEC.
A IEC aborda problemas de eletrotcnica e a ISO abrange todas as outras
questes. A maioria dos pases industrializados so membros da IEC e ISO.
Os padres de segurana de mquinas so escritos por grupos de trabalho
compostos de especialistas de muitos pases industrializados de todo o mundo.

Na maioria dos pases, os padres podem ser considerados voluntrios, enquanto


as regulamentaes so obrigatrias legalmente. Contudo, os padres geralmente
so utilizados como a interpretao prtica das regulamentaes. Portanto, os mundos
dos padres e das regulamentaes esto estreitamente interligados.

18

SAFEBOOK 4

Padres
Consulte o catlogo de segurana, disponvel em: www.ab.com/safety para
obter uma lista abrangente de padres.
ISO (Organizao Internacional de Padronizao)

A ISO uma organizao no-governamental formada por rgos de padronizao


nacionais da maioria dos pases do mundo (157 pases no momento da impresso
deste). A Secretaria Central, localizada em Genebra, na Sua, coordena o sistema.
A ISO gera padres para o projeto, fabricao e utilizao de mquinas com mais
eficincia, segurana e limpeza. Os padres tambm tornam o comrcio entre os
pases mais fcil e mais justo. Os padres da ISO podem ser identificados pelas
trs letras: ISO.
Os padres de mquinas da ISO esto organizados da mesma forma que
os padres EN, em trs nveis: Tipo A, B e C (consulte a seo adiante sobre
os padres europeus harmonizados EN).
Para obter mais informaes, acesse o site da ISO: www.iso.org.
IEC (Comisso Eletrotcnica Internacional)

A IEC prepara e publica padres internacionais para tecnologias eltricas,


eletrnicas e correlatas. Atravs de seus membros, a IEC promove a cooperao
internacional sobre todas as questes de padronizao eletrotcnica e temas
relacionados, tais como a avaliao da conformidade de padres eletrotcnicos.
Para obter mais informaes, acesse o site da IEC: www.iec/ch
Padres europeus harmonizados EN

Esses padres so comuns a todos os pases do EEE e so produzidos pelas


organizaes de padronizao europeias CEN e CENELEC. Sua utilizao
voluntria, mas o projeto e fabricao de equipamentos de acordo com eles
representam a forma mais direta de demonstrar a conformidade com os EHSRs
da diretriz de mquinas.
Eles so divididos em 3 tipos: padres A, B e C.

PADRES Tipo A: tratam de aspectos aplicveis a todos os tipos de mquinas.


PADRES Tipo B: subdivididos em 2 grupos.
PADRES Tipo B1: tratam de aspectos ergonmicos e de segurana
especficos das mquinas.
PADRES Tipo B2: tratam de componentes de segurana e dispositivos
de proteo.
PADRES Tipo C: tratam de tipos ou grupos especficos de mquinas.

19

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
importante observar que o cumprimento de um padro C oferece a presuno
automtica de conformidade com os EHSRs. Na ausncia de um padro C
adequado, podem ser utilizados os padres A e B como prova parcial ou total
de conformidade do EHSR, indicando a conformidade com as sees relevantes.

Foram firmados acordos de cooperao entre CEN/CENELEC e rgos como


a ISO e a IEC. Em ltima anlise, isso deve resultar em padres globais comuns.
Na maioria dos casos, um padro EN possui um equivalente na IEC ou ISO.
Em geral, os dois textos sero iguais e quaisquer diferenas regionais sero
fornecidas com o avano do padro.

Para obter uma lista completa dos padres de segurana de mquinas EN, acesse:
http://ec.europa.eu/enterprise/sectors/mechanical/machinery/index_ en.htm.

Padres dos EUA


Padres da OSHA

Quando possvel, a OSHA promulga padres de consenso nacional ou padres


federais estabelecidos como padres de segurana. As disposies compulsrias
(por exemplo, a palavra deve implica obrigao) dos padres, incorporadas por
referncia, possuem a mesma fora e efeito que os padres listados na seo
1910. Por exemplo, o padro de consenso NFPA 70 nacional est listado como um
documento de referncia no Apndice A da subseo S- Eltrica da seo 1910 do
CFR 29. O NFPA 70 um padro voluntrio, que foi desenvolvido pela Associao
Nacional de Proteo contra Incndios (NFPA). O NFPA 70 tambm conhecido
como o Cdigo Eltrico Nacional (NEC). Por incorporao, todos os requisitos
obrigatrios do NEC so obrigatrios conforme a OSHA.
Padres ANSI

O Instituto Americano de Padres Nacionais (ANSI) serve como administrador


e coordenador do sistema de padronizao voluntria do setor privado dos Estados
Unidos. uma organizao privada e sem fins lucrativos de associados, apoiada
por uma circunscrio diversificada de organizaes do setor pblico e privado.
O ANSI, por si s, no desenvolve padres; ele facilita o desenvolvimento de
padres estabelecendo consenso entre grupos qualificados. O ANSI tambm
garante que sejam seguidos os princpios orientadores de consenso, o devido
processo e a transparncia pelos grupos qualificados. Abaixo se encontra uma
lista parcial de padres de segurana industrial que podem ser obtidos entrando
em contato com o ANSI.

20

SAFEBOOK 4

Padres
Esses padres so classificados como padres de aplicao ou padres
de construo. Os padres de aplicao definem como aplicar uma proteo
mquina. Os exemplos incluem o ANSI B11.1, que fornece informaes sobre
o uso da proteo de mquina em prensas de fora, e o ANSI/RIA R15.06,
que descreve o uso da proteo para a segurana de robs.
Associao Nacional de Proteo contra Incndios

A Associao Nacional de Proteo contra Incndios (NFPA) foi organizada em


1896. Sua misso reduzir o impacto de incndios sobre a qualidade de vida,
ao defender cdigos e padres de consenso com base cientfica, a pesquisa
e treinamento sobre incndios e questes relacionadas segurana. A NFPA
patrocina muitos padres para ajudar a cumprir sua misso. Dois padres muito
importantes relacionados segurana industrial e proteo so o Cdigo Eltrico
Nacional (NEC) e o padro eltrico para mquinas industriais.

A Associao Nacional de Proteo contra Incndios atua como patrocinadora


do NEC desde 1911. O documento do cdigo original foi desenvolvido em 1897
como resultado dos esforos combinados de vrios interesses do setor de seguros,
eltrico, arquitetnico e correlatos. O NEC foi atualizado inmeras vezes, desde ento
e revisado, mais ou menos, a cada trs anos. O artigo 670 do NEC aborda alguns
detalhes sobre mquinas industriais e remete o leitor ao Padro Eltrico para
Mquinas Industriais, NFPA 79.

O NFPA 79 aplica-se a equipamentos eltricos e eletrnicos, aparelhos ou sistemas


de mquinas industriais que operam a partir de uma tenso nominal de 600 volts ou
menos. O objetivo do NFPA 79 fornecer informaes detalhadas para a aplicao
de equipamentos eltricos e eletrnicos, aparelhos ou sistemas fornecidos como
parte de mquinas industriais que promovam segurana vida e propriedade.
O NFPA 79, que foi adotado oficialmente pelo ANSI em 1962, apresenta um
contedo muito semelhante ao padro IEC 60204-1.
As mquinas que no so cobertas pelos padres especficos da OSHA tm
a obrigao de estar livres de perigos que reconhecidamente podem causar morte
ou leses graves. Essas mquinas devem ser projetadas e mantidas para atender
ou superar os requisitos dos padres aplicveis da indstria. O NFPA 79 um
padro que deveria ser aplicado s mquinas no especificamente cobertas
pelos padres da OSHA.

21

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Padres canadenses

Os padres da CSA refletem um consenso nacional de produtores e usurios,


incluindo fabricantes, consumidores, varejistas, sindicatos e organizaes
profissionais, alm de rgos governamentais. Os padres so amplamente
utilizados pela indstria e comrcio e, muitas vezes, adotados pelos governos
municipais, federais e estaduais/provinciais em seus regulamentos, particularmente
nas reas de sade, segurana, construo civil e no meio ambiente.
Pessoas fsicas, jurdicas e associaes em todo o Canad demonstram seu apoio
ao desenvolvimento de padres da CSA, voluntariando seu tempo e habilidades
para o trabalho do Comit da CSA e apoiando os objetivos da associao atravs
da sustentao de adeses. Os mais de 7000 voluntrios do comit e os 2000
associados pagantes, juntos, formam a lista de associados da CSA.

O Conselho de Padres do Canad o rgo de coordenao do Sistema


Nacional de Padres, uma federao de organizaes autnomas e independentes
que trabalham para o desenvolvimento e melhoria adicionais da padronizao
voluntria no interesse nacional.

Padres australianos

A maioria desses padres est proximamente alinhada com o padres equivalentes


da ISO/IEC/EN
Standards Australia Limited
286 Sussex Street, Sydney, NSW 2001
Fone: +61 2 8206 6000
E-mail: mail@standards.org.au
Site: www.standards.org.au

Para adquirir cpias de padres:


SAI Global Limited
286 Sussex Street, Sydney, NSW 2001
Fone: +61 2 8206 6000
Fax: +61 2 8206 6001
E-mail: mail@sai-global.com
Site: www.saiglobal.com/shop

Consulte o catlogo de segurana, disponvel em: www.ab.com/safety para


obter uma lista abrangente de padres.

22

SAFEBOOK 4

Estratgia de segurana
Estratgia de segurana

Do ponto de vista puramente funcional, quanto maior a eficincia de uma


mquina ao realizar sua tarefa de processamento de materiais, melhor ela ser.
Mas, para que uma mquina seja vivel, ela tambm deve ser segura. Sem dvida,
a segurana deve ser uma das principais consideraes.
A fim de elaborar uma estratgia de segurana adequada, deve haver duas etapas
principais que funcionam juntas, como mostrado abaixo.

AVALIAO DE RISCO
Identifique todas as mquinas do local de
trabalho. Em seguida, para cada mquina
Consulte informaes
e especialistas
pertinentes
LIMITES DA MQUINA
Voc pode prever toda a operao
e uso possveis da mquina?

NO

SIM
IDENTIFICAO DE PERIGO
Identifique cada situao de perigo.
Em seguida, para cada perigo
ESTIMATIVA DE RISCOS
Estime o nvel de risco
devido ao perigo

AVALIAO DE RISCO
O nvel de risco
aceitvel?
Alguma medida de
segurana foi analisada e
comprovadamente adequada?

REDUO DE RISCO
NO

NO

Lide com o risco com


um processo de re-projeto
ou com medidas adicionais
Determine se o desempenho
e as caractersticas funcionais
da medida de segurana so
adequados para a mquina
e seu tipo de uso

SIM
FIM
DO PROCESSO

ESTRATGIA DE SEGURANA

23

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
AVALIAO DE RISCO baseada em uma compreenso clara dos limites e funes
da mquina, alm das tarefas que pode ser necessrio executar na mquina em
toda a sua vida til.
REDUO DE RISCO realizada em seguida, se necessrio, e as medidas de
segurana so selecionadas com base nas informaes derivadas da fase de
avaliao de risco. O modo como isso realizado a base da ESTRATGIA
DE SEGURANA da mquina.

Precisamos de uma lista de verificao para seguir e assegurar que todos os aspectos
sejam considerados e que o princpio de supresso no se perca nos detalhes.
Todo o processo deve ser documentado. Isso no somente garantir um trabalho
mais completo, mas tambm disponibilizar os resultados para verificao por
outras partes.
Esta seo se aplica tanto aos fabricantes quanto aos usurios de mquinas.
O fabricante precisa garantir que sua mquina seja capaz de ser utilizada com
segurana. A avaliao de riscos deve ser iniciada na fase de projeto da mquina
e deve considerar todas as tarefas previsveis que tero que ser executadas na
mquina. Esta abordagem baseada em tarefas nas iteraes iniciais da avaliao
de riscos muito importante. Por exemplo, pode haver uma necessidade regular de
ajuste de peas mveis na mquina. Na fase de projeto, deve ser possvel planejar
as medidas que permitam a execuo segura desse processo. Se isso no for
observado na fase inicial, pode ser difcil ou impossvel de implementar em uma
fase posterior. O resultado pode ser que o ajuste das peas mveis ainda precise
ser realizado, mas que deva ser feito de forma insegura ou ineficiente (ou ambas).
Uma mquina na qual todas essas tarefas foram consideradas durante a avaliao
de risco ser uma mquina mais segura e mais eficiente.
O usurio (ou empregador) precisa garantir que as mquinas de seu ambiente
de trabalho sejam seguras. Mesmo que uma mquina tenha sido declarada segura
pelo fabricante, o usurio da mquina ainda deve realizar uma avaliao de riscos
para determinar se o equipamento seguro em seu ambiente. Muitas vezes,
as mquinas so utilizadas em circunstncias imprevistas pelo fabricante.
Por exemplo, uma mquina de ensilagem utilizada em um workshop de
treinamento precisar de consideraes adicionais em relao quela
utilizada em uma sala de ferramentas industriais.
Deve-se lembrar tambm que, se a empresa do usurio adquire duas ou mais
mquinas independentes e as integra em um processo, ela ser considerada
a fabricante da mquina combinada resultante.

Ento, agora consideremos as etapas essenciais da rota para uma estratgia


de segurana adequada. Os itens a seguir podem ser aplicados a uma instalao
existente na fbrica ou a uma nica mquina nova.

24

SAFEBOOK 4

Estratgia de segurana
Avaliao de risco

incorreto considerar a avaliao de risco como uma despesa. Ela um processo


til que fornece informaes vitais e permite que o usurio ou projetista tome decises
lgicas sobre as formas de alcanar segurana.
Existem vrios padres que tratam desse assunto. ISO 14121: Princpios para a
avaliao de risco e ISO 12100: Segurana das mquinas princpios bsicos
contm as orientaes mais aplicadas mundialmente.
Qualquer que seja a tcnica utilizada para realizar uma avaliao de risco,
uma equipe de pessoas com mltiplas funes geralmente produz resultados
com cobertura mais ampla e melhor equilbrio do que um s indivduo.

A avaliao de risco um processo iterativo; ser realizada em diferentes fases


da vida til da mquina. As informaes disponveis variam de acordo com a fase
do ciclo da vida til. Por exemplo, uma avaliao de risco realizada por um fabricante
de mquinas ter acesso a todos os detalhes dos mecanismos materiais de
fabricao da mquina, mas, provavelmente, ter apenas uma suposio
aproximada do principal ambiente de trabalho da mquina. A avaliao de risco
realizada pelo usurio da mquina no teria necessariamente acesso aos detalhes
tcnicos em profundidade, mas ter acesso a todos os detalhes do ambiente de
trabalho da mquina. O ideal que o resultado de uma iterao sirva como
subsdio para a prxima iterao.
Determinao do limite da mquina

Isso envolve a coleta e anlise de informaes relativas s peas, mecanismos


e funes de uma mquina. Tambm ser necessrio considerar todos os tipos
de interao de tarefas humanas com a mquina e o ambiente em que a mquina
funcionar. O objetivo obter uma compreenso clara da mquina e de sua
utilizao.

Quando mquinas separadas so interligadas mecanicamente ou atravs de


sistemas de controle, elas devem ser consideradas como uma nica mquina,
a menos que eles sejam zoneadas por medidas de proteo apropriadas.

importante considerar todos os limites e fases da vida til de uma mquina, inclusive
instalao, comissionamento, manuteno, desativao, correta utilizao e operao,
bem como as consequncias da m utilizao ou do mau funcionamento
razoavelmente previsveis.

25

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Identificao de tarefas e perigos

Todos os perigos da mquina devem ser identificados e listados em termos de sua


natureza e localizao. Os tipos de perigo incluem: triturao, corte, emaranhamento,
ejeo de peas, vapores, radiao, substncias txicas, calor, rudo, etc.

Os resultados da anlise de tarefas devem ser comparados com os resultados da


identificao de perigos. Isso mostrar onde h uma possibilidade de convergncia
entre um perigo e uma pessoa, ou seja, uma situao de perigo. Devem ser listadas
todas as situaes de risco. Talvez o mesmo perigo possa produzir um tipo
diferente de situao de risco, dependendo da natureza da pessoa ou da tarefa.
Por exemplo, a presena de um tcnico de manuteno altamente qualificado
e treinado pode ter implicaes diferentes do que na presena de um faxineiro,
no qualificado, que no tenha conhecimento da mquina. Nessa situao, se cada
caso for listado e tratado separadamente, talvez seja possvel justificar diferentes
medidas de proteo para o tcnico de manuteno em relao quelas do
faxineiro. Se os casos no forem listados e tratados separadamente, o pior caso
dever ser utilizado, a manuteno e a limpeza sero cobertas pela mesma medida
de proteo.

s vezes, ser necessrio realizar uma avaliao de risco geral em uma mquina
existente que j possui medidas de proteo instaladas (por exemplo, uma mquina
com peas mveis perigosas protegida por uma porta com intertravamento).
As peas mveis perigosas representam um perigo potencial que pode tornar-se
um perigo real, em caso de falha do sistema de intertravamento. A menos que
o sistema de intertravamento j tenha sido validado (por exemplo, pela avaliao
de risco ou projeto de acordo com um padro apropriado), sua presena no deve
ser levada em considerao.
Estimativa de riscos

Este um dos aspectos mais fundamentais da avaliao de risco. Existem


muitas formas de lidar com esse assunto e as pginas seguintes ilustram
os princpios bsicos.

Qualquer mquina que tenha o potencial para situaes de perigo apresenta


o risco de um evento perigoso (ou seja, danos). Quanto maior a quantidade de
risco, mais importante se torna fazer algo sobre isso. Em uma situao de perigo,
o risco pode ser to pequeno que podemos tolerar e aceit-lo, mas em outra
situao de perigo, o risco pode ser to grande que preciso recorrer a medidas
extremas para se proteger contra ele. Portanto, para tomar uma deciso sobre
se e o que fazer sobre o risco precisamos ser capazes de quantificar isso.

26

SAFEBOOK 4

Estratgia de segurana
O risco muitas vezes considerado apenas em termos da gravidade das leses de
um acidente. Tanto a gravidade do dano potencial QUANTO a probabilidade de sua
ocorrncia precisam ser consideradas para estimar a quantidade do risco presente.
A sugesto para a estimativa de risco indicada nas pginas a seguir no defendida
como o mtodo definitivo, j que as circunstncias individuais podem ditar uma
abordagem diferente. ELA SE DESTINA APENAS A SERVIR COMO UMA DIRETRIZ
GERAL PARA ENCORAJAR UMA ESTRUTURA METDICA E DOCUMENTADA.

O sistema de pontos utilizado no foi calibrado para nenhum tipo especfico de


aplicao; portanto, no necessariamente adequado para nenhuma aplicao
especfica. A ISO TR (relatrio tcnico) 14121-2 Avaliao de risco orientaes
prticas e exemplos de mtodos fornece orientaes prticas e algumas
mostram diferentes mtodos de quantificao de riscos.

Os seguintes fatores so considerados:


A GRAVIDADE DA POTENCIAL LESO.
A PROBABILIDADE DE SUA OCORRNCIA.
A probabilidade de ocorrncia inclui dois fatores:
FREQUNCIA DE EXPOSIO.
PROBABILIDADE DE DANO.

Lidando com cada fator de forma independente, ns atribuiremos valores a cada


um deles.

Faa uso de todos os dados e conhecimentos disponveis para voc.


Voc est lidando com todas as fases da vida til da mquina; a fim de evitar
muita complexidade, tome suas decises com base no pior caso para cada fator.

Tambm importante manter o senso comum. As decises precisam levar


em conta o que vivel, realista e plausvel. a que reside o valor de uma
abordagem de mltiplas funes da equipe.

Lembre-se: para os fins deste exerccio, voc geralmente no deve considerar


qualquer sistema de proteo existente. Caso a estimativa de risco mostre
a necessidade de um sistema de proteo, existem algumas metodologias,
conforme mostrado mais adiante neste captulo, que podem ser utilizadas
para determinar as caractersticas necessrias.

27

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
1. Gravidade de potenciais leses

Para esta considerao, ns estamos presumindo que ocorreu o acidente ou


incidente, talvez como resultado do perigo. Um estudo cuidadoso do perigo
revelar qual a mais grave leso possvel. Lembre-se: para esta considerao,
ns estamos presumindo que uma leso inevitvel e estamos preocupados
apenas com sua gravidade. Voc deve presumir que o operador fica exposto ao
movimento ou processo perigoso. A gravidade da leso deve ser avaliada como:

10
6
3
1
Menor

Sria

Importante

Fatal

Pontos atribudos severidade

FATAL: Morte
MAIOR: (Normalmente irreversvel)
Deficincia permanente, perda da
viso, amputao de membro,
danos respiratrios...
SRIA: (Normalmente reversvel)
Perda da conscincia, queimaduras,
fraturas...
MENOR: Contuses, cortes,
abrases leves...

atribudo um valor de pontuao a cada


descrio, conforme mostrado.

2. Frequncia de exposio

A frequncia de exposio responde pergunta sobre quantas vezes o operador


ou o funcionrio de manuteno fica exposto ao perigo. A frequncia de exposio
ao perigo pode ser classificada como:

4
1
Rara

2
Ocasional Frequente

FREQUENTE: Vrias vezes por dia


OCASIONAL: Diria
RARA: Semanal ou menor

atribudo um valor de pontuao a cada


descrio, conforme mostrado.

Pontos atribudos frequncia de exposio

28

SAFEBOOK 4

Estratgia de segurana
3. Probabilidade de dano

Voc deve presumir que o operador fica exposto ao movimento ou processo perigoso.
Considerando a forma pela qual o operador est envolvido com a mquina e outros
fatores (velocidade de arranque, por exemplo), a probabilidade de dano pode ser
classificada como:

6
4
1

IMPROVVEL
PROVVEL
POSSVEL
CERTA

atribudo um valor de pontuao a cada


descrio, conforme mostrado.

Improvvel Possvel

Provvel

Certa

Pontos atribudos frequncia de exposio

atribudo um valor de pontuao a cada ttulo e agora so reunidos para fornecer


uma estimativa inicial. A soma dos trs componentes acrescenta-se a um valor de
13. Mas devemos considerar mais alguns fatores. (Observao: Isso no se baseia
necessariamente nas fotos do exemplo anterior).
O prximo passo ajustar a estimativa inicial, considerando fatores adicionais,
tais como os mostrados na tabela a seguir. Muitas vezes, eles s podem
ser devidamente considerados quando a mquina est instalada em seu
local permanente.
Fator Tpico

Ao Sugerida

Tempo prolongado na zona de perigo


sem isolamento completo da energia

Se o tempo gasto em cada acesso


for superior a 15 minutos, adicionar
1 ponto ao fator de frequncia

Mais de uma pessoa exposta ao perigo

Multiplicar a severidade pelo


nmero de pessoas

O operador inexperiente ou
sem treinamento

Adicionar 2 pontos ao total

Intervalos muito longos (por ex., 1 ano) entre Adicionar os pontos equivalentes
os acessos. (Pode haver falhas progressivas ao fator de frequncia mximo
e no detectadas, especialmente nos
sistemas de monitorao).

Consideraes adicionais para a estimativa de risco

29

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Os resultados de quaisquer fatores adicionais so, ento, adicionados ao total
anterior conforme mostrado.

1
6

20

20

18

18

16

16

2
1

14
12
10

8
6

14
12
10
8
6

2
Valor final sem ajustes

4
2
Valor final com ajustes

Reduo de risco

Agora, devemos considerar cada mquina e seus respectivos riscos, separadamente,


e tomar medidas para resolver todos os seus perigos.
O diagrama mostrado a seguir uma sugesto de parte de um processo
documentado de contabilidade para todos os aspectos de segurana das
mquinas em utilizao. Ele serve como um guia para usurios de mquinas,
mas os fabricantes ou fornecedores de mquinas tambm podem usar o mesmo
princpio para confirmar se todos os equipamentos foram avaliados. Ele tambm
servir como um ndice para relatrios mais detalhados sobre avaliao de risco.

Isso mostra que, onde uma mquina leva a marca CE, ela simplifica o processo,
pois os perigos da mquina j foram avaliados pelo fabricante e que j foram
tomadas todas as medidas necessrias. Mesmo com o equipamento identificado
como CE, ainda pode haver riscos devido natureza de sua aplicao ou ao material
que est sendo processado que o fabricante no previu.

30

SAFEBOOK 4

Estratgia de segurana

Empresa - MAYKIT WRIGHT LTD


Instalao - Sala de ferramentas - Fbrica do leste.
Data - 29/08/95
Perfil do operador - capacitado.
Identificao
Conformidade N do
Histrico Observaes
do equipamento com a diretriz relatrio de de
avaliao
de
acidentes
e data
risco
Torno central de
Fulano. N de
srie 8390726,
instalado em
1978

Nenhuma
alegada

Fresa de cabeote Dir. m/c


Dir. EMC
em torre m/c de
Fulano, N de
srie 17304294,
fabricada em
1995, instalada
em maio de 95

RA302
Nenhum

Identificao Tipo de
de perigos
perigo

Equipamento eltrico
em conformidade com
a BS EN 60204,
Paradas de
emergncia instaladas
(substitudas em 1989)

RA416
Nenhum

Rotao do
mandril com
a proteo
aberta

Ao
necessria

Corte por
Instalar chave
aprisionamento de proteo de
mecnico
intertravamento

Implementado
e inspecionado referncia
25/11/94 J Kershaw,
relatrio n 9567

30/11/94 J Kershaw,
relatrio n 9714

Fluido de corte Txico

Mudar para um
tipo atxico

Remoo
da limalha

Corte

Fornecer luvas

Movimento
do leito
(em direo
parede)

13/04/95 J Kershaw,
Esmagamento Mover a
relatrio n 10064
mquina para
fornecer espao
suficiente

30/11/94 J Kershaw,
relatrio n 9715

Hierarquia das medidas de reduo de risco

Existem trs mtodos bsicos a ser considerados e utilizados, na seguinte ordem:


1. Eliminar ou reduzir os riscos, na medida do possvel (projeto e construo de
mquinas inerentemente seguras).
2. Instalar as medidas e sistemas de proteo necessrios (por exemplo,
protees intertravadas, cortinas de luz, etc.) em relao aos riscos que no
podem ser eliminados pelo projeto.

3. Informar os usurios sobre os riscos residuais devido eventuais deficincias


das medidas de proteo adotadas, indicar se necessrio qualquer
treinamento especial e especificar qualquer necessidade de proporcionar
equipamentos de proteo individual.

Cada medida originria da hierarquia deve ser considerada a partir do topo e utilizada
onde for possvel. Isso geralmente resultar no uso de uma combinao de medidas.
Projeto inerentemente seguro

Na fase de projeto da mquina ser possvel evitar muitos dos possveis riscos
bastando considerar com cuidado os fatores como materiais, requisitos de acesso,
superfcies quentes, mtodos de transmisso, pontos de travamento, nveis de
tenso, etc.
Por exemplo, se no necessrio o acesso a uma rea perigosa, a soluo
proteg-la dentro da armao da mquina ou por algum tipo de proteo
fixa delimitada.

31

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Sistemas e medidas de proteo

Se for necessrio o acesso, ento a vida se torna um pouco mais de difcil.


Ser necessrio garantir que o acesso s possa ser obtido enquanto a mquina
estiver segura. Sero necessrias medidas tais como portas de proteo
intertravadas e/ou sistemas de disparo. A escolha do dispositivo ou sistema
de proteo deve ser fortemente influenciada pelas caractersticas operacionais
da mquina. Isso extremamente importante j que um sistema que impacte
a eficcia da mquina estar sujeito a remoo no autorizada ou bypass.
A segurana da mquina nesse caso, depender da aplicao adequada e do
funcionamento correto do sistema de proteo mesmo em condies de falha.

Agora, deve ser considerado o funcionamento correto do sistema. Dentro de cada


tipo, provvel que haja uma escolha de tecnologias, com variados graus de
desempenho da monitorao, deteco ou preveno de falhas.

Em um mundo ideal, cada sistema de proteo deveria ser perfeito sem


absolutamente nenhuma possibilidade de falhas em uma condio de perigo.
No mundo real, entretanto, ficamos restritos pelos atuais limites do conhecimento
e de materiais. Outra restrio muito real so os custos. Com base nesses fatores,
torna-se bvio que uma deteco de proporo seja necessria. O senso comum
nos diz que seria ridculo insistir em que a integridade de um sistema de segurana
de uma mquina, na pior das hipteses, pode causar contuses leves, seja a
mesma que necessria para manter no ar um avio jumbo. As consequncias da
falha so drasticamente diferentes e portanto precisamos ter alguma forma de
relacionar a extenso das medidas de proteo ao nvel de risco obtido na fase de
estimativa de risco.

Qualquer que seja o tipo de dispositivo de proteo escolhido, deve-se lembrar


que um sistema relacionado segurana pode conter muitos elementos incluindo
o dispositivo de proteo, fiao, dispositivo de chaveamento e s vezes, peas
do sistema de controle operacional da mquina. Todos esses elementos do sistema
(incluindo protees, montagem, fios, etc.) devem ter caractersticas de desempenho
adequadas, relevantes ao seu princpio de projeto e tecnologia. Os IEC/EN 62061
e EN ISO 13849-1 classificam os nveis hierrquicos de desempenho das peas
relacionadas segurana dos sistemas de controle e proporcionam mtodos de
avaliao de risco em seus anexos para determinar os requisitos de integridade
de um sistema de proteo.
O EN ISO 13849-1:2008 fornece um grfico de risco aumentado em seu anexo A.

32

SAFEBOOK 4

Estratgia de segurana

Nvel de
desempenho, PLr

P1

P2
P1

P2
P1

P2
P1

F1
S1

Contribuio para
a reduo do risco

Baixa

F2
Iniciar
F1
S2
F2
P2
e
S = Gravidade
F = Frequncia ou durao da exposio
P = Probabilidade de preveno

Alta

Deve ser determinado para todas as funes de segurana!

IEC 62061 tambm fornece um mtodo em seu anexo A, que assume a forma
mostrada abaixo.
Avaliao de risco e medidas de segurana
Produto:
Emitido por:
Data:
Consequncias
Morte, perda de olhos ou braos
Permanente, perda de dedos
Reversvel, com atendimento mdico
Reversvel, com primeiros socorros
N N
sr. perigo

Perigo

Gravidade
Se
4
3
2
1

rea em preto = medidas de segurana exigidas


rea em cinza = medidas de segurana recomendadas

3-4
SIL 2

Se

5-7
SIL 2
OM

Fr

Classe CI
8 - 10 11 - 13
SIL 2
SIL 3
SIL 1
SIL 2
OM
SIL 1
OM
Pr

Av

Frequncia e
durao, Fr
14 - 15
<= 1 hora
SIL 3
> 1 h - <= 1 dia
SIL 3
SIL 2 > 1 dia - <= 2 semanas
SIL 1 > 2 semanas - <= 1 ano
> 1 ano
Cl

N do documento:
Parte de:
Pr-avaliao de risco
Avaliao de risco intermedi
Avaliao de risco de acomp

5
5
4
3
2

Preve
Probabilidade do
A
evento de perigo, Pr
5
Comum
Provvel
4
Possvel
3 Impo
Raro
2 Po
Desprezvel 1 Pr

Medida de segurana

Comentrios

O uso de qualquer um dos mtodos acima deve fornecer resultados equivalentes.


Cada mtodo destina-se a levar em conta o contedo detalhado do padro ao
qual pertence.

33

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Em ambos os casos, extremamente importante que as orientaes fornecidas no
texto do padro sejam utilizadas. O grfico ou tabela de risco no deve ser utilizado
isoladamente ou de uma forma demasiadamente simplista.
Avaliao

Depois que a medida de proteo for escolhida e antes que ela seja implementada,
importante repetir a estimativa de risco. Esse um procedimento que muitas
vezes ignorado. Pode ser que se ns instalarmos uma medida de proteo,
o operador da mquina pode sentir que todos esto total e completamente protegidos
contra o risco originalmente previsto. Como eles j no tm a conscincia original
do perigo, podem intervir com a mquina de uma forma diferente. Eles podem ficar
expostos ao perigo com mais frequncia ou podem entrar ainda mais na mquina,
por exemplo. Isso significa que se houver falha na medida de proteo, eles estaro
sujeitos a um risco maior do que o previsto anteriormente. Esse o risco atual
que ns precisamos estimar. Portanto, a estimativa de risco precisa ser repetida
considerando as alteraes previsveis na forma como as pessoas podem intervir
com a mquina. O resultado dessa atividade utilizado para verificar se as medidas
de proteo propostas so realmente adequadas. Para obter mais informaes,
recomenda-se o Anexo A do IEC/ EN 62061.
Treinamento, equipamentos de proteo individual, etc.

importante que os operadores tenham o treinamento necessrio sobre os mtodos


de trabalho seguro para uma mquina. Isso no significa que as outras medidas
possam ser omitidas. No aceitvel simplesmente dizer a um operador que ele
no deve se aproximar de reas perigosas (como alternativa para proteg-las).

Talvez tambm seja necessrio que o operador utilize equipamentos como luvas
especiais, culos, respiradores, etc. O projetista de mquinas deve especificar que
tipo de equipamento necessrio. O uso de equipamentos de proteo individual
geralmente no formar o principal mtodo de proteo mas complementar as
medidas mostradas acima.

34

SAFEBOOK 4

Estratgia de segurana
Padres

Muitos padres e relatrios tcnicos fornecem orientao sobre avaliao de risco.


Alguns so escritos para uma vasta aplicabilidade e outros so escritos para
aplicaes especficas. Encontra-se a seguir uma lista de padres que incluem
informaes sobre avaliao de risco.
ANSI B11.TR3: Avaliao de risco e reduo de riscoUm guia para estimar,
avaliar e reduzir os riscos associados com ferramentas de mquinas.
ANSI PMMI B155.1: Requisitos de segurana para mquinas de embalagem
e mquinas de converso relacionadas a embalagem.

ANSI RIA R15.06: Requisitos de segurana para robs industriais e sistemas


de robs.

AS 4024.1301-2006: Princpios de avaliao de risco CSA Z432-04: Proteo


de mquinas.

CSA Z434-03: Robs industriais e sistemas de robsRequisitos gerais de segurana.


IEC/EN 61508: Segurana funcional de sistemas eltricos, eletrnicos e eletrnicos
programveis relacionados segurana.

IEC/EN 62061: Segurana de mquinasSegurana funcional de sistemas de


controle eltricos, eletrnicos e eletrnicos programveis relacionados segurana.
EN ISO 13849-1: Segurana de mquinasPeas de sistemas de controle
relacionadas segurana.
EN ISO 14121-1: Princpios de avaliao de risco.

ISO TR 14121-2: Avaliao de riscoOrientaes prticas e exemplos de mtodos.

35

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Medidas de proteo e equipamentos complementares

Quando a avaliao de risco mostra que uma mquina ou processo apresenta


um risco de leses, o perigo deve ser eliminado ou contido. A forma pela qual isso
conseguido depender da natureza da mquina e do perigo. As medidas de
proteo juntamente com a vigilncia, impedem o acesso a um perigo ou evitam
movimentos perigosos em uma situao de risco quando o acesso est disponvel.
So exemplos tpicos de medidas de proteo: protees intertravadas, cortinas
de luz, tapetes de segurana, controles bimanuais e botes de habilitao.
Os sistemas e dispositivos de parada de emergncia esto associados com sistemas
de controle relacionados segurana mas no so sistemas de proteo direta,
eles s devem ser considerados como medidas de proteo complementares.
Preveno de acesso com protees delimitadoras fixas

Se o perigo estiver em uma pea das mquinas que no precise de acesso,


uma proteo dever ser fixada mquina permanentemente. Esses tipos de
protees devem exigir ferramentas para a remoo. As protees fixas devem
ser capazes de 1) suportar seu ambiente operacional, 2) conter projteis,
quando necessrio e 3) no criar riscos por terem, por exemplo, bordas afiadas.
As protees fixas podem ter aberturas onde a proteo se encontra com as
mquinas ou aberturas devido ao uso de um gabinete tipo de malha de cabos.

As janelas proporcionam formas convenientes para monitorar o desempenho da


mquina, ao acessar essa parte da mquina. Deve-se tomar cuidado na seleo
do material utilizado, pois as interaes qumicas com fluidos de corte, os raios
ultravioletas e o envelhecimento simples causam a reduo dos materiais da janela
ao longo do tempo.

O tamanho das aberturas deve impedir que o operador alcance a zona de perigo.
As Tabela O-10 nos EUA. OHSA 1910.217 (f) (4), ISO 13854, Tabela D-1 do ANSI
B11.19, Tabela 3 da CSA Z432 e o AS4024.1 fornecem orientao sobre a distncia
adequada que uma abertura deve manter em relao ao perigo.
Deteco de acesso

As medidas de proteo podem ser utilizadas para detectar o acesso a um perigo.


Quando a deteco selecionada como o mtodo de reduo de riscos, o projetista
deve entender que deve ser utilizado um sistema de segurana completa;
o dispositivo de proteo, por si s, no oferece a reduo de risco necessria.
Este sistema de segurana consiste geralmente em trs blocos: 1) um dispositivo
de entrada que detecta o acesso ao perigo, 2) um dispositivo de lgica que
processa os sinais do dispositivo de deteco, verifica o status do sistema de
segurana e ativa ou desativa dispositivos de sada e 3) um dispositivo de sada
que controla o atuador (por exemplo, um motor).

36

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


Dispositivos de deteco

Muitos dispositivos alternativos esto disponveis para detectar a presena de uma


pessoa que entra ou j est dentro de uma rea de risco. A melhor escolha para
uma aplicao especfica depende de uma srie de fatores.

Frequncia de acesso,
Tempo de parada do perigo,
Importncia de completar o ciclo de mquina e
Conteno de projteis, fluidos, nvoas, vapores, etc.

As protees mveis selecionadas adequadamente podem ser intertravadas


para fornecer proteo contra projteis, fluidos, nvoas e outros tipos de perigos
e, muitas vezes, so utilizadas quando o acesso ao perigo no frequente.
As protees intertravadas tambm podem ser bloqueadas para impedir o acesso
enquanto a mquina est no meio do ciclo e quando a mquina leva muito tempo
para chegar a uma parada.

A presena de dispositivos de deteco, como cortinas de luz, tapetes e scanners,


fornece acesso rpido e fcil rea de perigo e, muitas vezes, so selecionados
quando os operadores frequentemente precisam acessar a rea de perigo. Esses
tipos de dispositivos no fornecem proteo contra projteis, nvoas, fluidos ou
outros tipos de perigos.
A melhor escolha da medida de proteo um dispositivo ou sistema que fornea
a proteo mxima com o mnimo obstculo para a operao normal da mquina.
Todos os aspectos da utilizao da mquina devem ser considerados, pois a
experincia mostra que um sistema que difcil de utilizar mais suscetvel de
ser removido ou desviado.
Presena de dispositivos de deteco

Ao decidir como proteger uma zona ou rea, importante ter uma compreenso
clara sobre exatamente quais funes de segurana so necessrias. Em geral,
haver pelo menos duas funes.
Desligue ou desative a alimentao quando uma pessoa entrar na rea
de perigo.
Evite ligar ou ativar a alimentao quando uma pessoa estiver na rea de perigo.
Em uma primeira anlise, essas podem parecer formar uma nica funo,
mas embora estejam obviamente ligadas e, muitas vezes, sejam realizadas pelo
mesmo equipamento, elas so na verdade duas funes separadas. Para alcanar
o primeiro ponto precisamos utilizar alguma forma de dispositivo de travamento.
Em outras palavras, um dispositivo que detecta que uma parte de uma pessoa
passou de um determinado ponto e d um sinal de desligament da alimentao.
Caso a pessoa seja capaz, ento, de ultrapassar esse ponto de travamento e sua

37

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
presena no for mais detectada, o segundo ponto (que evita a ativao) talvez
no seja atingido.
Ponto de disparo:
Inicio da deteco

Fim da
deteco

Ponto de disparo: Inicio da deteco


Detectado

Detectado No detectado

Perigo
Perigo

Acesso de corpo inteiro

Acesso de parte do corpo

O diagrama a seguir mostra um exemplo de acesso de corpo inteiro com uma


cortina de luz montada verticalmente como dispositivo de travamento. As portas
de proteo intertravadas tambm podem ser consideradas como um dispositivo
exclusivo de travamento quando no h nada que impea o fechamento da porta
aps a entrada.
Caso no seja possvel o acesso de corpo inteiro de modo que uma pessoa
no seja capaz de ultrapassar o ponto de travamento, sua presena sempre
ser detectada e o segundo ponto (que evita a ativao) ser atingido.

Para aplicaes corporais parciais, os mesmos tipos de dispositivos executam


o travamento e a deteco de presena. A nica diferena reside no tipo de
aplicao.

Os dispositivos de deteco de presena so utilizados para detectar a presena


de pessoas. A famlia de dispositivos inclui cortinas de luz de proteo, barreiras de
segurana de feixe simples, scanners da rea de segurana, tapetes de segurana
e bordas de segurana.
Cortinas de luz de proteo

As cortinas de luz de proteo so descritas de forma mais simples como sensores


de presena fotoeltricos projetados especificamente para proteger os funcionrios
de leses relacionadas com o movimento perigoso da mquina. Tambm conhecidas
como AOPDs (dispositivos ativos de proteo optoeletrnica) ou ESPE (equipamento
de proteo eletrossensvel), as cortinas de luz oferecem a segurana ideal e ainda
permitem maior produtividade e representam a soluo mais ntegra ergonomicamente,
quando comparada s protees mecnicas. Elas so ideais para aplicaes onde
os funcionrios precisam de acesso frequente e fcil a um ponto de perigo operacional.

38

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


As cortinas de luz so projetadas e testadas para atender o IEC 61496-1 e -2.
No h nenhuma verso EN harmonizada da parte 2, por isso, o Anexo IV da
diretriz de mquinas europeias exige certificao das cortinas de luz por terceiros
antes de coloc-las no mercado da Comunidade Europeia. Os terceiros testam
as cortinas de luz para atender este padro internacional. O laboratrio do tomador
adotou o IEC 61496-1 como o padro nacional dos EUA.
Scanners de proteo a laser

Os scanners de proteo a laser utilizam um espelho rotativo que desvia pulsos


de luz ao longo de um arco, criando um plano de deteco. A localizao do objeto
determinada pelo ngulo da rotao do espelho. Ao utilizar a tcnica de tempo
de voo de um feixe refletido de luz invisvel, o scanner tambm pode detectar
a distncia do objeto at o scanner. A partir da distncia medida e da localizao
do objeto, o scanner a laser determina a posio exata do objeto.
Tapetes de segurana com deteco de presso

Esses dispositivos so utilizados para fornecer a proteo de uma rea de pavimento


em torno de uma mquina. Uma matriz de tapetes interconectados colocada em
torno da rea de perigo e a presso aplicada no tapete (por exemplo, uma pisada
do operador) far com que a unidade controladora do tapete desligue a alimentao
diante do perigo. Os tapetes sensveis presso muitas vezes so utilizados
dentro de uma rea fechada contendo vrias mquinassistemas flexveis de
manufatura ou clulas robticas, por exemplo. Quando necessrio o acesso
clula (por exemplo, para configurao ou treinamento de robs), eles impedem
o movimento perigoso, caso o operador se desvie da rea segura ou precise ficar
atrs de um equipamento.
O tamanho e posicionamento do tapete devem levar em conta a distncia de segurana.
Bordas sensveis presso

Esses dispositivos so tiras de rebordo flexvel que podem ser montadas na borda
de uma pea mvel, como uma mesa de mquina ou porta energizada que represente
o risco de um esmagamento ou corte.
Se a pea mvel atingir o operador (ou vice-versa), a borda sensvel flexvel ser
pressionada e ativar um comando para desligar a fonte de alimentao perigosa.
As bordas sensveis tambm podem ser utilizadas para proteger as mquinas quando
houver um risco de enroscamento do operador. Caso um operador fique preso
na mquina, o contato com a borda sensvel desligar a alimentao da mquina.
H uma srie de tecnologias utilizadas para criar bordas de segurana.
Uma tecnologia popular inserir, essencialmente, o que um interruptor longo
dentro da borda. Essa abordagem fornece bordas axiais e geralmente utiliza
a tcnica da conexo de 4 fios.

39

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Cortinas de luz, scanners, tapetes de assoalho e bordas sensveis so classificados
como dispositivos de disparo. Na verdade, eles no restringem o acesso, mas apenas
o detectam. Eles dependem inteiramente de sua capacidade tanto de deteco
quanto de comutao para proporcionar segurana. Em geral, eles s so adequados
nas mquinas que param com razovel rapidez aps o desligamento da fonte de
alimentao. Como um operador pode andar ou chegar diretamente rea de
perigo, obviamente necessrio que o tempo gasto com a parada do movimento
seja menor que o necessrio para o operador alcanar o perigo, aps o disparo
do dispositivo.

Interruptor de segurana

Quando o acesso mquina no frequente, preferem-se as protees (operveis)


mveis. A proteo intertravada com a fonte de alimentao do perigo de forma a
garantir que sempre que a porta de proteo no estiver fechada, a fonte do perigo
ser desligada. Essa abordagem envolve o uso de um interruptor de intertravamento
equipado com a porta de proteo. O controle da fonte de alimentao do perigo
roteado atravs da seo de interruptores da unidade. A fonte de alimentao
geralmente eltrica, mas tambm pode ser pneumtica ou hidrulica. Quando
detectado o movimento (abertura) da porta de proteo, o interruptor de
intertravamento ativar um comando para isolar a fonte de alimentao do
perigo diretamente ou atravs de um contator (ou vlvula) de potncia.
Alguns interruptores de intertravamento tambm incorporam um dispositivo de
travamento que bloqueia a porta de proteo e no a libera at que a mquina
esteja em uma condio segura. Para a maioria das aplicaes, a combinao
de uma proteo mvel e uma chave de intertravamento, com ou sem bloqueio,
a soluo mais confivel e rentvel.
H uma grande variedade de opes de interruptor de segurana, incluindo:

Chaves de intertravamento com linguetas - esses dispositivos exigem


que um atuador em forma de lingueta seja inserido e retirado do interruptor
para operao
Chaves de intertravamento com dobradias - esses dispositivos so
colocados no pino com dobradias de uma porta de proteo e utilizam
o movimento de abertura da proteo para atuarem.

Chaves de travamento de proteo - em algumas aplicaes, necessrio


o travamento da proteo fechada ou o retardo da abertura da proteo.
Os dispositivos apropriados para este requisito so denominados chaves
de intertravamento de proteo. Eles so adequados para mquinas com
caractersticas de reduo de funcionamento mas tambm podem fornecer
um aumento significativo do nvel de proteo para a maioria dos tipos
de mquinas.

40

SAFEBOOK 4

Medidas de proteo e equipamentos complementares

Chaves de intertravamento sem contato - esses dispositivos no exigem


nenhum contato fsico para acionarem algumas verses que incorporam
uma funo de codificao para maior resistncia a adulteraes.
Intertravamentos de posio (chave fim de curso) - o acionamento
operado por came geralmente adquire a forma de um interruptor de limite
(ou posio) de modo positivo e um came linear ou giratrio. geralmente
utilizado em dispositivos corredios.

Intertravamentos de chaves com segredo - as chaves com segredo podem


realizar o intertravamento de controles, bem como o intertravamento
da alimentao. Com o intertravamento de controles, um dispositivo
de intertravamento inicia um comando de interrupo de um dispositivo
intermedirio, que desativa um dispositivo subsequente para desligar a
energia do atuador. Com o intertravamento da alimentao o comando
de parada interrompe diretamente o fornecimento de energia para os
atuadores da mquina.

Dispositivos de interface do operador

Funo de parada - nos EUA, Canad, Europa e em nvel internacional,


a harmonizao de padres existe com relao s descries das categorias
de parada de mquinas ou sistemas de fabricao.

OBSERVAO: essas categorias so diferentes para as categorias de EN 954-1


(ISO 13849-1). Consulte os padres NFPA79 e IEC/EN60204-1 para obter mais
detalhes. As paradas recaem em trs categorias:

Categoria 0 a parada pela remoo imediata da alimentao dos atuadores


de mquinas. Essa considerada uma parada incontrolvel. Com a remoo
da alimentao, a ao de frenagem, que requer alimentao, no surtir efeito.
Isso permitir que os motores girem livremente e parem por inrcia durante um
perodo prolongado de tempo. Em outros casos, o material pode ser descartado por
gabaritos de suporte, exigindo que a alimentao retenha o material. Os meios de
parada mecnica, que no precisam de alimentao, tambm podem ser utilizados
com uma parada de categoria 0. A parada de categoria 0 tem prioridade sobre as
paradas de categoria 1 ou categoria 2.
Categoria 1 uma parada controlada com alimentao disponvel para que os
atuadores da mquina alcancem a parada. A alimentao ento, removida dos
atuadores quando a paragem atingida. Esta categoria de parada permite a
frenagem energizada no intuito de interromper rapidamente movimentos perigosos
e ento, a alimentao pode ser retirada dos atuadores.
Categoria 2 uma parada controlada com a alimentao disponibilizada para os
atuadores da mquina. Uma parada da produo normal considerada uma
parada de categoria 2.

41

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Essas categorias de parada devem ser aplicadas a cada funo de parada,
onde a funo de parada a ao executada pelas peas do sistema de
controle relacionadas segurana em resposta a uma entrada, deve ser utilizada
a categoria 0 ou 1. As funes de parada devem inibir as funes relacionadas
partida. A seleo da categoria de parada para cada funo de parada deve
ser determinada por uma avaliao de risco.

Funo de parada de emergncia

A funo de parada de emergncia deve funcionar como uma parada de categoria


0 ou categoria 1, conforme determinado por uma avaliao de risco. Ela deve ser
iniciada por uma nica ao humana. Quando executada, ela deve inibir todas
as outras funes e modos operacionais da mquina. O objetivo remover
a alimentao o mais rpido possvel, sem criar perigos adicionais.

At recentemente, os componentes eletromecnicos ligados por cabos eram


necessrios para os circuitos de parada de emergncia. As recentes alteraes
em padres tais como IEC 60204-1 e NFPA 79 significam que as PLCs de segurana
e outras formas de lgica eletrnica que satisfaam os requisitos de padres como
o IEC61508 podem ser utilizadas no circuito de parada de emergncia.
Dispositivos de parada de emergncia

Onde quer que haja o perigo de um operador se envolver em problemas com uma
mquina, deve haver uma facilidade para acesso rpido a um dispositivo de parada
de emergncia. O dispositivo de parada de emergncia deve estar continuamente
opervel e prontamente disponvel. Os painis do operador devem conter pelo menos,
um dispositivo de parada de emergncia. Podem ser utilizados dispositivos adicionais
de parada de emergncia em outros locais, conforme necessrio. Os dispositivos
de parada de emergncia so fornecidos em diversos formatos. Os botes e chaves
de acionamento por cabos so exemplos dos dispositivos do tipo mais popular.
Quando um dispositivo de parada de emergncia acionado, ele deve travar por
dentro e no deve ser possvel gerar o comando de parada sem travar. A remoo
do dispositivo de parada de emergncia no deve causar uma situao de perigo.
Uma ao separada e deliberada deve ser utilizada para reiniciar a mquina.
Para obter mais informaes sobre dispositivos de parada de emergncia, leia:
ISO/EN13850, IEC 60947-5-5, NFPA79 e IEC60204-1, AS4024.1, Z432-94.
Botes de parada de emergncia

Os dispositivos de parada de emergncia so considerados equipamentos de


proteo de cortesia. Eles no so considerados dispositivos de proteo primrios,
pois no impedem o acesso a um perigo nem detectam o acesso.
A maneira normal de proporcionar isso sob a forma de um boto pulsador com
cabeote tipo cogumelo de cor vermelha em um fundo amarelo, que o operador
pressiona, em caso de emergncia. Eles devem ser colocados estrategicamente

42

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


em quantidade suficiente em volta da mquina para garantir que haja sempre um
boto acessvel em uma situao de risco.

Os botes de parada de emergncia devem estar prontamente acessveis e devem


estar disponveis em todos os modos de operao de mquinas. Quando um boto
pulsador utilizado como dispositivo de parada de emergncia, ele deve ser em
forma de cogumelo (ou operado na palma), na cor vermelha e com fundo amarelo.
Quando o boto pressionado, os contatos devem alterar, ao mesmo tempo,
o estado das travas do boto na posio pressionada.

Uma das mais recentes tecnologias a ser aplicada s paradas de emergncia a


tcnica de automonitorao. Mais um contato adicionado parada de emergncia
da parte traseira que monitora se a parte traseira dos componentes do painel ainda
est presente. Isso conhecido como bloco de contatos Self-Monitoring. Ele consiste
em um contato acionado por mola que se fecha quando o bloco de contatos encaixado
no lugar adequado do painel. A Figura 80 mostra o contato de automonitorao
conectado em srie com um dos contatos diretos da segurana de abertura.
Chaves de acionamento por cabo

Para mquinas como transportadores, muitas vezes, mais conveniente e eficaz


utilizar um dispositivo de acionamento por cabo ao longo da zona de perigo, como
os dispositivos de parada de emergncia. Esses dispositivos utilizam uma corda
de cabos de ao conectada aos interruptores de acionamento de travas para que,
ao puxar a corda em qualquer direo e em qualquer ponto ao longo de seu
comprimento, ocorra o disparo do interruptor e o corte da alimentao da mquina.
As chaves de acionamento por cabos devem detectar tanto uma trao sobre
o cabo como a ocorrncia de folgas no cabo. A deteco de folgas garante que
o cabo no seja cortado e esteja pronto para uso.

A distncia do cabo afeta o desempenho do interruptor. Para curtas distncias,


o interruptor de segurana montado em uma extremidade e uma mola de tenso
montada na outra extremidade. Para distncias mais longas, um interruptor de
segurana deve ser montado em ambas as extremidades do cabo para garantir que
uma nica ao do operador inicie um comando de parada. A fora necessria de
acionamento por cabo no deve exceder 200 N (45 libras) ou uma distncia de 400
mm (15,75 pol.) em uma posio centralizada entre dois suportes de cabos.
Controles bimanuais

O uso de controles de duas mos (tambm denominados controles bimanuais) um


mtodo comum de impedir o acesso, enquanto a mquina estiver em uma condio
de perigo. Dois controles devem ser operados simultaneamente (com um intervalo
de 0,5 s um do outro) para ativar a mquina. Isso garante que as duas mos do
operador estejam ocupadas em uma posio segura (ou seja, no comando)
e portanto, no possam estar na zona de perigo. Os controles devem ser operados
continuamente durante as condies de perigo. A operao da mquina deve

43

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
cessar quando um dos controles for liberado; se um controle for liberado, o outro
controle tambm deve ser liberado antes que a mquina possa ser reiniciada.

Um sistema de controle bimanual depende fortemente da integridade de seu controle


e sistema de monitorao para detectar quaisquer falhas; por isso, importante que
este aspecto seja projetado para a especificao correta. O desempenho do sistema
de segurana bimanual caracterizado em tipos pelo ISO 13851 (EN 574) conforme
mostrado e esto relacionados s categorias do ISO 13849-1. Os tipos mais
comumente utilizados para a segurana de mquinas so IIIB e IIIC. A tabela abaixo
mostra o relacionamento dos tipos de categorias do desempenho de segurana.
Tipos

Requisitos

Atuao sncrona

Uso da Categoria 1 (do ISO 13849-1)


Uso da Categoria 3 (do ISO 13849-1)
Uso da Categoria 4 (do ISO 13849-1)

II

A
X

III
B
X
X

C
X

O espaamento do projeto fsico deve impedir a operao inadequada (por exemplo,


pela mo e cotovelo). Isso pode ser realizado pela distncia ou blindagens. A mquina
no deve passar de um ciclo para outro, sem a liberao e o pressionamento de
ambos os botes. Isso evita a possibilidade de os dois botes serem bloqueados,
deixando a mquina em funcionamento contnuo. A liberao de um dos botes
deve causar a parada da mquina.
O uso do controle bimanual deve ser considerado com cautela, pois geralmente
deixa exposta alguma forma de risco. O controle bimanual protege apenas a pessoa
que o utiliza. O operador protegido deve ser capaz de observar todo o acesso ao
perigo, pois talvez outros funcionrios no estejam protegidos.
O ISO 13851 (EN574) fornece orientao adicional sobre o controle bimanual.
Dispositivos de habilitao

Dispositivos de habilitao so controles que permitem que um operador entre em


uma zona de perigo durante a ocorrncia do perigo, somente enquanto o operador
estiver segurando o dispositivo de habilitao na posio acionada. Os dispositivos
de habilitao utilizam interruptores do tipo com duas posies ou com trs posies.
Os tipos com duas posies ficam desativados quando o atuador no operado e
ficam ativados quando o atuador operado. Os interruptores de trs posies ficam
desativados quando no acionados (posio 1) e ativados quando retidos na posio
central (posio 2) e desligados quando o atuador operado aps a posio mdia

44

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


(posio 3). Alm disso, ao retornar da posio 3 para a 1, o circuito de sada no
deve fechar ao passar pela posio 2.

Os dispositivos de habilitao devem ser utilizados em conjunto com outra funo


relacionada segurana. Um exemplo tpico a disposio do movimento em um
modo lento controlado. Uma vez em modo lento, um operador pode entrar na rea
de perigo, segurando o dispositivo de habilitao.

Ao utilizar um dispositivo de habilitao, um sinal deve indicar que esse dispositivo


est ativo.

Dispositivos de lgica

Os dispositivos de lgica desempenham uma funo central na parte do sistema de


controle relacionada segurana. Os dispositivos de lgica executam a verificao
e monitorao do sistema de segurana e permitem que a mquina seja inicializada
ou execute comandos de parada da mquina.Os dispositivos de lgica executam a
verificao e monitorao do sistema de segurana e permitem que a mquina seja
inicializada ou execute comandos de parada da mquina.
Uma gama de dispositivos lgicos est disponvel para criar uma arquitetura de
segurana correspondente complexidade e funcionalidade exigidas para a mquina.
Rels de segurana de monitorao menores com fios so mais econmicos para
mquinas menores onde um dispositivo lgico dedicado necessrio para concluir
a funo de segurana. Rels de segurana de monitorao modulares e configurveis
so preferidos onde um nmero amplo e diverso de dispositivos de segurana e
controle de zona mnimo so necessrios. O meio para mquinas maiores e mais
complexas encontrar sistemas programveis com E/S distribuda como prefervel.
Rels de segurana de monitorao

Mdulos de rel de segurana de monitorao (MSR) desempenham um papel


essencial em vrios sistemas de segurana. Esses mdulos geralmente so formados
por dois ou mais rels guiados positivamente com circuitos adicionais para assegurar
o desempenho da funo de segurana.

Rels guiados positivos so rels cubo de gelo especializados. Rels guiados


positivamente devem atender s exigncias de desempenho do EN50025.
Essencialmente, eles so projetados para evitar que os contatos normalmente fechados
e normalmente abertos fechem simultaneamente. Projetos mais recentes substituem
as sadas eletromecnicas por sadas de estado slido nominais de segurana.
Rels de segurana de monitorao realizam vrias verificaes no sistema de
segurana. Ao serem energizados, eles realizam autoverificaes em seus
componentes internos. Quando os dispositivos de entrada so ativados, o MSR
compara os resultados das entradas redundantes. Caso seja aceitvel, o MSR
verifica os atuadores externos. Caso esteja tudo bem, o MSR aguarda um sinal de
reset para energizar suas sadas.

45

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
A seleo do rel de segurana apropriado depende de uma srie de fatores:
tipo de dispositivo que monitora, o tipo de reset, o nmero e o tipo de sadas.
Tipos de entradas

Dispositivos de segurana tm diferentes tipos de mtodos para indicar que


algo aconteceu:

Intertravamentos de contato e paradas de emergncia: Contatos mecnicos, canal


nico com um contato normalmente fechado ou canal duplo, ambos normalmente
fechados. O MSR deve ser capaz de aceitar um canal nico ou duplo e proporcionar
deteco de falha cruzada para a distribuio do canal duplo.
Intertravamentos sem contatos e paradas de emergncia: Contatos mecnicos,
canal duplo, um contato normalmente aberto e um normalmente fechado. O MSR
deve ser capaz de processar vrias entradas.
Dispositivos de chaveamento de estado slido de sada: Cortinas de luz,
scanners a laser, sem contatos de estado slido tm duas sadas de alimentao
e realizam sua prpria deteco de falha cruzada. O MSR deve ser capaz de
ignorar o mtodo de deteco de falha cruzada dos dispositivos.
Tapetes sensveis presso: Os tapetes criam um curto-circuito entre dois
canais. O MSR deve ser capaz de suportar os curtos-circuitos repetidos.

Bordas sensveis presso: Algumas bordas so projetadas como tapetes de 4 fios.


Algumas so dispositivos de dois fios que criam mudana na resistncia. O MSR
deve ser capaz de detectar um curto-circuito ou a alterao na resistncia.
Tenso: Mede a fora contra eletromotriz de um motor durante redues. O MSR
deve ser capaz de tolerar altas tenses e detectar baixas tenses medida que
o motor diminui a rotao.
Movimento interrompido: O MSR deve detectar fluxos de pulso de sensores
diversos e redundantes.

Controle bimanual: O MSR deve detectar entradas diversas normalmente abertas


e normalmente fechadas, alm de fornecer temporizao de 0,5 s e lgica de
sequenciamento.

Rels de segurana de monitorao devem ser projetados especificamente para


realizar interface com cada um desses tipos de dispositivo, pois tm diferentes
caractersticas eltricas. Alguns MSRs podem se conectar a poucos tipos diferentes
de entradas, porm, aps o dispositivo ser escolhido, o MSR somente pode realizar
interface com esse dispositivo. O projetista deve selecionar um MSR compatvel
com o dispositivo de entrada.

46

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


Impedncia de entrada

A impedncia de entrada dos rels de segurana de monitorao determina quantos


dispositivos de entrada podem ser conectados ao rel e a distncia na qual os
dispositivos de entrada podem ser montados. Por exemplo, um rel de segurana
pode ter uma impedncia de entrada permitida mxima de 500 ohms (~). Quando
a impedncia de entrada for superior a 500~, ela no comutar em suas sadas.
O usurio deve ter cuidado para assegurar que a impedncia de entrada permanea
abaixo da especificao mxima. O comprimento, tamanho e tipo de fio usado afetam
a impedncia de entrada.
Nmero de dispositivos de entrada

O processo de avaliao de risco deve ser usado para ajudar a determinar quantos
dispositivos de entrada devem ser conectados a um MSR de unidade de rel de
segurana de monitorao e com que frequncia os dispositivos devem ser verificados.
Para assegurar que as paradas de emergncia e os intertravamentos de porta estejam
em estado operacional, eles devem ser verificados para operao em intervalos
regulares, conforme determinado pela avaliao de risco. Por exemplo, um MSR
de entrada de canal duplo conectado a uma porta de intertravamento que deve ser
aberta a cada ciclo da mquina (por ex.: vrias vezes ao dia) pode no precisar de
verificao. Isso ocorre porque abrir a proteo faz com que o MSR realize uma
autoverificao em suas entradas e sadas (dependendo da configurao) para
identificar falhas nicas. Quanto maior a abertura da proteo, maior a integridade
do processo de verificao.
Outro exemplo pode ser a parada de emergncia. Como as paradas de emergncia
so tipicamente usadas apenas para emergncias, so raramente utilizadas.
Portanto, um programa deve ser estabelecido para exercitar as paradas de emergncia
e confirmar sua eficcia periodicamente. Exercitar o sistema de segurana desse
modo chamado de Teste de prova, o intervalo entre os Testes de prova chamado
de Intervalo de teste de provas. Um terceiro exemplo pode ser as portas de acesso
para ajustes de mquina, que, assim como as paradas de emergncia, raramente
so usadas. Aqui, novamente, um programa deve ser estabelecido para exercitar
a funo de verificao periodicamente.
A avaliao de risco ajudar a determinar se os dispositivos de entrada precisam
ser verificados e com que frequncia devem ser verificados. Quanto maior o nvel
de risco, maior a integridade necessria do processo de verificao. E quanto menos
frequente a verificao automtica, mais frequente deve ser a verificao
manual imposta.
Deteco de falha cruzada de entrada

Em sistemas de canal duplo, falhas de curto-circuito de canal a canal dos dispositivos


de entrada, tambm conhecidas como falhas cruzadas, devem ser detectadas pelo
sistema de segurana. Isso alcanado pelo dispositivo de deteco ou pelo rel
de segurana de monitorao.

47

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Rels de segurana de monitorao baseados em microprocessador, como cortinas
de luz, scanners a laser e sensores sem contato avanados detectam esses curtos
de vrias formas diferentes. Uma forma comum de detectar falhas cruzadas utilizar
testes de pulso diversos. Os sinais de sada so pulsados com muita rapidez. O pulso
do canal 1 desviado do pulso do canal 2. Caso ocorra um curto, os pulsos ocorrem
ao mesmo tempo e so detectados pelo dispositivo.
Rels de segurana de monitorao baseados em eletromecnica usam uma
tcnica de diversidade diferente: uma entrada de energizao e uma entrada
de desenergizao. Um curto do Canal 1 para o Canal 2 tornar o dispositivo
de proteo de sobrecorrente ativo e o sistema de segurana desligar.
Sadas

Os MSRs vm com vrios nmeros de sadas. Os tipos de sadas ajudam


a determinar qual MSR deve ser usado em aplicaes especficas.

A maioria dos MSRs tem no mnimo 2 sadas de segurana operando imediatamente.


As sadas de segurana de MSR so caracterizadas como normalmente abertas.
Elas so classificadas como de segurana devido redundncia e verificao interna.
Um segundo tipo de sada representado pelas sadas com atraso. Em geral,
sadas com atraso so usadas em paradas de Categoria 1, onde a mquina necessita
de tempo para executar a funo de parada antes de permitir acesso rea de
perigo. Os MSRs tambm tm sadas auxiliares. Em geral, elas so consideradas
normalmente fechadas.
Capacidades de sada

Capacidades de sada descrevem a habilidade do dispositivo de segurana em


comutar cargas. Com frequncia, as capacidades para dispositivos industriais so
descritas como resistivas ou eletromagnticas. Uma carga resistiva pode ser um
elemento de tipo trmico. Cargas eletromagnticas, em geral, so rels, contatores
ou solenoides; onde h uma grande caracterstica indutiva da carga. O anexo A
do padro IEC 60947-5-1, descreve as capacidades para cargas. Isso tambm
exibido na seo princpios do catlogo de Segurana.
Letra de designao: A designao uma letra seguida por um nmero, por
exemplo, A300. A letra relacionada com a corrente trmica includa convencional
e se a corrente contnua ou alternada. Por exemplo, A representa corrente
alternada de 10 A. O nmero representa a tenso de isolamento classificado.
Por exemplo, 300 representa 300 V.
Utilizao: A utilizao descreve os tipos de cargas s quais o dispositivo
designado para comutar. As utilizaes relevantes para IEC 60947-5 so
exibidas na seguinte tabela.

48

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


Utilizao
AC-12
AC-13
AC-14
AC-15
DC-12
DC-13
DC-14

Descrio de carga

Controle de cargas resistivas e de estado slido


com isolao por acoplamentos pticos
Controle de cargas de estado slido com
isolamento por transformador

Controle de cargas eletromagnticas pequenas


(inferiores a 72 VA)
Cargas eletromagnticas superiores a 72 VA

Controle de cargas resistivas e de estado slido


com isolao por acoplamentos pticos
Controle de eletromagnetos

Controle de cargas eletromagnticas


com resistores de economia no circuito

Corrente trmica, Ith: A corrente trmica includa convencional o valor de


corrente usado para testes de elevao de temperatura do equipamento quando
montado em um compartimento especfico.

Tenso operacional nominal Ue e Corrente Ie; A corrente operacional nominal


e a tenso especificam as capacidades de realizao e rompimento dos elementos
de comutao sob condies operacionais normais. Os produtos Allen-Bradley
Guardmaster tm capacidade especfica de 125 Vca, 250 Vca e 24 Vcc. Consulte
a fbrica para uso em tenses diferentes dessas capacidades especificadas.
VA: As capacidades de VA (Tenso x Amperagem) indicam as capacidades dos
elementos de comutao quando realizam o circuito e quando rompem o circuito.
Exemplo 1: Uma capacidade de A150, AC-15 indicam que os contatos podem
realizar um circuito de 7200 VA. Em 120 Vca, os contatos podem realizar um
circuito de energizao de 60 A. Considerando que a AC-15 uma carga
eletromagntica, os 60 A funcionam apenas para curta durao; a corrente de
energizao da carga eletromagntica. O rompimento do circuito de apenas
720 VA, pois a corrente de estado estvel da carga eletromagntica de 6 A,
que a corrente operacional nominal.

49

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Exemplo 2: Uma capacidade de N150, CC-13 indica que os contatos podem realizar
um circuito de 275 VA. A 125 Vca, os contatos podem realizar um circuito de 2,2 A.
As cargas eletromagnticas de CC no tm corrente de energizao como cargas
eletromagnticas de CA. O rompimento do circuito tambm de 275 VA, pois a
corrente de estado estvel da carga eletromagntica de 2,2, que a corrente
operacional nominal.
Reinicializao da mquina

Se, por exemplo, uma proteo intertravada aberta em uma mquina em operao,
a chave de intertravamento de segurana interromper a mquina. Na maioria das
circunstncias imperativo que a mquina no reinicie imediatamente quando a
proteo estiver fechada. Uma maneira comum de conseguir isso providenciar
um arranjo inicial do contator de reteno.

Pressionar e soltar o boto PARTIDA momentaneamente energiza a bobina de controle


do contator, que fecha os contatos de potncia. Enquanto a energia percorrer os
contatos de potncia, a bobina de controle mantida energizada (eletricamente
retida) por meio dos contatos auxiliares do contator que so mecanicamente vinculados
aos contatos de potncia. Qualquer interrupo da alimentao principal ou do
abastecimento de controle resultar na desenergizao da bobina e na abertura
dos contatos de alimentao principal e auxiliares. A proteo de intertravamento
conectada ao circuito de controle do contator. Isso significa que a reinicializao
somente pode ocorrer ao fechar a proteo e, em seguida, colocar a posio ON
no boto PARTIDA normal, que redefine o contator e aciona a mquina.

A exigncia para situaes normais de intertravamento esclarecida no ISO 12100-1,


Pargrafo 3.22.4 (trecho)
Quando a proteo fechada, as funes perigosas da mquina fechadas pela
proteo podem operar, mas o fechamento da proteo no inicia a operao
automaticamente.

Vrias mquinas j tm contatores nicos ou duplos que operam como descrito acima
(ou tm um sistema que alcana o mesmo resultado). Quando um intertravamento
instalado nas mquinas existentes, necessrio determinar se o arranjo do controle
de potncia atende a esse requisito e tomar eventuais medidas adicionais.
Funes de reset

Os rels de segurana de monitorao Allen Bradley Guardmaster so projetados


com reset manual monitorado ou reset automtico/manual.

50

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


Reset manual monitorado

Um reset manual monitorado necessita de mudana de estado do circuito de reset


aps o fechamento da porta ou o reset da parada de emergncia. Os contatos
auxiliares normalmente fechados e conectados mecanicamente dos contatores de
chaveamento de alimentao so conectados em srie com um boto momentneo.
Aps abrir e fechar a proteo novamente, o rel de segurana no permitir que
a mquina seja reinicializada at que haja mudana de estado no boto de reset.
Isso est em conformidade com o propsito das exigncias para reset manual adicional
estabelecidas no EN ISO 13849-1. Ou seja, a funo reset assegura que ambos
os contatores estejam DESLIGADOS e que ambos os circuitos de intertravamento
(e portanto, as protees) estejam fechados e tambm (devido necessidade de
mudana de estado) que o atuador de reset no seja desviado ou bloqueado de
forma alguma. Caso essas verificaes sejam bem-sucedidas, a mquina poder,
ento, ser reinicializada a partir dos controles normais. O EN ISO 13849-1 menciona
a mudana de estado de energizado para desenergizado, no entanto, o mesmo
princpio protetor tambm pode ser alcanado pelo efeito contrrio.
A chave de rearme deve ser localizada em um local que oferea uma boa viso do
perigo, para que o operador possa verificar se a rea est limpa antes da operao.
Reset automtico/manual

Alguns rels de segurana tm reset automtico/manual. O modo de reset manual


no monitorado e o reset ocorre quando o boto pressionado. Uma chave
de rearme em curto-circuito ou com interferncia no ser detectada. Com essa
abordagem, pode no ser possvel cumprir as exigncias para reset manual
adicional como informado no EN ISO 13849-1, a menos que meios adicionais
sejam usados.

De modo alternativo, a linha de reset pode ter jumper, permitindo um reset automtico.
O usurio deve oferecer outro mecanismo para evitar a inicializao da mquina
quando a porta fechar.
Um dispositivo de reset automtico no necessita de ao de chaveamento manual,
no entanto, aps o fim da atuao, sempre realizar uma verificao de integridade
do sistema antes de reinici-lo. Um sistema de reset automtico no deve ser
confundido com um dispositivo sem instalaes de reset. Por ltimo, o sistema
de segurana ser ativado imediatamente aps o fim da atuao, porm,
no haver verificao de integridade do sistema.

A chave de rearme deve ser localizada em um local que oferea uma boa viso do
perigo, para que o operador possa verificar se a rea est limpa antes da operao.

51

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Protees de controle

Uma proteo de controle interrompe a mquina quando a proteo aberta e a


reinicia diretamente quando a proteo fechada. O uso de protees de controle
somente permitido em determinadas condies severas, pois qualquer inicializao
ou falha em interromper inesperadas seriam extremamente perigosas. O sistema
de intertravamento deve ter a maior confiabilidade possvel (geralmente aconselhvel
usar o travamento de proteo). O uso de protees de controle SOMENTE pode
ser considerado nas mquinas quando NO HOUVER POSSIBILIDADE de um
operador ou parte do seu corpo permanecer ou estiver ao alcance da zona de
perigo enquanto a proteo estiver fechada. A proteo de controle deve ser
o nico acesso rea de perigo.

Controles lgicos programveis de segurana

A necessidade de aplicaes flexveis e escalonveis motivaram o desenvolvimento


de controladores/CLPs de segurana. Controladores de segurana programveis
proporcionam aos usurios o mesmo nvel de flexibilidade de controle em uma aplicao
de segurana que esto acostumados com controladores programveis padro.
No entanto, h vrias diferenas entre os CLPs padro e de segurana. Os CLPs
de segurana vm em vrias plataformas para acomodar exigncias de expansibilidade,
funcionalidade e integrao dos sistemas de segurana mais complexos.

Microprocessador

Flash

Memria
RAM

Portas

Endereo
Dados
Controle
WATCHDOG /
COMPARA

SINC
Endereo
Dados
Controle
Microprocessador

Flash

Memria
RAM

Arquitetura 1oo2D

Mdulo
de E/S

Mltiplos
microprocessadores
so usados para processar
a memria de E/S
e comunicaes de
segurana. Circuitos
watchdog realizam anlise
de diagnstico. Esse tipo
de construo conhecido
como 1oo2D, pois um dos
dois microprocessadores
pode realizar a funo de
segurana e diagnsticos
amplos so realizados para
assegurar que ambos os
microprocessadores estejam
operando em sincronia.

Alm disso, cada circuito de entrada internamente testado vrias vezes a cada
segundo para assegurar que esteja operando corretamente. possvel acionar a
parada de emergncia somente uma vez ao ms; porm, quando fizer isso, o
circuito ter sido testado continuamente, de modo que a parada de emergncia seja
percebida de forma correta e internamente para o CLP de segurana.

52

SAFEBOOK 4

Medidas de proteo e equipamentos complementares

Microprocessador

Controle
SINC

WATCHDOG /
COMPARA
Endereo
Dados

Entrada 1
Teste
BARRAMENTO E/S

Endereo
Dados

Buffers
de
dados

Entrada 2
Teste
Entrada 3
Teste
Circuito de
controle
do teste

Controle
Microprocessador
Diagrama de blocos do mdulo de entrada de segurana

Sadas de segurana de CLP so de estado slido classificado como de segurana


ou eletromecnico. Como os circuitos de entrada, os circuitos de sada so
testados vrias vezes a cada segundo para assegurar que conseguem desligar a
sada. Caso um dos trs falhe, a sada desligada pelos outros dois e a falha
informada pelo circuito de monitorao interno.
Quando utilizar dispositivos de segurana com contatos mecnicos (paradas de
emergncia, switches etc.), o usurio poder aplicar sinais de teste de pulso para
detectar falhas cruzadas. Para no usar sadas de segurana caras, vrios CLPs
de segurana oferecem sadas pulsantes especficas que podem ser conectadas
aos dispositivos de contato mecnico.
Software

CLPs de segurana so programados de forma muito semelhante aos CLPs


padro. Todos os diagnsticos adicionais e verificaes de erros mencionados
anteriormente so feitos pelo sistema operacional, ento no necessrio que
o programador acompanhe o que est acontecendo. A maioria dos CLPs de
segurana ter instrues especiais usadas para escrever o programa para
o sistema de segurana e essas instrues tendem a mimetizar a funo dos
seus equivalentes de rels de segurana. Por exemplo, a instruo Parada de
emergncia opera de forma muito semelhante a um MSR 127. Embora a lgica por
trs de cada uma dessas instrues seja complexa, os programas de segurana
parecem relativamente simples, pois o programador simplesmente conecta os
blocos. Essas instrues, juntamente com outras instrues lgicas, matemticas,
de manipulao de dados etc. so certificadas por um terceiro para assegurar que
sua operao seja coerente com os padres aplicveis.

53

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Blocos de funes so mtodos predominantes para a programao de funes
de segurana. Alm dos Blocos de funes e da Lgica ladder, CLPs de segurana
tambm oferecem instrues de aplicao de segurana certificadas. Instrues
de segurana certificadas proporcionam um comportamento especfico de aplicao.
Esse exemplo exibe uma instruo de parada de emergncia. Para realizar a mesma
funo em lgica ladder, seriam necessrias aproximadamente 16 linhas de lgica
ladder. Como o comportamento da lgica embutido na instruo da Parada de
emergncia, a lgica embutida no precisa ser testada.
Blocos de funes certificados esto disponveis para interface com quase todos
os dispositivos de segurana. Uma exceo a essa lista o limite de segurana
que usa tecnologia resistiva.

CLPs de segurana geram uma assinatura que proporciona a capacidade


de rastrear possveis mudanas realizadas. Essa assinatura , em geral,
uma combinao do programa, configurao de entrada/sada e um registro de
data e hora. Quando o programa finalizado e validado, o usurio deve registrar
essa assinatura como parte dos resultados de validao para referncia futura.
Se o programa precisar de modificao, necessrio fazer a revalidao e uma
nova assinatura dever ser registrada. O programa tambm pode ser bloqueado
com uma senha para evitar alteraes no autorizadas.

A fiao simplificada com sistemas de lgica programvel comparveis a rels


de segurana de monitorao. Ao contrrio da fiao para terminais especficos
em rels de segurana de monitorao, dispositivos de entrada so conectados a
quaisquer terminais de entrada e dispositivos de sada so conectados a quaisquer
terminais de sada. Os terminais so atribudos por meio de software.
Controladores de segurana integrados

Solues de controle de segurana agora oferecem integrao completa com


arquitetura de controle nica, onde funes de controle padro e de segurana
residem e trabalham juntas. A capacidade de realizar movimento, acionamento,
processo, lote, sequncia em alta velocidade e segurana SIL 3 em um controlador
proporciona vantagens significativas. A integrao de controles padro e de segurana
oferece a oportunidade de usar ferramentas e tecnologias comuns que reduzem
custos associados com o projeto, instalao, comissionamento e manuteno.
A capacidade de utilizar hardware de controle comum, E/S de segurana distribuda
ou dispositivos em redes de segurana e dispositivos IHM comuns reduz os custos
de aquisio e manuteno, alm de reduzir o tempo de desenvolvimento. Todos esses
recursos melhoram a produtividade, a velocidade associada resoluo de problemas
e reduzem custos de treinamento devido simplicidade.
O diagrama a seguir exibe um exemplo da integrao de controle e segurana.
As funes de controle no relacionadas segurana padro residem na Tarefa
principal. As funes relacionadas segurana residem na Tarefa de segurana.

54

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


Todas as funes relacionadas ao padro e segurana so isoladas entre si.
Por exemplo, tags de segurana podem ser lidas diretamente pela lgica padro.
Tags de segurana podem ser trocadas entre controladores GuardLogix sobre
EtherNet, ControlNet ou DeviceNet. Dados de tag de segurana podem ser lidos
diretamente por dispositivos externos, Interfaces homem-mquina (IHM),
computadores pessoais (PC) ou outros controladores.

1. Tags e lgica padro comportam-se


igualmente ao ControlLogix.

2. Dados padro de tags, programa


ou controlador no escopo e dispositivos
externos, IHM, PCs, outros
controladores etc.

Tarefas
integradas

3. Como controlador integrado,


o GuardLogix proporciona a capacidade
de mover (mapear) dados de tag padro
para tags de segurana para uso dentro
da tarefa de segurana. Isso proporciona
aos usurios a capacidade de ler
informaes de status a partir do lado
padro do GuardLogix. Esses dados
no devem ser usados para controlar
diretamente uma sada de segurana.
4. Tags de segurana podem ser lidas
diretamente por lgica padro.

5. Tags de segurana podem ser lidas


ou escritas por lgica de segurana.
6. Tags de segurana podem ser
trocadas entre controladores
GuardLogix sobre EtherNet.

7. Dados de tags de segurana,


programa ou controlador no escopo podem ser lidos por dispositivos externos,
IHMs, PCs, outros controladores etc. Observe que aps esses dados serem lidos,
passam a ser considerados dados padro, no dados de segurana.

55

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Redes de segurana

Redes de comunicao de cho de fbrica tradicionalmente proporcionam aos


fabricantes a capacidade de melhorar a flexibilidade, aumentar diagnsticos,
aumentar a distncia, reduzir custos de instalao e fiao, facilitar a realizao
de manutenes e melhorar em geral a produtividade de suas operaes de
fabricao. Essas mesmas motivaes tambm conduzem a implementao de
redes de segurana industrial. As redes de segurana permitem aos fabricantes
distribuir E/S de segurana e dispositivos de segurana em redor das suas
mquinas utilizando um nico cabo de rede, reduzindo custos de instalao
enquanto melhoram o diagnstico e permitem o uso de sistemas de segurana
de maior complexidade. Elas tambm permitem comunicaes seguras entre
controladores/CLPs de segurana, permitindo aos usurios distribuir seu controle
de segurana entre vrios sistemas inteligentes.

As redes de segurana no evitam a ocorrncia de erros de comunicao. As redes


de segurana so mais capazes de detectar erros de transmisso e, ento, permitem
que dispositivos de segurana tomem as medidas apropriadas. Erros de comunicao
que so detectados incluem: insero de mensagem, perda de mensagem, corrupo
de mensagem, atraso de mensagem, repetio de mensagem e sequncia incorreta
de mensagem.

Para a maioria das aplicaes, quando um erro detectado, o dispositivo passar a


um estado desenergizado conhecido, tipicamente chamado de estado de segurana.
O dispositivo de entrada ou sada de segurana responsvel por detectar esses
erros de comunicao e, ento, passar ao estado seguro caso seja apropriado.

Redes de segurana iniciais foram vinculadas a um tipo de mdia especfico ou esquema


de acesso de mdia, ento os fabricantes necessitaram utilizar cabos especficos,
placas de interface de rede, roteadores, pontes etc. que tambm se tornaram parte
da funo de segurana. Essas redes foram limitadas no sentido de que apenas
suportavam comunicao entre dispositivos de segurana. Isso significava que os
fabricantes precisavam usar duas ou mais redes para sua estratgia de controle de
mquina (uma rede para controle padro e outra para controle relacionado segurana),
aumentando os custos de instalao, treinamento e de peas de reposio.

Redes de segurana modernas permitem que um nico cabo de rede se comunique


com dispositivos de controle de segurana e padro. Segurana CIP (Common
Industrial Protocol) um protocolo padro aberto publicado pela ODVA (Open DeviceNet
Vendors Association) que permite comunicaes de segurana entre dispositivos de
segurana em redes DeviceNet, ControlNet e EtherNet/IP. Como a segurana CIP
uma extenso do protocolo CIP, dispositivos de segurana e dispositivos padro podem
residir na mesma rede. Os usurios tambm podem estabelecer pontes entre redes
contendo dispositivos de segurana, permitindo que subdividam dispositivos para
fazer o ajuste fino dos tempos de resposta de segurana ou simplesmente realizar
a distribuio de dispositivos de segurana com mais facilidade. Como o protocolo

56

SAFEBOOK 4

Medidas de proteo e equipamentos complementares


de segurana de responsabilidade exclusiva dos dispositivos finais (CLP/controlador
de segurana, mdulo de E/S de segurana, componente de segurana), cabos padro,
placas de interface de rede, pontes e roteadores so usados, eliminando qualquer
hardware de rede especial e removendo esses dispositivos da funo de segurana.

Dispositivos de sada

Rels de controle de segurana e contatores de segurana

Rels de controle e contatores so usados para remover energia do atuador. Recursos


especiais so adicionados a rels de controle e contatores para proporcionar a
classificao de segurana.
Contatos normalmente fechados e vinculados mecanicamente so usados para
realimentar o status dos rels de controle e os contatores para o dispositivo lgico.
O uso de contatos vinculados mecanicamente ajuda a assegurar a funo de
segurana. Para atender s exigncias de contatos mecanicamente vinculados,
os contatos normalmente abertos e normalmente fechados no podem estar em
estado fechado ao mesmo tempo. O IEC 60947-5-1 define as exigncias para contatos
vinculados mecanicamente. Se for necessrio soldar os contatos normalmente
abertos, os contatos normalmente fechados permanecero abertos em no mnimo
0,5 mm. De modo contrrio, se for necessrio soldar os contatos normalmente
fechados, os contatos normalmente abertos permanecero abertos.
Os sistemas de segurana somente devem ser iniciados em locais especficos.
Rels de controle com classificao padro e contatores permitem que a armadura
seja pressionada para fechar os contatos normalmente abertos. Em dispositivos
classificados de segurana, a armadura protegida contra sobreposio manual
para reduzir a inicializao inesperada.

Em rels de controle de segurana, o contato normalmente fechado acionado pela


chave principal. Contatores de segurana utilizam um bloco somador para localizar
os contatos vinculados mecanicamente. Caso o bloco de contatos caia fora da base,
os contatos vinculados mecanicamente permanecero fechados. Os contatos
vinculados mecanicamente so fixados permanentemente ao rel de controle
de segurana ou contator de segurana. Nos contatores maiores, um bloco
somador insuficiente para refletir com preciso o status da chave maior.
Contatos espelhados, exibidos na Figura 4.81 esto localizados no lado do
contator que estiver sendo utilizado.
O tempo de desenergizao de rels de controle ou contatores desempenha uma
funo no clculo de distncia de segurana. Em geral, um supressor de transiente
colocado em toda a bobina para melhorar a vida til dos contatos que acionam
a bobina. Para bobinas energizadas por CA, o tempo de desenergizao no
afetado. Para bobinas energizadas por CC, o tempo de desenergizao
aumentado. O aumento depende do tipo de supresso selecionada.

57

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Rels de controle e contatores so projetados para comutar grandes cargas, de 0,5 A
a mais de 100 A. O sistema de segurana opera em baixas correntes. O sinal de
retorno gerado pelo dispositivo lgico do sistema de segurana pode estar na ordem
de poucos miliamperes para dezenas de miliamperes, geralmente em 24 Vcc. Os
rels de controle de segurana e os contatores de segurana usam contatos bifurcados
revestidos com ouro para comutar essa pequena corrente de forma confivel.
Proteo contra sobrecarga

A proteo contra sobrecarga para motores exigida por padres eltricos.


O diagnstico fornecido pela proteo contra sobrecarga melhora no somente
a segurana do equipamento, como tambm a segurana do operador. Tecnologias
disponveis atualmente podem detectar condies de falha como sobrecarga,
perda de fase, falha de aterramento, obstruo, travamento, carga baixa,
desequilbrio de corrente e excesso de temperatura. Detectar e comunicar
condies anormais antes da ocorrncia do problema ajuda a melhorar o tempo
de produo e ajuda a evitar que os operadores e o pessoal de manuteno
enfrentem condies perigosas imprevistas.
Inversores e Servos

Inversores e servos classificados de segurana podem ser usados para evitar que
a energia rotacional seja fornecida para alcanar uma parada de segurana e uma
parada de emergncia.

Inversores CA atingem a classificao de segurana com canais redundantes para


remover energia para os circuitos de controle da porta. Um canal o canal Ativar,
um sinal de hardware que remove o sinal de entrada para os circuitos de controle
da porta. O segundo canal um rel guiado positivo que remove a alimentao de
energia dos circuitos de controle da Porta. O rel guiado positivo tambm proporciona
um sinal de status de volta ao sistema lgico. Essa abordagem redundante permite
que o inversor classificado de segurana seja aplicado em circuitos de parada de
emergncia sem a necessidade de um contator.
O Servo atinge um resultado de forma similar aos inversores CA utilizando sinais
de segurana redundantes usados para alcanar a funo de segurana. Um sinal
interrompe o inversor para os Circuitos de controle da porta. Um segundo sinal
interrompe a alimentao para a fonte de alimentao dos circuitos de controle da
porta. Dois rels guiados positivos so usados para remover os sinais e oferecer
retorno ao dispositivos lgico de segurana.

Sistemas de conexo

Sistemas de conexo acrescentam valor ao reduzir custos de instalao


e manuteno de sistemas de segurana. Os projetos devem considerar canal
nico, canal duplo, canal duplo com indicao e mltiplos tipos de dispositivos.

58

SAFEBOOK 4

Clculo da distncia de segurana


Quando uma conexo em srie de intertravamentos de canal duplo necessria,
um bloco de distribuio pode simplificar a instalao. Com uma classificao IP67,
esses tipos de caixas podem ser montadas na mquina em locais remotos. Quando
um conjunto diverso de dispositivos necessrio, uma caixa de E/S ArmorBlock
Guard pode ser usada. As entradas podem ser configuradas por software para
acomodar vrios tipos de dispositivos.

Clculo de distncia de segurana

Os perigos devem chegar a um estado seguro antes que o operador alcance


o perigo. Para o clculo de distncia de segurana, h dois grupos de padres
que proliferaram. Nesse captulo, esses padres so agrupados como a seguir:
ISO EN: (ISO 13855 e EN 999)

CAN EUA (ANSI B11.19, ANSI RIA R15.06 e CAN/CSA Z434-03)


Frmula

A distncia de segurana mnima dependente do tempo necessrio para processar


o comando de Parada e a distncia que o operador pode penetrar na zona de
deteco antes da deteco. A frmula usada em todo o mundo tem a mesma
forma e exigncias. As diferenas so os smbolos usados para representar as
variveis e as unidades de medida.
As frmulas so:
ISO EN: S =
CAN EUA:

Kx

+C

Ds = K x

(Ts + Tc + Tr + Tbm)

+ Dpf

Onde: Ds e S so a distncia segura mnima da zona de perigo para o ponto de


deteco mais prximo
Orientaes de abordagem

Quando o clculo de distncia de segurana considerado onde uma cortina de luz


ou scanner de rea usado, a abordagem para o dispositivo de deteco deve ser
levada em considerao. Trs tipos de abordagem so consideradas:
Normal uma abordagem perpendicular ao plano de deteco
Horizontal uma abordagem paralela ao plano de deteco

Em ngulo uma abordagem em ngulo zona de deteco.


Constante de velocidade

K uma constante de velocidade. O valor da constante de velocidade depende dos


movimentos do operador (por ex.: velocidades das mos, velocidades de caminhada

59

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
e comprimentos de passos largos). Esse parmetro baseado em dados de pesquisa
demonstrando que razovel assumir uma velocidade de mos de 1600 mm/seg.
(63 pol./s) de um operador enquanto o corpo estiver parado. As circunstncias da
aplicao real devem ser levadas em considerao. Como diretriz geral, a velocidade
de abordagem variar de 1600 mm/s (63 pol./s) a 2500 mm/seg. (100 pol/s). A constante
de velocidade apropriada deve ser determinada pela avaliao de risco.
Tempo de parada

T o tempo de parada geral do sistema. O tempo total, em segundos, comea do


incio do sinal de parada at a eliminao do perigo. Esse tempo pode ser dividido
em suas partes incrementais (Ts, Tc, Tr e Tbm) para uma anlise mais fcil. Ts o
pior tempo de parada da mquina/equipamento. Tc o pior tempo de parada do
sistema de controle. Tr o tempo de resposta do dispositivo de segurana, incluindo
sua interface. Tbm o tempo de parada adicional permitido pelo monitor de frenagem
antes de detectar deteriorao de tempo de parada alm dos limites pr-determinados
dos usurios finais. Tbm usado com prensas mecnicas de revoluo de pea.
Ts + Tc + Tr geralmente so medidos por um dispositivo de medio de tempo de
parada caso os valores sejam desconhecidos.
Fatores de penetrao de profundidade

Os fatores de penetrao de profundidade so representados pelos smbolos C e Dpf.


o percurso mximo em direo ao perigo antes da deteco pelo dispositivo de
segurana. Os fatores de penetrao de profundidade mudaro dependendo do
tipo de dispositivo e aplicao. Um padro apropriado deve ser verificado para
determinar o melhor fator de penetrao de profundidade. Para uma abordagem
normal a uma cortina de luz ou scanner de rea, cuja sensibilidade de objeto
inferior a 64 mm (2,5 pol.), os padres ANSI e canadenses usam:
Dpf = 3,4 x (Sensibilidade do objeto 6,875 mm), mas no menos que zero.

Para uma abordagem a uma cortina de luz ou scanner de rea, cuja sensibilidade
de objeto inferior a 40 mm (1,57 pol.), os padres ISO e EN usam:
C = 8 x (Sensibilidade do objeto 14 mm), mas no menos que 0.

Essas duas frmulas tem um ponto de cruzamento em 19,3 mm. Para uma
sensibilidade de objeto inferior a 19 mm, a abordagem CAN EUA mais restritiva,
pois a cortina de luz ou scanner de rea deve ser definido novamente para longe
do perigo. Para sensibilidades de objeto superiores a 19,3 mm, o padro ISO EN
mais restritivo. Fabricantes de mquinas, que desejam construir uma mquina
para uso em todo o mundo, devem obter as piores condies de caso a partir
das duas equaes.

60

SAFEBOOK 4

Clculo da distncia de segurana


Aplicaes de contato

Quando sensibilidades maiores de objeto so utilizadas, os padres CAN EUA e ISO


EN diferem ligeiramente no fator de penetrao de profundidade e na sensibilidade
do objeto. O valor do ISO EN de 850 mm, enquanto o valor do CAN EUA de
900 mm. Os padres tambm diferem na sensibilidade do objeto. Enquanto o padro
ISO EN permite de 40 a 70 mm, o padro CAN EUA permite at 600 mm.
Aplicaes de alcance superior

Ambos os padres concordam que a altura mnima do menor feixe deve ser de
300 mm, mas diferem com relao altura mnima do feixe mais alto. O ISO EN
determina 900 mm, enquanto o CAN EUA determina 1200 mm. O valor para
o maior feixe parece ser questionvel. Quando isso considerado como uma
aplicao de contato, a altura do maior feixe dever ser muito maior para acomodar
um operador em posio em p. Caso o operador consiga alcanar o plano de
deteco, ento os critrios de alcance superior so aplicados.
Feixes nicos ou mltiplos

Feixes nicos ou mltiplos so definidos mais adiante pelos padres ISO EN.
Os nmeros abaixo exibem as alturas prticas de mltiplos feixes acima do piso.
A penetrao de profundidade de 850 mm para a maioria dos casos e 1200 mm
para o uso de feixe nico. Em comparao, a abordagem CAN EUA leva isso em
considerao por meio das exigncias de Contato. Ficar sobre, embaixo ou em
redor de feixes nicos e mltiplos sempre deve ser considerado.

# Feixes
1
2
3
4

Altura acima do nvel do piso - mm (pol.)


750 (29,5)
400 (5,7), 900 (35,4)
300 (11,8), 700 (27,5), 1100 (43,3)
300 (11,8), 600 (23,6), 900 (35,4), 1200 (47,2)

Clculos de distncia

C - mm (pol.)
1200 (47,2)
850 (33,4)
850 (33,4)
850 (33,4)

Para a abordagem normal a cortinas de luz, o clculo de distncia de segurana para


ISO EN e para CAN EUA so prximos, no entanto, h diferenas. Para a abordagem
normal s cortinas de luz verticais onde a sensibilidade do objeto um mximo de
40 m, a abordagem ISO EN exige duas etapas. Em primeiro lugar, calcule S usando
2000 para a constante de velocidade.
S = 2000 x T + 8 x (d -1 4)

A distncia mnima que S pode ser de 100 mm.

Uma segunda etapa pode ser usada quando a distncia superior a 500 mm.
Ento, o valor de K pode ser reduzido a 1600. Quando usar K=1600, o valor mnimo
de S de 500 mm.

61

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
A abordagem CAN EUA usa uma abordagem de uma etapa: Ds = 1600 x T * Dpf
Isso leva a diferenas superiores a 5% entre os padres, quando o tempo de
resposta inferior a 560 ms.
Abordagens em ngulo

A maioria das aplicaes de cortinas de luz e scanners so montadas na posio


vertical (abordagem normal) ou horizontal (abordagem paralela). Essas montagens
no so consideradas em ngulo se estiverem dentro de 5 do projeto pretendido.
Quando o ngulo excede 5, os riscos potenciais (por ex.: distncia mais curta)
de abordagens previsveis devem ser levados em considerao. Em geral,
ngulos superiores a 30 a partir do plano de referncia (por ex.: piso) devem
ser considerados normais e aqueles inferiores a 30 considerados paralelos.
Tapetes de segurana

Com tapetes de segurana, a distncia de segurana deve considerar o ritmo


e o passo largo dos operadores. Presumindo que o operador esteja caminhando
e que os tapetes de segurana estejam montados no piso. O primeiro passo do
operador no tapete um fator de penetrao de profundidade de 1200 mm ou 48 pol.
Caso o operador necessite pisar sobre uma plataforma, ento o fator de penetrao
de profundidade pode ser reduzido por um fator de 40% da altura do passo.
Exemplo

Exemplo: Um operador usa uma abordagem normal para uma cortina de luz de 14 mm,
que conectada a um rel de segurana de monitorao, conectado a um contator
alimentado por CC com supressor de diodo. O tempo de resposta do sistema de
segurana, Tr, 20 + 15 + 95 = 130 ms. O tempo de parada da mquina, Ts+Tc,
170 ms. Um monitor de frenagem no usado. O valor de Dpf de 1 polegada
e o valor de C zero. O clculo seria como a seguir
Dpf = 3,4 (14 - 6,875) = 1 pol. (24,2 mm)
Ds = K x (Ts + Tc + Tr + Tbm) + Dpf
Ds = 63 x (0,17 + 0,13 + 0) + 1
Ds = 63 x (0,3) + 1
Ds = 18,9 + 1
Ds = 19,9 pol. (505 mm)

C = 8 (14-14) = 0

S=KxT+C
S = 1600 x (0,3) + 0
S = 480 mm (18,9 pol.)

Portanto, a distncia de segurana mnima em que a cortina de luz de segurana


deve ser montada do perigo de 20 polegadas ou 508 mm, para uma mquina a
ser usada em qualquer lugar no mundo.

62

SAFEBOOK 4

Preveno de energizao inesperada


Preveno de energizao inesperada

A preveno de energizao inesperada abordada por vrios padres. Exemplos


incluem ISO14118, EN1037, ISO12100, OSHA 1910.147, ANSI Z244-1, CSA Z46005 e AS 4024.1603. Esses padres tm um tema em comum: o mtodo primrio de
preveno de energizao inesperada remover a energia do sistema e travar o
sistema no estado desligado. A finalidade permitir que as pessoas entrem com
segurana em reas de perigo da mquina.
Trava / Etiqueta

Novas mquinas devem ser construdas com dispositivos de isolamento de energia


travveis. Os dispositivos se aplicam a todos os tipos de energia, incluindo eltrica,
hidrulica, pneumtica, gravidade e lasers. Travamento refere-se aplicao de uma
trava em um dispositivo de isolamento de energia. A trava somente deve ser removida
por seu proprietrio ou por um supervisor sob condies controladas. Quando for
necessrio que vrios indivduos trabalhem na mquina, cada um deve aplicar suas
travas aos dispositivos de isolamento de energia. Cada trava deve ser identificvel
pelo seu proprietrio.
Nos EUA, a etiquetagem uma alternativa ao travamento para mquinas mais
antigas, onde um dispositivo de travamento nunca foi instalado. Nesse caso,
a mquina desligada e uma etiqueta aplicada para avisar ao pessoal que
no devem acionar a mquina enquanto o porta-etiquetas estiver na mquina.
Com incio em 1990, as mquinas que eram modificadas deviam ser atualizadas
para incluir um dispositivo de isolamento de energia travvel.
Um dispositivo de isolamento de energia um dispositivo mecnico que evita
fisicamente a transmisso ou liberao de energia. Esses dispositivos podem
assumir a forma de um disjuntor, uma chave seccionadora, uma chave operada
manualmente, uma combinao de plugue/soquete ou uma vlvula operada
manualmente. Dispositivos de isolamento eltrico devem comutar todos os
condutores de alimentao no aterrados e nenhum polo poder operar de
forma independente.

A finalidade da trava e etiqueta evitar o acionamento inesperado da mquina.


Um acionamento inesperado pode ser o resultado de vrias causas: uma falha
do sistema de controle; uma ao inapropriada em um controle de acionamento,
sensor, contator ou vlvula; uma restaurao de alimentao aps interrupo;
ou outro tipo de influncia interna ou externa. Aps a concluso do processo de
travamento ou etiquetagem, a dissipao da energia deve ser verificada.

63

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Sistemas de isolamento de segurana

Sistemas de isolamento de segurana executam um desligamento ordenado de uma


mquina e tambm oferecem um mtodo simples de bloquear a alimentao para
uma mquina. Essa abordagem funciona bem para mquinas maiores e sistemas
de fabricao, especialmente quando mltiplas fontes de energia so localizadas
em um nvel de mezanino ou em locais distantes.
Desconexes de carga

Para o isolamento local de dispositivos eltricos, chaves podem ser colocadas antes
do dispositivo que precisa ser isolado e bloqueado. As chaves de carga do cd. cat.
194E so um exemplo de produto capaz de realizar o isolamento e o bloqueio.
Sistemas de chave com segredo

Sistemas de chave com segredo so outro mtodo para a implementao de


um sistema de bloqueio. Vrios sistemas de chave com segredo iniciam com um
dispositivo isolador de energia. Quando a chave desligada pela chave primria,
a energia eltrica para a mquina removida de todos os condutores de alimentao
no aterrados de forma simultnea. A chave primria pode, ento, ser removida
e levada a um local onde o acesso mquina necessrio. Vrios componentes
podem ser adicionados para acomodar arranjos de travamento mais complexos.
Medidas alternativas ao travamento

A trava e a etiqueta devem ser usadas durante a realizao de manutenes nas


mquinas. Intervenes na mquina durante operaes de produo normais
so abrangidas pela segurana. A diferena entre manutenes e operaes
normais de produo nem sempre clara.

Alguns ajustes secundrios e tarefas de manuteno, que ocorrem durante operaes


normais de produo, no tm necessidade de travamento da mquina. Os exemplos
incluem o carregamento e descarregamento de materiais, mudanas e ajustes
secundrios de ferramentas, nveis de lubrificao de manutenes e remoo
de refugos. Essas tarefas devem ser rotineiras, repetitivas e integrais para uso
do equipamento para produo e o trabalho realizado utilizando medidas
alternativas, como a segurana, que proporcionam proteo efetiva. A segurana
inclui dispositivos como protees de intertravamento, cortinas de luz e tapetes de
segurana. Usados com dispositivos apropriados lgicos e de sada classificados
como de segurana, os operadores podem acessar zonas de perigo da mquina
com segurana durante tarefas normais de produo e manutenes secundrias.

64

SAFEBOOK 4

Sistemas de controle relacionados


segurana e segurana funcional
Sistemas de controle relacionados segurana
Introduo

O que um sistema de controle relacionado segurana (em geral abreviado como


SRCS)? parte do sistema de controle de uma mquina que evita a ocorrncia de
condies perigosas. Ele pode ser um sistema dedicado separado ou pode ser
integrado ao sistema de controle normal da mquina.
Sua complexidade variar de um sistema simples, como chave de intertravamento
de porta de proteo conectado em srie para a bobina de controle do contator de
potncia, para um sistema composto envolvendo dispositivos simples e complexos
comunicando por meio de software e hardware.
Sistemas de controle relacionados so projetados para desempenhar funes de
segurana. O SRCS deve continuar a operar corretamente em todas as condies
previsveis. Ento, o que uma funo de segurana? Como projetamos um sistema
para conseguir isso? E quando conseguirmos isso, como demonstramos?
Funo de segurana

Uma funo de segurana implementada pelas peas relacionadas segurana


do sistema de controle da mquina para alcanar ou manter o equipamento sob
controle em um estado seguro com relao a um perigo especfico. Uma falha da
funo de segurana pode resultar em um aumento imediato dos riscos de usar
o equipamento, ou seja, uma condio perigosa.

Uma mquina deve ter no mnimo um perigo, caso contrrio, no uma mquina.
Uma condio perigosa quando uma pessoa exposta a um perigo. Uma condio
perigosa no significa que a pessoa ser ferida. A pessoa exposta pode ser capaz
de reconhecer o perigo e evitar ferimentos. A pessoa exposta pode no ser capaz
de reconhecer o perigo ou o perigo pode ser iniciado por uma ativao inesperada.
A tarefa principal do projetista do sistema de segurana evitar condies perigosas
e evitar a ativao inesperada.
A funo de segurana pode, em geral, ser descrita com exigncias de mltiplas
peas. Por exemplo, a funo de segurana iniciada por uma proteo de
intertravamento tem trs peas:

1. as funes perigosas protegidas pela proteo no conseguem operar at que


a proteo esteja fechada;
2. a abertura da proteo far com que a funo perigosa seja interrompida caso
esteja operando no momento da abertura; e

3. o fechamento da proteo no reinicia a funo perigosa protegida pela proteo.

65

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Quando iniciar a funo de segurana para uma aplicao especfica, a palavra
perigo dever ser substituda pelo perigo especfico. O perigo no deve ser
confundido com os resultados do perigo. Esmagamento, cortes e queimaduras
so resultados de um perigo. Um exemplo de perigo um motor, bate-estacas,
faca, tocha, bomba, laser, rob, atuador duplo, solenoide, vlvula, outro tipo de
atuador ou um perigo mecnico que envolve gravidade.

Na discusso de sistemas de segurana, a frase em ou antes que uma demanda


seja colocada na funo de segurana usada. O que uma demanda na funo
de segurana? Exemplos de demandas colocadas na funo de segurana so a
abertura de uma proteo intertravada, o rompimento de uma cortina de luz, pisar
sobre um tapete de segurana ou pressionar um boto de parada de emergncia.
Um operador est solicitando que o perigo pare ou permanea desenergizado caso
j tenha sido interrompido.
As peas relacionadas segurana do sistema de controle da mquina executam
a funo de segurana. A funo de segurana no executada por um nico
dispositivo, por exemplo, apenas pela proteo. O intertravamento na proteo
envia um comando a um dispositivo lgico, que por sua vez, desativa um atuador.
A funo de segurana inicia com o comando e termina com a implementao.

O sistema de segurana deve ser atribudo com um nvel de integridade proporcional


aos riscos da mquina. Altos riscos exigem maiores nveis de integridade para
assegurar o desempenho da funo de segurana. Sistemas de segurana de
mquina podem ser classificados em nveis de desempenho da sua capacidade
de assegurar o desempenho da sua funo de segurana ou, em outras palavras,
seu nvel de integridade de segurana funcional.

Segurana funcional de sistemas de controle

Importante: Os padres e exigncias considerados nessa seo so relativamente


novos. Trabalhos ainda esto sendo realizados pelos grupos de projeto em alguns
aspectos, especialmente com relao a esclarecimento e combinao de alguns
desses padres. Portanto, possvel que ocorram algumas mudanas em alguns
dos detalhes fornecidos nessas pginas. Para a informao mais recente, consulte:
http://www.ab.com/safety.
O que segurana funcional?

Segurana funcional a parte da segurana geral que depende do funcionamento


correto do processo ou equipamento em resposta s suas entradas. O IEC TR
61508-0 oferece o seguinte exemplo para ajudar a esclarecer o significado de
segurana funcional. Por exemplo, um dispositivo de proteo contra excesso
de temperatura, usando um sensor trmico nos enrolamentos de um motor eltrico

66

SAFEBOOK 4

Sistemas de controle relacionados


segurana e segurana funcional
para desenergizar o motor antes de superaquecer, um elemento de segurana
funcional. No entanto, fornecer isolamento especializado para suportar altas
temperaturas no um elemento de segurana funcional (embora ainda seja
um elemento de segurana e possa proteger exatamente contra o mesmo perigo).
Como outro exemplo, compare uma proteo rgida a uma proteo de intertravamento.
A proteo rgida no considerada segurana funcional, embora seja capaz de
proteger contra acesso ao mesmo perigo protegido pela porta intertravada. A porta
intertravada um elemento de segurana funcional. Quando a proteo aberta,
a intertrava serve como entrada para um sistema que alcana um estado seguro.
Igualmente, equipamentos de proteo individual (EPI) so usados como medida
de proteo para ajudar a aumentar a segurana do pessoal. EPI no considerado
segurana funcional.

Segurana funcional foi um termo introduzido no IEC 61508:1998. Desde ento,


o termo ocasionalmente associado apenas a sistemas de segurana programveis.
Isso um conceito equivocado. A segurana funcional abrange uma ampla gama
de dispositivos usados para criar sistemas de segurana. Dispositivos como intertravas,
cortinas de luz, rels de segurana, CLPs de segurana, contatores de segurana
e inversores de segurana so interconectados para formar um sistema de segurana,
que realiza uma funo especfica relacionada segurana. Isso segurana funcional.
No entanto, a segurana funcional de um sistema de controle eltrico altamente
relevante para o controle de perigos que surgem de peas mveis de mquinas.
Dois tipos de exigncias so necessrias para alcanar segurana funcional:

a funo de segurana e
a integridade de segurana.

A avaliao de riscos desempenha um papel fundamental no desenvolvimento de


exigncias de segurana funcional. A anlise de tarefas e perigos leva s exigncias
de funo para segurana (ou seja, a funo de segurana). A quantificao de
riscos produz exigncias de integridade de segurana (ou seja, a integridade de
segurana ou nvel de desempenho).
Quatro dos principais padres de segurana funcional de sistemas de controles
para mquinas so:

1. IEC/EN 61508 Segurana funcional de segurana relacionada a sistemas


de controle eltricos, eletrnicos e eletrnicos programveis
Esse padro contm as exigncias e disposies aplicveis ao projeto de
sistemas e subsistemas complexos eletrnicos e programveis. O padro
genrico, ento no restrito ao setor de mquinas.

67

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
2. IEC/EN 62061 Segurana de mquinas - Segurana funcional de sistemas
de controle eltricos, eletrnicos e eletrnicos programveis

Esse padro a implementao especfica de mquinas de IEC/EN 61508. Ele


fornece exigncias aplicveis ao projeto de nvel de sistema de todos os
tipos de sistemas de controle eltrico relacionados s maquinas e tambm
para o projeto de subsistemas ou dispositivos no complexos. Ele exige que
subsistemas complexos ou programveis satisfaam o IEC/EN 61508.

3. EN ISO 13849-1:2008 Segurana de mquina Peas relacionadas


segurana de sistemas de controle

Esse padro tem o propsito de oferecer um caminho de transio direta


das categorias do EN 954-1 anterior.

4. IEC 61511 Segurana funcional Sistemas instrumentados de segurana


para o setor industrial de processamento
Esse padro a implementao especfica do setor de processamento
do IEC/EN 61508.

Os padres de segurana funcional representam uma etapa significativa alm das


exigncias familiares existentes, como controle confivel e sistema de categorias
do ISO 13849-1:1999 (EN 954-1:1996) anterior.

As categorias no desaparecero completamente; elas tambm so usadas no


EN ISO 13849-1 atual, que usa o conceito de segurana funcional e introduziu
nova terminologia e exigncias. Tem adies e diferenas significativas em relao
ao antigo EN 954-1 (ISO 13849-1:1999). Nessa seo nos referiremos verso
atual como EN ISO 13849-1. (EN ISO 13849-1:2008 tem o mesmo texto do ISO
13849-1:2006).
IEC/EN 62061 e EN ISO 13849-1:2008

IEC/EN 62061 e EN ISO 13849-1, ambos abrangem sistemas de controle eltrico


relacionados segurana. Pretende-se que no final das contas eles sejam combinados
em um padro com terminologia comum. Ambos os padres produzem os mesmos
resultados, porm, usam mtodos diferentes. Eles pretendem proporcionar aos usurios
uma opo para escolher a mais adequada para sua situao. Um usurio pode
escolher usar qualquer um dos padres e ambos so harmonizados sob a Diretiva
Europeia sobre Mquinas.
Os produtos de ambos os padres so nveis comparveis de desempenho
ou integridade de segurana. As metodologias de cada padro tm diferenas
apropriadas para seu pblico-alvo.

68

SAFEBOOK 4

Sistemas de controle relacionados


segurana e segurana funcional
A metodologia em IEC/EN 62061 tem o propsito de permitir funcionalidades de
segurana mais complexas, que podem ser implementadas por arquiteturas de
sistema anteriormente no convencionais. A metodologia do EN ISO 13849-1
tem o propsito de proporcionar uma rota mais direta e menos complicada para
funcionalidades de segurana mais convencionais implementadas por arquiteturas
de sistema convencionais.
Uma diferena importante entre esses dois padres a aplicabilidade a vrias
tecnologias. O IEC/EN 62061 limitado a sistemas eltricos. O EN ISO 13849-1
pode ser aplicado a sistemas pneumticos, hidrulicos, mecnicos e eltricos.
Relatrio tcnico conjunto sobre o IEC/EN 62061 e ENISO 13849-1

Um relatrio conjunto foi preparado dentro do IEC e ISO para ajudar os usurios
de ambos os padres.

Ele explica o relacionamento entre os dois padres e explica como a equivalncia


pode ser obtida entre PL (Nvel de Desempenho) do EN ISO 13849-1 e SIL (Nvel de
Integridade de Segurana) do IEC.EN 62061, ambos no nvel de sistema e subsistema.
Para demonstrar que ambos os padres fornecem resultados equivalentes,
o relatrio exibe um sistema de segurana como exemplo, calculado de acordo
com as metodologias de ambos os padres. O relatrio tambm esclarece uma
diversidade de problemas sujeitos a diferentes interpretaes. Talvez um dos
problemas mais significativos seja o aspecto de excluso de falha.

Em geral, quando PLe se faz necessrio para a funo de segurana ser implementada
por um sistema de controle de segurana, no normal depender somente de
excluses de falhas para atingir esse nvel de desempenho. Isso depende da tecnologia
usada e do ambiente operacional pretendido. Portanto, essencial que o projetista
tome cuidado adicional com o uso de excluses de falhas medida que a exigncia
de PL aumenta.

Em geral, o uso de excluses de falhas no aplicvel a aspectos mecnicos da chaves


de posio eletromecnicas e chaves operadas manualmente (por ex.: um dispositivo
de parada de emergncia) para alcanar PLe no projeto de um sistema de controle
relacionado segurana. Essas excluses de falha que podem ser aplicadas
a condies especficas de falha mecnica (por ex.: desgaste/corroso, fratura)
so descritas na Tabela A.4 do ISO 13849-2.
Por exemplo, um sistema de intertravamento de porta que deve alcanar PLe precisar
incorporar uma tolerncia mnima a falhas de 1 (por ex.: duas chaves de posio
mecnicas convencionais) para alcanar esse nvel de desempenho desde que no
seja normalmente justificvel excluir falhas como atuadores de chave danificados.
No entanto, pode ser aceitvel excluir falhas, como curto-circuito de fiao dentro
de um painel de controle designado de acordo com os padres relevantes.

69

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
SIL e IEC/EN 62061

O IEC/EN 62061 descreve a quantidade de risco a ser reduzido e a capacidade de


um sistema de controle de reduzir esse risco em termos de SIL (Nvel de Integridade
de Segurana). H trs SILs usados no setor de mquinas, o SIL 1 o menor e o
SIL 3 o maior.

Como o termo SIL aplicado do mesmo modo em outros setores industriais, como
o petroqumico, gerao de energia e ferrovias, o IEC/EN 62061 bastante til quando
a mquina usada nesses setores. Riscos de maior magnitude podem ocorrer em
outros setores, como a indstria de processamento e, por esse motivo, o IEC 61508
e o padro especfico do setor de processamento IEC 61511 incluem SIL 4.
Um SIL aplica-se a uma funo de segurana. Os subsistemas que formam o sistema
que implementa a funo de segurana deve ter um recurso de SIL apropriado.
Isso ocasionalmente chamado de Limite de Reivindicao de SIL (SIL CL).
Um estudo detalhado e completo do IEC/EN 62061 necessrio antes de ser
possvel aplic-lo corretamente.
PL e EN ISO 13849-1:2008

O EN ISO 13849-1:2008 no usar o termo SIL; em vez disso, usar o termo PL


(Nvel de Desempenho). Em vrios aspectos o PL pode ser relacionado ao SIL.
H cinco nveis de desempenho, PLa o menor e PLe o maior.
Comparao de PL e SIL

Essa tabela exibe o relacionamento aproximado entre PL e SIL quando aplicados


a estruturas tpicas de circuito.
PFHD

PL
(Nvel de
desempenho)

(Probabilidade de falhas
perigosas por hora)

SIL
(Nvel de integridade
de segurana)

3 x 106 a <105

a
c

d
e

105 a <104

106 a <3 x 106


10 a <10
7

108 a <107

Correspondncia aproximada entre PL e SIL

Nenhum
1
2
3

IMPORTANTE: A tabela exibida acima apenas para orientao geral e NO


deve ser usada para fins de converso. As exigncias completas dos padres
devem ser referenciadas.

70

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
Projeto de sistema de acordo com o EN ISO 13849 e SISTEMA
Um estudo completo e detalhado do EN ISO 13849-1:2008 necessrio antes
de poder ser aplicado corretamente. O seguinte uma breve viso geral:

Esse padro oferece as exigncias para o projeto e integrao de peas relacionadas


segurana de sistemas de controle, incluindo alguns aspectos de software. O padro
se aplica a um sistema relacionado segurana, porm tambm pode ser aplicado
s peas de componentes do sistema.
Software SISTEMA, Ferramenta de clculo de PL

SISTEMA uma ferramenta de software para a implementao do EN ISO 13849-1.


Seu uso simplificar consideravelmente a implementao do padro.

SISTEMA significa "Safety Integrity Software Tool for the Evaluation of Machine
Applications" (Ferramenta de Software de Integridade de Seguranca para a Avaliao
de Aplicaes de Mquinas). Foi desenvolvido pela BGIA, na Alemanha, e seu uso
gratuito. Ele necessita da entrada de vrios tipos de dados de segurana funcional,
como descrito adiante nesta seo.
Os dados podem ser inseridos manualmente ou automaticamente utilizando uma
Biblioteca de dados SISTEMA do fabricante.
A Biblioteca de dados SISTEMA da Rockwell Automation est disponvel para
fazer download, juntamente com um link para o site de download do SISTEMA,
em: www.discoverrockwellautomation.com/safety
Viso geral do EN ISO 13849-1

Esse padro tem ampla aplicabilidade, pois aplicvel a todas as tecnologias,


incluindo eltrica, hidrulica, pneumtica e mecnica. Embora o ISO 13849-1
seja aplicvel a sistemas complexos, ele tambm encaminha o leitor ao IEC 62061
e IEC 61508 para sistemas embutidos de software complexos.
Vamos dar uma olhada nas diferenas bsicas entre o antigo EN 954-1 e o novo
EN ISO 13849-1. As sadas do padro antigo eram Categorias [B, 1, 2, 3 ou 4].
As sadas do novo padro so Nveis de Desempenho [PL a, b, c, d ou e]. O conceito
de categoria mantido, porm, h exigncias adicionais a serem satisfeitas antes
que um PL possa ser reivindicado para um sistema.

71

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
As exigncias podem ser listadas em formulrio bsico, como a seguir:

A arquitetura do sistema. Essencialmente, isso captura o que usamos


como categorias.
Dados de confiabilidade so necessrios para as partes constituintes
do sistema.

A Cobertura de Diagnstico [DC] do sistema necessria. Isso efetivamente


representa a quantidade de monitorao de falha no sistema.
Proteo contra falha de causa comum.
Proteo contra falhas sistemticas.

Onde relevante, exigncias especficas para software.

Mais tarde, ns examinaremos esses fatores de forma detalhada, porm, antes


de fazermos isso, ser importante considerar o propsito bsico e o princpio do
todo o padro. evidente nesse estgio que h novas coisas a aprender, no entanto,
os detalhes faro mais sentido aps entendermos o que atingir e por qu.

Em primeiro lugar, por que precisamos do novo padro? bvio que a tecnologia
usada nos sistemas de segurana de mquinas evoluiu e mudou consideravelmente
ao longo dos ltimos dez anos. At recentemente, sistemas de segurana
dependiam de equipamentos simples com modos de falha bastante previsveis.
Mais recentemente, observamos um crescente uso de dispositivos eletrnicos
e programveis mais complexos em sistemas de segurana. Isso nos proporcionou
vantagens em termos de custo, flexibilidade e compatibilidade, porm, tambm
significou que os padres pr-existentes no sejam mais adequados. Para saber
se um sistema de segurana bom o suficiente, precisamos saber mais sobre ele.
por isso que o novo padro solicita mais informaes. medida que os sistemas
de segurana comeam a usar uma abordagem mais semelhante a uma caixa preta
ns comeamos a depender mais de sua conformidade com os padres. Portanto,
esses padres devem ser capazes de questionar adequadamente a tecnologia.
Para cumprir essa tarefa, eles devem abordar os fatores bsicos de confiabilidade,
deteco de falhas, integridade arquitetnica e sistemtica. Essa a inteno do
EN ISO 13849-1.
Para delinear um curso lgico atravs do padro, dois tipos de usurios
fundamentalmente diferentes devem ser considerados: o projetista de subsistemas
relacionados segurana e os projetistas de sistemas relacionados segurana.
Em geral, o projetista de subsistemas [tipicamente um fabricante de componentes
de segurana] estar sujeito a um nvel mais elevado de complexidade. Eles precisaro
fornecer os dados exigidos para que o projetista do sistema seja capaz de assegurar
que o subsistema tem integridade adequada para o sistema. Isso geralmente exigir

72

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
a realizao de testes, anlises e clculos. Os resultados sero expressos na forma
de dados exigidos pelo padro.
O projetista do sistema [tipicamente um projetista de mquinas ou integrador] usar
os dados do subsistema para realizar clculos relativamente simples para determinar
o Nvel de Desempenho [PL] geral do sistema.
O PLr usado para identificar o nvel de desempenho exigido pela funo de
segurana. Para determinar o PLr, o padro fornece um grfico de risco no qual
os fatores de aplicao de gravidade de acidente, frequncia de exposio
e possibilidade de evit-los so inseridos.
P1

P2
P1

P2
P1

P2
P1

F1
S1

Categorias
B 1

F2
Iniciar

P1
F1

F1
S2

Grfico de risco do Anexo A do EN ISO 13849-1

P2
P1

S2

F2
P2

2 3 4

S1

F2
P2

Grfico de risco do Anexo B do EN ISO 945-1

A sada o PLr. Usurios do antigo EN 954-1 estaro familiarizados com essa


abordagem, porm, observe que a linha S1 agora subdividida, enquanto o antigo
grfico de risco no era. Observe que isso significa uma possvel reconsiderao
das medidas de integridade de segurana exigida em nveis de risco menores.
No entanto, h uma parte muito importante ainda a ser abordada. Agora sabemos
do padro em que medida o sistema deve ser bom e tambm como determinar em
que medida bom, mas no sabemos o que precisa fazer. Ns precisamos decidir
o que a funo de segurana. Claramente a funo de segurana deve ser
apropriada para a tarefa, ento como garantir isso? Como o padro nos ajuda?
importante perceber que a funcionalidade necessria somente pode ser determinada
ao considerar as caractersticas predominantes na aplicao real. Isso pode ser
considerado como a etapa de projeto do conceito de segurana. No pode ser
completamente abrangido pelo padro, pois o padro no conhece todas as
caractersticas da aplicao especfica. Em geral, isso tambm aplicvel ao
fabricante de mquinas que produz a mquina, mas nem sempre conhece as
condies exatas sob as quais ela ser usada.

73

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
O padro fornece ajuda ao listar vrias das funes de segurana comumente usadas
(por ex.: funo de parada relacionada segurana iniciada pela proteo,
funo de silenciamento, funo iniciar/reiniciar) e ao oferecer algumas exigncias
normalmente associadas. Outros padres, como o EN ISO 12100: Princpios bsicos
de projeto e EN ISO 14121: O uso de avaliaes de riscos so extremamente
recomendados nesse estgio. Alm disso, h uma ampla gama de padres especficos
de mquina que fornecero solues para mquinas especficas. Dentro dos padres
da EN Europeia, eles so chamados padres tipo C, alguns deles tm equivalentes
exatos em padres ISO.

Ento, agora possvel ver que a etapa de projeto de conceito de segurana depende
do tipo de mquina e tambm das caractersticas da aplicao no meio ambiente
no qual ser usada. O fabricante de mquinas deve antecipar esses fatores para
conseguir projetar o conceito de segurana. As condies de uso pretendidas
[ou seja, antecipadas] devem ser fornecidas no manual do usurio. O usurio
da mquina precisa verificar se elas correspondem s condies de uso atuais.

Ento agora ns temos uma descrio da funcionalidade de segurana. No anexo A


do padro, tambm solicitamos nvel de desempenho [PLr] para peas relacionadas
segurana do sistema de controle [SRP/CS] que ser usado para implementar essa
funcionalidade. Agora precisamos projetar o sistema e assegurar que cumpra com o PLr.
Um dos fatores significativos na deciso sobre qual padro utilizar [EN ISO 13849-1
ou EN/IEC 62061] a complexidade da funo de segurana. Na maioria dos casos,
para mquinas, a funo de segurana ser relativamente simples e o EN ISO
13849-1 ser a rota mais adequada. Dados confiveis, cobertura de diagnstico
[DC], a arquitetura do sistema [Categoria], falha de causa comum e, onde relevante,
exigncias para software so usadas para avaliar o PL.
Isso uma descrio simplificada, com o propsito de oferecer apenas uma viso
geral. importante entender que todas as disposies fornecidas no corpo do padro
devem ser aplicadas. No entanto, a ajuda est disposio. A ferramenta de software
SISTEMA est disponvel para ajudar com a documentao e aspectos de clculo.
Ela tambm produz um arquivo tcnico.

No momento de imprimir essa publicao, o SISTEMA est disponvel em alemo


e ingls. Outros idiomas sero lanados em breve. A BGIA, desenvolvedora do
SISTEMA, uma instituio de pesquisa e testes com grande reputao sediada
na Alemanha. Est particularmente envolvida na soluo de problemas cientficos
e tcnicos relacionados segurana no contexto de seguro e preveno estatutria
de acidentes na Alemanha. Ela trabalha em cooperao com agncias de sade
e segurana ocupacional de mais de 20 pases. Especialistas da BGIA,
juntamente com seus colegas da BG tiveram participao significativa
na elaborao do EN ISO 13849-1 e IEC/EN 62061.

74

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
A biblioteca de dados de componentes de segurana da Rockwell Automation
para uso com o SISTEMA est disponvel em:
www.discoverrockwellautomation.com/safety

Qualquer que seja o mtodo de clculo do PL, importante iniciar a partir da base
correta. Precisamos visualizar nosso sistema da mesma maneira que o padro,
ento vamos comear os procedimentos.
Estrutura do sistema

Qualquer sistema pode ser dividido em componentes de sistema bsicos ou


subsistemas. Cada subsistema tem sua prpria funo discreta. A maioria dos
sistemas pode ser dividido em trs funes bsicas; entrada, soluo de lgica
e atuao [alguns sistemas simples podem no ter soluo de lgica]. Os grupos
de componentes que implementam essas funes so os subsistemas.

Subsistema
de entrada

Subsistema
de lgica

Subsistema
de sada

Qualquer sistema pode ser dividido em componentes de sistema bsicos ou


subsistemas. Cada subsistema tem sua prpria funo discreta. A maioria dos
sistemas pode ser dividido em trs funes bsicas; entrada, soluo de lgica
e atuao [alguns sistemas simples podem no ter soluo de lgica]. Os grupos
de componentes que implementam essas funes so os subsistemas.
Subsistema
de entrada

Chave fim de curso

Subsistema
de sada

Contator de segurana

Chave de intertravamento e contator de segurana

Um nico exemplo de sistema eltrico de canal nico demonstrado acima.


Ele engloba apenas subsistemas de entrada e sada.

75

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Subsistema
de entrada

Chave fim de curso

Subsistema
de sada

Subsistema
de lgica

SmartGuard 600

Sada
para
outros
sistemas

Chave de intertravamento, controlador de segurana e contator de segurana

Contator de segurana

O sistema um pouco mais complexo, pois alguma lgica tambm necessria.


O prprio controlador de segurana ser tolerante a falhas (por ex.: canal duplo)
internamente, porm, o sistema geral ainda limitado a status de canal nico devido
chave fim de curso nica e ao contator nico.
Subsistema
de entrada

Chave fim de curso

Subsistema
de lgica

SmartGuard 600

Sistema de segurana de canal duplo

Subsistema
de sada

Contator de segurana

Considerando a arquitetura bsica do diagrama anterior, tambm h algumas


outras coisas a considerar. Em primeiro lugar, quantos canais o sistemas possui?
Um sistema de canal nico falhar caso um dos seus subsistemas falhe. Um sistema
de canal duplo [tambm chamado de redundante] precisaria ter duas falhas, uma em
cada canal antes que o sistema falhe. Como tem dois canais, poderia tolerar uma
falha nica e ainda assim continuaria funcionando. O diagrama acima exibe um
sistema de canal duplo.

76

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
Claramente, um sistema de canal duplo tem menos probabilidade de falhar para
uma condio perigosa do que um sistema de canal nico. No entanto, possvel
torn-lo ainda mais confivel [em termos de funo de segurana] se incluirmos
medidas de diagnstico para deteco de falhas. claro, aps detectar a falha,
tambm precisamos reagir a ela e colocar o sistema em um estado seguro.
O diagrama a seguir exibe a incluso de medidas de diagnstico alcanadas
por tcnicas de monitorao.
Subsistema
de entrada

Subsistema
de sada

Subsistema
de lgica
Monitorao

Monitorao
Monitorao

Chave fim de curso

SmartGuard 600

Diagnsticos com um sistema de segurana de canal duplo

Contator de segurana

Geralmente o caso [mas nem sempre] que o sistema engloba dois canais em todos
os seus subsistemas. Portanto, possvel ver que, nesse caso, cada subsistema
tem dois subcanais. O padro descreve-os como blocos. Um subsistema de
canal duplo ter um mnimo de dois blocos e um subsistema de canal nico ter
no mnimo um bloco. possvel que alguns sistemas englobem uma combinao
de blocos de canal duplo e canal nico.
Se desejarmos investigar o sistema de forma mais aprofundada, precisaremos
observar as peas de componentes dos blocos. A ferramenta SISTEMA usa
o termo elementos para essas peas de componentes.

77

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Subsistema
de entrada

Elemento

Subsistema
de sada

Subsistema
de lgica

Bloco
Monitorao
Vnculo

Contatos

Vnculo

Contatos

Monitorao

CANAL 2

CANAL 1

Elemento

Monitorao

Bloco

SmartGuard 600

Chave fim de curso


Elemento

Elemento

Diagnstico

Contator de segurana
Diagnstico

Sistema subdividido com diagnsticos e um sistema de segurana de canal duplo

O subsistema de chaves fim de curso exibido subdividido at seu nvel de


elemento. O subsistema do contator de sada subdividido at seu nvel de
bloco e o subsistema de lgica no subdividido de forma alguma. A funo
de monitorao para as chaves fim de curso e contatores desempenhada
no controlador lgico. Portanto, as caixas representando a chave fim de curso
e os subsistemas do contator tm uma pequena sobreposio com a caixa do
subsistema lgico.

Esse princpio de subdiviso de sistema pode ser reconhecido na metodologia


fornecida no EN ISO 13849-1 e no princpio de estrutura de sistema bsico para
a ferramenta SISTEMA. No entanto, importante observar que h algumas ligeiras
diferenas. O padro no restritivo em sua metodologia, mas para o mtodo
simplificado para estimar o PL, o primeiro passo comum dividir a estrutura do
sistema em canais e os blocos dentro de cada canal. Com o SISTEMA o sistema
geralmente dividido, em primeiro lugar, em subsistemas. O padro no descreve
explicitamente um conceito de subsistema, porm, seu uso como informado no
SISTEMA proporciona uma abordagem mais compreensiva e intuitiva. claro,
no h efeito sobre o clculo final. O SISTEMA e o padro usam os mesmos
princpios e frmulas. Tambm interessante observar que a abordagem do
subsistema usada no EN/IEC 62061.

78

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
O sistema que utilizamos como exemplo apenas um dos cinco tipos bsicos de
arquiteturas de sistema que o padro designa. Qualquer pessoa familiar com o sistema
de categorias reconhecer nosso exemplo como representativo da categoria 3 ou 4.
O padro usa as categorias EN 954-1 originais como seus cinco tipos bsicos de
arquiteturas de sistema designado. Elas so chamadas categorias de arquitetura
designadas. As exigncias para as categorias so quase [mas no muito] idnticas
s informadas no EN 954-1. As categorias de arquitetura designada so representadas
pelos nmeros a seguir. importante observar que podem ser aplicadas tanto
em um sistema completo como em um subsistema. Os diagramas no devem
ser considerados puramente como estrutura fsica, sua finalidade maior de
representao grfica de exigncias conceituais.

Dispositivo
de entrada

Lgica

Dispositivo
de sada

Categoria de arquitetura designada B

A categoria B de arquitetura designada deve usar princpios bsicos de segurana


[consulte o anexo do EN ISO 13849-2]. O sistema ou subsistema pode falhar no evento
de uma falha nica. Consulte o EN ISO 13849-1 para as exigncias completas.

Dispositivo
de entrada

Lgica

Categoria de arquitetura designada 1

Dispositivo
de sada

A categoria 1 de arquitetura designada tem a mesma estrutura da categoria B


e ainda pode falhar no evento de uma falha nica. No entanto, como tambm
deve usar princpios de segurana testados vrias vezes [consulte o anexo do
EN ISO 13849-2], menos provvel do que para a categoria B. Consulte o EN
ISO 13849-1 para exigncias completas.

79

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas

Dispositivo
de entrada

Fiao

Lgica

Fiao

Dispositivo
de sada

Monitorao

Sada
do teste

Teste
Categoria de arquitetura designada 2

A categoria 2 de arquitetura designada deve usar princpios bsicos de segurana


[consulte o anexo do EN ISO 13849-2]. Tambm deve haver monitorao de
diagnstico por meio de um teste funcional do sistema ou subsistema. Isso deve
ocorrer na inicializao e, ento, periodicamente com uma frequncia que iguala
no mnimo cem testes a cada demanda na funo de segurana. O sistema ou
subsistema ainda pode falhar caso uma falha nica ocorra entre os testes funcionais,
no entanto, isso em geral menos provvel do que para a categoria 1. Consulte o
EN ISO 13849-1 para exigncias completas.

Dispositivo
de entrada

Fiao

Lgica

Fiao

Dispositivo
de sada

Monitorao
Monitorao
cruzada

Dispositivo
de entrada

Fiao

Lgica

Fiao

Dispositivo
de sada

Monitorao

Categoria de arquitetura designada 3

A categoria 3 de arquitetura designada deve usar princpios bsicos de segurana


[consulte o anexo do EN ISO 13849-2]. Tambm h uma exigncia de que o
sistema/subsistema no deva falhar no evento de uma falha nica. Isso significa
que o sistema precisa ter tolerncia falha nica com relao sua funo de
segurana. A forma mais comum de alcanar essa exigncia empregar uma
arquitetura de canal duplo, como demonstrado acima. Alm disso, tambm necessrio
que, onde praticvel, a falha nica seja detectada. Essa exigncia igual exigncia
original para a categoria 3 do EN 954-1. Nesse contexto, o sentido da expresso

80

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
onde praticvel demonstrou ser, de certo modo, problemtico. Significou que a
categoria 3 poderia abranger tudo, desde um sistema com redundncia mas sem
deteco de falha [geralmente descritivamente e apropriadamente chamado de
redundncia estpida] a um sistema redundante onde todas as falhas nicas so
detectadas. Esse problema abordado no EN ISO 13849-1 pela exigncia de estimar
a qualidade da Cobertura de Diagnstico [DC]. Podemos ver que quanto maior a
confiabilidade [MTTFd] do sistema, menos DC ser necessria. No entanto, tambm
claro que a DC precisa ser de, no mnimo, 60% para a categoria 3 de arquitetura.

Dispositivo
de entrada

Fiao

Lgica

Fiao

Dispositivo
de sada

Monitorao
Monitorao
cruzada

Dispositivo
de entrada

Fiao

Lgica

Fiao

Dispositivo
de sada

Monitorao

Categoria de arquitetura designada 4

A categoria 4 de arquitetura deve usar princpios bsicos de segurana [consulte


o anexo do EN ISO 13849-2]. Ele tem um diagrama de exigncias semelhante
categoria 3, mas precisa de maior monitorao, ou seja, maior Cobertura de
diagnstico. Isso demonstrado pelas linhas pontilhadas grossas representando
as funes de monitorao. Em essncia, a diferena entre as categorias 3 e 4
que para a categoria 3 a maioria das falhas deve ser detectada, mas para a
categoria 4 todas as falhas devem ser detectadas. A DC precisa ser de, no mnimo,
99%. Mesmo combinaes de falhas no devem causar uma falha perigosa.
Dados de confiabilidade

O EN ISO 13849-1 usa dados de confiabilidade quantitativos como parte do clculo


do PL alcanado pelas peas relacionadas segurana de um sistema de controle.
Isso um desvio significativo do EN 954-1. A primeira questo que surge com isso
de onde conseguimos esses dados? possvel usar dados de manuais com
confiabilidade reconhecida, porm, o padro esclarece que a fonte preferida a
do fabricante. Para esse propsito, a Rockwell Automation est disponibilizando
as informaes relevantes na forma de biblioteca de dados para o SISTEMA.
No devido momento, os dados tambm sero publicados em outros formulrios.
Antes de nos aprofundarmos, devemos considerar quais tipos de dados so
necessrios e tambm ter um entendimento de como so produzidos.

81

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
O tipo mais recente de dados necessrios como parte da determinao do PL
no padro [e no SISTEMA] o PFH [a probabilidade de falha perigosa por hora].
Esses dados so iguais aos representados pela abreviao PFHd usada no
IEC/EN 62061.
PFHD

PL
(Nvel de
desempenho)

(Probabilidade de falhas
perigosas por hora)

SIL
(Nvel de integridade
de segurana)

3 x 106 a <105

107 a <106

a
c

105 a <104

10 a <3 x 10
6

108 a <107

Nenhum
1
2
3

A tabela acima exibe o relacionamento entre PFH, PL e SIL. Para alguns subsistemas,
o PFH pode estar disponvel de fbrica. Isso facilita a realizao dos clculos.
O fabricante geralmente precisar realizar alguns clculos relativamente complexos
e/ou testes em seu subsistema para fornec-lo. Caso no esteja disponvel,
o EN ISO13849-1 oferecer uma abordagem de alternativa simplificada baseada
no MTTFd [tempo mdio para uma falha perigosa] mdio de um canal nico. O PL
[e portanto, o PFH] de um sistema ou subsistema pode ser calculado utilizando
a metodologia e frmulas no padro. Isso pode ser feito de forma ainda mais
conveniente usando o SISTEMA.
OBSERVAO: importante entender que, para um sistema de canal duplo (com
ou sem diagnstico), no correto usar 1/PFHD para determinar o MTTFd necessrio
pelo EN ISO 13849-1. O padro requer o MTTFd de canal nico. Isso um valor
muito diferente para o MTTFd da combinao de ambos os canais de um subsistema
duplo. Caso a PFHD de um sistema de canal duplo seja conhecida, ela pode ser
inserida diretamente no SISTEMA.
MTTFd de canal nico

Isso representa o tempo mdio antes da ocorrncia de uma falha que poderia causar
uma falha da funo de segurana. expresso em anos. um valor mdio dos
MTTFds dos blocos de cada canal e pode ser aplicado a um sistema ou subsistema.
O padro oferece a seguinte frmula, que usada para calcular a mdia de todos
os MTTFds de cada elemento usado em um nico canal ou subsistema.

82

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
Nesse estgio, o valor do SISTEMA torna-se aparente. Os usurios economizam
tempo ao no precisar consultar tabelas e clculos de frmulas, pois essas tarefas
so realizadas pelo software. Os resultados finais podem ser impressos em forma
de relatrio com vrias pginas.

(Frmula D1 do ENISO 13849-1)


1
1
nj
=
=
MTTFd
MTTFdi j=1 MTTFdj
i=1

Na maioria dos sistemas de canal duplo, ambos os canais so idnticos, portanto,


o resultado das frmulas representa cada um dos canais.
Caso os canais do sistema/subsistema sejam diferentes, o padro fornecer uma
frmula para atender a essa situao.

MTTFd =

2
MTTFdC1 +MTTFdC2
3

1
1
1
+
MTTFdC1 MTTFdC2

Isso, na verdade, realiza a mdia das duas mdias. Para simplificar, tambm possvel
usar o pior valor de canal de caso.
O padro agrupa o MTTFd nas trs faixas, como a seguir:Denotao de MTTFd
de cada canal

Faixa de MTTFd de cada canal

Mdio

10 anos <= MTTFd < 30 anos

Baixo
Alto

Nveis de MTTFd

3 anos <= MTTFd < 10 anos

30 anos <= MTTFd < 100 anos

Observe que o EN ISO 13849-1 limita o MTTFd utilizvel de um canal nico de


um subsistema a um mximo de 100 anos, mesmo que os valores reais derivados
sejam muito maiores.

Como veremos adiante, a faixa alcanada da mdia do MTTFd , ento, combinada


categoria de arquitetura designada e a cobertura de diagnstico [DC] para fornecer
uma classificao de PL preliminar. O termo preliminar usado aqui, pois outras
exigncias incluindo integridade sistemtica e medidas contra falha de causa
comum ainda devem ser atendidas quando for relevante.

83

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Mtodos de determinao de dados

Agora precisamos nos aprofundar em um estgio para verificar como um fabricante


determina os dados, seja na forma de PFHd ou de MTTFd. Um entendimento disso
essencial quando lidamos com dados de fabricantes. Os componentes podem ser
agrupados em trs tipos bsicos:
Mecanstico (Eletromecnico, mecnico, pneumtico, hidrulico etc.)
Eletrnico (ou seja, estado slido)
Software

H uma diferena fundamental entre mecanismos de falha comum desses trs tipos
de tecnologia. Na forma bsica possvel ser resumido como a seguir:Tecnologia mecnica:

A falha proporcional confiabilidade inerente e taxa de uso. Quanto maior a


taxa de uso, mais provvel que uma das peas de componente seja degradada
e falhe. Observe que isso no a nica causa de falhas, no entanto, a menos
que limitemos o tempo/ciclos de operao, ser a predominante. auto-evidente
que um contator que tem ciclo em comutao de uma vez a cada dez segundos
operar de forma confivel por um perodo muito mais curto do que um contator
idntico que opera um por dia. Dispositivos de tecnologia fsica geralmente
englobam componentes individualmente projetados para seu uso especfico.
Os componentes so formados, moldados, fundidos, usinados etc. Eles so
combinados com ligaes, molas, ims, enrolamentos eltricos etc. para formar
um mecanismo. Como as peas de componente em geral no tm qualquer
histrico de uso em outras aplicaes, no possvel encontrar qualquer dado
de confiabilidade pr-existente para elas. A estimativa da PFHD ou o MTTFd para
o mecanismo normalmente baseada em testes. Ambos EN/IEC 62061 e EN
ISO 13849-1 defendem um processo de teste conhecido como B10d Testing.
No teste B10d, uma variedade de amostras de dispositivos [em geral, pelo menos
dez] so testados sob condies adequadamente representativas. O nmero
mdio de ciclos operacionais alcanado antes de 10% das amostras que
falha para a condio perigosa conhecido como o valor B10d. Na prtica,
geralmente o caso em que todas as amostras falharo para um estado
seguro, mas nesse caso o padro afirma que o valor B10d [perigoso] pode
ser considerado como o dobro do valor B10 [seguro].

84

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
Tecnologia eletrnica:

No h desgaste fsico relacionado s partes mveis. Considerando que um


ambiente operacional corresponde s caractersticas eltricas e de temperatura
especificadas [etc], a falha predominante de um circuito eletrnico proporcional
confiabilidade inerente de seus componentes [ou falta deles]. H vrios motivos
para a falha de um componente individual; imperfeies introduzidas durante a
fabricao, quedas de energia excessivas, problemas de conexo mecnica etc.
Em geral, falhas em componentes eletrnicos so difceis de prever por anlise
e parecem ser aleatrias por natureza. Portanto, a realizao de testes de um
dispositivo eletrnico em condies de laboratrio de teste no revelar
necessariamente padres de falha em longo prazo.

Para determinar a confiabilidade de dispositivos eletrnicos, comum usar


anlises e clculos. possvel encontrar bons dados para componentes
individuais em manuais de dados confiveis. possvel usar anlises para
determinar quais modos de falha de componente so perigosos. aceitvel
e comum fazer a mdia dos modos de falha de componente como 50% seguros
e 50% perigosos. Isso normalmente resulta em dados relativamente conservadores.
O IEC 61508 oferece frmulas que podem ser usadas para calcular a
probabilidade geral de falhas perigosas [PFH ou PFD] do dispositivo,
ou seja, o subsistema. As frmulas so bastante complexas e consideram
[onde aplicvel] a confiabilidade do componente, potencial para falha de causa
comum [fator beta], cobertura de diagnstico [DC], intervalo de teste funcional
e intervalo de teste de prova. A boa notcia que esse clculo complexo
normalmente ser feito pelo fabricante do dispositivo. Ambos EN/IEC 62061
e EN ISO 13849-1 aceitam um subsistema calculado desse modo para IEC
61508. A PFHD resultante pode ser usada diretamente no Anexo K do
EN ISO 13849-1 ou na ferramenta de clculo SISTEMA.

85

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Software:

Falhas de software so inerentemente sistemticas por natureza. Todas as falhas


so causadas pelo modo como concebido, escrito ou compilado. Portanto,
todas as falhas so causadas pelo sistema sob o qual produzido, no por seu
uso. Assim, para controlar as falhas, devemos controlar o sistema. Tanto o IEC
61508 quanto o EN ISO 13849-1 fornecem exigncias e metodologias para fazer
isso. No precisamos entrar em detalhes aqui, alm de dizer que usam o modelo
clssico V. O software embutido um problema para o projetista do dispositivo.
A abordagem frequente desenvolver software embutido com mtodos dispostos
no IEC 61508, parte 3. Quando se trata do cdigo de aplicao, o software
com o qual um usurio faz interface, a maioria dos dispositivos de segurana
programveis fornecida com blocos de funo certificados ou rotinas.
Isso simplifica a tarefa de validao para o cdigo de aplicao, porm,
necessrio lembrar que o programa de aplicao concludo ainda deve ser
validado. A maneira como os blocos so vinculados e parametrizados deve ser
comprovada como correta e vlida para a tarefa pretendida. EN ISO 13849-1
e IEC/EN 62061 oferecem diretrizes para esse processo.

Especificao
das funes
de segurana

Especificao do
software relacionado
segurana

Validao

Projeto
do sistema

Testes
de integrao

Projeto
de mdulo

Resultado
Verificao

Validao

Testes
do mdulo

Codificao

Modelo V para o desenvolvimento do software

86

Software
validado

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
Cobertura de diagnstico

J abordamos esse assunto quando fizemos consideraes sobre as categorias


2, 3 e 4 de arquitetura designada. Essas categorias necessitam de algum modo
de teste de diagnstico para verificar se a funo de segurana ainda est
funcionando. O termo cobertura de diagnstico [geralmente abreviado como
DC] usado para caracterizar a eficcia desses testes. importante perceber
que a DC no apenas baseada no nmero de componentes que podem falhar
de forma perigosa. Ela leva em considerao a taxa total de falhas perigosas.
O smbolo usado para taxa de falha. A DC expressa o relacionamento das
taxas de ocorrncia dos dois tipos de falha perigosa a seguir;
Falha perigosa detectada [dd] ou seja, essas falhas que causariam ou poderiam
levar a perda da funo de segurana, mas que so detectadas. Aps a deteco,
uma funo de reao a falha faz com que o dispositivo ou sistema entre em
estado seguro.
Falha perigosa [d] ou seja, todas as falhas que poderiam potencialmente
causar ou levar perda da funo de segurana. Isso inclui as falhas que
so detectadas e as que no so. claro que as falhas realmente perigosas
so as perigosas no detectadas [chamadas de du].

A DC expressa pela frmula;

DC = dd/d expressa como porcentagem.

Esse significado do termo DC comum para o EN ISO 13849-1 e EN/IEC 62061.


No entanto, o modo como derivado difere. O padro mencionado por ltimo prope
o uso do clculo com base na anlise de modo de falha, porm, o EN ISO 13849-1
oferece um mtodo simplificado na forma de tabelas de consulta. Vrias tcnicas
tpicas de diagnstico so listadas junto com a porcentagem de DC considerada
que seu uso alcana. Em alguns casos, um julgamento racional ainda necessrio,
por exemplo, em algumas tcnicas, a DC alcanada proporcional frequncia
com que o teste realizado. s vezes argumenta-se que essa abordagem
muito vaga. No entanto, a estimativa de DC pode depender de quantas variveis
diferentes e qual seja a tcnica usada, o resultado somente pode ser descrito
como aproximado.

87

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Tambm importante entender que as tabelas no EN ISO 13849-1 so baseadas
em amplas pesquisas conduzidas pela BGIA nos resultados alcanados por tcnicas
de diagnstico real usadas em aplicaes reais. Para simplificar, o padro divide a
DC em quatro faixas bsicas.
<60% = nenhuma

60% a <90% = baixa

90% a <99% = mdia


99% = alta

Essa abordagem de lidar com intervalos em vez de valores de porcentagem


individuais tambm pode ser considerada como mais realista em termos de
preciso alcanvel. A ferramenta SISTEMA usa as mesmas tabelas de consulta
que o padro. medida que o uso de equipamentos eletrnicos aumenta em
dispositivos relacionados segurana, a DC torna-se um fator mais importante.
provvel que trabalhos futuros sobre os padres se aprofundem no esclarecimento
desse problema. Enquanto isso, o uso do julgamento de engenharia e senso comum
deve ser suficiente para levar escolha correta da faixa de DC.
Falha de causa comum

Na maioria dos sistemas ou subsistemas de canais duplos [i.e. tolerante a falhas


simples] o princpio de diagnstico baseado na premissa de que no haver
falhas perigosas nos dois canais ao mesmo tempo. O termo ao mesmo tempo
expresso de forma mais precisa como dentro do intervalo de teste de diagnstico.
Se o intervalo de teste de diagnstico for razoavelmente curto [por exemplo, com
menos de oito horas] razovel supor que duas falhas separadas e independentes
so altamente improvveis de ocorrerem dentro desse tempo. No entanto, o padro
deixa claro que precisamos pensar cuidadosamente se as possibilidades de falhas
realmente so separadas e independentes. Por exemplo, se uma falha em um
componente pode levar a falhas previsveis em outros componentes, em seguida,
o conjunto resultante de falhas considerado como uma falha simples.
tambm possvel que um evento que leve um componente a falhar tambm possa
causar a falha de outros componentes. Isto denominado Falha de causa comum,
normalmente abreviada como FCC. O grau de propenso para a FCC normalmente
descrito como o fator beta (). muito importante que os projetistas de subsistema

88

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
e sistema estejam conscientes das possibilidades de FCC. Existem muitos tipos
diferentes de FCC e, correspondentemente, muitas maneiras diferentes de evitlas. O EN ISO 13849-1 imprime um curso racional entre os extremos de complexidade
e simplificao excessiva. Em comum com EN/IEC 62061 adota uma abordagem que
essencialmente qualitativa. Fornece uma lista de medidas conhecidas como
eficazes para evitar a FCC.
N

Medida contra FCC

Diversidade

1
3
4
5
6

Pontuao

Separao/segregao

15

Projeto/Aplicao/Experincia
Avaliao/Anlise

Competncia/Treinamento

20
20
5
5

Ambiental

35

Marcao da Falha de causa comum

Um nmero suficiente destas medidas deve ser implementado no projeto de um


sistema ou subsistema. Pode ser reclamado, com alguma justificativa, que o uso
desta lista sozinha pode no ser adequado para evitar todas as possibilidades de
FCC. Entretanto, caso a inteno seja propriamente considerada, fica claro que o
esprito deste requerimento fazer o projetista analisar as possibilidades de FCC
e implementar medidas preventivas apropriadas com base em tecnologia e nas
caractersticas da aplicao. O uso da lista refora a considerao de algumas das
tcnicas mais fundamentais e eficazes, tais como a diversidade de modos de falha
e as competncias do projeto. A ferramenta BGIA SISTEMA tambm requer a
aplicao das tabelas de consulta de FCC do padro e as disponibiliza em uma
forma prtica.

89

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Falhas Sistemticas

J discutimos dados de confiabilidade de segurana quantificados na forma de


MTTFd e a probabilidade de falha perigosa. Entretanto, esta no a histria toda.
Quando nos referimos a esses termos, estvamos realmente pensando sobre
falhas que parecem ser aleatrias na natureza. De fato, o IEC/EN 62061 refere-se
especificamente abreviatura de PFHd como a probabilidade de falha aleatria
de hardware. Mas existem alguns tipos de falhas conhecidas coletivamente como
falhas sistemticas que podem ser atribudas a erros cometidos no projeto
ou no processo de fabricao. O exemplo clssico disso um erro no cdigo do
software. O padro fornece medidas no anexo G para evitar esses erros [e, portanto,
as falhas]. Estas medidas incluem disposies como o uso de materiais adequados
e tcnicas de fabricao, estudos, anlises e simulaes de computador. H tambm
eventos e caractersticas previsveis que podem ocorrer no ambiente operacional
que poderiam causar o fracasso a menos que seu efeito seja controlado. O anexo
G tambm fornece medidas para isso. Por exemplo, facilmente previsvel que
haver eventuais perdas de energia. Desta forma, a desenergizao de componentes
deve resultar em um estado seguro para o sistema. Estas medidas podem parecer
apenas senso comum, e na verdade elas o so, mas, no entanto, so essenciais.
O resto dos requisitos do padro intil, a menos que devidamente levado em conta
para o controle e preveno de falhas sistemticas. Isso tambm ir, por vezes,
requerer os mesmos tipos de medidas utilizados para o controle da falha de hardware
aleatria [a fim de alcanar a desejada PFHd] tal como o teste de diagnstico
automtico e hardware redundante.
Excluso de falha

Uma das ferramentas primrias de anlise para sistemas de segurana a anlise


de falha. O projetista e o usurio devem entender como o sistema de segurana
age na presena de falhas. Muitas tcnicas esto disponveis para realizar a anlise.
Exemplos incluem Anlise de Falha em rvore; Anlise de Mdulos, Efeitos e Criticidade
das de Falhas; Anlise de rvore de Eventos; e Revises de Fora de Carga.
Durante a anlise, certas falhas que no podem ser detectadas com os testes
de diagnstico automticos podem ser descobertas, sem custos econmicos
indevidos. Alm disso, a probabilidade de ocorrerem estas falhas pode ser
extremamente pequena, por meio de criao, construo e mtodos de teste
atenuantes. Sob essas condies, as falhas podem ser excludas da anlise
mais aprofundada. A excluso de falha a excluso da ocorrncia de uma falha
porque a probabilidade daquela falha especfica do SRCS insignificante.

90

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
O ISO13849-1:2006 permite a excluso de falhas baseadas na improbabilidade
tcnica de ocorrncia, na experincia tcnica geralmente aceita e nos requisitos
tcnicos relacionados aplicao. O ISO13849-2:2.003 fornece exemplos
e justificativas para a excluso de certas falhas para sistemas eltricos,
pneumticos, hidrulicos e mecnicos. As excluses de falha devem ser
declaradas com justificativas detalhadas fornecidas na documentao tcnica.

Nem sempre possvel avaliar o sistema de controle de segurana, sem assumir


que certas falhas podem ser excludas. Para obter informaes detalhadas sobre
as excluses de falhas, consulte o ISO 13849-2.

Na medida em que o nvel de risco fica mais alto, a justificativa para a excluso
de falhas torna-se mais rigorosa. Em geral, quando PLe se faz necessrio para a
funo de segurana ser implementada por um sistema de controle de segurana,
no normal depender somente de excluses de falhas para atingir esse nvel
de desempenho. Isso depende da tecnologia usada e do ambiente operacional
pretendido. Desta forma, essencial que o projetista tome cuidado adicional com
o uso de excluses de falhas medida que a exigncia de PL aumenta.
Por exemplo, um sistema de intertravamento de porta que deve alcanar PLe
precisar incorporar uma tolerncia mnima a falhas de 1 (por ex.: duas chaves
de posio mecnicas convencionais) para alcanar esse nvel de desempenho
desde que no seja normalmente justificvel excluir falhas como atuadores
de chave danificados. No entanto, pode ser aceitvel excluir falhas, como
curto-circuitos de fiao dentro de um painel de controle projetado de acordo
com os padres relevantes.
Nvel de desempenho (PL)

O nvel de desempenho um nvel discreto que especifica a capacidade das partes


relacionadas com a segurana do sistema de controle para desempenhar uma funo
de segurana.
Para avaliar o PL obtido por uma aplicao de qualquer uma das cinco arquiteturas
designadas, os dados a seguir so necessrios para o sistema (ou subsistema):

MTTFd (tempo mdio para falha perigosa de cada canal)


DC (cobertura de diagnstico)
Arquitetura (categoria)

91

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
O diagrama a seguir mostra um mtodo grfico para determinar o PL a partir da
combinao desses fatores. A tabela no final deste documento apresenta os resultados
tabulares de diferentes modelos de Markov que criaram a base deste diagrama.
Consulte a tabela quando uma determinao mais precisa for necessria.

Nvel de desempenho

a
b
c
d
e
Cat B

Cat 1

Cat 2

Cat 2

Cat 3

Cat 3

Cat 4

DC md nenhum DCmdnenhum DCmd baixo DCmd mdio DCmd baixo DCmd mdio DCmd alto

MTTFd baixo
MTTFd mdio
MTTFd alto

Determinao grfica de PL

Outros fatores tambm devem ser realizados para satisfazer o PL exigido.


Esses requisitos incluem as provises para falhas de causa comum,
falha sistemtica, condies ambientais e o tempo de misso.

Caso a PFHD do sistema ou subsistema for conhecida, a Tabela 10.4 (Anexo K


do padro) pode ser usada para derivar o PL.
Projeto e combinaes de subsistema

Subsistemas que estejam em conformidade com o PL podem ser simplesmente


combinados em um sistema usando a tabela 10.3. O raciocnio por trs dessa
tabela claro. Primeiro, o sistema s pode ser to bom quanto o seu subsistema
mais fraco. Segundo, quanto mais subsistemas existirem,
maior a possibilidade de falha.

92

SAFEBOOK 4

Projeto de sistema de acordo com


o EN ISO 13849-1:2008
PLbaixo

Nbaixo

a
b
c
d
e

Subsistema 1

PLb

>3

no permitido

>2

Clculo de PL para sries de


subsistemas combinados

PL

No sistema mostrado na figura a


seguir, os nveis mais baixos de
desempenho esto em subsistemas
1 e 2. Ambos so PLB. Portanto,
no uso desta tabela, podemos ler em
b (na coluna PLbaixo), at 2 (na coluna
Nbaixo) e descobrir que o sistema
atingiu PL como b (na coluna PL).
Se todos os trs subsistemas forem
PLb, o PL alcanado seria PLa.

>2

>3

>3

Subsistema 2

PLb

Subsistema 3

PLc

Combinao de subsistemas em srie como um sistema de PLb

Validao

A validao desempenha um papel importante ao longo do desenvolvimento do


sistema de segurana e do processo de comissionamento. O ISO/EN 13849-2:2003
define os requisitos para validao. Ela pede um plano de validao e discute a
validao de tcnicas de proba e anlise, tais como Modos de Anlise de Falhas
em rvore e de Falhas, Efeitos e Anlise de Criticidade. A maioria destes requisitos
ser aplicada ao fabricante do subsistema em vez do usurio do subsistema.
Comissionamento da mquina

Na fase de comissionamento do sistema ou mquina, a validao das funes


de segurana deve ser realizada em todos os modos de operao e deve cobrir
todas as condies normais e anormais previsveis. As combinaes de entradas
e sequncias de operao tambm devem ser levadas em considerao.
Este procedimento importante porque sempre necessrio verificar que
o sistema seja adequado para as caractersticas operacionais e de ambiente
real. Algumas destas caractersticas podem ser diferentes das previstas na fase
de concepo.

93

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Projeto de sistema de acordo com o IEC/EN 62061

IEC/EN 62061, Segurana de mquinas - Segurana funcional de segurana


relacionada a sistemas eltricos, eletrnicos e de controle eletrnico programvel,
a implementao de mquinas especficas do IEC/EN 61508. Ele oferece requisitos
que so aplicveis ao nvel de projeto de sistema de todos os tipos de sistemas de
controle de mquinas relacionados com a segurana eltrica e tambm para o projeto
de subsistemas ou dispositivos no-complexos.
A avaliao de risco resulta em uma estratgia de reduo de risco que, por sua
vez, identifica a necessidade de funes de controle relacionadas segurana.
Estas funes devem ser documentadas e devem incluir:

a especificao de requisitos funcionais e

a especificao de requisitos de integridade de segurana.

Os requisitos funcionais incluem detalhes como a frequncia de operao, tempo de


resposta requerido, modos de funcionamento, ciclos de trabalho, ambiente operacional
e as funes de reao de falha. Os requisitos de integridade de segurana so
expressos em nveis chamados de nveis de integridade de segurana (SIL).
Dependendo da complexidade do sistema, alguns ou todos os elementos da tabela
abaixo devem ser considerados para determinar se a concepo do sistema est
de acordo com o SIL requerido.
Elemento para considerao de SIL

Smbolo

Tolerncia s falhas de hardware

Sem smbolo

Probabilidade de falha perigosa por hora


Frao de falha segura

PFHD
FFS
T1

Intervalo de ensaio

Intervalo de teste de diagnstico

Susceptibilidade a falhas de causa comum


Cobertura de diagnstico

Elementos para considerao de SIL

Subsistemas

T2

DC

O termo subsistema tem um significado especial no IEC/EN 62061. a subdiviso


do primeiro nvel de um sistema em duas partes, que, se falharem, podem causar

94

SAFEBOOK 4

Projeto de sistema de acordo com o IEC/EN 62061


uma falha da funo de segurana. Desta forma, se dois interruptores redundantes
forem usados em um sistema, nenhum dos interruptores individuais um subsistema.
O subsistema compreenderia ambos os interruptores e qualquer funo de diagnstico
de falha associada.
Probabilidade de Falha Perigosa por Hora (PFHD)

O IEC / EN 62061 usa os mesmos mtodos bsicos discutidos na seo sobre


o EN ISO 13849-1 para determinar as taxas de falhas ao nvel de componente.
As mesmas disposies e mtodos se aplicam para os componentes mecnicos
e eletrnicos. No IEC/EN 62061, o MTTFd no considerado em anos. A taxa de
falha por hora () calculada diretamente ou obtida ou fornecida pelo valor de B10
na seguinte frmula:
= 0.1 x C/B10 (onde C o nmero de ciclos operacionais por hora)

H uma diferena significativa entre os padres na metodologia para determinar


a PFHD total para um subsistema ou sistema. Deve ser realizada uma anlise dos
componentes para determinar a probabilidade de falha nos subsistemas. So fornecidas
frmulas simplificadas para o clculo das arquiteturas comuns de subsistemas
(descrito mais tarde). Onde estas frmulas no forem apropriadas, ser necessrio
o uso de mtodos mais complexos de clculo, como os modelos de Markov.
A Probabilidade de Falha Perigosa (PFHD) de cada subsistema ento adicionada
para determinar a PFHD total do sistema. A tabela 15 (Tabela 3 do padro) pode
ento ser usada para determinar qual Nvel de Integridade de Segurana (SIL)
apropriado para esta faixa de PFHD.
DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2) / 2

As frmulas para esta arquitetura levam em conta o arranjo paralelo dos elementos
do subsistema e adicionam os dois elementos seguintes da tabela anterior:
(Beta ) a susceptibilidade a falhas de causa comum
SIL
(nvel de integridade
de segurana)

PFHD
(probabilidade de falha perigosa por hora)

107 a <106

108 a <107

106 a <105

Probabilidades de falha perigosa para SILs

95

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Os dados da PFHD para um subsistema sero normalmente fornecidos pelo
fabricante. Os dados para os componentes e sistemas de segurana da
Rockwell Automation esto disponveis numa srie de formas, incluindo:
www.discoverrockwellautomation.com/safety

O IEC / EN 62061 tambm deixa claro que os manuais de dados de confiabilidade


podem ser usados, se e quando aplicvel.
Para dispositivos eletromecnicos de baixa complexidade, o mecanismo de falha
est geralmente relacionado com o nmero e frequncia de operaes em vez de
apenas o tempo. Desta forma, para estes componentes os dados sero derivados
a partir de algum tipo de teste (por exemplo, testes B10 como descrito no captulo
do EN ISO 13849-1). As informaes baseadas em aplicao, como o nmero
previsto de operaes por ano so necessrias para converter os dados B10d
ou similares para PFHD.

OBSERVAO: Em geral, o seguinte verdadeiro (levando em conta um fator


de alterao de anos para horas):
PFHD = 1/MTTFd

Entretanto, importante compreender que para um sistema de canal duplo (com


ou sem diagnstico), no correto utilizar 1/ PFHD para determinar o MTTFd que
exigido pelo EN ISO 13849-1. Esse padro pede o MTTFd de canal nico. Este
um valor muito diferente do MTTFd da combinao de ambos os canais de um
subsistema de dois canais
Restries arquitetnicas

A caracterstica essencial do IEC/EN 62061 que o sistema de segurana dividido


em subsistemas. O nvel de integridade de segurana de hardware que pode ser
reivindicado por um subsistema limitado no s pela PFHD, mas tambm pela
tolerncia a falhas de hardware e da frao de falha dos subsistemas. A tolerncia
a falhas de hardware a capacidade do sistema para executar sua funo na
presena de falhas. Uma tolerncia a falhas zero significa que a funo no realizada
quando ocorre uma nica falha. Uma tolerncia a falhas um quando um subsistema
desempenha sua funo na presena de uma nica falha. Frao de falha segura
a parte da taxa de falhas total que no resulte numa falha perigosa. A combinao
destes dois elementos conhecida como a restrio de arquitetura e sua sada o
limite de reivindicao de SIL (SIL CL). A tabela a seguir mostra a relao entre as
restries de arquitetura para o SILCL. Um subsistema (e, portanto, seu sistema)
deve satisfazer os requisitos PFHD e as restries arquitetnicas, juntamente com
as outras disposies pertinentes do padro.

96

SAFEBOOK 4

Projeto de sistema de acordo com o IEC/EN 62061


Frao de
falha segura
(FFS)
<60%
60% - <90%

Tolerncia a falhas de hardware


0

No permitido a menos
que excees especficas
se apliquem

SIL1

SIL2

SIL1
SIL2

SIL2

SIL3

SIL3

SIL3

SIL3

SIL3

90% - < 99%


99%

SIL3

Restries Arquitetnicas em SIL

Por exemplo, a arquitetura do subsistema que possui a tolerncia a falhas nica e uma
frao de falha segura de 75% limitada a no mais do que uma classificao SIL 2,
independentemente da probabilidade de falha perigosa. Ao combinar subsistemas,
o SIL alcanado por SRCS est restrito a ser inferior ou igual ao menor SIL CL de
qualquer dos subsistemas envolvidos na funo de controle de segurana.
Realizao do sistema

Para calcular a probabilidade de falha perigosa, cada funo de segurana tem


de ser dividida em blocos funcionais, que so ento realizados como subsistemas.
Uma implementao do projeto do sistema de uma funo de segurana tpica inclui
um sensor de dispositivo ligado a um dispositivo de lgica ligado a um atuador.
Isto cria um arranjo de subsistemas em srie. Como j vimos, se pudermos determinar
a probabilidade de falhas perigosas para cada subsistema e conhecer seu SIL CL,
ento a probabilidade de falha no sistema facilmente calculada pela adio da
probabilidade de falhas dos subsistemas. Este conceito mostrado abaixo.

SUBSISTEMA 1

SUBSISTEMA 2

SUBSISTEMA 3

Deteco de posio

Resoluo de lgica

Atuao da sada

Requisitos funcionais
e de integridade do
IEC/EN 62061

Requisitos funcionais
e de integridade do
IEC/EN 62061

Requisitos funcionais
e de integridade do
IEC/EN 62061

Restries
arquitetnicas SIL CL 2

Restries
arquitetnicas SIL CL 2

Restries
arquitetnicas SIL CL 2

PFHD = 1x10-7

PFHD = 1x10-7

PFHD = 1x10-7

= PFHD 1
+ PFHD 2
= 1x10-7
+ 1x10-7
= 3x10-7 ou seja, adequado para SIL2

+ PFHD 3
+ 1x10-7

97

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Se, por exemplo, quisermos chegar a SIL 2, cada subsistema deve ter um Limite
de Exigncia de SIL (SIL CL) de ao menos SIL 2, e a soma de PFHD para o sistema
no deve exceder o limite permitido na tabela anterior mostrando Probabilidade de
Falhas Perigosas para SILs.
Projeto de subsistema IEC/EN 62061

Se um projetista de sistema utiliza componentes prontos integrados em subsistemas


de acordo com o IEC/EN 62061, isto torna a vida deles muito mais fcil, porque os
requisitos especficos para o projeto de subsistemas no se aplicam. Estes requisitos,
em geral, sero coberto pelo fabricante do dispositivo (subsistema) e so muito
mais complexos do que os necessrios para o projeto ao nvel de sistema.

O IEC/EN 62061 exige que os subsistemas complexos como CLPs de segurana


estejam em conformidade com o IEC 61508 ou outros padres apropriados.
Isto significa que, para dispositivos que utilizam componentes eletrnicos ou
programveis complexos, aplica-se integralmente o rigor do padro IEC 61508.
Este pode ser um processo muito rigoroso e envolvente. Por exemplo, a avaliao
de PFHD atingido por um complexo subsistema pode ser um processo muito
complicado, utilizando tcnicas como o modelo de Markov, diagramas de blocos
de confiabilidade ou de anlise de rvore de falhas.
O IEC/EN 62061 fornece os requisitos para o projeto de subsistemas de menor
complexidade. Normalmente, isso incluiria componentes eltricos relativamente
simples, como interruptores de intertravamento e rels de monitorao de segurana
eletromecnicos. As exigncias no so to envolvidas quanto as do IEC 61508,
mas ainda podem ser bastante complicadas.

O IEC/EN 62061 fornece quatro arquiteturas lgicas do subsistema com frmulas


de acompanhamento que podem ser utilizadas para avaliar a PFHD alcanada
por um subsistema de baixa complexidade. Estas arquiteturas so representaes
puramente lgicas e no devem ser tidas como arquiteturas fsicas. As quatro
arquiteturas de subsistemas lgicos com frmulas que os acompanham so
mostradas nos quatro diagramas seguintes.
Para a arquitetura de subsistema bsica mostrada abaixo, as probabilidades
de falhas perigosas so simplesmente somadas.

98

SAFEBOOK 4

Projeto de sistema de acordo com o IEC/EN 62061


Subsistema A
Elemento 1
do subsistema
De1

Elemento n
do subsistema
Den

Arquitetura lgica do subsistema A

DssA= De1 + . . . + Den


PFHDssA = DssA x 1h

, Lambda usado para designar a taxa de falha. As unidades da taxa de falha so


falhas por hora. ?D, Lambda sub D a taxa de falha perigosa. ?DssA, Lambda sub
DssA a taxa de falha perigosa do subsistema A. A falha lambda sub DSSA a soma
das taxas dos elementos individuais, e1, e2, e3, at en (inclusive). A probabilidade
de falha perigosa multiplicada por 1 hora pela probabilidade de criar falha dentro
de uma hora.
O diagrama a seguir mostra um sistema tolerante a falha nica, sem uma funo
de diagnstico. Quando a arquitetura inclui a tolerncia a falhas nica, o potencial
de falha de causa comum existe e deve ser considerado. A derivao da falha
de causa comum descrita brevemente mais tarde neste captulo.
Subsistema B
Elemento 1
do subsistema
De1
Elemento 2
do subsistema
De2

Falha
de causa
comum

Arquitetura lgica do subsistema B

DssB = (1-)2 x De1 x De2 x T1 + x (De1 + De2) / 2


PFHDssB = DssB x 1h

As frmulas para esta arquitetura levam em conta o arranjo paralelo dos elementos
do subsistema e adiciona os dois elementos seguintes da tabela anterior Elementos
para Considerao SIL.

99

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
a susceptibilidade a falhas de causa comum (Beta)

T1 o intervalo do teste ou a vida til, o que for menor. O teste projetado para
detectar falhas e degradao do subsistema de segurana para que o subsistema
possa ser restaurado a uma condio operacional. Em termos prticos, isso significa
normalmente a substituio (como o termo tempo de misso equivalente no
EN ISO 1384-1).

O diagrama a seguir mostra a representao funcional de um sistema de tolerncia


a falhas zero com uma funo de diagnstico. A cobertura de diagnstico utilizada
para diminuir a probabilidade de falhas perigosas no hardware. Os testes de
diagnstico so realizados automaticamente. A definio da cobertura de diagnstico
a mesma que a apresentada no padro EN ISO 13849-1, ou seja, a relao
entre a taxa de falhas perigosas detectadas em comparao com a taxa de todas
as falhas perigosas.
Subsistema C
Elemento 1
do subsistema
De1

Elemento n
do subsistema
Den

Funo(es) de diagnstico
Arquitetura lgica do subsistema C

DssC = De1 (1-DC1)+ . . . + Den (1-DCn)


PFHDssC = DssC x 1h

Estas frmulas incluem a cobertura de diagnstico, DC, para cada um dos


elementos do subsistema. As taxas de falha de cada um dos subsistemas
so reduzidas pela cobertura de diagnstico de cada subsistema.
O quarto exemplo de uma arquitetura de subsistema mostrado a seguir.
Este subsistema tolerante a falhas nicas e inclui uma funo de diagnstico.
O potencial para a falha de causa comum tambm deve ser considerado em
sistemas tolerantes a falhas nicas.

100

SAFEBOOK 4

Projeto de sistema de acordo com o IEC/EN 62061


Subsistema D
Elemento 1
do subsistema
De1

Falha
de causa
comum

Funo(es)
de diagnstico

Elemento 2
do subsistema
De2
Arquitetura lgica do subsistema D

Caso os elementos do subsistema seja diferentes, as seguintes frmulas so usadas:

DssD = (1 - )2 { De1 x De2 x (DC1+ DC2) x T2 / 2 + De1 x De2 x (2- DC1 - DC2) x T1
/ 2 } + x (De1 + De2 ) / 2
PFHDssD = DssD x 1h

Se os elementos do subsistema forem os mesmos, as frmulas seguintes so usadas:


DssD = (1 - )2 {[ De2 x 2 x DC] x T2 / 2 + [De2 x (1-DC)] x T1 }+ x De
PFHDssD = DssD x 1h

Observe que ambas as frmulas usam um parmetro adicional, o intervalo de


diagnstico T2. Esta apenas uma verificao peridica da funo. um teste
menos abrangente do que o ensaio.
Como exemplo, utilize os seguintes valores para o exemplo, onde os elementos
do subsistema so diferentes:
= 0,05
De = 1 x 10 -6 falhas/hora
T1 = 87600 horas (10 anos)
T2 = 2 horas
DC = 90%

PFHDssD = 5.791E-08 falhas perigosas por hora. Isto estaria dentro da amplitude
necessria para SIL3

101

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Efeito de intervalo de ensaio

O IEC / EN 62061 afirma que um intervalo de ensaio (PTI) de 20 anos o preferido


(mas no obrigatrio). Vejamos o efeito do intervalo de ensaio no sistema. Se
recalcularmos a frmula com T1 em 20 anos, d o resultado PFHDssD = 6.581E-08.
Ainda est dentro do intervalo necessrio para SIL 3. O projetista deve ter em
mente que este subsistema deve ser combinado com outros subsistemas para
calcular a taxa global de falha perigosa.
Anlise de efeito de Falha de causa comum

Vejamos o efeito das falhas de causa comum no sistema. Digamos que tomemos
medidas adicionais e nosso valor (Beta) melhore em 1% (0,01), enquanto o intervalo
de ensaio permanea em 20 anos. A taxa de falha perigosa melhora para 2.71E-08,
o que significa que o subsistema atual mais adequado para uso em um sistema
de SIL 3.
Falha de Causa Comum (FCC)

Falha de causa comum quando vrias falhas resultantes de uma nica causa
produzem uma falha perigosa. Informaes sobre FCC s sero geralmente
exigidas pelo projetista de subsistema, normalmente o fabricante. Ele usado
como parte das frmulas indicadas para a estimativa de PFHD de um subsistema.
No ser normalmente exigido ao nvel de projeto do sistema.
O Anexo F do IEC/EN62061 fornece uma abordagem simples para a estimativa
de FCC. A tabela abaixo mostra um resumo do processo de pontuao
N

Medida contra FCC

Diversidade

1
3
4
5
6

Pontuao

Separao/segregao

25

Projeto/Aplicao/Experincia

38
2

Avaliao/Anlise

18

Ambiental

18

Competncia/Treinamento

Pontuao para Medidas contra a Falha de Causa Comum

Os pontos so concedidos para o emprego de medidas especficas contra FCC.


A pontuao somada para determinar o fator de falha de causa comum, mostrada
na tabela a seguir. O fator beta usado nos modelos de subsistema para ajustar
a taxa de falha.

102

SAFEBOOK 4

Projeto de sistema de acordo com o IEC/EN 62061


Pontuao geral

Fator () para Falha de Causa Comum

35 - 65

5% (0,05)

<35

65 - 85

85 - 100

Fator Beta para Falha de Causa Comum

10% (0,1)
2% (0,02)
1% (0,01)

Cobertura de Diagnstico (DC)

Os testes de diagnstico automticos so empregados para diminuir a probabilidade


de falhas perigosas no hardware. Ser capaz de detectar todas as falhas perigosas
de hardware seria o ideal, mas, na prtica, o valor mximo fixado em 99% (o que
tambm pode ser expresso como 0,99)
A cobertura de diagnstico a razo entre a probabilidade de falhas perigosas
detectadas e a probabilidade de todas as falhas perigosas.

Probabilidade de falhas perigosas detectadas, DD


DC = Probabilidade de falhas perigosas totais, Dtotal

O valor da cobertura de diagnstico estar entre zero e um.


Tolerncia a falhas de hardware

A tolerncia a falhas de hardware representa o nmero de falhas que podem ser


sustentadas por um subsistema antes que causem uma falha perigosa. Por exemplo,
a tolerncia a falhas de hardware de 1 significa que duas falhas podem causar uma
perda da funo de controle relacionada com a segurana, mas uma falha no.
Gesto de segurana funcional

O padro apresenta os requisitos para o controle de gesto e atividades tcnicas


que so necessrios para a realizao de um sistema de controle eltrico
de segurana relacionado.

103

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Intervalo de ensaio

O intervalo do ensaio representa o tempo aps o qual um subsistema deve ser


totalmente verificado ou substitudo para assegurar que ele esteja em condio
de agir como novo. Na prtica, no setor das mquinas, isto conseguido atravs
de substituio. Ento, o intervalo de ensaio para ns o mesmo que a vida til.
O EN ISO 13849-1:2008 se refere a ele como Tempo de Misso.

Um ensaio uma verificao que pode detectar falhas e degradao em um SRCS


para que o SRCS possa ser restaurado o mais prximo possvel da condio como
novo. O ensaio deve detectar 100% de todas as falhas perigosas. Canais separados
devem ser testados separadamente.
Ao contrrio dos testes de diagnstico, que so automticos, os ensaios so
geralmente realizados manualmente, e off-line. Por ser automtico, o teste de
diagnstico executado muitas vezes em comparao com o ensaio, que
feito com pouca frequncia. Por exemplo, os circuitos indo para uma chave de
intertravamento em uma guarda podem ser testados automaticamente para
as condies de curto-circuito e circuito aberto com testes de diagnstico
(por exemplo, de pulso).

O intervalo de ensaio deve ser declarado pelo fabricante. s vezes, o fabricante ir


fornecer uma gama de diferentes de intervalos de ensaio.
Frao de falha segura (FFS)

A frao de falha segura semelhante cobertura de diagnstico, mas tambm


leva em conta qualquer tendncia inerente falha no sentido de um estado seguro.
Por exemplo, quando um fusvel queima, no uma falha, mas altamente provvel
que a falha ser um circuito aberto, o que, na maioria dos casos, seria uma falha
segura. A FFS (a soma da taxa de falhas seguras com a taxa de falhas perigosas
detectadas) dividida por (a soma da taxa de falhas seguras mais a taxa de falhas
perigosas detectadas e no-detectadas). importante perceber que os nicos tipos
de falhas a serem considerados so aqueles que podem ter algum efeito na funo
de segurana.
A maior parte dos dispositivos mecnicos de complexidade mais baixa, como botes
de parada de emergncia e chaves de intertravamento tero (por conta prpria)
uma FFS. A maior parte dos dispositivos eletrnicos de segurana projetaram
redundncia e monitorao, portanto, uma FFS superior a 90% comum, embora
seja geralmente completamente devido capacidade de cobertura de diagnstico.
O valor de FFS normalmente ser fornecido pelo fabricante.

104

SAFEBOOK 4

Projeto de sistema de acordo com o IEC/EN 62061


A frao de falha segura (FFS) pode ser calculada utilizando a seguinte equao:
FFS = ( S + DD) / ( S + D)
onde
S = a taxa de frao de falha segura,
S + D = taxa de falha total,
DD = taxa de falha perigosa detectada
D = taxa de falha perigosa.
Falha sistemtica

O padro tem requisitos para o controle e preveno de falha sistemtica. As falhas


sistemticas diferem das falhas aleatrias de hardware que so falhas que ocorrem
em um horrio aleatrio, geralmente resultante da degradao de peas de hardware.
Os tipos tpicos de uma possvel falha sistemtica so erros de projeto de software,
erros de projeto de hardware, erros de especificao de requisitos e procedimentos
operacionais. Exemplos de medidas necessrias para evitar falhas sistemticas incluem

a adequada seleo, combinao, arranjos, montagem e instalao


de componentes;
o uso de boas prticas de engenharia;
o seguimento das especificaes do fabricante e instrues de instalao;
a garantia da compatibilidade entre os componentes;
o suporte s condies ambientais;
o uso de materiais adequados.

105

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Sistema de controle relacionado segurana,
consideraes estruturais
Viso geral

Este captulo aborda aspectos estruturais e os princpios gerais que devem ser levados
em conta na concepo de um sistema de controle relacionado segurana de acordo
com qualquer padro. Ele usa muito da linguagem das categorias no EN 954-1,
porque as categorias abordam principalmente a estrutura dos sistemas de controle.
Categorias de sistemas de controle

As Categorias dos sistemas de controle originadas no EN 954-1:1996


(ISO13849-1:1999). No entanto, elas ainda so muitas vezes usadas para
descrever sistemas de controle de segurana e continuam a ser uma parte
integrante do EN ISO13849-1 conforme discutido na seo Introduo
segurana funcional dos sistemas de controle.

H cinco categorias que descrevem o desempenho de uma performance de reao


a falha relacionados a um sistema de controle relacionado segurana. Consulte a
Tabela 19 para obter um resumo destas categorias. As seguintes observaes se
aplicam tabela.
Observao 1: A Categoria B por si s no tem nenhuma medida especial para
segurana mas forma a base para outras categorias.
Observao 2: Mltiplas falhas causadas por uma causa comum ou como
consequncias inevitveis da primeira falha sero contadas como uma nica falha.

Observao 3: A avaliao de falha pode ser limitada a duas falhas combinadas,


se isso for justificvel, mas circuitos complexos (por exemplo, os circuitos de
microprocessador) podem exigir mais falhas combinadas a serem consideradas.

A categoria 1 tem como objetivo a preveno de falhas. Ela alcanada atravs


do uso de princpios de projeto, componentes e materiais adequados. A simplicidade
de princpio e projeto, juntamente com as caractersticas estveis e previsveis do
material so as chaves para essa categoria.

As categorias 2, 3 e 4 exigem que se falhas no puderem ser evitadas, devem ser


detectadas e tomadas as medidas adequadas.
Redundncia, diversidade e monitorao so as chaves para essas categorias.
A redundncia a duplicao da mesma tcnica. Diversidade o uso de duas
tcnicas diferentes. Monitorao a verificao do estado dos dispositivos e,
em seguida, tomada das medidas adequadas com base em resultados do status.
O mtodo comum, mas no nico, de monitorao duplicar as funes crticas
de segurana e comparar a operao.

106

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Resumo dos requisitos

Comportamento do sistema

CATEGORIA B (consulte a Observao 1)

Peas da mquina com relao a segurana de controle


de mquinas e/ou seus equipamentos de proteo,
tal como seus componentes, devero ser projetados,
construdos, selecionados, montados e combinados
de acordo com os padres pertinentes, para que
possam resistir influncia esperada. Princpios
bsicos de segurana devem ser aplicados.

CATEGORIA 1
Os requisitos da categoria B se aplicam juntamente
com o uso de componentes de segurana bem
testados e com os princpios de segurana.

CATEGORIA 2
Aplicam-se os requisitos da categoria B e o uso de
componentes de segurana bem testados. As funes
de segurana devero ser verificadas pelo sistema
de controle da mquina na partida e periodicamente.
Se for detectada uma falha, dever ser iniciado um
estado seguro ou, se este no for possvel, dever ser
dada uma advertncia. O EN ISO 13849-1 presume
que a taxa de teste seja pelo menos 100 vezes mais
frequente que a taxa de demanda. O EN ISO 138491 presume que o MTTFd do equipamento de testes
externo seja superior metade do MTTFd do
equipamento funcional sendo testado.

CATEGORIA 3 (consulte as observaes 2 e 3)


Aplicam-se os requisitos da categoria B e o uso
de componentes de segurana bem testados.
O sistema dever ser projetado de tal forma que
uma falha nica em qualquer de suas partes
no leve perda da funo de segurana. Onde
praticvel, uma falha nica dever ser detectada.
Categoria 4 (consulte as observaes 2 e 3)
Aplicam-se os requisitos da categoria B e o uso
de componentes de segurana bem testados.
O sistema dever ser projetado de tal forma que
uma falha nica em qualquer de suas partes no
leve perda da funo de segurana. A falha
simples detectada na prxima solicitao da
funo de segurana ou antes. Se esta deteco
no for possvel, um acmulo de falhas no
dever levar perda da funo de segurana.

107

Quando ocorrer uma falha,


ela pode levar a uma perda
da funo de segurana.

Como o descrito para a categoria B,


mas com mais alta confiabilidade
relacionada segurana da funo
de segurana. (Quanto maior a
confiabilidade, menor a probabilidade
de uma falha).

A perda da funo de segurana


detectada pela verificao. A ocorrncia
de uma falha pode levar a perda
da funo de segurana entre os
intervalos de verificao.

Quando ocorre a falha nica, a funo


de segurana sempre executada.
Sero detectadas algumas falhas,
mas no todas. O acmulo de falhas
no detectadas pode levar perda
da funo de segurana.
Quando as falhas ocorrem, a funo de
segurana sempre executada. As falhas
sero detectadas em tempo de evitar a
perda das funes de segurana.

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Categoria B

A categoria B fornece os requisitos bsicos de qualquer sistema de controle, seja um


sistema de controle relacionado segurana ou no. Um sistema de controle deve
trabalhar em seu ambiente esperado. O conceito de confiabilidade fornece uma base
para o controle de sistemas, como a confiana sendo definida como a probabilidade
de um dispositivo realizar sua funo pretendida durante um intervalo especificado
sob condies esperadas.

A categoria B exige a aplicao de princpios bsicos de segurana. O ISO 13849-2


nos fala sobre os princpios bsicos de segurana para os sistemas eltricos,
pneumticos, hidrulicos e mecnicos. Os princpios eltricos so resumidos
como segue:

Seleo, combinao, arranjos, montagem e instalao adequados


(ou seja, de acordo com as instrues do fabricante)
Compatibilidade dos componentes com tenses e correntes
Resistncia s condies ambientais
Uso do princpio da desenergizao
Supresso de transientes
Reduo do tempo de resposta
Proteo contra partida inesperada
Fixao segura de dispositivos de entrada (por exemplo, a montagem
de intertravamentos)
Proteo do circuito de controle (de acordo com o NFPA79 e o IEC60204-1)
Ligao de proteo correta

O projetista deve selecionar, instalar e montar de acordo com as instrues


do fabricante. Estes dispositivos devem funcionar dentro da tenso e corrente
nominais esperadas. As condies ambientais esperadas, como a compatibilidade
eletromagntica, vibrao, choque, contaminao, lavagem devem tambm ser
consideradas. O princpio da desenergizao usado. A proteo contra transientes
esteja instalada nas bobinas do contator. O motor est protegido contra sobrecargas.
A fiao e aterramento atendem aos padres eltricos apropriados.
Categoria 1

A categoria 1 exige que o sistema cumpra os termos de categoria B e use os


componentes de segurana comprovados. Quais so exatamente os componentes
de segurana, e como vamos saber se eles esto bem testados? O ISO 13849-2
ajuda a responder a essas perguntas para equipamentos mecnicos, hidrulicos,
pneumticos e sistemas eltricos. O Anexo D aborda componentes eltricos.

108

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Os componentes so considerados bem testados se forem usados com sucesso
em muitas aplicaes semelhantes. Os componentes de segurana recentemente
concebidos so considerados bem testados se forem projetados e verificados em
conformidade com os padres apropriados.
Componente bem testado

Padro

Dispositivo de parada de emergncia

ISO 13850, IEC60947-5-5

Chave com modo de atuao positivo


(ao de abertura direta)
Fusvel

Disjuntor

Contatores

Contatos ligados mecanicamente

IEC 60947-5-1
IEC 60269-1
IEC 60947-2

IEC 60947-4-1, IEC 60947-5-1


IEC 60947-5-1

Contator auxiliar (por ex., contator, rel EN 50205


de controle, rels guiados positivos)
IEC 602041, IEC 6094751
Transformador

IEC 60742

Intertravamentos

ISO 14119

Cabo

Interruptor de temperatura
Interruptor de presso

Dispositivo ou equipamento
de chaveamento de controle
e proteo (CPS)

Controlador lgico programvel

IEC 60204-1
IEC 60947-5-1

IEC 60947-5-1 + requisitos pneumticos


ou hidrulicos
IEC 60947-6-2
IEC 61508, IEC 62061

109

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Aplicando componentes bem testados em nosso sistema de categoria B, a chave
fim de curso seria substituda por uma chave operada por linguetas de abertura direta
e o contator seria sobre-dimensionado para maior proteo contra contatos soldados.

Aqui esto mostradas


as
mudanas no
L1 L2 L3
SCP
sistema simples de
Aux
Iniciar
SCP
K1
categoria B para
obter a categoria 1.
K1
Parar
O intertravamento
e o contator so os
Chave
OP
operada
elementos principais
por linguetas
Proteo
na remoo da
fechada
Motor
energia do atuador,
(Perigo)
quando for
TS
K1
Contator
necessrio o acesso
Gnd
ao perigo. A lingueta
intertravada atende
Sistema de segurana de categoria 1 simples
aos requisitos do
padro IEC 60947-5-1 para contatos de ao de abertura direta, o que demonstrado
pelo smbolo da seta dentro do crculo. Com os componentes bem testados,
a probabilidade de a energia ser removida maior para a categoria 1 do que
para a categoria B. O uso de componentes bem testados destina-se a prevenir
a perda da funo de segurana. Mesmo com estas melhorias, uma nica falha
ainda poderia levar perda da funo de segurana..
+V

As categorias B e 1 baseiam-se na preveno. O projeto se destina a evitar uma


situao perigosa. Quando a preveno por si s no fornecer o suficiente em
reduo no risco, a deteco de falhas deve ser usada. As categorias 2, 3 e 4
tm como base a deteco de falhas, com exigncias cada vez mais rigorosas
para alcanar nveis mais altos de reduo de risco.

110

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Categoria 2

Alm de atender os requisitos da categoria B e utilizar os princpios de segurana


bem testados, o sistema de segurana deve ser submetido a testes para atender
categoria 2. Os testes devem ser concebidos para detectar falhas nas peas de
segurana relacionadas ao sistema de controle. Se no forem detectadas falhas,
a mquina poder funcionar. Se forem detectadas falhas, o teste deve iniciar
um comando. Sempre que possvel, o comando deve trazer a mquina para
um estado seguro.
Entrada

Fiao

Lgica

Fiao

Sada

Deteco de falha
razoavelmente praticvel
Teste

Sada
do teste

O teste deve fornecer uma deteco razoavelmente prtica de falhas. O equipamento


fazendo um teste pode ser uma parte integrante do sistema de segurana ou uma
pea do equipamento.
O teste deve ser realizado:
quando a mquina for energizada inicialmente,
antes do incio de um perigo, e
periodicamente, se julgado necessrio na avaliao de risco.

Observao: o EN ISO 138.491-1 assume um funo de teste de segurana de


demanda por razo de 100:1. O exemplo dado aqui no atende a essa exigncia.

As palavras sempre que possvel e praticamente razovel indicam que nem todas
as falhas so detectveis. Como este um sistema de canal nico (ou seja, um fio
conecta a entrada at a lgica e sada), uma nica falha pode levar perda da funo
de segurana. Em alguns casos, a categoria 2 no pode ser totalmente aplicada a
um sistema de segurana, j que nem todos os componentes podem ser verificados.

111

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
+V
SCP

Aux
K1

Iniciar

L1

L2

L3

Parar

SCP

Rel
de segurana
de monitorao

K1

Proteo
fechada

OP
Chave
operada por
linguetas

TS

K1

Contator

Motor
(Perigo)

Gnd

Sistema de segurana de categoria 2

Temos aqui um simples sistema da categoria 1 aprimorado para atender categoria 2.


Um rel de segurana de monitorao (MSR) realiza o teste. Na energizao, o MSR
verifica seus componentes internos. Se no forem detectados defeitos, o MSR verifica
a chave operada por linguetas atravs da monitorao do ciclo de liga/desliga dos
seus contatos. Se nenhuma falha for detectada e a proteo estiver fechada, o MSR
verifica o dispositivo de sada: os contatos ligados mecanicamente do contator.
Se nenhuma falha for detectada e o contator estiver desligado, o MSR vai energizar
sua sada interna e conectar a bobina de K1 para o boto PARADA. Neste ponto,
as peas de controle da mquina sem classificao de segurana, o circuito de
Partida/Parada/Intertravamento, podem ligar ou desligar a mquina.
Abrir a proteo desliga as sadas do MSR. Quando a proteo fechada novamente,
o MSR repete as verificaes do sistema de segurana. Se nenhuma falha for
descoberta, o MSR ligar sua sada interna. O MSR permite que este circuito cumpra
a categoria 2 fazendo testes no dispositivo de entrada, no dispositivo lgico (ele prprio)
e no dispositivo de sada. O teste realizado na energizao inicial e antes do incio
do perigo.
Com suas capacidades lgicas inerentes, um sistema de segurana baseado em
CLP pode ser projetado para atender categoria 2. Como indicado na categoria 1
discutida acima, a justificativa de bem testado do CLP (incluindo suas capacidades
de teste) tornam-se o desafio. Para os sistemas de segurana complexos que exigem
a classificao de Categoria 2, um CLP de segurana classificado no padro IEC
61508 deve ser o substituto de um CLP sem classificao de segurana.

112

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Temos aqui um
exemplo de um
SCP
SCP
sistema complexo
TS
Iniciar
usando um CLP
Parar
K1
com classificao de
Classificado
TS
SW1
para segurana
segurana. Um CLP
SW2
Entrada Lgica Sada
K2
classificado para
SW3
segurana atende
K3
aos requisitos de
TS
K1 K2
bem testado,
j que foi projetado
K3
para um padro
Gnd
adequado.
Sistema de segurana de categoria 2 complexo
Os contatos ligados
mecanicamente dos contatores so alimentados na entrada do CLP para fins de
teste. Esses contatos podem ser ligados em srie a um terminal de entrada ou
aos terminais de entrada individuais, dependendo da lgica do programa.
+V

Embora os componentes de segurana bem testados sejam utilizados, uma nica


falha que ocorra entre as verificaes pode levar perda da funo de segurana.
Desta forma, os sistemas da categoria 2 so usados em aplicaes de menor risco.
Quando altos nveis de tolerncia a falhas so necessrios, o sistema de segurana
deve atender s categorias 3 ou 4.
Categoria 3

Alm de atender aos requisitos da categoria B e princpios de segurana comprovados,


a categoria 3 requer bom desempenho da funo de segurana na presena de
uma nica falha. A falha deve ser detectada antes ou durante a prxima demanda
na funo de segurana, sempre que razoavelmente praticvel.

Aqui, novamente, temos a frase sempre que razoavelmente praticvel. Isto abrange
as falhas que no podem ser detectadas. Enquanto a falha indetectvel no levar
perda da funo de segurana, a funo de segurana pode atender categoria 3.
Por consequncia, uma acumulao de falhas indetectveis pode levar perda da
funo de segurana.
Entrada

Entrada

Fiao

Fiao

Aqui temos um diagrama de


blocos para explicar os princpios
de um sistema de categoria 3.
Deteco de falha
A redundncia combinada
razoavelmente praticvel com monitoramento cruzado
razoavelmente prtico e
Sada
monitorao de sada so usados
Fiao
para garantir o desempenho
da funo de segurana.

Fiao
Lgica

Lgica

Sada

113

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
+V
Aux
K1

SCP

L2

L3
SCP

Aux
K2

Iniciar

Ch2

L1

Parar
K1

Ch1

Proteo
fechada

Rel
Ch1
de segurana
de monitorao Ch2

K2
OP

Chave
operada por
linguetas
TS

K1

K2

Gnd

Sistema de segurana de categoria 3

TS

Motor
(Perigo)

Contatores

Aqui temos um exemplo de um sistema de categoria 3. Um conjunto redundante


de contatos adicionado chave de intertravamento da lingueta. Internamente,
o rel de segurana de monitorao (MSR) contm circuitos redundantes que
monitoram um ao outro. Um conjunto redundante de contatores desliga o motor.
Os contatores so monitorados pelo MSR atravs dos contatos ligados
mecanicamente razoavelmente praticveis.

A deteco de falha deve ser considerada para cada pea do sistema de segurana,
tal como as ligaes (isto , o sistema). Quais so os modos de falha de uma chave
da lingueta de canal duplo? Quais so os modos de falha do MSR? Quais so os
modos de falha dos contatores K1 e K2? Quais so os modos de falha da fiao?
A chave de intertravamento da lingueta projetada com contatos de abertura
diretos. Portanto, sabemos que abrir a proteo destina-se a abrir um contato
soldado. Isso resolve um modo de falha. Existem outros modos de falha?

O interruptor de ao de abertura direta geralmente projetado com uma mola


de retorno. Se o cabeote for removido ou quebrado, a mola dos contatos de
segurana retorna ao estado fechado (seguro). Muitas chaves de intertravamento
so projetadas com cabeotes removveis para acomodar os requisitos de vrias
aplicaes de instalao. O cabeote pode ser removido e rodado entre duas
a quatro posies.

Uma falha pode ocorrer quando os parafusos de fixao do cabeote no estiverem


apertados corretamente. Com esta condio, a vibrao esperada da mquina
pode fazer com que o parafusos de fixao do cabeote afrouxem-se. O cabeote

114

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
de operao, sob a presso da mola, remove a presso dos contatos de segurana
e os contatos de segurana so fechados. Posteriormente, abrir proteo no abre
os contatos de segurana e uma falha perigosa ocorre.

Da mesma forma, o mecanismo de funcionamento do interruptor deve ser revisto.


Qual a probabilidade de que uma falha de um nico componente ir levar perda
da funo de segurana? Uma prtica comum a utilizao do intertravamento
de linguetas com contatos duplos em circuitos de categoria 3. Este uso deve ser
baseado na excluso de uma nica falha do interruptor para abrir os contatos de
segurana. Isto considerado como excluso de falha e ser discutido mais tarde
neste captulo.
Um rel de segurana de monitorao (MSR) frequentemente avaliado por
um terceiro e recebe um nvel de categoria (e/ou um PL e SIL CL). O MSR
frequentemente inclui a capacidade de canal duplo, monitorao de vrios canais,
monitorao de dispositivo externo e de proteo contra curto-circuito. No h
padres especficos registrados para fornecer orientaes sobre o projeto ou uso
de rels de monitorao de segurana. Os MSRs so avaliados quanto sua
capacidade de desempenhar a funo de segurana de acordo com EN ISO 13849-1
ou com o EN 954-1. A avaliao do MSR deve ser a mesma ou maior do que
a classificao necessria ao sistema em que usado.

Dois contatores ajudam a garantir que a funo de segurana seja cumprida pelos
dispositivos de sada. Com proteo contra sobrecarga e curto-circuito, a probabilidade
de falha do contator pela solda dos contatos pequena, mas no impossvel.
Um contator tambm pode falhar devido a seus contatos de comutao de energia
sendo fechados devido a uma armadura presa. Se um contator falhar para um estado
perigoso, o segundo contator ir desligar o perigo. O MSR detectar o contator com
falha no prximo ciclo da mquina. Quando a porta fechada e o boto PARTIDA
pressionado, os contatos ligados mecanicamente do contator com falha permanecero
abertos e o MSR no ser capaz de fechar os contatos de segurana, assim,
revelando a falha.
Falhas no detectadas

Com uma estrutura do sistema de categoria 3, pode haver algumas falhas que
no podem ser detectadas, mas que no devem, por si s, levar perda da funo
de segurana.
Onde falhas podem ser detectadas precisamos saber se, em algumas circunstncias,
elas poderiam ser mascaradas ou involuntariamente removidas pela operao de
outros dispositivos dentro da estrutura do sistema.

115

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
+V
Aux
K1

SCP
Falha da fiao
no sistema
Sw1

Sw2

Sw3

Ch2

L1 L2 L3
SCP

Aux
K2

Iniciar
Parar

K1
Ch1
Falha Ch1
da fiao
no sistema Ch2

TS
Gnd

Conexo em srie de dispositivos de entrada

K1

K2
OP

K2

TS

Motor
(Perigo)

Contatores

Aqui temos uma abordagem amplamente utilizada para conectar mltiplos dispositivos
a um rel de segurana de monitorao. Cada dispositivo contm dois contatos de
ao de abertura direta normalmente fechados. Estes dispositivos podem ser uma
mistura de intertravamentos ou botes de parada de emergncia. Este abordagem
economiza custos com fiao, j que os dispositivos de entrada so ligados em
cadeia. Assumindo que uma falha de curto-circuito ocorra em um dos contatos
no Sw2 como mostrado. Esta falha pode ser detectada?
Se Sw1 (ou Sw3) for aberto, tanto Ch1 quanto Ch2 esto com circuito aberto
e o MSR desliga o perigo. Se Sw3 abrir e depois fechar de novo, a falha em seus
contatos no ser detectada porque no h nenhuma mudana de status no MSR:
tanto Ch1 quanto Ch2 continuam abertos. Se Sw1 (ou Sw3) for fechado, o perigo
pode ser reiniciado ao pressionar o boto PARTIDA. Sob estas circunstncias,
a falha no causou uma perda da funo de segurana, mas no foi detectada,
permanece no sistema e uma falta subsequente (um curto-circuito entre o segundo
contato de Sw2) pode conduzir perda da funo de segurana.

116

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Se o Sw2 s foi aberto e fechado, sem funcionamento das outras chaves, o Ch1
abre e o Ch2 permanece fechado. O MSR desliga o perigo porque Ch1 foi aberto.
Quando o Sw2 fecha, o motor no pode ser ligado quando o boto PARTIDA
pressionado, j que Ch2 no foi aberto. A falha detectada. No entanto, se,
por qualquer razo, o Sw1 (ou Sw3) for ento aberto e fechado, tanto Ch1 quanto
Ch2 tero circuito aberto e depois fechado. Esta sequncia simula a remoo
da falha e resultar em reset no intencional do MSR.

Isto levanta a questo de que a DC poderia ser reivindicada para as chaves individuais
dentro desta estrutura ao usar o EN ISO 13849-1 e IEC 62061. No momento da
publicao deste texto, no h nenhuma orientao definitiva especfica sobre isso,
mas normal e razovel supor uma DC de 60% sob a condio de que os interruptores
sejam testados individualmente em perodos adequados para revelar falhas. Se for
previsvel que uma (ou mais) das chaves nunca sero testadas individualmente,
em seguida, pode-se argumentar que sua DC deve ser descrita como zero.
No momento da publicao deste texto, o EN ISO 13849-2 est em fase de reviso.
Quando for publicada, poder fornecer mais orientaes sobre esta questo.
A ligao em srie de contatos mecnicos limitada categoria 3, uma vez que
podem conduzir perda da funo de segurana, devido a uma acumulao de
erros. Em termos prticos, a reduo da DC (e, por conseguinte, FFS) limitaria
o mximo alcanvel de PL e SIL para PLd e SIL2.
interessante notar que essas caractersticas de uma estrutura de categoria 3
sempre exigiram considerao, mas elas so postas em destaque pelos mais
recentes padres de segurana funcionais.

117

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
L1 L2 L3

+V
SCP
24Vcc
Parada
de emergncia

Iniciar

Alimentao
de controle
da porta

Parar

Rel
Ch1
de segurana
de monitorao Ch2
Ch1
Comunic.
Habilitar

Ch2

Circuito
de controle
da porta

Gnd

Inversores classificados para segurana com parada


de emergncia classificada para categoria 3

Inversor de frequncia
varivel classificado
p/segurana

Motor
(Perigo)

Aqui temos um circuito de categoria 3, usando um inversor de frequncia classificado


para segurana. A evoluo da tecnologia do inversor, juntamente com a atualizao
dos padres EN/IEC 60204-1 e NFPA79, permitem que a classificao de segurana
possa ser utilizada em circuitos de parada de emergncia, sem a necessidade de
uma desconexo eletromecnica do atuador (por exemplo, o motor).

Pressionar a parada de emergncia abre as sadas do MSR. Isto envia um sinal de


parada para o inversor, remove o sinal de habilitao e abre a alimentao de controle
da porta. O inversor executa uma Parada de categoria 0 para remover imediatamente
a energia do motor. Esta funo conhecida como Desligamento seguro do torque.
O inversor atinge a categoria 3 pois tem sinais redundantes para desligar o motor:
a habilitao e um rel guiado positivo. O rel positivo guiado fornece realimentao
razoavelmente praticvel para o atuador. O prprio inversor analisado para
determinar se uma nica falha no conduz perda da funo de segurana.

118

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
+V
Aux
K1

SCP

L2

L3
SCP

Aux
K2

Iniciar

Ch2

L1

Parar
K1

Ch1

Proteo
fechada

Rel
Ch1
de segurana
de monitorao Ch2

K2
OP

Chave
operada por
linguetas
TS

K1

K2

Gnd

TS

Motor
(Perigo)

Contatores

Exemplo de falha de fiao

Falha da fiao
no sistema

Temos aqui um exemplo de uma falha na fiao, um curto-circuito, a partir da


sada de segurana MSR no Canal 2 da bobina do contator K1. Todos os
componentes esto funcionando corretamente. Esta falha na fiao pode
ocorrer antes do comissionamento da mquina ou em alguma data posterior
durante a manuteno ou aprimoramento.
Esta falha pode ser detectada?

Esta falha no pode ser detectada pelo sistema de segurana, como mostrado.
Felizmente ela no pode, por si s, causar a perda da funo de segurana.
Esta falha, tal como a falha de Ch1 para K2, deve ser detectada durante o
comissionamento ou verificao aps os trabalhos de manuteno. A lista de
possveis excluses de falhas indicadas em EN ISO 13849-2, Anexo D, Tabela D4
esclarece que estes tipos de falhas podem ser excludos se o equipamento estiver
contido em um gabinete eltrico e tanto o gabinete quanto a fiao cumprirem os
requisitos de IEC/EN 60204-1. O relatrio tcnico conjunto sobre EN ISO 13849-1
e IEC 62061 tambm esclarece que esta excluso de falhas pode ser considerada
at PLe e SIL3 (inclusive). Isto tambm pode ser usado na categoria 4.

119

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Uma falha de canal cruzado
na fiao do sistema
+V
Aux
K1

SCP

OSSD1

L2

L3
SCP

Aux
K2

Iniciar

OSSD2

L1

Parar
K1

Emissor

Receptor
Rel
Ch1
de segurana
de monitorao Ch2

K2
OP

TS

K1

K2

Gnd

Falha de fiao de canal cruzado com cortinas de luz

TS

Motor
(Perigo)

Contatores

Aqui temos um sistema de segurana de exemplo, com cortinas de luz (sadas OSSD)
O sistema de segurana pode detectar essa falha?

O MSR no consegue detectar esta falha, pois ambas as entradas so puxadas para
+V. Neste exemplo, a falha na fiao detectada pela cortina de luz. Algumas cortinas
de luz usam uma tcnica de deteco de falhas chamada de teste de pulso.
Com essas cortinas de luz, a deteco da falha imediata, e a cortina de luz
desliga sua sada. Em outros, a deteco feita quando a cortina de luz apagada.
Quando a cortina de luz tenta energizar sua sada, a falha detectada e a sada
permanece desligada. Em ambos os casos, o perigo permanece desligado na
presena da falha.
Teste de pulso para deteco de falhas

Os circuitos de segurana so projetados para transportar corrente quando o


sistema de segurana estiver ativo e o perigo estiver protegido. O teste de pulso
uma tcnica onde a corrente do circuito cai para zero por um perodo muito curto.
A durao curta demais para o circuito de segurana reagir e desligar o perigo,
mas suficientemente longa para um sistema baseado em microprocessador
detectar. Os pulsos nos canais sofrem defasagem um do outro. Se ocorrer um
curto-circuito de falha cruzada, o microprocessador detecta os pulsos em ambos
os canais e inicia um comando para desligar o perigo.

120

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Categoria 4

Como a categoria 3, a categoria 4 exige que o sistema de segurana cumpra a


categoria B, utilize princpios de segurana e execute a funo de segurana na
presena de uma nica falha. Diferentemente da categoria 3, onde uma acumulao
de falhas pode levar perda da funo de segurana, a categoria 4 exige o
desempenho da funo de segurana na presena de um acmulo de falhas.
Ao considerar um acmulo de falhas, duas podem ser suficientes, apesar de trs
falhas poderem ser necessrias para alguns projetos.

Temos aqui o diagrama de


blocos para a categoria 4.
A monitorao de ambos
Obrigatria monitorao os dispositivos de sada
p/deteco de falha
e a monitorao cruzada
so essencialmente
Fiao
Entrada
Sada
Lgica
exigidas, no somente onde
Fiao
razoavelmente praticvel.
Isto ajuda a diferenciar a categoria 4 da categoria 3.
Entrada

Fiao

Lgica

Fiao

Sada

+V
Aux
K1

SCP

L2

L3
SCP

Aux
K2

Iniciar

Ch2

L1

Parar
K1

Ch1

Proteo
fechada

Rel
Ch1
de segurana
Ch2
de monitorao

K2
OP

Chave
operada por
linguetas
TS

K1

K2

Gnd

TS

Motor
(Perigo)

Contatores

Categoria 4 com excluso de falha no intertravamento de lingueta

Temos aqui um exemplo de circuito de categoria 4 com excluso de falha no


intertravamento da lingueta. A excluso de falha elimina a considerao da falha dos
contatos com a abertura do intertravamento da lingueta. A excluso de falha deve
ser tecnicamente justificada e documentada. A velocidade do atuador, seu alinhamento,
os batentes mecnicos e um cabeote de operao seguro devem ser considerados
na justificativa.

121

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Se o projetista do sistema de segurana preferir usar o intertravamento da lingueta,
mas no se sentir confortvel com o uso de excluso de falhas nos intertravamentos,
ento, dois intertravamentos da lingueta podem ser usados para atender categoria 4.
O rel de segurana de monitorao deve ser dimensionado para atender
categoria 4 e os dois contatores de sada, usando os contatos ligados
mecanicamente, devem ser monitorados.
A diversidade pode ser aplicada para reduzir ainda mais a probabilidade de perda
da funo de segurana devido s falhas de modo comum ou causa comum, uma
das chaves de intertravamento da lingueta pode ser convertida para o modo negativo.
Uma chave funcionando em modo negativo aceitvel desde que uma segunda
chave use contatos de ao de abertura direta. O diagrama a seguir mostra um
exemplo desta abordagem diversificada. Com esta abordagem, o MSR deve ser
projetado para aceitar entradas normalmente abertas e normalmente fechadas.
Modo negativo
+V
Aux
K1

SCP
Ch1

L1

L2

L3
SCP

Aux
K2

Iniciar

Parar
K1

Proteo
fechada

Rel
Ch1
de segurana
de monitorao Ch2

K2
OP

Chaves
operadas por
linguetas
Ch2

TS

K1

K2

TS

Motor
(Perigo)

Gnd
Contatores

Categoria 4 com vrios intertravamentos de lingueta redundantes

Classificaes de componentes e sistemas

As categorias podem ser usadas como parte das classificaes do componente


de segurana (dispositivo), bem como as classificaes do sistema. Isso gera uma
certa confuso que pode ser esclarecida atravs da compreenso dos componentes
e suas capacidades. Ao estudar os exemplos anteriores vemos que o componente
assim como uma chave de intertravamento classificada na categoria 1 pode ser
usada por si s, em um sistema de categoria 1, e pode ser utilizada num sistema
de categoria 2, se a monitorao da funo adicional for fornecida. Isto tambm

122

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
pode formar parte de um sistema de categoria 3 ou 4 se dois dos componentes
forem usados em conjunto com uma funo de diagnstico fornecida por um rel
de segurana de monitorao.

Alguns componentes, como o rel de segurana de monitorao e os controladores


de segurana programveis, tm os seus prprios diagnsticos internos e verificam-se
para garantir o desempenho adequado. Assim, eles podem ser classificados como
componentes de segurana para atender s categorias 2, 3 ou 4 sem quaisquer
medidas adicionais.
Consideraes e excluses de falha

A anlise de segurana exige uma extensa anlise de falhas e necessria uma


compreenso completa do desempenho do sistema de segurana na presena
de falhas. Os ISO 13849-1 e ISO 13849-2 fornecem detalhes sobre consideraes
e excluses de falhas.
Se uma falha resultar em uma falha de um componente subsequente, a primeira
falha e todas as falhas subsequentes devero ser consideradas uma falha.

Se duas ou mais falhas ocorrem como resultado de uma nica causa, as falhas devem
ser considerados uma nica falha. Isto conhecido como uma falha de causa comum.

A ocorrncia de duas ou mais falhas ao mesmo tempo considerada altamente


improvvel e no considerada na anlise. H uma suposio bsica de que uma
nica falha pode ocorrer entre as exigncias colocadas sobre a funo de segurana,
desde que o perodos entre o uso da funo no sejam excessivamente longos.
Excluses de falhas

O EN 954-1, e as mais recentes EN ISO 13849-1 e IEC 62061, permitem o uso


de excluses de falhas ao determinar um sistema de classificao de segurana
se puder ser demonstrado que a ocorrncia da falha extremamente improvvel.
importante que as situaes onde as excluses de falhas forem usadas sejam
devidamente fundamentadas e vlidas pela vida til esperada do sistema de
segurana. Quanto maior o nvel de risco protegido pelo sistema de segurana,
mais rigorosa a justificativa exigida para a excluso de falha. Isto sempre causou
certa confuso sobre quando certos tipos de excluso de falha podem ou no ser
usados. Como j vimos neste captulo, os padres mais recentes e documentos
de orientao esclareceram alguns aspectos desta questo.

Em geral, quando PLe ou SIL3 so especificados para uma funo de segurana


a ser implementada por um sistema de segurana, no normal basear-se apenas
nas excluses de falha para a obteno deste nvel de desempenho. Isso depende
da tecnologia usada e do ambiente operacional pretendido. Portanto, essencial
que o projetista tenha cuidado adicional sobre o uso de excluses de falhas na medida

123

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
em que PL ou SIL aumentam. Por exemplo, as excluses de falhas no so aplicveis
aos aspectos mecnicos das chaves de posio eletromecnicas e chaves manualmente
operadas (por exemplo, um dispositivo de parada de emergncia) para obter um
sistema PLe ou SIL3. As excluses de falha que podem ser aplicadas s condies
especficas de falhas mecnicas (por exemplo, o desgaste/corroso, fratura) esto
descritas na Tabela A.4 do ISO 13849-2. Portanto, um sistema de intertravamento
de proteo que deva alcanar PLe ou SIL3 precisar incorporar uma tolerncia
mnima a falhas de 1 (por exemplo, duas chaves de posio mecnica convencionais),
para alcanar este nvel de desempenho, uma vez que normalmente no justificvel
excluir falhas de atuadores de comutao quebrados. No entanto, pode ser aceitvel
excluir falhas, como curto-circuito de fiao dentro de um painel de controle designado
de acordo com os padres relevantes.
Mais informaes sobre o uso de excluses de falhas sero fornecidas na prxima
reviso do padro EN ISO 13849-2.
Categorias de parada de acordo com IEC/EN 60204-1 e NFPA 79

tanto infeliz quanto confuso que o termo Categoria em relao aos sistemas
de controle relacionados segurana tenha dois significados diferentes. At agora
discutimos as categorias que foram originadas no EN 954-1. Elas so uma classificao
do desempenho de um sistema de segurana sob condies de falhas.
H tambm uma classificao conhecida como Categorias de parada que se
originou no IEC/EN 60204-1 e NFPA 79. Existem trs categorias de parada.

A categoria de parada 0 requer a remoo imediata da energia dos atuadores.


Isso s vezes considerado como uma parada descontrolada porque, em algumas
circunstncias, o movimento pode levar algum tempo para cessar, j que o motor
pode ficar livre para parar por inrcia.
A categoria de parada 1 requer que a energia seja retida para aplicar a frenagem
at que a parada seja atingida e ento o atuador seja desligado.
A categoria de parada 2 permite que a energia no seja removida do atuador.

Observe que somente as categorias de parada 0 ou 1 podem ser usadas como


paradas de emergncia. A escolha de qual das duas categorias utilizar deve ser
ditada por uma avaliao de risco.

Todos os exemplos de circuitos mostrados at agora neste captulo usaram uma


categoria de parada 0. Uma categoria de parada 1 atingida com uma sada com
atraso de tempo para uma remoo final de energia. Uma proteo intertravada
com trava frequentemente acompanha um sistema de parada de categoria 1.
Isto mantm a proteo trancada e fechada at que a mquina atinja um estado
seguro (ou seja, parado).

124

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Parar uma mquina sem levar em considerao o controlador programvel pode
afetar o rearme e resultar em danos graves ferramenta e mquina. Um CLP
padro (inseguro) no pode ser responsvel sozinho por uma tarefa relacionada a
uma parada de segurana; portanto, outras abordagens precisam ser consideradas.
Duas solues possveis so dadas abaixo:

1. Rel de segurana com comando de supresso de atraso de tempo

usado um rel de segurana com sadas de ao imediata e de ao com


retardo. As sadas de atuao imediata esto ligadas s entradas no dispositivo
programvel (por exemplo, CLP) e as sadas com ao com atraso so ligadas ao
contator. Quando a chave de proteo de intertravamento acionada, as sadas
imediatas no rel de segurana so chaveadas. Isso sinaliza o sistema
programvel para realizar uma parada corretamente sequenciada. Aps um tempo
curto, porm suficiente, ter transcorrido para permitir este processo, a sada com
atraso do rel de segurana chaveada e isola o contator principal.
Observao: Quaisquer clculos para determinar o tempo de parada total
devem levar o perodo do atraso de sada do rel de segurana em conta. Isto
particularmente importante ao usar este fator para determinar o posicionamento
dos dispositivos de acordo com o clculo da distncia segura.
2. CLPs de segurana

As funes de tempo e lgica requeridas podem ser convenientemente


implementadas atravs do uso de um CLP (de segurana) com um nvel de
integridade de segurana apropriado. Na prtica, isto seria alcanado pelo uso
de um CLP de segurana como o SmartGuard ou GuardLogix.
Requisitos dos EUA para sistemas de controle

Nos EUA, os requisitos para os sistemas de controle relacionados segurana


podem ser encontrados em vrios padres diferentes, mas dois documentos
destacam-se: ANSI B11.TR3 e ANSI R15.06. O relatrio tcnico ANSI B11.TR3
estabelece quatro nveis caracterizados pela quantidade prevista de reduo do
risco que cada um pode oferecer. Os requisitos para cada nvel seguem:
Reduo de risco no grau mais baixo

No ANSI B11.TR3, as protees que proporcionam menor grau de reduo de risco


incluem dispositivos eltricos, hidrulicos ou pneumticos e sistemas de controle
associados, utilizando uma configurao de canal nico. Implcita nos requisitos
est a exigncia de utilizao de dispositivos com classificao de segurana.
Isto est estreitamente alinhado com a categoria 1 do ISO13849-1.

125

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Reduo de risco baixa/intermediria

As protees no ANSI B11.TR3 que proporcionam reduo de riscos


baixa/intermediria incluem sistemas de controle com redundncia que podem
ser verificados manualmente para garantir o desempenho do sistema de segurana.
Olhando para os requisitos puros, o sistema emprega redundncia simples.
O uso de uma funo de verificao no necessrio. Sem a verificao, um dos
componentes de segurana redundantes pode falhar e o sistema de segurana no
perceber isso. Isso resultaria em um sistema de canal nico. Este nvel de reduo
de risco alinha-se melhor com a categoria 2, quando a verificao usada.
Reduo de risco alta/intermediria

As protees proporcionando reduo de risco alta/intermediria no ANSI B11.TR3


incluem sistemas de controle tendo redundncia com autoverificao na inicializao
para confirmar o desempenho do sistema de segurana. Para mquinas que so
ligadas todos os dias, o autocontrole proporciona uma melhora significativa na
integridade da segurana sobre o sistema puramente redundante. Para mquinas
ligadas 24 horas por dia, a autoverificao uma melhora marginal, na melhor das
hipteses. Empregar monitorao peridica do sistema de segurana alinha-se com
as exigncias da categoria 3.
Reduo de risco no grau mais alto

ANSI B11.TR3 proporciona uma reduo maior de risco atravs de sistemas


de controle redundantes e com autoverificao contnua. A autoverificao deve
verificar o desempenho do sistema de segurana. O desafio para o projetista
do sistema de segurana determinar o que contnuo. Muitos sistemas
de segurana efetuam os controles na inicializao e quando a demanda
colocada sobre o sistema de segurana.

Alguns componentes, por outro lado, realizam autoverificao contnua. Cortinas de


luz, por exemplo, sequencialmente ligam e desligam seus LEDs. Se ocorrer uma falha,
a cortina de luz desliga suas sadas antes que uma demanda seja colocada no
sistema de segurana, j que ela verifica a si mesma continuamente. Os rels com
base em microprocessador e os CLPs de segurana so outros componentes que
executam autoverificao contnua.
O requisito do sistema de controle para autoverificao contnua no destina-se a
limitar a seleo de componentes a cortinas de luz e unidade de lgica baseadas
em microprocessador. A verificao deve ser feita na inicializao e depois de cada
demanda ao sistema de segurana. Este nvel de reduo de risco destina-se ao
alinhamento com a categoria de 4 do ISO13849-1.

126

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Padres para robs: EUA e Canad

Os padres para robs nos EUA (ANSI RIA R15.06) e Canad (CSA Z434-03) so
muito similares. Ambos tm quatro nveis, os quais so semelhantes s categorias
do EN954-1:1996 e que so descritos abaixo.
Simples

Neste nvel mais baixo, os sistemas de controle simples de segurana devem ser
concebidos e construdos com circuitos aceitos de canal nico; esses sistemas podem
ser programveis. No Canad, este nvel ainda mais restrito para fins de sinalizao
e anncio apenas. O desafio para o projetista do sistema de segurana determinar o
que aceito. O que um circuito de canal nico aceito? Para quem o sistema
aceitvel? A categoria simples a mais prxima da categoria B do EN954-1:1996.
Canal nico

O prximo nvel um sistema de controle de segurana de um canal nico que:

baseado em hardware ou um dispositivo de software/firmware


classificado para segurana;
Inclui componentes classificados para segurana; e

usado de acordo com as recomendaes dos fabricantes; e


Utiliza projetos de circuitos comprovados.

Um exemplo de um projeto de circuito comprovado um dispositivo de ruptura


positiva eletromecnico de canal nico que sinaliza uma parada em um estado
sem corrente. Sendo um sistema de canal nico, a falha de um nico componente
pode levar perda da funo de segurana. A categoria simples a mais
estreitamente alinhada com a categoria 1 do EN9541:1996.
Dispositivo de software/firmware classificado para segurana

Embora os sistemas baseados em hardware tenham sido o mtodo preferido de


fornecer segurana de robs, os dispositivos de software/firmware esto se tornando
uma opo popular devido sua capacidade de lidar com sistemas complexos.
Dispositivos de software/firmware (CLPs ou controladores de segurana) so permitidos,
desde que sejam classificados para segurana. Esta classificao exige que a falha
de um nico componente relacionado segurana ou firmware no conduza perda
da funo de segurana. Quando a falha detectada, a operao automtica
subsequente do rob impedida at que a falha seja eliminada.

127

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Para conseguir uma classificao de segurana, o dispositivo de software/firmware
deve ser testado de acordo com um padrao aprovado por um laboratrio aprovado.
Nos EUA, a OSHA mantm uma lista de laboratrios reconhecidos nacionalmente
(NRTL). No Canad, o Standards Council of Canada (SCC) mantm uma lista similar.
Canal nico com monitorao

Sistemas de controle de segurana de canal nico com monitorao devem satisfazer


os requisitos de um nico canal; ter classificao de segurana e utilizar a verificao.
A verificao da funo de segurana deve ser feita na partida da mquina
e periodicamente durante a operao. A verificao automtica prefervel
verificao manual.
A operao de verificao permite a operao caso nenhuma falha tenha sido
detectada ou gera um sinal de parada se for detectada uma falha. Deve ser
fornecida uma advertncia se um perigo permanecer aps a cessao do
movimento. Claro, a prpria verificao no deve causar situaes de risco.
Aps detectar a falha, o rob deve permanecer em estado seguro at que a
falha seja corrigida. O canal nico com monitorao est mais estreitamente
alinhado com a categoria 2 do EN954-1:1996
Controle confivel

O maior nvel de reduo de risco nos padres para robs dos EUA e Canad
alcanado por sistemas de controle relacionados segurana que atendam os
requisitos de controle confivel. Sistemas de controle relacionados seguranca
com o controle confivel so arquiteturas de canais duplos com monitorao.
A funo de parada do rob no deve ser evitada por nenhuma falha de um
nico componente, incluindo a funo de monitorao.

A monitorao deve gerar um comando de parada aps a deteco de uma falha.


Se um perigo continuar aps o trmino do movimento, deve ser emitido um sinal
de advertncia. O sistema de segurana deve permanecer em um estado seguro
at que a falha seja corrigida. De preferncia, a falha detectada no momento em
que ocorre. Se isto no puder ser alcanado, ento a falha deve ser detectada na
prxima demanda do sistema de segurana. As falhas de modo comum devem ser
levadas em considerao se existe uma probabilidade significativa de tal falha ocorrer.

Os requisitos canadenses diferem dos americanos pela adio de dois requisitos


adicionais. Primeiro, os sistemas de controle relacionados segurana devem ser
independentes dos sistemas normais de controle do programa. Segundo, o sistema
de segurana no deve ser facilmente desligado ou contornado sem deteco.
Os sistemas de controle confiveis alinham-se com as categorias 3 e 4 do
EN 954-1:1996.

128

SAFEBOOK 4

Sistema de controle relacionado segurana,


consideraes estruturais
Comentrios sobre o controle confivel

O aspecto mais fundamental de controle confivel a tolerncia a falhas nicas.


Os requisitos definem como o sistema de segurana deve responder na presena de
uma falha nica, qualquer falha nica ou qualquer falha de um componente nico.

Trs conceitos muito importantes devem ser considerados a respeito de falhas: (1)
nem todas as falhas so detectadas, (2) adicionar a palavra componente levanta
dvidas sobre a fiao e (3) a fiao uma parte integrante do sistema de segurana.
Falhas na fiao podem resultar na perda de uma funo de segurana.
A inteno da confiabilidade de controle claramente o desempenho da funo de
segurana na presena de uma falha. Se a falha for detectada, ento o sistema de
segurana deve executar uma ao de segurana, fornecer notificao da falha e
impedir a operao da mquina at que a falha seja corrigida. Se a falha no for
detectada, a funo de segurana ainda deve ser realizada sob demanda.

129

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Exemplo de aplicao usando SISTEMA

Este exemplo de aplicao ilustrar como conectar, configurar e programar um PAC


Compact GuardLogix e a E/S PointGuard para monitorar um sistema de segurana
de duas zonas. Cada zona consiste em uma nica chave de segurana de
intertravamento que, quando acionada, sinaliza a remoo da energia de um par
de contatores redundantes para essa zona. Isto duplicado na segunda zona.
Ambas as zonas tambm so protegidas por uma parada de emergncia global
que, em atuao, sinaliza o fechamento de ambas as zonas com segurana.
OBSERVAO: Este exemplo apenas para fins ilustrativos. Devido s muitas
variveis e requisitos associados a qualquer instalao particular, a Rockwell
Automation no assume a responsabilidade pelo uso real com base neste exemplo.
Recursos e benefcios

O Compact GuardLogix permite que tanto as aplicaes padro como as


de segurana sejam executadas em um nico controlador.
As E/S padro e de segurana podem ser misturadas em um nico
adaptador Ethernet.

O status de segurana e diagnstico pode ser facilmente passado da aplicao


de segurana para a aplicao padro, para exibio em IHM e passada
remotamente para dispositivos adicionais via Ethernet.
A aplicao descrita aqui pode ser ampliada e incorporada em uma
aplicao de cliente.

Descrio

Esta aplicao monitora duas zonas. Cada zona protegida por um interruptor de
segurana SensaGuard. Se qualquer dos portes estiver aberto, os contatores de
sada sero desenergizados, desligando qualquer equipamento associado quela
zona. O reset manual. Ambas as zonas tambm so protegidas por uma chave
de parada de emergncia global. Se a parada de emergncia for acionada,
ambos os conjuntos de contatores desenergizam-se.
Funo de segurana

Cada interruptor de segurana SensaGuard est ligado a um par de entradas


de segurana de um mdulo 1734-IB8S (E/S POINTGuard). O mdulo de E/S
conectado via segurana CIP em uma rede EtherNet/IP ao controlador de segurana
Compact GuardLogix (1768- L43S). O cdigo de segurana no processador de
segurana monitora o estado das entradas de segurana, usando uma instruo
de segurana pr-certificada chamada Parada de Entrada de Canal Duplo (DCS).
O cdigo de segurana executado em paralelo com uma configurao de
processador 1oo2. Quando todas as condies esto satisfeitas, o gate de segurana

130

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


est fechado, nenhuma falha detectada nos mdulos de entrada, a parada de emergncia
global no est acionada e o boto de reset pressionado, um segundo bloco de
funes certificado chamado sada configurvel redundante (CROUT) verifica o
status dos dispositivos de controle finais, um par de contatores redundantes 100S.
O controlador ento emite um sinal de sada para o mdulo 1734-OBS para LIGAR
um par de sadas para energizar os contatores de segurana. A funo de parada
de emergncia global tambm monitorada por uma instruo DCS. Caso a parada
de emergncia global seja acionada, ela desativa ambas as zonas.
Lista de materiais

Este exemplo de aplicao usa esses componentes.


Cdigo de
catlogo

Descrio

Quantidade

440N-Z21SS2A

Chave SensaGuard
Plstico sem contato RFP

800FM-G611MX10

Boto de reset 800F, metlico, com proteo,


azul, R, montagem com trava metlica,
1 contato NA, padro

Mdulo ponte EtherNet/IP CompactLogix

100S-C09ZJ23C

Cd. cat. 100S-C - Contatores de segurana

1768-L43S

Processador CompactLogix L43, 2,0 MB


de memria padro, 0,5 MB de memria
de segurana

1768-ENBT

1768-PA3
1769-ECR

1734-AENT
1734-TB
1734-IB8S

1734-OB8S

1783-US05T

Fonte de alimentao, entrada de 120/240


Vca, 3,5 A em 24 Vcc

Adaptador Ethernet 24 Vcc

Terminao/terminador direito

Mdulo base com terminais de parafuso


IEC removveis

Mdulo de entrada de segurana

Switch Ethernet no gerencivel Stratix 2000

Mdulo de sada de segurana

131

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Instalao e fiao

Para obter informaes detalhadas sobre a instalao e fiao, consulte o manual


fornecido com o produto ou faa o download em:
http://literature.rockwellautomation.com
Viso geral do sistema

O mdulo de entrada 1734-IB8S monitora as entradas de ambas as chaves


SensaGuard.

O SensaGuard usa sadas OSSD que realizam testes peridicos das sadas. Assim,
so as sadas OSSD que esto testando a integridade da fiao entre o interruptor
SensaGuard e as entradas de segurana.
As sadas de teste de pulso esto configuradas como fontes de 24V.

O dispositivo de controle final um par de contatores de segurana 100S, K1 e K2.


Os contatores so controlados pelo mdulo de sada de segurana 1734-OBS. Eles so
ligados em uma configurao redundante e so testados na partida em busca de falhas.
O teste de partida conseguido por meio do monitorao do circuito de retorno para
a entrada 2 (I2), antes de os contatores serem energizados. Isso feito usando uma
instruo de sada redundante configurvel (CROUT). O sistema reinicializado
pelo boto momentneo, PB1.
Fiao

Reset de falha PB2

Azul
Marrom
Vermelho
Amarelo

Interruptor

Branco
Rosa
Cinza

Atuador

Interruptor

Atuador

Reset PB1

1734-IB8S
I0

I1 14

15 I0

I1

Branco
Rosa
Cinza

I2

I3 16

17 I2

I3

Azul

COM COM COM COM COM COM

Marrom
Vermelho
Amarelo

T0

T1 T2

O0

O1 O4

O5

O2

O3 O6

O7

K1
K2

T3M T0

Parada
de emergncia

T1

K3
K4

COM COM COM COM

COM COM COM COM

1734-OB8S

132

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


Configurao

O controlador Compact GuardLogix configurado usando o RSLogix 5000, verso


18 ou posterior. Voc deve criar um novo projeto e adicionar os mdulos de E/S.
Em seguida, configure os mdulos de E/S para os tipos de entrada e sada
corretos. Uma descrio detalhada de cada etapa vai alm do escopo deste
documento. Deduz-se que haja conhecimento do ambiente de programao
RSLogix.
Configure o controlador e adicione mdulos de E/S

Siga estes passos.

1. No software RSLogix 5000, crie um novo projeto.

2. No Organizador do controlador, adicione o mdulo 1768-ENBT para o


barramento 1768.

133

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
3. Selecione o mdulo 1768-ENBT e clique em OK.

4. Nomeie o mdulo, digite o seu endereo IP e clique em OK. Usamos 192.168.1.8


para este exemplo de aplicao. O seu pode ser diferente.

134

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


5. Adicione o adaptador 1734-AENT clicando com o boto direito do mouse no
mdulo 1768-ENBT no organizador do controlador e escolhendo New Module.

6. Selecione o adaptador 1734-AENT e clique em OK.

135

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
7. Nomeie o mdulo, digite o seu endereo IP e clique em OK. Usamos
192.168.1.11 para este exemplo de aplicao. O seu pode ser diferente.
8. Clique em Change.

9. Defina o tamanho do chassi como 4 para o adaptador 1734-AENT e clique em


OK. O tamanho do chassi o nmero de mdulos que sero inseridos no chassi.
O adaptador 1734-AENT considerado no slot 0, ento para dois mdulos de
entrada e um mdulo de sada, o tamanho do chassi 4.
10. No organizador do controlador, clique com o boto direito do mouse no
adaptador 1734-AENT e selecione New Module.

136

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


11. Expanda a Safety, selecione o mdulo 1734-IB8S e clique em OK.

12. Na caixa de dilogo New Module, nomeie o dispositivo CellGuard_1 e clique


em Change.

137

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
13. Quando a caixa de dilogo Module Definition for aberta, altere o status
da entrada para Combined Status-Power e clique em OK.

14. Feche a caixa de dilogo Module


Properties clicando em OK.

15. Repita os passos 10-14 para adicionar


um segundo mdulo de entrada de
segurana 1734-IB8S e um mdulo
de sada de segurana 1734-OB8S.

Configurar os mdulos de E/S

Siga estes passos para configurar os mdulos de E/S POINT Guard.

1. No organizador do controlador, clique com o boto direito do mouse no mdulo


1734-IB8S e escolha Properties.
2. Clique em Input Configuration e configure o mdulo como mostrado.

138

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


3. Clique em Test Output e configure o mdulo como mostrado.

4. Clique em OK.

5. No organizador do controlador, clique com o boto direito do mouse no segundo


mdulo 1734-IB8S e escolha Properties.
6. Clique em Input Configuration e configure o mdulo como mostrado.

139

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
7. Clique em Test Output e configure o mdulo como mostrado.

8. Clique em OK.

9. No organizador do controlador, clique com o boto direito do mouse no mdulo


1734-OB8S e escolha Properties.
10. Clique em Output Configuration e configure o mdulo como mostrado.

11. Clique em OK.

140

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


Programao

A instruo DCS monitora dispositivos de entrada dupla de segurana, cuja principal


funo a de parar a mquina com segurana, por exemplo, uma parada de
emergncia, cortina de luz ou gate de segurana. Esta instruo s pode energizar
a Sada 1 quando as duas entradas de segurana, Canal A e Canal B, estiverem no
estado ativo, conforme determinado pelo parmetro de tipo de entrada e as aes
de redefinio corretas forem realizadas. A instruo DCS monitora os canais de
entrada dupla para a consistncia (Equivalent Active High) e detecta e captura falhas
quando a inconsistncia for detectada por mais tempo do que a discrepncia de tempo
configurada (ms). A instruo CROUT controla e monitora as sadas redundantes.
O tempo de reao para realimentao de sada configurvel. A instruo suporta
sinais de realimentao positivos e negativos.
O cdigo da aplicao de segurana na rotina de sada de segurana evita que
as sadas reiniciem se o canal de entrada reinicia automaticamente, oferecendo
funcionalidade anti-vinculante para o reset do circuito.

141

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
Reset de borda descendente
O EN ISO 13849-1 estabelece que as funes de reset de instruo devem ocorrer
em sinais de borda descendentes. Para cumprir este requisito, adicione uma instruo
de queda monoestvel no cdigo de reset, como mostrado abaixo.

Dados de desempenho

Quando configuradas corretamente, cada funo de segurana pode conseguir uma


classificao de segurana de PLe, CAT 4 de acordo com o EN ISO 13849.1 2008.

Os clculos baseiam-se no funcionamento durante 360 dias por ano, 16 horas por dia,
com atuao do gate de segurana uma vez por hora, em um total de 5.760 operaes
por ano. A funo de parada de emergncia global testada uma vez por ms.

142

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


Cada funo do gate de segurana pode ser representada como se segue.

K1
100S
SensaGuard
SS1

1734-IB8S

1768-L43S

1734-OB8S
K2
100S

Subsistema 1

Subsistema 2

Subsistema 3

Subsistema 4

143

Subsistema 5

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas
A funo de parada de emergncia pode ser representada como se segue.

1 parada de
emergncia
S1

K1
100S
1734-IB8S

1768-L43S

1734-OB8S

1 parada de
emergncia
S2
Subsistema 1

K2
100S

Subsistema 2

Subsistema 3

Subsistema 4

Subsistema 5

Pode fazer download deste exemplo, o arquivo de clculo do SISTEMA e cdigo do


aplicativo RSLogix 5000 em:
www.discoverrockwellautomation.com

144

SAFEBOOK 4

Exemplo de aplicao usando SISTEMA


Para obter mais informaes sobre os produtos utilizados neste exemplo,
consulte a Literature Library da Rockwell Automation e pesquise pelos nmeros
de publicao destacados abaixo. Alternativamente, visite www.ab.com para obter
caractersticas gerais de produtos.
O url da Literature Library : www.theautomationbookstore.com
Recurso

Descrio

Manual do usurio dos controladores


Compact GuardLogix.
Publicao: 1768-UM002

Fornece informao sobre a


configurao, operao e manuteno
dos controladores Compact GuardLogix

Manual de instalao e do usuario dos


Fornece informaes sobre a instalao,
modulos de seguranca POINT Guard I/O a configurao e a operao dos
Publicao: 1734-UM013
mdulos POINT Guard I/O
Contm os requisitos detalhados
Manual de referencia de segurana dos
para obter e manter classificaes
sistemas de controlador GuardLogix
de segurana com o sistema de
Publicao: 1756-RM093
controlador GuardLogix.
Manual de referncia do conjunto de
instrues para aplicaes de
segurana do GuardLogix.
Publicao: 1756-RM095

Oferece informaes detalhadas


sobre o conjunto de instrues
para aplicaes de segurana
do GuardLogix.

Catlogo de produtos de segurana


Publicao: S117-CA001A

Uma publicao abrangente que inclui


produtos de segurana, exemplos
de aprovao e informaes teis

Guia de Inicio Rapido do kit de


ferramentas acelerador de seguranca
para sistemas GuardLogix.
Publicao: IASIMP-QS005

Fornece um guia passo a passo para a


utilizao das ferramentas de projeto,
programao e diagnstico no kit de
ferramentas acelerador para segurana.

A Rockwell Automation desenvolveu um conjunto de exemplos semelhantes que


podem ser baixados na Literature Library. Acesse a Literature Library e realize uma
busca por SEGURANA EM no campo de pesquisa, ajustando o menu suspenso
para Nmero da publicao.
Clculos SISTEMA e cdigos de aplicaes RSLogix 5000 esto disponveis para
algumas das aplicaes e pode fazer download de:
www.discoverrockwellautomation.com

145

146

1,62 x 10

1,04 x 10-5

-5

1,25 x 10

11

16

7,31 x 10

-6

-6

7,61 x 10

8,78 x 10

15

13

9,51 x 10-5

1,14 x 10

12

10

-5

9,1

1,39 x 10

-5

-5

1,68 x 10-5

-5

1,84 x 10

-5

2,04 x 10

-5

2,24 x 10

2,43 x 10

-5

2,65 x 10-5

-6

-6

4,21 x 10

4,53 x 10

5,33 x 10
b

b
-6

-6

-6

5,84 x 10-6

6,44 x 10-6

7,18 x 10

7,94 x 10

8,87 x 10
-6

9,75 x 10-6

1,08 x 10-5

-5

1,19 x 10

-5

1,33 x 10

-5

1,47 x 10

1,60 x 10
-5

1,76 x 10-5

1,95 x 10-5

-5

-6

-6

-5

-6

-6

-6
-6

2,77 x 10

3,01 x 10

3,64 x 10

-6

4,04 x 10-6

4,53 x 10-6

5,14 x 10

5,71 x 10

6,43 x 10
-6

7,10 x 10-6

7,93 x 10-6

8,80 x 10

9,87 x 10

1,10 x 10

1,20 x 10
-5

1,33 x 10-5

1,48 x 10-5

1,79 x 10

2,13 x 10

3,17 x 10

2,33 x 10
-5

-5

a
-5

-5

-5

1,99 x 10-5

1,52 x 10-5

8,2

Cat. 2

7,5

6,8

6,2

5,6

5,1

PL

2,58 x 10-5

2,93 x 10-5

4,7

Cat. 2

3,9

4,3

PL

3,80 x 10-5

3,46 x 10

3,6

Cat. 1

PL

Cat. 3

PL

Cat. 3

PL

Cat. 4

PL

-5

-6

c
1,67 x 10

1,82 x 10

2,23 x 10

-6

-6

c
-6

2,49 x 10-6

b
2,81 x 10-6

3,21 x 10

-6

3,57 x 10

b
-6

4,02 x 10

-6

4,45 x 10-6

4,98 x 10-6

5,53 x 10

6,21 x 10

-6

-6

6,91 x 10

7,58 x 10
-6

8,39 x 10-6

9,37 x 10-6

1,03 x 10

1,13 x 10
-5

1,26 x 10-5

-6

-6

-6

-6

-6

-6

6,76 x 10

7,44 x 10

9,21 x 10

-7

-7

-7

1,04 x 10-6

1,18 x 10-6

1,36 x 10

1,53 x 10

1,74 x 10

-6

1,95 x 10-6

2,20 x 10-6

2,47 x 10

2,80 x 10

3,15 x 10

3,48 x 10
-6

3,89 x 10-6

4,40 x 10-6

4,86 x 10

5,41 x 10
-6

6,09 x 10-6

DCmdia = nenhum DCmdia = nenhum DCmdia = baixo DCmdia = mdio DCmdia = baixo DCmdia = mdio DCmdia = alto

PL

Probabilidade mdia de uma falha perigosa por hora (1/h) e nvel de desempenho correspondente (PL)

Cat. B

3,3

MTTFd para
cada canal
em anos

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas

4,23 x 10-6

27

147

2,43 x 10-6

1,68 x 10-6

68

1,25 x 10

100

1,14 x 10

1,39 x 10

91

82
-6

-6

-6

1,52 x 10-6

-6

75

1,84 x 10

2,04 x 10
-6

56

2,24 x 10
-6

2,65 x 10-6

3,17 x 10

-6

1,02 x 10

c
-7

-6

5,28 x 10

5,88 x 10

6,61 x 10
-7

-7

-7

7,31 x 10-7

8,17 x 10-7

9,06 x 10

1,13 x 10

c
-6

1,24 x 10-6

1,37 x 10-6

-6

1,53 x 10

-6

1,67 x 10

-6

1,85 x 10

2,06 x 10
-6

2,32 x 10-6

-6

-6

47

3,80 x 10

1,82 x 10

2,65 x 10-6

-6

-7

-7

-6

-7

-7

2,29 x 10

2,61 x 10

3,01 x 10

-7

-7

-7

3,40 x 10-7

3,90 x 10-7

4,43 x 10

5,10 x 10

5,80 x 10
-7

6,49 x 10-7

7,34 x 10-7

8,40 x 10

9,39 x 10

1,06 x 10

1,21 x 10

-6

1,39 x 10-6

1,62 x 10-6

2,06 x 10

2,93 x 10

b
-6

3,26 x 10

-6

-6

2,93 x 10

62

Cat. 2

2,37 x 10-6

-6

51

PL

39

43

Cat. 2

3,68 x 10-6

3,46 x 10

36

PL

33

30

4,76 x 10-6

5,19 x 10

5,71 x 10

-6

6,34 x 10-6

22

24

Cat. 1

PL

Cat. 3

PL

Cat. 3

PL

Cat. 4

PL

-6

-7

-7

-7

-7

-7

1,01 x 10

-7
-7

1,14 x 10

1,35 x 10

-7

1,57 x 10-7

1,84 x 10-7

2,13 x 10

2,52 x 10

2,93 x 10

-7

3,35 x 10-7

3,87 x 10-7

4,53 x 10

5,16 x 10

5,94 x 10

6,94 x 10

-7

8,04 x 10-7

9,47 x 10-7

1,07 x 10

1,22 x 10

-6

1,41 x 10-6

-7

-7

-7

-7

-8

-7

4,29 x 10

4,94 x 10

5,79 x 10

-8

-8

-8

6,62 x 10-8

7,68 x 10-8

8,84 x 10

1,03 x 10

1,19 x 10

-7

1,34 x 10-7

1,54 x 10-7

1,78 x 10

2,01 x 10

2,30 x 10

2,65 x 10
-7

3,10 x 10-7

3,70 x 10-7

4,21 x 10

4,85 x 10

-7

5,67 x 10-7

-8

-8

2,47 x 10

2,74 x 10

3,08 x 10

-8

-8

-8

3,41 x 10-8

3,80 x 10-8

4,22 x 10

4,73 x 10

5,26 x 10

-8

5,76 x 10-8

6,37 x 10-8

7,11 x 10

-8
-8

7,77 x 10

8,57 x 10

-8

9,54 x 10-8

DCmdia = nenhum DCmdia = nenhum DCmdia = baixo DCmdia = mdio DCmdia = baixo DCmdia = mdio DCmdia = alto

PL

Probabilidade mdia de uma falha perigosa por hora (1/h) e nvel de desempenho correspondente (PL)

Cat. B

-6

20

18

MTTFd para
cada canal
em anos

Projeto de sistema de acordo com


EN ISO 13849-1:2008

SAFEBOOK 4

SAFEBOOK 4

Sistemas de controle relacionados


segurana de mquinas

148