Você está na página 1de 23

Cpia no autorizada

JUL 1998

ABNT-Associao
Brasileira de
Normas Tcnicas

NBR 14153

Segurana de mquinas - Partes de


sistemas de comando relacionadas
segurana - Princpios gerais para
projeto

Sede:
Rio de Janeiro
Av. Treze de Maio, 13 - 28 andar
CEP 20003-900 - Caixa Postal 1680
Rio de Janeiro - RJ
Tel.: PABX (21) 210 -3122
Fax: (21) 220-1762/220-6436
Endereo Telegrfico:
NORMATCNICA

Copyright 1994,
ABNTAssociao Brasileira
de Normas Tcnicas
Printed in Brazil/
Impresso no Brasil
Todos os direitos reservados

Origem: Projeto 04:016.01-023:1997


CB-04 - Comit Brasileiro de Mquinas e Equipamentos Mecnicos
CE-04:016.01 - Comisso de Estudo de Mquinas Injetoras de Plstico
NBR 14153 - Safety of machinery - Safety related parts of control systems General principles for design
Descriptors: Control systems. Safety of machines. Machine control
Esta Norma foi baseada na EN 954-1:1996
Vlida a partir de 01.09.1998
Palavras-chave: Sistema de comando. Segurana de
mquina. Comando de mquina

Sumrio
Prefcio
Introduo
1 Objetivo
2 Referncias normativas
3 Definies
4 Consideraes gerais
5 Caractersticas de funes de segurana
6 Categorias
7 Considerao de defeitos
8 Validao
9 Manuteno
10 Informaes para utilizao
ANEXOS
A Questionrio para o processo de projeto
B Guia para a seleo de categorias
C Lista de alguns defeitos e falhas significativos para
vrias tecnologias
D Relao entre segurana, confiabilidade e
disponibilidade para mquinas
E Bibliografia

Prefcio
A ABNT - Associao Brasileira de Normas Tcnicas -
o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits
Brasileiros (CB) e dos Organismos de Normalizao Setorial (ONS), so elaboradas por Comisses de Estudo
(CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e
neutros (universidades, laboratrios e outros).

23 pginas

Os Projetos de Norma Brasileira, elaborados no mbito


dos CB e ONS, circulam para Votao Nacional entre os
associados da ABNT e demais interessados.
Esta Norma contm os anexos A, B, C, D e E, de carter
informativo.
Usou-se como texto de referncia para este trabalho a
EN 954-1:1994 - Safety of machinery - Safety related
parts of control systems - Part 1: General principles for
design.

Introduo
Partes de sistemas de comando de mquinas tm, freqentemente, a atribuio de prover segurana; essas
so chamadas as partes relacionadas segurana. Essas
partes podem consistir de hardware e software e desempenham as funes de segurana de sistemas de
comando. Podem ser parte integrante ou separada do
sistema de comando.
O desempenho, com relao ocorrncia de defeitos,
de uma parte de um sistema de comando, relacionada
segurana, dividido, nesta Norma, em cinco categorias
(B, 1, 2, 3 e 4), que devem ser usadas como pontos de referncia. No objetivo a utilizao dessas categorias,
em qualquer ordem de hierarquia, com respeito a requisitos de segurana.
As categorias podem ser aplicadas para:
- comandos para todo tipo de mquinas, desde simples mquinas (por exemplo, pequenas mquinas

Cpia no autorizada

para a cozinha) at complexas instalaes de


manufatura (por exemplo, mquinas de embalagem,
mquinas de impresso, prensas, etc.);
- sistemas de comando de equipamentos de proteo,
por exemplo, dispositivos de comando a duas mos,
dispositivos de intertravamento, dispositivos de proteo eletrossensitivos, por exemplo, barreiras fotoeltricas, e plataformas sensveis presso.
A categoria selecionada depender da mquina e da
extenso a que os meios de comando so utilizados para
medidas de proteo.
Na seleo de uma categoria e no projeto de uma parte
de um sistema de comando, relacionada segurana, o
projetista dever declarar, ao menos, as seguintes informaes, relativas parte relacionada segurana:
- a(s) categoria(s) selecionada(s);
- a caracterstica funcional e a exata finalidade da
parte na(s) medida(s) de segurana;
- os limites exatos (ver 3.1);
- todos os defeitos relevantes segurana considerados;
- aqueles defeitos relevantes segurana no
considerados pela excluso de defeitos e as medidas
empregadas para permitir sua excluso;
- os parmetros relevantes confiabilidade, tais como
condies ambiente;
- a(s) tecnologia(s) aplicada(s).
O uso das categorias, como pontos de referncia e essa
declarao nos princpios de projeto, tem o objetivo de
permitir a utilizao flexvel desta Norma e proporcionar
uma base clara, sobre a qual o projeto e o desempenho
de qualquer aplicao da parte de um sistema de comando (e a mquina), relacionada segurana, possam
ser avaliados, por exemplo, por terceiros, em ensaios internos ou em laboratrios independentes.

NBR 14153:1998

Esta Norma abrange todas as aplicaes de mquinas,


para uso profissional ou no profissional. Tambm, onde
apropriado, esta Norma pode ser aplicada s partes de
sistemas de comando relacionadas segurana, utilizadas em outras aplicaes tcnicas.

2 Referncias normativas
As normas relacionadas a seguir contm disposies que,
ao serem citadas neste texto, constituem prescries para
esta Norma. As edies indicadas estavam em vigor no
momento desta publicao. Como toda norma est sujeita
reviso, recomenda-se queles que realizam acordos
com base nesta que verifiquem a convenincia de se
usarem as edies mais recentes das normas citadas a
seguir. A ABNT possui a informao das normas em vigor
em um dado momento.
NBR 13759:1996 - Segurana de mquinas - Equipamentos de parada de emergncia, aspectos funcionais - Princpios para projeto
NBR 14009:1997 - Segurana de mquinas Princpios para apreciao de riscos
EN 292-1:1991 Safety of machinery - Basic concepts, general principles for design - Part 1: Basic
terminology, methodology.
EN 292-2:1991 - Safety of machinery - Basic concepts, general principles for design - Part 2: Technical principles and specifications.
EN 457:1992 - Safety of machinery - Auditory danger
signals - General requirements, design and testing
EN 614-1:1995 - Safety of machinery - Ergonomic
design principles - Part 1: Treminology and general
principles
EN 775:1992 - Manipulating industrial robots - Safety
EN 842:1996 - Safety of machinery - Visual danger
signals - General requirements, design and testing
EN 981:1996 - Safety of machinery - System of danger and non-danger signals with sound and light

1 Objetivo
Esta Norma especifica os requisitos de segurana e estabelece um guia sobre os princpios para o projeto (ver
EN 292-1) de partes de sistemas de comando relacionadas segurana. Para essas partes, especifica categorias e descreve as caractersticas de suas funes de
segurana. Isso inclui sistemas programveis para todos
os tipos de mquinas e dispositivos de proteo relacionados. Esta Norma se aplica a todas as partes de sistemas
de comando relacionadas segurana, independentemente do tipo de energia aplicado, por exemplo, eltrica, hidrulica, pneumtica, mecnica. Esta Norma no
especifica que funes de segurana e que categorias
devem ser aplicadas em um caso particular.

EN 982:1996 - Safety of machinery - Safety


requeriments for fluid power systems an components
- Hydraulics
EN 983:1996 - Safety of machinery - Safety
requeriments for fluid power systems an components
- Pneumatics
EN 1037:1995 - Safety of machinery - Prevention of
unexpected start-up
EN 60204 -1:1992 - Electrical equipment of machines
- Part 1: General requeriments

NBR 14153:1998

Cpia no autorizada

EN 60335-1:1994 Safety of household and similar


electric appliances - Part 1: General requirements

para permitir mquina (como um sistema) alcanar um


estado seguro.

IEC 50(191):1990 - International Eletrotechnical Vocabulary, Chapter 191: Dependability and quality of
service

3.8 pausa: Suspenso temporria automtica da(s) funo(es) de segurana, por partes do sistema de comando, relacionadas segurana.

3 Definies
Para os efeitos desta Norma, aplicam-se s definies
das EN 292-1 e IEC 50(191) e as seguintes:

3.9 rearme manual: Funo com que as partes de um


sistema de comando relacionadas segurana recuperam, manualmente, suas funes de segurana, antes
do reincio de operao da mquina.

4 Consideraes gerais
3.1 parte de sistema de comando relacionada
segurana: Parte ou subparte de sistema de comando,
que responde a sinais de entrada do equipamento sob
comando (e/ou de um operador) e gera sinais de sada
relacionados com segurana. As partes combinadas de
um sistema de comando relacionadas segurana comeam no ponto em que os sinais relacionados segurana so gerados e findam na sada dos elementos de
controle de potncia (ver tambm EN 292-1). Isto tambm
inclui sistemas de monitorao.
3.2 categoria: Classificao das partes de um sistema
de comando relacionadas segurana, com respeito
sua resistncia a defeitos e seu subseqente comportamento na condio de defeito, que alcanada pelos arranjos estruturais das partes e/ou por sua confiabilidade.
3.3 segurana de sistemas de comando: Habilidade
de desenvolver sua(s) funo(es) para um dado perodo,
de acordo com sua categoria especificada, baseada em
seu comportamento no caso de defeito(s).
3.4 defeito: Estado de um item caracterizado pela inabilidade de desenvolver a funo requerida, excluindo a
inabilidade durante manutenes preventivas ou outras
aes planejadas, ou devido perda de recursos externos.
NOTA - Um defeito , freqentemente, o resultado de uma falha
do prprio item, porm pode existir sem falha prvia.

3.6 falha: Trmino da habilidade de um item em desenvolver uma funo requerida.


NOTAS
1 Aps a falha o item tem um defeito.
2 Falha um evento, distintamente de defeito, que um estado.
3 Esse conceito, como definido, no se aplica a item constitudo
apenas por software.
4 Na prtica, os termos defeito e falha so freqentemente usados como sinnimos.

3.7 funo segurana de sinais de comando: Funo


iniciada por um sinal de entrada e processada pelas partes do sistema de comando, relacionadas segurana,

4.1 Objetivos de segurana no projeto


As partes de um sistema de comando relacionadas
segurana, que proporcionam as funes de segurana,
devem ser projetadas e construdas de tal forma que os
princpios da NBR 14009 sejam integralmente considerados:
- durante toda a utilizao prevista e utilizao incorreta previsvel;
- na ocorrncia de defeitos;
- quando erros humanos previsveis forem cometidos
durante a utilizao planejada da mquina como
um todo.
4.2 Estratgia geral para projeto
Dos princpios para a apreciao de riscos na mquina
(ver NBR 14009), o projetista deve decidir sobre a contribuio reduo do risco, que precisa ser suprida por
cada parte das partes do sistema de comando relacionadas segurana (ver anexo B). Esta contribuio no
cobre a totalidade dos riscos da mquina sob comando;
por exemplo, no considerado o risco total de uma
prensa mecnica ou uma mquina de lavar, porm a
parte do risco reduzida pela aplicao de funes de seguranas particulares. Exemplos de tais funes so a
funo de parada iniciada pela utilizao de um dispositivo de proteo eletrossensitivo em uma prensa ou a
funo de bloqueio de uma porta de mquina de lavar.
O principal objetivo que o projetista assegure que as
partes de um sistema de comando relacionadas segurana produzam sinais de sada que atinjam os objetivos
de reduo de riscos da NBR 14009. Isto no sempre
possvel, mas o projetista deve, em tais casos, gerar outras
medidas de segurana. A hierarquia para a estratgia na
reduo do risco dada na EN 292-1.
A categoria e outras caractersticas (por exemplo, posio
fsica de partes, isolao), selecionadas pelo projetista
para as partes relacionadas segurana, dependem da
contribuio feita reduo do risco, por essas partes,
pelo projeto e tecnologia (ver Introduo). O projetista
deve declarar:
- que categoria(s) est sendo usada como ponto de
referncia para o projeto;

Cpia no autorizada

- os pontos exatos em que as partes relacionadas


segurana tm incio e fim;
- a anlise lgica do projeto (por exemplo, os defeitos
considerados e os excludos) para alcanar aquela(s) categoria(s).
Quanto mais a reduo do risco depender das partes de
sistema de comando relacionadas segurana, maior
precisa ser a habilidade dessas partes para resistir a defeitos. Essa habilidade - entendendo-se que a funo
requerida cumprida - pode ser parcialmente quantificada por valores de confiabilidade e por uma estrutura
resistente a defeitos. Ambos, confiabilidade e estrutura,
contribuem para essa habilidade das partes relacionadas
segurana em resistir a defeitos. Uma resistncia especificada a defeitos pode ser atingida pela definio de
nveis de confiabilidade de componentes e/ou com estruturas melhoradas para as partes relacionadas
segurana. A contribuio da confiabilidade e da estrutura pode variar com a tecnologia aplicada. Por exemplo,
possvel, em uma tecnologia, para um nico canal de
partes relacionadas segurana de alta confiabilidade,
prover a mesma ou maior resistncia a defeitos, que em
uma estrutura tolerante a defeitos, de menor confiabilidade em uma tecnologia diferente
NOTA - Quanto maior a resistncia a defeitos das partes relacionadas segurana, menor a probabilidade que esta parte falhe
no cumprimento de suas funes de segurana.

Confiabilidade e segurana no so o mesmo (ver anexo D). Por exemplo, possvel que a segurana de um
sistema com componentes de baixa confiabilidade seja
em uma estrutura redundante, maior que a segurana de
um sistema com uma estrutura mais simples, porm com
componentes de maior confiabilidade. Esse conceito
importante porque, em algumas aplicaes, a segurana
requer a mais alta prioridade, independentemente da
confiabilidade alcanada, por exemplo, quando as conseqncias de uma falha so sempre srias e normalmente
irreversveis. Em tais aplicaes, uma estrutura de deteco de defeito (tolerncia de defeito de um ciclo), que
proporciona a segurana requerida aps um, dois ou
mais defeitos, deve ser prevista de acordo com a apreciao do risco.
Esta Norma no requer o clculo de valores de confiabilidade para estruturas complexas, onde a segurana
predominantemente obtida pela melhoria da estrutura
do sistema. Para estruturas simples (por exemplo, canal
nico), onde a confiabilidade do componente importante para a segurana, o clculo dos valores de confiabilidade um indicador til da contribuio reduo
do risco global, pela parte relacionada segurana.
No caso de aplicaes de riscos menores, medidas para
evitar defeitos podem ser apropriadas. Para aplicaes
de riscos maiores, a melhoria da estrutura das partes de
sistemas de comando relacionadas segurana pode
proporcionar medidas para evitar, detectar ou tolerar defeitos. Medidas prticas incluem redundncia, diversidade, monitorao (ver tambm EN 292-2 e
EN 60204-1).

NBR 14153:1998

O comportamento atingido para resistncia a defeitos,


pelas partes de sistemas de comando relacionadas
segurana, funo de vrios parmetros, incluindo, por
exemplo:
- confiabilidade com relao ao desempenho das
funes de segurana;
- estrutura (ou arquitetura) do sistema de comando;
- qualidade da documentao relacionada segurana;
- qualidade da especificao;
- projeto, construo e manuteno;
- qualidade e exatido do software;
- amplitude dos ensaios funcionais;
- caractersticas de operao da mquina ou parte
da mquina sob comando.
Esses parmetros podem ser agrupados sob trs caractersticas principais:
- confiabilidade de hardware - o nvel de confiabilidade dos componentes para evitar defeitos;
- estrutura do sistema - o arranjo dos componentes
na parte de um sistema de comando relacionada
segurana, para evitar, tolerar ou detectar defeitos;
- aspectos qualitativos, no quantificveis, que afetam
o comportamento da parte de um sistema de comando relacionada segurana.
4.3 Processo para a seleo e projeto de medidas de
segurana
Este item especifica um processo para a seleo das
medidas de segurana a serem implementadas e, ento,
para o projeto de partes de sistemas de comando relacionadas segurana. importante que as interfaces entre
as partes relacionadas segurana e aquelas no relacionadas segurana do sistema de comando e todas
as outras partes da mquina sejam identificadas. Ento,
a contribuio reduo do risco pode ser especificada
dentro da apreciao do risco da mquina, de acordo
com a NBR 14009.
Por haver muitas maneiras de reduo dos riscos de
uma mquina e por haver muitas formas de projeto para
as partes de sistemas de comando relacionadas segurana, este processo interativo. Decises e/ou hipteses feitas em qualquer passo do procedimento podem
afetar decises e/ou hipteses feitas em algum passo
anterior. Esse aspecto pode ser checado pela volta atravs do procedimento, a qualquer etapa. Tal checagem
na etapa de validao essencial para assegurar que o
desempenho de segurana atingido o mesmo daquele
definido na especificao.

NBR 14153:1998

Cpia no autorizada

O processo ilustrado na figura 1. Aspectos importantes


que devem ser considerados durante o processo de
projeto so dados como quesitos no anexo A, para auxlio
ao projetista. Esses quesitos ilustram a filosofia a ser
seguida no projeto de partes relacionadas segurana.
Nem todos os quesitos so vlidos a todas as aplicaes.
Algumas aplicaes requerem quesitos adicionais.
Passo 1: Anlise do perigo e apreciao de riscos:
- identificar os perigos presentes mquina durante
todos os modos de operao e a cada estgio da
vida da mquina, pelo seguimento do guia da
EN 292-1 e NBR 14009;
- avaliar os riscos provenientes daqueles perigos e
decidir sobre a apropriada reduo de risco para
essa aplicao, de acordo com as EN 292-1 e
NBR 14009.

- verificar o projeto a cada estgio, para assegurar que as partes relacionadas segurana preencham os requisitos do estgio anterior no contexto da(s) funo(es) e categoria(s) especificada(s).
Passo 5: Validao:
- validar as funes e categoria(s) de segurana alcanadas no projeto com relao s especificaes do passo 3. Reprojetar, se necessrio (ver
seo 8);
- quando a eletrnica programvel for usada no
projeto de partes de sistemas de comando relacionadas segurana, outros procedimentos detalhados so necessrios (ver 8.4.2).
NOTAS

Passo 2: Deciso das medidas para reduo do risco:


- definir medidas de projeto na mquina e/ou a aplicao de protees para levar reduo do risco.
Partes do sistema de comando que contribuem como
parte integral das medidas de projeto ou no comando
de protees devem ser consideradas como partes
do sistema de comando relacionadas segurana.
Passo 3: Especificao dos requisitos de segurana para
as partes de sistemas de comando relacionadas segurana:
- especificar as funes de segurana (ver seo 5)
a serem cumpridas no sistema de comando. A tabela 1 lista a fonte de referncia das funes de segurana mais comuns e as caractersticas que devem
ser includas se uma particular funo de segurana
for selecionada;
- especificar como a segurana deve ser atingida e
selecionar a(s) categoria(s) para cada parte e combinaes de partes, dentro das partes de sistemas
de comando relacionadas segurana (ver seo 6).

1 Atualmente acredita-se que difcil determinar, com algum


grau de exatido, situaes em que um perigo significante pode
ocorrer em conseqncia do mau funcionamento do sistema de
comando, que a confiana da operao correta de um canal
isolado de um equipamento eletrnico programvel possa ser
assegurada. Durante o tempo em que essa situao possa ser
resolvida, no aconselhvel confiar na operao correta de
um dispositivo de tal canal isolado (de acordo com
a EN 60 204-1).
2 Tambm ser necessrio validar a parte do sistema de comando relacionada segurana, em conjunto com todo o sistema de comando e como parte da mquina. Os requisitos para
tal validao no fazem parte desta Norma, porm devem ser
especificados pelo construtor da mquina ou em normas apropriadas do tipo C.

4.4 Princpios para o projeto ergonmico


A interface entre pessoas e as partes de sistemas de comando relacionadas segurana devem ser projetadas
e instaladas de tal forma que ningum seja posto em perigo durante toda utilizao planejada e mau uso previsvel
da mquina (ver tambm EN 292-2, EN 614-1 e
EN 60204-1).

Passo 4: Projeto:
- projetar as partes de sistemas de comando relacionadas segurana de acordo com as especificaes desenvolvidas no passo 3, e a estratgia geral de projeto em 4.2. Listar os aspectos de projeto
includos que proporcionam a base lgica de projeto
para a(s) categoria(s) alcanadas;

Princpios ergonmicos devem ser aplicados de tal forma


que o sistema de comando e a mquina, incluindo as
partes relacionadas segurana, sejam de fcil utilizao
e de tal forma que o operador no seja levado a agir de
maneira perigosa. Os requisitos de segurana para observao dos princpios ergonmicos dados em 3.6 da
EN 292-2:1991devem ser aplicados.

Cpia no autorizada

NBR 14153:1998

>

Anlise de perigos na mquina


(EN 292-1 e NBR 14009)

>
>

Apreciao de riscos na mquina


(EN 292-1 e NBR 14009)

Passo 1
.................................................................................................................................................................................................................

>
Decidir medidas para atingir a reduo do risco
(EN 292-1)
...........................................................................................
por projeto (seo 3 da
por proteo (seo 4
EN 292-2:1991)
da EN 292-2:1991)

...........................................

>

outras
medidas
(no
consideradas
nesta Norma)

>

sistema de
comando
(3.7 da
EN 292-2:
1991)

dispositivos outras
de proteo medidas
(parte do
(no
sistema de
consideradas
comando)
nesta Norma)
(4.2.3 da
EN 292-2:
1991)
..............................................................................................
por meios de comando

Passo 2

....................................................................................................................................................................................................................

Caractersticas das funes de segurana (seo 5)

>

>
>

Especificar requisitos de segurana em termos de:

E
Realizao das funes de segurana (4.2)

E
Seleo de categoria(s) (seo 6)

Passo 3
....................................................................................................................................................................................................................

>

Projetar as partes de sistemas de comando


relacionadas segurana (sees 4 e 6)

>

Verificao

Passo 4
......................................................................................................................................................................................................................

>
Validar as funes e categorias atingidas (seo 8)

Passo 5

Figura 1 - Processo interativo para o projeto de partes de sistemas de comando relacionadas segurana

NBR 14153:1998

Cpia no autorizada

Tabela 1 - Lista de algumas normas que especificam requisitos para caractersticas de funes de segurana
Caractersticas
de funes de
segurana

NBR 14153

Definies

Princpios de
projeto

4.2

Princpios
ergonmicos

4.4

Funes de
parada

EN 292-1

EN 292-2

EN 292-2:1991
anexo A

Outras
normas

Informaes
adicionais1)

EN 60204-1

EN 60335-1

EN 60204-1

EN 60335-1
EN 775

EN 60204-1

EN 775

5.2

EN 60204-1

EN 60335-1

Funo parada
de emergncia

5.3

NBR 13579
EN 60204-1

EN 775

Rearme manual

5.4

EN 60204-1

EN 775

Partida e reincio

5.5

EN 60204-1

EN 775

Tempo de resposta

5.6

Parmetros
relacionados
segurana

5.7

EN 60204-1

EN 775
EN 60335-1

Funo de
comando local

5.8

Pausa

5.9

Suspenso
manual de
funes de
segurana

5.10

EN 60204-1

Flutuaes, falta
e restaurao de
fontes de energia

5.11

EN 60204-1

Sistemas
eletrnicos
programveis

EN 60204-1

Partida
inesperada

EN 1037
EN 60204-1

Indicaes e
alarmes

EN 457, EN 842,
EN 981,
EN 60204-1

Liberao e
salvamento de
pessoas presas

Equipamento
eltrico

EN 775

EN 60204-1

Abastecimento
eltrico

EN 60204-1

Outras fontes
de energia

EN 982
EN 983

EN 775

Cpia no autorizada

NBR 14153:1998

Tabela 1 (concluso)
Caractersticas
de funes de
segurana

NBR 14153

EN 292-1

EN 292-2

EN 292-2:1991
anexo A

Protees e
coberturas
Equipamento
pneumtico e
hidrulico

EN 982
EN 983

Isolao e
dissipao de
energia

EN 1037
EN 60204-1

Meio ambiente
fsico e
condies de
operao

Modos de
comando e
seleo do
modo

Interao entre
diferentes partes
de sistemas de
comando
relacionadas
segurana
Interface
homem - mquina

Informaes
a d i c i o n a i s 1)

EN 60204-1

Interfaces/
conexes

1)

Outras
normas

EN 60204-1

EN 775

EN 60204-1

EN 775

EN 60204-1

EN 60204-1

EN 60204-1

As referncias dessa coluna devem ser consideradas como um auxlio ao projetista, e no como parte dos requisitos desta Norma.

5 Caractersticas das funes de segurana


5.1 Generalidades
Este item apresenta uma lista de funes tpicas de segurana (ver EN 292-1), que podem ser supridas pelas
partes de sistemas de comando relacionadas segurana. O projetista (ou o elaborador de normas do tipo C)
deve incluir as funes de segurana dessa lista, necessrias para alcanar as medidas de segurana requeridas
do sistema de comando, para a aplicao especfica.
A tabela 1 lista funes tpicas de segurana e algumas
de suas caractersticas. Ela faz referncia a detalhes das
caractersticas que so claramente definidas nas referncias normativas. O projetista (ou o elaborador de normas do tipo C) deve assegurar que os requisitos de todas
essas normas sejam cumpridos para as funes de segurana selecionadas. Requisitos adicionais detalhados
tambm so citados neste item para algumas caractersticas. Estes devem ser includos.
Onde necessrio, as caractersticas devem ser adaptadas
para utilizao com diferentes fontes de energia.

5.2 Funo parada


Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- uma funo de parada iniciada por um dispositivo
de proteo deve, to rpido quanto necessrio, aps
sua atuao, colocar a mquina em condio segura.
Esse tipo de parada deve ter prioridade sobre uma
parada por razes operacionais;
- quando um grupo de mquinas trabalha em conjunto, de forma coordenada, meios devem existir para
sinalizar ao comando supervisor e/ou s outras mquinas que tal funo de parada existe.
NOTA - Esse tipo de parada pode causar problemas operacionais e dificultar o reincio de operao, por exemplo, em solda a arco. Em algumas aplicaes, essa funo pode ser combinada com uma parada para razes operacionais, para reduzir
o incentivo manipulao da funo de segurana.

NBR 14153:1998

Cpia no autorizada

5.3 Funo parada de emergncia

5.5 Partida e reincio

Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:

Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:

- quando um grupo de mquinas trabalha de forma


coordenada, as partes relacionadas segurana
devem ter meios de sinalizar uma funo de parada
de emergncia a todas as partes do sistema coordenado;

- o reincio do movimento deve ocorrer automaticamente, apenas se uma situao de perigo no puder
existir. Em particular, para protees de controle, ver
EN 292-2.

- onde sees do sistema coordenado so claramente separadas, por exemplo, protees ou localizao fsica, no sempre necessrio aplicar a parada de emergncia a todo o sistema, mas apenas a
sees particulares, identificadas pela apreciao
dos riscos.
Aps a efetivao de uma parada de emergncia para
uma seo, um perigo no deve estar presente nas interfaces dessa seo com as outras sees.

Esses requisitos de partida e reincio de movimento tambm devem se aplicar a mquinas que podem ser controladas remotamente.
5.6 Tempo de resposta
Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:

Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:

- o projetista ou o fabricante deve declarar o tempo


de resposta, quando a apreciao do risco da parte
do sistema de comando relacionada segurana
indicar que isso necessrio (ver tambm seo 10).

- aps o incio de um comando de parada por um


dispositivo de proteo, a condio de parada deve
ser mantida at a atuao manual do dispositivo de
rearme e at que uma condio segura de operao
exista;

NOTA - O tempo de resposta do sistema de comando parte


do tempo total de resposta da mquina. O tempo de resposta
total necessrio da mquina pode influenciar o projeto da parte
relacionada segurana, por exemplo, a necessidade de aplicar
um sistema de freio.

5.4 Rearme manual

- o restabelecimento da funo segura pelo rearme


do dispositivo de proteo cancela o comando de
parada. Se indicado pela apreciao do risco, o cancelamento do comando de parada deve ser confirmado por uma ao manual, separada e deliberada
(rearme manual).
A funo rearme manual:
- deve ser atuada atravs de um dispositivo separado,
manualmente operado, em conjunto com as partes
do sistema de comando relacionadas segurana;
- somente pode ser efetivado se todas as funes de
segurana e dispositivos de proteo estiverem operando. Se isso no for possvel, o rearme no deve
estar disponvel;
- no deve, por si s, iniciar movimento ou uma situao perigosa;

5.7 Parmetros relacionados segurana


Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- quando parmetros relacionados segurana (por
exemplo, posio, velocidade, temperatura, presso)
desviam dos limites preestabelecidos, o sistema de
comando deve iniciar medidas apropriadas (por
exemplo, atuao da funo parada, sinal de alarme,
advertncia);
- se erros na entrada manual de dados, relacionados
segurana, em sistemas eletrnicos programveis,
podem levar a situaes de perigo, devem ser previstos sistemas de checagem de dados no sistema
relacionado segurana (por exemplo, checagem
de limites, formato e /ou entrada de valores lgicos).

- deve ser de ao deliberada;

5.8 Funo de comando local

- deve preparar o sistema de comando para a aceitao de um comando de partida separado;

Quando uma mquina comandada no local (por exemplo, por dispositivos de comando portteis, pendentes),
os seguintes requisitos tambm devem ser aplicados,
em adio queles das referncias dadas na tabela 1:

- deve somente ser aceito pela atuao do atuador


de sua posio liberada (desligado).
A categoria das partes relacionadas segurana, que
atuam o rearme manual, deve ser selecionada de tal forma que a incluso do rearme manual no diminua a segurana requerida da funo de segurana relevante.
O atuador para rearme deve estar situado fora da rea
de perigo e em posio segura, de onde se tenha boa
visibilidade para a verificao da inexistncia de pessoas
na zona de perigo.

- os meios para seleo do comando local devem


estar situados fora da zona de perigo;
- no deve ser possvel iniciar condies perigosas
fora da zona do comando local;
- a comutao entre comando local e externo (por
exemplo, remoto) no deve criar uma situao de
perigo.

10

Cpia no autorizada

5.9 Pausa
A pausa no deve resultar na exposio de qualquer
pessoa a uma situao de perigo.
Durante uma pausa, condies seguras devem ser asseguradas por outros meios.
Ao final da pausa, todas as funes de segurana das
partes relacionadas segurana do sistema de comando
devem ser restabelecidas.
A categoria das partes relacionadas segurana que
so responsveis pela funo pausa devem ser selecionadas, de tal forma que a incluso da funo pausa
no diminua a segurana requerida das funes relevantes de segurana.
NOTA - Em algumas aplicaes um sinal indicador de pausa
necessrio.

5.10 Suspenso manual de funes de segurana


Se for necessria a suspenso manual de funes de
segurana (por exemplo, para configurao, ajustes, manuteno, reparos), os seguintes requisitos tambm
devem ser aplicados, em adio aos requisitos das referncias citadas na tabela 1:
- meios efetivos e seguros para impedir a suspenso
manual nos modos de operao em que isso no for
permitido;
- restabelecimento das funes de segurana das
partes relacionadas segurana dos sistemas de
comando, antes que se possa continuar a operao
normal;
- a parte relacionada segurana do sistema de
comando responsvel pela suspenso manual deve
ser selecionada, de tal forma que os princpios da
NBR 14009 sejam integralmente considerados.
NOTA - Em algumas aplicaes um sinal adicional de suspenso
manual necessrio.

5.11 Flutuao, falta e retorno das fontes de alimentao


Em adio aos requisitos das referncias dadas na tabela 1, deve tambm ser aplicado o seguinte:
- quando ocorrem flutuaes no nvel de energia,
alm dos limites considerados no projeto, incluindo
o corte do fornecimento de energia, as partes relacionadas segurana de sistemas de comando devem
continuar a fornecer, ou iniciar, sinais de sada, que
habilitaro outras partes do sistema da mquina a
manter um estado seguro.

6 Categorias
6.1 Generalidades
As partes relacionadas segurana de sistemas de comando devem estar de acordo com os requisitos de uma
ou mais das cinco categorias especificadas em 6.2. Essas
categorias no objetivam sua aplicao em uma seqncia ou hierarquia definidas, com relao aos requisitos de segurana.
As categorias determinam o comportamento requerido,
das partes relacionadas segurana de sistemas de co-

NBR 14153:1998

mando, com relao sua resistncia a falhas, baseado


na estratgia descrita em 4.2.
A categoria B a categoria bsica. A ocorrncia de um
defeito pode levar a perda da funo de segurana. Na
categoria 1, uma maior resistncia a defeitos alcanada
predominantemente pela seleo e aplicao de componentes. Nas categorias 2, 3 e 4, um desempenho melhorado, com relao funo de segurana especificada, alcanado predominantemente pela melhoria da
estrutura da parte relacionada segurana do sistema
de comando. Na categoria 2 isso conseguido pela checagem peridica de que a funo de segurana especificada esta sendo cumprida. Nas categorias 3 e 4 isso
conseguido pela garantia de que um defeito isolado no
levar perda da funo de segurana. Na categoria 4
e, sempre que razoavelmente praticvel, na categoria 3,
tais defeitos sero detectados. Na categoria 4 a resistncia
ao acmulo de defeitos ser especificada.
A comparao direta do comportamento de resistncia a
defeitos entre categorias apenas pode ser feita se for alterado um parmetro por vez. Categorias mais altas apenas podem ser interpretadas como proporcionando uma
maior resistncia a defeitos em circunstncias comparveis (por exemplo, quando usando tecnologia similar,
componentes de confiabilidade comparvel, regimes similares de manuteno e aplicaes comparveis).
A tabela 2 oferece uma viso das categorias das partes
de sistemas de comando relacionadas segurana, os
requisitos e o comportamento do sistema no caso de defeitos.
Quando se consideram as causas de falhas em alguns
componentes, possvel a excluso de alguns defeitos
(ver seo 7).
6.2 Especificao das categorias
6.2.1 Categoria B

As partes de sistemas de comando relacionadas segurana, como mnimo, devem ser projetadas, construdas,
selecionadas, montadas e combinadas, de acordo com
as normas relevantes, usando os princpios bsicos de
segurana para a aplicao especfica, de tal forma que
resistam a:
- fadiga operacional prevista, como, por exemplo, a
confiabilidade com respeito capacidade e freqncia de comutao;
- influncia do material processado ou utilizado no
processo, como, por exemplo, detergentes em mquinas de lavar;
- outras influncias externas relevantes, como, por
exemplo, vibraes mecnicas, campos externos,
distrbios ou interrupo do fornecimento de energia.
NOTAS
1 No so aplicadas medidas especiais para segurana para
as partes integrantes da categoria B.
2 Quando um defeito ocorre, ele pode levar perda da funo
de segurana. Para atender aos requisitos do anexo A da
EN 292-2:1991, medidas adicionais, que no so proporcionadas
pelas partes relacionadas segurana de sistemas de comando,
podem ser necessrias.

Cpia no autorizada

11

NBR 14153:1998

6.2.2 Categoria 1

6.2.3 Categoria 2

Devem ser aplicados os requisitos da categoria B e os


desta subseo.

Devem ser aplicados os requisitos da categoria B, o uso


de princpios de segurana comprovados e os requisitos
desta subseo.

As partes de sistemas de comando relacionadas segurana, de categoria 1, devem ser projetadas e construdas
utilizando-se componentes bem ensaiados e princpios
de segurana comprovados.
Um componente bem ensaiado para uma aplicao relacionada segurana aquele que tem sido:
- largamente empregado no passado, com resultados
satisfatrios em aplicaes similares, ou
- construdo e verificado utilizando-se princpios que
demonstrem sua adequao e confiabilidade para
aplicaes relacionadas segurana.
Em alguns componentes bem ensaiados, certos defeitos
podem tambm ser excludos, em razo de ser conhecida
a incidncia de defeitos e esta ser muito baixa.
A deciso de se aceitar um componente particular como
bem ensaiado pode depender de sua aplicao.
NOTAS
1 Ao nvel de componentes eletrnicos isolados, normalmente
no possvel o enquadramento na categoria 1. Princpios de
segurana comprovados so, por exemplo:
- impedimento de certos defeitos, como, por exemplo,
impedimento de curtos-circuitos por isolao;
- reduo da probabilidade de defeitos, como, por exemplo,
superdimensionamento ou uma baixa solicitao de componentes;
- pela orientao do modo de defeitos, como, por exemplo,
pela garantia da abertura de um circuito, quando isso vital
para remover a energia no evento de defeitos;
- deteco precoce de defeitos;

As partes de sistemas de comando relacionadas segurana, de categoria 2, devem ser projetadas de tal forma
que sejam verificadas em intervalos adequados pelo
sistema de comando da mquina. A verificao das funes de segurana deve ser efetuada:
- na partida da mquina e antes do incio de qualquer
situao de perigo, e
- periodicamente durante a operao, se a avaliao
do risco e o tipo de operao mostrarem que isso
necessrio.
O incio dessa verificao pode ser automtico ou manual.
Qualquer verificao da(s) funo(es) de segurana
deve:
- permitir a operao se nenhum defeito foi constatado, ou
- gerar um sinal de sada, que inicia uma ao apropriada do comando, se um defeito foi constatado.
Sempre que possvel, esse sinal deve comandar um
estado seguro. Quando no for possvel comandar
um estado seguro, como, por exemplo, fuso de contatos no dispositivo final de comutao, a sada deve
gerar um aviso do perigo.
A verificao por si s no deve levar a uma situao de
perigo. O equipamento de verificao pode ser parte integrante, ou no, da parte(s) relacionada(s) segurana,
que processa(m) a funo de segurana.
Aps a deteco de um defeito, o estado seguro deve
ser mantido at que o defeito tenha sido sanado.
NOTAS
1 Em alguns casos a categoria 2 no aplicvel, em razo de
no ser possvel a verificao a todos os componentes, como,
por exemplo, pressostatos ou sensores de temperatura.
2 Em geral, a categoria 2 pode ser alcanada com tcnicas
eletrnicas, como, por exemplo, em equipamento de proteo e
sistemas especficos de comando.
3 O comportamento de sistema de categoria 2 permite que:

- restringindo as conseqncias de um defeito, como, por


exemplo, aterrando o equipamento.
Princpios de segurana e componentes de desenvolvimento
recente podem ser considerados como equivalentes a princpios comprovados e componentes bem ensaiados, se estes
atendem s condies acima mencionadas.
2 A probabilidade de uma falha na categoria 1 menor que na
categoria B. Conseqentemente a perda da funo de segurana
menos provvel.
3 Quando um defeito ocorre ele pode levar perda da funo de
segurana. Para atender aos requisitos do anexo A da
EN 292-2:1991, medidas adicionais, que no so proporcionadas
pelas partes relacionadas segurana de sistemas de comando,
podem ser necessrias.

- a ocorrncia de um defeito leve perda da funo de segurana entre as verificaes;


- a perda da funo de segurana detectada pela verificao.
6.2.4 Categoria 3

Devem ser aplicados os requisitos da categoria B, o uso


de princpios comprovados de segurana e os requisitos
desta subseo.
Partes relacionadas segurana de sistemas de comando de categoria 3 devem ser projetadas de tal forma
que um defeito isolado, em qualquer dessas partes, no
leve perda das funes de segurana. Defeitos de modos comuns devem ser considerados, quando a probalidade da ocorrncia de tal defeito for significante. Sem-

12

Cpia no autorizada

pre que, razoavelmente praticvel, o defeito isolado deve


ser detectado durante ou antes da prxima solicitao
da funo de segurana.
NOTAS
1 Este requisito de deteco do defeito isolado no significa que
todos os defeitos sero detectados. Conseqentemente, o acmulo de defeitos no detectados pode levar a um sinal de sada
indesejado e a uma situao de perigo na mquina. Exemplos
tpicos de medidas utilizadas para a deteco de defeitos so
os movimento conectados de rels de contato ou a monitorao
de sadas eltricas redundantes.
2 Se necessrio, em razo da tecnologia e aplicao, os elaboradores de normas do tipo C devem fornecer maiores detalhes
sobre a deteco de defeitos.
3 O comportamento de sistema de categoria 3 permite que:
- quando o defeito isolado ocorre, a funo de segurana
sempre cumprida;

NBR 14153:1998

Se a deteco de certos defeitos no for possvel ao menos durante a verificao seguinte ocorrncia do defeito,
por razes de tecnologia ou engenharia de circuitos, a
ocorrncia de defeitos posteriores deve ser admitida.
Nessa situao, o acmulo de defeitos no deve levar
perda das funes de segurana.
A reviso de defeitos pode ser suspensa, quando a probabilidade de ocorrncia de defeitos posteriores, for considerada como sendo suficientemente baixa. Nesse caso,
o nmero de defeitos, em combinao, que precisam ser
levados em considerao, depender da tecnologia, estrutura e aplicao, mas deve ser suficiente para atingir o
critrio de deteco.
NOTAS
1 Na prtica, o nmero de defeitos; que precisam ser considerados variar consideravelmente; por exemplo, no caso de
circuitos complexos de microprocessadores, um grande nmero
de defeitos pode existir, porm em um circuito eletroidrulico, a
considerao de trs (ou mesmo dois) defeitos pode ser suficiente.

- alguns, mas no todos, defeitos sejam detectados;


- o acmulo de defeitos no detectados leve perda da
funo de segurana.

Essa reviso de defeitos pode ser limitada a dois defeitos em


combinao, quando:
- a taxa de defeitos de componentes for baixa, e

4 Sempre que razoavelmente praticvel significa que as


medidas necessrias para deteco de defeitos e o mbito
em que so implementadas depende, principalmente, da
conseqncia de um defeito e da probabilidade da ocorrncia
desse defeito, dentro dessa aplicao. A tecnologia aplicada ir
influenciar as possibilidades da implementao da deteco de
defeitos.
6.2.5 Categoria 4

Devem ser aplicados os requisitos da categoria B, o uso


de princpios comprovados de segurana e os requisitos
desta subseo.
Partes de sistemas de comando relacionadas segurana, de categoria 4, devem ser projetadas de tal forma
que:
- uma falha isolada em qualquer dessas partes relacionadas segurana no leve perda das funes
de segurana, e

- os defeitos em combinao so bastante independentes


uns dos outros, e
- a interrupo da funo de segurana ocorre somente
quando os defeitos aparecem em uma certa ordem.
Se defeitos posteriores ocorrerem como resultado do primeiro
defeito isolado, o primeiro e todos os defeitos conseqentes
devem ser considerados como defeitos isolados.
Defeitos de modo comum devem ser levados em considerao,
por exemplo, utilizando diversidade, procedimentos especiais
para identificar tais defeitos.
2 No caso de estruturas de circuitos complexos (por exemplo,
microprocessadores, redundncias completas), a reviso de
defeitos geralmente executada em nvel estrutural, isto , baseado em grupos de montagem.
3 O comportamento de sistema de categoria 4 permite que:

- a falha isolada detectada antes ou durante a prxima atuao sobre a funo de segurana, como,
por exemplo, imediatamente, ao ligar o comando,
ao final do ciclo de operao da mquina. Se essa
deteco no for possvel, o acmulo de defeitos
no deve levar perda das funes de segurana.

- quando os defeitos ocorrerem, a funo de segurana


seja sempre processada;
- os defeitos sero detectados a tempo de impedir a perda
da funo de segurana.

Cpia no autorizada

13

NBR 14153:1998

Tabela 2 - Resumo dos requisitos por categorias


(para requisitos plenos, ver seo 6)
Categoria 1)

Resumo de requisitos

B
(ver 6.2.1)

Partes de sistemas de comando, relacionadas


segurana e/ou seus equipamentos de proteo,
bem como seus componentes, devem ser
projetados, construdos, selecionados, montados e
combinados de acordo com as normas relevantes,
de tal forma que resistam s influncias esperadas

A ocorrncia de um
defeito pode levar
perda da funo
de segurana

1
(ver 6.2.2)

Os requisitos de B se aplicam
Princpios comprovados e componentes de
segurana bem testados devem ser utilizados

A ocorrncia de um
defeito pode levar
perda da funo de
segurana, porm a
probabilidade de
ocorrncia menor
que para a categoria B

2
(ver 6.2.3)

Os requisitos de B e a utilizao de princpios de


segurana comprovados se aplicam

- A ocorrncia de um
defeito pode levar
perda da funo de
segurana entre
as verificaes

A funo de segurana deve ser verificada em


intervalos adequados pelo sistema de comando
da mquina

Comportamento do
sistema2)

Princpios para atingir a


segurana
Principalmente
caracterizado pela
seleo de componentes

Principalmente
caracterizado
pela estrutura

- A perda da funo de
segurana detectada
pela verificao
3
(ver 6.2.4)

Os requisitos de B e a utilizao de princpios


de segurana comprovados se aplicam
As partes relacionadas segurana devem
ser projetadas de tal forma que:

- Quando um defeito
isolado ocorre, a
funo de segurana
sempre cumprida

Principalmente
caracterizado pela
estrutura

- um defeito isolado em qualquer dessas


- Alguns defeitos,
partes no leve perda da funo de segurana, e porm no todos,
sero detectados

4
(ver 6.2.5)

- sempre que razoavelmente praticvel, o


defeito isolado seja detectado

- O acmulo de defeitos
no detectados pode
levar perda da funo
de segurana

Os requisitos de B e a utilizao de princpios de


segurana comprovados se aplicam

- Quando os defeitos
ocorrem, a funo de
segurana sempre
cumprida

As partes relacionadas segurana devem ser


projetadas de tal forma que:

- Os defeitos sero
detectados a tempo de
impedir a perda das
funes de segurana

- um defeito isolado em qualquer dessas partes


no leve perda da funo de segurana, e

Principalmente
caracterizado
pela estrutura

- o defeito isolado seja detectado durante ou antes


da prxima demanda da funo de segurana. Se
isso no for possvel, o acmulo de defeitos no
pode levar perda das funes de segurana
1)

As categorias no objetivam sua aplicao em uma seqncia ou hierarquia definidas, com relao aos requisitos de segurana.

2)

A apreciao dos riscos indicar se a perda total ou parcial da(s) funo(es) de segurana, conseqente de defeitos, aceitvel.

Cpia no autorizada

NBR 14153:1998

14

6.3 Seleo e combinao de partes relacionadas


segurana de diferentes categorias

De maneira geral, o seguinte critrio de defeitos deve ser


levado em considerao:

As funes de segurana (ver 3.6 e seo 5) so especificadas pelo procedimento descrito em 4.3 (figura 1,
passo 3). Categorias de acordo com 6.2 devem ser selecionadas para todas as partes do sistema de comando
relacionadas segurana. O projeto e a seleo de partes
relacionadas segurana do sistema de comando devem
ser feitos de acordo com as sees 4 e 5. Uma funo de
segurana isolada pode ser processada por uma ou mais
partes relacionadas segurana. De forma similar, vrias
funes de segurana podem ser processadas por uma
ou mais partes relacionadas segurana. Na prtica
pode ser necessrio implementar uma ou mais funes
de segurana para atingir a reduo do risco.

- se, como conseqncia de um defeito, outros


componentes falham, o primeiro defeito e os defeitos
seguintes devem ser considerados como um defeito
isolado;

Quando uma funo de segurana processada por


vrias partes relacionadas segurana, como, por
exemplo, sensores, unidade de comando, elementos de
controle de potncia, essas partes podem ser de uma
categoria e/ou de diferentes categorias em combinao.
Quando partes relacionadas segurana de mesma ou
diferentes categorias so usadas em combinao para
atender a uma funo de segurana, uma anlise da
combinao deve ser includa na validao geral requerida no passo 5 de 4.3. Essa anlise mais simples se as
categorias de algumas ou de todas as partes relacionadas
segurana j forem conhecidas.

- defeitos de modo comum so considerados como


defeito isolado;
- no considerada a ocorrncia simultnea de dois
defeitos independentes.
Para informaes detalhadas, ver EN 982 e EN 983.
7.2 Excluso de defeitos
impraticvel a avaliao das partes de sistemas de
comando relacionadas segurana, sem assumir que
certos defeitos podem ser excludos. Os defeitos que
podem ser excludos so um compromisso entre os
requisitos tcnicos para segurana e as possibilidades
tericas de ocorrncia. Isso influenciado pelo projeto,
dimensionamento, instalao e arranjo dos componentes
nas partes relacionadas segurana. O projetista deve
declarar, justificar e listar todas as excluses de defeitos
relevantes.
A excluso de defeitos pode ser baseada em:

A seleo de uma categoria para uma parte especfica


relacionada segurana do sistema de comando
depende principalmente de:
- reduo de risco a ser atingida pela funo de segurana, para a qual a parte contribui;
- probabilidade de ocorrncia de defeito(s) nessa
parte;

- improbabilidade de ocorrncia de certos defeitos;


- experincia tcnica genrica, que pode ser considerada independentemente da aplicao em questo;
- requisitos tcnicos conseqentes da aplicao e o
risco especfico sob considerao.

- aumento de risco, no caso de defeito(s) nessa parte;

8 Validao
- possibilidades de evitar defeito(s) nessa parte;
8.1 Generalidades
- tecnologia aplicada.
Informao adicional para a seleo de categorias dada
no anexo A.

7 Considerao de defeitos
7.1 Generalidades
De acordo com a categoria requerida, as partes relacionadas segurana devem ser selecionadas como
funo de suas habilidades em resistir a defeitos
(ver 4.2). Para avaliar sua habilidade em resistir a defeitos,
os vrios modos de falhas devem ser considerados.
Certos defeitos tambm podem ser excludos (ver 7.2).
O anexo C lista alguns dos defeitos e falhas significantes
para as vrias tecnologias. A lista de defeitos relacionada
no anexo C no exclusiva e, se necessrio, defeitos
adicionais devem ser considerados e listados. Em tais
casos, o mtodo de validao deve tambm ser claramente elaborado.

Esta seo explica os requisitos do passo 5 na seo 4.


A finalidade da validao a determinao do nvel de
conformidade da especificao das partes relacionadas
segurana do sistema de comando, com referncia
aos requisitos de segurana especificados para a mquina. A validao consiste na execuo de ensaios e
aplicao de anlises, de acordo com o plano de
validao (ver 8.2).
O projeto das partes relacionadas segurana do sistema
de comando deve ser validado. A validao deve
demonstrar que as partes relacionadas segurana
atingem:
- todos os requisitos da categoria especfica (ver
seo 6), e
- as caractersticas de segurana especificadas para
a parte, como definido nos princpios de projeto.

NBR 14153:1998

Cpia no autorizada

A validao das partes relacionadas segurana de sistemas de comando deve conter os seguintes elementos:
- seleo da estratgia de validao (um plano de
validao);
- gerenciamento e execuo de atividades de validao (especificao de ensaios, procedimentos de
ensaios, procedimentos de anlises);
- documentao (relatrios auditveis de todas as
atividades de validao e decises).
8.2 Plano de validao
O plano de validao deve identificar os requisitos para
a efetivao de todos os estgios do processo de validao. O plano deve ser desenvolvido em paralelo ao
projeto da parte relacionada segurana do sistema de
comando ou pode ser especificado em normas relevantes
do tipo C. O plano deve incluir uma descrio de todos os
requisitos para:
a) validao por anlise;
b) validao por ensaios, incluindo:

15

8.4.2 Ensaio das categorias especificadas

As categorias baseiam-se sobre o comportamento no


evento de um defeito. O ensaio deve demonstrar que
esse requisito atendido. Os procedimentos de ensaio
devem ser escolhidos baseados em dois critrios: tecnologia e complexidade do sistema de comando. Principalmente, os seguintes mtodos se aplicam:
- uma verificao terica e uma anlise do comportamento dos diagramas de circuitos;
- ensaios prticos do circuito atual e simulao de
defeitos dos componentes atuais, particularmente
em reas de dvidas, do comportamento identificado
durante a verificao e anlise terica;
- uma simulao do comportamento do sistema, por
exemplo, por meio do hardware e/ou modelos de
software.
Em algumas aplicaes, quando as partes relacionadas
segurana de sistemas de comando forem conectadas
de forma complexa, usualmente necessrio dividir as
partes relacionadas segurana conectadas em vrios
subsistemas funcionais e submeter exclusivamente as
interfaces aos ensaios de simulao de defeitos.
Um guia para avaliao de sistemas eletrnicos programveis dado no anexo E.

1) ensaio da funo de segurana especificada;


2) ensaio da categoria especificada;
3) ensaio do dimensionamento e conformidade a
parmetros ambientais.
8.3 Validao por anlise
Em geral, anlises so necessrias para validar o alcance
da reduo do risco. Exemplos de ferramentas de anlise
incluem lista de defeitos (ver seo 7), rvore de anlise
de defeitos, modo de falhas e anlise de efeitos, anlise
crtica e lista de verificao para defeitos sistemticos.
8.4 Validao por ensaio
8.4.1 Ensaio das funes de segurana especificadas

Um passo importante o ensaio das funes de segurana (das partes relacionadas segurana de sistemas
de comando), para completa conformidade com suas caractersticas especificadas. importante a verificao,
quanto a erros e particularmente por omisses, quando
da formulao da especificao e durante o desenvolvimento da mquina.

8.4.3 Ensaio de dimensionamento e conformidade com


parmetros ambientais

Esses ensaios devem demonstrar que o desempenho


especificado no projeto alcanado em todos os modos
de operao e condies ambientais especificadas.
Os ensaios devem incluir, por exemplo, ensaio da estrutura mecnica, tenso nominal, temperatura, umidade,
vibrao, impacto, compatibilidade eletromagntica e influncia dos materiais processados.
8.5 Relatrio de validao
Na concluso do processo de validao, um relatrio de
validao sobre segurana deve ser elaborado, resumindo os ensaios e anlises, indicando quais foram integralmente executados, incluindo seus resultados. O relatrio deve identificar especificamente:
- todos os itens ensaiados;
- pessoal responsvel pelos ensaios;
- equipamento de ensaio (incluindo detalhes de
calibrao) e ferramentas de simulao;
- anlises e ensaios executados;
- problemas encontrados e como foram resolvidos.

O propsito do ensaio das funes de segurana para


assegurar que os sinais de sada relacionados segurana esto corretos e logicamente dependentes dos
sinais de entrada. Os ensaios devem abranger todas as
condies normais e as anormais previsveis na simulao esttica e dinmica, como necessrio da apreciao de riscos, para validar o sistema.

Os resultados devem ser documentados e arquivados


em forma auditvel.
NOTA - A conformidade com 8.5 ajudar o fabricante na atualizao do arquivo tcnico da construo, com respeito s partes
relacionadas segurana de sistemas de comando.

Cpia no autorizada

NBR 14153:1998

16

9 Manuteno
Manuteno preventiva ou corretiva usualmente necessria para manter o desempenho especificado das
partes relacionadas segurana. Com o tempo, o desvio
do desempenho especificado pode levar deteriorao
da segurana ou a situaes de perigo. Para identificar
tais desvios, inspees manuais peridicas so, algumas
vezes, necessrias.

- descrio clara da interface entre as partes relacionadas segurana do sistema de comando e


dispositivos de proteo;
- tempo de resposta;
- limites de operao (incluindo condies ambientais);
- indicao e alarmes;

As condies para a manuteno de partes relacionadas


segurana de sistemas de comando devem seguir os
princpios da EN 292-2. Todas as informaes para manuteno devem obedecer EN 292-2.

10 Informaes para utilizao


A EN 292-2 e outros documentos relevantes (por exemplo,
a EN 60204-1) devem ser aplicados. Em particular, as informaes importantes para o uso seguro das partes relacionadas segurana do sistema de comando devem
ser fornecidas ao usurio. Isso inclui, mas no limitado a:
- limites da(s) categoria(s) selecionada(s) das partes
relacionadas segurana, incluindo qualquer excluso de defeito;

- pausa e suspenso das funes de segurana;


- modos de comando;
- manuteno (ver seo 9);
- listas de verificao para manuteno;
- facilidade de acesso e substituio de partes internas;
- meios para fcil e segura eliminao de problemas.
Sempre que se fornecerem informaes sobre as categorias de partes relacionadas segurana do sistema
de comando, devem ser referendadas da seguinte forma:
- NBR 14153 Categoria B;

NOTA - Quando a excluso de defeitos essencial na manuteno da(s) categoria(s) selecionada(s) e no desempenho da segurana, informao apropriada (por exemplo,
modificao, manuteno e reparo) ser necessria para
assegurar a continuada justificativa da excluso de defeito.

- NBR 14153 Categoria 1;


- NBR 14153 Categoria 2;
- NBR 14153 Categoria 3;

- efeitos dos desvios do desempenho especificado


sobre as funes de segurana;

- NBR 14153 Categoria 4.

/ANEXO A

NBR 14153:1998

Cpia no autorizada

17

Anexo A (informativo)
Questionrio para o processo de projeto
Esse anexo lista alguns aspectos importantes que devem
ser considerados durante o processo de projeto (ver 4.3).

A.6 Qual deve ser a ao seguinte do sistema de


comando, se um defeito foi constatado?

A.1 Que reao necessria da parte relacionada


segurana do sistema de comando, quando um
defeito ocorre?

a) A mquina deve ser levada a um estado predeterminado, conforme requerido pela avaliao de riscos.

a) No necessria qualquer ao especial.


b) Reao de segurana necessria dentro de um
certo tempo.
c) Reao de segurana imediatamente necessria.

A.2 Em que parte(s) relacionada(s) segurana


de sistemas de comando os defeitos devem ser
admitidos?
a) Somente naquelas partes em que (por experincia) os defeitos ocorrem com relativa freqncia,
como, por exemplo, nos sensores e cabeamento perifrico.
b) Em partes auxiliares.
c) Em todas as partes relacionadas segurana.

A.3 Foram considerados os defeitos sistemticos


e os ocasionais?
A.4 Que defeitos devem ser admitidos nos
componentes das partes relacionadas segurana
do sistema de comando?
a) Defeitos apenas nos componentes que no foram
bem ensaiados.

b) A operao posterior da mquina pode ser permitida at o reparo do defeito.


c) A indicao do(s) defeito(s) suficiente (por exemplo, sinal de advertncia por unidade visual).

A.7 O que necessrio para atingir os requisitos


de manuteno?
a) Fornecimento de informaes sobre os efeitos de
desvios das especificaes de projeto.
b) Indicao automtica da necessidade de manuteno.
c) Fixao da freqncia de manuteno.
d) Informao da vida de componentes.
e) Fornecimento de meios de diagnose e pontos de
ensaio.
f) Precaues especiais para segurana durante a
manuteno.

A.8 Que mtodos devem ser empregados para a


deteco de defeitos?
a) Deteco automtica de defeitos, na medida em
que for necessrio.
b) Deteco manual de defeitos, por exemplo, por
inspeo peridica.
c) Por mais de um mtodo.

NOTA - Bem ensaiados no no sentido de confiabilidade,


mas sob o ponto de vista de segurana (ver 6.2.2).

b) Defeitos em todos os componentes.

A.5 Foi selecionada a correta categoria de


referncia com respeito aos requisitos para a
deteco de defeitos?

A.9 A reduo de risco foi atingida?


a) Pode a reduo do risco ser atingida mais facilmente com uma diferente combinao de medidas
de reduo do risco?
b) Verificar se as medidas implementadas:

a) Requisitos normais para a deteco de defeitos.

- no reduzem a habilidade da mquina em desenvolver sua funo;

NOTA - Isso significa que todos os defeitos que podem ser


detectados com mtodos relativamente simples devem ser
detectados.

- no geram perigos ou problemas novos ou inesperados.

b) Requisitos severos para a deteco de defeitos.


NOTA - Isso significa que tcnicas devem ser empregadas
para possibilitar a deteco da maioria dos defeitos. Se
isso no for razoavelmente praticvel, a combinao de
defeitos deve ser admitida (acmulo de defeitos - ver 6.2.5).

c) As solues so vlidas para todas as condies


de operao e para todos os procedimentos?
d) Essas solues so compatveis com cada uma
das outras?
e) A especificao de segurana est correta?

Cpia no autorizada

18

A.10 Foram considerados princpios ergonmicos?


a) As partes relacionadas segurana do sistema
de comando, incluindo os dispositivos de proteo,
oferecem facilidade de uso?
b) O acesso ao sistema de comando fcil e seguro?

NBR 14153:1998

A.11 Foram as relaes entre segurana,


confiabilidade, disponibilidade e ergonomia
otimizadas, de tal forma que as medidas de
segurana sejam mantidas durante a vida do
sistema e no incentivem a usurios a anulao
das funes de segurana?

c) Foi dada prioridade aos sinais de advertncia (por


exemplo realados)?

/ANEXO B

Cpia no autorizada

19

NBR 14153:1998

Anexo B (informativo)
Guia para a seleo de categorias
B.1 Generalidades
Este anexo descreve um mtodo simplificado baseado
na NBR 14009 (particularmente com relao simplificao dos elementos de risco) para seleo de categorias apropriadas como ponto de referncia para o projeto das diversas partes relacionadas segurana de
sistemas de comando.
O guia deste anexo deve ser considerado como parte da
apreciao do risco dada na NBR 14009 e no como um
substituto para a mesma.
importante que o projeto de partes relacionadas
segurana de sistema de comando, incluindo a seleo
de categorias, como descrito na seo 4, seja baseado
na apreciao dos riscos, utilizando seus princpios dados
na NBR 14009, e seja parte da apreciao do risco total
da mquina.
A quantificao do risco usualmente muito difcil ou
impossvel e este mtodo apenas diz respeito contribuio para a reduo do risco, feita pelas partes relacionadas segurana de sistemas de comando. Este mtodo
fornece apenas uma estimativa da reduo do risco e
tem a inteno de orientar o projetista e o elaborador de
normas a escolher a categoria, baseado em seu comportamento, no caso de um defeito. Entretanto, isso
apenas um aspecto e outras influncias tambm iro contribuir para a avaliao de que a adequada segurana
tenha sido atingida. Isso inclui, por exemplo, confiabilidade de componentes, tecnologia aplicada, aplicao
particular, as quais podem indicar um desvio da categoria,
antecipadamente escolhida.
O mtodo como segue:
A severidade do ferimento (representada por S) relativamente fcil de ser estimada (por exemplo, lacerao,
amputao, fatalidade).
Para a freqncia da ocorrncia, parmetros auxiliares
so usados para melhorar a estimativa. Esses parmetros
so:
- freqncia e tempo de exposio ao perigo (F);
- possibilidade de evitar o perigo (P).

mantido. As razes para o desvio devem ser expostas.


Essas razes para a seleo de outra categoria com relao preferencial podem ser a aplicao de outra tecnologia, como, por exemplo, componentes hidrulicos
ou eletromecnicos bem ensaiados (categoria 1), em
combinao com sistemas eltricos ou eletrnicos (categoria 3 ou 4). Quando categorias indicadas com um crculo
pequeno na figura B.1 forem selecionadas, medidas adicionais podem ser necessrias, como, por exemplo:
- superdimensionamento ou aplicao de tcnicas,
que levem excluso de defeitos;
- utilizao de monitorao dinmica.
Por exemplo, uma estimativa de risco, com um parmetro
S1 (ver B.2.1), determina uma categoria da parte relacionada segurana do sistema de comando como categoria 1. Em algumas aplicaes, o projetista ou o elaborador de normas do tipo C pode escolher a categoria B
pela utilizao de outras medidas de proteo.

B.2 Guia para a seleo dos parmetros S, F e P


para a estimativa do risco
B.2.1 Severidade do ferimento S1 e S2
Na estimativa do risco proveniente de um defeito na parte
relacionada segurana de um sistema de comando,
apenas ferimentos leves (normalmente reversveis) e ferimento srios (normalmente irreversveis, incluindo a
morte) so considerados.
Para tomar uma deciso, as conseqncias usuais de
acidentes e processos normais de cura devem ser levadas em considerao na determinao de S1 e S2,
por exemplo, contuses e/ou laceraes, sem complicaes devem ser classificadas como S1, enquanto que
uma amputao ou morte deve ser classificada como S2.
B.2.2 Freqncia e/ou tempo de exposio ao perigo
F1 e F2
Um perodo de tempo geralmente vlido para a escolha
do parmetro F1 ou F2 no pode ser especificado. Entre-tanto, a seguinte explicao pode ajudar a tomar a
deciso correta, em caso de dvida.

A experincia tem mostrado que esses parmetros podem


ser combinados, como mostrado na figura B.1, para fornecer uma graduao do risco, de baixo a alto. enfatizado que isso um processo qualitativo, que fornece
apenas uma estimativa do risco.

F2 deve ser selecionado, se a pessoa estiver, freqentemente ou continuadamente, exposta ao perigo. irrelevante se a mesma pessoa ou pessoas diferentes estiverem expostas ao perigo em sucessivas ocasies,
como, por exemplo, para a utilizao de elevadores.

Na figura B.1, a categoria preferencial indicada por um


crculo maior totalmente cheio. Em algumas aplicaes o
projetista, ou o elaborador de normas do tipo C, pode
desviar para outra categoria, indicada por um crculo
totalmente preenchido menor, ou um crculo maior, vazio.
Outras, diferentes das categorias preferenciais, podem
ser utilizadas (ver 6.3), porm o comportamento pretendido do sistema na ocorrncia de defeitos deve ser

O perodo de exposio ao perigo deve ser avaliado com


base no valor mdio observado, com relao ao perodo
total de utilizao do equipamento. Por exemplo, se for
necessrio acessar regularmente as ferramentas da
mquina durante sua operao cclica, para a alimentao e movimentao de peas, F2 deve ser selecionado. Se o acesso somente for necessrio de tempo
em tempo, pode-se selecionar F1.

20

Cpia no autorizada

NBR 14153:1998

B.2.3 Possibilidade de evitar o perigo P

- velocidade com que o perigo aparece, por exemplo,


rapidamente ou lentamente;

Quando um perigo aparece, importante saber se ele


pode ser reconhecido e quando pode ser evitado, antes
de levar a um acidente. Por exemplo, uma importante
considerao se o perigo pode ser diretamente identificado por suas caractersticas fsicas ou por meios tcnicos, por exemplo, indicadores. Outro aspecto importante que influencia a seleo do parmetro P inclui, por
exemplo:
- operao com ou sem superviso;
- operao por especialistas ou por no profissionais;

- possibilidades de se evitar o perigo, por exemplo,


por fuga ou por interveno de terceiros;
- experincias prticas de segurana relativas ao
processo.
Quando uma situao de perigo ocorre, P1 deve apenas
ser selecionado se houver uma chance real de se evitar
um acidente ou reduzir significativamente o seu efeito.
P2 deve ser selecionado se praticamente no houver
chance de se evitar o perigo.

Ponto de partida para


a estimativa do risco
para partes
relacionadas
segurana de sistemas
de comando (ver 4.3
passo 3)

S Severidade do ferimento
S1 Ferimento leve (normalmente reversvel)
S2 Ferimento srio (normalmente irreversvel) incluindo morte
F Freqncia e/ou tempo de exposio ao perigo
F1 Raro a relativamente freqente e/ou baixo tempo de exposio
F2 Freqente a contnuo e/ou tempo de exposio longo

..

P Possibilidade de evitar o perigo


P1 Possvel sob condies especficas
P2 Quase nunca possvel

B, 1 a 4 Categorias para partes relacionadas segurana de sistemas de comando


Categorias preferenciais para pontos de referncia (ver 4.2)
Categorias possveis que requerem medidas adicionais (ver B.1)

Medidas que podem ser superdimensionadas para o risco relevante


Figura B.1 - Seleo possvel de categorias

/ANEXO C

NBR 14153:1998

Cpia no autorizada

21

Anexo C (informativo)
Lista de alguns dos defeitos e falhas significantes para vrias tecnologias
C.1 Componentes eletroeletrnicos
Alguns defeitos e falhas a considerar so:
- curto-circuito ou circuito aberto, por exemplo, falta
de terra (curto-circuito para o condutor de proteo
ou para uma parte condutiva), circuito aberto de qualquer condutor;
- curto-circuito ou circuito aberto, ocorrendo em componentes isolados, como, por exemplo, em interruptores, equipamento de controle e regulagem,
atuadores da mquina, rels;
- no desacionamento ou no acionamento de elementos eletromagnticos, como, por exemplo, contatores, rels, solenides;
- no partida ou no parada de motores, como, por
exemplo, servomotores;
- bloqueio mecnico de elementos mveis, soltura
ou desmontagem de elementos, como, por exemplo,
chaves de posio;
- desvio, alm da tolerncia de valores para elementos analgicos, como, por exemplo, resistores, capacitores, transistores;
- oscilao (instabilidade) de sinais de sada em componentes integrados;
- perda total ou parcial de funo (pior caso), em
componentes integrados complexos, como, por
exemplo, microprocessadores, sistemas eletrnicos
programveis, aplicaes de circuitos integrados
especficos.

C.2 Componentes hidrulicos e pneumticos

- desvio de posio de controle original do elemento


mvel, como, por exemplo, em vlvulas direcionais
de controle;
- vazamento e modificao do volume do fluxo de
vazamento, como, por exemplo, em vlvulas direcionais de controle;
- caractersticas de controle instveis em servovlvulas ou vlvulas proporcionais;
- perda de presso ou rompimento de linhas, como,
por exemplo, mangueiras, tubos ou em suas conexes;
- obstruo do elemento filtrante (em particular causado por substncias slidas);
- presso e/ou volume de fluxo anormais, como, por
exemplo, em bombas hidrulicas, motores hidrulicos, compressores, cilindros;
- falha ou modificao anormal das caractersticas
dos sinais de entrada ou sada em sensores, como,
por exemplo, pressostatos.

C.3 Componentes mecnicos


Alguns defeitos e falhas a considerar so:
- quebra de molas;
- engripamento ou endurecimento de componentes
mveis de guias;
- soltura de fixaes, por exemplo, em vibrao;
- desgaste, por exemplo, em roldanas, fechos, rolamentos;

Alguns defeitos e falhas a considerar so:


- desalinhamento de peas;
- no comutao ou comutao incompleta do elemento mvel, como, por exemplo, engripamento de
pisto de vlvula;

- influncias ambientais, como, por exemplo,


corroso, temperatura.

/ANEXO D

22

Cpia no autorizada

NBR 14153:1998

Anexo D (informativo)
Relao entre segurana, confiabilidade e disponibilidade para mquinas
Os conceitos de segurana, confiabilidade e disponibilidade podem ser descritos da seguinte forma:
- Segurana de uma mquina sua habilidade em
desempenhar sua funo, ser transportada, instalada, ajustada, sofrer manuteno, ser desmontada
e desativada de suas condies de utilizao previstas, especificadas em seu manual de instrues
(e, em alguns casos, durante um determinado perodo de tempo, indicado no manual de instrues),
sem causar ferimentos ou danos sade (ver
EN 292-1).
- Confiabilidade a habilidade da mquina ou componentes, ou equipamentos, em desempenhar uma
determinada funo, sem falhas, sob condies especificadas para um dado perodo de tempo (ver
EN 292-1)
- Disponibilidade a habilidade de um item estar no
estado adequado para desempenhar uma determinada funo, sob condies determinadas, em um
dado instante ou em um intervalo de tempo, assumindo-se que os recursos externos necessrios so
fornecidos (ver IEC 50(191).

A segurana abrange as causas e conseqncias de


possveis acidentes (ferimentos ou danos sade).
Requisitos de segurana esto relacionados a conceber
um sistema que no cause acidentes. Os requisitos de
segurana asseguram que o sistema no alcanar um
estado de perigo ou inseguro, quando um evento pode
causar um acidente. Os requisitos de segurana devem
indicar quais as aes a serem tomadas, se um evento
imprevisto no ambiente levar a um estado inseguro.
Do ponto de vista de segurana no importa se o sistema
no cumpre sua finalidade, contanto que os requisitos
de segurana no sejam violados. Por outro lado, possvel que o sistema seja altamente confivel, mas inseguro; por exemplo, um sistema com software formalmente
verificado, porm onde uma situao relacionada segurana no foi adequadamente especificada.
A disponibilidade influencia a segurana. A disponibilidade de um sistema implica que a confiabilidade relacionada segurana desempenhada; caso contrrio,
o dispositivo de proteo pode ser desativado.
O projetista tem a responsabilidade de decidir, para cada
aplicao, a relao entre disponibilidade, confiabilidade
e segurana, para assegurar que a reduo do risco seja
alcanada.

/ANEXO E

Cpia no autorizada

23

NBR 14153:1998

Anexo E (informativo)
Bibliografia
Segue abaixo uma relao de publicaes que fornece
informaes adicionais sobre partes relacionadas segurana de sistema de comando.

- DIN V VDE 0801 - Principles for computers in safety


related computer systems, January 1990

E.1 Publicaes sobre sistemas eletrnicos programveis

- HSE Guidelines - Programmable Eletronic Systems


in Safety Related Applications Part 1 (ISBN 0 11
883906 6) and Part 2 (ISBN 0 11 883906 3)

- EN 61000-4-1 - Eletromagnetic compatibility (EMC)


- Part 4: Testing and measurement techniques - Section 1: Overview of immunity tests - Basic EMC publication (IEC 1000-4-1 : 1992)

- Personal Safety in Microprocessor Control Systems


(CECR - 184, Elektronikcentralen, Denmark)

E.2 Outras publicaes


- IEC 1508 - Functional safety: safety-related systems (provisonal title)

- IEC 68 Basic environmental testing procedures