Projeto ABNT NBR ISO 13849-1 PDF

ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1

FEV 2019
Segurança de máquinas — Partes de sistemas de comando relacionadas

à segurança
Parte 1: Princípios gerais de projeto
Projeto em Consulta Nacional
APRESENTAÇÃO
1) Este Projeto foi elaborado pela Comissão de Estudo Segurança de Máquinas de Uso Geral
(CE-004:026.001) do Comitê Brasileiro de Máquinas e Equipamentos Mecânicos (ABNT/CB-004),
com número de Texto-Base 004:026.001-005/1, nas reuniões de:
13.08.2013 24.02.2016 29.03.2017
28.08.2013 25.02.2016 26.04.2017
25.09.2013 25.03.2016 24.05.2017
30.10.2013 30.03.2016 29.06.2017
27.11.2013 27.04.2016 26.07.2017
18.12.2013 25.05.2016 30.08.2017
29.01.2014 27.07.2016 27.09.2017
26.02.2014 29.07.2016 25.10.2017
26.03.2014 26.08.2016 29.11.2017
23.04.2014 30.08.2016 13.12.2017
28.05.2014 24.09.2016 17.01.2018
25.06.2014 30.09.2016 28.01.2018
30.07.2014 28.10.2016 28.02.2018
27.08.2014 28.10.2016 28.03.2018
24.09.2014 26.11.2016 24.04.2018
29.10.2014 14.12.2016 23.05.2018
26.11.2014 16.12.2016 20.06.2018
17.12.2014 18.01.2017
20.01.2016 22.02.2017
© ABNT ‌2019
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
NÃO TEM VALOR NORMATIVO

ABNT/CB-004
FEV 2019
a) é previsto para cancelar e substituir a ABNT NBR 14153:1998, quando aprovado, sendo
que nesse ínterim a referida norma continua em vigor;
b) é previsto para ser idêntico à ISO 13849-1:2015, que foi elaborada pelo Technical
Committee Safety of machinery (ISO/TC 199), conforme ISO/IEC Guide 21-1:2005;
c) não tem valor normativo.
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
3) Tomaram parte na sua elaboração, participando em no mínimo 30 % das reuniões realizadas

sobre o Texto-Base e aptos a deliberarem na Reunião de Análise da Consulta Nacional:
Participante Representante
ACE SCHMERSAL José Amauri Martins

ACE SCHMERSAL Justiniano Vieira Lima Junior
BOSCH REXROTH Makoto Yokoyama
DIGIMEC Roberto Bilevic
EUCHNER Paulo Umeda
FESTO Myrian Reis
FUNDACENTRO Roberto do V. Giuliano
GALAXIA Ronaldo Gabriel dos Santos
MANUALTECH Luis Carlos Davenienne de Almeida
MTB Aida Becker
MTB Anildo de Oliveira Passos Jr.
MTB Hildeberto B. Nobre Jr.
MTB Ricardo Silveira da Rosa
OMRON Renato Ozaki
OMRON Carla Haddad
PILZ João Paulo Vaz
REER Hamilton Sakamoto
SCHNEIDER Erico Grano
SENAI - GO Joel Mario de Souza
SICK Marcio Liron Damelio
SIEMENS Fernando G. Capuzzo

ABNT/CB-004
FEV 2019
SIEMENS Lais Rodrigues Misko

SINDIPEÇAS José Carlos de Freitas
SMC Jeferson Aidar
TÜV RHEINLAND Lucas B. Lazzarine
TÜV RHEINLAND Robynson Molinari

TÜV RHEINLAND Victor Marquesim
USIFORMA Rodolpho Godoy
VOITH PAPER Jorge Luiz gomes

ABNT/CB-004
FEV 2019

à segurança
Safety of machinery — Safety-related parts of control systems

Part 1: General principles for design
Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB),
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas
no tema objeto da normalização.
Os Documentos Técnicos Internacionais são adotados conforme as regras da ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos.
Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras
datas para exigência dos requisitos desta Norma.
A ABNT NBR ISO 13849-1 foi elaborada no Comitê Brasileiro de Máquinas e Equipamentos Mecânicos
(ABNT/CB-004), pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001).
O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 13849-1:2015,
que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199), conforme
ISO/IEC Guide 21-1:2005.
Esta Norma, sob o título geral “Segurança de máquinas – Partes de sistemas de comando relacionadas
à segurança”, tem previsão de conter as seguintes partes:
—— Parte 1: Princípios gerais de projeto;
—— Parte 2: Validação.
O Escopo em inglês desta Norma Brasileira é o seguinte:
Scope
This document provides safety requirements and guidance on the principles for the design and
integration of safety-related parts of control systems (SRP/CS), including the design of software.
For these parts of SRP/CS, it specifies characteristics that include the performance level required
for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy
used (electrical, hydraulic, pneumatic, mechanical etc.), for all kinds of machinery.

ABNT/CB-004
FEV 2019
It does not specify the safety functions or performance levels that are to be used in a particular case.
This document provides specific requirements for SRP/CS using programmable electronic system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS.
Nevertheless, the principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches,
PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such
products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851,
ISO 13856-1 and ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ABNT NBR ISO 13849 for programmable electronic
systems are compatible with the methodology for the design and development of safety-related electrical,
electronic and programmable electronic control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PLr = e see IEC 61508-3:1998, Clause 7.

ABNT/CB-004
FEV 2019
Introdução
A estrutura das normas de segurança no campo das máquinas é a seguinte.
a) Normas do tipo A (normas básicas) proveem conceitos básicos, princípios de projeto e aspectos
gerais que podem ser aplicados às máquinas;
b) Normas do tipo B (normas de segurança genéricas) abordam um ou mais aspectos de segurança,
ou um ou mais tipos de dispositivos de segurança que podem ser utilizados em uma ampla
variedade de máquinas:
—— as normas do tipo B1 sobre aspectos de segurança específicos (por exemplo, distâncias

de segurança, temperatura da superfície, ruído);
—— as normas do tipo B2 sobre dispositivos de segurança (por exemplo, controles acionados

pelas duas mãos, dispositivos de travamento, dispositivos sensíveis à pressão, proteções);
c) Normas do tipo C (normas de segurança de máquinas) abordam requisitos de segurança

detalhados para uma máquina ou grupo de máquinas específico.
Esta Parte da ABNT NBR ISO 13849 é uma norma do tipo B1 conforme declarado na
ABNT NBR ISO 12100.
Este documento tem relevância, em particular, para os seguintes grupos da sociedade relacionados
à segurança de máquinas:
—— fabricantes de máquinas (pequenas, médias e grandes empresas);
—— organismos de segurança e saúde (orgâos reguladores, de prevenção de acidentes de fisca-

lização etc.).
Outros grupos podem ser afetados pelo nível de segurança obtido em máquinas, mediante à aplicação
desta Norma pelos grupos acima citados anteriormente, entre eles:
—— usuários de máquinas/empregadores (pequenas, médias e grandes empresas);
—— usuários de máquinas/operadores, empregados (órgãos reguladores, de prevenção de acidentes,

de vigilância de mercado, etc.).
—— prestadores de serviços, por exemplo, de manutenção (pequenas, médias e grandes empresas);
—— consumidores (no caso, os que adquirem máquinas);
Os grupos mencionados anteriormente tiveram a possibilidade de participar do processo de construção

deste documento.
Adicionalmente, este documento é destinado a organismos de normalização que elaboram normas

tipo C.
Os requisitos deste documento podem ser suplementados ou modificados por uma norma tipo C.
Para máquinas cobertas pelo escopo de uma norma tipo C e que foram projetadas ou construídas
de acordo com os requisitos desta Norma, os requisitos da norma tipo C prevalecem.

ABNT/CB-004
FEV 2019
Quando as disposições de uma norma do tipo C forem diferentes das que são declaradas nas normas
do tipo A ou tipo B, as disposições da norma do tipo C prevalecem sobre as disposições das outras
normas para máquinas que foram projetadas e construídas de acordo com as disposições da norma
do tipo C.
Esta Parte da ABNT NBR ISO 13849 destina–se a prover orientação aos envolvidos no projeto e
avaliação de sistemas de comando e aos Comitês Técnicos que preparam as normas do tipo B2 ou
tipo C que são consideradas em conformidade com os Requisitos Essenciais de Segurança do Anexo I
da Diretiva 2006/42/EC, a Diretiva de Máquinas. Este documento da ABNT NBR ISO 13849 não provê
orientação específica para conformidade com outras diretivas EC.
Como parte da estratégia total da redução de risco em uma máquina, um projetista muitas vezes optará
por atingir alguma medida de redução de risco por meio da aplicação de dispositivos de segurança
que empregam uma ou mais funções de segurança.
Partes dos sistemas de comando de máquinas que são atribuídas para prover funções de segurança
são chamadas de partes de sistemas de comando relacionadas à segurança (SRP/CS) e estas podem
consistir em hardware e software e podem ser separadas do sistema de comando da máquina ou
uma parte integrante deste. Além de prover funções de segurança, a SRP/CS pode também prover
funções operacionais (por exemplo, controles acionados pelas duas mãos como meio de inicialização
do processo).
A capacidade das partes de sistemas de comando relacionadas à segurança em realizar uma função
de segurança sob condições previsíveis é atribuída em cinco níveis, chamados de níveis de desem-
penho (PL). Esses níveis de desempenho são definidos em termos da probabilidade de falha perigosa
por hora (ver Tabela 2).
A probabilidade de falha perigosa da função de segurança depende de vários fatores, incluindo a

estrutura de hardware e software, a extensão dos mecanismos de detecção de defeitos [cobertura
de diagnóstico (DC)], confiabilidade dos componentes [tempo médio até falha perigosa (MTTFD),
falha de causa comum (CCF)], processo de projeto, tensão de operação, condições ambientais e
procedimentos de operação.
A fim de auxiliar o projetista e facilitar a avaliação do PL atingido, este documento emprega uma
metodologia com base na categorização de estruturas de acordo com critérios de projeto específicos
e comportamentos especificados sob condições de defeito. Estas categorias são atribuídas em cinco
níveis, denominados Categorias B, 1, 2, 3 e 4.
Os níveis de desempenho e as categorias podem ser aplicados às partes de sistemas de comando

relacionadas à segurança, como
—— dispositivos de proteção (por exemplo, dispositivos de controle acionados pelas duas mãos,
dispositivos de intertravamento), dispositivos de proteção eletrossensíveis (por exemplo, barreiras
fotoelétricas), dispositivos sensíveis à pressão
—— unidades de controle (por exemplo, uma unidade lógica para funções de controle, processamento
de dados, monitoramento, etc.) e
—— elementos de controle de potência (por exemplo, relés, válvulas etc.),
bem como os sistemas de comando que exercem funções de segurança em todos os tipos de
máquinas – das simples (por exemplo, pequenas máquinas de cozinha, ou portas e portões automáticos)
até as instalações industriais (por exemplo, máquinas de embalagem, máquinas de impressão, prensas).

ABNT/CB-004
FEV 2019
Esta Parte da ABNT NBR ISO 13849 destina-se a prover uma base clara sobre a qual, o projeto e
desempenho de qualquer aplicação da SRP/CS (e a máquina) podem ser avaliados, por exemplo, por
um terceiro, na própria fábrica ou por uma entidade de ensaios independente.
Informações sobre a recomendação de aplicação da IEC 62061 e esta Parte da

ABNT NBR ISO 13849
A IEC 62061 e esta Parte da ABNT NBR ISO 13849 especificam requisitos para o projeto e imple-
mentação de sistemas de comando relacionados à segurança de máquinas. O uso de qualquer uma
dessas Normas, em conformidade com os seus respectivos escopos permite presumir o atendimento
aos requisitos de segurança essenciais relevantes. A norma ISO/TR 23849 oferece um guia para
aplicação desta Parte da ABNT NBR ISO 13849 e da IEC 62061 no projeto de partes relacionadas
a sistemas de controle de segurança em máquinas.
Assim como a norma ISO/TR 23849, a norma ISO/TR 22100-2 foi adicionada à lista de referências
normativas dadas na Seção 2 – dada a sua importância na compreenção da relação entre as partes
das normas ABNT NBR ISO 13849 e ABNT NBR ISO 12100.

ABNT/CB-004
FEV 2019

à segurança
1 Escopo
Esta Parte da ABNT NBR ISO 13849 provê os requisitos de segurança e orientação sobre os princípios
de projeto e integração de partes de sistemas de comando relacionadas à segurança (SRP/CS),
incluindo o projeto de software. Para essas partes da SRP/CS, esta Norma especifica as características
que incluem o nível de desempenho (PL) requerido para realizar funções de segurança. Esta Parte da
ABNT NBR ISO 13849 aplica-se a SRP/CS para alta demanda e modo contínuo, independentemente
do tipo de tecnologia e energia utilizadas (elétrica, hidráulica, pneumática, mecânica, etc.), para todos
os tipos de máquinas.
Esta Parte da ABNT NBR ISO 13849 não especifica as funções de segurança ou níveis de desem-
penho que devem ser utilizados em um caso específico.
Esta Parte da ABNT NBR ISO 13849 provê requisitos específicos para SRP/CS utilizando sistema(s)
eletrônico(s) programável(eis).
Esta Parte da ABNT NBR ISO 13849 não provê requisitos específicos para o projeto de produtos que
são partes da SRP/CS. No entanto, os princípios dados, como categorias ou níveis de desempenho,
podem ser utilizados.
NOTA 1 Exemplos de produtos que são partes da SRP/CS: relés, válvulas solenoide, chaves de posição,
PLC, unidades de controle de motor, dispositivos de controle bimanuais, equipamento sensível à pressão.
Para o projeto destes produtos, é importante consultar as Normas específicas aplicáveis, por exemplo,
ISO 13851, ISO 13856-1 e ISO 13856-2.
NOTA 2 Para a definição do nível de desempenho (PL) requerido, ver 3.1.24.
NOTA 3 Os requisitos apresentados neste documento da ABNT NBR ISO 13849 para sistemas eletrônicos
programáveis são compatíveis com a metodologia do projeto e desenvolvimento de sistemas de comando
elétrico, eletrônico e programável relacionados à segurança para máquinas, dada pela IEC 62061.
NOTA 4 Para software embarcado relacionado à segurança para componentes com PLr = e,
ver IEC 61508-3:1998, Seção 7.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT NBR ISO 12100:2013, Segurança de máquinas – Princípios gerais de projeto – Apreciação e
redução de riscos
ABNT NBR ISO 13849-2, Segurança de máquinas – Partes de sistemas de comando relacionadas
à segurança – Parte 2: Validação
NÃO TEM VALOR NORMATIVO 1/97

ABNT/CB-004
FEV 2019
IEC 60050‑191:1990, International electrotechnical vocabulary – Chapter 191: Dependability and

quality of service. Amended by IEC 60050‑191-am1:1999 and IEC 60050‑191-am2:2002:1999
IEC 61508‑3:2010, Functional safety of electrical/electronic/programmable electronic safety-related

systems – Part 3: Software requirements. Corrected by IEC 61508‑3/Cor.1:1999
IEC 61508‑4:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems – Part 4: Definitions and abbreviations. Corrected by IEC 61508‑4/Cor.1:1999

IEC 62061:2012, Safety of machinery – Functional safety of safety-related electrical, electronic and
programmable electronic control systems
ISO/TR 22100‑2:2013, Safety of machinery – Relationship with ISO 12100 – Part 2: How ISO 12100
relates to ISO 13849‑1
ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-
related control systems for machinery
3 Termos, definições, símbolos e abreviaturas

3.1 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 12100 e
IEC 60050-191 e os seguintes.
3.1.1
parte de um sistema de comando relacionada à segurança
SRP/CS
parte de um sistema de comando que responde a sinais de entrada relacionados à segurança e gera
sinais de saída relacionados à segurança
Nota 1 de entrada: As partes combinadas de um sistema de comando relacionadas à segurança começam
no ponto onde os sinais de entrada relacionados à segurança são iniciados (incluindo, por exemplo, o came
de atuação e o rolete do fim de curso) e terminam na saída dos elementos de controle de potência (incluindo,
por exemplo, os contatos principais de um contator).
Nota 2 de entrada: Se sistemas de monitoramento forem utilizados para diagnóstico, estes também são
considerados como SRP/CS.
3.1.2
categoria
classificação das partes de um sistema de comando relacionadas à segurança em relação à sua
resistência a falha e seu comportamento subsequente na condição de falha, e que é atingida pela
disposição estrutural das partes, detecção da falha e/ou por sua confiabilidade
3.1.3
defeito
estado de um item caracterizado pela incapacidade de realizar uma função requerida, excluindo a
incapacidade durante a manutenção preventiva ou outras ações planejadas, ou devido à falta de
recursos externos
Nota 1 de entrada: Um defeito é muitas vezes o resultado de uma falha do próprio item, porém pode existir
sem falha prévia.
[FONTE: IEC 60050-191:1990, 05-01]

Nota 2 de entrada: Neste documento da ABNT NBR ISO 13849, “defeito” significa defeito aleatório.
2/97 NÃO TEM VALOR NORMATIVO

ABNT/CB-004
FEV 2019
3.1.4
falha
término da capacidade de um item em realizar uma função requerida
Nota 1 de entrada: Após uma falha, o item apresenta um defeito.

Nota 2 de entrada: “Falha” é um evento, diferente do “defeito”, que é um estado.
Nota 3 de entrada: O conceito assim definido não é aplicado em elementos que consistam apenas em
software.
Nota 4 de entrada: Estão fora do escopo deste documento da ABNT NBR ISO 13849 as falhas que somente
afetam a disponibilidade do processo controlado.
[FONTE: IEC 60050-191:1990, 04-01]
3.1.5
falha perigosa
falha que tem o potencial de colocar a SRP/CS em um estado perigoso ou incapaz de executar a
função de segurança
Nota 1 de entrada: de entrada: A identificação do potencial pode depender da arquitetura de canais do

sistema. Em sistemas redundantes, é menos provável que uma falha perigosa de hardware possa levar
a um completo estado perigoso ou de comprometer a execução da função de segurança.
Nota 2 de entrada: Adaptado da IEC 61508-4:1998, 3.6.7.
3.1.6
falha de causa comum
CCF
falhas de itens diferentes, resultantes de um único evento, onde essas falhas não são consequências
umas das outras
[FONTE: IEC 60050-191-am1:1999, 04-23]
Nota 1 de entrada: falhas de causa comum não devem ser confundidas com as falhas de modo comum
(ver ABNT NBR ISO 12100:2013, 3.36).
3.1.7
falha sistemática
falha relacionada de forma deterministica a uma determinada causa, a qual somente pode ser elimi-
nada por uma modificação do projeto ou do processo de fabricação, procedimentos operacionais,
documentação ou outros fatores relevantes
Nota 1 de entrada: Manutenção corretiva sem modificação normalmente não elimina a causa da falha.
Nota 2 de entrada: Uma falha sistemática pode ser induzida por simulação da causa da falha.
Nota 3 de entrada: Exemplos de causas de falhas sistemáticas incluem o erro humano
—— na especificação dos requisitos de segurança,

—— no projeto, fabricação, instalação, operação do hardware, e
—— no projeto, implementação etc. do software.
[FONTE: IEC 60050-191:1990, 04-19]

ABNT/CB-004
FEV 2019
3.1.8
muting
suspensão automática temporária de uma função ou funções de segurança pela SRP/CS
3.1.9
rearme manual
função dentro da SRP/CS utilizada para restaurar manualmente uma ou mais funções de segurança
antes de reiniciar uma máquina
3.1.10
dano
lesão física ou prejuízo à saúde
[FONTE: ABNT NBR ISO 12100:2013, 3.5]
3.1.11
perigo
fonte potencial de dano
Nota 1 de entrada: Um perigo pode ser qualificado a fim de definir sua origem (por exemplo, perigo mecânico,
perigo elétrico) ou a natureza do dano potencial (por exemplo, perigo de choque elétrico, perigo de corte,
perigo tóxico, perigo de incêndio).
Nota 2 de entrada: O perigo previsto nesta definição:
—— está permanentemente presente durante o uso devido da máquina (por exemplo, movimentação
de elementos móveis perigosos, arco elétrico durante uma fase de soldagem, postura inadequada,
emissão de ruído, alta temperatura);
—— ou pode aparecer inesperadamente (por exemplo, explosão, perigo de esmagamento em consequência

de um comando inesperado ou não intencional, ejeção em consequência de ruptura, queda em conse-
quência de aceleração/desaceleração).

3.1.12
situação perigosa
circunstância na qual uma pessoa é exposta a pelo menos um perigo
Nota 1 de entrada: A exposição pode resultar em um dano imediatamente ou após um determinado período
de tempo.
[FONTE: ABNT NBR ISO 12100: 2013, 3.10]

3.1.13
risco
combinação da probabilidade de ocorrência de um dano e da severidade deste
3.1.14
risco residual
risco remanescente após terem sido adotadas medidas de proteção
Nota 1 de entrada: Ver Figura 2.
[FONTE: ABNT NBR ISO 12100: 2013, 3.13]

ABNT/CB-004
FEV 2019
3.1.15
apreciação de risco
processo completo que compreende a análise de risco e a avaliação de risco

3.1.16
análise de risco
combinação da especificação dos limites da máquina, identificação do perigo e estimativa de risco
3.1.17
avaliação de risco
julgamento, com base na análise de risco, considerando se os objetivos de redução de risco foram
atingidos
3.1.18
uso devido de uma máquina
utilização da máquina de acordo com as informações contidas nas instruções de uso
3.1.19
mau uso razoavelmente previsível
utilização de uma máquina de uma maneira não prevista pelo projetista, porém que pode resultar
de comportamento humano facilmente previsível
3.1.20
função de segurança
função da máquina cuja falha pode resultar em um aumento imediato do(s) risco(s)
3.1.21
monitoramento
função de segurança que assegura que uma medida de proteção é iniciada, caso a capacidade de
um componente ou de um elemento em desempenhar sua função for diminuída, ou se as condições
do processo são alteradas de tal forma que aumente o risco
3.1.22
sistema eletrônico programável
PES
sistema para controle, proteção ou monitoramento dependente para sua operação em um ou mais
dispositivos eletrônicos programáveis, incluindo todos os elementos do sistema, como fontes de
energia, sensores e outros dispositivos de entrada, contatores e outros dispositivos de saída
[FONTE IEC 61508-4:1998, 3.3.2, modificado]

ABNT/CB-004
FEV 2019
3.1.23
nível de desempenho
PL
nível discreto utilizado para especificar a capacidade das partes dos sistemas de comando relacio-
nadas à segurança em desempenhar uma função de segurança sob condições previsíveis
Nota 1 de entrada: Ver 4.5.1.
NOTA BRASILEIRA “Nivel de desempenho” é a expressão em Português equivalente à “Performance

Level”
3.1.24
nível de desempenho requerido
PLr
nível de desempenho (PL) aplicado a fim de atingir a redução de risco requerida para cada função
de segurança
Nota 1 de entrada: Ver Figuras 2 e A.1.
3.1.25
tempo médio para falha perigosa
MTTFD
expectativa do tempo médio até a falha perigosa
[FONTE: IEC 62061:2005, 3.2.34, modificado]
3.1.26
cobertura de diagnóstico
DC
medida da efetividade do diagnóstico, que pode ser determinada como a razão entre a taxa de falha
das falhas perigosas detectadas e a taxa de falha das falhas perigosas totais
Nota 1 de entrada: A cobertura de diagnóstico pode existir para a totalidade ou partes de um sistema
relacionado à segurança. Por exemplo, a cobertura de diagnóstico pode existir para sensores e/ou sistema
lógico e/ou elementos finais.
[FONTE: IEC 61508-4:1998, 3.8.6, modificado]
3.1.27
medida de proteção
medida destinada a atingir a redução de risco
EXEMPLO 1 Implementada pelo projetista: projeto inerente, medidas de segurança e proteção comple-
mentares e informações de uso.
EXEMPLO 2 Implementada pelo usuário: organização (procedimentos de segurança no trabalho, supervi-

são, sistemas de permissão de trabalho), prover o uso de dispositivos de segurança adicionais, equipa-
mentos de proteção individual, treinamento.
[FONTE: ABNT NBR ISO 12100:2013, 3.19, modificado]

ABNT/CB-004
FEV 2019
3.1.28
tempo de missão
TM
período de tempo que abrange o uso devido de uma SRP/CS
3.1.29
taxa de teste
rt
frequência de testes automáticos para detectar falhas em uma SRP/CS, inversa ao valor do intervalo
de teste de diagnóstico
3.1.30
taxa de demanda
rD
frequência de demandas para uma ação relacionada à segurança da SRP/CS
3.1.31
taxa de reparo
rr
inverso do valor do período de tempo entre a detecção de uma falha perigosa por um teste on-line
ou mau funcionamento previsto do sistema e o reinício da operação após o reparo ou substituição
do sistema/componente
Nota 1 de entrada: O tempo de reparo não inclui o período de tempo necessário para a detecção da falha.
3.1.32
sistema de comando da máquina
sistema que responde aos sinais de entrada de partes dos elementos da máquina, operadores,
equipamentos de comando externo ou qualquer combinação destes e que gera sinais de saída
fazendo com que a máquina se comporte da maneira devida
Nota 1 de entrada: O sistema de comando da máquina pode utilizar qualquer tecnologia ou qualquer
combinação de diferentes tecnologias (por exemplo, elétrica/eletrônica, hidráulica, pneumática, mecânica).
3.1.33
nível de integridade de segurança
SIL
nível discreto (um de quatro possíveis) para especificar os requisitos de integridade de segurança
das funções de segurança a serem atribuídas a sistemas relacionados à segurança E/E/PE (elétrica/
eletrônica/eletrônica programável), onde o nível 4 de integridade de segurança é o nível mais alto e o
nível 1 é o nível mais baixo
[FONTE: IEC 61508-4:1998, 3.5.6]
3.1.34
linguagem de variabilidade limitada
LVL
tipo de linguagem que proporciona a capacidade de combinar funções de biblioteca predefinidas,
relativas a aplicações específicas, para implementar as especificações dos requisitos de segurança
Nota 1 de entrada: Exemplos típicos de LVL (lógica ladder, diagrama de blocos de função) são dados na IEC 61131-3.
Nota 2 de entrada: Exemplo típico de um sistema que utiliza LVL: PLC.
[FONTE: IEC 61511-1:2003, 3.2.80.1.2, modificado]

ABNT/CB-004
FEV 2019
3.1.35
linguagem de variabilidade total
FVL
tipo de linguagem que proporciona a capacidade de implementação de uma ampla variedade de
funções e aplicações
EXEMPLO C, C++, Assembler.
Nota 1 de entrada: Um exemplo típico de sistemas que utilizam FVL: sistemas embarcados.
Nota 2 de entrada: No campo das máquinas, FVL é encontrada em software embarcado e raramente em
software de aplicação.
[FONTE: IEC 61511-1:2003, 3.2.80.1.3, modificado]
3.1.36
software de aplicação
software específico para a aplicação, implementado pelo fabricante da máquina, e geralmente
contendo sequências lógicas, limites e expressões que controlam as entradas, saídas, cálculos e
decisões apropriados necessários para atender aos requisitos da SRP/CS
3.1.37
software embarcado
firmware
software de sistema
software que faz parte do sistema fornecido pelo fabricante do controle e que não é acessível para
modificação pelo usuário da máquina
Nota 1 de entrada: Software embarcado é geralmente escrito em FVL.
3.1.38
elevada demanda ou modo contínuo
modo de operação no qual a frequência de demanda na SRP/CS é maior que uma vez por ano ou a
função relacionada à segurança mantém a máquina no estado seguro como parte de seu funciona-
mento ou operação normal.
[FONTE: IEC 62061:2012, 3.2.27, modificada.]
3.1.39
testado em uso
demonstração, baseada em uma análise de experiência operacional para uma configuração específica
de um elemento, em que a possibilidade de falha perigosa sistemática é baixa o suficiente para que
qualquer função de segurança que utilize tal elemento, atinja seu nível de performance requerido (PLr)
[FONTE: IEC 62061:2012, 3.2.28, modificada.]
3.2 Símbolos e abreviaturas
Ver Tabela 1.

ABNT/CB-004
FEV 2019
Tabela 1 – Símbolos e abreviaturas (continua)
Símbolo ou Definição ou
Descrição
abreviatura ocorrência
a, b, c, d, e Designação dos níveis de desempenho Tabela 3

AOPD Dispositivo de proteção optoeletrônico ativo (por exemplo, barreira de luz) Anexo H
B, 1, 2, 3, 4 Designação de categorias Tabela 7
Número de ciclos até que 10 % dos componentes falhem perigosamente

B10D Anexo C
(para componentes pneumáticos e eletromecânicos)
Cat. Categoria 3.1.2
CC Conversor de corrente Anexo I
CCF Falha de causa comum 3.1.6
DC Cobertura de diagnóstico 3.1.26
DCavg Cobertura de diagnóstico média E.2
F, F1, F2 Frequência e/ou tempo de exposição ao perigo A.2.2
FB Bloco de função 4.6.3
FVL Linguagem de variabilidade total 3.1.35
FMEA Análise dos modos e efeitos de falha 7.2
I, I1, I2 Dispositivo de entrada, por exemplo, sensor 6.2
i, j Índice para contagem Anexo D
I/O Entradas/saídas Tabela E.1
iab, ibc Meios de interconexão Figura 4
K1A, K1B Contatores Anexo I
L, L1, L2 Lógica 6.2
LVL Linguagem de variabilidade limitada 3.1.34
M Motor Anexo I
MTTF Tempo médio até a falha Anexo C
MTTFD Tempo médio até a falha perigosa 3.1.25
n, N, Ñ Número de itens 6.3, D.1
Nbaixo Número de SRP/CS com PLbaixo em uma combinação de SRP/CS 6.3
nop Número médio de operações anuais Anexo C
O, O1, O2, OTE Dispositivo de saída, por exemplo, atuador 6.2
P, P1, P2 Possibilidade de evitar o perigo A.2.3
PES Sistema eletrônico programável 3.1.22
Tabela 3 e
PFHD Probabilidade média de falhas perigosas por hora
Tabela K1
PL Nível de desempenho 3.1.23
PLC Controlador lógico programável (CLP) Anexo I

ABNT/CB-004
FEV 2019
Tabela 1 (conclusão)
Símbolo ou Definição ou
Descrição
abreviatura ocorrência
Nível de desempenho mais baixo de uma SRP/CS em uma combinação de

PLbaixo 6.3
SRP/CS
PLr Nível de desempenho requerido 3.1.24
rD Taxa de demanda 3.1.30
rT Taxa de teste 3.1.29
RS Sensor de rotação Anexo I
S, S1, S2 Severidade da lesão A.2.1
SW1A, SW1B, SW2 Chaves de posição Anexo I
SIL Nível de integridade de segurança Tabela 4
SRASW Software de aplicação relacionado à segurança 4.6.3
SRESW Software embarcado relacionado à segurança 4.6.2
SRP Parte relacionada à segurança Generalidades
SRP/CS Parte de um sistema de comando relacionada à segurança 3.1.1
TE Equipamento de teste 6.2
TM Tempo de missão 3.1.28
T10D Tempo médio até que 10 % dos componentes falhem de forma perigosa Anexo C
4 Considerações de projeto
4.1 Objetivos de segurança no projeto
A SRP/CS deve ser projetada e construída de modo que os princípios da ABNT NBR ISO 12100
sejam plenamente levados em consideração (ver Figuras 1 e 3). Todo uso devido e mau uso razoavel-
mente previsível devem ser considerados.

ABNT/CB-004
FEV 2019
INÍCIO
Determinação dos limites Apreciação de risco realizada de

da máquina (ver 5.2 a) acordo com a ABNT NBR ISO 12100
Sim
Identificação do perigo
(ver Seção 4 e 5.3 a)
Este processo iterativo de

Estimativa de risco redução de risco deve ser
(ver 5.3 a) realizado separadamente
para cada perigo sob cada
condição de uso (tarefa)
Avaliação de risco
(ver 5.3 a)
Não Outros perigos
são gerados?
O risco foi
Sim
adequadamente FIM
reduzido?
Não
Processo de redução de risco

para o perigo:
1 por projeto inerentemente seguro,
2 por dispositivos de segurança,
3 por informações de uso
(ver Figura 1 a)
Processo iterativo do projeto de partes

do sistema de comando relacionadas à
segurança (SRP/CS) (ver Figura 3 b)
A medida de
proteção selecionada Sim
depende de um sistema
de controle?
Não
a Consultar a ABNT NBR ISO 12100:2013.

b Consultar esta Parte da ABNT NBR ISO 13849.
Figura 1 – Visão geral da apreciação de risco/redução de risco

ABNT/CB-004
FEV 2019
4.2 Estratégia para redução de risco

4.2.1 Generalidades
A estratégia para a redução de risco na máquina é provida na ABNT NBR ISO 12100:2013,
Seção 6.1, e as orientações adicionais são providas na ABNT NBR ISO 12100:2013, Seções 6.2
(medidas inerentes ao projeto) e 6.3 (medidas de segurança e proteção complementares).
Esta estratégia abrange todo o ciclo de vida da máquina.
O processo de análise do perigo e de redução de risco para uma máquina requer que os perigos
sejam eliminados ou reduzidos por meio de uma hierarquia de medidas:
—— eliminação do perigo ou redução de risco por projeto (ver ABNT NBR ISO 12100:2013, Seção 6.2);
—— redução de risco por medidas de segurança e de proteção possivelmente complementares

(ver ABNT NBR ISO 12100:2013, Seção 6.3);
—— redução de risco pela prescrição de informações de uso sobre o risco residual

(ver ABNT NBR ISO 12100:2013, Seção 6.4).
4.2.2 Contribuição para a redução de risco pelo sistema de comando
A finalidade de verificar o procedimento total de projeto para a máquina é atingir os objetivos de

segurança (ver 4.1). O projeto de uma SRP/CS, de modo a prover a redução de risco requerida,
integra o procedimento geral de projeto para uma máquina. A SRP/CS provê função(ões) de segurança
com determinado(s) PL que seja(m) capaz(es) de atingir a redução de risco requerida. Ao prover
função(ões) de segurança, tanto uma parte inerentemente segura do projeto como o controle para um
dispositivo de segurança ou de proteção, o projeto da SRP/CS é uma parte da estratégia de redução
de risco. Este é um processo iterativo e é ilustrado nas Figuras 1 e 3.
NOTA Não é necessário aplicar esta estratégia de redução de riscos em partes de sistemas de comando
não relacionadas à segurança ou elementos puramente funcionais da máquina (ver ISO/TR 22100-2:2013,
Seção 3).
Para cada função de segurança, as características (ver Seção 5) e o nível de desempenho (PL)
requeridos devem ser especificados e documentados na especificação dos requisitos de segurança.
Nesta Parte da ABNT NBR ISO 13849 os níveis de desempenho são definidos em termos da
probabilidade de falha perigosa por hora. Cinco níveis de desempenho são estabelecidos, a partir do
menor Pla ao mais elevado PLe, em faixas de valores de probabilidade de falha perigosa por hora
definidas (ver Tabela 2).
Além da probabilidade média de falha perigosa por hora, que é um aspecto quantificável, aspectos
qualitativos também são necessários para satisfazer os requisitos do PL.
Tabela 2 – Níveis de desempenho (PL)

Probabilidade média de falha perigosa por hora PFHd
PL
1/h
a ≥ 10–5 a < 10–4
b ≥ 3 × 10–6 a < 10–5
c ≥ 10–6 a < 3 x 10–6
d ≥ 10–7 a < 10–6
e ≥ 10–8 a < 10–7

ABNT/CB-004
FEV 2019
A partir da apreciação de risco (ver ABNT NBR ISO 12100) da máquina, o projetista deve decidir a
contribuição para a redução de risco que precisa ser provida para cada função de segurança relevante
que é realizada pela(s) SRP/CS. Esta contribuição não abrange o risco total da máquina sob controle,
por exemplo, o risco total de uma prensa mecânica ou máquina de lavar roupa não é considerado,
mas sim a parte do risco reduzido pela aplicação de funções de segurança específicas. Exemplos
destas funções são a função de parada iniciada utilizando um dispositivo de proteção eletrossensível
em uma prensa ou a função de travamento da porta em uma máquina de lavar.
A redução de risco pode ser atingida aplicando-se várias medidas de proteção (tanto para SRP/CS
como para não SRP/CS) com a finalidade de atingir-se uma condição segura (ver Figura 2).
Rh
Rr
Ra
R1SRP/CS R1M
1
R2SRP/CS R2M
2
3 4
a b R
Legenda
R h
o risco, para uma situação perigosa específica, antes que medidas de proteção sejam aplicadas
R r
redução de risco requerida a partir de medidas de proteção
R a
redução de risco real atingida com medidas de proteção
1 solução 1 – redução de risco devida em maior parte às medidas de proteção que não sejam SRP/CS
(por exemplo, medidas mecânicas), e em menor parte, devida a SRP/CS
2 solução 2 – redução de risco devida em maior parte a SRP/CS (por exemplo, cortina de luz), e em menor
parte, devida às medidas de proteção que não sejam SRP/CS (por exemplo, medidas mecânicas)
3 risco reduzido adequadamente
4 risco reduzido inadequadamente
R risco
a risco residual obtido pelas soluções 1 e 2
b risco reduzido adequadamente
R1SRP/CS R2SRP/CS redução de risco obtida a partir da função de segurança realizada pela SRP/CS
R1M, R2M redução de risco obtida a partir de medidas de proteção que não sejam SRP/CS (por exemplo,
medidas mecânicas)
NOTA Ver ABNT NBR ISO 12100 para informações adicionais sobre redução de risco.
Figura 2 – Visão geral do processo de redução de risco para cada situação perigosa

ABNT/CB-004
FEV 2019
da Figura 1 Identificar as funções de segurança

a serem realizadas pelas SRP/CS
Para cada função de segurança, especificar as

características requeridas (ver Seção 5)
Para cada Determinação do nível de desempenho

função de requerido PLr (ver 4.3 e Anexo A)
segurança
selecionada
Projeto e realização técnica da função de segurança:

Identificação das partes relacionadas à segurança
que realizam a função de segurança (ver 4.4)
Avaliar o nível de desempenho PL (ver 4.5)

considerando:
– categoria (ver Seção 6)
– MTTFD (ver Anexos C e D)
– DC (ver Anexo E)
– CCF (ver Anexo F)
– se existente: software (ver 4.6 e Anexo J) das
partes relacionadas à segurança supracitadas
Verificação do PL quanto
Não
à função de segurança:
PL ≥ PLr (ver 4.7)?
Sim
Validação (ver Seção 8 a) Não

Todos os requisitos são atendidos?
Sim
Todas as funções de
segurança foram
analisadas?
Sim
para a Figura 1
a A ABNT NBR ISO 13849-2 provê auxílio adicional para a validação.
Figura 3 – Processo iterativo para projeto de partes de sistemas

de comando relacionadas à segurança (SRP/CS)

ABNT/CB-004
FEV 2019
4.3 Determinação do nível de desempenho requerido (PLr)
Para cada função de segurança selecionada a ser realizada por uma SRP/CS, um nível de desempenho
requerido (PLr) deve ser determinado e documentado (ver Anexo A para orientação na determinação
do PLr). A determinação do nível de desempenho requerido (PLr) é o resultado da apreciação de risco
e refere-se à quantidade de redução de risco a ser realizada pelas partes do sistema de comando
relacionadas à segurança (ver Figura 2).
Quanto maior for a necessidade de redução de risco a ser provida pela SRP/CS, maior é o PLr.
4.4 Projeto da SRP/CS
Parte do processo de redução de risco é determinar as funções de segurança da máquina. Isto inclui
funções de segurança do sistema de comando, por exemplo, prevenção contra partida inesperada.
Uma função de segurança pode ser implementada por uma ou mais SRP/CS, e diversas funções de
segurança podem compartilhar uma ou mais SRP/CS [por exemplo, uma unidade lógica, elemento(s)
de controle de potência]. Também é possível que uma SRP/CS implemente funções de segurança e
funções de controle convencional. O projetista pode utilizar qualquer uma das tecnologias disponíveis,
isoladamente ou combinadas. A SRP/CS pode também prover uma função operacional (por exemplo,
um AOPD como um meio de iniciação do ciclo).
Uma apresentação esquemática da função de segurança típica é provida na Figura 4 que mostra
uma combinação de partes de sistemas de comando relacionadas à segurança (SRP/CS) para
—— entrada (SRP/CSa),
—— lógica/processamento (SRP/CSb),
—— saída/elementos de controle de potência (SRP/CSc), e
—— meios de interconexão (iab, ibc) (por exemplo, elétricos, ópticos).
NOTA 1 Na mesma máquina, é importante distinguir entre diferentes funções de segurança e suas
respectivas SRP/CS que exercem uma determinada função de segurança.
Uma vez identificadas as funções de segurança do sistema de comando, o projetista deve identificar
a SRP/CS (ver Figuras 1 e 3) e, onde necessário, deve representá-lo como entrada, lógica e saída
e, no caso de redundância, os canais individuais, e em seguida avaliar o nível de desempenho PL
(ver Figura 3).
NOTA 2 As arquiteturas designadas são providas na Seção 6.
NOTA 3 Todos os meios de interconexão estão incluídos nas partes relacionadas à segurança.

ABNT/CB-004
FEV 2019
iab ibc
SRP/CSa SRP/CSb SRP/CSc
I L O
Legenda
I entrada (exemplo, fim de curso, sensor, AOPD)

L lógica
O saída (exemplo, válvula, contator, inversor de frequência)
1 evento de inicialização (por exemplo, acionamento manual de um botão de comando, abertura da proteção,
interrupção do feixe do AOPD)
2 atuador da máquina (por exemplo, freios do motor)
Figura 4 – Representação esquemática da combinação de partes de sistemas de comando

relacionadas à segurança para processamento de uma função de segurança típica
4.5 Avaliação do nível de desempenho atingido PL e correlação com SIL
4.5.1 Nível de desempenho PL
Para os efeitos desta Parte da ABNT NBR ISO 13849, a capacidade das partes relacionadas à
segurança em desempenhar uma função de segurança é expressa por meio da determinação
do nível de desempenho PL.
Para cada SRP/CS selecionada e/ou para a combinação de SRP/CS que desempenha uma função
de segurança, a estimativa do PL deve ser efetuada.
O PL da SRP/CS deve ser determinado pela estimativa dos seguintes aspectos:
—— o valor do MTTFD para componentes individuais (ver Anexos C e D);
—— a DC (ver Anexo E);
—— a CCF (ver Anexo F);
—— a estrutura (ver Seção 6);
—— o comportamento da função de segurança sob condição(ões) de falha (ver Seção 6);
—— software relacionado à segurança (ver 4.6 e Anexo J);
—— falha sistemática (ver Anexo G);
—— a capacidade em desempenhar uma função de segurança sob condições ambientais esperadas.
NOTA 1 Outros parâmetros, por exemplo, aspectos operacionais, taxa de demanda, taxa de teste, podem
ter certa influência.

ABNT/CB-004
FEV 2019
Estes aspectos podem ser agrupados sob duas abordagens em relação ao processo de avaliação:
a) aspectos quantificáveis (valor do MTTFD para componentes individuais, DC, CCF, estrutura);
b) aspectos qualitativos não quantificáveis que afetam o comportamento da SRP/CS (compor-
tamento da função de segurança sob condições de falha, software relacionado à segurança,
falha sistemática e condições ambientais)
Entre os aspectos quantificáveis, a contribuição da confiabilidade (por exemplo, MTTFD, estrutura)

pode variar de acordo com a tecnologia utilizada. Por exemplo, é possível para uma dada tecnologia
(dentro de certos limites) com um único canal de partes relacionadas à segurança de alta confiabi-
lidade, prover o mesmo PL ou mais alto que uma estrutura tolerante a falhas de confiabilidade mais
baixa utilizando outra tecnologia.
Existem diversos métodos para estimar os aspectos quantificáveis do PL para qualquer tipo
de sistema (por exemplo, uma estrutura complexa), como, modelo de Markov, redes de Petri estocás-
ticas generalizadas (GSPN), diagramas de blocos de confiabilidade [ver, por exemplo, IEC 61508].
Para tornar mais fácil a avaliação dos aspectos quantificáveis do PL, este documento da
ABNT NBR ISO 13849 provê um método simplificado com base na definição de cinco arquiteturas
designadas que atendem aos critérios de projeto específicos e comportamento sob condição de
defeito (ver 4.5.4).
Para uma SRP/CS ou combinação de SRP/CS projetada de acordo com os requisitos providos na
Seção 6, a probabilidade média de uma falha perigosa pode ser estimada por meio da Figura 5 e o
procedimento provido nos Anexos A a H, J e K.
Para uma SRP/CS que se desvia das arquiteturas designadas, um cálculo detalhado deve ser provido
para demonstrar que o nível de desempenho requerido (PLr) foi alcançado.
Em aplicações onde a SRP/CS puder ser considerada simples, e o nível de desempenho requerido
for de a até c, uma estimativa qualitativa do PL pode ser justificada nos fundamentos do projeto
(ver também 4.5.5).
NOTA 2 Para o projeto de sistemas de comando complexos, como PES projetados para desem-
penhar funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508,
IEC 62061 ou IEC 61496).
O cumprimento de aspectos qualitativos do PL pode ser demonstrado pela aplicação das medidas
recomendadas providas em 4.6 e no Anexo G.
Em normas em conformidade com a IEC 61508, a capacidade dos sistemas de comando relacionados
à segurança para desempenhar uma função de segurança é provida por meio de uma graduação
denominada SIL. A Tabela 4 mostra a relação entre os dois conceitos (PL e SIL).
O PL não tem nenhuma correspondência na escala SIL e é utilizado principalmente para reduzir o
risco de lesão leve, normalmente reversível. Uma vez que o SIL 4 é dedicado a eventos catastróficos
possíveis na indústria de processo, este intervalo não é relevante para riscos em máquinas. Assim,
o PL corresponde ao SIL 3 e é definido como o nível mais alto.

ABNT/CB-004
FEV 2019
Tabela 3 – Relação entre o nível de desempenho (PL) e o nível de integridade de segurança (SIL)
SIL
PL (IEC 61508-1, para informação)
modo de operação alto/contínuo
a Nenhuma correspondência
b 1
c 1
d 2
e 3
Quando uma função de comando relacionada à segurança for projetada utilizando um ou mais
SRP/CS, cada SRP/CS deve ser projetada de acordo com esta Parte da ABNT NBR ISO 13849 ou de
acordo com a IEC 62061/IEC 61508 (ver também ISO/TR 23849) – embora exista correspondência
entre os PL desta Parte da ABNT NBR ISO 13849 e SIL das IEC 61508 e IEC 62061. As SPR/CS
são combinadas de acordo com 6.3.
Portanto, para a redução do risco, devem ser aplicadas principalmente as medidas de proteção
descritas a seguir.
—— Reduzir a probabilidade de defeitos no nível de componente. O objetivo é reduzir a probabilidade

de defeitos ou falhas que afetam a função de segurança. Isto pode ser efetuado aumentando-se
a confiabilidade dos componentes, por exemplo, pela seleção de componentes devidamente
comprovados e/ou aplicação de princípios de segurança devidamente comprovados, a fim
de minimizar ou excluir defeitos ou falhas críticas (ver ABNT NBR ISO 13849-2).
—— Melhorar a estrutura da SRP/CS. O objetivo é evitar o efeito perigoso de um defeito. Alguns

defeitos podem ser detectados e uma estrutura redundante e/ou monitorada pode ser necessária.
Ambas as medidas podem ser aplicadas separadamente ou combinadas. Com algumas tecnologias,
a redução de risco pode ser atingida por meio da seleção de componentes confiáveis e por exclusões
do defeito, porém com outras tecnologias, a redução de risco pode requerer um sistema redundante
e/ou monitorado. Além disso, as falhas de causa comum (CCF) devem ser levadas em consideração
(ver Figura 3).
Para restrições em arquiteturas, ver Seção 6.
4.5.2 Tempo médio para falha perigosa de cada canal (MTTFD)
O valor do MTTFD de cada canal é dado em três níveis (ver Tabela 4) e deve ser levado em consi-
deração para cada canal (por exemplo, de um único canal, cada canal de um sistema redundante)
individualmente.
Para cada SRP/CS (subsistema) de acordo com a Tabela 5, o valor máximo de MTTFD para cada
canal é 100 anos. Para SRP/CS (subsistemas) classificados como categoria 4, o valor máximo de
MTTFD para cada canal é acrescido para 2 500 anos.
NOTA Este valor elevado é justificado porque na Categoria 4 os demais aspectos quantificáveis, estru-
tura e DC estão em seu nível máximo e isto permite a combinação em série de mais de três subsistemas
(SRP/CS) com categoria 4 e a obtenção do PL e em conformidade com 6.3.

ABNT/CB-004
FEV 2019
Para o projeto de sistemas de comando complexos, tais como PES projetados para desempenhar
funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508,
IEC 62061) ou
Tabela 4 – Tempo médio para falha perigosa de cada canal (MTTFD)

MTTFD
Designação de cada canal Faixa de cada canal
Baixo 3 anos ≤ MTTFD < 10 anos
Médio 10 anos ≤ MTTFD < 30 anos
Alto 30 anos ≤ MTTFD ≤ 100 anos
NOTA 1 A escolha das faixas do MTTFD de cada canal é baseada nas taxas de falha encontradas no
campo como estado da técnica, formando um tipo de escala logarítmica apropriada à escala logarítmica
do PL. Não é esperado que um valor do MTTFD de cada canal inferior a três anos seja encontrado
para um SRP/CS real, uma vez que isto pode significar que após um ano aproximadamente 30 %
de todos os sistemas no mercado falharão e precisarão ser substituídos. Um valor do MTTFD de
cada canal superior a 100 anos não é aceitável porque é conveniente que um SRP/CS para altos
riscos não dependa da confiabilidade de componentes isolados. Para reforçar o SRP/CS contra falhas
sistemáticas e aleatórias, recomenda-se que meios adicionais, como redundância e testes, sejam
aplicados. Para ser praticável, o número de faixas foi restrito a três. A limitação do MTTFD dos valores
de cada canal até um máximo de 100 anos refere-se a um único canal do SRP/CS que realiza a
função de segurança. Valores do MTTFD mais altos podem ser utilizados para componentes individuais
(ver Tabela D.1).
NOTA 2 Presume-se que os limites indicados desta Tabela estejam dentro de uma tolerância de 5 %.
Para estimativa do MTTFD de um componente, os dados devem ser encontrados de acordo com
o seguinte procedimento hierárquico:
a) utilizar dados do fabricante;
b) utilizar métodos dos Anexos C e D;
c) escolher dez anos.
4.5.3 Cobertura de diagnóstico (DC)
O valor da DC é dado em quatro níveis (ver Tabela 5).
Para a estimativa de DC, na maioria dos casos, a análise dos modos e efeitos de falha (FMEA,
ver IEC 60812) ou métodos similares podem ser utilizados. Neste caso, todos os defeitos e/ou modos
de falha relevantes devem ser considerados. Para uma abordagem simplificada para estimativa
de DC, ver Anexo E.
NOTA Exemplos de estimativa de cobertura de diagnóstico (DC) são dados no Anexo E.

ABNT/CB-004
FEV 2019
Tabela 5 – Cobertura de diagnóstico (DC)
DC
Designação Faixa
Nenhuma DC < 60 %
Baixa 60 % ≤ DC < 90 %
Média 90 % ≤ DC < 99 %
Alta 99 % ≤ DC
NOTA 1 Para um SRP/CS composto por diversas partes, um valor médio DCavg para DC é utilizado na
Figura 5, Seção 6 e E.2.
NOTA 2 A escolha da faixa de DC é baseada nos valores-chave de 60 %, 90 % e 99 %, também
estabelecidos em outras Normas (por exemplo, IEC 61508) que aborda cobertura de diagnóstico
de teste. Estudos mostram que (1 – DC) em vez do próprio DC é uma medida característica para
a efetividade do teste. (1 – DC) para os valores-chave de 60 %, 90 % e 99 % forma um tipo de
escala logarítmica apropriada à escala logarítmica do PL. Um valor de DC inferior a 60 % tem efeito
inexpressivo sobre a confiabilidade do sistema testado e é portanto denominado como “nenhuma”.
Um valor de DC superior a 99 % para sistemas complexos é muito difícil de atingir. Para ser praticável,
o número de faixas foi restrito a quatro. Presume-se que os limites indicados nesta Tabela estejam
dentro de uma tolerância de 5 %.
4.5.4 Procedimento simplificado para estimativa do PL
O PL pode ser estimado levando-se em consideração todos os parâmetros relevantes e os métodos

apropriados para cálculo (ver 4.5.1).
Esta Seção descreve um procedimento simplificado para estimar o PL de um SRP/CS com base em
arquiteturas designadas. Algumas outras arquiteturas com estrutura similar podem ser transformadas
para estas estruturas designadas a fim de que uma estimativa do PL seja obtida.
As arquiteturas designadas são representadas como diagramas de blocos e são definidas para cada
categoria. Informações sobre o método de blocos e diagramas de blocos relacionados à segurança
são dados em 6.2 e Anexo B.
As arquiteturas designadas mostram uma representação lógica da estrutura do sistema para cada
categoria. A realização técnica ou, por exemplo, o diagrama de circuito funcional, pode parecer
completamente diferente.
As arquiteturas designadas são representadas para o SRP/CS combinado, começando pelos pontos
onde os sinais relacionados à segurança são iniciados e terminando na saída dos elementos de
controle de potência (ver também ABNT NBR ISO 12100:2013, Anexo A). As arquiteturas designadas
também podem ser utilizadas para descrever uma parte ou subparte de um sistema de comando que
responde a sinais de entrada e gera sinais de saída relacionados à segurança. Assim, o elemento
“entrada” pode representar, por exemplo, uma cortina de luz (AOPD), bem como os circuitos de
entrada dos elementos lógicos de controle ou chaves de entrada. “Saída” também pode representar,
por exemplo, um dispositivo de comutação do sinal de saída (OSSD) ou saídas de scanners a laser.
Para as arquiteturas designadas, serão consideradas as seguintes premissas:
—— tempo de missão, 20 anos (ver Seção 10);

ABNT/CB-004
FEV 2019
—— taxas de falha constante dentro do tempo de missão;
—— para a categoria 2, taxa de demanda ≤ 1/100 da taxa de teste (ver também, nota no Anexo K); ou
testes devem ocorrer imediatamente após a demanda da função de segurança, e o tempo total
para detecção da falha de modo a levar a máquina à uma condição segura (usualmente a parada
da máquina) for menor que o tempo para alcançar a fonte de perigo (ver ISO 13855);
—— para a categoria 2, MTTFD, do canal de testes deve ser maior que metade do MTTFD, do canal
relativo à função de segurança.
A metodologia considera as categorias como arquiteturas com DCavg definida. O PL de cada SRP/
CS depende da arquitetura, do tempo médio para falha perigosa (MTTFD) em cada canal e da DCavg.
Convém que as falhas de causa comum (CCF) sejam levadas em consideração (para orientação,
ver Anexo F).
Para SRP/CS com software, os requisitos de 4.6 devem ser aplicados.
Se não houver dados quantitativos disponíveis ou se não forem aplicáveis (por exemplo, sistemas
de baixa complexidade), convém que o pior caso de todos os parâmetros relevantes seja escolhido.
Uma combinação de SRP/CS ou uma única SRP/CS pode ter um PL. A combinação de diversas
SRP/CS com diferentes PL é considerada em 6.3.
No caso de aplicações com PLr a até c, medidas para evitar falhas podem ser suficientes; para
aplicações de maior risco, PLr d até e, a estrutura da SRP/CS pode prover medidas para evitar,
detectar ou tolerar os defeitos. Medidas práticas incluem redundância, diversidade, monitoramento
(ver também ABNT NBR ISO 12100:2013, Seção 3, e IEC 60204-1:2005).
A Figura 5 mostra o procedimento para a seleção de categorias em combinação com o MTTFD

de cada canal e DCavg para atingir o PL requerido da função de segurança.
Para a estimativa do PL, a Figura 5 apresenta as diferentes combinações possíveis de categoria com
DCavg (eixo horizontal) e o MTTFD de cada canal (barras). As barras no diagrama representam as três
faixas de MTTFD de cada canal (baixa, média e alta) que podem ser selecionadas para atingir o PL
requerido.
Antes de utilizar esta abordagem simplificada com a Figura 5 (que representa os resultados de dife-
rentes modelos de Markov com base em arquiteturas designadas da Seção 6), a categoria do SRP/CS
bem como DCavg e o MTTFD de cada canal devem ser determinados (ver Seção 6 e Anexos C a E).
Para as categorias 2, 3 e 4, medidas suficientes contra falhas de causa comum devem ser realizadas
(para orientação, ver Anexo F). Levando esses parâmetros em consideração, a Figura 5 provê um
método gráfico para determinar o PL, atingido pelo SRP/CS. A combinação de categoria (incluindo
falha de causa comum) e DCavg determina qual coluna da Figura 5 é para ser escolhida. De acordo
com o MTTFD de cada canal, uma das três diferentes áreas sombreadas da respectiva coluna deve
ser escolhida.
A posição vertical desta área determina o PL atingido, que pode ser lida a partir do eixo vertical. Se a
área abrange dois ou três PL possíveis, o PL atingido é dado na Tabela 6. Para uma seleção numérica
mais precisa de PL, dependendo do valor preciso do MTTFD de cada canal, ver Anexo K.

ABNT/CB-004
FEV 2019
PL
a 1
b 2
c 3
Categoria B Categoria 1 Categoria 2 Categoria 2 Categoria 3 Categoria 3 Categoria 4
DCavg DCavg DCavg baixa DCavg média DCavg baixa DCavg média DCavg alta
nenhuma nenhuma
Legenda
PL nível de desempenho
1 MTTFD de cada canal = baixo
2 MTTFD de cada canal = médio
3 MTTFD de cada canal = alto
Figura 5 – Relação entre categorias, DCavg, MTTFD de cada canal e PL
Tabela 6 – Procedimento simplificado para avaliar o PL atingido pelo SRP/CS
Categoria B 1 2 2 3 3 4
DCavg nenhuma nenhuma baixa média baixa média alta
MTTFD de cada canal
Não Não
Baixo a a b b c
abrangido abrangido
Não Não
Médio b b c c d
abrangido abrangido
Não
Alto c c d d d e
abrangido
4.5.5 Descrição da saída de uma SRP/CS por categoria
Se para componentes mecânicos, hidráulicos ou pneumáticos (ou um componente que mistura

diversas tecnologias) não houver dados de confiabilidade específicos para a aplicação, o fabricante
da máquina deve avaliar os aspectos quantitativos do PL sem nenhum cálculo de MTTFD.
Para estes casos, o nível de performance relacionado à segurança (PL) é implementado por meio
da arquitetura, do diagnóstico e medidas contra CCF.

ABNT/CB-004
FEV 2019
A Tabela 7 mostra a relação entre o PL atingível (correspondente à Figura 5) e as categorias. PLa e

PLb podem ser implementados com categoria B. PL c pode ser implementado com categoria 1 ou 2,
se componentes testados e princípios de segurança forem utilizados.
Quando implementada uma função de segurança PL c com categoria 1, o valor de T10D dos
componentes relacionados à segurança não são monitorados no processo, são determinados. Este
valor de T10D pode ser determinado com base em dados de teste em uso pelo fabricante da máquina.
O MTTFD do canal testado, em categoria 2, deve ser de no mínimo 10 (dez) anos.
Um PL d pode ser implementado com categoria 3, se componentes testados e princípios de segu-

rança forem utilizados.
Um PL e pode ser implementado com categoria 4, se componentes testados e princípios de segu-

rança forem utilizados.
Basicamente: Na implementação de funções de segurança com categoria 2, 3 ou 4, falhas de causa

comum (CCF) e um diagnóstico de falhas (DC) suficientes tem que ser considerado (baixo, médio
para categoria 2 e 3, alto para categoria 4).
Neste caso, o cálculo do DCavg é reduzido para a média aritmética dos valores de DC de todos
os componentes individuais que compõem o canal funcional.
Tabela 7 – PL e PFHD estimado como pior caso, baseado em categoria,

DCavg, e uso de componentes testados
PFHD (1/h) Cat. B Cat. 1 Cat. 2 Cat. 3 Cat. 4

PL a 2 × 10-5 ● 0 0 0 0
PL b 5 × 10-6 ● 0 0 0 0
PL c 1,7 × 10-6 – ● 2* ● 1* 0 0
PL d 2,9 × 10-7 – – – ● 1* 0
PL e 4,7 × 10-8 – – – – ● 1*
● Categoria apontada é recomendada.
0 Categoria apontada é opcional.
– Categoria apontada não é permitida.
Testado em uso (ver 3.1.39) ou componentes testados (confirmados pelo fabricante do
1* componente que são apropriados para a aplicação em particular) e princípios de segurança
devem ser usados.
2* componentes testados e princípios de segurança devem ser usados.
Para componentes relacionados à segurança que não sejamo monitorados pelo processo, o valor
de T10D pode ser determinado com base em dados de teste em uso providos pelo fabricante.

ABNT/CB-004
FEV 2019
4.6 Requisitos de segurança do software
4.6.1 Generalidades
Todas as atividades do ciclo de vida do software embarcado ou de aplicação relacionado à segurança

devem considerar primordialmente a prevenção de defeitos introduzidos durante o ciclo de vida
do software (ver Figura 6). O objetivo principal dos seguintes requisitos é ter um software legível,
compreensível, que possa ser testado e de fácil manutenção.
Especificação das Software

funções de segurança Especificação do validado
software relacionado Validação Validação
à segurança
Projeto do Teste de integração

sistema
Projeto do módulo Teste do módulo
Resultado
Codificação
Verificação
NOTA O Anexo J provê recomendações mais detalhadas para as atividades do ciclo de vida.
Figura 6 – Modelo V simplificado do ciclo de vida de segurança do software
4.6.2 Software embarcado relacionado à segurança (SRESW)
Para SRESW para componentes com PLr a até d, as seguintes medidas básicas devem ser aplicadas:
—— ciclo de vida de segurança do software com atividades de verificação e validação, ver Figura 6;
—— documentação da especificação e projeto;
—— projeto e codificação modular e estruturada;
—— controle de falhas sistemáticas (ver G.2);
—— onde utilizadas medidas com base em software para controle de falhas aleatórias de hardware,
verificação da implementação correta;
—— testes funcionais, por exemplo, teste de caixa preta;
—— atividades apropriadas do ciclo de vida de segurança do software após as modificações.

ABNT/CB-004
FEV 2019
Para SRESW para componentes com PLr c ou d, as seguintes medidas adicionais devem ser aplicadas:
—— sistema de gestão de projetos e de gestão de qualidade comparáveis, por exemplo, à IEC 61508
ou à ABNT NBR ISO 9001;
—— documentação de todas as atividades relevantes durante o ciclo de vida de segurança do software;

—— gerenciamento da configuração para identificar todos os itens de configuração e documentos

relacionados a uma versão do SRESW disponibilizada;
—— especificação estruturada com os requisitos de segurança e projeto;
—— uso de linguagens de programação adequadas e ferramentas computadorizadas confiáveis para

o uso;
—— programação modular e estruturada, separação em software não relacionado à segurança,

tamanhos de módulo limitados com interfaces completamente definidas, uso de normas de
projeto e codificação;
—— verificação da codificação por verificação geral/revisão com a análise de fluxo de controle;
—— testes funcionais estendidos, por exemplo, teste de caixa cinza, ensaios de desempenho ou
simulação;
—— análise de impacto e atividades apropriadas do ciclo de vida de segurança do software após

as modificações.
O SRESW para componentes com PLr = e deve atender à IEC 61508-3:1998, Seção 7, apropriada para
SIL 3. Ao utilizar a diversidade na especificação, projeto e codificação, para os dois canais utilizados
em SRP/CS com categoria 3 ou 4, PLr = e pode ser atingido com as medidas mencionadas acima para
PLr de c ou d.
NOTA 1 Para uma descrição detalhada destas medidas, ver, por exemplo, a IEC 61508-7:2000.
NOTA 2 Para SRESW com diversidade em projeto e codificação, para componentes utilizados em SRP/CS
com categoria 3 ou 4, o esforço envolvido na adoção de medidas para evitar falhas sistemáticas pode ser
reduzido, por exemplo, pela revisão das partes do software somente considerando aspectos estruturais em
vez de verificar cada linha de código.
Para componentes cujos requisitos SRESW não forem atendidos, por exemplo, CLP sem conotação
de segurança indicada pelo fabricante, estes componentes podem ser usados mediante às seguintes
condições alternativas:
—— a SRP/CS é limitada ao PL a ou PL b e utiliza as categorias B, 2 ou 3;
—— a SRP/CS é limitada ao PL c ou PL d e deve utilizar componentes múltiplos para dois canais em

categoria 2 ou 3. Os componentes utilizados nestes dois canais utilizam tecnologias diversificadas.
4.6.3 Software de aplicação relacionado à segurança (SRASW)
O ciclo de vida de segurança do software (ver Figura 6) também aplica-se ao SRASW (ver Anexo J).
SRASW escrito em LVL e que atende aos seguintes requisitos pode atingir um PL de a até e. Se o
SRASW é escrito em FVL, os requisitos para SRESW devem aplicar-se, e o PL de a até e é atingível.

ABNT/CB-004
FEV 2019
Se uma parte do SRASW dentro de um componente tiver qualquer impacto (por exemplo, devido à sua
modificação) em diversas funções de segurança com PL diferente, então os requisitos relacionados ao
PL mais alto devem ser aplicados. Para SRASW para componentes com PLr de a até e, as seguintes
medidas básicas devem ser aplicadas:
—— ciclo de vida de desenvolvimento com atividades de verificação e validação, ver Figura 6;

—— documentação da especificação e projeto;
—— programação modular e estruturada;
—— testes funcionais;
—— atividades apropriadas de desenvolvimento após as modificações.
Para SRASW para componentes com PLr de c até e, as seguintes medidas adicionais com o aumento
da eficiência (menor efetividade para PLr de c, efetividade média para PLr de d, maior efetividade
para PLr de e) são requeridas ou recomendadas.
a) A especificação do software relacionado à segurança deve ser revisada (ver também Anexo J),
disponibilizada para cada pessoa envolvida no ciclo de vida e conter a descrição de:
1) funções de segurança com PL requerido e modos de operação associados,
2) critérios de desempenho, por exemplo, tempos de reação,
3) arquitetura do hardware com interfaces de sinal externo, e
4) detecção e controle de falha externa.
b) Seleção de ferramentas, bibliotecas, línguagens:
1) Ferramentas adequadas, confiáveis, de uso consagrado: para PL = e atingido com um

componente e sua ferramenta, a ferramenta deve atender à norma de segurança apropriada;
se dois componentes diversos com ferramentas diversas forem utilizados, a confiança do uso
pode ser suficiente. Características técnicas que detectam condições que possam causar
erro sistemático (como, incompatibilidade do tipo de dados, alocação de memória dinâmica
ambígua, interfaces de chamada incompletas, recursividade, aritmética de ponteiro) devem
ser utilizadas. Convém que as checagens sejam realizadas principalmente durante o
tempo de compilação e não somente no tempo de execução do programa. Convém que as
ferramentas executem subconjuntos de linguagem e diretrizes de codificação ou que pelo
menos supervisionem ou orientem o desenvolvedor para utilizá-las.
2) Sempre que for possível e razoável, convém que bibliotecas validadas de blocos de função
(FB) sejam utilizadas – bibliotecas de FB relacionadas à segurança providas pelo fabricante
da ferramenta (altamente recomendado para PL = e) ou bibliotecas de FB validadas
específicas da aplicação e de acordo com esta Parte da ABNT NBR ISO 13849.
3) Convém que um subconjunto-LVL justificado adequado para uma abordagem modular
seja utilizado, por exemplo, subconjunto aceito de linguagens IEC 61131-3. Linguagens
gráficas (por exemplo, diagrama de blocos de função, diagrama de contatos) são altamente
recomendadas.

ABNT/CB-004
FEV 2019
c) O projeto do software deve caracterizar:
1) os métodos semiformais para descrever dados e fluxo de controle, por exemplo, diagrama
de estado ou fluxograma do programa,
2) a programação modular e estruturada predominantemente realizada por blocos de função

derivados das bibliotecas de blocos de função validados relacionados à segurança,
3) os blocos de função de tamanho limitado de codificação,
4) a execução do código dentro dos blocos de função, que tenham um ponto de entrada e um
ponto de saída,
5) o modelo de arquitetura de três estágios, Entradas ⇒ Processamento ⇒ Saídas (ver Figura 7
e Anexo J),
6) a designação de uma saída de segurança em somente um local do programa, e
7) o uso de técnicas para detecção de falha externa e para programação defensiva com entrada,
processamento e blocos de saída que levem a um estado seguro.
Entradas Processamento Saídas
Blocos de entrada Bloco de processamento Blocos de saída
Aquisição de Processamento requerido Controle dos

informações dos para realizar as funções atuadores por saídas
vários sensores de de segurança que levam de segurança
segurança por a um estado seguro
entradas de segurança
Figura 7 – Modelo geral de arquitetura de software
d) Quando SRASW e não SRASW são combinados em um componente:
1) SRASW e não-SRASW devem ser codificados em blocos de função diferentes com ligações
de dados bem definidas;
2) não pode haver combinação lógica de dados não relacionados à segurança e relacionados
à segurança que possam levar à degradação da integridade dos sinais relacionados à
segurança, por exemplo, combinando sinais relacionados à segurança e não relacionados à
segurança por uma lógica “OU” onde o resultado controla os sinais relacionados à segurança.
e) Implementação/codificação do software:
1) o código deve ser legível, compreensível e testável e, devido a isso, convém que sejam
utilizadas variáveis simbólicas (em vez de endereços de hardware explícitos);
2) diretrizes de codificação justificadas ou aceitas devem ser utilizadas (ver também Anexo J);
3) deve-se utilizar a integridade dos dados e verificações de plausibilidade (por exemplo,
checagens por intervalo) disponíveis na camada da aplicação (programação defensiva);

ABNT/CB-004
FEV 2019
4) convém que o código seja testado por simulação;
5) a verificação deve ser por controle e análise do fluxo de dados para PL = d ou e.
f) Testes:
1) o método de validação apropriado é o teste da caixa preta do comportamento funcional e

critérios de desempenho (por exemplo, desempenho de tempo);
2) para PL = d ou e, é recomendado a execução de teste de caso (test case execution) a partir
da análise de valor limite;
3) planejamento de teste é recomendado e deve incluir teste de casos (test cases) com os
critérios de conclusão e as ferramentas requeridas;
4) os testes de I/O devem assegurar que os sinais relacionados à segurança sejam utilizados
corretamente dentro do SRASW.
g) Documentação:
1) todas as atividades do ciclo de vida e de modificação devem ser documentadas;
2) a documentação deve estar completa, disponível, legível e compreensível;
3) a documentação do código dentro do texto fonte deve conter cabeçalhos dos módulos
com o reponsável legal, a descrição funcional e a descrição de I/O, versão do código,
versão da biblioteca de blocos de função utilizados, comentários suficientes de rotinas,
subrotinas, declarações e linhas de programa.
h) Verificação 1
EXEMPLO Revisão, inspeção, verificação geral ou outras atividades apropriadas.
i) Gerenciamento da configuração
É altamente recomendável que os procedimentos e o backup de dados sejam estabelecidos

para identificar e arquivar documentos, módulos de software, resultados de verificação/validação
e configuração da ferramenta, relacionados a uma versão específica do SRASW.
j) Modificações
Após as modificações do SRASW, uma análise de impacto deve ser realizada para assegurar a
especificação. Atividades apropriadas ao ciclo de vida devem ser realizadas após as modificações.
Os direitos de acesso às modificações devem ser controlados e o histórico das modificações
documentado.
NOTA A modificação não afeta os sistemas já em uso.
1 A verificação é necessária apenas para código específico da aplicação e não para funções de biblioteca
validadas.

ABNT/CB-004
FEV 2019
4.6.4 Parametrização baseada em software
A determinação de parâmetros relacionados à segurança baseada em software deve ser considerada

como um aspecto relacionado à segurança de projeto da SRP/CS a ser descrito na especificação dos
requisitos de segurança de software. A parametrização deve ser realizada utilizando uma ferramenta
de software dedicada provida pelo fornecedor da SRP/CS. Esta ferramenta deve ter sua própria
identificação (nome, versão etc.) e deve evitar modificações não autorizadas, por exemplo, pelo uso
de uma senha.
A integridade de todos os dados utilizados para a parametrização deve ser mantida. Isto deve ser
obtido aplicando-se medidas para
—— controlar a faixa de entradas válidas,
—— controlar a adulteração de dados antes da transmissão,
—— controlar os efeitos de erros no processo de transmissão do parâmetro,
—— controlar os efeitos de transmissão de parâmetro incompleta, e
—— controlar os efeitos de defeitos e falhas de hardware e software da ferramenta utilizada para

parametrização.
A ferramenta de parametrização deve atender a todos os requisitos relativos à SRP/CS, de acordo

com esta Parte da ABNT NBR ISO 13849. Alternativamente, um procedimento especial deve ser
utilizado para configurar os parâmetros relacionados à segurança. Este procedimento deve incluir a
confirmação de parâmetros de entrada na SRP/CS por
—— retransmissão dos parâmetros modificados para a ferramenta de parametrização, ou
—— outros meios adequados de confirmação da integridade dos parâmetros,
bem como confirmação subsequente, por exemplo, por uma pessoa devidamente habilitada e por
meio de uma verificação automática por meio de uma ferramenta de parametrização.
NOTA 1 Isto é de importância especial quando a parametrização é realizada utilizando um dispositivo

não especificamente destinado para esta finalidade (por exemplo, computador pessoal ou equivalente).
Os módulos do software utilizados para codificação/decodificação dentro do processo de transmissão/

retransmissão e, os módulos do software utilizados para visualização dos parâmetros relacionados
à segurança pelo usuário devem no mínimo utilizar diversidade na(s) função(ões) para evitar falhas
sistemáticas.
A documentação da parametrização baseada em software deve indicar os dados utilizados
(por exemplo, conjuntos de parâmetros predefinidos) e as informações necessárias para identificar
os parâmetros associados à SRP/CS e à(s) pessoa(s) que realiza(m) a parametrização, juntamente
com outras informações relevantes, tais como data de parametrização.
As seguintes atividades de verificação devem ser aplicadas para parametrização baseada em software:
—— verificação da configuração correta para cada parâmetro relacionado à segurança (valores
mínimo, máximo e representativos);
—— verificação de que os parâmetros relacionados à segurança são checados quanto à plausibi-
lidade, por exemplo, pelo uso de valores inválidos etc.;

ABNT/CB-004
FEV 2019
—— verificação de que a modificação não autorizada dos parâmetros relacionados à segurança é

evitada;
—— verificação de que os dados/sinais para parametrização são gerados e processados de tal forma
que os defeitos não sejam capazes de levar a uma perda da função de segurança.
NOTA 2 Isto é de importância especial quando a parametrização é realizada utilizando um dispositivo não
especificamente destinado para esta finalidade (por exemplo, computador pessoal ou equivalente).
4.7 Verificação de correspondência do PL atingido com o PLr
Para cada função de segurança individual, o PL da SRP relacionado deve coincidir com o nível de
desempenho requerido (PLr) determinado de acordo com 4.3 (ver Figura 3). Se este não for o caso,
uma iteração no processo descrito na Figura 3 é necessária.
O PL das diferentes SRP/CS que fazem parte de uma função de segurança deve ser maior ou igual
ao nível de desempenho requerido (PLr) desta função de segurança.
4.8 Aspectos ergonômicos do projeto
A interface entre operadores e a SRP/CS deve ser projetada e realizada de tal forma que nenhuma
pessoa esteja em perigo durante todo o uso devido e o mau uso razoavelmente previsível da máquina
[ver também ABNT NBR ISO 12100, EN 614-1, ISO 9355-1, ISO 9355-2, ISO 9355-3, EN 1005-3,
IEC 60204-1:2000, Seção 10, IEC 60447 e IEC 61310].
Os princípios ergonômicos devem ser utilizados de modo que a máquina e o sistema de comando,
incluindo as partes relacionadas à segurança, sejam de fácil utilização e de modo que o operador
não seja induzido a agir de maneira perigosa.
Os requisitos de segurança para observação dos princípios ergonômicos da ABNT NBR ISO 12100:2013,
6.2.8, devem ser aplicados.
5 Funções de segurança
5.1 Especificação das funções de segurança
Esta Seção oferece uma lista e os detalhes das funções de segurança que podem ser providos pela
SRP/CS. O projetista (ou o desenvolvedor da norma do tipo C) deve incluir as funções necessárias
para atingir as medidas de segurança requeridas pelo sistema de comando para a aplicação específica.
EXEMPLO Função de parada relacionada à segurança, prevenção contra partida inesperada, função
de rearme manual, função de muting, função de comando sem retenção.
NOTA Os sistemas de comando da máquina proveem funções operacionais e/ou de segurança. As funções
operacionais (por exemplo, partida, parada normal) podem ser também funções de segurança, porém isto
pode ser determinado somente após uma apreciação de riscos completa da máquina.
As Tabelas 8 e 9 listam algumas funções de segurança típicas e, respectivamente, algumas de

suas características e parâmetros relacionados à segurança, fazendo também menção a outras
Normas cujos requisitos referem-se à função, característica ou parâmetro de segurança. O projetista
(ou o desenvolvedor da norma do tipo-C) deve assegurar que todos os requisitos aplicáveis sejam
atendidos para as funções de segurança relevantes listadas nas tabelas.

ABNT/CB-004
FEV 2019
Requisitos adicionais são estabelecidos nesta Seção para algumas das características da função
de segurança.
Quando necessário, os requisitos para as características e funções de segurança devem ser adap-
tados para uso com distintas fontes de energia.
Como a maior parte das referências das Tabelas 8 e 9 estão relacionadas a normas elétricas, os requisitos
aplicáveis precisam ser adaptados no caso de outras tecnologias (por exemplo, hidráulica, pneumática).
Tabela 8 – Algumas normas internacionais aplicáveis a funções de segurança típicas para

máquinas e algumas de suas características
Requisito(s)
Função/característica Para informações
de segurança Esta Parte da adicionais, ver:
ABNT NBR ISO 12100:2013
ABNT NBR ISO 13849
Função de parada IEC 60204-1:2005, 9.2.2,

relacionada à segurança 9.2.5.3, 9.2.5.5
5.2.1 3.26.8, 6.2.11.3
iniciada por dispositivo de ISO 14119
segurança a ISO 13855
IEC 60204-1:2005,
Função de rearme manual 5.2.2 –
9.2.5.3, 9.2.5.4
IEC 60204-1:2005, 9.2.1,

Função de partida/reinício 5.2.3 6.2.11.3, 6.2.11.4
9.2.5.1, 9.2.5.2, 9.2.6
Função de controle local 5.2.4 6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 10.1.5
Função de muting 5.2.5 – IEC/TS 62046:2008, 5.5
Função de comando sem

6.2.11.8 b) IEC 60204-1:2005, 9.2.6.1
retenção
Função de habilitação do IEC 60204-1:2005, 9.2.6.3,

–
dispositivo 10.9
Prevenção contra partida ISO 14118

– 6.2.11.4
inesperada IEC 60204-1:2005, 5.4
Liberação e salvamento de
– 6.3.5.3 –
pessoas presas
Função de isolamento e ISO 14118

– 6.3.5.4
dissipação de energia IEC 60204-1:2005, 5.3, 6.3.1
Modos de comando e IEC 60204-1:2005, 9.2.3,

– 6.2.11.8, 6.2.11.10
seleção de modo 9.2.4
Interação entre diferentes

partes de sistemas de comando – 6.2.11.1 (última sentença) IEC 60204-1:2005, 9.3.4
relacionadas à segurança
Monitoramento da parame-
trização de valores de entrada 4.6.4 – –
relacionados à segurança
Função de parada de ISO/IEC 13850

– 6.3.5.2
emergência b IEC 60204-1:2005, 9.2.5.4
a Incluindo proteções intetravadas e dispositivos de limitação (por exemplo, sobrevelocidade, sobretemperatura, sobrepressão).
b Medida de proteção complementar, ver ABNT NBR ISO 12100:2013.

ABNT/CB-004
FEV 2019
Tabela 9 – Algumas Normas Internacionais que proveem requisitos para certas funções de
segurança e parâmetros relacionados à segurança
Função de segurança/ Requisito

Para informações
parâmetro relacionado Esta Parte da
ABNT NBR ISO 12100:2013 adicionais, ver:
à segurança ABNT NBR ISO 13849
Tempo de resposta 5.2.6 — ISO 13855:2000, 3.2, A.3, A.4
Parâmetro relacionado à
IEC 60204-1:2005, 7.1,
segurança tal como velocidade, 5.2.7 6.2.11.8 e)
9.3.2, 9.3.4
temperatura, ou pressão
Flutuações, perda e restauração IEC 60204-1:2005, 4.3, 7.1,

5.2.8 6.2.11.8 e)
das fontes de energia 7.5
ISO 7731
ISO 11428
ISO 11429
Indicações e alarmes — 6.2.8 IEC 61310-1
IEC 60204-1:2005, 10.3, 10.4
IEC 61131
IEC 62061
Ao identificar e especificar a(s) função(ões) de segurança, no mínimo os seguintes itens devem ser
considerados:
a) resultados da apreciação de risco para cada perigo específico ou situação perigosa;
b) características de operação da máquina, incluindo
—— uso devido da máquina (incluindo mau uso razoavelmente previsível),
—— modos de operação (por exemplo, modo local, modo automático, modos relacionados a uma
zona ou parte da máquina),
—— tempo de ciclo, e
—— tempo de resposta;
c) operação de emergência;
d) descrição da interação de diferentes processos de trabalho e atividades manuais (reparo, confi-
guração, limpeza, diagnóstico de falhas etc.);
e) comportamento da máquina que uma função de segurança pretende atingir ou evitar;
f) comportamento da máquina em caso de queda de energia (ver também 5.2.8);
NOTA Em alguns casos, pode ser necessário considerar o comportamento da máquina em caso de
queda de energia (alimentação), por exemplo, quando for necessário travar um eixo vertical de modo
a prevenir queda por gravidade. Isto pode requerer duas funções de segurança distintas: com e sem
disponibilidade de energia;
g) condição(ões) (por exemplo, modo de operação) da máquina na qual ela deve ser ativada ou
desativada;

ABNT/CB-004
FEV 2019
h) a frequência de operação;
i) prioridade daquelas funções que podem ser ativadas simultaneamente e que podem causar
ação conflitante.
5.2 Detalhes das funções de segurança

5.2.1 Função de parada relacionada à segurança
Os seguintes requisitos aplicam-se além dos requisitos da Tabela 8.
Uma função de parada relacionada à segurança (por exemplo, iniciada por um dispositivo de segu-
rança) deve, tão logo quanto necessário após o acionamento, levar a máquina a um estado seguro.
Essa parada deve ter prioridade sobre uma parada por razões operacionais.
Quando um grupo de máquinas opera em conjunto e de forma coordenada, medidas devem ser
adotadas para sinalizar ao sistema de comando e supervisão e/ou as outras máquinas que esta
condição de parada ocorre.
NOTA Uma função de parada relacionada à segurança pode causar problemas operacionais de difícil
restabelecimento, por exemplo, em uma aplicação de soldagem a arco. Para reduzir a intenção de burlar esta
função de parada, ela pode ser precedida de uma parada operacional de modo a finalizar a operação em si
predispondo-a para uma partida fácil e rápida a partir da posição de parada (por exemplo, sem qualquer dano
à produção). Uma solução é o uso de um dispositivo de intertravamento com bloqueio da proteção onde o
travamento da proteção é liberado somente quando o ciclo de operação tiver atingido uma posição definida,
na qual é possível um fácil restabelecimento do processo.
5.2.2 Função de rearme manual
Após um comando de parada ter sido iniciado por um dispositivo de segurança, a condição de parada
deve ser mantida até que existam condições seguras para reinício.
O restabelecimento da função de segurança por meio do rearme do dispositivo de segurança cancela

o comando de parada. Se indicado pela apreciação de risco, este cancelamento do comando de
parada deve ser confirmado por uma ação manual, separada e deliberada (rearme manual).
A função de rearme manual
—— deve ser implementada por meio de um dispositivo separado e operado manualmente dentro
da SRP/CS,
—— deve ser executada somente se todas as funções de segurança e dispositivos de segurança

estiverem operacionais,
—— não pode iniciar o movimento ou uma situação perigosa por si só,
—— deve ocorrer por ação deliberada,
—— deve permitir que o sistema de comando aceite um comando de partida separado,
—— deve ser aceita somente pela liberação do atuador a partir da sua posição pressionada (ligada).

ABNT/CB-004
FEV 2019
O nível de desempenho (PL) de partes relacionadas à segurança que provê a função de rearme
manual deve ser selecionado de forma que a inclusão da função de rearme manual não diminua o
nível requerido para a função de segurança em si.
O dispositivo de comando de rearme deve estar situado fora da zona de perigo e em uma posição
segura na qual haja boa visibilidade para verificação de total ausência de pessoas dentro da zona
de perigo.
Quando a visibilidade da zona de perigo não estiver completa, um procedimento de rearme especial
é requerido.
NOTA Uma solução é o uso de um segundo dispositivo de comando de rearme. A função de rearme é
iniciada dentro da zona de perigo pelo primeiro dispositivo em combinação com um segundo dispositivo
de comando de rearme localizado fora da zona de perigo (próximo do dispositivo de segurança).
Este procedimento de rearme precisa ser realizado dentro de um tempo limitado antes que o sistema
de comando aceite um comando de partida separado.
5.2.3 Função de partida/reinício
Os seguintes requisitos aplicam-se adicionalmente aos requisitos da Tabela 8.
O reinício deve ocorrer automaticamente somente se isto não gerar uma situação perigosa.
Em particular, para proteções com dispositivo de intertravamento com uma função de partida,
deve ser aplicado o item 6.3.3.2.5 da ABNT NBR ISO 12100:2013.
Estes requisitos para partida e reinício devem também ser aplicados em máquinas que podem ser
controladas remotamente.
NOTA Um sinal de um sensor do sistema de comando pode ocasionar um reinício automático.
EXEMPLO Em operações de máquina automática, os sinais de um sensor do sistema de comando são

frequentemente utilizados para controlar o fluxo do processo. Se a peça de trabalho sair da sua posição,
o fluxo do processo é interrompido. Se o monitoramento do intertravamento da proteção de segurança
não prevalecer ao comando de processo automático, torna-se perigoso o reinício da máquina enquanto o
operador reajusta a peça de trabalho. Portanto o reinício do comando remoto não pode ser permitido até que
a proteção de segurança seja novamente fechada e não haja ninguém na área perigosa. A contribuição da
prevenção contra partida inesperada provida pelo sistema de comando depende do resultado da apreciação
de risco.
5.2.4 Função de controle local
Os seguintes requisitos aplicam-se adicionalmente aos da Tabela 8.
Quando uma máquina é controlada localmente, por exemplo, por meio de um dispositivo de controle
portátil ou móvel, os seguintes requisitos devem ser aplicados:
—— os meios para a seleção do comando local devem estar situados fora da zona de perigo;
—— somente deve ser possível iniciar uma condição perigosa por meio de um comando local em uma
zona definida pela apreciação de risco;
—— alternância entre comando local e principal não pode criar uma situação perigosa.

ABNT/CB-004
FEV 2019
5.2.5 Função muting
A função muting não pode resultar na exposição das pessoas a situações perigosas. Durante a função
muting, condições seguras devem ser providas por outros meios.
Ao final da função muting, todas as funções de segurança da SRP/CS devem ser restabelecidas.
O nível de desempenho (PL) de partes relacionadas à segurança que proveem a função muting
deve ser selecionado de forma que a inclusão da função muting não diminua o nível de segurança
requerido para a função de segurança em si.
NOTA Em algumas aplicações, um sinal de indicação de muting é necessário.
5.2.6 Tempo de resposta
O tempo de resposta da SRP/CS deve ser determinado quando a apreciação de risco da SRP/CS
indicar que isto é necessário (ver também seção 11).
NOTA O tempo de resposta do sistema de comando é parte do tempo total de resposta da máquina.
O tempo total de resposta requerido da máquina pode influenciar o projeto da parte relacionada à segurança,
por exemplo, a necessidade de se implementar um sistema de frenagem.
5.2.7 Parâmetros relacionados à segurança
Quando os parâmetros relacionados à segurança, por exemplo, posição, velocidade, temperatura

ou pressão, desviarem-se dos limites presentes, o sistema de comando deve iniciar medidas apro-
priadas (por exemplo, acionamento de parada, sinal de advertência, alarme).
Se erros na entrada manual de dados relacionados à segurança em sistemas eletrônicos programá-

veis puderem levar a uma situação perigosa, então um sistema de verificação de dados dentro do
sistema de comando relacionado à segurança deve ser provido, por exemplo, verificação de limites,
formato e/ou valores de entrada lógicos.
5.2.8 Flutuações, perda e restabelecimento das fontes de energia
Quando ocorrerem flutuações nos níveis de energia fora da faixa de operação de projeto, incluindo
a perda da fonte de energia, a SRP/CS deve continuar a prover ou iniciar sinal(ais) de saída que
permitirão que outras partes do sistema da máquina mantenham um estado seguro.
6 Categorias e suas relações com o MTTFD de cada canal, DCavg e CCF

6.1 Generalidades
A SRP/CS deve estar de acordo com os requisitos de uma ou mais das cinco categorias especificadas
em 6.2.

ABNT/CB-004
FEV 2019
As categorias são os parâmetros básicos utilizados para atingir um PL específico. Elas estabelecem
o comportamento requerido da SRP/CS em relação à sua resistência a falhas com base nas conside-
rações de projeto descritas na Seção 4.
A Categoria B é a categoria básica. A ocorrência de uma falha pode levar à perda da função de segu-
rança. Na categoria 1, uma melhor resistência à falhas é atingida predominantemente pela seleção
e aplicação de componentes. Nas categorias 2, 3 e 4, a melhoria no desempenho em relação a uma

função de segurança específica é atingida predominantemente pelo aperfeiçoamento da estrutura da
SRP/CS. Na categoria 2, isto é obtido por meio de verificações periódicas da efetividade da função
de segurança especificada. Nas categorias 3 e 4 isto é obtido assegurando-se que uma única falha
não levará à perda da função de segurança. Na categoria 4, e sempre que razoavelmente possível
na categoria 3, estas falhas são detectadas. Na categoria 4, a resistência ao acúmulo de falhas é
especificada.
A Tabela 10 provê uma visão geral das categorias da SRP/CS, os requisitos e o comportamento
do sistema em caso de falhas.
Ao considerar as causas de defeitos em alguns componentes, é possível excluir certas falhas

(ver Seção 7).
A seleção de uma categoria para uma SRP/CS específica depende principalmente
—— da redução no risco a ser atingida pela função de segurança à qual a parte contribui,
—— do nível de desempenho requerido (PLr),
—— das tecnologias utilizadas,
—— do risco resultante no caso de uma falha ou falhas naquela parte,
—— das possibilidades de evitar uma falha ou falhas naquela parte (falhas sistemáticas),
—— da probabilidade de ocorrência de uma falha ou falhas naquela parte e parâmetros relevantes,
—— do tempo médio para falha perigosa (MTTFD),
—— da cobertura de diagnóstico (DC), e
—— da falha de causa comum (CCF), no caso das categorias 2, 3 e 4.
6.2 Especificações de categorias
6.2.1 Generalidades
Cada SRP/CS deve atender aos requisitos da sua categoria correspondente, ver 6.2.3 a 6.2.7.
As arquiteturas seguintes atendem de forma típica, aos requisitos da sua respectiva categoria.
As seguintes figuras não mostram exemplos, mas sim arquiteturas gerais. Um desvio dessas arqui-
teturas é sempre possível, porém qualquer desvio deve ser justificado por meio de ferramentas
analíticas apropriadas (por exemplo, modelo de Markov, análise da árvore de falhas), de modo que o
sistema atenda ao nível de desempenho requerido (PLr).

ABNT/CB-004
FEV 2019
As arquiteturas designadas podem não ser consideradas somente como diagramas de circuito, mas
também como diagramas lógicos. Para as categorias 3 e 4, isto significa que nem todas as partes
são necessariamente fisicamente redundantes, porém que existem meios redundantes de assegurar
que uma falha não possa levar à perda da função de segurança.
As linhas e setas nas Figuras 8 a 12 representam os meios lógicos de interconexão e os meios lógicos
de diagnóstico possíveis.
6.2.2 Arquiteturas designadas
A estrutura de uma SRP/CS é uma característica-chave que tem grande influência sobre o PL. Mesmo
se a variedade de estruturas possíveis for elevada, os conceitos básicos são muitas vezes similares.
Assim, a maioria das estruturas que está presente no campo das máquinas pode ser mapeada em
uma das categorias. Para cada categoria, uma representação típica como um diagrama de blocos
relacionado à segurança pode ser efetuada. Estas realizações típicas são chamadas de arquiteturas
designadas e estão listadas no contexto de cada uma das categorias seguintes.
É importante que o PL mostrado na Figura 5, dependendo da categoria, MTTFD de cada canal e

DCavg, seja baseado nas arquiteturas designadas. Se a Figura 5 for utilizada para estimar o PL,
convém que seja demonstrada a equivalência da arquitetura da SRP/CS com a arquitetura designada
da categoria requerida. Projetos que atendem às características da respectiva categoria, em geral
são equivalentes à respectiva arquitetura designada da categoria.
6.2.3 Categoria B
A SRP/CS deve pelo menos ser projetada, construída, selecionada, montada e combinada de acordo
com as normas relevantes e utilizando os princípios básicos de segurança para a aplicação específica,
de modo a resistir
—— aos esforços de operação esperados, por exemplo, a confiabilidade em relação à capacidade

de ruptura e frequência,
—— à influência do material processado, por exemplo, detergentes em uma máquina de lavar, e
—— a outras influências externas relevantes, por exemplo, vibração mecânica, interferência eletro-
magnética, interrupções ou distúrbios na fonte de energia.
Não há cobertura de diagnóstico (DCavg = nulo) dentro de sistemas da categoria B e o MTTFD

de cada canal é de baixo a médio. Nestas estruturas (normalmente sistemas de um único canal),
a consideração de CCF não é relevante.
O PL máximo atingível com a categoria B é PL = b.
NOTA Quando ocorrer uma falha, esta pode levar à perda da função de segurança.
Os requisitos específicos para compatibilidade eletromagnética são encontrados nas normas

relevantes de produto, por exemplo, IEC 61800-3 para sistemas de acionamento de potência.
Para segurança funcional da SRP/CS em particular, os requisitos de imunidade são relevantes.
Se nenhuma norma de produto existir, convém que ao menos os requisitos de imunidade da
IEC 61000-6-2 sejam seguidos.

ABNT/CB-004
FEV 2019
im im
I L O
Legenda
im meio de interconexão
I dispositivo de entrada, por exemplo, sensor
L lógica
O dispositivo de saída, por exemplo, contator principal
Figura 8 – Arquitetura designada para a categoria B
6.2.4 Categoria 1
Para a categoria 1, os mesmos requisitos de 6.2.3 para a categoria B devem ser aplicados.
Além disso, o seguinte se aplica.
A SRP/CS da categoria 1 deve ser projetada e construída utilizando componentes devidamente

comprovados e princípios de segurança devidamente comprovados (ver ABNT NBR ISO 13849-2).
Um “componente devidamente comprovado” para uma aplicação relacionada à segurança é um com-

ponente que foi
a) amplamente utilizado no passado com resultados bem sucedidos em aplicações similares, ou
b) fabricado e verificado por meio de princípios que demonstram a sua adequação e confiabilidade
para aplicações relacionadas à segurança.
Componentes e princípios de segurança recém-desenvolvidos podem ser considerados como equiva-

lentes a “devidamente comprovados” se atenderem às condições de b).
A decisão em aceitar um componente específico como sendo “devidamente comprovado” depende

da aplicação.
NOTA 1 Componentes eletrônicos complexos (por exemplo, PLC, microprocessador, circuito integrado
de aplicação específica) podem não ser considerados como equivalentes a “devidamente comprovados”.
O MTTFD de cada canal deve ser alto.
O PL máximo atingível com a categoria 1 é PL = c.
NOTA 2 Não há cobertura de diagnóstico (DCavg = nulo) dentro de sistemas da categoria 1. Nestas
estruturas (sistemas de um único canal), a consideração de CCF não é relevante.
NOTA 3 Quando um defeito ocorrer isto pode levar à perda da função de segurança. Entretanto, o MTTFD
de cada canal na categoria 1 é mais elevado do que na categoria B. Assim, a perda da função de segurança
é menos provável.
É importante que uma distinção clara entre “componente devidamente comprovado” e “exclusão de
falhas” (ver Seção 7) seja feita. A qualificação de um componente como sendo devidamente compro-
vado depende da sua aplicação. Por exemplo, uma chave de fim de curso com contatos de abertura
positiva pode ser considerada como devidamente comprovada para uma máquina-ferramenta,

ABNT/CB-004
FEV 2019
enquanto que ao mesmo tempo, como sendo inadequada para aplicação em uma indústria de ali-
mentos – na indústria de leite, por exemplo, este fim de curso seria destruído pelo ácido láctico após
alguns meses. A exclusão de falhas pode levar a um PL muito alto, porém as medidas apropriadas
para permitir esta exclusão de falhas devem ser aplicadas durante toda a vida útil do dispositivo.
A fim de assegurar esta condição, medidas adicionais fora do sistema de comando podem ser neces-
sárias. No caso de um fim de curso, alguns exemplos desses tipos de medidas são
—— meios de assegurar a fixação do fim de curso após sua regulagem,
—— meios de assegurar a fixação do came,
—— meios de assegurar a estabilidade transversal do came,
—— meios de se evitar o sobrecurso do fim de curso, por exemplo, força adequada de fixação do
amortecedor de impacto e quaisquer dispositivos de alinhamento, e
—— meios de protegê-lo contra danos externos.
im im
I L O
Legenda
L lógica
Figura 9 – Arquitetura designada para a categoria 1
6.2.5 Categoria 2
Para a categoria 2, os mesmos requisitos de 6.2.3 para a categoria B devem ser aplicados. “Princípios
de segurança devidamente comprovados” de acordo com 6.2.4 também devem ser seguidos.
Além disso, aplica-se o seguinte.
A SRP/CS da categoria 2 deve ser projetada de modo que sua(s) função(ões) seja(m) verificadas(s)
em intervalos adequados pelo sistema de comando da máquina. A verificação da(s) função(ões)
de segurança deve ser realizada
—— na partida da máquina, e
—— antes da inicialização de qualquer situação perigosa, por exemplo, início de um novo ciclo,
início de outros movimentos, imediatamente após a demanda da função de segurança e/ou
periodicamente durante a operação se a apreciação de risco e o tipo de operação mostrarem
que é necessário.
A inicialização desta verificação pode ser automática. Qualquer verificação da(s) função(ões) de
segurança deve
—— permitir a operação se nenhum defeito for detectado, ou
—— gerar uma saída (OTE) que inicie a ação apropriada do controle, se um defeito for detectado

ABNT/CB-004
FEV 2019
Para PLr = d, a saída (OTE) deve iniciar um estado seguro, o qual deve ser mantido até que o defeito
seja eliminado.
Para PLr = c ou inferior, a saída (OTE), sempre que praticável, deve iniciar um estado seguro,
o qual, deve ser mantido até que o defeito seja eliminado. Quando isto não for possível (por exemplo,
soldagem do contato no dispositivo de comutação de potência), a saída pode prover um aviso
de advertência sobre o perigo.
Para a arquitetura designada da categoria 2, conforme mostrado na Figura 10, convém que o cálculo
do MTTFD e DCavg leve em consideração somente os blocos do canal funcional (ou seja, I, L e O
na Figura 10) e não os blocos do canal de teste (ou seja, TE e OTE na Figura 10).
A cobertura de diagnóstico (DCavg) de toda a SRP/CS, incluindo a detecção de defeito, deve ao

menos ser baixa. O MTTFD do canal deve ser de baixo a alto, dependendo do nível de desempenho
requerido (PLr). Medidas contra CCF devem ser aplicadas (ver Anexo F).
A própria verificação não pode levar a uma situação perigosa (por exemplo, devido a um aumento
no tempo de resposta). O equipamento de verificação pode ser parte integrante, ou separado,
da(s) parte(s) relacionada(s) à segurança provendo a função de segurança.
O PL máximo atingível com a categoria 2 é PL = d.
NOTA 1 Em alguns casos a categoria 2 não é aplicável porque a verificação da função de segurança
pode não ser aplicada a todos os componentes.
NOTA 2 O comportamento do sistema da categoria 2 permite que
—— a ocorrência de um defeito possa levar à perda da função de segurança entre as verificações,
—— a perda da função de segurança seja detectada pela verificação.
NOTA 3 O princípio que sustenta a validade de uma função da categoria 2 é que as características
técnicas adotadas, e, por exemplo, a escolha da frequência na verificação podem diminuir a probabilidade de
ocorrência de uma situação perigosa.
NOTA 4 Para aplicação da abordagem simplificada baseada em arquiteturas designadas, considerar

premissas em 4.5.4.

ABNT/CB-004
FEV 2019
im im
I L O
m
im
TE OTE
As linhas tracejadas representam a detecção de defeito razoavelmente praticável.
Legenda
L lógica
m monitoramento
TE equipamento de teste
OTE saída do TE
6.2.6 Categoria 3
A SRP/CS da categoria 3 deve ser projetada de modo que um único defeito em qualquer uma dessas
partes não leve à perda da função de segurança. Sempre que for razoavelmente praticável, o defeito
isolado deve ser detectado durante ou antes da próxima solicitação da função de segurança.
A cobertura de diagnóstico (DCavg) de toda a SRP/CS, incluindo a detecção de defeito, deve ser no
mínimo baixa. O MTTFD de cada um dos canais redundantes deve ser de baixo a alto, dependendo
do PLr. Medidas contra CCF devem ser aplicadas (ver Anexo F).
NOTA 1 O requisito de detecção de um único defeito não significa que todos os defeitos serão detectados.
Consequentemente, o acúmulo de defeitos não detectados pode levar a uma ação não pretendida e a uma
situação perigosa na máquina. Exemplos típicos de medidas praticáveis quanto à detecção de defeitos são o uso
de realimentação dos contatos do relé guiados mecanicamente e monitoramento de saídas elétricas redundantes.
NOTA 2 Se for necessário devido às tecnologias e aplicação, os elaboradores de normas do tipo C devem
dar maiores detalhes sobre a detecção de defeitos.
NOTA 3 O comportamento do sistema da categoria 3 é caracterizado por
—— a função de segurança deve estar ativa permanentemente, mesmo com a presença de uma falha única;
—— alguns, porém nem todos os defeitos são detectados,
—— o acúmulo de defeitos não detectados pode levar à perda da função de segurança.
NOTA 4 A tecnologia utilizada influencia nas possibilidades para a implementação da detecção do defeito.

ABNT/CB-004
FEV 2019
m
im
I1 L1 im O1
c
m
im
I2 L2 im O2
Legenda
c monitoramento cruzado
I1, I2 dispositivo de entrada, por exemplo, sensor
L1, L2 lógica
m monitoramento
O1, O2 dispositivo de saída, por exemplo, contator principal
Linhas tracejadas representam a detecção de falhas razoavelmente praticável
6.2.7 Categoria 4
A SRP/CS da categoria 4 deve ser projetada de tal forma que
—— um único defeito em qualquer uma dessas partes relacionadas à segurança não leve a uma perda
da função de segurança, e
—— o único defeito seja detectado durante ou antes da próxima solicitação das funções de segurança,
por exemplo, imediatamente, ao iniciar, ou ao finalizar um ciclo de operação da máquina,
porém, se esta detecção não for possível, então um acúmulo de defeitos não detectados não pode
levar à perda da função de segurança.
A cobertura de diagnóstico (DCavg) de toda a SRP/CS deve ser alta, incluindo o acúmulo de defeitos.
O MTTFD de cada um dos canais redundantes deve ser alto. Medidas contra CCF devem ser apli-
cadas (ver Anexo F).
NOTA 1 O comportamento do sistema categoria 4 permite que
—— a função de segurança deve estar ativa permanentemente, mesmo com a presença de uma falha única,
—— os defeitos são detectados a tempo de evitar a perda da função de segurança,
—— o acúmulo de defeitos não detectados é levado em consideração.

ABNT/CB-004
FEV 2019
NOTA 2 A diferença entre a categoria 3 e a categoria 4 é uma DCavg mais alta na categoria 4 e um MTTFD
requerido para cada canal somente “alto”.
Na prática, a consideração de uma combinação de dois defeitos pode ser suficiente.
m
im
I1 L1 im O1
m
im
I2 L2 im O2
Legenda
c monitoramento cruzado
I1, I2 dispositivo de entrada, por exemplo, sensor
L1, L2 lógica
m monitoramento
O1, O2 dispositivo de saída, por exemplo, contator principal
As linhas sólidas para monitoramento representam cobertura de diagnóstico, que é maior do que
na arquitetura designada para a categoria 3.
Tabela 10 – Resumo dos requisitos para categorias (continua)
Princípio utilizado MTTFD

Comportamento
Categoria Resumo dos requisitos para atingir a de cada DCavg CCF
do sistema
segurança canal
B SRP/CS e/ou seu equipamento A ocorrência de um Caracterizado Baixo a Nenhuma Não

(Ver 6.2.3) de proteção, bem como defeito pode levar à principalmente médio relevante
seus componentes, devem perda da função de pela seleção dos
ser projetados, construídos, segurança. componentes
selecionados, montados e
combinados de acordo com
as normas relevantes de
modo que possam resistir
à influência esperada.
Os princípios básicos de
devem ser utilizados.
1 Os requisitos de B devem A ocorrência de um Caracterizado Alto Nenhuma Não

(Ver 6.2.4) ser aplicados. Os componentes defeito pode levar à principalmente relevante
devidamente comprovados perda da função de pela seleção dos
e os princípios de segurança segurança, porém componentes
devidamente comprovados a probabilidade de
devem ser utilizados. ocorrência é menor do
que para a categoria B.

ABNT/CB-004
FEV 2019
Tabela 10 (continuação)
Princípio utilizado MTTFD

Comportamento
Categoria Resumo dos requisitos para atingir a de cada DCavg CCF
do sistema
segurança canal
2 Os requisitos de B e o uso A ocorrência de um Caracterizado Baixo a Baixa a Ver

(Ver 6.2.5) de princípios de segurança defeito pode levar à principalmente alto média Anexo F
devidamente comprovados perda da função de pela estrutura
devem ser aplicados. segurança entre as
A função de segurança deve verificações.
ser checada em intervalos A perda da função de
adequados pelo sistema de segurança é detectada
comando da máquina. pela verificação.
3 Os requisitos de B e o uso Quando um único Caracterizado Baixo a Baixa a Ver

(Ver 6.2.6) de princípios de segurança defeito ocorrer, a função principalmente alto média Anexo F
devidamente comprovados de segurança é sempre pela estrutura
devem ser aplicados. realizada.
As partes relacionadas Alguns, porém nem
à segurança devem ser todos os defeitos são
projetadas, de forma que detectados
—— um único defeito em O acúmulo de defeitos
qualquer uma dessas não detectados pode
partes não leve à perda levar à perda da função
da função de segurança, e de segurança
—— sempre que
razoavelmente
praticável, o único
defeito ser detectado.
4 Os requisitos de B e o uso Quando um único Caracterizado Alto Alta Anexo F

(Ver 6.2.7) de princípios de segurança defeito ocorrer, a principalmente incluindo o
devidamente comprovados função de segurança pela estrutura acúmulo de
devem ser aplicados. é sempre realizada. defeitos
As partes relacionadas à A detecção de
segurança devem ser defeitos acumulados
projetadas, de forma que reduz a probabilidade
—— um único defeito em da perda da função de
qualquer uma dessas segurança (DC alta).
partes não leve à perda Os defeitos serão
da função de segurança, e detectados a tempo
—— o único defeito seja para evitar a perda da
detectado antes ou função de segurança.
durante a solicitação da
função de segurança,
porém se esta detecção
não for possível, um
acúmulo de defeitos
não detectados não
pode levar à perda da
função de segurança.
NOTA Para requisitos completos, ver Seção 6.

ABNT/CB-004
FEV 2019
6.3 Combinação de SRP/CS para atingir o PL total
Uma função de segurança pode ser realizada por uma combinação de diversas SRP/CS: sistema de
entrada, unidade de processamento de sinal, sistema de saída. Estas SRP/CS podem ter diferentes
categorias. Para cada SRP/CS utilizada, uma categoria de acordo com 6.2 deve ser selecionada.
Para a combinação total destas SRP/CS, um PL total pode ser identificado utilizando os métodos
descritos nesta Seção. Neste caso, requer-se a validação da combinação de SRP/CS (ver Figura 3).
De acordo com 6.2, a combinação das partes de um sistema de comando relacionadas à segurança
começa nos pontos onde os sinais relacionados à segurança são iniciados e termina na saída dos
elementos de controle de potência. Porém a SRP/CS combinada pode consistir de diversas partes
conectadas de forma linear (alinhamento em série) ou redundante (alinhamento em paralelo).
Para evitar uma nova estimativa complexa do nível de desempenho (PL) atingido pela SRP/CS
combinada, onde os PL separados de todas as partes já estejam calculados, as seguintes estimativas
são apresentadas para um alinhamento em série da SRP/CS.
Assume-se que há N separados SRP/CSi em um alinhamento em série, desempenhando uma função

de segurança como um todo. Para cada SRP/CSi, um PLi já foi avaliado. Esta situação é ilustrada na
Figura 13 (ver também Figura 4 e Figura H.2).
Se o valor de PFHD de todas as SRP/CSi for conhecido, então o PFHD da combinação de SRP/CSi
é a somatória dos valores de PFHD dos N individuais SRP/CSi. O PL da combinação das SRP/CS
é limitado por:
—— o PL mais baixo dentre todas as SRP/CS individuais que executam a função de segurança
(devido ao fato de o PL ser determinado também por aspectos não quantificáveis) e
—— o PL correspondente ao PFHD da combinação de SRP/CS conforme a Tabela 2.
NOTA Ver Anexo H e ISO/TR 23849, 8.2.6 para ter um exemplo deste método.
SRP/CS1 SRP/CS2 SRP/CSN

PL1 PL2 PLN
SRP/CS
PL
PFHD = PFH D1 + PFH D2+ … + PFHDN
Figura 13 – Combinação de SRP/CS para atingir o PL total
Se os valores de PFHD individuais de todas as SRP/CSi não forem conhecidos, então em alternativa
ao método anterior como pior caso, o PL de toda a combinação de SRP/CSi que executa a função
de segurança pode ser calculado utilizando-se a Tabela 11 conforme a seguir:
a) Identificar o PLi mais baixo: este é PLbaixo.
b) Identificar o número Nbaixo ≤ N de SRP/CSi, com PLi = PLbaixo.
c) Consultar o PL na Tabela 11.

ABNT/CB-004
FEV 2019
Tabela 11 – Cálculo do PL para alinhamento em série de SRP/CS
PLbaixo Nbaixo ⇒ PL
>3 ⇒ Nenhum, não permitido
a
≤3 ⇒ a
>2 ⇒ a
b
≤2 ⇒ b
>2 ⇒ b
c
≤2 ⇒ c
>3 ⇒ c
d
≤3 ⇒ d
>3 ⇒ d
e
≤3 ⇒ e
NOTA Os valores calculados para esta Tabela de consulta são
baseados nos valores de confiabilidade no ponto médio para cada PL.
7 Consideração de defeitos, exclusão de defeitos

7.1 Generalidades
De acordo com a categoria selecionada, as partes relacionadas à segurança devem ser projetadas
para atingir o nível de desempenho requerido (PLr). A capacidade em resistir aos defeitos deve ser
avaliada.
7.2 Consideração de defeitos
A ABNT NBR ISO 13849-2 lista os defeitos e as falhas importantes para as várias tecnologias.
As listas de defeitos não são exclusivas e, se necessário, defeitos adicionais devem ser considerados
e listados. Nestes casos, convém que o método de avaliação seja claramente elaborado. Para novos
componentes não mencionados na ABNT NBR ISO 13849-2, uma análise dos modos e efeitos
de falha (FMEA, ver IEC 60812) deve ser realizada para estabelecer os defeitos a serem conside-
rados para esses componentes.
Em geral, os seguintes critérios de defeito devem ser levados em consideração:
—— se, como uma consequência de um defeito, componentes adicionais falharem, o primeiro defeito
juntamente com todos os seguintes defeitos devem ser considerados como um único defeito;
—— dois ou mais defeitos separados que tenham uma causa comum devem ser considerados como
um único defeito (conhecido como CCF);
—— a ocorrência simultânea de dois ou mais defeitos que tenham causas separadas é considerada
altamente improvável e, portanto, não precisa ser considerada.

ABNT/CB-004
FEV 2019
7.3 Exclusão de defeitos
Nem sempre é possível avaliar a SRP/CS sem presumir que certos defeitos podem ser excluídos.
Para informações detalhadas sobre as exclusões de defeitos, ver ABNT NBR ISO 13849-2.
A exclusão de defeitos pondera os requisitos técnicos de segurança e a possibilidade teórica de

ocorrência de um defeito.
A exclusão de defeitos pode ser baseada
—— na improbabilidade técnica de ocorrência de alguns defeitos,
—— na experiência técnica geralmente aceita, independentemente da aplicação considerada, e
—— nos requisitos técnicos relacionados à aplicação e ao perigo específico.
Se os defeitos forem excluídos, uma justificativa detalhada deve ser fornecida na documentação técnica.
8 Validação
O projeto da SRP/CS deve ser validado (ver Figura 3). A validação deve demonstrar que a combinação
da SRP/CS que provê cada função de segurança atende a todos os requisitos relevantes deste
documento da ABNT NBR ISO 13849.
Para detalhes da validação, ver ABNT NBR ISO 13849-2.
9 Manutenção
A manutenção preventiva ou corretiva pode ser necessária para manter o desempenho especificado
das partes relacionadas à segurança. Os desvios ao longo do tempo do desempenho especificado
podem levar a uma deterioração na segurança, ou mesmo a uma situação perigosa. A informação
para uso da SRP/CS deve incluir instruções para a manutenção (incluindo a inspeção periódica) da
SRP/CS.
As instruções para a manutenção da(s) parte(s) de um sistema de comando relacionada(s) à segu-

rança devem seguir os princípios providos na ABNT NBR ISO 12100:2013, 6.2.7. Todas as informa-
ções para manutenção devem atender à ABNT NBR ISO 12100:2013, 6.4.5.1, e).
10 Documentação técnica
Ao projetar uma SRP/CS, o projetista deve documentar pelo menos as seguintes informações rele-
vantes à parte relacionada à segurança:
—— a(s) função(ões) de segurança provida(s) pela SRP/CS;
—— as características de cada função de segurança;
—— os pontos exatos em que a(s) parte(s) relacionada(s) à segurança começa(m) e termina(m);
—— as condições ambientais;

ABNT/CB-004
FEV 2019
—— o nível de desempenho (PL);
—— a categoria ou as categorias selecionadas;
—— os parâmetros relevantes à confiabilidade (MTTFD, DC, CCF e tempo de missão);

—— medidas contra a falha sistemática;
—— a tecnologia ou as tecnologias utilizadas;
—— todos os defeitos relevantes à segurança considerados;
—— justificativa para as exclusões de defeitos (ver ABNT NBR ISO 13849-2);
—— o fundamento do projeto (por exemplo, defeitos considerados, defeitos excluídos);
—— documentação do software;
—— medidas contra o mau uso razoavelmente previsível.
NOTA Em geral, esta documentação é prevista como sendo para fins internos do fabricante e não será
distribuída ao usuário da máquina.
11 Informações de uso
Os princípios da ISO 12100:2013, 6.4.5.2, e as seções aplicáveis de outros documentos relevantes
(por exemplo, IEC 60204-1:2005, Seção 17), devem ser aplicados. Em particular, a informação que
é importante para o uso seguro da SRP/CS deve ser provida ao usuário. Isto deve incluir, porém não
está limitado a:
—— os limites das partes relacionadas à segurança para a(s) categoria(s) selecionada(s) e quaisquer
exclusões de defeitos;
—— os limites da SRP/CS e quaisquer exclusões de defeitos (ver 7.3) essenciais para manter a cate-
goria ou categorias selecionadas, bem como o desempenho de segurança, para os quais devem
ser providas informações adequadas, (por exemplo, para modificação, manutenção e reparo)
para assegurar a justificativa continuada da(s) exclusão(ões) de defeito(s);
—— os efeitos dos desvios em relação ao desempenho especificado da(s) função(ões) de segurança;
—— descrições claras das interfaces com a SRP/CS e dispositivos de proteção;
—— tempo de resposta;
—— limites de operação (incluindo as condições ambientais);
—— indicações e alarmes;
—— muting e suspensão das funções de segurança;
—— modos de comando;
—— manutenção (ver Seção 9);

ABNT/CB-004
FEV 2019
—— listas de verificação de manutenção;
—— facilidade de acessibilidade e substituição de partes internas;
—— meios para um diagnóstico de falhas fácil e seguro;

—— informações que expliquem as aplicações de uso relevantes à categoria a que se faz referência;
—— intervalos de teste de verificação, quando relevante.
Informações específicas devem ser providas sobre a categoria ou as categorias e o nível de desem-
penho (PL) da SRP/CS, conforme descrito a seguir:
—— referência datada com esta Parte da ABNT NBR ISO 13849 (ou seja, “ABNT NBR ISO 13849-1:2019”);
—— a categoria, B, 1, 2, 3 ou 4;
—— o nível de desempenho, a, b, c, d ou e.
EXEMPLO Uma SRP/CS de acordo com esta edição da ABNT NBR ISO 13849-1, de Categoria B e
nível de desempenho (PL) a, é referida conforme descrito a seguir:
ABNT NBR ISO 13849-1:2019 Categoria B PL a

ABNT/CB-004
FEV 2019
Anexo A
(informativo)
Determinação do nível de desempenho requerido (PLr)

A.1 Seleção do PLr

O Anexo A está relacionado à contribuição para a redução no risco efetuada pelas partes do sistema
de comando relacionadas à segurança a serem consideradas. O método estabelecido neste Anexo
provê somente uma estimativa da redução de risco e destina-se como orientação ao projetista e ao
desenvolvedor de normas na determinação do PLr para cada função de segurança necessária a ser
realizada por uma SRP/CS.
NOTA Esta metodologia para estimativa de PLr não é obrigatória. Trata-se de uma abordagem genérica
que presume o pior caso da ocorrência de um evento perigoso (isto é, a probabilidade de ocorrência sendo
100%). Outros métodos de estimativa de risco para tipos específicos de máquina podem ser considerados
mais apropriados e experiência em aplicações bem-sucedidas com máquinas/perigos similares podem ser
levados em consideração quando da estimativa do PLr. Desta forma, o PL requerido por uma norma Tipo C
pode desviar daquele indicado pela abordagem genérica dada pela Figura A.1.
O gráfico na Figura A.1 é baseado em uma situação anterior à da implementação da função de

segurança pretendida (ver também ISO/TR 22100-2:2013). A redução de risco por outras medidas
técnicas independentes do sistema de comando (por exemplo, proteções mecânicas) ou funções
de segurança adicionais, podem ser levadas em consideração na determinação do PLr da função
de segurança pretendida; neste caso, o ponto de partida da Figura A.1 pode ser selecionado após
a implementação dessas medidas (ver também Figura 2).
A severidade da lesão (indicada por S) é estimada grosseiramente (por exemplo, laceração, ampu-
tação, morte). Para a frequência da ocorrência, parâmetros auxiliares são utilizados para melhorar
a estimativa. Estes parâmetros são
—— a frequência e o tempo de exposição ao perigo (F), e
—— a possibilidade de evitar o perigo ou limitar o dano (P).
A experiência tem demonstrado que estes parâmetros podem ser combinados, conforme mostrado
na Figura A.1, para prover uma graduação do risco de baixa a alta. Deve ser enfatizado que este
é um processo qualitativo provendo somente uma estimativa do risco.
A.2 Orientação para a seleção dos parâmetros S, F e P para a estimativa de

risco
A.2.1 Severidade da lesão, S1 e S2
Na estimativa do risco decorrente de uma falha de uma função de segurança, somente lesões leves
(normalmente reversíveis), lesões graves (normalmente irreversíveis) e morte são consideradas.

ABNT/CB-004
FEV 2019
Para uma tomada de decisão, convém que as consequências de acidentes habituais e os processos
de cura normais sejam levados em consideração na determinação de S1 e S2. Por exemplo,
contusões e/ou lacerações sem complicações são classificadas como S1, enquanto amputação
ou morte seria classificada como S2.
A.2.2 Frequência e/ou tempos de exposição ao perigo, F1 e F2

Um período de tempo geralmente válido a ser selecionado para o parâmetro F1 ou F2 pode não
ser especificado. Entretanto, a seguinte explicação pode facilitar na tomada de decisão correta
em caso de dúvidas.
Convém que F2 seja selecionado se uma pessoa for frequentemente ou continuamente exposta
ao perigo. Isto é irrelevante se as mesmas ou diferentes pessoas forem expostas ao perigo em expo-
sições sucessivas, por exemplo, para o uso de elevadores. Convém que o parâmetro da frequência
seja escolhido de acordo com a frequência e duração do acesso ao perigo.
Quando a demanda sobre a função de segurança for conhecida pelo projetista, a frequência e a
duração desta demanda podem ser escolhidas em vez da frequência e duração do acesso ao perigo.
Nesta Parte da ABNT NBR ISO 13849, a frequência da demanda sobre a função de segurança é
presumida que seja mais do que uma vez por ano.
O período de exposição ao perigo deve ser avaliado com base em um valor médio que pode
ser considerado em relação ao período de tempo total durante o qual o equipamento é utilizado.
Por exemplo, se for necessário acessar regularmente a zona entre as ferramentas da máquina
durante a operação cíclica a fim de alimentar e movimentar as peças de trabalho, então convém
que F2 seja selecionado.
No caso de nenhuma outra justificativa, convém que F2 seja escolhido se a frequência for maior
do que uma vez à cada 15 min.
F1 pode ser selecionado se o tempo de exposição acumulado não exceder 1/20 do tempo total de
operação e a frequência não for maior que uma vez a cada 15 min.
A.2.3 Possibilidade de se evitar o perigoso P1 e P2 e probabilidade de ocorrência
A probabilidade de se evitar o perigo e a probabilidade de ocorrência de um evento perigoso são

ambas combinadas no parâmetro P. Quando uma situação perigosa ocorre, convém que P1 seja
somente ser selecionado se houver uma chance real de se evitar o perigo ou reduzir significativa-
mente seus efeitos, caso contrário, convém que P2 seja selecionado.
Quando a probabilidade de ocorrência de um evento perigoso puder ser justificada como baixa,
o PLr pode ser reduzido em um nível, ver A.2.3.2.
A.2.3.1 Possibilidade de se evitar o perigo
É importante identificar se uma situação perigosa pode ser reconhecida e evitada antes que leve a um
acidente ou não. Por exemplo, uma consideração importante é saber se o perigo pode ser diretamente
identificado por suas características físicas ou reconhecido somente por meios técnicos, por exemplo,
sinalizadores. Outros aspectos importantes que influenciam na seleção do parâmetro de P incluem,
por exemplo:
—— velocidade com que o perigo surge (por exemplo, rápida ou lentamente);

ABNT/CB-004
FEV 2019
—— possibilidades de evitar o perigo (por exemplo, evasão, fuga);
—— experiências práticas de segurança relacionadas ao processo;
—— operação por pessoas treinadas e aptas para a função, ou não;

—— operação com ou sem supervisão.
A.2.3.2 Possibilidade de ocorrência de um evento perigoso
A probabilidade de ocorrência de um evento perigoso depende ou do comportamento humano ou

de falhas técnicas. Na maioria dos casos, a probabilidade realista é desconhecida ou difícil de se
identificar. Convém que a estimativa da probabilidade de ocorrência de um evento perigoso seja
baseada em fatores que incluem:
—— dados de confiabilidade;
—— histórico de acidentes em máquinas comparáveis;
NOTA Um número baixo de acidentes não significa necessariamente que a ocorrência de uma situação
perigosa seja baixa, mas que as medidas de segurança nas máquinas são suficientes.
No caso de máquinas comparáveis
—— incluem os mesmos riscos cuja função de segurança em questão pretende reduzir;
—— requerem o mesmo processo ou ação de operação;
—— utilizam a mesma tecnologia que causa o perigo.

ABNT/CB-004
FEV 2019
PLr
L
P1
a
F1
S1 P2
P1 b
F2
1 P2
P1 c
F1
P2
S2
P1 d
F2
P2
e
H
Legenda Parâmetros de risco:

1 ponto de partida para avaliação da contribuição da S severidade da lesão
função de segurança na redução do risco
L baixa contribuição na redução do risco S1 leve (normalmente lesão reversível)
H alta contribuição na redução do risco S2 grave (normalmente lesão irreversível ou morte)
PLr nível de desempenho requerido F frequência e/ou exposição ao perigo
F1 raramente a menos frequente e/ou tempo de
exposição curto
F2 frequente a contínua e/ou tempo de expo-
sição longo
P possibilidade de se evitar o perigo ou limi-
tação do dano
P1 possível sob condições específicas
P2 quase impossível
Figura A.1 – Gráfico de risco para determinação do PLr requerido para a função de segurança
A Figura A.1 apresenta uma orientação para a determinação do PLr em função da apreciação de
risco de toda a máquina. O método de apreciação de risco é baseado na ABNT NBR ISO 12100.
Convém que o gráfico seja considerado para cada função de segurança.
A.3 Sobreposição de perigos

Ao utilizar a ABNT NBR ISO 13849‑1, todos os perigos são tidos como perigos específicos ou situa-
ções perigosas. Para a quantificação do risco, cada perigo pode então ser avaliado separadamente.
Quando for evidente que há uma combinação de perigos diretamente relacionados os quais sempre
ocorrem simultaneamente, então convém que sejam combinados durante a estimativa de risco.

ABNT/CB-004
FEV 2019
Convém que a determinação de quando os perigos devam ser considerados separados ou em

combinação seja levada em consideração durante a apreciação de riscos da máquina.
EXEMPLO 1 Um robô que executa solda continuamente pode criar várias situações de risco simultâneas,
por exemplo, esmagamento causado pelo movimento e queimadura causada pelo processo de solda.
Isto pode ser considerado uma combinação de perigos diretamente relacionados.
EXEMPLO 2 Para uma célula robotizada na qual diferentes robôs executam uma tarefa, cada robô é
considerado separadamente.
EXEMPLO 3 Em uma mesa rotativa com dispositivos de fixação, pode ser suficiente considerar cada
dispositivo separadamente, como resultado de uma apreciação de risco.

ABNT/CB-004
FEV 2019
Anexo B
(informativo)
Método de blocos e diagrama em blocos relacionado à segurança

B.1 Método de blocos

A abordagem simplificada requer uma representação lógica da SRP/CS orientada por blocos.
Convém que a SRP/CS seja decomposta em pequenos blocos de acordo com os seguintes critérios:
—— Convém que os blocos sejam representados em unidades lógicas da SRP/SC relacionadas à

execução da função de segurança;
—— os canais diferentes que desempenham a função de segurança devem ser separados em

diferentes blocos – se um bloco não for mais capaz de desempenhar a sua função, a execução
da função de segurança por meio dos blocos do outro canal não deve ser afetada;
—— cada canal consiste em um ou diversos blocos – três blocos por canal nas arquiteturas desig-
nadas (entrada, lógica e saída) não é um número obrigatório, é simplesmente um exemplo para
uma separação lógica dentro de cada canal;
—— Convém que cada unidade de hardware da SRP/CS pertença exatamente a um bloco, permi-
tindo assim o cálculo do MTTFD do bloco com base no MTTFD das unidades de hardware que
pertencem ao bloco (por exemplo, calculado por meio da análise do modo e efeitos de falha
ou do método de contagem das partes, ver Anexo D.1);
—— as unidades de hardware utilizadas somente para diagnóstico (por exemplo, equipamento de

teste) e que não afetem a execução da função de segurança nos diferentes canais quando eles
falharem perigosamente, podem ser separadas das unidades de hardware necessárias para a
execução da função de segurança nos diferentes canais.
NOTA Para os propósitos deste documento da ABNT NBR ISO 13849, “blocos” não correspondem aos
blocos funcionais ou blocos de confiabilidade.
B.2 Diagrama de blocos relacionado à segurança

Os blocos definidos pelo método de blocos podem ser utilizados para representar esquematica-
mente a estrutura lógica da SRP/CS em um diagrama de blocos relacionado à segurança. Para tal
representação esquemática, os critérios descritos a seguir podem ser considerados para orientação:
—— a falha de um bloco pertencente a um alinhamento de blocos ligados em série leva à falha de

todo o canal (por exemplo, se uma unidade de hardware em um canal da SRP/CS falhar perigo-
samente, todo o canal pode não ser mais capaz de executar a função de segurança);
—— somente a falha perigosa de todos os canais de um alinhamento em paralelo leva à perda da

função de segurança (por exemplo, uma função de segurança realizada por diversos canais é
executada contanto que pelo menos um canal não tenha nenhuma falha);

ABNT/CB-004
FEV 2019
—— os blocos utilizados somente para fins de teste e que não afetam a execução da função de
segurança nos diferentes canais quando estes falharem perigosamente, podem ser separados
dos blocos nos diferentes canais.
Ver Figura B.1 para um exemplo.

I1 O1
I2 L O2
Legenda
I1, I2 dispositivos de entrada, por exemplo, sensor
L lógica
O1, O2 dispositivos de saída, por exemplo, contator principal
T dispositivo de teste
I1 e O1 formam o primeiro canal (alinhamento em série)
I2, L e O2 formam o segundo canal (alinhamento em série), com ambos os canais executando a função
de segurança de forma redundante (alinhamento em paralelo)
T é utilizado somente para teste
Figura B.1 – Exemplo de diagrama em blocos relacionado à segurança

ABNT/CB-004
FEV 2019
Anexo C
(informativo)
Cálculo ou avaliação dos valores de MTTFD para componentes individuais

C.1 Generalidades
Este Anexo apresenta diversos métodos para cálculo ou avaliação dos valores de MTTFD para
componentes individuais: o método apresentado em C.2 é baseado nas boas práticas de engenharia
para os diferentes tipos de componentes; o método apresentado em C.3 aplica-se a componentes
hidráulicos; C.4 apresenta uma forma de se calcular o MTTFD de componentes pneumáticos,
mecânicos e eletromecânicos a partir de B10 (ver C.4.1); C.5 lista os valores de MTTFD para
componentes elétricos.
C.2 Método das boas práticas de engenharia

Se os seguintes critérios forem atendidos, o valor de MTTFD ou B10D para um componente pode ser
estimado de acordo com a Tabela C.1.
a) Os componentes são fabricados de acordo com os princípios básicos e princípios de segurança
devidamente comprovados de acordo com a ABNT NBR ISO 13849-2, ou norma relevante
(ver Tabela C.1) para o projeto do componente (confirmação na folha de dados do componente).
NOTA Esta informação pode ser encontrada na folha de dados do fabricante do componente.
b) O fabricante do componente especifica a aplicação apropriada e as condições de operação para

o usuário.
c) O projeto da SRP/CS atende aos princípios básicos e princípios de segurança devidamente com-
provados de acordo com a ABNT NBR ISO 13849-2, para a implementação e operação do componente.
C.3 Componentes hidráulicos

Se os seguintes critérios forem atendidos, o valor de MTTFD para um componente hidráulico individual,
por exemplo, válvula, pode ser estimado em 150 anos.
a) Os componentes hidráulicos são fabricados de acordo com os princípios básicos e princípios de
segurança devidamente comprovados de acordo com a ABNT NBR ISO 13849-2, Tabelas C.1 e
C.2, para o projeto do componente hidráulico (confirmação na folha de dados do componente).
b) O fabricante do componente hidráulico especifica a aplicação apropriada e as condições de

operação para o usuário. O fabricante da SRP/CS deve prover informações relacionadas à sua
responsabilidade para aplicar os princípios básicos e os princípios de segurança devidamente
comprovados de acordo com a ABNT NBR ISO 13849-2, Tabelas C.1 e C.2, para a implemen-
tação e operação do componente hidráulico.

ABNT/CB-004
FEV 2019
Se os critérios apresentados em C.4 forem atendidos, o valor de MTTFD para um único componente
hidráulico, por exemplo, um válvula, pode ser estimado em 150 anos. Se o número médio de operações
anuais (nop) for inferior a 1 000 000, então, o valor de MTTFD pode ser estimado como um valor
superior, de acordo com a Tabela C.1.
Entretanto, se a) ou b) não for atingido, o valor de MTTFD para o componente hidráulico individual
tem que ser fornecido pelo fabricante. Em vez de utilizar um valor fixo de MTTFD, como descrito
anteriormente, é permitido utilizar o conceito B10D para MTTFD de componentes pneumáticos,
mecânicos e eletromecânicos, assim como para componentes hidráulicos, uma vez que o fabricante
possa prover os dados.
Tabela C.1 – Normas Internacionais que abordam o MTTFD ou B10D para componentes (continua)
Princípios básicos e princípios

Valores típicos:
de segurança devidamente Outras normas
MTTFD (anos)
comprovados de acordo com relevantes
B10D (ciclos)
a ABNT NBR ISO 13849-2
Componentes mecânicos Tabelas A.1 e A.2 – MTTFD = 150
Componentes hidráulicos com

Tabelas C.1 e C.2 ISO 4413 MTTFD = 150
nop ≥ 1 000 000 ciclos por ano
Componentes hidráulicos
com 1 000 000 > nop ≥ 500 000 Tabelas C.1 e C.2 ISO 4413 MTTFD = 300
ciclos por ano
Componentes hidráulicos
com 500 000 > nop ≥ 250 000 Tabelas C.1 e C.2 ISO 4413 MTTFD = 600
ciclos por ano
Componentes hidráulicos com

Tabelas C.1 e C.2 ISO 4413 MTTFD = 1200
250 000 ciclos por ano > nop
Componentes pneumáticos Tabelas B.1 e B.2 ISO 4414 B10D = 20 000 000
EN 50205
Relés e contatores auxiliares
Tabelas D.1 e D.2 IEC 61810 B10D = 20 000 000
com pequena carga
ABNT NBR IEC 60947
EN 50205
Relés e contatores auxiliares
Tabelas D.1 e D.2 IEC 61810 B10D = 400 000
com carga nominal
ABNT NBR IEC 60947
Interruptores de proximidade ABNT NBR IEC 60947

Tabelas D.1 e D.2 B10D = 20 000 000
com pequena carga ISO 14119
Interruptores de proximidade ABNT NBR IEC 60947

Tabelas D.1 e D.2 B10D = 400 000
com carga máxima ISO 14119
Contatores com pequena carga Tabelas D.1 e D.2 ABNT NBR IEC 60947 B10D = 20 000 000
Contatores com carga B10D = 1 300 000

Tabelas D.1 e D.2 ABNT NBR IEC 60947
nominal (ver Nota 2)
ABNT NBR IEC 60947

Interruptores de posição a Tabelas D.1 e D.2 B10D = 20 000 000
ISO 14119
Interruptores de posição
ABNT NBR IEC 60947
(com atuador separado com Tabelas D.1 e D.2 B10D = 2 000 000
ISO 14119
ou sem bloqueio) a

ABNT/CB-004
FEV 2019
Tabela C.1 (continua)
Princípios básicos e princípios

Valores típicos:
de segurança devidamente Outras normas
MTTFD (anos)
comprovados de acordo com relevantes
B10D (ciclos)
a ABNT NBR ISO 13849-2
Dispositivos de parada de ABNT NBR IEC 60947

Tabelas D.1 e D.2 B10D = 100 000
emergência a ISO 13850
Para a definição e uso de B10D, ver C.4.

NOTA 1 B10D é estimado como duas vezes B10 (50 % de falha perigosa) se nenhuma outra informação (por exemplo, norma de
produto) estiver disponível.
NOTA 2 convém que “carga nominal” ou “pequena carga” levem em consideração os princípios de segurança descritos na
ABNT NBR ISO 13849-2, como, sobredimensionamento do valor da corrente nominal. “Pequena carga” significa, por exemplo, 20 %
do valor nominal.
NOTA 3 Dispositivos de parada de emergência de acordo com as IEC 60947-5-5 e ISO 13850 e dispositivos de habilitação de acordo
com as IEC 60947-5-8 podem ser estimados como subsistemas em Categoria 1 ou Categoria 3/4 dependendo do número de contatos de
saída elétricos e da detecção de falhas realizada pela SRP/CS subsequente. Cada elemento de contato (incluindo a atuação mecânica)
pode ser considerado como um canal com um respectivo valor de B10D. Para dispositivos de habilitação de acordo com as IEC 60947-5-8,
isto incide na função de abertura por meio de pressionamento ou liberação do dispositivo. Em alguns casos, é possível que o projetista
da máquina possa admitir exclusão de falhas de acordo com a ABNT NBR ISO 13849-2, Tabela D.8, considerando a aplicação especifica
e as condições ambientais do dispositivo.
a
Caso a exclusão de falhas por ruptura positiva for possível.
C.4 MTTFD de componentes pneumáticos, mecânicos e eletromecânicos
C.4.1 Generalidades
Para componentes pneumáticos, mecânicos e eletromecânicos (válvulas pneumáticas, relés, conta-

tores, interruptores de posição, cames de interruptores de posição, etc.), pode ser difícil calcular o tempo
médio para falha perigosa (MTTFD para componentes), que é fornecido em anos e que é requerido
por este documento da ABNT NBR ISO 13849. Na maioria das vezes, os fabricantes desses tipos de
componentes somente fornecem o número médio de ciclos até que 10 % dos componentes falhem
perigosamente (B10D). Esta Seção provê um método para calcular um MTTFD para componentes
utilizando-se B10 ou T (vida útil) fornecido pelo fabricante que é diretamente relacionado aos ciclos
dependentes da aplicação.
Se os seguintes critérios forem atendidos, o valor de MTTFD para um único componente pneumático,
eletromecânico ou mecânico pode ser estimado de acordo com C.4.2.
a) Os componentes são fabricados de acordo com os princípios de segurança básicos de acordo
com a ABNT NBR ISO 13849-2:2019, Tabela B.1 ou Tabela D.1, para o projeto do componente
(confirmação na folha de dados do componente).
b) Os componentes a serem utilizados na categorias 1, 2, 3 ou 4 são fabricados de acordo com os

princípios de segurança devidamente comprovados de acordo com a ABNT NBR ISO 13849-2:2019,
Tabela B.2 ou D.2, para o projeto do componente (confirmação na folha de dados do componente).

ABNT/CB-004
FEV 2019
c) O fabricante do componente especifica a aplicação apropriada e as condições de operação para

o usuário. O fabricante da SRP/CS deve prover informações relacionadas à sua responsabilidade
para atender aos princípios básicos de segurança de acordo com a ABNT NBR ISO 13849-2:2019,
Tabela B.1 ou D.1, para a implementação e operação do componente. Para categoria 1, 2, 3
ou 4, o usuário tem que ser informado de sua responsabilidade para atender aos princípios
de segurança devidamente comprovados de acordo com a ABNT NBR ISO 13849-2:2019,
Tabelas B.2 ou D.2, para implementação e operação do componente.
C.4.2 Cálculo do MTTFD para componentes a partir de B10D
O número médio de ciclos até que 10 % dos componentes falhem perigosamente (B10D)2) pode
ser determinado pelo fabricante do componente de acordo com as normas relevantes do produto
para os métodos de teste (por exemplo, IEC 60957-5-1, ABNT NBR ISO 19973, IEC 61810).
Os modos de falha perigosa do componente têm que ser definidos, por exemplo, emperramento em
uma posição de fim de curso ou alteração dos tempos de comutação. Se nem todos os componentes
falharem perigosamente durante os testes (por exemplo, sete componentes ensaiados, somente cinco
falham perigosamente), convém que uma análise levando em consideração os componentes que não
falharam perigosamente seja realizada.
Com B10D e nop, número médio de operações anuais, o MTTFD para componentes pode ser calculado
como
B10D
MTTFD = (C.1)
0,1 × nop
onde
dop × hop × 3 600 s/h
nop = (C.2)
tciclo
com as seguintes suposições tendo sido efetuadas sobre a aplicação do componente:
hop é o tempo de operação médio, expresso em horas por dia;
dop é o tempo de operação, expresso em dias por ano;
tciclo é o tempo médio entre o início de dois ciclos sucessivos do componente (por exemplo,
comutação de uma válvula), expresso em segundos por ciclo.
O tempo de operação do componente é limitado a T10D, o tempo médio até que 10 % dos componentes
falhem perigosamente:
B
T10D = 10D (C.3)
nop
NOTA Explicação das equações em C.4.2.
B10D, o número médio de ciclos até que 10 % dos componentes falhem perigosamente, pode ser
convertido em T10D, o tempo médio até que 10 % dos componentes falhem perigosamente, utilizando
nop, o número médio de operações anuais:
B
T10D = 10D (C.4)
nop
2 Se a fração perigosa de B10 não for informada, 50 % de B10 pode ser utilizado, assim B10D = 2 B10 é
recomendado.

ABNT/CB-004
FEV 2019
Os métodos de confiabilidade neste documento da ABNT NBR ISO 13849 supõem que a falha
de componentes seja distribuída exponencialmente ao longo do tempo: F(t) = 1 – exp(–λdt).
Para componentes pneumáticos e eletromecânicos, uma distribuição de Weibull é mais provável.
Porém, se o tempo de operação dos componentes for limitado ao tempo médio até que 10 % dos
componentes falhem perigosamente (T10D), então, uma taxa de falha perigosa constante (λD) durante
este tempo de operação pode ser calculada como
0,1 0,1 × nop (C.5)

λD ≈ =
T10D B10D
A equação (C.5) leva em consideração que, com uma taxa de falha constante, 10 % dos componentes
em uma dada aplicação falhe após T10D [anos], correspondendo a B10D [ciclo]. Para ser exato:
In (0, 9) 0,10 536 0,1 (C.6)

F (T10D ) = 1 − exp ( −λDT10D ) = 10% significa λD = − = ≈
T10D T10D T10D
Com MTTFD = 1/λd para distribuições exponenciais, isto resulta em

T B10D
MTTFD = 10D = (C.7)
0,1 0,1 × nop
recomendado.
NOTA todas as variáveis utilizadas nas equações são quantidades físicas expressas como produto
de um valor numérico e uma unidade de medida. A correta aplicação por exemplo das formúlas C.5, C.5
e MTTFD = 1/λD requer a transformação de um valor expresso em “anos” para “horas”, sendo 1 ano = 8 760h.
C.4.3 Exemplo
Para uma válvula pneumática, um fabricante determina um valor médio de 60 milhões de ciclos como
B10D. A válvula é utilizada para dois turnos diários em 220 dias de operação por ano. O tempo médio
entre o início de duas manobras sucessivas da válvula é estimado como 5 s. Isto resulta nos seguintes
valores:
—— dop de 220 dias por ano;
—— hop de 16 h por dia;
—— tciclo de 5 s por ciclo;
—— B10D de 60 milhões de ciclos.
Com esses dados de entrada, as seguintes quantidades podem ser calculadas:

220 dias/ano × 16 h/dia × 3 600 s/h
nop = = 2,53 × 106 ciclos/ano (C.8)
5 s/ciclo
60 × 106 ciclos (C.9)

T10D = = 23,7 anos
2, 53 × 106 ciclos/ano
(C.10)
23, 7 anos
MTTFD = = 237 anos
0,1

ABNT/CB-004
FEV 2019
Isto leva a um MTTFD “alto” para o componente de acordo com a Tabela 5. Essas suposições são
válidas somente para um tempo de operação restrito de 23,7 anos para a válvula.
C.5 Dados do MTTFD de componentes elétricos

C.5.1 Generalidades
As Tabelas C.2 a C.7 indicam alguns valores médios típicos de MTTFD para componentes eletrônicos.
Os dados são extraídos da base de dados da série SN 29500[40]. Todos os dados são de caráter geral.
Há diversas bases de dados disponíveis (ver lista não exaustiva na Bibliografia) que apresentam
valores de MTTFD para vários componentes eletrônicos. Se o projetista de um SRP/CS tiver outros
dados confiáveis e específicos sobre os componentes utilizados, então o uso dos dados específicos
são altamente recomendados em vez das Tabelas C.2 a C.7.
Os valores providos nas Tabelas C.2 a C.7 são válidos para uma temperatura de 40 °C, e carga
nominal para corrente e tensão.
Na coluna MTTF das tabelas, os valores provenientes de SN 29500 são para componentes genéricos,
para todos os modos de falha possíveis que não são necessariamente falhas perigosas. Na coluna
MTTFD, é normalmente suposto que nem todos os modos de falha levam a uma falha perigosa.
Isto depende principalmente da aplicação. Uma forma precisa de se determinar o MTTFD “típico” para
componentes é realizar um FMEA. Alguns componentes, por exemplo, transistores utilizados como
interruptores, podem ter curtos-circuitos ou interrupções como falha. Somente um destes dois modos
pode ser perigoso; portanto a coluna “observação” supõe somente 50 % de falha perigosa, o que
significa que o MTTFD para componentes é duas vezes o valor do MTTF provido.
C.5.2 Semicondutores
Ver Tabelas C.2 e C.3.
Tabela C.2 – Transistores (utilizados como interruptores)
MTTFD para
MTTF para
componentes
Transistor Exemplo componentes Observação
anos
anos
Típico
Bipolar TO18, TO92, SOT23 38 052 76 104 50 % de falha perigosa
Bipolar, baixa potência TO5, TO39 5 708 11 416 50 % de falha perigosa
Bipolar, potência TO3, TO220, D-Pack 1 903 3 806 50 % de falha perigosa
FET Junction MOS 22 831 45 662 50 % de falha perigosa
MOS, potência TO3, TO220, D-Pack 1 903 3 806 50 % de falha perigosa

ABNT/CB-004
FEV 2019
Tabela C.3 – Diodos, semicondutores de potência e circuitos integrados
MTTFD para
MTTF para
componentes
Diodo Exemplo componentes Observação
anos
anos
Típico
Aplicação geral – 114 155 228 311 50 % de falha perigosa
Supressor – 16 308 32 616 50 % de falha perigosa
Diodo Zener Ptot < 1 W – 114 155 228 311 50 % de falha perigosa
Diodos retificadores – 57 078 114 155 50 % de falha perigosa
Pontes retificadoras – 11 415 22 831 50 % de falha perigosa
Tiristores – 2 283 4 566 50 % de falha perigosa
Triacs, Diacs – 1 522 3 044 50 % de falha perigosa
Circuitos integrados (programáveis

Utilizar os dados do fabricante 50 % de falha perigosa
e não programáveis)
C.5.3 Componentes passivos
Ver Tabelas C.4 a C.7.
Tabela C.4 – Capacitores
MTTFD para
MTTF para
componentes
Capacitor Exemplo componentes Observação
anos
anos
Típico
KS, KP, KC, KT, MKT, MKC,

Padrão, sem potência 57 078 114 155 50 % de falha perigosa
MKP, MKU, MP, MKV
Cerâmica – 22 831 45 662 50 % de falha perigosa
Eletrolítico de alumínio Eletrólito não sólido 22 831 45 662 50 % de falha perigosa
Eletrolítico de alumínio Eletrólito sólido 38 052 76 104 50 % de falha perigosa
Eletrolítico de tântalo Eletrólito não sólido 11 415 22 831 50 % de falha perigosa
Eletrolítico de tântalo Eletrólito sólido 114 155 228 311 50 % de falha perigosa
Tabela C.5 – Resistores
MTTFD para
MTTF para
componentes
Resistor Exemplo componentes Observação
anos
anos
Típico
Filme de carbono – 114 155 228 311 50 % de falha perigosa
Filme metálico – 570 776 1 141 552 50 % de falha perigosa
Óxido metálico e fio bobinado – 22 831 45 662 50 % de falha perigosa
Variável – 3 805 7 618 50 % de falha perigosa

ABNT/CB-004
FEV 2019
Tabela C.6 – Indutores
MTTFD para
MTTF para
componentes
Indutor Exemplo componentes Observação
anos
anos
Típico
Para aplicações EMC – 38 052 76 104 50 % de falha perigosa
Indutores e transformadores de
– 22 831 45 662 50 % de falha perigosa
baixa frequência
Transformadores principais e
transformadores para modos – 11 415 22 831 50 % de falha perigosa
chaveados e fontes de alimentação
Tabela C.7 – Optoacopladores
MTTFD para
MTTF para
componentes
Optoacopladores Exemplo componentes Observação
anos
anos
Típico
Saída bipolar SFH 610 7 610 15 220 50 % de falha perigosa
Saída FET LH 1056 2 854 5 708 50 % de falha perigosa

ABNT/CB-004
FEV 2019
Anexo D
(informativo)
Método simplificado para estimativa do MTTFD para cada canal

D.1 Método de contagem das partes

O uso do “método de contagem das partes” serve para estimar o MTTFD para cada canal separa-
damente. Os valores de MTTFD de todos os componentes únicos que fazem parte do canal são
utilizados neste cálculo.3
A equação geral é
N  N 
1 1 nj (D.1)
= ∑ =
MTTFD i =1MTTFDi j =1MTTFDj ∑
onde
MTTFD é calculado para todo o canal;
MTTFDi, MTTFDj, é o MTTFD de cada componente que tem uma contribuição à função de segurança.
A primeira soma contempla cada componente separadamente; a segunda soma é uma forma simpli-
ficada e equivalente onde todos os componentes nj idênticos com o mesmo MTTFDj são agrupados.
O exemplo dado na Tabela D.1 estabelece um MTTFD do canal de 22,4 anos, o que é considerado
“médio” de acordo com a Tabela 5.
Tabela D.1 – Exemplo da lista de peças de uma placa de circuito integrado
MTTFDj 1/MTTFDj nj/MTTFDj

Unidades
j Componente típico típico típico
nj
anos 1/ano 1/ano
1 Transistores, bipolares, baixa potência (ver Tabela C.2) 2 11416 0,000 087 6 0,000 175 2
2 Resistor, filme de carbono (ver Tabela C.5) 5 228 311 0,000 004 4 0,000 021 9
3 Capacitor, padrão, sem potência (ver Tabela C.4) 4 114 155 0,000 008 8 0,000 035 0
Relé (com pequena carga, ver C.2)
4 4 315,7 0,003 167 6 0,012 670 3
(B10D = 20 000 000 ciclos, nop = 633 600 ciclos por ano)
Contator (com carga nominal, ver C.2)
5 1 31,6 0,031 645 6 0,031 645 6
(B10D = 2 000 000 ciclos, nop = 633 600 ciclos por ano)
∑(nj/MTTFD j) 0,044 548 0
MTTFD = 1/∑(nj/MTTFDj) [anos] 22,4
3 O método de contagem das partes é uma aproximação cujo erro (desvio) sempre tende para um resultado
mais seguro. Se valores mais exatos forem requeridos, recomenda-se que o projetista leve em consideração
os modos de falha, porém isto pode ser muito complicado.

ABNT/CB-004
FEV 2019
NOTA 1 Este método é baseado na suposição de que uma falha perigosa de qualquer componente
(pior caso) dentro de um canal leva à falha perigosa do canal. O cálculo de MTTFD ilustrado na Tabela D.1
se baseia nisto.
NOTA 2 Neste exemplo, a principal influência vem do contator. Os valores escolhidos para MTTFD e B10D
para este exemplo são baseados no Anexo C. Para a aplicação de exemplo, são admitidos dop = 220 dias/
ano, hop = 8 h/dia e tciclo = 10 s/ciclo, resultando em nop = 633 600 ciclos/ano. De um modo geral, obter
os valores do fabricante para MTTFD e B10D leva a um resultado muito melhor, ou seja, um MTTFD mais
elevado para o canal.
D.2 MTTFD para diferentes canais, simetrização do MTTFD para cada canal
As arquiteturas designadas de 6.2 supõem que para diferentes canais em uma SRP/CS redundante,
os valores de MTTFD para cada canal são os mesmos. Convém que este valor por canal seja a
referência para a aplicação da Figura 5.
Se o MTTFD dos canais diferirem, existem duas possibilidades:
—— como uma hipótese de pior caso, convém que o valor mais baixo seja levado em consideração;
—— a Equação D.2 pode ser utilizada como uma estimativa de um valor que pode ser substituído
por MTTFD para cada canal:
  (D.2)
2 1 
MTTFD = MTTFD C1 + MTTFD C2 − 
3 1 1 
+
 MTTFD C1 MTTFD C2 
onde MTTFD C1 e MTTFD C2 são os valores para dois canais redundantes diferentes, cada um
limitado ao um valor máximo de 100 anos (categorias B, 1, 2, 3) ou 2 500 anos (categoria 4) antes
da aplicação da Equação D.2.
EXEMPLO Um canal tem um MTTFD C1 = 3 anos, o outro canal tem um MTTFD C2 = 100 anos, então
resulta em MTTFD = 66 anos para cada canal. Isto significa que um sistema redundante com 100 anos de
MTTFD em um canal e 3 anos de MTTFD no outro canal é igual a um sistema onde cada canal tem um
MTTFD de 66 anos.
Um sistema redundante com dois canais e valores diferentes de MTTFD para cada canal pode ser
substituído por um sistema redundante com MTTFD idêntico em cada canal utilizando-se a equação
anterior. Este procedimento é necessário para o uso correto da Figura 5.
NOTA Este método supõe canais paralelos independentes.

ABNT/CB-004
FEV 2019
Anexo E
(informativo)
Estimativas de cobertura de diagnóstico (DC) para funções e módulos

E.1 Exemplos de cobertura de diagnóstico (DC)

Ver Tabela E.1.
Tabela E.1 – Estimativas para cobertura de diagnóstico (DC) (continua)
Medida DC
Dispositivo de entrada
Estímulo de teste cíclico pela alteração dinâmica dos sinais de entrada 90 %
Verificação de plausibilidade, por exemplo, o uso de contatos conectados 99 %

mecanicamente normalmente abertos e normalmente fechados
Monitoramento cruzado das entradas sem teste dinâmico 0 % a 99 %, dependendo de quantas vezes
uma alteração no sinal é efetuada pela
aplicação
Monitoramento cruzado dos sinais de entrada com teste dinâmico se 90 %

curtos-circuitos não forem detectáveis (para I/O múltiplo)
Monitoramento cruzado dos sinais de entrada e os resultados intermediários 99 %

dentro da lógica (L), e monitoramento do software temporal e lógico do
fluxo do programa e detecção de defeitos estáticos e curtos-circuitos
(para I/O múltiplo)
Monitoramento indireto (por exemplo, monitoramento por pressostato, 90 % a 99 %, dependendo da aplicação

monitoramento da posição elétrica de atuadores)
Monitoramento direto (por exemplo, monitoramento da posição elétrica 99 %

de válvulas de controle, monitoramento de dispositivos eletromecânicos
por elementos de contato conectados mecanicamente)
Detecção de defeitos pelo processo 0 % a 99 %, dependendo da aplicação; esta

medida isolada não é suficiente para o nível
de desempenho requerido (PLr) e!
Monitoramento de algumas características do sensor (tempo de resposta, 60 %

faixa de sinais analógicos, por exemplo, resistência elétrica, capacitância)
Lógica


por elementos de contato conectados mecanicamente)
Monitoramento simples do período temporal da lógica (por exemplo, 60 %

dispositivo temporizador como watchdog, onde os pontos de disparo
estão dentro do programa da lógica)

ABNT/CB-004
FEV 2019
Tabela E.1 (continuação)
Medida DC
Lógica
Monitoramento temporal e lógico da lógica pelo dispositivo temporizador 90 %

watchdog, onde o equipamento de teste efetua checagens de plausibilidade

do comportamento da lógica
Autoteste de inicialização para detectar defeitos latentes em partes da lógica 90 % (dependendo da técnica de teste)
(por exemplo, memórias de programa e dados, portas de entrada/saída,
interfaces)
Verificação da capacidade de reação do dispositivo de monitoramento 90 %

(por exemplo, watchdog) pelo canal principal durante a inicialização ou
sempre que a função de segurança é demandada, ou sempre que um sinal
externo demande-a, por meio de uma interface
Princípio dinâmico (todos os componentes da lógica são requeridos para 99 %

alterar o estado LIGA-DESLIGA-LIGA quando a função de segurança é
demandada), por exemplo, circuito de intertravamento implementado por relés
Memória invariável: assinatura com uma palavra (resolução de 8 bits) 90 %
Memória invariável: assinatura com dupla palavra (resolução de 16 bits) 99 %
Memória variável: teste de memória RAM pelo uso de dados redundantes, 60 %

por exemplo, sinalizadores (flags), marcadores, constantes, temporizadores
e comparação cruzada desses dados
Memória variável: checar a legibilidade e a capacidade da escrita das 60 %

células utilizadas na memória de dados
Memória variável: monitoramento da memória RAM com código de Hamming 99 %

modificado ou autoteste da memória RAM (por exemplo, "galpat" ou "Abraham")
Unidade de processamento: autoteste por software 60 % a 90 %
Unidade de processamento: processamento codificado 90 % a 99 %
Detecção de defeitos pelo processo 0 % a 99 %, dependendo da aplicação;

esta medida isolada não é suficiente para o
nível de desempenho requerido (PLr) “e”
Dispositivo de saída
Monitoramento das saídas por um canal sem teste dinâmico 0 % a 99 %, dependendo de quantas vezes
aplicação
Monitoramento cruzado das saídas sem teste dinâmico 0 % a 99 %, dependendo de quantas vezes
aplicação
Monitoramento cruzado dos sinais de saída com teste dinâmico sem 90 %

detecção de curtos-circuitos (para I/O múltiplo)
Monitoramento cruzado dos sinais de saída e os resultados intermediários 99 %

dentro da lógica (L), e monitoramento do software temporal e lógico do
fluxo do programa e detecção de defeitos estáticos e curtos-circuitos
(para I/O múltiplo)
Trajetória de desligamento redundante com monitoramento dos 99 %

atuadores por lógica e por equipamento de teste

ABNT/CB-004
FEV 2019
Tabela E.1 (conclusão)
Medida DC
Dispositivo de saída

Detecção de defeitos pelo processo 0 % a 99 %, dependendo da aplicação;

esta medida isolada não é suficiente para o
nível de desempenho requerido (PLr) "e"

por elementos de contato ligados mecanicamente)
NOTA 1 Para estimativas adicionais de DC, ver, por exemplo, IEC 61508-2:2000, Tabelas A.2 a A.15.
NOTA 2 Se for requerido DC médio ou alto para a lógica, tem que ser aplicada ao menos uma medida para a memória variável, para
memória invariável e para unidade de processamento, com DC de pelo menos 60 % cada. Também pode haver medidas que utilizaram
valores diferentes dos indicados nesta tabela.
NOTA 3 Para medidas onde uma faixa de DC é dada (por exemplo, detecção de falha pelo processo) o correto valor de DC pode
ser determinado levando-se em consideração todas as falhas perigosas e então, decidindo quais delas são detectadas pela medida
de DC. Em caso de alguma dúvida, convém que um método como FMEA seja a base para estimativa de DC.
Para a aplicação da Tabela E.1 ver os exemplos indicativos a seguir.
EXEMPLO 1 O Anexo E da ABNT NBR ISO 13849-2 apresenta um exemplo de trabalho completo
(que é bem detalhado) para a validação de comportamento de falha e meios de diagnóstico em uma máquina
automática de montagem.
EXEMPLO 2 A ISO/TR 24119 descreve uma tabela pragmática de passo a passo, baseada em uma
metodologia para avaliação de cobertura de diagnóstico para uma série de dispositivos de intertravamento
conectados.
EXEMPLO 3 A medida DC “detecção de falha pelo processo” somente pode ser aplicada se os compo-
nentes relativos à segurança estiverem envolvidos no processo produtivo, por exemplo, um PLC convencional
ou sensores convencionais são usados para um processamento de material, e como partes de um dos dois
canais funcionais redundantes executando a função de segurança. O nível de DC apropriado depende da
sobreposição dos recursos compartilhados (lógica, entradas, saídas etc). Por exemplo, quando todas as
falhas de um encoder rotativo em uma máquina impressora levam a uma interrupção altamente visível do
processo de impressão, o DC para este sensor usado para monitorar uma velocidade limitada de segurança
pode ser estimado de 90 % até 99 %.
E.2 Estimativa de DC média (DCavg)

Em muitos sistemas, várias medidas para detecção de defeitos podem ser utilizadas. Estas medidas
podem verificar diferentes partes da SRP/CS e possuem diferentes DC. Para uma estimativa do
PL de acordo com a Figura 5, aplica-se somente um valor médio de DC para toda a SRP/CS que
desempenha a função de segurança.
A DC pode ser determinada como a razão entre a taxa de falha das falhas perigosas detectadas e a
taxa de falha das falhas perigosas totais. De acordo com esta definição, uma cobertura de diagnóstico
média DCavg é estimada pela seguinte Equação:

ABNT/CB-004
FEV 2019
DC1 DC2 DCN (E.1)

+ + ... +
MTTFD1 MTTFD2 MTTFDN
DCavg =
1 1 1
+ + ... +
MTTFD1 MTTFD2 MTTFDN
Aqui todos os componentes da SRP/CS sem exclusão de defeitos têm que ser considerados e
somados. Para cada bloco, o MTTFD e a DC são levados em consideração. A DC nesta equação
significa a razão da taxa de falhas das falhas perigosas detectadas da peça (independentemente das
medidas utilizadas para detectar as falhas) pela taxa de falhas de todas as falhas perigosas da peça.
Assim, a DC refere-se à parte testada e não ao dispositivo de teste. Componentes sem detecção de
falhas (por exemplo, que não são testados) têm DC = 0 e contribuem somente para o denominador
da DCavg.

ABNT/CB-004
FEV 2019
Anexo F
(informativo)
Estimativas de falha de causa comum (CCF)

F.1 Requisitos para CCF

Um procedimento abrangente de medidas contra CCF para sensores/atuadores e separadamente
para a lógica de controle é dado, por exemplo, na IEC 61508-6:2000, Anexo D. Nem todas as medidas
dadas aqui aplicam-se ao local das máquinas, porém, as medidas mais importantes são consideradas.
NOTA Nesta Parte da ABNT NBR ISO 13849, supõe-se que para sistemas redundantes, convém que um
fator β de acordo com a IEC 61508-6:2000, Anexo D seja ser menor ou igual a 2 %.
F.2 Estimativa do efeito da CCF

Convém que este processo quantitativo seja aplicado para todo o sistema. Convém que cada peça
das partes do sistema de comando relacionadas à segurança seja considerada.
A Tabela F.1 lista as medidas e contém os valores associados com base no julgamento de engenharia,
que representa a contribuição que cada medida faz na redução das falhas de causa comum.
Para cada medida listada, somente a pontuação integral ou nenhuma pontuação pode ser declarada.
Se somente uma medida for atendida parcialmente, a pontuação de acordo com esta medida é zero.
Tabela F.1 – Processo de pontuação e quantificação de medidas contra CCF (continua)
N° Medida contra CCF Pontuação
1 Separação/segregação
Separação física entre trajetórias do sinal, por exemplo:

●● separação na fiação/tubulação,
●● detecção de curtos circuitos e circuitos interrompidos em cabos por meio de teste dinâmico; 15
●● blindagem separada para caminhos de cados de sinal para cada canal;
●● folgas suficientes e distâncias em placas de circuito impresso.
2 Diversidade
Diferentes tecnologias/projeto ou princípios físicos são utilizados, por exemplo:

●● primeiro canal implementado com dispositivos eletrônico ou programáveis e segundo canal por
dispositivos eletromecânicos interligado por fios,
●● inicialização da função de segurança diferenciada para cada canal (por exemplo, posição, 20
pressão, temperatura) e/ou
●● medição de variáveis digitais e analógicas e/ou
●● Componentes de diferentes fabricantes.
3 Projeto/aplicação/experiência
3.1 Proteção contra sobretensão, sobrepressão, sobrecorrente, sobretemperatura etc. 15
3.2 Os componentes utilizados são devidamente comprovados. 5

ABNT/CB-004
FEV 2019
Tabela F.1 (conclusão)
N° Medida contra CCF Pontuação
4 Avaliação/análise
Para cada parte das partes de sistemas de comando relacionadas à segurança, uma analise de modo
e efeito de falhas foi realizada e seus resultados foram levados em consideração para evitar a falha 5
de causa comum no projeto.
5 Competência/treinamento
Os projetistas/responsáveis por manutenção foram treinados para entender as causas e consequências

5
das falhas de causa comum
6 Ambiental
Para sistemas elétricos e/ou eletronônicos, prevenção de contaminação e distúrbios

eletromagnéticos (EMC) para proteção contra CCF de acordo com normas adequadas.
Sistemas fluídricos: filtração do meio de pressão, prevenção de impurezas na admissão, drenagem
6.1 25
de ar comprimido, por exemplo, de acordo com os requisitos dos fabricantes dos componentes
relacionados à pureza do meio de pressão.
Convém que para sistemas fluídicos e elétricos combinados, ambos os aspectos sejam considerados.
Outras influências
6.2 Os requisitos de imunidade a todas as influências ambientais relevantes, como, temperatura, impacto, 10
vibração, umidade (por exemplo, conforme especificado nas Normas relevantes)
[100 máx.
Total
atingível]
Pontuação total Medidas para evitar a CCF a
65 ou melhor Atende aos requisitos
Menor que 65 Falha no processo ⇒ escolher medidas adicionais

a Quando medidas tecnológicas não forem relevantes, os seus respectivos pontos podem ser considerados no cálculo completo.

ABNT/CB-004
FEV 2019
Anexo G
(informativo)
Falha sistemática
G.1 Generalidades
A ABNT NBR ISO 13849-2 provê uma lista abrangente de medidas contra falha sistemática as quais
convém que sejam aplicadas, tais como princípios básicos de segurança e princípios de segurança
devidamente comprovados.
G.2 Medidas para o controle de falhas sistemáticas

Convém que as seguintes medidas sejam aplicadas.
—— Uso de desenergização (ver ABNT NBR ISO 13849-2)
Convém que as partes do sistema de comando relacionadas à segurança (SRP/CS) sejam

projetadas de modo que, com a perda da sua fonte de energia, um estado seguro da máquina
possa ser atingido ou mantido.
—— Medidas para controlar os efeitos de queda na tensão, variações na tensão, sobretensão, subtensão
Convém que o comportamento da SRP/CS em resposta às condições de queda na tensão, varia-

ções na tensão, sobretensão e subtensão seja predeterminado de modo que a SRP/CS possa
atingir ou manter um estado seguro da máquina (ver também IEC 60204-1 e IEC 61508-7: 2000, A.8).
—— Medidas para controlar ou evitar os efeitos do ambiente físico (por exemplo, temperatura, umidade,
água, vibração, poeira, substâncias corrosivas, interferência eletromagnética e seus efeitos)
Convém que o comportamento da SRP/CS em resposta ao efeito do ambiente físico seja prede-
terminado de modo que a SRP/CS possa atingir ou manter um estado seguro da máquina
(ver também, por exemplo, ABNT NBR IEC 60529, IEC 60204-1).
—— Monitoramento da sequência do programa deve ser utilizado com a SRP/CS que contém software
a fim de detectar sequências incorretas no programa
Uma sequência incorreta no programa existe se os elementos individuais de um programa

(por exemplo, módulos de software, subprogramas ou comandos) forem processados na
sequência ou período de tempo errados ou se o “clock” do processador estiver com defeito
(ver EN 61508-7:2001, A.9).
—— Medidas para controlar os efeitos de erros e outros efeitos decorrentes de qualquer processo
de comunicação de dados (ver IEC 61508-2:2000, 7.4.8)
Além disso, convém que uma ou mais das seguintes medidas sejam aplicadas, levando em conside-
ração a complexidade da SRP/CS e seu PL:
—— detecção de falhas por testes automáticos;

ABNT/CB-004
FEV 2019
—— testes por hardware redundante;
—— hardware diversificado;
—— operação no modo positivo;

—— contatos conectados mecanicamente;
—— ação de abertura direta;
—— modo de falha orientado;
—— sobredimensionamento por um fator adequado, onde o fabricante possa demonstrar que o redi-
mensionamento melhorará a confiabilidade – quando o sobredimensionamento for apropriado,
convém que um fator de sobredimensionamento de pelo menos 1,5 seja utilizado.
Ver também ABNT NBR ISO 13849-2:2018, D.3.
G.3 Medidas para evitar as falhas sistemáticas

Convém que as seguintes medidas sejam aplicadas.
—— Uso de materiais adequados e fabricação adequada
Seleção de material, métodos de fabricação e tratamento em relação a, por exemplo, tensão, dura-
bilidade, elasticidade, atrito, desgaste, corrosão, temperatura, condutividade, rigidez dielétrica.
—— Dimensionamento e configuração corretos
Consideração de, por exemplo, tensão, deformação, fadiga, temperatura, rugosidade superficial,
tolerâncias, fabricação.
—— Seleção, combinação, disposições, montagem e instalação adequadas de componentes, incluindo

o cabeamento, fiação e quaisquer interconexões
Aplicar normas apropriadas e notas de aplicação do fabricante, por exemplo, folhas de catálogo,
instruções de instalação, especificações e uso de boas práticas de engenharia.
—— Compatibilidade
Uso de componentes com características de operação compatíveis.
NOTA 1 Componentes como válvulas hidráulicas ou pneumáticas requerem comutações cíclicas para
evitar falhas por não comutação ou aumento do tempo de comutação inaceitável. Neste caso, testes
periódicos são necessários.
—— Suportando condições ambientais especificadas
Projetar a SRP/CS de modo que ela seja capaz de trabalhar em todos os ambientes esperados
e em quaisquer condições adversas previsíveis, por exemplo, temperatura, umidade, vibração e
interferência eletromagnética (EMI) (ver ABNT NBR ISO 13849-2:2018, D.2).

ABNT/CB-004
FEV 2019
—— Uso de componentes projetados segundo uma norma apropriada e que tenham modos de falha
bem definidos
Reduzir o risco de defeitos não detectados pelo uso de componentes com características
específicas (ver IEC 61508-7:2000, B.3.3).
Além disso, convém que uma ou mais das seguintes medidas sejam aplicadas, levando em conside-
ração a complexidade da SRP/CS e seu PL:
—— Revisão do projeto do hardware (por exemplo, inspeção ou verificação geral)
Revelar por meio de revisões e análises, discrepâncias entre a especificação e a implementação

(ver IEC 61508-7:2000, B.3.7 e B.3.8).
—— Ferramentas de projeto auxiliado por computador capazes de simulação ou análise
Realizar sistematicamente o procedimento de projeto e incluir elementos de construção automá-

tica adequados que já estão disponíveis e ensaiados (ver IEC 61508-7:2000, B.3.5).
—— Simulação
Realizar uma inspeção sistemática e completa de um projeto de SRP/CS em termos de desem-

penho funcional e o dimensionamento correto de seus componentes (ver IEC 61508-7:2000, B.3.6).
NOTA 2 A IEC 61508-2:2010, Anexo F especifica técnicas e medidas para prevenção de falhas siste-
máticas durante o projeto e desenvolvimento de circuitos integrados para aplicações específicas (ASIC),
arranjos de portas programáveis em campo (FPGA), dispositivos lógicos programáveis (PLD) etc.
G.4 Medidas para evitar as falhas sistemáticas durante a integração da SRP/CS

Convém que as seguintes medidas sejam aplicadas durante a integração da SRP/CS:
—— testes funcionais;
—— gerenciamento de projetos;
—— documentação.
Além disso, convém que o teste de caixa preta seja aplicado, levando em consideração a comple-
xidade da SRP/CS e seu PL.

ABNT/CB-004
FEV 2019
Anexo H
(informativo)
Exemplo de combinação de diversas partes do sistema

de controle relacionadas à segurança
A Figura H.1 é um diagrama esquemático das partes relacionadas à segurança que proveem uma das
funções que controlam um atuador da máquina. Este não é um diagrama funcional ou de trabalho e
é incluído somente para demonstrar o princípio da combinação das categorias e tecnologias em uma
única função.
O controle é provido por meio da lógica de controle eletrônico e uma válvula hidráulica direcional.
O risco é reduzido por um AOPD, que detecta o acesso à zona perigosa e impede a ativação
do atuador hidráulico quando o feixe de luz é interrompido.
As partes relacionadas à segurança que proveem a função de segurança são: AOPD, lógica de
controle eletrônico, válvula hidráulica direcional e os meios de interconexão.
Estas partes combinadas relacionadas à segurança proveem uma função de parada como uma
função de segurança. Na medida em que o AOPD é interrompido, as saídas transferem um sinal à
lógica de controle eletrônico, que provê um sinal à válvula hidráulica direcional para interromper o
fluxo hidráulico em função da saída da SRP/CS. Na máquina, isto interrompe o movimento perigoso
do atuador.
Esta combinação de partes relacionadas à segurança cria uma função de segurança que demonstra
a combinação de diferentes categorias e tecnologias com base nos requisitos providos na Seção 6.
Utilizando os princípios estabelecidos neste documento da ABNT NBR ISO 13849, as partes relacio-
nadas à segurança mostradas na Figura H.2 podem ser descritas conforme exibido a seguir.
—— Categoria 2, PL = c para o dispositivo de proteção eletrossensível (cortina de luz). Para reduzir a

probabilidade de defeitos este dispositivo utiliza princípios de segurança devidamente comprovados;
—— Categoria 3, PL = d para a lógica de controle eletrônico. Para aumentar o nível de desempenho

de segurança desta lógica de controle eletrônico, a estrutura desta SRP/CS é redundante e
implementa diversas medidas de detecção de defeitos de tal modo que seja capaz de detectar a
maioria das falhas isoladas (falhas únicas).
—— Categoria 1, PL = c para a válvula hidráulica direcional. A condição de ser “devidamente compro-

vado” é principalmente específica da aplicação. Neste exemplo, a válvula é considerada como
devidamente comprovada. A fim de reduzir a probabilidade de falhas, o dispositivo é composto
de componentes devidamente comprovados aplicados utilizando princípios de segurança devida-
mente comprovados e todas as condições da aplicação são consideradas (ver 6.2.4).
NOTA 1 A posição, tamanho e leiaute dos meios de interconexão também são em consideração.
Essa combinação leva a PLbaixo = c e Nbaixo = 2 a um nível de desempenho total PL = c (ver 6.3).
NOTA 2 No caso de um único defeito na categoria 1 ou partes na categoria 2 da Figura H.2, pode haver
uma perda da função de segurança.

ABNT/CB-004
FEV 2019
Fa
A B
PES
P T y
AOPD E F
Legenda
AOPD dispositivo de proteção optoeletrônico ativo (por exemplo, cortina de luz), SRP/CSa: Categoria 2
[Tipo 2], PL = c
E lógica de controle eletrônico, SRP/CSb: Categoria 3, PL = d
F sistema hidráulico, SRP/CSc: Categoria 1, PL = c
Fa atuador hidráulico
H movimento perigoso
Figura H.1 – Exemplo – Diagrama de blocos que explica a combinação de SRP/CS

ABNT/CB-004
FEV 2019
I L O I1 L1 O1
I L O
TE OTE I2 L2 O2
AOPD E F
Legenda
AOPD dispositivo de proteção optoeletrônico ativo (por exemplo, cortina de luz)

E lógica de controle eletrônico
F sistema hidráulico
I, l1, I2 dispositivos de entrada, por exemplo, sensor
L, L1, L2 lógica
O, O1, O2, OTE dispositivos de saída, por exemplo, contator principal
TE equipamento de teste
Figura H.2 – Substituição da Figura H.1 por arquiteturas designadas

ABNT/CB-004
FEV 2019
Anexo I
(informativo)
Exemplos
I.1 Generalidades
Este Anexo ilustra o uso dos métodos descritos nos Anexos anteriores para identificar as funções de
segurança e determinar o PL. A quantificação de dois circuitos de controle é dada. Para o procedimento
passo a passo, ver Figura 3.
Dois exemplos diferentes de circuitos de comando para máquinas distintas (A e B), são examinados,
ver Figura I.1 e Figura I.3. Ambos ilustram o desempenho da mesma função de segurança de
intertravamento da porta de proteção, porém possuem diferentes PLr devido a diferenças nas
aplicações. O primeiro exemplo consiste em um canal com componentes eletromecânicos com
valores de MTTFD médio e alto, enquanto o segundo exemplo é constituído por dois canais – um
eletromecânico e outro eletrônico programável – formados por componentes com valores de MTTFD
médio e alto, e com diagnóstico apropriado.
I.2 Função de segurança e nível de desempenho requerido (PLr)

Para ambos os exemplos, a função de segurança de intertravamento de uma proteção pode ser esco-
lhida conforme descrito a seguir.
O movimento perigoso é interrompido quando a porta de proteção for aberta (desacelerando ou

desenergizando o motor elétrico).
NOTA Para o exemplo B, a apreciação de riscos determina que a perda da desaceleração controlada
do motor como resultado de um mau funcionamento (SW2, CC ou PLC) é aceitável.
A distância mínima entre a proteção intertravada e as partes móveis da máquina foi determinada de
acordo com a ABNT NBR ISO 13855, baseado no desempenho de parada da máquina.
Para o exemplo A, os parâmetros de risco de acordo com o método do gráfico de risco (ver Figura A.1)
são os seguintes:
—— severidade da lesão, S = S2, grave;
—— frequência e/ou tempo de exposição ao perigo, F = F1, raramente a menos frequente e/ou o
tempo de exposição curto;
—— possibilidade de evitar o perigo, P = P1, possível sob condições específicas.
Essas seleções de parâmetros de risco levam a um nível de desempenho requerido PLr igual a c.
Determinação da categoria preferencial: um nível de desempenho “c” pode ser atingido tipicamente
por sistemas de um único canal muito confiável (categoria 1), sistemas de um único canal com
monitoramento (categoria 2) ou arquiteturas redundantes (categoria 3) (ver Figura 5 e Seção 6).

ABNT/CB-004
FEV 2019
Para o exemplo B, os parâmetros de risco S2 e P1 são os mesmos, porém, para frequência e/ou
tempo de exposição ao risco, F = F2, frequente a contínuo e/ou o tempo de exposição longo.
Essas seleções de parâmetros de risco levam a um nível de desempenho requerido PLr igual a d.
Determinação da categoria preferencial: um nível de desempenho “d” pode ser atingido tipicamente
por arquiteturas redundantes (categoria 2 ou 3) (ver Figura 5 e Seção 6).
I.3 Exemplo A, sistema de um único canal
I.3.1 Identificação das partes relacionadas à segurança
Todos os componentes que contribuem para a função de segurança de intertravamento da proteção

estão representados na Figura I.1. Outros componentes que não contribuem para a função de segu-
rança (como comandos de ativação e desativação) são omitidos para fins de simplificação.
O
+ L
C
SW1A
K1A
Legenda
o proteção intertravada aberta

c proteção intertravada fechada
M motor
K1A contator
SW1A chave de
L posição (NF)
+
ruptura positiva
SW1A
Figura I.1 – Circuito de comando A para realização da função de segurança
K1A
Neste exemplo, um interruptor de posição SW1A com contatos normalmente fechados com ruptura
positiva é usado em modo de atuação positiva porém nenhuma exclusão de falha pode ser admitida
para as partes mecânicas. O interruptor de posição está conectado a um contator K1A capaz de
desligar o motor. As características chave destas partes relacionadas à segurança são:
—— um canal Mde componentes eletromecânicos;
—— a chave de posição SW1A (NF) tem ação mecânica positiva do contato e B10D elevado;
—— o contator K1A tem B10D elevado.

ABNT/CB-004
FEV 2019
O interruptor de posição e o contator escolhido neste exemplo são componentes devidamente

comprovados quando implementados de acordo com a ABNT NBR ISO 13849-2.
As partes relacionadas à segurança podem ser ilustradas em um diagrama de blocos relacionado

à segurança, conforme mostrado na Figura I.2.
SW1A K1A
Legenda
K1A contator
SW1A interruptor de posição
Figura I.2 – Diagrama de blocos relacionado à segurança

que identifica partes relacionadas à segurança do Exemplo A
I.3.2 Quantificação do MTTFD, DCavg, medidas de prevenção contra CCF, categoria, PL
Os valores de MTTFD, DCavg e medidas de prevenção contra CCF são estimados de acordo com os
Anexos C, D, E e F ou devem ser providos pelo fabricante. As categorias são estimadas de acordo
com 6.2.
—— MTTFD
O interruptor de posição SW1A e o contator K1A contribuem ao MTTFD de um dos canais. Admite-se
que os valores B10D, SW1A = 20.000.000 ciclos (independentemente da carga) e o B10D, K1A
= 400 000 ciclos (contator em carga máxima) são informados pelo fabricante. Aplicando-se o
método de C.4.2, com 220 dias de trabalho por ano, 8 h de trabalho por dia e um tempo de
ciclo de 60 min, isto leva a um MTTFD, SW1A = 113.636 anos e um MTTFD, K1A = 2.273 anos.
Então, adotando-se o método de contagem de partes de D.1, o MTTFD, do canal é calculado
conforme a seguir:
1 1 1 1 1 0,000 45
= + = + = (I.1)
MTTFD MTTFD,SW1A MTTFD, K1A 113.636 anos 2.273 anos anos
o que leva ao MTTFD = 2 222 anos (limitado a 100 anos) para o canal, ou “alto”, acordo com 4.5.2,
Tabela 5.
NOTA Se nenhuma informação de B10D para SW1A ou K1A estiver disponível, uma hipótese de pior
caso de acordo com C.2 ou C.4 pode ser adotada.
—— T10D
O método dado em C.4.2 resulta em T10D, SW1A igual a 11 364 anos e T10D, K1A igual a 227 anos,
sendo que ambos excedem o tempo de missão de 20 anos e portanto eliminam a necessidade
de alguma intervenção preventiva.
—— DC
Devido a nenhum teste ser efetuado no circuito de controle, DC = 0 ou “nulo” de acordo com 4.5.3,
Tabela 6.
—— CCF
Pelo fato de somente um canal ser utilizado, medidas de prevenção contra CCF não são relevantes.

ABNT/CB-004
FEV 2019
—— Categoria
As características da categoria 1 (princípios básicos de segurança e componentes testados)

são atendidos, incluindo as especificações para MTTFD do canal atingir o nível “alto”.
Dados de entrada para a Figura 5: MTTFD para cada canal é “alto” (100 anos), DCavg é “nulo” e a
categoria é 1.
Conforme a Figura 5, isto pode ser interpretado como nível de desempenho c.
A aplicação do Anexo K fornece uma probabilidade média de falhas perigosas por hora (PFHD)
de 1,14 × 10-6/h e PLc.
Este resultado coincide com o nível de desempenho requerido c de acordo com I.2. Consequente-
mente, o circuito de comando atende aos requisitos para redução de risco da aplicação do exemplo A
de I.2, cujos parâmetros de avaliação são S2, F1, P1 e PLr c.
I.4 Exemplo B, sistema redundante
I.4.1 Identificação de partes relacionadas à segurança
Todos os componentes que contribuem para a função de segurança de intertravamento de proteção

estão representados na Figura I.3. Outros componentes que não contribuem para a função de
segurança (como comandos de ativação e desativação ou relés temporizadores de K1B) são omitidos
para fins de simplificação.
O
+ PLC + L
C
SW1B
SW2 K1B
PLC
Cs
K1B Es CC
RS n M
Legenda
PLC controlador lógico programável Cs comando de parada (convencional)
CC conversor de corrente ES habilitação (convencional)
M motor K1B contator
RS sensor de rotação SW1B interrupção de posição (NF)
o proteção intertravadaOaberta SW2 interrupção
L
de posição (NA)
+
c proteção intertravadaCfechada ruptura positiva
SW1A
Figura I.3 – Circuito de controle B para

K1A realização da função de segurança

ABNT/CB-004
FEV 2019
Neste segundo exemplo, uma arquitetura redundante com dois canais é utilizada. Assim como no
exemplo A, o primeiro canal utiliza um interruptor de posição SW1B com contatos normalmente
fechados com ruptura positiva é usado em modo de atuação positiva. Este interruptor de posição está
conectado a um contator K1B capaz de desligar o motor. No segundo canal, que inclui componentes
eletrônicos (programáveis), um segundo interruptor de posição SW2 está conectado a um controlador
lógico programável PLC que pode controlar o conversor de corrente CC para interromper a energia
o motor. As características chave destas partes relacionadas à segurança são:
—— canais redundantes, um eletromecânico e outro eletrônico programável;
—— somente o interruptor de posição SW1B tem ação mecânica positiva do contato (NF), porém
ambos os interruptores de posição SW1B e SW2 possuem B10D elevado;
—— o contator K1B possui MTTFD elevado;
—— os componentes eletrônicos PLC e CC possuem MTTFD médio.
—— O software aplicativo relacionado à segurança referente ao PLC (SRASW), por exemplo, as partes
do software relacionadas ao monitoramento dos sinais de entrada SW2, K1B, RS e comandos
de saída para o conversor de corrente, é específico, projetado e verificado de acordo com 4.6.3
para PLr d.
As partes relacionadas à segurança e suas divisões em canais podem ser ilustradas no diagrama
de blocos relacionado à segurança, conforme mostrado na Figura I.4. O primeiro canal consiste em
SW1B e K1B e o segundo canal consiste em SW2, PLC, e CC, enquanto RS é apenas utilizado para
testar o conversor de corrente.
SW1B K1B
SW2 PLC CC
RS
Legenda
SW1B dispositivo de intertravamento

K1B contator
SW2 chave de posição
PLC controlador lógico programável
CC conversor de corrente
RS sensor de rotação
Figura I.4 – Diagramas de blocos que identificam partes relacionadas à segurança do exemplo B

ABNT/CB-004
FEV 2019
I.4.2 Quantificação do MTTFD para cada canal, DCavg, medidas contra CCF,
categoria e PL
Os valores de MTTFD para cada canal, DCavg e medidas contra falhas de causa comum são ava-
liados de acordo com os Anexos C, D, E e F ou são fornecidos pelo fabricante. As categorias
são estimadas de acordo com 6.2.
O interruptor de posição SW1B possui contatos normalmente fechados com ruptura positiva e é usado
em modo de atuação positiva, porém, a exclusão de falhas mecânicas não é justificada.
—— MTTFD
O interruptor de posição SW1B e o contator K1B contribuem para o MTTFD, C1 do primeiro canal.
Os valores de B10D,SW1B = 20 000 000 ciclos (interruptor de posição independente da carga)
e B10D,K1B = 400 000 ciclos (contator em carga máxima) são valores admitidos como sendo
fornecidos pelo fabricante. Aplicando-se o método descrito em C.4.2, considerando 300 dias de
trabalho por ano, 16 h de trabalho por dia e um ciclo de operação de 4 min, isto resulta em um
MTTFD,SW1B = 2 778 anos e um MTTFD,K1B = 56 anos. Desta forma, utilizando o método de
contagem de partes descrito em D.1, o MTTFD,C1 do primeiro canal é calculado da seguinte forma:
1 1 1 1 1 0, 018 2 (I.2)
= + = + =
MTTFD,C1 MTTFD,SW1B MTTFD, K1B 2 778 anos 56 anos anos
o que leva ao MTTFD = 55 anos para o primeiro canal, que é “alto” conforme a Tabela 5 dada
em 4.5.2.
No segundo canal, SW2, PLC e CC contribuem para o MTTFD,C2. O B10D,SW2 de 1 000 000
de ciclos é um valor admitido como sendo fornecido pelo fabricante. Aplicando-se o método
descrito em C.4.2, como feito para o primeiro canal, isto resulta em um MTTFD,SW2 de 139 anos.
Para PLC e CC, um MTTFD de 20 anos é admitido como sendo fornecido pelo fabricante.
Desta forma, utilizando o método de contagem de partes descrito em D.1, o MTTFD,C2 do segundo
canal é calculado da seguinte forma:
1 1 1 1 1 1 0, 010 7 (I.3)
= + + = + =
MTTFD,C2 MTTFD,SW2 MTTFD, PLC MTTFD,CC 139 anos 20 anos anos
o que leva ao MTTFD = 9,3 anos para o segundo canal, que é “baixa” de acordo com 4.5.2.
NOTA Se nenhuma informação de MTTFD para SW1B, SW2 ou K1B estiver disponível, no pior caso,
um valor de acordo com C.2 ou C.4 pode ser adotado.
Devido a ambos os canais terem diferentes MTTFD, a Equação de D.2 pode ser utilizada
para calcular um valor de substituição para um único canal MTTFD de um sistema simétrico
de dois canais. Aaplicação desta equação resulta em um MTTFD = 37 anos para cada canal,
que corresponde ao nível “alta”, de acordo com 4.5.2, Tabela 5.
—— T10D
O método descrito em C.4.2 resulta em T10D,SW1B de 278 anos, T10D,K1B de 5,5 anos e T10D,SW2
de 13,9 anos, sendo que os dois últimos são menores que o tempo de missão de 20 anos.
A estimativa de PL e PFH é então válida somente se K1B for substituído antes de 5,5 anos
e se SW2 for substituído antes de 13,9 anos de operação respectivamente.

ABNT/CB-004
FEV 2019
—— DC
No circuito de controle B, cinco das partes relacionadas à segurança são testadas pelo PLC.
Este teste consiste em monitorar o sinal de feedback proveniente de SW1B, SW2 e K1B pelo
PLC, o CC é monitorado pelo PLC por meio de RS e o PLC se auto monitora. Os valores de DC
relacionados à cada parte testada são
1) DCSW1B = DCSW2 = 99 %, “alta”, devido ao monitoramento dos sinais de entrada com
verificação de plausibilidade, ver Tabela E.1 (segunda linha da seção dispositivo de entrada),
2) DCK1B = 99 %, “alta”, devido aos contatos normalmente abertos e normalmente fechados
mecanicamente ligados ou guiados, ver Tabela E.1,
3) DCPLC = 30 %, “nulo”, devido à baixa efetividade dos auto testes (presume-se que o fabri-
cante tenha calculado esse valor por FMEA), e
4) DCCC = 90 %, “média”, devido ao monitoramento indireto do atuador pelo controlador lógico,
ver Tabela E.1 (sexta linha da seção dispositivo de saída) – se o PLC monitora uma falha
de CC, ele é capaz de parar o movimento por meio da entrada de habilitação e por meio da
desenergização de K1B (trajetória de desligamento adicional).
Para obter a estimativa do PL, um valor de DC média (DCavg) é necessário como entrada para
a Figura 5.
DCSW1B DCK1B DCSW2 DCPLC DCCC (I.4)
+ + + +
MTTFD,SW1B MTTFD,K1B MTTFD,SW2 MTTFD,PLC MTTFD,CC
DCavg = =
1 1 1 1 1
+ + + +
MTTFD,SW1B MTTFD,K1B MTTFD,SW2 MTTFD,PLC MTTFD,CC
0,99 0,99 0,99 0,3 0,9

+ + + +
0, 09
= 2 778 anos 56 anos 139 anos 20 anos 20 anos = = 67, 9 %
1 1 1 1 1 0,13
+ + + +
2 778 anos 56 anos 139 anos 20 anos 20 anos
Consequentemente, isto resulta em DCavg “baixa” de acordo com 4.5.3 e Tabela 6.
—— CCF
Admite-se que uma estimativa das medidas contra CCF de acordo com F.2 tenha sido realizada
para o circuito de controle B. Pontuações são declaradas conforme a Tabela I.1.

ABNT/CB-004
FEV 2019
Tabela I.1 – Estimativa das medidas contra CCF para o exemplo B

Pontuação para o Pontuação
N° Item
circuito de controle máxima possível
1 Separação/segregação
Separação física entre trajetórias do sinal 15 15

2 Diversidade
Diferentes tecnologias/projeto ou princípios físicos são utilizados 20 20
3 Projeto/aplicação/experiência
3.1 Proteção contra sobretensão, sobrepressão, sobrecorrente,

15 15
sobretemperatura, etc.
3.2 Nula
Os componentes utilizados são devidamente comprovados. (somente parcialmente 5
atendido, ver F.2)
4 Avaliação/análise
Para cada parte das partes de sistemas de comando relacionadas

à segurança, uma analise de modo e efeito de falhas foi realizada e
Nula 5
seus resultados foram levados em consideração para evitar a falha
de causa comum no projeto.
5 Competência/treinamento
Prover treinamento aos projetistas a fim de entenderem as causas e

Nula 5
consequências das falhas de causa comum.
6 Ambiental
6.1 Para sistemas elétricos/eletrônicos, evitar a contaminação e

distúrbios eletromagnéticos (EMC) contra falhas de causa comum 25 25
de acordo com normas adequadas (por exemplo: IEC 61326-3-1)
6.2 Outras influências

Considerando os requisitos de imunidade a todas as influências 10 10
ambientais relevantes, tais como, temperatura, impacto, vibração,
umidade (por exemplo, conforme especificado nas normas relevantes).
Total 85 100 máx.
As medidas suficientes contra CCF requerem uma pontuação mínima de 65. No exemplo B,
uma pontuação de 85 é suficiente para atender aos requisitos contra CCF.
As características da categoria 3 são atendidas porque um único defeito em qualquer umas das
partes não leva à perda da função de segurança. Sempre que for razoavelmente praticável, o único
defeito é detectado na próxima demanda, ou antes desta, sob a função de segurança. A cobertura de
diagnóstico (DCavg) está na faixa de 60 % a 90 %, as medidas contra CCF são suficientes e MTTFD
equivalentes para cada canal é “alto”.
Dados de entrada para a Figura 5: MTTFD para o canal é “alto” (37 anos), DCavg é “baixa” e a
categoria é 3.
Usando a Figura 5 isto pode ser interpretado como nível de desempenho d.
Aplicações do Anexo K (36 anos de uso) proveem uma probabilidade média de uma falha perigosa
por hora (PFHD) de 5,16 × 10−7/h e PL d.

ABNT/CB-004
FEV 2019
Este resultado coincide com o nível de desempenho requerido PLd de acordo com I.2. Consequen-
temente, o circuito de comando B atende aos requisitos para redução de risco da aplicação de
exemplo B de I.2 cujos parâmetros da apreciação de risco são: S2, F2, P1 e PLrd.

ABNT/CB-004
FEV 2019
Anexo J
(informativo)
Software
J.1 Descrição do exemplo

Neste Anexo, atividades exemplares para a realização do SRESW de uma SRP/CS para PLr = d
são apresentadas. A SRP/CS é interfaceada com o equipamento da máquina. Ela assegura
—— a aquisição de informações enviadas pelos vários sensores,
—— o processamento requerido para operar os elementos de controle levando em consideração os

requisitos de segurança, e
—— o controle dos atuadores.
O projeto do SRESW desta aplicação no nível do bloco de funções é mostrado na Figura J.1.
Aquisição Processamento
sensor 1 função 1 Controle
atuador 1
Aquisição
sensor 2
Interface Aquisição Controle Interface dos

dos sensores sensor 3 atuador 2 atuadores
Processamento
função 2
Aquisição
sensor 4
Controle
Aquisição atuador 3
sensor 5
Figura J.1 – Diagrama de blocos do exemplo de software
J.2 Aplicação do modelo-V do ciclo de vida de segurança do software

A Tabela J.1 apresenta uma síntese exemplar das atividades e documentos sobre a aplicação
do modelo V do ciclo de vida de segurança do software para um controle de máquina.

ABNT/CB-004
FEV 2019
Tabela J.1 – Atividades e documentos dentro do ciclo de vida de segurança do software
Atividade de desenvolvimento Atividade de verificação Documentação associada
Aspecto da máquina: Identificação das funções "Especificação relacionada à segurança

Identificação das funções que relacionadas à segurança para controle da máquina"
envolvem a SRP/CS
Aspecto da arquitetura: Comentários sobre características "Definição da arquitetura de controle"

Definição da arquitetura de controle de segurança de componentes
com sensores e atuadores escolhidos
Aspecto da especificação do software: Releitura das descrições (ver J.3) “Descrições do software"
Transcrição das funções da
máquina em funções de software
Aspecto da arquitetura do software: Definição de blocos críticos que "Modelagem do bloco de funções"
Detalhar as funções em blocos são objeto de maior revisão e
funcionais esforço de validação
Aspecto da codificação: Releitura do código. Verificação das "Comentários de codificação no código"

Codificação de acordo com as funções e conformidade com as "Folhas de codificação de releitura"
regras de programação (ver J.4) regras.
Aspecto da validação: Verificação da abrangência do teste "Matriz de correspondência" que provê

Construindo os cenários de teste: Verificação dos resultados do teste referências cruzadas de especificação,
parágrafos e testes
aspecto de operação das funções
"Folhas de teste" abrangendo o cenário de
aspecto de comportamento em
teste e os comentários sobre os resultados
caso de falha
atingidos
J.3 Verificação da especificação do software

Como parte do ciclo de vida de segurança do software, a atividade de verificação no nível da
especificação do software consiste em ler as descrições de modo a verificar que todos os pontos
sensíveis são descritos adequadamente. Convém que os seguintes pontos sejam considerados
ao verificar cada função:
—— limitar os casos de interpretação errônea da especificação do sistema;
—— evitar disparidade na especificação, que resulta em um comportamento a priori desconhecido

da SRP/CS;
—— definir condições com precisão para ativação e desativação de funções;
—— assegurar com precisão que todos os casos possíveis sejam considerados;
—— testes de consistência;
—— os diferentes casos de parametrização;
—— a reação após uma falha.

ABNT/CB-004
FEV 2019
J.4 Exemplo de regras de programação

Para o CCF, em geral, convém que seja possível autenticar o programa por autor, data de transferência
do programa, versão e último tipo de acesso. Referente às regras de programação, as seguintes
regras podem ser diferenciadas.
a) Regras de programação em nível da estrutura do programa
Convém que a programação seja estruturada de forma a exibir um esqueleto geral consistente e
compreensível que permita a diferentes processamentos serem facilmente localizados. Isto implica
1) no uso de modelos para o programa ou blocos de funções típicos,
2) no particionamento do programa em segmentos a fim de identificar as partes principais

correspondentes às “entradas”, “processamentos” e “saídas”,
3) nos comentários sobre cada seção do programa na fonte do programa para facilitar a atuali-
zação do comentário no caso de modificação,
4) na descrição da função que um bloco de funções tem ao chamar este bloco,
5) no uso conveniente do local de memória somente por um único grupo de tipo de dados a ser
marcado por rótulos exclusivos, e
6) na conveniente sequência de trabalho que não dependa das variáveis como um endereço de
salto calculado no tempo de execução do programa, saltos condicionais sendo autorizados.
b) Regras de programação sobre o uso de variáveis
—— Convém que a ativação ou desativação de qualquer saída ocorra somente uma vez
(condições centralizadas).
—— Convém que o programa seja estruturado de tal forma que as equações para atualização
de uma variável sejam centralizadas.
—— Convém que cada variável global, de entrada ou saída, tenha um nome mnemônico explícito
o suficiente e seja descrita por um comentário dentro da fonte.
c) Regras de programação em nível de um bloco de funções
—— De preferência utilizar blocos de função que foram validados pelo fornecedor da SRP/CS,
checando se as condições de operação assumidas para esses blocos validados correspondem
às condições do programa.
—— Convém que o tamanho do bloco codificado seja limitado aos seguintes valores de referência:
i) parâmetros – máximo de oito entradas digitais e duas inteiras, uma saída;
ii) código de função – máximo de dez variáveis locais, máximo de 20 equações Booleanas.
—— Convém que os blocos de função não modifiquem as variáveis globais.
—— Convém que um valor digital seja controlado em relação aos critérios preestabelecidos para
assegurar o domínio da validade.

ABNT/CB-004
FEV 2019
—— Convém que um bloco de função tente detectar inconsistências de variáveis a serem

processadas.
—— Convém que o código de defeitos de um bloco seja acessível para discriminar um defeito
entre outros.
—— Convém que os códigos de defeitos e o estado do bloco após a detecção do defeito sejam
descritos por comentários.
—— Convém que a reinicialização do bloco ou a restauração de um estado normal seja descrita

por comentários.

ABNT/CB-004
FEV 2019
Anexo K
(Informativo)
Representação numérica da Figura 5

Ver Tabela K.1
Tabela K.1 – Representação numérica da Figura 5 (continua)

MTTFD para Probabilidade média de uma falha perigosa por hora, PFHD (1/h) e nível de desempenho (PL) correspondente
cada canal
Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL
anos
DCavg = DCavg = DCavg = baixa DCavg = média DCavg = baixa DCavg = média DCavg = alta
nenhuma nenhuma
3 3,80 × 10−5 a 2,58 × 10−5 a 1,99 × 10−5 a 1,26 × 10−5 a 6,09 × 10−6 b
3,3 3,46 × 10−5 a 2,33 × 10−5 a 1,79 × 10−5 a 1,13 × 10−5 a 5,41 × 10−6 b
3,6 3,17 × 10−5 a 2,13 × 10−5 a 1,62 × 10−5 a 1,03 × 10−5 a 4,86 × 10−6 b
3,9 2,93 × 10−5 a 1,95 × 10−5 a 1,48 × 10−5 a 9,37 × 10−6 b 4,40 × 10−6 b
4,3 2,65 × 10−5 a 1,76 × 10−5 a 1,33 × 10−5 a 8,39 × 10−6 b 3,89 × 10−6 b
4,7 2,43 × 10−5 a 1,60 × 10−5 a 1,20 × 10−5 a 7,58 × 10−6 b 3,48 × 10−6 b
5,1 2,24 × 10−5 a 1,47 × 10−5 a 1,10 × 10−5 a 6,91 × 10−6 b 3,15 × 10−6 b
5,6 2,04 × 10−5 a 1,33 × 10−5 a 9,87 × 10−6 b 6,21 × 10−6 b 2,80 × 10−6 c
6,2 1,84 × 10−5 a 1,19 × 10−5 a 8,80 × 10−6 b 5,53 × 10−6 b 2,47 × 10−6 c
6,8 1,68 × 10−5 a 1,08 × 10−5 a 7,93 × 10−6 b 4,98 × 10−6 b 2,20 × 10−6 c
7,5 1,52 × 10−5 a 9,75 × 10−6 b 7,10 × 10−6 b 4,45 × 10−6 b 1,95 × 10−6 c
8,2 1,39 × 10−5 a 8,87 × 10−6 b 6,43 × 10−6 b 4,02 × 10−6 b 1,74 × 10−6 c
9,1 1,25 × 10−5 a 7,94 × 10−6 b 5,71 × 10−6 b 3,57 × 10−6 b 1,53 × 10−6 c
10 1,14 × 10−5 a 7,18 × 10−6 b 5,14 × 10−6 b 3,21 × 10−6 b 1,36 × 10−6 c
11 1,04 × 10−5 a 6,44 × 10−6 b 4,53 × 10−6 b 2,81 × 10−6 c 1,18 × 10−6 c
12 9,51 × 10−6 b 5,84 × 10−6 b 4,04 × 10−6 b 2,49 × 10−6 c 1,04 × 10−6 c
13 8,78 × 10−6 b 5,33 × 10−6 b 3,64 × 10−6 b 2,23 × 10−6 c 9,21 × 10−7 d
15 7,61 × 10−6 b 4,53 × 10−6 b 3,01 × 10−6 b 1,82 × 10−6 c 7,44 × 10−7 d
16 7,13 × 10−6 b 4,21 × 10−6 b 2,77 × 10−6 c 1,67 × 10−6 c 6,76 × 10−7 d
18 6,34 × 10−6 b 3,68 × 10−6 b 2,37 × 10−6 c 1,41 × 10−6 c 5,67 × 10−7 d
20 5,71 × 10−6 b 3,26 × 10−6 b 2,06 × 10−6 c 1,22 × 10−6 c 4,85 × 10−7 d
22 5,19 × 10−6 b 2,93 × 10−6 c 1,82 × 10−6 c 1,07 × 10−6 c 4,21 × 10−7 d
24 4,76 × 10−6 b 2,65 × 10−6 c 1,62 × 10−6 c 9,47 × 10−7 d 3,70 × 10−7 d
27 4,23 × 10−6 b 2,32 × 10−6 c 1,39 × 10−6 c 8,04 × 10−7 d 3,10 × 10−7 d
30 3,80 × 10−6 b 2,06 × 10−6 c 1,21 × 10−6 c 6,94 × 10−7 d 2,65 × 10−7 d 9,54 × 10−8 e
33 3,46 × 10−6 b 1,85 × 10−6 c 1,06 × 10−6 c 5,94 × 10−7 d 2,30 × 10−7 d 8,57 × 10−8 e
36 3,17 × 10−6 b 1,67 × 10−6 c 9,39 × 10−7 d 5,16 × 10−7 d 2,01 × 10−7 d 7,77 × 10−8 e
39 2,93 × 10−6 c 1,53 × 10−6 c 8,40 × 10−7 d 4,53 × 10−7 d 1,78 × 10−7 d 7,11 × 10−8 e
43 2,65 × 10−6 c 1,37 × 10−6 c 7,34 × 10−7 d 3,87 × 10−7 d 1,54 × 10−7 d 6,37 × 10−8 e
47 2,43 × 10−6 c 1,24 × 10−6 c 6,49 × 10−7 d 3,35 × 10−7 d 1,34 × 10−7 d 5,76 × 10−8 e
51 2,24 × 10−6 c 1,13 × 10−6 c 5,80 × 10−7 d 2,93 × 10−7 d 1,19 × 10−7 d 5,26 × 10−8 e
56 2,04 × 10−6 c 1,02 × 10−6 c 5,10 × 10−7 d 2,52 × 10−7 d 1,03 × 10−7 d 4,73 × 10−8 e
62 1,84 × 10−6 c 9,06 × 10−7 d 4,43 × 10−7 d 2,13 × 10−7 d 8,84 × 10−8 e 4,22 × 10−8 e
68 1,68 × 10−6 c 8,17 × 10−7 d 3,90 × 10−7 d 1,84 × 10−7 d 7,68 × 10−8 e 3,80 × 10−8 e
75 1,52 × 10−6 c 7,31 × 10−7 d 3,40 × 10−7 d 1,57 × 10−7 d 6,62 × 10−8 e 3,41 × 10−8 e
82 1,39 × 10−6 c 6,61 × 10−7 d 3,01 × 10−7 d 1,35 × 10−7 d 5,79 × 10−8 e 3,08 × 10−8 e
91 1,25 × 10−6 c 5,88 × 10−7 d 2,61 × 10−7 d 1,14 × 10−7 d 4,94 × 10−8 e 2,74 × 10−8 e
100 1,14 × 10−6 c 5,28 × 10−7 d 2,29 × 10−7 d 1,01 × 10−7 d 4,29 × 10−8 e 2,47 × 10−8 e
110 2,23 × 10−8 e
120 2,03 × 10−8 e
130 1,87 × 10−8 e
150 1,61 × 10−8 e
160 1,50 × 10−8 e
180 1,33 × 10−8 e

ABNT/CB-004
FEV 2019
Tabela K.1 (conclusão)

Probabilidade média de uma falha perigosa por hora, PFHD (1/h) e nível de desempenho (PL) correspondente
MTTFD para
cada canal Cat. B PL Cat. 1 PL Cat. 2 PL Cat. 2 PL Cat. 3 PL Cat. 3 PL Cat. 4 PL
anos DCavg = DCavg = DCavg = baixa DCavg = média DCavg = baixa DCavg = média DCavg = alta
nenhuma nenhuma
200 1,19 × 10−8 e
220 1,08 × 10−8 e

240 9,81 × 10−9 e
270 8,67 × 10−9 e
300 7,76 × 10−9 e
330 7,04 × 10−9 e
360 6,44 × 10−9 e
390 5,94 × 10−9 e
430 5,38 × 10−9 e
470 4,91 × 10−9 e
510 4,52 × 10−9 e
560 4,11 × 10−9 e
620 3,70 × 10−9 e
680 3,37 × 10−9 e
750 3,05 × 10−9 e
820 2,79 × 10−9 e
910 2,51 × 10−9 e
1 000 2,28 × 10−9 e
1 100 2,07 × 10−9 e
1 200 1,90 × 10−9 e
1 300 1,75 × 10−9 e
1 500 1,51 × 10−9 e
1 600 1,42 × 10−9 e
1 800 1,26 × 10−9 e
2 000 1,13 × 10−9 e
2 200 1,03 × 10−9 e
2 300 9,85 × 10−10 e
2 400 9,44 × 10−10 e
2 500 9,06 × 10−10 e
NOTA 1 Se para categoria 2 a taxa de demanda for menor ou igual a 1/25 da taxa de teste (ver 4.5.4), então os valores de PFHD apresentados na
Tabela K.1 para categoria 2 multiplicados por um fator de 1,1 podem ser adotados como pior caso estimado.
NOTA 2 O cálculo do valor de PFHD foi baseado nos seguintes DCavg:
— DCavg = baixa, calculada com 60 %;
— DCavg = média, calculada com 90 %;
— DCavg = alta, calculada com 99 %.

ABNT/CB-004
FEV 2019
Bibliografia
Publicações em sistemas eletrônicos programáveis

[1] IEC 61000-4-4, Electromagnetic compatibility (EMC) – Part 4: Testing and measurement
techniques – Section 4: Electrical fast transient/burst immunity test
[2] IEC 61496-1, Safety of machinery – Electro-sensitive protective equipment – Part 1: General
requirements and tests
[3] IEC 61496-2, Safety of machinery – Electro-sensitive protective equipment – Part 2: Particular
requirements for equipment using active opto-electronic protective devices
[4] IEC 61496-3, Safety of machinery – Electro-sensitive protective equipment – Part 3: Particular
requirements for active opto-electronic protective devices responsive to diffuse reflection
(AOPDDR)
[5] IEC 61508-1:1998, Functional safety of electrical/electronic/programmable electronic safety-related

systems – Part 1: General requirements

systems – Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems

systems – Part 5: Examples of methods for the determination of safety integrity levels

systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3

systems – Part 7: Overview of techniques and measures
[10] HSE Guidelines, Programmable electronic systems in safety-related applications, Parts 1

(ISBN 0 11 883906 6) and 2 (ISBN 0 11 883906 3)
[11] CECR-184, Personal safety in microprocessor control systems (Elektronikcentralen, Denmark)
Publicações adicionais
[12] ISO 13850, Safety of machinery – Emergency stop – Principles for design
[13] ISO 13851, Safety of machinery – Two-hand control devices – Functional aspects and design principles
[14] ISO 13856-1, Safety of machinery – Pressure-sensitive protective devices – Part 1: General
principles for design and testing of pressure-sensitive mats and pressure-sensitive floors
[15] ISO 13856-2, Safety of machinery – Pressure-sensitive protective devices – Part 2: General
principles for design and testing of pressure-sensitive edges and pressure-sensitive bars

ABNT/CB-004
FEV 2019
[16] ISO 11428, Ergonomics – Visual danger signals – General requirements, design and testing
[17] ISO 9001, Quality management systems – Requirements
[18] ISO 9355-1, Ergonomic requirements for the design of displays and control actuators –
Part 1: Human interactions with displays and control actuators
Part 2: Displays
Part 3: Control actuators
[21] ISO 11429, Ergonomics – System of auditory and visual danger and information signals
[22] ISO 7731, Ergonomics – Danger signals for public and work areas – Auditory danger signals
[23] ISO 4413, Hydraulic fluid power – General rules and safety requirements for systems and their
components
[24] ISO 4414, Pneumatic fluid power – General rules and safety requirements for systems and their
components
[25] ISO 13855:2010, Safety of machinery – Positioning of protective equipment with respect to the
approach speeds of parts of the human body
[26] ISO 14118, Safety of machinery – Prevention of unexpected start-up
[27] ISO 19973 (all parts), Pneumatic fluid power – Assessment of component reliability by testing
[28] IEC 60204-1:2005, Safety of machinery – Electrical equipment of machines – Part 1: General
requirements
[29] IEC 60447, Basic and safety principles for man-machine interface (MMI) – Actuating principles
[30] IEC 60529, Degrees of protection provided by enclosures (IP code)
[31] IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects
analysis (FMEA)
[32] IEC 60947 (all parts), Low-voltage switchgear and controlgear
[33] IEC 61000-6-2, Electromagnetic compatibility (EMC) – Part 6-2: Generic standards – Immunity
for industrial environments
[34] IEC 61800-3, Adjustable speed electrical power drive systems – Part 3: EMC requirements
and specific test methods
[35] IEC 61810 (all parts), Electromagnetic elementary relays
[36] IEC 61300 (all parts), Fibre optic interconnecting devices and passive components – Basic test
and measurement procedures

ABNT/CB-004
FEV 2019
[37] IEC 61310 (all parts), Safety of machinery – Indication, marking and actuation
[38] IEC 61131-3, Programmable controllers – Part 3: Programming languages
[39] EN 457, Safety of machinery – Auditory danger signals – General requirements, design and testing
[40] EN 614-1, Safety of machinery – Ergonomic design principles – Part 1: Terminology and general
principles
[41] EN 982, Safety of machinery – Safety requirements for fluid power systems and their
components – Hydraulic
[42] EN 983, Safety of machinery – Safety requirements for fluid power systems and their
components – Pneumatic
[43] EN 1005-3, Safety of machinery – Human physical performance – Part 3: Recommended force
limits for machinery operation
[44] EN 1088, Safety of machinery – Interlocking devices associated with guards – Principles for
design and selection
[45] EN 50205, Relays with forcibly guided (mechanically linked) contacts
[46] SN 29500 (all parts), Failure rates of components
[47] Goble W.M. Control systems – Evaluation and Rehability. 2nd Edition. Instrument Society of
America (ISA), North Carolina, 1998
[48] BGIA-Report 2/ 2008e, Functional safety of machine controls – Application of ISO 13849,
GermanSocial Accident Insurance (DGUV), June 2009, ISBN 978-3-88383-793-2, free download
in the Internet: www.dguv.de/ifa/13849e
Bases de dados
[49] SN 29500, Failure rates of components, Edition 1999-11, Siemens AG 1999, www.pruefinstitut.de
[50] IEC/TR 62380, Reliability data handbook – Universal model for reliability prediction of
electronics components, PCBs and equipment, identical to RDF 2000/Reliability Data Handbook,
UTE C 80-810, Union Technique de l’Electricité et de la Communication (www.ute-fr.com)
[51] Reliability Prediction of Electronic Equipment, MIL-HDBK-217E, Department of Defense,

Washington DC, 1982
[52] Reliability Prediction Procedure for Electronic Equipment, Telcordia SR-332, Issue 01, May 2001
(telecom-info.telcordia.com), Bellcore TR-332, Issue 06
[53] EPRD, Electronic Parts Reliability Data (RAC-STD-6100), Reliability Analysis Centre, 201 Mill
Street, Rome, NY 13440 (rac.alionscience.com)
[54] NPRD-95, Non-electronic Parts Reliability Data (RAC-STD-6200), Reliability Analysis Centre, 201
Mill Street, Rome, NY 13440 (rac.alionscience.com)

ABNT/CB-004
FEV 2019
[55] British Handbook for Reliability Data for Components used in Telecommunication Systems,
British Telecom (HRD5, last issue)
[56] Chinese Military Standard, GJB/z 299B


Projeto ABNT NBR ISO 13849-1 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Projeto ABNT NBR ISO 13849-1 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CB-004

PROJETO ABNT NBR ISO 13849-1

Segurança de máquinas — Partes de sistemas de comando relacionadas

13.08.2013 24.02.2016 29.03.2017

28.08.2013 25.02.2016 26.04.2017

25.09.2013 25.03.2016 24.05.2017

30.10.2013 30.03.2016 29.06.2017

27.11.2013 27.04.2016 26.07.2017

18.12.2013 25.05.2016 30.08.2017

29.01.2014 27.07.2016 27.09.2017

26.02.2014 29.07.2016 25.10.2017

26.03.2014 26.08.2016 29.11.2017

23.04.2014 30.08.2016 13.12.2017

28.05.2014 24.09.2016 17.01.2018

25.06.2014 30.09.2016 28.01.2018

30.07.2014 28.10.2016 28.02.2018

27.08.2014 28.10.2016 28.03.2018

24.09.2014 26.11.2016 24.04.2018

29.10.2014 14.12.2016 23.05.2018

26.11.2014 16.12.2016 20.06.2018

NÃO TEM VALOR NORMATIVO

c) não tem valor normativo.

3) Tomaram parte na sua elaboração, participando em no mínimo 30 % das reuniões realizadas

ACE SCHMERSAL José Amauri Martins

NÃO TEM VALOR NORMATIVO

SIEMENS Lais Rodrigues Misko

TÜV RHEINLAND Robynson Molinari

NÃO TEM VALOR NORMATIVO

Segurança de máquinas — Partes de sistemas de comando relacionadas

Safety of machinery — Safety-related parts of control systems

Part 1: General principles for design

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

Os Documentos Técnicos Internacionais são adotados conforme as regras da ABNT Diretiva 3.

—— Parte 1: Princípios gerais de projeto;

O Escopo em inglês desta Norma Brasileira é o seguinte:

NÃO TEM VALOR NORMATIVO

NOTE 2 For the definition of required performance level, see 3.1.24.

NÃO TEM VALOR NORMATIVO

A estrutura das normas de segurança no campo das máquinas é a seguinte.

gerais que podem ser aplicados às máquinas;

—— as normas do tipo B1 sobre aspectos de segurança específicos (por exemplo, distâncias

—— as normas do tipo B2 sobre dispositivos de segurança (por exemplo, controles acionados

c) Normas do tipo C (normas de segurança de máquinas) abordam requisitos de segurança

—— fabricantes de máquinas (pequenas, médias e grandes empresas);

—— organismos de segurança e saúde (orgâos reguladores, de prevenção de acidentes de fisca-

—— usuários de máquinas/empregadores (pequenas, médias e grandes empresas);

—— usuários de máquinas/operadores, empregados (órgãos reguladores, de prevenção de acidentes,

—— prestadores de serviços, por exemplo, de manutenção (pequenas, médias e grandes empresas);

—— consumidores (no caso, os que adquirem máquinas);

Os grupos mencionados anteriormente tiveram a possibilidade de participar do processo de construção

Adicionalmente, este documento é destinado a organismos de normalização que elaboram normas

NÃO TEM VALOR NORMATIVO

A probabilidade de falha perigosa da função de segurança depende de vários fatores, incluindo a

Os níveis de desempenho e as categorias podem ser aplicados às partes de sistemas de comando

—— elementos de controle de potência (por exemplo, relés, válvulas etc.),

NÃO TEM VALOR NORMATIVO

Informações sobre a recomendação de aplicação da IEC 62061 e esta Parte da

NÃO TEM VALOR NORMATIVO

Segurança de máquinas — Partes de sistemas de comando relacionadas

NOTA 2 Para a definição do nível de desempenho (PL) requerido, ver 3.1.24.

NÃO TEM VALOR NORMATIVO 1/97

IEC 60050‑191:1990, International electrotechnical vocabulary – Chapter 191: Dependability and

IEC 61508‑3:2010, Functional safety of electrical/electronic/programmable electronic safety-related