Escolar Documentos
Profissional Documentos
Cultura Documentos
APRESENTAÇÃO
1) Este Projeto foi elaborado pela Comissão de Estudo Segurança de Máquinas de Uso Geral
(CE-004:026.001) do Comitê Brasileiro de Máquinas e Equipamentos Mecânicos (ABNT/CB-004),
com número de Texto-Base 004:026.001-005/1, nas reuniões de:
17.12.2014 18.01.2017
20.01.2016 22.02.2017
© ABNT 2019
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
a) é previsto para cancelar e substituir a ABNT NBR 14153:1998, quando aprovado, sendo
que nesse ínterim a referida norma continua em vigor;
b) é previsto para ser idêntico à ISO 13849-1:2015, que foi elaborada pelo Technical
Committee Safety of machinery (ISO/TC 199), conforme ISO/IEC Guide 21-1:2005;
Projeto em Consulta Nacional
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
Participante Representante
Prefácio Nacional
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos.
Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras
datas para exigência dos requisitos desta Norma.
A ABNT NBR ISO 13849-1 foi elaborada no Comitê Brasileiro de Máquinas e Equipamentos Mecânicos
(ABNT/CB-004), pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001).
O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 13849-1:2015,
que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199), conforme
ISO/IEC Guide 21-1:2005.
Esta Norma, sob o título geral “Segurança de máquinas – Partes de sistemas de comando relacionadas
à segurança”, tem previsão de conter as seguintes partes:
—— Parte 2: Validação.
Scope
This document provides safety requirements and guidance on the principles for the design and
integration of safety-related parts of control systems (SRP/CS), including the design of software.
For these parts of SRP/CS, it specifies characteristics that include the performance level required
for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy
used (electrical, hydraulic, pneumatic, mechanical etc.), for all kinds of machinery.
It does not specify the safety functions or performance levels that are to be used in a particular case.
This document provides specific requirements for SRP/CS using programmable electronic system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS.
Nevertheless, the principles given, such as categories or performance levels, can be used.
Projeto em Consulta Nacional
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches,
PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such
products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851,
ISO 13856-1 and ISO 13856-2.
NOTE 3 The requirements provided in this part of ABNT NBR ISO 13849 for programmable electronic
systems are compatible with the methodology for the design and development of safety-related electrical,
electronic and programmable electronic control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PLr = e see IEC 61508-3:1998, Clause 7.
Introdução
a) Normas do tipo A (normas básicas) proveem conceitos básicos, princípios de projeto e aspectos
Projeto em Consulta Nacional
b) Normas do tipo B (normas de segurança genéricas) abordam um ou mais aspectos de segurança,
ou um ou mais tipos de dispositivos de segurança que podem ser utilizados em uma ampla
variedade de máquinas:
Esta Parte da ABNT NBR ISO 13849 é uma norma do tipo B1 conforme declarado na
ABNT NBR ISO 12100.
Este documento tem relevância, em particular, para os seguintes grupos da sociedade relacionados
à segurança de máquinas:
Outros grupos podem ser afetados pelo nível de segurança obtido em máquinas, mediante à aplicação
desta Norma pelos grupos acima citados anteriormente, entre eles:
Os requisitos deste documento podem ser suplementados ou modificados por uma norma tipo C.
Para máquinas cobertas pelo escopo de uma norma tipo C e que foram projetadas ou construídas
de acordo com os requisitos desta Norma, os requisitos da norma tipo C prevalecem.
Quando as disposições de uma norma do tipo C forem diferentes das que são declaradas nas normas
do tipo A ou tipo B, as disposições da norma do tipo C prevalecem sobre as disposições das outras
normas para máquinas que foram projetadas e construídas de acordo com as disposições da norma
do tipo C.
Esta Parte da ABNT NBR ISO 13849 destina–se a prover orientação aos envolvidos no projeto e
Projeto em Consulta Nacional
avaliação de sistemas de comando e aos Comitês Técnicos que preparam as normas do tipo B2 ou
tipo C que são consideradas em conformidade com os Requisitos Essenciais de Segurança do Anexo I
da Diretiva 2006/42/EC, a Diretiva de Máquinas. Este documento da ABNT NBR ISO 13849 não provê
orientação específica para conformidade com outras diretivas EC.
Como parte da estratégia total da redução de risco em uma máquina, um projetista muitas vezes optará
por atingir alguma medida de redução de risco por meio da aplicação de dispositivos de segurança
que empregam uma ou mais funções de segurança.
Partes dos sistemas de comando de máquinas que são atribuídas para prover funções de segurança
são chamadas de partes de sistemas de comando relacionadas à segurança (SRP/CS) e estas podem
consistir em hardware e software e podem ser separadas do sistema de comando da máquina ou
uma parte integrante deste. Além de prover funções de segurança, a SRP/CS pode também prover
funções operacionais (por exemplo, controles acionados pelas duas mãos como meio de inicialização
do processo).
A capacidade das partes de sistemas de comando relacionadas à segurança em realizar uma função
de segurança sob condições previsíveis é atribuída em cinco níveis, chamados de níveis de desem-
penho (PL). Esses níveis de desempenho são definidos em termos da probabilidade de falha perigosa
por hora (ver Tabela 2).
A fim de auxiliar o projetista e facilitar a avaliação do PL atingido, este documento emprega uma
metodologia com base na categorização de estruturas de acordo com critérios de projeto específicos
e comportamentos especificados sob condições de defeito. Estas categorias são atribuídas em cinco
níveis, denominados Categorias B, 1, 2, 3 e 4.
—— dispositivos de proteção (por exemplo, dispositivos de controle acionados pelas duas mãos,
dispositivos de intertravamento), dispositivos de proteção eletrossensíveis (por exemplo, barreiras
fotoelétricas), dispositivos sensíveis à pressão
—— unidades de controle (por exemplo, uma unidade lógica para funções de controle, processamento
de dados, monitoramento, etc.) e
bem como os sistemas de comando que exercem funções de segurança em todos os tipos de
máquinas – das simples (por exemplo, pequenas máquinas de cozinha, ou portas e portões automáticos)
até as instalações industriais (por exemplo, máquinas de embalagem, máquinas de impressão, prensas).
Esta Parte da ABNT NBR ISO 13849 destina-se a prover uma base clara sobre a qual, o projeto e
desempenho de qualquer aplicação da SRP/CS (e a máquina) podem ser avaliados, por exemplo, por
um terceiro, na própria fábrica ou por uma entidade de ensaios independente.
A IEC 62061 e esta Parte da ABNT NBR ISO 13849 especificam requisitos para o projeto e imple-
mentação de sistemas de comando relacionados à segurança de máquinas. O uso de qualquer uma
dessas Normas, em conformidade com os seus respectivos escopos permite presumir o atendimento
aos requisitos de segurança essenciais relevantes. A norma ISO/TR 23849 oferece um guia para
aplicação desta Parte da ABNT NBR ISO 13849 e da IEC 62061 no projeto de partes relacionadas
a sistemas de controle de segurança em máquinas.
Assim como a norma ISO/TR 23849, a norma ISO/TR 22100-2 foi adicionada à lista de referências
normativas dadas na Seção 2 – dada a sua importância na compreenção da relação entre as partes
das normas ABNT NBR ISO 13849 e ABNT NBR ISO 12100.
1 Escopo
Esta Parte da ABNT NBR ISO 13849 provê os requisitos de segurança e orientação sobre os princípios
de projeto e integração de partes de sistemas de comando relacionadas à segurança (SRP/CS),
incluindo o projeto de software. Para essas partes da SRP/CS, esta Norma especifica as características
que incluem o nível de desempenho (PL) requerido para realizar funções de segurança. Esta Parte da
ABNT NBR ISO 13849 aplica-se a SRP/CS para alta demanda e modo contínuo, independentemente
do tipo de tecnologia e energia utilizadas (elétrica, hidráulica, pneumática, mecânica, etc.), para todos
os tipos de máquinas.
Esta Parte da ABNT NBR ISO 13849 não especifica as funções de segurança ou níveis de desem-
penho que devem ser utilizados em um caso específico.
Esta Parte da ABNT NBR ISO 13849 provê requisitos específicos para SRP/CS utilizando sistema(s)
eletrônico(s) programável(eis).
Esta Parte da ABNT NBR ISO 13849 não provê requisitos específicos para o projeto de produtos que
são partes da SRP/CS. No entanto, os princípios dados, como categorias ou níveis de desempenho,
podem ser utilizados.
NOTA 1 Exemplos de produtos que são partes da SRP/CS: relés, válvulas solenoide, chaves de posição,
PLC, unidades de controle de motor, dispositivos de controle bimanuais, equipamento sensível à pressão.
Para o projeto destes produtos, é importante consultar as Normas específicas aplicáveis, por exemplo,
ISO 13851, ISO 13856-1 e ISO 13856-2.
NOTA 3 Os requisitos apresentados neste documento da ABNT NBR ISO 13849 para sistemas eletrônicos
programáveis são compatíveis com a metodologia do projeto e desenvolvimento de sistemas de comando
elétrico, eletrônico e programável relacionados à segurança para máquinas, dada pela IEC 62061.
NOTA 4 Para software embarcado relacionado à segurança para componentes com PLr = e,
ver IEC 61508-3:1998, Seção 7.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT NBR ISO 12100:2013, Segurança de máquinas – Princípios gerais de projeto – Apreciação e
redução de riscos
ABNT NBR ISO 13849-2, Segurança de máquinas – Partes de sistemas de comando relacionadas
à segurança – Parte 2: Validação
Nota 2 de entrada: Se sistemas de monitoramento forem utilizados para diagnóstico, estes também são
considerados como SRP/CS.
3.1.2
categoria
classificação das partes de um sistema de comando relacionadas à segurança em relação à sua
resistência a falha e seu comportamento subsequente na condição de falha, e que é atingida pela
disposição estrutural das partes, detecção da falha e/ou por sua confiabilidade
3.1.3
defeito
estado de um item caracterizado pela incapacidade de realizar uma função requerida, excluindo a
incapacidade durante a manutenção preventiva ou outras ações planejadas, ou devido à falta de
recursos externos
Nota 1 de entrada: Um defeito é muitas vezes o resultado de uma falha do próprio item, porém pode existir
sem falha prévia.
3.1.4
falha
término da capacidade de um item em realizar uma função requerida
Nota 3 de entrada: O conceito assim definido não é aplicado em elementos que consistam apenas em
software.
Nota 4 de entrada: Estão fora do escopo deste documento da ABNT NBR ISO 13849 as falhas que somente
afetam a disponibilidade do processo controlado.
3.1.5
falha perigosa
falha que tem o potencial de colocar a SRP/CS em um estado perigoso ou incapaz de executar a
função de segurança
3.1.6
falha de causa comum
CCF
falhas de itens diferentes, resultantes de um único evento, onde essas falhas não são consequências
umas das outras
Nota 1 de entrada: falhas de causa comum não devem ser confundidas com as falhas de modo comum
(ver ABNT NBR ISO 12100:2013, 3.36).
3.1.7
falha sistemática
falha relacionada de forma deterministica a uma determinada causa, a qual somente pode ser elimi-
nada por uma modificação do projeto ou do processo de fabricação, procedimentos operacionais,
documentação ou outros fatores relevantes
Nota 1 de entrada: Manutenção corretiva sem modificação normalmente não elimina a causa da falha.
Nota 2 de entrada: Uma falha sistemática pode ser induzida por simulação da causa da falha.
3.1.8
muting
suspensão automática temporária de uma função ou funções de segurança pela SRP/CS
3.1.9
rearme manual
Projeto em Consulta Nacional
função dentro da SRP/CS utilizada para restaurar manualmente uma ou mais funções de segurança
antes de reiniciar uma máquina
3.1.10
dano
lesão física ou prejuízo à saúde
3.1.11
perigo
fonte potencial de dano
Nota 1 de entrada: Um perigo pode ser qualificado a fim de definir sua origem (por exemplo, perigo mecânico,
perigo elétrico) ou a natureza do dano potencial (por exemplo, perigo de choque elétrico, perigo de corte,
perigo tóxico, perigo de incêndio).
—— está permanentemente presente durante o uso devido da máquina (por exemplo, movimentação
de elementos móveis perigosos, arco elétrico durante uma fase de soldagem, postura inadequada,
emissão de ruído, alta temperatura);
3.1.15
apreciação de risco
processo completo que compreende a análise de risco e a avaliação de risco
3.1.16
análise de risco
combinação da especificação dos limites da máquina, identificação do perigo e estimativa de risco
3.1.17
avaliação de risco
julgamento, com base na análise de risco, considerando se os objetivos de redução de risco foram
atingidos
3.1.18
uso devido de uma máquina
utilização da máquina de acordo com as informações contidas nas instruções de uso
3.1.19
mau uso razoavelmente previsível
utilização de uma máquina de uma maneira não prevista pelo projetista, porém que pode resultar
de comportamento humano facilmente previsível
3.1.20
função de segurança
função da máquina cuja falha pode resultar em um aumento imediato do(s) risco(s)
3.1.21
monitoramento
função de segurança que assegura que uma medida de proteção é iniciada, caso a capacidade de
um componente ou de um elemento em desempenhar sua função for diminuída, ou se as condições
do processo são alteradas de tal forma que aumente o risco
3.1.22
sistema eletrônico programável
PES
sistema para controle, proteção ou monitoramento dependente para sua operação em um ou mais
dispositivos eletrônicos programáveis, incluindo todos os elementos do sistema, como fontes de
energia, sensores e outros dispositivos de entrada, contatores e outros dispositivos de saída
3.1.23
nível de desempenho
PL
nível discreto utilizado para especificar a capacidade das partes dos sistemas de comando relacio-
nadas à segurança em desempenhar uma função de segurança sob condições previsíveis
Projeto em Consulta Nacional
3.1.24
nível de desempenho requerido
PLr
nível de desempenho (PL) aplicado a fim de atingir a redução de risco requerida para cada função
de segurança
3.1.25
tempo médio para falha perigosa
MTTFD
expectativa do tempo médio até a falha perigosa
3.1.26
cobertura de diagnóstico
DC
medida da efetividade do diagnóstico, que pode ser determinada como a razão entre a taxa de falha
das falhas perigosas detectadas e a taxa de falha das falhas perigosas totais
Nota 1 de entrada: A cobertura de diagnóstico pode existir para a totalidade ou partes de um sistema
relacionado à segurança. Por exemplo, a cobertura de diagnóstico pode existir para sensores e/ou sistema
lógico e/ou elementos finais.
3.1.27
medida de proteção
medida destinada a atingir a redução de risco
EXEMPLO 1 Implementada pelo projetista: projeto inerente, medidas de segurança e proteção comple-
mentares e informações de uso.
3.1.28
tempo de missão
TM
período de tempo que abrange o uso devido de uma SRP/CS
3.1.29
Projeto em Consulta Nacional
taxa de teste
rt
frequência de testes automáticos para detectar falhas em uma SRP/CS, inversa ao valor do intervalo
de teste de diagnóstico
3.1.30
taxa de demanda
rD
frequência de demandas para uma ação relacionada à segurança da SRP/CS
3.1.31
taxa de reparo
rr
inverso do valor do período de tempo entre a detecção de uma falha perigosa por um teste on-line
ou mau funcionamento previsto do sistema e o reinício da operação após o reparo ou substituição
do sistema/componente
Nota 1 de entrada: O tempo de reparo não inclui o período de tempo necessário para a detecção da falha.
3.1.32
sistema de comando da máquina
sistema que responde aos sinais de entrada de partes dos elementos da máquina, operadores,
equipamentos de comando externo ou qualquer combinação destes e que gera sinais de saída
fazendo com que a máquina se comporte da maneira devida
Nota 1 de entrada: O sistema de comando da máquina pode utilizar qualquer tecnologia ou qualquer
combinação de diferentes tecnologias (por exemplo, elétrica/eletrônica, hidráulica, pneumática, mecânica).
3.1.33
nível de integridade de segurança
SIL
nível discreto (um de quatro possíveis) para especificar os requisitos de integridade de segurança
das funções de segurança a serem atribuídas a sistemas relacionados à segurança E/E/PE (elétrica/
eletrônica/eletrônica programável), onde o nível 4 de integridade de segurança é o nível mais alto e o
nível 1 é o nível mais baixo
[FONTE: IEC 61508-4:1998, 3.5.6]
3.1.34
linguagem de variabilidade limitada
LVL
tipo de linguagem que proporciona a capacidade de combinar funções de biblioteca predefinidas,
relativas a aplicações específicas, para implementar as especificações dos requisitos de segurança
Nota 1 de entrada: Exemplos típicos de LVL (lógica ladder, diagrama de blocos de função) são dados na IEC 61131-3.
3.1.35
linguagem de variabilidade total
FVL
tipo de linguagem que proporciona a capacidade de implementação de uma ampla variedade de
funções e aplicações
Projeto em Consulta Nacional
Nota 1 de entrada: Um exemplo típico de sistemas que utilizam FVL: sistemas embarcados.
Nota 2 de entrada: No campo das máquinas, FVL é encontrada em software embarcado e raramente em
software de aplicação.
3.1.36
software de aplicação
software específico para a aplicação, implementado pelo fabricante da máquina, e geralmente
contendo sequências lógicas, limites e expressões que controlam as entradas, saídas, cálculos e
decisões apropriados necessários para atender aos requisitos da SRP/CS
3.1.37
software embarcado
firmware
software de sistema
software que faz parte do sistema fornecido pelo fabricante do controle e que não é acessível para
modificação pelo usuário da máquina
3.1.38
elevada demanda ou modo contínuo
modo de operação no qual a frequência de demanda na SRP/CS é maior que uma vez por ano ou a
função relacionada à segurança mantém a máquina no estado seguro como parte de seu funciona-
mento ou operação normal.
3.1.39
testado em uso
demonstração, baseada em uma análise de experiência operacional para uma configuração específica
de um elemento, em que a possibilidade de falha perigosa sistemática é baixa o suficiente para que
qualquer função de segurança que utilize tal elemento, atinja seu nível de performance requerido (PLr)
Ver Tabela 1.
Símbolo ou Definição ou
Descrição
abreviatura ocorrência
AOPD Dispositivo de proteção optoeletrônico ativo (por exemplo, barreira de luz) Anexo H
M Motor Anexo I
Tabela 3 e
PFHD Probabilidade média de falhas perigosas por hora
Tabela K1
Tabela 1 (conclusão)
Símbolo ou Definição ou
Descrição
abreviatura ocorrência
T10D Tempo médio até que 10 % dos componentes falhem de forma perigosa Anexo C
4 Considerações de projeto
4.1 Objetivos de segurança no projeto
A SRP/CS deve ser projetada e construída de modo que os princípios da ABNT NBR ISO 12100
sejam plenamente levados em consideração (ver Figuras 1 e 3). Todo uso devido e mau uso razoavel-
mente previsível devem ser considerados.
INÍCIO
Sim
Identificação do perigo
(ver Seção 4 e 5.3 a)
O risco foi
Sim
adequadamente FIM
reduzido?
Não
Não
A estratégia para a redução de risco na máquina é provida na ABNT NBR ISO 12100:2013,
Seção 6.1, e as orientações adicionais são providas na ABNT NBR ISO 12100:2013, Seções 6.2
(medidas inerentes ao projeto) e 6.3 (medidas de segurança e proteção complementares).
Projeto em Consulta Nacional
O processo de análise do perigo e de redução de risco para uma máquina requer que os perigos
sejam eliminados ou reduzidos por meio de uma hierarquia de medidas:
—— eliminação do perigo ou redução de risco por projeto (ver ABNT NBR ISO 12100:2013, Seção 6.2);
Para cada função de segurança, as características (ver Seção 5) e o nível de desempenho (PL)
requeridos devem ser especificados e documentados na especificação dos requisitos de segurança.
Nesta Parte da ABNT NBR ISO 13849 os níveis de desempenho são definidos em termos da
probabilidade de falha perigosa por hora. Cinco níveis de desempenho são estabelecidos, a partir do
menor Pla ao mais elevado PLe, em faixas de valores de probabilidade de falha perigosa por hora
definidas (ver Tabela 2).
Além da probabilidade média de falha perigosa por hora, que é um aspecto quantificável, aspectos
qualitativos também são necessários para satisfazer os requisitos do PL.
A partir da apreciação de risco (ver ABNT NBR ISO 12100) da máquina, o projetista deve decidir a
contribuição para a redução de risco que precisa ser provida para cada função de segurança relevante
que é realizada pela(s) SRP/CS. Esta contribuição não abrange o risco total da máquina sob controle,
por exemplo, o risco total de uma prensa mecânica ou máquina de lavar roupa não é considerado,
mas sim a parte do risco reduzido pela aplicação de funções de segurança específicas. Exemplos
destas funções são a função de parada iniciada utilizando um dispositivo de proteção eletrossensível
Projeto em Consulta Nacional
A redução de risco pode ser atingida aplicando-se várias medidas de proteção (tanto para SRP/CS
como para não SRP/CS) com a finalidade de atingir-se uma condição segura (ver Figura 2).
Rh
Rr
Ra
R1SRP/CS R1M
1
R2SRP/CS R2M
2
3 4
a b R
Legenda
R h
o risco, para uma situação perigosa específica, antes que medidas de proteção sejam aplicadas
R r
redução de risco requerida a partir de medidas de proteção
R a
redução de risco real atingida com medidas de proteção
1 solução 1 – redução de risco devida em maior parte às medidas de proteção que não sejam SRP/CS
(por exemplo, medidas mecânicas), e em menor parte, devida a SRP/CS
2 solução 2 – redução de risco devida em maior parte a SRP/CS (por exemplo, cortina de luz), e em menor
parte, devida às medidas de proteção que não sejam SRP/CS (por exemplo, medidas mecânicas)
3 risco reduzido adequadamente
4 risco reduzido inadequadamente
R risco
a risco residual obtido pelas soluções 1 e 2
b risco reduzido adequadamente
R1SRP/CS R2SRP/CS redução de risco obtida a partir da função de segurança realizada pela SRP/CS
R1M, R2M redução de risco obtida a partir de medidas de proteção que não sejam SRP/CS (por exemplo,
medidas mecânicas)
NOTA Ver ABNT NBR ISO 12100 para informações adicionais sobre redução de risco.
Figura 2 – Visão geral do processo de redução de risco para cada situação perigosa
Verificação do PL quanto
Não
à função de segurança:
PL ≥ PLr (ver 4.7)?
Sim
Sim
Todas as funções de
segurança foram
analisadas?
Sim
para a Figura 1
a A ABNT NBR ISO 13849-2 provê auxílio adicional para a validação.
Para cada função de segurança selecionada a ser realizada por uma SRP/CS, um nível de desempenho
requerido (PLr) deve ser determinado e documentado (ver Anexo A para orientação na determinação
do PLr). A determinação do nível de desempenho requerido (PLr) é o resultado da apreciação de risco
e refere-se à quantidade de redução de risco a ser realizada pelas partes do sistema de comando
Projeto em Consulta Nacional
Quanto maior for a necessidade de redução de risco a ser provida pela SRP/CS, maior é o PLr.
Parte do processo de redução de risco é determinar as funções de segurança da máquina. Isto inclui
funções de segurança do sistema de comando, por exemplo, prevenção contra partida inesperada.
Uma função de segurança pode ser implementada por uma ou mais SRP/CS, e diversas funções de
segurança podem compartilhar uma ou mais SRP/CS [por exemplo, uma unidade lógica, elemento(s)
de controle de potência]. Também é possível que uma SRP/CS implemente funções de segurança e
funções de controle convencional. O projetista pode utilizar qualquer uma das tecnologias disponíveis,
isoladamente ou combinadas. A SRP/CS pode também prover uma função operacional (por exemplo,
um AOPD como um meio de iniciação do ciclo).
Uma apresentação esquemática da função de segurança típica é provida na Figura 4 que mostra
uma combinação de partes de sistemas de comando relacionadas à segurança (SRP/CS) para
—— entrada (SRP/CSa),
—— lógica/processamento (SRP/CSb),
NOTA 1 Na mesma máquina, é importante distinguir entre diferentes funções de segurança e suas
respectivas SRP/CS que exercem uma determinada função de segurança.
Uma vez identificadas as funções de segurança do sistema de comando, o projetista deve identificar
a SRP/CS (ver Figuras 1 e 3) e, onde necessário, deve representá-lo como entrada, lógica e saída
e, no caso de redundância, os canais individuais, e em seguida avaliar o nível de desempenho PL
(ver Figura 3).
NOTA 3 Todos os meios de interconexão estão incluídos nas partes relacionadas à segurança.
iab ibc
SRP/CSa SRP/CSb SRP/CSc
Projeto em Consulta Nacional
I L O
Legenda
Para os efeitos desta Parte da ABNT NBR ISO 13849, a capacidade das partes relacionadas à
segurança em desempenhar uma função de segurança é expressa por meio da determinação
do nível de desempenho PL.
Para cada SRP/CS selecionada e/ou para a combinação de SRP/CS que desempenha uma função
de segurança, a estimativa do PL deve ser efetuada.
NOTA 1 Outros parâmetros, por exemplo, aspectos operacionais, taxa de demanda, taxa de teste, podem
ter certa influência.
Estes aspectos podem ser agrupados sob duas abordagens em relação ao processo de avaliação:
a) aspectos quantificáveis (valor do MTTFD para componentes individuais, DC, CCF, estrutura);
b) aspectos qualitativos não quantificáveis que afetam o comportamento da SRP/CS (compor-
tamento da função de segurança sob condições de falha, software relacionado à segurança,
Projeto em Consulta Nacional
Existem diversos métodos para estimar os aspectos quantificáveis do PL para qualquer tipo
de sistema (por exemplo, uma estrutura complexa), como, modelo de Markov, redes de Petri estocás-
ticas generalizadas (GSPN), diagramas de blocos de confiabilidade [ver, por exemplo, IEC 61508].
Para tornar mais fácil a avaliação dos aspectos quantificáveis do PL, este documento da
ABNT NBR ISO 13849 provê um método simplificado com base na definição de cinco arquiteturas
designadas que atendem aos critérios de projeto específicos e comportamento sob condição de
defeito (ver 4.5.4).
Para uma SRP/CS ou combinação de SRP/CS projetada de acordo com os requisitos providos na
Seção 6, a probabilidade média de uma falha perigosa pode ser estimada por meio da Figura 5 e o
procedimento provido nos Anexos A a H, J e K.
Para uma SRP/CS que se desvia das arquiteturas designadas, um cálculo detalhado deve ser provido
para demonstrar que o nível de desempenho requerido (PLr) foi alcançado.
Em aplicações onde a SRP/CS puder ser considerada simples, e o nível de desempenho requerido
for de a até c, uma estimativa qualitativa do PL pode ser justificada nos fundamentos do projeto
(ver também 4.5.5).
NOTA 2 Para o projeto de sistemas de comando complexos, como PES projetados para desem-
penhar funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508,
IEC 62061 ou IEC 61496).
O cumprimento de aspectos qualitativos do PL pode ser demonstrado pela aplicação das medidas
recomendadas providas em 4.6 e no Anexo G.
Em normas em conformidade com a IEC 61508, a capacidade dos sistemas de comando relacionados
à segurança para desempenhar uma função de segurança é provida por meio de uma graduação
denominada SIL. A Tabela 4 mostra a relação entre os dois conceitos (PL e SIL).
O PL não tem nenhuma correspondência na escala SIL e é utilizado principalmente para reduzir o
risco de lesão leve, normalmente reversível. Uma vez que o SIL 4 é dedicado a eventos catastróficos
possíveis na indústria de processo, este intervalo não é relevante para riscos em máquinas. Assim,
o PL corresponde ao SIL 3 e é definido como o nível mais alto.
Tabela 3 – Relação entre o nível de desempenho (PL) e o nível de integridade de segurança (SIL)
SIL
PL (IEC 61508-1, para informação)
modo de operação alto/contínuo
a Nenhuma correspondência
Projeto em Consulta Nacional
b 1
c 1
d 2
e 3
Quando uma função de comando relacionada à segurança for projetada utilizando um ou mais
SRP/CS, cada SRP/CS deve ser projetada de acordo com esta Parte da ABNT NBR ISO 13849 ou de
acordo com a IEC 62061/IEC 61508 (ver também ISO/TR 23849) – embora exista correspondência
entre os PL desta Parte da ABNT NBR ISO 13849 e SIL das IEC 61508 e IEC 62061. As SPR/CS
são combinadas de acordo com 6.3.
Portanto, para a redução do risco, devem ser aplicadas principalmente as medidas de proteção
descritas a seguir.
Ambas as medidas podem ser aplicadas separadamente ou combinadas. Com algumas tecnologias,
a redução de risco pode ser atingida por meio da seleção de componentes confiáveis e por exclusões
do defeito, porém com outras tecnologias, a redução de risco pode requerer um sistema redundante
e/ou monitorado. Além disso, as falhas de causa comum (CCF) devem ser levadas em consideração
(ver Figura 3).
O valor do MTTFD de cada canal é dado em três níveis (ver Tabela 4) e deve ser levado em consi-
deração para cada canal (por exemplo, de um único canal, cada canal de um sistema redundante)
individualmente.
Para cada SRP/CS (subsistema) de acordo com a Tabela 5, o valor máximo de MTTFD para cada
canal é 100 anos. Para SRP/CS (subsistemas) classificados como categoria 4, o valor máximo de
MTTFD para cada canal é acrescido para 2 500 anos.
NOTA Este valor elevado é justificado porque na Categoria 4 os demais aspectos quantificáveis, estru-
tura e DC estão em seu nível máximo e isto permite a combinação em série de mais de três subsistemas
(SRP/CS) com categoria 4 e a obtenção do PL e em conformidade com 6.3.
Para o projeto de sistemas de comando complexos, tais como PES projetados para desempenhar
funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508,
IEC 62061) ou
MTTFD
Designação de cada canal Faixa de cada canal
Baixo 3 anos ≤ MTTFD < 10 anos
Médio 10 anos ≤ MTTFD < 30 anos
Alto 30 anos ≤ MTTFD ≤ 100 anos
NOTA 1 A escolha das faixas do MTTFD de cada canal é baseada nas taxas de falha encontradas no
campo como estado da técnica, formando um tipo de escala logarítmica apropriada à escala logarítmica
do PL. Não é esperado que um valor do MTTFD de cada canal inferior a três anos seja encontrado
para um SRP/CS real, uma vez que isto pode significar que após um ano aproximadamente 30 %
de todos os sistemas no mercado falharão e precisarão ser substituídos. Um valor do MTTFD de
cada canal superior a 100 anos não é aceitável porque é conveniente que um SRP/CS para altos
riscos não dependa da confiabilidade de componentes isolados. Para reforçar o SRP/CS contra falhas
sistemáticas e aleatórias, recomenda-se que meios adicionais, como redundância e testes, sejam
aplicados. Para ser praticável, o número de faixas foi restrito a três. A limitação do MTTFD dos valores
de cada canal até um máximo de 100 anos refere-se a um único canal do SRP/CS que realiza a
função de segurança. Valores do MTTFD mais altos podem ser utilizados para componentes individuais
(ver Tabela D.1).
NOTA 2 Presume-se que os limites indicados desta Tabela estejam dentro de uma tolerância de 5 %.
Para estimativa do MTTFD de um componente, os dados devem ser encontrados de acordo com
o seguinte procedimento hierárquico:
Para a estimativa de DC, na maioria dos casos, a análise dos modos e efeitos de falha (FMEA,
ver IEC 60812) ou métodos similares podem ser utilizados. Neste caso, todos os defeitos e/ou modos
de falha relevantes devem ser considerados. Para uma abordagem simplificada para estimativa
de DC, ver Anexo E.
DC
Designação Faixa
Nenhuma DC < 60 %
Projeto em Consulta Nacional
Baixa 60 % ≤ DC < 90 %
Média 90 % ≤ DC < 99 %
Alta 99 % ≤ DC
NOTA 1 Para um SRP/CS composto por diversas partes, um valor médio DCavg para DC é utilizado na
Figura 5, Seção 6 e E.2.
NOTA 2 A escolha da faixa de DC é baseada nos valores-chave de 60 %, 90 % e 99 %, também
estabelecidos em outras Normas (por exemplo, IEC 61508) que aborda cobertura de diagnóstico
de teste. Estudos mostram que (1 – DC) em vez do próprio DC é uma medida característica para
a efetividade do teste. (1 – DC) para os valores-chave de 60 %, 90 % e 99 % forma um tipo de
escala logarítmica apropriada à escala logarítmica do PL. Um valor de DC inferior a 60 % tem efeito
inexpressivo sobre a confiabilidade do sistema testado e é portanto denominado como “nenhuma”.
Um valor de DC superior a 99 % para sistemas complexos é muito difícil de atingir. Para ser praticável,
o número de faixas foi restrito a quatro. Presume-se que os limites indicados nesta Tabela estejam
dentro de uma tolerância de 5 %.
Esta Seção descreve um procedimento simplificado para estimar o PL de um SRP/CS com base em
arquiteturas designadas. Algumas outras arquiteturas com estrutura similar podem ser transformadas
para estas estruturas designadas a fim de que uma estimativa do PL seja obtida.
As arquiteturas designadas são representadas como diagramas de blocos e são definidas para cada
categoria. Informações sobre o método de blocos e diagramas de blocos relacionados à segurança
são dados em 6.2 e Anexo B.
As arquiteturas designadas mostram uma representação lógica da estrutura do sistema para cada
categoria. A realização técnica ou, por exemplo, o diagrama de circuito funcional, pode parecer
completamente diferente.
As arquiteturas designadas são representadas para o SRP/CS combinado, começando pelos pontos
onde os sinais relacionados à segurança são iniciados e terminando na saída dos elementos de
controle de potência (ver também ABNT NBR ISO 12100:2013, Anexo A). As arquiteturas designadas
também podem ser utilizadas para descrever uma parte ou subparte de um sistema de comando que
responde a sinais de entrada e gera sinais de saída relacionados à segurança. Assim, o elemento
“entrada” pode representar, por exemplo, uma cortina de luz (AOPD), bem como os circuitos de
entrada dos elementos lógicos de controle ou chaves de entrada. “Saída” também pode representar,
por exemplo, um dispositivo de comutação do sinal de saída (OSSD) ou saídas de scanners a laser.
—— para a categoria 2, taxa de demanda ≤ 1/100 da taxa de teste (ver também, nota no Anexo K); ou
testes devem ocorrer imediatamente após a demanda da função de segurança, e o tempo total
para detecção da falha de modo a levar a máquina à uma condição segura (usualmente a parada
da máquina) for menor que o tempo para alcançar a fonte de perigo (ver ISO 13855);
Projeto em Consulta Nacional
—— para a categoria 2, MTTFD, do canal de testes deve ser maior que metade do MTTFD, do canal
relativo à função de segurança.
A metodologia considera as categorias como arquiteturas com DCavg definida. O PL de cada SRP/
CS depende da arquitetura, do tempo médio para falha perigosa (MTTFD) em cada canal e da DCavg.
Convém que as falhas de causa comum (CCF) sejam levadas em consideração (para orientação,
ver Anexo F).
Se não houver dados quantitativos disponíveis ou se não forem aplicáveis (por exemplo, sistemas
de baixa complexidade), convém que o pior caso de todos os parâmetros relevantes seja escolhido.
Uma combinação de SRP/CS ou uma única SRP/CS pode ter um PL. A combinação de diversas
SRP/CS com diferentes PL é considerada em 6.3.
No caso de aplicações com PLr a até c, medidas para evitar falhas podem ser suficientes; para
aplicações de maior risco, PLr d até e, a estrutura da SRP/CS pode prover medidas para evitar,
detectar ou tolerar os defeitos. Medidas práticas incluem redundância, diversidade, monitoramento
(ver também ABNT NBR ISO 12100:2013, Seção 3, e IEC 60204-1:2005).
Para a estimativa do PL, a Figura 5 apresenta as diferentes combinações possíveis de categoria com
DCavg (eixo horizontal) e o MTTFD de cada canal (barras). As barras no diagrama representam as três
faixas de MTTFD de cada canal (baixa, média e alta) que podem ser selecionadas para atingir o PL
requerido.
Antes de utilizar esta abordagem simplificada com a Figura 5 (que representa os resultados de dife-
rentes modelos de Markov com base em arquiteturas designadas da Seção 6), a categoria do SRP/CS
bem como DCavg e o MTTFD de cada canal devem ser determinados (ver Seção 6 e Anexos C a E).
Para as categorias 2, 3 e 4, medidas suficientes contra falhas de causa comum devem ser realizadas
(para orientação, ver Anexo F). Levando esses parâmetros em consideração, a Figura 5 provê um
método gráfico para determinar o PL, atingido pelo SRP/CS. A combinação de categoria (incluindo
falha de causa comum) e DCavg determina qual coluna da Figura 5 é para ser escolhida. De acordo
com o MTTFD de cada canal, uma das três diferentes áreas sombreadas da respectiva coluna deve
ser escolhida.
A posição vertical desta área determina o PL atingido, que pode ser lida a partir do eixo vertical. Se a
área abrange dois ou três PL possíveis, o PL atingido é dado na Tabela 6. Para uma seleção numérica
mais precisa de PL, dependendo do valor preciso do MTTFD de cada canal, ver Anexo K.
PL
a 1
Projeto em Consulta Nacional
b 2
c 3
DCavg DCavg DCavg baixa DCavg média DCavg baixa DCavg média DCavg alta
nenhuma nenhuma
Legenda
PL nível de desempenho
1 MTTFD de cada canal = baixo
2 MTTFD de cada canal = médio
3 MTTFD de cada canal = alto
Categoria B 1 2 2 3 3 4
DCavg nenhuma nenhuma baixa média baixa média alta
MTTFD de cada canal
Não Não
Baixo a a b b c
abrangido abrangido
Não Não
Médio b b c c d
abrangido abrangido
Não
Alto c c d d d e
abrangido
Para estes casos, o nível de performance relacionado à segurança (PL) é implementado por meio
da arquitetura, do diagnóstico e medidas contra CCF.
Quando implementada uma função de segurança PL c com categoria 1, o valor de T10D dos
componentes relacionados à segurança não são monitorados no processo, são determinados. Este
Projeto em Consulta Nacional
valor de T10D pode ser determinado com base em dados de teste em uso pelo fabricante da máquina.
Neste caso, o cálculo do DCavg é reduzido para a média aritmética dos valores de DC de todos
os componentes individuais que compõem o canal funcional.
4.6.1 Generalidades
do software (ver Figura 6). O objetivo principal dos seguintes requisitos é ter um software legível,
compreensível, que possa ser testado e de fácil manutenção.
Resultado
Codificação
Verificação
NOTA O Anexo J provê recomendações mais detalhadas para as atividades do ciclo de vida.
Para SRESW para componentes com PLr a até d, as seguintes medidas básicas devem ser aplicadas:
—— ciclo de vida de segurança do software com atividades de verificação e validação, ver Figura 6;
—— onde utilizadas medidas com base em software para controle de falhas aleatórias de hardware,
verificação da implementação correta;
Para SRESW para componentes com PLr c ou d, as seguintes medidas adicionais devem ser aplicadas:
—— sistema de gestão de projetos e de gestão de qualidade comparáveis, por exemplo, à IEC 61508
ou à ABNT NBR ISO 9001;
—— testes funcionais estendidos, por exemplo, teste de caixa cinza, ensaios de desempenho ou
simulação;
O SRESW para componentes com PLr = e deve atender à IEC 61508-3:1998, Seção 7, apropriada para
SIL 3. Ao utilizar a diversidade na especificação, projeto e codificação, para os dois canais utilizados
em SRP/CS com categoria 3 ou 4, PLr = e pode ser atingido com as medidas mencionadas acima para
PLr de c ou d.
NOTA 1 Para uma descrição detalhada destas medidas, ver, por exemplo, a IEC 61508-7:2000.
NOTA 2 Para SRESW com diversidade em projeto e codificação, para componentes utilizados em SRP/CS
com categoria 3 ou 4, o esforço envolvido na adoção de medidas para evitar falhas sistemáticas pode ser
reduzido, por exemplo, pela revisão das partes do software somente considerando aspectos estruturais em
vez de verificar cada linha de código.
Para componentes cujos requisitos SRESW não forem atendidos, por exemplo, CLP sem conotação
de segurança indicada pelo fabricante, estes componentes podem ser usados mediante às seguintes
condições alternativas:
O ciclo de vida de segurança do software (ver Figura 6) também aplica-se ao SRASW (ver Anexo J).
SRASW escrito em LVL e que atende aos seguintes requisitos pode atingir um PL de a até e. Se o
SRASW é escrito em FVL, os requisitos para SRESW devem aplicar-se, e o PL de a até e é atingível.
Se uma parte do SRASW dentro de um componente tiver qualquer impacto (por exemplo, devido à sua
modificação) em diversas funções de segurança com PL diferente, então os requisitos relacionados ao
PL mais alto devem ser aplicados. Para SRASW para componentes com PLr de a até e, as seguintes
medidas básicas devem ser aplicadas:
—— testes funcionais;
Para SRASW para componentes com PLr de c até e, as seguintes medidas adicionais com o aumento
da eficiência (menor efetividade para PLr de c, efetividade média para PLr de d, maior efetividade
para PLr de e) são requeridas ou recomendadas.
a) A especificação do software relacionado à segurança deve ser revisada (ver também Anexo J),
disponibilizada para cada pessoa envolvida no ciclo de vida e conter a descrição de:
2) Sempre que for possível e razoável, convém que bibliotecas validadas de blocos de função
(FB) sejam utilizadas – bibliotecas de FB relacionadas à segurança providas pelo fabricante
da ferramenta (altamente recomendado para PL = e) ou bibliotecas de FB validadas
específicas da aplicação e de acordo com esta Parte da ABNT NBR ISO 13849.
3) Convém que um subconjunto-LVL justificado adequado para uma abordagem modular
seja utilizado, por exemplo, subconjunto aceito de linguagens IEC 61131-3. Linguagens
gráficas (por exemplo, diagrama de blocos de função, diagrama de contatos) são altamente
recomendadas.
1) os métodos semiformais para descrever dados e fluxo de controle, por exemplo, diagrama
de estado ou fluxograma do programa,
4) a execução do código dentro dos blocos de função, que tenham um ponto de entrada e um
ponto de saída,
5) o modelo de arquitetura de três estágios, Entradas ⇒ Processamento ⇒ Saídas (ver Figura 7
e Anexo J),
7) o uso de técnicas para detecção de falha externa e para programação defensiva com entrada,
processamento e blocos de saída que levem a um estado seguro.
1) SRASW e não-SRASW devem ser codificados em blocos de função diferentes com ligações
de dados bem definidas;
2) não pode haver combinação lógica de dados não relacionados à segurança e relacionados
à segurança que possam levar à degradação da integridade dos sinais relacionados à
segurança, por exemplo, combinando sinais relacionados à segurança e não relacionados à
segurança por uma lógica “OU” onde o resultado controla os sinais relacionados à segurança.
1) o código deve ser legível, compreensível e testável e, devido a isso, convém que sejam
utilizadas variáveis simbólicas (em vez de endereços de hardware explícitos);
2) diretrizes de codificação justificadas ou aceitas devem ser utilizadas (ver também Anexo J);
3) deve-se utilizar a integridade dos dados e verificações de plausibilidade (por exemplo,
checagens por intervalo) disponíveis na camada da aplicação (programação defensiva);
5) a verificação deve ser por controle e análise do fluxo de dados para PL = d ou e.
f) Testes:
Projeto em Consulta Nacional
2) para PL = d ou e, é recomendado a execução de teste de caso (test case execution) a partir
da análise de valor limite;
3) planejamento de teste é recomendado e deve incluir teste de casos (test cases) com os
critérios de conclusão e as ferramentas requeridas;
4) os testes de I/O devem assegurar que os sinais relacionados à segurança sejam utilizados
corretamente dentro do SRASW.
g) Documentação:
3) a documentação do código dentro do texto fonte deve conter cabeçalhos dos módulos
com o reponsável legal, a descrição funcional e a descrição de I/O, versão do código,
versão da biblioteca de blocos de função utilizados, comentários suficientes de rotinas,
subrotinas, declarações e linhas de programa.
h) Verificação 1
j) Modificações
Após as modificações do SRASW, uma análise de impacto deve ser realizada para assegurar a
especificação. Atividades apropriadas ao ciclo de vida devem ser realizadas após as modificações.
Os direitos de acesso às modificações devem ser controlados e o histórico das modificações
documentado.
1 A verificação é necessária apenas para código específico da aplicação e não para funções de biblioteca
validadas.
identificação (nome, versão etc.) e deve evitar modificações não autorizadas, por exemplo, pelo uso
de uma senha.
A integridade de todos os dados utilizados para a parametrização deve ser mantida. Isto deve ser
obtido aplicando-se medidas para
bem como confirmação subsequente, por exemplo, por uma pessoa devidamente habilitada e por
meio de uma verificação automática por meio de uma ferramenta de parametrização.
—— verificação de que os dados/sinais para parametrização são gerados e processados de tal forma
que os defeitos não sejam capazes de levar a uma perda da função de segurança.
Projeto em Consulta Nacional
NOTA 2 Isto é de importância especial quando a parametrização é realizada utilizando um dispositivo não
especificamente destinado para esta finalidade (por exemplo, computador pessoal ou equivalente).
Para cada função de segurança individual, o PL da SRP relacionado deve coincidir com o nível de
desempenho requerido (PLr) determinado de acordo com 4.3 (ver Figura 3). Se este não for o caso,
uma iteração no processo descrito na Figura 3 é necessária.
O PL das diferentes SRP/CS que fazem parte de uma função de segurança deve ser maior ou igual
ao nível de desempenho requerido (PLr) desta função de segurança.
A interface entre operadores e a SRP/CS deve ser projetada e realizada de tal forma que nenhuma
pessoa esteja em perigo durante todo o uso devido e o mau uso razoavelmente previsível da máquina
[ver também ABNT NBR ISO 12100, EN 614-1, ISO 9355-1, ISO 9355-2, ISO 9355-3, EN 1005-3,
IEC 60204-1:2000, Seção 10, IEC 60447 e IEC 61310].
Os princípios ergonômicos devem ser utilizados de modo que a máquina e o sistema de comando,
incluindo as partes relacionadas à segurança, sejam de fácil utilização e de modo que o operador
não seja induzido a agir de maneira perigosa.
Os requisitos de segurança para observação dos princípios ergonômicos da ABNT NBR ISO 12100:2013,
6.2.8, devem ser aplicados.
5 Funções de segurança
5.1 Especificação das funções de segurança
Esta Seção oferece uma lista e os detalhes das funções de segurança que podem ser providos pela
SRP/CS. O projetista (ou o desenvolvedor da norma do tipo C) deve incluir as funções necessárias
para atingir as medidas de segurança requeridas pelo sistema de comando para a aplicação específica.
EXEMPLO Função de parada relacionada à segurança, prevenção contra partida inesperada, função
de rearme manual, função de muting, função de comando sem retenção.
NOTA Os sistemas de comando da máquina proveem funções operacionais e/ou de segurança. As funções
operacionais (por exemplo, partida, parada normal) podem ser também funções de segurança, porém isto
pode ser determinado somente após uma apreciação de riscos completa da máquina.
Requisitos adicionais são estabelecidos nesta Seção para algumas das características da função
de segurança.
Quando necessário, os requisitos para as características e funções de segurança devem ser adap-
tados para uso com distintas fontes de energia.
Projeto em Consulta Nacional
Como a maior parte das referências das Tabelas 8 e 9 estão relacionadas a normas elétricas, os requisitos
aplicáveis precisam ser adaptados no caso de outras tecnologias (por exemplo, hidráulica, pneumática).
Requisito(s)
Função/característica Para informações
de segurança Esta Parte da adicionais, ver:
ABNT NBR ISO 12100:2013
ABNT NBR ISO 13849
IEC 60204-1:2005,
Função de rearme manual 5.2.2 –
9.2.5.3, 9.2.5.4
Liberação e salvamento de
– 6.3.5.3 –
pessoas presas
Monitoramento da parame-
trização de valores de entrada 4.6.4 – –
relacionados à segurança
Tabela 9 – Algumas Normas Internacionais que proveem requisitos para certas funções de
segurança e parâmetros relacionados à segurança
Parâmetro relacionado à
IEC 60204-1:2005, 7.1,
segurança tal como velocidade, 5.2.7 6.2.11.8 e)
9.3.2, 9.3.4
temperatura, ou pressão
ISO 7731
ISO 11428
ISO 11429
Indicações e alarmes — 6.2.8 IEC 61310-1
IEC 60204-1:2005, 10.3, 10.4
IEC 61131
IEC 62061
Ao identificar e especificar a(s) função(ões) de segurança, no mínimo os seguintes itens devem ser
considerados:
a) resultados da apreciação de risco para cada perigo específico ou situação perigosa;
—— modos de operação (por exemplo, modo local, modo automático, modos relacionados a uma
zona ou parte da máquina),
—— tempo de ciclo, e
—— tempo de resposta;
d) descrição da interação de diferentes processos de trabalho e atividades manuais (reparo, confi-
guração, limpeza, diagnóstico de falhas etc.);
e) comportamento da máquina que uma função de segurança pretende atingir ou evitar;
NOTA Em alguns casos, pode ser necessário considerar o comportamento da máquina em caso de
queda de energia (alimentação), por exemplo, quando for necessário travar um eixo vertical de modo
a prevenir queda por gravidade. Isto pode requerer duas funções de segurança distintas: com e sem
disponibilidade de energia;
g) condição(ões) (por exemplo, modo de operação) da máquina na qual ela deve ser ativada ou
desativada;
i) prioridade daquelas funções que podem ser ativadas simultaneamente e que podem causar
ação conflitante.
Uma função de parada relacionada à segurança (por exemplo, iniciada por um dispositivo de segu-
rança) deve, tão logo quanto necessário após o acionamento, levar a máquina a um estado seguro.
Essa parada deve ter prioridade sobre uma parada por razões operacionais.
Quando um grupo de máquinas opera em conjunto e de forma coordenada, medidas devem ser
adotadas para sinalizar ao sistema de comando e supervisão e/ou as outras máquinas que esta
condição de parada ocorre.
NOTA Uma função de parada relacionada à segurança pode causar problemas operacionais de difícil
restabelecimento, por exemplo, em uma aplicação de soldagem a arco. Para reduzir a intenção de burlar esta
função de parada, ela pode ser precedida de uma parada operacional de modo a finalizar a operação em si
predispondo-a para uma partida fácil e rápida a partir da posição de parada (por exemplo, sem qualquer dano
à produção). Uma solução é o uso de um dispositivo de intertravamento com bloqueio da proteção onde o
travamento da proteção é liberado somente quando o ciclo de operação tiver atingido uma posição definida,
na qual é possível um fácil restabelecimento do processo.
Após um comando de parada ter sido iniciado por um dispositivo de segurança, a condição de parada
deve ser mantida até que existam condições seguras para reinício.
—— deve ser implementada por meio de um dispositivo separado e operado manualmente dentro
da SRP/CS,
—— deve ser aceita somente pela liberação do atuador a partir da sua posição pressionada (ligada).
O nível de desempenho (PL) de partes relacionadas à segurança que provê a função de rearme
manual deve ser selecionado de forma que a inclusão da função de rearme manual não diminua o
nível requerido para a função de segurança em si.
O dispositivo de comando de rearme deve estar situado fora da zona de perigo e em uma posição
segura na qual haja boa visibilidade para verificação de total ausência de pessoas dentro da zona
Projeto em Consulta Nacional
de perigo.
Quando a visibilidade da zona de perigo não estiver completa, um procedimento de rearme especial
é requerido.
NOTA Uma solução é o uso de um segundo dispositivo de comando de rearme. A função de rearme é
iniciada dentro da zona de perigo pelo primeiro dispositivo em combinação com um segundo dispositivo
de comando de rearme localizado fora da zona de perigo (próximo do dispositivo de segurança).
Este procedimento de rearme precisa ser realizado dentro de um tempo limitado antes que o sistema
de comando aceite um comando de partida separado.
O reinício deve ocorrer automaticamente somente se isto não gerar uma situação perigosa.
Em particular, para proteções com dispositivo de intertravamento com uma função de partida,
deve ser aplicado o item 6.3.3.2.5 da ABNT NBR ISO 12100:2013.
Estes requisitos para partida e reinício devem também ser aplicados em máquinas que podem ser
controladas remotamente.
Quando uma máquina é controlada localmente, por exemplo, por meio de um dispositivo de controle
portátil ou móvel, os seguintes requisitos devem ser aplicados:
—— os meios para a seleção do comando local devem estar situados fora da zona de perigo;
—— somente deve ser possível iniciar uma condição perigosa por meio de um comando local em uma
zona definida pela apreciação de risco;
—— alternância entre comando local e principal não pode criar uma situação perigosa.
A função muting não pode resultar na exposição das pessoas a situações perigosas. Durante a função
muting, condições seguras devem ser providas por outros meios.
Projeto em Consulta Nacional
Ao final da função muting, todas as funções de segurança da SRP/CS devem ser restabelecidas.
O nível de desempenho (PL) de partes relacionadas à segurança que proveem a função muting
deve ser selecionado de forma que a inclusão da função muting não diminua o nível de segurança
requerido para a função de segurança em si.
O tempo de resposta da SRP/CS deve ser determinado quando a apreciação de risco da SRP/CS
indicar que isto é necessário (ver também seção 11).
NOTA O tempo de resposta do sistema de comando é parte do tempo total de resposta da máquina.
O tempo total de resposta requerido da máquina pode influenciar o projeto da parte relacionada à segurança,
por exemplo, a necessidade de se implementar um sistema de frenagem.
Quando ocorrerem flutuações nos níveis de energia fora da faixa de operação de projeto, incluindo
a perda da fonte de energia, a SRP/CS deve continuar a prover ou iniciar sinal(ais) de saída que
permitirão que outras partes do sistema da máquina mantenham um estado seguro.
A SRP/CS deve estar de acordo com os requisitos de uma ou mais das cinco categorias especificadas
em 6.2.
As categorias são os parâmetros básicos utilizados para atingir um PL específico. Elas estabelecem
o comportamento requerido da SRP/CS em relação à sua resistência a falhas com base nas conside-
rações de projeto descritas na Seção 4.
A Categoria B é a categoria básica. A ocorrência de uma falha pode levar à perda da função de segu-
rança. Na categoria 1, uma melhor resistência à falhas é atingida predominantemente pela seleção
Projeto em Consulta Nacional
A Tabela 10 provê uma visão geral das categorias da SRP/CS, os requisitos e o comportamento
do sistema em caso de falhas.
—— da redução no risco a ser atingida pela função de segurança à qual a parte contribui,
—— das possibilidades de evitar uma falha ou falhas naquela parte (falhas sistemáticas),
6.2.1 Generalidades
Cada SRP/CS deve atender aos requisitos da sua categoria correspondente, ver 6.2.3 a 6.2.7.
As arquiteturas seguintes atendem de forma típica, aos requisitos da sua respectiva categoria.
As seguintes figuras não mostram exemplos, mas sim arquiteturas gerais. Um desvio dessas arqui-
teturas é sempre possível, porém qualquer desvio deve ser justificado por meio de ferramentas
analíticas apropriadas (por exemplo, modelo de Markov, análise da árvore de falhas), de modo que o
sistema atenda ao nível de desempenho requerido (PLr).
As arquiteturas designadas podem não ser consideradas somente como diagramas de circuito, mas
também como diagramas lógicos. Para as categorias 3 e 4, isto significa que nem todas as partes
são necessariamente fisicamente redundantes, porém que existem meios redundantes de assegurar
que uma falha não possa levar à perda da função de segurança.
As linhas e setas nas Figuras 8 a 12 representam os meios lógicos de interconexão e os meios lógicos
Projeto em Consulta Nacional
de diagnóstico possíveis.
A estrutura de uma SRP/CS é uma característica-chave que tem grande influência sobre o PL. Mesmo
se a variedade de estruturas possíveis for elevada, os conceitos básicos são muitas vezes similares.
Assim, a maioria das estruturas que está presente no campo das máquinas pode ser mapeada em
uma das categorias. Para cada categoria, uma representação típica como um diagrama de blocos
relacionado à segurança pode ser efetuada. Estas realizações típicas são chamadas de arquiteturas
designadas e estão listadas no contexto de cada uma das categorias seguintes.
6.2.3 Categoria B
A SRP/CS deve pelo menos ser projetada, construída, selecionada, montada e combinada de acordo
com as normas relevantes e utilizando os princípios básicos de segurança para a aplicação específica,
de modo a resistir
—— a outras influências externas relevantes, por exemplo, vibração mecânica, interferência eletro-
magnética, interrupções ou distúrbios na fonte de energia.
NOTA Quando ocorrer uma falha, esta pode levar à perda da função de segurança.
im im
I L O
Legenda
Projeto em Consulta Nacional
im meio de interconexão
I dispositivo de entrada, por exemplo, sensor
L lógica
O dispositivo de saída, por exemplo, contator principal
6.2.4 Categoria 1
Para a categoria 1, os mesmos requisitos de 6.2.3 para a categoria B devem ser aplicados.
Além disso, o seguinte se aplica.
a) amplamente utilizado no passado com resultados bem sucedidos em aplicações similares, ou
b) fabricado e verificado por meio de princípios que demonstram a sua adequação e confiabilidade
para aplicações relacionadas à segurança.
NOTA 1 Componentes eletrônicos complexos (por exemplo, PLC, microprocessador, circuito integrado
de aplicação específica) podem não ser considerados como equivalentes a “devidamente comprovados”.
NOTA 2 Não há cobertura de diagnóstico (DCavg = nulo) dentro de sistemas da categoria 1. Nestas
estruturas (sistemas de um único canal), a consideração de CCF não é relevante.
NOTA 3 Quando um defeito ocorrer isto pode levar à perda da função de segurança. Entretanto, o MTTFD
de cada canal na categoria 1 é mais elevado do que na categoria B. Assim, a perda da função de segurança
é menos provável.
É importante que uma distinção clara entre “componente devidamente comprovado” e “exclusão de
falhas” (ver Seção 7) seja feita. A qualificação de um componente como sendo devidamente compro-
vado depende da sua aplicação. Por exemplo, uma chave de fim de curso com contatos de abertura
positiva pode ser considerada como devidamente comprovada para uma máquina-ferramenta,
enquanto que ao mesmo tempo, como sendo inadequada para aplicação em uma indústria de ali-
mentos – na indústria de leite, por exemplo, este fim de curso seria destruído pelo ácido láctico após
alguns meses. A exclusão de falhas pode levar a um PL muito alto, porém as medidas apropriadas
para permitir esta exclusão de falhas devem ser aplicadas durante toda a vida útil do dispositivo.
A fim de assegurar esta condição, medidas adicionais fora do sistema de comando podem ser neces-
sárias. No caso de um fim de curso, alguns exemplos desses tipos de medidas são
Projeto em Consulta Nacional
—— meios de se evitar o sobrecurso do fim de curso, por exemplo, força adequada de fixação do
amortecedor de impacto e quaisquer dispositivos de alinhamento, e
im im
I L O
Legenda
im meio de interconexão
I dispositivo de entrada, por exemplo, sensor
L lógica
O dispositivo de saída, por exemplo, contator principal
6.2.5 Categoria 2
Para a categoria 2, os mesmos requisitos de 6.2.3 para a categoria B devem ser aplicados. “Princípios
de segurança devidamente comprovados” de acordo com 6.2.4 também devem ser seguidos.
Além disso, aplica-se o seguinte.
A SRP/CS da categoria 2 deve ser projetada de modo que sua(s) função(ões) seja(m) verificadas(s)
em intervalos adequados pelo sistema de comando da máquina. A verificação da(s) função(ões)
de segurança deve ser realizada
—— na partida da máquina, e
—— antes da inicialização de qualquer situação perigosa, por exemplo, início de um novo ciclo,
início de outros movimentos, imediatamente após a demanda da função de segurança e/ou
periodicamente durante a operação se a apreciação de risco e o tipo de operação mostrarem
que é necessário.
A inicialização desta verificação pode ser automática. Qualquer verificação da(s) função(ões) de
segurança deve
—— permitir a operação se nenhum defeito for detectado, ou
—— gerar uma saída (OTE) que inicie a ação apropriada do controle, se um defeito for detectado
Para PLr = d, a saída (OTE) deve iniciar um estado seguro, o qual deve ser mantido até que o defeito
seja eliminado.
Para PLr = c ou inferior, a saída (OTE), sempre que praticável, deve iniciar um estado seguro,
o qual, deve ser mantido até que o defeito seja eliminado. Quando isto não for possível (por exemplo,
soldagem do contato no dispositivo de comutação de potência), a saída pode prover um aviso
Projeto em Consulta Nacional
Para a arquitetura designada da categoria 2, conforme mostrado na Figura 10, convém que o cálculo
do MTTFD e DCavg leve em consideração somente os blocos do canal funcional (ou seja, I, L e O
na Figura 10) e não os blocos do canal de teste (ou seja, TE e OTE na Figura 10).
A própria verificação não pode levar a uma situação perigosa (por exemplo, devido a um aumento
no tempo de resposta). O equipamento de verificação pode ser parte integrante, ou separado,
da(s) parte(s) relacionada(s) à segurança provendo a função de segurança.
NOTA 1 Em alguns casos a categoria 2 não é aplicável porque a verificação da função de segurança
pode não ser aplicada a todos os componentes.
NOTA 3 O princípio que sustenta a validade de uma função da categoria 2 é que as características
técnicas adotadas, e, por exemplo, a escolha da frequência na verificação podem diminuir a probabilidade de
ocorrência de uma situação perigosa.
im im
I L O
m
Projeto em Consulta Nacional
im
TE OTE
Legenda
im meio de interconexão
I dispositivo de entrada, por exemplo, sensor
L lógica
m monitoramento
O dispositivo de saída, por exemplo, contator principal
TE equipamento de teste
OTE saída do TE
6.2.6 Categoria 3
Para a categoria 3, os mesmos requisitos de 6.2.3 para a categoria B devem ser aplicados. “Princípios
de segurança devidamente comprovados” de acordo com 6.2.4 também devem ser seguidos.
Além disso, aplica-se o seguinte.
A SRP/CS da categoria 3 deve ser projetada de modo que um único defeito em qualquer uma dessas
partes não leve à perda da função de segurança. Sempre que for razoavelmente praticável, o defeito
isolado deve ser detectado durante ou antes da próxima solicitação da função de segurança.
A cobertura de diagnóstico (DCavg) de toda a SRP/CS, incluindo a detecção de defeito, deve ser no
mínimo baixa. O MTTFD de cada um dos canais redundantes deve ser de baixo a alto, dependendo
do PLr. Medidas contra CCF devem ser aplicadas (ver Anexo F).
NOTA 1 O requisito de detecção de um único defeito não significa que todos os defeitos serão detectados.
Consequentemente, o acúmulo de defeitos não detectados pode levar a uma ação não pretendida e a uma
situação perigosa na máquina. Exemplos típicos de medidas praticáveis quanto à detecção de defeitos são o uso
de realimentação dos contatos do relé guiados mecanicamente e monitoramento de saídas elétricas redundantes.
NOTA 2 Se for necessário devido às tecnologias e aplicação, os elaboradores de normas do tipo C devem
dar maiores detalhes sobre a detecção de defeitos.
—— a função de segurança deve estar ativa permanentemente, mesmo com a presença de uma falha única;
NOTA 4 A tecnologia utilizada influencia nas possibilidades para a implementação da detecção do defeito.
m
im
I1 L1 im O1
c
Projeto em Consulta Nacional
m
im
I2 L2 im O2
Legenda
im meio de interconexão
c monitoramento cruzado
I1, I2 dispositivo de entrada, por exemplo, sensor
L1, L2 lógica
m monitoramento
O1, O2 dispositivo de saída, por exemplo, contator principal
Linhas tracejadas representam a detecção de falhas razoavelmente praticável
6.2.7 Categoria 4
Para a categoria 4, os mesmos requisitos de 6.2.3 para a categoria B devem ser aplicados. “Princípios
de segurança devidamente comprovados” de acordo com 6.2.4 também devem ser seguidos.
Além disso, aplica-se o seguinte.
—— um único defeito em qualquer uma dessas partes relacionadas à segurança não leve a uma perda
da função de segurança, e
—— o único defeito seja detectado durante ou antes da próxima solicitação das funções de segurança,
por exemplo, imediatamente, ao iniciar, ou ao finalizar um ciclo de operação da máquina,
porém, se esta detecção não for possível, então um acúmulo de defeitos não detectados não pode
levar à perda da função de segurança.
A cobertura de diagnóstico (DCavg) de toda a SRP/CS deve ser alta, incluindo o acúmulo de defeitos.
O MTTFD de cada um dos canais redundantes deve ser alto. Medidas contra CCF devem ser apli-
cadas (ver Anexo F).
—— a função de segurança deve estar ativa permanentemente, mesmo com a presença de uma falha única,
NOTA 2 A diferença entre a categoria 3 e a categoria 4 é uma DCavg mais alta na categoria 4 e um MTTFD
requerido para cada canal somente “alto”.
m
im
Projeto em Consulta Nacional
I1 L1 im O1
m
im
I2 L2 im O2
Legenda
im meio de interconexão
c monitoramento cruzado
I1, I2 dispositivo de entrada, por exemplo, sensor
L1, L2 lógica
m monitoramento
O1, O2 dispositivo de saída, por exemplo, contator principal
As linhas sólidas para monitoramento representam cobertura de diagnóstico, que é maior do que
na arquitetura designada para a categoria 3.
Tabela 10 (continuação)
(Ver 6.2.5) de princípios de segurança defeito pode levar à principalmente alto média Anexo F
devidamente comprovados perda da função de pela estrutura
devem ser aplicados. segurança entre as
A função de segurança deve verificações.
ser checada em intervalos A perda da função de
adequados pelo sistema de segurança é detectada
comando da máquina. pela verificação.
Uma função de segurança pode ser realizada por uma combinação de diversas SRP/CS: sistema de
entrada, unidade de processamento de sinal, sistema de saída. Estas SRP/CS podem ter diferentes
categorias. Para cada SRP/CS utilizada, uma categoria de acordo com 6.2 deve ser selecionada.
Para a combinação total destas SRP/CS, um PL total pode ser identificado utilizando os métodos
Projeto em Consulta Nacional
descritos nesta Seção. Neste caso, requer-se a validação da combinação de SRP/CS (ver Figura 3).
De acordo com 6.2, a combinação das partes de um sistema de comando relacionadas à segurança
começa nos pontos onde os sinais relacionados à segurança são iniciados e termina na saída dos
elementos de controle de potência. Porém a SRP/CS combinada pode consistir de diversas partes
conectadas de forma linear (alinhamento em série) ou redundante (alinhamento em paralelo).
Para evitar uma nova estimativa complexa do nível de desempenho (PL) atingido pela SRP/CS
combinada, onde os PL separados de todas as partes já estejam calculados, as seguintes estimativas
são apresentadas para um alinhamento em série da SRP/CS.
Se o valor de PFHD de todas as SRP/CSi for conhecido, então o PFHD da combinação de SRP/CSi
é a somatória dos valores de PFHD dos N individuais SRP/CSi. O PL da combinação das SRP/CS
é limitado por:
—— o PL mais baixo dentre todas as SRP/CS individuais que executam a função de segurança
(devido ao fato de o PL ser determinado também por aspectos não quantificáveis) e
NOTA Ver Anexo H e ISO/TR 23849, 8.2.6 para ter um exemplo deste método.
SRP/CS
PL
PFHD = PFH D1 + PFH D2+ … + PFHDN
Se os valores de PFHD individuais de todas as SRP/CSi não forem conhecidos, então em alternativa
ao método anterior como pior caso, o PL de toda a combinação de SRP/CSi que executa a função
de segurança pode ser calculado utilizando-se a Tabela 11 conforme a seguir:
PLbaixo Nbaixo ⇒ PL
>3 ⇒ Nenhum, não permitido
a
≤3 ⇒ a
Projeto em Consulta Nacional
>2 ⇒ a
b
≤2 ⇒ b
>2 ⇒ b
c
≤2 ⇒ c
>3 ⇒ c
d
≤3 ⇒ d
>3 ⇒ d
e
≤3 ⇒ e
NOTA Os valores calculados para esta Tabela de consulta são
baseados nos valores de confiabilidade no ponto médio para cada PL.
De acordo com a categoria selecionada, as partes relacionadas à segurança devem ser projetadas
para atingir o nível de desempenho requerido (PLr). A capacidade em resistir aos defeitos deve ser
avaliada.
A ABNT NBR ISO 13849-2 lista os defeitos e as falhas importantes para as várias tecnologias.
As listas de defeitos não são exclusivas e, se necessário, defeitos adicionais devem ser considerados
e listados. Nestes casos, convém que o método de avaliação seja claramente elaborado. Para novos
componentes não mencionados na ABNT NBR ISO 13849-2, uma análise dos modos e efeitos
de falha (FMEA, ver IEC 60812) deve ser realizada para estabelecer os defeitos a serem conside-
rados para esses componentes.
—— se, como uma consequência de um defeito, componentes adicionais falharem, o primeiro defeito
juntamente com todos os seguintes defeitos devem ser considerados como um único defeito;
—— dois ou mais defeitos separados que tenham uma causa comum devem ser considerados como
um único defeito (conhecido como CCF);
—— a ocorrência simultânea de dois ou mais defeitos que tenham causas separadas é considerada
altamente improvável e, portanto, não precisa ser considerada.
Nem sempre é possível avaliar a SRP/CS sem presumir que certos defeitos podem ser excluídos.
Para informações detalhadas sobre as exclusões de defeitos, ver ABNT NBR ISO 13849-2.
ocorrência de um defeito.
Se os defeitos forem excluídos, uma justificativa detalhada deve ser fornecida na documentação técnica.
8 Validação
O projeto da SRP/CS deve ser validado (ver Figura 3). A validação deve demonstrar que a combinação
da SRP/CS que provê cada função de segurança atende a todos os requisitos relevantes deste
documento da ABNT NBR ISO 13849.
9 Manutenção
A manutenção preventiva ou corretiva pode ser necessária para manter o desempenho especificado
das partes relacionadas à segurança. Os desvios ao longo do tempo do desempenho especificado
podem levar a uma deterioração na segurança, ou mesmo a uma situação perigosa. A informação
para uso da SRP/CS deve incluir instruções para a manutenção (incluindo a inspeção periódica) da
SRP/CS.
10 Documentação técnica
Ao projetar uma SRP/CS, o projetista deve documentar pelo menos as seguintes informações rele-
vantes à parte relacionada à segurança:
—— as condições ambientais;
—— documentação do software;
NOTA Em geral, esta documentação é prevista como sendo para fins internos do fabricante e não será
distribuída ao usuário da máquina.
11 Informações de uso
Os princípios da ISO 12100:2013, 6.4.5.2, e as seções aplicáveis de outros documentos relevantes
(por exemplo, IEC 60204-1:2005, Seção 17), devem ser aplicados. Em particular, a informação que
é importante para o uso seguro da SRP/CS deve ser provida ao usuário. Isto deve incluir, porém não
está limitado a:
—— os limites das partes relacionadas à segurança para a(s) categoria(s) selecionada(s) e quaisquer
exclusões de defeitos;
—— os limites da SRP/CS e quaisquer exclusões de defeitos (ver 7.3) essenciais para manter a cate-
goria ou categorias selecionadas, bem como o desempenho de segurança, para os quais devem
ser providas informações adequadas, (por exemplo, para modificação, manutenção e reparo)
para assegurar a justificativa continuada da(s) exclusão(ões) de defeito(s);
—— tempo de resposta;
—— indicações e alarmes;
—— modos de comando;
—— informações que expliquem as aplicações de uso relevantes à categoria a que se faz referência;
Informações específicas devem ser providas sobre a categoria ou as categorias e o nível de desem-
penho (PL) da SRP/CS, conforme descrito a seguir:
—— referência datada com esta Parte da ABNT NBR ISO 13849 (ou seja, “ABNT NBR ISO 13849-1:2019”);
—— a categoria, B, 1, 2, 3 ou 4;
—— o nível de desempenho, a, b, c, d ou e.
EXEMPLO Uma SRP/CS de acordo com esta edição da ABNT NBR ISO 13849-1, de Categoria B e
nível de desempenho (PL) a, é referida conforme descrito a seguir:
Anexo A
(informativo)
NOTA Esta metodologia para estimativa de PLr não é obrigatória. Trata-se de uma abordagem genérica
que presume o pior caso da ocorrência de um evento perigoso (isto é, a probabilidade de ocorrência sendo
100%). Outros métodos de estimativa de risco para tipos específicos de máquina podem ser considerados
mais apropriados e experiência em aplicações bem-sucedidas com máquinas/perigos similares podem ser
levados em consideração quando da estimativa do PLr. Desta forma, o PL requerido por uma norma Tipo C
pode desviar daquele indicado pela abordagem genérica dada pela Figura A.1.
A severidade da lesão (indicada por S) é estimada grosseiramente (por exemplo, laceração, ampu-
tação, morte). Para a frequência da ocorrência, parâmetros auxiliares são utilizados para melhorar
a estimativa. Estes parâmetros são
A experiência tem demonstrado que estes parâmetros podem ser combinados, conforme mostrado
na Figura A.1, para prover uma graduação do risco de baixa a alta. Deve ser enfatizado que este
é um processo qualitativo provendo somente uma estimativa do risco.
Na estimativa do risco decorrente de uma falha de uma função de segurança, somente lesões leves
(normalmente reversíveis), lesões graves (normalmente irreversíveis) e morte são consideradas.
Para uma tomada de decisão, convém que as consequências de acidentes habituais e os processos
de cura normais sejam levados em consideração na determinação de S1 e S2. Por exemplo,
contusões e/ou lacerações sem complicações são classificadas como S1, enquanto amputação
ou morte seria classificada como S2.
Um período de tempo geralmente válido a ser selecionado para o parâmetro F1 ou F2 pode não
ser especificado. Entretanto, a seguinte explicação pode facilitar na tomada de decisão correta
em caso de dúvidas.
Convém que F2 seja selecionado se uma pessoa for frequentemente ou continuamente exposta
ao perigo. Isto é irrelevante se as mesmas ou diferentes pessoas forem expostas ao perigo em expo-
sições sucessivas, por exemplo, para o uso de elevadores. Convém que o parâmetro da frequência
seja escolhido de acordo com a frequência e duração do acesso ao perigo.
Quando a demanda sobre a função de segurança for conhecida pelo projetista, a frequência e a
duração desta demanda podem ser escolhidas em vez da frequência e duração do acesso ao perigo.
Nesta Parte da ABNT NBR ISO 13849, a frequência da demanda sobre a função de segurança é
presumida que seja mais do que uma vez por ano.
O período de exposição ao perigo deve ser avaliado com base em um valor médio que pode
ser considerado em relação ao período de tempo total durante o qual o equipamento é utilizado.
Por exemplo, se for necessário acessar regularmente a zona entre as ferramentas da máquina
durante a operação cíclica a fim de alimentar e movimentar as peças de trabalho, então convém
que F2 seja selecionado.
No caso de nenhuma outra justificativa, convém que F2 seja escolhido se a frequência for maior
do que uma vez à cada 15 min.
F1 pode ser selecionado se o tempo de exposição acumulado não exceder 1/20 do tempo total de
operação e a frequência não for maior que uma vez a cada 15 min.
Quando a probabilidade de ocorrência de um evento perigoso puder ser justificada como baixa,
o PLr pode ser reduzido em um nível, ver A.2.3.2.
É importante identificar se uma situação perigosa pode ser reconhecida e evitada antes que leve a um
acidente ou não. Por exemplo, uma consideração importante é saber se o perigo pode ser diretamente
identificado por suas características físicas ou reconhecido somente por meios técnicos, por exemplo,
sinalizadores. Outros aspectos importantes que influenciam na seleção do parâmetro de P incluem,
por exemplo:
—— dados de confiabilidade;
NOTA Um número baixo de acidentes não significa necessariamente que a ocorrência de uma situação
perigosa seja baixa, mas que as medidas de segurança nas máquinas são suficientes.
PLr
L
P1
a
F1
S1 P2
P1 b
Projeto em Consulta Nacional
F2
1 P2
P1 c
F1
P2
S2
P1 d
F2
P2
e
H
Figura A.1 – Gráfico de risco para determinação do PLr requerido para a função de segurança
A Figura A.1 apresenta uma orientação para a determinação do PLr em função da apreciação de
risco de toda a máquina. O método de apreciação de risco é baseado na ABNT NBR ISO 12100.
Convém que o gráfico seja considerado para cada função de segurança.
Quando for evidente que há uma combinação de perigos diretamente relacionados os quais sempre
ocorrem simultaneamente, então convém que sejam combinados durante a estimativa de risco.
EXEMPLO 1 Um robô que executa solda continuamente pode criar várias situações de risco simultâneas,
por exemplo, esmagamento causado pelo movimento e queimadura causada pelo processo de solda.
Isto pode ser considerado uma combinação de perigos diretamente relacionados.
Projeto em Consulta Nacional
EXEMPLO 2 Para uma célula robotizada na qual diferentes robôs executam uma tarefa, cada robô é
considerado separadamente.
EXEMPLO 3 Em uma mesa rotativa com dispositivos de fixação, pode ser suficiente considerar cada
dispositivo separadamente, como resultado de uma apreciação de risco.
Anexo B
(informativo)
—— cada canal consiste em um ou diversos blocos – três blocos por canal nas arquiteturas desig-
nadas (entrada, lógica e saída) não é um número obrigatório, é simplesmente um exemplo para
uma separação lógica dentro de cada canal;
—— Convém que cada unidade de hardware da SRP/CS pertença exatamente a um bloco, permi-
tindo assim o cálculo do MTTFD do bloco com base no MTTFD das unidades de hardware que
pertencem ao bloco (por exemplo, calculado por meio da análise do modo e efeitos de falha
ou do método de contagem das partes, ver Anexo D.1);
NOTA Para os propósitos deste documento da ABNT NBR ISO 13849, “blocos” não correspondem aos
blocos funcionais ou blocos de confiabilidade.
—— os blocos utilizados somente para fins de teste e que não afetam a execução da função de
segurança nos diferentes canais quando estes falharem perigosamente, podem ser separados
dos blocos nos diferentes canais.
I1 O1
I2 L O2
Legenda
I1, I2 dispositivos de entrada, por exemplo, sensor
L lógica
O1, O2 dispositivos de saída, por exemplo, contator principal
T dispositivo de teste
I1 e O1 formam o primeiro canal (alinhamento em série)
I2, L e O2 formam o segundo canal (alinhamento em série), com ambos os canais executando a função
de segurança de forma redundante (alinhamento em paralelo)
T é utilizado somente para teste
Anexo C
(informativo)
C.1 Generalidades
Este Anexo apresenta diversos métodos para cálculo ou avaliação dos valores de MTTFD para
componentes individuais: o método apresentado em C.2 é baseado nas boas práticas de engenharia
para os diferentes tipos de componentes; o método apresentado em C.3 aplica-se a componentes
hidráulicos; C.4 apresenta uma forma de se calcular o MTTFD de componentes pneumáticos,
mecânicos e eletromecânicos a partir de B10 (ver C.4.1); C.5 lista os valores de MTTFD para
componentes elétricos.
a) Os componentes são fabricados de acordo com os princípios básicos e princípios de segurança
devidamente comprovados de acordo com a ABNT NBR ISO 13849-2, ou norma relevante
(ver Tabela C.1) para o projeto do componente (confirmação na folha de dados do componente).
NOTA Esta informação pode ser encontrada na folha de dados do fabricante do componente.
c) O projeto da SRP/CS atende aos princípios básicos e princípios de segurança devidamente com-
provados de acordo com a ABNT NBR ISO 13849-2, para a implementação e operação do componente.
a) Os componentes hidráulicos são fabricados de acordo com os princípios básicos e princípios de
segurança devidamente comprovados de acordo com a ABNT NBR ISO 13849-2, Tabelas C.1 e
C.2, para o projeto do componente hidráulico (confirmação na folha de dados do componente).
NOTA Esta informação pode ser encontrada na folha de dados do fabricante do componente.
Se os critérios apresentados em C.4 forem atendidos, o valor de MTTFD para um único componente
hidráulico, por exemplo, um válvula, pode ser estimado em 150 anos. Se o número médio de operações
anuais (nop) for inferior a 1 000 000, então, o valor de MTTFD pode ser estimado como um valor
superior, de acordo com a Tabela C.1.
Entretanto, se a) ou b) não for atingido, o valor de MTTFD para o componente hidráulico individual
Projeto em Consulta Nacional
tem que ser fornecido pelo fabricante. Em vez de utilizar um valor fixo de MTTFD, como descrito
anteriormente, é permitido utilizar o conceito B10D para MTTFD de componentes pneumáticos,
mecânicos e eletromecânicos, assim como para componentes hidráulicos, uma vez que o fabricante
possa prover os dados.
Tabela C.1 – Normas Internacionais que abordam o MTTFD ou B10D para componentes (continua)
Componentes hidráulicos
com 1 000 000 > nop ≥ 500 000 Tabelas C.1 e C.2 ISO 4413 MTTFD = 300
ciclos por ano
Componentes hidráulicos
com 500 000 > nop ≥ 250 000 Tabelas C.1 e C.2 ISO 4413 MTTFD = 600
ciclos por ano
Componentes pneumáticos Tabelas B.1 e B.2 ISO 4414 B10D = 20 000 000
EN 50205
Relés e contatores auxiliares
Tabelas D.1 e D.2 IEC 61810 B10D = 20 000 000
com pequena carga
ABNT NBR IEC 60947
EN 50205
Relés e contatores auxiliares
Tabelas D.1 e D.2 IEC 61810 B10D = 400 000
com carga nominal
ABNT NBR IEC 60947
Contatores com pequena carga Tabelas D.1 e D.2 ABNT NBR IEC 60947 B10D = 20 000 000
Interruptores de posição
ABNT NBR IEC 60947
(com atuador separado com Tabelas D.1 e D.2 B10D = 2 000 000
ISO 14119
ou sem bloqueio) a
C.4.1 Generalidades
Se os seguintes critérios forem atendidos, o valor de MTTFD para um único componente pneumático,
eletromecânico ou mecânico pode ser estimado de acordo com C.4.2.
a) Os componentes são fabricados de acordo com os princípios de segurança básicos de acordo
com a ABNT NBR ISO 13849-2:2019, Tabela B.1 ou Tabela D.1, para o projeto do componente
(confirmação na folha de dados do componente).
NOTA Esta informação pode ser encontrada na folha de dados do fabricante do componente.
NOTA Esta informação pode ser encontrada na folha de dados do fabricante do componente.
O número médio de ciclos até que 10 % dos componentes falhem perigosamente (B10D)2) pode
ser determinado pelo fabricante do componente de acordo com as normas relevantes do produto
para os métodos de teste (por exemplo, IEC 60957-5-1, ABNT NBR ISO 19973, IEC 61810).
Os modos de falha perigosa do componente têm que ser definidos, por exemplo, emperramento em
uma posição de fim de curso ou alteração dos tempos de comutação. Se nem todos os componentes
falharem perigosamente durante os testes (por exemplo, sete componentes ensaiados, somente cinco
falham perigosamente), convém que uma análise levando em consideração os componentes que não
falharam perigosamente seja realizada.
Com B10D e nop, número médio de operações anuais, o MTTFD para componentes pode ser calculado
como
B10D
MTTFD = (C.1)
0,1 × nop
onde
dop × hop × 3 600 s/h
nop = (C.2)
tciclo
com as seguintes suposições tendo sido efetuadas sobre a aplicação do componente:
tciclo é o tempo médio entre o início de dois ciclos sucessivos do componente (por exemplo,
comutação de uma válvula), expresso em segundos por ciclo.
O tempo de operação do componente é limitado a T10D, o tempo médio até que 10 % dos componentes
falhem perigosamente:
B
T10D = 10D (C.3)
nop
NOTA Explicação das equações em C.4.2.
B10D, o número médio de ciclos até que 10 % dos componentes falhem perigosamente, pode ser
convertido em T10D, o tempo médio até que 10 % dos componentes falhem perigosamente, utilizando
nop, o número médio de operações anuais:
B
T10D = 10D (C.4)
nop
2 Se a fração perigosa de B10 não for informada, 50 % de B10 pode ser utilizado, assim B10D = 2 B10 é
recomendado.
Os métodos de confiabilidade neste documento da ABNT NBR ISO 13849 supõem que a falha
de componentes seja distribuída exponencialmente ao longo do tempo: F(t) = 1 – exp(–λdt).
Para componentes pneumáticos e eletromecânicos, uma distribuição de Weibull é mais provável.
Porém, se o tempo de operação dos componentes for limitado ao tempo médio até que 10 % dos
componentes falhem perigosamente (T10D), então, uma taxa de falha perigosa constante (λD) durante
este tempo de operação pode ser calculada como
Projeto em Consulta Nacional
A equação (C.5) leva em consideração que, com uma taxa de falha constante, 10 % dos componentes
em uma dada aplicação falhe após T10D [anos], correspondendo a B10D [ciclo]. Para ser exato:
recomendado.
NOTA todas as variáveis utilizadas nas equações são quantidades físicas expressas como produto
de um valor numérico e uma unidade de medida. A correta aplicação por exemplo das formúlas C.5, C.5
e MTTFD = 1/λD requer a transformação de um valor expresso em “anos” para “horas”, sendo 1 ano = 8 760h.
C.4.3 Exemplo
Para uma válvula pneumática, um fabricante determina um valor médio de 60 milhões de ciclos como
B10D. A válvula é utilizada para dois turnos diários em 220 dias de operação por ano. O tempo médio
entre o início de duas manobras sucessivas da válvula é estimado como 5 s. Isto resulta nos seguintes
valores:
(C.10)
23, 7 anos
MTTFD = = 237 anos
0,1
Isto leva a um MTTFD “alto” para o componente de acordo com a Tabela 5. Essas suposições são
válidas somente para um tempo de operação restrito de 23,7 anos para a válvula.
C.5.1 Generalidades
As Tabelas C.2 a C.7 indicam alguns valores médios típicos de MTTFD para componentes eletrônicos.
Os dados são extraídos da base de dados da série SN 29500[40]. Todos os dados são de caráter geral.
Há diversas bases de dados disponíveis (ver lista não exaustiva na Bibliografia) que apresentam
valores de MTTFD para vários componentes eletrônicos. Se o projetista de um SRP/CS tiver outros
dados confiáveis e específicos sobre os componentes utilizados, então o uso dos dados específicos
são altamente recomendados em vez das Tabelas C.2 a C.7.
Os valores providos nas Tabelas C.2 a C.7 são válidos para uma temperatura de 40 °C, e carga
nominal para corrente e tensão.
Na coluna MTTF das tabelas, os valores provenientes de SN 29500 são para componentes genéricos,
para todos os modos de falha possíveis que não são necessariamente falhas perigosas. Na coluna
MTTFD, é normalmente suposto que nem todos os modos de falha levam a uma falha perigosa.
Isto depende principalmente da aplicação. Uma forma precisa de se determinar o MTTFD “típico” para
componentes é realizar um FMEA. Alguns componentes, por exemplo, transistores utilizados como
interruptores, podem ter curtos-circuitos ou interrupções como falha. Somente um destes dois modos
pode ser perigoso; portanto a coluna “observação” supõe somente 50 % de falha perigosa, o que
significa que o MTTFD para componentes é duas vezes o valor do MTTF provido.
C.5.2 Semicondutores
MTTFD para
MTTF para
componentes
Transistor Exemplo componentes Observação
anos
anos
Típico
MTTFD para
MTTF para
componentes
Diodo Exemplo componentes Observação
anos
anos
Típico
Projeto em Consulta Nacional
Diodo Zener Ptot < 1 W – 114 155 228 311 50 % de falha perigosa
MTTFD para
MTTF para
componentes
Capacitor Exemplo componentes Observação
anos
anos
Típico
Eletrolítico de tântalo Eletrólito sólido 114 155 228 311 50 % de falha perigosa
MTTFD para
MTTF para
componentes
Resistor Exemplo componentes Observação
anos
anos
Típico
MTTFD para
MTTF para
componentes
Indutor Exemplo componentes Observação
anos
anos
Típico
Projeto em Consulta Nacional
Indutores e transformadores de
– 22 831 45 662 50 % de falha perigosa
baixa frequência
Transformadores principais e
transformadores para modos – 11 415 22 831 50 % de falha perigosa
chaveados e fontes de alimentação
MTTFD para
MTTF para
componentes
Optoacopladores Exemplo componentes Observação
anos
anos
Típico
Anexo D
(informativo)
A equação geral é
N N
1 1 nj (D.1)
= ∑ =
MTTFD i =1MTTFDi j =1MTTFDj ∑
onde
MTTFDi, MTTFDj, é o MTTFD de cada componente que tem uma contribuição à função de segurança.
A primeira soma contempla cada componente separadamente; a segunda soma é uma forma simpli-
ficada e equivalente onde todos os componentes nj idênticos com o mesmo MTTFDj são agrupados.
O exemplo dado na Tabela D.1 estabelece um MTTFD do canal de 22,4 anos, o que é considerado
“médio” de acordo com a Tabela 5.
3 O método de contagem das partes é uma aproximação cujo erro (desvio) sempre tende para um resultado
mais seguro. Se valores mais exatos forem requeridos, recomenda-se que o projetista leve em consideração
os modos de falha, porém isto pode ser muito complicado.
NOTA 1 Este método é baseado na suposição de que uma falha perigosa de qualquer componente
(pior caso) dentro de um canal leva à falha perigosa do canal. O cálculo de MTTFD ilustrado na Tabela D.1
se baseia nisto.
NOTA 2 Neste exemplo, a principal influência vem do contator. Os valores escolhidos para MTTFD e B10D
para este exemplo são baseados no Anexo C. Para a aplicação de exemplo, são admitidos dop = 220 dias/
ano, hop = 8 h/dia e tciclo = 10 s/ciclo, resultando em nop = 633 600 ciclos/ano. De um modo geral, obter
Projeto em Consulta Nacional
os valores do fabricante para MTTFD e B10D leva a um resultado muito melhor, ou seja, um MTTFD mais
elevado para o canal.
D.2 MTTFD para diferentes canais, simetrização do MTTFD para cada canal
As arquiteturas designadas de 6.2 supõem que para diferentes canais em uma SRP/CS redundante,
os valores de MTTFD para cada canal são os mesmos. Convém que este valor por canal seja a
referência para a aplicação da Figura 5.
—— como uma hipótese de pior caso, convém que o valor mais baixo seja levado em consideração;
—— a Equação D.2 pode ser utilizada como uma estimativa de um valor que pode ser substituído
por MTTFD para cada canal:
(D.2)
2 1
MTTFD = MTTFD C1 + MTTFD C2 −
3 1 1
+
MTTFD C1 MTTFD C2
onde MTTFD C1 e MTTFD C2 são os valores para dois canais redundantes diferentes, cada um
limitado ao um valor máximo de 100 anos (categorias B, 1, 2, 3) ou 2 500 anos (categoria 4) antes
da aplicação da Equação D.2.
EXEMPLO Um canal tem um MTTFD C1 = 3 anos, o outro canal tem um MTTFD C2 = 100 anos, então
resulta em MTTFD = 66 anos para cada canal. Isto significa que um sistema redundante com 100 anos de
MTTFD em um canal e 3 anos de MTTFD no outro canal é igual a um sistema onde cada canal tem um
MTTFD de 66 anos.
Um sistema redundante com dois canais e valores diferentes de MTTFD para cada canal pode ser
substituído por um sistema redundante com MTTFD idêntico em cada canal utilizando-se a equação
anterior. Este procedimento é necessário para o uso correto da Figura 5.
Anexo E
(informativo)
Medida DC
Dispositivo de entrada
Monitoramento cruzado das entradas sem teste dinâmico 0 % a 99 %, dependendo de quantas vezes
uma alteração no sinal é efetuada pela
aplicação
Lógica
Medida DC
Lógica
Autoteste de inicialização para detectar defeitos latentes em partes da lógica 90 % (dependendo da técnica de teste)
(por exemplo, memórias de programa e dados, portas de entrada/saída,
interfaces)
Dispositivo de saída
Monitoramento das saídas por um canal sem teste dinâmico 0 % a 99 %, dependendo de quantas vezes
uma alteração no sinal é efetuada pela
aplicação
Monitoramento cruzado das saídas sem teste dinâmico 0 % a 99 %, dependendo de quantas vezes
uma alteração no sinal é efetuada pela
aplicação
Medida DC
Dispositivo de saída
NOTA 1 Para estimativas adicionais de DC, ver, por exemplo, IEC 61508-2:2000, Tabelas A.2 a A.15.
NOTA 2 Se for requerido DC médio ou alto para a lógica, tem que ser aplicada ao menos uma medida para a memória variável, para
memória invariável e para unidade de processamento, com DC de pelo menos 60 % cada. Também pode haver medidas que utilizaram
valores diferentes dos indicados nesta tabela.
NOTA 3 Para medidas onde uma faixa de DC é dada (por exemplo, detecção de falha pelo processo) o correto valor de DC pode
ser determinado levando-se em consideração todas as falhas perigosas e então, decidindo quais delas são detectadas pela medida
de DC. Em caso de alguma dúvida, convém que um método como FMEA seja a base para estimativa de DC.
EXEMPLO 1 O Anexo E da ABNT NBR ISO 13849-2 apresenta um exemplo de trabalho completo
(que é bem detalhado) para a validação de comportamento de falha e meios de diagnóstico em uma máquina
automática de montagem.
EXEMPLO 2 A ISO/TR 24119 descreve uma tabela pragmática de passo a passo, baseada em uma
metodologia para avaliação de cobertura de diagnóstico para uma série de dispositivos de intertravamento
conectados.
EXEMPLO 3 A medida DC “detecção de falha pelo processo” somente pode ser aplicada se os compo-
nentes relativos à segurança estiverem envolvidos no processo produtivo, por exemplo, um PLC convencional
ou sensores convencionais são usados para um processamento de material, e como partes de um dos dois
canais funcionais redundantes executando a função de segurança. O nível de DC apropriado depende da
sobreposição dos recursos compartilhados (lógica, entradas, saídas etc). Por exemplo, quando todas as
falhas de um encoder rotativo em uma máquina impressora levam a uma interrupção altamente visível do
processo de impressão, o DC para este sensor usado para monitorar uma velocidade limitada de segurança
pode ser estimado de 90 % até 99 %.
A DC pode ser determinada como a razão entre a taxa de falha das falhas perigosas detectadas e a
taxa de falha das falhas perigosas totais. De acordo com esta definição, uma cobertura de diagnóstico
média DCavg é estimada pela seguinte Equação:
Aqui todos os componentes da SRP/CS sem exclusão de defeitos têm que ser considerados e
Projeto em Consulta Nacional
somados. Para cada bloco, o MTTFD e a DC são levados em consideração. A DC nesta equação
significa a razão da taxa de falhas das falhas perigosas detectadas da peça (independentemente das
medidas utilizadas para detectar as falhas) pela taxa de falhas de todas as falhas perigosas da peça.
Assim, a DC refere-se à parte testada e não ao dispositivo de teste. Componentes sem detecção de
falhas (por exemplo, que não são testados) têm DC = 0 e contribuem somente para o denominador
da DCavg.
Anexo F
(informativo)
NOTA Nesta Parte da ABNT NBR ISO 13849, supõe-se que para sistemas redundantes, convém que um
fator β de acordo com a IEC 61508-6:2000, Anexo D seja ser menor ou igual a 2 %.
A Tabela F.1 lista as medidas e contém os valores associados com base no julgamento de engenharia,
que representa a contribuição que cada medida faz na redução das falhas de causa comum.
Para cada medida listada, somente a pontuação integral ou nenhuma pontuação pode ser declarada.
Se somente uma medida for atendida parcialmente, a pontuação de acordo com esta medida é zero.
1 Separação/segregação
2 Diversidade
3 Projeto/aplicação/experiência
4 Avaliação/análise
Para cada parte das partes de sistemas de comando relacionadas à segurança, uma analise de modo
Projeto em Consulta Nacional
e efeito de falhas foi realizada e seus resultados foram levados em consideração para evitar a falha 5
de causa comum no projeto.
5 Competência/treinamento
6 Ambiental
Outras influências
6.2 Os requisitos de imunidade a todas as influências ambientais relevantes, como, temperatura, impacto, 10
vibração, umidade (por exemplo, conforme especificado nas Normas relevantes)
[100 máx.
Total
atingível]
Anexo G
(informativo)
Falha sistemática
Projeto em Consulta Nacional
G.1 Generalidades
A ABNT NBR ISO 13849-2 provê uma lista abrangente de medidas contra falha sistemática as quais
convém que sejam aplicadas, tais como princípios básicos de segurança e princípios de segurança
devidamente comprovados.
—— Medidas para controlar os efeitos de queda na tensão, variações na tensão, sobretensão, subtensão
—— Medidas para controlar ou evitar os efeitos do ambiente físico (por exemplo, temperatura, umidade,
água, vibração, poeira, substâncias corrosivas, interferência eletromagnética e seus efeitos)
Convém que o comportamento da SRP/CS em resposta ao efeito do ambiente físico seja prede-
terminado de modo que a SRP/CS possa atingir ou manter um estado seguro da máquina
(ver também, por exemplo, ABNT NBR IEC 60529, IEC 60204-1).
—— Monitoramento da sequência do programa deve ser utilizado com a SRP/CS que contém software
a fim de detectar sequências incorretas no programa
—— Medidas para controlar os efeitos de erros e outros efeitos decorrentes de qualquer processo
de comunicação de dados (ver IEC 61508-2:2000, 7.4.8)
Além disso, convém que uma ou mais das seguintes medidas sejam aplicadas, levando em conside-
ração a complexidade da SRP/CS e seu PL:
—— detecção de falhas por testes automáticos;
—— hardware diversificado;
—— sobredimensionamento por um fator adequado, onde o fabricante possa demonstrar que o redi-
mensionamento melhorará a confiabilidade – quando o sobredimensionamento for apropriado,
convém que um fator de sobredimensionamento de pelo menos 1,5 seja utilizado.
Seleção de material, métodos de fabricação e tratamento em relação a, por exemplo, tensão, dura-
bilidade, elasticidade, atrito, desgaste, corrosão, temperatura, condutividade, rigidez dielétrica.
Consideração de, por exemplo, tensão, deformação, fadiga, temperatura, rugosidade superficial,
tolerâncias, fabricação.
Aplicar normas apropriadas e notas de aplicação do fabricante, por exemplo, folhas de catálogo,
instruções de instalação, especificações e uso de boas práticas de engenharia.
—— Compatibilidade
NOTA 1 Componentes como válvulas hidráulicas ou pneumáticas requerem comutações cíclicas para
evitar falhas por não comutação ou aumento do tempo de comutação inaceitável. Neste caso, testes
periódicos são necessários.
Projetar a SRP/CS de modo que ela seja capaz de trabalhar em todos os ambientes esperados
e em quaisquer condições adversas previsíveis, por exemplo, temperatura, umidade, vibração e
interferência eletromagnética (EMI) (ver ABNT NBR ISO 13849-2:2018, D.2).
—— Uso de componentes projetados segundo uma norma apropriada e que tenham modos de falha
bem definidos
Reduzir o risco de defeitos não detectados pelo uso de componentes com características
específicas (ver IEC 61508-7:2000, B.3.3).
Projeto em Consulta Nacional
Além disso, convém que uma ou mais das seguintes medidas sejam aplicadas, levando em conside-
ração a complexidade da SRP/CS e seu PL:
—— Simulação
NOTA 2 A IEC 61508-2:2010, Anexo F especifica técnicas e medidas para prevenção de falhas siste-
máticas durante o projeto e desenvolvimento de circuitos integrados para aplicações específicas (ASIC),
arranjos de portas programáveis em campo (FPGA), dispositivos lógicos programáveis (PLD) etc.
—— testes funcionais;
—— gerenciamento de projetos;
—— documentação.
Além disso, convém que o teste de caixa preta seja aplicado, levando em consideração a comple-
xidade da SRP/CS e seu PL.
Anexo H
(informativo)
A Figura H.1 é um diagrama esquemático das partes relacionadas à segurança que proveem uma das
funções que controlam um atuador da máquina. Este não é um diagrama funcional ou de trabalho e
é incluído somente para demonstrar o princípio da combinação das categorias e tecnologias em uma
única função.
O controle é provido por meio da lógica de controle eletrônico e uma válvula hidráulica direcional.
O risco é reduzido por um AOPD, que detecta o acesso à zona perigosa e impede a ativação
do atuador hidráulico quando o feixe de luz é interrompido.
As partes relacionadas à segurança que proveem a função de segurança são: AOPD, lógica de
controle eletrônico, válvula hidráulica direcional e os meios de interconexão.
Estas partes combinadas relacionadas à segurança proveem uma função de parada como uma
função de segurança. Na medida em que o AOPD é interrompido, as saídas transferem um sinal à
lógica de controle eletrônico, que provê um sinal à válvula hidráulica direcional para interromper o
fluxo hidráulico em função da saída da SRP/CS. Na máquina, isto interrompe o movimento perigoso
do atuador.
Esta combinação de partes relacionadas à segurança cria uma função de segurança que demonstra
a combinação de diferentes categorias e tecnologias com base nos requisitos providos na Seção 6.
Utilizando os princípios estabelecidos neste documento da ABNT NBR ISO 13849, as partes relacio-
nadas à segurança mostradas na Figura H.2 podem ser descritas conforme exibido a seguir.
NOTA 1 A posição, tamanho e leiaute dos meios de interconexão também são em consideração.
Essa combinação leva a PLbaixo = c e Nbaixo = 2 a um nível de desempenho total PL = c (ver 6.3).
NOTA 2 No caso de um único defeito na categoria 1 ou partes na categoria 2 da Figura H.2, pode haver
uma perda da função de segurança.
Fa
Projeto em Consulta Nacional
A B
PES
P T y
AOPD E F
Legenda
AOPD dispositivo de proteção optoeletrônico ativo (por exemplo, cortina de luz), SRP/CSa: Categoria 2
[Tipo 2], PL = c
E lógica de controle eletrônico, SRP/CSb: Categoria 3, PL = d
F sistema hidráulico, SRP/CSc: Categoria 1, PL = c
Fa atuador hidráulico
H movimento perigoso
I L O I1 L1 O1
Projeto em Consulta Nacional
I L O
TE OTE I2 L2 O2
AOPD E F
Legenda
Anexo I
(informativo)
Exemplos
Projeto em Consulta Nacional
I.1 Generalidades
Este Anexo ilustra o uso dos métodos descritos nos Anexos anteriores para identificar as funções de
segurança e determinar o PL. A quantificação de dois circuitos de controle é dada. Para o procedimento
passo a passo, ver Figura 3.
Dois exemplos diferentes de circuitos de comando para máquinas distintas (A e B), são examinados,
ver Figura I.1 e Figura I.3. Ambos ilustram o desempenho da mesma função de segurança de
intertravamento da porta de proteção, porém possuem diferentes PLr devido a diferenças nas
aplicações. O primeiro exemplo consiste em um canal com componentes eletromecânicos com
valores de MTTFD médio e alto, enquanto o segundo exemplo é constituído por dois canais – um
eletromecânico e outro eletrônico programável – formados por componentes com valores de MTTFD
médio e alto, e com diagnóstico apropriado.
NOTA Para o exemplo B, a apreciação de riscos determina que a perda da desaceleração controlada
do motor como resultado de um mau funcionamento (SW2, CC ou PLC) é aceitável.
A distância mínima entre a proteção intertravada e as partes móveis da máquina foi determinada de
acordo com a ABNT NBR ISO 13855, baseado no desempenho de parada da máquina.
Para o exemplo A, os parâmetros de risco de acordo com o método do gráfico de risco (ver Figura A.1)
são os seguintes:
—— frequência e/ou tempo de exposição ao perigo, F = F1, raramente a menos frequente e/ou o
tempo de exposição curto;
Essas seleções de parâmetros de risco levam a um nível de desempenho requerido PLr igual a c.
Determinação da categoria preferencial: um nível de desempenho “c” pode ser atingido tipicamente
por sistemas de um único canal muito confiável (categoria 1), sistemas de um único canal com
monitoramento (categoria 2) ou arquiteturas redundantes (categoria 3) (ver Figura 5 e Seção 6).
Para o exemplo B, os parâmetros de risco S2 e P1 são os mesmos, porém, para frequência e/ou
tempo de exposição ao risco, F = F2, frequente a contínuo e/ou o tempo de exposição longo.
Essas seleções de parâmetros de risco levam a um nível de desempenho requerido PLr igual a d.
Determinação da categoria preferencial: um nível de desempenho “d” pode ser atingido tipicamente
Projeto em Consulta Nacional
K1A
Legenda
—— a chave de posição SW1A (NF) tem ação mecânica positiva do contato e B10D elevado;
SW1A K1A
Legenda
K1A contator
SW1A interruptor de posição
Os valores de MTTFD, DCavg e medidas de prevenção contra CCF são estimados de acordo com os
Anexos C, D, E e F ou devem ser providos pelo fabricante. As categorias são estimadas de acordo
com 6.2.
—— MTTFD
O interruptor de posição SW1A e o contator K1A contribuem ao MTTFD de um dos canais. Admite-se
que os valores B10D, SW1A = 20.000.000 ciclos (independentemente da carga) e o B10D, K1A
= 400 000 ciclos (contator em carga máxima) são informados pelo fabricante. Aplicando-se o
método de C.4.2, com 220 dias de trabalho por ano, 8 h de trabalho por dia e um tempo de
ciclo de 60 min, isto leva a um MTTFD, SW1A = 113.636 anos e um MTTFD, K1A = 2.273 anos.
Então, adotando-se o método de contagem de partes de D.1, o MTTFD, do canal é calculado
conforme a seguir:
1 1 1 1 1 0,000 45
= + = + = (I.1)
MTTFD MTTFD,SW1A MTTFD, K1A 113.636 anos 2.273 anos anos
o que leva ao MTTFD = 2 222 anos (limitado a 100 anos) para o canal, ou “alto”, acordo com 4.5.2,
Tabela 5.
NOTA Se nenhuma informação de B10D para SW1A ou K1A estiver disponível, uma hipótese de pior
caso de acordo com C.2 ou C.4 pode ser adotada.
—— T10D
O método dado em C.4.2 resulta em T10D, SW1A igual a 11 364 anos e T10D, K1A igual a 227 anos,
sendo que ambos excedem o tempo de missão de 20 anos e portanto eliminam a necessidade
de alguma intervenção preventiva.
—— DC
Devido a nenhum teste ser efetuado no circuito de controle, DC = 0 ou “nulo” de acordo com 4.5.3,
Tabela 6.
—— CCF
Pelo fato de somente um canal ser utilizado, medidas de prevenção contra CCF não são relevantes.
—— Categoria
Dados de entrada para a Figura 5: MTTFD para cada canal é “alto” (100 anos), DCavg é “nulo” e a
Projeto em Consulta Nacional
categoria é 1.
A aplicação do Anexo K fornece uma probabilidade média de falhas perigosas por hora (PFHD)
de 1,14 × 10-6/h e PLc.
Este resultado coincide com o nível de desempenho requerido c de acordo com I.2. Consequente-
mente, o circuito de comando atende aos requisitos para redução de risco da aplicação do exemplo A
de I.2, cujos parâmetros de avaliação são S2, F1, P1 e PLr c.
SW2 K1B
PLC
Cs
K1B Es CC
RS n M
Legenda
PLC controlador lógico programável Cs comando de parada (convencional)
CC conversor de corrente ES habilitação (convencional)
M motor K1B contator
RS sensor de rotação SW1B interrupção de posição (NF)
o proteção intertravadaOaberta SW2 interrupção
L
de posição (NA)
+
c proteção intertravadaCfechada ruptura positiva
SW1A
Neste segundo exemplo, uma arquitetura redundante com dois canais é utilizada. Assim como no
exemplo A, o primeiro canal utiliza um interruptor de posição SW1B com contatos normalmente
fechados com ruptura positiva é usado em modo de atuação positiva. Este interruptor de posição está
conectado a um contator K1B capaz de desligar o motor. No segundo canal, que inclui componentes
eletrônicos (programáveis), um segundo interruptor de posição SW2 está conectado a um controlador
lógico programável PLC que pode controlar o conversor de corrente CC para interromper a energia
Projeto em Consulta Nacional
—— somente o interruptor de posição SW1B tem ação mecânica positiva do contato (NF), porém
ambos os interruptores de posição SW1B e SW2 possuem B10D elevado;
—— O software aplicativo relacionado à segurança referente ao PLC (SRASW), por exemplo, as partes
do software relacionadas ao monitoramento dos sinais de entrada SW2, K1B, RS e comandos
de saída para o conversor de corrente, é específico, projetado e verificado de acordo com 4.6.3
para PLr d.
As partes relacionadas à segurança e suas divisões em canais podem ser ilustradas no diagrama
de blocos relacionado à segurança, conforme mostrado na Figura I.4. O primeiro canal consiste em
SW1B e K1B e o segundo canal consiste em SW2, PLC, e CC, enquanto RS é apenas utilizado para
testar o conversor de corrente.
SW1B K1B
SW2 PLC CC
RS
Legenda
Figura I.4 – Diagramas de blocos que identificam partes relacionadas à segurança do exemplo B
I.4.2 Quantificação do MTTFD para cada canal, DCavg, medidas contra CCF,
categoria e PL
Os valores de MTTFD para cada canal, DCavg e medidas contra falhas de causa comum são ava-
liados de acordo com os Anexos C, D, E e F ou são fornecidos pelo fabricante. As categorias
são estimadas de acordo com 6.2.
Projeto em Consulta Nacional
O interruptor de posição SW1B possui contatos normalmente fechados com ruptura positiva e é usado
em modo de atuação positiva, porém, a exclusão de falhas mecânicas não é justificada.
—— MTTFD
O interruptor de posição SW1B e o contator K1B contribuem para o MTTFD, C1 do primeiro canal.
Os valores de B10D,SW1B = 20 000 000 ciclos (interruptor de posição independente da carga)
e B10D,K1B = 400 000 ciclos (contator em carga máxima) são valores admitidos como sendo
fornecidos pelo fabricante. Aplicando-se o método descrito em C.4.2, considerando 300 dias de
trabalho por ano, 16 h de trabalho por dia e um ciclo de operação de 4 min, isto resulta em um
MTTFD,SW1B = 2 778 anos e um MTTFD,K1B = 56 anos. Desta forma, utilizando o método de
contagem de partes descrito em D.1, o MTTFD,C1 do primeiro canal é calculado da seguinte forma:
1 1 1 1 1 0, 018 2 (I.2)
= + = + =
MTTFD,C1 MTTFD,SW1B MTTFD, K1B 2 778 anos 56 anos anos
o que leva ao MTTFD = 55 anos para o primeiro canal, que é “alto” conforme a Tabela 5 dada
em 4.5.2.
No segundo canal, SW2, PLC e CC contribuem para o MTTFD,C2. O B10D,SW2 de 1 000 000
de ciclos é um valor admitido como sendo fornecido pelo fabricante. Aplicando-se o método
descrito em C.4.2, como feito para o primeiro canal, isto resulta em um MTTFD,SW2 de 139 anos.
Para PLC e CC, um MTTFD de 20 anos é admitido como sendo fornecido pelo fabricante.
Desta forma, utilizando o método de contagem de partes descrito em D.1, o MTTFD,C2 do segundo
canal é calculado da seguinte forma:
1 1 1 1 1 1 0, 010 7 (I.3)
= + + = + =
MTTFD,C2 MTTFD,SW2 MTTFD, PLC MTTFD,CC 139 anos 20 anos anos
o que leva ao MTTFD = 9,3 anos para o segundo canal, que é “baixa” de acordo com 4.5.2.
NOTA Se nenhuma informação de MTTFD para SW1B, SW2 ou K1B estiver disponível, no pior caso,
um valor de acordo com C.2 ou C.4 pode ser adotado.
Devido a ambos os canais terem diferentes MTTFD, a Equação de D.2 pode ser utilizada
para calcular um valor de substituição para um único canal MTTFD de um sistema simétrico
de dois canais. Aaplicação desta equação resulta em um MTTFD = 37 anos para cada canal,
que corresponde ao nível “alta”, de acordo com 4.5.2, Tabela 5.
—— T10D
O método descrito em C.4.2 resulta em T10D,SW1B de 278 anos, T10D,K1B de 5,5 anos e T10D,SW2
de 13,9 anos, sendo que os dois últimos são menores que o tempo de missão de 20 anos.
A estimativa de PL e PFH é então válida somente se K1B for substituído antes de 5,5 anos
e se SW2 for substituído antes de 13,9 anos de operação respectivamente.
—— DC
No circuito de controle B, cinco das partes relacionadas à segurança são testadas pelo PLC.
Este teste consiste em monitorar o sinal de feedback proveniente de SW1B, SW2 e K1B pelo
PLC, o CC é monitorado pelo PLC por meio de RS e o PLC se auto monitora. Os valores de DC
relacionados à cada parte testada são
Projeto em Consulta Nacional
1) DCSW1B = DCSW2 = 99 %, “alta”, devido ao monitoramento dos sinais de entrada com
verificação de plausibilidade, ver Tabela E.1 (segunda linha da seção dispositivo de entrada),
2) DCK1B = 99 %, “alta”, devido aos contatos normalmente abertos e normalmente fechados
mecanicamente ligados ou guiados, ver Tabela E.1,
3) DCPLC = 30 %, “nulo”, devido à baixa efetividade dos auto testes (presume-se que o fabri-
cante tenha calculado esse valor por FMEA), e
4) DCCC = 90 %, “média”, devido ao monitoramento indireto do atuador pelo controlador lógico,
ver Tabela E.1 (sexta linha da seção dispositivo de saída) – se o PLC monitora uma falha
de CC, ele é capaz de parar o movimento por meio da entrada de habilitação e por meio da
desenergização de K1B (trajetória de desligamento adicional).
Para obter a estimativa do PL, um valor de DC média (DCavg) é necessário como entrada para
a Figura 5.
DCSW1B DCK1B DCSW2 DCPLC DCCC (I.4)
+ + + +
MTTFD,SW1B MTTFD,K1B MTTFD,SW2 MTTFD,PLC MTTFD,CC
DCavg = =
1 1 1 1 1
+ + + +
MTTFD,SW1B MTTFD,K1B MTTFD,SW2 MTTFD,PLC MTTFD,CC
—— CCF
Admite-se que uma estimativa das medidas contra CCF de acordo com F.2 tenha sido realizada
para o circuito de controle B. Pontuações são declaradas conforme a Tabela I.1.
1 Separação/segregação
2 Diversidade
3 Projeto/aplicação/experiência
3.2 Nula
Os componentes utilizados são devidamente comprovados. (somente parcialmente 5
atendido, ver F.2)
4 Avaliação/análise
5 Competência/treinamento
6 Ambiental
As medidas suficientes contra CCF requerem uma pontuação mínima de 65. No exemplo B,
uma pontuação de 85 é suficiente para atender aos requisitos contra CCF.
As características da categoria 3 são atendidas porque um único defeito em qualquer umas das
partes não leva à perda da função de segurança. Sempre que for razoavelmente praticável, o único
defeito é detectado na próxima demanda, ou antes desta, sob a função de segurança. A cobertura de
diagnóstico (DCavg) está na faixa de 60 % a 90 %, as medidas contra CCF são suficientes e MTTFD
equivalentes para cada canal é “alto”.
Dados de entrada para a Figura 5: MTTFD para o canal é “alto” (37 anos), DCavg é “baixa” e a
categoria é 3.
Aplicações do Anexo K (36 anos de uso) proveem uma probabilidade média de uma falha perigosa
por hora (PFHD) de 5,16 × 10−7/h e PL d.
Este resultado coincide com o nível de desempenho requerido PLd de acordo com I.2. Consequen-
temente, o circuito de comando B atende aos requisitos para redução de risco da aplicação de
exemplo B de I.2 cujos parâmetros da apreciação de risco são: S2, F2, P1 e PLrd.
Projeto em Consulta Nacional
Anexo J
(informativo)
Software
Projeto em Consulta Nacional
O projeto do SRESW desta aplicação no nível do bloco de funções é mostrado na Figura J.1.
Aquisição Processamento
sensor 1 função 1 Controle
atuador 1
Aquisição
sensor 2
Aspecto da especificação do software: Releitura das descrições (ver J.3) “Descrições do software"
Transcrição das funções da
máquina em funções de software
Aspecto da arquitetura do software: Definição de blocos críticos que "Modelagem do bloco de funções"
Detalhar as funções em blocos são objeto de maior revisão e
funcionais esforço de validação
—— testes de consistência;
Convém que a programação seja estruturada de forma a exibir um esqueleto geral consistente e
compreensível que permita a diferentes processamentos serem facilmente localizados. Isto implica
3) nos comentários sobre cada seção do programa na fonte do programa para facilitar a atuali-
zação do comentário no caso de modificação,
4) na descrição da função que um bloco de funções tem ao chamar este bloco,
5) no uso conveniente do local de memória somente por um único grupo de tipo de dados a ser
marcado por rótulos exclusivos, e
6) na conveniente sequência de trabalho que não dependa das variáveis como um endereço de
salto calculado no tempo de execução do programa, saltos condicionais sendo autorizados.
—— Convém que a ativação ou desativação de qualquer saída ocorra somente uma vez
(condições centralizadas).
—— Convém que o programa seja estruturado de tal forma que as equações para atualização
de uma variável sejam centralizadas.
—— Convém que cada variável global, de entrada ou saída, tenha um nome mnemônico explícito
o suficiente e seja descrita por um comentário dentro da fonte.
—— De preferência utilizar blocos de função que foram validados pelo fornecedor da SRP/CS,
checando se as condições de operação assumidas para esses blocos validados correspondem
às condições do programa.
—— Convém que o tamanho do bloco codificado seja limitado aos seguintes valores de referência:
ii) código de função – máximo de dez variáveis locais, máximo de 20 equações Booleanas.
—— Convém que um valor digital seja controlado em relação aos critérios preestabelecidos para
assegurar o domínio da validade.
—— Convém que o código de defeitos de um bloco seja acessível para discriminar um defeito
entre outros.
Projeto em Consulta Nacional
—— Convém que os códigos de defeitos e o estado do bloco após a detecção do defeito sejam
descritos por comentários.
Anexo K
(Informativo)
Bibliografia
[1] IEC 61000-4-4, Electromagnetic compatibility (EMC) – Part 4: Testing and measurement
techniques – Section 4: Electrical fast transient/burst immunity test
[2] IEC 61496-1, Safety of machinery – Electro-sensitive protective equipment – Part 1: General
requirements and tests
[3] IEC 61496-2, Safety of machinery – Electro-sensitive protective equipment – Part 2: Particular
requirements for equipment using active opto-electronic protective devices
[4] IEC 61496-3, Safety of machinery – Electro-sensitive protective equipment – Part 3: Particular
requirements for active opto-electronic protective devices responsive to diffuse reflection
(AOPDDR)
Publicações adicionais
[12] ISO 13850, Safety of machinery – Emergency stop – Principles for design
[13] ISO 13851, Safety of machinery – Two-hand control devices – Functional aspects and design principles
[14] ISO 13856-1, Safety of machinery – Pressure-sensitive protective devices – Part 1: General
principles for design and testing of pressure-sensitive mats and pressure-sensitive floors
[15] ISO 13856-2, Safety of machinery – Pressure-sensitive protective devices – Part 2: General
principles for design and testing of pressure-sensitive edges and pressure-sensitive bars
[16] ISO 11428, Ergonomics – Visual danger signals – General requirements, design and testing
[18] ISO 9355-1, Ergonomic requirements for the design of displays and control actuators –
Part 1: Human interactions with displays and control actuators
Projeto em Consulta Nacional
[19] ISO 9355-2, Ergonomic requirements for the design of displays and control actuators –
Part 2: Displays
[20] ISO 9355-3, Ergonomic requirements for the design of displays and control actuators –
Part 3: Control actuators
[21] ISO 11429, Ergonomics – System of auditory and visual danger and information signals
[22] ISO 7731, Ergonomics – Danger signals for public and work areas – Auditory danger signals
[23] ISO 4413, Hydraulic fluid power – General rules and safety requirements for systems and their
components
[24] ISO 4414, Pneumatic fluid power – General rules and safety requirements for systems and their
components
[25] ISO 13855:2010, Safety of machinery – Positioning of protective equipment with respect to the
approach speeds of parts of the human body
[27] ISO 19973 (all parts), Pneumatic fluid power – Assessment of component reliability by testing
[28] IEC 60204-1:2005, Safety of machinery – Electrical equipment of machines – Part 1: General
requirements
[29] IEC 60447, Basic and safety principles for man-machine interface (MMI) – Actuating principles
[31] IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects
analysis (FMEA)
[33] IEC 61000-6-2, Electromagnetic compatibility (EMC) – Part 6-2: Generic standards – Immunity
for industrial environments
[34] IEC 61800-3, Adjustable speed electrical power drive systems – Part 3: EMC requirements
and specific test methods
[36] IEC 61300 (all parts), Fibre optic interconnecting devices and passive components – Basic test
and measurement procedures
[37] IEC 61310 (all parts), Safety of machinery – Indication, marking and actuation
[39] EN 457, Safety of machinery – Auditory danger signals – General requirements, design and testing
Projeto em Consulta Nacional
[40] EN 614-1, Safety of machinery – Ergonomic design principles – Part 1: Terminology and general
principles
[41] EN 982, Safety of machinery – Safety requirements for fluid power systems and their
components – Hydraulic
[42] EN 983, Safety of machinery – Safety requirements for fluid power systems and their
components – Pneumatic
[43] EN 1005-3, Safety of machinery – Human physical performance – Part 3: Recommended force
limits for machinery operation
[44] EN 1088, Safety of machinery – Interlocking devices associated with guards – Principles for
design and selection
[47] Goble W.M. Control systems – Evaluation and Rehability. 2nd Edition. Instrument Society of
America (ISA), North Carolina, 1998
[48] BGIA-Report 2/ 2008e, Functional safety of machine controls – Application of ISO 13849,
GermanSocial Accident Insurance (DGUV), June 2009, ISBN 978-3-88383-793-2, free download
in the Internet: www.dguv.de/ifa/13849e
Bases de dados
[49] SN 29500, Failure rates of components, Edition 1999-11, Siemens AG 1999, www.pruefinstitut.de
[50] IEC/TR 62380, Reliability data handbook – Universal model for reliability prediction of
electronics components, PCBs and equipment, identical to RDF 2000/Reliability Data Handbook,
UTE C 80-810, Union Technique de l’Electricité et de la Communication (www.ute-fr.com)
[52] Reliability Prediction Procedure for Electronic Equipment, Telcordia SR-332, Issue 01, May 2001
(telecom-info.telcordia.com), Bellcore TR-332, Issue 06
[53] EPRD, Electronic Parts Reliability Data (RAC-STD-6100), Reliability Analysis Centre, 201 Mill
Street, Rome, NY 13440 (rac.alionscience.com)
[54] NPRD-95, Non-electronic Parts Reliability Data (RAC-STD-6200), Reliability Analysis Centre, 201
Mill Street, Rome, NY 13440 (rac.alionscience.com)
[55] British Handbook for Reliability Data for Components used in Telecommunication Systems,
British Telecom (HRD5, last issue)