Escolar Documentos
Profissional Documentos
Cultura Documentos
Esta norma prevê requisitos para a concepção e integração de peças relacionadas com a
segurança dos sistemas de controlo, incluindo alguns aspectos do software. A norma aplica-se
aplica -se
a um sistema de segurança, mas também pode ser aplicado aos componentes do sistema.
SISTEMA é um acrônimo para "Safety Integrity Software Tool for the Evaluation of Machine
Applications" Foi desenvolvido pela BGIA na Alemanha e é de uso livre. É necessária a entrada
de vários tipos de dados de segurança funcional, como descrito posteriormente nesta seção.
Resu m o d a EN ISO
ISO 13849-1
13849-1
Esta norma tem larga aplicação, como se aplica a todas as tecnologias, incluindo elétrica,
hidráulica, pneumática e mecânica. Embora a ISO 13849-1 seja aplicável aos sistemas
complexos, ela também remete o leitor para IEC 62061
620 61 e IEC 61508 para sistemas de software
complexos incorporados.
As saídas
níveis do padrão antigo
de performance erab,categorias
[NP a, c, d ou e].[B,
O 1, 2, 3 oude
conceito 4].categoria
As saídasédamantido,
nova norma
mas são os
existem
requisitos adicionais a serem preenchidas para que um NP pode ser reivindicada por um
sistema.
Mais tarde vamos dar uma olhada nesses fatores, mas antes de fazê-lo, será útil considerar a
intenção básica e o princípio da norma geral. É claro neste momento que há coisas novas para
aprender, mas o detalhe fará mais sentido uma vez que tenhamos entendido o que ele está
tentando alcançar e por quê.
Primeiro de tudo porque precisamos
pr ecisamos do novo padrão? É óbvio que a tecnologia utilizada nos
sistemas de segurança da máquina avançou e mudou consideravelmente ao longo dos últimos
dez anos. Até há relativamente pouco tempo os sistemas de segurança têm dependido de
"simples" equipamentos com modos de falha muito previsível. Mais recentemente, temos visto
uma crescente utilização de aparelhos eletrônicos mais complexos e programável em sistemas
de segurança. Isto deu-nos vantagens em termos
t ermos de custo, flexibilidade e compatibilidade,
mas ele também significou que as normas pré-existentes
pré -existentes já não são suficientes. Para saber se
um sistema de segurança é bom o suficiente, precisamos
pr ecisamos saber mais sobre ele. É por isso que
a nova norma solicita mais informações. Como os sistemas de segurança começam a usar uma
abordagem "caixa preta" começamos a confiar mais pesadamente sobre a sua conformidade
com as normas. Portanto, essas normas precisam ser capazes de interrogar
inter rogar corretamente a
tecnologia. Para cumprir isso, eles devem falar com os elementos
elemen tos básicos de confiabilidade,
detecção de falhas, arquitectónico e integridade sistemática. Esta é a intenção da norma EN
ISO 13849-1.
NPr é utilizado para designar o nível de desempenho que é exigido pela função de segurança.
A fim de determinar a NPr,a norma fornece um gráfico de risco em que os fatores de
aplicação da gravidade dos ferimentos, a frequência de exposição e a possibilidade de evasão
são introduzidos.
A saida é a NPr. Usuários da antiga EN 954-1 estarão familiarizados com esta abordagem, mas
tome nota de que a linha S1 agora subdivide na qual o antigo gráfico de risco não o fazia.
Note que isto significa uma eventual reapreciação da integridade das medidas de segurança
necessárias em níveis mais baixos de risco.
A norma prevê alguma ajuda listando muitas das funções de segurança comumente utilizados
Um dos fatores importantes na decisão sobre qual padrão usar [EN ISO 13849-1 e EN/IEC
62061] é a complexidade da função de segurança. Na maioria dos casos, para as máquinas, a
função de segurança, será relativamente simples e EN ISO 13849-1 será a rota mais adequada.
Confiabilidade dos dados, diagnóstico de cobertura [DC], a arquitetura do sistema [categoria],
insuficiência de causa comum e, quando pertinente, os requisitos de software
s oftware são utilizados
para avaliar o NP.
Esta é uma descrição simplificada apenas para dar uma visão geral. É importante
compreender que todas as disposições contidas no corpo da norma devem ser aplicadas. No
entanto, a ajuda está à mão. A ferramenta de
d e software SISTEMA está disponível para ajudar
com os aspectos de documentação e cálculo. Ele também gera um arquivo técnico.
Até a impressão desta publicação, o SISTEMA estava disponível em alemão e inglês. Outros
idiomas serão lançados no futuro próximo. BGIA, o desenvolvedor do SISTEMA, é uma
instituição de pesquisa e teste muito respeitada, com matriz na Alemanha. Ele está
particularmente envolvido na resolução de problemas científicos e técnicos relacionados com
a segurança no âmbito do seguro obrigatório contra acidentes e prevenção na Alemanha. Ele
trabalha em cooperação com a saúde e as agências de segurança
seguran ça em mais de 20 países. Os
peritos da BGIA, junto com seus colegas de BG, tiveram significativa participação na
elaboração de ambos EN ISO 13849-1 e IEC/EN 62061.
Est rut ura de sist ema
Figura 121:
Um sistema eletrico simples de canal único é dado na figura 122. É composto apenas de
entrada e saída de subsistemas.
Figura 122: Dispositivo de intertravamento e contator
Figura 123: Dispositivo de intertravamento, controlador de segurança e contator de segurança
há dois canais, ele podem tolerar uma única falha e ainda continuar trabalhando. A figura 124
mostra um sistema de dois canais.
Figura 124: Canal duplo com dispositivo de intertravamento, controle de segurança e contatores de segurança
É evidente que o sistema mostrado na figura 124 é menos provável de falhar do que o
mostrado na figura 123, mas podemos torná-la ainda mais confiável [em termos
te rmos de sua função
de segurança] se incluir medidas de diagnóstico para detecção de falhas. Naturalmente, ter
detectado a falha também precisamos reagir e colocar o sistema em um estado seguro.
s eguro. A
figura 125 mostra a inclusão de medidas de diagnóstico obtido através de técnicas de
monitoramento.
É geralmente [mas nem sempre] o caso que o sistema é composto por dois canais em todos os
seus subsistemas, como mostrado na figura 125. Portanto, pode-se ver que,
q ue, nesse caso, cada
subsistema tem dois "sub canais." A norma os descreve como "blocos." Um subsistema de dois
canais terá dois blocos e um subsistema de um canal terá um bloco. É possível que alguns
sistemas sejam compostos por uma combinação de dois canais e blocos de canal único.
Se queremos investigar o sistema com mais profundidade precisamos olhar para as partes
componentes dos blocos. A ferramenta SISTEMA usa o termo "elementos" para essas partes
componentes. A figura 126 mostra nosso sistema usando a terminologia do SISTEMA.
A o subsistema de chave fim de curso é mostrado subdividido para seu nivel de elemento. O
subsistema de contator de saída é subdividida para o seu nível de bloco e do subsistema
lógica não é subdividida em todos. A função de acompanhamento para ambas as chaves de
fim de curso e os contatores é executada no controlador de lógica. Portanto, as caixas
representam os subsistemas de curso e contator tem uma pequena sobreposição com a caixa
de subsistema de lógica.
O sistema que temos usado como exemplo é apenas um dos cinco tipos básicos de
arquiteturas de sistema que designa o padrão. Qualquer pessoa familiarizada com o sistema
de categorias irá reconhecer o nosso exemplo como representante da categoria 3 ou 4.
O padrão usa as categorias EN 954-1 originais, já que seus cinco tipos básicos de arquiteturas
de sistema designado. Ela se chama categorias designidas de arquitetura. Os requisitos
re quisitos para
as categorias são quase [mas não muito] idênticas às previstas na norma EN 954-1. as
categorias designada de arquitetura são representadas por figuras a seguir. É importante
notar que eles podem ser aplicados
a plicados tanto a um sistema ou um subsistema. Os esquemas
esque mas não
devem ser tomados apenas como uma estrutura física. Destinam-se mais como uma
Arquitetura designada da categoria B deve usar princípios básicos de segurança [ver anexo da
norma EN ISO 13849-2]. O sistema ou subsistema pode falhar em caso de avaria. Consulte EN
ISO 13849-1 para todas as especificações.
Arquitetura designada da categoria 2 deve usar princípios básicos de segurança [ver anexo da
norma EN ISO 13849-2]. Deve haver também acompanhamento de diagnóstico através de um
teste funcional do sistema ou subsistema. O teste deve ocorrer no início e, em seguida,
periodicamente com uma frequência que equivale a pelo menos cem testes para cada
demanda na função de segurança. Note-se
Note -se que esta taxa de teste é uma exigência adicional
ao que é dado na antiga EN 954-1.
954 -1. O sistema ou subsistema ainda pode falhar se uma única
falha ocorre entre os testes funcionais, mas isso geralmente é menos provável do que para a
categoria 1. Consulte EN ISO 13849-1 para todas as especificações.
A arquitetura designada categoria 3 deve usar princípios básicos de segurança [ver anexo da
norma EN ISO 13849-2]. Há também a exigência de que o sistema/subsistema não deve falhar
em caso de uma única falha. Isso significa que o sistema precisa ter tolerância a falhas
individuais no que diz respeito à sua função de segurança. A forma mais comum de realizar
este requisito é empregar uma arquitetura
arquitet ura de canal duplo, como mostrado na figura 130.
Além disso, uma única falha deve ser detectada, sempre
sem pre que possível. Esta exigência é o
mesmo que o requisito inicial para a categoria 3 da EN 954-1. Nesse contexto, o significado da
frase"sempre
pode abrangerque aplicavel"
tudo, desde umprova ser um
sistema comtanto problematica.
redundância, mas Isso significavadeque
não detecção categoria
falha
falhas 3
s [muitas
vezes de forma descritiva e adequadamente denominados "redundancia estupida"] a sistemas
redundantes onde todas as falhas são detectadas. Esta questão é abordada
abo rdada na EN ISO 13849-1
pela exigência para estimar a qualidade da cobertura
cobert ura diagnostica [DC]. Por referencia
refer encia ao
anexo K ou tabela 10. Podemos ver que,
que , quanto maior a confiabilidade [MTTFd] do sistema,
menos o CC que precisamos. No entanto, CC deve ser pelo menos 60% para a arquitetura
arq uitetura de
categoria 3.
iabilidade dos d ados
Conf iabilidade
A EN ISO 13849-1 usa a confiabilidade dos dados quantitativos, como parte do cálculo do NP
alcançado pelas partes relacionados com a segurança de um sistema de controle. Este é um
desvio significativo da EN 954-1. A primeira questão que isso suscita é"de onde é que vamos
obter esses dados?" É possível utilizar dados de prontuários fiabilidade reconhecida, mas a
norma deixa claro que a fonte preferida
pref erida é o fabricante. Para esse efeito, a Rockwell
Rockwel l
Automation está fazendo a informação relevante disponível na forma
fo rma de uma biblioteca de
dados para o SISTEMA. No momento certo também irá publicar os dados de outras formas.
Antes de irmos adiante, devemos considerar que tipos de dados são necessários e também
ganhar uma compreensão de como ele é produzido.
b 3 x 10-6 a <10-5 1
d 10-7 a <10-6 2
e 10-8 a <10-7 3
Tabela 9
A tabela 9 mostra a relação entre o PFH, NP N P e SIL. Para alguns subsistemas do PFH podem
estar disponíveis a partir do fabricante. Isto torna a vida mais fácil para o cálculo. O
fabricante normalmente terá de realizar alguns cálculos relativamente complexos e/ou testes
em seus subsistemas, a fim de fornecê-lo. No caso em que ele não esteja disponível, EN
ISO13849-1 dá-nos uma abordagem alternativa simplificada com base na média MTTFd [tempo
médio de uma falha perigosa] de um único canal. O NP [e, portanto, o PFH] de um sistema ou
subsistema pode ser calculada utilizando a metodologia e as fórmulas da norma. Pode ser
feito ainda mais convenientemente usando SISTEMA.
OBSERVAÇÃO: É importante compreender que, para um sistema de canal duplo (com ou sem
diagnóstico), não é correto usar 1/PFHDpara determinar a MTTFd que é exigida pela norma EN
ISO 13849-1. A norma exige a MTTFd de um único canal. Este é um valor muito diferente do
MTTFd da combinação de dois canais de um subsistema de dois canais. Se a PFH D de um
subsistema de dois canais é conhecida, ela pode simplesmente ser inserido
inse rido diretamente no
SISTEMA.
MTTFd de um únic o can al
Isto representa o tempo médio de dizer antes da ocorrência de uma falha que
qu e poderia levar à
falência da função de segurança. É expresso
expr esso em anos. É um valor médio das MTTFd
dos"blocos" de um único canal e pode ser aplicada tanto para sistema quanto para
subsistemas. A norma dá a seguinte fórmula que é usada para calcular a média de todos as
MTTFd de cada elemento utilizado em um único canal ou subsistema.
Nesta fase, o valor do SISTEMA se torna aparente. Usuários são poupados de tempo
consultando tabelas e fórmulas de cálculo uma vez
ve z que essas tarefas são executadas pelo
software. O resultado final pode ser impresso na forma de um relatório com várias páginas
Na maioria dos sistemas de canal duplo, ambos os canais são idênticos, portanto, o resultado
da fórmula representa um dos canais.
Se o sistema/subsistema são de canais diferentes, a norma prevê uma fórmula para atender a
isso.
Esta, com efeito, é a média das duas médias. Na causa de simplificação, também é permitido
usar apenas o valor do pior canal.
Tabela 10: Niveis da MTTF d
d
Como veremos mais tarde, o intervalo obtido da média MTTFd é então combinada com a
categoria de arquitetura designada e os diagnósticos de cobertura [DC] para fornecer uma
classificação preliminar NP. O preliminar termo é usado aqui porque outros requisitos,
incluindo a integridade sistemática e medidas contra o fracasso de causa comum ainda têm
que ser cumpridos, quando pertinente.
Há uma diferença fundamental entre os mecanismos de falha comum destes três tipos de
tecnologia. Na forma básica pode ser resumido da seguinte forma:
Na prática, é frequentemente
frequentemen te o caso que todas as amostras falhará a um estado seguro, mas
nesse caso, a norma diz que o valor B10d [perigosos] pode ser tomado como duas vezes o
valor do B10 [segurança].
A fim de determinar a confiabilidade de dispositivos eletrônicos é comum usar a análise e
cálculo. Podemos encontrar bons dados para os componentes individuais em prontuários a
confiabilidade dos dados. Podemos usar a análise para determinar qual modos componente de
falha são perigosos. É aceitável e usual calcular a média de modos de falha de um
componente de 50% seguro e 50% perigoso. Isto normalmente resulta
r esulta em dados relativamente
conservador.
IEC 61508 fornece fórmulas que podem ser usados parapar a calcular a probabilidade global de
falha perigosa [PFH ou PFD] do dispositivo ou seja, o subsistema. As fórmulas são bastante
complexas e levam em conta [quando aplicável] a confiabilidade dos componentes, o
potencial para causar falha comum [fator beta], a cobertura de d e diagnóstico [DC], intervalo de
teste funcional e teste de intervalo
inter valo de prova. A boa notícia é que este cálculo complexo será
normalmente feito pelo fabricante do dispositivo. Ambos EN/IEC 62061 e EN ISO 13849-1
13849 -1
aceitar um subsistema calculados desta forma a norma IEC 61508. A PFH D resultante pode ser
usada diretamente em ambas anexo K da EN ISO 13849-1 ou a ferramente de calculo SISTEMA.
Software: Falhas de software são inerentemente sistemática por natureza. Quaisquer falhas
são causadas pela forma como é concebido, escrito e compilado. Assim, todas as falhas são
causadas pelo sistema sob o qual é produzido, e não pelo seu uso. Portanto, a fim de
controlar as falhas devemos controlar esse sistema. Ambas a IEC 61508 e aEN ISO 13849-1
estabelecem requisitos e metodologias para isso. Nós não precisamos entrar em detalhes
aqui, além de dizer que eles
e les usam o modelo V clássico.
segurança.
detectadas Isso inclui que
e aquelas tantonão
as são.
falhas que são
É claro que as
falhas que são verdadeiramente perigosas são os
perigosas detectadas [denominadas du].
<60% = nenhum
99%+ = alto
Essa abrodagem de lidar com faixas em vez de valores pecentuais individuais podem tambem
ser consideradas mais realistas em termos de exatidao atingivel. A ferramenta SISTEMA usa a
mesma tabelas de consulta que as do padrão.
pad rão. Conforme aumenta o uso de produtos
eletrônicos complexos nos dispositivos de segurança CC torna-se um fator
f ator mais importante. É
provável que os futuros trabalhos sobre as normas vão olhar mais para esclarecer esta
questão. Entretanto, a utilização de critérios técnicos e do senso comum deve ser suficiente
para levar à escolha correta da faixa contínua.
Na maioria dos sistemas canais duplos [ou seja, sistemas tolerantes a falhas individuais] ou
subsistemas, o princípio de diagnóstico se baseia na premissa de que não haverá falhas
perigosas dos dois canais ao mesmo tempo. A expressão
e xpressão “ao mesmo tempo” é mais
precisamente expressa como “dentro do intervalo de teste de diagnóstico.” Se o intervalo de
teste de diagnóstico é razoavelmente breves [por
[p or exemplo menos de oito horas], é uma
suposição razoável de que duas falhas separadas e independentes
ind ependentes são altamente improváveis
de ocorrer dentro desse prazo.
pr azo. No entanto, a norma deixa claro que temos de pensar
cuidadosamente sobre se as possibilidades de falha realmente são separadas
separa das e independentes.
Por exemplo, se uma falha em um componente pode previsivelmente, levar a falhas de outros
componentes, em seguida, o conjunto resultante de falhas são consideradas como uma única
falha.
Também é possível que um evento que faça com que um componente possa causar a falha de
outros componentes. Isso é chamado de “fracasso de causa comum” (CCF). Esse grau de
propensidade para o CCF é nromalmente descrito como o fator beta [ß]. É muito importante
que os projetistas de subsistema e sistema estejam conscientes das possibilidades de CCF. Há
muitos tipos diferentes de CCF e, correspondentemente, diferentes maneiras de evitá-los. EN
ISO 13849-1 mostra um curso racional entre os extremos de complexidade e excesso de
simplificação. Em comum com a norma EN/IEC 62061, ela adota uma abordagem que é
essencialmente qualitativa. Ele fornece uma lista de medidas
m edidas conhecido por ser eficaz em
evitar as CCF.
1 Separação/segregação 15
2 Diversidade 20
3 Projeto/aplicação/ 20
experiencia
4 Avaliação/analise 5
5 Competência/treinamento 5
6 Ambiental 35
Um número suficiente de tais medidas devem ser implementadas no projeto de um sistema ou
subsistema. Poderia ser alegado, com certa razão, que a utilização desta lista podem não ser
adequadas para impedir qualquer possibilidade de CCF.
CC F. No entanto, se a intenção da lista é
considerada adequadamente, torna-se claro que o espírito da sua obrigação é fazer o
projetista analisar as possibilidades de CCF e implementar medidas de prevenção apropriadas
com base no tipo de tecnologia e as características da aplicação pretendida. Use a lista impõe
a consideração de algumas das técnicas mais fundamentais e eficazes, tais como a
diversidade de modos de falha e competências de projetos. A ferramenta BGIA SISTEMA
também exige a implementação de tabelas de consulta padrao CCF e as torna disponíveis de
uma forma conveniente.
Tem po d e m is são
Missão tempo representa o período máximo de tempo para que um subsistema (ou sistema)
pode ser usado. Após este tempo, ele deve ser substituído. Missão tempo deve ser declarado
pelo fabricante dos componentes. Missão tempo será normalmente o mes mo que o “intervalo
de teste de prova”ou “vida” (o que for menor), usado no IEC/EN62061. O projetista do
sistema de segurança deve, então, considerar o tempo da missão dos componentes para
determinar o tempo da missão de cada função de segurança.
seguran ça. Para os componentes mecânicos
do valor T10d dá esse valor da vida útil em termos de número de operações. O valor é
Exc lu são de falh a
Durante a análise, certas falhas podem ser descobertas que não podem ser detectados com
testes de diagnóstico automático, sem custos económicos indevidos. Além
Alé m disso, a
probabilidade de que essas falhas podem ocorrer pode ser extremamente pequeno, usando
atenuantes concepção, construção e métodos de ensaio. Sob essas condições, as falhas podem
ser excluídas de consideração. Falha de exclusão é a exclusão
e xclusão da ocorrência de uma falha,
porque a probabilidade de que a falha específica do SRCS seja desprezível.
Como o nível de risco fica maior, a justificativa para a exclusão de falha se torna mais
rigorosas. Em geral, quando NPe é necessário para umau ma função de segurança a ser
implementado um sistema de controlo de segurança não n ão é normal invocar exclusões culpa
sozinho para alcançar este nível de desempenho. Esta é dependente da tecnologia utilizada e
do ambiente operacional pretendido. Portanto, é essencial
ess encial o projetista ter cuidados
adicionais sobre o uso das exclusões de falhas, ja que aumenta a exigência de NP.
Por exemplo, um sistema de bloqueio da porta que tem que conseguir NPe terá que
incorporar uma tolerância a falhas mínimo de 1 (por exemplo, dois interruptores de posição
mecânica convencional), a fim de atingir esse nível de desempenho, uma vez que
normalmente não é justificável exclui falhas, tais como atuadores de chave quabrados. No
entanto, pode ser aceitável para excluir defeitos,
d efeitos, tais como curto-circuito da fiação em um
painel de controle elaboradas em conformidade com as normas pertinentes.
Nivel de perform ance (NP)
(NP)
A fim de avaliar o NP atingido por uma implementação de qualquer uma das cinco
arquiteturas designadas, os seguintes dados são necessários para o sistema (ou subsistema):
A tabela 12 mostra os NP atingidos por varias combinações Veja o anexo K da norma para
determinação mais precisa.
Figura 133: Determinação gráfica do NP
A tabela 12 mostra os NP atingidos por várias combinações Veja o anexo K da norma para
determinação mais precisa. Por exemplo, um aplicativo usa a categoria 3 arquitetura
designada. Se a CC está entre 60% e 90%, e se o MTTFd de cada canal está entre 10 e 30 anos,
em seguida, de acordo com a figura 133, PL d é atingido.
6,2 10-5 a
x1,84 x 10-5 a
1,19 x 10-6 b
8,80 x 10-6 b
5,53 10-6 c
x2,47
51 x 10-6 c
2,24 x 10-6 c
1,13 x 10-7 d
5,80 x 10-7 d
2,93 10-7 d
x1,19 x 10-8 e
5,26
Se os NPs de todos os substistemas são conhecidos, eles podem ser combinados simplesmente
num sistema usando a tabela 13. A razão por trás dessa
d essa tabela é clara. Primeiro, o sistema
pode apenas se tao bom quanto seu ponto mais fraco
f raco (subsistema). Segundo, quanto mais
subsistemas existem, maiores as possibilidade de falha.
NPbaixo Nbaixo NP
=<3 a
b >2 a
=<2 b
c >2 b
=<2 c
d >3 c
=<3 d
e >3 d
.
3 e
No sistema mostrado na figura 135, o nivel de performance mais baixo esta nos subsistemas 1
e 2. Ambos são NPb. Portanto, utilizando a tabela 13, podemos ler atraves a b (na coluna
NPbaixo), a 2 (na coluna Nbaixo) e encontrar o NP que o sistema atingiu como b (na coluna
NP). Se todos os três subsistemas fossem NPb, o NP alcançado seria NPa.
V a l i d a ção