Projeto do sistema de acordo com a

norma EN ISO 13849 e SISTEMA
Um estudo completo e detalhado da norma EN ISO 13849-1 é necessário antes que ela possa
ser corretamente aplicado. O que se segue é um breve resumo:

Esta norma prevê requisitos para a concepção e integração de peças relacionadas com a
segurança dos sistemas de controlo, incluindo alguns aspectos do software. A norma aplica-se
aplica -se
a um sistema de segurança, mas também pode ser aplicado aos componentes do sistema.  

Ferramenta de softw are SIS

SISTEMA  
TEMA para calcu lo de NP 

SISTEMA é uma ferramenta de software para a implementação da norma EN ISO 13849-1.

13849 -1. Sua
utilização vai simplificar a aplicação da norma.

SISTEMA é um acrônimo para "Safety Integrity Software Tool for the Evaluation of Machine
Applications" Foi desenvolvido pela BGIA na Alemanha e é de uso livre. É necessária a entrada
de vários tipos de dados de segurança funcional, como descrito posteriormente nesta seção.

Os dados podem ser inseridos manualmente ou automaticamente usando a biblioteca de

dados do SISTEMA de um fabricante.

A biblioteca de dados SISTEMA da Rockwell Automation está disponível para download,

juntamente com um link para o site de download do SISTEMA, no seguinte
endereço:http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx.
endereço :http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx. 

Resu m o d a EN ISO  
ISO 13849-1 
13849-1 

Esta norma tem larga aplicação, como se aplica a todas as tecnologias, incluindo elétrica,
hidráulica, pneumática e mecânica. Embora a ISO 13849-1 seja aplicável aos sistemas
complexos, ela também remete o leitor para IEC 62061
620 61 e IEC 61508 para sistemas de software
complexos incorporados.

Vamos olhar quais são as diferenças básicas entre a EN 954-1

954 -1 antiga e a nova EN ISO 13849-1.

As saídas
níveis do padrão antigo
de performance erab,categorias
[NP a, c, d ou e].[B,
O 1, 2, 3 oude
conceito 4].categoria
As saídasédamantido,
nova norma
mas são os
existem
requisitos adicionais a serem preenchidas para que um NP pode ser reivindicada por um
sistema. 

Os requisitos podem ser listados na forma básica, como se segue:  

  A arquitetura do sistema. Essencialmente, este

captura o que nós nos acostumamos como as
categorias
  A confiabilidade dos dados é necessária para as
partes constituintes do sistema
  O diagnóstico cobertura [DC] do sistema é
necessário. Isso efetivamente representa a
quantidade de monitoramento de falhas no sistema
  Proteção contra falhas de causa comum
 

  Proteção contra falhas sistemáticas

  Sempre que necessário, requisitos específicos de
software

Mais tarde vamos dar uma olhada nesses fatores, mas antes de fazê-lo, será útil considerar a
intenção básica e o princípio da norma geral. É claro neste momento que há coisas novas para
aprender, mas o detalhe fará mais sentido uma vez que tenhamos entendido o que ele está
tentando alcançar e por quê.
Primeiro de tudo porque precisamos
pr ecisamos do novo padrão? É óbvio que a tecnologia utilizada nos
sistemas de segurança da máquina avançou e mudou consideravelmente ao longo dos últimos
dez anos. Até há relativamente pouco tempo os sistemas de segurança têm dependido de
"simples" equipamentos com modos de falha muito previsível. Mais recentemente, temos visto
uma crescente utilização de aparelhos eletrônicos mais complexos e programável em sistemas
de segurança. Isto deu-nos vantagens em termos
t ermos de custo, flexibilidade e compatibilidade,
mas ele também significou que as normas pré-existentes
pré -existentes já não são suficientes. Para saber se
um sistema de segurança é bom o suficiente, precisamos
pr ecisamos saber mais sobre ele. É por isso que
a nova norma solicita mais informações. Como os sistemas de segurança começam a usar uma
abordagem "caixa preta" começamos a confiar mais pesadamente sobre a sua conformidade
com as normas. Portanto, essas normas precisam ser capazes de interrogar
inter rogar corretamente a
tecnologia. Para cumprir isso, eles devem falar com os elementos
elemen tos básicos de confiabilidade,
detecção de falhas, arquitectónico e integridade sistemática. Esta é a intenção da norma EN
ISO 13849-1.

A fim de traçar um caminho lógico através do padrão, há dois tipos fundamentalmente

diferentes de usuário devem ser considerados: o projetista de subsistemas de segurança e os
projetistas de sistemas de segurança. Em geral, o projetista do subsistema [normalmente um
fabricante de componentes de segurança] vai ser sujeito
s ujeito a um maior nível de complexidade.
Eles terão de fornecer os dados necessários para que o projetista do sistema pode garantir
que o subsistema é a integridade adequada para o sistema. Isso geralmente requer alguns
testes, análise e cálculo. Os resultados serão expressos sob a forma dos dados exigidos pela
norma.

O projetista do sistema [normalmente um projetista de máquinas ou integrador] irá utilizar os

dados do subsistema para realizar alguns cálculos relativamente simples para determinar o
nível geral de desempenho [NP] do sistema.

NPr é utilizado para designar o nível de desempenho que é exigido pela função de segurança.
A fim de determinar a NPr,a norma fornece um gráfico de risco em que os fatores de
aplicação da gravidade dos ferimentos, a frequência de exposição e a possibilidade de evasão
são introduzidos. 
 

Figura 119: Gráfico de risco do anexo A da EN ISO 13849-1  

A saida é a NPr. Usuários da antiga EN 954-1 estarão familiarizados com esta abordagem, mas
tome nota de que a linha S1 agora subdivide na qual o antigo gráfico de risco não o fazia.
Note que isto significa uma eventual reapreciação da integridade das medidas de segurança
necessárias em níveis mais baixos de risco. 

Figura 120: Gráfico de risco do anexo B da EN 945-1  

Existe uma parte muito importante ainda a ser tratada.

tr atada. Nós sabemos agora, da norma, quão
bom o sistema precisa de ser e também como determinar o quão bom ele é, mas não sabemos
o que ele precisa fazer. Precisamos decidir qual é a função de segurança. É evidente que a
função de segurança devem ser adequados para a tarefa, então como podemos garantir isso?
Como o padrão pode nos ajudar?

É importante perceber que a funcionalidade só pode ser determinado considerando as

características predominantes na aplicação real. Isso pode ser considerado como a fase do
conceito de projeto de segurança. Ele não pode ser completamente cobertos pela norma, pois
a norma não conhece todas as características de um aplicativo específico. Isso também
aplica-se frequentemente ao construtor da máquina que produz a máquina, mas não
necessariamente conhece as condições exatas em que ele será usada.

A norma prevê alguma ajuda listando muitas das funções de segurança comumente utilizados
 

(por exemplo, função de parada de segurança

seg urança iniciado por salvaguardar, função de
silenciamento, de início/reinício de funções) e dando alguns requisitos normalmente
associados. Outras normas, como a EN ISO 12100: Princípios básicos de projeto e EN ISO
14121: A avaliação de riscos, são altamente recomendados para uso nesta fase. Também há
uma grande variedade de normas específicas da máquina que irá fornecer soluções para
máquinas específicas. Dentro das normas europeias EN são denominadas normas tipo C, alguns
deles têm equivalentes exatos em normas ISO.

Assim, podemos ver agora que a fase de concepção de conceito de projeto

pro jeto de segurança é
dependente do tipo de máquina e também sobre as características da aplicação e do
ambiente em que ela é usada. O construtor da máquina deve antecipar esses fatores, a fim de
ser capaz de projetar o conceito de segurança. A condições pretendidas de uso devem ser
dadas no manual do usuário. O usuário da maquina precisa checar a correspondencia entra as
condições do uso atual. 

Então agora temos uma descrição da funcionalidade de segurança. Do anexo A da norma

também temos o necessário nível de desempenho [NPr]
[NPr ] para as peças relacionadas com a
segurança do sistema de controle [SRP/CS], que serão usados para implementar
imple mentar essa
funcionalidade. Precisamos agora de projeto do sistema e se certificar de que
q ue cumpre com o
PLr.

Um dos fatores importantes na decisão sobre qual padrão usar [EN ISO 13849-1 e EN/IEC
62061] é a complexidade da função de segurança. Na maioria dos casos, para as máquinas, a
função de segurança, será relativamente simples e EN ISO 13849-1 será a rota mais adequada.
Confiabilidade dos dados, diagnóstico de cobertura [DC], a arquitetura do sistema [categoria],
insuficiência de causa comum e, quando pertinente, os requisitos de software
s oftware são utilizados
para avaliar o NP.  

Esta é uma descrição simplificada apenas para dar uma visão geral. É importante
compreender que todas as disposições contidas no corpo da norma devem ser aplicadas. No
entanto, a ajuda está à mão. A ferramenta de
d e software SISTEMA está disponível para ajudar
com os aspectos de documentação e cálculo. Ele também gera um arquivo técnico.

Até a impressão desta publicação, o SISTEMA estava disponível em alemão e inglês. Outros
idiomas serão lançados no futuro próximo. BGIA, o desenvolvedor do SISTEMA, é uma
instituição de pesquisa e teste muito respeitada, com matriz na Alemanha. Ele está
particularmente envolvido na resolução de problemas científicos e técnicos relacionados com
a segurança no âmbito do seguro obrigatório contra acidentes e prevenção na Alemanha. Ele
trabalha em cooperação com a saúde e as agências de segurança
seguran ça em mais de 20 países. Os
peritos da BGIA, junto com seus colegas de BG, tiveram significativa participação na
elaboração de ambos EN ISO 13849-1 e IEC/EN 62061.

A “biblioteca” de componentes de segurança da Rockwell Automation para o SISTEMA está

disponível em:http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx.
em:http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx.  

Independentemente da forma como o cálculo do NP é feito, é importante começar desde a

fundação correta. Precisamos ver o nosso sistema, da mesma forma como o padrão, então
vamos começar com isso. 

 
Est rut ura de sist ema 
 

Qualquer sistema pode ser dividido

div idido em componentes de sistema básicos ou "subsistemas."
Cada subsistema tem sua própria função discreta. A maioria dos sistemas pode ser dividida em
três funções básicas; de entrada, a resolução de lógica e atuação [alguns sistemas simples
podem não ter resolução de lógica]. Os grupos de componentes que implementam estas
funções são os subsistemas.  

Figura 121:  

Um sistema eletrico simples de canal único é dado na figura 122. É composto apenas de
entrada e saída de subsistemas.  

 
Figura 122: Dispositivo de intertravamento e contator 

Na figura 123, o sistema é um pouco mais complexo devido a necessidade de alguma

a lguma lógica. O
controlador de segurança em si vai ser tolerante
tolera nte a falhas (por exemplo, duplo canal)
canal )
internamente, mas todo o sistema ainda é limitado ao a o estado de canal único por causa do fim
de curso único e contator único.  

 
Figura 123: Dispositivo de intertravamento, controlador de segurança e contator de segurança

Se tomarmos a arquitetura básica da figura 123, há também algumas outras coisas a

considerar. Primeiro, quantos "canais" o sistema tem? Um sistema de canal único falhará se
um dos seus subsistemas falharem. Um sistema de duplo canal [também chamado de
redundante] precisaria ter duas falhas, uma em cada canal, antes de o sistema falhar. Porque
 

há dois canais, ele podem tolerar uma única falha e ainda continuar trabalhando. A figura 124
mostra um sistema de dois canais. 

Figura 124: Canal duplo com dispositivo de intertravamento, controle de segurança e contatores de segurança  

É evidente que o sistema mostrado na figura 124 é menos provável de falhar do que o
mostrado na figura 123, mas podemos torná-la ainda mais confiável [em termos
te rmos de sua função
de segurança] se incluir medidas de diagnóstico para detecção de falhas. Naturalmente, ter
detectado a falha também precisamos reagir e colocar o sistema em um estado seguro.
s eguro. A
figura 125 mostra a inclusão de medidas de diagnóstico obtido através de técnicas de
monitoramento. 

Figura 125: Sistema de duplo canal com chave de intertravamento,

i ntertravamento, controlador de segurança
segurança e contator
de segurança - Diagnóstico exibido por setas tracejadas 

É geralmente [mas nem sempre] o caso que o sistema é composto por dois canais em todos os
seus subsistemas, como mostrado na figura 125. Portanto, pode-se ver que,
q ue, nesse caso, cada
subsistema tem dois "sub canais." A norma os descreve como "blocos." Um subsistema de dois
canais terá dois blocos e um subsistema de um canal terá um bloco. É possível que alguns

sistemas sejam compostos por uma combinação de dois canais e blocos de canal único.
 

Se queremos investigar o sistema com mais profundidade precisamos olhar para as partes
componentes dos blocos. A ferramenta SISTEMA usa o termo "elementos" para essas partes
componentes. A figura 126 mostra nosso sistema usando a terminologia do SISTEMA.  

Figura 126: Sistema de duplo canal mostrado subdividido em subsistemas,

subsistemas, blocos e elementos  

A o subsistema de chave fim de curso é mostrado subdividido para seu nivel de elemento. O
subsistema de contator de saída é subdividida para o seu nível de bloco e do subsistema
lógica não é subdividida em todos. A função de acompanhamento para ambas as chaves de
fim de curso e os contatores é executada no controlador de lógica. Portanto, as caixas
representam os subsistemas de curso e contator tem uma pequena sobreposição com a caixa
de subsistema de lógica.

Este princípio de subdivisão do sistema pode ser reconhecido na metodologia apresentada na

EN ISO 13849-1 e no princípio básico do sistema estrutura para a ferramenta SISTEMA. No
entanto, é importante notar que existem algumas diferenças sutis. A norma não é restritiva
em sua metodologia, mas para o método simplificado para estimar o NP, o primeiro passo
usual é o de quebrar a estrutura do sistema em canais e os blocos dentro de cada canal. Com
o SISTEMA, o sistema é o primeiro dividido em subsistemas. O padrão não é explicitamente a
descrever um conceito subsistema mas a sua utilização, tal como consta no SISTEMA fornece
uma abordagem mais compreensível e intuitiva. É claro que não há nenhum efeito sobre o
cálculo final. SISTEMA e a norma ambos usam os mesmos princípios e fórmulas. É interessante
notar que a abordagem do subsistema também é utilizado na norma EN/IEC 62061.

O sistema que temos usado como exemplo é apenas um dos cinco tipos básicos de
arquiteturas de sistema que designa o padrão. Qualquer pessoa familiarizada com o sistema
de categorias irá reconhecer o nosso exemplo como representante da categoria 3 ou 4.

O padrão usa as categorias EN 954-1 originais, já que seus cinco tipos básicos de arquiteturas
de sistema designado. Ela se chama categorias designidas de arquitetura. Os requisitos
re quisitos para
as categorias são quase [mas não muito] idênticas às previstas na norma EN 954-1. as
categorias designada de arquitetura são representadas por figuras a seguir. É importante
notar que eles podem ser aplicados
a plicados tanto a um sistema ou um subsistema. Os esquemas
esque mas não
devem ser tomados apenas como uma estrutura física. Destinam-se mais como uma

representação gráfica dos requisitos conceituais.

 

Um olhar mais detalhado para a aplicação prática das categorias é tratado em um

u m capítulo
posterior. 

Figura 127: Arquitetura designada de categoria B  

Arquitetura designada da categoria B deve usar princípios básicos de segurança [ver anexo da
norma EN ISO 13849-2]. O sistema ou subsistema pode falhar em caso de avaria. Consulte EN
ISO 13849-1 para todas as especificações.  

Figura 128: Arquitetura designinada categoria 1  

Arquitetura designada de categoria 1 tem a mesma estrutura de categoria B e ainda pode

falhar em caso de avaria. Mas porque também deve usar princípios de segurança a muito
usados [ver anexo da norma EN ISO 13849-2] isso é menos provável
p rovável do que para a categoria B.
Consulte EN ISO 13849-1 para todas as especificações. 

Figura 129: Arquitetura designinada categoria 2   

Arquitetura designada da categoria 2 deve usar princípios básicos de segurança [ver anexo da
norma EN ISO 13849-2]. Deve haver também acompanhamento de diagnóstico através de um
teste funcional do sistema ou subsistema. O teste deve ocorrer no início e, em seguida,
periodicamente com uma frequência que equivale a pelo menos cem testes para cada
demanda na função de segurança. Note-se
Note -se que esta taxa de teste é uma exigência adicional
ao que é dado na antiga EN 954-1.
954 -1. O sistema ou subsistema ainda pode falhar se uma única
falha ocorre entre os testes funcionais, mas isso geralmente é menos provável do que para a
categoria 1. Consulte EN ISO 13849-1 para todas as especificações. 
 

Figura 130: Arquitetura designada categoria 3  

A arquitetura designada categoria 3 deve usar princípios básicos de segurança [ver anexo da
norma EN ISO 13849-2]. Há também a exigência de que o sistema/subsistema não deve falhar
em caso de uma única falha. Isso significa que o sistema precisa ter tolerância a falhas
individuais no que diz respeito à sua função de segurança. A forma mais comum de realizar
este requisito é empregar uma arquitetura
arquitet ura de canal duplo, como mostrado na figura 130.
Além disso, uma única falha deve ser detectada, sempre
sem pre que possível. Esta exigência é o
mesmo que o requisito inicial para a categoria 3 da EN 954-1. Nesse contexto, o significado da
frase"sempre
pode abrangerque aplicavel"
tudo, desde umprova ser um
sistema comtanto problematica.
redundância, mas Isso significavadeque
não detecção categoria
falha
falhas 3
s [muitas
vezes de forma descritiva e adequadamente denominados "redundancia estupida"] a sistemas
redundantes onde todas as falhas são detectadas. Esta questão é abordada
abo rdada na EN ISO 13849-1
pela exigência para estimar a qualidade da cobertura
cobert ura diagnostica [DC]. Por referencia
refer encia ao
anexo K ou tabela 10. Podemos ver que,
que , quanto maior a confiabilidade [MTTFd] do sistema,
menos o CC que precisamos. No entanto, CC deve ser pelo menos 60% para a arquitetura
arq uitetura de
categoria 3. 

Figura 131: Arquitetura designinada categoria 4  

A arquitetura designada categoria 4 deve usar princípios

p rincípios básicos de segurança [ver anexo da
norma EN ISO 13849-2]. Tem um diagrama de requisitos semelhantes aos de categoria 3, mas
isto exige uma maior vigilância maior cobertura de diagnóstico. Isso é mostrado pelas linhas
pontilhadas mais grossas representando as funções de monitorização. Em essência, a
diferença entre as categorias 3 e 4 é que para a categoria 3 a maioria dos defeitos devem ser
detectados, mas para a categoria 4, todas as falhas devem ser detectadas.
de tectadas. A CC deve ser pelo
menos 99%. Mesmo a acumulação de falhas não devem causar uma falha perigosa.
perigo sa. 
 

 
iabilidade dos d ados  
Conf iabilidade

A EN ISO 13849-1 usa a confiabilidade dos dados quantitativos, como parte do cálculo do NP
alcançado pelas partes relacionados com a segurança de um sistema de controle. Este é um
desvio significativo da EN 954-1. A primeira questão que isso suscita é"de onde é que vamos
obter esses dados?" É possível utilizar dados de prontuários fiabilidade reconhecida, mas a
norma deixa claro que a fonte preferida
pref erida é o fabricante. Para esse efeito, a Rockwell
Rockwel l
Automation está fazendo a informação relevante disponível na forma
fo rma de uma biblioteca de
dados para o SISTEMA. No momento certo também irá publicar os dados de outras formas.
Antes de irmos adiante, devemos considerar que tipos de dados são necessários e também
ganhar uma compreensão de como ele é produzido.

O último tipo de dados requeridos como parte da determinação do NP na norma [e SISTEMA] é

o PFH [a probabilidade de falha perigosa por hora]. Este é o mesmo dado como representado
pela sigla PFHd utilizados na IEC/EN 62061.  

NP Probabilidade de falha perigosa por hora média (1/h) SIL

a  10-5 a <10-4  Sem correspondencia

b  3 x 10-6 a <10-5  1

c  10-6 a <3 x 10-6  1

d  10-7 a <10-6  2

e  10-8 a <10-7  3

Tabela 9  

A tabela 9 mostra a relação entre o PFH, NP N P e SIL. Para alguns subsistemas do PFH podem
estar disponíveis a partir do fabricante. Isto torna a vida mais fácil para o cálculo. O
fabricante normalmente terá de realizar alguns cálculos relativamente complexos e/ou testes
em seus subsistemas, a fim de fornecê-lo. No caso em que ele não esteja disponível, EN
ISO13849-1 dá-nos uma abordagem alternativa simplificada com base na média MTTFd [tempo
médio de uma falha perigosa] de um único canal. O NP [e, portanto, o PFH] de um sistema ou
subsistema pode ser calculada utilizando a metodologia e as fórmulas da norma. Pode ser
feito ainda mais convenientemente usando SISTEMA.

OBSERVAÇÃO: É importante compreender que, para um sistema de canal duplo (com ou sem
diagnóstico), não é correto usar 1/PFHDpara determinar a MTTFd que é exigida pela norma EN
ISO 13849-1. A norma exige a MTTFd de um único canal. Este é um valor muito diferente do
MTTFd da combinação de dois canais de um subsistema de dois canais. Se a PFH D de um
subsistema de dois canais é conhecida, ela pode simplesmente ser inserido
inse rido diretamente no
SISTEMA. 

 
MTTFd de um únic o can al 

Isto representa o tempo médio de dizer antes da ocorrência de uma falha que
qu e poderia levar à
falência da função de segurança. É expresso
expr esso em anos. É um valor médio das MTTFd
 

dos"blocos" de um único canal e pode ser aplicada tanto para sistema quanto para
subsistemas. A norma dá a seguinte fórmula que é usada para calcular a média de todos as
MTTFd de cada elemento utilizado em um único canal ou subsistema.

Nesta fase, o valor do SISTEMA se torna aparente. Usuários são poupados de tempo
consultando tabelas e fórmulas de cálculo uma vez
ve z que essas tarefas são executadas pelo
software. O resultado final pode ser impresso na forma de um relatório com várias páginas  

Formula Prof. 1 da EN ISO 13849-1  

Na maioria dos sistemas de canal duplo, ambos os canais são idênticos, portanto, o resultado
da fórmula representa um dos canais.

Se o sistema/subsistema são de canais diferentes, a norma prevê uma fórmula para atender a
isso. 

Formula 1 da EN ISO 13849-1  

Esta, com efeito, é a média das duas médias. Na causa de simplificação, também é permitido
usar apenas o valor do pior canal.

A norma agroupa as MTTFd em três faixas, da seguinte forma:  

Denotação da MTTFd de cada canal Faixa da MTTFd de cada canal

Baixo 3 anos<= MTTFd < 10 anos

Médio 10 anos<= MTTFd < 30 anos

Alto 30 anos<= MTTFd < 100 anos

 
Tabela 10: Niveis da MTTF d 
d 

Note-se que a norma EN ISO 13849-1

13849 -1 limita os utilizáveis MTTFd de um canal único de um
subsistema a um máximo de 100 anos, embora os valores reais obtidos podem ser muito
maiores.
 

Como veremos mais tarde, o intervalo obtido da média MTTFd é então combinada com a
categoria de arquitetura designada e os diagnósticos de cobertura [DC] para fornecer uma
classificação preliminar NP. O preliminar termo é usado aqui porque outros requisitos,
incluindo a integridade sistemática e medidas contra o fracasso de causa comum ainda têm
que ser cumpridos, quando pertinente.  

Meto do s d e det erm in ação d e dad os  

Precisamos agora aprofundar um estágio mais profundo na forma como um fabricante

determina os dados sob a forma de PFH D ou MTTFd. A compreensão disso é essencial quando
se lida com dados dos fabricantes.

Os dados podem ser agrupados em dois tipos básicos: 1) mecânico (eletro-mecânica,

mecânica, hidráulica e pneumática) e 2) eletronicas (estado sólido).

Há uma diferença fundamental entre os mecanismos de falha comum destes três tipos de
tecnologia. Na forma básica pode ser resumido da seguinte forma:

Tecnologia mecanistica: O fracasso é proporcional tanto da confiabilidade inerente e da taxa

de utilização. A maior taxa de uso, maior a probabilidade de que um dos componentes possam
se degradada e falhar. Note que esta não é a única causa da falha, mas ao menos nós
limitemos o tempo de operação/ciclos, predominamente um. É evidente que um u m contator que
tem ciclo de comutação de uma vez a cada dez segundos
segu ndos irá operar de forma confiável por
um tempo muito menor que um contator idênticos que opera um por dia. Dispositivos fisicos
de tecnologia de física em geral, compreendem os componentes que são projetados
individualmente para uso próprio. Os componentes são em forma, moldado,
m oldado, fundido, usinado,
etc Eles são combinados com as ligações, molas, ímãs, bobinas elétricas etc para formar um
mecanismo. Como os componentes não, em geral, têm alguma história de uso em outras
aplicações, não podemos encontrar qualquer confiabilidade dos dados pré-existentes para
eles. A estimativa da PFHD ou MTTFd para o mecanismo é normalmente baseada em testes.
Ambos EN/IEC 62061 e EN ISO 13849-1 defendem um processo de teste conhecido como Teste
B10d.

No teste B10d, um número de amostras do dispositivo

disp ositivo [normalmente, pelo menos dez] são
devidamente testados sob condições representativas. O número médio de ciclos de
exploração
como o valorrealizados
B10d. antes de 10% das amostras não a condição de perigosos é conhecido

Na prática, é frequentemente
frequentemen te o caso que todas as amostras falhará a um estado seguro, mas
nesse caso, a norma diz que o valor B10d [perigosos] pode ser tomado como duas vezes o
valor do B10 [segurança]. 

Tecnologia eletronica: Não há peças de desgaste físico relacionado movimento. Dado

D ado um
ambiente operacional compatível com o especificado elétrica e temperatura [etc]
características, a falha predominante de um circuito eletrônico é proporcional à
confiabilidade inerente de seus componentes constituintes [ou a falta fora dele]. Há muitas
razões para a falha de um componente individual; imperfeição introduzidas durante a
fabricação, surtos de potência excessiva, prolemas de conexão mecânica etc. Em geral, as
falhas em componentes eletrônicos são difíceis de prever pela análise e elas parecem ser de
natureza aleatória. Portanto, testar um dispositivo eletrônico em condições de laboratório de
teste não necessariamente revelam padrões de falha típicos de longo prazo.
 

 
A fim de determinar a confiabilidade de dispositivos eletrônicos é comum usar a análise e
cálculo. Podemos encontrar bons dados para os componentes individuais em prontuários a
confiabilidade dos dados. Podemos usar a análise para determinar qual modos componente de
falha são perigosos. É aceitável e usual calcular a média de modos de falha de um
componente de 50% seguro e 50% perigoso. Isto normalmente resulta
r esulta em dados relativamente
conservador.

IEC 61508 fornece fórmulas que podem ser usados parapar a calcular a probabilidade global de
falha perigosa [PFH ou PFD] do dispositivo ou seja, o subsistema. As fórmulas são bastante
complexas e levam em conta [quando aplicável] a confiabilidade dos componentes, o
potencial para causar falha comum [fator beta], a cobertura de d e diagnóstico [DC], intervalo de
teste funcional e teste de intervalo
inter valo de prova. A boa notícia é que este cálculo complexo será
normalmente feito pelo fabricante do dispositivo. Ambos EN/IEC 62061 e EN ISO 13849-1
13849 -1
aceitar um subsistema calculados desta forma a norma IEC 61508. A PFH D resultante pode ser
usada diretamente em ambas anexo K da EN ISO 13849-1 ou a ferramente de calculo SISTEMA.  

Software: Falhas de software são inerentemente sistemática por natureza. Quaisquer falhas
são causadas pela forma como é concebido, escrito e compilado. Assim, todas as falhas são
causadas pelo sistema sob o qual é produzido, e não pelo seu uso. Portanto, a fim de
controlar as falhas devemos controlar esse sistema. Ambas a IEC 61508 e aEN ISO 13849-1
estabelecem requisitos e metodologias para isso. Nós não precisamos entrar em detalhes
aqui, além de dizer que eles
e les usam o modelo V clássico. 

Figura 132: Modelo V para desenvolvimento de software  

O software integrado é um problema

prob lema para o projetista do aparelho. A abordagem
abordage m usual é o
desenvolvimento de software embarcado, de acordo com os métodos formais explicado no IEC
61508 parte 3. Quando se trata de código de aplicação, o software que um usuário com
interfaces, dispositivos de segurança mais programáveis são fornecidas com função
"certificada" de blocos ou rotinas. Isso simplifica a tarefa de validação para o código do
aplicativo, mas é preciso lembrar que o programa de candidatura devidamente preenchido
ainda precisa ser validado. A forma como os blocos são ligados e parâmetrizados deve ser
provada correta e válida para a tarefa pretendida. EN ISO 13849-1 e IEC/EN 62061, ambas,
 

fornecem orientações para esse processo.  

dia gno st ico  

Cobert ura de diagno

Já tocamos neste assunto, quando se considerou as arquitetura designada de categorias 2, 3 e

4. Essas categorias exigem alguma forma de teste de diagnóstico para verificar se a função
fun ção de
segurança ainda está trabalhando. O termo"cobertura de diagnostico" [normalmente
abreviado para DC] é usado para caracterizar a efetividade dos testes. É importante perceber
que a CC não se baseia apenas no número de componentes que podem falhar de forma
perigosa. Leva em conta a taxa de falha total perigoso. O símbolo  (lambda) é usado para
"taxa de falha." CC expressa a relação entre as taxas de ocorrência dos dois seguintes tipos de
falha perigosa: 

  Falhas perigosas detectadas [dd], ou seja, aquelas

falhas que causam, ou podem levar a uma perda da
função de segurança, mas que são detectados. Após
a detecção, uma função de reação falha faz com que
o dispositivo ou sistema para ir para um estado
seguro.
  Falha perigosa [d] Ou seja, todos os fracassos que
poderiam causar ou levar a uma perda da função de

segurança.
detectadas Isso inclui que
e aquelas tantonão
as são.
falhas que são
É claro que as
falhas que são verdadeiramente perigosas são os
perigosas detectadas [denominadas du].

A CC é expressado pela fórmula;

CC = dd/d expressada em porcentagem.

Esse significado do termo CC é comum na EN ISO 13849-1 e EN/IEC 62061. No entanto, a

maneira que ele é derivado
de rivado diferente. A segunda norma propõe o uso de cálculo com base na
análise do modo de falha, mas a EN ISO 13849-1 fornece
forn ece um método simplificado, na forma de
tabelas de consulta. Várias técnicas típicas de diagnóstico estão listados juntamente com a
percentagem
racional aindaCC que seu usopor
é necessário, sejaexemplo,
considerado como conseguir.
em algumas técnicas,Em alguns
a CC casos éjulgamento
alcançada
proporcional à frequência com que o teste é realizado. Algumas vezes se argumenta que esta e sta
abordagem é muito vaga. No entanto, a estimativa da CC pode depender de muitas variáveis
diferentes, e qualquer técnica é utilizada, o resultado só pode geralmente ser
verdadeiramente descrito como aproximados. Também é importante compreender que os
quadros EN ISO 13849-1 são baseados em uma ampla pesquisa realizada pela BGIA, sobre os
resultados obtidos pela conhecida técnicas de diagnóstico utilizados em aplicações reais. No
interesse da simplificação do padrão CC divide em quatro faixas de base:

<60% = nenhum

60% a <90% = baixo

90% a <99% = medio

 

99%+ = alto

Essa abrodagem de lidar com faixas em vez de valores pecentuais individuais podem tambem
ser consideradas mais realistas em termos de exatidao atingivel. A ferramenta SISTEMA usa a
mesma tabelas de consulta que as do padrão.
pad rão. Conforme aumenta o uso de produtos
eletrônicos complexos nos dispositivos de segurança CC torna-se um fator
f ator mais importante. É
provável que os futuros trabalhos sobre as normas vão olhar mais para esclarecer esta
questão. Entretanto, a utilização de critérios técnicos e do senso comum deve ser suficiente
para levar à escolha correta da faixa contínua.  

lhas de causa co mu m  

Falhas
Fa

Na maioria dos sistemas canais duplos [ou seja, sistemas tolerantes a falhas individuais] ou
subsistemas, o princípio de diagnóstico se baseia na premissa de que não haverá falhas
perigosas dos dois canais ao mesmo tempo. A expressão
e xpressão “ao mesmo tempo” é mais
precisamente expressa como “dentro do intervalo de teste de diagnóstico.” Se o intervalo de
teste de diagnóstico é razoavelmente breves [por
[p or exemplo menos de oito horas], é uma
suposição razoável de que duas falhas separadas e independentes
ind ependentes são altamente improváveis
de ocorrer dentro desse prazo.
pr azo. No entanto, a norma deixa claro que temos de pensar
cuidadosamente sobre se as possibilidades de falha realmente são separadas
separa das e independentes.
Por exemplo, se uma falha em um componente pode previsivelmente, levar a falhas de outros
componentes, em seguida, o conjunto resultante de falhas são consideradas como uma única
falha.

Também é possível que um evento que faça com que um componente possa causar a falha de
outros componentes. Isso é chamado de “fracasso de causa comum” (CCF). Esse grau de
propensidade para o CCF é nromalmente descrito como o fator beta [ß]. É muito importante
que os projetistas de subsistema e sistema estejam conscientes das possibilidades de CCF. Há
muitos tipos diferentes de CCF e, correspondentemente, diferentes maneiras de evitá-los. EN
ISO 13849-1 mostra um curso racional entre os extremos de complexidade e excesso de
simplificação. Em comum com a norma EN/IEC 62061, ela adota uma abordagem que é
essencialmente qualitativa. Ele fornece uma lista de medidas
m edidas conhecido por ser eficaz em
evitar as CCF.

A tabela 11 mostra um resumo do processo de pontuação.  

. Medidas contra CCF

Medidas Pontuação

1 Separação/segregação 15

2 Diversidade 20

3 Projeto/aplicação/ 20
experiencia

4 Avaliação/analise 5

5 Competência/treinamento 5

6 Ambiental 35

Tabela 11: Pontuação para falhas de causa comun  

 

 
Um número suficiente de tais medidas devem ser implementadas no projeto de um sistema ou
subsistema. Poderia ser alegado, com certa razão, que a utilização desta lista podem não ser
adequadas para impedir qualquer possibilidade de CCF.
CC F. No entanto, se a intenção da lista é
considerada adequadamente, torna-se claro que o espírito da sua obrigação é fazer o
projetista analisar as possibilidades de CCF e implementar medidas de prevenção apropriadas
com base no tipo de tecnologia e as características da aplicação pretendida. Use a lista impõe
a consideração de algumas das técnicas mais fundamentais e eficazes, tais como a
diversidade de modos de falha e competências de projetos. A ferramenta BGIA SISTEMA
também exige a implementação de tabelas de consulta padrao CCF e as torna disponíveis de
uma forma conveniente. 

Tem po d e m is são  

Missão tempo representa o período máximo de tempo para que um subsistema (ou sistema)
pode ser usado. Após este tempo, ele deve ser substituído. Missão tempo deve ser declarado
pelo fabricante dos componentes. Missão tempo será normalmente o mes mo que o “intervalo
de teste de prova”ou “vida” (o que for menor), usado no IEC/EN62061. O projetista do
sistema de segurança deve, então, considerar o tempo da missão dos componentes para
determinar o tempo da missão de cada função de segurança.
seguran ça. Para os componentes mecânicos
do valor T10d dá esse valor da vida útil em termos de número de operações. O valor é

derivado T10d como parte do cálculo B10d.  

Falhas sistem aticas   

Nós já discutimos a confiabilidade dos dados quantificados de segurança sob a forma de

MTTFd e a probabilidade de falha perigosa. No entanto, esta não é toda a história. Quando
nos referimos a esses termos, estávamos realmente pensando sobre as falhas que parecem ser
aleatórios por natureza. Na verdade IEC/EN 62061 refere-se especificamente à abreviatura da
PFHD como a probabilidade de falha de hardware aleatória. Mas existem alguns tipos de falhas
conhecidas coletivamente como “falha sistemática”, que pode ser atribuída a erros cometidos
no projeto ou processo de fabricação. O exemplo clássico é um erro no código de software. A
norma prevê medidas no Anexo G, para evitar esses erros [e, portanto, as falhas]. Estas
medidas incluem disposições tais como o uso de materiais adequados e técnicas de
fabricação, estudos, análises e simulação computacional. Há também eventos previsíveis e
características que podem ocorrer no ambiente operacional que pode causar falha, a menos
que seu efeito seja controlado. Anexo G também
també m prevê medidas para isso. Por exemplo, é
facilmente previsível que possa haver eventuais perdas de energia. Portanto, a
desenergização de componentes deve resultar em um estado seguro para o sistema. Estas
medidas podem parecer ser apenas o senso comum, e de fato são, mas são, no entanto,
essenciais. Todo o resto dos requisitos da norma não farão sentido, ao menos que a devida
atenção seja dada ao controle e prevenção de falhas sistemáticas. Isso também, por vezes,
exigem o mesmo tipo de medidas utilizadas para o controle de [falha aleatória de hardware
para alcançar a necessária PFHD] como teste de diagnóstico automático e hardware
redundante. 

 
Exc lu são de falh a 

Uma das ferramentas de análise preliminar

pre liminar de sistemas de segurança é a análise de falha.
fal ha. O
designer eo usuário deve entender
entende r como o sistema de segurança realiza na presença dede
falhas. Muitas técnicas estão disponíveis para realizar a análise. Exemplos incluem arvore de
 

analise de falhas; modos de falha, efeitos e enálise da criticidade; arvore de analise de

eventos e opiniões força de carga.

Durante a análise, certas falhas podem ser descobertas que não podem ser detectados com
testes de diagnóstico automático, sem custos económicos indevidos. Além
Alé m disso, a
probabilidade de que essas falhas podem ocorrer pode ser extremamente pequeno, usando
atenuantes concepção, construção e métodos de ensaio. Sob essas condições, as falhas podem
ser excluídas de consideração. Falha de exclusão é a exclusão
e xclusão da ocorrência de uma falha,
porque a probabilidade de que a falha específica do SRCS seja desprezível.

ISO13849-1: 2006 permite a exclusão de falha baseado na técnica

t écnica improbabilidade de
ocorrência, geralmente experiência técnica aceitas e os requisitos técnicos relacionados com
a aplicação. ISO13849-2: 2003 fornece exemplos e justificativas para a exclusão de certas
falhas de sistemas elétricos, pneumáticos, hidráulicos e mecânicos. Exclusões de falha deve
ser declarada com justificativas detalhadas na documentação técnica.

Nem sempre é possível avaliar com segurança relacionadas

re lacionadas com sistema de controle sem
assumir que certas falhas possam ser excluídas. Para obter
obt er informações detalhadas sobre as
exclusões de falhas, ver ISO 13849-2.

Como o nível de risco fica maior, a justificativa para a exclusão de falha se torna mais
rigorosas. Em geral, quando NPe é necessário para umau ma função de segurança a ser
implementado um sistema de controlo de segurança não n ão é normal invocar exclusões culpa
sozinho para alcançar este nível de desempenho. Esta é dependente da tecnologia utilizada e
do ambiente operacional pretendido. Portanto, é essencial
ess encial o projetista ter cuidados
adicionais sobre o uso das exclusões de falhas, ja que aumenta a exigência de NP.

Por exemplo, um sistema de bloqueio da porta que tem que conseguir NPe terá que
incorporar uma tolerância a falhas mínimo de 1 (por exemplo, dois interruptores de posição
mecânica convencional), a fim de atingir esse nível de desempenho, uma vez que
normalmente não é justificável exclui falhas, tais como atuadores de chave quabrados. No
entanto, pode ser aceitável para excluir defeitos,
d efeitos, tais como curto-circuito da fiação em um
painel de controle elaboradas em conformidade com as normas pertinentes.  

 
Nivel de perform ance (NP) 
(NP) 

O nível de desempenho é um nível discreto, que especifica a capacidade das partes

relacionadas com a segurança do sistema de controle para executar uma função de
segurança.

A fim de avaliar o NP atingido por uma implementação de qualquer uma das cinco
arquiteturas designadas, os seguintes dados são necessários para o sistema (ou subsistema):  

  MTTFd (tempo médio para falha perigosa de cada

canall)
  CC (cobertura de diagnostico)
  Arquitetura (a categoria)

A tabela 12 mostra os NP atingidos por varias combinações Veja o anexo K da norma para
determinação mais precisa.  
 

 
Figura 133: Determinação gráfica do NP 

A tabela 12 mostra os NP atingidos por várias combinações Veja o anexo K da norma para
determinação mais precisa. Por exemplo, um aplicativo usa a categoria 3 arquitetura
designada. Se a CC está entre 60% e 90%, e se o MTTFd de cada canal está entre 10 e 30 anos,
em seguida, de acordo com a figura 133, PL d é atingido.

Outros fatores também devem ser realizados

reali zados para satisfazer o NP exigido. Esses requisitos
incluem as disposições já discutidos, tais como falhas de causa comum, o fracasso sistemático
e tempo de missão.

Se a PFHD do sistema ou subsistema é conhecido, a Tabela 12 (anexo K da norma) pode ser

usado para derivar o NP. 

MTTFd para Probabilidade media de falha perigosa por hora (1/h) e nivel de

cada canall performance correspondente (NP)

Cat. NP Cat. NP Cat. NP Cat. NP Cat. NP Cat. NP Cat. NP

B 1 2 2 3 3 4
Anos DCavg = DCavg = DCavg = DCavg = DCavg = DCavg = DCavg =
nenhum nenhum baixo médio baixo médio alto

3 3,80 a 2,58 a 1,99 A 1,26 a 6,09 b

x 10-5  x 10-5  x 10-5  x 10-5  x 10-6 

3,3 3,46 a 2,33 a 1,79 A 1,13 a 5,41 b

x 10-5  x 10-5  x 10-5  x 10-5  x 10-6 

3,6 3,17 a 2,13 a 1,62 a 1,03 a 4,86 b

x 10-5  x 10-5  x 10-5  x 10-5  x 10-6 

3,9 2,93 a 1,95 a 1,48 a 9,37 b 4,40 b

x 10-5  x 10-5  x 10-5  x 10-6  x 10-6 

4,3 2,65 a 1,76-5 a 1,33-5 a 8,39-6 b 3,89 b

x 10-5  x 10   x 10   x 10   x 10-6 
 

4,7 2,43 a 1,60 a 1,20 a 7,58 b 3,48 b

x 10-5  x 10-5  x 10-5  x 10-6  x 10-6 

5,1 2,24 a 1,47 a 1,10 a 6,91 b 3,15 b

x 10-5  x 10-5  x 10-5  x 10-6  x 10-6 

5,6 2,04 a 1,33 a 9,87 b 6,21 b 2,80 c

x 10-5  x 10-5  x 10-6  x 10-6  x 10-6 

6,2 10-5  a
x1,84 x 10-5  a
1,19 x 10-6  b
8,80 x 10-6  b
5,53 10-6  c
x2,47

6,8 1,68 a 1,08 a 7,93 b 4,98 b 2,20 c

x 10-5  x 10-5  x 10-6  x 10-6  x 10-6 

7,5 1,52 a 9,75 b 7,10 b 4,45 b 1,95 c

x 10-5  x 10-6  x 10-6  x 10-6  x 10-6 

8,2 1,39 a 8,87 b 6,43 b 4,02 b 1,74 c

x 10-5  x 10-6  x 10-6  x 10-6  x 10-6 

9,1 1,25 a 7,94 b 5,71 b 3,57 b 1,53 c

x 10-5  x 10-6  x 10-6  x 10-6  x 10-6 

10 1,14 a 7,18 b 5,14 b 3,21 b 1,36 c

x 10-5  x 10-6  x 10-6  x 10-6  x 10-6 

11 1,04-5 a 6,44-6 b 4,53-6 b 2,81-6 c 1,18-6 c

x 10   x 10   x 10   x 10   x 10  

12 9,51 b 5,84 b 4,04 b 2,49 c 1,04 c

x 10-6  x 10-6  x 10-6  x 10-6  x 10-6 

13 8,78 b 5,33 b 3,64 b 2,23 c 9,21 d

x 10-6  x 10-6  x 10-6  x 10-6  x 10-7 

15 7,61 b 4,53 b 3,01 b 1,82 c 7,44 d

x 10-6  x 10-6  x 10-6  x 10-6  x 10-7 

16 7,31 b 4,21 b 2,77 c 1,67 c 6,76 d

x 10-6  x 10-6  x 10-6  x 10-6  x 10-7 

18 6,34 b 3,68 b 2,37 c 1,41 c 5,67 d

x 10-6  x 10-6  x 10-6  x 10-6  x 10-7 

20 5,71 b 3,26 b 2,06 c 1,22 c 4,85 d

x 10-6  x 10-6  x 10-6  x 10-6  x 10-7 

22 5,19 b 2,93 c 1,82 c 1,07 c 4,21 d

x 10-6  x 10-6  x 10-6  x 10-6  x 10-7 

24 4,76 b 2,65 c 1,62 c 9,47 d 3,70 d

x 10-6  x 10-6  x 10-6  x 10-7  x 10-7 

27 4,23 b 2,32 c 1,39 c 8,04 d 3,10 d

x 10-6  x 10-6  x 10-6  x 10-7  x 10-7 

30 3,80 b 2,06 c 1,21 c 6,94 d 2,65 d 9,54 e

x 10-6  x 10-6  x 10-6  x 10-7  x 10-7  x 10-8 

33 3,46 b 1,85 c 1,06 c 5,94 d 2,30 d 8,57 e

x 10-6  x 10-6  x 10-6  x 10-7  x 10-7  x 10-8 

36 3,17 b 1,67 c 9,39 d 5,16 d 2,01 d 7,77 e

x 10-6  x 10-6  x 10-7  x 10-7  x 10-7  x 10-8 
 

39 2,93 c 1,53 c 8,40 d 4,53 d 1,78 d 7,11 e

x 10-6  x 10-6  x 10-7  x 10-7  x 10-7  x 10-8 

43 2,65 c 1,37 c 7,34 d 3,87 d 1,54 d 6,37 e

x 10-6  x 10-6  x 10-7  x 10-7  x 10-7  x 10-8 

47 2,43 c 1,24 c 6,49 d 3,35 d 1,34 d 5,76 e

x 10-6  x 10-6  x 10-7  x 10-7  x 10-7  x 10-8 

51 x 10-6  c
2,24 x 10-6  c
1,13 x 10-7  d
5,80 x 10-7  d
2,93 10-7  d
x1,19 x 10-8  e
5,26

56 2,04 c 1,02 c 5,10 d 2,52 d 1,03 d 4,73 e

x 10-6  x 10-6  x 10-7  x 10-7  x 10-7  x 10-8 

62 1,84 c 9,06 d 4,43 d 2,13 d 8,84 e 4,22 e

x 10-6  x 10-7  x 10-7  x 10-7  x 10-8  x 10-8 

68 1,68 c 8,17 d 3,90 d 1,84 d 7,68 e 3,80 e

x 10-6  x 10-7  x 10-7  x 10-7  x 10-8  x 10-8 

75 1,52 c 7,31 d 3,40 d 1,57 d 6,62 e 3,41 e

x 10-6  x 10-7  x 10-7  x 10-7  x 10-8  x 10-8 

82 1,39 c 6,61 d 3,01 d 1,35 d 5,79 e 3,08 e

x 10-6  x 10-7  x 10-7  x 10-7  x 10-8  x 10-8 

91 1,25-6 c 5,88-7 d 2,61-7 d 1,14-7 d 4,94 e 2,74-8 e

x 10   x 10   x 10   x 10   x 10-8  x 10  

100 1,14 c 5,28 d 2,29 d 1,01 d 4,29 e 2,47 e

x 10-6  x 10-7  x 10-7  x 10-7  x 10-8  x 10-8 

Tabela 12: Preciso MTTF d 

d para  
   para determinar NP 

Fonte da tabela 12 e a tabela K1 da ISO/EN 13849-1:2006  

Pro jeto d e sub sis tem a e co m bin ações  

Se os NPs de todos os substistemas são conhecidos, eles podem ser combinados simplesmente
num sistema usando a tabela 13. A razão por trás dessa
d essa tabela é clara. Primeiro, o sistema
pode apenas se tao bom quanto seu ponto mais fraco
f raco (subsistema). Segundo, quanto mais
subsistemas existem, maiores as possibilidade de falha. 

NPbaixo  Nbaixo  NP

a >3 Não permitido

=<3 a

b >2 a

=<2 b

c >2 b

=<2 c
 

d >3 c

=<3 d

e >3 d
.
3 e

Tabela 13: Calculo da NP para series combinadas de subsistemas  

No sistema mostrado na figura 135, o nivel de performance mais baixo esta nos subsistemas 1
e 2. Ambos são NPb. Portanto, utilizando a tabela 13, podemos ler atraves a b (na coluna
NPbaixo), a 2 (na coluna Nbaixo) e encontrar o NP que o sistema atingiu como b (na coluna
NP). Se todos os três subsistemas fossem NPb, o NP alcançado seria NPa.

Observação: A aplicação dessa tabela não é mandatoria. A utilização do anexo K da norma

(ou sistema) é o método preferido. Este quadro destina-se
destina -se apenas de proporcionar uma
abordagem muito simples para pequenos sistemas.  

Figura 134: Combinação de serie de subsistemas como um sistema NPb  

V a l i d a ção  

Validação desempenha um papel importante durante o desenvolvimento do sistema de

segurança e processo de comissionamento. ISO/EN 13849-2:2003 define os requisitos para
validação. Ele pede um plano de validação e discute validação
v alidação por testes e análises técnicas,
tais como arvorde de analise de falhas, e modos de falha, efeitos e análise da criticidade. A
maioria destes requisitos aplicáveis ao fabricante do subsistema, ao invés do usuário do
subsistema. 
t o d a m a q u i n a   
C o m i s s i o n a m e n to

No sistema de estágio ou máquina em funcionamento, a validação das funções de segurança

deve ser realizada em todos os modos de operação e deve abranger todas as condições
normais e previsíveis anormal. Combinações de insumos e sequências de operação também
deve ser levado em consideração. Este procedimento é importante porque é sempre
necessário verificar se o sistema é adequado para as reais características operacionais e
ambientais. Algumas dessas características podem ser diferentes dos previstos na fase de
projeto. 

Ferramentas e Recursos|Encontrar Escritórios no Mundo |Entre em Contato|Mapa do

Site|Observações Importantes 
Copyright © 2013 Rockwell
Rockwell Automation, Inc. All Rights Reserved.
Reserved.