Home»Guia de segurança»ISO 13849-1 PL

ISO 13849-1 PL

 
OBSERVAÇÃO

Ao contrário de EN954-1 no que respeita às Categorias, aqui os PLrs são totalmente "hierárquicos".
PLr(e) proporciona a maior contribuição para a redução de riscos, enquanto PLr(a) faz a mais baixa contribuição.

Partes Relacionadas à Segurança dos Sistemas de Controle, Parte 1: Princípios

gerais para o projeto
13849-1 é uma versão revisada da EN 954-1.

As fórmulas matemáticas complexas da teoria de confiabilidade do sistema foram substituídas por tabelas pré-
calculadas.

Alguns conceitos da EN 954 foram retidos, por exemplo categorias, redundância, monitoramento.

Alguns números foram modificados, ou seja, gráfico de riscos, seleção das Categorias.

A função das Categorias não é mais crucial como na EN 954-1.

Para avaliar a resistência à falha perigosa, o conceito de Categoria foi substituído pelo Nível de Desempenho
(Performance Level, PL), como a capacidade do sistema de controle da máquina relacionado à segurança (doravante
denominado SRP/CS) de assegurar proteção nas condições de operação especificadas.

O parâmetro usado para avaliar o PL da função de segurança é a probabilidade média de falha perigosa/hora. Uma
falha é considerada perigosa ao onde ela inibe a função de proteção do sistema, caso não seja detectada.

Existem 5 níveis, PLa a PLe.

 
Tabela de ISO 13849-1 
 
Quanto maior a contribuição na redução do risco, menor deverá ser a probabilidade média de falha perigosa
do SRP/CS.

PL é uma função da arquitetura do sistema de controle, confiabilidade dos componentes, capacidade de detectar
imediatamente uma falha interna que potencialmente afete a função de segurança e a qualidade do projeto.

A tabela abaixo resume os requisitos qualitativos e quantitativos obrigatórios a serem atendidos para um projeto do
sistema de controle seguro, de acordo com a ISO 13849-1.

Consulte ainda o glossário

 
Requisitos qualitativos e quantitativos obrigatórios a serem atendidos para um projeto do sistema de controle
seguro, de acordo com a ISO 13849-1

Para reivindicar um determinado PL, além de avaliar a probabilidade média de falha perigosa/hora para o sistema de
controle em questão, também será necessário provar a conformidade com os requisitos de qualidade especificados
pelo padrão.
 O PL reivindicado deve ser validado usando a ISO 13849-2 Partes Relacionadas à Segurança dos Sistemas de
Controle - Validação, que define os procedimentos, testes e análises para a avaliação de:

  Função de segurança fornecida

  Categoria atingida
  Nível de desempenho alcançado

IMPORTANTE!

A Probabilidade Média de Falha Perigosa/Hora é apenas um dos parâmetros que contribuem para a atribuição do PL.
Para obter uma classificação de PL, também é obrigatório provar e justificar ter considerado e cumprido todos os requisitos, incluindo:
• Monitoramento de falhas sistemáticas
• Utilização de componentes robustos e confiáveis (de acordo com os Padrões do Produto, se disponíveis)
• Trabalhar de acordo com a boa prática de engenharia
• Considerar as condições ambientais nas quais o sistema relacionado à segurança operará
• No caso de um software novo, adotar todos os aspectos organizacionais do modelo de desenvolvimento do tipo V mostrados na Figura 6
do Padrão
ISO 13849-1 e atendimento aos requisitos de desenvolvimento para aplicações e SW incorporado.

O projeto de um SRP/CS de acordo com ISO 13849-1 pode ser resumido nas seguintes oito etapas

1 – Identificação da função relacionada à segurança através da análise de riscos

2 – Atribuição do Nível de Desempenho exigido (PLr) através do gráfico de riscos
3 – Seleção da estrutura do sistema (arquiteturas) e técnicas de autodiagnóstico
4 – Desenvolvimento técnico do sistema de controle
5 – Cálculo de MTTFd, DCavg e verificação de CCF
6 – Cálculo do PL usando a Tabela 5
7 – Verificação do PL (se o PL calculado estiver abaixo do PLr, retorne à Etapa 3)
8 – Validação.

Identificação do item relacionado à segurança e atribuição do Nível de Desempenho exigido - PLh

Para cada função relacionada à segurança (por exemplo, através do uso de ISO/TR14121-2 -
Avaliação de Riscos) o autor de SRP/CS decide a contribuição para redução do risco a ser fornecido,
ou seja, PLr.

Esta contribuição não avrange o risco da máquina como um todo, mas apenas a parte do risco relacionada à aplicação
da função de segurança em questão.

O Parâmetro PLr representa o Nível de Desempenho exigido para a função relacionada à segurança em questão.

O Parâmetro PL representa o Nível de Desempenho alcançado pelo hardware de implementação. O PL do hardware

deve se igual ou superior ao PLr especificado.

Um gráfico de decisões do tipo árvore é usado para encontrar a contribuição para a redução do risco que deve ser
fornecida pela função relacionada à segurança, levando à identificação inequívoca do PLr. Se mais de uma função
relacionada à segurança for identificada, PLr deverá ser identificado para cada uma delas.
  Gráfico do tipo árvore da decisão
 
 

Projeto do sistema de controle relacionado à segurança e avaliação do PL

Após decidir o PLr necessário, um SRP/CS adequado é projetado, calculando o PL resultante e
assegurando que ele é maior ou igual ao PLr.

Para obter o PL, a probabilidade média de falha perigosa/hora do SRP/CS projetado deve ser calculada.

A probabilidade média de falha perigosa/hora para um sistema de controle relacionado à segurança deve ser estivada
de várias maneiras.

O uso de tais métodos implica que para cada componente, é conhecido o seguinte:

 Taxa de falhas (λ)

 Distribuição percentual da taxa de falhas para todos os modos de falhas de componentes (por exemplo, se
for para um interruptor de ação positiva, os modos de falha são: o contato não abrirá quando necessário =
20% dos casos e o contato não fechará quando necessário = 80% dos casos. O que resulta em: não abrirá =
λ x 0,2 não fechará = λ x 0,8 )
 O efeito de cada falha no desempenho do sistema relacionado à segurança, (por exemplo, falha perigosa =
λd, ou falha não perigosa = λs)
 Porcentagem de falhas perigosas detectadas (pelas técnicas de autodiagnóstico automático implementadas)
fora as falhas perigosas totais: λdd = λd x DC.
 Porcentagem de falhas perigosas detectadas (pelas técnicas de autodiagnóstico automático implementadas)
fora as falhas perigosas totais: λdu = λd x (1-DC).
 ISO 13849-1 simplifica o cálculo fornecendo uma tabela baseada nos modelos de Markov na qual a probabilidade
média de falha perigosa por hora é calculada previamente para diversas combinações de categorias e valores de faixas
de MTTFd e DCavg, que são por sua vez obtidos usando tabelas. 

Denotações de Faixa de valor  DC/

Faixa de MTTF   Denominação DC
MTTF DC
d avg
d avg

3 anos ≤ MTTF  <

Baixo   Nenhum DC < 60%
d

10

10 anos ≤ MTTF  <

Médio   Baixo 60% ≤ DC < 90%
d

30

30 anos ≤ MTTF  <

Alto   Médio 90% ≤ DC < 99%
d

100

      Alto  Alto 99% ≤ DC

 
Seleção de categorias

PRINCÍPIOS
CATEGORIA REQUISITOS COMPORTAMENTO DE
SEGURANÇA

SRP/CS e/ou seu

equipamento de proteção,
bem como seus componentes,
deverão ser projetados,
construídos, selecionados,
A ocorrência de uma falha pode
montados e combinados de
B acordo com os padrões
levar à perda da função de
segurança
relevantes, de forma que eles
Caracterizado
possam resistir à influência
principalmente
esperada. Princípios básicos
pela seleção dos
de segurança deverão ser
componentes
usados

Requisitos de B deverão ser A ocorrência de uma falha pode

aplicados. Componentes bem levar à perda da função de
1 experimentados e princípios segurança, mas a probabilidade
de segurança bem testados de ocorrência é menor do que
deverão ser usados   para a categoria B

2 Requisitos de B e o uso de A ocorrência de uma falha pode Caracterizado

 princípios de segurança bem
testados deverão ser levar à perda da função de
aplicados. A função de segurança entre as inspeções. a
segurança deverá ser perda da função de segurança é
verificada pela máquina em detectada
intervalos adequados

Requisitos de B e o uso de
princípios de segurança bem
testados deverão ser
aplicados. Partes relacionadas
à segurança deverão ser
projetadas de maneira que:
3 - uma falha única em
qualquer uma dessas partes
não leve à perda da função de
segurança, e
- sempre que razoavelmente
viável, a falha única é
detectada.
Quando uma falha única ocorre,
a função de segurança é sempre
realizada. Algumas, mas nem
todas as falhas serão detectadas.
O acúmulo de falhas não
detectadas pode levar à perda da
função de segurança
principalmente
por estruturas

Requisitos de B e o uso de
princípios de segurança bem
testados deverão ser
aplicados. Partes relacionadas
à segurança deverão ser Ao ocorrer uma falha única, a
projetadas de maneira que: função de segurança será sempre
- uma falha única em efetuada.
qualquer uma dessas partes A detecção das falhas
não leve à perda da função de acumuladas reduz a
4 segurança. e probabilidade da perda da função
- a falha única é detectada em de segurança (DC elevado).
ou antes da próxima a falha será detectada a tempo de
exigência da função de evitar a perda da função de
segurança, mas apenas se esta segurança
detecção não for possível, um
acúmulo de falhas não
detectadas não deverá levar à
perda da função de segurança.

 
Para a Categoria B e a Categoria 1, a capacidade de resistir à falha ocorre devido à robustez dos componentes (evite
falhas tanto quanto possível).

Para as Categorias 2, 3 e 4, a capacidade de resistir à falha ocorre devido à estrutura do sistema (controle da falha). A
falha é controlada através do monitoramento do ciclo para a Categoria 2, redundância para a Categoria 3, redundância
mais monitoramento para a Categoria 4.
Os requisitos operacionais são especificados para cada Categoria. Os modos de falha dos componentes elétricos são
definidos e relacionados. A relação entre as Categorias e o desempenho de segurança do sistema de controle no caso
de falha, é bem definida (abordagem determinista).

O problema é então reduzido para: seleção da arquitetura, cálculo de DCavg em relação às técnicas de
autodiagnóstico implementadas, cálculo de MTTFd simplificado do circuito projetado e verificação da conformidade
com os requisitos para a operação do canal independente (CCF) para arquiteturas redundantes (Categorias 2, 3 e 4).

A combinação da Categoria mais DCavg adotado é mostrada em uma das sete colunas da figura 5 da ISO 13849-1.
O MTTFd calculado determina qual parte da coluna deve ser considerada. O PL correspondente é mostrado à
esquerda da tabela.

Figura da ISO 13849-1

A parte da coluna selecionada pode incluir dois ou três valores possíveis de PL, por exemplo para a Categoria 3,
DCavg = Médio e MTTFd = Baixo, os três valores a seguir são possíveis: PLb, PLc, PLd. Nesses casos, a obtenção
do uso de PL correto é constituído da Tabela K.1 do Anexo K do Padrão (não mostrado), fornecendo valores
detalhados da probabilidade média da falha perigosa por hora e Pl em relação ao valor real de MTTFd, além da
combinação Categoria-mais-DCavg implementada.
 
Conforme pode ser visto na figura anterior para cada Nível de Desempenho especificado, estão disponíveis diferentes
escolhas. Um exemplo é dado n a Tabela 5, onde para um sistema que tem PL de “c”, as cinco alternativas a seguir
são possíveis:
 
1. Categoria 3 com MTTFd = Baixo e DCavg médio
2. Categoria 3 com MTTFd = Médio e DCavg baixo
3. Categoria 2 com MTTFd = Médio e DCavg médio
4. Categoria 2 com MTTFd = Alto e DCavg baixo
5. Categoria 1 com MTTFd = Alto
 
Exceção apenas para a parte de saída do SRP/CS.

Se para um componente mecânico, hidráulico ou pneumático (ou componentes que abrangem uma mistura de
tecnologias) nenhum dado de confiabilidade específico da aplicação estiver disponível, o fabricante da máquina
poderá avaliar os aspectos quantificáveis do PL sem nenhum cálculo de MTTFd.
Para tais casos, o nível de desempenho (PL) relacionado à segurança é implementado pela arquitetura, o diagnóstico e
as medidas contra CCF. A tabela a seguir mostra a relação entre o PL possível e as categorias.
 

  PFH  1/h)
d Cet. B Cat. 1 Cat. 2 Cat. 3 Cat. 4

PL a 2*10 -5
* 0 0 0 0

PL b 5*10 -6
* 0 0 0 0

PL c 1,7*10 -6
- *2 *1 0 0

PL d 2,9*10 -7
- - - *1 0

PL e 4,7*10 -8
- - - - *1

* Categoria aplicada é recomendada

0 Categoria aplicada é opcional
- Categoria não é permitida
Comprovado no uso ou bem experimentado (confirmado pelo fabricante de
*1 componentes como adequado para a aplicação particular) componentes e princípios
de segurança bem experimentados devem ser usados
Componentes bem experimentados e princípios de segurança bem experimentados
devem ser usados. Para os componentes relacionados à segurança que não são
*2    
monitorados no processo, o valor T10d pode ser determinado com base em dados
em uso comprovados pelo fabricante da máquina 

Combinação de diversos SRC/PS para atingir o PL total

A função relacionada à segurança pode incluir um ou mais SRP/CSs, e diversas funções relacionadas à segurança
podem usar os mesmos SRP/CSs. SRP/CSs individuais poderiam ainda ser obtidos usando outras arquiteturas. Onde a
função relacionada à segurança for obtida por uma conexão de série de diversos SRP/CSs, por exemplo cortinas de
luz de segurança, lógica de controle, potência de saída, e se os valores de PFHd de todos os SP/CSs forem
conhecidos, o PHFd do SRP/CS combinado será a soma de todos os valores PFHd dos N SRP/CSs.
O PL do SRP/CS combinado é limitado por:

 o PL mais baixo de qualquer SRP/CSs individual envolvido na realização da função de segurança (porque o
PL é determinado ainda pelos aspectos não quantificáveis) e
 o PL correspondente ao PFHd do SRP/CS combinado, de acordo com a tabela 3 da ISO 13849-1

 Se os valores PFHd de todos os SRP/CSs individuais não forem conhecidos:

Localize a parte com PL = PL baixo

Encontre o número das partes que têm PL = PL baixo
Introduza os dados na tabela a seguir para obter o PL total
 

 
O PL obtido usando esta tabela refere-se aos valores de confiabilidade na posição intermediária de cada um dos
intervalos da Tabela 3 da ISO 13849-1.
 

 
Nós temos:    PL baixo = d              N baixo = 1 (< 3) 

Portanto:   PL total = d 

e a probabilidade média de falha perigosa por hora para o sistema completo será um número qualquer entre 
1 x 10-6 and 1 x 10-7 (consulte a Tabela 3 da ISO 13849-1).
 
Próximo... IEC 62061 SIL - Conclusões