Abnt NBR Iso 13489-2

CONSELHO REGIONAL DE ENGENHARIA E AGRONOMIA DO ESTADO DE SANTA CATARINA – CREA-SC - CNPJ 82.511.
643/0001-64
NORMA ABNT NBR

BRASILEIRA ISO
13849-2
Primeira edição
26.03.2019
Segurança de máquinas — Partes de sistemas

de comando relacionadas à segurança
Parte 2: Validação
Safety of machinery — Safety-related parts of control systems
Part 2: Validation
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
ICS 13.110 ISBN 978-85-07-07980-4
Número de referência
ABNT NBR ISO 13849-2:2019
84 páginas
© ISO 2012 - © ABNT ‌2019

Impresso por: SC - Itajai - IMPRESSÃO
CONSELHO REGIONAL DE ENGENHARIA E AGRONOMIA DO ESTADO DE SANTA CATARINA – CREA-SC - CNPJ 82.511.643/0001-64

© ISO 2012
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT ‌2019
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
ii © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

Sumário Página
Prefácio Nacional..............................................................................................................................viii
Introdução.............................................................................................................................................x
1 Escopo.................................................................................................................................1
2 Referências normativas......................................................................................................1
3 Termos e definições............................................................................................................1
4 Processo de validação........................................................................................................1
4.1 Princípios de validação......................................................................................................1
4.2 Plano de validação..............................................................................................................3
4.3 Listas de falhas genéricas..................................................................................................4
4.4 Listas de falhas específicas...............................................................................................4
4.5 Informações para validação...............................................................................................5
4.6 Registro de validação.........................................................................................................7
5 Validação por análise..........................................................................................................7
5.1 Generalidades......................................................................................................................7
5.2 Técnicas de análise.............................................................................................................7
6 Validação por ensaio...........................................................................................................8
6.1 Generalidades......................................................................................................................8
6.2 Exatidão na medição...........................................................................................................9
6.3 Requisitos mais rigorosos.................................................................................................9
6.4 Número de amostras de ensaio.........................................................................................9
7 Validação da especificação dos requisitos de segurança quanto às funções de
segurança..........................................................................................................................10
8 Validação das funções de segurança..............................................................................10
9 Validação dos níveis de desempenho e categorias....................................................... 11
9.1 Análise e ensaio................................................................................................................ 11
9.2 Validação das especificações de categoria....................................................................12
9.2.1 Categoria B........................................................................................................................12
9.2.2 Categoria 1.........................................................................................................................12
9.2.3 Categoria 2.........................................................................................................................13
9.2.4 Categoria 3.........................................................................................................................13
9.2.5 Categoria 4.........................................................................................................................14
9.3 Validação de MTTFd, DCavg e CCF...................................................................................14
9.4 Validação de medidas contra falhas sistemáticas relativas ao nível de desempenho
e categoria da SRP/S........................................................................................................15
9.5 Validação do software relacionado à segurança...........................................................15
9.6 Validação e verificação do nível de desempenho..........................................................16
9.7 Validação da combinação de partes relacionadas à segurança...................................17
10 Validação dos requisitos ambientais..............................................................................17
11 Validação dos requisitos de manutenção.......................................................................18
12 Validação da documentação técnica e informações de uso.........................................18
Anexo A (informativo) Ferramentas de validação para sistemas mecânicos................................19
© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados iii

Anexo B (informativo) Ferramentas de validação para sistemas pneumáticos............................24

Anexo C (informativo) Ferramentas de validação para sistemas hidráulicos...............................35
Anexo D (informativo) Ferramentas de validação para sistemas elétricos....................................44
D.1 Generalidades....................................................................................................................44
D.2 Exclusão de falhas............................................................................................................48
D.2.1 Generalidades....................................................................................................................48
D.2.2 “Filamentos de estanho”..................................................................................................48
D.2.3 Curtos-circuitos em partes montadas em PCB (placa de circuito impresso).............49
D.2.4 Exclusões de falhas e circuitos integrados....................................................................49
Anexo E (informativo) Exemplo de validação do comportamento da falha e meios de
diagnóstico........................................................................................................................57
E.1 Generalidades....................................................................................................................57
E.2 Descrição da máquina......................................................................................................57
E.3 Especificação dos requisitos da função de segurança.................................................59
E.4 Projeto da SRP/CS............................................................................................................62
E.4.1 Generalidades....................................................................................................................62
E.4.2 Função de segurança SF 1 – Parada relativa à segurança iniciada pela abertura da
proteção intertravada e prevenção contra partida inesperada sempre que a proteção
intertravada estiver aberta...............................................................................................65
E.4.3 Função de segurança SF 2 – Velocidade limitada de forma segura (SLS)..................69
E.4.4 Função de segurança SF 3 – Modo de operação manual contínua.............................70
E.5 Validação............................................................................................................................72
E.5.1 Generalidades....................................................................................................................72
E.5.2 Validação do comportamento da falha e DCavg..........................................................................73
E.5.3 FMEA e DCavg para SF 1.0 e SF 1.3.................................................................................73

E.5.3.1 SF 1.0..................................................................................................................................73
E.5.3.2 SF 1.3..................................................................................................................................78
Bibliografia..........................................................................................................................................83
Figuras
Figura 1 – Visão geral do processo de validação.............................................................................3
Figura E.1 – Máquina utilizada no exemplo: máquina de montagem automática........................59
Figura E.2 – Máquina de montagem automática – Diagrama de circuito elétrico........................61
Figura E.3 – Máquina de montagem automática – Diagrama de circuito pneumático................61
Figura E.4 – Blocos de função – SF 1.0, SF 1.1, SF 1.2 e SF 1.3....................................................65
Figura E.5 – Diagrama de blocos relacionado à segurança – SF 1.0............................................66
Figura E.6 – Diagrama de blocos relacionado à segurança – SF 1.1, SF 1.2 e SF 1.3.................66
Figura E.7 – Combinação de SRP/CS desempenhando funções de segurança..........................66
Figura E.8 – Diagrama de blocos relacionado à segurança – SF 2...............................................69
Figura E.9 – SRP/CS desempenhando a função de segurança SF 2............................................69
Figura E.10 – Diagrama de blocos relacionado à segurança – SF 3.............................................71
Figura E.11 – Combinação de SRP/CS desempenhando a função de segurança SF 3...............71
Figura E.12 – Diagrama de blocos da função de segurança – SF 1.0...........................................73
Figura E.13 – Diagrama de blocos relacionado à segurança para SF 1.3....................................78
iv © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

Tabelas
Tabela 1 – Estrutura dos Anexos A a D desta Parte da ABNT NBR ISO 13849..............................ix
Tabela 2 – Requisitos da documentação para categorias em relação aos níveis de
desempenho........................................................................................................................6
Tabela A.1 – Princípios básicos de segurança................................................................................19
Tabela A.2 – Princípios de segurança devidamente comprovados...............................................21
Tabela A.3 – Componentes devidamente comprovados................................................................22
Tabela A.4 – Falhas e exclusões de falhas – Dispositivos mecânicos, componentes e
elementos (por exemplo, excêntrico, tucho, corrente, embreagem, freio, eixo,
parafuso, pino, guia, rolamento)......................................................................................23
Tabela A.5 – Falhas e exclusões de falhas – Molas helicoidais de pressão.................................23
Tabela B.1 – Princípios básicos de segurança (continua)...............................................................24
Tabela B.2 – Princípios de segurança devidamente comprovados...............................................26
Tabela B.3 – Falhas e exclusões de falhas – Válvulas de controle direcional.............................27
Tabela B.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/válvulas de
retenção (antirretorno)/válvulas de escape rápido/válvulas alternadoras (válvulas
“OU”), etc...........................................................................................................................28
Tabela B.5 – Falhas e exclusões de falhas – Válvulas de fluxo.....................................................29
Tabela B.6 – Falhas e exclusões de falhas – Válvulas de controle de pressão...........................30
Tabela B.7 – Falhas e exclusões de falhas – Tubulação.................................................................31
Tabela B.8 – Falhas e exclusões de falhas – Mangueiras..............................................................31
Tabela B.9 – Falhas e exclusões de falhas – Conexões.................................................................32
Tabela B.10 – Falhas e exclusões de falhas – Transmissores de pressão e transdutores de
pressão...............................................................................................................................32
Tabela B.11 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Filtros...............32
Tabela B.12 – Falhas e exclusões de falhas – Tratamento do ar comprimido – Lubrificadores.32
Tabela B.13 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Silenciadores..33
Tabela B.14 – Falhas e exclusões de falhas – Acumuladores e vasos de pressão.....................33
Tabela B.15 – Falhas e exclusões de falhas – Sensores................................................................33
Tabela B.16 – Falhas e exclusões de falhas – Processamento de informações – Elementos
lógicos................................................................................................................................33
Tabela B.17 – Falhas e exclusões de falhas – Processamento de informações –
Temporizadores.................................................................................................................33
Tabela B.18 – Falhas e exclusões de falhas – Processamento de informações –
Conversores......................................................................................................................34
Tabela C.1 – Princípios básicos de segurança................................................................................35
Tabela C.2 – Princípios de segurança devidamente comprovados...............................................36
Tabela C.3 – Falhas e exclusões de falhas – Válvulas de controle direcional.............................38
Tabela C.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/válvulas de
retenção (antirretorno)/válvulas alternadoras (válvulas “OU”), etc.............................39
Tabela C.5 – Falhas e exclusões de falhas – Válvulas de fluxo.....................................................40
Tabela C.6 – Falhas e exclusões de falhas – Válvulas de pressão................................................41
Tabela C.7 – Falhas e exclusões de falhas – Tubulação metálica.................................................42
© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados v

Tabela C.8 – Falhas e exclusões de falhas – Mangueiras..............................................................42

Tabela C.9 – Falhas e exclusões de falhas – Conexões.................................................................42
Tabela C.11 – Falhas e exclusões de falhas – Armazenamento de energia..................................43
Tabela C.12 – Falhas e exclusões de falhas – Sensores................................................................43
Tabela D.1 – Princípios básicos de segurança................................................................................44
Tabela D.2 – Princípios de segurança devidamente comprovados...............................................45
Tabela D.3 – Componentes devidamente comprovados................................................................47
Tabela D.4 – Falhas e exclusões de falhas – Condutores/cabos...................................................49
Tabela D.5 – Falhas e exclusões de falhas – Placas de circuito impresso/conjuntos.................50
Tabela D.6 – Falhas e exclusões de falhas – Bloco de terminal....................................................50
Tabela D.7 – Falhas e exclusões de falhas – Conector de pinos múltiplos..................................51
Tabela D.8 – Falhas e exclusões de falhas – Interruptores – Interruptores de posição
eletromecânicos, interruptores operados manualmente (por exemplo, botão de pressão
atuador de rearme (reset), interruptor DIP, contatos operados magneticamente, reed
switch, interruptor de pressão, interruptor de temperatura)........................................51
Tabela D.9 – Falhas e exclusões de falhas – Interruptores – Dispositivos eletromecânicos
(por exemplo, relés, contatores)......................................................................................52
Tabela D.10 – Falhas e exclusões de falhas – Interruptores – Interruptores de proximidade....52
Tabela D.11 – Falhas e exclusões de falhas – Interruptores – Válvulas solenoides....................52
Tabela D.12 – Falhas e exclusões de falhas – Componentes elétricos discretos –
Transformadores...............................................................................................................53
Indutâncias........................................................................................................................53

Resistores..........................................................................................................................54
Tabela D.15 – Falhas e exclusões de falhas – Componentes elétricos discretos – Redes de
resistores...........................................................................................................................54
Potenciômetros.................................................................................................................54
Capacitores........................................................................................................................55
Tabela D.18 – Falhas e exclusões de falhas – Componentes eletrônicos – Semicondutores
discretos (por exemplo, diodos, diodos Zener, transistores, triacs, tiristores,
reguladores de tensão, cristal de quartzo, fototransistores, diodos emissores
de luz [LED])......................................................................................................................55
Tabela D.19 – Falhas e exclusões de falhas – Componentes eletrônicos – Optoacopladores...55
Tabela D.20 – Falhas e exclusões de falhas – Componentes eletrônicos – Circuitos integrados
não programáveis.............................................................................................................56
Tabela D.21 – Falhas e exclusões de falhas – Componentes eletrônicos – Circuitos integrados
programáveis e/ou complexos.........................................................................................56
Tabela E.1 – Funções de segurança ativas de acordo com o modo de operação.......................60
Tabela E.2 – Atributos de componentes de implementação da SRP/CS (lista de partes das
Figuras E.2 e E.3)..............................................................................................................63
vi © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

Tabela E.3 – FMEA e estimativa da DC para componentes da SRP/CSI de SF 1.0.......................74

Tabela E.4 – FMEA e estimativa da DC para componentes da SRP/CSL/O de SF 1.0...................75
Tabela E.5 – FMEA da SRP/CSL/O de SF 1.3.....................................................................................79
© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados vii

Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB),
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas
no tema objeto da normalização.
Os Documentos Técnicos ABNT são elaborados conforme as regras da ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT
não substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo
precedência sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR ISO 13849-2 foi elaborada no Comitê Brasileiro de Máquinas e Equipamentos Mecânicos
(ABNT/CB-004), pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001).
O Projeto circulou em Consulta Nacional conforme Edital nº 02, de 14.02.2019 a 18.03.2019.
A ABNT NBR ISO 13849-2 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
à ISO 13849-2:2012, que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199).
A ABNT NBR ISO 13849, sob o título geral “Segurança de máquinas – Partes de sistemas de
comando relacionadas à segurança”, tem previsão de conter as seguintes partes:
—— Parte 1: Princípios gerais de projeto;

—— Parte 2: Validação.
Os Anexos A a D, que são informativos, são estruturados de acordo com a Tabela 1.
Tabela 1 – Estrutura dos Anexos A a D desta Parte da ABNT NBR ISO 13849
Lista de Lista de princípios Lista de

Listas de falhas
princípios de segurança componentes
e exclusões de
Anexo Tecnologia básicos de devidamente devidamente
falhas
segurança comprovados comprovados
Tabela(s)
A Mecânica A.1 A.2 A.3 A.4, A.5
B Pneumática B.1 B.2 – B.3 a B.18
C Hidráulica C.1 C.2 – C.3 a C.12
Elétrica
D D.1 D.2 D.3 D.4 a D.21
(inclui eletrônica)
viii © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

O Escopo em inglês da ABNT NBR ISO 13849-2 é o seguinte:
Scope
This document specifies the procedures and conditions to be followed for the validation by analysis
and testing of
—— the specified safety functions,
—— the category achieved, and
—— the performance level achieved
by the safety-related parts of a control system (SRP/CS) designed in accordance with

ABNT NBR ISO 13849-1.
NOTE Additional requirements for programmable electronic systems, including embedded software,
are given in ISO 13849-1:2006, 4.6, and IEC 61508.
© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados ix

Introdução
A estrutura das normas de segurança no campo das máquinas é a seguinte:
a) as normas do tipo A (normas básicas de segurança) proveem conceitos básicos, princípios

de projeto e aspectos gerais que podem ser aplicados às máquinas.
b) as normas do tipo B (normas de segurança genéricas) abordam um aspecto de segurança ou um

tipo de dispositivo de segurança que pode ser utilizado em uma ampla variedade de máquinas:
—— as normas do tipo B1 sobre aspectos de segurança específicos (por exemplo, distâncias

de segurança, temperatura da superfície, ruído);
—— as normas do tipo B2 sobre dispositivos de segurança (por exemplo, controles acionados

pelas duas mãos, dispositivos de travamento, dispositivos sensíveis à pressão, proteções);
c) as normas do tipo C (normas de segurança de máquinas) abordam os requisitos de segurança

detalhados para uma máquina ou grupo de máquinas específico.
Este documento é uma norma do tipo B, conforme declarado na ABNT NBR ISO 12100.
Os requisitos deste documento podem ser suplementados ou modificados por uma norma do tipo C.
Para máquinas que são abrangidas pelo escopo de uma norma do tipo C e que foram projetadas
e construídas de acordo com os requisitos da referida norma, os requisitos dessa norma do tipo C
prevalecem.
Esta Parte da ABNT NBR ISO 13849 especifica o processo de validação para as funções de segurança,
categorias e níveis de desempenho para as partes de sistemas de comando relacionadas à segurança.

Este documento reconhece que a validação de partes de sistemas de comando relacionadas à
segurança pode ser atingida por uma combinação de análise (ver Seção 5) e ensaio (ver Seção 6),
e especifica as circunstâncias específicas em que o ensaio deve ser realizado.
A maioria dos procedimentos e condições descritos nesta Parte da ABNT NBR ISO 13849 tem base
na suposição de que o procedimento simplificado para a estimativa do nível de desempenho (PL)
descrito na ISO 13849-1:2006, 4.5.4, é utilizado. Esta Parte da ABNT NBR ISO 13849 não provê
orientação para situações quando outros procedimentos forem utilizados para estimar o PL (por exemplo,
modelo de Markov), e neste caso algumas das suas prescrições não serão aplicáveis e requisitos
adicionais podem ser necessários.
Orientação sobre os princípios gerais para o projeto (ver ABNT NBR ISO 12100) de partes de sistemas
de comando relacionadas à segurança, independentemente do tipo de tecnologia utilizada (elétrica,
hidráulica, pneumática, mecânica etc.), é provida na ISO 13849-1. Isto inclui descrições de algumas
funções de segurança típicas, determinação dos seus níveis de desempenho requeridos e requisitos
gerais de categorias e níveis de desempenho.
Dentro desta Parte da ABNT NBR ISO 13849, alguns dos requisitos de validação são gerais,
enquanto outros são específicos ao tipo de tecnologia utilizada.
x © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

NORMA BRASILEIRA ABNT NBR ISO 13849-2:2019
Segurança de máquinas — Partes de sistemas de comando relacionadas

à segurança
Parte 2: Validação
1 Escopo
Esta Parte da ABNT NBR ISO 13849 especifica os procedimentos e as condições a serem seguidos
para a validação por análise e ensaio
—— das funções de segurança especificadas,
—— da categoria atingida, e
—— do nível de desempenho atingido
pelas partes de um sistema de comando relacionadas à segurança (SRP/CS) projetadas de acordo

com a ISO 13849-1.
NOTA Os requisitos adicionais para sistemas eletrônicos programáveis, incluindo software incorporado,
são providos na ISO 13849-1:2006, 4.6 e IEC 61508.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT NBR ISO 12100:2013, Segurança de máquinas – Princípios gerais de projeto – Apreciação
e redução de riscos
ISO 13849-1:2006, Segurança de máquinas – Partes de sistemas de comando relacionadas à

segurança – Parte 1: Princípios gerais de projeto
NOTA BRASILEIRA A edição em vigor é a ISO 13849-1:2015 que é idêntica a ABNT NBR ISO 13849-1:2019.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 12100 e
ISO 13849-1.
4 Processo de validação
4.1 Princípios de validação
A finalidade do processo de validação é confirmar que o projeto da SRP/CS suporta a especificação

de requisitos de segurança na sua totalidade para as máquinas.
© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados 1

A validação deve demonstrar que cada SRP/CS atende aos requisitos da ISO 13849-1, em particular,
aos seguintes:
a) as características de segurança especificadas das funções de segurança providas por aquela

parte, conforme estabelecido no fundamento do projeto;
b) os requisitos do nível de desempenho especificado (ver ISO 13849-1:2006, 4.5):
1) os requisitos da categoria especificada (ver ISO 13849-1:2006, 6.2),
2) as medidas para controle e prevenção de falhas sistemáticas (ver ISO 13849-1:2006, Anexo G),
3) se aplicável, os requisitos do software (ver ISO 13849-1:2006, 4.6), e
4) a capacidade de desempenhar uma função de segurança sob condições ambientais esperadas;
c) o projeto ergonômico da interface do operador, por exemplo, de modo que o operador não tente
agir de maneira perigosa, como anular a SRP/CS (ver ISO 13849-1:2006s, 4.8).
Convém que a validação seja realizada por pessoas que sejam independentes do projeto da SRP/CS.
NOTA “Pessoa independente” não significa necessariamente que um ensaio de terceiros é requerido.
A validação consiste na aplicação da análise (ver Seção 5) e execução de ensaios funcionais

(ver Seção 6) sob condições previsíveis de acordo com o plano de validação. A Figura 1 provê uma
visão geral do processo de validação. O equilíbrio entre a análise e o ensaio depende da tecnologia
utilizada para as partes relacionadas à segurança e o nível de desempenho requerido. Para as
Categorias 2, 3 e 4 a validação da função de segurança também deve incluir ensaios sob condições
de falha.
Convém que a análise seja iniciada o mais cedo possível e em paralelo com o processo do projeto.
Os problemas podem ser corrigidos antecipadamente, enquanto eles ainda são relativa-
mente fáceis de corrigir, ou seja, durante as etapas de “projeto e realização técnica da função de
segurança” e “avaliar o nível de desempenho PL” [a quarta e a quinta caixas mostradas na
ISO 13849-1:2006, Figura 3]. Pode ser necessário que algumas partes da análise sejam adiadas
até que o projeto seja bem desenvolvido.
Sempre que for necessário devido ao tamanho e à complexidade do sistema ou aos efeitos de
integrá-lo com o sistema de controle (da máquina), convém que disposições especiais sejam efe-
tuadas para
—— validação da SRP/CS separadamente antes da integração, incluindo simulação dos sinais de

entrada e saída apropriados, e
—— validação dos efeitos de integração das partes relacionadas à segurança no restante do sistema
de controle dentro do contexto de sua utilização na máquina.
2 © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

Considerações Início
de projeto
Documentos Plano de validação Princípios de validação
Critérios para
Listas de falhas Análise
exclusão da falha
A análise é Não
Ensaio
suficiente?
Especificação das funções de

segurança Sim
Função de segurança
Não Sim O ensaio
PL e categorias: Categoria 2, 3, 4 é aprovado?
– determinação da categoria
– MTTFd, DC, CCF
Sim Não
– falhas sistemáticas
– software
Testar a função de Modificação
– verificação do PL para SRP/CS
segurança sob do projeto
– combinação da SRP/CS
condição de falha
Requisitos ambientais
Registro de
Requisitos de manutenção validação
Especificação técnica/informações
ao usuário Todas as
funções de Não
segurança estão
validadas?
Sim
Fim
Figura 1 – Visão geral do processo de validação
A “Modificação do projeto” mostrada na Figura 1 refere-se ao processo de projeto. Se a validação

puder não ser concluída com êxito, alterações no projeto são necessárias. Convém que a validação
das partes relacionadas à segurança modificadas seja, então, repetida. Convém que este processo
seja repetido até que todas as partes relacionadas à segurança das funções de segurança sejam
validadas com êxito.
4.2 Plano de validação
O plano de validação deve identificar e descrever os requisitos para a realização do processo de

validação referente às funções de segurança especificadas, suas categorias e níveis de desempenho.
O plano de validação também deve identificar os meios a serem empregados para validar as funções
de segurança especificadas, categorias e níveis de desempenho. Ele deve estabelecer, quando
apropriado
a) a identificação dos documentos da especificação,

b) as condições operacionais e ambientais durante o ensaio,
c) as análises e ensaios a serem aplicados,
d) a referência às normas de ensaio a serem aplicadas, e
e) as pessoas ou as partes responsáveis por cada etapa no processo de validação.
As partes relacionadas à segurança que foram anteriormente validadas para a mesma especificação
precisam somente de uma referência à validação anterior.
4.3 Listas de falhas genéricas
O processo de validação envolve a consideração do comportamento da SRP/CS para todas as falhas

a serem consideradas. A base para a consideração da falha é provida nas tabelas das listas de falhas
mostradas nos Anexos A a D, as quais são baseadas na experiência e contêm
—— os componentes/elementos a serem incluídos, por exemplo, condutores/cabos (ver Anexo D),
—— as falhas a serem levadas em consideração, por exemplo, curtos-circuitos entre condutores,
—— as exclusões de falhas permitidas, levando em consideração os aspectos ambientais, operacionais

e da aplicação, e
—— uma seção de observações provendo as razões para as exclusões das falhas.
Somente falhas permanentes são levadas em consideração nas listas de falhas.
4.4 Listas de falhas específicas

Se necessário, uma lista de falhas específicas relativas ao produto deve ser gerada como um
documento de referência para o processo de validação da(s) parte(s) relativa(s) à segurança. A lista
pode ser baseada na(s) lista(s) genérica(s) apropriada(s) encontrada(s) nos Anexos.
Quando a lista de falhas específicas relativas ao produto for baseada na(s) lista(s) genérica(s),
ela deve declarar
a) as falhas obtidas da(s) lista(s) genérica(s) a serem incluídas,
b) quaisquer outras falhas relevantes a serem incluídas, porém não providas na lista genérica
(por exemplo, falhas de causa comum),
c) as falhas obtidas da(s) lista(s) genérica(s) que podem ser excluídas em função de que os critérios
providos na(s) lista(s) genérica(s) (ver ISO 13849-1:2006, 7.3) serem atendidos, e excepcionalmente
d) quaisquer outras falhas para as quais a(s) lista(s) genérica(s) não permite(m) uma exclusão,
porém para as quais uma justificativa e fundamentação para uma exclusão são apresentadas
(ver ISO 13849-1:2006, 7.3).
Quando esta lista não for baseada na(s) lista(s) genérica(s), o projetista deve prover a fundamentação
para as exclusões das falhas.

4.5 Informações para validação
As informações requeridas para validação irão variar com a tecnologia utilizada, a categoria ou
categorias e o(s) nível(eis) de desempenho a ser(em) demonstrado(s), o fundamento do projeto do
sistema e a contribuição da SRP/CS para a redução do risco. Documentos que contenham informações
suficientes da seguinte lista devem ser incluídos no processo de validação para demonstrar que as
partes relacionadas à segurança desempenham as funções de segurança especificadas segundo
o nível ou níveis de desempenho e a categoria ou categorias requeridos:
a) especificação das características requeridas de cada função de segurança e sua categoria e nível
de desempenho requeridos;
b) desenhos e especificações, por exemplo, para as partes mecânicas, hidráulicas e pneumáticas,

placas de circuito impresso, placas montadas, fiação interna, compartimento, materiais, instalação;
c) diagrama(s) de blocos com uma descrição funcional dos blocos;
d) diagrama(s) de circuitos, incluindo interfaces/conexões;
e) descrição funcional do(s) diagrama(s) de circuitos;
f) diagrama(s) de sequência de tempo para componentes de comutação, sinais relevantes quanto

à segurança;
g) descrição das características relevantes de componentes validados anteriormente;
h) para as partes relacionadas à segurança, exceto às listadas em g), listas de componentes com
designações de itens, valores nominais, tolerâncias, tensões mecânicas de operação relevantes,
designação de tipo, dados da taxa de falhas e fabricante do componente, e quaisquer outros
dados relevantes para a segurança;
i) análise de todas as falhas relevantes (ver também 4.3 e 4.4), como as listadas nas tabelas dos
Anexos A a D, incluindo a justificativa de quaisquer falhas excluídas;
j) uma análise da influência dos materiais processados;
k) informações de uso, por exemplo, manual de instalação e operação/manual de instrução.
Quando houver software relevante à(s) função(ões) de segurança, a documentação do software deve
incluir
—— uma especificação que seja clara e inequívoca e que declare o desempenho de segurança a ser
atingido pelo software,
—— evidência de que o software é projetado para atingir o nível de desempenho requerido (ver 9.5), e
—— detalhes dos ensaios (em relatórios de ensaio específicos) realizados para comprovar que o
desempenho de segurança requerido é atingido.
NOTA Ver ISO 13849-1:2006, 4.6.2 e 4.6.3, quanto aos requisitos.

Informações são requeridas para identificar como o nível de desempenho e a probabilidade média de
uma falha perigosa por hora são determinados. A documentação dos aspectos quantificáveis deve incluir
—— o diagrama de blocos relacionado à segurança (ver ISO 13849-1:2006, Anexo B) ou a arquitetura

designada (ver ISO 13849-1:2006, 6.2),
—— a determinação do MTTFD, DCavg e CCF, e
—— a determinação da categoria (ver Tabela 2).
Informações são requeridas para documentação sobre os aspectos sistemáticos da SRP/CS.
Informações são requeridas sobre como a combinação de diversas SRP/CS atinge um nível de
desempenho de acordo com o nível de desempenho requerido.
Tabela 2 – Requisitos da documentação para categorias em relação aos níveis de desempenho
Categoria da documentação
Requisito da documentação para a qual é requerido
B 1 2 3 4
Princípios básicos de segurança X X X X X
Tensões mecânicas de operação esperadas X X X X X
Influências do material processado X X X X X
Desempenho durante outras influências externas relevantes X X X X X
Componentes devidamente comprovados – X – – –

Princípios de segurança devidamente comprovados – X X X X
Tempo médio até a falha perigosa (MTTFD) de cada canal X X X X X
O procedimento de verificação da(s) função(ões) de segurança – – X – –
Medidas de diagnóstico realizadas, incluindo reação da falha – – X X X
Intervalos de verificação, quando especificados – – X X X
Cobertura de diagnóstico (DCavg) – – X X X
Falhas únicas previsíveis consideradas no projeto e no método de detecção utilizado – – X X X
Falhas de causa comum (CCF) identificadas e como evitá-las – – X X X
Falhas únicas previsíveis excluídos – – – X X
Falhas a serem detectadas – – X X X
Como a função de segurança é mantida no caso de cada uma das falhas – – – X X
Como a função de segurança é mantida para cada uma das combinações de falhas – – – – X
Medidas contra falhas sistemáticas X X X X X
Medidas contra falhas de software X – X X X
X documentação requerida
– documentação não requerida
NOTA As categorias são aquelas providas na ISO 13849-1:2006.

4.6 Registro de validação
A validação por análise e ensaio deve ser registrada. O registro deve demonstrar o processo de vali-
dação para cada um dos requisitos de segurança. Referência cruzada pode ser efetuada em registros
de validação anteriores, desde que estes sejam devidamente identificados.
Para qualquer parte relativa à segurança que tenha falhado em um elemento do processo de validação,
o registro de validação deve descrever quais elementos falharam na análise/ensaio de validação.
Deve ser assegurado que todas as partes relacionadas à segurança sejam revalidadas com êxito
após a modificação.
5 Validação por análise

5.1 Generalidades
A validação da SRP/CS deve ser realizada por análise. Os dados para a análise incluem o seguinte:
—— a(s) função(s) de segurança, suas características e o(s) nível(eis) de desempenho requerido(s)

identificados durante a análise de risco (ver ISO 13849-1:2006, Figuras 1 e 3);
—— os aspectos quantificáveis (MTTFD, DCavg e CCF);
—— a estrutura do sistema (por exemplo, arquiteturas designadas) (ver ISO 13849-1:2006, Seção 6);
—— os aspectos qualitativos e não quantificáveis que afetam o comportamento do sistema (se apli-
cável, aspectos do software);
—— argumentos determinísticos.
A validação das funções de segurança por análise em vez de ensaio requer a formulação de argu-
mentos determinísticos.
NOTA 1 Um argumento determinístico é um argumento com base em aspectos qualitativos (por exemplo,
qualidade de fabricação, experiência de uso). Esta consideração depende da aplicação, que, juntamente
com outros fatores, pode afetar os argumentos determinísticos.
NOTA 2 Os argumentos determinísticos diferem de outras evidências mostrando que as propriedades

requeridas do sistema seguem de forma lógica um modelo do sistema. Tais argumentos podem ser construídos
com base em conceitos simples e bem compreendidos.
5.2 Técnicas de análise
A seleção de uma técnica de análise depende do objeto em particular. Existem duas técnicas básicas,
conforme descrito a seguir.
a) As técnicas descendentes (dedutivas) são adequadas para determinar os eventos desenca-

deadores que podem levar a consequências identificadas, e que calculam a probabilidade das
consequências a partir da probabilidade dos eventos desencadeadores. Elas também podem
ser utilizadas para investigar as consequências de falhas múltiplas identificadas.
EXEMPLO Análise da árvore de falhas (FTA, ver IEC 61025), análise de árvore de eventos (ETA).

b) As técnicas ascendentes (indutivas) são adequadas para investigar a consequência das falhas
individualmente identificadas.
EXEMPLO Análise dos modos e efeitos de falha (FMEA, ver IEC 60812) e análise dos modos, efeitos
e criticidade de falha (FMECA).
6 Validação por ensaio

6.1 Generalidades
Quando a validação por análise não for conclusiva, ensaios devem ser realizados para completar
a validação. O ensaio é sempre complementar à análise e é muitas vezes necessário.
Os ensaios de validação devem ser planejados e implementados de uma forma lógica. Particularmente:
a) um plano de ensaio deve ser produzido antes do início dos ensaios, devendo incluir
1) as especificações de ensaio,
2) o resultado requerido dos ensaios quanto à conformidade, e
3) a cronologia dos ensaios;
b) os registros do ensaio devem ser produzidos, incluindo
1) o nome da pessoa que realiza o ensaio,
2) as condições ambientais (ver Seção 10),

3) os procedimentos e equipamentos de ensaio utilizados,
4) a data do ensaio, e
5) os resultados do ensaio;
c) os registros do ensaio devem ser comparados com o plano de ensaio para assegurar que as
metas de desempenho e funcionais especificadas sejam atingidas.
A amostra de ensaio deve ser operada o mais próximo possível na sua configuração final de operação,
ou seja, com todos os dispositivos periféricos e tampas fixados.
Este ensaio pode ser aplicado manual ou automaticamente, por exemplo, por computador.
Quando aplicavel, a validação das funções de segurança por ensaio é realizada por meio da aplicação
de sinais de entrada, em várias combinações, à SRP/CS. A resposta resultante das saídas deve ser
comparada com as saídas especificadas apropriadas.
É recomendado que a combinação destes sinais de entrada seja aplicada sistematicamente ao sistema
de comando e à máquina. Um exemplo desta lógica é a ligação, ativação, operação, mudanças
direcionais e reativação. Quando necessário, uma faixa expandida de dados de entrada deve ser
aplicada para levar em consideração situações anômalas ou incomuns, a fim de ver como a SRP/CS
responde. Tais combinações dos dados de entrada devem levar em consideração a(s) operação(ões)
incorreta(s) previsível(eis).

Os objetivos do ensaio determinarão a condição ambiental para este ensaio, que pode ser uma ou
outra das seguintes:
—— as condições ambientais do uso pretendido;
—— as condições em uma determinada classificação;
—— uma determinada faixa de condições, se algum desvio for esperado.
Convém que a faixa de condições que é considerada estável e sobre a qual os ensaios são válidos
seja acordada entre o projetista e a(s) pessoa(s) responsável(eis) pela realização dos ensaios
e convém que seja registrada.
6.2 Exatidão na medição
A exatidão das medições durante a validação por ensaio deve ser apropriada para o ensaio realizado.
Em geral, estas exatidões na medição devem estar dentro de 5 K para as medições de temperatura
e 5% para o seguinte:
a) medições de tempo;
b) medições de pressão;
c) medições de força;
d) medições elétricas;
e) medições de umidade relativa;

f) medições lineares.
Desvios destas exatidões na medição devem ser justificados.
6.3 Requisitos mais rigorosos
Se, de acordo com a sua respectiva documentação, os requisitos para a SRP/CS excederem os requi-
sitos desta Parte da ABNT NBR ISO 13849, requisitos mais rigorosos devem ser aplicados.
NOTA Requisitos mais rigorosos podem ser aplicados se o sistema de comando tiver que resistir às
condições de serviço particularmente adversas, por exemplo, manuseio brusco, efeitos de umidade, hidrólise,
variações de temperatura ambiente, efeitos de agentes químicos, corrosão, alta concentração de campos
eletromagnéticos – por exemplo, devido à pequena proximidade de transmissores.
6.4 Número de amostras de ensaio

Salvo se especificado em contrário, os ensaios devem ser realizados em uma amostra única de
produção da parte relativa à segurança submetida ao ensaio.
A(s) parte(s) relativa(s) à segurança submetida(s) ao ensaio não pode(m) ser modificada(s) durante
o transcorrer dos ensaios.
Certos ensaios podem alterar permanentemente o desempenho de alguns componentes. Quando uma
alteração permanente em um componente fizer com que a parte relativa à segurança seja incapaz
de atender aos requisitos de ensaios adicionais, uma nova amostra ou amostras devem ser utilizadas
para ensaios subsequentes.

Quando um ensaio em particular for destrutivo e resultados equivalentes puderem ser obtidos por
ensaio da parte da SRP/CS em isolamento, uma amostra desta, parte relativa à segurança, pode
ser utilizada em vez de toda(s) a(s) parte(s) relativa(s) à segurança com a finalidade de obter os
resultados do ensaio. Esta abordagem deve ser aplicada somente quando tiver sido demonstrado por
análise que o ensaio de uma parte ou partes relacionadas à segurança é suficiente para demonstrar
o desempenho de segurança de toda a parte relativa à segurança que desempenha a função de
segurança.
7 Validação da especificação dos requisitos de segurança quanto às funções

de segurança
Antes da validação do projeto da SRP/CS, ou a combinação da SRP/CS que provê a função de
segurança, a especificação de requisitos para a função de segurança deve ser verificada para
assegurar consistência e integridade para o uso pretendido.
Convém que a especificação dos requisitos de segurança seja analisada antes de iniciar o projeto,
uma vez que todas as outras atividades são baseadas nestes requisitos.
Deve ser assegurado que os requisitos para todas as funções de segurança do sistema de comando
da máquina sejam documentados.
A fim de validar a especificação, medidas adequadas para detectar falhas sistemáticas (erros, omis-
sões ou inconsistências) devem ser aplicadas.
A validação pode ser realizada por revisões e inspeções dos requisitos de segurança e da(s) especi-
ficação(ões) de projeto da SRP/CS, particularmente para comprovar que todos os aspectos
—— dos requisitos da aplicação pretendida e necessidades de segurança, e
—— das condições operacionais e ambientais e possíveis erros humanos (por exemplo, mau uso)
foram considerados.
Quando uma norma de produto especificar os requisitos de segurança para o projeto de uma SRP/CS
(por exemplo, ISO 11161 para sistemas de fabricação integrada ou ISO 13851 para dispositivos de
comando bimanual), estes devem ser levados em consideração.
8 Validação das funções de segurança

A validação das funções de segurança deve demonstrar que a SRP/CS, ou a combinação de SRP/CS,
provê a(s) função(ões) de segurança de acordo com as suas características especificadas.
NOTA 1 A perda da função de segurança na ausência de uma falha do hardware é devida a uma falha
sistemática, que pode ser causada por erros cometidos durante as fases de projeto e integração (uma
interpretação errada das características da função de segurança, um erro no projeto da lógica, um erro na
montagem do hardware, um erro na digitação do código do software etc.). Algumas destas falhas sistemáticas
serão reveladas durante o processo de projeto, enquanto outras serão reveladas durante o processo de
validação ou permanecerão despercebidas. Além disso, também é possível que um erro seja cometido
(por exemplo, falha na verificação de uma característica) durante o processo de validação.

A validação das características especificadas das funções de segurança deve ser conseguida pela
aplicação de medidas adequadas a partir da lista descrita seguir.
—— Análise funcional de diagramas esquemáticos, revisões do software (ver 9.5).
NOTA 2 Quando uma máquina tiver funções de segurança complexas ou um número muito grande
de funções de segurança, uma análise pode reduzir o número de ensaios funcionais requeridos.
—— Simulação.
—— Verificação dos componentes de hardware instalados na máquina e detalhes do software asso-

ciado para confirmar sua correspondência com a documentação (por exemplo, fabricação, tipo,
versão).
—— Ensaio funcional das funções de segurança em todos os modos de operação da máquina, para
estabelecer se eles atendem às características especificadas (ver ISO 13849-1:2006, Seção 5,
para especificações de algumas funções de segurança típicas). Os ensaios funcionais devem
assegurar que todas as saídas relacionadas à segurança estejam ativas ao longo de toda a
sua faixa de atuação e respondam aos sinais de entrada relativos à função de segurança,
de acordo com sua especificação. Os casos de ensaio são normalmente derivados a partir das
especificações, porém, podem também incluir alguns casos derivados da análise dos diagramas
esquemáticos ou software.
—— Ensaios funcionais estendidos para checar sinais anormais previsíveis ou combinações de sinais
de qualquer fonte de entrada, incluindo a interrupção e restauração de energia e operações incorretas.
—— Verificação da interface operador-SRP/CS quanto ao atendimento de princípios ergonômicos

(ver ISO 13849-1:2006, 4.8).
NOTA 3 Outras medidas contra falhas sistemáticas mencionadas em 9.4 (por exemplo, diversidade,
detecção de falhas por meio de ensaios automáticos) também podem contribuir na detecção de falhas
funcionais.
9 Validação dos níveis de desempenho e categorias

9.1 Análise e ensaio
Para a SRP/CS ou combinação de SRP/CS que provê a(s) função(ões) de segurança, a validação
deve demonstrar que os níveis de desempenho (PLr) e as categorias requeridas na especificação de
requisitos de segurança são atendidos. Primordialmente, isto irá requerer análise de falhas, utilizando
diagramas de circuito (ver Seção 5) e, quando a análise de falhas for inconclusiva:
—— ensaios de introdução de falhas no circuito real e iniciação de falha em componentes reais,

especialmente em partes do sistema onde houver dúvidas sobre os resultados obtidos a partir da
análise de falhas (ver Seção 6);
—— uma simulação do comportamento do sistema de comando no caso de um falha, por exemplo,

por meio de modelos de hardware e/ou software.
Em algumas aplicações pode ser necessário dividir as partes conectadas relacionadas à segurança
em diversos subgrupos funcionais e submeter estes grupos e suas interfaces aos ensaios de simu-
lação de falhas.

Ao validar por ensaio, convém que os ensaios incluam, conforme apropriado,
—— ensaios de inserção de falhas em uma amostra de produção,
—— ensaios de inserção de falhas em um modelo de hardware,
—— simulação de falhas por software, e
—— falha no subsistema, por exemplo, fontes de energia.
O instante preciso em que uma falha é inserida em um sistema pode ser crítico. O efeito de pior
caso de uma insenção de falha deve ser determinado por análise e inserção de falha neste momento
crítico apropriado.
9.2 Validação das especificações de categoria
9.2.1 Categoria B
As SRP/CS para a Categoria B devem ser validadas de acordo com os princípios básicos de segu-
rança (ver Tabelas A.1, B.1, C.1 e D.1) demonstrando que a especificação, projeto, construção e
escolha de componentes estão de acordo com a ISO 13849-1:2006, 6.2.3. O MTTFD do canal deve
ser demonstrado para ser de pelo menos três anos. Isto deve ser atingido por meio da verificação
de que a SRP/CS está de acordo com sua especificação, conforme provido nos documentos para
validação (ver 4.5). Para a validação das condições ambientais, ver 6.1.
NOTA Em casos específicos, valores mais altos de MTTFD podem ser requeridos – por exemplo,
quando PLr = b.
9.2.2 Categoria 1
As SRP/CS para a Categoria 1 devem ser validadas demonstrando o seguinte:
a) atendem aos requisitos da Categoria B;
b) são componentes “devidamente comprovados” (ver Tabelas A.3 e D.3) os que atendem a pelo
menos uma das seguintes condições:
1) eles foram amplamente utilizados no passado com resultados bem sucedidos em aplicações
similares;
2) eles foram fabricados e verificados utilizando princípios que demonstrem a sua adequação
e confiabilidade para aplicações relacionadas à segurança;
c) os princípios de segurança devidamente comprovados (quando aplicáveis, ver Tabelas A.2, B.2,
C.2 e D.2) foram implementados corretamente e, quando princípios desenvolvidos recentemente
foram utilizados, validação deve ser realizada
1) sobre como os modos esperados de falha foram evitados, e
2) sobre como as falhas foram evitadas ou a sua probabilidade reduzida a um nível adequado.
Normas de componentes relevantes podem ser utilizadas para demonstrar a conformidade com esta
subseção (ver Tabelas A.3 e D.3). O MTTFD do canal deve ser demonstrado para ser de pelo menos
30 anos.

9.2.3 Categoria 2
b) os princípios de segurança “devidamente comprovados” utilizados (se aplicáveis) estão de acordo

com 9.2.2 c);
c) o equipamento de verificação detecta todas as falhas relevantes aplicadas, uma de cada vez,
durante o processo de verificação, e gera uma ação de controle apropriada que
1) inicia um estado seguro ou, quando isto não for possível,
2) provê um aviso de advertência do perigo;
d) a(s) verificação(ões) provida(s) pelo equipamento de verificação não introduz(em) um estado inseguro;
e) a iniciação da verificação é realizada
1) na ativação da máquina e antes do início de uma situação perigosa, e
2) periodicamente, durante operação, de acordo com a especificação de projeto e se a apre-

ciação de risco e tipo de operações mostrarem que isto é necessário;
NOTA 1 A necessidade para, e a extensão de, checagens durante operação é determinada pela apre-
ciação de risco do projetista e pelo tipo de operação necessária.
f) o MTTFd do canal funcional (MTTFd,L) é de pelo menos três anos;

g) o MTTFd,TE é maior do que metade do MTTFd,L;
h) a taxa de teste ≥ 100 × a taxa de demanda esperada;
i) a DCavg é de pelo menos 60 %;
j) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
NOTA 2 Em casos específicos, valores mais altos de MTTFD e/ou DCavg podem ser requeridos –
por exemplo, devido ao alto PLr.
9.2.4 Categoria 3
b) os princípios de segurança devidamente comprovados (se aplicáveis) atendem aos requisitos

de 9.2.2 c);
c) uma única falha não leva à perda da função de segurança;
d) falhas únicas (incluindo falhas de causa comum) são detectadas de acordo com o fundamento
do projeto e a tecnologia aplicada;

e) o MTTFD de cada canal é de pelo menos três anos;
f) a DCavg é de pelo menos 60 %;
g) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
NOTA Em casos específicos, valores mais altos de MTTFd e/ou DCavg podem ser requeridos –
por exemplo, devido ao alto PLr.
9.2.5 Categoria 4
b) os princípios de segurança devidamente comprovados (se aplicáveis) estão de acordo com os

requisitos de 9.2.2 c);
c) uma única falha (incluindo falhas de causa comum) não leva à perda da função de segurança;
d) as falhas isoladas (falhas únicas) são detectadas na próxima demanda ou antes desta sobre
a função de segurança, sendo isto atingido com uma DCavg de pelo menos 99 %;
e) se uma única falha não for detectada com uma DCavg de pelo menos 99 %, um acúmulo de
falhas não leva à perda da(s) função(ões) de segurança, e a extensão do acúmulo de falhas
consideradas está de acordo com o fundamento do projeto;
f) o MTTFD de cada canal é de pelo menos 30 anos;

g) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
9.3 Validação de MTTFd, DCavg e CCF
A validação de MTTFd, DCavg e CCF é normalmente realizada por análise e inspeção visual.
Os valores de MTTFd para componentes (incluindo valores de B10d, T10d e nop) devem ser checados
quanto à plausibilidade (por exemplo, comparado à ISO 13849-1:2006, Anexo C). Por exemplo,
o valor provido na folha de dados do fornecedor deve ser comparado com a ISO 13849-1:2006,
Anexo C. Quando as declarações de exclusão de falhas significarem que componentes específicos
não contribuem com o canal de MTTFd, a plausibilidade da exclusão da falha deve ser checada.
NOTA 1 Uma exclusão de falha significa MTTFd infinito; portanto, o componente não contribuirá para
o cálculo do canal de MTTFd.
NOTA 2 Para a determinação do valor de B10d, ver, por exemplo, a IEC 60947-4-1:2010, Anexo K.
O MTTFd de cada canal da SRP/CS, incluindo a aplicação da equação de simetrização

(ver ISO 13849-1:2006, Anexo D) para canais redundantes diferentes, deve ser checado quanto
ao cálculo correto. Deve ser assegurado que o MTTFd de canais individuais seja restrito para não
ser maior do que 100 anos antes que a equação de simetrização seja aplicada.
Os valores de DC para componentes e/ou blocos lógicos devem ser checados quanto à plausibilidade
(por exemplo, comparado às medidas da ISO 13849-1:2006, Anexo E). A implementação correta
(hardware e software) de checagens e diagnósticos, incluindo reação apropriada à falha, deve ser
validada por ensaio sob condições ambientais típicas em uso.

A DCavg da SRP/CS deve ser checada quanto ao cálculo correto.
A implementação correta de medidas suficientes contra falhas de causa comum deve ser validada
(por exemplo, comparado à ISO 13849-1:2006, Anexo F). Medidas de validação típicas são a análise
de hardware estático e ensaios funcionais sob condições ambientais.
NOTA 3 Para o cálculo dos valores de MTTFd de componentes eletrônicos, uma temperatura ambiente de
+ 40 °C é tomada como base. Durante a validação, é importante assegurar que, para valores de MTTFd,
as condições ambientais e funcionais (em particular a temperatura) tomadas como base sejam atendidas.
Quando um dispositivo, ou componente, for operado significativamente acima (por exemplo, superior
a 15 °C) da temperatura especificada de + 40 °C, será necessário utilizar valores de MTTFd para o aumento
da temperatura ambiente.
9.4 Validação de medidas contra falhas sistemáticas relativas ao nível de desempenho

e categoria da SRP/S
A validação de medidas contra falhas sistemáticas (estabelecidas na ISO 13849-1:2006, 3.1.7) rela-
tivas aos níveis de desempenho e categorias de cada SRP/CS tipicamente pode ser provida por
a) inspeções de documentos de projeto que confirmem a aplicação de
1) princípios básicos de segurança e princípios de segurança devidamente comprovados

(ver Anexos A a D),
2) medidas adicionais para evitar falhas sistemáticas (ver ISO 13849-1:2006, G.3), e
3) medidas adicionais para o controle de falhas sistemáticas, como a diversidade do hardware

(ver ISO 13849-1:2006, Anexo G), proteção contra modificações ou programação com
asserção de falhas;
b) análise de falhas (por exemplo, FMEA);
c) ensaios de introdução de falhas/iniciação de falhas;
d) inspeção e ensaio da comunicação de dados, quando utilizados;
e) verificação de que um sistema de gestão da qualidade evita as causas das falhas sistemáticas
no processo de fabricação.
9.5 Validação do software relacionado à segurança
A validação do software embarcado relacionado à segurança (SRESW) e do software de aplicação

relacionado à segurança (SRASW) deve incluir
—— o comportamento funcional e os critérios de desempenho especificados (por exemplo, desem-

penho do sincronismo) do software, quando executado no hardware de destino,
—— a verificação de que as medidas do software são suficientes para o PLr especificado da função
de segurança, e
—— as medidas e atividades tomadas durante o desenvolvimento do software, para evitar falhas de

software sistemáticos.

Como uma primeira etapa, checar se há documentação para a especificação e projeto do software
relacionado à segurança. Esta documentação deve ser revisada quanto à integralidade e ausência de
interpretações errôneas, omissões ou inconsistências.
NOTA No caso de pequenos programas, uma análise do programa por meio de revisões ou verificação
geral do fluxo de controle, procedimentos, etc. que utiliza a documentação do software (fluxograma de
controle, código-fonte de módulos ou blocos, I/O e listas de alocação de variáveis, listas de referência
cruzada) pode ser suficiente.
Em geral, o software pode ser considerado “caixa preta” ou “caixa cinza” (ver ISO 13849-1:2006, 4.6.2)
e validado pelo ensaio de “caixa preta” ou “caixa cinza”, respectivamente.
Dependendo do PLr [ISO 13849-1:2006, 4.6.2 (para SRESW) e 4.6.3 (para SRASW)], convém que
os ensaios incluam
—— ensaio de caixa-preta do comportamento e desempenho funcional (por exemplo, desempenho

do sincronismo),
—— casos de ensaios estendidos adicionais com base em análises do valor limite, recomendado
para PL d ou e,
—— ensaios de I/O para assegurar que os sinais de entrada e saída relativos à segurança sejam
utilizados adequadamente, e
—— casos de ensaio que simulem falhas anteriores determinados analiticamente, em conjunto

com a resposta esperada, a fim de avaliar se as medidas com base em software para controle
de falhas são adequadas.
As funções individuais do software que já foram validadas não precisam ser validadas novamente.
No entanto, quando um número de blocos de função de segurança for combinado para um projeto,
a função de segurança total resultante deve ser validada.
A documentação do software deve ser checada para confirmar se medidas e atividades suficientes
foram implementadas contra as falhas sistemáticas do software de acordo com o modelo-V simplificado
(ISO 13849-1:2006, Figura 6).
As medidas para a implementação do software de acordo com ISO 13849-1:2006, 4.6.2

(para SRESW) e 4.6.3 (para SRASW), que dependem do PL a ser atingido, devem ser exami-
nadas com relação à sua implementação apropriada.
Se o software relacionado à segurança for subsequentemente modificado, ele deve ser revalidado
em uma escala adequada.
9.6 Validação e verificação do nível de desempenho
Para o procedimento simplificado para estimar o PL da SRP/CS de acordo com ISO 13849-1:2006,
4.5.4, e ISO 13849-1:2006, Anexos B a F e Anexo K, as seguintes verificações e etapas de validação
devem ser realizadas:
—— verificação da correta avaliação do PL com base na categoria, DCavg e MTTFD (de acordo com
a ISO 13849-1:2006, 4.5.4 e Anexo K);
—— verificação de que o PL atingido pela SRP/CS atende ao nível de desempenho requerido PLr
na especificação dos requisitos de segurança para a máquina: PL ≥ PLr.

Quando outros métodos forem utilizados para avaliar o PL atingido, com base na probabilidade média
estimada de uma falha perigosa por hora, a validação deve considerar
—— o valor de MTTFd para cada componente,
—— a DC,
—— a CCF,
—— a estrutura, e
—— a documentação, aplicação e cálculo, que devem ser verificados quanto à sua correção.
9.7 Validação da combinação de partes relacionadas à segurança
Quando a função de segurança for implementada por duas ou mais partes relacionadas à segurança,
a validação da combinação – por análise e, se necessário, por ensaio – deve ser realizada para
estabelecer que a combinação atinge o nível de desempenho especificado no projeto. Resultados
de validação existentes registrados de partes relacionadas à segurança podem ser levados em
consideração. As seguintes etapas de validação devem ser realizadas:
—— inspeção de documentos do projeto que descrevam a(s) função(ões) de segurança como um todo;
—— uma verificação de que o PL total da combinação de SRP/CS foi corretamente avaliado com base
no PL de cada parte relativa à segurança individual (de acordo com o ISO 13849-1:2006, 6.3);
NOTA Um somatório da probabilidade média de falhas perigosas por hora de todas as SRP/CS
combinadas pode ser utilizada como uma alternativa segundo a ISO 13849-1:2006, Tabela 11. É importante
checar as restrições não quantificáveis de aspectos sistemáticos, arquitetônicos e de CCF que podem
limitar o nível de desempenho total a valores mais baixos.
—— consideração das características das interfaces, por exemplo, tensão, corrente, pressão, formato
de dados de informações, nível de sinal;
—— análise de falhas relativa à combinação/integração, por exemplo, por FMEA;
—— para sistemas redundantes, ensaios de introdução de falhas relativos à combinação/integração.
10 Validação dos requisitos ambientais

O desempenho especificado no projeto da SRP/CS deve ser validado em relação às condições
ambientais especificadas para o sistema de comando.
A validação deve ser realizada por análise e, se necessário, por ensaio. A extensão da análise e do
ensaio dependerá das partes relacionadas à segurança, do sistema em que elas estão instaladas,
da tecnologia utilizada e da(s) condição(ões) ambiental(ais) que está(ão) sendo validada(s). O uso
de dados de confiabilidade operacional sobre o sistema ou seus componentes, ou a confirmação
de conformidade segundo normas ambientais apropriadas (por exemplo, para impermeabilização,
proteção contra vibração), pode auxiliar este processo de validação.
Quando aplicável, a validação deve abordar
—— as tensões mecânicas esperadas de impacto, vibração, entrada de contaminantes,

—— a durabilidade mecânica,
—— as classificações elétricas e fontes de energia,
—— as condições climáticas (temperatura e umidade), e
—— a compatibilidade eletromagnética (imunidade).
Quando ensaio for necessário para determinar a conformidade com os requisitos ambientais,
os procedimentos descritos nas normas relevantes devem ser seguidos tanto quanto requeridos
para a aplicação.
Após a conclusão da validação por ensaio, as funções de segurança devem continuar a estar de
acordo com as especificações quanto aos requisitos de segurança, ou a SRP/CS deve prover saída(s)
para um estado seguro.
11 Validação dos requisitos de manutenção

O processo de validação deve demonstrar que as provisões, quanto aos requisitos de manutenção
especificados na ISO 13849-1:2006, Seção 9, Parágrafo 2, foram implementadas.
A validação dos requisitos de manutenção deve incluir o seguinte, conforme aplicável:
a) uma revisão das informações de uso confirmando que
1) as instruções de manutenção são completas [incluindo procedimentos, ferramentas reque-

ridas, frequência das inspeções, intervalo de tempo para substituição dos componentes
sujeitos ao desgaste (T10d) etc.] e compreensíveis,
2) se apropriado, existem provisões para a manutenção a serem realizadas somente por pessoal
de manutenção qualificado;
b) uma verificação de que medidas para a fácil manutenibilidade (por exemplo, fornecimento de
ferramentas de diagnóstico para auxiliar na busca e no reparo de falhas) foram aplicadas.
Além disso, as seguintes medidas devem ser incluídas, quando aplicáveis:
—— medidas contra erros durante a manutenção (por exemplo, detecção de dados de entrada errados
por meio de verificações de plausibilidade);
—— medidas contra modificações (por exemplo, proteção com senha para evitar o acesso ao programa
por pessoas não autorizadas).
12 Validação da documentação técnica e informações de uso

O processo de validação deve demonstrar que os requisitos para a documentação técnica especificada
no ISO 13849-1:2006, Seção 10, e para informações de uso especificadas na ISO 13849-1:2006,
Seção 11, foram implementados.

Anexo A
(informativo)
Ferramentas de validação para sistemas mecânicos
Quando sistemas mecânicos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo A também seja levado em consideração.
As Tabelas A.1 e A.2 listam os princípios básicos de segurança e os princípios de segurança

devidamente comprovados.
A Tabela A.3 lista componentes devidamente comprovados para uma aplicação relativa à segurança
com base na aplicação de princípios de segurança devidamente comprovados e/ou em uma norma
para suas aplicações específicas. Um componente devidamente comprovado para algumas aplica-
ções pode ser inapropriado para outras.
As Tabelas A.4 e A.5 listam as exclusões de falhas e suas fundamentações. Para exclusões adicionais,
ver 4.4.
O instante preciso em que ocorrem as falhas pode ser crítico (ver 9.1).
Tabela A.1 – Princípios básicos de segurança (continua)
Princípio básico de segurança Observações
Seleção de material, métodos de fabricação e tratamento em

Uso de materiais adequados e fabricação adequada relação à, por exemplo, tensão, durabilidade, elasticidade, atrito,
desgaste, corrosão, temperatura.
Considerar, por exemplo, tensão, deformação, fadiga,

Dimensionamento e configuração corretos
rugosidade superficial, tolerâncias, emperramento, fabricação.
Aplicar as recomendações de aplicação do fabricante, por

Seleção, combinação, disposições, montagem e exemplo, folhas de catálogo, instruções de instalação,
instalação adequadas de componentes/sistemas especificações e uso das boas práticas de engenharia em
componentes/sistemas similares.
O estado seguro é obtido pela interrupção do suprimento de energia.

Ver ação principal de parada na ABNT NBR ISO 12100:2013,
6.2.11.3.
A energia é fornecida para o início do movimento de um
mecanismo. Ver ação principal de partida na
Uso do princípio de desenergização ABNT NBR ISO 12100:2013, 6.2.11.3.
Considerar diferentes modos, por exemplo, modo de operação,
modo de manutenção.
IMPORTANTE – Este princípio não é para ser seguido quando
a perda de energia criar um perigo, por exemplo, liberação
da peça de trabalho causada pela perda da força de fixação.

Tabela A.1 (conclusão)
Para a aplicação de travamento do parafuso, considerar as

recomendações de aplicação do fabricante.
Fixação adequada Sobrecarga pode ser evitada e resistência adequada para liberação
pode ser atingida empregando-se técnicas de aplicação de
torque adequado.
Os exemplos são pino de trava, chapa de fixação e embreagem

limitadora de torque.
Limitação da geração e/ou transmissão de força e
parâmetros similares IMPORTANTE – Este princípio não é para ser seguido quando
a integridade contínua dos componentes for essencial para
manter o nível de controle requerido.
Os exemplos são temperatura, umidade e contaminação no local de

Limitação da faixa de parâmetros ambientais instalação. Ver Seção 10 e considerar as notas de aplicação do
fabricante.
Considerar, por exemplo, velocidade, aceleração e desaceleração

Limitação de velocidade e parâmetros e similares
requeridas pela aplicação.
Considerar, por exemplo, fadiga da mola, atrito, lubrificação,

Tempo de reação adequado temperatura, inércia durante a aceleração e desaceleração,
combinação de tolerâncias.
Considerar a partida inesperada causada por energia armazenada

e após a restauração da fonte de energia para os diferentes
modos (modo de operação, modo de manutenção etc.).
Equipamento especial para liberação da energia armazenada
Proteção contra partida inesperada
pode ser necessário.
Aplicações especiais, por exemplo, para manter a energia de
dispositivos de fixação ou assegurar uma posição, precisam ser
consideradas separadamente.
Evitar componentes desnecessários no sistema relacionado à

Simplificação
segurança.
Separação Separação de funções relacionadas à segurança de outras funções.
Considerar a necessidade de dispositivos de lubrificação,

Lubrificação adequada
informações sobre lubrificantes e intervalos de lubrificação.
Prevenção adequada da entrada de fluidos e poeira Considerar a classificação IP (ver ABNT NBR IEC 60529).

Tabela A.2 – Princípios de segurança devidamente comprovados (continua)
Princípio de segurança devidamente comprovado Observações
Uso de materiais e fabricação cuidadosamente Seleção de material adequado, métodos e tratamentos de

selecionados fabricação adequados relativos à aplicação.
O modo de falha predominante de um componente é conhecido

Uso de componentes com modo de falha orientada de antemão e é sempre o mesmo. Ver ABNT NBR ISO 12100:2013,
6.2.12.3.
Os fatores de segurança são os providos em normas ou pela

Sobredimensionamento/fator de segurança
boa experiência em aplicações relacionadas à segurança.
A parte móvel do componente é mantida em uma posição

Posição segura segura por meios mecânicos (somente atrito não é suficiente).
Força é requerida para mover da posição segura.
Uma posição segura/estado seguro é obtida(o) por uma força

Força de desligamento aumentada
de desligamento aumentada em relação à força de ligação.
Seleção, combinação, disposição, montagem e instalação

—
cuidadosas de componentes/sistemas relativos à aplicação
Seleção cuidadosa de fixação relativa à aplicação Evitar confiar somente no atrito.
Para atingir a ação mecânica positiva, todos os componentes

mecânicos móveis requeridos para desempenhar a função
de segurança devem inevitavelmente mover componentes
Ação mecânica positiva
conectados. Por exemplo, um came abre diretamente os contatos
de um interruptor elétrico em vez de confiar em uma mola.
Ver ABNT NBR ISO 12100:2013, 6.2.5.
Redução do efeito de falhas provendo partes múltiplas que

Partes múltiplas atuam em paralelo, por exemplo, quando uma falha de uma ou
diversas molas não leva a uma condição perigosa.
Uma mola devidamente comprovada requer

—— o uso de materiais e métodos de fabricação cuidadosamente
selecionados (por exemplo, pré-ajuste e ciclagem antes do
uso) e tratamentos (por exemplo, laminação e jateamento),
—— a orientação suficiente da mola, e
—— fator de segurança suficiente quanto à tensão por fadiga
(ou seja, com uma alta probabilidade de que uma fratura
não ocorra).
Molas helicoidais de compressão devidamente comprovadas
também podem ser projetadas
Aplicação de mola “devidamente comprovada”
(Ver também Tabela A.3) —— pelo uso de materiais e métodos de fabricação
cuidadosamente selecionados (por exemplo, pré-ajuste
e ciclagem antes do uso) e tratamentos (por exemplo,
laminação e jateamento),
—— pela orientação suficiente da mola, e
—— pela folga entre as espiras menor que o diâmetro do fio,
quando sem carga, e
—— pela força suficiente após uma fratura(s) ser mantidas
(ou seja, uma fratura(s) não levará(ão) a uma condição
perigosa).
NOTA Molas de compressão são preferidas.

Tabela A.2 (conclusão)
Determinar a limitação necessária em relação à experiência e

aplicação. Os exemplos são pino de trava, chapa de fixação e
embreagem limitadora de torque.
Faixa limitada de força e parâmetros similares
IMPORTANTE – Este princípio não é para ser seguido
quando a integridade contínua dos componentes é
essencial para manter o nível de controle requerido.
Determinar a limitação necessária em relação à experiência e

Faixa limitada de velocidade e parâmetros similares aplicação. Os exemplos são regulador, monitoramento seguro
da velocidade e deslocamento limitado.
Determinar as limitações necessárias. Os exemplos são a

Faixa limitada de parâmetros ambientais temperatura, umidade, contaminação na instalação. Ver Seção 10
e considerar as recomendações de aplicação do fabricante.
Determinar as limitações necessárias.
Faixa limitada de tempo de reação, histerese limitada Considerar, por exemplo, fadiga da mola, atrito, lubrificação,
temperatura, inércia durante a aceleração e desaceleração,
Tabela A.3 – Componentes devidamente comprovados
Componente
Condições para ser
devidamente Norma ou especificação
“devidamente comprovado”
comprovado
Todos os fatores que influenciam a conexão do União mecânica como parafusos de

Parafuso parafuso e a aplicação a serem considerados. fenda, porcas, arruelas, rebites, pinos,
Ver Tabela A.2. parafusos etc. é normalizada.
As especificações técnicas de aços para

Ver Tabela A.2, Uso de mola “devidamente
Mola molas e outras aplicações especiais são
comprovada”.
providas na ISO 4960.
Todos os fatores que influenciam a disposição do

Excêntrico excêntrico (por exemplo, parte de um dispositivo Ver ISO 14119 (dispositivos de
(came) de intertravamento) devem ser considerados. intertravamento).
Ver Tabela A.2.
Todos os fatores que influenciam a aplicação

Pino de trava –
devem ser considerados. Ver Tabela A.2.

Tabela A.4 – Falhas e exclusões de falhas – Dispositivos mecânicos, componentes e

elementos (por exemplo, excêntrico, tucho, corrente, embreagem, freio, eixo, parafuso,
pino, guia, rolamento)
Falha considerada Exclusão da falha Observações
Sim, no caso de materiais cuidadosamente selecionados,

sobredimensionamento, processo de fabricação, tratamento
Desgaste/corrosão
e lubrificação adequada, de acordo com o tempo de vida
especificado (ver também Tabela A.2).

processo de fabricação, meios de travamento e tratamento,
Desaperto/afrouxamento
de acordo com o tempo de vida especificado (ver também
Tabela A.2).

sobredimensionamento, processo de fabricação, tratamento Ver ISO 13849-1:2006, 7.3.
Fratura
e lubrificação adequada, de acordo com o tempo de vida
especificado (ver também Tabela A.2).
Sim, no caso de material, sobredimensionamento, tratamento e

Deformação por tensão
processo de fabricação cuidadosamente selecionados, de acordo
excessiva
com o tempo de vida especificado (ver também Tabela A.2).
Sim, no caso de material, sobredimensionamento, processo

de fabricação, tratamento e lubrificação adequada
Rigidez/emperramento
cuidadosamente selecionados, de acordo com o tempo de
vida especificado (ver também Tabela A.2).
Tabela A.5 – Falhas e exclusões de falhas – Molas helicoidais de pressão

Desgaste/corrosão
Redução da força por

assentamento e fratura
Fratura Sim, no caso de uso de molas devidamente comprovadas

Ver ISO 13849-1:2006, 7.3.
e fixações cuidadosamente selecionadas (ver Tabela A.2).
Rigidez/emperramento
Afrouxamento
Deformação por tensão excessiva

Anexo B
(informativo)
Ferramentas de validação para sistemas pneumáticos
Quando sistemas pneumáticos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo B também seja levado em consideração. Quando os componentes pneumáticos forem
eletricamente conectados/controlados, convém que as listas de falhas apropriadas no Anexo D sejam
consideradas.
NOTA Requisitos adicionais podem existir em legislação nacional.
As Tabelas B.1 e B.2 listam os princípios básicos de segurança e os princípios de segurança devida-
mente comprovados.
Uma lista de componentes devidamente comprovados não é provida no Anexo B desta edição.
A condição de “devidamente comprovado” é principalmente específica da aplicação. Os compo-
nentes podem ser descritos como “devidamente comprovados” se eles estiverem de acordo com a
ISO 13849-1:2006, 6.2.2 e ABNT NBR ISO 4414:2012, Seções 5 a 7. Um componente devidamente
comprovado para algumas aplicações pode ser inapropriado para outras aplicações.
As Tabelas B.3 a B.18 listam as exclusões de falhas e suas fundamentações. Para exclusões adicio-
nais, ver 4.4.
Tabela B.1 – Princípios básicos de segurança (continua)
Seleção de material, métodos de fabricação e tratamento em relação a,

Uso de materiais adequados e fabricação
por exemplo, tensão, durabilidade, elasticidade, atrito, desgaste, corrosão,
adequada
temperatura.
Considerar, por exemplo, tensão, deformação, fadiga, rugosidade

superficial, tolerâncias e fabricação.
Seleção, combinação, disposições, Aplicar as recomendações de aplicação do fabricante, por exemplo,

montagem e instalação adequadas de folhas de catálogo, instruções de instalação, especificações e uso das
componentes/sistemas boas práticas de engenharia em componentes/sistemas similares.
O estado de seguro é obtido pela pela interrupção do suprimento de

energia em todos os dispositivos relevantes. Ver ação principal de parada
na ABNT NBR ISO 12100:2013, 6.2.11.3.
A energia é fornecida para o início do movimento de um mecanismo.
Ver ação principal de partida na
Uso do princípio de desenergização ABNT NBR ISO 12100:2013, 6.2.11.3.
Considerar diferentes modos, por exemplo, modo de operação, modo
de manutenção.
Este princípio não pode ser utilizado em algumas aplicações, por exemplo,
onde a perda de pressão pneumática cria um perigo adicional.

Tabela B.1 (conclusão)
Para a aplicação, por exemplo, travamento do parafuso, conexões,

colagem ou anel de fixação, considerar as notas de aplicação do fabricante.
Fixação adequada
Sobrecarga pode ser evitada empregando-se técnica de aplicação de
torque adequado.
Exemplos são válvula de alívio de pressão, válvula de redução/controle

Limitação de pressão
de pressão.
Limitação de velocidade/redução de Um exemplo é a limitação de velocidade aplicada em um atuador por

velocidade uma válvula controladora/reguladora de fluxo.
Prevenção suficiente de contaminação do fluido Considerar a filtração e a separação de partículas sólidas e água no fluido.
Considerar, por exemplo, o comprimento da tubulação, pressão, capacidade

Faixa adequada do tempo de comutação de exaustão, força, fadiga da mola, atrito, lubrificação, temperatura, inércia
durante a aceleração e desaceleração e combinação de tolerâncias.
Projetar o equipamento de modo que ele seja capaz de trabalhar em todos

os ambientes esperados e em quaisquer condições adversas previsíveis,
Resistência às condições ambientais
por exemplo, temperatura, umidade, vibração, contaminação. Ver Seção 10
e considerar as recomendações de especificação/aplicação do fabricante.
Considerar a partida inesperada causada por energia armazenada e após

a restauração da fonte de energia para os diferentes modos, por exemplo,
modo de operação, modo de manutenção.
Proteção contra partida inesperada Equipamento especial para a liberação da energia armazenada pode ser
necessário (ver ISO 14118:2000, 5.3.1.3).
Aplicações especiais (por exemplo, para manter a energia de dispositivos de
fixação ou assegurar uma posição) precisam ser consideradas separadamente.
Simplificação Evitar componentes desnecessários no sistema relacionado à segurança.
Faixa de temperatura adequada A ser considerada completamente em todo o sistema.
Separação das funções relacionadas à segurança de outras funções

Separação
(por exemplo, separação lógica).

Tabela B.2 – Princípios de segurança devidamente comprovados
Os fatores de segurança são os providos em normas ou pela

Sobredimensionamento/fator de segurança
boa experiência em aplicações relacionadas à segurança.
A parte móvel do componente é mantida em uma das posições

Posição segura possíveis por meios mecânicos (somente atrito não é suficiente).
Força é necessária para alterar a posição.
Uma solução pode ser a relação de áreas de atuação de uma

válvula de carretel/êmbolo, determinada de tal forma que a força
Força de desligamento aumentada resultante para mover o carretel/êmbolo para a posição/estado
seguro (posição desligada) seja suficientemente maior que a
necessária para mover este carretel/êmbolo para a não segura.
Estas são geralmente válvulas de assento, por exemplo,

válvulas poppet, válvulas de esfera.
Válvula fechada por pressão de carga Considerar como aplicar a pressão de carga, a fim de manter a
válvula fechada, mesmo se, por exemplo, quebrar a mola que
fecha a válvula.
A ação mecânica positiva é utilizada para partes móveis dentro

de componentes pneumáticos. Ver também Tabela A.2.
Partes múltiplas Ver Tabela A.2.
Uso de mola devidamente comprovada Ver Tabela A.2.
Limitação de velocidade/redução de velocidade pela

Os exemplos são orifícios fixos e válvulas de regulagem fixas.
resistência ao fluxo determinado
Isto pode ser atingido por uma válvula de alívio de pressão

devidamente comprovada que é, por exemplo, equipada
Limitação de força/redução da força
com uma mola devidamente comprovada, dimensionada e

selecionada corretamente.
Convém que a limitação das condições de trabalho, por exemplo,

Faixa adequada das condições de trabalho
faixa de pressão, vazão e faixa de temperatura, seja considerada.
Considerar a necessidade de um alto grau de filtração e

Prevenção adequada de contaminação do fluido
separação de partículas sólidas e água no fluido.
Sobreposição positiva suficiente nas válvulas de A sobreposição positiva assegura a função de parada e evita
carretel movimentos que não são permitidos.
Por exemplo, elevação do atrito ou uma combinação de

Histerese limitada
tolerâncias aumentará a histerese.

Tabela B.3 – Falhas e exclusões de falhas – Válvulas de controle direcional

Sim, no caso de ação mecânica positiva
Alteração dos tempos (ver Tabela A.2) dos componentes móveis,
de comutação contanto que a força de acionamento seja
suficientemente grande.
Sem comutação
(emperramento na posição –
Sim, no caso de ação mecânica positiva
extrema ou posição zero)
(ver Tabela A.2) dos componentes móveis,
ou comutação incompleta
contanto que a força de acionamento seja
(emperramento em uma
suficientemente grande.
posição intermediária
aleatória)
As condições normais de instalação e
operação são satisfeitas quando
—— as condições estabelecidas pelo
Sim, no caso de ação mecânica positiva fabricante foram levadas em
(ver Tabela A.2) dos componentes móveis, consideração,
contanto que a força de fixação seja —— o peso do componente móvel não
suficientemente grande, ou se molas está atuando desfavoravelmente em
Alteração espontânea
devidamente comprovadas forem utilizadas termos de segurança (por exemplo,
da posição de
(ver Tabela A.2) e a instalação normal e as instalação horizontal),
comutação inicial (sem
condições de operação forem aplicáveis —— não há forças inerciais que atuem
um sinal de entrada)
(ver observação), ou no caso de válvulas negativamente sobre os componentes
de carretel com vedação elástica e se a móveis (por exemplo, o sentido de
instalação normal e as condições de operação movimento do componente da válvula
forem aplicáveis (ver observação). leva em consideração a magnitude
e a direção da força inercial), e
—— não ocorre vibração extrema e
tensão de impacto.
Sim, no caso de válvulas do tipo carretel com 1) No caso de válvulas do tipo carretel
vedador elástico, na medida em que uma com vedador elástico, os efeitos devido
sobreposição positiva suficiente está presente ao vazamento normalmente podem ser
[ver observação 1)], se as condições normais excluídos. Entretanto, uma pequena
de operação forem satisfeitas e um tratamento quantidade de vazamento pode ocorrer
Vazamento em um longo período de tempo.
e filtração adequados do ar comprimido forem
providos; ou, no caso de válvulas de assento, 2) As condições normais de operação
se as condições normais de operação forem são satisfeitas quando as condições
satisfeitas [ver observação 2)], e tratamento e estabelecidas pelo fabricante são levadas
filtração adequados do ar comprimido forem providos. em consideração.
Alteração na vazão do
vazamento em um longo Nenhuma. –
período de uso
Ruptura do corpo da válvula
ou quebra do(s)
Sim, se a construção, dimensionamento e
componente(s) móvel(eis),
instalação estiverem de acordo com as boas –
bem como a quebra/
práticas de engenharia.
fratura dos parafusos de
montagem ou do corpo
Para servoválvulas e Sim, no caso de servoválvulas e válvulas
válvulas proporcionais: proporcionais direcionais, se estas puderem
falhas pneumáticas que ser avaliadas em termos de segurança técnica –
causam comportamento como válvulas de controle direcional convencionais,
descontrolado devido ao seu projeto e construção.
Se as funções de controle forem realizadas por um número de válvulas de função única, então convém que uma análise
da falha seja realizada para cada válvula. Convém que o mesmo procedimento seja realizado no caso de válvulas-piloto.

Tabela B.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/válvulas de

retenção (antirretorno)/válvulas de escape rápido/válvulas alternadoras (válvulas “OU”), etc.
Alteração dos tempos de comutação Nenhuma. –
Sim, se o sistema de orientação para o(s)

Para uma válvula de assento de
Sem abertura, abertura incompleta, componente(s) móvel(eis) for projetado de
esfera não controlada sem um
sem fechamento ou fechamento uma maneira similar ao de uma válvula de
sistema de amortecimento, o sistema
incompleto (emperramento em assento de esfera não controlada, sem um
de orientação é geralmente projetado
uma posição extrema ou em uma sistema de amortecimento (ver observação),
de tal forma que qualquer emperramento
posição intermediária arbitrária) e se molas devidamente comprovadas
do componente móvel seja improvável.
forem utilizadas (ver Tabela A.2).
As condições normais de instalação

e operação são atendidas quando
fabricante estão sendo seguidas,
Sim, para condições normais de instalação —— nenhuma força inercial
Alteração espontânea da posição
e operação (ver observação) e se houver especial afeta os componentes
de comutação inicial (sem um sinal
força de fechamento suficiente com móveis, por exemplo, o
de entrada)
base nas pressões e áreas providas. sentido de movimento leva em
consideração a orientação das
partes móveis da máquina, e
—— não ocorre vibração extrema
ou tensão de impacto.
Para válvulas alternadoras (válvulas Sim, se, com base na construção

“OU”): fechamento simultâneo de e projeto do componente móvel, o –
ambas as conexões de entrada fechamento simultâneo for improvável.
Sim, se as condições normais de As condições normais de operação

operação forem satisfeitas são satisfeitas quando as condições

Vazamento
(ver observação) e houver tratamento estabelecidas pelo fabricante são
e filtração adequados do ar comprimido. levadas em consideração.
Alteração na vazão do vazamento

Nenhuma.
em um longo período de uso
Ruptura do corpo da válvula ou quebra –

Sim, se a construção, dimensionamento
do(s) componente(s) móvel(eis), bem
e instalação estiverem de acordo com
como a quebra/fratura dos
as boas práticas de engenharia.
parafusos de montagem ou do corpo

Tabela B.5 – Falhas e exclusões de falhas – Válvulas de fluxo
Sim, para válvulas de controle de fluxo

sem partes móveis [ver observação 1)], 1) O dispositivo de ajuste não é
por exemplo, válvulas de regulagem, considerado uma parte móvel.
Alteração na vazão sem qualquer Alterações na vazão devido a
se as condições normais de operação
alteração no dispositivo de ajuste alterações na diferença de pressão
forem satisfeitas [ver observação 2)] e
se tratamento e filtração adequados do são fisicamente limitadas neste tipo
ar comprimido forem providos. de válvula e não são abrangidas por
esta falha presumida.
Sim, se o diâmetro for ≥ 0,8 mm, as 2) As condições normais de
Alteração na vazão no caso de condições normais de operação forem operação são satisfeitas quando as
bocais e orifícios circulares não satisfeitas [ver observação 2)] e se condições estabelecidas pelo fabricante
ajustáveis tratamento e filtração adequados do ar são levadas em consideração.
comprimido forem providos.
Para válvulas de fluxo proporcional:

alteração na vazão devido a uma Nenhuma.
alteração involuntária no valor ajustado
Sim, onde há uma proteção efetiva do

Alteração espontânea no dispositivo de ajuste adaptado ao caso em
dispositivo de ajuste particular, com base na(s)
especificação(ões) técnica(s) de segurança.
–
Afrouxamento involuntário Sim, se um dispositivo de travamento
(desparafusamento) do(s) elemento(s) positivo efetivo contra o afrouxamento
de operação do dispositivo de ajuste (desparafusamento) for provido.
Ruptura do corpo da válvula ou quebra

do(s) componente(s) móvel(eis),
bem como a quebra/fratura dos

Tabela B.6 – Falhas e exclusões de falhas – Válvulas de controle de pressão
Não abertura ou abertura insuficiente Sim, se

ao exceder a pressão de ajuste —— o sistema de orientação para o(s)
(emperramento ou movimento componente(s) móvel(eis) for similar
deficiente do componente móvel) no caso de uma válvula de assento
[ver observação 1)] 1) Esta falha aplica-se somente
de esfera não controlada ou válvula
quando a(s) válvula(s) de pressão
de membrana [ver observação 2)],
Sem fechamento ou fechamento é(são) utilizada(s) para ações
por exemplo, para uma válvula de
insuficiente, se a pressão cair abaixo forçadas, por exemplo, fixação.
redução de pressão com alívio de
do valor de ajuste (emperramento ou pressão secundária, e Esta falha não se aplica em sua
movimento deficiente do componente função normal nos sistemas
—— as molas instaladas forem molas
móvel) [ver observação 1)] pneumáticos, por exemplo, limitação
devidamente comprovadas (ver TabelaA.2).
da pressão, redução da pressão.
Sim, para válvulas limitadoras de pressão 2) Para uma válvula de assento
Alteração no comportamento do controle e válvulas comutadoras de pressão de esfera não controlada ou para
de pressão sem alterar o dispositivo acionadas diretamente se a(s) mola(s) uma válvula de membrana, o
de ajuste [ver observação 1)] instalada(s) for(em) devidamente sistema de orientação é geralmente
comprovada(s) (ver Tabela A.2). projetado de tal forma que qualquer
emperramento do componente
Para válvulas de pressão proporcional: móvel seja improvável.
alteração no comportamento do
controle de pressão devido à Nenhuma.
alteração involuntária no valor
ajustado [ver observação 1)]
Sim, quando há uma proteção efetiva

Alteração espontânea no do dispositivo de ajuste dentro dos
dispositivo de ajuste requisitos da aplicação, por exemplo,
dispositivo de trava ou lacre de segurança. —
Desparafusamento involuntário Sim, se um dispositivo de
do elemento de operação do travamento positivo efetivo contra o

dispositivo de ajuste desparafusamento for provido.
Sim, para válvulas de assento, válvulas

de membrana e válvulas de carretel com As condições normais de operação
vedação elástica em condições normais são atendidas quando as condições
Vazamento
de operação (ver observação) e se estabelecidas pelo fabricante são
tratamento e filtração adequados do ar seguidas.
comprimido forem providos.

Nenhuma.
Ruptura do corpo da válvula ou quebra —

do(s) componente(s) móvel(eis),
bem como quebra/fratura dos

Tabela B.7 – Falhas e exclusões de falhas – Tubulação
Ao serem utilizados tubos de plástico,

é necessário considerar os dados do
fabricante, em particular no que diz
respeito às influências operacionais
Sim, se o dimensionamento, a escolha
ambientais, por exemplo, influências
dos materiais e a fixação estiverem
Ruptura e vazamento térmicas, influências químicas ou
de acordo com as boas práticas de
influências devido à radiação. Ao serem
engenharia (ver observação).
utilizados tubos de aço que não foram
tratados com um meio resistente à
corrosão, é particularmente importante
prover secagem suficiente do ar comprimido.
Sim, se estiverem sendo utilizadas conexões

do tipo anel de pressão ou tubos roscados
(ou seja, conexões de aço, tubos de aço)
Falha no conector (por exemplo,
e se o dimensionamento, a escolha dos
desconexão, vazamento)
materiais, a manufatura, a configuração
e fixação estiverem de acordo com as
boas práticas de engenharia.
–
Sim, para tubulação no circuito de potência
Entupimento (obstrução) e para tubulações de controle e de medição,
se o diâmetro nominal for ≥ 2 mm.
Sim, se adequadamente protegidos e

Torção nos tubos de plástico com instalados, levando em consideração
um pequeno diâmetro nominal os dados relevantes do fabricante, por
exemplo, raio mínimo de curvatura.
Tabela B.8 – Falhas e exclusões de falhas – Mangueiras
A exclusão da falha não é considerada

Sim, se as mangueiras utilizarem mangueiras quando
fabricadas segundo a ISO 4079-1 ou —— o tempo de vida pretendido expirar,
Ruptura, desconexão na fixação e
mangueiras similares (ver observação),
vazamento —— o comportamento à fadiga do
com as conexões de mangueira
correspondentes. reforço puder ocorrer,
—— o dano externo for inevitável.
Sim, para mangueiras montadas no circuito

de potência e para mangueiras de
Entupimento (obstrução) –
controle e de medição, se o diâmetro
nominal é ≥ 2 mm.

Tabela B.9 – Falhas e exclusões de falhas – Conexões

do material, a manufatura, configuração
Ruptura, fratura de parafusos ou
e conexão à tubulação e/ou às conexões –
roscas espanadas
do tubo/mangueira estiverem de acordo
com as boas práticas de engenharia.
Devido ao desgaste, envelhecimento
e deterioração da elasticidade etc.,
Vazamento (perda de não é possível excluir falhas em um
Nenhuma.
estanqueidade ao ar) longo período de tempo. A principal
falha súbita de estanqueidade ao ar
não é presumida.
Sim, para conexões montadas no circuito de
Entupimento (obstrução) potência e para conexões de controle e de –
medição, se o diâmetro nominal for ≥ 2 mm.
Tabela B.10 – Falhas e exclusões de falhas – Transmissores de pressão e transdutores de pressão

Perda ou alteração de estanqueidade
Nenhuma.
ao ar/óleo de câmaras de pressão
Ruptura das câmaras de pressão, Sim, se o dimensionamento, a escolha do material, –
bem como fraturas dos parafusos de a configuração e a fixação estiverem de acordo
fixação ou de tampa com as boas práticas de engenharia.
Tabela B.11 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Filtros


Obstrução do elemento filtrante Nenhuma.
Ruptura ou ruptura parcial do Sim, se o elemento filtrante for
elemento filtrante suficientemente resistente à pressão.
Falha do indicador ou monitor da
Nenhuma. –
condição do filtro
Ruptura da carcaça do filtro ou fratura do material, a disposição no sistema e
da tampa ou elementos de conexão a fixação estiverem de acordo com as
boas práticas de engenharia.
Tabela B.12 – Falhas e exclusões de falhas – Tratamento do ar comprimido – Lubrificadores

Alteração no valor ajustado (volume de óleo por
Nenhuma.
unidade de tempo) sem alterar o dispositivo de ajuste
Sim, se uma proteção efetiva do dispositivo de
Alteração espontânea no dispositivo de ajuste
ajuste for provida, adaptada ao caso específico.
Desparafusamento involuntário do elemento de Sim, se um dispositivo de travamento positivo –
operação do dispositivo de ajuste efetivo contra o desparafusamento for provido.
Sim, se o dimensionamento, a escolha dos materiais,
Ruptura do corpo ou fratura da tampa ou dos
a disposição no sistema e a fixação estiverem de
elementos de fixação ou conexão
acordo com as boas práticas de engenharia.

Tabela B.13 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Silenciadores
Entupimento do elemento do silenciador e/ou

um aumento na contrapressão do ar de
Obstrução (entupimento) Sim, se o projeto e a construção do elemento exaustão acima de um certo valor crítico é
do silenciador do silenciador atenderem à observação. improvável se o silenciador tiver um diâmetro
suficientemente grande e for projetado para
atender às condições de operação.
Tabela B.14 – Falhas e exclusões de falhas – Acumuladores e vasos de pressão
Fratura/ruptura do acumulador/vaso de pressão Sim, se a construção, a escolha do equipamento, a

ou conectores ou roscas espanadas dos escolha dos materiais e a disposição no sistema –
parafusos de fixação estiverem de acordo com as boas práticas de engenharia.
Tabela B.15 – Falhas e exclusões de falhas – Sensores
Os sensores nesta Tabela incluem a captura de sinal, processamento

Sensor defeituoso (ver observação) Nenhuma.
e saída, em particular para a pressão, vazão, temperatura etc.
Alteração das características de

Nenhuma. –
detecção ou de saída
Tabela B.16 – Falhas e exclusões de falhas – Processamento de informações – Elementos lógicos

Elemento lógico defeituoso (por exemplo, elemento E

AND), elemento OU (OR), elemento de Para suposições de falha e exclusões de falha
armazenamento lógico) devido à, por exemplo, correspondentes, ver Tabelas B.3, B.4 e B.5 e os –
alteração no tempo de comutação, falha no componentes afins relevantes.
interruptor ou comutação incompleta
Tabela B.17 – Falhas e exclusões de falhas – Processamento de informações – Temporizadores
Dispositivo de retardo de tempo

defeituoso, por exemplo, tempo Sim, para temporizadores sem componentes
As condições normais de operação
pneumático e pneumático/mecânico móveis, por exemplo, resistência fixa, se
são atendidas quando as condições
e elementos de contagem condições normais de operação (ver observação)
estabelecidas pelo fabricante são
forem satisfeitas e tratamento e filtração
Alteração das características de seguidas.
adequados do ar comprimido forem providos.
detecção ou de saída
Ruptura do corpo ou fratura Sim, se a construção, o dimensionamento

da tampa ou dos elementos de e a instalação estiverem de acordo com as –
fixação boas práticas de engenharia.

Tabela B.18 – Falhas e exclusões de falhas – Processamento de informações – Conversores
Conversor defeituoso 1) Isto abrange, por exemplo, a

[ver observação 1)] conversão de um sinal pneumático em
Sim, para conversores sem componentes móveis, elétrico, a detecção da posição (sensor
por exemplo, bocal recurvado, se condições de cilindro, bocal recurvado), a
normais de operação (ver observação 2) forem amplificação dos sinais pneumáticos.
Alteração das características satisfeitas e tratamento e filtração adequados do
de detecção ou de saída ar comprimido forem providos. 2) As condições normais de operação
são atendidas quando as condições
estabelecidas pelo fabricante são seguidas.
Ruptura da carcaça ou Sim, se a construção, o dimensionamento e a

fratura da tampa ou dos instalação estiverem de acordo com as boas –
elementos de fixação práticas de engenharia.

Anexo C
(informativo)
Ferramentas de validação para sistemas hidráulicos
Quando sistemas hidráulicos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo C também seja levado em consideração. Quando os componentes hidráulicos forem
eletricamente conectados/controlados, convém que as listas de falhas apropriadas no Anexo D
sejam consideradas.
NOTA Podem haver requisitos adicionais em regulamentações locais.
As Tabelas C.1 e C.2 listam os princípios básicos de segurança e os princípios de segurança

devidamente comprovados. Convém que as bolhas de ar e cavitação no fluido hidráulico sejam
evitadas, porque elas podem criar perigos adicionais, por exemplo, movimentos involuntários.
Uma lista de componentes devidamente comprovados não é provida no Anexo C desta edição.
A condição de “devidamente comprovado” é principalmente específica da aplicação. Os compo-
nentes podem ser descritos como “devidamente comprovados” se eles estiverem de acordo com a
ISO 13849-1:2006, 6.2.2 e ABNT NBR ISO 4414:2012, Seções 5 a 7. Um componente devidamente
comprovado para algumas aplicações pode ser inapropriado para outras aplicações.
As Tabelas C.3 a C.12 listam as exclusões de falhas e suas fundamentações. Para exclusões
adicionais, ver 4.4.
O instante preciso em que ocorre a falha pode ser crítico (ver 9.1).
Tabela C.1 – Princípios básicos de segurança (continua)
Seleção de material, métodos de fabricação e tratamento em relação

Uso de materiais adequados e fabricação
a, por exemplo, tensão, durabilidade, elasticidade, atrito, desgaste,
adequada
corrosão, temperatura, fluido hidráulico.
Considerar, por exemplo, tensão, deformação, fadiga, rugosidade

superficial, tolerâncias, fabricação.
Aplicar as recomendações de aplicação do fabricante, por exemplo,

Seleção, combinação, disposições, montagem e
folhas de catálogo, instruções de instalação, especificações e uso das
instalação adequadas de componentes/sistema
boas práticas de engenharia em componentes/sistemas similares.
O estado seguro é obtido pela liberação de energia em todos os

dispositivos relevantes. Ver ação principal de parada na
ABNT NBR ISO 12100:2013, 6.2.11.3.
A energia é fornecida para o início do movimento de um mecanismo.
Uso do princípio de desenergização Ver ação principal de partida na ABNT NBR ISO 12100:2013, 6.2.11.3.
Considerar diferentes modos, por exemplo, modo de operação,
modo de manutenção.
Este princípio não pode ser utilizado em algumas aplicações, por
exemplo, quando a perda de pressão hidráulica cria um perigo adicional.

Tabela C.1 (conclusão)
Para a aplicação, por exemplo, de travamento de parafuso, conexões,

colagem ou anel de fixação, considerar as recomendações de aplicação
Fixação adequada do fabricante.
Sobrecarga pode ser evitada por meio de aplicação de torque adequado.
Exemplos são válvula de alívio de pressão, válvula redutora/válvula

Limitação de pressão
de controle de pressão.
Um exemplo é a limitação de velocidade de um atuador por uma

Limitação de velocidade/redução de velocidade
válvula de controle de fluxo ou de estrangulamento.
Considerar filtração/separação de partículas sólidas/água no fluido.

Prevenção suficiente de contaminação do
fluido Considerar também uma indicação da necessidade de manutenção
no filtro.
Considerar, por exemplo, o comprimento da tubulação, pressão,

capacidade de alívio de evacuação, fadiga da mola, atrito, lubrificação,
Faixa adequada do tempo de comutação
temperatura/viscosidade, inércia durante a aceleração e desaceleração,
Projetar o equipamento de modo que ele seja capaz de trabalhar em

todos os ambientes esperados e em quaisquer condições adversas
Resistência às condições ambientais previsíveis, por exemplo, temperatura, umidade, vibração, contaminação.
Ver Seção 10 e considerar as recomendações de especificação/aplicação
do fabricante.
Considerar a partida inesperada causada por energia armazenada

e após a restauração da fonte de energia para os diferentes modos,
por exemplo, modo de operação, modo de manutenção.
Equipamento especial para liberação da energia armazenada pode
ser necessário.
Aplicações especiais (por exemplo, para manter a energia de dispositivos
de fixação ou assegurar uma posição) precisam ser consideradas
separadamente.
Simplificação Evitar componentes desnecessários no sistema relacionado à segurança.
Faixa de temperatura adequada A ser considerada completamente em todo o sistema.
Separação Separação das funções relacionadas à segurança de outras funções.
Tabela C.2 – Princípios de segurança devidamente comprovados (continua)
Princípio de segurança
Observações
devidamente comprovado
Sobredimensionamento/ Os fatores de segurança são os providos em normas ou pela boa experiência em

fator de segurança aplicações relativas à segurança.
A parte móvel do componente é mantida em uma das posições seguras por meios
Posição segura mecânicos (somente atrito não é suficiente). Uma força é necessária para alterar
a posição.
Uma solução pode ser a relação de áreas de atuação de uma válvula de carretel/
êmbolo, determinada de tal forma que a força resultante para mover o carretel/
Força de desligamento aumentada
êmbolo para a posição/estado seguro (posição desligada) seja suficientemente
maior que a necessária para mover este carretel/êmbolo para a não segura.

Observações
Exemplos são válvulas de assento e de cartucho.
Válvula fechada por pressão de
carga Considerar como aplicar a pressão de carga, a fim de manter a válvula fechada,
mesmo se, por exemplo, quebrar a mola que fecha a válvula.
A ação mecânica positiva é utilizada para partes móveis dentro dos
componentes hidráulicos. Ver também Tabela A.2.
Partes múltiplas Ver Tabela A.2.
Uso de mola devidamente
Ver Tabela A.2.
comprovada
Limitação de velocidade/redução
de velocidade pela resistência ao Os exemplos são orifícios fixos e válvulas de regulagem fixa.
fluxo determinado
Isto pode ser obtido por uma válvula de alívio de pressão devidamente
Limitação de força/redução da
comprovada que é, por exemplo, equipada com uma mola devidamente
força
comprovada, dimensionada e selecionada corretamente.
Faixa adequada das condições de Convém que a limitação das condições de trabalho, por exemplo, limites de
trabalho pressão, vazão e temperatura, seja considerada.
Considerar um alto grau de filtração/separação de partículas sólidas/água no
Monitoramento da condição do fluido. Considerar também as condições químicas/físicas do fluido.
fluido
Considerar uma indicação da necessidade de manutenção no filtro.
Sobreposição positiva suficiente A sobreposição positiva assegura a função de parada e evita movimentos não
nos carretéis das válvulas permitidos.
Por exemplo, elevação do atrito aumentará a histerese. Uma combinação de
Histerese limitada
tolerâncias também influenciará a histerese.

Tabela C.3 – Falhas e exclusões de falhas – Válvulas de controle direcional (continua)
1) Um tipo especial de válvula de assento

de cartucho é obtido se
—— a área ativa para o início do movimento
Sim, no caso de ação mecânica positiva (ver de comutação relativo à segurança for
Tabela A.2) dos componentes móveis, contanto pelo menos 90 % da área total do
que a força de acionamento seja suficientemente componente móvel (poppet),
Alteração dos
grande, ou, com relação à não abertura de um —— a pressão de controle efetiva sobre a
tempos de
tipo especial de válvula de assento de cartucho, área ativa puder ser aumentada até a
comutação
quando utilizada com pelo menos uma outra pressão máxima de trabalho (de acordo
válvula para controlar o fluxo principal do fluido com a ISO 5598:2008, 3.2.429), em linha
[ver observação 1)]. com o comportamento da válvula de
assento em questão,
—— a pressão de controle efetiva sobre a área
oposta à área ativa do componente
móvel for liberada para um valor muito
baixo em comparação com a pressão
Sem comutação máxima de operação, por exemplo,
(emperramento pressão de retorno no caso de válvulas
Sim, no caso de ação mecânica positiva (ver
em uma posição de descarga de pressão ou pressão de
Tabela A.2) dos componentes móveis, contanto
extrema ou suprimento, no caso de válvulas e
que a força de acionamento seja suficientemente
posição zero) sucção/abastecimento,
grande, ou, com relação à não abertura de um
ou comutação —— o componente móvel (poppet) for provido
tipo especial de válvula de assento de cartucho,
incompleta de ranhuras periféricas de lubrificação, e
quando utilizada com pelo menos uma outra
(emperramento
válvula para controlar o fluxo principal do fluido —— a(s) válvula(s)-piloto para esta válvula
em uma posição
[ver observação 1)]. de assento for(em) projetada(s) em
intermediária
conjunto com um bloco manifold (isto é,
aleatória)
sem mangueiras e tubos para a
conexão destas válvulas).
2) As condições normais de instalação e

operação são satisfeitas quando
Sim, no caso de ação mecânica positiva (ver
Tabela A.2) dos componentes móveis, contanto —— as condições estabelecidas pelo
que a força de fixação seja suficientemente fabricante são levadas em consideração,
grande, ou se molas devidamente comprovadas —— o peso do componente móvel não
Alteração espontânea forem utilizadas (ver Tabela A.2) e as condições atua em sentido desfavorável em
da posição de normais de instalação e operação forem termos de segurança, por exemplo,
comutação inicial satisfeitas [ver observação 2)], ou, com relação em uma instalação horizontal,
(sem um sinal de à não abertura de um tipo especial de válvula —— nenhuma força inercial especial afeta
entrada) de assento de cartucho, quando utilizada com os componentes móveis, por exemplo,
pelo menos uma outra válvula para controlar o o sentido de movimento leva em
fluxo principal do fluido [ver observação 1)] e se consideração a orientação das partes
as condições normais de instalação e operação móveis da máquina, e
forem satisfeitas [ver observação 2)].
—— não ocorre vibração extrema e tensão
de impacto.
Sim, no caso de válvulas de assento, se as condições

As condições normais de instalação e operação
normais de instalação e operação forem satisfeitas
Vazamento são satisfeitas quando as condições estabelecidas
(ver observação) e um sistema de filtração adequado
pelo fabricante são levadas em consideração.
for provido.

Alteração na vazão
do vazamento em um Nenhuma.
longo período de uso
Ruptura do corpo da
válvula ou quebra
do(s) componente(s) Sim, se a construção, dimensionamento e
móvel(eis), bem como instalação estiverem de acordo com as boas
a quebra/fratura dos práticas de engenharia.
parafusos de montagem –
ou do corpo
Para servoválvulas
e válvulas Sim, no caso de servoválvulas e válvulas
proporcionais: proporcionais direcionais, se estas puderem ser
falhas hidráulicas avaliadas em termos de segurança como válvulas
que causam de controle direcional convencionais, devido ao
comportamento seu projeto e construção.
descontrolado
Se as funções de controle forem realizadas por um número de válvulas de função única, então convém que uma análise
de falhas seja realizada para cada válvula. Convém que o mesmo procedimento seja realizado no caso de válvulas pilotadas.
Tabela C.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/

válvulas de retenção (antirretorno)/válvulas alternadoras (válvulas “OU”), etc. (continua)

Alteração dos tempos de comutação Nenhuma. –
Sim, se o sistema de orientação para o(s)

Para uma válvula de assento de esfera
Sem abertura, abertura incompleta, componente(s) móvel(eis) for projetado de
não controlada sem um sistema de
sem fechamento ou fechamento uma maneira similar ao de uma válvula de
amortecimento, o sistema de orientação
incompleto (emperramento em uma assento de esfera não controlada sem um
é geralmente projetado de tal forma
posição extrema ou em uma sistema de amortecimento (ver observação)
que qualquer emperramento do
posição intermediária arbitrária) e se molas devidamente comprovadas
componente móvel seja improvável.
foremo utilizadas (ver Tabela A. 2).
As condições normais de instalação e

operação são atendidas quando
fabricante são seguidas, e
Sim, para condições normais de instalação —— nenhuma força inercial especial
Alteração espontânea da
e operação (ver observação) e se houver afeta os componentes móveis, por
posição de comutação inicial
força de fechamento suficiente com base exemplo, o sentido de movimento
(sem um sinal de entrada)
nas pressões e áreas providas. leva em consideração a
orientação das partes móveis
da máquina, e
—— não ocorre vibração extrema ou
tensão de impacto.
Para válvulas alternadoras

Sim, se, com base na construção e projeto
(válvula “OU”): fechamento
do componente móvel, este fechamento –
simultâneo de ambas as
simultâneo for improvável.
conexões de entrada


Sim, se as condições normais de operação
são satisfeitas quando as condições
Vazamento forem satisfeitas (ver observação) e um
sistema de filtração adequado for provido.
levadas em consideração.

Nenhuma.
Ruptura do corpo da válvula ou

quebra do(s) componente(s) Sim, se a construção, dimensionamento –
móvel(eis), bem como quebra/ e instalação estiverem de acordo com as
fratura dos parafusos de boas práticas de engenharia.
Tabela C.5 – Falhas e exclusões de falhas – Válvulas de fluxo
1) O dispositivo de ajuste não é

Sim, no caso de válvulas de fluxo sem partes móveis considerado uma parte móvel. Alterações
[ver observação 1)], por exemplo, válvulas na vazão devido a alterações nas
Alteração na vazão sem
estranguladoras, se as condições normais de diferenças de pressão e viscosidade
alteração no dispositivo de
operação forem satisfeitas [ver observação 2)], são fisicamente limitadas neste tipo de
ajuste
e um sistema de filtração adequado for utilizado válvula e não são abrangidas por esta
[ver observação 3)]. falha presumida.
2) As condições normais de operação são
atendidas quando as condições estabelecidas
pelo fabricante são seguidas.
Sim, se o diâmetro for > 0,8 mm, as condições 3) Quando uma válvula de retenção
Alteração na vazão, no
normais de operação forem satisfeitas (antirretorno) é integrada na válvula
caso de bocais e orifícios
[ver observação 2)] e um sistema de filtração de fluxo, então, adicionalmente, as
circulares não ajustáveis
adequado for utilizado. falhas presumidas para válvulas de
retenção (antirretorno) devem ser
Para válvulas de fluxo

proporcional: alteração na
Nenhuma.
vazão devido a uma alteração
involuntária no valor ajustado
Sim, onde há uma proteção efetiva do dispositivo

Alteração espontânea no
de ajuste adaptada neste caso específico, com base
dispositivo de ajuste
na(s) especificação(ões) técnica(s) de segurança.
Afrouxamento involuntário —
Sim, se for provido um dispositivo de travamento
(desparafusamento) do(s)
positivo efetivo contra o afrouxamento
elemento(s) de operação
(desparafusamento).
do dispositivo de ajuste
Ruptura do corpo da válvula

ou quebra do(s) componente(s) Sim, se a construção, dimensionamento e
móvel(eis), bem como quebra/ instalação estiverem de acordo com as boas
fratura dos parafusos de práticas de engenharia.

Tabela C.6 – Falhas e exclusões de falhas – Válvulas de pressão
Sem abertura ou abertura

insuficiente (parcial ou
temporariamente) ao exceder Sim, em relação à não abertura de um tipo
a pressão de ajuste especial de válvula de assento de cartucho,
(emperramento ou movimento quando utilizada com pelo menos uma outra
válvula para controlar o fluxo principal do fluido 1) Esta falha aplica-se somente
deficiente do componente
[ver observação 1)] da Tabela C.3, ou se o quando a(s) válvula(s) de pressão
móvel) [ver observação 1)]
sistema de orientação para o(s) componente(s) é(são) utilizada(s) para ações
Sem fechamento ou fechamento móvel(eis) for similar ao caso de uma válvula forçadas, por exemplo, fixação,
insuficiente (espacial ou de assento de esfera não controlada sem um e para o controle de movimento
temporariamente) se a pressão dispositivo de amortecimento [ver observação perigoso, por exemplo, suspensão
cair abaixo do valor de ajuste 2)] e se as molas instaladas forem devidamente de cargas. Esta falha não se aplica
(emperramento ou movimento comprovadas (ver Tabela A.2). à sua função normal em sistemas
deficiente do componente hidráulicos, por exemplo, limitação
móvel) [ver observação 1)] da pressão, queda da pressão.
2) Para uma válvula de assento
Alteração no comportamento Sim, no caso de válvulas de alívio de pressão de esfera não controlada sem
do controle de pressão sem acionadas diretamente, se a(s) mola(s) um sistema de amortecimento, o
alterar o dispositivo de ajuste instalada(s) for(em) devidamente comprovada(s) sistema de orientação é geralmente
[ver observação 1)] (ver Tabela A.2). projetado de tal forma que seja
improvável qualquer emperramento
Para válvulas de pressão
do componente móvel.
proporcional: alteração no
comportamento do controle de
Nenhuma.
pressão devido à alteração
involuntária no valor ajustado
[ver observação 1)]
Sim, quando há uma proteção efetiva do dispositivo

Alteração espontânea no de ajuste adaptado ao caso em particular em relação
dispositivo de ajuste às especificações técnicas de segurança, por

exemplo, dispositivo de trava ou lacre de segurança. —
Desparafusamento involuntário
Sim, se for provido um dispositivo de travamento
do elemento de operação do
positivo efetivo contra o desparafusamento.
dispositivo de ajuste

Sim, para válvulas de assento, se as condições
são satisfeitas quando as condições
Vazamento normais de operação forem satisfeitas (ver observação)
e se um sistema de filtração adequado for provido.
Alteração na vazão do
vazamento em um longo Nenhuma.
período de uso
Ruptura do corpo da válvula —

ou quebra do(s) componente(s) Sim, se a construção, dimensionamento e
móvel(eis), bem como a quebra/ instalação estiverem de acordo com as boas
fratura dos parafusos de práticas de engenharia.

Tabela C.7 – Falhas e exclusões de falhas – Tubulação metálica

Sim, se o dimensionamento, escolha dos materiais e fixação
Ruptura e vazamento –
estiverem de acordo com as boas práticas de engenharia.
Sim, se forem utilizadas conexões soldadas, ou flanges soldados,
Falha no conector (por exemplo, ou conexões cônicas, e o dimensionamento, a escolha dos
arrancamento, vazamento) materiais,a manufatura, a configuração e a fixação estiverem
de acordo com as boas práticas de engenharia. –
Sim, para tubulação no circuito de potência e para tubulações

Entupimento (obstrução)
de controle e de medição, se o diâmetro nominal for ≥ 3 mm.
Tabela C.8 – Falhas e exclusões de falhas – Mangueiras

Ruptura, arrancamento na fixação
Nenhuma.
da conexão e vazamento
–
Sim, para mangueiras montadas no circuito de potência e para
Entupimento (obstrução)
mangueiras de controle e de medição, se o diâmetro nominal for ≥ 3 mm.
Tabela C.9 – Falhas e exclusões de falhas – Conexões

Sim, se o dimensionamento, escolha do material,
da manufatura, da configuração e conexão à
Ruptura, fratura de parafusos
tubulação e/ou ao componente de tecnologia –
ou roscas espanadas
de fluido estiverem de acordo com as boas
práticas de engenharia.
Devido ao desgaste, envelhecimento,

deterioração da elasticidade etc., não
Vazamento (perda de
Nenhuma (ver observação). é possível excluir falhas em um longo
estanqueidade)
período de tempo. Uma grande falha
súbita de estanqueidade não é presumida.
Sim, para aplicações no circuito de potência e
Entupimento (obstrução) para conexões de controle e de medição, se o –
diâmetro nominal for ≥ 3 mm.
Tabela C.10 – Falhas e exclusões de falhas – Filtros

Obstrução do elemento filtrante Nenhuma.
Sim, se o elemento filtrante for suficientemente resistente à
Ruptura do elemento filtrante pressão e for provida uma válvula de derivação efetiva (by-pass)
ou um monitoramento efetivo de contaminação.
Sim, se o sistema de orientação da válvula de derivação (by-pass)
Falha da válvula de derivação for similar ao de uma válvula de assento de esfera não controlada,
(by-pass) sem um sistema de amortecimento, (ver Tabela C.4) e se forem –
utilizadas molas devidamente comprovadas (ver Tabela A.2).
Falha do indicador ou do monitor
Nenhuma.
de contaminação
Sim, se o dimensionamento, a escolha do material, a disposição
Ruptura da carcaça do filtro ou fratura
no sistema e a fixação estiverem de acordo com as boas práticas
da tampa ou elementos de conexão
de engenharia.

Tabela C.11 – Falhas e exclusões de falhas – Armazenamento de energia
Fratura/ruptura do vaso de armazenamento Sim, se a construção, a escolha do

de energia, ou dos conectores, ou dos equipamento, a escolha dos materiais e
parafusos da tampa, bem como fios de a disposição no sistema estiverem de
rosca espanados acordo com as boas práticas de engenharia. –
Vazamento no elemento de separação

Nenhuma.
entre o gás e o fluido de operação
Falha/ruptura do elemento de separação Sim, no caso de cilindro/pistão de Um grande vazamento súbito não
entre o gás e o fluido de operação armazenamento (ver observação). é para ser considerado.
Sim, se a válvula de abastecimento

for instalada de acordo com as boas
Falha da válvula de abastecimento no
práticas de engenharia e se for provida –
lado do gás
uma proteção adequada contra
influências externas.
Tabela C.12 – Falhas e exclusões de falhas – Sensores
Os tipos de sensores incluem a

captura de sinal, processamento
Sensor defeituoso (ver observação) Nenhuma.
e saída, em particular para a pressão,
vazão e temperatura.
Alteração das características de detecção

Nenhuma. –
ou de saída

Anexo D
(informativo)
Ferramentas de validação para sistemas elétricos
D.1 Generalidades
Quando sistemas elétricos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo D também seja levado em consideração.
As condições ambientais da IEC 60204-1 aplicam-se ao processo de validação. Se outras condições

ambientais forem especificadas, convém que elas sejam levadas em consideração.
As Tabelas D.1 e D.2 listam os princípios básicos de segurança e os princípios de segurança

devidamente comprovados.
Os componentes listados na Tabela D.3 são considerados “devidamente comprovados” quando eles
estiverem de acordo com a descrição provida na ISO 13849-1:2006, 6.2.4. As Normas listadas na
Tabela D.3 podem ser utilizadas para demonstrar sua adequação e confiabilidade para uma aplicação
específica. Um componente devidamente comprovado para algumas aplicações pode ser inapro-
priado para outras aplicações.
NOTA Componentes eletrônicos complexos, como controladores lógicos programáveis (PLC), micro-
processadores e circuitos integrados específicos da aplicação, não podem ser considerados equivalentes
aos componentes “devidamente comprovados”.
A Seção D.2 e as Tabelas D.4 a D.18 listam as exclusões de falhas e suas fundamentações.
Para exclusões adicionais, ver 4.4.
Para validação, convém que as falhas permanentes e as perturbações transientes sejam consideradas.
Tabela D.1 – Princípios básicos de segurança (continua)
Seleção de material, métodos de fabricação e tratamento em relação a,

Uso de materiais adequados e
por exemplo, tensão, durabilidade, elasticidade, atrito, desgaste, corrosão,
fabricação adequada
temperatura, condutividade, rigidez dielétrica.
Dimensionamento e configuração Considerar, por exemplo, tensão, deformação, fadiga, rugosidade

corretos superficial, tolerâncias, fabricação.
Seleção, combinação, disposições, Aplicar as recomendações de aplicação do fabricante, por exemplo, folhas
montagem e instalação adequadas de de catálogo, instruções de instalação, especificações e uso das boas
componentes/sistema práticas de engenharia.
Um lado do circuito de controle, um terminal da bobina de operação de cada

dispositivo eletromagnético operado, ou um terminal de outro dispositivo
Proteção correta da ligação elétrica
elétrico é conectado ao circuito de ligação elétrica de proteção
(ver IEC 60204-1:2005, 9.4.3.1).

Tabela D.1 (conclusão)

Uso de um dispositivo de monitoramento do isolamento que indique uma fuga

Monitoramento do isolamento à terra ou interrompa o circuito automaticamente após uma fuga à terra
(ver IEC 60204-1:2005, 6.3.3).
Um estado seguro é obtido por desenergização de todos os dispositivos

relevantes, por exemplo, pelo uso de contato normalmente fechado (NF) para
entradas (botões de comando e interruptores de posição) e contato normalmente
aberto (NA) para relés (ver também a ABNT NBR ISO 12100:2013, 6.2.11.3).
Uso de desenergização
Exceções podem existir em algumas aplicações, por exemplo, quando a perda
do suprimento elétrico gerar um perigo adicional. As funções de retardo de
tempo podem ser necessárias para atingir um estado seguro do sistema
(ver IEC 60204-1:2005, 9.2.2).
Uso de um dispositivo de supressão (RC, diodo, varistor) paralelo à carga,

Supressão de surtos porém não em paralelo aos contatos.
NOTA Um diodo aumenta o tempo de desligamento.
Redução do tempo de resposta Minimizar o retardo na desenergização de componentes de comutação.
Compatibilidade Uso de componentes compatíveis com as tensões e correntes utilizadas.
Projetar o equipamento de modo que ele seja capaz de trabalhar em todos os

ambientes esperados e em quaisquer condições adversas previsíveis, por
Resistência às condições ambientais
exemplo, temperatura, umidade, vibração e interferência eletromagnética
(EMI) (ver Seção 10).
Fixação de dispositivos de entrada, por exemplo, chaves de intertravamento,

interruptores de posição, interruptores limitadores, sensores de proximidade,
Fixação segura dos dispositivos de de modo que a posição, o alinhamento e a tolerância de comutação sejam
entrada mantidos em todas as condições esperadas, por exemplo, vibração, desgaste
normal, entrada de corpos estranhos, temperatura.
Ver ISO 14119:1998, Seção 5.
Evitar a partida inesperada, por exemplo, após a restauração da fonte de

energia (ver ABNT NBR ISO 12100:2013, 6.2.11.4, ISO 14118, IEC 60204-1).
Convém que o circuito de comando seja protegido de acordo com a

Proteção do circuito de comando
IEC 60204-1:2005, 7.2 e 9.1.1.
Para evitar falha de modo comum pela soldagem de ambos os contatos,

Comutação sequencial para circuito de
ligação e desligamento não acontecem simultaneamente, de modo que um
contatos em série para sinais redundantes
contato sempre comuta sem corrente.
Tabela D.2 – Princípios de segurança devidamente comprovados (continua)
Observações
Uso de contatos mecanicamente guiados de forma positiva para, por exemplo,

Contatos mecanicamente guiados
função de monitoramento em sistemas de Categorias 2, 3 e 4 (ver EN 50205,
de forma positiva
ABNT NBR IEC 60947-4-1:2008, Anexo F, IEC 60947-5-1:2003 + A1: 2009, Anexo L).
Para evitar curtos-circuitos entre dois condutores adjacentes,

—— utilizar cabos com blindagem conectada ao aterramento, em cada
Prevenção de falhas em cabos
condutor separadamente, ou
—— em cabos planos, utilizar um condutor aterrado entre cada condutor de sinal.
Uso de distância suficiente entre os terminais de ligação, componentes e

Distância de separação
fiação, para evitar conexões involuntárias.

Tabela D.2 (continuação)
Observações
Uso de um capacitor para o fornecimento de uma quantidade finita de energia,

Limitação de energia
por exemplo, em uma aplicação de temporização.
Limitação da tensão, corrente, energia ou frequência para restringir o movimento,

Limitação dos parâmetros elétricos por exemplo, limitação do torque, comando momentâneo com deslocamento/
tempo limitado, velocidade reduzida, para evitar um estado inseguro.
Evitar estados indefinidos no sistema de comando. Projetar e construir o sistema

de comando de modo que, durante a operação normal e todas as condições
Nenhum estado indefinido
de operação esperadas, o seu estado, por exemplo, sua(s) saída(s), possa ser
previsto.
Ação direta é transmitida pela forma construtiva (e não pela resistência) sem
Acionamento de modo positivo elementos elásticos, por exemplo, mola entre o acionador e os contatos
(ver ISO 14119:1998, 5.1, ABNT NBR ISO 12100:2013, 6.2.5).
Sempre que possível, convém que o dispositivo/circuito falhe no estado ou

Orientação do modo de falha
condição segura.
Convém que componentes ou sistemas de modo de falha orientada sejam

Modo de falha orientada
utilizados sempre que for praticável (ver ABNT NBR ISO 12100:2013, 6.2.12.3).
Sobredimensionamento de componentes, quando utilizados em circuitos de

segurança, por exemplo, pelos seguintes meios:
—— convém que a corrente que passou por meio dos contatos de comutação
seja inferior à metade da sua corrente nominal;
Sobredimensionamento —— convém que a frequência de comutação dos componentes seja inferior à
metade do seu valor nominal;
—— convém que o número total de operações de comutação esperadas não
seja superior a 10 % da durabilidade elétrica do dispositivo.

NOTA A redução do tamanho pode depender da fundamentação do projeto.
Minimizando a possibilidade de falhas Funções relacionadas à segurança separadas das outras funções.
Convém que o equilíbrio seja efetuado entre

Equilibrio entre complexidade e
—— a complexidade de atingir um melhor controle e
simplicidade
—— a simplificação, a fim de ter uma melhor confiabilidade.

Tabela D.3 – Componentes devidamente comprovados (continua)
Componente devidamente Condições adicionais para

Norma ou especificação
comprovado “devidamente comprovado”
Interruptor com acionamento de modo

positivo (ação de abertura direta), por
exemplo:
—— botão de pressão; IEC 60947-5-1:2003,
–
—— interruptor de posição; Anexo K
—— chave seletora operada por
excêntrico, por exemplo, para
modo de operação
ISO 13850
Dispositivo de parada de emergência –
IEC 60947-5-5
Fusível – IEC 60269-1
Disjuntor – ABNT NBR IEC 60947-2
Interruptores, desconectores – ABNT NBR IEC 60947-3
Disjuntor diferencial/DR (dispositivo IEC 60947-2:2006,

–
de corrente residual) Anexo B
Somente devidamente comprovado se

a) outras influências forem levadas em
consideração, por exemplo, vibração,
b) a falha é evitada por métodos apropriados, por
exemplo, sobredimensionamento (ver Tabela D.2),
Contator principal ABNT NBR IEC 60947-4-1
c) a corrente da carga é limitada pelo dispositivo
de proteção térmica, e
d) os circuitos forem protegidos por um

dispositivo de proteção contra sobrecarga.
NOTA Exclusão de falha não é possível.
Dispositivo ou equipamento de manobra

– IEC 60947-6-2
para comando e proteção (CPS)

a) outras influências forem levadas em consideração,
por exemplo, vibração,
b) houver uma ação positivamente energizada,
EN 50205
c) a falha for evitada por métodos apropriados, por
Contator auxiliar (por exemplo, relé IEC 60947-5-1
exemplo, sobredimensionamento (ver Tabela D.2),
contator) ABNT NBR IEC
d) a corrente nos contatos for limitada por um fusível
60947-4-1:2008, Anexo F
ou disjuntor para evitar a soldagem dos contatos, e
e) os contatos forem mecanicamente guiados de
forma positiva quando utilizados para monitoramento.

Tabela D.3 (continuação)
Componente devidamente Condições adicionais para

Norma ou especificação
comprovado “devidamente comprovado”

a) outras influências forem levadas em
consideração, por exemplo, vibração,
b) houver uma ação positivamente energizada,
IEC 61810-1
Relé c) a falha for evitada por métodos apropriados, por
IEC 61810-2
exemplo, sobredimensionamento (ver Tabela D.2), e
d) a corrente nos contatos for limitada por um fusível
ou disjuntor para evitar a soldagem dos contatos.
Transformador – IEC 61558
Convém que o cabeamento externo ao compartimento

IEC 60204-1:2005,
Cabo seja protegido contra danos mecânicos (incluindo,
Seção 12
por exemplo, vibração ou dobramento).
De acordo com uma norma

elétrica relevante para a
Plugue e soquete – aplicação pretendida.
Para intertravamento,
ver também a ISO 14119.
Referente à parte elétrica;

Termostato –
ver EN 60730-1
Referente à parte elétrica,

ver IEC 60947-5-1.
Pressostato –
Referente à parte mecânica;
ver Anexos B e C.
Solenoide para válvula – –
D.2 Exclusão de falhas
D.2.1 Generalidades
A exclusão de falhas é válida somente se as partes operem dentro de suas classificações especificadas.
D.2.2 “Filamentos de estanho”
Se processos e produtos isentos de chumbo forem aplicados, curtos-circuitos elétricos devido ao

surgimento de “filamentos de estanho” podem ocorrer. Convém que esta possibilidade seja avaliada e
considerada ao aplicar a exclusão de falha “curto-circuito ...” de qualquer componente. Por exemplo,
se o risco de surgimento de filamentos de estanho for considerado elevado, a exclusão de falha
“curto-circuito de um resistor” é inútil, uma vez que um curto-circuito entre os contatos deste
componente deve ser considerado.
NOTA 1 O surgimento do filamento é um fenômeno relacionado principalmente a acabamentos de estanho

de puro brilho. As protuberâncias semelhantes a agulhas podem crescer até várias centenas de micrometros
de comprimento e podem causar curtos-circuitos elétricos. A teoria que prevalece é que os filamentos são
causados pelo acúmulo da tensão de compressão no revestimento de estanho.

NOTA 2 As referências [34] e [35] podem ser úteis para avaliação do fenômeno.
NOTA 3 Filamentos em placas de circuito impresso até agora não foram reportados. As trilhas consistem
geralmente em cobre sem revestimento de estanho. As trilhas podem ser revestidas com liga de estanho,
porém, o processo de produção não parece estimular a susceptibilidade ao surgimento do filamento.
D.2.3 Curtos-circuitos em partes montadas em PCB (placa de circuito impresso)
Curtos-circuitos para partes que são montadas em uma placa de circuito impresso (PCB) somente
podem ser excluídos se a exclusão de falha “curto-circuito entre duas trilhas adjacentes”, descrita na
Tabela D.5, for efetuada.
D.2.4 Exclusões de falhas e circuitos integrados
Como não é possível excluir falhas que possam causar o mau funcionamento de um circuito integrado
(ver Tabelas D.20 e D.21), uma única falha pode levar à perda de uma função de segurança (incluindo
sua verificação/ensaio) implementada em um único circuito integrado. Consequentemente, é altamente
improvável que a funcionalidade de multicanal necessária para a tolerância de falha e/ou requisitos
de detecção próprios da categoria 2, 3 ou 4 possa ser atingida utilizando um único circuito integrado,
a menos que ela atenda aos requisitos especiais da arquitetura da IEC 61508-2:2010, Anexo E.
Tabela D.4 – Falhas e exclusões de falhas – Condutores/cabos
Curtos-circuitos entre condutores que

—— são permanentemente conectados (fixos) e
protegidos contra danos externos, por exemplo,
por eletrodutos, blindagem,
Curto-circuito entre dois

condutores —— são cabos de múltiplas vias separadas, Desde que ambos os condutores
—— estão dentro de um compartimento elétrico e o compartimento atendam aos
(ver observação), ou requisitos apropriados
(ver IEC 60204-1).
—— são individualmente blindados com ligação à terra.
Curto-circuito de qualquer Curtos-circuitos entre o condutor e qualquer parte

condutor a uma parte condutiva condutiva exposta dentro de um compartimento elétrico
exposta ou de aterramento (ver observação).
Circuito aberto de qualquer

Nenhuma. –
condutor

Tabela D.5 – Falhas e exclusões de falhas – Placas de circuito impresso/conjuntos
Como material básico, EP GC, de acordo com a

IEC 60893-1 é utilizado como mínimo.
As folgas e distâncias que causam a perda gradativa
de corrente são dimensionadas observando no
mínimo as definidas na IEC 60664-5 (IEC 60664-1 para
distâncias maiores que 2 mm), com grau de
contaminação 2/categoria de sobretensão III; se ambas
as trilhas forem energizadas por uma fonte de energia
SELV/PELV, o grau de contaminação 2/categoria de
sobretensão II pode ser aplicado, com uma folga mínima
Curtos-circuitos entre condutores de 0,1 mm.
Curto-circuito entre duas
adjacentes de acordo com as A placa montada é instalada em um compartimento que
trilhas adjacentes
observações. provê proteção contra a contaminação condutiva, por
exemplo, um compartimento com uma proteção de
pelo menos grau IP54, e o(s) lado(s) impresso(s) é(são)
revestido(s) com um verniz resistente ao envelhecimento
ou camada de proteção cobrindo todos os caminhos
do condutor (trilha).
NOTA 1 A experiência demonstrou que máscaras de soldagem
são satisfatórias como uma camada de proteção.
NOTA 2 Uma cobertura adicional da camada de proteção,
de acordo com a IEC 60664-3, pode reduzir as folgas e as
distâncias que causam a perda gradativa de corrente.
Circuito aberto de qualquer trilha Nenhuma. –
Tabela D.6 – Falhas e exclusões de falhas – Bloco de terminal

1) Os terminais e conexões utilizados estão de acordo com

as ABNT NBR IEC 60947-7-1, ABNT NBR IEC 60947-7-2 e
Curto-circuito entre terminais os requisitos da IEC 60204-1:2006, 13.1.1, são atendidos.
Curto-circuito entre
adjacentes, de acordo com
terminais adjacentes 2) O projeto em si assegura que um curto-circuito seja
as observações 1) ou 2).
evitado, por exemplo, moldando tubos plásticos retráteis
sobre o ponto de conexão.
Circuito aberto de
Nenhuma. –
terminais individuais

Tabela D.7 – Falhas e exclusões de falhas – Conector de pinos múltiplos
Curto-circuito entre pinos adjacentes Utilizando terminais ou outros meios adequados

de acordo com a observação. para fios com trançado múltiplo. Convém que as
Curto-circuito entre dois Se o conector for montado folgas e distâncias que causam a perda gradativa de
pinos adjacentes em um circuito impresso, as corrente e todas as aberturas sejam dimensionadas
considerações da exclusão da no mínimo segundo a IEC 60664-1, com categoria
falha da Tabela D.5 aplicam-se. de sobretensão III.
Conector trocado ou inserido

incorretamente quando não Nenhuma. –
evitado por meios mecânicos
Curto-circuito de qualquer
condutor (ver observação) de
O núcleo do cabo é considerado uma parte do
ligação à terra ou uma parte Nenhuma.
conector de pinos múltiplos.
condutiva ou ao condutor de
proteção
Circuito aberto conectores

Nenhuma. –
de pinos individuais
Tabela D.8 – Falhas e exclusões de falhas – Interruptores – Interruptores de posição

eletromecânicos, interruptores operados manualmente (por exemplo, botão de pressão,
atuador de rearme (reset), interruptor DIP, contatos operados magneticamente,
reed switch, interruptor de pressão, interruptor de temperatura)
Dispositivos sensíveis à pressão de acordo

O contato não fechará —

com a ISO 13856.
Espera-se que os contatos de acordo com

O contato não abrirá —
a IEC 60947-5-1:2003, Anexo K, se abram.
Curto-circuito entre contatos Curto-circuito pode ser excluído para interruptores

adjacentes isolados um do outro de acordo com a IEC 60947-5-1 (ver observação). Convém que as partes condutivas
que se tornam soltas não sejam
Curtos-circuitos simultâneos podem ser capazes de romper o isolamento
Curto-circuito simultâneo entre três
excluídos para interruptores de acordo com a entre os contatos.
terminais de contato de transição
IEC 60947-5-1 (ver observação).
Para PL e, uma exclusão de falha para aspectos mecânicos (por exemplo, ligação mecânica entre um acionador e um
elemento de contato) e elétricos não é permitida. Neste caso, redundância é necessária. Para dispositivos de parada de
emergência de acordo com a IEC 60947-5-5, uma exclusão de falha para aspectos mecânicos é permitida se um número
máximo de operações for considerado.
NOTA As listas de falhas para os aspectos mecânicos são consideradas no Anexo A.

Tabela D.9 – Falhas e exclusões de falhas – Interruptores –

Dispositivos eletromecânicos (por exemplo, relés, contatores)
Todos os contatos permanecem na posição

energizada quando a bobina é desenergizada Nenhuma.
(por exemplo, devido a uma falha mecânica)
Todos os contatos permanecem na posição

desenergizada quando a energia é –
Nenhuma.
aplicada (por exemplo, devido à falha
mecânica, circuito aberto da bobina)
O contato não abrirá Nenhuma.
O contato não fechará Nenhuma.
Curto-circuito simultâneo pode ser As folgas e as distâncias das trilhas

Curto-circuito simultâneo entre os três
excluído se as observações forem que causam a perda gradativa de
terminais de contatos de potência
levadas em consideração. corrente são dimensionadas conforme
a IEC 60664-1, com no mínimo um
grau de contaminação 2/ categoria
de sobretensão III.
Curto-circuito entre dois pares de contato Curto-circuito pode ser excluído se as
e/ou entre os contatos e o terminal da bobina observações forem levadas em consideração. As partes condutivas que se tornam
soltas não podem romper o isolamento
entre os contatos e a bobina.
Contatos positivamente guiados

Fechamento simultâneo de contatos Fechamento simultâneo dos contatos
(ou ligados mecanicamente) são
normalmente abertos e normalmente pode ser excluído se a observação
utilizados (ver IEC 60947-5-1:2003,
fechados for levada em consideração.
Anexo L).
Tabela D.10 – Falhas e exclusões de falhas – Interruptores – Interruptores de proximidade
Baixa resistência permanentemente

Nenhuma (ver observação). Ver IEC 60947-5-3.
na saída
Alta resistência permanentemente Medidas de prevenção contra falhas

Nenhuma (ver observação).
na saída devem ser descritas.
Interrupção da fonte de energia Nenhuma. –
Nenhuma operação devido à falha Convém que todas as partes do interruptor

Nenhuma operação do interruptor
mecânica quando a observação é sejam suficientemente bem fixadas.
devido à falha mecânica
levada em consideração. Para aspectos mecânicos, ver Anexo A.
Curto-circuito entre as três conexões

Nenhuma. –
de um contato reversível
Tabela D.11 – Falhas e exclusões de falhas – Interruptores – Válvulas solenoides

Não energiza Nenhuma.

—
Não desenergiza Nenhuma.
NOTA As listas de falhas para os aspectos mecânicos de válvulas pneumáticas e hidráulicas são consideradas nos Anexos B e C,
respectivamente.

Tabela D.12 – Falhas e exclusões de falhas – Componentes elétricos discretos – Transformadores
Circuito aberto de enrolamento

Nenhuma. –
individual
Curto-circuito entre diferentes enrolamentos 1) Convém que os requisitos das partes

Curto-circuito entre diferentes
pode ser excluído se as observações 1) relevantes da IEC 61558 sejam atendidos.
enrolamentos
e 2) forem levadas em consideração. 2) Entre diferentes enrolamentos, aplica-se
isolamento duplo ou reforçado ou uma
Um curto-circuito um enrolamento pode
Curto-circuito em um único tela de proteção. Aplicam-se ensaios de
ser excluído se a observação 1) for
enrolamento acordo com a IEC 61558-1:2005, Seção 18.
levada em consideração.
Tensões de ensaio adequadas são
providas na IEC 61558-1:2005, Tabela 8 a).
Curtos-circuitos em bobinas e nos enrolamentos
precisam ser evitados, tomando as
medidas apropriadas, por exemplo,
—— impregnando as bobinas de modo a
Alteração na relação de espiras efetiva preencher todas as cavidades entre
Alteração na relação de pode ser excluída se a observação 1) as espiras individuais e o corpo da
espiras efetivas for levada em consideração. Ver também bobina e o núcleo, e
a observação 3). —— utilizando condutores de enrolamento
de acordo com suas classificações de
isolamento e de alta temperatura.
3) No caso de um curto-circuito no secundário,
o aquecimento acima de uma temperatura
de operação especificada não pode ocorrer.
Tabela D.13 – Falhas e exclusões de falhas – Componentes elétricos discretos – Indutâncias

Circuito aberto Nenhuma. –
Curto-circuito pode ser excluído A bobina é de camada única, esmaltada

Curto-circuito se a observação for levada em ou encapsulada, com conexões axiais
consideração. de fios e montada axialmente.
Alteração aleatória do valor de

Dependendo do tipo de construção,
0,5 LN < L < LN + a tolerância, onde LN Nenhuma.
outras faixas podem ser consideradas.
é o valor nominal dos indutores

Tabela D.14 – Falhas e exclusões de falhas – Componentes elétricos discretos – Resistores
Circuito aberto Nenhuma. –
1) O resistor é do tipo película, ou do tipo

camada única com fio enrolado com proteção,
para evitar o desenrolamento do fio no caso
de quebra, com conexões de fios axiais,
montado axialmente e envernizado.
2) Os resistores em tecnologia de montagem
Curto-circuito pode ser
em superfície devem ser do tipo metálico
excluído se a observação
Curto-circuito de película fina em tipos de pacotes MELF,
1) ou 2) for levada em
mini MELF ou μMELF.
consideração.
3) Por exemplo, se o risco de surgimento
de filamentos de estanho for considerado
elevado, a exclusão da falha “curto-circuito
de um resistor” é inútil, uma vez que um
curto-circuito entre os contatos deste
componente tem que ser considerado.
Alteração aleatória do valor de

Dependendo do tipo de construção,
0,5 RN < R < 2 RN , onde RN é o valor nominal Nenhuma.
outras faixas podem ser consideradas.
da resistência [ver também a observação 3)]

Redes de resistores
Falha considerada Exclusão de falha Observações

Circuito aberto Nenhuma.
Curto-circuito entre duas conexões Nenhuma. –
Curto-circuito entre quaisquer conexões Nenhuma.
Alteração aleatória do valor de 0,5 RN < R < 2 RN , Dependendo do tipo de construção,

Nenhuma.
onde RN é o valor nominal da resistência outras faixas podem ser consideradas.
Tabela D.16 – Falhas e exclusões de falhas – Componentes elétricos discretos – Potenciômetros
Falha considerada Exclusão de falha Observações
Circuito aberto de uma conexão individual Nenhuma.
Curto-circuito entre todas as conexões Nenhuma. –
Curto-circuito entre duas conexões Nenhuma.
Alteração aleatória do valor de 0,5 Rp < R < 2 Rp, Dependendo do tipo de construção,
Nenhuma.
onde Rp é o valor nominal da resistência outras faixas podem ser consideradas.

Tabela D.17 – Falhas e exclusões de falhas – Componentes elétricos discretos – Capacitores
Circuito aberto Nenhuma.

–
Curto-circuito Nenhuma.
Alteração aleatória do valor de 0,5 CN < C < CN + a tolerância, Dependendo do tipo de construção,
Nenhuma.
onde CN é o valor nominal da capacitância outras faixas podem ser consideradas.
Alteração no valor de δ Nenhuma. –
Tabela D.18 – Falhas e exclusões de falhas – Componentes eletrônicos – Semicondutores

discretos (por exemplo, diodos, diodos Zener, transistores, triacs, tiristores, reguladores
de tensão, cristal de quartzo, fototransistores, diodos emissores de luz [LED])
Circuito aberto de qualquer conexão Nenhuma.

–
Curto-circuito entre todas as conexões Nenhuma.
Alteração nas características Nenhuma.
Tabela D.19 – Falhas e exclusões de falhas – Componentes eletrônicos – Optoacopladores
Circuito aberto de uma conexão

Nenhuma.
individual
Curto-circuito entre duas conexões

Nenhuma. –
de entrada
Curto-circuito entre duas conexões

Nenhuma.
de saída
O optoacoplador é construído de acordo

com a categoria de sobretensão III,
conforme a IEC 60664-1. Se uma fonte
de energia SELV/PELV for utilizada,
Curto-circuito entre a entrada e a saída grau de contaminação 2/sobretensão
Curto-circuito entre duas conexões categoria II pode ser aplicado.
pode ser excluído se as observações
de entrada e saída
forem levadas em consideração. NOTA Ver Tabela D.5.
Medidas são tomadas para assegurar
que uma falha interna do optoacoplador
não possa resultar em temperatura
excessiva de seu material isolante.

Tabela D.20 – Falhas e exclusões de falhas – Componentes eletrônicos –

Circuitos integrados não programáveis
Falha considerada Exclusões da falha Observações
Circuito aberto de cada conexão individual Nenhuma.
“stuck-at-fault” (ou seja, curto-circuito em 1 e 0 com entrada isolada ou saída

desconectada). Sinal estático “0” e “1” em todas as entradas e saídas, individual Nenhuma.
–
ou simultaneamente
Oscilação parasita das saídas Nenhuma.
Alteração nos valores (por exemplo, tensão de entrada/saída de dispositivos

Nenhuma.
analógicos)
NOTA Nesta Parte da ABNT NBR ISO 13849, circuitos integrados (IC) com menos de 1 000 portas e/ou menos de 24 pinos, amplifi-
cadores operacionais, registradores de deslocamento e módulos híbridos são considerados não complexos. Esta definição é arbitrária.
Tabela D.21 – Falhas e exclusões de falhas – Componentes eletrônicos –

Circuitos integrados programáveis e/ou complexos
Falha considerada Exclusões da falha Observações
Falhas em toda ou parte da função, incluindo falhas de software Nenhuma.
Circuito aberto de cada conexão individual Nenhuma.
“stuck-at-fault” (ou seja, curto-circuito em 1 e 0 com entrada isolada ou saída

desconectada). Sinal estático “0” e “1” em todas as entradas e saídas, individual Nenhuma.
ou simultaneamente –
Oscilação parasita das saídas Nenhuma.
Alteração nos valores (por exemplo, tensão de entrada/saída de dispositivos

Nenhuma.
analógicos)
Falhas não detectadas no hardware que passam despercebidas devido à

complexidade do circuito integrado
Convém que a análise identifique falhas adicionais, as quais devem ser consideradas se elas influenciarem a operação
da função de segurança.
NOTA Nesta Parte da ABNT NBR ISO 13849, um circuito integrado (IC) é considerado complexo se ele consistir em mais de 1 000
portas e/ou mais de 24 pinos. Esta definição é arbitrária.

Anexo E
(informativo)
Exemplo de validação do comportamento da falha e meios de diagnóstico
E.1 Generalidades
Este exemplo considera a validação do PL de uma função de segurança (SF 1), com exceção
dos requisitos relativos aos seguintes aspectos do PL:
—— valores de MTTFd;
—— falhas de causa comum (CCF);
—— análise do software;
—— falhas sistemáticas.
O exemplo não abrange a validação
—— da especificação dos requisitos de segurança (ver Seção 7),
—— das características das funções de segurança (ver Seção 8),
—— dos requisitos ambientais (ver Seção 10),

—— dos requisitos de manutenção (ver Seção 11),
—— dos requisitos de documentação (ver Seção 12).
Três funções de segurança, SF 1, SF 2 e SF 3, são consideradas no exemplo.
SF 1 é uma função de segurança de parada de quatro atuadores individuais da máquina iniciados

pela abertura de uma proteção de travamento, e isto é tratado como uma função de segurança
separada para cada atuador (SF 1.0, SF 1.1, SF 1.2 e SF 1.3). A fim de reduzir a extensão do exemplo,
a validação foi limitada a SF 1.0 e SF 1.3.
O Anexo A provê orientações sobre como examinar o comportamento da falha e a cobertura de
diagnóstico de um determinado circuito. Os métodos utilizados para a determinação da cobertura
de diagnóstico são baseados na análise dos modos de falha e seus efeitos (FMEA), levando em
consideração a ISO 13849-1:2006, Anexo E.
NOTA Este exemplo não abrange o processo de validação completo da SRP/CS. Particularmente,
a validação necessária do software do PLC não foi considerada. Para a validação do software relacionado
à segurança, ver 9.5.
E.2 Descrição da máquina

O exemplo é baseado em uma máquina de montagem automática, com carregamento e descar-
regamento manual das peças de trabalho. A máquina destina-se a desempenhar duas operações
sequenciais: inserção da esfera e fixação do parafuso em cada peça de trabalho.

Há quatro estações na máquina: estações de carregamento e descarregamento e duas estações de

trabalho (ver Figura E.1). A primeira estação de trabalho é o estágio de inserção da esfera e a segunda
refere-se ao estágio de fixação do parafuso, ambos por meio de ação pneumática.
Uma mesa giratória acionada eletricamente movimenta as peças de trabalho em torno de cada uma
das quatro estações. As peças de trabalho são colocadas manualmente e removidas dos porta-peças
de trabalho montados sobre a mesa giratória. Um motor elétrico controlado por inversor aciona um
sistema de engrenagem planetária e correia de transmissão que movimenta a mesa giratória.
Na primeira estação de trabalho, uma esfera é introduzida na peça de trabalho por um cilindro
pneumático montado horizontalmente, o qual é controlado por uma válvula de controle direcional
monoestável com função 5/2 vias (1V1, ver Figura E.3). A posição básica (válvula desenergizada)
deste cilindro é a posição recuada. A profundidade da esfera inserida é checada monitorando-se um
interruptor limitador na posição totalmente avançada do cilindro, e a pressão de compressão aplicada
é monitorada por um sensor de pressão na linha de suprimento de ar, para o avanço do cilindro.
A estação de trabalho de fixação do parafuso é constituída de um cilindro pneumático, sem haste,

montado verticalmente, conduzindo uma unidade de chave de fenda giratória acionada pneumati-
camente. A unidade de chave de fenda é levantada e abaixada pelo cilindro pneumático, o qual é
controlado por uma válvula de controle direcional monoestável com função 5/2 (2V1). A posição básica
(válvula desenergizada) deste cilindro está na posição superior, com a unidade de chave de fenda
levantada. Além disso, uma válvula piloto de verificação de controle (2V2) é provida na conexão infe-
rior do cilindro pneumático.
O movimento giratório da unidade de chave de fenda é provido por um motor pneumático, controlado
por uma válvula de controle direcional monoestável com função 5/2 (3V1). A posição básica (válvula
desenergizada) deste motor pneumático é o estado OFF (desligado). O torque provido pela unidade
da chave de fenda é monitorado por um sensor de pressão na sua linha de suprimento de ar.
Um ciclo único da máquina no modo automático de operação é iniciado acionando-se um botão de

partida. No início de um ciclo, a mesa giratória detém três peças de trabalho: (i) uma peça de trabalho
recentemente carregada, (ii) uma peça de trabalho parcialmente acabada (esfera inserida) e (iii) uma
peça de trabalho acabada (esfera inserida e parafuso fixado). Cada ciclo da máquina consiste no
movimento da mesa giratória em 90°, seguido por operações simultâneas de inserção da esfera e
fixação do parafuso sobre as peças de trabalho recentemente carregadas e parcialmente acabadas.
Em seguida, a máquina atinge uma parada operacional, e então o operador abre a proteção intertravada
para descarregar a peça de trabalho acabada e carregar uma nova peça de trabalho. A conclusão
de uma peça de trabalho requer três ciclos da máquina para girar a peça de trabalho em 270° a partir
da estação de carregamento até a estação de descarregamento.
Os seguintes modos de operação são providos:
—— modo automático com carregamento e descarregamento manual (movimento completo da

máquina com a proteção intertravada fechada);
—— modo de ajuste da mesa giratória (movimento da mesa giratória com dispositivo de comando
sem retenção e proteção intertravada na posição aberta).
A máquina apresenta perigos mecânicos resultantes dos movimentos de seus atuadores pneumáticos
(nas estações de trabalho de inserção da esfera e fixação do parafuso) e a mesa giratória acionada
eletricamente. Por esta razão, ela é protegida por meio de proteções mecânicas fixas, com exceção
de uma proteção intertravada que provê o acesso às estações de carregamento e descarregamento
(a zona de perigo).

6
3 4 5
8
2
9
1
10
11
12
13
14
Legenda
1 estação de carregamento 8 peça de trabalho
2 estação de trabalho de inserção da esfera 9 mesa giratória

3 cilindro de inserção da esfera (A1) 10 sensor de pulsos (G2)
4 estação de trabalho de fixação do parafuso 11 correia de transmissão
5 estação de descarregamento 12 engrenagem planetária
6 unidade de chave de fenda (A3) 13 motor elétrico (M1)
7 cilindro de inserção do parafuso (acionamento vertical) (A2) 14 sensor de rotação (G1)
Figura E.1 – Máquina utilizada no exemplo: máquina de montagem automática
E.3 Especificação dos requisitos da função de segurança

No modo automático de operação, proteção contra movimentos perigosos é provida pela seguinte
função de segurança:
SF 1 parada segura iniciada pela abertura da proteção de travamento e prevenção contra

partida inesperada sempre que a proteção de travamento estiver aberta.
Para os efeitos do exemplo, podem ser consideradas funções de segurança separadas para cada
um dos quatro atuadores individuais da máquina:
SF 1.0 motor elétrico da mesa giratória (M1);

SF 1.1 cilindro de inserção da esfera (A1);
SF 1.2 cilindro de inserção do parafuso (A2);
SF 1.3 motor pneumático da unidade de chave de fenda (A3).
NOTA 1 Para o exemplo, a parada segura e a proteção contra partida inesperada são consideradas uma
função de segurança única, porque elas são implementadas na mesma combinação de SRP/CS.
Durante o modo de ajuste da mesa giratória com a proteção intertravada aberta (atuadores pneu-
máticos da máquina desativados por SF 1.1, SF 1.2 e SF 1.3), a condição segura do movimento da
mesa giratória é atingida por uma combinação das seguintes funções de segurança:
SF 2: velocidade limitada de segurança;
SF 3: modo de comando sem retenção.
Tabela E.1 – Funções de segurança ativas de acordo com o modo de operação
Função de segurança
Modo de operação
SF 1.0 SF 1.1 SF 1.2 SF 1.3 SF 2 SF 3
Modo automático (proteção intertravada fechada) X X X X
Modo de ajuste (proteção intertravada aberta) X X X X X
X: função de segurança ativa
Após realizar uma apreciação de risco, os seguintes valores de PLr foram designados às funções
de segurança:
PLr d para SF 1 (parada segura e prevenção contra partida inesperada);
PLr d para SF 2 (velocidade limitada de segurança);
PLr c para SF 3 (modo de operação manual contínua).
NOTA 2 A seleção de PLr c para SF 3 leva em consideração a sua utilização em combinação com SF 2,
para o qual o PL d é atingido.
Quando SF 1 é requerido, ele inicia as seguintes ações:
—— a mesa giratória realiza uma parada controlada de acordo com a Categoria de Parada 2 da
IEC 60204-1;
—— o cilindro pneumático da estação de trabalho de inserção da esfera, montado horizontalmente (A1)

e o cilindro pneumático da estação de trabalho de fixação do parafuso, montado verticalmente (A2),
retornam e/ou permanecem nas suas posições básicas (ou seja, recuada e superior, respectivamente);
—— a unidade de chave de fenda (A3) para imediatamente.
NOTA 3 Para este exemplo, a apreciação de risco determinou que a perda de desaceleração controlada
da mesa giratória como resultado de um mau funcionamento do inversor era aceitável, e o movimento dos
cilindros pneumáticos A1 e A2 para as suas posições básicas não perigosas.

A distância mínima entre a proteção intertravada e as partes móveis da máquina foi determinada de
acordo com a ISO 13855, com base no desempenho de parada da máquina.
A máquina é provida com outras funções de segurança, como uma parada de emergência,
intertravamento da partida, reinicialização e seleção dos modos de operação, porém estas não são
consideradas no exemplo e, consequentemente, os componentes relevantes não são mostrados nos
diagramas de circuito das Figuras E.2 e E.3.
2S2
1S3 2S1 Início Parada
Aberto
S2 S3 K1 T1
1S0 S4 1S2 1S1 3S1
B1 Comando sem retenção T1b
Realimentação
Bloqueio de pulsos
Inversor
Fechado B2 Parada T1a
Dispositivo K1 Início
de segurança Valor ajustado
Entrada Entrada Valor real
PLC B PLC A
Saída Saída
M1 3M
K1 1V0 1V1 2V1 3V1

G1
n
Encoder
Cos/Sen
G2
Sensor
Mostrado na posição acionada de pulsos
Figura E.2 – Máquina de montagem automática – Diagrama de circuito elétrico

1S2 1S3
2S2
G
G G
A1 A2 A3
1S1
G
2S1
P 3S1
2V2
P
1S0 1V1 2V1 3V1
1V0
Figura E.3 – Máquina de montagem automática – Diagrama de circuito pneumático

E.4 Projeto da SRP/CS
E.4.1 Generalidades
O sistema de comando para o exemplo foi implementado utilizando uma combinação de tecnologias
eletromecânicas, eletrônicas e pneumáticas.
A fim de atingir o PLr para SF 1 e SF 2, a Categoria 3 foi selecionada. Uma estrutura redundante
e monitorada diversificada, portanto, foi adotada para todas as partes elétricas e pneumáticas asso-
ciadas a estas funções de segurança (ver Figuras E.2 e E.3).
Para atingir o PLr para SF 3, uma combinação da Categoria 2 e Categoria 3 foi selecionada.
Os sinais dos sensores e dos acionadores do controle (interruptores de posição da proteção intertra-
vada, botão de comando sem retenção) foram duplicados e conectados em dois PLC diversos (tipos
diferentes de hardware para PLC A e PLC B), que os processam utilizando blocos de função de software
específico (SRASW). Cada PLC também controla o inversor da mesa giratória e os atuadores pneu-
máticos por meio de linhas de comando que são independentes das linhas de comando do outro PLC.
Para fins de diagnóstico (monitoramento cruzado) e sincronização, os dois PLC comunicam-se entre
si por meio de um barramento de dados padrão.
O inversor, em particular neste exemplo, tem uma funcionalidade adicional (relé interno) para desa-
tivar seus sinais de controle dos semicondutores de potencia (bloqueio de pulsos), o que pode ser
considerado uma segunda forma de desligamento [Desligamento seguro de Torque (STO) de acordo
com a IEC 61800-5-2 ].
Esta característica de bloqueio de pulsos não vai trazer o motor rotativo a uma parada rápida, porque a
desativação do controle do inversor do motor provoca uma desaceleração descontrolada. Entretanto,

neste exemplo, o bloqueio de pulsos ainda faz com que a mesa giratória pare antes que um operador
possa acessar a zona de perigo, e assim a desaceleração controlada até uma paralisação que
normalmente precede o bloqueio de pulsos não é uma característica requerida de SF 1.0.
No circuito pneumático, o suprimento de ar em cada um dos atuadores da máquina (A1, A2 e A3), é

controlado por uma válvula de controle direcional monoestável com função 5/2 (1V1, 2V1 e 3V1) do
tipo solenoide, com comando-piloto. O ar de controle para todas as três válvulas é ligado por uma
válvula adicional (1V0) do mesmo tipo, a qual provê um canal redundante de comando. A condição
desta válvula de liberação é monitorada por um interruptor de pressão (1S0). O suprimento de ar para
A2 é retirado do suprimento de ar principal, enquanto que para A1 e A3 é retirado do suprimento de
ar de controle (1V0).
Desenergização do acionamento da câmara do cilindro A1 durante a invasão da área de trabalho é

também provida por dois canais:
—— escape do ar por meio de 1V1 por comutação na posição normal, e

—— desenergização por meio de 1V0 por comutação na posição normal.
O condição de 1V1 é monitorado por um interruptor de fim de curso (1S2).
Uma válvula de verificação de controle-piloto (2V2), que também retira seu ar de controle de 1V0,
é provida na conexão inferior de A2 (cilindro pneumático sem haste montado verticalmente). Isto provê
um canal redundante de parada do movimento em direção à posição inferior e retenção na sua posição
básica (superior).

A condição de 2V1 é monitorada por um interruptor de fim de curso (2S2).
O suprimento de ar para o motor pneumático A3 (unidade de chave de fenda) é retirado do suprimento

de ar de controle (1V0) em vez do suprimento de ar principal. Este uso de 1V0 em adição a 3V1 para
desligar o suprimento de ar de A3, provê um canal redundante de controle, o que assegura que A3
não continuará a girar se 3V1 falhar na posição energizada. A condição de 3V1 é monitorada por um
sensor de pressão (3S1) que provê um sinal de saída analógico.
De acordo com a Categoria 3, os princípios básicos de segurança e princípios de segurança

devidamente comprovados são levados em consideração, e os requisitos da Categoria B também
são atendidos. Em particular, os requisitos das IEC 60204-1 e ABNT NBR ISO 4414 foram aplicados.
Os atributos de componentes que implementam a SRP/CS são explicados em detalhes na Tabela E.2.
Tabela E.2 – Atributos de componentes de implementação da SRP/CS

(lista de partes das Figuras E.2 e E.3) (continua)
Princípio de
Rótulo do segurança Possível Exclusão
Função Elemento Atributo
componente devidamente da falha
comprovado a
Falha de abertura dos

IEC 60947-5-1:2003, contatos do interruptor,
incluindo ação de quando operado.
Monitoramento da
Interruptor de ruptura positiva, de Acionamento de
B1 posição da proteção Falha elétrica pode
intertravamento acordo com a modo positivo
intertravada ser excluída porque B1
IEC 60947-5-1:2003,
Anexo K possui modo positivo
de acionamento.
Monitoramento da
Interruptor de
B2 posição da proteção IEC 60947-5-1 Nenhum. Nenhuma.
intertravamento
intertravada
Executa movimento
Botão pulsante
de operação manual
S4 normalmente – Nenhum. Nenhuma.
contínua em modo
aberto
de ajuste
Processamento de
PLC A sinais relativos à Controlador lógico IEC 61131-1 e
Nenhum. Nenhuma.
PLC B segurança e não programável (PLC) IEC 61131-2
relativos à segurança
Executa manobra IEC 60947-5-1, incluindo

de parada (STOP) elementos de contato
Contatos
redundante à parada mecanicamente guiados
K1 Contator mecanicamente Nenhuma.
do inversor em caso de acordo com a
guiados
de falha no comando IEC 60947-5-1:2003,
do PLC Anexo L e EN 50205
O inversor possui Relé de bloqueio

Aciona o motor
linha de comando de com contatos
T1 elétrico da mesa Inversor Nenhuma.
desligamento adicional mecanicamente
giratória
(bloqueio de pulsos – STO) guiados
Mede a velocidade do
Sensor de rotação
G1 motor elétrico de – Nenhum. Nenhuma.
(encoder cos/sen)
mesa giratória

Tabela E.2 (continuação)
Princípio de
comprovado a
Monitora o
G2 movimento da mesa Sensor de pulsos — Nenhum. Nenhuma.
giratória
Sobredimensio-
namento/fator
de segurança
Acúmulo de pressão
Controla o suprimento da Tabela B.2,
Válvula-solenoide de na via 4 com a via 5
de ar para as válvulas posição segura
retorno por mola, função esgotada em posição
de controle direcional Válvula-solenoide (uso de mola
1V0 5/2, suprimento de ar normal, falha da vedação
1V1, 2V1, 3V1, e para de controle direcional devidamente
interno, válvula de carretel/ por extrusão, movimento
a válvula de retenção comprovada),
êmbolo com sobreposição do carretel da válvula
pilotada 2V2 sobreposição
sem energia de operação.
positiva suficiente
em válvulas de
carretel/êmbolo
Controla o cilindro de
inserção da esfera A1
1V1 Controla o cilindro de
2V1 inserção do parafuso A2 Ver 1V0. Ver 1V0. Ver 1V0. Ver 1V0.
3V1 Controla a unidade de
chave de fenda (motor
pneumático) A3
Dispositivo antiqueda
para cilindro de Tabela B.2.
Válvula pilotada, sem
inserção do parafuso Válvula de Válvula fechada Abertura sem ar

2V2 retorno, do tipo poppet
montado verticalmente retenção pilotada por pressão de piloto
atuada por mola
(A2) relativo à unidade carga
de chave de fenda
Os princípios
básicos de
segurança não são
Monitora aa posição Ponto de comutação
1S0 Pressostato requeridos para Nenhuma.
da válvula 1V0 fixo
monitoramento
(sem função de
segurança).
Monitora a pressão
aplicada durante o Os princípios
processo de inserção básicos de
1S1 da esfera segurança não são
Sensor de Sinal de saída
requeridos para Nenhuma.
3S1 Monitora o torque pressão analógico
monitoramento
(pressão) aplicado (sem função de
durante o processo segurança).
de aparafusamento
Interruptores limitadores Os princípios

para o cilindro de básicos de
1S2, 1S3 inserção da esfera A1 Sensor de segurança não são
Princípio de medição
requeridos para Nenhuma.
2S1, 2S2 Interruptores limitadores proximidade magnética
monitoramento
para o cilindro de inserção (sem função de
do parafuso A2 segurança).

Tabela E.2 (conclusão)
Princípio de
comprovado a
Cilindro de inserção Cilindro Não consta no escopo deste documento de acordo com a
A1
da esfera pneumático ISO 13849-1:2006, 3.1.1.
Cilindro
Cilindro de inserção pneumático sem Não consta no escopo deste documento de acordo com a
A2
do parafuso haste com guia ISO 13849-1:2006, 3.1.1.
externa
Unidade de chave de Não consta no escopo deste documento de acordo com a

A3 Motor pneumático
fenda ISO 13849-1:2006, 3.1.1.
a Os princípios básicos de segurança também foram levados em consideração no projeto de componentes (ver Tabela D.1 para
componentes elétricos e Tabela B.1 para componentes pneumáticos).
E.4.2 Função de segurança SF 1 – Parada relativa à segurança iniciada pela abertura

da proteção intertravada e prevenção contra partida inesperada sempre que a proteção
intertravada estiver aberta
De acordo com a especificação da máquina, a abertura da proteção intertravada tem que iniciar a
parada de quatro atuadores da máquina: (i) a mesa giratória (acionada pelo motor controlado pelo
inversor), (ii) o cilindro de inserção da esfera, (iii) o cilindro de inserção do parafuso e (iv) a unidade
de chave de fenda. Esta função pode, portanto, ser representada conforme mostrado na Figura E.4.
Inversor
Válvulas de controle direcional para

o cilindro de inserção da esfera
Monitoramento da posição
Lógica eletrônica
da proteção intertravada
o cilindro de inserção do parafuso

unidade de chave de fenda
Figura E.4 – Blocos de função – SF 1.0, SF 1.1, SF 1.2 e SF 1.3

Quando a proteção de travamento é aberta, o PLC A inicia uma parada da mesa giratória enviando
um sinal de parada ao inversor (T1a). O PLC B monitora a desaceleração resultante da mesa giratória
por meio de G2, e quando ele detecta que este atingiu uma parada total, ele desenergiza K1 para
iniciar o bloqueio de pulsos no inversor (T1b). Se a mesa giratória não parar devido a um falha em T1a
ou PLC A, então PLC B detectará este falha e ainda enviará seu próprio sinal de parada ao inversor
(T1b). Este é o segundo canal independente para a função de parada. A parte da função de segurança
relativa à prevenção contra partida inesperada é realizada da mesma maneira.
A abertura da proteção intertravada também faz com que o PLC A inicie uma primeira parada
do cilindro de inserção da esfera, do cilindro de inserção do parafuso e da unidade de chave de
fenda desenergizando 1V1, 2V1 e 3V1. O PLC B inicia uma segunda parada destes três atuadores
desenergizando 1V0.

Se a mesa giratória já estiver parada, porém se as estações de trabalho de inserção da esfera e de

fixação do parafuso estiverem em operação quando a proteção intertravada for aberta, então PLC A
imediatamente desenergizará 1V1, 2V1 e 3V1, e o PLC B imediatamente desenergizará K1. PLC B
também desenergizará 1V0 após um retardo, para permitir que o cilindro de inserção da esfera (A1)
complete seu curso para a posição retraída.
Enquanto a proteção intertravada estiver na posição aberta, é necessário que seja assegurado que
uma falha no sinal de comando de habilitação do PLC A não leve a uma partida inesperada. Isto é
atingido pela ação de PLC B desenergizando K1, assim que o motor da mesa giratória tiver atingido
a parada total, e também desenergizando 1V0 para evitar uma ativação do cilindro de inserção da
esfera ou do cilindro de inserção do parafuso.
A estimativa do PL para a SRP/CS que desempenha SF 1 foi realizada conforme descrito a seguir:
a) Identificação das partes relacionadas à segurança
As partes relacionadas à segurança da função de parada SF 1.0 e sua divisão em canais podem
ser ilustradas pelo diagrama de blocos relacionado à segurança, mostrado na Figura E.5.
B1 PLC A T1a
B2 PLC B K1 T1b
Figura E.5 – Diagrama de blocos relacionado à segurança – SF 1.0

Similarmente, as partes relacionadas à segurança das funções de parada SF 1.1, SF 1.2 e SF 1.3
e sua divisão em canais podem ser ilustradas pelo diagrama de blocos relacionado à segurança,
mostrado na Figura E.6.
B1 PLC A 1V1* / 2V1** / 3V1***
B2 PLC B 1V0* / (1V0*+2V2)** / 1V0***
* SF 1.1 ** SF 1.2 *** SF 1.3
Figura E.6 – Diagrama de blocos relacionado à segurança – SF 1.1, SF 1.2 e SF 1.3

As duas partes dos diagramas nas Figuras E.5 e E.6 podem cada uma ser mapeadas segundo a
arquitetura designada para a Categoria 3, de modo que os diagramas possam ser simplificados
como as duas SRP/CS (entrada, lógica/saída), mostradas na Figura E.7.
SRP/CSI SRP/CSL/O
Figura E.7 – Combinação de SRP/CS desempenhando funções de segurança

Para cada SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
b) Estimativa do MTTFD de cada canal
Para estimativa de valores de MTTFD do componente, dados de confiabilidade providos pelos

fabricantes foram utilizados.

Para a estimativa do MTTFd de um canal, o método de contagem de partes foi aplicado

(ver ISO 13849-1:2006, Anexo D). A estrutura redundante diversificada leva a valores de MTTFd
diferentes para cada canal, de modo que a aplicação da equação de simetrização provê um resultado
médio de 25 anos (média) para o MTTFD de cada canal de ambas as SRP/CSI e SRP/CSL/O
de SF 1.0, SF1.1, SF 1.2 e SF 1.3 (ver ISO 13849-1:2006, D.2).
c) Estimativa da DCavg
O DCavg foi calculado para ambas SRP/CS a partir do DC do ensaio interno, e medidas de moni-
toramento foram aplicadas aos diferentes componentes.
Uma verificação de plausibilidade dos interruptores da proteção intertravada B1 e B2 pelo PLC A

e PLC B, de acordo com a ISO 13849-1:2006, Anexo E, resulta em uma DCavg alta (99 %) para
a SRP/CSI de SF 1.0, SF 1.1, SF 1.2 e SF 1.3.
As seguintes medidas de diagnóstico são providas na SRP/CSL/O de SF 1.0, SF 1.1, SF 1.2 e SF 1.3:
—— monitoramento do contator, K1, pelo PLC A por meio da posição dos contatos K1;
—— monitoramento cruzado entre PLC A e PLC B;
—— monitoramento indireto de T1a e PLC A pelo PLC B por meio de G2;
—— monitoramento indireto da própria placa de saída do PLC A por meio de 1S2, 2S2, 3S1 e G1;
—— monitoramento da sequência do programa por um dispositivo temporizador interno em PLC A

e em PLC B;
—— monitoramento indireto de T1a pelo PLC A por meio de G1;

—— monitoramento de T1b pelo PLC A por meio da posição de contato do relé de bloqueio de pulsos;
—— monitoramento indireto do PLC B pelo PLC A por meio da posição dos contatos K1;
—— monitoramento indireto da própria placa de saída do PLC B por meio de 1S0;
—— monitoramento indireto de 1V1 pelo PLC A por meio de 1S2;
—— monitoramento indireto de 1V0 pelo PLC B por meio de 1S0;
—— detecção de falha de PLC A, T1a e 1V1, 2V1 e 3V1 por meio da observação do processo.
De acordo com a ISO 13849-1:2006, Anexo E, estas medidas de diagnóstico proveem um

resultado de DCavg médio (90 %) para a SRP/CSL/O de SF 1.0, SF 1.1, SF 1.2 e SF 1.3.
d) Estimativa de medidas contra falha de causa comum (CCF)
Estima-se que as medidas adequadas contra falha de causa comum (separação, diversidade,
proteção contra sobrepressão, ambiental) tenham sido tomadas para ambas SRP/CS de SF 1.0,
SF 1.1, SF 1.2 e SF 1.3, que, de acordo com a ISO 13849-1:2006, Anexo F, resulta em uma pon-
tuação de 75 pontos para cada SRP/CS.

e) Determinação do PL para cada SRP/CS
O PL para cada SRP/CS é determinado conforme descrito a seguir:
—— SRP/CSI de SF 1.0, SF 1.1, SF 1.2 e SF 1.3:
—— Categoria 3;
—— MTTFd médio de cada canal;
—— DCavg alta;
—— 75 pontos para medições contra CCF.
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, porém com DCavg restrito a
médio (Categoria 3), isto provê um resultado de PL d.
—— SRP/CSL/O de SF 1.0, SF 1.1, SF 1.2 e SF 1.3:
—— Categoria 3;
—— DCavg médio;
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL d.
f) Determinação do PL para a combinação de SRP/CS desempenhando SF 1.0, SF 1.1, SF 1.2

e SF 1.3
De acordo com a ISO 13849-1:2006, 6.3, e levando em consideração que a SRP/CS individual
para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 tem os mesmos valores de PL, o PL da combinação total
de SRP/CS para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é determinado conforme descrito a seguir:
—— PLbaixo = d
—— Nbaixo = 2
O PL para a combinação de SRP/CS para cada SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é, portanto, PL d.
NOTA O cálculo do PL resultante pela adição dos valores de PFH de todos os subsistemas levará
a um resultado mais preciso.
g) Falhas sistemáticas
Estima-se que as medidas adequadas contra falha sistemática tenham sido aplicadas à SRP/CS
para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 de acordo com a ISO 13849-1:2006, Anexo G.

E.4.3 Função de segurança SF 2 – Velocidade limitada de forma segura (SLS)
Quando a máquina está no modo de ajuste e a proteção intertravada está na posição aberta, a mesa
giratória somente pode movimentar-se a uma velocidade limitada de forma segura (SLS), a qual é
medida por G1 e G2. O PLC A monitora o sinal de G1 e PLC B monitora o sinal de G2, com ambos
CLP desempenhando as comparações de velocidade desejada/real de forma independente.
Se a velocidade não for reduzida com êxito ao valor limitado pelo inversor T1a, então o PLC A pode
reagir provendo um sinal de parada ao inversor (T1a), e PLC B pode reagir ativando o bloqueio
de pulsos temporizado no inversor (T1b) por meio de K1.
As partes relacionadas à segurança da função de segurança SF 2 e sua divisão em canais podem

G1 PLC A T1a
G2 PLC B K1 T1b
Figura E.8 – Diagrama de blocos relacionado à segurança – SF 2

Para a SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
O diagrama pode ser mapeado conforme a arquitetura designada para a Categoria 3, de modo
que a função de segurança seja desempenhada por uma SRP/CS, como mostrado na Figura E.9.
SRP/CSI/L/O
Figura E.9 – SRP/CS desempenhando a função de segurança SF 2

Para a SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
b) Estimativa do MTTFd de cada canal
Para estimativa de valores do componente de MTTFd, dados de confiabilidade providos pelos

fabricantes foram utilizados.
Para a estimativa do MTTFd de um canal, o método de contagem de partes foi aplicado

(ver ISO 13849-1:2006, Anexo D). A estrutura redundante diversificada leva a valores de MTTFd
diferentes para cada canal, de modo que a aplicação da equação de simetrização provê um
resultado médio de MTTFd médio (mais que 25 anos) para cada canal da SRP/CS.
c) Estimativa do DCavg
O DCavg foi calculado para a SRP/CS a partir do DC do teste interno, e medidas de monitoramento
aplicadas aos diferentes componentes.
As seguintes medidas de diagnóstico são providas:
—— monitoramento do contator, K1, pelo PLC A por meio da posição dos contatos de K1;
—— monitoramento cruzado entre PLC A e PLC B;

—— monitoramento indireto de G1, T1a e PLC A pelo PLC B por meio de G2;
—— monitoramento indireto de T1b pelo PLC A por meio da posição de contato do relé de bloqueio
de pulsos;
—— monitoramento da sequência do programa por um dispositivo temporizador interno em PLC

A e em PLC B;
—— monitoramento indireto de G2 e PLC B pelo PLC A por meio da posição dos contatos de K1;
—— monitoramento de G1 pelo PLC A;
—— monitoramento de G1 e T1a (plausabilidade de informações de sen/cos);
—— monitoramento de G2 pelo PLC B (após pressionar S4, PLC B verifica quanto à existência
de pulsos em G2; se não houver nenhum, o PLC B desenergiza T1b).
De acordo com a ISO 13849-1:2006, Anexo E, estas medidas de diagnóstico proveem um resul-
tado de DCavg médio (90 %) para a SRP/CS.
proteção contra sobrepressão, ambiental) tenham sido tomadas para a SRP/CS, que, de acordo
com a ISO 13849-1:2006, Anexo F, resultam em uma pontuação de 75 pontos para a SRP/CS.
e) Determinação do PL para a SRP/CS
O PL para a SRP/CS é determinado conforme descrito a seguir:

—— Categoria 3;
Aplicando estes valores segundo a ISO 13849-1:2006, Figura 5, porém com DCavg restrito à
médio (Categoria 3), obtém-se PL d como resultado.
f) Falhas sistemáticas
Estima-se que as medidas adequadas contra falhas sistemáticas tenham sido aplicadas à SRP/CS
de acordo com a ISO 13849-1:2006, Anexo G.
E.4.4 Função de segurança SF 3 – Modo de operação manual contínua
O movimento da mesa giratória (a uma velocidade limitada segura) com a proteção intertravada
aberta é iniciado e permanece enquanto o botão de pressão S4 é acionado, e cessa quando o botão
de pressão é liberado. Quando o botão de pressão está na posição liberada, a partida inesperada
tem que ser evitada. O sinal do botão de pressão S4 é processado por ambos os CLP.

As partes relacionadas à segurança da função de segurança SF 3 e sua divisão em canais podem

PLC A T1a
S4
PLC B K1 T1b
Figura E.10 – Diagrama de blocos relacionado à segurança – SF 3

Cada uma das partes do diagrama podem ser mapeadas conforme a arquitetura designada para
a Categoria 1 e Categoria 3, de modo que o diagrama possa ser simplificado como as duas
SRP/CS (entrada, lógica/saída) mostradas na Figura E.11.
SRP/CSI SRP/CSL/O
Figura E.11 – Combinação de SRP/CS desempenhando a função de segurança SF 3

Para cada SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
b) Estimativa do MTTFd de cada canal
O MTTFd para a SRP/CSI (botão de pressão de operação manual contínua) é calculado utilizando
o valor de B10d do fabricante para prover um resultado de MTTFd alto.
A estimativa do MTTFd de SRP/CSL/O provê, como em SRP/CSL/O de SF 1.0, um resultado médio

de 25 anos (média) para o MTTFd (mais que 25 anos) de cada canal.
c) Estimativa do DCavg
O DCavg foi calculado para ambas SRP/CS a partir da DC do teste interno, e medidas de monito-
ramento foram executadas nos diferentes componentes.
O monitoramento do tempo do botão de pressão de operação manual contínua S4 (alternância

de baixa-alta em uma janela temporal) pelo PLC A e PLC B, de acordo com a ISO 13849-1:2006,
Anexo E, resulta em um DCavg baixo (75 %) para a SRP/CSI.
As medidas de monitoramento conforme SRP/CSL/O de SF 1.0 são providas na SRP/CSL/O
de SF 3, resultando em um DCavg médio (90 %) para a SRP/CSL/O.
proteção contra sobretensão, ambiental) tenham sido tomadas para cada SRP/CS, que, de acordo
com a ISO 13849-1:2006, Anexo F, resultam em uma pontuação de 75 pontos para ambas SRP/CS.
e) Determinação do PL para cada SRP/CS
O PL para cada SRP/CS é determinado conforme descrito a seguir:
—— SRP/CSI:
—— Categoria 1;
—— MTTFD alto do canal.

Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL c.
—— SRP/CSL/O:
—— Categoria 3;
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL d.
f) Determinação do PL da combinação de SRP/CS desempenhando SF 3
De acordo com a ISO 13849-1:2006, 6.3, e levando em consideração ambas SRP/CS de SF 3,

o PL da combinação total de SRP/CS é determinado conforme descrito a seguir:
—— PLbaixo = c
—— Nbaixo = 1
O PL para a combinação de SRP/CS para cada SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é, portanto, PL c.
g) Falhas sistemáticas
Estima-se que as medidas adequadas contra falhas sistemáticas tenham sido tomadas para
ambas SRP/CS de SF 3 de acordo com a ISO 13849-1:2006, Anexo G.
E.5 Validação
E.5.1 Generalidades
Conforme declarado em E.1, o exemplo foi reduzido para a validação do comportamento da falha e os
meios de diagnóstico das funções de segurança SF 1.0 e SF 1.3.
De acordo com 9.2 e 9.3, a validação do comportamento da falha e os meios de diagnóstico

são realizados por uma revisão da documentação do projeto, uma análise de falhas e ensaios de intro-
dução de falhas complementares.
As seguintes etapas são realizadas.
a) Identificar as medidas de diagnóstico e as unidades (componentes, blocos) que elas ensaiam/monitoram.
b) Verificar o valor de DC designado a cada medição de diagnóstico (DC) para uma unidade específica.
c) Analisar o comportamento da falha do sistema e estabelecer os casos de ensaio.
d) Checar quanto ao cálculo correto da DCavg para cada SRP/CS.
e) Realizar ensaios requeridos para confirmar os valores de DC.

E.5.2 Validação do comportamento da falha e DCavg
Uma verificação da documentação do projeto (diagrama de blocos relacionado à segurança e lista

de medidas de diagnóstico para a SRP/CS) confirma que
—— blocos (componentes) relativos a cada SRP/CS e a combinação de SRP/CS, nos diagramas de

bloco relativos à segurança, e
—— medidas de diagnóstico e unidades monitoradas
adotados no projeto lógico estão corretos, para todas as funções de segurança.
A análise FMEA é utilizada para checar os valores de DC designados a cada unidade monitorada
de cada SRP/CS, e também o comportamento da falha do sistema.
Como a função de segurança SF 1 tem que atender tanto à parada de segurança e subsequente
prevenção contra partida inesperada, a análise de falhas para cada componente associado é consi-
derada em uma linha separada para cada um destes requisitos.
Para a análise, as listas de falhas adequadas providas nos Anexos A, B, C e D foram utilizadas.
A análise FMEA quanto às funções de segurança SF 1.0 e SF 1.3, incluindo casos de ensaio, é agora
considerada.
E.5.3 FMEA e DCavg para SF 1.0 e SF 1.3
E.5.3.1 SF 1.0
A fim de facilitar a análise de SF 1.0, seu diagrama de blocos relacionado à segurança é reproduzido
na Figura E.12.
B1 PLC A T1a
B2 PLC B K1 T1b
SRP/CSI SRP/CSL/O
Figura E.12 – Diagrama de blocos da função de segurança – SF 1.0

Ver Tabelas E.3 e E.4.

Tabela E.3 – FMEA e estimativa da DC para componentes da SRP/CSI de SF 1.0
Componente/ Ensaios de
Falha potencial Detecção da falha Efeito/reação
unidade confirmação
A falha é reconhecida de
forma independente por
O motor elétrico M1
PLC A e PLC B por meio Aplicar um nível lógico
O contato não abre é desligado por meio
da alteração de sinal em alto “1” constante na
quando a proteção de T1a pelo PLC A e
F1 B2 quando a função de entrada relevante de
Interruptor de está aberta (falhas por meio de K1 e T1b
a segurança é requerida ambos os CLP antes
intertravamento mecânicas). (abertura da proteção de
pelo PLC B e a partida
da proteção ser aberta.
B1 inesperada é impedida.
segurança, verificação de
plausibilidade).
Nenhuma falha perigosa

F2 enquanto a proteção está – – –
aberta (exclusão de falha).
Uma verificação de plausibilidade de B1 e B2 pelos PLC A e PLC B provê um DC de 99 % para B1 (ver ISO 13849-1:2006,
Tabela E.1).
A falha é reconhecida de
forma independente por O motor elétrico M1
Aplicar um nível lógico
O contato não abre PLC A e PLC B por meio é desligado por meio
alto “1” constante na
quando a proteção está da alteração de sinal em B1 de T1a pelo PLC A e
F3 entrada relevante de
aberta (falhas elétricas quando a função de segurança por meio de K1 e T1b
ambos os CLP antes
ou mecânicas). é requerida (abertura da pelo PLC B e partida
Interruptor de da proteção ser aberta.
proteção de segurança, inesperada é impedida.
intertravamento verificação de plausibilidade).
B2
A falha é reconhecida de O motor elétrico M1
Fechamento Aplicar um nível lógico
forma independente e é desligado por meio
espontâneo do contato alto “1” constante na
imediatamente pelos PLC A de T1a pelo PLC A e
F4 enquanto a proteção entrada relevante de
e PLC B como um resultado por meio de K1 e T1b

está aberta (falhas ambos os CLP antes
de não haver alteração de pelo PLC B e a partida
mecânicas). da proteção ser aberta.
sinal correspondente em B1. inesperada é impedida.
Uma verificação de plausibilidade de B1 e B2 pelos PLC A e PLC B provê um DC de 99 % para B2

(ver ISO 13849-1:2006, Tabela E.1).
NOTA Os condutores não estão incluídos na análise de falhas, porque é considerado que eles somente falham devido a causas
sistemáticas.
a As falhas elétricas podem ser excluídas, porque B1 possui um modo direto de acionamento (ver IEC 60947-5-1:2003, Anexo K).
A partir da análise, pode ser deduzido que quaisquer falhas individuais na SRP/CSI serão detectadas
imediatamente, ou na próxima demanda para a função de segurança. Quando uma falha isolada
ocorre, a função de segurança é sempre realizada e a partida inesperada é impedida.
Como um resultado da análise, é considerado que os valores presumidos de DC (alta) durante o

projeto de B1 e B2 são adequados. Como a DC de ambos os componentes é igual (99 %), a DCavg
de SRP/CSI é elevada (99 %), como foi estimado durante o projeto.
Estas características são típicas para a Categoria 3, selecionada no projeto (ver E.4.1), a fim de
atender à especificação do requisito de segurança provido em E.3 (PLr).
A fim de checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última
coluna da Tabela E.3 podem ser aplicados.

Tabela E.4 – FMEA e estimativa da DC para componentes da SRP/CSL/O de SF 1.0 (continua)
Falhas potenciais Detecção da falha Efeito/reação
O motor elétrico M1 é
A falha é reconhecida desligado pelo PLC B por
pelo PLC B por meio meio de K1 e T1b após um
da leitura de G2 para retardo de tempo, quando
comparar seu sinal a proteção está aberta, e a
relativo ao tempo com a partida é impedida
alteração esperada do No caso de falhas detectadas
Falha de bit forçado número de rotações. pelo PLC A por meio da
(stuck-at-fault) nas Algumas falhas (por leitura de G1 durante o
placas de entrada/saída exemplo, placas de desligamento operacional,
Aplicar um nível
ou codificação forçada saída) são reconhecidas o PLC A informa o PLC B.
lógico alto na
ou errada, ou nenhuma pelo PLC A por meio Como resultado de reportar
saída da função de
F1 PLC A execução na CPU, o da leitura de G1 em o PLC B, o motor elétrico
parada do PLC A
que evita que o PLC A um desligamento M1 é desligado e a partida
antes da proteção
envie um comando de operacional do motor é impedida pelo PLC B.
ser aberta.
parada paraa T1a antes elétrico M1 ou quando a No caso de falhas detectadas
ou quando a proteção função de segurança é pelo WD, PLC A tenta
está aberta. exigida. desligar o motor elétrico M1
Outras falhas podem e impede a partida por meio
ser detectadas de T1a antes que a função de
antecipadamente pela segurança seja exigida ou
função do dispositivo antes que o motor elétrico
temporizador interno M1 atinja um desligamento
(WDa) do PLC A. operacional e, em seguida,
ela informa o PLC B.
As falhas podem não ser

reconhecidas pelo PLC B
por meio da leitura de G2, O motor elétrico M1

porque o motor M1 permanece desligado pelo
permanece desligado pelo PLC B por meio de K1 e
PLC B por meio de K1 e T1b enquanto a proteção
T1b enquanto a proteção está aberta.
está aberta.
No caso de falhas
Falha de bit forçado Algumas falhas (por exemplo,
detectadas pelo PLC A por
(stuck-at-fault) nas placas de saída) são meio da leitura de G1 ao
placas de entrada/saída reconhecidas pelo PLC fechar a proteção, o PLC
ou codificação forçada A por meio da leitura de A informa o PLC B. Como Aplicar o sinal de
ou errada, ou nenhuma G1 ao fechar a proteção. resultado de reportar partida no inversor
F2 PLC A
execução na CPU, o As falhas descritas acima o PLC B, a ativação enquanto a proteção
que remove o comando e falhas adicionais são involuntária do motor está aberta.
de parada do PLC A detectadas pelo operador elétrico M1 é impedida
de T1a enquanto a por meio da observação pelo PLC B.
proteção está aberta. do processo ao fechar a No caso de falhas
proteção, ou pelo PLC B detectadas pelo WD, PLC
quando a função de A busca manter desligado
segurança for exigida o motor elétrico M1, e
posteriormente (abertura impede a partida por meio
da proteção). de T1a e informa o
Outras falhas podem ser PLC B.
detectadas antecipadamente
pela função WDa do PLC A.
a Algumas das falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade
dos CLP de enviarem um comando de parada ao dispositivo de acionamento ou a uma válvula, ou incapacidade de manter um comando
de parada no dispositivo de acionamento ou em uma válvula) podem ser detectadas pela função WD (Watchdog).

Como resultado do monitoramento indireto de PLC A pelo PLC B por meio de G2, o monitoramento indireto do PLC A da sua própria placa
de saída por meio de G1, monitoramento da sequência do programa pelo dispositivo temporizador interno, e detecção de falha por meio
da observação do processo, é considerado para o PLC A um DC de 90 % (ver ISO 13849-1:2006, Tabela E.1).
As medidas acima podem ser consideradas de acordo com a ISO 13849-1:2006, Tabela E.1, NOTA 2.
NOTA É considerado que a maioria das falhas do PLC ocorrem nas placas de entrada/saída e são do tipo bit forçado (stuck-at-type)
(90 % de todas as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento
do programa.
A falha é reconhecida
desligado pelo PLC B por
pelo PLC B por meio da
meio de K1 e T1b após um
Falha de bit forçado leitura de G2 quando a
retardo de tempo quando a
(stuck-at-fault) e função de segurança é
proteção está aberta, e a Forçar a entrada
outras falhas internas exigida.
partida, impedida. de parada do
complexas na eletrônica A falha também é
F3 de controle e energia do O PLC A informa o PLC B inversor para nível
reconhecida pelo PLC A
inversor, o que impede quando uma falha é reconhecida lógico alto antes ou
por meio da leitura de
T1a de parar o motor durante a parada operacional. quando a proteção
G1 em uma parada está aberta.
antes ou quando a Como resultado do envio
operacional do motor
proteção está aberta. da informação ao PLC B,
elétrico M1 ou quando a
o motor elétrico M1 é
função de segurança é
desligado e a partida é
exigida.
impedida pelo PLC B.
A falha não pode ser
Inversor T1a O motor elétrico M1 permanece
reconhecida pelo PLC B
por meio da leitura de G2
Falha de bit forçado meio de K1 e T1b enquanto
porque o motor M1
(stuck-at-fault) e a proteção está aberta.
permanece desligado
outras falhas internas pelo PLC B por meio de K1 Ao fechar a proteção, uma
complexas na eletrônica e T1b enquanto a partida involuntária do motor Aplicar o sinal
de controle e energia proteção está aberta. ocorre (não perigosa). de partida no

F4 do inversor, o que O PLC A informa o PLC B inversor enquanto
A falha será detectada pelo
provê sinais na porta quando uma falha é a proteção está
operador por meio da
aos semicondutores
observação do processo reconhecida. Como resultado aberta.
de energia de T1a, do envio desta informação
ao fechar a proteção.
enquanto a proteção ao PLC B, a partida involuntária
está aberta. As falhas também é
do motor elétrico M1 é
reconhecida pelo PLC
impedida e o reinício é
A por meio da leitura de
impedido pelo PLC B.
G1 ao fechar a proteção.
Como resultado do monitoramento indireto de T1a pelo PLC B por meio de G2, o monitoramento indireto de T1a pelo PLC A por meio
de G1 e detecção da falha por meio da observação do processo, é considerado para T1a x um DC de 99 %.
a Algumas das falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade
dos CLP de enviarem um comando de parada ao dispositivo de acionamento ou a uma válvula, ou incapacidade de manter um comando
de parada no dispositivo de acionamento ou em uma válvula) podem ser detectadas pela função WD.
A falha é reconhecida imediatamente desligado
Falha de bit forçado pelo PLC A monitorando pelo PLC A por meio de T1a
(stuck-at-fault) nas o contato de quando a proteção é aberta
placas de entrada/saída realimentação ligado e a partida é impedida.
ou codificação forçada mecanicamente em K1 Manter K1 na
ou errada ou nenhuma quando a função de No caso de falhas detectadas posição energizada
F5 PLC B pelo WD, PLC B busca
execução na CPU, o segurança é exigida. quando a proteção
que evita que PLC B informar o PLC A e em está aberta.
desligue K1 antes ou Algumas falhas seguida desligar o motor
quando a proteção está podem ser detectadas elétrico M1 e impedir o
aberta. antecipadamente pela reinício por meio de T1b
função WDa do PLC B. antes que a função de
segurança seja exigida.

Falha de bit forçado O motor elétrico M1 é mantido

(stuck-at-fault) nas A falha é imediatamente desligado pelo PLC A por
placas de entrada/saída reconhecida pelo PLC A meio de T1a enquanto a
ou codificação forçada monitorando o contato proteção está aberta e o Comutar K1 em sua
ou errada ou nenhuma de realimentação ligado reinício é impedido. posição energizada
F6 PLC B mecanicamente a K1.
execução na CPU, o que No caso de falhas detectadas enquanto a proteção
remove o comando de Algumas falhas podem ser pelo WD, PLC B busca manter está aberta.
parada do PLC B de K1 detectadas antecipadamente desligado o motor elétrico M1
enquanto a proteção pela função WDa do PLC B. e evitar o reinício por meio de
está aberta. T1b, e informar o PLC A.
Como resultado do monitoramento indireto de PLC B pelo PLC A por meio da posição do contato de realimentação de K1 e monitoramento
da sequência do programa pelo dispositivo temporizador interno, é considerado para o PLC B um DC de 90 %.
NOTA É considerado que a maioria das falhas do PLC ocorre nas placas de entrada/saída e são do tipo forçado (90 % de todas as
falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento do programa.
A falha é reconhecida O motor elétrico M1 é

O contato não abre
pelo PLC A que monitora imediatamente desligado Manter o contato K1
quando a proteção está
Relé contator o contato de realimentação pelo PLC A por meio de na posição atuada
F7 aberta (falha elétrica,
K1 ligado mecanicamente a T1a quando a proteção (ligado) quando a
por exemplo, contatos
K1 quando a função de é aberta e a partida é proteção está aberta.
soldados).
segurança é exigida. impedida.

Relé contator enquanto a proteção
F8 – – –
K1 está aberta (exclusão
de falha).
O monitoramento do relé contator K1 pelo PLC A por meio da posição do contato de realimentação ligado mecanicamente a K1, provê um
DC de 99% para K1.

a Algumas das falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos
CLP de enviarem um comando de parada ao inversor ou a uma válvula, ou incapacidade de manter-se um comando de parada no inversor
ou em uma válvula) podem ser detectadas pela função WD.
A falha é reconhecida pelo Manter a entrada da

A não abertura do PLC A monitorando o bobina do relé de
imediatamente desligado
contato do relé interno contato mecanicamente bloqueio, presente
F9 pelo PLC A por meio de T1a
quando a proteção está guiado do relé interno de em T1b, em nível
quando a proteção é aberta
Inversor T1b aberta. T1b quando a função de lógico alto quando a
e o rearme é impedido.
segurança é exigida. proteção está aberta.

F10 enquanto a proteção está – – –
aberta (exclusão de falha).
O monitoramento do relé interno T1b (bloqueio de pulso) pelo PLC A provê um DC de 99 % para T1b.
a Algumas falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos CLP
de enviarem um comando de parada ao inversor ou a uma válvula, ou a incapacidade de manter-se um comando de parada no inversor
A partir da análise, pode ser deduzido que as falhas individuais na SRP/CS serão detectadas
imediatamente, ou em uma parada operacional do motor elétrico M1, ou na próxima demanda
sob a função de segurança. Quando uma única falha ocorre, a função de segurança é sempre
realizada. Reativação é possível somente com um canal, no caso de falhas não detectadas em
PLC A e PLC B.

A análise determina que os valores de DC presumidos durante o projeto da SRP/CSL/O são

adequados. Levando em consideração os valores de MTTFD estimados e os valores de DC para
os vários componentes utilizados em SRP/CSL/O, um resultado de DCavg médio (90 %) é atingido,
como foi estimado durante o projeto.
Estas características são típicas para a Categoria 3, selecionada no projeto (ver E.4.1), a fim de
atender à especificação do requisito de segurança provida em E.3 (PLr).
Para checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última
E.5.3.2 SF 1.3
A fim de facilitar a análise do SF 1.3, seu diagrama de blocos relacionado à segurança é reproduzido
na Figura E.13.
B1 PLC A 3V1
B2 PLC B 1V0
SRP/CSI SRP/CSL/O
Figura E.13 – Diagrama de blocos relacionado à segurança para SF 1.3

Para SRP/CSI de SF 1.3, as medidas de diagnóstico e as unidades ensaiadas/monitoradas são
idênticas às de SF 1.0 e, portanto, a DCavg de SRP/CSI é também elevada (99 %).
Ver Tabela E.5.

Tabela E.5 – FMEA da SRP/CSL/O de SF 1.3 (continua)
Componente/ Falhas/falhas Ensaios de

Detecção da falha Efeito/reação
unidade potenciais confirmação
O motor pneumático A3 é
meio de 1V0 após um retardo
de tempo quando a
proteção estiver aberta.
Algumas falhas (por
exemplo, placas de saída) No caso de falhas detectadas
Falha de bit forçado são reconhecidas pelo pelo PLC A por meio da
(stuck-at-fault) nas PLC A por meio da leitura de 3S1 durante o
placas de entrada/ leitura do sensor de desligamento operacional,
saída ou bit não pressão 3S1 em um o PLC A informa o PLC B Aplicar um nível
correspondente ou desligamento operacional que, por sua vez, desliga lógico alto na saída
F1 PLC A codificação errada ou do motor pneumático A3 A3 por meio de 3V1 e 3V1 do PLC A
nenhuma execução ou quando a função de impede o rearme. antes da proteção
na CPU, o que evita segurança é exigida. Para falhas detectadas ser aberta.
que o PLC A desligue pelo WD, o PLC A tenta
3V1 antes ou quando a Outras falhas podem desligar o motor pneumático
proteção for aberta. ser detectadas
antecipadamente pela A3 e para evitar a reativação
função WDa do PLC A. por meio do 3V1 antes
que a função de segurança
seja exigida ou antes que o
motor pneumático A3 seja
desligado e, em seguida,
informa o PLC B.
mantido desligado pelo PLC B
por meio de 1V0 enquanto
a proteção estiver aberta.
Ao fechar a proteção, PLC B

Falha de bit forçado Algumas falhas (por energiza 1V0 e o motor
(stuck-at-fault) nas exemplo, placas de pneumático A3 irá reativar
placas de entrada/ saída) são reconhecidas (sem risco).
saída ou bit não pelo PLC A por meio No caso de falhas detectadas Alterar a saída 3V1
correspondente ou da leitura do sensor de pelo PLC A, ao fechar a do PLC A a um
F2 codificação errada, ou pressão 3S1 ao fechar a proteção, por meio da leitura alto nível enquanto
nenhuma execução proteção. de 3S1, o PLC A informa a proteção está
na CPU, o que causa Outras falhas podem ao PLC B, que por sua vez aberta.
ao PLC A ligar 3V1 ser detectadas impede a ativação involuntária
enquanto a proteção antecipadamente pela do motor pneumático A3 e
está aberta. função WDa do PLC A. impede o rearme.
Para falhas detectadas pelo
WD, PLC A tenta manter
desligado o motor pneumático
A3 e evita a reativação por
meio de 3V1 e informa o PLC B.
Como resultado do monitoramento indireto do PLC A da sua própria placa de saída por meio de 3S1 e monitoramento da sequência
do programa pela função WD (watchdog), o PLC A é considerado para ter um DC de 90 %.
NOTA É considerado que a maioria das falhas do PLC ocorrem nas placas de entrada/saída e são do tipo bit forçado (stuck-at-type)
(90 % de todos as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequencia-
mento do programa.


Sem comutação A falha é reconhecida pelo
(emperramento na PLC A por meio da leitura
meio de 1V0 após um retardo
posição extrema) ou do sensor de pressão 3S1,
de tempo quando a proteção Manter os sinais de
comutação incompleta no desligamento do motor
estiver aberta. controle elétricos e
(emperramento em pneumático A3, ou quando
F3 uma posição aleatória a função de segurança é O PLC A informa ao PLC B pneumáticos para
exigida. quando uma falha é 3V1 a um alto nível
intermediária) ou
alteração nos tempos reconhecida. Como base na enquanto a proteção
As falhas são também
de comutação, antes mesma informação, o PLC B estiver aberta.
detectadas pelo operador
ou quando a proteção desliga o motor pneumático
por meio da observação
estiver aberta. A3 por meio de 1V0 e qualquer
Válvula- do processo.
reativação é evitada.
solenoide de
controle Alteração espontânea
direcional 3V1 da posição de
comutação inicial (sem
um sinal de entrada)
enquanto a proteção
estiver aberta.
F4 NOTA Esta falha pode – – –
ser excluída porque 3V1
tem molas devidamente
comprovadas, e a
instalação normal e as
condições de operação
são aplicadas.
Como resultado do monitoramento indireto de 3V1 pelo PLC A por meio de 3S1 e a detecção da falha por meio da observação do processo,
o DC para 3VA pode ser considerado 99 %.
imediatamente desligado pelo
PLC A por meio de 3V1
quando a proteção estiver
aberta.
Falha de bit forçado Algumas falhas (por exemplo, No caso de falhas
(stuck-at-fault) nas placas de saída) são detectadas pelo PLC B por
placas de entrada/ reconhecidas pelo PLC B meio da leitura do interruptor
saída ou bit não por meio da leitura do de pressão 1S0, PLC B Aplicar um alto nível
correspondente ou interruptor de pressão 1S0 informa ao PLC A e mantém lógico na saída 1V0
F5 PLC B codificação errada, ou quando a função de K1 desativado. O PLC A do PLC B antes da
nenhuma execução segurança é exigida. evita o rearme baseado proteção ser aberta.
na CPU, o que evita
Outras falhas podem ser nesta mesma informação.
que o PLC B desligue
1V0 antes ou quando a detectadas antecipadamente Para falhas detectadas pelo
proteção estiver aberta. pela função WDa do PLC B. WD, PLC B tenta informar
PLC A e em seguida desligar
o motor pneumático A3 por
meio de 1V0 e evitar a
reativação antes que a função
de segurança seja exigida.


mantido desligado pelo
PLC A por meio de 3V1
enquanto a proteção estiver
Falha de bit forçado aberta.
(stuck-at-fault) nas No caso de falhas detectadas
Algumas falhas (por exemplo,
placas de entrada/ placas de saída) são pelo PLC B por meio da
saída ou bit não imediatamente reconhecidas leitura do pressostato 1S0, Alterar a saída 1V0
correspondente ou pelo PLC B por meio da o PLC B informa o PLC A do PLC B para nível
F6 codificação errada, ou leitura do pressostato 1S0.e mantém K1 desativado. alto enquanto a
nenhuma execução O PLC A evita o rearme proteção estiver
na CPU, o que impede Outras falhas podem ser baseado nesta mesma aberta.
que o PLC B ligue 1V0 detectadas antecipadamente informação.
enquanto a proteção pela função WDa do PLC B.
No caso de falhas
estiver aberta. detectadas pelo WD, o PLC B
tenta informar o PLC A e em
seguida manter desligado
o motor pneumático A3 por
meio de 1V0 e evitar o rearme.
Como resultado do monitoramento indireto pelo PLC B da sua própria placa de saída por meio de 1S0, do monitoramento indireto do PLC B
pelo PLC A, por meio da leitura da posição de K1 atrasvés do seu contato NF de monitoramento, por haver o monitoramento da sequência
do programa pelo dispositivo temporizador interno (WD) watchdog, o DC do PLC B pode ser considerado 90%.
NOTA É considerado que a maioria das falhas do PLC ocorre nas placas de entrada/saída e são do tipo bit não correspondente (90%
de todas as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento do
programa.
Sem comutação O motor pneumático A3 é

(emperramento na imediatamente desligado

posição extrema) ou pelo PLC A por meio de 3V1
comutação incompleta A falha é reconhecida pelo quando a proteção é aberta. Aplicar um nível
Válvula-
(emperramento em PLC B por meio da leitura No caso de falhas detectadas lógico alto na saída
solenoide
F7 uma posição aleatória do pressostato 1S0 quando pelo PLC B por meio da 1V0 do PLC B antes
de controle
intermediária) ou a função de segurança é leitura do pressostato 1S0, da proteção ser
direcional 1V0
alteração nos tempos exigida. o PLC B informa o PLC A que, aberta.
de comutação, antes com base nesta informação,
ou quando a proteção mantém K1 desenergizado
estiver aberta. e impede o rearme.
Alteração espontânea da
posição de comutação
inicial (sem um sinal de
entrada) enquanto a
Válvula proteção estiver aberta.
F8 NOTA Esta falha pode – – –
magnética 1V0
ser excluída, porque 1V0
possui molas devidamente
comprovadas, e condições
normais de instalação e
operação são aplicadas.
O monitoramento indireto de 1V0 pelo PLC B por meio de 1S0 resulta em um DC de 99 % para 1V0.
a Algumas falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos CLP
de enviarem um comando de parada ao inversor ou a uma válvula, ou incapacidade de manterem um comando de parada no inversor

A partir da análise, pode ser deduzido que a maioria das falhas únicas na SRP/CS serão detectadas,
ou imediatamente, ou mediante a uma parada operacional do motor pneumático, A3, ou na próxima
demanda da função de segurança. Quando uma única falha ocorre, a função de segurança é sempre
realizada. Reativação é possível somente com um canal, no caso de falhas não detectadas nos CLP
A e CLP B.
A análise determina que os valores de DC presumidos durante o projeto da SRP/CSL/O são adequa-
dos. Levando em consideração os valores de MTTFD estimados e os valores de DC para os vários
componentes utilizados em SRP/CSL/O, um resultado de DCavg médio (90 %) é atingido, como foi
estimado durante o projeto.
Estas são características típicas de Categoria 3, selecionada no projeto (ver E.4.1), a fim de atender
à especificação do requisito de segurança provida em E.3 (PLr).
Para checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última

Bibliografia
[1] ISO 4079-1, Rubber hoses and hose assemblies – Textile-reinforced hydraulic types –
Specification – Part 1: Oil-based fluid applications
[2] ISO 4413:2010, Hydraulic fluid power – General rules and safety requirements for systems
and their components
[3] ISO 4414:2010, Pneumatic fluid power – General rules and safety requirements for systems
and their components
[4] ISO 4960, Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %
[5] ISO 5598:2008, Fluid power systems and components – Vocabulary
[6] ISO 11161, Safety of machinery – Integrated manufacturing systems – Basic requirements
[7] ISO 13850, Safety of machinery – Emergency stop – Principles for design
[8] ISO 13851, Safety of machinery – Two-hand control devices – Functional aspects and design
principles
[9] ISO 13855, Safety of machinery – Positioning of safeguards with respect to the approach speeds
of parts of the human body
[10] ISO 13856 (all parts), Safety of machinery – Pressure-sensitive protective devices
[11] ISO 14118:2000, Safety of machinery – Prevention of unexpected start-up
[12] ISO 14119:1998, Safety of machinery – Interlocking devices associated with guards – Principles
for design and selection
[13] IEC 60204-1:2005, Safety of machinery – Electrical equipment of machines – Part 1: General
requirements
[14] IEC 60269-1, Low-voltage fuses – Part 1: General requirements
[15] IEC 60529, Degrees of protection provided by enclosures (IP code)
[16] IEC 60664 (all parts), Insulation coordination for equipment within low-voltage systems
[17] IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects
analysis (FMEA)
[18] IEC 60893-1, Insulating materials – Industrial rigid laminated sheets based on thermosetting
resins for electrical purposes – Part 1: Definitions, designations and general requirements
[19] IEC 60947 (all parts), Low-voltage switchgear and controlgear

[20] IEC 61025, Fault tree analysis (FTA)
[21] IEC 61078, Analysis techniques for dependability – Reliability block diagram and boolean methods
[22] IEC 61131-1, Programmable controllers – Part 1: General information
[23] IEC 61131-2, Programmable controllers – Part 2: Equipment requirements and tests
[24] IEC 61165, Application of Markov techniques
[25] IEC 61249 (all parts), Materials for printed boards and other interconnecting structures
[26] IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems
[27] IEC 61558 (all parts), Safety of power transformers, power supplies, reactors and similar products
[28] IEC 61800-5-2, Adjustable speed electrical power drive systems – Part 5-2: Safety
requirements – Functional
[29] IEC 61810 (all parts), Electromechanical elementary relays
[30] EN 952:1996, Safety of machinery – Safety requirements for fluid power systems and their
components – Hydraulics
[31] EN 953:1996, Safety of machinery – Safety requirements for fluid power systems and their
components – Pneumatics
[32] EN 50205, Relays with forcibly guided (mechanically linked) contacts
[33] EN 60730 (all parts), Automatic electric controls for household and similar use
[34] JESD22A121.01,Test method for measuring whisker growth on tin and alloy surfaces finishes 1
[35] JESD201, Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and
Alloy Surface Finishe1
1 JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834,
www.jedec.org/download/search/22a1121-01.pdf


Abnt NBR Iso 13489-2

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Abnt NBR Iso 13489-2

Enviado por

Direitos autorais:

Formatos disponíveis

CONSELHO REGIONAL DE ENGENHARIA E AGRONOMIA DO ESTADO DE SANTA CATARINA – CREA-SC - CNPJ 82.511.

NORMA ABNT NBR

Segurança de máquinas — Partes de sistemas

ICS 13.110 ISBN 978-85-07-07980-4

© ISO 2012 - © ABNT ‌2019

ABNT NBR ISO 13849-2:2019

ii © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

ABNT NBR ISO 13849-2:2019

© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados iii

ABNT NBR ISO 13849-2:2019

Anexo B (informativo) Ferramentas de validação para sistemas pneumáticos............................24

E.5.3 FMEA e DCavg para SF 1.0 e SF 1.3.................................................................................73

iv © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

ABNT NBR ISO 13849-2:2019

© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados v

ABNT NBR ISO 13849-2:2019

Tabela C.8 – Falhas e exclusões de falhas – Mangueiras..............................................................42

Tabela D.14 – Falhas e exclusões de falhas – Componentes elétricos discretos –

vi © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

ABNT NBR ISO 13849-2:2019

Tabela E.3 – FMEA e estimativa da DC para componentes da SRP/CSI de SF 1.0.......................74

© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados vii

ABNT NBR ISO 13849-2:2019

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

Os Documentos Técnicos ABNT são elaborados conforme as regras da ABNT Diretiva 3.

—— Parte 1: Princípios gerais de projeto;

Lista de Lista de princípios Lista de

A Mecânica A.1 A.2 A.3 A.4, A.5

B Pneumática B.1 B.2 – B.3 a B.18

C Hidráulica C.1 C.2 – C.3 a C.12

viii © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

ABNT NBR ISO 13849-2:2019

O Escopo em inglês da ABNT NBR ISO 13849-2 é o seguinte:

—— the specified safety functions,

—— the category achieved, and

—— the performance level achieved

by the safety-related parts of a control system (SRP/CS) designed in accordance with

© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados ix

ABNT NBR ISO 13849-2:2019

A estrutura das normas de segurança no campo das máquinas é a seguinte:

a) as normas do tipo A (normas básicas de segurança) proveem conceitos básicos, princípios

b) as normas do tipo B (normas de segurança genéricas) abordam um aspecto de segurança ou um

—— as normas do tipo B1 sobre aspectos de segurança específicos (por exemplo, distâncias

—— as normas do tipo B2 sobre dispositivos de segurança (por exemplo, controles acionados

c) as normas do tipo C (normas de segurança de máquinas) abordam os requisitos de segurança

categorias e níveis de desempenho para as partes de sistemas de comando relacionadas à segurança.

x © ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados

NORMA BRASILEIRA ABNT NBR ISO 13849-2:2019

Segurança de máquinas — Partes de sistemas de comando relacionadas

—— das funções de segurança especificadas,

—— do nível de desempenho atingido

pelas partes de um sistema de comando relacionadas à segurança (SRP/CS) projetadas de acordo

ISO 13849-1:2006, Segurança de máquinas – Partes de sistemas de comando relacionadas à

A finalidade do processo de validação é confirmar que o projeto da SRP/CS suporta a especificação

© ISO 2012 - © ABNT ‌2019 - Todos os direitos reservados 1

ABNT NBR ISO 13849-2:2019

a) as características de segurança especificadas das funções de segurança providas por aquela

b) os requisitos do nível de desempenho especificado (ver ISO 13849-1:2006, 4.5):

1) os requisitos da categoria especificada (ver ISO 13849-1:2006, 6.2),

3) se aplicável, os requisitos do software (ver ISO 13849-1:2006, 4.6), e

4) a capacidade de desempenhar uma função de segurança sob condições ambientais esperadas;

A validação consiste na aplicação da análise (ver Seção 5) e execução de ensaios funcionais

—— validação da SRP/CS separadamente antes da integração, incluindo simulação dos sinais de