Escolar Documentos
Profissional Documentos
Cultura Documentos
643/0001-64
Primeira edição
26.03.2019
Número de referência
ABNT NBR ISO 13849-2:2019
84 páginas
© ISO 2012
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2019
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
Sumário Página
Prefácio Nacional..............................................................................................................................viii
Introdução.............................................................................................................................................x
1 Escopo.................................................................................................................................1
2 Referências normativas......................................................................................................1
3 Termos e definições............................................................................................................1
4 Processo de validação........................................................................................................1
4.1 Princípios de validação......................................................................................................1
4.2 Plano de validação..............................................................................................................3
4.3 Listas de falhas genéricas..................................................................................................4
4.4 Listas de falhas específicas...............................................................................................4
4.5 Informações para validação...............................................................................................5
4.6 Registro de validação.........................................................................................................7
5 Validação por análise..........................................................................................................7
5.1 Generalidades......................................................................................................................7
5.2 Técnicas de análise.............................................................................................................7
6 Validação por ensaio...........................................................................................................8
6.1 Generalidades......................................................................................................................8
6.2 Exatidão na medição...........................................................................................................9
6.3 Requisitos mais rigorosos.................................................................................................9
6.4 Número de amostras de ensaio.........................................................................................9
7 Validação da especificação dos requisitos de segurança quanto às funções de
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
segurança..........................................................................................................................10
8 Validação das funções de segurança..............................................................................10
9 Validação dos níveis de desempenho e categorias....................................................... 11
9.1 Análise e ensaio................................................................................................................ 11
9.2 Validação das especificações de categoria....................................................................12
9.2.1 Categoria B........................................................................................................................12
9.2.2 Categoria 1.........................................................................................................................12
9.2.3 Categoria 2.........................................................................................................................13
9.2.4 Categoria 3.........................................................................................................................13
9.2.5 Categoria 4.........................................................................................................................14
9.3 Validação de MTTFd, DCavg e CCF...................................................................................14
9.4 Validação de medidas contra falhas sistemáticas relativas ao nível de desempenho
e categoria da SRP/S........................................................................................................15
9.5 Validação do software relacionado à segurança...........................................................15
9.6 Validação e verificação do nível de desempenho..........................................................16
9.7 Validação da combinação de partes relacionadas à segurança...................................17
10 Validação dos requisitos ambientais..............................................................................17
11 Validação dos requisitos de manutenção.......................................................................18
12 Validação da documentação técnica e informações de uso.........................................18
Anexo A (informativo) Ferramentas de validação para sistemas mecânicos................................19
Figuras
Figura 1 – Visão geral do processo de validação.............................................................................3
Figura E.1 – Máquina utilizada no exemplo: máquina de montagem automática........................59
Figura E.2 – Máquina de montagem automática – Diagrama de circuito elétrico........................61
Figura E.3 – Máquina de montagem automática – Diagrama de circuito pneumático................61
Figura E.4 – Blocos de função – SF 1.0, SF 1.1, SF 1.2 e SF 1.3....................................................65
Figura E.5 – Diagrama de blocos relacionado à segurança – SF 1.0............................................66
Figura E.6 – Diagrama de blocos relacionado à segurança – SF 1.1, SF 1.2 e SF 1.3.................66
Figura E.7 – Combinação de SRP/CS desempenhando funções de segurança..........................66
Figura E.8 – Diagrama de blocos relacionado à segurança – SF 2...............................................69
Figura E.9 – SRP/CS desempenhando a função de segurança SF 2............................................69
Figura E.10 – Diagrama de blocos relacionado à segurança – SF 3.............................................71
Figura E.11 – Combinação de SRP/CS desempenhando a função de segurança SF 3...............71
Figura E.12 – Diagrama de blocos da função de segurança – SF 1.0...........................................73
Figura E.13 – Diagrama de blocos relacionado à segurança para SF 1.3....................................78
Tabelas
Tabela 1 – Estrutura dos Anexos A a D desta Parte da ABNT NBR ISO 13849..............................ix
Tabela 2 – Requisitos da documentação para categorias em relação aos níveis de
desempenho........................................................................................................................6
Tabela A.1 – Princípios básicos de segurança................................................................................19
Tabela A.2 – Princípios de segurança devidamente comprovados...............................................21
Tabela A.3 – Componentes devidamente comprovados................................................................22
Tabela A.4 – Falhas e exclusões de falhas – Dispositivos mecânicos, componentes e
elementos (por exemplo, excêntrico, tucho, corrente, embreagem, freio, eixo,
parafuso, pino, guia, rolamento)......................................................................................23
Tabela A.5 – Falhas e exclusões de falhas – Molas helicoidais de pressão.................................23
Tabela B.1 – Princípios básicos de segurança (continua)...............................................................24
Tabela B.2 – Princípios de segurança devidamente comprovados...............................................26
Tabela B.3 – Falhas e exclusões de falhas – Válvulas de controle direcional.............................27
Tabela B.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/válvulas de
retenção (antirretorno)/válvulas de escape rápido/válvulas alternadoras (válvulas
“OU”), etc...........................................................................................................................28
Tabela B.5 – Falhas e exclusões de falhas – Válvulas de fluxo.....................................................29
Tabela B.6 – Falhas e exclusões de falhas – Válvulas de controle de pressão...........................30
Tabela B.7 – Falhas e exclusões de falhas – Tubulação.................................................................31
Tabela B.8 – Falhas e exclusões de falhas – Mangueiras..............................................................31
Tabela B.9 – Falhas e exclusões de falhas – Conexões.................................................................32
Tabela B.10 – Falhas e exclusões de falhas – Transmissores de pressão e transdutores de
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
pressão...............................................................................................................................32
Tabela B.11 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Filtros...............32
Tabela B.12 – Falhas e exclusões de falhas – Tratamento do ar comprimido – Lubrificadores.32
Tabela B.13 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Silenciadores..33
Tabela B.14 – Falhas e exclusões de falhas – Acumuladores e vasos de pressão.....................33
Tabela B.15 – Falhas e exclusões de falhas – Sensores................................................................33
Tabela B.16 – Falhas e exclusões de falhas – Processamento de informações – Elementos
lógicos................................................................................................................................33
Tabela B.17 – Falhas e exclusões de falhas – Processamento de informações –
Temporizadores.................................................................................................................33
Tabela B.18 – Falhas e exclusões de falhas – Processamento de informações –
Conversores......................................................................................................................34
Tabela C.1 – Princípios básicos de segurança................................................................................35
Tabela C.2 – Princípios de segurança devidamente comprovados...............................................36
Tabela C.3 – Falhas e exclusões de falhas – Válvulas de controle direcional.............................38
Tabela C.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/válvulas de
retenção (antirretorno)/válvulas alternadoras (válvulas “OU”), etc.............................39
Tabela C.5 – Falhas e exclusões de falhas – Válvulas de fluxo.....................................................40
Tabela C.6 – Falhas e exclusões de falhas – Válvulas de pressão................................................41
Tabela C.7 – Falhas e exclusões de falhas – Tubulação metálica.................................................42
Prefácio Nacional
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT
não substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo
precedência sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR ISO 13849-2 foi elaborada no Comitê Brasileiro de Máquinas e Equipamentos Mecânicos
(ABNT/CB-004), pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001).
O Projeto circulou em Consulta Nacional conforme Edital nº 02, de 14.02.2019 a 18.03.2019.
A ABNT NBR ISO 13849-2 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
à ISO 13849-2:2012, que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199).
A ABNT NBR ISO 13849, sob o título geral “Segurança de máquinas – Partes de sistemas de
comando relacionadas à segurança”, tem previsão de conter as seguintes partes:
Tabela(s)
Elétrica
D D.1 D.2 D.3 D.4 a D.21
(inclui eletrônica)
Scope
This document specifies the procedures and conditions to be followed for the validation by analysis
and testing of
NOTE Additional requirements for programmable electronic systems, including embedded software,
are given in ISO 13849-1:2006, 4.6, and IEC 61508.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Introdução
Este documento é uma norma do tipo B, conforme declarado na ABNT NBR ISO 12100.
Os requisitos deste documento podem ser suplementados ou modificados por uma norma do tipo C.
Para máquinas que são abrangidas pelo escopo de uma norma do tipo C e que foram projetadas
e construídas de acordo com os requisitos da referida norma, os requisitos dessa norma do tipo C
prevalecem.
Esta Parte da ABNT NBR ISO 13849 especifica o processo de validação para as funções de segurança,
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A maioria dos procedimentos e condições descritos nesta Parte da ABNT NBR ISO 13849 tem base
na suposição de que o procedimento simplificado para a estimativa do nível de desempenho (PL)
descrito na ISO 13849-1:2006, 4.5.4, é utilizado. Esta Parte da ABNT NBR ISO 13849 não provê
orientação para situações quando outros procedimentos forem utilizados para estimar o PL (por exemplo,
modelo de Markov), e neste caso algumas das suas prescrições não serão aplicáveis e requisitos
adicionais podem ser necessários.
Orientação sobre os princípios gerais para o projeto (ver ABNT NBR ISO 12100) de partes de sistemas
de comando relacionadas à segurança, independentemente do tipo de tecnologia utilizada (elétrica,
hidráulica, pneumática, mecânica etc.), é provida na ISO 13849-1. Isto inclui descrições de algumas
funções de segurança típicas, determinação dos seus níveis de desempenho requeridos e requisitos
gerais de categorias e níveis de desempenho.
Dentro desta Parte da ABNT NBR ISO 13849, alguns dos requisitos de validação são gerais,
enquanto outros são específicos ao tipo de tecnologia utilizada.
1 Escopo
Esta Parte da ABNT NBR ISO 13849 especifica os procedimentos e as condições a serem seguidos
para a validação por análise e ensaio
—— da categoria atingida, e
NOTA Os requisitos adicionais para sistemas eletrônicos programáveis, incluindo software incorporado,
são providos na ISO 13849-1:2006, 4.6 e IEC 61508.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT NBR ISO 12100:2013, Segurança de máquinas – Princípios gerais de projeto – Apreciação
e redução de riscos
NOTA BRASILEIRA A edição em vigor é a ISO 13849-1:2015 que é idêntica a ABNT NBR ISO 13849-1:2019.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 12100 e
ISO 13849-1.
4 Processo de validação
4.1 Princípios de validação
A validação deve demonstrar que cada SRP/CS atende aos requisitos da ISO 13849-1, em particular,
aos seguintes:
2) as medidas para controle e prevenção de falhas sistemáticas (ver ISO 13849-1:2006, Anexo G),
c) o projeto ergonômico da interface do operador, por exemplo, de modo que o operador não tente
agir de maneira perigosa, como anular a SRP/CS (ver ISO 13849-1:2006s, 4.8).
Convém que a validação seja realizada por pessoas que sejam independentes do projeto da SRP/CS.
NOTA “Pessoa independente” não significa necessariamente que um ensaio de terceiros é requerido.
Convém que a análise seja iniciada o mais cedo possível e em paralelo com o processo do projeto.
Os problemas podem ser corrigidos antecipadamente, enquanto eles ainda são relativa-
mente fáceis de corrigir, ou seja, durante as etapas de “projeto e realização técnica da função de
segurança” e “avaliar o nível de desempenho PL” [a quarta e a quinta caixas mostradas na
ISO 13849-1:2006, Figura 3]. Pode ser necessário que algumas partes da análise sejam adiadas
até que o projeto seja bem desenvolvido.
Sempre que for necessário devido ao tamanho e à complexidade do sistema ou aos efeitos de
integrá-lo com o sistema de controle (da máquina), convém que disposições especiais sejam efe-
tuadas para
—— validação dos efeitos de integração das partes relacionadas à segurança no restante do sistema
de controle dentro do contexto de sua utilização na máquina.
Considerações Início
de projeto
Critérios para
Listas de falhas Análise
exclusão da falha
A análise é Não
Ensaio
suficiente?
Função de segurança
Não Sim O ensaio
PL e categorias: Categoria 2, 3, 4 é aprovado?
– determinação da categoria
– MTTFd, DC, CCF
Sim Não
– falhas sistemáticas
– software
Testar a função de Modificação
– verificação do PL para SRP/CS
segurança sob do projeto
– combinação da SRP/CS
condição de falha
Requisitos ambientais
Registro de
Requisitos de manutenção validação
Especificação técnica/informações
ao usuário Todas as
funções de Não
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
segurança estão
validadas?
Sim
Fim
O plano de validação também deve identificar os meios a serem empregados para validar as funções
de segurança especificadas, categorias e níveis de desempenho. Ele deve estabelecer, quando
apropriado
As partes relacionadas à segurança que foram anteriormente validadas para a mesma especificação
precisam somente de uma referência à validação anterior.
Se necessário, uma lista de falhas específicas relativas ao produto deve ser gerada como um
documento de referência para o processo de validação da(s) parte(s) relativa(s) à segurança. A lista
pode ser baseada na(s) lista(s) genérica(s) apropriada(s) encontrada(s) nos Anexos.
Quando a lista de falhas específicas relativas ao produto for baseada na(s) lista(s) genérica(s),
ela deve declarar
b) quaisquer outras falhas relevantes a serem incluídas, porém não providas na lista genérica
(por exemplo, falhas de causa comum),
c) as falhas obtidas da(s) lista(s) genérica(s) que podem ser excluídas em função de que os critérios
providos na(s) lista(s) genérica(s) (ver ISO 13849-1:2006, 7.3) serem atendidos, e excepcionalmente
d) quaisquer outras falhas para as quais a(s) lista(s) genérica(s) não permite(m) uma exclusão,
porém para as quais uma justificativa e fundamentação para uma exclusão são apresentadas
(ver ISO 13849-1:2006, 7.3).
Quando esta lista não for baseada na(s) lista(s) genérica(s), o projetista deve prover a fundamentação
para as exclusões das falhas.
As informações requeridas para validação irão variar com a tecnologia utilizada, a categoria ou
categorias e o(s) nível(eis) de desempenho a ser(em) demonstrado(s), o fundamento do projeto do
sistema e a contribuição da SRP/CS para a redução do risco. Documentos que contenham informações
suficientes da seguinte lista devem ser incluídos no processo de validação para demonstrar que as
partes relacionadas à segurança desempenham as funções de segurança especificadas segundo
o nível ou níveis de desempenho e a categoria ou categorias requeridos:
a) especificação das características requeridas de cada função de segurança e sua categoria e nível
de desempenho requeridos;
h) para as partes relacionadas à segurança, exceto às listadas em g), listas de componentes com
designações de itens, valores nominais, tolerâncias, tensões mecânicas de operação relevantes,
designação de tipo, dados da taxa de falhas e fabricante do componente, e quaisquer outros
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
i) análise de todas as falhas relevantes (ver também 4.3 e 4.4), como as listadas nas tabelas dos
Anexos A a D, incluindo a justificativa de quaisquer falhas excluídas;
Quando houver software relevante à(s) função(ões) de segurança, a documentação do software deve
incluir
—— uma especificação que seja clara e inequívoca e que declare o desempenho de segurança a ser
atingido pelo software,
—— evidência de que o software é projetado para atingir o nível de desempenho requerido (ver 9.5), e
—— detalhes dos ensaios (em relatórios de ensaio específicos) realizados para comprovar que o
desempenho de segurança requerido é atingido.
Informações são requeridas para identificar como o nível de desempenho e a probabilidade média de
uma falha perigosa por hora são determinados. A documentação dos aspectos quantificáveis deve incluir
Informações são requeridas sobre como a combinação de diversas SRP/CS atinge um nível de
desempenho de acordo com o nível de desempenho requerido.
Categoria da documentação
Requisito da documentação para a qual é requerido
B 1 2 3 4
Como a função de segurança é mantida para cada uma das combinações de falhas – – – – X
X documentação requerida
– documentação não requerida
A validação por análise e ensaio deve ser registrada. O registro deve demonstrar o processo de vali-
dação para cada um dos requisitos de segurança. Referência cruzada pode ser efetuada em registros
de validação anteriores, desde que estes sejam devidamente identificados.
Para qualquer parte relativa à segurança que tenha falhado em um elemento do processo de validação,
o registro de validação deve descrever quais elementos falharam na análise/ensaio de validação.
Deve ser assegurado que todas as partes relacionadas à segurança sejam revalidadas com êxito
após a modificação.
A validação da SRP/CS deve ser realizada por análise. Os dados para a análise incluem o seguinte:
—— a estrutura do sistema (por exemplo, arquiteturas designadas) (ver ISO 13849-1:2006, Seção 6);
—— os aspectos qualitativos e não quantificáveis que afetam o comportamento do sistema (se apli-
cável, aspectos do software);
—— argumentos determinísticos.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A validação das funções de segurança por análise em vez de ensaio requer a formulação de argu-
mentos determinísticos.
NOTA 1 Um argumento determinístico é um argumento com base em aspectos qualitativos (por exemplo,
qualidade de fabricação, experiência de uso). Esta consideração depende da aplicação, que, juntamente
com outros fatores, pode afetar os argumentos determinísticos.
A seleção de uma técnica de análise depende do objeto em particular. Existem duas técnicas básicas,
conforme descrito a seguir.
EXEMPLO Análise da árvore de falhas (FTA, ver IEC 61025), análise de árvore de eventos (ETA).
b) As técnicas ascendentes (indutivas) são adequadas para investigar a consequência das falhas
individualmente identificadas.
EXEMPLO Análise dos modos e efeitos de falha (FMEA, ver IEC 60812) e análise dos modos, efeitos
e criticidade de falha (FMECA).
Quando a validação por análise não for conclusiva, ensaios devem ser realizados para completar
a validação. O ensaio é sempre complementar à análise e é muitas vezes necessário.
Os ensaios de validação devem ser planejados e implementados de uma forma lógica. Particularmente:
a) um plano de ensaio deve ser produzido antes do início dos ensaios, devendo incluir
1) as especificações de ensaio,
4) a data do ensaio, e
5) os resultados do ensaio;
c) os registros do ensaio devem ser comparados com o plano de ensaio para assegurar que as
metas de desempenho e funcionais especificadas sejam atingidas.
A amostra de ensaio deve ser operada o mais próximo possível na sua configuração final de operação,
ou seja, com todos os dispositivos periféricos e tampas fixados.
Este ensaio pode ser aplicado manual ou automaticamente, por exemplo, por computador.
Quando aplicavel, a validação das funções de segurança por ensaio é realizada por meio da aplicação
de sinais de entrada, em várias combinações, à SRP/CS. A resposta resultante das saídas deve ser
comparada com as saídas especificadas apropriadas.
É recomendado que a combinação destes sinais de entrada seja aplicada sistematicamente ao sistema
de comando e à máquina. Um exemplo desta lógica é a ligação, ativação, operação, mudanças
direcionais e reativação. Quando necessário, uma faixa expandida de dados de entrada deve ser
aplicada para levar em consideração situações anômalas ou incomuns, a fim de ver como a SRP/CS
responde. Tais combinações dos dados de entrada devem levar em consideração a(s) operação(ões)
incorreta(s) previsível(eis).
Os objetivos do ensaio determinarão a condição ambiental para este ensaio, que pode ser uma ou
outra das seguintes:
Convém que a faixa de condições que é considerada estável e sobre a qual os ensaios são válidos
seja acordada entre o projetista e a(s) pessoa(s) responsável(eis) pela realização dos ensaios
e convém que seja registrada.
A exatidão das medições durante a validação por ensaio deve ser apropriada para o ensaio realizado.
Em geral, estas exatidões na medição devem estar dentro de 5 K para as medições de temperatura
e 5% para o seguinte:
a) medições de tempo;
b) medições de pressão;
c) medições de força;
d) medições elétricas;
f) medições lineares.
Se, de acordo com a sua respectiva documentação, os requisitos para a SRP/CS excederem os requi-
sitos desta Parte da ABNT NBR ISO 13849, requisitos mais rigorosos devem ser aplicados.
NOTA Requisitos mais rigorosos podem ser aplicados se o sistema de comando tiver que resistir às
condições de serviço particularmente adversas, por exemplo, manuseio brusco, efeitos de umidade, hidrólise,
variações de temperatura ambiente, efeitos de agentes químicos, corrosão, alta concentração de campos
eletromagnéticos – por exemplo, devido à pequena proximidade de transmissores.
A(s) parte(s) relativa(s) à segurança submetida(s) ao ensaio não pode(m) ser modificada(s) durante
o transcorrer dos ensaios.
Certos ensaios podem alterar permanentemente o desempenho de alguns componentes. Quando uma
alteração permanente em um componente fizer com que a parte relativa à segurança seja incapaz
de atender aos requisitos de ensaios adicionais, uma nova amostra ou amostras devem ser utilizadas
para ensaios subsequentes.
Quando um ensaio em particular for destrutivo e resultados equivalentes puderem ser obtidos por
ensaio da parte da SRP/CS em isolamento, uma amostra desta, parte relativa à segurança, pode
ser utilizada em vez de toda(s) a(s) parte(s) relativa(s) à segurança com a finalidade de obter os
resultados do ensaio. Esta abordagem deve ser aplicada somente quando tiver sido demonstrado por
análise que o ensaio de uma parte ou partes relacionadas à segurança é suficiente para demonstrar
o desempenho de segurança de toda a parte relativa à segurança que desempenha a função de
segurança.
Convém que a especificação dos requisitos de segurança seja analisada antes de iniciar o projeto,
uma vez que todas as outras atividades são baseadas nestes requisitos.
Deve ser assegurado que os requisitos para todas as funções de segurança do sistema de comando
da máquina sejam documentados.
A fim de validar a especificação, medidas adequadas para detectar falhas sistemáticas (erros, omis-
sões ou inconsistências) devem ser aplicadas.
A validação pode ser realizada por revisões e inspeções dos requisitos de segurança e da(s) especi-
ficação(ões) de projeto da SRP/CS, particularmente para comprovar que todos os aspectos
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
—— das condições operacionais e ambientais e possíveis erros humanos (por exemplo, mau uso)
foram considerados.
Quando uma norma de produto especificar os requisitos de segurança para o projeto de uma SRP/CS
(por exemplo, ISO 11161 para sistemas de fabricação integrada ou ISO 13851 para dispositivos de
comando bimanual), estes devem ser levados em consideração.
NOTA 1 A perda da função de segurança na ausência de uma falha do hardware é devida a uma falha
sistemática, que pode ser causada por erros cometidos durante as fases de projeto e integração (uma
interpretação errada das características da função de segurança, um erro no projeto da lógica, um erro na
montagem do hardware, um erro na digitação do código do software etc.). Algumas destas falhas sistemáticas
serão reveladas durante o processo de projeto, enquanto outras serão reveladas durante o processo de
validação ou permanecerão despercebidas. Além disso, também é possível que um erro seja cometido
(por exemplo, falha na verificação de uma característica) durante o processo de validação.
A validação das características especificadas das funções de segurança deve ser conseguida pela
aplicação de medidas adequadas a partir da lista descrita seguir.
NOTA 2 Quando uma máquina tiver funções de segurança complexas ou um número muito grande
de funções de segurança, uma análise pode reduzir o número de ensaios funcionais requeridos.
—— Simulação.
—— Ensaio funcional das funções de segurança em todos os modos de operação da máquina, para
estabelecer se eles atendem às características especificadas (ver ISO 13849-1:2006, Seção 5,
para especificações de algumas funções de segurança típicas). Os ensaios funcionais devem
assegurar que todas as saídas relacionadas à segurança estejam ativas ao longo de toda a
sua faixa de atuação e respondam aos sinais de entrada relativos à função de segurança,
de acordo com sua especificação. Os casos de ensaio são normalmente derivados a partir das
especificações, porém, podem também incluir alguns casos derivados da análise dos diagramas
esquemáticos ou software.
—— Ensaios funcionais estendidos para checar sinais anormais previsíveis ou combinações de sinais
de qualquer fonte de entrada, incluindo a interrupção e restauração de energia e operações incorretas.
NOTA 3 Outras medidas contra falhas sistemáticas mencionadas em 9.4 (por exemplo, diversidade,
detecção de falhas por meio de ensaios automáticos) também podem contribuir na detecção de falhas
funcionais.
Para a SRP/CS ou combinação de SRP/CS que provê a(s) função(ões) de segurança, a validação
deve demonstrar que os níveis de desempenho (PLr) e as categorias requeridas na especificação de
requisitos de segurança são atendidos. Primordialmente, isto irá requerer análise de falhas, utilizando
diagramas de circuito (ver Seção 5) e, quando a análise de falhas for inconclusiva:
Em algumas aplicações pode ser necessário dividir as partes conectadas relacionadas à segurança
em diversos subgrupos funcionais e submeter estes grupos e suas interfaces aos ensaios de simu-
lação de falhas.
O instante preciso em que uma falha é inserida em um sistema pode ser crítico. O efeito de pior
caso de uma insenção de falha deve ser determinado por análise e inserção de falha neste momento
crítico apropriado.
9.2.1 Categoria B
As SRP/CS para a Categoria B devem ser validadas de acordo com os princípios básicos de segu-
rança (ver Tabelas A.1, B.1, C.1 e D.1) demonstrando que a especificação, projeto, construção e
escolha de componentes estão de acordo com a ISO 13849-1:2006, 6.2.3. O MTTFD do canal deve
ser demonstrado para ser de pelo menos três anos. Isto deve ser atingido por meio da verificação
de que a SRP/CS está de acordo com sua especificação, conforme provido nos documentos para
validação (ver 4.5). Para a validação das condições ambientais, ver 6.1.
NOTA Em casos específicos, valores mais altos de MTTFD podem ser requeridos – por exemplo,
quando PLr = b.
9.2.2 Categoria 1
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
b) são componentes “devidamente comprovados” (ver Tabelas A.3 e D.3) os que atendem a pelo
menos uma das seguintes condições:
1) eles foram amplamente utilizados no passado com resultados bem sucedidos em aplicações
similares;
2) eles foram fabricados e verificados utilizando princípios que demonstrem a sua adequação
e confiabilidade para aplicações relacionadas à segurança;
c) os princípios de segurança devidamente comprovados (quando aplicáveis, ver Tabelas A.2, B.2,
C.2 e D.2) foram implementados corretamente e, quando princípios desenvolvidos recentemente
foram utilizados, validação deve ser realizada
2) sobre como as falhas foram evitadas ou a sua probabilidade reduzida a um nível adequado.
Normas de componentes relevantes podem ser utilizadas para demonstrar a conformidade com esta
subseção (ver Tabelas A.3 e D.3). O MTTFD do canal deve ser demonstrado para ser de pelo menos
30 anos.
9.2.3 Categoria 2
c) o equipamento de verificação detecta todas as falhas relevantes aplicadas, uma de cada vez,
durante o processo de verificação, e gera uma ação de controle apropriada que
d) a(s) verificação(ões) provida(s) pelo equipamento de verificação não introduz(em) um estado inseguro;
NOTA 1 A necessidade para, e a extensão de, checagens durante operação é determinada pela apre-
ciação de risco do projetista e pelo tipo de operação necessária.
j) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
NOTA 2 Em casos específicos, valores mais altos de MTTFD e/ou DCavg podem ser requeridos –
por exemplo, devido ao alto PLr.
9.2.4 Categoria 3
d) falhas únicas (incluindo falhas de causa comum) são detectadas de acordo com o fundamento
do projeto e a tecnologia aplicada;
g) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
NOTA Em casos específicos, valores mais altos de MTTFd e/ou DCavg podem ser requeridos –
por exemplo, devido ao alto PLr.
9.2.5 Categoria 4
c) uma única falha (incluindo falhas de causa comum) não leva à perda da função de segurança;
d) as falhas isoladas (falhas únicas) são detectadas na próxima demanda ou antes desta sobre
a função de segurança, sendo isto atingido com uma DCavg de pelo menos 99 %;
e) se uma única falha não for detectada com uma DCavg de pelo menos 99 %, um acúmulo de
falhas não leva à perda da(s) função(ões) de segurança, e a extensão do acúmulo de falhas
consideradas está de acordo com o fundamento do projeto;
g) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
A validação de MTTFd, DCavg e CCF é normalmente realizada por análise e inspeção visual.
Os valores de MTTFd para componentes (incluindo valores de B10d, T10d e nop) devem ser checados
quanto à plausibilidade (por exemplo, comparado à ISO 13849-1:2006, Anexo C). Por exemplo,
o valor provido na folha de dados do fornecedor deve ser comparado com a ISO 13849-1:2006,
Anexo C. Quando as declarações de exclusão de falhas significarem que componentes específicos
não contribuem com o canal de MTTFd, a plausibilidade da exclusão da falha deve ser checada.
NOTA 1 Uma exclusão de falha significa MTTFd infinito; portanto, o componente não contribuirá para
o cálculo do canal de MTTFd.
NOTA 2 Para a determinação do valor de B10d, ver, por exemplo, a IEC 60947-4-1:2010, Anexo K.
A implementação correta de medidas suficientes contra falhas de causa comum deve ser validada
(por exemplo, comparado à ISO 13849-1:2006, Anexo F). Medidas de validação típicas são a análise
de hardware estático e ensaios funcionais sob condições ambientais.
NOTA 3 Para o cálculo dos valores de MTTFd de componentes eletrônicos, uma temperatura ambiente de
+ 40 °C é tomada como base. Durante a validação, é importante assegurar que, para valores de MTTFd,
as condições ambientais e funcionais (em particular a temperatura) tomadas como base sejam atendidas.
Quando um dispositivo, ou componente, for operado significativamente acima (por exemplo, superior
a 15 °C) da temperatura especificada de + 40 °C, será necessário utilizar valores de MTTFd para o aumento
da temperatura ambiente.
A validação de medidas contra falhas sistemáticas (estabelecidas na ISO 13849-1:2006, 3.1.7) rela-
tivas aos níveis de desempenho e categorias de cada SRP/CS tipicamente pode ser provida por
2) medidas adicionais para evitar falhas sistemáticas (ver ISO 13849-1:2006, G.3), e
e) verificação de que um sistema de gestão da qualidade evita as causas das falhas sistemáticas
no processo de fabricação.
—— a verificação de que as medidas do software são suficientes para o PLr especificado da função
de segurança, e
Como uma primeira etapa, checar se há documentação para a especificação e projeto do software
relacionado à segurança. Esta documentação deve ser revisada quanto à integralidade e ausência de
interpretações errôneas, omissões ou inconsistências.
NOTA No caso de pequenos programas, uma análise do programa por meio de revisões ou verificação
geral do fluxo de controle, procedimentos, etc. que utiliza a documentação do software (fluxograma de
controle, código-fonte de módulos ou blocos, I/O e listas de alocação de variáveis, listas de referência
cruzada) pode ser suficiente.
Em geral, o software pode ser considerado “caixa preta” ou “caixa cinza” (ver ISO 13849-1:2006, 4.6.2)
e validado pelo ensaio de “caixa preta” ou “caixa cinza”, respectivamente.
Dependendo do PLr [ISO 13849-1:2006, 4.6.2 (para SRESW) e 4.6.3 (para SRASW)], convém que
os ensaios incluam
—— casos de ensaios estendidos adicionais com base em análises do valor limite, recomendado
para PL d ou e,
—— ensaios de I/O para assegurar que os sinais de entrada e saída relativos à segurança sejam
utilizados adequadamente, e
As funções individuais do software que já foram validadas não precisam ser validadas novamente.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
No entanto, quando um número de blocos de função de segurança for combinado para um projeto,
a função de segurança total resultante deve ser validada.
A documentação do software deve ser checada para confirmar se medidas e atividades suficientes
foram implementadas contra as falhas sistemáticas do software de acordo com o modelo-V simplificado
(ISO 13849-1:2006, Figura 6).
Se o software relacionado à segurança for subsequentemente modificado, ele deve ser revalidado
em uma escala adequada.
Para o procedimento simplificado para estimar o PL da SRP/CS de acordo com ISO 13849-1:2006,
4.5.4, e ISO 13849-1:2006, Anexos B a F e Anexo K, as seguintes verificações e etapas de validação
devem ser realizadas:
—— verificação da correta avaliação do PL com base na categoria, DCavg e MTTFD (de acordo com
a ISO 13849-1:2006, 4.5.4 e Anexo K);
—— verificação de que o PL atingido pela SRP/CS atende ao nível de desempenho requerido PLr
na especificação dos requisitos de segurança para a máquina: PL ≥ PLr.
Quando outros métodos forem utilizados para avaliar o PL atingido, com base na probabilidade média
estimada de uma falha perigosa por hora, a validação deve considerar
—— a DC,
—— a CCF,
—— a estrutura, e
—— a documentação, aplicação e cálculo, que devem ser verificados quanto à sua correção.
Quando a função de segurança for implementada por duas ou mais partes relacionadas à segurança,
a validação da combinação – por análise e, se necessário, por ensaio – deve ser realizada para
estabelecer que a combinação atinge o nível de desempenho especificado no projeto. Resultados
de validação existentes registrados de partes relacionadas à segurança podem ser levados em
consideração. As seguintes etapas de validação devem ser realizadas:
—— inspeção de documentos do projeto que descrevam a(s) função(ões) de segurança como um todo;
—— uma verificação de que o PL total da combinação de SRP/CS foi corretamente avaliado com base
no PL de cada parte relativa à segurança individual (de acordo com o ISO 13849-1:2006, 6.3);
NOTA Um somatório da probabilidade média de falhas perigosas por hora de todas as SRP/CS
combinadas pode ser utilizada como uma alternativa segundo a ISO 13849-1:2006, Tabela 11. É importante
checar as restrições não quantificáveis de aspectos sistemáticos, arquitetônicos e de CCF que podem
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
—— consideração das características das interfaces, por exemplo, tensão, corrente, pressão, formato
de dados de informações, nível de sinal;
A validação deve ser realizada por análise e, se necessário, por ensaio. A extensão da análise e do
ensaio dependerá das partes relacionadas à segurança, do sistema em que elas estão instaladas,
da tecnologia utilizada e da(s) condição(ões) ambiental(ais) que está(ão) sendo validada(s). O uso
de dados de confiabilidade operacional sobre o sistema ou seus componentes, ou a confirmação
de conformidade segundo normas ambientais apropriadas (por exemplo, para impermeabilização,
proteção contra vibração), pode auxiliar este processo de validação.
—— a durabilidade mecânica,
Quando ensaio for necessário para determinar a conformidade com os requisitos ambientais,
os procedimentos descritos nas normas relevantes devem ser seguidos tanto quanto requeridos
para a aplicação.
Após a conclusão da validação por ensaio, as funções de segurança devem continuar a estar de
acordo com as especificações quanto aos requisitos de segurança, ou a SRP/CS deve prover saída(s)
para um estado seguro.
2) se apropriado, existem provisões para a manutenção a serem realizadas somente por pessoal
de manutenção qualificado;
b) uma verificação de que medidas para a fácil manutenibilidade (por exemplo, fornecimento de
ferramentas de diagnóstico para auxiliar na busca e no reparo de falhas) foram aplicadas.
—— medidas contra erros durante a manutenção (por exemplo, detecção de dados de entrada errados
por meio de verificações de plausibilidade);
—— medidas contra modificações (por exemplo, proteção com senha para evitar o acesso ao programa
por pessoas não autorizadas).
Anexo A
(informativo)
Quando sistemas mecânicos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo A também seja levado em consideração.
A Tabela A.3 lista componentes devidamente comprovados para uma aplicação relativa à segurança
com base na aplicação de princípios de segurança devidamente comprovados e/ou em uma norma
para suas aplicações específicas. Um componente devidamente comprovado para algumas aplica-
ções pode ser inapropriado para outras.
As Tabelas A.4 e A.5 listam as exclusões de falhas e suas fundamentações. Para exclusões adicionais,
ver 4.4.
O instante preciso em que ocorrem as falhas pode ser crítico (ver 9.1).
Uso de materiais adequados e fabricação adequada relação à, por exemplo, tensão, durabilidade, elasticidade, atrito,
desgaste, corrosão, temperatura.
consideradas separadamente.
Prevenção adequada da entrada de fluidos e poeira Considerar a classificação IP (ver ABNT NBR IEC 60529).
Faixa limitada de tempo de reação, histerese limitada Considerar, por exemplo, fadiga da mola, atrito, lubrificação,
temperatura, inércia durante a aceleração e desaceleração,
combinação de tolerâncias.
Componente
Condições para ser
devidamente Norma ou especificação
“devidamente comprovado”
comprovado
Desgaste/corrosão
Afrouxamento
Anexo B
(informativo)
Quando sistemas pneumáticos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo B também seja levado em consideração. Quando os componentes pneumáticos forem
eletricamente conectados/controlados, convém que as listas de falhas apropriadas no Anexo D sejam
consideradas.
As Tabelas B.1 e B.2 listam os princípios básicos de segurança e os princípios de segurança devida-
mente comprovados.
Uma lista de componentes devidamente comprovados não é provida no Anexo B desta edição.
A condição de “devidamente comprovado” é principalmente específica da aplicação. Os compo-
nentes podem ser descritos como “devidamente comprovados” se eles estiverem de acordo com a
ISO 13849-1:2006, 6.2.2 e ABNT NBR ISO 4414:2012, Seções 5 a 7. Um componente devidamente
comprovado para algumas aplicações pode ser inapropriado para outras aplicações.
As Tabelas B.3 a B.18 listam as exclusões de falhas e suas fundamentações. Para exclusões adicio-
nais, ver 4.4.
O instante preciso em que ocorrem as falhas pode ser crítico (ver 9.1).
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Prevenção suficiente de contaminação do fluido Considerar a filtração e a separação de partículas sólidas e água no fluido.
Sobreposição positiva suficiente nas válvulas de A sobreposição positiva assegura a função de parada e evita
carretel movimentos que não são permitidos.
Sim, no caso de válvulas do tipo carretel com 1) No caso de válvulas do tipo carretel
vedador elástico, na medida em que uma com vedador elástico, os efeitos devido
sobreposição positiva suficiente está presente ao vazamento normalmente podem ser
[ver observação 1)], se as condições normais excluídos. Entretanto, uma pequena
de operação forem satisfeitas e um tratamento quantidade de vazamento pode ocorrer
Vazamento em um longo período de tempo.
e filtração adequados do ar comprimido forem
providos; ou, no caso de válvulas de assento, 2) As condições normais de operação
se as condições normais de operação forem são satisfeitas quando as condições
satisfeitas [ver observação 2)], e tratamento e estabelecidas pelo fabricante são levadas
filtração adequados do ar comprimido forem providos. em consideração.
Alteração na vazão do
vazamento em um longo Nenhuma. –
período de uso
Ruptura do corpo da válvula
ou quebra do(s)
Sim, se a construção, dimensionamento e
componente(s) móvel(eis),
instalação estiverem de acordo com as boas –
bem como a quebra/
práticas de engenharia.
fratura dos parafusos de
montagem ou do corpo
Para servoválvulas e Sim, no caso de servoválvulas e válvulas
válvulas proporcionais: proporcionais direcionais, se estas puderem
falhas pneumáticas que ser avaliadas em termos de segurança técnica –
causam comportamento como válvulas de controle direcional convencionais,
descontrolado devido ao seu projeto e construção.
Se as funções de controle forem realizadas por um número de válvulas de função única, então convém que uma análise
da falha seja realizada para cada válvula. Convém que o mesmo procedimento seja realizado no caso de válvulas-piloto.
Anexo C
(informativo)
Quando sistemas hidráulicos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo C também seja levado em consideração. Quando os componentes hidráulicos forem
eletricamente conectados/controlados, convém que as listas de falhas apropriadas no Anexo D
sejam consideradas.
Uma lista de componentes devidamente comprovados não é provida no Anexo C desta edição.
A condição de “devidamente comprovado” é principalmente específica da aplicação. Os compo-
nentes podem ser descritos como “devidamente comprovados” se eles estiverem de acordo com a
ISO 13849-1:2006, 6.2.2 e ABNT NBR ISO 4414:2012, Seções 5 a 7. Um componente devidamente
comprovado para algumas aplicações pode ser inapropriado para outras aplicações.
As Tabelas C.3 a C.12 listam as exclusões de falhas e suas fundamentações. Para exclusões
adicionais, ver 4.4.
O instante preciso em que ocorre a falha pode ser crítico (ver 9.1).
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
ser necessário.
Aplicações especiais (por exemplo, para manter a energia de dispositivos
de fixação ou assegurar uma posição) precisam ser consideradas
separadamente.
Princípio de segurança
Observações
devidamente comprovado
A parte móvel do componente é mantida em uma das posições seguras por meios
Posição segura mecânicos (somente atrito não é suficiente). Uma força é necessária para alterar
a posição.
Uma solução pode ser a relação de áreas de atuação de uma válvula de carretel/
êmbolo, determinada de tal forma que a força resultante para mover o carretel/
Força de desligamento aumentada
êmbolo para a posição/estado seguro (posição desligada) seja suficientemente
maior que a necessária para mover este carretel/êmbolo para a não segura.
Princípio de segurança
Observações
devidamente comprovado
Exemplos são válvulas de assento e de cartucho.
Válvula fechada por pressão de
carga Considerar como aplicar a pressão de carga, a fim de manter a válvula fechada,
mesmo se, por exemplo, quebrar a mola que fecha a válvula.
A ação mecânica positiva é utilizada para partes móveis dentro dos
Ação mecânica positiva
componentes hidráulicos. Ver também Tabela A.2.
Partes múltiplas Ver Tabela A.2.
Uso de mola devidamente
Ver Tabela A.2.
comprovada
Limitação de velocidade/redução
de velocidade pela resistência ao Os exemplos são orifícios fixos e válvulas de regulagem fixa.
fluxo determinado
Isto pode ser obtido por uma válvula de alívio de pressão devidamente
Limitação de força/redução da
comprovada que é, por exemplo, equipada com uma mola devidamente
força
comprovada, dimensionada e selecionada corretamente.
Faixa adequada das condições de Convém que a limitação das condições de trabalho, por exemplo, limites de
trabalho pressão, vazão e temperatura, seja considerada.
Considerar um alto grau de filtração/separação de partículas sólidas/água no
Monitoramento da condição do fluido. Considerar também as condições químicas/físicas do fluido.
fluido
Considerar uma indicação da necessidade de manutenção no filtro.
Sobreposição positiva suficiente A sobreposição positiva assegura a função de parada e evita movimentos não
nos carretéis das válvulas permitidos.
Por exemplo, elevação do atrito aumentará a histerese. Uma combinação de
Histerese limitada
tolerâncias também influenciará a histerese.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Alteração na vazão
do vazamento em um Nenhuma.
longo período de uso
Ruptura do corpo da
válvula ou quebra
do(s) componente(s) Sim, se a construção, dimensionamento e
móvel(eis), bem como instalação estiverem de acordo com as boas
a quebra/fratura dos práticas de engenharia.
parafusos de montagem –
ou do corpo
Para servoválvulas
e válvulas Sim, no caso de servoválvulas e válvulas
proporcionais: proporcionais direcionais, se estas puderem ser
falhas hidráulicas avaliadas em termos de segurança como válvulas
que causam de controle direcional convencionais, devido ao
comportamento seu projeto e construção.
descontrolado
Se as funções de controle forem realizadas por um número de válvulas de função única, então convém que uma análise
de falhas seja realizada para cada válvula. Convém que o mesmo procedimento seja realizado no caso de válvulas pilotadas.
Sim, se o diâmetro for > 0,8 mm, as condições 3) Quando uma válvula de retenção
Alteração na vazão, no
normais de operação forem satisfeitas (antirretorno) é integrada na válvula
caso de bocais e orifícios
[ver observação 2)] e um sistema de filtração de fluxo, então, adicionalmente, as
circulares não ajustáveis
adequado for utilizado. falhas presumidas para válvulas de
retenção (antirretorno) devem ser
levadas em consideração.
Afrouxamento involuntário —
Sim, se for provido um dispositivo de travamento
(desparafusamento) do(s)
positivo efetivo contra o afrouxamento
elemento(s) de operação
(desparafusamento).
do dispositivo de ajuste
Alteração na vazão do
vazamento em um longo Nenhuma.
período de uso
Falha/ruptura do elemento de separação Sim, no caso de cilindro/pistão de Um grande vazamento súbito não
entre o gás e o fluido de operação armazenamento (ver observação). é para ser considerado.
Anexo D
(informativo)
D.1 Generalidades
Quando sistemas elétricos forem utilizados em conjunto com outras tecnologias, convém que o
Anexo D também seja levado em consideração.
Os componentes listados na Tabela D.3 são considerados “devidamente comprovados” quando eles
estiverem de acordo com a descrição provida na ISO 13849-1:2006, 6.2.4. As Normas listadas na
Tabela D.3 podem ser utilizadas para demonstrar sua adequação e confiabilidade para uma aplicação
específica. Um componente devidamente comprovado para algumas aplicações pode ser inapro-
priado para outras aplicações.
NOTA Componentes eletrônicos complexos, como controladores lógicos programáveis (PLC), micro-
processadores e circuitos integrados específicos da aplicação, não podem ser considerados equivalentes
aos componentes “devidamente comprovados”.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A Seção D.2 e as Tabelas D.4 a D.18 listam as exclusões de falhas e suas fundamentações.
Para exclusões adicionais, ver 4.4.
Para validação, convém que as falhas permanentes e as perturbações transientes sejam consideradas.
O instante preciso em que ocorrem as falhas pode ser crítico (ver 9.1).
Seleção, combinação, disposições, Aplicar as recomendações de aplicação do fabricante, por exemplo, folhas
montagem e instalação adequadas de de catálogo, instruções de instalação, especificações e uso das boas
componentes/sistema práticas de engenharia.
Princípio de segurança
Observações
devidamente comprovado
Princípio de segurança
Observações
devidamente comprovado
Ação direta é transmitida pela forma construtiva (e não pela resistência) sem
Acionamento de modo positivo elementos elásticos, por exemplo, mola entre o acionador e os contatos
(ver ISO 14119:1998, 5.1, ABNT NBR ISO 12100:2013, 6.2.5).
Minimizando a possibilidade de falhas Funções relacionadas à segurança separadas das outras funções.
ISO 13850
Dispositivo de parada de emergência –
IEC 60947-5-5
ver Anexos B e C.
D.2.1 Generalidades
A exclusão de falhas é válida somente se as partes operem dentro de suas classificações especificadas.
NOTA 2 As referências [34] e [35] podem ser úteis para avaliação do fenômeno.
NOTA 3 Filamentos em placas de circuito impresso até agora não foram reportados. As trilhas consistem
geralmente em cobre sem revestimento de estanho. As trilhas podem ser revestidas com liga de estanho,
porém, o processo de produção não parece estimular a susceptibilidade ao surgimento do filamento.
Curtos-circuitos para partes que são montadas em uma placa de circuito impresso (PCB) somente
podem ser excluídos se a exclusão de falha “curto-circuito entre duas trilhas adjacentes”, descrita na
Tabela D.5, for efetuada.
Como não é possível excluir falhas que possam causar o mau funcionamento de um circuito integrado
(ver Tabelas D.20 e D.21), uma única falha pode levar à perda de uma função de segurança (incluindo
sua verificação/ensaio) implementada em um único circuito integrado. Consequentemente, é altamente
improvável que a funcionalidade de multicanal necessária para a tolerância de falha e/ou requisitos
de detecção próprios da categoria 2, 3 ou 4 possa ser atingida utilizando um único circuito integrado,
a menos que ela atenda aos requisitos especiais da arquitetura da IEC 61508-2:2010, Anexo E.
Circuito aberto de
Nenhuma. –
terminais individuais
Curto-circuito de qualquer
condutor (ver observação) de
O núcleo do cabo é considerado uma parte do
ligação à terra ou uma parte Nenhuma.
conector de pinos múltiplos.
condutiva ou ao condutor de
proteção
Para PL e, uma exclusão de falha para aspectos mecânicos (por exemplo, ligação mecânica entre um acionador e um
elemento de contato) e elétricos não é permitida. Neste caso, redundância é necessária. Para dispositivos de parada de
emergência de acordo com a IEC 60947-5-5, uma exclusão de falha para aspectos mecânicos é permitida se um número
máximo de operações for considerado.
NOTA As listas de falhas para os aspectos mecânicos de válvulas pneumáticas e hidráulicas são consideradas nos Anexos B e C,
respectivamente.
Alteração aleatória do valor de 0,5 Rp < R < 2 Rp, Dependendo do tipo de construção,
Nenhuma.
onde Rp é o valor nominal da resistência outras faixas podem ser consideradas.
Alteração aleatória do valor de 0,5 CN < C < CN + a tolerância, Dependendo do tipo de construção,
Nenhuma.
onde CN é o valor nominal da capacitância outras faixas podem ser consideradas.
Nenhuma.
individual
NOTA Nesta Parte da ABNT NBR ISO 13849, circuitos integrados (IC) com menos de 1 000 portas e/ou menos de 24 pinos, amplifi-
cadores operacionais, registradores de deslocamento e módulos híbridos são considerados não complexos. Esta definição é arbitrária.
ou simultaneamente –
Convém que a análise identifique falhas adicionais, as quais devem ser consideradas se elas influenciarem a operação
da função de segurança.
NOTA Nesta Parte da ABNT NBR ISO 13849, um circuito integrado (IC) é considerado complexo se ele consistir em mais de 1 000
portas e/ou mais de 24 pinos. Esta definição é arbitrária.
Anexo E
(informativo)
E.1 Generalidades
Este exemplo considera a validação do PL de uma função de segurança (SF 1), com exceção
dos requisitos relativos aos seguintes aspectos do PL:
—— valores de MTTFd;
—— análise do software;
—— falhas sistemáticas.
Uma mesa giratória acionada eletricamente movimenta as peças de trabalho em torno de cada uma
das quatro estações. As peças de trabalho são colocadas manualmente e removidas dos porta-peças
de trabalho montados sobre a mesa giratória. Um motor elétrico controlado por inversor aciona um
sistema de engrenagem planetária e correia de transmissão que movimenta a mesa giratória.
Na primeira estação de trabalho, uma esfera é introduzida na peça de trabalho por um cilindro
pneumático montado horizontalmente, o qual é controlado por uma válvula de controle direcional
monoestável com função 5/2 vias (1V1, ver Figura E.3). A posição básica (válvula desenergizada)
deste cilindro é a posição recuada. A profundidade da esfera inserida é checada monitorando-se um
interruptor limitador na posição totalmente avançada do cilindro, e a pressão de compressão aplicada
é monitorada por um sensor de pressão na linha de suprimento de ar, para o avanço do cilindro.
O movimento giratório da unidade de chave de fenda é provido por um motor pneumático, controlado
por uma válvula de controle direcional monoestável com função 5/2 (3V1). A posição básica (válvula
desenergizada) deste motor pneumático é o estado OFF (desligado). O torque provido pela unidade
da chave de fenda é monitorado por um sensor de pressão na sua linha de suprimento de ar.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
—— modo de ajuste da mesa giratória (movimento da mesa giratória com dispositivo de comando
sem retenção e proteção intertravada na posição aberta).
A máquina apresenta perigos mecânicos resultantes dos movimentos de seus atuadores pneumáticos
(nas estações de trabalho de inserção da esfera e fixação do parafuso) e a mesa giratória acionada
eletricamente. Por esta razão, ela é protegida por meio de proteções mecânicas fixas, com exceção
de uma proteção intertravada que provê o acesso às estações de carregamento e descarregamento
(a zona de perigo).
6
3 4 5
8
2
9
1
10
11
12
13
14
Legenda
1 estação de carregamento 8 peça de trabalho
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Para os efeitos do exemplo, podem ser consideradas funções de segurança separadas para cada
um dos quatro atuadores individuais da máquina:
NOTA 1 Para o exemplo, a parada segura e a proteção contra partida inesperada são consideradas uma
função de segurança única, porque elas são implementadas na mesma combinação de SRP/CS.
Durante o modo de ajuste da mesa giratória com a proteção intertravada aberta (atuadores pneu-
máticos da máquina desativados por SF 1.1, SF 1.2 e SF 1.3), a condição segura do movimento da
mesa giratória é atingida por uma combinação das seguintes funções de segurança:
Função de segurança
Modo de operação
SF 1.0 SF 1.1 SF 1.2 SF 1.3 SF 2 SF 3
Após realizar uma apreciação de risco, os seguintes valores de PLr foram designados às funções
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
de segurança:
NOTA 2 A seleção de PLr c para SF 3 leva em consideração a sua utilização em combinação com SF 2,
para o qual o PL d é atingido.
—— a mesa giratória realiza uma parada controlada de acordo com a Categoria de Parada 2 da
IEC 60204-1;
NOTA 3 Para este exemplo, a apreciação de risco determinou que a perda de desaceleração controlada
da mesa giratória como resultado de um mau funcionamento do inversor era aceitável, e o movimento dos
cilindros pneumáticos A1 e A2 para as suas posições básicas não perigosas.
A distância mínima entre a proteção intertravada e as partes móveis da máquina foi determinada de
acordo com a ISO 13855, com base no desempenho de parada da máquina.
A máquina é provida com outras funções de segurança, como uma parada de emergência,
intertravamento da partida, reinicialização e seleção dos modos de operação, porém estas não são
consideradas no exemplo e, consequentemente, os componentes relevantes não são mostrados nos
diagramas de circuito das Figuras E.2 e E.3.
2S2
1S3 2S1 Início Parada
Aberto
S2 S3 K1 T1
1S0 S4 1S2 1S1 3S1
B1 Comando sem retenção T1b
Realimentação
Bloqueio de pulsos
Inversor
Fechado B2 Parada T1a
Dispositivo K1 Início
de segurança Valor ajustado
PLC B PLC A
Saída Saída
M1 3M
G2
Sensor
Mostrado na posição acionada de pulsos
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
G G
A1 A2 A3
1S1
G
2S1
P 3S1
2V2
P
1V0
E.4.1 Generalidades
O sistema de comando para o exemplo foi implementado utilizando uma combinação de tecnologias
eletromecânicas, eletrônicas e pneumáticas.
A fim de atingir o PLr para SF 1 e SF 2, a Categoria 3 foi selecionada. Uma estrutura redundante
e monitorada diversificada, portanto, foi adotada para todas as partes elétricas e pneumáticas asso-
ciadas a estas funções de segurança (ver Figuras E.2 e E.3).
Para atingir o PLr para SF 3, uma combinação da Categoria 2 e Categoria 3 foi selecionada.
Os sinais dos sensores e dos acionadores do controle (interruptores de posição da proteção intertra-
vada, botão de comando sem retenção) foram duplicados e conectados em dois PLC diversos (tipos
diferentes de hardware para PLC A e PLC B), que os processam utilizando blocos de função de software
específico (SRASW). Cada PLC também controla o inversor da mesa giratória e os atuadores pneu-
máticos por meio de linhas de comando que são independentes das linhas de comando do outro PLC.
Para fins de diagnóstico (monitoramento cruzado) e sincronização, os dois PLC comunicam-se entre
si por meio de um barramento de dados padrão.
O inversor, em particular neste exemplo, tem uma funcionalidade adicional (relé interno) para desa-
tivar seus sinais de controle dos semicondutores de potencia (bloqueio de pulsos), o que pode ser
considerado uma segunda forma de desligamento [Desligamento seguro de Torque (STO) de acordo
com a IEC 61800-5-2 ].
Esta característica de bloqueio de pulsos não vai trazer o motor rotativo a uma parada rápida, porque a
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Os atributos de componentes que implementam a SRP/CS são explicados em detalhes na Tabela E.2.
Princípio de
Rótulo do segurança Possível Exclusão
Função Elemento Atributo
componente devidamente da falha
comprovado a
Monitoramento da
Interruptor de
B2 posição da proteção IEC 60947-5-1 Nenhum. Nenhuma.
intertravamento
intertravada
Executa movimento
Botão pulsante
de operação manual
S4 normalmente – Nenhum. Nenhuma.
contínua em modo
aberto
de ajuste
Processamento de
PLC A sinais relativos à Controlador lógico IEC 61131-1 e
Nenhum. Nenhuma.
PLC B segurança e não programável (PLC) IEC 61131-2
relativos à segurança
Mede a velocidade do
Sensor de rotação
G1 motor elétrico de – Nenhum. Nenhuma.
(encoder cos/sen)
mesa giratória
Princípio de
Rótulo do segurança Possível Exclusão
Função Elemento Atributo
componente devidamente da falha
comprovado a
Monitora o
G2 movimento da mesa Sensor de pulsos — Nenhum. Nenhuma.
giratória
Sobredimensio-
namento/fator
de segurança
Acúmulo de pressão
Controla o suprimento da Tabela B.2,
Válvula-solenoide de na via 4 com a via 5
de ar para as válvulas posição segura
retorno por mola, função esgotada em posição
de controle direcional Válvula-solenoide (uso de mola
1V0 5/2, suprimento de ar normal, falha da vedação
1V1, 2V1, 3V1, e para de controle direcional devidamente
interno, válvula de carretel/ por extrusão, movimento
a válvula de retenção comprovada),
êmbolo com sobreposição do carretel da válvula
pilotada 2V2 sobreposição
sem energia de operação.
positiva suficiente
em válvulas de
carretel/êmbolo
Controla o cilindro de
inserção da esfera A1
1V1 Controla o cilindro de
2V1 inserção do parafuso A2 Ver 1V0. Ver 1V0. Ver 1V0. Ver 1V0.
3V1 Controla a unidade de
chave de fenda (motor
pneumático) A3
Dispositivo antiqueda
para cilindro de Tabela B.2.
Válvula pilotada, sem
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Princípio de
Rótulo do segurança Possível Exclusão
Função Elemento Atributo
componente devidamente da falha
comprovado a
Cilindro de inserção Cilindro Não consta no escopo deste documento de acordo com a
A1
da esfera pneumático ISO 13849-1:2006, 3.1.1.
Cilindro
Cilindro de inserção pneumático sem Não consta no escopo deste documento de acordo com a
A2
do parafuso haste com guia ISO 13849-1:2006, 3.1.1.
externa
De acordo com a especificação da máquina, a abertura da proteção intertravada tem que iniciar a
parada de quatro atuadores da máquina: (i) a mesa giratória (acionada pelo motor controlado pelo
inversor), (ii) o cilindro de inserção da esfera, (iii) o cilindro de inserção do parafuso e (iv) a unidade
de chave de fenda. Esta função pode, portanto, ser representada conforme mostrado na Figura E.4.
Inversor
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A abertura da proteção intertravada também faz com que o PLC A inicie uma primeira parada
do cilindro de inserção da esfera, do cilindro de inserção do parafuso e da unidade de chave de
fenda desenergizando 1V1, 2V1 e 3V1. O PLC B inicia uma segunda parada destes três atuadores
desenergizando 1V0.
Enquanto a proteção intertravada estiver na posição aberta, é necessário que seja assegurado que
uma falha no sinal de comando de habilitação do PLC A não leve a uma partida inesperada. Isto é
atingido pela ação de PLC B desenergizando K1, assim que o motor da mesa giratória tiver atingido
a parada total, e também desenergizando 1V0 para evitar uma ativação do cilindro de inserção da
esfera ou do cilindro de inserção do parafuso.
A estimativa do PL para a SRP/CS que desempenha SF 1 foi realizada conforme descrito a seguir:
As partes relacionadas à segurança da função de parada SF 1.0 e sua divisão em canais podem
ser ilustradas pelo diagrama de blocos relacionado à segurança, mostrado na Figura E.5.
B1 PLC A T1a
B2 PLC B K1 T1b
SRP/CSI SRP/CSL/O
c) Estimativa da DCavg
O DCavg foi calculado para ambas SRP/CS a partir do DC do ensaio interno, e medidas de moni-
toramento foram aplicadas aos diferentes componentes.
As seguintes medidas de diagnóstico são providas na SRP/CSL/O de SF 1.0, SF 1.1, SF 1.2 e SF 1.3:
—— monitoramento do contator, K1, pelo PLC A por meio da posição dos contatos K1;
—— monitoramento indireto da própria placa de saída do PLC A por meio de 1S2, 2S2, 3S1 e G1;
—— monitoramento de T1b pelo PLC A por meio da posição de contato do relé de bloqueio de pulsos;
—— monitoramento indireto do PLC B pelo PLC A por meio da posição dos contatos K1;
—— detecção de falha de PLC A, T1a e 1V1, 2V1 e 3V1 por meio da observação do processo.
Estima-se que as medidas adequadas contra falha de causa comum (separação, diversidade,
proteção contra sobrepressão, ambiental) tenham sido tomadas para ambas SRP/CS de SF 1.0,
SF 1.1, SF 1.2 e SF 1.3, que, de acordo com a ISO 13849-1:2006, Anexo F, resulta em uma pon-
tuação de 75 pontos para cada SRP/CS.
—— Categoria 3;
—— DCavg alta;
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, porém com DCavg restrito a
médio (Categoria 3), isto provê um resultado de PL d.
—— Categoria 3;
—— DCavg médio;
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL d.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
De acordo com a ISO 13849-1:2006, 6.3, e levando em consideração que a SRP/CS individual
para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 tem os mesmos valores de PL, o PL da combinação total
de SRP/CS para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é determinado conforme descrito a seguir:
—— PLbaixo = d
—— Nbaixo = 2
O PL para a combinação de SRP/CS para cada SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é, portanto, PL d.
NOTA O cálculo do PL resultante pela adição dos valores de PFH de todos os subsistemas levará
a um resultado mais preciso.
g) Falhas sistemáticas
Estima-se que as medidas adequadas contra falha sistemática tenham sido aplicadas à SRP/CS
para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 de acordo com a ISO 13849-1:2006, Anexo G.
Quando a máquina está no modo de ajuste e a proteção intertravada está na posição aberta, a mesa
giratória somente pode movimentar-se a uma velocidade limitada de forma segura (SLS), a qual é
medida por G1 e G2. O PLC A monitora o sinal de G1 e PLC B monitora o sinal de G2, com ambos
CLP desempenhando as comparações de velocidade desejada/real de forma independente.
Se a velocidade não for reduzida com êxito ao valor limitado pelo inversor T1a, então o PLC A pode
reagir provendo um sinal de parada ao inversor (T1a), e PLC B pode reagir ativando o bloqueio
de pulsos temporizado no inversor (T1b) por meio de K1.
G2 PLC B K1 T1b
O diagrama pode ser mapeado conforme a arquitetura designada para a Categoria 3, de modo
que a função de segurança seja desempenhada por uma SRP/CS, como mostrado na Figura E.9.
SRP/CSI/L/O
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
c) Estimativa do DCavg
O DCavg foi calculado para a SRP/CS a partir do DC do teste interno, e medidas de monitoramento
aplicadas aos diferentes componentes.
—— monitoramento do contator, K1, pelo PLC A por meio da posição dos contatos de K1;
—— monitoramento indireto de G1, T1a e PLC A pelo PLC B por meio de G2;
—— monitoramento indireto de T1b pelo PLC A por meio da posição de contato do relé de bloqueio
de pulsos;
—— monitoramento indireto de G2 e PLC B pelo PLC A por meio da posição dos contatos de K1;
—— monitoramento de G2 pelo PLC B (após pressionar S4, PLC B verifica quanto à existência
de pulsos em G2; se não houver nenhum, o PLC B desenergiza T1b).
De acordo com a ISO 13849-1:2006, Anexo E, estas medidas de diagnóstico proveem um resul-
tado de DCavg médio (90 %) para a SRP/CS.
Estima-se que as medidas adequadas contra falha de causa comum (separação, diversidade,
proteção contra sobrepressão, ambiental) tenham sido tomadas para a SRP/CS, que, de acordo
com a ISO 13849-1:2006, Anexo F, resultam em uma pontuação de 75 pontos para a SRP/CS.
—— Categoria 3;
—— DCavg médio;
Aplicando estes valores segundo a ISO 13849-1:2006, Figura 5, porém com DCavg restrito à
médio (Categoria 3), obtém-se PL d como resultado.
f) Falhas sistemáticas
Estima-se que as medidas adequadas contra falhas sistemáticas tenham sido aplicadas à SRP/CS
de acordo com a ISO 13849-1:2006, Anexo G.
O movimento da mesa giratória (a uma velocidade limitada segura) com a proteção intertravada
aberta é iniciado e permanece enquanto o botão de pressão S4 é acionado, e cessa quando o botão
de pressão é liberado. Quando o botão de pressão está na posição liberada, a partida inesperada
tem que ser evitada. O sinal do botão de pressão S4 é processado por ambos os CLP.
S4
PLC B K1 T1b
SRP/CSI SRP/CSL/O
O MTTFd para a SRP/CSI (botão de pressão de operação manual contínua) é calculado utilizando
o valor de B10d do fabricante para prover um resultado de MTTFd alto.
c) Estimativa do DCavg
O DCavg foi calculado para ambas SRP/CS a partir da DC do teste interno, e medidas de monito-
ramento foram executadas nos diferentes componentes.
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL c.
—— SRP/CSL/O:
—— Categoria 3;
—— DCavg médio;
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL d.
—— PLbaixo = c
—— Nbaixo = 1
O PL para a combinação de SRP/CS para cada SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é, portanto, PL c.
g) Falhas sistemáticas
Estima-se que as medidas adequadas contra falhas sistemáticas tenham sido tomadas para
ambas SRP/CS de SF 3 de acordo com a ISO 13849-1:2006, Anexo G.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
E.5 Validação
E.5.1 Generalidades
Conforme declarado em E.1, o exemplo foi reduzido para a validação do comportamento da falha e os
meios de diagnóstico das funções de segurança SF 1.0 e SF 1.3.
b) Verificar o valor de DC designado a cada medição de diagnóstico (DC) para uma unidade específica.
A análise FMEA é utilizada para checar os valores de DC designados a cada unidade monitorada
de cada SRP/CS, e também o comportamento da falha do sistema.
Como a função de segurança SF 1 tem que atender tanto à parada de segurança e subsequente
prevenção contra partida inesperada, a análise de falhas para cada componente associado é consi-
derada em uma linha separada para cada um destes requisitos.
Para a análise, as listas de falhas adequadas providas nos Anexos A, B, C e D foram utilizadas.
A análise FMEA quanto às funções de segurança SF 1.0 e SF 1.3, incluindo casos de ensaio, é agora
considerada.
E.5.3.1 SF 1.0
A fim de facilitar a análise de SF 1.0, seu diagrama de blocos relacionado à segurança é reproduzido
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
na Figura E.12.
B1 PLC A T1a
B2 PLC B K1 T1b
SRP/CSI SRP/CSL/O
Componente/ Ensaios de
Falha potencial Detecção da falha Efeito/reação
unidade confirmação
A falha é reconhecida de
forma independente por
O motor elétrico M1
PLC A e PLC B por meio Aplicar um nível lógico
O contato não abre é desligado por meio
da alteração de sinal em alto “1” constante na
quando a proteção de T1a pelo PLC A e
F1 B2 quando a função de entrada relevante de
Interruptor de está aberta (falhas por meio de K1 e T1b
a segurança é requerida ambos os CLP antes
intertravamento mecânicas). (abertura da proteção de
pelo PLC B e a partida
da proteção ser aberta.
B1 inesperada é impedida.
segurança, verificação de
plausibilidade).
Uma verificação de plausibilidade de B1 e B2 pelos PLC A e PLC B provê um DC de 99 % para B1 (ver ISO 13849-1:2006,
Tabela E.1).
A falha é reconhecida de
forma independente por O motor elétrico M1
Aplicar um nível lógico
O contato não abre PLC A e PLC B por meio é desligado por meio
alto “1” constante na
quando a proteção está da alteração de sinal em B1 de T1a pelo PLC A e
F3 entrada relevante de
aberta (falhas elétricas quando a função de segurança por meio de K1 e T1b
ambos os CLP antes
ou mecânicas). é requerida (abertura da pelo PLC B e partida
Interruptor de da proteção ser aberta.
proteção de segurança, inesperada é impedida.
intertravamento verificação de plausibilidade).
B2
A falha é reconhecida de O motor elétrico M1
Fechamento Aplicar um nível lógico
forma independente e é desligado por meio
espontâneo do contato alto “1” constante na
imediatamente pelos PLC A de T1a pelo PLC A e
F4 enquanto a proteção entrada relevante de
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
NOTA Os condutores não estão incluídos na análise de falhas, porque é considerado que eles somente falham devido a causas
sistemáticas.
a As falhas elétricas podem ser excluídas, porque B1 possui um modo direto de acionamento (ver IEC 60947-5-1:2003, Anexo K).
A partir da análise, pode ser deduzido que quaisquer falhas individuais na SRP/CSI serão detectadas
imediatamente, ou na próxima demanda para a função de segurança. Quando uma falha isolada
ocorre, a função de segurança é sempre realizada e a partida inesperada é impedida.
Estas características são típicas para a Categoria 3, selecionada no projeto (ver E.4.1), a fim de
atender à especificação do requisito de segurança provido em E.3 (PLr).
A fim de checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última
coluna da Tabela E.3 podem ser aplicados.
Componente/ Ensaios de
Falhas potenciais Detecção da falha Efeito/reação
unidade confirmação
O motor elétrico M1 é
A falha é reconhecida desligado pelo PLC B por
pelo PLC B por meio meio de K1 e T1b após um
da leitura de G2 para retardo de tempo, quando
comparar seu sinal a proteção está aberta, e a
relativo ao tempo com a partida é impedida
alteração esperada do No caso de falhas detectadas
Falha de bit forçado número de rotações. pelo PLC A por meio da
(stuck-at-fault) nas Algumas falhas (por leitura de G1 durante o
placas de entrada/saída exemplo, placas de desligamento operacional,
Aplicar um nível
ou codificação forçada saída) são reconhecidas o PLC A informa o PLC B.
lógico alto na
ou errada, ou nenhuma pelo PLC A por meio Como resultado de reportar
saída da função de
F1 PLC A execução na CPU, o da leitura de G1 em o PLC B, o motor elétrico
parada do PLC A
que evita que o PLC A um desligamento M1 é desligado e a partida
antes da proteção
envie um comando de operacional do motor é impedida pelo PLC B.
ser aberta.
parada paraa T1a antes elétrico M1 ou quando a No caso de falhas detectadas
ou quando a proteção função de segurança é pelo WD, PLC A tenta
está aberta. exigida. desligar o motor elétrico M1
Outras falhas podem e impede a partida por meio
ser detectadas de T1a antes que a função de
antecipadamente pela segurança seja exigida ou
função do dispositivo antes que o motor elétrico
temporizador interno M1 atinja um desligamento
(WDa) do PLC A. operacional e, em seguida,
ela informa o PLC B.
Componente/ Ensaios de
Falhas potenciais Detecção da falha Efeito/reação
unidade confirmação
Como resultado do monitoramento indireto de PLC A pelo PLC B por meio de G2, o monitoramento indireto do PLC A da sua própria placa
de saída por meio de G1, monitoramento da sequência do programa pelo dispositivo temporizador interno, e detecção de falha por meio
da observação do processo, é considerado para o PLC A um DC de 90 % (ver ISO 13849-1:2006, Tabela E.1).
As medidas acima podem ser consideradas de acordo com a ISO 13849-1:2006, Tabela E.1, NOTA 2.
NOTA É considerado que a maioria das falhas do PLC ocorrem nas placas de entrada/saída e são do tipo bit forçado (stuck-at-type)
(90 % de todas as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento
do programa.
O motor elétrico M1 é
A falha é reconhecida
desligado pelo PLC B por
pelo PLC B por meio da
meio de K1 e T1b após um
Falha de bit forçado leitura de G2 quando a
retardo de tempo quando a
(stuck-at-fault) e função de segurança é
proteção está aberta, e a Forçar a entrada
outras falhas internas exigida.
partida, impedida. de parada do
complexas na eletrônica A falha também é
F3 de controle e energia do O PLC A informa o PLC B inversor para nível
reconhecida pelo PLC A
inversor, o que impede quando uma falha é reconhecida lógico alto antes ou
por meio da leitura de
T1a de parar o motor durante a parada operacional. quando a proteção
G1 em uma parada está aberta.
antes ou quando a Como resultado do envio
operacional do motor
proteção está aberta. da informação ao PLC B,
elétrico M1 ou quando a
o motor elétrico M1 é
função de segurança é
desligado e a partida é
exigida.
impedida pelo PLC B.
A falha não pode ser
Inversor T1a O motor elétrico M1 permanece
reconhecida pelo PLC B
desligado pelo PLC B por
por meio da leitura de G2
Falha de bit forçado meio de K1 e T1b enquanto
porque o motor M1
(stuck-at-fault) e a proteção está aberta.
permanece desligado
outras falhas internas pelo PLC B por meio de K1 Ao fechar a proteção, uma
complexas na eletrônica e T1b enquanto a partida involuntária do motor Aplicar o sinal
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Componente/ Ensaios de
Falhas potenciais Detecção da falha Efeito/reação
unidade confirmação
Como resultado do monitoramento indireto de PLC B pelo PLC A por meio da posição do contato de realimentação de K1 e monitoramento
da sequência do programa pelo dispositivo temporizador interno, é considerado para o PLC B um DC de 90 %.
NOTA É considerado que a maioria das falhas do PLC ocorre nas placas de entrada/saída e são do tipo forçado (90 % de todas as
falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento do programa.
O monitoramento do relé contator K1 pelo PLC A por meio da posição do contato de realimentação ligado mecanicamente a K1, provê um
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
O monitoramento do relé interno T1b (bloqueio de pulso) pelo PLC A provê um DC de 99 % para T1b.
a Algumas falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos CLP
de enviarem um comando de parada ao inversor ou a uma válvula, ou a incapacidade de manter-se um comando de parada no inversor
ou em uma válvula) podem ser detectadas pela função WD.
A partir da análise, pode ser deduzido que as falhas individuais na SRP/CS serão detectadas
imediatamente, ou em uma parada operacional do motor elétrico M1, ou na próxima demanda
sob a função de segurança. Quando uma única falha ocorre, a função de segurança é sempre
realizada. Reativação é possível somente com um canal, no caso de falhas não detectadas em
PLC A e PLC B.
Estas características são típicas para a Categoria 3, selecionada no projeto (ver E.4.1), a fim de
atender à especificação do requisito de segurança provida em E.3 (PLr).
Para checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última
coluna da Tabela E.4 podem ser aplicados.
E.5.3.2 SF 1.3
A fim de facilitar a análise do SF 1.3, seu diagrama de blocos relacionado à segurança é reproduzido
na Figura E.13.
B1 PLC A 3V1
B2 PLC B 1V0
SRP/CSI SRP/CSL/O
O motor pneumático A3 é
desligado pelo PLC B por
meio de 1V0 após um retardo
de tempo quando a
proteção estiver aberta.
Algumas falhas (por
exemplo, placas de saída) No caso de falhas detectadas
Falha de bit forçado são reconhecidas pelo pelo PLC A por meio da
(stuck-at-fault) nas PLC A por meio da leitura de 3S1 durante o
placas de entrada/ leitura do sensor de desligamento operacional,
saída ou bit não pressão 3S1 em um o PLC A informa o PLC B Aplicar um nível
correspondente ou desligamento operacional que, por sua vez, desliga lógico alto na saída
F1 PLC A codificação errada ou do motor pneumático A3 A3 por meio de 3V1 e 3V1 do PLC A
nenhuma execução ou quando a função de impede o rearme. antes da proteção
na CPU, o que evita segurança é exigida. Para falhas detectadas ser aberta.
que o PLC A desligue pelo WD, o PLC A tenta
3V1 antes ou quando a Outras falhas podem desligar o motor pneumático
proteção for aberta. ser detectadas
antecipadamente pela A3 e para evitar a reativação
função WDa do PLC A. por meio do 3V1 antes
que a função de segurança
seja exigida ou antes que o
motor pneumático A3 seja
desligado e, em seguida,
informa o PLC B.
O motor pneumático A3 é
mantido desligado pelo PLC B
por meio de 1V0 enquanto
a proteção estiver aberta.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Como resultado do monitoramento indireto do PLC A da sua própria placa de saída por meio de 3S1 e monitoramento da sequência
do programa pela função WD (watchdog), o PLC A é considerado para ter um DC de 90 %.
NOTA É considerado que a maioria das falhas do PLC ocorrem nas placas de entrada/saída e são do tipo bit forçado (stuck-at-type)
(90 % de todos as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequencia-
mento do programa.
O motor pneumático A3 é
Sem comutação A falha é reconhecida pelo
desligado pelo PLC B por
(emperramento na PLC A por meio da leitura
meio de 1V0 após um retardo
posição extrema) ou do sensor de pressão 3S1,
de tempo quando a proteção Manter os sinais de
comutação incompleta no desligamento do motor
estiver aberta. controle elétricos e
(emperramento em pneumático A3, ou quando
F3 uma posição aleatória a função de segurança é O PLC A informa ao PLC B pneumáticos para
exigida. quando uma falha é 3V1 a um alto nível
intermediária) ou
alteração nos tempos reconhecida. Como base na enquanto a proteção
As falhas são também
de comutação, antes mesma informação, o PLC B estiver aberta.
detectadas pelo operador
ou quando a proteção desliga o motor pneumático
por meio da observação
estiver aberta. A3 por meio de 1V0 e qualquer
Válvula- do processo.
reativação é evitada.
solenoide de
controle Alteração espontânea
direcional 3V1 da posição de
comutação inicial (sem
um sinal de entrada)
enquanto a proteção
estiver aberta.
F4 NOTA Esta falha pode – – –
ser excluída porque 3V1
tem molas devidamente
comprovadas, e a
instalação normal e as
condições de operação
são aplicadas.
Como resultado do monitoramento indireto de 3V1 pelo PLC A por meio de 3S1 e a detecção da falha por meio da observação do processo,
o DC para 3VA pode ser considerado 99 %.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
O motor pneumático A3 é
imediatamente desligado pelo
PLC A por meio de 3V1
quando a proteção estiver
aberta.
Falha de bit forçado Algumas falhas (por exemplo, No caso de falhas
(stuck-at-fault) nas placas de saída) são detectadas pelo PLC B por
placas de entrada/ reconhecidas pelo PLC B meio da leitura do interruptor
saída ou bit não por meio da leitura do de pressão 1S0, PLC B Aplicar um alto nível
correspondente ou interruptor de pressão 1S0 informa ao PLC A e mantém lógico na saída 1V0
F5 PLC B codificação errada, ou quando a função de K1 desativado. O PLC A do PLC B antes da
nenhuma execução segurança é exigida. evita o rearme baseado proteção ser aberta.
na CPU, o que evita
Outras falhas podem ser nesta mesma informação.
que o PLC B desligue
1V0 antes ou quando a detectadas antecipadamente Para falhas detectadas pelo
proteção estiver aberta. pela função WDa do PLC B. WD, PLC B tenta informar
PLC A e em seguida desligar
o motor pneumático A3 por
meio de 1V0 e evitar a
reativação antes que a função
de segurança seja exigida.
O motor pneumático A3 é
mantido desligado pelo
PLC A por meio de 3V1
enquanto a proteção estiver
Falha de bit forçado aberta.
(stuck-at-fault) nas No caso de falhas detectadas
Algumas falhas (por exemplo,
placas de entrada/ placas de saída) são pelo PLC B por meio da
saída ou bit não imediatamente reconhecidas leitura do pressostato 1S0, Alterar a saída 1V0
correspondente ou pelo PLC B por meio da o PLC B informa o PLC A do PLC B para nível
F6 codificação errada, ou leitura do pressostato 1S0.e mantém K1 desativado. alto enquanto a
nenhuma execução O PLC A evita o rearme proteção estiver
na CPU, o que impede Outras falhas podem ser baseado nesta mesma aberta.
que o PLC B ligue 1V0 detectadas antecipadamente informação.
enquanto a proteção pela função WDa do PLC B.
No caso de falhas
estiver aberta. detectadas pelo WD, o PLC B
tenta informar o PLC A e em
seguida manter desligado
o motor pneumático A3 por
meio de 1V0 e evitar o rearme.
Como resultado do monitoramento indireto pelo PLC B da sua própria placa de saída por meio de 1S0, do monitoramento indireto do PLC B
pelo PLC A, por meio da leitura da posição de K1 atrasvés do seu contato NF de monitoramento, por haver o monitoramento da sequência
do programa pelo dispositivo temporizador interno (WD) watchdog, o DC do PLC B pode ser considerado 90%.
NOTA É considerado que a maioria das falhas do PLC ocorre nas placas de entrada/saída e são do tipo bit não correspondente (90%
de todas as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento do
programa.
Alteração espontânea da
posição de comutação
inicial (sem um sinal de
entrada) enquanto a
Válvula proteção estiver aberta.
F8 NOTA Esta falha pode – – –
magnética 1V0
ser excluída, porque 1V0
possui molas devidamente
comprovadas, e condições
normais de instalação e
operação são aplicadas.
O monitoramento indireto de 1V0 pelo PLC B por meio de 1S0 resulta em um DC de 99 % para 1V0.
a Algumas falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos CLP
de enviarem um comando de parada ao inversor ou a uma válvula, ou incapacidade de manterem um comando de parada no inversor
ou em uma válvula) podem ser detectadas pela função WD.
A partir da análise, pode ser deduzido que a maioria das falhas únicas na SRP/CS serão detectadas,
ou imediatamente, ou mediante a uma parada operacional do motor pneumático, A3, ou na próxima
demanda da função de segurança. Quando uma única falha ocorre, a função de segurança é sempre
realizada. Reativação é possível somente com um canal, no caso de falhas não detectadas nos CLP
A e CLP B.
A análise determina que os valores de DC presumidos durante o projeto da SRP/CSL/O são adequa-
dos. Levando em consideração os valores de MTTFD estimados e os valores de DC para os vários
componentes utilizados em SRP/CSL/O, um resultado de DCavg médio (90 %) é atingido, como foi
estimado durante o projeto.
Estas são características típicas de Categoria 3, selecionada no projeto (ver E.4.1), a fim de atender
à especificação do requisito de segurança provida em E.3 (PLr).
Para checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última
coluna da Tabela E.5 podem ser aplicados.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Bibliografia
[1] ISO 4079-1, Rubber hoses and hose assemblies – Textile-reinforced hydraulic types –
Specification – Part 1: Oil-based fluid applications
[2] ISO 4413:2010, Hydraulic fluid power – General rules and safety requirements for systems
and their components
[3] ISO 4414:2010, Pneumatic fluid power – General rules and safety requirements for systems
and their components
[4] ISO 4960, Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %
[6] ISO 11161, Safety of machinery – Integrated manufacturing systems – Basic requirements
[7] ISO 13850, Safety of machinery – Emergency stop – Principles for design
[8] ISO 13851, Safety of machinery – Two-hand control devices – Functional aspects and design
principles
[9] ISO 13855, Safety of machinery – Positioning of safeguards with respect to the approach speeds
of parts of the human body
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
[10] ISO 13856 (all parts), Safety of machinery – Pressure-sensitive protective devices
[12] ISO 14119:1998, Safety of machinery – Interlocking devices associated with guards – Principles
for design and selection
[13] IEC 60204-1:2005, Safety of machinery – Electrical equipment of machines – Part 1: General
requirements
[16] IEC 60664 (all parts), Insulation coordination for equipment within low-voltage systems
[17] IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects
analysis (FMEA)
[18] IEC 60893-1, Insulating materials – Industrial rigid laminated sheets based on thermosetting
resins for electrical purposes – Part 1: Definitions, designations and general requirements
[21] IEC 61078, Analysis techniques for dependability – Reliability block diagram and boolean methods
[23] IEC 61131-2, Programmable controllers – Part 2: Equipment requirements and tests
[25] IEC 61249 (all parts), Materials for printed boards and other interconnecting structures
[27] IEC 61558 (all parts), Safety of power transformers, power supplies, reactors and similar products
[28] IEC 61800-5-2, Adjustable speed electrical power drive systems – Part 5-2: Safety
requirements – Functional
[30] EN 952:1996, Safety of machinery – Safety requirements for fluid power systems and their
components – Hydraulics
[31] EN 953:1996, Safety of machinery – Safety requirements for fluid power systems and their
components – Pneumatics
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
[33] EN 60730 (all parts), Automatic electric controls for household and similar use
[34] JESD22A121.01,Test method for measuring whisker growth on tin and alloy surfaces finishes 1
[35] JESD201, Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and
Alloy Surface Finishe1
1 JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834,
www.jedec.org/download/search/22a1121-01.pdf