You are on page 1of 23

Cpia no autorizada

JUL 1998

NBR 14153

ABNT-Associao Brasileira de Normas Tcnicas


Sede: Rio de Janeiro Av. Treze de Maio, 13 - 28 andar CEP 20003-900 - Caixa Postal 1680 Rio de Janeiro - RJ Tel.: PABX (21) 210 -3122 Fax: (21) 220-1762/220-6436 Endereo Telegrfico: NORMATCNICA

Segurana de mquinas - Partes de sistemas de comando relacionadas segurana - Princpios gerais para projeto

Copyright 1994, ABNTAssociao Brasileira de Normas Tcnicas Printed in Brazil/ Impresso no Brasil Todos os direitos reservados

Origem: Projeto 04:016.01-023:1997 CB-04 - Comit Brasileiro de Mquinas e Equipamentos Mecnicos CE-04:016.01 - Comisso de Estudo de Mquinas Injetoras de Plstico NBR 14153 - Safety of machinery - Safety related parts of control systems General principles for design Descriptors: Control systems. Safety of machines. Machine control Esta Norma foi baseada na EN 954-1:1996 Vlida a partir de 01.09.1998 Palavras-chave: Sistema de comando. Segurana de mquina. Comando de mquina 23 pginas

Sumrio
Prefcio Introduo 1 Objetivo 2 Referncias normativas 3 Definies 4 Consideraes gerais 5 Caractersticas de funes de segurana 6 Categorias 7 Considerao de defeitos 8 Validao 9 Manuteno 10 Informaes para utilizao ANEXOS A Questionrio para o processo de projeto B Guia para a seleo de categorias C Lista de alguns defeitos e falhas significativos para vrias tecnologias D Relao entre segurana, confiabilidade e disponibilidade para mquinas E Bibliografia

Os Projetos de Norma Brasileira, elaborados no mbito dos CB e ONS, circulam para Votao Nacional entre os associados da ABNT e demais interessados. Esta Norma contm os anexos A, B, C, D e E, de carter informativo. Usou-se como texto de referncia para este trabalho a EN 954-1:1994 - Safety of machinery - Safety related parts of control systems - Part 1: General principles for design.

Introduo
Partes de sistemas de comando de mquinas tm, freqentemente, a atribuio de prover segurana; essas so chamadas as partes relacionadas segurana. Essas partes podem consistir de hardware e software e desempenham as funes de segurana de sistemas de comando. Podem ser parte integrante ou separada do sistema de comando. O desempenho, com relao ocorrncia de defeitos, de uma parte de um sistema de comando, relacionada segurana, dividido, nesta Norma, em cinco categorias (B, 1, 2, 3 e 4), que devem ser usadas como pontos de referncia. No objetivo a utilizao dessas categorias, em qualquer ordem de hierarquia, com respeito a requisitos de segurana. As categorias podem ser aplicadas para: - comandos para todo tipo de mquinas, desde simples mquinas (por exemplo, pequenas mquinas

Prefcio
A ABNT - Associao Brasileira de Normas Tcnicas - o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (CB) e dos Organismos de Normalizao Setorial (ONS), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).

Cpia no autorizada

NBR 14153:1998

para a cozinha) at complexas instalaes de manufatura (por exemplo, mquinas de embalagem, mquinas de impresso, prensas, etc.); - sistemas de comando de equipamentos de proteo, por exemplo, dispositivos de comando a duas mos, dispositivos de intertravamento, dispositivos de proteo eletrossensitivos, por exemplo, barreiras fotoeltricas, e plataformas sensveis presso. A categoria selecionada depender da mquina e da extenso a que os meios de comando so utilizados para medidas de proteo. Na seleo de uma categoria e no projeto de uma parte de um sistema de comando, relacionada segurana, o projetista dever declarar, ao menos, as seguintes informaes, relativas parte relacionada segurana: - a(s) categoria(s) selecionada(s); - a caracterstica funcional e a exata finalidade da parte na(s) medida(s) de segurana; - os limites exatos (ver 3.1); - todos os defeitos relevantes segurana considerados; - aqueles defeitos relevantes segurana no considerados pela excluso de defeitos e as medidas empregadas para permitir sua excluso; - os parmetros relevantes confiabilidade, tais como condies ambiente; - a(s) tecnologia(s) aplicada(s). O uso das categorias, como pontos de referncia e essa declarao nos princpios de projeto, tem o objetivo de permitir a utilizao flexvel desta Norma e proporcionar uma base clara, sobre a qual o projeto e o desempenho de qualquer aplicao da parte de um sistema de comando (e a mquina), relacionada segurana, possam ser avaliados, por exemplo, por terceiros, em ensaios internos ou em laboratrios independentes.

Esta Norma abrange todas as aplicaes de mquinas, para uso profissional ou no profissional. Tambm, onde apropriado, esta Norma pode ser aplicada s partes de sistemas de comando relacionadas segurana, utilizadas em outras aplicaes tcnicas.

2 Referncias normativas
As normas relacionadas a seguir contm disposies que, ao serem citadas neste texto, constituem prescries para esta Norma. As edies indicadas estavam em vigor no momento desta publicao. Como toda norma est sujeita reviso, recomenda-se queles que realizam acordos com base nesta que verifiquem a convenincia de se usarem as edies mais recentes das normas citadas a seguir. A ABNT possui a informao das normas em vigor em um dado momento. NBR 13759:1996 - Segurana de mquinas - Equipamentos de parada de emergncia, aspectos funcionais - Princpios para projeto NBR 14009:1997 - Segurana de mquinas Princpios para apreciao de riscos EN 292-1:1991 Safety of machinery - Basic concepts, general principles for design - Part 1: Basic terminology, methodology. EN 292-2:1991 - Safety of machinery - Basic concepts, general principles for design - Part 2: Technical principles and specifications. EN 457:1992 - Safety of machinery - Auditory danger signals - General requirements, design and testing EN 614-1:1995 - Safety of machinery - Ergonomic design principles - Part 1: Treminology and general principles EN 775:1992 - Manipulating industrial robots - Safety EN 842:1996 - Safety of machinery - Visual danger signals - General requirements, design and testing EN 981:1996 - Safety of machinery - System of danger and non-danger signals with sound and light EN 982:1996 - Safety of machinery - Safety requeriments for fluid power systems an components - Hydraulics EN 983:1996 - Safety of machinery - Safety requeriments for fluid power systems an components - Pneumatics EN 1037:1995 - Safety of machinery - Prevention of unexpected start-up EN 60204 -1:1992 - Electrical equipment of machines - Part 1: General requeriments

1 Objetivo
Esta Norma especifica os requisitos de segurana e estabelece um guia sobre os princpios para o projeto (ver EN 292-1) de partes de sistemas de comando relacionadas segurana. Para essas partes, especifica categorias e descreve as caractersticas de suas funes de segurana. Isso inclui sistemas programveis para todos os tipos de mquinas e dispositivos de proteo relacionados. Esta Norma se aplica a todas as partes de sistemas de comando relacionadas segurana, independentemente do tipo de energia aplicado, por exemplo, eltrica, hidrulica, pneumtica, mecnica. Esta Norma no especifica que funes de segurana e que categorias devem ser aplicadas em um caso particular.

Cpia no autorizada

NBR 14153:1998

EN 60335-1:1994 Safety of household and similar electric appliances - Part 1: General requirements IEC 50(191):1990 - International Eletrotechnical Vocabulary, Chapter 191: Dependability and quality of service

para permitir mquina (como um sistema) alcanar um estado seguro. 3.8 pausa: Suspenso temporria automtica da(s) funo(es) de segurana, por partes do sistema de comando, relacionadas segurana. 3.9 rearme manual: Funo com que as partes de um sistema de comando relacionadas segurana recuperam, manualmente, suas funes de segurana, antes do reincio de operao da mquina.

3 Definies
Para os efeitos desta Norma, aplicam-se s definies das EN 292-1 e IEC 50(191) e as seguintes: 3.1 parte de sistema de comando relacionada segurana: Parte ou subparte de sistema de comando, que responde a sinais de entrada do equipamento sob comando (e/ou de um operador) e gera sinais de sada relacionados com segurana. As partes combinadas de um sistema de comando relacionadas segurana comeam no ponto em que os sinais relacionados segurana so gerados e findam na sada dos elementos de controle de potncia (ver tambm EN 292-1). Isto tambm inclui sistemas de monitorao. 3.2 categoria: Classificao das partes de um sistema de comando relacionadas segurana, com respeito sua resistncia a defeitos e seu subseqente comportamento na condio de defeito, que alcanada pelos arranjos estruturais das partes e/ou por sua confiabilidade. 3.3 segurana de sistemas de comando: Habilidade de desenvolver sua(s) funo(es) para um dado perodo, de acordo com sua categoria especificada, baseada em seu comportamento no caso de defeito(s). 3.4 defeito: Estado de um item caracterizado pela inabilidade de desenvolver a funo requerida, excluindo a inabilidade durante manutenes preventivas ou outras aes planejadas, ou devido perda de recursos externos.
NOTA - Um defeito , freqentemente, o resultado de uma falha do prprio item, porm pode existir sem falha prvia.

4 Consideraes gerais
4.1 Objetivos de segurana no projeto As partes de um sistema de comando relacionadas segurana, que proporcionam as funes de segurana, devem ser projetadas e construdas de tal forma que os princpios da NBR 14009 sejam integralmente considerados: - durante toda a utilizao prevista e utilizao incorreta previsvel; - na ocorrncia de defeitos; - quando erros humanos previsveis forem cometidos durante a utilizao planejada da mquina como um todo. 4.2 Estratgia geral para projeto Dos princpios para a apreciao de riscos na mquina (ver NBR 14009), o projetista deve decidir sobre a contribuio reduo do risco, que precisa ser suprida por cada parte das partes do sistema de comando relacionadas segurana (ver anexo B). Esta contribuio no cobre a totalidade dos riscos da mquina sob comando; por exemplo, no considerado o risco total de uma prensa mecnica ou uma mquina de lavar, porm a parte do risco reduzida pela aplicao de funes de seguranas particulares. Exemplos de tais funes so a funo de parada iniciada pela utilizao de um dispositivo de proteo eletrossensitivo em uma prensa ou a funo de bloqueio de uma porta de mquina de lavar. O principal objetivo que o projetista assegure que as partes de um sistema de comando relacionadas segurana produzam sinais de sada que atinjam os objetivos de reduo de riscos da NBR 14009. Isto no sempre possvel, mas o projetista deve, em tais casos, gerar outras medidas de segurana. A hierarquia para a estratgia na reduo do risco dada na EN 292-1. A categoria e outras caractersticas (por exemplo, posio fsica de partes, isolao), selecionadas pelo projetista para as partes relacionadas segurana, dependem da contribuio feita reduo do risco, por essas partes, pelo projeto e tecnologia (ver Introduo). O projetista deve declarar: - que categoria(s) est sendo usada como ponto de referncia para o projeto;

3.6 falha: Trmino da habilidade de um item em desenvolver uma funo requerida.


NOTAS 1 Aps a falha o item tem um defeito. 2 Falha um evento, distintamente de defeito, que um estado. 3 Esse conceito, como definido, no se aplica a item constitudo apenas por software. 4 Na prtica, os termos defeito e falha so freqentemente usados como sinnimos.

3.7 funo segurana de sinais de comando: Funo iniciada por um sinal de entrada e processada pelas partes do sistema de comando, relacionadas segurana,

Cpia no autorizada

NBR 14153:1998

- os pontos exatos em que as partes relacionadas segurana tm incio e fim; - a anlise lgica do projeto (por exemplo, os defeitos considerados e os excludos) para alcanar aquela(s) categoria(s). Quanto mais a reduo do risco depender das partes de sistema de comando relacionadas segurana, maior precisa ser a habilidade dessas partes para resistir a defeitos. Essa habilidade - entendendo-se que a funo requerida cumprida - pode ser parcialmente quantificada por valores de confiabilidade e por uma estrutura resistente a defeitos. Ambos, confiabilidade e estrutura, contribuem para essa habilidade das partes relacionadas segurana em resistir a defeitos. Uma resistncia especificada a defeitos pode ser atingida pela definio de nveis de confiabilidade de componentes e/ou com estruturas melhoradas para as partes relacionadas segurana. A contribuio da confiabilidade e da estrutura pode variar com a tecnologia aplicada. Por exemplo, possvel, em uma tecnologia, para um nico canal de partes relacionadas segurana de alta confiabilidade, prover a mesma ou maior resistncia a defeitos, que em uma estrutura tolerante a defeitos, de menor confiabilidade em uma tecnologia diferente
NOTA - Quanto maior a resistncia a defeitos das partes relacionadas segurana, menor a probabilidade que esta parte falhe no cumprimento de suas funes de segurana.

O comportamento atingido para resistncia a defeitos, pelas partes de sistemas de comando relacionadas segurana, funo de vrios parmetros, incluindo, por exemplo: - confiabilidade com relao ao desempenho das funes de segurana; - estrutura (ou arquitetura) do sistema de comando; - qualidade da documentao relacionada segurana; - qualidade da especificao; - projeto, construo e manuteno; - qualidade e exatido do software; - amplitude dos ensaios funcionais; - caractersticas de operao da mquina ou parte da mquina sob comando. Esses parmetros podem ser agrupados sob trs caractersticas principais: - confiabilidade de hardware - o nvel de confiabilidade dos componentes para evitar defeitos; - estrutura do sistema - o arranjo dos componentes na parte de um sistema de comando relacionada segurana, para evitar, tolerar ou detectar defeitos; - aspectos qualitativos, no quantificveis, que afetam o comportamento da parte de um sistema de comando relacionada segurana. 4.3 Processo para a seleo e projeto de medidas de segurana Este item especifica um processo para a seleo das medidas de segurana a serem implementadas e, ento, para o projeto de partes de sistemas de comando relacionadas segurana. importante que as interfaces entre as partes relacionadas segurana e aquelas no relacionadas segurana do sistema de comando e todas as outras partes da mquina sejam identificadas. Ento, a contribuio reduo do risco pode ser especificada dentro da apreciao do risco da mquina, de acordo com a NBR 14009. Por haver muitas maneiras de reduo dos riscos de uma mquina e por haver muitas formas de projeto para as partes de sistemas de comando relacionadas segurana, este processo interativo. Decises e/ou hipteses feitas em qualquer passo do procedimento podem afetar decises e/ou hipteses feitas em algum passo anterior. Esse aspecto pode ser checado pela volta atravs do procedimento, a qualquer etapa. Tal checagem na etapa de validao essencial para assegurar que o desempenho de segurana atingido o mesmo daquele definido na especificao.

Confiabilidade e segurana no so o mesmo (ver anexo D). Por exemplo, possvel que a segurana de um sistema com componentes de baixa confiabilidade seja em uma estrutura redundante, maior que a segurana de um sistema com uma estrutura mais simples, porm com componentes de maior confiabilidade. Esse conceito importante porque, em algumas aplicaes, a segurana requer a mais alta prioridade, independentemente da confiabilidade alcanada, por exemplo, quando as conseqncias de uma falha so sempre srias e normalmente irreversveis. Em tais aplicaes, uma estrutura de deteco de defeito (tolerncia de defeito de um ciclo), que proporciona a segurana requerida aps um, dois ou mais defeitos, deve ser prevista de acordo com a apreciao do risco. Esta Norma no requer o clculo de valores de confiabilidade para estruturas complexas, onde a segurana predominantemente obtida pela melhoria da estrutura do sistema. Para estruturas simples (por exemplo, canal nico), onde a confiabilidade do componente importante para a segurana, o clculo dos valores de confiabilidade um indicador til da contribuio reduo do risco global, pela parte relacionada segurana. No caso de aplicaes de riscos menores, medidas para evitar defeitos podem ser apropriadas. Para aplicaes de riscos maiores, a melhoria da estrutura das partes de sistemas de comando relacionadas segurana pode proporcionar medidas para evitar, detectar ou tolerar defeitos. Medidas prticas incluem redundncia, diversidade, monitorao (ver tambm EN 292-2 e EN 60204-1).

Cpia no autorizada

NBR 14153:1998

O processo ilustrado na figura 1. Aspectos importantes que devem ser considerados durante o processo de projeto so dados como quesitos no anexo A, para auxlio ao projetista. Esses quesitos ilustram a filosofia a ser seguida no projeto de partes relacionadas segurana. Nem todos os quesitos so vlidos a todas as aplicaes. Algumas aplicaes requerem quesitos adicionais. Passo 1: Anlise do perigo e apreciao de riscos: - identificar os perigos presentes mquina durante todos os modos de operao e a cada estgio da vida da mquina, pelo seguimento do guia da EN 292-1 e NBR 14009; - avaliar os riscos provenientes daqueles perigos e decidir sobre a apropriada reduo de risco para essa aplicao, de acordo com as EN 292-1 e NBR 14009. Passo 2: Deciso das medidas para reduo do risco: - definir medidas de projeto na mquina e/ou a aplicao de protees para levar reduo do risco. Partes do sistema de comando que contribuem como parte integral das medidas de projeto ou no comando de protees devem ser consideradas como partes do sistema de comando relacionadas segurana. Passo 3: Especificao dos requisitos de segurana para as partes de sistemas de comando relacionadas segurana: - especificar as funes de segurana (ver seo 5) a serem cumpridas no sistema de comando. A tabela 1 lista a fonte de referncia das funes de segurana mais comuns e as caractersticas que devem ser includas se uma particular funo de segurana for selecionada; - especificar como a segurana deve ser atingida e selecionar a(s) categoria(s) para cada parte e combinaes de partes, dentro das partes de sistemas de comando relacionadas segurana (ver seo 6). Passo 4: Projeto: - projetar as partes de sistemas de comando relacionadas segurana de acordo com as especificaes desenvolvidas no passo 3, e a estratgia geral de projeto em 4.2. Listar os aspectos de projeto includos que proporcionam a base lgica de projeto para a(s) categoria(s) alcanadas;

- verificar o projeto a cada estgio, para assegurar que as partes relacionadas segurana preencham os requisitos do estgio anterior no contexto da(s) funo(es) e categoria(s) especificada(s). Passo 5: Validao: - validar as funes e categoria(s) de segurana alcanadas no projeto com relao s especificaes do passo 3. Reprojetar, se necessrio (ver seo 8); - quando a eletrnica programvel for usada no projeto de partes de sistemas de comando relacionadas segurana, outros procedimentos detalhados so necessrios (ver 8.4.2).
NOTAS 1 Atualmente acredita-se que difcil determinar, com algum grau de exatido, situaes em que um perigo significante pode ocorrer em conseqncia do mau funcionamento do sistema de comando, que a confiana da operao correta de um canal isolado de um equipamento eletrnico programvel possa ser assegurada. Durante o tempo em que essa situao possa ser resolvida, no aconselhvel confiar na operao correta de um dispositivo de tal canal isolado (de acordo com a EN 60 204-1). 2 Tambm ser necessrio validar a parte do sistema de comando relacionada segurana, em conjunto com todo o sistema de comando e como parte da mquina. Os requisitos para tal validao no fazem parte desta Norma, porm devem ser especificados pelo construtor da mquina ou em normas apropriadas do tipo C.

4.4 Princpios para o projeto ergonmico A interface entre pessoas e as partes de sistemas de comando relacionadas segurana devem ser projetadas e instaladas de tal forma que ningum seja posto em perigo durante toda utilizao planejada e mau uso previsvel da mquina (ver tambm EN 292-2, EN 614-1 e EN 60204-1). Princpios ergonmicos devem ser aplicados de tal forma que o sistema de comando e a mquina, incluindo as partes relacionadas segurana, sejam de fcil utilizao e de tal forma que o operador no seja levado a agir de maneira perigosa. Os requisitos de segurana para observao dos princpios ergonmicos dados em 3.6 da EN 292-2:1991devem ser aplicados.

Cpia no autorizada

NBR 14153:1998

Anlise de perigos na mquina (EN 292-1 e NBR 14009)

Apreciao de riscos na mquina (EN 292-1 e NBR 14009)

Passo 1 ................................................................................................................................................................................................................. Decidir medidas para atingir a reduo do risco (EN 292-1) ........................................................................................... por projeto (seo 3 da por proteo (seo 4 EN 292-2:1991) da EN 292-2:1991) outras medidas (no consideradas nesta Norma) dispositivos outras de proteo medidas (parte do (no sistema de consideradas comando) nesta Norma) (4.2.3 da EN 292-2: 1991) .............................................................................................. por meios de comando sistema de comando (3.7 da EN 292-2: 1991)

...........................................

....................................................................................................................................................................................................................

Caractersticas das funes de segurana (seo 5)

E
Realizao das funes de segurana (4.2)

E
Seleo de categoria(s) (seo 6)

Passo 3 .................................................................................................................................................................................................................... Projetar as partes de sistemas de comando relacionadas segurana (sees 4 e 6)

Passo 4 ......................................................................................................................................................................................................................

Validar as funes e categorias atingidas (seo 8)

Figura 1 - Processo interativo para o projeto de partes de sistemas de comando relacionadas segurana

> >

Especificar requisitos de segurana em termos de:

>

> >
>

> > >


Passo 2

>

>

Verificao

>
Passo 5

Cpia no autorizada

NBR 14153:1998

Tabela 1 - Lista de algumas normas que especificam requisitos para caractersticas de funes de segurana Caractersticas de funes de segurana Definies Princpios de projeto Princpios ergonmicos Funes de parada Funo parada de emergncia Rearme manual Partida e reincio Tempo de resposta Parmetros relacionados segurana Funo de comando local Pausa Suspenso manual de funes de segurana Flutuaes, falta e restaurao de fontes de energia Sistemas eletrnicos programveis Partida inesperada Indicaes e alarmes NBR 14153 EN 292-1 EN 292-2 EN 292-2:1991 anexo A Outras normas Informaes adicionais1)

3 4.2

X X X

EN 60204-1 EN 60204-1

EN 60335-1 EN 60335-1 EN 775 EN 775

4.4

EN 60204-1

5.2

EN 60204-1

EN 60335-1

5.3

NBR 13579 EN 60204-1 EN 60204-1 EN 60204-1

EN 775

5.4 5.5 5.6 5.7 X X

X X

EN 775 EN 775

EN 60204-1

EN 775 EN 60335-1

5.8

EN 775

5.9 5.10 X EN 60204-1 EN 775

5.11

EN 60204-1

EN 60204-1

EN 1037 EN 60204-1 EN 457, EN 842, EN 981, EN 60204-1

Liberao e salvamento de pessoas presas Equipamento eltrico Abastecimento eltrico Outras fontes de energia X

EN 60204-1

X X

EN 60204-1 EN 982 EN 983

Cpia no autorizada

NBR 14153:1998

Tabela 1 (concluso) Caractersticas de funes de segurana Protees e coberturas Equipamento pneumtico e hidrulico Isolao e dissipao de energia Meio ambiente fsico e condies de operao Modos de comando e seleo do modo Interfaces/ conexes Interao entre diferentes partes de sistemas de comando relacionadas segurana Interface homem - mquina
1)

NBR 14153

EN 292-1

EN 292-2

EN 292-2:1991 anexo A

Outras normas EN 60204-1

Informaes a d i c i o n a i s 1)

EN 982 EN 983

EN 1037 EN 60204-1

EN 60204-1

EN 775

EN 60204-1

EN 775

EN 60204-1

EN 60204-1

EN 60204-1

As referncias dessa coluna devem ser consideradas como um auxlio ao projetista, e no como parte dos requisitos desta Norma.

5 Caractersticas das funes de segurana


5.1 Generalidades Este item apresenta uma lista de funes tpicas de segurana (ver EN 292-1), que podem ser supridas pelas partes de sistemas de comando relacionadas segurana. O projetista (ou o elaborador de normas do tipo C) deve incluir as funes de segurana dessa lista, necessrias para alcanar as medidas de segurana requeridas do sistema de comando, para a aplicao especfica. A tabela 1 lista funes tpicas de segurana e algumas de suas caractersticas. Ela faz referncia a detalhes das caractersticas que so claramente definidas nas referncias normativas. O projetista (ou o elaborador de normas do tipo C) deve assegurar que os requisitos de todas essas normas sejam cumpridos para as funes de segurana selecionadas. Requisitos adicionais detalhados tambm so citados neste item para algumas caractersticas. Estes devem ser includos. Onde necessrio, as caractersticas devem ser adaptadas para utilizao com diferentes fontes de energia.

5.2 Funo parada Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte: - uma funo de parada iniciada por um dispositivo de proteo deve, to rpido quanto necessrio, aps sua atuao, colocar a mquina em condio segura. Esse tipo de parada deve ter prioridade sobre uma parada por razes operacionais; - quando um grupo de mquinas trabalha em conjunto, de forma coordenada, meios devem existir para sinalizar ao comando supervisor e/ou s outras mquinas que tal funo de parada existe.
NOTA - Esse tipo de parada pode causar problemas operacionais e dificultar o reincio de operao, por exemplo, em solda a arco. Em algumas aplicaes, essa funo pode ser combinada com uma parada para razes operacionais, para reduzir o incentivo manipulao da funo de segurana.

Cpia no autorizada

NBR 14153:1998

5.3 Funo parada de emergncia Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte: - quando um grupo de mquinas trabalha de forma coordenada, as partes relacionadas segurana devem ter meios de sinalizar uma funo de parada de emergncia a todas as partes do sistema coordenado; - onde sees do sistema coordenado so claramente separadas, por exemplo, protees ou localizao fsica, no sempre necessrio aplicar a parada de emergncia a todo o sistema, mas apenas a sees particulares, identificadas pela apreciao dos riscos. Aps a efetivao de uma parada de emergncia para uma seo, um perigo no deve estar presente nas interfaces dessa seo com as outras sees. 5.4 Rearme manual Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte: - aps o incio de um comando de parada por um dispositivo de proteo, a condio de parada deve ser mantida at a atuao manual do dispositivo de rearme e at que uma condio segura de operao exista; - o restabelecimento da funo segura pelo rearme do dispositivo de proteo cancela o comando de parada. Se indicado pela apreciao do risco, o cancelamento do comando de parada deve ser confirmado por uma ao manual, separada e deliberada (rearme manual). A funo rearme manual: - deve ser atuada atravs de um dispositivo separado, manualmente operado, em conjunto com as partes do sistema de comando relacionadas segurana; - somente pode ser efetivado se todas as funes de segurana e dispositivos de proteo estiverem operando. Se isso no for possvel, o rearme no deve estar disponvel; - no deve, por si s, iniciar movimento ou uma situao perigosa; - deve ser de ao deliberada; - deve preparar o sistema de comando para a aceitao de um comando de partida separado; - deve somente ser aceito pela atuao do atuador de sua posio liberada (desligado). A categoria das partes relacionadas segurana, que atuam o rearme manual, deve ser selecionada de tal forma que a incluso do rearme manual no diminua a segurana requerida da funo de segurana relevante. O atuador para rearme deve estar situado fora da rea de perigo e em posio segura, de onde se tenha boa visibilidade para a verificao da inexistncia de pessoas na zona de perigo.

5.5 Partida e reincio Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte: - o reincio do movimento deve ocorrer automaticamente, apenas se uma situao de perigo no puder existir. Em particular, para protees de controle, ver EN 292-2. Esses requisitos de partida e reincio de movimento tambm devem se aplicar a mquinas que podem ser controladas remotamente. 5.6 Tempo de resposta Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte: - o projetista ou o fabricante deve declarar o tempo de resposta, quando a apreciao do risco da parte do sistema de comando relacionada segurana indicar que isso necessrio (ver tambm seo 10).
NOTA - O tempo de resposta do sistema de comando parte do tempo total de resposta da mquina. O tempo de resposta total necessrio da mquina pode influenciar o projeto da parte relacionada segurana, por exemplo, a necessidade de aplicar um sistema de freio.

5.7 Parmetros relacionados segurana Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte: - quando parmetros relacionados segurana (por exemplo, posio, velocidade, temperatura, presso) desviam dos limites preestabelecidos, o sistema de comando deve iniciar medidas apropriadas (por exemplo, atuao da funo parada, sinal de alarme, advertncia); - se erros na entrada manual de dados, relacionados segurana, em sistemas eletrnicos programveis, podem levar a situaes de perigo, devem ser previstos sistemas de checagem de dados no sistema relacionado segurana (por exemplo, checagem de limites, formato e /ou entrada de valores lgicos). 5.8 Funo de comando local Quando uma mquina comandada no local (por exemplo, por dispositivos de comando portteis, pendentes), os seguintes requisitos tambm devem ser aplicados, em adio queles das referncias dadas na tabela 1: - os meios para seleo do comando local devem estar situados fora da zona de perigo; - no deve ser possvel iniciar condies perigosas fora da zona do comando local; - a comutao entre comando local e externo (por exemplo, remoto) no deve criar uma situao de perigo.

Cpia no autorizada

10

NBR 14153:1998

5.9 Pausa A pausa no deve resultar na exposio de qualquer pessoa a uma situao de perigo. Durante uma pausa, condies seguras devem ser asseguradas por outros meios. Ao final da pausa, todas as funes de segurana das partes relacionadas segurana do sistema de comando devem ser restabelecidas. A categoria das partes relacionadas segurana que so responsveis pela funo pausa devem ser selecionadas, de tal forma que a incluso da funo pausa no diminua a segurana requerida das funes relevantes de segurana.
NOTA - Em algumas aplicaes um sinal indicador de pausa necessrio.

mando, com relao sua resistncia a falhas, baseado na estratgia descrita em 4.2. A categoria B a categoria bsica. A ocorrncia de um defeito pode levar a perda da funo de segurana. Na categoria 1, uma maior resistncia a defeitos alcanada predominantemente pela seleo e aplicao de componentes. Nas categorias 2, 3 e 4, um desempenho melhorado, com relao funo de segurana especificada, alcanado predominantemente pela melhoria da estrutura da parte relacionada segurana do sistema de comando. Na categoria 2 isso conseguido pela checagem peridica de que a funo de segurana especificada esta sendo cumprida. Nas categorias 3 e 4 isso conseguido pela garantia de que um defeito isolado no levar perda da funo de segurana. Na categoria 4 e, sempre que razoavelmente praticvel, na categoria 3, tais defeitos sero detectados. Na categoria 4 a resistncia ao acmulo de defeitos ser especificada. A comparao direta do comportamento de resistncia a defeitos entre categorias apenas pode ser feita se for alterado um parmetro por vez. Categorias mais altas apenas podem ser interpretadas como proporcionando uma maior resistncia a defeitos em circunstncias comparveis (por exemplo, quando usando tecnologia similar, componentes de confiabilidade comparvel, regimes similares de manuteno e aplicaes comparveis). A tabela 2 oferece uma viso das categorias das partes de sistemas de comando relacionadas segurana, os requisitos e o comportamento do sistema no caso de defeitos. Quando se consideram as causas de falhas em alguns componentes, possvel a excluso de alguns defeitos (ver seo 7). 6.2 Especificao das categorias
6.2.1 Categoria B

5.10 Suspenso manual de funes de segurana Se for necessria a suspenso manual de funes de segurana (por exemplo, para configurao, ajustes, manuteno, reparos), os seguintes requisitos tambm devem ser aplicados, em adio aos requisitos das referncias citadas na tabela 1: - meios efetivos e seguros para impedir a suspenso manual nos modos de operao em que isso no for permitido; - restabelecimento das funes de segurana das partes relacionadas segurana dos sistemas de comando, antes que se possa continuar a operao normal; - a parte relacionada segurana do sistema de comando responsvel pela suspenso manual deve ser selecionada, de tal forma que os princpios da NBR 14009 sejam integralmente considerados.
NOTA - Em algumas aplicaes um sinal adicional de suspenso manual necessrio.

5.11 Flutuao, falta e retorno das fontes de alimentao Em adio aos requisitos das referncias dadas na tabela 1, deve tambm ser aplicado o seguinte: - quando ocorrem flutuaes no nvel de energia, alm dos limites considerados no projeto, incluindo o corte do fornecimento de energia, as partes relacionadas segurana de sistemas de comando devem continuar a fornecer, ou iniciar, sinais de sada, que habilitaro outras partes do sistema da mquina a manter um estado seguro.

As partes de sistemas de comando relacionadas segurana, como mnimo, devem ser projetadas, construdas, selecionadas, montadas e combinadas, de acordo com as normas relevantes, usando os princpios bsicos de segurana para a aplicao especfica, de tal forma que resistam a: - fadiga operacional prevista, como, por exemplo, a confiabilidade com respeito capacidade e freqncia de comutao; - influncia do material processado ou utilizado no processo, como, por exemplo, detergentes em mquinas de lavar; - outras influncias externas relevantes, como, por exemplo, vibraes mecnicas, campos externos, distrbios ou interrupo do fornecimento de energia.
NOTAS 1 No so aplicadas medidas especiais para segurana para as partes integrantes da categoria B. 2 Quando um defeito ocorre, ele pode levar perda da funo de segurana. Para atender aos requisitos do anexo A da EN 292-2:1991, medidas adicionais, que no so proporcionadas pelas partes relacionadas segurana de sistemas de comando, podem ser necessrias.

6 Categorias
6.1 Generalidades As partes relacionadas segurana de sistemas de comando devem estar de acordo com os requisitos de uma ou mais das cinco categorias especificadas em 6.2. Essas categorias no objetivam sua aplicao em uma seqncia ou hierarquia definidas, com relao aos requisitos de segurana. As categorias determinam o comportamento requerido, das partes relacionadas segurana de sistemas de co-

Cpia no autorizada

NBR 14153:1998

11

6.2.2 Categoria 1

6.2.3 Categoria 2

Devem ser aplicados os requisitos da categoria B e os desta subseo. As partes de sistemas de comando relacionadas segurana, de categoria 1, devem ser projetadas e construdas utilizando-se componentes bem ensaiados e princpios de segurana comprovados. Um componente bem ensaiado para uma aplicao relacionada segurana aquele que tem sido: - largamente empregado no passado, com resultados satisfatrios em aplicaes similares, ou - construdo e verificado utilizando-se princpios que demonstrem sua adequao e confiabilidade para aplicaes relacionadas segurana. Em alguns componentes bem ensaiados, certos defeitos podem tambm ser excludos, em razo de ser conhecida a incidncia de defeitos e esta ser muito baixa. A deciso de se aceitar um componente particular como bem ensaiado pode depender de sua aplicao.
NOTAS 1 Ao nvel de componentes eletrnicos isolados, normalmente no possvel o enquadramento na categoria 1. Princpios de segurana comprovados so, por exemplo: - impedimento de certos defeitos, como, por exemplo, impedimento de curtos-circuitos por isolao; - reduo da probabilidade de defeitos, como, por exemplo, superdimensionamento ou uma baixa solicitao de componentes; - pela orientao do modo de defeitos, como, por exemplo, pela garantia da abertura de um circuito, quando isso vital para remover a energia no evento de defeitos; - deteco precoce de defeitos; - restringindo as conseqncias de um defeito, como, por exemplo, aterrando o equipamento. Princpios de segurana e componentes de desenvolvimento recente podem ser considerados como equivalentes a princpios comprovados e componentes bem ensaiados, se estes atendem s condies acima mencionadas. 2 A probabilidade de uma falha na categoria 1 menor que na categoria B. Conseqentemente a perda da funo de segurana menos provvel. 3 Quando um defeito ocorre ele pode levar perda da funo de segurana. Para atender aos requisitos do anexo A da EN 292-2:1991, medidas adicionais, que no so proporcionadas pelas partes relacionadas segurana de sistemas de comando, podem ser necessrias.

Devem ser aplicados os requisitos da categoria B, o uso de princpios de segurana comprovados e os requisitos desta subseo. As partes de sistemas de comando relacionadas segurana, de categoria 2, devem ser projetadas de tal forma que sejam verificadas em intervalos adequados pelo sistema de comando da mquina. A verificao das funes de segurana deve ser efetuada: - na partida da mquina e antes do incio de qualquer situao de perigo, e - periodicamente durante a operao, se a avaliao do risco e o tipo de operao mostrarem que isso necessrio. O incio dessa verificao pode ser automtico ou manual. Qualquer verificao da(s) funo(es) de segurana deve: - permitir a operao se nenhum defeito foi constatado, ou - gerar um sinal de sada, que inicia uma ao apropriada do comando, se um defeito foi constatado. Sempre que possvel, esse sinal deve comandar um estado seguro. Quando no for possvel comandar um estado seguro, como, por exemplo, fuso de contatos no dispositivo final de comutao, a sada deve gerar um aviso do perigo. A verificao por si s no deve levar a uma situao de perigo. O equipamento de verificao pode ser parte integrante, ou no, da parte(s) relacionada(s) segurana, que processa(m) a funo de segurana. Aps a deteco de um defeito, o estado seguro deve ser mantido at que o defeito tenha sido sanado.
NOTAS 1 Em alguns casos a categoria 2 no aplicvel, em razo de no ser possvel a verificao a todos os componentes, como, por exemplo, pressostatos ou sensores de temperatura. 2 Em geral, a categoria 2 pode ser alcanada com tcnicas eletrnicas, como, por exemplo, em equipamento de proteo e sistemas especficos de comando. 3 O comportamento de sistema de categoria 2 permite que: - a ocorrncia de um defeito leve perda da funo de segurana entre as verificaes; - a perda da funo de segurana detectada pela verificao. 6.2.4 Categoria 3

Devem ser aplicados os requisitos da categoria B, o uso de princpios comprovados de segurana e os requisitos desta subseo. Partes relacionadas segurana de sistemas de comando de categoria 3 devem ser projetadas de tal forma que um defeito isolado, em qualquer dessas partes, no leve perda das funes de segurana. Defeitos de modos comuns devem ser considerados, quando a probalidade da ocorrncia de tal defeito for significante. Sem-

Cpia no autorizada

12

NBR 14153:1998

pre que, razoavelmente praticvel, o defeito isolado deve ser detectado durante ou antes da prxima solicitao da funo de segurana.
NOTAS 1 Este requisito de deteco do defeito isolado no significa que todos os defeitos sero detectados. Conseqentemente, o acmulo de defeitos no detectados pode levar a um sinal de sada indesejado e a uma situao de perigo na mquina. Exemplos tpicos de medidas utilizadas para a deteco de defeitos so os movimento conectados de rels de contato ou a monitorao de sadas eltricas redundantes. 2 Se necessrio, em razo da tecnologia e aplicao, os elaboradores de normas do tipo C devem fornecer maiores detalhes sobre a deteco de defeitos. 3 O comportamento de sistema de categoria 3 permite que: - quando o defeito isolado ocorre, a funo de segurana sempre cumprida; - alguns, mas no todos, defeitos sejam detectados; - o acmulo de defeitos no detectados leve perda da funo de segurana. 4 Sempre que razoavelmente praticvel significa que as medidas necessrias para deteco de defeitos e o mbito em que so implementadas depende, principalmente, da conseqncia de um defeito e da probabilidade da ocorrncia desse defeito, dentro dessa aplicao. A tecnologia aplicada ir influenciar as possibilidades da implementao da deteco de defeitos. 6.2.5 Categoria 4

Se a deteco de certos defeitos no for possvel ao menos durante a verificao seguinte ocorrncia do defeito, por razes de tecnologia ou engenharia de circuitos, a ocorrncia de defeitos posteriores deve ser admitida. Nessa situao, o acmulo de defeitos no deve levar perda das funes de segurana. A reviso de defeitos pode ser suspensa, quando a probabilidade de ocorrncia de defeitos posteriores, for considerada como sendo suficientemente baixa. Nesse caso, o nmero de defeitos, em combinao, que precisam ser levados em considerao, depender da tecnologia, estrutura e aplicao, mas deve ser suficiente para atingir o critrio de deteco.
NOTAS 1 Na prtica, o nmero de defeitos; que precisam ser considerados variar consideravelmente; por exemplo, no caso de circuitos complexos de microprocessadores, um grande nmero de defeitos pode existir, porm em um circuito eletroidrulico, a considerao de trs (ou mesmo dois) defeitos pode ser suficiente. Essa reviso de defeitos pode ser limitada a dois defeitos em combinao, quando: - a taxa de defeitos de componentes for baixa, e - os defeitos em combinao so bastante independentes uns dos outros, e - a interrupo da funo de segurana ocorre somente quando os defeitos aparecem em uma certa ordem. Se defeitos posteriores ocorrerem como resultado do primeiro defeito isolado, o primeiro e todos os defeitos conseqentes devem ser considerados como defeitos isolados. Defeitos de modo comum devem ser levados em considerao, por exemplo, utilizando diversidade, procedimentos especiais para identificar tais defeitos. 2 No caso de estruturas de circuitos complexos (por exemplo, microprocessadores, redundncias completas), a reviso de defeitos geralmente executada em nvel estrutural, isto , baseado em grupos de montagem. 3 O comportamento de sistema de categoria 4 permite que:

Devem ser aplicados os requisitos da categoria B, o uso de princpios comprovados de segurana e os requisitos desta subseo. Partes de sistemas de comando relacionadas segurana, de categoria 4, devem ser projetadas de tal forma que: - uma falha isolada em qualquer dessas partes relacionadas segurana no leve perda das funes de segurana, e - a falha isolada detectada antes ou durante a prxima atuao sobre a funo de segurana, como, por exemplo, imediatamente, ao ligar o comando, ao final do ciclo de operao da mquina. Se essa deteco no for possvel, o acmulo de defeitos no deve levar perda das funes de segurana.

- quando os defeitos ocorrerem, a funo de segurana seja sempre processada; - os defeitos sero detectados a tempo de impedir a perda da funo de segurana.

Cpia no autorizada

NBR 14153:1998

13

Tabela 2 - Resumo dos requisitos por categorias (para requisitos plenos, ver seo 6) Categoria 1) Resumo de requisitos Comportamento do sistema2) A ocorrncia de um defeito pode levar perda da funo de segurana Princpios para atingir a segurana Principalmente caracterizado pela seleo de componentes

B (ver 6.2.1)

Partes de sistemas de comando, relacionadas segurana e/ou seus equipamentos de proteo, bem como seus componentes, devem ser projetados, construdos, selecionados, montados e combinados de acordo com as normas relevantes, de tal forma que resistam s influncias esperadas Os requisitos de B se aplicam Princpios comprovados e componentes de segurana bem testados devem ser utilizados

1 (ver 6.2.2)

A ocorrncia de um defeito pode levar perda da funo de segurana, porm a probabilidade de ocorrncia menor que para a categoria B - A ocorrncia de um defeito pode levar perda da funo de segurana entre as verificaes - A perda da funo de segurana detectada pela verificao Principalmente caracterizado pela estrutura

2 (ver 6.2.3)

Os requisitos de B e a utilizao de princpios de segurana comprovados se aplicam A funo de segurana deve ser verificada em intervalos adequados pelo sistema de comando da mquina

3 (ver 6.2.4)

Os requisitos de B e a utilizao de princpios de segurana comprovados se aplicam As partes relacionadas segurana devem ser projetadas de tal forma que:

- Quando um defeito isolado ocorre, a funo de segurana sempre cumprida

Principalmente caracterizado pela estrutura

- um defeito isolado em qualquer dessas - Alguns defeitos, partes no leve perda da funo de segurana, e porm no todos, sero detectados - sempre que razoavelmente praticvel, o defeito isolado seja detectado - O acmulo de defeitos no detectados pode levar perda da funo de segurana - Quando os defeitos ocorrem, a funo de segurana sempre cumprida - Os defeitos sero detectados a tempo de impedir a perda das funes de segurana Principalmente caracterizado pela estrutura

4 (ver 6.2.5)

Os requisitos de B e a utilizao de princpios de segurana comprovados se aplicam

As partes relacionadas segurana devem ser projetadas de tal forma que: - um defeito isolado em qualquer dessas partes no leve perda da funo de segurana, e - o defeito isolado seja detectado durante ou antes da prxima demanda da funo de segurana. Se isso no for possvel, o acmulo de defeitos no pode levar perda das funes de segurana
1) 2)

As categorias no objetivam sua aplicao em uma seqncia ou hierarquia definidas, com relao aos requisitos de segurana. A apreciao dos riscos indicar se a perda total ou parcial da(s) funo(es) de segurana, conseqente de defeitos, aceitvel.

Cpia no autorizada

14

NBR 14153:1998

6.3 Seleo e combinao de partes relacionadas segurana de diferentes categorias As funes de segurana (ver 3.6 e seo 5) so especificadas pelo procedimento descrito em 4.3 (figura 1, passo 3). Categorias de acordo com 6.2 devem ser selecionadas para todas as partes do sistema de comando relacionadas segurana. O projeto e a seleo de partes relacionadas segurana do sistema de comando devem ser feitos de acordo com as sees 4 e 5. Uma funo de segurana isolada pode ser processada por uma ou mais partes relacionadas segurana. De forma similar, vrias funes de segurana podem ser processadas por uma ou mais partes relacionadas segurana. Na prtica pode ser necessrio implementar uma ou mais funes de segurana para atingir a reduo do risco. Quando uma funo de segurana processada por vrias partes relacionadas segurana, como, por exemplo, sensores, unidade de comando, elementos de controle de potncia, essas partes podem ser de uma categoria e/ou de diferentes categorias em combinao. Quando partes relacionadas segurana de mesma ou diferentes categorias so usadas em combinao para atender a uma funo de segurana, uma anlise da combinao deve ser includa na validao geral requerida no passo 5 de 4.3. Essa anlise mais simples se as categorias de algumas ou de todas as partes relacionadas segurana j forem conhecidas. A seleo de uma categoria para uma parte especfica relacionada segurana do sistema de comando depende principalmente de: - reduo de risco a ser atingida pela funo de segurana, para a qual a parte contribui; - probabilidade de ocorrncia de defeito(s) nessa parte; - aumento de risco, no caso de defeito(s) nessa parte;

De maneira geral, o seguinte critrio de defeitos deve ser levado em considerao: - se, como conseqncia de um defeito, outros componentes falham, o primeiro defeito e os defeitos seguintes devem ser considerados como um defeito isolado; - defeitos de modo comum so considerados como defeito isolado; - no considerada a ocorrncia simultnea de dois defeitos independentes. Para informaes detalhadas, ver EN 982 e EN 983. 7.2 Excluso de defeitos impraticvel a avaliao das partes de sistemas de comando relacionadas segurana, sem assumir que certos defeitos podem ser excludos. Os defeitos que podem ser excludos so um compromisso entre os requisitos tcnicos para segurana e as possibilidades tericas de ocorrncia. Isso influenciado pelo projeto, dimensionamento, instalao e arranjo dos componentes nas partes relacionadas segurana. O projetista deve declarar, justificar e listar todas as excluses de defeitos relevantes. A excluso de defeitos pode ser baseada em: - improbabilidade de ocorrncia de certos defeitos; - experincia tcnica genrica, que pode ser considerada independentemente da aplicao em questo; - requisitos tcnicos conseqentes da aplicao e o risco especfico sob considerao.

8 Validao
- possibilidades de evitar defeito(s) nessa parte; 8.1 Generalidades - tecnologia aplicada. Informao adicional para a seleo de categorias dada no anexo A. Esta seo explica os requisitos do passo 5 na seo 4. A finalidade da validao a determinao do nvel de conformidade da especificao das partes relacionadas segurana do sistema de comando, com referncia aos requisitos de segurana especificados para a mquina. A validao consiste na execuo de ensaios e aplicao de anlises, de acordo com o plano de validao (ver 8.2). O projeto das partes relacionadas segurana do sistema de comando deve ser validado. A validao deve demonstrar que as partes relacionadas segurana atingem: - todos os requisitos da categoria especfica (ver seo 6), e - as caractersticas de segurana especificadas para a parte, como definido nos princpios de projeto.

7 Considerao de defeitos
7.1 Generalidades De acordo com a categoria requerida, as partes relacionadas segurana devem ser selecionadas como funo de suas habilidades em resistir a defeitos (ver 4.2). Para avaliar sua habilidade em resistir a defeitos, os vrios modos de falhas devem ser considerados. Certos defeitos tambm podem ser excludos (ver 7.2). O anexo C lista alguns dos defeitos e falhas significantes para as vrias tecnologias. A lista de defeitos relacionada no anexo C no exclusiva e, se necessrio, defeitos adicionais devem ser considerados e listados. Em tais casos, o mtodo de validao deve tambm ser claramente elaborado.

Cpia no autorizada

NBR 14153:1998

15

A validao das partes relacionadas segurana de sistemas de comando deve conter os seguintes elementos: - seleo da estratgia de validao (um plano de validao); - gerenciamento e execuo de atividades de validao (especificao de ensaios, procedimentos de ensaios, procedimentos de anlises); - documentao (relatrios auditveis de todas as atividades de validao e decises). 8.2 Plano de validao O plano de validao deve identificar os requisitos para a efetivao de todos os estgios do processo de validao. O plano deve ser desenvolvido em paralelo ao projeto da parte relacionada segurana do sistema de comando ou pode ser especificado em normas relevantes do tipo C. O plano deve incluir uma descrio de todos os requisitos para: a) validao por anlise; b) validao por ensaios, incluindo: 1) ensaio da funo de segurana especificada; 2) ensaio da categoria especificada; 3) ensaio do dimensionamento e conformidade a parmetros ambientais. 8.3 Validao por anlise Em geral, anlises so necessrias para validar o alcance da reduo do risco. Exemplos de ferramentas de anlise incluem lista de defeitos (ver seo 7), rvore de anlise de defeitos, modo de falhas e anlise de efeitos, anlise crtica e lista de verificao para defeitos sistemticos. 8.4 Validao por ensaio
8.4.1 Ensaio das funes de segurana especificadas

8.4.2 Ensaio das categorias especificadas

As categorias baseiam-se sobre o comportamento no evento de um defeito. O ensaio deve demonstrar que esse requisito atendido. Os procedimentos de ensaio devem ser escolhidos baseados em dois critrios: tecnologia e complexidade do sistema de comando. Principalmente, os seguintes mtodos se aplicam: - uma verificao terica e uma anlise do comportamento dos diagramas de circuitos; - ensaios prticos do circuito atual e simulao de defeitos dos componentes atuais, particularmente em reas de dvidas, do comportamento identificado durante a verificao e anlise terica; - uma simulao do comportamento do sistema, por exemplo, por meio do hardware e/ou modelos de software. Em algumas aplicaes, quando as partes relacionadas segurana de sistemas de comando forem conectadas de forma complexa, usualmente necessrio dividir as partes relacionadas segurana conectadas em vrios subsistemas funcionais e submeter exclusivamente as interfaces aos ensaios de simulao de defeitos. Um guia para avaliao de sistemas eletrnicos programveis dado no anexo E.
8.4.3 Ensaio de dimensionamento e conformidade com parmetros ambientais

Esses ensaios devem demonstrar que o desempenho especificado no projeto alcanado em todos os modos de operao e condies ambientais especificadas. Os ensaios devem incluir, por exemplo, ensaio da estrutura mecnica, tenso nominal, temperatura, umidade, vibrao, impacto, compatibilidade eletromagntica e influncia dos materiais processados. 8.5 Relatrio de validao Na concluso do processo de validao, um relatrio de validao sobre segurana deve ser elaborado, resumindo os ensaios e anlises, indicando quais foram integralmente executados, incluindo seus resultados. O relatrio deve identificar especificamente: - todos os itens ensaiados; - pessoal responsvel pelos ensaios; - equipamento de ensaio (incluindo detalhes de calibrao) e ferramentas de simulao; - anlises e ensaios executados; - problemas encontrados e como foram resolvidos.

Um passo importante o ensaio das funes de segurana (das partes relacionadas segurana de sistemas de comando), para completa conformidade com suas caractersticas especificadas. importante a verificao, quanto a erros e particularmente por omisses, quando da formulao da especificao e durante o desenvolvimento da mquina. O propsito do ensaio das funes de segurana para assegurar que os sinais de sada relacionados segurana esto corretos e logicamente dependentes dos sinais de entrada. Os ensaios devem abranger todas as condies normais e as anormais previsveis na simulao esttica e dinmica, como necessrio da apreciao de riscos, para validar o sistema.

Os resultados devem ser documentados e arquivados em forma auditvel.


NOTA - A conformidade com 8.5 ajudar o fabricante na atualizao do arquivo tcnico da construo, com respeito s partes relacionadas segurana de sistemas de comando.

Cpia no autorizada

16

NBR 14153:1998

9 Manuteno
Manuteno preventiva ou corretiva usualmente necessria para manter o desempenho especificado das partes relacionadas segurana. Com o tempo, o desvio do desempenho especificado pode levar deteriorao da segurana ou a situaes de perigo. Para identificar tais desvios, inspees manuais peridicas so, algumas vezes, necessrias. As condies para a manuteno de partes relacionadas segurana de sistemas de comando devem seguir os princpios da EN 292-2. Todas as informaes para manuteno devem obedecer EN 292-2.

- descrio clara da interface entre as partes relacionadas segurana do sistema de comando e dispositivos de proteo; - tempo de resposta; - limites de operao (incluindo condies ambientais); - indicao e alarmes; - pausa e suspenso das funes de segurana; - modos de comando; - manuteno (ver seo 9); - listas de verificao para manuteno; - facilidade de acesso e substituio de partes internas; - meios para fcil e segura eliminao de problemas. Sempre que se fornecerem informaes sobre as categorias de partes relacionadas segurana do sistema de comando, devem ser referendadas da seguinte forma: - NBR 14153 Categoria B;

10 Informaes para utilizao


A EN 292-2 e outros documentos relevantes (por exemplo, a EN 60204-1) devem ser aplicados. Em particular, as informaes importantes para o uso seguro das partes relacionadas segurana do sistema de comando devem ser fornecidas ao usurio. Isso inclui, mas no limitado a: - limites da(s) categoria(s) selecionada(s) das partes relacionadas segurana, incluindo qualquer excluso de defeito;
NOTA - Quando a excluso de defeitos essencial na manuteno da(s) categoria(s) selecionada(s) e no desempenho da segurana, informao apropriada (por exemplo, modificao, manuteno e reparo) ser necessria para assegurar a continuada justificativa da excluso de defeito.

- NBR 14153 Categoria 1; - NBR 14153 Categoria 2; - NBR 14153 Categoria 3;

- efeitos dos desvios do desempenho especificado sobre as funes de segurana;

- NBR 14153 Categoria 4.

/ANEXO A

Cpia no autorizada

NBR 14153:1998

17

Anexo A (informativo) Questionrio para o processo de projeto


Esse anexo lista alguns aspectos importantes que devem ser considerados durante o processo de projeto (ver 4.3).

A.6 Qual deve ser a ao seguinte do sistema de comando, se um defeito foi constatado?
a) A mquina deve ser levada a um estado predeterminado, conforme requerido pela avaliao de riscos. b) A operao posterior da mquina pode ser permitida at o reparo do defeito. c) A indicao do(s) defeito(s) suficiente (por exemplo, sinal de advertncia por unidade visual).

A.1 Que reao necessria da parte relacionada segurana do sistema de comando, quando um defeito ocorre?
a) No necessria qualquer ao especial. b) Reao de segurana necessria dentro de um certo tempo. c) Reao de segurana imediatamente necessria.

A.7 O que necessrio para atingir os requisitos de manuteno?


a) Fornecimento de informaes sobre os efeitos de desvios das especificaes de projeto. b) Indicao automtica da necessidade de manuteno. c) Fixao da freqncia de manuteno. d) Informao da vida de componentes. e) Fornecimento de meios de diagnose e pontos de ensaio. f) Precaues especiais para segurana durante a manuteno.

A.2 Em que parte(s) relacionada(s) segurana de sistemas de comando os defeitos devem ser admitidos?
a) Somente naquelas partes em que (por experincia) os defeitos ocorrem com relativa freqncia, como, por exemplo, nos sensores e cabeamento perifrico. b) Em partes auxiliares. c) Em todas as partes relacionadas segurana.

A.3 Foram considerados os defeitos sistemticos e os ocasionais? A.4 Que defeitos devem ser admitidos nos componentes das partes relacionadas segurana do sistema de comando?
a) Defeitos apenas nos componentes que no foram bem ensaiados.
NOTA - Bem ensaiados no no sentido de confiabilidade, mas sob o ponto de vista de segurana (ver 6.2.2).

A.8 Que mtodos devem ser empregados para a deteco de defeitos?


a) Deteco automtica de defeitos, na medida em que for necessrio. b) Deteco manual de defeitos, por exemplo, por inspeo peridica. c) Por mais de um mtodo.

A.9 A reduo de risco foi atingida?


a) Pode a reduo do risco ser atingida mais facilmente com uma diferente combinao de medidas de reduo do risco? b) Verificar se as medidas implementadas: - no reduzem a habilidade da mquina em desenvolver sua funo; - no geram perigos ou problemas novos ou inesperados. c) As solues so vlidas para todas as condies de operao e para todos os procedimentos? d) Essas solues so compatveis com cada uma das outras? e) A especificao de segurana est correta?

b) Defeitos em todos os componentes.

A.5 Foi selecionada a correta categoria de referncia com respeito aos requisitos para a deteco de defeitos?
a) Requisitos normais para a deteco de defeitos.
NOTA - Isso significa que todos os defeitos que podem ser detectados com mtodos relativamente simples devem ser detectados.

b) Requisitos severos para a deteco de defeitos.


NOTA - Isso significa que tcnicas devem ser empregadas para possibilitar a deteco da maioria dos defeitos. Se isso no for razoavelmente praticvel, a combinao de defeitos deve ser admitida (acmulo de defeitos - ver 6.2.5).

Cpia no autorizada

18

NBR 14153:1998

A.10 Foram considerados princpios ergonmicos?


a) As partes relacionadas segurana do sistema de comando, incluindo os dispositivos de proteo, oferecem facilidade de uso? b) O acesso ao sistema de comando fcil e seguro? c) Foi dada prioridade aos sinais de advertncia (por exemplo realados)?

A.11 Foram as relaes entre segurana, confiabilidade, disponibilidade e ergonomia otimizadas, de tal forma que as medidas de segurana sejam mantidas durante a vida do sistema e no incentivem a usurios a anulao das funes de segurana?

/ANEXO B

Cpia no autorizada

NBR 14153:1998

19

Anexo B (informativo) Guia para a seleo de categorias


B.1 Generalidades Este anexo descreve um mtodo simplificado baseado na NBR 14009 (particularmente com relao simplificao dos elementos de risco) para seleo de categorias apropriadas como ponto de referncia para o projeto das diversas partes relacionadas segurana de sistemas de comando. O guia deste anexo deve ser considerado como parte da apreciao do risco dada na NBR 14009 e no como um substituto para a mesma. importante que o projeto de partes relacionadas segurana de sistema de comando, incluindo a seleo de categorias, como descrito na seo 4, seja baseado na apreciao dos riscos, utilizando seus princpios dados na NBR 14009, e seja parte da apreciao do risco total da mquina. A quantificao do risco usualmente muito difcil ou impossvel e este mtodo apenas diz respeito contribuio para a reduo do risco, feita pelas partes relacionadas segurana de sistemas de comando. Este mtodo fornece apenas uma estimativa da reduo do risco e tem a inteno de orientar o projetista e o elaborador de normas a escolher a categoria, baseado em seu comportamento, no caso de um defeito. Entretanto, isso apenas um aspecto e outras influncias tambm iro contribuir para a avaliao de que a adequada segurana tenha sido atingida. Isso inclui, por exemplo, confiabilidade de componentes, tecnologia aplicada, aplicao particular, as quais podem indicar um desvio da categoria, antecipadamente escolhida. O mtodo como segue: A severidade do ferimento (representada por S) relativamente fcil de ser estimada (por exemplo, lacerao, amputao, fatalidade). Para a freqncia da ocorrncia, parmetros auxiliares so usados para melhorar a estimativa. Esses parmetros so: - freqncia e tempo de exposio ao perigo (F); - possibilidade de evitar o perigo (P). A experincia tem mostrado que esses parmetros podem ser combinados, como mostrado na figura B.1, para fornecer uma graduao do risco, de baixo a alto. enfatizado que isso um processo qualitativo, que fornece apenas uma estimativa do risco. Na figura B.1, a categoria preferencial indicada por um crculo maior totalmente cheio. Em algumas aplicaes o projetista, ou o elaborador de normas do tipo C, pode desviar para outra categoria, indicada por um crculo totalmente preenchido menor, ou um crculo maior, vazio. Outras, diferentes das categorias preferenciais, podem ser utilizadas (ver 6.3), porm o comportamento pretendido do sistema na ocorrncia de defeitos deve ser mantido. As razes para o desvio devem ser expostas. Essas razes para a seleo de outra categoria com relao preferencial podem ser a aplicao de outra tecnologia, como, por exemplo, componentes hidrulicos ou eletromecnicos bem ensaiados (categoria 1), em combinao com sistemas eltricos ou eletrnicos (categoria 3 ou 4). Quando categorias indicadas com um crculo pequeno na figura B.1 forem selecionadas, medidas adicionais podem ser necessrias, como, por exemplo: - superdimensionamento ou aplicao de tcnicas, que levem excluso de defeitos; - utilizao de monitorao dinmica. Por exemplo, uma estimativa de risco, com um parmetro S1 (ver B.2.1), determina uma categoria da parte relacionada segurana do sistema de comando como categoria 1. Em algumas aplicaes, o projetista ou o elaborador de normas do tipo C pode escolher a categoria B pela utilizao de outras medidas de proteo.

B.2 Guia para a seleo dos parmetros S, F e P para a estimativa do risco


B.2.1 Severidade do ferimento S1 e S2 Na estimativa do risco proveniente de um defeito na parte relacionada segurana de um sistema de comando, apenas ferimentos leves (normalmente reversveis) e ferimento srios (normalmente irreversveis, incluindo a morte) so considerados. Para tomar uma deciso, as conseqncias usuais de acidentes e processos normais de cura devem ser levadas em considerao na determinao de S1 e S2, por exemplo, contuses e/ou laceraes, sem complicaes devem ser classificadas como S1, enquanto que uma amputao ou morte deve ser classificada como S2. B.2.2 Freqncia e/ou tempo de exposio ao perigo F1 e F2 Um perodo de tempo geralmente vlido para a escolha do parmetro F1 ou F2 no pode ser especificado. Entre-tanto, a seguinte explicao pode ajudar a tomar a deciso correta, em caso de dvida.

F2 deve ser selecionado, se a pessoa estiver, freqentemente ou continuadamente, exposta ao perigo. irrelevante se a mesma pessoa ou pessoas diferentes estiverem expostas ao perigo em sucessivas ocasies, como, por exemplo, para a utilizao de elevadores.
O perodo de exposio ao perigo deve ser avaliado com base no valor mdio observado, com relao ao perodo total de utilizao do equipamento. Por exemplo, se for necessrio acessar regularmente as ferramentas da mquina durante sua operao cclica, para a alimentao e movimentao de peas, F2 deve ser selecionado. Se o acesso somente for necessrio de tempo em tempo, pode-se selecionar F1.

Cpia no autorizada

20

NBR 14153:1998

B.2.3 Possibilidade de evitar o perigo P Quando um perigo aparece, importante saber se ele pode ser reconhecido e quando pode ser evitado, antes de levar a um acidente. Por exemplo, uma importante considerao se o perigo pode ser diretamente identificado por suas caractersticas fsicas ou por meios tcnicos, por exemplo, indicadores. Outro aspecto importante que influencia a seleo do parmetro P inclui, por exemplo: - operao com ou sem superviso; - operao por especialistas ou por no profissionais;

- velocidade com que o perigo aparece, por exemplo, rapidamente ou lentamente; - possibilidades de se evitar o perigo, por exemplo, por fuga ou por interveno de terceiros; - experincias prticas de segurana relativas ao processo. Quando uma situao de perigo ocorre, P1 deve apenas ser selecionado se houver uma chance real de se evitar um acidente ou reduzir significativamente o seu efeito. P2 deve ser selecionado se praticamente no houver chance de se evitar o perigo.

Ponto de partida para a estimativa do risco para partes relacionadas segurana de sistemas de comando (ver 4.3 passo 3)

S Severidade do ferimento S1 Ferimento leve (normalmente reversvel) S2 Ferimento srio (normalmente irreversvel) incluindo morte F Freqncia e/ou tempo de exposio ao perigo F1 Raro a relativamente freqente e/ou baixo tempo de exposio F2 Freqente a contnuo e/ou tempo de exposio longo P Possibilidade de evitar o perigo P1 Possvel sob condies especficas P2 Quase nunca possvel

B, 1 a 4 Categorias para partes relacionadas segurana de sistemas de comando Categorias preferenciais para pontos de referncia (ver 4.2) Categorias possveis que requerem medidas adicionais (ver B.1)

..

Medidas que podem ser superdimensionadas para o risco relevante


Figura B.1 - Seleo possvel de categorias

/ANEXO C

Cpia no autorizada

NBR 14153:1998

21

Anexo C (informativo) Lista de alguns dos defeitos e falhas significantes para vrias tecnologias C.1 Componentes eletroeletrnicos
Alguns defeitos e falhas a considerar so: - curto-circuito ou circuito aberto, por exemplo, falta de terra (curto-circuito para o condutor de proteo ou para uma parte condutiva), circuito aberto de qualquer condutor; - curto-circuito ou circuito aberto, ocorrendo em componentes isolados, como, por exemplo, em interruptores, equipamento de controle e regulagem, atuadores da mquina, rels; - no desacionamento ou no acionamento de elementos eletromagnticos, como, por exemplo, contatores, rels, solenides; - no partida ou no parada de motores, como, por exemplo, servomotores; - bloqueio mecnico de elementos mveis, soltura ou desmontagem de elementos, como, por exemplo, chaves de posio; - desvio, alm da tolerncia de valores para elementos analgicos, como, por exemplo, resistores, capacitores, transistores; - oscilao (instabilidade) de sinais de sada em componentes integrados; - perda total ou parcial de funo (pior caso), em componentes integrados complexos, como, por exemplo, microprocessadores, sistemas eletrnicos programveis, aplicaes de circuitos integrados especficos. - desvio de posio de controle original do elemento mvel, como, por exemplo, em vlvulas direcionais de controle; - vazamento e modificao do volume do fluxo de vazamento, como, por exemplo, em vlvulas direcionais de controle; - caractersticas de controle instveis em servovlvulas ou vlvulas proporcionais; - perda de presso ou rompimento de linhas, como, por exemplo, mangueiras, tubos ou em suas conexes; - obstruo do elemento filtrante (em particular causado por substncias slidas); - presso e/ou volume de fluxo anormais, como, por exemplo, em bombas hidrulicas, motores hidrulicos, compressores, cilindros; - falha ou modificao anormal das caractersticas dos sinais de entrada ou sada em sensores, como, por exemplo, pressostatos.

C.3 Componentes mecnicos


Alguns defeitos e falhas a considerar so: - quebra de molas; - engripamento ou endurecimento de componentes mveis de guias; - soltura de fixaes, por exemplo, em vibrao; - desgaste, por exemplo, em roldanas, fechos, rolamentos; - desalinhamento de peas;

C.2 Componentes hidrulicos e pneumticos


Alguns defeitos e falhas a considerar so: - no comutao ou comutao incompleta do elemento mvel, como, por exemplo, engripamento de pisto de vlvula;

- influncias ambientais, como, por exemplo, corroso, temperatura.

/ANEXO D

Cpia no autorizada

22

NBR 14153:1998

Anexo D (informativo) Relao entre segurana, confiabilidade e disponibilidade para mquinas


Os conceitos de segurana, confiabilidade e disponibilidade podem ser descritos da seguinte forma: - Segurana de uma mquina sua habilidade em desempenhar sua funo, ser transportada, instalada, ajustada, sofrer manuteno, ser desmontada e desativada de suas condies de utilizao previstas, especificadas em seu manual de instrues (e, em alguns casos, durante um determinado perodo de tempo, indicado no manual de instrues), sem causar ferimentos ou danos sade (ver EN 292-1). - Confiabilidade a habilidade da mquina ou componentes, ou equipamentos, em desempenhar uma determinada funo, sem falhas, sob condies especificadas para um dado perodo de tempo (ver EN 292-1) - Disponibilidade a habilidade de um item estar no estado adequado para desempenhar uma determinada funo, sob condies determinadas, em um dado instante ou em um intervalo de tempo, assumindo-se que os recursos externos necessrios so fornecidos (ver IEC 50(191). A segurana abrange as causas e conseqncias de possveis acidentes (ferimentos ou danos sade). Requisitos de segurana esto relacionados a conceber um sistema que no cause acidentes. Os requisitos de segurana asseguram que o sistema no alcanar um estado de perigo ou inseguro, quando um evento pode causar um acidente. Os requisitos de segurana devem indicar quais as aes a serem tomadas, se um evento imprevisto no ambiente levar a um estado inseguro. Do ponto de vista de segurana no importa se o sistema no cumpre sua finalidade, contanto que os requisitos de segurana no sejam violados. Por outro lado, possvel que o sistema seja altamente confivel, mas inseguro; por exemplo, um sistema com software formalmente verificado, porm onde uma situao relacionada segurana no foi adequadamente especificada. A disponibilidade influencia a segurana. A disponibilidade de um sistema implica que a confiabilidade relacionada segurana desempenhada; caso contrrio, o dispositivo de proteo pode ser desativado. O projetista tem a responsabilidade de decidir, para cada aplicao, a relao entre disponibilidade, confiabilidade e segurana, para assegurar que a reduo do risco seja alcanada.

/ANEXO E

Cpia no autorizada

NBR 14153:1998

23

Anexo E (informativo) Bibliografia


Segue abaixo uma relao de publicaes que fornece informaes adicionais sobre partes relacionadas segurana de sistema de comando. E.1 Publicaes sobre sistemas eletrnicos programveis - EN 61000-4-1 - Eletromagnetic compatibility (EMC) - Part 4: Testing and measurement techniques - Section 1: Overview of immunity tests - Basic EMC publication (IEC 1000-4-1 : 1992) - IEC 1508 - Functional safety: safety-related systems (provisonal title) - DIN V VDE 0801 - Principles for computers in safety related computer systems, January 1990 - HSE Guidelines - Programmable Eletronic Systems in Safety Related Applications Part 1 (ISBN 0 11 883906 6) and Part 2 (ISBN 0 11 883906 3) - Personal Safety in Microprocessor Control Systems (CECR - 184, Elektronikcentralen, Denmark)

E.2 Outras publicaes


- IEC 68 Basic environmental testing procedures