Schmersal Uma Nova Visão Da Segurança Das Máquinas EN ISO 13 849-1 2006 - 2007

Uma nova viso da segurana das mquinas:
EN ISO 13 849-1:2006
Partes dos sistemas de comando relativas segurana
C
a t e g o r i a
S
1
B
1
2
3
4
S
2
F 1
P
1
P
2
P
1
P
2
F 2
H
ohes
R
isiko
R
isco
baixo
P
onto inicial para
avaliar a reduo
do risco
N
ivel de
abilidade
req
uerid
o P
L
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
2
EN ISO 13 849-1 Partes dos sistemas de comando relativas segurana
Estimado cliente da ,
Estimado cliente da ,
Depois de ter tido mais alguns problemas
internos, a reviso da normativa ISO 13 849-
1:1999 (EN 954-1:1996) foi aprovada no Outono
de 2006 e a nova EN ISO 13 849-1:2006:
Partes dos sistemas de comando relativas
segurana de mquinas (como sua sucesso-
ra) passou a estar em vigor.
Por outras palavras: a flosofa da anlise das
partes dos sistemas de comando relativas
segurana inclui agora consideraes proba-
bilsticas s j previamente testadas conside-
raes determinsticas.
Sendo assim, a tabela temporal de entrada
em vigor na pgina 46 do nosso folheto Uma
nova viso na segurana das mquinas: prEN
ISO 13 849-1 (com editorial de Maro de 2006)
precisa de uma actualizao.
De acordo com os novos processos de de-
ciso, a agora concluda normativa tem um
perodo de transio at Novembro de 2009 (o
que signifca que as novas directrizes podem
j ser aplicadas a partir de agora, mas no
existe ainda uma obrigao de o fazer). Mas
em Novembro de 2009, no mximo, a velha
EN 954-1:1996 tem de estar completamente
substituda pela EN ISO 13 849-1:2006.
Em todos os outros aspectos, informao de
fundo, aplicaes e exemplos prticos da nova
normativa, a informao contida no nosso
folheto esta actual e correcta (no contando
com eventuais erros de impresso e traduo).
Atentamente,
Friedrich Adams
K.A. Schmersal Holding GmbH & Co. KG
Wuppertal/Wettenberg, Maro de 2007
Quando que tenho que utilizar a nova EN ISO 13849-1:2006?
Existe algum perodo de transio?
Meados de 2006 Resumo final (FDIS)
Vero de 2006 Votao
Final de 2006 Adaptao
Perodo de transio Novembro de 2009
Harmonizao Primeiro trimestre de 2007
A
c
t
u
a
l
i-
z
a
o
3
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Estimado cliente da :
Estimado cliente da :
O presente folheto reproduz pormenorizada-
mente a apresentao central da conferncia
que a Elan celebrou no ano 2005 para tratar da
retirada da norma EN 954-1 e dos novos crit-
rios da norma revista EN ISO 13 849-1. Um dos
principais objectivos ao publicar este folheto
o de demonstrar a avanada competncia
que o Grupo Schmersal possui no mbito da
segurana das mquinas, como fornecedor de
dispositivos de comutao e de sistemas de
segurana concebidos para proteger pesso-
as, mquinas e equipamentos. Desejamos,
alm disso, proporcionar informao adicional
sobre aspectos tcnicos e normativas aos
nossos clientes, com o fm de sermos a sua
companhia preferida no momento de implan-
tar componentes de segurana e sistemas de
comando de mquinas.
A seguir, resume-se a apresentao dos
engenheiros Thomas Brner e Karl-Heinz
Blles bach, empregados do Berufsgenossen-
schaftliches Institut fr Arbeitsschutz BGIA
(Instituto de Segurana e Sade dos Orga-
nismos de Seguros e Preveno de Riscos
Laborais) de Sankt Augustin, Alemanha.
Ambos trabalham na unidade de electrnica
do departamento tcnico de proteco de
mquinas e sistemas de comando, uma acti-
vidade intimamente relacionada com o tema
que estamos a tratar. Os dados do presente
documento baseiam-se na apresentao em
PowerPoint dos dois engenheiros, pelo que
a eles corresponde a propriedade intelectual
dos mesmos.
Tanto o BGIA como as companhias de seguros
e preveno de riscos laborais do sector das
mquinas mostraram um grande interesse
no desenvolvimento da norma revista EN ISO
13 849-1. Esta iniciativa destinada s pe-
quenas e mdias empresas que fabriquem ou
utilizem mquinas e sistemas de comando, a
que se deseja oferecer uma orientao o mais
simples e completa possvel para a sua futura
execuo em todos os sistemas de comando
relativos segurana.
A aplicao da norma EN ISO 13 849-1 actu-
almente objecto de uma grande controvrsia
que afecta um grupo concreto de normas.
A norma especfca do sector IEC EN 62 061
(derivada da IEC EN 61 508) tambm concorre
na substituio da EN 954-1, nomeadamente
no sector dos sistemas elctricos, electrnicos
e electrnicos programveis com funes de
segurana.
De qualquer maneira, a gama de produtos do
grupo Schmersal j est prestes para cumprir
as especifcaes de ambas as normas futu-
ras. Se tiver alguma dvida em relao a este
tema por favor contacte connosco.
Para uma maior clareza, dividimos a apresen-
tao EN ISO 13 849-1: Uma nova viso da
segurana das mquinas em diferentes sec-
es, as quais, por sua vez, esto subdivididas
a fm de o leitor poder aprofundar aqueles
temas que forem do seu interesse.
Agradecemos-lhe antecipadamente a sua
compreenso em relao ao uso de abrevia-
turas (as quais so inevitveis). De qualquer
maneira, junta-se um glossrio para facilitar a
compreenso (ver a pgina desdobrvel).
Apesar de termos tentado que o resumo seja
claro e compreensvel, possvel que ape-
nas tenhamos conseguido parcialmente este
objectivo, vista a complexidade do tema. Por
isso, possvel que ainda fquem dvidas
pendentes de resolver.
Apesar de tudo isso, desejamos que a leitura
deste documento lhe parea interessante e
esperamos trabalhar consigo no futuro.
Atentamente,
Heinz Schmersal
Conselheiro Delegado
Friedrich Adams
Wuppertal/Wettenberg im Mrz 2006
4
5
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Indice
Pgina
Introduo 6
Antecedentes da retirada da norma EN 954-1 7
Nova tabela de riscos 9
Arquitecturas designadas 13
Valor MTTF
d
15
Cobertura de diagnstico 23
Gesto de erros por causa comum (CCF) 26
Exemplo 27
Validao 32
SiSteMa 34
A norma EN ISO 13 849-1 em SRP/CS simples 36
A norma EN ISO 13 849-1 em ligaes em srie 38
A norma EN ISO 13 849-1 e o software 40
A norma EN ISO 13 849-1 em comparao com a EN 62 061 43
Entrada em vigor da norma EN ISO 13 849-1 46
Perguntas frequentes 47
Concluses 49
Glossrio 51
Edio
Elan Schaltelemente GmbH & Co. KG
Im Ostpark 2
35435 Wettenberg/Alemanha
Telefone +49 (0)641 9848-0
Fax +49 (0)641 9848-420
E-Mail: info-elan@schmersal.com
Internet: www.elan.de
Texto
Friedrich Adams
SCHMERSAL Holding GmbH & Co. KG
Mddinghofe 30
42279 Wuppertal/Alemanha
E-Mail: fadams@schmersal.com
Produo
fick-werk Werbe-Grafk Heinz Flick,
35075 Gladenbach/Alemanha
!
6
Introduo
Dentro de alguns anos, quando a norma
EN 954-1
1
for substituda, o que actualmente
se d como certo, produzir-se- uma espcie
de mudana de paradigma. No futuro, reduzir-
se- a importncia da abordagem determinis-
ta, na execuo de partes relacionadas com
a segurana dos sistemas de controlo das
mquinas, e aparecero vises probabilsticas.
Duas normas concorrem pela sucesso da
EN 954-1: A primeira a EN ISO 13 849
2
,
concebida especialmente para ser uma con-
tinuao da EN 954-1. A segunda a IEC EN
62 061
3
, uma derivada da IEC EN 61 508
4
,
especfca do sector.
A teoria probabilista manter-se- no futuro
em ambas as normas (pelo menos, no que diz
respeito noo genrica de engenharia de
fabilidade), independentemente da deciso
que se tome. Pelo contrrio, a norma EN 954-
1 baseia-se essencialmente no estudo das
estruturas.
No presente artigo, baseado na conferncia
da Elan de 2005, concentrar-nos-emos na EN
ISO 13 849-1, a probabilstica; ou seja, a teoria
baseada no clculo e estabelecimento de
modelos probabilsticos tem uma importncia
muito maior nas normas IEC EN 61 508 e IEC
EN 62061. Pelo contrrio, na EN ISO 13 849-1,
tentou-se conseguir um delicado equilbrio en-
tre o pensamento determinista e o probabilis-
ta, simplifcando os novos elementos at a um
nvel necessrio e praticvel para o utilizador
mdio (ver a Figura 1).

1) EN 954-1:1997-03: Partes relacionadas com a se-
gurana dos sistemas de controlo das mquinas.
Parte 1: Princpios gerais para o design (corres-
ponde igualmente norma ISO 13 849-1:1999-11)
2) EN ISO 13 849-1:2004-06: Partes relacionadas
com a segurana dos sistemas de controlo das
mquinas Parte 1: Princpios gerais para o
design
3) IEC EN 62 061:2005-10: Segurana das mquinas
segurana funcional dos sistemas de comando
elctricos, electrnicos e electrnicos program-
veis relativos segurana.
4) IEC EN 61 508:2002-11: Segurana funcional dos
sistemas de comando elctricos, electrnicos e
electrnicos programveis relativos segurana.
Parte 1: Requisitos gerais
Parte 2: Requisitos dos sistemas de comando
elctricos, electrnicos e electrnicos
programveis relativos segurana
Parte 3: Requisitos do software
Parte 4: Termos e abreviaturas
Parte 5: Exemplos para calcular o nvel de
integridade da segurana
Parte 6: Princpios de aplicao das normas
IEC 61 508-2 e IEC 61 508-3
Parte 7: Pormenores de aplicao dos procedi-
mentos e medidas
Fonte: Beuth Verlag GmbH, 10772 Berlin/Alemanha;
www.beuth.de
7
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Sem pretender ofender os autores da norma
EN ISO 13 849-1, permitimo-nos dizer que se
trata de uma verso light da IEC EN 61 508.
E dizemos light porque a caracterstica
particular da EN ISO 13 8149-1 o seu intuito
de ter em conta os interesses da maioria dos
clientes a que se dirige, ou seja, as pequenas e
mdias empresas de maquinaria e sistemas de
comando, permitindo simplifcaes e genera-
lizaes adequadas e justifcveis em relao
segurana. A isso, soma-se o objectivo
evidente de limitar os esforos acrescentados
que implica a viso probabilista.
Por exemplo, se nos centrarmos no desenvol-
vimento de componentes electrnicos com-
plexos baseados em microprocessadores com
funes de segurana, tanto controladores de
programas armazenados como sistemas de
bus ou scanners laser, a norma EN ISO 13 849-
1 de pouca utilidade. Nestes casos, seria
melhor utilizar a IEC EN 61 508.
Antecedentes da retirada
da norma EN 954-1
pergunta de se a retirada da EN 954-1 faz
sentido e responde s incidncias dos aciden-
tes de maquinaria, ou seja, se os acidentes
industriais podem ser causados pelas limita-
es e lacunas da EN 954-1, a resposta um
no rotundo.
Pelo menos, essa a resposta do ponto de
vista alemo, embora isso no signifque que
a norma EN 954-1 no possa ser melhorada e
no admita crticas. O que se pe em dvida
a necessidade da substituio total por outra
norma que no implique uma compatibilidade
absoluta e automtica.

EN 954-1:1996 IEC 61508:19982000
EN ISO 13849-1
Determinista
Mtodos testados:
Funes de segurana
Tabela de riscos
Categorias
Novos conceitos:
Quanticao: Fiabilidade dos
componentes e qualidade dos testes
Erro por causa comum
Probabilista
Figura 1: Equilbrio entre determinismo e probabilismo
8
Por outro lado, durante muitos anos existiu
uma discusso extraordinariamente contro-
vertida sobre a preciso das perspectivas
e normas da EN 954-1, nomeadamente em
outros Estados-membros da Unio Europeia,
mas tambm em crculos alemes.
Deumpontodevistaterico,ascrticas
baseiam-se essencialmente no facto de a EN
954-1 apresentar apenas medidas destina-
das a reduzir o risco numa gama de distintos
nveis, com o que se gera um nico nvel
de risco residual em todas as categorias1.
Isso signifca que o risco para o operador da
mquina teoricamente constante, inde-
pendentemente de uma SRP/CS2 (parte
relacionada com a segurana dos sistemas
de controlo das mquinas) se executar de
acordo com a categoria 1, 2, 3 ou 4, e que
no se diferencia, por exemplo, entre o risco
que implica uma leso leve (reversvel) ou
grave (irreversvel). Alm disso, esta viso
deriva da falta de uma categoria comum na
norma EN 954-1.
Os crticos exigem que, quanto maior for o
nvel de risco, se requeiram medidas mais
estritas para reduzir o risco residual.
Damesmamaneira,talcomoseindicana
segunda crtica, os requisitos da EN 954-1
no refectem adequadamente a complexi-
dade crescente dos sistemas automatizados
das fbricas, ou seja, em relao anlise
do nmero de elos da cadeia e dos diver-
sos nveis de interligao, no tem sufcien-
temente em conta se a SRP/CS se encontra
numa mquina individual, num dispositivo
complexo com mltiplas ligaes ou num
sistema de produo integrado. Da mesma
maneira, pode-se dizer que: Quanto maior
for a complexidade maior nvel de risco
residual maiores medidas requeridas
para controlar o risco residual!
A falta de considerao da complexidade da
SRP/CS , sem dvida, um aspecto que deve
ser tido em conta.
Poroutrolado,oargumentodaEN954-1no
refectir j o estado actual da tecnologia in-
questionvel, sobretudo porque, embora no
exclua explicitamente as tecnologias basea-
das em microprocessadores programveis,
no defne nenhum requisito referente s
mesmas.
Esta representao das crticas, que no
pretende englobar a totalidade das mesmas,
serve simplesmente para compreender melhor
o contexto desta polmica, sem ter de entrar a
fundo no tema (ver tambm a Figura 2).
1) Comparar tambm com a norma CR 954-100 Princpios de
utilizao e aplicao da norma EN 954-1
2) De agora em adiante, referir-nos-emos s partes relacionadas
com a segurana dos sistemas de controlo das mquinas com
as siglas SRP/CS, do ingls safety-related part of a control
system.
Crticas:
Embora seja aplicavel a sistemas
programaveis e a electrnicas complexas,
no apresenta requisitos pormenorizados.
Os requisitos para a considerao dos
valores de abilidade so inadequados.
A excluso de defeitos na categoria 1 produz
uma falta de hierarquia para determinar o
alcance da reduo do risco.
Na tabela de riscos, no existe uma relao
directa entre reduo do risco e categoria, e
no se tem em conta a complexidade.
Figura 2: Algumas crticas actual EN 954-1
9
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Nivel de
abilidade
requerido PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Figura 3: Reduo do risco e nvel de fabilidade requeridos. S = Gravidade da leso, F = Frequncia e/
ou durao da exposio ao risco, P = Possibilidade de reduzir o risco.
Execuo
O nvel de fabilidade correspondente (sub-
dividido desde PL a at PL e) refecte os
diferentes riscos residuais, exprimidos como a
probabilidade de erro grave por hora ou PFH
d
1

(ver tambm a Figura 4).
Portanto, a abordagem da nova norma tem em
conta a probabilidade residual, ou seja, consi-
dera engenharia de fabilidade ou uma combi-
nao das vises determinista e probabilista.
Os graus do PL foram seleccionados para
se ajustarem aos nveis de integridade de
segurana (SIL) da IEC EN 61 508, e podem
associar-se s categorias de controlo da EN
954-1, embora a coincidncia no seja exacta
(como j indicmos); por exemplo, a categoria
1 corresponde (ainda que no exactamente) ao
PL b, a categoria 2 ao PL c, etc.
Nova tabela de riscos
Antecedentes
A norma EN ISO 13 849-1 tambm utiliza uma
tabela de riscos (ver a Figura 3); no entanto, a
considerao dos parmetros de risco j no
se traduz em categorias de controlo, como na
EN 954-1, mas sim nos denominados nveis de
fabilidade (PL).
O PL, nvel de fabilidade, designa a capacida-
de de uma parte relacionada com a segurana
dos sistemas de controlo das mquinas (SRP/
CS) de executar uma funo de segurana
para atingir a reduo do risco desejado, uma
abordagem que considera aspectos quantitati-
vos e qualitativos.
Os parmetros de risco individuais da norma
EN ISO 13 849-1 (gravidade da leso, frequn-
cia e durao da exposio, etc.) no se modi-
fcam em relao aos da norma EN 954-1.
1) PFH = Probabilidade de erro por hora
10
Aplicao
Devemter-seemcontatodasasfunes
de segurana da mquina que apaream
a partir de uma anlise de riscos, como,
por exemplo, a paragem de emergncia, o
encravamento de guarnies mveis, etc.
O designado PL
r
o produto da considera-
o do grfco de risco (a letra r signifca
requerido)
1
.
Wahrscheinlichkeit eines gefhrlichen Ausfalls pro Stunde
EN ISO 13849-1
PL
a
Absicherung
niedriger Risiken
Absicherung
hoher Risiken
b c d e
10
8
10
5
3 x 10
5
10
6
10
7
10
4
Figura 4: Defnio do PL, como fabilidade relativa segurana
Funes de segurana executadas pelas partes relacionadas com a segurana dos sistemas
de controlo das mquinas
Exemplos em maquinaria:
Paragem quando se abrirem as
guarnies
Reduo da velocidade no modo manual
(conguraoj
Darstellung nach Norm:
Sensor
Compo-
nente
lgico Accionador
PL
Deteco Processo Interruptor
SRP/CS SRP/CS SRP/CS
i
ab
i
lx
Figura 5: Funo de segurana e SRP/CS
OPLumaconsideraoglobaledizsem-
pre respeito cadeia de sensores (deteco),
ao componente lgico (processo) e ao accio-
nador (interruptor).
1) A sistemtica da norma distingue entre PL
r
e PL. PL
r

diz respeito ao nvel de fabilidade julgado necessrio
uma vez considerado o risco (ou seja, trata-se de um
valor desejado concreto). PL diz respeito ao resultado
da anlise (ou seja, trata-se do valor real).
11
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
a partir da
categoria 2
como na norma
EN 954-1
(1997)
dependendo
da
categoria
a partir da
categoria 2
Categorias
(redundncia,
testes)
MTTF
d
(qualidade dos
componentes)
DC (quali-
dade dos
testes)
CCF
Abbildung 6: Erweiterung des Kategorie-Begriffs
Novos aspectos a ter em conta
O resultado da combinao das abordagens
determinista e probabilista (o equilbrio a que
nos referimos anteriormente) que, para a
determinao do PL, h que ter em conta os
seguintes aspectos (ver tambm a Figura 6):
1. A categoria de controlo (de forma aproxima-
da, como j comentmos) contida na norma
denominada de forma predominante
arquitectura designada.
2. O MTTF
d
(tempo mdio at ao erro perigo-
so).
3. A cobertura de diagnstico (DC).
4. A designada gesto de erros por causas
comuns (CCF).
Da mesma maneira, existem medidas para
contra-arrestar os erros de sistema, um pr-
requisito j presente na norma EN ISO 13 849-1
e que aparece no Anexo G. A sua origem a
teoria do erro na engenharia de fabilidade, que
distingue entre erros coincidentes (ver MTTF
d
)
e sistemticos, entre outros (ver a Figura 7).
Aplicao
Devemter-seemcontatodasasfunes
de segurana da mquina que apaream
a partir de uma anlise de riscos, como,
por exemplo, a paragem de emergncia, o
encravamento de guarnies mveis, etc.
O designado PL
r
o produto da considera-
o da grfca de risco (a letra r signifca
requerido).
OPLumaconsideraoglobaledizsem-
pre respeito cadeia de sensores (detec-
o), ao componente lgico (processo) e ao
accionador (interruptor) (ver a Figura 5).
Figura 7: Im
pedir e controlar erros sistem
ticos
D
a m
esm
a m
aneira, existem
m
ed
id
as
p
ara co
ntra-arrestar o
s erro
s d
e sistem
a,
um
p
r-req
uisito j p
resente na no
rm
a
E
N
IS
O
13 849-1 e q
ue ap
arece no A
ne-
xo G
. A
sua o
rig
em
a teo
ria d
o erro na
eng
enharia d
e f
ab
ilid
ad
e, q
ue d
isting
ue
entre erro
s co
incid
entes (ver M
T
TF
d
) e
sistem
tico
s, entre o
utro
s (ver a Fig
ura
7).
O
A
nexo G
sug
ere as m
ed
id
as seg
uintes:
U
m
aselecodascontidasnanorm
aEN
IS
O
13 849-2.
A
protecofacesinfunciasproceden-
tes do am
biente. M
edidasinform
ticastpicas(controloe
reviso de program
as, etc.).
P
rotecodascom
unicaesdedados.
12
O nvel de fabilidade em substituio
da categoria de controlo
Os resultados das anlises 1 at 4 (ou seja, a
anlise da arquitectura designada, o MTTF
d

por canal, a DC e os CCF) introduzem-se num
grfco de barras a partir do qual se obtm o
nvel de fabilidade atingido (ver a Figura 8).
Isso signifca que um PL e requer uma estru-
tura que corresponda categoria 4, um valor
MTTF
d
por canal alto e uma DC igualmente
alta (o conceito DC
avg
corresponde cober-
tura mdia de diagnstico).
Se, pelo contrrio, o objectivo que a redu-
o do risco atinja um PL c ou d, podem
1) In der Systematik der Norm wird zwischen PL
r
und
PL unterschieden. PL
r
steht dabei fr den aufgrund
der Risikobetrachtung bentigten Performance Level
(praktisch eine Soll-Ermittlung). PL ist dann das be-
wertete Ergebnis (praktisch die Ist-Ermittlung).
N
i
v
e
l

d
e

a
b
i
l
i
d
a
d
e
Categoria
B
DC
avg
=
0
Categoria
1
DC
avg
=
0
Categoria
2
DC
avg
=
baixo
Categoria
2
DC
avg
=
mdio
Categoria
3
DC
avg
=
baixo
Categoria
3
DC
avg
=
mdio
Categoria
4
DC
avg
=
alto
a
b
c
d
e
MTTF
d
= baixo
MTTF
d
= mdio
MTTF
d
= alto
Figura 8: Determinao simplifcada do Nvel de fabilidade (PL)
seleccionar-se vrias possibilidades de design;
por exemplo, para um PL d, uma estrutura
consoante a categoria 2, um MTTF
d
alto e
uma DC mdia. A partir da categoria 2, deve
ter-se sempre em conta o factor CCF.
Devido a que os limites entre os diferentes PL
do grfco no coincidem exactamente com as
categorias, permite-se uma simplifcao (na
norma, h includa uma tabela, no lugar de um
grfco). Ver a Figura 9.
Aqui conclui esta breve descrio em linhas
gerais da EN ISO 13 849-1.

Figura 9: Nvel de fabilidade (PL): Determinao alternativa mediante uma tabela
N
i
v
e
l

d
e

a
b
i
l
i
d
a
d
e
Categoria
B
DC
avg
=
0
Categoria
1
DC
avg
=
0
Categoria
2
DC
avg
=
baixo
Categoria
2
DC
avg
=
mdio
Categoria
3
DC
avg
=
baixo
Categoria
3
DC
avg
=
mdio
Categoria
4
DC
avg
=
alto
a
b
c
d
e
MTTF
d
= baixo
MTTF
d
= mdio
MTTF
d
= alto
13
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Arquitecturas designadas
Antecedentes
A norma EN ISO 13 849-1 tem em conta as ca-
tegorias de controlo j conhecidas atravs das
denominadas arquitecturas designadas, que
se podem descrever como um clculo avan-
ado das estruturas de SRP/CS. Por clculo
avanado, referimo-nos a que j foi comprova-
da a contribuio destas estruturas reduo
do risco no mbito dos modelos de Markov,
consoante a norma IEC EN 61 508. Portanto, o
utilizador da norma EN ISO 13 849-1 j no se
tem de preocupar por esses clculos matem-
ticos complexos.
A considerao da arquitectura designada de
uma SRP/CS actualiza a abordagem determi-
nista anterior EN 954-1. No entanto, como j
se comentou, no futuro referir-se- apenas a
um aspecto dos muitos que conformam o nvel
de fabilidade.
Se lhe parece que j ouviu falar das arquitectu-
ras designadas, voc tem razo. Basicamente,
dizem respeito s estruturas de SRP/CS j
conhecidas, estabelecidas e comprovadas das
vrias categorias de controlo que se aplicam
na norma EN 954-1. No entanto, uma excep-
o a categoria 2 (tal como comentmos).
Execuo
A norma EN ISO 13 849-1 reconhece as arqui-
tecturas designadas da Figura 10.
Aplicao
O estabelecimento de arquitecturas designa-
das implica um avano positivo para a simpli-
fcao na EN ISO 13 849-1; no entanto, fcam
algumas questes pendentes de resolver (que
tambm no se resolvem na interpretao da
EN 954-1).
Entre elas, est a questo de como se deve
executar a funo de dois canais no nvel do
sensor e do accionador nas categorias 3 e 4.
Isso signifca que as funes do sensor e do
accionador devem estar fsicamente presentes
duas vezes (por exemplo, em forma de dois in-
terruptores no controlador de posio de uma
guarnio mvel) e no se especifca quais so
as medidas que se devem tomar se algum se
desejar desviar das arquitecturas designadas.
Podem considerar-se muitas alternativas:
A opo 1 baseia-se na norma C (norma de
produtos), que oferece sugestes de design
precisas. Por exemplo, em mquinas de papel
e impressoras, basta um nico interruptor de
segurana elctrico de 2 canais para o contro-
lo de posio de uma guarnio mvel.
Figura 10: Introduo s arquitecturas designadas
O L
Sinal de
entrada
Sinal de
sada
O
O
O1 L1
Sinal de
entrada
Sinal de
sada
Controlo
I1
O2 L2
Sinal de
entrada
Sinal de
sada
Controlo
I2
I L
Sinal de
entrada
Sinal de
sada
OTE TE
2
a
via de
desliga-
o
ou indi-
cao
Controlo
C
o
n
t
r
o
l
o
C
o
n
t
r
o
l
o
Controlo
C
o
n
t
r
o
l
o
c
r
u
z
a
d
o
O L
Sinal de
entrada
Sinal de
sada
O
O
O1 L1
Sinal de
entrada
Sinal de
sada
Controlo
I1
O2 L2
Sinal de
entrada
Sinal de
sada
Controlo
I2
I L
Sinal de
entrada
Sinal de
sada
OTE TE
2
a
via de
desliga-
o
ou indi-
cao
Controlo
C
o
n
t
r
o
l
o
C
o
n
t
r
o
l
o
Controlo
C
o
n
t
r
o
l
o
c
r
u
z
a
d
o
O L
Sinal de
entrada
Sinal de
sada
O
O
O1 L1
Sinal de
entrada
Sinal de
sada
Controlo
I1
O2 L2
Sinal de
entrada
Sinal de
sada
Controlo
I2
I L
Sinal de
entrada
Sinal de
sada
OTE TE
2
a
via de
desliga-
o
ou indi-
cao
Controlo
C
o
n
t
r
o
l
o
C
o
n
t
r
o
l
o
Controlo
C
o
n
t
r
o
l
o
c
r
u
z
a
d
o
Categorias 3 e 4: Categoria 2: Categorias B e 1:
14
A opo 2 consiste em utilizar a excluso de
defeitos (ver a Figura 11). Neste caso, deve
realizar-se com as mesmas precaues que
com a EN 954-1. Podem utilizar-se as listas de
excluses de defeitos dos Anexos A at D da
norma EN ISO 13 849-2 (anteriormente EN 954-
2) ou ento realizar as anlises por si prprio,
seguindo estritamente a Seco 3.3 da norma
ISO 13 849-2.
Figura 11: Excluso de defeitos.
Quando posso realizar uma excluso
de defeitos?
Nem sempre possvel avaliar uma SRP/
CS sem assumir a excluso de alguns
defeitos. Para obter informao pormeno-
rizada sobre excluso de defeitos, ver a
norma EN ISO 13 849-2.
As excluses de defeitos podem basear-
se em:
Aimprobabilidadetcnicadaincidncia
de determinados defeitos.
Aexperinciatcnicageralmenteaceite,
independentemente da aplicao.
Asexignciastcnicasrelativasapli-
cao e aos riscos especiais.
A opo 3 consiste em deixar de lado as
simplifcaes da EN ISO 13 849-1 e realizar
os clculos matemticos segundo os modelos
de Markov, as redes de Petri ou similares (ou
ento encarregar a algum que os efectue) (ver
a Figura 12).
Figura 12: No h norma sem excepo
absolutamente fundamental que
utilize arquitecturas designadas, ou
posso prescindir delas?
4.5.1 ... Existem vrios mtodos para
estimar os aspectos quantifcveis do PL
de qualquer tipo de sistema (por exemplo,
uma estrutura complexa). Alguns deles
so os modelos de Markov, as redes esto-
csticas generalizadas de Petri (GSPN) ou
os grfcos de barras de fabilidade [ver a
srie EN 61568 (IEC 61 508)].
Para facilitar a avaliao dos aspectos
quantifcveis do PL, a norma proporciona
um mtodo simplifcado baseado na def-
nio de cinco arquitecturas designadas
que cobrem critrios de design e compor-
tamentos especfcos em condies de
erro.
ATENO ao utilizar a arquitectura desig-
nada para a categoria 2!
Embora a descrio anterior d como certo
que as denominadas arquitecturas designadas
so bem conhecidas, existe uma excepo
fundamental, que a estrutura recomendada
para a categoria de controlo 2.
Neste caso, produzir-se- uma mudana
considervel: Enquanto a categoria de controlo
2 estabelecia at agora que as estruturas de 1
canal deviam ser controladas automaticamen-
te pelos comandos da mquina em intervalos
adequados, no futuro, com uma arquitectura
designada, a frequncia de comprovao
dever ser 100 vezes mais elevada do que a
petio previsvel da funo de segurana, e
dever existir uma segunda sada (ver a Figura
13 da pg. 15).
15
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Basicamente, esta arquitectura designada
como uma verso light da categoria de
controlo 3. Quando, no fm deste documento,
tentarmos resumir as modifcaes prticas
derivadas da introduo da EN ISO 13 849-1, o
resumo incluir a recomendao imperativa de
se comprovarem as SRP/CS com categoria de
controlo 2 para ver se cumprem os requisitos
futuros.

Valor MTTF
d
Antecedentes
O primeiro que h que dizer sobre as consi-
deraes da EN ISO 13 849-1 em relao ao
MTTF
d
, apesar de que s vezes se esquea,
que as SRP/CS sempre conservam um po-
tencial de erro residual de efeito crtico para a
segurana (o potencial de erro por coincidn-
cia de erros perigosos). Por isso, a necessida-
de de controlar este risco residual, ou seja, de
reduzi-lo a um nvel aceitvel.
Um exemplo seria um interruptor que no abre
ou no fecha. Geralmente, numa mquina, um
interruptor que no abre implica um estado
perigoso, em ausncia de redundncias ou de
uma rpida identifcao do erro. No entanto,
nem todos os interruptores so iguais: Existem
diferenas de design, material, etc.
Da mesma maneira, pode dizer-se que existem
diferenas de qualidade que podem afectar a
probabilidade destes erros coincidentes.
Assim, o MTTF
d
um indicador de qualidade
que diz respeito fabilidade dos componen-
tes e dispositivos de segurana de uma SRP/
CS.
Por defnio, o MTTF
d
uma mdia esta-
tstica que representa o tempo de funciona-
mento sem avarias previsto por ano (= MTTF),
embora na EN ISO 13 849-1 apenas se tenham
em conta as avarias como um componente
perigoso. Da o termo MTTF
d
(d, do ingls
dangerous, signifca perigoso, e nem todos
os erros tm um efeito crtico sobre a seguran-
a). Portanto, o valor MTTF
d
sempre maior
do que o MTTF. O valor exprime-se em anos
(= a).
Por conseguinte, o valor MTTF
d
sempre o
inverso (o valor recproco) do valor PFH
d
. Um
valor MTTF
d
de 10 a, por exemplo, equivale
a um valor PFH
d
de 1,14 10
5
(1/10 8.760),
embora apenas faa referncia a um canal1.
Ao considerar o MTTF ou o MTTF
d
, assume-se
uma distribuio exponencial do erro coinci-
dente, ou seja, depois da sequncia do MTTF
ou MTTF
d
, 63% de todas as unidades (perigo-
sas) j falharam e a probabilidade de sobre-
vivncia das unidades afectadas de apenas
37% (ver as Figuras 14 e 15).
O L
Sinal de
entrada
Sinal de
sada
O
O
O1 L1
Sinal de
entrada
Sinal de
sada
Controlo
I1
O2 L2
Sinal de
entrada
Sinal de
sada
Controlo
I2
I L
Sinal de
entrada
Sinal de
sada
OTE TE
2
a
via de
desliga-
o
ou indi-
cao
Controlo
C
o
n
t
r
o
l
o
C
o
n
t
r
o
l
o
Controlo
C
o
n
t
r
o
l
o
c
r
u
z
a
d
o
Categoria 2:
Figura 13: Novos requisitos da categoria de
controlo 2
1) Os valores de PFH, calculados de acordo com a nor-
ma IEC EN 61 508, podem ser includos em clculos
realizados segundo a norma EN ISO 13 849-1, desde
que se tenham em conta os pormenores do SIL. Desta
maneira, obtm-se uma viso simplifcada, nomeada-
mente em estruturas de 2 canais, mas existe menos
risco de os clculos darem uns resultados demasiado
optimistas.
16
Dito de outra maneira:

Figura 14: Ilustrao da vida til mdia: Representam-se trs colectivos com diferentes nveis de
fabilidade. As suas unidades (representadas mediante os pontos) falham em momentos coincidentes.
As coordenadas verticais indicam o momento do erro. Estes momentos esto separados por perodos
longos. Por exemplo, no caso do primeiro colectivo, algumas unidades duram 18 anos, enquanto que
outras falharam j depois de um ano. 63% falharam j depois de 6 anos. (Fonte: Introduo aos mto-
dos de anlise da fabilidade, SIEMENS AG, 1&S IS ICS IT2)
Distribuio da abilidade das unidades
de trs colectivos
Intacta
erro
18
anos
37%
63%
MTBF = 6 anos MTBF = 18 anos MTBF = 60 anos
72%
28%
90%
10%
60
anos
Anos
60
18
6
Figura 15: O que signifca exactamente o MTTF
d
?
no
aceitvel
MTTF
d
=
MTTF
d
=
MTTF
d
=
MTTF
d
=
3 a
10 a
30 a
100 a
E
r
r
o
s

p
e
r
i
g
o
s
o
s

(
%
)
100%
80%
60%
40%
20%
0%
0 5 10 15 20 25 30
Tempo (anos)
no aceitvel
baixo
mdio
alto
17
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
ATENO: Uma excepo a esta distribuio
exponencial assumida, tpica da electrnica,
so os componentes afectados pelo desgaste,
que tm uma distribuio de vida til diferen-
te. Este factor refecte-se na norma EN ISO
13 849-1 atravs do tamanho intermdio do
clculo do valor B
10d
(ver mais adiante).
Execuo
Na norma EN ISO 13 849-1, a considerao do
MTTF
d
e do PHF varia em funo de que se
utilizem:
numnicocomponentedesegurana
numnicocanaldeumaSRP/CS
numaSRP/CScompleta.
A diferenciao indicada apenas pode ser en-
tendida tendo em conta que uma grande parte
dos utilizadores de componentes de seguran-
a e de outros dispositivos contemplados na
EN ISO 13 849-1 no os fabricam, mas sim que
os adquirem e os incorporam a uma SRP/CS.
No futuro, estes utilizadores da EN ISO 13 849-
1 que adquiram componentes de segurana
prontos para serem utilizados, como os do
Grupo Schmersal, tero as coisas ainda mais
fceis, j que se supe que todos os princi-
pais fabricantes incorporaro os valores da
norma EN ISO 13 849-1 na sua documentao
tcnica.
O comprador de componentes de segurana
tem direito a exigir ao seu fornecedor que lhe
proporcione estes dados a tempo, antes de a
EN ISO 13 849-1 entrar em vigor. No tem que
ser imediatamente, mas sim pelo menos cedo
(ver a seco Entrada em vigor da norma EN
ISO 13 849-1).
Da mesma maneira, tambm podem exigir
esta informao aos fornecedores aqueles
que adquiram outro tipo de componentes e
dispositivos que, do ponto de vista da directiva
sobre mquinas CE (MRL), no sejam estrita-
mente componentes de segurana, mas sim
produtos de duplo uso, ou seja, aplicveis
simultaneamente a tarefas operativas e a fun-
es de segurana
1
.
ATENO: Se se estabelecer uma excluso
de defeitos para um componente, o valor
MTTF
d
da frmula respectiva deve considerar-
se (ver mais adiante).
Aplicao:
MTTF
d
para um s canal
Neste caso, em relao frmula da Figura 16,
o utilizador apenas tem de somar os valores
MTTF
d
individuais dos componentes da SRP/
CS mediante o mtodo designado de con-
tagem de partes. Ver tambm o exemplo de
clculo da pgina 18.

Figura 16: MTTF
d
por canal
(mtodo de contagem de partes)
N
1
=
S
1
MTTF
d
MTTF
d i
i = 1
A soma deve ser comparada com os valores
das tabelas seguintes (ver a Figura 17) para
indicar a qualidade da segurana de um canal
individual de uma SRP/CS.

1) Gebrauchsfertige Sicherheitsbauteile im MRL-Sinne
und Dual-Use-Produkte (wie vor) in einem SRP/CS
werden nachfolgend pauschal auch als sicherheitsge-
richtete Gerte bezeichnet.
18
Alm disso, aplicam-se as normas seguintes:
OsvaloresdeMTTF
d
aplicam-se sempre a
um canal, ou seja, no importa se se tratar
de uma estrutura (ou arquitectura designada)
de 1 ou 2 canais, a no ser que os canais se
estruturem de forma distinta. Neste caso,
aplica-se uma frmula denominada de siste-
matizao (ver a Figura 18).
Ofabricanteouodistribuidordamaquinaria
responsvel de calcular ou encarregar o
clculo do valor MTTF
d
de um canal de acor-
do com as condies da directiva CE sobre
mquinas.
ATENO:Seoclculoproduzirvrios
valores de MTTF
d
por canal superiores a
100 anos, o excesso recorta-se, j que um
canal de SRP/CS apenas pode ter um valor
MTTF
d
de 100 anos no mximo (ao contrrio
de um componente de segurana, que, con-
siderado individualmente, pode ter um valor
muito superior). Com esta restrio de 100
anos, os criadores da norma pretendem evi-
tar que os valores de MTTF
d
dem uma viso
demasiado optimista, com o fm de obter um
nvel de fabilidade superior ou de permitir
a utilizao de mtodos de clculo para
substituir as estruturas de 1 canal quando se
requererem estruturas de 2 canais.
Figura 17: O MTTF
d
uma mdia estatstica do tempo de funcionamento sem erros perigosos num s
canal de controlo
Descrio da qualidade Intervalo de valores de MTTF
d
Baixa 3 anos MTTF
d
< 10 anos
Mdia 10 anos MTTF
d
< 30 anos
Alta 30 anos MTTF
d
100 anos
O MTTF
d
uma mdia estatstica e no garante a durao da vida til!
Exemplo de clculo
j Componente Uni-
dades
(n
j
)
MTTF
d,j

[a] no
pior caso
1/MTTF
d,j
[1/a] no
pior caso
nj/MTTF
d,j
[1/a] no
pior caso
1 Transstor bipolar de baixa potncia 2 1142 0,000876 0,001752
2 Resistncia de pelcula de carbono 5 11416 0,000088 0,000438
3 Condensador convencional, sem alimentao 4 5708 0,000175 0,000701
4 Rel (dados do fabricante) 4 1256 0,000796 0,003185
5 Contactor 1 32 0,031250 0,031250
S(n
j
/MTTF
d,j
) 0,037325
MTTF
d
= 1/S(n
j
/MTTF
d,j
) [y] 26,79
Este exemplo d um MTTF
d
de 16,8 anos, um valor mdio segundo a Figura 17.
Neste exemplo, o contactor tem uma grande infuncia. Em geral, obtm-se resultados muito
melhores, ou seja, um MTTF
d
mais alto.
19
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
ATENO:Aunifcaodosdiferentesdis-
positivos de segurana de uma SRP/CS deve
cumprir as condies seguintes:
aaplicaodeveseguirestritamenteain-
formao contida no manual de instrues
podemrealizar-seexclusesdedefeitos
adicionais, nomeadamente no que diz
respeito aos fos elctricos, de acordo com
a norma ISO 13 849-2.
Quandoseutilizarsoftware,hquecumprir
os requisitos adicionais da EN ISO 13 849-1
(ver a Seco 4.6).
Adenominadafrmuladesimetrizao
aplicvel quando dois canais de uma SRP/
CS tiverem sido estruturados de forma dife-
rente (ver a Figura 18).

Notas
Nocasodoscomponentesoudispositivos
individuais concebidos para uma SRP/CS do
sector coberto pela norma IEC EN 61 508 (ou
IEC EN 62 061), aplica-se em geral um valor
denominado lambda (l). O valor equivale ao
PFH
d
da norma EN ISO 13 849-1.
No entanto, se se desejar oscilar entre os
mbitos da EN ISO 13 849-1 e da IEC EN
61 508 (ou IEC EN 62 061) em componentes
e dispositivos de segurana (ver a pgina
44), recomendamos a utilizao do nvel de
fabilidade ou do SIL.
SeapenassedispuserdeumvalorMTTF(ou
seja, no existe valor MTTF
d
), o mesmo pode
duplicar-se (desde que exista um equilbrio
aproximado entre erros perigosos e inofen-
sivos) para obter o valor MTTF
d
. A norma EN
ISO 13 849-1 recomenda que, no caso de
dvida, apenas seja includa uma parte do
valor no clculo (sugere-se um 10%) para
fcar curto adoptando um critrio de prudn-
cia.
SeapenassedispuserdeumvalorMTBF,
para simplifcar, pode considerar-se geral-
mente como um valor MTTF.
Aplicao: Clculo do MTTF
d
para um nico dispositivo de segurana
Esta seco vai dirigida a quem construa, para
o seu prprio uso, dispositivos de seguran-
a, sistemas de comando e produtos de uso
dual. A norma dividir os equipamentos de
segurana nos seus componentes funcionais e
calcular o valor MTTF
d
mediante o mtodo de
contagem de partes (j descrito).
Neste caso, a norma EN ISO 13 849-1 tambm
oferece alternativas se no existirem valores
MTTF ou MTTF
d
, proporcionando valores
tpicos nas tabelas do anexo C para compo-
nentes elctricos e electrnicos individuais (ver
a Figura 19). Outros documentos de referncia
so, por exemplo, a norma SN 29 500 ou os
manuais MIL.
Figura 18: Diferentes MTTF
d
por canal simetrizao
AsarquitecturasdesignadasassumemomesmoMTTF
d
para ambos os canais.
- Frmula de simetrizao para valores de MTTF
d
distintos:
MTTF
d
=
2
MTTF
d C1
+ MTTF
d C2

1
3 1
+
1
MTTF
d C1
MTTF
d C2
Exemplo:MTTF
dc1
= 3 anos, MTTF
dc3
= 100 anos, de modo que o MTTF
d
= 66 anos
20
Os componentes e dispositivos afectados pelo
desgaste numa SRP/CS recebem uma consi-
derao especial na norma EN ISO 13 849-1, j
que, nestes casos, a petio (em concreto, o
modo de petio) tem uma infuncia substan-
cial sobre o valor MTTF
d
.
Apenas os componentes e dispositivos de
segurana electrnicos possuem um valor
MTTF
d
directo, visto que, nestes casos, a
denominada curva de banheira se pode
considerar um indicador dos erros indepen-
dentemente do desgaste. Excluem-se tanto
a parte esquerda (erros prematuros) como a
parte direita da curva de banheira. A parte es-
querda no se considera porque se supe que
o fabricante j tratou dos erros prematuros
mediante a aplicao das medidas adequadas,
como, por exemplo, o envelhecimento artifcial.
Exclui-se a parte direita porque se assume que
se encontra muito mais alm da vida til real.
Valores B
10d
Existem magnitudes intermdias para a con-
verso do valor MTTF
d
. A primeira delas o
valor B
10d
, utilizada nos componentes afec-
tados pelo desgaste, como, por exemplo, os
dispositivos electromecnicos, fudicos e me-
cnicos. Este valor equivale a uma espcie de
ndice de capacidade de ciclo funcional, que
avalia a aceitabilidade da funo de segurana
segundo o mtodo Weibull.
O valor B
10d
convertido num valor MTTF
d

tendo em conta as condies da aplicao, ou
seja, a durao do uso e a petio mdia da
funo de segurana do componente respecti-
vo (ver a Figura 20).
Figura 19: MTTF
d
para componentes electrnicos (exemplos)
As tabelas de C.2 at C.7 indicam os valores tpicos MTTFd para componentes elctricos de
acordo com a norma SN 29500:
Componente Exemplo MTTF [a]
do com-
ponente
MTTF
d

[a]
tipico
MTTF
d

[a] no
pior caso
Erros
peri-
gosos
Transistor bipolar TO18, TO92, SOT23 34.247 68.493 6.849 50%
Diodo supressor 15.981 31.963 3.196 50%
Condensador KS, KP, MKT, MKC 57.078 114.155 11.416 50%
Resistncia de pelcula de car-
bono
114.155 228.311 22.831 50%
Optoacoplador com sada bipolar SFH 610 7.648 14.840 1.484 50%
Figura 20: Clculo do MTTF
d
para componen-
tes com desgaste
OfabricanteproporcionaovalorB
10d

para o componente (valor em ciclos de
funcionamento, em que estatisticamente
10% das amostras analisadas so erros
perigosos).
necessriodeterminarafrequncia
mdia de comutao da aplicao;
por exemplo, 0,2 Hz => intervalo t
ciclo

= 5 s.
ConversodoB
10d
(ciclo de funciona-
mento) para MTTF
d
(anos):
MTTF
d
=
B
10d
0,1 n
op
d
op
h
op
3.600
s
n
op
=
h
t
cycle
d
op
= nmero de dias de funcionamento por ano
h
op
= mdia de horas de funcionamento por dia
n
op
= mdia de ciclos de funcionamento por ano
t
ciclo
= petio mdia da funo de segurana
em s (por exemplo, 4 por hora =
1 por 15 min. = 900 s)
21
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Alm disso (ver a Figura 21), a norma EN ISO
13 849-1 oferece recomendaes para deci-
dir quais so os valores B
10d
que se podem
adoptar para dispositivos tpicos afectados
pelo desgaste, no caso de o fabricante no dar
qualquer indicao.
Estes valores diferenciam-se em funo de se
o respectivo dispositivo trabalha a plena carga
ou a carga baixa (por exemplo, no caso dos
contactores e rels). O termo a plena carga
no se utiliza s no seu sentido elctrico, mas
tambm diz respeito s condies ambien-
tais especialmente desfavorveis e, em geral,
a qualquer condio de funcionamento no
ptima.
A magnitude da carga pequena defne-se na
norma como um 20%, embora se permita a
representao (no linear) de valores interm-
dios. Por exemplo, a 20,0 milhes de ciclos de
funcionamento a 20%: 2,5 milhes de ciclos de
funcionamento a 40%, 2,5 milhes de ciclos
de funcionamento a 60% e 1,0 milho de
ciclos de funcionamento a 80%.
Figura 21: Valores B
10d
(extracto) de acordo com a norma
Componentes mecnicos MTTF
d
= 150 anos
Componentes hidrulicos MTTF
d
= 150 anos
Componentes pneumticos B
10d
= 20.000.000
Rels/contactores (com carga pequena) B
10d
= 20.000.000
Rels/contactores (com carga mxima) B
10d
= 400.000
Contactor principal (carga pequena) B
10d
= 20.000.000
Contactor principal (carga mxima) B
10d
= 2.000.000
Dispositivo de paragem de emergncia B
10d
= 10.000
Dispositivo de comando (boto) B
10d
= 100.000
Factor de 50
Figura 22: Valores MTTF
d
convertidos para componentes pneumticos e electromecnicos em funo
do modo de petio (t
ciclo
)
t
ciclo
= 24 h 1 h 1 min 1 s
Componentes pneumticos 547.945 22.831 380 6,3
Rels/contactores (com carga pequena) 547.945 22.831 380 6,3
Rels/contactores (com carga mxima) 10.960 457 7,6 0,1
Contactor principal (carga pequena) 547.945 22.831 380 6,3
Contactor principal (carga mxima) 54.794 2.283 38 0,6
Dispositivo de paragem de emergncia 274 11 0,2 0,003
Dispositivo de comando (boto) 2.739 114 1,9 0,032
MTTF
d
> 100 anos
22
Existe uma excepo para os componentes
mecnicos e hidrulicos que se desviam do
loop de clculo. Neste caso, os criadores da
norma determinaram uns valores MTTF
d
de
150 anos, independentemente do modo de
petio, sobre a base de testes empricos
1
.
A Figura 22 mostra um exemplo de converso
de valores B10d para valores MTTF
d
em vrios
modos de petio (1 por 24 horas, 1 por hora,
etc.) (assume-se um funcionamento durante as
24 horas do dia e os 365 dias do ano).
Valores T
10d

ATENO: O designado valor T
10d
, o qual se
deriva da considerao do valor B
10d
, est
includo tambm na norma EN ISO 13 849-1 e
corresponde a 10% do valor MTTF
d
calcula-
do. Da vem a recomendao, como medida
de precauo, de substituir os dispositivos
relativos segurana quando eles atingirem o
valor T
10d
.
Boas prticas de engenharia
Ao calcular os valores MTTF
d
, a norma EN ISO
13 849-1 prefere o uso das especifcaes do
fabricante e s como alternativa recorre aos
mtodos simplifcados anteriormente men-
cionados, ou seja, a utilizao de tabelas que
permitam obter os valores MTTF
d
que falta-
rem, quando isso for preciso.
No entanto, estipulam-se, ao mesmo tempo,
algumas condies gerais, nomeadamente
quanto ao uso de tabelas que, como se indica
na Figura 24, devem ter-se em conta.

Figura 23: Valores M
TTF
d
para com
ponentes
individuais
A
o calcular o
s valo
res M
T
TF
d
d
e co
m
-
p
o
nentes ind
ivid
uais, d
evem
seg
uir-
se o
s seg
uintes critrio
s na o
rd
em

ind
icad
a:
1. A
s esp
ecif
ca
es d
o fab
ricante. 2. O
s m
to
d
o
s d
o anexo C
.
3. E
stab
elecer M
T
TF
d
= 10 ano
s.
Voraussetzung: G
ood Engineering P
ractices
Figura 24: Boas prticas de engenharia
Teremconta,paraodesign,os
princpios de segurana bsicos e
testados (EN ISO 13 849-2).
Teremcontaasespecifcaesdo
fabricante sobre aplicaes adequa-
das e condies de funcionamento
permitidas.
Teremcontaosprincpiosdesegu-
rana bsicos e testados na instala-
o e operao de componentes.
Tendo em conta estas condies,
aplicam-se os modos de erro estipu-
lados na norma.
O fabricante, o instalador e o ope-
rador esto obrigados a cumprir as
condies
1) Relatrio BIA 6/04, Anlise dos processos de envelhe-
cimento das vlvulas hidrulicas, www.hvbg.de/bgia.
Cdigo web: 1006447
23
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Cobertura de diagnstico
Antecedentes
Embora os requisitos da norma EN ISO 13 849-
1 quanto aos clculos do MTTF
d
sejam, apesar
de tudo, relativamente fceis de compreender
(uma vez superado o obstculo mental da
considerao probabilista e completada a
pesquisa meticulosa dos valores), a denomi-
nada cobertura de diagnstico (DC) requer um
esforo superior.
Este valor indica a proporo entre os erros
perigosos detectados e a activao do modo
de erro em todos os erros perigosos, bem
como a quantifcao da efccia das medidas
para descobrir erros numa SRP/CS.
Assume-se que (a) podem acontecer erros (ver
MTTF
d
) e (b) que os mecanismos para a sua
deteco (e a preveno de outros posterio-
res) no so todos igual de efectivos, pelo que
existe uma proporo de erros no detecta-
dos.
Trata-se de uma coisa bvia, sobretudo
porque nem todos os erros de uma SRP/CS
podem ser imediatamente detectados; ao
contrrio, em certas ocasies, no se tornam
evidentes at seguinte petio da funo de
segurana. Por exemplo, ao abrir uma guar-
nio mvel podemos reparar que existe um
curto-circuito num contacto de segurana
electromecnico ou num contacto soldado.
Figura 25: Cobertura de diagnstico DC
DC =
s dd
du
Modo de erro em erros perigosos detectados
Modo de erro em todos os erros perigosos
+
3
3
L
dd
L
dd
L
du
DC =
s
dd
du
Modo de erro em erros perigosos detectados
Modo de erro em todos os erros perigosos
+
3
3
L
dd
L
dd
L
du
Identifcao de todos os testes e medidas de controlo activas
Valores DC para cada
medida de verifcao
de uma tabela
norma EN ISO 13 849-1,
Anexo E;
IEC 61 508-2,
Tabela A.2-15
CP U1
CP U2
A2
M1
M2
A1
S2
S1
CPU2
CPU1
90%
0%
90%
90%
90%
90%
60%
90%
90%
99%
99%
99%
99%
99%
Intakt
Figura 26: Determinao da DC mdia para a totalidade do sistema, parte 1
24
A questo do reconhecimento de erros
especialmente importante do ponto de vista
da segurana, sobretudo para evitar a denomi-
nada acumulao de defeitos acumulados, ou
seja, uma situao em que, a um defeito no
detectado numa SRP/CS, se lhe acrescenta
outro (o designado segundo defeito) que pode
deixar intil a funo de segurana.
A partir de anlises empricas, vemos que um
sistema redundante simples com deteco
de defeitos tem melhor segurana do que um
sistema redundante mltiplo sem deteco de
defeitos, o que mostra claramente a grande
importncia da qualidade desta deteco, que
melhora no s a segurana, mas tambm a
rentabilidade.
Execuo
Para simplifcar tudo isto, a norma EN ISO
13 849-1 divide a qualidade da deteco de
defeitos (a designada cobertura de diagnsti-
co) em passos (ver a Figura 27).
No anexo E, a norma EN ISO 13 849-1 oferece
uma simplifcao ainda maior (ver a pgina
25).
Determinao da DC da totalidade do sistema mediante uma
frmula aproximada:
Frmula normativa para
a obteno da DC
avg
includa na Figura 28
Designao Wertebereich DC
nenhuma DC < 60%
baixa 60% DC < 90%
mdia 90% DC < 99%
alta 99% DC
PL
Figura 27: Determinao da DC mdia para a totalidade do sistema, parte 2
Figura 29: Exemplos de cobertura
Medida DC
Rel/
contactor
Teste de plausibilidade; por exemplo, aplicao
de contactos NA e NC de accionamento positivo
99%
Accionador Controlo de sadas atravs de 2 canais sem
testes dinmicos
099% em funo das mu-
danas de sinal na aplicao
Sensor Controlo de algumas propriedades (tempo de
reaco, mbito de sinais analgicos; por exem-
plo, resistncias elctricas, capacidade)
60%
Processo lgico Software de autoverifcao 6090%
25
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Figura 28: Cobertura de diagnstico mdia DC
avg
No PL, inclui-se apenas um valor mdio DC
avg
, que deve ser ponderado em todos os testes
OfactordeponderaooMTTF
d
das partes verifcadas:
DC
avg
=
DC
1
+
DC
2
+ ... +
DC
S
MTTF
d1
MTTF
d2
MTTF
dN
1
+
1
+ ... +
1
MTTF
d1
MTTF
d2
MTTF
dN
AspartesnoverifcadasdevemserintroduzidascomoDC=0.Todasaspartesqueno
possam demonstrar uma excluso de defeitos entram na soma (excluso de defeitos =>
MTTF
d
= ).
Aplicao
Calcula-se o valor mdio DC
avg
, que refecte a
qualidade da deteco de defeitos de todas as
partes de cada canal.
Os valores MTTF
d
dos componentes e dos
dispositivos relativos segurana que formam
um canal de SRP/CS infuem sobre o resul-
tado, j que uma combinao de um mau
MTTF
d
e uma m DC individual fazem descer
o valor DC
avg
e vice-versa.
Esta abordagem indutiva para o clculo do
valor DC
avg
de deteco de defeitos tem a sua
justifcao, mas no ajuda verdadeiramente
a simplifcar as coisas, embora o anexo E da
norma EN ISO 13 849-1 contenha uma comple-
ta tabela de referncia.
O anexo E apresenta uma grande quantidade
de medidas comprovadas para a deteco de
defeitos com os respectivos valores DC expri-
midos em percentagens, mas em alguns casos
a avaliao de uma medida da tabela vem
indicada como 0 ... 99%, em funo de ... ,
o que deixa uma enorme margem de mano-
bra, uma coisa que a norma EN ISO 13 849-1
pretende evitar e que requer uma anlise mais
profunda, como a realizada na norma IEC EN
61 508.
26
Figura 30: Erros por causas comuns (CCF)
As medidas de proteco face aos CCF
so necessrias em estruturas de mlti-
plos canais (cat. 2, 3, 4) que, de acordo
com o anexo D da norma IEC 61508-6,
correspondam a um factor b de 2% ou
menos.
Erro no
canal 1
Causa
comum
Erro na
canal 2
Gesto de erros por causa comum
(CCF)
Antecedentes
Para alm das arquitecturas designadas, o
clculo do MTTF
d
e a anlise da DC, o nvel de
fabilidade de uma SRP/CS vem determinado
por um quarto parmetro, a designada gesto
de erros por causa comum (CCF).
O parmetro aplica-se apenas em estruturas
de 2 canais a partir da categoria 2, j que se
destina a prevenir erros numa SRP/CS com
uma causa e um efeito comum.
Estes erros podem produzir a activao de um
modo de erro crtico em ambos os canais ao
mesmo tempo, por exemplo como consequn-
cia de um relmpago (sobretenso), afectando
as sadas de semicondutores redundantes e
produzindo como resultado a incapacidade de
ambos os canais de abrirem ou fecharem.
Execuo
Na norma EN ISO 13 849-1, a forma mais fcil
de analisar os mtodos de preveno dos
erros CCF a aplicao de uma tabela em que
aparece cada mtodo avaliado segundo um
sistema de pontos.
Vista a motivao das anlises dos CCF,
medidas tais como uma clara separao das
vias de sinal ou a utilizao de critrios de
compatibilidade electromagntica (EMC) mais
rigorosos ganham muitos pontos (da mesma
maneira que as medidas de proteco face a
sobretenses ou sobrepresses, bem como as
medidas de fltragem na tecnologia fudica).
A norma EN ISO 13 849-1 estabelece, neste
sentido, uma pontuao mxima de 100 pon-
tos e uma mnima de 65.
Trata-se de um valor equivalente a 2% do
designado factor b, a que se refere a norma
IEC EN 61 508.
Figura 31: Medidas de preveno de erros por
causa comum (CCF)
CCF: Erros de vrias partes por causas
comuns
Lista de medidas com sistema de pontua-
o (valor mximo: 100 pontos)
Separaodaviadesinal 15pontos
Diversifcao 20pontos
Protecofaceasobretenso
ou sobrepresso 15 pontos
Componentestestados 5pontos
FMEA(anlisedemodose
efeitos de erro) 5 pontos
Competncia/formao
do designer 5 pontos
EMCoufltragemdomeiode
presso e proteco face
poluio 25 pontos
Temperatura,humidade,
choques, vibraes, etc. 10 pontos
Objectivo: 65 pontos no mnimo
27
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Figura 32: Processo iterativo de design e desenvolvimento segundo a norma EN ISO 13 849-1
Da anlise de riscos
(EN ISO 12100-1)
Para a anlise de riscos
sim
sim
sim
no
no
no
Seleco da funo de segurana (SF)
Determinao: Requisitos da SF
Determinao do PL
r
Design e identificao da SRP/CS
Determinao do PL
PL r PL
r
Categoria MTTF
d
DC CCF
Validao
Todas as SF?
1
2
3
7 6 5 4
8
Exemplo:
Encravamentodeumaguarnio
Funo de segurana:
Paragemdomovimentoperigosoquandoaguarnioseabrir
Figura 33: Seleco e determinao dos requisitos de uma funo
de segurana
Exemplo
Em primeiro lugar, o processo iterativo de
design e desenvolvimento da norma EN ISO
13 849-1 coincide com a verso da EN ISO
12 100. Neste caso, divide-se tambm teorica-
mente em 8 passos, comeando pela seleco
de uma funo de segurana (1) e depois,
seguindo os passos de (2) at (7), se determina
se se conseguiu o PL
r
requerido (8).
O exemplo mostrado (ver a Figura 33) diz res-
peito ao encravamento de guarnies mveis,
ou seja, funo de deter o movimento perigo-
so quando a guarnio se abrir, a no permitir
um novo arranque at esta se fechar, etc. (ver
a norma EN 1088: Segurana das mquinas
dispositivos de encravamento associados a
guarnies-, princpios de design e seleco).
28
Segundo a norma EN ISO 13 849-1, o nvel de
fabilidade requerido, ou PL
r
, deve ser c (ver
a Figura 34).
A Figura 35 apresenta uma estrutura de uma
SRP/CS (arquitectura designada).
Risco
alto
Risco
baixo
Ponto inicial para a
estimao da
reduo do risco
Nivel de
abilidade
requerido PL
r
PL
r
= c
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Figura 34: Determinao do PL
r
SW1B
K1B SW2
CC:
PLC:
M:
RS:
:
Conversor de corrente
Controlador lgico programvel
Motor
Sensor de rotao
Interruptor (mostrado na posio de accionamento)
Fechado
Aberto
Sinal de controlo
CC
L + + +
M RS n
API PLC SPS
SW1B K1B
SW2 PLC CC
RS
Figura 35: Design e identifcao de uma SRP/CS
29
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Como ambos os canais do exemplo apresen-
tam uma construo distinta (ver a estrutura
da SRP/CS), devem determinar-se primeiro os
valores MTTF
d
correspondentes aos canais A
e B e simetriz-los.
CumpreosrequisitosdacategoriaB
Umserronoproduzaperda
da SF?
Detecodeerroparcial
Umaacumulaodeerrosno
detectados no produz a perda
da SF?
(1 falha a SPS sem que se detecte;
2 falha o canal A)
> Pode obter-se a categoria 3
Figura 36: Determinao da categoria de PL
A partir da arquitectura designada da Figura
35:
SW1B: Contacto de abertura positiva:

Excluso de defeitos pela no abertura
dos contactos, a no activao dos
interruptores devida a erro mecnico
(ruptura de um pisto, desgaste da ala-
vanca, desalinhamento)
K1B: MTTF
d
= 30 a (especifcao do
fabricante)
1
=
1
=
1
MTTF
d C1
MTTF
d K1B
30 y
Canal 1: MTTF
d
= 30 a
Figura 37: Determinao do PL: MTTF
d
para o
canal A
A seguir, mostra-se a anlise da cobertura de
diagnstico:
SW2,SPS,CC:
MTTF
d
= 20 a cada um (especifcao do fabricante)
1
=
1
+
1
+
1
=
3
MTTF
d C2
MTTF
SW2
MTTF
PLC
MTTF
CC
20 y
Canal 2: MTTF
d
= 6,7 a

MTTF
d
simetrizado para ambos os canais:
MTTF
d
=
2
MTTF
d C1
+ MTTF
d C2

1
3 1
+
1
MTTF
d C1
MTTF
d C2
MTTF
d
= 20 a (mdio)
Figura 38: Determinao do PL: MTTF
d
para o canal B
e MTTF
d
total
Figura 39: Determinao do PL: DC
avg
DC
K1B
= 99%, alta, devido aos contactos elctricos de
activao positiva da tabela do anexo E.1
DC
SW2
= 60%, baixa, devido ao controlo dos sinais de
entrada sem testes dinmicos
DC
PLC
= 30%, nenhuma, devido baixa efccia das
autoverifcaes
DC
CC
= 90%, mdia, devido menor distncia de
desligao, ao estar o accionador supervisado pelo
controlador. Ver a tabela do anexo E.1
DC
avg
=
DC
1
+
DC
2
+ ... +
DC
S
MTTF
d1
MTTF
d2
MTTF
dN
1
+
1
+ ... +
1
MTTF
d1
MTTF
d2
MTTF
dN
DC
avg
= 67% (baixa)
30
A seguir, mostra-se a determinao do nvel de
gesto dos CCF:
Figura 40: Determinao do PL: CCF
CCF: Erros de vrias partes por causas

comuns
Separaodaviadesinal 15pontos
Diversifcao 20pontos
Protecofaceasobretenso
ou sobrepresso 0 pontos
Componentestestados 5pontos
FMEA(anlisedemodose
efeitos de erro) 5 pontos
Competncia/formao
do designer 0 pontos
EMCoufltragemdomeiode
presso e proteco face
poluio 25 pontos
Temperatura,humidade,
choques, vibraes, etc. 10 pontos
S = 80 pontos > 65 pontos
E, por fm, a disposio no grfco de barras,
ou seja, a verifcao de se PL => PL
r
(ver a
Figura 41).
Notas: Evidentemente, a diviso meticulosa de
cada um dos passos do exemplo anterior um
pouco exagerada. Alm disso, o exemplo ilus-
tra dois canais de construo diferente, tanto
no mbito do sensor como no do processo
lgico, pelo que parece mais complexo do que
se costuma utilizar na prtica real.
De qualquer maneira, uma amostra da flo-
sofa dos novos requisitos da norma EN ISO
13 849-1, embora no exemplo no se tenha
tido em conta o valor B
10d
para o dispositivo
de encravamento (como dispositivo electrome-
cnico), que se deveria ter includo para maior
preciso.
N
i
v
e
l

d
e

a
b
i
l
i
d
a
d
e
MTTF
d
= baixo
MTTF
d
= mdio
MTTF
d
= alto
Categoria
B
DC
avg
=
0
Categoria
1
DC
avg
=
0
Categoria
2
DC
avg
=
baixo
Categoria
2
DC
avg
=
mdio
Categoria
3
DC
avg
=
baixo
Categoria
3
DC
avg
=
mdio
Categoria
4
DC
avg
=
alto
a
b
c
d
e
Figura 41: Determinao de se se conseguiu que PL PL
r
PL = PL
r
= c

31
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Neste exemplo, o pressuposto F1 do grfco
de risco j no seria aplicvel (ver a referncia
anterior frequncia da exposio aos perigos
e/ou durao da exposio). Deveria assumir-
se o F2 e, com ele, o nvel de fabilidade reque-
rido d. No entanto, graas correco do
valor MTTF
d
, que passa a ser bom, isso no
supe nenhum problema.
Comentrio
O loop de correco necessrio no exemplo
anterior sugere que o estabelecimento de
normas tambm um processo iterativo, j
que o exemplo deriva da norma, mas foi criado
quando no tinha sido incorporada a conside-
rao do valor B
10d
. No entanto, a considera-
o deste valor uma parte fundamental da
norma pensando nos utilizadores. Sem ela, a
EN ISO 13 849-1 teria problemas para justi-
fcar a aplicao prtica dos seus requisitos
especfcos.
Figura 42: Os componentes electromecnicos
sim tm um valor B
10d
Diagrama de blocos de segurana:
MTTF
d
=
B
10d
0,1 n
op
d
op
h
op
3.600
s
n
op
=
h
t
ciclo
n
op
= mdia de ciclos de funcionamento por ano
SW1B K1B
SW2 SPS
RS
CC
Figura 43: Clculo do MTTF
d
para o K1B e o
SW2
Pressuposto: 240 dias /16 horas /
acesso cada 20 s
n
op
= 240 16 3.600 = 691.200
ciclos
de co-
muto
20 ano
MTTF
d
=
20.000.000
= 289 anos
0,1 691.200
O tempo de funcionamento mximo, se-
gundo a norma, o seguinte: T
10d
= B
10d
/
n
op
= 28,9 anos
O valor B
10d
requereria um novo clculo do
MTTF
d
para o K1B e o SW2, tal como se indica
a seguir, assumindo que a guarnio funcione
240 dias por ano durante 16 horas dirias, com
um modo de petio mdia de 20 s:
Observou um pormenor?

32
Validao
1
O seguinte passo a validao segundo a
norma prEN ISO 13849-2, que no examinare-
mos pormenorizadamente aqui, devido a que
as consideraes que se devem seguir j se
observam na actualidade.
Especicao
do produto
Plano
Protocolo/
relatrios
Testes
Listas de
defeitos (3.2,
3.3)
Principios de valida-
o (3.1)
Plano de valida-
o (3.4)
Inicio
Sim
Sim
No
No
Considerao
durante o design
(EN 954-1: 1996,
seco 4)
Critrios de
excluso defeitos
(ver o anexo
respectivo)
ade-
quada a
anlise?
Documentao
(3.5)
Fim
Anlise
(seco 4)
Teste
(seco 5)
Teste
completo?
Relatrio de valida-
o (3.6)
Figura 44: Plano de validao segundo a norma prEN ISO 13 849-2
1) No examinaremos pormenorizadamente as medidas
de preveno de erros sistemticos porque j fazem
parte dos requisitos globais das SRP/CS. No anexo
G da norma EN ISO 13 849-1, pode encontrar-se uma
descrio pormenorizada das mesmas.
A norma prEN ISO 13 849-2 contm material
originalmente previsto para a EN 954-2, que,
depois de aprovado, passou directamente
ao nvel ISO. No entanto, espera-se que mais
cedo ou mais tarde se submeta a uma reviso
a fm de adaptar as verses de 1988/1999 e as
referncias EN 954-1 para a situao actual,
ou seja, para a norma EN ISO 13 849-1.
33
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
De qualquer maneira, tendo em conta que a
maioria dos acidentes de mquinas no se
podem atribuir a erros coincidentes, mas sim
a erros nas especifcaes e a posteriores
ajustes e modifcaes, o tema da validao
de grande importncia na segurana das
mquinas.
Os anexos informativos da norma prEN ISO
13 849-2 tm um papel fundamental em rela-
o EN ISO 13 849-1. Dividem-se nos sec-
tores mecnico (A), pneumtico (B), hidrulico
(C) e elctrico (D), e contm as listas seguintes:
Princpiosdeseguranafundamentais(im-
portantes para a categoria de controlo B e o
PL a da norma EN 954-1).
Princpiosdeseguranatestados(importan-
tes para a categoria de controlo1 e seguintes
e os PL de b at e).
Componentestestadosrelativossegurana
(importantes para a categoria de controlo 1 e
o PL b da norma EN 954-1).
Listasdedefeitosaplicveiseexcluses
permissveis (importantes para as categorias
de controlo 2, 3 e 4 e os PL de c at e da
norma EN 954-1).
34
SiSteMa
Chegados at este ponto, apresenta-se uma
pergunta bvia: No se poderiam simplifcar
enormemente estes procedimentos com a
utilizao de software? A resposta que, sem
dvida alguma, apenas uma questo de
tempo.
O BGIA, por exemplo, trabalha numa aplicao
denominada SiSteMa (para a segurana de
comandos de mquinas) que estar disponvel
proximamente como software gratuito.
35
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Embora SiSteMa no esteja ainda dispo-
nvel ( previsto que o esteja no inicio de
2007), a entidade de seguros profssio-
nais alem BGIA j oferece assistncia
relativamente norma EN ISO 13 849-1,
em forma de um disco designado PLC
que simplifca a determinao do nvel
de PL, o qual foi desenvolvido com o
apoio da Zentralverband Elektrotechnik-
und Elektroindustrie (ZVEI) Fachver-
band Automation (a associao alem
de electrotecnologia, indstria elctrica
e profssionais dos automveis), bem
como a Verband Deutscher Maschinen-
und Anlagenbau (VDMA) (a associao
alem de engenharia mecnica e fabri-
cantes de bens de equipamento).
Os mtodos da norma EN ISO 13 849-1 f-
cam exprimidos de uma forma compreen-
svel por meio de dois discos que rodam
um contra o outro. O nvel de fabilidade
determinado simplesmente rodando um
disco at o nvel MTTF
d
(tempo mdio at
ao aparecimento de um erro perigoso)
desejado aparecer na janela inferior.
A seguir, apenas h que seleccionar a
categoria e a cobertura de diagnstico
(DC) desejadas na janela superior, e ler o
valor que aparece na janela contgua. O
tempo mdio at ao aparecimento de um
erro perigoso no sistema de comando
de segurana obtm-se multiplicando
este valor por um factor que aparece na
legenda (ordem de magnitude). O cdigo
de cor facilita a seleco do factor e ao
mesmo tempo indica qual o PL que se
atingiu.

Referncia do PLC:
www.hvbg.de/d/bia/pra/drehscheibe.html
36
A norma EN ISO 13 849-1
em SRP/CS simples
Antecedentes
Uma vez conhecendo os nveis de fabilidade
dos dispositivos relativos segurana, pode-
mos discernir a complexidade manejvel com
que a norma EN ISO 13 849-1 trata as SRP/CS,
a partir do seu conceito singular de simplifca-
o.
Ao mesmo tempo, este conceito contempla
que a ligao de mltiplos componentes e
dispositivos de segurana pode afectar o PL
global de um sistema de comando completo
(formado por vrias SRP/CS ligadas em srie),
que pode ser inferior que o dos componen-
tes individuais que integram a cadeia. Esta
flosofa leva a uma concluso evidente: Neste
caso, as diferentes probabilidades residuais de
erro somam-se, pelo que o PL global se pode
reduzir um grau perfeitamente.
Design
Esta flosofa a favor da simplifcao volta
a fazer-se evidente na tabela da Figura 45
(conhecida tambm como tabela de combi-
naes), que apresenta esquerda o nmero
de PL individuais de um sistema de comando.
Os PL mais baixos somam-se e o PL global
apresenta-se direita.
Em geral (ao tratar com estruturas mais sim-
ples), mais de trs PL individuais idnticos,
ou ento mais de quatro em estruturas de 2
canais, fazem descer um grau o PL global. Ou
seja, 3 1 PL c produzem um PL global b e
4 1 PL e produzem um PL global d.
O exemplo seguinte (ver a Figura 45) indica
que os dois PL individuais mais baixos se
somam (2 PL c), enquanto que o PL mais
alto, o d, no se inclui no clculo (o PL d
considera-se uma ordem de magnitude melhor
que o PL c para estabelecer o valor PFH).
Por conseguinte, 2 PL c representam um
PL c. No entanto, se se contar um PL c no
lugar do PL d, chegar-se-ia apenas a um PL
global b.
Figura 45: Combinao linear de mltiplas SRP/CS
SRP/CS 1
PL c
SRP/CS 2
PL
SRP/CS
PL
d
c
SRP/CS 3
PL c
PL baixo N baixo PL
a
> 3
3
= >
= >
nenhum
a
b
> 2
2
= >
= >
a
b
c
> 2
2
= >
= >
b
c
d
> 3
3
= >
= >
c
d
e
> 3
3
= >
= >
d
e
37
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Aplicao
A aplicao da tabela superior tem, sem
dvida alguma, o seu atractivo, j que o seu
exame, derivado da anlise de riscos prece-
dente para determinar a funo de segurana
adequada, produz o PL
r
desejado. Alm disso,
h que ter em conta que se podem incluir ex-
cluses de defeitos na avaliao, embora no
se computem aqui.
No entanto, se se obtiver um PL global que
no coincidisse com o PL
r
, precisa uma
anlise mais pormenorizada. O facto de no
conseguir o valor desejado no defnitivo,
mas sim que se deve principalmente genera-
lizao da anlise.
Neste caso, a norma EN ISO 13 849-1 tambm
oferece ajuda (ver a seco seguinte sobre
ligao em srie).
Figura 46: Combinao de SRP/CS (exemplo)
Movimento
perigoso
Accionador uidico
Controlo lgico
electrnico
Cortinas fotoelctricas
I
Sistema de
comando uidico
Categoria 3
PL = d
Categoria 2 (tipo 2)
PL = c
Categoria 1
PL = c
L O
I L O
I
1
L
1
O
1
TE OTE I
2
L
2
O
2
38
em ligaes em srie
Antecedentes
Na flosofa da norma EN ISO 13 849-1, uma
ligao em srie deve considerar-se como a
soma das probabilidades residuais de erro.
Na actualidade, a norma EN 954-1 j contempla
esta situao, o que se v refectido, por exem-
plo, na documentao das entidades segura-
doras de riscos laborais e tambm na nossa: A
ligao em srie de dispositivos de comutao
de segurana electromecnicos, cada um deles
da categoria 4, recebe uma classifcao global
s da categoria 3. Mas nem todos os fabrican-
tes informam disso, e tambm existem muitas
interpretaes errneas pela parte dos clientes.
Design
A tabela da Figura 47 pode servir para com-
preender melhor a qualifcao da segurana
de uma ligao em srie complexa segundo a
norma EN ISO 13 849-1 (na seco soma das
probabilidades residuais de erro).
A tabela do anexo K da norma EN ISO 13 849-1
uma representao pormenorizada do gr-
fco de barras central (ver a Figura 8) para de-
terminar os PL atingidos. possvel determinar
com maior preciso o PFH
d
se se conhecer
um MTTF
d
por canal mais exacto. Os valores
das SRP/CS individuais devem ser somados e
comparar o resultado com o PFH global permi-
tido para esse PL concreto (ver a Figura 4). A
regra que, quanto melhor for o valor PFH
d
,
menor ser o risco de colapso.
Figura 47: Soma alternativa do PFH
d
com ligaes em srie complexas
N
i
v
e
l

d
e

a
b
i
l
i
d
a
d
e
Categoria
B
DC
avg
=
0
Categoria
1
DC
avg
=
0
Categoria
2
DC
avg
=
baixo
Categoria
2
DC
avg
=
mdio
Categoria
3
DC
avg
=
baixo
Categoria
3
DC
avg
=
mdio
Categoria
4
DC
avg
=
alto
a
b
c
d
e
MTTF
d
= baixo
MTTF
d
= mdio
MTTF
d
= alto
MTTF
d

[anos]
PFH
d
[1/h] PL MTTF
d

[anos]
PFH
d
[1/h] PL
3 3,80 10
5
a 3 3,80 10
5
a
3,3 3,46 10
5
a 3,3 3,46 10
5
a
3,6 3,17 10
5
a 3,6 3,17 10
5
a
3,9 2,93 10
5
a 3,9 2,93 10
5
a
4,3 2,65 10
5
a 4,3 2,65 10
5
a
4,7 2,43 10
5
a 4,7 2,43 10
5
a
5,1 2,24 10
5
a 5,1 2,24 10
5
a
5,6 2,04 10
5
a 5,6 2,04 10
5
a
6,2 1,84 10
5
a 6,2 1,84 10
5
a
6,8 1,68 10
5
a 6,8 1,68 10
5
a
7,5 1,52 10
5
a 7,5 1,52 10
5
a
8,2 1,39 10
5
a 8,2 1,39 10
5
a
9,1 1,25 10
5
a 9,1 1,25 10
5
a
10 1,14 10
5
a 10 1,14 10
5
a
11 1,04 10
5
a 11 1,04 10
5
a
12 9,51 10
6
b 12 9,51 10
6
b
13 13
+
39
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Ligaes em srie complexas...
com um PL e!
O problema da reduo do PL das SRP/CS
nas ligaes em srie complexas causado
especialmente pelos componentes de segu-
rana electromecnicos.
As tecnologias de comutao com funes de
segurana baseadas em microprocessadores
oferecem novas possibilidades para este fm,
j que permitem uma verifcao dinmica do
dispositivo, de modo que a categoria de con-
trolo e o nvel de fabilidade se possam manter,
mesmo quando se ligarem vrios componen-
tes de segurana em srie.
Figura 48: Dispositivos de encravamento sem contacto, com e sem mecanismo de engate
Ligao em srie sem perda de
categoria de controlo
Existemcomponenteselectrnicos
instalados que controlam a funo
de comutao (autocontrolo)
Detecodetodososerrosnali-
gao em srie (at 31 dispositivos)
Ligaoemsriedeinterruptores
(CSS 180 e/ou AZM 200) sem per-
da de categoria de controlo
O catlogo de produtos da Schmersal inclui os
sensores de segurana CSS 180, entre outros,
bem como os encravamentos sem contacto da
srie AZM 200, que se podem combinar e unir
a uma ligao em srie.
Encontrar mais informao no site
www.schmersal.com

Sensores e encravamentos electrnicos
de segurana
Os sensores e os encravamentos electrnicos de se-
gurana servem para o controlo de guarnies m-
veis. Quando a guarnio se abrir, a mquina pra, de
modo que se evita totalmente o movimento perigoso.
A principal vantagem destes dispositivos a deteco
sem contacto da posio da guarnio, com o que
desaparece o desgaste e a possibilidade de desajus-
tes entre sensores e accionadores.
40
Figura 49: Filosofa bsica dos requisitos sobre
SW da norma EN ISO 13 849-1
ParatodososPLeSRESW+SRASW
basicamente,medidasparaevitar erros
e favorecer uma programao defen-
siva
teremcontaqueseintroduziroerros
durante a especifcao e o design do
software
requisitosbaseadosnocritriodesegu-
rana fundamental da IEC 61 508-3
...noentanto,semchegaraumelevado
nvel cientfco
principalmente,semrelaocomaIEC
61 508
compreensveis,prticosefceisde
seguir
e o software
Antecedentes
Enquanto que a actual norma EN 954-1 no
aborda a tecnologia baseada em microproces-
sadores com funo de segurana (sistemas
PES) e, portanto, tambm no contempla o
software, a norma EN ISO 13 849-1 sim que a
tem em conta, e de forma muito pormenoriza-
da. De qualquer maneira, os seus requisitos
no substituem totalmente os da norma IEC
61508 (por exemplo, em aplicaes com um
PL e); este aspecto apenas interessa aos
fabricantes dos sistemas PES, pelo que no
ser tratado aqui.
A flosofa bsica da norma EN ISO 13 849-1
mostra-se na Figura 49.

Design
Os requisitos da norma quanto a software
dividem-se em requisitos gerais, requisitos
relativos ao software de segurana integrado e
requisitos relativos s aplicaes informticas
Linguagens de variabili-
dade limitada (LVL), por
exemplo: KOP, FUB
ISO 13849-1
IEC 62061/ 61511
Aplicaes informti-
cas relativas
segurana: SRASW
Linguagem Gama de software
Linguagens de variabili-
dade total (FVL), por
exemplo: C/C++, Asm
Software integrado
de segurana:
SRESW
ISO 13849-1
IEC 61508-3
IS
O
13
849-1
IEC
61
508-3
Figura 50: Diagrama do software de segurana
de segurana, e existem igualmente divises
em funo da linguagem utilizada (LVL
1
ou
FVL
2
) e do PL (ver as Figuras 50 e 51).
1) LVL (linguagem de variabilidade limitada) linguagem
com possibilidades de programao limitadas, que
permite implementar e combinar funes preestabe-
lecidas e bibliotecas para cumprir os requisitos de
segurana.
2) FVL (linguagem de variabilidade total) linguagem
com possibilidades de programao ilimitadas, que
permite implementar uma ampla variedade de funes
e aplicaes.
41
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Geral, objectivo, modelo V
4.6.1
Parametrizao
4.6.4
SRESW/SRASW em FVL
Base:
PL a, b
4.6.2
Adicional-
mente:
PL c, d
SRASW em LVL
Base:
PL a, b
4.6.3
Adicionalmente, com maior efec-
tividade: PL ce
Especiall:
PL e
Figura 51: Estrutura dos requisitos do SW de acordo com a seco 4.6 da norma EN ISO 13 849-1
Aplicao
No entraremos em pormenores do software
de segurana integrado, j que unicamente
afecta os utilizadores da norma EN ISO 13 849-
1 em casos excepcionais. Pelo contrrio, cada
vez mais habitual a utilizao de aplicaes
informticas nas SRP/CS, tanto para gerir as
prprias unidades SRP/CS como sistemas de
bus ou controlos de segurana.
A norma EN ISO 13 849-1 recomenda que se
adopte o denominado modelo V como base
para as aplicaes informticas (e tambm
para o software integrado), vista a sua forte
implantao no sector do software, embora
neste caso seja numa forma simplifcada.
Especificao
dos requisitos
de segurana
Resultado
Validao
Especificao
dos requisitos
do software de
segurana
Software
validado
Design do
sistema
Teste de
integrao
Design dos
mdulos
Codificao
Teste dos
mdulos
Validao Validao
Figura 52: Modelo V simplifcado para SRESW e SRASW na norma EN ISO 13 849-1
42
Figura 54: Requisitos do software de atribui-
o de parmetros
Requisitos mais importantes da para-
metrizao
ferramentaespecialdofabricante
protecofaceaacessosnoautoriza-
dos (por exemplo, password)
controlosdeplausibilidadedosparme-
tros
integridadedosdadosgarantidadurante
a parametrizao
transfernciadedadosgarantida(com
vrias opes de apresentao)
Se, pelo contrrio, o software consistir sim-
plesmente numa srie de parmetros, como,
por exemplo, nos scanners laser de segu-
rana, podem utilizar-se simplifcaes ainda
maiores, devido a que em princpio o fornece-
dor j ter realizado os ajustes prvios.
O anexo J da norma EN ISO 13 849-1 contm
mais requisitos referidos ao software (ver a
Figura 53).
Requisitos do software de atribuio de
parmetros
Figura 53: Anexo J da norma EN ISO 13 849-1
43
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
A norma EN ISO 13 849-1 em
comparao com a EN 62 061
Antecedentes
Como indicmos no incio, a norma IEC EN
62 061 concorre com a EN ISO 13 849-1 para
suceder a EN 954-1, embora o termo concor-
rer seja um pouco exagerado neste contexto.
De qualquer maneira, j no se pode falar de
convivncia, tal como se tinha comentado
anteriormente.
Ao contrrio da IEC 61 508, podemos supor
que tanto a IEC EN 62 061 como a EN ISO
13 849-1 se harmonizaro sob a directiva sobre
mquinas CE, pelo que ambas tero a vanta-
gem desse suposto impacto adicional.
A IEC EN 62061 deriva da IEC EN 61 508 e
a verso especfca do sector da engenharia
mecnica. Para alm desta, existe tambm a
IEC EN 61 511
1
para a indstria de processos
(sectores qumico e de engenharia de proces-
sos).
Originalmente, a IEC EN 61 508 foi criada
exclusivamente para preencher uma omisso
da norma EN 954-1, concretamente a ausn-
cia de requisitos especfcos para as SRP/CS
complexas, nomeadamente em relao aos
sistemas electrnicos programveis, ou seja,
sistemas baseados em microprocessadores
com funo de segurana (PES). No entanto,
o comit responsvel da IEC 61 508 estendeu
o seu mbito de aplicao ao longo do seu
desenvolvimento para incorporar os sistemas
elctricos e electrnicos (E/E/PES).
Por conseguinte, a IEC EN 61 508 tornou-se
uma norma fundamental e completa para
quase todos os tipos de problemas relativa-
mente segurana e, portanto, incrementou
a sua complexidade (com mais de 350 pgi-
nas divididas em 8 seces) e gerou normas
especfcas para determinados sectores; entre
outras, a IEC 62 061
2
, destinada engenharia
mecnica.
Nesta seco, abordamos os requisitos tpicos
para este sector, deixando de parte os aplic-
veis a outros mbitos e designs.
Electrnica
Hidrulica
Pneumtica
Mecnica
Indstria
de maquinaria
IEC 62061 IEC 61511
Indstria
de processos
EN 954
(EN ISO 13849)
IEC 61508
Figura 55: Situao das normas em concorrncia
1) IEC EN 61 511-1 (VDE 0810-1:2005-05): Segurana
funcional Sistemas de segurana para a indstria de
processos Parte 1: Introduo, terminologia, requisi-
tos do sistema, software e hardware
2) IEC EN 62 061-1 (VDE 0113-59): Segurana de mqui-
nas Segurana funcional de sistemas de comando
de segurana elctricos, electrnicos e electrnicos
programveis
44
Quanto engenharia mecnica, limitar-nos-
emos aos requisitos de segurana do desig-
nado modo de petio superior ou de petio
continuada (exprimido pelo valor PFH) (no in-
clumos o modo de petio menor, que repre-
senta uma petio de menos de uma funo
de segurana por ano). Da mesma maneira,
exclumos o nvel de integridade de segurana
4 (parmetro de risco: Morte de vrias pessoas
no mnimo, efeitos catastrfcos).
Figura 56: Nveis de segurana: IEC 61 508 (aplicao universal) e IEC 62 061 (aplicaes de engenharia
mecnica)
4 nveis de segurana de integridade e 2 modos de funcionamento
Nvel de
segurana
de integri-
dade
Petio menor
Probabilidade mdia de um erro perigoso
PFD
Petio superior ou petio con-
tinuada
Probabilidade mdia de um erro
perigoso por hora
PFH
4 10
5
< 10
4
10
9
< 10
8
3 10
4
< 10
3
10
8
< 10
7
2 10
3
< 10
2
10
7
< 10
6
1 10
2
< 10
1
10
6
< 10
5
Afecta a rea das mquinas?
Aplicao
Nesta seco, no abordaremos pormenori-
zadamente a norma IEC EN 62 061. De qual-
quer maneira, h vozes crticas que afrmam
que a norma mais difcil de seguir que a EN
ISO 13 849-1, sobretudo no que diz respeito
a questes de segurana mais claras e que
mais frequentemente afectam a construo
de mquinas e de sistemas de comando. Pelo
contrrio, para aspectos mais complexos, a
IEC EN 61 508 imprescindvel. Outra diferen-
a a incorporao da mecnica, da pneu-
mtica e da hidrulica na EN ISO 13 849-1,
que a IEC EN 62061 no abrange devido sua
origem.
Risikobeurteilung und Sicherheitsmanahmen
Produkt:
Hersteller:
Datum
Tod, Verlust eines Auges oder Arms
Permanent, Verlust von Fingern
Reversibel, medizinische Behandlung
Reversibel, Erste Hilfe
b 1 Stunde
> 1 h b 1 Tag
> 1 Tag b 2 Wo.
> 2 Wo. b 1Jahr
> 1 Jahr
hufig
wahrscheinlich
mglich
selten
vernachlssigbar
unmglich
mglich
wahrscheinlich
Kommentare
Auswirkungen Klasse K Schwere
S
Lfd.
Nr.
Gef.
Nr.
S F W P K sicher Gefhrdung Sicherheitsmanahme
Hufigkeit und
Dauer, F
Wahrscheinlichkeit
gef. Ereignis, W
Vermeidung
P
Dokument Nr.:
Teil von:
vorlufige Risikobeurteilung
zwischenzeitliche Risikobeurteilung
nachfolgende Riskobeurteilung schwarzer Bereich = Sicherheitsmanahmen erforderlich
grauer Bereich = Sicherheitsmanahmen empfohlen
Figura 57: Exemplo
de petio para o
processo de determi-
nao do SIL
45
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Probabilidade de um erro perigoso por hora
EN ISO 13849-1
PL
SIL
IEC 62061/
IEC 61508
a
Preveno de riscos
mais baixos
Preveno de riscos
mais altos
b c d e
1
sem requi-
sitos de
segurana
especiais
2 3
10
8
10
5
3 x 10
6
10
6
10
7
10
4
Figura 58: Relao entre SIL e PL
Figura 59: Aplicao recomendada da IEC 62 061 e da ISO 13 849-1 (em reviso).
Tecnologia ISO 13 849-1 (em reviso) IEC 62 061
A No elctrica;
por exemplo, hidrulica
X Descartada
B Electromecnica;
por exemplo, rels
1

e at PL = e
Todas as arquitecturas e at SIL
= 3
C Electrnica complexa;
por exemplo, programvel
1

e at PL = d
= 3
D A combinada com B Arquitecturas designadas
1

e at PL = e
X (EN ISO 13 849-1 para A)
E C combinada com B Arquitecturas designadas
1

e at PL = d
= 3
F C combinada com A,
ou C combinada com A
e B
X
2
X
3
O X signifca que o ponto abrangido pela norma indicada na parte superior da coluna.
1) As arquitecturas designadas esto defnidas no anexo B da EN ISO 13 849-1 (rev.) para oferecer uma quantifcao
simplifcada do nvel de fabilidade.
2) Para electrnica complexa: Utilizao das arquitecturas designadas segundo a norma EN ISO 13 849-1 (rev.) at PL =
d, ou ento todas as arquitecturas designadas segundo a IEC 62 061.
3) Para tecnologia no elctrica: Utilizao segundo a norma EN ISO 13 849-1 (rev.) como sistema parcial.
Compatibilidade prevista entre a EN ISO
13 849-1 e a IEC EN 62 061 (IEC EN 61 508)
Apesar de tudo, os responsveis de ambas as
normas esforaram-se para elas serem com-
patveis entre si, coordenando os requisitos de
nvel de integridade de segurana e de nvel de
fabilidade. Assim, por exemplo, o SIL corres-
ponde aos PL b ou c, etc. (ver a Figura 58).
Da mesma maneira, ambas as normas ofe-
recem recomendaes parecidas quanto a
conhecer a norma que deve ser aplicada em
cada caso. De qualquer maneira, h motivos
para a crtica, j que os criadores da norma EN
ISO 13 849-1 desviaram-se deste compromis-
so ao introduzir modifcaes posteriores, em-
bora continuem a incluir a tabela de aplicao
(ver a Figura 59).

46
Entrada em vigor da norma
EN ISO 13 849-1
Calendrio actual
Enquanto que a IEC EN 62 061 j esta formal-
mente em vigor, a EN ISO 13849 se encontra
ainda na fase fnal de votao (FDIS) e corre o
risco de ter de passar por outra modifcao.
Por isso, nestes momentos (Junho de 2004),
apenas existe um rascunho disponvel em ale-
mo, enquanto que a 62 061 j est disponvel
na sua verso defnitiva como IEC EN 62 061
na editorial Beuth (www.beuth.de).
De qualquer maneira, se se mantiver o calen-
drio previsto, a EN ISO 13849-1 entrar em
vigor em 2006 e, aps um perodo de tran-
sio de 3 anos, substituir totalmente a EN
954-1.
Quando que tenho que utilizar a nova EN ISO 13849-1:2006?
Existe algum perodo de transio?
Meados de 2006 Resumo final (FDIS)
Vero de 2006 Votao
Final de 2006 Adaptao
Perodo de transio Novembro de 2009
Harmonizao Primeiro trimestre de 2007
Figura 60: Tabela temporal actualizada (Maio 2007): de acordo com as ltimas decises a nova normati-
va tem um perodo de transio at Novembro de 2009 ( o que signifca que as novas directrizes podem
j ser aplicadas a partir de agora, mas no existe ainda uma obrigao de o fazer ). Mas em Novembro
de 2009, no mximo, a velha EN 954-1:1996 tem de estar completamente substituda pela EN ISO
13 849-1:2006.
Comparao com o estado do rascunho em
Junho de 2004
Em comparao com o estado do rascunho em
Junho de 2004, a EN ISO 13 849-1 apresenta
algumas emendas importantes na verso defniti-
va; entre outras, no que diz respeito ao mbito de
aplicao (ver a seco correspondente) e aos
grfcos de riscos. A norma tambm contempla,
ainda que com limitaes, os sistemas PES.
Quanto aos grfcos de riscos, actualmente a re-
lao ente riscos e nvel de fabilidade ambgua.
No h j entradas duplas (por exemplo, PL
x ou PL y). Alm disso, o parmetro de risco F1
(frequncia e/ou durao da exposio ao perigo)
fca esclarecido, de modo que raramente signi-
fca > 1 por hora.
V
e
r

a

p
g
i
n
a

2
(reviso, ver a pgina 2)
47
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Figura 61: Perguntas seleccionadas
Quais so as diferenas fundamentais
entre o rascunho actual e o publica-
do, correspondentes norma EN ISO
13 849-1?
alinhamentodogrfcoderiscos
valoresconcretosdefabilidadeda
segurana (PFH
d
)
valoresconcretosdoMTTF
d
e B
10d
para
a hidrulica, a pneumtica e a electro-
mecnica
requisitosparaosoftware
modifcaodombitodeaplicao
noselimitasarquitecturasdesigna-
das
refere-seapenasIEC61508parao
software integrado de PL e
Outra diferena a modifcao da interpre-
tao da categoria de controlo 4, em que a
considerao de acumulao de defeitos se
deve limitar, em geral, a dois.
Quantos defeitos tenho de combinar
na categoria 4?
1. Os defeitos individuais no produzem a
perda da funo de segurana.
2. Estes defeitos iniciais ... no se contem-
plam. Se no for possvel detect-los, a
sua acumulao no deve produzir uma
perda da funo de segurana.
Nota: Na prtica, a considerao da
combinao de dois defeitos pode ser
adequada.
Novidade: J no depende da tecnologia
de aplicao nem das taxas de erro dos
componentes.
A norma EN ISO 13 849-1 e as normas C
Tendo em conta que na actualidade exis-
tem centenas de normas C (de produto), por
exemplo para mquinas-ferramenta e centros
de mecanizao, apresenta-se um problema
de compatibilidade, visto que todas as normas
C actuais s exprimem um requisito para uma
categoria de controlo.
Portanto, nos prximos anos, os responsveis
das normas C devero fazer alguma coisa
neste assunto. Para adaptar-se norma EN
ISO 13 849-1, tero duas opes.
Podem limitar-se a requerer exclusivamente
um nvel de fabilidade para as suas mquinas,
com o fm de oferecer aos seus clientes uma
maior fexibilidade de design, sobretudo no
nvel de fabilidade mdio.
N
i
v
e
l

d
e

a
b
i
l
i
d
a
d
e
MTTF
d
= baixo
MTTF
d
= mdio
MTTF
d
= alto
Categoria
B
DC
avg
=
0
Categoria
1
DC
avg
=
0
Categoria
2
DC
avg
=
baixo
Categoria
2
DC
avg
=
mdio
Categoria
3
DC
avg
=
baixo
Categoria
3
DC
avg
=
mdio
Categoria
4
DC
avg
=
alto
a
b
c
d
e
Figura 63: Diversidade de possibilidades de
aplicao
Outra opo determinar uma categoria de
controlo, para alm do nvel de fabilidade,
para ter uma maior infuncia sobre a estrutu-
ra.
Perguntas frequentes
48
Por agora, a seguinte tabela deveria ser
sufciente (cuidado ao utilizar a categoria de
controlo 2 com a arquitectura designada que
se especifca! Ver a seco respectiva).

A minha norma C exige uma categoria
de controlo da mquina. No futuro,
ser possvel utilizar um nvel de fabi-
lidade?
Emprincpio,nofuturobastara
declarao de um nvel de fabilidade.
De qualquer maneira, a norma EN ISO
13 849-1 prev a seguinte especifcao
para cada SRP/CS na seco de infor-
mao ao utilizador.
EN ISO 13 849-1:200x
Categoria PL Y
Figura 65: Categorias de controlo e requisitos adicionais
B 1 2 3 4
Design consoante normas respectivas para
suportar infuncias previstas
X X X X X
Princpios de segurana testados X X X X
Componentes testados X
Tempo mdio at ao aparecimento de um erro
perigoso MTTF
d
baixo -
- mdio
alto baixo
alto
baixo
mdio
alto
Deteco de defeitos (testes) X X X
Segurana no caso de defeito nico X X
Considerao de acumulao de defeitos X
Cobertura de diagnstico DC
avg
baixo
mdio
baixo
mdio
alto
Medidas de preveno dos CCF X X X
Caracterizado principalmente por Seleco do
componente
Estrutura
49
Risco
alto
Risco
baixo
Ponto inicial para
avaliar a reduo
do risco
Performance-
Level PL
r
S
1
S
2
F
1
F
2
F
1
F
2
P
1
a
b
c
d
e
P
2
P
1
P
2
P
1
P
2
P
1
P
2
Concluses
Sem dvida, a norma EN ISO 13 849-1 deixa
muitas questes pendentes. Portanto, conti-
nuaremos a informar-lhe, atravs dos nossos
boletins, dos prximos esclarecimentos logo a
seguir de aparecerem.
Em resumo, os efeitos da norma EN ISO
13 849-1 podem dividir-se em dois grupos.
O primeiro o daqueles utilizadores que ape-
nas devam rever a quantifcao (MTTF
d
, DC,
CCF). Neste caso, podemos supor que uma
mquina com uma SRP/CS cumprir a nova
normativa se os seus elementos de segurana
tiverem sido concebidos e executados com a
sufciente qualidade. No sero necessrias
modifcaes substanciais.
Pelo contrrio, possvel que se devam
realizar modifcaes nas ligaes em srie
complexas (a fm de evitar o risco de colapso
por uma acumulao de riscos residuais), bem
como em arquitecturas designadas da cate-
goria 2.
Nota
50
51
Glossrio
Arquitectura designada:
Estrutura predeterminada de uma SRP/CS.
B
10d
:
Nmero de operaes de comutao em que 10%
da amostra falha.
CCF:
Erro por causa comum.
DC:
Cobertura de diagnstico.
DC
avg
:
Cobertura media de diagnstico.
MTBF:
Tempo mdio entre erros.
MTTF
d
:
Tempo mdio at ao aparecimento de um erro peri-
goso.
PFH:
Probabilidade de erro por hora.
PFH
d
:
Probabilidade de erro perigoso por hora.
PL:
Nivel de fabilidade.
PL
r
:
Nivel de fabilidade requerido.
SIL:
Nivel de integridade de segurana.
SRP/CS:
Partes relacionadas com a segurana de controlo
das mquinas.
52
09/08 X
Elan Schaltelemente GmbH & Co. KG
Im Ostpark 2
D-35435 Wettenberg
ALEMANIA
Tel.: +49 (0)641 9848-0
Fax: +49 (0)641 9848-420
E-Mail: info-elan@schmersal.com
Internet: www.elan.de
Ibrica
Schmersal Ibrica, S.L.
Pol. Ind. La Masia
Cam de les Cabries, Nave 4
08798 Sant Cugat Sesgarrigues
ESPAA
Tel.: +34 93 8970906
Fax: +34 93 3969750
E-Mail: info-es@schmersal.com
Internet: www.schmersal.es
Schmersal Ibrica, S.L.
Apartado 30
2626-909 Pvoa de Sta. Iria
PORTUGAL
Tel.: +351 21 9593835
Fax: +351 21 9594283
E-Mail: info-pt@schmersal.com

Schmersal Uma Nova Visão Da Segurança Das Máquinas EN ISO 13 849-1 2006 - 2007

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Schmersal Uma Nova Visão Da Segurança Das Máquinas EN ISO 13 849-1 2006 - 2007

Загружено:

Авторское право:

Доступные форматы

Uma nova viso da segurana das mquinas:

SW1B: Contacto de abertura positiva:

CCF: Erros de vrias partes por causas

Вам также может понравиться