
OBSERVAÇÃO
PLr(e) proporciona a maior contribuição para a redução de riscos, enquanto PLr(a) faz a mais baixa contribuição.
Partes Relacionadas à Segurança dos Sistemas de Controle, Parte 1: Princípios gerais para o projeto
13849-1 é uma versão revisada da EN 954-1.
As fórmulas matemáticas complexas da teoria de confiabilidade do sistema foram substituídas por tabelas pré-calculadas.
Alguns conceitos da EN 954 foram retidos, por exemplo categorias, redundância, monitoramento.
Alguns números foram modificados, ou seja, gráfico de riscos, seleção das Categorias.
A função das Categorias não é mais crucial como na EN 954-1.
Para avaliar a resistência à falha perigosa, o conceito de Categoria foi substituído pelo Nível de Desempenho (Performance Level, PL), como a capacidade do sistema de controle da máquina relacionado à segurança (doravante denominado SRP/CS) de assegurar proteção nas condições de operação especificadas.
O parâmetro usado para avaliar o PL da função de segurança é a probabilidade média de falha perigosa/hora. Uma falha é considerada perigosa ao onde ela inibe a função de proteção do sistema, caso não seja detectada.
![]() |
Tabela de ISO 13849-1
Quanto maior a contribuição na redução do risco, menor deverá ser a probabilidade média de falha perigosa do SRP/CS.
PL é uma função da arquitetura do sistema de controle, confiabilidade dos componentes, capacidade de detectar imediatamente uma falha interna que potencialmente afete a função de segurança e a qualidade do projeto.
A tabela abaixo resume os requisitos qualitativos e quantitativos obrigatórios a serem atendidos para um projeto do sistema de controle seguro, de acordo com a ISO 13849-1.
![]() |
Requisitos qualitativos e quantitativos obrigatórios a serem atendidos para um projeto do sistema de controle seguro, de acordo com a ISO 13849-1
Para reivindicar um determinado PL, além de avaliar a probabilidade média de falha perigosa/hora para o sistema de controle em questão, também será necessário provar a conformidade com os requisitos de qualidade especificados pelo padrão.
O PL reivindicado deve ser validado usando a ISO 13849-2 Partes Relacionadas à Segurança dos Sistemas de Controle - Validação, que define os procedimentos, testes e análises para a avaliação de:
- Função de segurança fornecida
- Categoria atingida
- Nível de desempenho alcançado
IMPORTANTE! |
A Probabilidade Média de Falha Perigosa/Hora é apenas um dos parâmetros que contribuem para a atribuição do PL. • Trabalhar de acordo com a boa prática de engenharia |
O projeto de um SRP/CS de acordo com ISO 13849-1 pode ser resumido nas seguintes oito etapas
1 – Identificação da função relacionada à segurança através da análise de riscos
2 – Atribuição do Nível de Desempenho exigido (PLr) através do gráfico de riscos
3 – Seleção da estrutura do sistema (arquiteturas) e técnicas de autodiagnóstico
4 – Desenvolvimento técnico do sistema de controle
5 – Cálculo de MTTFd, DCavg e verificação de CCF
6 – Cálculo do PL usando a Tabela 5
7 – Verificação do PL (se o PL calculado estiver abaixo do PLr, retorne à Etapa 3)
8 – Validação.
Identificação do item relacionado à segurança e atribuição do Nível de Desempenho exigido - PLh
Para cada função relacionada à segurança (por exemplo, através do uso de ISO/TR14121-2 - Avaliação de Riscos) o autor de SRP/CS decide a contribuição para redução do risco a ser fornecido, ou seja, PLr.
Esta contribuição não avrange o risco da máquina como um todo, mas apenas a parte do risco relacionada à aplicação da função de segurança em questão.
O Parâmetro PLr representa o Nível de Desempenho exigido para a função relacionada à segurança em questão.
O Parâmetro PL representa o Nível de Desempenho alcançado pelo hardware de implementação. O PL do hardware deve se igual ou superior ao PLr especificado.
Um gráfico de decisões do tipo árvore é usado para encontrar a contribuição para a redução do risco que deve ser fornecida pela função relacionada à segurança, levando à identificação inequívoca do PLr. Se mais de uma função relacionada à segurança for identificada, PLr deverá ser identificado para cada uma delas.
![]() |
Gráfico do tipo árvore da decisão
Projeto do sistema de controle relacionado à segurança e avaliação do PL
Após decidir o PLr necessário, um SRP/CS adequado é projetado, calculando o PL resultante e assegurando que ele é maior ou igual ao PLr.
Para obter o PL, a probabilidade média de falha perigosa/hora do SRP/CS projetado deve ser calculada.
A probabilidade média de falha perigosa/hora para um sistema de controle relacionado à segurança deve ser estivada de várias maneiras.
O uso de tais métodos implica que para cada componente, é conhecido o seguinte:
- Taxa de falhas (λ)
- Distribuição percentual da taxa de falhas para todos os modos de falhas de componentes (por exemplo, se for para um interruptor de ação positiva, os modos de falha são: o contato não abrirá quando necessário = 20% dos casos e o contato não fechará quando necessário = 80% dos casos. O que resulta em: não abrirá = λ x 0,2 não fechará = λ x 0,8 )
- O efeito de cada falha no desempenho do sistema relacionado à segurança, (por exemplo, falha perigosa = λd, ou falha não perigosa = λs)
- Porcentagem de falhas perigosas detectadas (pelas técnicas de autodiagnóstico automático implementadas) fora as falhas perigosas totais: λdd = λd x DC.
- Porcentagem de falhas perigosas detectadas (pelas técnicas de autodiagnóstico automático implementadas) fora as falhas perigosas totais: λdu = λd x (1-DC).
ISO 13849-1 simplifica o cálculo fornecendo uma tabela baseada nos modelos de Markov na qual a probabilidade média de falha perigosa por hora é calculada previamente para diversas combinações de categorias e valores de faixas de MTTFd e DCavg, que são por sua vez obtidos usando tabelas.
Denotações de MTTFd |
Faixa de MTTFd | Denominação DCavg | Faixa de valor DC/ DCavg | |
Baixo | 3 anos ≤ MTTFd < 10 | Nenhum | DC < 60% | |
Médio | 10 anos ≤ MTTFd < 30 | Baixo | 60% ≤ DC < 90% | |
Alto | 30 anos ≤ MTTFd < 100 | Médio | 90% ≤ DC < 99% | |
Alto | Alto 99% ≤ DC |
Seleção de categorias
CATEGORIA | REQUISITOS | COMPORTAMENTO | PRINCÍPIOS DE SEGURANÇA |
B | SRP/CS e/ou seu equipamento de proteção, bem como seus componentes, deverão ser projetados, construídos, selecionados, montados e combinados de acordo com os padrões relevantes, de forma que eles possam resistir à influência esperada. Princípios básicos de segurança deverão ser usados | A ocorrência de uma falha pode levar à perda da função de segurança | Caracterizado principalmente pela seleção dos componentes |
1 | Requisitos de B deverão ser aplicados. Componentes bem experimentados e princípios de segurança bem testados deverão ser usados | A ocorrência de uma falha pode levar à perda da função de segurança, mas a probabilidade de ocorrência é menor do que para a categoria B | |
2 | Requisitos de B e o uso de princípios de segurança bem testados deverão ser aplicados. A função de segurança deverá ser verificada pela máquina em intervalos adequados | A ocorrência de uma falha pode levar à perda da função de segurança entre as inspeções. a perda da função de segurança é detectada | Caracterizado principalmente por estruturas |
3 | Requisitos de B e o uso de princípios de segurança bem testados deverão ser aplicados. Partes relacionadas à segurança deverão ser projetadas de maneira que: - uma falha única em qualquer uma dessas partes não leve à perda da função de segurança, e - sempre que razoavelmente viável, a falha única é detectada. |
Quando uma falha única ocorre, a função de segurança é sempre realizada. Algumas, mas nem todas as falhas serão detectadas. O acúmulo de falhas não detectadas pode levar à perda da função de segurança | |
4 | Requisitos de B e o uso de princípios de segurança bem testados deverão ser aplicados. Partes relacionadas à segurança deverão ser projetadas de maneira que: - uma falha única em qualquer uma dessas partes não leve à perda da função de segurança. e - a falha única é detectada em ou antes da próxima exigência da função de segurança, mas apenas se esta detecção não for possível, um acúmulo de falhas não detectadas não deverá levar à perda da função de segurança. |
Ao ocorrer uma falha única, a função de segurança será sempre efetuada. A detecção das falhas acumuladas reduz a probabilidade da perda da função de segurança (DC elevado). a falha será detectada a tempo de evitar a perda da função de segurança |
Para a Categoria B e a Categoria 1, a capacidade de resistir à falha ocorre devido à robustez dos componentes (evite falhas tanto quanto possível).
Para as Categorias 2, 3 e 4, a capacidade de resistir à falha ocorre devido à estrutura do sistema (controle da falha). A falha é controlada através do monitoramento do ciclo para a Categoria 2, redundância para a Categoria 3, redundância mais monitoramento para a Categoria 4.
Os requisitos operacionais são especificados para cada Categoria. Os modos de falha dos componentes elétricos são definidos e relacionados. A relação entre as Categorias e o desempenho de segurança do sistema de controle no caso de falha, é bem definida (abordagem determinista).
O problema é então reduzido para: seleção da arquitetura, cálculo de DCavg em relação às técnicas de autodiagnóstico implementadas, cálculo de MTTFd simplificado do circuito projetado e verificação da conformidade com os requisitos para a operação do canal independente (CCF) para arquiteturas redundantes (Categorias 2, 3 e 4).
A combinação da Categoria mais DCavg adotado é mostrada em uma das sete colunas da figura 5 da ISO 13849-1.
O MTTFd calculado determina qual parte da coluna deve ser considerada. O PL correspondente é mostrado à esquerda da tabela.
Figura da ISO 13849-1
A parte da coluna selecionada pode incluir dois ou três valores possíveis de PL, por exemplo para a Categoria 3, DCavg = Médio e MTTFd = Baixo, os três valores a seguir são possíveis: PLb, PLc, PLd. Nesses casos, a obtenção do uso de PL correto é constituído da Tabela K.1 do Anexo K do Padrão (não mostrado), fornecendo valores detalhados da probabilidade média da falha perigosa por hora e Pl em relação ao valor real de MTTFd, além da combinação Categoria-mais-DCavg implementada.
Conforme pode ser visto na figura anterior para cada Nível de Desempenho especificado, estão disponíveis diferentes escolhas. Um exemplo é dado n a Tabela 5, onde para um sistema que tem PL de “c”, as cinco alternativas a seguir são possíveis:
1. Categoria 3 com MTTFd = Baixo e DCavg médio
2. Categoria 3 com MTTFd = Médio e DCavg baixo
3. Categoria 2 com MTTFd = Médio e DCavg médio
4. Categoria 2 com MTTFd = Alto e DCavg baixo
5. Categoria 1 com MTTFd = Alto
Exceção apenas para a parte de saída do SRP/CS.
Se para um componente mecânico, hidráulico ou pneumático (ou componentes que abrangem uma mistura de tecnologias) nenhum dado de confiabilidade específico da aplicação estiver disponível, o fabricante da máquina poderá avaliar os aspectos quantificáveis do PL sem nenhum cálculo de MTTFd.
Para tais casos, o nível de desempenho (PL) relacionado à segurança é implementado pela arquitetura, o diagnóstico e as medidas contra CCF. A tabela a seguir mostra a relação entre o PL possível e as categorias.
PFHd 1/h) | Cet. B | Cat. 1 | Cat. 2 | Cat. 3 | Cat. 4 | |
PL a | 2*10-5 | * | 0 | 0 | 0 | 0 |
PL b | 5*10-6 | * | 0 | 0 | 0 | 0 |
PL c | 1,7*10-6 | - | *2 | *1 | 0 | 0 |
PL d | 2,9*10-7 | - | - | - | *1 | 0 |
PL e | 4,7*10-8 | - | - | - | - | *1 |
* | Categoria aplicada é recomendada |
0 | Categoria aplicada é opcional |
- | Categoria não é permitida |
*1 | Comprovado no uso ou bem experimentado (confirmado pelo fabricante de componentes como adequado para a aplicação particular) componentes e princípios de segurança bem experimentados devem ser usados |
*2 | Componentes bem experimentados e princípios de segurança bem experimentados devem ser usados. Para os componentes relacionados à segurança que não são monitorados no processo, o valor T10d pode ser determinado com base em dados em uso comprovados pelo fabricante da máquina |
Combinação de diversos SRC/PS para atingir o PL total
A função relacionada à segurança pode incluir um ou mais SRP/CSs, e diversas funções relacionadas à segurança podem usar os mesmos SRP/CSs. SRP/CSs individuais poderiam ainda ser obtidos usando outras arquiteturas. Onde a função relacionada à segurança for obtida por uma conexão de série de diversos SRP/CSs, por exemplo cortinas de luz de segurança, lógica de controle, potência de saída, e se os valores de PFHd de todos os SP/CSs forem conhecidos, o PHFd do SRP/CS combinado será a soma de todos os valores PFHd dos N SRP/CSs.
O PL do SRP/CS combinado é limitado por:
- o PL mais baixo de qualquer SRP/CSs individual envolvido na realização da função de segurança (porque o PL é determinado ainda pelos aspectos não quantificáveis) e
- o PL correspondente ao PFHd do SRP/CS combinado, de acordo com a tabela 3 da ISO 13849-1
- Se os valores PFHd de todos os SRP/CSs individuais não forem conhecidos:
Localize a parte com PL = PL baixo
Encontre o número das partes que têm PL = PL baixo
Introduza os dados na tabela a seguir para obter o PL total
![]() |
O PL obtido usando esta tabela refere-se aos valores de confiabilidade na posição intermediária de cada um dos intervalos da Tabela 3 da ISO 13849-1.
Nós temos: PL baixo = d N baixo = 1 (< 3)
Portanto: PL total = d
e a probabilidade média de falha perigosa por hora para o sistema completo será um número qualquer entre
1 x 10-6 and 1 x 10-7 (consulte a Tabela 3 da ISO 13849-1).
Próximo... IEC 62061 SIL - Conclusões