Baixe o app para aproveitar ainda mais
Prévia do material em texto
ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Segurança de máquinas — Partes de sistemas de comando relacionadas à segurança Parte 1: Princípios gerais de projeto APRESENTAÇÃO 1) Este Projeto foi elaborado pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001) do Comitê Brasileiro de Máquinas e Equipamentos Mecânicos (ABNT/CB-004), com número de Texto-Base 004:026.001-005/1, nas reuniões de: 13.08.2013 24.02.2016 29.03.2017 28.08.2013 25.02.2016 26.04.2017 25.09.2013 25.03.2016 24.05.2017 30.10.2013 30.03.2016 29.06.2017 27.11.2013 27.04.2016 26.07.2017 18.12.2013 25.05.2016 30.08.2017 29.01.2014 27.07.2016 27.09.2017 26.02.2014 29.07.2016 25.10.2017 26.03.2014 26.08.2016 29.11.2017 23.04.2014 30.08.2016 13.12.2017 28.05.2014 24.09.2016 17.01.2018 25.06.2014 30.09.2016 28.01.2018 30.07.2014 28.10.2016 28.02.2018 27.08.2014 28.10.2016 28.03.2018 24.09.2014 26.11.2016 24.04.2018 29.10.2014 14.12.2016 23.05.2018 26.11.2014 16.12.2016 20.06.2018 17.12.2014 18.01.2017 20.01.2016 22.02.2017 © ABNT 2019 Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT. NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 a) é previsto para cancelar e substituir a ABNT NBR 14153:1998, quando aprovado, sendo que nesse ínterim a referida norma continua em vigor; b) é previsto para ser idêntico à ISO 13849-1:2015, que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199), conforme ISO/IEC Guide 21-1:2005; c) não tem valor normativo. 2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informação em seus comentários, com documentação comprobatória. 3) Tomaram parte na sua elaboração, participando em no mínimo 30 % das reuniões realizadas sobre o Texto-Base e aptos a deliberarem na Reunião de Análise da Consulta Nacional: Participante Representante ACE SCHMERSAL José Amauri Martins ACE SCHMERSAL Justiniano Vieira Lima Junior BOSCH REXROTH Makoto Yokoyama DIGIMEC Roberto Bilevic EUCHNER Paulo Umeda FESTO Myrian Reis FUNDACENTRO Roberto do V. Giuliano GALAXIA Ronaldo Gabriel dos Santos MANUALTECH Luis Carlos Davenienne de Almeida MTB Aida Becker MTB Anildo de Oliveira Passos Jr. MTB Hildeberto B. Nobre Jr. MTB Ricardo Silveira da Rosa OMRON Renato Ozaki OMRON Carla Haddad PILZ João Paulo Vaz REER Hamilton Sakamoto SCHNEIDER Erico Grano SENAI - GO Joel Mario de Souza SICK Marcio Liron Damelio SIEMENS Fernando G. Capuzzo NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 SIEMENS Lais Rodrigues Misko SINDIPEÇAS José Carlos de Freitas SMC Jeferson Aidar TÜV RHEINLAND Lucas B. Lazzarine TÜV RHEINLAND Robynson Molinari TÜV RHEINLAND Victor Marquesim USIFORMA Rodolpho Godoy VOITH PAPER Jorge Luiz gomes NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Segurança de máquinas — Partes de sistemas de comando relacionadas à segurança Parte 1: Princípios gerais de projeto Safety of machinery — Safety-related parts of control systems Part 1: General principles for design Prefácio Nacional A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalização. Os Documentos Técnicos Internacionais são adotados conforme as regras da ABNT Diretiva 3. A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996). Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras datas para exigência dos requisitos desta Norma. A ABNT NBR ISO 13849-1 foi elaborada no Comitê Brasileiro de Máquinas e Equipamentos Mecânicos (ABNT/CB-004), pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001). O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX. Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 13849-1:2015, que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199), conforme ISO/IEC Guide 21-1:2005. Esta Norma, sob o título geral “Segurança de máquinas – Partes de sistemas de comando relacionadas à segurança”, tem previsão de conter as seguintes partes: — Parte 1: Princípios gerais de projeto; — Parte 2: Validação. O Escopo em inglês desta Norma Brasileira é o seguinte: Scope This document provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical etc.), for all kinds of machinery. NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 It does not specify the safety functions or performance levels that are to be used in a particular case. This document provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used. NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856-1 and ISO 13856-2. NOTE 2 For the definition of required performance level, see 3.1.24. NOTE 3 The requirements provided in this part of ABNT NBR ISO 13849 for programmable electronic systems are compatible with the methodology for the design and development of safety-related electrical, electronic and programmable electronic control systems for machinery given in IEC 62061. NOTE 4 For safety-related embedded software for components with PLr = e see IEC 61508-3:1998, Clause 7. NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Introdução A estrutura das normas de segurança no campo das máquinas é a seguinte. a) Normas do tipo A (normas básicas) proveem conceitos básicos, princípios de projeto e aspectos gerais que podem ser aplicados às máquinas; b) Normas do tipo B (normas de segurança genéricas) abordam um ou mais aspectos de segurança, ou um ou mais tipos de dispositivos de segurança que podem ser utilizados em uma ampla variedade de máquinas: — as normas do tipo B1 sobre aspectos de segurança específicos (por exemplo, distâncias de segurança, temperatura da superfície, ruído); — as normas do tipo B2 sobre dispositivos de segurança (por exemplo, controles acionadospelas duas mãos, dispositivos de travamento, dispositivos sensíveis à pressão, proteções); c) Normas do tipo C (normas de segurança de máquinas) abordam requisitos de segurança detalhados para uma máquina ou grupo de máquinas específico. Esta Parte da ABNT NBR ISO 13849 é uma norma do tipo B1 conforme declarado na ABNT NBR ISO 12100. Este documento tem relevância, em particular, para os seguintes grupos da sociedade relacionados à segurança de máquinas: — fabricantes de máquinas (pequenas, médias e grandes empresas); — organismos de segurança e saúde (orgâos reguladores, de prevenção de acidentes de fisca- lização etc.). Outros grupos podem ser afetados pelo nível de segurança obtido em máquinas, mediante à aplicação desta Norma pelos grupos acima citados anteriormente, entre eles: — usuários de máquinas/empregadores (pequenas, médias e grandes empresas); — usuários de máquinas/operadores, empregados (órgãos reguladores, de prevenção de acidentes, de vigilância de mercado, etc.). — prestadores de serviços, por exemplo, de manutenção (pequenas, médias e grandes empresas); — consumidores (no caso, os que adquirem máquinas); Os grupos mencionados anteriormente tiveram a possibilidade de participar do processo de construção deste documento. Adicionalmente, este documento é destinado a organismos de normalização que elaboram normas tipo C. Os requisitos deste documento podem ser suplementados ou modificados por uma norma tipo C. Para máquinas cobertas pelo escopo de uma norma tipo C e que foram projetadas ou construídas de acordo com os requisitos desta Norma, os requisitos da norma tipo C prevalecem. NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Quando as disposições de uma norma do tipo C forem diferentes das que são declaradas nas normas do tipo A ou tipo B, as disposições da norma do tipo C prevalecem sobre as disposições das outras normas para máquinas que foram projetadas e construídas de acordo com as disposições da norma do tipo C. Esta Parte da ABNT NBR ISO 13849 destina–se a prover orientação aos envolvidos no projeto e avaliação de sistemas de comando e aos Comitês Técnicos que preparam as normas do tipo B2 ou tipo C que são consideradas em conformidade com os Requisitos Essenciais de Segurança do Anexo I da Diretiva 2006/42/EC, a Diretiva de Máquinas. Este documento da ABNT NBR ISO 13849 não provê orientação específica para conformidade com outras diretivas EC. Como parte da estratégia total da redução de risco em uma máquina, um projetista muitas vezes optará por atingir alguma medida de redução de risco por meio da aplicação de dispositivos de segurança que empregam uma ou mais funções de segurança. Partes dos sistemas de comando de máquinas que são atribuídas para prover funções de segurança são chamadas de partes de sistemas de comando relacionadas à segurança (SRP/CS) e estas podem consistir em hardware e software e podem ser separadas do sistema de comando da máquina ou uma parte integrante deste. Além de prover funções de segurança, a SRP/CS pode também prover funções operacionais (por exemplo, controles acionados pelas duas mãos como meio de inicialização do processo). A capacidade das partes de sistemas de comando relacionadas à segurança em realizar uma função de segurança sob condições previsíveis é atribuída em cinco níveis, chamados de níveis de desem- penho (PL). Esses níveis de desempenho são definidos em termos da probabilidade de falha perigosa por hora (ver Tabela 2). A probabilidade de falha perigosa da função de segurança depende de vários fatores, incluindo a estrutura de hardware e software, a extensão dos mecanismos de detecção de defeitos [cobertura de diagnóstico (DC)], confiabilidade dos componentes [tempo médio até falha perigosa (MTTFD), falha de causa comum (CCF)], processo de projeto, tensão de operação, condições ambientais e procedimentos de operação. A fim de auxiliar o projetista e facilitar a avaliação do PL atingido, este documento emprega uma metodologia com base na categorização de estruturas de acordo com critérios de projeto específicos e comportamentos especificados sob condições de defeito. Estas categorias são atribuídas em cinco níveis, denominados Categorias B, 1, 2, 3 e 4. Os níveis de desempenho e as categorias podem ser aplicados às partes de sistemas de comando relacionadas à segurança, como — dispositivos de proteção (por exemplo, dispositivos de controle acionados pelas duas mãos, dispositivos de intertravamento), dispositivos de proteção eletrossensíveis (por exemplo, barreiras fotoelétricas), dispositivos sensíveis à pressão — unidades de controle (por exemplo, uma unidade lógica para funções de controle, processamento de dados, monitoramento, etc.) e — elementos de controle de potência (por exemplo, relés, válvulas etc.), bem como os sistemas de comando que exercem funções de segurança em todos os tipos de máquinas – das simples (por exemplo, pequenas máquinas de cozinha, ou portas e portões automáticos) até as instalações industriais (por exemplo, máquinas de embalagem, máquinas de impressão, prensas). NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Esta Parte da ABNT NBR ISO 13849 destina-se a prover uma base clara sobre a qual, o projeto e desempenho de qualquer aplicação da SRP/CS (e a máquina) podem ser avaliados, por exemplo, por um terceiro, na própria fábrica ou por uma entidade de ensaios independente. Informações sobre a recomendação de aplicação da IEC 62061 e esta Parte da ABNT NBR ISO 13849 A IEC 62061 e esta Parte da ABNT NBR ISO 13849 especificam requisitos para o projeto e imple- mentação de sistemas de comando relacionados à segurança de máquinas. O uso de qualquer uma dessas Normas, em conformidade com os seus respectivos escopos permite presumir o atendimento aos requisitos de segurança essenciais relevantes. A norma ISO/TR 23849 oferece um guia para aplicação desta Parte da ABNT NBR ISO 13849 e da IEC 62061 no projeto de partes relacionadas a sistemas de controle de segurança em máquinas. Assim como a norma ISO/TR 23849, a norma ISO/TR 22100-2 foi adicionada à lista de referências normativas dadas na Seção 2 – dada a sua importância na compreenção da relação entre as partes das normas ABNT NBR ISO 13849 e ABNT NBR ISO 12100. NÃO TEM VALOR NORMATIVO P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Segurança de máquinas — Partes de sistemas de comando relacionadas à segurança Parte 1: Princípios gerais de projeto 1 Escopo Esta Parte da ABNT NBR ISO 13849 provê os requisitos de segurança e orientação sobre os princípios de projeto e integração de partes de sistemas de comando relacionadas à segurança (SRP/CS), incluindo o projeto de software. Para essas partes da SRP/CS, esta Norma especifica as características que incluem o nível de desempenho (PL) requerido para realizar funções de segurança. Esta Parte da ABNT NBR ISO 13849 aplica-se a SRP/CS para alta demanda e modo contínuo, independentemente do tipo de tecnologia e energia utilizadas (elétrica, hidráulica, pneumática, mecânica, etc.), para todos os tipos de máquinas. Esta Parte da ABNT NBR ISO 13849 não especifica as funções de segurança ou níveis de desem- penho que devem ser utilizados em um caso específico. Esta Parte da ABNT NBR ISO 13849 provê requisitos específicos para SRP/CS utilizando sistema(s) eletrônico(s) programável(eis). Esta Parte da ABNT NBR ISO 13849 não provê requisitos específicos para o projeto de produtos que são partes da SRP/CS. No entanto, os princípios dados, como categorias ou níveis de desempenho, podem ser utilizados. NOTA 1 Exemplos de produtos que são partes da SRP/CS: relés, válvulas solenoide, chaves de posição, PLC, unidades de controle de motor, dispositivos de controle bimanuais, equipamentosensível à pressão. Para o projeto destes produtos, é importante consultar as Normas específicas aplicáveis, por exemplo, ISO 13851, ISO 13856-1 e ISO 13856-2. NOTA 2 Para a definição do nível de desempenho (PL) requerido, ver 3.1.24. NOTA 3 Os requisitos apresentados neste documento da ABNT NBR ISO 13849 para sistemas eletrônicos programáveis são compatíveis com a metodologia do projeto e desenvolvimento de sistemas de comando elétrico, eletrônico e programável relacionados à segurança para máquinas, dada pela IEC 62061. NOTA 4 Para software embarcado relacionado à segurança para componentes com PLr = e, ver IEC 61508-3:1998, Seção 7. 2 Referências normativas Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais, constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo emendas). ABNT NBR ISO 12100:2013, Segurança de máquinas – Princípios gerais de projeto – Apreciação e redução de riscos ABNT NBR ISO 13849-2, Segurança de máquinas – Partes de sistemas de comando relacionadas à segurança – Parte 2: Validação NÃO TEM VALOR NORMATIVO 1/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 IEC 60050-191:1990, International electrotechnical vocabulary – Chapter 191: Dependability and quality of service. Amended by IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999 IEC 61508-3:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 3: Software requirements. Corrected by IEC 61508-3/Cor.1:1999 IEC 61508-4:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 4: Definitions and abbreviations. Corrected by IEC 61508-4/Cor.1:1999 IEC 62061:2012, Safety of machinery – Functional safety of safety-related electrical, electronic and programmable electronic control systems ISO/TR 22100-2:2013, Safety of machinery – Relationship with ISO 12100 – Part 2: How ISO 12100 relates to ISO 13849-1 ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety- related control systems for machinery 3 Termos, definições, símbolos e abreviaturas 3.1 Termos e definições Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 12100 e IEC 60050-191 e os seguintes. 3.1.1 parte de um sistema de comando relacionada à segurança SRP/CS parte de um sistema de comando que responde a sinais de entrada relacionados à segurança e gera sinais de saída relacionados à segurança Nota 1 de entrada: As partes combinadas de um sistema de comando relacionadas à segurança começam no ponto onde os sinais de entrada relacionados à segurança são iniciados (incluindo, por exemplo, o came de atuação e o rolete do fim de curso) e terminam na saída dos elementos de controle de potência (incluindo, por exemplo, os contatos principais de um contator). Nota 2 de entrada: Se sistemas de monitoramento forem utilizados para diagnóstico, estes também são considerados como SRP/CS. 3.1.2 categoria classificação das partes de um sistema de comando relacionadas à segurança em relação à sua resistência a falha e seu comportamento subsequente na condição de falha, e que é atingida pela disposição estrutural das partes, detecção da falha e/ou por sua confiabilidade 3.1.3 defeito estado de um item caracterizado pela incapacidade de realizar uma função requerida, excluindo a incapacidade durante a manutenção preventiva ou outras ações planejadas, ou devido à falta de recursos externos Nota 1 de entrada: Um defeito é muitas vezes o resultado de uma falha do próprio item, porém pode existir sem falha prévia. [FONTE: IEC 60050-191:1990, 05-01] Nota 2 de entrada: Neste documento da ABNT NBR ISO 13849, “defeito” significa defeito aleatório. NÃO TEM VALOR NORMATIVO2/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 3.1.4 falha término da capacidade de um item em realizar uma função requerida Nota 1 de entrada: Após uma falha, o item apresenta um defeito. Nota 2 de entrada: “Falha” é um evento, diferente do “defeito”, que é um estado. Nota 3 de entrada: O conceito assim definido não é aplicado em elementos que consistam apenas em software. Nota 4 de entrada: Estão fora do escopo deste documento da ABNT NBR ISO 13849 as falhas que somente afetam a disponibilidade do processo controlado. [FONTE: IEC 60050-191:1990, 04-01] 3.1.5 falha perigosa falha que tem o potencial de colocar a SRP/CS em um estado perigoso ou incapaz de executar a função de segurança Nota 1 de entrada: de entrada: A identificação do potencial pode depender da arquitetura de canais do sistema. Em sistemas redundantes, é menos provável que uma falha perigosa de hardware possa levar a um completo estado perigoso ou de comprometer a execução da função de segurança. Nota 2 de entrada: Adaptado da IEC 61508-4:1998, 3.6.7. 3.1.6 falha de causa comum CCF falhas de itens diferentes, resultantes de um único evento, onde essas falhas não são consequências umas das outras [FONTE: IEC 60050-191-am1:1999, 04-23] Nota 1 de entrada: falhas de causa comum não devem ser confundidas com as falhas de modo comum (ver ABNT NBR ISO 12100:2013, 3.36). 3.1.7 falha sistemática falha relacionada de forma deterministica a uma determinada causa, a qual somente pode ser elimi- nada por uma modificação do projeto ou do processo de fabricação, procedimentos operacionais, documentação ou outros fatores relevantes Nota 1 de entrada: Manutenção corretiva sem modificação normalmente não elimina a causa da falha. Nota 2 de entrada: Uma falha sistemática pode ser induzida por simulação da causa da falha. Nota 3 de entrada: Exemplos de causas de falhas sistemáticas incluem o erro humano — na especificação dos requisitos de segurança, — no projeto, fabricação, instalação, operação do hardware, e — no projeto, implementação etc. do software. [FONTE: IEC 60050-191:1990, 04-19] NÃO TEM VALOR NORMATIVO 3/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 3.1.8 muting suspensão automática temporária de uma função ou funções de segurança pela SRP/CS 3.1.9 rearme manual função dentro da SRP/CS utilizada para restaurar manualmente uma ou mais funções de segurança antes de reiniciar uma máquina 3.1.10 dano lesão física ou prejuízo à saúde [FONTE: ABNT NBR ISO 12100:2013, 3.5] 3.1.11 perigo fonte potencial de dano Nota 1 de entrada: Um perigo pode ser qualificado a fim de definir sua origem (por exemplo, perigo mecânico, perigo elétrico) ou a natureza do dano potencial (por exemplo, perigo de choque elétrico, perigo de corte, perigo tóxico, perigo de incêndio). Nota 2 de entrada: O perigo previsto nesta definição: — está permanentemente presente durante o uso devido da máquina (por exemplo, movimentação de elementos móveis perigosos, arco elétrico durante uma fase de soldagem, postura inadequada, emissão de ruído, alta temperatura); — ou pode aparecer inesperadamente (por exemplo, explosão, perigo de esmagamento em consequência de um comando inesperado ou não intencional, ejeção em consequência de ruptura, queda em conse- quência de aceleração/desaceleração). [FONTE: ABNT NBR ISO 12100:2013, 3.6] 3.1.12 situação perigosa circunstância na qual uma pessoa é exposta a pelo menos um perigo Nota 1 de entrada: A exposição pode resultar em um dano imediatamente ou após um determinado período de tempo. [FONTE: ABNT NBR ISO 12100: 2013, 3.10] 3.1.13 risco combinação da probabilidade de ocorrência de um dano e da severidade deste [FONTE: ABNT NBR ISO 12100:2013, 3.12] 3.1.14 risco residual risco remanescente após terem sido adotadas medidas de proteção Nota 1 de entrada: Ver Figura 2. [FONTE: ABNT NBR ISO 12100:2013, 3.13] NÃO TEM VALOR NORMATIVO4/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 3.1.15 apreciação de risco processo completo que compreende a análise de risco e a avaliação de risco [FONTE: ABNT NBR ISO 12100:2013, 3.17] 3.1.16 análise de risco combinação da especificação dos limites da máquina, identificação do perigo e estimativa de risco [FONTE: ABNT NBR ISO 12100:2013, 3.15] 3.1.17 avaliação de risco julgamento, com base na análise de risco, considerando se os objetivos de redução de risco foram atingidos [FONTE: ABNT NBR ISO 12100:2013, 3.16] 3.1.18 uso devido de uma máquina utilização da máquina de acordo com as informações contidas nas instruções de uso [FONTE: ABNT NBR ISO 12100:2013, 3.23] 3.1.19 mau uso razoavelmente previsível utilização de uma máquina de uma maneira não prevista pelo projetista, porém que pode resultar de comportamento humano facilmente previsível [FONTE: ABNT NBR ISO 12100:2013, 3.24] 3.1.20 função de segurança função da máquina cuja falha pode resultar em um aumento imediato do(s) risco(s) [FONTE: ABNT NBR ISO 12100:2013, 3.30] 3.1.21 monitoramento função de segurança que assegura que uma medida de proteção é iniciada, caso a capacidade de um componente ou de um elemento em desempenhar sua função for diminuída, ou se as condições do processo são alteradas de tal forma que aumente o risco 3.1.22 sistema eletrônico programável PES sistema para controle, proteção ou monitoramento dependente para sua operação em um ou mais dispositivos eletrônicos programáveis, incluindo todos os elementos do sistema, como fontes de energia, sensores e outros dispositivos de entrada, contatores e outros dispositivos de saída [FONTE IEC 61508-4:1998, 3.3.2, modificado] NÃO TEM VALOR NORMATIVO 5/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 3.1.23 nível de desempenho PL nível discreto utilizado para especificar a capacidade das partes dos sistemas de comando relacio- nadas à segurança em desempenhar uma função de segurança sob condições previsíveis Nota 1 de entrada: Ver 4.5.1. NOTA BRASILEIRA “Nivel de desempenho” é a expressão em Português equivalente à “Performance Level” 3.1.24 nível de desempenho requerido PLr nível de desempenho (PL) aplicado a fim de atingir a redução de risco requerida para cada função de segurança Nota 1 de entrada: Ver Figuras 2 e A.1. 3.1.25 tempo médio para falha perigosa MTTFD expectativa do tempo médio até a falha perigosa [FONTE: IEC 62061:2005, 3.2.34, modificado] 3.1.26 cobertura de diagnóstico DC medida da efetividade do diagnóstico, que pode ser determinada como a razão entre a taxa de falha das falhas perigosas detectadas e a taxa de falha das falhas perigosas totais Nota 1 de entrada: A cobertura de diagnóstico pode existir para a totalidade ou partes de um sistema relacionado à segurança. Por exemplo, a cobertura de diagnóstico pode existir para sensores e/ou sistema lógico e/ou elementos finais. [FONTE: IEC 61508-4:1998, 3.8.6, modificado] 3.1.27 medida de proteção medida destinada a atingir a redução de risco EXEMPLO 1 Implementada pelo projetista: projeto inerente, medidas de segurança e proteção comple- mentares e informações de uso. EXEMPLO 2 Implementada pelo usuário: organização (procedimentos de segurança no trabalho, supervi- são, sistemas de permissão de trabalho), prover o uso de dispositivos de segurança adicionais, equipa- mentos de proteção individual, treinamento. [FONTE: ABNT NBR ISO 12100:2013, 3.19, modificado] NÃO TEM VALOR NORMATIVO6/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 3.1.28 tempo de missão TM período de tempo que abrange o uso devido de uma SRP/CS 3.1.29 taxa de teste rt frequência de testes automáticos para detectar falhas em uma SRP/CS, inversa ao valor do intervalo de teste de diagnóstico 3.1.30 taxa de demanda rD frequência de demandas para uma ação relacionada à segurança da SRP/CS 3.1.31 taxa de reparo rr inverso do valor do período de tempo entre a detecção de uma falha perigosa por um teste on-line ou mau funcionamento previsto do sistema e o reinício da operação após o reparo ou substituição do sistema/componente Nota 1 de entrada: O tempo de reparo não inclui o período de tempo necessário para a detecção da falha. 3.1.32 sistema de comando da máquina sistema que responde aos sinais de entrada de partes dos elementos da máquina, operadores, equipamentos de comando externo ou qualquer combinação destes e que gera sinais de saída fazendo com que a máquina se comporte da maneira devida Nota 1 de entrada: O sistema de comando da máquina pode utilizar qualquer tecnologia ou qualquer combinação de diferentes tecnologias (por exemplo, elétrica/eletrônica, hidráulica, pneumática, mecânica). 3.1.33 nível de integridade de segurança SIL nível discreto (um de quatro possíveis) para especificar os requisitos de integridade de segurança das funções de segurança a serem atribuídas a sistemas relacionados à segurança E/E/PE (elétrica/ eletrônica/eletrônica programável), onde o nível 4 de integridade de segurança é o nível mais alto e o nível 1 é o nível mais baixo [FONTE: IEC 61508-4:1998, 3.5.6] 3.1.34 linguagem de variabilidade limitada LVL tipo de linguagem que proporciona a capacidade de combinar funções de biblioteca predefinidas, relativas a aplicações específicas, para implementar as especificações dos requisitos de segurança Nota 1 de entrada: Exemplos típicos de LVL (lógica ladder, diagrama de blocos de função) são dados na IEC 61131-3. Nota 2 de entrada: Exemplo típico de um sistema que utiliza LVL: PLC. [FONTE: IEC 61511-1:2003, 3.2.80.1.2, modificado] NÃO TEM VALOR NORMATIVO 7/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 3.1.35 linguagem de variabilidade total FVL tipo de linguagem que proporciona a capacidade de implementação de uma ampla variedade de funções e aplicações EXEMPLO C, C++, Assembler. Nota 1 de entrada: Um exemplo típico de sistemas que utilizam FVL: sistemas embarcados. Nota 2 de entrada: No campo das máquinas, FVL é encontrada em software embarcado e raramente em software de aplicação. [FONTE: IEC 61511-1:2003, 3.2.80.1.3, modificado] 3.1.36 software de aplicação software específico para a aplicação, implementado pelo fabricante da máquina, e geralmente contendo sequências lógicas, limites e expressões que controlam as entradas, saídas, cálculos e decisões apropriados necessários para atender aos requisitos da SRP/CS 3.1.37 software embarcado firmware software de sistema software que faz parte do sistema fornecido pelo fabricante do controle e que não é acessível para modificação pelo usuário da máquina Nota 1 de entrada: Software embarcado é geralmente escrito em FVL. 3.1.38 elevada demanda ou modo contínuo modo de operação no qual a frequência de demanda na SRP/CS é maior que uma vez por ano ou a função relacionada à segurança mantém a máquina no estado seguro como parte de seu funciona- mento ou operação normal. [FONTE: IEC 62061:2012, 3.2.27, modificada.] 3.1.39 testado em uso demonstração, baseada em uma análise de experiência operacional para uma configuração específica de um elemento, em que a possibilidade de falha perigosa sistemática é baixa o suficiente para que qualquer função de segurança que utilize tal elemento, atinja seu nível de performance requerido (PLr) [FONTE: IEC 62061:2012, 3.2.28, modificada.] 3.2 Símbolos e abreviaturas Ver Tabela 1. NÃO TEM VALOR NORMATIVO8/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Tabela 1 – Símbolos e abreviaturas (continua) Símbolo ou abreviatura Descrição Definição ou ocorrência a, b, c, d, e Designação dos níveis de desempenho Tabela 3 AOPD Dispositivo de proteção optoeletrônicoativo (por exemplo, barreira de luz) Anexo H B, 1, 2, 3, 4 Designação de categorias Tabela 7 B10D Número de ciclos até que 10 % dos componentes falhem perigosamente (para componentes pneumáticos e eletromecânicos) Anexo C Cat. Categoria 3.1.2 CC Conversor de corrente Anexo I CCF Falha de causa comum 3.1.6 DC Cobertura de diagnóstico 3.1.26 DCavg Cobertura de diagnóstico média E.2 F, F1, F2 Frequência e/ou tempo de exposição ao perigo A.2.2 FB Bloco de função 4.6.3 FVL Linguagem de variabilidade total 3.1.35 FMEA Análise dos modos e efeitos de falha 7.2 I, I1, I2 Dispositivo de entrada, por exemplo, sensor 6.2 i, j Índice para contagem Anexo D I/O Entradas/saídas Tabela E.1 iab, ibc Meios de interconexão Figura 4 K1A, K1B Contatores Anexo I L, L1, L2 Lógica 6.2 LVL Linguagem de variabilidade limitada 3.1.34 M Motor Anexo I MTTF Tempo médio até a falha Anexo C MTTFD Tempo médio até a falha perigosa 3.1.25 n, N, Ñ Número de itens 6.3, D.1 Nbaixo Número de SRP/CS com PLbaixo em uma combinação de SRP/CS 6.3 nop Número médio de operações anuais Anexo C O, O1, O2, OTE Dispositivo de saída, por exemplo, atuador 6.2 P, P1, P2 Possibilidade de evitar o perigo A.2.3 PES Sistema eletrônico programável 3.1.22 PFHD Probabilidade média de falhas perigosas por hora Tabela 3 e Tabela K1 PL Nível de desempenho 3.1.23 PLC Controlador lógico programável (CLP) Anexo I NÃO TEM VALOR NORMATIVO 9/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Tabela 1 (conclusão) Símbolo ou abreviatura Descrição Definição ou ocorrência PLbaixo Nível de desempenho mais baixo de uma SRP/CS em uma combinação de SRP/CS 6.3 PLr Nível de desempenho requerido 3.1.24 rD Taxa de demanda 3.1.30 rT Taxa de teste 3.1.29 RS Sensor de rotação Anexo I S, S1, S2 Severidade da lesão A.2.1 SW1A, SW1B, SW2 Chaves de posição Anexo I SIL Nível de integridade de segurança Tabela 4 SRASW Software de aplicação relacionado à segurança 4.6.3 SRESW Software embarcado relacionado à segurança 4.6.2 SRP Parte relacionada à segurança Generalidades SRP/CS Parte de um sistema de comando relacionada à segurança 3.1.1 TE Equipamento de teste 6.2 TM Tempo de missão 3.1.28 T10D Tempo médio até que 10 % dos componentes falhem de forma perigosa Anexo C 4 Considerações de projeto 4.1 Objetivos de segurança no projeto A SRP/CS deve ser projetada e construída de modo que os princípios da ABNT NBR ISO 12100 sejam plenamente levados em consideração (ver Figuras 1 e 3). Todo uso devido e mau uso razoavel- mente previsível devem ser considerados. NÃO TEM VALOR NORMATIVO10/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 INÍCIO Apreciação de risco realizada de acordo com a ABNT NBR ISO 12100 FIM Determinação dos limites da máquina (ver 5.2 a) Identificação do perigo (ver Seção 4 e 5.3 a) Estimativa de risco (ver 5.3 a) Avaliação de risco (ver 5.3 a) O risco foi adequadamente reduzido? Outros perigos são gerados? Este processo iterativo de redução de risco deve ser realizado separadamente para cada perigo sob cada condição de uso (tarefa) A medida de proteção selecionada depende de um sistema de controle? Processo de redução de risco para o perigo: 1 por projeto inerentemente seguro, 2 por dispositivos de segurança, 3 por informações de uso (ver Figura 1 a) Processo iterativo do projeto de partes do sistema de comando relacionadas à segurança (SRP/CS) (ver Figura 3 b) Sim Sim Sim Não Não Não a Consultar a ABNT NBR ISO 12100:2013. b Consultar esta Parte da ABNT NBR ISO 13849. Figura 1 – Visão geral da apreciação de risco/redução de risco NÃO TEM VALOR NORMATIVO 11/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 4.2 Estratégia para redução de risco 4.2.1 Generalidades A estratégia para a redução de risco na máquina é provida na ABNT NBR ISO 12100:2013, Seção 6.1, e as orientações adicionais são providas na ABNT NBR ISO 12100:2013, Seções 6.2 (medidas inerentes ao projeto) e 6.3 (medidas de segurança e proteção complementares). Esta estratégia abrange todo o ciclo de vida da máquina. O processo de análise do perigo e de redução de risco para uma máquina requer que os perigos sejam eliminados ou reduzidos por meio de uma hierarquia de medidas: — eliminação do perigo ou redução de risco por projeto (ver ABNT NBR ISO 12100:2013, Seção 6.2); — redução de risco por medidas de segurança e de proteção possivelmente complementares (ver ABNT NBR ISO 12100:2013, Seção 6.3); — redução de risco pela prescrição de informações de uso sobre o risco residual (ver ABNT NBR ISO 12100:2013, Seção 6.4). 4.2.2 Contribuição para a redução de risco pelo sistema de comando A finalidade de verificar o procedimento total de projeto para a máquina é atingir os objetivos de segurança (ver 4.1). O projeto de uma SRP/CS, de modo a prover a redução de risco requerida, integra o procedimento geral de projeto para uma máquina. A SRP/CS provê função(ões) de segurança com determinado(s) PL que seja(m) capaz(es) de atingir a redução de risco requerida. Ao prover função(ões) de segurança, tanto uma parte inerentemente segura do projeto como o controle para um dispositivo de segurança ou de proteção, o projeto da SRP/CS é uma parte da estratégia de redução de risco. Este é um processo iterativo e é ilustrado nas Figuras 1 e 3. NOTA Não é necessário aplicar esta estratégia de redução de riscos em partes de sistemas de comando não relacionadas à segurança ou elementos puramente funcionais da máquina (ver ISO/TR 22100-2:2013, Seção 3). Para cada função de segurança, as características (ver Seção 5) e o nível de desempenho (PL) requeridos devem ser especificados e documentados na especificação dos requisitos de segurança. Nesta Parte da ABNT NBR ISO 13849 os níveis de desempenho são definidos em termos da probabilidade de falha perigosa por hora. Cinco níveis de desempenho são estabelecidos, a partir do menor Pla ao mais elevado PLe, em faixas de valores de probabilidade de falha perigosa por hora definidas (ver Tabela 2). Além da probabilidade média de falha perigosa por hora, que é um aspecto quantificável, aspectos qualitativos também são necessários para satisfazer os requisitos do PL. Tabela 2 – Níveis de desempenho (PL) PL Probabilidade média de falha perigosa por hora PFHd 1/h a ≥ 10–5 a < 10–4 b ≥ 3 × 10–6 a < 10–5 c ≥ 10–6 a < 3 x 10–6 d ≥ 10–7 a < 10–6 e ≥ 10–8 a < 10–7 NÃO TEM VALOR NORMATIVO12/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 A partir da apreciação de risco (ver ABNT NBR ISO 12100) da máquina, o projetista deve decidir a contribuição para a redução de risco que precisa ser provida para cada função de segurança relevante que é realizada pela(s) SRP/CS. Esta contribuição não abrange o risco total da máquina sob controle, por exemplo, o risco total de uma prensa mecânica ou máquina de lavar roupa não é considerado, mas sim a parte do risco reduzido pela aplicação de funções de segurança específicas. Exemplos destas funções são a função de parada iniciada utilizando um dispositivo de proteção eletrossensível em uma prensa ou a função de travamento da porta em uma máquina de lavar. A redução de risco pode ser atingida aplicando-se várias medidas de proteção (tanto para SRP/CS como para não SRP/CS) com a finalidade de atingir-se uma condição segura (ver Figura 2). Rh Rr Ra R1SRP/CS R2SRP/CS R1M R2M 1 2 3 4 Ra b Legenda Rh o risco, para uma situação perigosa específica, antes que medidas de proteção sejam aplicadas Rr redução de risco requerida a partir de medidas de proteção Ra redução de risco real atingida com medidas de proteção 1 solução 1 – redução de risco devida em maior parte às medidas de proteção que não sejam SRP/CS (por exemplo, medidas mecânicas), e em menor parte, devida a SRP/CS 2 solução 2 – redução de riscodevida em maior parte a SRP/CS (por exemplo, cortina de luz), e em menor parte, devida às medidas de proteção que não sejam SRP/CS (por exemplo, medidas mecânicas) 3 risco reduzido adequadamente 4 risco reduzido inadequadamente R risco a risco residual obtido pelas soluções 1 e 2 b risco reduzido adequadamente R1SRP/CS R2SRP/CS redução de risco obtida a partir da função de segurança realizada pela SRP/CS R1M, R2M redução de risco obtida a partir de medidas de proteção que não sejam SRP/CS (por exemplo, medidas mecânicas) NOTA Ver ABNT NBR ISO 12100 para informações adicionais sobre redução de risco. Figura 2 – Visão geral do processo de redução de risco para cada situação perigosa NÃO TEM VALOR NORMATIVO 13/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 da Figura 1 para a Figura 1 Identificar as funções de segurança a serem realizadas pelas SRP/CS Para cada função de segurança selecionada Não Sim Sim Sim Não Para cada função de segurança, especificar as características requeridas (ver Seção 5) Determinação do nível de desempenho requerido PLr (ver 4.3 e Anexo A) Projeto e realização técnica da função de segurança: Identificação das partes relacionadas à segurança que realizam a função de segurança (ver 4.4) Verificação do PL quanto à função de segurança: PL ≥ PLr (ver 4.7)? Validação (ver Seção 8 a) Todos os requisitos são atendidos? Todas as funções de segurança foram analisadas? Avaliar o nível de desempenho PL (ver 4.5) considerando: – categoria (ver Seção 6) – MTTFD (ver Anexos C e D) – DC (ver Anexo E) – CCF (ver Anexo F) – se existente: software (ver 4.6 e Anexo J) das partes relacionadas à segurança supracitadas a A ABNT NBR ISO 13849-2 provê auxílio adicional para a validação. Figura 3 – Processo iterativo para projeto de partes de sistemas de comando relacionadas à segurança (SRP/CS) NÃO TEM VALOR NORMATIVO14/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 4.3 Determinação do nível de desempenho requerido (PLr) Para cada função de segurança selecionada a ser realizada por uma SRP/CS, um nível de desempenho requerido (PLr) deve ser determinado e documentado (ver Anexo A para orientação na determinação do PLr). A determinação do nível de desempenho requerido (PLr) é o resultado da apreciação de risco e refere-se à quantidade de redução de risco a ser realizada pelas partes do sistema de comando relacionadas à segurança (ver Figura 2). Quanto maior for a necessidade de redução de risco a ser provida pela SRP/CS, maior é o PLr. 4.4 Projeto da SRP/CS Parte do processo de redução de risco é determinar as funções de segurança da máquina. Isto inclui funções de segurança do sistema de comando, por exemplo, prevenção contra partida inesperada. Uma função de segurança pode ser implementada por uma ou mais SRP/CS, e diversas funções de segurança podem compartilhar uma ou mais SRP/CS [por exemplo, uma unidade lógica, elemento(s) de controle de potência]. Também é possível que uma SRP/CS implemente funções de segurança e funções de controle convencional. O projetista pode utilizar qualquer uma das tecnologias disponíveis, isoladamente ou combinadas. A SRP/CS pode também prover uma função operacional (por exemplo, um AOPD como um meio de iniciação do ciclo). Uma apresentação esquemática da função de segurança típica é provida na Figura 4 que mostra uma combinação de partes de sistemas de comando relacionadas à segurança (SRP/CS) para — entrada (SRP/CSa), — lógica/processamento (SRP/CSb), — saída/elementos de controle de potência (SRP/CSc), e — meios de interconexão (iab, ibc) (por exemplo, elétricos, ópticos). NOTA 1 Na mesma máquina, é importante distinguir entre diferentes funções de segurança e suas respectivas SRP/CS que exercem uma determinada função de segurança. Uma vez identificadas as funções de segurança do sistema de comando, o projetista deve identificar a SRP/CS (ver Figuras 1 e 3) e, onde necessário, deve representá-lo como entrada, lógica e saída e, no caso de redundância, os canais individuais, e em seguida avaliar o nível de desempenho PL (ver Figura 3). NOTA 2 As arquiteturas designadas são providas na Seção 6. NOTA 3 Todos os meios de interconexão estão incluídos nas partes relacionadas à segurança. NÃO TEM VALOR NORMATIVO 15/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 SRP/CSa SRP/CSb SRP/CSc iab ibc I L O Legenda I entrada (exemplo, fim de curso, sensor, AOPD) L lógica O saída (exemplo, válvula, contator, inversor de frequência) 1 evento de inicialização (por exemplo, acionamento manual de um botão de comando, abertura da proteção, interrupção do feixe do AOPD) 2 atuador da máquina (por exemplo, freios do motor) Figura 4 – Representação esquemática da combinação de partes de sistemas de comando relacionadas à segurança para processamento de uma função de segurança típica 4.5 Avaliação do nível de desempenho atingido PL e correlação com SIL 4.5.1 Nível de desempenho PL Para os efeitos desta Parte da ABNT NBR ISO 13849, a capacidade das partes relacionadas à segurança em desempenhar uma função de segurança é expressa por meio da determinação do nível de desempenho PL. Para cada SRP/CS selecionada e/ou para a combinação de SRP/CS que desempenha uma função de segurança, a estimativa do PL deve ser efetuada. O PL da SRP/CS deve ser determinado pela estimativa dos seguintes aspectos: — o valor do MTTFD para componentes individuais (ver Anexos C e D); — a DC (ver Anexo E); — a CCF (ver Anexo F); — a estrutura (ver Seção 6); — o comportamento da função de segurança sob condição(ões) de falha (ver Seção 6); — software relacionado à segurança (ver 4.6 e Anexo J); — falha sistemática (ver Anexo G); — a capacidade em desempenhar uma função de segurança sob condições ambientais esperadas. NOTA 1 Outros parâmetros, por exemplo, aspectos operacionais, taxa de demanda, taxa de teste, podem ter certa influência. NÃO TEM VALOR NORMATIVO16/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Estes aspectos podem ser agrupados sob duas abordagens em relação ao processo de avaliação: a) aspectos quantificáveis (valor do MTTFD para componentes individuais, DC, CCF, estrutura); b) aspectos qualitativos não quantificáveis que afetam o comportamento da SRP/CS (compor- tamento da função de segurança sob condições de falha, software relacionado à segurança, falha sistemática e condições ambientais) Entre os aspectos quantificáveis, a contribuição da confiabilidade (por exemplo, MTTFD, estrutura) pode variar de acordo com a tecnologia utilizada. Por exemplo, é possível para uma dada tecnologia (dentro de certos limites) com um único canal de partes relacionadas à segurança de alta confiabi- lidade, prover o mesmo PL ou mais alto que uma estrutura tolerante a falhas de confiabilidade mais baixa utilizando outra tecnologia. Existem diversos métodos para estimar os aspectos quantificáveis do PL para qualquer tipo de sistema (por exemplo, uma estrutura complexa), como, modelo de Markov, redes de Petri estocás- ticas generalizadas (GSPN), diagramas de blocos de confiabilidade [ver, por exemplo, IEC 61508]. Para tornar mais fácil a avaliação dos aspectos quantificáveis do PL, este documento da ABNT NBR ISO 13849 provê um método simplificado com base na definição de cinco arquiteturas designadas que atendem aos critérios de projeto específicos e comportamento sob condição de defeito (ver 4.5.4). Para uma SRP/CS ou combinação de SRP/CS projetada de acordo com os requisitos providos na Seção 6, a probabilidade média de uma falha perigosa pode ser estimada por meio da Figura 5 e o procedimento provido nos Anexos A a H, J e K. Para uma SRP/CS que se desvia das arquiteturas designadas, um cálculo detalhado deve ser provido para demonstrar que o nível de desempenhorequerido (PLr) foi alcançado. Em aplicações onde a SRP/CS puder ser considerada simples, e o nível de desempenho requerido for de a até c, uma estimativa qualitativa do PL pode ser justificada nos fundamentos do projeto (ver também 4.5.5). NOTA 2 Para o projeto de sistemas de comando complexos, como PES projetados para desem- penhar funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508, IEC 62061 ou IEC 61496). O cumprimento de aspectos qualitativos do PL pode ser demonstrado pela aplicação das medidas recomendadas providas em 4.6 e no Anexo G. Em normas em conformidade com a IEC 61508, a capacidade dos sistemas de comando relacionados à segurança para desempenhar uma função de segurança é provida por meio de uma graduação denominada SIL. A Tabela 4 mostra a relação entre os dois conceitos (PL e SIL). O PL não tem nenhuma correspondência na escala SIL e é utilizado principalmente para reduzir o risco de lesão leve, normalmente reversível. Uma vez que o SIL 4 é dedicado a eventos catastróficos possíveis na indústria de processo, este intervalo não é relevante para riscos em máquinas. Assim, o PL corresponde ao SIL 3 e é definido como o nível mais alto. NÃO TEM VALOR NORMATIVO 17/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Tabela 3 – Relação entre o nível de desempenho (PL) e o nível de integridade de segurança (SIL) PL SIL (IEC 61508-1, para informação) modo de operação alto/contínuo a Nenhuma correspondência b 1 c 1 d 2 e 3 Quando uma função de comando relacionada à segurança for projetada utilizando um ou mais SRP/CS, cada SRP/CS deve ser projetada de acordo com esta Parte da ABNT NBR ISO 13849 ou de acordo com a IEC 62061/IEC 61508 (ver também ISO/TR 23849) – embora exista correspondência entre os PL desta Parte da ABNT NBR ISO 13849 e SIL das IEC 61508 e IEC 62061. As SPR/CS são combinadas de acordo com 6.3. Portanto, para a redução do risco, devem ser aplicadas principalmente as medidas de proteção descritas a seguir. — Reduzir a probabilidade de defeitos no nível de componente. O objetivo é reduzir a probabilidade de defeitos ou falhas que afetam a função de segurança. Isto pode ser efetuado aumentando-se a confiabilidade dos componentes, por exemplo, pela seleção de componentes devidamente comprovados e/ou aplicação de princípios de segurança devidamente comprovados, a fim de minimizar ou excluir defeitos ou falhas críticas (ver ABNT NBR ISO 13849-2). — Melhorar a estrutura da SRP/CS. O objetivo é evitar o efeito perigoso de um defeito. Alguns defeitos podem ser detectados e uma estrutura redundante e/ou monitorada pode ser necessária. Ambas as medidas podem ser aplicadas separadamente ou combinadas. Com algumas tecnologias, a redução de risco pode ser atingida por meio da seleção de componentes confiáveis e por exclusões do defeito, porém com outras tecnologias, a redução de risco pode requerer um sistema redundante e/ou monitorado. Além disso, as falhas de causa comum (CCF) devem ser levadas em consideração (ver Figura 3). Para restrições em arquiteturas, ver Seção 6. 4.5.2 Tempo médio para falha perigosa de cada canal (MTTFD) O valor do MTTFD de cada canal é dado em três níveis (ver Tabela 4) e deve ser levado em consi- deração para cada canal (por exemplo, de um único canal, cada canal de um sistema redundante) individualmente. Para cada SRP/CS (subsistema) de acordo com a Tabela 5, o valor máximo de MTTFD para cada canal é 100 anos. Para SRP/CS (subsistemas) classificados como categoria 4, o valor máximo de MTTFD para cada canal é acrescido para 2 500 anos. NOTA Este valor elevado é justificado porque na Categoria 4 os demais aspectos quantificáveis, estru- tura e DC estão em seu nível máximo e isto permite a combinação em série de mais de três subsistemas (SRP/CS) com categoria 4 e a obtenção do PL e em conformidade com 6.3. NÃO TEM VALOR NORMATIVO18/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Para o projeto de sistemas de comando complexos, tais como PES projetados para desempenhar funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508, IEC 62061) ou Tabela 4 – Tempo médio para falha perigosa de cada canal (MTTFD) MTTFD Designação de cada canal Faixa de cada canal Baixo 3 anos ≤ MTTFD < 10 anos Médio 10 anos ≤ MTTFD < 30 anos Alto 30 anos ≤ MTTFD ≤ 100 anos NOTA 1 A escolha das faixas do MTTFD de cada canal é baseada nas taxas de falha encontradas no campo como estado da técnica, formando um tipo de escala logarítmica apropriada à escala logarítmica do PL. Não é esperado que um valor do MTTFD de cada canal inferior a três anos seja encontrado para um SRP/CS real, uma vez que isto pode significar que após um ano aproximadamente 30 % de todos os sistemas no mercado falharão e precisarão ser substituídos. Um valor do MTTFD de cada canal superior a 100 anos não é aceitável porque é conveniente que um SRP/CS para altos riscos não dependa da confiabilidade de componentes isolados. Para reforçar o SRP/CS contra falhas sistemáticas e aleatórias, recomenda-se que meios adicionais, como redundância e testes, sejam aplicados. Para ser praticável, o número de faixas foi restrito a três. A limitação do MTTFD dos valores de cada canal até um máximo de 100 anos refere-se a um único canal do SRP/CS que realiza a função de segurança. Valores do MTTFD mais altos podem ser utilizados para componentes individuais (ver Tabela D.1). NOTA 2 Presume-se que os limites indicados desta Tabela estejam dentro de uma tolerância de 5 %. Para estimativa do MTTFD de um componente, os dados devem ser encontrados de acordo com o seguinte procedimento hierárquico: a) utilizar dados do fabricante; b) utilizar métodos dos Anexos C e D; c) escolher dez anos. 4.5.3 Cobertura de diagnóstico (DC) O valor da DC é dado em quatro níveis (ver Tabela 5). Para a estimativa de DC, na maioria dos casos, a análise dos modos e efeitos de falha (FMEA, ver IEC 60812) ou métodos similares podem ser utilizados. Neste caso, todos os defeitos e/ou modos de falha relevantes devem ser considerados. Para uma abordagem simplificada para estimativa de DC, ver Anexo E. NOTA Exemplos de estimativa de cobertura de diagnóstico (DC) são dados no Anexo E. NÃO TEM VALOR NORMATIVO 19/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Tabela 5 – Cobertura de diagnóstico (DC) DC Designação Faixa Nenhuma DC < 60 % Baixa 60 % ≤ DC < 90 % Média 90 % ≤ DC < 99 % Alta 99 % ≤ DC NOTA 1 Para um SRP/CS composto por diversas partes, um valor médio DCavg para DC é utilizado na Figura 5, Seção 6 e E.2. NOTA 2 A escolha da faixa de DC é baseada nos valores-chave de 60 %, 90 % e 99 %, também estabelecidos em outras Normas (por exemplo, IEC 61508) que aborda cobertura de diagnóstico de teste. Estudos mostram que (1 – DC) em vez do próprio DC é uma medida característica para a efetividade do teste. (1 – DC) para os valores-chave de 60 %, 90 % e 99 % forma um tipo de escala logarítmica apropriada à escala logarítmica do PL. Um valor de DC inferior a 60 % tem efeito inexpressivo sobre a confiabilidade do sistema testado e é portanto denominado como “nenhuma”. Um valor de DC superior a 99 % para sistemas complexos é muito difícil de atingir. Para ser praticável, o número de faixas foi restrito a quatro. Presume-se que os limites indicados nesta Tabela estejam dentro de uma tolerância de 5 %. 4.5.4 Procedimento simplificado para estimativa do PL O PL pode ser estimado levando-se em consideração todos os parâmetros relevantes e os métodos apropriados para cálculo (ver 4.5.1). Esta Seção descreve um procedimento simplificado para estimar o PL de um SRP/CS com base em arquiteturas designadas. Algumas outras arquiteturas com estrutura similar podem ser transformadas para estas estruturas designadas a fimde que uma estimativa do PL seja obtida. As arquiteturas designadas são representadas como diagramas de blocos e são definidas para cada categoria. Informações sobre o método de blocos e diagramas de blocos relacionados à segurança são dados em 6.2 e Anexo B. As arquiteturas designadas mostram uma representação lógica da estrutura do sistema para cada categoria. A realização técnica ou, por exemplo, o diagrama de circuito funcional, pode parecer completamente diferente. As arquiteturas designadas são representadas para o SRP/CS combinado, começando pelos pontos onde os sinais relacionados à segurança são iniciados e terminando na saída dos elementos de controle de potência (ver também ABNT NBR ISO 12100:2013, Anexo A). As arquiteturas designadas também podem ser utilizadas para descrever uma parte ou subparte de um sistema de comando que responde a sinais de entrada e gera sinais de saída relacionados à segurança. Assim, o elemento “entrada” pode representar, por exemplo, uma cortina de luz (AOPD), bem como os circuitos de entrada dos elementos lógicos de controle ou chaves de entrada. “Saída” também pode representar, por exemplo, um dispositivo de comutação do sinal de saída (OSSD) ou saídas de scanners a laser. Para as arquiteturas designadas, serão consideradas as seguintes premissas: — tempo de missão, 20 anos (ver Seção 10); NÃO TEM VALOR NORMATIVO20/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 — taxas de falha constante dentro do tempo de missão; — para a categoria 2, taxa de demanda ≤ 1/100 da taxa de teste (ver também, nota no Anexo K); ou testes devem ocorrer imediatamente após a demanda da função de segurança, e o tempo total para detecção da falha de modo a levar a máquina à uma condição segura (usualmente a parada da máquina) for menor que o tempo para alcançar a fonte de perigo (ver ISO 13855); — para a categoria 2, MTTFD, do canal de testes deve ser maior que metade do MTTFD, do canal relativo à função de segurança. A metodologia considera as categorias como arquiteturas com DCavg definida. O PL de cada SRP/ CS depende da arquitetura, do tempo médio para falha perigosa (MTTFD) em cada canal e da DCavg. Convém que as falhas de causa comum (CCF) sejam levadas em consideração (para orientação, ver Anexo F). Para SRP/CS com software, os requisitos de 4.6 devem ser aplicados. Se não houver dados quantitativos disponíveis ou se não forem aplicáveis (por exemplo, sistemas de baixa complexidade), convém que o pior caso de todos os parâmetros relevantes seja escolhido. Uma combinação de SRP/CS ou uma única SRP/CS pode ter um PL. A combinação de diversas SRP/CS com diferentes PL é considerada em 6.3. No caso de aplicações com PLr a até c, medidas para evitar falhas podem ser suficientes; para aplicações de maior risco, PLr d até e, a estrutura da SRP/CS pode prover medidas para evitar, detectar ou tolerar os defeitos. Medidas práticas incluem redundância, diversidade, monitoramento (ver também ABNT NBR ISO 12100:2013, Seção 3, e IEC 60204-1:2005). A Figura 5 mostra o procedimento para a seleção de categorias em combinação com o MTTFD de cada canal e DCavg para atingir o PL requerido da função de segurança. Para a estimativa do PL, a Figura 5 apresenta as diferentes combinações possíveis de categoria com DCavg (eixo horizontal) e o MTTFD de cada canal (barras). As barras no diagrama representam as três faixas de MTTFD de cada canal (baixa, média e alta) que podem ser selecionadas para atingir o PL requerido. Antes de utilizar esta abordagem simplificada com a Figura 5 (que representa os resultados de dife- rentes modelos de Markov com base em arquiteturas designadas da Seção 6), a categoria do SRP/CS bem como DCavg e o MTTFD de cada canal devem ser determinados (ver Seção 6 e Anexos C a E). Para as categorias 2, 3 e 4, medidas suficientes contra falhas de causa comum devem ser realizadas (para orientação, ver Anexo F). Levando esses parâmetros em consideração, a Figura 5 provê um método gráfico para determinar o PL, atingido pelo SRP/CS. A combinação de categoria (incluindo falha de causa comum) e DCavg determina qual coluna da Figura 5 é para ser escolhida. De acordo com o MTTFD de cada canal, uma das três diferentes áreas sombreadas da respectiva coluna deve ser escolhida. A posição vertical desta área determina o PL atingido, que pode ser lida a partir do eixo vertical. Se a área abrange dois ou três PL possíveis, o PL atingido é dado na Tabela 6. Para uma seleção numérica mais precisa de PL, dependendo do valor preciso do MTTFD de cada canal, ver Anexo K. NÃO TEM VALOR NORMATIVO 21/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 DCavg nenhuma Categoria B DCavg nenhuma Categoria 1 DCavg baixa Categoria 2 DCavg média Categoria 2 DCavg baixa Categoria 3 DCavg média Categoria 3 DCavg alta Categoria 4 PL a b c d 1 e 2 3 Legenda PL nível de desempenho 1 MTTFD de cada canal = baixo 2 MTTFD de cada canal = médio 3 MTTFD de cada canal = alto Figura 5 – Relação entre categorias, DCavg, MTTFD de cada canal e PL Tabela 6 – Procedimento simplificado para avaliar o PL atingido pelo SRP/CS Categoria B 1 2 2 3 3 4 DCavg nenhuma nenhuma baixa média baixa média alta MTTFD de cada canal Baixo a Não abrangido a b b c Não abrangido Médio b Não abrangido b c c d Não abrangido Alto Não abrangido c c d d d e 4.5.5 Descrição da saída de uma SRP/CS por categoria Se para componentes mecânicos, hidráulicos ou pneumáticos (ou um componente que mistura diversas tecnologias) não houver dados de confiabilidade específicos para a aplicação, o fabricante da máquina deve avaliar os aspectos quantitativos do PL sem nenhum cálculo de MTTFD. Para estes casos, o nível de performance relacionado à segurança (PL) é implementado por meio da arquitetura, do diagnóstico e medidas contra CCF. NÃO TEM VALOR NORMATIVO22/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 A Tabela 7 mostra a relação entre o PL atingível (correspondente à Figura 5) e as categorias. PLa e PLb podem ser implementados com categoria B. PL c pode ser implementado com categoria 1 ou 2, se componentes testados e princípios de segurança forem utilizados. Quando implementada uma função de segurança PL c com categoria 1, o valor de T10D dos componentes relacionados à segurança não são monitorados no processo, são determinados. Este valor de T10D pode ser determinado com base em dados de teste em uso pelo fabricante da máquina. O MTTFD do canal testado, em categoria 2, deve ser de no mínimo 10 (dez) anos. Um PL d pode ser implementado com categoria 3, se componentes testados e princípios de segu- rança forem utilizados. Um PL e pode ser implementado com categoria 4, se componentes testados e princípios de segu- rança forem utilizados. Basicamente: Na implementação de funções de segurança com categoria 2, 3 ou 4, falhas de causa comum (CCF) e um diagnóstico de falhas (DC) suficientes tem que ser considerado (baixo, médio para categoria 2 e 3, alto para categoria 4). Neste caso, o cálculo do DCavg é reduzido para a média aritmética dos valores de DC de todos os componentes individuais que compõem o canal funcional. Tabela 7 – PL e PFHD estimado como pior caso, baseado em categoria, DCavg, e uso de componentes testados PFHD (1/h) Cat. B Cat. 1 Cat. 2 Cat. 3 Cat. 4 PL a 2 × 10-5 ● 0 0 0 0 PL b 5 × 10-6 ● 0 0 0 0 PL c 1,7 × 10-6 – ● 2* ● 1* 0 0 PL d 2,9 × 10-7 – – – ● 1* 0 PL e 4,7 × 10-8 – – – – ● 1* ● Categoria apontada é recomendada. 0 Categoria apontada é opcional. – Categoria apontada não é permitida. 1* Testado em uso (ver 3.1.39) ou componentes testados (confirmados pelo fabricante do componente que são apropriados para a aplicação em particular) e princípios de segurança devem ser usados. 2* componentes testados e princípios de segurança devem ser usados.Para componentes relacionados à segurança que não sejamo monitorados pelo processo, o valor de T10D pode ser determinado com base em dados de teste em uso providos pelo fabricante. NÃO TEM VALOR NORMATIVO 23/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 4.6 Requisitos de segurança do software 4.6.1 Generalidades Todas as atividades do ciclo de vida do software embarcado ou de aplicação relacionado à segurança devem considerar primordialmente a prevenção de defeitos introduzidos durante o ciclo de vida do software (ver Figura 6). O objetivo principal dos seguintes requisitos é ter um software legível, compreensível, que possa ser testado e de fácil manutenção. Especificação das funções de segurança Projeto do sistema Projeto do módulo Teste do módulo Teste de integração ValidaçãoValidação Resultado Verificação Codificação Especificação do software relacionado à segurança Software validado NOTA O Anexo J provê recomendações mais detalhadas para as atividades do ciclo de vida. Figura 6 – Modelo V simplificado do ciclo de vida de segurança do software 4.6.2 Software embarcado relacionado à segurança (SRESW) Para SRESW para componentes com PLr a até d, as seguintes medidas básicas devem ser aplicadas: — ciclo de vida de segurança do software com atividades de verificação e validação, ver Figura 6; — documentação da especificação e projeto; — projeto e codificação modular e estruturada; — controle de falhas sistemáticas (ver G.2); — onde utilizadas medidas com base em software para controle de falhas aleatórias de hardware, verificação da implementação correta; — testes funcionais, por exemplo, teste de caixa preta; — atividades apropriadas do ciclo de vida de segurança do software após as modificações. NÃO TEM VALOR NORMATIVO24/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Para SRESW para componentes com PLr c ou d, as seguintes medidas adicionais devem ser aplicadas: — sistema de gestão de projetos e de gestão de qualidade comparáveis, por exemplo, à IEC 61508 ou à ABNT NBR ISO 9001; — documentação de todas as atividades relevantes durante o ciclo de vida de segurança do software; — gerenciamento da configuração para identificar todos os itens de configuração e documentos relacionados a uma versão do SRESW disponibilizada; — especificação estruturada com os requisitos de segurança e projeto; — uso de linguagens de programação adequadas e ferramentas computadorizadas confiáveis para o uso; — programação modular e estruturada, separação em software não relacionado à segurança, tamanhos de módulo limitados com interfaces completamente definidas, uso de normas de projeto e codificação; — verificação da codificação por verificação geral/revisão com a análise de fluxo de controle; — testes funcionais estendidos, por exemplo, teste de caixa cinza, ensaios de desempenho ou simulação; — análise de impacto e atividades apropriadas do ciclo de vida de segurança do software após as modificações. O SRESW para componentes com PLr = e deve atender à IEC 61508-3:1998, Seção 7, apropriada para SIL 3. Ao utilizar a diversidade na especificação, projeto e codificação, para os dois canais utilizados em SRP/CS com categoria 3 ou 4, PLr = e pode ser atingido com as medidas mencionadas acima para PLr de c ou d. NOTA 1 Para uma descrição detalhada destas medidas, ver, por exemplo, a IEC 61508-7:2000. NOTA 2 Para SRESW com diversidade em projeto e codificação, para componentes utilizados em SRP/CS com categoria 3 ou 4, o esforço envolvido na adoção de medidas para evitar falhas sistemáticas pode ser reduzido, por exemplo, pela revisão das partes do software somente considerando aspectos estruturais em vez de verificar cada linha de código. Para componentes cujos requisitos SRESW não forem atendidos, por exemplo, CLP sem conotação de segurança indicada pelo fabricante, estes componentes podem ser usados mediante às seguintes condições alternativas: — a SRP/CS é limitada ao PL a ou PL b e utiliza as categorias B, 2 ou 3; — a SRP/CS é limitada ao PL c ou PL d e deve utilizar componentes múltiplos para dois canais em categoria 2 ou 3. Os componentes utilizados nestes dois canais utilizam tecnologias diversificadas. 4.6.3 Software de aplicação relacionado à segurança (SRASW) O ciclo de vida de segurança do software (ver Figura 6) também aplica-se ao SRASW (ver Anexo J). SRASW escrito em LVL e que atende aos seguintes requisitos pode atingir um PL de a até e. Se o SRASW é escrito em FVL, os requisitos para SRESW devem aplicar-se, e o PL de a até e é atingível. NÃO TEM VALOR NORMATIVO 25/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 Se uma parte do SRASW dentro de um componente tiver qualquer impacto (por exemplo, devido à sua modificação) em diversas funções de segurança com PL diferente, então os requisitos relacionados ao PL mais alto devem ser aplicados. Para SRASW para componentes com PLr de a até e, as seguintes medidas básicas devem ser aplicadas: — ciclo de vida de desenvolvimento com atividades de verificação e validação, ver Figura 6; — documentação da especificação e projeto; — programação modular e estruturada; — testes funcionais; — atividades apropriadas de desenvolvimento após as modificações. Para SRASW para componentes com PLr de c até e, as seguintes medidas adicionais com o aumento da eficiência (menor efetividade para PLr de c, efetividade média para PLr de d, maior efetividade para PLr de e) são requeridas ou recomendadas. a) A especificação do software relacionado à segurança deve ser revisada (ver também Anexo J), disponibilizada para cada pessoa envolvida no ciclo de vida e conter a descrição de: 1) funções de segurança com PL requerido e modos de operação associados, 2) critérios de desempenho, por exemplo, tempos de reação, 3) arquitetura do hardware com interfaces de sinal externo, e 4) detecção e controle de falha externa. b) Seleção de ferramentas, bibliotecas, línguagens: 1) Ferramentas adequadas, confiáveis, de uso consagrado: para PL = e atingido com um componente e sua ferramenta, a ferramenta deve atender à norma de segurança apropriada; se dois componentes diversos com ferramentas diversas forem utilizados, a confiança do uso pode ser suficiente. Características técnicas que detectam condições que possam causar erro sistemático (como, incompatibilidade do tipo de dados, alocação de memória dinâmica ambígua, interfaces de chamada incompletas, recursividade, aritmética de ponteiro) devem ser utilizadas. Convém que as checagens sejam realizadas principalmente durante o tempo de compilação e não somente no tempo de execução do programa. Convém que as ferramentas executem subconjuntos de linguagem e diretrizes de codificação ou que pelo menos supervisionem ou orientem o desenvolvedor para utilizá-las. 2) Sempre que for possível e razoável, convém que bibliotecas validadas de blocos de função (FB) sejam utilizadas – bibliotecas de FB relacionadas à segurança providas pelo fabricante da ferramenta (altamente recomendado para PL = e) ou bibliotecas de FB validadas específicas da aplicação e de acordo com esta Parte da ABNT NBR ISO 13849. 3) Convém que um subconjunto-LVL justificado adequado para uma abordagem modular seja utilizado, por exemplo, subconjunto aceito de linguagens IEC 61131-3. Linguagens gráficas (por exemplo, diagrama de blocos de função, diagrama de contatos) são altamente recomendadas. NÃO TEM VALOR NORMATIVO26/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 c) O projeto do software deve caracterizar: 1) os métodos semiformais para descrever dados e fluxo de controle, por exemplo, diagrama de estado ou fluxograma do programa, 2) a programação modular e estruturada predominantemente realizada por blocosde função derivados das bibliotecas de blocos de função validados relacionados à segurança, 3) os blocos de função de tamanho limitado de codificação, 4) a execução do código dentro dos blocos de função, que tenham um ponto de entrada e um ponto de saída, 5) o modelo de arquitetura de três estágios, Entradas ⇒ Processamento ⇒ Saídas (ver Figura 7 e Anexo J), 6) a designação de uma saída de segurança em somente um local do programa, e 7) o uso de técnicas para detecção de falha externa e para programação defensiva com entrada, processamento e blocos de saída que levem a um estado seguro. Entradas SaídasProcessamento Blocos de entrada Bloco de processamento Aquisição de informações dos vários sensores de segurança por entradas de segurança Blocos de saída Controle dos atuadores por saídas de segurança Processamento requerido para realizar as funções de segurança que levam a um estado seguro Figura 7 – Modelo geral de arquitetura de software d) Quando SRASW e não SRASW são combinados em um componente: 1) SRASW e não-SRASW devem ser codificados em blocos de função diferentes com ligações de dados bem definidas; 2) não pode haver combinação lógica de dados não relacionados à segurança e relacionados à segurança que possam levar à degradação da integridade dos sinais relacionados à segurança, por exemplo, combinando sinais relacionados à segurança e não relacionados à segurança por uma lógica “OU” onde o resultado controla os sinais relacionados à segurança. e) Implementação/codificação do software: 1) o código deve ser legível, compreensível e testável e, devido a isso, convém que sejam utilizadas variáveis simbólicas (em vez de endereços de hardware explícitos); 2) diretrizes de codificação justificadas ou aceitas devem ser utilizadas (ver também Anexo J); 3) deve-se utilizar a integridade dos dados e verificações de plausibilidade (por exemplo, checagens por intervalo) disponíveis na camada da aplicação (programação defensiva); NÃO TEM VALOR NORMATIVO 27/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 4) convém que o código seja testado por simulação; 5) a verificação deve ser por controle e análise do fluxo de dados para PL = d ou e. f) Testes: 1) o método de validação apropriado é o teste da caixa preta do comportamento funcional e critérios de desempenho (por exemplo, desempenho de tempo); 2) para PL = d ou e, é recomendado a execução de teste de caso (test case execution) a partir da análise de valor limite; 3) planejamento de teste é recomendado e deve incluir teste de casos (test cases) com os critérios de conclusão e as ferramentas requeridas; 4) os testes de I/O devem assegurar que os sinais relacionados à segurança sejam utilizados corretamente dentro do SRASW. g) Documentação: 1) todas as atividades do ciclo de vida e de modificação devem ser documentadas; 2) a documentação deve estar completa, disponível, legível e compreensível; 3) a documentação do código dentro do texto fonte deve conter cabeçalhos dos módulos com o reponsável legal, a descrição funcional e a descrição de I/O, versão do código, versão da biblioteca de blocos de função utilizados, comentários suficientes de rotinas, subrotinas, declarações e linhas de programa. h) Verificação 1 EXEMPLO Revisão, inspeção, verificação geral ou outras atividades apropriadas. i) Gerenciamento da configuração É altamente recomendável que os procedimentos e o backup de dados sejam estabelecidos para identificar e arquivar documentos, módulos de software, resultados de verificação/validação e configuração da ferramenta, relacionados a uma versão específica do SRASW. j) Modificações Após as modificações do SRASW, uma análise de impacto deve ser realizada para assegurar a especificação. Atividades apropriadas ao ciclo de vida devem ser realizadas após as modificações. Os direitos de acesso às modificações devem ser controlados e o histórico das modificações documentado. NOTA A modificação não afeta os sistemas já em uso. 1 A verificação é necessária apenas para código específico da aplicação e não para funções de biblioteca validadas. NÃO TEM VALOR NORMATIVO28/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 4.6.4 Parametrização baseada em software A determinação de parâmetros relacionados à segurança baseada em software deve ser considerada como um aspecto relacionado à segurança de projeto da SRP/CS a ser descrito na especificação dos requisitos de segurança de software. A parametrização deve ser realizada utilizando uma ferramenta de software dedicada provida pelo fornecedor da SRP/CS. Esta ferramenta deve ter sua própria identificação (nome, versão etc.) e deve evitar modificações não autorizadas, por exemplo, pelo uso de uma senha. A integridade de todos os dados utilizados para a parametrização deve ser mantida. Isto deve ser obtido aplicando-se medidas para — controlar a faixa de entradas válidas, — controlar a adulteração de dados antes da transmissão, — controlar os efeitos de erros no processo de transmissão do parâmetro, — controlar os efeitos de transmissão de parâmetro incompleta, e — controlar os efeitos de defeitos e falhas de hardware e software da ferramenta utilizada para parametrização. A ferramenta de parametrização deve atender a todos os requisitos relativos à SRP/CS, de acordo com esta Parte da ABNT NBR ISO 13849. Alternativamente, um procedimento especial deve ser utilizado para configurar os parâmetros relacionados à segurança. Este procedimento deve incluir a confirmação de parâmetros de entrada na SRP/CS por — retransmissão dos parâmetros modificados para a ferramenta de parametrização, ou — outros meios adequados de confirmação da integridade dos parâmetros, bem como confirmação subsequente, por exemplo, por uma pessoa devidamente habilitada e por meio de uma verificação automática por meio de uma ferramenta de parametrização. NOTA 1 Isto é de importância especial quando a parametrização é realizada utilizando um dispositivo não especificamente destinado para esta finalidade (por exemplo, computador pessoal ou equivalente). Os módulos do software utilizados para codificação/decodificação dentro do processo de transmissão/ retransmissão e, os módulos do software utilizados para visualização dos parâmetros relacionados à segurança pelo usuário devem no mínimo utilizar diversidade na(s) função(ões) para evitar falhas sistemáticas. A documentação da parametrização baseada em software deve indicar os dados utilizados (por exemplo, conjuntos de parâmetros predefinidos) e as informações necessárias para identificar os parâmetros associados à SRP/CS e à(s) pessoa(s) que realiza(m) a parametrização, juntamente com outras informações relevantes, tais como data de parametrização. As seguintes atividades de verificação devem ser aplicadas para parametrização baseada em software: — verificação da configuração correta para cada parâmetro relacionado à segurança (valores mínimo, máximo e representativos); — verificação de que os parâmetros relacionados à segurança são checados quanto à plausibi- lidade, por exemplo, pelo uso de valores inválidos etc.; NÃO TEM VALOR NORMATIVO 29/97 P ro je to e m C on su lta N ac io na l ABNT/CB-004 PROJETO ABNT NBR ISO 13849-1 FEV 2019 — verificação de que a modificação não autorizada dos parâmetros relacionados à segurança é evitada; — verificação de que os dados/sinais para parametrização são gerados e processados de tal forma que os defeitos não sejam capazes de levar a uma perda da função de segurança. NOTA 2 Isto é de importância especial quando a parametrização é realizada utilizando um dispositivo não especificamente destinado para esta finalidade (por exemplo, computador pessoal ou equivalente). 4.7 Verificação de correspondência do PL atingido com o PLr Para cada função de segurança individual, o PL da SRP relacionado
Compartilhar