ABNT-NBR-ISO-13849-1-pdf

Prévia do material em texto

ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Segurança de máquinas — Partes de sistemas de comando relacionadas 
à segurança 
Parte 1: Princípios gerais de projeto
APRESENTAÇÃO
1) Este Projeto foi elaborado pela Comissão de Estudo Segurança de Máquinas de Uso Geral 
(CE-004:026.001) do Comitê Brasileiro de Máquinas e Equipamentos Mecânicos (ABNT/CB-004), 
com número de Texto-Base 004:026.001-005/1, nas reuniões de:
13.08.2013 24.02.2016 29.03.2017
28.08.2013 25.02.2016 26.04.2017
25.09.2013 25.03.2016 24.05.2017
30.10.2013 30.03.2016 29.06.2017
27.11.2013 27.04.2016 26.07.2017
18.12.2013 25.05.2016 30.08.2017
29.01.2014 27.07.2016 27.09.2017
26.02.2014 29.07.2016 25.10.2017
26.03.2014 26.08.2016 29.11.2017
23.04.2014 30.08.2016 13.12.2017
28.05.2014 24.09.2016 17.01.2018
25.06.2014 30.09.2016 28.01.2018
30.07.2014 28.10.2016 28.02.2018
27.08.2014 28.10.2016 28.03.2018
24.09.2014 26.11.2016 24.04.2018
29.10.2014 14.12.2016 23.05.2018
26.11.2014 16.12.2016 20.06.2018
17.12.2014 18.01.2017
20.01.2016 22.02.2017
© ABNT 2019
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada 
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem 
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet 
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
a) é previsto para cancelar e substituir a ABNT NBR 14153:1998, quando aprovado, sendo 
que nesse ínterim a referida norma continua em vigor;
b) é previsto para ser idêntico à ISO 13849-1:2015, que foi elaborada pelo Technical 
Committee Safety of machinery (ISO/TC 199), conforme ISO/IEC Guide 21-1:2005;
c) não tem valor normativo.
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta 
informação em seus comentários, com documentação comprobatória.
3) Tomaram parte na sua elaboração, participando em no mínimo 30 % das reuniões realizadas 
sobre o Texto-Base e aptos a deliberarem na Reunião de Análise da Consulta Nacional:
Participante Representante
ACE SCHMERSAL José Amauri Martins
ACE SCHMERSAL Justiniano Vieira Lima Junior
BOSCH REXROTH Makoto Yokoyama
DIGIMEC Roberto Bilevic
EUCHNER Paulo Umeda
FESTO Myrian Reis
FUNDACENTRO Roberto do V. Giuliano
GALAXIA Ronaldo Gabriel dos Santos
MANUALTECH Luis Carlos Davenienne de Almeida
MTB Aida Becker
MTB Anildo de Oliveira Passos Jr.
MTB Hildeberto B. Nobre Jr.
MTB Ricardo Silveira da Rosa
OMRON Renato Ozaki
OMRON Carla Haddad
PILZ João Paulo Vaz
REER Hamilton Sakamoto
SCHNEIDER Erico Grano
SENAI - GO Joel Mario de Souza
SICK Marcio Liron Damelio
SIEMENS Fernando G. Capuzzo
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
SIEMENS Lais Rodrigues Misko
SINDIPEÇAS José Carlos de Freitas
SMC Jeferson Aidar
TÜV RHEINLAND Lucas B. Lazzarine
TÜV RHEINLAND Robynson Molinari
TÜV RHEINLAND Victor Marquesim
USIFORMA Rodolpho Godoy
VOITH PAPER Jorge Luiz gomes
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Segurança de máquinas — Partes de sistemas de comando relacionadas 
à segurança 
Parte 1: Princípios gerais de projeto
Safety of machinery — Safety-related parts of control systems 
Part 1: General principles for design
Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. 
As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), 
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais 
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas 
no tema objeto da normalização.
Os Documentos Técnicos Internacionais são adotados conforme as regras da ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais 
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados 
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos. 
Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras 
datas para exigência dos requisitos desta Norma.
A ABNT NBR ISO 13849-1 foi elaborada no Comitê Brasileiro de Máquinas e Equipamentos Mecânicos 
(ABNT/CB-004), pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001). 
O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 13849-1:2015, 
que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199), conforme 
ISO/IEC Guide 21-1:2005.
Esta Norma, sob o título geral “Segurança de máquinas – Partes de sistemas de comando relacionadas 
à segurança”, tem previsão de conter as seguintes partes:
 — Parte 1: Princípios gerais de projeto;
 — Parte 2: Validação.
O Escopo em inglês desta Norma Brasileira é o seguinte:
Scope
This document provides safety requirements and guidance on the principles for the design and 
integration of safety-related parts of control systems (SRP/CS), including the design of software. 
For these parts of SRP/CS, it specifies characteristics that include the performance level required 
for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy 
used (electrical, hydraulic, pneumatic, mechanical etc.), for all kinds of machinery.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
It does not specify the safety functions or performance levels that are to be used in a particular case.
This document provides specific requirements for SRP/CS using programmable electronic system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. 
Nevertheless, the principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, 
PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such 
products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, 
ISO 13856-1 and ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ABNT NBR ISO 13849 for programmable electronic 
systems are compatible with the methodology for the design and development of safety-related electrical, 
electronic and programmable electronic control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PLr = e see IEC 61508-3:1998, Clause 7.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Introdução
A estrutura das normas de segurança no campo das máquinas é a seguinte.
 a) Normas do tipo A (normas básicas) proveem conceitos básicos, princípios de projeto e aspectos 
gerais que podem ser aplicados às máquinas;
 b) Normas do tipo B (normas de segurança genéricas) abordam um ou mais aspectos de segurança, 
ou um ou mais tipos de dispositivos de segurança que podem ser utilizados em uma ampla 
variedade de máquinas:
 — as normas do tipo B1 sobre aspectos de segurança específicos (por exemplo, distâncias 
de segurança, temperatura da superfície, ruído);
 — as normas do tipo B2 sobre dispositivos de segurança (por exemplo, controles acionadospelas duas mãos, dispositivos de travamento, dispositivos sensíveis à pressão, proteções);
 c) Normas do tipo C (normas de segurança de máquinas) abordam requisitos de segurança 
detalhados para uma máquina ou grupo de máquinas específico.
Esta Parte da ABNT NBR ISO 13849 é uma norma do tipo B1 conforme declarado na 
ABNT NBR ISO 12100.
Este documento tem relevância, em particular, para os seguintes grupos da sociedade relacionados 
à segurança de máquinas:
 — fabricantes de máquinas (pequenas, médias e grandes empresas);
 — organismos de segurança e saúde (orgâos reguladores, de prevenção de acidentes de fisca-
lização etc.).
Outros grupos podem ser afetados pelo nível de segurança obtido em máquinas, mediante à aplicação 
desta Norma pelos grupos acima citados anteriormente, entre eles:
 — usuários de máquinas/empregadores (pequenas, médias e grandes empresas);
 — usuários de máquinas/operadores, empregados (órgãos reguladores, de prevenção de acidentes, 
de vigilância de mercado, etc.).
 — prestadores de serviços, por exemplo, de manutenção (pequenas, médias e grandes empresas);
 — consumidores (no caso, os que adquirem máquinas);
Os grupos mencionados anteriormente tiveram a possibilidade de participar do processo de construção 
deste documento.
Adicionalmente, este documento é destinado a organismos de normalização que elaboram normas 
tipo C.
Os requisitos deste documento podem ser suplementados ou modificados por uma norma tipo C.
Para máquinas cobertas pelo escopo de uma norma tipo C e que foram projetadas ou construídas 
de acordo com os requisitos desta Norma, os requisitos da norma tipo C prevalecem.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Quando as disposições de uma norma do tipo C forem diferentes das que são declaradas nas normas 
do tipo A ou tipo B, as disposições da norma do tipo C prevalecem sobre as disposições das outras 
normas para máquinas que foram projetadas e construídas de acordo com as disposições da norma 
do tipo C.
Esta Parte da ABNT NBR ISO 13849 destina–se a prover orientação aos envolvidos no projeto e 
avaliação de sistemas de comando e aos Comitês Técnicos que preparam as normas do tipo B2 ou 
tipo C que são consideradas em conformidade com os Requisitos Essenciais de Segurança do Anexo I 
da Diretiva 2006/42/EC, a Diretiva de Máquinas. Este documento da ABNT NBR ISO 13849 não provê 
orientação específica para conformidade com outras diretivas EC.
Como parte da estratégia total da redução de risco em uma máquina, um projetista muitas vezes optará 
por atingir alguma medida de redução de risco por meio da aplicação de dispositivos de segurança 
que empregam uma ou mais funções de segurança.
Partes dos sistemas de comando de máquinas que são atribuídas para prover funções de segurança 
são chamadas de partes de sistemas de comando relacionadas à segurança (SRP/CS) e estas podem 
consistir em hardware e software e podem ser separadas do sistema de comando da máquina ou 
uma parte integrante deste. Além de prover funções de segurança, a SRP/CS pode também prover 
funções operacionais (por exemplo, controles acionados pelas duas mãos como meio de inicialização 
do processo).
A capacidade das partes de sistemas de comando relacionadas à segurança em realizar uma função 
de segurança sob condições previsíveis é atribuída em cinco níveis, chamados de níveis de desem-
penho (PL). Esses níveis de desempenho são definidos em termos da probabilidade de falha perigosa 
por hora (ver Tabela 2).
A probabilidade de falha perigosa da função de segurança depende de vários fatores, incluindo a 
estrutura de hardware e software, a extensão dos mecanismos de detecção de defeitos [cobertura 
de diagnóstico (DC)], confiabilidade dos componentes [tempo médio até falha perigosa (MTTFD), 
falha de causa comum (CCF)], processo de projeto, tensão de operação, condições ambientais e 
procedimentos de operação.
A fim de auxiliar o projetista e facilitar a avaliação do PL atingido, este documento emprega uma 
metodologia com base na categorização de estruturas de acordo com critérios de projeto específicos 
e comportamentos especificados sob condições de defeito. Estas categorias são atribuídas em cinco 
níveis, denominados Categorias B, 1, 2, 3 e 4.
Os níveis de desempenho e as categorias podem ser aplicados às partes de sistemas de comando 
relacionadas à segurança, como
 — dispositivos de proteção (por exemplo, dispositivos de controle acionados pelas duas mãos, 
dispositivos de intertravamento), dispositivos de proteção eletrossensíveis (por exemplo, barreiras 
fotoelétricas), dispositivos sensíveis à pressão
 — unidades de controle (por exemplo, uma unidade lógica para funções de controle, processamento 
de dados, monitoramento, etc.) e
 — elementos de controle de potência (por exemplo, relés, válvulas etc.),
bem como os sistemas de comando que exercem funções de segurança em todos os tipos de 
máquinas – das simples (por exemplo, pequenas máquinas de cozinha, ou portas e portões automáticos) 
até as instalações industriais (por exemplo, máquinas de embalagem, máquinas de impressão, prensas).
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Esta Parte da ABNT NBR ISO 13849 destina-se a prover uma base clara sobre a qual, o projeto e 
desempenho de qualquer aplicação da SRP/CS (e a máquina) podem ser avaliados, por exemplo, por 
um terceiro, na própria fábrica ou por uma entidade de ensaios independente.
Informações	 sobre	 a	 recomendação	 de	 aplicação	 da	 IEC	 62061	 e	 esta	 Parte	 da 
ABNT NBR ISO 13849
A IEC 62061 e esta Parte da ABNT NBR ISO 13849 especificam requisitos para o projeto e imple-
mentação de sistemas de comando relacionados à segurança de máquinas. O uso de qualquer uma 
dessas Normas, em conformidade com os seus respectivos escopos permite presumir o atendimento 
aos requisitos de segurança essenciais relevantes. A norma ISO/TR 23849 oferece um guia para 
aplicação desta Parte da ABNT NBR ISO 13849 e da IEC 62061 no projeto de partes relacionadas 
a sistemas de controle de segurança em máquinas.
Assim como a norma ISO/TR 23849, a norma ISO/TR 22100-2 foi adicionada à lista de referências 
normativas dadas na Seção 2 – dada a sua importância na compreenção da relação entre as partes 
das normas ABNT NBR ISO 13849 e ABNT NBR ISO 12100.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Segurança de máquinas — Partes de sistemas de comando relacionadas 
à segurança 
Parte 1: Princípios gerais de projeto
1 Escopo
Esta Parte da ABNT NBR ISO 13849 provê os requisitos de segurança e orientação sobre os princípios 
de projeto e integração de partes de sistemas de comando relacionadas à segurança (SRP/CS), 
incluindo o projeto de software. Para essas partes da SRP/CS, esta Norma especifica as características 
que incluem o nível de desempenho (PL) requerido para realizar funções de segurança. Esta Parte da 
ABNT NBR ISO 13849 aplica-se a SRP/CS para alta demanda e modo contínuo, independentemente 
do tipo de tecnologia e energia utilizadas (elétrica, hidráulica, pneumática, mecânica, etc.), para todos 
os tipos de máquinas.
Esta Parte da ABNT NBR ISO 13849 não especifica as funções de segurança ou níveis de desem-
penho que devem ser utilizados em um caso específico.
Esta Parte da ABNT NBR ISO 13849 provê requisitos específicos para SRP/CS utilizando sistema(s) 
eletrônico(s) programável(eis).
Esta Parte da ABNT NBR ISO 13849 não provê requisitos específicos para o projeto de produtos que 
são partes da SRP/CS. No entanto, os princípios dados, como categorias ou níveis de desempenho, 
podem ser utilizados.
NOTA 1 Exemplos de produtos que são partes da SRP/CS: relés, válvulas solenoide, chaves de posição, 
PLC, unidades de controle de motor, dispositivos de controle bimanuais, equipamentosensível à pressão. 
Para o projeto destes produtos, é importante consultar as Normas específicas aplicáveis, por exemplo, 
ISO 13851, ISO 13856-1 e ISO 13856-2.
NOTA 2 Para a definição do nível de desempenho (PL) requerido, ver 3.1.24.
NOTA 3 Os requisitos apresentados neste documento da ABNT NBR ISO 13849 para sistemas eletrônicos 
programáveis são compatíveis com a metodologia do projeto e desenvolvimento de sistemas de comando 
elétrico, eletrônico e programável relacionados à segurança para máquinas, dada pela IEC 62061.
NOTA 4 Para software embarcado relacionado à segurança para componentes com PLr = e, 
ver IEC 61508-3:1998, Seção 7.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais, 
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições 
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento 
(incluindo emendas).
ABNT NBR ISO 12100:2013, Segurança de máquinas – Princípios gerais de projeto – Apreciação e 
redução de riscos
ABNT NBR ISO 13849-2, Segurança de máquinas – Partes de sistemas de comando relacionadas 
à segurança – Parte 2: Validação
NÃO TEM VALOR NORMATIVO 1/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
IEC 60050-191:1990, International electrotechnical vocabulary – Chapter 191: Dependability and 
quality of service. Amended by IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999
IEC 61508-3:2010, Functional safety of electrical/electronic/programmable electronic safety-related 
systems – Part 3: Software requirements. Corrected by IEC 61508-3/Cor.1:1999
IEC 61508-4:2010, Functional safety of electrical/electronic/programmable electronic safety-related 
systems – Part 4: Definitions and abbreviations. Corrected by IEC 61508-4/Cor.1:1999
IEC 62061:2012, Safety of machinery – Functional safety of safety-related electrical, electronic and 
programmable electronic control systems
ISO/TR 22100-2:2013, Safety of machinery – Relationship with ISO 12100 – Part 2: How ISO 12100 
relates to ISO 13849-1
ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-
related control systems for machinery
3 Termos,	definições,	símbolos	e	abreviaturas
3.1 Termos	e	definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 12100 e 
IEC 60050-191 e os seguintes.
3.1.1 
parte de um sistema de comando relacionada à segurança 
SRP/CS
parte de um sistema de comando que responde a sinais de entrada relacionados à segurança e gera 
sinais de saída relacionados à segurança
Nota 1 de entrada: As partes combinadas de um sistema de comando relacionadas à segurança começam 
no ponto onde os sinais de entrada relacionados à segurança são iniciados (incluindo, por exemplo, o came 
de atuação e o rolete do fim de curso) e terminam na saída dos elementos de controle de potência (incluindo, 
por exemplo, os contatos principais de um contator).
Nota 2 de entrada: Se sistemas de monitoramento forem utilizados para diagnóstico, estes também são 
considerados como SRP/CS.
3.1.2 
categoria
classificação das partes de um sistema de comando relacionadas à segurança em relação à sua 
resistência a falha e seu comportamento subsequente na condição de falha, e que é atingida pela 
disposição estrutural das partes, detecção da falha e/ou por sua confiabilidade
3.1.3 
defeito
estado de um item caracterizado pela incapacidade de realizar uma função requerida, excluindo a 
incapacidade durante a manutenção preventiva ou outras ações planejadas, ou devido à falta de 
recursos externos
Nota 1 de entrada: Um defeito é muitas vezes o resultado de uma falha do próprio item, porém pode existir 
sem falha prévia.
[FONTE: IEC 60050-191:1990, 05-01]
Nota 2 de entrada: Neste documento da ABNT NBR ISO 13849, “defeito” significa defeito aleatório.
NÃO TEM VALOR NORMATIVO2/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
3.1.4 
falha
término da capacidade de um item em realizar uma função requerida
Nota 1 de entrada: Após uma falha, o item apresenta um defeito.
Nota 2 de entrada: “Falha” é um evento, diferente do “defeito”, que é um estado.
Nota 3 de entrada: O conceito assim definido não é aplicado em elementos que consistam apenas em 
software.
Nota 4 de entrada: Estão fora do escopo deste documento da ABNT NBR ISO 13849 as falhas que somente 
afetam a disponibilidade do processo controlado.
[FONTE: IEC 60050-191:1990, 04-01]
3.1.5 
falha perigosa
falha que tem o potencial de colocar a SRP/CS em um estado perigoso ou incapaz de executar a 
função de segurança
Nota 1 de entrada: de entrada: A identificação do potencial pode depender da arquitetura de canais do 
sistema. Em sistemas redundantes, é menos provável que uma falha perigosa de hardware possa levar 
a um completo estado perigoso ou de comprometer a execução da função de segurança.
Nota 2 de entrada: Adaptado da IEC 61508-4:1998, 3.6.7.
3.1.6 
falha de causa comum 
CCF
falhas de itens diferentes, resultantes de um único evento, onde essas falhas não são consequências 
umas das outras
[FONTE: IEC 60050-191-am1:1999, 04-23]
Nota 1 de entrada: falhas de causa comum não devem ser confundidas com as falhas de modo comum 
(ver ABNT NBR ISO 12100:2013, 3.36).
3.1.7 
falha sistemática
falha relacionada de forma deterministica a uma determinada causa, a qual somente pode ser elimi-
nada por uma modificação do projeto ou do processo de fabricação, procedimentos operacionais, 
documentação ou outros fatores relevantes
Nota 1 de entrada: Manutenção corretiva sem modificação normalmente não elimina a causa da falha.
Nota 2 de entrada: Uma falha sistemática pode ser induzida por simulação da causa da falha.
Nota 3 de entrada: Exemplos de causas de falhas sistemáticas incluem o erro humano
 — na especificação dos requisitos de segurança,
 — no projeto, fabricação, instalação, operação do hardware, e
 — no projeto, implementação etc. do software.
[FONTE: IEC 60050-191:1990, 04-19]
NÃO TEM VALOR NORMATIVO 3/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
3.1.8 
muting
suspensão automática temporária de uma função ou funções de segurança pela SRP/CS
3.1.9 
rearme manual
função dentro da SRP/CS utilizada para restaurar manualmente uma ou mais funções de segurança 
antes de reiniciar uma máquina
3.1.10 
dano
lesão física ou prejuízo à saúde
[FONTE: ABNT NBR ISO 12100:2013, 3.5]
3.1.11 
perigo
fonte potencial de dano
Nota 1 de entrada: Um perigo pode ser qualificado a fim de definir sua origem (por exemplo, perigo mecânico, 
perigo elétrico) ou a natureza do dano potencial (por exemplo, perigo de choque elétrico, perigo de corte, 
perigo tóxico, perigo de incêndio).
Nota 2 de entrada: O perigo previsto nesta definição:
 — está permanentemente presente durante o uso devido da máquina (por exemplo, movimentação 
de elementos móveis perigosos, arco elétrico durante uma fase de soldagem, postura inadequada, 
emissão de ruído, alta temperatura);
 — ou pode aparecer inesperadamente (por exemplo, explosão, perigo de esmagamento em consequência 
de um comando inesperado ou não intencional, ejeção em consequência de ruptura, queda em conse-
quência de aceleração/desaceleração).
[FONTE: ABNT NBR ISO 12100:2013, 3.6]
3.1.12 
situação perigosa
circunstância na qual uma pessoa é exposta a pelo menos um perigo
Nota 1 de entrada: A exposição pode resultar em um dano imediatamente ou após um determinado período 
de tempo.
[FONTE: ABNT NBR ISO 12100: 2013, 3.10] 
3.1.13 
risco
combinação da probabilidade de ocorrência de um dano e da severidade deste
[FONTE: ABNT NBR ISO 12100:2013, 3.12]
3.1.14 
risco residual
risco remanescente após terem sido adotadas medidas de proteção
Nota 1 de entrada: Ver Figura 2.
[FONTE: ABNT NBR ISO 12100:2013, 3.13]
NÃO TEM VALOR NORMATIVO4/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
3.1.15 
apreciação de risco
processo completo que compreende a análise de risco e a avaliação de risco
[FONTE: ABNT NBR ISO 12100:2013, 3.17]
3.1.16 
análise de risco
combinação da especificação dos limites da máquina, identificação do perigo e estimativa de risco
[FONTE: ABNT NBR ISO 12100:2013, 3.15]
3.1.17 
avaliação de risco
julgamento, com base na análise de risco, considerando se os objetivos de redução de risco foram 
atingidos
[FONTE: ABNT NBR ISO 12100:2013, 3.16]
3.1.18 
uso devido de uma máquina
utilização da máquina de acordo com as informações contidas nas instruções de uso
[FONTE: ABNT NBR ISO 12100:2013, 3.23]
3.1.19 
mau uso razoavelmente previsível
utilização de uma máquina de uma maneira não prevista pelo projetista, porém que pode resultar 
de comportamento humano facilmente previsível
[FONTE: ABNT NBR ISO 12100:2013, 3.24]
3.1.20 
função de segurança
função da máquina cuja falha pode resultar em um aumento imediato do(s) risco(s)
[FONTE: ABNT NBR ISO 12100:2013, 3.30]
3.1.21 
monitoramento
função de segurança que assegura que uma medida de proteção é iniciada, caso a capacidade de 
um componente ou de um elemento em desempenhar sua função for diminuída, ou se as condições 
do processo são alteradas de tal forma que aumente o risco
3.1.22 
sistema eletrônico programável 
PES
sistema para controle, proteção ou monitoramento dependente para sua operação em um ou mais 
dispositivos eletrônicos programáveis, incluindo todos os elementos do sistema, como fontes de 
energia, sensores e outros dispositivos de entrada, contatores e outros dispositivos de saída
[FONTE IEC 61508-4:1998, 3.3.2, modificado]
NÃO TEM VALOR NORMATIVO 5/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
3.1.23 
nível de desempenho 
PL
nível discreto utilizado para especificar a capacidade das partes dos sistemas de comando relacio-
nadas à segurança em desempenhar uma função de segurança sob condições previsíveis
Nota 1 de entrada: Ver 4.5.1.
NOTA BRASILEIRA “Nivel de desempenho” é a expressão em Português equivalente à “Performance 
Level”
3.1.24 
nível de desempenho requerido 
PLr
nível de desempenho (PL) aplicado a fim de atingir a redução de risco requerida para cada função 
de segurança
Nota 1 de entrada: Ver Figuras 2 e A.1.
3.1.25 
tempo médio para falha perigosa 
MTTFD
expectativa do tempo médio até a falha perigosa
[FONTE: IEC 62061:2005, 3.2.34, modificado]
3.1.26 
cobertura	de	diagnóstico 
DC
medida da efetividade do diagnóstico, que pode ser determinada como a razão entre a taxa de falha 
das falhas perigosas detectadas e a taxa de falha das falhas perigosas totais
Nota 1 de entrada: A cobertura de diagnóstico pode existir para a totalidade ou partes de um sistema 
relacionado à segurança. Por exemplo, a cobertura de diagnóstico pode existir para sensores e/ou sistema 
lógico e/ou elementos finais.
[FONTE: IEC 61508-4:1998, 3.8.6, modificado]
3.1.27 
medida de proteção
medida destinada a atingir a redução de risco
EXEMPLO 1 Implementada pelo projetista: projeto inerente, medidas de segurança e proteção comple-
mentares e informações de uso.
EXEMPLO 2 Implementada pelo usuário: organização (procedimentos de segurança no trabalho, supervi-
são, sistemas de permissão de trabalho), prover o uso de dispositivos de segurança adicionais, equipa-
mentos de proteção individual, treinamento.
[FONTE: ABNT NBR ISO 12100:2013, 3.19, modificado]
NÃO TEM VALOR NORMATIVO6/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
3.1.28 
tempo de missão 
TM
período de tempo que abrange o uso devido de uma SRP/CS
3.1.29 
taxa de teste 
rt
frequência de testes automáticos para detectar falhas em uma SRP/CS, inversa ao valor do intervalo 
de teste de diagnóstico
3.1.30 
taxa de demanda 
rD
frequência de demandas para uma ação relacionada à segurança da SRP/CS
3.1.31 
taxa de reparo 
rr
inverso do valor do período de tempo entre a detecção de uma falha perigosa por um teste on-line 
ou mau funcionamento previsto do sistema e o reinício da operação após o reparo ou substituição 
do sistema/componente
Nota 1 de entrada: O tempo de reparo não inclui o período de tempo necessário para a detecção da falha.
3.1.32 
sistema de comando da máquina
sistema que responde aos sinais de entrada de partes dos elementos da máquina, operadores, 
equipamentos de comando externo ou qualquer combinação destes e que gera sinais de saída 
fazendo com que a máquina se comporte da maneira devida
Nota 1 de entrada: O sistema de comando da máquina pode utilizar qualquer tecnologia ou qualquer 
combinação de diferentes tecnologias (por exemplo, elétrica/eletrônica, hidráulica, pneumática, mecânica).
3.1.33 
nível de integridade de segurança 
SIL
nível discreto (um de quatro possíveis) para especificar os requisitos de integridade de segurança 
das funções de segurança a serem atribuídas a sistemas relacionados à segurança E/E/PE (elétrica/
eletrônica/eletrônica programável), onde o nível 4 de integridade de segurança é o nível mais alto e o 
nível 1 é o nível mais baixo
[FONTE: IEC 61508-4:1998, 3.5.6]
3.1.34 
linguagem	de	variabilidade	limitada 
LVL
tipo de linguagem que proporciona a capacidade de combinar funções de biblioteca predefinidas, 
relativas a aplicações específicas, para implementar as especificações dos requisitos de segurança
Nota 1 de entrada: Exemplos típicos de LVL (lógica ladder, diagrama de blocos de função) são dados na IEC 61131-3.
Nota 2 de entrada: Exemplo típico de um sistema que utiliza LVL: PLC.
 [FONTE: IEC 61511-1:2003, 3.2.80.1.2, modificado]
NÃO TEM VALOR NORMATIVO 7/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
3.1.35 
linguagem	de	variabilidade	total 
FVL
tipo de linguagem que proporciona a capacidade de implementação de uma ampla variedade de 
funções e aplicações
EXEMPLO C, C++, Assembler.
Nota 1 de entrada: Um exemplo típico de sistemas que utilizam FVL: sistemas embarcados.
Nota 2 de entrada: No campo das máquinas, FVL é encontrada em software embarcado e raramente em 
software de aplicação.
[FONTE: IEC 61511-1:2003, 3.2.80.1.3, modificado]
3.1.36 
software de aplicação
software específico para a aplicação, implementado pelo fabricante da máquina, e geralmente 
contendo sequências lógicas, limites e expressões que controlam as entradas, saídas, cálculos e 
decisões apropriados necessários para atender aos requisitos da SRP/CS
3.1.37 
software	embarcado 
firmware 
software de sistema
software que faz parte do sistema fornecido pelo fabricante do controle e que não é acessível para 
modificação pelo usuário da máquina
Nota 1 de entrada: Software embarcado é geralmente escrito em FVL.
3.1.38 
elevada demanda ou modo contínuo
modo de operação no qual a frequência de demanda na SRP/CS é maior que uma vez por ano ou a 
função relacionada à segurança mantém a máquina no estado seguro como parte de seu funciona-
mento ou operação normal.
[FONTE: IEC 62061:2012, 3.2.27, modificada.]
3.1.39 
testado em uso
demonstração, baseada em uma análise de experiência operacional para uma configuração específica 
de um elemento, em que a possibilidade de falha perigosa sistemática é baixa o suficiente para que 
qualquer função de segurança que utilize tal elemento, atinja seu nível de performance requerido (PLr)
[FONTE: IEC 62061:2012, 3.2.28, modificada.]
3.2 Símbolos	e	abreviaturas
Ver Tabela 1.
NÃO TEM VALOR NORMATIVO8/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Tabela	1	–	Símbolos	e	abreviaturas	(continua)
Símbolo	ou	
abreviatura Descrição
Definição	ou	
ocorrência
a, b, c, d, e Designação dos níveis de desempenho Tabela 3
AOPD Dispositivo de proteção optoeletrônicoativo (por exemplo, barreira de luz) Anexo H
B, 1, 2, 3, 4 Designação de categorias Tabela 7
B10D
Número de ciclos até que 10 % dos componentes falhem perigosamente 
(para componentes pneumáticos e eletromecânicos) Anexo C
Cat. Categoria 3.1.2
CC Conversor de corrente Anexo I
CCF Falha de causa comum 3.1.6
DC Cobertura de diagnóstico 3.1.26
DCavg Cobertura de diagnóstico média E.2
F, F1, F2 Frequência e/ou tempo de exposição ao perigo A.2.2
FB Bloco de função 4.6.3
FVL Linguagem de variabilidade total 3.1.35
FMEA Análise dos modos e efeitos de falha 7.2
I, I1, I2 Dispositivo de entrada, por exemplo, sensor 6.2
i, j Índice para contagem Anexo D
I/O Entradas/saídas Tabela E.1
iab, ibc Meios de interconexão Figura 4
K1A, K1B Contatores Anexo I
L, L1, L2 Lógica 6.2
LVL Linguagem de variabilidade limitada 3.1.34
M Motor Anexo I
MTTF Tempo médio até a falha Anexo C
MTTFD Tempo médio até a falha perigosa 3.1.25
n, N, Ñ Número de itens 6.3, D.1
Nbaixo Número de SRP/CS com PLbaixo em uma combinação de SRP/CS 6.3
nop Número médio de operações anuais Anexo C
O, O1, O2, OTE Dispositivo de saída, por exemplo, atuador 6.2
P, P1, P2 Possibilidade de evitar o perigo A.2.3
PES Sistema eletrônico programável 3.1.22
PFHD Probabilidade média de falhas perigosas por hora
Tabela 3 e 
Tabela K1
PL Nível de desempenho 3.1.23
PLC Controlador lógico programável (CLP) Anexo I
NÃO TEM VALOR NORMATIVO 9/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Tabela	1 (conclusão)
Símbolo	ou	
abreviatura Descrição
Definição	ou	
ocorrência
PLbaixo
Nível de desempenho mais baixo de uma SRP/CS em uma combinação de 
SRP/CS 6.3
PLr Nível de desempenho requerido 3.1.24
rD Taxa de demanda 3.1.30
rT Taxa de teste 3.1.29
RS Sensor de rotação Anexo I
S, S1, S2 Severidade da lesão A.2.1
SW1A, SW1B, SW2 Chaves de posição Anexo I
SIL Nível de integridade de segurança Tabela 4
SRASW Software de aplicação relacionado à segurança 4.6.3
SRESW Software embarcado relacionado à segurança 4.6.2
SRP Parte relacionada à segurança Generalidades
SRP/CS Parte de um sistema de comando relacionada à segurança 3.1.1
TE Equipamento de teste 6.2
TM Tempo de missão 3.1.28
T10D Tempo médio até que 10 % dos componentes falhem de forma perigosa Anexo C
4 Considerações	de	projeto
4.1 Objetivos	de	segurança	no	projeto
A SRP/CS deve ser projetada e construída de modo que os princípios da ABNT NBR ISO 12100 
sejam plenamente levados em consideração (ver Figuras 1 e 3). Todo uso devido e mau uso razoavel-
mente previsível devem ser considerados.
NÃO TEM VALOR NORMATIVO10/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
INÍCIO
Apreciação de risco realizada de
acordo com a ABNT NBR ISO 12100
FIM
Determinação dos limites
da máquina (ver 5.2 a)
Identificação do perigo
(ver Seção 4 e 5.3 a)
Estimativa de risco
(ver 5.3 a)
Avaliação de risco
(ver 5.3 a)
O risco foi
adequadamente
reduzido?
Outros perigos
são gerados?
Este processo iterativo de
redução de risco deve ser
realizado separadamente
para cada perigo sob cada
condição de uso (tarefa)
A medida de
proteção selecionada
depende de um sistema
de controle?
Processo de redução de risco
para o perigo:
1 por projeto inerentemente seguro,
2 por dispositivos de segurança,
3 por informações de uso
(ver Figura 1 a)
Processo iterativo do projeto de partes
do sistema de comando relacionadas à
segurança (SRP/CS) (ver Figura 3 b)
Sim
Sim
Sim
Não
Não
Não
a Consultar a ABNT NBR ISO 12100:2013.
b Consultar esta Parte da ABNT NBR ISO 13849.
Figura 1 – Visão geral da apreciação de risco/redução de risco
NÃO TEM VALOR NORMATIVO 11/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
4.2 Estratégia para redução de risco
4.2.1 Generalidades
A estratégia para a redução de risco na máquina é provida na ABNT NBR ISO 12100:2013, 
Seção 6.1, e as orientações adicionais são providas na ABNT NBR ISO 12100:2013, Seções 6.2 
(medidas inerentes ao projeto) e 6.3 (medidas de segurança e proteção complementares). 
Esta estratégia abrange todo o ciclo de vida da máquina.
O processo de análise do perigo e de redução de risco para uma máquina requer que os perigos 
sejam eliminados ou reduzidos por meio de uma hierarquia de medidas:
 — eliminação do perigo ou redução de risco por projeto (ver ABNT NBR ISO 12100:2013, Seção 6.2);
 — redução de risco por medidas de segurança e de proteção possivelmente complementares 
(ver ABNT NBR ISO 12100:2013, Seção 6.3);
 — redução de risco pela prescrição de informações de uso sobre o risco residual 
(ver ABNT NBR ISO 12100:2013, Seção 6.4).
4.2.2 Contribuição	para	a	redução	de	risco	pelo	sistema	de	comando
A finalidade de verificar o procedimento total de projeto para a máquina é atingir os objetivos de 
segurança (ver 4.1). O projeto de uma SRP/CS, de modo a prover a redução de risco requerida, 
integra o procedimento geral de projeto para uma máquina. A SRP/CS provê função(ões) de segurança 
com determinado(s) PL que seja(m) capaz(es) de atingir a redução de risco requerida. Ao prover 
função(ões) de segurança, tanto uma parte inerentemente segura do projeto como o controle para um 
dispositivo de segurança ou de proteção, o projeto da SRP/CS é uma parte da estratégia de redução 
de risco. Este é um processo iterativo e é ilustrado nas Figuras 1 e 3.
NOTA Não é necessário aplicar esta estratégia de redução de riscos em partes de sistemas de comando 
não relacionadas à segurança ou elementos puramente funcionais da máquina (ver ISO/TR 22100-2:2013, 
Seção 3).
Para cada função de segurança, as características (ver Seção 5) e o nível de desempenho (PL) 
requeridos devem ser especificados e documentados na especificação dos requisitos de segurança.
Nesta Parte da ABNT NBR ISO 13849 os níveis de desempenho são definidos em termos da 
probabilidade de falha perigosa por hora. Cinco níveis de desempenho são estabelecidos, a partir do 
menor Pla ao mais elevado PLe, em faixas de valores de probabilidade de falha perigosa por hora 
definidas (ver Tabela 2).
Além da probabilidade média de falha perigosa por hora, que é um aspecto quantificável, aspectos 
qualitativos também são necessários para satisfazer os requisitos do PL.
Tabela	2	–	Níveis de desempenho (PL)
PL Probabilidade	média	de	falha	perigosa	por	hora	PFHd 1/h
a ≥ 10–5 a < 10–4
b ≥ 3 × 10–6 a < 10–5
c ≥ 10–6 a < 3 x 10–6
d ≥ 10–7 a < 10–6
e ≥ 10–8 a < 10–7
NÃO TEM VALOR NORMATIVO12/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
A partir da apreciação de risco (ver ABNT NBR ISO 12100) da máquina, o projetista deve decidir a 
contribuição para a redução de risco que precisa ser provida para cada função de segurança relevante 
que é realizada pela(s) SRP/CS. Esta contribuição não abrange o risco total da máquina sob controle, 
por exemplo, o risco total de uma prensa mecânica ou máquina de lavar roupa não é considerado, 
mas sim a parte do risco reduzido pela aplicação de funções de segurança específicas. Exemplos 
destas funções são a função de parada iniciada utilizando um dispositivo de proteção eletrossensível 
em uma prensa ou a função de travamento da porta em uma máquina de lavar.
A redução de risco pode ser atingida aplicando-se várias medidas de proteção (tanto para SRP/CS 
como para não SRP/CS) com a finalidade de atingir-se uma condição segura (ver Figura 2).
Rh
Rr
Ra
R1SRP/CS
R2SRP/CS
R1M
R2M
1
2
3 4
Ra b
Legenda
Rh o risco, para uma situação perigosa específica, antes que medidas de proteção sejam aplicadas
Rr redução de risco requerida a partir de medidas de proteção
Ra redução de risco real atingida com medidas de proteção
1 solução 1 – redução de risco devida em maior parte às medidas de proteção que não sejam SRP/CS 
(por exemplo, medidas mecânicas), e em menor parte, devida a SRP/CS
2 solução 2 – redução de riscodevida em maior parte a SRP/CS (por exemplo, cortina de luz), e em menor 
parte, devida às medidas de proteção que não sejam SRP/CS (por exemplo, medidas mecânicas)
3 risco reduzido adequadamente
4 risco reduzido inadequadamente
R risco
a risco residual obtido pelas soluções 1 e 2
b risco reduzido adequadamente
R1SRP/CS R2SRP/CS redução de risco obtida a partir da função de segurança realizada pela SRP/CS
R1M, R2M redução de risco obtida a partir de medidas de proteção que não sejam SRP/CS (por exemplo, 
 medidas mecânicas)
NOTA Ver ABNT NBR ISO 12100 para informações adicionais sobre redução de risco.
Figura 2 – Visão geral do processo de redução de risco para cada situação perigosa
NÃO TEM VALOR NORMATIVO 13/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
da Figura 1
para a Figura 1
Identificar as funções de segurança
a serem realizadas pelas SRP/CS
Para cada
função de
segurança
selecionada
Não
Sim
Sim
Sim
Não
Para cada função de segurança, especificar as
características requeridas (ver Seção 5)
Determinação do nível de desempenho
requerido PLr (ver 4.3 e Anexo A)
Projeto e realização técnica da função de segurança:
Identificação das partes relacionadas à segurança
que realizam a função de segurança (ver 4.4)
Verificação do PL quanto
à função de segurança:
PL ≥ PLr (ver 4.7)?
Validação (ver Seção 8 a)
Todos os requisitos são atendidos?
Todas as funções de
segurança foram
analisadas?
Avaliar o nível de desempenho PL (ver 4.5)
considerando:
– categoria (ver Seção 6)
– MTTFD (ver Anexos C e D)
– DC (ver Anexo E)
– CCF (ver Anexo F)
– se existente: software (ver 4.6 e Anexo J) das
 partes relacionadas à segurança supracitadas
a A ABNT NBR ISO 13849-2 provê auxílio adicional para a validação.
Figura 3 – Processo iterativo para projeto de partes de sistemas 
de comando relacionadas à segurança (SRP/CS)
NÃO TEM VALOR NORMATIVO14/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
4.3 Determinação do nível de desempenho requerido (PLr)
Para cada função de segurança selecionada a ser realizada por uma SRP/CS, um nível de desempenho 
requerido (PLr) deve ser determinado e documentado (ver Anexo A para orientação na determinação 
do PLr). A determinação do nível de desempenho requerido (PLr) é o resultado da apreciação de risco 
e refere-se à quantidade de redução de risco a ser realizada pelas partes do sistema de comando 
relacionadas à segurança (ver Figura 2).
Quanto maior for a necessidade de redução de risco a ser provida pela SRP/CS, maior é o PLr.
4.4 Projeto da SRP/CS
Parte do processo de redução de risco é determinar as funções de segurança da máquina. Isto inclui 
funções de segurança do sistema de comando, por exemplo, prevenção contra partida inesperada.
Uma função de segurança pode ser implementada por uma ou mais SRP/CS, e diversas funções de 
segurança podem compartilhar uma ou mais SRP/CS [por exemplo, uma unidade lógica, elemento(s) 
de controle de potência]. Também é possível que uma SRP/CS implemente funções de segurança e 
funções de controle convencional. O projetista pode utilizar qualquer uma das tecnologias disponíveis, 
isoladamente ou combinadas. A SRP/CS pode também prover uma função operacional (por exemplo, 
um AOPD como um meio de iniciação do ciclo).
Uma apresentação esquemática da função de segurança típica é provida na Figura 4 que mostra 
uma combinação de partes de sistemas de comando relacionadas à segurança (SRP/CS) para
 — entrada (SRP/CSa),
 — lógica/processamento (SRP/CSb),
 — saída/elementos de controle de potência (SRP/CSc), e
 — meios de interconexão (iab, ibc) (por exemplo, elétricos, ópticos).
NOTA 1 Na mesma máquina, é importante distinguir entre diferentes funções de segurança e suas 
respectivas SRP/CS que exercem uma determinada função de segurança.
Uma vez identificadas as funções de segurança do sistema de comando, o projetista deve identificar 
a SRP/CS (ver Figuras 1 e 3) e, onde necessário, deve representá-lo como entrada, lógica e saída 
e, no caso de redundância, os canais individuais, e em seguida avaliar o nível de desempenho PL 
(ver Figura 3).
NOTA 2 As arquiteturas designadas são providas na Seção 6.
NOTA 3 Todos os meios de interconexão estão incluídos nas partes relacionadas à segurança.
NÃO TEM VALOR NORMATIVO 15/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
SRP/CSa SRP/CSb SRP/CSc
iab ibc
I L O
Legenda
I entrada (exemplo, fim de curso, sensor, AOPD)
L lógica
O saída (exemplo, válvula, contator, inversor de frequência)
1 evento de inicialização (por exemplo, acionamento manual de um botão de comando, abertura da proteção, 
interrupção do feixe do AOPD)
2 atuador da máquina (por exemplo, freios do motor)
Figura 4 – Representação	esquemática	da	combinação	de	partes	de	sistemas	de	comando	
relacionadas à segurança para processamento de uma função de segurança típica
4.5 Avaliação do nível de desempenho atingido PL e correlação com SIL
4.5.1 Nível de desempenho PL
Para os efeitos desta Parte da ABNT NBR ISO 13849, a capacidade das partes relacionadas à 
segurança em desempenhar uma função de segurança é expressa por meio da determinação 
do nível de desempenho PL.
Para cada SRP/CS selecionada e/ou para a combinação de SRP/CS que desempenha uma função 
de segurança, a estimativa do PL deve ser efetuada.
O PL da SRP/CS deve ser determinado pela estimativa dos seguintes aspectos:
 — o valor do MTTFD para componentes individuais (ver Anexos C e D);
 — a DC (ver Anexo E);
 — a CCF (ver Anexo F);
 — a estrutura (ver Seção 6);
 — o comportamento da função de segurança sob condição(ões) de falha (ver Seção 6);
 — software relacionado à segurança (ver 4.6 e Anexo J);
 — falha sistemática (ver Anexo G);
 — a capacidade em desempenhar uma função de segurança sob condições ambientais esperadas.
NOTA 1 Outros parâmetros, por exemplo, aspectos operacionais, taxa de demanda, taxa de teste, podem 
ter certa influência.
NÃO TEM VALOR NORMATIVO16/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Estes aspectos podem ser agrupados sob duas abordagens em relação ao processo de avaliação:
 a) aspectos quantificáveis (valor do MTTFD para componentes individuais, DC, CCF, estrutura);
 b) aspectos qualitativos não quantificáveis que afetam o comportamento da SRP/CS (compor-
tamento da função de segurança sob condições de falha, software relacionado à segurança, 
falha sistemática e condições ambientais)
Entre os aspectos quantificáveis, a contribuição da confiabilidade (por exemplo, MTTFD, estrutura) 
pode variar de acordo com a tecnologia utilizada. Por exemplo, é possível para uma dada tecnologia 
(dentro de certos limites) com um único canal de partes relacionadas à segurança de alta confiabi-
lidade, prover o mesmo PL ou mais alto que uma estrutura tolerante a falhas de confiabilidade mais 
baixa utilizando outra tecnologia.
Existem diversos métodos para estimar os aspectos quantificáveis do PL para qualquer tipo 
de sistema (por exemplo, uma estrutura complexa), como, modelo de Markov, redes de Petri estocás-
ticas generalizadas (GSPN), diagramas de blocos de confiabilidade [ver, por exemplo, IEC 61508].
Para tornar mais fácil a avaliação dos aspectos quantificáveis do PL, este documento da 
ABNT NBR ISO 13849 provê um método simplificado com base na definição de cinco arquiteturas 
designadas que atendem aos critérios de projeto específicos e comportamento sob condição de 
defeito (ver 4.5.4).
Para uma SRP/CS ou combinação de SRP/CS projetada de acordo com os requisitos providos na 
Seção 6, a probabilidade média de uma falha perigosa pode ser estimada por meio da Figura 5 e o 
procedimento provido nos Anexos A a H, J e K.
Para uma SRP/CS que se desvia das arquiteturas designadas, um cálculo detalhado deve ser provido 
para demonstrar que o nível de desempenhorequerido (PLr) foi alcançado.
Em aplicações onde a SRP/CS puder ser considerada simples, e o nível de desempenho requerido 
for de a até c, uma estimativa qualitativa do PL pode ser justificada nos fundamentos do projeto 
(ver também 4.5.5).
NOTA 2 Para o projeto de sistemas de comando complexos, como PES projetados para desem- 
penhar funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508, 
IEC 62061 ou IEC 61496).
O cumprimento de aspectos qualitativos do PL pode ser demonstrado pela aplicação das medidas 
recomendadas providas em 4.6 e no Anexo G.
Em normas em conformidade com a IEC 61508, a capacidade dos sistemas de comando relacionados 
à segurança para desempenhar uma função de segurança é provida por meio de uma graduação 
denominada SIL. A Tabela 4 mostra a relação entre os dois conceitos (PL e SIL).
O PL não tem nenhuma correspondência na escala SIL e é utilizado principalmente para reduzir o 
risco de lesão leve, normalmente reversível. Uma vez que o SIL 4 é dedicado a eventos catastróficos 
possíveis na indústria de processo, este intervalo não é relevante para riscos em máquinas. Assim, 
o PL corresponde ao SIL 3 e é definido como o nível mais alto.
NÃO TEM VALOR NORMATIVO 17/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Tabela	3	–	Relação entre o nível de desempenho (PL) e o nível de integridade de segurança (SIL)
PL
SIL 
(IEC 61508-1, para informação) 
modo de operação alto/contínuo
a Nenhuma correspondência
b 1
c 1
d 2
e 3
Quando uma função de comando relacionada à segurança for projetada utilizando um ou mais 
SRP/CS, cada SRP/CS deve ser projetada de acordo com esta Parte da ABNT NBR ISO 13849 ou de 
acordo com a IEC 62061/IEC 61508 (ver também ISO/TR 23849) – embora exista correspondência 
entre os PL desta Parte da ABNT NBR ISO 13849 e SIL das IEC 61508 e IEC 62061. As SPR/CS 
são combinadas de acordo com 6.3.
Portanto, para a redução do risco, devem ser aplicadas principalmente as medidas de proteção 
descritas a seguir.
 — Reduzir a probabilidade de defeitos no nível de componente. O objetivo é reduzir a probabilidade 
de defeitos ou falhas que afetam a função de segurança. Isto pode ser efetuado aumentando-se 
a confiabilidade dos componentes, por exemplo, pela seleção de componentes devidamente 
comprovados e/ou aplicação de princípios de segurança devidamente comprovados, a fim 
de minimizar ou excluir defeitos ou falhas críticas (ver ABNT NBR ISO 13849-2).
 — Melhorar a estrutura da SRP/CS. O objetivo é evitar o efeito perigoso de um defeito. Alguns 
defeitos podem ser detectados e uma estrutura redundante e/ou monitorada pode ser necessária.
Ambas as medidas podem ser aplicadas separadamente ou combinadas. Com algumas tecnologias, 
a redução de risco pode ser atingida por meio da seleção de componentes confiáveis e por exclusões 
do defeito, porém com outras tecnologias, a redução de risco pode requerer um sistema redundante 
e/ou monitorado. Além disso, as falhas de causa comum (CCF) devem ser levadas em consideração 
(ver Figura 3).
Para restrições em arquiteturas, ver Seção 6.
4.5.2 Tempo médio para falha perigosa de cada canal (MTTFD)
O valor do MTTFD de cada canal é dado em três níveis (ver Tabela 4) e deve ser levado em consi-
deração para cada canal (por exemplo, de um único canal, cada canal de um sistema redundante) 
individualmente.
Para cada SRP/CS (subsistema) de acordo com a Tabela 5, o valor máximo de MTTFD para cada 
canal é 100 anos. Para SRP/CS (subsistemas) classificados como categoria 4, o valor máximo de 
MTTFD para cada canal é acrescido para 2 500 anos.
NOTA Este valor elevado é justificado porque na Categoria 4 os demais aspectos quantificáveis, estru-
tura e DC estão em seu nível máximo e isto permite a combinação em série de mais de três subsistemas 
(SRP/CS) com categoria 4 e a obtenção do PL e em conformidade com 6.3.
NÃO TEM VALOR NORMATIVO18/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Para o projeto de sistemas de comando complexos, tais como PES projetados para desempenhar 
funções de segurança, a aplicação de outras Normas pode ser adequada (por exemplo, IEC 61508, 
IEC 62061) ou
Tabela	4	–	Tempo médio para falha perigosa de cada canal (MTTFD)
MTTFD
Designação de cada canal Faixa de cada canal
Baixo 3 anos ≤ MTTFD < 10 anos
Médio 10 anos ≤ MTTFD < 30 anos
Alto 30 anos ≤ MTTFD ≤ 100 anos
NOTA 1 A escolha das faixas do MTTFD de cada canal é baseada nas taxas de falha encontradas no 
campo como estado da técnica, formando um tipo de escala logarítmica apropriada à escala logarítmica 
do PL. Não é esperado que um valor do MTTFD de cada canal inferior a três anos seja encontrado 
para um SRP/CS real, uma vez que isto pode significar que após um ano aproximadamente 30 % 
de todos os sistemas no mercado falharão e precisarão ser substituídos. Um valor do MTTFD de 
cada canal superior a 100 anos não é aceitável porque é conveniente que um SRP/CS para altos 
riscos não dependa da confiabilidade de componentes isolados. Para reforçar o SRP/CS contra falhas 
sistemáticas e aleatórias, recomenda-se que meios adicionais, como redundância e testes, sejam 
aplicados. Para ser praticável, o número de faixas foi restrito a três. A limitação do MTTFD dos valores 
de cada canal até um máximo de 100 anos refere-se a um único canal do SRP/CS que realiza a 
função de segurança. Valores do MTTFD mais altos podem ser utilizados para componentes individuais 
(ver Tabela D.1).
NOTA 2 Presume-se que os limites indicados desta Tabela estejam dentro de uma tolerância de 5 %.
Para estimativa do MTTFD de um componente, os dados devem ser encontrados de acordo com 
o seguinte procedimento hierárquico:
 a) utilizar dados do fabricante;
 b) utilizar métodos dos Anexos C e D;
 c) escolher dez anos.
4.5.3 Cobertura	de	diagnóstico	(DC)
O valor da DC é dado em quatro níveis (ver Tabela 5).
Para a estimativa de DC, na maioria dos casos, a análise dos modos e efeitos de falha (FMEA, 
ver IEC 60812) ou métodos similares podem ser utilizados. Neste caso, todos os defeitos e/ou modos 
de falha relevantes devem ser considerados. Para uma abordagem simplificada para estimativa 
de DC, ver Anexo E.
NOTA Exemplos de estimativa de cobertura de diagnóstico (DC) são dados no Anexo E.
NÃO TEM VALOR NORMATIVO 19/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Tabela	5	–	Cobertura	de	diagnóstico	(DC)
DC
Designação Faixa
Nenhuma DC < 60 %
Baixa 60 % ≤ DC < 90 %
Média 90 % ≤ DC < 99 %
Alta 99 % ≤ DC
NOTA 1 Para um SRP/CS composto por diversas partes, um valor médio DCavg para DC é utilizado na 
Figura 5, Seção 6 e E.2.
NOTA 2 A escolha da faixa de DC é baseada nos valores-chave de 60 %, 90 % e 99 %, também 
estabelecidos em outras Normas (por exemplo, IEC 61508) que aborda cobertura de diagnóstico 
de teste. Estudos mostram que (1 – DC) em vez do próprio DC é uma medida característica para 
a efetividade do teste. (1 – DC) para os valores-chave de 60 %, 90 % e 99 % forma um tipo de 
escala logarítmica apropriada à escala logarítmica do PL. Um valor de DC inferior a 60 % tem efeito 
inexpressivo sobre a confiabilidade do sistema testado e é portanto denominado como “nenhuma”. 
Um valor de DC superior a 99 % para sistemas complexos é muito difícil de atingir. Para ser praticável, 
o número de faixas foi restrito a quatro. Presume-se que os limites indicados nesta Tabela estejam 
dentro de uma tolerância de 5 %.
4.5.4 Procedimento	simplificado	para	estimativa	do	PL
O PL pode ser estimado levando-se em consideração todos os parâmetros relevantes e os métodos 
apropriados para cálculo (ver 4.5.1).
Esta Seção descreve um procedimento simplificado para estimar o PL de um SRP/CS com base em 
arquiteturas designadas. Algumas outras arquiteturas com estrutura similar podem ser transformadas 
para estas estruturas designadas a fimde que uma estimativa do PL seja obtida.
As arquiteturas designadas são representadas como diagramas de blocos e são definidas para cada 
categoria. Informações sobre o método de blocos e diagramas de blocos relacionados à segurança 
são dados em 6.2 e Anexo B.
As arquiteturas designadas mostram uma representação lógica da estrutura do sistema para cada 
categoria. A realização técnica ou, por exemplo, o diagrama de circuito funcional, pode parecer 
completamente diferente.
As arquiteturas designadas são representadas para o SRP/CS combinado, começando pelos pontos 
onde os sinais relacionados à segurança são iniciados e terminando na saída dos elementos de 
controle de potência (ver também ABNT NBR ISO 12100:2013, Anexo A). As arquiteturas designadas 
também podem ser utilizadas para descrever uma parte ou subparte de um sistema de comando que 
responde a sinais de entrada e gera sinais de saída relacionados à segurança. Assim, o elemento 
“entrada” pode representar, por exemplo, uma cortina de luz (AOPD), bem como os circuitos de 
entrada dos elementos lógicos de controle ou chaves de entrada. “Saída” também pode representar, 
por exemplo, um dispositivo de comutação do sinal de saída (OSSD) ou saídas de scanners a laser.
Para as arquiteturas designadas, serão consideradas as seguintes premissas:
 — tempo de missão, 20 anos (ver Seção 10);
NÃO TEM VALOR NORMATIVO20/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
 — taxas de falha constante dentro do tempo de missão;
 — para a categoria 2, taxa de demanda ≤ 1/100 da taxa de teste (ver também, nota no Anexo K); ou 
testes devem ocorrer imediatamente após a demanda da função de segurança, e o tempo total 
para detecção da falha de modo a levar a máquina à uma condição segura (usualmente a parada 
da máquina) for menor que o tempo para alcançar a fonte de perigo (ver ISO 13855);
 — para a categoria 2, MTTFD, do canal de testes deve ser maior que metade do MTTFD, do canal 
relativo à função de segurança.
A metodologia considera as categorias como arquiteturas com DCavg definida. O PL de cada SRP/
CS depende da arquitetura, do tempo médio para falha perigosa (MTTFD) em cada canal e da DCavg.
Convém que as falhas de causa comum (CCF) sejam levadas em consideração (para orientação, 
ver Anexo F).
Para SRP/CS com software, os requisitos de 4.6 devem ser aplicados.
Se não houver dados quantitativos disponíveis ou se não forem aplicáveis (por exemplo, sistemas 
de baixa complexidade), convém que o pior caso de todos os parâmetros relevantes seja escolhido.
Uma combinação de SRP/CS ou uma única SRP/CS pode ter um PL. A combinação de diversas 
SRP/CS com diferentes PL é considerada em 6.3.
No caso de aplicações com PLr a até c, medidas para evitar falhas podem ser suficientes; para 
aplicações de maior risco, PLr d até e, a estrutura da SRP/CS pode prover medidas para evitar, 
detectar ou tolerar os defeitos. Medidas práticas incluem redundância, diversidade, monitoramento 
(ver também ABNT NBR ISO 12100:2013, Seção 3, e IEC 60204-1:2005).
A Figura 5 mostra o procedimento para a seleção de categorias em combinação com o MTTFD 
de cada canal e DCavg para atingir o PL requerido da função de segurança.
Para a estimativa do PL, a Figura 5 apresenta as diferentes combinações possíveis de categoria com 
DCavg (eixo horizontal) e o MTTFD de cada canal (barras). As barras no diagrama representam as três 
faixas de MTTFD de cada canal (baixa, média e alta) que podem ser selecionadas para atingir o PL 
requerido.
Antes de utilizar esta abordagem simplificada com a Figura 5 (que representa os resultados de dife-
rentes modelos de Markov com base em arquiteturas designadas da Seção 6), a categoria do SRP/CS 
bem como DCavg e o MTTFD de cada canal devem ser determinados (ver Seção 6 e Anexos C a E).
Para as categorias 2, 3 e 4, medidas suficientes contra falhas de causa comum devem ser realizadas 
(para orientação, ver Anexo F). Levando esses parâmetros em consideração, a Figura 5 provê um 
método gráfico para determinar o PL, atingido pelo SRP/CS. A combinação de categoria (incluindo 
falha de causa comum) e DCavg determina qual coluna da Figura 5 é para ser escolhida. De acordo 
com o MTTFD de cada canal, uma das três diferentes áreas sombreadas da respectiva coluna deve 
ser escolhida.
A posição vertical desta área determina o PL atingido, que pode ser lida a partir do eixo vertical. Se a 
área abrange dois ou três PL possíveis, o PL atingido é dado na Tabela 6. Para uma seleção numérica 
mais precisa de PL, dependendo do valor preciso do MTTFD de cada canal, ver Anexo K.
NÃO TEM VALOR NORMATIVO 21/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
DCavg
nenhuma
Categoria B
DCavg
nenhuma
Categoria 1
DCavg baixa
Categoria 2
DCavg média
Categoria 2
DCavg baixa
Categoria 3
DCavg média
Categoria 3
DCavg alta
Categoria 4
PL
a
b
c
d
1
e
2
3
Legenda
PL nível de desempenho
1 MTTFD de cada canal = baixo
2 MTTFD de cada canal = médio
3 MTTFD de cada canal = alto
Figura 5 – Relação entre categorias, DCavg, MTTFD de cada canal e PL
Tabela	6	–	Procedimento	simplificado	para	avaliar	o	PL	atingido	pelo	SRP/CS
Categoria B 1 2 2 3 3 4
DCavg nenhuma nenhuma baixa média baixa média alta
MTTFD de cada canal
Baixo a Não abrangido a b b c
Não 
abrangido
Médio b Não abrangido b c c d
Não 
abrangido
Alto Não abrangido c c d d d e
4.5.5 Descrição da saída de uma SRP/CS por categoria
Se para componentes mecânicos, hidráulicos ou pneumáticos (ou um componente que mistura 
diversas tecnologias) não houver dados de confiabilidade específicos para a aplicação, o fabricante 
da máquina deve avaliar os aspectos quantitativos do PL sem nenhum cálculo de MTTFD.
Para estes casos, o nível de performance relacionado à segurança (PL) é implementado por meio 
da arquitetura, do diagnóstico e medidas contra CCF.
NÃO TEM VALOR NORMATIVO22/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
A Tabela 7 mostra a relação entre o PL atingível (correspondente à Figura 5) e as categorias. PLa e 
PLb podem ser implementados com categoria B. PL c pode ser implementado com categoria 1 ou 2, 
se componentes testados e princípios de segurança forem utilizados.
Quando implementada uma função de segurança PL c com categoria 1, o valor de T10D dos 
componentes relacionados à segurança não são monitorados no processo, são determinados. Este 
valor de T10D pode ser determinado com base em dados de teste em uso pelo fabricante da máquina.
O MTTFD do canal testado, em categoria 2, deve ser de no mínimo 10 (dez) anos.
Um PL d pode ser implementado com categoria 3, se componentes testados e princípios de segu-
rança forem utilizados.
Um PL e pode ser implementado com categoria 4, se componentes testados e princípios de segu-
rança forem utilizados.
Basicamente: Na implementação de funções de segurança com categoria 2, 3 ou 4, falhas de causa 
comum (CCF) e um diagnóstico de falhas (DC) suficientes tem que ser considerado (baixo, médio 
para categoria 2 e 3, alto para categoria 4).
Neste caso, o cálculo do DCavg é reduzido para a média aritmética dos valores de DC de todos 
os componentes individuais que compõem o canal funcional.
Tabela	7	–	PL e PFHD	estimado	como	pior	caso,	baseado	em	categoria, 
DCavg, e uso de componentes testados
PFHD (1/h) Cat. B Cat. 1 Cat. 2 Cat. 3 Cat. 4
PL a 2 × 10-5 ● 0 0 0 0
PL	b 5 × 10-6 ● 0 0 0 0
PL c 1,7 × 10-6 – ● 2* ● 1* 0 0
PL d 2,9 × 10-7 – – – ● 1* 0
PL e 4,7 × 10-8 – – – – ● 1*
● Categoria apontada é recomendada.
0 Categoria apontada é opcional.
– Categoria apontada não é permitida.
1*
Testado em uso (ver 3.1.39) ou componentes testados (confirmados pelo fabricante do 
componente que são apropriados para a aplicação em particular) e princípios de segurança 
devem ser usados.
2* componentes testados e princípios de segurança devem ser usados.Para componentes relacionados à segurança que não sejamo monitorados pelo processo, o valor 
de T10D pode ser determinado com base em dados de teste em uso providos pelo fabricante.
NÃO TEM VALOR NORMATIVO 23/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
4.6 Requisitos de segurança do software
4.6.1 Generalidades
Todas as atividades do ciclo de vida do software embarcado ou de aplicação relacionado à segurança 
devem considerar primordialmente a prevenção de defeitos introduzidos durante o ciclo de vida 
do software (ver Figura 6). O objetivo principal dos seguintes requisitos é ter um software legível, 
compreensível, que possa ser testado e de fácil manutenção.
Especificação das
funções de segurança
Projeto do
sistema
Projeto do módulo Teste do módulo
Teste de integração
ValidaçãoValidação
Resultado
Verificação
Codificação
Especificação do
software relacionado
à segurança
Software
validado
NOTA O Anexo J provê recomendações mais detalhadas para as atividades do ciclo de vida.
Figura 6 – Modelo	V	simplificado	do	ciclo	de	vida	de	segurança	do	software
4.6.2 Software	embarcado	relacionado	à	segurança	(SRESW)
Para SRESW para componentes com PLr a até d, as seguintes medidas básicas devem ser aplicadas:
 — ciclo de vida de segurança do software com atividades de verificação e validação, ver Figura 6;
 — documentação da especificação e projeto;
 — projeto e codificação modular e estruturada;
 — controle de falhas sistemáticas (ver G.2);
 — onde utilizadas medidas com base em software para controle de falhas aleatórias de hardware, 
verificação da implementação correta;
 — testes funcionais, por exemplo, teste de caixa preta;
 — atividades apropriadas do ciclo de vida de segurança do software após as modificações.
NÃO TEM VALOR NORMATIVO24/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Para SRESW para componentes com PLr c ou d, as seguintes medidas adicionais devem ser aplicadas:
 — sistema de gestão de projetos e de gestão de qualidade comparáveis, por exemplo, à IEC 61508 
ou à ABNT NBR ISO 9001;
 — documentação de todas as atividades relevantes durante o ciclo de vida de segurança do software;
 — gerenciamento da configuração para identificar todos os itens de configuração e documentos 
relacionados a uma versão do SRESW disponibilizada;
 — especificação estruturada com os requisitos de segurança e projeto;
 — uso de linguagens de programação adequadas e ferramentas computadorizadas confiáveis para 
o uso;
 — programação modular e estruturada, separação em software não relacionado à segurança, 
tamanhos de módulo limitados com interfaces completamente definidas, uso de normas de 
projeto e codificação;
 — verificação da codificação por verificação geral/revisão com a análise de fluxo de controle;
 — testes funcionais estendidos, por exemplo, teste de caixa cinza, ensaios de desempenho ou 
simulação;
 — análise de impacto e atividades apropriadas do ciclo de vida de segurança do software após 
as modificações.
O SRESW para componentes com PLr = e deve atender à IEC 61508-3:1998, Seção 7, apropriada para 
SIL 3. Ao utilizar a diversidade na especificação, projeto e codificação, para os dois canais utilizados 
em SRP/CS com categoria 3 ou 4, PLr = e pode ser atingido com as medidas mencionadas acima para 
PLr de c ou d.
NOTA 1 Para uma descrição detalhada destas medidas, ver, por exemplo, a IEC 61508-7:2000.
NOTA 2 Para SRESW com diversidade em projeto e codificação, para componentes utilizados em SRP/CS 
com categoria 3 ou 4, o esforço envolvido na adoção de medidas para evitar falhas sistemáticas pode ser 
reduzido, por exemplo, pela revisão das partes do software somente considerando aspectos estruturais em 
vez de verificar cada linha de código.
Para componentes cujos requisitos SRESW não forem atendidos, por exemplo, CLP sem conotação 
de segurança indicada pelo fabricante, estes componentes podem ser usados mediante às seguintes 
condições alternativas:
 — a SRP/CS é limitada ao PL a ou PL b e utiliza as categorias B, 2 ou 3;
 — a SRP/CS é limitada ao PL c ou PL d e deve utilizar componentes múltiplos para dois canais em 
categoria 2 ou 3. Os componentes utilizados nestes dois canais utilizam tecnologias diversificadas.
4.6.3 Software	de	aplicação	relacionado	à	segurança	(SRASW)
O ciclo de vida de segurança do software (ver Figura 6) também aplica-se ao SRASW (ver Anexo J).
SRASW escrito em LVL e que atende aos seguintes requisitos pode atingir um PL de a até e. Se o 
SRASW é escrito em FVL, os requisitos para SRESW devem aplicar-se, e o PL de a até e é atingível. 
NÃO TEM VALOR NORMATIVO 25/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
Se uma parte do SRASW dentro de um componente tiver qualquer impacto (por exemplo, devido à sua 
modificação) em diversas funções de segurança com PL diferente, então os requisitos relacionados ao 
PL mais alto devem ser aplicados. Para SRASW para componentes com PLr de a até e, as seguintes 
medidas básicas devem ser aplicadas:
 — ciclo de vida de desenvolvimento com atividades de verificação e validação, ver Figura 6;
 — documentação da especificação e projeto;
 — programação modular e estruturada;
 — testes funcionais;
 — atividades apropriadas de desenvolvimento após as modificações.
Para SRASW para componentes com PLr de c até e, as seguintes medidas adicionais com o aumento 
da eficiência (menor efetividade para PLr de c, efetividade média para PLr de d, maior efetividade 
para PLr de e) são requeridas ou recomendadas.
 a) A especificação do software relacionado à segurança deve ser revisada (ver também Anexo J), 
disponibilizada para cada pessoa envolvida no ciclo de vida e conter a descrição de:
 1) funções de segurança com PL requerido e modos de operação associados,
 2) critérios de desempenho, por exemplo, tempos de reação,
 3) arquitetura do hardware com interfaces de sinal externo, e
 4) detecção e controle de falha externa.
 b) Seleção de ferramentas, bibliotecas, línguagens:
 1) Ferramentas adequadas, confiáveis, de uso consagrado: para PL = e atingido com um 
componente e sua ferramenta, a ferramenta deve atender à norma de segurança apropriada; 
se dois componentes diversos com ferramentas diversas forem utilizados, a confiança do uso 
pode ser suficiente. Características técnicas que detectam condições que possam causar 
erro sistemático (como, incompatibilidade do tipo de dados, alocação de memória dinâmica 
ambígua, interfaces de chamada incompletas, recursividade, aritmética de ponteiro) devem 
ser utilizadas. Convém que as checagens sejam realizadas principalmente durante o 
tempo de compilação e não somente no tempo de execução do programa. Convém que as 
ferramentas executem subconjuntos de linguagem e diretrizes de codificação ou que pelo 
menos supervisionem ou orientem o desenvolvedor para utilizá-las.
 2) Sempre que for possível e razoável, convém que bibliotecas validadas de blocos de função 
(FB) sejam utilizadas – bibliotecas de FB relacionadas à segurança providas pelo fabricante 
da ferramenta (altamente recomendado para PL = e) ou bibliotecas de FB validadas 
específicas da aplicação e de acordo com esta Parte da ABNT NBR ISO 13849.
 3) Convém que um subconjunto-LVL justificado adequado para uma abordagem modular 
seja utilizado, por exemplo, subconjunto aceito de linguagens IEC 61131-3. Linguagens 
gráficas (por exemplo, diagrama de blocos de função, diagrama de contatos) são altamente 
recomendadas.
NÃO TEM VALOR NORMATIVO26/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
 c) O projeto do software deve caracterizar:
 1) os métodos semiformais para descrever dados e fluxo de controle, por exemplo, diagrama 
de estado ou fluxograma do programa,
 2) a programação modular e estruturada predominantemente realizada por blocosde função 
derivados das bibliotecas de blocos de função validados relacionados à segurança,
 3) os blocos de função de tamanho limitado de codificação,
 4) a execução do código dentro dos blocos de função, que tenham um ponto de entrada e um 
ponto de saída,
 5) o modelo de arquitetura de três estágios, Entradas ⇒ Processamento ⇒ Saídas (ver Figura 7 
e Anexo J),
 6) a designação de uma saída de segurança em somente um local do programa, e
 7) o uso de técnicas para detecção de falha externa e para programação defensiva com entrada, 
processamento e blocos de saída que levem a um estado seguro.
Entradas SaídasProcessamento
Blocos de entrada Bloco de processamento
Aquisição de
informações dos
vários sensores de
segurança por
entradas de segurança
Blocos de saída
Controle dos
atuadores por saídas
de segurança
Processamento requerido
para realizar as funções
de segurança que levam
a um estado seguro
Figura 7 – Modelo geral de arquitetura de software
 d) Quando SRASW e não SRASW são combinados em um componente:
 1) SRASW e não-SRASW devem ser codificados em blocos de função diferentes com ligações 
de dados bem definidas;
 2) não pode haver combinação lógica de dados não relacionados à segurança e relacionados 
à segurança que possam levar à degradação da integridade dos sinais relacionados à 
segurança, por exemplo, combinando sinais relacionados à segurança e não relacionados à 
segurança por uma lógica “OU” onde o resultado controla os sinais relacionados à segurança.
 e) Implementação/codificação do software:
 1) o código deve ser legível, compreensível e testável e, devido a isso, convém que sejam 
utilizadas variáveis simbólicas (em vez de endereços de hardware explícitos);
 2) diretrizes de codificação justificadas ou aceitas devem ser utilizadas (ver também Anexo J);
 3) deve-se utilizar a integridade dos dados e verificações de plausibilidade (por exemplo, 
checagens por intervalo) disponíveis na camada da aplicação (programação defensiva);
NÃO TEM VALOR NORMATIVO 27/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
 4) convém que o código seja testado por simulação;
 5) a verificação deve ser por controle e análise do fluxo de dados para PL = d ou e.
 f) Testes:
 1) o método de validação apropriado é o teste da caixa preta do comportamento funcional e 
critérios de desempenho (por exemplo, desempenho de tempo);
 2) para PL = d ou e, é recomendado a execução de teste de caso (test case execution) a partir 
da análise de valor limite;
 3) planejamento de teste é recomendado e deve incluir teste de casos (test cases) com os 
critérios de conclusão e as ferramentas requeridas;
 4) os testes de I/O devem assegurar que os sinais relacionados à segurança sejam utilizados 
corretamente dentro do SRASW.
 g) Documentação:
 1) todas as atividades do ciclo de vida e de modificação devem ser documentadas;
 2) a documentação deve estar completa, disponível, legível e compreensível;
 3) a documentação do código dentro do texto fonte deve conter cabeçalhos dos módulos 
com o reponsável legal, a descrição funcional e a descrição de I/O, versão do código, 
versão da biblioteca de blocos de função utilizados, comentários suficientes de rotinas, 
subrotinas, declarações e linhas de programa.
 h) Verificação 1
EXEMPLO Revisão, inspeção, verificação geral ou outras atividades apropriadas.
 i) Gerenciamento da configuração
É altamente recomendável que os procedimentos e o backup de dados sejam estabelecidos 
para identificar e arquivar documentos, módulos de software, resultados de verificação/validação 
e configuração da ferramenta, relacionados a uma versão específica do SRASW.
 j) Modificações
Após as modificações do SRASW, uma análise de impacto deve ser realizada para assegurar a 
especificação. Atividades apropriadas ao ciclo de vida devem ser realizadas após as modificações. 
Os direitos de acesso às modificações devem ser controlados e o histórico das modificações 
documentado.
NOTA A modificação não afeta os sistemas já em uso.
1 A verificação é necessária apenas para código específico da aplicação e não para funções de biblioteca 
validadas. 
NÃO TEM VALOR NORMATIVO28/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
4.6.4 Parametrização	baseada	em	software
A determinação de parâmetros relacionados à segurança baseada em software deve ser considerada 
como um aspecto relacionado à segurança de projeto da SRP/CS a ser descrito na especificação dos 
requisitos de segurança de software. A parametrização deve ser realizada utilizando uma ferramenta 
de software dedicada provida pelo fornecedor da SRP/CS. Esta ferramenta deve ter sua própria 
identificação (nome, versão etc.) e deve evitar modificações não autorizadas, por exemplo, pelo uso 
de uma senha.
A integridade de todos os dados utilizados para a parametrização deve ser mantida. Isto deve ser 
obtido aplicando-se medidas para
 — controlar a faixa de entradas válidas,
 — controlar a adulteração de dados antes da transmissão,
 — controlar os efeitos de erros no processo de transmissão do parâmetro,
 — controlar os efeitos de transmissão de parâmetro incompleta, e
 — controlar os efeitos de defeitos e falhas de hardware e software da ferramenta utilizada para 
parametrização.
A ferramenta de parametrização deve atender a todos os requisitos relativos à SRP/CS, de acordo 
com esta Parte da ABNT NBR ISO 13849. Alternativamente, um procedimento especial deve ser 
utilizado para configurar os parâmetros relacionados à segurança. Este procedimento deve incluir a 
confirmação de parâmetros de entrada na SRP/CS por
 — retransmissão dos parâmetros modificados para a ferramenta de parametrização, ou
 — outros meios adequados de confirmação da integridade dos parâmetros,
bem como confirmação subsequente, por exemplo, por uma pessoa devidamente habilitada e por 
meio de uma verificação automática por meio de uma ferramenta de parametrização.
NOTA 1 Isto é de importância especial quando a parametrização é realizada utilizando um dispositivo 
não especificamente destinado para esta finalidade (por exemplo, computador pessoal ou equivalente).
Os módulos do software utilizados para codificação/decodificação dentro do processo de transmissão/
retransmissão e, os módulos do software utilizados para visualização dos parâmetros relacionados 
à segurança pelo usuário devem no mínimo utilizar diversidade na(s) função(ões) para evitar falhas 
sistemáticas.
A documentação da parametrização baseada em software deve indicar os dados utilizados 
(por exemplo, conjuntos de parâmetros predefinidos) e as informações necessárias para identificar 
os parâmetros associados à SRP/CS e à(s) pessoa(s) que realiza(m) a parametrização, juntamente 
com outras informações relevantes, tais como data de parametrização.
As seguintes atividades de verificação devem ser aplicadas para parametrização baseada em software:
 — verificação da configuração correta para cada parâmetro relacionado à segurança (valores 
mínimo, máximo e representativos);
 — verificação de que os parâmetros relacionados à segurança são checados quanto à plausibi-
lidade, por exemplo, pelo uso de valores inválidos etc.;
NÃO TEM VALOR NORMATIVO 29/97
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-1
FEV 2019
 — verificação de que a modificação não autorizada dos parâmetros relacionados à segurança é 
evitada;
 — verificação de que os dados/sinais para parametrização são gerados e processados de tal forma 
que os defeitos não sejam capazes de levar a uma perda da função de segurança.
NOTA 2 Isto é de importância especial quando a parametrização é realizada utilizando um dispositivo não 
especificamente destinado para esta finalidade (por exemplo, computador pessoal ou equivalente).
4.7 Verificação	de	correspondência	do	PL	atingido	com	o	PLr
Para cada função de segurança individual, o PL da SRP relacionado