NBR ISO 13849-2

Prévia do material em texto

ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Segurança de máquinas — Partes de sistemas de comando relacionadas 
à segurança 
Parte 2: Validação
APRESENTAÇÃO
1) Este Projeto foi elaborado pela Comissão de Estudo Segurança de Máquinas de Uso Geral
(CE-004:026.001) do Comitê Brasileiro de Máquinas e Equipamentos Mecânicos (ABNT/CB-004),
com número de Texto-Base 004:026.001-005/2, nas reuniões de:
13.08.2013 24.02.2016 29.03.2017
28.08.2013 25.02.2016 26.04.2017
25.09.2013 25.03.2016 24.05.2017
30.10.2013 30.03.2016 29.06.2017
27.11.2013 27.04.2016 26.07.2017
18.12.2013 25.05.2016 30.08.2017
29.01.2014 27.07.2016 27.09.2017
26.02.2014 29.07.2016 25.10.2017
26.03.2014 26.08.2016 29.11.2017
23.04.2014 30.08.2016 13.12.2017
28.05.2014 24.09.2016 17.01.2018
25.06.2014 30.09.2016 28.01.2018
30.07.2014 28.10.2016 28.02.2018
27.08.2014 28.10.2016 28.03.2018
24.09.2014 26.11.2016 24.04.2018
29.10.2014 14.12.2016 23.05.2018
26.11.2014 16.12.2016 20.06.2018
17.12.2014 18.01.2017
20.01.2016 22.02.2017
© ABNT 2019
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada 
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem 
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet 
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
a) é previsto para ser idêntico à ISO 13849-2:2012, que foi elaborada pelo Technical 
Committee Safety of machinery (ISO/TC 199), conforme ISO/IEC Guide 21-1:2005;
b) não tem valor normativo.
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta 
informação em seus comentários, com documentação comprobatória.
3) Tomaram parte na sua elaboração, participando em no mínimo 30 % das reuniões realizadas 
sobre o Texto-Base e aptos a deliberarem na Reunião de Análise da Consulta Nacional:
Participante Representante
ACE SCHMERSAL José Amauri Martins
ACE SCHMERSAL Justiniano Vieira Lima Junior
BOSCH REXROTH Makoto Yokoyama
DIGIMEC Roberto Bilevic
EUCHNER Paulo Umeda
FESTO Myrian Reis
FUNDACENTRO Roberto do V. Giuliano
GALAXIA Ronaldo Gabriel dos Santos
MANUALTECH Luis Carlos Davenienne de Almeida
MTB Aida Becker
MTB Anildo de Oliveira Passos Jr.
MTB Hildeberto B. Nobre Jr.
MTB Ricardo Silveira da Rosa
OMRON Renato Ozaki
OMRON Carla Haddad
PILZ João Paulo Vaz
REER Hamilton Sakamoto
SCHNEIDER Erico Grano
SENAI - GO Joel Mario de Souza
SICK Marcio Liron Damelio
SIEMENS Fernando G. Capuzzo
SIEMENS Lais Rodrigues Misko
SINDIPEÇAS José Carlos de Freitas
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
SMC Jeferson Aidar
TUV Lucas B. Lazzarine
TUV Robynson Molinari
TUV Victor Marquesim
USIFORMA Rodolpho Godoy
VOITH PAPER Jorge Luiz gomes
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Segurança de máquinas — Partes de sistemas de comando relacionadas 
à segurança 
Parte 2: Validação
Safety of machinery — Safety-related parts of control systems 
Part 2: Validation
Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. 
As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), 
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais 
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas 
no tema objeto da normalização.
Os Documentos Técnicos Internacionais são adotados conforme as regras da ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais 
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados 
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos. 
Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras 
datas para exigência dos requisitos desta Norma.
A ABNT NBR ISO 13849-2 foi elaborada no Comitê Brasileiro de Máquinas e Equipamentos Mecânicos 
(ABNT/CB-004), pela Comissão de Estudo Segurança de Máquinas de Uso Geral (CE-004:026.001). 
O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 13849-2:2012, 
que foi elaborada pelo Technical Committee Safety of machinery (ISO/TC 199), conforme 
ISO/IEC Guide 21-1:2005.
Esta Norma, sob o título geral “Segurança de máquinas – Partes de sistemas de comando relacionadas 
à segurança”, tem previsão de conter as seguintes partes:
 — Parte 1: Princípios gerais de projeto;
 — Parte 2: Validação.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Os Anexos A a D, que são informativos, são estruturados de acordo com a Tabela 1.
Tabela 1 – Estrutura dos Anexos A a D desta Parte da ABNT NBR ISO 13849
Anexo Tecnologia
Lista de 
princípios 
básicos de 
segurança
Lista de princípios 
de segurança 
devidamente 
comprovados
Lista de 
componentes 
devidamente 
comprovados
Listas de falhas 
e	exclusões	de	
falhas
Tabela(s)
A Mecânica A.1 A.2 A.3 A.4, A.5
B Pneumática B.1 B.2 – B.3 a B.18
C Hidráulica C.1 C.2 – C.3 a C.12
D Elétrica 
(inclui eletrônica) D.1 D.2 D.3 D.4 a D.21
O Escopo em inglês desta Norma Brasileira é o seguinte:
Scope
This document specifies the procedures and conditions to be followed for the validation by analysis 
and testing of
 — the specified safety functions,
 — the category achieved, and
 — the performance level achieved
by the safety-related parts of a control system (SRP/CS) designed in accordance with 
ABNT NBR ISO 13849-1.
NOTE Additional requirements for programmable electronic systems, including embedded software, 
are given in ISO 13849-1:2006, 4.6, and IEC 61508.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Introdução
A estrutura das normas de segurança no campo das máquinas é a seguinte:
 a) as normas do tipo A (normas básicas de segurança) proveem conceitos básicos, princípios 
de projeto e aspectos gerais que podem ser aplicados às máquinas.
 b) as normas do tipo B (normas de segurança genéricas) abordam um aspecto de segurança ou um 
tipo de dispositivo de segurança que pode ser utilizado em uma ampla variedade de máquinas:
 — as normas do tipo B1 sobre aspectos de segurança específicos (por exemplo, distâncias 
de segurança, temperatura da superfície, ruído);
 — as normas do tipo B2 sobre dispositivos de segurança (por exemplo, controles acionados 
pelas duas mãos, dispositivos de travamento, dispositivos sensíveis à pressão, proteções);
 c) as normas do tipo C (normas de segurança de máquinas) abordam os requisitos de segurança 
detalhados para uma máquina ou grupo de máquinas específico.
Este documento é uma norma do tipo B, conforme declarado na ABNT NBR ISO 12100.
Os requisitos deste documento podem ser suplementados ou modificados por uma norma do tipo C.
Para máquinas que são abrangidas pelo escopo de uma norma do tipo C e que foram projetadas 
e construídas de acordo com os requisitos da referida norma, os requisitos dessa norma do tipo C 
prevalecem.
Esta Parte da ABNT NBR ISO 13849 especifica o processo de validação para as funções de segurança, 
categorias e níveis de desempenho para as partes de sistemas de comando relacionadas à segurança. 
Este documento reconhece que a validação de partes de sistemas de comando relacionadasà 
segurança pode ser atingida por uma combinação de análise (ver Seção 5) e ensaio (ver Seção 6), 
e especifica as circunstâncias específicas em que o ensaio deve ser realizado.
A maioria dos procedimentos e condições descritos nesta Parte da ABNT NBR ISO 13849 tem base 
na suposição de que o procedimento simplificado para a estimativa do nível de desempenho (PL) 
descrito na ISO 13849-1:2006, 4.5.4, é utilizado. Esta Parte da ABNT NBR ISO 13849 não provê 
orientação para situações quando outros procedimentos forem utilizados para estimar o PL (por exemplo, 
modelo de Markov), e neste caso algumas das suas prescrições não serão aplicáveis e requisitos 
adicionais podem ser necessários.
Orientação sobre os princípios gerais para o projeto (ver ABNT NBR ISO 12100) de partes de sistemas 
de comando relacionadas à segurança, independentemente do tipo de tecnologia utilizada (elétrica, 
hidráulica, pneumática, mecânica etc.), é provida na ISO 13849-1. Isto inclui descrições de algumas 
funções de segurança típicas, determinação dos seus níveis de desempenho requeridos e requisitos 
gerais de categorias e níveis de desempenho.
Dentro desta Parte da ABNT NBR ISO 13849, alguns dos requisitos de validação são gerais, 
enquanto outros são específicos ao tipo de tecnologia utilizada.
NÃO TEM VALOR NORMATIVO
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Segurança de máquinas — Partes de sistemas de comando relacionadas 
à segurança 
Parte 2: Validação
1 Escopo
Esta Parte da ABNT NBR ISO 13849 especifica os procedimentos e as condições a serem seguidos 
para a validação por análise e ensaio
 — das funções de segurança especificadas,
 — da categoria atingida, e
 — do nível de desempenho atingido
pelas partes de um sistema de comando relacionadas à segurança (SRP/CS) projetadas de acordo 
com a ISO 13849-1.
NOTA Os requisitos adicionais para sistemas eletrônicos programáveis, incluindo software incorporado, 
são providos na ISO 13849-1:2006, 4.6 e IEC 61508.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais, 
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições 
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento 
(incluindo emendas).
ABNT NBR ISO 12100:2013, Segurança de máquinas – Princípios gerais de projeto – Apreciação 
e redução de riscos
ISO 13849-1:2006, Segurança de máquinas – Partes de sistemas de comando relacionadas à 
segurança – Parte 1: Princípios gerais de projeto
NOTA BRASILEIRA A edição em vigor é a ISO 13849-1:2015 que é idêntica a ABNT NBR ISO 13849-1:2019.
3 Termos	e	definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 12100 e 
ISO 13849-1.
4 Processo de validação
4.1 Princípios de validação
A finalidade do processo de validação é confirmar que o projeto da SRP/CS suporta a especificação 
de requisitos de segurança na sua totalidade para as máquinas.
NÃO TEM VALOR NORMATIVO 1/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
A validação deve demonstrar que cada SRP/CS atende aos requisitos da ISO 13849-1, em particular, 
aos seguintes:
 a) as características de segurança especificadas das funções de segurança providas por aquela 
parte, conforme estabelecido no fundamento do projeto;
 b) os requisitos do nível de desempenho especificado (ver ISO 13849-1:2006, 4.5):
 1) os requisitos da categoria especificada (ver ISO 13849-1:2006, 6.2),
 2) as medidas para controle e prevenção de falhas sistemáticas (ver ISO 13849-1:2006, Anexo G),
 3) se aplicável, os requisitos do software (ver ISO 13849-1:2006, 4.6), e
 4) a capacidade de desempenhar uma função de segurança sob condições ambientais esperadas;
 c) o projeto ergonômico da interface do operador, por exemplo, de modo que o operador não tente 
agir de maneira perigosa, como anular a SRP/CS (ver ISO 13849-1:2006s, 4.8).
Convém que a validação seja realizada por pessoas que sejam independentes do projeto da SRP/CS.
NOTA “Pessoa independente” não significa necessariamente que um ensaio de terceiros é requerido.
A validação consiste na aplicação da análise (ver Seção 5) e execução de ensaios funcionais 
(ver Seção 6) sob condições previsíveis de acordo com o plano de validação. A Figura 1 provê uma 
visão geral do processo de validação. O equilíbrio entre a análise e o ensaio depende da tecnologia 
utilizada para as partes relacionadas à segurança e o nível de desempenho requerido. Para as 
Categorias 2, 3 e 4 a validação da função de segurança também deve incluir ensaios sob condições 
de falha.
Convém que a análise seja iniciada o mais cedo possível e em paralelo com o processo do projeto. 
Os problemas podem ser corrigidos antecipadamente, enquanto eles ainda são relativa-
mente fáceis de corrigir, ou seja, durante as etapas de “projeto e realização técnica da função de 
segurança” e “avaliar o nível de desempenho PL” [a quarta e a quinta caixas mostradas na 
ISO 13849-1:2006, Figura 3]. Pode ser necessário que algumas partes da análise sejam adiadas 
até que o projeto seja bem desenvolvido.
Sempre que for necessário devido ao tamanho e à complexidade do sistema ou aos efeitos de 
integrá-lo com o sistema de controle (da máquina), convém que disposições especiais sejam efe-
tuadas para
 — validação da SRP/CS separadamente antes da integração, incluindo simulação dos sinais de 
entrada e saída apropriados, e
 — validação dos efeitos de integração das partes relacionadas à segurança no restante do sistema 
de controle dentro do contexto de sua utilização na máquina.
NÃO TEM VALOR NORMATIVO2/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Início
Fim
Sim
Sim
Sim
Sim
Não
Não
Não
Não
Considerações
de projeto
Documentos Plano de validação
Análise
Ensaio
Categoria 2, 3, 4
Testar a função de
segurança sob
condição de falha
A análise é
suficiente?
Registro de
validação
O ensaio
é aprovado?
Modificação
do projeto
Todas as
funções de
segurança estão
validadas?
Princípios de validação
Listas de falhas
Especificação das funções de
segurança
Função de segurança
PL e categorias:
 – determinação da categoria
 – MTTFd, DC, CCF
 – falhas sistemáticas
 – software
 – verificação do PL para SRP/CS
 – combinação da SRP/CS
Requisitos ambientais
Requisitos de manutenção
Especificação técnica/informações
ao usuário
Critérios para
exclusão da falha
Figura 1 – Visão geral do processo de validação
A “Modificação do projeto” mostrada na Figura 1 refere-se ao processo de projeto. Se a validação 
puder não ser concluída com êxito, alterações no projeto são necessárias. Convém que a validação 
das partes relacionadas à segurança modificadas seja, então, repetida. Convém que este processo 
seja repetido até que todas as partes relacionadas à segurança das funções de segurança sejam 
validadas com êxito.
4.2 Plano de validação
O plano de validação deve identificar e descrever os requisitos para a realização do processo de 
validação referente às funções de segurança especificadas, suas categorias e níveis de desempenho.
O plano de validação também deve identificar os meios a serem empregados para validar as funções 
de segurança especificadas, categorias e níveis de desempenho. Ele deve estabelecer, quando 
apropriado
 a) a identificação dos documentos da especificação,
NÃO TEM VALOR NORMATIVO 3/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
 b) as condições operacionais e ambientais durante o ensaio,
 c) as análises e ensaios a serem aplicados,
 d) a referência às normas de ensaio a serem aplicadas, e
 e) as pessoas ou as partes responsáveis por cada etapa no processo de validação.
As partes relacionadas à segurança que foram anteriormente validadas para amesma especificação 
precisam somente de uma referência à validação anterior.
4.3 Listas de falhas genéricas
O processo de validação envolve a consideração do comportamento da SRP/CS para todas as falhas 
a serem consideradas. A base para a consideração da falha é provida nas tabelas das listas de falhas 
mostradas nos Anexos A a D, as quais são baseadas na experiência e contêm
 — os componentes/elementos a serem incluídos, por exemplo, condutores/cabos (ver Anexo D),
 — as falhas a serem levadas em consideração, por exemplo, curtos-circuitos entre condutores,
 — as exclusões de falhas permitidas, levando em consideração os aspectos ambientais, operacionais 
e da aplicação, e
 — uma seção de observações provendo as razões para as exclusões das falhas.
Somente falhas permanentes são levadas em consideração nas listas de falhas.
4.4 Listas	de	falhas	específicas
Se necessário, uma lista de falhas específicas relativas ao produto deve ser gerada como um 
documento de referência para o processo de validação da(s) parte(s) relativa(s) à segurança. A lista 
pode ser baseada na(s) lista(s) genérica(s) apropriada(s) encontrada(s) nos Anexos.
Quando a lista de falhas específicas relativas ao produto for baseada na(s) lista(s) genérica(s), 
ela deve declarar
 a) as falhas obtidas da(s) lista(s) genérica(s) a serem incluídas,
 b) quaisquer outras falhas relevantes a serem incluídas, porém não providas na lista genérica 
(por exemplo, falhas de causa comum),
 c) as falhas obtidas da(s) lista(s) genérica(s) que podem ser excluídas em função de que os critérios 
providos na(s) lista(s) genérica(s) (ver ISO 13849-1:2006, 7.3) serem atendidos, e excepcionalmente
 d) quaisquer outras falhas para as quais a(s) lista(s) genérica(s) não permite(m) uma exclusão, 
porém para as quais uma justificativa e fundamentação para uma exclusão são apresentadas 
(ver ISO 13849-1:2006, 7.3).
Quando esta lista não for baseada na(s) lista(s) genérica(s), o projetista deve prover a fundamentação 
para as exclusões das falhas.
NÃO TEM VALOR NORMATIVO4/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
4.5 Informações	para	validação
As informações requeridas para validação irão variar com a tecnologia utilizada, a categoria ou 
categorias e o(s) nível(eis) de desempenho a ser(em) demonstrado(s), o fundamento do projeto do 
sistema e a contribuição da SRP/CS para a redução do risco. Documentos que contenham informações 
suficientes da seguinte lista devem ser incluídos no processo de validação para demonstrar que as 
partes relacionadas à segurança desempenham as funções de segurança especificadas segundo 
o nível ou níveis de desempenho e a categoria ou categorias requeridos:
 a) especificação das características requeridas de cada função de segurança e sua categoria e nível 
de desempenho requeridos;
 b) desenhos e especificações, por exemplo, para as partes mecânicas, hidráulicas e pneumáticas, 
placas de circuito impresso, placas montadas, fiação interna, compartimento, materiais, instalação;
 c) diagrama(s) de blocos com uma descrição funcional dos blocos;
 d) diagrama(s) de circuitos, incluindo interfaces/conexões;
 e) descrição funcional do(s) diagrama(s) de circuitos;
 f) diagrama(s) de sequência de tempo para componentes de comutação, sinais relevantes quanto 
à segurança;
 g) descrição das características relevantes de componentes validados anteriormente;
 h) para as partes relacionadas à segurança, exceto às listadas em g), listas de componentes com 
designações de itens, valores nominais, tolerâncias, tensões mecânicas de operação relevantes, 
designação de tipo, dados da taxa de falhas e fabricante do componente, e quaisquer outros 
dados relevantes para a segurança;
 i) análise de todas as falhas relevantes (ver também 4.3 e 4.4), como as listadas nas tabelas dos 
Anexos A a D, incluindo a justificativa de quaisquer falhas excluídas;
 j) uma análise da influência dos materiais processados;
 k) informações de uso, por exemplo, manual de instalação e operação/manual de instrução.
Quando houver software relevante à(s) função(ões) de segurança, a documentação do software deve 
incluir
 — uma especificação que seja clara e inequívoca e que declare o desempenho de segurança a ser 
atingido pelo software,
 — evidência de que o software é projetado para atingir o nível de desempenho requerido (ver 9.5), e
 — detalhes dos ensaios (em relatórios de ensaio específicos) realizados para comprovar que o 
desempenho de segurança requerido é atingido.
NOTA Ver ISO 13849-1:2006, 4.6.2 e 4.6.3, quanto aos requisitos.
NÃO TEM VALOR NORMATIVO 5/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Informações são requeridas para identificar como o nível de desempenho e a probabilidade média de 
uma falha perigosa por hora são determinados. A documentação dos aspectos quantificáveis deve incluir
 — o diagrama de blocos relacionado à segurança (ver ISO 13849-1:2006, Anexo B) ou a arquitetura 
designada (ver ISO 13849-1:2006, 6.2),
 — a determinação do MTTFD, DCavg e CCF, e
 — a determinação da categoria (ver Tabela 2).
Informações são requeridas para documentação sobre os aspectos sistemáticos da SRP/CS.
Informações são requeridas sobre como a combinação de diversas SRP/CS atinge um nível de 
desempenho de acordo com o nível de desempenho requerido.
Tabela 2 – Requisitos da documentação para categorias em relação aos níveis de desempenho
Requisito da documentação
Categoria da documentação 
para a qual é requerido
B 1 2 3 4
Princípios básicos de segurança X X X X X
Tensões mecânicas de operação esperadas X X X X X
Influências do material processado X X X X X
Desempenho durante outras influências externas relevantes X X X X X
Componentes devidamente comprovados – X – – –
Princípios de segurança devidamente comprovados – X X X X
Tempo médio até a falha perigosa (MTTFD) de cada canal X X X X X
O procedimento de verificação da(s) função(ões) de segurança – – X – –
Medidas de diagnóstico realizadas, incluindo reação da falha – – X X X
Intervalos de verificação, quando especificados – – X X X
Cobertura de diagnóstico (DCavg) – – X X X
Falhas únicas previsíveis consideradas no projeto e no método de detecção utilizado – – X X X
Falhas de causa comum (CCF) identificadas e como evitá-las – – X X X
Falhas únicas previsíveis excluídos – – – X X
Falhas a serem detectadas – – X X X
Como a função de segurança é mantida no caso de cada uma das falhas – – – X X
Como a função de segurança é mantida para cada uma das combinações de falhas – – – – X
Medidas contra falhas sistemáticas X X X X X
Medidas contra falhas de software X – X X X
X documentação requerida
– documentação não requerida
NOTA As categorias são aquelas providas na ISO 13849-1:2006.
NÃO TEM VALOR NORMATIVO6/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
4.6 Registro de validação
A validação por análise e ensaio deve ser registrada. O registro deve demonstrar o processo de vali-
dação para cada um dos requisitos de segurança. Referência cruzada pode ser efetuada em registros 
de validação anteriores, desde que estes sejam devidamente identificados.
Para qualquer parte relativa à segurança que tenha falhado em um elemento do processo de validação, 
o registro de validação deve descrever quais elementos falharam na análise/ensaio de validação. 
Deve ser assegurado que todas as partes relacionadas à segurança sejam revalidadas com êxito 
após a modificação.
5 Validação por análise
5.1 Generalidades
A validação da SRP/CS deve ser realizada por análise. Os dados para a análise incluem o seguinte:
 — a(s) função(s) de segurança, suas características e o(s) nível(eis) de desempenho requerido(s) 
identificados durante a análise de risco (ver ISO 13849-1:2006, Figuras 1 e 3);
 — os aspectos quantificáveis (MTTFD, DCavg e CCF);
 — a estrutura do sistema (por exemplo,arquiteturas designadas) (ver ISO 13849-1:2006, Seção 6);
 — os aspectos qualitativos e não quantificáveis que afetam o comportamento do sistema (se apli-
cável, aspectos do software);
 — argumentos determinísticos.
A validação das funções de segurança por análise em vez de ensaio requer a formulação de argu-
mentos determinísticos.
NOTA 1 Um argumento determinístico é um argumento com base em aspectos qualitativos (por exemplo, 
qualidade de fabricação, experiência de uso). Esta consideração depende da aplicação, que, juntamente 
com outros fatores, pode afetar os argumentos determinísticos.
NOTA 2 Os argumentos determinísticos diferem de outras evidências mostrando que as propriedades 
requeridas do sistema seguem de forma lógica um modelo do sistema. Tais argumentos podem ser construídos 
com base em conceitos simples e bem compreendidos.
5.2 Técnicas de análise
A seleção de uma técnica de análise depende do objeto em particular. Existem duas técnicas básicas, 
conforme descrito a seguir.
 a) As técnicas descendentes (dedutivas) são adequadas para determinar os eventos desenca-
deadores que podem levar a consequências identificadas, e que calculam a probabilidade das 
consequências a partir da probabilidade dos eventos desencadeadores. Elas também podem 
ser utilizadas para investigar as consequências de falhas múltiplas identificadas.
EXEMPLO Análise da árvore de falhas (FTA, ver IEC 61025), análise de árvore de eventos (ETA).
NÃO TEM VALOR NORMATIVO 7/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
 b) As técnicas ascendentes (indutivas) são adequadas para investigar a consequência das falhas 
individualmente identificadas.
EXEMPLO Análise dos modos e efeitos de falha (FMEA, ver IEC 60812) e análise dos modos, efeitos 
e criticidade de falha (FMECA).
6 Validação por ensaio
6.1 Generalidades
Quando a validação por análise não for conclusiva, ensaios devem ser realizados para completar 
a validação. O ensaio é sempre complementar à análise e é muitas vezes necessário.
Os ensaios de validação devem ser planejados e implementados de uma forma lógica. Particularmente:
 a) um plano de ensaio deve ser produzido antes do início dos ensaios, devendo incluir
 1) as especificações de ensaio,
 2) o resultado requerido dos ensaios quanto à conformidade, e
 3) a cronologia dos ensaios;
 b) os registros do ensaio devem ser produzidos, incluindo
 1) o nome da pessoa que realiza o ensaio,
 2) as condições ambientais (ver Seção 10),
 3) os procedimentos e equipamentos de ensaio utilizados,
 4) a data do ensaio, e
 5) os resultados do ensaio;
 c) os registros do ensaio devem ser comparados com o plano de ensaio para assegurar que as 
metas de desempenho e funcionais especificadas sejam atingidas.
A amostra de ensaio deve ser operada o mais próximo possível na sua configuração final de operação, 
ou seja, com todos os dispositivos periféricos e tampas fixados.
Este ensaio pode ser aplicado manual ou automaticamente, por exemplo, por computador.
Quando aplicavel, a validação das funções de segurança por ensaio é realizada por meio da aplicação 
de sinais de entrada, em várias combinações, à SRP/CS. A resposta resultante das saídas deve ser 
comparada com as saídas especificadas apropriadas.
É recomendado que a combinação destes sinais de entrada seja aplicada sistematicamente ao sistema 
de comando e à máquina. Um exemplo desta lógica é a ligação, ativação, operação, mudanças 
direcionais e reativação. Quando necessário, uma faixa expandida de dados de entrada deve ser 
aplicada para levar em consideração situações anômalas ou incomuns, a fim de ver como a SRP/CS 
responde. Tais combinações dos dados de entrada devem levar em consideração a(s) operação(ões) 
incorreta(s) previsível(eis).
NÃO TEM VALOR NORMATIVO8/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Os objetivos do ensaio determinarão a condição ambiental para este ensaio, que pode ser uma ou 
outra das seguintes:
 — as condições ambientais do uso pretendido;
 — as condições em uma determinada classificação;
 — uma determinada faixa de condições, se algum desvio for esperado.
Convém que a faixa de condições que é considerada estável e sobre a qual os ensaios são válidos 
seja acordada entre o projetista e a(s) pessoa(s) responsável(eis) pela realização dos ensaios 
e convém que seja registrada.
6.2 Exatidão na medição
A exatidão das medições durante a validação por ensaio deve ser apropriada para o ensaio realizado. 
Em geral, estas exatidões na medição devem estar dentro de 5 K para as medições de temperatura 
e 5% para o seguinte:
 a) medições de tempo;
 b) medições de pressão;
 c) medições de força;
 d) medições elétricas;
 e) medições de umidade relativa;
 f) medições lineares.
Desvios destas exatidões na medição devem ser justificados.
6.3 Requisitos mais rigorosos
Se, de acordo com a sua respectiva documentação, os requisitos para a SRP/CS excederem os requi-
sitos desta Parte da ABNT NBR ISO 13849, requisitos mais rigorosos devem ser aplicados.
NOTA Requisitos mais rigorosos podem ser aplicados se o sistema de comando tiver que resistir às 
condições de serviço particularmente adversas, por exemplo, manuseio brusco, efeitos de umidade, hidrólise, 
variações de temperatura ambiente, efeitos de agentes químicos, corrosão, alta concentração de campos 
eletromagnéticos – por exemplo, devido à pequena proximidade de transmissores.
6.4 Número de amostras de ensaio
Salvo se especificado em contrário, os ensaios devem ser realizados em uma amostra única de 
produção da parte relativa à segurança submetida ao ensaio.
A(s) parte(s) relativa(s) à segurança submetida(s) ao ensaio não pode(m) ser modificada(s) durante 
o transcorrer dos ensaios.
Certos ensaios podem alterar permanentemente o desempenho de alguns componentes. Quando uma 
alteração permanente em um componente fizer com que a parte relativa à segurança seja incapaz 
de atender aos requisitos de ensaios adicionais, uma nova amostra ou amostras devem ser utilizadas 
para ensaios subsequentes.
NÃO TEM VALOR NORMATIVO 9/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Quando um ensaio em particular for destrutivo e resultados equivalentes puderem ser obtidos por 
ensaio da parte da SRP/CS em isolamento, uma amostra desta, parte relativa à segurança, pode 
ser utilizada em vez de toda(s) a(s) parte(s) relativa(s) à segurança com a finalidade de obter os 
resultados do ensaio. Esta abordagem deve ser aplicada somente quando tiver sido demonstrado por 
análise que o ensaio de uma parte ou partes relacionadas à segurança é suficiente para demonstrar 
o desempenho de segurança de toda a parte relativa à segurança que desempenha a função de 
segurança.
7 Validação	da	especificação	dos	requisitos	de	segurança	quanto	às	funções	
de segurança
Antes da validação do projeto da SRP/CS, ou a combinação da SRP/CS que provê a função de 
segurança, a especificação de requisitos para a função de segurança deve ser verificada para 
assegurar consistência e integridade para o uso pretendido.
Convém que a especificação dos requisitos de segurança seja analisada antes de iniciar o projeto, 
uma vez que todas as outras atividades são baseadas nestes requisitos.
Deve ser assegurado que os requisitos para todas as funções de segurança do sistema de comando 
da máquina sejam documentados.
A fim de validar a especificação, medidas adequadas para detectar falhas sistemáticas (erros, omis-
sões ou inconsistências) devem ser aplicadas.
A validação pode ser realizada por revisões e inspeções dos requisitos de segurança e da(s) especi-
ficação(ões) de projeto da SRP/CS, particularmente para comprovar que todos os aspectos
 — dos requisitos da aplicação pretendida e necessidades de segurança, e
 — das condições operacionais e ambientais e possíveis erros humanos (por exemplo, mau uso)
foramconsiderados.
Quando uma norma de produto especificar os requisitos de segurança para o projeto de uma SRP/CS 
(por exemplo, ISO 11161 para sistemas de fabricação integrada ou ISO 13851 para dispositivos de 
comando bimanual), estes devem ser levados em consideração.
8 Validação	das	funções	de	segurança
A validação das funções de segurança deve demonstrar que a SRP/CS, ou a combinação de SRP/CS, 
provê a(s) função(ões) de segurança de acordo com as suas características especificadas.
NOTA 1 A perda da função de segurança na ausência de uma falha do hardware é devida a uma falha 
sistemática, que pode ser causada por erros cometidos durante as fases de projeto e integração (uma 
interpretação errada das características da função de segurança, um erro no projeto da lógica, um erro na 
montagem do hardware, um erro na digitação do código do software etc.). Algumas destas falhas sistemáticas 
serão reveladas durante o processo de projeto, enquanto outras serão reveladas durante o processo de 
validação ou permanecerão despercebidas. Além disso, também é possível que um erro seja cometido 
(por exemplo, falha na verificação de uma característica) durante o processo de validação.
NÃO TEM VALOR NORMATIVO10/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
A validação das características especificadas das funções de segurança deve ser conseguida pela 
aplicação de medidas adequadas a partir da lista descrita seguir.
 — Análise funcional de diagramas esquemáticos, revisões do software (ver 9.5).
NOTA 2 Quando uma máquina tiver funções de segurança complexas ou um número muito grande 
de funções de segurança, uma análise pode reduzir o número de ensaios funcionais requeridos.
 — Simulação.
 — Verificação dos componentes de hardware instalados na máquina e detalhes do software asso-
ciado para confirmar sua correspondência com a documentação (por exemplo, fabricação, tipo, 
versão).
 — Ensaio funcional das funções de segurança em todos os modos de operação da máquina, para 
estabelecer se eles atendem às características especificadas (ver ISO 13849-1:2006, Seção 5, 
para especificações de algumas funções de segurança típicas). Os ensaios funcionais devem 
assegurar que todas as saídas relacionadas à segurança estejam ativas ao longo de toda a 
sua faixa de atuação e respondam aos sinais de entrada relativos à função de segurança, 
de acordo com sua especificação. Os casos de ensaio são normalmente derivados a partir das 
especificações, porém, podem também incluir alguns casos derivados da análise dos diagramas 
esquemáticos ou software.
 — Ensaios funcionais estendidos para checar sinais anormais previsíveis ou combinações de sinais 
de qualquer fonte de entrada, incluindo a interrupção e restauração de energia e operações incorretas.
 — Verificação da interface operador-SRP/CS quanto ao atendimento de princípios ergonômicos 
(ver ISO 13849-1:2006, 4.8).
NOTA 3 Outras medidas contra falhas sistemáticas mencionadas em 9.4 (por exemplo, diversidade, 
detecção de falhas por meio de ensaios automáticos) também podem contribuir na detecção de falhas 
funcionais.
9 Validação dos níveis de desempenho e categorias
9.1 Análise e ensaio
Para a SRP/CS ou combinação de SRP/CS que provê a(s) função(ões) de segurança, a validação 
deve demonstrar que os níveis de desempenho (PLr) e as categorias requeridas na especificação de 
requisitos de segurança são atendidos. Primordialmente, isto irá requerer análise de falhas, utilizando 
diagramas de circuito (ver Seção 5) e, quando a análise de falhas for inconclusiva:
 — ensaios de introdução de falhas no circuito real e iniciação de falha em componentes reais, 
especialmente em partes do sistema onde houver dúvidas sobre os resultados obtidos a partir da 
análise de falhas (ver Seção 6);
 — uma simulação do comportamento do sistema de comando no caso de um falha, por exemplo, 
por meio de modelos de hardware e/ou software.
Em algumas aplicações pode ser necessário dividir as partes conectadas relacionadas à segurança 
em diversos subgrupos funcionais e submeter estes grupos e suas interfaces aos ensaios de simu-
lação de falhas.
NÃO TEM VALOR NORMATIVO 11/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Ao validar por ensaio, convém que os ensaios incluam, conforme apropriado,
 — ensaios de inserção de falhas em uma amostra de produção,
 — ensaios de inserção de falhas em um modelo de hardware,
 — simulação de falhas por software, e
 — falha no subsistema, por exemplo, fontes de energia.
O instante preciso em que uma falha é inserida em um sistema pode ser crítico. O efeito de pior 
caso de uma insenção de falha deve ser determinado por análise e inserção de falha neste momento 
crítico apropriado.
9.2 Validação	das	especificações	de	categoria
9.2.1 Categoria B
As SRP/CS para a Categoria B devem ser validadas de acordo com os princípios básicos de segu-
rança (ver Tabelas A.1, B.1, C.1 e D.1) demonstrando que a especificação, projeto, construção e 
escolha de componentes estão de acordo com a ISO 13849-1:2006, 6.2.3. O MTTFD do canal deve 
ser demonstrado para ser de pelo menos três anos. Isto deve ser atingido por meio da verificação 
de que a SRP/CS está de acordo com sua especificação, conforme provido nos documentos para 
validação (ver 4.5). Para a validação das condições ambientais, ver 6.1.
NOTA Em casos específicos, valores mais altos de MTTFD podem ser requeridos – por exemplo, 
quando PLr = b.
9.2.2 Categoria 1
As SRP/CS para a Categoria 1 devem ser validadas demonstrando o seguinte:
 a) atendem aos requisitos da Categoria B;
 b) são componentes “devidamente comprovados” (ver Tabelas A.3 e D.3) os que atendem a pelo 
menos uma das seguintes condições:
 1) eles foram amplamente utilizados no passado com resultados bem sucedidos em aplicações 
similares;
 2) eles foram fabricados e verificados utilizando princípios que demonstrem a sua adequação 
e confiabilidade para aplicações relacionadas à segurança;
 c) os princípios de segurança devidamente comprovados (quando aplicáveis, ver Tabelas A.2, B.2, 
C.2 e D.2) foram implementados corretamente e, quando princípios desenvolvidos recentemente 
foram utilizados, validação deve ser realizada
 1) sobre como os modos esperados de falha foram evitados, e
 2) sobre como as falhas foram evitadas ou a sua probabilidade reduzida a um nível adequado.
Normas de componentes relevantes podem ser utilizadas para demonstrar a conformidade com esta 
subseção (ver Tabelas A.3 e D.3). O MTTFD do canal deve ser demonstrado para ser de pelo menos 
30 anos.
NÃO TEM VALOR NORMATIVO12/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
9.2.3 Categoria 2
As SRP/CS para a Categoria 2 devem ser validadas demonstrando o seguinte:
 a) atendem aos requisitos da Categoria B;
 b) os princípios de segurança “devidamente comprovados” utilizados (se aplicáveis) estão de acordo 
com 9.2.2 c);
 c) o equipamento de verificação detecta todas as falhas relevantes aplicadas, uma de cada vez, 
durante o processo de verificação, e gera uma ação de controle apropriada que
 1) inicia um estado seguro ou, quando isto não for possível,
 2) provê um aviso de advertência do perigo;
 d) a(s) verificação(ões) provida(s) pelo equipamento de verificação não introduz(em) um estado inseguro;
 e) a iniciação da verificação é realizada
 1) na ativação da máquina e antes do início de uma situação perigosa, e
 2) periodicamente, durante operação, de acordo com a especificação de projeto e se a apre-
ciação de risco e tipo de operações mostrarem que isto é necessário;
NOTA 1 A necessidade para, e a extensão de, checagens durante operação é determinada pela apre-
ciação de risco do projetista e pelo tipo de operação necessária.
 f) o MTTFd do canal funcional (MTTFd,L) é de pelo menos três anos;
 g) o MTTFd,TE é maior do que metade do MTTFd,L;
 h)a taxa de teste ≥ 100 × a taxa de demanda esperada;
 i) a DCavg é de pelo menos 60 %;
 j) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
NOTA 2 Em casos específicos, valores mais altos de MTTFD e/ou DCavg podem ser requeridos – 
por exemplo, devido ao alto PLr.
9.2.4 Categoria 3
As SRP/CS para a Categoria 3 devem ser validadas demonstrando o seguinte:
 a) atendem aos requisitos da Categoria B;
 b) os princípios de segurança devidamente comprovados (se aplicáveis) atendem aos requisitos 
de 9.2.2 c);
 c) uma única falha não leva à perda da função de segurança;
 d) falhas únicas (incluindo falhas de causa comum) são detectadas de acordo com o fundamento 
do projeto e a tecnologia aplicada;
NÃO TEM VALOR NORMATIVO 13/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
 e) o MTTFD de cada canal é de pelo menos três anos;
 f) a DCavg é de pelo menos 60 %;
 g) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
NOTA Em casos específicos, valores mais altos de MTTFd e/ou DCavg podem ser requeridos – 
por exemplo, devido ao alto PLr.
9.2.5 Categoria 4
As SRP/CS para a Categoria 4 devem ser validadas demonstrando o seguinte:
 a) atendem aos requisitos da Categoria B;
 b) os princípios de segurança devidamente comprovados (se aplicáveis) estão de acordo com os 
requisitos de 9.2.2 c);
 c) uma única falha (incluindo falhas de causa comum) não leva à perda da função de segurança;
 d) as falhas isoladas (falhas únicas) são detectadas na próxima demanda ou antes desta sobre 
a função de segurança, sendo isto atingido com uma DCavg de pelo menos 99 %;
 e) se uma única falha não for detectada com uma DCavg de pelo menos 99 %, um acúmulo de 
falhas não leva à perda da(s) função(ões) de segurança, e a extensão do acúmulo de falhas 
consideradas está de acordo com o fundamento do projeto;
 f) o MTTFD de cada canal é de pelo menos 30 anos;
 g) as falhas de causa comum são suficientemente reduzidas (ver ISO 13849-1:2006, Anexo F).
9.3 Validação de MTTFd, DCavg e CCF
A validação de MTTFd, DCavg e CCF é normalmente realizada por análise e inspeção visual.
Os valores de MTTFd para componentes (incluindo valores de B10d, T10d e nop) devem ser checados 
quanto à plausibilidade (por exemplo, comparado à ISO 13849-1:2006, Anexo C). Por exemplo, 
o valor provido na folha de dados do fornecedor deve ser comparado com a ISO 13849-1:2006, 
Anexo C. Quando as declarações de exclusão de falhas significarem que componentes específicos 
não contribuem com o canal de MTTFd, a plausibilidade da exclusão da falha deve ser checada.
NOTA 1 Uma exclusão de falha significa MTTFd infinito; portanto, o componente não contribuirá para 
o cálculo do canal de MTTFd.
NOTA 2 Para a determinação do valor de B10d, ver, por exemplo, a IEC 60947-4-1:2010, Anexo K.
O MTTFd de cada canal da SRP/CS, incluindo a aplicação da equação de simetrização 
(ver ISO 13849-1:2006, Anexo D) para canais redundantes diferentes, deve ser checado quanto 
ao cálculo correto. Deve ser assegurado que o MTTFd de canais individuais seja restrito para não 
ser maior do que 100 anos antes que a equação de simetrização seja aplicada.
Os valores de DC para componentes e/ou blocos lógicos devem ser checados quanto à plausibilidade 
(por exemplo, comparado às medidas da ISO 13849-1:2006, Anexo E). A implementação correta 
(hardware e software) de checagens e diagnósticos, incluindo reação apropriada à falha, deve ser 
validada por ensaio sob condições ambientais típicas em uso.
NÃO TEM VALOR NORMATIVO14/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
A DCavg da SRP/CS deve ser checada quanto ao cálculo correto.
A implementação correta de medidas suficientes contra falhas de causa comum deve ser validada 
(por exemplo, comparado à ISO 13849-1:2006, Anexo F). Medidas de validação típicas são a análise 
de hardware estático e ensaios funcionais sob condições ambientais.
NOTA 3 Para o cálculo dos valores de MTTFd de componentes eletrônicos, uma temperatura ambiente de 
+ 40 °C é tomada como base. Durante a validação, é importante assegurar que, para valores de MTTFd, 
as condições ambientais e funcionais (em particular a temperatura) tomadas como base sejam atendidas. 
Quando um dispositivo, ou componente, for operado significativamente acima (por exemplo, superior 
a 15 °C) da temperatura especificada de + 40 °C, será necessário utilizar valores de MTTFd para o aumento 
da temperatura ambiente.
9.4 Validação de medidas contra falhas sistemáticas relativas ao nível de desempenho 
e categoria da SRP/S
A validação de medidas contra falhas sistemáticas (estabelecidas na ISO 13849-1:2006, 3.1.7) rela-
tivas aos níveis de desempenho e categorias de cada SRP/CS tipicamente pode ser provida por
 a) inspeções de documentos de projeto que confirmem a aplicação de
 1) princípios básicos de segurança e princípios de segurança devidamente comprovados 
(ver Anexos A a D),
 2) medidas adicionais para evitar falhas sistemáticas (ver ISO 13849-1:2006, G.3), e
 3) medidas adicionais para o controle de falhas sistemáticas, como a diversidade do hardware 
(ver ISO 13849-1:2006, Anexo G), proteção contra modificações ou programação com 
asserção de falhas;
 b) análise de falhas (por exemplo, FMEA);
 c) ensaios de introdução de falhas/iniciação de falhas;
 d) inspeção e ensaio da comunicação de dados, quando utilizados;
 e) verificação de que um sistema de gestão da qualidade evita as causas das falhas sistemáticas 
no processo de fabricação.
9.5 Validação do software relacionado à segurança
A validação do software embarcado relacionado à segurança (SRESW) e do software de aplicação 
relacionado à segurança (SRASW) deve incluir
 — o comportamento funcional e os critérios de desempenho especificados (por exemplo, desem-
penho do sincronismo) do software, quando executado no hardware de destino,
 — a verificação de que as medidas do software são suficientes para o PLr especificado da função 
de segurança, e
 — as medidas e atividades tomadas durante o desenvolvimento do software, para evitar falhas de 
software sistemáticos.
NÃO TEM VALOR NORMATIVO 15/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Como uma primeira etapa, checar se há documentação para a especificação e projeto do software 
relacionado à segurança. Esta documentação deve ser revisada quanto à integralidade e ausência de 
interpretações errôneas, omissões ou inconsistências.
NOTA No caso de pequenos programas, uma análise do programa por meio de revisões ou verificação 
geral do fluxo de controle, procedimentos, etc. que utiliza a documentação do software (fluxograma de 
controle, código-fonte de módulos ou blocos, I/O e listas de alocação de variáveis, listas de referência 
cruzada) pode ser suficiente.
Em geral, o software pode ser considerado “caixa preta” ou “caixa cinza” (ver ISO 13849-1:2006, 4.6.2) 
e validado pelo ensaio de “caixa preta” ou “caixa cinza”, respectivamente.
Dependendo do PLr [ISO 13849-1:2006, 4.6.2 (para SRESW) e 4.6.3 (para SRASW)], convém que 
os ensaios incluam
 — ensaio de caixa-preta do comportamento e desempenho funcional (por exemplo, desempenho 
do sincronismo),
 — casos de ensaios estendidos adicionais com base em análises do valor limite, recomendado 
para PL d ou e,
 — ensaios de I/O para assegurar que os sinais de entrada e saída relativos à segurança sejam 
utilizados adequadamente, e
 — casos de ensaio que simulem falhas anteriores determinados analiticamente, em conjunto 
com a resposta esperada, a fim de avaliar se as medidas com base em software para controle 
de falhas são adequadas.
As funções individuais do software que já foram validadas não precisam ser validadas novamente. 
No entanto, quando um número de blocos de função de segurança for combinado para um projeto, 
a função de segurançatotal resultante deve ser validada.
A documentação do software deve ser checada para confirmar se medidas e atividades suficientes 
foram implementadas contra as falhas sistemáticas do software de acordo com o modelo-V simplificado 
(ISO 13849-1:2006, Figura 6).
As medidas para a implementação do software de acordo com ISO 13849-1:2006, 4.6.2 
(para SRESW) e 4.6.3 (para SRASW), que dependem do PL a ser atingido, devem ser exami- 
nadas com relação à sua implementação apropriada.
Se o software relacionado à segurança for subsequentemente modificado, ele deve ser revalidado 
em uma escala adequada.
9.6 Validação	e	verificação	do	nível	de	desempenho
Para o procedimento simplificado para estimar o PL da SRP/CS de acordo com ISO 13849-1:2006, 
4.5.4, e ISO 13849-1:2006, Anexos B a F e Anexo K, as seguintes verificações e etapas de validação 
devem ser realizadas:
 — verificação da correta avaliação do PL com base na categoria, DCavg e MTTFD (de acordo com 
a ISO 13849-1:2006, 4.5.4 e Anexo K);
 — verificação de que o PL atingido pela SRP/CS atende ao nível de desempenho requerido PLr 
na especificação dos requisitos de segurança para a máquina: PL ≥ PLr.
NÃO TEM VALOR NORMATIVO16/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Quando outros métodos forem utilizados para avaliar o PL atingido, com base na probabilidade média 
estimada de uma falha perigosa por hora, a validação deve considerar
 — o valor de MTTFd para cada componente,
 — a DC,
 — a CCF,
 — a estrutura, e
 — a documentação, aplicação e cálculo, que devem ser verificados quanto à sua correção.
9.7 Validação da combinação de partes relacionadas à segurança
Quando a função de segurança for implementada por duas ou mais partes relacionadas à segurança, 
a validação da combinação – por análise e, se necessário, por ensaio – deve ser realizada para 
estabelecer que a combinação atinge o nível de desempenho especificado no projeto. Resultados 
de validação existentes registrados de partes relacionadas à segurança podem ser levados em 
consideração. As seguintes etapas de validação devem ser realizadas:
 — inspeção de documentos do projeto que descrevam a(s) função(ões) de segurança como um todo;
 — uma verificação de que o PL total da combinação de SRP/CS foi corretamente avaliado com base 
no PL de cada parte relativa à segurança individual (de acordo com o ISO 13849-1:2006, 6.3);
NOTA Um somatório da probabilidade média de falhas perigosas por hora de todas as SRP/CS 
combinadas pode ser utilizada como uma alternativa segundo a ISO 13849-1:2006, Tabela 11. É importante 
checar as restrições não quantificáveis de aspectos sistemáticos, arquitetônicos e de CCF que podem 
limitar o nível de desempenho total a valores mais baixos.
 — consideração das características das interfaces, por exemplo, tensão, corrente, pressão, formato 
de dados de informações, nível de sinal;
 — análise de falhas relativa à combinação/integração, por exemplo, por FMEA;
 — para sistemas redundantes, ensaios de introdução de falhas relativos à combinação/integração.
10 Validação dos requisitos ambientais
O desempenho especificado no projeto da SRP/CS deve ser validado em relação às condições 
ambientais especificadas para o sistema de comando.
A validação deve ser realizada por análise e, se necessário, por ensaio. A extensão da análise e do 
ensaio dependerá das partes relacionadas à segurança, do sistema em que elas estão instaladas, 
da tecnologia utilizada e da(s) condição(ões) ambiental(ais) que está(ão) sendo validada(s). O uso 
de dados de confiabilidade operacional sobre o sistema ou seus componentes, ou a confirmação 
de conformidade segundo normas ambientais apropriadas (por exemplo, para impermeabilização, 
proteção contra vibração), pode auxiliar este processo de validação.
Quando aplicável, a validação deve abordar
 — as tensões mecânicas esperadas de impacto, vibração, entrada de contaminantes,
NÃO TEM VALOR NORMATIVO 17/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
 — a durabilidade mecânica,
 — as classificações elétricas e fontes de energia,
 — as condições climáticas (temperatura e umidade), e
 — a compatibilidade eletromagnética (imunidade).
Quando ensaio for necessário para determinar a conformidade com os requisitos ambientais, 
os procedimentos descritos nas normas relevantes devem ser seguidos tanto quanto requeridos 
para a aplicação.
Após a conclusão da validação por ensaio, as funções de segurança devem continuar a estar de 
acordo com as especificações quanto aos requisitos de segurança, ou a SRP/CS deve prover saída(s) 
para um estado seguro.
11 Validação dos requisitos de manutenção
O processo de validação deve demonstrar que as provisões, quanto aos requisitos de manutenção 
especificados na ISO 13849-1:2006, Seção 9, Parágrafo 2, foram implementadas.
A validação dos requisitos de manutenção deve incluir o seguinte, conforme aplicável:
 a) uma revisão das informações de uso confirmando que
 1) as instruções de manutenção são completas [incluindo procedimentos, ferramentas reque-
ridas, frequência das inspeções, intervalo de tempo para substituição dos componentes 
sujeitos ao desgaste (T10d) etc.] e compreensíveis,
 2) se apropriado, existem provisões para a manutenção a serem realizadas somente por pessoal 
de manutenção qualificado;
 b) uma verificação de que medidas para a fácil manutenibilidade (por exemplo, fornecimento de 
ferramentas de diagnóstico para auxiliar na busca e no reparo de falhas) foram aplicadas.
Além disso, as seguintes medidas devem ser incluídas, quando aplicáveis:
 — medidas contra erros durante a manutenção (por exemplo, detecção de dados de entrada errados 
por meio de verificações de plausibilidade);
 — medidas contra modificações (por exemplo, proteção com senha para evitar o acesso ao programa 
por pessoas não autorizadas).
12 Validação	da	documentação	técnica	e	informações	de	uso
O processo de validação deve demonstrar que os requisitos para a documentação técnica especificada 
no ISO 13849-1:2006, Seção 10, e para informações de uso especificadas na ISO 13849-1:2006, 
Seção 11, foram implementados.
NÃO TEM VALOR NORMATIVO18/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Anexo A 
(informativo) 
 
Ferramentas de validação para sistemas mecânicos
Quando sistemas mecânicos forem utilizados em conjunto com outras tecnologias, convém que o 
Anexo A também seja levado em consideração.
As Tabelas A.1 e A.2 listam os princípios básicos de segurança e os princípios de segurança 
devidamente comprovados.
A Tabela A.3 lista componentes devidamente comprovados para uma aplicação relativa à segurança 
com base na aplicação de princípios de segurança devidamente comprovados e/ou em uma norma 
para suas aplicações específicas. Um componente devidamente comprovado para algumas aplica-
ções pode ser inapropriado para outras.
As Tabelas A.4 e A.5 listam as exclusões de falhas e suas fundamentações. Para exclusões adicionais, 
ver 4.4.
O instante preciso em que ocorrem as falhas pode ser crítico (ver 9.1).
Tabela A.1 – Princípios básicos de segurança (continua)
Princípio básico de segurança Observações
Uso de materiais adequados e fabricação adequada
Seleção de material, métodos de fabricação e tratamento em 
relação à, por exemplo, tensão, durabilidade, elasticidade, atrito, 
desgaste, corrosão, temperatura.
Dimensionamento e configuração corretos Considerar, por exemplo, tensão, deformação, fadiga, 
rugosidade superficial, tolerâncias, emperramento, fabricação.
Seleção, combinação, disposições, montagem e 
instalação adequadas de componentes/sistemas
Aplicar as recomendações de aplicação do fabricante, por 
exemplo, folhas de catálogo, instruções de instalação, 
especificações e uso das boas práticas de engenharia em 
componentes/sistemas similares.
Uso do princípio de desenergizaçãoO estado seguro é obtido pela interrupção do suprimento de energia. 
Ver ação principal de parada na ABNT NBR ISO 12100:2013, 
6.2.11.3.
A energia é fornecida para o início do movimento de um 
mecanismo. Ver ação principal de partida na 
ABNT NBR ISO 12100:2013, 6.2.11.3.
Considerar diferentes modos, por exemplo, modo de operação, 
modo de manutenção.
IMPORTANTE – Este princípio não é para ser seguido quando 
a perda de energia criar um perigo, por exemplo, liberação 
da	peça	de	trabalho	causada	pela	perda	da	força	de	fixação.
NÃO TEM VALOR NORMATIVO 19/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela A.1 (conclusão)
Princípio básico de segurança Observações
Fixação adequada
Para a aplicação de travamento do parafuso, considerar as 
recomendações de aplicação do fabricante.
Sobrecarga pode ser evitada e resistência adequada para liberação 
pode ser atingida empregando-se técnicas de aplicação de 
torque adequado.
Limitação da geração e/ou transmissão de força e 
parâmetros similares
Os exemplos são pino de trava, chapa de fixação e embreagem 
limitadora de torque.
IMPORTANTE – Este princípio não é para ser seguido quando 
a integridade contínua dos componentes for essencial para 
manter o nível de controle requerido.
Limitação da faixa de parâmetros ambientais
Os exemplos são temperatura, umidade e contaminação no local de 
instalação. Ver Seção 10 e considerar as notas de aplicação do 
fabricante.
Limitação de velocidade e parâmetros e similares Considerar, por exemplo, velocidade, aceleração e desaceleração 
requeridas pela aplicação.
Tempo de reação adequado
Considerar, por exemplo, fadiga da mola, atrito, lubrificação, 
temperatura, inércia durante a aceleração e desaceleração, 
combinação de tolerâncias.
Proteção contra partida inesperada
Considerar a partida inesperada causada por energia armazenada 
e após a restauração da fonte de energia para os diferentes 
modos (modo de operação, modo de manutenção etc.).
Equipamento especial para liberação da energia armazenada 
pode ser necessário.
Aplicações especiais, por exemplo, para manter a energia de 
dispositivos de fixação ou assegurar uma posição, precisam ser 
consideradas separadamente.
Simplificação Evitar componentes desnecessários no sistema relacionado à 
segurança.
Separação Separação de funções relacionadas à segurança de outras funções.
Lubrificação adequada Considerar a necessidade de dispositivos de lubrificação, 
informações sobre lubrificantes e intervalos de lubrificação.
Prevenção adequada da entrada de fluidos e poeira Considerar a classificação IP (ver ABNT NBR IEC 60529).
NÃO TEM VALOR NORMATIVO20/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela A.2 – Princípios de segurança devidamente comprovados (continua)
Princípio de segurança devidamente comprovado Observações
Uso de materiais e fabricação cuidadosamente 
selecionados
Seleção de material adequado, métodos e tratamentos de 
fabricação adequados relativos à aplicação.
Uso de componentes com modo de falha orientada
O modo de falha predominante de um componente é conhecido 
de antemão e é sempre o mesmo. Ver ABNT NBR ISO 12100:2013, 
6.2.12.3.
Sobredimensionamento/fator de segurança Os fatores de segurança são os providos em normas ou pela 
boa experiência em aplicações relacionadas à segurança.
Posição segura
A parte móvel do componente é mantida em uma posição 
segura por meios mecânicos (somente atrito não é suficiente). 
Força é requerida para mover da posição segura.
Força de desligamento aumentada Uma posição segura/estado seguro é obtida(o) por uma força 
de desligamento aumentada em relação à força de ligação.
Seleção, combinação, disposição, montagem e instalação 
cuidadosas de componentes/sistemas relativos à aplicação —
Seleção cuidadosa de fixação relativa à aplicação Evitar confiar somente no atrito.
Ação mecânica positiva
Para atingir a ação mecânica positiva, todos os componentes 
mecânicos móveis requeridos para desempenhar a função 
de segurança devem inevitavelmente mover componentes 
conectados. Por exemplo, um came abre diretamente os contatos 
de um interruptor elétrico em vez de confiar em uma mola. 
Ver ABNT NBR ISO 12100:2013, 6.2.5.
Partes múltiplas
Redução do efeito de falhas provendo partes múltiplas que 
atuam em paralelo, por exemplo, quando uma falha de uma ou 
diversas molas não leva a uma condição perigosa.
Aplicação de mola “devidamente comprovada” 
(Ver também Tabela A.3)
Uma mola devidamente comprovada requer
 — o uso de materiais e métodos de fabricação cuidadosamente 
selecionados (por exemplo, pré-ajuste e ciclagem antes do 
uso) e tratamentos (por exemplo, laminação e jateamento),
 — a orientação suficiente da mola, e
 — fator de segurança suficiente quanto à tensão por fadiga 
(ou seja, com uma alta probabilidade de que uma fratura 
não ocorra).
Molas helicoidais de compressão devidamente comprovadas 
também podem ser projetadas
 — pelo uso de materiais e métodos de fabricação 
cuidadosamente selecionados (por exemplo, pré-ajuste 
e ciclagem antes do uso) e tratamentos (por exemplo, 
laminação e jateamento),
 — pela orientação suficiente da mola, e
 — pela folga entre as espiras menor que o diâmetro do fio, 
quando sem carga, e
 — pela força suficiente após uma fratura(s) ser mantidas 
(ou seja, uma fratura(s) não levará(ão) a uma condição 
perigosa).
NOTA Molas de compressão são preferidas.
NÃO TEM VALOR NORMATIVO 21/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela A.2 (conclusão)
Princípio de segurança devidamente comprovado Observações
Faixa limitada de força e parâmetros similares
Determinar a limitação necessária em relação à experiência e 
aplicação. Os exemplos são pino de trava, chapa de fixação e 
embreagem limitadora de torque.
IMPORTANTE – Este princípio não é para ser seguido 
quando a integridade contínua dos componentes é 
essencial para manter o nível de controle requerido.
Faixa limitada de velocidade e parâmetros similares
Determinar a limitação necessária em relação à experiência e 
aplicação. Os exemplos são regulador, monitoramento seguro 
da velocidade e deslocamento limitado.
Faixa limitada de parâmetros ambientais
Determinar as limitações necessárias. Os exemplos são a 
temperatura, umidade, contaminação na instalação. Ver Seção 10 
e considerar as recomendações de aplicação do fabricante.
Faixa limitada de tempo de reação, histerese limitada
Determinar as limitações necessárias.
Considerar, por exemplo, fadiga da mola, atrito, lubrificação, 
temperatura, inércia durante a aceleração e desaceleração, 
combinação de tolerâncias.
Tabela A.3 – Componentes devidamente comprovados
Componente 
devidamente 
comprovado
Condições	para	ser 
“devidamente comprovado” Norma	ou	especificação
Parafuso
Todos os fatores que influenciam a conexão do 
parafuso e a aplicação a serem considerados. 
Ver Tabela A.2.
União mecânica como parafusos de 
fenda, porcas, arruelas, rebites, pinos, 
parafusos etc. é normalizada.
Mola Ver Tabela A.2, Uso de mola “devidamente 
comprovada”.
As especificações técnicas de aços para 
molas e outras aplicações especiais são 
providas na ISO 4960.
Excêntrico
(came)
Todos os fatores que influenciam a disposição do 
excêntrico (por exemplo, parte de um dispositivo 
de intertravamento) devem ser considerados.
Ver Tabela A.2.
Ver ISO 14119 (dispositivos de 
intertravamento).
Pino de trava Todos os fatores que influenciam a aplicação 
devem ser considerados. Ver Tabela A.2. –
NÃO TEM VALOR NORMATIVO22/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	A.4	–	Falhas	e	exclusões	de	falhas	–	Dispositivos	mecânicos,	componentes	e	
elementos (por exemplo, excêntrico, tucho, corrente, embreagem, freio, eixo, parafuso, 
pino, guia, rolamento)
Falha considerada Exclusão da falha ObservaçõesDesgaste/corrosão
Sim, no caso de materiais cuidadosamente selecionados, 
sobredimensionamento, processo de fabricação, tratamento 
e lubrificação adequada, de acordo com o tempo de vida 
especificado (ver também Tabela A.2).
Ver ISO 13849-1:2006, 7.3.
Desaperto/afrouxamento
Sim, no caso de materiais cuidadosamente selecionados, 
processo de fabricação, meios de travamento e tratamento, 
de acordo com o tempo de vida especificado (ver também 
Tabela A.2).
Fratura
Sim, no caso de materiais cuidadosamente selecionados, 
sobredimensionamento, processo de fabricação, tratamento 
e lubrificação adequada, de acordo com o tempo de vida 
especificado (ver também Tabela A.2).
Deformação por tensão 
excessiva
Sim, no caso de material, sobredimensionamento, tratamento e 
processo de fabricação cuidadosamente selecionados, de acordo 
com o tempo de vida especificado (ver também Tabela A.2).
Rigidez/emperramento
Sim, no caso de material, sobredimensionamento, processo 
de fabricação, tratamento e lubrificação adequada 
cuidadosamente selecionados, de acordo com o tempo de 
vida especificado (ver também Tabela A.2).
Tabela	A.5	–	Falhas	e	exclusões	de	falhas	–	Molas	helicoidais	de	pressão
Falha considerada Exclusão da falha Observações
Desgaste/corrosão
Sim, no caso de uso de molas devidamente comprovadas 
e fixações cuidadosamente selecionadas (ver Tabela A.2). Ver ISO 13849-1:2006, 7.3.
Redução da força por 
assentamento e fratura
Fratura
Rigidez/emperramento
Afrouxamento
Deformação por tensão excessiva
NÃO TEM VALOR NORMATIVO 23/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Anexo B 
(informativo) 
 
Ferramentas de validação para sistemas pneumáticos
Quando sistemas pneumáticos forem utilizados em conjunto com outras tecnologias, convém que o 
Anexo B também seja levado em consideração. Quando os componentes pneumáticos forem 
eletricamente conectados/controlados, convém que as listas de falhas apropriadas no Anexo D sejam 
consideradas.
NOTA Requisitos adicionais podem existir em legislação nacional.
As Tabelas B.1 e B.2 listam os princípios básicos de segurança e os princípios de segurança devida-
mente comprovados.
Uma lista de componentes devidamente comprovados não é provida no Anexo B desta edição. 
A condição de “devidamente comprovado” é principalmente específica da aplicação. Os compo-
nentes podem ser descritos como “devidamente comprovados” se eles estiverem de acordo com a 
ISO 13849-1:2006, 6.2.2 e ABNT NBR ISO 4414:2012, Seções 5 a 7. Um componente devidamente 
comprovado para algumas aplicações pode ser inapropriado para outras aplicações.
As Tabelas B.3 a B.18 listam as exclusões de falhas e suas fundamentações. Para exclusões adicio-
nais, ver 4.4.
O instante preciso em que ocorrem as falhas pode ser crítico (ver 9.1).
Tabela B.1 – Princípios básicos de segurança (continua)
Princípio básico de segurança Observações
Uso de materiais adequados e fabricação 
adequada
Seleção de material, métodos de fabricação e tratamento em relação a, 
por exemplo, tensão, durabilidade, elasticidade, atrito, desgaste, corrosão, 
temperatura.
Dimensionamento e configuração corretos Considerar, por exemplo, tensão, deformação, fadiga, rugosidade 
superficial, tolerâncias e fabricação.
Seleção, combinação, disposições, 
montagem e instalação adequadas de 
componentes/sistemas
Aplicar as recomendações de aplicação do fabricante, por exemplo, 
folhas de catálogo, instruções de instalação, especificações e uso das 
boas práticas de engenharia em componentes/sistemas similares.
Uso do princípio de desenergização
O estado de seguro é obtido pela pela interrupção do suprimento de 
energia em todos os dispositivos relevantes. Ver ação principal de parada 
na ABNT NBR ISO 12100:2013, 6.2.11.3.
A energia é fornecida para o início do movimento de um mecanismo. 
Ver ação principal de partida na 
ABNT NBR ISO 12100:2013, 6.2.11.3.
Considerar diferentes modos, por exemplo, modo de operação, modo 
de manutenção.
Este princípio não pode ser utilizado em algumas aplicações, por exemplo, 
onde a perda de pressão pneumática cria um perigo adicional.
NÃO TEM VALOR NORMATIVO24/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela B.1 (conclusão)
Princípio básico de segurança Observações
Fixação adequada
Para a aplicação, por exemplo, travamento do parafuso, conexões, 
colagem ou anel de fixação, considerar as notas de aplicação do fabricante.
Sobrecarga pode ser evitada empregando-se técnica de aplicação de 
torque adequado.
Limitação de pressão Exemplos são válvula de alívio de pressão, válvula de redução/controle 
de pressão.
Limitação de velocidade/redução de 
velocidade
Um exemplo é a limitação de velocidade aplicada em um atuador por 
uma válvula controladora/reguladora de fluxo.
Prevenção suficiente de contaminação do fluido Considerar a filtração e a separação de partículas sólidas e água no fluido.
Faixa adequada do tempo de comutação
Considerar, por exemplo, o comprimento da tubulação, pressão, capacidade 
de exaustão, força, fadiga da mola, atrito, lubrificação, temperatura, inércia 
durante a aceleração e desaceleração e combinação de tolerâncias.
Resistência às condições ambientais
Projetar o equipamento de modo que ele seja capaz de trabalhar em todos 
os ambientes esperados e em quaisquer condições adversas previsíveis, 
por exemplo, temperatura, umidade, vibração, contaminação. Ver Seção 10 
e considerar as recomendações de especificação/aplicação do fabricante.
Proteção contra partida inesperada
Considerar a partida inesperada causada por energia armazenada e após 
a restauração da fonte de energia para os diferentes modos, por exemplo, 
modo de operação, modo de manutenção.
Equipamento especial para a liberação da energia armazenada pode ser 
necessário (ver ISO 14118:2000, 5.3.1.3).
Aplicações especiais (por exemplo, para manter a energia de dispositivos de 
fixação ou assegurar uma posição) precisam ser consideradas separadamente.
Simplificação Evitar componentes desnecessários no sistema relacionado à segurança.
Faixa de temperatura adequada A ser considerada completamente em todo o sistema.
Separação Separação das funções relacionadas à segurança de outras funções 
(por exemplo, separação lógica).
NÃO TEM VALOR NORMATIVO 25/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela B.2 – Princípios de segurança devidamente comprovados
Princípio de segurança devidamente comprovado Observações
Sobredimensionamento/fator de segurança Os fatores de segurança são os providos em normas ou pela 
boa experiência em aplicações relacionadas à segurança.
Posição segura
A parte móvel do componente é mantida em uma das posições 
possíveis por meios mecânicos (somente atrito não é suficiente). 
Força é necessária para alterar a posição.
Força de desligamento aumentada
Uma solução pode ser a relação de áreas de atuação de uma 
válvula de carretel/êmbolo, determinada de tal forma que a força 
resultante para mover o carretel/êmbolo para a posição/estado 
seguro (posição desligada) seja suficientemente maior que a 
necessária para mover este carretel/êmbolo para a não segura.
Válvula fechada por pressão de carga
Estas são geralmente válvulas de assento, por exemplo, 
válvulas poppet, válvulas de esfera.
Considerar como aplicar a pressão de carga, a fim de manter a 
válvula fechada, mesmo se, por exemplo, quebrar a mola que 
fecha a válvula.
Ação mecânica positiva A ação mecânica positiva é utilizada para partes móveis dentro 
de componentes pneumáticos. Ver também Tabela A.2.
Partes múltiplas Ver Tabela A.2.
Uso de mola devidamente comprovada Ver Tabela A.2.
Limitação de velocidade/redução de velocidade pela 
resistência ao fluxo determinado Os exemplos são orifícios fixos e válvulas de regulagem fixas.
Limitação de força/redução da força
Isto pode ser atingido por uma válvula de alíviode pressão 
devidamente comprovada que é, por exemplo, equipada 
com uma mola devidamente comprovada, dimensionada e 
selecionada corretamente.
Faixa adequada das condições de trabalho Convém que a limitação das condições de trabalho, por exemplo, 
faixa de pressão, vazão e faixa de temperatura, seja considerada.
Prevenção adequada de contaminação do fluido Considerar a necessidade de um alto grau de filtração e 
separação de partículas sólidas e água no fluido.
Sobreposição positiva suficiente nas válvulas de 
carretel
A sobreposição positiva assegura a função de parada e evita 
movimentos que não são permitidos.
Histerese limitada Por exemplo, elevação do atrito ou uma combinação de 
tolerâncias aumentará a histerese.
NÃO TEM VALOR NORMATIVO26/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.3	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	controle	direcional
Falha considerada Exclusão da falha Observações
Alteração dos tempos 
de comutação
Sim, no caso de ação mecânica positiva 
(ver Tabela A.2) dos componentes móveis, 
contanto que a força de acionamento seja 
suficientemente grande.
–
Sem comutação 
(emperramento na posição 
extrema ou posição zero) 
ou comutação incompleta 
(emperramento em uma 
posição intermediária 
aleatória)
Sim, no caso de ação mecânica positiva 
(ver Tabela A.2) dos componentes móveis, 
contanto que a força de acionamento seja 
suficientemente grande.
Alteração espontânea 
da posição de 
comutação inicial (sem 
um sinal de entrada)
Sim, no caso de ação mecânica positiva 
(ver Tabela A.2) dos componentes móveis, 
contanto que a força de fixação seja 
suficientemente grande, ou se molas 
devidamente comprovadas forem utilizadas 
(ver Tabela A.2) e a instalação normal e as 
condições de operação forem aplicáveis 
(ver observação), ou no caso de válvulas 
de carretel com vedação elástica e se a 
instalação normal e as condições de operação 
forem aplicáveis (ver observação).
As condições normais de instalação e 
operação são satisfeitas quando
 — as condições estabelecidas pelo 
fabricante foram levadas em 
consideração,
 — o peso do componente móvel não 
está atuando desfavoravelmente em 
termos de segurança (por exemplo, 
instalação horizontal),
 — não há forças inerciais que atuem 
negativamente sobre os componentes 
móveis (por exemplo, o sentido de 
movimento do componente da válvula 
leva em consideração a magnitude 
e a direção da força inercial), e
 — não ocorre vibração extrema e 
tensão de impacto.
Vazamento
Sim, no caso de válvulas do tipo carretel com 
vedador elástico, na medida em que uma 
sobreposição positiva suficiente está presente 
[ver observação 1)], se as condições normais 
de operação forem satisfeitas e um tratamento 
e filtração adequados do ar comprimido forem 
providos; ou, no caso de válvulas de assento, 
se as condições normais de operação forem 
satisfeitas [ver observação 2)], e tratamento e 
filtração adequados do ar comprimido forem providos.
1) No caso de válvulas do tipo carretel 
com vedador elástico, os efeitos devido 
ao vazamento normalmente podem ser 
excluídos. Entretanto, uma pequena 
quantidade de vazamento pode ocorrer 
em um longo período de tempo.
2) As condições normais de operação 
são satisfeitas quando as condições 
estabelecidas pelo fabricante são levadas 
em consideração.
Alteração na vazão do 
vazamento em um longo 
período de uso
Nenhuma. –
Ruptura do corpo da válvula 
ou quebra do(s) 
componente(s) móvel(eis), 
bem como a quebra/
fratura dos parafusos de 
montagem ou do corpo
Sim, se a construção, dimensionamento e 
instalação estiverem de acordo com as boas 
práticas de engenharia.
–
Para servoválvulas e 
válvulas proporcionais: 
falhas pneumáticas que 
causam comportamento 
descontrolado
Sim, no caso de servoválvulas e válvulas 
proporcionais direcionais, se estas puderem 
ser avaliadas em termos de segurança técnica 
como válvulas de controle direcional convencionais, 
devido ao seu projeto e construção.
–
Se as funções de controle forem realizadas por um número de válvulas de função única, então convém que uma análise 
da falha seja realizada para cada válvula. Convém que o mesmo procedimento seja realizado no caso de válvulas-piloto.
NÃO TEM VALOR NORMATIVO 27/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.4	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	parada	(fechamento)/válvulas	de 
retenção (antirretorno)/válvulas de escape rápido/válvulas alternadoras (válvulas “OU”), etc.
Falha considerada Exclusão da falha Observações
Alteração dos tempos de comutação Nenhuma. –
Sem abertura, abertura incompleta, 
sem fechamento ou fechamento 
incompleto (emperramento em 
uma posição extrema ou em uma 
posição intermediária arbitrária)
Sim, se o sistema de orientação para o(s) 
componente(s) móvel(eis) for projetado de 
uma maneira similar ao de uma válvula de 
assento de esfera não controlada, sem um 
sistema de amortecimento (ver observação), 
e se molas devidamente comprovadas 
forem utilizadas (ver Tabela A.2).
Para uma válvula de assento de 
esfera não controlada sem um 
sistema de amortecimento, o sistema 
de orientação é geralmente projetado 
de tal forma que qualquer emperramento 
do componente móvel seja improvável.
Alteração espontânea da posição 
de comutação inicial (sem um sinal 
de entrada)
Sim, para condições normais de instalação 
e operação (ver observação) e se houver 
força de fechamento suficiente com 
base nas pressões e áreas providas.
As condições normais de instalação 
e operação são atendidas quando
 — as condições estabelecidas pelo 
fabricante estão sendo seguidas,
 — nenhuma força inercial 
especial afeta os componentes 
móveis, por exemplo, o 
sentido de movimento leva em 
consideração a orientação das 
partes móveis da máquina, e
 — não ocorre vibração extrema 
ou tensão de impacto.
Para válvulas alternadoras (válvulas 
“OU”): fechamento simultâneo de 
ambas as conexões de entrada
Sim, se, com base na construção 
e projeto do componente móvel, o 
fechamento simultâneo for improvável.
–
Vazamento
Sim, se as condições normais de 
operação forem satisfeitas 
(ver observação) e houver tratamento 
e filtração adequados do ar comprimido.
As condições normais de operação 
são satisfeitas quando as condições 
estabelecidas pelo fabricante são 
levadas em consideração.
Alteração na vazão do vazamento 
em um longo período de uso Nenhuma.
–Ruptura do corpo da válvula ou quebra 
do(s) componente(s) móvel(eis), bem 
como a quebra/fratura dos 
parafusos de montagem ou do corpo
Sim, se a construção, dimensionamento 
e instalação estiverem de acordo com 
as boas práticas de engenharia.
NÃO TEM VALOR NORMATIVO28/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.5	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	fluxo
Falha considerada Exclusão da falha Observações
Alteração na vazão sem qualquer 
alteração no dispositivo de ajuste
Sim, para válvulas de controle de fluxo 
sem partes móveis [ver observação 1)], 
por exemplo, válvulas de regulagem, 
se as condições normais de operação 
forem satisfeitas [ver observação 2)] e 
se tratamento e filtração adequados do 
ar comprimido forem providos.
1) O dispositivo de ajuste não é 
considerado uma parte móvel. 
Alterações na vazão devido a 
alterações na diferença de pressão 
são fisicamente limitadas neste tipo 
de válvula e não são abrangidas por 
esta falha presumida.
2) As condições normais de 
operação são satisfeitas quando as 
condições estabelecidas pelo fabricante 
são levadas em consideração.
Alteração na vazão no caso de 
bocais e orifícios circulares não 
ajustáveis
Sim, se o diâmetro for ≥ 0,8 mm, as 
condições normais de operação forem 
satisfeitas [ver observação 2)] e se 
tratamento e filtração adequados do ar 
comprimido forem providos.
Para válvulas de fluxo proporcional: 
alteração na vazãodevido a uma 
alteração involuntária no valor ajustado
Nenhuma.
–
Alteração espontânea no 
dispositivo de ajuste
Sim, onde há uma proteção efetiva do 
dispositivo de ajuste adaptado ao caso em 
particular, com base na(s) 
especificação(ões) técnica(s) de segurança.
Afrouxamento involuntário 
(desparafusamento) do(s) elemento(s) 
de operação do dispositivo de ajuste
Sim, se um dispositivo de travamento 
positivo efetivo contra o afrouxamento 
(desparafusamento) for provido.
Ruptura do corpo da válvula ou quebra 
do(s) componente(s) móvel(eis), 
bem como a quebra/fratura dos 
parafusos de montagem ou do corpo
Sim, se a construção, dimensionamento 
e instalação estiverem de acordo com 
as boas práticas de engenharia.
NÃO TEM VALOR NORMATIVO 29/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.6	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	controle	de	pressão
Falha considerada Exclusão da falha Observações
Não abertura ou abertura insuficiente 
ao exceder a pressão de ajuste 
(emperramento ou movimento 
deficiente do componente móvel) 
[ver observação 1)]
Sim, se
 — o sistema de orientação para o(s) 
componente(s) móvel(eis) for similar 
no caso de uma válvula de assento 
de esfera não controlada ou válvula 
de membrana [ver observação 2)], 
por exemplo, para uma válvula de 
redução de pressão com alívio de 
pressão secundária, e
 — as molas instaladas forem molas 
devidamente comprovadas (ver Tabela A.2).
1) Esta falha aplica-se somente 
quando a(s) válvula(s) de pressão 
é(são) utilizada(s) para ações 
forçadas, por exemplo, fixação.
Esta falha não se aplica em sua 
função normal nos sistemas 
pneumáticos, por exemplo, limitação 
da pressão, redução da pressão.
2) Para uma válvula de assento 
de esfera não controlada ou para 
uma válvula de membrana, o 
sistema de orientação é geralmente 
projetado de tal forma que qualquer 
emperramento do componente 
móvel seja improvável.
Sem fechamento ou fechamento 
insuficiente, se a pressão cair abaixo 
do valor de ajuste (emperramento ou 
movimento deficiente do componente 
móvel) [ver observação 1)]
Alteração no comportamento do controle 
de pressão sem alterar o dispositivo 
de ajuste [ver observação 1)]
Sim, para válvulas limitadoras de pressão 
e válvulas comutadoras de pressão 
acionadas diretamente se a(s) mola(s) 
instalada(s) for(em) devidamente 
comprovada(s) (ver Tabela A.2).
Para válvulas de pressão proporcional: 
alteração no comportamento do 
controle de pressão devido à 
alteração involuntária no valor 
ajustado [ver observação 1)]
Nenhuma.
Alteração espontânea no 
dispositivo de ajuste
Sim, quando há uma proteção efetiva 
do dispositivo de ajuste dentro dos 
requisitos da aplicação, por exemplo, 
dispositivo de trava ou lacre de segurança. —
Desparafusamento involuntário 
do elemento de operação do 
dispositivo de ajuste
Sim, se um dispositivo de 
travamento positivo efetivo contra o 
desparafusamento for provido.
Vazamento
Sim, para válvulas de assento, válvulas 
de membrana e válvulas de carretel com 
vedação elástica em condições normais 
de operação (ver observação) e se 
tratamento e filtração adequados do ar 
comprimido forem providos.
As condições normais de operação 
são atendidas quando as condições 
estabelecidas pelo fabricante são 
seguidas.
Alteração na vazão do vazamento 
em um longo período de uso Nenhuma.
—Ruptura do corpo da válvula ou quebra 
do(s) componente(s) móvel(eis), 
bem como quebra/fratura dos 
parafusos de montagem ou do corpo
Sim, se a construção, dimensionamento 
e instalação estiverem de acordo com 
as boas práticas de engenharia.
NÃO TEM VALOR NORMATIVO30/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.7	–	Falhas	e	exclusões	de	falhas	–	Tubulação
Falha considerada Exclusão da falha Observações
Ruptura e vazamento
Sim, se o dimensionamento, a escolha 
dos materiais e a fixação estiverem 
de acordo com as boas práticas de 
engenharia (ver observação).
Ao serem utilizados tubos de plástico, 
é necessário considerar os dados do 
fabricante, em particular no que diz 
respeito às influências operacionais 
ambientais, por exemplo, influências 
térmicas, influências químicas ou 
influências devido à radiação. Ao serem 
utilizados tubos de aço que não foram 
tratados com um meio resistente à 
corrosão, é particularmente importante 
prover secagem suficiente do ar comprimido.
Falha no conector (por exemplo, 
desconexão, vazamento)
Sim, se estiverem sendo utilizadas conexões 
do tipo anel de pressão ou tubos roscados 
(ou seja, conexões de aço, tubos de aço) 
e se o dimensionamento, a escolha dos 
materiais, a manufatura, a configuração 
e fixação estiverem de acordo com as 
boas práticas de engenharia.
–
Entupimento (obstrução)
Sim, para tubulação no circuito de potência 
e para tubulações de controle e de medição, 
se o diâmetro nominal for ≥ 2 mm.
Torção nos tubos de plástico com 
um pequeno diâmetro nominal
Sim, se adequadamente protegidos e 
instalados, levando em consideração 
os dados relevantes do fabricante, por 
exemplo, raio mínimo de curvatura.
Tabela	B.8	–	Falhas	e	exclusões	de	falhas	–	Mangueiras
Falha considerada Exclusão da falha Observações
Ruptura, desconexão na fixação e 
vazamento
Sim, se as mangueiras utilizarem mangueiras 
fabricadas segundo a ISO 4079-1 ou 
mangueiras similares (ver observação), 
com as conexões de mangueira 
correspondentes.
A exclusão da falha não é considerada 
quando
 — o tempo de vida pretendido expirar,
 — o comportamento à fadiga do 
reforço puder ocorrer,
 — o dano externo for inevitável.
Entupimento (obstrução)
Sim, para mangueiras montadas no circuito 
de potência e para mangueiras de 
controle e de medição, se o diâmetro 
nominal é ≥ 2 mm.
–
NÃO TEM VALOR NORMATIVO 31/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.9	–	Falhas	e	exclusões	de	falhas	–	Conexões
Falha considerada Exclusão da falha Observações
Ruptura, fratura de parafusos ou 
roscas espanadas
Sim, se o dimensionamento, a escolha 
do material, a manufatura, configuração 
e conexão à tubulação e/ou às conexões 
do tubo/mangueira estiverem de acordo 
com as boas práticas de engenharia.
–
Vazamento (perda de 
estanqueidade ao ar) Nenhuma.
Devido ao desgaste, envelhecimento 
e deterioração da elasticidade etc., 
não é possível excluir falhas em um 
longo período de tempo. A principal 
falha súbita de estanqueidade ao ar 
não é presumida.
Entupimento (obstrução)
Sim, para conexões montadas no circuito de 
potência e para conexões de controle e de 
medição, se o diâmetro nominal for ≥ 2 mm.
–
Tabela	B.10	–	Falhas	e	exclusões	de	falhas	–	Transmissores	de	pressão	e	transdutores	de	pressão
Falha considerada Exclusão da falha Observações
Perda ou alteração de estanqueidade 
ao ar/óleo de câmaras de pressão Nenhuma.
–Ruptura das câmaras de pressão, 
bem como fraturas dos parafusos de 
fixação ou de tampa
Sim, se o dimensionamento, a escolha do material, 
a configuração e a fixação estiverem de acordo 
com as boas práticas de engenharia.
Tabela	B.11	–	Falhas	e	exclusões	de	falhas	–	Tratamento	de	ar	comprimido	–	Filtros
Falha considerada Exclusão da falha Observações
Obstrução do elemento filtrante Nenhuma.
–
Ruptura ou ruptura parcial do 
elemento filtrante
Sim, se o elemento filtrante for 
suficientemente resistente à pressão.
Falha do indicador ou monitor da 
condição do filtro Nenhuma.
Ruptura da carcaça do filtro ou fratura 
da tampa ou elementos de conexão
Sim, se o dimensionamento, a escolha 
do material, a disposição no sistema e 
a fixação estiverem de acordo com as 
boas práticas de engenharia.
Tabela	B.12	–	Falhas	e	exclusões	de	falhas	–	Tratamento	do	ar	comprimido	–	Lubrificadores
Falha considerada Exclusão da falha Observações
Alteração no valor ajustado (volume de óleo por 
unidade de tempo) sem alterar o dispositivo de ajuste Nenhuma.–
Alteração espontânea no dispositivo de ajuste Sim, se uma proteção efetiva do dispositivo de 
ajuste for provida, adaptada ao caso específico.
Desparafusamento involuntário do elemento de 
operação do dispositivo de ajuste
Sim, se um dispositivo de travamento positivo 
efetivo contra o desparafusamento for provido.
Ruptura do corpo ou fratura da tampa ou dos 
elementos de fixação ou conexão
Sim, se o dimensionamento, a escolha dos materiais, 
a disposição no sistema e a fixação estiverem de 
acordo com as boas práticas de engenharia.
NÃO TEM VALOR NORMATIVO32/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.13	–	Falhas	e	exclusões	de	falhas	–	Tratamento	de	ar	comprimido	–	Silenciadores
Falha considerada Exclusão da falha Observações
Obstrução (entupimento) 
do silenciador
Sim, se o projeto e a construção do elemento 
do silenciador atenderem à observação.
Entupimento do elemento do silenciador e/ou 
um aumento na contrapressão do ar de 
exaustão acima de um certo valor crítico é 
improvável se o silenciador tiver um diâmetro 
suficientemente grande e for projetado para 
atender às condições de operação.
Tabela	B.14	–	Falhas	e	exclusões	de	falhas	–	Acumuladores	e	vasos	de	pressão
Falha considerada Exclusão da falha Observações
Fratura/ruptura do acumulador/vaso de pressão 
ou conectores ou roscas espanadas dos 
parafusos de fixação
Sim, se a construção, a escolha do equipamento, a 
escolha dos materiais e a disposição no sistema 
estiverem de acordo com as boas práticas de engenharia.
–
Tabela	B.15	–	Falhas	e	exclusões	de	falhas	–	Sensores
Falha considerada Exclusão da falha Observações
Sensor defeituoso (ver observação) Nenhuma. Os sensores nesta Tabela incluem a captura de sinal, processamento 
e saída, em particular para a pressão, vazão, temperatura etc.
Alteração das características de 
detecção ou de saída Nenhuma. –
Tabela	B.16	–	Falhas	e	exclusões	de	falhas	–	Processamento	de	informações	–	Elementos	lógicos
Falha considerada Exclusão da falha Observações
Elemento lógico defeituoso (por exemplo, elemento E 
AND), elemento OU (OR), elemento de 
armazenamento lógico) devido à, por exemplo, 
alteração no tempo de comutação, falha no 
interruptor ou comutação incompleta
Para suposições de falha e exclusões de falha 
correspondentes, ver Tabelas B.3, B.4 e B.5 e os 
componentes afins relevantes.
–
Tabela	B.17	–	Falhas	e	exclusões	de	falhas	–	Processamento	de	informações	–	Temporizadores
Falha considerada Exclusão da falha Observações
Dispositivo de retardo de tempo 
defeituoso, por exemplo, tempo 
pneumático e pneumático/mecânico 
e elementos de contagem
Sim, para temporizadores sem componentes 
móveis, por exemplo, resistência fixa, se 
condições normais de operação (ver observação) 
forem satisfeitas e tratamento e filtração 
adequados do ar comprimido forem providos.
As condições normais de operação 
são atendidas quando as condições 
estabelecidas pelo fabricante são 
seguidas.Alteração das características de 
detecção ou de saída
Ruptura do corpo ou fratura 
da tampa ou dos elementos de 
fixação
Sim, se a construção, o dimensionamento 
e a instalação estiverem de acordo com as 
boas práticas de engenharia.
–
NÃO TEM VALOR NORMATIVO 33/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	B.18	–	Falhas	e	exclusões	de	falhas	–	Processamento	de	informações	–	Conversores
Falha considerada Exclusão da falha Observações
Conversor defeituoso 
[ver observação 1)]
Sim, para conversores sem componentes móveis, 
por exemplo, bocal recurvado, se condições 
normais de operação (ver observação 2) forem 
satisfeitas e tratamento e filtração adequados do 
ar comprimido forem providos.
1) Isto abrange, por exemplo, a 
conversão de um sinal pneumático em 
elétrico, a detecção da posição (sensor 
de cilindro, bocal recurvado), a 
amplificação dos sinais pneumáticos.
Alteração das características 
de detecção ou de saída 2) As condições normais de operação 
são atendidas quando as condições 
estabelecidas pelo fabricante são seguidas.
Ruptura da carcaça ou 
fratura da tampa ou dos 
elementos de fixação
Sim, se a construção, o dimensionamento e a 
instalação estiverem de acordo com as boas 
práticas de engenharia.
–
NÃO TEM VALOR NORMATIVO34/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Anexo C 
(informativo) 
 
Ferramentas de validação para sistemas hidráulicos
Quando sistemas hidráulicos forem utilizados em conjunto com outras tecnologias, convém que o 
Anexo C também seja levado em consideração. Quando os componentes hidráulicos forem 
eletricamente conectados/controlados, convém que as listas de falhas apropriadas no Anexo D 
sejam consideradas.
NOTA Podem haver requisitos adicionais em regulamentações locais. 
As Tabelas C.1 e C.2 listam os princípios básicos de segurança e os princípios de segurança 
devidamente comprovados. Convém que as bolhas de ar e cavitação no fluido hidráulico sejam 
evitadas, porque elas podem criar perigos adicionais, por exemplo, movimentos involuntários.
Uma lista de componentes devidamente comprovados não é provida no Anexo C desta edição. 
A condição de “devidamente comprovado” é principalmente específica da aplicação. Os compo-
nentes podem ser descritos como “devidamente comprovados” se eles estiverem de acordo com a 
ISO 13849-1:2006, 6.2.2 e ABNT NBR ISO 4414:2012, Seções 5 a 7. Um componente devidamente 
comprovado para algumas aplicações pode ser inapropriado para outras aplicações.
As Tabelas C.3 a C.12 listam as exclusões de falhas e suas fundamentações. Para exclusões 
adicionais, ver 4.4.
O instante preciso em que ocorre a falha pode ser crítico (ver 9.1).
Tabela C.1 – Princípios básicos de segurança (continua)
Princípio básico de segurança Observações
Uso de materiais adequados e fabricação 
adequada
Seleção de material, métodos de fabricação e tratamento em relação 
a, por exemplo, tensão, durabilidade, elasticidade, atrito, desgaste, 
corrosão, temperatura, fluido hidráulico.
Dimensionamento e configuração corretos Considerar, por exemplo, tensão, deformação, fadiga, rugosidade 
superficial, tolerâncias, fabricação.
Seleção, combinação, disposições, montagem e 
instalação adequadas de componentes/sistema
Aplicar as recomendações de aplicação do fabricante, por exemplo, 
folhas de catálogo, instruções de instalação, especificações e uso das 
boas práticas de engenharia em componentes/sistemas similares.
Uso do princípio de desenergização
O estado seguro é obtido pela liberação de energia em todos os 
dispositivos relevantes. Ver ação principal de parada na 
ABNT NBR ISO 12100:2013, 6.2.11.3.
A energia é fornecida para o início do movimento de um mecanismo. 
Ver ação principal de partida na ABNT NBR ISO 12100:2013, 6.2.11.3.
Considerar diferentes modos, por exemplo, modo de operação, 
modo de manutenção.
Este princípio não pode ser utilizado em algumas aplicações, por 
exemplo, quando a perda de pressão hidráulica cria um perigo adicional.
NÃO TEM VALOR NORMATIVO 35/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela C.1 (conclusão)
Princípio básico de segurança Observações
Fixação adequada
Para a aplicação, por exemplo, de travamento de parafuso, conexões, 
colagem ou anel de fixação, considerar as recomendações de aplicação 
do fabricante.
Sobrecarga pode ser evitada por meio de aplicação de torque adequado.
Limitação de pressão Exemplos são válvula de alívio de pressão, válvula redutora/válvula 
de controle de pressão.
Limitação de velocidade/redução de velocidade Um exemplo é a limitação de velocidade de um atuador por uma 
válvula de controle de fluxo ou de estrangulamento.
Prevenção suficiente de contaminação do 
fluido
Considerar filtração/separação de partículas sólidas/água no fluido.
Considerar também uma indicação da necessidade demanutenção 
no filtro.
Faixa adequada do tempo de comutação
Considerar, por exemplo, o comprimento da tubulação, pressão, 
capacidade de alívio de evacuação, fadiga da mola, atrito, lubrificação, 
temperatura/viscosidade, inércia durante a aceleração e desaceleração, 
combinação de tolerâncias.
Resistência às condições ambientais
Projetar o equipamento de modo que ele seja capaz de trabalhar em 
todos os ambientes esperados e em quaisquer condições adversas 
previsíveis, por exemplo, temperatura, umidade, vibração, contaminação. 
Ver Seção 10 e considerar as recomendações de especificação/aplicação 
do fabricante.
Proteção contra partida inesperada
Considerar a partida inesperada causada por energia armazenada 
e após a restauração da fonte de energia para os diferentes modos, 
por exemplo, modo de operação, modo de manutenção.
Equipamento especial para liberação da energia armazenada pode 
ser necessário.
Aplicações especiais (por exemplo, para manter a energia de dispositivos 
de fixação ou assegurar uma posição) precisam ser consideradas 
separadamente.
Simplificação Evitar componentes desnecessários no sistema relacionado à segurança.
Faixa de temperatura adequada A ser considerada completamente em todo o sistema.
Separação Separação das funções relacionadas à segurança de outras funções.
Tabela C.2 – Princípios de segurança devidamente comprovados (continua)
Princípio de segurança 
devidamente comprovado Observações
Sobredimensionamento/ 
fator de segurança
Os fatores de segurança são os providos em normas ou pela boa experiência em 
aplicações relativas à segurança.
Posição segura
A parte móvel do componente é mantida em uma das posições seguras por meios 
mecânicos (somente atrito não é suficiente). Uma força é necessária para alterar 
a posição.
Força de desligamento aumentada
Uma solução pode ser a relação de áreas de atuação de uma válvula de carretel/
êmbolo, determinada de tal forma que a força resultante para mover o carretel/
êmbolo para a posição/estado seguro (posição desligada) seja suficientemente 
maior que a necessária para mover este carretel/êmbolo para a não segura.
NÃO TEM VALOR NORMATIVO36/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela C.2 (conclusão)
Princípio de segurança 
devidamente comprovado Observações
Válvula fechada por pressão de 
carga
Exemplos são válvulas de assento e de cartucho.
Considerar como aplicar a pressão de carga, a fim de manter a válvula fechada, 
mesmo se, por exemplo, quebrar a mola que fecha a válvula.
Ação mecânica positiva A ação mecânica positiva é utilizada para partes móveis dentro dos 
componentes hidráulicos. Ver também Tabela A.2.
Partes múltiplas Ver Tabela A.2.
Uso de mola devidamente 
comprovada Ver Tabela A.2.
Limitação de velocidade/redução 
de velocidade pela resistência ao 
fluxo determinado
Os exemplos são orifícios fixos e válvulas de regulagem fixa.
Limitação de força/redução da 
força
Isto pode ser obtido por uma válvula de alívio de pressão devidamente 
comprovada que é, por exemplo, equipada com uma mola devidamente 
comprovada, dimensionada e selecionada corretamente.
Faixa adequada das condições de 
trabalho
Convém que a limitação das condições de trabalho, por exemplo, limites de 
pressão, vazão e temperatura, seja considerada.
Monitoramento da condição do 
fluido
Considerar um alto grau de filtração/separação de partículas sólidas/água no 
fluido. Considerar também as condições químicas/físicas do fluido.
Considerar uma indicação da necessidade de manutenção no filtro.
Sobreposição positiva suficiente 
nos carretéis das válvulas
A sobreposição positiva assegura a função de parada e evita movimentos não 
permitidos.
Histerese limitada Por exemplo, elevação do atrito aumentará a histerese. Uma combinação de 
tolerâncias também influenciará a histerese.
NÃO TEM VALOR NORMATIVO 37/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	C.3	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	controle	direcional	(continua)
Falha considerada Exclusão da falha Observações
Alteração dos 
tempos de 
comutação
Sim, no caso de ação mecânica positiva (ver 
Tabela A.2) dos componentes móveis, contanto 
que a força de acionamento seja suficientemente 
grande, ou, com relação à não abertura de um 
tipo especial de válvula de assento de cartucho, 
quando utilizada com pelo menos uma outra 
válvula para controlar o fluxo principal do fluido 
[ver observação 1)].
1) Um tipo especial de válvula de assento 
de cartucho é obtido se
 — a área ativa para o início do movimento 
de comutação relativo à segurança for 
pelo menos 90 % da área total do 
componente móvel (poppet),
 — a pressão de controle efetiva sobre a 
área ativa puder ser aumentada até a 
pressão máxima de trabalho (de acordo 
com a ISO 5598:2008, 3.2.429), em linha 
com o comportamento da válvula de 
assento em questão,
 — a pressão de controle efetiva sobre a área 
oposta à área ativa do componente 
móvel for liberada para um valor muito 
baixo em comparação com a pressão 
máxima de operação, por exemplo, 
pressão de retorno no caso de válvulas 
de descarga de pressão ou pressão de 
suprimento, no caso de válvulas e 
sucção/abastecimento,
 — o componente móvel (poppet) for provido 
de ranhuras periféricas de lubrificação, e
 — a(s) válvula(s)-piloto para esta válvula 
de assento for(em) projetada(s) em 
conjunto com um bloco manifold (isto é, 
sem mangueiras e tubos para a 
conexão destas válvulas).
Sem comutação 
(emperramento 
em uma posição 
extrema ou 
posição zero) 
ou comutação 
incompleta 
(emperramento 
em uma posição 
intermediária 
aleatória)
Sim, no caso de ação mecânica positiva (ver 
Tabela A.2) dos componentes móveis, contanto 
que a força de acionamento seja suficientemente 
grande, ou, com relação à não abertura de um 
tipo especial de válvula de assento de cartucho, 
quando utilizada com pelo menos uma outra 
válvula para controlar o fluxo principal do fluido 
[ver observação 1)].
Alteração espontânea 
da posição de 
comutação inicial 
(sem um sinal de 
entrada)
Sim, no caso de ação mecânica positiva (ver 
Tabela A.2) dos componentes móveis, contanto 
que a força de fixação seja suficientemente 
grande, ou se molas devidamente comprovadas 
forem utilizadas (ver Tabela A.2) e as condições 
normais de instalação e operação forem 
satisfeitas [ver observação 2)], ou, com relação 
à não abertura de um tipo especial de válvula 
de assento de cartucho, quando utilizada com 
pelo menos uma outra válvula para controlar o 
fluxo principal do fluido [ver observação 1)] e se 
as condições normais de instalação e operação 
forem satisfeitas [ver observação 2)].
2) As condições normais de instalação e 
operação são satisfeitas quando
 — as condições estabelecidas pelo 
fabricante são levadas em consideração,
 — o peso do componente móvel não 
atua em sentido desfavorável em 
termos de segurança, por exemplo, 
em uma instalação horizontal,
 — nenhuma força inercial especial afeta 
os componentes móveis, por exemplo, 
o sentido de movimento leva em 
consideração a orientação das partes 
móveis da máquina, e
 — não ocorre vibração extrema e tensão 
de impacto.
Vazamento
Sim, no caso de válvulas de assento, se as condições 
normais de instalação e operação forem satisfeitas 
(ver observação) e um sistema de filtração adequado 
for provido.
As condições normais de instalação e operação 
são satisfeitas quando as condições estabelecidas 
pelo fabricante são levadas em consideração.
NÃO TEM VALOR NORMATIVO38/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela C.3 (conclusão)
Falha considerada Exclusão da falha Observações
Alteração na vazão 
do vazamento em um 
longo período de uso
Nenhuma.
–
Ruptura do corpo da 
válvula ou quebra 
do(s) componente(s) 
móvel(eis), bem como 
a quebra/fratura dos 
parafusos de montagem 
ou do corpo
Sim,se a construção, dimensionamento e 
instalação estiverem de acordo com as boas 
práticas de engenharia.
Para servoválvulas 
e válvulas 
proporcionais: 
falhas hidráulicas 
que causam 
comportamento 
descontrolado
Sim, no caso de servoválvulas e válvulas 
proporcionais direcionais, se estas puderem ser 
avaliadas em termos de segurança como válvulas 
de controle direcional convencionais, devido ao 
seu projeto e construção.
Se as funções de controle forem realizadas por um número de válvulas de função única, então convém que uma análise 
de falhas seja realizada para cada válvula. Convém que o mesmo procedimento seja realizado no caso de válvulas pilotadas.
Tabela	C.4	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	parada	(fechamento)/ 
válvulas de retenção (antirretorno)/válvulas alternadoras (válvulas “OU”), etc. (continua)
Falha considerada Exclusão da falha Observações
Alteração dos tempos de comutação Nenhuma. –
Sem abertura, abertura incompleta, 
sem fechamento ou fechamento 
incompleto (emperramento em uma 
posição extrema ou em uma 
posição intermediária arbitrária)
Sim, se o sistema de orientação para o(s) 
componente(s) móvel(eis) for projetado de 
uma maneira similar ao de uma válvula de 
assento de esfera não controlada sem um 
sistema de amortecimento (ver observação) 
e se molas devidamente comprovadas 
foremo utilizadas (ver Tabela A. 2).
Para uma válvula de assento de esfera 
não controlada sem um sistema de 
amortecimento, o sistema de orientação 
é geralmente projetado de tal forma 
que qualquer emperramento do 
componente móvel seja improvável.
Alteração espontânea da 
posição de comutação inicial 
(sem um sinal de entrada)
Sim, para condições normais de instalação 
e operação (ver observação) e se houver 
força de fechamento suficiente com base 
nas pressões e áreas providas.
As condições normais de instalação e 
operação são atendidas quando
 — as condições estabelecidas pelo 
fabricante são seguidas, e
 — nenhuma força inercial especial 
afeta os componentes móveis, por 
exemplo, o sentido de movimento 
leva em consideração a 
orientação das partes móveis 
da máquina, e
 — não ocorre vibração extrema ou 
tensão de impacto.
Para válvulas alternadoras 
(válvula “OU”): fechamento 
simultâneo de ambas as 
conexões de entrada
Sim, se, com base na construção e projeto 
do componente móvel, este fechamento 
simultâneo for improvável.
–
NÃO TEM VALOR NORMATIVO 39/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela C.4 (conclusão)
Falha considerada Exclusão da falha Observações
Vazamento
Sim, se as condições normais de operação 
forem satisfeitas (ver observação) e um 
sistema de filtração adequado for provido.
As condições normais de operação 
são satisfeitas quando as condições 
estabelecidas pelo fabricante são 
levadas em consideração.
Alteração na vazão do vazamento 
em um longo período de uso Nenhuma.
–
Ruptura do corpo da válvula ou 
quebra do(s) componente(s) 
móvel(eis), bem como quebra/
fratura dos parafusos de 
montagem ou do corpo
Sim, se a construção, dimensionamento 
e instalação estiverem de acordo com as 
boas práticas de engenharia.
Tabela	C.5	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	fluxo
Falha considerada Exclusão da falha Observações
Alteração na vazão sem 
alteração no dispositivo de 
ajuste
Sim, no caso de válvulas de fluxo sem partes móveis 
[ver observação 1)], por exemplo, válvulas 
estranguladoras, se as condições normais de 
operação forem satisfeitas [ver observação 2)], 
e um sistema de filtração adequado for utilizado 
[ver observação 3)].
1) O dispositivo de ajuste não é 
considerado uma parte móvel. Alterações 
na vazão devido a alterações nas 
diferenças de pressão e viscosidade 
são fisicamente limitadas neste tipo de 
válvula e não são abrangidas por esta 
falha presumida.
2) As condições normais de operação são 
atendidas quando as condições estabelecidas 
pelo fabricante são seguidas.
3) Quando uma válvula de retenção 
(antirretorno) é integrada na válvula 
de fluxo, então, adicionalmente, as 
falhas presumidas para válvulas de 
retenção (antirretorno) devem ser 
levadas em consideração.
Alteração na vazão, no 
caso de bocais e orifícios 
circulares não ajustáveis
Sim, se o diâmetro for > 0,8 mm, as condições 
normais de operação forem satisfeitas 
[ver observação 2)] e um sistema de filtração 
adequado for utilizado.
Para válvulas de fluxo 
proporcional: alteração na 
vazão devido a uma alteração 
involuntária no valor ajustado
Nenhuma.
—
Alteração espontânea no 
dispositivo de ajuste
Sim, onde há uma proteção efetiva do dispositivo 
de ajuste adaptada neste caso específico, com base 
na(s) especificação(ões) técnica(s) de segurança.
Afrouxamento involuntário 
(desparafusamento) do(s) 
elemento(s) de operação 
do dispositivo de ajuste
Sim, se for provido um dispositivo de travamento 
positivo efetivo contra o afrouxamento 
(desparafusamento).
Ruptura do corpo da válvula 
ou quebra do(s) componente(s) 
móvel(eis), bem como quebra/ 
fratura dos parafusos de 
montagem ou do corpo
Sim, se a construção, dimensionamento e 
instalação estiverem de acordo com as boas 
práticas de engenharia.
NÃO TEM VALOR NORMATIVO40/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	C.6	–	Falhas	e	exclusões	de	falhas	–	Válvulas	de	pressão
Falha considerada Exclusão da falha Observações
Sem abertura ou abertura 
insuficiente (parcial ou 
temporariamente) ao exceder 
a pressão de ajuste 
(emperramento ou movimento 
deficiente do componente 
móvel) [ver observação 1)]
Sim, em relação à não abertura de um tipo 
especial de válvula de assento de cartucho, 
quando utilizada com pelo menos uma outra 
válvula para controlar o fluxo principal do fluido 
[ver observação 1)] da Tabela C.3, ou se o 
sistema de orientação para o(s) componente(s) 
móvel(eis) for similar ao caso de uma válvula 
de assento de esfera não controlada sem um 
dispositivo de amortecimento [ver observação 
2)] e se as molas instaladas forem devidamente 
comprovadas (ver Tabela A.2).
1) Esta falha aplica-se somente 
quando a(s) válvula(s) de pressão 
é(são) utilizada(s) para ações 
forçadas, por exemplo, fixação, 
e para o controle de movimento 
perigoso, por exemplo, suspensão 
de cargas. Esta falha não se aplica 
à sua função normal em sistemas 
hidráulicos, por exemplo, limitação 
da pressão, queda da pressão.
2) Para uma válvula de assento 
de esfera não controlada sem 
um sistema de amortecimento, o 
sistema de orientação é geralmente 
projetado de tal forma que seja 
improvável qualquer emperramento 
do componente móvel.
Sem fechamento ou fechamento 
insuficiente (espacial ou 
temporariamente) se a pressão 
cair abaixo do valor de ajuste 
(emperramento ou movimento 
deficiente do componente 
móvel) [ver observação 1)]
Alteração no comportamento 
do controle de pressão sem 
alterar o dispositivo de ajuste 
[ver observação 1)]
Sim, no caso de válvulas de alívio de pressão 
acionadas diretamente, se a(s) mola(s) 
instalada(s) for(em) devidamente comprovada(s) 
(ver Tabela A.2).
Para válvulas de pressão 
proporcional: alteração no 
comportamento do controle de 
pressão devido à alteração 
involuntária no valor ajustado 
[ver observação 1)]
Nenhuma.
Alteração espontânea no 
dispositivo de ajuste
Sim, quando há uma proteção efetiva do dispositivo 
de ajuste adaptado ao caso em particular em relação 
às especificações técnicas de segurança, por 
exemplo, dispositivo de trava ou lacre de segurança. —
Desparafusamento involuntário 
do elemento de operação do 
dispositivo de ajuste
Sim, se for provido um dispositivo de travamento 
positivo efetivo contra o desparafusamento.
Vazamento
Sim, para válvulas de assento, se as condições 
normais de operação forem satisfeitas (ver observação) 
e se um sistema de filtração adequado for provido.
As condições normais de operação 
são satisfeitas quando as condições 
estabelecidas pelo fabricantesão 
levadas em consideração.
Alteração na vazão do 
vazamento em um longo 
período de uso
Nenhuma.
—Ruptura do corpo da válvula 
ou quebra do(s) componente(s) 
móvel(eis), bem como a quebra/ 
fratura dos parafusos de 
montagem ou do corpo
Sim, se a construção, dimensionamento e 
instalação estiverem de acordo com as boas 
práticas de engenharia.
NÃO TEM VALOR NORMATIVO 41/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	C.7	–	Falhas	e	exclusões	de	falhas	–	Tubulação	metálica
Falha considerada Exclusão da falha Observações
Ruptura e vazamento Sim, se o dimensionamento, escolha dos materiais e fixação 
estiverem de acordo com as boas práticas de engenharia. –
Falha no conector (por exemplo, 
arrancamento, vazamento)
Sim, se forem utilizadas conexões soldadas, ou flanges soldados, 
ou conexões cônicas, e o dimensionamento, a escolha dos 
materiais,a manufatura, a configuração e a fixação estiverem 
de acordo com as boas práticas de engenharia. –
Entupimento (obstrução) Sim, para tubulação no circuito de potência e para tubulações 
de controle e de medição, se o diâmetro nominal for ≥ 3 mm.
Tabela	C.8	–	Falhas	e	exclusões	de	falhas	–	Mangueiras
Falha considerada Exclusão da falha Observações
Ruptura, arrancamento na fixação 
da conexão e vazamento Nenhuma.
–
Entupimento (obstrução) Sim, para mangueiras montadas no circuito de potência e para 
mangueiras de controle e de medição, se o diâmetro nominal for ≥ 3 mm.
Tabela	C.9	–	Falhas	e	exclusões	de	falhas	–	Conexões
Falha considerada Exclusão da falha Observações
Ruptura, fratura de parafusos 
ou roscas espanadas
Sim, se o dimensionamento, escolha do material, 
da manufatura, da configuração e conexão à 
tubulação e/ou ao componente de tecnologia 
de fluido estiverem de acordo com as boas 
práticas de engenharia.
–
Vazamento (perda de 
estanqueidade) Nenhuma (ver observação).
Devido ao desgaste, envelhecimento, 
deterioração da elasticidade etc., não 
é possível excluir falhas em um longo 
período de tempo. Uma grande falha 
súbita de estanqueidade não é presumida.
Entupimento (obstrução)
Sim, para aplicações no circuito de potência e 
para conexões de controle e de medição, se o 
diâmetro nominal for ≥ 3 mm.
–
Tabela	C.10	–	Falhas	e	exclusões	de	falhas	–	Filtros
Falha considerada Exclusão da falha Observações
Obstrução do elemento filtrante Nenhuma.
–
Ruptura do elemento filtrante
Sim, se o elemento filtrante for suficientemente resistente à 
pressão e for provida uma válvula de derivação efetiva (by-pass) 
ou um monitoramento efetivo de contaminação.
Falha da válvula de derivação 
(by-pass)
Sim, se o sistema de orientação da válvula de derivação (by-pass) 
for similar ao de uma válvula de assento de esfera não controlada, 
sem um sistema de amortecimento, (ver Tabela C.4) e se forem 
utilizadas molas devidamente comprovadas (ver Tabela A.2).
Falha do indicador ou do monitor 
de contaminação Nenhuma.
Ruptura da carcaça do filtro ou fratura 
da tampa ou elementos de conexão
Sim, se o dimensionamento, a escolha do material, a disposição 
no sistema e a fixação estiverem de acordo com as boas práticas 
de engenharia.
NÃO TEM VALOR NORMATIVO42/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	C.11	–	Falhas	e	exclusões	de	falhas	–	Armazenamento	de	energia
Falha considerada Exclusão da falha Observações
Fratura/ruptura do vaso de armazenamento 
de energia, ou dos conectores, ou dos 
parafusos da tampa, bem como fios de 
rosca espanados
Sim, se a construção, a escolha do 
equipamento, a escolha dos materiais e 
a disposição no sistema estiverem de 
acordo com as boas práticas de engenharia. –
Vazamento no elemento de separação 
entre o gás e o fluido de operação Nenhuma.
Falha/ruptura do elemento de separação 
entre o gás e o fluido de operação
Sim, no caso de cilindro/pistão de 
armazenamento (ver observação).
Um grande vazamento súbito não 
é para ser considerado.
Falha da válvula de abastecimento no 
lado do gás
Sim, se a válvula de abastecimento 
for instalada de acordo com as boas 
práticas de engenharia e se for provida 
uma proteção adequada contra 
influências externas.
–
Tabela	C.12	–	Falhas	e	exclusões	de	falhas	–	Sensores
Falha considerada Exclusão da falha Observações
Sensor defeituoso (ver observação) Nenhuma.
Os tipos de sensores incluem a 
captura de sinal, processamento 
e saída, em particular para a pressão, 
vazão e temperatura.
Alteração das características de detecção 
ou de saída Nenhuma. –
NÃO TEM VALOR NORMATIVO 43/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Anexo D 
(informativo) 
 
Ferramentas de validação para sistemas elétricos
D.1 Generalidades
Quando sistemas elétricos forem utilizados em conjunto com outras tecnologias, convém que o 
Anexo D também seja levado em consideração.
As condições ambientais da IEC 60204-1 aplicam-se ao processo de validação. Se outras condições 
ambientais forem especificadas, convém que elas sejam levadas em consideração.
As Tabelas D.1 e D.2 listam os princípios básicos de segurança e os princípios de segurança 
devidamente comprovados.
Os componentes listados na Tabela D.3 são considerados “devidamente comprovados” quando eles 
estiverem de acordo com a descrição provida na ISO 13849-1:2006, 6.2.4. As Normas listadas na 
Tabela D.3 podem ser utilizadas para demonstrar sua adequação e confiabilidade para uma aplicação 
específica. Um componente devidamente comprovado para algumas aplicações pode ser inapro-
priado para outras aplicações.
NOTA Componentes eletrônicos complexos, como controladores lógicos programáveis (PLC), micro-
processadores e circuitos integrados específicos da aplicação, não podem ser considerados equivalentes 
aos componentes “devidamente comprovados”.
A Seção D.2 e as Tabelas D.4 a D.18 listam as exclusões de falhas e suas fundamentações. 
Para exclusões adicionais, ver 4.4.
Para validação, convém que as falhas permanentes e as perturbações transientes sejam consideradas.
O instante preciso em que ocorrem as falhas pode ser crítico (ver 9.1).
Tabela D.1 – Princípios básicos de segurança (continua)
Princípio básico de segurança Observações
Uso de materiais adequados e 
fabricação adequada
Seleção de material, métodos de fabricação e tratamento em relação a, 
por exemplo, tensão, durabilidade, elasticidade, atrito, desgaste, corrosão, 
temperatura, condutividade, rigidez dielétrica.
Dimensionamento e configuração 
corretos
Considerar, por exemplo, tensão, deformação, fadiga, rugosidade 
superficial, tolerâncias, fabricação.
Seleção, combinação, disposições, 
montagem e instalação adequadas de 
componentes/sistema
Aplicar as recomendações de aplicação do fabricante, por exemplo, folhas 
de catálogo, instruções de instalação, especificações e uso das boas 
práticas de engenharia.
Proteção correta da ligação elétrica
Um lado do circuito de controle, um terminal da bobina de operação de cada 
dispositivo eletromagnético operado, ou um terminal de outro dispositivo 
elétrico é conectado ao circuito de ligação elétrica de proteção 
(ver IEC 60204-1:2005, 9.4.3.1).
NÃO TEM VALOR NORMATIVO44/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela D.1 (conclusão)
Princípio básico de segurança Observações
Monitoramento do isolamento
Uso de um dispositivo de monitoramento do isolamento que indique uma fuga 
à terra ou interrompa o circuito automaticamente após uma fuga à terra 
(ver IEC 60204-1:2005, 6.3.3).
Uso de desenergização
Um estado seguro é obtido por desenergização de todos os dispositivos 
relevantes, por exemplo, pelo uso de contato normalmente fechado (NF) para 
entradas (botões de comando e interruptores de posição) e contato normalmente 
aberto (NA) para relés (ver também a ABNT NBR ISO 12100:2013, 6.2.11.3).
Exceções podem existir em algumas aplicações,por exemplo, quando a perda 
do suprimento elétrico gerar um perigo adicional. As funções de retardo de 
tempo podem ser necessárias para atingir um estado seguro do sistema 
(ver IEC 60204-1:2005, 9.2.2).
Supressão de surtos
Uso de um dispositivo de supressão (RC, diodo, varistor) paralelo à carga, 
porém não em paralelo aos contatos.
NOTA Um diodo aumenta o tempo de desligamento.
Redução do tempo de resposta Minimizar o retardo na desenergização de componentes de comutação.
Compatibilidade Uso de componentes compatíveis com as tensões e correntes utilizadas.
Resistência às condições ambientais
Projetar o equipamento de modo que ele seja capaz de trabalhar em todos os 
ambientes esperados e em quaisquer condições adversas previsíveis, por 
exemplo, temperatura, umidade, vibração e interferência eletromagnética 
(EMI) (ver Seção 10).
Fixação segura dos dispositivos de 
entrada
Fixação de dispositivos de entrada, por exemplo, chaves de intertravamento, 
interruptores de posição, interruptores limitadores, sensores de proximidade, 
de modo que a posição, o alinhamento e a tolerância de comutação sejam 
mantidos em todas as condições esperadas, por exemplo, vibração, desgaste 
normal, entrada de corpos estranhos, temperatura.
Ver ISO 14119:1998, Seção 5.
Proteção contra partida inesperada Evitar a partida inesperada, por exemplo, após a restauração da fonte de 
energia (ver ABNT NBR ISO 12100:2013, 6.2.11.4, ISO 14118, IEC 60204-1).
Proteção do circuito de comando Convém que o circuito de comando seja protegido de acordo com a 
IEC 60204-1:2005, 7.2 e 9.1.1.
Comutação sequencial para circuito de 
contatos em série para sinais redundantes
Para evitar falha de modo comum pela soldagem de ambos os contatos, 
ligação e desligamento não acontecem simultaneamente, de modo que um 
contato sempre comuta sem corrente.
Tabela D.2 – Princípios de segurança devidamente comprovados (continua)
Princípio de segurança 
devidamente comprovado Observações
Contatos mecanicamente guiados 
de forma positiva
Uso de contatos mecanicamente guiados de forma positiva para, por exemplo, 
função de monitoramento em sistemas de Categorias 2, 3 e 4 (ver EN 50205, 
ABNT NBR IEC 60947-4-1:2008, Anexo F, IEC 60947-5-1:2003 + A1: 2009, Anexo L).
Prevenção de falhas em cabos
Para evitar curtos-circuitos entre dois condutores adjacentes,
 — utilizar cabos com blindagem conectada ao aterramento, em cada 
condutor separadamente, ou
 — em cabos planos, utilizar um condutor aterrado entre cada condutor de sinal.
Distância de separação Uso de distância suficiente entre os terminais de ligação, componentes e 
fiação, para evitar conexões involuntárias.
NÃO TEM VALOR NORMATIVO 45/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela D.2 (continuação)
Princípio de segurança 
devidamente comprovado Observações
Limitação de energia Uso de um capacitor para o fornecimento de uma quantidade finita de energia, 
por exemplo, em uma aplicação de temporização.
Limitação dos parâmetros elétricos
Limitação da tensão, corrente, energia ou frequência para restringir o movimento, 
por exemplo, limitação do torque, comando momentâneo com deslocamento/
tempo limitado, velocidade reduzida, para evitar um estado inseguro.
Nenhum estado indefinido
Evitar estados indefinidos no sistema de comando. Projetar e construir o sistema 
de comando de modo que, durante a operação normal e todas as condições 
de operação esperadas, o seu estado, por exemplo, sua(s) saída(s), possa ser 
previsto.
Acionamento de modo positivo
Ação direta é transmitida pela forma construtiva (e não pela resistência) sem 
elementos elásticos, por exemplo, mola entre o acionador e os contatos 
(ver ISO 14119:1998, 5.1, ABNT NBR ISO 12100:2013, 6.2.5).
Orientação do modo de falha Sempre que possível, convém que o dispositivo/circuito falhe no estado ou 
condição segura.
Modo de falha orientada Convém que componentes ou sistemas de modo de falha orientada sejam 
utilizados sempre que for praticável (ver ABNT NBR ISO 12100:2013, 6.2.12.3).
Sobredimensionamento
Sobredimensionamento de componentes, quando utilizados em circuitos de 
segurança, por exemplo, pelos seguintes meios:
 — convém que a corrente que passou por meio dos contatos de comutação 
seja inferior à metade da sua corrente nominal;
 — convém que a frequência de comutação dos componentes seja inferior à 
metade do seu valor nominal;
 — convém que o número total de operações de comutação esperadas não 
seja superior a 10 % da durabilidade elétrica do dispositivo.
NOTA A redução do tamanho pode depender da fundamentação do projeto.
Minimizando a possibilidade de falhas Funções relacionadas à segurança separadas das outras funções.
Equilibrio entre complexidade e 
simplicidade
Convém que o equilíbrio seja efetuado entre
 — a complexidade de atingir um melhor controle e
 — a simplificação, a fim de ter uma melhor confiabilidade.
NÃO TEM VALOR NORMATIVO46/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela D.3 – Componentes devidamente comprovados (continua)
Componente devidamente 
comprovado
Condições	adicionais	para 
“devidamente comprovado” Norma	ou	especificação
Interruptor com acionamento de modo 
positivo (ação de abertura direta), por 
exemplo:
 — botão de pressão;
 — interruptor de posição;
 — chave seletora operada por 
excêntrico, por exemplo, para 
modo de operação
– IEC 60947-5-1:2003, 
Anexo K
Dispositivo de parada de emergência –
ISO 13850
IEC 60947-5-5
Fusível – IEC 60269-1
Disjuntor – ABNT NBR IEC 60947-2
Interruptores, desconectores – ABNT NBR IEC 60947-3
Disjuntor diferencial/DR (dispositivo 
de corrente residual) – IEC 60947-2:2006, 
Anexo B
Contator principal
Somente devidamente comprovado se
a) outras influências forem levadas em 
consideração, por exemplo, vibração,
b) a falha é evitada por métodos apropriados, por 
exemplo, sobredimensionamento (ver Tabela D.2),
c) a corrente da carga é limitada pelo dispositivo 
de proteção térmica, e
d) os circuitos forem protegidos por um 
dispositivo de proteção contra sobrecarga.
NOTA Exclusão de falha não é possível.
ABNT NBR IEC 60947-4-1
Dispositivo ou equipamento de manobra 
para comando e proteção (CPS) – IEC 60947-6-2
Contator auxiliar (por exemplo, relé 
contator)
Somente devidamente comprovado se
a) outras influências forem levadas em consideração, 
por exemplo, vibração,
b) houver uma ação positivamente energizada,
c) a falha for evitada por métodos apropriados, por 
exemplo, sobredimensionamento (ver Tabela D.2),
d) a corrente nos contatos for limitada por um fusível 
ou disjuntor para evitar a soldagem dos contatos, e
e) os contatos forem mecanicamente guiados de 
forma positiva quando utilizados para monitoramento.
NOTA Exclusão de falha não é possível.
EN 50205
IEC 60947-5-1
ABNT NBR IEC 
60947-4-1:2008, Anexo F
NÃO TEM VALOR NORMATIVO 47/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela D.3 (continuação)
Componente devidamente 
comprovado
Condições	adicionais	para 
“devidamente comprovado” Norma	ou	especificação
Relé
Somente devidamente comprovado se
a) outras influências forem levadas em 
consideração, por exemplo, vibração,
b) houver uma ação positivamente energizada,
c) a falha for evitada por métodos apropriados, por 
exemplo, sobredimensionamento (ver Tabela D.2), e
d) a corrente nos contatos for limitada por um fusível 
ou disjuntor para evitar a soldagem dos contatos.
NOTA Exclusão de falha não é possível.
IEC 61810-1
IEC 61810-2
Transformador – IEC 61558
Cabo
Convém que o cabeamento externo ao compartimento 
seja protegido contra danos mecânicos (incluindo, 
por exemplo, vibração ou dobramento).
IEC 60204-1:2005, 
Seção 12
Plugue e soquete –
De acordo com uma norma 
elétrica relevante para a 
aplicação pretendida.
Para intertravamento, 
ver também a ISO 14119.
Termostato – Referente à parte elétrica;ver EN 60730-1
Pressostato –
Referente à parte elétrica, 
ver IEC 60947-5-1.
Referente à parte mecânica; 
ver Anexos B e C.
Solenoide para válvula – –
D.2 Exclusão de falhas
D.2.1 Generalidades
A exclusão de falhas é válida somente se as partes operem dentro de suas classificações especificadas.
D.2.2 “Filamentos de estanho”
Se processos e produtos isentos de chumbo forem aplicados, curtos-circuitos elétricos devido ao 
surgimento de “filamentos de estanho” podem ocorrer. Convém que esta possibilidade seja avaliada e 
considerada ao aplicar a exclusão de falha “curto-circuito ...” de qualquer componente. Por exemplo, 
se o risco de surgimento de filamentos de estanho for considerado elevado, a exclusão de falha 
“curto-circuito de um resistor” é inútil, uma vez que um curto-circuito entre os contatos deste 
componente deve ser considerado.
NOTA 1 O surgimento do filamento é um fenômeno relacionado principalmente a acabamentos de estanho 
de puro brilho. As protuberâncias semelhantes a agulhas podem crescer até várias centenas de micrometros 
de comprimento e podem causar curtos-circuitos elétricos. A teoria que prevalece é que os filamentos são 
causados pelo acúmulo da tensão de compressão no revestimento de estanho.
NÃO TEM VALOR NORMATIVO48/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
NOTA 2 As referências [34] e [35] podem ser úteis para avaliação do fenômeno.
NOTA 3 Filamentos em placas de circuito impresso até agora não foram reportados. As trilhas consistem 
geralmente em cobre sem revestimento de estanho. As trilhas podem ser revestidas com liga de estanho, 
porém, o processo de produção não parece estimular a susceptibilidade ao surgimento do filamento.
D.2.3 Curtos-circuitos em partes montadas em PCB (placa de circuito impresso)
Curtos-circuitos para partes que são montadas em uma placa de circuito impresso (PCB) somente 
podem ser excluídos se a exclusão de falha “curto-circuito entre duas trilhas adjacentes”, descrita na 
Tabela D.5, for efetuada.
D.2.4 Exclusões	de	falhas	e	circuitos	integrados
Como não é possível excluir falhas que possam causar o mau funcionamento de um circuito integrado 
(ver Tabelas D.20 e D.21), uma única falha pode levar à perda de uma função de segurança (incluindo 
sua verificação/ensaio) implementada em um único circuito integrado. Consequentemente, é altamente 
improvável que a funcionalidade de multicanal necessária para a tolerância de falha e/ou requisitos 
de detecção próprios da categoria 2, 3 ou 4 possa ser atingida utilizando um único circuito integrado, 
a menos que ela atenda aos requisitos especiais da arquitetura da IEC 61508-2:2010, Anexo E.
Tabela	D.4	–	Falhas	e	exclusões	de	falhas	–	Condutores/cabos
Falha considerada Exclusão da falha Observações
Curto-circuito entre dois 
condutores
Curtos-circuitos entre condutores que
 — são permanentemente conectados (fixos) e 
protegidos contra danos externos, por exemplo, 
por eletrodutos, blindagem,
 — são cabos de múltiplas vias separadas,
 — estão dentro de um compartimento elétrico 
(ver observação), ou
 — são individualmente blindados com ligação à terra.
Desde que ambos os condutores 
e o compartimento atendam aos 
requisitos apropriados 
(ver IEC 60204-1).
Curto-circuito de qualquer 
condutor a uma parte condutiva 
exposta ou de aterramento
Curtos-circuitos entre o condutor e qualquer parte 
condutiva exposta dentro de um compartimento elétrico 
(ver observação).
Circuito aberto de qualquer 
condutor Nenhuma. –
NÃO TEM VALOR NORMATIVO 49/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	D.5	–	Falhas	e	exclusões	de	falhas	–	Placas	de	circuito	impresso/conjuntos
Falha considerada Exclusão da falha Observações
Curto-circuito entre duas 
trilhas adjacentes
Curtos-circuitos entre condutores 
adjacentes de acordo com as 
observações.
Como material básico, EP GC, de acordo com a 
IEC 60893-1 é utilizado como mínimo.
As folgas e distâncias que causam a perda gradativa 
de corrente são dimensionadas observando no 
mínimo as definidas na IEC 60664-5 (IEC 60664-1 para 
distâncias maiores que 2 mm), com grau de 
contaminação 2/categoria de sobretensão III; se ambas 
as trilhas forem energizadas por uma fonte de energia 
SELV/PELV, o grau de contaminação 2/categoria de 
sobretensão II pode ser aplicado, com uma folga mínima 
de 0,1 mm.
A placa montada é instalada em um compartimento que 
provê proteção contra a contaminação condutiva, por 
exemplo, um compartimento com uma proteção de 
pelo menos grau IP54, e o(s) lado(s) impresso(s) é(são) 
revestido(s) com um verniz resistente ao envelhecimento 
ou camada de proteção cobrindo todos os caminhos 
do condutor (trilha).
NOTA 1 A experiência demonstrou que máscaras de soldagem 
são satisfatórias como uma camada de proteção.
NOTA 2 Uma cobertura adicional da camada de proteção, 
de acordo com a IEC 60664-3, pode reduzir as folgas e as 
distâncias que causam a perda gradativa de corrente.
Circuito aberto de qualquer trilha Nenhuma. –
Tabela	D.6	–	Falhas	e	exclusões	de	falhas	–	Bloco	de	terminal
Falha considerada Exclusão da falha Observações
Curto-circuito entre 
terminais adjacentes
Curto-circuito entre terminais 
adjacentes, de acordo com 
as observações 1) ou 2).
1) Os terminais e conexões utilizados estão de acordo com 
as ABNT NBR IEC 60947-7-1, ABNT NBR IEC 60947-7-2 e 
os requisitos da IEC 60204-1:2006, 13.1.1, são atendidos.
2) O projeto em si assegura que um curto-circuito seja 
evitado, por exemplo, moldando tubos plásticos retráteis 
sobre o ponto de conexão.
Circuito aberto de 
terminais individuais Nenhuma. –
NÃO TEM VALOR NORMATIVO50/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	D.7	–	Falhas	e	exclusões	de	falhas	–	Conector	de	pinos	múltiplos
Falha considerada Exclusão da falha Observações
Curto-circuito entre dois 
pinos adjacentes
Curto-circuito entre pinos adjacentes 
de acordo com a observação.
Se o conector for montado 
em um circuito impresso, as 
considerações da exclusão da 
falha da Tabela D.5 aplicam-se.
Utilizando terminais ou outros meios adequados 
para fios com trançado múltiplo. Convém que as 
folgas e distâncias que causam a perda gradativa de 
corrente e todas as aberturas sejam dimensionadas 
no mínimo segundo a IEC 60664-1, com categoria 
de sobretensão III.
Conector trocado ou inserido 
incorretamente quando não 
evitado por meios mecânicos
Nenhuma. –
Curto-circuito de qualquer 
condutor (ver observação) de 
ligação à terra ou uma parte 
condutiva ou ao condutor de 
proteção
Nenhuma. O núcleo do cabo é considerado uma parte do 
conector de pinos múltiplos.
Circuito aberto conectores 
de pinos individuais Nenhuma. –
Tabela	D.8	–	Falhas	e	exclusões	de	falhas	–	Interruptores	–	Interruptores	de	posição	
eletromecânicos, interruptores operados manualmente (por exemplo, botão de pressão, 
atuador de rearme (reset), interruptor DIP, contatos operados magneticamente, 
reed switch, interruptor de pressão, interruptor de temperatura)
Falha considerada Exclusão da falha Observações
O contato não fechará Dispositivos sensíveis à pressão de acordo 
com a ISO 13856. —
O contato não abrirá Espera-se que os contatos de acordo com 
a IEC 60947-5-1:2003, Anexo K, se abram. —
Curto-circuito entre contatos 
adjacentes isolados um do outro
Curto-circuito pode ser excluído para interruptores 
de acordo com a IEC 60947-5-1 (ver observação). Convém que as partes condutivas 
que se tornam soltas não sejam 
capazes de romper o isolamento 
entre os contatos.
Curto-circuito simultâneo entre três 
terminais de contato de transição
Curtos-circuitos simultâneos podem ser 
excluídos para interruptores de acordo com a 
IEC 60947-5-1 (ver observação).
Para PL e, uma exclusão de falha para aspectos mecânicos (por exemplo, ligação mecânica entre um acionador e um 
elemento de contato) e elétricos não é permitida.Neste caso, redundância é necessária. Para dispositivos de parada de 
emergência de acordo com a IEC 60947-5-5, uma exclusão de falha para aspectos mecânicos é permitida se um número 
máximo de operações for considerado.
NOTA As listas de falhas para os aspectos mecânicos são consideradas no Anexo A.
NÃO TEM VALOR NORMATIVO 51/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	D.9	–	Falhas	e	exclusões	de	falhas	–	Interruptores	– 
Dispositivos eletromecânicos (por exemplo, relés, contatores)
Falha considerada Exclusão da falha Observações
Todos os contatos permanecem na posição 
energizada quando a bobina é desenergizada 
(por exemplo, devido a uma falha mecânica)
Nenhuma.
–
Todos os contatos permanecem na posição 
desenergizada quando a energia é 
aplicada (por exemplo, devido à falha 
mecânica, circuito aberto da bobina)
Nenhuma.
O contato não abrirá Nenhuma.
O contato não fechará Nenhuma.
Curto-circuito simultâneo entre os três 
terminais de contatos de potência 
Curto-circuito simultâneo pode ser 
excluído se as observações forem 
levadas em consideração.
As folgas e as distâncias das trilhas 
que causam a perda gradativa de 
corrente são dimensionadas conforme 
a IEC 60664-1, com no mínimo um 
grau de contaminação 2/ categoria 
de sobretensão III.
As partes condutivas que se tornam 
soltas não podem romper o isolamento 
entre os contatos e a bobina.
Curto-circuito entre dois pares de contato 
e/ou entre os contatos e o terminal da bobina
Curto-circuito pode ser excluído se as 
observações forem levadas em consideração.
Fechamento simultâneo de contatos 
normalmente abertos e normalmente 
fechados
Fechamento simultâneo dos contatos 
pode ser excluído se a observação 
for levada em consideração.
Contatos positivamente guiados 
(ou ligados mecanicamente) são 
utilizados (ver IEC 60947-5-1:2003, 
Anexo L).
Tabela	D.10	–	Falhas	e	exclusões	de	falhas	–	Interruptores	–	Interruptores	de	proximidade
Falha considerada Exclusão da falha Observações
Baixa resistência permanentemente 
na saída Nenhuma (ver observação). Ver IEC 60947-5-3.
Alta resistência permanentemente 
na saída Nenhuma (ver observação). Medidas de prevenção contra falhas 
devem ser descritas.
Interrupção da fonte de energia Nenhuma. –
Nenhuma operação do interruptor 
devido à falha mecânica
Nenhuma operação devido à falha 
mecânica quando a observação é 
levada em consideração.
Convém que todas as partes do interruptor 
sejam suficientemente bem fixadas. 
Para aspectos mecânicos, ver Anexo A.
Curto-circuito entre as três conexões 
de um contato reversível Nenhuma. –
Tabela	D.11	–	Falhas	e	exclusões	de	falhas	–	Interruptores	–	Válvulas	solenoides
Falha considerada Exclusão da falha Observações
Não energiza Nenhuma.
—
Não desenergiza Nenhuma.
NOTA As listas de falhas para os aspectos mecânicos de válvulas pneumáticas e hidráulicas são consideradas nos Anexos B e C, 
respectivamente.
NÃO TEM VALOR NORMATIVO52/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	D.12	–	Falhas	e	exclusões	de	falhas	–	Componentes	elétricos	discretos	–	Transformadores
Falha considerada Exclusão da falha Observações
Circuito aberto de enrolamento 
individual Nenhuma. –
Curto-circuito entre diferentes 
enrolamentos
Curto-circuito entre diferentes enrolamentos 
pode ser excluído se as observações 1) 
e 2) forem levadas em consideração.
1) Convém que os requisitos das partes 
relevantes da IEC 61558 sejam atendidos.
2) Entre diferentes enrolamentos, aplica-se 
isolamento duplo ou reforçado ou uma 
tela de proteção. Aplicam-se ensaios de 
acordo com a IEC 61558-1:2005, Seção 18. 
Tensões de ensaio adequadas são 
providas na IEC 61558-1:2005, Tabela 8 a).
Curtos-circuitos em bobinas e nos enrolamentos 
precisam ser evitados, tomando as 
medidas apropriadas, por exemplo,
 — impregnando as bobinas de modo a 
preencher todas as cavidades entre 
as espiras individuais e o corpo da 
bobina e o núcleo, e
 — utilizando condutores de enrolamento 
de acordo com suas classificações de 
isolamento e de alta temperatura.
3) No caso de um curto-circuito no secundário, 
o aquecimento acima de uma temperatura 
de operação especificada não pode ocorrer.
Curto-circuito em um único 
enrolamento
Um curto-circuito um enrolamento pode 
ser excluído se a observação 1) for 
levada em consideração.
Alteração na relação de 
espiras efetivas
Alteração na relação de espiras efetiva 
pode ser excluída se a observação 1) 
for levada em consideração. Ver também 
a observação 3).
Tabela	D.13	–	Falhas	e	exclusões	de	falhas	–	Componentes	elétricos	discretos	–	Indutâncias
Falha considerada Exclusão da falha Observações
Circuito aberto Nenhuma. –
Curto-circuito
Curto-circuito pode ser excluído 
se a observação for levada em 
consideração.
A bobina é de camada única, esmaltada 
ou encapsulada, com conexões axiais 
de fios e montada axialmente.
Alteração aleatória do valor de 
0,5 LN < L < LN + a tolerância, onde LN 
é o valor nominal dos indutores
Nenhuma. Dependendo do tipo de construção, 
outras faixas podem ser consideradas.
NÃO TEM VALOR NORMATIVO 53/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	D.14	–	Falhas	e	exclusões	de	falhas	–	Componentes	elétricos	discretos	–	Resistores
Falha considerada Exclusão da falha Observações
Circuito aberto Nenhuma. –
Curto-circuito
Curto-circuito pode ser 
excluído se a observação 
1) ou 2) for levada em 
consideração.
1) O resistor é do tipo película, ou do tipo 
camada única com fio enrolado com proteção, 
para evitar o desenrolamento do fio no caso 
de quebra, com conexões de fios axiais, 
montado axialmente e envernizado.
2) Os resistores em tecnologia de montagem 
em superfície devem ser do tipo metálico 
de película fina em tipos de pacotes MELF, 
mini MELF ou μMELF.
3) Por exemplo, se o risco de surgimento 
de filamentos de estanho for considerado 
elevado, a exclusão da falha “curto-circuito 
de um resistor” é inútil, uma vez que um 
curto-circuito entre os contatos deste 
componente tem que ser considerado.
Alteração aleatória do valor de 
0,5 RN < R < 2 RN , onde RN é o valor nominal 
da resistência [ver também a observação 3)]
Nenhuma. Dependendo do tipo de construção, 
outras faixas podem ser consideradas.
Tabela	D.15	–	Falhas	e	exclusões	de	falhas	–	Componentes	elétricos	discretos	– 
Redes de resistores
Falha considerada Exclusão de falha Observações
Circuito aberto Nenhuma.
–Curto-circuito entre duas conexões Nenhuma.
Curto-circuito entre quaisquer conexões Nenhuma.
Alteração aleatória do valor de 0,5 RN < R < 2 RN , 
onde RN é o valor nominal da resistência Nenhuma. Dependendo do tipo de construção, 
outras faixas podem ser consideradas.
Tabela	D.16	–	Falhas	e	exclusões	de	falhas	–	Componentes	elétricos	discretos	–	Potenciômetros
Falha considerada Exclusão de falha Observações
Circuito aberto de uma conexão individual Nenhuma.
–Curto-circuito entre todas as conexões Nenhuma.
Curto-circuito entre duas conexões Nenhuma.
Alteração aleatória do valor de 0,5 Rp < R < 2 Rp, 
onde Rp é o valor nominal da resistência Nenhuma. Dependendo do tipo de construção, 
outras faixas podem ser consideradas.
NÃO TEM VALOR NORMATIVO54/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	D.17	–	Falhas	e	exclusões	de	falhas	–	Componentes	elétricos	discretos	–	Capacitores
Falha considerada Exclusão da falha Observações
Circuito aberto Nenhuma.
–
Curto-circuito Nenhuma.
Alteração aleatória do valor de 0,5 CN < C < CN + a tolerância, 
onde CN é o valor nominal da capacitância Nenhuma. Dependendo do tipo de construção, 
outras faixas podem ser consideradas.
Alteração no valor de δ Nenhuma. –
Tabela	D.18	–	Falhas	e	exclusões	de	falhas	–	Componentes	eletrônicos	–	Semicondutores	
discretos (por exemplo, diodos, diodos Zener, transistores,triacs, tiristores, reguladores 
de tensão, cristal de quartzo, fototransistores, diodos emissores de luz [LED])
Falha considerada Exclusão da falha Observações
Circuito aberto de qualquer conexão Nenhuma.
–
Curto-circuito entre duas conexões Nenhuma.
Curto-circuito entre todas as conexões Nenhuma.
Alteração nas características Nenhuma.
Tabela	D.19	–	Falhas	e	exclusões	de	falhas	–	Componentes	eletrônicos	–	Optoacopladores
Falha considerada Exclusão da falha Observações
Circuito aberto de uma conexão 
individual Nenhuma.
–Curto-circuito entre duas conexões 
de entrada Nenhuma.
Curto-circuito entre duas conexões 
de saída Nenhuma.
Curto-circuito entre duas conexões 
de entrada e saída
Curto-circuito entre a entrada e a saída 
pode ser excluído se as observações 
forem levadas em consideração.
O optoacoplador é construído de acordo 
com a categoria de sobretensão III, 
conforme a IEC 60664-1. Se uma fonte 
de energia SELV/PELV for utilizada, 
grau de contaminação 2/sobretensão 
categoria II pode ser aplicado.
NOTA Ver Tabela D.5.
Medidas são tomadas para assegurar 
que uma falha interna do optoacoplador 
não possa resultar em temperatura 
excessiva de seu material isolante.
NÃO TEM VALOR NORMATIVO 55/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela	D.20	–	Falhas	e	exclusões	de	falhas	–	Componentes	eletrônicos	– 
Circuitos integrados não programáveis
Falha considerada Exclusões	da	falha Observações
Circuito aberto de cada conexão individual Nenhuma.
–
Curto-circuito entre duas conexões Nenhuma.
“stuck-at-fault” (ou seja, curto-circuito em 1 e 0 com entrada isolada ou saída 
desconectada). Sinal estático “0” e “1” em todas as entradas e saídas, individual 
ou simultaneamente
Nenhuma.
Oscilação parasita das saídas Nenhuma.
Alteração nos valores (por exemplo, tensão de entrada/saída de dispositivos 
analógicos) Nenhuma.
NOTA Nesta Parte da ABNT NBR ISO 13849, circuitos integrados (IC) com menos de 1 000 portas e/ou menos de 24 pinos, amplifi-
cadores operacionais, registradores de deslocamento e módulos híbridos são considerados não complexos. Esta definição é arbitrária.
Tabela	D.21	–	Falhas	e	exclusões	de	falhas	–	Componentes	eletrônicos	– 
Circuitos integrados programáveis e/ou complexos
Falha considerada Exclusões	da	falha Observações
Falhas em toda ou parte da função, incluindo falhas de software Nenhuma.
–
Circuito aberto de cada conexão individual Nenhuma.
Curto-circuito entre duas conexões Nenhuma.
“stuck-at-fault” (ou seja, curto-circuito em 1 e 0 com entrada isolada ou saída 
desconectada). Sinal estático “0” e “1” em todas as entradas e saídas, individual 
ou simultaneamente
Nenhuma.
Oscilação parasita das saídas Nenhuma.
Alteração nos valores (por exemplo, tensão de entrada/saída de dispositivos 
analógicos) Nenhuma.
Falhas não detectadas no hardware que passam despercebidas devido à 
complexidade do circuito integrado
Convém que a análise identifique falhas adicionais, as quais devem ser consideradas se elas influenciarem a operação 
da função de segurança.
NOTA Nesta Parte da ABNT NBR ISO 13849, um circuito integrado (IC) é considerado complexo se ele consistir em mais de 1 000 
portas e/ou mais de 24 pinos. Esta definição é arbitrária.
NÃO TEM VALOR NORMATIVO56/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Anexo E 
(informativo) 
 
Exemplo de validação do comportamento da falha e meios de diagnóstico
E.1 Generalidades
Este exemplo considera a validação do PL de uma função de segurança (SF 1), com exceção 
dos requisitos relativos aos seguintes aspectos do PL:
 — valores de MTTFd;
 — falhas de causa comum (CCF);
 — análise do software;
 — falhas sistemáticas.
O exemplo não abrange a validação
 — da especificação dos requisitos de segurança (ver Seção 7),
 — das características das funções de segurança (ver Seção 8),
 — dos requisitos ambientais (ver Seção 10),
 — dos requisitos de manutenção (ver Seção 11),
 — dos requisitos de documentação (ver Seção 12).
Três funções de segurança, SF 1, SF 2 e SF 3, são consideradas no exemplo.
SF 1 é uma função de segurança de parada de quatro atuadores individuais da máquina iniciados 
pela abertura de uma proteção de travamento, e isto é tratado como uma função de segurança 
separada para cada atuador (SF 1.0, SF 1.1, SF 1.2 e SF 1.3). A fim de reduzir a extensão do exemplo, 
a validação foi limitada a SF 1.0 e SF 1.3.
O Anexo A provê orientações sobre como examinar o comportamento da falha e a cobertura de 
diagnóstico de um determinado circuito. Os métodos utilizados para a determinação da cobertura 
de diagnóstico são baseados na análise dos modos de falha e seus efeitos (FMEA), levando em 
consideração a ISO 13849-1:2006, Anexo E.
NOTA Este exemplo não abrange o processo de validação completo da SRP/CS. Particularmente, 
a validação necessária do software do PLC não foi considerada. Para a validação do software relacionado 
à segurança, ver 9.5.
E.2 Descrição da máquina
O exemplo é baseado em uma máquina de montagem automática, com carregamento e descar-
regamento manual das peças de trabalho. A máquina destina-se a desempenhar duas operações 
sequenciais: inserção da esfera e fixação do parafuso em cada peça de trabalho.
NÃO TEM VALOR NORMATIVO 57/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Há quatro estações na máquina: estações de carregamento e descarregamento e duas estações de 
trabalho (ver Figura E.1). A primeira estação de trabalho é o estágio de inserção da esfera e a segunda 
refere-se ao estágio de fixação do parafuso, ambos por meio de ação pneumática.
Uma mesa giratória acionada eletricamente movimenta as peças de trabalho em torno de cada uma 
das quatro estações. As peças de trabalho são colocadas manualmente e removidas dos porta-peças 
de trabalho montados sobre a mesa giratória. Um motor elétrico controlado por inversor aciona um 
sistema de engrenagem planetária e correia de transmissão que movimenta a mesa giratória.
Na primeira estação de trabalho, uma esfera é introduzida na peça de trabalho por um cilindro 
pneumático montado horizontalmente, o qual é controlado por uma válvula de controle direcional 
monoestável com função 5/2 vias (1V1, ver Figura E.3). A posição básica (válvula desenergizada) 
deste cilindro é a posição recuada. A profundidade da esfera inserida é checada monitorando-se um 
interruptor limitador na posição totalmente avançada do cilindro, e a pressão de compressão aplicada 
é monitorada por um sensor de pressão na linha de suprimento de ar, para o avanço do cilindro.
A estação de trabalho de fixação do parafuso é constituída de um cilindro pneumático, sem haste, 
montado verticalmente, conduzindo uma unidade de chave de fenda giratória acionada pneumati-
camente. A unidade de chave de fenda é levantada e abaixada pelo cilindro pneumático, o qual é 
controlado por uma válvula de controle direcional monoestável com função 5/2 (2V1). A posição básica 
(válvula desenergizada) deste cilindro está na posição superior, com a unidade de chave de fenda 
levantada. Além disso, uma válvula piloto de verificação de controle (2V2) é provida na conexão infe-
rior do cilindro pneumático.
O movimento giratório da unidade de chave de fenda é provido por um motor pneumático, controlado 
por uma válvula de controle direcional monoestável com função 5/2 (3V1). A posição básica (válvula 
desenergizada) deste motor pneumático é o estado OFF (desligado). O torque provido pela unidade 
da chave de fenda é monitorado por um sensor de pressão na sua linha de suprimento de ar.
Um ciclo único da máquina no modo automático de operação é iniciado acionando-se um botão de 
partida. No início de um ciclo, a mesa giratória detém três peças de trabalho: (i) uma peça de trabalho 
recentemente carregada, (ii) uma peça de trabalho parcialmente acabada (esfera inserida) e (iii) uma 
peçade trabalho acabada (esfera inserida e parafuso fixado). Cada ciclo da máquina consiste no 
movimento da mesa giratória em 90°, seguido por operações simultâneas de inserção da esfera e 
fixação do parafuso sobre as peças de trabalho recentemente carregadas e parcialmente acabadas. 
Em seguida, a máquina atinge uma parada operacional, e então o operador abre a proteção intertravada 
para descarregar a peça de trabalho acabada e carregar uma nova peça de trabalho. A conclusão 
de uma peça de trabalho requer três ciclos da máquina para girar a peça de trabalho em 270° a partir 
da estação de carregamento até a estação de descarregamento.
Os seguintes modos de operação são providos:
 — modo automático com carregamento e descarregamento manual (movimento completo da 
máquina com a proteção intertravada fechada);
 — modo de ajuste da mesa giratória (movimento da mesa giratória com dispositivo de comando 
sem retenção e proteção intertravada na posição aberta).
A máquina apresenta perigos mecânicos resultantes dos movimentos de seus atuadores pneumáticos 
(nas estações de trabalho de inserção da esfera e fixação do parafuso) e a mesa giratória acionada 
eletricamente. Por esta razão, ela é protegida por meio de proteções mecânicas fixas, com exceção 
de uma proteção intertravada que provê o acesso às estações de carregamento e descarregamento 
(a zona de perigo).
NÃO TEM VALOR NORMATIVO58/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
1
2
3 4 5
6
7
8
9
10
11
12
13
14
Legenda
1 estação de carregamento 8 peça de trabalho
2 estação de trabalho de inserção da esfera 9 mesa giratória
3 cilindro de inserção da esfera (A1) 10 sensor de pulsos (G2)
4 estação de trabalho de fixação do parafuso 11 correia de transmissão
5 estação de descarregamento 12 engrenagem planetária
6 unidade de chave de fenda (A3) 13 motor elétrico (M1)
7 cilindro de inserção do parafuso (acionamento vertical) (A2) 14 sensor de rotação (G1)
Figura E.1 – Máquina utilizada no exemplo: máquina de montagem automática
E.3 Especificação	dos	requisitos	da	função	de	segurança
No modo automático de operação, proteção contra movimentos perigosos é provida pela seguinte 
função de segurança:
SF 1 parada segura iniciada pela abertura da proteção de travamento e prevenção contra 
 partida inesperada sempre que a proteção de travamento estiver aberta.
Para os efeitos do exemplo, podem ser consideradas funções de segurança separadas para cada 
um dos quatro atuadores individuais da máquina:
SF 1.0 motor elétrico da mesa giratória (M1);
NÃO TEM VALOR NORMATIVO 59/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
SF 1.1 cilindro de inserção da esfera (A1);
SF 1.2 cilindro de inserção do parafuso (A2);
SF 1.3 motor pneumático da unidade de chave de fenda (A3).
NOTA 1 Para o exemplo, a parada segura e a proteção contra partida inesperada são consideradas uma 
função de segurança única, porque elas são implementadas na mesma combinação de SRP/CS.
Durante o modo de ajuste da mesa giratória com a proteção intertravada aberta (atuadores pneu-
máticos da máquina desativados por SF 1.1, SF 1.2 e SF 1.3), a condição segura do movimento da 
mesa giratória é atingida por uma combinação das seguintes funções de segurança:
SF 2: velocidade limitada de segurança;
SF 3: modo de comando sem retenção.
Tabela	E.1	–	Funções	de	segurança	ativas	de	acordo	com	o	modo	de	operação
Modo de operação
Função de segurança
SF 1.0 SF 1.1 SF 1.2 SF 1.3 SF 2 SF 3
Modo automático (proteção intertravada fechada) X X X X
Modo de ajuste (proteção intertravada aberta) X X X X X
X: função de segurança ativa
Após realizar uma apreciação de risco, os seguintes valores de PLr foram designados às funções 
de segurança:
PLr d para SF 1 (parada segura e prevenção contra partida inesperada);
PLr d para SF 2 (velocidade limitada de segurança);
PLr c para SF 3 (modo de operação manual contínua).
NOTA 2 A seleção de PLr c para SF 3 leva em consideração a sua utilização em combinação com SF 2, 
para o qual o PL d é atingido.
Quando SF 1 é requerido, ele inicia as seguintes ações:
 — a mesa giratória realiza uma parada controlada de acordo com a Categoria de Parada 2 da 
IEC 60204-1;
 — o cilindro pneumático da estação de trabalho de inserção da esfera, montado horizontalmente (A1) 
e o cilindro pneumático da estação de trabalho de fixação do parafuso, montado verticalmente (A2), 
retornam e/ou permanecem nas suas posições básicas (ou seja, recuada e superior, respectivamente);
 — a unidade de chave de fenda (A3) para imediatamente.
NOTA 3 Para este exemplo, a apreciação de risco determinou que a perda de desaceleração controlada 
da mesa giratória como resultado de um mau funcionamento do inversor era aceitável, e o movimento dos 
cilindros pneumáticos A1 e A2 para as suas posições básicas não perigosas.
NÃO TEM VALOR NORMATIVO60/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
A distância mínima entre a proteção intertravada e as partes móveis da máquina foi determinada de 
acordo com a ISO 13855, com base no desempenho de parada da máquina.
A máquina é provida com outras funções de segurança, como uma parada de emergência, 
intertravamento da partida, reinicialização e seleção dos modos de operação, porém estas não são 
consideradas no exemplo e, consequentemente, os componentes relevantes não são mostrados nos 
diagramas de circuito das Figuras E.2 e E.3.
Aberto
Fechado
Dispositivo
de segurança
B1
1S0 S4
Comando sem retenção
1S2
B2
1S3
2S2
2S1
1S1 3S1 S2 S3
Início Parada
K1 T1
K1
Realimentação
Bloqueio de pulsos
T1b
T1aParada
Início
Valor ajustado
Valor real
Inversor
Entrada
Saída
PLC B
Entrada
Saída
PLC A
K1 1V0 1V1 2V1 3V1
Mostrado na posição acionada
M1 M
3
G1
n
G2
Sensor
de pulsos
Encoder
Cos/Sen
Figura E.2 – Máquina de montagem automática – Diagrama de circuito elétrico
1S2
G G
1S3
A1
1S1
P
1S0
1V0
1V1 2V1
A2
2S2
2S1
2V2
G
G
3V1
A3
3S1
P
Figura E.3 – Máquina de montagem automática – Diagrama de circuito pneumático
NÃO TEM VALOR NORMATIVO 61/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
E.4 Projeto da SRP/CS
E.4.1 Generalidades
O sistema de comando para o exemplo foi implementado utilizando uma combinação de tecnologias 
eletromecânicas, eletrônicas e pneumáticas.
A fim de atingir o PLr para SF 1 e SF 2, a Categoria 3 foi selecionada. Uma estrutura redundante 
e monitorada diversificada, portanto, foi adotada para todas as partes elétricas e pneumáticas asso-
ciadas a estas funções de segurança (ver Figuras E.2 e E.3).
Para atingir o PLr para SF 3, uma combinação da Categoria 2 e Categoria 3 foi selecionada.
Os sinais dos sensores e dos acionadores do controle (interruptores de posição da proteção intertra-
vada, botão de comando sem retenção) foram duplicados e conectados em dois PLC diversos (tipos 
diferentes de hardware para PLC A e PLC B), que os processam utilizando blocos de função de software 
específico (SRASW). Cada PLC também controla o inversor da mesa giratória e os atuadores pneu-
máticos por meio de linhas de comando que são independentes das linhas de comando do outro PLC.
Para fins de diagnóstico (monitoramento cruzado) e sincronização, os dois PLC comunicam-se entre 
si por meio de um barramento de dados padrão.
O inversor, em particular neste exemplo, tem uma funcionalidade adicional (relé interno) para desa-
tivar seus sinais de controle dos semicondutores de potencia (bloqueio de pulsos), o que pode ser 
considerado uma segunda forma de desligamento [Desligamento seguro de Torque (STO) de acordo 
com a IEC 61800-5-2 ].
Esta característica de bloqueio de pulsos não vai trazer o motor rotativo a uma parada rápida, porque a 
desativação do controle do inversor do motor provoca uma desaceleração descontrolada. Entretanto, 
nesteexemplo, o bloqueio de pulsos ainda faz com que a mesa giratória pare antes que um operador 
possa acessar a zona de perigo, e assim a desaceleração controlada até uma paralisação que 
normalmente precede o bloqueio de pulsos não é uma característica requerida de SF 1.0.
No circuito pneumático, o suprimento de ar em cada um dos atuadores da máquina (A1, A2 e A3), é 
controlado por uma válvula de controle direcional monoestável com função 5/2 (1V1, 2V1 e 3V1) do 
tipo solenoide, com comando-piloto. O ar de controle para todas as três válvulas é ligado por uma 
válvula adicional (1V0) do mesmo tipo, a qual provê um canal redundante de comando. A condição 
desta válvula de liberação é monitorada por um interruptor de pressão (1S0). O suprimento de ar para 
A2 é retirado do suprimento de ar principal, enquanto que para A1 e A3 é retirado do suprimento de 
ar de controle (1V0).
Desenergização do acionamento da câmara do cilindro A1 durante a invasão da área de trabalho é 
também provida por dois canais:
 — escape do ar por meio de 1V1 por comutação na posição normal, e
 — desenergização por meio de 1V0 por comutação na posição normal.
O condição de 1V1 é monitorado por um interruptor de fim de curso (1S2).
Uma válvula de verificação de controle-piloto (2V2), que também retira seu ar de controle de 1V0, 
é provida na conexão inferior de A2 (cilindro pneumático sem haste montado verticalmente). Isto provê 
um canal redundante de parada do movimento em direção à posição inferior e retenção na sua posição 
básica (superior).
NÃO TEM VALOR NORMATIVO62/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
A condição de 2V1 é monitorada por um interruptor de fim de curso (2S2).
O suprimento de ar para o motor pneumático A3 (unidade de chave de fenda) é retirado do suprimento 
de ar de controle (1V0) em vez do suprimento de ar principal. Este uso de 1V0 em adição a 3V1 para 
desligar o suprimento de ar de A3, provê um canal redundante de controle, o que assegura que A3 
não continuará a girar se 3V1 falhar na posição energizada. A condição de 3V1 é monitorada por um 
sensor de pressão (3S1) que provê um sinal de saída analógico.
De acordo com a Categoria 3, os princípios básicos de segurança e princípios de segurança 
devidamente comprovados são levados em consideração, e os requisitos da Categoria B também 
são atendidos. Em particular, os requisitos das IEC 60204-1 e ABNT NBR ISO 4414 foram aplicados.
Os atributos de componentes que implementam a SRP/CS são explicados em detalhes na Tabela E.2.
Tabela E.2 – Atributos de componentes de implementação da SRP/CS 
(lista de partes das Figuras E.2 e E.3) (continua)
Rótulo do 
componente Função Elemento Atributo
Princípio de 
segurança 
devidamente 
comprovado a
Possível Exclusão 
da falha 
B1
Monitoramento da 
posição da proteção 
intertravada
Interruptor de 
intertravamento
IEC 60947-5-1:2003, 
incluindo ação de 
ruptura positiva, de 
acordo com a 
IEC 60947-5-1:2003, 
Anexo K
Acionamento de 
modo positivo
Falha de abertura dos 
contatos do interruptor, 
quando operado.
Falha elétrica pode 
ser excluída porque B1 
possui modo positivo 
de acionamento.
B2
Monitoramento da 
posição da proteção 
intertravada
Interruptor de 
intertravamento IEC 60947-5-1 Nenhum. Nenhuma.
S4
Executa movimento 
de operação manual 
contínua em modo 
de ajuste 
Botão pulsante 
normalmente 
aberto 
– Nenhum. Nenhuma.
PLC A
PLC B
Processamento de 
sinais relativos à 
segurança e não 
relativos à segurança 
Controlador lógico 
programável (PLC)
IEC 61131-1 e 
IEC 61131-2 Nenhum. Nenhuma.
K1
Executa manobra 
de parada (STOP) 
redundante à parada 
do inversor em caso 
de falha no comando 
do PLC
Contator
IEC 60947-5-1, incluindo 
elementos de contato 
mecanicamente guiados 
de acordo com a 
IEC 60947-5-1:2003, 
Anexo L e EN 50205
Contatos 
mecanicamente 
guiados
Nenhuma.
T1
Aciona o motor 
elétrico da mesa 
giratória
Inversor
O inversor possui 
linha de comando de 
desligamento adicional 
(bloqueio de pulsos – STO)
Relé de bloqueio 
com contatos 
mecanicamente 
guiados
Nenhuma.
G1
Mede a velocidade do 
motor elétrico de 
mesa giratória
Sensor de rotação 
(encoder cos/sen) – Nenhum. Nenhuma.
NÃO TEM VALOR NORMATIVO 63/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.2 (continuação)
Rótulo do 
componente Função Elemento Atributo
Princípio de 
segurança 
devidamente 
comprovado a
Possível Exclusão 
da falha 
G2
Monitora o 
movimento da mesa 
giratória
Sensor de pulsos — Nenhum. Nenhuma.
1V0
Controla o suprimento 
de ar para as válvulas 
de controle direcional 
1V1, 2V1, 3V1, e para 
a válvula de retenção 
pilotada 2V2
Válvula-solenoide 
de controle direcional
Válvula-solenoide de 
retorno por mola, função 
5/2, suprimento de ar 
interno, válvula de carretel/ 
êmbolo com sobreposição
Sobredimensio-
namento/fator 
de segurança 
da Tabela B.2, 
posição segura 
(uso de mola 
devidamente 
comprovada), 
sobreposição 
positiva suficiente 
em válvulas de 
carretel/êmbolo
Acúmulo de pressão 
na via 4 com a via 5 
esgotada em posição 
normal, falha da vedação 
por extrusão, movimento 
do carretel da válvula 
sem energia de operação.
1V1
2V1
3V1
Controla o cilindro de 
inserção da esfera A1
Controla o cilindro de 
inserção do parafuso A2
Controla a unidade de 
chave de fenda (motor 
pneumático) A3
Ver 1V0. Ver 1V0. Ver 1V0. Ver 1V0.
2V2
Dispositivo antiqueda 
para cilindro de 
inserção do parafuso 
montado verticalmente 
(A2) relativo à unidade 
de chave de fenda
Válvula de 
retenção pilotada
Válvula pilotada, sem 
retorno, do tipo poppet 
atuada por mola
Tabela B.2. 
Válvula fechada 
por pressão de 
carga 
Abertura sem ar 
piloto
1S0 Monitora aa posição 
da válvula 1V0 Pressostato Ponto de comutação 
fixo
Os princípios 
básicos de 
segurança não são 
requeridos para 
monitoramento 
(sem função de 
segurança).
Nenhuma.
1S1
3S1
Monitora a pressão 
aplicada durante o 
processo de inserção 
da esfera
Monitora o torque 
(pressão) aplicado 
durante o processo 
de aparafusamento
Sensor de 
pressão
Sinal de saída 
analógico
Os princípios 
básicos de 
segurança não são 
requeridos para 
monitoramento 
(sem função de 
segurança).
Nenhuma.
1S2, 1S3
2S1, 2S2
Interruptores limitadores 
para o cilindro de 
inserção da esfera A1
Interruptores limitadores 
para o cilindro de inserção 
do parafuso A2
Sensor de 
proximidade
Princípio de medição 
magnética
Os princípios 
básicos de 
segurança não são 
requeridos para 
monitoramento 
(sem função de 
segurança).
Nenhuma.
NÃO TEM VALOR NORMATIVO64/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.2 (conclusão)
Rótulo do 
componente Função Elemento Atributo
Princípio de 
segurança 
devidamente 
comprovado a
Possível Exclusão 
da falha 
A1 Cilindro de inserção 
da esfera
Cilindro 
pneumático
Não consta no escopo deste documento de acordo com a 
ISO 13849-1:2006, 3.1.1.
A2 Cilindro de inserção 
do parafuso
Cilindro 
pneumático sem 
haste com guia 
externa
Não consta no escopo deste documento de acordo com a 
ISO 13849-1:2006, 3.1.1.
A3 Unidade de chave de 
fenda Motor pneumático Não consta no escopo deste documento de acordo com a 
ISO 13849-1:2006, 3.1.1.
a Os princípios básicos de segurança também foram levados em consideração no projeto de componentes (ver Tabela D.1 para 
componentes elétricos e Tabela B.1 para componentes pneumáticos).
E.4.2 Função de segurança SF 1 – Parada relativa à segurança iniciada pela abertura 
da proteção intertravada e prevenção contra partida inesperada sempre que a proteção 
intertravada estiver aberta
De acordo com a especificação da máquina, a abertura da proteção intertravada tem que iniciar a 
parada de quatro atuadores da máquina: (i) a mesa giratória (acionada pelo motor controlado pelo 
inversor), (ii) o cilindro de inserção da esfera, (iii) o cilindrode inserção do parafuso e (iv) a unidade 
de chave de fenda. Esta função pode, portanto, ser representada conforme mostrado na Figura E.4.
Inversor
Lógica eletrônicaMonitoramento da posição
da proteção intertravada
Válvulas de controle direcional para
o cilindro de inserção da esfera
Válvulas de controle direcional para
o cilindro de inserção do parafuso
Válvulas de controle direcional para
unidade de chave de fenda
Figura E.4 – Blocos de função – SF 1.0, SF 1.1, SF 1.2 e SF 1.3
Quando a proteção de travamento é aberta, o PLC A inicia uma parada da mesa giratória enviando 
um sinal de parada ao inversor (T1a). O PLC B monitora a desaceleração resultante da mesa giratória 
por meio de G2, e quando ele detecta que este atingiu uma parada total, ele desenergiza K1 para 
iniciar o bloqueio de pulsos no inversor (T1b). Se a mesa giratória não parar devido a um falha em T1a 
ou PLC A, então PLC B detectará este falha e ainda enviará seu próprio sinal de parada ao inversor 
(T1b). Este é o segundo canal independente para a função de parada. A parte da função de segurança 
relativa à prevenção contra partida inesperada é realizada da mesma maneira.
A abertura da proteção intertravada também faz com que o PLC A inicie uma primeira parada 
do cilindro de inserção da esfera, do cilindro de inserção do parafuso e da unidade de chave de 
fenda desenergizando 1V1, 2V1 e 3V1. O PLC B inicia uma segunda parada destes três atuadores 
desenergizando 1V0.
NÃO TEM VALOR NORMATIVO 65/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Se a mesa giratória já estiver parada, porém se as estações de trabalho de inserção da esfera e de 
fixação do parafuso estiverem em operação quando a proteção intertravada for aberta, então PLC A 
imediatamente desenergizará 1V1, 2V1 e 3V1, e o PLC B imediatamente desenergizará K1. PLC B 
também desenergizará 1V0 após um retardo, para permitir que o cilindro de inserção da esfera (A1) 
complete seu curso para a posição retraída.
Enquanto a proteção intertravada estiver na posição aberta, é necessário que seja assegurado que 
uma falha no sinal de comando de habilitação do PLC A não leve a uma partida inesperada. Isto é 
atingido pela ação de PLC B desenergizando K1, assim que o motor da mesa giratória tiver atingido 
a parada total, e também desenergizando 1V0 para evitar uma ativação do cilindro de inserção da 
esfera ou do cilindro de inserção do parafuso.
A estimativa do PL para a SRP/CS que desempenha SF 1 foi realizada conforme descrito a seguir:
a)	 Identificação	das	partes	relacionadas	à	segurança
As partes relacionadas à segurança da função de parada SF 1.0 e sua divisão em canais podem 
ser ilustradas pelo diagrama de blocos relacionado à segurança, mostrado na Figura E.5.
B1
B2
PLC A
PLC B K1 T1b
T1a
Figura E.5 – Diagrama de blocos relacionado à segurança – SF 1.0
Similarmente, as partes relacionadas à segurança das funções de parada SF 1.1, SF 1.2 e SF 1.3 
e sua divisão em canais podem ser ilustradas pelo diagrama de blocos relacionado à segurança, 
mostrado na Figura E.6.
B1
B2
PLC A 1V1* / 2V1** / 3V1***
1V0* / (1V0*+2V2)** / 1V0***PLC B
* SF 1.1 ** SF 1.2 *** SF 1.3
Figura E.6 – Diagrama de blocos relacionado à segurança – SF 1.1, SF 1.2 e SF 1.3
As duas partes dos diagramas nas Figuras E.5 e E.6 podem cada uma ser mapeadas segundo a 
arquitetura designada para a Categoria 3, de modo que os diagramas possam ser simplificados 
como as duas SRP/CS (entrada, lógica/saída), mostradas na Figura E.7.
SRP/CSI SRP/CSL/O
Figura	E.7	–	Combinação	de	SRP/CS	desempenhando	funções	de	segurança
Para cada SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
b) Estimativa do MTTFD de cada canal
Para estimativa de valores de MTTFD do componente, dados de confiabilidade providos pelos 
fabricantes foram utilizados.
NÃO TEM VALOR NORMATIVO66/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Para a estimativa do MTTFd de um canal, o método de contagem de partes foi aplicado 
(ver ISO 13849-1:2006, Anexo D). A estrutura redundante diversificada leva a valores de MTTFd 
diferentes para cada canal, de modo que a aplicação da equação de simetrização provê um resultado 
médio de 25 anos (média) para o MTTFD de cada canal de ambas as SRP/CSI e SRP/CSL/O 
de SF 1.0, SF1.1, SF 1.2 e SF 1.3 (ver ISO 13849-1:2006, D.2).
c) Estimativa da DCavg
O DCavg foi calculado para ambas SRP/CS a partir do DC do ensaio interno, e medidas de moni-
toramento foram aplicadas aos diferentes componentes.
Uma verificação de plausibilidade dos interruptores da proteção intertravada B1 e B2 pelo PLC A 
e PLC B, de acordo com a ISO 13849-1:2006, Anexo E, resulta em uma DCavg alta (99 %) para 
a SRP/CSI de SF 1.0, SF 1.1, SF 1.2 e SF 1.3.
As seguintes medidas de diagnóstico são providas na SRP/CSL/O de SF 1.0, SF 1.1, SF 1.2 e SF 1.3:
 — monitoramento do contator, K1, pelo PLC A por meio da posição dos contatos K1;
 — monitoramento cruzado entre PLC A e PLC B;
 — monitoramento indireto de T1a e PLC A pelo PLC B por meio de G2;
 — monitoramento indireto da própria placa de saída do PLC A por meio de 1S2, 2S2, 3S1 e G1;
 — monitoramento da sequência do programa por um dispositivo temporizador interno em PLC A 
e em PLC B;
 — monitoramento indireto de T1a pelo PLC A por meio de G1;
 — monitoramento de T1b pelo PLC A por meio da posição de contato do relé de bloqueio de pulsos;
 — monitoramento indireto do PLC B pelo PLC A por meio da posição dos contatos K1;
 — monitoramento indireto da própria placa de saída do PLC B por meio de 1S0;
 — monitoramento indireto de 1V1 pelo PLC A por meio de 1S2;
 — monitoramento indireto de 2V1 pelo PLC A por meio de 2S2;
 — monitoramento indireto de 3V1 pelo PLC A por meio de 3S1;
 — monitoramento indireto de 1V0 pelo PLC B por meio de 1S0;
 — detecção de falha de PLC A, T1a e 1V1, 2V1 e 3V1 por meio da observação do processo.
De acordo com a ISO 13849-1:2006, Anexo E, estas medidas de diagnóstico proveem um 
resultado de DCavg médio (90 %) para a SRP/CSL/O de SF 1.0, SF 1.1, SF 1.2 e SF 1.3.
d) Estimativa de medidas contra falha de causa comum (CCF)
Estima-se que as medidas adequadas contra falha de causa comum (separação, diversidade, 
proteção contra sobrepressão, ambiental) tenham sido tomadas para ambas SRP/CS de SF 1.0, 
SF 1.1, SF 1.2 e SF 1.3, que, de acordo com a ISO 13849-1:2006, Anexo F, resulta em uma pon-
tuação de 75 pontos para cada SRP/CS.
NÃO TEM VALOR NORMATIVO 67/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
e) Determinação do PL para cada SRP/CS
O PL para cada SRP/CS é determinado conforme descrito a seguir:
 — SRP/CSI de SF 1.0, SF 1.1, SF 1.2 e SF 1.3:
 — Categoria 3;
 — MTTFd médio de cada canal;
 — DCavg alta;
 — 75 pontos para medições contra CCF.
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, porém com DCavg restrito a 
médio (Categoria 3), isto provê um resultado de PL d.
 — SRP/CSL/O de SF 1.0, SF 1.1, SF 1.2 e SF 1.3:
 — Categoria 3;
 — MTTFd médio de cada canal;
 — DCavg médio;
 — 75 pontos para medições contra CCF.
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL d.
f) Determinação do PL para a combinação de SRP/CS desempenhando SF 1.0, SF 1.1, SF 1.2 
e SF 1.3
De acordo com a ISO 13849-1:2006, 6.3, e levando em consideração que a SRP/CS individual 
para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 tem os mesmos valores de PL, o PL da combinação total 
de SRP/CS para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é determinado conforme descrito a seguir:
 — PLbaixo = d
 — Nbaixo = 2
O PL para a combinação de SRP/CS para cada SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é, portanto, PL d.
NOTA O cálculo do PL resultante pela adição dos valores de PFH de todos os subsistemas levará 
a um resultado mais preciso.
g) Falhas sistemáticas
Estima-se que asmedidas adequadas contra falha sistemática tenham sido aplicadas à SRP/CS 
para SF 1.0, SF 1.1, SF 1.2 e SF 1.3 de acordo com a ISO 13849-1:2006, Anexo G.
NÃO TEM VALOR NORMATIVO68/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
E.4.3 Função de segurança SF 2 – Velocidade limitada de forma segura (SLS)
Quando a máquina está no modo de ajuste e a proteção intertravada está na posição aberta, a mesa 
giratória somente pode movimentar-se a uma velocidade limitada de forma segura (SLS), a qual é 
medida por G1 e G2. O PLC A monitora o sinal de G1 e PLC B monitora o sinal de G2, com ambos 
CLP desempenhando as comparações de velocidade desejada/real de forma independente. 
Se a velocidade não for reduzida com êxito ao valor limitado pelo inversor T1a, então o PLC A pode 
reagir provendo um sinal de parada ao inversor (T1a), e PLC B pode reagir ativando o bloqueio 
de pulsos temporizado no inversor (T1b) por meio de K1.
a)	 Identificação	das	partes	relacionadas	à	segurança
As partes relacionadas à segurança da função de segurança SF 2 e sua divisão em canais podem 
ser ilustradas pelo diagrama de blocos relacionado à segurança, mostrado na Figura E.8.
PLC A
PLC B K1 T1b
T1aG1
G2
Figura E.8 – Diagrama de blocos relacionado à segurança – SF 2
Para a SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
O diagrama pode ser mapeado conforme a arquitetura designada para a Categoria 3, de modo 
que a função de segurança seja desempenhada por uma SRP/CS, como mostrado na Figura E.9.
SRP/CSI/L/O
Figura E.9 – SRP/CS desempenhando a função de segurança SF 2
Para a SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
b) Estimativa do MTTFd de cada canal
Para estimativa de valores do componente de MTTFd, dados de confiabilidade providos pelos 
fabricantes foram utilizados.
Para a estimativa do MTTFd de um canal, o método de contagem de partes foi aplicado 
(ver ISO 13849-1:2006, Anexo D). A estrutura redundante diversificada leva a valores de MTTFd 
diferentes para cada canal, de modo que a aplicação da equação de simetrização provê um 
resultado médio de MTTFd médio (mais que 25 anos) para cada canal da SRP/CS.
c) Estimativa do DCavg
O DCavg foi calculado para a SRP/CS a partir do DC do teste interno, e medidas de monitoramento 
aplicadas aos diferentes componentes.
As seguintes medidas de diagnóstico são providas:
 — monitoramento do contator, K1, pelo PLC A por meio da posição dos contatos de K1;
 — monitoramento cruzado entre PLC A e PLC B;
NÃO TEM VALOR NORMATIVO 69/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
 — monitoramento indireto de G1, T1a e PLC A pelo PLC B por meio de G2;
 — monitoramento indireto de T1b pelo PLC A por meio da posição de contato do relé de bloqueio 
de pulsos;
 — monitoramento da sequência do programa por um dispositivo temporizador interno em PLC 
A e em PLC B;
 — monitoramento indireto de G2 e PLC B pelo PLC A por meio da posição dos contatos de K1;
 — monitoramento de G1 pelo PLC A;
 — monitoramento de G1 e T1a (plausabilidade de informações de sen/cos);
 — monitoramento de G2 pelo PLC B (após pressionar S4, PLC B verifica quanto à existência 
de pulsos em G2; se não houver nenhum, o PLC B desenergiza T1b).
De acordo com a ISO 13849-1:2006, Anexo E, estas medidas de diagnóstico proveem um resul-
tado de DCavg médio (90 %) para a SRP/CS.
d) Estimativa de medidas contra falha de causa comum (CCF)
Estima-se que as medidas adequadas contra falha de causa comum (separação, diversidade, 
proteção contra sobrepressão, ambiental) tenham sido tomadas para a SRP/CS, que, de acordo 
com a ISO 13849-1:2006, Anexo F, resultam em uma pontuação de 75 pontos para a SRP/CS.
e) Determinação do PL para a SRP/CS
O PL para a SRP/CS é determinado conforme descrito a seguir:
 — Categoria 3;
 — MTTFd médio de cada canal;
 — DCavg médio;
 — 75 pontos para medições contra CCF.
Aplicando estes valores segundo a ISO 13849-1:2006, Figura 5, porém com DCavg restrito à 
médio (Categoria 3), obtém-se PL d como resultado.
f) Falhas sistemáticas
Estima-se que as medidas adequadas contra falhas sistemáticas tenham sido aplicadas à SRP/CS 
de acordo com a ISO 13849-1:2006, Anexo G.
E.4.4 Função de segurança SF 3 – Modo de operação manual contínua
O movimento da mesa giratória (a uma velocidade limitada segura) com a proteção intertravada 
aberta é iniciado e permanece enquanto o botão de pressão S4 é acionado, e cessa quando o botão 
de pressão é liberado. Quando o botão de pressão está na posição liberada, a partida inesperada 
tem que ser evitada. O sinal do botão de pressão S4 é processado por ambos os CLP.
NÃO TEM VALOR NORMATIVO70/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
a)	 Identificação das partes relacionadas à segurança
As partes relacionadas à segurança da função de segurança SF 3 e sua divisão em canais podem 
ser ilustradas pelo diagrama de blocos relacionado à segurança, mostrado na Figura E.10.
PLC A
PLC B K1 T1b
T1a
S4
Figura E.10 – Diagrama de blocos relacionado à segurança – SF 3
Cada uma das partes do diagrama podem ser mapeadas conforme a arquitetura designada para 
a Categoria 1 e Categoria 3, de modo que o diagrama possa ser simplificado como as duas 
SRP/CS (entrada, lógica/saída) mostradas na Figura E.11.
SRP/CSI SRP/CSL/O
Figura E.11 – Combinação de SRP/CS desempenhando a função de segurança SF 3
Para cada SRP/CS, um PL foi estimado aplicando-se o procedimento simplificado da ISO 13849-1:2006, 4.5.4.
b) Estimativa do MTTFd de cada canal
O MTTFd para a SRP/CSI (botão de pressão de operação manual contínua) é calculado utilizando 
o valor de B10d do fabricante para prover um resultado de MTTFd alto.
A estimativa do MTTFd de SRP/CSL/O provê, como em SRP/CSL/O de SF 1.0, um resultado médio 
de 25 anos (média) para o MTTFd (mais que 25 anos) de cada canal.
c) Estimativa do DCavg
O DCavg foi calculado para ambas SRP/CS a partir da DC do teste interno, e medidas de monito-
ramento foram executadas nos diferentes componentes.
O monitoramento do tempo do botão de pressão de operação manual contínua S4 (alternância 
de baixa-alta em uma janela temporal) pelo PLC A e PLC B, de acordo com a ISO 13849-1:2006, 
Anexo E, resulta em um DCavg baixo (75 %) para a SRP/CSI.
As medidas de monitoramento conforme SRP/CSL/O de SF 1.0 são providas na SRP/CSL/O 
de SF 3, resultando em um DCavg médio (90 %) para a SRP/CSL/O.
d) Estimativa de medidas contra falha de causa comum (CCF)
Estima-se que as medidas adequadas contra falha de causa comum (separação, diversidade, 
proteção contra sobretensão, ambiental) tenham sido tomadas para cada SRP/CS, que, de acordo 
com a ISO 13849-1:2006, Anexo F, resultam em uma pontuação de 75 pontos para ambas SRP/CS.
e) Determinação do PL para cada SRP/CS
O PL para cada SRP/CS é determinado conforme descrito a seguir:
 — SRP/CSI:
 — Categoria 1;
 — MTTFD alto do canal.
NÃO TEM VALOR NORMATIVO 71/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL c.
 — SRP/CSL/O:
 — Categoria 3;
 — MTTFd médio de cada canal;
 — DCavg médio;
 — 75 pontos para medições contra CCF.
Aplicando estes valores conforme a ISO 13849-1:2006, Figura 5, isto provê um resultado de PL d.
f) Determinação do PL da combinação de SRP/CS desempenhando SF 3
De acordo com a ISO 13849-1:2006, 6.3, e levando em consideração ambas SRP/CS de SF 3, 
o PL da combinação total de SRP/CS é determinado conforme descrito a seguir:
 — PLbaixo = c
 — Nbaixo = 1
O PL para a combinação de SRP/CS para cada SF 1.0, SF 1.1, SF 1.2 e SF 1.3 é, portanto, PL c.
g) Falhas sistemáticas
Estima-se que as medidas adequadas contra falhas sistemáticastenham sido tomadas para 
ambas SRP/CS de SF 3 de acordo com a ISO 13849-1:2006, Anexo G.
E.5 Validação
E.5.1 Generalidades
Conforme declarado em E.1, o exemplo foi reduzido para a validação do comportamento da falha e os 
meios de diagnóstico das funções de segurança SF 1.0 e SF 1.3.
De acordo com 9.2 e 9.3, a validação do comportamento da falha e os meios de diagnóstico 
são realizados por uma revisão da documentação do projeto, uma análise de falhas e ensaios de intro-
dução de falhas complementares.
As seguintes etapas são realizadas.
 a) Identificar as medidas de diagnóstico e as unidades (componentes, blocos) que elas ensaiam/monitoram.
 b) Verificar o valor de DC designado a cada medição de diagnóstico (DC) para uma unidade específica.
 c) Analisar o comportamento da falha do sistema e estabelecer os casos de ensaio.
 d) Checar quanto ao cálculo correto da DCavg para cada SRP/CS.
 e) Realizar ensaios requeridos para confirmar os valores de DC.
NÃO TEM VALOR NORMATIVO72/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
E.5.2 Validação do comportamento da falha e DCavg
Uma verificação da documentação do projeto (diagrama de blocos relacionado à segurança e lista 
de medidas de diagnóstico para a SRP/CS) confirma que
 — blocos (componentes) relativos a cada SRP/CS e a combinação de SRP/CS, nos diagramas de 
bloco relativos à segurança, e
 — medidas de diagnóstico e unidades monitoradas
adotados no projeto lógico estão corretos, para todas as funções de segurança.
A análise FMEA é utilizada para checar os valores de DC designados a cada unidade monitorada 
de cada SRP/CS, e também o comportamento da falha do sistema.
Como a função de segurança SF 1 tem que atender tanto à parada de segurança e subsequente 
prevenção contra partida inesperada, a análise de falhas para cada componente associado é consi-
derada em uma linha separada para cada um destes requisitos.
Para a análise, as listas de falhas adequadas providas nos Anexos A, B, C e D foram utilizadas.
A análise FMEA quanto às funções de segurança SF 1.0 e SF 1.3, incluindo casos de ensaio, é agora 
considerada.
E.5.3 FMEA e DCavg para SF 1.0 e SF 1.3
E.5.3.1 SF 1.0
A fim de facilitar a análise de SF 1.0, seu diagrama de blocos relacionado à segurança é reproduzido 
na Figura E.12.
B1
B2
PLC A
PLC B K1 T1b
T1a
SRP/CSI SRP/CSL/O
Figura E.12 – Diagrama de blocos da função de segurança – SF 1.0
Ver Tabelas E.3 e E.4.
NÃO TEM VALOR NORMATIVO 73/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.3 – FMEA e estimativa da DC para componentes da SRP/CSI de SF 1.0
Componente/ 
unidade Falha potencial Detecção da falha Efeito/reação Ensaios de 
confirmação
F1
Interruptor de 
intertravamento 
B1
O contato não abre 
quando a proteção 
está aberta (falhas 
mecânicas). a
A falha é reconhecida de 
forma independente por 
PLC A e PLC B por meio 
da alteração de sinal em 
B2 quando a função de 
segurança é requerida 
(abertura da proteção de 
segurança, verificação de 
plausibilidade).
O motor elétrico M1 
é desligado por meio 
de T1a pelo PLC A e 
por meio de K1 e T1b 
pelo PLC B e a partida 
inesperada é impedida.
Aplicar um nível lógico 
alto “1” constante na 
entrada relevante de 
ambos os CLP antes 
da proteção ser aberta.
F2
Nenhuma falha perigosa 
enquanto a proteção está 
aberta (exclusão de falha).
– – –
Uma verificação de plausibilidade de B1 e B2 pelos PLC A e PLC B provê um DC de 99 % para B1 (ver ISO 13849-1:2006, 
Tabela E.1).
F3
Interruptor de 
intertravamento 
B2
O contato não abre 
quando a proteção está 
aberta (falhas elétricas 
ou mecânicas).
A falha é reconhecida de 
forma independente por 
PLC A e PLC B por meio 
da alteração de sinal em B1 
quando a função de segurança 
é requerida (abertura da 
proteção de segurança, 
verificação de plausibilidade).
O motor elétrico M1 
é desligado por meio 
de T1a pelo PLC A e 
por meio de K1 e T1b 
pelo PLC B e partida 
inesperada é impedida.
Aplicar um nível lógico 
alto “1” constante na 
entrada relevante de 
ambos os CLP antes 
da proteção ser aberta.
F4
Fechamento 
espontâneo do contato 
enquanto a proteção 
está aberta (falhas 
mecânicas).
A falha é reconhecida de 
forma independente e 
imediatamente pelos PLC A 
e PLC B como um resultado 
de não haver alteração de 
sinal correspondente em B1.
O motor elétrico M1 
é desligado por meio 
de T1a pelo PLC A e 
por meio de K1 e T1b 
pelo PLC B e a partida 
inesperada é impedida.
Aplicar um nível lógico 
alto “1” constante na 
entrada relevante de 
ambos os CLP antes 
da proteção ser aberta.
Uma verificação de plausibilidade de B1 e B2 pelos PLC A e PLC B provê um DC de 99 % para B2 
(ver ISO 13849-1:2006, Tabela E.1).
NOTA Os condutores não estão incluídos na análise de falhas, porque é considerado que eles somente falham devido a causas 
sistemáticas.
a As falhas elétricas podem ser excluídas, porque B1 possui um modo direto de acionamento (ver IEC 60947-5-1:2003, Anexo K).
A partir da análise, pode ser deduzido que quaisquer falhas individuais na SRP/CSI serão detectadas 
imediatamente, ou na próxima demanda para a função de segurança. Quando uma falha isolada 
ocorre, a função de segurança é sempre realizada e a partida inesperada é impedida.
Como um resultado da análise, é considerado que os valores presumidos de DC (alta) durante o 
projeto de B1 e B2 são adequados. Como a DC de ambos os componentes é igual (99 %), a DCavg 
de SRP/CSI é elevada (99 %), como foi estimado durante o projeto.
Estas características são típicas para a Categoria 3, selecionada no projeto (ver E.4.1), a fim de 
atender à especificação do requisito de segurança provido em E.3 (PLr).
A fim de checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última 
coluna da Tabela E.3 podem ser aplicados.
NÃO TEM VALOR NORMATIVO74/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.4 – FMEA e estimativa da DC para componentes da SRP/CSL/O de SF 1.0 (continua)
Componente/ 
unidade Falhas potenciais Detecção da falha Efeito/reação Ensaios de 
confirmação
F1 PLC A
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/saída 
ou codificação forçada 
ou errada, ou nenhuma 
execução na CPU, o 
que evita que o PLC A 
envie um comando de 
parada paraa T1a antes 
ou quando a proteção 
está aberta.
A falha é reconhecida 
pelo PLC B por meio 
da leitura de G2 para 
comparar seu sinal 
relativo ao tempo com a 
alteração esperada do 
número de rotações.
Algumas falhas (por 
exemplo, placas de 
saída) são reconhecidas 
pelo PLC A por meio 
da leitura de G1 em 
um desligamento 
operacional do motor 
elétrico M1 ou quando a 
função de segurança é 
exigida.
Outras falhas podem 
ser detectadas 
antecipadamente pela 
função do dispositivo 
temporizador interno 
(WDa) do PLC A.
O motor elétrico M1 é 
desligado pelo PLC B por 
meio de K1 e T1b após um 
retardo de tempo, quando 
a proteção está aberta, e a 
partida é impedida 
No caso de falhas detectadas 
pelo PLC A por meio da 
leitura de G1 durante o 
desligamento operacional, 
o PLC A informa o PLC B. 
Como resultado de reportar 
o PLC B, o motor elétrico 
M1 é desligado e a partida 
é impedida pelo PLC B.
No caso de falhas detectadas 
pelo WD, PLC A tenta 
desligar o motor elétrico M1 
e impede a partida por meio 
de T1a antes que a função de 
segurança seja exigida ou 
antes que o motor elétrico 
M1 atinja um desligamento 
operacional e, em seguida, 
ela informa o PLC B.
Aplicar um nível 
lógico alto na 
saída da função de 
parada do PLC A 
antes da proteção 
ser aberta.
F2 PLC A
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/saída 
ou codificação forçada 
ou errada, ou nenhuma 
execução na CPU, o 
que remove o comando 
de parada do PLC A 
de T1a enquanto a 
proteção está aberta.
As falhas podem não ser 
reconhecidas pelo PLC B 
por meioda leitura de G2, 
porque o motor M1 
permanece desligado pelo 
PLC B por meio de K1 e 
T1b enquanto a proteção 
está aberta.
Algumas falhas (por exemplo, 
placas de saída) são 
reconhecidas pelo PLC 
A por meio da leitura de 
G1 ao fechar a proteção.
As falhas descritas acima 
e falhas adicionais são 
detectadas pelo operador 
por meio da observação 
do processo ao fechar a 
proteção, ou pelo PLC B 
quando a função de 
segurança for exigida 
posteriormente (abertura 
da proteção).
Outras falhas podem ser 
detectadas antecipadamente 
pela função WDa do PLC A.
O motor elétrico M1 
permanece desligado pelo 
PLC B por meio de K1 e 
T1b enquanto a proteção 
está aberta.
No caso de falhas 
detectadas pelo PLC A por 
meio da leitura de G1 ao 
fechar a proteção, o PLC 
A informa o PLC B. Como 
resultado de reportar 
o PLC B, a ativação 
involuntária do motor 
elétrico M1 é impedida 
pelo PLC B.
No caso de falhas 
detectadas pelo WD, PLC 
A busca manter desligado 
o motor elétrico M1, e 
impede a partida por meio 
de T1a e informa o 
PLC B.
Aplicar o sinal de 
partida no inversor 
enquanto a proteção 
está aberta.
a Algumas das falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade 
dos CLP de enviarem um comando de parada ao dispositivo de acionamento ou a uma válvula, ou incapacidade de manter um comando 
de parada no dispositivo de acionamento ou em uma válvula) podem ser detectadas pela função WD (Watchdog).
NÃO TEM VALOR NORMATIVO 75/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.4 (continuação)
Componente/ 
unidade Falhas potenciais Detecção da falha Efeito/reação Ensaios de 
confirmação
Como resultado do monitoramento indireto de PLC A pelo PLC B por meio de G2, o monitoramento indireto do PLC A da sua própria placa 
de saída por meio de G1, monitoramento da sequência do programa pelo dispositivo temporizador interno, e detecção de falha por meio 
da observação do processo, é considerado para o PLC A um DC de 90 % (ver ISO 13849-1:2006, Tabela E.1).
As medidas acima podem ser consideradas de acordo com a ISO 13849-1:2006, Tabela E.1, NOTA 2.
NOTA É considerado que a maioria das falhas do PLC ocorrem nas placas de entrada/saída e são do tipo bit forçado (stuck-at-type) 
(90 % de todas as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento 
do programa.
F3
Inversor T1a
Falha de bit forçado 
(stuck-at-fault) e 
outras falhas internas 
complexas na eletrônica 
de controle e energia do 
inversor, o que impede 
T1a de parar o motor 
antes ou quando a 
proteção está aberta.
A falha é reconhecida 
pelo PLC B por meio da 
leitura de G2 quando a 
função de segurança é 
exigida.
A falha também é 
reconhecida pelo PLC A 
por meio da leitura de 
G1 em uma parada 
operacional do motor 
elétrico M1 ou quando a 
função de segurança é 
exigida.
O motor elétrico M1 é 
desligado pelo PLC B por 
meio de K1 e T1b após um 
retardo de tempo quando a 
proteção está aberta, e a 
partida, impedida.
O PLC A informa o PLC B 
quando uma falha é reconhecida 
durante a parada operacional. 
Como resultado do envio 
da informação ao PLC B, 
o motor elétrico M1 é 
desligado e a partida é 
impedida pelo PLC B.
Forçar a entrada 
de parada do 
inversor para nível 
lógico alto antes ou 
quando a proteção 
está aberta.
F4
Falha de bit forçado 
(stuck-at-fault) e 
outras falhas internas 
complexas na eletrônica 
de controle e energia 
do inversor, o que 
provê sinais na porta 
aos semicondutores 
de energia de T1a, 
enquanto a proteção 
está aberta.
A falha não pode ser 
reconhecida pelo PLC B 
por meio da leitura de G2 
porque o motor M1 
permanece desligado 
pelo PLC B por meio de K1 
e T1b enquanto a 
proteção está aberta.
A falha será detectada pelo 
operador por meio da 
observação do processo 
ao fechar a proteção.
As falhas também é 
reconhecida pelo PLC 
A por meio da leitura de 
G1 ao fechar a proteção.
O motor elétrico M1 permanece 
desligado pelo PLC B por 
meio de K1 e T1b enquanto 
a proteção está aberta.
Ao fechar a proteção, uma 
partida involuntária do motor 
ocorre (não perigosa).
O PLC A informa o PLC B 
quando uma falha é 
reconhecida. Como resultado 
do envio desta informação 
ao PLC B, a partida involuntária 
do motor elétrico M1 é 
impedida e o reinício é 
impedido pelo PLC B.
Aplicar o sinal 
de partida no 
inversor enquanto 
a proteção está 
aberta.
Como resultado do monitoramento indireto de T1a pelo PLC B por meio de G2, o monitoramento indireto de T1a pelo PLC A por meio 
de G1 e detecção da falha por meio da observação do processo, é considerado para T1a x um DC de 99 %.
a Algumas das falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade 
dos CLP de enviarem um comando de parada ao dispositivo de acionamento ou a uma válvula, ou incapacidade de manter um comando 
de parada no dispositivo de acionamento ou em uma válvula) podem ser detectadas pela função WD.
F5 PLC B
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/saída 
ou codificação forçada 
ou errada ou nenhuma 
execução na CPU, o 
que evita que PLC B 
desligue K1 antes ou 
quando a proteção está 
aberta.
A falha é reconhecida 
pelo PLC A monitorando 
o contato de 
realimentação ligado 
mecanicamente em K1 
quando a função de 
segurança é exigida.
Algumas falhas 
podem ser detectadas 
antecipadamente pela 
função WDa do PLC B.
O motor elétrico M1 é 
imediatamente desligado 
pelo PLC A por meio de T1a 
quando a proteção é aberta 
e a partida é impedida.
No caso de falhas detectadas 
pelo WD, PLC B busca 
informar o PLC A e em 
seguida desligar o motor 
elétrico M1 e impedir o 
reinício por meio de T1b 
antes que a função de 
segurança seja exigida.
Manter K1 na 
posição energizada 
quando a proteção 
está aberta.
NÃO TEM VALOR NORMATIVO76/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.4 (conclusão)
Componente/ 
unidade Falhas potenciais Detecção da falha Efeito/reação Ensaios de 
confirmação
F6 PLC B
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/saída 
ou codificação forçada 
ou errada ou nenhuma 
execução na CPU, o que 
remove o comando de 
parada do PLC B de K1 
enquanto a proteção 
está aberta.
A falha é imediatamente 
reconhecida pelo PLC A 
monitorando o contato 
de realimentação ligado 
mecanicamente a K1.
Algumas falhas podem ser 
detectadas antecipadamente 
pela função WDa do PLC B.
O motor elétrico M1 é mantido 
desligado pelo PLC A por 
meio de T1a enquanto a 
proteção está aberta e o 
reinício é impedido.
No caso de falhas detectadas 
pelo WD, PLC B busca manter 
desligado o motor elétrico M1 
e evitar o reinício por meio de 
T1b, e informar o PLC A.
Comutar K1 em sua 
posição energizada 
enquanto a proteção 
está aberta.
Como resultado do monitoramento indireto de PLC B pelo PLC A por meio da posição do contato de realimentação de K1 e monitoramento 
da sequência do programa pelo dispositivo temporizador interno, é considerado para o PLC B um DC de 90 %.
NOTA É considerado que a maioria das falhas do PLC ocorre nas placas de entrada/saída e são do tipo forçado (90 % de todas as 
falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento do programa.
F7 Relé contator 
K1
O contato não abre 
quando a proteção está 
aberta (falha elétrica, 
por exemplo, contatos 
soldados).
A falha é reconhecida 
pelo PLC A que monitora 
o contato de realimentação 
ligado mecanicamente a 
K1 quando a função de 
segurança é exigida.
O motor elétrico M1 é 
imediatamente desligado 
pelo PLC A por meio de 
T1a quando a proteção 
é aberta e a partida é 
impedida.
Manter o contato K1 
na posição atuada 
(ligado) quando a 
proteção está aberta.
F8 Relé contator 
K1
Nenhuma falha perigosa 
enquanto a proteção 
está aberta (exclusão 
de falha).– – –
O monitoramento do relé contator K1 pelo PLC A por meio da posição do contato de realimentação ligado mecanicamente a K1, provê um 
DC de 99% para K1.
a Algumas das falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos 
CLP de enviarem um comando de parada ao inversor ou a uma válvula, ou incapacidade de manter-se um comando de parada no inversor 
ou em uma válvula) podem ser detectadas pela função WD.
F9
Inversor T1b
A não abertura do 
contato do relé interno 
quando a proteção está 
aberta.
A falha é reconhecida pelo 
PLC A monitorando o 
contato mecanicamente 
guiado do relé interno de 
T1b quando a função de 
segurança é exigida.
O motor elétrico M1 é 
imediatamente desligado 
pelo PLC A por meio de T1a 
quando a proteção é aberta 
e o rearme é impedido.
Manter a entrada da 
bobina do relé de 
bloqueio, presente 
em T1b, em nível 
lógico alto quando a 
proteção está aberta.
F10
Nenhuma falha perigosa 
enquanto a proteção está 
aberta (exclusão de falha).
– – –
O monitoramento do relé interno T1b (bloqueio de pulso) pelo PLC A provê um DC de 99 % para T1b.
a Algumas falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos CLP 
de enviarem um comando de parada ao inversor ou a uma válvula, ou a incapacidade de manter-se um comando de parada no inversor 
ou em uma válvula) podem ser detectadas pela função WD.
A partir da análise, pode ser deduzido que as falhas individuais na SRP/CS serão detectadas 
imediatamente, ou em uma parada operacional do motor elétrico M1, ou na próxima demanda 
sob a função de segurança. Quando uma única falha ocorre, a função de segurança é sempre 
realizada. Reativação é possível somente com um canal, no caso de falhas não detectadas em 
PLC A e PLC B.
NÃO TEM VALOR NORMATIVO 77/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
A análise determina que os valores de DC presumidos durante o projeto da SRP/CSL/O são 
adequados. Levando em consideração os valores de MTTFD estimados e os valores de DC para 
os vários componentes utilizados em SRP/CSL/O, um resultado de DCavg médio (90 %) é atingido, 
como foi estimado durante o projeto.
Estas características são típicas para a Categoria 3, selecionada no projeto (ver E.4.1), a fim de 
atender à especificação do requisito de segurança provida em E.3 (PLr).
Para checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última 
coluna da Tabela E.4 podem ser aplicados.
E.5.3.2 SF 1.3
A fim de facilitar a análise do SF 1.3, seu diagrama de blocos relacionado à segurança é reproduzido 
na Figura E.13.
B1
B2
PLC A
PLC B
3V1
1V0
SRP/CSI SRP/CSL/O
Figura E.13 – Diagrama de blocos relacionado à segurança para SF 1.3
Para SRP/CSI de SF 1.3, as medidas de diagnóstico e as unidades ensaiadas/monitoradas são 
idênticas às de SF 1.0 e, portanto, a DCavg de SRP/CSI é também elevada (99 %).
Ver Tabela E.5.
NÃO TEM VALOR NORMATIVO78/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.5 – FMEA da SRP/CSL/O de SF 1.3 (continua)
Componente/ 
unidade
Falhas/falhas 
potenciais Detecção da falha Efeito/reação Ensaios de 
confirmação
F1 PLC A
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/
saída ou bit não 
correspondente ou 
codificação errada ou 
nenhuma execução 
na CPU, o que evita 
que o PLC A desligue 
3V1 antes ou quando a 
proteção for aberta.
Algumas falhas (por 
exemplo, placas de saída) 
são reconhecidas pelo 
PLC A por meio da 
leitura do sensor de 
pressão 3S1 em um 
desligamento operacional 
do motor pneumático A3 
ou quando a função de 
segurança é exigida.
Outras falhas podem 
ser detectadas 
antecipadamente pela 
função WDa do PLC A.
O motor pneumático A3 é 
desligado pelo PLC B por 
meio de 1V0 após um retardo 
de tempo quando a 
proteção estiver aberta.
No caso de falhas detectadas 
pelo PLC A por meio da 
leitura de 3S1 durante o 
desligamento operacional, 
o PLC A informa o PLC B 
que, por sua vez, desliga 
A3 por meio de 3V1 e 
impede o rearme.
Para falhas detectadas 
pelo WD, o PLC A tenta 
desligar o motor pneumático 
A3 e para evitar a reativação 
por meio do 3V1 antes 
que a função de segurança 
seja exigida ou antes que o 
motor pneumático A3 seja 
desligado e, em seguida, 
informa o PLC B.
Aplicar um nível 
lógico alto na saída 
3V1 do PLC A 
antes da proteção 
ser aberta.
F2
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/
saída ou bit não 
correspondente ou 
codificação errada, ou 
nenhuma execução 
na CPU, o que causa 
ao PLC A ligar 3V1 
enquanto a proteção 
está aberta.
Algumas falhas (por 
exemplo, placas de 
saída) são reconhecidas 
pelo PLC A por meio 
da leitura do sensor de 
pressão 3S1 ao fechar a 
proteção.
Outras falhas podem 
ser detectadas 
antecipadamente pela 
função WDa do PLC A.
O motor pneumático A3 é 
mantido desligado pelo PLC B 
por meio de 1V0 enquanto 
a proteção estiver aberta.
Ao fechar a proteção, PLC B 
energiza 1V0 e o motor 
pneumático A3 irá reativar 
(sem risco).
No caso de falhas detectadas 
pelo PLC A, ao fechar a 
proteção, por meio da leitura 
de 3S1, o PLC A informa 
ao PLC B, que por sua vez 
impede a ativação involuntária 
do motor pneumático A3 e 
impede o rearme.
Para falhas detectadas pelo 
WD, PLC A tenta manter 
desligado o motor pneumático 
A3 e evita a reativação por 
meio de 3V1 e informa o PLC B.
Alterar a saída 3V1 
do PLC A a um 
alto nível enquanto 
a proteção está 
aberta.
Como resultado do monitoramento indireto do PLC A da sua própria placa de saída por meio de 3S1 e monitoramento da sequência 
do programa pela função WD (watchdog), o PLC A é considerado para ter um DC de 90 %.
NOTA É considerado que a maioria das falhas do PLC ocorrem nas placas de entrada/saída e são do tipo bit forçado (stuck-at-type) 
(90 % de todos as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequencia-
mento do programa.
NÃO TEM VALOR NORMATIVO 79/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.5 (continuação)
Componente/ 
unidade
Falhas/falhas 
potenciais Detecção da falha Efeito/reação Ensaios de 
confirmação
F3
Válvula-
solenoide de 
controle 
direcional 3V1
Sem comutação 
(emperramento na 
posição extrema) ou 
comutação incompleta 
(emperramento em 
uma posição aleatória 
intermediária) ou 
alteração nos tempos 
de comutação, antes 
ou quando a proteção 
estiver aberta.
A falha é reconhecida pelo 
PLC A por meio da leitura 
do sensor de pressão 3S1, 
no desligamento do motor 
pneumático A3, ou quando 
a função de segurança é 
exigida.
As falhas são também 
detectadas pelo operador 
por meio da observação 
do processo.
O motor pneumático A3 é 
desligado pelo PLC B por 
meio de 1V0 após um retardo 
de tempo quando a proteção 
estiver aberta.
O PLC A informa ao PLC B 
quando uma falha é 
reconhecida. Como base na 
mesma informação, o PLC B 
desliga o motor pneumático 
A3 por meio de 1V0 e qualquer 
reativação é evitada.
Manter os sinais de 
controle elétricos e 
pneumáticos para 
3V1 a um alto nível 
enquanto a proteção 
estiver aberta.
F4
Alteração espontânea 
da posição de 
comutação inicial (sem 
um sinal de entrada) 
enquanto a proteção 
estiver aberta.
NOTA Esta falha pode 
ser excluída porque 3V1 
tem molas devidamente 
comprovadas, e a 
instalação normal e as 
condições de operação 
são aplicadas.
– – –
Como resultado do monitoramento indireto de 3V1 pelo PLC A por meio de 3S1 e a detecção da falha por meio da observação do processo, 
o DC para 3VA pode ser considerado 99 %.
F5 PLC B
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/
saída ou bit não 
correspondente ou 
codificação errada, ou 
nenhuma execução 
na CPU, o que evita 
que o PLC B desligue 
1V0 antes ou quando a 
proteção estiveraberta.
Algumas falhas (por exemplo, 
placas de saída) são 
reconhecidas pelo PLC B 
por meio da leitura do 
interruptor de pressão 1S0 
quando a função de 
segurança é exigida.
Outras falhas podem ser 
detectadas antecipadamente 
pela função WDa do PLC B.
O motor pneumático A3 é 
imediatamente desligado pelo 
PLC A por meio de 3V1 
quando a proteção estiver 
aberta.
No caso de falhas 
detectadas pelo PLC B por 
meio da leitura do interruptor 
de pressão 1S0, PLC B 
informa ao PLC A e mantém 
K1 desativado. O PLC A 
evita o rearme baseado 
nesta mesma informação.
Para falhas detectadas pelo 
WD, PLC B tenta informar 
PLC A e em seguida desligar 
o motor pneumático A3 por 
meio de 1V0 e evitar a 
reativação antes que a função 
de segurança seja exigida.
Aplicar um alto nível 
lógico na saída 1V0 
do PLC B antes da 
proteção ser aberta.
NÃO TEM VALOR NORMATIVO80/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Tabela E.5 (conclusão)
Componente/ 
unidade
Falhas/falhas 
potenciais Detecção da falha Efeito/reação Ensaios de 
confirmação
F6
Falha de bit forçado 
(stuck-at-fault) nas 
placas de entrada/
saída ou bit não 
correspondente ou 
codificação errada, ou 
nenhuma execução 
na CPU, o que impede 
que o PLC B ligue 1V0 
enquanto a proteção 
estiver aberta.
Algumas falhas (por exemplo, 
placas de saída) são 
imediatamente reconhecidas 
pelo PLC B por meio da 
leitura do pressostato 1S0.
Outras falhas podem ser 
detectadas antecipadamente 
pela função WDa do PLC B.
O motor pneumático A3 é 
mantido desligado pelo 
PLC A por meio de 3V1 
enquanto a proteção estiver 
aberta.
No caso de falhas detectadas 
pelo PLC B por meio da 
leitura do pressostato 1S0, 
o PLC B informa o PLC A 
e mantém K1 desativado. 
O PLC A evita o rearme 
baseado nesta mesma 
informação.
No caso de falhas 
detectadas pelo WD, o PLC B 
tenta informar o PLC A e em 
seguida manter desligado 
o motor pneumático A3 por 
meio de 1V0 e evitar o rearme.
Alterar a saída 1V0 
do PLC B para nível 
alto enquanto a 
proteção estiver 
aberta.
Como resultado do monitoramento indireto pelo PLC B da sua própria placa de saída por meio de 1S0, do monitoramento indireto do PLC B 
pelo PLC A, por meio da leitura da posição de K1 atrasvés do seu contato NF de monitoramento, por haver o monitoramento da sequência 
do programa pelo dispositivo temporizador interno (WD) watchdog, o DC do PLC B pode ser considerado 90%.
NOTA É considerado que a maioria das falhas do PLC ocorre nas placas de entrada/saída e são do tipo bit não correspondente (90% 
de todas as falhas em um PLC), porém a função WD de um PLC pode detectar somente algumas falhas que afetam o sequenciamento do 
programa.
F7
Válvula- 
solenoide 
de controle 
direcional 1V0
Sem comutação 
(emperramento na 
posição extrema) ou 
comutação incompleta 
(emperramento em 
uma posição aleatória 
intermediária) ou 
alteração nos tempos 
de comutação, antes 
ou quando a proteção 
estiver aberta.
A falha é reconhecida pelo 
PLC B por meio da leitura 
do pressostato 1S0 quando 
a função de segurança é 
exigida.
O motor pneumático A3 é 
imediatamente desligado 
pelo PLC A por meio de 3V1 
quando a proteção é aberta.
No caso de falhas detectadas 
pelo PLC B por meio da 
leitura do pressostato 1S0, 
o PLC B informa o PLC A que, 
com base nesta informação, 
mantém K1 desenergizado 
e impede o rearme.
Aplicar um nível 
lógico alto na saída 
1V0 do PLC B antes 
da proteção ser 
aberta.
F8 Válvula 
magnética 1V0 
Alteração espontânea da 
posição de comutação 
inicial (sem um sinal de 
entrada) enquanto a 
proteção estiver aberta.
NOTA Esta falha pode 
ser excluída, porque 1V0 
possui molas devidamente 
comprovadas, e condições 
normais de instalação e 
operação são aplicadas.
– – –
O monitoramento indireto de 1V0 pelo PLC B por meio de 1S0 resulta em um DC de 99 % para 1V0.
a Algumas falhas internas dos CLP que, a priori, não causam uma falha da função de segurança (por exemplo, incapacidade dos CLP 
de enviarem um comando de parada ao inversor ou a uma válvula, ou incapacidade de manterem um comando de parada no inversor 
ou em uma válvula) podem ser detectadas pela função WD.
NÃO TEM VALOR NORMATIVO 81/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
A partir da análise, pode ser deduzido que a maioria das falhas únicas na SRP/CS serão detectadas, 
ou imediatamente, ou mediante a uma parada operacional do motor pneumático, A3, ou na próxima 
demanda da função de segurança. Quando uma única falha ocorre, a função de segurança é sempre 
realizada. Reativação é possível somente com um canal, no caso de falhas não detectadas nos CLP 
A e CLP B.
A análise determina que os valores de DC presumidos durante o projeto da SRP/CSL/O são adequa-
dos. Levando em consideração os valores de MTTFD estimados e os valores de DC para os vários 
componentes utilizados em SRP/CSL/O, um resultado de DCavg médio (90 %) é atingido, como foi 
estimado durante o projeto.
Estas são características típicas de Categoria 3, selecionada no projeto (ver E.4.1), a fim de atender 
à especificação do requisito de segurança provida em E.3 (PLr).
Para checar a implementação correta das medidas de diagnóstico, os ensaios descritos na última 
coluna da Tabela E.5 podem ser aplicados.
NÃO TEM VALOR NORMATIVO82/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
Bibliografia
[1] ISO 4079-1, Rubber hoses and hose assemblies – Textile-reinforced hydraulic types – 
Specification – Part 1: Oil-based fluid applications
[2] ISO 4413:2010, Hydraulic fluid power – General rules and safety requirements for systems 
and their components
[3] ISO 4414:2010, Pneumatic fluid power – General rules and safety requirements for systems 
and their components
[4] ISO 4960, Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %
[5] ISO 5598:2008, Fluid power systems and components – Vocabulary
[6] ISO 11161, Safety of machinery – Integrated manufacturing systems – Basic requirements
[7] ISO 13850, Safety of machinery – Emergency stop – Principles for design
[8] ISO 13851, Safety of machinery – Two-hand control devices – Functional aspects and design 
principles
[9] ISO 13855, Safety of machinery – Positioning of safeguards with respect to the approach speeds 
of parts of the human body
[10] ISO 13856 (all parts), Safety of machinery – Pressure-sensitive protective devices
[11] ISO 14118:2000, Safety of machinery – Prevention of unexpected start-up
[12] ISO 14119:1998, Safety of machinery – Interlocking devices associated with guards – Principles 
for design and selection
[13] IEC 60204-1:2005, Safety of machinery – Electrical equipment of machines – Part 1: General 
requirements
[14] IEC 60269-1, Low-voltage fuses – Part 1: General requirements
[15] IEC 60529, Degrees of protection provided by enclosures (IP code)
[16] IEC 60664 (all parts), Insulation coordination for equipment within low-voltage systems
[17] IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects 
analysis (FMEA)
[18] IEC 60893-1, Insulating materials – Industrial rigid laminated sheets based on thermosetting 
resins for electrical purposes – Part 1: Definitions, designations and general requirements
[19] IEC 60947 (all parts), Low-voltage switchgear and controlgear
NÃO TEM VALOR NORMATIVO 83/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
ABNT/CB-004
PROJETO ABNT NBR ISO 13849-2
FEV 2019
[20] IEC 61025, Fault tree analysis (FTA)
[21] IEC 61078, Analysis techniques for dependability – Reliability block diagram and boolean methods
[22] IEC 61131-1, Programmable controllers – Part 1: General information
[23] IEC 61131-2, Programmable controllers – Part 2: Equipment requirements and tests
[24] IEC 61165, Application of Markov techniques
[25] IEC 61249 (all parts), Materials for printedboards and other interconnecting structures
[26] IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems
[27] IEC 61558 (all parts), Safety of power transformers, power supplies, reactors and similar products
[28] IEC 61800-5-2, Adjustable speed electrical power drive systems – Part 5-2: Safety 
requirements – Functional
[29] IEC 61810 (all parts), Electromechanical elementary relays
[30] EN 952:1996, Safety of machinery – Safety requirements for fluid power systems and their 
components – Hydraulics
[31] EN 953:1996, Safety of machinery – Safety requirements for fluid power systems and their 
components – Pneumatics
[32] EN 50205, Relays with forcibly guided (mechanically linked) contacts
[33] EN 60730 (all parts), Automatic electric controls for household and similar use
[34] JESD22A121.01,Test method for measuring whisker growth on tin and alloy surfaces finishes 1
[35] JESD201, Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and 
Alloy Surface Finishe1
1 JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834, 
www.jedec.org/download/search/22a1121-01.pdf
NÃO TEM VALOR NORMATIVO84/84
P
ro
je
to
 e
m
 C
on
su
lta
 N
ac
io
na
l
	_GoBack
	Prefácio Nacional
	Introdução
	1	Escopo
	2	Referências normativas
	3	Termos e definições
	4	Processo de validação
	4.1	Princípios de validação
	4.2	Plano de validação
	4.3	Listas de falhas genéricas
	4.4	Listas de falhas específicas
	4.5	Informações para validação
	4.6	Registro de validação
	5	Validação por análise
	5.1	Generalidades
	5.2	Técnicas de análise
	6	Validação por ensaio
	6.1	Generalidades
	6.2	Exatidão na medição
	6.3	Requisitos mais rigorosos
	6.4	Número de amostras de ensaio
	7	Validação da especificação dos requisitos de segurança quanto às funções de segurança
	8	Validação das funções de segurança
	9	Validação dos níveis de desempenho e categorias
	9.1	Análise e ensaio
	9.2	Validação das especificações de categoria
	9.2.1	Categoria B
	9.2.2	Categoria 1
	9.2.3	Categoria 2
	9.2.4	Categoria 3
	9.2.5	Categoria 4
	9.3	Validação de MTTFd, DCavg e CCF
	9.4	Validação de medidas contra falhas sistemáticas relativas ao nível de desempenho e categoria da SRP/S
	9.5	Validação do software relacionado à segurança
	9.6	Validação e verificação do nível de desempenho
	9.7	Validação da combinação de partes relacionadas à segurança
	10	Validação dos requisitos ambientais
	11	Validação dos requisitos de manutenção
	12	Validação da documentação técnica e informações de uso
	Anexo A
(informativo)
Ferramentas de validação para sistemas mecânicos
	Anexo B
(informativo)
Ferramentas de validação para sistemas pneumáticos
	Anexo C
(informativo)
Ferramentas de validação para sistemas hidráulicos
	Anexo D
(informativo)
Ferramentas de validação para sistemas elétricos
	D.1	Generalidades
	D.2	Exclusão de falhas
	D.2.1	Generalidades
	D.2.2	“Filamentos de estanho”
	D.2.3	Curtos-circuitos em partes montadas em PCB (placa de circuito impresso)
	D.2.4	Exclusões de falhas e circuitos integrados
	Anexo E
(informativo)
Exemplo de validação do comportamento da falha e meios de diagnóstico
	E.1	Generalidades
	E.2	Descrição da máquina
	E.3	Especificação dos requisitos da função de segurança
	E.4	Projeto da SRP/CS
	E.4.1	Generalidades
	E.4.2	Função de segurança SF 1 – Parada relativa à segurança iniciada pela abertura da proteção intertravada e prevenção contra partida inesperada sempre que a proteção intertravada estiver aberta
	E.4.3	Função de segurança SF 2 – Velocidade limitada de forma segura (SLS)
	E.4.4	Função de segurança SF 3 – Modo de operação manual contínua
	E.5	Validação
	E.5.1	Generalidades
	E.5.2	Validação do comportamento da falha e DCavg
	E.5.3	FMEA e DCavg para SF 1.0 e SF 1.3
	E.5.3.1	SF 1.0
	E.5.3.2	SF 1.3
	Bibliografia
	Figura 1 – Visão geral do processo de validação
	Figura E.1 – Máquina utilizada no exemplo: máquina de montagem automática
	Figura E.2 – Máquina de montagem automática – Diagrama de circuito elétrico
	Figura E.3 – Máquina de montagem automática – Diagrama de circuito pneumático
	Figura E.4 – Blocos de função – SF 1.0, SF 1.1, SF 1.2 e SF 1.3
	Figura E.5 – Diagrama de blocos relacionado à segurança – SF 1.0
	Figura E.6 – Diagrama de blocos relacionado à segurança – SF 1.1, SF 1.2 e SF 1.3
	Figura E.7 – Combinação de SRP/CS desempenhando funções de segurança
	Figura E.8 – Diagrama de blocos relacionado à segurança – SF 2
	Figura E.9 – SRP/CS desempenhando a função de segurança SF 2
	Figura E.10 – Diagrama de blocos relacionado à segurança – SF 3
	Figura E.11 – Combinação de SRP/CS desempenhando a função de segurança SF 3
	Figura E.12 – Diagrama de blocos da função de segurança – SF 1.0
	Figura E.13 – Diagrama de blocos relacionado à segurança para SF 1.3
	Tabela 1 – Estrutura dos Anexos A a D desta Parte da ABNT NBR ISO 13849
	Tabela 2 – Requisitos da documentação para categorias em relação aos níveis de desempenho
	Tabela A.1 – Princípios básicos de segurança (continua)
	Tabela A.2 – Princípios de segurança devidamente comprovados (continua)
	Tabela A.3 – Componentes devidamente comprovados
	Tabela A.4 – Falhas e exclusões de falhas – Dispositivos mecânicos, componentes e elementos (por exemplo, excêntrico, tucho, corrente, embreagem, freio, eixo, parafuso,
pino, guia, rolamento)
	Tabela A.5 – Falhas e exclusões de falhas – Molas helicoidais de pressão
	Tabela B.1 – Princípios básicos de segurança (continua)
	Tabela B.2 – Princípios de segurança devidamente comprovados
	Tabela B.3 – Falhas e exclusões de falhas – Válvulas de controle direcional
	Tabela B.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/válvulas de
retenção (antirretorno)/válvulas de escape rápido/válvulas alternadoras (válvulas “OU”), etc.
	Tabela B.5 – Falhas e exclusões de falhas – Válvulas de fluxo
	Tabela B.6 – Falhas e exclusões de falhas – Válvulas de controle de pressão
	Tabela B.7 – Falhas e exclusões de falhas – Tubulação
	Tabela B.8 – Falhas e exclusões de falhas – Mangueiras
	Tabela B.9 – Falhas e exclusões de falhas – Conexões
	Tabela B.10 – Falhas e exclusões de falhas – Transmissores de pressão e transdutores de pressão
	Tabela B.11 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Filtros
	Tabela B.12 – Falhas e exclusões de falhas – Tratamento do ar comprimido – Lubrificadores
	Tabela B.13 – Falhas e exclusões de falhas – Tratamento de ar comprimido – Silenciadores
	Tabela B.14 – Falhas e exclusões de falhas – Acumuladores e vasos de pressão
	Tabela B.15 – Falhas e exclusões de falhas – Sensores
	Tabela B.16 – Falhas e exclusões de falhas – Processamento de informações – Elementos lógicos
	Tabela B.17 – Falhas e exclusões de falhas – Processamento de informações – Temporizadores
	Tabela B.18 – Falhas e exclusões de falhas – Processamento de informações – Conversores
	Tabela C.1 – Princípios básicos de segurança (continua)
	Tabela C.2 – Princípios de segurança devidamente comprovados (continua)
	Tabela C.3 – Falhas e exclusões de falhas – Válvulas de controle direcional (continua)
	Tabela C.4 – Falhas e exclusões de falhas – Válvulas de parada (fechamento)/
válvulas de retenção (antirretorno)/válvulas alternadoras (válvulas “OU”), etc. (continua)
	Tabela C.5 – Falhas e exclusões de falhas – Válvulas de fluxo
	Tabela C.6 – Falhas e exclusões de falhas – Válvulas de pressão
	Tabela C.7 – Falhas e exclusões de falhas – Tubulação metálica
	Tabela C.8 – Falhas e exclusões de falhas – Mangueiras
	Tabela C.9 – Falhas e exclusões de falhas – Conexões
	Tabela C.11 – Falhas e exclusões de falhas – Armazenamento de energia
	Tabela C.12 – Falhas e exclusões de falhas – Sensores
	Tabela D.1 – Princípios básicos de segurança (continua)
	Tabela D.2 – Princípios de segurança devidamente comprovados (continua)
	Tabela D.3 – Componentes devidamente comprovados (continua)
	Tabela D.4 – Falhas e exclusões de falhas – Condutores/cabos
	Tabela D.5 – Falhas e exclusões de falhas – Placas de circuito impresso/conjuntosTabela D.6 – Falhas e exclusões de falhas – Bloco de terminal
	Tabela D.7 – Falhas e exclusões de falhas – Conector de pinos múltiplos
	Tabela D.8 – Falhas e exclusões de falhas – Interruptores – Interruptores de posição eletromecânicos, interruptores operados manualmente (por exemplo, botão de pressão, atuador de rearme (reset), interruptor DIP, contatos operados magneticamente,
reed swi
	Tabela D.9 – Falhas e exclusões de falhas – Interruptores –
Dispositivos eletromecânicos (por exemplo, relés, contatores)
	Tabela D.10 – Falhas e exclusões de falhas – Interruptores – Interruptores de proximidade
	Tabela D.11 – Falhas e exclusões de falhas – Interruptores – Válvulas solenoides
	Tabela D.12 – Falhas e exclusões de falhas – Componentes elétricos discretos – Transformadores
	Tabela D.13 – Falhas e exclusões de falhas – Componentes elétricos discretos – Indutâncias
	Tabela D.14 – Falhas e exclusões de falhas – Componentes elétricos discretos – Resistores
	Tabela D.15 – Falhas e exclusões de falhas – Componentes elétricos discretos –
Redes de resistores
	Tabela D.16 – Falhas e exclusões de falhas – Componentes elétricos discretos – Potenciômetros
	Tabela D.17 – Falhas e exclusões de falhas – Componentes elétricos discretos – Capacitores
	Tabela D.18 – Falhas e exclusões de falhas – Componentes eletrônicos – Semicondutores discretos (por exemplo, diodos, diodos Zener, transistores, triacs, tiristores, reguladores
de tensão, cristal de quartzo, fototransistores, diodos emissores de luz [LED
	Tabela D.19 – Falhas e exclusões de falhas – Componentes eletrônicos – Optoacopladores
	Tabela D.20 – Falhas e exclusões de falhas – Componentes eletrônicos –
Circuitos integrados não programáveis
	Tabela D.21 – Falhas e exclusões de falhas – Componentes eletrônicos –
Circuitos integrados programáveis e/ou complexos
	Tabela E.1 – Funções de segurança ativas de acordo com o modo de operação
	Tabela E.2 – Atributos de componentes de implementação da SRP/CS
(lista de partes das Figuras E.2 e E.3) (continua)
	Tabela E.3 – FMEA e estimativa da DC para componentes da SRP/CSI de SF 1.0
	Tabela E.4 – FMEA e estimativa da DC para componentes da SRP/CSL/O de SF 1.0 (continua)
	Tabela E.5 – FMEA da SRP/CSL/O de SF 1.3 (continua)