United States
Select country
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa
Safegate

IEC 62061 SIL - Conclusões

 

OBSERVAÇÃO

PLCs relacionados às segurança, barramentos de segurança, atuadores, cortinas de luz de segurança e no geral todos os dispositivos complexos relacionados à segurança com lógica programada integral e software incorporado, se usados para construir um SRECS dos Padrões do Produto apropriados (se aplicável) e com IEC 61508 no que respeita à segurança funcional.

Segurança do maquinário - Segurança funcional do sistema de controle eletrônico programado e eletrônico, elétrico relacionado à segurança.

 

IEC 62061 é resultante do IEC 61508 – Segurança funcional de sistemas de controle eletrônicos programáveis/eletrônicos/elétricos relacionados à segurança.

IEC 61508 é o padrão de referência internacional para a segurança funcional de sistemas eletrônicos programáveis, elétricos e eletrônicos. O Padrão consiste de sete seções. As primeiras três seções especificam os requisitos de segurança para hardware e software, o restante é de natureza informativa e proporciona suporte para a aplicação correta do precedente.

IEC 62061 retém as características do IEC 61508, mas simplifica os requisitos de segurança (tanto do hardware quanto do software) adaptando-os às necessidades específicas do maquinário industrial.

Os requisitos de segurança são considerados apenas para o "modo de exigência elevada", ou seja, solicitação da função de segurança mais uma vez por ano.

O padrão é baseado em dois conceitos básicos:

  • Gerenciamento da Segurança Operacional.
  • Nível de Integridade de Segurança.

Gerenciamento da Segurança Operacional

Especifica todos os aspectos de projeto necessários para a obtenção do nível exigido de segurança funcional, da avaliação dos requisitos de segurança até a documentação, gerenciamento do projeto e validação.

Cada projeto deverá ter seu próprio Plano de Segurança Funcional adequadamente redigido, documentado e devidamente atualizado de acordo com a necessidade.

O Plano de Segurança Funcional deverá identificar as pessoas, funções e recursos necessários para o projeto e implementação do sistema de segurança.


Nível de Integridade de Segurança (SIL)
Metodologia e requisitos são dados para:
  • especificação dos requisitos funcionais de cada função relacionada à segurança a ser implementada.
  • atribuição do Nível de Integridade de Segurança (SIL) para cada função relacionada à segurança considerada.
  • permissão de projeto de um SRECS adequado à função relacionada à segurança a ser implementada.
  • validação dos SRECS.

 

Atribuição de SIL

Para a atribuição de SIL, use o método do Anexo A (embora o Padrão também aceite as técnicas do IEC 61508-5).

Para cada risco identificado, deverá ser avaliado o seguinte:

  • Grau de intensidade (Se) do possível dano.
  • Frequência e horário (Fr) da exposição ao perigo.
  • Probabilidade de evento perigoso (Pr) vinculado ao modo de operação da máquina.
  • Possibilidade de evitar (Av) o perigo. Será mais difícil evitar o perigo quanto mais elevado for o número que representa a possibilidade de evitá-lo.

 

A tabela a seguir, extraída do formulário da Figura A.3 do Padrão IEC 62061, ajudará na obtenção do SIL a ser atribuído à função relacionada à segurança.


fig9
OM (Outras Medidas) = O uso de outros parâmetros é recomendado.

A soma das marcas obtidas para os atributos de frequência, probabilidade e capacidade de evitar proporciona a classe de probabilidade do perigo:

Cl = Fr + Pr + Av

 

Para obter o SIL, alinhe o CI real ao nível de intensidade (Se) identificado.

Este e um processo iterativo. De fato, dependendo da ação protetora desenvolvida, alguns parâmetros poderiam mudar, por exemplo Fr ou Pr, e em tal caso o processo de atribuição de SIL terá que ser repetido usando novos valores para os parâmetros mudados.

Três níveis são previstos: SIL 1, SIL 2, SIL 3.

 

Probabilidade média de falha grave por hora (PFHd) 

fig10

 

Tabella 3 di IEC 62061

 

Consequentemente, o SIL representa o nível de segurança a ser atribuído a um SRECS para a obtenção de sua integridade de segurança nas condições operacionais e continuar depois no tempo especificado.

 

O parâmetro usado para definir o SIL (Nível de Integridade de Segurança) é a probabilidade de falha perigosa/hora (PFHd).

 

Quanto mais elevado for o SIL, mais baixa será a probabilidade do SRECS não ter desempenho tão seguro quanto esperado.

 

O SIL deve ser definido para cada função relacionada à segurança resultante da análise de riscos.

Desenvolvimento e processo de projeto

Cada função relacionada à segurança identificada através da análise deverá ser descrita em termos de:

  • Requisitos operacionais (modo de operação, tempo do ciclo, condições ambientais, tempo de resposta, tipo de interface com outros componentes ou itens, nível de EMC, etc.).
  • Requisitos de segurança (SIL).

Cada função relacionada à segurança deverá ser desmembrada em blocos funcionais, por exemplo, blocos funcionais de dados de entrada, bloco funcional de processamento de dados lógicos, bloco funcional de dados de entrada.

 

Um subsistema é associado a cada bloco funcional.
Por sua vez, os subsistemas consistirão de componentes elétricos interconectados um com o outro. Os componentes elétricos são conhecidos como elementos do subsistema.

 

A implementação da técnica SRECS resultará em uma arquitetura técnica conforme exibido (neste exemplo, controle de acesso através de cortina fotoelétrica).


fig11

 

Para que os SRECS atendam os requisitos de segurança e operacionais identificados, os seguintes requisitos deverão ser cumpridos:



fig12
Cada subsistema deverá consistir dos circuitos elétricos adequados à obtenção do SIL exigido.

O SIL máximo atingido por um subsistema é identificado como SILCS (reivindicação SIL).

Os SILCLs do subsistema dependem do PFHd, restrições de arquitetura, desempenho sob condições de falha e da capacidade de controlar e evitar falha sistemática.

Software relacionado à segurança

Para o projeto do software, o código deve ser desenvolvido de acordo com os padrões de referência, dependendo do tipo de software em questão, conforme segue:


fig13

 

 

IMPORTANTE!
O aspecto de probabilidade é apenas um dos parâmetros que contribuem para a atribuição do SIL.
Para reivindicar um SIL específico, os requerentes devem comprovar e documentar que:
  • Adotaram ações e técnicas de gerenciamento adequadas para obter o nível exigido de segurança operacional
  • Encontra-se em vigor um Plano de Segurança Operacional atualizado e documentado
  • Falha sistemática evitada na medida do possível
  • Avaliado (através de inspeções e testes o desempenho do sistema de segurança em condições ambientais reais
  • Desenvolvido o software após a adoção de todos os aspectos organizacionais exigidos.

 


Cálculo do subsistema PFHd

Para calcular o subsistema PFHd, selecione primeiramente o tipo de arquitetura (estrutura). O Padrão sugere quatro arquitetores predefinidas, proporcionando uma fórmula simplificada diferente para cada uma delas.
Este cálculo exige o uso dos seguintes parâmetros:

λd
= Taxa de falha perigosa de cada elemento do subsistema. Obtido a partir da taxa de falha conhecida λ, distribuição percentual da taxa de falha para todos os modos de falha e análise do desempenho do subsistema após a falha (Falha Perigosa = λd ou Falha não Perigosa = λs).

T1 = Teste de Prova. Intervalo de teste de prova (inspeção externa e reparo, retornando o sistema à condição de novo) para maquinário industrial, o que normalmente coincide com a vida útil (20 anos).

T2 = Intervalo de teste das funções de diagnóstico. Dependendo do projeto ou dispositivos usados, as funções de diagnóstico podem ser executadas pelos circuitos internos dos mesmos SRECS ou por outros SRECSs.

DC = Cobertura de Diagnóstico:
Parâmetro representando a porcentagem de falhas perigosas detectadas fora de todas as falhas perigosas possíveis.
DC depende das técnicas de autodiagnóstico implementadas.
Assumindo que a falha é sempre possível (do contrário não haveria ponto na definição de λ), aqueles mecanismos para a detecção de falhas não são todos necessariamente e igualmente eficazes e adequados (dependendo do tipo de falha, algumas podem ser mais demoradas), que é impossível detectar todas as falhas, que arquiteturas de circuitos adequadas e testes eficazes podem permitir a detecção da maioria das falhas perigosas, um parâmetro DC pode ser definido para estimar a eficácia das técnicas de autodiagnóstico implementadas.
O IEC 62061 não fornece dados para a obtenção de DC em relação às técnicas de diagnóstico implementadas. Contudo, dados de IEC 61508-2 Anexo A podem ser usados.

β = Fator de falha de causa comum. Proporciona uma medida de grau de independência de operação de sistemas de canais redundantes.

Tendo calculado o subsistema PFHd por meio das fórmulas do IEC 62061, é importante assegurar que o SILCL associado obtido a partir da Tabela 3 do IEC 62061 seja compatível com as restrições impostas pela arquitetura como SILCL máximo atingível por um dado subsistema, restrito pela tolerância de falha do hardware da arquitetura e pelo SFF, conforme relacionado na tabela a seguir

 

Fração de falha segura  (SFF) Tolerância de falha de hardware
0 1 2
SFF < 60% Não permitido SIL 1 SIL 2
60% ≤ SFF < 90% SIL 1 SIL 2 SIL 3
90% ≤ SFF < 99% SIL 2 SIL 3 SIL 3
SFF ≥ 99% SIL 3 SIL 3 SIL 3
(Tabela 5 do IEC 62061)

 

Fração de falha de segurança do subsistema (SFF) é, por definição, a fração da taxa de falha geral que não envolve falhas perigosas

 
SFF = (Σλs + Σλdd) / (Σλs + Σλdd + Σλdu).

λdd (taxa de falhas de falhas perigosas detectáveis) e λdu (taxa de falhas de falhas perigosas não detectáveis) são obtidas a partir da eficácia conhecida das técnicas de diagnóstico implementadas.

Se PFHd e SILCL de cada subsistema for conhecido, será possível calcular o SIL geral do SRECS.

A probabilidade geral de falha perigosa/hora do SRECS igualará a soma das probabilidades de falha perigosa/hora de todos os subsistemas envolvidos e deverá incluir, se necessário, também a probabilidade de falha perigosa por hora (PTE) de quaisquer linhas de comunicação relacionadas à segurança:

PFHd = PFHd1 + ... + PFHdN +PTE

Conhecido o PFHd, o SIL resultante dos SRECS é obtido a partir da Tabela 3.
O SIL deverá ser comparado ao SILCL de cada subsistema, uma vez que o SIL que pode ser reivindicado para o SRECS deverá ser menor ou igual ao valor mais baixo do SILCL de qualquer um dos subsistemas.


Exemplo:


fig14

Onde um subsistema envolver duas ou mais funções relacionadas à segurança que exijam diferentes SILs, o SIL mais elevado deverá ser aplicado.

 

CONCLUSÕES


Os procedimentos especificados na ISO 13849-1:2006 simplificam a estimativa da Probabilidade Média de Falha Perigosa por Hora comparada ao IEC 61508, proporcionando uma abordagem pragmática mais de acordo com as necessidades da indústria de máquinas-ferramentas.

 

Ao reter as Categorias e outros conceitos básicos, tais como a função relacionada à segurança e o gráfico de risco, continuidade total com EN 954: 1996 é assegurado.

 

Manter uma abordagem linear estreita com EN 954-1:1996 de qualquer forma, mostra os limites da ISO 13849-1:2006. Onde a adoção de tecnologia complexa é esperada, por exemplo, eletrônicos programáveis, aplicações de barramentos relacionados à segurança, arquiteturas diferentes, etc., será mais apropriado projetar para IEC 62061.

 

Onde os dispositivos e/ou subsistemas projetados de acordo com a ISO EN 3849-1:1999 forem usados, o Padrão IEC 62061 mostrará como integrá-los no SRECS.

 

Uma equivalência biunívoca precisa entre PL e SIL não pode ser identificada.

 

Entretanto, o lado probabilístico de PL e SIL pode ser comparado conforme eles usarem o mesmo conceito, a saber a Probabilidade Média de Falha Perigosa por Hora, para definir a amplitude da resistência à falha.

 

Também, embora o conceito de probabilidade usado nos dois Padrões seja o mesmo, o resultado pode diferir, uma vez que o rigor do cálculo não é o mesmo.

 

De fato, para avaliar o PFHd, o IEC 62061 especifica um procedimento baseado em fórmulas resultantes da teoria de confiabilidade do sistema. Os resultados podem, em alguns casos, por exemplo número reduzido de componentes, alta eficiência das técnicas de autodiagnóstico implementadas, provarem ser muito lentos, ou seja, muito bons.

 

Para simplificar e agilizar a avaliação da Probabilidade de Falha Perigosa por Hora, a ISO 13849-1 usa tabelas de aproximação que devem necessariamente considerar os cenários de pior caso, com resultados consequentemente mais elevados, ou seja inferiores aos, àqueles calculados usando o IEC 62061.

 

Próximo ... EN ISO 14119