United States
Select country
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

ISO 13849-1 PL

 

OBSERVAÇÃO

Ao contrário de EN954-1 no que respeita às Categorias, aqui os PLrs são totalmente "hierárquicos".
PLr(e) proporciona a maior contribuição para a redução de riscos, enquanto PLr(a) faz a mais baixa contribuição.

Partes Relacionadas à Segurança dos Sistemas de Controle, Parte 1: Princípios gerais para o projeto

13849-1 é uma versão revisada da EN 954-1.

As fórmulas matemáticas complexas da teoria de confiabilidade do sistema foram substituídas por tabelas pré-calculadas.

Alguns conceitos da EN 954 foram retidos, por exemplo categorias, redundância, monitoramento.

Alguns números foram modificados, ou seja, gráfico de riscos, seleção das Categorias.

A função das Categorias não é mais crucial como na EN 954-1.

Para avaliar a resistência à falha perigosa, o conceito de Categoria foi substituído pelo Nível de Desempenho (Performance Level, PL), como a capacidade do sistema de controle da máquina relacionado à segurança (doravante denominado SRP/CS) de assegurar proteção nas condições de operação especificadas.

O parâmetro usado para avaliar o PL da função de segurança é a probabilidade média de falha perigosa/hora. Uma falha é considerada perigosa ao onde ela inibe a função de proteção do sistema, caso não seja detectada.

Existem 5 níveis, PLa a PLe.



fig3

 

Tabela de ISO 13849-1 

 

Quanto maior a contribuição na redução do risco, menor deverá ser a probabilidade média de falha perigosa do SRP/CS.


PL é uma função da arquitetura do sistema de controle, confiabilidade dos componentes, capacidade de detectar imediatamente uma falha interna que potencialmente afete a função de segurança e a qualidade do projeto.


A tabela abaixo resume os requisitos qualitativos e quantitativos obrigatórios a serem atendidos para um projeto do sistema de controle seguro, de acordo com a ISO 13849-1.


Consulte ainda o glossário

fig4

 

Requisitos qualitativos e quantitativos obrigatórios a serem atendidos para um projeto do sistema de controle seguro, de acordo com a ISO 13849-1

Para reivindicar um determinado PL, além de avaliar a probabilidade média de falha perigosa/hora para o sistema de controle em questão, também será necessário provar a conformidade com os requisitos de qualidade especificados pelo padrão.

O PL reivindicado deve ser validado usando a ISO 13849-2 Partes Relacionadas à Segurança dos Sistemas de Controle - Validação, que define os procedimentos, testes e análises para a avaliação de:

  •  Função de segurança fornecida
  •  Categoria atingida
  •  Nível de desempenho alcançado

 

IMPORTANTE!

A Probabilidade Média de Falha Perigosa/Hora é apenas um dos parâmetros que contribuem para a atribuição do PL.
Para obter uma classificação de PL, também é obrigatório provar e justificar ter considerado e cumprido todos os requisitos, incluindo:
• Monitoramento de falhas sistemáticas
• Utilização de componentes robustos e confiáveis (de acordo com os Padrões do Produto, se disponíveis)

• Trabalhar de acordo com a boa prática de engenharia
• Considerar as condições ambientais nas quais o sistema relacionado à segurança operará
• No caso de um software novo, adotar todos os aspectos organizacionais do modelo de desenvolvimento do tipo V mostrados na Figura 6 do Padrão
ISO 13849-1 e atendimento aos requisitos de desenvolvimento para aplicações e SW incorporado.



O projeto de um SRP/CS de acordo com ISO 13849-1 pode ser resumido nas seguintes oito etapas

1 – Identificação da função relacionada à segurança através da análise de riscos
2 – Atribuição do Nível de Desempenho exigido (PLr) através do gráfico de riscos
3 – Seleção da estrutura do sistema (arquiteturas) e técnicas de autodiagnóstico
4 – Desenvolvimento técnico do sistema de controle
5 – Cálculo de MTTFd, DCavg e verificação de CCF
6 – Cálculo do PL usando a Tabela 5

7 – Verificação do PL (se o PL calculado estiver abaixo do PLr, retorne à Etapa 3)

8 – Validação.

Identificação do item relacionado à segurança e atribuição do Nível de Desempenho exigido - PLh
Para cada função relacionada à segurança (por exemplo, através do uso de ISO/TR14121-2 - Avaliação de Riscos) o autor de SRP/CS decide a contribuição para redução do risco a ser fornecido, ou seja, PLr.


Esta contribuição não avrange o risco da máquina como um todo, mas apenas a parte do risco relacionada à aplicação da função de segurança em questão.


O Parâmetro PLr representa o Nível de Desempenho exigido para a função relacionada à segurança em questão.


O Parâmetro PL representa o Nível de Desempenho alcançado pelo hardware de implementação. O PL do hardware deve se igual ou superior ao PLr especificado.


Um gráfico de decisões do tipo árvore é usado para encontrar a contribuição para a redução do risco que deve ser fornecida pela função relacionada à segurança, levando à identificação inequívoca do PLr. Se mais de uma função relacionada à segurança for identificada, PLr deverá ser identificado para cada uma delas.

fig5

 Gráfico do tipo árvore da decisão

 

 

Projeto do sistema de controle relacionado à segurança e avaliação do PL
Após decidir o PLr necessário, um SRP/CS adequado é projetado, calculando o PL resultante e assegurando que ele é maior ou igual ao PLr.


Para obter o PL, a probabilidade média de falha perigosa/hora do SRP/CS projetado deve ser calculada.

A probabilidade média de falha perigosa/hora para um sistema de controle relacionado à segurança deve ser estivada de várias maneiras.

O uso de tais métodos implica que para cada componente, é conhecido o seguinte:

  • Taxa de falhas (λ)
  • Distribuição percentual da taxa de falhas para todos os modos de falhas de componentes (por exemplo, se for para um interruptor de ação positiva, os modos de falha são: o contato não abrirá quando necessário = 20% dos casos e o contato não fechará quando necessário = 80% dos casos. O que resulta em: não abrirá = λ x 0,2 não fechará = λ x 0,8 )
  • O efeito de cada falha no desempenho do sistema relacionado à segurança, (por exemplo, falha perigosa = λd, ou falha não perigosa = λs)
  • Porcentagem de falhas perigosas detectadas (pelas técnicas de autodiagnóstico automático implementadas) fora as falhas perigosas totais: λdd = λd x DC.
  • Porcentagem de falhas perigosas detectadas (pelas técnicas de autodiagnóstico automático implementadas) fora as falhas perigosas totais: λdu = λd x (1-DC).


ISO 13849-1 simplifica o cálculo fornecendo uma tabela baseada nos modelos de Markov na qual a probabilidade média de falha perigosa por hora é calculada previamente para diversas combinações de categorias e valores de faixas de MTTFd e DCavg, que são por sua vez obtidos usando tabelas. 

Denotações de
MTTFd
Faixa de MTTFd   Denominação DCavg Faixa de valor  DC/ DCavg
Baixo 3 anos ≤ MTTFd < 10   Nenhum DC < 60%
Médio 10 anos ≤ MTTFd < 30   Baixo 60% ≤ DC < 90%
Alto 30 anos ≤ MTTFd < 100   Médio 90% ≤ DC < 99%
      Alto  Alto 99% ≤ DC
 
Seleção de categorias
CATEGORIA REQUISITOS COMPORTAMENTO PRINCÍPIOS DE SEGURANÇA
B SRP/CS e/ou seu equipamento de proteção, bem como seus componentes, deverão ser projetados, construídos, selecionados, montados e combinados de acordo com os padrões relevantes, de forma que eles possam resistir à influência esperada. Princípios básicos de segurança deverão ser usados A ocorrência de uma falha pode levar à perda da função de segurança Caracterizado principalmente pela seleção dos componentes
1 Requisitos de B deverão ser aplicados. Componentes bem experimentados e princípios de segurança bem testados deverão ser usados   A ocorrência de uma falha pode levar à perda da função de segurança, mas a probabilidade de ocorrência é menor do que para a categoria B
2 Requisitos de B e o uso de princípios de segurança bem testados deverão ser aplicados. A função de segurança deverá ser verificada pela máquina em intervalos adequados A ocorrência de uma falha pode levar à perda da função de segurança entre as inspeções. a perda da função de segurança é detectada Caracterizado principalmente por estruturas
3 Requisitos de B e o uso de princípios de segurança bem testados deverão ser aplicados. Partes relacionadas à segurança deverão ser projetadas de maneira que:
- uma falha única em qualquer uma dessas partes não leve à perda da função de segurança, e
- sempre que razoavelmente viável, a falha única é detectada.
Quando uma falha única ocorre, a função de segurança é sempre realizada. Algumas, mas nem todas as falhas serão detectadas. O acúmulo de falhas não detectadas pode levar à perda da função de segurança
4 Requisitos de B e o uso de princípios de segurança bem testados deverão ser aplicados. Partes relacionadas à segurança deverão ser projetadas de maneira que:
- uma falha única em qualquer uma dessas partes não leve à perda da função de segurança. e
- a falha única é detectada em ou antes da próxima exigência da função de segurança, mas apenas se esta detecção não for possível, um acúmulo de falhas não detectadas não deverá levar à perda da função de segurança.
Ao ocorrer uma falha única, a função de segurança será sempre efetuada.
A detecção das falhas acumuladas reduz a probabilidade da perda da função de segurança (DC elevado).
a falha será detectada a tempo de evitar a perda da função de segurança

 

Para a Categoria B e a Categoria 1, a capacidade de resistir à falha ocorre devido à robustez dos componentes (evite falhas tanto quanto possível).


Para as Categorias 2, 3 e 4, a capacidade de resistir à falha ocorre devido à estrutura do sistema (controle da falha). A falha é controlada através do monitoramento do ciclo para a Categoria 2, redundância para a Categoria 3, redundância mais monitoramento para a Categoria 4.


Os requisitos operacionais são especificados para cada Categoria. Os modos de falha dos componentes elétricos são definidos e relacionados. A relação entre as Categorias e o desempenho de segurança do sistema de controle no caso de falha, é bem definida (abordagem determinista).


O problema é então reduzido para: seleção da arquitetura, cálculo de DCavg em relação às técnicas de autodiagnóstico implementadas, cálculo de MTTFd simplificado do circuito projetado e verificação da conformidade com os requisitos para a operação do canal independente (CCF) para arquiteturas redundantes (Categorias 2, 3 e 4).


A combinação da Categoria mais DCavg adotado é mostrada em uma das sete colunas da figura 5 da ISO 13849-1.
O MTTFd calculado determina qual parte da coluna deve ser considerada. O PL correspondente é mostrado à esquerda da tabela.


 

fig6Figura da ISO 13849-1

A parte da coluna selecionada pode incluir dois ou três valores possíveis de PL, por exemplo para a Categoria 3, DCavg = Médio e MTTFd = Baixo, os três valores a seguir são possíveis: PLb, PLc, PLd. Nesses casos, a obtenção do uso de PL correto é constituído da Tabela K.1 do Anexo K do Padrão (não mostrado), fornecendo valores detalhados da probabilidade média da falha perigosa por hora e Pl em relação ao valor real de MTTFd, além da combinação Categoria-mais-DCavg implementada.

 

Conforme pode ser visto na figura anterior para cada Nível de Desempenho especificado, estão disponíveis diferentes escolhas. Um exemplo é dado n a Tabela 5, onde para um sistema que tem PL de “c”, as cinco alternativas a seguir são possíveis:

 

1. Categoria 3 com MTTFd = Baixo e DCavg médio
2. Categoria 3 com MTTFd = Médio e DCavg baixo
3. Categoria 2 com MTTFd = Médio e DCavg médio
4. Categoria 2 com MTTFd = Alto e DCavg baixo
5. Categoria 1 com MTTFd = Alto

 

Exceção apenas para a parte de saída do SRP/CS.


Se para um componente mecânico, hidráulico ou pneumático (ou componentes que abrangem uma mistura de tecnologias) nenhum dado de confiabilidade específico da aplicação estiver disponível, o fabricante da máquina poderá avaliar os aspectos quantificáveis do PL sem nenhum cálculo de MTTFd.


Para tais casos, o nível de desempenho (PL) relacionado à segurança é implementado pela arquitetura, o diagnóstico e as medidas contra CCF. A tabela a seguir mostra a relação entre o PL possível e as categorias.

 

  PFHd 1/h) Cet. B Cat. 1 Cat. 2 Cat. 3 Cat. 4
PL a 2*10-5 * 0 0 0 0
PL b 5*10-6 * 0 0 0 0
PL c 1,7*10-6 - *2 *1 0 0
PL d 2,9*10-7 - - - *1 0
PL e 4,7*10-8 - - - - *1
* Categoria aplicada é recomendada
0 Categoria aplicada é opcional
- Categoria não é permitida
*1 Comprovado no uso ou bem experimentado (confirmado pelo fabricante de componentes como adequado para a aplicação particular) componentes e princípios de segurança bem experimentados devem ser usados
*2     Componentes bem experimentados e princípios de segurança bem experimentados devem ser usados. Para os componentes relacionados à segurança que não são monitorados no processo, o valor T10d pode ser determinado com base em dados em uso comprovados pelo fabricante da máquina 

Combinação de diversos SRC/PS para atingir o PL total

A função relacionada à segurança pode incluir um ou mais SRP/CSs, e diversas funções relacionadas à segurança podem usar os mesmos SRP/CSs. SRP/CSs individuais poderiam ainda ser obtidos usando outras arquiteturas. Onde a função relacionada à segurança for obtida por uma conexão de série de diversos SRP/CSs, por exemplo cortinas de luz de segurança, lógica de controle, potência de saída, e se os valores de PFHd de todos os SP/CSs forem conhecidos, o PHFd do SRP/CS combinado será a soma de todos os valores PFHd dos N SRP/CSs.

O PL do SRP/CS combinado é limitado por:

  • o PL mais baixo de qualquer SRP/CSs individual envolvido na realização da função de segurança (porque o PL é determinado ainda pelos aspectos não quantificáveis) e
  • o PL correspondente ao PFHd do SRP/CS combinado, de acordo com a tabela 3 da ISO 13849-1
  • Se os valores PFHd de todos os SRP/CSs individuais não forem conhecidos:

Localize a parte com PL = PL baixo
Encontre o número das partes que têm PL = PL baixo
Introduza os dados na tabela a seguir para obter o PL total

 

fig7

 

O PL obtido usando esta tabela refere-se aos valores de confiabilidade na posição intermediária de cada um dos intervalos da Tabela 3 da ISO 13849-1.

 

fig8

 

Nós temos:    PL baixo = d              N baixo = 1 (< 3) 

Portanto:   PL total = d 

e a probabilidade média de falha perigosa por hora para o sistema completo será um número qualquer entre 
1 x 10-6 and 1 x 10-7 (consulte a Tabela 3 da ISO 13849-1).

 

Próximo... IEC 62061 SIL - Conclusões