Cpia no autorizada

JUL 1998 NBR 14153

Segurana de mquinas - Partes de
sistemas de comando relacionadas
ABNT-Associao
Brasileira de
segurana - Princpios gerais para
Normas Tcnicas projeto
Sede:
Rio de Janeiro
Av. Treze de Maio, 13 - 28 andar
CEP 20003-900 - Caixa Postal 1680
Rio de Janeiro - RJ
Tel.: PABX (21) 210 -3122
Fax: (21) 220-1762/220-6436
Endereo Telegrfico:
NORMATCNICA

Origem: Projeto 04:016.01-023:1997

Copyright 1994,
ABNTAssociao Brasileira
de Normas Tcnicas
Printed in Brazil/
Impresso no Brasil
Todos os direitos reservados
CB-04 - Comit Brasileiro de Mquinas e Equipamentos Mecnicos
CE-04:016.01 - Comisso de Estudo de Mquinas Injetoras de Plstico
NBR 14153 - Safety of machinery - Safety related parts of control systems -
General principles for design
Descriptors: Control systems. Safety of machines. Machine control
Esta Norma foi baseada na EN 954-1:1996
Vlida a partir de 01.09.1998
Palavras-chave: Sistema de comando. Segurana de 23 pginas
mquina. Comando de mquina

Sumrio Os Projetos de Norma Brasileira, elaborados no mbito

Prefcio dos CB e ONS, circulam para Votao Nacional entre os
Introduo associados da ABNT e demais interessados.
1 Objetivo
2 Referncias normativas Esta Norma contm os anexos A, B, C, D e E, de carter
3 Definies informativo.
4 Consideraes gerais
Usou-se como texto de referncia para este trabalho a
5 Caractersticas de funes de segurana
EN 954-1:1994 - Safety of machinery - Safety related
6 Categorias
parts of control systems - Part 1: General principles for
7 Considerao de defeitos
design.
8 Validao
9 Manuteno Introduo
10 Informaes para utilizao
ANEXOS Partes de sistemas de comando de mquinas tm, fre-
A Questionrio para o processo de projeto qentemente, a atribuio de prover segurana; essas
B Guia para a seleo de categorias so chamadas as partes relacionadas segurana. Essas
C Lista de alguns defeitos e falhas significativos para partes podem consistir de hardware e software e de-
vrias tecnologias sempenham as funes de segurana de sistemas de
D Relao entre segurana, confiabilidade e comando. Podem ser parte integrante ou separada do
disponibilidade para mquinas sistema de comando.
E Bibliografia
O desempenho, com relao ocorrncia de defeitos,
de uma parte de um sistema de comando, relacionada
Prefcio segurana, dividido, nesta Norma, em cinco categorias
(B, 1, 2, 3 e 4), que devem ser usadas como pontos de re-
A ABNT - Associao Brasileira de Normas Tcnicas -
ferncia. No objetivo a utilizao dessas categorias,
o Frum Nacional de Normalizao. As Normas Brasi-
em qualquer ordem de hierarquia, com respeito a requi-
leiras, cujo contedo de responsabilidade dos Comits
sitos de segurana.
Brasileiros (CB) e dos Organismos de Normalizao Se-
torial (ONS), so elaboradas por Comisses de Estudo As categorias podem ser aplicadas para:
(CE), formadas por representantes dos setores envol-
vidos, delas fazendo parte: produtores, consumidores e - comandos para todo tipo de mquinas, desde sim-
neutros (universidades, laboratrios e outros). ples mquinas (por exemplo, pequenas mquinas
 Cpia no autorizada
2 NBR 14153:1998
para a cozinha) at complexas instalaes de
manufatura (por exemplo, mquinas de embalagem,
mquinas de impresso, prensas, etc.);
- sistemas de comando de equipamentos de proteo,
por exemplo, dispositivos de comando a duas mos,
dispositivos de intertravamento, dispositivos de pro-
teo eletrossensitivos, por exemplo, barreiras foto-
eltricas, e plataformas sensveis presso. As normas relacionadas a seguir contm disposies que,
A categoria selecionada depender da mquina e da
extenso a que os meios de comando so utilizados para
medidas de proteo.
Na seleo de uma categoria e no projeto de uma parte
de um sistema de comando, relacionada segurana, o
projetista dever declarar, ao menos, as seguintes in-
formaes, relativas parte relacionada segurana:
- a(s) categoria(s) selecionada(s);
- a caracterstica funcional e a exata finalidade da
parte na(s) medida(s) de segurana;
- os limites exatos (ver 3.1);
- todos os defeitos relevantes segurana consi-
derados;
- aqueles defeitos relevantes segurana no
considerados pela excluso de defeitos e as medidas
empregadas para permitir sua excluso;
- os parmetros relevantes confiabilidade, tais como
condies ambiente;
- a(s) tecnologia(s) aplicada(s).
O uso das categorias, como pontos de referncia e essa
declarao nos princpios de projeto, tem o objetivo de
permitir a utilizao flexvel desta Norma e proporcionar
uma base clara, sobre a qual o projeto e o desempenho
de qualquer aplicao da parte de um sistema de co-
mando (e a mquina), relacionada segurana, possam
ser avaliados, por exemplo, por terceiros, em ensaios in-
ternos ou em laboratrios independentes.
1 Objetivo
Esta Norma especifica os requisitos de segurana e es-
tabelece um guia sobre os princpios para o projeto (ver
EN 292-1) de partes de sistemas de comando relacio-
nadas segurana. Para essas partes, especifica cate-
gorias e descreve as caractersticas de suas funes de
segurana. Isso inclui sistemas programveis para todos
os tipos de mquinas e dispositivos de proteo relacio-
nados. Esta Norma se aplica a todas as partes de sistemas
de comando relacionadas segurana, independen-
temente do tipo de energia aplicado, por exemplo, el-
trica, hidrulica, pneumtica, mecnica. Esta Norma no
especifica que funes de segurana e que categorias
devem ser aplicadas em um caso particular.
Esta Norma abrange todas as aplicaes de mquinas,
para uso profissional ou no profissional. Tambm, onde
apropriado, esta Norma pode ser aplicada s partes de
sistemas de comando relacionadas segurana, uti-
lizadas em outras aplicaes tcnicas.
2 Referncias normativas
ao serem citadas neste texto, constituem prescries para
esta Norma. As edies indicadas estavam em vigor no
momento desta publicao. Como toda norma est sujeita
reviso, recomenda-se queles que realizam acordos
com base nesta que verifiquem a convenincia de se
usarem as edies mais recentes das normas citadas a
seguir. A ABNT possui a informao das normas em vigor
em um dado momento.
NBR 13759:1996 - Segurana de mquinas - Equi-
pamentos de parada de emergncia, aspectos fun-
cionais - Princpios para projeto
NBR 14009:1997 - Segurana de mquinas -
Princpios para apreciao de riscos
EN 292-1:1991 Safety of machinery - Basic con-
cepts, general principles for design - Part 1: Basic
terminology, methodology.
EN 292-2:1991 - Safety of machinery - Basic con-
cepts, general principles for design - Part 2: Techni-
cal principles and specifications.
EN 457:1992 - Safety of machinery - Auditory danger
signals - General requirements, design and testing
EN 614-1:1995 - Safety of machinery - Ergonomic
design principles - Part 1: Treminology and general
principles
EN 775:1992 - Manipulating industrial robots - Safety
EN 842:1996 - Safety of machinery - Visual danger
signals - General requirements, design and testing
EN 981:1996 - Safety of machinery - System of dan-
ger and non-danger signals with sound and light
EN 982:1996 - Safety of machinery - Safety
requeriments for fluid power systems an components
- Hydraulics
EN 983:1996 - Safety of machinery - Safety
requeriments for fluid power systems an components
- Pneumatics
EN 1037:1995 - Safety of machinery - Prevention of
unexpected start-up
EN 60204 -1:1992 - Electrical equipment of machines
- Part 1: General requeriments
 Cpia no autorizada
NBR 14153:1998
EN 60335-1:1994 Safety of household and similar
electric appliances - Part 1: General requirements
IEC 50(191):1990 - International Eletrotechnical Vo-
cabulary, Chapter 191: Dependability and quality of
service
3 Definies
Para os efeitos desta Norma, aplicam-se s definies
das EN 292-1 e IEC 50(191) e as seguintes:
3.1 parte de sistema de comando relacionada
segurana: Parte ou subparte de sistema de comando,
que responde a sinais de entrada do equipamento sob
comando (e/ou de um operador) e gera sinais de sada
relacionados com segurana. As partes combinadas de
um sistema de comando relacionadas segurana co-
meam no ponto em que os sinais relacionados segu-
rana so gerados e findam na sada dos elementos de
controle de potncia (ver tambm EN 292-1). Isto tambm
inclui sistemas de monitorao.
3.2 categoria: Classificao das partes de um sistema
de comando relacionadas segurana, com respeito
sua resistncia a defeitos e seu subseqente comporta-
mento na condio de defeito, que alcanada pelos ar-
ranjos estruturais das partes e/ou por sua confiabilidade.
3.3 segurana de sistemas de comando: Habilidade
de desenvolver sua(s) funo(es) para um dado perodo,
de acordo com sua categoria especificada, baseada em
seu comportamento no caso de defeito(s).
3.4 defeito: Estado de um item caracterizado pela inabili-
dade de desenvolver a funo requerida, excluindo a
inabilidade durante manutenes preventivas ou outras
aes planejadas, ou devido perda de recursos ex-
ternos.
NOTA - Um defeito , freqentemente, o resultado de uma falha
do prprio item, porm pode existir sem falha prvia.
3.6 falha: Trmino da habilidade de um item em desen-
volver uma funo requerida.
NOTAS
1 Aps a falha o item tem um defeito.
2 Falha um evento, distintamente de defeito, que um estado.
3 Esse conceito, como definido, no se aplica a item constitudo
apenas por software.
4 Na prtica, os termos defeito e falha so freqentemente usa-
dos como sinnimos.
3.7 funo segurana de sinais de comando: Funo
iniciada por um sinal de entrada e processada pelas par-
tes do sistema de comando, relacionadas segurana,
3
para permitir mquina (como um sistema) alcanar um
estado seguro.
3.8 pausa: Suspenso temporria automtica da(s) fun-
o(es) de segurana, por partes do sistema de co-
mando, relacionadas segurana.
3.9 rearme manual: Funo com que as partes de um
sistema de comando relacionadas segurana recu-
peram, manualmente, suas funes de segurana, antes
do reincio de operao da mquina.
4 Consideraes gerais
4.1 Objetivos de segurana no projeto
As partes de um sistema de comando relacionadas
segurana, que proporcionam as funes de segurana,
devem ser projetadas e construdas de tal forma que os
princpios da NBR 14009 sejam integralmente consi-
derados:
- durante toda a utilizao prevista e utilizao in-
correta previsvel;
- na ocorrncia de defeitos;
- quando erros humanos previsveis forem cometidos
durante a utilizao planejada da mquina como
um todo.
4.2 Estratgia geral para projeto
Dos princpios para a apreciao de riscos na mquina
(ver NBR 14009), o projetista deve decidir sobre a con-
tribuio reduo do risco, que precisa ser suprida por
cada parte das partes do sistema de comando relacio-
nadas segurana (ver anexo B). Esta contribuio no
cobre a totalidade dos riscos da mquina sob comando;
por exemplo, no considerado o risco total de uma
prensa mecnica ou uma mquina de lavar, porm a
parte do risco reduzida pela aplicao de funes de se-
guranas particulares. Exemplos de tais funes so a
funo de parada iniciada pela utilizao de um dispo-
sitivo de proteo eletrossensitivo em uma prensa ou a
funo de bloqueio de uma porta de mquina de lavar.
O principal objetivo que o projetista assegure que as
partes de um sistema de comando relacionadas segu-
rana produzam sinais de sada que atinjam os objetivos
de reduo de riscos da NBR 14009. Isto no sempre
possvel, mas o projetista deve, em tais casos, gerar outras
medidas de segurana. A hierarquia para a estratgia na
reduo do risco dada na EN 292-1.
A categoria e outras caractersticas (por exemplo, posio
fsica de partes, isolao), selecionadas pelo projetista
para as partes relacionadas segurana, dependem da
contribuio feita reduo do risco, por essas partes,
pelo projeto e tecnologia (ver Introduo). O projetista
deve declarar:
- que categoria(s) est sendo usada como ponto de
referncia para o projeto;
 Cpia no autorizada
4 NBR 14153:1998
- os pontos exatos em que as partes relacionadas
segurana tm incio e fim;
- a anlise lgica do projeto (por exemplo, os defeitos
considerados e os excludos) para alcanar aque-
la(s) categoria(s).
Quanto mais a reduo do risco depender das partes de
sistema de comando relacionadas segurana, maior
precisa ser a habilidade dessas partes para resistir a de-
feitos. Essa habilidade - entendendo-se que a funo
requerida cumprida - pode ser parcialmente quantifi-
cada por valores de confiabilidade e por uma estrutura
resistente a defeitos. Ambos, confiabilidade e estrutura,
contribuem para essa habilidade das partes relacionadas
segurana em resistir a defeitos. Uma resistncia espe-
cificada a defeitos pode ser atingida pela definio de
nveis de confiabilidade de componentes e/ou com es-
truturas melhoradas para as partes relacionadas
segurana. A contribuio da confiabilidade e da estru-
tura pode variar com a tecnologia aplicada. Por exemplo,
possvel, em uma tecnologia, para um nico canal de
partes relacionadas segurana de alta confiabilidade,
prover a mesma ou maior resistncia a defeitos, que em
uma estrutura tolerante a defeitos, de menor confiabi-
lidade em uma tecnologia diferente
NOTA - Quanto maior a resistncia a defeitos das partes relacio-
nadas segurana, menor a probabilidade que esta parte falhe
no cumprimento de suas funes de segurana.
Confiabilidade e segurana no so o mesmo (ver ane-
xo D). Por exemplo, possvel que a segurana de um
sistema com componentes de baixa confiabilidade seja
em uma estrutura redundante, maior que a segurana de
um sistema com uma estrutura mais simples, porm com
componentes de maior confiabilidade. Esse conceito
importante porque, em algumas aplicaes, a segurana
requer a mais alta prioridade, independentemente da
confiabilidade alcanada, por exemplo, quando as conse-
qncias de uma falha so sempre srias e normalmente
irreversveis. Em tais aplicaes, uma estrutura de de-
teco de defeito (tolerncia de defeito de um ciclo), que
proporciona a segurana requerida aps um, dois ou
mais defeitos, deve ser prevista de acordo com a apre-
ciao do risco.
Esta Norma no requer o clculo de valores de confiabi-
lidade para estruturas complexas, onde a segurana
predominantemente obtida pela melhoria da estrutura
do sistema. Para estruturas simples (por exemplo, canal
nico), onde a confiabilidade do componente im-
portante para a segurana, o clculo dos valores de con-
fiabilidade um indicador til da contribuio reduo
do risco global, pela parte relacionada segurana.
No caso de aplicaes de riscos menores, medidas para
evitar defeitos podem ser apropriadas. Para aplicaes
de riscos maiores, a melhoria da estrutura das partes de
sistemas de comando relacionadas segurana pode
proporcionar medidas para evitar, detectar ou tolerar de-
feitos. Medidas prticas incluem redundncia, diversi-
dade, monitorao (ver tambm EN 292-2 e
EN 60204-1).
O comportamento atingido para resistncia a defeitos,
pelas partes de sistemas de comando relacionadas
segurana, funo de vrios parmetros, incluindo, por
exemplo:
- confiabilidade com relao ao desempenho das
funes de segurana;
- estrutura (ou arquitetura) do sistema de comando;
- qualidade da documentao relacionada se-
gurana;
- qualidade da especificao;
- projeto, construo e manuteno;
- qualidade e exatido do software;
- amplitude dos ensaios funcionais;
- caractersticas de operao da mquina ou parte
da mquina sob comando.
Esses parmetros podem ser agrupados sob trs carac-
tersticas principais:
- confiabilidade de hardware - o nvel de confiabi-
lidade dos componentes para evitar defeitos;
- estrutura do sistema - o arranjo dos componentes
na parte de um sistema de comando relacionada
segurana, para evitar, tolerar ou detectar defeitos;
- aspectos qualitativos, no quantificveis, que afetam
o comportamento da parte de um sistema de co-
mando relacionada segurana.
4.3 Processo para a seleo e projeto de medidas de
segurana
Este item especifica um processo para a seleo das
medidas de segurana a serem implementadas e, ento,
para o projeto de partes de sistemas de comando relacio-
nadas segurana. importante que as interfaces entre
as partes relacionadas segurana e aquelas no rela-
cionadas segurana do sistema de comando e todas
as outras partes da mquina sejam identificadas. Ento,
a contribuio reduo do risco pode ser especificada
dentro da apreciao do risco da mquina, de acordo
com a NBR 14009.
Por haver muitas maneiras de reduo dos riscos de
uma mquina e por haver muitas formas de projeto para
as partes de sistemas de comando relacionadas se-
gurana, este processo interativo. Decises e/ou hip-
teses feitas em qualquer passo do procedimento podem
afetar decises e/ou hipteses feitas em algum passo
anterior. Esse aspecto pode ser checado pela volta atra-
vs do procedimento, a qualquer etapa. Tal checagem
na etapa de validao essencial para assegurar que o
desempenho de segurana atingido o mesmo daquele
definido na especificao.
 Cpia no autorizada
NBR 14153:1998
O processo ilustrado na figura 1. Aspectos importantes
que devem ser considerados durante o processo de
projeto so dados como quesitos no anexo A, para auxlio
ao projetista. Esses quesitos ilustram a filosofia a ser
seguida no projeto de partes relacionadas segurana.
Nem todos os quesitos so vlidos a todas as aplicaes.
Algumas aplicaes requerem quesitos adicionais.
Passo 1: Anlise do perigo e apreciao de riscos:
- identificar os perigos presentes mquina durante
todos os modos de operao e a cada estgio da
vida da mquina, pelo seguimento do guia da
EN 292-1 e NBR 14009;
- avaliar os riscos provenientes daqueles perigos e
decidir sobre a apropriada reduo de risco para
essa aplicao, de acordo com as EN 292-1 e
NBR 14009.
Passo 2: Deciso das medidas para reduo do risco:
- definir medidas de projeto na mquina e/ou a apli-
cao de protees para levar reduo do risco. ocorrer em conseqncia do mau funcionamento do sistema de
Partes do sistema de comando que contribuem como
parte integral das medidas de projeto ou no comando
de protees devem ser consideradas como partes
do sistema de comando relacionadas segurana.
Passo 3: Especificao dos requisitos de segurana para
as partes de sistemas de comando relacionadas segu-
rana:
- especificar as funes de segurana (ver seo 5)
a serem cumpridas no sistema de comando. A ta-
bela 1 lista a fonte de referncia das funes de segu-
rana mais comuns e as caractersticas que devem
ser includas se uma particular funo de segurana
for selecionada;
- especificar como a segurana deve ser atingida e
selecionar a(s) categoria(s) para cada parte e com-
binaes de partes, dentro das partes de sistemas
de comando relacionadas segurana (ver se-
o 6).
Passo 4: Projeto:
- projetar as partes de sistemas de comando rela-
cionadas segurana de acordo com as especifi-
caes desenvolvidas no passo 3, e a estratgia ge-
ral de projeto em 4.2. Listar os aspectos de projeto
includos que proporcionam a base lgica de projeto
para a(s) categoria(s) alcanadas;
5
- verificar o projeto a cada estgio, para asse-
gurar que as partes relacionadas segurana pre-
encham os requisitos do estgio anterior no con-
texto da(s) funo(es) e categoria(s) especifi-
cada(s).
Passo 5: Validao:
- validar as funes e categoria(s) de seguran-
a alcanadas no projeto com relao s especifi-
caes do passo 3. Reprojetar, se necessrio (ver
seo 8);
- quando a eletrnica programvel for usada no
projeto de partes de sistemas de comando relacio-
nadas segurana, outros procedimentos deta-
lhados so necessrios (ver 8.4.2).
NOTAS
1 Atualmente acredita-se que difcil determinar, com algum
grau de exatido, situaes em que um perigo significante pode
comando, que a confiana da operao correta de um canal
isolado de um equipamento eletrnico programvel possa ser
assegurada. Durante o tempo em que essa situao possa ser
resolvida, no aconselhvel confiar na operao correta de
um dispositivo de tal canal isolado (de acordo com
a EN 60 204-1).
2 Tambm ser necessrio validar a parte do sistema de co-
mando relacionada segurana, em conjunto com todo o sis-
tema de comando e como parte da mquina. Os requisitos para
tal validao no fazem parte desta Norma, porm devem ser
especificados pelo construtor da mquina ou em normas apro-
priadas do tipo C.
4.4 Princpios para o projeto ergonmico
A interface entre pessoas e as partes de sistemas de co-
mando relacionadas segurana devem ser projetadas
e instaladas de tal forma que ningum seja posto em pe-
rigo durante toda utilizao planejada e mau uso previsvel
da mquina (ver tambm EN 292-2, EN 614-1 e
EN 60204-1).
Princpios ergonmicos devem ser aplicados de tal forma
que o sistema de comando e a mquina, incluindo as
partes relacionadas segurana, sejam de fcil utilizao
e de tal forma que o operador no seja levado a agir de
maneira perigosa. Os requisitos de segurana para obser-
vao dos princpios ergonmicos dados em 3.6 da
EN 292-2:1991devem ser aplicados.
 Cpia no autorizada
6 NBR 14153:1998

Anlise de perigos na mquina >

(EN 292-1 e NBR 14009)

>
Apreciao de riscos na mquina >
(EN 292-1 e NBR 14009)

Passo 1
.................................................................................................................................................................................................................
>

Decidir medidas para atingir a reduo do risco

(EN 292-1) > >
...........................................................................................
por projeto (seo 3 da por proteo (seo 4
EN 292-2:1991) da EN 292-2:1991)
...........................................

outras sistema de dispositivos outras

medidas comando de proteo medidas
(no (3.7 da (parte do (no
consideradas EN 292-2: sistema de consideradas
nesta Norma) 1991) comando) nesta Norma)
(4.2.3 da
EN 292-2:
1991)
..............................................................................................
por meios de comando

Passo 2
....................................................................................................................................................................................................................

Especificar requisitos de segurana em termos de: > >

>
Caractersticas das funes de segurana (seo 5)

E
Realizao das funes de segurana (4.2)
E

Seleo de categoria(s) (seo 6)

Passo 3
....................................................................................................................................................................................................................

Projetar as partes de sistemas de comando

>
Verificao
relacionadas segurana (sees 4 e 6)
>
Passo 4
......................................................................................................................................................................................................................
>

Validar as funes e categorias atingidas (seo 8) Passo 5

Figura 1 - Processo interativo para o projeto de partes de sistemas de comando relacionadas segurana
 Cpia no autorizada
NBR 14153:1998 7

Tabela 1 - Lista de algumas normas que especificam requisitos para caractersticas de funes de segurana
Caractersticas NBR 14153 EN 292-1 EN 292-2 EN 292-2:1991 Outras Informaes
de funes de anexo A normas adicionais1)
segurana

Definies 3 X EN 60204-1 EN 60335-1

Princpios de 4.2 X X EN 60204-1 EN 60335-1

projeto EN 775

Princpios 4.4 X X X EN 60204-1 EN 775

ergonmicos

Funes de 5.2 X X EN 60204-1 EN 60335-1

parada

Funo parada 5.3 X X NBR 13579 EN 775

de emergncia EN 60204-1

Rearme manual 5.4 X EN 60204-1 EN 775

Partida e reincio 5.5 X X EN 60204-1 EN 775

Tempo de resposta 5.6

Parmetros 5.7 X EN 60204-1 EN 775

relacionados EN 60335-1
segurana

Funo de 5.8 X EN 775

comando local

Pausa 5.9

Suspenso 5.10 X EN 60204-1 EN 775

manual de
funes de
segurana

Flutuaes, falta 5.11 X EN 60204-1

e restaurao de
fontes de energia

Sistemas X EN 60204-1
eletrnicos
programveis

Partida X X EN 1037
inesperada EN 60204-1

Indicaes e X X EN 457, EN 842,

alarmes EN 981,
EN 60204-1

Liberao e X X
salvamento de
pessoas presas

Equipamento X X EN 60204-1
eltrico

Abastecimento X EN 60204-1
eltrico
Outras fontes X EN 982
de energia EN 983
 Cpia no autorizada

8 NBR 14153:1998

Tabela 1 (concluso)

Caractersticas NBR 14153 EN 292-1 EN 292-2 EN 292-2:1991 Outras Informaes

de funes de anexo A normas a d i c i o n a i s 1)
segurana
Protees e EN 60204-1
coberturas

Equipamento X X EN 982
pneumtico e EN 983
hidrulico

Isolao e X X EN 1037
dissipao de EN 60204-1
energia

Meio ambiente X EN 60204-1 EN 775

fsico e
condies de
operao

Modos de X X EN 60204-1 EN 775

comando e
seleo do
modo

Interfaces/ X EN 60204-1
conexes

Interao entre X EN 60204-1

diferentes partes
de sistemas de
comando
relacionadas
segurana

Interface
homem - mquina X X EN 60204-1

1)
As referncias dessa coluna devem ser consideradas como um auxlio ao projetista, e no como parte dos requisitos desta Norma.

5 Caractersticas das funes de segurana 5.2 Funo parada

5.1 Generalidades
Em adio aos requisitos das referncias dadas na ta-
Este item apresenta uma lista de funes tpicas de se- bela 1, deve ser aplicado tambm o seguinte:
gurana (ver EN 292-1), que podem ser supridas pelas
partes de sistemas de comando relacionadas segu-
- uma funo de parada iniciada por um dispositivo
rana. O projetista (ou o elaborador de normas do tipo C)
de proteo deve, to rpido quanto necessrio, aps
deve incluir as funes de segurana dessa lista, neces-
sua atuao, colocar a mquina em condio segura.
srias para alcanar as medidas de segurana requeridas
Esse tipo de parada deve ter prioridade sobre uma
do sistema de comando, para a aplicao especfica.
parada por razes operacionais;
A tabela 1 lista funes tpicas de segurana e algumas
de suas caractersticas. Ela faz referncia a detalhes das - quando um grupo de mquinas trabalha em con-
caractersticas que so claramente definidas nas refe- junto, de forma coordenada, meios devem existir para
rncias normativas. O projetista (ou o elaborador de nor- sinalizar ao comando supervisor e/ou s outras m-
mas do tipo C) deve assegurar que os requisitos de todas quinas que tal funo de parada existe.
essas normas sejam cumpridos para as funes de se-
gurana selecionadas. Requisitos adicionais detalhados
NOTA - Esse tipo de parada pode causar problemas opera-
tambm so citados neste item para algumas caracters-
cionais e dificultar o reincio de operao, por exemplo, em sol-
ticas. Estes devem ser includos.
da a arco. Em algumas aplicaes, essa funo pode ser com-
Onde necessrio, as caractersticas devem ser adaptadas binada com uma parada para razes operacionais, para reduzir
para utilizao com diferentes fontes de energia. o incentivo manipulao da funo de segurana.
 Cpia no autorizada
NBR 14153:1998
5.3 Funo parada de emergncia
Em adio aos requisitos das referncias dadas na ta-
bela 1, deve ser aplicado tambm o seguinte:
- quando um grupo de mquinas trabalha de forma
coordenada, as partes relacionadas segurana
devem ter meios de sinalizar uma funo de parada
de emergncia a todas as partes do sistema coorde-
nado;
- onde sees do sistema coordenado so clara-
mente separadas, por exemplo, protees ou loca-
lizao fsica, no sempre necessrio aplicar a pa- troladas remotamente.
rada de emergncia a todo o sistema, mas apenas a
sees particulares, identificadas pela apreciao
dos riscos.
Aps a efetivao de uma parada de emergncia para
uma seo, um perigo no deve estar presente nas inter-
faces dessa seo com as outras sees.
5.4 Rearme manual
Em adio aos requisitos das referncias dadas na ta-
bela 1, deve ser aplicado tambm o seguinte:
- aps o incio de um comando de parada por um
dispositivo de proteo, a condio de parada deve
ser mantida at a atuao manual do dispositivo de
rearme e at que uma condio segura de operao
exista;
- o restabelecimento da funo segura pelo rearme
do dispositivo de proteo cancela o comando de
parada. Se indicado pela apreciao do risco, o can-
celamento do comando de parada deve ser confir-
mado por uma ao manual, separada e deliberada
(rearme manual).
A funo rearme manual:
- deve ser atuada atravs de um dispositivo separado,
manualmente operado, em conjunto com as partes
do sistema de comando relacionadas segurana;
- somente pode ser efetivado se todas as funes de
segurana e dispositivos de proteo estiverem ope-
rando. Se isso no for possvel, o rearme no deve
estar disponvel;
- no deve, por si s, iniciar movimento ou uma si-
tuao perigosa;
- deve ser de ao deliberada;
- deve preparar o sistema de comando para a acei-
tao de um comando de partida separado;
- deve somente ser aceito pela atuao do atuador
de sua posio liberada (desligado).
A categoria das partes relacionadas segurana, que
atuam o rearme manual, deve ser selecionada de tal for-
ma que a incluso do rearme manual no diminua a se-
gurana requerida da funo de segurana relevante.
O atuador para rearme deve estar situado fora da rea
de perigo e em posio segura, de onde se tenha boa
visibilidade para a verificao da inexistncia de pessoas
na zona de perigo.
9
5.5 Partida e reincio
Em adio aos requisitos das referncias dadas na ta-
bela 1, deve ser aplicado tambm o seguinte:
- o reincio do movimento deve ocorrer automatica-
mente, apenas se uma situao de perigo no puder
existir. Em particular, para protees de controle, ver
EN 292-2.
Esses requisitos de partida e reincio de movimento tam-
bm devem se aplicar a mquinas que podem ser con-
5.6 Tempo de resposta
Em adio aos requisitos das referncias dadas na ta-
bela 1, deve ser aplicado tambm o seguinte:
- o projetista ou o fabricante deve declarar o tempo
de resposta, quando a apreciao do risco da parte
do sistema de comando relacionada segurana
indicar que isso necessrio (ver tambm se-
o 10).
NOTA - O tempo de resposta do sistema de comando parte
do tempo total de resposta da mquina. O tempo de resposta
total necessrio da mquina pode influenciar o projeto da parte
relacionada segurana, por exemplo, a necessidade de aplicar
um sistema de freio.
5.7 Parmetros relacionados segurana
Em adio aos requisitos das referncias dadas na ta-
bela 1, deve ser aplicado tambm o seguinte:
- quando parmetros relacionados segurana (por
exemplo, posio, velocidade, temperatura, presso)
desviam dos limites preestabelecidos, o sistema de
comando deve iniciar medidas apropriadas (por
exemplo, atuao da funo parada, sinal de alarme,
advertncia);
- se erros na entrada manual de dados, relacionados
segurana, em sistemas eletrnicos programveis,
podem levar a situaes de perigo, devem ser pre-
vistos sistemas de checagem de dados no sistema
relacionado segurana (por exemplo, checagem
de limites, formato e /ou entrada de valores lgicos).
5.8 Funo de comando local
Quando uma mquina comandada no local (por exem-
plo, por dispositivos de comando portteis, pendentes),
os seguintes requisitos tambm devem ser aplicados,
em adio queles das referncias dadas na tabela 1:
- os meios para seleo do comando local devem
estar situados fora da zona de perigo;
- no deve ser possvel iniciar condies perigosas
fora da zona do comando local;
- a comutao entre comando local e externo (por
exemplo, remoto) no deve criar uma situao de
perigo.
 Cpia no autorizada
10
5.9 Pausa
A pausa no deve resultar na exposio de qualquer
pessoa a uma situao de perigo.
Durante uma pausa, condies seguras devem ser asse-
guradas por outros meios.
Ao final da pausa, todas as funes de segurana das
partes relacionadas segurana do sistema de comando
devem ser restabelecidas.
A categoria das partes relacionadas segurana que
so responsveis pela funo pausa devem ser sele-
cionadas, de tal forma que a incluso da funo pausa
no diminua a segurana requerida das funes rele-
vantes de segurana.
NOTA - Em algumas aplicaes um sinal indicador de pausa
necessrio.
5.10 Suspenso manual de funes de segurana
Se for necessria a suspenso manual de funes de
segurana (por exemplo, para configurao, ajustes, ma-
nuteno, reparos), os seguintes requisitos tambm
devem ser aplicados, em adio aos requisitos das refe-
rncias citadas na tabela 1:
- meios efetivos e seguros para impedir a suspenso
manual nos modos de operao em que isso no for
permitido;
- restabelecimento das funes de segurana das
partes relacionadas segurana dos sistemas de
comando, antes que se possa continuar a operao
normal;
- a parte relacionada segurana do sistema de
comando responsvel pela suspenso manual deve
ser selecionada, de tal forma que os princpios da
NBR 14009 sejam integralmente considerados.
NOTA - Em algumas aplicaes um sinal adicional de suspenso
manual necessrio.
5.11 Flutuao, falta e retorno das fontes de alimentao
Em adio aos requisitos das referncias dadas na ta-
bela 1, deve tambm ser aplicado o seguinte:
- quando ocorrem flutuaes no nvel de energia,
alm dos limites considerados no projeto, incluindo
o corte do fornecimento de energia, as partes relacio-
nadas segurana de sistemas de comando devem
continuar a fornecer, ou iniciar, sinais de sada, que
habilitaro outras partes do sistema da mquina a
manter um estado seguro.
6 Categorias
6.1 Generalidades
As partes relacionadas segurana de sistemas de co-
mando devem estar de acordo com os requisitos de uma
ou mais das cinco categorias especificadas em 6.2. Essas
categorias no objetivam sua aplicao em uma se-
qncia ou hierarquia definidas, com relao aos requi-
sitos de segurana.
As categorias determinam o comportamento requerido,
das partes relacionadas segurana de sistemas de co-
NBR 14153:1998
mando, com relao sua resistncia a falhas, baseado
na estratgia descrita em 4.2.
A categoria B a categoria bsica. A ocorrncia de um
defeito pode levar a perda da funo de segurana. Na
categoria 1, uma maior resistncia a defeitos alcanada
predominantemente pela seleo e aplicao de compo-
nentes. Nas categorias 2, 3 e 4, um desempenho me-
lhorado, com relao funo de segurana especifi-
cada, alcanado predominantemente pela melhoria da
estrutura da parte relacionada segurana do sistema
de comando. Na categoria 2 isso conseguido pela che-
cagem peridica de que a funo de segurana espe-
cificada esta sendo cumprida. Nas categorias 3 e 4 isso
conseguido pela garantia de que um defeito isolado no
levar perda da funo de segurana. Na categoria 4
e, sempre que razoavelmente praticvel, na categoria 3,
tais defeitos sero detectados. Na categoria 4 a resistncia
ao acmulo de defeitos ser especificada.
A comparao direta do comportamento de resistncia a
defeitos entre categorias apenas pode ser feita se for al-
terado um parmetro por vez. Categorias mais altas ape-
nas podem ser interpretadas como proporcionando uma
maior resistncia a defeitos em circunstncias compa-
rveis (por exemplo, quando usando tecnologia similar,
componentes de confiabilidade comparvel, regimes si-
milares de manuteno e aplicaes comparveis).
A tabela 2 oferece uma viso das categorias das partes
de sistemas de comando relacionadas segurana, os
requisitos e o comportamento do sistema no caso de de-
feitos.
Quando se consideram as causas de falhas em alguns
componentes, possvel a excluso de alguns defeitos
(ver seo 7).
6.2 Especificao das categorias
6.2.1 Categoria B
As partes de sistemas de comando relacionadas segu-
rana, como mnimo, devem ser projetadas, construdas,
selecionadas, montadas e combinadas, de acordo com
as normas relevantes, usando os princpios bsicos de
segurana para a aplicao especfica, de tal forma que
resistam a:
- fadiga operacional prevista, como, por exemplo, a
confiabilidade com respeito capacidade e fre-
qncia de comutao;
- influncia do material processado ou utilizado no
processo, como, por exemplo, detergentes em m-
quinas de lavar;
- outras influncias externas relevantes, como, por
exemplo, vibraes mecnicas, campos externos,
distrbios ou interrupo do fornecimento de energia.
NOTAS
1 No so aplicadas medidas especiais para segurana para
as partes integrantes da categoria B.
2 Quando um defeito ocorre, ele pode levar perda da funo
de segurana. Para atender aos requisitos do anexo A da
EN 292-2:1991, medidas adicionais, que no so proporcionadas
pelas partes relacionadas segurana de sistemas de comando,
podem ser necessrias.
 Cpia no autorizada
NBR 14153:1998
6.2.2 Categoria 1
Devem ser aplicados os requisitos da categoria B e os
desta subseo.
As partes de sistemas de comando relacionadas segu-
rana, de categoria 1, devem ser projetadas e construdas
utilizando-se componentes bem ensaiados e princpios
de segurana comprovados.
Um componente bem ensaiado para uma aplicao rela-
cionada segurana aquele que tem sido:
- largamente empregado no passado, com resultados
satisfatrios em aplicaes similares, ou
- construdo e verificado utilizando-se princpios que
demonstrem sua adequao e confiabilidade para
aplicaes relacionadas segurana.
Em alguns componentes bem ensaiados, certos defeitos
podem tambm ser excludos, em razo de ser conhecida
a incidncia de defeitos e esta ser muito baixa.
A deciso de se aceitar um componente particular como
bem ensaiado pode depender de sua aplicao.
NOTAS
1 Ao nvel de componentes eletrnicos isolados, normalmente
no possvel o enquadramento na categoria 1. Princpios de
segurana comprovados so, por exemplo:
- impedimento de certos defeitos, como, por exemplo,
impedimento de curtos-circuitos por isolao;
- reduo da probabilidade de defeitos, como, por exemplo,
superdimensionamento ou uma baixa solicitao de compo-
nentes;
- pela orientao do modo de defeitos, como, por exemplo,
pela garantia da abertura de um circuito, quando isso vital
para remover a energia no evento de defeitos;
- deteco precoce de defeitos;
- restringindo as conseqncias de um defeito, como, por
exemplo, aterrando o equipamento.
Princpios de segurana e componentes de desenvolvimento
recente podem ser considerados como equivalentes a prin-
cpios comprovados e componentes bem ensaiados, se estes
atendem s condies acima mencionadas.
2 A probabilidade de uma falha na categoria 1 menor que na
categoria B. Conseqentemente a perda da funo de segurana
menos provvel.
3 Quando um defeito ocorre ele pode levar perda da funo de
segurana. Para atender aos requisitos do anexo A da
EN 292-2:1991, medidas adicionais, que no so proporcionadas
pelas partes relacionadas segurana de sistemas de comando,
podem ser necessrias.
11
6.2.3 Categoria 2
Devem ser aplicados os requisitos da categoria B, o uso
de princpios de segurana comprovados e os requisitos
desta subseo.
As partes de sistemas de comando relacionadas segu-
rana, de categoria 2, devem ser projetadas de tal forma
que sejam verificadas em intervalos adequados pelo
sistema de comando da mquina. A verificao das fun-
es de segurana deve ser efetuada:
- na partida da mquina e antes do incio de qualquer
situao de perigo, e
- periodicamente durante a operao, se a avaliao
do risco e o tipo de operao mostrarem que isso
necessrio.
O incio dessa verificao pode ser automtico ou manual.
Qualquer verificao da(s) funo(es) de segurana
deve:
- permitir a operao se nenhum defeito foi consta-
tado, ou
- gerar um sinal de sada, que inicia uma ao apro-
priada do comando, se um defeito foi constatado.
Sempre que possvel, esse sinal deve comandar um
estado seguro. Quando no for possvel comandar
um estado seguro, como, por exemplo, fuso de con-
tatos no dispositivo final de comutao, a sada deve
gerar um aviso do perigo.
A verificao por si s no deve levar a uma situao de
perigo. O equipamento de verificao pode ser parte in-
tegrante, ou no, da parte(s) relacionada(s) segurana,
que processa(m) a funo de segurana.
Aps a deteco de um defeito, o estado seguro deve
ser mantido at que o defeito tenha sido sanado.
NOTAS
1 Em alguns casos a categoria 2 no aplicvel, em razo de
no ser possvel a verificao a todos os componentes, como,
por exemplo, pressostatos ou sensores de temperatura.
2 Em geral, a categoria 2 pode ser alcanada com tcnicas
eletrnicas, como, por exemplo, em equipamento de proteo e
sistemas especficos de comando.
3 O comportamento de sistema de categoria 2 permite que:
- a ocorrncia de um defeito leve perda da funo de se-
gurana entre as verificaes;
- a perda da funo de segurana detectada pela veri-
ficao.
6.2.4 Categoria 3
Devem ser aplicados os requisitos da categoria B, o uso
de princpios comprovados de segurana e os requisitos
desta subseo.
Partes relacionadas segurana de sistemas de co-
mando de categoria 3 devem ser projetadas de tal forma
que um defeito isolado, em qualquer dessas partes, no
leve perda das funes de segurana. Defeitos de mo-
dos comuns devem ser considerados, quando a proba-
lidade da ocorrncia de tal defeito for significante. Sem-
 Cpia no autorizada
12
pre que, razoavelmente praticvel, o defeito isolado deve
ser detectado durante ou antes da prxima solicitao
da funo de segurana.
NOTAS
1 Este requisito de deteco do defeito isolado no significa que
todos os defeitos sero detectados. Conseqentemente, o ac-
mulo de defeitos no detectados pode levar a um sinal de sada
indesejado e a uma situao de perigo na mquina. Exemplos
tpicos de medidas utilizadas para a deteco de defeitos so
os movimento conectados de rels de contato ou a monitorao
de sadas eltricas redundantes.
2 Se necessrio, em razo da tecnologia e aplicao, os elabo-
radores de normas do tipo C devem fornecer maiores detalhes
sobre a deteco de defeitos.
3 O comportamento de sistema de categoria 3 permite que:
- quando o defeito isolado ocorre, a funo de segurana
sempre cumprida;
- alguns, mas no todos, defeitos sejam detectados;
- o acmulo de defeitos no detectados leve perda da
funo de segurana.
4 Sempre que razoavelmente praticvel significa que as
medidas necessrias para deteco de defeitos e o mbito
em que so implementadas depende, principalmente, da
conseqncia de um defeito e da probabilidade da ocorrncia
desse defeito, dentro dessa aplicao. A tecnologia aplicada ir
influenciar as possibilidades da implementao da deteco de
defeitos.
6.2.5 Categoria 4
Devem ser aplicados os requisitos da categoria B, o uso
de princpios comprovados de segurana e os requisitos
desta subseo.
Partes de sistemas de comando relacionadas segu-
rana, de categoria 4, devem ser projetadas de tal forma
que:
- uma falha isolada em qualquer dessas partes rela-
cionadas segurana no leve perda das funes
de segurana, e
- a falha isolada detectada antes ou durante a pr-
xima atuao sobre a funo de segurana, como,
por exemplo, imediatamente, ao ligar o comando,
ao final do ciclo de operao da mquina. Se essa
deteco no for possvel, o acmulo de defeitos
no deve levar perda das funes de segurana.
NBR 14153:1998
Se a deteco de certos defeitos no for possvel ao me-
nos durante a verificao seguinte ocorrncia do defeito,
por razes de tecnologia ou engenharia de circuitos, a
ocorrncia de defeitos posteriores deve ser admitida.
Nessa situao, o acmulo de defeitos no deve levar
perda das funes de segurana.
A reviso de defeitos pode ser suspensa, quando a pro-
babilidade de ocorrncia de defeitos posteriores, for con-
siderada como sendo suficientemente baixa. Nesse caso,
o nmero de defeitos, em combinao, que precisam ser
levados em considerao, depender da tecnologia, es-
trutura e aplicao, mas deve ser suficiente para atingir o
critrio de deteco.
NOTAS
1 Na prtica, o nmero de defeitos; que precisam ser consi-
derados variar consideravelmente; por exemplo, no caso de
circuitos complexos de microprocessadores, um grande nmero
de defeitos pode existir, porm em um circuito eletroidrulico, a
considerao de trs (ou mesmo dois) defeitos pode ser su-
ficiente.
Essa reviso de defeitos pode ser limitada a dois defeitos em
combinao, quando:
- a taxa de defeitos de componentes for baixa, e
- os defeitos em combinao so bastante independentes
uns dos outros, e
- a interrupo da funo de segurana ocorre somente
quando os defeitos aparecem em uma certa ordem.
Se defeitos posteriores ocorrerem como resultado do primeiro
defeito isolado, o primeiro e todos os defeitos conseqentes
devem ser considerados como defeitos isolados.
Defeitos de modo comum devem ser levados em considerao,
por exemplo, utilizando diversidade, procedimentos especiais
para identificar tais defeitos.
2 No caso de estruturas de circuitos complexos (por exemplo,
microprocessadores, redundncias completas), a reviso de
defeitos geralmente executada em nvel estrutural, isto , ba-
seado em grupos de montagem.
3 O comportamento de sistema de categoria 4 permite que:
- quando os defeitos ocorrerem, a funo de segurana
seja sempre processada;
- os defeitos sero detectados a tempo de impedir a perda
da funo de segurana.
 Cpia no autorizada

NBR 14153:1998 13

Tabela 2 - Resumo dos requisitos por categorias

(para requisitos plenos, ver seo 6)

Categoria 1) Resumo de requisitos Comportamento do Princpios para atingir a

sistema2) segurana

B Partes de sistemas de comando, relacionadas A ocorrncia de um Principalmente

(ver 6.2.1) segurana e/ou seus equipamentos de proteo, defeito pode levar caracterizado pela
bem como seus componentes, devem ser perda da funo seleo de componentes
projetados, construdos, selecionados, montados e de segurana
combinados de acordo com as normas relevantes,
de tal forma que resistam s influncias esperadas

1 Os requisitos de B se aplicam A ocorrncia de um

(ver 6.2.2) Princpios comprovados e componentes de defeito pode levar
segurana bem testados devem ser utilizados perda da funo de
segurana, porm a
probabilidade de
ocorrncia menor
que para a categoria B

2 Os requisitos de B e a utilizao de princpios de - A ocorrncia de um Principalmente

(ver 6.2.3) segurana comprovados se aplicam defeito pode levar caracterizado
perda da funo de pela estrutura
A funo de segurana deve ser verificada em segurana entre
intervalos adequados pelo sistema de comando as verificaes
da mquina
- A perda da funo de
segurana detectada
pela verificao

3 Os requisitos de B e a utilizao de princpios - Quando um defeito Principalmente

(ver 6.2.4) de segurana comprovados se aplicam isolado ocorre, a caracterizado pela
funo de segurana estrutura
As partes relacionadas segurana devem sempre cumprida
ser projetadas de tal forma que:

- um defeito isolado em qualquer dessas - Alguns defeitos,

partes no leve perda da funo de segurana, e porm no todos,
sero detectados

- sempre que razoavelmente praticvel, o - O acmulo de defeitos

defeito isolado seja detectado no detectados pode
levar perda da funo
de segurana

4 Os requisitos de B e a utilizao de princpios de - Quando os defeitos Principalmente

(ver 6.2.5) segurana comprovados se aplicam ocorrem, a funo de caracterizado
segurana sempre pela estrutura
cumprida

As partes relacionadas segurana devem ser - Os defeitos sero

projetadas de tal forma que: detectados a tempo de
impedir a perda das
- um defeito isolado em qualquer dessas partes funes de segurana
no leve perda da funo de segurana, e

- o defeito isolado seja detectado durante ou antes

da prxima demanda da funo de segurana. Se
isso no for possvel, o acmulo de defeitos no
pode levar perda das funes de segurana

1)
As categorias no objetivam sua aplicao em uma seqncia ou hierarquia definidas, com relao aos requisitos de segurana.
2)
A apreciao dos riscos indicar se a perda total ou parcial da(s) funo(es) de segurana, conseqente de defeitos, aceitvel.
 Cpia no autorizada
14
6.3 Seleo e combinao de partes relacionadas
segurana de diferentes categorias
As funes de segurana (ver 3.6 e seo 5) so especi-
ficadas pelo procedimento descrito em 4.3 (figura 1,
passo 3). Categorias de acordo com 6.2 devem ser sele-
cionadas para todas as partes do sistema de comando
relacionadas segurana. O projeto e a seleo de partes
relacionadas segurana do sistema de comando devem
ser feitos de acordo com as sees 4 e 5. Uma funo de
segurana isolada pode ser processada por uma ou mais
partes relacionadas segurana. De forma similar, vrias
funes de segurana podem ser processadas por uma
ou mais partes relacionadas segurana. Na prtica
pode ser necessrio implementar uma ou mais funes
de segurana para atingir a reduo do risco.
Quando uma funo de segurana processada por
vrias partes relacionadas segurana, como, por
exemplo, sensores, unidade de comando, elementos de
controle de potncia, essas partes podem ser de uma
categoria e/ou de diferentes categorias em combinao.
Quando partes relacionadas segurana de mesma ou
diferentes categorias so usadas em combinao para
atender a uma funo de segurana, uma anlise da
combinao deve ser includa na validao geral reque-
rida no passo 5 de 4.3. Essa anlise mais simples se as
categorias de algumas ou de todas as partes relacionadas
segurana j forem conhecidas.
A seleo de uma categoria para uma parte especfica
relacionada segurana do sistema de comando
depende principalmente de:
- reduo de risco a ser atingida pela funo de se-
gurana, para a qual a parte contribui;
- probabilidade de ocorrncia de defeito(s) nessa
parte;
- aumento de risco, no caso de defeito(s) nessa parte;
- possibilidades de evitar defeito(s) nessa parte;
- tecnologia aplicada.
Informao adicional para a seleo de categorias dada
no anexo A.
7 Considerao de defeitos
7.1 Generalidades
De acordo com a categoria requerida, as partes rela-
cionadas segurana devem ser selecionadas como
funo de suas habilidades em resistir a defeitos
(ver 4.2). Para avaliar sua habilidade em resistir a defeitos,
os vrios modos de falhas devem ser considerados.
Certos defeitos tambm podem ser excludos (ver 7.2).
O anexo C lista alguns dos defeitos e falhas significantes
para as vrias tecnologias. A lista de defeitos relacionada
no anexo C no exclusiva e, se necessrio, defeitos
adicionais devem ser considerados e listados. Em tais
casos, o mtodo de validao deve tambm ser clara-
mente elaborado.
NBR 14153:1998
De maneira geral, o seguinte critrio de defeitos deve ser
levado em considerao:
- se, como conseqncia de um defeito, outros
componentes falham, o primeiro defeito e os defeitos
seguintes devem ser considerados como um defeito
isolado;
- defeitos de modo comum so considerados como
defeito isolado;
- no considerada a ocorrncia simultnea de dois
defeitos independentes.
Para informaes detalhadas, ver EN 982 e EN 983.
7.2 Excluso de defeitos
impraticvel a avaliao das partes de sistemas de
comando relacionadas segurana, sem assumir que
certos defeitos podem ser excludos. Os defeitos que
podem ser excludos so um compromisso entre os
requisitos tcnicos para segurana e as possibilidades
tericas de ocorrncia. Isso influenciado pelo projeto,
dimensionamento, instalao e arranjo dos componentes
nas partes relacionadas segurana. O projetista deve
declarar, justificar e listar todas as excluses de defeitos
relevantes.
A excluso de defeitos pode ser baseada em:
- improbabilidade de ocorrncia de certos defeitos;
- experincia tcnica genrica, que pode ser consi-
derada independentemente da aplicao em ques-
to;
- requisitos tcnicos conseqentes da aplicao e o
risco especfico sob considerao.
8 Validao
8.1 Generalidades
Esta seo explica os requisitos do passo 5 na seo 4.
A finalidade da validao a determinao do nvel de
conformidade da especificao das partes relacionadas
segurana do sistema de comando, com referncia
aos requisitos de segurana especificados para a m-
quina. A validao consiste na execuo de ensaios e
aplicao de anlises, de acordo com o plano de
validao (ver 8.2).
O projeto das partes relacionadas segurana do sistema
de comando deve ser validado. A validao deve
demonstrar que as partes relacionadas segurana
atingem:
- todos os requisitos da categoria especfica (ver
seo 6), e
- as caractersticas de segurana especificadas para
a parte, como definido nos princpios de projeto.
 Cpia no autorizada
NBR 14153:1998
A validao das partes relacionadas segurana de sis-
temas de comando deve conter os seguintes elementos:
- seleo da estratgia de validao (um plano de
validao);
- gerenciamento e execuo de atividades de vali-
dao (especificao de ensaios, procedimentos de
ensaios, procedimentos de anlises);
- documentao (relatrios auditveis de todas as
atividades de validao e decises).
8.2 Plano de validao
O plano de validao deve identificar os requisitos para
a efetivao de todos os estgios do processo de vali-
dao. O plano deve ser desenvolvido em paralelo ao
projeto da parte relacionada segurana do sistema de
comando ou pode ser especificado em normas relevantes
do tipo C. O plano deve incluir uma descrio de todos os
requisitos para:
a) validao por anlise;
b) validao por ensaios, incluindo:
1) ensaio da funo de segurana especificada;
2) ensaio da categoria especificada;
3) ensaio do dimensionamento e conformidade a
parmetros ambientais.
8.3 Validao por anlise
Em geral, anlises so necessrias para validar o alcance
da reduo do risco. Exemplos de ferramentas de anlise
incluem lista de defeitos (ver seo 7), rvore de anlise
de defeitos, modo de falhas e anlise de efeitos, anlise
crtica e lista de verificao para defeitos sistemticos.
8.4 Validao por ensaio
8.4.1 Ensaio das funes de segurana especificadas
Um passo importante o ensaio das funes de segu-
rana (das partes relacionadas segurana de sistemas
de comando), para completa conformidade com suas ca-
ractersticas especificadas. importante a verificao,
quanto a erros e particularmente por omisses, quando
da formulao da especificao e durante o desen-
volvimento da mquina.
O propsito do ensaio das funes de segurana para
assegurar que os sinais de sada relacionados segu-
rana esto corretos e logicamente dependentes dos
sinais de entrada. Os ensaios devem abranger todas as
condies normais e as anormais previsveis na simu-
lao esttica e dinmica, como necessrio da apre-
ciao de riscos, para validar o sistema.
15
8.4.2 Ensaio das categorias especificadas
As categorias baseiam-se sobre o comportamento no
evento de um defeito. O ensaio deve demonstrar que
esse requisito atendido. Os procedimentos de ensaio
devem ser escolhidos baseados em dois critrios: tecno-
logia e complexidade do sistema de comando. Princi-
palmente, os seguintes mtodos se aplicam:
- uma verificao terica e uma anlise do compor-
tamento dos diagramas de circuitos;
- ensaios prticos do circuito atual e simulao de
defeitos dos componentes atuais, particularmente
em reas de dvidas, do comportamento identificado
durante a verificao e anlise terica;
- uma simulao do comportamento do sistema, por
exemplo, por meio do hardware e/ou modelos de
software.
Em algumas aplicaes, quando as partes relacionadas
segurana de sistemas de comando forem conectadas
de forma complexa, usualmente necessrio dividir as
partes relacionadas segurana conectadas em vrios
subsistemas funcionais e submeter exclusivamente as
interfaces aos ensaios de simulao de defeitos.
Um guia para avaliao de sistemas eletrnicos pro-
gramveis dado no anexo E.
8.4.3 Ensaio de dimensionamento e conformidade com
parmetros ambientais
Esses ensaios devem demonstrar que o desempenho
especificado no projeto alcanado em todos os modos
de operao e condies ambientais especificadas.
Os ensaios devem incluir, por exemplo, ensaio da estru-
tura mecnica, tenso nominal, temperatura, umidade,
vibrao, impacto, compatibilidade eletromagntica e in-
fluncia dos materiais processados.
8.5 Relatrio de validao
Na concluso do processo de validao, um relatrio de
validao sobre segurana deve ser elaborado, resu-
mindo os ensaios e anlises, indicando quais foram inte-
gralmente executados, incluindo seus resultados. O rela-
trio deve identificar especificamente:
- todos os itens ensaiados;
- pessoal responsvel pelos ensaios;
- equipamento de ensaio (incluindo detalhes de
calibrao) e ferramentas de simulao;
- anlises e ensaios executados;
- problemas encontrados e como foram resolvidos.
Os resultados devem ser documentados e arquivados
em forma auditvel.
NOTA - A conformidade com 8.5 ajudar o fabricante na atuali-
zao do arquivo tcnico da construo, com respeito s partes
relacionadas segurana de sistemas de comando.
 Cpia no autorizada
16 NBR 14153:1998

9 Manuteno - descrio clara da interface entre as partes rela-

cionadas segurana do sistema de comando e
Manuteno preventiva ou corretiva usualmente ne- dispositivos de proteo;
cessria para manter o desempenho especificado das
partes relacionadas segurana. Com o tempo, o desvio - tempo de resposta;
do desempenho especificado pode levar deteriorao
da segurana ou a situaes de perigo. Para identificar - limites de operao (incluindo condies am-
tais desvios, inspees manuais peridicas so, algumas bientais);
vezes, necessrias.
- indicao e alarmes;
As condies para a manuteno de partes relacionadas
segurana de sistemas de comando devem seguir os - pausa e suspenso das funes de segurana;
princpios da EN 292-2. Todas as informaes para ma-
nuteno devem obedecer EN 292-2. - modos de comando;

- manuteno (ver seo 9);

10 Informaes para utilizao
- listas de verificao para manuteno;
A EN 292-2 e outros documentos relevantes (por exemplo,
a EN 60204-1) devem ser aplicados. Em particular, as in-
- facilidade de acesso e substituio de partes in-
formaes importantes para o uso seguro das partes rela-
ternas;
cionadas segurana do sistema de comando devem
ser fornecidas ao usurio. Isso inclui, mas no limi-
- meios para fcil e segura eliminao de problemas.
tado a:
Sempre que se fornecerem informaes sobre as ca-
- limites da(s) categoria(s) selecionada(s) das partes tegorias de partes relacionadas segurana do sistema
relacionadas segurana, incluindo qualquer ex- de comando, devem ser referendadas da seguinte forma:
cluso de defeito;
- NBR 14153 Categoria B;
NOTA - Quando a excluso de defeitos essencial na ma-
nuteno da(s) categoria(s) selecionada(s) e no desem- - NBR 14153 Categoria 1;
penho da segurana, informao apropriada (por exemplo,
modificao, manuteno e reparo) ser necessria para - NBR 14153 Categoria 2;
assegurar a continuada justificativa da excluso de defeito.
- NBR 14153 Categoria 3;
- efeitos dos desvios do desempenho especificado
sobre as funes de segurana; - NBR 14153 Categoria 4.

/ANEXO A
 Cpia no autorizada
NBR 14153:1998
Anexo A (informativo)
Questionrio para o processo de projeto
Esse anexo lista alguns aspectos importantes que devem
ser considerados durante o processo de projeto (ver 4.3).
A.1 Que reao necessria da parte relacionada
segurana do sistema de comando, quando um
defeito ocorre?
a) No necessria qualquer ao especial.
b) Reao de segurana necessria dentro de um
certo tempo.
c) Reao de segurana imediatamente neces-
sria.
A.2 Em que parte(s) relacionada(s) segurana
de sistemas de comando os defeitos devem ser
admitidos?
a) Somente naquelas partes em que (por experin-
cia) os defeitos ocorrem com relativa freqncia,
como, por exemplo, nos sensores e cabeamento peri-
frico.
b) Em partes auxiliares.
c) Em todas as partes relacionadas segurana.
A.3 Foram considerados os defeitos sistemticos
e os ocasionais?
A.4 Que defeitos devem ser admitidos nos
componentes das partes relacionadas segurana
do sistema de comando?
a) Defeitos apenas nos componentes que no foram
bem ensaiados.
NOTA - Bem ensaiados no no sentido de confiabilidade,
mas sob o ponto de vista de segurana (ver 6.2.2).
b) Defeitos em todos os componentes.
A.5 Foi selecionada a correta categoria de
referncia com respeito aos requisitos para a
deteco de defeitos?
a) Requisitos normais para a deteco de defeitos.
NOTA - Isso significa que todos os defeitos que podem ser
detectados com mtodos relativamente simples devem ser
detectados.
b) Requisitos severos para a deteco de defeitos.
NOTA - Isso significa que tcnicas devem ser empregadas
para possibilitar a deteco da maioria dos defeitos. Se
isso no for razoavelmente praticvel, a combinao de
defeitos deve ser admitida (acmulo de defeitos - ver 6.2.5).
17
A.6 Qual deve ser a ao seguinte do sistema de
comando, se um defeito foi constatado?
a) A mquina deve ser levada a um estado predeter-
minado, conforme requerido pela avaliao de riscos.
b) A operao posterior da mquina pode ser per-
mitida at o reparo do defeito.
c) A indicao do(s) defeito(s) suficiente (por exem-
plo, sinal de advertncia por unidade visual).
A.7 O que necessrio para atingir os requisitos
de manuteno?
a) Fornecimento de informaes sobre os efeitos de
desvios das especificaes de projeto.
b) Indicao automtica da necessidade de manu-
teno.
c) Fixao da freqncia de manuteno.
d) Informao da vida de componentes.
e) Fornecimento de meios de diagnose e pontos de
ensaio.
f) Precaues especiais para segurana durante a
manuteno.
A.8 Que mtodos devem ser empregados para a
deteco de defeitos?
a) Deteco automtica de defeitos, na medida em
que for necessrio.
b) Deteco manual de defeitos, por exemplo, por
inspeo peridica.
c) Por mais de um mtodo.
A.9 A reduo de risco foi atingida?
a) Pode a reduo do risco ser atingida mais facil-
mente com uma diferente combinao de medidas
de reduo do risco?
b) Verificar se as medidas implementadas:
- no reduzem a habilidade da mquina em de-
senvolver sua funo;
- no geram perigos ou problemas novos ou ines-
perados.
c) As solues so vlidas para todas as condies
de operao e para todos os procedimentos?
d) Essas solues so compatveis com cada uma
das outras?
e) A especificao de segurana est correta?
 Cpia no autorizada
18
A.10 Foram considerados princpios ergonmicos?
a) As partes relacionadas segurana do sistema
de comando, incluindo os dispositivos de proteo,
oferecem facilidade de uso?
b) O acesso ao sistema de comando fcil e seguro?
c) Foi dada prioridade aos sinais de advertncia (por
exemplo realados)?
NBR 14153:1998
A.11 Foram as relaes entre segurana,
confiabilidade, disponibilidade e ergonomia
otimizadas, de tal forma que as medidas de
segurana sejam mantidas durante a vida do
sistema e no incentivem a usurios a anulao
das funes de segurana?
/ANEXO B
 Cpia no autorizada
NBR 14153:1998
Anexo B (informativo)
Guia para a seleo de categorias
B.1 Generalidades
Este anexo descreve um mtodo simplificado baseado
na NBR 14009 (particularmente com relao simpli-
ficao dos elementos de risco) para seleo de cate-
gorias apropriadas como ponto de referncia para o pro-
jeto das diversas partes relacionadas segurana de
sistemas de comando.
O guia deste anexo deve ser considerado como parte da
apreciao do risco dada na NBR 14009 e no como um
substituto para a mesma.
importante que o projeto de partes relacionadas
segurana de sistema de comando, incluindo a seleo
de categorias, como descrito na seo 4, seja baseado
na apreciao dos riscos, utilizando seus princpios dados
na NBR 14009, e seja parte da apreciao do risco total
da mquina.
A quantificao do risco usualmente muito difcil ou
impossvel e este mtodo apenas diz respeito contri-
buio para a reduo do risco, feita pelas partes relacio-
nadas segurana de sistemas de comando. Este mtodo
fornece apenas uma estimativa da reduo do risco e
tem a inteno de orientar o projetista e o elaborador de
normas a escolher a categoria, baseado em seu com-
portamento, no caso de um defeito. Entretanto, isso
apenas um aspecto e outras influncias tambm iro con-
tribuir para a avaliao de que a adequada segurana
tenha sido atingida. Isso inclui, por exemplo, confiabili-
dade de componentes, tecnologia aplicada, aplicao
particular, as quais podem indicar um desvio da categoria,
antecipadamente escolhida.
O mtodo como segue:
A severidade do ferimento (representada por S) relati-
vamente fcil de ser estimada (por exemplo, lacerao,
amputao, fatalidade).
Para a freqncia da ocorrncia, parmetros auxiliares
so usados para melhorar a estimativa. Esses parmetros
so:
- freqncia e tempo de exposio ao perigo (F);
- possibilidade de evitar o perigo (P).
A experincia tem mostrado que esses parmetros podem
ser combinados, como mostrado na figura B.1, para for-
necer uma graduao do risco, de baixo a alto. enfa-
tizado que isso um processo qualitativo, que fornece
apenas uma estimativa do risco.
Na figura B.1, a categoria preferencial indicada por um
crculo maior totalmente cheio. Em algumas aplicaes o
projetista, ou o elaborador de normas do tipo C, pode
desviar para outra categoria, indicada por um crculo
totalmente preenchido menor, ou um crculo maior, vazio.
Outras, diferentes das categorias preferenciais, podem
ser utilizadas (ver 6.3), porm o comportamento preten-
dido do sistema na ocorrncia de defeitos deve ser
19
mantido. As razes para o desvio devem ser expostas.
Essas razes para a seleo de outra categoria com re-
lao preferencial podem ser a aplicao de outra tec-
nologia, como, por exemplo, componentes hidrulicos
ou eletromecnicos bem ensaiados (categoria 1), em
combinao com sistemas eltricos ou eletrnicos (cate-
goria 3 ou 4). Quando categorias indicadas com um crculo
pequeno na figura B.1 forem selecionadas, medidas adi-
cionais podem ser necessrias, como, por exemplo:
- superdimensionamento ou aplicao de tcnicas,
que levem excluso de defeitos;
- utilizao de monitorao dinmica.
Por exemplo, uma estimativa de risco, com um parmetro
S1 (ver B.2.1), determina uma categoria da parte rela-
cionada segurana do sistema de comando como ca-
tegoria 1. Em algumas aplicaes, o projetista ou o ela-
borador de normas do tipo C pode escolher a categoria B
pela utilizao de outras medidas de proteo.
B.2 Guia para a seleo dos parmetros S, F e P
para a estimativa do risco
B.2.1 Severidade do ferimento S1 e S2
Na estimativa do risco proveniente de um defeito na parte
relacionada segurana de um sistema de comando,
apenas ferimentos leves (normalmente reversveis) e feri-
mento srios (normalmente irreversveis, incluindo a
morte) so considerados.
Para tomar uma deciso, as conseqncias usuais de
acidentes e processos normais de cura devem ser le-
vadas em considerao na determinao de S1 e S2,
por exemplo, contuses e/ou laceraes, sem compli-
caes devem ser classificadas como S1, enquanto que
uma amputao ou morte deve ser classificada como S2.
B.2.2 Freqncia e/ou tempo de exposio ao perigo
F1 e F2
Um perodo de tempo geralmente vlido para a escolha
do parmetro F1 ou F2 no pode ser especificado. En-
tre-tanto, a seguinte explicao pode ajudar a tomar a
deciso correta, em caso de dvida.
F2 deve ser selecionado, se a pessoa estiver, freqente-
mente ou continuadamente, exposta ao perigo. irre-
levante se a mesma pessoa ou pessoas diferentes es-
tiverem expostas ao perigo em sucessivas ocasies,
como, por exemplo, para a utilizao de elevadores.
O perodo de exposio ao perigo deve ser avaliado com
base no valor mdio observado, com relao ao perodo
total de utilizao do equipamento. Por exemplo, se for
necessrio acessar regularmente as ferramentas da
mquina durante sua operao cclica, para a ali-
mentao e movimentao de peas, F2 deve ser se-
lecionado. Se o acesso somente for necessrio de tempo
em tempo, pode-se selecionar F1.
 Cpia no autorizada
20 NBR 14153:1998

B.2.3 Possibilidade de evitar o perigo P
Quando um perigo aparece, importante saber se ele
pode ser reconhecido e quando pode ser evitado, antes
de levar a um acidente. Por exemplo, uma importante
considerao se o perigo pode ser diretamente iden-
tificado por suas caractersticas fsicas ou por meios tc-
nicos, por exemplo, indicadores. Outro aspecto impor-
tante que influencia a seleo do parmetro P inclui, por
exemplo:
- operao com ou sem superviso;
- operao por especialistas ou por no profissionais;
- velocidade com que o perigo aparece, por exemplo,
rapidamente ou lentamente;
- possibilidades de se evitar o perigo, por exemplo,
por fuga ou por interveno de terceiros;
- experincias prticas de segurana relativas ao
processo.
Quando uma situao de perigo ocorre, P1 deve apenas
ser selecionado se houver uma chance real de se evitar
um acidente ou reduzir significativamente o seu efeito.
P2 deve ser selecionado se praticamente no houver
chance de se evitar o perigo.

Ponto de partida para

a estimativa do risco
para partes
relacionadas
segurana de sistemas
de comando (ver 4.3
passo 3)

S Severidade do ferimento

S1 Ferimento leve (normalmente reversvel)

S2 Ferimento srio (normalmente irreversvel) incluindo morte

F Freqncia e/ou tempo de exposio ao perigo

F1 Raro a relativamente freqente e/ou baixo tempo de exposio

F2 Freqente a contnuo e/ou tempo de exposio longo

..
P Possibilidade de evitar o perigo

P1 Possvel sob condies especficas

P2 Quase nunca possvel

B, 1 a 4 Categorias para partes relacionadas segurana de sistemas de comando

Categorias preferenciais para pontos de referncia (ver 4.2)

Categorias possveis que requerem medidas adicionais (ver B.1)

Medidas que podem ser superdimensionadas para o risco relevante

Figura B.1 - Seleo possvel de categorias

/ANEXO C
 Cpia no autorizada
NBR 14153:1998
Anexo C (informativo)
Lista de alguns dos defeitos e falhas significantes para vrias tecnologias
C.1 Componentes eletroeletrnicos
Alguns defeitos e falhas a considerar so:
- curto-circuito ou circuito aberto, por exemplo, falta
de terra (curto-circuito para o condutor de proteo
ou para uma parte condutiva), circuito aberto de qual-
quer condutor;
- curto-circuito ou circuito aberto, ocorrendo em com-
ponentes isolados, como, por exemplo, em in-
terruptores, equipamento de controle e regulagem,
atuadores da mquina, rels;
- no desacionamento ou no acionamento de ele-
mentos eletromagnticos, como, por exemplo, con-
tatores, rels, solenides;
- no partida ou no parada de motores, como, por
exemplo, servomotores;
- bloqueio mecnico de elementos mveis, soltura
ou desmontagem de elementos, como, por exemplo,
chaves de posio;
- desvio, alm da tolerncia de valores para elemen-
tos analgicos, como, por exemplo, resistores, ca-
pacitores, transistores;
- oscilao (instabilidade) de sinais de sada em com-
ponentes integrados;
- perda total ou parcial de funo (pior caso), em
componentes integrados complexos, como, por
exemplo, microprocessadores, sistemas eletrnicos
programveis, aplicaes de circuitos integrados
especficos.
C.2 Componentes hidrulicos e pneumticos
Alguns defeitos e falhas a considerar so:
- no comutao ou comutao incompleta do ele-
mento mvel, como, por exemplo, engripamento de
pisto de vlvula;
21
- desvio de posio de controle original do elemento
mvel, como, por exemplo, em vlvulas direcionais
de controle;
- vazamento e modificao do volume do fluxo de
vazamento, como, por exemplo, em vlvulas dire-
cionais de controle;
- caractersticas de controle instveis em servo-
vlvulas ou vlvulas proporcionais;
- perda de presso ou rompimento de linhas, como,
por exemplo, mangueiras, tubos ou em suas co-
nexes;
- obstruo do elemento filtrante (em particular cau-
sado por substncias slidas);
- presso e/ou volume de fluxo anormais, como, por
exemplo, em bombas hidrulicas, motores hidru-
licos, compressores, cilindros;
- falha ou modificao anormal das caractersticas
dos sinais de entrada ou sada em sensores, como,
por exemplo, pressostatos.
C.3 Componentes mecnicos
Alguns defeitos e falhas a considerar so:
- quebra de molas;
- engripamento ou endurecimento de componentes
mveis de guias;
- soltura de fixaes, por exemplo, em vibrao;
- desgaste, por exemplo, em roldanas, fechos, rola-
mentos;
- desalinhamento de peas;
- influncias ambientais, como, por exemplo,
corroso, temperatura.
/ANEXO D
 Cpia no autorizada
22
Anexo D (informativo)
Relao entre segurana, confiabilidade e disponibilidade para mquinas
Os conceitos de segurana, confiabilidade e disponibi-
lidade podem ser descritos da seguinte forma:
- Segurana de uma mquina sua habilidade em
desempenhar sua funo, ser transportada, insta-
lada, ajustada, sofrer manuteno, ser desmontada
e desativada de suas condies de utilizao pre-
vistas, especificadas em seu manual de instrues
(e, em alguns casos, durante um determinado pe-
rodo de tempo, indicado no manual de instrues),
sem causar ferimentos ou danos sade (ver
EN 292-1).
- Confiabilidade a habilidade da mquina ou com-
ponentes, ou equipamentos, em desempenhar uma
determinada funo, sem falhas, sob condies es-
pecificadas para um dado perodo de tempo (ver
EN 292-1)
- Disponibilidade a habilidade de um item estar no
estado adequado para desempenhar uma determi-
nada funo, sob condies determinadas, em um
dado instante ou em um intervalo de tempo, assu-
mindo-se que os recursos externos necessrios so
fornecidos (ver IEC 50(191).
NBR 14153:1998
A segurana abrange as causas e conseqncias de
possveis acidentes (ferimentos ou danos sade).
Requisitos de segurana esto relacionados a conceber
um sistema que no cause acidentes. Os requisitos de
segurana asseguram que o sistema no alcanar um
estado de perigo ou inseguro, quando um evento pode
causar um acidente. Os requisitos de segurana devem
indicar quais as aes a serem tomadas, se um evento
imprevisto no ambiente levar a um estado inseguro.
Do ponto de vista de segurana no importa se o sistema
no cumpre sua finalidade, contanto que os requisitos
de segurana no sejam violados. Por outro lado, pos-
svel que o sistema seja altamente confivel, mas inse-
guro; por exemplo, um sistema com software formalmente
verificado, porm onde uma situao relacionada segu-
rana no foi adequadamente especificada.
A disponibilidade influencia a segurana. A disponibi-
lidade de um sistema implica que a confiabilidade rela-
cionada segurana desempenhada; caso contrrio,
o dispositivo de proteo pode ser desativado.
O projetista tem a responsabilidade de decidir, para cada
aplicao, a relao entre disponibilidade, confiabilidade
e segurana, para assegurar que a reduo do risco seja
alcanada.
/ANEXO E
 Cpia no autorizada
NBR 14153:1998 23

Anexo E (informativo)
Bibliografia

Segue abaixo uma relao de publicaes que fornece
informaes adicionais sobre partes relacionadas segu-
rana de sistema de comando.
E.1 Publicaes sobre sistemas eletrnicos programveis
- EN 61000-4-1 - Eletromagnetic compatibility (EMC)
- Part 4: Testing and measurement techniques - Sec-
tion 1: Overview of immunity tests - Basic EMC publi-
cation (IEC 1000-4-1 : 1992)
- IEC 1508 - Functional safety: safety-related sys-
tems (provisonal title)
- DIN V VDE 0801 - Principles for computers in safety
related computer systems, January 1990
- HSE Guidelines - Programmable Eletronic Systems
in Safety Related Applications Part 1 (ISBN 0 11
883906 6) and Part 2 (ISBN 0 11 883906 3)
- Personal Safety in Microprocessor Control Systems
(CECR - 184, Elektronikcentralen, Denmark)
E.2 Outras publicaes
- IEC 68 Basic environmental testing procedures