Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
articleinfo abstrato
Historia do artigo: Na indústria, os usuários da máquina e as pessoas que modificar ou integrar equipamentos muitas vezes têm de avaliar o nível de segurança de
Recebeu 22 de outubro de 2012 recebeu um circuito de controlo de segurança que eles não têm necessariamente concebido. o modi fi cações ou integrações podem envolver trabalho para
em forma de revista 23 de julho de 2013
fazer uma máquina existente que não está de acordo com especificação normativo ou regulamentar fi cações seguras. No entanto, como pode um
circuito de executar uma função de segurança ser validado a posteriori? É o exercício de validação viável? Quais são as dif fi difi e limitações de tal
Aceito julho 2013 26
procedimento? O objetivo deste artigo é responder a estas perguntas, apresentando um estudo de validação de uma função de segurança de
Disponível on-line 09 de agosto de 2013
uma máquina existente. Uma máquina de moldagem por injecção de plásticos é usado para este estudo, bem como padrão ISO 13849-1: 2006. Validação
Palavras-chave:
consiste na realização de um a posteriori ( pós-design) estimativa do nível da função de segurança performance. O procedimento é estudada para
Máquina
dois contextos de utilização da máquina: na indústria, e em laboratório. Os cálculos requeridos pela norma ISO foram feitas usando
Falha do sistema de
controle
de Segurança
Excel, Seguido por SISTEMA Programas. Mostra-se que, com base no contexto de utilização, o nível de desempenho estimada foi diferente
para o mesmo circuito relacionado com a segurança. A variabilidade nos resultados é explicada pelas suposições feitas pela pessoa que
realiza a validação sem o envolvimento do designer máquina.
1. Introdução que se seguiu IEC 61508 eram aplicáveis apenas para o modo de alta demanda:
IEC 62061: 2005 [ 3] e ISO 13849-1: 2006 [ 4] . Estes dois padrões de design se aplicam a sistemas de
sistemas de controle de desempenhar um papel importante na segurança de máquinas. Nisso fi eld, controlo de segurança em segurança de máquinas. IEC 62061: 2005 [ 3] derivado de IEC 61508, utiliza
o projecto de norma IEC 1508 na segurança funcional foi publicado em 1995 [1] , Seguido por, EN SILs mas apenas SIL 1 a 3, uma vez que o padrão está apenas relacionada com máquinas [3] . ISO
954 padrão em 1996 [2] . EN 954 fornece os princípios gerais para a concepção de peças 13849-1: 2006 [ 4] substituído EN 954-1: 1997 padrão que foi retirado em 31 de dezembro de 2011. ISO
relacionadas com a segurança dos sistemas de controlo (SRP / CS) [2] . A norma estabelece 5 13849-1 aumenta as categorias com níveis de desempenho, PL, que combina análises qualitativas e
categorias de SRP / CS, a partir do mais fraco para o mais forte: B, 1, 2, 3, 4, com base na selecção quantitativas. O PL corresponde ao “ nível discreto usadas para especificar a capacidade de partes
dos componentes e a arquitectura do sistema. Seus dois princípios subjacentes são detecção de relevantes para a segurança dos sistemas de controlo para desempenhar uma função de segurança
falhas e redundância. Uma análise qualitativa foi utilizado para validar os sistemas personalizados. sob condições previsíveis ” [ 4] . Existem 5 níveis de desempenho distintas: a, b, c, d, e e, indo a partir
Mais tarde, da mais alta para a mais baixa PFH d ( probabilidade de uma falha perigosa por hora média), com PL “ uma
” que corresponde ao nível mais baixo desempenho. A categoria é um critério para avaliar o PL. IEC
IEC 1508 levou a um de sete partes-generic-padrão: IEC 61508 publicada 1.998-2.000 [1] . Esta 62061 e ISO 13849 são dois padrões que se sobrepõem uns aos outros por causa de seus objetivos
norma introduziu o conceito de nível de integridade de segurança (SIL), que é um conceito que são de alguma forma semelhante, mas as suas abordagens probabilísticas são diferentes. No
probabilístico caracterizar a confiabilidade de uma função de segurança. Estabelece 4 níveis: SIL 1 a entanto, eles podem ser complementares [2] : Na presença de um sistema eléctrico, electrónico ou
4. SIL 1 corresponde ao maior probabilidade média de falha, SIL 4 para o mais baixo. Este padrão foi programável complexo a norma IEC é o mais relevante, ao passo que um sistema não complexas
utilizada para determinar a segurança funcional de sistemas relacionados com a segurança utilizando a tecnologia semelhante pode ser concebido usando a norma ISO. Além disso, ISO 13849, ao
electrónicos eléctricos, electrónicos programáveis ou utilizados para um modo de alta ou baixa contrário IEC 62061, pode ser usado para sistemas hidráulicos e pneumáticos bem.
demanda. Os dois padrões
n Autor correspondente. Tel .: +1 514 288 1551; fax: +1 514 288 0998.
0951-8320 / $ - ver a matéria frente & 2013 Elsevier Ltd. Todos os direitos reservados.
http://dx.doi.org/10.1016/j.ress.2013.07.012
S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112 105
Enquanto estas normas já existem há vários anos, tem sido observado que seus usuários finais, um procedimento de validação, enquanto identifica o dif fi difi e limitações de um tal procedimento. Um
como SST (Segurança e Saúde Ocupacional) especialistas, integradores, designers e fabricantes de vai notar mais tarde, em parte
máquinas de experimentar grande dif fi culdades em aplicá-las [2 , 5 - 8 ]. Os estudos sobre sistemas de 5.1.2, que alguns dos dif fi dades relacionadas com o estudo são semelhantes às descritas acima
controle de segurança encontrados na literatura são divididos principalmente em três tipos: fazendo com que a variação do nível de segurança requerido no “ estudos de estimativa de risco no
contexto de uma função de controle da máquina ” [ 14] . É uma necessidade comum na indústria para
engenheiros ou integradores para validar ou avaliar o nível de segurança de um sistema que eles
não têm necessariamente concebido. Esta necessidade resulta principalmente de modi fi cações ou
1. um papel [2] e um guia [1] recordando o histórico de padronização integrações feitas para tornar uma máquina existente que não está de acordo com especificação
ção sobre os sistemas de controlo de segurança em segurança de máquinas; normativo ou regulamentar fi cações seguras.
Há um artigo [17] lidar com a determinação da frequência de inspecção periódica dos sistemas A máquina utilizada para o estudo foi o plástico horizontal máquina de moldagem por injecção
de controlo de segurança de máquinas; é um método baseado em time-to-perigoso-fracasso. Há localizada na IRSST (Institut de Recherche Robert-Sauvé en Santé et en sécurité du parto)
também um artigo citando o padrão ISO como uma diretriz a ser seguida para evitar incidentes
devido à falha de uma função de segurança que são principalmente causadas por erros do designer “ Segurança de máquina ” laboratório. Esta máquina tem várias zonas de risco e usa tecnologias
máquina [18] . Hietikko et al. [14] que lida com o nível necessário de segurança para uma função de diferentes para os sistemas de controle relacionados à segurança.
segurança: o nível de performance (PL) de
IEC 62061: 2005 e ISO 13849-1: 2006 exigem que a função de segurança ser identi fi ed e especi fi
ed antes de ser concebido (a este passo do procedimento, as duas referências de design normativos
ISO 13849-1 bem como o nível de integridade de segurança (SIL) a partir de IEC pode ser considerada). Para a máquina de moldagem por injecção de plástico horizontal, a função de
620.161. O estudo descrito apenas o processo de estimativa de risco envolvidos nesses dois segurança é escolhido identi fi ed como se segue:
padrões. Ela consistia em fazer vários grupos de diferentes participantes estimar o nível de
segurança necessário utilizando as ferramentas de estimativa de risco de estas normas, ou seja, um
gráfico de risco e uma matriz de risco. As diferenças foram notadas entre os níveis de segurança ação de segurança: parar do movimento de fecho da mesa de prensa móvel da máquina de
exigidos estimadas no caso de um mesmo grupo de pessoas que realizam a estimativa, bem como moldagem.
no caso de diferentes grupos de participantes com diferentes origens (por exemplo, técnicos e não componente perigoso: placa móvel.
técnicos). Fatores que explicam a variabilidade dos PLs e SILs necessários incluem a Iniciador da ação de segurança: abertura do portão operador (actuando como uma protecção
heterogeneidade de experiências das pessoas na estimativa do risco fi eld, e suposições feitas por móvel interligados).
alguns participantes para avaliar o risco e, portanto, para estimar os níveis de segurança exigidos. Função condição de validade: válida durante qualquer modo de operação.
ISO 13849-1: 2006 aplica-se aos componentes eléctricos e não eléctricos (por exemplo,
Assim, como um complemento para as referências anteriormente citadas, este artigo apresenta hidráulicas e pneumáticas) de sistemas de controlo de segurança. IEC 62061: 2005 lida com
um estudo [5] com o objetivo de aplicar padrão de design ISO 13849-1: 2006 para validar uma sistemas de controlo de segurança, mas apenas os eletrônicos elétricos, eletrônicos e programáveis.
função de segurança de uma máquina existente. Esta validação é composto fi primeiro em realizar Desde que a função de segurança estudado foi de elétrica e hidráulica, a nossa escolha foi
uma a posteriori ( postdesign) estimativa do nível de um especi desempenho fi função c segurança. Em claramente ISO 13849-1 para o exercício de validação. Este procedimento baseia-se na aplicação da
segundo lugar, consiste em verificar se este nível de desempenho concorda o necessário. O estudo norma ISO e consiste em várias etapas, como descrito na secção seguinte.
explora a viabilidade de tais
106 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
3. Validação da função de segurança: passos subsequentes para a utilizado para uma vasta gama de máquinas ( ISO 13849-1 é um padrão de tipo B).
a posteriori estimativa do nível de desempenho
tipo C é composta de normas que tratam de requisitos de segurança extensivos para uma
3.1. Determinando o PL r ( nível de desempenho exigido) especificidade fi máquina c ou grupo de máquinas.
O nível de desempenho exigido (PL r) é o PL “ aplicado a fim de alcançar a redução de risco No nosso caso, o PL r da função de segurança estudado é “ e. ” Este valor é fornecido pela secção
exigida para cada função de segurança ” [ 4] . É o elemento principal no processo porque, no fim, 5.2.1 da norma tipo C lidar com máquinas de moldagem por injecção de plástico: EN 201: 2009 [ 21] .
validação consiste em verificar se o PL estimada é superior ou igual ao PL r. Uma vez que o PL r é sabido, os critérios que permitem uma conclusão sobre a validade do PL
estimado tem que ser documentada. Para avaliar o PL da parte relacionada com a segurança do
sistema de controlo (SRP / CS) que executa a função de segurança, os pontos aplicáveis abaixo
O PL r pode ser identi fi ed graças ao gráfico no Apêndice A da deve ser coberto pelo uso ISO 13849-1:
ISO 13849-1. Este gráfico essencialmente utiliza parâmetros de estimativa de risco que estão a
gravidade do dano, de frequência / duração da exposição ao perigo, e a possibilidade de evitar um
risco de danos ou limitar a atingir o PL r. No entanto, quando a PL r relacionada a uma função de
segurança é específico fi ed num padrão tipo C, o seu valor pode ser usado em vez de usar o gráfico 1) determinação da arquitectura designada;
de ISO 13849-1. Por quê? Porque, quando um padrão tipo C dá o PL r para uma função de segurança, 2) Avaliação de MTTF d ( tempo para falha perigosa significa);
este dado PL r 3) uma estimativa de DC avg ( cobertura média de diagnóstico);
4) de estimativa de medidas contra CCF (causa comum falhas);
já foi identi fi ed, pelo próprio padrão, em conformidade com o gráfico acima mencionados. Normas do 5) veri fi cação dos requisitos para o software relacionado com segurança
tipo C são um tipo de padrões entre o mundo internacional de normalização, que é composto pelos (Não aplicável no nosso caso porque nenhum software contribui para o desempenho da função
três seguintes tipos de normas: de segurança estudados);
6) veri fi cação das medidas para combater falhas sistemáticas; e
7) veri fi cação da capacidade de desempenhar a função de segurança sob
tipo A reúne normas básicas de segurança. Eles dão conceitos e princípios de design condições ambientais previsíveis.
relacionadas com máquinas básicas.
tipo B inclui normas de segurança genéricos. Dizem respeito a um aspecto de segurança ou de um tipo
As instruções dadas pelo ISO 13849-1 padrão propor um simpli fi ed método (7 pontos
de dispositivo relacionadas com a segurança, que pode ser
anteriormente mencionado), que é “ baseado no de fi definição de fi ve arquitecturas designadas que ful fi
especi ll fi critérios de concepção c e comportamento sob uma condição de falha ”
[4] . Cada uma destas arquitecturas designadas é uma característica de um especi fi c categoria.
Sempre que o SRP / CS conformidade com nenhuma destas arquitecturas designadas, um método
portão operador
baseado no detalhado-cálculo deve ser aplicada para estimar a PL. Naturalmente, este último deve
satisfazer o PL r. Daqui em diante, vamos explicar como encontramos a arquitetura designado
(relacionado com a função de segurança estudados) que nos permitiu usar o simpli fi ed método do
padrão.
Figura 2. Localização da placa móvel em relação aos outros componentes da máquina de moldagem [20] .
S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112 107
estudo porque o fi um primeiro é mais preciso do que o segundo. Além disso, uma vez que irá Foram estudados dois tipos de falhas individuais: um componente que permaneceu “ em ” e um
comparar o PL obtidos a partir de nosso cálculo e análise ao encontrado com SISTEMA software, e componente que permaneceu “ fora. ” Estes dois tipos de falhas individuais foram estudados para
uma vez que este é baseado na tabela K.1, decidimos trabalhar com a Fig. 5, como uma base cada um dos três seguintes cenários: (1) porta operador que está fechado, (2) de porta que se
comum para este estudo ( SISTEMA é um software que ajuda a avaliar o nível de desempenho de abre operador, e (3) de porta que fecha operador. Um componente não mencionados
uma função de segurança de acordo com ISO 13849-1. SISTEMA significa: “ Integridade de anteriormente não poderiam ser estudados. Um cartão eletrônico programável que foi assumida
Segurança Ferramenta de Software de Avaliação dos Machine Applications “). A Fig. 5 ajuda a a ser envolvidos no diagnóstico não foi incluído na análise já que a informação necessária para
determinar as PL graças às suas entradas: o MTTF d, a DC avg e a categoria da função de segurança. A compreender plenamente a sua função não estava disponível. Isto ilustra o dif fi culdades de tal
arquitectura designada foi determinada pelos três passos seguintes: exercício de validação, sem o envolvimento do designer máquina ou do construtor. Portanto, o
cartão foi considerado como não tendo qualquer contribuição em termos de diagnóstico. As
características dos interruptores S151B e S175, bem como a sua instalação resultou na
exclusão de falhas para estes dois componentes. Informação do fabricante dos interruptores foi
obtido a partir do catálogo de produtos utilizando os seus números de referência, e indicou que
1) identi fi catião da estrutura do material (hidráulico e eléctrico) estes parâmetros têm uma acção de abertura directa. Além disso, na máquina, elas foram
realizando a função de segurança, e identi fi catião dos componentes correspondentes. montadas com base em princípios de segurança, isto é, instalada na máquina de moldagem de
acordo com o princípio de acção mecânica positiva. Finalmente, o FMEA mostrou que
este identi fi catião necessária uma análise prévia da operação normal do circuito. O objetivo
desta análise foi fi nd uma estrutura de material que satisfaçam a arquitectura designada de
categoria 3 ou 4. Ambas as categorias exigem uma arquitectura designada de dois canais com
monitorização. Nesta fase, uma estrutura de dois canais foi identi fi ed. Investigações posteriores
teve que ser feito para con fi rm se houvesse um sistema de monitoramento. Para este fim, um
estudo do comportamento em falha do circuito safetyrelated foi levada a cabo.
as falhas que resultam em falhas simples não causam uma perda da função de segurança;
2) Estudo do comportamento em falha do circuito relacionado com a segurança. as falhas individuais são detectados tanto quanto razoavelmente possível; e
Um estudo tiveram que ser realizados para entender a resistência do circuito de falhas. A sua
finalidade era a diferenciar os componentes responsáveis para o diagnóstico de falhas (isto é, relés K01 e K02 são envolvidas na sua parte funcional da função de segurança, enquanto
monitorização) daquele que é responsável para a parte funcional. Para fazer isso, uma análise que relé K03 proporciona um papel de diagnóstico cuja cobertura de diagnóstico (DC)
na presença de faltas: foi realizada (FMEA modos de falha e efeitos análise). Esta etapa: podem ser quanti fi ed acordo com o ISO 13849-1 critério.
diferenciada os componentes que contribuem para a parte funcional da função de pontos anteriores.
segurança daqueles envolvidos na parte de diagnóstico; e veri fi ed os critérios para a A Fig. 3 ilustra a arquitetura da função de segurança estudado, deduzido das investigações e
obtenção de categorias 3 e 4, relativamente à resistência da função de segurança de análises descrito nos parágrafos anteriores. Esta arquitetura, compatível com a especificidade fi catiões
falhas, bem como o seu comportamento na presença de defeitos. de categoria 3, mostra que a função de segurança é realizado por dois canais.
OU
os controlos eléctricos das válvulas electro: Y101 e Y171 que actuam como saídas da Por conseguinte, 90% r DC avg o 99% portanto, DC avg Z 99% Categoria
função de segurança. Categoria 3 4
As seguintes fórmulas do padrão foram utilizados para calcular o MTTF d e DC avg para o circuito de
controle de segurança sob investigação:
MTTF d ¼ 2 ð
3 MTTF d CHANNEL 1 º MTTF d CANAL 2
1
ð1º
1 = MTTF d CHANNEL 1 º 1 = MTTF d CANAL 2
Onde
1
MTTF d CHANNEL 1 ¼
1 = MTTF d S151A º 1 = MTTF d K01 º 1 = MTTF d K02 º 1 = MTTF d Y101 ð 2 º
Fig. 3. Arquitetura da função de segurança estudado. MTTF d CANAL 2 ¼ MTTF d Y171 ð3º
108 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
DC avg ¼ DC S151A = MTTF d S151A º DC K01 = MTTF d K01 º DC K02 = MTTF d K02 º DC Y101 = MTTF d Y101 º DC Y171 = MTTF d Y171 ð4º
1 = MTTF d S151 UMA º 1 = MTTF d K01 º 1 = MTTF d K02 º 1 = MTTF d Y101 º 1 = MTTF d Y171
Note que o MTTF d e DC de switches S151B e S175 não aparecem nestas fórmulas devido à Para avaliar o nível de desempenho de uma função de segurança da máquina, dois fi critérios
exclusão culpa atribuída a eles. o MTTF d dado por Fórmula 1 é o MTTF resultante d que será de finais devem ser satis fi ed: falha sistemática e a capacidade do SRP / CS para executar uma função
entrada para a Fig. 5 no padrão para ajudar a estimativa do PL. de segurança em condições ambientais previsíveis. falta suf fi informações ciente do designer e
fabricante para verificar o cumprimento destes dois critérios, e uma vez que o objetivo do exercício
Os valores de MTTF d e CC para cada componente (cf. Apêndices B e C ) Foram determinados a foi identificar o dif fi culdades de tal a posteriori estimativa do PL de uma função de segurança e
partir de escolhas arbitrárias relacionadas com as condições de utilização da função de segurança, a sugerir um procedimento de estimação, assumiu-se que o designer tinha implementado e veri fi ed as
partir de informações do fabricante e, a partir de dados de ISO 13849-1, tal como B 10d ( a medidas destinam-se a ful fi vai estes dois critérios. O próximo passo foi determinar o PL da função de
segurança.
“ número de ciclos até 10% dos componentes falhar perigosamente ” [ 4] ). Estes parâmetros foram
calculados para dois contextos: um contexto industrial e um contexto laboratorial.
CCF são “ falhas de itens diferentes, resultantes de um único evento, em que essas falhas não Foi à luz das análises do circuito estudado e informações disponíveis no manual do fabricante
são conseqüências de um ao outro ” de que a maioria dos pressupostos do estudo foram feitas. Estas análises foram feitas por diferentes
[4] . Quando se utiliza uma arquitectura designada de acordo com a ISO 138491 ( pois é neste artigo), especialistas que trabalham em sistemas de controle relacionados à segurança.
a condição para combater a CCF envolve uma pontuação mínima de 65. Este valor mínimo é igual à
soma da pontuação atribuída a cada satis medida fi ed contra a CCF. F.1 Tabela: A estimativa do nível da função de segurança desempenho foi realizada por dois contextos de
estudo mencionadas anteriormente: laboratório e indústria. As condições de utilização (por exemplo,
“ Pontuar processo e quanti fi cação de medidas contra a CCF ” taxas de demanda) da função de segurança em laboratório foram de fi definida de acordo com o seu
do ISO 13849-1 dá os critérios para atender a essas medidas. Premissas, mas principalmente uso corrente no IRSST. No entanto, eles foram escolhidos arbitrariamente para o contexto industrial. tabela
informações contidas no manual de manutenção fornecido pelos fabricantes da máquina de 1 apresenta estas diferentes condições e Apêndice A dá as fórmulas para o cálculo da média do
moldagem e a folha de dados dos componentes da função de segurança, foi possível estabelecer número de operações anuais (o “ n op ” parâmetro).
uma pontuação para estimar as medidas contra a CCF. Na aplicação corrente, esta pontuação é
independente do contexto de uso (ou indústria laboratório) da máquina. Nas hipóteses, assumiu-se
que o designer respeitado os princípios básicos que lidam com o ambiente de máquina (princípios
abrangidos pela categoria B) já que a máquina de moldagem foi certi fi ed CE. A partir da informação
disponível a partir dos fabricantes, foi observado que o circuito de controlo de segurança foi 4. resultados
hardwired e separado do sistema de operação de controlo programável da máquina de moldagem
por injecção. F.1 tabela no padrão foi usado para esta parte da análise. UMA fi série de cálculos primeiro foi realizado sobre sobressair software para estimar o PL,
considerando as várias análises do circuito de função de segurança e as hipóteses descritas
anteriormente.
As tabelas 2 e 3 apresentar os resultados relativos a este fi passo primeiro.
Uma segunda série de cálculos para estimar de novo a PL foram levados a cabo, desta vez
sobre SISTEMA software para fins de veri fi cação
tabela 1
As diferenças entre os parâmetros de entrada do “ Industrial ” contexto e as do “ Laboratório ” contexto.
O tempo médio entre o início de dois ciclos sucessivos do componente, t ciclo ( s / ciclo) 6 6
número de operações anuais dizer, n op ( ciclos / ano) 4.200.000 6000
mesa 2
“ Industrial ” Contexto: os resultados obtidos, com sobressair e análise de circuito, para o a posteriori estimativa do PL.
Medidas contra falhas sistemáticas Alguns poderia ser deduzida a partir dos diagramas de circuitos; outros foram
consideradas como sendo satis fi ed por hipótese
Capacidade de SRP / CS para executar a função de segurança em satis fi ed por hipótese
condições ambientais previsíveis
S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112 109
Tabela 3
“ Laboratório ” Contexto: os resultados obtidos, com sobressair e por análise de circuito, para o a posteriori estimativa do PL.
PL ¼? Categoria ¼? arquitetura designado: 2 canais com diagnóstico Veri fi ed por análise de circuitos e satis fi ed
resultante MTTF d 100 anos de alta MTTF d
DC avg 19,64% -Zero DC avg
Pontuação para combater CCF pontuação mínima de 65 obtido
Requisitos da categoria B satis fi ed por hipótese
Uma única falha de qualquer componente não resultar na perda da função de segurança Veri fi ed por análise de circuitos e satis fi ed
Tanto quanto for razoavelmente possível, a única falha é detectada Veri fi ed por análise de circuitos e satis fi ed
Medidas contra falhas sistemáticas Alguns poderia ser deduzida a partir dos diagramas de circuitos; outros foram consideradas como sendo satis fi ed
por hipótese
Capacidade de SRP / CS para executar a função de segurança em condições ambientais satis fi ed por hipótese
previsíveis
NB sobressair calculado um MTTF d de 127 anos, mas o valor apresentado é de 100 ( Tabela 3 ), Porque a norma exige que este parâmetro ser limitado a 100.
e comparação dos resultados. Os resultados obtidos com SISTEMA contexto "Laboratório" contexto "Industrial"
concordou que os encontrados com sobressair e de nossas análises: uma categoria 3 e PL “ e ” para o 120 resultante
MTTF d
contexto industrial, uma categoria indeterminado, assim, um desconhecido PL para o contexto 100 (ano)
laboratorial.
80
DC avg
(%) Linha
60
mostrando
5. Discussão 40 StartOf PL =
E
20
Zona onde PL = e é atingido
5.1. Validade dos resultados
0
0 1000000 2000000 3000000 4000000 5000000
a baixa ou média DC avg exigida pela categoria 3 e o CC elevada avg exigida pela categoria 4. A
as condições de utilização (por exemplo, taxa de demanda) da função de segurança tomadas fórmula para o cálculo do DC avg
em conta pelo designer; (Eq. (4)) que depende da do MTTF d para cada componente (Eq. (A2) ) Faz com que seja possível
o cumprimento, pelo designer, com os requisitos necessários para controlar, prevenir e evitar entender que, com um menor número médio de operações anuais, um DC menor avg é obtido. Assim,
uma falha sistemática; a capacidade da função de segurança estudado para realizar sob como mostrado na A Fig. 4 , O DC de zero avg obtidos para o “ Laboratório ”
condições ambientais previsíveis; a função de certos componentes; e
contexto pode ser explicado pelo número significativo de operações anuais da função de segurança,
claramente inferior à do “ Industrial ”
os dados de fiabilidade de alguns componentes que não poderiam ser obtidos a partir da contexto.
máquina de fabricantes ou componente do construtor e foram tomadas a partir das tabelas Para o “ Laboratório ” contexto, contrariamente ao “ Industrial ”
propostas no padrão. contexto, além de não alcançar PL r, uma PL indeterminado é obtido. Isto é devido ao fato de que o a
posteriori procedimento de estimação é baseada em um padrão ditar uma simpli fi ed método para a
estimativa do PL.
Essas suposições têm um impacto sobre o PL estimado. Por exemplo, As tabelas 2 e 3 , assim
como A Fig. 4 mostram que, dependendo das condições escolhidas de uso, a PL diferente pode ser
obtido, ou que pode até ser impossível estimar este PL. Ao considerar as arquitecturas designadas desta norma, a obtenção de categoria 2 é
impossível, porque exige, entre outras coisas, uma baixa a média DC avg enquanto que a uma
Como pode tal diferença nos resultados entre o “ Laboratório ” e “ Industrial ” contextos ser calculado é igual a zero; Além disso, as categorias mais baixas não pode ser obtido porque eles
explicado quando a mesma função de segurança está envolvido para a mesma máquina? A Fig. 4 ilustra exigem um único canal, e nós temos dois. É por isso que a categoria é considerado como
o MTTF resultante d ea DC avg como uma função do número de operações (taxa de demanda), bem indeterminado, o que explica o PL indeterminado encontrados. Além disso, o PL pode ser
como a linha que marca o início de alcançar o PL ¼ PL r ¼ e. Estas curvas foram obtidas por variação determinada para a “ Laboratório ”
das condições de utilização da função de segurança entre os dos dois contextos extremas: “ Indústria ”
e “ Laboratório. ” Neste estudo, os valores da MTTF resultante d e DC avg dependem do contexto de uso
da função de segurança. contexto, utilizando um método de cálculo do que o outro simpli fi ed método do padrão, que é
baseado em “ arquitecturas designadas. ”
Para o “ Industrial ” contexto, as condições hipótese de uso, os cálculos e as análises, foi possível
obter resultados que satisfaçam todas as exigências para atingir PL r ¼ e. No entanto, para o “ Laboratório 5.1.2. Impacto da pessoa que faz a validação
” contexto, um dos critérios para a obtenção de PL r não poderia ser satis fi Ed: a categoria (nem foi Outro fator afeta o a posteriori PL estimado: a pessoa analisar a função de segurança e
obtida 3 ou 4), devido a um DC de zero avg. A DC de zero avg foi encontrado, em vez de determinar as hipóteses. No âmbito do estudo, uma função de segurança teve que ser validado,
onde o procedimento e lógica usada durante o projeto eram desconhecidos.
110 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
Adivinhar o que o designer estava pensando durante o desenho do circuito (engenharia reversa) não sobressair mostra que a categoria 3 não é satis fi ed devido à DC de zero avg ( ou seja, abaixo de
é uma tarefa fácil. Por exemplo, o identi cartão eletrônico programável fi ed na arquitetura da função 60%).
de segurança é assumida a desempenhar um papel de diagnóstico. Devido à falta de suf fi informações SISTEMA indica que os requisitos da categoria 3 permitindo a ser satis fi ed não são todos satis fi ed.
ciente do fabricante ou designer sobre este cartão, um DC de zero tinha que ser assumida. Esta Na verdade, quando o subsistema
hipótese introduz uma limitação no a posteriori validação: sem indicações do fabricante ou designer, é “ Categoria ” guia é consultado, como sugerido por Sistema, nota-se que a única caixa condicional
impossível saber as funções dos cartões integrando componentes programáveis. Esta observação para ser desmarcada é que a exigência: “ DC avg é baixa ou média. ” Na verdade, a característica
indica que pode ser mais fácil para validar circuitos que incluam “ elementar ” componentes de um lowDC avg é a seguinte: 60% r DC avg o 90%; que de um meio de DC avg é: 90% r DC avg o 99%.
electrónicos (não programáveis) electromecânicos e / ou estáticos a posteriori. Entendeu-se que, Agora, a DC avg encontrada foi zero, o que explica a caixa desmarcada.
dependendo se esse procedimento foi acompanhado ou não pelo designer, um pode acabar com
fatos tangíveis ou com deduções ou hipóteses que podem levar a resultados diferentes da
informação disponível.
O DC de zero avg encontrado só é compatível com uma categoria de 1 ou B. No entanto, pelas
razões mencionadas no final do ponto 5.1.1, é possível avaliar uma categoria e, como resultado, uma
PL. Com base nas análises (o sobressair e SISTEMA resultados), pode-se afirmar que a categoria eo
PL são indeterminadas para o “ Laboratório ”
Se as pessoas diferentes tentam realizar este exercício de validação, cada um no seu próprio, contexto.
não será surpresa para chegar a diferentes interpretações arquitetonicamente, sobre os parâmetros Quando SISTEMA Foi utilizado, observou-se que o software avaliou o PL sem questionar o
que permitirão avaliar a PL. Na verdade, um estudo realizado por Hietikko et al. [14] estimar o PL r usando usuário sobre se dois requisitos para avaliar a foram satis PL fi ed. Eles são:
o gráfico anteriormente descritos em ISO 13849-1, mostrou que vários factores, tais como a
experiência da pessoa que inicia o exercício e as hipóteses formuladas, contribuir para divergências
no PL estimado r. Este fato observado na estimativa do PL r é tão plausível no nosso caso para estimar falha sistemática e
o PL de um circuito a capacidade de executar uma função de segurança sob condições ambientais previsíveis.
a posteriori. Isso mostra claramente a importância da pessoa validar os resultados. Uma forma de Qualquer um que usa SISTEMA deve, portanto, ser vigilante: é preciso verificar essas duas
compensar este fato é ter o procedimento apoiado por um grupo de especialistas (como neste exigências a si mesmo antes de con fi rming o PL encontrada pelo software. Isto implica que um
estudo), a fim de enfrentar várias lógicas ou cenários e levar a um resultado mais credível. No conhecimento básico do padrão ISO 13849 é necessário antes de usar este software e que é preciso
entanto, esta prática nem sempre é possível em empresas. ter cuidado para não usar SISTEMA como um substituto da ISO 13849, mas mais como uma
ferramenta, assim como seu criador pretendia.
Parece claro que um exercício de validação deste tipo devem ser cuidadosamente
documentadas e as hipóteses claramente identi fi ed, a fim de conhecer as limitações. Seria desejável 5.2.3. Comparação do PL e PL r
para se comunicar essas limitações para os usuários, a fim de prevenir ou melhor apoio de todos os Para validar o PL, que é comparado com o PL r. No “ Industrial ”
seus modi fi catiões de um circuito de controlo de segurança. Por exemplo, na indústria de contexto, se é com sobressair ou Sistema, de igual PL obtidos
processamento do plástico, a integração de equipamento periférico (por exemplo, robô, “ e ” como faz o PL r, e, por conseguinte, satis fi es it, enquanto no
transportador, etc.) para máquinas de moldagem por injecção já existentes, muitas vezes leva a modi fi “ Laboratório ” contexto, é o oposto. Apoio a esta a posteriori
catiões de safetyrelated circuitos de controlo. estimação por uma equipe com vários anos de experiência na concepção de sistemas de controle
relacionados à segurança provou ser muito importante e útil. No entanto, deve-se afirmar que a
verdadeira intenção do designer, quando um a posteriori validação de um sistema de controlo de
segurança é feito, é quase impossível para validar sem o seu envolvimento. Na melhor das
5.2. Excel e SISTEMA: comparação dos resultados com respeito a norma ISO 13849-1 hipóteses, um palpite pode ser feita, apoiada por fatos documentados e análises.
Considerando as premissas a serem feitas para executar uma validação tal sem a ajuda do
designer máquina, o a posteriori
estimativa do PL de uma função de segurança leva a resultados que devem ser cuidadosamente
5.2.2. “ Laboratório ” contexto: comparação dos resultados considerados.
Para o “ Laboratório ” contexto, com Excel ( combinado com as análises para determinar a PL)
como com Sistema, os mesmos resultados são obtidos para os seguintes parâmetros: a pontuação o imposto Engenharia reversa trabalho não é fácil de realizar sem a ajuda do designer.
para contrariar CCF, o MTTF resultante d, a DC avg eo PL. Para a categoria também, os dois programas Dependendo da empresa pessoa este procedimento, os resultados relacionados com as
de software concordam. Eles mostram que a categoria 3 não é satis fi ed para o “ Laboratório ” contexto: condições de utilização escolhidos, para a interpretação da análise de circuitos, ao MTTF d, ao
DC avg, e o marcador para combater a CCF pode
S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112 111
Tabela B1
“ Industrial ” contexto: características dos componentes do canal 1 (N / A ¼ não aplicável).
Comuta S151A ação de abertura direta B 10d ( ciclos) 2.000.000 4,76 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
S151B ação de abertura direta N / A, porque a N / A, porque a N / A, porque a
Switch com ação mecânica positiva diagnosticada por relé K03 com contactos exclusão falha exclusão falha exclusão falha
ligados mecanicamente
relés K01 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 0,95 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
K02 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 0,95 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
Válvula “ D1 ” Y101 Diagnosticada por um cartão eletrônico programável cuja operação é desconhecida. Então, MTTF d ( anos) 150 150 0.00
o pior caso é escolhido: DC ¼ 0
Retransmissão K03 Relé com contactos ligados mecanicamente N/D N/D N/D
Tabela B2
“ Industrial ” contexto: características dos componentes do canal 2 (N / A ¼ não aplicável).
Interruptor S175 ação de abertura direta N/D N / A, porque a exclusão falha N / A, porque a exclusão falha
Switch com ação mecânica positiva
Válvula “ D2 ” Y171 N/D MTTF d ( anos) 150 150 0.00
cartão eletrônico programável N / D N/D N/D N/D N/D
tabela C1
“ Laboratório ” contexto: características dos componentes do canal 1 (N / A ¼ não aplicável).
Comuta S151A ação de abertura direta B 10d ( ciclos) 2.000.000 3.333,33 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
S151B ação de abertura direta N / A, porque a N / A, porque a N / A, porque a
Switch com ação mecânica positiva diagnosticada por relé K03 com contactos exclusão falha exclusão falha exclusão falha
ligados mecanicamente
relés K01 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 666,67 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
K02 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 666,67 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
Válvula “ D1 ” Y101 Diagnosticada por um cartão eletrônico programável cuja operação é desconhecida. Então, MTTF d ( anos) 150 150 0.00
o pior caso é escolhido: DC ¼ 0
Retransmissão K03 Relé com contactos ligados mecanicamente N/D N/D N/D
tabela C2
“ Laboratório ” contexto: características dos componentes do canal 2 (N / A ¼ não aplicável).
Interruptor S175 Interruptor acção de abertura directa com a N/D N / A, porque a exclusão falha N / A, porque a exclusão falha
acção mecânica positiva
Válvula “ D2 ” Y171 N/D MTTF d ( anos) 150 150 0,00
cartão eletrônico programável N / D N/D N/D N/D N/D
diferem e, consequentemente, afetar o PL estimado. Uma equipe com experiência em sistemas falhas sistemáticas foram aplicadas pelo designer. Se esta hipótese fosse incorreta, seria
de controle relacionados à segurança é o preferido para tornar os resultados mais credível. Além impossível determinar a PL, já que um dos requisitos para a estimativa não seria satis fi ed, e
disso, seria interessante estudar a variabilidade nos resultados para a validação de um dado como uma consequência a PL r não seria satis fi ed. Outro meio de melhorar os resultados é
sistema de controlo por diferentes especialistas. minimizar o número de suposições sendo assistida pelo designer, tanto quanto possível. Esta
situação, infelizmente, nem sempre pode ser alcançado. Como resultado, os usuários em
Este trabalho requer várias suposições. Na verdade, o principal dif fi dade do estudo é devido à empresas vão ter de lidar com suposições e dados em falta se eles têm para levar a cabo um
falta de dados, o qual só pode ser fornecida pelo criador. As incertezas relacionadas com estas exercício semelhante usando ISO 13849-1.
hipóteses têm um impacto sobre o PL estimado. Por exemplo, foi assumido que todas as
medidas para contrariar
112 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
Reconhecimento [2] Lerévérend P. Dentro da selva padronização: IEC 62061 e ISO 13849-1,
complementares ou concorrentes? In: Anais da conferência IEEE; De 2008.
p. 1 - 5.
A contribuição do IRSST, o INRS e Polytechnique Montréal a este estudo é reconhecido [3] Comissão Electrotécnica Internacional. Segurança de máquinas - funcional
agradecimento. segurança de sistemas de controle eletrônico elétricos, eletrônicos e programáveis, IEC 62061.France: La
Plaine Saint-Denis; 2005 .
[4] Organização Internacional para Padronização. Segurança de máquinas - segurança-
peças relacionadas de sistemas de controle - Parte 1: Princípios gerais de design, ISO 13849-1. 2a ed.
Apêndice A Genebra, Suíça; ISO de 2006.
[5] Jocelyn S. Identi fi catiões et réduction du risque pour les intervenções des
manutenção de produção et sur des pressiona uma injecção de plastique en Entreprises. École Polytechnique
Parâmetro n op é calculado usando a fórmula de tomada ISO 13849-1: 2006 de Montréal de 2012 .
[6] Beugin J, Renaux D, Cauffriez LA. SIL quanti fi abordagem cação com base em uma
modelo situação operacional para avaliação da segurança em complexos sistemas de transporte guiadas.
Engenharia de Confiabilidade e Segurança 2006; 92: 1686 - 700 .
n op ¼ d op h op 3600 s = h ð A1 º
t ciclo [7] Fukuda t, Hirayama M, N Kasai, K. Sekine Avaliação de fiabilidade operacional de
parte relacionada à segurança do sistema de nível de máquina e segurança de controle. In: Anais da
Ele torna possível fi nd o MTTF d para cada componente com esta fórmula de ISO 13849-1: 2006 conferência SICE; 2007. p. 2480 - 3.
[8] Soressi E. Introdução de regra de segurança IEC EN62061 na indústria metal.
In: Anais da conferência IEEE; 2011. p. 195 - 200.
[9] Grießnig G, Mader R, Steger C, Weiss R. Desenho e implementação de segurança
MTTF d ¼ B 10d ð A2 º funções em um romance à prova de falhas arquitetura do sistema baseada em CPLD. In: Anais da conferência
0: 1 n op IEEE; 2008. p. 206 - 12.
[10] Baudoin J, Bello JP. Guia pratique d'application de la norme NF EN 62061.
Para as tabelas em Apêndices B e C , Esta é a explicação para Rapport técnica IET / 10RT-257 / JBN / JBO. Institut national de recherche et de sécurité (INRS) de 2010 .
os títulos de algumas colunas.
[11] Bourbonnière R, Paques JJ, Monette C, Daigle R. Guia de concepção des
circuitos de sécurité - introdução aux catégories de la norme, ISO 138491: 1999. técnica Guia R-405. Institut de
“ características reais “: características da folha de dados técnicos componente ou manual do Recherche Robert-Sauvé en Santé et en sécurité du trabalho de parto (IRSST), 2005 .
fabricante da máquina de moldagem.
[12] Hauke H, Schaefer H, Apfeld R, T Boemer, Huelke H, Borowski T. Funcional
segurança dos controles da máquina - aplicação da EN ISO 13849. Relatório Técnico BGIA Report 2 / 2008e.
“ características hipotéticas “: valores por defeito dos parâmetros de tabela C1 do ISO 13849-1:
2009 .
2006. Para aplicar estes valores aos componentes no estudo, tinha que ser assumido que estes [13] Paques JJ, Durka JL, Bourbonnière R. uso prático do IEC 61508 e EN 954
componentes foram concebidos de acordo com os critérios de secções para a avaliação da segurança de um caminhão de mineração automática. Engenharia de Confiabilidade e
Segurança 1999; 66: 127 - 33 .
[14] Hietikko H, Malm t, estudos estimativa do risco Alanen J. no contexto de um
C.2 e C.3 desta norma. controlo da máquina função. Engenharia de Confiabilidade e Segurança do Sistema
“ DC “: valor por padrão da cobertura de diagnóstico proposto em E.1 Tabela desta norma. 2011; 96: 767 - 74 .
[15] Dutuit Y, Innal F, Rauzy A, JP Signoret. avaliações probabilísticas em rela-
navio com níveis de integridade de segurança usando Fault Trees. Engenharia de Confiabilidade e Segurança
2008; 93: 1867 - 76 .
[16] Ruud S, Mikkelsen regras com base no risco A. Para sistemas de segurança guindaste. Confiabilidade
Vejo tabelas C1 e C2 . Institut de Recherche Robert-Sauvé en Santé et en sécurité du trabalho de parto (IRSST), 2008 .