Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112

listas de conteúdos disponíveis em ScienceDirect

Engenharia de Confiabilidade e Segurança do Sistema

Página inicial do jornal: www.elsevier.com/locate/ress

estudo de viabilidade e incertezas na validação de um circuito de controlo de segurança

existente com o ISO 13849-1: 2006
padrão de design

Sabrina Jocelyn uma , n , James Baudoin b , Yuvin Chinniah c , Philippe Charpentier b

uma Institut de Recherche Robert-Sauvé en Santé et en sécurité du trabalho de parto (IRSST), 505 Boul. de Maisonneuve Ouest, Montréal, Québec H3A 3C2, Canadá
b Institut de Recherche et de sécurité (INRS), Rue du Morvan - CS 60027, 54519 Vand œ uvre-lès-Nancy Cedex, França
c Polytechnique Montréal, 2500 chemin de Polytechnique, Montréal, Québec H3T 1J4, Canadá

articleinfo abstrato

Historia do artigo: Na indústria, os usuários da máquina e as pessoas que modificar ou integrar equipamentos muitas vezes têm de avaliar o nível de segurança de
Recebeu 22 de outubro de 2012 recebeu um circuito de controlo de segurança que eles não têm necessariamente concebido. o modi fi cações ou integrações podem envolver trabalho para
em forma de revista 23 de julho de 2013
fazer uma máquina existente que não está de acordo com especificação normativo ou regulamentar fi cações seguras. No entanto, como pode um
circuito de executar uma função de segurança ser validado a posteriori? É o exercício de validação viável? Quais são as dif fi difi e limitações de tal
Aceito julho 2013 26
procedimento? O objetivo deste artigo é responder a estas perguntas, apresentando um estudo de validação de uma função de segurança de
Disponível on-line 09 de agosto de 2013
uma máquina existente. Uma máquina de moldagem por injecção de plásticos é usado para este estudo, bem como padrão ISO 13849-1: 2006. Validação
Palavras-chave:
consiste na realização de um a posteriori ( pós-design) estimativa do nível da função de segurança performance. O procedimento é estudada para
Máquina
dois contextos de utilização da máquina: na indústria, e em laboratório. Os cálculos requeridos pela norma ISO foram feitas usando
Falha do sistema de

controle

nível de função Desempenho

de Segurança
Excel, Seguido por SISTEMA Programas. Mostra-se que, com base no contexto de utilização, o nível de desempenho estimada foi diferente
para o mesmo circuito relacionado com a segurança. A variabilidade nos resultados é explicada pelas suposições feitas pela pessoa que
realiza a validação sem o envolvimento do designer máquina.

& 2013 Elsevier Ltd. Todos os direitos reservados.

1. Introdução
sistemas de controle de desempenhar um papel importante na segurança de máquinas. Nisso fi eld,
o projecto de norma IEC 1508 na segurança funcional foi publicado em 1995 [1] , Seguido por, EN
954 padrão em 1996 [2] . EN 954 fornece os princípios gerais para a concepção de peças
relacionadas com a segurança dos sistemas de controlo (SRP / CS) [2] . A norma estabelece 5
categorias de SRP / CS, a partir do mais fraco para o mais forte: B, 1, 2, 3, 4, com base na selecção
dos componentes e a arquitectura do sistema. Seus dois princípios subjacentes são detecção de
falhas e redundância. Uma análise qualitativa foi utilizado para validar os sistemas personalizados.
Mais tarde,
IEC 1508 levou a um de sete partes-generic-padrão: IEC 61508 publicada 1.998-2.000 [1] . Esta
norma introduziu o conceito de nível de integridade de segurança (SIL), que é um conceito
probabilístico caracterizar a confiabilidade de uma função de segurança. Estabelece 4 níveis: SIL 1 a
4. SIL 1 corresponde ao maior probabilidade média de falha, SIL 4 para o mais baixo. Este padrão foi
utilizada para determinar a segurança funcional de sistemas relacionados com a segurança
electrónicos eléctricos, electrónicos programáveis ​ou utilizados para um modo de alta ou baixa
demanda. Os dois padrões
que se seguiu IEC 61508 eram aplicáveis ​apenas para o modo de alta demanda:
IEC 62061: 2005 [ 3] e ISO 13849-1: 2006 [ 4] . Estes dois padrões de design se aplicam a sistemas de
controlo de segurança em segurança de máquinas. IEC 62061: 2005 [ 3] derivado de IEC 61508, utiliza
SILs mas apenas SIL 1 a 3, uma vez que o padrão está apenas relacionada com máquinas [3] . ISO
13849-1: 2006 [ 4] substituído EN 954-1: 1997 padrão que foi retirado em 31 de dezembro de 2011. ISO
13849-1 aumenta as categorias com níveis de desempenho, PL, que combina análises qualitativas e
quantitativas. O PL corresponde ao “ nível discreto usadas para especificar a capacidade de partes
relevantes para a segurança dos sistemas de controlo para desempenhar uma função de segurança
sob condições previsíveis ” [ 4] . Existem 5 níveis de desempenho distintas: a, b, c, d, e e, indo a partir
da mais alta para a mais baixa PFH d ( probabilidade de uma falha perigosa por hora média), com PL “ uma
” que corresponde ao nível mais baixo desempenho. A categoria é um critério para avaliar o PL. IEC
62061 e ISO 13849 são dois padrões que se sobrepõem uns aos outros por causa de seus objetivos
que são de alguma forma semelhante, mas as suas abordagens probabilísticas são diferentes. No
entanto, eles podem ser complementares [2] : Na presença de um sistema eléctrico, electrónico ou
programável complexo a norma IEC é o mais relevante, ao passo que um sistema não complexas
utilizando a tecnologia semelhante pode ser concebido usando a norma ISO. Além disso, ISO 13849, ao
contrário IEC 62061, pode ser usado para sistemas hidráulicos e pneumáticos bem.

n Autor correspondente. Tel .: +1 514 288 1551; fax: +1 514 288 0998.

Endereço de e-mail: sabjoc@irsst.qc.ca (S. Jocelyn)

0951-8320 / $ - ver a matéria frente & 2013 Elsevier Ltd. Todos os direitos reservados.
http://dx.doi.org/10.1016/j.ress.2013.07.012
 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
Enquanto estas normas já existem há vários anos, tem sido observado que seus usuários finais,
como SST (Segurança e Saúde Ocupacional) especialistas, integradores, designers e fabricantes de
máquinas de experimentar grande dif fi culdades em aplicá-las [2 , 5 - 8 ]. Os estudos sobre sistemas de
controle de segurança encontrados na literatura são divididos principalmente em três tipos:
1. um papel [2] e um guia [1] recordando o histórico de padronização
ção sobre os sistemas de controlo de segurança em segurança de máquinas;
2. Os estudos de caso [7 - 13 ] Na aplicação de uma destas Standards
dards: EN 954, IEC 61508, IEC 62061, ISO 13849 para sistemas complexos ou não complexos; e
3. estudos [6 , 7 , 14 - 16 ] Lidar com a alocação de SIL ou PL, ou
destacando as incertezas relacionadas com esses parâmetros e / ou sugerindo novos métodos
mais precisos para estimar o nível de segurança necessário para a função de segurança. Estes
métodos incluem: redes de Petri, gráficos de Markov, análise da árvore de falhas e simulações
de Monte Carlo.
Há um artigo [17] lidar com a determinação da frequência de inspecção periódica dos sistemas
de controlo de segurança de máquinas; é um método baseado em time-to-perigoso-fracasso. Há
também um artigo citando o padrão ISO como uma diretriz a ser seguida para evitar incidentes
devido à falha de uma função de segurança que são principalmente causadas por erros do designer
máquina [18] . Hietikko et al. [14] que lida com o nível necessário de segurança para uma função de
segurança: o nível de performance (PL) de
ISO 13849-1 bem como o nível de integridade de segurança (SIL) a partir de IEC
620.161. O estudo descrito apenas o processo de estimativa de risco envolvidos nesses dois
padrões. Ela consistia em fazer vários grupos de diferentes participantes estimar o nível de
segurança necessário utilizando as ferramentas de estimativa de risco de estas normas, ou seja, um
gráfico de risco e uma matriz de risco. As diferenças foram notadas entre os níveis de segurança
exigidos estimadas no caso de um mesmo grupo de pessoas que realizam a estimativa, bem como
no caso de diferentes grupos de participantes com diferentes origens (por exemplo, técnicos e não
técnicos). Fatores que explicam a variabilidade dos PLs e SILs necessários incluem a
heterogeneidade de experiências das pessoas na estimativa do risco fi eld, e suposições feitas por
alguns participantes para avaliar o risco e, portanto, para estimar os níveis de segurança exigidos.
Ao contrário do que alguns estudos de caso [12] que descrevem como estimar o PL de uma
função de segurança durante o estado de projeto de uma máquina, este artigo apresenta como
estimar e validar o PL de uma função de segurança que já foi concebido em máquinas. Tal estudo é
relevante porque nenhum estudo foi encontrado até agora sobre esta questão, e pessoas como
integradores precisam urgentemente orientações sobre como aplicar os padrões como o ISO 13849-1
num contexto de validação.
O presente artigo aplica-se e documentos para a fi tempo primeiro o
ISO 13849-1 padrão para um circuito existente. A necessidade de estudar a validação de uma função
de segurança existente vem do fato de que as pessoas do fi eld, como integradores, precisa saber o
PL real de um circuito para verificar, após a sua integração, se o nível de segurança da função de
segurança permaneceu a mesma ou tornou-se maior ou menor. Do ponto de vista da prevenção, se
o nível de segurança (aqui, o nível de desempenho) torna-se menor, a integração dos componentes
terá que ser revisto.
Assim, como um complemento para as referências anteriormente citadas, este artigo apresenta
um estudo [5] com o objetivo de aplicar padrão de design ISO 13849-1: 2006 para validar uma
função de segurança de uma máquina existente. Esta validação é composto fi primeiro em realizar
uma a posteriori ( postdesign) estimativa do nível de um especi desempenho fi função c segurança. Em
segundo lugar, consiste em verificar se este nível de desempenho concorda o necessário. O estudo
explora a viabilidade de tais
105
um procedimento de validação, enquanto identifica o dif fi difi e limitações de um tal procedimento. Um
vai notar mais tarde, em parte
5.1.2, que alguns dos dif fi dades relacionadas com o estudo são semelhantes às descritas acima
fazendo com que a variação do nível de segurança requerido no “ estudos de estimativa de risco no
contexto de uma função de controle da máquina ” [ 14] . É uma necessidade comum na indústria para
engenheiros ou integradores para validar ou avaliar o nível de segurança de um sistema que eles
não têm necessariamente concebido. Esta necessidade resulta principalmente de modi fi cações ou
integrações feitas para tornar uma máquina existente que não está de acordo com especificação
normativo ou regulamentar fi cações seguras.
O procedimento de validação aplicado ( secções 2 e 3 ), os resultados
do procedimento ( secção 4 ) E uma discussão sobre os resultados ( seção 5 ) São apresentados neste
artigo.
2. Validação da função de segurança: passos preliminares
2.1. Função de segurança Estudou
A máquina utilizada para o estudo foi o plástico horizontal máquina de moldagem por injecção
localizada na IRSST (Institut de Recherche Robert-Sauvé en Santé et en sécurité du parto)
“ Segurança de máquina ” laboratório. Esta máquina tem várias zonas de risco e usa tecnologias
diferentes para os sistemas de controle relacionados à segurança.
IEC 62061: 2005 e ISO 13849-1: 2006 exigem que a função de segurança ser identi fi ed e especi fi
ed antes de ser concebido (a este passo do procedimento, as duas referências de design normativos
pode ser considerada). Para a máquina de moldagem por injecção de plástico horizontal, a função de
segurança é escolhido identi fi ed como se segue:
ação de segurança: parar do movimento de fecho da mesa de prensa móvel da máquina de
moldagem.
componente perigoso: placa móvel.
Iniciador da ação de segurança: abertura do portão operador (actuando como uma protecção
móvel interligados).
Função condição de validade: válida durante qualquer modo de operação.
A função de segurança é chamado “ parar e a prevenção do movimento de fecho da placa móvel
por abertura do portão operador. ” O papel desta porta ( Figura 1 ) É garantir a segurança do utilizador
da máquina de moldagem em relação a diferentes riscos na área do molde (por exemplo, o risco de
queimaduras por plástico projectado a uma temperatura elevada, o risco de esmagamento ou corte
lesões pelo movimento de fecho da placa móvel ( Figura 2 )). Uma vez identi fi ed, a função de
segurança deve ser especi fi ed, a fim de estabelecer os seus limites e identificar as suas
características (por exemplo, as suas entradas e saídas, a sua prioridade em relação a outras
funções, o seu tempo de reacção máximo).
2.2. Escolha de padrão
O circuito de função de segurança foi estudada de modo a determinar os tipos de energia
envolvidos, nomeadamente eléctrico e hidráulico. Uma vez que estas energias eram identi fi ed, o
padrão de desenho adaptado para a função de segurança para ser validado pode ser seleccionado.
ISO 13849-1: 2006 aplica-se aos componentes eléctricos e não eléctricos (por exemplo,
hidráulicas e pneumáticas) de sistemas de controlo de segurança. IEC 62061: 2005 lida com
sistemas de controlo de segurança, mas apenas os eletrônicos elétricos, eletrônicos e programáveis.
Desde que a função de segurança estudado foi de elétrica e hidráulica, a nossa escolha foi
claramente ISO 13849-1 para o exercício de validação. Este procedimento baseia-se na aplicação da
norma ISO e consiste em várias etapas, como descrito na secção seguinte.
106 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
3. Validação da função de segurança: passos subsequentes para a
a posteriori estimativa do nível de desempenho
3.1. Determinando o PL r ( nível de desempenho exigido)
O nível de desempenho exigido (PL r) é o PL “ aplicado a fim de alcançar a redução de risco
exigida para cada função de segurança ” [ 4] . É o elemento principal no processo porque, no fim,
validação consiste em verificar se o PL estimada é superior ou igual ao PL r.
O PL r pode ser identi fi ed graças ao gráfico no Apêndice A da
ISO 13849-1. Este gráfico essencialmente utiliza parâmetros de estimativa de risco que estão a
gravidade do dano, de frequência / duração da exposição ao perigo, e a possibilidade de evitar um
risco de danos ou limitar a atingir o PL r. No entanto, quando a PL r relacionada a uma função de
segurança é específico fi ed num padrão tipo C, o seu valor pode ser usado em vez de usar o gráfico
de ISO 13849-1. Por quê? Porque, quando um padrão tipo C dá o PL r para uma função de segurança,
este dado PL r
já foi identi fi ed, pelo próprio padrão, em conformidade com o gráfico acima mencionados. Normas do
tipo C são um tipo de padrões entre o mundo internacional de normalização, que é composto pelos
três seguintes tipos de normas:
tipo A reúne normas básicas de segurança. Eles dão conceitos e princípios de design
relacionadas com máquinas básicas.
tipo B inclui normas de segurança genéricos. Dizem respeito a um aspecto de segurança ou de um tipo
de dispositivo relacionadas com a segurança, que pode ser
portão operador
Figura 1. Máquina de moldagem por estudado e o seu porta operador [19] .
Figura 2. Localização da placa móvel em relação aos outros componentes da máquina de moldagem [20] .
utilizado para uma vasta gama de máquinas ( ISO 13849-1 é um padrão de tipo B).
tipo C é composta de normas que tratam de requisitos de segurança extensivos para uma
especificidade fi máquina c ou grupo de máquinas.
No nosso caso, o PL r da função de segurança estudado é “ e. ” Este valor é fornecido pela secção
5.2.1 da norma tipo C lidar com máquinas de moldagem por injecção de plástico: EN 201: 2009 [ 21] .
Uma vez que o PL r é sabido, os critérios que permitem uma conclusão sobre a validade do PL
estimado tem que ser documentada. Para avaliar o PL da parte relacionada com a segurança do
sistema de controlo (SRP / CS) que executa a função de segurança, os pontos aplicáveis ​abaixo
deve ser coberto pelo uso ISO 13849-1:
1) determinação da arquitectura designada;
2) Avaliação de MTTF d ( tempo para falha perigosa significa);
3) uma estimativa de DC avg ( cobertura média de diagnóstico);
4) de estimativa de medidas contra CCF (causa comum falhas);
5) veri fi cação dos requisitos para o software relacionado com segurança
(Não aplicável no nosso caso porque nenhum software contribui para o desempenho da função
de segurança estudados);
6) veri fi cação das medidas para combater falhas sistemáticas; e
7) veri fi cação da capacidade de desempenhar a função de segurança sob
condições ambientais previsíveis.
As instruções dadas pelo ISO 13849-1 padrão propor um simpli fi ed método (7 pontos
anteriormente mencionado), que é “ baseado no de fi definição de fi ve arquitecturas designadas que ful fi
especi ll fi critérios de concepção c e comportamento sob uma condição de falha ”
[4] . Cada uma destas arquitecturas designadas é uma característica de um especi fi c categoria.
Sempre que o SRP / CS conformidade com nenhuma destas arquitecturas designadas, um método
baseado no detalhado-cálculo deve ser aplicada para estimar a PL. Naturalmente, este último deve
satisfazer o PL r. Daqui em diante, vamos explicar como encontramos a arquitetura designado
(relacionado com a função de segurança estudados) que nos permitiu usar o simpli fi ed método do
padrão.
3.2. Determinando a arquitectura designada
A arquitectura designada é a arquitectura pertencendo a uma determinada categoria. desde PL r é
igual a “ e, ” a arquitectura designada deve corresponder à de uma categoria 3 ou 4 de acordo com a
Figura 5 de ISO 13849-1: 2006, fi Gure baseada na Tabela K.1 que padrão. ISO 138491: 2006 dá
duas ferramentas diferentes para estimar o PL:. Tabela 7 e Figura 5 (K.1 Tabela), ambas no padrão.
Tabela K.1 dá “ uma seleção numérica mais precisa do PL, dependendo do valor preciso da MTTF d de
cada canal ” [ 4] . Portanto utilizou-se a Fig. 5, em vez da Tabela 7 para este
 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
estudo porque o fi um primeiro é mais preciso do que o segundo. Além disso, uma vez que irá
comparar o PL obtidos a partir de nosso cálculo e análise ao encontrado com SISTEMA software, e
uma vez que este é baseado na tabela K.1, decidimos trabalhar com a Fig. 5, como uma base
comum para este estudo ( SISTEMA é um software que ajuda a avaliar o nível de desempenho de
uma função de segurança de acordo com ISO 13849-1. SISTEMA significa: “ Integridade de
Segurança Ferramenta de Software de Avaliação dos Machine Applications “). A Fig. 5 ajuda a
determinar as PL graças às suas entradas: o MTTF d, a DC avg e a categoria da função de segurança. A
arquitectura designada foi determinada pelos três passos seguintes:
1) identi fi catião da estrutura do material (hidráulico e eléctrico)
realizando a função de segurança, e identi fi catião dos componentes correspondentes.
este identi fi catião necessária uma análise prévia da operação normal do circuito. O objetivo
desta análise foi fi nd uma estrutura de material que satisfaçam a arquitectura designada de
categoria 3 ou 4. Ambas as categorias exigem uma arquitectura designada de dois canais com
monitorização. Nesta fase, uma estrutura de dois canais foi identi fi ed. Investigações posteriores
teve que ser feito para con fi rm se houvesse um sistema de monitoramento. Para este fim, um
estudo do comportamento em falha do circuito safetyrelated foi levada a cabo.
2) Estudo do comportamento em falha do circuito relacionado com a segurança.
Um estudo tiveram que ser realizados para entender a resistência do circuito de falhas. A sua
finalidade era a diferenciar os componentes responsáveis ​para o diagnóstico de falhas (isto é,
monitorização) daquele que é responsável para a parte funcional. Para fazer isso, uma análise
na presença de faltas: foi realizada (FMEA modos de falha e efeitos análise). Esta etapa:
diferenciada os componentes que contribuem para a parte funcional da função de
segurança daqueles envolvidos na parte de diagnóstico; e veri fi ed os critérios para a
obtenção de categorias 3 e 4, relativamente à resistência da função de segurança de
falhas, bem como o seu comportamento na presença de defeitos.
O FMEA consistia principalmente de estudar o efeito de diferentes falhas simples em cada um
dos componentes envolvidos no desempenho da função de segurança ( A Fig. 3 ):
os três interruptores de posição electromecânicos: S151A, e S151B S175 como entradas
para a função de segurança. Eles são instalados no portão operador para detectar a sua
abertura;
os três relés de segurança (com contactos ligados mecanicamente): K01, K02 e K03. No
início do FMEA, não sabíamos se esses relés desempenhou um papel funcional ou de
diagnóstico; e
os controlos eléctricos das válvulas electro: Y101 e Y171 que actuam como saídas da
função de segurança.
Fig. 3. Arquitetura da função de segurança estudado.
107
Foram estudados dois tipos de falhas individuais: um componente que permaneceu “ em ” e um
componente que permaneceu “ fora. ” Estes dois tipos de falhas individuais foram estudados para
cada um dos três seguintes cenários: (1) porta operador que está fechado, (2) de porta que se
abre operador, e (3) de porta que fecha operador. Um componente não mencionados
anteriormente não poderiam ser estudados. Um cartão eletrônico programável que foi assumida
a ser envolvidos no diagnóstico não foi incluído na análise já que a informação necessária para
compreender plenamente a sua função não estava disponível. Isto ilustra o dif fi culdades de tal
exercício de validação, sem o envolvimento do designer máquina ou do construtor. Portanto, o
cartão foi considerado como não tendo qualquer contribuição em termos de diagnóstico. As
características dos interruptores S151B e S175, bem como a sua instalação resultou na
exclusão de falhas para estes dois componentes. Informação do fabricante dos interruptores foi
obtido a partir do catálogo de produtos utilizando os seus números de referência, e indicou que
estes parâmetros têm uma acção de abertura directa. Além disso, na máquina, elas foram
montadas com base em princípios de segurança, isto é, instalada na máquina de moldagem de
acordo com o princípio de acção mecânica positiva. Finalmente, o FMEA mostrou que
as falhas que resultam em falhas simples não causam uma perda da função de segurança;
as falhas individuais são detectados tanto quanto razoavelmente possível; e
relés K01 e K02 são envolvidas na sua parte funcional da função de segurança, enquanto
que relé K03 proporciona um papel de diagnóstico cuja cobertura de diagnóstico (DC)
podem ser quanti fi ed acordo com o ISO 13849-1 critério.
3) Seleção da arquitectura designada à luz dos dois
pontos anteriores.
A Fig. 3 ilustra a arquitetura da função de segurança estudado, deduzido das investigações e
análises descrito nos parágrafos anteriores. Esta arquitetura, compatível com a especificidade fi catiões
de categoria 3, mostra que a função de segurança é realizado por dois canais.
3.3. Estimando o MTTF d, DC avg, CCF e veri fi cação dos outros critérios
Da Tabela K.1 do padrão, foi deduzido que para satisfazer a PL ¼ e, a função de segurança
estudaram deve pertencer a um dos dois grupos de requisitos seguintes:
8 >>>> <>>>>: 8 >>>> <>>>>:
62 anos r MTTF d r 100 anos Médio DC avg; 30 anos r MTTF d r 100 anos alta DC avg;
OU
Por conseguinte, 90% r DC avg o 99% portanto, DC avg Z 99% Categoria
Categoria 3 4
As seguintes fórmulas do padrão foram utilizados para calcular o MTTF d e DC avg para o circuito de
controle de segurança sob investigação:
MTTF d ¼ 2 ð
3 MTTF d CHANNEL 1 º MTTF d CANAL 2
1
ð1º
1 = MTTF d CHANNEL 1 º 1 = MTTF d CANAL 2
Onde
1
MTTF d CHANNEL 1 ¼
1 = MTTF d S151A º 1 = MTTF d K01 º 1 = MTTF d K02 º 1 = MTTF d Y101 ð 2 º
MTTF d CANAL 2 ¼ MTTF d Y171 ð3º
108 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112

DC avg ¼ DC S151A = MTTF d S151A º DC K01 = MTTF d K01 º DC K02 = MTTF d K02 º DC Y101 = MTTF d Y101 º DC Y171 = MTTF d Y171 ð4º
1 = MTTF d S151 UMA º 1 = MTTF d K01 º 1 = MTTF d K02 º 1 = MTTF d Y101 º 1 = MTTF d Y171

Note que o MTTF d e DC de switches S151B e S175 não aparecem nestas fórmulas devido à
exclusão culpa atribuída a eles. o MTTF d dado por Fórmula 1 é o MTTF resultante d que será de
entrada para a Fig. 5 no padrão para ajudar a estimativa do PL.
Os valores de MTTF d e CC para cada componente (cf. Apêndices B e C ) Foram determinados a
partir de escolhas arbitrárias relacionadas com as condições de utilização da função de segurança, a
partir de informações do fabricante e, a partir de dados de ISO 13849-1, tal como B 10d ( a
“ número de ciclos até 10% dos componentes falhar perigosamente ” [ 4] ). Estes parâmetros foram
calculados para dois contextos: um contexto industrial e um contexto laboratorial.
Para avaliar o nível de desempenho de uma função de segurança da máquina, dois fi critérios
finais devem ser satis fi ed: falha sistemática e a capacidade do SRP / CS para executar uma função
de segurança em condições ambientais previsíveis. falta suf fi informações ciente do designer e
fabricante para verificar o cumprimento destes dois critérios, e uma vez que o objetivo do exercício
foi identificar o dif fi culdades de tal a posteriori estimativa do PL de uma função de segurança e
sugerir um procedimento de estimação, assumiu-se que o designer tinha implementado e veri fi ed as
medidas destinam-se a ful fi vai estes dois critérios. O próximo passo foi determinar o PL da função de
segurança.

CCF são “ falhas de itens diferentes, resultantes de um único evento, em que essas falhas não
são conseqüências de um ao outro ”
[4] . Quando se utiliza uma arquitectura designada de acordo com a ISO 138491 ( pois é neste artigo),
a condição para combater a CCF envolve uma pontuação mínima de 65. Este valor mínimo é igual à
soma da pontuação atribuída a cada satis medida fi ed contra a CCF. F.1 Tabela:
“ Pontuar processo e quanti fi cação de medidas contra a CCF ”
do ISO 13849-1 dá os critérios para atender a essas medidas. Premissas, mas principalmente
informações contidas no manual de manutenção fornecido pelos fabricantes da máquina de
moldagem e a folha de dados dos componentes da função de segurança, foi possível estabelecer
uma pontuação para estimar as medidas contra a CCF. Na aplicação corrente, esta pontuação é
independente do contexto de uso (ou indústria laboratório) da máquina. Nas hipóteses, assumiu-se
que o designer respeitado os princípios básicos que lidam com o ambiente de máquina (princípios
abrangidos pela categoria B) já que a máquina de moldagem foi certi fi ed CE. A partir da informação
disponível a partir dos fabricantes, foi observado que o circuito de controlo de segurança foi
hardwired e separado do sistema de operação de controlo programável da máquina de moldagem
por injecção. F.1 tabela no padrão foi usado para esta parte da análise.
Foi à luz das análises do circuito estudado e informações disponíveis no manual do fabricante
de que a maioria dos pressupostos do estudo foram feitas. Estas análises foram feitas por diferentes
especialistas que trabalham em sistemas de controle relacionados à segurança.
A estimativa do nível da função de segurança desempenho foi realizada por dois contextos de
estudo mencionadas anteriormente: laboratório e indústria. As condições de utilização (por exemplo,
taxas de demanda) da função de segurança em laboratório foram de fi definida de acordo com o seu
uso corrente no IRSST. No entanto, eles foram escolhidos arbitrariamente para o contexto industrial. tabela
1 apresenta estas diferentes condições e Apêndice A dá as fórmulas para o cálculo da média do
número de operações anuais (o “ n op ” parâmetro).
4. resultados
UMA fi série de cálculos primeiro foi realizado sobre sobressair software para estimar o PL,
considerando as várias análises do circuito de função de segurança e as hipóteses descritas
anteriormente.
As tabelas 2 e 3 apresentar os resultados relativos a este fi passo primeiro.
Uma segunda série de cálculos para estimar de novo a PL foram levados a cabo, desta vez
sobre SISTEMA software para fins de veri fi cação

tabela 1
As diferenças entre os parâmetros de entrada do “ Industrial ” contexto e as do “ Laboratório ” contexto.

Parâmetros por componente da função de segurança “ Industrial ” contexto “ Laboratório ” contexto

S151A, K01, K02 S151A, K01, K02

operação dizer, h op ( h / dia) 20 2

operação significativo d op ( dias / ano) 350 5

O tempo médio entre o início de dois ciclos sucessivos do componente, t ciclo ( s / ciclo) 6 6
número de operações anuais dizer, n op ( ciclos / ano) 4.200.000 6000

mesa 2
“ Industrial ” Contexto: os resultados obtidos, com sobressair e análise de circuito, para o a posteriori estimativa do PL.

Parâmetros calculados e os critérios para ser veri fi ed Estado do parâmetro ou critério

9 >>>>>>>>>> = >>>>>>>>>>; 9 >>>>>>>>>>>>>>>>>>>>>> = >>>>>>>>>>>>>>>

PL ¼ e categoria 3 arquitetura designado: 2 canais com diagnóstico Veri fi ed por análise de circuitos e satis fi ed
resultante MTTF d 66,67 anos de alta MTTF d
DC avg 98,43% -Médio DC avg
Pontuação para combater CCF pontuação mínima de 65 obtido - categoria 3

Requisitos da categoria B satis fi ed por hipótese

Uma única falha de qualquer componente não resultar na perda da Veri fi ed por análise de circuitos e satis fi ed
- PL ¼ e
função de segurança
Tanto quanto razoavelmente possível a única falha é detectada Veri fi ed por análise de circuitos e satis fi ed

Medidas contra falhas sistemáticas Alguns poderia ser deduzida a partir dos diagramas de circuitos; outros foram
consideradas como sendo satis fi ed por hipótese
Capacidade de SRP / CS para executar a função de segurança em satis fi ed por hipótese
condições ambientais previsíveis
 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112 109

Tabela 3
“ Laboratório ” Contexto: os resultados obtidos, com sobressair e por análise de circuito, para o a posteriori estimativa do PL.

Parâmetros calculados e os critérios para ser veri fi ed Estado do parâmetro ou critério

PL ¼? Categoria ¼? arquitetura designado: 2 canais com diagnóstico Veri fi ed por análise de circuitos e satis fi ed
resultante MTTF d 100 anos de alta MTTF d
DC avg 19,64% -Zero DC avg
Pontuação para combater CCF pontuação mínima de 65 obtido
Requisitos da categoria B satis fi ed por hipótese
Uma única falha de qualquer componente não resultar na perda da função de segurança Veri fi ed por análise de circuitos e satis fi ed

Tanto quanto for razoavelmente possível, a única falha é detectada Veri fi ed por análise de circuitos e satis fi ed
Medidas contra falhas sistemáticas Alguns poderia ser deduzida a partir dos diagramas de circuitos; outros foram consideradas como sendo satis fi ed
por hipótese
Capacidade de SRP / CS para executar a função de segurança em condições ambientais satis fi ed por hipótese
previsíveis

NB sobressair calculado um MTTF d de 127 anos, mas o valor apresentado é de 100 ( Tabela 3 ), Porque a norma exige que este parâmetro ser limitado a 100.

e comparação dos resultados. Os resultados obtidos com SISTEMA contexto "Laboratório" contexto "Industrial"

concordou que os encontrados com sobressair e de nossas análises: uma categoria 3 e PL “ e ” para o 120 resultante
MTTF d
contexto industrial, uma categoria indeterminado, assim, um desconhecido PL para o contexto 100 (ano)

laboratorial.
80
DC avg
(%) Linha
60
mostrando

5. Discussão 40 StartOf PL =

E
20
Zona onde PL = e é atingido
5.1. Validade dos resultados
0
0 1000000 2000000 3000000 4000000 5000000

5.1.1. Impacto das premissas Zona onde PL <e ou

n op: número de operações média anual (ciclos / ano)
PL indeterminado
Secções 2.2 a 4 deste artigo têm demonstrado que várias suposições e deduções lógicas
resultantes das análises de circuitos eram necessários, a fim de estimar o PL da função de
Fig. 4. Impacto do número médio de operações anuais sobre o MTTF resultante d,
segurança estudado. Deve ser lembrado que as suposições, com base em sua maior parte dessas DC avg e PL.
análises, foram estabelecidos a respeito

as condições de utilização (por exemplo, taxa de demanda) da função de segurança tomadas
em conta pelo designer;
o cumprimento, pelo designer, com os requisitos necessários para controlar, prevenir e evitar
uma falha sistemática; a capacidade da função de segurança estudado para realizar sob
condições ambientais previsíveis; a função de certos componentes; e
a baixa ou média DC avg exigida pela categoria 3 e o CC elevada avg exigida pela categoria 4. A
fórmula para o cálculo do DC avg
(Eq. (4)) que depende da do MTTF d para cada componente (Eq. (A2) ) Faz com que seja possível
entender que, com um menor número médio de operações anuais, um DC menor avg é obtido. Assim,
como mostrado na A Fig. 4 , O DC de zero avg obtidos para o “ Laboratório ”

os dados de fiabilidade de alguns componentes que não poderiam ser obtidos a partir da
máquina de fabricantes ou componente do construtor e foram tomadas a partir das tabelas
propostas no padrão.
Essas suposições têm um impacto sobre o PL estimado. Por exemplo, As tabelas 2 e 3 , assim
como A Fig. 4 mostram que, dependendo das condições escolhidas de uso, a PL diferente pode ser
obtido, ou que pode até ser impossível estimar este PL.
Como pode tal diferença nos resultados entre o “ Laboratório ” e “ Industrial ” contextos ser
explicado quando a mesma função de segurança está envolvido para a mesma máquina? A Fig. 4 ilustra
o MTTF resultante d ea DC avg como uma função do número de operações (taxa de demanda), bem
como a linha que marca o início de alcançar o PL ¼ PL r ¼ e. Estas curvas foram obtidas por variação
das condições de utilização da função de segurança entre os dos dois contextos extremas: “ Indústria ”
e “ Laboratório. ” Neste estudo, os valores da MTTF resultante d e DC avg dependem do contexto de uso
da função de segurança.
contexto pode ser explicado pelo número significativo de operações anuais da função de segurança,
claramente inferior à do “ Industrial ”
contexto.
Para o “ Laboratório ” contexto, contrariamente ao “ Industrial ”
contexto, além de não alcançar PL r, uma PL indeterminado é obtido. Isto é devido ao fato de que o a
posteriori procedimento de estimação é baseada em um padrão ditar uma simpli fi ed método para a
estimativa do PL.
Ao considerar as arquitecturas designadas desta norma, a obtenção de categoria 2 é
impossível, porque exige, entre outras coisas, uma baixa a média DC avg enquanto que a uma
calculado é igual a zero; Além disso, as categorias mais baixas não pode ser obtido porque eles
exigem um único canal, e nós temos dois. É por isso que a categoria é considerado como
indeterminado, o que explica o PL indeterminado encontrados. Além disso, o PL pode ser
determinada para a “ Laboratório ”
contexto, utilizando um método de cálculo do que o outro simpli fi ed método do padrão, que é
baseado em “ arquitecturas designadas. ”

Para o “ Industrial ” contexto, as condições hipótese de uso, os cálculos e as análises, foi possível
obter resultados que satisfaçam todas as exigências para atingir PL r ¼ e. No entanto, para o “ Laboratório 5.1.2. Impacto da pessoa que faz a validação
” contexto, um dos critérios para a obtenção de PL r não poderia ser satis fi Ed: a categoria (nem foi Outro fator afeta o a posteriori PL estimado: a pessoa analisar a função de segurança e
obtida 3 ou 4), devido a um DC de zero avg. A DC de zero avg foi encontrado, em vez de determinar as hipóteses. No âmbito do estudo, uma função de segurança teve que ser validado,
onde o procedimento e lógica usada durante o projeto eram desconhecidos.
110 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112
Adivinhar o que o designer estava pensando durante o desenho do circuito (engenharia reversa) não
é uma tarefa fácil. Por exemplo, o identi cartão eletrônico programável fi ed na arquitetura da função
de segurança é assumida a desempenhar um papel de diagnóstico. Devido à falta de suf fi informações
ciente do fabricante ou designer sobre este cartão, um DC de zero tinha que ser assumida. Esta
hipótese introduz uma limitação no a posteriori validação: sem indicações do fabricante ou designer, é
impossível saber as funções dos cartões integrando componentes programáveis. Esta observação
indica que pode ser mais fácil para validar circuitos que incluam “ elementar ” componentes
electrónicos (não programáveis) electromecânicos e / ou estáticos a posteriori. Entendeu-se que,
dependendo se esse procedimento foi acompanhado ou não pelo designer, um pode acabar com
fatos tangíveis ou com deduções ou hipóteses que podem levar a resultados diferentes da
informação disponível.
Se as pessoas diferentes tentam realizar este exercício de validação, cada um no seu próprio,
não será surpresa para chegar a diferentes interpretações arquitetonicamente, sobre os parâmetros
que permitirão avaliar a PL. Na verdade, um estudo realizado por Hietikko et al. [14] estimar o PL r usando
o gráfico anteriormente descritos em ISO 13849-1, mostrou que vários factores, tais como a
experiência da pessoa que inicia o exercício e as hipóteses formuladas, contribuir para divergências
no PL estimado r. Este fato observado na estimativa do PL r é tão plausível no nosso caso para estimar
o PL de um circuito
a posteriori. Isso mostra claramente a importância da pessoa validar os resultados. Uma forma de
compensar este fato é ter o procedimento apoiado por um grupo de especialistas (como neste
estudo), a fim de enfrentar várias lógicas ou cenários e levar a um resultado mais credível. No
entanto, esta prática nem sempre é possível em empresas.
Parece claro que um exercício de validação deste tipo devem ser cuidadosamente
documentadas e as hipóteses claramente identi fi ed, a fim de conhecer as limitações. Seria desejável
para se comunicar essas limitações para os usuários, a fim de prevenir ou melhor apoio de todos os
seus modi fi catiões de um circuito de controlo de segurança. Por exemplo, na indústria de
processamento do plástico, a integração de equipamento periférico (por exemplo, robô,
transportador, etc.) para máquinas de moldagem por injecção já existentes, muitas vezes leva a modi fi
catiões de safetyrelated circuitos de controlo.
5.2. Excel e SISTEMA: comparação dos resultados com respeito a norma ISO 13849-1
5.2.1. “ Industrial ” contexto: comparação dos resultados
Para o “ Industrial ” contexto, se os cálculos foram feitos pela sobressair ou Sistema, os resultados
foram semelhantes a partir de todos os pontos de vista: a pontuação para combater CCF, o MTTF
resultante d, a DC avg, a categoria, eo PL.
Observação: quando um dos parâmetros calculados pela SISTEMA tem um valor incorreto ou
demonstra a necessidade para a mudança oportuna de um componente, o software exibe
comentários, a fim de tornar o usuário mais vigilantes. Esta exposição é feita por meio de cruzes
vermelhas. Por exemplo, certos MTTF d por componente foi muito baixa (menos de 3 anos), e, como
resultado, o software advertiu que o componente em questão precisava ser mudado em tempo hábil.
5.2.2. “ Laboratório ” contexto: comparação dos resultados
Para o “ Laboratório ” contexto, com Excel ( combinado com as análises para determinar a PL)
como com Sistema, os mesmos resultados são obtidos para os seguintes parâmetros: a pontuação
para contrariar CCF, o MTTF resultante d, a DC avg eo PL. Para a categoria também, os dois programas
de software concordam. Eles mostram que a categoria 3 não é satis fi ed para o “ Laboratório ” contexto:
sobressair mostra que a categoria 3 não é satis fi ed devido à DC de zero avg ( ou seja, abaixo de
60%).
SISTEMA indica que os requisitos da categoria 3 permitindo a ser satis fi ed não são todos satis fi ed.
Na verdade, quando o subsistema
“ Categoria ” guia é consultado, como sugerido por Sistema, nota-se que a única caixa condicional
para ser desmarcada é que a exigência: “ DC avg é baixa ou média. ” Na verdade, a característica
de um lowDC avg é a seguinte: 60% r DC avg o 90%; que de um meio de DC avg é: 90% r DC avg o 99%.
Agora, a DC avg encontrada foi zero, o que explica a caixa desmarcada.
O DC de zero avg encontrado só é compatível com uma categoria de 1 ou B. No entanto, pelas
razões mencionadas no final do ponto 5.1.1, é possível avaliar uma categoria e, como resultado, uma
PL. Com base nas análises (o sobressair e SISTEMA resultados), pode-se afirmar que a categoria eo
PL são indeterminadas para o “ Laboratório ”
contexto.
Quando SISTEMA Foi utilizado, observou-se que o software avaliou o PL sem questionar o
usuário sobre se dois requisitos para avaliar a foram satis PL fi ed. Eles são:
falha sistemática e
a capacidade de executar uma função de segurança sob condições ambientais previsíveis.
Qualquer um que usa SISTEMA deve, portanto, ser vigilante: é preciso verificar essas duas
exigências a si mesmo antes de con fi rming o PL encontrada pelo software. Isto implica que um
conhecimento básico do padrão ISO 13849 é necessário antes de usar este software e que é preciso
ter cuidado para não usar SISTEMA como um substituto da ISO 13849, mas mais como uma
ferramenta, assim como seu criador pretendia.
5.2.3. Comparação do PL e PL r
Para validar o PL, que é comparado com o PL r. No “ Industrial ”
contexto, se é com sobressair ou Sistema, de igual PL obtidos
“ e ” como faz o PL r, e, por conseguinte, satis fi es it, enquanto no
“ Laboratório ” contexto, é o oposto. Apoio a esta a posteriori
estimação por uma equipe com vários anos de experiência na concepção de sistemas de controle
relacionados à segurança provou ser muito importante e útil. No entanto, deve-se afirmar que a
verdadeira intenção do designer, quando um a posteriori validação de um sistema de controlo de
segurança é feito, é quase impossível para validar sem o seu envolvimento. Na melhor das
hipóteses, um palpite pode ser feita, apoiada por fatos documentados e análises.
6. conclusões
Um procedimento de validação para uma função de segurança de uma máquina de moldagem
por injecção de plástico horizontal foi apresentado. A validação envolveu a a posteriori estimativa do
nível desta função de segurança performance. Por razões tecnológicas, o procedimento foi baseado
no ISO 13849-1: 2006 padrão de design. Para o
“ Industrial ” contexto, a estimativa satis PL fi es PL r ¼ e. Além disso, para o “ Laboratório ” contexto, o PL
é indeterminado e não satisfaz PL r.
Considerando as premissas a serem feitas para executar uma validação tal sem a ajuda do
designer máquina, o a posteriori
estimativa do PL de uma função de segurança leva a resultados que devem ser cuidadosamente
considerados.
o imposto Engenharia reversa trabalho não é fácil de realizar sem a ajuda do designer.
Dependendo da empresa pessoa este procedimento, os resultados relacionados com as
condições de utilização escolhidos, para a interpretação da análise de circuitos, ao MTTF d, ao
DC avg, e o marcador para combater a CCF pode
 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112 111

Tabela B1
“ Industrial ” contexto: características dos componentes do canal 1 (N / A ¼ não aplicável).

identi fi Número de cátions características reais características hipotéticas MTTF d ( anos) DC

Comuta S151A ação de abertura direta B 10d ( ciclos) 2.000.000 4,76 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
S151B ação de abertura direta N / A, porque a N / A, porque a N / A, porque a
Switch com ação mecânica positiva diagnosticada por relé K03 com contactos exclusão falha exclusão falha exclusão falha
ligados mecanicamente

relés K01 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 0,95 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
K02 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 0,95 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente

Válvula “ D1 ” Y101 Diagnosticada por um cartão eletrônico programável cuja operação é desconhecida. Então, MTTF d ( anos) 150 150 0.00
o pior caso é escolhido: DC ¼ 0

Retransmissão K03 Relé com contactos ligados mecanicamente N/D N/D N/D

Tabela B2
“ Industrial ” contexto: características dos componentes do canal 2 (N / A ¼ não aplicável).

identi fi cação características número real características MTTF d ( anos) DC

hipotéticas

Interruptor S175 ação de abertura direta N/D N / A, porque a exclusão falha N / A, porque a exclusão falha
Switch com ação mecânica positiva
Válvula “ D2 ” Y171 N/D MTTF d ( anos) 150 150 0.00
cartão eletrônico programável N / D N/D N/D N/D N/D

tabela C1
“ Laboratório ” contexto: características dos componentes do canal 1 (N / A ¼ não aplicável).

identi fi Número de cátions características reais características hipotéticas MTTF d ( anos) DC

Comuta S151A ação de abertura direta B 10d ( ciclos) 2.000.000 3.333,33 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
S151B ação de abertura direta N / A, porque a N / A, porque a N / A, porque a
Switch com ação mecânica positiva diagnosticada por relé K03 com contactos exclusão falha exclusão falha exclusão falha
ligados mecanicamente

relés K01 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 666,67 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente
K02 Relé com contactos ligados mecanicamente B 10d ( ciclos) 400.000 666,67 0.99
Diagnosticada por relé K03 com contactos ligados mecanicamente

Válvula “ D1 ” Y101 Diagnosticada por um cartão eletrônico programável cuja operação é desconhecida. Então, MTTF d ( anos) 150 150 0.00
o pior caso é escolhido: DC ¼ 0

Retransmissão K03 Relé com contactos ligados mecanicamente N/D N/D N/D

tabela C2
“ Laboratório ” contexto: características dos componentes do canal 2 (N / A ¼ não aplicável).

identi fi cação características número real características hipotéticas MTTF d ( anos) DC

Interruptor S175 Interruptor acção de abertura directa com a N/D N / A, porque a exclusão falha N / A, porque a exclusão falha
acção mecânica positiva
Válvula “ D2 ” Y171 N/D MTTF d ( anos) 150 150 0,00
cartão eletrônico programável N / D N/D N/D N/D N/D

diferem e, consequentemente, afetar o PL estimado. Uma equipe com experiência em sistemas
de controle relacionados à segurança é o preferido para tornar os resultados mais credível. Além
disso, seria interessante estudar a variabilidade nos resultados para a validação de um dado
sistema de controlo por diferentes especialistas.
Este trabalho requer várias suposições. Na verdade, o principal dif fi dade do estudo é devido à
falta de dados, o qual só pode ser fornecida pelo criador. As incertezas relacionadas com estas
hipóteses têm um impacto sobre o PL estimado. Por exemplo, foi assumido que todas as
medidas para contrariar
falhas sistemáticas foram aplicadas pelo designer. Se esta hipótese fosse incorreta, seria
impossível determinar a PL, já que um dos requisitos para a estimativa não seria satis fi ed, e
como uma consequência a PL r não seria satis fi ed. Outro meio de melhorar os resultados é
minimizar o número de suposições sendo assistida pelo designer, tanto quanto possível. Esta
situação, infelizmente, nem sempre pode ser alcançado. Como resultado, os usuários em
empresas vão ter de lidar com suposições e dados em falta se eles têm para levar a cabo um
exercício semelhante usando ISO 13849-1.
112 S. Jocelyn et al. / Engenharia de Confiabilidade e Segurança do Sistema 121 (2014) 104 - 112

Reconhecimento [2] Lerévérend P. Dentro da selva padronização: IEC 62061 e ISO 13849-1,
complementares ou concorrentes? In: Anais da conferência IEEE; De 2008.
p. 1 - 5.
A contribuição do IRSST, o INRS e Polytechnique Montréal a este estudo é reconhecido [3] Comissão Electrotécnica Internacional. Segurança de máquinas - funcional

agradecimento. segurança de sistemas de controle eletrônico elétricos, eletrônicos e programáveis, IEC 62061.France: La
Plaine Saint-Denis; 2005 .
[4] Organização Internacional para Padronização. Segurança de máquinas - segurança-
peças relacionadas de sistemas de controle - Parte 1: Princípios gerais de design, ISO 13849-1. 2a ed.
Apêndice A Genebra, Suíça; ISO de 2006.
[5] Jocelyn S. Identi fi catiões et réduction du risque pour les intervenções des
manutenção de produção et sur des pressiona uma injecção de plastique en Entreprises. École Polytechnique
Parâmetro n op é calculado usando a fórmula de tomada ISO 13849-1: 2006 de Montréal de 2012 .
[6] Beugin J, Renaux D, Cauffriez LA. SIL quanti fi abordagem cação com base em uma
modelo situação operacional para avaliação da segurança em complexos sistemas de transporte guiadas.
Engenharia de Confiabilidade e Segurança 2006; 92: 1686 - 700 .
n op ¼ d op h op 3600 s = h ð A1 º
t ciclo [7] Fukuda t, Hirayama M, N Kasai, K. Sekine Avaliação de fiabilidade operacional de
parte relacionada à segurança do sistema de nível de máquina e segurança de controle. In: Anais da

Ele torna possível fi nd o MTTF d para cada componente com esta fórmula de ISO 13849-1: 2006
MTTF d ¼ B 10d
0: 1 n op
Para as tabelas em Apêndices B e C , Esta é a explicação para
os títulos de algumas colunas.
“ características reais “: características da folha de dados técnicos componente ou manual do
fabricante da máquina de moldagem.
“ características hipotéticas “: valores por defeito dos parâmetros de tabela C1 do ISO 13849-1:
2006. Para aplicar estes valores aos componentes no estudo, tinha que ser assumido que estes
conferência SICE; 2007. p. 2480 - 3.
[8] Soressi E. Introdução de regra de segurança IEC EN62061 na indústria metal.
In: Anais da conferência IEEE; 2011. p. 195 - 200.
[9] Grießnig G, Mader R, Steger C, Weiss R. Desenho e implementação de segurança
ð A2 º funções em um romance à prova de falhas arquitetura do sistema baseada em CPLD. In: Anais da conferência
IEEE; 2008. p. 206 - 12.
[10] Baudoin J, Bello JP. Guia pratique d'application de la norme NF EN 62061.
Rapport técnica IET / 10RT-257 / JBN / JBO. Institut national de recherche et de sécurité (INRS) de 2010 .
[11] Bourbonnière R, Paques JJ, Monette C, Daigle R. Guia de concepção des
circuitos de sécurité - introdução aux catégories de la norme, ISO 138491: 1999. técnica Guia R-405. Institut de
Recherche Robert-Sauvé en Santé et en sécurité du trabalho de parto (IRSST), 2005 .
[12] Hauke ​H, Schaefer H, Apfeld R, T Boemer, Huelke H, Borowski T. Funcional
segurança dos controles da máquina - aplicação da EN ISO 13849. Relatório Técnico BGIA Report 2 / 2008e.
2009 .
[13] Paques JJ, Durka JL, Bourbonnière R. uso prático do IEC 61508 e EN 954

componentes foram concebidos de acordo com os critérios de secções para a avaliação da segurança de um caminhão de mineração automática. Engenharia de Confiabilidade e
Segurança 1999; 66: 127 - 33 .
[14] Hietikko H, Malm t, estudos estimativa do risco Alanen J. no contexto de um
C.2 e C.3 desta norma. controlo da máquina função. Engenharia de Confiabilidade e Segurança do Sistema
“ DC “: valor por padrão da cobertura de diagnóstico proposto em E.1 Tabela desta norma. 2011; 96: 767 - 74 .
[15] Dutuit Y, Innal F, Rauzy A, JP Signoret. avaliações probabilísticas em rela-
navio com níveis de integridade de segurança usando Fault Trees. Engenharia de Confiabilidade e Segurança
2008; 93: 1867 - 76 .
[16] Ruud S, Mikkelsen regras com base no risco A. Para sistemas de segurança guindaste. Confiabilidade

Apêndice B Engenharia e Segurança de 2008; 93: 1369 - 76 .

[17] Dzwiarek M. Exemplos práticos da determinação de inspecção periódica
frequência em sistemas de segurança de máquinas. Acta Mecânica et Automática 2012; 6: 33 - 7 .
Vejo tabelas B1 e B2 .
[18] Dzwiarek M. Uma análise de acidentes causados ​por funcionamento impróprio de
os sistemas de controle da máquina. Jornal Internacional de Segurança e Ergonomia 2004 Ocupacional; 10:
129 - 36 .
apêndice C [19] Chinniah Y, La Champoux M. sécurité des machines automatisées - analyse des
risques et des moyens de protecção sur une presse à injecção de plastique. Rapport de recherche R-557.

Vejo tabelas C1 e C2 . Institut de Recherche Robert-Sauvé en Santé et en sécurité du trabalho de parto (IRSST), 2008 .

[20] Jocelyn S, masse S, Sirard C. presse a injecção de plastique Horizontale - grades

de Veri fi cação de la sécurité. Guia RG-670. Institut de Recherche RobertSauvé en Santé et en sécurité du
Referências
trabalho de parto (IRSST), 2011 .
[21] Association Française de Normalização. Máquinas pour les matières plastiques
[1] MTL Instruments Group plc. Uma introdução à segurança funcional e IEC et le caoutchouc - Máquinas de injeção de moulage par - Prescrição de sécurité, EN 201. La Plaine Saint-Denis,
61508, Nota de aplicação AN9025; 2002. França; De 2009.