Sumrio Prefcio Introduo 1 Objetivo 2 Referncias normativas 3 Definies 4 Consideraes gerais 5Caractersticas

de funes de segurana 6 Categorias 7Considerao de defeitos 8 Validao 9 Manuteno 10Informaes para

utilizao ANEXOS AQuestionrio para o processo de projeto BGuia para a seleo de categorias CLista de alguns
defeitos e falhas significativos para vrias tecnologias
DRelao entre segurana, confiabilidade e disponibilidade para mquinas E Bibliografia
Prefcio
A ABNT - Associao Brasileira de Normas Tcnicas - o Frum Nacional de Normalizao. As Normas Brasileiras,
cujo contedo de responsabilidade dos Comits Brasileiros (CB) e dos Organismos de Normalizao Setorial (ONS),
so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo
parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Segurana de mquinas - Partes de sistemas de comando relacionadas segurana - Princpios gerais para projeto
NBR 14153
Origem: Projeto 04:016.01-023:1997 CB-04 - Comit Brasileiro de Mquinas e Equipamentos Mecnicos CE-04:016.01
- Comisso de Estudo de Mquinas Injetoras de Plstico NBR 14153 - Safety of machinery - Safety related parts of
control systems - General principles for design Descriptors: Control systems. Safety of machines. Machine control Esta
Norma foi baseada na EN 954-1:1996 Vlida a partir de 01.09.1998
Palavras-chave: Sistema de comando. Segurana demquina. Comando de mquina 23 pginas
Os Projetos de Norma Brasileira, elaborados no mbito dos CB e ONS, circulam para Votao Nacional entre os
associados da ABNT e demais interessados.
Esta Norma contm os anexos A, B, C, D e E, de carter informativo.
Usou-se como texto de referncia para este trabalho a EN 954-1:1994 - Safety of machinery - Safety related parts of
control systems - Part 1: General principles for design.
Introduo
Partes de sistemas de comando de mquinas tm, freqentemente, a atribuio de prover segurana; essas so
chamadas as partes relacionadas segurana. Essas partes podem consistir de hardware e software e desempenham
as funes de segurana de sistemas de comando. Podem ser parte integrante ou separada do sistema de comando.
O desempenho, com relao ocorrncia de defeitos, de uma parte de um sistema de comando, relacionada
segurana, dividido, nesta Norma, em cinco categorias (B, 1, 2, 3 e 4), que devem ser usadas como pontos de
referncia. No objetivo a utilizao dessas categorias, em qualquer ordem de hierarquia, com respeito a requisitos
de segurana.
As categorias podem ser aplicadas para:
- comandos para todo tipo de mquinas, desde simples mquinas (por exemplo, pequenas mquinas
JUL 1998
Copyright 1994, ABNTAssociao Brasileira de Normas Tcnicas Printed in Brazil/ Impresso no Brasil Todos os
direitos reservados
Sede: Rio de Janeiro Av. Treze de Maio, 13 - 28 andar CEP 20003-900 - Caixa Postal 1680 Rio de Janeiro - RJ Tel.:
PABX (21) 210-3122 Fax: (21) 220-1762/220-6436 Endereo Telegrfico: NORMATCNICA
ABNT-Associao Brasileira de Normas Tcnicas
2NBR 14153:1998 para a cozinha) at complexas instalaes de manufatura (por exemplo, mquinas de embalagem,
mquinas de impresso, prensas, etc.);
- sistemas de comando de equipamentos de proteo, por exemplo, dispositivos de comando a duas mos, dispositivos
de intertravamento, dispositivos de proteo eletrossensitivos, por exemplo, barreiras fotoeltricas, e plataformas
sensveis presso.
A categoria selecionada depender da mquina e da extenso a que os meios de comando so utilizados para
medidas de proteo.
Na seleo de uma categoria e no projeto de uma parte de um sistema de comando, relacionada segurana, o
projetista dever declarar, ao menos, as seguintes informaes, relativas parte relacionada segurana:
- a(s) categoria(s) selecionada(s);
- a caracterstica funcional e a exata finalidade da parte na(s) medida(s) de segurana;
- os limites exatos (ver 3.1);
- todos os defeitos relevantes segurana considerados;
- aqueles defeitos relevantes segurana no considerados pela excluso de defeitos e as medidas empregadas para
permitir sua excluso;
- os parmetros relevantes confiabilidade, tais como condies ambiente;
- a(s) tecnologia(s) aplicada(s).
O uso das categorias, como pontos de referncia e essa declarao nos princpios de projeto, tem o objetivo de
permitir a utilizao flexvel desta Norma e proporcionar uma base clara, sobre a qual o projeto e o desempenho de
qualquer aplicao da parte de um sistema de comando (e a mquina), relacionada segurana, possam ser
avaliados, por exemplo, por terceiros, em ensaios internos ou em laboratrios independentes.
1 Objetivo
Esta Norma especifica os requisitos de segurana e estabelece um guia sobre os princpios para o projeto (ver EN 292-
1) de partes de sistemas de comando relacionadas segurana. Para essas partes, especifica categorias e descreve
as caractersticas de suas funes de segurana. Isso inclui sistemas programveis para todos os tipos de mquinas e
dispositivos de proteo relacionados. Esta Norma se aplica a todas as partes de sistemas de comando relacionadas
segurana, independentemente do tipo de energia aplicado, por exemplo, eltrica, hidrulica, pneumtica, mecnica.
Esta Norma no especifica que funes de segurana e que categorias devem ser aplicadas em um caso particular.
Esta Norma abrange todas as aplicaes de mquinas, para uso profissional ou no profissional. Tambm, onde
apropriado, esta Norma pode ser aplicada s partes de sistemas de comando relacionadas segurana, utilizadas em
outras aplicaes tcnicas.
2 Referncias normativas
As normas relacionadas a seguir contm disposies que, ao serem citadas neste texto, constituem prescries para
esta Norma. As edies indicadas estavam em vigor no momento desta publicao. Como toda norma est sujeita
reviso, recomenda-se queles que realizam acordos com base nesta que verifiquem a convenincia de se usarem as
edies mais recentes das normas citadas a seguir. A ABNT possui a informao das normas em vigor em um dado
momento.
NBR 13759:1996 - Segurana de mquinas - Equipamentos de parada de emergncia, aspectos funcionais - Princpios
para projeto
NBR 14009:1997 - Segurana de mquinas - Princpios para apreciao de riscos
EN 292-1:1991 Safety of machinery - Basic concepts, general principles for design - Part 1: Basic terminology,
methodology.
EN 292-2:1991 - Safety of machinery - Basic concepts, general principles for design - Part 2: Technical principles and
specifications.
EN 457:1992 - Safety of machinery - Auditory danger signals - General requirements, design and testing
EN 614-1:1995 - Safety of machinery - Ergonomic design principles - Part 1: Treminology and general principles
EN 775:1992 - Manipulating industrial robots - Safety
EN 842:1996 - Safety of machinery - Visual danger signals - General requirements, design and testing
EN 981:1996 - Safety of machinery - System of danger and non-danger signals with sound and light
EN 982:1996 - Safety of machinery - Safety requeriments for fluid power systems an components - Hydraulics
EN 983:1996 - Safety of machinery - Safety requeriments for fluid power systems an components - Pneumatics
EN 1037:1995 - Safety of machinery - Prevention of unexpected start-up
EN 60204 -1:1992 - Electrical equipment of machines - Part 1: General requeriments
NBR 14153:19983
EN 60335-1:1994 Safety of household and similar electric appliances - Part 1: General requirements
IEC 50(191):1990 - International Eletrotechnical Vocabulary, Chapter 191: Dependability and quality of service
3 Definies
Para os efeitos desta Norma, aplicam-se s definies das EN 292-1 e IEC 50(191) e as seguintes:
3.1 parte de sistema de comando relacionada segurana: Parte ou subparte de sistema de comando, que responde a
sinais de entrada do equipamento sob comando (e/ou de um operador) e gera sinais de sada relacionados com
segurana. As partes combinadas de um sistema de comando relacionadas segurana comeam no ponto em que os
sinais relacionados segurana so gerados e findam na sada dos elementos de controle de potncia (ver tambm
EN 292-1). Isto tambm inclui sistemas de monitorao.
3.2 categoria: Classificao das partes de um sistema de comando relacionadas segurana, com respeito sua
resistncia a defeitos e seu subseqente comportamento na condio de defeito, que alcanada pelos arranjos
estruturais das partes e/ou por sua confiabilidade.
3.3 segurana de sistemas de comando: Habilidade de desenvolver sua(s) funo(es) para um dado perodo, de
acordo com sua categoria especificada, baseada em seu comportamento no caso de defeito(s).
3.4 defeito: Estado de um item caracterizado pela inabilidade de desenvolver a funo requerida, excluindo a
inabilidade durante manutenes preventivas ou outras aes planejadas, ou devido perda de recursos externos.
NOTA - Um defeito , freqentemente, o resultado de uma falha do prprio item, porm pode existir sem falha prvia.
3.6 falha: Trmino da habilidade de um item em desenvolver uma funo requerida.
NOTAS 1 Aps a falha o item tem um defeito. 2 Falha um evento, distintamente de defeito, que um estado.
3 Esse conceito, como definido, no se aplica a item constitudo apenas por software.
4 Na prtica, os termos defeito e falha so freqentemente usados como sinnimos.
3.7 funo segurana de sinais de comando: Funo iniciada por um sinal de entrada e processada pelas partes do
sistema de comando, relacionadas segurana, para permitir mquina (como um sistema) alcanar um estado
seguro.
3.8 pausa: Suspenso temporria automtica da(s) funo(es) de segurana, por partes do sistema de comando,
relacionadas segurana.
3.9 rearme manual: Funo com que as partes de um sistema de comando relacionadas segurana recuperam,
manualmente, suas funes de segurana, antes do reincio de operao da mquina.
4 Consideraes gerais 4.1 Objetivos de segurana no projeto
As partes de um sistema de comando relacionadas segurana, que proporcionam as funes de segurana, devem
ser projetadas e construdas de tal forma que os princpios da NBR 14009 sejam integralmente considerados:
- durante toda a utilizao prevista e utilizao incorreta previsvel;
- na ocorrncia de defeitos;
- quando erros humanos previsveis forem cometidos durante a utilizao planejada da mquina como um todo.
4.2 Estratgia geral para projeto
Dos princpios para a apreciao de riscos na mquina (ver NBR 14009), o projetista deve decidir sobre a contribuio
reduo do risco, que precisa ser suprida por cada parte das partes do sistema de comando relacionadas
segurana (ver anexo B). Esta contribuio no cobre a totalidade dos riscos da mquina sob comando; por exemplo,
no considerado o risco total de uma prensa mecnica ou uma mquina de lavar, porm a parte do risco reduzida
pela aplicao de funes de seguranas particulares. Exemplos de tais funes so a funo de parada iniciada pela
utilizao de um dispositivo de proteo eletrossensitivo em uma prensa ou a funo de bloqueio de uma porta de
mquina de lavar.
O principal objetivo que o projetista assegure que as partes de um sistema de comando relacionadas segurana
produzam sinais de sada que atinjam os objetivos de reduo de riscos da NBR 14009. Isto no sempre possvel,
mas o projetista deve, em tais casos, gerar outras medidas de segurana. A hierarquia para a estratgia na reduo do
risco dada na EN 292-1.
A categoria e outras caractersticas (por exemplo, posio fsica de partes, isolao), selecionadas pelo projetista para
as partes relacionadas segurana, dependem da contribuio feita reduo do risco, por essas partes, pelo projeto
e tecnologia (ver Introduo). O projetista deve declarar:
- que categoria(s) est sendo usada como ponto de referncia para o projeto;
4NBR 14153:1998
- os pontos exatos em que as partes relacionadas segurana tm incio e fim;
- a anlise lgica do projeto (por exemplo, os defeitos considerados e os excludos) para alcanar aquela(s)
categoria(s).
Quanto mais a reduo do risco depender das partes de sistema de comando relacionadas segurana, maior precisa
ser a habilidade dessas partes para resistir a defeitos. Essa habilidade - entendendo-se que a funo requerida
cumprida - pode ser parcialmente quantificada por valores de confiabilidade e por uma estrutura resistente a defeitos.
Ambos, confiabilidade e estrutura, contribuem para essa habilidade das partes relacionadas segurana em resistir a
defeitos. Uma resistncia especificada a defeitos pode ser atingida pela definio de nveis de confiabilidade de
componentes e/ou com estruturas melhoradas para as partes relacionadas segurana. A contribuio da
confiabilidade e da estrutura pode variar com a tecnologia aplicada. Por exemplo, possvel, em uma tecnologia, para
um nico canal de partes relacionadas segurana de alta confiabilidade, prover a mesma ou maior resistncia a
defeitos, que em uma estrutura tolerante a defeitos, de menor confiabilidade em uma tecnologia diferente
NOTA - Quanto maior a resistncia a defeitos das partes relacionadas segurana, menor a probabilidade que esta
parte falhe no cumprimento de suas funes de segurana.
Confiabilidade e segurana no so o mesmo (ver anexo D). Por exemplo, possvel que a segurana de um sistema
com componentes de baixa confiabilidade seja em uma estrutura redundante, maior que a segurana de um sistema
com uma estrutura mais simples, porm com componentes de maior confiabilidade. Esse conceito importante porque,
em algumas aplicaes, a segurana requer a mais alta prioridade, independentemente da confiabilidade alcanada,
por exemplo, quando as conseqncias de uma falha so sempre srias e normalmente irreversveis. Em tais
aplicaes, uma estrutura de deteco de defeito (tolerncia de defeito de um ciclo), que proporciona a segurana
requerida aps um, dois ou mais defeitos, deve ser prevista de acordo com a apreciao do risco.
Esta Norma no requer o clculo de valores de confiabilidade para estruturas complexas, onde a segurana
predominantemente obtida pela melhoria da estrutura do sistema. Para estruturas simples (por exemplo, canal nico),
onde a confiabilidade do componente importante para a segurana, o clculo dos valores de confiabilidade um
indicador til da contribuio reduo do risco global, pela parte relacionada segurana.
No caso de aplicaes de riscos menores, medidas para evitar defeitos podem ser apropriadas. Para aplicaes de
riscos maiores, a melhoria da estrutura das partes de sistemas de comando relacionadas segurana pode
proporcionar medidas para evitar, detectar ou tolerar defeitos. Medidas prticas incluem redundncia, diversidade,
monitorao (ver tambm EN 292-2 e EN 60204-1).
O comportamento atingido para resistncia a defeitos, pelas partes de sistemas de comando relacionadas segurana,
funo de vrios parmetros, incluindo, por exemplo:
- confiabilidade com relao ao desempenho das funes de segurana;
- estrutura (ou arquitetura) do sistema de comando;
- qualidade da documentao relacionada segurana;
- qualidade da especificao;
- projeto, construo e manuteno;
- qualidade e exatido do software;
- amplitude dos ensaios funcionais;
- caractersticas de operao da mquina ou parte da mquina sob comando.
Esses parmetros podem ser agrupados sob trs caractersticas principais:
- confiabilidade de hardware - o nvel de confiabilidade dos componentes para evitar defeitos;
- estrutura do sistema - o arranjo dos componentes na parte de um sistema de comando relacionada segurana, para
evitar, tolerar ou detectar defeitos;
- aspectos qualitativos, no quantificveis, que afetam o comportamento da parte de um sistema de comando
relacionada segurana.
4.3 Processo para a seleo e projeto de medidas de segurana
Este item especifica um processo para a seleo das medidas de segurana a serem implementadas e, ento, para o
projeto de partes de sistemas de comando relacionadas segurana. importante que as interfaces entre as partes
relacionadas segurana e aquelas no relacionadas segurana do sistema de comando e todas as outras partes da
mquina sejam identificadas. Ento, a contribuio reduo do risco pode ser especificada dentro da apreciao do
risco da mquina, de acordo com a NBR 14009.
Por haver muitas maneiras de reduo dos riscos de uma mquina e por haver muitas formas de projeto para as partes
de sistemas de comando relacionadas segurana, este processo interativo. Decises e/ou hipteses feitas em
qualquer passo do procedimento podem afetar decises e/ou hipteses feitas em algum passo anterior. Esse aspecto
pode ser checado pela volta atravs do procedimento, a qualquer etapa. Tal checagem na etapa de validao
essencial para assegurar que o desempenho de segurana atingido o mesmo daquele definido na especificao.
NBR 14153:19985
O processo ilustrado na figura 1. Aspectos importantes que devem ser considerados durante o processo de projeto
so dados como quesitos no A, para auxlio ao projetista. Esses quesitos ilustram a filosofia a ser seguida no projeto de
partes relacionadas segurana. Nem todos os quesitos so vlidos a todas as aplicaes. Algumas aplicaes
requerem quesitos adicionais.
Passo 1: Anlise do perigo e apreciao de riscos:
- identificar os perigos presentes mquina durante todos os modos de operao e a cada estgio da vida da mquina,
pelo seguimento do guia da EN 292-1 e NBR 14009;
- avaliar os riscos provenientes daqueles perigos e decidir sobre a apropriada reduo de risco para essa aplicao, de
acordo com as EN 292-1 e NBR 14009.
Passo 2: Deciso das medidas para reduo do risco:
- definir medidas de projeto na mquina e/ou a aplicao de protees para levar reduo do risco. Partes do sistema
de comando que contribuem como parte integral das medidas de projeto ou no comando de protees devem ser
consideradas como partes do sistema de comando relacionadas segurana.
Passo 3: Especificao dos requisitos de segurana para as partes de sistemas de comando relacionadas
segurana:
- especificar as funes de segurana (ver seo 5) a serem cumpridas no sistema de comando. A tabela 1 lista a fonte
de referncia das funes de segurana mais comuns e as caractersticas que devem ser includas se uma particular
funo de segurana for selecionada;
- especificar como a segurana deve ser atingida e selecionar a(s) categoria(s) para cada parte e combinaes de
partes, dentro das partes de sistemas de comando relacionadas segurana (ver seo 6).
Passo 4: Projeto:
- projetar as partes de sistemas de comando relacionadas segurana de acordo com as especificaes
desenvolvidas no passo 3, e a estratgia geral de projeto em 4.2. Listar os aspectos de projeto includos que
proporcionam a base lgica de projeto para a(s) categoria(s) alcanadas;
- verificar o projeto a cada estgio, para assegurar que as partes relacionadas segurana preencham os requisitos do
estgio anterior no contexto da(s) funo(es) e categoria(s) especificada(s).
Passo 5: Validao:
- validar as funes e categoria(s) de segurana alcanadas no projeto com relao s especificaes do passo 3.
Reprojetar, se necessrio (ver seo 8);
- quando a eletrnica programvel for usada no projeto de partes de sistemas de comando relacionadas segurana,
outros procedimentos detalhados so necessrios (ver 8.4.2).
1 Atualmente acredita-se que difcil determinar, com algum grau de exatido, situaes em que um perigo significante
pode ocorrer em conseqncia do mau funcionamento do sistema de comando, que a confiana da operao correta
de um canal isolado de um equipamento eletrnico programvel possa ser assegurada. Durante o tempo em que essa
situao possa ser resolvida, no aconselhvel confiar na operao correta de um dispositivo de tal canal isolado (de
acordo com a EN 60 204-1).
2 Tambm ser necessrio validar a parte do sistema de comando relacionada segurana, em conjunto com todo o
sistema de comando e como parte da mquina. Os requisitos para tal validao no fazem parte desta Norma, porm
devem ser especificados pelo construtor da mquina ou em normas apropriadas do tipo C.
4.4 Princpios para o projeto ergonmico
A interface entre pessoas e as partes de sistemas de comando relacionadas segurana devem ser projetadas e
instaladas de tal forma que ningum seja posto em perigo durante toda utilizao planejada e mau uso previsvel da
mquina (ver tambm EN 292-2, EN 614-1 e EN 60204-1).
Princpios ergonmicos devem ser aplicados de tal forma que o sistema de comando e a mquina, incluindo as partes
relacionadas segurana, sejam de fcil utilizao e de tal forma que o operador no seja levado a agir de maneira
perigosa. Os requisitos de segurana para observao dos princpios ergonmicos dados em 3.6 da EN 292-
2:1991devem ser aplicados.
6NBR 14153:1998
Apreciao de riscos na mquina (EN 292-1 e NBR 14009)

Decidir medidas para atingir a reduo do risco (EN 292-1) por projeto (seo 3 dapor proteo (seo 4 EN 292-
2:1991)da EN 292-2:1991)
outras sistema de dispositivos outras medidas comando de proteo medidas (no(3.7 da(parte do(no consideradas
EN 292-2: sistema de consideradas nesta Norma)1991)comando)nesta Norma) (4.2.3 da EN 292-2: 1991) por meios de
comando
Especificar requisitos de segurana em termos de:
Caractersticas das funes de segurana (seo 5)
E Realizao das funes de segurana (4.2)
Seleo de categoria(s) (seo 6)
Validar as funes e categorias atingidas (seo 8)
Passo 1
Passo 2
Passo 3
Passo 4 Passo 5
Verificao
Anlise de perigos na mquina (EN 292-1 e NBR 14009)
Projetar as partes de sistemas de comando relacionadas segurana (sees 4 e 6) >
Figura 1 - Processo interativo para o projeto de partes de sistemas de comando relacionadas segurana
NBR 14153:19987
Tabela 1 - Lista de algumas normas que especificam requisitos para caractersticas de funes de segurana
CaractersticasNBR 14153EN 292-1EN 292-2EN 292-2:1991OutrasInformaes de funes deanexo
Anormasadicionais1) segurana
Definies3XEN 60204-1EN 60335-1
Princpios de4.2XXEN 60204-1EN 60335-1 projetoEN 775
Princpios4.4XXXEN 60204-1EN 775 ergonmicos
Funes de5.2XXEN 60204-1EN 60335-1 parada


Parmetros5.7XEN 60204-1EN 775 relacionados EN 60335-1 segurana

Suspenso5.10XEN 60204-1EN 775 manual de funes de segurana
Flutuaes, falta5.11XEN 60204-1 e restaurao de fontes de energia
SistemasXEN 60204-1 eletrnicos programveis
PartidaXXEN 1037 inesperada EN 60204-1
Indicaes eXXEN 457, EN 842, alarmesEN 981, EN 60204-1
Liberao eXX salvamento de pessoas presas
Equipamento X X EN 60204-1 eltrico
Abastecimento X EN 60204-1 eltrico
Outras fontesXEN 982 de energiaEN 983
8NBR 14153:1998
Tabela 1 (concluso)
CaractersticasNBR 14153EN 292-1EN 292-2EN 292-2:1991OutrasInformaes de funes deanexo
Anormasadicionais1) segurana
Protees eEN 60204-1 coberturas
EquipamentoXXEN 982 pneumtico eEN 983 hidrulico
Isolao eXXEN 1037 dissipao deEN 60204-1 energia
Meio ambienteXEN 60204-1EN 775 fsico e condies de operao
Modos deXXEN 60204-1EN 775 comando e seleo do modo
Interfaces/ X EN 60204-1 conexes
Interao entreXEN 60204-1 diferentes partes de sistemas de comando relacionadas segurana
Interface homem - mquinaXXEN 60204-1
1) As referncias dessa coluna devem ser consideradas como um auxlio ao projetista, e no como parte dos requisitos
desta Norma.
5 Caractersticas das funes de segurana 5.1 Generalidades
Este item apresenta uma lista de funes tpicas de segurana (ver EN 292-1), que podem ser supridas pelas partes de
sistemas de comando relacionadas segurana. O projetista (ou o elaborador de normas do tipo C) deve incluir as
funes de segurana dessa lista, necessrias para alcanar as medidas de segurana requeridas do sistema de
comando, para a aplicao especfica.
A tabela 1 lista funes tpicas de segurana e algumas de suas caractersticas. Ela faz referncia a detalhes das
caractersticas que so claramente definidas nas referncias normativas. O projetista (ou o elaborador de normas do
tipo C) deve assegurar que os requisitos de todas essas normas sejam cumpridos para as funes de segurana
selecionadas. Requisitos adicionais detalhados tambm so citados neste item para algumas caractersticas. Estes
devem ser includos.
Onde necessrio, as caractersticas devem ser adaptadas para utilizao com diferentes fontes de energia.
5.2 Funo parada
Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- uma funo de parada iniciada por um dispositivo de proteo deve, to rpido quanto necessrio, aps sua atuao,
colocar a mquina em condio segura. Esse tipo de parada deve ter prioridade sobre uma parada por razes
operacionais;
- quando um grupo de mquinas trabalha em conjunto, de forma coordenada, meios devem existir para sinalizar ao
comando supervisor e/ou s outras mquinas que tal funo de parada existe.
NOTA - Esse tipo de parada pode causar problemas operacionais e dificultar o reincio de operao, por exemplo, em
solda a arco. Em algumas aplicaes, essa funo pode ser combinada com uma parada para razes operacionais,
para reduzir o incentivo manipulao da funo de segurana.
NBR 14153:19989
5.3 Funo parada de emergncia
Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- quando um grupo de mquinas trabalha de forma coordenada, as partes relacionadas segurana devem ter meios
de sinalizar uma funo de parada de emergncia a todas as partes do sistema coordenado;
- onde sees do sistema coordenado so claramente separadas, por exemplo, protees ou localizao fsica, no
sempre necessrio aplicar a parada de emergncia a todo o sistema, mas apenas a sees particulares, identificadas
pela apreciao dos riscos.
Aps a efetivao de uma parada de emergncia para uma seo, um perigo no deve estar presente nas interfaces
dessa seo com as outras sees.
5.4 Rearme manual
Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- aps o incio de um comando de parada por um dispositivo de proteo, a condio de parada deve ser mantida at a
atuao manual do dispositivo de rearme e at que uma condio segura de operao exista;
- o restabelecimento da funo segura pelo rearme do dispositivo de proteo cancela o comando de parada. Se
indicado pela apreciao do risco, o cancelamento do comando de parada deve ser confirmado por uma ao manual,
separada e deliberada (rearme manual).
A funo rearme manual:
- deve ser atuada atravs de um dispositivo separado, manualmente operado, em conjunto com as partes do sistema
de comando relacionadas segurana;
- somente pode ser efetivado se todas as funes de segurana e dispositivos de proteo estiverem operando. Se
isso no for possvel, o rearme no deve estar disponvel;
- no deve, por si s, iniciar movimento ou uma situao perigosa;
- deve ser de ao deliberada;
- deve preparar o sistema de comando para a aceitao de um comando de partida separado;
- deve somente ser aceito pela atuao do atuador de sua posio liberada (desligado).
A categoria das partes relacionadas segurana, que atuam o rearme manual, deve ser selecionada de tal forma que
a incluso do rearme manual no diminua a segurana requerida da funo de segurana relevante.
O atuador para rearme deve estar situado fora da rea de perigo e em posio segura, de onde se tenha boa
visibilidade para a verificao da inexistncia de pessoas na zona de perigo.
5.5 Partida e reincio
Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- o reincio do movimento deve ocorrer automaticamente, apenas se uma situao de perigo no puder existir. Em
particular, para protees de controle, ver EN 292-2.
Esses requisitos de partida e reincio de movimento tambm devem se aplicar a mquinas que podem ser controladas
remotamente.
5.6 Tempo de resposta
Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- o projetista ou o fabricante deve declarar o tempo de resposta, quando a apreciao do risco da parte do sistema de
comando relacionada segurana indicar que isso necessrio (ver tambm seo 10).
NOTA - O tempo de resposta do sistema de comando parte do tempo total de resposta da mquina. O tempo de
resposta total necessrio da mquina pode influenciar o projeto da parte relacionada segurana, por exemplo, a
necessidade de aplicar um sistema de freio.
5.7 Parmetros relacionados segurana
Em adio aos requisitos das referncias dadas na tabela 1, deve ser aplicado tambm o seguinte:
- quando parmetros relacionados segurana (por exemplo, posio, velocidade, temperatura, presso) desviam dos
limites preestabelecidos, o sistema de comando deve iniciar medidas apropriadas (por exemplo, atuao da funo
parada, sinal de alarme, advertncia);
- se erros na entrada manual de dados, relacionados segurana, em sistemas eletrnicos programveis, podem levar
a situaes de perigo, devem ser previstos sistemas de checagem de dados no sistema relacionado segurana (por
exemplo, checagem de limites, formato e /ou entrada de valores lgicos).
5.8 Funo de comando local
Quando uma mquina comandada no local (por exemplo, por dispositivos de comando portteis, pendentes), os
seguintes requisitos tambm devem ser aplicados, em adio queles das referncias dadas na tabela 1:
- os meios para seleo do comando local devem estar situados fora da zona de perigo;
- no deve ser possvel iniciar condies perigosas fora da zona do comando local;
- a comutao entre comando local e externo (por exemplo, remoto) no deve criar uma situao de perigo.
10NBR 14153:1998 mando, com relao sua resistncia a falhas, baseado na estratgia descrita em 4.2.
A categoria B a categoria bsica. A ocorrncia de um defeito pode levar a perda da funo de segurana. Na
categoria 1, uma maior resistncia a defeitos alcanada predominantemente pela seleo e aplicao de
componentes. Nas categorias 2, 3 e 4, um desempenho melhorado, com relao funo de segurana especificada,
alcanado predominantemente pela melhoria da estrutura da parte relacionada segurana do sistema de comando.
Na categoria 2 isso conseguido pela checagem peridica de que a funo de segurana especificada esta sendo
cumprida. Nas categorias 3 e 4 isso conseguido pela garantia de que um defeito isolado no levar perda da
funo de segurana. Na categoria 4 e, sempre que razoavelmente praticvel, na categoria 3, tais defeitos sero
detectados. Na categoria 4 a resistncia ao acmulo de defeitos ser especificada.
A comparao direta do comportamento de resistncia a defeitos entre categorias apenas pode ser feita se for alterado
um parmetro por vez. Categorias mais altas apenas podem ser interpretadas como proporcionando uma maior
resistncia a defeitos em circunstncias comparveis (por exemplo, quando usando tecnologia similar, componentes de
confiabilidade comparvel, regimes similares de manuteno e aplicaes comparveis).
A tabela 2 oferece uma viso das categorias das partes de sistemas de comando relacionadas segurana, os
requisitos e o comportamento do sistema no caso de defeitos.
Quando se consideram as causas de falhas em alguns componentes, possvel a excluso de alguns defeitos (ver
seo 7).
6.2 Especificao das categorias 6.2.1 Categoria B
As partes de sistemas de comando relacionadas segurana, como mnimo, devem ser projetadas, construdas,
selecionadas, montadas e combinadas, de acordo com as normas relevantes, usando os princpios bsicos de
segurana para a aplicao especfica, de tal forma que resistam a:
- fadiga operacional prevista, como, por exemplo, a confiabilidade com respeito capacidade e freqncia de
comutao;
- influncia do material processado ou utilizado no processo, como, por exemplo, detergentes em mquinas de lavar;
- outras influncias externas relevantes, como, por exemplo, vibraes mecnicas, campos externos, distrbios ou
interrupo do fornecimento de energia.
1 No so aplicadas medidas especiais para segurana para as partes integrantes da categoria B.
2 Quando um defeito ocorre, ele pode levar perda da funo de segurana. Para atender aos requisitos do anexo A
da EN 292-2:1991, medidas adicionais, que no so proporcionadas pelas partes relacionadas segurana de
sistemas de comando, podem ser necessrias.
5.9 Pausa
A pausa no deve resultar na exposio de qualquer pessoa a uma situao de perigo.
Durante uma pausa, condies seguras devem ser asseguradas por outros meios.
Ao final da pausa, todas as funes de segurana das partes relacionadas segurana do sistema de comando devem
ser restabelecidas.
A categoria das partes relacionadas segurana que so responsveis pela funo pausa devem ser selecionadas, de
tal forma que a incluso da funo pausa no diminua a segurana requerida das funes relevantes de segurana.
NOTA - Em algumas aplicaes um sinal indicador de pausa necessrio.
5.10 Suspenso manual de funes de segurana
Se for necessria a suspenso manual de funes de segurana (por exemplo, para configurao, ajustes,
manuteno, reparos), os seguintes requisitos tambm devem ser aplicados, em adio aos requisitos das referncias
citadas na tabela 1:
- meios efetivos e seguros para impedir a suspenso manual nos modos de operao em que isso no for permitido;
- restabelecimento das funes de segurana das partes relacionadas segurana dos sistemas de comando, antes
que se possa continuar a operao normal;
- a parte relacionada segurana do sistema de comando responsvel pela suspenso manual deve ser selecionada,
de tal forma que os princpios da NBR 14009 sejam integralmente considerados.
NOTA - Em algumas aplicaes um sinal adicional de suspenso manual necessrio.
5.1 Flutuao, falta e retorno das fontes de alimentao
Em adio aos requisitos das referncias dadas na tabela 1, deve tambm ser aplicado o seguinte:
- quando ocorrem flutuaes no nvel de energia, alm dos limites considerados no projeto, incluindo o corte do
fornecimento de energia, as partes relacionadas segurana de sistemas de comando devem continuar a fornecer, ou
iniciar, sinais de sada, que habilitaro outras partes do sistema da mquina a manter um estado seguro.
6 Categorias 6.1 Generalidades
As partes relacionadas segurana de sistemas de comando devem estar de acordo com os requisitos de uma ou
mais das cinco categorias especificadas em 6.2. Essas categorias no objetivam sua aplicao em uma seqncia ou
hierarquia definidas, com relao aos requisitos de segurana.
As categorias determinam o comportamento requerido, das partes relacionadas segurana de sistemas de co-
NBR 14153:199811
6.2.2 Categoria 1
Devem ser aplicados os requisitos da categoria B e os desta subseo.
As partes de sistemas de comando relacionadas segurana, de categoria 1, devem ser projetadas e construdas
utilizando-se componentes bem ensaiados e princpios de segurana comprovados.
Um componente bem ensaiado para uma aplicao relacionada segurana aquele que tem sido:
- largamente empregado no passado, com resultados satisfatrios em aplicaes similares, ou
- construdo e verificado utilizando-se princpios que demonstrem sua adequao e confiabilidade para aplicaes
relacionadas segurana.
Em alguns componentes bem ensaiados, certos defeitos podem tambm ser excludos, em razo de ser conhecida a
incidncia de defeitos e esta ser muito baixa.
A deciso de se aceitar um componente particular como bem ensaiado pode depender de sua aplicao.
1 Ao nvel de componentes eletrnicos isolados, normalmente no possvel o enquadramento na categoria 1.
Princpios de segurana comprovados so, por exemplo:
- impedimento de certos defeitos, como, por exemplo, impedimento de curtos-circuitos por isolao;
- reduo da probabilidade de defeitos, como, por exemplo, superdimensionamento ou uma baixa solicitao de
componentes;
- pela orientao do modo de defeitos, como, por exemplo, pela garantia da abertura de um circuito, quando isso vital
para remover a energia no evento de defeitos;
- deteco precoce de defeitos;
- restringindo as conseqncias de um defeito, como, por exemplo, aterrando o equipamento.
Princpios de segurana e componentes de desenvolvimento recente podem ser considerados como equivalentes a
princpios comprovados e componentes bem ensaiados, se estes atendem s condies acima mencionadas.
2 A probabilidade de uma falha na categoria 1 menor que na categoria B. Conseqentemente a perda da funo de
segurana menos provvel.
3 Quando um defeito ocorre ele pode levar perda da funo de segurana. Para atender aos requisitos do anexo A
da EN 292-2:1991, medidas adicionais, que no so proporcionadas pelas partes relacionadas segurana de
sistemas de comando, podem ser necessrias.
6.2.3 Categoria 2
Devem ser aplicados os requisitos da categoria B, o uso de princpios de segurana comprovados e os requisitos desta
subseo.
As partes de sistemas de comando relacionadas segurana, de categoria 2, devem ser projetadas de tal forma que
sejam verificadas em intervalos adequados pelo sistema de comando da mquina. A verificao das funes de
segurana deve ser efetuada:
- na partida da mquina e antes do incio de qualquer situao de perigo, e
- periodicamente durante a operao, se a avaliao do risco e o tipo de operao mostrarem que isso necessrio.
O incio dessa verificao pode ser automtico ou manual. Qualquer verificao da(s) funo(es) de segurana deve:
- permitir a operao se nenhum defeito foi constatado, ou
- gerar um sinal de sada, que inicia uma ao apropriada do comando, se um defeito foi constatado. Sempre que
possvel, esse sinal deve comandar um estado seguro. Quando no for possvel comandar um estado seguro, como,
por exemplo, fuso de contatos no dispositivo final de comutao, a sada deve gerar um aviso do perigo.
A verificao por si s no deve levar a uma situao de perigo. O equipamento de verificao pode ser parte
integrante, ou no, da parte(s) relacionada(s) segurana, que processa(m) a funo de segurana.
Aps a deteco de um defeito, o estado seguro deve ser mantido at que o defeito tenha sido sanado.
1 Em alguns casos a categoria 2 no aplicvel, em razo de no ser possvel a verificao a todos os componentes,
como, por exemplo, pressostatos ou sensores de temperatura.
2 Em geral, a categoria 2 pode ser alcanada com tcnicas eletrnicas, como, por exemplo, em equipamento de
proteo e sistemas especficos de comando.
3 O comportamento de sistema de categoria 2 permite que:
- a ocorrncia de um defeito leve perda da funo de segurana entre as verificaes;
- a perda da funo de segurana detectada pela verificao.
6.2.4 Categoria 3
Devem ser aplicados os requisitos da categoria B, o uso de princpios comprovados de segurana e os requisitos desta
subseo.
Partes relacionadas segurana de sistemas de comando de categoria 3 devem ser projetadas de tal forma que um
defeito isolado, em qualquer dessas partes, no leve perda das funes de segurana. Defeitos de modos comuns
devem ser considerados, quando a probalidade da ocorrncia de tal defeito for significante. Sem-
12NBR 14153:1998 pre que, razoavelmente praticvel, o defeito isolado deve ser detectado durante ou antes da
prxima solicitao da funo de segurana.
1 Este requisito de deteco do defeito isolado no significa que todos os defeitos sero detectados.
Conseqentemente, o acmulo de defeitos no detectados pode levar a um sinal de sada indesejado e a uma situao
de perigo na mquina. Exemplos tpicos de medidas utilizadas para a deteco de defeitos so os movimento
conectados de rels de contato ou a monitorao de sadas eltricas redundantes.
2 Se necessrio, em razo da tecnologia e aplicao, os elaboradores de normas do tipo C devem fornecer maiores
detalhes sobre a deteco de defeitos.
3 O comportamento de sistema de categoria 3 permite que:
- quando o defeito isolado ocorre, a funo de segurana sempre cumprida;
- alguns, mas no todos, defeitos sejam detectados;
- o acmulo de defeitos no detectados leve perda da funo de segurana.
4 Sempre que razoavelmente praticvel significa que as medidas necessrias para deteco de defeitos e o mbito
em que so implementadas depende, principalmente, da conseqncia de um defeito e da probabilidade da ocorrncia
desse defeito, dentro dessa aplicao. A tecnologia aplicada ir influenciar as possibilidades da implementao da
deteco de defeitos.
6.2.5 Categoria 4
Devem ser aplicados os requisitos da categoria B, o uso de princpios comprovados de segurana e os requisitos desta
subseo.
Partes de sistemas de comando relacionadas segurana, de categoria 4, devem ser projetadas de tal forma que:
- uma falha isolada em qualquer dessas partes relacionadas segurana no leve perda das funes de segurana,
e
- a falha isolada detectada antes ou durante a prxima atuao sobre a funo de segurana, como, por exemplo,
imediatamente, ao ligar o comando, ao final do ciclo de operao da mquina. Se essa deteco no for possvel, o
acmulo de defeitos no deve levar perda das funes de segurana.
Se a deteco de certos defeitos no for possvel ao menos durante a verificao seguinte ocorrncia do defeito, por
razes de tecnologia ou engenharia de circuitos, a ocorrncia de defeitos posteriores deve ser admitida. Nessa
situao, o acmulo de defeitos no deve levar perda das funes de segurana.
A reviso de defeitos pode ser suspensa, quando a probabilidade de ocorrncia de defeitos posteriores, for
considerada como sendo suficientemente baixa. Nesse caso, o nmero de defeitos, em combinao, que precisam ser
levados em considerao, depender da tecnologia, estrutura e aplicao, mas deve ser suficiente para atingir o
critrio de deteco.
1 Na prtica, o nmero de defeitos; que precisam ser considerados variar consideravelmente; por exemplo, no caso
de circuitos complexos de microprocessadores, um grande nmero de defeitos pode existir, porm em um circuito
eletroidrulico, a considerao de trs (ou mesmo dois) defeitos pode ser suficiente.
Essa reviso de defeitos pode ser limitada a dois defeitos em combinao, quando:
- a taxa de defeitos de componentes for baixa, e
- os defeitos em combinao so bastante independentes uns dos outros, e
- a interrupo da funo de segurana ocorre somente quando os defeitos aparecem em uma certa ordem.
Se defeitos posteriores ocorrerem como resultado do primeiro defeito isolado, o primeiro e todos os defeitos
conseqentes devem ser considerados como defeitos isolados.
Defeitos de modo comum devem ser levados em considerao, por exemplo, utilizando diversidade, procedimentos
especiais para identificar tais defeitos.
2 No caso de estruturas de circuitos complexos (por exemplo, microprocessadores, redundncias completas), a reviso
de defeitos geralmente executada em nvel estrutural, isto , baseado em grupos de montagem.
3 O comportamento de sistema de categoria 4 permite que:
- quando os defeitos ocorrerem, a funo de segurana seja sempre processada;
- os defeitos sero detectados a tempo de impedir a perda da funo de segurana.
NBR 14153:199813
Tabela 2 - Resumo dos requisitos por categorias (para requisitos plenos, ver seo 6)
Categoria1)Resumo de requisitosComportamento doPrincpios para atingir a sistema2) segurana
BPartes de sistemas de comando, relacionadasA ocorrncia de umPrincipalmente (ver 6.2.1) segurana e/ou seus
equipamentos de proteo,defeito pode levarcaracterizado pela bem como seus componentes, devem ser perda da
funoseleo de componentes projetados, construdos, selecionados, montados ede segurana combinados de
acordo com as normas relevantes, de tal forma que resistam s influncias esperadas
1Os requisitos de B se aplicamA ocorrncia de um (ver 6.2.2)Princpios comprovados e componentes dedefeito pode
levar segurana bem testados devem ser utilizadosperda da funo de segurana, porm a probabilidade de
ocorrncia menor que para a categoria B
2Os requisitos de B e a utilizao de princpios de- A ocorrncia de umPrincipalmente (ver 6.2.3)segurana
comprovados se aplicamdefeito pode levar caracterizado perda da funo de pela estrutura
A funo de segurana deve ser verificada emsegurana entre intervalos adequados pelo sistema de comandoas
verificaes da mquina
- A perda da funo de segurana detectada pela verificao
3Os requisitos de B e a utilizao de princpios- Quando um defeitoPrincipalmente (ver 6.2.4) de segurana
comprovados se aplicam isolado ocorre, acaracterizado pela funo de segurana estrutura
As partes relacionadas segurana devem sempre cumprida ser projetadas de tal forma que:
- um defeito isolado em qualquer dessas- Alguns defeitos, partes no leve perda da funo de segurana, eporm
no todos, sero detectados
- sempre que razoavelmente praticvel, o- O acmulo de defeitos defeito isolado seja detectado no detectados pode
levar perda da funo de segurana
4Os requisitos de B e a utilizao de princpios de- Quando os defeitosPrincipalmente (ver 6.2.5)segurana
comprovados se aplicamocorrem, a funo decaracterizado segurana sempre pela estrutura cumprida
As partes relacionadas segurana devem ser- Os defeitos sero projetadas de tal forma que:detectados a tempo de
impedir a perda das - um defeito isolado em qualquer dessas partes funes de segurana no leve perda da funo
de segurana, e
- o defeito isolado seja detectado durante ou antes da prxima demanda da funo de segurana. Se isso no for
possvel, o acmulo de defeitos no pode levar perda das funes de segurana
1) As categorias no objetivam sua aplicao em uma seqncia ou hierarquia definidas, com relao aos requisitos de
segurana. 2) A apreciao dos riscos indicar se a perda total ou parcial da(s) funo(es) de segurana,
conseqente de defeitos, aceitvel.
14NBR 14153:1998
6.3 Seleo e combinao de partes relacionadas segurana de diferentes categorias
As funes de segurana (ver 3.6 e seo 5) so especificadas pelo procedimento descrito em 4.3 (figura 1, passo 3).
Categorias de acordo com 6.2 devem ser selecionadas para todas as partes do sistema de comando relacionadas
segurana. O projeto e a seleo de partes relacionadas segurana do sistema de comando devem ser feitos de
acordo com as sees 4 e 5. Uma funo de segurana isolada pode ser processada por uma ou mais partes
relacionadas segurana. De forma similar, vrias funes de segurana podem ser processadas por uma ou mais
partes relacionadas segurana. Na prtica pode ser necessrio implementar uma ou mais funes de segurana para
atingir a reduo do risco.
Quando uma funo de segurana processada por vrias partes relacionadas segurana, como, por exemplo,
sensores, unidade de comando, elementos de controle de potncia, essas partes podem ser de uma categoria e/ou de
diferentes categorias em combinao.
Quando partes relacionadas segurana de mesma ou diferentes categorias so usadas em combinao para atender
a uma funo de segurana, uma anlise da combinao deve ser includa na validao geral requerida no passo 5 de
4.3. Essa anlise mais simples se as categorias de algumas ou de todas as partes relacionadas segurana j forem
conhecidas.
A seleo de uma categoria para uma parte especfica relacionada segurana do sistema de comando depende
principalmente de:
- reduo de risco a ser atingida pela funo de segurana, para a qual a parte contribui;
- probabilidade de ocorrncia de defeito(s) nessa parte;
- aumento de risco, no caso de defeito(s) nessa parte;
- possibilidades de evitar defeito(s) nessa parte;
- tecnologia aplicada.
Informao adicional para a seleo de categorias dada no anexo A.
7 Considerao de defeitos 7.1 Generalidades
De acordo com a categoria requerida, as partes relacionadas segurana devem ser selecionadas como funo de
suas habilidades em resistir a defeitos (ver 4.2). Para avaliar sua habilidade em resistir a defeitos, os vrios modos de
falhas devem ser considerados. Certos defeitos tambm podem ser excludos (ver 7.2).
O anexo C lista alguns dos defeitos e falhas significantes para as vrias tecnologias. A lista de defeitos relacionada no
anexo C no exclusiva e, se necessrio, defeitos adicionais devem ser considerados e listados. Em tais casos, o
mtodo de validao deve tambm ser claramente elaborado.
De maneira geral, o seguinte critrio de defeitos deve ser levado em considerao:
- se, como conseqncia de um defeito, outros componentes falham, o primeiro defeito e os defeitos seguintes devem
ser considerados como um defeito isolado;
- defeitos de modo comum so considerados como defeito isolado;
- no considerada a ocorrncia simultnea de dois defeitos independentes.
Para informaes detalhadas, ver EN 982 e EN 983. 7.2 Excluso de defeitos
impraticvel a avaliao das partes de sistemas de comando relacionadas segurana, sem assumir que certos
defeitos podem ser excludos. Os defeitos que podem ser excludos so um compromisso entre os requisitos tcnicos
para segurana e as possibilidades tericas de ocorrncia. Isso influenciado pelo projeto, dimensionamento,
instalao e arranjo dos componentes nas partes relacionadas segurana. O projetista deve declarar, justificar e listar
todas as excluses de defeitos relevantes.
A excluso de defeitos pode ser baseada em: - improbabilidade de ocorrncia de certos defeitos;
- experincia tcnica genrica, que pode ser considerada independentemente da aplicao em questo;
- requisitos tcnicos conseqentes da aplicao e o risco especfico sob considerao.
8 Validao 8.1 Generalidades Esta seo explica os requisitos do passo 5 na seo 4.
A finalidade da validao a determinao do nvel de conformidade da especificao das partes relacionadas
segurana do sistema de comando, com referncia aos requisitos de segurana especificados para a mquina. A
validao consiste na execuo de ensaios e aplicao de anlises, de acordo com o plano de validao (ver 8.2).
O projeto das partes relacionadas segurana do sistema de comando deve ser validado. A validao deve
demonstrar que as partes relacionadas segurana atingem:
-todos os requisitos da categoria especfica (ver seo 6), e
- as caractersticas de segurana especificadas para a parte, como definido nos princpios de projeto.
NBR 14153:199815
A validao das partes relacionadas segurana de sistemas de comando deve conter os seguintes elementos:
- seleo da estratgia de validao (um plano de validao);
- gerenciamento e execuo de atividades de validao (especificao de ensaios, procedimentos de ensaios,
procedimentos de anlises);
- documentao (relatrios auditveis de todas as atividades de validao e decises).
8.2 Plano de validao
O plano de validao deve identificar os requisitos para a efetivao de todos os estgios do processo de validao. O
plano deve ser desenvolvido em paralelo ao projeto da parte relacionada segurana do sistema de comando ou pode
ser especificado em normas relevantes do tipo C. O plano deve incluir uma descrio de todos os requisitos para:
a) validao por anlise; b) validao por ensaios, incluindo: 1) ensaio da funo de segurana especificada; 2) ensaio
da categoria especificada;
3) ensaio do dimensionamento e conformidade a parmetros ambientais.
8.3 Validao por anlise
Em geral, anlises so necessrias para validar o alcance da reduo do risco. Exemplos de ferramentas de anlise
incluem lista de defeitos (ver seo 7), rvore de anlise de defeitos, modo de falhas e anlise de efeitos, anlise crtica
e lista de verificao para defeitos sistemticos.
8.4 Validao por ensaio 8.4.1 Ensaio das funes de segurana especificadas
Um passo importante o ensaio das funes de segurana (das partes relacionadas segurana de sistemas de
comando), para completa conformidade com suas caractersticas especificadas. importante a verificao, quanto a
erros e particularmente por omisses, quando da formulao da especificao e durante o desenvolvimento da
mquina.
O propsito do ensaio das funes de segurana para assegurar que os sinais de sada relacionados segurana
esto corretos e logicamente dependentes dos sinais de entrada. Os ensaios devem abranger todas as condies
normais e as anormais previsveis na simulao esttica e dinmica, como necessrio da apreciao de riscos, para
validar o sistema.
8.4.2 Ensaio das categorias especificadas
As categorias baseiam-se sobre o comportamento no evento de um defeito. O ensaio deve demonstrar que esse
requisito atendido. Os procedimentos de ensaio devem ser escolhidos baseados em dois critrios: tecnologia e
complexidade do sistema de comando. Principalmente, os seguintes mtodos se aplicam:
- uma verificao terica e uma anlise do comportamento dos diagramas de circuitos;
- ensaios prticos do circuito atual e simulao de defeitos dos componentes atuais, particularmente em reas de
dvidas, do comportamento identificado durante a verificao e anlise terica;
- uma simulao do comportamento do sistema, por exemplo, por meio do hardware e/ou modelos de software.
Em algumas aplicaes, quando as partes relacionadas segurana de sistemas de comando forem conectadas de
forma complexa, usualmente necessrio dividir as partes relacionadas segurana conectadas em vrios
subsistemas funcionais e submeter exclusivamente as interfaces aos ensaios de simulao de defeitos.
Um guia para avaliao de sistemas eletrnicos programveis dado no anexo E.
8.4.3 Ensaio de dimensionamento e conformidade com parmetros ambientais
Esses ensaios devem demonstrar que o desempenho especificado no projeto alcanado em todos os modos de
operao e condies ambientais especificadas. Os ensaios devem incluir, por exemplo, ensaio da estrutura mecnica,
tenso nominal, temperatura, umidade, vibrao, impacto, compatibilidade eletromagntica e influncia dos materiais
processados.
8.5 Relatrio de validao
Na concluso do processo de validao, um relatrio de validao sobre segurana deve ser elaborado, resumindo os
ensaios e anlises, indicando quais foram integralmente executados, incluindo seus resultados. O relatrio deve
identificar especificamente:
- todos os itens ensaiados;
- pessoal responsvel pelos ensaios;
- equipamento de ensaio (incluindo detalhes de calibrao) e ferramentas de simulao;
- anlises e ensaios executados;
- problemas encontrados e como foram resolvidos.
Os resultados devem ser documentados e arquivados em forma auditvel.
NOTA - A conformidade com 8.5 ajudar o fabricante na atualizao do arquivo tcnico da construo, com respeito s
partes relacionadas segurana de sistemas de comando.
16NBR 14153:1998
9 Manuteno
Manuteno preventiva ou corretiva usualmente necessria para manter o desempenho especificado das partes
relacionadas segurana. Com o tempo, o desvio do desempenho especificado pode levar deteriorao da
segurana ou a situaes de perigo. Para identificar tais desvios, inspees manuais peridicas so, algumas vezes,
necessrias.
As condies para a manuteno de partes relacionadas segurana de sistemas de comando devem seguir os
princpios da EN 292-2. Todas as informaes para manuteno devem obedecer EN 292-2.
10 Informaes para utilizao
A EN 292-2 e outros documentos relevantes (por exemplo, a EN 60204-1) devem ser aplicados. Em particular, as
informaes importantes para o uso seguro das partes relacionadas segurana do sistema de comando devem ser
fornecidas ao usurio. Isso inclui, mas no limitado a:
- limites da(s) categoria(s) selecionada(s) das partes relacionadas segurana, incluindo qualquer excluso de defeito;
NOTA - Quando a excluso de defeitos essencial na manuteno da(s) categoria(s) selecionada(s) e no desempenho
da segurana, informao apropriada (por exemplo, modificao, manuteno e reparo) ser necessria para
assegurar a continuada justificativa da excluso de defeito.
- efeitos dos desvios do desempenho especificado sobre as funes de segurana;
- descrio clara da interface entre as partes relacionadas segurana do sistema de comando e dispositivos de
proteo;
- tempo de resposta;
- limites de operao (incluindo condies ambientais);
- indicao e alarmes;
- pausa e suspenso das funes de segurana;
- modos de comando;
- manuteno (ver seo 9);
- listas de verificao para manuteno;
- facilidade de acesso e substituio de partes internas;
- meios para fcil e segura eliminao de problemas.
Sempre que se fornecerem informaes sobre as categorias de partes relacionadas segurana do sistema de
comando, devem ser referendadas da seguinte forma:
- NBR 14153 Categoria B;
- NBR 14153 Categoria 1;
- NBR 14153 Categoria 2;
- NBR 14153 Categoria 3;
- NBR 14153 Categoria 4.
NBR 14153:199817
Anexo A (informativo) Questionrio para o processo de projeto
Esse anexo lista alguns aspectos importantes que devem ser considerados durante o processo de projeto (ver 4.3).
A.1 Que reao necessria da parte relacionada segurana do sistema de comando, quando um defeito ocorre? a)
No necessria qualquer ao especial.
b) Reao de segurana necessria dentro de um certo tempo.
c) Reao de segurana imediatamente necessria.
A.2 Em que parte(s) relacionada(s) segurana de sistemas de comando os defeitos devem ser admitidos? a)
Somente naquelas partes em que (por experincia) os defeitos ocorrem com relativa freqncia, como, por exemplo,
nos sensores e cabeamento perifrico.
b) Em partes auxiliares. c) Em todas as partes relacionadas segurana.
A.3 Foram considerados os defeitos sistemticos e os ocasionais?
A.4 Que defeitos devem ser admitidos nos componentes das partes relacionadas segurana do sistema de
comando? a) Defeitos apenas nos componentes que no foram bem ensaiados.
NOTA - Bem ensaiados no no sentido de confiabilidade, mas sob o ponto de vista de segurana (ver 6.2.2).
b) Defeitos em todos os componentes.
A.5 Foi selecionada a correta categoria de referncia com respeito aos requisitos para a deteco de defeitos? a)
Requisitos normais para a deteco de defeitos.
NOTA - Isso significa que todos os defeitos que podem ser detectados com mtodos relativamente simples devem ser
detectados.
b) Requisitos severos para a deteco de defeitos.
NOTA - Isso significa que tcnicas devem ser empregadas para possibilitar a deteco da maioria dos defeitos. Se isso
no for razoavelmente praticvel, a combinao de defeitos deve ser admitida (acmulo de defeitos - ver 6.2.5).
A.6 Qual deve ser a ao seguinte do sistema de comando, se um defeito foi constatado? a) A mquina deve ser
levada a um estado predeterminado, conforme requerido pela avaliao de riscos.
b) A operao posterior da mquina pode ser permitida at o reparo do defeito.
c) A indicao do(s) defeito(s) suficiente (por exemplo, sinal de advertncia por unidade visual).
A.7 O que necessrio para atingir os requisitos de manuteno? a) Fornecimento de informaes sobre os efeitos de
desvios das especificaes de projeto.
b) Indicao automtica da necessidade de manuteno.
c) Fixao da freqncia de manuteno. d) Informao da vida de componentes.
e) Fornecimento de meios de diagnose e pontos de ensaio.
f) Precaues especiais para segurana durante a manuteno.
A.8 Que mtodos devem ser empregados para a deteco de defeitos? a) Deteco automtica de defeitos, na medida
em que for necessrio.
b) Deteco manual de defeitos, por exemplo, por inspeo peridica.
c) Por mais de um mtodo.
A.9 A reduo de risco foi atingida? a) Pode a reduo do risco ser atingida mais facilmente com uma diferente
combinao de medidas de reduo do risco? b) Verificar se as medidas implementadas:
- no reduzem a habilidade da mquina em desenvolver sua funo;
- no geram perigos ou problemas novos ou inesperados.
c) As solues so vlidas para todas as condies de operao e para todos os procedimentos? d) Essas solues
so compatveis com cada uma das outras? e) A especificao de segurana est correta?
18NBR 14153:1998
A.10 Foram considerados princpios ergonmicos? a) As partes relacionadas segurana do sistema de comando,
incluindo os dispositivos de proteo, oferecem facilidade de uso? b) O acesso ao sistema de comando fcil e
seguro? c) Foi dada prioridade aos sinais de advertncia (por exemplo realados)?
A.1 Foram as relaes entre segurana, confiabilidade, disponibilidade e ergonomia otimizadas, de tal forma que as
medidas de segurana sejam mantidas durante a vida do sistema e no incentivem a usurios a anulao das funes
de segurana?
NBR 14153:199819
Anexo B (informativo) Guia para a seleo de categorias
B.1 Generalidades
Este anexo descreve um mtodo simplificado baseado na NBR 14009 (particularmente com relao simplificao dos
elementos de risco) para seleo de categorias apropriadas como ponto de referncia para o projeto das diversas
partes relacionadas segurana de sistemas de comando.
O guia deste anexo deve ser considerado como parte da apreciao do risco dada na NBR 14009 e no como um
substituto para a mesma.
importante que o projeto de partes relacionadas segurana de sistema de comando, incluindo a seleo de
categorias, como descrito na seo 4, seja baseado na apreciao dos riscos, utilizando seus princpios dados na NBR
14009, e seja parte da apreciao do risco total da mquina.
A quantificao do risco usualmente muito difcil ou impossvel e este mtodo apenas diz respeito contribuio para
a reduo do risco, feita pelas partes relacionadas segurana de sistemas de comando. Este mtodo fornece apenas
uma estimativa da reduo do risco e tem a inteno de orientar o projetista e o elaborador de normas a escolher a
categoria, baseado em seu comportamento, no caso de um defeito. Entretanto, isso apenas um aspecto e outras
influncias tambm iro contribuir para a avaliao de que a adequada segurana tenha sido atingida. Isso inclui, por
exemplo, confiabilidade de componentes, tecnologia aplicada, aplicao particular, as quais podem indicar um desvio
da categoria, antecipadamente escolhida.
O mtodo como segue:
A severidade do ferimento (representada por S) relativamente fcil de ser estimada (por exemplo, lacerao,
amputao, fatalidade).
Para a freqncia da ocorrncia, parmetros auxiliares so usados para melhorar a estimativa. Esses parmetros so:
A experincia tem mostrado que esses parmetros podem ser combinados, como mostrado na figura B.1, para
fornecer uma graduao do risco, de baixo a alto. enfatizado que isso um processo qualitativo, que fornece apenas
uma estimativa do risco.
Na figura B.1, a categoria preferencial indicada por um crculo maior totalmente cheio. Em algumas aplicaes o
projetista, ou o elaborador de normas do tipo C, pode desviar para outra categoria, indicada por um crculo totalmente
preenchido menor, ou um crculo maior, vazio. Outras, diferentes das categorias preferenciais, podem ser utilizadas
(ver 6.3), porm o comportamento pretendido do sistema na ocorrncia de defeitos deve ser mantido. As razes para o
desvio devem ser expostas. Essas razes para a seleo de outra categoria com relao preferencial podem ser a
aplicao de outra tecnologia, como, por exemplo, componentes hidrulicos ou eletromecnicos bem ensaiados
(categoria 1), em combinao com sistemas eltricos ou eletrnicos (categoria 3 ou 4). Quando categorias indicadas
com um crculo pequeno na figura B.1 forem selecionadas, medidas adicionais podem ser necessrias, como, por
exemplo:
- superdimensionamento ou aplicao de tcnicas, que levem excluso de defeitos;
- utilizao de monitorao dinmica.
Por exemplo, uma estimativa de risco, com um parmetro S1 (ver B.2.1), determina uma categoria da parte relacionada
segurana do sistema de comando como categoria 1. Em algumas aplicaes, o projetista ou o elaborador de
normas do tipo C pode escolher a categoria B pela utilizao de outras medidas de proteo.
B.2 Guia para a seleo dos parmetros S, F e P para a estimativa do risco
B.2.1 Severidade do ferimento S1 e S2
Na estimativa do risco proveniente de um defeito na parte relacionada segurana de um sistema de comando,
apenas ferimentos leves (normalmente reversveis) e ferimento srios (normalmente irreversveis, incluindo a morte)
so considerados.
Para tomar uma deciso, as conseqncias usuais de acidentes e processos normais de cura devem ser levadas em
considerao na determinao de S1 e S2, por exemplo, contuses e/ou laceraes, sem complicaes devem ser
classificadas como S1, enquanto que uma amputao ou morte deve ser classificada como S2.
B.2.2 Freqncia e/ou tempo de exposio ao perigo F1 e F2
Um perodo de tempo geralmente vlido para a escolha do parmetro F1 ou F2 no pode ser especificado. Entre-tanto,
a seguinte explicao pode ajudar a tomar a deciso correta, em caso de dvida.
F2 deve ser selecionado, se a pessoa estiver, freqentemente ou continuadamente, exposta ao perigo. irrelevante se
a mesma pessoa ou pessoas diferentes estiverem expostas ao perigo em sucessivas ocasies, como, por exemplo,
para a utilizao de elevadores.
O perodo de exposio ao perigo deve ser avaliado com base no valor mdio observado, com relao ao perodo total
de utilizao do equipamento. Por exemplo, se for necessrio acessar regularmente as ferramentas da mquina
durante sua operao cclica, para a alimentao e movimentao de peas, F2 deve ser selecionado. Se o acesso
somente for necessrio de tempo em tempo, pode-se selecionar F1.
20NBR 14153:1998
B.2.3 Possibilidade de evitar o perigo P
Quando um perigo aparece, importante saber se ele pode ser reconhecido e quando pode ser evitado, antes de levar
a um acidente. Por exemplo, uma importante considerao se o perigo pode ser diretamente identificado por suas
caractersticas fsicas ou por meios tcnicos, por exemplo, indicadores. Outro aspecto importante que influencia a
seleo do parmetro P inclui, por exemplo:
- operao com ou sem superviso;
- operao por especialistas ou por no profissionais;
- velocidade com que o perigo aparece, por exemplo, rapidamente ou lentamente;
- possibilidades de se evitar o perigo, por exemplo, por fuga ou por interveno de terceiros;
- experincias prticas de segurana relativas ao processo.
Quando uma situao de perigo ocorre, P1 deve apenas ser selecionado se houver uma chance real de se evitar um
acidente ou reduzir significativamente o seu efeito. P2 deve ser selecionado se praticamente no houver chance de se
evitar o perigo.

S Severidade do ferimento
S1 Ferimento leve (normalmente reversvel) S2 Ferimento srio (normalmente irreversvel) incluindo morte
F Freqncia e/ou tempo de exposio ao perigo
F1 Raro a relativamente freqente e/ou baixo tempo de exposio F2 Freqente a contnuo e/ou tempo de exposio
longo
P Possibilidade de evitar o perigo
P1 Possvel sob condies especficas P2 Quase nunca possvel
B, 1 a 4 Categorias para partes relacionadas segurana de sistemas de comando

Categorias preferenciais para pontos de referncia (ver 4.2) Categorias possveis que requerem medidas adicionais
(ver B.1) Medidas que podem ser superdimensionadas para o risco relevante Figura B.1 - Seleo possvel de
categorias
Ponto de partida para a estimativa do risco para partes relacionadas segurana de sistemas de comando (ver 4.3
passo 3)
NBR 14153:199821
Anexo C (informativo) Lista de alguns dos defeitos e falhas significantes para vrias tecnologias
C.1 Componentes eletroeletrnicos Alguns defeitos e falhas a considerar so:
- curto-circuito ou circuito aberto, por exemplo, falta de terra (curto-circuito para o condutor de proteo ou para uma
parte condutiva), circuito aberto de qualquer condutor;
- curto-circuito ou circuito aberto, ocorrendo em componentes isolados, como, por exemplo, em interruptores,
equipamento de controle e regulagem, atuadores da mquina, rels;
- no desacionamento ou no acionamento de elementos eletromagnticos, como, por exemplo, contatores, rels,
solenides;
- no partida ou no parada de motores, como, por exemplo, servomotores;
- bloqueio mecnico de elementos mveis, soltura ou desmontagem de elementos, como, por exemplo, chaves de
posio;
- desvio, alm da tolerncia de valores para elementos analgicos, como, por exemplo, resistores, capacitores,
transistores;
- oscilao (instabilidade) de sinais de sada em componentes integrados;
- perda total ou parcial de funo (pior caso), em componentes integrados complexos, como, por exemplo,
microprocessadores, sistemas eletrnicos programveis, aplicaes de circuitos integrados especficos.
C.2 Componentes hidrulicos e pneumticos Alguns defeitos e falhas a considerar so:
- no comutao ou comutao incompleta do elemento mvel, como, por exemplo, engripamento de pisto de vlvula;
- desvio de posio de controle original do elemento mvel, como, por exemplo, em vlvulas direcionais de controle;
- vazamento e modificao do volume do fluxo de vazamento, como, por exemplo, em vlvulas direcionais de controle;
- caractersticas de controle instveis em servovlvulas ou vlvulas proporcionais;
- perda de presso ou rompimento de linhas, como, por exemplo, mangueiras, tubos ou em suas conexes;
- obstruo do elemento filtrante (em particular causado por substncias slidas);
- presso e/ou volume de fluxo anormais, como, por exemplo, em bombas hidrulicas, motores hidrulicos,
compressores, cilindros;
- falha ou modificao anormal das caractersticas dos sinais de entrada ou sada em sensores, como, por exemplo,
pressostatos.
C.3 Componentes mecnicos Alguns defeitos e falhas a considerar so: - quebra de molas;
- engripamento ou endurecimento de componentes mveis de guias;
- soltura de fixaes, por exemplo, em vibrao;
- desgaste, por exemplo, em roldanas, fechos, rolamentos;
- desalinhamento de peas;
- influncias ambientais, como, por exemplo, corroso, temperatura.
22NBR 14153:1998
Anexo D (informativo) Relao entre segurana, confiabilidade e disponibilidade para mquinas
Os conceitos de segurana, confiabilidade e disponibilidade podem ser descritos da seguinte forma:
- Segurana de uma mquina sua habilidade em desempenhar sua funo, ser transportada, instalada, ajustada,
sofrer manuteno, ser desmontada e desativada de suas condies de utilizao previstas, especificadas em seu
manual de instrues (e, em alguns casos, durante um determinado perodo de tempo, indicado no manual de
instrues), sem causar ferimentos ou danos sade (ver EN 292-1).
- Confiabilidade a habilidade da mquina ou componentes, ou equipamentos, em desempenhar uma determinada
funo, sem falhas, sob condies especificadas para um dado perodo de tempo (ver EN 292-1)
- Disponibilidade a habilidade de um item estar no estado adequado para desempenhar uma determinada funo,
sob condies determinadas, em um dado instante ou em um intervalo de tempo, assumindo-se que os recursos
externos necessrios so fornecidos (ver IEC 50(191).
A segurana abrange as causas e conseqncias de possveis acidentes (ferimentos ou danos sade). Requisitos de
segurana esto relacionados a conceber um sistema que no cause acidentes. Os requisitos de segurana
asseguram que o sistema no alcanar um estado de perigo ou inseguro, quando um evento pode causar um
acidente. Os requisitos de segurana devem indicar quais as aes a serem tomadas, se um evento imprevisto no
ambiente levar a um estado inseguro.
Do ponto de vista de segurana no importa se o sistema no cumpre sua finalidade, contanto que os requisitos de
segurana no sejam violados. Por outro lado, possvel que o sistema seja altamente confivel, mas inseguro; por
exemplo, um sistema com software formalmente verificado, porm onde uma situao relacionada segurana no foi
adequadamente especificada.
A disponibilidade influencia a segurana. A disponibilidade de um sistema implica que a confiabilidade relacionada
segurana desempenhada; caso contrrio, o dispositivo de proteo pode ser desativado.
O projetista tem a responsabilidade de decidir, para cada aplicao, a relao entre disponibilidade, confiabilidade e
segurana, para assegurar que a reduo do risco seja alcanada.
NBR 14153:199823
Anexo E (informativo) Bibliografia
Segue abaixo uma relao de publicaes que fornece informaes adicionais sobre partes relacionadas segurana
de sistema de comando.
E.1 Publicaes sobre sistemas eletrnicos programveis
- EN 61000-4-1 - Eletromagnetic compatibility (EMC) - Part 4: Testing and measurement techniques - Section 1:
Overview of immunity tests - Basic EMC publication (IEC 1000-4-1 : 1992)
- IEC 1508 - Functional safety: safety-related systems (provisonal title)
- DIN V VDE 0801 - Principles for computers in safety related computer systems, January 1990
- HSE Guidelines - Programmable Eletronic Systems in Safety Related Applications Part 1 (ISBN 0 1 883906 6) and
Part 2 (ISBN 0 1 883906 3)
- Personal Safety in Microprocessor Control Systems (CECR - 184, Elektronikcentralen, Denmark)
E.2 Outras publicaes - IEC 68 Basic environmental testing procedures