Resumo técnico
Pontos-chave:

O artigo apresenta a NP EN IEC 61508 como base da metodologia de minimização do risco e de determinação do SIL ao longo de todo o ciclo de vida do sistema. Indica ligações com normas setoriais (incluindo EN 5012x, NP EN 61511, IEC 61513, DO-178C/DO-254) e exemplos de aplicação.

  • NP EN IEC 61508 é uma norma-base universal de segurança funcional para sistemas E/E/PE.
  • Define 4 pilares: o ciclo de vida da segurança, os níveis SIL, a gestão da segurança e a documentação.
  • Pode ser adaptada a muitos setores: máquinas, ferrovia, indústria de processos, energia (incluindo a nuclear) e automação.
  • Nas máquinas, apoia a abordagem segundo as normas NP EN 62061 e NP EN ISO 13849-1 (avaliação de riscos, integridade, redundância).
  • Salienta os requisitos relativos à independência dos canais, à prevenção de causas comuns de falha e à competência das pessoas que executam os trabalhos.

NP EN IEC 61508 (ing. IEC 61508) é uma norma frequentemente considerada a “base” para outros documentos setoriais relacionados com a segurança funcional. Define princípios para minimizar o risco em sistemas de controlo baseados em tecnologia elétrica, eletrónica ou eletrónica programável (E/E/PE). As suas disposições assentam em quatro pilares:

  1. Ciclo de vida da segurança (Safety Lifecycle)
    – desde o conceito inicial e a análise de perigos até à retirada do sistema de serviço.
  2. Níveis de Integridade de Segurança (SIL)
    – atribuídos às funções de segurança para definir requisitos de fiabilidade.
  3. Gestão da segurança funcional
    – funções, responsabilidades, procedimentos de verificação e revisões de competências claramente definidos.
  4. Documentação
    – criação, arquivo e atualização de todos os dados e relatórios relevantes para a exploração e para eventuais inspeções.

Estes pressupostos fazem com que a 61508 não se aplique apenas a um único setor. Pelo contrário: a norma foi concebida para poder ser adaptada às especificidades de diferentes indústrias — desde a de máquinas, passando pela ferroviária e pela aeronáutica, até à energia (incluindo a nuclear) e à automação de processos (ver também Automação industrial).

Aplicação em diferentes setores

Máquinas e linhas de produção: NP EN 62061 e NP EN ISO 13849

No que diz respeito ao projeto de máquinas e de linhas de produção, é comum recorrer a:

  • NP EN 62061 – “Segurança de máquinas — Segurança funcional de sistemas de comando elétricos, eletrónicos e eletrónicos programáveis relacionados com a segurança”,
  • NP EN ISO 13849-1 – que descreve o “Performance level” (PL).

Ambas as normas assentam, em grande medida, em conceitos da 61508, sobretudo no que respeita à avaliação de risco, à definição da integridade de segurança e aos princípios de redundância.

Exemplos práticos:

  • Linha automática de embalagem: utilizam-se cortinas de luz e botões de paragem de emergência, e o sistema de controlo é concebido para que, em caso de interrupção do feixe, as máquinas parem de imediato, de forma segura.
  • Robôs colaborativos (cobots): requisitos adicionais quanto à reação ao contacto com pessoas, muitas vezes considerando SIL 2 ou SIL 3.

Com a 61508 define-se a metodologia geral, e a 62061/13849-1 especificam, passo a passo, como realizar a análise de risco e implementar as diferentes funções de segurança na máquina (ver também Auditoria de segurança de máquinas e linhas de produção).

Ferrovia: série EN 5012x

No setor ferroviário, as normas de referência são:

  • EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
  • EN 50128 (software ferroviário),
  • EN 50129 (sistemas eletrónicos na sinalização ferroviária).

Cada uma delas, no âmbito dos requisitos de segurança, remete para regras fundamentais semelhantes às da 61508. Também aqui existem níveis SIL (normalmente 0–4) e requisitos rigorosos quanto à independência dos sistemas (redundância de canais) e à resistência a perturbações (falhas de causa comum).

Exemplo:

  • Controlo do tráfego ferroviário: em caso de risco de colisão, os travões são acionados automaticamente. Se um sistema deste tipo estiver classificado como SIL 4, tem de cumprir requisitos extremamente exigentes de fiabilidade e procedimentos de ensaio, de acordo com a EN 50128/50129.

Indústria de processos: NP EN 61511

Quando falamos de instalações químicas, petroquímicas, refinarias ou unidades de processamento de gás, recorremos à norma NP EN 61511 — que deriva diretamente da 61508, mas está focada especificamente nos chamados SIS (Safety Instrumented Systems).

  • Projetam-se malhas de segurança (SIF – Safety Instrumented Function) e define-se o SIL para cada uma.
  • Utiliza-se frequentemente o método HAZOP na análise de perigos de processo.
  • Garante-se que os sensores e os elementos finais de controlo têm a fiabilidade adequada e são testados em intervalos regulares.

Energia nuclear: IEC 61513

Quando o risco de falha representa uma ameaça para grandes áreas (centrais nucleares), as normas de segurança funcional são ainda mais rigorosas.

  • IEC 61513 (em Portugal por vezes referida como PN-IEC 61513) descreve os requisitos aplicáveis aos sistemas de proteção e de controlo de blocos nucleares.
  • É exigida redundância multicanal (por exemplo, 2oo3, 2oo4 – “two out of three”, etc.) e um controlo extremamente rigoroso do desenvolvimento de software.

Aviação: DO-178C / DO-254

Embora na aviação não se utilize diretamente a 61508, o princípio é convergente. Os documentos DO-178C (para software embarcado) e DO-254 (para hardware) introduzem níveis de criticidade A–E, baseados nas consequências de uma falha (desde pequenos inconvenientes até à catástrofe de uma aeronave). A metodologia de análise, redundância, testes e gestão de configuração é, na prática, muito semelhante à 61508 — com ênfase em regras detalhadas de certificação de aviônica.

NP EN IEC 61508: pressupostos e o seu significado prático

  1. Ciclo de vida da segurança
    • Abrange as fases: desde a definição do conceito, passando pelo projeto detalhado (hardware, software), até à instalação, aceitação, operação e modificações.
    • Desta forma, não nos limitamos a uma auditoria única no final do projeto; a segurança tem de ser analisada e confirmada ao longo de todo o período de utilização.
  2. Níveis de Integridade de Segurança (SIL)
    • Existem quatro níveis: SIL 1 – o menos rigoroso; SIL 4 – o mais rigoroso.
    • Cada um define limites admissíveis para a probabilidade de falha perigosa (por exemplo, PFD para o modo de solicitação pouco frequente).
  3. Avaliação e documentação do risco
    • Antes de começar a projetar, é necessário saber que perigos existem e qual a sua magnitude.
    • A documentação (análises como HAZOP, FMEA, árvore de falhas) constitui o núcleo do sistema — em caso de inspeção ou auditoria, permite demonstrar a racionalidade das decisões de projeto.
  4. Independência e redundância
    • A redundância só é eficaz se dois (ou mais) canais não falharem ao mesmo tempo pela mesma razão (falhas de causa comum).
    • Um SIL elevado exige, na maioria dos casos, tecnologias diferentes, diferentes fontes de alimentação, etc.
  5. Gestão de competências
    • As pessoas responsáveis pelo projeto e pela manutenção de sistemas de segurança têm de possuir as qualificações e a experiência adequadas (a norma sublinha isso de forma explícita).

O que ganhamos ao utilizar a NP EN 61508

  1. Menos avarias e paragens – graças a um melhor controlo do risco e à deteção mais precoce de defeitos.
  2. Conformidade com requisitos legais – clientes, inspetores e seguradoras exigem frequentemente certificação segundo normas deste tipo.
  3. Aumento da confiança – sistemas concebidos de acordo com 61508 / 61511 / 62061 / EN 5012x são vistos como mais fiáveis.
  4. Eficiência a longo prazo – embora a implementação possa ser dispendiosa, permite reduzir perdas potenciais resultantes de acidentes ou de problemas legais.

NP EN IEC 61508: erros e armadilhas mais comuns

  1. Ausência de uma análise adequada de falhas de causa comum: um sistema redundante pode falhar se os canais partilharem a mesma fonte de alimentação ou o mesmo barramento de dados.
  2. Limitar-se a um único componente com certificação SIL: o facto de um sensor ou controlador ter certificação SIL 2/3 não significa automaticamente que todo o sistema tenha esse nível — o que conta é a arquitetura completa (sensores, cablagem, software, elementos de atuação).
  3. Falta de testes periódicos: no caso de sistemas que atuam raramente, testar em condições reais é obrigatório. Sem isso, não há garantia de que a função de segurança irá atuar no momento crítico.
  4. Ignorar a fase de modificação: se alterar, ainda que apenas uma parte do software, ou substituir uma válvula, é necessário repetir algumas etapas do ciclo de vida da segurança — sobretudo a análise do impacto da alteração.
  5. Negligenciar as competências: do projetista aos profissionais de manutenção — todos precisam de formação adequada para saber como cumprir os pressupostos da segurança funcional.

NP EN 61508 é o ponto de partida, e as normas setoriais (NP EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254, etc.) adaptam os seus princípios às especificidades de cada ramo da indústria. Para si, enquanto projetista ou utilizador de sistemas de segurança, isto significa:

  • Orientações claras e coerentes sobre como abordar a análise de risco, a determinação do SIL ou os testes dos sistemas.
  • A necessidade de elaborar documentação detalhada — desde protocolos de ensaio até registos das competências do pessoal.
  • Maior confiança de que as soluções implementadas cumprem normas internacionais e serão aceitáveis para clientes e entidades de supervisão.

Em última análise, embora possa ser um processo dispendioso e demorado, a implementação correta da NP EN 61508 (ou das suas “derivadas”) traduz-se em menor risco de acidentes, funcionamento mais estável da instalação e uma melhor reputação no setor. Estas normas não são, portanto, “papelada desnecessária”, mas uma ferramenta eficaz para proteger a vida, a saúde e o património.

NP EN IEC 61508 – base universal da segurança funcional

É uma norma que estabelece os princípios para minimizar o risco em sistemas de controlo baseados em tecnologia elétrica, eletrónica ou programável (E/E/PE). É frequentemente considerada uma base para normas setoriais relativas à segurança funcional.

A norma baseia-se no ciclo de vida da segurança, nos níveis SIL, na gestão da segurança funcional e na documentação. Estes elementos devem assegurar uma abordagem coerente desde a conceção até à retirada do sistema de serviço.

SIL (1–4) são níveis de integridade de segurança atribuídos a funções de segurança, que definem requisitos de fiabilidade. O SIL 1 é o menos rigoroso e o SIL 4 o mais rigoroso.

No domínio das máquinas, os conceitos da 61508 são desenvolvidos, entre outras, na NP EN 62061 e na NP EN ISO 13849-1, e na indústria de processos na NP EN 61511 para SIS e SIF. A 61508 fornece uma metodologia geral, e as normas setoriais especificam com maior detalhe os requisitos de implementação.

A documentação das análises e das decisões de projeto permite demonstrar, durante uma auditoria ou inspeção, a fundamentação das soluções adotadas. A norma destaca também a necessidade de funções claramente definidas e das qualificações das pessoas que projetam e mantêm os sistemas de segurança.

Partilhar: LinkedIn Facebook