É geralmente aceito que os sistemas de controle devem ser seguros durante o uso. Com isso em mente, a maioria dos sistemas de controle modernos são projetados conforme mostrado na figura 1.
Figura 1. Projeto geral de sistemas de controle
A maneira mais simples de tornar um sistema de controle seguro é construir uma parede impenetrável ao seu redor para impedir o acesso humano ou a interferência na zona de perigo. Tal sistema seria muito seguro, embora impraticável, pois seria impossível obter acesso para realizar a maioria dos trabalhos de teste, reparo e ajuste. Como o acesso a zonas de perigo deve ser permitido sob certas condições, outras medidas de proteção além de paredes, cercas e similares são necessárias para facilitar a produção, instalação, manutenção e manutenção.
Algumas dessas medidas de proteção podem ser parcial ou totalmente integradas aos sistemas de controle, como segue:
- O movimento pode ser interrompido imediatamente caso alguém entre na zona de perigo, por meio dos botões de parada de emergência (ES).
- Os controles de botão de pressão permitem o movimento somente quando o botão de pressão é ativado.
- Os controles de mão dupla (DHC) permitem o movimento apenas quando ambas as mãos estão engajadas em pressionar os dois elementos de controle (garantindo assim que as mãos sejam mantidas longe das zonas de perigo).
Esses tipos de medidas de proteção são ativados pelos operadores. No entanto, como os seres humanos geralmente representam um ponto fraco nos aplicativos, muitas funções, como as seguintes, são executadas automaticamente:
- Os movimentos dos braços do robô durante a manutenção ou “teach-in” são muito lentos. No entanto, a velocidade é continuamente monitorada. Se, devido a uma falha no sistema de controle, a velocidade dos braços robóticos automáticos aumentasse inesperadamente durante o período de manutenção ou de aprendizagem, o sistema de monitoramento seria ativado e interromperia imediatamente o movimento.
- Uma barreira de luz é fornecida para impedir o acesso a uma zona de perigo. Se o feixe de luz for interrompido, a máquina irá parar automaticamente.
O funcionamento normal dos sistemas de controle é a pré-condição mais importante para a produção. Se uma função de produção for interrompida devido a uma falha de controle, é no máximo inconveniente, mas não perigoso. Se uma função relevante para a segurança não for executada, pode resultar em perda de produção, danos ao equipamento, ferimentos ou até morte. Portanto, as funções do sistema de controle relevantes para a segurança devem ser mais confiáveis e seguras do que as funções normais do sistema de controle. De acordo com a Diretiva do Conselho Europeu 89/392/EEC (Diretrizes de Máquinas), os sistemas de controle devem ser projetados e construídos de modo que sejam seguros e confiáveis.
Os controles consistem em vários componentes conectados entre si para executar uma ou mais funções. Os controles são subdivididos em canais. Um canal é a parte de um controle que executa uma função específica (por exemplo, partida, parada, parada de emergência). Fisicamente, o canal é criado por uma cadeia de componentes (transistores, diodos, relés, portas, etc.) através dos quais, de um componente para o próximo, as informações (principalmente elétricas) que representam essa função são transferidas da entrada para a saída.
Ao projetar canais de controle para funções relevantes para a segurança (aquelas funções que envolvem humanos), os seguintes requisitos devem ser atendidos:
- Os componentes usados em canais de controle com funções relevantes para a segurança devem ser capazes de suportar os rigores do uso normal. Geralmente, devem ser suficientemente confiáveis.
- Erros na lógica não devem causar situações perigosas. Geralmente, o canal relevante para a segurança deve ser suficientemente à prova de falhas.
- Influências externas (fatores) não devem levar a falhas temporárias ou permanentes em canais relevantes para a segurança.
Confiabilidade
Confiabilidade é a capacidade de um canal de controle ou componente de executar uma função necessária sob condições especificadas por um determinado período de tempo sem falhar. (A probabilidade de componentes específicos ou canais de controle pode ser calculada usando métodos adequados.) A confiabilidade sempre deve ser especificada para um valor de tempo específico. Geralmente, a confiabilidade pode ser expressa pela fórmula na figura 2.
Figura 2. Fórmula de confiabilidade
Confiabilidade de sistemas complexos
Os sistemas são construídos a partir de componentes. Se as confiabilidades dos componentes forem conhecidas, a confiabilidade do sistema como um todo pode ser calculada. Nesses casos, aplica-se o seguinte:
Sistemas seriais
A confiabilidade total Rmorto de um sistema serial composto por N componentes de mesma confiabilidade RC é calculado como na figura 3.
Figura 3. Gráfico de confiabilidade de componentes conectados em série
A confiabilidade total é menor do que a confiabilidade do componente menos confiável. À medida que o número de componentes conectados em série aumenta, a confiabilidade total da cadeia cai significativamente.
Sistemas paralelos
A confiabilidade total Rmorto de um sistema paralelo consistindo de N componentes da mesma confiabilidade RC é calculado como na figura 4.
Figura 4. Gráfico de confiabilidade de componentes conectados em paralelo
A confiabilidade total pode ser melhorada significativamente através da conexão paralela de dois ou mais componentes.
A Figura 5 ilustra um exemplo prático. Observe que o circuito desligará o motor de forma mais confiável. Mesmo que o relé A ou B não abra seu contato, o motor ainda será desligado.
Figura 5. Exemplo prático da figura 4
Calcular a confiabilidade total de um canal é simples se todas as confiabilidades de componentes necessárias forem conhecidas e disponíveis. No caso de componentes complexos (circuitos integrados, microprocessadores, etc.) o cálculo da confiabilidade total é difícil ou impossível se as informações necessárias não forem publicadas pelo fabricante.
Segurança
Quando os profissionais falam sobre segurança e pedem máquinas seguras, eles querem dizer a segurança de toda a máquina ou sistema. Essa segurança é, no entanto, muito geral e não definida com precisão suficiente para o projetista de controles. A seguinte definição de segurança pode ser prático e utilizável para projetistas de circuitos de controle: Segurança é a capacidade de um sistema de controle de executar a função necessária dentro de limites prescritos, por um determinado período, mesmo quando ocorrer(em) falha(s) antecipada(s). Consequentemente, deve ser esclarecido durante o projeto o quão “seguro” o canal relacionado à segurança deve ser. (O projetista pode desenvolver um canal que seja seguro contra a primeira falha, contra qualquer falha, contra duas falhas, etc.) Além disso, um canal que executa uma função usada para prevenir acidentes pode ser essencialmente confiável, mas não tem para estar inevitavelmente seguro contra falhas. Isso pode ser melhor explicado pelos seguintes exemplos:
Exemplo 1
O exemplo ilustrado na figura 6 é um canal de controle relevante para a segurança que executa a função de segurança necessária. O primeiro componente pode ser um interruptor que monitora, por exemplo, a posição de uma porta de acesso a uma área perigosa. O último componente é um motor que aciona as partes mecânicas em movimento dentro da área de perigo.
Figura 6. Um canal de controle relevante para segurança executando a função de segurança necessária
A função de segurança necessária neste caso é dupla: Se a porta estiver fechada, o motor pode funcionar. Se a porta estiver aberta, o motor deve ser desligado. Conhecendo as confiabilidades R1 para R6, é possível calcular a confiabilidade Rpequeno. Os projetistas devem usar componentes confiáveis para manter a confiabilidade suficientemente alta de todo o sistema de controle (ou seja, a probabilidade de que esta função ainda possa ser executada em, digamos, até 20 anos deve ser contabilizada no projeto). Como resultado, os projetistas devem cumprir duas tarefas: (1) o circuito deve desempenhar a função necessária e (2) a confiabilidade dos componentes e de todo o canal de controle deve ser adequada.
A seguinte pergunta agora deve ser feita: O canal acima mencionado executará as funções de segurança necessárias mesmo se ocorrer uma falha no sistema (por exemplo, se um contato de relé travar ou um componente apresentar mau funcionamento)? A resposta é não". A razão é que um único canal de controle consistindo apenas em componentes conectados em série e trabalhando com sinais estáticos não é seguro contra uma falha. O canal pode ter apenas uma certa confiabilidade, o que garante a probabilidade de que a função seja executada. Em tais situações, a segurança é sempre entendida como relacionado a falha.
Exemplo 2
Para que um canal de controle seja confiável e seguro, o projeto deve ser modificado conforme a figura 7. O exemplo ilustrado é um canal de controle relevante para a segurança que consiste em dois subcanais totalmente separados.
Figura 7. Um canal de controle relevante para segurança com dois subcanais totalmente separados
Este projeto é seguro contra a primeira falha (e possíveis falhas futuras no mesmo subcanal), mas não é seguro contra duas falhas que podem ocorrer em dois subcanais diferentes (simultaneamente ou em momentos diferentes) porque não há circuito de detecção de falha. Conseqüentemente, inicialmente ambos os subcanais funcionam com alta confiabilidade (ver sistema paralelo), mas após a primeira falha, apenas um subcanal funcionará e a confiabilidade diminui. Caso ocorra uma segunda falha no subcanal ainda funcionando, ambos terão falhado e a função de segurança não será mais executada.
Exemplo 3
O exemplo ilustrado na figura 8 é um canal de controle relevante para a segurança que consiste em dois subcanais totalmente separados que monitoram um ao outro.
Figura 8. Um canal de controle relevante para segurança com dois subcanais totalmente separados que monitoram um ao outro
Tal projeto é à prova de falhas porque, após qualquer falha, apenas um subcanal não funcionará, enquanto o outro subcanal permanece disponível e executará a função de segurança. Além disso, o projeto possui um circuito de detecção de falhas. Se, devido a uma falha, ambos os subcanais não funcionarem da mesma forma, esta condição será detectada pelo circuito “exclusivo ou”, resultando no desligamento automático da máquina. Esta é uma das melhores maneiras de projetar controles de máquinas - projetando subcanais relevantes para a segurança. Eles são seguros contra uma falha e, ao mesmo tempo, fornecem confiabilidade suficiente para que as chances de duas falhas ocorrerem simultaneamente sejam minúsculas.
Redundância
É evidente que existem vários métodos pelos quais um projetista pode melhorar a confiabilidade e/ou segurança (contra falhas). Os exemplos anteriores ilustram como uma função (isto é, porta fechada, motor pode funcionar; porta aberta, motor deve ser parado) pode ser realizada por várias soluções. Alguns métodos são muito simples (um subcanal) e outros mais complicados (dois subcanais com supervisão mútua). (Veja a figura 9.)
Figura 9. Confiabilidade de sistemas redundantes com ou sem detecção de falhas
Existe uma certa redundância nos circuitos e/ou componentes complexos em comparação com os simples. Redundância pode ser definido da seguinte forma: (1) Redundância é a presença de mais meios (componentes, canais, fatores de segurança maiores, testes adicionais e assim por diante) do que realmente é necessário para o simples cumprimento da função desejada; (2) a redundância obviamente não “melhora” a função, que é executada de qualquer maneira. A redundância apenas melhora a confiabilidade e/ou a segurança.
Alguns profissionais de segurança acreditam que a redundância é apenas a duplicação ou triplicação, e assim por diante, do sistema. Esta é uma interpretação muito limitada, pois a redundância pode ser interpretada de forma muito mais ampla e flexível. A redundância pode ser incluída não apenas no hardware; pode ser incluído no software também. A melhoria do fator de segurança (por exemplo, uma corda mais forte em vez de uma corda mais fraca) também pode ser considerada uma forma de redundância.
Entropia
Entropia, termo encontrado principalmente na termodinâmica e na astronomia, pode ser definido da seguinte forma: Tudo tende à decadência. Portanto, é absolutamente certo que todos os componentes, subsistemas ou sistemas, independentemente da tecnologia utilizada, falharão em algum momento. Isso significa que não existem sistemas, subsistemas ou componentes 100% confiáveis e/ou seguros. Todos eles são apenas mais ou menos confiáveis e seguros, dependendo da complexidade da estrutura. As falhas que inevitavelmente ocorrem mais cedo ou mais tarde demonstram a ação da entropia.
O único meio disponível para os projetistas combaterem a entropia é a redundância, que é obtida (a) introduzindo mais confiabilidade nos componentes e (b) fornecendo mais segurança em toda a arquitetura do circuito. Somente aumentando suficientemente a probabilidade de que a função necessária seja executada pelo período de tempo necessário, os projetistas podem, em algum grau, defender-se contra a entropia.
Avaliação de Risco
Quanto maior o risco potencial, maior a confiabilidade e/ou segurança (contra falhas) exigida (e vice-versa). Isso é ilustrado pelos dois casos a seguir:
Caso 1
O acesso à ferramenta de molde fixada em uma máquina de moldagem por injeção é protegido por uma porta. Se a porta estiver fechada, a máquina pode funcionar, e se a porta estiver aberta, todos os movimentos perigosos devem ser interrompidos. Em nenhuma circunstância (mesmo em caso de falha no canal de segurança) podem ocorrer quaisquer movimentos, especialmente aqueles que operam a ferramenta.
Caso 2
O acesso a uma linha de montagem controlada automaticamente que monta pequenos componentes de plástico sob pressão pneumática é protegido por uma porta. Se esta porta for aberta, a linha terá que ser parada.
No Caso 1, se o sistema de controle de supervisão da porta falhar, pode ocorrer uma lesão grave se a ferramenta for fechada inesperadamente. No Caso 2, apenas ferimentos leves ou danos insignificantes podem ocorrer se o sistema de controle de supervisão da porta falhar.
É óbvio que no primeiro caso deve ser introduzida muito mais redundância para atingir a confiabilidade e/ou segurança (contra falhas) necessária para proteger contra riscos extremamente altos. De fato, de acordo com a norma europeia EN 201, o sistema de controle de supervisão da porta da máquina de moldagem por injeção deve ter três canais; dois dos quais são elétricos e supervisionados mutuamente e um dos quais é equipado principalmente com circuitos hidráulicos e de teste. Todas essas três funções de supervisão estão relacionadas à mesma porta.
Por outro lado, em aplicações como a descrita no Caso 2, um único canal acionado por uma chave com ação positiva é adequado ao risco.
Categorias de controle
Como todas as considerações acima são geralmente baseadas na teoria da informação e, consequentemente, são válidas para todas as tecnologias, não importa se o sistema de controle é baseado em componentes eletrônicos, eletromecânicos, mecânicos, hidráulicos ou pneumáticos (ou uma mistura deles) , ou em alguma outra tecnologia. A inventividade do projetista, por um lado, e as questões econômicas, por outro, são os principais fatores que afetam um número quase infinito de soluções sobre como realizar canais relevantes para a segurança.
Para evitar confusão, é prático definir certos critérios de classificação. As estruturas de canal mais comuns usadas em controles de máquinas para executar funções relacionadas à segurança são categorizadas de acordo com:
- confiabilidade
- comportamento em caso de falha
- tempo de revelação de falha.
Suas combinações (nem todas as combinações possíveis são mostradas) são ilustradas na tabela 1.
Tabela 1. Algumas combinações possíveis de estruturas de circuito em controles de máquinas para funções relacionadas à segurança
Critérios (perguntas) |
estratégia básica |
|||||
Ao aumentar a confiabilidade (a ocorrência de falha é deslocada para um futuro possivelmente distante?) |
Pela estrutura de circuito adequada (arquitetura), a falha será pelo menos detectada (Cat. 2) ou o efeito da falha no canal será eliminado (Cat. 3) ou a falha será divulgada imediatamente (Cat. 4) |
|||||
Categorias |
||||||
Esta solução está basicamente errada |
B |
1 |
2 |
3 |
4 |
|
Os componentes do circuito podem suportar as influências esperadas; eles são construídos de acordo com o estado da arte? |
Não |
Sim |
Sim |
Sim |
Sim |
Sim |
Componentes e/ou métodos bem testados foram usados? |
Não |
Não |
Sim |
Sim |
Sim |
Sim |
Uma falha pode ser detectada automaticamente? |
Não |
Não |
Não |
Sim |
Sim |
Sim |
Uma falha impede a execução da função relacionada à segurança? |
Sim |
Sim |
Sim |
Sim |
Não |
Não |
Quando a falha será detectada? |
Nunca |
Nunca |
Nunca |
Cedo (mais tarde no final do intervalo que não é maior que um ciclo da máquina) |
Imediatamente (quando o sinal perde dinâmica |
|
Em produtos de consumo |
Para ser usado em máquinas |
A categoria aplicável para uma máquina específica e seu sistema de controle relacionado à segurança é especificada principalmente nas novas normas europeias (EN), a menos que a autoridade nacional, o usuário e o fabricante concordem mutuamente que outra categoria deve ser aplicada. O projetista então desenvolve um sistema de controle que atende aos requisitos. Por exemplo, as considerações que regem o projeto de um canal de controle podem incluir o seguinte:
- Os componentes devem suportar as influências esperadas. (SIM NÃO)
- Sua construção deve estar de acordo com os padrões mais modernos. (SIM NÃO)
- Componentes e métodos bem testados são usados. (SIM NÃO)
- Falha deve ser detectado. (SIM NÃO)
- A função de segurança será executada mesmo em caso de falha? (SIM NÃO)
- Quando a falha será detectada? (NUNCA, CEDO, IMEDIATAMENTE)
Este processo é reversível. Usando as mesmas perguntas, pode-se decidir a que categoria pertence um canal de controle existente e previamente desenvolvido.
Exemplos de categorias
Categoria B
Os componentes do canal de controle usados principalmente em produtos de consumo devem suportar as influências esperadas e ser projetados de acordo com o estado da arte. Um switch bem projetado pode servir como exemplo.
Categoria 1
O uso de componentes e métodos bem testados é típico da Categoria 1. Um exemplo da Categoria 1 é uma chave com ação positiva (isto é, requer abertura forçada dos contatos). Esta chave é projetada com peças robustas e é acionada por forças relativamente altas, alcançando altíssima confiabilidade apenas na abertura dos contatos. Apesar dos contatos grudados ou mesmo soldados, esses interruptores abrirão. (Observação: Componentes como transistores e diodos não são considerados componentes bem testados.) A Figura 10 servirá como uma ilustração de um controle de Categoria 1.
Figura 10. Uma chave com ação positiva
Este canal usa o switch S com ação positiva. O contator K é supervisionado pela luz L. O operador é avisado que os contatos normalmente abertos (NA) permanecem por meio da luz indicadora L. O contator K possui contatos guiados forçados. (Nota: Os relés ou contatores com orientação forçada dos contatos possuem, em comparação com os relés ou contatores usuais, uma gaiola especial feita de material isolante de modo que, se os contatos normalmente fechados (NC) estiverem fechados, todos os contatos NA devem ser abertos e vice-versa versa. Isso significa que, pelo uso de contatos NC, pode ser feita uma verificação para determinar se os contatos de trabalho não estão grudados ou soldados.)
Categoria 2
A categoria 2 prevê a detecção automática de falhas. A detecção automática de falha deve ser gerada antes de cada movimento perigoso. Somente se o teste for positivo o movimento pode ser realizado; caso contrário, a máquina será parada. Sistemas automáticos de detecção de falhas são usados para barreiras de luz para provar que elas ainda estão funcionando. O princípio é ilustrado na figura 1.
Figura 11. Circuito incluindo um detector de falha
Este sistema de controle é testado regularmente (ou ocasionalmente) injetando um impulso na entrada. Em um sistema funcionando corretamente, esse impulso será então transferido para a saída e comparado a um impulso de um gerador de teste. Quando ambos os impulsos estão presentes, o sistema obviamente funciona. Caso contrário, se não houver impulso de saída, o sistema falhou.
Categoria 3
O circuito foi descrito anteriormente no Exemplo 3 na seção Segurança deste artigo, figura 8.
O requisito - isto é, detecção automática de falha e a capacidade de executar a função de segurança mesmo que uma falha tenha ocorrido em qualquer lugar - pode ser atendido por estruturas de controle de dois canais e pela supervisão mútua dos dois canais.
Somente para controles de máquinas, as falhas perigosas devem ser investigadas. Deve-se notar que existem dois tipos de falha:
- Não perigoso as falhas são aquelas que, após sua ocorrência, provocam um “estado seguro” da máquina, proporcionando o desligamento do motor.
- Perigoso falhas são aquelas que, após sua ocorrência, causam um “estado inseguro” da máquina, pois o motor não pode ser desligado ou o motor começa a se mover inesperadamente.
Categoria 4
A categoria 4 normalmente fornece a aplicação de um sinal dinâmico e em constante mudança na entrada. A presença de um sinal dinâmico na saída significa corrida (“1”), e a ausência de um sinal dinâmico significa Pare (“0”).
Para tais circuitos, é típico que, após a falha de qualquer componente, o sinal dinâmico não esteja mais disponível na saída. (Observação: o potencial estático na saída é irrelevante.) Esses circuitos podem ser chamados de “à prova de falhas”. Todas as falhas serão divulgadas imediatamente, não após a primeira alteração (como nos circuitos de categoria 3).
Comentários adicionais sobre categorias de controle
A Tabela 1 foi desenvolvida para controles usuais de máquinas e mostra apenas as estruturas básicas do circuito; de acordo com a diretiva da máquina, deve ser calculado assumindo que apenas uma falha ocorrerá em um ciclo da máquina. É por isso que a função de segurança não precisa ser executada no caso de duas falhas coincidentes. Presume-se que uma falha será detectada dentro de um ciclo da máquina. A máquina será parada e depois reparada. O sistema de controle então inicia novamente, totalmente operável, sem falhas.
A primeira intenção do projetista deve ser não permitir falhas “permanentes”, que não seriam detectadas durante um ciclo, pois poderiam ser combinadas posteriormente com falha(s) recente(s) (acumulação de falha). Tais combinações (uma falha permanente e uma nova falha) podem causar um mau funcionamento até mesmo de circuitos de categoria 3.
Apesar dessas táticas, é possível que duas falhas independentes ocorram ao mesmo tempo dentro do mesmo ciclo da máquina. É muito improvável, especialmente se componentes altamente confiáveis forem usados. Para aplicações de risco muito alto, três ou mais subcanais devem ser usados. Essa filosofia se baseia no fato de que o tempo médio entre falhas é muito maior que o ciclo da máquina.
Isso não significa, no entanto, que a tabela não possa ser expandida. A Tabela 1 é basicamente e estruturalmente muito semelhante à Tabela 2 usada na EN 954-1. No entanto, ele não tenta incluir muitos critérios de classificação. Os requisitos são definidos de acordo com as rigorosas leis da lógica, de modo que apenas respostas claras (SIM ou NÃO) podem ser esperadas. Isso permite uma avaliação, triagem e classificação mais exatas dos circuitos enviados (canais relacionados à segurança) e, por último, mas não menos importante, melhora significativa da reprodutibilidade da avaliação.
Seria ideal se os riscos pudessem ser classificados em vários níveis de risco e, então, um vínculo definitivo estabelecido entre níveis e categorias de risco, tudo isso independente da tecnologia em uso. No entanto, isso não é totalmente possível. Logo após a criação das categorias, ficou claro que, mesmo com a mesma tecnologia, várias questões não eram suficientemente respondidas. O que é melhor: um componente muito confiável e bem projetado da categoria 1 ou um sistema que atende aos requisitos da categoria 3 com baixa confiabilidade?
Para explicar esse dilema é preciso diferenciar duas qualidades: confiabilidade e segurança (contra falhas). Eles não são comparáveis, pois ambas as qualidades têm características diferentes:
- O componente com maior confiabilidade tem a desagradável característica de que em caso de falha (mesmo que altamente improvável) a função deixará de funcionar.
- Os sistemas da categoria 3, onde mesmo no caso de uma falha a função será executada, não são seguros contra duas falhas ao mesmo tempo (o que pode ser importante é se componentes suficientemente confiáveis foram usados).
Considerando o exposto, pode ser que a melhor solução (do ponto de vista de alto risco) seja usar componentes altamente confiáveis e configurá-los para que o circuito seja seguro contra pelo menos uma falha (de preferência mais). É claro que tal solução não é a mais econômica. Na prática, o processo de otimização é principalmente consequência de todas essas influências e considerações.
A experiência com o uso prático das categorias mostra que raramente é possível projetar um sistema de controle que possa utilizar apenas uma categoria. A combinação de duas ou até três partes, cada uma de uma categoria diferente, é típica, conforme ilustrado no exemplo a seguir:
Muitas barreiras de luz de segurança são projetadas na categoria 4, em que um canal funciona com um sinal dinâmico. No final deste sistema geralmente existem dois subcanais mutuamente supervisionados que trabalham com sinais estáticos. (Isto preenche os requisitos para a Categoria 3.)
De acordo com EN 50100, tais barreiras de luz são classificadas como Dispositivos de proteção eletrossensíveis tipo 4, embora sejam compostos por duas partes. Infelizmente, não há acordo sobre como denominar os sistemas de controle que consistem em duas ou mais partes, cada parte de outra categoria.
Sistemas Eletrônicos Programáveis (PESs)
Os princípios usados para criar a tabela 1 podem, com certas restrições, é claro, ser geralmente aplicados aos PESs também.
Sistema somente PES
Ao usar PESs para controle, a informação é transferida do sensor para o ativador através de um grande número de componentes. Além disso, ele ainda passa “através” do software. (Ver figura 12).
Figura 12. Um circuito de sistema PES
Embora os PESs modernos sejam muito confiáveis, a confiabilidade não é tão alta quanto pode ser necessária para o processamento de funções de segurança. Além disso, os sistemas PES usuais não são seguros o suficiente, pois não realizarão a função relacionada à segurança em caso de falha. Portanto, o uso de PESs para processamento de funções de segurança sem quaisquer medidas adicionais não é permitido.
Aplicações de risco muito baixo: Sistemas com um PES e medidas adicionais
Ao usar um único PES para controle, o sistema consiste nas seguintes partes principais:
Parte de entrada
A confiabilidade de um sensor e entrada de um PES pode ser melhorada dobrando-os. Essa configuração de entrada de sistema duplo pode ser supervisionada por software para verificar se ambos os subsistemas estão fornecendo as mesmas informações. Assim, as falhas na parte de entrada podem ser detectadas. Esta é quase a mesma filosofia exigida para a Categoria 3. No entanto, como a supervisão é feita por software e apenas uma vez, isso pode ser denominado como 3- (ou não tão confiável quanto 3).
Parte do meio
Embora esta parte não possa ser bem dobrada, ela pode ser testada. Ao ligar (ou durante a operação), uma verificação de todo o conjunto de instruções pode ser executada. Nos mesmos intervalos, a memória também pode ser verificada por padrões de bits adequados. Se essas verificações forem realizadas sem falhas, ambas as partes, CPU e memória, obviamente estão funcionando corretamente. A parte do meio tem algumas características típicas da categoria 4 (sinal dinâmico) e outras típicas da categoria 2 (testes realizados regularmente em intervalos adequados). O problema é que esses testes, apesar de sua extensão, não podem ser realmente completos, pois o sistema de um PES inerentemente não os permite.
Parte de saída
Semelhante a uma entrada, a saída (incluindo ativadores) também pode ser duplicada. Ambos os subsistemas podem ser supervisionados em relação ao mesmo resultado. Falhas serão detectadas e a função de segurança será executada. No entanto, existem os mesmos pontos fracos da parte de entrada. Consequentemente, a Categoria 3 é escolhida neste caso.
Na figura 13 a mesma função é trazida para os relés A e a B. Os contatos de controle a e a b, então informa a dois sistemas de entrada se ambos os relés estão fazendo o mesmo trabalho (a menos que tenha ocorrido uma falha em um dos canais). A supervisão é feita novamente por software.
Figura 13. Circuito PES com sistema de detecção de falhas
Todo o sistema pode ser descrito como Categoria 3-/4/2/3- se feito de forma adequada e extensiva. No entanto, os pontos fracos de tais sistemas descritos acima não podem ser totalmente eliminados. Na verdade, PESs melhorados são realmente usados para funções relacionadas à segurança apenas onde os riscos são bastante baixos (Hölscher e Rader 1984).
Aplicativos de baixo e médio risco com um PES
Hoje quase todas as máquinas estão equipadas com uma unidade de controle PES. Para resolver o problema de confiabilidade insuficiente e segurança geralmente insuficiente contra falhas, os seguintes métodos de projeto são comumente usados:
- Em máquinas relativamente simples como elevadores, as funções são divididas em dois grupos: (1) as funções que não são relacionadas à segurança são processadas pelo PES; (2) as funções relacionadas à segurança são combinadas em uma cadeia (circuito de segurança) e processadas fora do PES (consulte a figura 14).
Figura 14. Estado da arte para categoria de parada 0
- O método dado acima não é adequado para máquinas mais complexas. Uma razão é que tais soluções geralmente não são seguras o suficiente. Para aplicações de risco médio, as soluções devem atender aos requisitos da categoria 3. As ideias gerais de como esses projetos podem parecer são apresentadas na figura 15 e na figura 16.
Figura 15. Estado da arte para categoria de parada 1
Figura 16. Estado da arte para categoria de parada 2
Aplicações de alto risco: sistemas com dois (ou mais) PESs
Além da complexidade e das despesas, não há outros fatores que impeçam os projetistas de usar sistemas PES totalmente duplicados, como Siemens Simatic S5-115F, 3B6 Typ CAR-MIL e assim por diante. Estes normalmente incluem dois PESs idênticos com software homogêneo e assumem o uso de PESs “bem testados” e compiladores “bem testados” (um PES ou compilador bem testado pode ser considerado aquele que em muitas aplicações práticas ao longo de 3 ou mais anos mostrou que as falhas sistemáticas foram obviamente eliminadas). Embora esses sistemas PES duplos não tenham os pontos fracos dos sistemas PES simples, isso não significa que os sistemas PES duplos resolvam todos os problemas. (Ver figura 17).
Figura 17. Sistema sofisticado com dois PESs
Falhas Sistemáticas
Falhas sistemáticas podem resultar de erros nas especificações, design e outras causas, e podem estar presentes tanto no hardware quanto no software. Os sistemas PES duplos são adequados para uso em aplicações relacionadas à segurança. Tais configurações permitem a detecção de falhas aleatórias de hardware. Por meio da diversidade de hardware, como o uso de dois tipos diferentes ou produtos de dois fabricantes diferentes, falhas sistemáticas de hardware podem ser divulgadas (é altamente improvável que uma falha sistemática de hardware idêntica ocorra em ambos os PES).
Software
O software é um novo elemento nas considerações de segurança. O software está correto ou incorreto (com relação a falhas). Uma vez correto, o software não pode se tornar instantaneamente incorreto (em comparação com o hardware). Os objetivos são erradicar todos os erros no software ou pelo menos identificá-los.
Existem várias maneiras de atingir esse objetivo. Um é o verificação do programa (uma segunda pessoa tenta descobrir os erros em um teste subsequente). Outra possibilidade é diversidade do software, em que dois programas diferentes, escritos por dois programadores, abordam o mesmo problema. Se os resultados forem idênticos (dentro de certos limites), pode-se presumir que ambas as seções do programa estão corretas. Se os resultados forem diferentes, presume-se que existam erros. (NB, O arquitetura do hardware naturalmente também deve ser considerado.)
Sumário
Ao usar PESs, geralmente as mesmas considerações básicas a seguir devem ser levadas em conta (conforme descrito nas seções anteriores).
- Um sistema de controle sem qualquer redundância pode ser alocado para a Categoria B. Um sistema de controle com medidas adicionais pode ser da Categoria 1 ou até superior, mas não superior a 2.
- Um sistema de controle de duas partes com comparação mútua de resultados pode ser alocado na categoria 3. Um sistema de controle de duas partes com comparação mútua de resultados e mais ou menos diversidade pode ser alocado na categoria 3 e é adequado para aplicações de alto risco.
Uma novidade é que para o sistema com PES, até o software deve ser avaliado do ponto de vista da correção. O software, se correto, é 100% confiável. Nesta fase do desenvolvimento tecnológico, provavelmente não serão utilizadas as melhores soluções técnicas possíveis e conhecidas, pois os fatores limitantes ainda são econômicos. Além disso, vários grupos de especialistas continuam a desenvolver os padrões para aplicações de segurança de PESs (por exemplo, EC, EWICS). Embora existam várias normas já disponíveis (VDE0801, IEC65A e outras), este assunto é tão amplo e complexo que nenhuma delas pode ser considerada definitiva.