Segurança Funcional
robótica
68
William Marshall RS Components Tel.: +351 800 102 037 · Fax: +351 800 102 038 marketing.spain@rs-components.com · rsportugal.com
DOSSIER . ELETRÓNICA DE POTÊNCIA
Um sistema eletrónico funcionalmente seguro produzirá uma saída previsível em resposta a qualquer conjunto de entradas. Todos os sistemas que pretendam ser funcionalmente seguros devem ser desenvolvidos e validados de acordo com a Norma Internacional IEC 61508.
O QUE É A SEGURANÇA FUNCIONAL? No passado, a segurança na eletrónica, sobretudo no mercado doméstico, significava pouco mais do que o risco de descargas elétricas e fixar a potência nominal para evitar um sobreaquecimento e que se queimassem os componentes. Por exemplo, não há muito tempo, o único equipamento eletrónico de um carro era o rádio e não era necessário que fosse “funcionalmente seguro”. Se o rádio deixava de funcionar não gerava um problema de segurança. Por outro lado, resultados inesperados e estranhos do sistema de controlo dinâmico da estabilidade ou do sistema de distribuição da força de travagem, provavelmente, têm consequências fatais. Daí a obrigação de cumprir com a normativa IEC 61508, ou as versões mais específicas da aplicação, como a ISO 26262 para veículos. A ISO 26262 acaba de entrar em vigor e os engenheiros de desenvolvimento de sistemas de automóveis devem garantir que os seus produtos cumpram com as suas disposições.
AS IMPLICAÇÕES DA CONFORMIDADE A segurança não é barata. Ao embarcar num projeto para desenvolver e fabricar um sistema que procura ser funcionalmente seguro, deve-se compreender que a norma de segurança pertinente deve ser cumprida sempre, desde o desenho inicial até às provas finais. Quando se trabalha com um desenho integrado é tentador interpretar a Declaração de Cumprimento da ISO 61508 SIL 3 do fabricante de chips microcontroladores,
como se a utilização deste dispositivo fizesse todo o sistema cumprir com a norma. Mas, definitivamente, não é assim: o sistema completo deve cumprir com a norma, não apenas os componentes individualmente, mas também o hardware e o software. Um software corretamente desenhado não “se desgasta” nem sofre falhas aleatórias. Um software, testado de forma indevida, apresenta frequentemente falhas aleatórias aparentes quando está em serviço, e às vezes, meses mais tarde, causados muitas vezes por excessos da bateria. As normas fornecem uma orientação sobre o nível necessário de provas sistemáticas para alcançar uma classificação específica de segurança.
de desenvolver um sistema consiste em realizar uma avaliação dos riscos e perigos da aplicação. Isto significa determinar o valor aceitável da probabilidade de que se detete qualquer falha e que o sistema seja, pelo menos, à prova de erros.
AS DISPOSIÇÕES DAS NORMAS DE SEGURANÇA FUNCIONAL Proporcionar processos para valorizar os riscos e atribuir os objetivos da segurança; › Ajudar a reduzir as falhas sistemáticas proporcionando uma orientação sobre as melhores práticas de desenvolvimento; › Proporcionar objetivos de trabalho para analisar as taxas de falhas aleatórias; › Proporcionar objetivos de trabalho para analisar a eficácia dos diagnósticos; › Proporcionar procedimentos para garantir que os níveis de segurança se mantêm, uma vez que se entrega o sistema.
Assume-se que a maioria dos semicondutores seja do tipo B.
NÍVEL DE INTEGRIDADE DA SEGURANÇA IEC 61508 Uma das primeiras tarefas relacionadas com a segurança funcional no momento
Este valor é a fração de falha segura (SFF – Safe Failure Fraction) e determina o nível de integridade de segurança (SIL – Safety Integrity Level). O valor de SFF depende da tecnologia do desenho e do tipo de tolerância a falhas do hardware. › ›
Tipo A, no qual todos os mecanismos de falha são conhecidos; Tipo B, no qual existem alguns mecanismos de falha desconhecidos.
Podemos concluir que quanto maior é a tolerância a falhas criada no sistema, por exemplo com redundância modular tripla, menor é a SFF necessária para satisfazer um determinado objetivo SIL. Isto não significa que se devam especificar componentes de baixa qualidade em arquiteturas tolerantes a falhas. Tratam-se, sobretudo, de standards de segurança e não de fiabilidade. Estão projetados para assegurar um funcionamento seguro e, se necessário, quando ocorrem falhas, uma paragem segura. O desenho do sistema informático para um robot especial deve ser fiável e ter uma disponibilidade máxima. As técnicas de redundância de hardware podem ser utilizadas para melhorar a disponibilidade, apenas se não se utilizarem componentes com um elevado índice de falhas. No mundo real, os proprietários dos veículos ficariam im-
Tabela 1. Níveis de integridade da segurança alcançáveis com a SFF calculada e um nível planeado de tolerância a falhas de hardware. SFF < 60% 90% a < 90% 90% a < 99% ≥ 99%
0 SIL 1 SIL 2 SIL 3
Tolerância às falhas de hardware 1 SIL 1 SIL 2 SIL 3 SIL 4
2 SIL 2 SIL 3 SIL 4 SIL 4