Uma abordagem holística para a
automação da segurança
Como a tecnologia, padrões globais e sistemas abertos ajudam a
aumentar a produtividade e a eficácia global do equipamento
Por: Dan Hornbeck
Todos os fabricantes têm como objetivo proporcionar um
ambiente de trabalho mais seguro para seus funcionários.
Além disso, precisam manter a produtividade da instalação
enquanto protegem o equipamento e o ambiente de produção.
Dependendo da cultura da empresa e da localização de cada
instalação, um fabricante também deve atender a vários critérios
de responsabilidade social e legislativa.
O que determina o sucesso de um programa de segurança? Em
primeiro lugar, o apoio da empresa. Esse apoio deve começar
com o compromisso da alta administração com o programa e continuar com a adesão de cada
funcionário à filosofia de “segurança em primeiro lugar.”
Depois de garantir o apoio social, um programa de segurança eficaz engloba vários fatores
importantes, que vão desde o uso adequado de proteção para olhos e ouvidos até a adoção de
estratégias de produção contemporâneas para a implementação de um sistema de automação
de segurança bem concebido e integrado. Este material tratará deste último.
A visão histórica
Muitos dos aplicativos legados de fabricação de hoje usam tecnologia e know-how datados. Alguns desses aplicativos foram
desenvolvidos sem levar em consideração a segurança – contando apenas que o operador e o técnico de manutenção estejam
alertas aos perigos. Outros foram implementados posteriormente – em resposta a um acidente ou aos novos padrões do setor.
Eles usaram uma abordagem de “caixa preta” de segurança, na qual a solução de segurança foi completamente separada
do sistema de automação. As limitações da tecnologia de segurança também contribuíram para essa abordagem reativa e
separada, que muitas vezes exigiram que as máquinas parassem completamente e ficassem em um “estado de segurança”
para reparo, manutenção ou sempre que o acesso do operador fosse necessário. Como esse tempo de inatividade – devido
a um evento de segurança – diminuia a produtividade, os operadores e a equipe de manutenção ignoravam os sistemas de
segurança, arriscando sua própria segurança no processo. Outros sistemas ainda foram desenvolvidos com o foco na segurança,
mas foram implementados de forma inadequada e o equipamento não tinha a produtividade necessária. Isso foi feito usando
uma mentalidade de “troca”, cujo resultado foi que nem um nem outro foi totalmente otimizado.
Tais riscos não são mais necessários nem aceitáveis, graças aos padrões globais progressivos impostos, inovação tecnológica
significativa e gestão de riscos. Quando implementado corretamente com uma abordagem holística, os sistemas de automação
de segurança atuais oferecem o melhor de dois mundos: ambiente mais seguro para os funcionários, menor impacto ambiental,
melhoria de processos e produtividade otimizada.
2 | Uma abordagem holística para a segurança
O impacto das normas
Embora as normas de segurança tenham mudado ao longo da história da fabricação,
a mais recente onda de revisões vai melhorar a forma como os sistemas de segurança
de máquinas são projetados. Esses sistemas são comumente referidos como normas de
segurança funcionais.
Historicamente prescritivas, as normas de segurança fornecem orientações sobre como
estruturar os sistemas de controle para ajudar a garantir que os requisitos de segurança
tenham sido atendidos. Essas normas utilizaram princípios de redundância, diversidade e
diagnóstico, e criaram níveis de “estruturas” do sistema de segurança para ajudar a garantir
que a função de segurança fosse criada. No entanto, um elemento muito importante
estava faltando: o tempo.
A nova abordagem de segurança funcional das normas globais acrescenta o elemento
tempo – conhecido como a Probabilidade de falha perigosa, e seu inverso, o Tempo
médio para falha perigosa – para integrar à abordagem de estrutura de segurança
existente. O elemento tempo adiciona um fator de confiança que o sistema de segurança
executará corretamente no presente e no futuro.
Duas normas importantes (ISO 13849-1:2006 e IEC 62061:2005) aplicam o elemento
tempo aos sistemas de segurança no setor de máquinas. A ISO 13849-1:2006 baseia-se
nas “categorias” de estrutura de segurança, enquanto a IEC 62061 baseia-se na base da
estrutura, ou “tolerância a falhas de hardware”. Um terceiro elemento, o diagnóstico,
que não é novo, é adicionado ao cenário para dar ao projetista do sistema de segurança
mais flexibilidade para atingir os requisitos de segurança. Reunindo esses três elementos,
obtém-se um nível de integridade sensível ao tempo em um sistema de segurança.
A IEC 62061 usa o termo “nível de integridade de segurança” (SIL). Apenas três SILs se
aplicam a sistemas de máquinas: SIL1, SIL2 e SIL3. A ISO 13849-1:2006 usa o termo “nível
de desempenho” (PL), e, em seguida, o alfabeto, de PLa a Ple.
Os fornecedores de componentes de segurança compartilham mais da responsabilidade
da segurança funcional. Cada componente do sistema de segurança deve ter uma
probabilidade de falha perigosa ou um tempo médio para falha perigosa atribuído.
Atualmente, esse tipo de informação muitas vezes está indisponível. Na verdade, muitos
padrões de projetos de produtos estão sendo modificados para definir os critérios de falha
perigosa, exigências de testes e ferramentas estatísticas utilizadas para determinar o tempo
até a falha perigosa. Feito isso, são necessários muitos meses de testes para confirmar o
nível alcançado.
O mundo da segurança de máquinas continua evoluindo. Essa mudança proporcionará
flexibilidade para alcançar projetos mais seguros. Levará algum tempo até se tornar amplamente implementado, mas está havendo progresso. Os fornecedores de componentes de
segurança estão trabalhando para ajudar a atender esses requisitos. Além disso, os fornecedores de máquinas devem ter consciência da segurança funcional e de como aproveitar
seus benefícios.
Expandindo as fronteiras tecnológicas
Uma mudança fundamental em duas áreas relacionadas essenciais ajudou a tornar
possível essa nova abordagem funcional para a segurança. A primeira são os principais
desenvolvimentos na proteção e controle das tecnologias, notadamente o advento de
novas tecnologias baseadas em microprocessadores em vez de controles eletromecânicos
ou com fio. A segunda é a evolução das normas globais de segurança para permitir
que essas novas tecnologias eletrônicas sejam incorporadas em sistemas de segurança
industriais.
Pode ser difícil solucionar problemas nos sistemas de segurança tradicionais com fio,
pois eles não indicam o que há de errado. Por exemplo, em um cenário em que vários
Uma abordagem holística para a segurança | 3
dispositivos de parada de emergência são encadeados e conectados a um relé de
segurança, um “circuito aberto” entre dois dos dispositivos de parada de emergência
fará com que o relé notifique o controlador, resultando em um estado seguro. A equipe
de manutenção, então, deve investigar o motivo o circuito aberto (se um dispositivo de
parada de emergência foi ativado, ou se o circuito falhou por algum outro motivo). Sem
um diagnóstico apropriado, esse processo pode levar muito tempo, o que resulta em
perda de produção.
Eventos de parada de emergência podem causar ainda mais problemas do que
simplesmente ser difícil de diagnosticar. Eles geralmente ocorrem quando uma máquina
está em plena produção, o que pode levar a problemas de alinhamento de máquinas,
desperdício de material, tempos de reinicialização mais demorados e até mesmo danos ao
equipamento ao longo do tempo. Esses fatores contribuem para o aumento do tempo de
parada e dos custos, uma vez que o trabalho em andamento podem precisar ser limpo,
removido, reposto ou sucateado e o equipamento retomado ou reinicializado.
Considere, por outro lado, um cenário em que os dispositivos de parada de emergência
são ligados em um bloco de segurança E/S que está conectado por uma rede de
segurança compatível – como DeviceNet ou EtherNet/IP – ao sistema de automação
programável padrão/de segurança integrado. Nesse caso, as informações de diagnóstico
são fornecidas ao controlador e à interface homem-máquina (IHM) em um formato
facilmente acessível, e o controlador ou um operador/profissional de manutenção pode
tomar as medidas adequadas para corrigir a situação. Essas informações de diagnóstico
podem revelar que o operador do terceiro turno aciona o dispositivo de parada de
emergência para executar determinadas tarefas em vez de executar as etapas predefinidas
para colocar um sistema em um estado seguro, ou pode revelar a existência de um sério
problema elétrico que precisa ser corrigido. De qualquer maneira, a causa do evento é
diagnosticada rapidamente, permitindo que a equipe de manutenção corrija o problema
e retome a produção mais rapidamente.
O segundo principal desenvolvimento em tecnologia de segurança foi impulsionado
pelas mesmas dinâmicas de mercado que levaram as empresas a integrar outras
disciplinas de controle (sequencial, de movimento, de inversores e de processo). O
resultado é um novo tipo de proteção e plataformas de controle de segurança em
que a tecnologia de segurança é integrada a produtos de automação padrão, como
controladores programáveis de automação, relés de segurança programáveis, além de
inversores de frequência variável e servomotores. Além disso, também estão em vigor
redes de segurança de comunicações de alta integridade, que incorporam redundância
de mensagem, cruzamento de dados e tempo rigoroso, permitindo que as mensagens
e os dispositivos de segurança e padrão coexistam em um meio.
Historicamente, a segurança foi separada do controle padrão, indepentendemente de a
segurança ter sido implementada com componentes individuais, como relés de segurança
ou contatores de segurança, ou com um controlador de segurança dedicado, exigindo
hardware e software. Muitos fabricantes ainda valorizam essa abordagem, na qual os
funcionários dedicados à segurança são os únicos que conhecem o hardware e o software
de segurança da fábrica. Em outras palavras, se as pessoas não estão familiarizadas com o
hardware ou o software de segurança, há menos risco de a segurança ser comprometida.
Essa é uma boa abordagem, mas geralmente aumenta os custos.
Por outro lado, a capacidade de implementar um controle de segurança dentro de uma
arquitetura que pode realizar as quatro principais tarefas de controle proporciona grandes
benefícios. Para começar, os custos de hardware são minimizados, pois os componentes
do sistema podem ser utilizados pelas porções padrão e de segurança do aplicativo.
Os custos de software e de suporte também são reduzidos, porque o mesmo software
pode ser usado, e os funcionários só precisam aprender e se manter atualizados com uma
arquitetura de rede. Além disso, de acordo com as exigências do aplicativo, os usuários
podem implementar e distribuir o hardware necessário para ajudar a atender as demandas
do aplicativo, seja em uma máquina individual ou em uma instalação inteira.
4 | Uma abordagem holística para a segurança
Os sistemas de automação de segurança podem ser totalmente integrados ao sistema
de automação padrão da fábrica – resultando em uma única plataforma para executar
as funções de segurança definidas, atender as normas de segurança e operar de
forma eficiente a fábrica. Nesse cenário, os dois lados do sistema de automação são
projetados para acomodar todas as tarefas do ciclo de vida da máquina (projeto,
inicialização, operação e manutenção). Além disso, esta abordagem holística pode levar
a oportunidades de evitar riscos no projeto sempre que possível, com base na avaliação
detalhada dos riscos nas fases iniciais de qualquer projeto. Também pode ajudar nos
processos de manutenção de velocidade.
Por exemplo, os fabricantes normalmente exigiam que os funcionários removessem
todas as fontes de energia de uma máquina, a fim de ter acesso a ela para realizar as
operações de manutenção, um processo conhecido como bloqueio/etiquetagem. Como
esse processo geralmente era demorado, reduzindo a disponibilidade da máquina para
a produção, muitas vezes era ignorado pela equipe de manutenção das fábricas.
Com as mudanças nas normas de segurança e o advento de um controle de segurança
novo e mais sofisticado, os fabricantes podem criar zonas de segurança no aplicativo
que podem ser gerenciadas de forma independente para vários cenários de operação
e manutenção. A flexibilidade desse projeto pode ajudar a reduzir o tempo necessário
para que os funcionários da fábrica restaurem a máquina no modo de trabalho depois de
executar a manutenção necessária, melhorando assim a produtividade. Além disso, reduz
a motivação do operador para burlar o sistema de segurança, melhorando a segurança
da fábrica.
Como ilustrado por estes exemplos, os sistemas de segurança bem projetados
proporcionam melhorias na produção que podem justificar sua execução. Além disso,
conforme as normas de segurança funcionais evoluem para acomodar a evolução da
tecnologia, a indústria pode aproveitar as novas ferramentas, como sistemas de segurança
integrados para melhorar o desempenho. A abordagem holística baseada em avaliações
de risco e tecnologia contemporânea ajuda a garantir que as tarefas de manutenção
e operação da máquina sejam intrinsecamente ligadas à forma como a segurança é
controlada. O sistema de segurança já não é mais sua própria entidade individual – é um
componente crítico de todo o sistema de automatização de fábrica e de produção.
Esse também é o lugar onde os avanços nas tecnologias de redes e de comunicação estão
ajudando a fazer essas conexões.
Eliminando as falhas de comunicação
A integração de sistemas de controle de segurança para operar com o sistema de controle
padrão é um sinal de um futuro de soluções de segurança flexíveis e eficazes. Outro é a
integração da comunicação, utilizando protocolos abertos.
No passado, era quase impossível uma comunicação perfeita, porque nenhuma rede era
capaz de integrar os sistemas de controle de segurança e padrão, ao mesmo tempo em
que permitia um transporte contínuo de dados por meio de múltiplas redes físicas do
chão de fábrica. Isso mudou com o surgimento da CIP Safety, um padrão de rede que
permite que os dispositivos de segurança nominal sejam conectados à mesma rede de
comunicação que os dispositivos de controle padrão. A CIP Safety baseia-se nas normas
do Protocolo de comunicação industrial comum (CIP), um protocolo de aplicativo aberto
para a rede industrial que é independente da rede física.
A CIP Safety melhora significativamente o nível de integração entre as funções de
controle de segurança e padrão, aumentando a visibilidade da segurança em todo o
sistema. A combinação de células de segurança locais de resposta rápida e de roteamento
intercélula de dados de segurança cria aplicativos de segurança com tempos de resposta
mais rápidos. A flexibilidade adicional também ajuda a acelerar a configuração, teste e
comissionamento do sistema.
Uma abordagem holística para a segurança | 5
Outro nível de integração, que muitas vezes é esquecido, é o uso de dados de segurança
em um sistema de informações amplo da fábrica. Como os dados de segurança estão
prontamente disponíveis, o sistema de informações pode ser intimamente ligado à
estratégia de automação segura. Isso resulta em informações como dados de diagnóstico,
motivos e frequência de eventos de segurança, dados estatísticos para melhorias de “lean
manufacturing”, dados de produção, acesso à segurança e muito mais.
Uma das razões de as redes de segurança serem tradicionalmente isoladas no controle
da produção é que os dispositivos de segurança e controladores precisavam reagir em
velocidades diferentes de seus correspondentes padrão. Com base em experiências
anteriores, a utilização de uma rede única para acomodar ambos os sistemas de segurança
e padrão é problemática, porque quanto maior fica uma rede, mais a velocidade do
desempenho é reduzida. No entanto, com a CIP Safety, a taxa de atualização da rede de
cada nó pode ser definida em uma velocidade diferente. Isso permite que cada dispositivo
seja executado a uma taxa mais adequada para sua função de segurança, contribuindo
para a alocação eficiente de largura de banda da rede.
Ponte e roteamento é um recurso importante da CIP Safety, pois permite uma
comunicação direta de dados de segurança e padrão em redes físicas múltiplas e
potencialmente diferentes. Esse recurso elimina a necessidade de um caminho de
roteamento de mensagem e tradução de dados, permitindo que os dados sejam
transferidos abertamente entre redes e dispositivos com esforço mínimo por parte do
engenheiro do sistema. Essa comunicação direta permite que os fabricantes monitorem
e coletem dados de seus sistemas de segurança e padrão de qualquer local autorizado
em uma instalação.
As medidas de proteção da CIP Safety ajudam a obter comunicações de alta integridade
quando as comunicações de segurança e padrão estão misturadas. É isso que permite
que os sensores de segurança operem junto a inversores de velocidade variável, sensores
padrão, controladores de segurança com CLPs padrão e comutadores de proximidade. Os
usuários podem realizar uma ampla combinação de dispositivos de segurança e padrão na
mesma rede, e a integridade da malha de controle de segurança será mantida.
Talvez a maior vantagem da CIP Safety seja sua facilidade de uso de recursos e
confiabilidade, inclusive ponte e roteamento sem requisitos de programação. Isso significa
um treinamento mais eficiente, comissionamento mais rápido e melhores capacidades de
diagnóstico. Os recursos da CIP Safety na DeviceNet e EtherNet/IP são aprovados pela TÜV,
com produtos disponíveis hoje em ambas as redes de múltiplos fornecedores. A CIP Safety
na Ethernet/IP permite que as redes de segurança sejam integradas na mesma arquitetura
da Ethernet usada por dispositivos de controle padrão, Internet e o resto da empresa.
O futuro promete ser brilhante à medida que mais fornecedores de automação
desenvolvem produtos compatíveis com CIP Safety que suportam a integração entre
controladores, dispositivos e redes de segurança e padrão.
Gestão eficaz de riscos
Outro aspecto brilhante e fundamental de uma abordagem holística para a segurança é o
maior apoio da análise de riscos proativa por parte dos fabricantes. O objetivo geral de um
sistema de segurança é ajudar pessoas, processos e máquinas a ficarem mais seguros, sem
diminuir a produtividade. Os fabricantes que fazem avaliações de risco estão mais perto de
alcançar os benefícios apresentados. E, ao fazer isso, ajudam a reduzir os riscos e os custos
associados.
A definição de processos formais de avaliação de riscos, que abrangem a identificação,
quantificação e redução de riscos, foi incluída em muitos padrões internacionais e
regionais, inclusive a IEC 61508, ISO 13849 e ANSI/B155.1. Os processos de avaliação de
risco definidos nesses padrões geralmente usam uma abordagem de ciclo de vida para
esclarecer como implementar um processo eficaz para identificar os riscos relacionados
6 | Uma abordagem holística para a segurança
às máquinas, bem como quantificar o nível de risco em termos de gravidade, frequência
de exposição e probabilidade de prevenção. O resultado é um nível de risco que deve ser
reduzido por meio de medidas de proteção.
As avaliações de risco oferecem aos fabricantes um processo para: 1) identificar os perigos
específicos de uma máquina; 2) quantificar o risco que esses perigos apresentam aos
funcionários; e 3) avaliar as práticas que podem ajudar a reduzir o risco. Além disso, o
processo especificará a arquitetura de circuito de segurança mais adequada para diminuir
a classificação de risco inicial determinada pela equipe de avaliação.
Depois que os riscos forem totalmente definidos e compreendidos, devem ser eliminados
ou reduzidos o máximo possível. As medidas de redução de risco melhoram fisicamente
a máquina para reduzir o potencial de lesão de pessoas, danos ambientais ou a materiais.
A redução de riscos pode ser realizada por meio de várias atividades. Um método eficaz
é a utilização de equipamentos de proteção, como cortinas de luz, relés de segurança e
chaves de acionamento por cabo, para ajudar a reduzir o risco dos trabalhadores.
O uso de um processo formal de avaliação de risco também oferece o benefício de
documentar os riscos identificados, as medidas de proteção e salvaguarda implementadas
para reduzi-los, e o risco residual restante quando esses métodos de mitigação foram
implementados. Ilustrando boas práticas de engenharia e due diligence na criação de um
ambiente de trabalho seguro, uma empresa pode reduzir seus riscos de litígio em caso de
um incidente.
Depois de implementar e documentar o processo, é importante oferecer treinamento
e supervisão adequados. É fundamental que os operadores conheçam as medidas de
segurança e entendam a necessidade do uso adequado de equipamentos de proteção
pessoal. Os operadores devem ser treinados para operar com eficiência as máquinas e
executar com segurança seu trabalho. Também devem ter uma definição clara de suas
tarefas e processos em contraposição às tarefas que devem ser implementadas por uma
equipe de manutenção especializada e treinada.
Um programa abrangente de segurança da máquina pode ajudar a melhorar as operações
de chão de fábrica e a produtividade em todos os sentidos. Para facilitar o ciclo de vida
multifacetado de segurança da máquina, é importante vincular a análise de risco, redução
de riscos e treinamento/supervisão na avaliação da eficácia do programa de segurança da
máquina. É importante que todos os funcionários do chão de fábrica se beneficiem das
medidas de segurança e do treinamento disponível para protegê-los.
Benefícios de uma abordagem holística para a segurança
Hoje, mais do que nunca, os fabricantes progressivos estão se concentrando em soluções
de automação de segurança que mantêm seus funcionários seguros, suas máquinas ativas
e seus resultados financeiros sólidos. Graças à abordagem holística para a automação
da segurança – que enfatiza as normas globais, tecnologias inovadoras, funcionários
treinados e constante avaliação de riscos, funcionando conjuntamente –, os fabricantes
têm um modelo de práticas recomendadas para implementar e alcançar um elevado nível
de segurança.
Publicação SAFETY-WP005-PT-P – julho de 2008
Copyright © 2008 Rockwell Automation, Inc. Todos os direitos reservados. Impresso nos EUA.