IEC 61508 Explicado: Guia de Segurança Funcional e Níveis de Integridade de Segurança (SIL)

A IEC 61508 é uma norma internacional de segurança funcional publicada pela Comissão Eletrotécnica Internacional (IEC). Seu título completo é “Segurança Funcional de Sistemas Elétricos/Eletrônicos/Eletrônicos Programáveis Relacionados à Segurança” (frequentemente abreviado como E/E/PE ou E/E/PES). A norma fornece uma estrutura sistemática para garantir a segurança funcional e a confiabilidade dos sistemas ao longo de todo o ciclo de vida da segurança.

A IEC 61508 serve como padrão fundamental para muitos padrões de segurança funcional específicos do setor, como a IEC 61511 e a IEC 62061. Ela é amplamente aplicada em setores como automação industrial, controle de processos e fabricação de máquinas.

1.0 Conceitos Básicos da IEC 61508

A IEC 61508 abrange os seguintes aspectos principais:

• Segurança Funcional: A norma enfatiza que os sistemas ou equipamentos devem desempenhar corretamente suas funções de segurança sob condições definidas. Em caso de falha, a falha deve ocorrer de forma previsível e segura.
• Ciclo de vida de segurança: Ele apresenta uma abordagem abrangente do ciclo de vida, abrangendo todas as fases, desde o conceito inicial, projeto e desenvolvimento, operação e manutenção até o descomissionamento, garantindo a conformidade contínua com os requisitos de segurança.
• Abordagem baseada em risco: Ao identificar perigos, avaliar riscos associados e aplicar medidas de controle apropriadas, o padrão ajuda a reduzir o risco a um nível tão baixo quanto razoavelmente praticável (ALARP).
• Nível de integridade de segurança (SIL): O SIL é uma medida quantitativa da confiabilidade das funções de segurança, variando de SIL 1 (mais baixo) a SIL 4 (mais alto). Cada nível de SIL é determinado com base em três critérios principais:
  • Capacidade do sistema: Confiabilidade do projeto de hardware e software
  • Restrições arquitetônicas: Limitações impostas pela arquitetura do sistema
  • PFDavg / PFH: A probabilidade de falha perigosa, seja sob demanda (PFDavg) ou por hora (PFH)
    O nível final do SIL é definido pelo nível mais baixo entre esses três critérios.

1.1 Estrutura e escopo da IEC 61508

A IEC 61508 é composta por oito partes. As Partes 1 a 7 foram publicadas entre 1998 e 2000, e a IEC/TR 61508-0 foi adicionada em 2005. A norma passou por um processo de revisão abrangente a partir de 2002, resultando na publicação da Edição 2 em abril de 2010.

O título completo do padrão é “Segurança Funcional de Sistemas de Segurança Elétrica/Eletrônica/Eletrônica Programável (sistemas E/E/PE)”, e sua estrutura inclui:

1. Parte 0: Segurança funcional e IEC 61508
2. Parte 1: Requisitos gerais
3. Parte 2: Requisitos para sistemas relacionados à segurança E/E/PE
4. Parte 3: Requisitos de software
5. Parte 4: Definições e abreviações
6. Parte 5: Exemplos de métodos para determinação de níveis de integridade de segurança
7. Parte 6: Diretrizes sobre a aplicação das Partes 2 e 3
8. Parte 7: Visão geral de técnicas e medidas

Além disso, vários padrões específicos da indústria foram derivados da IEC 61508, adaptando seus princípios para domínios específicos:

• IEC 61511– Para a indústria de processos (por exemplo, plantas químicas e petroquímicas)
• IEC 62061– Para segurança de máquinas
• ISO 26262– Para sistemas eletrônicos automotivos
• DO-178C– Para sistemas de software de aviônicos

O exemplo mostra um sistema típico de segurança elétrica, eletrônica e eletrônica programável, geralmente chamado de sistema relacionado à segurança E/E/PE.

1.2 Implementação e Conformidade

Para atingir a conformidade com a norma IEC 61508, as organizações devem:

• Entenda e siga os processos de validação e verificação prescritos
• Identificar e mitigar modos de falha críticos
• Garantir que os sistemas de hardware e software operem dentro das restrições do nível SIL aplicável
• Gerencie a complexidade durante o projeto do sistema para reduzir o risco de falha
• Aplicar estratégias de segurança adequadas para componentes usados com frequência ou ativados apenas durante eventos perigosos

1.3 Aplicações práticas da IEC 61508

A IEC 61508 é amplamente utilizada em sistemas elétricos, eletrônicos e eletrônicos programáveis críticos para a segurança. Exemplos comuns de aplicação incluem:

• Indústria de Máquinas: Freios de prensa, cortadores a laser, máquinas de estampagem, sistemas de segurança de robôs industriais
• Indústria de Processos: Sistemas de desligamento de emergência (ESD), válvulas de segurança, dispositivos de alívio de pressão
• Setor de energia: Relés de proteção, dispositivos de isolamento de falhas, disjuntores inteligentes
• Transporte: Sistemas de sinalização ferroviária, unidades de controle automático de trens (ATC), módulos de segurança automotiva
• Dispositivos médicos: Sistemas de suporte de vida, módulos de monitoramento de segurança

Seguindo a norma IEC 61508, esses sistemas são projetados com princípios de segurança funcional que ajudam a prevenir acidentes e proteger a vida humana e o meio ambiente em caso de falha.

1.4 Por que a IEC 61508 foi desenvolvida

Na década de 1990, um número crescente de funções de segurança passou a ser implementado por meio de sistemas eletrônicos ou eletrônicos programáveis. Esses sistemas frequentemente apresentam alta complexidade, tornando praticamente impossível identificar todos os modos de falha possíveis ou testar todos os cenários operacionais.

O principal desafio era projetar sistemas que pudessem prevenir falhas perigosas ou gerenciá-las com segurança, caso ocorressem. Tais falhas poderiam resultar de:

• Especificações incorretas para sistemas de controle relacionados à segurança
• Definições incompletas de requisitos de segurança (por exemplo, falha na definição de funções em todos os modos operacionais)
• Falhas aleatórias de hardware
• Falhas de hardware no nível do sistema
• Erros de design de software
• Falhas de causa comum
• Erros humanos
• Fatores ambientais (por exemplo, interferência eletromagnética, temperaturas extremas, estresse mecânico)

2.0 O que é IEC 61508 e SIL (Nível de Integridade de Segurança)?

A IEC 61508 é uma norma de segurança funcional reconhecida internacionalmente, aplicável a sistemas elétricos, eletrônicos e eletrônicos programáveis relacionados à segurança. Ela fornece orientações sistemáticas de segurança para o projeto, desenvolvimento, operação e manutenção de tais sistemas. Um de seus principais componentes é o Nível de Integridade de Segurança (SIL), uma medida crítica da capacidade de uma função de segurança de reduzir riscos em condições perigosas.

2.1 Definição e papel do SIL

A IEC 61508 define integridade de segurança como:

“A probabilidade de um sistema relacionado à segurança executar com sucesso a função de segurança necessária em todas as condições especificadas e dentro de um tempo especificado.”

Os níveis SIL indicam o grau de redução de risco proporcionado por uma função de segurança quando ocorre um evento perigoso. Existem quatro níveis SIL, de SIL 1 a SIL 4, com níveis mais altos correspondendo a requisitos de segurança mais rigorosos e processos de desenvolvimento e verificação mais complexos.

Nível SIL	Probabilidade de Perigo	Requisitos de desenvolvimento correspondentes
SIL 1	Maior probabilidade	Requisitos mínimos
SIL 2	Médio	Medidas recomendadas
SIL 3	Baixo	Medidas rigorosas
SIL 4	Menor probabilidade	Controles mais rigorosos

2.2 Como o SIL é determinado

A IEC 61508 fornece métodos qualitativos e quantitativos para determinar o SIL, incluindo o seguinte:

1. Avaliação de Riscos e Perigos (Parte 5)

• Identificar perigos potenciais
• Avalie a frequência e a gravidade do risco
• Determinar o nível necessário de redução de risco (Anexo A)

2. Avaliação de probabilidade de falha

O SIL pode ser avaliado quantitativamente usando:

• PFDavg (Probabilidade Média de Falha Perigosa sob Demanda)para modos de baixa demanda
• PFH (Probabilidade de Falha Perigosa por Hora)para modos contínuos

PFDavg – Modo de baixa demanda:

Nível SIL	Faixa média de PFD
SIL 4	≥ 10⁻⁵ a < 10⁻⁴
SIL 3	≥ 10⁻⁴ a < 10⁻³
SIL 2	≥ 10⁻³ a < 10⁻²
SIL 1	≥ 10⁻² a < 10⁻¹

PFH – Modo Contínuo:

Nível SIL	Faixa PFH [1/h]
SIL 4	≥ 10⁻⁹ a < 10⁻⁸
SIL 3	≥ 10⁻⁸ a < 10⁻⁷
SIL 2	≥ 10⁻⁷ a < 10⁻⁶
SIL 1	≥ 10⁻⁶ a < 10⁻⁵

2.3 Capacidade do sistema e restrições arquitetônicas

O sistema deve atender a recursos específicos de projeto, teste e verificação (por exemplo, FMEDA, SFF).

SFF (Fração de Falha Segura) = (Falhas Seguras + Falhas Perigosas Detectadas) / Total de Falhas

2.4 Comparação dos níveis de integridade de segurança entre os padrões

Embora o SIL faça parte da estrutura IEC 61508, outros padrões da indústria definem níveis de segurança semelhantes que não são diretamente intercambiáveis:

Padrão	Níveis de segurança (baixo → alto)
IEC 61508	SIL 1, SIL 2, SIL 3, SIL 4
ISO 26262	ASIL A, ASIL B, ASIL C, ASIL D
DO-178C	Nível E, D, C, B, A
IEC 62304	Classe A, B, C
EN 50128	SSL 0, 1, 2, 3, 4

2.5 SIL e Desenvolvimento de Software

A IEC 61508 Parte 3 (“Requisitos de Software”) especifica medidas de desenvolvimento para software embarcado, dependendo do nível SIL. As práticas comuns e seus níveis de recomendação incluem:

Técnica/Prática	SIL 1	SIL 2	SIL 3	SIL 4
Uso de padrões de codificação	R	RH	RH	RH
Rastreabilidade futura	R	R	RH	RH
Análise FMEA / FMEDA	Opcional	Recomendado	Altamente recomendado	Obrigatório

Observação: HR = Altamente recomendado, R = Recomendado, — = Não recomendado

2.6 Como avaliar e calcular o SIL?

De acordo com a norma IEC 61508, três critérios principais devem ser considerados para determinar o SIL apropriado:

• Capacidade do sistema– Se o projeto atende aos requisitos funcionais
• Restrições arquitetônicas– Se o projeto atende aos requisitos de redundância e estruturais (por exemplo, SFF)
• Probabilidade de falha aleatória de hardware– Quantificado usando PFDavg ou PFH

Ferramentas de avaliação recomendadas:

• Análise de Perigos (HAZOP)
• Matriz de Riscos ou Matriz de Rastreabilidade de Requisitos
• Análise de Modos e Efeitos de Falha (FMEA)
• Modos de Falha, Efeitos e Análise Diagnóstica (FMEDA)

3.0 O que é Segurança Funcional

Conceitos-chave de segurança funcional:
Para entender efetivamente a IEC 61508 e sua aplicação, é necessário compreender os seguintes conceitos fundamentais e termos principais:

Segurança Funcional
Definição:
A segurança funcional faz parte da segurança geral do sistema, concentrando-se em saber se o sistema opera corretamente ao receber entradas especificadas, prevenindo assim eventos perigosos ou reduzindo os riscos a um nível aceitável em caso de falhas.
Objetivo:
Controlar proativamente o sistema para responder à detecção de perigos potenciais, garantindo a segurança de pessoas, equipamentos e do meio ambiente. Por exemplo:

Um detector de fumaça acionando um sistema de sprinklers automático;

Equipamentos de aquecimento industrial desligam automaticamente quando ocorre superaquecimento.

Nível de Integridade de Segurança (SIL)
SIL é uma medida quantitativa do desempenho e da confiabilidade de uma função de segurança, indicando a capacidade do sistema de executar funções de segurança de forma confiável quando necessário.
Existem quatro níveis SIL (SIL 1 a SIL 4), com níveis mais altos indicando requisitos de segurança mais rigorosos e desenvolvimento e verificação de software mais rigorosos.

Nível SIL	Probabilidade média de falha perigosa sob demanda (PFDavg) – Modo de baixa demanda	Probabilidade de Falha Perigosa por Hora (PFH) – Modo Contínuo
SIL 1	≥ 10⁻² a < 10⁻¹	≥ 10⁻⁶ a < 10⁻⁵
SIL 2	≥ 10⁻³ a < 10⁻²	≥ 10⁻⁷ a < 10⁻⁶
SIL 3	≥ 10⁻⁴ a < 10⁻³	≥ 10⁻⁸ a < 10⁻⁷
SIL 4	≥ 10⁻⁵ a < 10⁻⁴	≥ 10⁻⁹ a < 10⁻⁸

⚠ Observação: Os níveis de SIL definidos na IEC 61508 não devem ser confundidos com aqueles de outras normas, como ISO 26262 ou IEC 61511.

Ciclo de vida de segurança
A IEC 61508 define um processo estruturado para gerenciar problemas de segurança funcional durante todo o ciclo de vida do projeto — do conceito inicial até o descomissionamento do sistema.
O ciclo de vida da segurança enfatiza:

Identificação de perigos e avaliação de riscos

Definição de requisitos de segurança;

Implementação de projeto de segurança;

Verificação e validação;

Manutenção e melhoria contínua.
Este processo garante que o sistema atenda continuamente aos requisitos de segurança durante todo o seu ciclo de vida.

3.1 Importância da Segurança Funcional

Por que a segurança funcional é fundamental?
Com o aumento da complexidade dos sistemas, especialmente em ambientes de alto risco como indústria, transporte e energia, os riscos potenciais também aumentam. O objetivo da segurança funcional é identificar e mitigar proativamente os riscos de falhas para garantir:

• Segurança de pessoal e usuários;
• Operação confiável do equipamento;
• Minimização de perdas econômicas para empresas.

Na manufatura, os sistemas de segurança funcional ajudam as fábricas a controlar melhor os equipamentos, melhorar a eficiência e reduzir o tempo de inatividade, aumentando assim a produtividade geral.

Por que buscar a certificação?

• Requisitos legais:Alguns setores e regiões exigem por lei a certificação de segurança funcional.
• Acesso ao mercado:Produtos sem certificação podem ser barrados em certos mercados.
• Confiança do cliente:Usuários finais e integradores de sistemas geralmente exigem certificação independente de terceiros de fornecedores.
• Conformidade do seguro:Muitas seguradoras exigem certificação de segurança funcional como condição para cobertura.
  Os padrões de certificação geralmente são baseados na norma IEC 61508 ou seus derivados específicos do setor.

3.2 IEC 61508: A Norma Fundamental de Segurança Funcional

A IEC 61508 é a "norma mãe" para segurança funcional, aplicável a todos os setores sem normas específicas. Baseia-se na metodologia de avaliação de riscos e fornece orientação abrangente, desde o projeto e a implementação do sistema até a verificação.

A IEC 61508 abrange componentes de sistemas relacionados à segurança, incluindo:

• Sensores (detecção de sinais);
• Unidades lógicas de controle (como CLPs ou controladores embarcados);
• Atuadores (por exemplo, relés, freios, sistemas de alarme);
• Componentes de software (incluindo firmware e lógica de aplicação).

A norma define requisitos de SIL com base na avaliação quantitativa de riscos, abordando:

• Falhas no sistema;
• Falhas aleatórias de hardware;
• Falhas lógicas ou sistêmicas de software.

3.3 Normas de segurança funcional específicas da indústria (derivadas da IEC 61508)

Indústria	Padrão Derivado	Descrição
Indústria de Processos	IEC 61511	Para processos de controle contínuo, como plantas químicas e petroquímicas
Máquinas	IEC 62061	Para equipamentos de máquinas e sistemas robóticos
Eletrônica automotiva	ISO 26262	Para sistemas elétricos/eletrônicos de veículos rodoviários
Aeroespacial	DO-178C / DO-254	Para desenvolvimento e verificação de software/hardware de aviação civil
Dispositivos médicos	IEC 62304	Abrange o gerenciamento do ciclo de vida do software médico
Indústria Nuclear	IEC 61513	Para sistemas de instrumentação e controle de usinas nucleares
Eletrodomésticos/Bens de consumo	IEC 60730	Foco na segurança de dispositivos de controle automático

4.0 Por que a IEC 61508 é uma norma fundamental para a Indústria 4.0

Com o desenvolvimento da Indústria 4.0 e o aumento da automação e da conectividade, a IEC 61508 tornou-se uma norma crítica para garantir a segurança funcional. Ela é particularmente importante para:

• Gerenciando a complexidade do sistema:A IEC 61508 oferece uma abordagem estruturada para lidar com as arquiteturas cada vez mais complexas dos sistemas da Indústria 4.0, incluindo a operação coordenada de sensores, atuadores e sistemas de controle, garantindo que a complexidade não comprometa a segurança.
• Mitigação de Riscos:À medida que a automação aumenta, também aumenta o risco de falhas no sistema. A IEC 61508 fornece orientações para identificação e mitigação de riscos ao longo do ciclo de vida do sistema — do projeto ao descomissionamento — garantindo segurança contínua e confiável.
• Garantindo a interoperabilidade:A Indústria 4.0 exige integração perfeita de diversos sistemas e dispositivos. A IEC 61508 fornece uma estrutura de segurança unificada, garantindo que diferentes fornecedores e plataformas possam interoperar sem comprometer a segurança.
• Melhorando a confiabilidade dos sistemas autônomos:Com a ampla adoção de sistemas industriais controlados por software, a confiabilidade do software é fundamental. A IEC 61508 define requisitos explícitos para o desenvolvimento de software crítico para a segurança, ajudando as empresas a construir sistemas inteligentes estáveis e confiáveis.
• Demonstrando conformidade:Seguir a norma IEC 61508 não apenas ajuda as empresas a atender aos padrões regulatórios e industriais, mas também demonstra seu comprometimento com a segurança para os mercados e reguladores, aumentando a reputação da marca e a vantagem competitiva. Isso é especialmente importante ao licitar contratos de segurança crítica ou ao entrar em mercados regulamentados.

A IEC 61508 não apenas estabelece a base para a segurança funcional em todos os setores, mas também fornece um roteiro para a construção de sistemas resilientes, confiáveis e certificáveis na era da transformação digital.

5.0 Recursos recomendados sobre 《IEC 61508 IEC 61508:2010 PDF》

🔗 Baixar IEC 61508:2010 PDF

🔗 IEC 61508 e Segurança Funcional-2022

6.0 IEC 61508 e SIL – Perguntas Frequentes (FAQ)

 

Referências

dra.com/iec-61508/#61508-1

www.tuvsud.com/en-sg/services/functional-safety/iec-61508

www.perforce.com/blog/qac/what-iec-61508-safety-integrity-levels-sils

www.gt-engineering.it/en/insights/functional-safety-300321/iec-61508-all-parts/