CEI 61508

Norma internacional para sistemas relacionados con la seguridad.

IEC 61508 es una norma internacional publicada por la Comisión Electrotécnica Internacional (IEC) que consta de métodos sobre cómo aplicar, diseñar, implementar y mantener sistemas de protección automáticos llamados sistemas relacionados con la seguridad. Se titula Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad ( E/E/PE o E/E/PES ).

IEC 61508 es una norma básica de seguridad funcional aplicable a todas las industrias. Define la seguridad funcional como: “parte de la seguridad general relacionada con el EUC (Equipo Bajo Control) y el sistema de control EUC que depende del correcto funcionamiento de los sistemas relacionados con la seguridad E/E/PE, otros sistemas tecnológicos relacionados con la seguridad y mecanismos externos de reducción de riesgos”. El concepto fundamental es que cualquier sistema relacionado con la seguridad debe funcionar correctamente o fallar de forma predecible (segura).

La norma tiene dos principios fundamentales:

1. Se define un proceso de ingeniería llamado ciclo de vida de seguridad con base en las mejores prácticas para descubrir y eliminar errores y omisiones de diseño.
2. Un enfoque de falla probabilística para tener en cuenta el impacto en la seguridad de las fallas del dispositivo.

El ciclo de vida de la seguridad tiene 16 fases que, a grandes rasgos, se pueden dividir en tres grupos de la siguiente manera:

1. Análisis de direcciones de las fases 1 a 5
2. Las fases 6 a 13 abordan la realización
3. Las fases 14 a 16 abordan la operación.

Todas las fases tienen que ver con la función de seguridad del sistema.

La norma tiene siete partes:

• Las partes 1 a 3 contienen los requisitos de la norma (normativa)
• La parte 4 contiene definiciones.
• Las partes 5 a 7 son pautas y ejemplos para el desarrollo y, por lo tanto, informativas.

Un elemento central de la norma son los conceptos de riesgo probabilístico para cada función de seguridad. El riesgo es una función de la frecuencia (o probabilidad) del evento peligroso y la gravedad de sus consecuencias. El riesgo se reduce a un nivel tolerable mediante la aplicación de funciones de seguridad que pueden consistir en E/E/PES, dispositivos mecánicos asociados u otras tecnologías. Muchos requisitos se aplican a todas las tecnologías, pero se hace especial hincapié en la electrónica programable, especialmente en la Parte 3.

IEC 61508 tiene las siguientes opiniones sobre los riesgos:

• Nunca se puede alcanzar el riesgo cero, sólo se pueden reducir las probabilidades
• Se deben reducir los riesgos no tolerables ( ALARP )
• La seguridad óptima y rentable se logra cuando se aborda durante todo el ciclo de vida de la seguridad.

Técnicas específicas garantizan que se eviten errores durante todo el ciclo de vida. Los errores introducidos desde el concepto inicial, el análisis de riesgos, las especificaciones, el diseño, la instalación, el mantenimiento y hasta la eliminación podrían socavar incluso la protección más fiable. IEC 61508 especifica las técnicas que deben utilizarse para cada fase del ciclo de vida. Las siete partes de la primera edición de IEC 61508 se publicaron en 1998 y 2000. La segunda edición se publicó en 2010.

Análisis de peligros y riesgos.

La norma exige que se lleve a cabo una evaluación de peligros y riesgos para sistemas personalizados: "El riesgo EUC (equipo bajo control) se evaluará o estimará para cada evento peligroso determinado".

La norma advierte que "se pueden utilizar técnicas de análisis de riesgos y peligros cualitativas o cuantitativas" y ofrece orientación sobre una serie de enfoques. Uno de ellos, para el análisis cualitativo de los peligros, es un marco basado en 6 categorías de probabilidad de ocurrencia y 4 de consecuencia.

Categorías de probabilidad de ocurrencia

Categorías de consecuencias

Por lo general, estos se combinan en una matriz de clases de riesgo.

Dónde:

• Clase I: Inaceptable en cualquier circunstancia;
• Clase II: Indeseable: tolerable sólo si la reducción del riesgo es impracticable o si los costos son muy desproporcionados con respecto a la mejora obtenida;
• Clase III: Tolerable si el costo de la reducción del riesgo excedería la mejora;
• Clase IV: Aceptable tal como está, aunque es posible que sea necesario monitorearlo.

Nivel de Integridad Seguro

El nivel de integridad de seguridad (SIL) proporciona un objetivo a alcanzar para cada función de seguridad. Un esfuerzo de evaluación de riesgos produce un SIL objetivo para cada función de seguridad. Para cualquier diseño determinado, el SIL alcanzado se evalúa mediante tres medidas:

1. Capacidad Sistemática (SC), que es una medida de la calidad del diseño. Cada dispositivo del diseño tiene una clasificación SC. El SIL de la función de seguridad se limita a la clasificación SC más pequeña de los dispositivos utilizados. Los requisitos para SC se presentan en una serie de tablas en las Partes 2 y 3. Los requisitos incluyen control de calidad apropiado, procesos de gestión, técnicas de validación y verificación, análisis de fallas, etc., de modo que se pueda justificar razonablemente que el sistema final alcanza el SIL requerido. .

2. Restricciones de arquitectura, que son niveles mínimos de redundancia de seguridad presentados mediante dos métodos alternativos: Ruta 1h y Ruta 2h.

3. Análisis de probabilidad de falla peligrosa ^[1]

Análisis probabilístico

La métrica de probabilidad utilizada en el paso 3 anterior depende de si el componente funcional estará expuesto a una demanda alta o baja :

• la demanda alta se define como más de una vez al año y la demanda baja se define como menos o igual a una vez al año (IEC-61508-4).
• Para funciones que operan continuamente (modo continuo) o funciones que operan con frecuencia (modo de alta demanda), SIL especifica una frecuencia permitida de falla peligrosa.
• Para funciones que funcionan de forma intermitente (modo de baja demanda), SIL especifica una probabilidad permitida de que la función no responda según la demanda.

Note la diferencia entre función y sistema. El sistema que implementa la función puede estar en funcionamiento con frecuencia (como una ECU para desplegar una bolsa de aire), pero la función (como el despliegue de una bolsa de aire) puede estar en demanda de forma intermitente.

Certificación IEC 61508

La certificación es una certificación de un tercero de que un producto, proceso o sistema cumple con todos los requisitos del programa de certificación. Esos requisitos se enumeran en un documento llamado esquema de certificación. Los programas de certificación IEC 61508 son operados por organizaciones externas imparciales llamadas organismos de certificación (CB). Estos CB están acreditados para operar siguiendo otros estándares internacionales, incluidos ISO/IEC 17065 e ISO/IEC 17025. Los organismos de certificación están acreditados para realizar el trabajo de auditoría, evaluación y prueba por parte de un organismo de acreditación (AB). Generalmente hay un OA nacional en cada país. Estos AB operan según los requisitos de ISO/IEC 17011, una norma que contiene requisitos para la competencia, coherencia e imparcialidad de los organismos de acreditación al acreditar organismos de evaluación de la conformidad. Los AB son miembros del Foro Internacional de Acreditación (IAF) para trabajar en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de laboratorios. Un Acuerdo de Reconocimiento Multilateral (MLA) entre los OA garantizará el reconocimiento global de los OC acreditados. Varios organismos de certificación globales han establecido programas de certificación IEC 61508. Cada uno ha definido su propio esquema basado en IEC 61508 y otros estándares de seguridad funcional. El esquema enumera los estándares a los que se hace referencia y especifica procedimientos que describen sus métodos de prueba, política de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Los programas de certificación IEC 61508 los ofrecen a nivel mundial varios CB reconocidos, incluidos Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD y UL .

Variantes específicas de la industria/aplicación

Automotor

ISO 26262 es una adaptación de IEC 61508 para sistemas eléctricos/electrónicos automotrices. Está siendo ampliamente adoptado por los principales fabricantes de automóviles. ^[2]

Antes del lanzamiento de ISO 26262, el desarrollo de software para sistemas automotrices relacionados con la seguridad estaba cubierto predominantemente por las directrices de la Motor Industry Software Reliability Association (MISRA). ^[3] El proyecto MISRA fue concebido para desarrollar directrices para la creación de software integrado en sistemas electrónicos de vehículos de carretera. ^[3] En noviembre de 1994 se publicó un conjunto de directrices para el desarrollo de software basado en vehículos. ^[4] Este documento proporcionó la primera interpretación de la industria automotriz de los principios de la entonces emergente norma IEC 61508. ^[3]

Hoy en día, MISRA es más conocida por sus directrices sobre cómo utilizar los lenguajes C y C++. ^[5] MISRA C se ha convertido en el estándar de facto para la programación C integrada en la mayoría de las industrias relacionadas con la seguridad, y también se utiliza para mejorar la calidad del software incluso cuando la seguridad no es la consideración principal.

Carril

IEC 62279 proporciona una interpretación específica de IEC 61508 para aplicaciones ferroviarias. Su objetivo es cubrir el desarrollo de software para el control y la protección ferroviaria, incluidos los sistemas de comunicaciones, señalización y procesamiento. EN 50128 y EN 50657 son normas CENELEC equivalentes a IEC 62279. ^[6]

Industrias de proceso

El sector de la industria de procesos incluye muchos tipos de procesos de fabricación, como refinerías, petroquímicos, químicos, farmacéuticos, pulpa y papel, y energía. IEC 61511 es una norma técnica que establece prácticas en la ingeniería de sistemas que garantizan la seguridad de un proceso industrial mediante el uso de instrumentación.

Plantas de energía

IEC 61513 proporciona requisitos y recomendaciones para la instrumentación y control de sistemas importantes para la seguridad de las centrales nucleares. Indica los requisitos generales para sistemas que contienen equipos convencionales cableados, equipos basados ​​en computadora o una combinación de ambos tipos de equipos. ISO publica una lista general de normas de seguridad específicas para centrales nucleares. ^[7]

Maquinaria

IEC 62061 es la implementación específica de maquinaria de IEC 61508. Proporciona requisitos que son aplicables al diseño a nivel de sistema de todo tipo de sistemas de control eléctrico relacionados con la seguridad de maquinaria y también para el diseño de subsistemas o dispositivos no complejos.

Software de prueba

Es posible que sea necesario probar la unidad del software escrito de acuerdo con IEC 61508 , dependiendo del SIL que deba alcanzar. El principal requisito en las pruebas unitarias es garantizar que el software se pruebe completamente a nivel de función y que se tomen todas las ramas y rutas posibles a través del software. En algunas aplicaciones de nivel SIL superior , el requisito de cobertura del código de software es mucho más estricto y se utiliza un criterio de cobertura de código MC/DC en lugar de una simple cobertura de rama. Para obtener la información de cobertura de MC/DC (cobertura de decisión/condición modificada), se necesitará una herramienta de prueba unitaria, a veces denominada herramienta de prueba de módulo de software.

Ver también

• Seguridad funcional
• Estándares de seguridad
• FMEDA
• Nivel de viaje espurio
• Sistema activado por tiempo (una arquitectura de software utilizada para lograr el cumplimiento de IEC 61508)
• Calidad del software

Referencias

1. Evaluación y confiabilidad de la seguridad de los sistemas de control . ES UN. 2010. ISBN 978-1-934394-80-9.
2. Hamann, Reinhold; Sauler, Jürgen; Kriso, Stefan; Grote, Walter; Mössinger, Jürgen (20 de abril de 2009). "Aplicación de ISO 26262 en Desarrollo Distribuido ISO 26262 en la Realidad". Serie de artículos técnicos SAE . 1 . Warrendale, PA: SAE Internacional. doi :10.4271/2009-01-0758.
3. "Sitio web de MISRA> Inicio de MISRA> Una breve historia de MISRA". www.misra.org.uk . Consultado el 23 de febrero de 2021 .
4. Directrices de desarrollo para software basado en vehículos . MIRA. 1994.ISBN​ 0952415607.
5. "Sitio web de MISRA > Noticias". www.misra.org.uk . Consultado el 23 de febrero de 2021 .
6. Hadj-Mabrouk, Habib (1 de noviembre de 2020). "Aplicación del razonamiento basado en casos a la evaluación de seguridad de software crítico utilizado en el transporte ferroviario". Ciencia de la seguridad . 131 : 104928. doi : 10.1016/j.ssci.2020.104928. ISSN  0925-7535.
7. "ISO - 27.120.20 - Centrales nucleares. Seguridad". www.iso.org . Consultado el 23 de febrero de 2021 .

Otras lecturas

Normas de seguridad relacionadas

• ISO 26262 (es una adaptación de IEC 61508 ^[1] con diferencias menores ^[2] )
• IEC 60730 ^[3] (hogar)
• DO-178C (aeroespacial)

Libros de texto

• W. Goble, "Evaluación y confiabilidad de la seguridad de los sistemas de control" (tercera edición ISBN 978-1-934394-80-9 , tapa dura, 458 páginas). 
• I. van Beurden, W. Goble, "Técnicas de diseño y verificación del diseño de sistemas instrumentados de seguridad" (primera edición ISBN 978-1-945541-43-8 , 430 páginas). 
• MJM Houtermans, "SIL y seguridad funcional en pocas palabras" (Mejores prácticas de Risknowlogy, primera edición, libro electrónico en formato PDF, ePub e iBook, 40 páginas) SIL y seguridad funcional en pocas palabras: libro electrónico que presenta SIL y seguridad funcional
• M. Medoff, R. Faller, "Seguridad funcional: un proceso de desarrollo compatible con IEC 61508 SIL 3" (tercera edición, ISBN 978-1-934977-08-8 Tapa dura, 371 páginas, www.exida.com) 
• C. O'Brien, L. Stewart, L. Bredemeyer, "Elementos finales en sistemas instrumentados de seguridad: sistemas compatibles con IEC 61511 y productos compatibles con IEC 61508" (primera edición, 2018, ISBN 978-1-934977-18-7 , tapa dura , 305 páginas, www.exida.com) 
• Münch, Jürgen; Armbrust, Ove; Soto, Martín; Kowalczyk, Martín. “Definición y gestión de procesos de software”, Springer, 2012.
• M.Punch, "Seguridad funcional para la industria minera: un enfoque integrado que utiliza AS(IEC)61508, AS(IEC) 62061 y AS4024.1". (1ª Edición, ISBN 978-0-9807660-0-4 , en rústica A4, 150 páginas). 
• D.Smith, K Simpson, "Manual de sistemas críticos para la seguridad: una guía sencilla para la seguridad funcional, IEC 61508 (edición de 2010) y normas relacionadas, incluido el proceso IEC 61511 y maquinaria IEC 62061 e ISO 13849" (tercera edición ISBN 978-0- 08-096781-3 , tapa dura, 288 páginas). 

enlaces externos

• IEC 61508-1:2010 Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad - Partes 1
• "IEC 61508" en la Comisión Electrotécnica Internacional
• Zona de seguridad funcional IEC
• Asociación 61508 Un grupo intersectorial de organizaciones interesadas en lograr un método confiable y rentable para demostrar el cumplimiento de IEC 61508 y estándares relacionados.

1. "Relación entre ISO 26262 e IEC 61508". ez.analog.com . Consultado el 11 de abril de 2021 .
2. "Seguridad funcional automotriz versus industrial". ez.analog.com . Consultado el 11 de abril de 2021 .
3. "IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Tienda web IEC". tienda web.iec.ch. Consultado el 11 de abril de 2021 .