IEC 61508

Norma internacional para sistemas relacionados con la seguridad

La norma IEC 61508 es una norma internacional publicada por la Comisión Electrotécnica Internacional (IEC) que contiene métodos sobre cómo aplicar, diseñar, implementar y mantener sistemas de protección automáticos denominados sistemas relacionados con la seguridad. Se titula Seguridad funcional de sistemas eléctricos/electrónicos/programables relacionados con la seguridad ( E/E/PE o E/E/PES ).

La norma IEC 61508 es una norma básica de seguridad funcional aplicable a todas las industrias. Define la seguridad funcional como: “parte de la seguridad general relacionada con el EUC (Equipo bajo control) y el sistema de control del EUC que depende del correcto funcionamiento de los sistemas relacionados con la seguridad E/E/PE, otros sistemas relacionados con la seguridad de la tecnología y las instalaciones externas de reducción de riesgos”. El concepto fundamental es que cualquier sistema relacionado con la seguridad debe funcionar correctamente o fallar de una manera predecible (segura).

La norma tiene dos principios fundamentales:

1. Se define un proceso de ingeniería llamado ciclo de vida de seguridad basado en las mejores prácticas para descubrir y eliminar errores y omisiones de diseño.
2. Un enfoque de falla probabilística para tener en cuenta el impacto de seguridad de las fallas del dispositivo.

El ciclo de vida de la seguridad tiene 16 fases que pueden dividirse aproximadamente en tres grupos como sigue:

1. Las fases 1 a 5 abordan el análisis
2. Las fases 6 a 13 abordan la realización
3. Las fases 14 a 16 abordan el funcionamiento.

Todas las fases están relacionadas con la función de seguridad del sistema.

La norma consta de siete partes:

• Las partes 1 a 3 contienen los requisitos de la norma (normativa)
• La parte 4 contiene definiciones
• Las partes 5 a 7 son pautas y ejemplos para el desarrollo y, por lo tanto, son informativos.

El concepto de riesgo probabilístico para cada función de seguridad es central en la norma. El riesgo es una función de la frecuencia (o probabilidad) del evento peligroso y la gravedad de las consecuencias del evento. El riesgo se reduce a un nivel tolerable mediante la aplicación de funciones de seguridad que pueden consistir en E/E/PES, dispositivos mecánicos asociados u otras tecnologías. Muchos requisitos se aplican a todas las tecnologías, pero se hace especial hincapié en la electrónica programable, especialmente en la Parte 3.

La norma IEC 61508 tiene las siguientes opiniones sobre los riesgos:

• El riesgo cero nunca se puede alcanzar, sólo se pueden reducir las probabilidades
• Los riesgos no tolerables deben reducirse ( ALARP )
• Se logra una seguridad óptima y rentable cuando se aborda todo el ciclo de vida de la seguridad.

Las técnicas específicas garantizan que se eviten errores y equivocaciones a lo largo de todo el ciclo de vida. Los errores introducidos en cualquier momento, desde el concepto inicial, el análisis de riesgos, la especificación, el diseño, la instalación, el mantenimiento y la eliminación, podrían socavar incluso la protección más fiable. La norma IEC 61508 especifica las técnicas que se deben utilizar en cada fase del ciclo de vida. Las siete partes de la primera edición de la norma IEC 61508 se publicaron en 1998 y 2000. La segunda edición se publicó en 2010.

Análisis de peligros y riesgos

La norma exige que se realice una evaluación de peligros y riesgos para sistemas personalizados: 'Se deberá evaluar o estimar el riesgo EUC (equipo bajo control) para cada evento peligroso determinado'.

La norma recomienda que “se pueden utilizar técnicas de análisis de riesgos y peligros tanto cualitativas como cuantitativas” y ofrece orientación sobre diversos enfoques. Uno de ellos, para el análisis cualitativo de los peligros, es un marco basado en seis categorías de probabilidad de ocurrencia y cuatro de consecuencia.

Categorías de probabilidad de ocurrencia

Categorías de consecuencias

Estos normalmente se combinan en una matriz de clases de riesgo.

Dónde:

• Clase I: Inaceptable en cualquier circunstancia;
• Clase II: Indeseable: tolerable sólo si la reducción del riesgo es impracticable o si los costos son extremadamente desproporcionados con respecto a la mejora obtenida;
• Clase III: Tolerable si el costo de la reducción del riesgo excedería la mejora;
• Clase IV: Aceptable tal como está, aunque puede ser necesario supervisarla.

Nivel de integridad de seguridad

El nivel de integridad de seguridad (SIL) proporciona un objetivo que se debe alcanzar para cada función de seguridad. Una evaluación de riesgos arroja un SIL objetivo para cada función de seguridad. Para cualquier diseño dado, el SIL alcanzado se evalúa mediante tres medidas:

1. Capacidad sistemática (SC), que es una medida de la calidad del diseño. Cada dispositivo del diseño tiene una clasificación SC. La SIL de la función de seguridad se limita a la clasificación SC más pequeña de los dispositivos utilizados. Los requisitos para la SC se presentan en una serie de tablas en la Parte 2 y la Parte 3. Los requisitos incluyen control de calidad adecuado, procesos de gestión, técnicas de validación y verificación, análisis de fallas, etc., de modo que se pueda justificar razonablemente que el sistema final alcanza la SIL requerida.

2. Restricciones de arquitectura que son niveles mínimos de redundancia de seguridad presentados a través de dos métodos alternativos: Ruta 1h y Ruta 2h.

3. Análisis de probabilidad de fallo peligroso ^[1]

Análisis probabilístico

La métrica de probabilidad utilizada en el paso 3 anterior depende de si el componente funcional estará expuesto a una demanda alta o baja :

• La alta demanda se define como más de una vez al año y la baja demanda se define como menos o igual a una vez al año (IEC-61508-4).
• Para las funciones que operan de forma continua (modo continuo) o funciones que operan con frecuencia (modo de alta demanda), SIL especifica una frecuencia permitida de falla peligrosa.
• Para las funciones que operan de manera intermitente (modo de baja demanda), SIL especifica una probabilidad permitida de que la función no responda cuando se la demanda.

Tenga en cuenta la diferencia entre función y sistema. El sistema que implementa la función puede estar en funcionamiento con frecuencia (como una ECU para desplegar un airbag), pero la función (como el despliegue del airbag) puede estar en uso de forma intermitente.

Certificación IEC 61508

La certificación es la atestación de un tercero de que un producto, proceso o sistema cumple con todos los requisitos del programa de certificación. Esos requisitos se enumeran en un documento llamado esquema de certificación. Los programas de certificación IEC 61508 son operados por organizaciones de terceros imparciales llamadas organismos de certificación (OC). Estos OC están acreditados para operar de acuerdo con otras normas internacionales, incluidas ISO/IEC 17065 e ISO/IEC 17025. Los organismos de certificación están acreditados para realizar el trabajo de auditoría, evaluación y prueba por un organismo de acreditación (OA). A menudo hay un OA nacional en cada país. Estos OA operan de acuerdo con los requisitos de ISO/IEC 17011, una norma que contiene requisitos para la competencia, coherencia e imparcialidad de los organismos de acreditación al acreditar organismos de evaluación de la conformidad. Los OA son miembros del Foro Internacional de Acreditación (IAF) para el trabajo en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de laboratorios. Un Acuerdo de Reconocimiento Multilateral (MLA) entre los OA garantizará el reconocimiento global de los OC acreditados. Varios organismos de certificación globales han establecido programas de certificación IEC 61508. Cada uno ha definido su propio esquema basado en IEC 61508 y otras normas de seguridad funcional. El esquema enumera las normas a las que se hace referencia y especifica los procedimientos que describen sus métodos de prueba, política de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Varios OC reconocidos, entre ellos exida, Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD y UL , ofrecen programas de certificación IEC 61508 a nivel mundial.

Variantes específicas de la industria/aplicación

Automotor

La norma ISO 26262 es una adaptación de la norma IEC 61508 para sistemas eléctricos y electrónicos de automoción. Los principales fabricantes de automóviles la están adoptando ampliamente. ^[2]

Antes de la introducción de la norma ISO 26262, el desarrollo de software para sistemas de seguridad relacionados con la automoción se cubría principalmente con las directrices de la Asociación de Confiabilidad de Software de la Industria Automotriz (MISRA). ^[3] El proyecto MISRA se concibió para desarrollar directrices para la creación de software integrado en sistemas electrónicos de vehículos de carretera. ^[3] En noviembre de 1994 se publicó un conjunto de directrices para el desarrollo de software basado en vehículos . ^[4] Este documento proporcionó la primera interpretación de la industria automotriz de los principios de la entonces emergente norma IEC 61508. ^[3]

Hoy en día, MISRA es más conocido por sus pautas sobre cómo utilizar los lenguajes C y C++. ^[5] MISRA C se ha convertido en el estándar de facto para la programación C integrada en la mayoría de las industrias relacionadas con la seguridad, y también se utiliza para mejorar la calidad del software incluso cuando la seguridad no es la consideración principal.

Carril

La norma IEC 62279 ofrece una interpretación específica de la norma IEC 61508 para aplicaciones ferroviarias. Su objetivo es cubrir el desarrollo de software para el control y la protección de los ferrocarriles, incluidos los sistemas de comunicaciones, señalización y procesamiento. Las normas EN 50128 y EN 50657 son normas CENELEC equivalentes a la norma IEC 62279. ^[6]

Industrias de proceso

El sector de la industria de procesos incluye muchos tipos de procesos de fabricación, como refinerías, petroquímicas, químicas, farmacéuticas, de pulpa y papel y de energía. La norma IEC 61511 es una norma técnica que establece prácticas en la ingeniería de sistemas que garantizan la seguridad de un proceso industrial mediante el uso de instrumentación.

Centrales eléctricas

La norma IEC 61513 establece los requisitos y recomendaciones para la instrumentación y el control de los sistemas importantes para la seguridad de las centrales nucleares. Indica los requisitos generales para los sistemas que contienen equipos cableados convencionales, equipos informáticos o una combinación de ambos tipos de equipos. La ISO ha publicado una lista general de normas de seguridad específicas para las centrales nucleares. ^[7]

Maquinaria

La norma IEC 62061 es la implementación específica para maquinaria de la norma IEC 61508. Proporciona requisitos que son aplicables al diseño a nivel de sistema de todos los tipos de sistemas de control eléctrico relacionados con la seguridad de la maquinaria y también para el diseño de subsistemas o dispositivos no complejos.

Prueba de software

Es posible que sea necesario realizar pruebas unitarias del software escrito de acuerdo con la norma IEC 61508 , según el nivel de integridad de seguridad (SIL) que se necesite alcanzar. El requisito principal de las pruebas unitarias es garantizar que el software se pruebe por completo a nivel de función y que se tomen todas las posibles ramificaciones y rutas a través del software. En algunas aplicaciones con un nivel de integridad de seguridad más alto, el requisito de cobertura del código del software es mucho más estricto y se utiliza un criterio de cobertura del código MC/DC en lugar de una simple cobertura de ramificación. Para obtener la información de cobertura MC/DC (cobertura de condición/decisión modificada), se necesitará una herramienta de pruebas unitarias, a veces denominada herramienta de pruebas de módulos de software.

Véase también

• Seguridad funcional
• Normas de seguridad
• FMEDA
• Nivel de disparo espurio
• Sistema activado por tiempo (una arquitectura de software utilizada para lograr el cumplimiento de la norma IEC 61508)
• Calidad del software

Referencias

1. Evaluación de la seguridad y confiabilidad de los sistemas de control . ISA. 2010. ISBN 978-1-934394-80-9.
2. Hamann, Reinhold; Sauler, Jürgen; Kriso, Stefan; Grote, Walter; Mössinger, Jürgen (20 de abril de 2009). "Aplicación de la norma ISO 26262 en el desarrollo distribuido ISO 26262 en la realidad". Serie de documentos técnicos de la SAE . 1 . Warrendale, PA: SAE International. doi :10.4271/2009-01-0758.
3. "Sitio web de MISRA > Página de inicio de MISRA > Breve historia de MISRA". www.misra.org.uk . Archivado desde el original el 2021-06-25 . Consultado el 2021-02-23 .
4. Directrices de desarrollo para software basado en vehículos . MISRA. 1994. ISBN 0952415607.
5. "Sitio web de MISRA > Noticias". www.misra.org.uk . Consultado el 23 de febrero de 2021 .
6. Hadj-Mabrouk, Habib (1 de noviembre de 2020). "Aplicación del razonamiento basado en casos a la evaluación de seguridad del software crítico utilizado en el transporte ferroviario". Safety Science . 131 : 104928. doi :10.1016/j.ssci.2020.104928. ISSN  0925-7535.
7. "ISO - 27.120.20 - Centrales nucleares. Seguridad". www.iso.org . Consultado el 23 de febrero de 2021 .

Lectura adicional

Normas de seguridad relacionadas

• ISO 26262 (es una adaptación de IEC 61508 ^[1] con pequeñas diferencias ^[2] )
• IEC 60730 ^[3] (Hogar)
• DO-178C (Aeroespacial)

Libros de texto

• W. Goble, "Evaluación de seguridad y confiabilidad de los sistemas de control" (3.ª edición ISBN 978-1-934394-80-9 , tapa dura, 458 páginas). 
• I. van Beurden, W. Goble, "Diseño de sistemas instrumentados de seguridad: técnicas y verificación del diseño" (1.ª edición, ISBN 978-1-945541-43-8 , 430 páginas). 
• MJM Houtermans, "SIL y seguridad funcional en pocas palabras" (Risknowlogy Best Practices, 1.ª edición, libro electrónico en formato PDF, ePub y iBook, 40 páginas) SIL y seguridad funcional en pocas palabras: libro electrónico que presenta SIL y seguridad funcional
• M. Medoff, R. Faller, "Seguridad funcional: un proceso de desarrollo conforme a IEC 61508 SIL 3" (3.ª edición, ISBN 978-1-934977-08-8, tapa dura, 371 páginas, www.exida.com) 
• C. O'Brien, L. Stewart, L. Bredemeyer, "Elementos finales en sistemas instrumentados de seguridad: sistemas que cumplen con la norma IEC 61511 y productos que cumplen con la norma IEC 61508" (1.ª edición, 2018, ISBN 978-1-934977-18-7 , tapa dura, 305 páginas, www.exida.com) 
• Münch, Jürgen; Armbrust, Ove; Soto, Martín; Kowalczyk, Martín. “Definición y gestión de procesos de software”, Springer, 2012.
• M.Punch, "Seguridad funcional para la industria minera: un enfoque integrado utilizando AS(IEC)61508, AS(IEC) 62061 y AS4024.1". (1.ª edición, ISBN 978-0-9807660-0-4 , en tapa blanda A4, 150 páginas). 
• D. Smith, K Simpson, "Manual de sistemas críticos de seguridad: una guía sencilla para la seguridad funcional, IEC 61508 (edición 2010) y normas relacionadas, incluidos procesos IEC 61511 y maquinaria IEC 62061 e ISO 13849" (3.ª edición ISBN 978-0-08-096781-3 , tapa dura, 288 páginas). 

Enlaces externos

• IEC 61508-1:2010 Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad - Partes 1
• "IEC 61508" en la Comisión Electrotécnica Internacional
• Zona de seguridad funcional IEC
• Asociación 61508 Un grupo intersectorial de organizaciones con interés en lograr un método confiable y rentable para demostrar el cumplimiento de la norma IEC 61508 y otras normas relacionadas.

1. "Relación entre ISO 26262 e IEC 61508". ez.analog.com . Consultado el 11 de abril de 2021 .
2. "Seguridad funcional automotriz vs. seguridad funcional industrial". ez.analog.com . Consultado el 11 de abril de 2021 .
3. "IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV | Tienda web de IEC". webstore.iec.ch . Consultado el 11 de abril de 2021 .