Nivel de integridad de seguridad

En seguridad funcional , el nivel de integridad de seguridad ( SIL ) se define como el nivel relativo de reducción de riesgo proporcionado por una función instrumentada de seguridad (SIF), es decir, la medición del desempeño requerido de la SIF. ^[1]

En las normas de seguridad funcional basadas en la norma IEC 61508 se definen cuatro SIL, siendo SIL4 el más confiable y SIL1 el menos confiable. El SIL aplicable se determina en función de una serie de factores cuantitativos en combinación con factores cualitativos, como evaluaciones de riesgos y gestión del ciclo de vida de seguridad . Sin embargo, otras normas pueden tener diferentes definiciones de números SIL. ^[2]

Asignación de SIL

La asignación o distribución de SIL es un ejercicio de análisis de riesgos en el que se calcula el riesgo asociado a un peligro específico, contra el cual se pretende proteger mediante un SIF, sin el efecto beneficioso de reducción de riesgo del SIF. Luego, ese riesgo no mitigado se compara con un objetivo de riesgo tolerable. La diferencia entre el riesgo no mitigado y el riesgo tolerable, si el riesgo no mitigado es mayor que el tolerable, debe abordarse mediante la reducción de riesgo proporcionada por el SIF. Esta cantidad de reducción de riesgo requerida se correlaciona con el objetivo de SIL. En esencia, cada orden de magnitud de reducción de riesgo que se requiere se correlaciona con un aumento en SIL, hasta un máximo de SIL4. Si la evaluación de riesgos establece que el SIL requerido no se puede lograr con un SIF SIL4, entonces se deben diseñar disposiciones alternativas, como salvaguardas no instrumentadas (por ejemplo, una válvula de alivio de presión ). ^[1]

Existen varios métodos que se utilizan para asignar un SIL. Normalmente, se utilizan en combinación y pueden incluir: ^[1]

Matrices de riesgo
Gráficos de riesgo
Análisis de la capa de protección (LOPA)

De los métodos presentados anteriormente, LOPA es por lejos el más comúnmente utilizado en grandes instalaciones industriales, como por ejemplo plantas de procesos químicos .

La asignación se puede probar utilizando enfoques pragmáticos y de controlabilidad, aplicando la guía de la industria como la publicada por la HSE del Reino Unido . ^[3] Los procesos de asignación de SIL que utilizan la guía de la HSE para ratificar las asignaciones desarrolladas a partir de Matrices de Riesgo han sido certificados para cumplir con la norma IEC 61508 .

Problemas

Existen varios problemas inherentes al uso de niveles de integridad de seguridad. Estos pueden resumirse de la siguiente manera: ^{[ cita requerida ]}

Mala armonización de las definiciones entre los diferentes organismos de normalización que utilizan SIL. ^[2]
Métricas orientadas a procesos para la derivación de SIL.
Estimación de SIL basada en estimaciones de confiabilidad.
La complejidad del sistema, particularmente en sistemas de software, hace que la estimación del SIL sea difícil o imposible.

Esto lleva a afirmaciones erróneas como la tautología "Este sistema es un sistema SIL N porque el proceso adoptado durante su desarrollo fue el proceso estándar para el desarrollo de un sistema SIL N", o el uso del concepto SIL fuera de contexto como "Este es un intercambiador de calor SIL 3 " o "Este software es SIL 2". Según IEC 61508, el concepto SIL debe estar relacionado con la tasa de fallas peligrosas de un sistema, no solo con su tasa de fallas o la tasa de fallas de un componente, como el software. La definición de los modos de falla peligrosos mediante análisis de seguridad es intrínseca a la determinación adecuada de la tasa de fallas. ^{[ cita requerida ]}

Tipos de SIL y certificación

La norma IEC 61508 de la Comisión Electrotécnica Internacional (IEC) define el SIL mediante requisitos agrupados en dos grandes categorías: integridad de seguridad del hardware e integridad de seguridad sistemática . Un dispositivo o sistema debe cumplir los requisitos de ambas categorías para alcanzar un determinado SIL.

Los requisitos de SIL para la integridad de seguridad del hardware se basan en un análisis probabilístico del dispositivo. Para alcanzar un determinado SIL, el dispositivo debe cumplir los objetivos de máxima probabilidad de fallo peligroso y una fracción mínima de fallo seguro. El concepto de "fallo peligroso" debe definirse rigurosamente para el sistema en cuestión, normalmente en forma de restricciones de requisitos cuya integridad se verifica durante todo el desarrollo del sistema. Los objetivos reales requeridos varían según la probabilidad de una demanda, la complejidad de los dispositivos y los tipos de redundancia utilizados.

La PFD ( probabilidad de fallo peligroso bajo demanda ) y el RRF ( factor de reducción de riesgo ) de funcionamiento a baja demanda para diferentes SIL según se define en IEC EN 61508 son los siguientes:

Para el funcionamiento continuo, estos cambian a lo siguiente, donde PFH es la probabilidad de falla peligrosa por hora.

Los peligros de un sistema de control deben identificarse y luego analizarse mediante un análisis de riesgos. La mitigación de estos riesgos continúa hasta que su contribución general al peligro se considere aceptable. El nivel tolerable de estos riesgos se especifica como un requisito de seguridad en forma de un objetivo de "probabilidad de un fallo peligroso" en un período de tiempo determinado, expresado como un SIL discreto.

Los esquemas de certificación, como el Esquema CASS (Evaluación de la conformidad de sistemas relacionados con la seguridad) se utilizan para establecer si un dispositivo cumple con un SIL particular. ^[4] Los terceros que pueden proporcionar la certificación son CSA Group Testing (anteriormente conocido como SIRA), TüV y Exida, entre otros. La autocertificación también es posible. Los requisitos de estos esquemas se pueden cumplir ya sea estableciendo un proceso de desarrollo riguroso o estableciendo que el dispositivo tiene un historial operativo suficiente para argumentar que ha sido probado en uso. La certificación se logra demostrando la capacidad de seguridad funcional (FSC) de la organización, generalmente mediante la evaluación de su programa de gestión de seguridad funcional (FSM), y la evaluación de las actividades de diseño y ciclo de vida del producto a certificar, que se realiza en función de especificaciones, documentos de diseño, especificaciones y resultados de pruebas, predicciones de tasa de fallas , FMEA , etc. ^[5]

Los dispositivos eléctricos y electrónicos pueden certificarse para su uso en aplicaciones de seguridad funcional según la norma IEC 61508. Existen varias normas específicas para cada aplicación basadas en la norma IEC 61508 o adaptadas de ella, como la IEC 61511 para el sector de la industria de procesos. Esta norma se utiliza en las industrias petroquímica y química peligrosa, entre otras. ^[5]

Normas

Las siguientes normas utilizan SIL como medida de confiabilidad y/o reducción de riesgos.

ANSI/ISA S84 (seguridad funcional de sistemas instrumentados de seguridad para el sector de la industria de procesos)
IEC 61508 (seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad)
- IEC 61511 (implementación de IEC 61508 en el sector de la industria de procesos)
- IEC 61513 (implementación de IEC 61508 en la industria nuclear)
- IEC 62061 (implementación de IEC 61508 en el ámbito de la seguridad de las máquinas)
EN 50128 (aplicaciones ferroviarias: software para control y protección ferroviaria)
EN 50129 (aplicaciones ferroviarias: sistemas electrónicos de señalización relacionados con la seguridad)
EN 50657 (aplicaciones ferroviarias: software a bordo del material rodante)
EN 50402 ( sistemas fijos de detección de gas )
ISO 26262 (industria automotriz)
MISRA (Directrices para el análisis, modelado y programación de seguridad en aplicaciones automotrices)

Véase también

Referencias

^ abc Marszal, Edward M.; Scharpf, Eric W. (2002). Selección del nivel de integridad de seguridad: métodos sistemáticos que incluyen análisis de capas de protección . Research Triangle Park, Carolina del Norte: ISA – The Instrumentation, Systems, and Automation Society . ISBN 1-55617-777-1.
^ ab Redmill, Felix (2000). "Comprensión del uso, mal uso y abuso de los niveles de integridad de seguridad" . Consultado el 7 de julio de 2023 .
^ Charlwood, Mark; Turner, Shane; Worsell, Nicola (2004). Una metodología para la asignación de niveles de integridad de seguridad (SIL) a funciones de control relacionadas con la seguridad implementadas por sistemas de control electrónico programable, electrónico y eléctrico relacionados con la seguridad de máquinas (PDF) . Informe de investigación 216. Sudbury: HSE Books . ISBN 0-7176-2832-9.
^ Jones, C.; Bloomfield, RE; Froome, PKD; Bishop, PG (2001). Métodos para evaluar la integridad de seguridad de software relacionado con la seguridad de pedigrí incierto (SOUP) (PDF) . Informe de investigación 337/2001. Sudbury: HSE Books . pág. 6. ISBN. 0-7176-2011-5.
^ ab Smith, David J.; Simpson, Kenneth GL (2016). Manual de sistemas críticos de seguridad (4.ª ed.). Kidlington y Cambridge, Mass.: Butterworth-Heinemann . ISBN 978-0-12-805121-4.

Lectura adicional

Hartmann, H.; Thomas, H.; Scharpf, E. (2022). Selección práctica de objetivos SIL: análisis de riesgos según el ciclo de vida de seguridad IEC 61511. Exida. ISBN 978-1-934977-20-0
Houtermans, MJM (2014). SIL y seguridad funcional en pocas palabras (2.ª ed.). Prime Intelligence. ASIN B00MTWSBG2
Medoff, M.; Faller, R. (2014). Seguridad funcional: un proceso de desarrollo conforme a IEC 61508 SIL 3 (3.ª ed.). Exida. ISBN 978-1-934977-08-8
Punch, Marcus (2013). Seguridad funcional para las industrias mineras y basadas en maquinaria (2.ª ed.). Tenambit, NSW: Marcus Punch. ISBN 978-0-9807660-0-4

Enlaces externos

61508.org - La Asociación 61508
Seguridad funcional, una guía básica
Seguridad IEC y seguridad funcional - El sitio de seguridad funcional de IEC
Manual de nivel de integridad de seguridad (archivado) - Manual SIL de Pepperl+Fuchs