La ingeniería de seguridad es una disciplina de ingeniería que garantiza que los sistemas diseñados proporcionen niveles aceptables de seguridad . Está estrechamente relacionada con la ingeniería industrial / ingeniería de sistemas y el subconjunto ingeniería de seguridad de sistemas . La ingeniería de seguridad garantiza que un sistema crítico para la vida se comporte como es necesario, incluso cuando fallan los componentes .
Las técnicas de análisis pueden dividirse en dos categorías: métodos cualitativos y cuantitativos . Ambos enfoques comparten el objetivo de encontrar dependencias causales entre un peligro a nivel de sistema y fallas de componentes individuales. Los enfoques cualitativos se centran en la pregunta "¿Qué debe fallar para que ocurra un peligro para el sistema?", mientras que los métodos cuantitativos apuntan a brindar estimaciones sobre probabilidades, tasas y/o gravedad de las consecuencias.
La complejidad de los sistemas técnicos, como las mejoras de diseño y materiales, las inspecciones planificadas, el diseño a prueba de errores y la redundancia de respaldo, disminuyen el riesgo y aumentan el costo. El riesgo se puede reducir a niveles ALARA (tan bajo como sea razonablemente posible) o ALAPA (tan bajo como sea prácticamente posible).
Tradicionalmente, las técnicas de análisis de seguridad dependen únicamente de las habilidades y la experiencia del ingeniero de seguridad. En la última década, los enfoques basados en modelos , como el STPA (análisis de procesos teóricos de sistemas), han cobrado importancia. A diferencia de los métodos tradicionales, las técnicas basadas en modelos intentan derivar relaciones entre causas y consecuencias a partir de algún tipo de modelo del sistema.
Las dos técnicas de modelado de fallas más comunes se denominan análisis de modos de falla y efectos (FMEA) y análisis de árboles de fallas (FTA). Estas técnicas son simplemente formas de encontrar problemas y hacer planes para enfrentar las fallas, como en la evaluación de riesgos probabilística . Uno de los primeros estudios completos que utilizaron esta técnica en una planta nuclear comercial fue el estudio WASH-1400 , también conocido como Estudio de seguridad del reactor o Informe Rasmussen.
El análisis de modos de falla y efectos (FMEA) es un método analítico inductivo de abajo hacia arriba que se puede realizar a nivel funcional o de pieza por pieza. Para el FMEA funcional, se identifican los modos de falla para cada función en un sistema o elemento de equipo, generalmente con la ayuda de un diagrama de bloques funcional . Para el FMEA de pieza por pieza, se identifican los modos de falla para cada componente de pieza por pieza (como una válvula, un conector, una resistencia o un diodo). Se describen los efectos del modo de falla y se les asigna una probabilidad basada en la tasa de falla y la relación de modos de falla de la función o el componente. Esta cuantificación es difícil para el software: existe o no un error, y los modelos de falla utilizados para los componentes de hardware no se aplican. La temperatura, la edad y la variabilidad de fabricación afectan a una resistencia; no afectan al software.
Los modos de falla con efectos idénticos se pueden combinar y resumir en un Resumen de efectos de modos de falla. Cuando se combina con el análisis de criticidad, el FMEA se conoce como Análisis de modos de falla, efectos y criticidad o FMECA.
El análisis de árbol de fallas (FTA, por sus siglas en inglés) es un método analítico deductivo de arriba hacia abajo . En el FTA, los eventos primarios de inicio, como fallas de componentes, errores humanos y eventos externos, se rastrean a través de puertas lógicas booleanas hasta un evento principal no deseado, como un accidente aéreo o la fusión del núcleo de un reactor nuclear. El objetivo es identificar formas de hacer que los eventos principales sean menos probables y verificar que se hayan alcanzado los objetivos de seguridad.
Los árboles de fallas son una inversa lógica de los árboles de éxito y pueden obtenerse aplicando el teorema de Morgan a los árboles de éxito (que están directamente relacionados con los diagramas de bloques de confiabilidad ).
El análisis de fallas puede ser cualitativo o cuantitativo. Cuando se desconocen las probabilidades de fallas y eventos, se pueden analizar árboles de fallas cualitativos para conjuntos de cortes mínimos. Por ejemplo, si cualquier conjunto de cortes mínimos contiene un solo evento base, entonces el evento superior puede ser causado por una sola falla. El análisis de fallas cuantitativo se utiliza para calcular la probabilidad del evento superior y, por lo general, requiere software de computadora como CAFTA del Instituto de Investigación de Energía Eléctrica o SAPHIRE del Laboratorio Nacional de Idaho .
Algunas industrias utilizan árboles de fallas y árboles de eventos . Un árbol de eventos comienza con un iniciador no deseado (pérdida de suministro crítico, falla de un componente, etc.) y sigue posibles eventos posteriores del sistema hasta una serie de consecuencias finales. A medida que se considera cada nuevo evento, se agrega un nuevo nodo en el árbol con una división de probabilidades de tomar cualquiera de las ramas. Luego se pueden ver las probabilidades de una serie de "eventos principales" que surgen del evento inicial.
La industria del petróleo y el gas en alta mar utiliza una técnica de análisis cualitativo de los sistemas de seguridad para garantizar la protección de los sistemas y plataformas de producción en alta mar. El análisis se utiliza durante la fase de diseño para identificar los peligros de ingeniería de procesos junto con las medidas de mitigación de riesgos. La metodología se describe en la Práctica recomendada 14C del Instituto Americano del Petróleo: Análisis, diseño, instalación y prueba de sistemas básicos de seguridad de superficie para plataformas de producción en alta mar.
La técnica utiliza métodos de análisis de sistemas para determinar los requisitos de seguridad para proteger cualquier componente de proceso individual, por ejemplo, un recipiente, una tubería o una bomba . [1] Los requisitos de seguridad de los componentes individuales se integran en un sistema de seguridad de plataforma completo, que incluye contención de líquidos y sistemas de soporte de emergencia como detección de incendios y gases. [1]
La primera etapa del análisis identifica los componentes individuales del proceso, estos pueden incluir: líneas de flujo, cabezales, recipientes a presión , recipientes atmosféricos, calentadores encendidos , componentes calentados por escape, bombas, compresores , tuberías e intercambiadores de calor . [2] Cada componente está sujeto a un análisis de seguridad para identificar eventos indeseables (falla del equipo, alteraciones del proceso, etc.) para los cuales se debe proporcionar protección. [3] El análisis también identifica una condición detectable (por ejemplo, alta presión ) que se utiliza para iniciar acciones para prevenir o minimizar el efecto de eventos indeseables. Una Tabla de análisis de seguridad (SAT) para recipientes a presión incluye los siguientes detalles. [3] [4]
Otros eventos indeseables para un recipiente a presión son la subpresión, el paso de gas, las fugas y el exceso de temperatura junto con sus causas asociadas y condiciones detectables. [4]
Una vez identificados los eventos, las causas y las condiciones detectables, la siguiente etapa de la metodología utiliza una Lista de verificación de análisis de seguridad (SAC) para cada componente. [5] En ella se enumeran los dispositivos de seguridad que pueden ser necesarios o los factores que anulan la necesidad de dicho dispositivo. Por ejemplo, en el caso de desbordamiento de líquido de un recipiente (como se indicó anteriormente), la SAC identifica: [6]
El análisis garantiza que se proporcionen dos niveles de protección para mitigar cada evento indeseable. Por ejemplo, para un recipiente a presión sometido a una sobrepresión, la protección primaria sería un PSH (interruptor de presión alta) para cortar el flujo de entrada al recipiente, y la protección secundaria la proporcionaría una válvula de seguridad de presión (PSV) en el recipiente. [8]
La siguiente etapa del análisis relaciona todos los dispositivos de detección, válvulas de cierre (ESV), sistemas de disparo y sistemas de soporte de emergencia en forma de un diagrama de Evaluación de Función de Análisis de Seguridad (SAFE). [2] [9]
X indica que el dispositivo de detección de la izquierda (por ejemplo, PSH) inicia la acción de apagado o advertencia en la parte superior derecha (por ejemplo, cierre de ESV).
El diagrama SAFE constituye la base de los diagramas de causa y efecto que relacionan los dispositivos de detección con las válvulas de cierre y los disparos de la planta que definen la arquitectura funcional del sistema de cierre del proceso .
La metodología también especifica las pruebas de sistemas que son necesarias para garantizar la funcionalidad de los sistemas de protección. [10]
API RP 14C se publicó por primera vez en junio de 1974. [11] La octava edición se publicó en febrero de 2017. [12] API RP 14C se adaptó como estándar ISO ISO 10418 en 1993 con el título Industrias de petróleo y gas natural — Instalaciones de producción en alta mar — Análisis, diseño, instalación y prueba de sistemas básicos de seguridad de procesos de superficie. [13] La última edición de 2003 de ISO 10418 se encuentra actualmente (2019) en revisión.
Por lo general, las directrices de seguridad prescriben un conjunto de pasos, documentos entregables y criterios de salida centrados en la planificación, el análisis y el diseño, la implementación, la verificación y la validación, la gestión de la configuración y las actividades de garantía de calidad para el desarrollo de un sistema crítico para la seguridad. [14] Además, normalmente formulan expectativas con respecto a la creación y el uso de la trazabilidad en el proyecto. Por ejemplo, dependiendo del nivel de criticidad de un requisito, la directriz DO-178B/C de la Administración Federal de Aviación de los EE. UU. requiere trazabilidad desde los requisitos hasta el diseño , y desde los requisitos hasta el código fuente y el código objeto ejecutable para los componentes de software de un sistema. Por lo tanto, la información de trazabilidad de mayor calidad puede simplificar el proceso de certificación y ayudar a establecer confianza en la madurez del proceso de desarrollo aplicado. [15]
Por lo general, una falla en sistemas certificados de seguridad es aceptable [¿ por quién? ] si, en promedio, se pierde menos de una vida por cada 10 9 horas de operación continua debido a una falla. {según el documento AC 25.1309-1A de la FAA} La mayoría de los reactores nucleares , equipos médicos y aviones comerciales occidentales están certificados [ ¿por quién? ] a este nivel. [ cita requerida ] El costo versus la pérdida de vidas se ha considerado apropiado en este nivel (por la FAA para sistemas de aeronaves bajo las Regulaciones Federales de Aviación ). [16] [17] [18]
Una vez que se identifica un modo de falla, generalmente se puede mitigar agregando equipo adicional o redundante al sistema. Por ejemplo, los reactores nucleares contienen radiación peligrosa y las reacciones nucleares pueden causar tanto calor que ninguna sustancia podría contenerlas. Por lo tanto, los reactores tienen sistemas de enfriamiento de emergencia del núcleo para mantener baja la temperatura, blindaje para contener la radiación y barreras diseñadas (generalmente varias, anidadas, coronadas por un edificio de contención ) para evitar fugas accidentales. Por lo general, se requieren sistemas críticos para la seguridad que no permitan que un solo evento o falla de un componente resulte en un modo de falla catastrófico.
La mayoría de los organismos biológicos tienen cierta cantidad de redundancia: múltiples órganos, múltiples extremidades, etc.
Ante cualquier fallo, casi siempre se puede diseñar un sistema de conmutación por error o redundancia e incorporarlo al sistema.
Existen dos categorías de técnicas para reducir la probabilidad de fallo: las técnicas de prevención de fallos aumentan la fiabilidad de los elementos individuales (mayor margen de diseño, reducción de potencia, etc.) y las técnicas de tolerancia a fallos aumentan la fiabilidad del sistema en su conjunto (redundancias, barreras, etc.). [19]
La ingeniería de seguridad y la ingeniería de confiabilidad tienen mucho en común, pero la seguridad no es lo mismo que la confiabilidad. Si un dispositivo médico falla, debe hacerlo de manera segura; el cirujano dispondrá de otras alternativas. Si falla el motor de un avión monomotor, no hay respaldo. Las redes eléctricas están diseñadas tanto para la seguridad como para la confiabilidad; los sistemas telefónicos están diseñados para la confiabilidad, lo que se convierte en un problema de seguridad cuando se realizan llamadas de emergencia (por ejemplo, al 911 de EE. UU. ).
La evaluación probabilística de riesgos ha creado una estrecha relación entre la seguridad y la confiabilidad. La confiabilidad de los componentes, generalmente definida en términos de tasa de fallas de los componentes , y la probabilidad de eventos externos se utilizan en métodos de evaluación de seguridad cuantitativos como FTA. Los métodos probabilísticos relacionados se utilizan para determinar el tiempo medio entre fallas (MTBF) del sistema , la disponibilidad del sistema o la probabilidad de éxito o falla de la misión. El análisis de confiabilidad tiene un alcance más amplio que el análisis de seguridad, ya que se consideran fallas no críticas. Por otro lado, se consideran aceptables tasas de fallas más altas para sistemas no críticos.
En general, la seguridad no se puede lograr únicamente a través de la confiabilidad de los componentes. Las probabilidades de falla catastrófica de 10 −9 por hora corresponden a las tasas de falla de componentes muy simples, como resistencias o capacitores . Un sistema complejo que contenga cientos o miles de componentes podría lograr un MTBF de 10 000 a 100 000 horas, lo que significa que fallaría a 10 −4 o 10 −5 por hora. Si una falla del sistema es catastrófica, generalmente la única forma práctica de lograr una tasa de falla de 10 −9 por hora es a través de la redundancia.
Cuando no es práctico añadir equipos (normalmente por su elevado coste), la forma menos costosa de diseño suele ser la "protección intrínseca contra fallos", es decir, cambiar el diseño del sistema para que sus modos de fallo no sean catastróficos. Las protecciones intrínsecas contra fallos son habituales en equipos médicos, señales de tráfico y de ferrocarril, equipos de comunicaciones y equipos de seguridad.
El enfoque típico es organizar el sistema de manera que las fallas simples comunes hagan que el mecanismo se apague de manera segura (en el caso de las plantas de energía nuclear, esto se denomina diseño pasivamente seguro , aunque se cubren más fallas que las comunes). Alternativamente, si el sistema contiene una fuente de peligro, como una batería o un rotor, entonces puede ser posible eliminar el peligro del sistema de manera que sus modos de falla no puedan ser catastróficos. La Práctica estándar para la seguridad del sistema del Departamento de Defensa de los EE. UU. (MIL-STD-882) otorga la máxima prioridad a la eliminación de peligros a través de la selección del diseño. [20]
Uno de los sistemas de seguridad más comunes es el tubo de desbordamiento de los lavabos y los fregaderos de las cocinas. Si la válvula se queda abierta, en lugar de provocar un desbordamiento y daños, el depósito se derrama en un desbordamiento. Otro ejemplo común es el de un ascensor, el cable que sostiene la cabina mantiene abiertos los frenos accionados por resorte. Si el cable se rompe, los frenos se agarran a los raíles y la cabina del ascensor no se cae.
Algunos sistemas nunca pueden ser a prueba de fallos, ya que se necesita una disponibilidad continua. Por ejemplo, la pérdida de empuje del motor en vuelo es peligrosa. Para estas situaciones se utilizan redundancia, tolerancia a fallos o procedimientos de recuperación (por ejemplo, múltiples motores controlados y alimentados por combustible de forma independiente). Esto también hace que el sistema sea menos sensible a los errores de predicción de fiabilidad o a la incertidumbre inducida por la calidad de los elementos separados. Por otro lado, la detección y corrección de fallos y la evitación de fallos de causa común se vuelven cada vez más importantes para garantizar la fiabilidad a nivel del sistema. [21]
{{cite book}}
: CS1 maint: numeric names: authors list (link){{cite book}}
: CS1 maint: numeric names: authors list (link){{cite book}}
: CS1 maint: numeric names: authors list (link)