Seguridad funcional

Protección de los equipos en respuesta a las entradas

La seguridad funcional es la parte de la seguridad general de un sistema o equipo que depende de que la protección automática funcione correctamente en respuesta a sus entradas o fallas de manera predecible ( a prueba de fallas ). El sistema de protección automática debe estar diseñado para manejar adecuadamente los posibles errores sistemáticos , fallas de hardware y estrés operativo/ambiental.

Objetivo

El objetivo de la seguridad funcional es la eliminación de riesgos inaceptables de lesiones físicas o de daños a la salud de las personas, ya sea de forma directa o indirecta (a través de daños a la propiedad o al medio ambiente), mediante la implementación adecuada de una o más funciones de protección automáticas (a menudo denominadas funciones de seguridad). Un sistema de seguridad (a menudo denominado sistema relacionado con la seguridad) consta de una o más funciones de seguridad.

La seguridad funcional tiene un alcance intrínsecamente de extremo a extremo, ya que debe tratar la función de un componente o subsistema como parte de la función de protección automática completa de cualquier sistema. Por lo tanto, aunque las normas de seguridad funcional se centran en los sistemas eléctricos, electrónicos y programables (E/E/PS), el alcance de extremo a extremo significa que, en la práctica, los métodos de seguridad funcional deben extenderse a las partes no E/E/PS del sistema que los actuadores , válvulas y motores E/E/PS controlan o monitorean.

Lograr la seguridad funcional

La seguridad funcional se logra cuando se lleva a cabo cada función de seguridad especificada y se cumple el nivel de desempeño requerido para cada función de seguridad. Esto normalmente se logra mediante un proceso que incluye los siguientes pasos como mínimo:

1. Identificación de las funciones de seguridad requeridas. Esto significa que se deben conocer los peligros y las funciones de seguridad. Para identificarlas, se aplica un proceso de revisión de funciones, HAZID formales , HAZOP y revisiones de accidentes.
2. Evaluación de la reducción de riesgos requerida por la función de seguridad, que implicará un nivel de integridad de seguridad (SIL) o un nivel de desempeño u otra evaluación de cuantificación. Un SIL (o PL, AgPL, ASIL ) se aplica a una función de seguridad de extremo a extremo del sistema relacionado con la seguridad, no solo a un componente o una parte del sistema.
3. Garantizar que la función de seguridad funcione según lo previsto en el diseño, incluso en condiciones de entrada incorrecta del operador y modos de falla. Esto implicará que el diseño y el ciclo de vida sean gestionados por ingenieros calificados y competentes que lleven a cabo procesos de acuerdo con un estándar de seguridad funcional reconocido. En Europa, ese estándar es IEC EN 61508 , o uno de los estándares específicos de la industria derivados de IEC EN 61508, o para sistemas simples algún otro estándar como ISO 13849 .
4. Verificación de que el sistema cumple con el SIL, ASIL , PL o agPL asignados mediante la determinación de la probabilidad de falla peligrosa, la verificación de los niveles mínimos de redundancia y la revisión de la capacidad sistemática (SC). Estas tres métricas se han denominado "las tres barreras". ^[1] Los modos de falla de un dispositivo se determinan normalmente mediante el análisis de modos de falla y efectos del sistema (FMEA). Las probabilidades de falla para cada modo de falla se determinan normalmente utilizando el análisis de modos de falla, efectos y diagnóstico FMEDA .
5. Realizar auditorías de seguridad funcional para examinar y evaluar la evidencia de que las técnicas apropiadas de gestión del ciclo de vida de seguridad se aplicaron de manera consistente y exhaustiva en las etapas relevantes del ciclo de vida del producto.

Ni la seguridad ni la seguridad funcional pueden determinarse sin considerar el sistema en su totalidad y el entorno con el que interactúa. La seguridad funcional tiene un alcance inherentemente de extremo a extremo. Los sistemas modernos a menudo tienen software que comanda y controla intensivamente funciones críticas para la seguridad. Por lo tanto, la funcionalidad del software y el comportamiento correcto del software deben ser parte del esfuerzo de ingeniería de seguridad funcional para garantizar un riesgo de seguridad aceptable a nivel del sistema.

Certificación de seguridad funcional

Toda declaración de seguridad funcional de un componente, subsistema o sistema debe estar certificada de forma independiente según una de las normas de seguridad funcional reconocidas. De este modo, se puede afirmar que un producto certificado es funcionalmente seguro para un nivel de integridad de seguridad particular o un nivel de rendimiento en una gama específica de aplicaciones: el certificado y el informe de evaluación se proporcionan a los clientes y describen el alcance y los límites del rendimiento.

Organismos de certificación

La seguridad funcional es un campo técnicamente desafiante. Las certificaciones deben ser realizadas por organizaciones independientes con experiencia y una sólida profundidad técnica (electrónica, electrónica programable, mecánica y análisis probabilístico). La certificación de seguridad funcional la realizan organismos de certificación acreditados (OC). La acreditación la otorga un organismo de acreditación (AB). En la mayoría de los países hay un AB. En los Estados Unidos, el Instituto Nacional Estadounidense de Normas (ANSI) es el AB para la acreditación de seguridad funcional. En el Reino Unido, el Servicio de Acreditación del Reino Unido (UKAS) proporciona la acreditación de seguridad funcional. Los AB son miembros del Foro Internacional de Acreditación (IAF) para el trabajo en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de pruebas de laboratorio. Un acuerdo de reconocimiento multilateral (MLA) entre AB garantizará el reconocimiento global de los CB acreditados.

Los programas de certificación de seguridad funcional IEC 61508 han sido establecidos por varios organismos de certificación globales. Cada uno ha definido su propio esquema basado en IEC 61508 y otras normas de seguridad funcional. El esquema enumera las normas a las que se hace referencia y especifica los procedimientos que describen sus métodos de prueba, política de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Varios organismos de certificación reconocidos, entre ellos Intertek , SGS , TÜV Rheinland, TÜV SÜD y UL , ofrecen programas de certificación de seguridad funcional para las normas IEC 61508 a nivel mundial.

Un elemento importante de la certificación de seguridad funcional es la vigilancia continua por parte del organismo de certificación. La mayoría de las organizaciones de certificación de seguridad funcional han incluido auditorías de vigilancia en su esquema. La vigilancia de seguimiento garantiza que el producto, subsistema o sistema se siga fabricando de acuerdo con lo que se certificó originalmente para la seguridad funcional. La vigilancia de seguimiento puede realizarse con distintas frecuencias según el organismo de certificación, pero normalmente se centrará en el historial de fallos de campo del producto, los cambios en el diseño del hardware, los cambios en el software, así como en el cumplimiento continuo por parte del fabricante de los sistemas de gestión de seguridad funcional.

Aeroespacial militar

Para los sistemas aeroespaciales y de defensa militares, la norma MIL-STD-882E aborda los análisis de riesgos funcionales (FHA) y determina qué funciones implementadas en hardware y software son importantes para la seguridad. El enfoque de la seguridad funcional se centra en garantizar que las funciones críticas de seguridad y los subprocesos funcionales en el sistema, subsistema y software se analicen y verifiquen para comprobar su comportamiento correcto según los requisitos de seguridad, incluidas las condiciones de falla funcional y las fallas y la mitigación adecuada en el diseño. Estos principios de seguridad del sistema que sustentan la seguridad funcional se desarrollaron en las industrias militar, nuclear y aeroespacial, y luego fueron adoptados por las industrias de transporte ferroviario, procesos y control que desarrollaron estándares específicos del sector. Los estándares de seguridad funcional se aplican en todos los sectores industriales que tratan con requisitos críticos de seguridad y son especialmente aplicables en cualquier momento en que el software ordene, controle o monitoree una función crítica para la seguridad. Miles de productos y procesos cumplen con los estándares basados ​​en IEC 61508 : desde duchas de baño, ^[2] productos de seguridad automotriz, sensores, actuadores, equipos de buceo, ^[3] controladores de procesos ^{[4] [5] [6]} y su integración en barcos, aeronaves y plantas importantes.

Aviación

La FAA de los EE. UU. tiene procesos de certificación de seguridad funcional similares, en forma de ARP4761, US RTCA DO-178C para software y DO-254 para hardware electrónico complejo, ^{[7] [8]} que se aplica en toda la industria aeroespacial. La seguridad funcional y la garantía de diseño en aeronaves de transporte civil/comercial están documentadas en SAE ARP4754A como niveles de garantía de diseño funcional (FDALS). Los FDAL del sistema impulsan la profundidad del análisis de seguridad de ingeniería. El nivel de rigor (LOR) o las tareas de seguridad realizadas para garantizar un riesgo aceptable dependen de la identificación de la condición de falla funcional específica y la gravedad del peligro relacionado con las funciones críticas de seguridad (SCF). En muchos casos, el comportamiento funcional en el software integrado se analiza y prueba a fondo para garantizar que el sistema funcione como se espera en condiciones de falla y falla creíbles. La seguridad funcional se está convirtiendo en el enfoque centrado normal en sistemas complejos con uso intensivo de software y sistemas altamente integrados con consecuencias de seguridad. Las tareas de seguridad de software tradicionales y las tareas de seguridad funcional basadas en modelos se realizan para proporcionar evidencia de seguridad objetiva de que la funcionalidad del sistema y las características de seguridad funcionan como se espera en fallas normales y fuera de lo normal. El punto de entrada de la seguridad funcional comienza en las primeras etapas del proceso, con la realización de análisis de riesgos funcionales (FHA) para identificar los riesgos y peligros, e influir en los requisitos de diseño de seguridad y la asignación y descomposición funcional para mitigar los riesgos. El comportamiento del software y los SCF a nivel del sistema es una parte vital de cualquier esfuerzo de seguridad funcional. Los análisis y los resultados de la implementación se documentan en evaluaciones de riesgos funcionales (FHA) o evaluaciones de seguridad del sistema o casos de seguridad . Los procesos de seguridad funcional basados ​​en modelos se utilizan a menudo y son necesarios en sistemas intensivos de software altamente integrados y complejos para comprender todas las interacciones y el comportamiento previsto y para ayudar en el proceso de verificación y certificación de seguridad.

Juntas de revisión de seguridad

En Boeing , una Junta de Revisión de Seguridad (SRB, por sus siglas en inglés) es responsable de decidir únicamente si un problema es o no un problema de seguridad. Una SRB reúne a múltiples expertos en la materia (SME, por sus siglas en inglés) de la compañía en muchas disciplinas. El SME con más conocimientos presenta el problema, asistido y guiado por la organización de Seguridad de la Aviación. La decisión de seguridad se toma por votación. Cualquier votación a favor de la "seguridad" da como resultado una decisión de la junta de "seguridad". ^[9]

Espacio

En los EE. UU., la NASA desarrolló una infraestructura para sistemas críticos de seguridad que fue ampliamente adoptada por la industria, tanto en América del Norte como en otros lugares, con un estándar ^[10] respaldado por pautas. ^[11] El estándar y las pautas de la NASA se basan en la norma ISO 12207 , que es un estándar de práctica de software en lugar de un estándar crítico de seguridad, de ahí la naturaleza extensa de la documentación que la NASA se vio obligada a agregar, en comparación con el uso de un estándar diseñado específicamente como IEC EN 61508. Existe un proceso de certificación para sistemas desarrollados de acuerdo con las pautas de la NASA. ^[12]

Automotor

La industria automotriz ha desarrollado la norma ISO 26262 "Estándar de seguridad funcional de vehículos de carretera" basada en la norma IEC 61508. La certificación de esos sistemas garantiza el cumplimiento de las regulaciones pertinentes y ayuda a proteger al público. La Directiva ATEX también ha adoptado una norma de seguridad funcional, es BS EN 50495:2010 "Dispositivos de seguridad requeridos para el funcionamiento seguro de los equipos con respecto a los riesgos de explosión" que cubre dispositivos relacionados con la seguridad, como controladores de purga y disyuntores de motor Ex e. Es aplicada por organismos notificados bajo la Directiva ATEX . La norma ISO 26262 aborda particularmente el ciclo de desarrollo automotriz. Es una norma de varias partes que define requisitos y proporciona pautas para lograr la seguridad funcional en sistemas E/E instalados en automóviles de pasajeros de producción en serie. La ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional automotriz. ^[13] El proceso de cumplimiento generalmente lleva tiempo ya que los empleados necesitan capacitación para desarrollar las competencias esperadas.

Estándares contemporáneos de seguridad funcional

A continuación se enumeran los principales estándares de seguridad funcional en uso actualmente:

• La norma IEC EN 61508 Partes 1 a 7 es una norma de seguridad funcional fundamental, que se aplica ampliamente a todos los tipos de E/E/PS críticos para la seguridad y a sistemas con una función de seguridad que incorpora E/E/PS.
• Norma de defensa del Reino Unido 00-56, número 2
• RTCA DO-178C de EE. UU. , software de North American Avionics
• US RTCA DO-254 , hardware de North American Avionics
• EUROCAE ED-12B, Sistemas Europeos de Seguridad de Vuelo Aerotransportado
• IEC 61513 , Centrales nucleares – Instrumentación y control para sistemas importantes para la seguridad – Requisitos generales para sistemas, basados ​​en EN 61508
• IEC 61511-1 , Seguridad funcional – Sistemas instrumentados de seguridad para el sector de la industria de procesos – Parte 1: Marco, definiciones, requisitos del sistema, hardware y software, basado en EN 61508
• IEC 61511-2, Seguridad funcional – Sistemas instrumentados de seguridad para el sector de la industria de procesos – Parte 2: Directrices para la aplicación de la norma IEC 61511-1, basada en EN 61508
• IEC 61511-3, Seguridad funcional – Sistemas instrumentados de seguridad para el sector de la industria de procesos – Parte 3: Guía para la determinación de los niveles de integridad de seguridad requeridos, según EN 61508
• IEC 62061 , Seguridad de las máquinas. Seguridad funcional de los sistemas de control eléctricos, electrónicos y electrónicos programables relacionados con la seguridad, basada en EN 61508
• ISO 13849 -1, -2, Seguridad de las máquinas – Partes de los sistemas de control relacionadas con la seguridad. Norma no dependiente de la tecnología para la seguridad de los sistemas de control de las máquinas.
• EN 50126, Industria ferroviaria específica: revisión RAMS de las condiciones de operación, sistema y mantenimiento de los equipos del proyecto
• EN 50128, Específico de la industria ferroviaria: revisión de seguridad del software (sistemas de comunicaciones, señalización y procesamiento)
• EN 50129, Específica para la industria ferroviaria: seguridad del sistema en sistemas electrónicos
• EN 50495, Dispositivos de seguridad necesarios para el funcionamiento seguro de los equipos con respecto a los riesgos de explosión
• Directrices críticas de seguridad de la NASA
• ISO 19014, Maquinaria para movimiento de tierras – Seguridad funcional
• ISO 25119 , Tractores y maquinaria para la agricultura y la silvicultura – Partes de los sistemas de control relacionadas con la seguridad
• ISO 26262 , Seguridad funcional de los vehículos de carretera

La norma ISO 26262 aborda en particular el ciclo de desarrollo de la automoción. Se trata de una norma de varias partes que define los requisitos y proporciona directrices para lograr la seguridad funcional en los sistemas E/E instalados en los turismos de producción en serie. La norma ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional de la automoción. ^[13]

Véase también

• Análisis de efectos y efectos de modulación (FMEA)
• FMEDA
• IEC 61508
• Sistemas de parada de emergencia y de procesos de planta
• Nivel de integridad de seguridad
• Nivel de disparo espurio

Referencias

1. Van Beurden, Iwan (noviembre de 2017). "Verificación de funciones instrumentadas de seguridad: las tres barreras" (PDF) . exida.
2. "RADA Sense - Shower T3" (PDF) . Rada. 2008. Archivado desde el original (PDF) el 2011-07-15 . Consultado el 2009-07-25 .
3. "Ejemplo de caso de seguridad según IEC 61508: equipo de buceo". Deep Life. Archivado desde el original el 2016-03-03 . Consultado el 2013-01-22 .
4. "Sistema TI industrial 800xA de alta integridad". ABB.
5. "RTOS con certificación IEC 61508 SIL 3". Green Hills Software.
6. "LISTA DE ELEMENTOS DE AUTOMATIZACIÓN DE SEGURIDAD". exida.
7. V. Hilderman, T. Bagha, "Certificación de aviónica", Guía completa para DO-178B y DO-254, ISBN 978-1-885544-25-4 
8. C. Spritzer, "Manual de aviónica digital, segunda edición, conjunto de 2 volúmenes (Manual de ingeniería eléctrica), CRC Press. ISBN 978-0-8493-5008-5 
9. Lie, Simon (2014). In Service Safety at Boeing (PDF) . Documento presentado en el seminario ISASI 2014, octubre de 2014, Adelaida, Australia. ISASI.
10. Norma de seguridad de software de la NASA NASA STD 8719.13A
11. NASA-GB-1740.13-96, Guía de la NASA para software crítico de seguridad.
12. Nelson, Stacy (junio de 2003). "Procesos de certificación para software aeroespacial crítico para la seguridad y la misión" (PDF) . NASA/CR–2003-212806.
13. "26262-1:2011". ISO . Consultado el 25 de abril de 2013 .

Enlaces externos

• Zona de seguridad funcional IEC
• 61508.org La Asociación 61508