Ingeniería de seguridad

Disciplina de ingeniería que asegura que los sistemas de ingeniería proporcionen niveles aceptables de seguridad.

Ilustración de la NASA que muestra las áreas de alto riesgo de impacto para la Estación Espacial Internacional

La ingeniería de seguridad es una disciplina de ingeniería que garantiza que los sistemas diseñados proporcionen niveles aceptables de seguridad . Está estrechamente relacionada con la ingeniería industrial / ingeniería de sistemas y el subconjunto ingeniería de seguridad de sistemas . La ingeniería de seguridad garantiza que un sistema crítico para la vida se comporte como es necesario, incluso cuando fallan los componentes .

Técnicas de análisis

Las técnicas de análisis pueden dividirse en dos categorías: métodos cualitativos y cuantitativos . Ambos enfoques comparten el objetivo de encontrar dependencias causales entre un peligro a nivel de sistema y fallas de componentes individuales. Los enfoques cualitativos se centran en la pregunta "¿Qué debe fallar para que ocurra un peligro para el sistema?", mientras que los métodos cuantitativos apuntan a brindar estimaciones sobre probabilidades, tasas y/o gravedad de las consecuencias.

La complejidad de los sistemas técnicos, como las mejoras de diseño y materiales, las inspecciones planificadas, el diseño a prueba de errores y la redundancia de respaldo, disminuyen el riesgo y aumentan el costo. El riesgo se puede reducir a niveles ALARA (tan bajo como sea razonablemente posible) o ALAPA (tan bajo como sea prácticamente posible).

Tradicionalmente, las técnicas de análisis de seguridad dependen únicamente de las habilidades y la experiencia del ingeniero de seguridad. En la última década, los enfoques basados ​​en modelos , como el STPA (análisis de procesos teóricos de sistemas), han cobrado importancia. A diferencia de los métodos tradicionales, las técnicas basadas en modelos intentan derivar relaciones entre causas y consecuencias a partir de algún tipo de modelo del sistema.

Métodos tradicionales de análisis de seguridad

Las dos técnicas de modelado de fallas más comunes se denominan análisis de modos de falla y efectos (FMEA) y análisis de árboles de fallas (FTA). Estas técnicas son simplemente formas de encontrar problemas y hacer planes para enfrentar las fallas, como en la evaluación de riesgos probabilística . Uno de los primeros estudios completos que utilizaron esta técnica en una planta nuclear comercial fue el estudio WASH-1400 , también conocido como Estudio de seguridad del reactor o Informe Rasmussen.

Análisis de modos de fallo y efectos

El análisis de modos de falla y efectos (FMEA) es un método analítico inductivo de abajo hacia arriba que se puede realizar a nivel funcional o de pieza por pieza. Para el FMEA funcional, se identifican los modos de falla para cada función en un sistema o elemento de equipo, generalmente con la ayuda de un diagrama de bloques funcional . Para el FMEA de pieza por pieza, se identifican los modos de falla para cada componente de pieza por pieza (como una válvula, un conector, una resistencia o un diodo). Se describen los efectos del modo de falla y se les asigna una probabilidad basada en la tasa de falla y la relación de modos de falla de la función o el componente. Esta cuantificación es difícil para el software: existe o no un error, y los modelos de falla utilizados para los componentes de hardware no se aplican. La temperatura, la edad y la variabilidad de fabricación afectan a una resistencia; no afectan al software.

Los modos de falla con efectos idénticos se pueden combinar y resumir en un Resumen de efectos de modos de falla. Cuando se combina con el análisis de criticidad, el análisis FMEA se conoce como Análisis de modos de falla, efectos y criticidad o FMECA.

Análisis del árbol de fallas

El análisis de árbol de fallas (FTA, por sus siglas en inglés) es un método analítico deductivo de arriba hacia abajo . En el FTA, los eventos primarios de inicio, como fallas de componentes, errores humanos y eventos externos, se rastrean a través de puertas lógicas booleanas hasta un evento superior no deseado, como un accidente aéreo o la fusión del núcleo de un reactor nuclear. El objetivo es identificar formas de hacer que los eventos superiores sean menos probables y verificar que se hayan alcanzado los objetivos de seguridad.

Diagrama de árbol de fallas

Los árboles de fallas son un inverso lógico de los árboles de éxito y pueden obtenerse aplicando el teorema de Morgan a los árboles de éxito (que están directamente relacionados con los diagramas de bloques de confiabilidad ).

El análisis de fallas puede ser cualitativo o cuantitativo. Cuando se desconocen las probabilidades de fallas y eventos, se pueden analizar árboles de fallas cualitativos para conjuntos de cortes mínimos. Por ejemplo, si cualquier conjunto de cortes mínimos contiene un solo evento base, entonces el evento superior puede ser causado por una sola falla. El análisis de fallas cuantitativo se utiliza para calcular la probabilidad del evento superior y, por lo general, requiere software de computadora como CAFTA del Instituto de Investigación de Energía Eléctrica o SAPHIRE del Laboratorio Nacional de Idaho .

Algunas industrias utilizan árboles de fallas y árboles de eventos . Un árbol de eventos comienza con un iniciador no deseado (pérdida de suministro crítico, falla de un componente, etc.) y sigue posibles eventos posteriores del sistema hasta una serie de consecuencias finales. A medida que se considera cada nuevo evento, se agrega un nuevo nodo en el árbol con una división de probabilidades de tomar cualquiera de las ramas. Luego se pueden ver las probabilidades de una serie de "eventos principales" que surgen del evento inicial.

Industria del petróleo y gas en alta mar (API 14C; ISO 10418)

La industria del petróleo y el gas en alta mar utiliza una técnica de análisis cualitativo de los sistemas de seguridad para garantizar la protección de los sistemas y plataformas de producción en alta mar. El análisis se utiliza durante la fase de diseño para identificar los peligros de ingeniería de procesos junto con las medidas de mitigación de riesgos. La metodología se describe en la Práctica recomendada 14C del Instituto Americano del Petróleo: Análisis, diseño, instalación y prueba de sistemas básicos de seguridad de superficie para plataformas de producción en alta mar.

La técnica utiliza métodos de análisis de sistemas para determinar los requisitos de seguridad para proteger cualquier componente de proceso individual, por ejemplo, un recipiente, una tubería o una bomba . ^[1] Los requisitos de seguridad de los componentes individuales se integran en un sistema de seguridad de plataforma completo, que incluye contención de líquidos y sistemas de soporte de emergencia como detección de incendios y gases. ^[1]

La primera etapa del análisis identifica los componentes individuales del proceso, estos pueden incluir: líneas de flujo, cabezales, recipientes a presión , recipientes atmosféricos, calentadores encendidos , componentes calentados por escape, bombas, compresores , tuberías e intercambiadores de calor . ^[2] Cada componente está sujeto a un análisis de seguridad para identificar eventos indeseables (falla del equipo, alteraciones del proceso, etc.) para los cuales se debe proporcionar protección. ^[3] El análisis también identifica una condición detectable (por ejemplo, alta presión ) que se utiliza para iniciar acciones para prevenir o minimizar el efecto de eventos indeseables. Una Tabla de Análisis de Seguridad (SAT) para recipientes a presión incluye los siguientes detalles. ^{[3] [4]}

Otros eventos indeseables para un recipiente a presión son la subpresión, el paso de gas, las fugas y el exceso de temperatura junto con sus causas asociadas y condiciones detectables. ^[4]

Instrumentación de nivel de buques

Una vez identificados los eventos, las causas y las condiciones detectables, la siguiente etapa de la metodología utiliza una Lista de verificación de análisis de seguridad (SAC) para cada componente. ^[5] En ella se enumeran los dispositivos de seguridad que pueden ser necesarios o los factores que anulan la necesidad de dicho dispositivo. Por ejemplo, en el caso de desbordamiento de líquido de un recipiente (como se indicó anteriormente), la SAC identifica: ^[6]

• A4.2d - Sensor de nivel alto (LSH) ^[7]
  • 1. LSH instalado.
  • 2. El equipo que se encuentra aguas abajo de la salida de gas no es un sistema de antorcha o ventilación y puede manejar de manera segura el máximo arrastre de líquido.
  • 3. La función del recipiente no requiere la manipulación de fases de fluido separadas.
  • 4. El recipiente es una pequeña trampa desde donde se drenan manualmente los líquidos.

Instrumentación de presión de buques

El análisis garantiza que se proporcionen dos niveles de protección para mitigar cada evento indeseable. Por ejemplo, para un recipiente a presión sometido a una sobrepresión, la protección primaria sería un PSH (interruptor de presión alta) para cortar el flujo de entrada al recipiente, y la protección secundaria la proporcionaría una válvula de seguridad de presión (PSV) en el recipiente. ^[8]

La siguiente etapa del análisis relaciona todos los dispositivos de detección, válvulas de cierre (ESV), sistemas de disparo y sistemas de soporte de emergencia en forma de un diagrama de evaluación de la función de análisis de seguridad (SAFE). ^{[2] [9]}

X indica que el dispositivo de detección de la izquierda (por ejemplo, PSH) inicia la acción de apagado o advertencia en la parte superior derecha (por ejemplo, cierre de ESV).

El diagrama SAFE constituye la base de los diagramas de causa y efecto que relacionan los dispositivos de detección con las válvulas de cierre y los disparos de la planta que definen la arquitectura funcional del sistema de cierre del proceso .

La metodología también especifica las pruebas de sistemas que son necesarias para garantizar la funcionalidad de los sistemas de protección. ^[10]

API RP 14C se publicó por primera vez en junio de 1974. ^[11] La octava edición se publicó en febrero de 2017. ^[12] API RP 14C se adaptó como estándar ISO ISO 10418 en 1993 con el título Industrias de petróleo y gas natural — Instalaciones de producción en alta mar — Análisis, diseño, instalación y prueba de sistemas básicos de seguridad de procesos de superficie. ^[13] La última edición de 2003 de ISO 10418 se encuentra actualmente (2019) en revisión.

Certificación de seguridad

Por lo general, las directrices de seguridad prescriben un conjunto de pasos, documentos entregables y criterios de salida centrados en la planificación, el análisis y el diseño, la implementación, la verificación y la validación, la gestión de la configuración y las actividades de garantía de calidad para el desarrollo de un sistema crítico para la seguridad. ^[14] Además, normalmente formulan expectativas con respecto a la creación y el uso de la trazabilidad en el proyecto. Por ejemplo, dependiendo del nivel de criticidad de un requisito, la directriz DO-178B/C de la Administración Federal de Aviación de los EE. UU. requiere trazabilidad desde los requisitos hasta el diseño , y desde los requisitos hasta el código fuente y el código de objeto ejecutable para los componentes de software de un sistema. Por lo tanto, la información de trazabilidad de mayor calidad puede simplificar el proceso de certificación y ayudar a establecer confianza en la madurez del proceso de desarrollo aplicado. ^[15]

Por lo general, una falla en sistemas certificados de seguridad es aceptable ^{[¿ por quién? ]} si, en promedio, se pierde menos de una vida por cada 10 ^{9 horas de operación continua debido a una falla. {según el documento AC 25.1309-1A de la FAA} La mayoría de} los reactores nucleares , equipos médicos y aviones comerciales occidentales están certificados ^{[ ¿por quién? ]} a este nivel. ^{[ cita requerida ]} El costo versus la pérdida de vidas se ha considerado apropiado en este nivel (por la FAA para sistemas de aeronaves bajo las Regulaciones Federales de Aviación ). ^{[16] [17] [18]}

Prevención de fallos

Un gráfico de la NASA muestra la relación entre la supervivencia de una tripulación de astronautas y la cantidad de equipo redundante en su nave espacial (el "MM", Módulo de Misión).

Una vez que se identifica un modo de falla, generalmente se puede mitigar agregando equipo adicional o redundante al sistema. Por ejemplo, los reactores nucleares contienen radiación peligrosa y las reacciones nucleares pueden causar tanto calor que ninguna sustancia podría contenerlas. Por lo tanto, los reactores tienen sistemas de enfriamiento de emergencia del núcleo para mantener baja la temperatura, blindaje para contener la radiación y barreras diseñadas (generalmente varias, anidadas, coronadas por un edificio de contención ) para evitar fugas accidentales. Por lo general, se requieren sistemas críticos para la seguridad que no permitan que un solo evento o falla de un componente resulte en un modo de falla catastrófico.

La mayoría de los organismos biológicos tienen cierta cantidad de redundancia: múltiples órganos, múltiples extremidades, etc.

Ante cualquier fallo, casi siempre se puede diseñar un sistema de conmutación por error o redundancia e incorporarlo al sistema.

Existen dos categorías de técnicas para reducir la probabilidad de fallo: las técnicas de prevención de fallos aumentan la fiabilidad de los elementos individuales (mayor margen de diseño, reducción de potencia, etc.) y las técnicas de tolerancia a fallos aumentan la fiabilidad del sistema en su conjunto (redundancias, barreras, etc.). ^[19]

Seguridad y fiabilidad

La ingeniería de seguridad y la ingeniería de confiabilidad tienen mucho en común, pero la seguridad no es lo mismo que la confiabilidad. Si un dispositivo médico falla, debe hacerlo de manera segura; el cirujano dispondrá de otras alternativas. Si falla el motor de un avión monomotor, no hay respaldo. Las redes eléctricas están diseñadas tanto para la seguridad como para la confiabilidad; los sistemas telefónicos están diseñados para la confiabilidad, lo que se convierte en un problema de seguridad cuando se realizan llamadas de emergencia (por ejemplo, al 911 de EE. UU. ).

La evaluación probabilística de riesgos ha creado una estrecha relación entre la seguridad y la confiabilidad. La confiabilidad de los componentes, generalmente definida en términos de tasa de fallas de los componentes , y la probabilidad de eventos externos se utilizan en métodos de evaluación de seguridad cuantitativos como FTA. Los métodos probabilísticos relacionados se utilizan para determinar el tiempo medio entre fallas (MTBF) del sistema , la disponibilidad del sistema o la probabilidad de éxito o falla de la misión. El análisis de confiabilidad tiene un alcance más amplio que el análisis de seguridad, ya que se consideran fallas no críticas. Por otro lado, se consideran aceptables tasas de fallas más altas para sistemas no críticos.

En general, la seguridad no se puede lograr únicamente a través de la confiabilidad de los componentes. Las probabilidades de falla catastrófica de 10 ⁻⁹ por hora corresponden a las tasas de falla de componentes muy simples, como resistencias o capacitores . Un sistema complejo que contenga cientos o miles de componentes podría lograr un MTBF de 10 000 a 100 000 horas, lo que significa que fallaría a 10 ⁻⁴ o 10 ⁻⁵ por hora. Si una falla del sistema es catastrófica, generalmente la única forma práctica de lograr una tasa de falla de 10 ⁻⁹ por hora es a través de la redundancia.

Cuando no es práctico añadir equipos (normalmente por su elevado coste), la forma menos costosa de diseño suele ser la "protección intrínseca contra fallos", es decir, cambiar el diseño del sistema para que sus modos de fallo no sean catastróficos. Las protecciones intrínsecas contra fallos son habituales en equipos médicos, señales de tráfico y de ferrocarril, equipos de comunicaciones y equipos de seguridad.

El enfoque típico es organizar el sistema de manera que las fallas simples comunes hagan que el mecanismo se apague de manera segura (en el caso de las plantas de energía nuclear, esto se denomina diseño pasivamente seguro , aunque se cubren más fallas que las comunes). Alternativamente, si el sistema contiene una fuente de peligro, como una batería o un rotor, entonces puede ser posible eliminar el peligro del sistema de manera que sus modos de falla no puedan ser catastróficos. La Práctica estándar para la seguridad del sistema del Departamento de Defensa de los EE. UU. (MIL-STD-882) otorga la máxima prioridad a la eliminación de peligros a través de la selección del diseño. ^[20]

Uno de los sistemas de seguridad más comunes es el tubo de desbordamiento de los lavabos y los fregaderos de las cocinas. Si la válvula se queda abierta, en lugar de provocar un desbordamiento y daños, el depósito se derrama en un desbordamiento. Otro ejemplo común es el de un ascensor, en el que el cable que sostiene la cabina mantiene abiertos los frenos accionados por resorte. Si el cable se rompe, los frenos se agarran a los raíles y la cabina del ascensor no se cae.

Algunos sistemas nunca pueden ser a prueba de fallos, ya que se necesita una disponibilidad continua. Por ejemplo, la pérdida de empuje del motor en vuelo es peligrosa. Para estas situaciones se utilizan redundancia, tolerancia a fallos o procedimientos de recuperación (por ejemplo, múltiples motores controlados y alimentados por combustible de forma independiente). Esto también hace que el sistema sea menos sensible a los errores de predicción de fiabilidad o a la incertidumbre inducida por la calidad de los elementos separados. Por otro lado, la detección y corrección de fallos y la evitación de fallos de causa común se vuelven cada vez más importantes para garantizar la fiabilidad a nivel del sistema. ^[21]

Véase también

• ARP4761  – Práctica recomendada para la industria aeroespacial de SAE International
• Ingeniería sísmica  – Estudio de estructuras sismorresistentes
• Capacitación eficaz en seguridad  : frase no oficial utilizada para describir los materiales de capacitación diseñados para enseñar las normas de seguridad y salud ocupacional desarrolladas por la organización laboral del gobierno de los Estados Unidos.Páginas que muestran descripciones de wikidata como alternativa
• Ingeniería forense  – Investigación de fallas asociadas a la intervención legal
• Estudio de peligrosidad y operatividad  – Estudio de riesgos en un plan u operación
• IEC 61508  – Norma internacional para sistemas relacionados con la seguridad
• Consultor de control de pérdidas
• Seguridad nuclear  – Normativa sobre usos de materiales radiactivosPages displaying short descriptions of redirect targets
• Medicina del trabajo  – Especialidad médica que se ocupa del mantenimiento de la salud en el lugar de trabajo.
• Seguridad y salud en el trabajo  : campo relacionado con la seguridad, la salud y el bienestar de las personas en el trabajo.
• Seguridad de procesos  – Estudio, prevención y gestión de accidentes graves con materiales peligrosos en plantas de proceso
• Ingeniería de confiabilidad  : subdisciplina de la ingeniería de sistemas que enfatiza la confiabilidad.
• Evaluación de riesgos  : estimación del riesgo asociado con la exposición a un conjunto determinado de peligros
• Gestión de riesgos  – Identificación, evaluación y control de riesgos
• Ciclo de vida de seguridad  : serie de fases que van desde el inicio y las especificaciones de los requisitos de seguridad, abarcando el diseño y el desarrollo de las características de seguridad en un sistema crítico para la seguridad, y que finalizan con el desmantelamiento de ese sistema.Pages displaying wikidata descriptions as a fallback
• Análisis de seguridad zonal

Asociaciones

• Instituto de Ingenieros Industriales  – Sociedad profesional de apoyo a la profesión de ingeniería industrialPages displaying short descriptions of redirect targets
• Sociedad Internacional de Seguridad del Sistema

Referencias

Notas

1. API RP 14C pág. 1
2. API RP 14C pág. vi
3. API RP 14C pág. 15-16
4. API RP 14C pág. 28
5. API RP 14C pág. 57
6. API RP 14C pág. 29
7. "ISO 14617-1:2005 Símbolos gráficos para diagramas — Parte 1: Información general e índices". Organización Internacional de Normalización .
8. API RP 14C pág. 10
9. API RP 14C pág. 80
10. Apéndice D del API RP 14C
11. Farrell, Tim (1978). "Impacto de API 14C en el diseño y construcción de instalaciones offshore". Todos los días . doi :10.2118/7147-MS . Consultado el 7 de febrero de 2019 .
12. "API RP 14C" . Consultado el 7 de febrero de 2019 .
13. "ISO 10418" . Consultado el 7 de febrero de 2019 .
14. Rempel, Patrick; Mäder, Patrick; Kuschke, Tobias; Cleland-Huang, Jane (1 de enero de 2014). "Cuidado con la brecha: evaluación de la conformidad de la trazabilidad del software con las directrices pertinentes". Actas de la 36.ª Conferencia Internacional sobre Ingeniería de Software . ICSE 2014. Nueva York, NY, EE. UU.: ACM. pp. 943–954. CiteSeerX 10.1.1.660.2292 . doi :10.1145/2568225.2568290. ISBN  9781450327565.S2CID12976464  .​
15. Mäder, P.; Jones, PL; Zhang, Y.; Cleland-Huang, J. (1 de mayo de 2013). "Trazabilidad estratégica para proyectos críticos para la seguridad". IEEE Software . 30 (3): 58–66. doi :10.1109/MS.2013.60. ISSN  0740-7459. S2CID  16905456.
16. ANM-110 (1988). Diseño y análisis de sistemas (PDF) . Administración Federal de Aviación . Circular de asesoramiento AC 25.1309-1A . Consultado el 20 de febrero de 2011 .{{cite book}}: CS1 maint: numeric names: authors list (link)
17. S–18 (2010). Directrices para el desarrollo de aeronaves y sistemas civiles. Sociedad de Ingenieros Automotrices . ARP4754A.{{cite book}}: CS1 maint: numeric names: authors list (link)
18. S–18 (1996). Directrices y métodos para llevar a cabo el proceso de evaluación de seguridad en sistemas y equipos aerotransportados civiles. Sociedad de Ingenieros Automotrices . ARP4761.{{cite book}}: CS1 maint: numeric names: authors list (link)
19. Tommaso Sgobba. "Estándares de seguridad en el espacio comercial: no reinventemos la rueda". 2015.
20. Práctica estándar para la seguridad de sistemas (PDF) . E. Departamento de Defensa de EE. UU . . 1998. MIL-STD-882. Archivado desde el original (PDF) el 2017-01-31 . Consultado el 2012-05-11 .
21. Bornschlegl, Susanne (2012). Ready for SIL 4: Modular Computers for Safety-Critical Mobile Applications (pdf) . MEN Mikro Elektronik . Consultado el 21 de septiembre de 2015 .

Fuentes

• Lees, Frank (2005). Prevención de pérdidas en las industrias de proceso (3.ª edición). Elsevier. ISBN 978-0-7506-7555-0.
• Kletz, Trevor (1984). Plantas más baratas y seguras, o riqueza y seguridad en el trabajo: notas sobre plantas inherentemente más seguras y simples . I.Chem.E. ISBN 978-0-85295-167-5.
• Kletz, Trevor (2001). La visión de un ingeniero sobre el error humano (3.ª ed.). I.Chem.E. ISBN 978-0-85295-430-0.
• Kletz, Trevor (1999). HAZOP y HAZAN (4.ª ed.). Taylor & Francis. ISBN 978-0-85295-421-8.
• Lutz, Robyn R. (2000). Ingeniería de software para la seguridad: una hoja de ruta (PDF) . El futuro de la ingeniería de software. ACM Press. ISBN 978-1-58113-253-3. Consultado el 31 de agosto de 2006 .
• Grunske, Lars; Kaiser, Bernhard; Reussner, Ralf H. (2005). "Especificación y evaluación de propiedades de seguridad en un proceso de ingeniería de software basado en componentes" (PDF) . Desarrollo de software basado en componentes para sistemas integrados . Apuntes de clase en informática. Vol. 3778. Springer. págs. 737–738. CiteSeerX  10.1.1.69.7756 . doi :10.1007/11591962_13. ISBN 978-3-540-30644-3.
• Departamento de Defensa de los Estados Unidos (10 de febrero de 2000). Standard Practice for System Safety (PDF) . Washington, DC: Departamento de Defensa de los Estados Unidos. MIL-STD-882D . Consultado el 7 de septiembre de 2013 .
• US FAA (30 de diciembre de 2000). Manual de seguridad del sistema. Washington, DC: US ​​FAA . Consultado el 7 de septiembre de 2013 .
• NASA (16 de diciembre de 2008). Requisitos procedimentales de gestión de riesgos de la agencia. NASA. NPR 8000.4A.
• Leveson, Nancy (2011). Ingeniería de un mundo más seguro: pensamiento sistémico aplicado a la seguridad. Ingeniería de sistemas. The MIT Press. ISBN 978-0-262-01662-9. Recuperado el 3 de julio de 2012 .

Enlaces externos

• Folleto 385-16 del ejército de EE. UU. Guía de gestión de seguridad del sistema