La ingeniería de seguridad es una disciplina de ingeniería que garantiza que los sistemas diseñados proporcionen niveles aceptables de seguridad . Está fuertemente relacionado con la ingeniería industrial / ingeniería de sistemas , y el subconjunto de ingeniería de seguridad de sistemas . La ingeniería de seguridad garantiza que un sistema crítico para la vida se comporte según sea necesario, incluso cuando fallan los componentes .
Las técnicas de análisis se pueden dividir en dos categorías: métodos cualitativos y cuantitativos . Ambos enfoques comparten el objetivo de encontrar dependencias causales entre un peligro a nivel del sistema y fallas de componentes individuales. Los enfoques cualitativos se centran en la pregunta "¿Qué debe salir mal para que pueda ocurrir un peligro en el sistema?", mientras que los métodos cuantitativos apuntan a proporcionar estimaciones sobre probabilidades, tasas y/o gravedad de las consecuencias.
La complejidad de los sistemas técnicos, como mejoras de diseño y materiales, inspecciones planificadas, diseño infalible y redundancia de respaldo, disminuye el riesgo y aumenta el costo. El riesgo se puede reducir a niveles ALARA (tan bajo como razonablemente alcanzable) o ALAPA (tan bajo como prácticamente alcanzable).
Tradicionalmente, las técnicas de análisis de seguridad se basan únicamente en la habilidad y experiencia del ingeniero de seguridad. En la última década , los enfoques basados en modelos , como STPA (Análisis de Procesos Teóricos de Sistemas), se han vuelto prominentes. A diferencia de los métodos tradicionales, las técnicas basadas en modelos intentan derivar relaciones entre causas y consecuencias a partir de algún tipo de modelo del sistema.
Las dos técnicas de modelado de fallas más comunes se denominan análisis de modo y efectos de falla (FMEA) y análisis de árbol de fallas (FTA). Estas técnicas son sólo formas de encontrar problemas y de hacer planes para hacer frente a las fallas, como en la evaluación probabilística de riesgos . Uno de los primeros estudios completos que utilizó esta técnica en una planta nuclear comercial fue el estudio WASH-1400 , también conocido como Estudio de seguridad de reactores o Informe Rasmussen.
El análisis modal de fallas y efectos (FMEA) es un método analítico inductivo ascendente que se puede realizar a nivel funcional o de pieza. Para el AMEF funcional, los modos de falla se identifican para cada función en un sistema o elemento de equipo, generalmente con la ayuda de un diagrama de bloques funcional . Para el FMEA pieza-parte, los modos de falla se identifican para cada componente pieza-parte (como una válvula, conector, resistencia o diodo). Se describen los efectos del modo de falla y se les asigna una probabilidad basada en la tasa de falla y la relación del modo de falla de la función o componente. Esta cuantificación es difícil para el software: existe o no un error y los modelos de falla utilizados para los componentes de hardware no se aplican. La temperatura, la edad y la variabilidad de fabricación afectan una resistencia; no afectan el software.
Los modos de falla con efectos idénticos se pueden combinar y resumir en un Resumen de efectos del modo de falla. Cuando se combina con el análisis de criticidad, el AMEF se conoce como análisis de criticidad, efectos y modo de falla o FMECA, que se pronuncia "fuh-MEE-kuh".
El análisis de árbol de fallas (FTA) es un método analítico deductivo de arriba hacia abajo . En FTA, los eventos primarios iniciales, como fallas de componentes, errores humanos y eventos externos, se rastrean a través de puertas lógicas booleanas hasta un evento superior no deseado, como un accidente aéreo o el derretimiento del núcleo de un reactor nuclear. La intención es identificar formas de hacer que los eventos importantes sean menos probables y verificar que se hayan logrado los objetivos de seguridad.
Los árboles de fallas son un inverso lógico de los árboles de éxito y se pueden obtener aplicando el teorema de Morgan a los árboles de éxito (que están directamente relacionados con los diagramas de bloques de confiabilidad ).
El TLC puede ser cualitativo o cuantitativo. Cuando se desconocen las probabilidades de fallas y eventos, se pueden analizar árboles de fallas cualitativos para conjuntos de cortes mínimos. Por ejemplo, si cualquier conjunto de corte mínimo contiene un único evento base, entonces el evento superior puede ser causado por una única falla. El FTA cuantitativo se utiliza para calcular la probabilidad de un evento máximo y generalmente requiere software de computadora como CAFTA del Instituto de Investigación de Energía Eléctrica o SAPHIRE del Laboratorio Nacional de Idaho .
Algunas industrias utilizan tanto árboles de fallas como árboles de eventos . Un árbol de eventos comienza a partir de un iniciador no deseado (pérdida de suministro crítico, fallo de componente, etc.) y sigue posibles eventos adicionales del sistema hasta una serie de consecuencias finales. A medida que se considera cada nuevo evento, se agrega un nuevo nodo en el árbol con una división de probabilidades de tomar cualquiera de las ramas. Entonces se pueden ver las probabilidades de una serie de "eventos principales" que surgen del evento inicial.
La industria del petróleo y el gas marinos utiliza una técnica de análisis cualitativo de sistemas de seguridad para garantizar la protección de los sistemas y plataformas de producción marinos. El análisis se utiliza durante la fase de diseño para identificar los peligros de la ingeniería de procesos junto con las medidas de mitigación de riesgos. La metodología se describe en la Práctica recomendada 14C del Instituto Americano del Petróleo , Análisis, diseño, instalación y prueba de sistemas básicos de seguridad en superficie para plataformas de producción costa afuera.
La técnica utiliza métodos de análisis del sistema para determinar los requisitos de seguridad para proteger cualquier componente individual del proceso, por ejemplo, un recipiente, una tubería o una bomba . [1] Los requisitos de seguridad de los componentes individuales están integrados en un sistema completo de seguridad de la plataforma, incluidos los sistemas de contención de líquidos y de apoyo de emergencia, como la detección de incendios y gases. [1]
La primera etapa del análisis identifica los componentes individuales del proceso, que pueden incluir: líneas de flujo, cabezales, recipientes a presión , recipientes atmosféricos, calentadores , componentes calentados por gases de escape, bombas, compresores , tuberías e intercambiadores de calor . [2] Cada componente está sujeto a un análisis de seguridad para identificar eventos indeseables (fallo del equipo, alteraciones del proceso, etc.) para los cuales se debe proporcionar protección. [3] El análisis también identifica una condición detectable (por ejemplo, alta presión ) que se utiliza para iniciar acciones para prevenir o minimizar el efecto de eventos indeseables. Una tabla de análisis de seguridad (SAT) para recipientes a presión incluye los siguientes detalles. [3] [4]
Otros eventos indeseables para un recipiente a presión son la baja presión, la fuga de gas, las fugas y el exceso de temperatura junto con sus causas asociadas y condiciones detectables. [4]
Una vez identificados los eventos, causas y condiciones detectables, la siguiente etapa de la metodología utiliza una Lista de Verificación de Análisis de Seguridad (SAC) para cada componente. [5] Esto enumera los dispositivos de seguridad que pueden ser necesarios o los factores que anulan la necesidad de dicho dispositivo. Por ejemplo, para el caso de desbordamiento de líquido de un recipiente (como arriba) el SAC identifica: [6]
El análisis garantiza que se proporcionen dos niveles de protección para mitigar cada evento indeseable. Por ejemplo, para un recipiente a presión sujeto a sobrepresión, la protección primaria sería un PSH (interruptor de presión alta) para cerrar el flujo de entrada al recipiente, la protección secundaria sería proporcionada por una válvula de seguridad de presión (PSV) en el recipiente. [8]
La siguiente etapa del análisis relaciona todos los dispositivos sensores, válvulas de cierre (ESV), sistemas de disparo y sistemas de soporte de emergencia en forma de un cuadro de Evaluación de la función de análisis de seguridad (SAFE). [2] [9]
X indica que el dispositivo de detección de la izquierda (por ejemplo, PSH) inicia la acción de apagado o advertencia en la parte superior derecha (por ejemplo, cierre de ESV).
El cuadro SAFE constituye la base de los cuadros de causa y efecto que relacionan los dispositivos sensores con las válvulas de cierre y los disparos de la planta, lo que define la arquitectura funcional del sistema de cierre del proceso .
La metodología también especifica las pruebas de sistemas necesarias para garantizar la funcionalidad de los sistemas de protección. [10]
API RP 14C se publicó por primera vez en junio de 1974. [11] La octava edición se publicó en febrero de 2017. [12] API RP 14C se adaptó como norma ISO ISO 10418 en 1993 titulada Industrias de petróleo y gas natural - Instalaciones de producción costa afuera - Análisis, Diseño, instalación y prueba de sistemas básicos de seguridad de procesos de superficie. [13] La última edición de 2003 de ISO 10418 se encuentra actualmente (2019) en revisión.
Por lo general, las pautas de seguridad prescriben un conjunto de pasos, documentos entregables y criterios de salida centrados en la planificación, análisis y diseño, implementación, verificación y validación, gestión de la configuración y actividades de garantía de calidad para el desarrollo de un sistema crítico para la seguridad. [14] Además, normalmente formulan expectativas con respecto a la creación y el uso de la trazabilidad en el proyecto. Por ejemplo, dependiendo del nivel de criticidad de un requisito, la directriz DO-178B/C de la Administración Federal de Aviación de EE. UU . exige trazabilidad desde los requisitos hasta el diseño , y desde los requisitos hasta el código fuente y el código objeto ejecutable para los componentes de software de un sistema. De este modo, una información de trazabilidad de mayor calidad puede simplificar el proceso de certificación y ayudar a generar confianza en la madurez del proceso de desarrollo aplicado. [15]
Generalmente es aceptable una falla en los sistemas certificados de seguridad [ ¿quién? ] si, en promedio, se pierde por falla menos de una vida por cada 10 9 horas de operación continua. {según el documento de la FAA AC 25.1309-1A} La mayoría de los reactores nucleares , equipos médicos y aviones comerciales occidentales están certificados [ ¿por quién? ] a este nivel. [ cita necesaria ] El costo frente a la pérdida de vidas se ha considerado apropiado en este nivel (por la FAA para sistemas de aeronaves según las Regulaciones Federales de Aviación ). [16] [17] [18]
Una vez que se identifica un modo de falla, generalmente se puede mitigar agregando equipos adicionales o redundantes al sistema. Por ejemplo, los reactores nucleares contienen radiaciones peligrosas y las reacciones nucleares pueden provocar tanto calor que ninguna sustancia podría contenerlas. Por lo tanto, los reactores tienen sistemas de enfriamiento de emergencia del núcleo para mantener baja la temperatura, blindajes para contener la radiación y barreras diseñadas (generalmente varias, anidadas y coronadas por un edificio de contención ) para evitar fugas accidentales. Por lo general, se requiere que los sistemas críticos para la seguridad no permitan que ningún evento o falla de un componente resulte en un modo de falla catastrófica.
La mayoría de los organismos biológicos tienen cierta redundancia: múltiples órganos, múltiples extremidades, etc.
Para cualquier falla determinada, casi siempre se puede diseñar e incorporar a un sistema una conmutación por error o redundancia.
Hay dos categorías de técnicas para reducir la probabilidad de falla: Las técnicas para evitar fallas aumentan la confiabilidad de los elementos individuales (aumento del margen de diseño, reducción de potencia, etc.). Las técnicas de tolerancia a fallos aumentan la fiabilidad del sistema en su conjunto (redundancias, barreras, etc.). [19]
La ingeniería de seguridad y la ingeniería de confiabilidad tienen mucho en común, pero seguridad no es confiabilidad. Si un dispositivo médico falla, debería fallar de manera segura; otras alternativas estarán disponibles para el cirujano. Si falla el motor de un avión monomotor, no hay respaldo. Las redes eléctricas están diseñadas para brindar seguridad y confiabilidad; Los sistemas telefónicos están diseñados para brindar confiabilidad, lo que se convierte en un problema de seguridad cuando se realizan llamadas de emergencia (por ejemplo, al "911" de EE. UU.).
La evaluación probabilística de riesgos ha creado una estrecha relación entre seguridad y confiabilidad. La confiabilidad de los componentes, generalmente definida en términos de tasa de falla de los componentes , y la probabilidad de eventos externos se utilizan en métodos de evaluación de seguridad cuantitativa como el FTA. Se utilizan métodos probabilísticos relacionados para determinar el tiempo medio entre fallas (MTBF) del sistema , la disponibilidad del sistema o la probabilidad de éxito o fracaso de la misión. El análisis de confiabilidad tiene un alcance más amplio que el análisis de seguridad, ya que se consideran fallas no críticas. Por otro lado, se consideran aceptables tasas de falla más altas para sistemas no críticos.
Por lo general, la seguridad no se puede lograr únicamente mediante la confiabilidad de los componentes. Las probabilidades de fallo catastrófico de 10 −9 por hora corresponden a tasas de fallo de componentes muy simples como resistencias o condensadores . Un sistema complejo que contenga cientos o miles de componentes podría alcanzar un MTBF de 10 000 a 100 000 horas, lo que significa que fallaría a 10 −4 o 10 −5 por hora. Si una falla del sistema es catastrófica, generalmente la única forma práctica de lograr una tasa de fallas de 10 −9 por hora es mediante la redundancia.
Cuando agregar equipo no es práctico (generalmente debido al costo), entonces la forma de diseño menos costosa suele ser "intrínsecamente a prueba de fallas". Es decir, cambiar el diseño del sistema para que sus modos de falla no sean catastróficos. Los dispositivos de seguridad inherentes son comunes en equipos médicos, señales de tráfico y ferrocarriles, equipos de comunicaciones y equipos de seguridad.
El enfoque típico es organizar el sistema de modo que fallas simples ordinarias provoquen que el mecanismo se apague de manera segura (para las plantas de energía nuclear, esto se denomina diseño pasivamente seguro , aunque se cubren más fallas que las ordinarias). Alternativamente, si el sistema contiene una fuente de peligro, como una batería o un rotor, entonces es posible eliminar el peligro del sistema para que sus modos de falla no puedan ser catastróficos. La Práctica Estándar para la Seguridad de Sistemas del Departamento de Defensa de EE. UU. (MIL–STD–882) otorga la máxima prioridad a la eliminación de peligros mediante la selección del diseño. [20]
Uno de los sistemas a prueba de fallos más comunes es el tubo de rebosadero en baños y fregaderos de cocina. Si la válvula se queda abierta, en lugar de causar un desbordamiento y daños, el tanque se derrama y se desborda. Otro ejemplo común es que en un ascensor el cable que sostiene la cabina mantiene abiertos los frenos de resorte. Si el cable se rompe, los frenos se agarran a los rieles y la cabina del ascensor no se cae.
Algunos sistemas nunca pueden ser a prueba de fallas, ya que se necesita disponibilidad continua. Por ejemplo, la pérdida de empuje del motor en vuelo es peligrosa. Para estas situaciones se utilizan procedimientos de redundancia, tolerancia a fallos o recuperación (por ejemplo, múltiples motores independientes controlados y alimentados con combustible). Esto también hace que el sistema sea menos sensible a los errores de predicción de confiabilidad o la incertidumbre inducida por la calidad para los elementos separados. Por otro lado, la detección y corrección de fallas y la prevención de fallas de causa común se vuelven cada vez más importantes para garantizar la confiabilidad a nivel del sistema. [21]
{{cite book}}: CS1 maint: numeric names: authors list (link){{cite book}}: CS1 maint: numeric names: authors list (link){{cite book}}: CS1 maint: numeric names: authors list (link){{cite journal}}: Citar diario requiere |journal=( ayuda )