Nivel de Integridad Seguro

En seguridad funcional , el nivel de integridad de seguridad ( SIL ) se define como el nivel relativo de reducción de riesgos proporcionado por una función instrumentada de seguridad (SIF), es decir, la medición del rendimiento requerido de la SIF. ^[1]

En los estándares de seguridad funcional basados en el estándar IEC 61508 , se definen cuatro SIL, siendo SIL4 el más confiable y SIL1 el menos. El SIL aplicable se determina en función de una serie de factores cuantitativos en combinación con factores cualitativos, como evaluaciones de riesgos y gestión del ciclo de vida de seguridad . Sin embargo, otros estándares pueden tener definiciones de números SIL diferentes. ^[2]

Asignación SIL

La asignación o asignación de SIL es un ejercicio de análisis de riesgos en el que el riesgo asociado con un peligro específico, contra el cual se pretende proteger mediante un SIF, se calcula sin el efecto beneficioso de reducción del riesgo del SIF. Luego, ese riesgo no mitigado se compara con un objetivo de riesgo tolerable. La diferencia entre el riesgo no mitigado y el riesgo tolerable, si el riesgo no mitigado es mayor que el tolerable, debe abordarse mediante la reducción del riesgo proporcionada por el SIF. Esta cantidad de reducción de riesgo requerida está correlacionada con el objetivo SIL. En esencia, cada orden de magnitud de reducción de riesgo requerida se correlaciona con un aumento del SIL, hasta un máximo de SIL4. Si la evaluación de riesgos establece que el SIL requerido no se puede lograr mediante un SIF SIL4, entonces se deben diseñar disposiciones alternativas, como salvaguardias no instrumentadas (por ejemplo, una válvula de alivio de presión ). ^[1]

Existen varios métodos utilizados para asignar un SIL. Normalmente se utilizan en combinación y pueden incluir: ^[1]

Matrices de riesgo
Gráficos de riesgo
Análisis de capa de protección (LOPA)

De los métodos presentados anteriormente, LOPA es, con diferencia, el más utilizado en grandes instalaciones industriales, como por ejemplo plantas de procesos químicos .

La asignación puede probarse utilizando enfoques pragmáticos y de controlabilidad, aplicando directrices de la industria como la publicada por el HSE del Reino Unido . ^[3] Los procesos de asignación de SIL que utilizan la guía HSE para ratificar asignaciones desarrolladas a partir de matrices de riesgo han sido certificados para cumplir con IEC 61508 .

Problemas

Hay varios problemas inherentes al uso de niveles de integridad de seguridad. Estos se pueden resumir de la siguiente manera: ^{[ cita necesaria ]}

Escasa armonización de la definición entre los diferentes organismos de normalización que utilizan SIL. ^[2]
Métricas orientadas a procesos para la derivación de SIL.
Estimación de SIL basada en estimaciones de confiabilidad.
La complejidad del sistema, particularmente en sistemas de software, hace que la estimación de SIL sea difícil o imposible.

Esto lleva a afirmaciones erróneas como la tautología "Este sistema es un sistema SIL N porque el proceso adoptado durante su desarrollo fue el proceso estándar para el desarrollo de un sistema SIL N", o el uso del concepto SIL fuera de contexto como " Este es un intercambiador de calor SIL 3 " o "Este software es SIL 2". Según IEC 61508, el concepto SIL debe estar relacionado con la tasa de fallas peligrosas de un sistema, no solo con su tasa de fallas o con la tasa de fallas de un componente, como el software. La definición de los modos de falla peligrosos mediante análisis de seguridad es intrínseca a la determinación adecuada de la tasa de falla. ^{[ cita necesaria ]}

Tipos y certificación SIL

El estándar IEC 61508 de la Comisión Electrotécnica Internacional (IEC) define SIL utilizando requisitos agrupados en dos categorías amplias: integridad de seguridad del hardware e integridad de seguridad sistemática . Un dispositivo o sistema debe cumplir los requisitos de ambas categorías para alcanzar un SIL determinado.

Los requisitos SIL para la integridad de la seguridad del hardware se basan en un análisis probabilístico del dispositivo. Para lograr un SIL determinado, el dispositivo debe cumplir los objetivos de máxima probabilidad de falla peligrosa y una fracción mínima de falla segura. El concepto de "fallo peligroso" debe definirse rigurosamente para el sistema en cuestión, normalmente en forma de restricciones de requisitos cuya integridad se verifica durante todo el desarrollo del sistema. Los objetivos reales requeridos varían según la probabilidad de una demanda, la complejidad de los dispositivos y los tipos de redundancia utilizados.

PFD ( probabilidad de falla peligrosa bajo demanda ) y RRF ( factor de reducción de riesgo ) de operación de baja demanda para diferentes SIL tal como se define en IEC EN 61508 son los siguientes:

Para operación continua, estos cambian a lo siguiente, donde PFH es la probabilidad de falla peligrosa por hora.

Los peligros de un sistema de control deben identificarse y luego analizarse mediante análisis de riesgos. La mitigación de estos riesgos continúa hasta que su contribución general al peligro se considere aceptable. El nivel tolerable de estos riesgos se especifica como requisito de seguridad en forma de una "probabilidad de fallo peligroso" objetivo en un período de tiempo determinado, expresado como un SIL discreto.

Los esquemas de certificación, como el esquema CASS (Evaluación de la conformidad de sistemas relacionados con la seguridad), se utilizan para establecer si un dispositivo cumple con un SIL en particular. ^[4] Los terceros que pueden proporcionar certificación son CSA Group Testing (anteriormente conocido como SIRA), TüV y Exida, entre otros. También es posible la autocertificación. Los requisitos de estos esquemas se pueden cumplir estableciendo un proceso de desarrollo riguroso o estableciendo que el dispositivo tiene suficiente historial operativo para argumentar que ha sido probado en uso. La certificación se logra demostrando la capacidad de seguridad funcional (FSC) de la organización, generalmente mediante la evaluación de su programa de gestión de seguridad funcional (FSM), y la evaluación del diseño y las actividades del ciclo de vida del producto a certificar, que se lleva a cabo. basado en especificaciones, documentos de diseño, especificaciones y resultados de pruebas, predicciones de tasa de fallas , FMEA , etc. ^[5]

Los dispositivos eléctricos y electrónicos pueden certificarse para su uso en aplicaciones de seguridad funcional según IEC 61508. Hay una serie de estándares específicos de aplicaciones basados en IEC 61508 o adaptados de ella, como IEC 61511 para el sector de la industria de procesos. Esta norma se utiliza en las industrias petroquímica y química peligrosa, entre otras. ^[5]

Estándares

Los siguientes estándares utilizan SIL como medida de confiabilidad y/o reducción de riesgos.

ANSI/ISA S84 (seguridad funcional de sistemas instrumentados de seguridad para el sector de la industria de procesos)
IEC 61508 (seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad)
- IEC 61511 (implementación de IEC 61508 en el sector de la industria de procesos)
- IEC 61513 (implementación de IEC 61508 en la industria nuclear)
- IEC 62061 (implementación de IEC 61508 en el ámbito de la seguridad de maquinaria)
EN 50128 (aplicaciones ferroviarias – software para control y protección ferroviaria)
EN 50129 (aplicaciones ferroviarias – sistemas electrónicos de señalización relacionados con la seguridad)
EN 50657 (aplicaciones ferroviarias – software a bordo del material rodante)
EN 50402 (sistemas fijos de detección de gases )
ISO 26262 (industria del automóvil)
MISRA (directrices para análisis, modelado y programación de seguridad en aplicaciones automotrices)

Ver también

Referencias

^ abc Marszal, Edward M.; Scharpf, Eric W. (2002). Selección del nivel de integridad de la seguridad: métodos sistemáticos que incluyen análisis de capa de protección . Research Triangle Park, Carolina del Norte: ISA: la sociedad de instrumentación, sistemas y automatización . ISBN 1-55617-777-1.
^ ab Redmill, Félix (2000). "Comprensión del uso, mal uso y abuso de los niveles de integridad de la seguridad" . Consultado el 7 de julio de 2023 .
^ Charlwood, Marcos; Turner, Shane; Peor, Nicola (2004). Una metodología para la asignación de niveles de integridad de seguridad (SIL) a funciones de control relacionadas con la seguridad implementadas por sistemas de control de máquinas eléctricos, electrónicos y programables relacionados con la seguridad (PDF) . Informe de investigación 216. Sudbury: HSE Books . ISBN 0-7176-2832-9.
^ Jones, C.; Bloomfield, RE; Froome, PKD; Obispo, PG (2001). Métodos para evaluar la integridad de la seguridad del software de origen incierto (SOUP) relacionado con la seguridad (PDF) . Informe de Investigación 337/2001. Sudbury: Libros de HSE . pag. 6.ISBN 0-7176-2011-5.
^ ab Smith, David J.; Simpson, Kenneth GL (2016). Manual de sistemas críticos para la seguridad (4ª ed.). Kidlington y Cambridge, Massachusetts: Butterworth-Heinemann . ISBN 978-0-12-805121-4.

Otras lecturas

Hartmann, H.; Thomas, H.; Scharpf, E. (2022). Selección práctica de objetivos SIL: análisis de riesgos según el ciclo de vida de seguridad IEC 61511. Éxida. ISBN 978-1-934977-20-0
Houtermans, MJM (2014). SIL y seguridad funcional en pocas palabras (2ª ed.). Primera Inteligencia. ASIN B00MTWSBG2
Medoff, M.; Faller, R. (2014). Seguridad funcional: un proceso de desarrollo compatible con IEC 61508 SIL 3 (3.ª ed.). Éxida. ISBN 978-1-934977-08-8
Puñetazo, Marcus (2013). Seguridad funcional para las industrias mineras y de maquinaria (2ª ed.). Tenambit, Nueva Gales del Sur: Marcus Punch. ISBN 978-0-9807660-0-4

enlaces externos

61508.org - La Asociación 61508
Seguridad funcional, una guía básica
Seguridad IEC y seguridad funcional - El sitio de seguridad funcional IEC
Manual de niveles de integridad de seguridad (archivado) - Pepperl+Fuchs SIL Manual