La seguridad funcional es la parte de la seguridad general de un sistema o equipo que depende de que la protección automática funcione correctamente en respuesta a sus entradas o fallas de manera predecible ( a prueba de fallas ). El sistema de protección automática debe diseñarse para manejar adecuadamente posibles errores sistemáticos , fallas de hardware y estrés operativo/ambiental.
El objetivo de la seguridad funcional es estar libres de riesgos inaceptables de lesiones físicas o de daños a la salud de las personas, ya sea directa o indirectamente (a través de daños a la propiedad o al medio ambiente), mediante la implementación adecuada de una o más funciones de protección automática (a menudo denominadas funciones de seguridad). funciones). Un sistema de seguridad (a menudo llamado sistema relacionado con la seguridad) consta de una o más funciones de seguridad.
La seguridad funcional tiene un alcance intrínsecamente de extremo a extremo en el sentido de que debe tratar la función de un componente o subsistema como parte de la función de protección automática completa de cualquier sistema. Por lo tanto, aunque los estándares de seguridad funcional se centran en sistemas eléctricos, electrónicos y programables (E/E/PS), el alcance de extremo a extremo significa que en la práctica, los métodos de seguridad funcional deben extenderse a las partes que no son E/E/PS. del sistema que los actuadores , válvulas y motores E/E/PS controlan o monitorean.
La seguridad funcional se logra cuando se lleva a cabo cada función de seguridad especificada y se cumple el nivel de desempeño requerido de cada función de seguridad. Esto normalmente se logra mediante un proceso que incluye los siguientes pasos como mínimo:
Ni la seguridad ni la seguridad funcional pueden determinarse sin considerar el sistema en su conjunto y el entorno con el que interactúa. La seguridad funcional tiene un alcance inherente de extremo a extremo. Los sistemas modernos suelen tener software que ordena y controla de forma intensiva funciones críticas para la seguridad. Por lo tanto, la funcionalidad del software y el comportamiento correcto del software deben ser parte del esfuerzo de ingeniería de seguridad funcional para garantizar un riesgo de seguridad aceptable a nivel del sistema.
Cualquier afirmación de seguridad funcional para un componente, subsistema o sistema debe estar certificada de forma independiente según una de las normas de seguridad funcional reconocidas. Luego se puede afirmar que un producto certificado es funcionalmente seguro para un nivel de integridad de seguridad particular o un nivel de rendimiento en una gama específica de aplicaciones: el certificado y el informe de evaluación se proporcionan a los clientes describiendo el alcance y los límites del rendimiento.
La seguridad funcional es un campo técnicamente desafiante. Las certificaciones deben ser realizadas por organizaciones independientes con experiencia y gran profundidad técnica (electrónica, electrónica programable, mecánica y análisis probabilístico). La certificación de seguridad funcional la realizan organismos de certificación acreditados (CB). La acreditación la otorga un organismo de acreditación (AB) a una organización CB. En la mayoría de los países hay un AB. En los Estados Unidos, el Instituto Nacional Estadounidense de Estándares (ANSI) es el AB para la acreditación de seguridad funcional. En el Reino Unido, el Servicio de Acreditación del Reino Unido (UKAS) proporciona acreditación de seguridad funcional. Los AB son miembros del Foro Internacional de Acreditación (IAF) para trabajar en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de pruebas de laboratorio. Un acuerdo de reconocimiento multilateral (MLA) entre los OA garantizará el reconocimiento global de los OC acreditados.
Varios organismos de certificación globales han establecido programas de certificación de seguridad funcional IEC 61508 . Cada uno ha definido su propio esquema basado en IEC 61508 y otros estándares de seguridad funcional. El esquema enumera los estándares a los que se hace referencia y especifica procedimientos que describen sus métodos de prueba, política de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Varios CB reconocidos ofrecen a nivel mundial programas de certificación de seguridad funcional para las normas IEC 61508, incluidos Intertek , SGS , TÜV Rheinland, TÜV SÜD y UL .
Un elemento importante de la certificación de seguridad funcional es la vigilancia continua por parte de la agencia de certificación. La mayoría de las organizaciones de EC han incluido auditorías de vigilancia en su plan. La vigilancia de seguimiento garantiza que el producto, subsistema o sistema todavía se esté fabricando de acuerdo con lo que se certificó originalmente para la seguridad funcional. La vigilancia de seguimiento puede ocurrir con varias frecuencias dependiendo del organismo de certificación, pero generalmente observará el historial de fallas de campo del producto, los cambios de diseño de hardware, los cambios de software, así como el cumplimiento continuo por parte del fabricante de los sistemas de gestión de seguridad funcional.
Para sistemas militares aeroespaciales y de defensa, MIL-STD-882E aborda los análisis de riesgos funcionales (FHA) y determina qué funciones implementadas en hardware y software son importantes para la seguridad. El enfoque de seguridad funcional es garantizar que las funciones críticas para la seguridad y los subprocesos funcionales en el sistema, subsistema y software se analicen y verifiquen para verificar su comportamiento correcto según los requisitos de seguridad, incluidas las condiciones de falla funcional y las fallas y la mitigación adecuada en el diseño. Estos principios de seguridad del sistema que sustentan la seguridad funcional se desarrollaron en las industrias militar, nuclear y aeroespacial, y luego fueron adoptados por las industrias de control, procesos y transporte ferroviario que desarrollaron estándares específicos para el sector. Los estándares de seguridad funcional se aplican en todos los sectores de la industria que se ocupan de requisitos críticos para la seguridad y son especialmente aplicables en cualquier momento en que el software ordena, controla o monitorea una función crítica para la seguridad. Miles de productos y procesos cumplen con los estándares basados en IEC 61508 : desde duchas de baño, [2] productos de seguridad para automóviles, sensores, actuadores, equipos de buceo, [3] controladores de procesos [4] [5] [6] y su integración en barcos. , aviones y plantas importantes.
La FAA de EE. UU. tiene procesos de certificación de seguridad funcional similares, en forma de ARP4761, RTCA DO-178C de EE. UU. para software y DO-254 para hardware electrónico complejo, [7] [8] que se aplica en toda la industria aeroespacial. La seguridad funcional y la garantía de diseño en aeronaves de transporte civil/comercial están documentadas en SAE ARP4754A como niveles de garantía de diseño funcional (FDALS). Los FDAL del sistema impulsan la profundidad del análisis de seguridad de ingeniería. El nivel de rigor (LOR) o las tareas de seguridad realizadas para garantizar un riesgo aceptable dependen de la identificación de la condición de falla funcional específica y la gravedad del peligro relacionado con las funciones críticas para la seguridad (SCF). En muchos casos, el comportamiento funcional del software integrado se analiza y prueba minuciosamente para garantizar que el sistema funcione según lo previsto en condiciones creíbles de falla y falla. La seguridad funcional se está convirtiendo en el enfoque normal centrado en sistemas complejos con uso intensivo de software y sistemas altamente integrados con consecuencias para la seguridad. Las tareas de seguridad de software tradicionales y las tareas de seguridad funcional basadas en modelos se realizan para proporcionar evidencia de seguridad objetiva de que la funcionalidad del sistema y las características de seguridad funcionan según lo previsto en fallas normales y fuera de lo nominal. El punto de entrada de la seguridad funcional comienza temprano en el proceso mediante la realización de Análisis de Peligros Funcionales (FHA) para identificar peligros y riesgos e influir en los requisitos de diseño de seguridad y la asignación y descomposición funcional para mitigar los peligros. El comportamiento del software y los SCF a nivel del sistema es una parte vital de cualquier esfuerzo de seguridad funcional. Los análisis y los resultados de la implementación se documentan en evaluaciones de riesgos funcionales (FHA) o evaluaciones de seguridad del sistema o casos de seguridad . Los procesos de seguridad funcional basados en modelos se utilizan y requieren a menudo en sistemas intensivos en software altamente integrados y complejos para comprender todas las interacciones y el comportamiento previsto y para ayudar en el proceso de verificación y certificación de la seguridad.
En Boeing , una Junta de Revisión de Seguridad (SRB) es responsable de decidir únicamente si un problema es o no un problema de seguridad. Una JUR reúne a múltiples empresas expertas en la materia (PYME) en muchas disciplinas. La PYME con mayor conocimiento presenta el tema, asistida y guiada por la organización de Seguridad Aérea. La decisión de seguridad se toma mediante votación. Cualquier voto a favor de la "seguridad" resulta en una decisión de la junta directiva sobre la "seguridad". [9]
En los EE. UU., la NASA desarrolló una infraestructura para sistemas críticos de seguridad adoptada ampliamente por la industria, tanto en América del Norte como en otros lugares, con un estándar [10] respaldado por directrices. [11] El estándar y las pautas de la NASA se basan en ISO 12207 , que es un estándar de práctica de software en lugar de un estándar crítico para la seguridad, de ahí la naturaleza extensa de la documentación que la NASA se ha visto obligada a agregar, en comparación con el uso de un estándar diseñado específicamente como CEIEN 61508 . Existe un proceso de certificación para sistemas desarrollados de acuerdo con las directrices de la NASA. [12]
La industria automotriz ha desarrollado la norma ISO 26262 "Norma de seguridad funcional para vehículos de carretera" basada en IEC 61508 . La certificación de dichos sistemas garantiza el cumplimiento de la normativa pertinente y ayuda a proteger al público. La Directiva ATEX también ha adoptado una norma de seguridad funcional: la BS EN 50495:2010 "Dispositivos de seguridad necesarios para el funcionamiento seguro de equipos con respecto a riesgos de explosión" cubre dispositivos relacionados con la seguridad, como controladores de purga y disyuntores de motor Ex e. Es aplicado por organismos notificados según la Directiva ATEX . La norma ISO 26262 aborda particularmente el ciclo de desarrollo del automóvil. Es una norma de varias partes que define los requisitos y proporciona directrices para lograr la seguridad funcional en los sistemas E/E instalados en turismos de producción en serie. ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional del automóvil. [13] El proceso de cumplimiento suele llevar tiempo, ya que los empleados deben recibir formación para desarrollar las competencias esperadas.
Los principales estándares de seguridad funcional en uso actual se enumeran a continuación:
La norma ISO 26262 aborda particularmente el ciclo de desarrollo del automóvil. Es una norma de varias partes que define los requisitos y proporciona directrices para lograr la seguridad funcional en los sistemas E/E instalados en turismos de producción en serie. La norma ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional del automóvil. [13]