Seguridad funcional

La seguridad funcional es la parte de la seguridad general de un sistema o equipo que depende de que la protección automática funcione correctamente en respuesta a sus entradas o fallas de manera predecible ( a prueba de fallas ). El sistema de protección automática debe diseñarse para manejar adecuadamente posibles errores sistemáticos , fallas de hardware y estrés operativo/ambiental.

Objetivo

El objetivo de la seguridad funcional es estar libres de riesgos inaceptables de lesiones físicas o de daños a la salud de las personas, ya sea directa o indirectamente (a través de daños a la propiedad o al medio ambiente), mediante la implementación adecuada de una o más funciones de protección automática (a menudo denominadas funciones de seguridad). funciones). Un sistema de seguridad (a menudo llamado sistema relacionado con la seguridad) consta de una o más funciones de seguridad.

La seguridad funcional tiene un alcance intrínsecamente de extremo a extremo en el sentido de que debe tratar la función de un componente o subsistema como parte de la función de protección automática completa de cualquier sistema. Por lo tanto, aunque los estándares de seguridad funcional se centran en sistemas eléctricos, electrónicos y programables (E/E/PS), el alcance de extremo a extremo significa que en la práctica, los métodos de seguridad funcional deben extenderse a las partes que no son E/E/PS. del sistema que los actuadores , válvulas y motores E/E/PS controlan o monitorean.

Lograr la seguridad funcional

La seguridad funcional se logra cuando se lleva a cabo cada función de seguridad especificada y se cumple el nivel de desempeño requerido de cada función de seguridad. Esto normalmente se logra mediante un proceso que incluye los siguientes pasos como mínimo:

Identificar cuáles son las funciones de seguridad requeridas. Esto significa que es necesario conocer los peligros y las funciones de seguridad. Para identificarlos se aplica un proceso de revisiones de funciones, HAZID formales , HAZOP y revisiones de accidentes.
Evaluación de la reducción de riesgos requerida por la función de seguridad, que implicará un nivel de integridad de seguridad (SIL) o nivel de desempeño u otra evaluación de cuantificación. Un SIL (o PL, AgPL, ASIL ) se aplica a una función de seguridad de extremo a extremo del sistema relacionado con la seguridad, no solo a un componente o una parte del sistema.
Garantizar que la función de seguridad se realice según la intención del diseño, incluso en condiciones de entrada incorrecta del operador y modos de falla. Esto implicará que el diseño y el ciclo de vida sean gestionados por ingenieros calificados y competentes que lleven a cabo procesos según un estándar de seguridad funcional reconocido. En Europa, esa norma es IEC EN 61508 , o una de las normas específicas de la industria derivadas de IEC EN 61508, o para sistemas simples, alguna otra norma como ISO 13849 .
Verificación de que el sistema cumple con el SIL, ASIL , PL o agPL asignado determinando la probabilidad de falla peligrosa, verificando los niveles mínimos de redundancia y revisando la capacidad sistemática (SC). Estas tres métricas han sido denominadas "las tres barreras". ^[1] Los modos de falla de un dispositivo generalmente están determinados por el análisis del modo de falla y los efectos del sistema (FMEA). Las probabilidades de falla para cada modo de falla generalmente se determinan utilizando el modo de falla, los efectos y el análisis de diagnóstico FMEDA .
Realizar auditorías de seguridad funcional para examinar y evaluar la evidencia de que las técnicas apropiadas de gestión del ciclo de vida de seguridad se aplicaron de manera consistente y exhaustiva en las etapas relevantes del ciclo de vida del producto.

Ni la seguridad ni la seguridad funcional pueden determinarse sin considerar el sistema en su conjunto y el entorno con el que interactúa. La seguridad funcional tiene un alcance inherente de extremo a extremo. Los sistemas modernos suelen tener software que ordena y controla de forma intensiva funciones críticas para la seguridad. Por lo tanto, la funcionalidad del software y el comportamiento correcto del software deben ser parte del esfuerzo de ingeniería de seguridad funcional para garantizar un riesgo de seguridad aceptable a nivel del sistema.

Certificar la seguridad funcional

Cualquier afirmación de seguridad funcional para un componente, subsistema o sistema debe estar certificada de forma independiente según una de las normas de seguridad funcional reconocidas. Luego se puede afirmar que un producto certificado es funcionalmente seguro para un nivel de integridad de seguridad particular o un nivel de rendimiento en una gama específica de aplicaciones: el certificado y el informe de evaluación se proporcionan a los clientes describiendo el alcance y los límites del rendimiento.

Organismos de certificación

La seguridad funcional es un campo técnicamente desafiante. Las certificaciones deben ser realizadas por organizaciones independientes con experiencia y gran profundidad técnica (electrónica, electrónica programable, mecánica y análisis probabilístico). La certificación de seguridad funcional la realizan organismos de certificación acreditados (CB). La acreditación la otorga un organismo de acreditación (AB) a una organización CB. En la mayoría de los países hay un AB. En los Estados Unidos, el Instituto Nacional Estadounidense de Estándares (ANSI) es el AB para la acreditación de seguridad funcional. En el Reino Unido, el Servicio de Acreditación del Reino Unido (UKAS) proporciona acreditación de seguridad funcional. Los AB son miembros del Foro Internacional de Acreditación (IAF) para trabajar en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de pruebas de laboratorio. Un acuerdo de reconocimiento multilateral (MLA) entre los OA garantizará el reconocimiento global de los OC acreditados.

Varios organismos de certificación globales han establecido programas de certificación de seguridad funcional IEC 61508 . Cada uno ha definido su propio esquema basado en IEC 61508 y otros estándares de seguridad funcional. El esquema enumera los estándares a los que se hace referencia y especifica procedimientos que describen sus métodos de prueba, política de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Varios CB reconocidos ofrecen a nivel mundial programas de certificación de seguridad funcional para las normas IEC 61508, incluidos Intertek , SGS , TÜV Rheinland, TÜV SÜD y UL .

Un elemento importante de la certificación de seguridad funcional es la vigilancia continua por parte de la agencia de certificación. La mayoría de las organizaciones de EC han incluido auditorías de vigilancia en su plan. La vigilancia de seguimiento garantiza que el producto, subsistema o sistema todavía se esté fabricando de acuerdo con lo que se certificó originalmente para la seguridad funcional. La vigilancia de seguimiento puede ocurrir con varias frecuencias dependiendo del organismo de certificación, pero generalmente observará el historial de fallas de campo del producto, los cambios de diseño de hardware, los cambios de software, así como el cumplimiento continuo por parte del fabricante de los sistemas de gestión de seguridad funcional.

Aeroespacial militar

Para sistemas militares aeroespaciales y de defensa, MIL-STD-882E aborda los análisis de riesgos funcionales (FHA) y determina qué funciones implementadas en hardware y software son importantes para la seguridad. El enfoque de seguridad funcional es garantizar que las funciones críticas para la seguridad y los subprocesos funcionales en el sistema, subsistema y software se analicen y verifiquen para verificar su comportamiento correcto según los requisitos de seguridad, incluidas las condiciones de falla funcional y las fallas y la mitigación adecuada en el diseño. Estos principios de seguridad del sistema que sustentan la seguridad funcional se desarrollaron en las industrias militar, nuclear y aeroespacial, y luego fueron adoptados por las industrias de control, procesos y transporte ferroviario que desarrollaron estándares específicos para el sector. Los estándares de seguridad funcional se aplican en todos los sectores de la industria que se ocupan de requisitos críticos para la seguridad y son especialmente aplicables en cualquier momento en que el software ordena, controla o monitorea una función crítica para la seguridad. Miles de productos y procesos cumplen con los estándares basados en IEC 61508 : desde duchas de baño, ^[2] productos de seguridad para automóviles, sensores, actuadores, equipos de buceo, ^[3] controladores de procesos ^[4]^[5]^[6] y su integración en barcos. , aviones y plantas importantes.

Aviación

La FAA de EE. UU. tiene procesos de certificación de seguridad funcional similares, en forma de ARP4761, RTCA DO-178C de EE. UU. para software y DO-254 para hardware electrónico complejo, ^[7]^[8] que se aplica en toda la industria aeroespacial. La seguridad funcional y la garantía de diseño en aeronaves de transporte civil/comercial están documentadas en SAE ARP4754A como niveles de garantía de diseño funcional (FDALS). Los FDAL del sistema impulsan la profundidad del análisis de seguridad de ingeniería. El nivel de rigor (LOR) o las tareas de seguridad realizadas para garantizar un riesgo aceptable dependen de la identificación de la condición de falla funcional específica y la gravedad del peligro relacionado con las funciones críticas para la seguridad (SCF). En muchos casos, el comportamiento funcional del software integrado se analiza y prueba minuciosamente para garantizar que el sistema funcione según lo previsto en condiciones creíbles de falla y falla. La seguridad funcional se está convirtiendo en el enfoque normal centrado en sistemas complejos con uso intensivo de software y sistemas altamente integrados con consecuencias para la seguridad. Las tareas de seguridad de software tradicionales y las tareas de seguridad funcional basadas en modelos se realizan para proporcionar evidencia de seguridad objetiva de que la funcionalidad del sistema y las características de seguridad funcionan según lo previsto en fallas normales y fuera de lo nominal. El punto de entrada de la seguridad funcional comienza temprano en el proceso mediante la realización de Análisis de Peligros Funcionales (FHA) para identificar peligros y riesgos e influir en los requisitos de diseño de seguridad y la asignación y descomposición funcional para mitigar los peligros. El comportamiento del software y los SCF a nivel del sistema es una parte vital de cualquier esfuerzo de seguridad funcional. Los análisis y los resultados de la implementación se documentan en evaluaciones de riesgos funcionales (FHA) o evaluaciones de seguridad del sistema o casos de seguridad . Los procesos de seguridad funcional basados en modelos se utilizan y requieren a menudo en sistemas intensivos en software altamente integrados y complejos para comprender todas las interacciones y el comportamiento previsto y para ayudar en el proceso de verificación y certificación de la seguridad.

Juntas de revisión de seguridad

En Boeing , una Junta de Revisión de Seguridad (SRB) es responsable de decidir únicamente si un problema es o no un problema de seguridad. Una JUR reúne a múltiples empresas expertas en la materia (PYME) en muchas disciplinas. La PYME con mayor conocimiento presenta el tema, asistida y guiada por la organización de Seguridad Aérea. La decisión de seguridad se toma mediante votación. Cualquier voto a favor de la "seguridad" resulta en una decisión de la junta directiva sobre la "seguridad". ^[9]

Espacio

En los EE. UU., la NASA desarrolló una infraestructura para sistemas críticos de seguridad adoptada ampliamente por la industria, tanto en América del Norte como en otros lugares, con un estándar ^[10] respaldado por directrices. ^[11] El estándar y las pautas de la NASA se basan en ISO 12207 , que es un estándar de práctica de software en lugar de un estándar crítico para la seguridad, de ahí la naturaleza extensa de la documentación que la NASA se ha visto obligada a agregar, en comparación con el uso de un estándar diseñado específicamente como CEIEN 61508 . Existe un proceso de certificación para sistemas desarrollados de acuerdo con las directrices de la NASA. ^[12]

Automotor

La industria automotriz ha desarrollado la norma ISO 26262 "Norma de seguridad funcional para vehículos de carretera" basada en IEC 61508 . La certificación de dichos sistemas garantiza el cumplimiento de la normativa pertinente y ayuda a proteger al público. La Directiva ATEX también ha adoptado una norma de seguridad funcional: la BS EN 50495:2010 "Dispositivos de seguridad necesarios para el funcionamiento seguro de equipos con respecto a riesgos de explosión" cubre dispositivos relacionados con la seguridad, como controladores de purga y disyuntores de motor Ex e. Es aplicado por organismos notificados según la Directiva ATEX . La norma ISO 26262 aborda particularmente el ciclo de desarrollo del automóvil. Es una norma de varias partes que define los requisitos y proporciona directrices para lograr la seguridad funcional en los sistemas E/E instalados en turismos de producción en serie. ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional del automóvil. ^[13] El proceso de cumplimiento suele llevar tiempo, ya que los empleados deben recibir formación para desarrollar las competencias esperadas.

Estándares de seguridad funcional contemporáneos

Los principales estándares de seguridad funcional en uso actual se enumeran a continuación:

IEC EN 61508 Partes 1 a 7 es una norma básica de seguridad funcional, que se aplica ampliamente a todos los tipos de E/E/PS críticos para la seguridad y a sistemas con una función de seguridad que incorpora E/E/PS.
Norma de defensa del Reino Unido 00-56 Número 2
US RTCA DO-178C , software de aviónica de América del Norte
RTCA DO-254 de EE. UU. , Hardware de aviónica de América del Norte
EUROCAE ED-12B, Sistemas europeos de seguridad de vuelo aerotransportados
IEC 61513 , Centrales nucleares. Instrumentación y control de sistemas importantes para la seguridad. Requisitos generales para sistemas, basados en EN 61508.
IEC 61511 -1, Seguridad funcional. Sistemas instrumentados de seguridad para el sector de la industria de procesos. Parte 1: Marco, definiciones, sistemas, requisitos de hardware y software, basados en EN 61508.
IEC 61511-2, Seguridad funcional. Sistemas instrumentados de seguridad para el sector de la industria de procesos. Parte 2: Directrices para la aplicación de IEC 61511-1, basada en EN 61508.
IEC 61511-3, Seguridad funcional. Sistemas instrumentados de seguridad para el sector de la industria de procesos. Parte 3: Guía para la determinación de los niveles de integridad de seguridad requeridos, basada en EN 61508.
IEC 62061 , Seguridad de maquinaria. Seguridad funcional de sistemas de control eléctricos, electrónicos y electrónicos programables relacionados con la seguridad, basado en EN 61508.
ISO 13849 -1, -2, Seguridad de la maquinaria. Partes de los sistemas de control relacionadas con la seguridad. Norma no dependiente de la tecnología para la seguridad del sistema de control de maquinaria.
EN 50126, Específica de la industria ferroviaria: revisión RAMS de las condiciones de operación, sistema y mantenimiento de los equipos del proyecto.
EN 50128, Específica de la industria ferroviaria. Revisión de la seguridad del software (comunicaciones, sistemas de señalización y procesamiento).
EN 50129, Específica de la industria ferroviaria. Seguridad del sistema en sistemas electrónicos.
EN 50495 Dispositivos de seguridad necesarios para el funcionamiento seguro de los equipos frente a riesgos de explosión.
Directrices críticas de seguridad de la NASA
ISO 19014, Maquinaria para movimiento de tierras. Seguridad funcional.
ISO 25119 , Tractores y maquinaria para agricultura y silvicultura. Partes de sistemas de control relacionadas con la seguridad.
ISO 26262 , Seguridad funcional de los vehículos de carretera.

La norma ISO 26262 aborda particularmente el ciclo de desarrollo del automóvil. Es una norma de varias partes que define los requisitos y proporciona directrices para lograr la seguridad funcional en los sistemas E/E instalados en turismos de producción en serie. La norma ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional del automóvil. ^[13]

Ver también

Referencias

^ Van Beurden, Iwan (noviembre de 2017). "Verificación de funciones instrumentadas de seguridad: las tres barreras" (PDF) . exida.
^ "RADA Sense - Ducha T3" (PDF) . Rada. 2008. Archivado desde el original (PDF) el 15 de julio de 2011 . Consultado el 25 de julio de 2009 .
^ "Ejemplo de caso de seguridad IEC 61508: equipo de buceo". Vida profunda. Archivado desde el original el 3 de marzo de 2016 . Consultado el 22 de enero de 2013 .
^ "Sistema de TI industrial 800xA de alta integridad". TEJIDO.
^ "RTOS con certificación IEC 61508 SIL 3". Software de colinas verdes.
^ "LISTA DE ELEMENTOS DE AUTOMATIZACIÓN DE SEGURIDAD". exida.
^ V. Hilderman, T. Bagha, "Certificación de aviónica", una guía completa de DO-178B y DO-254, ISBN 978-1-885544-25-4
^ C. Spritzer, "Manual de aviónica digital, segunda edición - Conjunto de 2 volúmenes (Manual de ingeniería eléctrica", CRC Press. ISBN 978-0-8493-5008-5
^ Mentira, Simon (2014). En seguridad del servicio en Boeing (PDF) . Trabajo presentado en el Seminario ISASI 2014, octubre de 2014, Adelaida, Australia. ISASI.
^ Estándar de seguridad del software de la NASA NASA STD 8719.13A
^ NASA-GB-1740.13-96, Guía de la NASA para software crítico para la seguridad.
^ Nelson, Stacy (junio de 2003). "Procesos de certificación para software aeroespacial de misión crítica y seguridad crítica" (PDF) . NASA/CR–2003-212806.
^ ab "26262-1:2011". ISO . Consultado el 25 de abril de 2013 .

Enlaces externos

Zona de seguridad funcional IEC
61508.org La Asociación 61508