La seguridad funcional es la parte de la seguridad general de un sistema o pieza de equipo que depende de que la protección automática funcione correctamente en respuesta a sus entradas o fallas de manera predecible (a prueba de fallas ). El sistema de protección automático debe diseñarse para manejar adecuadamente los posibles errores humanos , fallas de hardware y estrés operativo / ambiental.
Objetivo
El objetivo de la seguridad funcional es estar libre de riesgos inaceptables de lesiones físicas o daños a la salud de las personas, ya sea directa o indirectamente (a través de daños a la propiedad o al medio ambiente) mediante la implementación adecuada de una o más funciones automáticas de protección (a menudo llamadas seguridad funciones). Un sistema de seguridad (a menudo llamado sistema relacionado con la seguridad) consta de una o más funciones de seguridad.
La seguridad funcional tiene un alcance intrínsecamente de extremo a extremo en el sentido de que tiene que tratar la función de un componente o subsistema como parte de la función de toda la función de protección automática de cualquier sistema. Por lo tanto, aunque las normas de seguridad funcional se centran en sistemas eléctricos, electrónicos y programables (E / E / PS), el alcance de un extremo a otro significa que, en la práctica, los métodos de seguridad funcional deben extenderse a las partes que no son E / E / PS. del sistema que los actuadores , válvulas , motores controlan o monitorean E / E / PS .
Lograr la seguridad funcional
La seguridad funcional se logra cuando se lleva a cabo cada función de seguridad especificada y se cumple el nivel de desempeño requerido de cada función de seguridad. Esto normalmente se logra mediante un proceso que incluye los siguientes pasos como mínimo:
- Identificar cuáles son las funciones de seguridad requeridas. Esto significa que se deben conocer los peligros y las funciones de seguridad. Se aplica un proceso de revisión de funciones, HAZID formales , HAZOP y revisiones de accidentes para identificarlos.
- Evaluación de la reducción de riesgo requerida por la función de seguridad, que involucrará un nivel de integridad de seguridad (SIL) o nivel de desempeño u otra evaluación de cuantificación. Un SIL (o PL, AgPL, ASIL ) se aplica a una función de seguridad de extremo a extremo del sistema relacionado con la seguridad, no solo a un componente o parte del sistema.
- Asegurar que la función de seguridad se desempeñe según la intención del diseño, incluso en condiciones de entrada incorrecta del operador y modos de falla. Esto implicará que el diseño y el ciclo de vida sean gestionados por ingenieros calificados y competentes que lleven a cabo procesos según un estándar de seguridad funcional reconocido. En Europa, ese estándar es IEC EN 61508 , o uno de los estándares específicos de la industria derivados de IEC EN 61508, o para sistemas simples, algún otro estándar como ISO 13849 .
- Verificación de que el sistema cumple con el SIL, ASIL , PL o agPL asignado determinando la probabilidad de fallas peligrosas, verificando los niveles mínimos de redundancia y revisando la capacidad sistemática (SC). Estas tres métricas se han denominado "las tres barreras". [1] Los modos de falla de un dispositivo generalmente están determinados por el modo de falla y el análisis de efectos del sistema (FMEA). Las probabilidades de falla para cada modo de falla se determinan típicamente usando el modo de falla, los efectos y el análisis de diagnóstico FMEDA .
- Lleve a cabo auditorías de seguridad funcional para examinar y evaluar la evidencia de que las técnicas apropiadas de gestión del ciclo de vida de la seguridad se aplicaron de manera consistente y completa en las etapas relevantes del ciclo de vida del producto.
Ni la seguridad ni la seguridad funcional pueden determinarse sin considerar el sistema en su conjunto y el entorno con el que interactúa. La seguridad funcional tiene un alcance inherente de un extremo a otro. Los sistemas modernos a menudo tienen software que ordena y controla de manera intensiva funciones críticas para la seguridad. Por lo tanto, la funcionalidad del software y el comportamiento correcto del software deben ser parte del esfuerzo de ingeniería de seguridad funcional para garantizar un riesgo de seguridad aceptable a nivel del sistema.
Certificación de seguridad funcional
Cualquier declaración de seguridad funcional de un componente, subsistema o sistema debe certificarse de forma independiente según una de las normas de seguridad funcional reconocidas. A continuación, se puede afirmar que un producto certificado es funcionalmente seguro para un nivel de integridad de seguridad particular o un nivel de rendimiento en una gama específica de aplicaciones: el certificado y el informe de evaluación se proporcionan a los clientes que describen el alcance y los límites del rendimiento.
Organismos de certificación
La seguridad funcional es un campo técnicamente desafiante. Las certificaciones deben ser realizadas por organizaciones independientes con experiencia y gran profundidad técnica (electrónica, electrónica programable, análisis mecánico y probabilístico). La certificación de seguridad funcional es realizada por Organismos de Certificación (CB) acreditados. La acreditación es otorgada a una organización CB por un Organismo de Acreditación (AB). En la mayoría de los países hay un AB. En los Estados Unidos, el American National Standards Institute (ANSI) es el AB para la acreditación de seguridad funcional. En el Reino Unido, el Servicio de Acreditación del Reino Unido (UKAS) proporciona acreditación de seguridad funcional. Los AB son miembros del Foro Internacional de Acreditación (IAF) para trabajar en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de pruebas de laboratorio. Un Acuerdo de Reconocimiento Multilateral (MLA) entre los OA garantizará el reconocimiento global de los EC acreditados.
Varios organismos de certificación globales han establecido programas de certificación de seguridad funcional IEC 61508 . Cada uno ha definido su propio esquema basado en IEC 61508 y otras normas de seguridad funcional. El esquema enumera los estándares referenciados y especifica procedimientos que describen sus métodos de prueba, la política de auditoría de vigilancia, las políticas de documentación pública y otros aspectos específicos de su programa. Varios CB reconocidos ofrecen a nivel mundial programas de certificación de seguridad funcional para las normas IEC 61508, incluidos Intertek , SGS , TÜV Rheinland, TÜV SÜD y UL .
Un elemento importante de la certificación de seguridad funcional es la vigilancia continua por parte de la agencia de certificación. La mayoría de las organizaciones de OC han incluido auditorías de vigilancia en su esquema. La vigilancia de seguimiento garantiza que el producto, subsistema o sistema aún se esté fabricando de acuerdo con lo que se certificó originalmente para la seguridad funcional. La vigilancia de seguimiento puede ocurrir en varias frecuencias dependiendo del organismo de certificación, pero generalmente observará el historial de fallas de campo del producto, los cambios de diseño de hardware, los cambios de software, así como el cumplimiento continuo del fabricante de los sistemas de gestión de seguridad funcional.
Aeroespacial militar
Para los sistemas militares aeroespaciales y de defensa, MIL-STD-882E aborda los análisis de peligros funcionales (FHA) y determina qué funciones implementadas en hardware y software son importantes para la seguridad. El enfoque de seguridad funcional es garantizar que las funciones críticas de seguridad y los subprocesos funcionales en el sistema, el subsistema y el software se analicen y verifiquen el comportamiento correcto según los requisitos de seguridad, incluidas las condiciones de falla funcional y las fallas y la mitigación adecuada en el diseño. Estos principios de seguridad del sistema que sustentan la seguridad funcional se desarrollaron en las industrias militar, nuclear y aeroespacial, y luego fueron adoptados por las industrias de control, procesos y transporte ferroviario que desarrollan estándares específicos del sector. Los estándares de seguridad funcional se aplican en todos los sectores de la industria que se ocupan de los requisitos críticos de seguridad y son especialmente aplicables en cualquier momento, los comandos de software, controlan o monitorean una función crítica de seguridad. Miles de productos y procesos cumplen los estándares basados en IEC 61508 : desde duchas de baño, [2] productos de seguridad automotriz, dispositivos médicos, sensores, actuadores, equipos de buceo, [3] Controladores de proceso [4] [5] [6] y sus integración a barcos, aeronaves y grandes plantas.
Aviación
La FAA de EE. UU. Tiene procesos de certificación de seguridad funcional similares, en forma de US RTCA DO-178C para software y DO-254 para hardware electrónico complejo, [7] [8] que se aplica en toda la industria aeroespacial. La seguridad funcional y la garantía de diseño en aeronaves de transporte civil / comercial están documentadas en SAE ARP4754A como niveles de garantía de diseño funcional (FDALS). Los FDAL del sistema impulsan la profundidad del análisis de seguridad de ingeniería. El nivel de rigor (LOR) o las tareas de seguridad realizadas para garantizar un riesgo aceptable dependen de la identificación de la condición de falla funcional específica y la gravedad del peligro en relación con las funciones críticas para la seguridad (SCF). En muchos casos, el comportamiento funcional en el software integrado se analiza y prueba a fondo para garantizar que el sistema funcione según lo previsto en condiciones creíbles de fallas y fallas. La seguridad funcional se está convirtiendo en el enfoque normal centrado en sistemas complejos con uso intensivo de software y sistemas altamente integrados con consecuencias para la seguridad. Las tareas de seguridad de software tradicionales y las tareas de seguridad funcional basadas en modelos se realizan para proporcionar evidencia de seguridad objetiva de que la funcionalidad del sistema y las características de seguridad funcionan según lo previsto en fallas normales y no nominales. El punto de entrada de la seguridad funcional comienza temprano en el proceso mediante la realización de análisis de peligros funcionales (FHA) para identificar peligros y riesgos e influir en los requisitos de diseño de seguridad y la asignación y descomposición funcional para mitigar los peligros. El comportamiento del software y los SCF a nivel del sistema es una parte vital de cualquier esfuerzo de seguridad funcional. Los análisis y los resultados de la implementación se documentan en Evaluaciones de riesgos funcionales (FHA) o Evaluaciones de seguridad del sistema o Casos de seguridad. Los procesos de seguridad funcional basados en modelos se utilizan a menudo y se requieren en sistemas intensivos de software altamente integrados y complejos para comprender todas las muchas interacciones y comportamientos previstos y para ayudar en el proceso de verificación y certificación de la seguridad.
Juntas de revisión de seguridad
En Boeing , una Junta de Revisión de Seguridad (SRB) es responsable de decidir solo si un problema es o no un problema de seguridad; una SRB reúne a varios expertos en la materia de la empresa (PYME) en muchas disciplinas. La PYME más conocedora presenta el problema, asistida y guiada por la organización de seguridad operacional de la aviación. La decisión de seguridad se toma mediante votación. Cualquier voto por "seguridad" resulta en una decisión de la junta de "seguridad". [9]
Espacio
En Estados Unidos, la NASA desarrolló una infraestructura para sistemas críticos de seguridad adoptada ampliamente por la industria, tanto en América del Norte como en otros lugares, con un estándar [10] respaldado por directrices. [11] El estándar y las pautas de la NASA se basan en ISO 12207 , que es un estándar de práctica de software en lugar de un estándar crítico de seguridad, por lo tanto, la naturaleza extensa de la documentación que la NASA se ha visto obligada a agregar, en comparación con el uso de un estándar diseñado específicamente como IEC EN 61508 . Existe un proceso de certificación para sistemas desarrollados de acuerdo con las directrices de la NASA. [12]
Médico
Los dispositivos médicos modernos E / E / PS están siendo certificados a 510 (k) sobre la base de la norma IEC EN 62304 específica del sector industrial , basada en los conceptos IEC EN 61508.
Automotor
La industria automotriz ha desarrollado el Estándar de seguridad funcional de vehículos de carretera ISO 26262 basado en IEC 61508 . La certificación de esos sistemas asegura el cumplimiento de las regulaciones pertinentes y ayuda a proteger al público. La Directiva ATEX también ha adoptado un estándar de seguridad funcional, es BS EN 50495: 2010 'Dispositivos de seguridad requeridos para el funcionamiento seguro de equipos con respecto a riesgos de explosión' cubre dispositivos relacionados con la seguridad como controladores de purga y disyuntores de motor Ex e. Es aplicado por Organismos Notificados bajo la Directiva ATEX. La norma ISO 26262 aborda especialmente el ciclo de desarrollo de la automoción. Es una norma de varias partes que define los requisitos y proporciona pautas para lograr la seguridad funcional en los sistemas E / E instalados en automóviles de pasajeros de producción en serie. La norma ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional automotriz. [13] (Véase también el artículo principal: ISO 26262 ). El proceso de cumplimiento generalmente lleva tiempo, ya que los empleados deben recibir capacitación para desarrollar las competencias esperadas.
Normas de seguridad funcional contemporáneas
Los principales estándares de seguridad funcional en uso actual se enumeran a continuación:
- IEC EN 61508 Partes 1 a 7 es un estándar básico de seguridad funcional, que se aplica ampliamente a todos los tipos de E / E / PS críticos para la seguridad y a sistemas con una función de seguridad que incorpore E / E / PS. (Nivel de integridad de seguridad - SIL)
- Estándar de defensa del Reino Unido 00-56 Edición 2
- US RTCA DO-178C Software de aviónica norteamericano
- US RTCA DO-254 Hardware de aviónica norteamericano
- EUROCAE ED-12B Sistemas europeos de seguridad de vuelo aerotransportado
- IEC 62304 - Software de dispositivos médicos
- IEC 61513 , Centrales nucleares - Instrumentación y control de sistemas importantes para la seguridad - Requisitos generales para sistemas, basados en EN 61508
- IEC 61511-1 , Seguridad funcional - Sistemas instrumentados de seguridad para el sector de la industria de procesos - Parte 1: Marco, definiciones, requisitos del sistema, hardware y software, basados en EN 61508
- IEC 61511-2, Seguridad funcional - Sistemas instrumentados de seguridad para el sector de la industria de procesos - Parte 2: Directrices para la aplicación de IEC 61511-1, basadas en EN 61508
- IEC 61511-3, Seguridad funcional - Sistemas instrumentados de seguridad para el sector de la industria de procesos - Parte 3: Guía para la determinación de los niveles de integridad de seguridad requeridos, según EN 61508
- IEC 62061 , Seguridad de la maquinaria - Seguridad funcional de los sistemas de control eléctricos, electrónicos y electrónicos programables relacionados con la seguridad, según EN 61508
- ISO 13849 -1, -2 Seguridad de la maquinaria - Partes de los sistemas de control relacionadas con la seguridad. Norma no dependiente de la tecnología para la seguridad del sistema de control de la maquinaria. (Niveles de rendimiento - PL)
- EN 50126 , Específico de la industria ferroviaria - Revisión RAMS de las condiciones de operación, sistema y mantenimiento para equipos de proyecto
- EN 50128 , Específico de la industria ferroviaria: revisión de seguridad del software (sistemas de comunicaciones, señalización y procesamiento)
- EN 50129 , Específico de la industria ferroviaria: seguridad del sistema en sistemas electrónicos
- EN 50495 , Dispositivos de seguridad necesarios para el funcionamiento seguro de equipos con respecto a los riesgos de explosión.
- Pautas críticas de seguridad de la NASA
- ISO 25119 - Tractores y maquinaria para la agricultura y la silvicultura - Partes de los sistemas de control relacionadas con la seguridad
- ISO 26262 - Seguridad funcional de los vehículos de carretera
La norma ISO 26262 aborda especialmente el ciclo de desarrollo de la automoción. Es una norma de varias partes que define los requisitos y proporciona pautas para lograr la seguridad funcional en los sistemas E / E instalados en automóviles de pasajeros de producción en serie. La norma ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional automotriz. [13]
Ver también
- IEC 61508
- ALARP
- Estudio de peligrosidad y operabilidad
- HAZID
- Nivel de Integridad Seguro
- Nivel de viaje espurio
- FMEA
- FMEDA
Referencias
- ^ Van Beurden, Iwan (noviembre de 2017). "Verificación de funciones instrumentadas de seguridad: las tres barreras" (PDF) . exida.
- ^ "RADA Sense - Ducha T3" (PDF) . Rada. 2008. Archivado desde el original (PDF) el 15 de julio de 2011 . Consultado el 25 de julio de 2009 .
- ^ "Ejemplo de caso de seguridad IEC 61508: equipo de buceo" . Vida profunda. Archivado desde el original el 3 de marzo de 2016 . Consultado el 22 de enero de 2013 .
- ^ "Sistema informático industrial 800xA de alta integridad" . TEJIDO.
- ^ "RTOS con certificación IEC 61508 SIL 3" . Software de Green Hills.
- ^ "LISTA DE ELEMENTOS DE AUTOMATIZACIÓN DE SEGURIDAD" . exida.
- ^ V. Hilderman, T. Bagha, "Certificación de aviónica", Una guía completa para DO-178B y DO-254, ISBN 978-1-885544-25-4
- ^ C. Spritzer, "Manual de aviónica digital, segunda edición - Conjunto de 2 volúmenes (Manual de ingeniería eléctrica", CRC Press. ISBN 978-0-8493-5008-5
- ^ Mentira, Simon (2014). Seguridad en servicio en Boeing (PDF) . Documento presentado en el Seminario ISASI 2014, octubre de 2014, Adelaide, Australia. ISASI.
- ^ Estándar de seguridad de software de la NASA NASA STD 8719.13A
- ^ NASA-GB-1740.13-96, Guía de la NASA para software crítico de seguridad.
- ^ Nelson, Stacy (junio de 2003). "Procesos de certificación para software aeroespacial de seguridad y misión crítica" (PDF) . NASA / CR – 2003-212806.
- ^ a b "26262-1: 2011" . ISO . Consultado el 25 de abril de 2013 .
enlaces externos
- Zona de seguridad funcional IEC
- 61508.org La Asociación 61508