IEC 61508 es una norma internacional publicada por la Comisión Electrotécnica Internacional que consta de métodos sobre cómo aplicar, diseñar, implementar y mantener sistemas de protección automática denominados sistemas relacionados con la seguridad. Se titula Seguridad funcional de sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad ( E / E / PE o E / E / PES ).
IEC 61508 es una norma básica de seguridad funcional aplicable a todas las industrias. Define la seguridad funcional como: “parte de la seguridad general relacionada con el EUC (Equipo bajo control) y el sistema de control EUC que depende del correcto funcionamiento de los sistemas relacionados con la seguridad E / E / PE, otros sistemas tecnológicos relacionados con la seguridad e instalaciones externas de reducción de riesgos ". El concepto fundamental es que cualquier sistema relacionado con la seguridad debe funcionar correctamente o fallar de una manera predecible (segura).
El estándar tiene dos principios fundamentales:
- Un proceso de ingeniería llamado ciclo de vida de seguridad se define en base a las mejores prácticas para descubrir y eliminar errores y omisiones de diseño.
- Un enfoque probabilístico de fallas para tener en cuenta el impacto de seguridad de las fallas de los dispositivos.
El ciclo de vida de la seguridad tiene 16 fases que aproximadamente se pueden dividir en tres grupos de la siguiente manera:
- Análisis de direcciones de las fases 1 a 5
- Las fases 6 a 13 abordan la realización
- Operación de direcciones de las fases 14-16.
Todas las fases están relacionadas con la función de seguridad del sistema.
El estándar tiene siete partes:
- Las partes 1-3 contienen los requisitos de la norma (normativa)
- La parte 4 contiene definiciones
- Las partes 5-7 son pautas y ejemplos para el desarrollo y, por lo tanto, informativas.
Un elemento central de la norma son los conceptos de riesgo probabilístico para cada función de seguridad. El riesgo es una función de la frecuencia (o probabilidad) del evento peligroso y la gravedad de la consecuencia del evento. El riesgo se reduce a un nivel tolerable mediante la aplicación de funciones de seguridad que pueden consistir en E / E / PES, dispositivos mecánicos asociados u otras tecnologías. Muchos requisitos se aplican a todas las tecnologías, pero hay un gran énfasis en la electrónica programable, especialmente en la Parte 3.
IEC 61508 tiene las siguientes opiniones sobre los riesgos:
- Nunca se puede alcanzar el riesgo cero, solo se pueden reducir las probabilidades
- Deben reducirse los riesgos no tolerables ( ALARP )
- Se logra una seguridad óptima y rentable cuando se aborda en todo el ciclo de vida de la seguridad
Las técnicas específicas garantizan que se eviten errores y errores a lo largo de todo el ciclo de vida. Los errores introducidos en cualquier lugar, desde el concepto inicial, el análisis de riesgos, la especificación, el diseño, la instalación, el mantenimiento y hasta la eliminación, podrían socavar incluso la protección más confiable. IEC 61508 especifica las técnicas que deben usarse para cada fase del ciclo de vida.
Análisis de peligros y riesgos
La norma requiere que la evaluación de peligros y riesgos se lleve a cabo para sistemas a medida: "El riesgo EUC (equipo bajo control) se evaluará, o estimará, para cada evento peligroso determinado".
La norma advierte que "se pueden utilizar técnicas de análisis de peligros y riesgos cualitativos o cuantitativos" y ofrece orientación sobre una serie de enfoques. Uno de ellos, para el análisis cualitativo de peligros, es un marco basado en 6 categorías de probabilidad de ocurrencia y 4 de consecuencia.
Categorías de probabilidad de ocurrencia
Categoría | Definición | Rango (fallas por año) |
---|---|---|
Frecuente | Muchas veces en la vida | > 10 −3 |
Probable | Varias veces en la vida | 10 −3 a 10 −4 |
Ocasional | Una vez en la vida | 10 −4 a 10 −5 |
Remoto | Improbable en la vida | 10 −5 a 10 −6 |
Improbable | Es muy poco probable que ocurra | 10 −6 a 10 −7 |
Increíble | No puedo creer que pueda ocurrir | <10 −7 |
Categorías de consecuencias
Categoría | Definición |
---|---|
Catastrófico | Pérdida múltiple de vidas |
Crítico | Pérdida de una sola vida |
Marginal | Lesiones graves a una o más personas |
Despreciable | Lesiones menores en el peor de los casos |
Por lo general, estos se combinan en una matriz de clases de riesgo.
Consecuencia | ||||
Probabilidad | Catastrófico | Crítico | Marginal | Despreciable |
Frecuente | I | I | I | II |
Probable | I | I | II | III |
Ocasional | I | II | III | III |
Remoto | II | III | III | IV |
Improbable | III | III | IV | IV |
Increíble | IV | IV | IV | IV |
Dónde:
- Clase I: Inaceptable en cualquier circunstancia;
- Clase II: indeseable: tolerable solo si la reducción del riesgo es impracticable o si los costos son muy desproporcionados con respecto a la mejora obtenida;
- Clase III: Tolerable si el costo de la reducción del riesgo excedería la mejora;
- Clase IV: Aceptable tal como está, aunque es posible que deba ser monitoreado.
Nivel de Integridad Seguro
El nivel de integridad de seguridad (SIL) proporciona un objetivo a alcanzar para cada función de seguridad. Un esfuerzo de evaluación de riesgos produce un SIL objetivo para cada función de seguridad. Para cualquier diseño dado, el nivel SIL alcanzado se evalúa mediante tres medidas:
1. Capacidad sistemática (SC), que es una medida de la calidad del diseño. Cada dispositivo del diseño tiene una clasificación SC. El SIL de la función de seguridad se limita a la clasificación SC más pequeña de los dispositivos utilizados. Los requisitos para SC se presentan en una serie de tablas en la Parte 2 y la Parte 3. Los requisitos incluyen control de calidad apropiado, procesos de gestión, técnicas de validación y verificación, análisis de fallas, etc., de modo que se pueda justificar razonablemente que el sistema final alcanza el SIL requerido. .
2. Restricciones de arquitectura que son niveles mínimos de redundancia de seguridad presentados a través de dos métodos alternativos: Ruta 1h y Ruta 2h.
3. Análisis de probabilidad de fallas peligrosas [1]
Análisis probabilístico
La métrica de probabilidad utilizada en el paso 3 anterior depende de si el componente funcional estará expuesto a una demanda alta o baja :
- alta demanda se define como más de una vez al año y baja demanda se define como menor o igual a una vez al año (IEC-61508-4).
- Para funciones que operan continuamente (modo continuo) o funciones que operan frecuentemente (modo de alta demanda), SIL especifica una frecuencia permitida de fallas peligrosas.
- Para las funciones que operan de manera intermitente (modo de baja demanda), SIL especifica una probabilidad permisible de que la función no responda bajo demanda.
Tenga en cuenta la diferencia entre función y sistema. El sistema que implementa la función puede estar en funcionamiento con frecuencia (como una ECU para desplegar un airbag), pero la función (como el despliegue del airbag) puede tener una demanda intermitente.
SIL | Modo de baja demanda: probabilidad media de fallo bajo demanda | Modo de alta demanda o continuo: probabilidad de fallas peligrosas por hora |
1 | ≥ 10 −2 a <10 −1 | ≥ 10 −6 a <10 −5 |
2 | ≥ 10 −3 a <10 −2 | ≥ 10 −7 a <10 −6 |
3 | ≥ 10 −4 a <10 −3 | ≥ 10 −8 a <10 −7 (1 fallo peligroso en 1140 años) |
4 | ≥ 10 −5 a <10 −4 | ≥ 10 −9 a <10 −8 |
Certificación IEC 61508
La certificación es la declaración de un tercero de que un producto, proceso o sistema cumple con todos los requisitos del programa de certificación. Esos requisitos se enumeran en un documento llamado esquema de certificación. Los programas de certificación IEC 61508 son operados por organizaciones independientes de terceros llamadas organismos de certificación (CB). Estos EC están acreditados para operar siguiendo otras normas internacionales, incluidas ISO / IEC 17065 e ISO / IEC 17025. Los organismos de certificación están acreditados para realizar el trabajo de auditoría, evaluación y prueba por parte de un organismo de acreditación (AB). A menudo hay un AB nacional en cada país. Estos OA operan según los requisitos de ISO / IEC 17011, un estándar que contiene requisitos para la competencia, consistencia e imparcialidad de los organismos de acreditación al acreditar organismos de evaluación de la conformidad. Los AB son miembros del Foro Internacional de Acreditación (IAF) para trabajar en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de laboratorios. Un Acuerdo de Reconocimiento Multilateral (MLA) entre los OA garantizará el reconocimiento global de los EC acreditados. Varios organismos de certificación globales han establecido programas de certificación IEC 61508. Cada uno ha definido su propio esquema basado en IEC 61508 y otras normas de seguridad funcional. El esquema enumera los estándares referenciados y especifica procedimientos que describen sus métodos de prueba, la política de auditoría de vigilancia, las políticas de documentación pública y otros aspectos específicos de su programa. Los programas de certificación IEC 61508 se ofrecen a nivel mundial por varios organismos de certificación reconocidos, incluidos Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD y UL .
Variantes específicas de la industria / aplicación
Automotor
ISO 26262 es una adaptación de IEC 61508 para sistemas eléctricos / electrónicos de automoción. Está siendo ampliamente adoptado por los principales fabricantes de automóviles. [2]
Antes del lanzamiento de ISO 26262, el desarrollo de software para sistemas automotrices relacionados con la seguridad estaba cubierto predominantemente por las pautas de la Asociación de confiabilidad de software de la industria del motor (MISRA). [3] El proyecto MISRA se concibió para desarrollar directrices para la creación de software integrado en sistemas electrónicos de vehículos de carretera. [3] En noviembre de 1994 se publicó un conjunto de directrices para el desarrollo de software basado en vehículos. [4] Este documento proporcionó la primera interpretación de la industria automotriz de los principios de la norma IEC 61508, entonces emergente. [3]
Hoy en día, MISRA es más conocido por sus pautas sobre cómo usar los lenguajes C y C ++. [5] MISRA C se ha convertido en el estándar de facto para la programación C integrada en la mayoría de las industrias relacionadas con la seguridad, y también se utiliza para mejorar la calidad del software incluso cuando la seguridad no es la consideración principal.
Carril
IEC 62279 proporciona una interpretación específica de IEC 61508 para aplicaciones ferroviarias. Está destinado a cubrir el desarrollo de software para el control y la protección ferroviaria, incluidos los sistemas de comunicaciones, señalización y procesamiento.
Industrias de proceso
El sector de la industria de procesos incluye muchos tipos de procesos de fabricación, como refinerías, petroquímica, química, farmacéutica, pulpa y papel, y energía. IEC 61511 es una norma técnica que establece prácticas en la ingeniería de sistemas que garantizan la seguridad de un proceso industrial mediante el uso de instrumentación.
Plantas de energía
IEC 61513 proporciona requisitos y recomendaciones para la instrumentación y el control de sistemas importantes para la seguridad de las centrales eléctricas. Indica los requisitos generales para los sistemas que contienen equipo convencional cableado, equipo basado en computadora o una combinación de ambos tipos de equipo. La ISO publica una lista general de las normas de seguridad específicas para las centrales nucleares. [6]
Maquinaria
IEC 62061 es la implementación específica de maquinaria de IEC 61508. Proporciona requisitos que son aplicables al diseño de nivel de sistema de todo tipo de sistemas de control eléctrico relacionados con la seguridad de maquinaria y también para el diseño de subsistemas o dispositivos no complejos.
Software de prueba
Es posible que el software escrito de acuerdo con IEC 61508 deba ser probado en la unidad , dependiendo del nivel SIL que deba alcanzar. El requisito principal en las pruebas unitarias es garantizar que el software se pruebe completamente a nivel de función y que todas las ramas y rutas posibles se tomen a través del software. En algunas aplicaciones de nivel SIL más alto , el requisito de cobertura de código de software es mucho más estricto y se utiliza un criterio de cobertura de código MC / DC en lugar de una cobertura de rama simple. Para obtener la información de cobertura de MC / DC (condición modificada / cobertura de decisión), se necesitará una herramienta de prueba unitaria, a veces denominada herramienta de prueba de módulo de software.
Ver también
- Seguridad funcional
- Estándares de seguridad
- FMEDA
- Nivel de viaje espurio
- Sistema activado por tiempo (una arquitectura de software utilizada para lograr el cumplimiento de IEC 61508)
- Calidad del software
Referencias
- ^ Evaluación y confiabilidad de la seguridad de los sistemas de control . ES UN. 2010. ISBN 978-1-934394-80-9.
- ^ Hamann, Reinhold; Sauler, Jürgen; Kriso, Stefan; Grote, Walter; Mössinger, Jürgen (20 de abril de 2009). "Aplicación de ISO 26262 en Desarrollo Distribuido ISO 26262 en Realidad" . Serie de documentos técnicos SAE . 400 Commonwealth Drive, Warrendale, PA, Estados Unidos: SAE International. doi : 10.4271 / 2009-01-0758 .Mantenimiento de CS1: ubicación ( enlace )
- ^ a b c "Sitio Web de MISRA> Inicio de MISRA> Una breve historia de MISRA" . www.misra.org.uk . Consultado el 23 de febrero de 2021 .
- ^ Pautas de desarrollo para software basado en vehículos . MISRA. 1994. ISBN 0952415607.
- ^ "Sitio Web MISRA> Noticias" . www.misra.org.uk . Consultado el 23 de febrero de 2021 .
- ^ "ISO - 27.120.20 - Centrales nucleares. Seguridad" . www.iso.org . Consultado el 23 de febrero de 2021 .
Otras lecturas
Estándares de seguridad relacionados
- ISO 26262 (es una adaptación de IEC 61508 [1] con pequeñas diferencias [2] )
- IEC 60730 [3] (hogar)
- DO-178C (aeroespacial)
Libros de texto
- W. Goble, "Evaluación de la seguridad y confiabilidad de los sistemas de control" (3.ª edición ISBN 978-1-934394-80-9 , tapa dura, 458 páginas).
- I. van Beurden, W. Goble, "Técnicas de diseño de sistemas instrumentados de seguridad y verificación del diseño" (primera edición ISBN 978-1-945541-43-8 , 430 páginas).
- MJM Houtermans, "SIL y seguridad funcional en pocas palabras" (Mejores prácticas de Risknowlogy, 1.ª edición, libro electrónico en formato PDF, ePub y iBook, 40 páginas) SIL y seguridad funcional en pocas palabras: libro electrónico que presenta SIL y seguridad funcional
- M. Medoff, R. Faller, "Seguridad funcional: un proceso de desarrollo que cumple con IEC 61508 SIL 3" (tercera edición, ISBN 978-1-934977-08-8 Tapa dura, 371 páginas, www.exida.com)
- C. O'Brien, L. Stewart, L. Bredemeyer, "Elementos finales en sistemas instrumentados de seguridad: sistemas que cumplen con IEC 61511 y productos que cumplen con IEC 61508" (1.a edición, 2018, ISBN 978-1-934977-18-7 , tapa dura, 305 páginas, www.exida.com)
- Münch, Jürgen; Armbrust, Ove; Soto, Martín; Kowalczyk, Martin. “Definición y gestión de procesos de software”, Springer, 2012.
- M.Punch, "Seguridad funcional para la industria minera: un enfoque integrado que utiliza AS (IEC) 61508, AS (IEC) 62061 y AS4024.1". (1ra Edición, ISBN 978-0-9807660-0-4 , en rústica A4, 150 páginas).
- D.Smith, K Simpson, "Safety Critical Systems Handbook: A Straightforward Guide to Functional Safety, IEC 61508 (2010 Edition) and Related Standards, incluyendo Process IEC 61511 y Machinery IEC 62061 e ISO 13849" (3.ª edición ISBN 978-0-08-096781-3 , tapa dura, 288 páginas).
enlaces externos
- IEC 61508-1: 2010 Seguridad funcional de sistemas eléctricos / electrónicos / electrónicos programables relacionados con la seguridad - Partes 1
- "IEC 61508" en la Comisión Electrotécnica Internacional
- Zona de seguridad funcional IEC
- 61508 Association Un grupo de organizaciones intersectoriales con interés en lograr un método confiable y rentable para demostrar el cumplimiento con IEC 61508 y estándares relacionados.
- ^ "Relación entre ISO 26262 e IEC 61508" . ez.analog.com . Consultado el 11 de abril de 2021 .
- ^ "Seguridad funcional automotriz vs industrial" . ez.analog.com . Consultado el 11 de abril de 2021 .
- ^ "IEC 60730-1: 2013 + AMD1: 2015 + AMD2: 2020 CSV | Tienda web de IEC" . webstore.iec.ch . Consultado el 11 de abril de 2021 .