Este artículo analiza el diseño y la implementación de sistemas de control relacionados con la seguridad que se ocupan de todo tipo de sistemas eléctricos, electrónicos y electrónicos programables (incluidos los sistemas basados ​​en computadora). El enfoque general está de acuerdo con la Norma 1508 de la Comisión Electrotécnica Internacional (IEC) propuesta (Seguridad funcional: relacionada con la seguridad 

Todas las funciones a su disposición) (CEI 1993).

Antecedentes

Durante la década de 1980, los sistemas basados ​​en computadora, denominados genéricamente sistemas electrónicos programables (PES), se usaban cada vez más para llevar a cabo funciones de seguridad. Las principales fuerzas impulsoras detrás de esta tendencia fueron (1) la funcionalidad mejorada y los beneficios económicos (particularmente considerando el ciclo de vida total del dispositivo o sistema) y (2) el beneficio particular de ciertos diseños, que solo podían realizarse cuando se usaba tecnología informática. . Durante la introducción temprana de los sistemas basados ​​en computadora se hicieron una serie de hallazgos:

• La introducción del control por computadora fue mal pensada y planificada.
• Se especificaron requisitos de seguridad inadecuados.
• Se desarrollaron procedimientos inadecuados con respecto a la validación del software.
• Se reveló evidencia de mano de obra deficiente con respecto al estándar de instalación de la planta.
• Se generó documentación inadecuada y no se validó adecuadamente con respecto a lo que realmente había en la planta (a diferencia de lo que se pensaba que estaba en la planta).
• Se habían establecido procedimientos de operación y mantenimiento menos que completamente efectivos.
• Evidentemente, existía una preocupación justificada acerca de la competencia de las personas para desempeñar las funciones que se les exigían.

Para resolver estos problemas, varios organismos publicaron o comenzaron a desarrollar pautas para permitir la explotación segura de la tecnología PSA. En el Reino Unido, el Ejecutivo de Salud y Seguridad (HSE) desarrolló pautas para sistemas electrónicos programables utilizados para aplicaciones relacionadas con la seguridad, y en Alemania se publicó un proyecto de norma (DIN 1990). Dentro de la Comunidad Europea, se inició un elemento importante en el trabajo sobre normas europeas armonizadas relacionadas con los sistemas de control relacionados con la seguridad (incluidos los que emplean PES) en relación con los requisitos de la Directiva de máquinas. En los Estados Unidos, la Sociedad de Instrumentos de América (ISA) ha producido un estándar sobre PES para su uso en las industrias de procesos, y el Centro para la Seguridad de Procesos Químicos (CCPS), una dirección del Instituto Americano de Ingenieros Químicos, ha elaborado directrices para el sector de procesos químicos.

Actualmente se está llevando a cabo una importante iniciativa de estándares dentro de IEC para desarrollar un estándar internacional de base genérica para sistemas relacionados con la seguridad eléctricos, electrónicos y electrónicos programables (E/E/PES) que podría ser utilizado por muchos sectores de aplicaciones, incluido el proceso, sector médico, transporte y maquinaria. La norma internacional IEC propuesta consta de siete partes bajo el título general IEC 1508. Seguridad funcional de los sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Las distintas partes son las siguientes:

• Parte 1. Requisitos generales
• Parte 2. Requisitos para sistemas eléctricos, electrónicos y electrónicos programables.
• Parte 3. Requisitos de software
• Parte 4. Definiciones
• Parte 5. Ejemplos de métodos para la determinación de los niveles de integridad de la seguridad
• Parte 6. Directrices sobre la aplicación de las Partes 2 y 3
• Parte 7. Resumen de técnicas y medidas.

Cuando esté finalizada, esta norma internacional de base genérica constituirá una publicación de seguridad básica de IEC que cubrirá la seguridad funcional para sistemas eléctricos, electrónicos y electrónicos programables relacionados con la seguridad y tendrá implicaciones para todas las normas de IEC, cubriendo todos los sectores de aplicación con respecto al diseño y uso futuros de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad. Un objetivo principal de la norma propuesta es facilitar el desarrollo de normas para los diversos sectores (ver figura 1).

Figura 1. Normas genéricas y sectoriales de aplicación

Beneficios y problemas del PSA

La adopción de PES con fines de seguridad tenía muchas ventajas potenciales, pero se reconoció que estas se lograrían solo si se usaban metodologías de diseño y evaluación apropiadas, porque: (1) muchas de las características de los PES no permiten la integridad de la seguridad (que es decir, el rendimiento de seguridad de los sistemas que llevan a cabo las funciones de seguridad requeridas) que debe predecirse con el mismo grado de confianza que tradicionalmente ha estado disponible para sistemas menos complejos basados ​​en hardware ("cableados"); (2) se reconoció que, si bien las pruebas eran necesarias para sistemas complejos, no eran suficientes por sí solas. Esto significaba que incluso si el PES estaba implementando funciones de seguridad relativamente simples, el nivel de complejidad de la electrónica programable era significativamente mayor que el de los sistemas cableados que estaban reemplazando; y (3) este aumento en la complejidad significó que las metodologías de diseño y evaluación tuvieron que ser mucho más consideradas que antes, y que el nivel de competencia personal requerido para lograr niveles adecuados de desempeño de los sistemas relacionados con la seguridad fue posteriormente mayor.

Los beneficios de los PES basados ​​en computadora incluyen lo siguiente:

• la capacidad de realizar verificaciones de prueba de diagnóstico en línea en componentes críticos a una frecuencia significativamente más alta de lo que sería el caso de otro modo
• el potencial para proporcionar enclavamientos de seguridad sofisticados
• la capacidad de proporcionar funciones de diagnóstico y monitoreo de condición que se pueden usar para analizar e informar sobre el rendimiento de la planta y la maquinaria en tiempo real
• la capacidad de comparar las condiciones reales de la planta con las condiciones del modelo "ideal"
• el potencial para proporcionar mejor información a los operadores y, por lo tanto, para mejorar la toma de decisiones que afectan la seguridad
• el uso de estrategias de control avanzadas para permitir que los operadores humanos se ubiquen de forma remota desde entornos peligrosos u hostiles
• la capacidad de diagnosticar el sistema de control desde una ubicación remota.

El uso de sistemas informáticos en aplicaciones relacionadas con la seguridad crea una serie de problemas que deben abordarse adecuadamente, como los siguientes:

• Los modos de falla son complejos y no siempre predecibles.
• La prueba de la computadora es necesaria pero no es suficiente en sí misma para establecer que las funciones de seguridad se realizarán con el grado de certeza requerido para la aplicación.
• Los microprocesadores pueden tener variaciones sutiles entre diferentes lotes y, por lo tanto, diferentes lotes pueden mostrar un comportamiento diferente.
• Los sistemas informáticos desprotegidos son especialmente susceptibles a las interferencias eléctricas (interferencias radiadas, “picos” eléctricos en la red eléctrica, descargas electrostáticas, etc.).
• Es difícil ya menudo imposible cuantificar la probabilidad de falla de los sistemas complejos relacionados con la seguridad que incorporan software. Debido a que ningún método de cuantificación ha sido ampliamente aceptado, la garantía del software se ha basado en procedimientos y estándares que describen los métodos que se utilizarán en el diseño, implementación y mantenimiento del software.

Sistemas de seguridad bajo consideración

Los tipos de sistemas relacionados con la seguridad que se están considerando son los sistemas eléctricos, electrónicos y electrónicos programables (E/E/PES). El sistema incluye todos los elementos, en particular las señales que se extienden desde los sensores o desde otros dispositivos de entrada en el equipo bajo control, y se transmiten a través de autopistas de datos u otras vías de comunicación a los actuadores u otros dispositivos de salida (consulte la figura 2).

Figura 2. Sistema eléctrico, electrónico y electrónico programable (E/E/PES)

El término dispositivo eléctrico, electrónico y electrónico programable se ha utilizado para abarcar una amplia variedad de dispositivos y cubre las siguientes tres clases principales:

1. dispositivos eléctricos tales como relés electromecánicos
2. dispositivos electrónicos tales como instrumentos electrónicos de estado sólido y sistemas lógicos
3. dispositivos electrónicos programables, que incluye una amplia variedad de sistemas informáticos como los siguientes:

• microprocesadores
• microcontroladores
• controladores programables (PC)
• circuitos integrados específicos de la aplicación (ASIC)
• controladores lógicos programables (PLC)
• otros dispositivos informáticos (por ejemplo, sensores, transmisores y actuadores “inteligentes”).

Por definición, un sistema relacionado con la seguridad tiene dos propósitos:

1. Implementa las funciones de seguridad necesarias para lograr un estado seguro para el equipo bajo control o mantiene un estado seguro para el equipo bajo control. El sistema relacionado con la seguridad debe realizar aquellas funciones de seguridad que se especifican en la especificación de requisitos de funciones de seguridad para el sistema. Por ejemplo, la especificación de los requisitos de las funciones de seguridad puede establecer que cuando la temperatura alcanza un cierto valor x, válvula y se abrirá para permitir que el agua entre en el recipiente.
2. Logra, por sí solo o con otros sistemas relacionados con la seguridad, el nivel necesario de integridad de seguridad para la implementación de las funciones de seguridad requeridas. Las funciones de seguridad deben ser realizadas por los sistemas relacionados con la seguridad con el grado de confianza adecuado a la aplicación para lograr el nivel de seguridad requerido para el equipo bajo control.

Este concepto se ilustra en la figura 3.

Figura 3. Características clave de los sistemas relacionados con la seguridad

Fallos del sistema

Para garantizar el funcionamiento seguro de los sistemas relacionados con la seguridad de E/E/PES, es necesario reconocer las diversas causas posibles de falla del sistema relacionado con la seguridad y garantizar que se toman las precauciones adecuadas contra cada una. Las fallas se clasifican en dos categorías, como se ilustra en la figura 4.

Figura 4. Categorías de falla

1. Las fallas de hardware aleatorias son aquellas fallas que resultan de una variedad de mecanismos de degradación normales en el hardware. Hay muchos mecanismos de este tipo que ocurren a diferentes velocidades en diferentes componentes, y dado que las tolerancias de fabricación hacen que los componentes fallen debido a estos mecanismos después de diferentes tiempos de operación, las fallas de un elemento total del equipo que comprende muchos componentes ocurren en momentos impredecibles (aleatorios). Las medidas de confiabilidad del sistema, como el tiempo medio entre fallas (MTBF), son valiosas, pero generalmente solo se refieren a fallas de hardware aleatorias y no incluyen fallas sistemáticas.
2. Las fallas sistemáticas surgen de errores en el diseño, construcción o uso de un sistema que hacen que falle bajo alguna combinación particular de entradas o bajo alguna condición ambiental particular. Si ocurre una falla del sistema cuando surge un conjunto particular de circunstancias, siempre que surjan esas circunstancias en el futuro, siempre habrá una falla del sistema. Cualquier falla de un sistema relacionado con la seguridad que no surja de una falla aleatoria del hardware es, por definición, una falla sistemática. Las fallas sistemáticas, en el contexto de los sistemas relacionados con la seguridad E/E/PES, incluyen:

• fallas sistemáticas debido a errores u omisiones en la especificación de requisitos de las funciones de seguridad
• fallas sistemáticas debido a errores en el diseño, fabricación, instalación u operación del hardware. Estos incluirían fallas que surjan de causas ambientales y errores humanos (por ejemplo, del operador).
• fallas sistemáticas debido a fallas en el software
• fallas sistemáticas debido a errores de mantenimiento y modificación.

Protección de sistemas relacionados con la seguridad

Los términos que se utilizan para indicar las medidas de precaución requeridas por un sistema relacionado con la seguridad para proteger contra fallas aleatorias de hardware y fallas sistemáticas son medidas de integridad de seguridad del hardware y medidas sistemáticas de integridad de la seguridad respectivamente. Las medidas de precaución que un sistema relacionado con la seguridad puede aplicar contra fallas aleatorias de hardware y fallas sistemáticas se denominan integridad de seguridad. Estos conceptos se ilustran en la figura 5.

Figura 5. Términos de desempeño de seguridad

Dentro de la norma internacional propuesta IEC 1508 hay cuatro niveles de integridad de seguridad, denominados Niveles de integridad de seguridad 1, 2, 3 y 4. El Nivel de integridad de seguridad 1 es el nivel de integridad de seguridad más bajo y el Nivel de integridad de seguridad 4 es el más alto. El Nivel de integridad de la seguridad (ya sea 1, 2, 3 o 4) para el sistema relacionado con la seguridad dependerá de la importancia del papel que desempeña el sistema relacionado con la seguridad para lograr el nivel de seguridad requerido para el equipo bajo control. Pueden ser necesarios varios sistemas relacionados con la seguridad, algunos de los cuales pueden estar basados ​​en tecnología neumática o hidráulica.

Diseño de Sistemas Relacionados con la Seguridad

Un análisis reciente de 34 incidentes relacionados con los sistemas de control (HSE) encontró que el 60 % de todos los casos de falla habían sido "incorporados" antes de que se pusiera en uso el sistema de control relacionado con la seguridad (figura 7). Es necesario tener en cuenta todas las fases del ciclo de vida de la seguridad si se van a producir sistemas adecuados relacionados con la seguridad.

Figura 7. Causa principal (por fase) de falla del sistema de control

La seguridad funcional de los sistemas relacionados con la seguridad depende no solo de garantizar que los requisitos técnicos se especifiquen correctamente, sino también de garantizar que los requisitos técnicos se implementen de manera efectiva y que la integridad del diseño inicial se mantenga durante toda la vida útil del equipo. Esto se puede lograr solo si se cuenta con un sistema de gestión de la seguridad eficaz y si las personas involucradas en cualquier actividad son competentes con respecto a las funciones que tienen que realizar. En particular, cuando se trata de sistemas complejos relacionados con la seguridad, es esencial contar con un sistema de gestión de la seguridad adecuado. Esto lleva a una estrategia que asegura lo siguiente:

• Se cuenta con un sistema efectivo de gestión de la seguridad.
• Los requisitos técnicos que se especifican para los sistemas relacionados con la seguridad E/E/PES son suficientes para hacer frente tanto al hardware aleatorio como a las causas de fallas sistemáticas.
• La competencia de las personas involucradas es adecuada para las funciones que deben desempeñar.

Para abordar todos los requisitos técnicos relevantes de la seguridad funcional de manera sistemática, se ha desarrollado el concepto del ciclo de vida de la seguridad. En la figura 1508 se muestra una versión simplificada del ciclo de vida de seguridad en la norma internacional emergente IEC 8. Las fases clave del ciclo de vida de seguridad son:

Figura 8. Papel del ciclo de vida de la seguridad en el logro de la seguridad funcional

• especificación
• diseño e implementación
• instalación y puesta en marcha
• operación y mantenimiento
• cambios después de la puesta en marcha.

Nivel de seguridad

La estrategia de diseño para el logro de niveles adecuados de integridad de la seguridad para los sistemas relacionados con la seguridad se ilustra en la figura 9 y la figura 10. Un nivel de integridad de la seguridad se basa en el papel que desempeña el sistema relacionado con la seguridad en el logro del nivel general. de seguridad para el equipo bajo control. El nivel de integridad de seguridad especifica las precauciones que deben tenerse en cuenta en el diseño contra fallas aleatorias de hardware y sistemáticas.

Figura 9. Rol de los niveles de integridad de la seguridad en el proceso de diseño

Figura 10. Papel del ciclo de vida de la seguridad en el proceso de especificación y diseño

El concepto de seguridad y nivel de seguridad se aplica al equipo bajo control. El concepto de seguridad funcional se aplica a los sistemas relacionados con la seguridad. Debe lograrse la seguridad funcional de los sistemas relacionados con la seguridad si se quiere lograr un nivel adecuado de seguridad para el equipo que genera el peligro. El nivel de seguridad especificado para una situación específica es un factor clave en la especificación de requisitos de integridad de seguridad para los sistemas relacionados con la seguridad.

El nivel de seguridad requerido dependerá de muchos factores, por ejemplo, la gravedad de la lesión, la cantidad de personas expuestas al peligro, la frecuencia con la que las personas están expuestas al peligro y la duración de la exposición. Los factores importantes serán la percepción y las opiniones de las personas expuestas al evento peligroso. Para llegar a lo que constituye un nivel apropiado de seguridad para una aplicación específica, se consideran una serie de entradas, que incluyen lo siguiente:

• requisitos legales relevantes para la aplicación específica
• directrices de la autoridad reguladora de seguridad correspondiente
• discusiones y acuerdos con las diferentes partes involucradas en la aplicación
• estándares de la industria
• normas nacionales e internacionales
• el mejor asesoramiento industrial, experto y científico independiente.

Resumen

Al diseñar y utilizar sistemas relacionados con la seguridad, debe recordarse que es el equipo bajo control el que crea el peligro potencial. Los sistemas relacionados con la seguridad están diseñados para reducir la frecuencia (o probabilidad) del evento peligroso y/o las consecuencias del evento peligroso. Una vez que se ha establecido el nivel de seguridad para el equipo, se puede determinar el nivel de integridad de seguridad para el sistema relacionado con la seguridad, y es el nivel de integridad de seguridad lo que le permite al diseñador especificar las precauciones que deben incorporarse en el diseño para implementarse contra fallas aleatorias de hardware y sistemáticas.

Atrás