La seguridad funcional es la parte de la seguridad general de un sistema o equipo que depende de que la protección automática funcione correctamente en respuesta a sus entradas o fallas de manera predecible ( a prueba de fallas ). El sistema de protección automática debe estar diseñado para manejar adecuadamente los posibles errores sistemáticos , fallas de hardware y estrés operativo/ambiental.
El objetivo de la seguridad funcional es la eliminación de riesgos inaceptables de lesiones físicas o de daños a la salud de las personas, ya sea de forma directa o indirecta (a través de daños a la propiedad o al medio ambiente), mediante la implementación adecuada de una o más funciones de protección automáticas (a menudo denominadas funciones de seguridad). Un sistema de seguridad (a menudo denominado sistema relacionado con la seguridad) consta de una o más funciones de seguridad.
La seguridad funcional tiene un alcance intrínsecamente de extremo a extremo, ya que debe tratar la función de un componente o subsistema como parte de la función de protección automática completa de cualquier sistema. Por lo tanto, aunque las normas de seguridad funcional se centran en los sistemas eléctricos, electrónicos y programables (E/E/PS), el alcance de extremo a extremo significa que, en la práctica, los métodos de seguridad funcional deben extenderse a las partes no E/E/PS del sistema que los actuadores , válvulas y motores E/E/PS controlan o monitorean.
La seguridad funcional se logra cuando se lleva a cabo cada función de seguridad especificada y se cumple el nivel de desempeño requerido para cada función de seguridad. Esto normalmente se logra mediante un proceso que incluye los siguientes pasos como mínimo:
Ni la seguridad ni la seguridad funcional pueden determinarse sin considerar el sistema en su totalidad y el entorno con el que interactúa. La seguridad funcional tiene un alcance inherentemente de extremo a extremo. Los sistemas modernos a menudo tienen software que comanda y controla intensivamente funciones críticas para la seguridad. Por lo tanto, la funcionalidad del software y el comportamiento correcto del software deben ser parte del esfuerzo de ingeniería de seguridad funcional para garantizar un riesgo de seguridad aceptable a nivel del sistema.
Toda declaración de seguridad funcional de un componente, subsistema o sistema debe estar certificada de forma independiente según una de las normas de seguridad funcional reconocidas. De este modo, se puede afirmar que un producto certificado es funcionalmente seguro para un nivel de integridad de seguridad particular o un nivel de rendimiento en una gama específica de aplicaciones: el certificado y el informe de evaluación se proporcionan a los clientes y describen el alcance y los límites del rendimiento.
La seguridad funcional es un campo técnicamente desafiante. Las certificaciones deben ser realizadas por organizaciones independientes con experiencia y una sólida profundidad técnica (electrónica, electrónica programable, mecánica y análisis probabilístico). La certificación de seguridad funcional la realizan organismos de certificación acreditados (OC). La acreditación la otorga un organismo de acreditación (AB). En la mayoría de los países hay un AB. En los Estados Unidos, el Instituto Nacional Estadounidense de Normas (ANSI) es el AB para la acreditación de seguridad funcional. En el Reino Unido, el Servicio de Acreditación del Reino Unido (UKAS) proporciona la acreditación de seguridad funcional. Los AB son miembros del Foro Internacional de Acreditación (IAF) para el trabajo en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de pruebas de laboratorio. Un acuerdo de reconocimiento multilateral (MLA) entre AB garantizará el reconocimiento global de los CB acreditados.
Los programas de certificación de seguridad funcional IEC 61508 han sido establecidos por varios organismos de certificación globales. Cada uno ha definido su propio esquema basado en IEC 61508 y otras normas de seguridad funcional. El esquema enumera las normas a las que se hace referencia y especifica los procedimientos que describen sus métodos de prueba, política de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Varios organismos de certificación reconocidos, entre ellos Intertek , SGS , TÜV Rheinland, TÜV SÜD y UL , ofrecen programas de certificación de seguridad funcional para las normas IEC 61508 a nivel mundial.
Un elemento importante de la certificación de seguridad funcional es la vigilancia continua por parte del organismo de certificación. La mayoría de las organizaciones de certificación de seguridad funcional han incluido auditorías de vigilancia en su esquema. La vigilancia de seguimiento garantiza que el producto, subsistema o sistema se siga fabricando de acuerdo con lo que se certificó originalmente para la seguridad funcional. La vigilancia de seguimiento puede realizarse con distintas frecuencias según el organismo de certificación, pero normalmente se centrará en el historial de fallos de campo del producto, los cambios en el diseño del hardware, los cambios en el software, así como en el cumplimiento continuo por parte del fabricante de los sistemas de gestión de seguridad funcional.
Para los sistemas aeroespaciales y de defensa militares, la norma MIL-STD-882E aborda los análisis de riesgos funcionales (FHA) y determina qué funciones implementadas en hardware y software son importantes para la seguridad. El enfoque de la seguridad funcional se centra en garantizar que las funciones críticas de seguridad y los subprocesos funcionales en el sistema, subsistema y software se analicen y verifiquen para comprobar su comportamiento correcto según los requisitos de seguridad, incluidas las condiciones de falla funcional y las fallas y la mitigación adecuada en el diseño. Estos principios de seguridad del sistema que sustentan la seguridad funcional se desarrollaron en las industrias militar, nuclear y aeroespacial, y luego fueron adoptados por las industrias de transporte ferroviario, procesos y control que desarrollaron estándares específicos del sector. Los estándares de seguridad funcional se aplican en todos los sectores industriales que tratan con requisitos críticos de seguridad y son especialmente aplicables en cualquier momento en que el software ordene, controle o monitoree una función crítica para la seguridad. Miles de productos y procesos cumplen con los estándares basados en IEC 61508 : desde duchas de baño, [2] productos de seguridad automotriz, sensores, actuadores, equipos de buceo, [3] controladores de procesos [4] [5] [6] y su integración en barcos, aeronaves y plantas importantes.
La FAA de los EE. UU. tiene procesos de certificación de seguridad funcional similares, en forma de ARP4761, US RTCA DO-178C para software y DO-254 para hardware electrónico complejo, [7] [8] que se aplica en toda la industria aeroespacial. La seguridad funcional y la garantía de diseño en aeronaves de transporte civil/comercial están documentadas en SAE ARP4754A como niveles de garantía de diseño funcional (FDALS). Los FDAL del sistema impulsan la profundidad del análisis de seguridad de ingeniería. El nivel de rigor (LOR) o las tareas de seguridad realizadas para garantizar un riesgo aceptable dependen de la identificación de la condición de falla funcional específica y la gravedad del peligro relacionado con las funciones críticas de seguridad (SCF). En muchos casos, el comportamiento funcional en el software integrado se analiza y prueba a fondo para garantizar que el sistema funcione como se espera en condiciones de falla y falla creíbles. La seguridad funcional se está convirtiendo en el enfoque centrado normal en sistemas complejos con uso intensivo de software y sistemas altamente integrados con consecuencias de seguridad. Las tareas de seguridad de software tradicionales y las tareas de seguridad funcional basadas en modelos se realizan para proporcionar evidencia de seguridad objetiva de que la funcionalidad del sistema y las características de seguridad funcionan como se espera en fallas normales y fuera de lo nominal. El punto de entrada de la seguridad funcional comienza en las primeras etapas del proceso, con la realización de análisis de riesgos funcionales (FHA) para identificar los riesgos y peligros, e influir en los requisitos de diseño de seguridad y la asignación y descomposición funcional para mitigar los riesgos. El comportamiento del software y los SCF a nivel del sistema es una parte vital de cualquier esfuerzo de seguridad funcional. Los análisis y los resultados de la implementación se documentan en evaluaciones de riesgos funcionales (FHA) o evaluaciones de seguridad del sistema o casos de seguridad . Los procesos de seguridad funcional basados en modelos se utilizan a menudo y son necesarios en sistemas intensivos de software altamente integrados y complejos para comprender todas las interacciones y el comportamiento previsto y para ayudar en el proceso de verificación y certificación de seguridad.
En Boeing , una Junta de Revisión de Seguridad (SRB, por sus siglas en inglés) es responsable únicamente de decidir si un problema es o no un problema de seguridad. Una SRB reúne a múltiples expertos en la materia (SME, por sus siglas en inglés) de la compañía en muchas disciplinas. El SME con más conocimientos presenta el problema, asistido y guiado por la organización de Seguridad de la Aviación. La decisión de seguridad se toma por votación. Cualquier votación a favor de la "seguridad" da como resultado una decisión de la junta de "seguridad". [9]
En los EE. UU., la NASA desarrolló una infraestructura para sistemas críticos de seguridad que fue ampliamente adoptada por la industria, tanto en América del Norte como en otros lugares, con un estándar [10] respaldado por pautas. [11] El estándar y las pautas de la NASA se basan en la norma ISO 12207 , que es un estándar de práctica de software en lugar de un estándar crítico de seguridad, de ahí la naturaleza extensa de la documentación que la NASA se vio obligada a agregar, en comparación con el uso de un estándar diseñado específicamente como IEC EN 61508. Existe un proceso de certificación para sistemas desarrollados de acuerdo con las pautas de la NASA. [12]
La industria automotriz ha desarrollado la norma ISO 26262 "Estándar de seguridad funcional de vehículos de carretera" basada en la norma IEC 61508. La certificación de esos sistemas garantiza el cumplimiento de las regulaciones pertinentes y ayuda a proteger al público. La Directiva ATEX también ha adoptado una norma de seguridad funcional, es BS EN 50495:2010 "Dispositivos de seguridad requeridos para el funcionamiento seguro de los equipos con respecto a los riesgos de explosión" que cubre dispositivos relacionados con la seguridad como controladores de purga y disyuntores de motor Ex e. Es aplicada por organismos notificados bajo la Directiva ATEX . La norma ISO 26262 aborda particularmente el ciclo de desarrollo automotriz. Es una norma de varias partes que define requisitos y proporciona pautas para lograr la seguridad funcional en sistemas E/E instalados en automóviles de pasajeros de producción en serie. La ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional automotriz. [13] El proceso de cumplimiento generalmente lleva tiempo ya que los empleados necesitan capacitación para desarrollar las competencias esperadas.
A continuación se enumeran los principales estándares de seguridad funcional en uso actualmente:
La norma ISO 26262 aborda en particular el ciclo de desarrollo de la automoción. Se trata de una norma de varias partes que define los requisitos y proporciona directrices para lograr la seguridad funcional en los sistemas E/E instalados en los turismos de producción en serie. La norma ISO 26262 se considera un marco de mejores prácticas para lograr la seguridad funcional de la automoción. [13]