FASE 4: REQUISITOS RAMS DEL SISTEMA

1. INTRODUCCION

1.1. ¿Qué es un Requisito?

Un requisito es una declaración que identifica sin ambigüedad a un producto y a sus características o restricciones operacionales, funcionales o de diseño y que es comprobable, medible y necesario para la aceptación del producto o del proceso.

La Figura 16 constituye un ejemplo genérico de estructura desglosada de los requisitos.

1.2. Características de un buen requisito

Algunas de las caracteristicas mas significativas de un requisito son:

• Necesario: El requisito formulado debe ser una característica esencial de carácter físico o de capacidad, o un factor de calidad del producto o proceso.
• Conciso: La formulación debe incluir solo un requisito simple y claro. Debe ser conciso, o sea, la declaración no debe incluir explicaciones, fundamentaciones, definiciones o descripciones de uso del sistema.
• Completo: (de manera independiente) El requisito formulado debe ser completo sin necesidad de ampliación adicional. El requisito formulado debe ser suficiente.
• Coherente: El requisito formulado no debe contradecir otros requerimientos y no puede ser el duplicado de otro. Inequívoco Cada requisito debe tener una y solo una interpretación.
• Factible: Debe ser posible su implementación a pesar de cualquier limitación del sistema y de su entorno.
• Verificable/Comprobable: La formulación de un requisito no debe ambigua o general, sino cuantificable de manera que pueda ser verificable. La verificabilidad de un requisito debe ser consideraba al mismo tiempo que su definición.
• Fácil de Seguir: Cada requisito debe ser etiquetado con un único nombre o número de referencia.

1.3. Tipos de Requisitos de los Proyectos

El conjunto completo de requisitos técnicos de un proyecto debe incluir los siguientes tipos de especificaciones:

• Que no tienen relación con la seguridad
• Relacionados con la seguridad: - Requisitos funcionales de seguridad

- Requisitos de integridad de la seguridad

Los requisitos funcionales de seguridad son las funciones relacionadas con la seguridad que se requiere que realicen los sistemas, subsistemas o equipos.

Los requisitos de integridad de la seguridad (No funcionales) definen el nivel de integridad de la seguridad que se requiere para cada función relacionada con la seguridad. Estos se pueden dividir en dos tipos:

• Integridad ante fallas sistemáticas. No cuantificables relacionadas con las fallas peligrosas de hardware y software (errores de diseño, de fabricación, de instalación, de operación, etc.)

La integridad ante estas fallas se obtiene por medio de la gestión de la calidad y de la seguridad. (Se recomienda la lectura de los apartados 5.2 y 5.3 de la norma EN_50129)

• Integridad ante fallas aleatorias. Es la parte de la seguridad que atiende las falla aleatorias peligrosas, en particular fallas de hardware, resultado de fallas aleatoria de componentes.

1.4. Requisitos RAMS

En esta fase nos ocuparemos de especificar los requisitos RAMS del sistema. Partiendo de los resultado obtenidos en las fases anteriores; se deben comenzar con los requisitos globales RAMS para el sistema, la especificación de los criterios de demostración y aceptación de las RAMS y el establecimiento de un programa RAM para controlar las tareas RAM. Los procesos mencionados reflejan los objetivos de la fase. Finalmente se realiza el abordaje del requisito 4 de la fase 4 especificado por la norma UNE-EN 50126, estableciendo la necesidad de corrección del plan de seguridad para garantizar que las tareas futuras planeadas sean coherentes con los requisitos RAMS del sistema.

2. ESPECIFICAR LOS REQUISITOS GLOBALES RAMS DEL SISTEMA

La especificación de los requisitos globales RAMS involucra una serie de actividades de definición de parámetros y requisitos, que resumimos en la siguiente enumeración tomadas de la norma EN-50126

• Definir y establecer los límites del sistema.
• Definir el perfil de la misión.
• Establecer los requisitos funcionales y no funcionales del sistema
• Establecer los requisitos de rendimiento auxiliares
• Establecer los requisitos de integridad de la seguridad
• Establecer los requisitos de apoyo logístico
• Establecer las interfaces del sistema
• Establecer los entornos de aplicación
• Especificar los niveles tolerables de riesgo correspondientes a peligros identificados.
• Establecer las medidas externas para cumplir los requisitos
• Establecer los requisitos de soporte del sistema
• Detallar los límites del análisis
• Detallar las suposiciones hechas

Nos explayaremos respecto de los requisitos no funcionales del sistema y los requisitos de integridad de la seguridad, basándonos en los trabajos

[BRIZUELA, 2015] "Módulo X: RAMS". Jose D. Brizuela. Santiago de Chile, Agosto 2015

[SAN JOSE, 2016] "IT RAMS: Modelización y Simulación de la Fiabilidad, Disponibilidad y Mantenibilidad de Sistemas TIC". Sergio Gonzalo San Jose. 2016

2.1 Fiabilidad

La función de fiabilidad, de distribución exponencial, posibilita el análisis cuantitativo durante la vida útil de los sistemas en base a la estadística bayesiana, esto permite el diseño de sistemas de acuerdo a la experiencia previa en diseños similares, todo ello con un alto grado de certeza. La vida característica de un producto o sistema, representadas en la "curva de la bañera" presenta tres etapas o fases:

• Vida Temprana (Early Life), donde la tasa de falla es máxima alrededor del tiempo cero, y disminuye a una velocidad dependiente de la madurez de los componentes de diseño, los procesos de fabricación, la formación del personal, y las pruebas y verificaciones aplicadas.
• Vida Útil (Useful Life), donde las fallas se caracterizan por tener una tasa de falla constante, estando representada por la parte plana de la curva de la bañera entre las zonas de vida temprana y desgaste.
• Desgaste (Wear-Out), la cual es la parte de la curva de la bañera donde los fallos por unidad de tiempo aumentan rápidamente desde el final de la vida útil hasta el fallo total a consecuencia del desgaste y deterioro de los elementos y componentes.

En la estimación de la fiabilidad, una de las tareas será el cálculo de los parámetros MTBF/MTTF de un elemento o componente. Dado que los períodos en cuestión son medidos durante la vida útil del componente, resulta necesaria la utilización de las presunciones y supuestos de la distribución exponencial.

Resumimos la base matemática del cálculo de la fiabilidad. El instante de fallo de cualquier sistema es una variable aleatoria (τ), la cual puede tomar cualquier valor real en el intervalo (0,∞ ). Si llamamos F(t) a la función de probabilidad antes del instante “t”, entonces F(t) cumple:

La probabilidad de que ocurra un fallo después del instante “t” es la función de fiabilidad, tal que:

De todos los parámetros que define una distribución de probabilidad, es especialmente importante la media

En el contexto de la fiabilidad, la media (E(ζ) ) es denominada tiempo medio de fallo (MTTF). Si el sistema es un sistema reparable, MTTF es denominado como tiempo medio entre fallos (MTBF).

La tasa de fallo media en el intervalo (t, t+∆t), es útil para calcular que tan a menudo sucede un fallo. La tasa de fallo se cuantifica en fallos /unidades de tiempo (fallos/horas).

En el límite de z(t,∆t ), cuando ∆t tiende a cero, podemos obtener la tasa de fallo instantánea

De donde

Para un sistema sin fallos iniciales y sin afectación por el uso, es correcto suponer que la tasa de fallos es constante, esto es:

2.1.1 Fiabilidad en sistemas complejos

a) Estructura serie

Es natural que los componentes estén interconectados con otros dentro de un sistema para una determinada finalidad. En una estructura serie el sistema funciona siempre y cuanto TODOS los componentes funcionen.

Dado un sistema formado por dos componentes similares conectados en serie, pero con distintas fiabilidades R1(t) = 0.95 y R2(t) = 0.90, la fiabilidad del sistema sera:

RS(t) = 0.95*0.90 = 0.885

b) Estructura paralela

En una estructura paralelo el sistema funciona siempre y cuanto UNO de los componentes funcione.

Dado un sistema formado por dos componentes similares conectados en paralelo, pero con distintas fiabilidades R1(t) = 0.95 y R2(t) = 0.90, la fiabilidad del sistema sera:

RP(t) = 1-(1-0.95)*(1-0.90) = 0.995

c) Estructura mixta

El calculo de la fiabilidad en un esquema mixto se obtiene mezclando las ecuaciones correspondientes a las estructuras series y paralelas.

Dadas las fiabilidades R1(t) = 0.95 y R2(t) = 0.90 para los componentes del sistema, la fiabilidad Total sera:

RM(t) = 0.95*(1-(1-0.95)*(1-0.90)) = 0.94525

2.2. Disponibilidad

La disponibilidad en el instante de tiempo “t” es la probabilidad de que una entidad se encuentre en su estado normal en dicho instante “t”.

La expresión correspondiente a dicha afirmación sería la siguiente:

donde: λ : tasa de fallos del componente (distribución exponencial).

μ : tasa de reparación on-site del componente (frecuencia de las tareas de mantenimiento preventivo).

La disponibilidad en el instante de tiempo “t”, cuando “t” tiende a infinito, se denomina disponibilidad en estado estacionario o disponibilidad asintótica, y se representa como A(∞) donde puede verse claramente la relación específica entre los factores de fiabilidad y mantenibilidad. Por consiguiente, la relación más importante es la siguiente:

La disponibilidad es adimensional y está comprendida entre 0 <= A <= 1.

El complemento de la disponibilidad en la INDISPONIBILIDAD expresada como UA = 1 - A

2.3. Mantenibilidad

La mantenibilidad es la probabilidad de que un sistema en fallo pueda volver a su estado operativo nominal en un intervalo determinado de tiempo. Por lo tanto, la mantenibilidad del sistema dependerá no solo de un buen diseño sino también de aspectos organizativos y de recursos.

Cuando hablamos de fiabilidad del sistema, se utilizan los conceptos MTBF/MTTR y tasa de fallos. El MTTR (inverso de la tasa de reparación) es el término empleado cuando hablamos de mantenibilidad. En el caso de elementos hardware, las reparaciones son normalmente obtenidas de modo empírico (fallos ocurridos en el pasado) o de tablas publicadas por los fabricantes u organismos competentes.

En este caso, el ciclo de mantenimiento correctivo consiste en las siguientes actividades:

• Tiempo de Detección del Fallo: Para que pueda iniciarse una acción correctiva, previamente ha tenido que producirse un fallo, cuyo tiempo de detección determinará y condicionará el posible tiempo de indisponibilidad del sistema.
• Tiempo de Localización y Aislamiento: La avería o fallo detectado es aislado a través de pruebas de diagnóstico así como la fuente probable causante del problema.
• Tiempo de Desmontaje: El componente fallido debe ser desmontado para ser reparado.
• Tiempo de Montaje: El componente es ensamblado dentro del sistema una vez reparado.
• Tiempo de Alineamiento y Ajuste: La unidad reparada es probable que requiera de un posterior alineamiento y ajuste en función de las especificaciones del componente dentro del sistema.
• Tiempo de Verificación: Para determinar que la reparación es completamente efectiva, deben llevarse a cabo pruebas funcionales que permitan verificar y validar su correcto funcionamiento, y su viabilidad para la vuelta al servicio.

Si asumimos una tasa de reparación constante (μ), el tiempo medio de reparación (MTTR) podemos obtenerlo como:

La mantenibilidad en el instante “t” podemos definirla por tanto como la probabilidad de que una entidad sea reparada desde el tiempo “0” al tiempo “t”, o lo que es lo mismo y de manera matemática, podemos expresarla como:

Si Mi es el tiempo de reparación de una falla tipo i y λi es la tasa de fallo para el tipo i, entonces el MTTR se expresa como:

Siendo MTTMcm el Tiempo medio de mantenimiento correctivo activo (=MTTR)

Para el calculo del tiempo total del mantenimiento, se consideran tanto las tareas correctivas como preventivas.

El tiempo medio del mantenimiento preventivo activo se define en función del tiempo requerido para una acción de mantenimiento Mj y de la frecuencia μj con la que se ejecuta esta actividad:

Por lo tanto el tiempo medio de las tareas de mantenimiento preventivo y correctivo sera:

Si la distribución del tiempo es exponencial, entonces con solo conocer la tasa de fallo y la frecuencia de reparación (mantenimiento preventivo). Entonces:

2.4. Seguridad

Para el desarrollo de esta sección, nos basamos en la norma IEC-61508 y de ella tomaremos las siguientes definiciones:

EUC: Equipment Under Control = Equipo bajo control.

Función de seguridad: función para ser implementada por un sistema relacionado con la seguridad E/E/PE u otras medidas de reducción de riesgos, que esté destinada a lograr o mantener un estado seguro un equipo bajo control (EUC), con respecto a un evento peligroso específico.

Integridad de seguridad: probabilidad de que un sistema E/E/PE relacionado con la seguridad realice satisfactoriamente las funciones de seguridad especificadas en todas las condiciones establecidas dentro de un período de tiempo establecido.

Cuanto más alto sea el nivel de integridad de seguridad, menor será la probabilidad de que el sistema relacionado con la seguridad no cumpla las funciones de seguridad especificadas o no adopte un estado especificado cuando sea necesario.

Integridad de seguridad del hardware: parte de la integridad de seguridad de un sistema relacionado con la seguridad, en relación a las fallas aleatorias de hardware en un modo peligroso de falla (es decir, aquellas fallas de un sistema que podrían perjudicar la integridad de la seguridad).

Nivel de Integridad de la seguridad (SIL): nivel discreto (uno de los cuatro posibles), que corresponde a un rango de valores de integridad de seguridad, donde el nivel de integridad de seguridad 4 tiene el nivel más alto de integridad de seguridad y el nivel de integridad de seguridad 1 tiene el nivel más bajo.

Integridad de seguridad del software: parte de la integridad de seguridad de un sistema relacionado con la seguridad relacionado con fallas sistemáticas en un modo peligroso de falla que son atribuibles al software.

Modo de operación: La forma en que actúa una función de seguridad, que puede ser

- Modo de baja demanda: cuando la función de seguridad solo se realiza a demanda, para transferir el EUC a un estado seguro específico, y donde la frecuencia de las demandas no es mayor a una por año; o

- Modo de alta demanda: cuando la función de seguridad solo se realiza a demanda, para transferir el EUC a un estado seguro específico, y donde la frecuencia de las demandas es mayor a una por año; o

- Modo continuo: donde la función de seguridad conserva el EUC en un estado seguro como parte de la operación normal

2.4.1. Requisitos generales de seguridad

El objetivo será desarrollar la especificación para los requisitos de seguridad generales, en términos de los requisitos generales de las funciones de seguridad y los requisitos de integridad de seguridad general, para los sistemas E/E/PE relacionados con la seguridad, para lograr la seguridad funcional requerida.

Basados en los eventos peligrosos que surgen del análisis de peligros y riesgos, se debe desarrollar un conjunto de funciones de seguridad. Esto constituirá la especificación para los requisitos generales de las funciones de seguridad, teniendo en cuenta que:

• Será necesario crear una función de seguridad general para cada evento peligroso.
• En este momento, las funciones de seguridad generales que se realizarán no se especificarán en términos de tecnología, ya que el método y la tecnología de implementación de las funciones de seguridad generales no se conocerán hasta más adelante.

Para cada función de seguridad general, se debe determinar un requisito de integridad de seguridad objetivo (SIL a alcanzar) que dará como resultado el cumplimiento del riesgo tolerable. Cada requisito se puede determinar de manera cuantitativa y/o cualitativa. Esto constituirá la especificación para los requisitos generales de integridad de seguridad.

En el siguientes link se muestran dos métodos de determinación del nivel de integridad de seguridad objetivo basándonos en los métodos cuantitativo y el método por gráfico de riesgos incluidos como anexo E y F de la norma IEC-61508-4

Presentamos a continuación algunas observaciones detalladas en la norma IEC-61508-1, que deben ser tenidas en cuenta para la determinación de los requisitos de seguridad :

• El riesgo de un equipo bajo control (Equipment Under Control = EUC) puede minimizarse reduciendo las consecuencias del evento peligroso, o reduciendo la tasa de eventos peligrosos del EUC y el sistema de control EUC.
• La reducción requerida en la frecuencia del evento peligroso puede lograrse mediante medidas adicionales que comprendan sistemas E/E/PE relacionados con la seguridad y / u otras medidas de reducción de riesgos que incluyan otros sistemas relacionados con la seguridad tecnológica o medidas administradas tales como escape, ocupación o tiempo de exposición.
• Para cumplir los criterios de riesgo tolerable, puede ser necesario, tener en cuenta que las personas pueden estar expuestas a riesgos de otras fuentes.
• Para las situaciones en las que existe una norma internacional del sector de aplicación que incluye métodos apropiados para determinar directamente los requisitos de integridad de seguridad, dichas normas pueden utilizarse para cumplir con los requisitos.

2.4.2. Requisitos generales de integridad de la seguridad.

Los requisitos generales de integridad de seguridad se especificarán en términos de

• La reducción del riesgo requerida para alcanzar el riesgo tolerable, o
• La tasa tolerable de eventos peligrosos para cumplir con el riesgo tolerable.

Si, al evaluar el riesgo de un EUC, la frecuencia promedio de fallas peligrosas de un solo sistema de control del EUC es inferior a 10^-5 fallas peligrosas por hora, entonces el sistema de control del EUC se considerará como un sistema de control relacionado con la seguridad, sujeto a los requisitos de las normas de aplicación y si se requiere una tasa de falla peligrosa entre 10^-6 y 10^-5 fallas peligrosas por hora, entonces el sistema E/E/PE deberá cumplir con los requisitos SIL 1.

Cuando las fallas del sistema de control de una EUC presenten una demanda en uno o más sistemas relacionados con la seguridad E/E/PE y/u otras medidas de reducción de riesgos, y cuando la intención no sea designar el sistema de control EUC como un sistema relacionado con la seguridad, se aplicarán los siguientes requisitos: no lo entiendo

a) la tasa de falla peligrosa reclamada para el sistema de control de EUC deberá estar respaldada por datos adquiridos a través de uno de los siguientes:

• Experiencia operativa real del sistema de control EUC en una aplicación similar;
• Un análisis de fiabilidad llevado a cabo con un procedimiento reconocido;
• Una base de datos industrial de fiabilidad de equipos genéricos;

b) la tasa de falla peligrosa que se puede reclamar para el sistema de control EUC no será inferior a 10^-5 fallas peligrosas por hora;

c) todos los modos de falla peligrosos razonablemente previsibles del sistema de control EUC se tendrán en cuenta al desarrollar la especificación para los requisitos de seguridad generales;

d) el sistema de control EUC debe ser independiente de los sistemas relacionados con la seguridad E/E/PE y otras medidas de reducción de riesgos.

Siempre que los sistemas relacionados con la seguridad se hayan diseñado para proporcionar una integridad de seguridad adecuada, no será necesario designar el sistema de control EUC como un sistema relacionado con la seguridad.

Si no se pueden cumplir los requisitos a) a d) inclusive, entonces el sistema de control de EUC se designará como un sistema relacionado con la seguridad. El nivel de integridad de seguridad de las funciones del sistema de control EUC se determinará por la tasa de falla peligrosa que se reclama para el sistema de control EUC de acuerdo con la Tabla 2.

2.4.3. Asignación general de requisitos de seguridad

Se deben asignar las funciones generales de seguridad contenidas en la especificación para los requisitos de seguridad generales (tanto los requisitos generales de las funciones de seguridad como los requisitos generales de integridad de seguridad) a los sistemas E/E/EP relacionados con la seguridad y otras medidas de reducción de riesgos.

Se debe asignar un nivel de integridad de seguridad para cada función de seguridad que deba ser llevada a cabo por un sistema E/E/PE relacionado con la seguridad.

Los sistemas designados de seguridad que se usarán para lograr la seguridad funcional pueden ser cubierto por:

• Sistemas E/E/PE relacionados con la seguridad; y / o
• Otras medidas de reducción de riesgos.

------

IMPORTANTE: La implementación de tecnología compleja requiere un mayor nivel de competencia en todas las fases, desde la especificación hasta la operación y el mantenimiento. El uso de otras soluciones tecnológicas más simples puede ser igualmente eficaz y puede tener varias ventajas debido a la complejidad reducida.

------

Cada función de seguridad general, con su requisito de integridad de seguridad global asociado, se asignará a uno o más de los sistemas de seguridad E/E/PE designados y/u otras medidas de reducción de riesgos, de modo que se logre alcanzar el riesgo tolerable para la seguridad. Esta asignación es iterativa, y si se encuentra que no se puede alcanzar el riesgo tolerable, entonces las especificaciones para el sistema de control EUC, los sistemas de seguridad E/E/PE especificada y las otras medidas de reducción de riesgos se deben modificarán y el proceso se repite.

Cuanto más alto sea el requisito de integridad de seguridad, más probable será que la función sea compartida por más de un sistema de seguridad E/E/PE y / u otra medida de reducción de riesgos.

En la siguiente Figura se ilustra el enfoque dado a la asignación de requisitos de seguridad global.

Los requisitos de integridad de seguridad para cada función de seguridad se especificarán en términos de:

• La probabilidad media de una falla peligrosa a petición de la función de seguridad, para un modo de operación de baja demanda, o
• La frecuencia media de un fallo peligroso de la función de seguridad [h-1] para una demanda elevada o un modo de funcionamiento continuo.

La asignación de requisitos de seguridad puede llevarse a cabo de forma cualitativa y/o cuantitativa.

Cuando sea necesario utilizar más de un sistema E/E/PE relacionados con la seguridad y/u otras medidas de reducción del riesgo para alcanzar el riesgo tolerable, el riesgo real logrado dependerá de las dependencias sistémicas entre los sistemas (consulte A.5.4 de IEC 61508-5).

La asignación se realizará teniendo en cuenta la posibilidad de fallas de causa común. Si el sistema de control EUC, los sistemas relacionados con la seguridad E/E/PE y otras medidas de reducción del riesgo deben tratarse como independientes para la asignación, deberán:

• Ser independiente de modo que la probabilidad de fallas simultáneas entre dos o más de estos diferentes sistemas o medidas sea suficientemente baja en relación con la integridad de seguridad requerida;
• Ser funcionalmente diversos (es decir, usar enfoques totalmente diferentes para lograr los mismos resultados);
• Basarse en diversas tecnologías (es decir, usar diferentes tipos de equipos para lograr los mismos resultados). Se reconoce que, por muy diversa que sea la tecnología, en el caso de sistemas con consecuencias particularmente graves en caso de falla, se deberán tomar precauciones especiales contra eventos de causa común de baja probabilidad, por ejemplo accidentes de aeronaves.
• No compartir partes comunes, servicios o sistemas de soporte (por ejemplo, fuentes de alimentación) cuya falla podría resultar en un modo peligroso de falla de todos los sistemas;
• No compartir procedimientos comunes de operación, mantenimiento o prueba.

Si no se cumplen todos los requisitos anteriores, entonces los sistemas relacionados con la seguridad E/E/PE y las demás medidas de reducción de riesgos no se tratarán como independientes a los efectos de la asignación de seguridad. En su lugar, la asignación tendrá en cuenta las fallas de causa común relevantes entre el sistema de control EUC, los sistemas relacionados con la seguridad E/E/PE y las otras medidas de reducción de riesgos.

Se puede establecer una independencia suficiente demostrando que la probabilidad de una falla dependiente es suficientemente baja para los sistemas relacionados con la seguridad E/E/PE en comparación con los requisitos generales de integridad de seguridad.

Los requisitos de integridad de seguridad, para cada función de seguridad asignada al sistema/s E/E/PE relacionado con la seguridad, se especificarán en términos del nivel de integridad de seguridad de acuerdo con la Tabla 11 o Tabla 12 e indicará si la medida de falla objetivo es:

• La probabilidad promedio de falla peligrosa bajo demanda de la función de seguridad, (PFDavg), para un modo de operación de baja demanda (Tabla 11), o
• La frecuencia media de un fallo peligroso de la función de seguridad [h-1], (PFH), para un modo de funcionamiento de alta demanda (Tabla 12), o
• La frecuencia media de una falla peligrosa de la función de seguridad [h-1], (PFH), para un modo continuo de operación (Tabla 12).

Las tablas anteriores relacionan las medidas de falla objetivo con el nivel de integridad de seguridad. Se acepta que no será posible predecir cuantitativamente la integridad de seguridad de todos los aspectos de los sistemas relacionados con la seguridad E/E/PE.

Para la integridad de la seguridad del hardware, es necesario aplicar técnicas cuantificadas de estimación de la confiabilidad para evaluar si se ha logrado la integridad de seguridad objetivo, según lo determinado por la evaluación del riesgo, teniendo en cuenta fallas aleatorias de hardware (consulte IEC 61508-2, 7.4 .5 y EN-50129).

Cuando el nivel de integridad de la seguridad ha sido determinado utilizando un método cualitativo (por ejemplo, un gráfico de riesgo cualitativo), la Tabla 1 o la Tabla 2, según corresponda, proporcionan las medidas de falla cuantitativa que establecen los límites para integridad de seguridad del hardware.

La integridad de seguridad que se puede reclamar cuando se utilizan dos o más sistemas relacionados con la seguridad E/E/PE puede ser mejor que la indicada en la Tabla 1, siempre que se alcancen niveles adecuados de independencia. Por ejemplo, esto sería relevante si la función de seguridad especificada fuera llevada a cabo por dos sistemas E/E/PE relacionados con la seguridad donde se han logrado niveles adecuados de independencia entre los dos sistemas E/E/PE relacionados con la seguridad.

Para un sistema relacionado con la seguridad E/E/PE que opera en alta demanda o modo continuo de operación que se requiere para operar durante un tiempo de misión definido durante el cual no puede realizarse ninguna reparación, el nivel de integridad de seguridad requerido para una función de seguridad puede obtenerse de la siguiente manera:

• Determine la probabilidad requerida de falla de la función de seguridad durante el tiempo de la misión y divídala por el tiempo de la misión, para dar una frecuencia requerida de falla por hora,
• Utilice la Tabla 2 para encontrar el nivel de integridad de seguridad requerido.

Para un sistema relacionado con la seguridad E/E/PE que implementa funciones de seguridad de diferentes niveles de integridad de seguridad, a menos que se pueda demostrar que hay suficiente independencia de la implementación entre estas funciones de seguridad particulares, aquellas partes del hardware y el software relacionados con la seguridad que no tengan una independencia de implementación suficiente, se tratarán como pertenecientes a la función de seguridad con el nivel de integridad de seguridad más elevado. Por lo tanto, los requisitos aplicables al nivel más alto de integridad de seguridad pertinente se aplicarán a todas esas partes.

En los casos en que el proceso de asignación da como resultado el requisito de un E/E/PE sistema relacionado con la seguridad que implementa una función de seguridad SIL 4, entonces se aplicará lo siguiente:

a) Habrá una reconsideración de la aplicación para determinar si alguno de los riesgos los parámetros pueden modificarse para evitar el requisito de una función de seguridad SIL 4. La revisión considerará si:

• sistemas adicionales relacionados con la seguridad u otras medidas de reducción del riesgo, no basadas en E/E/PE los sistemas relacionados con la seguridad, podrían ser introducidos;
• la gravedad de la consecuencia podría reducirse;
• la probabilidad de la consecuencia especificada podría reducirse.

b) Si después de un nuevo examen de la aplicación, se decide implementar la función de seguridad SIL 4, se llevará a cabo una nueva evaluación de riesgos utilizando un método cuantitativo que tenga en cuenta posibles fallas de causa común entre el sistema de seguridad E/E/PE y:

• cualquier otro sistema cuya falla le impusiera una demanda; y,
• cualquier otro sistema relacionado con la seguridad.

No se asignará una función de seguridad única en un sistema relacionado con la seguridad E/E/PE. La integridad de la seguridad objetivo es inferior a la especificada en las tablas 1 y 2. Es decir, para los sistemas relacionados con la seguridad operando en

• un modo de operación de baja demanda, el límite inferior se establece a una probabilidad promedio de falla peligrosa a demanda de la función de seguridad de 10-5;
• una alta demanda o un modo continuo de operación, el límite inferior se establece a una frecuencia promedio de una falla peligrosa de 10-9 [h-1]).

3. ESPECIFICAR LOS CRITERIOS GLOBALES PARA CUMPLIR CON LOS REQUISITOS RAMS DEL SISTEMA

Estos criterios nos permiten asegurar que los requisitos satisfacen la funcionalidad requerida y al mismo tiempo que el producto es de calidad, nos ayuda a obtener un nivel de aceptación realista tanto para el cliente como la empresa que los desarrolla.

El proceso para especificar los criterios globales para lograr cumplir los requisitos RAMS del sistema incluye criterios de aceptación y procesos de demostración y aceptación correspondientes a los requisitos globales RAMS facilitados por el plan de validación del sistema RAMS. Las tareas en este proceso son:

• Definir criterios de aceptación correspondientes a los requisitos globales RAMS
• El proceso de demostración y aceptación correspondiente a los requisitos globales RAMS que incluye:

- Especificar una descripción del sistema

- Determinar los principios de validación RAMS

- Determinar las pruebas y análisis para la validación

- Definir la estructura de gestión de la validación

- Detallar secuencia y calendario del programa de validación

- Determinar procedimientos que tratan la no-conformidad

4. ESTABLECER EL PROGRAMA RAM DE LAS RESTANTES TAREAS DEL CICLO DE VIDA

El proceso para establecer el programa RAM incluye las tareas para las fases restantes del ciclo de vida. Son las tareas más eficaces para el logro de los requisitos RAM del sistema. Incluye las tareas sobre gestión, fiabilidad, mantenibilidad y disponibilidad.

Este proceso debe incluir tareas respecto a: la gestión; la fiabilidad (confiabilidad); la mantenibilidad y la disponibilidad. Para mayor detalle se enumeran las acciones a realizar recomendadas por la norma UNE EN-50126.

a) Respecto de la gestión

• Establecer políticas y estrategias para cumplir requisitos RAM
• Especificar el alcance
• Describir el sistema
• Describir el ciclo de vida y sus tareas RAM
• Definir funciones, responsabilidades y competencias de las organizaciones que realicen tareas dentro del ciclo de vida.
• Describir el sistema de comunicación de fallos y medidas correctoras, con registros que incluyan:

- Los datos técnicos del sistema

- El motivo para la actuación de mantenimiento

- El tipo de actuación de mantenimiento

- Las horas hombre empleadas

- El tiempo de caída durante el mantenimiento

- El número y la capacidad del personal

- Las piezas de repuesto utilizadas

- El costo de los consumibles

- El informe de la actuación correctora

• Definir planes para la coordinación de c/elemento RAM
• Detallar entregables del ciclo de vida relacionados con la RAM
• Detallar tareas de aceptación RAM
• Detallar interfaces con otros programas
• Definir restricciones y suposiciones.
• Definir planes para gestión de subcontratistas.

b) Respecto a la fiabilidad (confiabilidad)

• Definir tareas para el análisis y predicción de la fiabilidad

- El análisis funcional y la definición de fallos del sistema

- El análisis descendente(árbol de fallos y diagrama de bloques)

- El análisis ascendente (análisis de modalidades y efectos de fallos)

- El análisis de fallos de causa común o el de fallos múltiples

- El análisis de sensibilidad y los estudios de ponderación

- La distribución de la confiabilidad

- El análisis de la interfaces hombre maquina

- Pruebas de esfuerzo

- La predicción del caso más desfavorable y el análisis de tolerancia

• La planificación de la confiabilidad, incluidos:

- El programa de revisión de la confiabilidad del diseño

- El programa de garantía de confiabilidad de los componentes

- El programa de garantía de calidad / confiabilidad del software

• Realización de pruebas de confiabilidad, incluidas:

- Pruebas de incremento de la confiabilidad, basada en generación de fallos

- Pruebas de demostración de la confiabilidad, basada en modo de fallos esperados

- Prueba de resistencia en condiciones ambientales

- Prueba de duración de componentes

- Pruebas de duración del sistema

c) Respecto a la mantenibilidad

• Análisis y predicción de la mantenibilidad

- El análisis y la verificación de la mantenibilidad

- El análisis de las tareas de mantenimiento

- Estudios y pruebas de facilidad de mantenimiento

- Consideraciones de mantenibilidad relacionadas con factores humanos

• Planificación de la mantenibilidad, incluidos;

- El programa de revisión de la mantenibilidad

- El establecimiento de estrategias de mantenimiento

- El examen de opciones de mantenimiento centradas en la confiabilidad

- El programa de mantenimiento del software

• Evaluación del apoyo logístico, incluidos

- La definición de los requisitos de mantenimiento

- La definición de política de repuestos y recursos

- El personal y las instalaciones de mantenimiento

- Las precauciones para la seguridad del personal

- Los requisitos de apoyo al sistema

- Los requisitos del programa de formación

- Las condiciones de transporte, embalaje y almacenamiento

- Análisis de datos para mejorar la mantenibilidad

d) Respecto a la disponibilidad

• Definir tareas para el análisis de la disponibilidad
• Definir tareas para el análisis de sensibilidad y los estudios de ponderación
• Definir tareas para la demostración de la disponibilidad durante las primeras etapas de funcionamiento
• Definir tareas para la adquisición y evaluación de datos de disponibilidad
• Definir tareas para el análisis de datos para la mejora y predicción de la disponibilidad

5. CORREGIR EL PLAN DE SEGURIDAD

Este proceso asegura la corrección del plan de seguridad para garantizar que todas las tareas futuras planteadas sean coherentes con los requisitos emergentes RAMS del sistema.

6. VERIFICACIÓN

Las siguientes tareas de verificación deben emprenderse en esta fase:

1. Evaluación de la idoneidad de la información y, en los casos en que proceda, de los datos y otras estadísticas utilizadas como información aportada para tareas dentro de esta fase

2. Los requisitos del sistema deben ser verificados comparándolos con las entregas producidas en la fase 2 y en la fase 3, incluido el cálculo de costos del ciclo de vida.

3. Los requisitos de seguridad deben ser verificados comparándolos con cualesquiera objetivos de seguridad y políticas de seguridad de la Autoridad Ferroviaria.

4. Los requisitos RAM deben ser verificados comparándolos con cualesquiera objetivos y políticas RAM de la Autoridad Ferroviaria

5. Evaluación de la idoneidad e integridad del Plan de Aceptación y del Plan de Validación.

6. Evaluación de la idoneidad del Programa RAM, incluido un examen de la idoneidad de cualesquiera fuente de datos utilizados.

7. Evaluación de los métodos, herramientas y técnicas usadas en la fase.

8. Evaluación de la competencia del personal que desempeñe tareas en la fase.