E/E/EP hace referencia a sistemas Eléctricos / Electrónicos y Electrónicos Programables.
La Comisión Electrotecnia Internacional (IEC) ha elaborado la norma genérica IEC 61508 "Seguridad Funcional de Sistemas Eléctricos/Electrónicos/Electrónicos Programables (E/E/EP) Relacionados con la Seguridad", aplicable a todos los sistemas E/E/EP relacionados con la seguridad, independientemente de su uso o aplicación.
La norma se basa en el principio fundamental de que existe un proceso que puede suponer un riesgo a la seguridad o al medio ambiente, si algo pudiera ir mal en el proceso o en el equipo. El objetivo de la norma, por lo tanto, es resolver los contratiempos en los procesos y los fallos en los sistemas, a diferencia de los peligros relacionados con la salud y con la seguridad como tropiezos y caídas, y permitir manejar la seguridad de los procesos de forma sistemática y en base a los riesgos.
La norma da por supuesto que se deben facilitar funciones de seguridad para reducir dichos riesgos. Las funciones de seguridad pueden formar en conjunto un sistema instrumentado de seguridad (SIS), y su diseño y funcionamiento deben estar basados en la evaluación y la comprensión de los riesgos.
Un objetivo secundario de la norma IEC 61508 es permitir el desarrollo de sistemas E/E/PE relacionados con la seguridad cuando no existan normas de aplicación en el sector. Esta norma ha dado lugar a normas de segundo nivel especificas para diferentes aplicaciones, tal como se muestra en la Fig. 1.
Una derivación para la industria ferroviaria, son las normas CENELEC EN 50126, 50128 y EN 50129, principalmente en Europa y Asia (e internacionalmente, como IEC 62278, 62279, 62425).
Los estándares de seguridad funcional se centran en los procesos generales de desarrollo. Estos procesos cubren todo el ciclo de vida desde los requisitos, el desarrollo y las pruebas, las operaciones, el mantenimiento y la capacitación.
Los estándares se centran en los procesos porque un proceso riguroso y formal se considera la mejor manera de prevenir fallas sistemáticas.
Estas normas generalmente tienen varios temas comunes:
• Definir claramente las funciones de seguridad o vitales, y los estados a prueba de fallas, y distinguirlos de otras funciones.
• Se pueden cumplir las técnicas y medidas para asegurar los objetivos de seguridad. Estas incluyen arquitecturas redundantes con votaciones o comparadores, otras detecciones de fallas y mitigación de fallas para garantizar que el sistema permanezca en un estado seguro en presencia de fallas relevantes para la seguridad.
• Asegurarse de que la transmisión de datos relevantes para la seguridad está protegida contra la pérdida o corrupción de datos, la secuenciación o la sincronización de errores.
• Minimizar el riesgo de fallas de causa común, fallas de modo común, fallas en cascada u otras fallas sistemáticas; Asegurar la independencia de canales redundantes y de subsistemas seguros y no seguros.
• Protección contra factores externos como extremos ambientales, picos de voltaje, contaminación, vibración, EMI, descarga electrostática (ESD), etc.
• Técnicas probabilísticas para cuantificar la reducción del riesgo para cumplir con los niveles de integridad de seguridad objetivo.
• Diseño formal, desarrollo y procesos de prueba que reducen la probabilidad de errores sistemáticos.
El desarrollo de un sistema E/E/EP tolerante a fallas con un nivel SIL y su certificación por una agencia acreditada requiere un esfuerzo e inversión significativos. Un breve resumen extraído de Martin Cornes and Dan Weed, “What if? - How Safety Systems differ from Reliable Systems”. Artesyn Embedded Technologies, nos indica cuales son algunos de los aspectos a considerar en el desarrollo de estos sistemas y que iremos abordando en este documento.
Análisis formal de fallas: Uno de los grandes diferenciadores entre sistemas confiables y seguros, es la cantidad y el tipo de análisis de fallas que se realiza. El análisis se realiza en cada etapa del ciclo de diseño y los resultados se retroalimentan en el diseño. A medida que el diseño evoluciona, también lo hace la profundidad del análisis de fallas.
Se realiza un análisis probabilístico formal para determinar la probabilidad de una falla peligrosa, y si los riesgos se han reducido o no a niveles tolerables. Este tipo de análisis impulsará el diseño del sistema de manera que los altos requisitos de confiabilidad no pueden. Esto implica el análisis detallado de los componentes de diseño, la evaluación de los datos de fallas de los componentes y la creación de modelos de comportamiento formales, como los diagramas de bloques de confiabilidad y los modelos de Markov.
Votación: En cada extremo de un canal de seguridad donde se ejecutan las funciones de seguridad, se requieren redundancia y votación para detectar que se realizaron los cálculos correctos, que los mensajes de operación o respuesta creados por la aplicación son los mismos y que la operación real se ejecutó correctamente.
Capa de seguridad: Si el intercambio de información de seguridad entre los puntos finales de seguridad se realiza a través de una red que no es de seguridad (también conocida como canal negro), estos datos deben estar protegidos por una capa de seguridad que cumpla con la norma EN 50159. Esto protege contra la pérdida de mensajes, errores de secuencia, tiempos o daños.
Entorno operativo: Los componentes están diseñados para funcionar dentro de un rango de temperatura y voltaje especificado en sus hojas de datos. Para garantizar que los circuitos realizan la función para la que están diseñados, los componentes utilizados deben operar dentro del voltaje y los límites de temperatura definidos para el producto.
Fallas de modo común: Para que la votación o los comparadores funcionen en una función de seguridad, cada elemento redundante debe ser verdaderamente independiente. Una falla que ocurre en ambos canales a menudo se conoce como una falla de modo común.
Los canales redundantes a menudo comparten elementos comunes; No solo componentes y diseño, sino potencia y entorno operativo. Se requiere una variedad de técnicas y medidas para protegerse contra estos fallos de modo común.
Para garantizar que los circuitos relacionados con la seguridad operen dentro de los límites correctos de temperatura y voltaje, uno tiene que poder detectar si la temperatura o el voltaje se salen de la tolerancia. Es posible que se deban implementar múltiples métodos de detección de temperatura y voltaje con diversidad de circuitos. La diversidad de circuitos significa que los métodos de detección redundantes utilizan diferentes diseños de circuitos y / o diferentes componentes.
¿Usted puede preguntar por qué es esto necesario? Si los circuitos son iguales y se produce un fallo en un diodo o convertidor A / D, se supone que el circuito redundante detectará el problema. La mayoría de las veces probablemente sea correcta.
Durante el proceso de fabricación, sería muy probable que los componentes utilizados para cada uno de los circuitos redundantes provengan del mismo lote o lote, fabricados al mismo tiempo. Si ocurre una falla debido a un defecto en una parte, es posible que la circunstancia que causó la falla en el componente en un circuito también cause la misma falla en el otro circuito. Este es un fallo de modo común que reduce efectivamente un sistema redundante multicanal a un sistema de un solo canal. Esto significa que no solo tiene que tener un circuito redundante, sino que tiene que usar diferentes componentes con un diseño diferente, de manera que si ocurre una falla de un componente en un circuito, el segundo circuito redundante no se ve afectado.
Análisis de seguridad: Cuando una función de seguridad está operando en un punto final, como el cierre de un relé o salida digital, necesita estar seguro de que la función de seguridad está operativa. Para hacerlo, se requieren mecanismos de retroalimentación con al menos mecanismos independientes redundantes para detectar que la operación fue exitosa o no. Esto requiere un análisis detallado de peligros, modo de falla, análisis de efectos y diagnóstico (FMEDA), análisis de conteo de fallas Junto con la creación de árboles de fallas. Para probar que el análisis es correcto, se requieren pruebas de inyección de fallas y deberán realizarse, a menudo frente al asesor de seguridad para la validación de SIL4.
Certificación: Alcanzar estos estándares puede ser muy costoso, y el esfuerzo requerido para obtener un producto certificado en los niveles más altos de SIL es significativo. Para obtener la certificación, se debe producir y revisar una amplia evidencia documentada que provenga de todas las fases del ciclo de vida, se debe realizar una cantidad significativa de análisis estadístico para garantizar que el sistema se comportará al nivel de SIL requerido. Todo lo cual debe ser revisado por auditores internos independientes antes de que todo el paquete se entregue a una agencia de certificación externa.
La evidencia documentada de métodos y procesos, el análisis estadístico y las metodologías de prueba y validación son significativamente más de lo que normalmente se requiere para desarrollar un producto que no sea de seguridad.