SIL, parte 2: Limitaciones estructurales
Para la certificación SIL es necesario que el diseño de una función de seguridad cumpla tres criterios específicos según se establece en la norma. Esta sección se centrará en el número 2: Limitaciones estructurales.
¿Qué es la seguridad funcional?
La seguridad funcional es la detección activa de condiciones potencialmente peligrosas, lo que da lugar a la necesidad de un mecanismo o función de protección para prevenir o reducir el impacto de los eventos peligrosos que pudieran darse.
Como parte de la seguridad general de los equipos bajo control (EUC), la seguridad funcional se centra en la electrónica y el software relacionado.
IEC 61508 es una norma internacional sobre la "Seguridad funcional o sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad". Como norma general sobre la seguridad funcional, constituye la base de muchas normas derivadas específicas de cada industria, como IEC 61511 para la industria manufacturera.
Siguiendo un modelo de ciclo de vida de seguridad, las normas formalizan la gestión de la seguridad funcional y proporcionan medidas y técnicas para el diseño de Sistemas de instrumentación de seguridad (SIS) y Funciones instrumentadas de seguridad (SIF) asociadas.
IEC 61511: Ciclo de vida de la seguridad
Un elemento clave del ciclo de vida de la seguridad es la creación de la Especificación de requisitos de seguridad (SRS). Basado en la información de las fases de evaluación de peligros y riesgos del ciclo de vida, este documento es el modelo para la funcionalidad, integridad y validación del diseño del sistema de seguridad.
¿Qué es SIL?
La Especificación de requisitos de seguridad documentará el nivel de cualquier reducción de riesgos residuales requerida para el diseño del sistema de seguridad y asignará un nivel SIL objetivo correspondiente.
SIL (Nivel de integridad de seguridad), es un nivel relativo de reducción de riesgos proporcionado por una función de seguridad. Se establecen cuatro niveles SIL independientes, del 1 al 4, donde SIL 4 ofrece el nivel más alto de integridad de seguridad y el factor de reducción de riesgo correspondiente.
SIL | Factor de reducción de riesgo (RRF) |
4 | > 10.000 a ≤ 100.000 |
3 | > 1000 a ≤ 10.000 |
2 | > 100 a ≤ 1.000 |
1 | >10 a ≤ 100 |
¿Cómo se alcanza un SIL específico?
Para la certificación SIL es necesario que el diseño de una función de seguridad cumpla tres criterios específicos según se establece en la norma.
Estos estrictos criterios son: Integridad aleatoria del hardware, Limitaciones estructurales y Capacidad sistemática.
Esta sección se centrará en el número 2: Limitaciones estructurales. Para obtener información sobre la Integridad aleatoria del hardware y la Capacidad sistemática, haz clic en los enlaces correspondientes.
PR electronics ofrece una gama de dispositivos con certificación SIL para cubrir una amplia selección de aplicaciones SIL.
¿Qué son las limitaciones estructurales?
Históricamente, era muy difícil obtener datos precisos y fiables del índice de fallo de los dispositivos eléctricos/electrónicos y electrónicos programables. La inconsistencia en la medición y el registro de fallos sobre el terreno, junto con el exceso de optimismo de los datos de índice de fallos de los fabricantes, hacían que los diseños basados en estas suposiciones a menudo pudieran ser inadecuados e inseguros.
Para compensar esto, las normas de seguridad funcional impusieron limitaciones estructurales dependiendo del nivel SIL requerido. Esto significaba que se usaba una tolerancia de fallo de hardware (HFT) para complementar los índices de fallos declarados, agregando más integridad al diseño del sistema de seguridad.
La tolerancia de fallo de hardware es la incorporación de elementos redundantes para permitir fallos; p. ej.: 1oo1 = HFT0, 1oo2=HFT1.
La última versión de IEC 61511 ofrece 3 rutas para satisfacer las limitaciones estructurales de una función de seguridad:
- IEC 61508 ruta 1H
- IEC 61508 ruta 2H
- IEC 61511 11.4.5 a 11.4.9 de la cláusula 11 (derivado de IEC 61508 ruta 2H)
IEC 61508 ruta 1H
Esta ruta sirve principalmente para los dispositivos nuevos sin datos históricos. La tolerancia de fallo de hardware requerida se basa en el tipo de dispositivo y en un cálculo de la fracción de fallos seguros.
Hay 2 tipos de dispositivos definidos: Tipo A y Tipo B. Los dispositivos de Tipo A son dispositivos simples con modos de fallo de compresión sencilla, mientras que los dispositivos de Tipo B son dispositivos complejos que a menudo contienen microprocesadores/software.
La fracción de fallos seguros (SFF) es el porcentaje de fallos detectados seguros y peligrosos frente al total de fallos.
Las tablas que aparecen en las normas indican las tolerancias de fallo de hardware mínimas basadas en el SIL objetivo.
Tabla de IEC 61508 ruta 1H
IEC 61511 v IEC 61508 ruta 2H
La tabla de IEC 61511 sobre las limitaciones estructurales está basada en el enfoque de IEC 61508 ruta 2H.
IEC 61511 – Requisitos de HFT según SIL
Añadida a la segunda edición de IEC 61508 (-2010), la ruta 2H determina la tolerancia de fallo de hardware en función de la calidad de los datos históricos de fiabilidad de campo.
IEC 61508 establece que la calidad de los datos utilizados debe basarse en la retroalimentación de campo para los equipos utilizados en una aplicación y entorno similares, y en datos recopilados de acuerdo con las normas publicadas (p. ej., IEC 60300-3-2 o ISO 14224); además, debe evaluarse según lo siguiente:
- La cantidad de retroalimentación de campo
- El ejercicio de criterio experto
- Si es necesario, la realización de pruebas específicas
También debe haber un alto nivel de confianza (90 %) en los datos utilizados para satisfacer la ruta 2H de IEC 61508-2010.
La cláusula 11.4.9 de IEC 61511 establece que "los datos de fiabilidad utilizados en el cálculo de la medición de fallos deben ser determinados por un límite superior de confianza estadística no inferior al 70 %".
Aunque se pueden utilizar tanto IEC 61508 ruta 2H como IEC 61511, es importante entender bien, documentar y validar la evidencia utilizada para justificar estos enfoques.
Superar las limitaciones estructurales para una función de seguridad no prueba en sí mismo el cumplimiento del SIL objetivo. También deben tenerse en cuenta la Integridad aleatoria del hardware y la Capacidad sistemática.