Métodos Comunes de Seguridad (MCS): Determinar la importancia de un cambio en el ferrocarril

01.12.2019

Cuando un cambio propuesto tiene un impacto en la seguridad, los Métodos Comunes de Seguridad, MCS, requieren que el proponente decida, mediante un juicio de expertos, la importancia del cambio con base en los criterios establecidos en el Reglamento de Ejecución UE 402/2013.

(Artículo actualizado el 30/07/2020)

Estos criterios se resumen en:

  • Consecuencia del fallo: el peor escenario creíble en caso de fallo del sistema bajo evaluación, teniendo en cuenta la existencia de las barreras de seguridad fuera del sistema
  • Novedad utilizada en la implementación del cambio: esto se refiere tanto a lo que es innovador en el sector ferroviario como a lo que es nuevo solo para la organización que implementa el cambio
  • Complejidad del cambio
  • Monitoreo: la incapacidad de monitorear el cambio implementado a lo largo del ciclo de vida del sistema y tomar las intervenciones apropiadas
  • Reversibilidad: la incapacidad de volver al sistema antes del cambio;
  • Adicionalidad: evaluación de la importancia del cambio teniendo en cuenta todas las modificaciones recientes relacionadas con la seguridad del sistema en evaluación y que no se consideraron significativas.

Los MCS no prescriben cómo usar estos criterios, o la prioridad o la ponderación dada a ninguno de ellos. Desde Leedeo Engineering aportamos el método descrito a continuación y el cual creemos que puede ser útil para los proponentes, proporcionando una estructura para la toma de decisiones.


Metodología para utilizar los criterios de los MCS

Es probable que el proponente deba iniciar un trabajo preliminar para identificar y comprender los peligros relevantes antes de aplicar la prueba de significatividad. Una buena comprensión general de todos los peligros ayudará a identificar el principio de aceptación de riesgos más apropiado.

Para un cambio significativo, el proponente debe presentar "una declaración por escrito de que todos los peligros identificados y los riesgos asociados se controlan a un nivel aceptable". El proponente también debe tener claro que el riesgo se controla a un nivel aceptable si un cambio no es significativo.

Tomando los criterios de forma conjunta, sería razonable concluir que un cambio no es significativo si el proponente:

  • Confía en que ha identificado todos los riesgos significativos (es decir, aquellos que dan lugar a un riesgo no despreciable); y también
  • Sabe cómo controlará el riesgo asociado a un nivel aceptable; o
  • Confía en que será sencillo identificar e implementar las medidas necesarias para controlar el riesgo asociado a un nivel aceptable.

Si el proponente elige aplicar los criterios más explícitamente, es posible agrupar y secuenciar los criterios de una manera que ayude a su aplicación. La figura siguiente muestra un diagrama de flujo, que ilustra una aplicación propuesta de los criterios:

Adicionalidad

La adicionalidad es unos de los condicionantes a evaluar en primera instancia, ya que de algún modo, este define el alcance del cambio que se va a evaluar. Cuando se propone un cambio 'A', se deben considerar otros cambios recientes (B, C, ...) y, si es necesario, incluirlos dentro del alcance del cambio sujeto a la prueba de significación (es decir, si es necesario, el cambio cuyo significado se decidirá es A + B + C ...). La adicionalidad puede describirse como la consideración de otros cambios que se han realizado desde la entrada en vigor de los MCS (23 de mayo de 2013) o desde la última aplicación del proceso de gestión de riesgos (lo que sea posterior).

Novedad y complejidad

La novedad y la complejidad pueden considerarse como medidas de la incertidumbre del resultado o la probabilidad de que el cambio propuesto, una vez implementado, se comporte o no como es esperado. Claramente, cuanto más novedoso y más complejo es un cambio, mayor es la probabilidad de que pueda comportarse de una manera impredecible y posiblemente indeseable. Por lo tanto, cuanto más novedoso y más complejo sea el cambio, más significativo será.

Consecuencia del fallo

"¿Qué es lo peor que podría pasar si el sistema se comporta de manera indeseable después de la introducción del cambio propuesto?" Combinando la incertidumbre del resultado y la consecuencia del fracaso.

El riesgo generalmente se entiende como probabilidad x consecuencia. De manera similar, la "incertidumbre del resultado" x "consecuencia del fallo" puede considerarse como un factor que mide la escala potencial de un cambio con respecto a la seguridad. La "incertidumbre del resultado" se juzga por referencia a la novedad y la complejidad.

Juzgar la importancia

Es posible y recomendable desarrollar una matriz simple, para ayudar a juzgar si un cambio propuesto es 'significativo' (alta incertidumbre, alta consecuencia) o 'no significativo' (baja incertidumbre, baja consecuencia) o cuando los criterios (capacidad de monitoreo y reversibilidad) deben aplicarse para tomar una decisión final (siguiente figura).

Monitoreo y reversibilidad

El monitoreo y la reversibilidad son criterios adicionales que deben considerarse cuando la decisión sobre si el cambio es "significativo" o "no significativo" no se puede tomar en base a la prueba de "incertidumbre del resultado x consecuencia del fallo". El criterio en relación con el monitoreo es "la incapacidad de monitorear el cambio implementado a lo largo del ciclo de vida del sistema y tomar las intervenciones apropiadas". En esencia, hacerse la pregunta "¿Puedo ver lo que está sucediendo y reaccionar a tiempo?".

Pero una pregunta más compleja que hacer cuando se piensa en el monitoreo como criterio es "¿Es posible y factible introducir un sistema de monitoreo que brinde suficiente advertencia lo suficientemente rápido como para permitir una intervención efectiva y prevenir o mitigar cualquier peligro que surja del cambio? De este modo es importante tener en cuenta que no es suficiente, por ejemplo, simplemente instalar equipos de monitoreo. Los procedimientos operativos de apoyo son necesarios para tomar nota y reaccionar ante las advertencias generadas por el equipo. 

La capacidad de intervenir de manera oportuna para prevenir o mitigar cualquier peligro que surja del cambio que se ha realizado, cuando los mecanismos de monitoreo indican tal intervención. Si no es posible monitorear adecuadamente los efectos de un cambio para poder "tomar las intervenciones apropiadas"; o si es imposible revertir los efectos de un cambio, es probable que el cambio se considere significativo. 


En Leedeo Engineering, somos especialistas en el desarrollo de proyectos de RAMS Ferroviaria, aplicando las normativas EN 50126, EN 50129, EN 50128, reglamento de Ejecución UE 402/2013 con la aplicación de los Métodos Comunes de Seguridad, dando soporte a cualquier nivel requerido a las tareas RAM y de Safety, en el desarrollo y certificación de productos y aplicaciones de seguridad.

¿Te interesan nuestros artículos sobre Ingeniería RAMS y Tecnología?

Inscríbete en nuestra newsletter y te mantendremos informado de la publicación de nuevos artículos.