¿Qué significa que un sistema es fail safe o intrísecamente seguro?

10.05.2020

Un sistema fail safe es aquel, el cual por las características de sus equipos y componentes y de la manera que están integrados, está asegurado que, frente a cualquier fallo que aparezca, el sistema siempre pasará a un estado seguro, afectando normalmente a la disponibilidad pero nunca y, en ningún caso, afectando a la seguridad.

El concepto de estado seguro además, no tiene por qué ser, por si mismo, "autocontenido". Es decir, quizás deben establecerse unas convenciones o reglas de de uso o explotación de dicho equipo o sistema, para asumir para todas las partes, la entrada a este estado seguro con afectación, en la mayoría de la veces, a la disponibilidad. Vamos a poner un ejemplo muy interesante pare entender este concepto...

El ejemplo de libro en la señalización ferroviaria: la bombilla

La bombilla, por su simplicidad y por su único modo de fallo, se ha utilizado como elemento fail safe durante muchos años, permitiendo además convertir las señales ferroviarias también en equipos fail safe. Evidentemente, antes de la llegada de la tecnología LED y como substititución de las señales mecánicas, la bombilla fue el elemento principal de la señales ferroviarias en todo el mundo. Su vigencia es aún altísima gracias a justamente su propiedad de ser fail safe, con un coste extremadamente bajo. En esta caso, para poder utilizar la bombilla como elemento principal de una señal ferroviaria, se tomó un convencionalismo muy sencillo para aprovechar el modo de fallo único de la bombilla: en caso que una señal no esté iluminada con ningún aspecto, se considerará que la señal presenta el aspecto más restrictivo, es decir, el aspecto rojo.

Como es sabido, el único modo de fallo que tiene una bombilla es que su filamento se abra y que automáticamente, al no pasar corriente por este, la bombilla no luzca ni consuma energía. Por tanto, podría pasar (además es bastante frecuente, cada unas 10.000h de funcionamiento) que cuando queramos presentar un aspecto rojo para parar un tren, el filamento de la bombilla se rompa (o ya esté roto) y, por tanto, no podamos presentar dicha información al maquinista. De este modo, en la industria ferroviaria se estableció el concepto de "señal apagada es igual a señal presentando el aspecto más restrictivo". De esta forma, un maquinista frente a una señal apagada, siempre parará y activará modos degradados de explotación para poder proseguir. Como se aprecia, no afectamos a la seguridad pero si afectamos a la disponibilidad, debiendo activar modos degradados que normalmente afectan a los tiempos de explotación.

El ejemplo presentado está muy simplificado ya que podemos tener aspectos dobles (con diferentes bombillas iluminando) y también tenemos el control de fusión del enclavamiento (en caliente y en frío) jugando un papel importante en todo este proceso, pero no entraremos en estos detalles en este artículo.

Lo importante es entender que la activación de estados seguros y modos degradados, pueden ser en ocasiones convencionalismos los cuales se implantan en la explotación y uso del sistema para asegurar la seguridad de un sistema. No siempre es así, pero puede llegar a ser un recurso estratégico a implantar para solucionar un problema de seguridad.

Volviendo al hilo del concepto fail safe o sistema intrínsecamente seguro, este se basa en utilizar componentes dotados de modos de fallo bien establecidos y acotados, y que en caso de fallo, se mantenga una condición segura de funcionamiento. Es decir, para cualquiera de los fallos posibles, se asuma un posible impacto en la disponibilidad pero nunca en la seguridad.

Desde un punto de vista de la Ingeniería RAMS, el concepto fail safe puede entenderse dentro de la siguiente manera: un sistema puede tener dos tipos de fallos, los sistemáticos y los aleatorios. Tanto los fallos aleatorios como los sistemáticos pueden tener como resultado tres comportamientos a nivel de sistema:

  • El fallo no tiene ningún efecto a la explotación o uso del sistema
  • El fallo tiene afectación a la disponibilidad de la explotación o uso del sistema
  • El fallo precipita condiciones de explotación o uso del sistema en contra de la seguridad

Un sistema fail safe es aquel, el cual, asegura que frente a la aparición de un fallo aleatorio o sistemático, este nunca incurrirá en una situación de explotación o uso en contra de la seguridad. De echo, el concepto de fallo aleatorio, deja de tener poco sentido cuando hablamos de un sistema fail safe ya que, la conceptualización estadística del fallo aleatorio sirve, en la mayoría de ocasiones, para determinar los niveles SIL (Safety Integrity Level) de un producto, sistema o instalación. 

En este sentido, cuando hablamos de sistemas fail safe el concepto SIL debe dejar de utilizarse ya que no hay probabilidad alguna de que aparezca un fallo en contra de la seguridad y, por tanto, el nivel THR (Tolerable Hazard Rate) asociado a la discretización SIL (por ejemplo SIL 1, SIL 2, SIL 3, SIL 4), será siempre 0.


¿Por qué ha dejado de utilizarse el concepto fail safe y se ha empezado a utilizar el concepto SIL?

La evolución de la técnica y sobretodo con la introducción de los sistema electrónicos, ha permitido el desarrollo de sistemas altamente complejos, con una capacidad extraordinaria de cubrir los requisitos de un producto, sistema o instalación con muy poco espacio y con costes muy bajos, es decir, con una alta integración. Este nivel de integración ha permitido el desarrollo de soluciones muy complejas donde se considera no posible utilizar equipos y componentes donde su modo de fallo esté garantizado que siempre vaya hacia un estado seguro, pasando a utilizar aproximaciones y modelos estadísticos de la integridad de la seguridad, es decir, el nivel SIL. El enfoque probabilístico en la industria electrónica pasa a ser la estrategia para medir la tasa de fallo (con el MTBF por ejemplo) y la calidad en la producción (método SIX SIGMA por ejemplo). Por tanto, la industria electrónica, genera un nuevo marco de referencia donde se asume para todas las partes una probabilidad de fallo en la calidad y fabricación de los equipos, evidentemente muy baja, pero que es importante tener en cuenta.

Por tanto, podemos sentenciar el estado del arte y la técnica, en sistemas y tecnologías complejas, el enfoque determinista, no es viable. En estos casos entra en juego la orientación probabilística.

¿Porque se sigue utilizando el concepto de fail safe en sistemas donde es requerido tasas o aproximaciones probabilísticas con nivel SIL?

El concepto fail safe que se utiliza a día de hoy para sistemas complejos donde la tasa de fallo es calculada mediante una aproximación estadística, es desde un punto de vista de diseño de la solución. Es decir, de alguna manera se le solicita al sistema o, mejor dicho, al diseñador del sistema, tener en cuenta todos los modos de fallo que puede tener el sistema y, diseñar soluciones asociadas a estos modos de fallo, que permitan que el sistema no vaya a una situación no segura del uso o explotación del sistema. Como hemos visto dentro del concepto fail safe también se requiere un análisis de entorno y de estrategias de explotación o uso del sistema frente a fallos. Por tanto, el estudio de estrategias fail safe dentro de estos sistemas complejos, también incorporaría estos condicionantes fuera del propio ámbito del sistema en si.

¿Qué es mejor un sistema SIL-4 o un sistema fail safe?

Esta es la típica pregunta que un cliente puede preguntarte después de una sesión de Ingeniería RAMS o después de una formación con Leedeo Engineering. La respuesta sería difícil de responder, pero podríamos afirmar que teóricamente un sistema fail safe es seguro en todos los casos y bajo todas las situaciones, aunque sin ninguna duda, un nivel SIL-4 garantiza una tasa de fallo en contra de la seguridad tan y tan baja, que tenemos un sistema extremadamente seguro y confiable. Por otro lado, comos hemos visto en este artículo, si queremos llevar a cabo sistemas que sean capaces de solucionar de forma económica, rápida, compacta e integrada, grandes retos tecnológicos, no podremos construir sistemas fail safe y, por tanto, la aproximación estadística SIL nos permite acceder a una tecnología lista para solucionar los grandes retos de nuestra sociedad.  


En Leedeo Engineering, somos especialistas dando soporte a nuestros clientes cualquier nivel requerido a las tareas RAM y de Safety, y tanto a nivel de infraestructura o equipamiento embarcado. No dude en contactar con nosotros >>

¿Te interesan nuestros artículos sobre Ingeniería RAMS y Tecnología?

Suscríbete en nuestra newsletter y te mantendremos informado de la publicación de nuevos artículos.