Los niveles de la integridad de la seguridad: ASIL, DAL y SIL
Las industrias de la aviación, automóvil, espacial, nuclear y ferroviaria comparten en gran medida la misma filosofía en cuanto a clasificación de las categorías de seguridad y por tanto se pueden encontrar sinergias de desarrollo de productos y sistemas entre los mencionados sectores. Las empresas adaptadas a alguno de dichos sectores, y que actualmente cumple con los rigorosos estándares de su sector, puede encontrar fácilmente una adaptación a los otros sectores. Mucho más fácil seria si una unificación, de la cual Leedeo detecta una cierta tendencia, fuese explícitamente descrita.
Se encuentran grandes similitudes en la categorización de la seguridad en los diferentes dominios industriales ya que todos se basan en los efectos finales de los fallos que pueden ocurrir derivados de los sistemas que aplican las funciones de seguridad. Los riesgos se miden habitualmente en su ocurrencia y severidad.
- Las industrias ferroviarias y de automatización industrial se focalizan más en la ocurrencia.
- La industria espacial en la severidad.
- Y la industria del automóvil se focaliza en una clara combinación de las dos.
En cuanto a criterio de aceptabilidad las consideraciones no son fácilmente comparables ya que existen diferencias en los criterios de severidad.
La noción de exposición al riesgo también toma diferentes vertientes, como por ejemplo en el automóvil ya que dos riesgos clasificados como iguales en severidad pueden categorizarse como diferentes mientras no es así en la industria aeronáutica ni en la industria espacial. De la misma manera la controlabilidad por parte del conductor impacta en la industria del automóvil. En la industria aeronáutica se puede derivar cierto concepto de controlabilidad por parte de la tripulación, pero con enfoque claramente en la ocurrencia.
En este artículo se comparan los diferentes estándares de los diferentes sectores de las siguientes industrias:
- aviación,
- automóvil,
- espacial,
- nuclear y
- ferroviaria
para encontrar las similitudes y diferencias en relación con los estándares de seguridad en términos, principalmente de:
- categorización de la seguridad y
- los principios de asignación a las diferentes funciones aplicadas por los sistemas inteligentes que usan dichas industrias, así como su asignación aguas abajo en los componentes hardware y software.
También repasamos parte de los procesos, enfoque, métodos y herramientas.
Aeronáutica
Los 5 niveles de seguridad (A - E) o DAL (Development Assurance Levels o Design Assurance Levels) o IDAL (Item Development Assurance Levels usado para el sofware) derivan de los potenciales fallos y sus condiciones de las funciones de la aeronave y se definen en el estándar ARP 4754 / ED 79 , como:
La metodología para la asignación de los niveles DAL es Top-Down. Se empieza por asignar niveles DAL a las principales funciones (conocido como FDAL) de los sistemas de la aeronave en base a sus potenciales causas en caso de fallo en base al FHA (Failure Hazard Analysis). Una vez tenemos el FDAL completado pasamos a asignar niveles a subfunciones hasta llegar a componentes o ítems de software (llamados IDAL).
Se nos permite cierta arquitectura de dependencia en cuanto a niveles safety. La redundancia y los mecanismos de control de propagación de errores son aceptados en aeronáutica para disminuir los niveles DAL. Se puede conseguir, en ciertas circunstancias, un sistema DAL A mediante partes o componentes DAL B redundadas y con apropiada justificación. Esta justificación debe venir, entre otros, con la demostración de que solamente fallos múltiples e independientes puedan llegar a dar la condición de fallo catastrófica.
Los modos comunes de fallo son mitigados con el establecimiento de independencia de las funciones de seguridad y siempre debe ser una tendencia y filosofía el buscar dicha independencia al diseñar los sistemas y equipos. De aquí derivan y se consideran las dos categorías de atributos independientes del sector:
- independencias funcionales
- independencias de desarrollos de ítems
Siguiendo el estándar ISO 26262 en primer lugar debemos realizar una identificación de los peligros a nivel de vehículo. Estos son peligros que puedan provocar daño a las personas del mismo, a ocupantes de otros vehículos o peatones (por ejemplo, la pérdida de las luces delanteras por un fallo del sistema de control de las mismas).
Una vez realizado la identificación de peligros a nivel de vehículo se deben identificar los Eventos de Peligro. Estos eventos de peligro son una combinación del fallo de vehículo y la operación de este que pueda llevar a un accidente si no es tratado o mitigado dicho peligro a tiempo. Siguiendo el ejemplo anterior sería el fallo de las luces delanteras del vehículo mientras se conduce de noche.La asignación de niveles de seguridad, llamados en la industria del automóvil Automotive Safety Integrity Level (ASIL), se basa en determinar tres parámetros:
- E exposición. Esta sería la probabilidad de que el vehículo se exponga a una situación operativa en la que un riesgo se de en presencia de un fallo del sistema. Por ejemplo, relacionado con el ejemplo del fallo de las luces delanteras esta exposición sería la proporción de conducción en oscuridad comparado con el tiempo operativo total del coche.
- C controlabilidad. La controlabilidad es la medida en la cual el conductor puede reaccionar con tiempo suficiente en caso de que un riesgo aparezca y mitigar dicho riesgo a tiempo.
- S severidad. Esta sería la estimación del daño que puede causar a las personas la aparición del riesgo (por ejemplo, una colisión frontal).
La combinación de la E con la C
son la probabilidad de ocurrencia del riesgo.
Tanto para la exposición, la controlabilidad y la severidad se clasifican con escalas discretas. De la combinación de los tres parámetros se deriva una asignación de ASIL.
Además
del ASIL ponemos un objetivo de seguridad a cada evento de peligro. Este
objetivo de seguridad representa un requisito de seguridad que se
asigna al sistema completo que ejerce las funciones correspondientes. Por
ejemplo: "el sistema solamente apagará las luces delanteras en caso de que el
conductor así lo solicite". Estos requisitos heredan el ASIL asignado al
evento de peligro asociado. Cuando un objetivo de seguridad es asociado
con más de un evento de peligro este objetivo hereda el ASIL más elevado.
La asignación a componente sigue las siguientes directrices dentro de la industria del automóvil:
- Al bajar de nivel e ir al detalle en los requisitos, estos heredan el ASIL de su requisito "padre".
- Cualquier componente de la arquitectura del sistema debe ser desarrollado con el ASIL asignado a su requisito.
- Cuando un componente de la arquitectura del sistema desarrolla diferentes requisitos con diferentes ASILs asignados, este debe desarrollarse cumpliendo con el ASIL más elevado a no ser que suficiente libertad de interferencias de los subcomponentes pueda demostrarse.
En cuanto a libertad de interferencias nos referimos a que no existan fallos en cascada que puedan afectar a ASILs más elevados desde ASILs menos demandantes.
Cierta redundancia es permitida, con ausencia de
causas comunes de fallo, entre otros, para reducir los niveles de ASIL según se
puede ver en la tabla que mostramos a continuación:
Sector Ferroviario
En el sector ferroviario el riesgo estimado para cada peligro viene determinado por la pareja de severidad-frecuencia.
Todos
los niveles de riesgo no deseados e intolerables deben mitigarse con acciones.
Más aún, para cada evento peligroso que pueda conllevar a un accidente se deben
identificar las funciones o función asociada a dicho evento peligroso.
Derivados directamente de la IEC 61508, se definen en la EN 50129 los Safety Integrity Level (SIL) ligados directamente a un objetivo de probabilidad, Tolerable Hazard Risk o THR. Existen cuatro niveles SIL en función de los daños que pueden causar los sistemas dentro del sector: 1, heridas a personas, 2, heridas graves, 3, muerte a una persona, 4, muertes a un grupo de personas. Cuando hablamos de SIL asociados a Software nos referimos a SSIL. En dicho caso existen 5 niveles SIL, los 4 ya mencionados y el nivel SIL 0, el cual no tiene efectos a la seguridad de las personas.
El THR se refiere al ratio de fallos por horas de
funcionamiento. En la siguiente tabla se muestran los rangos de THR permitidos
para cada nivel SIL:
No existe en la normativa indicaciones explicitas de cómo se pueden reducir los niveles SILs teniendo en cuenta la dependencia de las soluciones de arquitectura de los sistemas implicados. Al no haber norma explicita, los niveles SIL conseguidos mediante soluciones en la arquitectura con equipamientos y componentes con niveles SIL inferiores, siempre requieren de una demostración.
Industria Espacial
Los estándares más relevantes del sector aeroespacial
europea son las series ECSS (European Cooperation for Space Standardization).
En particular para nuestro enfoque Safety la ECSS-Q-ST-40 (Safety) y en
su formato más actual ECSS-Q-ST-40C Rev.1 (Febrero 2017) así como la ECSS-Q-ST-30
(Dependability) serán las normas tratadas en este apartado.
La asignación de las categorías de seguridad empieza, como en otros sectores, a nivel de funciones del sistema. De igual manera esta metodología debe aplicarse a las operaciones.
Una vez las funciones y operaciones de los sistemas se han categorizado podemos bajar al nivel de componentes. Como en otras ocasiones si un componente debe realizar varias funciones de seguridad, siempre será asignado con la categoría de seguridad más elevada de las funciones que realice.
De igual manera que en el sector ferroviario, una dependencia de sistema no se explicita y por tanto para poder reducir los niveles de seguridad deberá demostrarse caso por caso que la redundancia aplicada a nivel de arquitectura es adecuada y que los mecanismos de independencia y propagación de errores son los adecuados.