Newsflash
Transcripción
Newsflash
Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 1 of 11 Spain Newsletter Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 2 of 11 Spain Newsletter PREFACIO Estimados lectores, nos complace presentar este nuevo número del boletín de noticias de SILVER ATENA, en el que podrán encontrar los siguientes contenidos: SILVER ATENA – Navidades más solidarias Sitio web disponible en español White paper: el polémico SIL Consenso de propuestas FP7-PEOPLE-Marie Curie SILVER ATENA con el deporte de alta competición. Nos gustaría aprovechar la oportunidad para desearles que pasen unas muy Felices Fiestas en compañía de sus seres queridos y un año 2014 lleno de salud y éxitos. Un cordial saludo, César Revenga Monforte, Country Manager de Silver Atena (Spain), S.L. Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 3 of 11 Spain Newsletter SILVER ATENA – NAVIDADES MÁS SOLIDARIAS Como todos los años desde SILVER ATENA nos gusta felicitar las fiestas a nuestros colaboradores, clientes y amigos y tener con ellos un pequeño detalle en agradecimiento a la confianza depositada durante el año que acaba. Al fin y al cabo, los detalles los intercambiamos entre las personas que realmente somos afortunadas, que tenemos un trabajo y ello posibilitará que nuestra mesa presente un aspecto magnífico estas fiestas, pero dada la difícil situación económica, la necesidad ya es algo que no solamente aparece en las noticias de países remotos, desgraciadamente todos conocemos a alguien que lo está pasando mal en nuestro entorno, ya sean conocidos, amigos e incluso, en algún caso, familia. ¡Por ello este año en vez de regalar nosotros hemos decidido que seáis vosotros los que hagáis el regalo! Este año en lugar de entregar los tradicionales presentes navideños, SILVER ATENA, en vuestro nombre, ha decidido colaborar con el Banco de Alimentos de Madrid, organización benéfica cuyo fin es la consecución de alimentos y su posterior distribución entre las personas más desfavorecidas. Casi cien mil personas pueden comer diariamente gracias a la labor que realiza el Banco de Alimentos, que ha sido reconocida con el Premio Príncipe de Asturias 2012 a la Concordia, entre otros. Estas fiestas serán más felices para parte de esas cien mil personas debido a vuestro apoyo, así que ¡gracias por vuestro regalo! Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 4 of 11 Spain Newsletter SILVER ATENA – Navidades más solidarias El pasado martes 17 de diciembre un grupo de empleados de SILVER ATENA visitó la sede central del Banco de Alimentos, para realizar la donación en vuestro nombre y pudo conocer de cerca la gran labor solidaria que realiza esta organización benéfica. Para más información acerca de la labor realizada por el Banco de Alimentos: www.bamadrid.org Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 5 of 11 Spain Newsletter SITIO WEB DISPONIBLE EN ESPAÑOL Nos complace anunciar que desde hoy el sitio web de SILVER ATENA está disponible también en español: www.silver-atena.es Además de la traducción de los diferentes contenidos, se han incorporado tres nuevos apartados, muy vinculados a las actividades de la oficina española: Ingeniería RAMS Evaluación independiente de la seguridad (ISA) Apoyo logístico integrado (ILS) Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 6 of 11 Spain Newsletter White Paper: el polémico SIL SILVER ATENA El polémico SIL El nivel de integridad de la seguridad, más conocido por su acrónimo en inglés SIL (Safety Integrity Level), es un concepto ampliamente utilizado en todos aquellos sectores vinculados al desarrollo de siste1 mas relacionados con seguridad funcional. Parque Empresarial San Fernando Avda. Castilla, 2 (Edificio Italia-Planta Baja) 28830 San Fernando de Henares, Madrid Tel: Fax: A pesar de este conocimiento, los estándares que requieren su uso no dan una explicación clara de cómo debe derivarse y aplicarse. +34 91 659 11 04 +34 91 651 06 18 A continuación mencionaremos alguno de los problemas más comunes que nos encontramos quienes trabajamos casi diariamente con el SIL e intentaremos clarificar algunos de ellos. Definición de SIL Es conveniente tener en cuenta que no todas las normas, cuando se refieren al nivel integridad de la seguridad, se refieren al SIL (por ejemplo, la norma DO-178C hace referencia al concepto de Software Level y los estándares ECSS a categorías de criticidad del software). En cualquier caso, en todos los estándares relacionados con la seguridad funcional, los conceptos de integridad y de nivel de integridad de la seguridad son prácticamente equivalentes. El proceso comienza con un análisis de riesgos del sistema que estemos desarrollando (ver Figura 1), mediante el cual se identifican y se cuantifican las amenazas que puede provocar un fallo en nuestro sistema. En este artículo adoptaremos las definiciones dadas en la norma UNE EN 50126-1, [3], la cual establece el concepto de integridad de la seguridad como: “La probabilidad de que un sistema cumpla satisfactoriamente las funciones de seguridad requeridas en todas las condiciones establecidas dentro de un periodo de tiempo igualmente establecido”. La misma norma define el nivel de integridad de la seguridad: “Uno de varios niveles discretos definidos para especificar los requisitos de integridad de la seguridad de las funciones de seguridad que se asignen a los sistemas relacionados con la seguridad”. Obtención del SIL En este apartado se expone de forma muy sintética cómo debería ser el proceso de asignación de SIL a una función de seguridad. Por simplicidad se ha realizado una aproximación cualitativa al proceso de evaluación de riesgos. 1 Utilizaremos el término Seguridad refiriéndonos al inglés Safety en su sentido de estar a salvo y protegido contra cualquier tipo o consecuencia de fallo, error, accidente y/o cualquier evento no deseado Spain Newsletter Número 2 Figura 1. Proceso de gestión de riesgos. A partir de estos análisis de riesgos, se obtienen las medidas que se deben tomar para reducir el riesgo a niveles tolerables. Estas medidas mitigadoras son las funciones de seguridad a las que se debe asignar el SIL. Tal y como definen varios estándares, el riesgo de una amenaza se define como el producto de dos parámetros: Riesgo Frec * Sev Frec: Frecuencia de ocurrencia de la amenaza. Sev: Severidad del potencial accidente que puede provocar. Dec-2013 © SILVER ATENA Page 7 of 11 Spain Newsletter White Paper: el polémico SIL Para ver si un riesgo es aceptable se debe evaluar y posteriormente aplicar un criterio para la aceptación del mismo (ALARP, GAMAB, MEM,…). Un método ampliamente generalizado para la evaluación del riesgo es la aplicación de la matriz mostrada en la Figura 2, propuesta en [3]. llo evolucione a lo largo del ciclo de vida, se efectuarán análisis de riesgos más detallados. Costumbres El concepto de SIL no está relacionado directamente con un sistema o producto a desarrollar, ni debe ser, contrariamente a lo que se pueda pensar, un requisito previo al desarrollo de un producto. El SIL está ligado a las funciones de seguridad que debe realizar el sistema para mantener la seguridad en unos límites tolerables. ¿Qué quiere decir esto? Rigurosamente hablando, el SIL se asigna a funciones de seguridad, no a sistemas ni subsistemas, siguiendo un proceso de estilo parecido al explicado en el apartado anterior. Figura 2. Matriz de evaluación de riesgos. Si una amenaza tuviera asociado un riesgo despreciable (por ejemplo, frecuencia improbable y severidad marginal) no sería necesaria una medida de mitigación, por lo tanto no habría función de seguridad. Pongámonos en el caso de que, tras el análisis de riesgos, se determina que el sistema que estamos desarrollando tiene una amenaza que lleva asociado un riesgo intolerable (por ejemplo, la combinación de frecuencia de ocurrencia probable y severidad crítica). Entonces, se debe mitigar este riesgo hasta un nivel tolerable. A partir de este análisis de riesgos, los métodos para asignar un SIL a las funciones de seguridad a implementar son muy variados. No obstante, sí es generalizada la asunción de que el SIL está directamente relacionado con la disminución de riesgo que debe realizarse. Es decir, una medida mitigadora que baja el riesgo de intolerable a despreciable tendrá un SIL mayor que aquella mitigación que reduce un riesgo de intolerable a tolerable. La aplicación directa de los ciclos de vida propuestos por varias de las normas puede llevar a situaciones paradójicas tales como analizar los posibles fallos de nuestro sistema antes de especificar la arquitectura del mismo. Sin embargo, sí se debe realizar un análisis preliminar de riesgos que nos dé información sobre qué funciones de seguridad tiene que implementar nuestro sistema. Conforme nuestro desarro- Spain Newsletter Número 2 No obstante, todos hemos utilizado y escuchado expresiones del tipo: “Mi empresa está desarrollando un producto SIL 2”. Es decir, suele ser bastante habitual utilizar el SIL para referirse a un sistema o producto, no indicando las funciones de seguridad del mismo. Las normas no ayudan a aclarar el panorama ya que en muchos casos, por ejemplo, IEC 61508, [6], se relaciona directamente SIL con sistemas, por lo que resulta lógico y comprensible la generalización del SIL al sistema. Quizá la forma más lógica de ligar el SIL con un sistema es como se presenta en [1]: Las funciones de seguridad de nuestro sistema son SIL 2. Otra aproximación interesante la encontramos en [3], donde se dice: “un SIL sólo debe ser asignado a un ‘elemento'; a saber, un equipo autónomo que realice una o más funciones sencillas y que pueda ser reemplazado por otro que realice la misma función o las mismas funciones. Generalmente, dicho “elemento” es a menudo el equipo de nivel más bajo que puede ser reemplazado durante una operación de mantenimiento corrector de primer nivel”. Malos usos Suele ser bastante frecuente confundir SIL con fiabilidad. Este error suele venir por la tabla en la que se relaciona la tasa tolerable de amenazas (THR, Tolerable Hazard Rate) y el SIL (ver Tabla 1). Al ser imposible cuantificar la tasa de fallos del software, ver [2], el THR de un sistema ya diseñado se calcula basándose en las tasas de fallos contra la seguridad de los componentes hardware del sistema. Sin embargo, el obtención de un determinado THR Dec-2013 © SILVER ATENA Page 8 of 11 Spain Newsletter White Paper: el polémico SIL únicamente justificaría el cumplimiento del SIL con él relacionado para los fallos aleatorios (los debidos a la fiabilidad finita de los componentes hardware), excluyéndose del estudio a los fallos sistemáticos. Tabla 1. Relación entre SIL y THR (IEC 61508). SIL 4 3 2 1 THR (fallo peligroso por hora) -9 -8 10 ≤ THR < 10 -8 -7 10 ≤ THR < 10 -7 -6 10 ≤ THR < 10 -6 -5 10 ≤ THR < 10 Gestión de la calidad. Gestión de la seguridad. Condiciones de seguridad técnica y funcional. Objetivos de seguridad cuantificados. Otra práctica, quizá más controvertida, es exigir en los pliegos de condiciones el cumplimiento con determinado SIL. Suele ser bastante común encontrarse en pliegos frases como “el sistema X deberá cumplir con un nivel de seguridad SIL 4”. En sí misma, la frase no tiene por qué ser incorrecta, asumiendo lo explicado en párrafos anteriores. El problema viene cuando en el resto del pliego no se hace mención alguna a amenazas o a funciones de seguridad. Por un lado, nos dicen que hay amenazas cuya mitigación viene dada por funciones de seguridad que deben ser SIL 4, pero en ningún momento se nos especifica cuáles son esas amenazas o sus funciones de seguridad. ¿Qué es más seguro? Muchas de las malas prácticas asociadas al uso del SIL derivan del intento de darle al SIL un enfoque claramente orientado al marketing. Antes de seguir leyendo, dediquemos unos segundos a pensar en la respuesta a la siguiente pregunta: ¿Qué es más seguro, un sistema SIL 1 o uno SIL 4? A vuela pluma, todos contestaríamos que, obviamente, un sistema SIL 4. Sin embargo, no es así. En la norma [5] se explica claramente el porqué: Un sistema SIL 4 lleva asociados requisitos mucho más exigentes que el sistema SIL 1 porque un fallo en aquel presenta un riesgo potencial mucho mayor que un fallo en el sistema SIL 1. Si en ambos casos se Spain Newsletter Número 2 Corriendo el riesgo de llevar el tema al absurdo, quedaría aún más claro si hacemos la siguiente pregunta: ¿Qué es más seguro, una mesa comprada de saldo en un centro comercial o un coche? En este caso, muy pocos responderíamos que un coche, a pesar de haberse seguido en su diseño y fabricación procesos de gestión del riesgo muy rigurosos. Como bien se dice en las normas [4] y [6] el cumplimiento del SIL exige el cumplimiento de cuatro factores: reduce el riesgo a un nivel tolerable, no es más seguro el sistema SIL 4 que el SIL 1. Conclusiones A lo largo del presente artículo, hemos introducido el concepto SIL y la confusión existente a la hora de asignar el SIL a un sistema o producto. Tal y como hemos discutido, el concepto de SIL está relacionado con el de función de seguridad. De tal forma que para poder hablar de SIL es imprescindible la realización de, al menos, un análisis de riegos donde seamos capaces de obtener las funciones de seguridad de nuestro sistema. A partir de estas funciones de seguridad, se asignará el SIL a cada una de ellas, dependiendo del riesgo que haya que mitigar: a mayor riesgo, mayor SIL. Por último, se debe evitar cualquier relación del SIL con el marketing puesto que un mayor SIL no indica una mayor seguridad, sino una mayor reducción del riesgo para llevarlo a un nivel aceptable. Referencias [1] Robert Short, The use and misuse of SIL, IRSE News, Issue 142, February 2009 [2] Felix Redmill, Understanding the use, misuse and abuse of safety integrity levels [3] UNE-EN 50126-1: Aplicaciones ferroviarias – Especificación y demostración de la fiabilidad, la disponibilidad, la mantenibilidad y la seguridad (RAMS), 2005 (Incluye CORR:2006 y CORR:2010). [4] UNE-EN 50129: Aplicaciones ferroviarias – Sistemas de comunicación, señalización y procesamiento – Sistemas electrónicos relacionados con la seguridad para la señalización, 2005 (Incluye CORR:2010). [5] UNE-EN 50126-2: Railway applications - The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) - Part 2: Guide to the application of EN 50126-1 for safety, 2007 [6] IEC 61508: Functional safety of electrical/ electronic/programmable electronic safety-related systems, 2008 Autor: Alejandro Quesada (Responsable RAMS, Silver Atena) Dec-2013 © SILVER ATENA Page 9 of 11 Spain Newsletter CONSENSO DE PROPUESTAS FP7-PEOPLEMARIE CURIE Silver Atena participó como experto independiente en el proceso de evaluación de ofertas Marie Curie para el programa 'People' de la Comisión Europea. El programa 'People' del séptimo Programa Marco de la Comisión Europea apoya el desarrollo de los Recursos Humanos en Investigación y Tecnología en Europa por medio de la contratación e incorporación de investigadores a proyectos de investigación. Las acciones Marie Curie han tenido como objetivo fomentar y apoyar el desarrollo profesional del investigador en un entorno internacional. Este programa incluye tanto financiaciones dirigidas a investigadores individuales como acciones dirigidas a la creación de redes de formación de investigadores predoctorales o de intercambio de investigadores. El 7º programa marco asignó un presupuesto de 4.750 M€ al programa PEOPLE para el periodo 2007 - 2013. El grupo de expertos independientes del panel de Ciencias de la información e Ingeniería, y pertenecientes tanto a Universidades y Centros de Investigación como Industria, se reunieron para la fase final de Consenso durante los días del 711 de octubre en Bruselas con el objetivo de finalizar los informes de consenso, evaluaciones y la lista final de clasificación de las ofertas. En el próximo programa 2014-2020, Horizonte 2020, estas acciones, ahora llamadas acciones Marie Skłodowska-Curie contarán con un presupuesto de 6.126 M€. El apoyo a la formación de investigadores y la financiación a centros de investigación es una de las prioridades relevantes de la Comisión Europea en los próximos años. Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 10 of 11 Spain Newsletter SILVER ATENA SPAIN CON EL DEPORTE DE ALTA COMPETICIÓN SILVER ATENA patrocina al primer equipo del “C. N. Tres Cantos”, con equipaciones deportivas para las temporadas 2013-2014 y 2014-2015. El C.N. Tres Cantos milita en la primera División Nacional de Waterpolo española y ha conseguido el tercer puesto en la liga de División de Honor madrileña dos años consecutivos. Desde SILVER ATENA consideramos que el deporte de competición ayuda a potenciar valores como el trabajo en equipo, el afán de superación, el esfuerzo, la constancia y la disciplina, valores comunes en los ámbitos laboral y deportivo y que son sinónimo de éxito. Con esta colaboración SILVER ATENA favorece el desarrollo del Waterpolo de alta competición y apuesta por un pequeño club con una gran proyección. Spain Newsletter Número 2 Dec-2013 © SILVER ATENA Page 11 of 11