Newsflash

Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 1 of 11
Spain Newsletter
Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 2 of 11
Spain Newsletter
PREFACIO
Estimados lectores,
nos complace presentar este nuevo número del boletín de noticias de SILVER
ATENA, en el que podrán encontrar los siguientes contenidos:
 SILVER ATENA – Navidades más solidarias
 Sitio web disponible en español
 White paper: el polémico SIL
 Consenso de propuestas FP7-PEOPLE-Marie Curie
 SILVER ATENA con el deporte de alta competición.
Nos gustaría aprovechar la oportunidad para desearles que pasen unas muy
Felices Fiestas en compañía de sus seres queridos y un año 2014 lleno de salud y
éxitos.
Un cordial saludo,
César Revenga Monforte,
Country Manager de Silver Atena (Spain), S.L.
Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 3 of 11
Spain Newsletter
SILVER ATENA – NAVIDADES MÁS SOLIDARIAS
Como todos los años desde SILVER ATENA nos gusta felicitar
las fiestas a nuestros colaboradores, clientes y amigos y
tener con ellos un pequeño detalle en agradecimiento a la
confianza depositada durante el año que acaba.
Al fin y al cabo, los detalles los intercambiamos entre las
personas que realmente somos afortunadas, que tenemos un trabajo y ello
posibilitará que nuestra mesa presente un aspecto magnífico estas fiestas, pero
dada la difícil situación económica, la necesidad ya es algo que no solamente
aparece en las noticias de países remotos, desgraciadamente todos conocemos a
alguien que lo está pasando mal en nuestro entorno, ya sean conocidos, amigos e
incluso, en algún caso, familia.
¡Por ello este año en vez de regalar nosotros hemos decidido que seáis vosotros
los que hagáis el regalo!
Este año en lugar de entregar los tradicionales presentes navideños, SILVER
ATENA, en vuestro nombre, ha decidido colaborar con el Banco de Alimentos de
Madrid, organización benéfica cuyo fin es la consecución de alimentos y su
posterior distribución entre las personas más desfavorecidas.
Casi cien mil personas pueden comer diariamente gracias a la labor que realiza el
Banco de Alimentos, que ha sido reconocida con el Premio Príncipe de Asturias
2012 a la Concordia, entre otros. Estas fiestas serán más felices para parte de esas
cien mil personas debido a vuestro apoyo, así que ¡gracias por vuestro regalo!
Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 4 of 11
Spain Newsletter
SILVER ATENA – Navidades más solidarias
El pasado martes 17 de diciembre un grupo de empleados de SILVER ATENA visitó
la sede central del Banco de Alimentos, para realizar la donación en vuestro
nombre y pudo conocer de cerca la gran labor solidaria que realiza esta
organización benéfica.
Para más información acerca de la labor realizada por el Banco de Alimentos:
www.bamadrid.org
Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 5 of 11
Spain Newsletter
SITIO WEB DISPONIBLE EN ESPAÑOL
Nos complace anunciar que desde hoy el sitio web de SILVER
ATENA está disponible también en español:
www.silver-atena.es
Además de la traducción de los diferentes contenidos, se han
incorporado tres nuevos apartados, muy vinculados a las actividades de la oficina
española:
 Ingeniería RAMS
 Evaluación independiente de la seguridad (ISA)
 Apoyo logístico integrado (ILS)
Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 6 of 11
Spain Newsletter
White Paper: el polémico SIL
SILVER ATENA
El polémico SIL
El nivel de integridad de la seguridad, más conocido
por su acrónimo en inglés SIL (Safety Integrity Level),
es un concepto ampliamente utilizado en todos
aquellos sectores vinculados al desarrollo de siste1
mas relacionados con seguridad funcional.
Parque Empresarial San Fernando
Avda. Castilla, 2 (Edificio Italia-Planta Baja)
28830 San Fernando de Henares, Madrid
Tel:
Fax:
A pesar de este conocimiento, los estándares que
requieren su uso no dan una explicación clara de
cómo debe derivarse y aplicarse.
+34 91 659 11 04
+34 91 651 06 18
A continuación mencionaremos alguno de los problemas más comunes que nos encontramos quienes
trabajamos casi diariamente con el SIL e intentaremos clarificar algunos de ellos.
Definición de SIL
Es conveniente tener en cuenta que no todas las
normas, cuando se refieren al nivel integridad de la
seguridad, se refieren al SIL (por ejemplo, la norma
DO-178C hace referencia al concepto de Software
Level y los estándares ECSS a categorías de criticidad
del software).
En cualquier caso, en todos los estándares relacionados con la seguridad funcional, los conceptos de
integridad y de nivel de integridad de la seguridad
son prácticamente equivalentes.
El proceso comienza con un análisis de riesgos del
sistema que estemos desarrollando (ver Figura 1),
mediante el cual se identifican y se cuantifican las
amenazas que puede provocar un fallo en nuestro
sistema.
En este artículo adoptaremos las definiciones dadas
en la norma UNE EN 50126-1, [3], la cual establece el
concepto de integridad de la seguridad como: “La
probabilidad de que un sistema cumpla satisfactoriamente las funciones de seguridad requeridas en
todas las condiciones establecidas dentro de un periodo de tiempo igualmente establecido”.
La misma norma define el nivel de integridad de la
seguridad: “Uno de varios niveles discretos definidos
para especificar los requisitos de integridad de la
seguridad de las funciones de seguridad que se
asignen a los sistemas relacionados con la
seguridad”.
Obtención del SIL
En este apartado se expone de forma muy sintética
cómo debería ser el proceso de asignación de SIL a
una función de seguridad. Por simplicidad se ha realizado una aproximación cualitativa al proceso de
evaluación de riesgos.
1
Utilizaremos el término Seguridad refiriéndonos al inglés Safety en su sentido de
estar a salvo y protegido contra cualquier tipo o consecuencia de fallo, error, accidente
y/o cualquier evento no deseado
Spain Newsletter
Número 2
Figura 1. Proceso de gestión de riesgos.
A partir de estos análisis de riesgos, se obtienen las
medidas que se deben tomar para reducir el riesgo a
niveles tolerables. Estas medidas mitigadoras son las
funciones de seguridad a las que se debe asignar el
SIL.
Tal y como definen varios estándares, el riesgo de
una amenaza se define como el producto de dos
parámetros:
Riesgo  Frec * Sev
 Frec: Frecuencia de ocurrencia de la amenaza.
 Sev: Severidad del potencial accidente que
puede provocar.
Dec-2013
© SILVER ATENA
Page 7 of 11
Spain Newsletter
White Paper: el polémico SIL
Para ver si un riesgo es aceptable se debe evaluar y
posteriormente aplicar un criterio para la aceptación
del mismo (ALARP, GAMAB, MEM,…). Un método
ampliamente generalizado para la evaluación del
riesgo es la aplicación de la matriz mostrada en la
Figura 2, propuesta en [3].
llo evolucione a lo largo del ciclo de vida, se efectuarán análisis de riesgos más detallados.
Costumbres
El concepto de SIL no está relacionado directamente
con un sistema o producto a desarrollar, ni debe ser,
contrariamente a lo que se pueda pensar, un requisito previo al desarrollo de un producto.
El SIL está ligado a las funciones de seguridad que
debe realizar el sistema para mantener la seguridad
en unos límites tolerables.
¿Qué quiere decir esto? Rigurosamente hablando, el
SIL se asigna a funciones de seguridad, no a sistemas
ni subsistemas, siguiendo un proceso de estilo parecido al explicado en el apartado anterior.
Figura 2. Matriz de evaluación de riesgos.
Si una amenaza tuviera asociado un riesgo despreciable (por ejemplo, frecuencia improbable y severidad marginal) no sería necesaria una medida de
mitigación, por lo tanto no habría función de seguridad.
Pongámonos en el caso de que, tras el análisis de
riesgos, se determina que el sistema que estamos
desarrollando tiene una amenaza que lleva asociado
un riesgo intolerable (por ejemplo, la combinación de
frecuencia de ocurrencia probable y severidad
crítica). Entonces, se debe mitigar este riesgo hasta
un nivel tolerable.
A partir de este análisis de riesgos, los métodos para
asignar un SIL a las funciones de seguridad a implementar son muy variados. No obstante, sí es generalizada la asunción de que el SIL está directamente
relacionado con la disminución de riesgo que debe
realizarse.
Es decir, una medida mitigadora que baja el riesgo de
intolerable a despreciable tendrá un SIL mayor que
aquella mitigación que reduce un riesgo de intolerable a tolerable.
La aplicación directa de los ciclos de vida propuestos
por varias de las normas puede llevar a situaciones
paradójicas tales como analizar los posibles fallos de
nuestro sistema antes de especificar la arquitectura
del mismo. Sin embargo, sí se debe realizar un análisis preliminar de riesgos que nos dé información
sobre qué funciones de seguridad tiene que implementar nuestro sistema. Conforme nuestro desarro-
Spain Newsletter
Número 2
No obstante, todos hemos utilizado y escuchado
expresiones del tipo: “Mi empresa está desarrollando
un producto SIL 2”. Es decir, suele ser bastante habitual utilizar el SIL para referirse a un sistema o producto, no indicando las funciones de seguridad del
mismo. Las normas no ayudan a aclarar el panorama
ya que en muchos casos, por ejemplo, IEC 61508, [6],
se relaciona directamente SIL con sistemas, por lo
que resulta lógico y comprensible la generalización
del SIL al sistema.
Quizá la forma más lógica de ligar el SIL con un sistema es como se presenta en [1]: Las funciones de
seguridad de nuestro sistema son SIL 2.
Otra aproximación interesante la encontramos en
[3], donde se dice:
“un SIL sólo debe ser asignado a un ‘elemento'; a
saber, un equipo autónomo que realice una o más
funciones sencillas y que pueda ser reemplazado por
otro que realice la misma función o las mismas funciones. Generalmente, dicho “elemento” es a menudo
el equipo de nivel más bajo que puede ser reemplazado durante una operación de mantenimiento corrector de primer nivel”.
Malos usos
Suele ser bastante frecuente confundir SIL con fiabilidad. Este error suele venir por la tabla en la que se
relaciona la tasa tolerable de amenazas (THR, Tolerable Hazard Rate) y el SIL (ver Tabla 1).
Al ser imposible cuantificar la tasa de fallos del software, ver [2], el THR de un sistema ya diseñado se
calcula basándose en las tasas de fallos contra la
seguridad de los componentes hardware del sistema.
Sin embargo, el obtención de un determinado THR
Dec-2013
© SILVER ATENA
Page 8 of 11
Spain Newsletter
White Paper: el polémico SIL
únicamente justificaría el cumplimiento del SIL con él
relacionado para los fallos aleatorios (los debidos a la
fiabilidad finita de los componentes hardware), excluyéndose del estudio a los fallos sistemáticos.
Tabla 1. Relación entre SIL y THR (IEC 61508).
SIL
4
3
2
1
THR (fallo peligroso por hora)
-9
-8
10 ≤ THR < 10
-8
-7
10 ≤ THR < 10
-7
-6
10 ≤ THR < 10
-6
-5
10 ≤ THR < 10
Gestión de la calidad.
Gestión de la seguridad.
Condiciones de seguridad técnica y funcional.
Objetivos de seguridad cuantificados.
Otra práctica, quizá más controvertida, es exigir en
los pliegos de condiciones el cumplimiento con determinado SIL. Suele ser bastante común encontrarse
en pliegos frases como “el sistema X deberá cumplir
con un nivel de seguridad SIL 4”. En sí misma, la frase
no tiene por qué ser incorrecta, asumiendo lo explicado en párrafos anteriores. El problema viene
cuando en el resto del pliego no se hace mención
alguna a amenazas o a funciones de seguridad. Por
un lado, nos dicen que hay amenazas cuya mitigación
viene dada por funciones de seguridad que deben ser
SIL 4, pero en ningún momento se nos especifica
cuáles son esas amenazas o sus funciones de seguridad.
¿Qué es más seguro?
Muchas de las malas prácticas asociadas al uso del
SIL derivan del intento de darle al SIL un enfoque
claramente orientado al marketing.
Antes de seguir leyendo, dediquemos unos segundos
a pensar en la respuesta a la siguiente pregunta:
¿Qué es más seguro, un sistema SIL 1 o uno SIL 4?
A vuela pluma, todos contestaríamos que, obviamente, un sistema SIL 4.
Sin embargo, no es así. En la norma [5] se explica
claramente el porqué:
Un sistema SIL 4 lleva asociados requisitos mucho
más exigentes que el sistema SIL 1 porque un fallo en
aquel presenta un riesgo potencial mucho mayor que
un fallo en el sistema SIL 1. Si en ambos casos se
Spain Newsletter
Número 2
Corriendo el riesgo de llevar el tema al absurdo, quedaría aún más claro si hacemos la siguiente pregunta:
¿Qué es más seguro, una mesa comprada de saldo en
un centro comercial o un coche?
En este caso, muy pocos responderíamos que un
coche, a pesar de haberse seguido en su diseño y
fabricación procesos de gestión del riesgo muy rigurosos.
Como bien se dice en las normas [4] y [6] el cumplimiento del SIL exige el cumplimiento de cuatro factores:




reduce el riesgo a un nivel tolerable, no es más seguro el sistema SIL 4 que el SIL 1.
Conclusiones
A lo largo del presente artículo, hemos introducido el
concepto SIL y la confusión existente a la hora de
asignar el SIL a un sistema o producto.
Tal y como hemos discutido, el concepto de SIL está
relacionado con el de función de seguridad. De tal
forma que para poder hablar de SIL es imprescindible
la realización de, al menos, un análisis de riegos
donde seamos capaces de obtener las funciones de
seguridad de nuestro sistema. A partir de estas funciones de seguridad, se asignará el SIL a cada una de
ellas, dependiendo del riesgo que haya que mitigar: a
mayor riesgo, mayor SIL.
Por último, se debe evitar cualquier relación del SIL
con el marketing puesto que un mayor SIL no indica
una mayor seguridad, sino una mayor reducción del
riesgo para llevarlo a un nivel aceptable.
Referencias
[1] Robert Short, The use and misuse of SIL, IRSE News,
Issue 142, February 2009
[2] Felix Redmill, Understanding the use, misuse and
abuse of safety integrity levels
[3] UNE-EN 50126-1: Aplicaciones ferroviarias –
Especificación y demostración de la fiabilidad, la disponibilidad, la mantenibilidad y la seguridad (RAMS),
2005 (Incluye CORR:2006 y CORR:2010).
[4] UNE-EN 50129: Aplicaciones ferroviarias – Sistemas de
comunicación, señalización y procesamiento – Sistemas electrónicos relacionados con la seguridad para la
señalización, 2005 (Incluye CORR:2010).
[5] UNE-EN 50126-2: Railway applications - The specification and demonstration of Reliability, Availability,
Maintainability and Safety (RAMS) - Part 2: Guide to
the application of EN 50126-1 for safety, 2007
[6] IEC 61508: Functional safety of electrical/ electronic/programmable electronic safety-related systems, 2008
Autor: Alejandro Quesada (Responsable RAMS, Silver
Atena)
Dec-2013
© SILVER ATENA
Page 9 of 11
Spain Newsletter
CONSENSO DE PROPUESTAS FP7-PEOPLEMARIE CURIE
Silver Atena participó como experto independiente en el
proceso de evaluación de ofertas Marie Curie para el programa 'People' de la
Comisión Europea.
El programa 'People' del séptimo Programa Marco de la Comisión Europea apoya
el desarrollo de los Recursos Humanos en Investigación y Tecnología en Europa
por medio de la contratación e incorporación de investigadores a proyectos de
investigación. Las acciones Marie Curie han tenido
como objetivo fomentar y apoyar el desarrollo
profesional del investigador en un entorno
internacional. Este programa incluye tanto
financiaciones
dirigidas
a
investigadores
individuales como acciones dirigidas a la creación
de redes de formación de investigadores predoctorales o de intercambio de investigadores. El
7º programa marco asignó un presupuesto de
4.750 M€ al programa PEOPLE para el periodo
2007 - 2013.
El grupo de expertos independientes del panel de Ciencias de la información e
Ingeniería, y pertenecientes tanto a Universidades y Centros de Investigación
como Industria, se reunieron para la fase final de Consenso durante los días del 711 de octubre en Bruselas con el objetivo de finalizar los informes de consenso,
evaluaciones y la lista final de clasificación de las ofertas.
En el próximo programa 2014-2020, Horizonte 2020, estas acciones, ahora
llamadas acciones Marie Skłodowska-Curie contarán con un presupuesto de 6.126
M€. El apoyo a la formación de investigadores y la financiación a centros de
investigación es una de las prioridades relevantes de la Comisión Europea en los
próximos años.
Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 10 of 11
Spain Newsletter
SILVER ATENA SPAIN CON EL DEPORTE DE ALTA
COMPETICIÓN
SILVER ATENA patrocina al primer equipo del “C. N. Tres Cantos”, con
equipaciones deportivas para las temporadas 2013-2014 y 2014-2015. El C.N. Tres
Cantos milita en la primera División Nacional de Waterpolo española y ha
conseguido el tercer puesto en la liga de División de Honor madrileña dos años
consecutivos.
Desde SILVER ATENA consideramos que el deporte de competición ayuda a
potenciar valores como el trabajo en equipo, el afán de superación, el esfuerzo, la
constancia y la disciplina, valores comunes en los ámbitos laboral y deportivo y
que son sinónimo de éxito.
Con esta colaboración SILVER ATENA favorece el desarrollo del Waterpolo de alta
competición y apuesta por un pequeño club con una gran proyección.
Spain Newsletter
Número 2
Dec-2013
© SILVER ATENA
Page 11 of 11