Seguridad funcional

Los riesgos y la seguridad

CONTENIDO
1. Objetivos

2. Introducción

3. Seguridad funcional

4. Integridad de la seguridad
Integridad de la Seguridad sistemas no electrónicos
Integridad de la Seguridad sistemas electrónicos
5. Demostración nivel de integridad
de seguridad SIL
Integridad frente a fallos aleatorios
Integridad frente a fallos sistemáticos
6. Bibliografía

7. Enlaces de interés

Objetivos
• En el proceso de evaluación y control del riesgo se
analizan las potenciales amenazas o peligros a los
que el sistema ferroviario puede estar sometido.
• Valorar el nivel de riesgo de cada peligro para
determinar si resulta aceptable según los criterios
de aceptación definidos.
• Establecer los requisitos de seguridad con el
objetivo de reducir el riesgo hasta un nivel aceptable,
seguro.
• Identificar en qué consiste la seguridad funcional.
• Demostrar la integridad de la seguridad en función
del tipo de sistema o la tecnología utilizada.
Introducción
Desde un punto de vista técnico, un sistema ferroviario
queda definido por la arquitectura y la funcionalidad,
así como su interacción con los elementos del entorno.
La arquitectura de un sistema ferroviario mantiene
una jerarquía y estructura a partir de los sistemas,
subsistemas y componentes que lo conforman.
Los sistemas, subsistemas y componentes están
concebidos y diseñados para trabajar de forma conjunta
y ejecutar las funciones requeridas para la correcta
operación ferroviaria, en términos de calidad del servicio
y seguridad.
La definición de las funciones principales viene
determinada por las necesidades operacionales y
de explotación, establecidas normalmente por el
operador ferroviario y por el marco legal aplicable. Con
el objetivo de estandarizar las soluciones técnicas
entre fabricantes y favorecer su compatibilidad técnica,
se identifican ciertas funciones principales comunes
según la tipología de los sistemas:
• Material rodante
• ERTMS
• Sistemas autónomos
• Entre otros
Para garantizar que el sistema se comporta según
lo especificado, se establecen requisitos a alto
nivel, nivel sistema, y posteriormente, se distribuyen
requisitos a más bajo nivel a subsistemas y
componentes. La definición de las funciones principales
permite establecer y distribuir requisitos funcionales a
la estructura de sistemas, subsistemas y componentes.
Las funciones principales de un sistema ferroviario
pueden tener implicaciones de seguridad o solo de
calidad, asociadas a la disponibilidad del sistema.
Cuando el fallo o la incorrecta ejecución de una función
supone un problema de seguridad, a esa función, así
como a los sistemas, subsistemas, componentes o
procedimientos que intervienen, se denominan
elementos “relacionados con la seguridad” y a todos
ellos, se les asigna uno o más requisitos de seguridad.
Seguridad funcional | 3
Estos requisitos de seguridad pueden ser, tanto
cuantitativos como cualitativos, y determinan el nivel
de integridad de la seguridad que deben ofrecer. El
nivel de integridad a alcanzar viene determinado
por los objetivos de seguridad a cumplir según el
criterio de aceptación de riesgos establecido.
Normalmente, los responsables del servicio ferroviario
o bien, según el marco legal aplicable, establecen estos
objetivos en función de la frecuencia y la gravedad de las
consecuencias de los peligros identificados durante la
evaluación inicial de riesgos sobre el sistema ferroviario.
En base a esta primera evaluación y a los criterios
de aceptación de las medidas de control y riesgos
residuales, se determinan los niveles de integridad
a cumplir. A través de las metodologías, tanto
cuantitativas como cualitativas, debe demostrarse el
cumplimiento del nivel de integridad para las funciones
relacionadas con seguridad, así como los subsistemas y
componentes que intervienen en dicha función.
Seguridad funcional
Durante la etapa de evaluación y control de riesgos,
a través de los análisis de riesgos se determinan
aquellas funciones del sistema están relacionadas con
la seguridad, así como los subsistemas y componentes
que intervienen.
Las funciones principales y especialmente, aquellas
relacionadas con la seguridad, están muy consolidadas
dentro de la industria ferroviaria para cada tipo de
tecnología. Así, normativa o especificaciones de
referencia se utilizan como base para identificar las
funciones aplicables a cada sistema. Así, se puede
encontrar las siguientes referencias para la definición de
las:
• Especificaciones Técnicas de Interoperabilidad
ETI:
- Material rodante
- Mando, control y señalización
- Energía
- Infraestructura
• IEC 62290 - ModSafe:
Funciones de seguridad y medidas de Protección
para sistemas de señalización de transporte
urbano.
- Grados de automatización GOA1 – GOA4.
- Funciones de seguridad del sistema de
señalización en vía.
- Funciones de seguridad del sistema de
señalización embarcado.
• VDV 161 Requisitos de seguridad para equipos
eléctricos de vehículos metro y tranvías.
• VDV 331 Requisitos de integridad de la seguridad
para instalaciones de señalización y protección de
trenes.
 Seguridad funcional | 4

Sistemas con carácter innovador donde no se La integridad de la seguridad debe garantizar la

encuentren tantas referencias estandarizadas,
son especialmente relevantes los análisis de
seguridad a la hora de definir nuevas funciones de
seguridad. Este es el caso de la utilización de nuevos
combustibles en la tracción ferroviaria, como puedan
ser el Gas Natural Licuado o el hidrógeno H². Las
nuevas funciones de seguridad vendrán dadas como
protecciones de las distintas amenazas identificadas.
Una vez identificadas y clasificadas las amenazas
según su nivel de riesgo, se asignan funciones y
requisitos de seguridad para permitir cumplir los
objetivos de seguridad del sistema global. Para ello, los
requisitos de seguridad funcional deben establecer:
• Comportamiento funcional esperado de las
funciones relacionadas con la seguridad.
• Comportamiento de las funciones relacionadas
con la seguridad en caso de fallo, comprendiendo:
- Requisitos de integridad de seguridad.
- Comportamiento requerido en caso de fallo no
peligroso.
correcta ejecución de una función de seguridad del
sistema a través de su arquitectura y los elementos
que la conforman, subsistemas y componentes.
Desde un punto de vista de la arquitectura que
interviene en la ejecución de la función de seguridad, así
como la forma de demostrar el nivel de integridad de la
seguridad, en los sistemas ferroviarios se distinguen:
• Arquitecturas electrónicas
• Arquitecturas no electrónicas
Integridad de la seguridad
sistemas no electrónicos
Los requisitos técnicos para los componentes o
partes no electrónicas que intervienen en una o
más funciones relacionadas con la seguridad debe
garantizarse a través de la conformidad técnica.
La conformidad técnica permite concluir sobre la
adecuación o no de un determinado subsistema
o componente respecto a la normativa aplicable o
códigos de buenas prácticas (CoP), ampliamente
reconocidos y aceptados por el sector.

Integridad A continuación, se identifican algunos sistemas no

de la seguridad electrónicos que ejecutan funciones de seguridad:

• Sistemas mecánicos:
La integridad de la seguridad es la capacidad de un
sistema relacionado con seguridad para cumplir las - Puertas
funciones de seguridad requeridas. Cuanto mayor - Ventanas
sea la integridad de la seguridad, menor será la - Fuelles
probabilidad de no ejecutar las funciones de seguridad - Pasarelas
requeridas.
- Conductos de cables
La integridad de la seguridad de la función puede - Soportes
verse afectada tanto por fallos aleatorios, asociados - Entre otros
al hardware de los componentes, como sistemáticos,
• Sistemas neumáticos:
asociados al factor humano y a los procesos. Por lo
tanto, para garantizar la integridad de seguridad se debe - Compresores
considerar un doble enfoque. Por un lado, protecciones - Mangueras
contra fallos sistemáticos y, por otra, contra fallos - Tuberías
aleatorios.
- Válvulas
• La integridad de seguridad aleatoria se logra - Actuadores
mediante la aplicación de métodos cualitativos - Entre otros
y cuantitativos en el diseño del producto y
• Sistemas hidráulicos:
componentes (diversidad, redundancia, fail-safe,
protección contra las condiciones previstas del - Bombas
entorno, entre otros). - Mangueras
• La integridad de la seguridad sistemática se logra - Tuberías
mediante la aplicación de métodos cualitativos - Válvulas
incorporados a las actividades de desarrollo y
- Actuadores
ejecución. Basadas en soluciones de proceso,
como la gestión de la calidad, la gestión de la - Entre otros
seguridad y las medidas organizativas.

Los sistemas no electrónicos a menudo se diseñan
de acuerdo con una o más normativas o códigos
de buenas prácticas. Si se aplica un código
de buenas prácticas para diseñar una función
relacionada con la seguridad o para lograr las
características de seguridad específicas de un sistema,
esto se considera suficiente para reducir el riesgo
residual a un nivel aceptable para los peligros abordados
por el código de buenas prácticas.
Debe comprobarse y justificarse que la normativa
o código práctico utilizado realmente es aplicable y
permite cubrir, en su totalidad, el riesgo identificado de
ese sistema o componente a la hora de ejecutar dicha
función de seguridad.
La conformidad técnica normalmente suele evaluarse
antes de su entrada en servicio. Sin embargo, debe
prestarse especial atención en mantener las propiedades
y características del sistema y/o componente a lo
largo de todo su ciclo de vida, incluida su explotación
comercial. Para ello, toma especial relevancia las
operaciones de mantenimiento, tanto preventivo como
correctivo, para asegurar que el nivel de seguridad
del sistema no se ve negativamente afectado con el
tiempo, después de su entrada en servicio. Se debe
mantener la misma integridad de seguridad de los
subsistemas y componentes a lo largo de su explotación
comercial y normalmente, están sometidos:
• Desgaste mecánico, degradación o fatiga:
- Ciclos de trabajo
- Cerrojos de enclavamiento
- Entre otros
• Influencia del entorno:
- Estrés térmico
- Sol
- Polvo
- Contaminación
- Degradación química
- Entre otros
Normalmente, la aplicación de normativa o códigos de
buenas prácticas no proporciona información sobre
la frecuencia esperada de los fallos aleatorios sobre
los sistemas no electrónicos. Para poder anticipar y
gestionar el riesgo de una pérdida de función asociada
a este tipo de sistemas no electrónicos, se debe
establecer sistemas de supervisión y actuaciones de
mantenimiento preventivo, adecuadamente recogidos
en los planes de mantenimiento.
Adicionalmente, en las fases preliminares del proyecto,
se debe realizar análisis cuantitativos de fallos
que permitirán establecer una programación de las
operaciones de mantenimiento. Estos análisis teóricos
deben complementarse y cruzarse con los datos de
campo y proyectos anteriores de referencia, retorno de
experiencia que permite ajustar los valores teóricos a la
realidad de la explotación (Factor REX).
Seguridad funcional | 5
Integridad de la seguridad
de los sistemas electrónicos
La integridad de los sistemas electrónicos que
intervienen en la ejecución de una función de
seguridad viene expresada en niveles SIL, nivel de
integridad de la seguridad. A medida que mayor es
el nivel SIL, menor es la probabilidad de fallo en la
ejecución de dicha función. Para alcanzar el nivel de
integridad SIL requerido se establecen requisitos de
seguridad, tanto cuantitativos como cualitativos, para
los subsistemas o componentes que ejecutan dichas
funciones de seguridad, distribuyendo estos requisitos
a los distintos niveles de la jerarquía técnica del sistema.
La distribución de los requisitos de seguridad del
sistema se desglosa entre los subsistemas y/o
componentes que lo conforman. El proceso de
distribución de los requisitos funcionales relacionados
con la seguridad entre los distintos componentes del
sistema forma parte del proceso de gestión y control
de riesgos. Para poder garantizar que el nivel de
integridad SIL se cumple a nivel sistema, es necesario
previamente asegurar que los requisitos SIL a niveles
inferiores, subsistema y componente, también se
cumplen.
Los objetivos de seguridad a cumplir, expresados
como requisitos de seguridad a nivel sistema, vendrán
dados para cada peligro como THR Tasa de Peligro
Tolerable y están vinculados a una composición
funcional específica según la arquitectura del sistema.
La tasa THR se traduce en TFFR Tasa de Fallo Funcional
Tolerable para las funciones principales asociadas. Los
requisitos de seguridad para las funciones principales
han de respetarse por las funciones de más bajo nivel,
así como por los subsistemas y componentes que las
ejecutan.
La distribución de la tasa de peligro tolerable THR se
realiza mediante análisis causal, como puede ser FTA, y
teniendo en cuenta las interdependencias lógicas entre
los subsistemas o los componentes definidos en la
arquitectura.
La relación entre el peligro y las funciones puede no
ser unívoca. La causa de un peligro puede ser el fallo
no seguro de una o más funciones. En caso de una
sola función de protección contra varios peligros, se
considera que el requisito cuantitativo de integridad
de la seguridad THR está asignado completamente
a dicha función.
Si la relación entre peligro y funciones es unívoca,
para cada peligro con su objetivo cuantitativo
correspondiente, el requisito de integridad de la
seguridad cuantitativo expresado como THR, tasa de
peligro tolerable, se debe asignar completamente a la
función que protege contra ese peligro TFFR, tasa de
fallo funcional tolerable.

De no ser así, en caso de combinación de funciones
múltiples, la THR, tasa de peligro tolerable, debe
distribuirse entre los peligros de segundo nivel y sus
tasas de fallos funcionales tolerables TFFR hasta
el nivel de las últimas funciones independientes.
Este es el nivel en el cual dos o más funciones
controlan el mismo peligro en este nivel, siendo sin
embargo completamente independientes.
Para una función que controla múltiples peligros, la
TFFR tasa de fallo funcional tolerable asignarse a
partir de la THR del peligro que imponga requisitos más
restrictivos de todos.
La asignación del nivel de integridad de la seguridad
SIL, a partir de la tasa de fallo funcional tolerable
TFFR, se debe establecer en el nivel más bajo en el
que las funciones son completamente independientes.
El SIL debe permanecer asociado a la función
relacionada con la seguridad a la que pertenecen las
subfunciones. El nivel de integridad de la seguridad
SIL debe mantenerse inalterado en niveles inferiores
de la jerarquía de la arquitectura y desglose funcional.
Asimismo, para su posterior integración de las
subfunciones de menor nivel a la hora de demostrar el
cumplimiento del nivel de integridad de la seguridad SIL.
Demostración integridad
de la seguridad SIL
La integridad de la seguridad de los sistemas
electrónicos debe proporcionar garantías de
seguridad integral, tanto contra fallos aleatorios como
sistemáticos. Para alcanzar el nivel de integridad de
la seguridad SIL especificado, se ha de demostrar el
cumplimiento:
• Objetivo de seguridad cuantificado. Solo es
posible cuantificar fallos aleatorios y demostrar
teóricamente, mediante estimación cuantitativa,
que se cumple el requisito de la tasa de fallo
funcional tolerable.
• Condiciones de gestión de la calidad, las
condiciones de gestión de la seguridad y las
medidas técnicas de seguridad asociadas a un
nivel de integridad de la seguridad determinado. Se
requiere de medidas cualitativas como protección
contra fallos aleatorios y sistemáticos. Esto está
cubierto por las medidas obtenidas del nivel de
integridad de la seguridad, según la normativa
específica de aplicación.
Seguridad funcional | 6
Adicionalmente, también se pueden producir
situaciones o modos de fallo de causa común que
comprometan el nivel de integridad de la seguridad de
los sistemas. Para ello, se debe garantizar:
• Ausencia de fallos aleatorios comunes:
- Implica que, a un determinado nivel
arquitectónico de implementación, el conjunto de
elementos que conforman esta arquitectura no
falla de manera crítica, simultánea o en cascada,
como consecuencia de una causa física común.
- Cualquier conexión física, interacción o influencia
física común puede llevar a una causa física
común que ponga en peligro la seguridad.
• Ausencia de fallos sistemáticos comunes:
- Implica que ninguna causa relacionada con el
proceso impida la identificación de fallos que
puedan heredar el potencial de fallos de causa
común. Se considera que la independencia
organizativa y la diversidad en los recursos
humanos y en los procesos del ciclo de vida
contribuyen a una mayor integridad general de la
seguridad de los productos y sistemas.
- Cualquier actividad de proceso común en
las fases de diseño, fabricación, instalación
y mantenimiento puede ser causa de errores
comunes durante la fase de desarrollo de las dos
funciones.
Se debe completar un análisis de fallos de causa
común CCF y ningún fallo de causa común, aleatorio o
sistemático, pueda contribuir negativamente al nivel de
seguridad.
Integridad frente a fallos
aleatorios
Partiendo del objetivo de tasa de peligro tolerable
THR definido en el nivel de riesgo del sistema,
cuando se defina una tasa de fallo funcional
tolerable TFFR, se deben considerar también los
demás requisitos, cuantitativos y cualitativos,
pertinentes para cada función. En los requisitos de las
funciones de seguridad, contra los fallos funcionales,
se debe tener en cuenta todas las características y
protecciones del diseño:
• Fallos funcionales no seguros
• Detección de averías
• Principios de diseño con una reacción segura,
diseño fail -safe.
• Diseño redundante
• Tiempo de caída seguro
• Recuperación tras el estado de fallo
• Modos degradados y procedimientos de emergencia
• Mantenimiento, preventivo o correctivo
• Diagnóstico

Para demostrar el cumplimiento de los objetivos
cuantitativos, se debe justificar mediante la
estimación cuantitativa de los fallos aleatorios,
normalmente mediante análisis de árbol de fallos
FTA, que los resultados cumplen el objetivo de la
tasa de fallo funcional tolerable TFFR y de la tasa
de peligro tolerable relacionada THR. Los requisitos
cuantitativos de acuerdo con nivel de integridad SIL
vienen establecidos en las normas EN 50126 y EN 50129.
Los fallos sistemáticos se controlan mediante
métodos y procesos cualitativos, estableciendo
medidas y requisitos cualitativos según el nivel de
integridad de la seguridad SIL requerido. El cumplimiento
de estos requisitos cualitativos, según el sistema y
normativa aplicable, permite obtener garantías que no
se está contribuyendo negativamente al cumplimiento
cuantitativo de los requisitos de integridad de la
seguridad requeridos.
Integridad frente a fallos
sistemáticos
Los procesos de calidad y seguridad tienen como
objetivo prevenir y reducir las averías sistemáticas
a lo largo del ciclo de vida del proyecto. Los errores
humanos se pueden producir en todas las fases del
proyecto. Una gestión eficaz de la seguridad, mediante
la aplicación de procesos y procedimientos, es esencial
para minimizar las averías sistemáticas durante
todas las fases del ciclo de vida. Cuanto más riguroso
sea el requisito cuantitativo expresado como TFFR
Tasa de Fallo Funcional Tolerable, más estrictas serán
las medidas cualitativas. Para equilibrar las medidas
cualitativas y la TFFR, se definen las medidas básicas y
cuatro niveles de integridad de seguridad, desde el SIL 1
al 4, el nivel más alto de integridad de la seguridad.
Seguridad funcional | 7
La integridad de la seguridad de una función aborda
diferentes aspectos, cada uno de ellos necesario
para proporcionar confianza en el cumplimiento de
los requisitos. El objetivo cuantitativo de seguridad
es solo uno de los aspectos de la integridad de
la seguridad que ha de cumplirse. Además de los
aspectos cuantitativos, la integridad de la seguridad
también requiere de medidas cualitativas para mitigar
los fallos sistemáticos. Por ello, a lo largo del ciclo de
vida del proyecto se deben aplicar medidas relativas
a la gestión de la calidad, la gestión de la seguridad y
técnicas de seguridad específicas.
Las disposiciones relativas a la gestión de la
calidad quedan establecidas en normas genéricas
de los sistemas de gestión de la calidad para las
organizaciones o empresas:
• ISO 9001
• IRIS
• TS 22163
• Entre otros
Los sistemas de gestión de la calidad son utilizados
por las organizaciones para asegurar su capacidad
de proporcionar productos y servicios que cumplan
los requisitos de sus clientes, los requisitos legales y
reglamentarios aplicables, y lograr la satisfacción del
cliente mejorando continuamente la eficacia.
Los procesos y procedimientos de calidad
establecidos por las organizaciones deben aplicarse
a lo largo del ciclo de vida de los proyectos,
sistemas, productos o servicios como parte de las
garantías del sistema ferroviario. La calidad es uno de
los pilares sobre los que se fundamenta la seguridad
ferroviaria, sin calidad no puede haber seguridad.

Por otro lado, la gestión de la seguridad a través
de normativa EN 50126 de gestión RAMS o
Reglamento 402/2013 MCS, permite implementar las
actividades específicas de seguridad a lo largo del ciclo
de vida para evaluar y controlar el riesgo.
Dependiendo de la tecnología, se utilizarán normas
específicas para el desarrollo e implementación de la
seguridad técnica, tanto para la parte cuantitativa de
fallos aleatorios como los fallos sistemáticos.
Actualmente, los sistemas electrónicos tienen
una gran importancia en el sector ferroviario. A
través de los sistemas electrónicos, se ejecutan
multitud de las funciones críticas en el sistema
ferroviario, funciones relacionadas o no con seguridad.
Las aplicaciones de software crítico se ejecutan sobre
elementos é de alta fiabilidad permitiendo una alta
seguridad y disponibilidad.
La utilización de aplicaciones software en el ámbito
ferroviario tiene grandes ventajas, aunque también
supone ciertas dificultades:
• Ventajas:
- Flexibilidad a la hora de realizar las funciones de
seguridad del sistema:
» Manejo de gran cantidad de información y
mayor número de funcionalidades.
» Control de los dispositivos
» Rapidez de ejecución
» Capacidad de automatizar y reutilizar
funcionalidades o módulos
» Gran cobertura de escenarios
- Menores necesidad de espacio físico,
especialmente en el interior de los trenes.
- Mayor capacidad a la hora de realizar cálculos,
diagnósticos, etc.
• Dificultades:
- Aumento de la inversión en términos de coste y
complejidad del HW.
- Necesidad de implementar procesos robustos de
verificación y validación.
- Dificultad para comprobar la inexistencia de fallos
sistemáticos.
Los fallos aleatorios del hardware ya han sido
considerados anteriormente. Para garantizar la ausencia
de fallos sistemáticos en los productos y aplicaciones
ferroviarias software, se aplican normas específicas
como:
• EN 50128 Software para sistemas de control y
protección ferroviaria.
• EN 50657 Software para sistemas embarcados de
material rodante.
Seguridad funcional | 8
La norma EN 50128 y la norma EN 50657 proporcionan
una serie de requisitos que se deben cumplir en
el desarrollo, implantación y mantenimiento de
cualquier software relacionado con la seguridad
destinado a aplicaciones ferroviarias, tanto para
material rodante como para sistemas de señalización,
control y protección de ferrocarriles. Estas normas
han de considerarse en el marco de la aplicación de la
norma EN 50126 para la gestión global de la seguridad
del sistema ferroviario.
Las normas EN 50128 y EN 50657son de aplicación para
productos y aplicaciones cuando el software:
• Controla hardware crítico relacionado con la
seguridad.
• Monitoriza hardware como parte del control de
amenazas.
• Gestiona información para la toma de decisiones
relativas a la seguridad.
• Realiza análisis que impactan en operaciones,
manuales o automáticas, que pueden suponer una
amenaza.
• Verifica controles de amenazas hardware.
Las principales fases del ciclo software son:
• Definición de la arquitectura y requisitos software,
siguiendo métodos de diseño modular y Top –
Down.
• Desarrollo y diseño software de acuerdo con el
Plan de Aseguramiento de la Calidad Software,
según los niveles de integridad software y el
correspondiente ciclo de vida software asociado.
• Integrar el software en el hardware apropiado y
verificar su funcionalidad.
• Aceptar e implantar el software.
• Aplicar de nuevo este ciclo si se requiere
mantenimiento o modificaciones tras su puesta en
servicio.
Estas normas son de aplicación para todo el software,
ya sea relacionado con seguridad o no, utilizado en el
desarrollo, implementación y mantenimiento de los
sistemas de material rodante o señalización, mando y
control, incluyendo:
• Programación de aplicaciones
• Desarrollo y uso de sistemas operativos
• Herramientas de apoyo al desarrollo software
• Firmware

Las normas de software crítico especifican distintos
requisitos cualitativos a lo largo de todo el ciclo de
desarrollo, implantación y mantenimiento software:
• Garantizar la competencia y organización del
personal que participa en el desarrollo, implantación
y mantenimiento software.
• Definir y planificar las actividades específicas del
ciclo de vida para el desarrollo software.
• Gestionar la configuración y las modificaciones
software.
• Establecer los requisitos técnicos en forma de
protecciones específicas software.
• Aplicación de arquitecturas software específicas
y modulares que permiten encapsular los
errores y aplicar métodos de verificación eficaces.
• Establecer técnicas y métodos software
adecuadas en función del nivel de integridad SIL.
• Asegurar la trazabilidad de los requisitos software,
a través del proceso de verificación y validación.
• Garantizar la correcta integración software en el
hardware seleccionado.
• Evidenciar documentalmente el proceso aplicado
en el desarrollo, implantación y mantenimiento
software, al ser objeto de evaluación independiente
y auditable.
Las normas de software crítico, EN 50128 y EN 50657,
están estructuradas en los siguientes bloques:
• Objetivos, conformidad y niveles de integridad de
seguridad software
• Gestión y desarrollo del software
• Garantía software
• Desarrollo de software genérico
• Desarrollo de datos o algoritmo de aplicación
• Implantación y mantenimiento software
Mediante la implementación de los requisitos
establecidos en las normas técnicas, en función del
nivel de integridad SIL, se aporta garantías técnicas
para la mitigación y control de fallos sistemáticos
en el proyecto o desarrollo. La conformidad de estos
requisitos no significa que el sistema esté libre de
errores sistemáticos contra la seguridad, pero al
menos se evidencia que se han dispuesto de los
mecanismos y medios de protección razonablemente
posibles para que no contribuyan significativamente
a la tasa de fallos cuantitativos y así, alcanzar el
objetivo de seguridad establecido para el sistema
ferroviario.
Seguridad funcional | 9
Bibliografía
[1]. Collection of examples of risk assessments and of
some possible tools supporting the CSM Regulation.
European Railway Agency. ERA/GUI/02-2008/SAF.
Version 1.1. 06/01/2009.
[2]. EN 50126-1: Aplicaciones Ferroviarias. Especificación
y demostración de la fiabilidad, la disponibilidad,
la mantenibilidad y la seguridad (RAMS). Parte 1:
Requisitos básicos y procesos genéricos.
[3]. EN 50126-2: Aplicaciones Ferroviarias. Especificación
y demostración de la fiabilidad, la disponibilidad,
la mantenibilidad y la seguridad (RAMS). Parte 2:
Aproximación sistemática para la seguridad.
[4]. EN 50128: Aplicaciones ferroviarias. Sistemas
de comunicación, señalización y procesamiento.
Software para sistemas de control y protección del
ferrocarril.
[5]. EN 50129: Aplicaciones ferroviarias. Sistemas
de comunicación, señalización y procesamiento.
Sistemas electrónicos relacionados con la seguridad
para la señalización.
[6]. EN 50657: Aplicaciones ferroviarias. Aplicaciones de
material Rodante. Software embarcado de material
rodante.
[7]. ERTMS/ETCS Functional Requirements Specification
FRS
[8]. TR 50126-2: 2007. Railway applications - The
specification and demonstration of Reliability,
Availability, Maintainability and Safety (RAMS) - Part
2: Guide to the application of EN 50126-1 for safety.
[9]. Final Report – Risk Acceptance Criteria for Technical
Systems and Operational Procedures. Report for
European Railway Agency. Report No: 24127328/03.
Rev: 02. 22 January 2010.
[10]. Handbook of Reliability, Availability, Maintainability
and Safety in Engineering Design. Rudolph Frederick
Stapelberg. ISBN 978-1-84800-174-9
[11]. International Engineering Safety Management.
Good Practice Handbook. Volume 1 Principles and
Process. Issue 1.1 April 2013 & Volume 2 Methods,
tools and techniques for projects. Issue 1.1 Dec
2013
[12]. ISO/IEC 31010: Risk management – Risk
assessment techniques.
[13]. IEC 61508-2010, Functional Safety of Electrical/
Electronic/Programmable Electronic Safety-related
Systems.
[14]. Railway Applications - Communication, signalling
and processing systems - Application Guide for
EN50129 Part 1: Cross Acceptance PD CLC/TR
50506-1:2007
[15]. Railway Applications - Communication, signalling
and processing systems - Application Guide for
EN50129 Part 2: Safety Assurance PD CLC/TR
50506-2:2009

[16]. Reglamento (UE) n °1302/2014 de la Comisión, de
18 de noviembre de 2014, sobre la especificación
técnica de interoperabilidad del subsistema de
material rodante «locomotoras y material rodante
de viajeros».
[17]. Reglamento (UE) 2016/919 de la Comisión, de 27
de mayo de 2016, sobre la especificación técnica
de interoperabilidad relativa a los subsistemas de
control-mando y señalización.
[18]. TR 50126-3: 2008. Railway applications – The
specification and demonstration of Reliability,
Availability, Maintainability and Safety (RAMS) –
Part 3: Guide to the application of EN 50126-1 for
rolling stock RAM
[19]. VDV 161 Requisitos de seguridad para equipos
eléctricos de vehículos metro y tranvías.
[20]. VDV 331 Requisitos de integridad de la seguridad
para instalaciones de señalización y protección de
trenes
[21]. Quick guide to the RAMS standard EN 50126 / IEC
62278. Troels Winther. Revision 7, January 2012.
[22]. WP 4 - D4.2 Analysis of Safety Requirements
for MODSafe Continuous Safety Measures and
Functions
[23]. Yellow book – Engineering railway safety – Issue 4
RSSB, 2007.
Seguridad funcional | 10
Enlaces de interés
• Agencia Ferroviaria de la Unión Europea EUAR.
Disponible en: ERA | European Union Agency for
Railways (europa.eu)
• Agencia Estatal de Seguridad Ferroviaria AESF.
Disponible en: AESF: AGENCIA ESTATAL DE
SEGURIDAD FERROVIARIA
• The International Rail Industry Engineering Safety
Management. Disponible en: Welcome to the
international ESM Handbook — International
Rail Industry Engineering Safety Management
Handbook (intesm.org)
• The International Association of Public Transport
UITP. Disponible en: || The International Association
of Public Transport | UITP ||
• Australia's Rail Safety Regulator. Disponible en:
Office of the National Rail Safety Regulator | ONRSR