Actualmente las aplicaciones informáticas están

Transcripción

1 Boletín IIE, mayo-junio del 2002 Garantía de calidad del software relacionado con la seguridad de las instalaciones nucleares Joaquín Pérez Ortega, Gerardo de la Cruz Fernández y Arturo Ramírez García 1 En el ámbito mundial, la problemática de la degradación prematura de componentes de sistemas electrónicos analógicos ha motivado a los propietarios de las instalaciones nucleares a reemplazar sus sistemas analógicos actuales por sistemas digitales. Actualmente las aplicaciones informáticas están desempeñando un papel muy importante y progresivamente creciente en los procesos de diseño, construcción, puesta en servicio, operación, cierre definitivo y desmantelamiento de las instalaciones nucleares. Esta creciente participación de las aplicaciones informáticas ha incrementado su vez la preocupación de los organismos reguladores en el impacto potencial de las aplicaciones informáticas a la seguridad de las instalaciones nucleares en los procesos señalados. Por lo que los organismos reguladores en el mundo han emitido recomendaciones sobre los requisitos de Garantía de Calidad que deben cumplir las aplicaciones informáticas relacionadas con la seguridad de las instalaciones nucleares. Resumen En este artículo se comenta el marco regulador de las aplicaciones informáticas (software) relacionadas con la seguridad de las instalaciones nucleares y se muestran de manera gráfica las interrelaciones entre las principales normas y guías relacionadas con la seguridad. También se describe la estructura del plan de garantía de calidad y se resaltan los requisitos mínimos que debe tener un plan para cumplir con la normativa en la materia. En esencia, el artículo resume los resultados del estudio que realizó el Instituto de Investigaciones Eléctricas (IIE) sobre el marco regulador aplicable a la garantía de calidad del software relacionado con la seguridad y que es recomendable utilizar como base para el desarrollo e implementación de los procedimientos de calidad correspondientes. Para mayor detalle del contenido de cada procedimiento de calidad, el lector puede consultar los documentos listados en la bibliografía al final del artículo. Introducción En el ámbito mundial, la problemática de la degradación prematura de componentes de sistemas electrónicos analógicos, las dificultades para adquirir partes de repuesto calificadas y el deseo de lograr altos niveles de disponibilidad y confiabilidad ha motivado a los propietarios de las instalaciones nucleares a reemplazar sus sistemas analógicos actuales por sistemas digitales. Sin embargo, desde el punto de vista de los organismos reguladores estos reemplazos podrían potencialmente conducir a modos de falla y mal funcionamiento que no se consideraron en el diseño inicial o no se 1 Comisión Federal de Electricidad. 103

2 Aplicaciones tecnológicas Actualmente las aplicaciones informáticas están desempeñando un papel muy importante y progresivamente creciente en los procesos de diseño, construcción, puesta en servicio, operación, cierre definitivo y desmantelamiento de las instalaciones nucleares analizaron con el detalle suficiente en los análisis de seguridad de los sistemas involucrados. En general, los sistemas digitales están formados por componentes de hardware (elementos electrónicos, instrumentos, etcétera) y componentes de software (programas de cálculos, modelos, bases de datos, etcétera) que por sus características plantean nuevos retos de garantía de calidad. Entre los modos de falla y mal funcionamiento se incluyen las fallas de modo común que son ocasionas por: a) el uso de software común en canales redundantes, b) el incremento de la sensibilidad a los efectos de la interferencia electromagnética, c) el uso y control inapropiado del equipo de control y modificación de la configuración del hardware y software, y d) la dedicación inapropiada de la electrónica digital comercial. Debido a que el software utilizado en las instalaciones nucleares puede afectar negativamente el comportamiento de las estructuras, sistemas y componentes relacionados con la seguridad e impactar directamente las funciones de seguridad y salvaguardias destinadas a prevenir o mitigar las consecuencias de accidentes nucleares, los organismos reguladores han establecido una serie de requisitos de calidad que se deben cumplir antes de liberar el software para su uso y operación. La American Society of Mechanical Engineers (ASME), el Institute of Electrical and Electronics Engineers (IEEE) y el Electric Power Research Institute (EPRI) han abordado el tema desarrollando normas y guías para garantizar la calidad apropiada de los sistemas de tecnología digital para uso en sistemas de seguridad de centrales nucleares de potencia, es decir, que sean diseñados, fabricados, instalados y probados con normas de calidad, en proporción con la importancia de la función de seguridad que desempeñarán. Actualmente, tanto en México como en todo el mundo, la industria nuclear cuenta con una vasta experiencia en el cumplimiento de la normativa aplicable a componentes de hardware que se emplean en sistemas de seguridad. Sin embargo, la experiencia es aún relativamente poca en cuanto a los componentes de software. Factores normativos que inciden sobre el ciclo de vida del software Existen varios factores interrelacionados que garantizan la calidad, en la Figura 1 se muestran los factores normativos y organismos reguladores que inciden sobre el ciclo de vida del software para instalaciones donde el país de origen del reactor es Estados Unidos de América (EUA). En dicha normativa se incluyen referencias al cumplimiento de normas de la industria como las del IEEE, ASME y EPRI. Por otra parte, debido a las particularidades de cada planta, el cumplimiento de las normas debe estar inmerso dentro del plan de garantía de calidad del software relacionado con la seguridad de la planta. Los factores mencionados serán tratados en mayor detalle en las siguientes secciones. El órgano regulador local y el marco normativo En México la Ley Reglamentaria del artículo 27 constitucional en materia nuclear le confiere a la Comisión Nacional de Seguridad Nuclear y Salvaguardias (CNSNS), órgano desconcentrado dependiente de la Secretaría de Energía, la atribución de vigilar y hacer cumplir la aplicación de las normas de seguridad nu- Figura 1 Factores normativos que inciden en el ciclo de vida del software. 104

3 Boletín IIE, mayo-junio del 2002 clear, de las cuales un subconjunto corresponde a las normas de software. Por ello, la CNSNS como órgano regulador en materia nuclear desempeña una función muy importante en la garantía de calidad del software. En la Figura 2 se exponen los elementos del marco jurídico que sustenta al sistema normativo mexicano. En la parte superior de la figura se puede ver que la raíz del marco jurídico se fundamenta en el artículo 27 constitucional, el cual establece: corresponde también a la Nación el aprovechamiento de los combustibles nucleares para la generación de energía nuclear y la regulación de sus aplicaciones en otros propósitos. La Ley Reglamentaria en Materia Nuclear y el Reglamento Interior de la Secretaría de Energía definen las normas a las que se deben sujetar el empleo de reactores nucleares y las atribuciones del Secretario de Energía y de la CNSNS. De manera gráfica puede observarse cómo las condiciones de la licencia de operación de la Central Nucleoeléctrica Laguna Verde (CNLV) vinculan al sistema normativo del país de origen del reactor (NRC) con las normas del Organismo Internacional de Energía Atómica (OIEA). Figura 2 Sistema normativo mexicano. El órgano regulador de los Estados Unidos de América Es relevante conocer la normativa de los EUA debido a que una de las condiciones de la licencia de operación de la CNLV establece que se debe cumplir con las normas técnicas análogas a las contenidas en los sistemas normativos generados por el país de origen del reactor. Para el caso de la CNLV, los Estados Unidos de América es el país de origen de los reactores nucleares. En los EUA, el organismo encargado de los asuntos reguladores en materia nuclear corresponden a la Nuclear Regulatory Commission (NRC por sus siglas en inglés). Entre las responsabilidades de la NRC se incluye la regulación de reactores comerciales de potencia nuclear, reactores de prueba y reactores de entrenamiento. La NRC cumple con sus responsabilidades a través de un sistema de licenciamiento y actividades reguladoras. Las regulaciones de la NRC se publican en el documento denominado Código de Regulaciones Federales de los EUA, en su título 10 (Energía), que en lo subsecuente se le llamará 10 CFR, que es una abreviatura de Code of Federal Regulations (CFR) Title 10. Los requisitos legales relacionados con instalaciones nucleares están contenidos en el capítulo 50 del 10 CFR (10 CFR Part 50), para el tema que nos concierne son relevantes el Apéndice B Quality Assurance Criteria for Nuclear Power Plants and Fuel Reprocessing Plants y la sección 59 Changes, tests and experiments. El primero establece los criterios básicos de un programa de garantía de calidad y el segundo establece las condiciones para realizar actualizaciones de dispositivos digitales que usan software como elemento básico. La sección 59 del 10 CFR establece que siempre y cuando no existan cambios en la funcionalidad o en las condiciones de la licencia, no es necesaria una revisión por el organismo regulador. Para sistemas que no cumplen con ese criterio o que tienen aplicaciones relacionas con la seguridad de las instalaciones nucleares, se requiere la revisión del diseño por parte del órgano regulador. El Apéndice B, por sí mismo, no es lo suficientemente detallado para usarse en las revisiones de sistemas de software y digitales, por lo que la NRC establece el uso de los estándares IEEE Std y IEEE Std para complementar los criterios de garantía de calidad de dicho apéndice. El Organismo Internacional de Energía Atómica (OIEA) Es importante entender las normas de la OIEA debido a que en la licencia de operación de la CNLV se establece que la CFE deberá continuar cumpliendo con las normas aprobadas por el OIEA en las es- 105

4 Aplicaciones tecnológicas feras de la seguridad nuclear. Por otro lado, el OIEA, organismo autónomo de la Organización de las Naciones Unidas (ONU), sirve como un foro de cooperación científica y tecnológica en materia nuclear entre sus Estados miembros. Parte de su misión consiste en desarrollar normas de seguridad y a partir de ellas promover altos niveles de seguridad en la utilización de la energía nuclear para fines pacíficos. Son miembros del Organismo Internacional de Energía Atómica, entre otros, los Estados Unidos de América y México, a partir de 1957 y 1958, respectivamente. Como Estados miembros, ambos países deben cumplir la normativa del OIEA, la cual se nutre de las experiencias y conocimientos que sus Estados miembros aportan. Por lo general, se observa un desfase en tiempo entre la normativa de la OIEA y la de sus miembros más avanzados en la materia. Para el caso que se ocupa en este artículo, se han incluido las normas de la OIEA debido principalmente a dos razones: la primera es que la normativa de los EUA es más restrictiva y actualizada que la del OIEA, y la segunda es que la normativa de los EUA implícitamente cumple, a la fecha, con la normativa del OIEA. Normas de la industria y guías La normativa de EUA endosa el cumplimiento de normas específicas emitidas por instituciones como el IEEE, ASME y EPRI. Asimismo, recomienda el uso de guías emitidas por diversos organizaciones. En la Figura 3 se muestran las normas industriales más relevantes de garantía de calidad del software y los documentos de la normativa que hacen referencia a ellas. Una de las normas más importantes es la ASME NQA en su parte 2a, subparte 2.7 Quality Assurance Requirements for Computer Software for Nuclear Facility Applications (ASME NQA-2a, 1997), debido a que trata aspectos de ingeniería de software aplicables al desarrollo de sistemas computacionales relacionados con la seguridad. Estructura del plan de garantía de calidad del software Un plan de garantía de calidad del software se basa fundamentalmente en dos tipos de documentos: a) Documentación general de calidad, la cual recoge la filosofía general de calidad de la empresa. Figura 3 Sistema normativo mexicano. b) Documentación asociada con el ciclo de vida de cada una de las aplicaciones de software. La documentación general puede contener los siguientes elementos: Aplicabilidad. Organizaciones responsables de establecer, implantar y verificar la garantía de calidad del software, así como sus funciones. Normativa aplicable, convenios, técnicas o metodologías a utilizar. Planificación, ejecución y seguimiento de auditorias. En relación con la documentación asociada con el ciclo de vida del software, la norma ASME NQA- 2a, 1997 expresa que la documentación mínima requerida durante el ciclo de vida del software es la siguiente: Planificación del proyecto. Especificación de requisitos. Especificación de diseño e implementación. Manuales del usuario. Plan e informes de verificación y validación. Plan e informes de administración de la configuración. La normalización de estos documentos puede ser mediante el desarrollo de instrucciones o procedimientos de aplicabilidad general. 106

5 Boletín IIE, mayo-junio del 2002 Desde hace varios años el IIE ha venido promoviendo e implantado programas de calidad basados en la norma ISO 9001 y en el Apéndice B del 10 CFR 50. Comentarios finales En el ámbito mundial se acepta de manera generalizada que las aplicaciones informáticas desempeñan un papel cada vez más importante y creciente en los diferentes procesos que tienen lugar en las instalaciones nucleares. Dicho crecimiento se debe, por una parte, a la sustitución de equipo analógico por digital y, por otra, al desarrollo de sistemas informáticos de apoyo a la industria nuclear. El software puede clasificarse como relacionado ó no relacionado con la seguridad de las instalaciones nucleares. Debido a la misión crítica del software relacionado con la seguridad, el organismo regulador debe revisarlo. Algunos ejemplos de este tipo de software son los siguientes: a) diseño de recargas de combustible nuclear, b) cálculos nucleares y termohidráulicos, c) cálculos dosimétricos, d) toma de acciones en situaciones anormales de operación y accidentes, y e) simuladores de entrenamiento para la operación normal y en emergencias. Desde hace varios años el IIE ha venido promoviendo e implantado programas de calidad basados en la norma ISO 9001 y en el Apéndice B del 10 CFR 50. Sin embargo, este tipo de programas no tiene la especificidad necesaria para ser usado en la garantía de calidad del software relacionado con la seguridad, haciendo necesario el desarrollo de procedimientos de calidad para el desarrollo y modificación de este tipo de software, que permitan garantizar que cumpla con la normativa nacional e internacional. Los procedimientos de calidad deben ser personalizados para cada planta y su desarrollo no es trivial, debido a que si se exceden en rigurosidad, el desarrollo del software puede verse obstaculizado y, por otra parte, si tienen poco rigor o son incompletos es posible que no cumplan con la normativa en la materia. Es recomendable, en la medida de lo posible, obtener experiencia operacional de la implementación de este tipo de procedimientos en otras plantas, así como observar guías para su desarrollo con la finalidad de aumentar las probabilidades de éxito en su aplicación. Referencias 10 CFR Part 50 Domestic licensing of production and utilization facilities, EUA. Artículo 27 Constitucional, Poder Legislativo Federal de los Estados Unidos Mexicanos. ASME NQA-2a, 1997, Subpart 2.7 Quality assurance requirements for computer software for nuclear facility applications. IEEE Std IEEE standard criteria for safety systems for nuclear power generating stations. IEEE Std IEEE standard for digital computers in safety systems of nuclear power generating stations. Ley Reglamentaria del Artículo 27 constitucional en materia nuclear, Poder Legislativo Federal de los Estados Unidos Mexicanos. Licencia de Operación de la Central Laguna Verde, Unidad 1. Reglamento Interior de la Secretaría de Energía, Poder Ejecutivo Federal de los Estados Unidos Mexicanos. Bibliografía EPRI TR Guideline on licensing digital upgrades, NUMARC/EPRI Generic Letter Use of NUMARC/EPRI report TR , U.S. Nuclear Regulatory Commission, IEEE Std , , , , , , , , , , , , , , NUREG-0800, Appendix 7.0-A Review process for digital instrumentation and control systems, Chapter 7, U.S. Nuclear Regulatory Commission. NUREG-0800, BTP-14 Guidance on software reviews for digital computer-based instrumentation and control systems, Chapter 7, U.S. Nuclear Regulatory Commission. Regulatory Guide , , , , , , , , U.S. Nuclear Regulatory Commission. JOAQUÍN PÉREZ ORTEGA Ingeniero Industrial en Producción (1982) por el Instituto Tecnológico Regional de León, maestro en Ciencias con especialidad en Sistemas Computacionales (1988) y doctor en Ciencias Computacionales (1999) por el Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Morelos. En 1985 ingresó al IIE, en donde es investigador de la Gerencia de Sistemas Informáticos. Se especializa en ingeniería de software y bases de datos distribuidas y centralizadas. Ha publicado más de cincuenta artículos en su área de especialidad en foros internacionales y nacionales. Ha sido catedrático del Centro Nacional de Investigación y Desarrollo Tecnológico y del ITESM Campus Morelos. jperez@iie.org.mx 107

6 Aplicaciones tecnológicas GERARDO DE LA CRUZ FERNÁNDEZ Ingeniero industrial mecánico en térmica (1982) por el Instituto Tecnológico de Puebla y maestro en Ingeniería Nuclear (1983) por la Escuela Superior de Física y Matemáticas del Instituto Politécnico Nacional (IPN). En 1986 ingresó al IIE, al área de tecnología de la seguridad de la Gerencia de Energía Nuclear. Se especializa en sistemas de ayuda a operadores para la operación segura de las instalaciones nucleares. gdlacruz@iie.org.mx ARTURO RAMÍREZ GARCÍA Licenciado Ciencias Atmosféricas (1981) por la Universidad Veracruzana y maestro en Sistemas Avanzados de Cómputo y su arquitectura (1994) por el Laboratorio Nacional de Informática Avanzada. En 1981 ingresó a la Comisión Federal de Electricidad, en donde actualmente trabaja en la Subgerencia de Ingeniería de la Central Nucleoeléctrica Laguna Verde. Se ha especializado en mantenimiento de software y control de la configuración de los sistemas computacionales usados en la CNLV. aramirez@cfe.gob.mx 108