(1645) Sistemas Instrumentados de Seguridad (SIS)

Anuncio
VIII CAIQ2015 y 3 JASP
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE
SEGURIDAD DE PROCESOS EN INSTALACIONES NUEVAS
Guillermo Sosa, Martin Krenek
TECNA Estudios y Proyectos de Ingeniería
(C1107CLA) Capital Federal – Argentina
TE: (+5411) 4347-9042
www.tecna.com
1
Resumen
La correcta interpretación de las normativas existentes en materia de seguridad de
procesos y los requerimientos de los clientes, asociados a las tecnologías disponible en
el mercado, hacen que las primeras etapas de un proyecto sean críticas para el éxito del
mismo. Esta interpretación junto con los requisitos del cliente determina el alcance del
proyecto, el cual define, entre otras cosas, la tecnología a implementar.
Para abordar el caso de estudio que les presentaremos, en primer lugar, se tratarán
las principales diferencias entre un Sistema Instrumentado de Seguridad (SIS), un
Sistema Básico de Control de Procesos (BPCS) y un sistema de detección y lucha contra
incendios. Se explicará la diferencia entre el concepto de confiabilidad (nivel SIL) y el
de disponibilidad de un SIS y cómo impactan y determinan las funciones
instrumentadas de seguridad (SIF) que componen un SIS.
Luego, se describirá brevemente las áreas de procesos involucradas en nuestra
planta objeto de estudio, enfatizando las consideraciones y problemáticas al momento
de realizar el diseño del SIS y su conectividad con el resto de los sistemas.
Y para finalizar, se focalizará en los aspectos básicos y esenciales para la selección
de un Sistema de Seguridad (SS) considerando el tamaño de las instalaciones y cómo es
posible integrar varios sistemas, ya sean de Control y/o de Seguridad, utilizando varios
protocolos de comunicaciones (genérico o propietario) con distintos tipos de redes y que
rol cumple la Ciberseguridad en el diseño de la red.
Palabras clave: SIS, SIL, SIF, FGS, SS, disponibilidad, seguridad
2
Introducción
El objetivo principal es exponer los aspectos primordiales a considerar en el diseño
de un SIS, considerando el tamaño de las instalaciones objeto de estudio, la vinculación
entre los diferentes sistemas de la planta, los requisitos del cliente y la variedad de
tecnologías disponibles en el mercado.
Basándonos en nuestra experiencia, habiendo interactuado con diferentes
tecnologías y participado en diferentes soluciones para múltiples clientes en sectores de
la industria como los hidrocarburos y la energía nuclear, intentaremos transmitir los
aspectos más relevantes a la hora del diseño de un SIS, su integración con otros sistemas
dentro y fuera de la planta, y las consideraciones fundamentales de la implementación
Página 1 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
de la Ciberseguridad para proteger la integridad de las personas, las instalaciones y los
datos.
3
3.1
Desarrollo
Diferentes Sistemas de Control
A continuación se definen algunos conceptos básicos para los sistemas de control y
seguridad:
3.1.1 Sistema básico de control de proceso (BPCS)
Es un sistema que responde a las señales de entrada de un proceso, a sus equipos
asociados, a otros sistemas programables y/o operadores de planta generando salidas
que se ajustan continuamente con el fin de controlar el proceso y operar la planta en
forma deseada, pero no realiza ninguna función instrumentada de seguridad.
Actualmente el sistema más común implementado es el sistema de control distribuido
(DCS).
3.1.2 Sistema de Seguridad (SS)
Un sistema de seguridad es una composición de sistemas y equipos que realizan
tareas de seguridad tanto en materia de prevención como de mitigación. Pueden ser de
accionar activo o pasivo, trabajando sobre la frecuencia de eventos peligrosos y/o sobre
la consecuencia del evento.
Dentro de estos sistemas y equipos encontramos a los Sistemas Instrumentados de
Seguridad (SIS), los cuales se suelen renombrar conforme a su uso o aplicación como
ESD (Emergency ShutDown), ESS (Emergency Shutdown System), FGS (Fire and Gas
System) o F&G (Fire and Gas), etc.
3.1.3 Central de detección y lucha contra incendio
La central de lucha contra incendio es un equipo que contiene un controlador
electrónico programable con manejo de entradas y salidas digitales y analógicas cuyas
función principal es actuar sobre sistemas de aviso sonoros y visuales ante una
detección de humo y/o calor, o bien, por la acción sobre un pulsador en forma manual
de alguna persona. Este equipo es parte del sistema de seguridad pero no cumple
funciones de prevención sino de mitigación, aportando a los sistemas de evacuación en
planta.
3.2
Sistemas instrumentados de seguridad (SIS)
3.2.1 Riesgo y Eventos Peligrosos
El riesgo en la industria existe siempre y ha crecido a lo largo del tiempo debido al
cambio de pequeñas operaciones (procesos simples) a grandes operaciones (procesos
complejos con varios trenes de producción).
Página 2 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
La definición utilizada de Riesgo (R) en la industria de los sistemas de seguridad
define a éste como el producto de la probabilidad de la ocurrencia (P) y la severidad de
la consecuencia (C) de un evento peligroso. Entonces, ¿Qué es el Peligro y que se
considera un Evento Peligroso?
Existen varias definiciones de peligro; las normas IEC 61508/61511 lo definen
como la “fuente potencial de producir daño”. Un evento peligroso ocurre cuando el
daño potencial se transforma en real. Generalmente, un evento peligroso está asociado a
un escenario peligroso.
Como ejemplo podemos citar un recipiente que contiene algún agente corrosivo
(peligro), y que al contacto con la piel humana produce irritación de la misma (riesgo).
Si dicho recipiente se encuentra aislado, en un lugar donde no haya presencia de
personas, el peligro existe pero no produce riesgo, por lo tanto no hay evento ni
escenario peligroso. Por el contrario, la presencia de una persona como mínimo en el
lugar, transforma a ese agente corrosivo en una fuente real de daño y existe riesgo de
que la persona pueda lastimarse, convirtiéndose la situación en un escenario peligroso.
Lo primero que se debe hacer es identificar los peligros y si éstos pueden o no
producir eventos peligrosos. Cada evento peligroso tendrá un riesgo asociado.
Al instalar una planta nueva, el primer gran trabajo es identificar los eventos
peligrosos, definir el riesgo y catalogarlo.
Existen muchas técnicas de identificación y análisis de riesgos entre las cuales
podemos citar al HAZOP (HAZard and OPerability analysis), FMEA (Failures Modes
and Effects Analisys), FTA (Fault Tree Analysis), LOPA (Layer Of Protection
Analysis), entre otras.
Luego de la identificación y análisis de riesgos, si dichos riesgos se consideran no
tolerables será necesario realizar técnicas o procesos para reducir el riesgo.
En la práctica existen métodos activos, que trabajan tanto en la Consecuencia como
en la Frecuencia del Evento, técnicas pasivas que modifican solamente la consecuencia
del evento y aparecen los Sistemas Instrumentados de Seguridad (SIS) que trabajan a
nivel de la frecuencia de un evento peligroso.
A cada evento peligroso (que merezca reducir su riesgo) se le asociará una “función
instrumentada de seguridad” (SIF), las cuales en conjunto conformarán el SIS.
Un sistema instrumentado de seguridad (SIS: Safety Instrumented System) es un
sistema independiente compuesto por sensor/es, “logic solvers” y elemento/s final/es, y
sistemas de soporte, que realiza funciones específicas para alcanzar o mantener el
estado seguro (En inglés safety, NO security). Ejemplos: HIPPS (High Integrity
Pressure Protection System), BMS (Burner Management System), PLC de seguridad +
Transmisores + SDV (shutdown valve).
Página 3 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Una función instrumentada de seguridad (SIF: Safety Instrumented Function) es lo
que usualmente llamamos “un lazo de seguridad”. Cada SIF describe una función de
seguridad y está asociada a un evento peligroso al cual se debe reducir su riesgo al
punto de que sea tolerable o residual.
Un ejemplo de una SIF sería, si el “el transmisor de temperatura TT-104 supera los
65 °C, cerrar la válvula SDV-102 en un tiempo de 4 segundos con un nivel de
confiabilidad SIL2”.
Un SIS es tomado como una capa de protección independiente que cumple la
función de prevenir el evento peligroso. Junto con otras capas de protección, como ser
el diseño de planta y la intervención del operador, conforman la etapa de prevención de
una planta.
3.2.2 Confiabilidad y Disponibilidad
La confiabilidad o integridad de cada SIF es medida con el nivel de SIL que se le
asocia a esa función. En un SIS pueden existir varias funciones de seguridad y todas
ellas pueden o no coincidir en su nivel de SIL.
La definición según la norma IEC 61508/61511 define al nivel de SIL (Safety
Integrity Level) como un nivel discreto (de 1 a 4) para especificar los requerimientos
integrales de seguridad de una función instrumentada de seguridad (SIF) a ser
implementada en un sistema instrumentado de seguridad (SIS).
La integridad de seguridad consiste de dos elementos:
 Integridad de seguridad del hardware: La misma se puede calcular con un
nivel de certeza razonable en función del hardware empleado.
 Integridad de seguridad sistemática: Es difícil de calcular ya que puede ser
causada por error de diseño de hardware o error de software. La norma IEC
61508 indica los requisitos de diseño, técnicas, medidas, etc. para cada nivel
de SIL de manera de mantenerla acotada.
El SIL es la forma en que medimos el desempeño de las funciones de seguridad
ejecutadas por nuestro sistema de seguridad. El nivel de SIL debe ser considerado por:
 los “dueños de los procesos” al momento de establecer cuales funciones de
seguridad se requieren y con qué nivel de SIL,
 las empresas de ingeniería, desarrolladores de productos e integradores de
sistemas y equipos de seguridad, los cuales deberán saber cómo construir
sus dispositivos para que cumplan con el SIL requerido y,
 los operadores del proceso, que tendrán que saber cómo operar, mantener y
reparar las funciones de seguridad y sistemas para mantener los niveles de
SIL identificados.
El nivel de SIL tiene las siguientes propiedades:
 Se aplica a la función de seguridad completa.
Página 4 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP




Existen requerimientos Técnicos y No Técnicos para cada nivel de SIL
Uno de los más famosos requerimientos del SIL es la Probabilidad de Falla
en Demanda (PFD). Existen alrededor de 1000 requerimientos de SIL
(Técnicos y No Técnicos).
Existen requerimientos de SIL tanto para el Hardware como para el
Software que se implementa para ejecutar la SIF.
Un SIL más alto implica requerimientos más estrictos y que la función de
seguridad falle menos y, por lo tanto, tenga mayor disponibilidad.
Es importante diferenciar los conceptos de Disponibilidad de Seguridad y
Disponibilidad de Proceso (Availability).
La probabilidad de falla en demanda (PFD) es una medida de la disponibilidad de la
SIF (Safety Availability = 1-PFD) y No de la disponibilidad del proceso. La PFD nos
ayuda a saber qué tan probable es que la función de seguridad esté disponible, o mejor,
no esté disponible cuando la necesitamos. Desde la perspectiva del usuario final y desde
el punto de vista de la seguridad, se trata de una medida que se relaciona directamente
con la reducción de riesgo alcanzado al ejecutar el proceso. Sin embargo, una función
de seguridad no sirve de nada cuando causa demasiados disparos espurios (no
necesarios), es decir, paradas de procesos no deseadas cuando el proceso estaba
funcionando normalmente. Estos disparos innecesarios son causados por fallas internas
del o los dispositivos de seguridad debido a fallas aleatorias del hardware, fallas de
causa común o fallas sistemáticas.
Las funciones de seguridad que causan disparos espurios son indeseadas por dos
razones. En primer lugar, los aspectos más peligrosos de la ejecución de un proceso son
durante el inicio del proceso y cuando éste es detenido. Especialmente las paradas de
proceso no deseadas son críticas ya que no son paradas controladas. Una función de
seguridad que causa paradas de procesos no deseadas está provocando más problemas
de seguridad que los que resuelve. Así que debemos evitar paradas innecesarias tanto
como sea posible. En segundo lugar, una parada de planta, o parte de ella, provoca
pérdidas de producción, y por lo tanto, pérdidas económicas para la empresa.
Para un usuario final es importante tener SIF que ofrezcan altos niveles de
disponibilidad desde el aspecto de la seguridad, como así también del proceso.
Lamentablemente la disponibilidad del proceso no es tratada en las normas de
seguridad funcionales existentes como la IEC 61508 e IEC 61511. Estas normas definen
el nivel SIL pero no definen los niveles de rendimiento para los disparos espurios.
Entre las normas más utilizadas en materia de sistemas instrumentados de seguridad
a nivel mundial se encuentran:
 ISA SP-91: “Identification of Emergency Shutdown Systems and
Controls That are Critical to Maintaining Safety in Process Industry”
 ANSI/ISA S84.01-1996 (2004): “Application of Safety Instrumented
Systems for the Process Industries”.
Página 5 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
 IEC 62061: “Safety of Machinery – Functional safety of electrical,
electronic and programmable control systems for machinery”
 IEC 61508: “Functional Safety: Related Systems”
 IEC 61511: “Functional Safety Instrumented Systems for the Process
Industry Sector”
3.2.3 Ciberseguridad
Como tema complementario al SIS y que cada vez toma mayor relevancia en la
implementación de los sistemas de seguridad y control de procesos es el de la
Ciberseguridad.
El hecho de que muchas de las plantas industriales formen parte de la
infraestructura crítica de una región o país, hacen que los hackers hayan tomado un alto
interés en vulnerar a estos sistemas y provocar daños.
Los sistemas de control en la actualidad son sistemas basados en computadoras que
se utilizan para controlar y supervisar procesos sensibles y funciones físicas. En este
caso, el término sistema de control se refiere en forma genérica a hardware, firmware,
comunicaciones y software que se encargan de supervisar y controlar las funciones
vitales de los sistemas físicos.
En este contexto, los ataques a la CiberSeguridad Industrial (ICS) se define como la
penetración en los Sistemas de Control (IACS) por cualquier vía de comunicación y/o
acceso de forma tal de manipular los procesos controlados con la intención de causar
daño o de interrumpir las operaciones de un proceso. Los ataques contra los sistemas de
control y seguridad pueden resultar en la interrupción de servicios, ocasionar daños
físicos, pérdida de vidas, perjuicios económicos severos y/o efectos en cascada
causando la interrupción de otros servicios.
La Ciberseguridad aplica a todos los niveles de un proceso:
 Nivel 0 (Capa de Campo)
 Nivel 1 (Capa de Control)
 Nivel 2 (Capa de Supervisión)
 Nivel 3 (Capa de Gestión de Procesos)
En cuanto a las normas que aplican actualmente a los temas de Ciberseguridad
podemos citar:
 IEC 62443: “Industrial Network and System Security”
 ISA 99: “Industrial Automation and Control Systems (IACS) Security”
 SP800-82: “Guide to Industrial Control Systems (ICS) Security”
 API Standard 1164: “SCADA Security”
Los IACS operan hoy en día equipamiento de plantas industriales y procesos
críticos. Los ataques a estos sistemas pueden provocar:
 Muertes, Peligros y enfermedades.
Página 6 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP




Daños ambientales severos y/o irreversibles.
Pérdidas de producción, interrupción de servicios.
Fuera de especificación y productos peligrosos.
Pérdida de secretos industriales.
La seguridad a los Sistemas Industriales consiste en prevenir que los ataques -ya sea
que sean intencionales o no- interfieran en la adecuada operación de la planta y de sus
procesos.
Los diseñadores e integradores de los sistemas de seguridad deben conocer cada vez
más los peligros que pueden surgir de estos tipos de ataques y evitar los accesos, ya
sean, físicos y/o lógicos a los sistemas de control y seguridad en el mayor grado que sea
posible. Por todo esto, es necesario considerar en nuestros diseños de planta la opción
de incorporar de un nivel 4 o capa Enterprise o Corporativa, la cual tendrá relación
directa con los sistemas de gestión de procesos.
Existen diferencias significativas entre los Sistemas de IT Corporativos y los
Sistemas Industriales, aun siendo infraestructuras críticas. Los problemas generalmente
ocurren porque las premisas adoptadas de IT no son necesariamente válidas en el
ámbito industrial. La Ciberseguridad industrial debe resolver las cuestiones relacionadas
con la Seguridad, que no es normalmente tenida en cuenta en los Sistemas Corporativos.
Podemos mencionar cinco puntos a tener en cuenta en cuestiones de Ciberseguridad,
considerando las diferentes perspectivas de los Sistemas de IT y Sistema de Control
(IACS):
a) Prioridad
IT
IACS
Mayor Prioridad
Disponibilidad
Integridad
Confidencialidad
Confidencialidad
Integridad
Disponibilidad
Menor Prioridad
b) Tiempo Real
Redes y Sistemas de IT
No son en tiempo real
La respuesta debe ser confiable
Las demoras elevadas y la
dispersión es normalmente
aceptada
Página 7 de 16
Redes y Sistemas de Control
Tiempo real
La respuesta es crítica en el tiempo
Las demoras son una verdadera
preocupación y problema
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
c) Gestión de Cambios
Redes y Sistemas de IT
Operación programada
La fallas ocasionales son aceptadas
Productos Beta en producción son
comúnmente aceptados
Las modificaciones son posibles de
realizar con poca burocracia
Redes y Sistemas de Control
Operación continua
Las fallas son inaceptables
Los productos Beta son aceptados en
ambientes no productivos.
Se requiere una certificación formal
luego de cualquier modificación
d) Aplicaciones
Redes y Sistemas de IT
Sistemas operativos y aplicaciones
usualmente de mercado
Ya hay una gran cantidad de
soluciones a la Seguridad de IT
Redes y Sistemas de Control
Normalmente se encuentran
Sistemas Operativos y Aplicaciones
inusuales
Muchas de las soluciones de
Seguridad de IT no funcionan
correctamente. La tolerancia a fallas
es esencial
e) Gestión del Riesgo
Redes y Sistemas de IT
Redes y Sistemas de Control
La integridad de datos es
Seguridad Humana es primordial
primordial
El impacto del Riesgo es la pérdida El impacto del riesgo es la pérdida
de datos y daños al negocio
de Vidas Humanas, Equipamiento,
Producción y/o Productos
La recuperación se realiza reLa tolerancia a fallas es esencial
iniciando el sistema
En conclusión podemos decir que si bien la seguridad de los Sistemas de IT ya es un
problema atendido en todas las compañías, la aplicación en el ambiente industrial es un
desafío diferente debido a las diferentes prioridades y enfoques que se manejan en cada
una de las áreas.
La implementación de soluciones estándares de Sistemas de IT en ambientes
industriales (sin ningún tipo de filtro) podrían causar más daño que beneficios y por lo
tanto las soluciones a implementar deben considerar soluciones específicamente
pensadas para este tipo de ambientes.
Página 8 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
4
Caso de estudio – Área a instrumentar o controlar
El proceso que tomaremos como caso de estudio consiste en una planta de
extracción, tratamiento, exportación y venta de gas y condensado (crudo). La misma se
compone de una serie de pozos los cuales abastecen a los diferentes trenes de
tratamiento ubicados en la planta.
El fluido que llega a la planta desde cada uno de los pozos de extracción es un poliproducto, compuesto por crudo, gas, agua, sales y otros productos químicos, que a lo
largo del proceso, previo a su exportación, es separado y acondicionado adecuadamente
según los estándares y requerimientos de producción que solicita el cliente final.
El producto final Gas, es comprimido y enviado a su punto de venta que se
encuentra a 100 Km de la planta principal.
El producto Condensado (crudo) es bombeado a su punto de venta a 20 Km de la
planta.
Fig. 1. Overview general de la planta objeto de estudio
La planta cuenta con un Manifold de entrada, el cual, mediante su correcta
operación, distribuye el producto entrante al separador de ensayo, o bien a los trenes de
tratamiento y producción.
El proceso cuenta con un sistema propio de extracción e inyección de agua ubicado
a 10 Km de la planta. Dicho sistema tiene su propio sistema de control y seguridad que
se vincula mediante Fibra Óptica (FO) con la planta principal.
Página 9 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Dentro del paquete de utilidades y servicios, encontramos Compresores de Aire,
Compresores de Propano, Compresores y Bombas de Exportación, Calentadores
eléctricos, Hornos de Hot Oil, Unidades de Nitrógeno, Centrales de Incendio, Sistema
de tratamiento de Aire acondicionado (HVAC), Unidades de potencia hidráulica (HPU),
Generadores Eléctricos a Gas, Generador de Emergencia (Diésel), entre los principales
equipos. Todos estos son vinculados con la planta mediante FO y cableado de cobre en
2 hilos, mediante protocoles industriales como Modbus TCP/IP y Modbus RTU, bajo
normas Ethernet y RS-485, respectivamente.
4.1
Consideraciones del diseño o requisitos del cliente
El sistema de control de procesos (PCS) mediante un sistema de control distribuido
(DCS) es el encargado de atender todas las funciones de control de las instalaciones,
como ser, lazos PID, lógicas de arranque y paro automático de bombas y equipos,
cálculos de compensación de caudal, integración de caudales (caudal acumulado), etc.
Este sistema es el encargado de concentrar toda la información del resto de los sistemas
(ESD, FGS, PSS) y equipos paquetes (compresores, generadores eléctricos,
calentadores, hornos, HVAC, HIPS, etc.) y presentar la misma en las estaciones de
operación ubicadas en la sala de control principal. Las comunicaciones del DCS se
realizan mediante enlaces redundantes entre todos los dispositivos que lo conforman, y
entre éste y los equipos críticos (ESD, FGS, PSS y HIPS).
El sistema de seguridad de Fuego y Gas (FGS) es el encargado de monitorear todos
los detectores de gas y fuego de las instalaciones, y ante una detección, realizar el
arranque de las bombas de lucha contra incendio y la actuación de las válvulas de
diluvio del área correspondiente. Este sistema tiene un diseño “Energize To Trip”, es
decir, que los elementos de entrada y salida deben energizarse para realizar la función
de seguridad. En estos casos, es necesario contar con módulos de entrada y salida que
tengan monitoreo de línea de modo que el sistema alerte a los operadores en caso que
exista una falla que no permita actuar la seguridad.
Este sistema debe ser completamente redundante en cuanto a alimentaciones,
procesadores, comunicaciones, módulos de entrada y salida, alcanzando una
disponibilidad mínima de 99,99% y con un nivel de confiabilidad SIL 3.
El sistema de seguridad de emergencia (ESD) es el encargado de llevar a las
instalaciones a un estado seguro en caso de emergencia, protegiendo así el personal, el
medio ambiente y los activos de la empresa. Realiza las funciones de seguridad
principales de paro de emergencia y despresurización de las instalaciones, actuando
sobre unidades de proceso principales (Nivel 1) y subunidades (Nivel 2). Este sistema
tiene un diseño “De-energize To Trip”, es decir, que los elementos de entrada y salida
deben desenergizarse para realizar la función de seguridad.
Este sistema debe ser completamente redundante en cuanto a alimentaciones,
procesadores, comunicaciones, módulos de entrada y salida, alcanzando una
disponibilidad mínima de 99,99% y con un nivel de confiabilidad SIL 3.
Página 10 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
El sistema de seguridad de procesos (PSS) forma parte de los sistemas de seguridad
de la instalación. El mismo se encarga de llevar a cabo automáticamente la parada
segura de unidades o equipos (Nivel 3). Este sistema debe ser redundante en cuanto a
alimentaciones, procesadores y comunicaciones, no necesariamente en los módulos de
entradas y salidas, alcanzando una disponibilidad mínima de 99,97% con un nivel de
confiabilidad SIL 2.
En el caso de las locaciones remotas (pozos, gasoducto y oleoducto de exportación)
existen funciones de control, de paro de emergencia, de gas y fuego y de seguridad de
proceso. Dado que las mismas son instalaciones pequeñas, es decir que tienen una
cantidad de entradas y salidas notablemente inferior a la planta, un único sistema SIS
puede cumplir con todas las funciones, con la particularidad de que los chasis y
módulos de entrada y salida deben ser dedicados para cada sistema. Este sistema
integrado debe alcanzar una disponibilidad mínima de 99,99% y debe ser SIL 2.
Las locaciones remotas tienen dos modos de operación: uno remoto desde la sala de
control principal y otro local a través de un panel de operación (HMI). Desde este
último, el Operador puede realizar el monitoreo y control en forma totalmente
independiente de la sala de control.
Para atender los requerimientos de Ciberseguridad exigidos por la compañía, se
instalaron Firewalls para interconectar equipos de terceros con los servidores Modbus
TCP y Modbus RTU, y también para conectar las redes del cliente con los servidores de
datos e históricos ubicados en la planta. Además, todas las oficinas y sectores de la
planta cuentan con acceso restringido a través de sistemas de detección biométricos y
magnéticos, complementado con un constante monitoreo mediante cámaras de
seguridad de última generación conectadas a los diferentes puestos de control.
4.2
Implementación del caso/soluciones adoptadas
En función de los requerimientos del cliente y del diseño básico de las instalaciones
se realiza la especificación técnica del sistema de control y seguridad indicando además
requerimientos de diseño propios. La planta cuenta con una cantidad de
aproximadamente 2500 puntos de entrada/salida cableados y más de 2000 puntos
provenientes por comunicaciones. Se define así la arquitectura del sistema en la que se
expresa gráficamente lo expuesto en la especificación.
Página 11 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Fig. 2. Arquitectura del sistema de control y seguridad de la planta objeto de estudio
En el proyecto se definió que el sistema de ESD y FGS de la planta estén integrados
en un único SIS controlado por un único PLC. La consideración particular fue que los
chasis y módulos de entradas y salidas estén divididos de acuerdo a su sistema asociado.
Como requerimiento extra, en el caso de implementar sistema de votaciones, los
instrumentos asociados debían ser segregados en diferentes tarjetas con el fin de evitar
que la falla de una tarjeta produjera la pérdida completa de la función de seguridad.
Se decidió integrar ambos sistemas debido a que los mismos tienen una gran
cantidad de funciones de seguridad de la que ambos son parte. Esto disminuyó en gran
medida la cantidad de entradas y salidas que hubieran sido necesarias para realizar estas
funciones de seguridad entre sistemas independientes reduciendo, de esta forma, la
complejidad del sistema y sus costos asociados.
Debido a requerimientos del cliente, el sistema PSS de la planta no se pudo integrar
junto al ESD/FGS, por lo que resultó en un sistema independiente, aunque vinculado a
éste último mediante un protocolo propietario seguro con certificado SIL3.
En pozos, gasoducto y oleoducto de exportación se utilizó un único controlador
para integrar las funciones de ESD/FGS/PSS/PCS. La exigencia por parte del cliente fue
que los módulos de entrada/salida estén segregados por sistema. Integrar todas las
funciones en un solo PLC disminuyó en gran medida la cantidad de entradas y salidas
que hubieran sido necesarias para realizar estas funciones de seguridad entre sistemas
independientes, reduciendo de esta forma la complejidad del sistema y bajando costos.
Página 12 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Se determinó que para las comunicaciones con equipos paquetes se utilizara
protocolo Modbus (TCP o RTU según el equipo) de modo de estandarizar un único
protocolo de campo. Se eligió Modbus debido a que es un protocolo de comunicaciones
abierto y relativamente sencillo de implementar, existen muchas marcas de equipos de
sistemas de control y seguridad en el mercado que lo utilizan como protocolo estándar
de comunicación y es fácil de diagnosticar en caso de falla o mal funcionamiento.
En función de la ingeniería de detalle del proyecto (P&ID, matriz causa-efecto,
estudio HAZOP y LOPA) se dimensionó cada uno de los sistemas y se generó la lista de
señales. Se confeccionó una especificación de requerimientos de seguridad en la que se
detallan todas las funciones instrumentadas de seguridad (SIF). En base a esto y a los
requerimientos del cliente se determinó el nivel SIL de cada sistema.



ESD/FGS: SIL 3
PSS: SIL 2
Sistemas integrados de pozos, gasoducto y oleoducto de exportación: SIL 3
En este último, si bien los requerimientos iniciales del cliente señalaban que fuera
SIL 2, por los resultados obtenidos del Estudio HAZOP se determinó que debían ser
SIL 3.
Definida la especificación técnica del sistema de control y seguridad, la arquitectura
del sistema y la lista de señales, se seleccionaron la marca y modelo de cada sistema que
mejor se adecuaba a los requerimientos. Para evitar problemas de compatibilidad y para
que la integración de los sistemas fuese más sencilla, se decidió que la marca de todos
los sistemas fuera la misma. El mismo concepto se aplicó eligiendo los modelos de los
PLC para los SIS.
Determinada la marca y modelo de los sistemas se actualizan todos los documentos
de modo que especifiquen concretamente al sistema en cuestión. Si bien existen puntos
en común entre los sistemas de distintas marcas, tienen particularidades que los definen
y que deben ser debidamente documentadas.
Desde el punto de vista de la Ciberseguridad, el primer paso fue realizar un análisis
de riesgo cibernético en conjunto con el cliente, del cual se determinó, entre otras cosas,
que era necesario instalar firewall entre la red de control y la red de campo de modo de
impedir que equipos paquetes generen tráfico de datos indebido hacia el sistema de
control de la planta impidiendo su normal funcionamiento. Del mismo modo, se
determinó que deberían de ser implementados las siguientes medidas asociadas a la
seguridad física:



Sistema de Control de Acceso (ACS)
CCTV
Requerimientos globales del proyecto donde se obliga a la utilización de
bloqueo de puertas con cerradura para todos los gabinetes de infraestructura
crítica de la planta.
Página 13 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
También se tomaron medidas en los aspectos lógicos de la seguridad informática
referidos al acceso a los equipos y programas mediante usuario y contraseña
personalizada y el hecho de mantener actualizados los antivirus y sistemas operativos
con las últimas revisiones disponibles.
4.3
Problemáticas encontradas durante la implementación

La ingeniería básica determinaba que las instalaciones de pozos y puntos de
venta deberían tener un panel de operación local para realizar funciones
básicas de operación del sitio. Dicho panel debería ser totalmente
independiente del PCS y, a su vez, comunicarse en forma directa con el
controlador local. En base a estos requerimientos se seleccionó un panel de
operación local del mismo fabricante de los sistemas implementados.
Varios meses después de adquirido los sistemas de control y seguridad
objeto de este estudio, comenzó a participar en la revisión del proyecto el
grupo de Operaciones y Mantenimiento responsable del manejo de la planta.
Este equipo requirió que estas locaciones tuvieran un modo de operación
sincronizado con el sistema de control central. Debido a que la tecnología
seleccionada anteriormente no permitía cumplir con este requerimiento en
forma estándar, se tuvieron que implementar soluciones alternativas por
medio de programación de alta complejidad.
El nivel de complejidad de la solución adoptada incrementó la necesidad de
capacitación al personal de mantenimiento y la cantidad de documentación
generada como parte de la ingeniería de detalle, lo cual no fue previsto al
inicio del proyecto, impactando en costos y cumplimiento de plazos del
programa de trabajo.

El alto volumen de información a obtener de cada instrumento de campo
solicitado en los estándares del cliente requirió una alta complejidad a la
hora de la selección del equipamiento a utilizar y de la implementación de la
solución.
Varias soluciones estándares del mercado no pudieron cumplir con el alto
nivel de requerimientos y no pudieron ser tenidas en cuenta para este
proyecto.

Uno de los principales requerimientos del cliente fue la posibilidad de que
los sistemas pudieran ser mantenidos y ampliados en el futuro con la planta
en servicio. Del mismo modo el cliente solicitó que los sistemas tuvieran un
período de obsolescencia no inferior a 15 años desde el inicio de la puesta
en marcha de la planta.
Este requerimiento disminuyó dramáticamente las alternativas disponibles
en el mercado e hizo que la selección de la solución tecnológica adecuada
fuera muy compleja por la gran cantidad de requisitos simultáneos.
Página 14 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Esto se consiguió con un fuerte apoyo de los proveedores preseleccionados,
donde se combinó las posibilidades de cada una de las tecnologías ofrecidas
y los requerimientos del cliente.
5
Conclusiones
A lo largo del desarrollo e implementación de las soluciones y medidas adoptadas
durante el proyecto nos encontramos con diferentes problemáticas tanto en los aspectos
técnicos como no técnicos. Luego de un análisis detallado de cada situación podemos
determinar los siguientes aspectos a considerar en futuros proyectos:





Página 15 de 16
El éxito del proyecto estuvo asociado a comprender y definir correctamente
las necesidades del cliente. Las exigencias de sus normas y procedimientos
impactaron fuertemente en las soluciones tomadas.
Derivado de este punto se pudo hacer una adecuada selección de la
tecnología a instalar, la cual tuvo que ser abordada al inicio del proyecto.
Este hecho no fue para nada menor debido a la imposibilidad de cambiar de
tecnología una vez seleccionada y adquirida la misma.
Cabe destacar que estos requerimientos fueron mucho mayores que los
estándares para este tipo de planta para otros clientes
También fue muy importante mantener una periódica comunicación con el
cliente para minimizar los desvíos, o bien, poder actuar con anticipación
ante una demanda fuera del alcance.
Establecer el alcance del proyecto con todos los interesados en el mismo
(Producción, Operaciones y Mantenimiento) y dejar en claro cuáles son los
objetivos del proyecto para cada uno de los mismos en las etapas tempranas
del proyecto.
El hecho de elegir la misma marca y familia de equipos para los sistemas
de control y de seguridad simplificó la configuración y mantenimiento de
los sistemas.
Debido a esta solución elegida, pudo ser fácilmente atendida la
complejidad de la matriz causa-efecto, ya que la misma requirió una muy
alta interacción entre los distintos sistemas de seguridad (PSS/ESD/FGS)
tanto en planta como en las locaciones remotas.
También debido a este enfoque adoptado, en la etapa de desarrollo se
reutilizaron los códigos de configuración de típicos, disminuyendo los
tiempos de aprendizaje y elaboración.
Como resultado final de la solución seleccionada, en la etapa de Operación
y Mantenimiento se redujo el tiempo de localización de los distintos tipos
de fallas.
Como desarrollador e integrador del SIS, es vital contar con la
documentación que deriva del Estudio HAZOP y requerimientos de SIL.
La misma deberá contener todas las SIF a implementar, con un nivel de
detalle que permita considerar las exigencias tecnológicas para cada SIF
especificada.
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP

6
Desde el punto de vista de la Ciberseguridad, fue muy importante el hecho
de poder conjugar la seguridad física con la seguridad informática para
lograr los niveles de exigencia del cliente al momento de proteger los
activos críticos de la planta. Este aspecto novedoso en el diseño de las
plantas se ha transformado en un punto de atención no sólo al momento del
diseño de la misma, sino principalmente durante la operación, debido a las
constantes modificaciones y desarrollos de las amenazas externas que
fuerzan una continua atención a la actualización y mantenimiento de estas
defensas.
Referencias




WiseCourses Academy (2015) “Introducción a la CibeSeguridad industrial
e Infraestructura Crítica”
Dr. M.J.M. Houtermans (2006) “Safety Availability Versus Process
Availability - Introducing Spurious Trip Levels™”
International Standard IEC 61511-01 (2003) “Functional safety – Safety
instrumented systems for the process industry sector”
International Standard IEC 61508-1 (1998) “Functional
safety of
electrical/electronic/programmable electronic safety-related systems”
Página 16 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
Descargar