DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE ... · procesos y los requerimientos de los...

VIII CAIQ2015 y 3 JASP

Página 1 de 16 AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ

DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE

SEGURIDAD DE PROCESOS EN INSTALACIONES NUEVAS

Guillermo Sosa, Martin Krenek

TECNA Estudios y Proyectos de Ingeniería

(C1107CLA) Capital Federal – Argentina

TE: (+5411) 4347-9042

www.tecna.com

1 Resumen

La correcta interpretación de las normativas existentes en materia de seguridad de

procesos y los requerimientos de los clientes, asociados a las tecnologías disponible en

el mercado, hacen que las primeras etapas de un proyecto sean críticas para el éxito del

mismo. Esta interpretación junto con los requisitos del cliente determina el alcance del

proyecto, el cual define, entre otras cosas, la tecnología a implementar.

Para abordar el caso de estudio que les presentaremos, en primer lugar, se tratarán

las principales diferencias entre un Sistema Instrumentado de Seguridad (SIS), un

Sistema Básico de Control de Procesos (BPCS) y un sistema de detección y lucha contra

incendios. Se explicará la diferencia entre el concepto de confiabilidad (nivel SIL) y el

de disponibilidad de un SIS y cómo impactan y determinan las funciones

instrumentadas de seguridad (SIF) que componen un SIS.

Luego, se describirá brevemente las áreas de procesos involucradas en nuestra

planta objeto de estudio, enfatizando las consideraciones y problemáticas al momento

de realizar el diseño del SIS y su conectividad con el resto de los sistemas.

Y para finalizar, se focalizará en los aspectos básicos y esenciales para la selección

de un Sistema de Seguridad (SS) considerando el tamaño de las instalaciones y cómo es

posible integrar varios sistemas, ya sean de Control y/o de Seguridad, utilizando varios

protocolos de comunicaciones (genérico o propietario) con distintos tipos de redes y que

rol cumple la Ciberseguridad en el diseño de la red.

Palabras clave: SIS, SIL, SIF, FGS, SS, disponibilidad, seguridad

2 Introducción

El objetivo principal es exponer los aspectos primordiales a considerar en el diseño

de un SIS, considerando el tamaño de las instalaciones objeto de estudio, la vinculación

entre los diferentes sistemas de la planta, los requisitos del cliente y la variedad de

tecnologías disponibles en el mercado.

Basándonos en nuestra experiencia, habiendo interactuado con diferentes

tecnologías y participado en diferentes soluciones para múltiples clientes en sectores de

la industria como los hidrocarburos y la energía nuclear, intentaremos transmitir los

aspectos más relevantes a la hora del diseño de un SIS, su integración con otros sistemas

dentro y fuera de la planta, y las consideraciones fundamentales de la implementación



de la Ciberseguridad para proteger la integridad de las personas, las instalaciones y los

datos.

3 Desarrollo

3.1 Diferentes Sistemas de Control

A continuación se definen algunos conceptos básicos para los sistemas de control y

seguridad:

3.1.1 Sistema básico de control de proceso (BPCS)

Es un sistema que responde a las señales de entrada de un proceso, a sus equipos

asociados, a otros sistemas programables y/o operadores de planta generando salidas

que se ajustan continuamente con el fin de controlar el proceso y operar la planta en

forma deseada, pero no realiza ninguna función instrumentada de seguridad.

Actualmente el sistema más común implementado es el sistema de control distribuido

(DCS).

3.1.2 Sistema de Seguridad (SS)

Un sistema de seguridad es una composición de sistemas y equipos que realizan

tareas de seguridad tanto en materia de prevención como de mitigación. Pueden ser de

accionar activo o pasivo, trabajando sobre la frecuencia de eventos peligrosos y/o sobre

la consecuencia del evento.

Dentro de estos sistemas y equipos encontramos a los Sistemas Instrumentados de

Seguridad (SIS), los cuales se suelen renombrar conforme a su uso o aplicación como

ESD (Emergency ShutDown), ESS (Emergency Shutdown System), FGS (Fire and Gas

System) o F&G (Fire and Gas), etc.

3.1.3 Central de detección y lucha contra incendio

La central de lucha contra incendio es un equipo que contiene un controlador

electrónico programable con manejo de entradas y salidas digitales y analógicas cuyas

función principal es actuar sobre sistemas de aviso sonoros y visuales ante una

detección de humo y/o calor, o bien, por la acción sobre un pulsador en forma manual

de alguna persona. Este equipo es parte del sistema de seguridad pero no cumple

funciones de prevención sino de mitigación, aportando a los sistemas de evacuación en

planta.

3.2 Sistemas instrumentados de seguridad (SIS)

3.2.1 Riesgo y Eventos Peligrosos

El riesgo en la industria existe siempre y ha crecido a lo largo del tiempo debido al

cambio de pequeñas operaciones (procesos simples) a grandes operaciones (procesos

complejos con varios trenes de producción).



La definición utilizada de Riesgo (R) en la industria de los sistemas de seguridad

define a éste como el producto de la probabilidad de la ocurrencia (P) y la severidad de

la consecuencia (C) de un evento peligroso. Entonces, ¿Qué es el Peligro y que se

considera un Evento Peligroso?

Existen varias definiciones de peligro; las normas IEC 61508/61511 lo definen

como la “fuente potencial de producir daño”. Un evento peligroso ocurre cuando el

daño potencial se transforma en real. Generalmente, un evento peligroso está asociado a

un escenario peligroso.

Como ejemplo podemos citar un recipiente que contiene algún agente corrosivo

(peligro), y que al contacto con la piel humana produce irritación de la misma (riesgo).

Si dicho recipiente se encuentra aislado, en un lugar donde no haya presencia de

personas, el peligro existe pero no produce riesgo, por lo tanto no hay evento ni

escenario peligroso. Por el contrario, la presencia de una persona como mínimo en el

lugar, transforma a ese agente corrosivo en una fuente real de daño y existe riesgo de

que la persona pueda lastimarse, convirtiéndose la situación en un escenario peligroso.

Lo primero que se debe hacer es identificar los peligros y si éstos pueden o no

producir eventos peligrosos. Cada evento peligroso tendrá un riesgo asociado.

Al instalar una planta nueva, el primer gran trabajo es identificar los eventos

peligrosos, definir el riesgo y catalogarlo.

Existen muchas técnicas de identificación y análisis de riesgos entre las cuales

podemos citar al HAZOP (HAZard and OPerability analysis), FMEA (Failures Modes

and Effects Analisys), FTA (Fault Tree Analysis), LOPA (Layer Of Protection

Analysis), entre otras.

Luego de la identificación y análisis de riesgos, si dichos riesgos se consideran no

tolerables será necesario realizar técnicas o procesos para reducir el riesgo.

En la práctica existen métodos activos, que trabajan tanto en la Consecuencia como

en la Frecuencia del Evento, técnicas pasivas que modifican solamente la consecuencia

del evento y aparecen los Sistemas Instrumentados de Seguridad (SIS) que trabajan a

nivel de la frecuencia de un evento peligroso.

A cada evento peligroso (que merezca reducir su riesgo) se le asociará una “función

instrumentada de seguridad” (SIF), las cuales en conjunto conformarán el SIS.

Un sistema instrumentado de seguridad (SIS: Safety Instrumented System) es un

sistema independiente compuesto por sensor/es, “logic solvers” y elemento/s final/es, y

sistemas de soporte, que realiza funciones específicas para alcanzar o mantener el

estado seguro (En inglés safety, NO security). Ejemplos: HIPPS (High Integrity

Pressure Protection System), BMS (Burner Management System), PLC de seguridad +

Transmisores + SDV (shutdown valve).



Una función instrumentada de seguridad (SIF: Safety Instrumented Function) es lo

que usualmente llamamos “un lazo de seguridad”. Cada SIF describe una función de

seguridad y está asociada a un evento peligroso al cual se debe reducir su riesgo al

punto de que sea tolerable o residual.

Un ejemplo de una SIF sería, si el “el transmisor de temperatura TT-104 supera los

65 °C, cerrar la válvula SDV-102 en un tiempo de 4 segundos con un nivel de

confiabilidad SIL2”.

Un SIS es tomado como una capa de protección independiente que cumple la

función de prevenir el evento peligroso. Junto con otras capas de protección, como ser

el diseño de planta y la intervención del operador, conforman la etapa de prevención de

una planta.

3.2.2 Confiabilidad y Disponibilidad

La confiabilidad o integridad de cada SIF es medida con el nivel de SIL que se le

asocia a esa función. En un SIS pueden existir varias funciones de seguridad y todas

ellas pueden o no coincidir en su nivel de SIL.

La definición según la norma IEC 61508/61511 define al nivel de SIL (Safety

Integrity Level) como un nivel discreto (de 1 a 4) para especificar los requerimientos

integrales de seguridad de una función instrumentada de seguridad (SIF) a ser

implementada en un sistema instrumentado de seguridad (SIS).

La integridad de seguridad consiste de dos elementos:

Integridad de seguridad del hardware: La misma se puede calcular con un

nivel de certeza razonable en función del hardware empleado.

Integridad de seguridad sistemática: Es difícil de calcular ya que puede ser

causada por error de diseño de hardware o error de software. La norma IEC

61508 indica los requisitos de diseño, técnicas, medidas, etc. para cada nivel

de SIL de manera de mantenerla acotada.

El SIL es la forma en que medimos el desempeño de las funciones de seguridad

ejecutadas por nuestro sistema de seguridad. El nivel de SIL debe ser considerado por:

los “dueños de los procesos” al momento de establecer cuales funciones de

seguridad se requieren y con qué nivel de SIL,

las empresas de ingeniería, desarrolladores de productos e integradores de

sistemas y equipos de seguridad, los cuales deberán saber cómo construir

sus dispositivos para que cumplan con el SIL requerido y,

los operadores del proceso, que tendrán que saber cómo operar, mantener y

reparar las funciones de seguridad y sistemas para mantener los niveles de

SIL identificados.

El nivel de SIL tiene las siguientes propiedades:

Se aplica a la función de seguridad completa.



Existen requerimientos Técnicos y No Técnicos para cada nivel de SIL

Uno de los más famosos requerimientos del SIL es la Probabilidad de Falla

en Demanda (PFD). Existen alrededor de 1000 requerimientos de SIL

(Técnicos y No Técnicos).

Existen requerimientos de SIL tanto para el Hardware como para el

Software que se implementa para ejecutar la SIF.

Un SIL más alto implica requerimientos más estrictos y que la función de

seguridad falle menos y, por lo tanto, tenga mayor disponibilidad.

Es importante diferenciar los conceptos de Disponibilidad de Seguridad y

Disponibilidad de Proceso (Availability).

La probabilidad de falla en demanda (PFD) es una medida de la disponibilidad de la

SIF (Safety Availability = 1-PFD) y No de la disponibilidad del proceso. La PFD nos

ayuda a saber qué tan probable es que la función de seguridad esté disponible, o mejor,

no esté disponible cuando la necesitamos. Desde la perspectiva del usuario final y desde

el punto de vista de la seguridad, se trata de una medida que se relaciona directamente

con la reducción de riesgo alcanzado al ejecutar el proceso. Sin embargo, una función

de seguridad no sirve de nada cuando causa demasiados disparos espurios (no

necesarios), es decir, paradas de procesos no deseadas cuando el proceso estaba

funcionando normalmente. Estos disparos innecesarios son causados por fallas internas

del o los dispositivos de seguridad debido a fallas aleatorias del hardware, fallas de

causa común o fallas sistemáticas.

Las funciones de seguridad que causan disparos espurios son indeseadas por dos

razones. En primer lugar, los aspectos más peligrosos de la ejecución de un proceso son

durante el inicio del proceso y cuando éste es detenido. Especialmente las paradas de

proceso no deseadas son críticas ya que no son paradas controladas. Una función de

seguridad que causa paradas de procesos no deseadas está provocando más problemas

de seguridad que los que resuelve. Así que debemos evitar paradas innecesarias tanto

como sea posible. En segundo lugar, una parada de planta, o parte de ella, provoca

pérdidas de producción, y por lo tanto, pérdidas económicas para la empresa.

Para un usuario final es importante tener SIF que ofrezcan altos niveles de

disponibilidad desde el aspecto de la seguridad, como así también del proceso.

Lamentablemente la disponibilidad del proceso no es tratada en las normas de

seguridad funcionales existentes como la IEC 61508 e IEC 61511. Estas normas definen

el nivel SIL pero no definen los niveles de rendimiento para los disparos espurios.

Entre las normas más utilizadas en materia de sistemas instrumentados de seguridad

a nivel mundial se encuentran:

ISA SP-91: “Identification of Emergency Shutdown Systems and

Controls That are Critical to Maintaining Safety in Process Industry”

ANSI/ISA S84.01-1996 (2004): “Application of Safety Instrumented

Systems for the Process Industries”.



IEC 62061: “Safety of Machinery – Functional safety of electrical,

electronic and programmable control systems for machinery”

IEC 61508: “Functional Safety: Related Systems”

IEC 61511: “Functional Safety Instrumented Systems for the Process

Industry Sector”

3.2.3 Ciberseguridad

Como tema complementario al SIS y que cada vez toma mayor relevancia en la

implementación de los sistemas de seguridad y control de procesos es el de la

Ciberseguridad.

El hecho de que muchas de las plantas industriales formen parte de la

infraestructura crítica de una región o país, hacen que los hackers hayan tomado un alto

interés en vulnerar a estos sistemas y provocar daños.

Los sistemas de control en la actualidad son sistemas basados en computadoras que

se utilizan para controlar y supervisar procesos sensibles y funciones físicas. En este

caso, el término sistema de control se refiere en forma genérica a hardware, firmware,

comunicaciones y software que se encargan de supervisar y controlar las funciones

vitales de los sistemas físicos.

En este contexto, los ataques a la CiberSeguridad Industrial (ICS) se define como la

penetración en los Sistemas de Control (IACS) por cualquier vía de comunicación y/o

acceso de forma tal de manipular los procesos controlados con la intención de causar

daño o de interrumpir las operaciones de un proceso. Los ataques contra los sistemas de

control y seguridad pueden resultar en la interrupción de servicios, ocasionar daños

físicos, pérdida de vidas, perjuicios económicos severos y/o efectos en cascada

causando la interrupción de otros servicios.

La Ciberseguridad aplica a todos los niveles de un proceso:

Nivel 0 (Capa de Campo)

Nivel 1 (Capa de Control)

Nivel 2 (Capa de Supervisión)

Nivel 3 (Capa de Gestión de Procesos)

En cuanto a las normas que aplican actualmente a los temas de Ciberseguridad

podemos citar:

IEC 62443: “Industrial Network and System Security”

ISA 99: “Industrial Automation and Control Systems (IACS) Security”

SP800-82: “Guide to Industrial Control Systems (ICS) Security”

API Standard 1164: “SCADA Security”

Los IACS operan hoy en día equipamiento de plantas industriales y procesos

críticos. Los ataques a estos sistemas pueden provocar:

Muertes, Peligros y enfermedades.



Daños ambientales severos y/o irreversibles.

Pérdidas de producción, interrupción de servicios.

Fuera de especificación y productos peligrosos.

Pérdida de secretos industriales.

La seguridad a los Sistemas Industriales consiste en prevenir que los ataques -ya sea

que sean intencionales o no- interfieran en la adecuada operación de la planta y de sus

procesos.

Los diseñadores e integradores de los sistemas de seguridad deben conocer cada vez

más los peligros que pueden surgir de estos tipos de ataques y evitar los accesos, ya

sean, físicos y/o lógicos a los sistemas de control y seguridad en el mayor grado que sea

posible. Por todo esto, es necesario considerar en nuestros diseños de planta la opción

de incorporar de un nivel 4 o capa Enterprise o Corporativa, la cual tendrá relación

directa con los sistemas de gestión de procesos.

Existen diferencias significativas entre los Sistemas de IT Corporativos y los

Sistemas Industriales, aun siendo infraestructuras críticas. Los problemas generalmente

ocurren porque las premisas adoptadas de IT no son necesariamente válidas en el

ámbito industrial. La Ciberseguridad industrial debe resolver las cuestiones relacionadas

con la Seguridad, que no es normalmente tenida en cuenta en los Sistemas Corporativos.

Podemos mencionar cinco puntos a tener en cuenta en cuestiones de Ciberseguridad,

considerando las diferentes perspectivas de los Sistemas de IT y Sistema de Control

(IACS):

a) Prioridad

IT IACS

ConfidencialidadIntegridad

Disponibilidad

DisponibilidadIntegridad

Confidencialidad

Menor Prioridad

Mayor Prioridad

b) Tiempo Real

Redes y Sistemas de IT Redes y Sistemas de Control

No son en tiempo real Tiempo real

La respuesta debe ser confiable La respuesta es crítica en el tiempo

Las demoras elevadas y la

dispersión es normalmente

aceptada

Las demoras son una verdadera

preocupación y problema



c) Gestión de Cambios


Operación programada Operación continua

La fallas ocasionales son aceptadas Las fallas son inaceptables

Productos Beta en producción son

comúnmente aceptados

Los productos Beta son aceptados en

ambientes no productivos.

Las modificaciones son posibles de

realizar con poca burocracia

Se requiere una certificación formal

luego de cualquier modificación

d) Aplicaciones


Sistemas operativos y aplicaciones

usualmente de mercado

Normalmente se encuentran

Sistemas Operativos y Aplicaciones

inusuales

Ya hay una gran cantidad de

soluciones a la Seguridad de IT

Muchas de las soluciones de

Seguridad de IT no funcionan

correctamente. La tolerancia a fallas

es esencial

e) Gestión del Riesgo


La integridad de datos es

primordial

Seguridad Humana es primordial

El impacto del Riesgo es la pérdida

de datos y daños al negocio

El impacto del riesgo es la pérdida

de Vidas Humanas, Equipamiento,

Producción y/o Productos

La recuperación se realiza re-

iniciando el sistema

La tolerancia a fallas es esencial

En conclusión podemos decir que si bien la seguridad de los Sistemas de IT ya es un

problema atendido en todas las compañías, la aplicación en el ambiente industrial es un

desafío diferente debido a las diferentes prioridades y enfoques que se manejan en cada

una de las áreas.

La implementación de soluciones estándares de Sistemas de IT en ambientes

industriales (sin ningún tipo de filtro) podrían causar más daño que beneficios y por lo

tanto las soluciones a implementar deben considerar soluciones específicamente

pensadas para este tipo de ambientes.



4 Caso de estudio – Área a instrumentar o controlar

El proceso que tomaremos como caso de estudio consiste en una planta de

extracción, tratamiento, exportación y venta de gas y condensado (crudo). La misma se

compone de una serie de pozos los cuales abastecen a los diferentes trenes de

tratamiento ubicados en la planta.

El fluido que llega a la planta desde cada uno de los pozos de extracción es un poli-

producto, compuesto por crudo, gas, agua, sales y otros productos químicos, que a lo

largo del proceso, previo a su exportación, es separado y acondicionado adecuadamente

según los estándares y requerimientos de producción que solicita el cliente final.

El producto final Gas, es comprimido y enviado a su punto de venta que se

encuentra a 100 Km de la planta principal.

El producto Condensado (crudo) es bombeado a su punto de venta a 20 Km de la

planta.

Fig. 1. Overview general de la planta objeto de estudio

La planta cuenta con un Manifold de entrada, el cual, mediante su correcta

operación, distribuye el producto entrante al separador de ensayo, o bien a los trenes de

tratamiento y producción.

El proceso cuenta con un sistema propio de extracción e inyección de agua ubicado

a 10 Km de la planta. Dicho sistema tiene su propio sistema de control y seguridad que

se vincula mediante Fibra Óptica (FO) con la planta principal.



Dentro del paquete de utilidades y servicios, encontramos Compresores de Aire,

Compresores de Propano, Compresores y Bombas de Exportación, Calentadores

eléctricos, Hornos de Hot Oil, Unidades de Nitrógeno, Centrales de Incendio, Sistema

de tratamiento de Aire acondicionado (HVAC), Unidades de potencia hidráulica (HPU),

Generadores Eléctricos a Gas, Generador de Emergencia (Diésel), entre los principales

equipos. Todos estos son vinculados con la planta mediante FO y cableado de cobre en

2 hilos, mediante protocoles industriales como Modbus TCP/IP y Modbus RTU, bajo

normas Ethernet y RS-485, respectivamente.

4.1 Consideraciones del diseño o requisitos del cliente

El sistema de control de procesos (PCS) mediante un sistema de control distribuido

(DCS) es el encargado de atender todas las funciones de control de las instalaciones,

como ser, lazos PID, lógicas de arranque y paro automático de bombas y equipos,

cálculos de compensación de caudal, integración de caudales (caudal acumulado), etc.

Este sistema es el encargado de concentrar toda la información del resto de los sistemas

(ESD, FGS, PSS) y equipos paquetes (compresores, generadores eléctricos,

calentadores, hornos, HVAC, HIPS, etc.) y presentar la misma en las estaciones de

operación ubicadas en la sala de control principal. Las comunicaciones del DCS se

realizan mediante enlaces redundantes entre todos los dispositivos que lo conforman, y

entre éste y los equipos críticos (ESD, FGS, PSS y HIPS).

El sistema de seguridad de Fuego y Gas (FGS) es el encargado de monitorear todos

los detectores de gas y fuego de las instalaciones, y ante una detección, realizar el

arranque de las bombas de lucha contra incendio y la actuación de las válvulas de

diluvio del área correspondiente. Este sistema tiene un diseño “Energize To Trip”, es

decir, que los elementos de entrada y salida deben energizarse para realizar la función

de seguridad. En estos casos, es necesario contar con módulos de entrada y salida que

tengan monitoreo de línea de modo que el sistema alerte a los operadores en caso que

exista una falla que no permita actuar la seguridad.

Este sistema debe ser completamente redundante en cuanto a alimentaciones,

procesadores, comunicaciones, módulos de entrada y salida, alcanzando una

disponibilidad mínima de 99,99% y con un nivel de confiabilidad SIL 3.

El sistema de seguridad de emergencia (ESD) es el encargado de llevar a las

instalaciones a un estado seguro en caso de emergencia, protegiendo así el personal, el

medio ambiente y los activos de la empresa. Realiza las funciones de seguridad

principales de paro de emergencia y despresurización de las instalaciones, actuando

sobre unidades de proceso principales (Nivel 1) y subunidades (Nivel 2). Este sistema

tiene un diseño “De-energize To Trip”, es decir, que los elementos de entrada y salida

deben desenergizarse para realizar la función de seguridad.

Este sistema debe ser completamente redundante en cuanto a alimentaciones,

procesadores, comunicaciones, módulos de entrada y salida, alcanzando una

disponibilidad mínima de 99,99% y con un nivel de confiabilidad SIL 3.



El sistema de seguridad de procesos (PSS) forma parte de los sistemas de seguridad

de la instalación. El mismo se encarga de llevar a cabo automáticamente la parada

segura de unidades o equipos (Nivel 3). Este sistema debe ser redundante en cuanto a

alimentaciones, procesadores y comunicaciones, no necesariamente en los módulos de

entradas y salidas, alcanzando una disponibilidad mínima de 99,97% con un nivel de

confiabilidad SIL 2.

En el caso de las locaciones remotas (pozos, gasoducto y oleoducto de exportación)

existen funciones de control, de paro de emergencia, de gas y fuego y de seguridad de

proceso. Dado que las mismas son instalaciones pequeñas, es decir que tienen una

cantidad de entradas y salidas notablemente inferior a la planta, un único sistema SIS

puede cumplir con todas las funciones, con la particularidad de que los chasis y

módulos de entrada y salida deben ser dedicados para cada sistema. Este sistema

integrado debe alcanzar una disponibilidad mínima de 99,99% y debe ser SIL 2.

Las locaciones remotas tienen dos modos de operación: uno remoto desde la sala de

control principal y otro local a través de un panel de operación (HMI). Desde este

último, el Operador puede realizar el monitoreo y control en forma totalmente

independiente de la sala de control.

Para atender los requerimientos de Ciberseguridad exigidos por la compañía, se

instalaron Firewalls para interconectar equipos de terceros con los servidores Modbus

TCP y Modbus RTU, y también para conectar las redes del cliente con los servidores de

datos e históricos ubicados en la planta. Además, todas las oficinas y sectores de la

planta cuentan con acceso restringido a través de sistemas de detección biométricos y

magnéticos, complementado con un constante monitoreo mediante cámaras de

seguridad de última generación conectadas a los diferentes puestos de control.

4.2 Implementación del caso/soluciones adoptadas

En función de los requerimientos del cliente y del diseño básico de las instalaciones

se realiza la especificación técnica del sistema de control y seguridad indicando además

requerimientos de diseño propios. La planta cuenta con una cantidad de

aproximadamente 2500 puntos de entrada/salida cableados y más de 2000 puntos

provenientes por comunicaciones. Se define así la arquitectura del sistema en la que se

expresa gráficamente lo expuesto en la especificación.



Fig. 2. Arquitectura del sistema de control y seguridad de la planta objeto de estudio

En el proyecto se definió que el sistema de ESD y FGS de la planta estén integrados

en un único SIS controlado por un único PLC. La consideración particular fue que los

chasis y módulos de entradas y salidas estén divididos de acuerdo a su sistema asociado.

Como requerimiento extra, en el caso de implementar sistema de votaciones, los

instrumentos asociados debían ser segregados en diferentes tarjetas con el fin de evitar

que la falla de una tarjeta produjera la pérdida completa de la función de seguridad.

Se decidió integrar ambos sistemas debido a que los mismos tienen una gran

cantidad de funciones de seguridad de la que ambos son parte. Esto disminuyó en gran

medida la cantidad de entradas y salidas que hubieran sido necesarias para realizar estas

funciones de seguridad entre sistemas independientes reduciendo, de esta forma, la

complejidad del sistema y sus costos asociados.

Debido a requerimientos del cliente, el sistema PSS de la planta no se pudo integrar

junto al ESD/FGS, por lo que resultó en un sistema independiente, aunque vinculado a

éste último mediante un protocolo propietario seguro con certificado SIL3.

En pozos, gasoducto y oleoducto de exportación se utilizó un único controlador

para integrar las funciones de ESD/FGS/PSS/PCS. La exigencia por parte del cliente fue

que los módulos de entrada/salida estén segregados por sistema. Integrar todas las

funciones en un solo PLC disminuyó en gran medida la cantidad de entradas y salidas

que hubieran sido necesarias para realizar estas funciones de seguridad entre sistemas

independientes, reduciendo de esta forma la complejidad del sistema y bajando costos.



Se determinó que para las comunicaciones con equipos paquetes se utilizara

protocolo Modbus (TCP o RTU según el equipo) de modo de estandarizar un único

protocolo de campo. Se eligió Modbus debido a que es un protocolo de comunicaciones

abierto y relativamente sencillo de implementar, existen muchas marcas de equipos de

sistemas de control y seguridad en el mercado que lo utilizan como protocolo estándar

de comunicación y es fácil de diagnosticar en caso de falla o mal funcionamiento.

En función de la ingeniería de detalle del proyecto (P&ID, matriz causa-efecto,

estudio HAZOP y LOPA) se dimensionó cada uno de los sistemas y se generó la lista de

señales. Se confeccionó una especificación de requerimientos de seguridad en la que se

detallan todas las funciones instrumentadas de seguridad (SIF). En base a esto y a los

requerimientos del cliente se determinó el nivel SIL de cada sistema.

ESD/FGS: SIL 3

PSS: SIL 2

Sistemas integrados de pozos, gasoducto y oleoducto de exportación: SIL 3

En este último, si bien los requerimientos iniciales del cliente señalaban que fuera

SIL 2, por los resultados obtenidos del Estudio HAZOP se determinó que debían ser

SIL 3.

Definida la especificación técnica del sistema de control y seguridad, la arquitectura

del sistema y la lista de señales, se seleccionaron la marca y modelo de cada sistema que

mejor se adecuaba a los requerimientos. Para evitar problemas de compatibilidad y para

que la integración de los sistemas fuese más sencilla, se decidió que la marca de todos

los sistemas fuera la misma. El mismo concepto se aplicó eligiendo los modelos de los

PLC para los SIS.

Determinada la marca y modelo de los sistemas se actualizan todos los documentos

de modo que especifiquen concretamente al sistema en cuestión. Si bien existen puntos

en común entre los sistemas de distintas marcas, tienen particularidades que los definen

y que deben ser debidamente documentadas.

Desde el punto de vista de la Ciberseguridad, el primer paso fue realizar un análisis

de riesgo cibernético en conjunto con el cliente, del cual se determinó, entre otras cosas,

que era necesario instalar firewall entre la red de control y la red de campo de modo de

impedir que equipos paquetes generen tráfico de datos indebido hacia el sistema de

control de la planta impidiendo su normal funcionamiento. Del mismo modo, se

determinó que deberían de ser implementados las siguientes medidas asociadas a la

seguridad física:

Sistema de Control de Acceso (ACS)

CCTV

Requerimientos globales del proyecto donde se obliga a la utilización de

bloqueo de puertas con cerradura para todos los gabinetes de infraestructura

crítica de la planta.



También se tomaron medidas en los aspectos lógicos de la seguridad informática

referidos al acceso a los equipos y programas mediante usuario y contraseña

personalizada y el hecho de mantener actualizados los antivirus y sistemas operativos

con las últimas revisiones disponibles.

4.3 Problemáticas encontradas durante la implementación

La ingeniería básica determinaba que las instalaciones de pozos y puntos de

venta deberían tener un panel de operación local para realizar funciones

básicas de operación del sitio. Dicho panel debería ser totalmente

independiente del PCS y, a su vez, comunicarse en forma directa con el

controlador local. En base a estos requerimientos se seleccionó un panel de

operación local del mismo fabricante de los sistemas implementados.

Varios meses después de adquirido los sistemas de control y seguridad

objeto de este estudio, comenzó a participar en la revisión del proyecto el

grupo de Operaciones y Mantenimiento responsable del manejo de la planta.

Este equipo requirió que estas locaciones tuvieran un modo de operación

sincronizado con el sistema de control central. Debido a que la tecnología

seleccionada anteriormente no permitía cumplir con este requerimiento en

forma estándar, se tuvieron que implementar soluciones alternativas por

medio de programación de alta complejidad.

El nivel de complejidad de la solución adoptada incrementó la necesidad de

capacitación al personal de mantenimiento y la cantidad de documentación

generada como parte de la ingeniería de detalle, lo cual no fue previsto al

inicio del proyecto, impactando en costos y cumplimiento de plazos del

programa de trabajo.

El alto volumen de información a obtener de cada instrumento de campo

solicitado en los estándares del cliente requirió una alta complejidad a la

hora de la selección del equipamiento a utilizar y de la implementación de la

solución.

Varias soluciones estándares del mercado no pudieron cumplir con el alto

nivel de requerimientos y no pudieron ser tenidas en cuenta para este

proyecto.

Uno de los principales requerimientos del cliente fue la posibilidad de que

los sistemas pudieran ser mantenidos y ampliados en el futuro con la planta

en servicio. Del mismo modo el cliente solicitó que los sistemas tuvieran un

período de obsolescencia no inferior a 15 años desde el inicio de la puesta

en marcha de la planta.

Este requerimiento disminuyó dramáticamente las alternativas disponibles

en el mercado e hizo que la selección de la solución tecnológica adecuada

fuera muy compleja por la gran cantidad de requisitos simultáneos.



Esto se consiguió con un fuerte apoyo de los proveedores preseleccionados,

donde se combinó las posibilidades de cada una de las tecnologías ofrecidas

y los requerimientos del cliente.

5 Conclusiones

A lo largo del desarrollo e implementación de las soluciones y medidas adoptadas

durante el proyecto nos encontramos con diferentes problemáticas tanto en los aspectos

técnicos como no técnicos. Luego de un análisis detallado de cada situación podemos

determinar los siguientes aspectos a considerar en futuros proyectos:

El éxito del proyecto estuvo asociado a comprender y definir correctamente

las necesidades del cliente. Las exigencias de sus normas y procedimientos

impactaron fuertemente en las soluciones tomadas.

Derivado de este punto se pudo hacer una adecuada selección de la

tecnología a instalar, la cual tuvo que ser abordada al inicio del proyecto.

Este hecho no fue para nada menor debido a la imposibilidad de cambiar de

tecnología una vez seleccionada y adquirida la misma.

Cabe destacar que estos requerimientos fueron mucho mayores que los

estándares para este tipo de planta para otros clientes

También fue muy importante mantener una periódica comunicación con el

cliente para minimizar los desvíos, o bien, poder actuar con anticipación

ante una demanda fuera del alcance.

Establecer el alcance del proyecto con todos los interesados en el mismo

(Producción, Operaciones y Mantenimiento) y dejar en claro cuáles son los

objetivos del proyecto para cada uno de los mismos en las etapas tempranas

del proyecto.

El hecho de elegir la misma marca y familia de equipos para los sistemas

de control y de seguridad simplificó la configuración y mantenimiento de

los sistemas.

Debido a esta solución elegida, pudo ser fácilmente atendida la

complejidad de la matriz causa-efecto, ya que la misma requirió una muy

alta interacción entre los distintos sistemas de seguridad (PSS/ESD/FGS)

tanto en planta como en las locaciones remotas.

También debido a este enfoque adoptado, en la etapa de desarrollo se

reutilizaron los códigos de configuración de típicos, disminuyendo los

tiempos de aprendizaje y elaboración.

Como resultado final de la solución seleccionada, en la etapa de Operación

y Mantenimiento se redujo el tiempo de localización de los distintos tipos

de fallas.

Como desarrollador e integrador del SIS, es vital contar con la

documentación que deriva del Estudio HAZOP y requerimientos de SIL.

La misma deberá contener todas las SIF a implementar, con un nivel de

detalle que permita considerar las exigencias tecnológicas para cada SIF

especificada.



Desde el punto de vista de la Ciberseguridad, fue muy importante el hecho

de poder conjugar la seguridad física con la seguridad informática para

lograr los niveles de exigencia del cliente al momento de proteger los

activos críticos de la planta. Este aspecto novedoso en el diseño de las

plantas se ha transformado en un punto de atención no sólo al momento del

diseño de la misma, sino principalmente durante la operación, debido a las

constantes modificaciones y desarrollos de las amenazas externas que

fuerzan una continua atención a la actualización y mantenimiento de estas

defensas.

6 Referencias

WiseCourses Academy (2015) “Introducción a la CibeSeguridad industrial

e Infraestructura Crítica”

Dr. M.J.M. Houtermans (2006) “Safety Availability Versus Process

Availability - Introducing Spurious Trip Levels™”

International Standard IEC 61511-01 (2003) “Functional safety – Safety

instrumented systems for the process industry sector”

International Standard IEC 61508-1 (1998) “Functional safety of

electrical/electronic/programmable electronic safety-related systems”

DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE ... · procesos y los requerimientos de los...

Documents

Transcript of DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE ... · procesos y los requerimientos de los...