Diseño e implementación de un sistema de seguridad de procesos

La correcta interpretación de las normativas existentes en materia de seguridad de procesos y los requerimientos de las instalaciones, asociados a las tecnologías disponible en el mercado, hacen que las primeras etapas de un proyecto sean críticas para su éxito. Consideraciones y problemáticas al momento de diseñar el SIS (Sistema Instrumentado de Seguridad) y su conectividad con el resto de los sistemas.

Sistema de seguridad en los procesos

Para abordar el tema, en primer lugar, se tratarán las principales diferencias entre un Sistema Instrumentado de Seguridad (SIS), un Sistema Básico de Control de Procesos (BPCS) y un sistema de detección y lucha contra incendios. Se explicará la diferencia entre el concepto de confiabilidad (nivel SIL) y el de disponibilidad de un SIS y cómo impactan y determinan las funciones instrumentadas de seguridad (SIF) que componen un SIS.

Luego, se hará foco en los aspectos básicos y esenciales para la selección de un Sistema de Seguridad (SS) considerando el tamaño de las instalaciones y cómo es posible integrar varios sistemas, ya sean de Control y/o de Seguridad, utilizando varios protocolos de comunicaciones (genérico o propietario) con distintos tipos de redes y qué rol cumple la Ciberseguridad en el diseño de la red.

Basándonos en nuestra experiencia, habiendo interactuado con diferentes tecnologías y participado en diferentes soluciones para múltiples clientes en sectores de la industria como los hidrocarburos y la energía nuclear, intentaremos transmitir los aspectos más relevantes a la hora del diseño de un SIS, su integración con otros sistemas dentro y fuera de la planta, y las consideraciones fundamentales de la implementación de la Ciberseguridad para proteger la integridad de las personas, las instalaciones y los datos.

Diferentes Sistemas de Control
A continuación se definen algunos conceptos básicos para los sistemas de control y seguridad:

  • Sistema básico de control de proceso (BPCS)
    Es un sistema que responde a las señales de entrada de un proceso, a sus equipos asociados, a otros sistemas programables y/o operadores de planta generando salidas que se ajustan continuamente con el fin de controlar el proceso y operar la planta en forma deseada, pero no realiza ninguna función instrumentada de seguridad. Actualmente el sistema más común implementado es el sistema de control distribuido (DCS).
  • Sistema de Seguridad (SS)
    Un sistema de seguridad es una composición de sistemas y equipos que realizan tareas de seguridad tanto en materia de prevención como de mitigación. Pueden ser de accionar activo o pasivo, trabajando sobre la frecuencia de eventos peligrosos y/o sobre la consecuencia del evento.
    Dentro de estos sistemas y equipos encontramos a los Sistemas Instrumentados de Seguridad (SIS), los cuales se suelen renombrar conforme a su uso o aplicación como ESD (Emergency ShutDown), ESS (Emergency Shutdown System), FGS (Fire and Gas System) o F&G (Fire and Gas), etc.
  • Central de detección y lucha contra incendio
    La central de lucha contra incendio es un equipo que contiene un controlador electrónico programable con manejo de entradas y salidas digitales y analógicas cuya función principal es actuar sobre sistemas de aviso sonoros y visuales ante una detección de humo y/o calor, o bien, por la acción sobre un pulsador en forma manual de alguna persona. Este equipo es parte del sistema de seguridad pero no cumple funciones de prevención sino de mitigación, aportando a los sistemas de evacuación en planta.

Sistemas instrumentados de seguridad (SIS)

  • Riesgo y Eventos Peligrosos
    El riesgo en la industria existe siempre y ha crecido a lo largo del tiempo debido al cambio de pequeñas operaciones (procesos simples) a grandes operaciones (procesos complejos con varios trenes de producción).

La definición utilizada de Riesgo (R) en la industria de los sistemas de seguridad define a éste como el producto de la probabilidad de la ocurrencia (P) y la severidad de la consecuencia (C) de un evento peligroso.

Entonces, ¿Qué es el Peligro y que se considera un Evento Peligroso?
Existen varias definiciones de peligro; las normas IEC 61508/61511 lo definen como la “fuente potencial de producir daño”. Un evento peligroso ocurre cuando el daño potencial se transforma en real. Generalmente, un evento peligroso está asociado a un escenario peligroso. Como ejemplo podemos citar un recipiente que contiene algún agente corrosivo (peligro), y que al contacto con la piel humana produce irritación de la misma (riesgo). Si dicho recipiente se encuentra aislado, en un lugar donde no haya presencia de personas, el peligro existe pero no produce riesgo, por lo tanto no hay evento ni escenario peligroso. Por el contrario, la presencia de una persona como mínimo en el lugar, transforma a ese agente corrosivo en una fuente real de daño y existe riesgo de que la persona pueda lastimarse, convirtiéndose la situación en un escenario peligroso.

Lo primero que se debe hacer es identificar los peligros y si éstos pueden o no producir eventos peligrosos. Cada evento peligroso tendrá un riesgo asociado. Al instalar una planta nueva, el primer gran trabajo es identificar los eventos peligrosos, definir el riesgo y catalogarlo.

Existen muchas técnicas de identificación y análisis de riesgos entre las cuales podemos citar al HAZOP (HAZard and OPerability analysis), FMEA (Failures Modes and Effects Analisys), FTA (Fault Tree Analysis), LOPA (Layer Of Protection Analysis), entre otras.

Luego de la identificación y análisis de riesgos, si dichos riesgos se consideran no tolerables será necesario realizar técnicas o procesos para reducir el riesgo. En la práctica existen métodos activos, que trabajan tanto en la Consecuencia como en la Frecuencia del Evento, técnicas pasivas que modifican solamente la consecuencia del evento y aparecen los Sistemas Instrumentados de Seguridad (SIS) que trabajan a nivel de la frecuencia de un evento peligroso.

A cada evento peligroso (que merezca reducir su riesgo) se le asociará una “función instrumentada de seguridad” (SIF), las cuales en conjunto conformarán el SIS. Un sistema instrumentado de seguridad es un sistema independiente compuesto por sensor/es, “logic solvers” y elemento/s final/es, y sistemas de soporte, que realiza funciones específicas para alcanzar o mantener el estado seguro (En inglés safety, NO security). Ejemplos: HIPPS (High Integrity Pressure Protection System), BMS (Burner Management System), PLC de seguridad + Transmisores + SDV (shutdown valve).

Una función instrumentada de seguridad (SIF) es lo que usualmente llamamos “un lazo de seguridad”. Cada SIF describe una función de seguridad y está asociada a un evento peligroso al cual se debe reducir su riesgo al punto de que sea tolerable o residual. Un ejemplo de una SIF sería, si el “el transmisor de temperatura TT-104 supera los 65°C, cerrar la válvula SDV-102 en un tiempo de 4 segundos con un nivel de confiabilidad SIL2”. Un SIS es tomado como una capa de protección independiente que cumple la función de prevenir el evento peligroso. Junto con otras capas de protección, como ser el diseño de planta y la intervención del operador, conforman la etapa de prevención de una planta.

Confiabilidad y Disponibilidad
La confiabilidad o integridad de cada SIF es medida con el nivel de SIL que se le asocia a esa función. En un SIS pueden existir varias funciones de seguridad y todas ellas pueden o no coincidir en su nivel de SIL.

La definición según la norma IEC 61508/61511 define al nivel de SIL (Safety Integrity Level) como un nivel discreto (de 1 a 4) para especificar los requerimientos integrales de seguridad de una función instrumentada de seguridad (SIF) a ser implementada en un sistema instrumentado de seguridad (SIS).

La integridad de seguridad consiste de dos elementos:

  • Integridad de seguridad del hardware: La misma se puede calcular con un nivel de certeza razonable en función del hardware empleado.
  • Integridad de seguridad sistemática: Es difícil de calcular ya que puede ser causada por error de diseño de hardware o error de software. La norma IEC 61508 indica los requisitos de diseño, técnicas, medidas, etc. para cada nivel de SIL de manera de mantenerla acotada.

El SIL es la forma en que medimos el desempeño de las funciones de seguridad ejecutadas por nuestro sistema de seguridad. El nivel de SIL debe ser considerado por:

  • los “dueños de los procesos” al momento de establecer cuales funciones de seguridad se requieren y con qué nivel de SIL,
  • las empresas de ingeniería, desarrolladores de productos e integradores de sistemas y equipos de seguridad, los cuales deberán saber cómo construir sus dispositivos para que cumplan con el SIL requerido y,
  • los operadores del proceso, que tendrán que saber cómo operar, mantener y reparar las funciones de seguridad y sistemas para mantener los niveles de SIL identificados.

El nivel de SIL tiene las siguientes propiedades:

  • Se aplica a la función de seguridad completa.
  • Existen requerimientos Técnicos y No Técnicos para cada nivel de SIL
  • Uno de los más famosos requerimientos del SIL es la Probabilidad de Falla en Demanda (PFD). Existen alrededor de 1000 requerimientos de SIL (Técnicos y No Técnicos).
  • Existen requerimientos de SIL tanto para el Hardware como para el Software que se implementa para ejecutar la SIF.
  • Un SIL más alto implica requerimientos más estrictos y que la función de seguridad falle menos y, por lo tanto, tenga mayor disponibilidad.

Es importante diferenciar los conceptos de Disponibilidad de Seguridad y Disponibilidad de Proceso (Availability). La probabilidad de falla en demanda (PFD) es una medida de la disponibilidad de la SIF (Safety Availability = 1-PFD) y No de la disponibilidad del proceso. La PFD nos ayuda a saber qué tan probable es que la función de seguridad esté disponible, o mejor, no esté disponible cuando la necesitamos. Desde la perspectiva del usuario final y desde el punto de vista de la seguridad, se trata de una medida que se relaciona directamente con la reducción de riesgo alcanzado al ejecutar el proceso. Sin embargo, una función de seguridad no sirve de nada cuando causa demasiados disparos espurios (no necesarios), es decir, paradas de procesos no deseadas cuando el proceso estaba funcionando normalmente. Estos disparos innecesarios son causados por fallas internas del o los dispositivos de seguridad debido a fallas aleatorias del hardware, fallas de causa común o fallas sistemáticas.

Las funciones de seguridad que causan disparos espurios son indeseadas por dos razones. En primer lugar, los aspectos más peligrosos de la ejecución de un proceso son durante el inicio del proceso y cuando éste es detenido. Especialmente las paradas de proceso no deseadas son críticas ya que no son paradas controladas. Una función de seguridad que causa paradas de procesos no deseadas está provocando más problemas de seguridad que los que resuelve. Así que debemos evitar paradas innecesarias tanto como sea posible. En segundo lugar, una parada de planta, o parte de ella, provoca pérdidas de producción, y por lo tanto, pérdidas económicas para la empresa.

Para un usuario final es importante tener SIF que ofrezcan altos niveles de disponibilidad desde el aspecto de la seguridad, como así también del proceso. Lamentablemente la disponibilidad del proceso no es tratada en las normas de seguridad funcionales existentes como la IEC 61508 e IEC 61511. Estas normas definen el nivel SIL pero no definen los niveles de rendimiento para los disparos espurios.

Entre las normas más utilizadas en materia de sistemas instrumentados de seguridad a nivel mundial se encuentran:

  • ISA SP-91: “Identification of Emergency Shutdown Systems and Controls That are Critical to Maintaining Safety in Process Industry”
  • ANSI/ISA S84.01-1996 (2004): “Application of Safety Instrumented Systems for the Process Industries”.
  • IEC 62061: “Safety of Machinery – Functional safety of electrical, electronic and programmable control systems for machinery”
  • IEC 61508: “Functional Safety: Related Systems”
  • IEC 61511: “Functional Safety Instrumented Systems for the Process Industry Sector”

Ciberseguridad
Como tema complementario al SIS y que cada vez toma mayor relevancia en la implementación de los sistemas de seguridad y control de procesos es el de la Ciberseguridad. El hecho de que muchas de las plantas industriales formen parte de la infraestructura crítica de una región o país, hacen que los hackers hayan tomado un alto interés en vulnerar a estos sistemas y provocar daños. Los sistemas de control en la actualidad son sistemas basados en computadoras que se utilizan para controlar y supervisar procesos sensibles y funciones físicas. En este caso, el término sistema de control se refiere en forma genérica a hardware, firmware, comunicaciones y software que se encargan de supervisar y controlar las funciones vitales de los sistemas físicos.

En este contexto, los ataques a la Ciber Seguridad Industrial (ICS) se define como la penetración en los Sistemas de Control (IACS) por cualquier vía de comunicación y/o acceso de forma tal de manipular los procesos controlados con la intención de causar daño o de interrumpir las operaciones de un proceso. Los ataques contra los sistemas de control y seguridad pueden resultar en la interrupción de servicios, ocasionar daños físicos, pérdida de vidas, perjuicios económicos severos y/o efectos en cascada causando la interrupción de otros servicios.

La Ciberseguridad aplica a todos los niveles de un proceso:
– Nivel 0 (Capa de Campo)
– Nivel 1 (Capa de Control)
– Nivel 2 (Capa de Supervisión)
– Nivel 3 (Capa de Gestión de Procesos)

En cuanto a las normas que aplican actualmente a los temas de Ciberseguridad podemos citar:

  • IEC 62443: “Industrial Network and System Security”
  • ISA 99: “Industrial Automation and Control Systems (IACS) Security”
  • SP800-82: “Guide to Industrial Control Systems (ICS) Security”
  • API Standard 1164: “SCADA Security”
  • Los IACS operan hoy en día equipamiento de plantas industriales y procesos críticos.

Los ataques a estos sistemas pueden provocar:

  • Muertes, Peligros y enfermedades.
  • Daños ambientales severos y/o irreversibles.
  • Pérdidas de producción, interrupción de servicios.
  • Fuera de especificación y productos peligrosos.
  • Pérdida de secretos industriales.

La seguridad a los Sistemas Industriales consiste en prevenir que los ataques -ya sea que sean intencionales o no- interfieran en la adecuada operación de la planta y de sus procesos. Los diseñadores e integradores de los sistemas de seguridad deben conocer cada vez más los peligros que pueden surgir de estos tipos de ataques y evitar los accesos, ya sean, físicos y/o lógicos a los sistemas de control y seguridad en el mayor grado que sea posible. Por todo esto, es necesario considerar en nuestros diseños de planta la opción de incorporar de un nivel 4 o capa Enterprise o Corporativa, la cual tendrá relación directa con los sistemas de gestión de procesos.

Existen diferencias significativas entre los Sistemas de IT Corporativos y los Sistemas Industriales, aun siendo infraestructuras críticas. Los problemas generalmente ocurren porque las premisas adoptadas de IT no son necesariamente válidas en el ámbito industrial. La Ciberseguridad industrial debe resolver las cuestiones relacionadas con la Seguridad, que no es normalmente tenida en cuenta en los Sistemas Corporativos.

Extracto de trabajo presentado por Guillermo Sosa y Martin Krenek. TECNA Estudios y Proyectos de Ingeniería (www.tecna.com) en VIII CAIQ 2015 y 3 JASP