Story Transcript
VIII CAIQ2015 y 3 JASP
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE PROCESOS EN INSTALACIONES NUEVAS Guillermo Sosa, Martin Krenek TECNA Estudios y Proyectos de Ingeniería (C1107CLA) Capital Federal – Argentina TE: (+5411) 4347-9042 www.tecna.com 1
Resumen
La correcta interpretación de las normativas existentes en materia de seguridad de procesos y los requerimientos de los clientes, asociados a las tecnologías disponible en el mercado, hacen que las primeras etapas de un proyecto sean críticas para el éxito del mismo. Esta interpretación junto con los requisitos del cliente determina el alcance del proyecto, el cual define, entre otras cosas, la tecnología a implementar. Para abordar el caso de estudio que les presentaremos, en primer lugar, se tratarán las principales diferencias entre un Sistema Instrumentado de Seguridad (SIS), un Sistema Básico de Control de Procesos (BPCS) y un sistema de detección y lucha contra incendios. Se explicará la diferencia entre el concepto de confiabilidad (nivel SIL) y el de disponibilidad de un SIS y cómo impactan y determinan las funciones instrumentadas de seguridad (SIF) que componen un SIS. Luego, se describirá brevemente las áreas de procesos involucradas en nuestra planta objeto de estudio, enfatizando las consideraciones y problemáticas al momento de realizar el diseño del SIS y su conectividad con el resto de los sistemas. Y para finalizar, se focalizará en los aspectos básicos y esenciales para la selección de un Sistema de Seguridad (SS) considerando el tamaño de las instalaciones y cómo es posible integrar varios sistemas, ya sean de Control y/o de Seguridad, utilizando varios protocolos de comunicaciones (genérico o propietario) con distintos tipos de redes y que rol cumple la Ciberseguridad en el diseño de la red. Palabras clave: SIS, SIL, SIF, FGS, SS, disponibilidad, seguridad 2
Introducción
El objetivo principal es exponer los aspectos primordiales a considerar en el diseño de un SIS, considerando el tamaño de las instalaciones objeto de estudio, la vinculación entre los diferentes sistemas de la planta, los requisitos del cliente y la variedad de tecnologías disponibles en el mercado. Basándonos en nuestra experiencia, habiendo interactuado con diferentes tecnologías y participado en diferentes soluciones para múltiples clientes en sectores de la industria como los hidrocarburos y la energía nuclear, intentaremos transmitir los aspectos más relevantes a la hora del diseño de un SIS, su integración con otros sistemas dentro y fuera de la planta, y las consideraciones fundamentales de la implementación
Página 1 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
de la Ciberseguridad para proteger la integridad de las personas, las instalaciones y los datos. 3 3.1
Desarrollo Diferentes Sistemas de Control
A continuación se definen algunos conceptos básicos para los sistemas de control y seguridad: 3.1.1 Sistema básico de control de proceso (BPCS) Es un sistema que responde a las señales de entrada de un proceso, a sus equipos asociados, a otros sistemas programables y/o operadores de planta generando salidas que se ajustan continuamente con el fin de controlar el proceso y operar la planta en forma deseada, pero no realiza ninguna función instrumentada de seguridad. Actualmente el sistema más común implementado es el sistema de control distribuido (DCS). 3.1.2 Sistema de Seguridad (SS) Un sistema de seguridad es una composición de sistemas y equipos que realizan tareas de seguridad tanto en materia de prevención como de mitigación. Pueden ser de accionar activo o pasivo, trabajando sobre la frecuencia de eventos peligrosos y/o sobre la consecuencia del evento. Dentro de estos sistemas y equipos encontramos a los Sistemas Instrumentados de Seguridad (SIS), los cuales se suelen renombrar conforme a su uso o aplicación como ESD (Emergency ShutDown), ESS (Emergency Shutdown System), FGS (Fire and Gas System) o F&G (Fire and Gas), etc. 3.1.3 Central de detección y lucha contra incendio La central de lucha contra incendio es un equipo que contiene un controlador electrónico programable con manejo de entradas y salidas digitales y analógicas cuyas función principal es actuar sobre sistemas de aviso sonoros y visuales ante una detección de humo y/o calor, o bien, por la acción sobre un pulsador en forma manual de alguna persona. Este equipo es parte del sistema de seguridad pero no cumple funciones de prevención sino de mitigación, aportando a los sistemas de evacuación en planta. 3.2
Sistemas instrumentados de seguridad (SIS)
3.2.1 Riesgo y Eventos Peligrosos El riesgo en la industria existe siempre y ha crecido a lo largo del tiempo debido al cambio de pequeñas operaciones (procesos simples) a grandes operaciones (procesos complejos con varios trenes de producción). Página 2 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
La definición utilizada de Riesgo (R) en la industria de los sistemas de seguridad define a éste como el producto de la probabilidad de la ocurrencia (P) y la severidad de la consecuencia (C) de un evento peligroso. Entonces, ¿Qué es el Peligro y que se considera un Evento Peligroso? Existen varias definiciones de peligro; las normas IEC 61508/61511 lo definen como la “fuente potencial de producir daño”. Un evento peligroso ocurre cuando el daño potencial se transforma en real. Generalmente, un evento peligroso está asociado a un escenario peligroso. Como ejemplo podemos citar un recipiente que contiene algún agente corrosivo (peligro), y que al contacto con la piel humana produce irritación de la misma (riesgo). Si dicho recipiente se encuentra aislado, en un lugar donde no haya presencia de personas, el peligro existe pero no produce riesgo, por lo tanto no hay evento ni escenario peligroso. Por el contrario, la presencia de una persona como mínimo en el lugar, transforma a ese agente corrosivo en una fuente real de daño y existe riesgo de que la persona pueda lastimarse, convirtiéndose la situación en un escenario peligroso. Lo primero que se debe hacer es identificar los peligros y si éstos pueden o no producir eventos peligrosos. Cada evento peligroso tendrá un riesgo asociado. Al instalar una planta nueva, el primer gran trabajo es identificar los eventos peligrosos, definir el riesgo y catalogarlo. Existen muchas técnicas de identificación y análisis de riesgos entre las cuales podemos citar al HAZOP (HAZard and OPerability analysis), FMEA (Failures Modes and Effects Analisys), FTA (Fault Tree Analysis), LOPA (Layer Of Protection Analysis), entre otras. Luego de la identificación y análisis de riesgos, si dichos riesgos se consideran no tolerables será necesario realizar técnicas o procesos para reducir el riesgo. En la práctica existen métodos activos, que trabajan tanto en la Consecuencia como en la Frecuencia del Evento, técnicas pasivas que modifican solamente la consecuencia del evento y aparecen los Sistemas Instrumentados de Seguridad (SIS) que trabajan a nivel de la frecuencia de un evento peligroso. A cada evento peligroso (que merezca reducir su riesgo) se le asociará una “función instrumentada de seguridad” (SIF), las cuales en conjunto conformarán el SIS. Un sistema instrumentado de seguridad (SIS: Safety Instrumented System) es un sistema independiente compuesto por sensor/es, “logic solvers” y elemento/s final/es, y sistemas de soporte, que realiza funciones específicas para alcanzar o mantener el estado seguro (En inglés safety, NO security). Ejemplos: HIPPS (High Integrity Pressure Protection System), BMS (Burner Management System), PLC de seguridad + Transmisores + SDV (shutdown valve). Página 3 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Una función instrumentada de seguridad (SIF: Safety Instrumented Function) es lo que usualmente llamamos “un lazo de seguridad”. Cada SIF describe una función de seguridad y está asociada a un evento peligroso al cual se debe reducir su riesgo al punto de que sea tolerable o residual. Un ejemplo de una SIF sería, si el “el transmisor de temperatura TT-104 supera los 65 °C, cerrar la válvula SDV-102 en un tiempo de 4 segundos con un nivel de confiabilidad SIL2”. Un SIS es tomado como una capa de protección independiente que cumple la función de prevenir el evento peligroso. Junto con otras capas de protección, como ser el diseño de planta y la intervención del operador, conforman la etapa de prevención de una planta. 3.2.2 Confiabilidad y Disponibilidad La confiabilidad o integridad de cada SIF es medida con el nivel de SIL que se le asocia a esa función. En un SIS pueden existir varias funciones de seguridad y todas ellas pueden o no coincidir en su nivel de SIL. La definición según la norma IEC 61508/61511 define al nivel de SIL (Safety Integrity Level) como un nivel discreto (de 1 a 4) para especificar los requerimientos integrales de seguridad de una función instrumentada de seguridad (SIF) a ser implementada en un sistema instrumentado de seguridad (SIS). La integridad de seguridad consiste de dos elementos: Integridad de seguridad del hardware: La misma se puede calcular con un nivel de certeza razonable en función del hardware empleado. Integridad de seguridad sistemática: Es difícil de calcular ya que puede ser causada por error de diseño de hardware o error de software. La norma IEC 61508 indica los requisitos de diseño, técnicas, medidas, etc. para cada nivel de SIL de manera de mantenerla acotada. El SIL es la forma en que medimos el desempeño de las funciones de seguridad ejecutadas por nuestro sistema de seguridad. El nivel de SIL debe ser considerado por: los “dueños de los procesos” al momento de establecer cuales funciones de seguridad se requieren y con qué nivel de SIL, las empresas de ingeniería, desarrolladores de productos e integradores de sistemas y equipos de seguridad, los cuales deberán saber cómo construir sus dispositivos para que cumplan con el SIL requerido y, los operadores del proceso, que tendrán que saber cómo operar, mantener y reparar las funciones de seguridad y sistemas para mantener los niveles de SIL identificados. El nivel de SIL tiene las siguientes propiedades: Se aplica a la función de seguridad completa. Página 4 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Existen requerimientos Técnicos y No Técnicos para cada nivel de SIL Uno de los más famosos requerimientos del SIL es la Probabilidad de Falla en Demanda (PFD). Existen alrededor de 1000 requerimientos de SIL (Técnicos y No Técnicos). Existen requerimientos de SIL tanto para el Hardware como para el Software que se implementa para ejecutar la SIF. Un SIL más alto implica requerimientos más estrictos y que la función de seguridad falle menos y, por lo tanto, tenga mayor disponibilidad.
Es importante diferenciar los conceptos de Disponibilidad de Seguridad y Disponibilidad de Proceso (Availability). La probabilidad de falla en demanda (PFD) es una medida de la disponibilidad de la SIF (Safety Availability = 1-PFD) y No de la disponibilidad del proceso. La PFD nos ayuda a saber qué tan probable es que la función de seguridad esté disponible, o mejor, no esté disponible cuando la necesitamos. Desde la perspectiva del usuario final y desde el punto de vista de la seguridad, se trata de una medida que se relaciona directamente con la reducción de riesgo alcanzado al ejecutar el proceso. Sin embargo, una función de seguridad no sirve de nada cuando causa demasiados disparos espurios (no necesarios), es decir, paradas de procesos no deseadas cuando el proceso estaba funcionando normalmente. Estos disparos innecesarios son causados por fallas internas del o los dispositivos de seguridad debido a fallas aleatorias del hardware, fallas de causa común o fallas sistemáticas. Las funciones de seguridad que causan disparos espurios son indeseadas por dos razones. En primer lugar, los aspectos más peligrosos de la ejecución de un proceso son durante el inicio del proceso y cuando éste es detenido. Especialmente las paradas de proceso no deseadas son críticas ya que no son paradas controladas. Una función de seguridad que causa paradas de procesos no deseadas está provocando más problemas de seguridad que los que resuelve. Así que debemos evitar paradas innecesarias tanto como sea posible. En segundo lugar, una parada de planta, o parte de ella, provoca pérdidas de producción, y por lo tanto, pérdidas económicas para la empresa. Para un usuario final es importante tener SIF que ofrezcan altos niveles de disponibilidad desde el aspecto de la seguridad, como así también del proceso. Lamentablemente la disponibilidad del proceso no es tratada en las normas de seguridad funcionales existentes como la IEC 61508 e IEC 61511. Estas normas definen el nivel SIL pero no definen los niveles de rendimiento para los disparos espurios. Entre las normas más utilizadas en materia de sistemas instrumentados de seguridad a nivel mundial se encuentran: ISA SP-91: “Identification of Emergency Shutdown Systems and Controls That are Critical to Maintaining Safety in Process Industry” ANSI/ISA S84.01-1996 (2004): “Application of Safety Instrumented Systems for the Process Industries”. Página 5 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
IEC 62061: “Safety of Machinery – Functional safety of electrical, electronic and programmable control systems for machinery” IEC 61508: “Functional Safety: Related Systems” IEC 61511: “Functional Safety Instrumented Systems for the Process Industry Sector” 3.2.3 Ciberseguridad Como tema complementario al SIS y que cada vez toma mayor relevancia en la implementación de los sistemas de seguridad y control de procesos es el de la Ciberseguridad. El hecho de que muchas de las plantas industriales formen parte de la infraestructura crítica de una región o país, hacen que los hackers hayan tomado un alto interés en vulnerar a estos sistemas y provocar daños. Los sistemas de control en la actualidad son sistemas basados en computadoras que se utilizan para controlar y supervisar procesos sensibles y funciones físicas. En este caso, el término sistema de control se refiere en forma genérica a hardware, firmware, comunicaciones y software que se encargan de supervisar y controlar las funciones vitales de los sistemas físicos. En este contexto, los ataques a la CiberSeguridad Industrial (ICS) se define como la penetración en los Sistemas de Control (IACS) por cualquier vía de comunicación y/o acceso de forma tal de manipular los procesos controlados con la intención de causar daño o de interrumpir las operaciones de un proceso. Los ataques contra los sistemas de control y seguridad pueden resultar en la interrupción de servicios, ocasionar daños físicos, pérdida de vidas, perjuicios económicos severos y/o efectos en cascada causando la interrupción de otros servicios. La Ciberseguridad aplica a todos los niveles de un proceso: Nivel 0 (Capa de Campo) Nivel 1 (Capa de Control) Nivel 2 (Capa de Supervisión) Nivel 3 (Capa de Gestión de Procesos) En cuanto a las normas que aplican actualmente a los temas de Ciberseguridad podemos citar: IEC 62443: “Industrial Network and System Security” ISA 99: “Industrial Automation and Control Systems (IACS) Security” SP800-82: “Guide to Industrial Control Systems (ICS) Security” API Standard 1164: “SCADA Security” Los IACS operan hoy en día equipamiento de plantas industriales y procesos críticos. Los ataques a estos sistemas pueden provocar: Muertes, Peligros y enfermedades. Página 6 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Daños ambientales severos y/o irreversibles. Pérdidas de producción, interrupción de servicios. Fuera de especificación y productos peligrosos. Pérdida de secretos industriales.
La seguridad a los Sistemas Industriales consiste en prevenir que los ataques -ya sea que sean intencionales o no- interfieran en la adecuada operación de la planta y de sus procesos. Los diseñadores e integradores de los sistemas de seguridad deben conocer cada vez más los peligros que pueden surgir de estos tipos de ataques y evitar los accesos, ya sean, físicos y/o lógicos a los sistemas de control y seguridad en el mayor grado que sea posible. Por todo esto, es necesario considerar en nuestros diseños de planta la opción de incorporar de un nivel 4 o capa Enterprise o Corporativa, la cual tendrá relación directa con los sistemas de gestión de procesos. Existen diferencias significativas entre los Sistemas de IT Corporativos y los Sistemas Industriales, aun siendo infraestructuras críticas. Los problemas generalmente ocurren porque las premisas adoptadas de IT no son necesariamente válidas en el ámbito industrial. La Ciberseguridad industrial debe resolver las cuestiones relacionadas con la Seguridad, que no es normalmente tenida en cuenta en los Sistemas Corporativos. Podemos mencionar cinco puntos a tener en cuenta en cuestiones de Ciberseguridad, considerando las diferentes perspectivas de los Sistemas de IT y Sistema de Control (IACS): a) Prioridad
IT
IACS Mayor Prioridad
Disponibilidad Integridad Confidencialidad
Confidencialidad Integridad Disponibilidad Menor Prioridad
b) Tiempo Real Redes y Sistemas de IT No son en tiempo real La respuesta debe ser confiable Las demoras elevadas y la dispersión es normalmente aceptada
Página 7 de 16
Redes y Sistemas de Control Tiempo real La respuesta es crítica en el tiempo Las demoras son una verdadera preocupación y problema
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
c) Gestión de Cambios Redes y Sistemas de IT Operación programada La fallas ocasionales son aceptadas Productos Beta en producción son comúnmente aceptados Las modificaciones son posibles de realizar con poca burocracia
Redes y Sistemas de Control Operación continua Las fallas son inaceptables Los productos Beta son aceptados en ambientes no productivos. Se requiere una certificación formal luego de cualquier modificación
d) Aplicaciones Redes y Sistemas de IT Sistemas operativos y aplicaciones usualmente de mercado Ya hay una gran cantidad de soluciones a la Seguridad de IT
Redes y Sistemas de Control Normalmente se encuentran Sistemas Operativos y Aplicaciones inusuales Muchas de las soluciones de Seguridad de IT no funcionan correctamente. La tolerancia a fallas es esencial
e) Gestión del Riesgo Redes y Sistemas de IT Redes y Sistemas de Control La integridad de datos es Seguridad Humana es primordial primordial El impacto del Riesgo es la pérdida El impacto del riesgo es la pérdida de datos y daños al negocio de Vidas Humanas, Equipamiento, Producción y/o Productos La recuperación se realiza reLa tolerancia a fallas es esencial iniciando el sistema En conclusión podemos decir que si bien la seguridad de los Sistemas de IT ya es un problema atendido en todas las compañías, la aplicación en el ambiente industrial es un desafío diferente debido a las diferentes prioridades y enfoques que se manejan en cada una de las áreas. La implementación de soluciones estándares de Sistemas de IT en ambientes industriales (sin ningún tipo de filtro) podrían causar más daño que beneficios y por lo tanto las soluciones a implementar deben considerar soluciones específicamente pensadas para este tipo de ambientes.
Página 8 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
4
Caso de estudio – Área a instrumentar o controlar
El proceso que tomaremos como caso de estudio consiste en una planta de extracción, tratamiento, exportación y venta de gas y condensado (crudo). La misma se compone de una serie de pozos los cuales abastecen a los diferentes trenes de tratamiento ubicados en la planta. El fluido que llega a la planta desde cada uno de los pozos de extracción es un poliproducto, compuesto por crudo, gas, agua, sales y otros productos químicos, que a lo largo del proceso, previo a su exportación, es separado y acondicionado adecuadamente según los estándares y requerimientos de producción que solicita el cliente final. El producto final Gas, es comprimido y enviado a su punto de venta que se encuentra a 100 Km de la planta principal. El producto Condensado (crudo) es bombeado a su punto de venta a 20 Km de la planta.
Fig. 1. Overview general de la planta objeto de estudio
La planta cuenta con un Manifold de entrada, el cual, mediante su correcta operación, distribuye el producto entrante al separador de ensayo, o bien a los trenes de tratamiento y producción. El proceso cuenta con un sistema propio de extracción e inyección de agua ubicado a 10 Km de la planta. Dicho sistema tiene su propio sistema de control y seguridad que se vincula mediante Fibra Óptica (FO) con la planta principal.
Página 9 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Dentro del paquete de utilidades y servicios, encontramos Compresores de Aire, Compresores de Propano, Compresores y Bombas de Exportación, Calentadores eléctricos, Hornos de Hot Oil, Unidades de Nitrógeno, Centrales de Incendio, Sistema de tratamiento de Aire acondicionado (HVAC), Unidades de potencia hidráulica (HPU), Generadores Eléctricos a Gas, Generador de Emergencia (Diésel), entre los principales equipos. Todos estos son vinculados con la planta mediante FO y cableado de cobre en 2 hilos, mediante protocoles industriales como Modbus TCP/IP y Modbus RTU, bajo normas Ethernet y RS-485, respectivamente. 4.1
Consideraciones del diseño o requisitos del cliente
El sistema de control de procesos (PCS) mediante un sistema de control distribuido (DCS) es el encargado de atender todas las funciones de control de las instalaciones, como ser, lazos PID, lógicas de arranque y paro automático de bombas y equipos, cálculos de compensación de caudal, integración de caudales (caudal acumulado), etc. Este sistema es el encargado de concentrar toda la información del resto de los sistemas (ESD, FGS, PSS) y equipos paquetes (compresores, generadores eléctricos, calentadores, hornos, HVAC, HIPS, etc.) y presentar la misma en las estaciones de operación ubicadas en la sala de control principal. Las comunicaciones del DCS se realizan mediante enlaces redundantes entre todos los dispositivos que lo conforman, y entre éste y los equipos críticos (ESD, FGS, PSS y HIPS). El sistema de seguridad de Fuego y Gas (FGS) es el encargado de monitorear todos los detectores de gas y fuego de las instalaciones, y ante una detección, realizar el arranque de las bombas de lucha contra incendio y la actuación de las válvulas de diluvio del área correspondiente. Este sistema tiene un diseño “Energize To Trip”, es decir, que los elementos de entrada y salida deben energizarse para realizar la función de seguridad. En estos casos, es necesario contar con módulos de entrada y salida que tengan monitoreo de línea de modo que el sistema alerte a los operadores en caso que exista una falla que no permita actuar la seguridad. Este sistema debe ser completamente redundante en cuanto a alimentaciones, procesadores, comunicaciones, módulos de entrada y salida, alcanzando una disponibilidad mínima de 99,99% y con un nivel de confiabilidad SIL 3. El sistema de seguridad de emergencia (ESD) es el encargado de llevar a las instalaciones a un estado seguro en caso de emergencia, protegiendo así el personal, el medio ambiente y los activos de la empresa. Realiza las funciones de seguridad principales de paro de emergencia y despresurización de las instalaciones, actuando sobre unidades de proceso principales (Nivel 1) y subunidades (Nivel 2). Este sistema tiene un diseño “De-energize To Trip”, es decir, que los elementos de entrada y salida deben desenergizarse para realizar la función de seguridad. Este sistema debe ser completamente redundante en cuanto a alimentaciones, procesadores, comunicaciones, módulos de entrada y salida, alcanzando una disponibilidad mínima de 99,99% y con un nivel de confiabilidad SIL 3. Página 10 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
El sistema de seguridad de procesos (PSS) forma parte de los sistemas de seguridad de la instalación. El mismo se encarga de llevar a cabo automáticamente la parada segura de unidades o equipos (Nivel 3). Este sistema debe ser redundante en cuanto a alimentaciones, procesadores y comunicaciones, no necesariamente en los módulos de entradas y salidas, alcanzando una disponibilidad mínima de 99,97% con un nivel de confiabilidad SIL 2. En el caso de las locaciones remotas (pozos, gasoducto y oleoducto de exportación) existen funciones de control, de paro de emergencia, de gas y fuego y de seguridad de proceso. Dado que las mismas son instalaciones pequeñas, es decir que tienen una cantidad de entradas y salidas notablemente inferior a la planta, un único sistema SIS puede cumplir con todas las funciones, con la particularidad de que los chasis y módulos de entrada y salida deben ser dedicados para cada sistema. Este sistema integrado debe alcanzar una disponibilidad mínima de 99,99% y debe ser SIL 2. Las locaciones remotas tienen dos modos de operación: uno remoto desde la sala de control principal y otro local a través de un panel de operación (HMI). Desde este último, el Operador puede realizar el monitoreo y control en forma totalmente independiente de la sala de control. Para atender los requerimientos de Ciberseguridad exigidos por la compañía, se instalaron Firewalls para interconectar equipos de terceros con los servidores Modbus TCP y Modbus RTU, y también para conectar las redes del cliente con los servidores de datos e históricos ubicados en la planta. Además, todas las oficinas y sectores de la planta cuentan con acceso restringido a través de sistemas de detección biométricos y magnéticos, complementado con un constante monitoreo mediante cámaras de seguridad de última generación conectadas a los diferentes puestos de control. 4.2
Implementación del caso/soluciones adoptadas
En función de los requerimientos del cliente y del diseño básico de las instalaciones se realiza la especificación técnica del sistema de control y seguridad indicando además requerimientos de diseño propios. La planta cuenta con una cantidad de aproximadamente 2500 puntos de entrada/salida cableados y más de 2000 puntos provenientes por comunicaciones. Se define así la arquitectura del sistema en la que se expresa gráficamente lo expuesto en la especificación.
Página 11 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Fig. 2. Arquitectura del sistema de control y seguridad de la planta objeto de estudio
En el proyecto se definió que el sistema de ESD y FGS de la planta estén integrados en un único SIS controlado por un único PLC. La consideración particular fue que los chasis y módulos de entradas y salidas estén divididos de acuerdo a su sistema asociado. Como requerimiento extra, en el caso de implementar sistema de votaciones, los instrumentos asociados debían ser segregados en diferentes tarjetas con el fin de evitar que la falla de una tarjeta produjera la pérdida completa de la función de seguridad. Se decidió integrar ambos sistemas debido a que los mismos tienen una gran cantidad de funciones de seguridad de la que ambos son parte. Esto disminuyó en gran medida la cantidad de entradas y salidas que hubieran sido necesarias para realizar estas funciones de seguridad entre sistemas independientes reduciendo, de esta forma, la complejidad del sistema y sus costos asociados. Debido a requerimientos del cliente, el sistema PSS de la planta no se pudo integrar junto al ESD/FGS, por lo que resultó en un sistema independiente, aunque vinculado a éste último mediante un protocolo propietario seguro con certificado SIL3. En pozos, gasoducto y oleoducto de exportación se utilizó un único controlador para integrar las funciones de ESD/FGS/PSS/PCS. La exigencia por parte del cliente fue que los módulos de entrada/salida estén segregados por sistema. Integrar todas las funciones en un solo PLC disminuyó en gran medida la cantidad de entradas y salidas que hubieran sido necesarias para realizar estas funciones de seguridad entre sistemas independientes, reduciendo de esta forma la complejidad del sistema y bajando costos.
Página 12 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Se determinó que para las comunicaciones con equipos paquetes se utilizara protocolo Modbus (TCP o RTU según el equipo) de modo de estandarizar un único protocolo de campo. Se eligió Modbus debido a que es un protocolo de comunicaciones abierto y relativamente sencillo de implementar, existen muchas marcas de equipos de sistemas de control y seguridad en el mercado que lo utilizan como protocolo estándar de comunicación y es fácil de diagnosticar en caso de falla o mal funcionamiento. En función de la ingeniería de detalle del proyecto (P&ID, matriz causa-efecto, estudio HAZOP y LOPA) se dimensionó cada uno de los sistemas y se generó la lista de señales. Se confeccionó una especificación de requerimientos de seguridad en la que se detallan todas las funciones instrumentadas de seguridad (SIF). En base a esto y a los requerimientos del cliente se determinó el nivel SIL de cada sistema.
ESD/FGS: SIL 3 PSS: SIL 2 Sistemas integrados de pozos, gasoducto y oleoducto de exportación: SIL 3
En este último, si bien los requerimientos iniciales del cliente señalaban que fuera SIL 2, por los resultados obtenidos del Estudio HAZOP se determinó que debían ser SIL 3. Definida la especificación técnica del sistema de control y seguridad, la arquitectura del sistema y la lista de señales, se seleccionaron la marca y modelo de cada sistema que mejor se adecuaba a los requerimientos. Para evitar problemas de compatibilidad y para que la integración de los sistemas fuese más sencilla, se decidió que la marca de todos los sistemas fuera la misma. El mismo concepto se aplicó eligiendo los modelos de los PLC para los SIS. Determinada la marca y modelo de los sistemas se actualizan todos los documentos de modo que especifiquen concretamente al sistema en cuestión. Si bien existen puntos en común entre los sistemas de distintas marcas, tienen particularidades que los definen y que deben ser debidamente documentadas. Desde el punto de vista de la Ciberseguridad, el primer paso fue realizar un análisis de riesgo cibernético en conjunto con el cliente, del cual se determinó, entre otras cosas, que era necesario instalar firewall entre la red de control y la red de campo de modo de impedir que equipos paquetes generen tráfico de datos indebido hacia el sistema de control de la planta impidiendo su normal funcionamiento. Del mismo modo, se determinó que deberían de ser implementados las siguientes medidas asociadas a la seguridad física:
Sistema de Control de Acceso (ACS) CCTV Requerimientos globales del proyecto donde se obliga a la utilización de bloqueo de puertas con cerradura para todos los gabinetes de infraestructura crítica de la planta.
Página 13 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
También se tomaron medidas en los aspectos lógicos de la seguridad informática referidos al acceso a los equipos y programas mediante usuario y contraseña personalizada y el hecho de mantener actualizados los antivirus y sistemas operativos con las últimas revisiones disponibles. 4.3
Problemáticas encontradas durante la implementación
La ingeniería básica determinaba que las instalaciones de pozos y puntos de venta deberían tener un panel de operación local para realizar funciones básicas de operación del sitio. Dicho panel debería ser totalmente independiente del PCS y, a su vez, comunicarse en forma directa con el controlador local. En base a estos requerimientos se seleccionó un panel de operación local del mismo fabricante de los sistemas implementados. Varios meses después de adquirido los sistemas de control y seguridad objeto de este estudio, comenzó a participar en la revisión del proyecto el grupo de Operaciones y Mantenimiento responsable del manejo de la planta. Este equipo requirió que estas locaciones tuvieran un modo de operación sincronizado con el sistema de control central. Debido a que la tecnología seleccionada anteriormente no permitía cumplir con este requerimiento en forma estándar, se tuvieron que implementar soluciones alternativas por medio de programación de alta complejidad. El nivel de complejidad de la solución adoptada incrementó la necesidad de capacitación al personal de mantenimiento y la cantidad de documentación generada como parte de la ingeniería de detalle, lo cual no fue previsto al inicio del proyecto, impactando en costos y cumplimiento de plazos del programa de trabajo.
El alto volumen de información a obtener de cada instrumento de campo solicitado en los estándares del cliente requirió una alta complejidad a la hora de la selección del equipamiento a utilizar y de la implementación de la solución. Varias soluciones estándares del mercado no pudieron cumplir con el alto nivel de requerimientos y no pudieron ser tenidas en cuenta para este proyecto.
Uno de los principales requerimientos del cliente fue la posibilidad de que los sistemas pudieran ser mantenidos y ampliados en el futuro con la planta en servicio. Del mismo modo el cliente solicitó que los sistemas tuvieran un período de obsolescencia no inferior a 15 años desde el inicio de la puesta en marcha de la planta. Este requerimiento disminuyó dramáticamente las alternativas disponibles en el mercado e hizo que la selección de la solución tecnológica adecuada fuera muy compleja por la gran cantidad de requisitos simultáneos.
Página 14 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
Esto se consiguió con un fuerte apoyo de los proveedores preseleccionados, donde se combinó las posibilidades de cada una de las tecnologías ofrecidas y los requerimientos del cliente. 5
Conclusiones
A lo largo del desarrollo e implementación de las soluciones y medidas adoptadas durante el proyecto nos encontramos con diferentes problemáticas tanto en los aspectos técnicos como no técnicos. Luego de un análisis detallado de cada situación podemos determinar los siguientes aspectos a considerar en futuros proyectos:
Página 15 de 16
El éxito del proyecto estuvo asociado a comprender y definir correctamente las necesidades del cliente. Las exigencias de sus normas y procedimientos impactaron fuertemente en las soluciones tomadas. Derivado de este punto se pudo hacer una adecuada selección de la tecnología a instalar, la cual tuvo que ser abordada al inicio del proyecto. Este hecho no fue para nada menor debido a la imposibilidad de cambiar de tecnología una vez seleccionada y adquirida la misma. Cabe destacar que estos requerimientos fueron mucho mayores que los estándares para este tipo de planta para otros clientes También fue muy importante mantener una periódica comunicación con el cliente para minimizar los desvíos, o bien, poder actuar con anticipación ante una demanda fuera del alcance. Establecer el alcance del proyecto con todos los interesados en el mismo (Producción, Operaciones y Mantenimiento) y dejar en claro cuáles son los objetivos del proyecto para cada uno de los mismos en las etapas tempranas del proyecto. El hecho de elegir la misma marca y familia de equipos para los sistemas de control y de seguridad simplificó la configuración y mantenimiento de los sistemas. Debido a esta solución elegida, pudo ser fácilmente atendida la complejidad de la matriz causa-efecto, ya que la misma requirió una muy alta interacción entre los distintos sistemas de seguridad (PSS/ESD/FGS) tanto en planta como en las locaciones remotas. También debido a este enfoque adoptado, en la etapa de desarrollo se reutilizaron los códigos de configuración de típicos, disminuyendo los tiempos de aprendizaje y elaboración. Como resultado final de la solución seleccionada, en la etapa de Operación y Mantenimiento se redujo el tiempo de localización de los distintos tipos de fallas. Como desarrollador e integrador del SIS, es vital contar con la documentación que deriva del Estudio HAZOP y requerimientos de SIL. La misma deberá contener todas las SIF a implementar, con un nivel de detalle que permita considerar las exigencias tecnológicas para cada SIF especificada.
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ
VIII CAIQ2015 y 3 JASP
6
Desde el punto de vista de la Ciberseguridad, fue muy importante el hecho de poder conjugar la seguridad física con la seguridad informática para lograr los niveles de exigencia del cliente al momento de proteger los activos críticos de la planta. Este aspecto novedoso en el diseño de las plantas se ha transformado en un punto de atención no sólo al momento del diseño de la misma, sino principalmente durante la operación, debido a las constantes modificaciones y desarrollos de las amenazas externas que fuerzan una continua atención a la actualización y mantenimiento de estas defensas.
Referencias
WiseCourses Academy (2015) “Introducción a la CibeSeguridad industrial e Infraestructura Crítica” Dr. M.J.M. Houtermans (2006) “Safety Availability Versus Process Availability - Introducing Spurious Trip Levels™” International Standard IEC 61511-01 (2003) “Functional safety – Safety instrumented systems for the process industry sector” International Standard IEC 61508-1 (1998) “Functional safety of electrical/electronic/programmable electronic safety-related systems”
Página 16 de 16
AAIQ, Asociación Argentina de Ingenieros Químicos - CSPQ