VIII CAIQ2015 y 3 JASP

DISEO E IMPLEMENTACIN DE UN SISTEMA DE

SEGURIDAD DE PROCESOS EN INSTALACIONES NUEVAS
Guillermo Sosa, Martin Krenek
TECNA Estudios y Proyectos de Ingeniera
(C1107CLA) Capital Federal Argentina
TE: (+5411) 4347-9042
www.tecna.com

1 Resumen

La correcta interpretacin de las normativas existentes en materia de seguridad de

procesos y los requerimientos de los clientes, asociados a las tecnologas disponible en
el mercado, hacen que las primeras etapas de un proyecto sean crticas para el xito del
mismo. Esta interpretacin junto con los requisitos del cliente determina el alcance del
proyecto, el cual define, entre otras cosas, la tecnologa a implementar.
Para abordar el caso de estudio que les presentaremos, en primer lugar, se tratarn
las principales diferencias entre un Sistema Instrumentado de Seguridad (SIS), un
Sistema Bsico de Control de Procesos (BPCS) y un sistema de deteccin y lucha contra
incendios. Se explicar la diferencia entre el concepto de confiabilidad (nivel SIL) y el
de disponibilidad de un SIS y cmo impactan y determinan las funciones
instrumentadas de seguridad (SIF) que componen un SIS.
Luego, se describir brevemente las reas de procesos involucradas en nuestra
planta objeto de estudio, enfatizando las consideraciones y problemticas al momento
de realizar el diseo del SIS y su conectividad con el resto de los sistemas.
Y para finalizar, se focalizar en los aspectos bsicos y esenciales para la seleccin
de un Sistema de Seguridad (SS) considerando el tamao de las instalaciones y cmo es
posible integrar varios sistemas, ya sean de Control y/o de Seguridad, utilizando varios
protocolos de comunicaciones (genrico o propietario) con distintos tipos de redes y que
rol cumple la Ciberseguridad en el diseo de la red.

Palabras clave: SIS, SIL, SIF, FGS, SS, disponibilidad, seguridad

2 Introduccin

El objetivo principal es exponer los aspectos primordiales a considerar en el diseo

de un SIS, considerando el tamao de las instalaciones objeto de estudio, la vinculacin
entre los diferentes sistemas de la planta, los requisitos del cliente y la variedad de
tecnologas disponibles en el mercado.
Basndonos en nuestra experiencia, habiendo interactuado con diferentes
tecnologas y participado en diferentes soluciones para mltiples clientes en sectores de
la industria como los hidrocarburos y la energa nuclear, intentaremos transmitir los
aspectos ms relevantes a la hora del diseo de un SIS, su integracin con otros sistemas
dentro y fuera de la planta, y las consideraciones fundamentales de la implementacin

Pgina 1 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

de la Ciberseguridad para proteger la integridad de las personas, las instalaciones y los

datos.

3 Desarrollo

3.1 Diferentes Sistemas de Control

A continuacin se definen algunos conceptos bsicos para los sistemas de control y

seguridad:

3.1.1 Sistema bsico de control de proceso (BPCS)

Es un sistema que responde a las seales de entrada de un proceso, a sus equipos

asociados, a otros sistemas programables y/o operadores de planta generando salidas
que se ajustan continuamente con el fin de controlar el proceso y operar la planta en
forma deseada, pero no realiza ninguna funcin instrumentada de seguridad.
Actualmente el sistema ms comn implementado es el sistema de control distribuido
(DCS).

3.1.2 Sistema de Seguridad (SS)

Un sistema de seguridad es una composicin de sistemas y equipos que realizan

tareas de seguridad tanto en materia de prevencin como de mitigacin. Pueden ser de
accionar activo o pasivo, trabajando sobre la frecuencia de eventos peligrosos y/o sobre
la consecuencia del evento.
Dentro de estos sistemas y equipos encontramos a los Sistemas Instrumentados de
Seguridad (SIS), los cuales se suelen renombrar conforme a su uso o aplicacin como
ESD (Emergency ShutDown), ESS (Emergency Shutdown System), FGS (Fire and Gas
System) o F&G (Fire and Gas), etc.

3.1.3 Central de deteccin y lucha contra incendio

La central de lucha contra incendio es un equipo que contiene un controlador

electrnico programable con manejo de entradas y salidas digitales y analgicas cuyas
funcin principal es actuar sobre sistemas de aviso sonoros y visuales ante una
deteccin de humo y/o calor, o bien, por la accin sobre un pulsador en forma manual
de alguna persona. Este equipo es parte del sistema de seguridad pero no cumple
funciones de prevencin sino de mitigacin, aportando a los sistemas de evacuacin en
planta.

3.2 Sistemas instrumentados de seguridad (SIS)

3.2.1 Riesgo y Eventos Peligrosos

El riesgo en la industria existe siempre y ha crecido a lo largo del tiempo debido al

cambio de pequeas operaciones (procesos simples) a grandes operaciones (procesos
complejos con varios trenes de produccin).

Pgina 2 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

La definicin utilizada de Riesgo (R) en la industria de los sistemas de seguridad

define a ste como el producto de la probabilidad de la ocurrencia (P) y la severidad de
la consecuencia (C) de un evento peligroso. Entonces, Qu es el Peligro y que se
considera un Evento Peligroso?

Existen varias definiciones de peligro; las normas IEC 61508/61511 lo definen

como la fuente potencial de producir dao. Un evento peligroso ocurre cuando el
dao potencial se transforma en real. Generalmente, un evento peligroso est asociado a
un escenario peligroso.

Como ejemplo podemos citar un recipiente que contiene algn agente corrosivo
(peligro), y que al contacto con la piel humana produce irritacin de la misma (riesgo).
Si dicho recipiente se encuentra aislado, en un lugar donde no haya presencia de
personas, el peligro existe pero no produce riesgo, por lo tanto no hay evento ni
escenario peligroso. Por el contrario, la presencia de una persona como mnimo en el
lugar, transforma a ese agente corrosivo en una fuente real de dao y existe riesgo de
que la persona pueda lastimarse, convirtindose la situacin en un escenario peligroso.

Lo primero que se debe hacer es identificar los peligros y si stos pueden o no

producir eventos peligrosos. Cada evento peligroso tendr un riesgo asociado.

Al instalar una planta nueva, el primer gran trabajo es identificar los eventos
peligrosos, definir el riesgo y catalogarlo.

Existen muchas tcnicas de identificacin y anlisis de riesgos entre las cuales

podemos citar al HAZOP (HAZard and OPerability analysis), FMEA (Failures Modes
and Effects Analisys), FTA (Fault Tree Analysis), LOPA (Layer Of Protection
Analysis), entre otras.

Luego de la identificacin y anlisis de riesgos, si dichos riesgos se consideran no

tolerables ser necesario realizar tcnicas o procesos para reducir el riesgo.

En la prctica existen mtodos activos, que trabajan tanto en la Consecuencia como

en la Frecuencia del Evento, tcnicas pasivas que modifican solamente la consecuencia
del evento y aparecen los Sistemas Instrumentados de Seguridad (SIS) que trabajan a
nivel de la frecuencia de un evento peligroso.

A cada evento peligroso (que merezca reducir su riesgo) se le asociar una funcin
instrumentada de seguridad (SIF), las cuales en conjunto conformarn el SIS.

Un sistema instrumentado de seguridad (SIS: Safety Instrumented System) es un

sistema independiente compuesto por sensor/es, logic solvers y elemento/s final/es, y
sistemas de soporte, que realiza funciones especficas para alcanzar o mantener el
estado seguro (En ingls safety, NO security). Ejemplos: HIPPS (High Integrity
Pressure Protection System), BMS (Burner Management System), PLC de seguridad +
Transmisores + SDV (shutdown valve).

Pgina 3 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Una funcin instrumentada de seguridad (SIF: Safety Instrumented Function) es lo

que usualmente llamamos un lazo de seguridad. Cada SIF describe una funcin de
seguridad y est asociada a un evento peligroso al cual se debe reducir su riesgo al
punto de que sea tolerable o residual.

Un ejemplo de una SIF sera, si el el transmisor de temperatura TT-104 supera los

65 C, cerrar la vlvula SDV-102 en un tiempo de 4 segundos con un nivel de
confiabilidad SIL2.

Un SIS es tomado como una capa de proteccin independiente que cumple la

funcin de prevenir el evento peligroso. Junto con otras capas de proteccin, como ser
el diseo de planta y la intervencin del operador, conforman la etapa de prevencin de
una planta.

3.2.2 Confiabilidad y Disponibilidad

La confiabilidad o integridad de cada SIF es medida con el nivel de SIL que se le

asocia a esa funcin. En un SIS pueden existir varias funciones de seguridad y todas
ellas pueden o no coincidir en su nivel de SIL.

La definicin segn la norma IEC 61508/61511 define al nivel de SIL (Safety

Integrity Level) como un nivel discreto (de 1 a 4) para especificar los requerimientos
integrales de seguridad de una funcin instrumentada de seguridad (SIF) a ser
implementada en un sistema instrumentado de seguridad (SIS).

La integridad de seguridad consiste de dos elementos:

Integridad de seguridad del hardware: La misma se puede calcular con un
nivel de certeza razonable en funcin del hardware empleado.
Integridad de seguridad sistemtica: Es difcil de calcular ya que puede ser
causada por error de diseo de hardware o error de software. La norma IEC
61508 indica los requisitos de diseo, tcnicas, medidas, etc. para cada nivel
de SIL de manera de mantenerla acotada.

El SIL es la forma en que medimos el desempeo de las funciones de seguridad

ejecutadas por nuestro sistema de seguridad. El nivel de SIL debe ser considerado por:
los dueos de los procesos al momento de establecer cuales funciones de
seguridad se requieren y con qu nivel de SIL,
las empresas de ingeniera, desarrolladores de productos e integradores de
sistemas y equipos de seguridad, los cuales debern saber cmo construir
sus dispositivos para que cumplan con el SIL requerido y,
los operadores del proceso, que tendrn que saber cmo operar, mantener y
reparar las funciones de seguridad y sistemas para mantener los niveles de
SIL identificados.

El nivel de SIL tiene las siguientes propiedades:

Se aplica a la funcin de seguridad completa.

Pgina 4 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Existen requerimientos Tcnicos y No Tcnicos para cada nivel de SIL

Uno de los ms famosos requerimientos del SIL es la Probabilidad de Falla
en Demanda (PFD). Existen alrededor de 1000 requerimientos de SIL
(Tcnicos y No Tcnicos).
Existen requerimientos de SIL tanto para el Hardware como para el
Software que se implementa para ejecutar la SIF.
Un SIL ms alto implica requerimientos ms estrictos y que la funcin de
seguridad falle menos y, por lo tanto, tenga mayor disponibilidad.

Es importante diferenciar los conceptos de Disponibilidad de Seguridad y

Disponibilidad de Proceso (Availability).

La probabilidad de falla en demanda (PFD) es una medida de la disponibilidad de la

SIF (Safety Availability = 1-PFD) y No de la disponibilidad del proceso. La PFD nos
ayuda a saber qu tan probable es que la funcin de seguridad est disponible, o mejor,
no est disponible cuando la necesitamos. Desde la perspectiva del usuario final y desde
el punto de vista de la seguridad, se trata de una medida que se relaciona directamente
con la reduccin de riesgo alcanzado al ejecutar el proceso. Sin embargo, una funcin
de seguridad no sirve de nada cuando causa demasiados disparos espurios (no
necesarios), es decir, paradas de procesos no deseadas cuando el proceso estaba
funcionando normalmente. Estos disparos innecesarios son causados por fallas internas
del o los dispositivos de seguridad debido a fallas aleatorias del hardware, fallas de
causa comn o fallas sistemticas.

Las funciones de seguridad que causan disparos espurios son indeseadas por dos
razones. En primer lugar, los aspectos ms peligrosos de la ejecucin de un proceso son
durante el inicio del proceso y cuando ste es detenido. Especialmente las paradas de
proceso no deseadas son crticas ya que no son paradas controladas. Una funcin de
seguridad que causa paradas de procesos no deseadas est provocando ms problemas
de seguridad que los que resuelve. As que debemos evitar paradas innecesarias tanto
como sea posible. En segundo lugar, una parada de planta, o parte de ella, provoca
prdidas de produccin, y por lo tanto, prdidas econmicas para la empresa.

Para un usuario final es importante tener SIF que ofrezcan altos niveles de
disponibilidad desde el aspecto de la seguridad, como as tambin del proceso.

Lamentablemente la disponibilidad del proceso no es tratada en las normas de

seguridad funcionales existentes como la IEC 61508 e IEC 61511. Estas normas definen
el nivel SIL pero no definen los niveles de rendimiento para los disparos espurios.

Entre las normas ms utilizadas en materia de sistemas instrumentados de seguridad

a nivel mundial se encuentran:
ISA SP-91: Identification of Emergency Shutdown Systems and
Controls That are Critical to Maintaining Safety in Process Industry
ANSI/ISA S84.01-1996 (2004): Application of Safety Instrumented
Systems for the Process Industries.

Pgina 5 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

IEC 62061: Safety of Machinery Functional safety of electrical,

electronic and programmable control systems for machinery
IEC 61508: Functional Safety: Related Systems
IEC 61511: Functional Safety Instrumented Systems for the Process
Industry Sector

3.2.3 Ciberseguridad

Como tema complementario al SIS y que cada vez toma mayor relevancia en la
implementacin de los sistemas de seguridad y control de procesos es el de la
Ciberseguridad.

El hecho de que muchas de las plantas industriales formen parte de la

infraestructura crtica de una regin o pas, hacen que los hackers hayan tomado un alto
inters en vulnerar a estos sistemas y provocar daos.

Los sistemas de control en la actualidad son sistemas basados en computadoras que

se utilizan para controlar y supervisar procesos sensibles y funciones fsicas. En este
caso, el trmino sistema de control se refiere en forma genrica a hardware, firmware,
comunicaciones y software que se encargan de supervisar y controlar las funciones
vitales de los sistemas fsicos.

En este contexto, los ataques a la CiberSeguridad Industrial (ICS) se define como la

penetracin en los Sistemas de Control (IACS) por cualquier va de comunicacin y/o
acceso de forma tal de manipular los procesos controlados con la intencin de causar
dao o de interrumpir las operaciones de un proceso. Los ataques contra los sistemas de
control y seguridad pueden resultar en la interrupcin de servicios, ocasionar daos
fsicos, prdida de vidas, perjuicios econmicos severos y/o efectos en cascada
causando la interrupcin de otros servicios.

La Ciberseguridad aplica a todos los niveles de un proceso:

Nivel 0 (Capa de Campo)
Nivel 1 (Capa de Control)
Nivel 2 (Capa de Supervisin)
Nivel 3 (Capa de Gestin de Procesos)

En cuanto a las normas que aplican actualmente a los temas de Ciberseguridad

podemos citar:
IEC 62443: Industrial Network and System Security
ISA 99: Industrial Automation and Control Systems (IACS) Security
SP800-82: Guide to Industrial Control Systems (ICS) Security
API Standard 1164: SCADA Security

Los IACS operan hoy en da equipamiento de plantas industriales y procesos

crticos. Los ataques a estos sistemas pueden provocar:
Muertes, Peligros y enfermedades.

Pgina 6 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Daos ambientales severos y/o irreversibles.

Prdidas de produccin, interrupcin de servicios.
Fuera de especificacin y productos peligrosos.
Prdida de secretos industriales.

La seguridad a los Sistemas Industriales consiste en prevenir que los ataques -ya sea
que sean intencionales o no- interfieran en la adecuada operacin de la planta y de sus
procesos.

Los diseadores e integradores de los sistemas de seguridad deben conocer cada vez
ms los peligros que pueden surgir de estos tipos de ataques y evitar los accesos, ya
sean, fsicos y/o lgicos a los sistemas de control y seguridad en el mayor grado que sea
posible. Por todo esto, es necesario considerar en nuestros diseos de planta la opcin
de incorporar de un nivel 4 o capa Enterprise o Corporativa, la cual tendr relacin
directa con los sistemas de gestin de procesos.

Existen diferencias significativas entre los Sistemas de IT Corporativos y los

Sistemas Industriales, aun siendo infraestructuras crticas. Los problemas generalmente
ocurren porque las premisas adoptadas de IT no son necesariamente vlidas en el
mbito industrial. La Ciberseguridad industrial debe resolver las cuestiones relacionadas
con la Seguridad, que no es normalmente tenida en cuenta en los Sistemas Corporativos.

Podemos mencionar cinco puntos a tener en cuenta en cuestiones de Ciberseguridad,

considerando las diferentes perspectivas de los Sistemas de IT y Sistema de Control
(IACS):

a) Prioridad

IT IACS
Mayor Prioridad

Confidencialidad Disponibilidad
Integridad Integridad
Disponibilidad Confidencialidad

Menor Prioridad

b) Tiempo Real

Redes y Sistemas de IT Redes y Sistemas de Control

No son en tiempo real
La respuesta debe ser confiable
Las demoras elevadas y la
dispersin es normalmente
aceptada
Tiempo real
La respuesta es crtica en el tiempo
Las demoras son una verdadera
preocupacin y problema

Pgina 7 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

c) Gestin de Cambios

Redes y Sistemas de IT Redes y Sistemas de Control

Operacin programada
La fallas ocasionales son aceptadas
Productos Beta en produccin son
comnmente aceptados
Las modificaciones son posibles de
realizar con poca burocracia
Operacin continua
Las fallas son inaceptables
Los productos Beta son aceptados en
ambientes no productivos.
Se requiere una certificacin formal
luego de cualquier modificacin

d) Aplicaciones

Redes y Sistemas de IT Redes y Sistemas de Control

Sistemas operativos y aplicaciones
usualmente de mercado
Ya hay una gran cantidad de
soluciones a la Seguridad de IT
Normalmente se encuentran
Sistemas Operativos y Aplicaciones
inusuales
Muchas de las soluciones de
Seguridad de IT no funcionan
correctamente. La tolerancia a fallas
es esencial

e) Gestin del Riesgo

Redes y Sistemas de IT Redes y Sistemas de Control

La integridad de datos es Seguridad Humana es primordial
primordial
El impacto del Riesgo es la prdida El impacto del riesgo es la prdida
de datos y daos al negocio de Vidas Humanas, Equipamiento,
Produccin y/o Productos
La recuperacin se realiza re- La tolerancia a fallas es esencial
iniciando el sistema

En conclusin podemos decir que si bien la seguridad de los Sistemas de IT ya es un

problema atendido en todas las compaas, la aplicacin en el ambiente industrial es un
desafo diferente debido a las diferentes prioridades y enfoques que se manejan en cada
una de las reas.

La implementacin de soluciones estndares de Sistemas de IT en ambientes

industriales (sin ningn tipo de filtro) podran causar ms dao que beneficios y por lo
tanto las soluciones a implementar deben considerar soluciones especficamente
pensadas para este tipo de ambientes.

Pgina 8 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

4 Caso de estudio rea a instrumentar o controlar

El proceso que tomaremos como caso de estudio consiste en una planta de

extraccin, tratamiento, exportacin y venta de gas y condensado (crudo). La misma se
compone de una serie de pozos los cuales abastecen a los diferentes trenes de
tratamiento ubicados en la planta.

El fluido que llega a la planta desde cada uno de los pozos de extraccin es un poli-
producto, compuesto por crudo, gas, agua, sales y otros productos qumicos, que a lo
largo del proceso, previo a su exportacin, es separado y acondicionado adecuadamente
segn los estndares y requerimientos de produccin que solicita el cliente final.

El producto final Gas, es comprimido y enviado a su punto de venta que se

encuentra a 100 Km de la planta principal.

El producto Condensado (crudo) es bombeado a su punto de venta a 20 Km de la

planta.

Fig. 1. Overview general de la planta objeto de estudio

La planta cuenta con un Manifold de entrada, el cual, mediante su correcta

operacin, distribuye el producto entrante al separador de ensayo, o bien a los trenes de
tratamiento y produccin.

El proceso cuenta con un sistema propio de extraccin e inyeccin de agua ubicado

a 10 Km de la planta. Dicho sistema tiene su propio sistema de control y seguridad que
se vincula mediante Fibra ptica (FO) con la planta principal.

Pgina 9 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Dentro del paquete de utilidades y servicios, encontramos Compresores de Aire,

Compresores de Propano, Compresores y Bombas de Exportacin, Calentadores
elctricos, Hornos de Hot Oil, Unidades de Nitrgeno, Centrales de Incendio, Sistema
de tratamiento de Aire acondicionado (HVAC), Unidades de potencia hidrulica (HPU),
Generadores Elctricos a Gas, Generador de Emergencia (Disel), entre los principales
equipos. Todos estos son vinculados con la planta mediante FO y cableado de cobre en
2 hilos, mediante protocoles industriales como Modbus TCP/IP y Modbus RTU, bajo
normas Ethernet y RS-485, respectivamente.

4.1 Consideraciones del diseo o requisitos del cliente

El sistema de control de procesos (PCS) mediante un sistema de control distribuido

(DCS) es el encargado de atender todas las funciones de control de las instalaciones,
como ser, lazos PID, lgicas de arranque y paro automtico de bombas y equipos,
clculos de compensacin de caudal, integracin de caudales (caudal acumulado), etc.
Este sistema es el encargado de concentrar toda la informacin del resto de los sistemas
(ESD, FGS, PSS) y equipos paquetes (compresores, generadores elctricos,
calentadores, hornos, HVAC, HIPS, etc.) y presentar la misma en las estaciones de
operacin ubicadas en la sala de control principal. Las comunicaciones del DCS se
realizan mediante enlaces redundantes entre todos los dispositivos que lo conforman, y
entre ste y los equipos crticos (ESD, FGS, PSS y HIPS).

El sistema de seguridad de Fuego y Gas (FGS) es el encargado de monitorear todos

los detectores de gas y fuego de las instalaciones, y ante una deteccin, realizar el
arranque de las bombas de lucha contra incendio y la actuacin de las vlvulas de
diluvio del rea correspondiente. Este sistema tiene un diseo Energize To Trip, es
decir, que los elementos de entrada y salida deben energizarse para realizar la funcin
de seguridad. En estos casos, es necesario contar con mdulos de entrada y salida que
tengan monitoreo de lnea de modo que el sistema alerte a los operadores en caso que
exista una falla que no permita actuar la seguridad.

Este sistema debe ser completamente redundante en cuanto a alimentaciones,

procesadores, comunicaciones, mdulos de entrada y salida, alcanzando una
disponibilidad mnima de 99,99% y con un nivel de confiabilidad SIL 3.

El sistema de seguridad de emergencia (ESD) es el encargado de llevar a las

instalaciones a un estado seguro en caso de emergencia, protegiendo as el personal, el
medio ambiente y los activos de la empresa. Realiza las funciones de seguridad
principales de paro de emergencia y despresurizacin de las instalaciones, actuando
sobre unidades de proceso principales (Nivel 1) y subunidades (Nivel 2). Este sistema
tiene un diseo De-energize To Trip, es decir, que los elementos de entrada y salida
deben desenergizarse para realizar la funcin de seguridad.

Este sistema debe ser completamente redundante en cuanto a alimentaciones,

procesadores, comunicaciones, mdulos de entrada y salida, alcanzando una
disponibilidad mnima de 99,99% y con un nivel de confiabilidad SIL 3.

Pgina 10 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

El sistema de seguridad de procesos (PSS) forma parte de los sistemas de seguridad

de la instalacin. El mismo se encarga de llevar a cabo automticamente la parada
segura de unidades o equipos (Nivel 3). Este sistema debe ser redundante en cuanto a
alimentaciones, procesadores y comunicaciones, no necesariamente en los mdulos de
entradas y salidas, alcanzando una disponibilidad mnima de 99,97% con un nivel de
confiabilidad SIL 2.

En el caso de las locaciones remotas (pozos, gasoducto y oleoducto de exportacin)

existen funciones de control, de paro de emergencia, de gas y fuego y de seguridad de
proceso. Dado que las mismas son instalaciones pequeas, es decir que tienen una
cantidad de entradas y salidas notablemente inferior a la planta, un nico sistema SIS
puede cumplir con todas las funciones, con la particularidad de que los chasis y
mdulos de entrada y salida deben ser dedicados para cada sistema. Este sistema
integrado debe alcanzar una disponibilidad mnima de 99,99% y debe ser SIL 2.

Las locaciones remotas tienen dos modos de operacin: uno remoto desde la sala de
control principal y otro local a travs de un panel de operacin (HMI). Desde este
ltimo, el Operador puede realizar el monitoreo y control en forma totalmente
independiente de la sala de control.

Para atender los requerimientos de Ciberseguridad exigidos por la compaa, se

instalaron Firewalls para interconectar equipos de terceros con los servidores Modbus
TCP y Modbus RTU, y tambin para conectar las redes del cliente con los servidores de
datos e histricos ubicados en la planta. Adems, todas las oficinas y sectores de la
planta cuentan con acceso restringido a travs de sistemas de deteccin biomtricos y
magnticos, complementado con un constante monitoreo mediante cmaras de
seguridad de ltima generacin conectadas a los diferentes puestos de control.

4.2 Implementacin del caso/soluciones adoptadas

En funcin de los requerimientos del cliente y del diseo bsico de las instalaciones
se realiza la especificacin tcnica del sistema de control y seguridad indicando adems
requerimientos de diseo propios. La planta cuenta con una cantidad de
aproximadamente 2500 puntos de entrada/salida cableados y ms de 2000 puntos
provenientes por comunicaciones. Se define as la arquitectura del sistema en la que se
expresa grficamente lo expuesto en la especificacin.

Pgina 11 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Fig. 2. Arquitectura del sistema de control y seguridad de la planta objeto de estudio

En el proyecto se defini que el sistema de ESD y FGS de la planta estn integrados

en un nico SIS controlado por un nico PLC. La consideracin particular fue que los
chasis y mdulos de entradas y salidas estn divididos de acuerdo a su sistema asociado.
Como requerimiento extra, en el caso de implementar sistema de votaciones, los
instrumentos asociados deban ser segregados en diferentes tarjetas con el fin de evitar
que la falla de una tarjeta produjera la prdida completa de la funcin de seguridad.

Se decidi integrar ambos sistemas debido a que los mismos tienen una gran
cantidad de funciones de seguridad de la que ambos son parte. Esto disminuy en gran
medida la cantidad de entradas y salidas que hubieran sido necesarias para realizar estas
funciones de seguridad entre sistemas independientes reduciendo, de esta forma, la
complejidad del sistema y sus costos asociados.

Debido a requerimientos del cliente, el sistema PSS de la planta no se pudo integrar

junto al ESD/FGS, por lo que result en un sistema independiente, aunque vinculado a
ste ltimo mediante un protocolo propietario seguro con certificado SIL3.

En pozos, gasoducto y oleoducto de exportacin se utiliz un nico controlador

para integrar las funciones de ESD/FGS/PSS/PCS. La exigencia por parte del cliente fue
que los mdulos de entrada/salida estn segregados por sistema. Integrar todas las
funciones en un solo PLC disminuy en gran medida la cantidad de entradas y salidas
que hubieran sido necesarias para realizar estas funciones de seguridad entre sistemas
independientes, reduciendo de esta forma la complejidad del sistema y bajando costos.

Pgina 12 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Se determin que para las comunicaciones con equipos paquetes se utilizara

protocolo Modbus (TCP o RTU segn el equipo) de modo de estandarizar un nico
protocolo de campo. Se eligi Modbus debido a que es un protocolo de comunicaciones
abierto y relativamente sencillo de implementar, existen muchas marcas de equipos de
sistemas de control y seguridad en el mercado que lo utilizan como protocolo estndar
de comunicacin y es fcil de diagnosticar en caso de falla o mal funcionamiento.

En funcin de la ingeniera de detalle del proyecto (P&ID, matriz causa-efecto,

estudio HAZOP y LOPA) se dimension cada uno de los sistemas y se gener la lista de
seales. Se confeccion una especificacin de requerimientos de seguridad en la que se
detallan todas las funciones instrumentadas de seguridad (SIF). En base a esto y a los
requerimientos del cliente se determin el nivel SIL de cada sistema.

ESD/FGS: SIL 3
PSS: SIL 2
Sistemas integrados de pozos, gasoducto y oleoducto de exportacin: SIL 3

En este ltimo, si bien los requerimientos iniciales del cliente sealaban que fuera
SIL 2, por los resultados obtenidos del Estudio HAZOP se determin que deban ser
SIL 3.

Definida la especificacin tcnica del sistema de control y seguridad, la arquitectura

del sistema y la lista de seales, se seleccionaron la marca y modelo de cada sistema que
mejor se adecuaba a los requerimientos. Para evitar problemas de compatibilidad y para
que la integracin de los sistemas fuese ms sencilla, se decidi que la marca de todos
los sistemas fuera la misma. El mismo concepto se aplic eligiendo los modelos de los
PLC para los SIS.

Determinada la marca y modelo de los sistemas se actualizan todos los documentos

de modo que especifiquen concretamente al sistema en cuestin. Si bien existen puntos
en comn entre los sistemas de distintas marcas, tienen particularidades que los definen
y que deben ser debidamente documentadas.

Desde el punto de vista de la Ciberseguridad, el primer paso fue realizar un anlisis

de riesgo ciberntico en conjunto con el cliente, del cual se determin, entre otras cosas,
que era necesario instalar firewall entre la red de control y la red de campo de modo de
impedir que equipos paquetes generen trfico de datos indebido hacia el sistema de
control de la planta impidiendo su normal funcionamiento. Del mismo modo, se
determin que deberan de ser implementados las siguientes medidas asociadas a la
seguridad fsica:

Sistema de Control de Acceso (ACS)

CCTV
Requerimientos globales del proyecto donde se obliga a la utilizacin de
bloqueo de puertas con cerradura para todos los gabinetes de infraestructura
crtica de la planta.

Pgina 13 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Tambin se tomaron medidas en los aspectos lgicos de la seguridad informtica

referidos al acceso a los equipos y programas mediante usuario y contrasea
personalizada y el hecho de mantener actualizados los antivirus y sistemas operativos
con las ltimas revisiones disponibles.

4.3 Problemticas encontradas durante la implementacin

La ingeniera bsica determinaba que las instalaciones de pozos y puntos de

venta deberan tener un panel de operacin local para realizar funciones
bsicas de operacin del sitio. Dicho panel debera ser totalmente
independiente del PCS y, a su vez, comunicarse en forma directa con el
controlador local. En base a estos requerimientos se seleccion un panel de
operacin local del mismo fabricante de los sistemas implementados.
Varios meses despus de adquirido los sistemas de control y seguridad
objeto de este estudio, comenz a participar en la revisin del proyecto el
grupo de Operaciones y Mantenimiento responsable del manejo de la planta.
Este equipo requiri que estas locaciones tuvieran un modo de operacin
sincronizado con el sistema de control central. Debido a que la tecnologa
seleccionada anteriormente no permita cumplir con este requerimiento en
forma estndar, se tuvieron que implementar soluciones alternativas por
medio de programacin de alta complejidad.
El nivel de complejidad de la solucin adoptada increment la necesidad de
capacitacin al personal de mantenimiento y la cantidad de documentacin
generada como parte de la ingeniera de detalle, lo cual no fue previsto al
inicio del proyecto, impactando en costos y cumplimiento de plazos del
programa de trabajo.

El alto volumen de informacin a obtener de cada instrumento de campo

solicitado en los estndares del cliente requiri una alta complejidad a la
hora de la seleccin del equipamiento a utilizar y de la implementacin de la
solucin.
Varias soluciones estndares del mercado no pudieron cumplir con el alto
nivel de requerimientos y no pudieron ser tenidas en cuenta para este
proyecto.

Uno de los principales requerimientos del cliente fue la posibilidad de que

los sistemas pudieran ser mantenidos y ampliados en el futuro con la planta
en servicio. Del mismo modo el cliente solicit que los sistemas tuvieran un
perodo de obsolescencia no inferior a 15 aos desde el inicio de la puesta
en marcha de la planta.
Este requerimiento disminuy dramticamente las alternativas disponibles
en el mercado e hizo que la seleccin de la solucin tecnolgica adecuada
fuera muy compleja por la gran cantidad de requisitos simultneos.

Pgina 14 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Esto se consigui con un fuerte apoyo de los proveedores preseleccionados,

donde se combin las posibilidades de cada una de las tecnologas ofrecidas
y los requerimientos del cliente.

5 Conclusiones

A lo largo del desarrollo e implementacin de las soluciones y medidas adoptadas

durante el proyecto nos encontramos con diferentes problemticas tanto en los aspectos
tcnicos como no tcnicos. Luego de un anlisis detallado de cada situacin podemos
determinar los siguientes aspectos a considerar en futuros proyectos:

El xito del proyecto estuvo asociado a comprender y definir correctamente

las necesidades del cliente. Las exigencias de sus normas y procedimientos
impactaron fuertemente en las soluciones tomadas.
Derivado de este punto se pudo hacer una adecuada seleccin de la
tecnologa a instalar, la cual tuvo que ser abordada al inicio del proyecto.
Este hecho no fue para nada menor debido a la imposibilidad de cambiar de
tecnologa una vez seleccionada y adquirida la misma.
Cabe destacar que estos requerimientos fueron mucho mayores que los
estndares para este tipo de planta para otros clientes
Tambin fue muy importante mantener una peridica comunicacin con el
cliente para minimizar los desvos, o bien, poder actuar con anticipacin
ante una demanda fuera del alcance.
Establecer el alcance del proyecto con todos los interesados en el mismo
(Produccin, Operaciones y Mantenimiento) y dejar en claro cules son los
objetivos del proyecto para cada uno de los mismos en las etapas tempranas
del proyecto.
El hecho de elegir la misma marca y familia de equipos para los sistemas
de control y de seguridad simplific la configuracin y mantenimiento de
los sistemas.
Debido a esta solucin elegida, pudo ser fcilmente atendida la
complejidad de la matriz causa-efecto, ya que la misma requiri una muy
alta interaccin entre los distintos sistemas de seguridad (PSS/ESD/FGS)
tanto en planta como en las locaciones remotas.
Tambin debido a este enfoque adoptado, en la etapa de desarrollo se
reutilizaron los cdigos de configuracin de tpicos, disminuyendo los
tiempos de aprendizaje y elaboracin.
Como resultado final de la solucin seleccionada, en la etapa de Operacin
y Mantenimiento se redujo el tiempo de localizacin de los distintos tipos
de fallas.
Como desarrollador e integrador del SIS, es vital contar con la
documentacin que deriva del Estudio HAZOP y requerimientos de SIL.
La misma deber contener todas las SIF a implementar, con un nivel de
detalle que permita considerar las exigencias tecnolgicas para cada SIF
especificada.

Pgina 15 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ

 VIII CAIQ2015 y 3 JASP

Desde el punto de vista de la Ciberseguridad, fue muy importante el hecho

de poder conjugar la seguridad fsica con la seguridad informtica para
lograr los niveles de exigencia del cliente al momento de proteger los
activos crticos de la planta. Este aspecto novedoso en el diseo de las
plantas se ha transformado en un punto de atencin no slo al momento del
diseo de la misma, sino principalmente durante la operacin, debido a las
constantes modificaciones y desarrollos de las amenazas externas que
fuerzan una continua atencin a la actualizacin y mantenimiento de estas
defensas.

6 Referencias

WiseCourses Academy (2015) Introduccin a la CibeSeguridad industrial

e Infraestructura Crtica
Dr. M.J.M. Houtermans (2006) Safety Availability Versus Process
Availability - Introducing Spurious Trip Levels
International Standard IEC 61511-01 (2003) Functional safety Safety
instrumented systems for the process industry sector
International Standard IEC 61508-1 (1998) Functional safety of
electrical/electronic/programmable electronic safety-related systems

Pgina 16 de 16 AAIQ, Asociacin Argentina de Ingenieros Qumicos - CSPQ