En materia de Ciberseguridad vemos constantemente la comparativa de prioridades entre lo que pretende proteger la tradicional en entornos IT y la industrial. Esto es la llamada Confidencialidad, Integridad y Disponibilidad en la primera, y Disponibilidad, Integridad y Confidencialidad, en la segunda.

Lo cierto es que existen otros aspectos que son y podrán ser más importantes que el mero hecho de mantener la actividad de nuestras operaciones. Sean las que sean. Obviamente si lo vemos desde la perspectiva del negocio, no hay lugar a dudas, la “Disponibilidad” es lo primero.

Una de ellas es la Seguridad Funcional, esto es, lo que conocemos como “Safety”. Si bien en castellano lo agrupamos todo bajo el término “Seguridad” en inglés se establece una clara diferencia entre “Security” y “Safety”.

Cada máquina o instalación requiere de un estudio previo para determinar las posibles situaciones que podrían presentar, en primer lugar, un peligro para operarios o técnicos y también medio ambiente y la propia maquinaria. Esto comienza antes que cualquier otra medida de “Seguridad” tradicional.

Entre esas situaciones podríamos citar:

• La violación de una condición.
• Apertura de accesos físicos a piezas en movimiento.
• Ingleso a una zona con riesgo de atrapamiento o lesión.
• Una variable crítica que supera un valor máximo.
• Intento de ejecución de una acción no autorizada.
• Una orden de un operador.

Dichas medidas las podemos localizar tanto para prevenir como a mitigar los efectos, y dependiendo del entorno en cuestión, se alcanzará por unos medios o por otros tal y como muestra la imagen siguiente.

Para ello se ha de realizar un análisis de riesgos para analizar todas las posibles situaciones de peligro que dicha máquina o instalación puede provocar para personas, medio ambiente y los elementos físicos y establecer la probabilidad de que dicho fallo se produzca. A partir de aquí, se han de determinar qué, cuáles o cuántos elementos (controladores, relés, sensores, etc.) van a ser necesarios para impedir que esto ocurra. Esto son los denominados SIS, Safety Instrumented System. Es decir, establecer cuáles van ser las medidas correctoras para reducir los riesgos hasta hacerlo algo tolerable.

Cada despliegue de sistema “Safety” es individual para cada máquina o instalación. El SIF, Safety Instrumented Function son las acciones que tiene que tomar el controlador para las “Salidas” del todo el sistema Safety a partir del estado de las entradas, para esa instalación concreta y mantener así el entorno bajo seguridad.

Como decía, para el diseño de un sistema Safety ha de hacerse un “Análisis de Riesgos”. Hay que identificar todos los riesgos potenciales y decidir cuál de esos riesgos requieren un sistema Safety y por tanto definir un SIF en consecuencia.

Sin embargo, un sistema Safety también tiene probabilidad de fallar, bien sea un sensor, un actuador o un “Logic Solver”. Por tanto, se ha de definir el concepto de PFD, Probability of Failure on Demand (Probabilidad de Fallo Demandado) y PLr (Required Performance Level) y contrastarlo con los requisitos “Safety” identificados. Por ello se definen dos aproximaciones, una el SIL (Safety Integrity Level) y PL (Performance Level), las cuales establecen la probabilidad de que ocurra un evento peligros y de si ésta puede reducirse uno o varios niveles.

En el caso de Performance Level quedaría de la siguiente manera, donde:

1. S = La gravedad de la lesión
   1. S1 = Lesión leve
   2. S2 = Lesiones graves incluyendo la muerte
2. F = Frecuencia o y/o duración de la exposición a peligros
   1. F1 = Rara vez o a menudo y/o corta duración de la exposición
   2. F2 = Exposición frecuente a continua y/o de larga duración
3. P = Posibilidad de evitar el peligro
   1. P 1= Posible bajo ciertas condiciones
   2. P2 = Apenas posible

En resumen, se puede decir que hay que hacer un análisis de riesgos y en función del mismo determinar el nivel de seguridad exigible al controlador. Acto seguido se debe establecer el controlador para que cumpla con ese nivel de seguridad (es decir su PFD adecuado) y finalmente hay que demostrar que se cumple, es decir que una entidad reconocida lo certifique. Finalmente, llevar a cabo una operación y mantenimiento dentro del ciclo de vida tanto del conjunto de medidas Safety como del sistema en que está instalado. En general el proceso sería:

• Análisis de Riesgos.
• Implementación.
• Verificación.
• Certificación
• Operación y mantenimiento.

El despliegue de estos equipos está regulado por estándares, normativa o legislación, los cuales pueden aplicarse a un ámbito en cuestión, esto es, maquinaria o procesos y también específicos del sector como el ferroviario, automoción, nuclear, etc. Algunas de ellas son:

• UNE-EN ISO 13849-1
• UNE-EN IEC 61511
• UNE-EN IEC 61508
• MIL-STD -882D, 882E
• UNE-EN 50126, 50128, 50129, 50155, 50159
• ISO 26262
• IEC-50156

También hay que tener en cuenta el alcance geográfico como puede ser europeo, internacional o normativa específica de países, algo a tener en considerar si dicha maquinaria será, o pueda ser, desplazada entre posibles localizaciones que una empresa tenga en continentes o países distintos. Debemos recordar que cualquier modificación o cambio de la maquinaria puede requerir un nuevo estudio o certificación dependiendo del cambio realizado.

Asociado a estos aspectos, hay que diferenciar entre lo que el estándar IEC 62443 define como SL (Security Level) y lo que pueda llegar a ser el SIL o PL. Por un lado una cosa es definir el nivel de protección desde el punto de vista de la Ciberseguridad, esto es SL, donde protegemos los accesos, la información contenida en los sistemas de control, credenciales, y por otro la protección a las personas, medio ambiente o las instalaciones. Son conceptos distintos. En el primero protegemos a las máquinas de las personas y en el segundo protegemos a las personas de las máquinas.

Hasta aquí una brevísima introducción al término “Safety” y recordar que…. SAFETY FIRST”

No vemos en la siguiente!!