Safety, Parte II

En la entrada “Safety, Parte I” hacíamos una introducción a los equipos y componentes encargados de garantizar que todas las operaciones de control se lleven a cabo sin suponer un riesgo para las personas, medio ambiente o la propia maquinaria.

Finalizado el análisis de riesgos, toca implementar los mecanismos y componentes que permitirán la reducción de tales riesgos hasta un nivel que sea asumible.

Esta fase comprende el diseño, desarrollo, instalación y prueba del SIS. A partir de la definición de los requisitos y especificaciones, se determinan los equipos y despliegues que cumplan con ellos, siendo una de las principales características llevar a cabo su labor de forma automática e individual sobre cada instalación, maquinaria o proceso.

Para ello contaremos con sensores que detectarán la situación de peligro o violación de las circunstancias seguras de operación. Podemos hablar de:

  • Sensores de proximidad con actuación mecánica; como el que podría ser un final de carrera que pueda interrumpir la operación de manera más o menos brusca.
  • Sensores de posición magnéticos; orientados a elementos que puedan estar en movimiento como la apertura de una puerta.
  • Sensores detectores de objetos opto eléctricos como el que podría detectar la presencia de una persona al invadir, o superar, el limite o zona de una cortina de un haz de luz imperceptible al ojo humano.

Luego, esas señales son tratadas por otros elementos, bien por lógica cableada o programable. Esto es, relés de seguridad, controladores específicos o controladores de proceso con funciones de seguridad. Lo que se pretende aquí es que la decisión de interrumpir la operación de la maquinaria, la instalación, o cualquier otra unidad automatizada se lleve a cabo por circuitos eléctricos o mediante una unidad con lógica programable. En la siguiente imagen podemos encontrar en el margen izquierdo los primeros y en el derecho los segundos.

Dependiendo de los requisitos, entorno, complejidad, número de entradas, maquinaria, despliegue, etc. será recomendable, o necesario, optar por unos o por otros bajo alguna de las integraciones posibles como pueden ser:

  • Independientes, PLC de proceso y relé de seguridad.
  • Intercomunicados; PLC de proceso y un controlador de seguridad específico.
  • Integrados; PLC de proceso con capacidades para procesar señales de seguridad.

En el caso de los controladores, reciben el nombre de “Logic Solver” identificándose en muchos casos por los colores amarillo o rojo. Para garantizar su funcionamiento a pesar de fallos potenciales los podemos encontrar de forma redundante.

Otro de los aspectos diferenciadores es la programación distinta por la propia naturaleza de los equipos y elementos. En las imágenes siguientes podemos apreciar tales diferencias sobre CPUS del fabricante SIEMENS como son las 1511-1 PN y 1511F-1 PN.

Como hemos podido comprobar existe una interoperabilidad entre controladores de proceso (BPCS) y sistemas de seguridad (SIS), pero teniendo en cuenta en todos momento que se trata de sistemas distintos. Dicha interoperabilidad podrá darse mediante señales de entrada/salida o también emplear alguno de los protocolos existentes como CIP Safety, Safety over EtherCAT, ProfiSAFE, SafetyBUS u OpenSafety. Incluso fabricantes como SIEMENS poseen productos en los que esas señales pueden ser transmitida mediante redes inalámbricas. Ver el siguiente ENLACE.

No obstante, las seguridades no son exclusivas de las maquinarias o maquina herramienta como tornos, fresadoras, mandrinadoras, etc. sino a cualquier escenario que pueda suponer un peligro. Por ejemplo, en estaciones robots donde en caso de apertura de una puerta y un operario pueda estar dentro de la trayectoria de éste tal y como se representa la figura siguiente propiedad del fabricante ABB.

La protección de este tipo de dispositivos, ha cobrado especial interés desde el incidente que afectó a los controladores TRICONEX del fabricante Schneider Electric. Un incidente que nos hizo ver la importancia y la necesidad de proteger también este tipo de dispositivos. Bueno, proteger y tener los selectores en la posición que deben estar… pero bueno eso, es otra historia.

Espero que, aunque breve la entrada de hoy haya servido para conocer un poco más sobre SIS y su criticidad dentro de las tecnologías de operación.

No obstante, os dejo un par de videos en los que podéis encontrar información adicional.

 

¡¡Nos vemos en el siguiente!!

 

Safety, Parte I

En materia de Ciberseguridad vemos constantemente la comparativa de prioridades entre lo que pretende proteger la tradicional en entornos IT y la industrial. Esto es la llamada Confidencialidad, Integridad y Disponibilidad en la primera, y Disponibilidad, Integridad y Confidencialidad, en la segunda.

Lo cierto es que existen otros aspectos que son y podrán ser más importantes que el mero hecho de mantener la actividad de nuestras operaciones. Sean las que sean. Obviamente si lo vemos desde la perspectiva del negocio, no hay lugar a dudas, la “Disponibilidad” es lo primero.

Una de ellas es la Seguridad Funcional, esto es, lo que conocemos como “Safety”. Si bien en castellano lo agrupamos todo bajo el término “Seguridad” en inglés se establece una clara diferencia entre “Security” y “Safety”.

Cada máquina o instalación requiere de un estudio previo para determinar las posibles situaciones que podrían presentar, en primer lugar, un peligro para operarios o técnicos y también medio ambiente y la propia maquinaria. Esto comienza antes que cualquier otra medida de “Seguridad” tradicional.

Entre esas situaciones podríamos citar:

  • La violación de una condición.
  • Apertura de accesos físicos a piezas en movimiento.
  • Ingleso a una zona con riesgo de atrapamiento o lesión.
  • Una variable crítica que supera un valor máximo.
  • Intento de ejecución de una acción no autorizada.
  • Una orden de un operador.

Dichas medidas las podemos localizar tanto para prevenir como a mitigar los efectos, y dependiendo del entorno en cuestión, se alcanzará por unos medios o por otros tal y como muestra la imagen siguiente.

Para ello se ha de realizar un análisis de riesgos para analizar todas las posibles situaciones de peligro que dicha máquina o instalación puede provocar para personas, medio ambiente y los elementos físicos y establecer la probabilidad de que dicho fallo se produzca. A partir de aquí, se han de determinar qué, cuáles o cuántos elementos (controladores, relés, sensores, etc.) van a ser necesarios para impedir que esto ocurra. Esto son los denominados SIS, Safety Instrumented System. Es decir, establecer cuáles van ser las medidas correctoras para reducir los riesgos hasta hacerlo algo tolerable.

Cada despliegue de sistema “Safety” es individual para cada máquina o instalación. El SIF, Safety Instrumented Function son las acciones que tiene que tomar el controlador para las “Salidas” del todo el sistema Safety a partir del estado de las entradas, para esa instalación concreta y mantener así el entorno bajo seguridad.

Como decía, para el diseño de un sistema Safety ha de hacerse un “Análisis de Riesgos”. Hay que identificar todos los riesgos potenciales y decidir cuál de esos riesgos requieren un sistema Safety y por tanto definir un SIF en consecuencia.

Sin embargo, un sistema Safety también tiene probabilidad de fallar, bien sea un sensor, un actuador o un “Logic Solver”. Por tanto, se ha de definir el concepto de PFD, Probability of Failure on Demand (Probabilidad de Fallo Demandado) y PLr (Required Performance Level) y contrastarlo con los requisitos “Safety” identificados. Por ello se definen dos aproximaciones, una el SIL (Safety Integrity Level) y PL (Performance Level), las cuales establecen la probabilidad de que ocurra un evento peligros y de si ésta puede reducirse uno o varios niveles.

En el caso de Performance Level quedaría de la siguiente manera, donde:

  1. S = La gravedad de la lesión
    1. S1 = Lesión leve
    2. S2 = Lesiones graves incluyendo la muerte
  2. F = Frecuencia o y/o duración de la exposición a peligros
    1. F1 = Rara vez o a menudo y/o corta duración de la exposición
    2. F2 = Exposición frecuente a continua y/o de larga duración
  3. P = Posibilidad de evitar el peligro
    1. P 1= Posible bajo ciertas condiciones
    2. P2 = Apenas posible

En resumen, se puede decir que hay que hacer un análisis de riesgos y en función del mismo determinar el nivel de seguridad exigible al controlador. Acto seguido se debe establecer el controlador para que cumpla con ese nivel de seguridad (es decir su PFD adecuado) y finalmente hay que demostrar que se cumple, es decir que una entidad reconocida lo certifique. Finalmente, llevar a cabo una operación y mantenimiento dentro del ciclo de vida tanto del conjunto de medidas Safety como del sistema en que está instalado. En general el proceso sería:

  • Análisis de Riesgos.
  • Implementación.
  • Verificación.
  • Certificación
  • Operación y mantenimiento.

El despliegue de estos equipos está regulado por estándares, normativa o legislación, los cuales pueden aplicarse a un ámbito en cuestión, esto es, maquinaria o procesos y también específicos del sector como el ferroviario, automoción, nuclear, etc. Algunas de ellas son:

  • UNE-EN ISO 13849-1
  • UNE-EN IEC 61511
  • UNE-EN IEC 61508
  • MIL-STD -882D, 882E
  • UNE-EN 50126, 50128, 50129, 50155, 50159
  • ISO 26262
  • IEC-50156

También hay que tener en cuenta el alcance geográfico como puede ser europeo, internacional o normativa específica de países, algo a tener en considerar si dicha maquinaria será, o pueda ser, desplazada entre posibles localizaciones que una empresa tenga en continentes o países distintos. Debemos recordar que cualquier modificación o cambio de la maquinaria puede requerir un nuevo estudio o certificación dependiendo del cambio realizado.

Asociado a estos aspectos, hay que diferenciar entre lo que el estándar IEC 62443 define como SL (Security Level) y lo que pueda llegar a ser el SIL o PL. Por un lado una cosa es definir el nivel de protección desde el punto de vista de la Ciberseguridad, esto es SL, donde protegemos los accesos, la información contenida en los sistemas de control, credenciales, y por otro la protección a las personas, medio ambiente o las instalaciones. Son conceptos distintos. En el primero protegemos a las máquinas de las personas y en el segundo protegemos a las personas de las máquinas.

Hasta aquí una brevísima introducción al término “Safety” y recordar que…. SAFETY FIRST”

No vemos en la siguiente!!