Por que Cpt es tan importante
¿Por qué el valor de Cpt es tan importante? En la industria de proceso cuando calculamos la Probabilidad de Fallo en demanda (PFDavg) de una Función Instrumentada de Seguridad (SIF) utilizamos fórmulas de cálculo del tipo siguiente: «Cpt» es uno de los parámetros más importantes y al que a menudo no se le presta mucha atención. El parámetro «Cpt» (Proof Test Coverage) lo define la Norma IEC-61511 de esta manera: “Periodic test performed to detect dangerous hidden faults in a SIS so that, if necessary, a repair can restore the system to an as new condition or as close as practical to this condition.” Estas pruebas deben realizarse cada TI horas para tratar de detectar los fallos peligrosos (DU) que no han sido detectados por los diagnósticos automáticos implementados en el SIS. Cuanto mayor es la efectividad de estas pruebas mayor será el valor de Cpt. Nos encontramos con cierta frecuencia fabricantes de válvulas que calculan la PFDavg con un valor de Cpt del 100% lo cual es imposible en la realidad, especialmente en el caso de los elementos finales. El impacto del valor de Cpt en el resultado de la PFDavg, y por tanto del SIL alcanzado, puede ser enorme en muchos casos. Utilizando una de las funciones de cálculo de la herramienta SILcet hemos realizado algunos ejemplos que pueden ilustrarnos. EJEMPLO 1: Supongamos una arquitectura de la SIF según se muestra en la imagen. El resultado es el siguiente. Hemos calculado 12 valores de PFDavg reduciendo en escalones del 2% el valor inicial de Cpt=90% del subsistema actuador. El primer valor corresponde al punto de partida (90%) y observamos como pasamos de la zona SIL-2 a la de SIL-1. En un caso como este, una diferencia de 5-10% en el valor de Cpt puede modificar completamente el resultado. EJEMPLO 2: Supongamos una arquitectura de la SIF similar a la anterior. Utilizamos los mismos componentes excepto en el elemento final pues en este caso hemos supuesto unas tasas de fallo muchos menores. En este caso DU=700 FITS en vez de los 3000 FITS del caso anterior. Partimos igualmente de Cpt=90% en el actuador y vamos reduciendo su valor en escalones del 2%. En este caso vemos que el impacto de modificar Cpt hacia valores más realistas no es tan grande debido a que hemos seleccionado un elemento final con unas tasas de fallos DU mucho menores. CONCLUSIÓN Es muy importante definir bien el procedimiento de pruebas periódicas que vamos a realizar en las Funciones de Seguridad y que nos darán qué valor de Cpt debemos utilizar en los cálculos de PFDavg. En general, no debemos aceptar valores de Cpt del 100% pues no son realistas. En el caso de los elementos finales, si no conocemos su valor, lo recomendable es ser conservadores y utilizar valores en el entorno del 65-75%. Lo más recomendable es utilizar algún método para evaluar los modos de fallo, cuantificando las tasas de fallo por tipo (SD/SU/DD/DU) y los porcentajes detectables con las pruebas que vamos a realizar. Es importante el apoyo del fabricante en esta tarea (ver curso de mantenimiento del SIS). Calcular con valores muy altos de Cpt que no han sido analizados correctamente nos puede llevar a valores de SIL alcanzado erróneos. A partir de la versión 4.1.1 de SILcet hemos incluido un Excel sencillo para calcular el valor de Cpt del subsistema actuador. Visite nuestra web sobre Seguridad Funcional
Fallos peligrosos en el SIS
Fallos peligrosos en el SIS Al calcular la Probabilidad de Fallo de una Función Instrumentada de Seguridad (SIF) lo más importante son los fallos peligrosos, como vemos en las siguientes fórmulas de las arquitecturas 1oo1 y 1oo2. El valor Lambda DD es la tasa de fallos peligrosos detectados y Lambda DU corresponde a los no detectados. Podemos desglosar los fallos peligrosos en 4 grupos: Fallos DD: son los fallos peligrosos detectados por los diagnósticos de producto, es decir, por los diagnósticos integrados por el fabricante del PLC de seguridad, del transmisor, posicionador, etc. En las válvulas, al ser elementos mecánicos, no tenemos diagnósticos de producto. Fallos DU convertibles a DD: son los fallos peligrosos no detectados por los diagnósticos automáticos pero que pueden detectarse si implementamos en la SIF algún diagnóstico de aplicación. Son casos típicos, por ejemplo, la detección de la señal analógica fuera de rango o la prueba PST (Partial Stroke Test) en las válvulas de seguridad. Fallos DU1: son fallos peligrosos no detectados por los diagnósticos automáticos pero que detectamos en las pruebas manuales (proof tests) periódicas realizadas a la SIF cada TI horas (Test Interval). A mayor efectividad de estas pruebas mayor valor del parámetro Cpt (coverage proof test) que es muy importante en las fórmulas del cálculo de la probabilidad de fallo. Fallos DU2: son los fallos peligrosos que nunca vamos a detectar, ni con los diagnósticos automáticos ni en las pruebas manuales. Son fallos “ocultos” que no dan la cara en las pruebas y que pueden ser de muy diversa índole. Hay que tener en cuenta que las pruebas que debemos realizar periódicamente a todas las funciones de seguridad nunca son perfectas. La efectividad de las pruebas, por tanto, la podemos definir de la siguiente forma: Cpt= DU1 / (DU1+DU2) En la industria de proceso este valor varía entre el 70 y 95% en los subsistemas SENSOR y LOGIC SOLVER, y entre 40 y 95% en el subsistema ACTUADOR. Profundice en estos y muchos otros conceptos en nuestro CURSO «online» RECOMENDADO sobre Seguridad Funcional: «Diseño de SIFs y cálculo del SIL»
Los diagnósticos en el SIS
La importancia de los diagnósticos en el SIS Los diagnósticos en un Sistema Instrumentado de Seguridad (SIS) son de crucial importancia pues son la clave para reducir las tasas de fallos peligrosos no detectados y, por lo tanto, para reducir la probabilidad de fallo en demanda (PFD/PFH) y aumentar el SIL. Lo podemos ver en las 2 fórmulas siguientes (utilizadas en SILcet), para las arquitecturas 1oo1 y 1oo2, que se utilizan para el cálculo de la Probabilidad de Fallo y el SIL alcanzado. El objetivo de los diagnósticos es detectar cualquier fallo interno en un componente. Lo que hacen es monitorizar el correcto funcionamiento de los dispositivos que intervienen en una SIF (función instrumentada de seguridad). Podemos clasificar los diagnósticos en 2 tipos: Diagnósticos de producto o autodiagnósticos. Son los que vienen integrados de fábrica con el producto (sensores, PLC, elementos finales). En los PLCs de seguridad los autodiagnósticos son muy altos, en los transmisores 4-20 mA certificados son altos. Es en los elementos finales de la SIF donde, dependiendo del tipo, podemos encontrarnos con productos certificados sin diagnósticos de producto (como en las válvulas de corte) pues suelen ser elementos puramente mecánicos. Diagnósticos de aplicación. Son los diagnósticos adicionales de cada aplicación concreta. No son siempre necesarios pues depende de muchos factores, pero en niveles SIL-2 y 3 pueden llegar a ser imprescindibles para cumplir el SIL requerido. Para implementarlos necesitaremos añadir algunas rutinas de software en el PLC y, algunas veces, también cableado externo al PLC y algunos componentes hardware adicionales (final de carrera, posicionador de válvula, resistencia de monitorización de línea, transmisor, realimentación de SD a entrada digital, etc.) Algunos ejemplos prácticos de este tipo de diagnósticos de aplicación: Diagnóstico de señal 4-20 mA de transmisor (fuera de rango, señal congelada, etc.) Diagnósticos por comparación a los que la IEC-61508 les da mucho crédito. Uso del protocolo Hart para diagnosticar problemas en los transmisores o en su cableado desde el PLC hasta el instrumento (por fugas a tierra, etc.) Diagnóstico para detectar el fallo de las salidas digitales en un PLC pues no está incorporado de serie en todos los PLCs. La prueba de carrera parcial PST (Partial Stroke Test) en una válvula de seguridad. Diagnóstico de fallos de válvulas utilizando transmisores. Es una aplicación interesante que puede utilizarse sólo en determinados diseños. Otros casos como la detección de la rotura del cable, etc. Estos ejemplos son algunos de los que explicamos en el curso Diseño de SIFs y cálculo del SIL.
Ciberseguridad industrial
Ciberseguridad Industrial Desde hace varios años observamos cómo el mundo industrial, y en particular los sistemas de control y los sistemas instrumentados de seguridad (SIS) empiezan a estar afectados por las mismas amenazas y vulnerabilidades que los Sistemas IT. Los sistemas de control utilizan numerosos dispositivos del mundo IT (routers, switches, PCs, etc.) y Ethernet ya es la red más utilizada. Por todo ello, la ciberseguridad industrial ha cobrado un protagonismo extraordinario debido a que el número de ciber-ataques en el entorno industrial no hace más que crecer. Tendencias en la Ciberseguridad Industrial de los Sistemas de Control Los Sistemas de Control (ICS: Industrial Control System) utilizan cada vez más productos hardware y software del mundo no industrial (COTS: Commercial Off The Shelf products). Los ICS ya no son islas. El uso de redes Ethernet en los ICS los expone a las mismas vulnerabilidades que tienen los sistemas IT. Aumentan la monitorización y el acceso remoto que llega de la mano de la denominada transformación digital o Industria 4.0 Las herramientas para automatizar los ciber-ataques están disponibles al alcance de cualquiera. Los ciber-ataques a los negocios, y en particular a los ICS, aumentan. Los mitos de la Ciberseguridad Industrial “Nosotros no nos conectamos a Internet”. Muchos sistemas de control no tienen una conexión regular y continua a Internet, pero la mayoría o se conectan de forma temporal para tareas de mantenimiento o son vulnerables a conexiones de USBs, ordenadores portátiles infectados, etc. “Mi Sistema de Control está protegido por un firewall”. Los dispositivos cortafuegos son fáciles de instalar, pero es difícil configurarlos y mantenerlos correctamente. “Los hackers no entienden los Sistemas de Control industriales”. Hoy en día se pueden realizar cursos on-line de casi todo incluyendo SCADAs, PLCs, etc. Además, muchas de las vulnerabilidades son las mismas que las del mundo IT. “Nuestra planta no es un objetivo de los hackers”. Todas las plantas son un objetivo y nadie se queda fuera. Los ataques con malware están en la red y pueden acabar en cualquier sistema. “Nuestros Sistemas de Safety (SIS) nos protegerán”. La mayoría de los SIS están basados en microprocesadores y se configuran con PCs. Es habitual comunicar el SIS con el Sistema de Control usando Ethernet con protocolos abiertos y no seguros (Modbus TCP, OPC, etc.). Ya se han conocido vulnerabilidades en PLCs de seguridad. La certificación SIL (IEC 61508) se centra en Safety y recomienda analizar la “ciberseguridad” (Security). Amenazas de la Ciberseguridad Industrial que afectan a los ICS y los SCADAs ENISA (European Union Agency for Network and Information Security) tiene diversas publicaciones muy interesantes. Estadísticas de ciber-ataques a PCs del entorno industrial según análisis de Kaspersky Lab. A continuación mostramos algunas estadísticas interesantes extraídas de un estudio de Kaspersky del primer semestre de 2017. Los productos de Kaspersky bloquearon ataques en el 37,6% de PCs del entorno ICS (Industrial Control Systems). Un 31% se produjeron en el sector manufacturero. El 40% de los PCs tienen una conexión continua o frecuente a internet. El 60% restante se conecta a internet no más de 1 vez al mes, muchos de ellos incluso menos. Este estudio sólo abarca los PCs y no otros dispositivos de la red industrial como pueden ser los PLCs, relés de protección, etc. Ciberseguridad industrial: Diferencias entre los ICS y los sistemas IT Algunas de las diferencias principales de los Sistemas ICS respecto a los IT son las siguientes: En general la Disponibilidad del Sistema suele ser lo más importante, por encima de la confidencialidad de los datos. Los tiempos de respuesta del ICS son críticos. Los ICS utilizan protocolos de IT e industriales. Las paradas del ICS no son admisibles. El reboot no es aceptable. En algunos sectores industriales (como en Farmacia) se necesita una recertificación lenta y costosa después de cualquier cambio. No es posible realizar pruebas en entornos de producción. Los Upgrades pueden tener un gran impacto en el hardware, software y gráficos. Los ICS funcionan durante 15-20 años lo que dificulta mucho su mantenimiento (parches que no existen, etc.) Los ICS utilizan aplicaciones especiales. El fallo del ICS/SIS puede provocar pérdida de vidas, de equipos y producción con costes muy elevados. Tecnologías para la seguridad de las redes Este es un tema complejo y que requiere del apoyo de auténticos especialistas. Enumeramos a continuación algunos de los principales elementos a considerar: Dispositivos: switches, routers, firewalls, diodos de datos. Existen modelos robustos y específicos para las redes industriales. Arquitecturas de red (segregación por zonas y conductos, zonas DMZ, etc.). Se requiere un análisis especializado. Criptografía: VPN, Cifrado, Autenticación, Protocolos seguros. Cada vez irán apareciendo más sistemas y componentes tradicionales del control industrial con todas estas características. Sistemas de Detección de Intrusión (IDS). Utilizando el símil de la puerta podemos decir que el firewall es la “cerradura” y el IDS “la alarma antirrobo”. Defensa en profundidad (Defense-in-Depth): El concepto de defensa en profundidad se basa en el uso de distintas técnicas que permitan, al menos, duplicar los elementos de protección para limitar los daños en caso de una intrusión en la primera línea de defensa o componente más expuesto.
Fallos de causa común
La importancia de los fallos de causa común Al diseñar un sistema de control debe ponerse especial atención a los fallos de causa común, es decir, a los factores que puedan provocar el fallo simultáneo de varios componentes o canales redundantes. Es un aspecto todavía más importante en el caso de los sistemas instrumentados de seguridad (SIS) y es considerado en las normas internacionales de seguridad tales como la IEC-61508 (para todas las industrias), la IEC-61511 (para la industria de proceso), la ISA-TR84 y otras. Podemos realizar un diseño excelente del sistema o de la función instrumentada de seguridad, pero si descuidamos los fallos de causa común el resultado final puede ser realmente malo. No siempre el ingeniero de diseño es consciente de la importancia de esto. Son de vital importancia en sistemas de alta disponibilidad, es decir, en sistemas con arquitecturas redundantes 2oo3, 2oo4, 2oo2, 3oo3, etc. o en sistemas de seguridad con arquitecturas del tipo 1oo2, 1oo3, 2oo3, etc. Supongamos por ejemplo un PLC con CPU redundante montado en el interior de un armario con una ventilación insuficiente, con errores en el diseño de la puesta tierra y que ha sido probado por personal con poca experiencia (lo que incrementa mucho los posibles errores de software). Cualquiera de estos aspectos puede influir muy negativamente sobre ambas CPUs de forma simultánea. ¿Cuantos Integradores de Sistemas calculan realmente la disipación de calor en el interior de la cabina de control y en las condiciones de temperatura y humedad especificadas? No es un cálculo complicado, pero nos sirve de ejemplo para llamar la atención sobre los fallos de causa común. En los elementos de campo, como los sensores o los actuadores, existen también muchos factores comunes que influyen sobre la operación del sistema, como pueden ser el cómo se montan y se calibran, si se han especificado correctamente, o por ejemplo sí se utiliza el mismo multi cable y las mismas cajas de derivación para todos los canales redundantes. Con objeto de poder evaluar y cuantificar los fallos de causa común la Norma IEC-61508 realiza diversas recomendaciones de cómo hacerlo e introduce el denominado factor β que debe utilizarse en las fórmulas de cálculo de probabilidades de fallo y otras. Para dar una mejor idea de lo que estamos hablando mostramos a continuación algunas de las fórmulas utilizadas en la aplicación SILcet, donde podemos ver en color rojo el término correspondiente a los fallos de causa común, y que influye enormemente en las arquitecturas 1oo2, 2oo3 y 2oo4 dado que el primer término es normalmente la potencia de un número muy pequeño (<< 0,1). Visite nuestra web sobre Seguridad Funcional
Nueva herramienta Wiring DS
Entradas recientes
- Por que Cpt es tan importante 1 marzo, 2019
- Fallos peligrosos en el SIS 15 agosto, 2018
- Los diagnósticos en el SIS 10 abril, 2018
- Ciberseguridad industrial 16 marzo, 2018
- Fallos de causa común 6 febrero, 2018
- Función Instrumentada de Seguridad 27 enero, 2018
- Requisitos del SIL 20 enero, 2018
- PLC o DCS 6 agosto, 2017
- Aisladores y Terminales (fase 7) 3 agosto, 2017
- Fuente y protecciones (fase 6) 3 agosto, 2017
Categorías
- Armarios (4)
- Blog (32)
- Ciberseguridad (1)
- Costes (3)
- Diseño (14)
- entradas/salidas (8)
- Industria 4.0 (2)
- Instrumentos (1)
- IO_Builder (4)
- PLC (20)
- Productividad (2)
- Rangos señal (2)
- Redundancia (6)
- Relés (1)
- SCADA (3)
- SIS (8)