Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Chapter 1Sp PDF
Chapter 1Sp PDF
SEGURIDAD
Sistema de Control Industrial TRUSTED
Manual Tecnico de
Seguridad
ÍNDICE DE MATERIAS
Párrafo Página
1. INTRODUCCIÓN ............................................................................................ 1
1.1 PROPÓSITO DE LA SEGURIDAD ............................................................ 1
1.2 DOCUMENTOS ASOCIADOS................................................................... 2
1.3 TERMINOLOGÍA........................................................................................ 2
1.3.1 Tolerancia a Falla y Falla Segura .................................................... 3
1.4 VISIÓN GLOBAL DEL TRUSTED ICS ...................................................... 4
2. PRINCIPIOS DE SEGURIDAD ....................................................................... 5
2.1 INTRODUCCIÓN ....................................................................................... 5
2.2 VISIÓN GLOBAL DE LA IEC61508 ........................................................... 5
2.3 ADMINISTRACIÓN DE SEGURIDAD........................................................ 6
2.3.1 Nivel de Integridad de Seguridad (SIL)............................................ 6
2.3.2 Ciclio de Vida de Seguridad............................................................. 8
2.3.3 Definición del alcance ...................................................................... 9
2.3.4 Requisitos funcionales ..................................................................... 9
2.3.5 Requisitos de seguridad ................................................................ 10
2.3.6 Ingeniería de Sistemas .................................................................. 11
2.4 PROGRAMACIÓN DE LA APLICACIÓN ................................................. 15
2.4.1 Separando la Aplicación ................................................................ 15
2.4.2 Medidas defensivas ....................................................................... 16
2.4.3 Bloques que se pueden probar...................................................... 16
2.4.4 Funciones individuales Relacionadas con Seguridad.................... 16
2.4.5 Minimice la Profundidad Lógica..................................................... 17
2.4.6 Interacción de comunicaciones ..................................................... 17
2.4.7 Definición de Los Casos de Prueba .............................................. 18
2.4.8 Comprobación del programa ......................................................... 18
2.5 PRODUCCIÓN DEL SISTEMA................................................................ 18
2.5.1 Integración del sistema.................................................................. 18
2.6 INSTALACIÓN Y COMISIONAMIENTO .................................................. 19
2.6.1 Validación del Sistema de seguridad............................................. 20
2.6.2 Plan de Operación y Mantenimiento.............................................. 20
2.6.3 Mantenimiento planificado ............................................................. 20
2.6.4 Mantenimiento de Dispositivos de campo ..................................... 21
2.6.5 Manejo de Falla de módulo............................................................ 21
2.6.6 Modificación del sistema................................................................ 21
2.6.7 Líneas de Base .............................................................................. 22
2.6.8 Archivos de la modificación ........................................................... 22
2.6.9 Modificación En Línea.................................................................... 22
2.6.10 Monitoreo ....................................................................................... 23
ILUSTRACIONES
Figura 1 Contactos de Campo del Sistema 1-oo-2 en Condición Saludable 28
TABLAS
Tabla 1 1-oo-2 (2v2) .............................................................................................3
Tabla 2 2-oo-2 (1v2) ............................................................................................3
Tabla 3 Mediciones de Falla de Objetivo - Modo de Operación de Demanda .....7
Tabla 4 Mediciones de Falla de Objetivo -
Modo de Operación de Alta Demanda / Contínuo..............................7
Tabla 5 DIN V VDE 0801 Nivel AK y Equivalente IEC 61508 SIL ........................7
Tabla 6 Configuraciones de Entrada ..................................................................31
Tabla 7 Configuraciones de Salida.....................................................................32
Tabla 8 Lenguaje de programación Relacionado con Seguridad.......................33
Tabla 9 Requisitos de Condición Climática ........................................................35
Tabla 10 Compatibilidad Electromagnética .......................................................36
CAPÍTULO 1 SEGURIDAD
1. INTRODUCCIÓN
1.3 TERMINOLOGÍA
Los términos `Certificación' y `Certificado' se usan ampliamente dentro de este
Capítulo. Dentro del contexto de este Capítulo, estos términos se refieren a la
certificación funcional de seguridad del producto de acuerdo con IEC 61508 SIL3 y DIN
V VDE 0801. El TRUSTED ICS como un producto, se certifica a un rango más amplio
de normas que están fuera del alcance de este Capítulo.
Este Capítulo contiene reglas y recomendaciones:
Deben seguirse las reglas si el sistema resultante debe ser certificado. Éstas se
identifican por términos obligatorios como `Debe Ser' y `No está permitido '.
Las recomendaciones no son obligatorias, pero si ellos no se siguen, deben tomarse
precauciones de seguridad extras para certificar el sistema. Las recomendaciones son
identificadas por los términos como `Se recomienda fuertemente'.
A B Salida
0 0 0
0 1 0
1 0 0
1 1 1
A B Salida
0 0 0
0 1 1
1 0 1
1 1 1
2. PRINCIPIOS DE SEGURIDAD
2.1 INTRODUCCIÓN
Este párrafo proporciona una visión global de los principios de seguridad genéricos;
estos principios son aplicables a todos los sistemas relacionados con la seguridad. Los
párrafos inlcuídos dentro de este Capítulo proporcionan guía extensa dónde las
características del TRUSTED ICS requieren expansión, o una aplicación más
específica de estos principios de seguridad.
Seguridad y la Seguridad Funcional
Seguridad: Es la expectativa que un sistema no ocasionará riesgo a la vida humana o
la salud.
La seguridad es tradicionalmente asociada con las características o riesgos que son el
resultado del propio sistema; incluyendo los riesgos de incendio, seguridad eléctrica,
etc. Los requisitos a ser satisfechos aquí por el integrador incluyen instalación
eléctrica, las cubiertas protectoras, selección de materiales, etc.,
Seguridad Funcional: Es la habilidad de un sistema de llevar a cabo las acciones
necesarias para lograr o mantener un estado seguro para el proceso y su equipo
asociado.
La seguridad funcional es considerada la habilidad del sistema de realizar su función
de seguridad requerida. Los requisitos del integrador en este caso son tomar los pasos
necesario para asegurar que ese sistema esté libre de fallas, errores, y que
correctamente implemente las funciones de seguridad requeridas.
Este párrafo se concentra en la seguridad funcional; se supone que el lector está
familiarizado con los métodos de lograr la seguridad básica. La norma primaria para la
seguridad funcional es la IEC 61508; este párrafo incluye una apreciación global breve
de esta norma. Refiérase a la norma pertinente para más detalle.
Las mediciones de falla de objetivo para los dos modos de operación según IEC
61508/IEC 61511 se muestran en la Tabla 3 y la Tabla 4.
Nota: Las probabilidades especificadas aquí (de IEC 61508) incluyen todas las fuentes
potenciales de falla y no deben usarse para comparar métodos anteriores de cálculo
de confiabilidad del sistema y disponibilidad. Estos métodos anteriores consideraban a
menudo fallas relacionadas con el hardware, con alguna provisión para causas de falla
común y cobertura de la prueba, y produce figuras que son frecuentemente más
optimistas que están adoptadas actualmente.
La Norma alemana DIN VDE 0801 frecuentemente se usa para especificar el nivel de
integridad de seguridad requerido. DIN VDE 0801 especifica ocho posibles niveles conocido
como los niveles de AK. Se muestran los niveles de AK equivalentes y niveles de IEC 61508 en
la Tabla 5.
Nivel AK DIN V VDE 0801 SIL IEC 61508
1 Ningún equivalente
2
SIL 1
3
4 SIL 2
5
SIL 3
6
7 SIL 4
8 Ningún equivalente
Para los elementos cíclicos del sistema, es decir basedos en Regent+Plus, el tiempo
de barrido del sistema será considerablemente menor que:
½ (PST - Retraso del Sensor y del actuador)
1El factor β es dependiente de los requerimientos de diseño original, los cuales son evaluados y certificados
independientemente, y la implementación de las guías provistas en esta Capítulo de Seguridad.
2 Las funciones pueden diferir pero alcanzar el mismo efecto general, como por ejemplo: el sistema de control del
proceso mantendrá el proceso dentro de sus límites seguros bajo condiciones normales y el sistema de parada de
emergencia llevará a la planta a su estado seguro en caso de que ocurran condiciones anormales.
§ Acceso a los comandos de bloqueo y de esritura del Workbench los cuales están
protegidos por contraseña (“password”).
§ Una lista de los puntos actualmente bloqueados se lee de vuelta del sistema de
TRUSTED ICS y es hecha disponible dentro del IEC1131 Workbench.
El LED de inhibir del Procesador TMR se iluminará cuando se bloquean uno o más puntos
de E/S. El programa de la aplicación puede determinar cuántos puntos están bloqueados
actualmente usando la información disponible del Procesador de TMR el equipo complejo;
se recomienda que esto se use para controlar el despliegue de estado adicional y/o por
registrar los propósitos.
Todos bloqueos (y forzamientos) de entradas y salidas pueden quitarse usando bien sea
una sola función del IEC1131 Workbench o por medio de salida activada por un borde
(“edge triggered”) al Procesador TMR del equipo complejo dentro del programa de la
aplicación. Si bloqueo del IEC1131 TOOLSET se usa, uno o ambos de éstos métodos de
forzamiento se implementarán.
Es importante que los efectos de forzar los puntos de entrada y salida en el proceso y el
impacto a la seguridad sea entendido por cualquier persona que use estos métodos. El
sistema permitirá mantener las condiciones forzadas durante el funcionamiento normal.
Cuando retorne al funcionamiento normal se recomienda que todos los puntos bloqueados
y forzados se devuelvan al funcionamiento normal. Es responsabilidad de los operadores
de planta el asegurar que si las condiciones forzadas están presentes, éstas no arriesgan
la seguridad funcional.
2.6.10 Monitoreando
Para establecer que los objetivos de seguridad se han reunido a través de la vida del
sistema es importante mantener archivos de las Fallas, fracasos y anomalías. Esto
requiere el mantenimiento de archivos por el usuario final y el integrador del sistema.
Los archivos mantenidos por el usuario final están fuera del alcance de este
documento; sin embargo, se recomienda que la información siguiente sea incluida:
• Descripción de la Falla o anomalía
• Detalles del equipo involucrado, incluyendo los tipos del módulo y números
de serie dónde sea apropiado
• Cuando la Falla fue experimentada y cualquier circunstancia que llevó a su
ocurrencia
• Cualquier medida temporal que se haya llevado a cabo para corregir o
trabajar sobre del problema
• Descripción de la resolución del problema y referencia a los planes de acción
correctiva y análisis de impacto
Cada integrador del sistema debe definir los retornos del campo, y los procemientos de
manejo de reparación y de fallas. Los requisitos de información puestos en el usuario
final deben documentarse ya que estos procedimiento debe documentarse claramente
y deben proporcionarse al usuario final. El procedimiento de manejo de fallas debe
incluir:
• El método para detectar defectos recalcionados con el producto y el reporte
de éstos a los diseñadores originales.
• Los métodos para detectar fallas sistemáticas que puede efectuar otros
elementos del sistema u otros sistemas, y que conlleven a la resolución
satisfactoria de los problemas.
• Los procedimientos para rastrear todas las anomalías reportadas, su
resolución y/o las acciones corectivas resultantes en dónde sea aplicable.
2.7.1 Competencia
El logro de seguridad funcional requiere la implementación del ciclo de vida de
seguridad y asegurarse que las personas que son responsables para cualquier
actividad de ciclo de vida de seguridad sean competentes para ejecutar esas
responsabilidades.
Todas las personas involucradas en cualquier actividad de ciclo de vida de seguridad,
incluyendo actividades de gerenciación, deben tener el entrenamiento apropiado,
conocimiento técnico, experiencia y calificaciones pertinentes a los deberes
específicos que ellos tienen que realizar. La selección de las personas designadas
para las actividades del ciclo de vida de seguridad será basada en factores de
competencia específicos pertinentes a la aplicación particular y serán registrados.
Los factores de competencia siguientes deben dirigirse cuando se esté evaluando y
justificando la competencia de personas para llevar a cabo sus deberes:
• Experiencia en Ingeniería que sea apropiada al área de la aplicación.
• Experiencia en Ingeniería apropiada a la tecnología.
• Experiencia en Ingeniería deSeguridad apropiada a la tecnología.
• Conocimiento del marco de regulaciones legal y de seguridad.
• Consecuencias de las fallas del sistema relacionado con la seguridad.
• El SIL de los sistemas relacionados con la seguridad.
• La novedad del diseño, procedimientos de diseño o aplicación.
• La experiencia anterior y su relevancia a los deberes específicos a ser
realizados y la tecnología a ser empleada.
En todos lo anterior, el riesgo más alto requerirá un mayor rigor en la especificación y
evaluación de la competencia.
3.1 INTRODUCCIÓN
Este párrafo amplía y aplica los principios de seguridad descritos anteriormente en
este Capítulo. Muchas de las recomendaciones dentro de este párrafo son igualmente
aplicables a otros sistemas relacionados con la seguridad. Sin embargo, los detalles
de las recomendaciones o requisitos son específicos al TRUSTED ICS.
En este caso, ambas entradas pueden fallar en forma cubierta (“covertly”) sin que se
afecte la respuesta del sistema. El voto básico es 1-oo-2 con una enmienda por los
bits de Falla. En caso de una falla del módulo, el estado de ese módulo es mantenido
estático (“staticised”) durante el periodo de detección de Falla. Sin embargo, el módulo
permanece operacional. Después del periodo de detección de Falla, el Bit de Falla del
módulo fallado se cerrará y la condición lógica del módulo fallado se tomará al estado
abierto por los diagnósticos de TRUSTED ICS. (el Bit de Falla cierra antes de que el
Bit lógico abra).
En caso de que ambos módulos se vuelvan defectuosos, el estado de parada es
generado. Las entradas deben localizarse en los módulos de entrada separados, pero
que pueden estar en el mismo chasis.
• Los Lenguajes relacionados con la seguridad. Para aquellos lenguajes que han
sido clasificado como relacionados con la seguridad, se han probado las funciones
normalmente usadas exhaustivamente y se han usado libremente. Pueden usarse
funciones extensas dentro de estos idiomas sujetas a la realización de las pruebas
correspondientes con el nivel usado para las funciones normalmente utilizadas.
• No relacionados con la seguridad. Los lenguajes que han sido clasificados sólo
para aplicaciones no relacionadas con la seguridad no pueden usarse dentro de un
sistema relacionado con la seguridad.
IL y ST incluyen funciones de control de flujo del programa; estas funciones deben usarse con
cautela para asegurar que no producen lazos infinitos o condiciones lógicas omitidas. Donde
estas estructuras se usan, se recomienda que pruebas a fondos de cada rama se realicen en
éstas secciónes de programa.
Bloques de Función generados por el programador de la aplicación pueden crearse bien sea en
un proyecto específico o en base a la biblioteca. Donde estas funciones sean usadas para las
aplicaciones sean relacionadas con la seguridad, éstos deben estar sujeto a la comprobación
exhaustiva, correspondiente con las funciones normalmente usadas. Una vez que el bloque de
función ha estado sujeto a este nivel de pruebas, puede usarse en las funciones normalmente
usadas.
Si los EMI anticipados exceden estos niveles, deben aplicarse medidas de protección
adicionales.