¿Se puede usar la tecnología wireless para mejorar la seguridad de planta? La respuesta es un rotundo SI. Sin embargo, no hay que olvidarse que cada tecnología wireless se adapta mejor a determinados tipos de aplicaciones, y esto más que cierto en aplicaciones de seguridad. También depende del tipo particular de aplicación de seguridad.

En consecuencia, antes que nada, tenemos que ver qué tipo de aplicaciones de seguridad resultan adecuadas y tangibles para usar tecnología wireless.

El comité ISA84 fue creado para desarrollar estándares y reportes técnicos relacionados con el uso de sistemas E/E/PES (Electrical/Electronic/Progra­mmable Electronic Systems) en aplicaciones de seguridad de proceso. Dentro de este contexto, el Grupo de Trabajo 8 (WG8) de ISA84 y el comité ISA100 cooperaron para abordar la tecnología wireless en aplicaciones de seguridad; a tal fin, elaboraron el Reporte Técnico, “Guía y Aplicaciones de Tecnología de Sensores Wireless a Capas de Protección Independientes No-SIS.

Este Reporte Técnico ofrece una guía y consideraciones que los usuarios deberán tener en cuenta a la hora de aplicar e implementar tecnologías de sensores wireless en procesos y Capas de Protección Independientes (IPL) No-SIS (Sistemas Instrumentados de Seguridad). La recomendación no está destinada al uso de wireless como SIF (Función Instrumentada de Seguridad).

Al mismo tiempo, el Reporte Técnico indica claramente que “un sistema wireless es lo suficientemente robusto como para cumplir con los requerimientos de una IPL No-SIS.” En consecuencia, aplicaciones industriales como monitoreo y control de procesos, monitoreo y analítica de la salud de activos, y alertas y alarmas relacionadas con la seguridad, resultan adecuadas para la tecnología wireless. 

Hoy en día, el uso top de wireless en aplicaciones de seguridad tiene que ver con alertas y alarmas de seguridad. Estas aplicaciones incluyen detección de gas, prevención de incendios, detección de nivel, duchas de seguridad, etc.

Para soportar aplicaciones que contienen alertas y alarmas relacionadas con la seguridad, se requiere una comunicación wireless de alta confiabilidad y alta disponibilidad. Esto significa que la comunicación wireless debe ser capaz de soportar un método de comunicación relacionado con la seguridad, por ejemplo IEC 61784-3, disponer de suficiente control en el entorno de implementación y aceptar los parámetros correctos en los ajustes y configuraciones de red derivados durante los exámenes del sitio y trabajo de comisionamiento. A continuación se describen algunos de los requerimientos críticos para redes wireless en aplicaciones de seguridad.

Calidad de Servicio poniendo límites al ancho de banda, latencia y prioridad

La Calidad de Servicio (QoS) es muy importante a la hora de administrar eficazmente el tráfico de red, especialmente en redes wireless de área local alimentadas por batería. La QoS establece una prioridad para los paquetes de datos enviados desde dispositivos al servidor en base a su servicio y aplicaciones.

En el campo, no todos los sensores son igual de importantes. Incluso el mismo tipo de sensor puede tener una distinta prioridad de acuerdo a su servicio y aplicaciones. Es clave controlar la QoS para priorizar los distintos tipos de tráfico de datos desde sensores y también redes.

En caso de datos relacionados con la seguridad, es importante asignar prioridad y reservar ancho de banda para garantizar una baja latencia en comparación con otros tipos de datos. 

ISA100 Wireless tiene dos niveles de prioridad: prioridad de mensaje y prioridad de contrato. Es una característica decisiva a la hora de soportar aplicaciones relacionadas con la seguridad.

 

Latencia y disponibilidad

Las aplicaciones de seguridad requieren un sistema wireless altamente disponible y altamente confiable con una latencia manejable, baja y determinística, que también estabiliza la vida de la batería.

La latencia de datos en una red de sensores wireless es el tiempo que transcurre entre la adquisición de un valor de medición y la entrega de ese dato a un gateway a través de la red wireless. El porcentaje del valor recibido dentro del tiempo de respuesta requerido se puede medir por cada dispositivo o para el sistema en su totalidad.  

Un alta disponibilidad significa patrones de comunicación que ofrecen tiempos de respuesta rápidos con poca o ninguna pérdida de paquetes. También requiere equilibrio con el tiempo de vida de la batería en aplicaciones wireless e intervalos largos de mantenimiento con poca o ninguna deriva entre los intervalos de prueba.

Una alta confiabilidad significa ausencia de alarmas falsas y poder utilizarse en aplicaciones SIL. 

A fin de conservar la latencia de la red, la tecnología wireless debe soportar múltiples topologías y, en especial, topología estrella.

La topología mesh auto-organizable puede resultar muy complicada a la hora de predecir el retardo. No es recomendable para aplicaciones de seguridad. En consecuencia, tener un solo sistema wireless significa soportar flexibilidad y mezclar distintos tipos de topologías en función de las necesidades de cada aplicación. 

Para ampliar la disponibilidad, se recomienda un camino de red redundante; a tal fin, ISA100 Wireless incorpora la característica ‘Duocast’.

 

Interoperabilidad

En todas estas aplicaciones, es importante tener un protocolo de seguridad de punta a punta capaz de soportar la comunicación de dispositivos de múltiples proveedores en un solo sistema (interoperabilidad) dentro de un entorno de arquitectura abierta. Una arquitectura abierta en capas debe obedecer a la metodología OSI (Open Systems Interconnection) de ISO/IEC. 

Esta metodología OSI divide la comunicación en siete capas abstractas en base a las funciones de comunicación:

  • Capa Física
  • Capa de Enlace de Datos
  • Capa de Red
  • Capa de Transporte
  • Capa de Sesión
  • Capa de Presentación
  • Capa de Aplicación

Lo que se busca es soportar la interoperabilidad de distintos sistemas de comunicación con varios protocolos estándar.

Cada capa le sirve a la capa de arriba y a la capa de abajo. Cada capa está diseñada funcionalmente independiente, de modo que, ante un cambio de tecnología en cualquiera de las capas, la capa de arriba o de abajo se ve afectada poco o nada.

Puesto que la industria de control de procesos opera con numerosos protocolos de aplicaciones ya existentes, el concepto de capas independientes es esencial tanto hoy como lo será mañana. 

Un buen ejemplo es la tecnología ISA100 Wireless, que es capaz de soportar PROFIsafe como aplicación en el tope de la infraestructura de comunicación de ISA100.


Figura 1. Diagrama de un sistema wireless de detección de gas que utiliza el concepto de canal negro para soportar el protocolo de seguridad PROFIsafe sobre ISA100 Wireless.

 

Seguridad – integridad y comunicación wireless encriptada

El estándar ISA100 Wireless ofrece importantes características de seguridad, tales como autenticación, verificación (chequeo de integridad, TAI), encriptado, control de acceso, gestión de claves, etc.

Estas características protegen contra sniffing, alteración de datos, spoofing, ataque de replay, ataque de enrutamiento y ataque de denegación de servicio (DOS). 

Por lo general, en wireless, hay que lidiar con dos aspectos de DOS: interferencia no intencional (coexistencia) e interferencia intencional (ataque de denegación de servicio).

Los métodos estratégicos comunes se extienden a través de una modulación de espectro, usando enrutamiento redundante, lista negra de canales, protocolo LBT (Listen Before Talk) (en ISA100, esta característica es configurable), diagnósticos basados en la intensidad e indicador de la señal de radio, diagnósticos de la calidad de datos, y también diagnósticos de red. Dentro de este contexto, ISA100 Wireless incorpora la capacidad de CCA (Clear Channel Assessment) para mitigar la potencial interferencia de otra tecnología wireless o, algunas veces, del entorno. 

 

Red bien diseñada

Es muy importante seguir la mejor práctica recomendada por el fabricante a la hora de diseñar y desplegar una red de sensores wireless.

Algunos puntos que deben ser tenidos en cuenta incluyen:

  • Siempre usar rangos de comunicación conservadores y diseñar la red con un amplio margen;
  • Especificar tasas las de reporte correspondientes a cada sensor en base a la capacidad de la batería del dispositivo y del router, la capacidad del canal wireless y la capacidad de la infraestructura;
  • Profundidad del salto de control;
  • Redundancia del camino de diseño;
  • Evitar cuellos de botella;
  • Utilizar herramientas de despliegue y simulación de red;
  • Documentación, etc.

Puesto que la mayoría de los datos de sensores consumen energía, el diseño de la red  también afecta en mucho la vida de la batería en una red mesh auto-organizable. Se deben evitar cuellos de botella de comunicación, lo que mejora considerablemente la alimentación por batería y permite predecir su vida útil.

 

¿Se puede usar la tecnología wireless para mejorar la seguridad de planta? Por supuesto que sí.

 

Ejemplo de una aplicación exitosa

Esta aplicación utiliza la tecnología ISA100 Wireless en un sistema de detección de gas (figura 1). Con esta tecnología, Draeger desarrolló un novedoso detector de gas wireless con certificación SIL2, que fue utilizado por Yokogawa para crear el primer sistema de detección de gas wireless en el mundo con certificación SIL2. El sistema utiliza el método de canal negro para soportar PROFIsafe sobre ISA100 Wireless.

El principio del canal negro incluye tres aspectos principales: 

  • Es independiente del método de comunicación; 
  • Cubre todo el camino de comunicación desde el sensor al gateway utilizado para soportar PROFINET;
  • Protege por eventuales fallas en la comunicación según SIL.

Si se lo usa en un entorno SIL, se requiere un mecanismo de manejo de errores para abordar el protocolo relacionado con la seguridad que corresponde; de esta forma es posible mitigar distintos errores, tales como repetición, supresión, inserción, resecuenciado, corrupción de datos, retardo, direccionamiento, etc. Hoy en día, la combinación de ISA100 y PROFIsafe ha alcanzado este estatus.

Preparado en base a una presentación de Penny Chen, de Yokogawa.

 

Las buenas prácticas dictan que los sistemas de control deben diseñarse para mantener las funciones de control de proceso separadas y operacionalmente independientes de las funciones de seguridad. Esto, por lo general, se logra con un controlador para proceso y un sistema separado para seguridad.

La solución de Schneider Electric ofrece más de lo requerido por los estándares de la industria:

  • Capacidad de procesamiento dual para controlar las funciones de seguridad y de proceso en forma independiente.
  • Unifica independientemente la seguridad de planta y el control de proceso para proteger la totalidad del entorno operativo.
  • Minimiza el impacto de una falla del proceso en la seguridad de la planta, su personal y sus bienes.
  • No hay compromisos para lograr un proceso de ejecución segura.
  • El mejor desempeño en redes y ciberseguridad con Modicon M580.
  • No es necesario diseñar, instalar y mantener sistemas de seguridad separados.
  • Utiliza las mismas herramientas, métodos de cableado y estructuras de E/S que el controlador Modicon M580 estándar.

Modicon M580 Safety

Es el controlador de automatización programable M580 (PAC) de Schneider Electric con módulos integrados y funciones de seguridad. El PAC incluye una sola CPU con un coprocesador de seguridad obligatorio para la ejecución dual.

Está basado en la plataforma X80 y en el entorno de programación Unity Pro:

  • CPU y coprocesador de seguridad M580 (SIL3).
  • Fuentes de alimentación de seguridad redundantes.
  • E/Ss locales y remotas de seguridad; los módulos de seguridad X80 son compatibles sólo con el M580 Safety.
  • Comu nicaciones de seguridad.
  • Bibliotecas de software implementadas para procesos y seguridad de máquinas.

Arquitectura

El sistema de seguridad basado en el PAC M580 Safety posee certificación TÜV Rheinland para su uso en aplicaciones hasta SIL3 (nivel de integridad de seguridad 3), garantizando un funcionamiento seguro y optimizando costos.

El PAC Modicon M580 permite mezclar arquitecturas para:

  • Administrar aplicaciones de seguridad y estándar.
  • Separar los procesos de control y seguridad.
  • Integrar proceso y funciones de seguridad de la máquina.

Nivel de seguridad

El PAC Modicon M580 Safety mejora la confiabilidad del sistema gracias a una exclusiva combinación entre características integradas de ciberseguridad y seguridad:

  • Celdas seguras de aislamiento de memoria.
  • Corrección del código de error en línea.
  • Watchdog de seguridad.
  • Vigilancia del reloj.
  • Aplicación de seguridad ejecutada en un núcleo dedicado.
  • Aislamiento de memoria que controla el acceso a la memoria segura y no segura.
  • Memoria para seguridad diferente de la CPU estándar.

Una falla en la aplicación estándar, cualquiera que sea, no afecta la aplicación de seguridad. La mencionada característica SIL3 se logra mediante una doble ejecución de la aplicación de seguridad, utilizando tanto el Procesador BMEP584040S como el coprocesador BMEP58CPROS3. Todos los módulos de seguridad poseen color rojo (procesador, coprocesador, E/S X80) y un recubrimiento especial en sus placas impresas para uso predeterminado en ambientes severos.

Como características principales de la CPU se pueden mencionar:

  • 4.096 E/Ss discretas.
  • 1.024 E/Ss analógicas.
  • Hasta 4 módulos de comunicación Ethernet.
  • Puerto RIO y DIO.
  • 16 Mb de memoria integrada.
© 2018 Editorial Control. Desarrollado por Estudio Pionero.