Seguridad funcional en sistemas PLC: niveles SIL, relés de seguridad y explicación del cumplimiento normativo.
Un sistema de seguridad funciona o no funciona, y cuando no funciona, la gente sale perjudicada. Esa es la realidad ineludible de la seguridad funcional industrial. Pero traducir esa realidad en una especificación de adquisición de PLC implica lidiar con los niveles SIL, la norma IEC 61511, las E/S a prueba de fallos y un mercado repleto de certificaciones superpuestas que pueden resultar abrumadoras.
En 2026, esto no es solo una cuestión de ingeniería, sino también legal. La directiva NIS2 de Europa ahora considera la manufactura como infraestructura crítica. Los proyectos en Oriente Medio, bajo los estándares de Saudi Aramco y ADNOC, exigen el cumplimiento de la norma IEC 61511 con objetivos SIL específicos. Incluso en Norteamérica, donde la OSHA históricamente ha sido menos estricta con las normas de seguridad en automatización, las aseguradoras están redactando pólizas que incluyen requisitos que hacen referencia a la norma IEC 61508.
Este artículo simplifica la terminología técnica. Al terminar de leerlo, sabrá qué nivel SIL necesita su aplicación, qué familias de PLC de seguridad lo proporcionan y cómo es la documentación de cumplimiento necesaria.
La seguridad funcional no es lo mismo que la seguridad eléctrica. La seguridad eléctrica previene descargas eléctricas e incendios mediante una correcta conexión a tierra, protección de circuitos y envolventes. La seguridad funcional garantiza que, en caso de fallo, el sistema de control falle de forma que se mantenga la seguridad de las personas.
Un sistema de seguridad funcional tiene tres funciones: detectar una condición peligrosa (la barrera fotoeléctrica se rompe), tomar una decisión (detener la prensa) y ejecutar esa decisión de forma fiable (desenergizar el contactor del motor). Toda la cadena —sensor, controlador lógico, elemento final— debe diseñarse de manera que ningún fallo de un solo componente impida que el sistema cumpla su función.
El Nivel de Integridad de Seguridad (SIL, por sus siglas en inglés) mide la reducción de riesgos que proporciona una función de seguridad. Va desde SIL 1 (el más bajo) hasta SIL 4 (el más alto, que casi nunca se utiliza en la automatización industrial).
Nivel SIL | Factor de reducción de riesgo | Probabilidad de fallo bajo demanda | Aplicación típica
SIL 1 | 10–100 | 0,1–0,01 (1 de cada 10 a 1 de cada 100) | Viaje simple por exceso de velocidad
SIL 2 | 100–1000 | 0,01–0,001 (1 en 100 a 1 en 1000) | Válvula de parada de proceso
SIL 3 | 1.000–10.000 | 0,001–0,0001 (1 en 1.000 a 1 en 10.000) | Gestión de quemadores, protección de alta presión
SIL 4 | 10 000–100 000 | 0,0001–0,00001 | Protección de reactores nucleares
En automatización industrial, los niveles SIL 2 y SIL 3 cubren el 95 % de las aplicaciones. El nivel SIL 4 existe solo en papel y en centrales nucleares; no lo encontrará en una línea de envasado ni en una planta de tratamiento de agua.
Tres normas constituyen la base de la seguridad funcional en la automatización industrial:
IEC 61508: la norma general. Abarca todos los sectores industriales y todos los sistemas de seguridad eléctricos, electrónicos y programables. Define el concepto SIL y el ciclo de vida de la seguridad.
IEC 61511: Adaptación de la norma 61508 para la industria de procesos. Es la norma que siguen las refinerías, las plantas químicas y las centrales eléctricas. Abarca todo el sistema instrumentado de seguridad (SIS), desde el sensor hasta el controlador lógico y el elemento final.
IEC 62061 / ISO 13849: Normas de seguridad para maquinaria. Si está construyendo una máquina herramienta, una máquina de embalaje o una célula robótica, estas normas son aplicables. Definen los niveles de rendimiento (PL a a PL e) que se corresponden aproximadamente con SIL 1-3, pero utilizan una metodología de cálculo diferente.
Si trabaja en el sector del petróleo y el gas de Oriente Medio, la norma IEC 61511 es la que rige su actividad. Si fabrica maquinaria y exporta a Europa, se aplican las normas IEC 62061 e ISO 13849. Asegúrese de saber cuál de ellas se menciona en la póliza de seguro de su cliente.
Un PLC de seguridad no es simplemente un PLC común con una etiqueta de seguridad. La arquitectura difiere a nivel de silicio.
Doble canal con comparación (1oo2): Dos procesadores independientes ejecutan la misma lógica de seguridad. Un comparador de hardware verifica continuamente que ambos procesadores coincidan en cada decisión de salida. Si discrepan incluso por un solo bit, las salidas de seguridad se desactivan. Esta es la arquitectura estándar para PLC de seguridad SIL 3. Allen-Bradley GuardLogix, Siemens S7-1500Fy Omron NX-SL utilizan algún tipo de arquitectura 1oo2.
Redundancia modular triple (2oo3): Tres procesadores votan sobre cada salida. Si falla un solo procesador, el sistema no se detiene; los dos restantes lo superan en la votación. Esta arquitectura (TMR) es común en los sistemas Honeywell Safety Manager y Triconex para aplicaciones SIL 3, donde las detenciones erróneas conllevan enormes consecuencias financieras. Una detención errónea en el sistema de parada de emergencia de una plataforma marina puede costar 1 millón de dólares en pérdidas de producción diarias.
Monocanal con diagnóstico (1oo1D): un procesador con diagnóstico interno completo. Adecuado para aplicaciones SIL 2 donde el requisito de reducción de riesgos es moderado. El TwinSAFE de Beckhoff y muchos controladores de seguridad compactos utilizan este enfoque.
Los módulos de E/S de seguridad tienen un aspecto similar al de los módulos de E/S estándar por fuera. Sin embargo, internamente son fundamentalmente diferentes:
· Prueba de pulsos: El módulo envía pulsos de microsegundos a través del circuito de salida para verificar que el cableado de campo esté intacto y que la carga no haya sufrido un cortocircuito. Estos pulsos son demasiado cortos para energizar la bobina de un contactor, pero lo suficientemente largos para que el sistema de diagnóstico del módulo detecte un circuito abierto o un cortocircuito.
· Intervalos de prueba en oscuridad: En las entradas digitales, el módulo apaga brevemente la fuente de alimentación interna y comprueba que la señal de entrada realmente caiga a cero. Esto detecta un fallo permanente que, de otro modo, pasaría desapercibido, ya que la entrada siempre se lee como energizada.
· Entradas de doble canal: Una única entrada de seguridad (parada de emergencia, barrera fotoeléctrica) se conecta a dos canales de entrada independientes. El módulo verifica que ambos canales cambien de estado dentro de un tiempo de discrepancia definido, generalmente entre 100 y 500 milisegundos. Si un canal se abre pero el otro permanece cerrado más allá de dicho tiempo, el módulo declara una falla y fuerza un estado seguro.
Estos diagnósticos se ejecutan continuamente, cientos de veces por segundo. No los ves. El PLC no los reporta a menos que fallen. Pero marcan la diferencia entre un sistema que es seguro en teoría y uno que sigue siendo seguro después de tres años de vibraciones, calor y abandono.
La lógica de seguridad se ejecuta en un programa de seguridad independiente con su propia partición de ejecución. El programa de control estándar no puede escribir en las etiquetas de seguridad; solo puede leerlas. La lógica de seguridad utiliza un conjunto de instrucciones restringido: sin bucles, sin direccionamiento indirecto, sin asignación dinámica de memoria. Todas las posibles rutas de ejecución deben poder analizarse en tiempo de compilación.
Funciones de seguridad comunes que programará:
· Supervisión de parada de emergencia: Entrada de doble canal, reinicio manual requerido, lógica antibloqueo para evitar la anulación de la parada de emergencia.
· Silenciamiento de la cortina de luz: Desactive temporalmente la función de seguridad para permitir el paso del material, utilizando sensores de silenciamiento dispuestos de manera que una persona no pueda activar el mismo patrón de sensor.
· Desconexión segura del par (STO): Desenergiza la etapa de salida del variador del motor sin desconectar la alimentación principal, lo que permite un reinicio rápido después de un evento de seguridad.
· Velocidad limitada segura (SLS): Supervise la retroalimentación del codificador y deténgase si el motor supera un límite de velocidad configurable.
· Gestión del quemador: Sincronización de la purga, detección de llama, comprobación de la válvula de combustible y secuencia de parada de emergencia.
Oriente Medio: La norma SAES-J-601 de Saudi Aramco exige el cumplimiento de la norma IEC 61511 para todos los nuevos sistemas de seguridad de procesos. El nivel SIL 3 es el estándar predeterminado para la detección de incendios y gases, la parada de emergencia y los sistemas de protección de alta integridad contra sobrepresión (HIPPS). Honeywell Safety Manager y Triconex dominan la base instalada, mientras que Yokogawa ProSafe-RS está ganando terreno en los proyectos EPC japoneses. Si va a suministrar equipos para un proyecto de Aramco, presupueste un PLC de seguridad certificado y una evaluación de seguridad funcional (FSA) realizada por un ingeniero certificado por TÜV antes de la puesta en marcha.
Europa: El marcado CE ahora exige un ciclo de vida de seguridad documentado para la maquinaria. El Reglamento de Maquinaria de la UE 2023/1230 (en vigor desde 2027, aunque los proveedores ya lo cumplen) endurece los requisitos para robots móviles autónomos y robots colaborativos, que dependen en gran medida de PLC de seguridad para la monitorización de la velocidad y la separación. Las CPU F de Siemens dominan el mercado en Alemania y Europa del Este. El Pilz PSS 4000 es la opción preferida para aplicaciones de seguridad pura.
América: La norma OSHA PSM (Gestión de la Seguridad de Procesos, 29 CFR 1910.119) impulsa la adopción en refinerías y plantas químicas. GuardLogix goza de gran aceptación porque las plantas ya cuentan con el ecosistema de Rockwell. La transición hacia la seguridad integrada (lógica de seguridad en la misma plataforma que el control estándar) se ha acelerado desde que Studio 5000 Logix Designer de Rockwell hizo que la programación de seguridad fuera prácticamente idéntica a la programación estándar.
Los niveles SIL no se adivinan. Se calculan mediante un Análisis de Capas de Protección (LOPA). El método:
1. Comencemos con la frecuencia del evento desencadenante: ¿Con qué frecuencia se presenta la condición peligrosa? Una sobrepresión en el reactor podría ocurrir una vez al año. Un atasco en la cinta transportadora podría ocurrir una vez al día.
2. Determinar el riesgo tolerable: ¿Cuál es la frecuencia máxima aceptable del resultado perjudicial? Para una muerte, los objetivos comunes de la industria oscilan entre 1 × 10⁻⁴ y 1 × 10⁻⁶ por año.
3. Considere las capas de protección no incluidas en el SIS: válvulas de alivio, respuesta del operador, contención física. Cada capa de protección independiente (IPL) reduce el riesgo en un factor.
4. La brecha restante es la que debe cubrir su función instrumentada de seguridad; esa brecha determina el nivel SIL requerido.
Un ejemplo simplificado: Un evento de sobrepresión ocurre una vez cada 10 años. Sin protección, mataría a un operador. Su riesgo tolerable es de 1 × 10⁻⁴ por año (una muerte en 10 000 años). Una válvula de alivio proporciona una reducción de riesgo de 100× (un IPL). Riesgo restante: 1 × 10⁻³ por año. Para alcanzar 1 × 10⁻⁴, necesita otro factor de 10, es decir, SIL 1. Su PLC de seguridad debe cerrar la válvula de entrada dentro del tiempo de seguridad del proceso cuando la presión supera el punto de disparo.
Su PLC de seguridad con certificación SIL tiene una probabilidad de fallo nominal bajo demanda (PFDavg). Esta clasificación presupone que usted realiza pruebas de funcionamiento del sistema a intervalos regulares, normalmente cada 12 meses. La prueba de funcionamiento verifica toda la cadena de seguridad, desde el sensor hasta el elemento final, y detecta fallos que el diagnóstico automático no detectó.
Una prueba de verificación en un PLC de seguridad implica:
· Forzar entradas de seguridad y verificar las salidas de seguridad correctas responde
· Prueba del tiempo de respuesta (debe estar dentro del tiempo de seguridad del proceso).
· Verificar que la cobertura de diagnóstico funcione (inyectar una falla, confirmar que el PLC la detecte y la reporte).
· Prueba del circuito de vigilancia (temporizador de hardware que fuerza un estado seguro si el procesador de seguridad se bloquea).
Programe pruebas de verificación durante las paradas programadas. Documente cada resultado de las pruebas. Esta documentación le servirá como evidencia si, durante una investigación de incidentes, se cuestiona si el sistema de seguridad se mantuvo conforme a las especificaciones de los requisitos de seguridad.
La norma NIS2 europea exige que los sistemas relacionados con la seguridad estén protegidos contra las ciberamenazas. Un PLC de seguridad conectado a una red de planta no segmentada no es seguro, no porque el PLC vaya a fallar, sino porque una estación de trabajo de ingeniería comprometida puede descargar un programa de seguridad modificado que desactive las protecciones.
El modelo de defensa en profundidad para PLC de seguridad:
· Segmentación de red: PLC de seguridad en un segmento de red de seguridad dedicado, aislado mediante cortafuegos de la red de control de la planta.
· Gestión del cambio: Todas las modificaciones del programa de seguridad requieren aprobación documentada, verificación independiente y pruebas funcionales.
· Integridad del firmware: El firmware del PLC de seguridad debe estar firmado digitalmente y verificado al arrancar.
· Seguridad física: El interruptor de seguridad PLC está ahí por una razón. Úselo.
· CPU de seguridad Omron NX-SL3300 SIL 3: entre 1200 y 1800 USD; tiempo de ciclo de tarea de seguridad de 10 a 20 ms; se integra con la plataforma de E/S de la serie NX.
· Allen-Bradley 1756-L82ES GuardLogix SIL 3: entre 12.000 y 18.000 dólares estadounidenses; admite control estándar y de seguridad integrados en un solo controlador.
· Siemens S7-1500F (1516F-3 PN/DP) SIL 3: entre 6000 y 9000 USD; TIA Portal integrado; F-CPU con PROFIsafe sobre PROFINET
· Honeywell Safety Manager SIL 3: Precio a consultar (normalmente más de 25.000 dólares solo para el controlador lógico); arquitectura TMR; preferido por las principales compañías de petróleo y gas.
· Nota: Todos los precios excluyen los módulos de E/S de seguridad, que suelen añadir entre un 30 % y un 50 % al coste total del hardware. Plazos de entrega: de 4 a 12 semanas, según la plataforma. Los relés de seguridad descatalogados y los PLC de seguridad antiguos (Pilz PNOZmulti Classic, GuardLogix antiguos) siguen estando disponibles en tztechio.com/industrial-automation.
¿Necesito un PLC de seguridad independiente o puedo usar mi PLC estándar?
Si su PLC estándar cuenta con certificación de seguridad (como GuardLogix o S7-1500F), la lógica de seguridad se ejecuta en una partición independiente del mismo hardware: funcionalmente separada, pero físicamente integrada. Si su PLC estándar es un controlador estándar sin certificación de seguridad, necesita un PLC de seguridad independiente. Nunca ejecute la lógica de seguridad en un controlador no certificado.
¿Cuál es la diferencia entre SIL y PL?
SIL (Nivel de Integridad de Seguridad) proviene de las normas IEC 61508/61511 y se aplica a las industrias de procesos y a los sistemas de seguridad complejos. PL (Nivel de Rendimiento, a–e) proviene de la norma ISO 13849 y se aplica a la maquinaria. Ambos se superponen: PL d equivale aproximadamente a SIL 2, y PL e equivale aproximadamente a SIL 3. Si se certifica una máquina para el mercado europeo, se necesita PL. Si se diseña un sistema de seguridad de procesos, se necesita SIL. Algunos PLC de seguridad están certificados para ambos.
¿Pueden los PLC de seguridad de Omron integrarse con PLC estándar que no sean de Omron?
Sí. La CPU de seguridad Omron NX-SL comunica datos de seguridad a través de EtherCAT mediante FSoE (Fail-Safe over EtherCAT). Cualquier maestro EtherCAT compatible con FSoE puede intercambiar datos de seguridad con la NX-SL. Esto significa que puede usar una CPU de seguridad Omron con un PLC estándar Beckhoff, o viceversa, siempre que ambos sean compatibles con el protocolo FSoE.
¿Con qué frecuencia es necesario reemplazar los PLC de seguridad?
Los PLC de seguridad tienen una vida útil documentada en su manual de seguridad, generalmente de 20 años a partir de la fecha de fabricación. Transcurrido este tiempo, las tasas de fallo probabilísticas en el cálculo del SIL ya no están garantizadas. Muchas plantas utilizan PLC de seguridad durante más de 20 años, pero si ocurre un incidente, la investigación constatará que el equipo superó su vida útil certificada. Se recomienda presupuestar su reemplazo a los 15 años para disponer de tiempo suficiente para la migración antes de la fecha límite.
¿Es obligatorio garantizar la seguridad funcional en las plantas de tratamiento de agua en Oriente Medio?
Aunque no es una práctica generalizada, se está convirtiendo en un estándar. Los principales proyectos de desalinización y tratamiento de aguas residuales en Arabia Saudita, Emiratos Árabes Unidos y Qatar ahora especifican SIL 2 para la dosificación de cloro y SIL 2-3 para la protección de membranas de ósmosis inversa de alta presión. Si el proyecto cuenta con una referencia de especificación de Aramco o ADNOC, el cumplimiento de la norma IEC 61511 es obligatorio independientemente del sector.
--------------------------------------------------------------------------------------------------------------------
TZ Tech es un proveedor profesional de componentes eléctricos y de automatización industrial, así como de algunos componentes de instrumentación y telecomunicaciones. Vendemos principalmente productos en stock de nuestros distribuidores, con precios competitivos y plazos de entrega cortos. Incluso podemos suministrar piezas descatalogadas, ya que contamos con un amplio inventario.
Comprendemos su preocupación, por lo que le garantizamos la calidad. Seleccionamos rigurosamente los componentes que necesita, para que no tenga que preocuparse por problemas de calidad en los productos que reciba. En el caso de piezas especializadas que ya no se fabrican, le informaremos con total transparencia sobre su estado. Todas las piezas nuevas cuentan con una garantía de un año.
Si necesita alguna pieza relacionada, no dude en enviarnos una consulta. Nuestro personal le responderá rápidamente en un plazo de 6 horas (excepto fines de semana).
Continúe leyendo, manténgase informado, suscríbase y le invitamos a que nos cuente lo que piensa.
Además, con su permiso, queremos colocar cookies para que su visita y su interacción con slOC sean más personales. Para ello utilizamos cookies analíticas y publicitarias. Con estas cookies, nosotros y terceros podemos rastrear y recopilar su comportamiento en Internet dentro y fuera de super-instrument.com. Con esto, nosotros y terceros adaptamos super-instrument.com y los anuncios a su interés. Al hacer clic en Aceptar, acepta esto. Si lo rechaza, solo utilizamos las cookies necesarias y lamentablemente no recibirá ningún contenido personalizado. Visite nuestra política de cookies para obtener más información o para cambiar su consentimiento en el futuro.
Accept and continue Decline cookies
