El dilema al que se enfrenta todo gerente de planta

Sistemas de seguridad PLC con niveles de seguridad SIL: esta búsqueda llega hasta aquí porque alguien en su organización acaba de recibir un informe de auditoría de cumplimiento, una especificación de proyecto que requiere SIL 3 o un presupuesto para un PLC de seguridad cuyo precio supera en un 45 % el del controlador estándar presupuestado. Nadie quiere subestimar la seguridad y terminar en un informe de incidentes. Nadie quiere gastar de más y ser objeto de críticas en una revisión presupuestaria. Este artículo explica qué hacen realmente los PLC de seguridad, qué productos existen con números de pieza reales y cómo tomar la decisión correcta sin arriesgarse ni malgastar dinero.

---

Lo básico

SIL (Nivel de Integridad de Seguridad) mide la reducción de riesgos según la norma IEC 61508. Existen cuatro niveles. SIL 1 (factor de reducción de riesgo 10–100) cubre el riesgo de lesiones menores. SIL 2 (RRF 100–1000) gestiona el potencial de lesiones graves; esta es la clasificación más común en maquinaria general. SIL 3 (RRF 1000–10 000) se aplica donde la falla conlleva riesgos de múltiples víctimas mortales: ESD en petróleo y gas, protección de reactores químicos, seguridad de prensas de alta velocidad. SIL 4 (RRF 10 000–100 000) se aplica en energía nuclear, aviación y ferrocarril; ningún PLC de seguridad industrial estándar lo reclama por sí solo.

No confunda SIL con PL (Nivel de Rendimiento) de la norma ISO 13849. Las normativas europeas sobre maquinaria hacen referencia a PL (a-e); las industrias de procesos utilizan SIL. Equivalencia aproximada: SIL 2 ≈ PLd, SIL 3 ≈ PLe. Un PLC de seguridad certificado según SIL 3 suele cumplir los requisitos de PLe, pero la documentación y la metodología de evaluación difieren.

Un PLC de seguridad se diferencia de un PLC estándar en tres aspectos. Primero, los procesadores de doble canal funcionan en sincronía con verificación cruzada: ambos deben coincidir en las salidas dentro de un margen de discrepancia, de lo contrario, el sistema se detiene. Segundo, cada modo de fallo conocido resulta en un estado seguro (desenergizado); esto está certificado, no se da por sentado. Tercero, la memoria del programa de seguridad cuenta con protección de suma de comprobación; el código corrupto se detecta antes de su ejecución. Un PLC estándar con lógica de vigilancia no puede ofrecer la probabilidad de fallo certificada bajo demanda que proporciona un PLC de seguridad con certificación SIL. Si su aplicación requiere certificación SIL, un PLC estándar no cumple con los requisitos.

---

El mundo real

Cinco plataformas dominan las instalaciones de PLC de seguridad:

Siemens S7-1500F: Las variantes con CPU F ejecutan programas estándar y de seguridad en memoria particionada. 6ES7516-3FN02-0AB0 (CPU 1516F-3 PN/DP, SIL 3, 2 MB de memoria de programa) y 6ES7517-3FP00-0AB0 (CPU 1517F-3 PN/DP, de mayor rendimiento) se combina con la E/S a prueba de fallos ET 200SP a través de PROFIsafe. Siemens domina las instalaciones de seguridad en Europa y Oriente Medio.

Allen-Bradley GuardLogix 5580: El 1756-L83ES (SIL 3 / PLe, 10 MB de memoria de usuario, 1 GB de memoria de seguridad) comunica la seguridad a través de EtherNet/IP mediante CIP Safety. GuardLogix es líder en la industria pesada norteamericana: refinerías, automoción, pulpa y papel. Studio 5000 gestiona la lógica estándar y de seguridad en un solo proyecto.

Seguridad M580 de Schneider Electric: El BMEP584040S (CPU de seguridad M580, SIL 3) añade un coprocesador de seguridad al bus M580 estándar. Schneider se dirige a las industrias de procesos híbridos (química, farmacéutica y generación de energía) utilizando EcoStruxure Control Expert.

Pilz PSS 4000: Pilz se especializa en la fabricación de controladores de seguridad. El PSS 4000 (SIL 3 / PLe) utiliza el protocolo SafetyNET p y es líder en seguridad para prensas complejas, protección de celdas robóticas y gestión de quemadores, donde la experiencia en seguridad es fundamental.

ABB AC500-S: Un coprocesador de seguridad en la plataforma AC500, con certificación SIL 3, que utiliza PROFIsafe sobre PROFINET. ABB lo posiciona para aplicaciones que combinan el estándar AC500 con la seguridad: tratamiento de agua, ventilación de túneles y control de grúas.

Las instalaciones reales muestran la variedad. Una plataforma marina en el Golfo Pérsico utiliza CPU Siemens S7-1500F para ESD de cabezal de pozo en SIL 3; un disparo intempestivo cuesta entre 500 000 y 2 millones de dólares, por lo que la disponibilidad es tan importante como la seguridad. Una planta de estampado automotriz en Michigan utiliza Allen-Bradley GuardLogix 1756-L83ES para la protección de prensas con cortinas de luz y alfombras de seguridad, evaluando la interrupción del haz y emitiendo comandos de parada en 15 ms para cumplir con OSHA 1910.217. Una planta química alemana implementa Schneider M580 Safety para protección contra sobrepresión con tres transmisores redundantes en una arquitectura de votación 2oo3; el SIF debe cerrar las válvulas de parada en un tiempo de seguridad de proceso de 2 segundos.

---

DBuceo profundo

Tres protocolos de seguridad transmiten datos de seguridad a través de las redes de la planta. PROFIsafe se basa en PROFINET como un protocolo de canal negro: red no confiable, capa de seguridad confiable con numeración de secuencia, CRC y verificación de direcciones. Nativo de Siemens y ABB. CIP Safety extiende EtherNet/IP con el mismo enfoque de canal negro, con capacidad de enrutamiento a través de subredes. Nativo de Allen-Bradley GuardLogix. FSoE (FailSafe over EtherCAT) utiliza tramas EtherCAT directamente, presente principalmente en Beckhoff TwinSAFE y algunas configuraciones de Pilz. La elección del protocolo depende de la plataforma; existen pasarelas para entornos mixtos, pero añaden latencia.

Las arquitecturas de redundancia priorizan la disponibilidad sobre la seguridad. La configuración 1oo1 (un solo canal) es la más económica, pero cualquier fallo detiene la producción; aceptable para SIL 2 con disparos espurios tolerables. La configuración 1oo2 (dos canales, cualquiera puede dispararse) proporciona mayor seguridad, pero aún se dispara ante cualquier fallo individual. La configuración 2oo3 (tres canales, dos deben coincidir) mantiene la seguridad ante un único fallo, evitando disparos espurios; estándar en ESD para petróleo y gas, donde la disponibilidad tiene un peso económico. Un sistema 2oo3 certificado por TÜV, como el Siemens S7-1500FH, gestiona la sincronización de votos internamente, pero se requiere diversidad de hardware para evitar fallos de causa común.

El ciclo de vida de seguridad funcional IEC 61511 rige todo el sistema, no solo el PLC. HAZOP/LOPA determina el SIL objetivo. Un SRS documenta los puntos de activación, los tiempos de respuesta y el comportamiento de reinicio. La verificación SIL calcula el PFDavg para todo el bucle; el PLC de seguridad generalmente contribuye con menos del 15 % de la probabilidad total de falla; los sensores y los elementos finales son los que predominan. Las pruebas de verificación a intervalos definidos (normalmente 12 meses para funciones de proceso SIL 3) afectan directamente al PFDavg. Y la ciberseguridad según IEC 62443 ahora se interrelaciona con la seguridad funcional: la firma de firmware, el acceso basado en roles y los cambios de programa de seguridad con registro de auditoría son estándar en los PLC de seguridad modernos. Un PLC de seguridad comprometido no tiene una clasificación SIL en ningún sentido significativo.

---

Precios y disponibilidad

Los PLC de seguridad tienen un sobreprecio del 30 al 50 % con respecto a sus equivalentes estándar. Un 6ES7516-3FN02-0AB0 (S7-1500F) cuesta entre 4800 y 5600 dólares, frente a los 3200 a 3800 dólares del 1516-3 estándar. Un GuardLogix 1756-L83ES cuesta entre 7200 y 8500 dólares, frente a los 4800 a 5600 dólares del 1756-L83E estándar. Las E/S de seguridad suponen un sobreprecio del 30 al 40 % con respecto a las E/S estándar.

Los plazos de entrega para mediados de 2026 siguen siendo prolongados: de 16 a 20 semanas para las CPU Siemens S7-1500F y Allen-Bradley GuardLogix. Se recomienda solicitar los PLC de seguridad durante la fase de especificación; esperar hasta la puesta en marcha garantiza un retraso en el cronograma. tztechio.com mantiene un stock regional de seguridad para los números de pieza de seguridad más comunes de Siemens y Allen-Bradley en Oriente Medio. Consulte tztechio.com/plc, tztechio.com/siemens y tztechio.com/allen-bradley para conocer la disponibilidad actual.

Preguntas frecuentes

P: ¿Realmente necesito un PLC de seguridad o puedo usar un relé de seguridad?

Una o dos funciones de seguridad sencillas —una parada de emergencia, una barrera fotoeléctrica— son suficientes para un relé de seguridad configurable como el Pilz PNOZ X o el Siemens 3SK1, a menos de la mitad del precio. El PLC de seguridad se vuelve necesario con múltiples zonas de seguridad, señales de seguridad que se cruzan entre máquinas, lógica de seguridad flexible que cambia con los modos de producción o diagnósticos que identifican qué dispositivo se activó. Si se conectan más de tres relés de seguridad a contactos en serie complejos, el PLC de seguridad se amortiza gracias a la reducción del cableado y la facilidad de modificación.

P: SIL 2 vs. SIL 3: ¿cuál es la diferencia práctica?

SIL 3 tiene aproximadamente 10 veces menos probabilidades de fallar bajo demanda que SIL 2. Esto se traduce en hardware: SIL 2 podría usar entradas de un solo canal con diagnóstico; SIL 3 requiere entradas de doble canal con verificación de discrepancias y prácticamente duplica la cantidad de E/S. La mayoría de la maquinaria (prensas, robots, empaquetadoras) cumple con los requisitos reglamentarios en SIL 2 / PLd. Especifique SIL 3 porque su evaluación de riesgos lo requiere, no porque parezca más seguro.

P: ¿Puedo añadir funciones de seguridad a mi PLC estándar existente?

No. Un PLC estándar carece de la arquitectura de doble procesador, los controladores de salida a prueba de fallos y el firmware certificado. Se puede integrar un PLC de seguridad independiente junto con el controlador estándar; muchas plantas lo hacen. Si bien esto aumenta la complejidad de la comunicación, funciona.

P: ¿Un PLC de seguridad SIL 3 necesita sensores y actuadores SIL 3?

El conjunto completo del SIF (sensor, controlador lógico y elemento final) debe cumplir con el nivel SIL objetivo. Un PLC SIL 3 con sensores SIL 2 y válvulas SIL 2 podría no alcanzar el nivel SIL 3 en general. Esto se determina mediante el cálculo del PFD promedio. Los sensores SIL 2 con una configuración de votación 1oo2 o 2oo3 pueden cumplir con el nivel SIL 3, dependiendo de los intervalos de prueba y los números PFD de los componentes.

P: ¿Con qué frecuencia debo realizar pruebas de funcionamiento en un PLC de seguridad?

Intervalos típicos: 12 meses para seguridad de procesos SIL 3, 12-24 meses para maquinaria. La prueba debe abarcar todo el ciclo, desde los sensores hasta los elementos finales. El diagnóstico interno del PLC de seguridad cubre más del 99 % de las fallas, pero los dispositivos de campo requieren pruebas activas.