¿Qué es un PLC de seguridad?
Trataremos de explicarlo de una forma sencilla para los no expertos. La diferencia fundamental con un PLC de propósito general se resume en una palabra “Diagnosis”. Además, hay diferencias en cuanto a la arquitectura interna, el software y firmware, y la certificación para aplicaciones donde se requiera el cumplimiento de un cierto nivel SIL.
El PLC de seguridad incorpora muchas funciones de diagnóstico para detectar cualquier posible fallo interno en el hardware o en el firmware, de forma que un fallo en el PLC no cause ninguna situación “no segura”.

Hoy en día los PLC estándar van incorporando funciones de diagnóstico pero muchas menos que los PLC de seguridad. Esta capacidad de diagnósticos disminuye los fallos peligrosos no detectados lo que reduce la probabilidad de fallo que es uno de los requisitos del SIL.
Esta es la esencia que vamos a explicar un poco más. Además, el PLC de seguridad cumple los estándares de diseño de los llamados “Sistemas Instrumentados de Seguridad” (abreviatura SIS) que contempla la norma internacional IEC-61508, IEC-61511 (industria de proceso), IEC-62061 (industria manufacturera) y otras, y está por tanto certificado. Téngase en cuenta que el PLC de seguridad es una subsistema de la Función Instrumentada de Seguridad (sensor + PLC + actuador) cuyo diseño debe realizarse para que cumpla determinado nivel SIL. Para diseñar, comparar y verificar el SIL puede utilizarse una herramienta como SILcet.
Veamos con algún ejemplo qué es esto del diagnóstico. En la primera figura vemos un esquema simplificado de una salida digital de un PLC de propósito general. Si el transistor de salida se cortocircuita tendremos un fallo peligroso y la válvula no cerrará cuando la CPU lo ordene.

¿Qué mejoras introduce un PLC de seguridad? Lo vemos en la segunda figura.
Para detectar el cortocircuito introduce una rutina de diagnóstico por medio de micropulsos y la lectura del estado de la salida. Con esto al menos es posible dar una alarma en el caso de que se produzca el cortocircuito.
Para además actuar sobre la salida en caso de fallo se utiliza un segundo transistor en serie, y además enclavándolo con el circuito de vigilancia (llamado en inglés “watchdog”) que compara el estado de ambos transistores de salida.

De esta forma se consigue un circuito de salida seguro (“fail safe”) tolerante al fallo desde el punto de vista de la Seguridad.
Para que la tolerancia al fallo dé también Disponibilidad se utilizan las arquitecturas redundantes, en este ejemplo se consigue poniendo en paralelo dos circuitos de salida iguales como se ve en la tercera figura.

Hay muchas funciones de diagnóstico en un PLC de seguridad, tanto en la CPU y memorias como en las entradas, salidas y comunicaciones, y que lógicamente conlleva un sobre coste como se deduce del ejemplo.
Es importante resaltar que en el diseño de un sistema de seguridad debe considerarse todo el “SIS” (Sistema Instrumentado de Seguridad), es decir: el PLC, los dispositivos de campo, las alimentaciones, el diseño del armario de control, el software, etc. Algunos diseños se centran mucho en una de las partes descuidando otras, obteniendo al final una solución con puntos débiles que debemos corregir. Veremos algún ejemplo en otro artículo.

Tener en cuenta que, estadísticamente hay muchos más fallos en los sensores y actuadores que en el propio PLC.
Por último, los estándares internacionales hacen una clasificación de las aplicaciones según su nivel de riesgo: SIL-1, SIL-2, SIL-3 y SIL-4 (Safety Integrity Level) y que forma parte del análisis de riesgos que debe realizar el diseñador del SIS.
En resumen, las diferencias fundamentales de un PLC de seguridad respecto al de propósito general son las siguientes:
1-Está certificado por entidades certificadoras (Exida, TUV, etc.) para aplicaciones de seguridad hasta un cierto nivel SIL, siendo válido por tanto para realizar el diseño de un SIS según las Normas de diseño de Sistemas de Seguridad tales como la IEC61508, NFPA, FM, etc.
2-Incorpora rutinas de autodiagnóstico de todo el hardware y software para detectar cualquier fallo interno peligroso. En caso de que ocurra, actúa llevando la máquina o proceso a una situación segura. Tiene por tanto menores tasas de fallos peligrosos no detectados.
3-El coste del PLC de seguridad es más alto en su inversión inicial pero, sin duda, menor en su ciclo de vida total.

No siempre el PLC es la solución más adecuada para el SIS, pues depende de diversos factores como el número de SIFs, la complejidad de la lógica, etc. En este artículo lo explicamos más en detalle.
Visite nuestra web sobre Seguridad Funcional