Segurança funcional em sistemas PLC: níveis SIL, relés de segurança e conformidade explicados.
Um sistema de segurança ou funciona ou não funciona — e quando não funciona, pessoas se machucam. Essa é a realidade incontestável da segurança funcional industrial. Mas traduzir essa realidade em uma especificação de aquisição de CLP significa navegar pelos níveis SIL, pela norma IEC 61511, por E/S à prova de falhas e por um mercado repleto de certificações sobrepostas que podem ser de deixar qualquer um confuso.
Em 2026, isso não é apenas uma preocupação de engenharia. É uma questão legal. A diretiva europeia NIS2 agora abrange a indústria manufatureira como infraestrutura crítica. Projetos no Oriente Médio, sob os padrões da Saudi Aramco e da ADNOC, exigem conformidade com a norma IEC 61511, com metas SIL específicas. Mesmo na América do Norte, onde a OSHA historicamente adotou uma abordagem mais branda em relação aos padrões de segurança de automação, as seguradoras estão criando apólices com requisitos que fazem referência à norma IEC 61508.
Este artigo simplifica a complexidade da terminologia. Ao terminar a leitura, você saberá qual nível SIL sua aplicação precisa, quais famílias de PLCs de segurança realmente o atendem e como é a documentação de conformidade necessária.
Segurança funcional não é o mesmo que segurança elétrica. A segurança elétrica previne choques e incêndios — aterramento adequado, proteção de circuitos, invólucros. A segurança funcional garante que, quando algo dá errado, o sistema de controle falha de uma forma que protege as pessoas.
Um sistema de segurança funcional tem três funções: detectar uma condição perigosa (a cortina de luz se rompe), tomar uma decisão (parar a impressora) e executar essa decisão de forma confiável (desenergizar o contator do motor). Toda a cadeia — sensor, controlador lógico e elemento final — deve ser projetada de forma que a falha de nenhum componente impeça o sistema de desempenhar sua função.
O Nível de Integridade de Segurança (SIL) mede o quanto uma função de segurança reduz os riscos. Ele varia de SIL 1 (mais baixo) a SIL 4 (mais alto, quase nunca usado em automação industrial).
Nível SIL | Fator de Redução de Risco | Probabilidade de Falha Sob Demanda | Aplicação Típica
SIL 1 | 10–100 | 0,1–0,01 (1 em 10 a 1 em 100) | Deslocamento simples por excesso de velocidade
SIL 2 | 100–1.000 | 0,01–0,001 (1 em 100 a 1 em 1.000) | Válvula de desligamento do processo
SIL 3 | 1.000–10.000 | 0,001–0,0001 (1 em 1.000 a 1 em 10.000) | Gerenciamento de queimadores, proteção contra alta pressão
SIL 4 | 10.000–100.000 | 0,0001–0,00001 | Proteção de reator nuclear
Para automação industrial, os níveis SIL 2 e SIL 3 abrangem 95% das aplicações. O nível SIL 4 existe em fábricas de papel e usinas nucleares — você não o encontrará em uma linha de embalagem ou em uma estação de tratamento de água.
Três normas formam a espinha dorsal da segurança funcional na automação industrial:
IEC 61508 — A norma abrangente. Abrange todos os setores e todos os sistemas de segurança elétricos/eletrônicos/programáveis. Define o conceito SIL e o ciclo de vida de segurança.
IEC 61511 — A adaptação da norma 61508 para a indústria de processos. É a norma seguida por refinarias, plantas químicas e usinas de energia. Ela abrange todo o sistema instrumentado de segurança (SIS), desde sensores e controladores lógicos até os componentes finais.
IEC 62061 / ISO 13849 — Normas de segurança para máquinas. Se você estiver construindo uma máquina-ferramenta, uma máquina de embalagem ou uma célula robotizada, essas normas se aplicam. Elas definem Níveis de Desempenho (PL a a PL e) que correspondem aproximadamente aos níveis SIL 1 a 3, mas utilizam uma metodologia de cálculo diferente.
Se você atua no setor de petróleo e gás do Oriente Médio, a norma IEC 61511 é a que rege as normas. Se você é um fabricante de máquinas que exporta para a Europa, aplicam-se as normas IEC 62061 e ISO 13849. Verifique qual delas consta na apólice de seguro do seu cliente.
Um CLP de segurança não é apenas um CLP comum com um adesivo de segurança. A arquitetura difere no nível do silício.
Dual-channel com comparação (1oo2) — Dois processadores separados executam a mesma lógica de segurança. Um comparador de hardware verifica continuamente se ambos os processadores concordam em cada decisão de saída. Se houver discordância, mesmo que por um único bit, as saídas de segurança são desenergizadas. Esta é a arquitetura padrão para PLCs de segurança SIL 3. Allen-Bradley GuardLogix, Siemens S7-1500FTanto o Omron NX-SL quanto o 1000 utilizam alguma forma de arquitetura 10002.
Redundância modular tripla (2oo3) — Três processadores votam em cada saída. A falha de um único processador não desliga o sistema — os dois restantes votam contra ele. Essa arquitetura (TMR) é comum nos sistemas Honeywell Safety Manager e Triconex para aplicações SIL 3, onde desligamentos espúrios acarretam enormes consequências financeiras. Um desligamento falso no sistema de desligamento de emergência de uma plataforma offshore pode custar US$ 1 milhão em perda de produção por dia.
Canal único com diagnóstico (1oo1D) — Um processador com diagnóstico interno abrangente. Adequado para aplicações SIL 2 onde o requisito de redução de risco é moderado. O TwinSAFE da Beckhoff e muitos controladores de segurança compactos utilizam essa abordagem.
Os módulos de E/S de segurança são visualmente semelhantes aos módulos de E/S padrão. Internamente, porém, são fundamentalmente diferentes:
· Teste de pulso: O módulo envia pulsos de duração de microssegundos através do circuito de saída para verificar se a fiação de campo está intacta e se a carga não entrou em curto-circuito. Esses pulsos são muito curtos para energizar a bobina de um contator, mas suficientemente longos para que o sistema de diagnóstico do módulo detecte um circuito aberto ou em curto-circuito.
· Intervalos de teste no escuro: Nas entradas digitais, o módulo desliga brevemente a fonte de alimentação interna e verifica se o sinal de entrada realmente cai para zero. Isso detecta uma falha do tipo "ligado continuamente" que, de outra forma, passaria despercebida porque a entrada sempre indica que está energizada.
· Entradas de canal duplo: Uma única entrada de segurança (parada de emergência, cortina de luz) conecta-se a dois canais de entrada separados. O módulo verifica se ambos os canais mudam de estado dentro de um tempo de discrepância definido — normalmente de 100 a 500 milissegundos. Se um canal abrir, mas o outro permanecer fechado além do tempo de discrepância, o módulo declara uma falha e força um estado seguro.
Esses diagnósticos são executados continuamente, centenas de vezes por segundo. Você não os vê. O CLP não os reporta a menos que apresentem falhas. Mas eles representam a diferença entre um sistema que é seguro no papel e um que é seguro após três anos de vibração, calor e negligência.
A lógica de segurança é executada em um programa de segurança separado, com sua própria partição de execução. O programa de controle padrão não pode escrever nas tags de segurança — ele só pode lê-las. A lógica de segurança usa um conjunto de instruções restrito: sem loops, sem endereçamento indireto, sem alocação dinâmica de memória. Cada caminho de execução possível deve ser analisável em tempo de compilação.
Funções de segurança comuns que você irá programar:
· Monitoramento de parada de emergência: entrada de canal duplo, reinicialização manual necessária, lógica anti-amarração para evitar a desativação da parada de emergência.
· Silenciamento da cortina de luz: Desative temporariamente a função de segurança para permitir a passagem de materiais, utilizando sensores de silenciamento dispostos de forma que uma pessoa não possa acionar o mesmo padrão de sensor.
· Desligamento seguro de torque (STO): Desenergiza o estágio de saída do acionamento do motor sem interromper a alimentação principal, permitindo uma reinicialização rápida após um evento de segurança.
· Velocidade limitada de segurança (SLS): Monitora o feedback do encoder e desliga o motor se ele exceder um limite de velocidade configurável.
· Gerenciamento do queimador: tempo de purga, detecção de chama, verificação da válvula de combustível e sequência de desligamento de emergência.
Oriente Médio: A norma SAES-J-601 da Saudi Aramco exige conformidade com a IEC 61511 para todos os novos sistemas de segurança de processos. O nível SIL 3 é o padrão para detecção de incêndio e gás, desligamento de emergência e sistemas de proteção de alta integridade contra pressão (HIPPS). O Honeywell Safety Manager e o Triconex dominam a base instalada, com o Yokogawa ProSafe-RS ganhando participação em projetos liderados por empresas japonesas de engenharia, aquisição e construção (EPC). Se você estiver fornecendo equipamentos para um projeto da Aramco, inclua no orçamento um CLP de segurança certificado e uma avaliação de segurança funcional (FSA) realizada por um engenheiro certificado pela TÜV antes do comissionamento.
Europa: A marcação CE agora exige um ciclo de vida de segurança documentado para máquinas. O Regulamento de Máquinas da UE 2023/1230 (em vigor a partir de 2027, mas os fornecedores já estão a cumprir) torna mais rigorosos os requisitos para robôs móveis autónomos e robôs colaborativos — ambos dependentes de PLCs de segurança para monitorização de velocidade e separação. Os F-CPUs da Siemens dominam a Alemanha e a Europa de Leste. O Pilz PSS 4000 é a escolha ideal para aplicações puramente de segurança.
Américas: A norma OSHA PSM (Process Safety Management, 29 CFR 1910.119) impulsiona a adoção em refinarias e indústrias químicas. O GuardLogix tem grande aceitação porque as plantas já possuem o ecossistema da Rockwell implementado. A transição para a segurança integrada (lógica de segurança na mesma plataforma que o controle padrão) acelerou desde que o Studio 5000 Logix Designer da Rockwell tornou a programação de segurança praticamente idêntica à programação padrão.
Os níveis SIL não são estimados por tentativa e erro. Eles são calculados usando uma Análise de Camadas de Proteção (LOPA). O método:
1. Comece com a frequência do evento iniciador — Com que frequência a condição perigosa surge? Uma sobrepressão no reator pode ocorrer uma vez por ano. Um entupimento na esteira transportadora pode ocorrer uma vez por dia.
2. Determine o risco tolerável — Qual é a frequência máxima aceitável do resultado prejudicial? Para uma fatalidade, as metas comuns da indústria variam de 1 × 10⁻⁴ a 1 × 10⁻⁶ por ano.
3. Considere as camadas de proteção não-SIS — válvulas de alívio, resposta do operador, contenção física. Cada camada de proteção independente (IPL) reduz o risco por um fator.
4. A lacuna restante é o que sua função instrumentada de segurança deve cobrir — essa lacuna determina o nível SIL necessário.
Um exemplo simplificado: um evento de sobrepressão ocorre uma vez a cada 10 anos. Sem proteção, isso mataria um operador. Seu risco tolerável é de 1 × 10⁻⁴ por ano (uma fatalidade em 10.000 anos). Uma válvula de alívio proporciona uma redução de risco de 100 vezes (um IPL). Risco restante: 1 × 10⁻³ por ano. Para atingir 1 × 10⁻⁴, você precisa de um fator de 10 — ou seja, SIL 1. Seu CLP de segurança deve fechar a válvula de entrada dentro do tempo de segurança do processo quando a pressão exceder o ponto de disparo.
Seu CLP de segurança com certificação SIL possui uma probabilidade nominal de falha sob demanda (PFDavg). Essa classificação pressupõe que você realize testes de comprovação do sistema em intervalos regulares — normalmente a cada 12 meses. O teste de comprovação verifica toda a cadeia de segurança, do sensor ao elemento final. Ele detecta falhas que o diagnóstico automático não identificou.
Um teste de comprovação em um CLP de segurança envolve:
· Forçar entradas de segurança e verificar se as saídas de segurança corretas respondem
· Testar o tempo de resposta (deve estar dentro do tempo de segurança do processo).
· Verificar se a cobertura de diagnóstico funciona (injetar uma falha, confirmar se o CLP a detecta e a reporta).
· Testando o circuito watchdog (temporizador de hardware que força um estado seguro caso o processador de segurança trave)
Agende testes de comprovação durante as paradas programadas. Documente todos os resultados dos testes. A documentação servirá como prova caso uma investigação de incidente questione se o sistema de segurança foi mantido de acordo com as especificações dos requisitos de segurança.
A norma NIS2 na Europa exige que os sistemas relacionados à segurança sejam protegidos contra ameaças cibernéticas. Um CLP de segurança conectado a uma rede de planta não segmentada não é seguro — não porque o CLP irá falhar, mas porque uma estação de trabalho de engenharia comprometida pode baixar um programa de segurança modificado que desativa as proteções.
O modelo de defesa em profundidade para PLCs de segurança:
· Segmentação de rede: PLCs de segurança em um segmento de rede de segurança dedicado, isolado por firewall da rede de controle da planta.
· Gestão de mudanças: Todas as modificações no programa de segurança exigem aprovação documentada, verificação independente e testes funcionais.
· Integridade do firmware: O firmware do CLP de segurança deve ser assinado digitalmente e verificado na inicialização.
· Segurança física: A chave de segurança do PLC está lá por um motivo. Use-a.
· CPU de segurança Omron NX-SL3300 SIL 3: US$ 1.200–US$ 1.800; tempo de ciclo da tarefa de segurança de 10–20 ms; integra-se com a plataforma de E/S da série NX.
· Allen-Bradley 1756-L82ES GuardLogix SIL 3: US$ 12.000 a US$ 18.000; suporta segurança integrada e controle padrão em um único controlador.
· Siemens S7-1500F (1516F-3 PN/DP) SIL 3: US$ 6.000 a US$ 9.000; TIA Portal integrado; F-CPU com PROFIsafe sobre PROFINET
· Honeywell Safety Manager SIL 3: Preço sob consulta (normalmente a partir de US$ 25.000 apenas para o solucionador lógico); arquitetura TMR; preferido pelas principais operadoras de petróleo e gás.
· Observação: Todos os preços excluem módulos de E/S de segurança, que normalmente adicionam de 30% a 50% ao custo total do hardware. Prazo de entrega: de 4 a 12 semanas, dependendo da plataforma. Relés de segurança descontinuados e PLCs de segurança legados (Pilz PNOZmulti Classic, GuardLogix mais antigos) continuam disponíveis em tztechio.com/industrial-automation.
Preciso de um CLP de segurança separado ou posso usar meu CLP padrão?
Se o seu CLP padrão tiver certificação de segurança (como o GuardLogix ou o S7-1500F), a lógica de segurança é executada em uma partição separada no mesmo hardware — funcionalmente separada, mas fisicamente integrada. Se o seu CLP padrão for um controlador padrão sem certificação de segurança, você precisará de um CLP de segurança separado. Nunca execute lógica de segurança em um controlador não certificado.
Qual a diferença entre SIL e PL?
O SIL (Nível de Integridade de Segurança) deriva das normas IEC 61508/61511 e aplica-se a indústrias de processo e sistemas de segurança complexos. O PL (Nível de Desempenho, a–e) deriva da norma ISO 13849 e aplica-se a máquinas. Há sobreposição entre eles: o PL d equivale aproximadamente ao SIL 2, e o PL e equivale aproximadamente ao SIL 3. Se você estiver certificando uma máquina para o mercado europeu, precisará da certificação PL. Se estiver projetando um sistema de segurança de processo, precisará da certificação SIL. Alguns CLPs de segurança possuem certificação para ambos os níveis.
Os PLCs de segurança da Omron podem ser integrados a PLCs padrão que não sejam da Omron?
Sim. A CPU de segurança Omron NX-SL comunica dados de segurança via EtherCAT usando FSoE (Fail-Safe over EtherCAT). Qualquer controlador EtherCAT que suporte FSoE pode trocar dados de segurança com o NX-SL. Isso significa que você pode usar uma CPU de segurança Omron com um PLC padrão Beckhoff, ou vice-versa, desde que ambos suportem o protocolo FSoE.
Com que frequência os PLCs de segurança precisam ser substituídos?
Os PLCs de segurança têm uma "vida útil" documentada em seu manual de segurança, normalmente 20 anos a partir da data de fabricação. Após esse período, as taxas de falha probabilísticas no cálculo do SIL (Nível de Integridade de Segurança) deixam de ser garantidas. Muitas fábricas operam PLCs de segurança por mais de 20 anos, mas, se ocorrer um incidente, a investigação constatará que o equipamento excedeu sua vida útil certificada. Recomenda-se incluir a substituição no orçamento para o período de 15 anos, a fim de permitir tempo para a migração antes do prazo final.
É necessário garantir a segurança funcional em estações de tratamento de água no Oriente Médio?
Não é uma prática universal, mas está se tornando padrão. Grandes projetos de dessalinização e tratamento de águas residuais na Arábia Saudita, Emirados Árabes Unidos e Catar agora especificam SIL 2 para dosagem de cloro e SIL 2-3 para proteção de membranas de osmose reversa de alta pressão. Se o projeto tiver uma especificação de referência da Aramco ou da ADNOC, a conformidade com a norma IEC 61511 é obrigatória, independentemente do setor.
--------------------------------------------------------------------------------------------------------------------
A TZ Tech é uma fornecedora profissional de peças para automação industrial e elétrica, além de algumas peças para instrumentação e telecomunicações. Comercializamos principalmente produtos em estoque, diretamente dos distribuidores, com preços competitivos e prazos de entrega curtos. Possuímos um amplo estoque de peças, inclusive itens descontinuados.
Entendemos suas preocupações e, por isso, garantimos a qualidade. Selecionamos rigorosamente os componentes que você precisa, para que não precise se preocupar com problemas de qualidade nos produtos recebidos. Para peças especializadas que já saíram de linha, informaremos com sinceridade a condição atual do produto. Todas as peças novas têm garantia de 1 ano.
Caso precise de alguma peça relacionada, não hesite em enviar uma solicitação. Nossa equipe responderá em até 6 horas (exceto fins de semana).
Continue lendo, mantenha-se informado, inscreva-se e convidamos você a nos dizer o que pensa.
Além disso, com a sua permissão, queremos colocar cookies para tornar a sua visita e a interação com o slOC mais pessoal. Para isso utilizamos cookies analíticos e publicitários. Com esses cookies, nós e terceiros podemos rastrear e coletar seu comportamento na Internet dentro e fora do super-instrument.com. Com isso nós e terceiros adaptamos super-instrument.com e anúncios ao seu interesse. Ao clicar em Aceitar você concorda com isso. Se você recusar, usaremos apenas os cookies necessários e, infelizmente, você não receberá nenhum conteúdo personalizado. Por favor, visite nossa Política de Cookies para obter mais informações ou para alterar seu consentimento no futuro.
Accept and continue Decline cookies
