O dilema que todo gerente de fábrica enfrenta

Classificações SIL para sistemas de segurança de CLPs — essa busca chegou aqui porque alguém na sua organização acabou de receber uma notificação de auditoria de conformidade, uma especificação de projeto exigindo SIL 3 ou um orçamento para um CLP de segurança com preço 45% acima do controlador padrão que haviam orçado. Ninguém quer subestimar a segurança e acabar em um relatório de incidente. Ninguém quer gastar demais e ser questionado em uma revisão orçamentária. Este artigo aborda o que os CLPs de segurança realmente fazem, quais produtos existem com códigos reais e como tomar a decisão certa sem arriscar ou desperdiçar dinheiro.

---

O básico

O SIL (Nível de Integridade de Segurança) mede a redução de risco de acordo com a norma IEC 61508. Existem quatro níveis. O SIL 1 (fator de redução de risco de 10 a 100) abrange o risco de lesões leves. O SIL 2 (RRF de 100 a 1.000) lida com o potencial de lesões graves — esta é a classificação mais comum em máquinas em geral. O SIL 3 (RRF de 1.000 a 10.000) aplica-se a situações em que a falha acarreta risco de múltiplas fatalidades: ESD em petróleo e gás, proteção de reatores químicos, segurança de prensas de alta velocidade. O SIL 4 (RRF de 10.000 a 100.000) é utilizado nas áreas nuclear, aeronáutica e ferroviária — nenhum CLP de segurança industrial o reivindica isoladamente.

Não confunda SIL com PL (Nível de Desempenho) da ISO 13849. As normas europeias para máquinas fazem referência a PL (a–e); as indústrias de processo utilizam SIL. Em linhas gerais: SIL 2 ≈ PLd, SIL 3 ≈ PLe. Um CLP de segurança certificado em SIL 3 normalmente atende aos requisitos de PLe, mas o processo de documentação e a metodologia de avaliação são diferentes.

Um CLP de segurança difere de um CLP padrão em três aspectos. Primeiro, os processadores de canal duplo operam em sincronia com verificação cruzada — ambos devem concordar com as saídas dentro de uma janela de discrepância, caso contrário, o sistema desliga. Segundo, cada modo de falha conhecido resulta em um estado seguro (desenergizado) — isso é certificado, não presumido. Terceiro, a memória do programa de segurança possui proteção por checksum; o código corrompido é detectado antes da execução. Um CLP padrão com lógica watchdog não consegue fornecer a probabilidade de falha certificada sob demanda que um CLP de segurança com classificação SIL oferece. Se sua aplicação requer SIL certificado, um CLP padrão não atende aos requisitos.

---

O Mundo Real

Cinco plataformas dominam as instalações de PLC de segurança:

Siemens S7-1500F: As variantes com CPU F executam programas padrão e de segurança em memória particionada. 6ES7516-3FN02-0AB0 (CPU 1516F-3 PN/DP, SIL 3, 2 MB de memória de programa) e 6ES7517-3FP00-0AB0 (CPU 1517F-3 PN/DP, de alto desempenho) em conjunto com E/S à prova de falhas ET 200SP via PROFIsafe. A Siemens domina as instalações de segurança na Europa e no Oriente Médio.

Allen-Bradley GuardLogix 5580: O 1756-L83ES (SIL 3 / PLe, 10 MB de memória de usuário, 1 GB de memória de segurança) comunica a segurança via EtherNet/IP por meio do CIP Safety. A GuardLogix é líder no setor da indústria pesada na América do Norte — refinarias, indústria automotiva, celulose e papel. O Studio 5000 gerencia a lógica padrão e de segurança em um único projeto.

Segurança M580 da Schneider Electric: O BMEP584040S (CPU de segurança M580, SIL 3) adiciona um coprocessador de segurança ao backplane M580 padrão. A Schneider tem como alvo indústrias de processos híbridos — química, farmacêutica e geração de energia — utilizando o EcoStruxure Control Expert.

Pilz PSS 4000: A Pilz fabrica exclusivamente controladores de segurança. O PSS 4000 (SIL 3 / PLe) utiliza o protocolo SafetyNET p e é referência em segurança de prensas complexas, proteção de células robotizadas e gerenciamento de queimadores, áreas onde profundo conhecimento em segurança é essencial.

ABB AC500-S: Um coprocessador de segurança na plataforma AC500, com certificação SIL 3, que utiliza PROFIsafe sobre PROFINET. A ABB o posiciona para aplicações que combinam as funcionalidades padrão do AC500 com segurança — tratamento de água, ventilação de túneis e controle de guindastes.

Instalações reais demonstram a amplitude do problema. Uma plataforma offshore no Golfo Pérsico utiliza CPUs Siemens S7-1500F para proteção contra descarga eletrostática (ESD) em poços de petróleo com nível de segurança SIL 3 — uma interrupção acidental custa entre US$ 500.000 e US$ 2 milhões, portanto, a disponibilidade é tão importante quanto a segurança. Uma fábrica de estampagem automotiva em Michigan utiliza o sistema Allen-Bradley GuardLogix 1756-L83ES para proteção de prensas com cortinas de luz e tapetes de segurança, avaliando a interrupção do feixe de luz e emitindo comandos de parada em até 15 ms para atender à norma OSHA 1910.217. Uma planta química alemã implementa o sistema de segurança Schneider M580 para proteção contra sobrepressão com três transmissores redundantes em uma arquitetura de votação 2oo3 — o sistema de segurança deve fechar as válvulas de desligamento em até 2 segundos, dentro de um tempo limite de segurança do processo.

---

DMergulho de emergência

Três protocolos de segurança transmitem dados de segurança em redes de plantas industriais. O PROFIsafe utiliza o PROFINET como um protocolo de canal preto — rede não confiável, camada de segurança confiável com numeração sequencial, CRC e verificação de endereço. Nativo da Siemens e da ABB. O CIP Safety estende o EtherNet/IP com a mesma abordagem de canal preto, com capacidade de roteamento em sub-redes. Nativo do Allen-Bradley GuardLogix. O FSoE (FailSafe over EtherCAT) utiliza frames EtherCAT diretamente — encontrado principalmente no Beckhoff TwinSAFE e em algumas configurações da Pilz. A escolha do protocolo segue a escolha da plataforma; existem gateways para ambientes mistos, mas adicionam latência.

As arquiteturas de redundância priorizam a disponibilidade em detrimento da segurança. A arquitetura 1oo1 (canal único) é a mais barata, mas qualquer falha interrompe a produção — aceitável para SIL 2 com desligamentos espúrios toleráveis. A arquitetura 1oo2 (dois canais, qualquer um deles pode desligar) oferece maior segurança, mas ainda desliga com qualquer falha. A arquitetura 2oo3 (três canais, dois dos quais devem concordar) mantém a segurança mesmo com uma única falha, evitando desligamentos espúrios — padrão em sistemas ESD para petróleo e gás, onde a disponibilidade tem peso econômico. Um sistema 2oo3 com certificação TÜV, como o Siemens S7-1500FH, gerencia a sincronização de votos internamente, mas a diversidade de hardware é necessária para evitar falhas de causa comum.

O ciclo de vida de segurança funcional da norma IEC 61511 rege todo o sistema, não apenas o CLP. A análise HAZOP/LOPA determina o nível SIL alvo. Uma ERS documenta os pontos de disparo, os tempos de resposta e o comportamento de reinicialização. A verificação do nível SIL calcula a probabilidade média de falha (PFDavg) para todo o circuito — o CLP de segurança normalmente contribui com menos de 15% da probabilidade total de falha; sensores e elementos finais predominam. Testes de comprovação em intervalos definidos (normalmente a cada 12 meses para funções de processo SIL 3) afetam diretamente a PFDavg. E a cibersegurança, conforme a norma IEC 62443, agora se cruza com a segurança funcional: assinatura de firmware, acesso baseado em funções e alterações de programas de segurança com trilha de auditoria são padrões em CLPs de segurança modernos. Um CLP de segurança comprometido não possui classificação SIL em nenhum sentido significativo.

---

Preços e disponibilidade

Os PLCs de segurança têm um preço 30 a 50% superior aos equivalentes padrão. Um 6ES7516-3FN02-0AB0 (S7-1500F) custa entre US$ 4.800 e US$ 5.600, enquanto o 1516-3 padrão custa entre US$ 3.200 e US$ 3.800. Um GuardLogix 1756-L83ES custa entre US$ 7.200 e US$ 8.500, enquanto o 1756-L83E padrão custa entre US$ 4.800 e US$ 5.600. As E/S de segurança aumentam o preço em 30 a 40% em relação às E/S padrão.

Os prazos de entrega em meados de 2026 permanecem estendidos: 16 a 20 semanas para as CPUs Siemens S7-1500F e Allen-Bradley GuardLogix. Encomende os PLCs de segurança na fase de especificação — aguardar até o comissionamento garante o cumprimento do cronograma. A tztechio.com mantém estoque regional de segurança para os códigos de peças de segurança mais comuns da Siemens e da Allen-Bradley no Oriente Médio. Consulte tztechio.com/plc, tztechio.com/siemens e tztechio.com/allen-bradley para verificar a disponibilidade atual.

Perguntas frequentes

P: Eu realmente preciso de um CLP de segurança, ou posso usar um relé de segurança?

Uma ou duas funções de segurança simples — uma única parada de emergência, uma cortina de luz — podem ser resolvidas com um relé de segurança configurável como o Pilz PNOZ X ou o Siemens 3SK1, por menos da metade do custo. O CLP de segurança torna-se necessário com múltiplas zonas de segurança, sinais de segurança que se cruzam entre máquinas, lógica de segurança flexível que se altera com os modos de produção ou diagnósticos que identificam qual dispositivo específico foi acionado. Se você estiver conectando mais de três relés de segurança em contatos em série complexos, o CLP de segurança se paga com a redução da fiação e a facilidade de modificação.

P: SIL 2 vs. SIL 3 — qual a diferença prática?

O nível SIL 3 tem uma probabilidade aproximadamente 10 vezes menor de falhar sob demanda do que o SIL 2. Isso se traduz em hardware: o SIL 2 pode usar entradas de canal único com diagnósticos; o SIL 3 requer entradas de canal duplo com verificação de discrepâncias e praticamente dobra o número de entradas/saídas. A maioria das máquinas (prensas, robôs, embalagens) atende aos requisitos regulamentares no nível SIL 2/PLd. Especifique o SIL 3 porque sua avaliação de riscos indica essa necessidade, e não porque pareça mais seguro.

P: Posso adicionar segurança ao meu CLP padrão existente?

Não. Um CLP padrão não possui a arquitetura de processador duplo, drivers de saída à prova de falhas e firmware certificado. Você pode integrar um CLP de segurança separado ao seu controlador padrão — muitas fábricas fazem exatamente isso. Isso aumenta a complexidade da comunicação, mas funciona.

P: Um CLP de segurança SIL 3 precisa de sensores e atuadores SIL 3?

Todo o SIF — sensor, controlador lógico e elemento final — deve atender coletivamente ao nível SIL alvo. Um CLP SIL 3 com sensores e válvulas SIL 2 pode não atingir o nível SIL 3 no geral. O cálculo do PFDavg determina isso. Sensores SIL 2 em um arranjo de votação 1oo2 ou 2oo3 podem atender ao nível SIL 3, dependendo dos intervalos de teste de comprovação e dos números PFD dos componentes.

P: Com que frequência devo realizar testes de funcionamento em um CLP de segurança?

Intervalos típicos: 12 meses para segurança de processo SIL 3, 12 a 24 meses para máquinas. O teste deve exercitar todo o circuito — dos sensores aos elementos finais. O diagnóstico interno do CLP de segurança abrange mais de 99% das falhas, mas os dispositivos de campo precisam de testes ativos.