Il dilemma che ogni direttore di stabilimento si trova ad affrontare

Classificazione SIL dei sistemi di sicurezza PLC: questa ricerca vi porta qui perché qualcuno nella vostra organizzazione ha appena ricevuto un risultato da un audit di conformità, una specifica di progetto che richiede SIL 3 o un preventivo per un PLC di sicurezza con un prezzo superiore del 45% rispetto al controller standard previsto nel budget. Nessuno vuole sottovalutare la sicurezza e finire in un rapporto di incidente. Nessuno vuole spendere troppo ed essere criticato in una revisione del budget. Questo articolo illustra cosa fanno realmente i PLC di sicurezza, quali prodotti esistono con codici articolo reali e come prendere la decisione giusta senza rischiare o sprecare denaro.

---

Le nozioni di base

Il SIL (Safety Integrity Level) misura la riduzione del rischio secondo la norma IEC 61508. Esistono quattro livelli. Il SIL 1 (fattore di riduzione del rischio 10-100) copre il rischio di lesioni lievi. Il SIL 2 (RRF 100-1.000) gestisce il potenziale di lesioni gravi: è la classificazione più comune nei macchinari in generale. Il SIL 3 (RRF 1.000-10.000) si applica quando un guasto comporta il rischio di più vittime: ESD nel settore petrolifero e del gas, protezione dei reattori chimici, sicurezza delle presse ad alta velocità. Il SIL 4 (RRF 10.000-100.000) è utilizzato nei settori nucleare, aeronautico e ferroviario: nessun PLC di sicurezza industriale standard lo rivendica da solo.

Non bisogna confondere SIL con PL (Performance Level) della norma ISO 13849. Le normative europee sui macchinari fanno riferimento a PL (a-e); le industrie di processo utilizzano SIL. Una corrispondenza approssimativa: SIL 2 ≈ PLd, SIL 3 ≈ PLe. Un PLC di sicurezza certificato SIL 3 in genere soddisfa i requisiti PLe, ma il percorso di documentazione e la metodologia di valutazione sono diversi.

Un PLC di sicurezza si differenzia da un PLC standard in tre modi. In primo luogo, i processori a doppio canale funzionano in sincronia con un sistema di controllo incrociato: entrambi devono concordare sulle uscite entro una finestra di discrepanza, altrimenti il ​​sistema si arresta. In secondo luogo, ogni modalità di guasto nota si traduce in uno stato di sicurezza (diseccitato): questo è certificato, non presunto. In terzo luogo, la memoria del programma di sicurezza è protetta da un checksum; il codice corrotto viene rilevato prima dell'esecuzione. Un PLC standard con logica watchdog non può fornire la probabilità di guasto su richiesta certificata che un PLC di sicurezza con certificazione SIL offre. Se la vostra applicazione richiede una certificazione SIL, un PLC standard non è idoneo.

---

Il mondo reale

Cinque piattaforme dominano le installazioni di PLC di sicurezza:

Siemens S7-1500F: Le varianti con CPU F eseguono programmi standard e di sicurezza in memoria partizionata. 6ES7516-3FN02-0AB0 (CPU 1516F-3 PN/DP, SIL 3, 2 MB di memoria di programma) e 6ES7517-3FP00-0AB0 (CPU 1517F-3 PN/DP, prestazioni superiori) abbinata a I/O fail-safe ET 200SP tramite PROFIsafe. Siemens domina il mercato delle installazioni di sicurezza in Europa e Medio Oriente.

Allen-Bradley GuardLogix 5580: Il 1756-L83ES (SIL 3 / PLe, 10 MB di memoria utente, 1 GB di memoria di sicurezza) comunica la sicurezza tramite EtherNet/IP attraverso CIP Safety. GuardLogix è leader nell'industria pesante nordamericana: raffinerie, settore automobilistico, industria della cellulosa e della carta. Studio 5000 gestisce la logica standard e di sicurezza in un unico progetto.

Schneider Electric M580 Safety: Il BMEP584040S (CPU di sicurezza M580, SIL 3) aggiunge un coprocessore di sicurezza al backplane M580 standard. Schneider si rivolge ai settori di processo ibridi, come quello chimico, farmaceutico e della produzione di energia, utilizzando EcoStruxure Control Expert.

Pilz PSS 4000: Pilz produce esclusivamente controllori di sicurezza. Il PSS 4000 (SIL 3 / PLe) utilizza il protocollo SafetyNET p ed è leader nella sicurezza di presse complesse, nella protezione di celle robotizzate e nella gestione dei bruciatori, ambiti in cui una profonda competenza in materia di sicurezza è fondamentale.

ABB AC500-S: un coprocessore di sicurezza sulla piattaforma AC500, certificato SIL 3, che utilizza PROFIsafe su PROFINET. ABB lo propone per applicazioni che combinano AC500 standard e sicurezza, come il trattamento delle acque, la ventilazione delle gallerie e il controllo delle gru.

Installazioni reali dimostrano la gamma di applicazioni. Una piattaforma offshore nel Golfo Persico utilizza CPU Siemens S7-1500F per la protezione ESD delle teste pozzo a SIL 3: un'interruzione di corrente accidentale costa dai 500.000 ai 2 milioni di dollari, quindi la disponibilità è fondamentale quanto la sicurezza. Uno stabilimento di stampaggio per il settore automobilistico nel Michigan utilizza Allen-Bradley GuardLogix 1756-L83ES per la protezione delle presse con barriere fotoelettriche e tappeti di sicurezza, valutando l'interruzione del fascio e emettendo comandi di arresto entro 15 ms per soddisfare la norma OSHA 1910.217. Un impianto chimico tedesco impiega Schneider M580 Safety per la protezione dalla sovrapressione con tre trasmettitori ridondanti in un'architettura di voto 2oo3: il SIF deve chiudere le valvole di arresto entro un tempo di sicurezza di processo di 2 secondi.

---

DImmersioni profonde

Tre protocolli di sicurezza trasferiscono i dati di sicurezza attraverso le reti degli impianti. PROFIsafe si basa su PROFINET come protocollo black-channel: rete non affidabile, livello di sicurezza affidabile con numerazione sequenziale, CRC e verifica dell'indirizzo. Integrato nativamente in Siemens e ABB. CIP Safety estende EtherNet/IP con lo stesso approccio black-channel, con funzionalità di routing tra sottoreti. Integrato nativamente in Allen-Bradley GuardLogix. FSoE (FailSafe over EtherCAT) utilizza direttamente i frame EtherCAT, ed è presente principalmente in Beckhoff TwinSAFE e in alcune configurazioni Pilz. La scelta del protocollo dipende dalla piattaforma; esistono gateway per ambienti misti, ma introducono latenza.

Le architetture di ridondanza sacrificano la sicurezza a favore della disponibilità. La soluzione 1oo1 (canale singolo) è la più economica, ma qualsiasi guasto arresta la produzione: accettabile per SIL 2 con un numero tollerabile di falsi allarmi. La soluzione 1oo2 (due canali, entrambi possono intervenire) offre una maggiore sicurezza, ma si attiva comunque in caso di un singolo guasto. La soluzione 2oo3 (tre canali, due dei quali devono concordare) mantiene la sicurezza anche in caso di un singolo guasto, evitando al contempo falsi allarmi: standard nel settore petrolifero e del gas, dove la disponibilità ha un peso economico. Un sistema 2oo3 certificato TÜV, come il Siemens S7-1500FH, gestisce internamente la sincronizzazione dei voti, ma è necessaria la diversità hardware per evitare guasti a causa comune.

Il ciclo di vita della sicurezza funzionale secondo la norma IEC 61511 regola l'intero sistema, non solo il PLC. L'analisi HAZOP/LOPA determina il livello SIL target. Un documento SRS (Specifiche dei Requisiti di Sistema) descrive i punti di intervento, i tempi di risposta e il comportamento di ripristino. La verifica SIL calcola la probabilità di guasto medio (PFDavg) per l'intero circuito: il PLC di sicurezza contribuisce in genere per meno del 15% alla probabilità di guasto totale; i sensori e gli elementi finali sono predominanti. I test di verifica a intervalli definiti (in genere 12 mesi per le funzioni di processo SIL 3) influiscono direttamente sulla PFDavg. Inoltre, la sicurezza informatica, secondo la norma IEC 62443, si interseca ora con la sicurezza funzionale: la firma del firmware, l'accesso basato sui ruoli e le modifiche ai programmi di sicurezza con tracciabilità sono standard sui moderni PLC di sicurezza. Un PLC di sicurezza compromesso non ha una classificazione SIL significativa.

---

Prezzi e disponibilità

I PLC di sicurezza hanno un costo superiore del 30-50% rispetto ai modelli standard equivalenti. Un 6ES7516-3FN02-0AB0 (S7-1500F) costa tra i 4.800 e i 5.600 dollari, contro i 3.200-3.800 dollari del modello standard 1516-3. Un GuardLogix 1756-L83ES costa tra i 7.200 e gli 8.500 dollari, contro i 4.800-5.600 dollari del modello standard 1756-L83E. Gli I/O di sicurezza aggiungono un costo del 30-40% rispetto agli I/O standard.

I tempi di consegna a metà del 2026 rimangono prolungati: 16-20 settimane per le CPU Siemens S7-1500F e Allen-Bradley GuardLogix. Ordinate i PLC di sicurezza già in fase di specifica: attendere la messa in servizio garantisce il rispetto delle tempistiche. tztechio.com mantiene un magazzino regionale per i codici articolo di sicurezza Siemens e Allen-Bradley più comuni in Medio Oriente. Consultate tztechio.com/plc, tztechio.com/siemens e tztechio.com/allen-bradley per verificare la disponibilità attuale.

FAQ

D: Ho davvero bisogno di un PLC di sicurezza, oppure posso usare un relè di sicurezza?

Una o due semplici funzioni di sicurezza, come un singolo pulsante di arresto di emergenza o una barriera fotoelettrica, sono adatte a un relè di sicurezza configurabile come il Pilz PNOZ X o il Siemens 3SK1, a meno della metà del costo. Il PLC di sicurezza diventa necessario in presenza di più zone di sicurezza, segnali di sicurezza che si incrociano tra le macchine, una logica di sicurezza flessibile che cambia in base alle modalità di produzione o una diagnostica che identifica con precisione quale dispositivo è intervenuto. Se si devono collegare più di tre relè di sicurezza a contatti in serie, il PLC di sicurezza si ripaga da solo grazie alla riduzione del cablaggio e alla maggiore facilità di modifica.

D: SIL 2 vs. SIL 3: qual è la differenza pratica?

Il livello SIL 3 ha una probabilità di guasto su richiesta circa 10 volte inferiore rispetto al SIL 2. Questo si traduce in termini di hardware: il SIL 2 potrebbe utilizzare ingressi a canale singolo con diagnostica; il SIL 3 richiede ingressi a doppio canale con controllo delle discrepanze e raddoppia approssimativamente il numero di I/O. La maggior parte dei macchinari (presse, robot, macchine per l'imballaggio) soddisfa i requisiti normativi al livello SIL 2 / PLd. Specificare il SIL 3 perché la valutazione del rischio lo richiede, non perché sembra più sicuro.

D: Posso aggiungere funzionalità di sicurezza al mio PLC standard esistente?

No. Un PLC standard non dispone di architettura a doppio processore, driver di uscita a prova di guasto e firmware certificato. È possibile integrare un PLC di sicurezza separato accanto al controllore standard: molti impianti fanno proprio questo. Ciò aumenta la complessità della comunicazione, ma funziona.

D: Un PLC di sicurezza SIL 3 necessita di sensori e attuatori SIL 3?

L'intero SIF (sensore, risolutore logico, elemento finale) deve complessivamente soddisfare il livello SIL target. Un PLC SIL 3 con sensori e valvole SIL 2 potrebbe non raggiungere il livello SIL 3 complessivo. Il calcolo PFDavg determina questo aspetto. I sensori SIL 2 in una configurazione di voto 1oo2 o 2oo3 possono raggiungere il livello SIL 3 a seconda degli intervalli di prova e dei valori PFD dei componenti.

D: Con quale frequenza devo eseguire un test di verifica su un PLC di sicurezza?

Intervalli tipici: 12 mesi per la sicurezza di processo SIL 3, 12-24 mesi per i macchinari. Il test deve coinvolgere l'intero circuito, dai sensori agli elementi finali. La diagnostica interna del PLC di sicurezza copre oltre il 99% dei guasti, ma i dispositivi di campo necessitano di test attivi.