Performance Level (PL) vs Safety Integrity Level (SIL): cuándo aplica cada uno
El Performance Level (PL) definido por ISO 13849-1:2023 y el Safety Integrity Level (SIL) definido por IEC 62061:2021 son dos métricas de seguridad funcional que cuantifican la confiabilidad de un sistema de control relacionado con la seguridad (SRP/CS), cada una diseñada con enfoque distinto: el PL se estructura en cinco niveles (a, b, c, d, e) y está orientado al cálculo integral de sistemas electromecánicos, neumáticos, hidráulicos y electrónicos mediante categorías arquitectónicas B-1-2-3-4; el SIL se estructura en tres niveles (1, 2, 3) y se orienta específicamente a sistemas electrónicos y electrónicos programables mediante arquitecturas de subsistemas A-B-C-D. Ambas métricas convergen operativamente a través de la tasa de falla peligrosa por hora (PFHd) y son mutuamente convertibles mediante tablas de correspondencia normalizadas, lo que permite auditar un mismo sistema desde cualquiera de los dos marcos. La decisión entre PL y SIL depende del tipo tecnológico del subsistema, del ámbito regulatorio aplicable y de las preferencias del fabricante o integrador, no de una superioridad técnica inherente de uno sobre el otro.
Por qué existen dos métricas para lo mismo
La pregunta legítima de cualquier ingeniero que se enfrenta a la seguridad funcional por primera vez es simple: si PL y SIL miden lo mismo — la confiabilidad de un sistema de seguridad — ¿por qué existen las dos? La respuesta tiene raíces históricas, tecnológicas y regulatorias que conviene entender para tomar decisiones correctas en la práctica profesional.
IEC 61508 es la norma matriz de la seguridad funcional, publicada en 1998 y orientada originalmente a sistemas electrónicos programables en la industria de procesos químicos y petroquímicos. Su concepto central — el Safety Integrity Level — mide la probabilidad de falla peligrosa por hora en cuatro niveles de 1 a 4 (el SIL 4 no se aplica habitualmente en maquinaria industrial, quedando reservado a industria nuclear y aviación). IEC 62061:2021 es la adaptación de IEC 61508 al ámbito específico de maquinaria industrial, manteniendo el concepto SIL pero limitado a tres niveles aplicables (SIL 1, 2 y 3).
ISO 13849-1 nació con un enfoque distinto. Publicada originalmente en 1999 y revisada sustancialmente en 2006, 2015 y 2023, ISO 13849 buscó integrar en un solo marco metodológico la seguridad funcional de todos los tipos de tecnologías usadas en maquinaria — electromecánicas, neumáticas, hidráulicas, electrónicas y electrónicas programables. El Performance Level no solo cuantifica la confiabilidad, sino que se calcula explícitamente a partir de tres parámetros: la categoría arquitectónica del sistema (B, 1, 2, 3, 4), el Mean Time To dangerous Failure (MTTFd) de cada componente y el Diagnostic Coverage (DC) promedio.
La consecuencia práctica es que un mismo sistema de seguridad — digamos una barrera fotoeléctrica conectada a un módulo de seguridad y a un contactor que interrumpe la alimentación de un motor — puede analizarse bajo ambos marcos. Si el fabricante del módulo reporta SIL 2 según IEC 62061, se puede convertir a PLd según ISO 13849-1 usando las tablas de correspondencia estándar. Ninguna de las dos certificaciones es técnicamente superior: son lenguajes normativos distintos que describen la misma realidad física.
La tabla de correspondencia fundamental
La correspondencia operativa entre PL y SIL está anclada en la probabilidad de falla peligrosa por hora (PFHd), que es el parámetro cuantitativo que ambas normas usan como medida última de confiabilidad. La tabla siguiente resume la equivalencia adoptada en ambos marcos.
| PL (ISO 13849-1) | PFHd (1/h) | SIL (IEC 62061) | Aplicabilidad típica |
| a | 10⁻⁵ ≤ PFHd < 10⁻⁴ | Ninguno (por debajo de SIL 1) | Riesgos bajos, medidas administrativas |
| b | 3 × 10⁻⁶ ≤ PFHd < 10⁻⁵ | 1 (borde inferior) | Riesgos bajos-medios con medidas técnicas |
| c | 10⁻⁶ ≤ PFHd < 3 × 10⁻⁶ | 1 | Barreras fotoeléctricas simples, paradas de emergencia |
| d | 10⁻⁷ ≤ PFHd < 10⁻⁶ | 2 | Nivel más común en maquinaria industrial |
| e | 10⁻⁸ ≤ PFHd < 10⁻⁷ | 3 | Prensas, robots colaborativos en zonas de alto riesgo |
Una observación importante: la correspondencia no es lineal. La escala PL cubre cinco niveles (a-e) mientras que la escala SIL cubre tres (1-3), por lo que varios valores de PL mapean al mismo SIL. El PL c y el PL b ambos pueden corresponder a SIL 1 dependiendo del PFHd específico. El PL d corresponde típicamente a SIL 2. El PL e corresponde a SIL 3. Esta asimetría refleja que ISO 13849 tiene mayor granularidad nominal, pero también que en la práctica industrial los niveles más bajos de PL (a, b) se usan raramente como especificación para sistemas técnicos.
Cuándo usar PL — criterios de decisión
ISO 13849-1 es la opción natural en cuatro situaciones operativas principales.
Primera: sistemas mixtos con tecnologías múltiples
Si el sistema de seguridad combina componentes mecánicos, neumáticos, hidráulicos y electrónicos — un escenario frecuente en maquinaria industrial real — ISO 13849-1 tiene mejor encaje conceptual. Su estructura por categorías arquitectónicas (B, 1, 2, 3, 4) permite tratar uniformemente todas las tecnologías. Un sistema de frenado hidráulico con válvula de seguridad, sensor de presión y lógica electrónica se analiza nativamente bajo ISO 13849; analizarlo bajo IEC 62061 exigiría subdividir artificialmente el sistema en bloques electrónicos y mecánicos con metodologías separadas.
Segunda: maquinaria para mercado europeo y LATAM
Las autoridades reguladoras europeas y la mayoría de normativas iberoamericanas tienden a aceptar y citar explícitamente ISO 13849-1. Cuando la maquinaria se comercializará o instalará en países donde la tradición normativa europea tiene peso, el PL de ISO 13849-1 es el lenguaje esperado tanto por inspectores como por auditores internos.
Tercera: fabricantes con cultura técnica orientada al diseño integral
ISO 13849-1 promueve una visión holística del sistema de control: define categorías arquitectónicas que el diseñador debe elegir explícitamente (redundancia, diagnóstico, detección de fallas comunes), y fuerza a documentar las características MTTFd y DC de cada componente crítico. Para empresas con cultura de diseño integral, esta estructura encaja mejor con su proceso de desarrollo.
Cuarta: sistemas donde el HRNt ya se ha calculado
El motor de cálculo del software AI SAFE (disponible en www.aisafegroup.com) convierte nativamente el HRNt al Performance Level requerido mediante el diagrama del Anexo A de ISO 13849-1:2023. Esta conversión es directa y no requiere pasos intermedios, por lo que cuando la apreciación del riesgo se ha ejecutado con HRNt, el PL es la métrica de continuidad natural.
Cuándo usar SIL — criterios de decisión
IEC 62061 es la opción preferida en tres situaciones específicas.
Primera: sistemas puramente electrónicos programables
Cuando el sistema de seguridad está construido íntegramente sobre un controlador lógico programable de seguridad (PLC de seguridad) con periferia electrónica pura — sensores electrónicos, relés de estado sólido, actuadores electromecánicos comandados electrónicamente — IEC 62061 ofrece herramientas analíticas más refinadas. Las arquitecturas de subsistemas A, B, C y D de IEC 62061 están específicamente diseñadas para la redundancia y el diagnóstico de sistemas electrónicos, con métricas específicas como el Safe Failure Fraction (SFF) que no tienen equivalente directo en ISO 13849.
Segunda: interfaces con sistemas SIS de la industria de procesos
En plantas donde conviven máquinas y sistemas instrumentados de seguridad (Safety Instrumented Systems) propios de la industria de procesos — típicamente regidos por IEC 61511 — el SIL es el lenguaje común. Un fabricante de envasadoras que se integra en una planta química probablemente encontrará más fluido el intercambio técnico con el equipo de ingeniería de la planta si documenta sus sistemas en SIL, por coherencia con el resto de la instalación.
Tercera: mercado norteamericano de automatización avanzada
La tradición técnica norteamericana ha adoptado progresivamente IEC 62061 como complemento de la serie ANSI B11. Aunque ANSI B11.26:2021 sobre sistemas de control relacionados con la seguridad referencia ambos marcos, la cultura profesional del integrador norteamericano especializado en automatización avanzada tiende a trabajar más fluidamente en SIL.
Los cuatro parámetros de cálculo del PL
El Performance Level alcanzable de un sistema SRP/CS se calcula como función combinada de tres variables de entrada: la categoría arquitectónica, el MTTFd y el DC promedio. La categoría arquitectónica define la estructura de redundancia y diagnóstico: Categoría B (sin redundancia, sin diagnóstico), Categoría 1 (componentes de alta calidad pero sin redundancia), Categoría 2 (con auto-comprobación periódica), Categoría 3 (redundancia sin detección segura de fallo común), Categoría 4 (redundancia con detección segura de fallo común). El MTTFd mide en años la esperanza de vida hasta fallo peligroso de un componente y se clasifica en tres rangos: bajo (3-10 años), medio (10-30 años) y alto (30-100 años). El DC mide qué porcentaje de fallas peligrosas son detectadas por el propio sistema de diagnóstico y se clasifica en cuatro rangos: nulo (menor de 60%), bajo (60-90%), medio (90-99%) y alto (mayor de 99%).
La combinación de estos tres parámetros, junto con la evaluación de inmunidad a fallas de causa común (CCF) mediante un análisis de puntos, determina el PL alcanzable mediante la tabla y el diagrama del Anexo K de ISO 13849-1:2023. Esta estructura paramétrica permite al diseñador iterar sobre las variables controlables (mejorar el DC añadiendo diagnósticos, aumentar el MTTFd eligiendo componentes más confiables, elevar la categoría arquitectónica con redundancia) hasta alcanzar el PL requerido.
Las cuatro arquitecturas de subsistemas de IEC 62061
IEC 62061 estructura el análisis del SIL alcanzable mediante cuatro arquitecturas de subsistema denominadas A, B, C y D. La Arquitectura A es la más simple (canal único sin diagnóstico), la Arquitectura B añade diagnóstico al canal único, la Arquitectura C introduce redundancia 1oo2 (one-out-of-two) con detección de fallo común, y la Arquitectura D es redundancia con diagnóstico avanzado capaz de detectar fallos individuales incluso sin la activación del canal redundante.
Para cada arquitectura, el cálculo del PFHd resultante considera la tasa de falla peligrosa de cada canal (λD), el factor βde falla de causa común, el intervalo de prueba periódica y la capacidad de detección diagnóstica. La norma proporciona ecuaciones paramétricas explícitas que permiten calcular el PFHd del subsistema, que se suma al PFHd de otros subsistemas para obtener el PFHd total del sistema SRP/CS completo.
Caso aplicado: barrera fotoeléctrica en prensa hidráulica
Considere un caso operativo concreto. Una prensa hidráulica de 200 toneladas tiene un sistema de seguridad compuesto por una barrera fotoeléctrica Tipo 4 redundante, un módulo lógico de seguridad y dos contactores en configuración paralela que cortan la alimentación del motor hidráulico. El HRNt calculado en la apreciación de riesgo indica un PLr = e (nivel más alto).
Bajo ISO 13849-1, la barrera fotoeléctrica Tipo 4 aporta PLe nativamente por construcción certificada. El módulo lógico se especifica como PLe con Categoría 4. Los contactores redundantes con monitorización cruzada alcanzan PLe con un MTTFd alto y DC alto. El sistema completo, si está correctamente diseñado y cableado, alcanza PLe. Bajo IEC 62061, el mismo sistema se documentaría como SIL 3 — valor máximo aplicable en maquinaria. Ambas certificaciones son defendibles auditorialmente y ambas cumplen el requisito original.
La elección en la práctica la determina el fabricante de los componentes: si la barrera fotoeléctrica viene certificada con dossier PL y el módulo lógico con dossier SIL, lo razonable es documentar el sistema en el marco que ya tienen los componentes certificados, evitando conversiones innecesarias.
Automatización del cálculo en AI SAFE
El software AI SAFE calcula simultáneamente el PL requerido y el SIL equivalente a partir del HRNt estimado, mostrando ambos resultados con las correspondencias PFHd. Esto permite al ingeniero trabajar en la métrica que prefiera o que exija el proyecto, sin tener que hacer conversiones manuales. Además, el motor calcula el PL alcanzable a partir de los parámetros de categoría, MTTFd y DC que el usuario introduce, y verifica automáticamente si PL alcanzable ≥ PL requerido, que es la condición de cumplimiento normativo. Los detalles operativos están disponibles en www.aisafegroup.com.
Preguntas frecuentes
¿Puedo mezclar componentes con certificación SIL y con certificación PL en el mismo sistema?
Sí, la combinación es técnicamente correcta. Las tablas de correspondencia permiten traducir entre ambos marcos con rigor. Un relé de seguridad certificado SIL 2 es equivalente a PLd y puede integrarse en un análisis ISO 13849-1 sin problema. Lo único que no debe hacerse es mezclar los métodos de cálculo en un mismo documento: escoja uno de los dos marcos como referencia documental principal.
¿Cuál es más exigente, PLe o SIL 3?
Son equivalentes en PFHd. Ambos requieren que la tasa de falla peligrosa por hora esté entre 10⁻⁸ y 10⁻⁷. La diferencia está en cómo se estructura la verificación (categorías arquitectónicas en ISO 13849, arquitecturas de subsistema en IEC 62061), no en el resultado final.
¿Qué pasa si el PL alcanzable es menor que el PL requerido?
El sistema no cumple el requisito de seguridad y no puede autorizarse su uso. El ingeniero debe rediseñar: añadir redundancia para elevar la categoría arquitectónica, mejorar el diagnóstico para subir el DC, o elegir componentes con mayor MTTFd. El motor de AI SAFE identifica automáticamente qué variable tiene mayor palanca para cerrar la brecha en cada caso.
¿La versión 2023 de ISO 13849-1 cambió sustancialmente respecto a la 2015?
Introdujo aclaraciones metodológicas, amplió el tratamiento de sistemas neumáticos e hidráulicos, actualizó las tablas de MTTFd para reflejar componentes modernos y reforzó los requisitos de validación. La estructura general de categorías y PL se mantiene idéntica, pero los detalles de cálculo tienen cambios que el profesional debe conocer. La formación CPMSS/CLAMSS cubre la edición 2023 íntegramente.
| CONTINÚE EXPLORANDO
Este artículo forma parte de la serie técnica publicada por Ai Safe Group sobre seguridad de maquinaria, inteligencia artificial aplicada y formación profesional certificada. |