Un ingeniero de control que cablea una cortina de luz en 2026 tiene una opción que la generación anterior realmente no tenía: mantener la señal segura en un par de salidas OSSD cableadas hacia un relé de seguridad, o llevarla como un telegrama de seguridad sobre el bus de campo de la máquina hacia un PLC de seguridad. Ambas son correctas. Ambas pueden alcanzar el mismo Performance Level o SIL. La decisión es cuestión de diagnósticos, distancia y escala — y para tomarla bien hay que entender qué es realmente un bus de campo de seguridad.
El canal negro: no confíes en nada, demuéstralo todo
La única idea que hace posibles las redes de seguridad es el canal negro. El principio: tratar toda la ruta de comunicación — los cables, los switches, las tramas Ethernet estándar, la pila de protocolo — como no confiable. Nada de ello forma parte del caso de seguridad, así que nada de ello tiene que certificarse. En su lugar, los dos extremos que sí están realmente calificados como seguros (el dispositivo seguro y el PLC de seguridad) añaden su propia carga útil protegida dentro del telegrama ordinario, y solo ellos la verifican.
Esa carga útil protegida — a veces llamada contenedor de seguridad — usa un conjunto pequeño y bien definido de medidas para captar cada forma en que un mensaje puede salir mal en el cable:
- Un número/contador de secuencia consecutivo — detecta tramas perdidas, repetidas, insertadas o fuera de orden.
- Un watchdog / timeout — el receptor espera un telegrama nuevo y válido dentro de una ventana definida; si no llega, eso es un fallo de retraso o pérdida y pasa al estado seguro.
- Un CRC sobre la carga útil segura — una suma de comprobación específica de seguridad, independiente del propio CRC de la red, que detecta la corrupción de los datos seguros.
- Un identificador único de conexión / dirección — vincula el telegrama a exactamente un par origen-destino, de modo que una trama mal enrutada o duplicada no pueda ser aceptada por el nodo equivocado (un fallo de enmascaramiento).
La IEC 61784-3 es el estándar que enmarca todo esto — los “perfiles de comunicación de seguridad funcional” que se asientan sobre los estándares de bus de campo subyacentes. Como la seguridad reside en el contenedor y no en la red, el tráfico seguro y el estándar comparten el mismo cable físico. Ese es todo el truco, y FSoE, PROFIsafe y CIP Safety son tres implementaciones de él.
FSoE, PROFIsafe, CIP Safety — misma idea, distinto anfitrión
Una vez que ves el canal negro, los tres grandes protocolos de seguridad dejan de parecer rivales y empiezan a parecer el mismo mecanismo atornillado a tres redes diferentes. El resumen honesto: rara vez se elige el protocolo de seguridad por sus propios méritos. Se elige porque coincide con el ecosistema de PLC, accionamientos y E/S sobre el que la máquina ya está construida.
| Protocolo de seguridad | Red anfitriona | Ecosistema típico | ID de vínculo seguro |
|---|---|---|---|
| FSoE Fail Safe / Safety over EtherCAT | EtherCAT | Beckhoff y el mundo más amplio de EtherCAT/ETG | FSoE Slave Address (por conexión) |
| PROFIsafe | PROFINET (y PROFIBUS) | Siemens y el mundo PI / PROFINET | Dirección F de destino (F_Dest_Add) |
| CIP Safety | EtherNet/IP (y otras redes CIP) | Rockwell y el mundo ODVA | Safety Network Number + ID de conexión (SCID) |
La parte central de cada fila es idéntica en esencia — número de secuencia, watchdog, CRC, ID único — y las tres son certificables para los mismos objetivos de seguridad funcional. Así que una máquina estandarizada en Siemens ejecuta PROFIsafe sobre PROFINET; una máquina basada en Beckhoff ejecuta FSoE sobre EtherCAT; una línea Rockwell ejecuta CIP Safety sobre EtherNet/IP. Mezclarlos es posible con gateways, pero el camino de menor sufrimiento es seguir al controlador.
Direcciones F, SCID e ID de conexión: la parte que muerde
La medida del identificador único merece su propia sección, porque es donde la mayoría de las puestas en marcha de redes de seguridad fallan. Cada participante seguro debe llevar un identificador que haga sus telegramas inconfundibles con los de cualquier otro.
- PROFIsafe usa la dirección F de destino (F_Dest_Add), asignada por F-device y verificada en el programa de seguridad. Cada una debe ser única en su ámbito.
- CIP Safety usa un Safety Network Number junto con firmas de configuración (el SCID) y un identificador de conexión único para vincular un dispositivo productor a su consumidor.
- FSoE asigna una FSoE Slave Address a cada conexión de seguridad.
El modo de fallo contra el que todos protegen es el mismo: un telegrama que termina en el nodo equivocado siendo aceptado silenciosamente como válido. Asigne estos ID deliberadamente, manténgalos únicos y anótelos en la documentación de la máquina. Una dirección F duplicada o una firma de seguridad no coincidente es el tipo de fallo que supera una comprobación visual rápida y luego detiene toda la línea en la puesta en marcha.
OSSD cableado vs seguridad integrada en red
Ahora la bifurcación práctica. Un dispositivo ESPE como una cortina de luz de seguridad de Type 4 produce su resultado como dos salidas OSSD — señales de estado sólido, probadas por pulsos, en OSSD1 y OSSD2. La prueba por pulsos permite que el dispositivo detecte cortocircuitos entre los canales, cortos a 24 V o 0 V, y fallos cruzados. Esa salida probada de doble canal es el “mensaje” de seguridad en su forma más simple: es simplemente la tensión en dos hilos.
En una arquitectura cableada esos dos hilos van directamente a un relé de seguridad o a un módulo de entrada de seguridad. No hay pila de protocolo, no hay dirección que configurar, nada que poner en marcha más allá del cableado y una prueba de función. La ruta de reacción es corta y determinista, y cualquier técnico de mantenimiento puede diagnosticarla con un multímetro.
En una arquitectura integrada en red el mismo estado lógico es captado por un módulo de entrada de seguridad y luego encapsulado en un telegrama FSoE / PROFIsafe / CIP Safety que viaja por el bus hasta un PLC de seguridad. Se ganan diagnósticos a nivel de dispositivo, reset remoto y control de muting, muchos menos hilos a distancia, y una expansión trivial a más zonas. Se paga con una configuración de red de seguridad que construir y mantener, y una clase de fallos de comunicación contra los que diseñar (que el canal negro maneja, pero que aun así hay que configurar correctamente).
Vale la pena repetirlo porque es el error de concepto más común: ninguno es inherentemente más seguro. Ambos alcanzan el mismo Performance Level o SIL cuando se diseñan correctamente. El compromiso es diagnósticos y escala frente a simplicidad y determinismo.
Cuándo el OSSD cableado + un relé de seguridad sigue siendo la decisión correcta
Para una función de seguridad pequeña y autocontenida, un relé de seguridad todavía gana por razones de ingeniería. Una o dos cortinas de luz de seguridad, un tendido de cable corto, una única zona protegida, una o dos paradas de emergencia — cablee el par OSSD a un relé de seguridad y tendrá una función de parada completa y certificable sin red que poner en marcha y nada que direccionar mal. Una cortina de luz OSSD de Type 4 de DAIDISIKE que alimenta un relé de seguridad DA31 es exactamente esto: una protección limpia del punto de operación o de acceso para una prensa, con el relé proporcionando la parada segura y la lógica de reset.
Suba a un PLC de seguridad y a un bus de campo de seguridad cuando la cantidad y la complejidad justifiquen la sobrecarga de configuración: muchos dispositivos de seguridad, largas distancias, varias zonas independientes, lógica de muting o blanking, o una necesidad operativa real de transmitir diagnósticos a nivel de dispositivo — qué haz de la cortina está bloqueado, por qué un campo del escáner está silenciado — de vuelta al controlador de línea y a la HMI. Nuestra guía complementaria, Relé de seguridad vs PLC de seguridad, recorre la decisión en detalle.
Dónde encaja el ESPE de DAIDISIKE
Las cortinas de luz de seguridad de Type 2 y Type 4 de DAIDISIKE y los escáneres láser de seguridad de la serie DLD entregan OSSD de doble canal. No son nodos nativos FSoE / PROFIsafe / CIP Safety, y eso es por diseño — los mantiene agnósticos al protocolo. La misma cortina o escáner se instala en una máquina EtherCAT, PROFINET o EtherNet/IP sin cambios, porque la elección de red reside en el controlador de seguridad externo, no en el sensor. El par OSSD se cablea a una entrada segura en ese controlador (o un relé de seguridad), y el controlador es lo que habla el bus de seguridad con el resto de la línea.
Para entornos de lavado a presión y agresivos se aplica la misma lógica: elija la variante de cortina o escáner IP65 / IP67 / IP69K para la mecánica y el entorno, y deje que el controlador de seguridad decida la red. El patrón de cableado-a-entrada-segura es el mismo independientemente de si la célula finalmente reporta sobre FSoE, PROFIsafe o CIP Safety.