El SCADA de una planta industrial no es simplemente un software de visualización. Es el sistema nervioso central de la producción: controla los variadores de frecuencia, monitoriza los sensores de proceso, gestiona las alarmas de seguridad y registra los datos de producción. Un PLC averiado no solo para la línea — en algunos procesos, puede generar situaciones de seguridad graves si no se gestiona correctamente el apagado. Proteger estos sistemas con la misma rigurosidad que se protege la maquinaria física no es una opción; es una obligación técnica y económica.
La arquitectura de control industrial moderna: qué hay que proteger
Los sistemas que nunca pueden fallar
En una planta industrial moderna, la capa de automatización y control tiene una jerarquía bien definida que determina el nivel de criticidad de cada componente:
Nivel 0: Instrumentación de campo Sensores (temperatura, presión, caudal, nivel), transmisores y actuadores finales de control (válvulas, variadores de frecuencia). Estos elementos trabajan con alimentaciones de 24VDC o 4-20mA que normalmente se derivan desde los propios PLCs o desde fuentes de alimentación del armario de control.
Nivel 1: Control básico (PLCs / DCS) Los PLCs (Programmable Logic Controllers) ejecutan la lógica de control secuencial y continuo. Los sistemas DCS (Distributed Control Systems) gestionan el control de proceso en plantas continuas (refinerías, plantas químicas, celulosa). Son el nivel más crítico para la operación continua: si falla aquí, el proceso se detiene o entra en estado no controlado.
Nivel 2: Supervisión (SCADA / HMI) Los sistemas SCADA (Supervisory Control and Data Acquisition) proveen la interfaz entre el operador y el proceso. Los HMIs (Human-Machine Interfaces) en planta permiten la operación local. La pérdida del SCADA no necesariamente detiene el proceso (los PLCs siguen funcionando autónomamente) pero elimina la visibilidad del operador, lo que en muchos procesos es una situación de emergencia.
Nivel 3: Gestión de producción (MES) Los sistemas MES (Manufacturing Execution Systems) gestionan la trazabilidad, las órdenes de producción, la calidad y la integración con el ERP. Su pérdida no detiene la producción inmediatamente pero tiene consecuencias significativas en la gestión.
Nivel 4: Gestión empresarial (ERP) SAP, Oracle y similares. La pérdida es problemática pero raramente urgente en el corto plazo desde el punto de vista productivo.
La estrategia de protección eléctrica debe ser proporcional a la criticidad: los niveles 0-2 son candidatos prioritarios para protección con SAI. Los niveles 3-4 requieren protección pero con menor urgencia de respuesta.
Topologías de arquitectura SCADA: impacto en la protección eléctrica
Arquitectura centralizada: Un servidor SCADA central con múltiples estaciones cliente. La protección se concentra en la sala de servidores central. Un único SAI trifásico de 15-40 kVA protege toda la infraestructura central. Los PLCs en planta tienen sus propias fuentes de alimentación redundantes o SAIs monofásicos locales.
Arquitectura distribuida (Edge SCADA): Múltiples nodos de control distribuidos por la planta, cada uno con su servidor local o controlador de proceso. Esta arquitectura es más resiliente ante fallos individuales, pero requiere protección eléctrica en múltiples puntos: un SAI o fuente redundante en cada nodo.
Arquitectura virtualizada: Los sistemas SCADA modernos tienden a la virtualización en plataformas de servidor estándar. La protección eléctrica se concentra en el servidor físico de virtualización, pero la protección frente a fallos debe complementarse con alta disponibilidad de software (clustering, vMotion, etc.).
Dimensionamiento del SAI para sistemas de control industrial
Inventario de cargas típico en una sala de control de proceso
| Sistema | Potencia típica (W) | Notas | |---------|---------------------|-------| | Servidor SCADA primario | 300-800 | Depende del número de tags y función | | Servidor SCADA redundante | 300-800 | Solo en configuraciones de alta disponibilidad | | Estaciones de ingeniería | 200-500 | 1-3 unidades típicas | | Historizador de proceso | 200-600 | OSIsoft PI, Wonderware Historian, etc. | | PLC bastidor completo (Siemens S7-400/1500) | 50-300 | Potencia del bastidor + módulos de I/O | | Panel HMI industrial 15-21" | 40-120 | Por unidad | | Switch Ethernet industrial | 20-60 | Por unidad | | Router/Gateway de comunicaciones | 20-80 | Por unidad | | Sistema de ingeniería en tiempo real | 200-400 | Solo en DCS | | UPS de rack para red | 50-150 | La red de comunicaciones también necesita UPS |
Consideraciones específicas del PLC para la alimentación
Los PLCs industriales tienen fuentes de alimentación integradas en el bastidor principal, pero los bastidores de expansión y los racks de I/O distribuidos requieren alimentaciones adicionales. Para el dimensionamiento del SAI, hay que sumar:
- Potencia del bastidor CPU
- Potencia de cada bastidor de expansión (si los hay)
- Potencia de los nodos de I/O distribuido conectados a este PLC
- Potencia de los paneles de operador HMI alimentados desde el mismo cuadro
Importante: La corriente de arranque de los PLCs con grandes bastidores de I/O puede ser 2-3× la corriente nominal durante los primeros segundos. El SAI debe estar dimensionado para esta corriente de arranque.
Selección del SAI según el tipo de control industrial
| Sistema de control | Potencia típica total | SAI recomendado | |-------------------|----------------------|-----------------| | PLC compacto + HMI local | 200-500 W | Liebert GXT5 1 kVA | | PLC modular + SCADA cliente | 500 W - 2 kW | Liebert GXT5 3-5 kVA | | Sistema SCADA completo (hasta 5.000 tags) | 2-8 kW | Liebert GXT5 10 kVA | | DCS pequeño (< 1.000 I/O) | 3-10 kW | Liebert EXS 15 kVA | | DCS mediano (1.000-10.000 I/O) | 8-25 kW | Liebert EXS 30-40 kVA | | DCS grande / infraestructura compleja | 20-60 kW | Liebert APM 30-60 kVA |
La criticidad del cero tiempo de transferencia
Por qué los PLCs no toleran ni un milisegundo de corte
Un PLC en ejecución mantiene un ciclo de scan que típicamente dura 1-50 ms (dependiendo del número de instrucciones y la velocidad del procesador). Durante cada ciclo, el PLC lee todas las entradas de campo, ejecuta la lógica del programa y actualiza las salidas.
Si durante este ciclo hay una interrupción de la alimentación, incluso de 5-10 ms, el PLC puede:
- Reiniciarse con pérdida del estado de programa → la línea necesita una secuencia de reinicio manual
- Generar salidas indeterminadas durante el transitorio → riesgo de maniobras incontroladas en la maquinaria
- Perder el estado de los registros no volátiles si el fallo es más largo → pérdida de recetas, parámetros y datos de producción en proceso
Los PLCs modernos tienen protección interna contra cortes breves (watchdog de alimentación, hold-up time de 20 ms típicamente), pero los cortes de > 20 ms causan invariablemente un reset del PLC.
Esta es la razón por la que solo los SAIs de topología VFI (doble conversión) son aceptables para proteger PLCs y sistemas de control industrial. En un SAI VFI, la carga siempre está alimentada por el inversor del SAI, que está a su vez alimentado por las baterías (a través del rectificador cargador). No hay transferencia porque no hay nada que transferir: el inversor nunca deja de alimentar la carga.
IEC 62040-3: VFI como único estándar para control industrial
La clasificación VFI según IEC 62040-3 (Voltage and Frequency Independent) define el único tipo de SAI que:
- Proporciona tensión de salida completamente independiente de la entrada (±1% típicamente)
- Proporciona frecuencia de salida completamente independiente de la entrada (±0,1 Hz típicamente)
- Ofrece transferencia a batería en 0 ms (la carga nunca se interrumpe)
- Filtra completamente los armónicos de la red de entrada
- Proporciona aislamiento galvánico entre entrada y salida (mediante transformador o circuito equivalente)
Todos los SAIs de la gama Vertiv Liebert EXS, APM, EXL S1 y GXT5 son de clasificación VFI, lo que los hace adecuados para la protección de sistemas de control industrial.
Protección distribuida: SAI en cada armario de control
El modelo hub-and-spoke vs. la protección distribuida
Hay dos enfoques para la protección de los sistemas de control distribuidos en planta:
Enfoque centralizado (hub-and-spoke): Un único SAI de gran potencia en la sala de control central, con cableado de distribución a todos los puntos de consumo. Las ventajas son la simplificación del mantenimiento (un solo equipo a mantener) y el mejor aprovechamiento de la capacidad. Las desventajas son la mayor longitud y coste del cableado, las caídas de tensión en cableados largos y el riesgo de que un fallo en el SAI central afecte a toda la instalación.
Enfoque distribuido: Un SAI pequeño en cada armario de control distribuido, con un SAI más grande en la sala de servidores central. Las ventajas son la resiliencia (un fallo en un SAI local no afecta a los demás), la reducción del cableado y la facilidad de expansión. Las desventajas son la mayor complejidad de mantenimiento y la menor utilización media de la capacidad de cada SAI.
En la práctica, para plantas industriales medianas y grandes, el enfoque híbrido es el más adecuado: SAI trifásico en la sala de control central + SAIs monofásicos Liebert GXT5 en los armarios de control distribuidos.
Dimensionamiento del SAI en armario distribuido
Un armario de control de campo típico incluye:
- PLC modular: 100-300 W
- Panel HMI: 40-100 W
- Switch Ethernet industrial: 20-40 W
- Fuente 24VDC para instrumentación de campo: 60-200 W
- Espacio para crecimiento futuro: 20-25%
Total: 220-640 W → Liebert GXT5 1 kVA o 3 kVA son las opciones más habituales para este tipo de armario.
Ciberseguridad OT y su relación con la infraestructura eléctrica
La convergencia IT/OT y sus implicaciones de seguridad
La modernización de las plantas industriales (Industria 4.0, IIoT, integración ERP-MES-SCADA) ha supuesto la conexión de los sistemas de control industrial (redes OT) con las redes corporativas (redes IT) y, en muchos casos, con Internet. Esta convergencia mejora la eficiencia operativa pero introduce riesgos de ciberseguridad antes inexistentes en las redes OT históricamente aisladas ("air-gapped").
¿Qué tiene que ver la ciberseguridad con el SAI?
La relación es más estrecha de lo que parece. Los ataques de ciberseguridad a infraestructuras industriales (como los documentados contra redes eléctricas, plantas de tratamiento de agua o sistemas de manufactura) pueden:
- Atacar directamente el SAI si tiene conectividad de red (a través del módulo SNMP/Modbus) — acceso no autorizado que podría comandar el apagado del SAI
- Usar la conectividad del SAI como vector de entrada a la red OT, si el SAI está conectado tanto a la red de gestión como a la red de control industrial
- Atacar los sistemas de control protegidos por el SAI — en este caso el SAI es víctima del ataque, no el vector
Recomendaciones de ciberseguridad para la gestión del SAI
Segmentación de red: El módulo de red del SAI (RDU101 u otro) debe conectarse a una VLAN de gestión separada de la red de control industrial (OT). Esta segmentación evita que el acceso a la interfaz de gestión del SAI permita acceder a la red de control.
Control de acceso: Cambiar las credenciales por defecto del módulo de gestión. Implementar autenticación fuerte (si la plataforma lo soporta). Restringir el acceso por dirección IP desde listas blancas. Habilitar logs de acceso y alertas ante intentos de acceso fallidos.
Actualización de firmware: Mantener el firmware del SAI y de los módulos de gestión actualizado para protegerse contra vulnerabilidades conocidas. Los SAIs Vertiv reciben actualizaciones periódicas de firmware que incluyen correcciones de seguridad.
Cifrado de comunicaciones: Preferir HTTPS sobre HTTP para la interfaz web de gestión. Usar SNMPv3 (con autenticación y privacidad) en lugar de SNMPv1/v2 cuando sea posible.
Desactivar servicios no necesarios: Si el módulo de gestión no va a usar Telnet, FTP o HTTP, deshabilitar estos servicios para reducir la superficie de ataque.
Normas de referencia para ciberseguridad industrial
- IEC 62443: estándar internacional para la ciberseguridad de sistemas de automatización y control industrial (IACS). Es la referencia principal para la seguridad OT.
- NERC CIP: estándar para la ciberseguridad de infraestructuras críticas de generación y distribución eléctrica (aplicable en EE.UU. pero referenciado globalmente).
- NIST Cybersecurity Framework: marco general de ciberseguridad aplicable a entornos industriales.
- Reglamento NIS2 (UE): directiva europea de seguridad de redes y sistemas de información, que desde 2024 extiende los requisitos de ciberseguridad a sectores industriales considerados "esenciales" o "importantes".
Protocolos de comunicación industrial y compatibilidad del SAI
Protocolos OT estándar soportados por Vertiv
El Vertiv Intellislot RDU101 y los sistemas de gestión Vertiv soportan los protocolos de comunicación más habituales en entornos de automatización industrial:
- SNMP v1/v2c/v3: protocolo estándar de gestión de red, ampliamente soportado por plataformas SCADA y sistemas de gestión de infraestructura
- Modbus RTU / Modbus TCP: protocolo universal de automatización industrial, con soporte en prácticamente todos los PLCs y sistemas SCADA del mercado
- BACnet: para integración con sistemas de gestión de edificios (BMS) — relevante en plantas con control de edificio integrado
- PROFIBUS: en instalaciones legacy con comunicaciones Profibus, existe la posibilidad de integración mediante gateways
Esta compatibilidad permite integrar la monitorización del SAI en el mismo sistema SCADA que supervisa la producción, sin necesitar una plataforma de gestión adicional.
Mapas de registros Modbus para integración SCADA
Los SAIs Vertiv proporcionan documentación completa de los mapas de registros Modbus, que permiten leer desde el SCADA o PLC:
| Registro | Parámetro | |----------|-----------| | Tensión de entrada (3 fases) | R, S, T en V | | Tensión de salida (3 fases) | R, S, T en V | | Carga actual en % | % de potencia nominal | | Estado de las baterías | Cargando / En descarga / Float / Alarma | | Autonomía estimada | Minutos restantes | | Temperatura interna | °C | | Estado de bypass | Normal / Bypass estático / Bypass mantenimiento |
Plan de continuidad para sistemas SCADA/PLC: el documento que necesitas
Por qué es necesario un plan documentado
La norma IEC 62443 y, en el contexto europeo, el Reglamento NIS2, requieren que los operadores de infraestructuras críticas dispongan de planes de continuidad documentados. Pero más allá del cumplimiento normativo, el plan de continuidad tiene un valor práctico inmediato: en una situación de emergencia, el personal de turno necesita saber exactamente qué hacer cuando el sistema de control falla.
Elementos del plan de continuidad para sistemas de control
Procedimientos de parada de emergencia (EPO): Qué hacer si el SCADA falla durante la producción. Cómo operar manualmente los PLCs desde los paneles locales. Cómo realizar una parada segura del proceso sin SCADA.
Procedimientos de recuperación: Secuencia de reinicio del SCADA y los PLCs tras un corte. Cómo restaurar la configuración de los PLCs desde backup. Cómo verificar la integridad de los datos de producción antes de reanudar.
Procedimientos de gestión del SAI: Qué hacer cuando el SAI entra en modo batería. Cómo activar el bypass de mantenimiento. Cómo interpretar las alarmas del SAI.
Contactos de emergencia: Servicio técnico del SAI (Ionia Energy — respuesta en 4h). Fabricante del SCADA (soporte de emergencia 24h). Técnico de automatización de guardia.
Preguntas frecuentes
¿Qué diferencia hay entre proteger un PLC y proteger un servidor de oficina?
La diferencia fundamental es la tolerancia al tiempo de corte. Un servidor de oficina con una buena fuente de alimentación aguanta cortes de 20-50 ms sin reiniciarse (hold-up time del circuito de alimentación). Un PLC puede tener hold-up times de solo 10-20 ms, y en muchos casos un reinicio no es simplemente un inconveniente sino un evento con implicaciones de seguridad y productividad graves. Además, los PLCs industriales trabajan en entornos con mayor nivel de perturbaciones eléctricas (armónicos, huecos, transitorios) que los entornos de oficina, lo que hace aún más necesaria la protección de doble conversión VFI.
¿Los SAIs estándar de rack de sala de servidores son adecuados para una sala de control industrial?
Los SAIs de rack de sala de servidores (tipología tower o rack 2U-3U) suelen ser de topología VFI y, desde el punto de vista de la calidad de la alimentación, son adecuados. Sin embargo, no están diseñados para entornos industriales con polvo, vibración y temperatura elevada. Para aplicaciones industriales, los SAIs Vertiv Liebert GXT5 (formato tower y rack) son la opción adecuada, ya que combinan la topología VFI con características robustas para entornos exigentes. Para entornos con polvo o temperatura extrema, hay que instalarlos en armarios protegidos o usar equipos con grado IP elevado.
¿Qué autonomía necesita el SAI que protege un PLC?
Para la mayoría de las aplicaciones, 10-15 minutos son suficientes para: (1) que el SCADA detecte el fallo de red y ejecute la secuencia de parada ordenada, (2) que el operador haga una parada manual controlada si el apagado automático falla, y (3) que el grupo electrógeno (si existe) arranque y estabilice el suministro. Si el objetivo es mantener la producción durante cortes prolongados (lo que requiere también mantener la maquinaria operativa, no solo el control), hay que combinar el SAI con un grupo electrógeno.
¿Cómo se integra el SAI con Siemens TIA Portal, Rockwell RSLogix o similar?
La integración del SAI con plataformas de automatización industrial se realiza generalmente a través de Modbus TCP o SNMP. El módulo Vertiv Intellislot RDU101 proporciona acceso a todos los parámetros del SAI a través de estos protocolos. En Siemens TIA Portal, la integración Modbus TCP se realiza mediante bloques de función estándar (TUSEND/TURCV o librería Modbus TCP). En Rockwell Studio 5000, mediante instrucciones MSG con protocolo Modbus TCP. El mapa de registros completo está disponible en la documentación técnica del RDU101.