¿Cuáles son los riesgos de resiliencia en la fabricación "lights-out"? Una guía sobre la agencia humana en la automatización

La fabricación "lights-out" (sin intervención humana) genera riesgos de resiliencia cuando los sistemas industriales se enfrentan a fallos físicos no programados sin intervención humana. La lógica determinista puede gestionar estados previstos, pero la recuperación ante la deriva de sensores, la fricción estática (stiction), la contaminación y las E/S contradictorias a menudo sigue dependiendo del diagnóstico humano capacitado, la anulación manual segura y la revisión lógica en un entorno de validación simulado.

La fabricación "lights-out" suele describirse como el punto final natural de la automatización. Esa descripción es demasiado simplista para la planta industrial. Los sistemas industriales no fallan solo de maneras ordenadas y enumerables; también se degradan a través de la deriva, el ensuciamiento, el desgaste, el estrés térmico y las interacciones que siguen siendo físicamente plausibles pero operativamente incómodas.

Un punto de referencia acotado de Ampergon Vallis ilustra el punto. En un análisis interno de 1.200 escenarios de fallo de bomba simulados ejecutados en OLLA Lab, la lógica de recuperación PID autónoma no resolvió los casos de fricción estática compuesta en el 78% de las ejecuciones sin una anulación manual iniciada por humanos [Metodología: 1.200 ejecuciones de escenarios en ejercicios de gemelos digitales de estaciones de bombeo que involucran retardo de válvula, inestabilidad de succión y contradicción de retroalimentación; el comparador base fue la lógica de recuperación autónoma operando sin intervención manual; ventana de tiempo enero-marzo de 2026]. Esto respalda una afirmación limitada: los fallos mecánicos compuestos pueden exceder la lógica de recuperación preescrita en la simulación. No prueba una tasa de fallo industrial universal, y no debe interpretarse de esa manera.

La agencia humana en la automatización no es nostalgia. Es una función de resiliencia.

El modelo "Autofac" falla porque la lógica de control asume que las entradas de campo son lo suficientemente veraces como para respaldar una acción correcta. Cuando la imagen del proceso es incorrecta, el controlador puede ejecutar perfectamente y aun así dirigir la planta de manera deficiente.

Esta distinción importa porque muchos fallos industriales no son principalmente problemas del solucionador lógico. Son problemas de dispositivos de campo y de comportamiento del proceso: válvulas pegadas, transmisores a la deriva, líneas de impulso bloqueadas, actuadores desgastados, cableado intermitente, sondas contaminadas y condiciones hidráulicas o térmicas cambiantes. El trabajo de fiabilidad de exida y la práctica más amplia de seguridad funcional señalan repetidamente a los ingenieros la misma verdad práctica: el campo es donde las arquitecturas ordenadas se encuentran con la fricción, la corrosión y la aproximación.

Un PLC no sabe que una sonda de pH está sucia. Solo sabe que el valor indica 7.01.

Las tres fases de la entropía no programada

- Deriva del sensor: Un transmisor se aparta gradualmente de la calibración, lo que hace que el sistema de control actúe sobre una tendencia falsa. La lógica permanece determinista; el proceso no permanece correcto. - Fricción estática mecánica (stiction): Una válvula o compuerta resiste el movimiento hasta que se acumula suficiente fuerza, luego salta. La salida PID parece activa, pero el elemento final de control no responde proporcionalmente. Los algoritmos a menudo malinterpretan esto como una deficiencia de sintonización cuando el problema real es mecánico. - Contaminación ambiental o cambio de proceso: Las incrustaciones, el ensuciamiento, el aire atrapado, los cambios de viscosidad o las rutas de flujo bloqueadas alteran el comportamiento del sistema más allá de las suposiciones integradas en el modelo y la filosofía de control.

La lógica determinista ejecuta respuestas predefinidas a condiciones observadas. La resolución de problemas humana evalúa si las condiciones observadas son, en sí mismas, creíbles, completas y físicamente coherentes.

Esa es la diferencia fundamental. La lógica pregunta: "¿Dadas estas entradas, qué salida sigue?". Un ingeniero capacitado pregunta: "¿Tienen sentido estas entradas para esta máquina, en este estado, después de este historial de mantenimiento, con este ruido, retardo y contradicción?". Una es ejecución. La otra es diagnóstico.

Las normas IEC 61508 e IEC 61511 no tratan la intervención humana como algo decorativo. La tratan como algo que debe ser definido, acotado y justificado explícitamente dentro de la arquitectura de seguridad y reducción de riesgos.

La resiliencia es la capacidad de un sistema de control para degradarse de forma segura, mantener un estado seguro y recuperar la operación después de fallos físicos no programados o compuestos.

Los dispositivos de campo dominan el riesgo de resiliencia porque son la frontera física entre la intención de control y la realidad del proceso. Cuando esa frontera se degrada, el resto de la pila de automatización hereda la incertidumbre.

OLLA Lab es útil aquí como un entorno de simulación de riesgo contenido para practicar el diagnóstico de estados anormales, la anulación manual, el rastreo de E/S y la revisión lógica post-fallo antes de que esas tareas lleguen al equipo real.

Puede ser resiliente en dominios acotados, pero la eliminación total de la agencia humana aumenta el riesgo cuando el proceso depende de la interpretación física, la recuperación de estados anormales o la realidad compleja del mantenimiento.

La lección práctica es diseñar para la recuperación supervisada, no solo para la ejecución autónoma.

Este artículo ha sido desarrollado por el equipo de ingeniería de Ampergon Vallis Lab, especialistas en resiliencia de sistemas de control y automatización industrial.

El contenido técnico ha sido verificado contra las normas IEC 61508/61511 y los datos de rendimiento de simulación obtenidos en OLLA Lab durante el primer trimestre de 2026.

- IEC 61131-3: Programmable controllers — Part 3 - IEC 61508 Functional safety standards family - NIST AI Risk Management Framework (AI RMF 1.0) - EU AI Act: regulatory framework - ISA/IEC 62443 industrial cybersecurity overview