Вы находитесь на странице: 1из 6

EMC para la Seguridad Funcional de Automóviles

Por qué las Pruebas EMC son insuficientes, y Que es


Necesario
EurIng Keith Armstrong
Cherry Clough Consultants, Stafford, UK
keith.armstrong@cherryclough.com

Resumen-' La seguridad funcional ' significa el logro de El resultado es aquellos fabricantes de vehículo que cumplen las
aceptable riesgos debido a errores operacionales (funcionales) exigencias mínimas reguladoras (p.ej. [2]) y/o con su en-casa o
o malos funcionamientos sobre la vida esperada de un internacionalmente estandarizado EMC o estándares de seguridad
producto. (p.ej. [6]), no controlará adecuadamente la EMC para seguridad
La Compatibilidad Electromagnética (EMC) es validada funcional-y asi fallar en el control de los riesgos para sus clientes,
probando las características del producto usando métodos terceros y de sí mismos, ver figura 1.
estandarizados de prueba en un laboratorio de EMC. Mucho
tiempo hubo preocupaciones [1] que esto es inadecuado para
seguridad funcional.
En todas las disciplinas de seguridad de la ingeniería es
considerado insuficiente confiar totalmente en pruebas de
producto. En cambio, riesgos aceptables de seguridad son
validados usando una variedad de métodos (incluyendo, pero
no limitados a pruebas) para verificar el diseño de seguridad.
La Parte II de este artículo describe doce razones del por qué
la prueba automotriz 'tradicional' de EMC es insuficiente
como el medio exclusivo de demostración de las características
necesarias de los EM.
La parte III describen que requiere la ingeniería de EM y las
técnicas de verificación, donde errores o disfuncionamientos en
la electrónica (el hardware y firmware) podrían impactar la
seguridad funcional.
Figura 1 Incremento en riesgos de seguridad debido a EMI
I. INTRODUCCION
Los vehículos cada vez más usan sub-montajes electrónicos Hay algunos acontecimientos recientes que correctamente
(ESAs) donde ellos podrían afectar la seguridad funcional, por direccionan esta publicación, incluyendo [7], que es con
ejemplo en cada aspecto de control de cadena de manejo, y en efectivamente „la sección perdida de EMC‟ de [8], y la orientación
muchos aspectos control de cuerpo, incluyendo iluminación, de IET's 2000 [9], una revisión más prácticamente útil de cual está
visualización, indicadores y espejos. prevista para 2008.
Algo qué podría afectar el control directo de un vehículo, o podría
confundir a otros usuarios de la vía, es de preocupación [2]. II POR QUE LAS PRUEBAS DE EMC SON INSUFICIENTES
Todas las ESAs pueden sufrir de errores, disfuncionamientos y aún PARA LA SEGURIDAD
permanente daño debido a interferencia de EM (EMI). La totalidad Ver también [1][10][11] y [12].
todos los fenómenos de EM que ocurren en una posición dada
(esto es „ambiente EM‟) continuamente empeora debido al Fallas predecibles son ignoradas
creciente uso de tecnologías electrónicas en todas las áreas de Las fallas puede afectar significativamente la inmunidad, por
sociedad. ejemplo:
Todas las ESAs confían en semiconductores cualquiera, ya sea
dispositivos discretos o circuitos integrados (CIs), y el continuo  Junturas secas, circuitos abiertos o en corto
encogimiento en las características de tamaño del silicio, y  Componentes fuera-de-tolerancia o incorrectos
reducciones de voltajes de operaciones, hace que ellos sean más  Juntas conductivas perdidas o dañadas
susceptibles a EMI. Entonces, por varias razones, la importancia  Fijaciones en envolturas o recubrimiento de cables flojos o
de EMI a la seguridad funcional está aumentando. faltantes
En la industria del automóvil, como en todas las otras áreas de  Falla de protección del dispositivo por un pico de voltaje
fabricación de productos, estándares de seguridad generalmente  Condiciones eléctricas intermitentes
tratan con EMI y relacionan publicaciones de resultados muy
pobres, si es que ellos los cubren todos [3] [4] [5]. Los pocos Pero las pruebas automotrices tradicionales de EMC ignoran todas
estándares de seguridad que realmente cubren EMI simplemente las fallas-Solo especímenes perfectos de ESAs y vehículos son
requieren el uso de pruebas de inmunidad tradicionales EMC esto probados.
nunca puede ser suficiente, para los motivos descritos en la parte
II. Uso previsible y uso indebido son ignorados
Es generalmente aceptado en la ingeniería de seguridad que La Ford Motor Company es la única en la que las especificaciones
niveles de riesgo aceptable deben ser mantenidos a pesar del de pruebas de EMC [23] se desvía en parte de [21] por el uso de
razonable uso previsible o indebido. Es imposible hacer alguna 'suicheo de relé' las pruebas que deberían producir pruebas
cosa perfectamente segura-pero hay gente que sabe el transitorias con formas de onda más cerca a lo que probablemente
comportamiento en cierta forma, entonces la ingenierioa de es experimentado en la vida real.
seguridad debe tomar esto en cuenta.
Tradicionalmente las pruebas EM asumen carros que son operados Perturbaciones simultáneas no son probadas
perfectamente todo el tiempo, y que no son dañados ni Las pruebas de EMC tradicionales aplican a un número limitado
modificados. de los tipos perturbación de EM, uno por uno. Pero en operación
en la vida real, sistemas relacionados con la seguridad son
expuestos a perturbaciones de EM simultáneas, por ejemplo: dos o
más campos RF a diferente frecuencias; un campo irradiado más
un transitorio conducido, descarga electrostática, etc.
Las cámaras de prueba no son realistas Perturbaciones simultáneas con frecuencias diferentes pueden
Tradicionalmente las pruebas de inmunidad de campo radiado cause EMI por la intermodulación (IM), que (como la de-
especifican cámaras de prueba que hace pruebas más repetibles. modulación) ocurre naturalmente en dispositivos no lineales como
Lamentablemente, ellos están a diferencia, toda la vida real en semiconductores. La figura 2 muestra un ejemplo simple de dos
entornos de EM experimentados por vehículos en movimientos, RF campos en frecuencias diferentes, que pueden causar EMI
entonces sus resultados pueden diferenciarse notablemente de la por…
inmunidad en la vida real. Fabricantes de vehículo 'sobre probado'
hace frente a esto, pero no puede validar su opción de niveles de  Interferencia Directa de cada frecuencia por separado
prueba.  Demodulación de los sobres de amplitud de la una o la otra
Hay también las preocupaciones sobre las incertidumbres de frecuencia, o ambos surtido juntos
medida en las cámaras de prueba, con algún experto de pruebas  la Intermodulación, en la cual nuevas frecuencias son
EMC indicando grandes e imprevisibles incertidumbres [13], [14]. creadas
Reverberación las cámaras pueden proporcionar pruebas mucho
más realistas [15] [16], y por esta razón son usadas por muchos
fabricantes aviónica crítica de vuelo.

Los tipos y frecuencias de modulación RF no son realistas


Para facilidad de las pruebas, bajo costo y la repetitividad, la
prueba de inmunidad de RF tradicional usa 1kHz en la modulación
de una onda seno, aunque algunos fabricantes de vehículo emplean
la modulación de pulso para simular teléfonos móviles digitales y
radares, encima aproximadamente 600MHz. Sin embargo, los
entornos de la vida real contienen perturbaciones de EM con un
rango de modulación tipos y frecuencias. [17] [18] muestran que la
inmunidad puede ser significativamente ser degradada (p.ej.
20dB o más) cuando la modulación EMI corresponde con
frecuencias o las formas de onda usadas en procesos internos, o
resuenan con circuitos, cables, transductores o cargas.
La importancia de la modulación ha sido bien conocida por
muchas décadas en la electrónica militar de guerra, pero es solo
ahora que se está empezando a ser abordada como tal, ver [19] y Figura 2 Ejemplo de demodulación e intermodulación
[20].
[24] muestra que el equipo que pasa sus pruebas de inmunidad
Pruebas de distorsiones de potencia DC no son realistas o individual puede ser mucho más susceptible para bajar los niveles
minuciosas de las mismas perturbaciones cuando ellos son aplicados
[21] pruebas especificas de transitorios conducidos sobre la fuente simultáneamente.
DC de los vehículos, usando formas de onda basadas en las En un vehículo hay muchas perturbaciones de EM independientes
simplificaciones el transitorios que ocurre en vehículos reales, que pueden ocurrir al mismo tiempo. Un análisis simple basado en
entonces ellos pueden fácilmente repetible mente ser generados asunciones razonables para un motor de 6 cilindros a 2000
con equipo de prueba económico. revoluciones por minuto la ignición de chispa transitoria dura
[22] describe las pruebas del suministro de energía de corriente 50ns, esto muestra que en cada minuto hay una probabilidad del
continua sobre una variedad de vehículos reales, y muestran que el 0.001 % de un traslapo de al menos el 50 % con un transitorio de
empleo de aún el nivel más alto los pulsos en [21] pueden ser 100ns que ocurre una vez cada minuto (sobre promedio, por
insuficientes en algunos casos. [22] también incluye ejemplos de la ejemplo debido a la impulsión de un motor eléctrico o solenoide).
vida real, conducidos transitorios en vehículos para el cual no hay, Si conducen el vehículo durante 1 hora/día, 5 días/semana, 40 las
aún, ningunas pruebas correspondientes. semanas/año, la probabilidad de tal pulso de traslapo, el
Variando los encendidos usados por la ISO 7637-2 el pulso 2b acontecimiento es el 12 % por año. Y si los pulsos de traslapo
puede eliminar los firmware en algunos ESAs, y la variación de causaron un ESA para funcionar mal con una posibilidad del 1 %
los ajustes de prueba puede hacer que algún ESAs encienda o de de posibilidad de muerte, el conductor tendrá un riesgo de muerte
apague sin ser mandado. Sin embargo, la mayor parte de vehículo del 0.12 % por año. Esto se compara índice de mortalidad
e Hilera 1 fabricantes hacen no varían los encendidos, y escogen aproximadamente del 0.1 % por año para ocupaciones muy
ajustes para reducir pruebas coste y tiempo, o aún alcanzar un arriesgadas (por ejemplo diversas industria petroleras).
pase, posiblemente fallando por la detección latente de no-realidad En este ejemplo, para estar seguro de experiencia solamente un
que podría aumentar riesgos de seguridad. pulso de traslapo, un vehículo de prueba tendría que ser conducido
'24/7' para 19 semanas. La probabilidad de tal prueba que descubre
el problema es remota, e incluso si fue descubierto casi
seguramente sería diagnosticado como algo más.
Solo un puerto es probado a la vez Laboratorios de prueba dicen que no es raro para ESAs y
Cuando un vehículo es sujetado a un campo de EM irradiado, vehículos que funcionan correctamente que fallen las pruebas de
todos los cables asociados con su ESAs recogen voltajes de RF EMC debido a la 'no construcción'. Aunque la mayor parte de
diferencias de fase entre ellos. Pero las pruebas de inmunidad fabricantes empleen rigurosas pruebas a final-de-línea, incluyendo
conocida tradicional de EMC conducida sólo la prueba un cable a la prueba en circuito que descubrirá „no construcción‟ que afecte la
la vez. funcionalidad, esto no podría descubrir „no construcción‟ que
Experimentos en Qinetiq PLC en que energías de RF en todos los afecte alguna característica de EMC.
conductores de un ESA‟s simultáneamente, con cambios de fase
para relacionar lo que esperarían en la vida real. Ellos Efectos sistémicos ignorados
descubrieron que la inmunidad pudiera ser considerablemente peor Es generalmente - pero incorrectamente - asumido que si todo el
que cuando un cable fue probado a la vez en la manera tradicional. ESAs incorporado en un sistema pasan sus pruebas de inmunidad,
entonces aquellos sistemas también serán bastante inmunes.
Pero las degradaciones de funcionamiento que son absolutamente
El ambiente físico es ignorado aceptables cuando un ESA es probado en EMC, o hasta no es
Un nivel apropiado de desempeño de EM debe ser mantenido a medido durante las pruebas, podrían tener implicaciones
pesar de los efectos del ambiente físico sobre el tiempo de vida, significativas para el funcional la seguridad de los sistemas que
incluyendo lo siguiente: usan aquellos ESAs. Acuerdo entre la prueba de EMC que pasa
sobre ESAs, y sobre los sistemas que los incorporan, es con
 Mecánico (fuerzas estáticas, choque, vibración, etc.) frecuencia pobre.
 Climático (temperatura, humedad, presión de aire, etc. – ambos
extremos y efectos de ciclismo) El máximo nivel de prueba no es necesariamente el peor
 Sustancia química (oxidación, corrosión galvánica, conductora Todos los dispositivos electrónicos son no lineales, y
polvos, condensación, goteos, rocío, inmersión, alcorza, etc.) circuitos/firmware pueden ser muy complejos, entonces los
 Biológico (por ejemplo crecimiento de molde, etc.) productos a veces pueden fallar cuando son probados con nivel
 'desgaste' Operacional sobre la vida (fricción, preocupando, bajo perturbaciones de EM, pero falla en un diferente forma o
limpieza repetidora, desarrollo de grasa, etc.) hasta pasa cuando se probó con el nivel especificado. Pero muchas
pruebas sólo aplican el nivel especificado más alto, para ahorrar
tiempo y costos. Niveles de perturbación inferiores son por lo
Efectos físicos varían de inmediato (ej. montaje no plano, abierto
general más probables, y tan puede ser mucho más significativo
un hueco y degradando el recubrimiento), a largo plazo (por
para la seguridad funcional.
ejemplo. corrosión de un junta de recubrimiento o tierra con filtro
enlazado). [25] describe un número de problemas de la vida real de
III QUE HAY QUE HACER
esta naturaleza.
El acercamiento descrito aquí requerirá un estudio significativo de
[26] muestra que hasta 20dB la degradación en la atenuación con
la curva para muchos fabricantes, asesores de seguridad funcional,
filtro puede ser causado por las combinaciones de temperatura
y laboratorios de prueba de EMC que quieren desarrollar las
ambiente, voltaje de suministro y corriente de carga dentro de la
habilidades para evaluar el diseño EMC para seguridad funcional.
clasificación del filtro – comparado con los resultados de pruebas
de inmunidad tradicionales.
Tenemos que ser más inteligentes que solamente hacer pruebas de
Los fabricantes de vehículo realizan una variedad de pruebas
EMC
sumamente aceleradas de vida para observar que la funcionalidad
Alcanzar confianza suficiente en utilización seguridad funcional
es mantenida sobre el tiempo de vida, pero en general el pasar
usando sólo pruebas de EMC, requeriría afrontar las doce
'envejeció' las unidades no son probadas para ver si las
cuestiones hechas en la parte II, requiriendo un programa de
características de EM han sido afectadas.
prueba que nadie podría permítase, en el coste o la escala de
tiempo. Entonces tenemos que ser más inteligentes, para alcanzar
Calidad ignorada del diseño EM
la seguridad funcional con tiempos y gastos razonables.
La mayoría de los fabricantes prueban sus productos usando el
Tenemos que usar las técnicas de diseño de EM que aseguran la
método de prueba de la inmunidad tradicional, iterando el diseño
seguridad relacionada a los sistemas mantendrán las características
hasta que esto pasa. Pero esto no podría revelar si el pase fue
de EM necesarias sobre su vida, considerando EM previsible y
alcanzado por buen diseño EM, o por algo que no sería
físico ambientes [27]. Y tenemos que verificar y validar estos
suficientemente controlado en fabricación sucesiva sobre la vida
diseños que usan los métodos que alcanzan la confianza necesaria
de producción.
con riesgos aceptables, costos y escalas de tiempo.
Pruebas de EMC tradicionales no evalúan la calidad de diseño de
EM, entonces si el diseño de EM de un producto no se enfrenta
Evaluación de la vida EM y ambientes físicos
con tolerancias componentes, el semiconductor muere - se encoge,
Una evaluación de las posibilidades de vida verdadera
variaciones en el montaje (p.ej. cable endurecido, aterrizados,
razonablemente previsibles sobre la vida de vehículo [28] [29]
etc.), el reemplazo de anticuado componentes, correcciones de
debería incluir:
errores en el firmware, etc. - el hecho de que algunas muestras
pasaron las pruebas de EMC no quieren decir nada en absoluto
para las características EM de ESAs o vehículos realmente ya  perturbaciones de EM cerca del campo (por ejemplo
suministrados. interferencia en cables poco atados) y campo lejano (por
ejemplo transmisores de radio/radar)
Los errores de ensamble son ignorados  interferencia de Intra-sistema (entre ESAS en un sistema)
La buena ingeniería de seguridad siempre requiere pruebas de cada  interferencia de Inter-sistema (entre sistemas diferentes en
unidad fabricada para asegurarse que los errores de ensamble no vehículo, y un sistema de vehículo y el exterior mundial;
tienen lo han hecho inseguro, pero los estándares tradicionales también consideración de dispositivos electrónicos llevados por
EMC no incluyen ninguna exigencia o requerimiento para que los la gente) la Modulación escribe a máquina, y sus frecuencias o
fabricantes realicen la rutina de verificación sobre características forma de onda.
de EM en la fabricación en serie (secesiva).  EM simultáneo y/o perturbaciones físicas (incluyendo: continuo,
extremos, ciclismo y transitorios)
 Posibilidades de uso y mal uso
 Ambiente (s) Físico (por ejemplo mecánico, climático, Todo lo anterior debe tener a EM en cuenta y las características
biológico, llevada, etc.) físicas del producto y su razonablemente previsible EM y entornos
 los efectos de envejecimiento físicos sobre su vida útil. Mucho vehículo fabricados y la Hilera 1
 el Futuro se cambia a EM y ambientes físicos empresas emplean el métodos de la evaluación de riesgo, pero
 tolerancias Componentes; el futuro se cambia a componentes ellos tienden a hacerlo 'de memoria', que no es recomendado por
(por ejemplo la caída en desuso, muera se encoge, etc.) expertos funcionales de seguridad [31] [32].
Cualquier método empleado debe tener en cuenta el hecho de que
Análisis estadísticos serían ideales, pero es generalmente sólo algunos modos de falla (p.ej. 'el pestillo encima de') pueden causar
posible de establecer los tipos de fenómenos de EM (la Figura 3), un poco/todo de un salida del IC fija para cambiar el estado al
sus modulaciones y niveles de caso peor, con cualquier confianza mismo tiempo, y ' Común- El modo ' EMI causa el ruido sobre
muchos/todos nodos de circuito en el mismo tiempo. También,
EMI y algunos tipos de defectos puede crear el ruido que puede ser
un error para señales válidas.
Generalmente es asumido que dos o más fallas independientes son
tan improbables que una 'sola falla' y propone la necesidad de ser
considerado. Pero donde la probabilidad de una falla es bastante
alta (p.ej. debido a diseño pobre para el entorno físico) dos o más
fallas independientes podrían causar riesgos excesivos de
seguridad.
Diseñando un vehículo de modo que una persona pueda conducirlo
seguramente, es también apropiado usar el Análisis de Tarea y
Análisis de la Fiabilidad Humana.

Figura 3 Ejemplos de perturbaciones predecibles de EM EM y especificaciones físicas


IEC y estándares militares describen una variedad de entornos Para cada sistema de vehículo que tiene un impacto sobre la
físicos, pero cualquier 'niveles de compatibilidad‟ (o niveles de seguridad, un requerimiento de seguridad debería ser creada que
prueba) ellos especifican que no debería ser aplicado debería incluir EM y requerimientos físicos de las susodichas
incondicionalmente. actividades. Los datos específicos EM/físicos de un ESA para ser
Donde un tipo de vehículo debe ser vendido en EM o físico incorporado a tal sistema debería entonces ser sacado de la
entorno no totalmente cubierto durante su diseño original, se especificación de exigencias del sistema teniendo en cuenta algun
requiere la evaluación de nuevo EM y el entorno físico. Esto EM o mitigación física proporcionada por el sistema (p.ej.
podría conducir a diseñar cambios, y su verificación y validación, recubrimiento, filtración, supresión de picos, montajes de anti
para mantener la seguridad funcional. vibración, refrigeración, etc.).

Buena EM y físico diseño de ingeniería Un plan de verificación/validación


Hay muchas publicaciones sobre técnicas de buen diseño de EM Alcanzar confianza suficiente en verificación y validación de todas
que pueden ser aplicadas en los diferentes niveles de ensamble, de las actividades de diseño requiere una mezcla de técnicas [33],
circuitos integrados a cablear y estructuras de vehículos. [27] ninguna de cual es suficiente sola, incluyen:
incluye una discusión detallada de técnicas de diseño físico bien
probado y de EM para seguridad funcional.  simulaciones computarizadas 'Calibradas'
 Demostraciones
Identificación de riesgos y evaluación de riesgo  Listas de comprobación
Una identificación de riesgo documentada y evaluación de riesgo  Inspecciones
requieren el proceso, esto evalúa como su razonablemente  Revisiones y revisiones de cuentas
previsible EM y entornos físicos a lo largo de su vida útil, toma en  evaluaciones Independientes
consideración los defectos, el mal uso, etc., posiblemente podrían  EM prueba sobre ESAS y vehículos completos
afectar el producto. Esto debería mostrar como redujeron cualquier
riesgo excesivo a un grado aceptable según diseño, y ser 'un vivo' Las pruebas de EM son las más útiles cuando ellos estrechamente
el documento que dirige el proceso de diseño en todas partes.
reproducen el EM/físicas las características de los entornos del
'Inductivo' ('o la consecuencia') los métodos comienzan con un de
mundo real.
bajo nivel el error o falla, y el intento de determinar si esto podría Es generalmente lo mejor basar tales pruebas sobre los métodos de
conducir situación peligrosa. Ellos incluyen Análisis de modos y
prueba estandarizados, expertamente modificados para una mejor
Efectos de fallas (FMEA) y Análisis de Árbol de eventos [30].
simulación de la vida útil.
'Deductivo' ('o causal') los métodos comienzan con situaciones La vida sumamente acelerada que prueba (HALT) es un
peligrosas y el intento de determinar que podría haberles causado,
instrumento poderoso para evaluación de la conveniencia de
incluya el Análisis de Árbol de fallas [30].
métodos de diseño, y de técnicas mitigación de EM como
Las técnicas 'lluvia de ideas' identifican cualquier posibilidad. recubrimiento y filtración [34]. Por usar estructuraciones
Ellos aplique métodos inductivos para ver si las posibilidades
apropiadas de prueba, puede ser fácil descubrir inaceptablemente
pudieran tener consecuencias peligrosas, y luego aplican métodos
degradando el funcionamiento de EM durante HALT.
deductivos para descubrir que podría causarlas, y también su
Las pruebas finales de verificación/validación siempre son
probabilidad. Es habitual de emplear al menos un inductivo y al
requeridas sobre ESAs para uso en sistemas de seguridad, y
menos un método deductivo para mejorar 'la cobertura' de la
también para que los mismos sistemas de seguridad cuando sean
evaluación de riesgo. Siempre requieren que la 'lluvia de ideas'
instalados en el vehículo. Pero las pruebas sobre todo tienen que
prevea fallas, usos, mal uso, etc., pasado por alto por métodos
ser diseñado para proporcionar la confianza requerida sin añadir
estándar.
altos gastos.
Las características EM de ESAs y vehículos en fabricación
sucesiva puede ser considerablemente afectado, por ejemplo:

 Variaciones en partes compradas (p.ej. IC mueren - se encoge)


 Alternativa o piezas de recambio También, esto ha mostrado lo raro y los eventos de EMI no
 Variaciones en revestimiento, pintura y fijación probados, esto podría causar un incidente de seguridad sólo una
 Diferencias de asamblea (p.ej. alambrando) vez durante 10 años de la vida de un vehículo, todavía podría
 el Diseño se cambia y mejoras exponer a conductores de riesgos de seguridad comparables con
 'reparaciones' De soporte lógico inalterable y mejoras; etc. aquellos de las ocupaciones mundiales más peligrosas.
EMI debe ser tratado como cualquier otro generador posible de
Entonces, todos los reportes o publicaciones de estados de peligros, la inclusión de programas fijos (mirar la Parte 3 [de 8]).
construcción publicaciones relevantes para mantener funcional la Técnicas Apropiadas en evaluación de los entornos EM/físico, y
seguridad deberían ser identificados durante el diseño y controlada en diseño; verificación y validación; fabricación; mantenimiento y
por Control de calidad (QC) en fabricación sucesiva. requieren la reparación, para alcanzar riesgos aceptables de
QC puede usar una gama de técnicas; incluyendo „verificaciones seguridad sobre la vida esperada operacional del vehículo a pesar
de EM‟ sobre bienes entregados y equipo terminado; y a base de EMI.
muestra pruebas de diseñado mantener un nivel de calidad
aceptable (AQL). EM 'verificaciones' puede ser diseñado para AGRADECIMIENTOS
necesitar muy poco tiempo o experticia. QC debería emplear el Deseo agradecer al experto funcional de seguridad John Cryer d el
personal competente, apoyado encima de por pruebas apropiadas, La Salud del Reino Unido y Seguridad Ejecutivo (HSE), e
para evaluar cada propuesta para un diseño cambio para su EMC e industria de automotor los expertos Steve Offer de Robert Bosch
implicaciones de seguridad funcional Australia, James Gordon-Colebrook de 3C Prueba, Silverstone, el
Reino Unido, para su ayuda inestimable. Soy responsable de
El resultado obtenido por la verificación y validación cualquier error y defectos en este articulo
Los documentos deberían mostrar como cualquier defecto en la
reunión de las especificaciones ESA, y/o datos específicos de REFERENCES
exigencias de sistema, fueron tratados
[1] D A Townsend et al, "Breaking All the Rules: Challenging the
Las mediciones son necesarias para mantener las características Engineering and Regulatory Precepts of Electromagnetic
EM Compatibility", 1995 IEEE International EMC Symposium,
Cualquier suposición que al principio fue hecha sobre la vida Atlanta, pp 194 – 199.
verdadera EM y entornos físicos deberían ser comprobados [2] 2004/104/EC, the “Automotive EMC Directive”, Official
durante el vida de un modelo de vehículo, y acciones apropiadas Journal of the EU, L 337/13 – L 337/58, Nov. 13 2004.
tomadas si ellos salieron y están mal. [3] Keith Armstrong, “New Guidance on EMC-Related Functional
Asigne técnicas QC requieren en el Mantenimiento, la Reparación, Safety”, 2001 IEEE International EMC Symposium, Montreal,
Restauración, Modificaciones y Mejoras De soporte lógico Aug. 13-17, ISBN 0-7803-6569-0/01, pp. 774-779.
inalterable asegurar que a EM requerido y características físicas no [4] Keith Armstrong, “New Guidance on EMC and Safety for
son comprometidos sobre la vida de vehículo. Machinery”, 2002 IEEE Int‟l. EMC Symposium, Minneapolis,
Listas de servicio de vehículo regulares podrían tener que incluir Aug. 19-23 2002, ISBN: 0-7803-7264-6, pp. 680-685.
ciertas comprobaciones y/o reemplazos componentes. EMC [5] Keith Armstrong, “Review of Progress with EMC-Related
'comprueba' las pruebas también podrían tener que ser inventadas, Functional Safety”, 2003 IEEE EMC Symposium, Boston,
y el equipo proporcionado para empleo por técnicos relativamente Aug. 18-22 2003, ISBN 0-7803-7835-0, pp 454-460.
inexpertos en el servicio de los Distribuidores departamentos para [6] Automotive EMC Laboratory Recognition Program
empleo en intervalos previstos. Diagnóstico automatizado los (AEMCLRP), www.fordemc.com/docs/AEMCLRP.htm.
programas podrían tener que ser modificados donde EMI podría [7] IEC TS 61000-1-2, basic safety publication, draft second edi
tener error de causa, disfuncionamiento o daño. tion, 77/356/DTS February 2008, “Electromagnetic Compatibility
Las instrucciones de reparación podrían tener que incluir técnicas (EMC) – Part 1-2: General – Methodology for the achievement of
para mantener las características de EM del vehículo, aún EM the functional safety of electrical and electronic equipment with
comprueban o pruebas después. Los Manuales de Usuario podrían regard to electromagnetic phenomena.”
tener que recomendar actividades ayudar mantener las [8] IEC 61508, basic safety publication, “Functional Safety of
características de EM requeridas sobre la vida del vehículo, y Electrical/Electronic/Programmable Electronic Safety-Related
poder tener que describir, en los términos del profano, como el Systems”, (seven parts).
usuario puede identificar EMI como la causa de un problema, [9] IET, “Guidance on EMC and Functional Safety”, 2000,
también quizás como tratar con ello. www.theiet.org/publicaffairs/sectorpanels/emc/index.cfm.
[10] Keith Armstrong, “Why EMC Immunity Testing is
Documentación-“El caso seguro” Inadequate
Ayudar manejar la seguridad funcional, y para una defensa buena for Functional Safety”, 2004 IEEE Int‟l EMC Symp., Santa
en el caso de un desafío legal, ' un Caso De seguridad ' deberían Clara, Aug. 9-13 2004, ISBN 0-7803-8443-1, pp 145-149.
ser creado aquellos documentos todas las actividades descritas Also: Conformity, March 2005,
encima y mostrar como ellos alcanzan la seguridad funcional http://www.conformity.com/artman/publish/printer_227.shtml
[11] Keith Armstrong, “Functional Safety Requires Much More
La cantidad de trabajo requerida depende del nivel de riesgo Than EMC Testing”, EMC-Europe 2004 (6th International
Donde riesgos de seguridad son más altos, y la reducción de riesgo Symposium on EMC), Eindhoven, The Netherlands, Sept. 6-
más importante como una consecuencia, todo el trabajo descrito 10 2004, ISBN: 90-6144-990-1, pp 348-353.
encima debería esté más detallado, comprensivo y a fondo, y [12] Keith Armstrong: “EMC in Safety Cases – Why EMC Testing
realizado por la gente que es más bien informada, y más experta en is Never Enough”, EMC-UK 2007 Conference, Newbury, UK,
las técnicas requeridas. Defence & Avionics session, October 17, 2007.
[13] L. Jansson and M. Bäckström, "Directivity of Equipment and
IV CONCLUSIONES its Effect on Testing in Mode-Stirred and Anechoic Chamber",
Este papel ha descrito una docena de motivos de por qué - para IEEE Int‟l EMC Symposium, Seattle, WA, Aug. 1999.
seguridad funcional – es insuficiente para confiar únicamente en [14] G.J. Freyer, "Distribution of Responses for Limited Aspect
pruebas de EM. Angle EME Tests of Equipment with Structured Directional
Directivity", The 2003 Reverberation Chamber, Anechoic
Chamber and OATS Users Meeting, Austin, TX, April 2003.
[15] G.J. Freyer and M.O. Hatfield, "An Introduction to
Reverberation Chambers for Radiated Emission/Immunity
Testing", ITEM 1998, www.interferencetechnology.com/Archived
Artcles/shielded_rooms_and_enclosures/I98art15.htm?regid=
[16] G.J. Freyer, “Considerations for EMC Testing of Systems
with Safety and/or Reliability Requirements”, EMC Europe 2004,
Eindhoven, The Netherlands, Sept. 6-10 2004.
[17] S. Wendsche and E. Habiger, “Using reinforcement learning
methods for effective EMC immunity testing of computerised
equipment”, Proc. Int. Symp. EMC (ROMA‟96), Rome, Italy,
Sept 1996, pp.221-226.
[18] R. Vick and E. Habiger, “The dependence of the immunity of
digital equipment on the hardware and software structure”,
Proc. Int. Symp. EMC, Beijing, May 1997, pp 383-386.
[19] RTCA/DO-160E December 9 2004, “Environmental
Conditions and Test Procedures for Airborne Equipment, Section
20, Radio Frequency Susceptibility (Radiated and Conducted)”.
Clauses 20.4 and 20.5 attempt to cover the sensitivity of
equipment to modulation type or frequency. The same applies to
RTCA/DO-160F (draft 061231).
[20] DaimlerChrysler Joint Engineering Standard DC-10614, “EM
Performance Requirements – Components”, 2004-01. Clause 7
attempts to address modulation type and frequency.
[21] ISO 7637-2:2004, “Road vehicles – Electrical disturbances
from conduction and coupling – Part 2: Electrical transient
conduction along supply lines only”
[22] Colebrook et al, “Transient Test Requirements for “e”-
Marking”, Automotive EMC Conference, Nov. 6 2003, page 6.
[23] Ford Motor Company, “Component and Subsystem
Electromagnetic Compatibility, Worldwide Requirements and Test
Procedures”, ES-XW7T-1A278-AC, Oct 2003,
www.fordemc.com/docs/requirements.htm
[24] Michel Mardiguian, “Combined Effects of Several,
Simultaneous, EMI Couplings”, 2000 IEEE Int‟l EMC Symp.,
Washington D.C., Aug 21-25, ISBN 0-7803-5680-2, pp. 181-184.
[25] MIL-STD-464, “Electromagnetic Environmental Effects –
Requirements for Systems”, Department of Defense Interface
Standard, March 18 1997.
[26] F Beck and J Sroka, “EMC Performance of Drive Application
Under Real Load Condition”, Schaffner Application Note 11
March 1999; EMC Zurich, 2001; Power Quality, June 2001.
[27] Keith Armstrong, “Design and Mitigation Techniques for
EMC for Functional Safety”, 2006 IEEE International EMC
Symp., Portland, Aug. 14-18 2006, ISBN: 1-4244-0294-8.
[28] “Assessing an EM Environment”, Technical Guidance Note
No. 47, EMC Test Labs Association (EMCTLA),
www.emctla.co.uk/Pages/TechGuideMain_new.html
[29] Keith Armstrong, “Specifying Lifetime Electromagnetic and
Physical Environments – to Help Design and Test for EMC for
Functional Safety”, 2005 IEEE Int‟l EMC Symposium, Chicago,
Aug. 8-12 2005, ISBN: 0-7803-9380-5, pp 495-499.
[30] IEC 60300-3-1 “Dependability management – Part 3-1:
Application guide – Analysis techniques for dependability – Guide
on methodology”.
[31] Erik Hollnagel, “The Reality of Risks”, Safety Critical
Systems Club Newsletter, Vol. 17, No. 2, January 2008, pp 20-22,
www.safety-club.org.uk
[32] Tim Kelly, “Are „Safety Cases‟ Working?”, Safety Critical
Systems Club Newsletter, Vol. 17, No. 2, January 2008, pp 31- 33,
www.safety-club.org.uk
[33] Keith Armstrong, “Validation, Verification and Immunity
Testing Techniques for EMC for Functional Safety”, 2007 IEEE
International EMC Symposium, July 9-13 2007, Honolulu,
Hawaii, ISBN: 1-4244-1350-8.
[34] W.H. Parker, W. Tustin, T. Masone, “The Case for
Combining EMC and Environmental Testing”, ITEM 2002, pp 54-
60, http://www.interferencetechnology.com/ArchivedArticles/test
_instrumentation/i_02_10.pdf?regid=

Вам также может понравиться