Вы находитесь на странице: 1из 9

Desarrollo electrónico

La compatibilidad electromagnética y la
seguridad funcional
Artículo cedido por Cemdal

La complejidad electrónica en to- en los equipos, para que respon- bas y medidas recomendadas en la
dos los sectores va aumentando con- dan correctamente a sus señales de norma IEC 61508 son especialmente
www.cemdal.com tinuamente sin que se vean cambios control. Ejemplos de funciones de eficaces para hacer frente a las inter-
importantes en la tendencia a corto seguridad serían el apagado seguro ferencias electromagnéticas EMI. Los
Autor: Francesc Dau- plazo. El uso de la electrónica en de una planta de proceso si las tem- ingenieros de CEM tienen que diseñar
ra Luna, Ingeniero aplicaciones de seguridad también peraturas o presiones exceden ciertos y construir equipos que continúen
Industrial, experto en crece muy rápidamente. Desde el límites, parar una máquina rotativa cumpliendo con sus normas de prue-
compatibilidad electro- punto de vista de la seguridad, se ha si se abre su puerta de protección, la ba de CEM pertinentes durante toda
magnética. Director de llegado al punto en que la aproxima- detención de un brazo de un robot su vida útil en sus entornos reales
CEMDAL ción normal para la obtención de la si una persona se acerca a su trayec- (no sólo cuando son nuevos o en un
conformidad con la compatibilidad toria programada, el cambio a un laboratorio de CEM). Así, un nuevo
electromagnética (CEM), solo en base sistema alternativo cuando el sistema enfoque fue aceptado ampliamente.
a la realización de los ensayos de CEM de control principal de vuelo de una Este nuevo enfoque tiene tres partes,
normales, es totalmente inadecuada aeronave falla, etc que se muestran en la figura 2.
cuando se trata de la seguridad fun- En los años 90, como respuesta a Las buenas prácticas de ingeniería
cional en máquinas complejas, como un gran incremento en el número de de CEM ayudan a obtener la confor-
en los automóviles o en los aviones, accidentes industriales, la lnstrument midad con las directivas de CEM y de
por ejemplo. La consecuencia inevi- Society of América (ISA) promulgó la seguridad así como a la reducción de
table de todas estas tendencias es norma ISA S84.01 para determinar en los riesgos de seguridad siguiendo
que no tener en cuenta la CEM en el EEUU la clasificación de sistemas de la norma IEC 61508. Todo ello tiene
análisis de la seguridad funcional de instrumentos seguros introduciendo como resultado global no tener que
las máquinas o sistemas complejos, el concepto de nivel de integridad comprometer la seguridad funcional
puede generar riesgos de seguridad de seguridad, SIL (Safety Integrity por culpa de las EMI durante todo el
no controlados para el usuario. Ade- Level). Luego la lEC publicó la norma ciclo de vida del equipo.
más los fabricantes pueden tener de seguridad funcional lEC 61508 Esto se aplica a las medidas de se-
riesgos económicos no controlados. (Seguridad funcional de los sistemas guridad en las industrias petrolíferas,
Ver la figura 1. eléctricos/electrónicos programables de gas y empresas productoras de
La seguridad funcional en sistemas relacionados con la seguridad). Des- equipos electrónicos incorporados a
electrónicos previene la probabilidad de el año 2000, la norma IEC 61508 trenes, aviones, barcos o automóviles,
de daños físicos, o riesgos en la salud ha recomendado varias decenas de etc. La fiabilidad analiza el riesgo de
de las personas, como resultado de pruebas y medidas para los sistemas, fallo en los componentes electrónicos
fallos en la funcionalidad de los dis- hardware y software, para la detec- de un sistema complejo y como con-
positivos electrónicos. La seguridad ción y/o recuperación de errores, mal secuencia, el sistema deje de realizar
funcional es una parte de las medidas funcionamiento o fallas en señales y la funcionalidad prevista. Este fallo
de segundad que se implementan fuentes de alimentación. Las prue- puede ser debido a la CEM, a la de-
gradación de los componentes, a un
fallo de instalación, etc. La seguridad
funcional cuantifica la posibilidad
de que estos mismos componentes,
fallen en una función considerada de
seguridad y por tanto pueda produ-
cirse un accidente. En todas las dis-
ciplinas de la ingeniería de seguridad
se considera insuficiente confiar to-
talmente en las pruebas de producto.
Sin embargo, los riesgos aceptables
de seguridad son validados usando
una variedad de métodos, sin limi-
tarse solo a las pruebas para verificar
el diseño de seguridad. Las perturba-
ciones electromagnéticas inusuales o
extremas que exceden la protección
Figura 1: Incremento de que se logra mediante el cumpli-
los riesgos en un siste- miento de las normas de inmunidad,
ma complejo debido a causarán EMI en el equipo. Esta EMI
las EMI causará errores, mal funcionamiento

64 REE • Mayo 2014


Desarrollo electrónico

o fallos en las señales de los equipos Figura 2 : Visión gene-


y / o fuentes de alimentación. ral de la aproximación
tomada por la nueva
Los niveles SIL y PL estrategia

El nivel SIL (“Safety Integrity Level”


: Nivel de Integridad de Seguridad)
se define como el nivel relativo de
reducción del riesgo que proporciona
una función de seguridad. Se usa el
término ASIL (“Automotive Safety
Integrity Level”) para el sector de la
automoción. Es una medida de la se-
guridad de un determinado proceso,
dispositivo electrónico o sistema com-
pleto. Dentro de un mismo sistema
podemos encontrar distintos niveles
de seguridad. Una de las funciones permitida para una función que se función de seguridad “a demanda” es
puede tener un nivel de SIL y otra fun- utiliza de forma constante es mucho una función que solo opera cuando
ción otro nivel distinto. La asociación más baja que para otra función cuya es necesaria, tal como una parada
de una función a un determinado frecuencia de utilización es muy baja. segura cuando una máquina sufre
nivel SIL, está basada en un análisis El riesgo de los procesos o las fun- un fallo de sobre-velocidad o sobre-
denominado análisis de riesgos. El ciones pueden ser optimizados, uti- temperatura. El nivel SIL3 permite un
análisis de riesgos es la tarea de eva- lizando componentes considerados rango diez veces mayor de fallos pe-
luar el riesgo de tener un fallo en una adecuados dentro de un determinado ligrosos que el SIL4 (unas diez veces
función segura, cuantificarlo y definir- nivel SIL. Por ejemplo, si el nivel de mayor de rango de riesgo aceptable),
lo como aceptable o inaceptable. Los seguridad requerido para una función y así requiere diez veces menos de
riesgos aceptables son aquellos que es SIL2, podemos alcanzar este nivel, nivel de confianza del diseño y su va-
moralmente, económicamente o por utilizando componentes electrónicos lidación. El nivel SIL3 se suele aplicar
cualquier otra causa son justificables. y procesos cuya suma total esté den- a los equipos fabricados en grandes
Por el contrario, los riesgos in- tro del riesgo fallo de nivel SIL2. volúmenes, por ejemplo: sistemas de
aceptables son aquellos que tienen Una función de seguridad “con- control de la conducción de automó-
consecuencias graves o costosas. El tinua” es una función que está tra- viles (acelerador, frenos, dirección,
típico análisis de riesgos puede ser bajando todo el tiempo. Un nivel etc); maquinaria; control de procesos,
como se indica a continuación. Una SIL4 corresponde a una función más etc, donde las consecuencias de un
vez elegido el nivel de seguridad SIL segura que otra de SIL1. El nivel SIL4 fallo son graves, pero no tanto como
y por tanto asignado el nivel de fia- se asocia con las menores tasas de en el nivel SIL4. En el otro extremo de
bilidad esperado como punto de par- fallo peligroso (niveles bajos de riesgo la escala, el nivel SIL1 se utiliza para
tida, cada uno de los componentes, aceptable), y así exige el nivel más los sistemas que deben ser algo más
procesos y software que intervienen alto de confianza, tanto en el diseño seguros que lo conseguido normal-
en la función deben ser analizados. de la seguridad funcional como en mente mediante la aplicación de las
Acto seguido hay que comprobar si su validación independiente. Típica- prácticas normales de un buen diseño
la suma del grado de fiabilidad del mente, el nivel SIL4 se utiliza para y verificación.
conjunto cumple con las expectativas la electrónica de sistemas de control Otra forma de ver los niveles SIL:
de fiabilidad requerida en la función. de vuelo de las aeronaves, señaliza- el nivel SIL1 es requerido por sistemas
Cuando la suma de riesgos es mayor ción ferroviaria, el paro seguro de las con niveles de riesgo equivalente a un
que el riesgo esperado, entonces se centrales nucleares y similares. Una buen diseño habitual y sus prácticas
impone realizar alguna modificación
para reducir este riesgo de fallo.
A cada función de seguridad se le
asigna un nivel SIL sobre la base de
la aceptabilidad de la tasa de fallos
peligrosos (es decir, el nivel aceptable
de riesgo) para lo que se pretende
controlar. Hay cuatro niveles SIL, cada
uno correspondiente a un rango dé- Tabla 1: Niveles de
cada de tasa de fallos peligrosos, seguridad SIL (IEC EN
como se muestra en las tablas 1 y 2 61508): Probabilidad
que indican cuales son las probabili- de fallo en demanda.
dades permitidas de fallo, dependien- ** Aproximadamente 1
do de la frecuencia de utilización de año = 10.000 horas de
las funciones. La probabilidad de fallo funcionamiento

REE • Mayo 2014 65


Desarrollo electrónico

Tabla 2: Los niveles de idónea para el fabricante de maqui-


seguridad SIL (IEC EN naria. Está previsto para el año 2018
61508). Probabilidad integrar las normas EN IEC 62061 y
de fallo en modo con- la EN ISO13849. La figura 4 resume
tinuo las normas que explican los niveles
SIL, PL y ASIL para sistemas eléctri-
cos, control de proceso, máquinas y
automoción.

Desafíos y riesgos

Conviene distinguir lo que son las


acciones destinadas a la seguridad
funcional, de otras que son emplea-
das para la seguridad en general,
de verificación y validación, pero re- se trata de lograr un determinado aunque en ocasiones, ambas pue-
ducido por diez ; el nivel SIL2 requiere nivel SIL. Por ejemplo, incluso si una den conseguir el mismo objetivo.
que los niveles de riesgo se reduzcan EMI en particular sucede una vez Por ejemplo: si en el radiador de una
100 veces ; el nivel SIL3 requiere una cada diez años en promedio, el nivel fuente de alimentación colocamos un
de reducción del riesgo en 1.000 SIL corresponde al nivel de confian- sensor de temperatura, para limitar
veces, y el nivel SIL4 requiere una za en que la función de seguridad la corriente de esta fuente a un valor
reducción del riesgo de 10.000 veces, resistirá esta perturbación EM sin máximo cuando el radiador adquiere
es decir, a 1/10.000 ó 0,01 % del nivel fallar, siempre que suceda. La norma valores de temperatura demasiado
de riesgo alcanzado por las buenas europea EN ISO 13849-1 clasifica los elevados, esto es una protección de
prácticas normales de ingeniería. El diferentes circuitos funcionales de seguridad funcional. Mientras que si
concepto SIL se aplica al funciona- seguridad en cinco niveles de presta- calculamos el radiador para que nun-
miento de un sistema completo que ciones PL (“Performance Level”: Nivel ca alcance una temperatura excesiva
incluye electrónica, electromecánica, de prestaciones) (tabla 3) : a,b,c,d,e, que pueda provocar quemaduras al
mecánica, trabajos de construcción y en función de su fiabilidad y su ca- usuario, ésta es una protección de
la gestión del personal (por ejemplo, pacidad de detectar fallos, valorando seguridad. El aumento de la compleji-
restringiendo el acceso al área de tra- básicamente su tiempo medio entre dad en los sistemas electrónicos hace
bajo) . Por lo general, la contribución fallos peligrosos (MTTF) y su cober- que, en la práctica, crear productos
de las EMI a cualquier nivel SIL no es tura de diagnóstico. La evaluación totalmente seguros, donde los com-
más de un 10 % del riesgo total. Las del nivel de prestaciones requerido portamientos de seguridad de todos
EMI se identifican como un “modo por un sistema de seguridad, PLr ser- estos circuitos sea predecible, es casi
de fallo sistemático”, lo que significa virá para determinar si el sistema de imposible. El desafío consiste en di-
que no es al azar, pero en cambio seguridad adoptado es adecuado o señar sistemas de tal manera que se
es una característica de un diseño si se requieren modificaciones o me- pueda prever y evitar fallos peligrosos
determinado, de la misma manera didas adicionales. Debe hacerse una o por lo menos controlarlos cuando
que los “errores “ de software son estimación del nivel de prestaciones éstos ocurran. Estos fallos pueden
considerados como una característica PL requerido para cada riesgo en la tener su origen en: especificaciones
de un diseño de software dado, en vida útil de la máquina. El sistema de incorrectas del sistema, omisiones de
lugar de considerar que los errores se evaluación de nivel PL es más sencillo seguridad en la especificación, fallos
producen al azar. Así, para considerar de aplicar que el sistema de nivel SIL. aleatorios de hardware, errores de
el nivel de confianza solo del diseño La figura 3 muestra la relación entre hardware, software e integración,
de CEM, los números para los dife- los niveles SIL y los niveles PL. Como errores humanos de diseño, interfe-
rentes niveles SIL en las tablas 1 y 2 segunda derivada, la norma EN ISO rencias electromagnéticas, fluctua-
necesitan reducirse por lo menos diez 13849 es más sencilla al simplificar ciones en la alimentación eléctrica
veces. Tratar de anticipar los ratios de y limitar las posibles soluciones, es y problemas de CEM (emisiones o
incidencia de las perturbaciones EM, menos ambiciosa en lo referente al inmunidad)
generalmente es inapropiado cuando software y está armonizada. Es la más Las tecnologías electrónicas están
en todas las esferas de la actividad
humana, incluyendo aquellas en las
que los errores o el mal funciona-
miento de la tecnología pueden te-
ner implicaciones para su seguridad
funcional. Las actividades afectadas
incluyen, entre otras: comercio, in-
dustria en general, banca, adminis-
Tabla 3: Los niveles tración, seguridad, medicina, agri-
de seguridad PL (ISO cultura, defensa, energía y eficiencia
13849) energética, ocio, transporte, vehícu-

66 REE • Mayo 2014


Desarrollo electrónico

los, carreteras, ferrocarriles, náutica, Figura 3 : Relación


aviación, espacio, etc. entre los niveles SIL y
El funcionamiento de un dispositi- los niveles PL
vo electrónico que proporciona una o
más funciones que tienen un impacto
directo en la seguridad puede tener
errores o un mal funcionamiento que
podría tener implicaciones para la
seguridad funcional. Para evitarlo se
requiere ingeniería de CEM adecuada
para el control de los riesgos de segu-
ridad. La seguridad funcional significa
el logro de un nivel aceptable de ries- conocimiento y aplicación de técnicas económicos para el fabricante debido
gos debido a errores operacionales estadísticas. a las leyes de responsabilidad de los
(funcionales) o mal funcionamiento productos defectuosos y a las regula-
durante toda la vida esper ada de Riesgos responsabilida- ciones de los fallos de seguridad que
un producto. Todas las tecnologías des y metodología pueden causar los productos peligro-
electrónicas son susceptibles de sufrir sos. Estas leyes pueden provocar la
errores o mal funcionamiento causa- Está generalmente aceptado en prohibición del producto y su retirada
dos por las EMI. la ingeniería de seguridad que los del mercado. Bastantes empresas son
Además de las fuentes naturales niveles de riesgo aceptable deben conscientes de que las reclamaciones
de EMI, como los rayos y las des- ser mantenidos razonablemente a legales en su contra podrían ser muy
cargas electrostáticas (ESD), todos pesar del uso previsible o indebido. Es costosas y arruinar su reputación de
los componentes electrónicos son imposible hacer alguna cosa perfecta- marca. Por esta razón emplean bue-
fuentes y receptores de EMI y tienden mente segura, pero puede ser previsi- nos abogados, para ganar cualquiera
a emitir más EMI en las frecuencias ble el comportamiento del usuario. Se de los casos en su contra o llegan a
más altas. Además, hay una gran ten- sabe que las personas se comportan acuerdos extrajudiciales con condicio-
dencia hacia el aumento del uso de de una cierta manera, lo que incluye nes de no divulgación.
las comunicaciones inalámbricas de la propensión a cometer errores en De esta manera el verdadero costo
datos (RFID, WIFI, Bluetooth, zigbee, formas conocidas. La ingeniería de de la mala ingeniería de diseño se
Wireless USB, …) y el uso de fuentes seguridad lo debe tener en cuenta. oculta algunas veces a la opinión
de alimentación conmutadas y con- Por ejemplo, tradicionalmente las pública, a los gobiernos y al mercado
vertidores conmutados (en ahorro de pruebas de CEM asumen que los ve- en general.
energía, energía “verde”, vehículos hículos son operados perfectamente Pero se debe tener en cuenta que
eléctricos e híbridos, ordenadores, todo el tiempo, y que no están daña- los costos de aplicar correctamente
…). Todas estas tecnologías son in- dos ni modificados. En la realidad los un buen diseño de CEM y de segu-
herentemente ruidosas. vehículos se deterioran con el tiempo, ridad funcional son menores que los
sufren averías, accidentes, modifica- potenciales costos legales de igno-
Cem para la seguridad ciones, … Estos cambios no deberían rarla. Estas técnicas de buen diseño
funcional afectar gravemente a la seguridad. contribuyen además a la mejora de
La identificación de riesgos (“Risk la funcionalidad y la calidad del pro-
La ingeniería de la seguridad y la Assesment”) determina el compor- ducto y en consecuencia a tener una
ingeniería de la CEM se han desarro- tamiento de la función segura para mejor introducción en el mercado.
llado por separado. Esto significa que realizar el trabajo requerido con una Los métodos de buen diseño de CEM
ahora los ingenieros de seguridad tasa de fallos máxima, previamente y seguridad funcional se pueden uti-
funcional por lo general no tienen un establecida. En el análisis e identifica- lizar para reducir los riesgos en las
conocimiento profundo de la CEM y ción de riesgos interviene también la aplicaciones críticas de alta fiabilidad
los ingenieros de CEM por lo general frecuencia de operación de la función y de metrología legal, así como en
no tienen una buena comprensión de segura. Para un mismo nivel de peli- la mejora general de los resultados
la seguridad funcional. Además, la gro, en las funciones que se usan con económicos y de cuota de mercado
mayoría de los ingenieros de seguri- poca frecuencia se permiten tasas de del producto fabricado.
dad “tradicionales” a menudo tienen fallos mayores que en funciones que Cuando una empresa desea con-
una mala comprensión de la seguri- tienen una frecuencia de utilización trolar mejor sus procesos de confor-
dad funcional, al tratarse de una re- más elevada. El análisis de peligros midad con la CEM y la seguridad es
lativa nueva disciplina que empezó a (“Hazard analysis”) analiza cuales son necesario asumir una larga curva de
desarrollarse en la práctica a partir del las consecuencias para los usuarios de aprendizaje. El riesgo de no mejorar
2000 con la publicación de la norma los fallos en las funciones de seguri- este aspecto es tener un futuro con
IEC 61508. La norma IEC 61508 está dad. Los peligros más graves son los niveles inaceptables de incidentes
enfocada básicamente para compo- que, como consecuencia de un fallo, con riesgos económicos y pérdidas
nentes electrónicos y no considera los pueden causar un accidente. inaceptables para el fabricante, sus
componentes mecánicos, hidráulicos Si no se controla bien la seguridad clientes y sus usuarios, como se
ni neumáticos. Requiere bastante funcional pueden presentarse riesgos muestra en la figura 1. Estas mejoras

REE • Mayo 2014 67


Desarrollo electrónico

Figura 4 : Los niveles Fallos afectando a la


SIL y los niveles PL y sus inmunidad
normas de aplicación
en sistemas eléctricos, La inmunidad al entorno electro-
control de proceso, má- magnético (EM) normal en el área
quinas y automoción de trabajo del sistema puede verse
afectada negativamente por los fa-
llos. Por ejemplo : juntas conductoras
dañadas con mala conductividad o
no existentes, circuitos abiertos o en
corto, fijaciones o uniones sueltas o
faltantes en recintos o blindajes de
cables, fallos de protección contra
sobretensiones, conexiones eléctri-
cas intermitentes, fallos en filtros,
componentes incorrectos fuera de
la tolerancia, corrosión en uniones
de metales diferentes, condiciones
deberían ser vistas claramente como Para evitar confusiones con tan- eléctricas intermitentes, etc.
una metodología para el incremento tos términos diferentes utilizados en Las pruebas de seguridad normal
de la rentabilidad y la reducción de electrónica (por ejemplo: dispositivo, simulan todos los fallos razonable-
los riesgos económicos a medio y aparato, sistema, equipo, sistema mente previsibles para comprobar si
largo plazo. Los responsables técnicos de seguridad, instalación,…) se ha la protección que ha sido diseñada
también pueden utilizar estas mejoras acuñado una nueva sigla: EFS - de- (generalmente como resultado del
como un método para reducir su finida como: “Cualquier Entidad que análisis AMFE (Análisis Modal de Fa-
responsabilidad personal (responsa- emplea las tecnologías eléctricas y / llos y sus Efectos), el análisis del árbol
bilidad civil o incluso de homicidio a o electrónicas que provee una o más de fallos (FTA: Fault Tree Analisys), o
causa de accidentes de seguridad). Funciones que tienen un impacto similar opera como se ha diseñado.
También puede ayudar a los consul- directo en la Seguridad”. La intención Pero las pruebas de inmunidad de
tores de seguridad funcional (por de esta sigla es la de cubrir toda la CEM normalmente sólo se realizan
ejemplo, los que están cualificados gama de posibilidades de diseño, rea- con los prototipos perfectos de los
para evaluar la norma IEC 61508 o lización y fabricación de un equipo, productos o sistemas, justo antes del
sus normas “hijas” tales como la IEC producto, aparato, máquina o siste- inicio de la producción. Este méto-
61511 o la IEC 62061, mejorando sus ma. Una EFS no es nunca un compo- do no es suficiente por sí solo para
habilidades necesarias para evaluar nente, parte, elemento, subsistema o aceptar las pruebas de CEM como
la CEM para la seguridad funcional. subconjunto de la entidad que pro- un medio correcto para demostrar
La figura 5 muestra un cuadro re- porciona la función de seguridad. que las EMI no pueden causar riesgos
sumen de las normas de CEM y de La figura 6 muestra los nueve pasos excesivos de seguridad funcional.
seguridad funcional. Destacar que a básicos de verificación para ayudar a No es raro que los componentes de
norma IEC 61000-1-2 es la norma IEC la gestión de los proyectos, el diseño automoción o de máquinas fabrica-
“básica” de la CEM para la seguridad y la evaluación de la conformidad con dos en serie fallen en sus ensayos de
funcional. la CEM y la seguridad funcional. CEM de control de calidad regular. A
veces, los componentes se montan
de forma incorrecta y aunque su fun-
cionalidad es correcta, su inmunidad
electromagnética se ve comprome-
tida. Entonces se corrige el error en
el componente, se repite la prueba y
se pasa positivamente. No hay nada
incorrecto en el diseño en cuanto a
pasar sus pruebas de CEM, pero se
deben reforzar las medidas en el
diseño para proporcionar un siste-
ma a prueba de fallos, para que el
error de montaje sea razonablemente
previsible. Además, a veces, si no se
toman medidas para mejorar el pro-
ceso de producción, las características
Figura 5 : Resumen de de CEM de los vehículos, máquinas
normas aplicables para o sistemas entregados a los clientes
la seguridad funcional realmente se desconocen. Es nece-
y la CEM sario tener en cuenta la CEM en el

68 REE • Mayo 2014


Desarrollo electrónico

Figura 6: Los pasos bási-


cos de verificación para
ayudar a la gestión de
los proyectos, el diseño
y la evaluación de la
conformidad

control de calidad de la producción, los blindajes y los filtros se degra- en aviónica y automoción.
tal como se exige en las directivas darán en unos dB a lo largo de la Para facilitar las pruebas, con bajos
de CEM. vida útil del equipo, es razonable costos y alta repetitividad, los ensayos
añadir esos dB al nivel exigido en los estándar de inmunidad usan una
Los ensayos de inmu- ensayos. Pero, ¿qué pasa si un filtro modulación de onda sinusoidal de
nidad de 60dB sufre un fallo catastrófico, 1kHz. Pero algunos fabricantes utili-
o el operador deja la puerta abierta zan la modulación de impulsos para
La mayoría de las normas de ensa- de un armario apantallado y por ello simular los efectos de los teléfonos
yos de inmunidad radiada especifican probamos el equipo con 60dB más móviles digitales y los radares en sus
usar cámaras anecoicas de pruebas en los niveles de inmunidad para productos. Algunas normas militares
porque ayudan a realizar pruebas preverlo? Por ejemplo, en lugar de usan ondas cuadradas de 1kHz. Sin
más fáciles de repetir. Su entorno EM realizar los ensayos de inmunidad embargo, los entornos EM de la vida
interno es diferente a los entornos EM con 3 V/m, ¿podemos añadir 60dB real contienen perturbaciones EM
usuales en la vida real, por lo que sus más para permitir ver los efectos de con una amplia gama de diferentes
resultados pueden diferir considera- la degradación del blindaje o del filtro tipos de modulación y frecuencias
blemente de lo que va a suceder en y hacemos la prueba con 3.000 V/m con las que la inmunidad se puede
la vida real. Algunos fabricantes y la ? ¿Y si también queremos cambiar el degradar de manera significativa (20
mayoría de los directores de labora- ajuste del nivel de ensayo aumentán- dB o más) cuando la modulación
torios de ensayos de CEM suponen dolo por cuatro desviaciones estándar de la EMI se corresponde con las
que aumentar los niveles de ensayo para alcanzar el 99,99% de confianza frecuencias o las formas de onda
más allá de lo que va a ocurrir en la (figura 7) de que hemos probado utilizadas en los procesos internos del
vida real del producto proporciona igual o por encima del nivel especi- equipo o resuenan internamente con
un “margen de seguridad” suficiente ficado?, ¿No deberíamos entonces sus circuitos, cables, transductores o
(cuidado con este término en este probar a 10.000 V/m ? Estos niveles cargas.
contexto). Por supuesto, incremen- de radiación son difíciles y caros de Un elemento del equipo someti-
tando los niveles de exigencia se me- conseguir debido a la gran potencia do a un campo EM radiado recoge
jora la confianza en que estos niveles de RF necesaria. No es muy fácil eco- tensiones de RF en todos sus cables,
aplicados en el ensayo son realmente nómicamente llegar a estos valores. con diferencias de fase entre ellos
iguales o superiores a los niveles de También se debe considerar la debido a sus diferentes rutas, capa-
prueba especificados para el entor- incertidumbre de medición en las cidades parásitas, etc, Normalmente,
no EM real, como se muestra en la cámaras de ensayo. Usando cámaras en los ensayos de inmunidad, sólo se
figura 7. de reverberación se pueden realizar aplican tensiones de RF en un cable
Además, si se supone que las me- pruebas más realistas, y por ello se a la vez. Inyectado energía de RF en
didas de mitigación EM, tales como utilizan para ensayar equipos críticos todos los conductores de un equipo

REE • Mayo 2014 69


Desarrollo electrónico

Las perturbaciones simultáneas con


diferentes frecuencias pueden causar
EMI a través de la intermodulación
(IM) que, como la demodulación,
se produce de forma natural en los
dispositivos no lineales como los se-
miconductores de los CI, (diodos y
transistores). La figura 8 muestra un
sencillo ejemplo de dos campos de RF
a diferentes frecuencias, que pueden
causar EMI debido: a la interferencia
directa de cada frecuencia de forma
independiente, la demodulación de
las envolventes de amplitud de una u
otra frecuencia, o de ambas frecuen-
cias a la vez y por la intermodulación,
por la que se crean nuevas frecuen-
cias. Imaginemos que realizamos las
pruebas normales de inmunidad ra-
diada en el rango de frecuencias de
150 kHz a 6 GHz, y descubrimos que
nuestro producto es muy susceptible
entre 20 MHz y 200 MHz. Para evi-
tarlo agregamos o modificamos el
blindaje y el filtrado para que sean
Figura 7: Usando una a un mismo tiempo, pero con cam- esta distorsión da lugar a huecos de más efectivos en el rango de frecuen-
”incertidumbre expan- bios de fase para coincidir con lo tensión o micro-cortes (como ocurre cias susceptibles y con estas mejoras
dida” se mejora la con- que se espera que suceda en la vida a menudo), entonces el condensa- el equipo pasa la prueba. Podemos
fianza del ensayo cuan- real, la inmunidad puede ser signifi- dor de almacenamiento en el lado felicitarnos por el buen resultado y
do se prueban sistemas cativamente peor que aplicando el no regulado de la fuente de alimen- procedemos a realizar la siguiente
lineales con pruebas de ensayo normal probando cada cable tación de CC no se cargará al nivel prueba. No nos molestamos en me-
inmunidad conducida y por separado. suficiente, como sería normal, y la jorar la mitigación de problemas de
radiada. susceptibilidad del equipo a los fallos inmunidad en el rango de 200MHz a
Perturbaciones elec- de tensión de red será diferente a lo 6GHz, porque no es necesario para
tromagnéticas simul- que se tiene cuando se prueba con pasar la prueba.
táneas una alimentación nominal correcta ¿Por qué perder el tiempo, y aña-
y limpia. También es bastante obvio dir costes innecesarios ? Pero en la
Las pruebas de inmunidad se aplican que en algunas zonas pueden haber vida real, podrían entrar EMIs simul-
con un número limitado de tipos de intensidades de campo muy altas táneas en la gama de frecuencias
perturbación EM, siempre un tipo debido a transmisores de radio o TV. de 200MHz a 6GHz y , de hecho,
de perturbación a la vez. Pero en Incluso gran parte de algunas ciuda- entrarán en el equipo, donde se inter-
la vida real, el funcionamiento del des están expuestas a campos de más modularán y, con una baja probabili-
equipo a menudo está expuesto a de 3 V/m en múltiples frecuencias de dad, pero de forma razonablemente
EMI simultáneas. Por ejemplo: dos difusión a la vez. En estas zonas los previsible, podrán crear EMIs internas
o más campos de RF a diferentes transitorios y las ESD continúan con en el rango de 20 MHz a 200 MHz,
frecuencias, o un campo radiado más normalidad, por supuesto, lo que causando EMIs allí donde estábamos
un transitorio conducido o una des- significa que la exposición a uno o tan convencidos de haberlas elimina-
carga electrostática, etc. Un equipo más campos de RF, al mismo tiempo do. Esto muestra que realizando una
que pasa sus ensayos de inmunidad que los transitorios y las ESD es una prueba normal es difícil descubrir este
de forma individual puede ser mucho situación razonablemente previsible. problema, no importa lo alto que sea
más susceptible a los niveles inferiores Todo ello a la vez puede causar el nivel del ensayo.
de las mismas perturbaciones cuando más problemas que por separado.
éstas se aplican de forma simultánea, Los transitorios pueden ser tal vez Efectos físicos y climá-
como ocurre en la vida real. muy poco frecuentes y pueden ser ig- ticos
En el mundo de la CEM, a menu- norados en las aplicaciones normales
do se argumenta que las perturba- pero, por ejemplo, cuando se con- Por razones de seguridad es im-
ciones simultáneas son demasiado sidera un sistema de seguridad que portante mantener un buen nivel de
poco probables, pero es bastante se produce en volúmenes muy altos, rendimiento EM a lo largo todo el
obvio que, por ejemplo, en el sumi- incluso una muy pequeña posibilidad ciclo de vida previsto del equipo, a
nistro de la red eléctrica, las formas puede suceder a diario, por lo que es pesar de los efectos previsibles de los
de onda distorsionadas se producen razonablemente previsible y debe ser entornos físicos y climáticos, inclu-
con frecuencia todo el tiempo. Si tenida en cuenta. yendo todos los efectos siguientes.

70 REE • Mayo 2014


Desarrollo electrónico

A nivel mecánico, por ejemplo, las la conformidad se logra mediante un de producción de cada unidad fa-
fuerzas estáticas (flexión, torsión), buen diseño EM, o por alguna otra bricada, para asegurarse de que los
golpes, vibraciones, etc. A nivel cli- razón que no se puede controlar de errores de montaje no la han hecho
mático cabe tener en cuenta como manera adecuada durante la fabrica- más insegura. Pero los ensayos están-
afecta la temperatura, la humedad, la ción en serie a lo largo toda la vida dar de CEM no incluyen los requisitos
presión atmosférica, en sus extremos útil de la producción. Por ejemplo, que obliguen a los fabricantes a llevar
y los efectos de los ciclos de cambio. si el diseño EM de un producto no a cabo continuos controles de rutina
A nivel químico, la oxidación, la co- tiene en cuenta las tolerancias de sobre las características de CEM du-
rrosión galvánica, el polvo conductor, los componentes, los cambios de rante la fabricación en serie. No es
la condensación, las gotas, el aerosol, tecnología en los circuitos integrados raro que los elementos de los equipos
la inmersión, la formación de hielo, (CI), las variaciones en el montaje que funcionan correctamente fallen
etc. A nivel biológico, el crecimiento (por ejemplo, el posicionado de los en las pruebas de CEM debido a un
de moho, la destrucción causada mazos de cables, puesta a tierra, etc), mal montaje. Aunque la mayoría de
por roedores, etc. A nivel operativo, la sustitución de componentes obso- los fabricantes emplean rigurosas
el desgaste en el curso de la vida letos, las correcciones de errores de pruebas de fin de línea, incluyendo
del producto como, la fricción, el firmware, etc, entonces las previsibles pruebas en el propio circuito que
rozamiento, la limpieza repetitiva, variaciones en la fabricación en serie pueden descubrir montajes incorrec-
la acumulación de grasa, etc. Y por podrían degradar sus características tos que afectan a la funcionalidad,
último el envejecimiento. EM y agravar los riesgos de segu- casi nunca tienen el objetivo de des-
Los efectos previsibles varían desde ridad. El hecho de que uno o dos cubrir montajes incorrectos que pue-
los efectos inmediatos (por ejemplo, prototipos de un producto pasen sus den afectar a las características de
al abrir la puerta de un armario apan- pruebas de CEM no significa nada en CEM, que luego pueden afectar a los
tallado) a los efectos a largo plazo absoluto para las características EM riesgos de seguridad.
(por ejemplo, la corrosión de una del resto de la producción suminis- Conforme a las Directivas de la UE
articulación de un blindaje o la unión trada, a menos que en su diseño se y otros países, la empresa que coloca
eléctrica a tierra de un filtro). Se pue- haya considerado las cuestiones de el equipo terminado en el mercado,
de llegar a tener una degradación de variabilidad explicadas anteriormente. es la responsable de la totalidad de
20dB en la atenuación de un filtro Por supuesto, se trata de un tema su seguridad y de su CEM. En caso de
causada por una combinación de la general para cualquier integrador de incumplimiento, la empresa no puede
temperatura ambiente, la tensión de sistemas, incluso si se comprueba que esperar que los investigadores oficia-
alimentación y la corriente de carga, los ensayos de CEM se realizaron co- les sigan la cadena de suministro y
todo ello dentro de las especificacio- rrectamente y que realmente fueron evitar ser procesada. Se supone que
nes del filtro, en comparación con aprobados, en las unidades que se los integradores de sistemas son pro-
los resultados de la pruebas normales tiene previsto comprar y montar en fesionales, y como resultado son ple-
de inmunidad. Algunos fabricantes un sistema crítico. ¿Cómo se pue- namente conscientes de cuestiones
realizan “Pruebas de vida altamen- de estar seguro de que las unidades como las que se acaban de exponer.
te acelerada” (conocido como HALT suministradas pasarían las mismas
(“Highly-Accelerated Life Testing”) pruebas ? Los efectos sistemá-
para comprobar que la funcionali- ticos
dad se mantiene a lo largo del ciclo Los errores de montaje
de vida esperado. Pero las unidades La suposición general es que si
“pre-envejecidas” resultantes no se Una buena técnica de seguridad todos los productos incorporados
prueban de nuevo para ver si sus ca- siempre requiere algunas pruebas en un sistema complejo, como una
racterísticas EM se han degradado de- básicas en el control final de la línea máquina, han pasado bien sus prue-
masiado. En algunos equipos críticos,
también después de la simulación de Figura 8: Ejemplo de
la exposición a su vida útil física y cli- demodulación e inter-
mática, sería bueno ejecutar de nuevo modulación (IM)
las pruebas de CEM para comprobar
que el equipo sigue cumpliendo las
especificaciones.

La calidad del diseño


electromagnético

Es muy común para los fabricantes


probar sus productos con ensayos de
CEM, iterando sus diseños hasta que
superan los ensayos. Aparte de ser un
muy mal uso de los recursos y tener
excesivos gastos extras, este método
de prueba y error no puede revelar si

REE • Mayo 2014 71


Desarrollo electrónico

bas de inmunidad y de emisiones ciarse, mientras que el sistema que nunca pueden ser suficientes (por sí
individualmente, a continuación, los estaba controlando se volverá loco solas) para demostrar que los riesgos
sistemas integrados usando estos y quizá hará estragos a su alrededor, funcionales de seguridad son lo bas-
productos serán también conformes afectando incluso a algún operario a tante bajos o que la reducción del
a la directiva de CEM. Este es el con- su alcance. El máximo nivel de prueba riesgo será suficientemente alta a lo
cepto CE + CE = CE que trata de una no es necesariamente el peor caso. largo del ciclo de vida de un equipo,
práctica común, pero incorrecta, en Los dispositivos electrónicos son to- teniendo en mente sus entornos físi-
el sector de la gran maquinaria y las dos no-lineales y los circuitos y su cos y climáticos (incluyendo desgaste
ingenierías integradoras de grandes firmware pueden ser muy complejos, y envejecimiento). El número de varia-
sistemas complejos. Se basa en la por lo que los productos a veces pue- bles es demasiado grande. Los planes
idea de que si se compra un número den fallar cuando se prueban con las de prueba se deben elaborar para que
de componentes o aparatos desti- perturbaciones EM de bajo nivel, de proporcionen la necesaria confianza
nados a un sistema, todos ellos con una manera diferente, o incluso pasar de diseño. Para combinar la CEM y
el marcado CE, el sistema completo correctamente cuando se prueban la seguridad funcional se requiere
formado por estos componentes no con los niveles máximos especifica- seguir el enfoque que se ha adoptado
necesita ningún trabajo adicional dos. Sin embargo, muchas pruebas en todos los demás aspectos de la
para poder tener el marcado CE. Así de inmunidad EM exponen al equipo ingeniería de seguridad, incluyendo
se podría declarar compatible con al más alto nivel especificado, para el software: aplicar una buena inge-
todas las directivas pertinentes de ahorrar tiempo de prueba y costos. niería con técnicas probadas como
seguridad, baja tensión y compati- Los niveles de perturbación inferiores la gestión de riesgos, utilizando una
bilidad electromagnética y podría suelen ser mucho más probables en amplia gama de métodos de verifica-
automáticamente aplicar el marca- la vida real, por lo que podrían ser ción y validación. La verificación y va-
do CE a la máquina completa. Pero, mucho más significativos para la se- lidación implica realizar pruebas CEM,
lo más seguro es que si se realizan guridad funcional. pero deberán ser cuidadosamente
las pruebas de CEM, no sea así y la adaptadas a cada proyecto, para pro-
máquina completa no cumpla y no Conclusiones porcionar la confianza suficiente en el
pueda aplicarse correctamente el diseño de la seguridad y durante la
marcado CE. El concepto CE+CE=CE Alcanzar la confianza suficiente producción. Tener en cuenta la CEM
está completamente equivocado y en la utilización de la seguridad fun- en la seguridad funcional significa
legalmente no es aceptado. Degra- cional usando sólo pruebas de CEM, que tenemos que aplicar los métodos
daciones de rendimiento EM que son requeriría afrontar demasiados pun- de la Gestión de Riesgos, como los de
perfectamente aceptables cuando tos de análisis, como hemos visto, la IEC 61508, también para la CEM.
un elemento del equipo ha pasado requiriendo un plan de pruebas que Este es exactamente el enfoque de la
las pruebas de CEM, o no son medi- nadie podría permitirse, en coste o IEC 61000-1-2.
das durante la prueba, podrían tener en tiempo. Por ello tenemos que ser Conviene trabajar en equipo un
implicaciones importantes para la más eficientes para alcanzar la segu- experto en seguridad con un experto
seguridad funcional de los sistemas ridad funcional con tiempos y gastos en CEM para realizar un buen diseño
que los utilizan. más razonables. Las pruebas de CEM para la seguridad funcional.
Así, es claro que CE + CE & CE y
es necesario asegurar la conformidad
de CEM y de seguridad en el sistema REFERENCIAS
completo. Un buen ejemplo es una
unidad de fuente de alimentación • Joan Pere López Varaguas, “Compatibilidad Electromagnétcia y Seguridad Funcional en
de 3,3V utilizada para alimentar una Sistemas Electrónicos”, Marcombo, 2010
unidad de control usando un mi- • Alfons de Victoria, “Aspectes tècnics de seguretat de màquines”, Curs de Formació Con-
croprocesador. Cuando la fuente se tínua Enginyers Industrials de Catalunya, 2014
somete a la norma IEC 61000-4-4 (rá- • Francesc Daura, Marcado CE + marcado CE & marcado CE: concepto aplicado a máquinas,
faga transitoria rápida) la salida de la sistemas complejos o instalaciones fijas, Revista Española de Electrónica, Noviembre 2013
fuente de alimentación será inestable, • The IET, The Institution of Engineering and Technology: “Electromagnetic Compatibility
es decir, tenderá cero voltios durante for Functional Safety”, 2008 “Overview of techniques and measures related to EMC and
unos pocos cientos de milisegundos Functional Safety”, 2013. http://www.theiet.org/factfiles/emc/index.cfm
y luego se recuperará automática- • Keith Armstrong, “Cost-effective Risk Management of CEM without special CEM design
mente. Así, la fuente cumple con el expertise or testing”, IEEE 2013 CEM Symposium
Criterio de Desempeño B, que es todo • Keith Armstrong, “Why increasing immunity test levels is not sufficient for high-reliability
lo que se requiere. Cuando la unidad and critical equipment”, August 2009, IEEE
de control se prueba según la IEC • Keith Armstrong, “Why EMC immunity Testing is inadequate for Functional Safety”,
61000-4-4, nada sale mal. Pero, al 2004 IEEE
poner las dos unidades juntas para • ernd Jaekel, Current status of standardization related to electromagnetic compatibility
controlar un robot y aplicar el mis- and functional safety, Siemens AG, Sector Industry, 2012
mo criterio al sistema completo, la • Normas: IEC 61508, IEC TS 61000-1-2, IEC 62061, IEC 62511 , ISO 13849, ISO 26262
unidad de control se bloqueará y le
tomará decenas de segundos reini-

72 REE • Mayo 2014