Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La compatibilidad electromagnética y la
seguridad funcional
Artículo cedido por Cemdal
La complejidad electrónica en to- en los equipos, para que respon- bas y medidas recomendadas en la
dos los sectores va aumentando con- dan correctamente a sus señales de norma IEC 61508 son especialmente
www.cemdal.com tinuamente sin que se vean cambios control. Ejemplos de funciones de eficaces para hacer frente a las inter-
importantes en la tendencia a corto seguridad serían el apagado seguro ferencias electromagnéticas EMI. Los
Autor: Francesc Dau- plazo. El uso de la electrónica en de una planta de proceso si las tem- ingenieros de CEM tienen que diseñar
ra Luna, Ingeniero aplicaciones de seguridad también peraturas o presiones exceden ciertos y construir equipos que continúen
Industrial, experto en crece muy rápidamente. Desde el límites, parar una máquina rotativa cumpliendo con sus normas de prue-
compatibilidad electro- punto de vista de la seguridad, se ha si se abre su puerta de protección, la ba de CEM pertinentes durante toda
magnética. Director de llegado al punto en que la aproxima- detención de un brazo de un robot su vida útil en sus entornos reales
CEMDAL ción normal para la obtención de la si una persona se acerca a su trayec- (no sólo cuando son nuevos o en un
conformidad con la compatibilidad toria programada, el cambio a un laboratorio de CEM). Así, un nuevo
electromagnética (CEM), solo en base sistema alternativo cuando el sistema enfoque fue aceptado ampliamente.
a la realización de los ensayos de CEM de control principal de vuelo de una Este nuevo enfoque tiene tres partes,
normales, es totalmente inadecuada aeronave falla, etc que se muestran en la figura 2.
cuando se trata de la seguridad fun- En los años 90, como respuesta a Las buenas prácticas de ingeniería
cional en máquinas complejas, como un gran incremento en el número de de CEM ayudan a obtener la confor-
en los automóviles o en los aviones, accidentes industriales, la lnstrument midad con las directivas de CEM y de
por ejemplo. La consecuencia inevi- Society of América (ISA) promulgó la seguridad así como a la reducción de
table de todas estas tendencias es norma ISA S84.01 para determinar en los riesgos de seguridad siguiendo
que no tener en cuenta la CEM en el EEUU la clasificación de sistemas de la norma IEC 61508. Todo ello tiene
análisis de la seguridad funcional de instrumentos seguros introduciendo como resultado global no tener que
las máquinas o sistemas complejos, el concepto de nivel de integridad comprometer la seguridad funcional
puede generar riesgos de seguridad de seguridad, SIL (Safety Integrity por culpa de las EMI durante todo el
no controlados para el usuario. Ade- Level). Luego la lEC publicó la norma ciclo de vida del equipo.
más los fabricantes pueden tener de seguridad funcional lEC 61508 Esto se aplica a las medidas de se-
riesgos económicos no controlados. (Seguridad funcional de los sistemas guridad en las industrias petrolíferas,
Ver la figura 1. eléctricos/electrónicos programables de gas y empresas productoras de
La seguridad funcional en sistemas relacionados con la seguridad). Des- equipos electrónicos incorporados a
electrónicos previene la probabilidad de el año 2000, la norma IEC 61508 trenes, aviones, barcos o automóviles,
de daños físicos, o riesgos en la salud ha recomendado varias decenas de etc. La fiabilidad analiza el riesgo de
de las personas, como resultado de pruebas y medidas para los sistemas, fallo en los componentes electrónicos
fallos en la funcionalidad de los dis- hardware y software, para la detec- de un sistema complejo y como con-
positivos electrónicos. La seguridad ción y/o recuperación de errores, mal secuencia, el sistema deje de realizar
funcional es una parte de las medidas funcionamiento o fallas en señales y la funcionalidad prevista. Este fallo
de segundad que se implementan fuentes de alimentación. Las prue- puede ser debido a la CEM, a la de-
gradación de los componentes, a un
fallo de instalación, etc. La seguridad
funcional cuantifica la posibilidad
de que estos mismos componentes,
fallen en una función considerada de
seguridad y por tanto pueda produ-
cirse un accidente. En todas las dis-
ciplinas de la ingeniería de seguridad
se considera insuficiente confiar to-
talmente en las pruebas de producto.
Sin embargo, los riesgos aceptables
de seguridad son validados usando
una variedad de métodos, sin limi-
tarse solo a las pruebas para verificar
el diseño de seguridad. Las perturba-
ciones electromagnéticas inusuales o
extremas que exceden la protección
Figura 1: Incremento de que se logra mediante el cumpli-
los riesgos en un siste- miento de las normas de inmunidad,
ma complejo debido a causarán EMI en el equipo. Esta EMI
las EMI causará errores, mal funcionamiento
Desafíos y riesgos
control de calidad de la producción, los blindajes y los filtros se degra- en aviónica y automoción.
tal como se exige en las directivas darán en unos dB a lo largo de la Para facilitar las pruebas, con bajos
de CEM. vida útil del equipo, es razonable costos y alta repetitividad, los ensayos
añadir esos dB al nivel exigido en los estándar de inmunidad usan una
Los ensayos de inmu- ensayos. Pero, ¿qué pasa si un filtro modulación de onda sinusoidal de
nidad de 60dB sufre un fallo catastrófico, 1kHz. Pero algunos fabricantes utili-
o el operador deja la puerta abierta zan la modulación de impulsos para
La mayoría de las normas de ensa- de un armario apantallado y por ello simular los efectos de los teléfonos
yos de inmunidad radiada especifican probamos el equipo con 60dB más móviles digitales y los radares en sus
usar cámaras anecoicas de pruebas en los niveles de inmunidad para productos. Algunas normas militares
porque ayudan a realizar pruebas preverlo? Por ejemplo, en lugar de usan ondas cuadradas de 1kHz. Sin
más fáciles de repetir. Su entorno EM realizar los ensayos de inmunidad embargo, los entornos EM de la vida
interno es diferente a los entornos EM con 3 V/m, ¿podemos añadir 60dB real contienen perturbaciones EM
usuales en la vida real, por lo que sus más para permitir ver los efectos de con una amplia gama de diferentes
resultados pueden diferir considera- la degradación del blindaje o del filtro tipos de modulación y frecuencias
blemente de lo que va a suceder en y hacemos la prueba con 3.000 V/m con las que la inmunidad se puede
la vida real. Algunos fabricantes y la ? ¿Y si también queremos cambiar el degradar de manera significativa (20
mayoría de los directores de labora- ajuste del nivel de ensayo aumentán- dB o más) cuando la modulación
torios de ensayos de CEM suponen dolo por cuatro desviaciones estándar de la EMI se corresponde con las
que aumentar los niveles de ensayo para alcanzar el 99,99% de confianza frecuencias o las formas de onda
más allá de lo que va a ocurrir en la (figura 7) de que hemos probado utilizadas en los procesos internos del
vida real del producto proporciona igual o por encima del nivel especi- equipo o resuenan internamente con
un “margen de seguridad” suficiente ficado?, ¿No deberíamos entonces sus circuitos, cables, transductores o
(cuidado con este término en este probar a 10.000 V/m ? Estos niveles cargas.
contexto). Por supuesto, incremen- de radiación son difíciles y caros de Un elemento del equipo someti-
tando los niveles de exigencia se me- conseguir debido a la gran potencia do a un campo EM radiado recoge
jora la confianza en que estos niveles de RF necesaria. No es muy fácil eco- tensiones de RF en todos sus cables,
aplicados en el ensayo son realmente nómicamente llegar a estos valores. con diferencias de fase entre ellos
iguales o superiores a los niveles de También se debe considerar la debido a sus diferentes rutas, capa-
prueba especificados para el entor- incertidumbre de medición en las cidades parásitas, etc, Normalmente,
no EM real, como se muestra en la cámaras de ensayo. Usando cámaras en los ensayos de inmunidad, sólo se
figura 7. de reverberación se pueden realizar aplican tensiones de RF en un cable
Además, si se supone que las me- pruebas más realistas, y por ello se a la vez. Inyectado energía de RF en
didas de mitigación EM, tales como utilizan para ensayar equipos críticos todos los conductores de un equipo
A nivel mecánico, por ejemplo, las la conformidad se logra mediante un de producción de cada unidad fa-
fuerzas estáticas (flexión, torsión), buen diseño EM, o por alguna otra bricada, para asegurarse de que los
golpes, vibraciones, etc. A nivel cli- razón que no se puede controlar de errores de montaje no la han hecho
mático cabe tener en cuenta como manera adecuada durante la fabrica- más insegura. Pero los ensayos están-
afecta la temperatura, la humedad, la ción en serie a lo largo toda la vida dar de CEM no incluyen los requisitos
presión atmosférica, en sus extremos útil de la producción. Por ejemplo, que obliguen a los fabricantes a llevar
y los efectos de los ciclos de cambio. si el diseño EM de un producto no a cabo continuos controles de rutina
A nivel químico, la oxidación, la co- tiene en cuenta las tolerancias de sobre las características de CEM du-
rrosión galvánica, el polvo conductor, los componentes, los cambios de rante la fabricación en serie. No es
la condensación, las gotas, el aerosol, tecnología en los circuitos integrados raro que los elementos de los equipos
la inmersión, la formación de hielo, (CI), las variaciones en el montaje que funcionan correctamente fallen
etc. A nivel biológico, el crecimiento (por ejemplo, el posicionado de los en las pruebas de CEM debido a un
de moho, la destrucción causada mazos de cables, puesta a tierra, etc), mal montaje. Aunque la mayoría de
por roedores, etc. A nivel operativo, la sustitución de componentes obso- los fabricantes emplean rigurosas
el desgaste en el curso de la vida letos, las correcciones de errores de pruebas de fin de línea, incluyendo
del producto como, la fricción, el firmware, etc, entonces las previsibles pruebas en el propio circuito que
rozamiento, la limpieza repetitiva, variaciones en la fabricación en serie pueden descubrir montajes incorrec-
la acumulación de grasa, etc. Y por podrían degradar sus características tos que afectan a la funcionalidad,
último el envejecimiento. EM y agravar los riesgos de segu- casi nunca tienen el objetivo de des-
Los efectos previsibles varían desde ridad. El hecho de que uno o dos cubrir montajes incorrectos que pue-
los efectos inmediatos (por ejemplo, prototipos de un producto pasen sus den afectar a las características de
al abrir la puerta de un armario apan- pruebas de CEM no significa nada en CEM, que luego pueden afectar a los
tallado) a los efectos a largo plazo absoluto para las características EM riesgos de seguridad.
(por ejemplo, la corrosión de una del resto de la producción suminis- Conforme a las Directivas de la UE
articulación de un blindaje o la unión trada, a menos que en su diseño se y otros países, la empresa que coloca
eléctrica a tierra de un filtro). Se pue- haya considerado las cuestiones de el equipo terminado en el mercado,
de llegar a tener una degradación de variabilidad explicadas anteriormente. es la responsable de la totalidad de
20dB en la atenuación de un filtro Por supuesto, se trata de un tema su seguridad y de su CEM. En caso de
causada por una combinación de la general para cualquier integrador de incumplimiento, la empresa no puede
temperatura ambiente, la tensión de sistemas, incluso si se comprueba que esperar que los investigadores oficia-
alimentación y la corriente de carga, los ensayos de CEM se realizaron co- les sigan la cadena de suministro y
todo ello dentro de las especificacio- rrectamente y que realmente fueron evitar ser procesada. Se supone que
nes del filtro, en comparación con aprobados, en las unidades que se los integradores de sistemas son pro-
los resultados de la pruebas normales tiene previsto comprar y montar en fesionales, y como resultado son ple-
de inmunidad. Algunos fabricantes un sistema crítico. ¿Cómo se pue- namente conscientes de cuestiones
realizan “Pruebas de vida altamen- de estar seguro de que las unidades como las que se acaban de exponer.
te acelerada” (conocido como HALT suministradas pasarían las mismas
(“Highly-Accelerated Life Testing”) pruebas ? Los efectos sistemá-
para comprobar que la funcionali- ticos
dad se mantiene a lo largo del ciclo Los errores de montaje
de vida esperado. Pero las unidades La suposición general es que si
“pre-envejecidas” resultantes no se Una buena técnica de seguridad todos los productos incorporados
prueban de nuevo para ver si sus ca- siempre requiere algunas pruebas en un sistema complejo, como una
racterísticas EM se han degradado de- básicas en el control final de la línea máquina, han pasado bien sus prue-
masiado. En algunos equipos críticos,
también después de la simulación de Figura 8: Ejemplo de
la exposición a su vida útil física y cli- demodulación e inter-
mática, sería bueno ejecutar de nuevo modulación (IM)
las pruebas de CEM para comprobar
que el equipo sigue cumpliendo las
especificaciones.
bas de inmunidad y de emisiones ciarse, mientras que el sistema que nunca pueden ser suficientes (por sí
individualmente, a continuación, los estaba controlando se volverá loco solas) para demostrar que los riesgos
sistemas integrados usando estos y quizá hará estragos a su alrededor, funcionales de seguridad son lo bas-
productos serán también conformes afectando incluso a algún operario a tante bajos o que la reducción del
a la directiva de CEM. Este es el con- su alcance. El máximo nivel de prueba riesgo será suficientemente alta a lo
cepto CE + CE = CE que trata de una no es necesariamente el peor caso. largo del ciclo de vida de un equipo,
práctica común, pero incorrecta, en Los dispositivos electrónicos son to- teniendo en mente sus entornos físi-
el sector de la gran maquinaria y las dos no-lineales y los circuitos y su cos y climáticos (incluyendo desgaste
ingenierías integradoras de grandes firmware pueden ser muy complejos, y envejecimiento). El número de varia-
sistemas complejos. Se basa en la por lo que los productos a veces pue- bles es demasiado grande. Los planes
idea de que si se compra un número den fallar cuando se prueban con las de prueba se deben elaborar para que
de componentes o aparatos desti- perturbaciones EM de bajo nivel, de proporcionen la necesaria confianza
nados a un sistema, todos ellos con una manera diferente, o incluso pasar de diseño. Para combinar la CEM y
el marcado CE, el sistema completo correctamente cuando se prueban la seguridad funcional se requiere
formado por estos componentes no con los niveles máximos especifica- seguir el enfoque que se ha adoptado
necesita ningún trabajo adicional dos. Sin embargo, muchas pruebas en todos los demás aspectos de la
para poder tener el marcado CE. Así de inmunidad EM exponen al equipo ingeniería de seguridad, incluyendo
se podría declarar compatible con al más alto nivel especificado, para el software: aplicar una buena inge-
todas las directivas pertinentes de ahorrar tiempo de prueba y costos. niería con técnicas probadas como
seguridad, baja tensión y compati- Los niveles de perturbación inferiores la gestión de riesgos, utilizando una
bilidad electromagnética y podría suelen ser mucho más probables en amplia gama de métodos de verifica-
automáticamente aplicar el marca- la vida real, por lo que podrían ser ción y validación. La verificación y va-
do CE a la máquina completa. Pero, mucho más significativos para la se- lidación implica realizar pruebas CEM,
lo más seguro es que si se realizan guridad funcional. pero deberán ser cuidadosamente
las pruebas de CEM, no sea así y la adaptadas a cada proyecto, para pro-
máquina completa no cumpla y no Conclusiones porcionar la confianza suficiente en el
pueda aplicarse correctamente el diseño de la seguridad y durante la
marcado CE. El concepto CE+CE=CE Alcanzar la confianza suficiente producción. Tener en cuenta la CEM
está completamente equivocado y en la utilización de la seguridad fun- en la seguridad funcional significa
legalmente no es aceptado. Degra- cional usando sólo pruebas de CEM, que tenemos que aplicar los métodos
daciones de rendimiento EM que son requeriría afrontar demasiados pun- de la Gestión de Riesgos, como los de
perfectamente aceptables cuando tos de análisis, como hemos visto, la IEC 61508, también para la CEM.
un elemento del equipo ha pasado requiriendo un plan de pruebas que Este es exactamente el enfoque de la
las pruebas de CEM, o no son medi- nadie podría permitirse, en coste o IEC 61000-1-2.
das durante la prueba, podrían tener en tiempo. Por ello tenemos que ser Conviene trabajar en equipo un
implicaciones importantes para la más eficientes para alcanzar la segu- experto en seguridad con un experto
seguridad funcional de los sistemas ridad funcional con tiempos y gastos en CEM para realizar un buen diseño
que los utilizan. más razonables. Las pruebas de CEM para la seguridad funcional.
Así, es claro que CE + CE & CE y
es necesario asegurar la conformidad
de CEM y de seguridad en el sistema REFERENCIAS
completo. Un buen ejemplo es una
unidad de fuente de alimentación • Joan Pere López Varaguas, “Compatibilidad Electromagnétcia y Seguridad Funcional en
de 3,3V utilizada para alimentar una Sistemas Electrónicos”, Marcombo, 2010
unidad de control usando un mi- • Alfons de Victoria, “Aspectes tècnics de seguretat de màquines”, Curs de Formació Con-
croprocesador. Cuando la fuente se tínua Enginyers Industrials de Catalunya, 2014
somete a la norma IEC 61000-4-4 (rá- • Francesc Daura, Marcado CE + marcado CE & marcado CE: concepto aplicado a máquinas,
faga transitoria rápida) la salida de la sistemas complejos o instalaciones fijas, Revista Española de Electrónica, Noviembre 2013
fuente de alimentación será inestable, • The IET, The Institution of Engineering and Technology: “Electromagnetic Compatibility
es decir, tenderá cero voltios durante for Functional Safety”, 2008 “Overview of techniques and measures related to EMC and
unos pocos cientos de milisegundos Functional Safety”, 2013. http://www.theiet.org/factfiles/emc/index.cfm
y luego se recuperará automática- • Keith Armstrong, “Cost-effective Risk Management of CEM without special CEM design
mente. Así, la fuente cumple con el expertise or testing”, IEEE 2013 CEM Symposium
Criterio de Desempeño B, que es todo • Keith Armstrong, “Why increasing immunity test levels is not sufficient for high-reliability
lo que se requiere. Cuando la unidad and critical equipment”, August 2009, IEEE
de control se prueba según la IEC • Keith Armstrong, “Why EMC immunity Testing is inadequate for Functional Safety”,
61000-4-4, nada sale mal. Pero, al 2004 IEEE
poner las dos unidades juntas para • ernd Jaekel, Current status of standardization related to electromagnetic compatibility
controlar un robot y aplicar el mis- and functional safety, Siemens AG, Sector Industry, 2012
mo criterio al sistema completo, la • Normas: IEC 61508, IEC TS 61000-1-2, IEC 62061, IEC 62511 , ISO 13849, ISO 26262
unidad de control se bloqueará y le
tomará decenas de segundos reini-