Inicio Componentes La gestión conjunta de la compatibilidad electromagnética y la seguridad funcional

La gestión conjunta de la compatibilidad electromagnética y la seguridad funcional

La seguridad funcional en sistemas electrónicos, instalaciones fijas, máquinas y todo tipo de equipos electrónicos en general previene la probabilidad de tener daños físicos o riesgos en la salud de las personas, como consecuencia de fallos en la funcionalidad de los dispositivos electrónicos. La seguridad funcional es una parte de las medidas de seguridad que se implementan en los equipos, para que respondan correctamente a sus señales de control. La compatibilidad electromagnética (CEM) afecta a la seguridad funcional y por ello es necesario tenerla en cuenta en el análisis de riesgos en conjunto con el análisis de la seguridad funcional. Se puede aplicar para completar el diseño de sistemas relacionados con la seguridad, o cualquier parte de ellos, como se muestra en la figura 1 donde se presenta la visión general de un sistema de seguridad y sus partes constituyentes

Ejemplos de funciones de seguridad serían el apagado seguro de una planta de proceso si las temperaturas o presiones exceden ciertos límites; o parar una máquina rotativa si se abre la puerta de su estructura de protección; también la detención de un brazo de un robot si una persona se acerca a su trayectoria programada;  o el cambio a un sistema alternativo cuando el sistema de control principal de vuelo de una aeronave falla; el accionamiento de parada segura de un tren  cuando se activa la alarma de “hombre muerto” cuando el maquinista no pulsa el botón de “hombre muerto” cada cierto tiempo o cuando un viajero acciona una petición de alarma manual.

En el sector de la automoción se trata de evitar que al pasar cerca de antenas de transmisores de gran potencia, el vehículo esté bien inmunizado para evitar que acelere o frene bruscamente sin el control de del conductor y haya un accidente. En el sector de la náutica  se trata de evitar que las antenas de los equipos de comunicaciones a bordo (incluso los walkie-talkie) o en los puertos, o bien los radares a bordo o en tierra, afecten a los controles de navegación que puedan cambiar el rumbo sin control (piloto automático, GPS, brújula electrónica, etc) 

Las buenas prácticas de diseño óptimo de CEM ayudan a obtener la conformidad con las directivas de CEM y de seguridad, y ayudan a la reducción de los riesgos de seguridad. Todo ello tiene como resultado global no tener que comprometer la seguridad funcional por culpa de las interferencias electromagnéticas (EMI) durante todo el ciclo de vida del sistema, máquina o instalación (10 o más años).

Esto se aplica en las medidas de seguridad de las industrias petrolíferas, de gas y empresas productoras de equipos electrónicos incorporados a instalaciones fijas, maquinaria, trenes, aviones, barcos o automóviles, etc. La fiabilidad analiza el riesgo de fallo en los subsistemas electrónicos de un sistema complejo y, como consecuencia, el sistema deja de realizar su funcionalidad prevista. Este fallo puede ser debido a un problema de susceptibilidad electromagnética (EMS), o a la degradación de los componentes, o los filtros, o a un fallo de instalación, o del cableado, o a un fallo en los blindajes, etc. La seguridad funcional cuantifica la posibilidad de que estos mismos subsistemas, fallen en una función crítica considerada de seguridad y por tanto pueda producirse un accidente. 

En todas las disciplinas de la ingeniería de seguridad se considera insuficiente confiar totalmente solo en las pruebas de CEM del sistema. Por esta razón, los riesgos aceptables de seguridad son validados usando una variedad de métodos, sin limitarse solo a las pruebas de CEM para verificar el diseño de seguridad. Las perturbaciones electromagnéticas (EMI) inusuales o extremas que exceden el nivel de protección que se logra mediante el cumplimiento de las normas de inmunidad, pueden causar los efectos de las EMI en el equipo o sistema. Estas EMI causarán errores, mal funcionamiento o fallos en las señales de los equipos. 

Para evitar confusiones derivadas del sin número de términos utilizados en el sector de la electrónica (por ejemplo: dispositivo, aparato, componente, sistema, equipo, sistema de seguridad, instalación,…) se ha acuñado una nueva sigla: EFS , definida como: “Cualquier Entidad que emplea las tecnologías eléctricas y / o electrónicas que provee una o más Funciones que tienen un impacto directo en la Seguridad”. La intención de esta sigla es la de cubrir toda la gama de posibilidades de diseño, realización y fabricación de un equipo, producto, aparato, máquina o sistema. 

Se propone una metodología de control de 10 pasos básicos de verificación para ayudar a la gestión de los proyectos, el diseño y la evaluación de la conformidad con la CEM y la seguridad funcional. Para varios sistemas no suficientemente complejos y no críticos, esta metodología puede ser, tal vez, demasiado complicada y exhaustiva. Queda en manos del experto de CEM, junto con el experto de seguridad funcional, ajustar esta metodología al nivel adecuado para asegurar la seguridad funcional del sistema, sin complicar excesivamente el proceso de análisis. En la práctica, esta metodología de control consiste en 9 pasos porque el paso 0 inicial sólo es la preparación a nivel organizativo de los siguientes 9 pasos de verificación. Las figuras 2 y 3 presentan en conjunto el cuadro general de los 9 pasos de esta metodología.

 

Paso 0: Gestión, planificación y verificación del proceso de seguridad electromagnética

 

Una buena gestión de la seguridad funcional junto a la compatibilidad electromagnética requiere que la empresa que tiene la responsabilidad de cualquiera de las actividades en el ámbito del proceso de análisis, designe a una o más personas para asumir la responsabilidad general de la gestión y verificación de todas las actividades pertinentes siguientes en las EFS, la coordinación de todas las actividades relacionadas con la CEM y la seguridad. Se deben preparar todos los requisitos y especificaciones de este paso 0, asegurarse de que la CEM es suficiente y demostrar la conformidad con los objetivos y los requisitos de las Directivas europeas de seguridad y de CEM. La responsabilidad de las actividades específicas de la CEM y de la seguridad funcional se puede delegar a consultores externos, con los conocimientos especializados pertinentes. Sin embargo, la responsabilidad de la coordinación y, en general, de la CEM para la seguridad funcional, debe residir en un pequeño número de personas de la propia empresa, con suficiente autoridad de gestión. Al igual que en todas las empresas de ingeniería de seguridad, el tiempo, el esfuerzo y las habilidades necesarias para la realización y la gestión de una actividad depende del nivel de riesgo de seguridad que se considera aceptable en las EFS del sistema a verificar. Cuando  los niveles de riesgo requeridos son muy bajos  se requiere un mayor nivel de confianza en el diseño y en su verificación. Por tanto, se necesita más trabajo y la generación de una documentación más profunda y detallada. El resultado final es un documento técnico de construcción del sistema más extenso, donde la justificación de todos los aspectos relacionados con los puntos críticos de seguridad debe estar muy detallada, considerando también las implicaciones de la CEM en la seguridad.

 

Paso 1: Determinar el entorno EM y físico a nivel inter-sistema

 

Se acepta que una EFS puede necesitar mantener ciertos niveles mínimos de inmunidad electromagnética (EM) pese a que se acepte tener algún fallo, como por ejemplo el desgaste de un dispositivo de protección contra sobretensiones debido a todas las sobretensiones a las que está expuesto a lo largo de su tiempo de funcionamiento. Otro ejemplo es la rotura de una conexión a tierra de un filtro que podría ser causada por un fallo de montaje, o por choque,  vibración o corrosión durante el ciclo de vida, o por un daño intencional. 

Los diseñadores de EFS necesitan conocer el entorno donde deberá trabajar su equipo o sistema (ambiente electromagnético (EM), ambiente físico, clima, desgaste, envejecimiento, etc. durante todo el ciclo de vida esperado) y los fallos previsibles y mal uso, para seleccionar apropiadamente los componentes y diseñar los circuitos, el software, el filtrado, los blindajes, la protección contra las sobretensiones, etc. 

Por ejemplo, si el sistema tiene cables que salen al exterior del edificio, quedan expuestos a los rayos y deberán tener mayores protecciones contra las sobretensiones. Los diseñadores necesitan esta  información para ser capaces de lograr la fiabilidad requerida para las funciones operativas críticas que podrían tener un impacto en la seguridad en todo su ciclo de vida. Los ingenieros necesitan suficiente información para poder diseñar:

• Las EFS y las técnicas de mitigación de CEM para hacer frente a la previsible gama de interferencias electromagnéticas (EMI) a las que estarán sometidas durante todo su ciclo de vida esperado, incluyendo los eventos que sea improbable que sucedan (el valor suficientemente bajo depende de los requisitos de seguridad de la EFS) y las EMI simultáneas.

• Las EFS considerando los efectos de las interferencias  electromagnéticas (EMI) generadas por otras EFS.

• Los circuitos de realimentación (“feedback”) para que no se conviertan en inestables (posibles oscilaciones) debido a las variaciones de temperatura que afectan a los parámetros de los componentes (por ejemplo, el producto de ganancia por el ancho de banda, el margen de fase, etc.)

• Los filtros para que las vibraciones y la corrosión no degraden sus uniones eléctricas a tierra. Y que las variaciones en la tensión de alimentación, la corriente de carga y la temperatura no degraden demasiado su atenuación.

• Las juntas y las uniones en los blindajes, de forma que puedan seguir funcionando correctamente según los requerimientos y soporten el desgaste, la corrosión, el crecimiento de moho u otras influencias durante su ciclo de vida.

• La protección contra sobretensiones que tendrá que soportar las sobretensiones y sobrecorrientes previsibles durante el ciclo de vida de las EFS, o al menos para el período de tiempo entre las actividades de mantenimiento del sistema. 

• Las EFS y sus técnicas de mitigación de CEM, de modo que sus características físicas y electromagnéticas no se degraden inaceptablemente debido a la actividad durante su ciclo de vida. Por ejemplo: mantenimiento, reparaciones, reacondicionamientos, modificaciones, actualizaciones, desmantelamiento, etc.

También se necesita toda esta información para crear un buen plan de pruebas para la CEM y las pruebas HALT (“Highly-Accelerated Life Testing”) (“Pruebas de vida altamente acelerada”), para comprobar que la funcionalidad se mantendrá a lo largo del ciclo de vida esperado. Con ello se verificará y validará el diseño del equipo o sistema.  También se comprobará el plan de pruebas de CEM y de evaluación del estrés físico requeridas en la fabricación en serie. Los ambientes o entornos físicos y electromagnéticos (EM) que existen sin la EFS son llamados ambientes inter-sistema y son el objeto de este paso 1, en este proceso de análisis de CEM para la seguridad funcional. Cuando la distribución estadística de una “amenaza” EM, física o climática no se conoce, se debe determinar con suficiente exactitud el peor valor razonablemente previsible de los casos que podrían producirse durante el ciclo de vida y el diseño se debe basar en ese peor valor. La figura 4 muestra algunas de las amenazas  electromagnéticas que deben tenerse en cuenta en el diseño de las EFS al evaluar un ambiente EM inter-sistema. 

Como guía, para la evaluación del entorno EM, la figura 5 muestra una tabla indicativa de los valores de intensidad de campo y las distancias a los diversos equipos transmisores de RF más típicos. Las distancias indicadas asumen la radiación en el espacio libre ( por ejemplo, una antena omnidireccional) y la relación  E = (( 30P ) / d )½  (V/m) entre la potencia radiada efectiva (P) y la intensidad de campo (E),  a una distanciade d metros de la antena de transmisión. Esta es una estimación aproximada, pero al menos indica el orden de magnitud del campo EM. La mayoría de las antenas reales son algo directivas y en algunas direcciones tienen más intensidad de campo que en otras. Las EMI radiadas reales pueden duplicarse debido a los reflejos en estructuras metálicas y el propio aparato. ¡Cuidado!, en las frecuencias en las que puedan existir resonancias (ondas estacionarias) dentro de las estructuras metálicas, las intensidades de campo eléctrico o magnético pueden ser amplificadas por 10 o 100 veces ( 20 o 40dB ) o más.

La atenuación de una pared doble de ladrillo puede suponerse que es de 10 dB en promedio, pero puede ser 0 dB en algunas frecuencias impredecibles, que pueden variar dependiendo del clima. La atenuación de un edificio con estructura de acero típica puede ser mucho mayor por debajo de aproximadamente los 10 MHz, dependiendo de la posición dentro del edificio y del tamaño de las aberturas creadas por la estructura de acero.

 

Paso 2: Determinar el entorno EM y físico a nivel intra-sistema

 

Cada elemento del sistema eléctrico o electrónico crea sus propias perturbaciones electromagnéticas, por lo que tiene un efecto en sus entornos EM locales. Cuando una EFS se compone de varios elementos del equipo, las emisiones de uno o más elementos podrían interferir con una o más partes del mismo equipo. Esto se conoce como interferencias intra-sistema y es el objeto de este paso 2. Aquí también, cuando la distribución estadística de una “amenaza” EM, física o climática no se conoce, se debe determinar con suficiente exactitud el peor valor razonablemente previsible de los casos que podrían producirse durante el ciclo de vida; el diseño se debe basar en ese peor valor.

La combinación de los peores casos de los entornos inter-sistemas y de los intra-sistemas debería ser tenida en cuenta en las especificaciones ambientales como resultado de los pasos 1 y 2 para el resto de la CEM en el proceso de evaluación de la seguridad funcional. Por ejemplo, se considera que uno de los entornos intra-sistema más ruidosos electromagnéticamente es un automóvil debido a la gran cantidad de motores, cables, micro controladores, buses de comunicaciones y circuitos digitales y de potencia en general. No por ello un automóvil debe ser inseguro.

 

Paso 3: Especificar los fenómenos EM y físicos en función a nivel funcional 

 

Los pasos 1 y 2 evaluaron los peores casos de los entornos EM y físicos en el ciclo de vida previsto. El resultado de estos pasos son las especificaciones para el peor de los casos del entorno EM y físico.  Se debe llevar a cabo la identificación de los peligros y su evaluación de riesgo, teniendo en cuenta las EMI y crear una especificación para la EFS para cada caso más desfavorable del fenómeno EM inter / intra-sistema,  especificando los fenómenos del entorno físico pertinentes, a lo largo del ciclo de vida esperado de la EFS.

Donde sea apropiado, el uso de normas existentes puede ayudar a redactar estas especificaciones (como por ejemplo las normas MIL-STD- 461F, IEC 61000-4 o la IEC 60721), modificándolas en caso necesario. Con esta ayuda puede ser más fácil  verificar y validar el diseño de la prueba en los pasos 7 y 8, debido a que los laboratorios de ensayos y muchos fabricantes tendrán gran parte de los instrumentos de medida y la experiencia necesaria para aplicar esos métodos de ensayo. 

Ni las normas de CEM ni las normas de seguridad pueden especificar exactamente lo que se requiere para una determinada EFS porque, para aceptar internacionalmente las normas, éstas se deben adoptar inevitablemente con un enfoque general y lograr un equilibrio entre un diseño débil de ingeniería y un diseño con ingeniería excesivamente fuerte. Se debe llegar a un compromiso técnico / económico. Los ingenieros competentes en CEM y seguridad deberían, por tanto, evaluar cuidadosamente cada EFS con respecto a sus situaciones operacionales, considerando el entorno donde deberá trabajar. En este paso 3, en la CEM para el proceso de la seguridad funcional, se debe crear una “especificación de CEM de seguridad” para que ayude a una determinada EFS a lograr niveles tolerables de riesgos de seguridad o reducciones de riesgo y se deberá incluir tanto las especificaciones EM como las físicas. El paso 4 y posteriores dependerán de estas especificaciones. También es parte de un proceso que ayuda a garantizar el esfuerzo correcto en las técnicas de seguridad, por lo que se llega a un buen compromiso en el nivel necesario de ingeniería. 

Cuando un diseñador de EFS subcontrata parte del diseño, la empresa subcontratada requiere tener las especificaciones necesarias que ayuden a garantizar que la EFS en general cumple con las especificaciones de CEM de seguridad (consultar el paso 6).

Se debe destacar aquí que el concepto “CE+CE=CE” es una práctica común en el sector de la gran maquinaria.  Se basa en la idea de que si se compra un número de componentes o aparatos destinados a ser integrados en un sistema o máquina, todos ellos marcados CE, el sistema completo formado por estos componentes no necesita ningún trabajo adicional para poder tener el marcado CE en el conjunto completo. Así se podría declarar compatible con todas las directivas pertinentes de seguridad, baja tensión y compatibilidad electromagnética (CEM). Pero lo más seguro es que, si se realizan las pruebas de CEM, no sea así y la máquina completa no cumpla y no pueda marcarse CE. La práctica CE+CE=CE es totalmente incorrecta en todos los sentidos y no se acepta legalmente. 

 

Paso 4: Estudio y diseño de la EFS

 

Es importante asegurarse de que las EFS no van a ser inseguras como resultado de su entorno EM (incluyendo las EMI creadas por ellas mismas). También es importante asegurarse de que las  emisiones EM de una nueva EFS (o parte de ella) no aumentan los riesgos de seguridad al interferir con EFS existentes. 

Por consiguiente, es responsabilidad del diseñador de  las EFS (que puede ser un equipo de personas) aplicar las medidas EM  y físicas apropiadas en todo el ciclo de vida de las EFS. En el caso de que el diseñador no tenga la autoridad necesaria para aplicar una determinada medida (por ejemplo, la reparación de una EFS después de haberla vendido a otra empresa), el diseñador debe proporcionar las instrucciones adecuadas y claras sobre lo que se debe hacer y  quién lo debe hacer, con claras advertencias sobre las posibles consecuencias para los riesgos de seguridad (o  reducción de los riesgos) en el caso de no seguirlas.

En la mayoría de los casos, de los productos eléctricos, electrónicos o programables y otros dispositivos, producidos en serie y de las interconexiones que se utilizan a menudo para montar una EFS no se puede esperar tener las emisiones electromagnéticas y las características de inmunidad adecuadas para todos los posibles entornos EM en los que una EFS  puede operar. Por lo tanto, es importante reconocer que las medidas de mitigación EM y físicas, aplicadas a nivel de equipo, sistema o instalación, son la forma más eficaz para lograr las necesarias características para obtener el nivel de riesgo de seguridad requerido. 

Uno de los objetivos de este paso 4 es proporcionar una visión general de algunas de las medidas y técnicas disponibles para el logro de la seguridad funcional con respecto a las EMI. En este artículo no se puede especificar como diseñar una EFS, ya que cada EFS y su aplicación y entorno EM y físico es bastante diferente. En su lugar, se debe analizar los principales problemas de diseño y algunas técnicas mediante las cuales se puede solucionar los problemas. 

La guía de IET (ref. 2) no da una lista de técnicas exhaustiva. Sólo aporta una lista de algunas de las técnicas que se sabe son útiles por experiencia y no hay ninguna obligación de utilizarlas en su totalidad o parcialmente. Algunas de estas técnicas podrían no ser adecuadas para algunos tipos de EFS. Es responsabilidad del diseñador de la EFS asegurase de que los niveles de riesgo de seguridad deseados se mantienen durante todo el ciclo de vida esperado.

La realización de la evaluación de riesgos para la CEM y para la seguridad funcional generalmente requiere el uso de al menos un método inductivo de abajo a arriba, como el AMFE (Análisis Modal de Fallos y sus Efectos), o el análisis del árbol de eventos (ETA: “Event tree analysis”), etc., además de, por lo menos, un método deductivo “de arriba abajo “, tal como el análisis del árbol de fallos (FTA: Fault Tree Analisys). 

El análisis AMFE es un procedimiento de análisis de fallos potenciales en un sistema de clasificación determinado por la gravedad o por el efecto de los fallos en el sistema. El término análisis de efectos hace referencia al estudio de las consecuencias de esos fallos. 

Un árbol de eventos es un diagrama analítico inductivo en el que un evento es analizado usando una lógica booleana para examinar una serie cronológica de eventos subsecuentes o sus consecuencias. Por ejemplo, el análisis del árbol de eventos es un componente principal de la ingeniería nuclear de seguridad de los reactores nucleares. Por contra, el Análisis de Árbol de Fallos (FTA) evalúa el riesgo siguiendo hacia atrás en el tiempo o en una cadena de eventos. El análisis toma como  premisa un peligro identificado. 

También se requiere un proceso de  “tormenta de ideas” (“brainstorming”), implicando a una amplia variedad de participantes de diferentes especialidades (no sólo diseñadores de electrónica), además de análisis de tareas, análisis de fiabilidad humana y otros métodos en caso necesario. Pero los métodos de evaluación de riesgos normales, estandarizados, nunca fueron diseñados para cubrir las cuestiones de las EMI, por lo que es necesario adaptar la acción a tomar en cuenta, por ejemplo:

• “Latch-up” (destrucción interna de algunas o todas las patillas de circuitos integrados a nivel bajo al mismo tiempo por un mal funcionamiento interno). 

• Perturbaciones  “de modo común” (que afectan a dos o más puertos de subconjuntos o nodos del circuito simultáneamente). 

• EMI y contactos intermitentes, que pueden crear ruidos que pueden dar error con señales válidas. 

• Múltiples fallos simultáneos (a menos que se demuestre que su probabilidad sea lo suficientemente baja a lo largo del ciclo de vida previsto, para tratarlos de uno en uno). 

Nada puede ser perfectamente seguro y el análisis de la CEM para la seguridad funcional no es una excepción. Se trata de gastar dinero y tiempo con sabiduría, para hacer cosas que no sean más costosas de lo necesario y logren un nivel adecuado de riesgo para la seguridad. Por ejemplo, podemos usar este método para ayudar a diseñar un producto que se utilizará con bebés o niños, donde los “riesgos tolerables” que estamos dispuestos a aceptar son realmente muy bajos. En ocasiones podemos usar este método para ayudar a diseñar un dispositivo médico que se utiliza para tratar de alargar la vida de las personas que están a punto de morir. 

En este último caso, ¿podríamos aceptar una probabilidad de morir como resultado directo de un defecto en el aparato de un 50 % en algunas situaciones?. Es difícil tomar decisiones en estos campos. Por ello es mejor tomar las decisiones en equipo (con expertos de varias especialidades).

Las medidas de mitigación EM pueden ser, pero no se limitan a: armarios /racks preparados para la CEM, blindajes, filtrado, limitadores de transitorios de sobretensión, aislamiento galvánico, cableado apantallado, etc. Las medidas de mitigación física para el diseño de equipos incluyen medidas para la reducción de los fallos debidos a los efectos de la mecánica, el clima, la química, la biología, etc. 

Estas medidas incluyen (pero no se limitan a ) las siguientes técnicas de montaje para la mitigación:  de choques y vibraciones, fijaciones a prueba de vibraciones para contactos eléctricos y otros elementos de fijación, evitar las resonancias en las estructuras físicas, recintos de protección (por ejemplo,  impermeabilización), recubrimientos, grasa (conductora o no), pintura (conductora o no), bridas y bandejas para cables, otros tipos de sistemas de retención de cables, técnicas de anti-condensación (por ejemplo, calentadores, control de humedad), recintos sellados (no es fácil), ventilación forzada, aire acondicionado, recintos a presión utilizando aire o gases (a menudo nitrógeno) con la humedad y la temperatura especificadas, mantener niveles mínimos de humedad para limitar los potenciales de descarga electrostática, etc.

Hay una serie de técnicas de diseño, para diseñar hardware y software inherentemente más inmunes a fenómenos EM y físicos. Entre ellas, por ejemplo, puede ser más fácil, menos costoso y más fiable, utilizar una serie de “niveles” de blindaje EM, en lugar de depender de un solo “nivel”, como se muestra en la figura 6. 

En ella, los “niveles” de blindaje se asemejan a las muñecas rusas, donde cada capa de protección, una vez violada, revela otra capa de protección “anidada” dentro. En cuanto a las zonas EM,  el mundo no protegido electromagnéticamente fuera del armario de bastidor es Zona EM 0 , el interior del armario para la CEM es la Zona EM 1, el interior de la unidad del chasis es la Zona EM 2. Finalmente, se debe usar una tarjeta de circuito impreso (TCI) multicapa de cómo mínimo 4 capas con una capa de masa y una de alimentación, más las dos capas de señales. Debemos destacar que una TCI de 2 capas no cumple con ningún objetivo EM necesarios en una TCI y es totalmente desaconsejable usarla en entornos industriales. La propia TCI se puede considerar en la figura 6 la Zona EM 3.

Se recomienda diseñar de modo que si un “nivel” ( límite de una zona EM ) falla por completo por alguna razón imprevista (por ejemplo, un fallo o mal uso, ya sea accidental o intencional), la EFS mantiene características físicas y EM suficientes. Por ejemplo : supongamos que un recinto requiere un mínimo de 40dB de eficacia de blindaje a 900MHz. Una sola tapa / carcasa filtrada podría alcanzar fácilmente una eficacia de 80 dB o más a 900 MHz. Este recinto podría ser un armario preparado para la CEM (con buen blindaje con juntas EM). Pero el corte de un solo agujero de 15 mm de diámetro (por ejemplo, para agregar una lámpara indicadora ) podría reducir su eficacia a solo unos 20 dB a 900MHz.

Sin embargo, si se utiliza un diseño de tres “niveles” en su lugar, con cada capa de blindaje / filtro se puede lograr unos 25 dB a 900MHz (3 x 25 = 75 dB), incluso al destruir por completo la capa más externa todavía dejaría el diseño general con una eficacia de 50dB. Un diseño de tres “niveles” de 25 dB puede costar menos que uno de una sola capa de protección de 80 dB, y además será más resistente al montaje defectuoso (por ejemplo, sin juntas de unión EM en el “nivel” de protección).

 

Paso 5: Creación de los planes de verificación y validación a nivel EM y físico

 

Las pruebas de CEM nunca son suficientes por sí solas para demostrar que los riesgos son lo suficientemente bajos o que la reducción del riesgo será suficiente durante todo el ciclo de vida de una EFS, teniendo en cuenta su entorno EM y físico, incluyendo el desgaste y el envejecimiento. 

Los planes de verificación se pueden elaborar para proporcionar el necesario nivel de confianza en el diseño, pero nadie puede pagar su alto costo o el excesivo tiempo que se necesitaría para realizar todos los ensayos necesarios, si se propusiera realizar todas las pruebas a nivel exhaustivo. Ninguna disciplina de ingeniería de seguridad, incluido el software, depende totalmente de los ensayos de un equipo o sistema terminado. De hecho, en la ingeniería de seguridad, y especialmente en la ingeniería de seguridad funcional, se reconoce que las pruebas por sí solas son insuficientes, como ya se ha dicho. 

Lo que se emplea en su lugar y debe aplicarse también en la CEM, es el buen diseño de ingeniería desde el inicio del proyecto, además de una variedad de técnicas de verificación y validación, que incluyen algunas pruebas orientadas adecuadamente. 

Diferentes diseños de EFS pueden emplear diferentes técnicas de diseño (véase el paso 4) y ser utilizadas en diferentes aplicaciones. Pero para ser efectivos en tiempo y costo debemos aceptar que no hay una metodología de diseño única adecuada para todos los tipos de EFS. Donde los diseños de EFS y sus aplicaciones difieren, puede ser necesario adaptar las técnicas de verificación y validación. Y adaptar las pruebas de CEM empleadas a aplicar. Ningún plan de verificación y validación o metodología de pruebas de CEM es adecuado para todos los diseños.

En el paso 4 de esta metodología se ha diseñado la EFS utilizando las técnicas que corresponden a su aplicación, las funciones y los requisitos EM y físicos de su especificación de seguridad de CEM y la evaluación de riesgos (del paso 3). Aquí, el paso 5 se ocupa de la planificación de la verificación y validación del diseño de la EFS, incluyendo sus pruebas de CEM, siguiendo los requisitos EM y físicos de su especificación de seguridad de CEM (del paso 3). Este paso 5 trata los problemas de las pruebas de CEM, pero eso no quiere decir que las pruebas sean el método más importante de verificación y validación de los que se deben aplicar. 

Por ejemplo, está demostrado que la revisión por parte de expertos es a menudo el método más eficaz para la detección de errores de diseño y también uno de los más rápidos y más rentables. La planificación de las técnicas de validación y verificación necesita ser realizada por personal experto y competente durante la fase de diseño (paso 4), debido a que los dos pasos son interactivos. 

Paso 6: Seleccionar de los productos estándar o a medida

 

El objetivo de este paso 6 es asegurarse de que, teniendo en cuenta el diseño EM y de seguridad de las EFS, las prestaciones EM, físicas y climáticas de cualquier componente diseñado a medida o estándar (hardware o software) incorporado en la EFS, no impide cumplir con las especificaciones de seguridad EM de la EFS (del paso 3).

Las especificaciones EM y las prestaciones físicas requeridas deben estar en los contratos de compra para los productos estándar o los productos personalizados y el simple “marcado CE” u otros certificados nunca deben ser una evidencia de las prestaciones EM de conformidad. 

Recordar que una EFS no es nunca un componente, parte, subconjunto o un producto estándar adquirido o diseñado a medida que se incorpora en otro sistema. Una EFS sólo puede ser la entidad completa acabada que, cuando al fin se instala, es la que proporciona la función que tiene un impacto directo sobre los riesgos de seguridad, o en la reducción del riesgo.

 

Paso 7: Montaje, instalación, puesta en marcha y verificación de las EFS

 

Hay una amplia variedad de actividades de montaje, instalación, puesta en marcha y verificación a considerar en este paso 7. Algunas de ellas podrían llevarse a cabo en las instalaciones del fabricante del sistema y otras en el centro operativo definitivo (incluyendo fábricas, vehículos, embarcaciones, etc.), dependiendo del tipo de EFS y la forma en que está diseñada.

Todas estas actividades se incluyen dentro de la fase del ciclo de vida llamado “realización”, donde se incluyen conceptos tales como la fabricación y la integración. Todas estas actividades deben estár especificadas en los documentos de diseño y verificación creados durante los pasos 4 y 5, con el fin de satisfacer las especificaciones creadas en el paso 3, de modo que la EFS alcanza los niveles deseados de riesgo para la seguridad en todo su ciclo de vida.

Paso 8: Validación de las EFS

 

Este es el paso en el que la EFS se valida funcionando, terminada y conforme a los requerimientos del paso 3 respecto a los riesgos de seguridad y / o las reducciones de riesgo en todo el ciclo de vida, mediante la aplicación de los planes de verificación y validación del paso 5. 

Cuando la EFS es grande, o es un sistema distribuido, las pruebas de CEM en su etapa final pueden ser poco prácticas y/o puede que no haya métodos de prueba estándar adecuados. 

Se puede utilizar una amplia variedad de actividades de validación en este paso 8 (definidos en el paso 5), en función del tipo de EFS y la forma en que está diseñada, para dar soporte a cualquier prueba que sea práctica y asequible para lograr la suficiente confianza en el nivel de riesgos de seguridad, lograda por la EFS.

 

Paso 9: Mantenimiento de las características EM y físicas durante el ciclo de vida de la EFS

 

Una EFS debe mantener ciertos niveles de riesgos de seguridad y / o reducciones de riesgo a lo largo de todo su ciclo de vida, que por supuesto incluye su operación, mantenimiento, reparación, restauración, y las modificaciones y mejoras a nivel mecánico, eléctrico, software, hardware y electrónicos. La EFS también debe mantenerse lo suficientemente segura durante su desmontaje y eliminación. La seguridad de todas las personas que puedan estar expuestas a los riesgos derivados de la EFS en cualquiera de sus fases de su ciclo de vida debe ser controlada por diseño y / o procedimientos de gestión apropiados.

Por ejemplo: cuando una EFS es el control de un robot de gran alcance, durante ciertas actividades de su ciclo de vida (que no sea su operación normal) puede ser aceptable cortar la energía eléctrica de sus motores y actuadores, de forma que si la EFS sufre interferencias (por ejemplo, debido a la puerta abierta de un armario blindado) el robot no pueda hacer ningún movimiento erróneo involuntario. Si el robot tiene que ser operado mientras una puerta de armario blindado está abierta, puede ser aceptable, para la persona a cargo del mantenimiento solicitar despejar el área de emisoras de radio o teléfonos móviles, o prohibir el acceso a cualquier miembro del personal a la zona de operaciones del robot cuando éste está operando, tomando las precauciones que no se toman durante el funcionamiento normal operativo. 

Hay diferentes tipos de personal para realizar las diversas actividades durante estas fases del ciclo de vida. Por ejemplo: un operador de máquina tendrá un conjunto de habilidades, competencias y experiencias diferentes  a las de alguien que realiza una reparación o mantenimiento o la instalación de una actualización y que generalmente (pero no siempre) está expuesto a los riesgos de seguridad durante un tiempo más corto. 

Por ésta y otras razones, los niveles de riesgo para la seguridad, que son necesarios para las EFS durante las actividades posteriores a su fabricación, podrían ser diferentes de las que son necesarias durante su funcionamiento.

Las fases de desmontaje y eliminación al final del ciclo de vida a menudo no requieren medidas de seguridad, pero el tema debe ser abordado siempre, ya que a veces es imprescindible. Por ejemplo : las centrales nucleares necesitan mucho tiempo para su desmantelamiento y disponer de ciertos tipos de EFS (por ejemplo, sistemas de refrigeración, cierres de seguridad, alarmas de radiación, etc.)que necesitan seguir funcionando y proporcionando el nivel requerido de riesgos de seguridad durante una parte o la totalidad de las fases finales de desmantelamiento.

 

Conclusiones

 

Se ha presentado una metodología de 9 pasos básicos para ayudar en la gestión de los proyectos, el diseño y la evaluación de la conformidad con la CEM y la seguridad funcional de los sistemas complejos, equipos, instalaciones fijas o máquinas. 

Para varios sistemas, tal vez no suficientemente complejos y no críticos, esta metodología puede ser demasiado compleja y exhaustiva. 

Queda en manos de los expertos de CEM junto con los expertos de seguridad funcional ajustar esta metodología al nivel más adecuado para asegurar la seguridad funcional del sistema sin complicar excesivamente el proceso.