Es imposible diseñar un circuito que sea 100 % invulnerable, pero hay muchas cosas que se pueden hacer para disminuir de manera drástica la probabilidad de que falle el sistema y, en consecuencia, cualquier daño potencial a la máquina o al usuario.
Los métodos comunes de protección comprenden ferrita para la reducción de transferencia electromagnética (EMI), diodos de supresión de descargas electroestáticas (ESD), supresores transitorios, procesos de bloqueo para cargas de alta potencia y, por supuesto, fusibles para limitar la corriente tras una condición de falla. La seguridad puede aumentar la importancia de estos tipos de protección en gran medida, así como requerir de otras salvaguardas. Este artículo indagará en una variedad de prácticas comunes de protección y seguridad para el diseño electrónico y lo que impulsa sus requisitos. Resulta que la protección no solo puede ayudar a mejorar la fiabilidad y seguridad generales de un producto, sino que, en realidad, podría ser necesaria para la certificación y distribución de productos en función de la aplicación.
Encontrar el equilibrio correcto
Comencemos con una pregunta muy básica: ¿cómo se encuentra el equilibrio entre los circuitos de protección y la rentabilidad? Para un producto que no requiere un tipo específico de seguridad, ¿cómo sabe el diseñador cuándo debe agregar capas de protección? La respuesta puede ser complicada, pero, en general, debe estar impulsada por la culminación de los requisitos del usuario del producto y del diseño, y por el mejor criterio del diseñador y el equipo asociado.
Por lo general, se busca el equilibrio entre el costo y el beneficio a la hora de incorporar protección en un circuito, y esto se puede lograr mediante el cálculo del riesgo relativo. Los fusibles pueden ser costosos, pero, en general, son la primera línea de defensa con respecto a sobretensiones que pueden surgir de variables ambientales o componentes de carga. El beneficio es la protección de toda la bajada desde el fusible, la que, por supuesto, puede ser muy importante. Pero ¿qué sucede con otras formas más pequeñas de protección? ¿Qué ocurre con la ferrita? Es común incorporar ferrita pequeña en señales sensibles que viajan externamente para ayudar a mitigar la EMI y el ruido de alta frecuencia, o para usar en entradas a reguladores o componentes de procesamiento para ayudar a limpiar el riel de tensión. Es posible que valga la pena el costo adicional de la política de “seguro” que ofrecen si el riesgo es lo suficientemente alto. En este sentido, el riesgo se puede considerar como una combinación de gravedad de una falla y la probabilidad de que ocurra.
Cómo y cuándo abordar la seguridad
Todo se vuelve más claro cuando se considera la seguridad. Por lo general, disminuye la prioridad el costo cuando la fiabilidad y la redundancia se convierten en los objetivos principales (y, probablemente, serán necesarias durante el proceso de certificación y análisis del producto). Para productos que, en determinados modos de falla, pueden infligir algún tipo de daño a las personas (ya sea de forma directa o indirecta), se debe llevar a cabo una evaluación de riesgos para cubrir la mayor cantidad de situaciones posible.
Por ejemplo, en el sector de la atención médica, esto es una exigencia para los dispositivos médicos y se vuelve más detallada: se incluye una tabla (como se muestra en la figura 1) que comprende cada peligro razonable, una descripción de su evento o situación, el daño que puede infligir y su clasificación de probabilidad o gravedad. Una persona designada (o grupo) evalúa cada peligro; este se “controla” mediante la introducción de requisitos de diseño adicionales que tienen la finalidad de abordar cada peligro (considerado inaceptable) y se vuelve a clasificar y aceptar. A pesar de que el diálogo puede ser un poco diferente para otras aplicaciones (como la industria aeroespacial), el principio central es el mismo en muchas industrias. Clasificar cada riesgo en cuanto a su gravedad y probabilidad para, luego, controlarlo con un plan de acción es la clave para identificar áreas en el diseño electrónico (o de cualquier tipo) en donde la seguridad y la protección son necesarias.
Figura 1: matriz de trazabilidad de peligros para la gestión de riesgos de un dispositivo médico
Pero ¿de qué manera se cuantifican y clasifican estas probabilidades y gravedades? Por lo general, esto se logra mediante una tabla muy detallada que explica las diferencias entre cada valor numérico específico a la aplicación. La figura 2 demuestra algunos ejemplos de definiciones de frecuencia y gravedad a modo de pautas para cuando un equipo clasifica un peligro o evento. El rango o valor de clasificación variará en función de la aplicación y la resolución necesarias.
Figura 2: tablas de definición de clasificación de gravedad (arriba) y definición de clasificación de probabilidad (abajo)
Finalmente, por lo general, hay una tabla que combina las dos y puede tener una codificación por color (como se muestra en la figura 3) para visualizar con facilidad si es necesario abordar un peligro con especificaciones y cambios de diseño. Por lo general, medio (amarillo) y alto (rojo) requieren algún tipo de acción. Por consiguiente, se origina un requisito de circuito de seguridad.
Figura 3: tabla de cálculo de la matriz de riesgos
Todo lo descrito hasta el momento es frecuente en aquellas industrias que tienen productos o sistemas con características operativas críticas; sin embargo, es posible que no sean necesarias para cada aplicación. Muchas veces, basta con usar el mejor criterio en función del caso de uso y potencial de daño.
La mayoría de los productos eléctricos tendrá que recibir algún tipo de certificación de cumplimiento antes de que la tecnología se pueda producir, distribuir y vender. Ese proceso de certificación no solo incluirá cumplimiento eléctrico, sino también cumplimiento en cuanto a seguridad. Es un área poco definida, y, a veces, no siempre queda claro qué se necesita para que se apruebe el cumplimiento de seguridad de un producto. Por lo general, las agencias reguladoras ofrecerán algo de apoyo a lo largo del proceso, y siempre es mejor incluirlas durante la etapa de diseño.
Ejemplos del mundo real
El siguiente es un ejemplo de una aplicación que usa luz láser con el propósito de crear de imágenes. La luz láser puede ser muy dañina para el ojo humano; hasta la luz parásita (que se refleja en otra superficie) puede ser suficiente para causar daño o, incluso, ceguera. Aunque el uso de gafas especiales puede ser útil, por lo general, se requiere la incorporación de algún tipo de protección electrónica a la máquina para evitar el uso indebido y la luz parásita no intencional. Las puertas de bloqueo y los paneles removibles con circuitos directamente conectados a la energía láser (o un bloqueo o relé que maneje dicha energía) suelen ser la mejor opción, pero incluso estas medidas requerirán redundancia. Formalmente, se conoce como “seguridad contra fallas”. Si el circuito de seguridad falla (es decir, cualquiera de los conmutadores internos), debe fallar de manera segura para no dañar al usuario ni al equipo, y esto puede dar como resultado un circuito redundante y de respaldo.
La figura 4 demuestra un diagrama de bloqueo que incluye una señal (con suficiente potencia para una bobina en un relé) que pasa por varias puertas o cubiertas de la máquina y un seguro que agrega un paso manual para conectar y desconectar la energía láser (opcional). El circuito requiere redundancia, por lo que hay conmutadores magnéticos duales de lengüeta necesarios para cada punto de acceso, así como conmutadores duales necesarios para cada componente. Si uno de los conmutadores internos dentro de un componente falla en el “estado cerrado”, aún se considera seguro, dado que es muy probable que el otro conmutador interno (que está conectado en línea con el primer conmutador) se abra y corte la alimentación al módulo láser.
Figura 4: ejemplo de un diagrama de cables que representa un circuito de seguridad para luz láser
Otro ejemplo consta de un dispositivo médico caliente que se usa sobre la piel humana. En esta aplicación, existe la posibilidad de que el calentador queme la piel si ocurre una fuga o falla por mala calibración. Aunque no sea potencialmente mortal, igual se requieren algunas características de seguridad contra fallas o de redundancia para evitar el posible daño.
La figura 5 muestra un ejemplo de esto. Hay varios puntos de falla potenciales, incluso en este circuito de control muy simple. El sistema no solo contiene un termistor secundario para la detección de temperatura (en caso de que uno se dañe), sino que se necesitan múltiples puntos de control en caso de que se produzca una falla con un transistor de efecto de campo metal‑óxido‑semiconductor (MOSFET) cerrado o se produzca daño o mala calibración del conversor analógico‑digital (ADC) interno del procesador. En esta configuración, existe un procesador secundario muy sencillo y pequeño para el monitoreo de temperatura y el control de potencia del calentador, y opera de forma independiente al procesador principal.
Figura 5: ejemplo de un diagrama de circuitos que muestra redundancia para un elemento calefactor
La figura 6 muestra una variedad de circuitos de protección que podrían hacer más seguro y fiable un dispositivo. “A” muestra un circuito de control de un ventilador que indica cuando hay una falla, junto con un riel de alimentación con fusibles y ferrita agregada para la supresión de EMI. “B” incluye un riel de alimentación con fusibles para un servomotor, junto con un dispositivo de monitoreo de corriente para que el procesador pueda verificar el movimiento o la alimentación. “C” es un ejemplo de conector USB que se usa para carga y cuenta con protección agregada para su riel VBUS (ESD y fusible). “D” es un circuito de protección de tensión inversa simple para un conector de batería de 3.7 V.
Figura 6: una variedad de circuitos de protección
Conclusión
Siempre se deben considerar circuitos de protección y seguridad; de hecho, es posible que sean obligatorios, según la aplicación. En casos más graves, trabajar para producir peligros razonables y asignar clasificaciones numéricas es la mitad de la batalla. La otra mitad comprende un plan de acción con un conjunto de requisitos detallados, algunas buenas habilidades tradicionales y “prácticas recomendadas”. Considere, para todos los casos y aplicaciones, de qué manera una falla en el circuito puede provocar daños o perjuicios.
