È impossibile progettare un circuito invulnerabile al 100%, ma ci sono molte cose che è possibile fare per ridurre drasticamente le probabilità di guasto del sistema e, di conseguenza, qualsiasi potenziale danno alla macchina e/o all'utente.
I metodi di protezione comuni consistono in ferriti per la riduzione delle interferenze elettromagnetiche, diodi ESD, soppressori di transitori, processi di interblocco per carichi ad alta potenza e, naturalmente, fusibili per limitare la corrente in una condizione di guasto. La sicurezza può aumentare notevolmente l'importanza di questo tipo di protezioni, richiedendo comunque altre salvaguardie. Questo articolo approfondirà svariate pratiche di protezione e sicurezza comuni per la progettazione elettronica e ciò che ne influenza i requisiti. Si scopre che la protezione può non solo contribuire a migliorare l'affidabilità e la sicurezza complessive di un prodotto, ma potrebbe essere effettivamente richiesta per la certificazione e la distribuzione del prodotto in base alla relativa applicazione.
Trovare il giusto equilibrio
Cominciamo con una domanda molto semplice: come si fa a trovare il giusto equilibrio tra circuiti di protezione e convenienza? Per un prodotto che non richiede un tipo di sicurezza specifico, come fa il progettista a sapere quando deve aggiungere altri livelli di protezione? La risposta può essere complicata, ma in genere dovrebbe essere determinata dai massimi requisiti dell'utente o del progetto del prodotto e, semplicemente, dal buon senso del progettista e del suo team.
In genere, è necessario bilanciare costi e benefici quando si integra la protezione in un circuito e di solito il punto di partenza è la stima del rischio relativo. I fusibili possono essere costosi, ma sono generalmente la prima linea di difesa contro i picchi di corrente che possono derivare da variabili ambientali o componenti basati sul carico. In questo caso, il vantaggio è rappresentato dalla protezione di tutto ciò che si trova a valle del fusibile, che, ovviamente, può essere molto importante. Ma che dire di altre forme di protezione minori? Che dire delle ferriti? È normale incorporare piccole ferriti su segnali sensibili che viaggiano fuori scheda per contribuire a mitigare le interferenze elettromagnetiche e il rumore ad alta frequenza, o per l'uso sugli ingressi a regolatori o componenti di elaborazione per favorire la pulizia della linea di tensione. La polizza di "assicurazione" che forniscono potrebbe valere il costo aggiuntivo se il rischio è sufficientemente alto. E il rischio qui può essere pensato come una combinazione della gravità di un guasto e della probabilità che esso si verifichi.
Come e quando occuparsi della sicurezza
Tutto diventa più semplice quando si considera la sicurezza. Il costo, in genere, diventa meno importante, mentre l'affidabilità e la ridondanza diventano gli obiettivi primari (e saranno probabilmente richiesti durante il processo di certificazione e test del prodotto). Per i prodotti che, in determinate modalità di guasto, possono causare dei danni alle persone (diretti o indiretti), è necessario condurre una valutazione del rischio per coprire il maggior numero possibile di scenari.
Ad esempio, nel settore dell'assistenza sanitaria, la valutazione del rischio è necessaria per i dispositivi medici e diventa un po' più complessa, includendo una tabella (mostrata nella figura 1) che copre ogni rischio ragionevole, una descrizione del relativo evento o della situazione, il danno che potrebbe causare e la valutazione della relativa probabilità/gravità. Ogni pericolo viene quindi valutato da una persona designata (o da un gruppo), diventa "controllato" con l'introduzione di requisiti di progettazione aggiuntivi atti a far fronte a ciascun pericolo (ritenuto non accettabile) ed è rivalutato e accettato. Sebbene la procedura possa essere leggermente diversa per altre applicazioni (come quelle aerospaziali), il principio fondamentale è lo stesso in molti settori. Valutare ciascun rischio in base a gravità e probabilità e quindi controllarlo con un piano d'azione è fondamentale per identificare le aree della progettazione elettronica (o di qualsiasi altro tipo di progettazione) in cui sono necessarie sicurezza e protezione.
Figura 1: tabella di tracciabilità del pericolo per la gestione del rischio per un dispositivo medico
Ma come vengono quantificate e valutate probabilità e gravità? Di solito, la valutazione si ottiene tramite una tabella molto dettagliata che spiega le differenze tra ciascun valore numerico specifico per l'applicazione. La figura 2 mostra alcuni esempi di definizioni di frequenza e gravità per fornire linee guida quando un team deve valutare un pericolo o un evento. L'intervallo/i valori della classifica varieranno in base all'applicazione e alla soluzione necessaria.
Figura 2: tabelle di definizione della classificazione di gravità (in alto) e di definizione della classificazione di probabilità (in basso)
Infine, di solito c'è una tabella che combina le due precedenti e può essere codificata a colori (come mostrato nella figura 3) per indicare facilmente se un potenziale pericolo deve essere affrontato con specifiche e modifiche di progettazione. Solitamente, i livelli medio (giallo) e alto (rosso) richiedono una qualche forma di azione. Nascono così i requisiti di sicurezza di un circuito.
Figura 3: tabella per il calcolo della matrice di rischio
Tutto ciò che è stato descritto finora è comune a tutti i settori che possono avere prodotti o sistemi con funzioni operative critiche; tuttavia, potrebbe trattarsi di elementi non necessari per ogni applicazione. Molte volte basta usare il buon senso in base al caso d'uso e al potenziale danno o alle possibili lesioni.
La maggior parte dei prodotti elettrici dovrà ricevere un qualche tipo di certificazione di conformità prima che la tecnologia possa essere prodotta, distribuita e venduta. E tale processo di certificazione non includerà solo la conformità elettrica, ma anche la conformità alle norme di sicurezza. Si tratta di un'area grigia e, a volte, non è del tutto chiaro cosa sia necessario affinché un prodotto ottenga la certificazione di conformità alla sicurezza. Gli enti normativi in genere offrono un certo supporto durante tutto il processo ed è sempre meglio coinvolgerli durante la fase di progettazione.
Esempi del mondo reale
Quello che segue è un esempio di un'applicazione che utilizza la luce laser per l'imaging. La luce laser può essere molto dannosa per l'occhio umano e, anche se riflessa da un'altra superficie, può essere sufficiente a causare danni o addirittura cecità. Sebbene l'uso di occhiali speciali possa essere d'aiuto, in genere è necessario che una macchina disponga di una protezione elettronica aggiuntiva contro l'uso improprio e la luce riflessa non intenzionale. L'interblocco di porte e pannelli rimovibili con circuiti collegati direttamente all'alimentazione del laser (o un interblocco/relè che ne gestisca l'alimentazione) è generalmente la soluzione migliore, ma anche questo genere di misure richiede ridondanza. Formalmente, si fa riferimento a queste misure indicandole come "sicurezza intrinseca". Se il circuito di sicurezza dovesse guastarsi (cioè dovesse guastarsi uno qualsiasi degli interruttori interni), dovrebbe farlo in condizioni di sicurezza, in modo da non danneggiare l'utente o l'apparecchiatura e ciò potrebbe comportare un circuito ridondante di backup.
La figura 4 mostra uno schema di interblocco che include un segnale (con corrente sufficiente per una bobina in un relè) che attraversa diverse porte/coperchi sulla macchina e un lucchetto che aggiunge un passaggio manuale per attivare e disattivare l'alimentazione laser (opzionale). Il circuito richiede ridondanza, quindi sono necessari doppi interruttori reed magnetici per ciascun punto di accesso, nonché doppi interruttori per ogni altro componente. Se uno degli interruttori all'interno di un componente si guasta nello "stato chiuso", è comunque considerato sicuro, poiché è molto probabile che l'altro interruttore interno (che è cablato in linea con il primo interruttore) sia aperto, il che interromperebbe comunque l'alimentazione al modulo laser.
Figura 4: esempio di schema elettrico raffigurante un circuito di sicurezza per luce laser
Un altro esempio è costituito da un dispositivo medico riscaldato utilizzato sulla pelle umana. In questa applicazione, è possibile che il riscaldatore bruci la pelle se si verifica un guasto fuori controllo o un errore di calibrazione del dispositivo. Sebbene non sia pericoloso per la vita, il potenziale esito richiede comunque alcune funzionalità di sicurezza/ridondanti.
La figura 5 ne mostra un esempio. Ci sono diversi potenziali punti di guasto, anche in questo circuito di controllo molto semplice. Non solo il sistema contiene un termistore secondario per il rilevamento della temperatura (nel caso in cui quello principale venga danneggiato), ma sono necessari più punti di controllo nel caso in cui un MOSFET non si chiuda o l'ADC interno di un processore sia danneggiato o calibrato in modo errato. In questa configurazione, esiste un processore secondario piccolo e molto semplice per il monitoraggio della temperatura e il controllo della potenza del riscaldatore che funziona indipendentemente dal processore principale.
Figura 5: esempio di schema di un circuito con ridondanza per un elemento riscaldante
La figura 6 mostra vari circuiti di protezione che possono rendere un dispositivo più sicuro e robusto. "A" mostra il circuito di controllo di una ventola che indica quando è presente un guasto, insieme a una linea di alimentazione dotata di fusibile e ferrite aggiunta per la soppressione delle interferenze elettromagnetiche. "B" include una linea di alimentazione dotata di fusibile per un servomotore, insieme a un dispositivo di monitoraggio della corrente che consente al processore di verificare il movimento/la potenza. "C" è un esempio di connettore USB utilizzato per la ricarica, con una protezione aggiuntiva per la linea VBUS (ESD e fusibile). "D" è un semplice circuito di protezione dalla tensione inversa per un connettore per batteria da 3,7 V.
Figura 6: vari circuiti di protezione
Conclusione
I circuiti di protezione e sicurezza dovrebbero sempre essere presi in considerazione, ma in realtà possono essere obbligatori, a seconda dell'applicazione. Per i casi più gravi, determinare rischi ragionevoli e potenziali e assegnare valutazioni numeriche, rappresenta già metà del lavoro. L'altra metà prevede un piano d'azione con una serie di requisiti dettagliati, oltre ad alcune abilità di progettazione vecchio stile e "best practice". Inoltre, per tutti i casi e le applicazioni, è sempre necessario considerare come il guasto di un circuito possa determinare danni a persone o cose.
