Manual FMECA — Análisis de Modos de Falla, Efectos y Criticidad

INTRO

Alcance y propósito

Este manual proporciona una guía técnica completa para la aplicación del Análisis de Modos de Falla, Efectos y Criticidad (FMECA, por sus siglas en inglés). Está dirigido a ingenieros de confiabilidad, ingenieros de diseño, gestores de mantenimiento y profesionales de la calidad que requieran una referencia consolidada y en español.

El documento integra los fundamentos establecidos en la norma militar estadounidense MIL-STD-1629A, ampliamente adoptada en los sectores aeroespacial, naval, militar y de sistemas industriales complejos, y los complementa con conceptos de la norma civil IEC 60812 y el estándar automotriz SAE J1739.

ℹ Nota metodológica

La FMECA es un análisis ascendente (bottom-up): parte de los modos de falla individuales de los componentes y propaga sus efectos hasta el nivel de sistema. Este enfoque la complementa con los análisis descendentes como el Árbol de Fallas (FTA).

CAP 01

Fundamentos de la FMECA

Definición y origen histórico

La FMECA es una metodología sistemática de análisis de confiabilidad que identifica y documenta todos los posibles modos en que un componente, equipo o sistema puede fallar, evalúa los efectos de cada falla sobre el sistema y asigna una medida cuantitativa de criticidad a cada modo de falla.

Sus raíces se remontan a los años 1950, cuando fue desarrollada por la industria aeronáutica de los Estados Unidos. En 1974, la Armada de EE. UU. publicó la primera versión normalizada como MIL-STD-1629 (SHIPS). La revisión más influyente, MIL-STD-1629A, fue emitida el 24 de noviembre de 1980 y supersede también el estándar MIL-STD-2070 (AS) del sector aéreo.

Figura 1. Evolución histórica de los estándares FMECA

FMEA vs. FMECA — Diferencias fundamentales

Aunque se usan frecuentemente como sinónimos, existe una distinción técnica precisa entre ambas metodologías:

Dimensión	FMEA	FMECA
Siglas	Failure Mode and Effects Analysis	Failure Mode, Effects and Criticality Analysis
Enfoque	Cualitativo	Cuantitativo (extiende la FMEA)
Criticidad	No se calcula numéricamente	Se calcula el número de criticidad C_m
Salida principal	Lista de modos de falla y efectos	Lista + Matriz de criticidad
Datos requeridos	Diseño, funciones	Diseño + tasas de falla, β, α
Uso típico	NASA, industria automotriz (AIAG)	Defensa, aeroespacial, sistemas críticos

La FMECA es, en esencia, una FMEA a la que se añade el Análisis de Criticidad (CA), el cual cuantifica la probabilidad de ocurrencia y la severidad para priorizar las acciones de mejora en el diseño.

Normas y estándares de referencia

Norma	Título	Sector	Año
`MIL-STD-1629A`	Procedures for Performing a FMECA	Defensa / General	1980
`IEC 60812`	Analysis techniques — FMEA procedure	Civil / Industrial	2006, rev. 2018
`SAE J1739`	Potential FMEA in Design & Process	Automotriz	2009
`AIAG-VDA FMEA`	FMEA Handbook (AIAG & VDA)	Automotriz	2019
`NASA-HDBK-1002`	Fault Tree and FMEA Handbook	Aeroespacial	2012
`MIL-HDBK-338B`	Electronic Reliability Design Handbook	Defensa	1998

CAP 02

Terminología fundamental

Conceptos clave según MIL-STD-1629A

Término	Definición técnica
Modo de falla Failure mode	La forma observable en que un elemento falla al cumplir su función requerida. Ejemplos: cortocircuito, fractura, desgaste prematuro, pérdida de hermeticidad.
Causa de falla Failure cause	Proceso físico, químico o mecánico que conduce al modo de falla. Por ejemplo: fatiga del material, corrosión galvánica, desgaste abrasivo.
Efecto de falla Failure effect	Consecuencia que el modo de falla produce sobre la operación, función o estado del elemento afectado y de los niveles superiores del sistema.
Criticidad Criticality	Medida relativa de la consecuencia de un modo de falla y su frecuencia de ocurrencia. Combina severidad y probabilidad en un número cuantitativo.
Punto único de falla Single failure point	Falla de un elemento que puede resultar, sin redundancia, en la falla de la misión o en un efecto Categoría I o II en el sistema.
Provisión compensatoria Compensating provision	Medio por el cual los efectos de una falla son eliminados o reducidos, incluyendo redundancia, dispositivos de seguridad o procedimientos alternativos de operación.
Mecanismo de detección Detection mechanism	Método o dispositivo mediante el cual la ocurrencia de un modo de falla es detectada por el operador (alarma, indicador visual, prueba incorporada BIT).
Falla indetectable Undetectable failure	Modo de falla para el cual no existe actualmente ningún método de detección disponible durante la operación normal del sistema.

Niveles de indentura

El análisis se organiza jerárquicamente por niveles de indentura, que representan la descomposición estructural del sistema:

Figura 2. Jerarquía de niveles de indentura en la FMECA

El nivel de indentura inicial es el nivel más alto al que se aplica el análisis, que generalmente coincide con la interfaz con el sistema del cliente. El análisis puede descender hasta el nivel de piezas discretas cuando los requisitos de seguridad o la criticidad lo exigen.

Tipos de efectos de falla

Cada modo de falla se evalúa en tres niveles jerárquicos de efecto, de acuerdo con MIL-STD-1629A §3.1.13:

Figura 3. Propagación jerárquica de los efectos de falla

CAP 03

Metodología FMECA

Proceso paso a paso

La implementación de una FMECA eficaz sigue una secuencia estructurada de actividades, conforme a la sección 4 de MIL-STD-1629A:

Planificación y alcance. Definir los objetivos, el alcance, los límites del sistema, las fases de misión y el nivel de indentura al que se realizará el análisis. Establecer las reglas de base y supuestos (ground rules and assumptions).
Identificar el sistema y su función. Documentar el diagrama funcional de bloques (FBD) y el diagrama de confiabilidad de bloques (RBD). Comprender la jerarquía funcional y física.
Recopilar información de diseño. Obtener especificaciones técnicas, planos de ingeniería, datos de confiabilidad (tasas de falla), estudios de intercambios y resultados de pruebas previas.
Identificar todos los modos de falla. Para cada elemento del nivel de indentura seleccionado, listar todos los modos de falla probables. No se asume un único modo de falla por elemento.
Analizar los efectos de cada modo de falla. Determinar el efecto local, el efecto en el nivel superior inmediato y el efecto final sobre la misión o la seguridad del sistema.
Clasificar la severidad. Asignar la categoría de severidad (I a IV) a cada modo de falla según su efecto final.
Identificar mecanismos de detección y aislamiento. Documentar cómo el operador o el sistema detecta y aisla cada modo de falla.
Realizar el análisis de criticidad (CA). Calcular el número de criticidad C_m para cada modo de falla y el número de criticidad del elemento C_r.
Construir la matriz de criticidad. Graficar los resultados en la matriz de criticidad para priorizar las acciones de mejora.
Documentar y emitir el informe FMECA. Consolidar los hallazgos, recomendaciones y la lista de puntos únicos de falla en el informe formal.

Hoja de trabajo FMEA (Formato MIL-STD-1629A)

La hoja de trabajo es el instrumento central para documentar el análisis. A continuación se presenta la definición de cada columna:

#	Columna	Término en inglés	Descripción
1	N.º de secuencia	Sequence Number	Número de referencia o código de identificación único para cada línea de análisis.
2	Nombre e identificación del elemento	Item Name & Function	Designación del hardware (relé, válvula, módulo electrónico) o la función analizada.
3	Fase de misión / Modo de operación	Mission Phase / Operational Mode	Fase del ciclo de vida en la que ocurre el modo de falla (arranque, operación nominal, parada).
4	Modos de falla	Failure Modes	Todos los modos de falla probables del elemento bajo análisis.
5	Causa de la falla	Failure Cause	Mecanismo físico, químico o de proceso que origina el modo de falla.
6	Efecto local	Local Effect	Consecuencia del modo de falla sobre el propio elemento.
7	Efecto en nivel superior	Next Higher Level Effect	Consecuencia sobre el subsistema o ensamblaje inmediatamente superior.
8	Efecto final	End Effect	Consecuencia sobre la misión, el sistema completo o la seguridad.
9	Categoría de severidad	Severity Classification	Categoría I (Catastrófica) a IV (Menor), según la gravedad del efecto final.
10	Método de detección	Failure Detection Method	Medio por el que el operador detecta la ocurrencia del modo de falla.
11	Método de aislamiento	Failure Isolation	Procedimiento para aislar la falla hasta el nivel que permita una acción correctiva.
12	Provisiones compensatorias	Compensating Provisions	Redundancias, dispositivos de seguridad u otros medios que mitigan el efecto.
13	Observaciones	Remarks	Comentarios pertinentes y recomendaciones de mejora al diseño.

Clasificación de severidad

La MIL-STD-1629A define cuatro categorías de severidad, alineadas con la MIL-STD-882 para seguridad del sistema:

Categoría	Denominación	Criterio	Ejemplos
CAT I	Catastrófica	Puede causar la muerte o la pérdida del sistema (aeronave, buque, misil).	Pérdida de control de vuelo; explosión de caldera; fallo de sistema de control de reactor.
CAT II	Crítica	Puede causar lesiones graves, daños importantes a la propiedad o pérdida de misión.	Pérdida de propulsión; fallo de sistema de frenos principales; incendio controlado.
CAT III	Marginal	Puede causar lesiones menores, daños menores o degradación de la disponibilidad.	Pérdida de sistema de navegación secundario; reducción de velocidad operativa.
CAT IV	Menor	No causa lesiones ni daños significativos; requiere mantenimiento no programado.	Fallo de indicador de cockpit; avería de sistema de climatización.

⚠ Adaptación sectorial

Las definiciones de severidad están orientadas originalmente a aplicaciones militares. En sectores civiles (industria de proceso, ferroviario, oil & gas), los criterios se adaptan reemplazando las referencias militares por impactos sobre la continuidad operacional, el medio ambiente y las personas, conservando la misma estructura de cuatro categorías.

Modos de falla típicos por tipo de componente

Componente	Modo de falla	Causa típica
Relé	Contactos en cortocircuito	Contactos soldados por arco eléctrico
	Contactos en circuito abierto	Contactos sucios u oxidados
	Bobina en circuito abierto	Rotura del devanado
Motor eléctrico	Falla de cojinetes	Desgaste, falta de lubricación
Motor eléctrico	Bobina en cortocircuito	Degradación del aislamiento
Actuador hidráulico	Fuga externa	Desgaste de sellos
Actuador hidráulico	No retorna a posición	Líneas bloqueadas
Fuente de alimentación	Pérdida de salida	Falla de componente interno
	Salida no regulada	Falla de rectificador o condensador
	Nivel de voltaje incorrecto	Falla del regulador interno
Válvula (electromecánica)	No abre cuando se comanda	Bobina quemada; mecanismo atascado
Válvula (electromecánica)	No cierra cuando se comanda	Deformación del asiento; suciedad
Interruptor	Contactos en cortocircuito	Contactos soldados
Interruptor	No activa cuando se opera	Falla del mecanismo de actuación

CAP 04

Análisis de Criticidad

Propósito del análisis de criticidad

El Análisis de Criticidad (CA, Criticality Analysis) es el componente cuantitativo que transforma la FMEA en FMECA. Su propósito es clasificar y priorizar cada modo de falla según la combinación de su severidad y su probabilidad de ocurrencia durante una fase de misión definida.

El resultado es la matriz de criticidad, una herramienta visual que permite al equipo de ingeniería enfocar los recursos de mejora en los modos de falla de mayor riesgo.

Fórmula y parámetros del análisis de criticidad

Conforme a la Tarea 102 de MIL-STD-1629A, el número de criticidad del modo de falla se calcula como:

Número de criticidad del modo de falla (Cm)

Cm = β × α × λ_p × t

Parámetro	Símbolo	Definición	Fuente típica
Probabilidad de efecto	β	Probabilidad condicional de que el modo de falla resulte en el efecto de severidad identificado (0 a 1). Valores orientativos: Pérdida real = 1.00; Probable pérdida = 0.10 a 1.00; Posible pérdida = 0 a 0.10; Sin efecto = 0.	Juicio de ingeniería
Razón de modo de falla	α	Fracción de la tasa de falla total del elemento que corresponde a este modo de falla en particular. Σα = 1 para todos los modos de un elemento.	MIL-HDBK-338B, fabricante
Tasa de falla de la pieza	λ_p	Tasa de falla total del elemento (fallas/hora o fallas/ciclo), en las condiciones ambientales de operación.	MIL-HDBK-217, OREDA, NPRD
Tiempo de operación	t	Duración de la fase de misión en horas (o unidades correspondientes a λ_p).	Especificación de misión

El número de criticidad del elemento C_r se obtiene sumando los C_m de todos los modos de falla del mismo elemento que pertenecen a una misma categoría de severidad:

Número de criticidad del elemento (Cr) por categoría de severidad

Cr = Σ Cm_j ; donde j recorre los m modos de falla en esa categoría de severidad

ℹ Ejemplo numérico

Un relé tiene una tasa de falla λ_p = 2×10⁻⁵ fallas/hora. Para el modo "contactos en cortocircuito": α = 0.40, β = 1.0 (pérdida real), misión de t = 20 h.
C_m = 1.0 × 0.40 × 2×10⁻⁵ × 20 = 1.6×10⁻⁴

Niveles de probabilidad de ocurrencia

La MIL-STD-1629A define cinco niveles de probabilidad para el eje vertical de la matriz de criticidad:

Nivel	Denominación	Probabilidad relativa	Definición
A	Frecuente	p ≥ 0.20	Alta probabilidad de ocurrencia durante la vida del elemento.
B	Razonablemente probable	0.10 ≤ p < 0.20	Probabilidad moderada de ocurrencia.
C	Ocasional	0.01 ≤ p < 0.10	Puede ocurrir alguna vez.
D	Remota	0.001 ≤ p < 0.01	Poco probable pero puede ocurrir.
E	Extremadamente improbable	p < 0.001	Tan improbable que puede asumirse que no ocurrirá.

Matriz de criticidad

La matriz de criticidad es el producto gráfico del Análisis de Criticidad. Cada modo de falla se ubica según su nivel de probabilidad (eje Y) y su categoría de severidad (eje X). Las zonas de la matriz orientan las decisiones de rediseño:

Figura 4. Matriz de criticidad (MIL-STD-1629A). M1 = modo de falla Categoría I / Nivel B (acción inmediata). M2 = Categoría III / Nivel C.

CAP 05

Disciplinas de ingeniería relacionadas

Ingeniería de seguridad

La FMECA alimenta directamente el Análisis de Árbol de Fallas (FTA). Los modos de falla identificados con sus categorías de severidad I y II se convierten en los eventos básicos (basic events) del árbol. Esta sinergia es exigida por estándares como la MIL-STD-882E (Práctica estándar para la seguridad del sistema) y la IEC 61025 (FTA).

⚡ Puntos únicos de falla y seguridad

Los modos de falla sin provisión compensatoria que producen efectos Categoría I o II deben documentarse obligatoriamente en la Lista de Puntos Únicos de Falla. Cada uno requiere acción de diseño, análisis adicional o aceptación formal de riesgo por parte de la autoridad correspondiente.

Ingeniería de mantenibilidad

Para cada modo de falla se puede completar la Tarea 103 de MIL-STD-1629A (FMECA — Información de mantenibilidad), que añade columnas específicas para:

Tiempo medio de reparación (MTTR) estimado
Personal y nivel de habilidad requeridos
Herramientas y equipos de prueba necesarios
Unidad de reemplazo en línea (LRU / SRU)
Soporte logístico: repuestos, documentación técnica

Los tiempos de detección y aislamiento documentados en la FMECA son insumos directos para el cálculo del MTTR en el análisis de mantenibilidad.

Logística y Mantenimiento Centrado en Confiabilidad (RCM)

La metodología RCM (Reliability-Centered Maintenance), definida en el estándar SAE JA1011, utiliza la FMECA como punto de partida. Los modos de falla identificados, especialmente aquellos con causas de degradación por desgaste, son la base para definir las tareas de mantenimiento preventivo, predictivo o el rediseño.

✔ Integración FMECA–RCM

Los modos de falla con causa de desgaste y alta criticidad determinan directamente la frecuencia de inspección y la sustitución preventiva de componentes, mientras que los modos de falla de tipo aleatorio orientan hacia la monitorización por condición o el diseño de redundancias.

CAP 06

Aplicaciones industriales

Sectores de aplicación

Sector	Norma / Marco	Especificidades
Defensa y naval	MIL-STD-1629A	Análisis hasta nivel de pieza discreta. Lista de SPF obligatoria.
Aeronáutica	ARP4761, MIL-STD-1629A	Integración con FHA, PSSA y SSA. Clasificación DAL (DO-178C).
Automotriz	AIAG-VDA FMEA (2019)	DFMEA + PFMEA + FMEA-MSR. Número de Prioridad de Acción (AP).
Nuclear	IEC 60812, NUREG-0492	FMEA complementa FTA. Alta exigencia de independencia del análisis.
Oil & Gas	IEC 60812, API RP 14C	HAZOP + FMECA. Análisis de capas de protección (LOPA).
Ferroviario	EN 50126, EN 50129, CENELEC	Integración en el ciclo de vida RAMS. Niveles SIL 1–4.
Dispositivos médicos	ISO 14971, IEC 60601	Gestión de riesgos. FMEA de diseño y proceso.

Ejemplo ilustrado: Sistema de alimentación eléctrica

El siguiente fragmento muestra una hoja de trabajo FMEA simplificada para un sistema de distribución eléctrica a bordo de una plataforma industrial:

N.°	Elemento	Modo de falla	Efecto local	Efecto final	Sev.	Detección	β	α
1.1	Relé de protección K1	Contactos en c/c	Incapaz de desenergizar circuito	Pérdida de protección de sobrecorriente del motor M1	II	Alarma BIT panel	0.50	0.30
1.2	Relé de protección K1	Bobina en c. abierto	Relé no energiza	Motor M1 inoperativo — degradación de disponibilidad de planta	III	Indicador panel	1.00	0.50
2.1	Fuente DC 24V	Pérdida de salida	Sin voltaje de control	Pérdida de todos los controles lógicos — pérdida de misión	I	Alarma supervisora	1.00	0.20
2.2	Fuente DC 24V	Voltaje incorrecto	Voltaje fuera de especificación	Operación errática de controles — posible falla de misión	II	Medición en panel	0.70	0.15

ℹ Observación sobre el ejemplo

El modo de falla 2.1 (Pérdida de salida de la fuente 24V DC, Categoría I, sin redundancia) constituye un punto único de falla y debe reportarse en la Lista de SPF. La acción de diseño recomendada es incorporar una fuente redundante con conmutación automática.

GLOS

Glosario bilingüe

Términos clave de la FMECA con su traducción al inglés y definición técnica consolidada:

Análisis de Árbol de FallasATF / FTA

Fault Tree Analysis

Técnica deductiva descendente que modela combinaciones de eventos que pueden causar un evento no deseado (evento cima). Complementa la FMECA.

Análisis de CriticidadCA

Criticality Analysis

Componente cuantitativo de la FMECA que clasifica cada modo de falla según su severidad y probabilidad de ocurrencia, generando el número de criticidad C_m.

Análisis de Modos de Falla, Efectos y CriticidadFMECA

Failure Mode, Effects and Criticality Analysis

Metodología sistemática de identificación y priorización de modos de falla de un sistema, combinando el análisis cualitativo de efectos con la cuantificación de la criticidad.

Análisis de Modos de Falla y EfectosFMEA / AMFE

Failure Mode and Effects Analysis

Análisis cualitativo de los posibles modos de falla de un sistema y sus efectos sobre la función requerida. Base de la FMECA.

Causa de falla

Failure cause

Proceso físico o químico que da lugar al modo de falla. Ej.: corrosión, fatiga, desgaste abrasivo, sobretensión.

Criticidad

Criticality

Medida combinada de la severidad del efecto de un modo de falla y su probabilidad de ocurrencia. Cuantificada por el número C_m.

Diagrama de Confiabilidad de BloquesDCB / RBD

Reliability Block Diagram

Representación gráfica de las relaciones de confiabilidad entre los componentes de un sistema, usada como entrada para la FMECA.

Efecto final

End effect

Consecuencia de un modo de falla sobre la función o disponibilidad del sistema o misión completa. Es el efecto que determina la categoría de severidad.

Efecto local

Local effect

Consecuencia de un modo de falla sobre el propio elemento que falla, sin considerar su propagación a niveles superiores.

Falla indetectable

Undetectable failure

Modo de falla para el que no existe mecanismo de detección disponible durante la operación normal, lo que lo convierte en un riesgo oculto.

Mantenimiento Centrado en ConfiabilidadMCC / RCM

Reliability-Centered Maintenance

Proceso de análisis sistemático para determinar los requisitos de mantenimiento de un activo en su contexto operacional, usando la FMECA como base.

Matriz de criticidad

Criticality matrix

Herramienta gráfica que ubica los modos de falla en un plano probabilidad × severidad, para priorizar las acciones de mejora.

Modo de falla

Failure mode

Forma observable en que un elemento no cumple su función requerida. Un elemento puede tener múltiples modos de falla.

Nivel de indentura

Indenture level

Posición relativa de un elemento dentro de la jerarquía funcional o física del sistema (sistema → subsistema → componente → pieza).

Número de prioridad de riesgoNPR / RPN

Risk Priority Number

Métrica usada en el contexto automotriz (AIAG) como producto de Severidad × Ocurrencia × Detección. Diferente al número de criticidad C_m de MIL-STD-1629A.

Punto único de fallaPUF / SPF

Single Failure Point (Single Point of Failure)

Falla de un único elemento que, en ausencia de redundancia o provisión compensatoria, resulta en la falla de la misión o en un efecto de Categoría I o II.

Provisión compensatoria

Compensating provision

Elemento de diseño —redundancia, dispositivo de seguridad, procedimiento alternativo— que elimina o reduce el efecto de un modo de falla.

Tasa de fallaλ

Failure rate

Número de fallas esperadas por unidad de tiempo para un elemento, en condiciones de operación especificadas. Unidad: fallas/hora (MTBF = 1/λ).

Tiempo medio entre fallasTMEF / MTBF

Mean Time Between Failures

Valor esperado del tiempo de operación entre fallas consecutivas para elementos reparables. MTBF = 1/λ.

REF

Referencias bibliográficas

Las siguientes fuentes constituyen la base normativa, técnica y académica de este manual:

United States Department of Defense. MIL-STD-1629A: Procedures for Performing a Failure Mode, Effects and Criticality Analysis. Naval Air Engineering Center, Lakehurst, NJ. 24 November 1980.
International Electrotechnical Commission. IEC 60812:2018 — Failure Modes and Effects Analysis (FMEA and FMECA). Geneva: IEC, 2018. (Supersedes IEC 60812:2006).
SAE International. SAE J1739:2009 — Potential Failure Mode and Effects Analysis in Design (Design FMEA) and Potential Failure Mode and Effects Analysis in Manufacturing and Assembly Processes (Process FMEA). Warrendale, PA: SAE, 2009.
Automotive Industry Action Group (AIAG) & Verband der Automobilindustrie (VDA). FMEA Handbook: Design FMEA, Process FMEA, and FMEA-MSR — 1st Edition. Southfield, MI: AIAG, 2019.
United States Department of Defense. MIL-HDBK-338B: Electronic Reliability Design Handbook. 1 October 1998.
United States Department of Defense. MIL-STD-882E: Standard Practice for System Safety. 11 May 2012.
Blanchard, B. S., & Fabrycky, W. J. Systems Engineering and Analysis, 5th ed. Upper Saddle River, NJ: Prentice Hall, 2011.
Moubray, J. Reliability-Centered Maintenance, 2nd ed. New York: Industrial Press, 1997.
NASA. NASA-HDBK-1002: Fault Tree Analysis Handbook. Washington, DC: NASA, 2012.
Stamatis, D. H. Failure Mode and Effect Analysis: FMEA from Theory to Execution, 2nd ed. Milwaukee, WI: ASQ Quality Press, 2003.
MTain Reliability Resources. Reliability FMECA — Failure Mode Effects and Criticality Analysis [Recurso web]. Accedido en: www.mtain.com/relia/relfmeca.htm. Última actualización: noviembre 2006.
SAE International. SAE JA1011: Evaluation Criteria for Reliability-Centered Maintenance (RCM) Processes. Warrendale, PA: SAE, 1999.
International Electrotechnical Commission. IEC 61025:2006 — Fault Tree Analysis (FTA). Geneva: IEC, 2006.
CENELEC / European Committee for Electrotechnical Standardization. EN 50126-1:2017 — Railway Applications: Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS). Brussels: CENELEC, 2017.