Cuando una unión de soldadura se convierte en una obligación de seguridad
Una máquina se detiene. Un brazo robótico no logra detenerse. Un transportador no detecta la obstrucción. En cada escenario, la falla inicial a menudo no es el propio relé de seguridad, sino una unión abierta intermitente en la PCBA del controlador de seguridad en la que el relé confía.
IEC 62061 e ISO 13849 no solo definen objetivos de fiabilidad para las funciones de seguridad. Crean una cadena de evidencias legalmente exigible desde la clasificación de Nivel de Integridad de Seguridad (SIL) o Nivel de Prestaciones (PL) a nivel de sistema hasta los componentes de hardware y —de forma crítica— los procesos de fabricación que los producen. Para controladores SIL 2 y SIL 3, una cavidad de soldadura bajo un QFN de carril de alimentación o una unión fría en el controlador de la bobina de un relé de seguridad no es un problema de rendimiento. Es un modo de fallo sistemático que puede invalidar la declaración de SIL.
Esto impone tres exigencias innegociables al proveedor de EMS:
Control de procesos con evidencia estadística, no solo aprobado/suspenso al final de la línea
Trazabilidad a nivel de componenteque supera una auditoría posterior al incidente
Disciplina de procesos térmicosa través de placas heterogéneas que incorporan tanto lógica SMD como componentes pasivos THT de seguridad crítica
Las secciones que siguen abordan cada requisito en secuencia, comenzando por cómo el AMFE de proceso traduce la reducción del riesgo de seguridad en controles SMT medibles, luego examinando las disciplinas específicas de inspección y soldadura que hacen operativos esos controles y, por último, presentando tres reglas de DFM que determinan si un diseño de controlador de seguridad es en absoluto fabricable conforme a los requisitos SIL.
PFMEA × SMT: Conectando la reducción de riesgos según IEC 62061 y los modos de falla del proceso
La norma IEC 62061 requiere un análisis sistemático de peligros (HARA) y una arquitectura de reducción de riesgos. Lo que se discute con menos frecuencia es que cada medida de reducción de riesgos implementada en hardware depende de la integridad del proceso de fabricación de la PCBA que la materializa. Un circuito de vigilancia de doble canal diseñado para SIL 3 funciona a SIL 0 si ambas líneas de habilitación de canal comparten un puente de soldadura que no fue detectado.
En un sistema de calidad IATF 16949, el Análisis de Modo y Efectos de Falla de Proceso (PFMEA) y el Plan de Control son documentos vivos. Para las placas de seguridad funcional, estas herramientas se amplían explícitamente para vincular los modos de falla de SMT con la degradación de la función de seguridad. La Tabla 1 ilustra cómo se evalúan cinco modos de falla representativos dentro de este marco y cómo se conectan tanto con los controles de proceso como con los métodos de detección:
| Modo de fallo del proceso SMT | Impacto potencial en la función de seguridad | Método de control | Detección |
| Pasta de soldadura insuficiente (QFN/BGA) | Apertura intermitente → Pérdida de canal SIL | Compuerta de volumen SPI de lazo cerrado ±15% | 3D SPI 100% |
| Puentes de soldadura en la barrera de aislamiento | Resistencia reducida a la tensión → peligro | Auditoría de espaciamiento según IPC-A-610 Clase 3 | 3D AOI 100% |
| Colocación incorrecta del componente (controlador de relé de seguridad) | Umbral de conmutación incorrecto | Verificación de colocación con visión + MES | AOI + rayos X |
| Daño térmico (sobreimpulso de Δ de reflujo) | Fallo dieléctrico latente | Reflujo de N₂ perfilado, testigo de termopar | SPC de procesos |
| Relación de vacíos >25% en la almohadilla de potencia (QFN) | Fuga térmica bajo corriente de falla | Cuantificación automatizada de vacíos en rayos X | AXI 100% |
Las calificaciones de Severidad del PFMEA para los modos de falla vinculados a funciones de seguridad se fuerzan al nivel máximo (S = 9–10), lo que exige tanto controles de detección como controles de proceso, y no solo detección. Esto refleja directamente el requisito de la IEC 62061 de que las fallas sistemáticas se aborden a nivel de proceso, y no se compensen únicamente mediante la cobertura diagnóstica.
El Control Estadístico de Procesos (SPC) se aplica al volumen de pasta, la temperatura máxima de reflujo y la velocidad de la cinta transportadora como características clave del proceso (KPC). Los gráficos de control con objetivos de Cpk ≥ 1,67 proporcionan la evidencia cuantitativa del proceso que requieren los auditores de seguridad. La más importante de estas KPC —el volumen de pasta— es donde comienza la siguiente capa de control.
Control de lazo cerrado SPI 3D: la primera línea de defensa contra las uniones frías
Las uniones frías y la cantidad insuficiente de soldadura se encuentran de forma constante entre las principales causas raíz de fallas en campo en los ensamblajes de controladores de seguridad, especialmente en las almohadillas de potencia QFN y en los marcos de terminales de circuitos integrados de paso fino, donde la inspección visual después del reflow es arquitectónicamente imposible. Para cuando una unión fría se manifiesta como una apertura intermitente en campo, la ventana de fabricación para detectarla hace tiempo que se ha cerrado.
La respuesta del proceso comienza antes de que el componente sea colocado. La inspección de pasta de soldadura 3D de alta velocidad mide el volumen de pasta en cada depósito de cada placa, comparándolo con los valores nominales mediante una ventana de tolerancia de±15%Cualquier depósito fuera de esta ventana activa una señal de retroalimentación de bucle cerrado inmediata hacia la impresora de pasta de soldadura, la cual ajusta automáticamente la presión de la rasqueta o los parámetros de separación antes de que entre la siguiente placa.
Esto no es un muestreo estadístico. Es una inspección del 100% de las placas y del 100% de los depósitos con corrección del proceso en tiempo real. El efecto práctico en la construcción de un controlador de seguridad:
El Cpk del volumen de pasta se mantiene por encima de1,67en pads críticos (controladores de relés de seguridad, circuitos integrados de gestión de energía, controladores de compuerta aislados)
Las placas con depósitos fuera de tolerancia se ponen en cuarentena antes de la colocación, y no después del refusión, donde aumentan el riesgo de retrabajo y la nueva exposición térmica
El registro de datos SPI pasa a formar parte del paquete de trazabilidad de la placa, proporcionando evidencia del proceso para los archivos de validación SIL
Nota para diseños de doble canal SIL 3:ambos canales en la misma placa deben cumplir de forma independiente con el criterio KPC de volumen de pasta. Un defecto de pasta en un solo canal de una función de seguridad redundante es una falla sistemática parcial: la inspección SPI 3D lo aísla antes del montaje, antes de que el defecto quede atrapado bajo el cuerpo de un componente.
El registro de datos SPI no existe de forma independiente. Se integra directamente en la cadena de trazabilidad a nivel de componentes que exigen las auditorías de seguridad funcional.
Trazabilidad a nivel de componentes en MES: Creación del registro de auditoría que exige la IEC 62061
Las normas de seguridad funcional exigen que el argumento de “probado en uso” o la declaración de capacidad sistemática estén respaldados por registros de producción trazables. Después de un incidente en campo, la capacidad de identificar qué lote de relé de seguridad, qué partida de condensadores de aislamiento y qué perfil de reflujo produjeron un número de serie determinado no es opcional: es la diferencia entre una acción de contención dirigida y una retirada completa del mercado.
El Smart MES de PCBCart captura y bloquea la siguiente cadena de datos para cada placa, desde el material entrante hasta el número de serie marcado con láser:
Aceptación de lote IQC
↓
Escaneo de carrete de componentes (UID vinculado a MPN + lote + código de fecha)
↓
Colocación Panasonic NPM-W2 (ID de máquina + ID de boquilla + marca de tiempo por componente)
↓
Perfil del horno de refusión (temperaturas reales por zona, velocidad del transportador, atmósfera)
↓
Resultado AOI 3D (aprobado/rechazado por placa + coordenadas de defecto)
↓
Resultado de rayos X (porcentaje de vacíos BGA/QFN por encapsulado)
↓
Número de serie grabado por láser (UID de la placa vinculado a todos los registros anteriores)
Esta cadena de datos no es una carga documental, sino una capacidad de contención operativa. Cada componente crítico —amplificadores de aislamiento, controladores de relés de seguridad, sensores de efecto Hall, controladores de compuertas de la etapa de potencia— está vinculado a su número de lote físico de bobina. Si un proveedor emite una alerta de campo sobre un código de fecha específico de un componente, PCBCart puede identificar en cuestión de minutos las placas afectadas, su estado de envío y su cliente final, sin necesidad de cotejar manualmente registros en papel.
Esa velocidad de respuesta solo es posible porque la trazabilidad es a nivel de componente, no a nivel de lote. Esta arquitectura genera los registros de producción que requiere la documentación de la Cláusula 8 de la IEC 62061 y de la Cláusula 10 de la ISO 13849-1, sin la sobrecarga de una capa adicional de sistema de calidad.
Sin embargo, la trazabilidad solo registra lo que produce el proceso. La integridad térmica de las propias uniones de soldadura —en particular cuando componentes de seguridad de orificio pasante comparten una placa con SMD de paso fino— depende por completo de una disciplina de proceso independiente.
Soldadura selectiva por ola: protección de los vecinos SMD cuando los relés de seguridad pasan a THT
Muchos controladores de seguridad industrial combinancircuitos integrados lógicos y de gestión de energía de montaje superficialcon relés de seguridad de orificio pasante, bloques de terminales y conectores de alta corriente. Los componentes de orificio pasante soportan cargas mecánicas y eléctricas que impiden su sustitución por equivalentes SMD; se trata de una limitación de diseño, no de una elección heredada.
La respuesta convencional de soldadura por ola a esta combinación expone toda la placa a una ola de soldadura a 255–265 °C, una segunda excursión térmica completa que los componentes SMD no fueron diseñados para soportar repetidamente. Para los condensadores cerámicos 0402 adyacentes a las huellas de relés de seguridad, y para los sensores de efecto Hall y redes de resistencias de precisión en circuitos de medición de seguridad, este segundo choque térmico introduce:
Agrietamiento del condensador (esfuerzo mecánico por expansión térmica diferencial)
Deriva de la resistencia más allá de la tolerancia inicial (fallo latente de precisión en las rutas de medición de seguridad)
Atrapamiento de flujo bajo un espaciado reducido entre componentes (contaminación iónica, riesgo elevado de fuga a través de barreras de aislamiento)
La máquina de soldadura selectiva por ola ZSWHPS-11-2 elimina esta exposición al aplicar soldadura únicamente a las almohadillas THT definidas: una boquilla programable traza la huella exacta de cada conector y relé de orificio pasante, sin entrar nunca en contacto con la población SMD circundante. Parámetros clave del proceso:
Tiempo de contacto de soldadura localizado3–5 segundos por articulación, frente a 6–8 segundos para onda completa
Aumento de temperatura de la placa en componentes SMD adyacentes:< 40 °C por encima del ambiente
La aplicación de flux es igualmente selectiva: no hay pulverización excesiva sobre los huecos de aislamiento cercanos ni sobre las almohadillas de los sensores
En conjunto, estos parámetros garantizan que la unión THT reciba suficiente energía térmica y tiempo de permanencia para la formación completa de intermetálicos, mientras que el conjunto de componentes SMD circundante nunca excede su límite térmico de un segundo refusión. El resultado es una placa en la que el relé de seguridad alcanza una integridad total del filete de soldadura conforme a IPC-A-610 Clase 3, y los condensadores de desacoplo 0402 situados a 2 mm solo han experimentado una —y solo una— excursión térmica de refusión.
Sin embargo, la disciplina de los procesos en el piso de fabricación solo puede compensar hasta cierto punto las decisiones de diseño tomadas aguas arriba. Tres decisiones de diseño de disposición determinan si una PCBA de controlador de seguridad es, en absoluto, fabricable según los requisitos SIL.
Reglas DFM específicas para los controladores de seguridad funcional
Antes de que una PCBA de seguridad funcional entre en la línea SMT, tres decisiones a nivel de diseño tienen un impacto desproporcionado en el proceso. PCBCart’sRevisión DFMpara los controladores de seguridad, en concreto, señala lo siguiente: cada uno aborda un mecanismo de fallo distinto que los controles de proceso por sí solos no pueden mitigar completamente una vez que la placa está diseñada.
1. Accesibilidad de puntos de prueba para las pruebas de verificación SIL
La validación según IEC 62061 requiere pruebas de seguridad funcional de cada función de seguridad a nivel de circuito. Los puntos de prueba deben ser accesibles paralecho de clavos o sonda voladoraaccesoriossin despoblar conectores ni carcasas de blindaje. Diámetro mínimo de la almohadilla:1,0 mmpara sonda automatizada; separación mínima de los componentes adyacentes:2,5 mm. Las redes de seguridad crítica —señales de watchdog, líneas de habilitación, canales de retroalimentación— deben tener cada una un punto de prueba dedicado y direccionable individualmente.
El acceso a los puntos de prueba garantiza que la función de seguridad pueda verificarse después de la fabricación. La siguiente preocupación es asegurarse de que la verificación —y la propia función de seguridad— no puedan ser anuladas por una única falla física en la placa.
2. Separación de Enrutamiento de Canales Redundantes
Las arquitecturas SIL 2/3 de doble canal requieren que las rutas de señal del Canal A y del Canal B mantengan≥ 2,5 mm de separación espacial(o una pista de guarda de tierra enrutada) para evitar fallos de causa común debidos a un único puente de soldadura, descarga electrostática (ESD) o una grieta a nivel de placa que derrote simultáneamente ambos canales. Esta separación debe mantenerse a través de las transiciones de vías y en las capas internas de cobre, no solo en la capa externa donde es visualmente evidente durante la revisión DFM.
La separación espacial aborda el acoplamiento de fallas en el plano entre canales. La tercera regla aborda el límite de aislamiento fuera del plano que separa los dominios de voltaje peligroso de la lógica de seguridad que los supervisa.
3. Diseño de ranura de aislamiento de alto voltaje
Para los controladores de seguridad con requisitos de aislamiento reforzado (IEC 60664-1, Grado de Contaminación 2, Categoría de Sobretensión III), la ranura de aislamiento en la PCB entre los dominios de tensión peligrosa y de seguridad de muy baja tensión (SELV) debe ser≥ 1,0 mm de anchoenrutado de forma continua sin máscara de soldadura que cubra el hueco, y marcado en los datos Gerber como una característica controlada. La contaminación de la superficie en esta ranura —debida a un flux mal aplicado o a una limpieza de la placa incompleta— constituye una falla directa de distancias de fuga. La geometría de la ranura debe permitir que la química de lavado penetre toda la profundidad de la ranura; las placas limpiadas en el limpiador por lotes KED600 se validan específicamente para la limpieza del interior de la ranura conforme a los límites de contaminación iónica de la IPC-610.
¿Listo para validar el proceso de PCBA de su controlador de seguridad?
Los controles de proceso descritos aquí —SPC vinculado a PFMEA, retroalimentación de lazo cerrado de SPI 3D, trazabilidad de componentes mediante MES y soldadura selectiva por ola— son disciplinas de producción activas en PCBCart, no afirmaciones del sistema de calidad. Cada uno genera la evidencia de proceso que requiere un expediente de validación de seguridad funcional: cuantitativa, trazable y lista para auditoría.
Si está diseñando un controlador de seguridad SIL 2 o SIL 3 y necesita un socio de fabricación cuyo historial de procesos pueda respaldar su archivo de validación IEC 62061, dispone de dos recursos de forma inmediata:
→ Solicitar una revisión DFM GRATUITApara el paquete Gerber del controlador de seguridad. Nuestro equipo de ingeniería devolverá un informe estructurado que cubrirá la accesibilidad de los puntos de prueba, la separación de canales y el cumplimiento de las ranuras de aislamiento en un plazo de 48 horas.
Contacte con el equipo de ingeniería de PCBCart: [Solicitar revisión DFM]
PCBCart opera bajo un sistema de gestión de calidad certificado según IATF 16949. Nuestros protocolos de control de procesos de grado automotriz — PFMEA, SPC, Planes de Control y trazabilidad MES a nivel de componente — cumplen o superan los requisitos de capacidad sistemática para la electrónica de seguridad industrial y de ciencias de la vida no implantable.
Recursos útiles
•Estrategias de ensamblaje híbrido para componentes THT y SMT
•Comparación de AOI, ICT y AXI y cuándo utilizarlos durante el ensamblaje SMT de PCB
•Algunos métodos prácticos para evaluar las capacidades del ensamblador SMT
•Requisito de diseño de esténcil en componentes QFN para el rendimiento óptimo de la PCBA
•Ensamblaje avanzado de PCB
