Quand une soudure devient une obligation de sécurité
Une machine s’arrête. Un bras robotique ne parvient pas à se bloquer. Un convoyeur ne détecte pas l’obstruction. Dans chaque scénario, la défaillance en amont n’est souvent pas le relais de sécurité lui-même — c’est une jonction ouverte intermittente sur le PCBA du contrôleur de sécurité auquel le relais se fie.
Les normes IEC 62061 et ISO 13849 ne se contentent pas de définir des objectifs de fiabilité pour les fonctions de sécurité. Elles établissent une chaîne de preuves juridiquement contraignante, depuis le niveau d’intégrité de sécurité (SIL) ou le niveau de performance (PL) au niveau système jusqu’aux composants matériels et — de manière déterminante — aux procédés de fabrication qui les produisent. Pour les contrôleurs SIL 2 et SIL 3, une cavité de soudure sous un QFN de ligne d’alimentation ou une soudure froide sur un pilote de bobine de relais de sécurité n’est pas un problème de rendement. C’est un mode de défaillance systématique qui peut invalider la revendication SIL.
Cela impose trois exigences non négociables au fournisseur de services EMS :
Contrôle de processus fondé sur des preuves statistiques, pas seulement une validation réussite/échec en fin de ligne
Traçabilité au niveau des composantsqui résiste à un audit post-incident
Discipline des procédés thermiquessur des cartes hétérogènes intégrant à la fois une logique CMS et des composants passifs traversants critiques pour la sécurité
Les sections suivantes abordent chaque exigence dans l’ordre, en commençant par la manière dont l’AMDE de processus traduit la réduction du risque de sécurité en contrôles SMT mesurables, puis en examinant les disciplines spécifiques d’inspection et de brasage qui rendent ces contrôles opérationnels, et en concluant par trois règles de DFM qui déterminent si une conception de contrôleur de sécurité est, ou non, fabricable conformément aux exigences SIL.
PFMEA × SMT : Relier la réduction des risques selon l’IEC 62061 et les modes de défaillance des processus
La norme IEC 62061 exige une analyse systématique des dangers (HARA) et une architecture de réduction des risques. Ce qui est moins souvent abordé, c’est que chaque mesure de réduction des risques mise en œuvre dans le matériel dépend de l’intégrité du processus de fabrication de la carte électronique (PCBA) qui la réalise. Un circuit de surveillance à double canal conçu pour le SIL 3 fonctionne au SIL 0 si les deux lignes d’activation des canaux partagent un pont de soudure qui n’a pas été détecté.
Dans un système de qualité IATF 16949, l’Analyse des Modes de Défaillance et de leurs Effets appliquée au procédé (PFMEA) et le Plan de Contrôle sont des documents évolutifs. Pour les cartes de sécurité fonctionnelle, ces outils sont explicitement étendus afin de relier les modes de défaillance SMT à la dégradation des fonctions de sécurité. Le Tableau 1 illustre la manière dont cinq modes de défaillance représentatifs sont évalués dans ce cadre et reliés à la fois aux contrôles de procédé et aux méthodes de détection :
| Mode de défaillance du procédé SMT | Impact potentiel sur la fonction de sécurité | Méthode de contrôle | Détection |
| Pâte à braser insuffisante (QFN/BGA) | Ouverture intermittente → Perte de canal SIL | Portillon de volume à boucle fermée SPI ±15 % | SPI 3D 100% |
| Pont de soudure sur la barrière d’isolation | Résistance à la tension dégradée → danger | Audit des espacements selon l’IPC-A-610 Classe 3 | AOI 3D 100 % |
| Mauvais positionnement du composant (pilote de relais de sécurité) | Seuil de commutation incorrect | Vérification de placement Vision + MES | AOI + rayons X |
| Dommages thermiques (reflow Δ dépassement) | Défaillance diélectrique latente | Refusion N₂ profilée, témoin thermocouple | SPC de procédé |
| Rapport de vides >25 % dans le plot de puissance (QFN) | Emballement thermique sous courant de défaut | Quantification automatisée des vides par rayons X | AXI 100 % |
Les notes de gravité de l’AMDE de procédé pour les modes de défaillance liés aux fonctions de sécurité sont forcées au niveau maximal (S = 9–10), ce qui impose à la fois des moyens de détection et des contrôles de procédé — et non la seule détection. Cela reflète directement l’exigence de l’IEC 62061 selon laquelle les défaillances systématiques doivent être traitées au niveau du procédé, et non compensées par la seule couverture diagnostique.
Le contrôle statistique des processus (SPC) est appliqué au volume de pâte, à la température de pic de refusion et à la vitesse du convoyeur en tant que caractéristiques clés du procédé (KPC). Des cartes de contrôle avec des objectifs de Cpk ≥ 1,67 fournissent les preuves quantitatives du procédé exigées par les auditeurs de sécurité. La plus importante de ces KPC — le volume de pâte — est le point de départ du niveau de contrôle suivant.
Contrôle en boucle fermée de l’inspection 3D par SPI : la première ligne de défense contre les soudures froides
Les soudures froides et la quantité insuffisante de soudure comptent systématiquement parmi les principales causes profondes de défaillance sur le terrain dans les assemblages de contrôleurs de sécurité — en particulier sur les pastilles de puissance QFN et les cadres de broches de circuits intégrés à pas fin, où l’inspection visuelle après refusion est structurellement impossible. Lorsque qu’une soudure froide se manifeste finalement par une ouverture intermittente sur le terrain, la fenêtre de fabrication permettant de la détecter est depuis longtemps refermée.
La réponse du procédé commence avant la pose du composant. L’inspection 3D de pâte à braser à grande vitesse mesure le volume de pâte sur chaque dépôt de chaque carte, en le comparant aux valeurs nominales avec une fenêtre de tolérance de±15 %Tout dépôt en dehors de cette plage déclenche un signal de rétroaction en boucle fermée envoyé immédiatement à l’imprimante de pâte à braser, qui ajuste automatiquement la pression de la racle ou les paramètres de séparation avant l’entrée de la carte suivante.
Ce n’est pas un échantillonnage statistique. Il s’agit d’un contrôle à 100 % des cartes et à 100 % des dépôts, avec correction du procédé en temps réel. Effet pratique sur la fabrication d’un contrôleur de sécurité :
Le Cpk du volume de pâte est maintenu au-dessus de1,67sur les pastilles critiques (pilotes de relais de sécurité, circuits intégrés de gestion de l’alimentation, pilotes de grille isolés)
Les circuits présentant des dépôts hors tolérance sont mis en quarantaine avant le placement — et non après la refusion, où les risques de retouche et de nouvelle exposition thermique augmentent
L’enregistrement de données SPI fait partie du dossier de traçabilité de la carte, fournissant des preuves de procédé pour les fichiers de validation SIL
Remarque pour les conceptions à double canal de niveau SIL 3 :les deux canaux sur la même carte doivent satisfaire indépendamment la limite KPC de volume de pâte. Un défaut de pâte sur un seul canal d’une fonction de sécurité redondante constitue une défaillance systématique partielle — la SPI 3D l’isole avant le placement, avant que le défaut ne soit figé sous le boîtier d’un composant.
L’enregistrement de données SPI n’est pas autonome. Il s’intègre directement dans la chaîne de traçabilité au niveau des composants exigée par les audits de sécurité fonctionnelle.
Traçabilité au niveau des composants du MES : création de la piste d’audit exigée par l’IEC 62061
Les normes de sécurité fonctionnelle exigent que l’argument de « preuve en service » ou la revendication de capacité systématique soient étayés par des enregistrements de production traçables. Après un incident sur le terrain, la capacité d’identifier quel lot de relais de sécurité, quel lot de condensateurs d’isolement et quel profil de refusion ont produit un numéro de série donné n’est pas facultative — c’est ce qui fait la différence entre une action de confinement ciblée et un rappel complet du marché.
Le Smart MES de PCBCart capture et verrouille la chaîne de données suivante pour chaque carte, depuis le matériau entrant jusqu’au numéro de série marqué au laser :
Acceptation de lot IQC
↓
Scan de bobine de composants (UID lié au MPN + lot + code date)
↓
Placement Panasonic NPM-W2 (ID machine + ID buse + horodatage par composant)
↓
Profil du four de refusion (températures réelles des zones, vitesse du convoyeur, atmosphère)
↓
Résultat AOI 3D (réussite/échec par carte + coordonnées des défauts)
↓
Résultat rayons X (pourcentage de vides BGA/QFN par boîtier)
↓
Numéro de série marqué au laser (UID de la carte lié à tous les enregistrements en amont)
Cette chaîne de données n’est pas une charge documentaire, c’est une capacité opérationnelle de confinement. Chaque composant critique — amplificateurs d’isolement, pilotes de relais de sécurité, capteurs à effet Hall, pilotes de grille de l’étage de puissance — est relié à son numéro de lot de bobine physique. Si un fournisseur émet une alerte terrain sur un code date spécifique de composant, PCBCart peut identifier en quelques minutes les cartes concernées, leur statut d’expédition et leur client final, sans recoupement manuel de dossiers papier.
Cette rapidité de réponse n’est possible que parce que la traçabilité se fait au niveau des composants, et non au niveau des lots. Cette architecture génère les enregistrements de production exigés par la clause 8 de l’IEC 62061 et la clause 10 de l’ISO 13849-1 — sans les charges supplémentaires d’une surcouche de système qualité distinct.
La traçabilité, cependant, ne saisit que ce que le processus produit. L’intégrité thermique des joints de soudure eux-mêmes — en particulier lorsque des composants traversants de sécurité critique partagent une carte avec des CMS à pas fin — dépend d’une discipline de procédé entièrement distincte.
Brasage sélectif à la vague : protéger les composants CMS voisins lorsque les relais de sécurité passent en THT
De nombreux contrôleurs de sécurité industriels combinentcircuits intégrés logiques et de gestion de puissance montés en surfaceavec des relais de sécurité traversants, des borniers et des connecteurs haute intensité. Les composants traversants supportent des charges mécaniques et électriques qui excluent leur remplacement par des équivalents CMS — il s’agit d’une contrainte de conception, et non d’un choix hérité.
La réponse conventionnelle de brasage à la vague pour ce mélange expose l’ensemble de la carte à une vague de soudure à 255–265 °C — une seconde excursion thermique complète que les composants CMS n’ont pas été conçus pour supporter de manière répétée. Pour les condensateurs céramiques 0402 adjacents aux empreintes de relais de sécurité, ainsi que pour les capteurs à effet Hall et les réseaux de résistances de précision dans les circuits de mesure de sécurité, ce second choc thermique introduit :
Fissuration du condensateur (contrainte mécanique due à la dilatation thermique différentielle)
Dérive de la résistance au-delà de la tolérance initiale (défaillance latente de précision dans les voies de mesure de sécurité)
Piégeage de flux sous un espacement réduit des composants (contamination ionique, risque accru de courant de fuite à travers les barrières d’isolation)
La machine de soudure sélective à la vague ZSWHPS-11-2 élimine cette exposition en déposant de la soudure uniquement sur les pastilles THT définies — une buse programmable suit l’empreinte exacte de chaque connecteur traversant et de chaque relais, sans jamais entrer en contact avec la population CMS environnante. Paramètres clés du procédé :
Temps de contact de soudure localisé3 à 5 secondes par articulation, contre 6 à 8 secondes pour une onde complète
Élévation de la température du circuit imprimé au niveau des composants CMS adjacents :< 40 °C au-dessus de la température ambiante
L’application du flux est tout aussi sélective — aucune surpulvérisation sur les intervalles d’isolement voisins ni sur les pastilles de capteurs
Ensemble, ces paramètres garantissent que le joint THT reçoit suffisamment d’énergie thermique et de temps de séjour pour une formation complète des intermétalliques, tandis que la population de composants CMS environnante ne dépasse jamais son budget thermique de seconde refusion. Il en résulte une carte sur laquelle le relais de sécurité atteint une intégrité complète de congé de brasure conforme à l’IPC-A-610 Classe 3, et les condensateurs de découplage 0402 situés à 2 mm n’ont subi qu’une — et une seule — excursion thermique de refusion.
Cependant, la discipline des procédés sur le site de production ne peut compenser que dans une certaine mesure les décisions de conception prises en amont. Trois choix de conception de l’implantation déterminent si un PCBA de contrôleur de sécurité est, ou non, fabricable conformément aux exigences SIL.
Règles DFM spécifiques aux contrôleurs de sécurité fonctionnelle
Avant qu’un PCBA de sécurité fonctionnelle n’entre sur la ligne SMT, trois décisions au niveau de la conception ont un impact disproportionné sur le procédé. PCBCartRevue DFMpour les contrôleurs de sécurité, signale spécifiquement les éléments suivants — chacun traite un mécanisme de défaillance distinct que les seules commandes de procédé ne peuvent pas entièrement atténuer une fois la carte conçue.
1. Accessibilité des points de test pour les essais de vérification SIL
La validation selon l’IEC 62061 exige des essais de sécurité fonctionnelle de chaque fonction de sécurité au niveau du circuit. Les points de test doivent être accessibles àlit de clous ou sonde volanteaccessoiressans retirer les connecteurs ni les boîtiers de blindage. Diamètre minimal de pastille :1,0 mmpour sonde automatisée ; distance minimale par rapport aux composants adjacents :2,5 mmLes réseaux critiques pour la sécurité — signaux de surveillance, lignes d’activation, canaux de rétroaction — doivent chacun disposer d’un point de test dédié et adressable individuellement.
L’accès au point de test garantit que la fonction de sécurité peut être vérifiée après la fabrication. La préoccupation suivante consiste à s’assurer que cette vérification — et la fonction de sécurité elle-même — ne peuvent pas être neutralisées par une seule défaillance physique sur la carte.
2. Séparation redondante du routage des canaux
Les architectures à double canal SIL 2/3 exigent que les chemins de signal du canal A et du canal B maintiennentséparation spatiale ≥ 2,5 mm(ou une piste de garde de masse routée) pour éviter une défaillance de cause commune due à un seul pont de soudure, à une décharge électrostatique (ESD) ou à une fissure au niveau du circuit imprimé qui mettrait simultanément hors service les deux canaux. Cette séparation doit être maintenue à travers les transitions de vias et sur les couches internes de cuivre — et pas seulement sur la couche externe où elle est visuellement apparente lors de la revue DFM.
La séparation spatiale traite du couplage de défaillance dans le plan entre les canaux. La troisième règle traite de la limite d’isolation hors du plan qui sépare les domaines de tension dangereuse de la logique de sécurité qui les surveille.
3. Conception de fente d’isolation haute tension
Pour les contrôleurs de sécurité soumis à des exigences d’isolation renforcée (IEC 60664-1 Degré de pollution 2, Catégorie de surtension III), la fente d’isolement du circuit imprimé entre les domaines de tension dangereuse et de très basse tension de sécurité (SELV) doit être≥ 1,0 mm de largeacheminé en continu sans vernis épargne pontant l’espace, et signalé dans les données Gerber comme une caractéristique contrôlée. Toute contamination de surface dans cette fente — due à un flux mal appliqué ou à un nettoyage de carte incomplet — constitue une défaillance directe de ligne de fuite. La géométrie de la fente doit permettre à la chimie de lavage de pénétrer sur toute la profondeur de la fente ; les cartes nettoyées dans le nettoyeur par lots KED600 sont spécifiquement validées pour la propreté de l’intérieur de la fente selon les limites de contamination ionique de l’IPC-610.
Prêt à valider votre processus PCBA de contrôleur de sécurité ?
Les contrôles de processus décrits ici — SPC lié au PFMEA, boucle fermée de rétroaction via SPI 3D, traçabilité des composants par MES et brasage sélectif à la vague — sont des pratiques de production actives chez PCBCart, et non de simples déclarations de système qualité. Chacune d’elles génère les preuves de processus qu’exige un dossier de validation de sécurité fonctionnelle : quantitatives, traçables et prêtes pour l’audit.
Si vous concevez un contrôleur de sécurité SIL 2 ou SIL 3 et avez besoin d’un partenaire de fabrication dont l’historique des processus puisse soutenir votre dossier de validation IEC 62061, deux ressources sont immédiatement disponibles :
→ Demander une analyse DFM GRATUITEpour votre package Gerber de contrôleur de sécurité. Notre équipe d’ingénierie vous remettra un rapport structuré couvrant l’accessibilité des points de test, la séparation des canaux et la conformité des fentes d’isolation dans un délai de 48 heures.
Contactez l’équipe d’ingénierie de PCBCart : [Demander une revue DFM]
PCBCart fonctionne selon un système de gestion de la qualité certifié IATF 16949. Nos protocoles de contrôle de processus de niveau automobile — PFMEA, SPC, plans de contrôle et traçabilité MES au niveau des composants — répondent ou dépassent les exigences de capacité systématique pour les dispositifs électroniques de sécurité industriels et de sciences de la vie non implantables.
Ressources utiles
•Stratégies d’assemblage hybrides pour composants THT et SMT
•Comparaison de l’AOI, de l’ICT et de l’AXI et moment de les utiliser lors de l’assemblage SMT des PCB
•Quelques méthodes pratiques pour évaluer les capacités d’un assembleur SMT
•Exigences de conception de pochoir pour les composants QFN en vue des performances optimales des PCBA
•Assemblage avancé de circuits imprimés
