Quando una giunzione di saldatura diventa un obbligo di sicurezza
Una macchina si ferma. Un braccio robotico non riesce ad arrestarsi. Un nastro trasportatore non rileva l’ostacolo. In ciascuno di questi scenari, il guasto a monte spesso non è il relè di sicurezza stesso, ma è un giunto aperto intermittente sulla scheda PCBA del controllore di sicurezza di cui il relè si fida.
IEC 62061 e ISO 13849 non definiscono semplicemente obiettivi di affidabilità per le funzioni di sicurezza. Creano una catena di evidenze giuridicamente vincolante che va dal livello di integrità della sicurezza (SIL) o dal livello di prestazione (PL) a livello di sistema fino ai componenti hardware e — in modo determinante — ai processi di produzione che li realizzano. Per i controllori SIL 2 e SIL 3, una cavità di saldatura sotto un QFN della rail di alimentazione o una saldatura fredda sul driver della bobina di un relè di sicurezza non è un problema di resa. Si tratta di una modalità di guasto sistematico che può invalidare la dichiarazione di SIL.
Questo impone tre requisiti non negoziabili al fornitore EMS:
Controllo di processo con evidenze statistiche, non solo esito superato/non superato a fine linea
Tracciabilità a livello di componenteche supera un audit post-incidente
Disciplina dei processi termicisu schede eterogenee che ospitano sia logica SMD che componenti passivi THT di sicurezza critica
Le sezioni che seguono affrontano ciascuna esigenza in sequenza, iniziando da come la FMEA di processo traduce la riduzione del rischio di sicurezza in controlli SMT misurabili, quindi esaminando le specifiche procedure di ispezione e saldatura che rendono operativi tali controlli e concludendo con tre regole DFM che determinano se un progetto di controllore di sicurezza sia in generale producibile in conformità ai requisiti SIL.
PFMEA × SMT: Collegare la riduzione del rischio secondo IEC 62061 e le modalità di guasto di processo
La norma IEC 62061 richiede un’analisi sistematica dei pericoli (HARA) e un’architettura di riduzione del rischio. Ciò di cui si parla meno spesso è che ogni misura di riduzione del rischio implementata nell’hardware dipende dall’integrità del processo di produzione del PCBA che la realizza. Un circuito watchdog a doppio canale progettato per SIL 3 funziona a SIL 0 se entrambe le linee di abilitazione dei canali condividono un ponticello di saldatura che non è stato rilevato.
In base a un sistema di qualità IATF 16949, l’Analisi dei Modi e degli Effetti di Guasto di Processo (PFMEA) e il Piano di Controllo sono documenti dinamici. Per le schede di sicurezza funzionale, questi strumenti sono esplicitamente estesi per collegare i modi di guasto SMT al degrado delle funzioni di sicurezza. La Tabella 1 illustra come cinque modi di guasto rappresentativi vengono valutati all’interno di questo quadro e collegati sia ai controlli di processo sia ai metodi di rilevamento:
| Modalità di guasto del processo SMT | Impatto potenziale sulla funzione di sicurezza | Metodo di controllo | Rilevamento |
| Pasta saldante insufficiente (QFN/BGA) | Apertura intermittente → perdita del canale SIL | Cancello di volume SPI ad anello chiuso ±15% | SPI 3D 100% |
| Ponte di saldatura sulla barriera di isolamento | Resistenza alla tensione degradata → pericolo | Verifica delle distanze secondo IPC-A-610 Classe 3 | 3D AOI 100% |
| Posizionamento errato del componente (driver relè di sicurezza) | Soglia di commutazione errata | Verifica del posizionamento Vision + MES | AOI + Raggi X |
| Danno termico (Δ di rifusione in overshoot) | Guasto dielettrico latente | Riflusso N₂ profilato, termocoppia di controllo | SPC di processo |
| Rapporto di vuoti >25% nel pad di potenza (QFN) | Fuga termica sotto corrente di guasto | Quantificazione automatizzata delle cavità ai raggi X | AXI 100% |
Le valutazioni di Gravità della PFMEA per i modi di guasto collegati alle funzioni di sicurezza sono forzate al livello massimo (S = 9–10), il che impone sia controlli di rilevamento sia controlli di processo — non il solo rilevamento. Questo rispecchia direttamente il requisito della IEC 62061 secondo cui i guasti sistematici devono essere affrontati a livello di processo, e non compensati dalla sola copertura diagnostica.
Il Controllo Statistico di Processo (SPC) viene applicato al volume della pasta, alla temperatura di picco del riflusso e alla velocità del trasportatore come caratteristiche chiave di processo (KPC). Le carte di controllo con obiettivi di Cpk ≥ 1,67 forniscono le prove quantitative di processo richieste dagli auditor per la sicurezza. La più importante tra queste KPC — il volume della pasta — è il punto in cui inizia il livello di controllo successivo.
Controllo a circuito chiuso SPI 3D: la prima linea di difesa contro le saldature fredde
Le giunzioni fredde e la saldatura insufficiente rientrano costantemente tra le principali cause radice dei guasti sul campo negli assiemi di safety controller, in particolare sui pad di potenza QFN e sui lead frame di circuiti integrati a passo fine, dove l’ispezione visiva dopo il reflow è architettonicamente impossibile. Quando una giunzione fredda si manifesta come un’apertura intermittente sul campo, la finestra di produzione per individuarla è ormai da tempo chiusa.
La risposta del processo inizia prima che il componente venga posizionato. L’Ispezione della Pasta Salda 3D ad Alta Velocità misura il volume della pasta su ogni deposito di ogni scheda, confrontandolo con i valori nominali con una soglia di tolleranza di±15%Qualsiasi deposito al di fuori di questa finestra attiva un immediato segnale di feedback ad anello chiuso verso la stampante per pasta saldante, che regola automaticamente la pressione della racla o i parametri di distacco prima che entri la scheda successiva.
Questo non è un campionamento statistico. Si tratta di un’ispezione del 100% delle schede e del 100% dei depositi con correzione del processo in tempo reale. L’effetto pratico sulla costruzione di un controllore di sicurezza:
Il Cpk del volume della pasta è mantenuto sopra1,67su pad critici (driver di relè di sicurezza, circuiti integrati di gestione dell'alimentazione, driver di gate isolati)
Le schede con depositi fuori tolleranza vengono messe in quarantena prima del posizionamento, non dopo il riflusso, quando il rischio di rilavorazione e la nuova esposizione termica aumentano.
Il record di dati SPI diventa parte del pacchetto di tracciabilità della scheda, fornendo prove di processo per i file di validazione SIL
Nota per i progetti a doppio canale SIL 3:entrambi i canali sulla stessa scheda devono soddisfare in modo indipendente il gate KPC del volume di pasta. Un difetto di pasta su un singolo canale in una funzione di sicurezza ridondante è un guasto sistematico parziale: il 3D SPI lo isola prima del posizionamento, prima che il difetto venga bloccato sotto il corpo di un componente.
Il record di dati SPI non è autonomo. Alimenta direttamente la catena di tracciabilità a livello di componente richiesta dagli audit di sicurezza funzionale.
Tracciabilità a livello di componente nel MES: creare la pista di controllo richiesta dalla IEC 62061
Le norme di sicurezza funzionale richiedono che l’argomentazione “provata in uso” o la dichiarazione di capacità sistematica sia supportata da registrazioni di produzione tracciabili. Dopo un incidente sul campo, la capacità di identificare quale lotto di relè di sicurezza, quale partita di condensatori di isolamento e quale profilo di rifusione ha prodotto un determinato numero di serie non è facoltativa: è ciò che distingue un’azione di contenimento mirata da un richiamo completo dal mercato.
Il sistema Smart MES di PCBCart acquisisce e blocca la seguente catena di dati per ogni scheda, dal materiale in entrata al numero di serie marcato al laser:
Accettazione lotto IQC
↓
Scansione bobina componenti (UID collegato a MPN + lotto + codice data)
↓
Posizionamento Panasonic NPM-W2 (ID macchina + ID ugello + timestamp per componente)
↓
Profilo forno di rifusione (temperature effettive delle zone, velocità del nastro, atmosfera)
↓
Risultato AOI 3D (esito per scheda pass/fail + coordinate del difetto)
↓
Risultato a raggi X (percentuale di vuoti BGA/QFN per package)
↓
Numero di serie marcato a laser (UID scheda collegato a tutti i record a monte)
Questa catena di dati non è un sovraccarico documentale, ma una capacità operativa di contenimento. Ogni componente critico — amplificatori di isolamento, driver dei relè di sicurezza, sensori ad effetto Hall, driver di gate dello stadio di potenza — è collegato al numero di lotto fisico della bobina. Se un fornitore emette un avviso sul campo relativo a uno specifico codice data di un componente, PCBCart può identificare in pochi minuti le schede interessate, il loro stato di spedizione e il relativo cliente finale, senza dover incrociare manualmente i registri cartacei.
Quella velocità di risposta è possibile solo perché la tracciabilità è a livello di componente, non a livello di lotto. Questa architettura genera i registri di produzione richiesti dalla documentazione IEC 62061 Clausola 8 e ISO 13849-1 Clausola 10, senza l’onere di un ulteriore livello sovrapposto di sistema qualità.
La tracciabilità, tuttavia, registra solo ciò che il processo produce. L’integrità termica delle giunzioni di saldatura in sé — in particolare nei punti in cui componenti passanti critici per la sicurezza condividono la scheda con SMD a passo fine — dipende invece da una disciplina di processo del tutto separata.
Saldatura a onda selettiva: proteggere i vicini SMD quando i relè di sicurezza diventano THT
Molti controllori di sicurezza industriali combinanoIC logici e di gestione dell'alimentazione per montaggio superficialecon relè di sicurezza a foro passante, morsettiere e connettori ad alta corrente. I componenti a foro passante sopportano carichi meccanici ed elettrici che ne impediscono la sostituzione con equivalenti SMD: si tratta di un vincolo di progettazione, non di una scelta dettata da motivi di legacy.
La risposta convenzionale della saldatura a onda a questa combinazione espone l’intera scheda a un’onda di saldatura a 255–265°C — una seconda escursione termica completa che i componenti SMD non sono stati progettati per sopportare ripetutamente. Per i condensatori ceramici 0402 adiacenti alle piazzole dei relè di sicurezza, e per i sensori ad effetto Hall e le reti di resistori di precisione nei circuiti di misura di sicurezza, questo secondo shock termico introduce:
Cracking del condensatore (sollecitazioni meccaniche dovute alla differenza di dilatazione termica)
Deriva della resistenza oltre la tolleranza iniziale (guasto latente di accuratezza nei percorsi di misura di sicurezza)
Intrappolamento di flusso in presenza di spaziatura ridotta tra i componenti (contaminazione ionica, rischio elevato di correnti di fuga attraverso le barriere di isolamento)
La macchina di saldatura selettiva a onda ZSWHPS-11-2 elimina questa esposizione fornendo la saldatura solo ai pad THT definiti: un ugello programmabile traccia l’impronta esatta di ciascun connettore e relè passante, senza mai entrare in contatto con la popolazione SMD circostante. Parametri di processo chiave:
Tempo di contatto di saldatura localizzato:3–5 secondi per articolazione, contro 6–8 secondi per l’onda completa
Aumento della temperatura della scheda nei componenti SMD adiacenti:< 40 °C sopra l'ambiente
L’applicazione del flussante è altrettanto selettiva: nessuna nebulizzazione eccessiva sugli spazi di isolamento vicini o sui pad dei sensori
Insieme, questi parametri assicurano che il giunto THT riceva sufficiente energia termica e tempo di permanenza per una completa formazione degli intermetallici, mentre i componenti SMD circostanti non superano mai il loro limite termico di secondo riflusso. Il risultato è una scheda in cui il relè di sicurezza raggiunge la piena integrità del cordone di saldatura secondo IPC-A-610 Classe 3, e i condensatori di bypass 0402 a 2 mm di distanza hanno subito una — e una sola — escursione termica di riflusso.
Tuttavia, la disciplina dei processi sul piano di produzione può compensare solo fino a un certo punto le decisioni di progettazione prese a monte. Tre scelte di layout determinano se un PCBA del controllore di sicurezza sia in generale producibile in conformità ai requisiti SIL.
Regole DFM specifiche per i controllori di sicurezza funzionale
Prima che un PCBA di sicurezza funzionale entri nella linea SMT, tre decisioni a livello di progettazione hanno un impatto sproporzionato sul processo. PCBCart'sRevisione DFMper i controllori di sicurezza in particolare segnala quanto segue — ognuno affronta un distinto meccanismo di guasto che i soli controlli di processo non possono mitigare completamente dopo che la scheda è stata progettata.
1. Accessibilità dei punti di test per la verifica SIL
La validazione secondo IEC 62061 richiede il collaudo della sicurezza funzionale di ogni funzione di sicurezza a livello di circuito. I punti di prova devono essere accessibili aletto di chiodi o sonda volanteinfissisenza rimuovere connettori o schermature. Diametro minimo del pad:1,0 mmper sonda automatizzata; distanza minima dai componenti adiacenti:2,5 mm. Le reti critiche per la sicurezza — segnali di watchdog, linee di abilitazione, canali di feedback — devono ciascuna avere un punto di test dedicato e indirizzabile singolarmente.
L’accesso ai punti di test garantisce che la funzione di sicurezza possa essere verificata dopo la produzione. Il passo successivo è assicurarsi che tale verifica — e la funzione di sicurezza stessa — non possano essere compromesse da un singolo guasto fisico sulla scheda.
2. Separazione del routing dei canali ridondanti
Le architetture SIL 2/3 a doppio canale richiedono che i percorsi di segnale del Canale A e del Canale B mantenganoseparazione spaziale ≥ 2,5 mm(o una pista di guardia di massa instradata) per prevenire un guasto a causa comune dovuto a un singolo ponte di saldatura, una scarica ESD o una crepa a livello di scheda che comprometta simultaneamente entrambi i canali. Questa separazione deve essere mantenuta attraverso le transizioni dei via e sugli strati interni di rame — non solo sullo strato esterno dove è visivamente evidente durante la revisione DFM.
La separazione spaziale affronta l’accoppiamento di guasti nel piano tra i canali. La terza regola riguarda il limite di isolamento fuori dal piano che separa i domini di tensione pericolosa dalla logica di sicurezza che li monitora.
3. Progettazione della fessura di isolamento ad alta tensione
Per i controllori di sicurezza con requisiti di isolamento rinforzato (IEC 60664-1 Grado di inquinamento 2, Categoria di sovratensione III), la fessura di isolamento sul PCB tra i domini di tensione pericolosa e di sicurezza a bassissima tensione (SELV) deve essere≥ 1,0 mm di larghezzainstradato in modo continuo senza che la solder mask colmi il divario e contrassegnato nei dati Gerber come una caratteristica controllata. La contaminazione superficiale in questa fessura — dovuta a flussante applicato in modo errato o a una pulizia della scheda non completa — costituisce un guasto diretto per creepage. La geometria della fessura deve consentire alla chimica di lavaggio di penetrare per l’intera profondità della fessura; le schede pulite nel KED600 Batch Cleaner sono specificamente validate per la pulizia dell’interno della fessura in conformità ai limiti di contaminazione ionica IPC-610.
Pronto per convalidare il processo PCBA del tuo safety controller?
I controlli di processo descritti qui — SPC collegato alla PFMEA, feedback in circuito chiuso della SPI 3D, tracciabilità dei componenti tramite MES e saldatura selettiva a onda — sono pratiche di produzione attive presso PCBCart, non affermazioni del sistema di qualità. Ciascuno di essi genera le evidenze di processo richieste da un fascicolo di validazione della sicurezza funzionale: quantitative, tracciabili e pronte per l’audit.
Se state progettando un controllore di sicurezza SIL 2 o SIL 3 e avete bisogno di un partner di produzione il cui storico dei processi possa sostenere il vostro dossier di validazione IEC 62061, sono immediatamente disponibili due risorse:
→ Richiedi una revisione DFM GRATUITAper il pacchetto Gerber del tuo controller di sicurezza. Il nostro team di ingegneria ti fornirà un rapporto strutturato entro 48 ore, che coprirà l’accessibilità dei test point, la separazione dei canali e la conformità delle fessure di isolamento.
Contatta l'ingegneria PCBCart: [Richiedi revisione DFM]
PCBCart opera secondo un sistema di gestione della qualità certificato IATF 16949. I nostri protocolli di controllo di processo di livello automobilistico — PFMEA, SPC, piani di controllo e tracciabilità MES a livello di componente — soddisfano o superano i requisiti di capacità sistematica per l’elettronica di sicurezza industriale e per le scienze della vita non impiantabile.
Risorse utili
•Strategie di assemblaggio ibride per componenti THT e SMT
•Confronto tra AOI, ICT e AXI e quando utilizzarli durante l’assemblaggio SMT dei PCB
•Alcuni metodi utili per valutare le capacità dell'assemblatore SMT
•Requisiti di progettazione dello stencil per componenti QFN per le prestazioni ottimali della PCBA
•Assemblaggio PCB avanzato
