Im Bereich schwerer Maschinen und der industriellen Automatisierung ist Sicherheit keine Zusatzfunktion, sondern die Grundanforderung. Die industrielle zweikanalige Sicherheitssteuerungs-Leiterplatte bildet das Hardware-Rückgrat moderner sicherheitsgerichteter Systeme (SIS). Anders als bei gewöhnlicher Unterhaltungselektronik müssen diese Leiterplatten Fehler aktiv erkennen und Maschinen im Störfall in einen sicheren Zustand versetzen. Ob Not-Halt-Kreise an einer Montagelinie gesteuert oder Hochspannungs-Verriegelungen überwacht werden: Die Integrität der Leiterplatte bestimmt den Safety Integrity Level (SIL) der gesamten Maschine.
Dieser Leitfaden behandelt den kompletten Lebenszyklus dieser kritischen Baugruppen, von der Architekturdefinition bis zur Fertigungsvalidierung.
Zentrale Erkenntnisse
- Redundanz ist verpflichtend: Echte Zweikanal-Designs erfordern physische und elektrische Trennung, damit Common Cause Failures (CCF) vermieden werden.
- Die Materialwahl bestimmt die Zuverlässigkeit: High-Tg-FR4 oder Polyimid ist häufig erforderlich, um industrielle Temperaturwechsel ohne Delamination zu überstehen.
- Die Bewertung geht über reine Durchgängigkeit hinaus: Schon in der Entwicklung müssen Mean Time to Dangerous Failure (MTTFd) und Diagnostic Coverage (DC) betrachtet werden.
- Prüfung ist nicht verhandelbar: 100% Flying-Probe-Test und funktionale Schaltungstests (FCT) sind bei Produktionsläufen von APTPCB (APTPCB PCB Factory) Standard.
- Sauberkeit beeinflusst die Sicherheit: Ionische Verunreinigung kann isolierte Kanäle elektrisch überbrücken; strenge Reinigungsprozesse sind deshalb essenziell.
- Validierung braucht Rückverfolgbarkeit: Jede Leiterplatte muss auf Rohmaterialcharge und Prüfergebnisse rückverfolgbar sein.
Was „zweikanalige Sicherheitssteuerungs-Leiterplatte“ bedeutet (Umfang und Grenzen)
Bevor wir Kennzahlen betrachten, muss zuerst die Grundarchitektur definiert werden, die eine Standardplatine von einer sicherheitskritischen Ausführung unterscheidet.
Eine industrielle zweikanalige Sicherheitssteuerungs-Leiterplatte ist eine Leiterplatte für Logikarchitekturen wie „1oo2“ (1 aus 2) oder „2oo2“. In einem 1oo2-System verarbeiten zwei unabhängige Kanäle dasselbe Sicherheitssignal, zum Beispiel den Auslöser einer Lichtschranke. Erkennt einer der beiden Kanäle einen Fehler oder eine Abweichung, schaltet das System in den sicheren Zustand.
Die Bedeutung von „industriell“
Der Begriff „industriell“ impliziert die Einhaltung von IPC Class 3 oder mindestens Class 2 mit gezielten Erweiterungen. Er bedeutet, dass die Leiterplatte Folgendes aushalten muss:
- Vibration: Dauerhafte mechanische Belastung, wie sie in Robotiksystemen üblich ist.
- Temperatur: Betriebsbereiche von häufig -40°C bis +85°C oder darüber.
- EMI/EMV: Hohe elektromagnetische Störungen durch Frequenzumrichter (VFDs) und Motoren.
Die Anforderung „zweikanalig“
Gemeint ist physische Redundanz. Das Layout muss sicherstellen, dass ein einzelnes Ereignis, etwa ein Kurzschluss oder ein mechanischer Riss, nicht beide Sicherheitskanäle gleichzeitig außer Kraft setzen kann. Das erfordert oft:
- Kriech- und Luftstrecken, die über gängige UL-Mindestwerte hinausgehen.
- Galvanische Trennung zwischen den Kanälen.
- Unterschiedliche Leitungsführungen, um Übersprechen zu minimieren.
Wichtige Kennzahlen (wie Qualität bewertet wird)
Nachdem die Architektur feststeht, wird die Leistung über konkrete Kennzahlen bewertet, die Sicherheit und Zuverlässigkeit quantifizieren.
Ingenieurteams dürfen sich bei Sicherheitsplatinen nicht allein auf „Bestanden/Nicht bestanden“-Durchgangsprüfungen verlassen. Entscheidend sind hier die Ausfallwahrscheinlichkeit und die Fähigkeit, diesen Ausfall sicher zu erkennen.
| Kennzahl | Warum sie wichtig ist | Typischer Bereich / Faktor | Messmethode |
|---|---|---|---|
| CTI (Comparative Tracking Index) | Bestimmt, wie gut das Leiterplattenmaterial unter Spannung Oberflächenkriechströmen widersteht. | PLC 0 oder 1 (>600V) für Hochspannungssicherheit. | IEC-60112-Prüfung am Basismaterial. |
| Durchschlagfestigkeit des Dielektrikums | Stellt sicher, dass die Isolation zwischen den beiden redundanten Kanälen auch bei Überspannung nicht versagt. | >40kV/mm bei Standard-FR4; höher bei Spezialmaterialien. | Hi-Pot-Test zwischen den Kanälen. |
| Tg (Glasübergangstemperatur) | Verhindert Barrel-Risse und Pad-Ablösungen bei hohen Temperaturen in Betrieb und Montage. | >170°C (High Tg) ist für industrielle Sicherheit üblich. | TMA (Thermomechanical Analysis). |
| Ionische Verunreinigung | Rückstände können elektrochemische Migration auslösen und beide Sicherheitskanäle kurzschließen. | <1,56 µg/cm² NaCl-Äquivalent (IPC-6012). | ROSE-Test (Resistivity of Solvent Extract). |
| Impedanzkontrolle | Kritisch für schnelle Kommunikation zwischen Sicherheitsprozessoren (MCUs). | ±5% oder ±10% Toleranz. | TDR-Coupons (Time Domain Reflectometry). |
| Kupferhaftfestigkeit | Sichert ab, dass Leiterbahnen bei Temperaturstößen oder Vibration nicht abheben. | >1,4 N/mm (nach thermischer Belastung). | Peel-Test an Testcoupons. |
Auswahl nach Anwendung (Abwägungen je Einsatzfall)
Auf Basis dieser Kennzahlen kann die richtige Leiterplattenkonfiguration für den jeweiligen Einsatz ausgewählt werden.
Unterschiedliche industrielle Umgebungen beanspruchen die Leiterplatte auf unterschiedliche Weise. Eine Platine für einen sauberen Schaltschrankraum wird in einem Bergbau-Bagger versagen. So lässt sich die passende Konfiguration einer industriellen zweikanaligen Sicherheitssteuerungs-Leiterplatte je Anwendung auswählen.
Szenario 1: Schwerrobotik (hohe Vibration)
- Herausforderung: Dauerhafte mechanische Schocks können Lötstellen oder Vias beschädigen.
- Abwägung: Flexibilität versus Steifigkeit.
- Auswahl: Starrflex-Leiterplatten einsetzen, um Steckverbinder als Fehlerquelle zu eliminieren. Harzgefüllte Vias helfen, Barrel-Risse zu vermeiden.
- Wichtige Spezifikation: Metallisierungsdicke nach IPC Class 3.
Szenario 2: Hochspannungs-Leistungsverteilung
- Herausforderung: Überschläge zwischen redundanten Kanälen.
- Abwägung: Baugröße versus Isolation.
- Auswahl: Laminate mit hohem CTI (>600V) fordern. Die physischen Kriechstrecken zwischen Kanal A und Kanal B vergrößern.
- Wichtige Spezifikation: Schwerkupfer mit 2oz oder 3oz für die Stromtragfähigkeit.
Szenario 3: Kransteuerung im Außenbereich (Temperaturwechsel)
- Herausforderung: Schnelle Temperaturwechsel erzeugen Ausdehnung und Schrumpfung, die durchkontaktierte Bohrungen belasten.
- Abwägung: Kosten versus CTE-Anpassung.
- Auswahl: Materialien mit niedrigem Ausdehnungskoeffizienten (CTE) in Z-Richtung wählen.
- Wichtige Spezifikation: Tg > 170°C.
Szenario 4: Automotive-Montagelinie (EMI-Rauschen)
- Herausforderung: Schweißroboter erzeugen massive EMI, die falsche Sicherheitsauslösungen verursachen kann.
- Abwägung: Lagenzahl versus Signalintegrität.
- Auswahl: Einen Mehrlagenaufbau mit 6 oder mehr Lagen und dedizierten Masseflächen nutzen, die Sicherheitssignale abschirmen.
- Wichtige Spezifikation: Geschlossene Referenzflächen und Stitching-Vias.
Szenario 5: Chemische Verarbeitung (Korrosion)
- Herausforderung: Korrosive Gase greifen freiliegendes Kupfer und Lot an.
- Abwägung: Kosten des Oberflächenfinishs versus Lebensdauer.
- Auswahl: OSP und Immersionssilber vermeiden. Stattdessen ENIG oder ENEPIG verwenden. Zusätzlich einen Conformal Coating aufbringen.
- Wichtige Spezifikation: Verifikation der Schutzlackdicke.
Szenario 6: Kompaktes FTF/AGV (fahrerloses Transportfahrzeug)
- Herausforderung: Wenig Platz für die Führung zweier Sicherheitskanäle.
- Abwägung: Dichte versus Isolation.
- Auswahl: HDI-Leiterplatten mit Blind- und Buried-Vias verwenden, um die Kanäle auf unterschiedlichen Innenlagen zu führen.
- Wichtige Spezifikation: Registriergenauigkeit beim Laserbohren.
Umsetzungskontrollpunkte (vom Design bis zur Fertigung)
Nachdem der passende Ansatz gewählt wurde, geht es darum, das Design ohne latente Defekte in die Fertigung zu überführen.
APTPCB empfiehlt das folgende Prüfsystem, damit das Endprodukt die Sicherheitsanforderungen erfüllt.
| Phase | Kontrollpunkt | Empfehlung | Risiko bei Nichtbeachtung | Abnahmemethode |
|---|---|---|---|---|
| Design | Netztrennung | Sicherstellen, dass Kanal A und B keine gemeinsamen Netze haben, außer an definierten Strom- oder Massepunkten. | Ausfall durch gemeinsame Ursache (CCF). | Schaltplan-DRC / Netzlistenvergleich. |
| Layout | Kriech- und Luftstrecken | Zwischen den Kanälen >3mm oder entsprechend der Spannungsnorm vorsehen. | Überschlag / Kurzschluss. | 3D-Design-Rule-Check. |
| Lagenaufbau | Auswahl des Dielektrikums | Prepreg-Typ explizit festlegen, zum Beispiel 1080 statt 7628, für Impedanz und Isolation. | Impedanzfehler / Hi-Pot-Ausfall. | Freigegebene Lagenaufbauzeichnung. |
| Beschaffung | Bauteilklassifizierung | Sicherstellen, dass aktive Bauteile Automotive- oder Industriequalität besitzen. | Frühe Bauteilausfälle. | BOM-Prüfung / COC-Verifikation. |
| Fertigung | Ätzkompensation | Schwerkupfer-Ätzung so korrigieren, dass die Soll-Leiterbahnbreite erhalten bleibt. | Stromengpass / Überhitzung. | Schliffbildanalyse (Mikrosektion). |
| Fertigung | Schichtdicke in Bohrungen | Durchschnittlich 25µm Kupfer in den Lochwänden nach IPC Class 3 anstreben. | Offene Vias unter thermischer Belastung. | CMI / Schliffbild. |
| Bestückung | Lotpaste | Wasserlösliches Flussmittel oder No-Clean nur mit strikter Validierung verwenden. | Dendritenbildung (Leckstrom). | SPI (Solder Paste Inspection). |
| Bestückung | Reflow-Profil | Auf die thermische Masse der Bauteile abstimmen, damit zuverlässige Lötstellen entstehen. | Kalte Lötstellen (sporadischer Ausfall). | Profilverifikation. |
| Test | ICT (In-Circuit Test) | Passive Bauteile in beiden Kanälen getrennt prüfen. | Falscher Widerstandswert beeinflusst Sicherheitszeitverhalten. | ICT-Bericht. |
| Test | Isolationstest | Hochspannung zwischen Kanal A und B anlegen. | Versteckte Kurzschlüsse oder Kontamination. | Hi-Pot Bestanden/Nicht bestanden. |
Häufige Fehler (und der richtige Ansatz)
Selbst mit einer strengen Checkliste werden beim Übergang vom Prototyp zur Serie oft typische Fehler gemacht, die die Zweikanal-Integrität beeinträchtigen.
1. Gemeinsame Masseflächen erzeugen Schleifen
Fehler: Masseflächen von Kanal A und Kanal B an mehreren Stellen verbinden, um die Erdung zu „verbessern“. Korrektur: Dadurch entstehen Masseschleifen und die Isolation wird unterlaufen. Stattdessen eine Sternmasse oder vollständig getrennte Massebereiche entsprechend den Anforderungen des Sicherheits-Controller-ICs verwenden.
2. „Sneak Circuits“ im Layout ignorieren
Fehler: Leiterbahnen von Kanal A direkt unter Leiterbahnen von Kanal B auf benachbarten Lagen führen. Korrektur: Selbst mit Dielektrikum dazwischen können Fertigungsfehler wie Pinholes oder Hochspannungsspitzen beide Bahnen verbinden. Leiterbahnen versetzen oder eine Massefläche zwischen Signallagen einfügen.
3. Übermäßiges Vertrauen auf softwarebasiertes Entprellen
Fehler: Ausschließlich auf Firmware verlassen, um Rauschen auf Sicherheitseingängen zu filtern, obwohl die Signalintegrität des PCB schlecht ist. Korrektur: Hardware-Filterung ist sicherer. Das Layout sollte RC-Filter nahe an den Eingangsklemmen unterstützen, damit Störungen abgefangen werden, bevor sie den MCU erreichen.
4. Unzureichendes Wärmemanagement für Leistungsstufen
Fehler: Hochstrom-Sicherheitsrelais ohne thermische Trennung zu nah an empfindlicher Logik platzieren. Korrektur: Schwerkupfer-Leiterplatten oder thermische Vias nutzen, um Wärme von der Logiksektion wegzuführen. Hitze kann Schaltschwellen verschieben.
5. Unzureichende Abdeckung beim Schutzlack
Fehler: Beschichtung aufsprühen, ohne Steckverbinder sauber zu maskieren, oder Schattenbereiche unter hohen Bauteilen zu übersehen. Korrektur: Selektive Coating-Anlagen statt Handsprühen einsetzen. Mit UV-Licht prüfen, ob die Isolationsbarriere vollständig erhalten ist.
6. Annehmen, Standard-FR4 reiche aus
Fehler: Standardmaterial mit Tg 130 für eine Sicherheitsplatine in einem heißen Gehäuse verwenden. Korrektur: Für industrielle Sicherheitsanwendungen immer High-Tg-Material ab 170°C spezifizieren, damit keine Pad-Schäden oder Barrel-Risse entstehen.
FAQ (Kosten, Lieferzeit, Materialien, Prüfung, Abnahmekriterien)
Um verbleibende Fragen zu klären, folgen hier die häufigsten Anfragen, die APTPCB zu diesem Thema erhält.
F: Wie stark erhöht eine industrielle zweikanalige Sicherheitssteuerungs-Leiterplatte die Kosten? A: Im Vergleich zu Standard-Spezifikationen aus der Konsumelektronik steigen die Stückkosten mit IPC Class 3, High-Tg-Material und spezifischen Prüfungen typischerweise um 20-40%. Dafür werden hohe Haftungs- und Stillstandsrisiken vermieden.
F: Wie wirkt sich das auf die Lieferzeit aus? A: Die Fertigungszeit steigt durch zusätzliche Tests wie Hi-Pot und Schliffbildprüfung sowie engere Toleranzvorgaben meist um 1-2 Tage. Die Beschaffung von Automotive-tauglichen Bauteilen kann die Bestückungszeit zusätzlich verlängern, wenn diese nicht lagernd sind.
F: Kann ich Standard-FR4 für eine zweikanalige Sicherheitsplatine einsetzen? A: Nur wenn die Betriebsumgebung harmlos ist, also Raumtemperatur und geringe Vibration vorliegen. Für echte Industrieumgebungen ist High-Tg-FR4 die Mindestempfehlung, damit die Ausdehnung in Z-Richtung keine Vias beschädigt.
F: Welche Abnahmekriterien gelten für diese Leiterplatten? A: Für die nackte Leiterplatte empfehlen wir IPC-A-600 Class 3 und für die Baugruppe IPC-A-610 Class 3. Dadurch gelten strengere Anforderungen an Bohrlochmetallisierung, Lotfillet und Sauberkeit.
F: Wie wird die Zweikanal-Funktion während der Fertigung getestet? A: Wir verwenden Prüfung und Qualität mit funktionalem Schaltungstest (FCT). Dabei wird ein Fehler in Kanal A simuliert und verifiziert, dass Kanal B den Sicherheitsausgang korrekt auslöst, und umgekehrt.
F: Warum ist die Farbe des Lötstopplacks wichtig? A: Funktional ist die Farbe zwar nicht entscheidend, doch Sicherheitsplatinen werden häufig mit rotem oder gelbem Lötstopplack versehen, um Wartungsteams auf ihre Kritikalität hinzuweisen. Grün bietet allerdings den besten visuellen Kontrast für Inspektionen.
F: Benötige ich Impedanzkontrolle für Sicherheitssignale? A: Wenn das Sicherheitssystem schnelle Kommunikation wie Safety-over-EtherCAT oder ProfiSAFE verwendet, ist Impedanzkontrolle verpflichtend, damit keine Paketverluste und dadurch Fehlauslösungen entstehen.
F: Welche Unterlagen sollte ich für ein Angebot bereitstellen? A: Benötigt werden Gerberdaten, BOM, Pick-and-Place-Datei sowie eine Begleitdatei mit Angaben zu IPC Class 3, Dielektrikumsanforderungen und den geforderten Isolationsspannungstests zwischen den Kanälen.
Verwandte Seiten und Tools
Wer über diese Antworten hinaus tiefergehende technische Daten benötigt, findet in den folgenden Ressourcen zusätzliche Unterstützung für Design- und Fertigungsplanung.
- Leiterplattenlösungen für industrielle Steuerungen: Vertiefung zu den Anforderungen industrieller Automatisierung.
- Qualitätssysteme für Leiterplatten: Informationen zu Zertifizierungen wie ISO 9001 und IATF 16949 sowie zu den bei APTPCB eingesetzten Prüfstandards.
- Schwerkupfer-Leiterplattenkapazitäten: Technische Daten für hohe Ströme in Sicherheitsrelais und Stromverteilung.
- Starrflex-Leiterplattentechnologie: Designrichtlinien für 3D-Sicherheitssensoren und Robotik.
- PCBA-Testservices: Erläuterung von ICT-, FCT- und Flying-Probe-Methoden.
Glossar (Schlüsselbegriffe)
Zum Abschluss definieren wir die wichtigsten oben verwendeten Begriffe, damit die gesamte Dokumentation eindeutig bleibt.
| Begriff | Definition |
|---|---|
| 1oo2 (Eins aus Zwei) | Sicherheitsarchitektur mit zwei parallelen Kanälen; fordert einer der Kanäle den Stopp an, stoppt die Maschine. |
| CCF (Ausfall durch gemeinsame Ursache) | Ein Fehler, bei dem ein einzelnes Ereignis, etwa eine Überspannung oder ein Temperatursprung, beide redundanten Kanäle gleichzeitig ausfallen lässt. |
| DC (Diagnostic Coverage) | Prozentualer Anteil gefährlicher Fehler, die das System automatisch erkennen kann. |
| SIL (Safety Integrity Level) | Relatives Maß für die Risikoreduzierung einer Sicherheitsfunktion, von SIL 1 bis SIL 4. |
| PL (Performance Level) | ISO-13849-Einstufung von PL a bis PL e für die Zuverlässigkeit sicherheitsbezogener Teile. |
| Galvanische Trennung | Elektrische Trennung funktionaler Bereiche, damit kein direkter Strompfad zwischen ihnen besteht. |
| Kriechstrecke | Kürzester Abstand zweier leitfähiger Teile entlang der Isolationsoberfläche. |
| Luftstrecke | Kürzester Abstand zweier leitfähiger Teile durch die Luft. |
| IPC Class 3 | Höchster IPC-Zuverlässigkeitsstandard für Leiterplatten, eingesetzt bei Produkten, bei denen Stillstand nicht akzeptabel ist. |
| High Tg | Hohe Glasübergangstemperatur. Material, das auch oberhalb von 170°C mechanisch stabil bleibt. |
| FCT (Funktionaler Schaltungstest) | Prüfung der bestückten Leiterplatte durch Simulation realer Eingänge und Messung der Ausgänge. |
| CAF (Conductive Anodic Filament) | Elektrochemische Kupfermigration entlang der Glasfasern in der Leiterplatte, die interne Kurzschlüsse verursachen kann. |
Fazit (nächste Schritte)
Die industrielle zweikanalige Sicherheitssteuerungs-Leiterplatte ist der stille Wächter der Fertigungshalle. Ihre Zuverlässigkeit bestimmt die Sicherheit der Bediener ebenso wie die Verfügbarkeit kostspieliger Maschinen. Wenn Trennung priorisiert, robuste Materialien ausgewählt und strenge Validierungsprotokolle durchgesetzt werden, fällt das Sicherheitssystem sicher aus und nicht gefährlich.
Wenn Sie bereit sind, vom Design in die Produktion zu wechseln, ist der Fertigungspartner genauso wichtig wie das Design selbst.
Bereit für die Fertigung Ihrer sicherheitskritischen Entwicklung? Für eine präzise DFM-Bewertung und ein Angebot von APTPCB sollten Sie Folgendes vorbereiten:
- Gerber-Dateien im RS-274X-Format.
- Lagenaufbau-Details mit Angabe der Dielektrikumsdicken für die Isolation.
- Fertigungszeichnung mit Hinweisen zu IPC Class 3 und CTI-Anforderungen.
- Prüfanforderungen insbesondere zu Hi-Pot- und Impedanzspezifikationen.
Stellen Sie sicher, dass Ihre Sicherheitssysteme auf einem Fundament aus Qualität aufgebaut sind.