Wenn eine Lötverbindung zur Sicherheitsverpflichtung wird
Eine Maschine bleibt stehen. Ein Roboterarm hört nicht auf zu laufen. Ein Förderband erkennt das Hindernis nicht. In jedem dieser Fälle ist die zugrundeliegende Störung oft nicht das Sicherheitsrelais selbst – sondern eine intermittierende offene Lötstelle auf der Sicherheitscontroller-PCBA, auf die sich das Relais verlässt.
IEC 62061 und ISO 13849 definieren nicht nur Zuverlässigkeitsziele für Sicherheitsfunktionen. Sie schaffen eine rechtlich durchsetzbare Beweiskette von der Systemebene mit Safety Integrity Level (SIL)‑ oder Performance Level (PL)‑Bewertung bis hinunter zu den Hardwarekomponenten und – entscheidend – zu den Fertigungsprozessen, durch die sie hergestellt werden. Bei SIL‑2‑ und SIL‑3‑Steuerungen ist eine Lötleerstelle unter einem Power‑Rail‑QFN oder eine kalte Lötstelle an einem Treiber für eine Sicherheitsrelais-Spule kein Ausbeuteproblem. Es handelt sich um einen systematischen Ausfallmodus, der die SIL‑Behauptung ungültig machen kann.
Dies stellt drei nicht verhandelbare Anforderungen an den EMS-Lieferanten:
Prozesssteuerung mit statistischen Nachweisen, nicht nur eine einfache Bestanden/Nicht-bestanden-Bewertung am Zeilenende
Rückverfolgbarkeit auf Komponentenebenedas eine Prüfung nach einem Vorfall übersteht
Disziplin der thermischen Verfahrenüber heterogene Leiterplatten hinweg, die sowohl SMD-Logik als auch THT-sicherheitskritische Passivelemente tragen
Die folgenden Abschnitte behandeln jede Anforderung der Reihe nach, beginnend damit, wie die Prozess-FMEA die Reduzierung von Sicherheitsrisiken in messbare SMT-Kontrollen übersetzt, anschließend werden die spezifischen Prüf- und Lötprozesse untersucht, die diese Kontrollen operativ machen, und zum Schluss werden drei DFM-Regeln vorgestellt, die bestimmen, ob ein Design eines Sicherheitscontrollers überhaupt entsprechend den SIL-Anforderungen herstellbar ist.
PFMEA × SMT: Überbrückung der Risikominderung nach IEC 62061 und Prozess-Fehlermodi
IEC 62061 verlangt eine systematische Gefahrenanalyse (HARA) und eine Risikominderungsarchitektur. Weniger häufig wird darüber gesprochen, dass jede in Hardware implementierte Risikominderungsmaßnahme von der Integrität des PCBA-Fertigungsprozesses abhängt, der sie realisiert. Eine für SIL 3 ausgelegte zweikanalige Watchdog-Schaltung arbeitet auf SIL 0, wenn beide Kanal-Freigabeleitungen eine unentdeckte Lötbrücke gemeinsam haben.
In einem IATF-16949-Qualitätssystem sind die Prozess-FMEA (PFMEA) und der Control Plan lebende Dokumente. Für funktionale Sicherheitsplatinen werden diese Werkzeuge ausdrücklich erweitert, um SMT-Fehlermodi mit der Beeinträchtigung der Sicherheitsfunktion zu verknüpfen. Tabelle 1 veranschaulicht, wie fünf repräsentative Fehlermodi in diesem Rahmen bewertet und sowohl mit Prozesslenkungs- als auch mit Detektionsmethoden verbunden werden:
| SMT-Prozess-Fehlermodus | Potenzielle Auswirkung auf die Sicherheitsfunktion | Steuerungsmethode | Erkennung |
| Unzureichende Lotpaste (QFN/BGA) | Intermittierender Unterbruch → SIL-Kanalverlust | SPI Closed-Loop-Volumenbegrenzung ±15 % | 3D-SPI 100% |
| Lötbrücken auf der Isolationsbarriere | Herabgesetzte Spannungsfestigkeit → Gefahr | IPC-A-610 Klasse-3-Abstandsprüfung | 3D AOI 100 % |
| Fehlplatzierung von Komponenten (Sicherheitsrelais-Treiber) | Falsche Schaltschwelle | Vision + MES Platzierungsprüfung | AOI + Röntgen |
| Thermische Beschädigung (Reflow-Δ-Überschwinger) | Latenter dielektrischer Ausfall | Profilierter N₂-Reflow, Thermoelement-Überwachung | Prozess-SPC |
| Hohlraumanteil >25 % im Power-Pad (QFN) | Thermisches Durchgehen unter Fehlerstrom | Automatisierte Röntgen-Hohlraumanalyse | AXI 100 % |
Die PFMEA-Schweregrade für sicherheitsfunktionsbezogene Fehlermodi werden auf die höchste Stufe festgelegt (S = 9–10), was sowohl Detektionsmaßnahmen als auch Prozesskontrollen vorschreibt – nicht nur Detektion allein. Dies spiegelt direkt die Anforderung der IEC 62061 wider, dass systematische Fehler auf Prozessebene behandelt werden müssen und nicht allein durch diagnostische Abdeckung kompensiert werden dürfen.
Die Statistische Prozesslenkung (SPC) wird auf Pastenvolumen, Reflow-Spitzentemperatur und Förderbandgeschwindigkeit als zentrale Prozesskenngrößen (KPCs) angewendet. Regelkarten mit Cpk-Zielen ≥ 1,67 liefern den quantitativen Prozessnachweis, den Sicherheitsprüfer verlangen. Die folgenreichste dieser KPCs – das Pastenvolumen – ist der Punkt, an dem die nächste Kontrollebene beginnt.
3D-SPI-Regelkreis: Die erste Verteidigungslinie gegen Kaltlötstellen
Kalte Lötstellen und unzureichende Lötverbindungen gehören durchgängig zu den häufigsten Ursachen für Feldausfälle bei Sicherheitssteuerungsbaugruppen – insbesondere an QFN-Power-Pads und Fine-Pitch-IC-Anschlussträgern, bei denen eine visuelle Inspektion nach dem Reflow-Verfahren konstruktionsbedingt unmöglich ist. Wenn sich eine kalte Lötstelle im Feld schließlich als intermittierende Unterbrechung bemerkbar macht, ist das Fertigungsfenster, um sie zu erkennen, längst verstrichen.
Die Prozessreaktion beginnt, bevor die Komponente platziert wird. Die Hochgeschwindigkeits-3D-Lotpasteninspektion misst das Pastenvolumen bei jedem Auftrag auf jeder Leiterplatte und vergleicht es mit den Sollwerten innerhalb eines Toleranzbereichs von±15 %Jede Ablagerung außerhalb dieses Fensters löst ein sofortiges geschlossenschleifiges Rückmeldesignal an den Lotpastendrucker aus, der vor dem Einlaufen der nächsten Leiterplatte den Rakeldruck oder die Trennparameter automatisch anpasst.
Dies ist keine statistische Stichprobe. Es handelt sich um eine 100%ige Leiterplatten- und 100%ige Depotsinspektion mit Echtzeit-Prozesskorrektur. Die praktische Auswirkung auf den Aufbau eines Sicherheitscontrollers:
Das Cpk-Volumen der Paste wird über … gehalten1,67an kritischen Pads (Sicherheitsrelais-Treiber, Stromversorgungs-ICs, isolierte Gatetreiber)
Leiterplatten mit Ablagerungen außerhalb der Toleranz werden vor dem Bestücken unter Quarantäne gestellt – nicht nach dem Reflow, wo das Nacharbeitsrisiko und die thermische Wiederbelastung zunehmen.
Der SPI-Datensatz wird Teil des Rückverfolgbarkeitspakets der Leiterplatte und liefert Prozessnachweise für SIL-Validierungsdokumente.
Hinweis für SIL-3-Zweikanal-Designs:Beide Kanäle auf derselben Leiterplatte müssen unabhängig voneinander das KPC-Gate für das Lotvolumen erfüllen. Ein einseitiger Lotfehler an einer redundanten Sicherheitsfunktion ist ein teilweiser systematischer Ausfall – 3D-SPI erkennt ihn vor der Bestückung, bevor der Fehler unter einem Bauteilkörper festgeschrieben wird.
Der SPI-Datensatz steht nicht für sich allein. Er fließt direkt in die Rückverfolgbarkeitskette auf Komponentenebene ein, die für Funktionssicherheitsaudits erforderlich ist.
MES-Komponenten-Rückverfolgbarkeit: Aufbau der von IEC 62061 geforderten Prüfkette
Funktionale Sicherheitsnormen verlangen, dass das Argument „bewährte Verwendung“ oder die Behauptung systematischer Fähigkeit durch rückverfolgbare Produktionsaufzeichnungen belegt wird. Nach einem Vorfall im Feld ist die Fähigkeit, zu identifizieren, aus welcher Charge Sicherheitsrelais, welchem Los Isolationskondensatoren und welchem Reflow-Profil eine bestimmte Seriennummer stammt, nicht optional – sie ist der Unterschied zwischen einer gezielten Eindämmungsmaßnahme und einem vollständigen Produktrückruf.
Das intelligente MES von PCBCart erfasst und sperrt für jede Leiterplatte die folgende Datenkette, vom eingehenden Material bis zur laserbeschrifteten Seriennummer:
IQC-Losfreigabe
↓
Bauteilrollen-Scan (UID verknüpft mit MPN + Los + Datecode)
↓
Panasonic NPM-W2 Bestückung (Maschinen-ID + Düsen-ID + Zeitstempel pro Bauteil)
↓
Reflow-Ofenprofil (tatsächliche Zon temperaturen, Förderbandgeschwindigkeit, Atmosphäre)
↓
3D-AOI-Ergebnis (Gut/Schlecht pro Leiterplatte + Defektkoordinaten)
↓
Röntgenergebnis (BGA/QFN-Hohlraumanteil % pro Gehäuse)
↓
Laser-markierte Seriennummer (Leiterplatten-UID verknüpft mit allen vorgelagerten Datensätzen)
Diese Datenkette ist kein dokumentarischer Overhead – sie ist eine operative Eindämmungsfähigkeit. Jede kritische Komponente – Isolationsverstärker, Sicherheitsrelais-Treiber, Hall-Effekt-Sensoren, Gate-Treiber der Leistungsstufe – ist mit ihrer physischen Spulen-Losnummer verknüpft. Gibt ein Lieferant eine Feldwarnung für einen bestimmten Komponenten-Datecode heraus, kann PCBCart innerhalb von Minuten die betroffenen Leiterplatten, deren Versandstatus und deren Endkunden identifizieren, ohne Papierunterlagen manuell abgleichen zu müssen.
Diese Reaktionsgeschwindigkeit ist nur möglich, weil die Rückverfolgbarkeit auf Komponentenebene und nicht auf Chargenebene erfolgt. Diese Architektur erzeugt die Produktionsaufzeichnungen, die Ihre Dokumentation gemäß IEC 62061 Abschnitt 8 und ISO 13849-1 Abschnitt 10 erfordert – ohne den Mehraufwand eines separaten übergeordneten Qualitätssystems.
Rückverfolgbarkeit erfasst jedoch nur, was der Prozess hervorbringt. Die thermische Integrität der Lötstellen selbst – insbesondere dort, wo sicherheitskritische Through-Hole‑Bauteile sich eine Leiterplatte mit Fine‑Pitch‑SMD teilen – hängt hingegen vollständig von einer eigenen Prozessdisziplin ab.
Selektives Wellenlöten: Schutz der SMD-Nachbarn, wenn Sicherheitsrelais THT werden
Viele industrielle Sicherheitssteuerungen kombinierenSMD-Logik- und Leistungsmanagement-ICsmit THT-Sicherheitsrelais, Klemmenleisten und Hochstromsteckverbindern. Die THT-Bauteile tragen mechanische und elektrische Lasten, die einen Ersatz durch SMD-Äquivalente ausschließen – dies ist eine Designvorgabe, keine Altlastenentscheidung.
Die herkömmliche Reaktion der Wellenlöttechnik auf diese Mischung setzt die gesamte Leiterplatte einer Lötwelle bei 255–265 °C aus – ein zweiter vollständiger thermischer Zyklus, für dessen wiederholtes Überstehen SMD-Bauteile nicht ausgelegt sind. Für 0402-Keramikkondensatoren in der Nähe von Sicherheitsrelais-Footprints sowie für Hall-Effekt-Sensoren und Präzisions-Widerstandsnetzwerke in Sicherheitsmessschaltungen bewirkt dieser zweite thermische Schock:
Kondensatorrissbildung (mechanische Belastung durch unterschiedliche Wärmeausdehnung)
Widerstandsdrift über die anfängliche Toleranz hinaus (latenter Genauigkeitsausfall in sicherheitsrelevanten Messpfaden)
Flussfalle bei engem Bauteilabstand (Ionenverunreinigung, erhöhtes Leckagerisiko über Isolationsbarrieren hinweg)
Die selektive Wellenlötmaschine ZSWHPS-11-2 eliminiert diese Exposition, indem sie Lötzinn nur auf die definierten THT-Pads aufbringt – eine programmierbare Düse fährt den exakten Footprint jedes Through-Hole-Steckverbinders und jedes Relais nach, ohne die umliegende SMD-Bestückung zu berühren. Wichtige Prozessparameter:
Lokalisierte Löt-Kontaktzeit:3–5 Sekunden pro Gelenk, gegenüber 6–8 Sekunden bei Vollwelle
Temperaturanstieg der Leiterplatte an benachbarten SMD‑Bauteilen:< 40 °C über Umgebungstemperatur
Der Auftrag des Flussmittels ist ebenso präzise – kein Overspray auf angrenzende Isolationslücken oder Sensorpads.
Zusammen gewährleisten diese Parameter, dass die THT-Lötstelle ausreichend thermische Energie und Verweilzeit für die vollständige Intermetallbildung erhält, während die umliegende SMD-Bestückung niemals ihr thermisches Budget für einen zweiten Reflow überschreitet. Das Ergebnis ist eine Leiterplatte, bei der das Sicherheitsrelais eine vollständige Lötkehlenintegrität gemäß IPC-A-610 Klasse 3 erreicht und die 0402-Bypass-Kondensatoren in 2 mm Entfernung genau einen – und nur einen – thermischen Reflow-Zyklus durchlaufen haben.
Die Prozessdisziplin in der Fertigung kann jedoch nur begrenzt Entscheidungen aus der vorgelagerten Entwicklung ausgleichen. Drei Layoutentscheidungen bestimmen, ob eine Sicherheitssteuerungs‑Leiterplatte überhaupt gemäß SIL-Anforderungen herstellbar ist.
DFM-Regeln speziell für Funktionssicherheits-Controller
Bevor eine funktionale Sicherheits‑PCBA in die SMT‑Linie gelangt, haben drei Entscheidungen auf Entwurfsebene einen überproportional großen Einfluss auf den Prozess. PCBcart’sDFM-ÜberprüfungFür Sicherheitssteuerungen werden speziell die folgenden Punkte hervorgehoben – jeder einzelne befasst sich mit einem eigenen Ausfallmechanismus, den Prozesssteuerungen allein nach der Layoutphase der Leiterplatte nicht vollständig mindern können.
1. Zugänglichkeit von Testpunkten für SIL-Verifikationstests
Die Validierung nach IEC 62061 erfordert Funktionssicherheitstests jeder Sicherheitsfunktion auf Schaltungsebene. Prüfstellen müssen zugänglich sein fürNadelbett oder Flying-ProbeVorrichtungenohne das Entfernen von Steckverbindern oder Abschirmgehäusen. Mindest-Pad-Durchmesser:1,0 mmfür automatisierte Prüfsonde; Mindestabstand zu benachbarten Komponenten:2,5 mmSicherheitskritische Netze – Watchdog-Signale, Enable-Leitungen, Rückkanäle – müssen jeweils einen eigenen, individuell adressierbaren Testpunkt besitzen.
Der Zugriff auf Testpunkte stellt sicher, dass die Sicherheitsfunktion nach der Herstellung überprüft werden kann. Die nächste Frage ist, wie sichergestellt werden kann, dass weder diese Überprüfung noch die Sicherheitsfunktion selbst durch einen einzelnen physischen Fehler auf der Leiterplatte außer Kraft gesetzt werden können.
2. Trennung der redundanten Kanalführung
Dual-Channel-SIL-2/3-Architekturen erfordern, dass die Signalpfade von Kanal A und Kanal B aufrechterhalten≥ 2,5 mm räumliche Trennung(oder eine geroutete Masse-Schutzleiterbahn), um einen gemeinsamen Ausfall durch eine einzelne Lötbrücke, einen ESD-Einschlag oder einen Leiterplattenbruch zu verhindern, der beide Kanäle gleichzeitig außer Kraft setzt. Diese Trennung muss über Via-Übergänge und auf inneren Kupferebenen beibehalten werden – nicht nur auf der Außenseite, wo sie bei der DFM-Prüfung visuell erkennbar ist.
Die räumliche Trennung befasst sich mit der in der Ebene liegenden Ausfallkopplung zwischen Kanälen. Die dritte Regel betrifft die außeraxiale Isolationsgrenze, die gefährliche Spannungsdomänen von der Sicherheitslogik trennt, die sie überwacht.
3. Hochspannungs-Isolationsschlitz-Design
Für Sicherheitssteuerungen mit Anforderungen an verstärkte Isolierung (IEC 60664-1 Verschmutzungsgrad 2, Überspannungskategorie III) muss der Leiterplatten-Isolationsschlitz zwischen gefährlichen und sicherheitskleinspannungsführenden (SELV) Bereichen≥ 1,0 mm breit, kontinuierlich gefräst, ohne dass Lötstopplack die Lücke überbrückt, und in den Gerber-Daten als kontrolliertes Merkmal gekennzeichnet. Verunreinigungen auf der Oberfläche in diesem Schlitz – durch falsch aufgetragenes Flussmittel oder unvollständige Leiterplattenreinigung – stellen einen direkten Kriechstreckenfehler dar. Die Schlitzgeometrie muss es der Waschchemie ermöglichen, bis in die volle Schlifttiefe vorzudringen; Leiterplatten, die im KED600 Batch Cleaner gereinigt werden, sind speziell auf die Sauberkeit im Schlitzinneren gemäß den IPC-610-Grenzwerten für ionische Verunreinigungen validiert.
Bereit, Ihren Sicherheitscontroller-PCBA-Prozess zu validieren?
Die hier beschriebenen Prozesskontrollen – PFMEA-gekoppelte SPC, 3D-SPI-Closed-Loop-Feedback, MES-Komponentennachverfolgbarkeit und selektives Wellenlöten – sind aktive Produktionsdisziplinen bei PCBCart, keine Qualitätssystembehauptungen. Jede von ihnen erzeugt die Prozessnachweise, die eine Funktionssicherheits‑Validierungsakte erfordert: quantitativ, rückverfolgbar und prüfbereit.
Wenn Sie einen SIL-2- oder SIL-3-Sicherheitsregler entwickeln und einen Fertigungspartner benötigen, dessen Prozessbilanz Ihre IEC-62061-Validierungsdokumentation stützt, stehen Ihnen sofort zwei Ressourcen zur Verfügung:
→ Fordern Sie eine KOSTENLOSE DFM-Prüfung anfür Ihr Safety-Controller-Gerber-Paket. Unser Engineering-Team wird innerhalb von 48 Stunden einen strukturierten Bericht über die Zugänglichkeit der Testpunkte, die Kanaltrennung und die Einhaltung der Isolationsschlitze erstellen.
Kontaktieren Sie die PCBCart Technik: [DFM-Überprüfung anfordern]
PCBCart arbeitet nach einem nach IATF 16949 zertifizierten Qualitätsmanagementsystem. Unsere Automobil-Standard-Prozesskontrollprotokolle – PFMEA, SPC, Control Plans und komponentenbezogene MES-Rückverfolgbarkeit – erfüllen oder übertreffen die systematischen Fähigkeitsanforderungen für nicht implantierbare industrielle Sicherheits- und Life-Science-Elektronik.
Hilfreiche Ressourcen
•Hybridmontagestrategien für THT- und SMT-Bauteile
•Vergleich von AOI, ICT und AXI und deren Einsatz während der PCB-SMT-Bestückung
•Einige praktische Methoden zur Bewertung der Fähigkeiten eines SMT-Assemblierers
•Anforderungen an das Schablonendesign für QFN-Bauteile zur optimalen Leistung von Leiterplattenassemblierungen (PCBA)
•Fortgeschrittene Leiterplattenbestückung
