Hallo, ich suche einen Mikrokontroller mit SIL4 Sicherheitsstufe. (Security Integrity Level 4). Es gibt nun von Toshiba einen Cortex M3 mit SIL3-Zertifikat: http://www.toshiba-components.com/prpdf/5937G.pdf würde aus zwei redundant betriebenen SIL3 zertifizierten Systemen ein SIL4-System werden? Wo bekäme man diesen Toshiba Cortex M3 her habe ihn leider noch nicht entdeckt? hat jemand Erfahrungen mit dem Toshiba? weclches Evaluation/Development-Board?
Da sehe ich zwei Moeglichkeiten einen solchen Chip zu bekommen. 1. Deine Firma gehoert zu den auserwaehlten, die einen Testchip (so wird er in dem Dokument genannt!) zur Evaluierung bekommen kann, dann direkt an Toshiba in Duesseldorf wenden oder 2. Noch eine ganz Weile warten. Wenn es einen Testchip im Januar gibt, dann wird der breite Markt ganz vielleicht, mit GLueck gegen Jahresende bedient, falls (that's a BIG IF) Toshiba einen solchen Chip in den Distributionskanal schickt. Warum sollte das Toshiba evtl. nicht tun? So eine Zertifizierung kostet jede Menge Zeit und Support, ergo viel Geld. Nur wenn sich eine solche Investitution fuer eine Firma rechnet wird sie auch getaetigt. Das muessen meiner Meinung nach schon viele 1000 chips sein, damit sich das rechnet. Wuensche Dir viel Glueck oder dass Du bei einer grossen Firma bist. Robert
Hmmh, OK diese Lösung fällt also flach. Gibt es denn sonst einen µC, mit dem man unter Umständen SIL 4 erfüllen kann?
Hallo Oliver, was ist mit vier 'normalen' Prozessoren ? Jeweils zwei Prozessoren gleichen sich untereinander ab. Sie müssen das selbe Steuerprogramm (SPS-Code) auf verschiedene Weise (Firmware mit unterschielichem Quellcode) abarbeiten, aber zu gleichen Ergebnissen kommen. Sind sie sich nicht einig, hat einer einen Fehler, man weiß aber nicht, welcher. Also meldet sich das ganze Prozessorpaar als fehlerhaft und das andere Paar macht weiter. Soweit ich weiß, macht das die Sicherheits-SPS von Hima so, aber ob das SIL-4 erfüllt, weiß ich nicht. Gruß, Martin
Hallo Martin, kannst du mir einen Prozessortyp nennen, den ich auf diese Weise nutzen könnte? Kurz zur Funktion: Ich möchte eine Wechselspannung (sinusformig und nicht sinusförmig) mit f = 50 Hz erfassen (also abtasten) und weiterverarbeiten (Effektivwert bestimmen etc.) Gruß, Oliver
Hallo Oliver, dazu kann ich keinen Prozessortyp nennen, der das schon automatisch kann. Ich gehe davon aus, dass man diese Funktionen selbst programmieren muss. Zwei Prozessoren eines Paares messen das selbe Signal. Sie sind per Schnittstelle (z.B. SPI?) verbunden und tauschen untereinander die Ergebnisse aus. Wenn ein Prozessor vom Partner einen anderen Wert erhält als er selbst gemessen hat, gibt er auf einem Statusport eine Null aus. Das werden dann meistens beide Prozessoren eines Paares tun. Nur wenn beide Prozessoren eines Paares als Status 1 (=OK) melden, ist das Paar sich einig und die Ergebnisse dürfen weiter verwendet werden. Sonst ist das andere Paar sich hoffentlich noch einig und liefert ein richtiges Ergebnis. Sind sich beide Paare uneinig, was sehr selten sein dürfte, muss man ein Ergebnis weitermelden, das zum Stop der Anlage führt. Eigenlich müsste man jeden Mikrocontroller dafür nehmen können. Wichtig für SIL-Tauglichkeit ist wohl eher die unterschiedliche Programmierung der Prozessoren eines Paares. Sonst könnten Sie durch den selben Softwarefehler beide den selben Unsinn berechnen und sind sich darüber einig, also scheinbar in Ordnung. Interessant dürfte auch die Logik sein, die SIL-tauglich entscheidet, von welchem Paar (wo beide OK melden) die Ergebnisse weitergeleitet werden... Dazu kann ich leider nichts beitragen. Gruß, Martin
Ich entnehme dem Ganzen: Das ist ein weites Feld! ich werde nochmal ne Nacht drüber schlafen und schauen welche Alternativen es gibt.
Gegenfrage: Was bringt dir ein µC mit SIL-4? Wenn du ein System aufbauen willst, was SIL-3 oder SIL-4 schafft, muss das System auch unabhängig (von einen zertifizierten Dritten) getestet und bewertet werden. Also kommt es viel mehr darauf an was du mit dem µC anstellst. Gruß, TManiac
Oliver R. schrieb: > Kurz zur Funktion: > Ich möchte eine Wechselspannung (sinusformig und nicht sinusförmig) mit > f = 50 Hz erfassen (also abtasten) und weiterverarbeiten (Effektivwert > bestimmen etc.) Brauchst Du überhaupt SIL 4? An einer einfachen Spannungsmessung sehe ich nicht daß mehrere Personen gefährdet sind. SIL 4 wird normalerweise für Systeme verwendet die entweder keinen sicheren Zustand haben und/oder viele Menschenleben bedrohen. Aber da brauchst Du wahrscheinlich bei den Aktoren schon Redundanzen. Da spielt das bischen Overhead beim Prozessor für ein Mehrprozessorsystem kaum eine Rolle. Gruß Anja
Oliver R. schrieb: > Hmmh, > > OK diese Lösung fällt also flach. > > Gibt es denn sonst einen µC, mit dem man unter Umständen SIL 4 erfüllen > kann? Hmm. In der Raumfahrt werden die LEON2 und LEON3 gerne verwendet. Das sind SPARCv7 Prozessoren, die entweder in ein FPGA synthetisiert werden oder als ASIC gefertigt werden. Diese Teile sind dann auch strahlungstolerant etc etc. Ob jemand dafür eine SIL-Prüfung durchgeführt hat, entzieht sich meiner Kenntnis. Als Privatperson wirst Du dieses Zeugs aber auch nie in die Finger bekommen. fchk
Oliver R. schrieb: > Kurz zur Funktion: > Ich möchte eine Wechselspannung (sinusformig und nicht sinusförmig) mit > f = 50 Hz erfassen (also abtasten) und weiterverarbeiten (Effektivwert > bestimmen etc.) Dafür gibts doch schon fix und fertige Lösungen. Schau hier: http://www.st.com/stonline/products/literature/ds/10853.htm Welche Stückzahlen planst Du? fchk
Hallo Oliver R., der Ansatz bei Toshiba ist nicht der eines zweiten, identischen Cores (MonitorCore). Stattdessen wird ein Verfahren der Firma Yogitech verwendet. Wird ja auch in der Information erklärt. Zusätzlich zum Prozessorcore werden aber auch Peripherie und Speicher mit zusätzlicher Logik überwacht. Dadurch werden erst die genannten Sicherheitsnormen erfüllt. Für Deine Anwendung, speziell wenn sie nur einmal gebaut wird und, vermutlich, private genutzt wird, halte ich SIL-3 oder sogar SIL-4 für vollkommen Overkill, unabhängig davon, ob Du an so ein Bauteil kommst oder nicht. @Frank K. Ich halte Deinen Vorschlag für vollkommen ausreichend, aber SIL-irgendwas hat das nicht ;-) Gruß
>Gibt es denn sonst einen µC, mit dem man unter Umständen SIL 4 erfüllen >kann? Freesc-PowerPC's könnte es evtl mit SILx geben, evtl auch von Renesas. aber was das kostet ? ..würde wohl eher std-Prozessoren nehmen und die Logic dranbauen Aber inwiefern das bei einer (reinen) U-Messung überhaupt erforderlich ist? (kritisch kanns ja prinzipiell nur werden, wenn zumindest was geschaltet werden soll)
2 unterschiedliche Prozessoren, 2 mal unterschiedliche Speicher, 2 unterschiedliche Betriebsysteme, 2 unterschiedliche Compiler, 2 unterschiedliche Compiler für dein SPS Programm und dazu noch Synchronisationspunkte. Damit bekommst du rein von der SPS, ohne Ein- und Ausgänge SIL-4 hin.
Hallo, wie schon oben teiweise erwähnt, gehört zu SIL4 noch wesentlich mehr, als nur "1 Prozessor". Das fängt bei der Organisationsstruktur des Unternehmens an, geht über die eingeführten Entwicklungsprozesse (Spice-Level >4 ist nützlich)weiter, um durch Auswahl von zertifizierten Tools (und die gibt es für SIL 4 nicht, man muss also zu praxiserpobten Tools greifen - ist also nix mit neuen Prozessoren) die mehrfach-redundanten Systeme (mindestens 2 Prozessoren, wenn der Anteil ungefährlicher Fehler an der Gesamtfehlerzahl >99% ist, sonst mindestens 3) entwickeln zu können. Dabei bezieht sich die Redundanz natürlich auf die Gesamtkette, also auch auf Sensoren und Aktoren, die sich nicht gegenseitig stören können dürfen. Dann müssen die entsprechenden Teste geplant und durchgeführt werden (Code-Analyse, Blackbox, Whitebox, 100% converage, Lebensdauer, EMV, Environmental test...) um die geforderte Ausfallwahrscheinlichkeit des Gesamtsystems und der einzelnen Komponenten nachzuweisen. Schlussendlich muss der gesamte Lebenszyklus (Konzept-Entwicklung-Produktion-Betrieb-Verschrottung) überwacht/beachtet werden. Das ganze muss dann noch von unabhängiger Stelle überwacht und abgenommen werden (z.B. TÜV). Deswegen zurück zur Frage: Welches große Chemiewerk oder Atomkraftwerk fliegt denn in die Luft, wenn Du den Effektivwert der Spannung eines 50-Hz Wechselstroms nicht richtig bestimmst? Um ein SIL4 zu bekommen, müsstes Du nämlich mindestens eine Busladung Menschen, die sich ständig in dem Gefahrenbereich aufhalten, gefährden, wobei die Notwendigkeit, dass die Sicherheitsfunktion gebraucht wird, hoch oder sehr hoch sein muss (z.B. Fly-By-Wire-Systeme von Großflugzeugen). Sonst kommst Du nur nur mit einer S4 (katastrophale Auswirkungen) dahin, und das sind wie gesagt größere Chemieunternehmen oder Atomkraftwerke. Schöne Grüße, Martin
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.