Hallo, aktuell beschäftige ich mich aus Interesse gerade mit der Norm IEC 61508 um für mein privates Projekt (Ansteuerung eines Aktors für einen kleinen Roboter) ein paar Ideen für Sicherheitsfeatures und ähnliches zu bekommen. Ich frage mich ehrlich gesagt, warum zum Beispiel Lattice auf deren Webseite mit manchen Produkten wirbt, die diese Norm unterstützen und in den Datenblättern findet man nichts dazu. https://www.latticesemi.com/en/Solutions/Solutions/SolutionsDetails01/FunctionalSafety Zum Beispiel wird hier der MachXO2 genannt, im Datenblatt taucht nichts zur funktionalen Sicherheit auf. Die ICE40-Serie wird nicht mal erwähnt, wobei ich ehrlich gesagt nicht verstehe, was an der ICE40-Serie unsicherer als an der MachXO2-Serie sein soll. Programmiert werden beide über das Lattice Diamond, das ja auch angeblich IEC 61508 ermöglicht. Wo liegt denn mein Denkfehler? Viele Grüße Stefan
Stefan schrieb: > Wo liegt denn mein Denkfehler? Es hängt stark vom angedachten Einsatz und der Klassifizierung von einzelnen Funktionen in Safety-Levels ab, ob die Norm erfüllt wird. Dafür haftet aber der Inverkehrbringer des Produktes. Du kannst dich also nicht darauf berufen, dass das auf der Webseite steht, wenn da was passiert. Absurdes Beispiel: Robotersoftware von einer Hinterhofklitsche zusammengeklickt, den FPGA auf die Platine geworfen, aber an nix angeschlossen, Personenschaden... Wer haftet in dem Fall? mfg mf PS. Im Automotive-Bereich nennt man das "Safety Element out of Context" d.h. der Hersteller sichert dir zu, dass du damit potentiell ein funktional sicheres System bauen kannst. Aber nur unter entsprechenden Voraussetzungen. Zu deinem FPGA muss es auch ein "Safety-Manual" geben, welches man als Normalo nicht von der Webseite herunterladen kann. Sinn ist, dass der Hersteller wissen will, in welchen FuSa-relevanten Produkten sein FPGA eingesetzt wird.
:
Bearbeitet durch User
Stefan schrieb: > aktuell beschäftige ich mich aus Interesse gerade mit der Norm IEC 61508 > um für mein privates Projekt (Ansteuerung eines Aktors für einen kleinen > Roboter) ein paar Ideen für Sicherheitsfeatures und ähnliches zu > bekommen. > Ich frage mich ehrlich gesagt, warum zum Beispiel Lattice auf deren > Webseite mit manchen Produkten wirbt, die diese Norm unterstützen und in > den Datenblättern findet man nichts dazu. > > Wo liegt denn mein Denkfehler? Der Fehler liegt in der Bequemlichkeit Anstrengungen zur Erreichung der funktionalen Sicherheit durch Auswahl einer bestimmten Baureihe erreichen zu wollen und in der weitreichenden Unkenntnis, was die Normschrift IEC 61508 überhaupt beinhaltet. Die Norm 61508 betrachtet den gesamten Lebenszyklus des Systems und damit auch die Rückverfolgbarkeit der einzelnen Komponenten auf die jeweiligen Chargen. Wenn Xilinx beispielsweise Automotive FPGA's anbietet, dann heisst das nicht, das sich diese technisch von den Nicht-Automotiv FPGA's unterscheiden, sondern lediglich das diese komplett rückverfolgbar sind und das sie einn speziellen Automotive-Qualifizierungsprozess (Test) durchlaufen haben. Das Unterscheidungsmerkmal liegt also im Bereich der Qualitätssicherung und nicht im Engineering. "Xilinx Automotive FPGA and CPLD product lines offer automotive-qualified devices in a variety of densities, packages, and extended temperature grades. All devices are pin-compatible with commercial parts for full migration support and: !!!! tested using a robust qualification process that exceeds $(&4 requirements. Xilinx delivers continuous improvements to ensure world-class quality and reliability" !!!! Da der Link zur Automotive Qualifizierungs-Richtlinie AEC_Q100: http://www.aecouncil.com/Documents/AEC_Q100_Rev_G_Base_Document.pdf Ziel dieser IEC 61508 ist es, Verfahrensweisen zu definieren, die es erlauben, Produkte herzustellen, die nach dem aktuellen Stand der Technik keine unverhältnismäßigen oder unvertretbaren Gefahren für Anwender und Umwelt bedeuten. Wenn Du also einen IEC 61508 qualifizierten FPGA einsetzt, heisst es nicht das dieseS System fehlerärmer ist. Es heisst lediglich, dasdie Ausfallwahrscheinlichkeit durch bestimmte Belastungen statistisch geringer ist, weil sich die QS mit der Gütekontrolle mehr anstrengt. Das kann aber auch nicht verhindern, das Du durch falsches Handling den Baustein per ESD schädigst oder ein Ausfall-affines Design bastelst.
Stefan schrieb: > im Datenblatt taucht nichts zur funktionalen Sicherheit auf. Vermutlich, weil es 1. das Verhalten des Bausteins nicht ändert und 2. dieses Thema >99% der Anwender gar nicht interessiert. Stefan schrieb: > Zum Beispiel wird hier der MachXO2 genannt, im Datenblatt taucht nichts > zur funktionalen Sicherheit auf. > Die ICE40-Serie wird nicht mal erwähnt, wobei ich ehrlich gesagt nicht > verstehe, was an der ICE40-Serie unsicherer als an der MachXO2-Serie > sein soll. Wahrscheinlich denken sich die Jungs von Lattice: dieses ganze Test- und vor allem Dokumentations-Gelecke tun wir uns nicht für jeden Baustein an. Fpgakuechle K. schrieb: > Produkte herzustellen, die nach dem aktuellen Stand der Technik > keine unverhältnismäßigen oder unvertretbaren Gefahren für Anwender > und Umwelt bedeuten. Wobei mich im Grunde schon auch wundert, das im Automotive-Bereich alles so sicher und überwacht sein muss, wenn hinterher ein Assistent auf dem kognitiven Niveau eines 3-jährigen das Fahrzeug die Autobahn entlang lenkt. Aber das ist ein anderes Thema...
:
Bearbeitet durch Moderator
> Wahrscheinlich denken sich die Jungs von Lattice: dieses ganze Test- und > vor allem Dokumentations-Gelecke tun wir uns nicht für jeden Baustein > an. Genau, die ICE40 waren von Anfang an als absolute Billigheimer konzipiert, erkenntlich daran, dass ein interner Flash fehlte und sie damit eher in die Kategorie OTP fallen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.