Forum: FPGA, VHDL & Co. IEC 61508, warum nur manche FPGAs?


von Stefan (Gast)


Lesenswert?

Hallo,

aktuell beschäftige ich mich aus Interesse gerade mit der Norm IEC 61508 
um für mein privates Projekt (Ansteuerung eines Aktors für einen kleinen 
Roboter) ein paar Ideen für Sicherheitsfeatures und ähnliches zu 
bekommen.

Ich frage mich ehrlich gesagt, warum zum Beispiel Lattice auf deren 
Webseite mit manchen Produkten wirbt, die diese Norm unterstützen und in 
den Datenblättern findet man nichts dazu.

https://www.latticesemi.com/en/Solutions/Solutions/SolutionsDetails01/FunctionalSafety

Zum Beispiel wird hier der MachXO2 genannt, im Datenblatt taucht nichts 
zur funktionalen Sicherheit auf.
Die ICE40-Serie wird nicht mal erwähnt, wobei ich ehrlich gesagt nicht 
verstehe, was an der ICE40-Serie unsicherer als an der MachXO2-Serie 
sein soll.
Programmiert werden beide über das Lattice Diamond, das ja auch 
angeblich IEC 61508 ermöglicht.

Wo liegt denn mein Denkfehler?

Viele Grüße
Stefan

von Achim M. (minifloat)


Lesenswert?

Stefan schrieb:
> Wo liegt denn mein Denkfehler?

Es hängt stark vom angedachten Einsatz und der Klassifizierung von 
einzelnen Funktionen in Safety-Levels ab, ob die Norm erfüllt wird.
Dafür haftet aber der Inverkehrbringer des Produktes.
Du kannst dich also nicht darauf berufen, dass das auf der Webseite 
steht, wenn da was passiert.

Absurdes Beispiel: Robotersoftware von einer Hinterhofklitsche 
zusammengeklickt, den FPGA auf die Platine geworfen, aber an nix 
angeschlossen, Personenschaden... Wer haftet in dem Fall?

mfg mf

PS. Im Automotive-Bereich nennt man das "Safety Element out of Context" 
d.h. der Hersteller sichert dir zu, dass du damit potentiell ein 
funktional sicheres System bauen kannst. Aber nur unter entsprechenden 
Voraussetzungen. Zu deinem FPGA muss es auch ein "Safety-Manual" geben, 
welches man als Normalo nicht von der Webseite herunterladen kann. Sinn 
ist, dass der Hersteller wissen will, in welchen FuSa-relevanten 
Produkten sein FPGA eingesetzt wird.

: Bearbeitet durch User
von Fpgakuechle K. (Gast)


Lesenswert?

Stefan schrieb:

> aktuell beschäftige ich mich aus Interesse gerade mit der Norm IEC 61508
> um für mein privates Projekt (Ansteuerung eines Aktors für einen kleinen
> Roboter) ein paar Ideen für Sicherheitsfeatures und ähnliches zu
> bekommen.

> Ich frage mich ehrlich gesagt, warum zum Beispiel Lattice auf deren
> Webseite mit manchen Produkten wirbt, die diese Norm unterstützen und in
> den Datenblättern findet man nichts dazu.

>
> Wo liegt denn mein Denkfehler?

Der Fehler liegt in der Bequemlichkeit Anstrengungen zur Erreichung der 
funktionalen Sicherheit durch Auswahl einer bestimmten Baureihe 
erreichen zu wollen und in der weitreichenden Unkenntnis, was die 
Normschrift IEC 61508 überhaupt beinhaltet.
Die Norm 61508 betrachtet den gesamten Lebenszyklus des Systems und 
damit auch die Rückverfolgbarkeit der einzelnen Komponenten auf die 
jeweiligen Chargen. Wenn Xilinx beispielsweise Automotive FPGA's 
anbietet, dann heisst das nicht, das sich diese technisch von den 
Nicht-Automotiv FPGA's unterscheiden, sondern lediglich das diese 
komplett rückverfolgbar sind und das sie einn speziellen 
Automotive-Qualifizierungsprozess (Test) durchlaufen haben. Das 
Unterscheidungsmerkmal liegt also im Bereich der Qualitätssicherung und 
nicht im Engineering.

"Xilinx Automotive FPGA and CPLD  product lines offer 
automotive-qualified devices in a variety of densities, packages, and 
extended temperature grades. All devices are pin-compatible with 
commercial parts for full migration support and:
!!!!
 tested using a robust qualification process that exceeds $(&4 
requirements. Xilinx delivers continuous improvements to ensure 
world-class quality and reliability"
!!!!

Da der Link zur Automotive Qualifizierungs-Richtlinie AEC_Q100: 
http://www.aecouncil.com/Documents/AEC_Q100_Rev_G_Base_Document.pdf

Ziel dieser IEC 61508 ist es, Verfahrensweisen zu definieren, die es 
erlauben, Produkte herzustellen, die nach dem aktuellen Stand der 
Technik keine unverhältnismäßigen oder unvertretbaren Gefahren für 
Anwender und Umwelt bedeuten.
Wenn Du also einen IEC 61508 qualifizierten FPGA einsetzt, heisst es 
nicht das dieseS System fehlerärmer ist. Es heisst lediglich, dasdie 
Ausfallwahrscheinlichkeit durch bestimmte Belastungen statistisch 
geringer ist, weil sich die QS mit der Gütekontrolle mehr anstrengt. Das 
kann aber auch nicht verhindern, das Du durch falsches Handling den 
Baustein per ESD schädigst oder ein Ausfall-affines Design bastelst.

von Lothar M. (Firma: Titel) (lkmiller) (Moderator) Benutzerseite


Lesenswert?

Stefan schrieb:
> im Datenblatt taucht nichts zur funktionalen Sicherheit auf.
Vermutlich, weil es 1. das Verhalten des Bausteins nicht ändert und 2. 
dieses Thema >99% der Anwender gar nicht interessiert.

Stefan schrieb:
> Zum Beispiel wird hier der MachXO2 genannt, im Datenblatt taucht nichts
> zur funktionalen Sicherheit auf.
> Die ICE40-Serie wird nicht mal erwähnt, wobei ich ehrlich gesagt nicht
> verstehe, was an der ICE40-Serie unsicherer als an der MachXO2-Serie
> sein soll.
Wahrscheinlich denken sich die Jungs von Lattice: dieses ganze Test- und 
vor allem Dokumentations-Gelecke tun wir uns nicht für jeden Baustein 
an.

Fpgakuechle K. schrieb:
> Produkte herzustellen, die nach dem aktuellen Stand der Technik
> keine unverhältnismäßigen oder unvertretbaren Gefahren für Anwender
> und Umwelt bedeuten.
Wobei mich im Grunde schon auch wundert, das im Automotive-Bereich alles 
so sicher und überwacht sein muss, wenn hinterher ein Assistent auf dem 
kognitiven Niveau eines 3-jährigen das Fahrzeug die Autobahn entlang 
lenkt. Aber das ist ein anderes Thema...

: Bearbeitet durch Moderator
von Bürovorsteher (Gast)


Lesenswert?

> Wahrscheinlich denken sich die Jungs von Lattice: dieses ganze Test- und
> vor allem Dokumentations-Gelecke tun wir uns nicht für jeden Baustein
> an.
Genau, die ICE40 waren von Anfang an als absolute Billigheimer 
konzipiert, erkenntlich daran, dass ein interner Flash fehlte und sie 
damit eher in die Kategorie OTP fallen.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.