Startseite > Automation > Möglichkeiten und Grenzen von Safety Chips

Safety Alliance

Möglichkeiten und Grenzen von Safety Chips

20. Februar 2017, 11:14 Uhr | Von Franz Kaufleitner und Peter Fuchs, Safety Alliance

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Normative Kriterien

Aus normativer Sicht wurde der Fokus auf die Anwendungen im Maschinenbau und damit auf die internationalen Normenreihen IEC 61508 und ISO 13849 gelegt. Hier zeigte sich, dass Unterschiede in den normativen Anforderungen große Auswirkungen auf die Anwendbarkeit der Produkte haben.
Einige der untersuchten Mikrocontroller wurden speziell für den Automotive-Markt entwickelt. Sie orientieren sich an den normativen Anforderungen von ISO 26262 und sind aufgrund hoher Produktionszahlen auch preislich sehr interessant. Eine Nutzung auch im Umfeld der industriellen Automatisierung erscheint daher zumindest einer ernsthaften Prüfung wert. Das Ergebnis der Untersuchung durch das Expertenteam der Safety Alliance war allerdings, dass die Safety-Eigenschaften dieser Automotive-Controller nur sehr begrenzt auf Anwendungen im Maschinenbau übertragbar sind.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die normativen Anforderungen für Safety-Systeme im Maschinenbau sind im Wesentlichen in den internationalen Normenreihen IEC 61508 und ISO 13849 gelistet. Beide Normen beschreiben Anforderungen bzgl. mehrkanaliger Strukturen.
IEC 61508 verwendet dafür den Kennwert der »HFT« (Hardware-Fehler-Toleranz). Ein System besitzt eine HFT=1, wenn in diesem System das Auftreten eines Hardware-Fehlers nicht zum Verlust der Sicherheitsfunktion führen kann. Für Single-Chip-Designs ist also detailliertes Wissen über die innere Struktur des Chips notwendig. Nur so kann beurteilt werden, ob ein einzelner Fehler nicht gleichzeitig mehrfache Strukturen, Prozessorkerne, Speicher usw. stört. Mit einer HFT=1-Architektur lassen sich sicherheitstechnische Produkte daher optimal realisieren. Dagegen sind HFT=0-Architekturen nur für niedrigere Sicherheits-Levels gedacht. Zudem müssen in HFT=0-Architekturen zwingend notwendige Diagnosen innerhalb der spezifizierten sicheren Reaktionszeit ausgeführt werden, was in der Regel die Prozessoren stark belastet und selbst schnelle Mikrocontroller sehr stark ausbremst.

ISO 13849-1 benutzt für die Beurteilung einer mehrkanaligen Struktur den Begriff der »Kategorie«. Bei Kategorie 3 darf ein Einzelfehler nicht zum Verlust der Sicherheitsfunktion führen. Die Sachlage ist damit sehr ähnlich der mit IEC 61508. Lässt sich die Einzelfehlersicherheit des Single-Chip-Designs nicht nachweisen, ist man auf Kategorie 2 beschränkt. Mit Kategorie 2 lassen sich nur weniger kritische sogenannte »Performance Levels« implementieren. Auch hier gibt es für die Implementierung der notwendigen Diagnoseroutinen im Falle der Kategorie 2 sehr strenge Anforderungen. Generell sind auch die von den Halbleiterherstellern definierten Rahmenbedingungen und spezifizierten Maßnahmen für den Einsatz in Sicherheitsanwendungen zu beachten.
Für Verwirrung sorgt in vielen Entwicklungsabteilungen, dass sich gewisse Single-Chip-Designs gemäß SIL3 zertifizieren lassen können. Da diese Chips aber nur eine HFT=0 haben, können sie Performance Level e oder Kategorie 3 nur durch zusätzliche Maßnahmen erreichen. Teilweise wurde diese schmerzhafte Erkenntnis allerdings erst in schon laufenden Projekten gemacht.