Zbiorczo odpowiadam :

> Jesli zapętli się z popychaniem watchdoga to przecież to samo co > >
> zapętlenie z popychaniem magicznego scalaka. Ryzyko takie samo." w

Jednak nie takie samo.
Watchodog użyty jest w obrębie całego programu. Wyobraź sobie teraz, że
program w trakcie obsługi tego najważniejszego procesu zostanie
niespodziewanie "przerzucony w inne miejsce. Nadal będzie się wykonywał,
być może nawet poprawnie. A watchdog będzie nadal pracować.
To niestety zjawisko, które może realnie wystąpić, a nawet miałem taki
przypadek.

> Poza tym - czy styki przekaźnika mogą się skleić? Jeśli tak to może >
>warto dać drugi przekaźnik, szeregowo, rozłączany po tym pierwszym i

Opis, który zrobiłem jest pewnym uproszczeniem. W rzeczywistości po
pierwsze jest "drugie odcięcie", ponieważ przekaźnik jest za układem
tranzystorowym, który po pierwsze spełnia rolę PWM, a po drugie właśnie
odcina sygnał.

A styki przekaźnika są "monitorowane" - jest sygnał zwrotny do MCU.

> Jeśli spore to pozostaje być może zrobienie na 74123 lub całkowicie
analogowo

Sam 74123 to rozwiązanie nie nadające się do kontroli kilki linii
wyzwalających, zwłaszcza jeżeli mają działać sekwencyjnie.
Poza tym - co do rozwiązań analogowych - układ może działać w bardzo
szerokim zakresie temperatur. I pojawiają się problemy z np.
charakterystykami kondensatorów. Wolałbym tego uniknąć.

> Co do tematu, klepanie pinem z wypełnieniem 50% + filtr RC + >
komparator okienkowy obejmujący 2,5V +-0,5V.

No to jest jakieś minimum absolutne, ale - może się zdarzyć, że program
zapętli się jakoś "w tym machaniu" i wówczas dupa.
To jest imo słabsze rozwiązanie niż istniejące (bo przy 2 MCU mamy
jednak 2 razy mniejsze ryzyko co najmniej).

> Coś mi mówi, że zapewnienie 100% bezpieczeństwa elektronicznie może >
nie
wystarczyć. Masz (Ty lub osoba odpowiedzialna) ubezpieczenie na wypadek
skutków zbyt długiego włączenia przekaźnika? Może warto o tym pomyśleć,
szczególnie jeśli straty mogą być nie tylko finansowe...

To jest problem firmy, która te urzadzenia montuje, i za nie odpowiada.
Ja robię, co mogę od strony technicznej. Tylko i aż tyle :)

> A co to są zmiany poprawnego czasu? Jak to sobie wyobrażasz? Że
watchdog zadziała ale nie zadziała?

Chodzi mi o to, żeby układ "nadzorujący" wymagał nie tylko określonej
sekwencji, ale też określonych "czasów" tych sekwencji.
Krótko mówiąc - żeby wykrył ewentualne opóźnienia/przyspieszenia.

> Piszesz o jakimś niebezpieczeństwie. Może podchodzisz do tematu z
niewłaściwej strony?

Temat jest ściśle tajny niestety, i nie mogę pisać o szczegółach, bo
zaraz potem musiałbym was wszystkich zabić :) No a ile bym się musiał
najeździć w tym celu ??

OK - niebezpieczeństwo może (nie musi) powstać, jeżeli zadany czas
uruchomienie tego przekaźnika zostanie przekroczony.
Przy czym - uwaga - czas ten nie jest stały.
Tj. może być zmieniany przez obsługę co jakiś czas.

Obecnie jest on zapamiętywany w obu MCU, i w trakcie pracy odmierzanie
czasu odbywa się w obu.

Podstawowe ryzyko, to właśnie nieprzewidziane zachowanie programu, na
skutek występujących bardzo silnych zakłóceń EM, czy to na zasilaniu.
(oczywiście, elektronika posiada ekrany EM).

Praktyka pokazała jednak, że na uderzający w okolicy piorun nie ma siły,
i MCU potrafi zrobić coś, co wydaje się niewykonalne - np. zmienić
ustawienia w jakimś rejestrze, co powoduje że sam program działa nadal
poprawnie, tylko nie zupełnie w tym otoczeniu MCU co trzeba :)

Dlatego chodzi mi o to, żeby wykonanie "uruchomienia" i - co ważniejsze
- jego dalsze utrzymanie w działaniu - nie mogło się odbyć po jakimś
przypadkowym wejściu do procedury.

Oczywiście mogę pozostać przy obecnym rozwiązaniu - świat się nie
zawali, choć miałem nadzieję na uproszczenie (w sensie braku
konieczności programowania 2 MCU).

Dodatkowym plusem byłoby zmniejszenie ryzyka awarii urządzenia,
spowodowanego tym, że MCU jednak są bardziej podatne na to niż np.
układy logiczne.

Taka awaria nie skutkuje niebezpieczeństwem o którym tu mowa, ale - po
prostu może wyłączyć urządzenie. Choć jak dotąd nie pojawiło się to
więcej niż kilka razy na kilkaset urządzeń.

A z dwojga złego - lepiej, żeby sterownik się wysypał całkiem, niż gdyby
miał źle działać.

__________________________

Co propozycji dotyczących MCU - używam atmeli.
Nie wiem, czy są potwierdzone analizy, że inne MCU są bezpieczniejsze ?

W oprogramowaniu są stosowane rozwiązania zwiększające bezpieczeństwo -
np. przechowywanie zmiennych w wielu komórkach pamięci i kontrola, czy
wszystkie są zgodne itp.
Oczywiście także kontrola CRC pamięci programu po restarcie, czy też
właśnie okresowe restartowanie systemu co godzina.

To są rzeczy, które istotnie zwiększyły niezawodność - jak dotąd
był jeden niebezpieczny przypadek (jeszcze w czasie kiedy nie stosowałem
rozwiązania z dwoma MCU).
No, ale wolę dmuchać na zimne - teoretycznie istnieje ryzyko dla zdrowia
czy życia ludzie - żartów więc nie ma.