On 2017-03-08 00:51, sundayman wrote:
>> Jesli zapętli się z popychaniem watchdoga to przecież to samo co > > >
> zapętlenie z popychaniem magicznego scalaka. Ryzyko takie samo." w
> Jednak nie takie samo.
> Watchodog użyty jest w obrębie całego programu. Wyobraź sobie teraz, że
> program w trakcie obsługi tego najważniejszego procesu zostanie
> niespodziewanie "przerzucony w inne miejsce. Nadal będzie się wykonywał,
> być może nawet poprawnie. A watchdog będzie nadal pracować.
> To niestety zjawisko, które może realnie wystąpić, a nawet miałem taki
> przypadek.

Nie, chodzi o coś innego. Program może np. w wyniku glitcha na zasilaniu
zmienić wartośc rejestru w gdzie jest ilośc cykli. Z 5 na miliard. I
powiedzmy że trzyma przekaźnik przez miliard sekund. W tym czasie
prawidłowo popycha watchdoga. Tego nie da się łatwo wykryć w runtime.

To czego potrzeba to niezalezne asercje w osobnym kontrolerze. Ten
kontroler realizuje takie rzeczy jak sprawdza jak długo jest właczony,
czy była prawidłowa sekwencja właczenia, czy jest czwartek bo w czwartek
nie wolno itd.

> Chodzi mi o to, żeby układ "nadzorujący" wymagał nie tylko określonej
> sekwencji, ale też określonych "czasów" tych sekwencji.

To robi układ sprawdzający asercje. Jako osobny kontroler.

> Krótko mówiąc - żeby wykrył ewentualne opóźnienia/przyspieszenia.

Wykryje to i wiele innych nielegalnych stanów bądź sekwencji.

> Co propozycji dotyczących MCU - używam atmeli.
> Nie wiem, czy są potwierdzone analizy, że inne MCU są bezpieczniejsze ?

Urban legends :D Sądząc po niezrozumiałej popularności 8051 w
sterownikach bram prawdopodobnie to byłby najlepszy wybór pod względem
pieczątek.

> No, ale wolę dmuchać na zimne - teoretycznie istnieje ryzyko dla zdrowia
> czy życia ludzie - żartów więc nie ma.

Takie problemy mają mistrzowie od sterowników bram. One są czasem tak
silne że moga przekroić tira na pół (no dobra, ale człowieka moga dośc
niefajnie zdeformować). Wymagane jest bezpieczeństwo. Realizuje się je,
jesli dobrze widziałem na kilku przykładach, poprzez modlitwę i głebokie
przekonanie o słuszności kodu. W zasadzie w środku sieci jakiś
przemysłowy stary uC i troche elementów biernych. W bardziej wypasionych
sa jakieś pomiary mocy silnika, ale jak silnik jest za duzy to tego nie
robią jak widzę bo to ciężka sprawa. Kiepsko to wygląda a podobno
przechodzi cośtam rygorystycznego gdzieśtam (co pewno oznacza TUV).

Układu z dwoma uC nie widziałem jeszcze. Widac jak sie sprzedaje pcb za
5kE to każdy cent się liczy.

Może wypytaj najpierw jakie zabawne ograniczenia i wymogi są w
dziedzinie w której to robisz. Swego czasu nie wolno było stosować
sterowników do czegośtam (u Niemców) na triakach, dopuszczalne były
tylko przekaźniki. Zmienili to kilka lat temu, ale było. Zaś w medycynie
były i chyba nadal są znacznie wyższe wymogi np. izolacji.