Связанные сообщения
pavel2000 (09.02.2026 18:27, просмотров: 5388)-
- Тут даже тэг такой есть. Тэгнул тему, смотрите связанные справа. - Toчкa oпopы(19.02.2026 11:51)
- Ключевые слова Functional Safety (FuSa). Гляньте материал по ссылке
(оно старое, но дает представление). Оно как бэ не только про
микроконтроллер, но и про систему. Если FMEA анализ своей
схемотехники вы можете провести и увеличить надежность переработкой
схемы, то для МК общего назначения - уже нет, но можете покрыть ПО
тестами и уйти в безопасный режим при обнаружении ошибки.
Библиотеки тестирования (Class B) обычно доступны у разных вендоров
(и даже у Китайцев). Под НДА Илья(198 знак., 12.02.2026 17:53, ссылка, ссылка)
- Книжка "Безопасно by design" про общую методологию рабработки
безопасного ПО: Chip_n_Go_24(1 знак., 12.02.2026 19:53,
, ссылка)
- Книжка "Безопасно by design" про общую методологию рабработки
безопасного ПО: Chip_n_Go_24(1 знак., 12.02.2026 19:53,
- Зависит от того ездит-плавает-ныряет-летает ваше устройство и
сколько человек умрет в случае его отказа. Для народно-любимого STM
можно начать отсюда []. Если есть намерения это все продавать, то
сертификация по словам одного знакомого требует в 2-3 раза больше
усилий чем разработка. Он себе заодно язву на нервной почве
заработал... NeoPower________(1 знак., 10.02.2026 19:11, ссылка)
- Документация да, интересная, про архитектуру ПО и некоторые методы
различные моменты раскрывает. Но вот в виде исходников пока мало
что получилось скачать. Например "The X-CUBE-STL is available free
of charge, but only upon signing an NDA". Продавать намерений нет,
изучаю для самообразования. - pavel2000(11.02.2026 05:47)
- Так и тема очень непростая и потенциально очень денежная, поэтому
просто так ничего на блюдечке не преподнесут. Для самообразования
хватит процессора с ECC RAM / Flash + Fram вовне, а далее если
интерес не угаснет может и доживете до других страшных слов типа
core lock step / ASIL-D и т.п. - NeoPower_______(12.02.2026 01:10,
)
- Так и тема очень непростая и потенциально очень денежная, поэтому
просто так ничего на блюдечке не преподнесут. Для самообразования
хватит процессора с ECC RAM / Flash + Fram вовне, а далее если
интерес не угаснет может и доживете до других страшных слов типа
core lock step / ASIL-D и т.п. - NeoPower_______(12.02.2026 01:10,
- Документация да, интересная, про архитектуру ПО и некоторые методы
различные моменты раскрывает. Но вот в виде исходников пока мало
что получилось скачать. Например "The X-CUBE-STL is available free
of charge, but only upon signing an NDA". Продавать намерений нет,
изучаю для самообразования. - pavel2000(11.02.2026 05:47)
- делал прогу в которой главный цикл задавался через железный ресет
мк - vvv(10.02.2026 11:48, , +1)
- Совсем недавно я узнал, что в STM32 программный ресет делается
путем замыкания внешнего пина RESET внутри МК с помощью унутреннего
MOSFET. Поэтому, если у м/с SVS хороший push-pull-ный выход, то
программный ресет не работает - унутренему MOSFET не хватает тока
пересилить push-схему SVS. Никогда до этого в других МК не встречал
такой идиотской схемы программного сброса! reZident(1 знак., 10.02.2026 12:49, картинка)
- У многих ARM-ов так, в том числе линухоидных. Видимо для того, чтобы была единая цепь сброса на все случаи жизни. - LightElf(11.02.2026 20:24)
- Надо полагать, это сделано сознательно. Идея скорее всего в том,
что на этом-же ресете висят другие внешние устройства и софтварный
сброс заодно синхронно сбрасывает и их. - mr-x(10.02.2026 13:16)
- Я тоже удивился в сое время. :-) - Лaгyнoв(10.02.2026 18:37)
- В нормальных МК это делается на аппаратной логике внутри МК, уже
после схемы антидребезга входного сигнала RESET. Для использования
же software reset на STM32 приходится сознательно ухудшать его
помехоустойчивость, включая резистор между выходом SVS и входом
RESET МК. - reZident(10.02.2026 13:21)
- А в чем проблема туда воткнуть килоомный резистор поближе к ноге? Я
сомневаюсь, что можно найти такой источник помех, что reset будет
самопроизвольно к земле поджиматься, а МК при этом не пормет… - Eddy_Em(10.02.2026 13:32)
- Угадайте, сколько минут до непредсказуемого сброса проработает
такой контроллер когда рядом в шкафу частотник и/или контакторы
работают? Или рядом с контроллером поджиг газовой горелки
включается? - reZident(10.02.2026 13:41)
- Ачётакова? Половина наших поделий висит в шкафах частотников, часто на сотни кВт. Вторая половина болтается под землёй, питание на них подаётся через высоковольтный кабель, по нему же питается двигатель. - Бapбoc(12.02.2026 18:17)
- Я электрошокером бил в свою плату так, чтобы ток от одного контакта
до другого проходил по земле, по диагонали платы. Ничего не висло и
не сбрасывалось. - HeПpocтoBce(12.02.2026 17:59, )
- Или - пьезозажигалкой. - Toчкa oпopы(12.02.2026 18:02)
- Эстет. - Kpoк(12.02.2026 19:38)
- "Используй то, что под рукою и не ищи себе другого" (с) - Toчкa oпopы(12.02.2026 22:01)
- Эстет. - Kpoк(12.02.2026 19:38)
- Или - пьезозажигалкой. - Toчкa oпopы(12.02.2026 18:02)
- Пускатель, находящийся рядом, никак не влияет. Я даже вместо 1кОм делал 4к7 — все равно все ОК. Eddy_Em(135 знак., 10.02.2026 13:47)
- Угадайте, сколько минут до непредсказуемого сброса проработает
такой контроллер когда рядом в шкафу частотник и/или контакторы
работают? Или рядом с контроллером поджиг газовой горелки
включается? - reZident(10.02.2026 13:41)
- Есть мнение, что пушпульный выход монитора питания - ошибочное
решение. Объединение сбросов - обычная практика. - mr-x(10.02.2026 13:32)
- Отнюдь! Pull-up-ный вход RESET - вот это ошибочное решение! - reZident(10.02.2026 13:36)
- Хотел голосование прикрутить. Чота не работает. mr-x(131 знак., 10.02.2026 13:54)
- 2. - Nikolay_Po(10.02.2026 13:56)
- Нет смысла - SVS выпускают и такие и сякие. И push-pull-ные и open-drain-ные. - reZident(10.02.2026 13:56)
- Хотел голосование прикрутить. Чота не работает. mr-x(131 знак., 10.02.2026 13:54)
- Отнюдь! Pull-up-ный вход RESET - вот это ошибочное решение! - reZident(10.02.2026 13:36)
- А в чем проблема туда воткнуть килоомный резистор поближе к ноге? Я
сомневаюсь, что можно найти такой источник помех, что reset будет
самопроизвольно к земле поджиматься, а МК при этом не пормет… - Eddy_Em(10.02.2026 13:32)
- Atmel (A)T89, унаследованные от Temic'а. ЕМНИП. - Toчкa oпopы(10.02.2026 12:59)
- Гм. Действительно. Видимо бог миловал меня от использования
микроконтроллерной продукции Atmel :-) reZident(1 знак., 10.02.2026 13:12, картинка)
- Это сделано, чтобы наряду с МК, сбрасывать и внешнее оборудование вместе со сбросом контроллера, в том числе и программным. А так же сделана для удержания минимальной длительности сигнала сброса для всех устройств на линии RST, если источник сброса снял замыкание на землю раньше минимальной длительности удержания сброса. - Nikolay_Po(10.02.2026 13:16)
- Гм. Действительно. Видимо бог миловал меня от использования
микроконтроллерной продукции Atmel :-) reZident(1 знак., 10.02.2026 13:12, картинка)
- Совсем недавно я узнал, что в STM32 программный ресет делается
путем замыкания внешнего пина RESET внутри МК с помощью унутреннего
MOSFET. Поэтому, если у м/с SVS хороший push-pull-ный выход, то
программный ресет не работает - унутренему MOSFET не хватает тока
пересилить push-схему SVS. Никогда до этого в других МК не встречал
такой идиотской схемы программного сброса! reZident(1 знак., 10.02.2026 12:49, картинка)
- Принцип Fail Fast, Restart Quickly ? bodis(1 знак., 10.02.2026 10:56, ссылка)
- Такая старинная методичка. Toчкa oпopы(263 знак., 09.02.2026 22:02, ссылка)
- Методичка хорошая, основы хорошо излагает, как всегда много
картинок и формул )) pavel2000(275 знак., 10.02.2026 07:12)
- Отказоустойчивые системы это всегда единство трёх составляющих: akz(466 знак., 10.02.2026 10:06)
- Я как-то по неопытности: il-2(314 знак., 10.02.2026 05:43)
- Макросы это зло! - VVB(10.02.2026 07:11, +1)
- Поддерживаю. - mr-x(10.02.2026 13:18)
- Макросы это зло! - VVB(10.02.2026 07:11, +1)
- Методичка хорошая, основы хорошо излагает, как всегда много
картинок и формул )) pavel2000(275 знак., 10.02.2026 07:12)
- Глянь на кучу материалов для Hercules Safety MCU от TI, оттуда
можно начать понимание. - VVB(09.02.2026 20:57)
- А есть что-то в виде исходников? - pavel2000(11.02.2026 11:17)
- как я мечтал о такой прошивке для себя! Но до чего я ленив.... - Лaгyнoв(09.02.2026 20:40)
- Видел как-то плату вычислительного модуля импортного ПЛК для
ответственных применений. _Илья(536 знак., 09.02.2026 19:29)
- Отказоустойчивость ПЛК - это отдельная олимпиада. Есть стандарты и уровни безопасности типа SIL или AK bodis(26 знак., 10.02.2026 10:05, ссылка)
- Я ради любопытства/просвещения изучаю прошивки вот таких устройств. Хотелось бы не только "снизу" это изучить, но и "сверху". Грубо говоря, в общих чертах понятно, что происходит на уровне маш.кода, но хотелось бы также понять, как подобное изображают на С. Например, я вижу что переменная одновременно хранится в трех адресах, раскиданных по адресному пространству - наверное это не совсем вручную распределяют? - pavel2000(09.02.2026 20:18)
- Не беда. Достаточно залить туда одинаковые прошивки, и они
одновременно споткнутся на одном и том же глюке. - SciFi(09.02.2026 19:37)
- Это если глюк заложен в прошивку. А если глюком является
"залипание" бита в ячейке памяти или на шине - т.е дефект/сбой
чипа? Программа должна это безопасно обработать. Такой подход
кладут в основу написания кода. - pavel2000(09.02.2026 20:22)
- Сначала надо определиться со списком угроз, потом думать как
минимизировать вероятность ущерба, исходя из имеющихся
возможностей. Универсального рецепта я думаю что нет. В простейшем
случае ограничиваются CRC флэша. Более продвинутые добавляют
контроль осцилляторов. Еще добавляют контроль ошибочных состояний
(туда попадают и аппаратные и алгоритмические ошибки). А вообще
список возможных угроз огромен, даже не выходя за границы м/к. Еще
есть внешняя схема, источники питания, AlexBi(80 знак., 10.02.2026 08:39)
- +1. Я бы даже сказал, оценить разные риски количественно. Пока ни одной цифры не было, как обычно. Так-то легко можно
направить все свои усилия на борьбу с самым маленьким риском просто
потому, что это прикольно. Условно, боролись со сбойным железом, а
в итоге заглючил софт, написанный мизинцем левой ноги. - SciFi(10.02.2026 08:45)
- Полагаю цифр нет и не может быть, т.к. они индивидуальны для
каждого изделия и появляются только после набора статистики.
Поэтому борьба с глюками плохо поддается количественной оценке.
Известна только уязвимость флэша, и та без цифр. Все остальное
плотно покрыто мраком тайны. AlexBi(147 знак., 10.02.2026 09:26)
- Цифры есть. Для МК, как я понимаю, они берутся как % количества гейтов конкретной периферии, ядра, памяти и пр. Условно, есть FIT конкретного МК, АЦП занимает 5%, то FIT для АЦП будет 5% от общего (может не совсем так и у производителя есть методика расчета, но она есть). Соответственно, тест АЦП может выявить проблему АЦП и "программа примет надлежащие меры". Покрыв тестави критические для безопасности блоки можно увеличить метрику надежности системы. Цифры для FuSa-ready Илья(246 знак., 12.02.2026 18:09)
- "Цифр нет" ... "на порядок". Это цифра 10 вообще-то. Уже хорошее
начало. - SciFi(10.02.2026 09:42, +1)
- 10 - в нашем колхозе это ДВЕ цифры! - Kpoк(12.02.2026 19:39)
- Полагаю цифр нет и не может быть, т.к. они индивидуальны для
каждого изделия и появляются только после набора статистики.
Поэтому борьба с глюками плохо поддается количественной оценке.
Известна только уязвимость флэша, и та без цифр. Все остальное
плотно покрыто мраком тайны. AlexBi(147 знак., 10.02.2026 09:26)
- +1. Я бы даже сказал, оценить разные риски количественно. Пока ни одной цифры не было, как обычно. Так-то легко можно
направить все свои усилия на борьбу с самым маленьким риском просто
потому, что это прикольно. Условно, боролись со сбойным железом, а
в итоге заглючил софт, написанный мизинцем левой ноги. - SciFi(10.02.2026 08:45)
- Сначала надо определиться со списком угроз, потом думать как
минимизировать вероятность ущерба, исходя из имеющихся
возможностей. Универсального рецепта я думаю что нет. В простейшем
случае ограничиваются CRC флэша. Более продвинутые добавляют
контроль осцилляторов. Еще добавляют контроль ошибочных состояний
(туда попадают и аппаратные и алгоритмические ошибки). А вообще
список возможных угроз огромен, даже не выходя за границы м/к. Еще
есть внешняя схема, источники питания, AlexBi(80 знак., 10.02.2026 08:39)
- Это если глюк заложен в прошивку. А если глюком является
"залипание" бита в ячейке памяти или на шине - т.е дефект/сбой
чипа? Программа должна это безопасно обработать. Такой подход
кладут в основу написания кода. - pavel2000(09.02.2026 20:22)
