AVF (06.09.2012 09:12, просмотров: 17660)-
- Делал такое для EEPROM в AT89S8253. Память программ была с CRC16 и проверялась однократно при старте. В EEPROM было две копии тоже с CRC16. При старте проверялось правильность обеих копий. Если одна битая - восстанавливалась, если обе - стоп. На Точка опоры из дому(217 знак., 10.09.2012 11:52,
) - Контроллировать CRC прошивки на старте, переодически и возможно, если позволяют условия задачи, перед выполнением критичных действий. Если не совпадает - все останавливаем и генерим аварию. Не заморачивайтесь с восстановлением прошивки и тп - Alex_135(95 знак., 10.09.2012 11:18,
) - забить. в приборе кроме мк нет чтоли больше ничего? CRC конденсаторов, транзисторов? Пусть интегратор занимается этими вопросами, обеспечивая надежность двойным, тройным резервированием. Пока ты будешь делать эту супервещь, твой коллега сделает abivan(131 знак., 06.09.2012 13:14)
- Без надежного арбитра резервов, как ниже Chum_A указал, бесполезная вещь. А арбитр в той же флэш, что и целевая программа - нифига не надежный. - Хитрый Китаец(06.09.2012 12:03)
- ну как то ж запихивают мк в автомобилку, видимо этого достаточно или что то еще используется - AVF(06.09.2012 12:44)
- Чтобы закрыть вопрос про "что-то ещё" в критических приложениях, цитата из описания msp430f2001: Chum_A(1824 знак., 10.09.2012 09:32)
- Вы определитесь с ценой вопроса, ежели последствия это жизнь, здоровье или бешенные (для вас)$$$, то ставьте "что-то ещё" (меняйте МК). Если терпимо, то забейте :). - Chum_A(06.09.2012 13:31)
- да хрень как всегда, заказчику надо дешево, но я то понимаю, что в случае сбоя там $$$ и теоретически возможно люди. точнее вандалы, но от этого задача проектирования не упрощается. опять же задача тривиальная с точки зрения логики (пик12 за глаза AVF(128 знак., 06.09.2012 13:43)
- поставь однократку PIC16C622A и забей, сэкономь свое время. Мы их до сих пор покупаем и ставим(не по причине фобии слета флэш). Во глянул во вновь разрабатываемом приборе стоит рядом с пик24-ым. Да и шить процы нужно сертефицированным abivan(16 знак., 06.09.2012 16:13)
- Разочарую. Есть мнение :), что старые PIC-и с ОТР и с "окошечком" отличались первый от второго отсутствием "окошечка", поскольку корпус дорогой. Т.е. это не честный ОТР, а тот же ЛИЗМОП в "бюджетном" варианте, т.е. почти тот же flash, только со Chum_A(136 знак., 06.09.2012 21:40)
- вообще речь была о рентгене, причем стиралось и EEPROM и OTP Zilog и др. и пр. - Илья(07.09.2012 12:41)
- Интересно, как сделана память на Вояджерах. Небось, ROM попросту нет. - fk0(07.09.2012 01:00)
- Кто-то говорил, что пережигаемая. - AZ.(07.09.2012 02:10)
- Неа. На магнитных кольцах почти. Не совсем так -- более продвинутая технология, не ручная намотка, неразрушающее считывание... - fk0(10.09.2012 10:59)
- Точно. Кто не знает эФ-тэ-я - тот не знает ни..я :) - Хитрый Китаец(10.09.2012 13:39)
- Вряд ли. Очень габаритная. Вы ПЗУ микропрограмм компьютеров серии ЕС в руках держали? Это габаритное устройство. Даже если учесть специальную миниатюризацию для космоса, вряд ли они пошли по этому пути. - AZ.(10.09.2012 13:10)
- Неа. На магнитных кольцах почти. Не совсем так -- более продвинутая технология, не ручная намотка, неразрушающее считывание... - fk0(10.09.2012 10:59)
- Кто-то говорил, что пережигаемая. - AZ.(07.09.2012 02:10)
- неа, их нужного количества на близком складе нету :) и боюсь с покупаемостью потом будут проблемы. при удачном раскладе надо будет до 1000шт. при неудачном 100-200шт. - AVF(06.09.2012 20:34)
- почему у нас нет проблем, а у вас будут? Майкрочип насколько мне известно ни снял ни одного проца с выпуска. а 622 не такой уж и древний. Его точно не снимут потому как мы покупаем больше того количесва, меньше которого проц снимается с abivan(316 знак., 07.09.2012 13:18)
- я в казахстане, поэтому не все так просто - AVF(10.09.2012 10:40)
- почему у нас нет проблем, а у вас будут? Майкрочип насколько мне известно ни снял ни одного проца с выпуска. а 622 не такой уж и древний. Его точно не снимут потому как мы покупаем больше того количесва, меньше которого проц снимается с abivan(316 знак., 07.09.2012 13:18)
- Разочарую. Есть мнение :), что старые PIC-и с ОТР и с "окошечком" отличались первый от второго отсутствием "окошечка", поскольку корпус дорогой. Т.е. это не честный ОТР, а тот же ЛИЗМОП в "бюджетном" варианте, т.е. почти тот же flash, только со Chum_A(136 знак., 06.09.2012 21:40)
- Вандалы стоят дороже 3х пиков по 1уе за штуку.А три пика это уже серьезно.Особенно если два из них не пики. - PlainUser(06.09.2012 14:22)
- что-то я думаю поставить туда STM8S003 за 10 руб. и это существенно меняет дело :D - AVF(06.09.2012 14:39)
- поставь однократку PIC16C622A и забей, сэкономь свое время. Мы их до сих пор покупаем и ставим(не по причине фобии слета флэш). Во глянул во вновь разрабатываемом приборе стоит рядом с пик24-ым. Да и шить процы нужно сертефицированным abivan(16 знак., 06.09.2012 16:13)
- да хрень как всегда, заказчику надо дешево, но я то понимаю, что в случае сбоя там $$$ и теоретически возможно люди. точнее вандалы, но от этого задача проектирования не упрощается. опять же задача тривиальная с точки зрения логики (пик12 за глаза AVF(128 знак., 06.09.2012 13:43)
- у ренесанса есть мк рулящий подушкой безопасности, так там все внутри чипа дублированно - lexxx-lexxx(06.09.2012 13:24)
- геркулеса от TI ещё вспомните. - Mahagam(06.09.2012 13:31)
- ну как то ж запихивают мк в автомобилку, видимо этого достаточно или что то еще используется - AVF(06.09.2012 12:44)
- У ST есть библиотека и аппликейшн для IEC60335: AN3181 (-> вкладка design support) - testerplus(06.09.2012 09:57 - 10:09, ссылка)
- спасибо, помню что-то похожее было - AVF(06.09.2012 10:44)
- Фигня туесосова. (Ничего личного) Посмотрите RL78 лучше - Vladimir Ljaschko(06.09.2012 09:55, ссылка)
- дорого, избыточно. время на освоение новой архитектуры. по ресурсам меня pic12 устроит - AVF(06.09.2012 10:25)
- еще момент - в принципе все устройство реализуется на 2-3 корпусах логики. но получается не дешевле, усложняется монтаж, количество компонентов, исключаются сложные алгоритмы обработки аварийных ситуаций и еще момент - внешние контактные датчики - AVF(75 знак., 06.09.2012 09:43)
- Делал на LPC2134 - в ПЗУ хранились: - две прошивки, слинкованные каждая для своей области; - номер программы, желательной к запуску; - и стартовое приложение, которое после резета проверяло CRC обеих прошивок и читало номер программы, желательной amusin_(323 знак., 06.09.2012 09:23, )
- Да, там была еще игра с таблицей векторов прерываний: она копировалась в ОЗУ и ядру указывалось искать ее там, а не во флеш. - amusin_(06.09.2012 09:27, )
- а лог велся? все это реально выполнялось? есть какая-нибудь статистика? - AVF(06.09.2012 09:37)
- Да, там была еще игра с таблицей векторов прерываний: она копировалась в ОЗУ и ядру указывалось искать ее там, а не во флеш. - amusin_(06.09.2012 09:27,
- Контрольную сумму или CRC по прошивке - всегда. Если не сошлось, то какая перезапись - к черту МК с потёкшим flash. Надёжность вопрос комплексный и сильно привязанный к конкретной задаче. - Chum_A(06.09.2012 09:19)
- а что делать, если потекла флеш на области, которая собственно и производит проверку флеш ? То есть сама функция проверки вместо проверки сразу вернула TRUE ? - MegaJohn(06.09.2012 10:03)
- Прочитать вложенный файл. Если последствия того требуют, то городить структуру по рис.4 или пользовать МК с соответствующими внутренностями. - Chum_A(06.09.2012 10:06 - 10:17, ссылка)
- Похоже, что надо. Разъясняю: с чего бы испортиться прошивке, производители дают изрядное время хранения при соблюдении условий эксплуатации? Три причины: Chum_A(405 знак., 06.09.2012 09:49)
- Еще парочка: testerplus(222 знак., 06.09.2012 10:01)
- Как минимизировать вред от последнего пункта? - PlainUser(06.09.2012 12:39)
- При обнаружении сбоя (средствами диагностики) передавать управление функции безопасного режима (нужно иметь две копии и переключаться на ту, у которой сходится CRC) и ждать команду инженегров. Саму функцию писать с учетом: testerplus(348 знак., 06.09.2012 12:50)
- система аппаратно построена так, что при незапуске мк. все в безопасном режиме. а инженегры автоматически получают люлей от вышестоящего начальства и бегут исправлять. поскольку бежать далеко, второстепенная задача - минимизировать пробег AVF(153 знак., 06.09.2012 14:28)
- Перепрошивка - стремное дело. Неизвестно же, по каким причинам CRC не сошлась: тупо заряд стек или после заморозков кристалл деформировался. Так что лучше инженеры с заменой блока - testerplus(06.09.2012 14:40)
- согласен. пожалуй тут интересней вырисовывается вариант - поставить два мк параллельно. по паре ножек контролировать взаимную живость, в случае одного дохлого - (не сошлась CRC или просто не грузится) подключается второй. и загорается лампочка AVF(52 знак., 06.09.2012 14:48)
- А схему неимоверно усложнить мажорирующими элементами? К тому же для мажорирования нужно нечетное кол-во узлов. - testerplus(06.09.2012 14:58)
- ага, и будет как Ариан-5 :=) - koyodza(06.09.2012 14:51, ссылка)
- про ариан в курсе. в данной задаче пох. если оба сглючили все тормозится и ждут инженегров :) - AVF(06.09.2012 14:57)
- согласен. пожалуй тут интересней вырисовывается вариант - поставить два мк параллельно. по паре ножек контролировать взаимную живость, в случае одного дохлого - (не сошлась CRC или просто не грузится) подключается второй. и загорается лампочка AVF(52 знак., 06.09.2012 14:48)
- Перепрошивка - стремное дело. Неизвестно же, по каким причинам CRC не сошлась: тупо заряд стек или после заморозков кристалл деформировался. Так что лучше инженеры с заменой блока - testerplus(06.09.2012 14:40)
- Я видимо неясно выразился.Вопрос не про борьбу с последствиями.Попробую еще раз. PlainUser(77 знак., 06.09.2012 14:18)
- Эти факторы для "толстопроводниковых" МК практически безвредны. Ячейка быстрее потеряет заряд от утечки, чем электромиграция разрушит проводник. А вообще с ними борятся на уровне проектирования микросхем: топологией, материалами проводников testerplus(102 знак., 06.09.2012 14:37)
- Мерси! - PlainUser(10.09.2012 08:20)
- Эти факторы для "толстопроводниковых" МК практически безвредны. Ячейка быстрее потеряет заряд от утечки, чем электромиграция разрушит проводник. А вообще с ними борятся на уровне проектирования микросхем: топологией, материалами проводников testerplus(102 знак., 06.09.2012 14:37)
- система аппаратно построена так, что при незапуске мк. все в безопасном режиме. а инженегры автоматически получают люлей от вышестоящего начальства и бегут исправлять. поскольку бежать далеко, второстепенная задача - минимизировать пробег AVF(153 знак., 06.09.2012 14:28)
- При обнаружении сбоя (средствами диагностики) передавать управление функции безопасного режима (нужно иметь две копии и переключаться на ту, у которой сходится CRC) и ждать команду инженегров. Саму функцию писать с учетом: testerplus(348 знак., 06.09.2012 12:50)
- Как минимизировать вред от последнего пункта? - PlainUser(06.09.2012 12:39)
- возможно AVF(552 знак., 06.09.2012 09:59)
- Еще парочка: testerplus(222 знак., 06.09.2012 10:01)
- Может кому пригодится - не плохой обзор по методам построения ответственных систем. Chum_A(06.09.2012 09:22)
- а что делать, если потекла флеш на области, которая собственно и производит проверку флеш ? То есть сама функция проверки вместо проверки сразу вернула TRUE ? - MegaJohn(06.09.2012 10:03)
- Делал такое для EEPROM в AT89S8253. Память программ была с CRC16 и проверялась однократно при старте. В EEPROM было две копии тоже с CRC16. При старте проверялось правильность обеих копий. Если одна битая - восстанавливалась, если обе - стоп. На Точка опоры из дому(217 знак., 10.09.2012 11:52,