Das ist bei mir heute noch so. Frueher traute ich auch "professionellen" Reset Chips nicht und habe alles immer diskret gebaut. Inzwischen geht es aber mit den NCP30x Modellen. Obwohl denen unter einem Volt die Puste ausgeht und da kann man dann nur hoffen dass der uC da noch nichts macht. Zumindest nichts boeses.
Warum? Bei mir war es immer umgekehrt. Ab und zu fragte ich die Design Crew ob das vielleicht passiert ist weil sie den Watch Dog vergessen haetten ... "Den was? Oehm, oh, aehm, ach so!"
Klar soll ein sauber programmierter uC nie abstuerzen aber leider gibt es auch chip-inherente Aufhaenger. Wo dann nach Jahren endlich das Errata-Sheet rauskommt was aber den zigtausend bereits produzierten Geraeten nichts mehr nutzt.
Brownout und Burst sollte der ext. Reset sauber abfangen, sonst hast Du was flasch gemacht/ausgewählt!
Denn das sind bei mir immer die Übeltäter gewesen, mit denen die interne Reset Schaltung nie zurecht kam.
Auch `Schleichspannungs (tm) Betrieb` zB. an langen Strombegrenzten EX Versorgungsleitungen funzen nur mit ordentlichem ext Reset. Typ hab ich vergessen, war aber ein klitzekleines Hühnerfutter im 3pol Gehäuse (hab ich auch vergessen SOT23?)
Saludos Wolfgang
--
Wolfgang Allinger 15h00..21h00 MEZ: SKYPE:wolfgang.allinger
Paraguay mailer: CrossPoint XP 3.20 (XP2) in WinXPprof DOSbox
Meine 7 Sinne: reply Adresse gesetzt!
Unsinn, Schwachsinn, Bloedsinn, Wahnsinn, Stumpfsinn, Irrsinn, Loetzinn.
Dann entwickle im eigenen Interesse besser nichts fuer den US-Markt. Vieles wuerde aber eh bereits in der Hazard Analysis abgeschossen.
Natuerlich darf man ihn nicht dazu benutzen. Aber eine Rettung kann er durchfuehren. Konkreter Fall, passiert: Motor laeuft nach Gewitter mit Vollgas durch, foerdert Unmengen von Zeugs was dann ruckzuck Probleme gibt. Prozessor hatte sich irgendwie HW-maessig aufgehangen. Ein Watchdog schaltet sowas ab, verrammelt die Kiste und auf dem Display steht "Please call Field Service at 1-800...".
[...]
Ich darf i.d.R. nicht ohne ausliefern, und wuerde es auch nicht tun. Wenn man nicht jegliche verfuegbare Sicherheitsmassnahme genutzt hat steht man bereits mit einem Bein vor Gericht. Watchdog ist wie Airbag, er sorgt dafuer dass man nach hartem Aufprall die Kiste zumindest noch halbwegs kontrolliert zum Stehen bekommt.
Deshalb ist bei Design Reviews, die ich recht haeufig machen muss, die Frage nach dem Watchdog eine meiner Standardfragen wenn ich den Source Code nicht habe.
Wenn das Programm durch alle EMV und SW Tests durch ist und dabei stabil blieb, könnte man über die Aktivierung des WD nachdenken... Aber ich glaube, ich würde es nicht machen. Sicherheit durch design und engineering ist besser.
Aber WD zum Gesundbeten von schlampiger HW oder SW ist Pfui!
Ich hab Fälle gesehen, wo der WD Reset nur mit einem Logikanalysator auffiel aber auch schon Fälle, wo Modellflieger geerdet wurden:
O-Ton Multiplex aka Multiplatsch (den Namen haben sie sich zu Urzeiten schon ohne uC mühelos erarbeitet und eisern erhalten :) Ein WD startet den uC, wenn nicht vorhergesehene Zustände auftreten. Da kriegt man echt Zustände, besonders bei Sturzflug oder Rückenflug in Bodennähe. Diese §$%&# hatten auch mal Fail Safe gehipet(?) um das Modell durch Neutral Stellung aller Ruder zu retten, wenn kein Empfangssignal mehr anliegt.
Eine perfekte Ruderstellung für Rückenflug, Bodennähe und Landeanflug konnten mir die Burgrabentunkathleten auf Anfrage aber auch nicht nennen.
Also dann lieber analog per PPM und man wird gewarnt durch Wackler... ...wenns ohne Wackler in den Boden geht, wars digital und PCM. Optisch klar schöner :(
Oder erzähl mal einem Walzwerksdirektor, dass die Walzen wegen einem WD- Reset zusammenklatschten oder dem TÜV bei einer KKW Revision, das leider ein paar Daten nicht aufgenommen wurden, da gerade der WD zugeschlagen hat oder man nur einen qmm an einem Hochdruckrohr (6000bar zB) nicht kontrolliert hatte, wenn da nach Jahren ein dünner Strahl rauskommt und durch 20 Mann durchgeht und der letzte auch noch umfällt :((( Was für Weicheier, halten nix mehr aus! Oder auf einer Kreuzung knallen welche zusammen, weil gerade mal die Ampel resetet wurde...
Nä, ohne mich! Ich hab nie eine Anwendung mit aktiviertem WD ausgeliefert!
Saludos Wolfgang
--
Wolfgang Allinger 15h00..21h00 MEZ: SKYPE:wolfgang.allinger
Paraguay mailer: CrossPoint XP 3.20 (XP2) in WinXPprof DOSbox
Meine 7 Sinne: reply Adresse gesetzt!
Unsinn, Schwachsinn, Bloedsinn, Wahnsinn, Stumpfsinn, Irrsinn, Loetzinn.
Na ja, bei den 8051er stellte sich die Frage nicht (RC-Kombination ist etwas arg wackelig), aber beim Atmega habe ich viele Schaltungen ohne gesehen. Ist jetzt aber schon in meine Liste eingetragen...
Eben, ein robustes Schaltungsdesign kann von Nachteil sein, wenn Bestückungsfehler nicht auffallen, weil es trotzdem läuft. :o/
Es muss ja nicht das Design schlampig sein - das fängt mit nicht vollständig verlöteten Bauteilen an und geht bis zu Geräten, in denen das Wasser steht. Ein Watchdog fängt Fehler ab, die (eigentlich) gar nicht auftreten können. Bei meiner Frage ging es auch nicht um komplett weglassen, sondern um intern oder extern - braucht man einen externen Baustein, wenn der Controller so etwas intern zur Verfügung stellt? Das ist wohl erst dann sinnvoll, wenn der selbstständig Peripherie sperrt und sich nicht nur auf einen Neustart beschränkt.
Nein, der externe Reset hat funktioniert wie gewuenscht. Die CPU hat auf den externen Reset aber nicht mehr reagiert. Ohne Vcc abschalten lief sie nicht wieder los.
Nein, das war kein LatchUp (haette man ja am Stromverbrauch gemerkt).
Halt leider nicht immer. Der konkrete Fall bezog sich auf den C505L, siehe Errata "OTP.1":
formatting link
Bei einem anderen 8051 Derivat eines anderen Herstellers hatte ich diesen Fall (externer Reset nach Absturz wirkungslos) auch schon. Da war die Sache aber mit neueren Chips nicht reproduzierbar, evtl. hatte das Testexemplar einfach nur eine Macke.
Wolfgang, Du scheinst noch im Zeitalter der spanabhebenden Datenverarbeitung zu sein. Drehe mal den Kalender an Deiner Uhr 25 Jahre vorwaerts :-)
Dann kommst Du in das Zeitalter der Speicherregister. Registros del procesador, fuer Suedlander. Da kann man nach einem Neustart unschwer erkennen dass der WDT gekommen war und daraus unschwer den Schluss ziehen dass da irgendwas ueber den Bordstein gebrettert sein muss. Sofern der Programmierer seine Sache gut gemacht hat. Das ist dann so in etwa wie das gelbe "Check Engine" Laempchen im Armaturenbrett Deines Mitsubishi.
HW Design Fehler speziell bei der Spannungsversorgung und Abblockung, klingt nach LatchUp.
Wenn der externe Reset selbigen korrekt (runter)zieht und die Vcc ordentlich ist, dann kann der uC nichts machen. Ja ich kenne Designfehler von uC, die bei langsam ansteigender Vcc auch völlig kirre werden. Da muss der ext Reset eben solange aktiv sein, bis die Spannung ok ist! Auch Spikes auf Vcc u.a. Leitungen können üble Hänger produzieren. Dagegen hilft ein sauberes Design.
Saludos Wolfgang
--
Wolfgang Allinger 15h00..21h00 MEZ: SKYPE:wolfgang.allinger
Paraguay mailer: CrossPoint XP 3.20 (XP2) in WinXPprof DOSbox
Meine 7 Sinne: reply Adresse gesetzt!
Unsinn, Schwachsinn, Bloedsinn, Wahnsinn, Stumpfsinn, Irrsinn, Loetzinn.
Wenn der uC den externen Fehler nicht erkennt und Massnahmen dagegen vorhält, wass soll dann der Gesundbeteversuch mit Neustart?
Jedesmal die Walzen im Walzgerüst zusammenklatschen lassen oder Daten zu verschlabbern ist jedenfalls keine Lösung.
Ich rede von externem PWR_Reset, da ich noch keinen ordentlichen internen PWR_Reset gehabt habe in modernen uC und weniger von WD, wie auch immer. Gesundbeten iss IMHO Übel!
Saludos Wolfgang
--
Wolfgang Allinger 15h00..21h00 MEZ: SKYPE:wolfgang.allinger
Paraguay mailer: CrossPoint XP 3.20 (XP2) in WinXPprof DOSbox
Meine 7 Sinne: reply Adresse gesetzt!
Unsinn, Schwachsinn, Bloedsinn, Wahnsinn, Stumpfsinn, Irrsinn, Loetzinn.
Wenn Bestückungsfehler nicht auffallen, was soll dann der WD? Wann spricht der dann an? Wenn die Software (wg. Design Fehler) in der Rue de Kack iss?
Nein, der WD fängt Fehler ab, die durch fehlerhafte SW verursacht wird, die nicht beachtet/erkennt, dass da was externes schiefläuft...
Wenn SW im Betrieb nicht erkennt, dass die Peripherie Fehler macht, wie soll sie dass dann nach einem Restart erkennen? Programmierter Zufallsgenerator WD getriggert bringst nicht!
Wenn Du fehlerhafte Zustände beim Start erkennen kannst, warum dann nicht im Betrieb? Und mit ordentlicher Fehkleranzeig stehen bleiben!
Saludos Wolfgang
--
Wolfgang Allinger 15h00..21h00 MEZ: SKYPE:wolfgang.allinger
Paraguay mailer: CrossPoint XP 3.20 (XP2) in WinXPprof DOSbox
Meine 7 Sinne: reply Adresse gesetzt!
Unsinn, Schwachsinn, Bloedsinn, Wahnsinn, Stumpfsinn, Irrsinn, Loetzinn.
Habe ich mich so wirr ausgedrückt? Also noch mal: Ein externer Watchdog ist sinnvoll, wenn er keinen Neustart unternimmt, sondern selbstständig Peripherie sperrt. Damit meine ich genau das, was Jörg im Vorposting erwähnte - bei "Watchdog spricht an" muss das System in einen definierten Fehlerzustand gehen, statt nur neu gestartet zu werden. Und dieser Fehlerzustand sollte vom Controller unabhängig sein, deshalb das mit dem "Peripherie sperren".
Ich diskutiere also nicht mit Dir, sondern will nur erklären, dass wir einer Meinung sind. ;o)
"Wolfgang Allinger" schrieb im Newsbeitrag news:Bx$ snipped-for-privacy@allinger-307049.user.uni-berlin...
Hi, hast Du aus Windows garnix gelernt? Unter Startbedingungen stehen selbst in Deinem Walzwerk alle Gewehr-bei-Fuß, da kann man die Peripherie testen und bleistiftsweise sogar trockenlaufende Walzenlager kurz andrehen, wenn die Schmiermittelpumpen nicht anlaufen wollen. Ob die Fehlerkennung im Betrieb nun an Sensoren, SW oder dem "robusten Fehlerunterdrückungsdesign" liegen, zählt da erstmal nicht. Und je nach Prozeß kann&darf die SW nicht einfach "stehenbleiben". Raffinerien neigen zum poppen, wenn das passiert. Und Schiffe bumsen an den Kai...
Welche Microcontroller verwendest du denn, die das können? Ich könnte mir schon vorstellen, wenn ein paar Meter weiter der Blitz einschlägt, daß dann auch bei noch so guter Absicherung durch Induktion Spannungspitzen entstehen können, die z.B. das RAM verfälschen, oder den PC verbiegen. Oder mal ein energiegeladenes kosmisches Teilchen ein Bit umdreht. Für sowas wäre doch dann ein Watchdog gut, damit es zumindest wieder neu startet.
--
Frank Buss, http://www.frank-buss.de
piano and more: http://www.youtube.com/user/frankbuss
Keine Ahnung was ein Wipproller ist. Ich hatte einen Holzroller und mit dem dann einen Crash gebaut :-)
Exactamente!
Du kannst mit Sicherheit nicht an amerikanischer Medizinelektronik oder Flugzeugelektronik mitgewirkt haben. Jedenfalls hoffentlich nicht :-)
Klar, man entsendet Blockwarte in alle Werke aller Zulieferer. An selbige haben die QS Abteilungen der Zulieferer regelmaessig Meldung zu erstatten.
Dann zaehl doch jetzt mal auf welche Du alle meinst, und ich sage Dir dann ob du welche vergessen hast, und welche.
Klar, so aehnlich wie der Airbag nur eine weitere Stoerquelle ist.
Wenn Du keinen WD drin hast und es passiert was dann bugsieren sie Dich durch die Tuer. Die in den Gerichtssaal ...
Ich weiss nicht was ein uC an einem Hubschrauberrotor macht aber bis hier ueber unser Haus kommen die ja aufgrund der Reichweite nicht.
Ich sag nur eins: Radiation. Da kann Deine HW und SW noch so gut sein, da machst Du nix. Selbst eine 6T-Speicherzelle wie wir sie deshalb gerade in ein IC setzen ist keine hundertprozentige Sicherung dagegen.
In USA setzt man WDT ein damit das nicht passiert. In ganz kritischen Bereichen steht das sogar in Behoerden- und Gesetzestexten:
formatting link
Zitat "To help reduce the likelihood of complex failures, a watchdog timer is used ..."
formatting link
Siehe Seite 61. Hier ist das ganz einfach so, entweder Du siehst den Watchdog vor und programmierst ihn entsprechend oder sie schicken Dich ohne Scheck wieder nach Hause zum Nachbessern.
"Wolfgang Allinger" schrieb im Newsbeitrag news:Bx$ snipped-for-privacy@allinger-307049.user.uni-berlin...
Hi, das scheint zu stimmen. Hättest besser dabei den Helm aufgehabt, die vielen Kopfschläge hatten Spätfolgen. Dr.ing.Murphy scheint bei Euch jedenfalls Mehrheitsaktionär zu sein. So breit, wie der grinst... Wer als Ing glaubt, er könne "alle" Fehlerfälle vorhersehen, hat ein Rad ab und gehört ins Walzwerk, da wo es ganz eng wird. Nichtvorhersehbare Fehler wird es immer geben. Schon Defekte an genau der HW, auf der Deine fehlervorhersehende SW läuft, kriegt man so nicht weg. Aber vermutlich hattet Ihr damals auch keine Betriebsfeuerwehr und keine Sirene. Klar, wer vorhersehen kann, daß gleich ein besoffener Fatzke seinen Kumpel in die Schmelze schubsen wird, braucht nichtmal Schutzgitter. Sowas regelt dann schon HR, beim ersten Gespräch.
Aber mal ruhig, Liese, Du hast hier wohl den Unterschied zwischen echter "Intelligenz" und simpler SPS vergessen. Deine Maschinen waren alle nicht ohne Aufsicht, stets steht einer nahe bei den roten Knöppen und dem Kasten mit der Feuerdecke...aber wenn Jörgis Watchdog pennt, schnappt der Patient über oder kriegt die große Flatter, oder irgendwo pflanzt einer Flugzeuge. Den Schnellbalken für Luftfahrzeuge hat man da oben selten dabei. Und Menschen sind keine Katzen.
Ich kenne Register in Prozessoren sicher schon seit der Zeit, als Du womöglich noch auffem Wipproller fuhrst :)
Und was weisst Du dann, wenn Du das WD Zustandsreg abfragst? Dass sich das Programm mit einem nicht vorhergeplanten Zustand aufgehangen hat?
Das nutzt Dir genau fast nix. Du solltest die SW und die HW besser planen.
Sofern die Entwickler *gut* waren, dann spricht der WD nie an, also überflüssig wie ein Kropf, nur eine weitere Störquelle!
Ich hab schon Maschinen gebaut, in denen mehr als 250uC (wg. 20kHz IR- Folgefrequenz) zusammenarbeiteten. Wenn Du da so Schwachstellen wie auslösende WD drin hast, wirste die Maschine nie zur Tür rauskriegen!
Ja, die Anlagen wurden vom TÜV abgenommen in KKW eingesetzt oder auch zur Prüfung von Ariane Boostern, Hubschrauberrotoren und Laufringe für RR-Turbinen, nur um ein paar Fälle zu nennen. Auch Olivgrüne Anlagen waren dabei, da hättest Du jeden WD Fall womöglich in der Bild gelesen :)
Saludos Wolfgang
--
Wolfgang Allinger 15h00..21h00 MEZ: SKYPE:wolfgang.allinger
Paraguay mailer: CrossPoint XP 3.20 (XP2) in WinXPprof DOSbox
Meine 7 Sinne: reply Adresse gesetzt!
Unsinn, Schwachsinn, Bloedsinn, Wahnsinn, Stumpfsinn, Irrsinn, Loetzinn.
Doch, niemals Microschrott für sicherheitskritische Anwendungen!
Du versuchst gerade einer alten Bahnhofsnutte das Vögeln beizubringen!
Was rede ich denn die ganze Zeit? SW/HW muss zuverlässig alle fehlerhaften Zustände erkennen und behandeln und darf nie aufhängen und nicht durch einen WD gesundgebetet werden...
Vermutlich habe ich viele Jahre mehr in Stahlwerken und Schwerindustrie zugebracht, als Du beim googeln :]
Saludos Wolfgang
--
Wolfgang Allinger 15h00..21h00 MEZ: SKYPE:wolfgang.allinger
Paraguay mailer: CrossPoint XP 3.20 (XP2) in WinXPprof DOSbox
Meine 7 Sinne: reply Adresse gesetzt!
Unsinn, Schwachsinn, Bloedsinn, Wahnsinn, Stumpfsinn, Irrsinn, Loetzinn.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.