公司要求用Atmega32重做模块，为了稳定，一备一用，向大神...

zhexuejia

      公司原来用ATmega16做的模块，没有什么问题。但最近老总接到核电的单了，核电嘛，估计还是有点紧张。要求重新修改模块，换芯片Atmega32，加外部eepROM。
    原来模块上面有两个cpu，为了追求稳定，现在要再加上两个，实现一个使用，一个检测。当使用中的芯片出现故障或不稳定时，备用芯片开始替代工作，同时让出现故障的芯片转换过来作为备用。
    我不知道这样做合不合理，我也没有决定权不这么做，我只是刚刚毕业来公司试用的小白。
希望大家帮我想想办法，理论上如何实现这些功能：
1.如何检测芯片不稳定或者出错了啊？
   模块用485和主机通信，我想过用串口发信询问的方式，有点怕麻烦，但主要是怕通信冲突，就没这么搞了。
2.检测到了之后如何取切换芯片呢？
   我想过直接用引脚接到对应的芯片reset脚，检测到故障之后，给低电平让其复位，复位之后我就没思路了？
3.四块芯片程序要求一样！

下面附上 原来模块中的1段cpu的电路图，2段一样，单片机主要用到了AD

lin562794072

顶

lixin91985

医疗上对于生命维持型设备也是这样搞的。
一般情况下，监控处理器和主控处理器同时工作。少了监控CPU ，系统也能工作。少了主控，系统也能执行核心任务。
当监控CPU发现，主控对于某个应该响应的事件，超过了预设的响应时间。或者对于应该响应的事件没有响应。再或者监控CPU发现-主控CPU的工作环境出现可能引起其出现故障的可能时（例如，电压过低，温度过高）此时，监控执行刹车动作。并报警。对于切换两个CPU功能的程序还是见得少。

一般监控和主控 为两种互补的CPU。例如：ST和PIC。FPGA和MCU。一般不选择同一家公司，或者同一种架构的MCU。另外过多的MCU监控同一个事件，可能导致错误报警。

一点愚见，见笑

modelfly

核电的项目建议用英飞凌的，具有安全功能，可以在内部实现双核相互监控。

q8360428

-------------工业芯片   突然复位  的一瞬间  和其它的主控芯片  存在点竟争与冒险   结果会不会很惨？

q8360428

lin562794072 发表于 2013-5-26 22:26
顶

楼上    你的照片  和我一同学长的好像

zhexuejia

lixin91985 发表于 2013-5-26 22:27
医疗上对于生命维持型设备也是这样搞的。
一般情况下，监控处理器和主控处理器同时工作。少了监控CPU ，系 ...

隐隐约约，感觉您是个大神啊。是我有福气了啊，谢谢您了啊！

zhexuejia

lin562794072 发表于 2013-5-26 22:26
顶

谢谢你

zhexuejia

modelfly 发表于 2013-5-26 22:29
核电的项目建议用英飞凌的，具有安全功能，可以在内部实现双核相互监控。 ...

呵呵，这个不错啊，谢谢啦，公司目前没有用，我向经理建议下

zhexuejia

lixin91985 发表于 2013-5-26 22:27
医疗上对于生命维持型设备也是这样搞的。
一般情况下，监控处理器和主控处理器同时工作。少了监控CPU ，系 ...

说明：就是上面的主机是在特定条件（有接地故障）时才发送串口命令给下面的模块（模块负责选线）。
1.那通过返回命令检测主控cpu是否有故障是不是有点迟钝了？我们还有没有其他的检测办法？
2.还有检测到了故障之后，您说执行刹车，是怎么样动作的啊？
3.主机检测不到返回命令时会发出通信故障报警，那报警这个地方是不是没有必要了？
4.最重要的一点，我们可不可以当主控cpu出现故障的时候，监控cpu顶上去作为主控，等待原主控稳定后变为监控，这样循环下去啊？
麻烦了，谢谢了！

zhexuejia

没有经验，又被老板限制着，想做个方案真的好难，真是寝食难安啊

javabean

明确一下安全等级与处理策略：
1、允许多久的故障？毫秒？微秒？什么结果？水温热了？水煮沸了？核爆炸了？
2、系统是否本身已是多备份？比如有2个计算机模块，本身相互监视，至于模块本身，是你说的几个MCU相互监视
3、出现故障如何补救？发现故障进入停机流程？双热机切换？备机死掉咋办？主备间通讯失效导致相互抢夺控制权怎么办？部分、全部传感器失效咋办？
4、维护性要求，遇到故障如何更换？全厂停工检修？带电修复？哪些器件容易坏，需要换，哪些器件失效会导致单点故障？平时如何维护检修发现问题？

回答以上几个问题，对备份的要求就基本明确了，至于具体怎么做，动动脑子，模拟一下业务上的结果，技术上都好说

工业级设备和医学类设备是不同的，医学类设备往往是要求高可靠性，维护性往往相对较弱，因为手术器材做完手术就不用了该修就修改换就换，身体里的东西像起搏器失效基本人挂了拉倒，打开皮肤换电池都是麻烦事。但工业上要充分考虑可维护性，平时人类如何检测，机器如何检测，人类如何预测机器的行为，否则会造成惨重的损失。

q8360428

javabean 发表于 2013-5-27 01:07
明确一下安全等级与处理策略：
1、允许多久的故障？毫秒？微秒？什么结果？水温热了？水煮沸了？核爆炸了？ ...

嗯   同意楼上的    需求关系   和明确的指标定位  很重要

lixin91985

zhexuejia 发表于 2013-5-27 00:28
说明：就是上面的主机是在特定条件（有接地故障）时才发送串口命令给下面的模块（模块负责选线）。
1.那 ...

说明：就是上面的主机是在特定条件（有接地故障）时才发送串口命令给下面的模块（模块负责选线）。
1.那通过返回命令检测主控cpu是否有故障是不是有点迟钝了？我们还有没有其他的检测办法？
注意，监控和主控，不是你说的主机和模块。我说的是你模块上的两组CPU。用串口通讯，只能做一个类似看门狗的东西，你应该把这个事情想象成：你在做事，你的上级监控你。最好是IO对IO
2.还有检测到了故障之后，您说执行刹车，是怎么样动作的啊？
阻止任何可能发生危险的动作。或者直接停机，像上一级报错。
3.主机检测不到返回命令时会发出通信故障报警，那报警这个地方是不是没有必要了？
通讯故障，不应该归类到设备功能性故障里，
4.最重要的一点，我们可不可以当主控cpu出现故障的时候，监控cpu顶上去作为主控，等待原主控稳定后变为监控，这样循环下去啊？
做项目，尤其是大项目，不应该是自己怎么想，就这么做。其实首先你应该去找该设备对应的国际规范，然后参考大公司是怎么做的。核电设备有核电设备的国际标准。
不用客气，

菜包

楼主想要的是类似下面链接里的这种系统吧
http://bbs.ednchina.com/BLOG_ARTICLE_251733.HTM
摘要：针对重要系统可靠性要求，特设计了一种双CPU控制系统。在该系统中，两个CPU彼此独立运行，可以自动或手动实现双机的主辅切换，只有主CPU能正常读写外部RAM数据和控制输出。该双CPU控制系统与传统的多CPU系统的设计方法完全不同，它由两片Atmel公司生产的AT89C51 CPU构成，双机互为备用，彼此独立并行运行，硬逻辑切换。

huatong

对国家的核电表示十分的担忧

jcrorxp

楼上技术很牛逼~~

spy2008

双机热备，心跳联络。根据安全等级调整心跳频率。

lixuyongzd1

楼主原理图中的75LBC184貌似不是工业级的，65LBC184才是

zm2002

TI 有针对安全领域的芯片TMS570 TMS470M RM48x  你可以了解一下 人家就是针对这种高安全领域的芯片 内部双核,不知道价格性能如何.

安全标准有IEC 61508  也分不同等级的 如SIL-3
ISO26262 都是安全标准,多看看外面世界,也许别人已经发明了你要的轮子.

skyxjh

热备份，互检测，互修复，自诊断，自修复，

yaoyyie2003

huatong 发表于 2013-5-27 10:35
对国家的核电表示十分的担忧

深有此感   

lucky_jeck

推荐 Freescale 的芯片哈。
汽车上用的很多。

yirenonege

huatong 发表于 2013-5-27 10:35
对国家的核电表示十分的担忧

+1 ...........

skynet

楼主能透露1下是哪个地方的核电吗?
祈祷不是我省的

Vmao

备份系统，是指单片机备份还是软硬件和执行部分双备份？

Vmao

感觉起码两个系统 一个仲裁

zhexuejia

jcrorxp 发表于 2013-5-27 10:43
楼上技术很牛逼~~

何处此言，你认识他？

zhexuejia

huatong 发表于 2013-5-27 10:35
对国家的核电表示十分的担忧

不用担心，只是外围的监控，非核心，还有经理把关。。。。。莫太担心，蛮多引起骚乱

zhexuejia

lixuyongzd1 发表于 2013-5-27 11:54
楼主原理图中的75LBC184貌似不是工业级的，65LBC184才是

呵呵 学习了

zhexuejia

Vmao 发表于 2013-5-27 20:20
备份系统，是指单片机备份还是软硬件和执行部分双备份？

双备份，完全备份，就是一个不工作，另外一个顶上，顺便复位下不稳定的那个

zhexuejia

skynet 发表于 2013-5-27 20:14
楼主能透露1下是哪个地方的核电吗?
祈祷不是我省的

快，莫这样说了，待会大家人肉我，可能我连饭碗都丢了。
只是个外围的非核心的监测，我练练手，还有经理把关呢，放心，放心，我国的核电安全着呢！

skynet

zhexuejia 发表于 2013-5-27 20:33
快，莫这样说了，待会大家人肉我，可能我连饭碗都丢了。
只是个外围的非核心的监测，我练练手，还有经理 ...

噢,知道了,我不是广东的.哈哈哈

zhexuejia

q8360428 发表于 2013-5-26 22:31
-------------工业芯片   突然复位  的一瞬间  和其它的主控芯片  存在点竟争与冒险   结果会不会很惨？ ...

这位兄弟貌似是搞fpga的，一上来就是竞争冒险了

zhexuejia

javabean 发表于 2013-5-27 01:07
明确一下安全等级与处理策略：
1、允许多久的故障？毫秒？微秒？什么结果？水温热了？水煮沸了？核爆炸了？ ...

恩，做产品就应该是这样的啊！受教了，现在还是菜鸟，先学习了，以后自己做产品有的用。

gshuang1

检测用的MCU要有关键的控制权，检测到主MCU异常时就要控制住设备，避免发生事故。检测芯片的逻辑尽量简单，越简单越可靠，硬件上要做好对检测用MCU的保护，否则再多几个MCU也还是白搭，一烧全部都被烧掉。楼主想让几个MCU相互替代工作有点不妥，实现也困难。双CPU的设备主要是为了安全的不是为了延长设备的寿命。

_bobo

这个就是冗余呗，公司正在做这样的产品，不过不是我分内的工作。我们用的是arm M3的CPU，做出来的东东感觉速度还是好慢啊，性能一下就跌了一半吧，不过要是简单点的功能，实现起来也不不是不可以。
基本思路就是同步和监视，这两个功能做出来了就没什么问题了。
同步就是这两个设备要有同步报文，包括设备运行时的内在块、状态等。
监视就是备份设备查看活动设备是否还在正常运行，当检测到活动设备发生异常时，立即接管，继续运行（这个感觉不太好实现）。
其它的就不了解了，此观点也只是个人想法，见笑了。
加油吧。

god-father

LZ的电感单从功率来讲供应VCC，0.5W是不是足够？

xjsevenxy

聆听中！！！！！！！！！

zhexuejia

lixuyongzd1 发表于 2013-5-27 11:54
楼主原理图中的75LBC184貌似不是工业级的，65LBC184才是

恩，想起问你个问题，你是怎么区看出是否是工业级？如何区分？请教了

lixuyongzd1

zhexuejia 发表于 2013-5-28 15:41
恩，想起问你个问题，你是怎么区看出是否是工业级？如何区分？请教了

我菜鸟一个，我主要区分温度，其他大牛我就不知道了。

xywap

不是你牛X就是你老板SB，你一个刚毕业的小白，老板敢叫你搞核电级的项目？

时光黑白

请参考标准 IEC61508  分析你设计电路的可靠性！你2个CPU属于冗余设计，当一个CPU坏了，另一个工作，那另一个也坏了的时候怎么办？ 当涉及到重大安全问题的时候你需要保证第2个CPU坏了的时候你设计的电路进入安全模式！  
1.如何检测芯片不稳定或者出错了啊？
通过2个CPU实时通讯，交换各自采集到得数据，当通讯故障时，说明有个CPU故障。

zhexuejia

xywap 发表于 2013-5-28 16:07
不是你牛X就是你老板SB，你一个刚毕业的小白，老板敢叫你搞核电级的项目？ ...

我知道你很牛x，但请不要这样说话，你不了解实际情况，我也懒得解释了

zhexuejia

时光黑白 发表于 2013-5-28 16:48
请参考标准 IEC61508  分析你设计电路的可靠性！你2个CPU属于冗余设计，当一个CPU坏了，另一个工作，那另一 ...

是的 呵呵 也可以只监听吧？或者IO口电平检测下？

zhexuejia

_bobo 发表于 2013-5-27 21:36
这个就是冗余呗，公司正在做这样的产品，不过不是我分内的工作。我们用的是arm M3的CPU，做出来的东东感觉 ...

恩恩 谢谢支持，加油中

zhexuejia

xywap 发表于 2013-5-28 16:07
不是你牛X就是你老板SB，你一个刚毕业的小白，老板敢叫你搞核电级的项目？ ...

还有骂人的话就不要在坛子里面回复了，阿莫看到了也不好！

fiddly

以前公司老板也说过这样的构想，我始终想的是，监控的这个出问题了咋办，会把正常的那个over了？

时光黑白

zhexuejia 发表于 2013-5-28 19:59
是的 呵呵 也可以只监听吧？或者IO口电平检测下？

如果你的电路涉及到安全的话，你得想如果2个CPU都坏了电路会不会进入安全状态！请参考IEC61508 功能安全部分！

akaliusi

楼上说得对。
我没接触过核电项目，但对“功能安全”还是有所耳闻。一备一用的想法在功能安全上应该是不可行的，建议按照IEC61508采取对应措施。