Las entradas flotantes son fáciles: usted desvía una línea con una resistencia de pull-up o pull-down (generalmente 10kOhm o menos). Por lo general, son una buena práctica: cubren situaciones en las que su microprocesador se reinicia, está en blanco, se está programando, etc. Básicamente, lo cubren en estados donde su software no se está ejecutando.
Supongamos que tiene una red que controla la habilitación de algún otro IC / dispositivo, y está activa en nivel alto. La colocación de una resistencia de 10k en esta red a GND sesgará esa red baja en ausencia de cualquier otro estímulo. Ahora, para encenderlo, las salidas de su microcontrolador dicen una señal lógica de 3.3 V para encenderlo. Esto gastará 330uA (prácticamente nada) para superar la resistencia, y el circuito funcionará como se diseñó.
Ahora, si estamos hablando de escenarios de fallas en los que un pin IO se ha bloqueado, o si ha sufrido un SEU (evento único, también conocido como bit flip) en un registro de datos de puerto de E / S, es mucho, mucho Es más difícil defenderse contra el exterior de un IC sin una puerta de votantes física, externa y por mayoría. Una resistencia de 10k desplegable no hará nada contra un pin de E / S MCU de baja impedancia que se ha trabado alto y puede generar 10s de miliamperios.
La protección de bloqueo generalmente se implementa con un LCL o un limitador de corriente de bloqueo. Esto puede ser tan simple como poner su circuito detrás de un IC de interruptor de alimentación que tiene un límite de límite de corriente programable, como un TI TPS2556. En el caso de un enclavamiento descendente, este IC limitará la corriente que puede fluir y posiblemente protegerá contra el daño permanente del hardware que se produce como resultado del calentamiento localizado durante un evento de enclavamiento. Las causas terrestres de enganche generalmente se deben a una sobretensión; Las causas orbitales se deben a partículas energéticas que imparten suficiente LET (transferencia de energía lineal) para desencadenar la condición de parásito SCR / latch-up. (Ver también: enlace )
La redundancia modular triple (TMR) lo protege contra fallas simples como muestra su tabla de verdad. Para escenarios de fallas múltiples, se vuelve muy complejo, y estos a menudo se consideran casos de fallas patológicas que se consideran estadísticamente poco probables de que no se gaste un esfuerzo adicional.
Supongo que podría extenderse más a la redundancia n-modular (por ejemplo, saltar a 5), pero le puedo decir que para las aplicaciones espaciales en las que he trabajado, nuestros diseños de sistema están bien con TMR. Tendría curiosidad por escuchar lo que tienes que requiere una confiabilidad más estricta.