¿Con qué frecuencia el AVR realmente falla y necesita un reinicio de perro guardián en el mundo real?

5

¿Alguna vez has visto un AVR feliz por lo demás feliz y glitch y requiere un reinicio?

Suponiendo:

  1. una buena fuente de alimentación que se mantiene dentro del rango especificado
  2. una tapa de desacoplamiento del tamaño correcto directamente entre Vcc y tierra
  3. condiciones domésticas normales (no demasiado ruidosas)

... ¿qué son las fallas de MTB en el mundo real?

He tenido cientos de AVR durante años y no creo que haya visto una falla real, ¿pero quizás tengo suerte?

Tenga en cuenta que que siempre debe usar un perro guardián, lo sé. No me encienda, pero si la probabilidad de fallas es muy baja, podría haber aplicaciones en las que sería razonable no usar el perro guardián para obtener un menor consumo de energía en modo de suspensión.

Tenga en cuenta también que entiendo que el watchdog también lo protege contra errores de firmware, pero solo estoy preguntando por fallos de hardware espontáneos.

    
pregunta bigjosh

4 respuestas

3

Los hits de rayos cósmicos y SEU (eventos individuales) son muy reales. Solo busque datos sobre la DRAM y la necesidad de ECC (corrección de errores) y, a partir de eso, debería tener una idea del área de probabilidad vs. Algunos procesos son menos propensos, y los procesos más pequeños, al tiempo que son más sensibles, también presentan una sección transversal de captura más pequeña, que a veces es un beneficio y otras no.

¡Mantén esos perros guardianes corriendo!

    
respondido por el placeholder
2

Depende del entorno y de la configuración. Es prácticamente imposible garantizar prácticamente que, por ejemplo, un foco de iluminación cercano no tenga suficiente energía EMI para causar un problema. Puede reducir la probabilidad con un buen diseño, pero a menos que el sistema se encuentre en una jaula de Faraday con blindaje magnético y avances altamente filtrados, existe la posibilidad de un trastorno. En aplicaciones espaciales, el campo magnético de la Tierra no tiene el efecto de blindaje habitual, por lo que es más probable que se produzcan alteraciones aleatorias que en la Tierra (pero en ambos casos no son cero). Las posibilidades de que un pequeño sistema autónomo (sin entradas o salida y con alimentación por batería) vean un trastorno son mucho menores que si hubiera cables conectados.

Hay muchos sistemas por ahí sin perros guardianes y sin los circuitos de reinicio adecuados. Si el costo de un bloqueo es bajo, a nadie le importa (¡simplemente apague y encienda la alimentación!). Si el costo es alto, entonces puede ser conveniente utilizar un WDT (interno o externo), procesadores redundantes, anulaciones mecánicas u otros medios. Los procesadores modernos (y un mejor diseño de software) pueden admitir el restablecimiento de anomalías incluso sin un WDT, por ejemplo, si el contador del programa se sale del rango. La memoria no utilizada se puede llenar con saltos a una rutina de arranque en frío, y se pueden usar otras técnicas. Estoy seguro de que hay muchos WDT en uso que son bastante inútiles porque están siendo pateados por un ISR o algo así de tonto.

    
respondido por el Spehro Pefhany
1

Palabra oficial interesante de ATMEL:

  

Hola Josh, entiendo que te preocupa la interrupción.   Los bits de control se voltean al azar. Esto no podría suceder a menos que   se modifican de alguna manera en el firmware o el dispositivo se mantiene en un   Ambiente ruidoso que podría causar corrupción de flash. Para prevenir la   Posibilidad de corrupción de flash, consulte la hoja de datos del dispositivo   sección 18.7 Prevención de corrupción de flash. Siempre y cuando el diseño   Se ajusta a las consideraciones mencionadas para prevenir el flash.   corrupción, no hay posibilidad de los bits de control de interrupción   corromperse en el dispositivo. Espero que esto aclare. Por favor vuelve   a nosotros en caso de nuevas consultas.

     

Saludos cordiales,   Ineyaa n   Equipo de soporte de Atmel

ACTUALIZACIÓN

Un año más tarde, ahora tengo 10 de miles de estos pequeños AVR en el mundo funcionando 24x7 y hasta ahora no he visto un solo caso de un fallo espontáneo. Bastante impresionante. Se actualizará el próximo año!

    
respondido por el bigjosh
0

Bueno ... en el entorno típico y en los modernos microcontroladores no es frecuente.

Tan raro que es difícil de medir y determinar.

Depende de muchos factores, incluidos eventos no deseados en la línea de producción. Los fallos de hardware nunca deberían ocurrir en un microcontrolador no dañado que funciona en un entorno normal, por lo que las hojas de datos no dicen nada acerca de la confiabilidad.

Personalmente, no uso watchdog muy a menudo, porque muchos de mis proyectos simplemente no requieren dicha protección.

Cuando lo uso, lo uso para:

  • protección contra errores de software adicional
  • protección del microcontrolador parcialmente dañada

Solo lo uso cuando:

  • el microcontrolador controla algunos periféricos costosos (grandes transistores con gran carga)
  • por razones de seguridad con circuitos relacionados con la red de alguna manera o cuando el microcontrolador maneja algo que puede destruir algo o dañar a alguien
  • cuando los datos procesados en el microcontrolador deben ser muy confiables
respondido por el Kamil

Lea otras preguntas en las etiquetas