+1
Тут я-бы ещё про CRC (мой конёк) написал. ИМХО CRC прекрасно от случайных помех защищает. Против человека или вируса (за которым тот-же человек стоит) CRC бессильна!

Оно то конечно, дай бог... Но, как сказал один кэп - "не асилит ваша система противостоять пьяному матросу с топором", люди ведь всегда способ найдут...



Завтра положу в закрома, если не потерял электронный экземпляр, бумажный точно есть, сканить лень...



Бывает. Подмели порошочек и дальше работаем. У нас случай был один... Баллоны с порошком на уровнях снаружи одного здания стояли, система управления - в соседнем, расстояние 20 метров. Кабеля на пиропатроны по металлической эстакаде со здания на здание шли. В процессе пусконаладки подключили кабеля к пиропатронам, на другой стороне - висят в воздухе возле приборов, в клемники не вкручены. Вечером уехали с объекта, а ночью гроза, куда долбануло - хз, но 5 тонн порошка насыпало. Выстрелили все пиропатроны. Утром приехали - а там уже все чистенько, все хорошо... Так что и без микропроцессорной аппаратуры бывает стреляет, а тут говорят - вот PC слетает )



Это "Радий" видимо. У них там мозг под WinCE катается. Знаем таких. Самое смешное, что требования по АЭС они может и выполнили, а вот требования именно по пожарным делам - еле асилили сертификацию, захода с третьего. И то, нет у меня твердой уверенности, что третий заход был без "оказания материальной помощи" нужным людям...

Меры против "пьяных матросов с топорами", "пьяных диспетчеров с ключами", "пьяных летчиков с самолетами", "и пьяных мотостелков в БМП" предпринимаются задолго до поступов к БЩУ и РЩУ.
На горизонте маячат кораблики, на ближлежайших горах зенитные батареи, вокруг ров с водой, немалое количество военизированной охраны регулярно устраивающей натурные тренировки. Здание энергоблока монолитом за один непрерывный процесс отлито из бетона. Железа тоже вбухано не меряно. Бетон качественный - не для строительства жилых домов - швейцарским ножем сколь-нибудь заметной царапины оставить не удалось. Топором - топром полагаю, можно, но только царапину.
Гермозона вообще сплошное железо.
В пределах Ядерного Острова человеческй фактор на контроле прохода сведен к минимуму, но на подходе к щитам управления техника несколько раз дублируется, но не заменяется, людьми. Сигнализация не только пожарная , видеонаблюдение, прослушивание разговоров....

Ага, подмели . Стойки с оборудованием, вентиляторы, кондиционеры, мягкая мебель....

Не в курсе - просто на БЩУ оборудование рядом стояло.

По пожарным? Все как обычно - здоровые баллоны, манометры, толстые шланги под потолок, трубы и форсунки на потолке, насколько понимаю все достаточно стандартное.



Под Win, естественно ставленным не из десктопного дистрибутива, у многих что катается. Рабочие места, пожалуй, даже все.

Знаете что мне это напомнило?
"За революцию 1917 отдельное спасибо русским. Весь мир стал жить лучше."
Перефразируя
"За Чернобль отдельное спасибо русским и украинцам, надёжность реакторов во всём мире значительно возросла."

Кстати техника там была не в ответе. Там её поотключали просто при испытании "на выбеге".

Обсуждение стало плодотворным, даже модератор втянулся, но, к сожалению, не совсем по теме.
Может кто-то из спецов подведет итог всем предложениям по защите кода с краткими комментариями конкретно по предложенным способам (кодам)? Так сказать ИТОГО в положительном балансе по (промежуточному?) результату обсуждения. мне кажется, что для простых смертных это было-бы полезно.

Не претендуя на звание суперспеца, адепты проверки всего и вся так еще и не ответили на
часть моих вопросов, хотелось бы услышать например про защиту кода при использовании 32бит
команд....

Да в положительном балансе реплики модератора только и присутствуют
Я бы сформулировал так - при наличии жестких требований к обнаружению сбоя проблема должна решаться комплексно, в первую очередь (на мой взгляд) на уровне архитектуры процессорного ядра.

А в не жестких?Для обычных девайсов на чем-нить дешевом без всяких излишеств,зависон которых
не приведет к пожарам/взрывам,но которые тоже хочется как-нить защитить от слетов при ударах молнии,бросков питания и т.д?Я из треда пока уловил одну здравую мысль-сброс собаки делать в специальном самом низкоприоритетном потоке(я тупо сбрасывал до сих пор в системном таймере ).

Рекомендую задуматься вот о чем еще, в догонку - использование двух собак, внутренней и отдельной внешней, которая контролирует активность (правильную) на какой либо лапке камня. Такое решение применено в сименсовских мобильниках.

такое решение применено еще в советской аппаратуре 80-х годов на 580вм80-внешний 555 таймер,выход которого сидит на сбросе проца и сбрасываемый портом процессора.Проверено-при бросках питания виснет очень даже хорошо.

Вы глубоко знаете софт сименсовских мобильников? Думаю, что там просто внутренний совсем не используется, ибо использование простых, дубовых внешних ресетчиков и собак потенциально более надежно и независимо от проблем возникающих на кристале. Особенно,это касается собак зависимых от тактовых генератров.

ну в AVR собака тоже от отдельного генератора тактируется.

Да, знаю. Используются оба. В разных задачах сбрасываются. Тот, который внешний, требует сброса с определенным интервалом, не быстрее, не медленнее определенных ворот. Такого плана WDT, кстати, в XMega. Для SL45 (ядро C166) и S75 (ядро ARM9) могу завтра код продемонстрировать соответствующий (есть просто .idb, хорошо мною разобранные), у любого другого в течении часа по отладочной печати найду.

Да нет, я верю.

На то он и внешний, дабы быть продвинутым.

А в нежёстких - продуманный алгоритм + WDT. Ничего другого пока не придумали.
И посмотри там один из первых моих постов, - я там по пунктам. Там я уже говорю, что сброс в прерывании (без ОС) равно как и сброс в сист. таймере - некоректный подход (равно как и тупое вставляние WDR во все циклы). Так как в Вашем случае могут загинуть все процессы, а таймер будет весело щёлкать. То же самое с циклами, - по сбою вы попадаете в цикл где весело щёлкаете WDR и глухо висите.

Чтобы этого не происходило число WDR должно быть минимальным, период - подобран, в цикле где стоит WDR должен осуществляться контроль важнейших параметров режима работы программы. (В вашем случае - специальный низкоприоритетный процесс). К числу параметров - разрешение прерывания, наличие работы всех процессов), возможные другие.