Moin moin!

Hat schon mal jemand ein redundantes und/oder fehlersicheres System mit handelsüblichen Mikrocontrollern aufgebaut? Bei fahrenden Robotern ist das zwar ziemlicher Overkill, aber wenn man mal einen kleinen fliegenden Roboter baut, lohnt sichs vielleicht schon, darüber nachzudenken.
Hab zwar momentan nix derartiges vor, aber weil ich beruflich nur mit redundanten Automatisierungssystemen zu tun hab, hab ich da mal drüber nachgedacht. Kann man zum Beispiel bei AVRs einen Quartz parallel für zwei Controller benutzen, um sie synchron laufen zu lassen? Bei Hardwaresignalen wär ja eine Redundanz mit Dioden bei Ein- und Ausgängen recht einfach zu lösen, für zwei- oder dreikanaliges Einlesen oder Ausgeben. Hat irgendjemand Erfahrungen mit sowas?
Und interessiert das überhaupt irdendwen außer mir? ;-)
Schöne Grüße,
Nils

Bei redundanten Systemen muß man ja alles was man einbringt in seiner Funktionsfähigkeit in Frage stellen.
Es muß dann also die Auswahl oder Entscheiderschaltung zusammen mit dem Umschalter deutlich sicherer sein als die zu schützende Einzelkomponente. Sonst läßt man die Redundanz besser weg denn weinger Teile sind zuverlässiger.

Ich schätze daß der Controller in einem individuellen Kleinsystem so ziemlich die erprobteste Komponente des Systems ist (von ein paar Montageschrauben abgesehen) und daß bei der HW die ganze individuell designte Interface Schaltung von Sensoren bis Aktoren vor allem auch in ihrem individuellem Aufbau, viel größere Unsicherheiten bietet.

Daraus leitet sich die Frage ab: Wodurch ergibt sich die größte Fehlerwahrscheinlichkeit in Systemverhalten. Ich schlage vor: Durch Unsicherheiten der Interpätation von Sensorsignalen und der Auswertung dieser Interprätation im Steueralgorithmus.
Redundanzansatz hierzu, noch einmal messen und die Wirkung der Aktoren durch weitere Messungen bestätigen. Im Zweifelsfall sicheren Systemzustand ansteuern, überprüfen und an Operator melden.
Bitte um weitere Kommentare.
Manfred

1. fliegende Roboter sollte man mit einer Fernsteuerung manuell steuern und landen sicher können
2. Programmfehler sind warscheinlicher als Hardwarefehler
3. Einen Quartz würde ich nicht parallel für zwei Controller benutzen, weil auch der Quartz kaputtgehen kann.
4. Alle Bauteile MÜSSEN speziell für eine magimale ausfallsicherheit gebaut+entwickelt sein (teuer)
5. ALLEs muss doppelt (wenn nur die existens eines Fehlers festgestellt werden soll) oder 33-fach (wenn die art des fehlers festgestellt werden soll)
6. Auch bei Modellflugzeugen wird nur ein Fernsteuerempfänger und keine 3 verwendet