Hallo,

Wie schon angedeutet hat die NASA bei der Mondlandung die wichtigen Systeme 3-fach ausgeführt und dann mit Majoritätslogik entschieden, dass die Mehrheit recht hat. Dabei wurden aber 3 identische Rechner verwendet.

Bei den heutigen Flugzeugen und Fly-by-Wire verwendet man 3 komplett unabhängig voneinander entwicklete Rechner, wie schon gesagt wurde, sowohl Hard- wie auch Software. Die Idee ist, dass die CPU z.B. einen Design-Fehler haben könnte (War ja z.B. beim 80386 mal so, der hat, je nach Temperatur, falsch multipliziert).
Die Aktoren sind auch 3-fach ausgeführt. Wobei das ganze so ausgeführt ist, dass eigentlich ein einzelner Aktor die Steuerung übernehmen kann. Der Rest geht dann rein mechanisch, die Kräfte des falsch angesteuerten Aktors werden vom einen "gesunden " kompensiert und der Dritte leistet die eigentliche Arbeit.

Eine andere Methode ist, das ganze nur doppelt auszuführen, wobei der Backuprechner dabei eine grössere Leistung haben muss. Der kleinere übernimmt dabei normalerweise die Steuerung. Der grössere beinhaltet die gesammte Steuerung wir der Kleine auch und zusätzlich vergleicht er seine Berechnungen mit denen des kleinen. Wenn der Grosse unterschiede feststellt schaltet er den Kleinen ab und übernimmt selbst.
Allerdings weiss man dabei nicht, welcher der beiden wirklich einen Fehler macht, es kann auch schief gehen.

Das Problem bei redundanten Systemen ist, dass sie komplexer als ein einfaches System sind. Die Fehleranfälligkeit steigt aber mit der Komplexität des Systems an.
Bei schlechter Planung kann ein redundantes System fehleranfälliger sein als ein einfaches!

Bei deinem I2C-Bus könnte man z.B. 2 FETs in Serie schalten. Der eine FET wird mit dem Steuersignal angesteuert. Der zweite FET wird dann mit dem invertierten Steuersignal über einen RC-Tiefpass angesteuert. Damit wird dann ein dauerndes Durchschalten im Fehlerfall verhindert.
Hilft dann aber nichts, wenn der Steuerausgang wild schaltet.

MfG Peter(TOO)