Доказательство безопасности

[kHz]

С помощью чего можно проконтролировать правильность работы отдельных элементов системы, а самое главное потом доказать что это безопасно. К примеру, устройство (на микроконтроллере) вырабатывает код в зависимости от принятой телеграммы, если происходит обрыв линии, то по истечении определенного времени (тайм-аута) вырабатывается защитный код. Как в этом случае проконтролировать работу таймера.
Если сделать двух процессорную систему, то как быть с накоплением ошибки (т.е. загибается первый таймер, а затем второй).
Как посчитать вероятность опасного отказа?
Может кто-нибудь сталкивался с такой проблемой.

[walrus]

В данном случае крайне важна реализация и её особенности. Без их знания не возможно даже предположить правильный алгоритм ловли ошибок. А у Вас слишком общее изложение. Ну что значит таймер потухнет? Что за таймер где расположен? Может ему второй не нужен?

[kHz]

я имею в виду внутренний таймер микроконтроллера. ведь этот таймер в кристалле состоит из полупроводниковых элементов, и выход его из строя вполне возможен. в результате контроллер начнет работать не так как задумывалось ранее). так как же контролировать работу отдельных критичных узлов системы (хотя бы на примере таймера в предыдущем примере).
скорее всего такие алгоритмы предусмотрены в системах обеспечения безопасности и поддержания жизнедеятельности.

[xelos]

если может выйти из строя таймер мк, то это значит, что из строя вышел мк. В смысле, что может стоит оценивать риск из того, что весь мк является причиной проблемы, а не только его таймер.

я в анализах риска системы никогда не опускаюсь на уровень составляющих мк.

[kHz]

дело в том, что человек легко определит, что таймер (или ацп или порт или сторожевой таймер) вышел из строя, а вот железка (в которой случилась подобная аказия)(а железка эта может стоять годами и не обслуживаться), если этого сама не определит, то может натворить кучю бед.
так вот и вопрос такой: как контроллеру проконтролировать правильную работу таймера и если это не так, то блокировать дальнейшее выполнение программы.

[xelos]

ставь собаку и обычный таймер на одинаковое время, обычный как дощелкает до конца, обнуляй собаку. Если собака вызвалась, значит один из 2х таймеров не в порядке.

либо второй мк ставить, тока там уже сложнее на порядок. надо придумать как их синхронизировать, учесть разброс параметров кристалла, и т.д.

имхо, стоит подумать надо ли вообще это все делать.

[vasilij-kursikov]

Рботу таймера можно легко контролировать, допустим отслеживая через определённые промежутки времени (заданные непосредственно исполняемым кодом) его значение или вовсе его не использовать, а реализовать программно счёт времени, правда код сложно реализовывать.

[NemoCut32]

По поводу специфики я полностью согласен - трудно говорить об ответе не зная самого вопроса. А вот по системе мер повышения надёжности могу сказать следующее:
1) обеспечение надёжности строитстя из целого комплекса мер: программных - контрольные суммы, периодические проверки, WDT (а вот таймером его сбрасывать нельзя, т.к. вероятность его выхода из строя гораздо меньше, чем сбой PC или в ОЗУ), BrownOutDetector и т.д.
2) аппаратных систем защиты: использование дублирующих портов на включение/выключение, многопроцессорных систем, предохранителей наконец и др.
3) защита должна быть адекватной - нет смысла защищаться от сбоя в таймере, когда "колбасит" питание или есть статика и ЭМИ.
Если есть необходимость защиты пишите полное описание, схему можно провести анализ и дать рекомендации. На простейшем уровне постарюсь дать советы, а если нужен серьёзный анализ, то это уже будет не бесплатно - эта работа занимает от нескольких дней до месяцев и требует немалых затрат усилий, а иногда и денег(бывает, что на стадии разработки несколько образцов уходят в помойку пока не будет найдено правильное решение).

[kHz]

а можно поподробней на счет программных средств защиты.
книги, ссылки или просто ваши мысли по этому поводу.
заранее спасибо.