Фобос-Грунт, Yinghuo 1 – Зенит-2SLБ – Байконур 45/1 – 09.11.2011 00:16 ЛМВ

[dmdimon]

RAD6000 и RAD750 уже так навскидку...

О_о я такого не писал

[zyxman]

RAD6000 и RAD750 уже так навскидку только в публичных миссиях и в дальнем космосе больше 10 лет налетали, и всё равно до сих пор еще неожиданные сейфмоды выкидывают.

А как эти глюки связаны именно с рисковостью?

Глюки в данном случае связаны с тем, что ПЗУ микрокоманд CISC это по сути программа, а само устройство обработки микрокоманд очень простое, и его отладить НАМНОГО проще чем конвейер и конечные автоматы потрохов RISC - отладка программы даже на ассемблере и отладка железа это работы совсем разного порядка сложности.

PS насчет современных RISC мне недавно прикол рассказывали из серии "нарочно не придумаешь"

Аналогично — как этот глюк связан с рисковостью? Почему на месте этого ЦП не мог быть любой другой?

Потому что см выше - отладка кремния настолько сложна и дорога - по сути всё равно почти ВСЕГДА получается НОВЫЙ чип, что тупой перенос старых CISC на новую технологию не практикуется.

[Artemkad]

PS насчет современных RISC мне недавно прикол рассказывали из серии "нарочно не придумаешь".
Вобщем разработчик поленился в макете с современным процом SOC спаять цепь сброса - рассчитывал что как все нормальные процы его макет будет сбрасываться по выключению питания.
- Оказалось "ага щас" - если часик подождать то он конечно сбрасывается, а пару минут умудряется сохранять состояние регистров и памяти и потом при включении как ни в чем не бывало продолжает работать с места где его отключили, приводя народ в состояние шока :lol:

Т.е. ни встроенного сброса по подаче питания, ни встроенного сброса по снижению напряжения? :shock: Что касается состояний регистров - они действительно сохраняются в статической памяти до нескольких часов. И иногда с этим бывают казусы - долго думаешь какого "иногда работает"...

[Artemkad]

Он им отвечает - а нажмите кнопочку СБРОС на плате, и все будет нормально.

По моему опыту изделия с подобной кнопкой заказчики не обслуживаемых систем обязаны обходить двадцатой дорогой.  :roll:

[X]

у классического CISC (который собственно тот самый радиационно-стойкий MIL STD какой-то там и есть)

Да нет никаких «классических CISC» уже сто лет как! Древючий Mil-Std 1750A применялся в Штатах с 1979 по 1984.

всё остальное вобщем в сравнении с RISC почти статично, легко резервируется и существенно несложно защищается

Вы в курсе, сколько нужно минимум транзисторов для 32-битного риска и 32-битного сиска? 25К (ARM2) против 70К-90К (MC68K, Z80K). Так что проще защитить?

У RISC-же вместо устройства микрокоманд конвейер

А рисков без конвейера вы никак не можете представить? Почему вы думаете, что конвейеризация — отличительная черта риска?

конвейер НАМНОГО сложнее устройства микрокоманд

Даааа? А вы в курсе, что почти все ЦП 80-х (и сиски, и риски) имели 2-4 стадийные конвейеры, даже простейшие i8086 и армы (2 стадии)?

защитить конвейер настолько-же хорошо как устройство микрокоманд практически нереально дорого

У вас в голове прочно засели какие-то басни про конвейер и прочее. Ещё раз повторю: с точки зрения микроархитектуры недалеко от истины сказать, что сиск — это риск с приделанным декодером внешних команд во внутренние микрокоманды. Всё остальное (конвейер, кэши, ...) может быть у любого ЦП.

Я сам 10 лет назад работал разработчиком сложной микропроцессорной техники

Печально

народ говорит что эти наши отечественные кристаллы мало того что безумно дорогие, так еще и очень много у них недокументированных глюков

Отчасти правда, но не по причине рисков-сисков, а потому что нет нормальной обратной связи с разработчиками и стимулов к исправлению ошибок.

отладка кремния настолько сложна и дорога - по сути всё равно почти ВСЕГДА получается НОВЫЙ чип, что тупой перенос старых CISC на новую технологию не практикуется.

Даааа? Ой, а что же это десятки компаний по всему миру об этом не знают и регулярно (и успешно) делают «шринки» кристаллов (т.е. переносят старый ЦП на новую технорму)? И риски, и сиски. Вон, тот же 1890ВМ1 родился под 0,5 мк, а теперь делается под 0,35 (или 0,3?...). Причём Интел возвела этот процесс в ранг всей фирменной идеологии «тик-так».

Глюки в данном случае связаны с тем, что ПЗУ микрокоманд CISC это по сути программа, а само устройство обработки микрокоманд очень простое

Ужос-ужос. Всё пропало. Я делаю окончательный вывод, что о соверменных процессорах вы не знаете ровным счётом ничего, ибо отстали от мира лет на 20. Если именно такими людьми делались компы для ФГ — «нет повести печальнее на свете».

[X]

Долго писал, но все пропало кратко повторю.

1. Даже идиот в разработке эмбеддед, если он только не полныый даун, первое что сделает - отконфигурит вачдог. Хотябы для того, чтобы макет при кривом питалове все же нормально стартовал на столе.
2. после 2-3 студенческих поделок и первой же "индастриал" вырабатывается неукоснительное правило - все пустое место забито NOPами, в конце памяти - джамп на рестарт. Возможны варианты, но принцип не обсуждаем.
3. 7 бед -1 ресет. Если есть сомнения в правильности фукционирования - ресет. он или поднимется, или поднимет резерв.
Ну или у меня школа не той системы...

[X]

Древючий Mil-Std 1750A применялся в Штатах с 1979 по 1984

Поправка — это он в гражданских системах применялся в эти годы. На спутниках изредка и сегодня ставится.

[PIN]

все пустое место забито NOPами, в конце памяти - джамп на рестарт. Возможны варианты, но принцип не обсуждаем.

Скажите, как художник художнику...вы код бортового ПО какого-нибудь КА сами видели? Тестировали? Эксплуатироали?

[Artemkad]

3. 7 бед -1 ресет. Если есть сомнения в правильности фукционирования - ресет. он или поднимется, или поднимет резерв.
Ну или у меня школа не той системы...

добавлю модификацию от себя - наличие регулярного внешнего не критичного события которое проводит программный пересброс всей системы. Для камней где такой команды нет - полное усыпление камня с последующим выдергиванием из сна сбросом от вачдога.

[instml]

все пустое место забито NOPами, в конце памяти - джамп на рестарт. Возможны варианты, но принцип не обсуждаем.

Скажите, как художник художнику...вы код бортового ПО какого-нибудь КА сами видели? Тестировали? Эксплуатироали?

Чего там видеть, и без видений все понятно же :wink:

[Unispace]

Долго писал, но все пропало кратко повторю.

1. Даже идиот в разработке эмбеддед, если он только не полныый даун, первое что сделает - отконфигурит вачдог. Хотябы для того, чтобы макет при кривом питалове все же нормально стартовал на столе.
2. после 2-3 студенческих поделок и первой же "индастриал" вырабатывается неукоснительное правило - все пустое место забито NOPами, в конце памяти - джамп на рестарт. Возможны варианты, но принцип не обсуждаем.
3. 7 бед -1 ресет. Если есть сомнения в правильности фукционирования - ресет. он или поднимется, или поднимет резерв.
Ну или у меня школа не той системы...

Школа у вас и правда не той системы. Если быть точнее - совдеповской. Особенно это заметно по п.2  

[zeaman]

Долго писал, но все пропало кратко повторю.

2. после 2-3 студенческих поделок и первой же "индастриал" вырабатывается неукоснительное правило - все пустое место забито NOPами, в конце памяти - джамп на рестарт. Возможны варианты, но принцип не обсуждаем.

А как при таком сценарии (джамп на рестарт) периферия сбросится? Импульс на линии RES_N процессором то не был подан?  А при срабатывании watchdoga он произойдет.

Вот у нас уже и вышло 2 различных поведения при разных типах зависания. По-моему таких ситуаций надо избегать.

Впрочем, зависит от процессора , и того как к нему периферия подсоединена.

Есть более изощренные варианты watchdoga , когда происходит не просто сброс таймера,  а гораздо более сложное действие.

 Я в одном индустриальном disagne вынес watchdog на другой процессор.
С меньшим количеством выводов, площадью кристалла, отдельным стабилизатором и без кварцевого резонатора.   Код в маленьком процессоре прошел 100% coverage test. Затем  этот код заморозили и его изменение было-бы приравнено к преступлению. Из-за того, что этот код был вынесен отдельно , его разработка завершилась значительно раньше  основного продукта.

[Artemkad]

А как при таком сценарии (джамп на рестарт) периферия сбросится? Импульс на линии RES_N процессором то не был подан?  А при срабатывании watchdoga он произойдет.
Вот у нас уже и вышло 2 различных поведения при разных типах зависания. По-моему таких ситуаций надо избегать.

Это не совсем зависание. У нас это называется "скачки по фрагментам". Ситуация возникает при воздействии на камень радиации или пико/нано секундных импульсов по цепям питания/тактирования.

[Santey]

все пустое место забито NOPами, в конце памяти - джамп на рестарт. Возможны варианты, но принцип не обсуждаем.

Скажите, как художник художнику...вы код бортового ПО какого-нибудь КА сами видели? Тестировали? Эксплуатироали?

А что, с некоторых пор "код бортового ПО" должен противоречить элементарному здравому смыслу?
Все правильно человек пишет

[PIN]

А что, с некоторых пор "код бортового ПО" должен противоречить элементарному здравому смыслу?

"Здравый смысл - это набор предрассудков, приобретённых в восемнадцатилетнем возрасте."

(с), надеюсь, знаете, чей.

"Код бортового ПО" таков, каков требуется каждому конкретному аппарату и в рамках стандартов организации/агенства/компании. Если коротко - очень разный.
Фразы вида "принцип не обсуждаем" выдают человека, который не в курсе таких базовых вещей.

[PIN]

На спутниках изредка и сегодня ставится.

23 мая сего года, например, планируется к запуску аппарат, ЦП БЦВК служебного модуля которого (SVM CCU) - МА31750. И еще один такой же - через пять лет примерно. К слову, бюджет бортового ПО служебного модуля там - с весьма большим запасом.

[X]

Школа у вас и правда не той системы. Если быть точнее - совдеповской. Особенно это заметно по п.2  

Да, я и не скрываю этого. По крайней мере это инженерная школа, результаты которой ЛЕТАЛИ, а не школа эффективных менеджеров.
А для особо эффективных - разжую п2. Есл исполняемый код лежит, например на флеше и оттуда же исполняется - то ВСЕ свободное место нопится на случай пересера стека и улета, если это произошло - бежим пока не упремся в переход на ресет, точне на стартовый код, где происходит переинит и рестарт, тот же код, котрый по вачдогу отрабатывает. А перефирию я ресетю в том числе и от проца. Я не говорю про глобальные мегавычислители, в первую очередь - это приборные мозги, контроллеры и т.д. хотя 99% методов повышения живучести "малых форм" применимы и в большом. Как говорится надежности много не бывает, а если минимум телодвижений дает хоть каой-то прирост надежности - я считаю что хуже точно не будет.

[X]

"Здравый смысл - это набор предрассудков, приобретённых в восемнадцатилетнем возрасте."

(с), надеюсь, знаете, чей.
...
Фразы вида "принцип не обсуждаем" выдают человека, который не в курсе таких базовых вещей.

То есть по существу, я так понимаю, к сообщению Alex_'а насчёт NOP'ов у вас замечаний нет?

[PIN]

NOPы, ..пы к теме данной ветки отношения не имеют. Если же они Вас так инересуют, то приведите для начала пример современного КА, БЦВМ которого выполняет код прямо из EEPROM. И ищите там NOPы. Я таких не встречал. В остальных, которые видел, после конца кода, загружаемого в EEPROM перед пуском - нули. Это там, где EEPROM вообще есть.

Аппараты, в которых код бортового ПО в EEPROM вообще не хранится, потому что ничего, кроме RAM не имеется - тоже есть, причем не в прошлом, а сейчас, готовящиеся к пуску. Но это, впрочем, тоже другая история уже, это не АМС.

[Unispace]

Школа у вас и правда не той системы. Если быть точнее - совдеповской. Особенно это заметно по п.2  

Да, я и не скрываю этого. По крайней мере это инженерная школа, результаты которой ЛЕТАЛИ, а не школа эффективных менеджеров.
А для особо эффективных - разжую п2.

А вы, видимо, считаете, что характеристику ваших вариантов дал эффективный менеджер, а не инженер с большим опытом разработки, тестирования, эксплуатации и сервиса H&S ?    Тогда подумайте на досуге, почему ваши нопы - очень корявое решение, и что должно делаться вместо этого, с получением принципиальной разницы. Если не додумаете, я подскажу.... позже  
Тему пора закрывать, мое твердое мнение.