Forum: Mikrocontroller und Digitale Elektronik Steuerung - Welcher Microcontroller

Bezüglich Rechenleistung sehe ich keinerlei Anforderungen. Jeder 
8-Bitter sollte es wuppen.
Warscheinlich verbraucht das GLCD die meiste Rechenpower.

Bezüglich Sensoren würde ich möglichst digitale Sensoren verwenden, sie 
liefern entweder nen richtigen Wert oder garkeinen.
Analoge Sensoren benötigen dagegen höchstwertigste Steckverbinder und 
Kabel, da eine Verfälschung nicht erkennbar ist.


Peter

Uwe Heydemann schrieb:
> Atemgas-Zusammensetzung
  Atmegas
passen da am besten :-)

Sorry, den konnte ich mir nicht verkneifen.

Reinhard

Redundanz ist sich von Vorteil, deswegen zwei unabhaengig arbeitende 
Controller :-) Ada genau deshalb, weil es fuer lebenssichernde Systeme 
die einzig wirklich nutzbare Sprache ist. Ich arbeite am Flughafen und 
mache u.a. Pre-Flight-Checks, deswegen bin ich mit der Zuverlaessigkeit 
von Ada etwas vertraut. Programme laufen generell unter Ada etwas 
langsamer, aber deutlich fehlerfreier und absolut stabil. Jedenfalls ist 
mir kein Fall bekannt, in der ein Pilot seine Muehle in der Luft reseten 
musste lol

Hallo micha, sicher gibts ein Buddy Inspiration und auch ein IDA (was 
uebrigens nicht elektronisch steuert). Ein Buddy will ich nicht, da es 
a: gut ausgestattet 9000 Schleifen kostet und b: mich daran hindert 
eigene Ideen umzusetzen. Das Argument "Was man nicht kann, sollte man 
lassen" tausch ich mal durch "Wo Wissen fehlt, sollte man ergaenzen und 
ausprobieren" aus. Sonst haettest Du sicher heute keinen Beruf, oder 
konntest Du bereits alles schon von Geburt an? Ich hab Spass am basteln 
und am umsetzen neuer Ideen und denke, dass das sicher nicht falsch ist.
Uebrigens, mit Peter Rachow hab ich Kontakt, von ihm sind die Formeln 
fuer die Dekompressionsberechnung. Nur hab ich Sie noch etwas erweitert 
nach RGBM-Standard.

Nichts gegen ADA, aber wie heist es so schön: Man kann in jeder Sprache 
Fortran Programme schreiben.

Wer sein Handwerk beherrscht kann in C genauso sichere Programme 
schreiben wie in ADA. Es ist nicht die Sprache die das ausmacht.
Und das das DoD auf ADA steht, ist auch leicht erklärt: Sie haben die 
Sprache entwickeln lassen.

Redundanz ist gut. Aber tu dir das Prozedere mit mehreren Prozessoren, 
die sich gegenseitig überwachen nicht an. Ein Watchdog im Prozessor 
aktiviert, nur zur Sicherheit, und gut ists. Diese Dinger mit 
Backup-system und dergleichen klingen zwar gut, sind aber der absolute 
Horror. Du wirst dir mit sowas mehr Fehler einbauen, als du ohne Backup 
System hättest. Und ein 'Absturz mit Funktionspause nach dem Reset' geht 
so schnell, dass dein Taucher gar nicht merken wird, wenn der Prozessor 
tatsächlich einmal resettet (was bei einem vernünftig geschriebenen 
Programm nicht vorkommen wird. Auch dann nicht, wenn es in C geschrieben 
ist)

Die Anforderungen die sich aus deiner Beschriebung ergeben, sind auch 
so, dass du aus C nichts wirklich kritisches oder besonders kniffliges 
benutzen musst. Wenn du deine Sensoren auswerten kannst und die 
Messwerte mittels Formeln verknüpfen kannst, muss man nur noch darauf 
achten, dass zwischendurch in den Berechnungen keine Overflows 
entstehen. Das ist in ADA auch nicht anders. Du hast keine dynamischen 
Speicherallokierungen und das man Arrayzugriffe in Tabellen (so welche 
vorkommen) mit den Arraygrenzen absichert ist auch in C keine 
Raketentechnik.

Nur so am Rand mal eine Frage: Kannst du ADA oder irgendeine andere 
Programmiersprache? Denn die beste Sprache ist immer die, die man schon 
beherrscht. ADA hin oder her!

Realist schrieb:
> "Wieso ADA, wieso nicht C?"
>
> weil Ada gerne in sicherheitskritischen Anwendungen verwendet wird
> (Raumfahrt, Flugzeuge, AKW...)

Schon klar.
Fakt ist aber auch, dass nur die Verwendung von Ada alleine noch kein 
sicheres Programm ausmacht.

Ausserdem reden wir hier nicht über Code der aus >200 Modulen und >3 
Millionen Lines of Code besteht :-) Das was der TO vor hat, lässt sich 
noch leicht überschauen.

Die wichtigste Frage ist immer noch: Welche Vorkentnisse hat der TO. Und 
welche Vorkentnisse hat er im Speziellen mit Ada.
Wenn ich sowas programmieren wollte, würde ich auf keinen Fall Ada 
nehmen, ganz einfach deswegen weil ich keine Erfahrung damit habe. Ich 
habe aber jede Menge Erfahrung mit C. Dazu kommt, dass hier in Europa, 
ausser in den bisher genannten Bereichen, meines Wissens kein Mensch Ada 
benutzt. Es ist daher wesentlich schwieriger Hilfestellung von aussen zu 
bekommen.

So adHoc: MSP430, genügend I/O Analoge Peripherie und die Rechenleistung 
is so wie so kein Thema! MSp fällt mir ein wegen dem Stromverbrauch.
Dazu ein passendes LCD... da gibts doch auch was... mal nachsehen...
Druck Temperatursensorkombi: MS5541 oder ähnliches (intersema)...

Was den Kompiler anbelangt... gute Frage

Peter Dannegger schrieb:
> Bezüglich Rechenleistung sehe ich keinerlei Anforderungen. Jeder
> 8-Bitter sollte es wuppen.
> Warscheinlich verbraucht das GLCD die meiste Rechenpower.

Das sehe ich absolut anders:

Zu den Sensoren:

1. Sensor mit ADC erfassen
2. Digitales Filter
3. Mittelwertbildung
4. Berechnen der physikalischen Größe
5. Analyse, ob Sensor Daten plausibel sind.
6. Kalibrierung der Sensoren
7. Überwachung, ob Kalibrierung wirklich stimmt
8. Überwachung der Sensoren auf richtige Funktion

Zu der Berechnung des Atemgases:
1. Berechnung der Gasmenge in Abhängigkeit von der Temperatur--> riesige 
Look-Up-Tables
2. Plausiblitätsprüfung

Zum yC Selbsttest:

Zyklischer Selbsttest, d.h. alle Fehler, die einen gefährlichen Zustand 
herbeiführen können, müssen überwacht werden.
1. Speichertest
2. Über- und Unterspannung vom Prozessor muß erkannt werden, die 
Überwachungsschaltung muß ebenfalls auf Funktion geprüft werden
3. Watchdog vom Prozessor muß vorhanden sein und ebenfalls überwacht 
werden


Zum GLCD:
Verschiedene Schriften  --> viel Speicher
Verschidene Knöpfe , Slider, Anzeigen ---> Viel Speicher


Dazu kommt dann noch die doppelte Redundanz--> Zwei unterschidliche 
Prozessoren verweden, die mit unterschiedlichen Compilern programmiert 
wurden, um zu vermeiden, das ein Compilerfehler bei beiden Systemen den 
selben Fehler herbeiführt.( Am besten ebenfalls von zwei 
unterschiedlichen Entwicklern)


Also:
yC mit DSP-Funktionen
yC mit viel Rechenleistung (32bit, mit Floating Point Funktionen)
yC mit viel Speicher


Ich würde das Pferd von hinten aufzäumen und gleich den Prozessor mit 
maximalen Speicher und Rechenleistung verwenden.
Wenn mann dann später merkt oder absehen kann, das das etwas zu viel des 
Guten war, kann mann immer noch für die Serie auf einen kleineren Typ 
umsteigen. Wenn mann allerdings mitten im Design feststellt, das die 
Recourcen nicht reichen, fängt man wieder von Null an.


Ich würde warscheinlich einen DsPic32 einsetzen....oder etwas von 
Renesas

Karl heinz Buchegger schrieb:

> Redundanz ist gut. Aber tu dir das Prozedere mit mehreren Prozessoren,
> die sich gegenseitig überwachen nicht an. Ein Watchdog im Prozessor
> aktiviert, nur zur Sicherheit, und gut ists. Diese Dinger mit
> Backup-system und dergleichen klingen zwar gut, sind aber der absolute
> Horror.


Sorry, auch hier muss ich wiedersprechen:

Ein Taucher in 30m tiefe ist absolut von seinem Atemgas abhängig:
Ein Fehler ist hier absolut tötlich!
Deshalb ist dieses Gerät als "Lebenserhaltend" einzustufen.

Ich würde hier auf jeden Fall die Medizinnorm 60601 ansetzen und das 
Gerät als "Klasse 3 " Gerät einstufen.

Um es kurz zu machen:

Das Gerät muß in einen "Sicheren Zustand" gehen, wenn ein Fehler, egal 
welcher Art, auftritt.
(Das gilt für den "ersten" Fehler.
Jeder Fehler, der einen " gefährlichen Zustand" führen kann, muß erkannt 
werden und mit einer geeigneten Maßnahmen verhindert werden.
Wird vermutet, das ein Fehler nicht erkannt wird, so muß das System auch 
bei Auftreten des zweiten Fehlers in den sicheren Zustand gehen.
--> Dabei gilt natürlich wieder Regel eins

Reinhard R. schrieb:
> Uwe Heydemann schrieb:
>> Atemgas-Zusammensetzung
>   Atmegas
> passen da am besten :-)
>
> Sorry, den konnte ich mir nicht verkneifen.
>
> Reinhard

Dank Forum Kontext hab ich auch erst mal Atmegas gelesen :-)

Frank B. schrieb:
> Karl heinz Buchegger schrieb:
>
>> Redundanz ist gut. Aber tu dir das Prozedere mit mehreren Prozessoren,
>> die sich gegenseitig überwachen nicht an. Ein Watchdog im Prozessor
>> aktiviert, nur zur Sicherheit, und gut ists. Diese Dinger mit
>> Backup-system und dergleichen klingen zwar gut, sind aber der absolute
>> Horror.
>
>
> Sorry, auch hier muss ich wiedersprechen:
>
> Ein Taucher in 30m tiefe ist absolut von seinem Atemgas abhängig:
> Ein Fehler ist hier absolut tötlich!
> Deshalb ist dieses Gerät als "Lebenserhaltend" einzustufen.

Bis hier her sind wir uns einig.

Worum es mir geht:
Es sagt sich leicht: na da bauen wir halt ein Mehrprozessorsystem, am 
besten noch mit unterschiedlichen Prozssoren. Im Space SHuttle haben sie 
es ja auch so gemacht.

Aber die Praxis ist nun mal schwieriger als die Theorie. Auf dem 
Pflichtenheft kann ich das leicht hinschreiben.

Ein derartiges System ist nun mal komplexer und zwar um einiges 
komplexer als ein simples Ein-Prozessorsystem. Dazu die Fragestellung: 
Wer überwacht eigentlich die Überwacher? (Und damit hast du wieder einen 
Single-Point of Failure)
Und Hand aufs Herz: Wer von uns hat schon erlebt, dass ein AVR (um jetzt 
nur einen bestimmten µC zu benennen) im Betrieb bei sachgemäßem Layout 
und Platinenfertigung einfach so aussteigt. Bei meinen hab ich das noch 
nie beobachtet. Auch hat sich ein AVR aus heiterem Himmel noch nie 
verrechnet (es sei denn ich habe bei der Programmierung einen Fehler 
gemacht).

Nochmal: Überwachung ist gut. Das man das Rechenergebnis auf 
Plausibilität überprüft ist auch gut. Das man bei derartig 
sicherheitskritischen Anwendungen jeden Arrayzugriff auf 
Bereichüberschreitung prüft sollte auch selbstverständlich sein. Das man 
hierbei nicht auf Speed sondern möglichst defensiv arbeitet ist auch 
normal. Dass jede Schleife einen zusätzlichen Counter bekommt, der einen 
Überlauf detektiert, wenn die eigentliche Schleifenbedingung 'nie' 
einzutreten scheint (und daher zb ein Hardwaredefekt vermutet werden 
kann) ist auch gut.

Aber ich bin der Meinung, dass man die Hardware so einfach wie nur 
möglich machen sollte. Ein Mehrprozessorsystem, die parallel laufen und 
bei der es einen Entscheidungsträger gibt, ist für mich nicht einfach. 
Einfaches System - einfache Fehler, komplexes System - komplexe Fehler.

Kleine Anmerkung zu ADA <-> Ada erzwingt programming by contract wenn 
ich mich da richtig erinnere, d.h. ich MUSS mit assertions arbeiten, was 
natürlich hilft fehlerhafte Werte immer zu erkennen, nur:

Echtes ADA hat noralerweise einen Garbage Collector (ok, man kann den 
auch abschalten) und Ada, das vom DoD anerkannt wird und wirklich für 
Sicherheitskritische Anwendungen zugelassen ist braucht einen Compiler 
der zertifiziert ist, was ich bei einem sourceforge compiler bezweifle.

Ich denke C ist auf jeden Fall ok, aber eben mit der gleichen Sorgfalt 
programmieren wie Ada, d.h. genug testfälle einbauen und die hinweise 
von oben beachten.

Eventuell würde ich für das Display einen getrennten µC verwenden um 
kritische Anwendung vom UI zu trennen, so dass ein Fehler im UI, wird 
schließlich von einem USER bedient, (daher nicht alle zustände 
vorhersehbar), nicht die lebenswichtigen funktionen beeinträchtigen 
kann.

Möglicherweise wäre auch ein xScale prozessor ne Lösung, da bereits 
eingebaute Grafikinterface und genug rechenpower, eventuell mit nem 
8-Bitter mombiniert zur Fehlerüberwachung und falls notwenig reset des 
xScale. (ist aber nur so ne idee die mir gerade kommt)

Gruß
Tom

> Und Hand aufs Herz: Wer von uns hat schon erlebt, dass ein AVR (um jetzt
> nur einen bestimmten µC zu benennen) im Betrieb bei sachgemäßem Layout
> und Platinenfertigung einfach so aussteigt. Bei meinen hab ich das noch
> nie beobachtet. Auch hat sich ein AVR aus heiterem Himmel noch nie
> verrechnet (es sei denn ich habe bei der Programmierung einen Fehler
> gemacht).


Da stimme ich auf jeden Fall zu, solange das "Werk" nur für den einen 
selbst ist. Soll das Gerät zugelassen werden, kommt der TÜV, die CE, die 
UL, die FDA und noch zehn weitere "Institute", die das leider völlig 
anders sehen.

Wie wirds also gemacht:
Ein System, welches das Gerät steuert.--> Prozessor eins
- also einsammeln der Sensor-Werte.
- GLCD
- Berechnung der Gasmengen,  und was weiss ich noch alles
- Macht beim Einschalten einen Displaytest
- Macht beim Einschalten einen Test der Alarmgeber (Pipser, LED)
- Gibt Alarm aus, wenn ein Fehler auftritt

Ein System, welches das Gerät überwacht--> Prozessor zwei.
- Überwacht System auf Über-und Unterspannung
- Überwacht den Watchdog und Reset-Baustein
- Prüft zyklisch die Sensoren auf richtige Funktion
- Prüft zyklisch den "Gas-blender" auf richtige Funktion
- Läßt den ersten Prozessor zyklisch einen Speichertest machen
- Prüft, ob beim Einschalten Knöpfe Klemmen
- Überwacht ggv. Schutzschaltungen die Über und Unterspannung 
detektieren. bzw. Prüft diese zyklisch.
- Überwacht und prüft, ob Alarmgeber richtig funktionieren.
- Stellt sicher, das das System bei einem Hardware-Fehler in den 
sicheren Zustand geht.
- Gibt Alarm aus, wenn ein Hardware-Fehler auftritt.

Frank B. schrieb:
> 1. Sensor mit ADC erfassen
> 2. Digitales Filter
> 3. Mittelwertbildung
> 4. Berechnen der physikalischen Größe
> 5. Analyse, ob Sensor Daten plausibel sind.
> 6. Kalibrierung der Sensoren
> 7. Überwachung, ob Kalibrierung wirklich stimmt
> 8. Überwachung der Sensoren auf richtige Funktion

Schön und gut, aber wo wird hier Rechenleistung benötigt?
Der Mensch macht doch keine 10.000 Atemzüge pro Sekunde.
Das ist alles vollkommen schnarchlahm aus CPU-Sicht.


> 1. Berechnung der Gasmenge in Abhängigkeit von der Temperatur--> riesige
> Look-Up-Tables

Du brauchst das Atemgas nicht auf 0,0001% genau zu berechnen.
Ganz abgesehen von der Genauigkeit der Sensoren.
1% sollte reichen, d.h. ne Lookup-Table hat max 100 Einträge.
Wenn es ne Formel gibt würde ich aber lieber rechnen, damit die CPU sich 
nicht gar so langweilt.


> Zyklischer Selbsttest, d.h. alle Fehler, die einen gefährlichen Zustand
> herbeiführen können, müssen überwacht werden.
> 1. Speichertest
> 2. Über- und Unterspannung vom Prozessor muß erkannt werden, die
> Überwachungsschaltung muß ebenfalls auf Funktion geprüft werden
> 3. Watchdog vom Prozessor muß vorhanden sein und ebenfalls überwacht
> werden

Auch dazu sagt ein 8-Bitter nur: Gääähn


> Zum GLCD:
> Verschiedene Schriften  --> viel Speicher

LOL, das ist natürlich das wichtigste.
In großen Tiefen ist die Warnehmung eingeschränkt, da hat Lesbarkeit die 
absolute Priorität, Gimmicks sind tabu!
Abgesehen davon, in die 256kB des ATmega2561 passen ne Menge Schriften 
rein.


> Verschidene Knöpfe , Slider, Anzeigen ---> Viel Speicher

Du bist bestimmt Windows-Programmierer, daß Du denkst, Bedienelemente 
sind speicherhungrig.
Du willst bestimmt auch unter Wasser alles über nen Touchscreen 
bedienen.
Das würde ich dann als lebensgefährlich bezeichnen.


> Dazu kommt dann noch die doppelte Redundanz--> Zwei unterschidliche
> Prozessoren verweden, die mit unterschiedlichen Compilern programmiert
> wurden, um zu vermeiden, das ein Compilerfehler bei beiden Systemen den
> selben Fehler herbeiführt.( Am besten ebenfalls von zwei
> unterschiedlichen Entwicklern)

Glaubst Du wirklich, der TO will sich >100k€ Entwicklungskosten ans Bein 
binden?


> Also:
> yC mit DSP-Funktionen
> yC mit viel Rechenleistung (32bit, mit Floating Point Funktionen)
> yC mit viel Speicher

LOL.
Und nochmal LOL.

Du mußt Windows-Programmierer sein, anders ist diese maßlose 
Übertreibung nicht zu erklären.


> Ich würde warscheinlich einen DsPic32 einsetzen....oder etwas von
> Renesas

Aber bloß nicht nen Chip, der massenhaft eingesetzt wird. Könnte ja 
sonst sein, man kriegt zu leicht Hilfe bei Problemen.


Peter

Frank501 schrieb:

>>...Auch hat sich ein AVR aus heiterem Himmel noch nie
>>verrechnet (es sei denn ich habe bei der Programmierung einen Fehler
>>gemacht).
>
> Und um genau das abzufangen gibt es diversität.

Nur, das hilft dir nichts, wenn alle 3 Prozessoren dasselbe Programm 
abarbeiten. Alle 3 Prozessoren durchlaufen dann denselben 
Programmfehler. Deine hochgelobte Redundanz durch mehrere Prozessoren 
ist nichts anderes als ein Selbstbelügen. Du gewinnst dadurch nicht mehr 
Sicherheit. Stecke die Arbeit lieber in einen einzigen Prozessor (oder 
in 2 Prozessoren, die eine strikte Aufgabentrennung haben, wie weiter 
oben von Frank vorgeschlagen), da haben alle mehr davon.

Jede einzelne Berechnung muss untersucht werden, ob es eine Möglichkeit 
für einen Overflow gibt und entsprechende Tests im Programm gemacht 
werden. Das ist in Summe viel sicherer, als nach Redundanz durch mehrere 
parallel am selben problem arbeitende Prozessoren zu schreien.

Um es einmal ins Absurde zu treiben:
Angenommen man hätte irgendwo ein Relais. Nun kann dieses Relais 
ausfallen, die Kontakte können kleben, die Spule kann durchbrennen, die 
Kontakte können abbrennen. Also schaltet man nach dem Relais noch einen 
Sensor, der feststellt ob das Relais geschaltet hat. Soweit so gut. 
Dagegen hat niemand was.
Aber jetzt kommts. Um absolut sicher zu gehen, schaltet man zum Realis 
noch ein weiteres parallel und dahinter dann noch eines, welches 
umgeschaltet wird, wenn das erste ausfällt und so dem ersten Relais die 
Kompetenz entzieht. Natürlich alle mit den entsprechenden Sensoren um 
festzustellen, ob es auch wirklich geschaltet hat.
Anstatt einem einzigen popeligen Relais hat man plötzlich 3 im System. 
Aber hat man dadurch auch einen Sicherheitsgewinn? Das ist es was ich 
bezweifle. Wird das einzige Relais von vorneherein gleich richtig auf 
seine Aufgabenstellung ausgewählt (plus eine Sicherheitsmarge), dann 
braucht es diese Redundanz gar nicht. Sie verkompliziert das 
Gesamtsystem nur und öffnet ein neues Loch für neue Fehler, die man ohne 
diesen komplizierten Klapperatismus gar nicht hätte.

> Und mal ehrlich, wer kann von sich selbst behaupten, daß er in einem
> Programm, welches über das "Hallo Welt" hinaus geht, keinen Fehler
> eingebaut hat?

Das kommt auf das Programm an. Ein Hallo Welt ist natürlich extrem. Aber 
wenn du die Aufgabenstellung im Geiste einmal durchgehst, dann stellst 
du fest, dass von den schwierigeren Dingen, die im wesentlichen alle mit 
dynamischer Speicherallokierung zu tun haben, nichts gebraucht wird. Das 
ist alles mit statischer Allokierung zu machen. Im wesentlichen geht es 
darum Sensorwerte zu holen, die aufgrund von vorgegebenen Formeln 
miteinander zu verknüpfen und mit dem Rechenergebnis Ventile 
anzusteuern. Wenn die Formeln stimmen und so implementiert sind, dass es 
zu keinen Überläufen kommen kann und auch die Charakteristik von 
Gleitkommerechnungen auf einem Computer berücksichtigt werden, dann kann 
es hier zu keinem Fehler kommen. In so einem Gerät berechnet der 
Computer nicht 2 Millionen mal eine Formel mit immer denselben 
Eingangswerten richtig und beim 2 Millionen und erstem mal verrechnet er 
sich.

Wenn ich auf Nummer sicher gehen will, dann gebe ich den kritischen Code 
zu 3 oder 4 anderen Leuten um einen Code-Review zu machen.

Na das mit den mehreren Controllern macht natürlich nur dann Sinn wenn 
darauf programme von verschiedenen Entwicklern mit der selben 
Funktionalität laufen, wie schon oben erwähnt, da geht es ja nicht nur 
um Hardwareredundanz.

Gruß
Tom

Es werden hier unnütze Überlegungen angestellt, als ginge es um ein AKW.
Der TO will doch kein kommerzielles Produkt herstellen, sondern nur 
basteln.

Mit etwas gesunden Menschenverstand geht das auch ohne großes Risiko und 
ganz ohne Sicherheits-Hokuspokus.

Es passiert ja auch mit normalen Atemreglern, daß die ausfallen. Und 
dann wird eben mit der Reserveflasche geatmet oder abwechselnd mit dem 
Tauchpartner.

Es muß also keiner gleich tot umfallen, wenn man mal beim Programmieren 
ein Bit falsch gesetzt hat.


Man könnte natürlich den Atemregler als extra MC realisieren (z.B. 
ATtiny25) und sich bei dessen Programmierung besondere Mühe geben.
Und beim Dekompressionsrechner reicht ne LED, um Steigen oder Halten 
anzuzeigen.

Und dann kann man sich beim MC für den Grafik-Schrunz richtig austoben, 
schlimmstenfalls wird Unsinn angezeigt. Aber er hat keinerlei Einfluß 
auf Lebensfunktionen.


Peter

Erstmal danke fuer die vielen Antworten :-) Zu den hier gestellten 
Fragen:

Ich baue kein Seriengeraet sondern ein Geraet allein fuer mich. Es 
handelt sich immer noch nur um ein Tauchgeraet, nicht um ein AKW und 
nicht um ein Waffenkontrollsystem zur U-Boot-Abwehr lach Die Sprache 
Ada beherrsche ich groesstenteils, habe aber zusaetzlichen noch einen 
guten Kollegen, der sie perfekt beherrscht. Ada hat hervorragende 
Moeglichkeiten zur Selbstanalyse und Prozessueberwachung, die bei C nur 
eingeschraenkt oder mit hoeherem Umfang moeglich sind.

Kurzes Statement zu den Leuten hier, die offensichtlich Ahnung von 
Rebreathertechnik haben: Ich tauche seit 7 Jahren mindestens 80-120 mal 
jaehrlich Kaltwasser, habe alle Scheine bis Full-Trimix OpenCirciut + 
Inspiration-Lizenz fuer Trimix. Mein Eigenbau-Rebreather ist kein 
Marmeladeneimer mit Gartenschlauch :-) Ich hab sehr viel Zeit und 
Energie reingesteckt (mal abgesehen vom Geld) und kann behaupten, das 
jedes Einzelteil knueppelhartem Industriestandard entspricht und 
mindestens 2mal mehr Beanspruchung aushaelt, als im Normalgebrauch je 
auftreten wird.

Unter Redundanz verstehe ich nicht drei Prozessoren, die sich 
gegenseitig ueberwachen. Weil, wie bereits gesagt, wurden alle drei den 
selben Programmfehler lesen und umsetzen.
Redundanz erzeuge ich durch zwei voellig autonom arbeitende Controller, 
sprich das komplette Steuersystem ist zweimal vorhanden. Einzig und 
allein die Sensoren und die Energieversorgung werden gemeinsam benutzt. 
Und die sind mehrfach gegen Wassereinbruch durch Doppelwandung und einer 
Art Entwaesserungspumpe geschuetzt, die bei Wassereinbruch das Wasser 
wieder rausbefoerdert und das Innenleben trocken haelt.
Eine dritte Redundanz ist die Moeglichkeit, die Gaszufuhr zum elektr. 
Steuersystem mittels Sperrventil komplett stillzulegen und das komplette 
System per Handbetrieb ueber Nadel- und Impulsventil zu steuern, um bei 
einem Totalausfall sicher austauchen zu koennen.
Vierte Redundanz waere dann immer noch der Atemregler, um Gas direkt aus 
der Flasche zu atmen.

Reichen vier Redundanzen aus? Halt, die wichtigste hab ich vergessen: 
Nr. 5 ist mein Tauchpartner, der neben mir taucht und mir jederzeit 
seinen Zweitregler zur Verfuegung stellt.

So, zurueck zum Thema. Das MSP430 hab ich auch bereits ins Auge gefasst. 
Wie siehts da mit der Moeglichkeit eines farbigen, grafischen Displays 
aus, welches auch ein paar optische Anzeigen in Form von Manometern oder 
Balken enthalten soll? Wird das nicht ein bisschen eng mit der 
Rechenleistung?

Uwe Heydemann schrieb:

> Wie siehts da mit der Moeglichkeit eines farbigen, grafischen Displays
> aus, welches auch ein paar optische Anzeigen in Form von Manometern oder
> Balken enthalten soll? Wird das nicht ein bisschen eng mit der
> Rechenleistung?

Wenn es Dir darum geht, dass check doch mal Prozessoren der 
xScale-Familie nur dür das Display und Bedienelemente. Das sind die 
selben Prozessoren die in vielen Handhelds drin sind. Da kannst Du 
Grafisch alles mit machen.

Gruß
Tom