看门狗在嵌入式系统中的作用是个什么?



关注公众号,点击公众号主页右上角“ ··· ”,设置星标,实时关注智能汽车电子与软件最新资讯


01

什么是看门狗?

看门狗技术是20世纪80年代由美国半导体巨头AMD公司首次提出,是一种专门用于检测、记录处理器运行状况以及在异常情况下复位的一种技术,随着技术的不断的迭代,看门狗逐渐发展成一类专门的芯片,广泛应用于汽车、工业自动化、物联网等领域。

此狗非彼狗!!!

软件会在执行完特定指令后进行喂狗,若在一定周期内看门狗没有收到来自软件的喂狗信号,则认为系统故障,会进入中断处理程序或强制系统复位。系统上电后根据不同的工作模式可以选择使能看门狗,若看门狗被使能则计数器开始计数,如果在设定的时间内没有及时喂狗则会发生看门狗超时。通过寄存器对看门狗进行基本设置,计数器计算狗叫时间,狗叫模块决定看门狗超时后发出的中断或复位方式。

看门狗发展至今,功能已经发展的比较完善,所以已经有很多比较详细且角度不同的分类,例如按照种类分可以分为硬件看门狗和软件看门狗;按照与单片机集成性可以分为内部看门狗和外部看门狗

02

TLF35584中集成的看门狗

以汽车产品中最通用的英飞凌的TLF35584芯片为例,该电源管理芯片通过了ISO26262的ASILD的认证,并且集成了看门狗模块,该看门狗模块既属于硬件看门狗,同时也属于外部看门狗。由Window Watchdog和Functional Watchdog组成,(后面简化成为WWDFWD

Window Watchdog和Functional Watchdo

  1. 功能看门狗与窗口看门狗不同步,两者完全独立。

  2. 功能看门狗和窗口看门狗可以独立激活和禁用。

  3. 看门狗的结果(有效或无效触发)由相关看门狗故障计数器独立监控。

  4. 窗口看门狗的状态为WWO,其值可能为“有效WWD 触发”或“无效WWD 触发”。

  5. 功能看门狗的状态为FWO,其值可能为“有效FWD 触发”或“无效FWD 触发”。

  6. 两个看门狗的设置对安全状态控制的影响在安全状态控制一章中进行了描述,以便更好地理解。

03

Window Watchdog(WWD)

我们称作窗口看门狗或时间看门狗,首先被监控的控制器(MCU)必须在Open Window期间内触发(就是指喂狗操作),喂狗可以通过 WDI 引脚上的下降沿或通过 SPI 命令写入寄存器 WWDSCMD,具体取决于配置。触发后将终止“Open Window”。看门狗输出指示 WWD 故障计数器的“有效”或“无效”WWD 触发。

如果有效触发,则启动“Closed Window”。如果在“Open Window”期间没有触发或在“Closed Window”期间触发,看门狗输出指示“无效 WWD 触发”到 WWD 失败计数器,并启动新的“Open Window”。

1.WWD工作状态图

Window Watchdog State

  1. “触发”可以是发送到 WWDSCMD 寄存器的 SPI 命令,也可以是 WDI 引脚上的有效看门狗触发

  2. “Long open Window”中“No Trigger”被视为“无效WWD 触发”,看门狗会再次打开一个“Long Open Window”

  3. “Long open Window”内的“触发”被视为“有效 WWD 触发”,看门狗关闭“Long open Window”并打开“Closed Window”

  4. “CLosed Window”内的“触发”被视为“无效WWD触发”

  5. “Closed Window”结束后,“Closed Window”内的“无触发”会将看门狗移至“Open Window”。

  6. “Open Window”内的“触发”被视为“有效WWD 触发”,看门狗关闭“Open Window”并打开“Closed Window”

  7. “Open Window”中的“无触发”被视为“WWD 触发无效”。

2.WDI引脚触发WWD

看门狗输入引脚 WDI 具有集成的下拉电流 IWDI 。看门狗输入 WDI 可以在“Closed Window”内或随后的“Open Window”期间转换为高电平。

WDI引脚

  • WD的有效触发信号

看门狗输入 WDI 以TSAMT周期定期采样。有效触发信号是从VWDIV,高电平到VWDIV,低电平的下降沿。为了提高 WDI 输入上的抗噪声或毛刺的能力,有效触发信号至少需要两个高采样点,然后是两个低采样点,通过测量低信号的第二个连续采样点来考虑有效触发。例如,如果引脚 WDI 处的触发脉冲的前三个采样(两个高一个低)位于“关闭窗口”内,并且仅在“打开窗口”中采集第四个采样(第二个低采样),则看门狗 输出 WWO 将指示“有效 WWD 触发”。

  • WDI 触发无效

在“Open Window”期间未检测到触发信号或在“Closed Window”期间检测到触发信号,均视为无效触发。看门狗输出 WDO 在“Open Window”期间无有效触发后立即指示“无效触发”,或者在“Closed Window”期间检测到触发信号后立即指示“无效触发”。

WDI有效触发和无效触发

3.WWD正常工作——正确触发

正确触发

  1. 如果 ROT(监控微控制器相关电压)的复位输出变高,则“Long Open Window”在 INIT 状态下启动。如果窗口看门狗在睡眠状态下被停用,则第一个Open Window将从睡眠状态转换到唤醒状态(由中断指示)开始。第一个Open Window的时间取决于配置的周期时间,为 600 ms (WDCYC = 1) 或 60 ms (WDCYC = 0)。

  2. 在“Long Open Window”期间,预计会根据配置的触发选择有效触发 WWD。“长Open Window”的最长时间是固定的,但一旦识别到“有效 WWD 触发”,它就会终止。

  3. 窗口看门狗现在将进入“Closed Window”。收到第一个有效触发后,设备将被允许从 INIT 状态移至 NORMAL 状态或从 WAKE 状态移至 NORMAL 状态。

  4. “Closed Window”具有固定的持续时间 tWD,CWt_{WD,CW} (可以通过SPI 命令确定)。它在有效触发信号后立即启动,关闭“Open Window”或“长Open Window”。在“Closed Window”期间不应施加触发信号。不会检测到 WDI 引脚从低电平到高电平的转换,也不会导致触发事件。

  5. 有效的触发信号立即终止“Open Window”,因此“Open Window”的时间是可变的,并且取决于微控制器安排触发的时间。这被视为“有效 WWD 触发”。

4.WWD异常工作——在“Long Open Window”未触发

在Long Open Window未触发

  1. 初始化超时和Long Open Window(LOW)具有相同的典型值。长度。通常这会导致初始化超时在低电平之前或同时完成,这将跳过中断事件 (1)。尽管由于给定的精度,“Long Open Window”内缺少有效触发可能会在低电平结束后导致中断事件,从而使窗口看门狗故障计数器增加 2。

  2. INIT状态定时器第一次超时。由于在 INIT 状态期间未按预期接收到窗口看门狗的有效触发,因此将发出所谓的“软复位”:引脚 ROT 变为零,但后置稳压器的输出电压保持开启状态。附加信息:如果窗口看门狗在接下来的 INIT 阶段的下一个“Long Open Window”内未正确触发,将发出“硬复位”,这意味着引脚 ROT 将变为零,并且输出电压将 也被关闭。在 INIT 阶段第三次无效触发后,设备将进入 FAILSAFE 状态。

  3. 经过上电复位延迟时间trd后,所谓的“软复位”引脚ROT再次变高,看门狗打开一个“Long Open Window”,让微控制器有机会触发并同步到看门狗周期 。

  4. 有效触发终止“Long Open Window”,这使得“Long Open Window”的持续时间可变并取决于触发。这被视为“有效 WWD 触发”并启动“Closed Window”。在不发出中断的情况下,窗口看门狗故障计数器将减 1。

  5. 接下来的“Closed Window”持续时间 tWD,CWt。在此时间内触发将被视为“无效WWD触发”。

5.WWD异常工作——在“ Open Window”未触发

在Open Window未触发

  1. “Open Window”内缺少有效触发,导致窗口结束后出现“无效 WWD 触发”。该事件由中断指示,窗口看门狗故障计数器增加 2。

  2. 检测到“无效 WWD 触发”后,看门狗将启动一个持续时间为 tWD,CWt_{WD,CW} 的新“Open Window”,以使微控制器有机会触发并同步到看门狗周期。

  3. 有效触发终止“Open Window”,这使得“Open Window”的持续时间可变并取决于触发。这被视为“有效 WWD 触发”并启动“Closed Window”。在不发出中断的情况下,窗口看门狗故障计数器将减 1。

  4. 如果“Open Window”内出现多次“无效 WWD 触发”,窗口看门狗故障计数器将再次增加 2,直到达到配置的阈值。在这种情况下,将发出重置命令。

  5. 接下来的“Closed Window”持续时间 tWD,CWt_{WD,CW} 。在此时间内触发将被视为“无效WWD触发”。

引脚 ROT 的行为取决于 ΣWWO 的值。在上面的例子中,假设无效触发不会导致超过阈值ΣWWO。

6.WWD异常工作——在初始化之后的“Closed Window”中错误的触发

  1. “Closed Window”期间的触发被指示为“无效WWD触发”。该事件由中断指示,并且窗口看门狗故障计数器增加 2。

  2. “Closed Window”将因“WWD 触发无效”而关闭。最初它会持续时间 tWD,CWt_{WD,CW} 。错误触发终止“Closed Window”并启动“Open Window”,以使微处理器有机会同步到窗口看门狗周期。

  3. 在此“Open Window”内预计会发生有效触发。有效的触发会终止“Open Window”,这使得“Open Window”的持续时间可变并取决于触发。这被视为“有效 WWD 触发”并启动“Closed Window”。在不发出中断的情况下,窗口看门狗故障计数器将减 1。

  4. 接下来的“Closed Window”持续时间 tWD,CWt_{WD,CW} 。在此时间内触发将被视为“无效WWD触发”。

引脚 ROT 的行为取决于 ΣWWO 的值。在上面的例子中,假设无效触发不会导致超过阈值ΣWWO。

7.WWD异常工作——在稳态“Closed Window”错误的触发

在Close Window中错误的触发

  1. “Closed Window”期间的触发被指示为“无效WWD触发”。该事件由中断指示,并且窗口看门狗故障计数器增加 2。

  2. “Closed Window”将因“WWD 触发无效”而关闭。最初它会持续时间 tWD,CWt_{WD,CW} 。错误触发终止“Closed Window”并启动“Open Window”,以使微处理器有机会同步到窗口看门狗周期。

  3. 在此“Open Window”内预计会发生有效触发。有效的触发会终止“Open Window”,这使得“Open Window”的持续时间可变并取决于触发。这被视为“有效 WWD 触发”并启动“Closed Window”。在不发出中断的情况下,窗口看门狗故障计数器将减 1。

  4. 接下来的“Closed Window”持续时间 tWD,CWt_{WD,CW} 。在此时间内触发将被视为“无效WWD触发”。

  5. 引脚 ROT 的行为取决于 ΣWWO 的值。在上面的例子中,假设无效触发不会导致超过阈值ΣWWO。

04

Functional Watchdog(FWD)

我们称作功能看门狗或问答看门狗。在稳定状态下,会生成一个问题(从表中取出),同时心跳计数器从零开始计数。心跳计数器开始计数,直到心跳周期结束。心跳周期的持续时间可以通过 SPI 命令进行设置和调整。

问题由 4 bits组成,预期答案由 4 个回复组成,每个回复为 8 位。这四个回复应在心跳周期结束之前发送。最后回复应写入同步回复寄存器以重置心跳计数器。

Functional Watchdog的问题与回复

功能看门狗输出 FWO 是一个内部信号:它连接到 FWD 故障计数器。功能看门狗 FWO 输出的值为“有效 FWD 触发”或“无效 FWD 触发”。

1.FWD工作流程图

FWD工作流程图

步骤如下:

  1. 首先判断FWD是否使能;如果未使能,停止并清空心跳计数器值;如果使能,请跳至步骤2;

  2. 开启心跳计数器,并生成初始化问题;

  3. 设置response byte number为3,准备接受第一个回复;

  4. 等待回复值;

  5. 判断心跳计数器是否超时,如果超时,重置心跳计数器,FWD故障计数器加2,请跳至步骤4;如果未超时,请跳至步骤6;

  6. 判断新的回复值是否收到?如果未收到,请跳至步骤4;如果收到了,请跳至步骤7;

  7. 判断是否为最后一个回复?如果不是,将response byte number减1,请跳至步骤4;如果是,请跳至步骤8;

  8. 判断是否同步了回复?如果未同步,请跳至步骤9;如果同步了,重置心跳计数器,也请跳至步骤9;

  9. 判断回复是否正确?如果不正确,请跳至步骤10;如果正确,FWD故障计数器减1,生成新的问题,请跳至步骤3;

  10. 判断是否同步了回复?如果未同步,请跳至步骤3;如果同步了FWD故障计数器加2,也请跳至步骤3。

2.FWD正常工作——正确触发

正确触发模式

步骤如下:

  1. 生成一个新问题,同时心跳计数器开始计数(假设之前发生过“有效 FWD 触发”)

  2. 收到正确的回复(RESP3)

  3. 收到正确的回复(RESP2)

  4. 收到正确回复(RESP1)

  5. 收到正确的同步回复(RESP0)。所有回复均正确,回复顺序正确,并且在心跳计数器溢出之前收到最后一个同步回复。心跳计数器将被重置(设置为零)。这被视为“有效 FWD 触发”,功能看门狗错误计数器 ΣFWO 减 1(如果功能看门狗错误计数器值大于零)

  6. 生成一个新问题,同时心跳计数器开始计数

3.FWD异常工作——同步丢失

同步丢失

步骤如下:

  1. 生成一个新问题,同时心跳计数器开始计数(假设之前发生过“有效 FWD 触发”)

  2. 收到正确的回复(RESP3)

  3. 收到正确的回复(RESP2)

  4. 收到正确回复(RESP1)

  5. 接收到正确的回复(RESP0),但未同步(写入错误的寄存器)。到目前为止,所有回复都是正确的,回复顺序是正确的,并且在心跳计数器溢出发生之前收到了最后一个不同步的回复。心跳计数器不会被重置并继续计数。这被视为“有效 FWD 触发”,功能看门狗错误计数器 ΣFWO 减 1(如果功能看门狗错误计数器值大于零)。生成了一个新问题

  6. 心跳计数器仍在计数,等待新问题的回复。心跳计数器将到期并发生溢出。这被视为“无效 FWD 触发”。这功能看门狗错误计数器 ΣFWO 加 2。心跳计数器复位

  7. 心跳计数器开始计数。,不会产生新问题

4.FWD异常工作——回答错误

回答错误

步骤如下:

  1. 生成一个新问题,同时心跳计数器开始计数(假设之前发生过“有效 FWD 触发”)

  2. 收到正确的回复(RESP3)

  3. 收到正确的回复(RESP2)

  4. 收到错误回复(RESP1)

  5. 收到正确的回复(RESP0), 心跳计数器将被重置(设置为零), 完整的答案是不正确的。这被视为“无效 FWD 触发”。功能看门狗错误计数器 ΣFWO 加 2。心跳计数器复位

  6. 没有生成新问题,但心跳计数器开始计数

注意:如果将Resp2和Resp1混合在一起,则将两个回复视为不正确的,则必须按正确的顺序发送回复。

5.FWD异常工作——回复丢失

回复丢失

步骤如下:

  1. 生成一个新问题,同时心跳计数器开始计数(假设之前发生过“有效 FWD 触发”)

  2. 收到正确的回复(RESP3)

  3. 收到正确的回复(RESP2)

  4. 缺少回复(RESP1)

  5. 收到正确的回复(RESP0)。因此,由于缺少回复(在此示例中为 RESP1),最后一个回复不是最后一个回复,而是倒数第二个回复。功能看门狗将等待所有四个回复被写入,而心跳计数器继续计数。所有四个回复没有固定时间,但必须在心跳计数器到期之前以正确的顺序发送

  6. 由于缺少回复RESP1,完整答案不正确。虽然最后的回复是同步的,但是心跳计数器不会被重置并继续计数,直到发生溢出。这被视为“无效 FWD 触发”。功能看门狗错误计数器 ΣFWO 加 2。心跳计数器复位

  7. 不再生成新问题,心跳计数器开始计数

05

为什么需要Watch Dog?

1.功能安全标准软件部分要求

首先在功能安全标准第6章,7.4.12中提到,应使用看门狗进行软件的时间监控和程序流监控。

ISO26262标准第6章

2.功能安全标准硬件部分要求

在第5章的附录中,也提到了不同看门狗的功能和诊断覆盖率

看门狗的诊断覆盖率

功能安全标准

标准中分别介绍几种看门狗的目标和功能描述,我在这里归纳总结一下在ISO26262中,看门狗作为安全机制的一些用法和要求

看门狗的作用

06

如何使用看门狗?

1.功能安全对看门狗的要求

标准并没有明确给出不同的ASIL等级如何使用看门狗,下面是个人根据自身的项目经验,给出的一些建议,仅供参考。

看门狗监控的使用建议

2.内部看门狗VS外部看门狗

内部看门狗与外部看门狗

3.看门狗监控机制的作用

看门狗监控机制

07

看门狗Autosar架构

1.静态架构

首先看一下Autosar中看门狗功能的静态架构,看门狗在Autosar中属于非常标准的功能,架构层面也比较清晰。

Autosar看门狗静态架构

Autosar的看门狗结构主要有:

内部看门狗:WatchDog Manager,WatchDog Interface, WatchDog Driver,On Chip WatchDog

外部看门狗:WatchDog Manager,WatchDog Interface, SPI,Off Chip WatchDog

分别对应Autosar中的服务层,ECU抽象层,控制器抽象层(MCAL)和硬件

Autosar的看门狗模块

值得注意的是内部看门狗可以通过WatchDog Driver去访问,比较简单;而外部看门狗需要使用SPI通信或者其他方式进行访问,相比内部看门狗复杂一点。

被监控实体(Supervised Entity):就是你想要监控的对象,它可以是一个SWC、运行实体、BSW模块或者复杂驱动。

检查点(Check Point):在被监控实体中的重要的位置插入一些点叫做检查点,后面所有的计算和检查都基于这些检查点。

2.动态架构

如下图所示为Watchdog初始化,触发看门狗喂狗以及改变看门狗模式的的三类函数调用场景。

  1. Watchdog初始化:通过EcuM模块调用函数Wdg_Init来完成Watchdog的初始化配置;

  2. 触发看门狗喂狗:通过WdgM模块调用WdgIf模块提供的函数WdgIf_SetTriggerCondition来触发底层驱动进行喂狗动作;

  3. 改变看门狗模式:通过WdgM模块调用WdgIf模块提供的函数WdgIf_SetMode来实现看门狗模式的改变。

看门狗喂狗过程1

下图为Wathdog 驱动与底层看门狗硬件交互的时序图,可以看出WdgIf_SetTriggerCondition中会继续调用Wdg驱动中函数Wdg_SetTriggerCondition来实现喂狗动作。

看门狗喂狗过程2

08

WatchDog Driver

该模块提供了初始化硬件看门狗,改变操作模式,设置触发看门狗喂狗方式等功能。同时,可以按照该看门狗是否位于芯片内部,可以将位于芯片内部的看门狗称为内部看门狗,位于芯片外部的看门狗称为外部看门狗

不论是内部看门狗还是外部看门狗,对于Watchdog Driver而言其使用的看门狗驱动的API应始终保持一致。只不过内部看门狗而言,其驱动属于MCAL层,而对于外部看门狗则属于ECU硬件抽象层,该外部看门狗驱动需调用MCAL中其他驱动来实现喂狗动作,如GPIO,IIC或者SPI等驱动。

以英飞凌TLF35584为例,需要SPI驱动

TLF35584芯片看门狗系统框图

在AUTOSAR架构中,针对Watchdog Driver而言,定义了看门狗控制模式存在如下三种模式:

  • Off Mode:表示看门狗关闭状态,对于关键安全系统,一般不能将其切换至Off状态,一旦打开将不能被关闭;

  • Slow Mode:表示看门狗的一个长时间喂狗窗口,该模式一般用于系统启动初始化过程中;

  • Fast Mode:表示看门狗的正常喂狗窗口喂狗模式,该模式运用在系统正常运行的过程中。

09

WatchDog Interface

Watchdog If模块全称为Watchdog Interface接口,该接口作为底层Watchdog Driver的抽象,是为了实现底层硬件与软件之间的解耦。

该模块的基本功能仅仅作为底层驱动的抽象层来实现底层看门狗驱动与上层看门狗管理模块的交互,底层看门狗驱动的特性,如窗口控制,时间周期等设置都不能通过Watchdog If模块来完成。


如果超过一个看门狗驱动被上层Watchdog Manager进行管理,那么DeviceIndex将需要被检查,如果出现错误,需要及时上报。

Watchdog If模块整体来说,配置比较简单

函数:

  1. WdgIf_SetMode:设置看门狗模式

  2. WdgIf_SetTriggerCondition:出发喂狗操作

  3. WdgIf_GetVersionInfo:获取看门狗模块的Autosar版本信息

参数:

  1. WdgIfVersionInfoApi:是否使能Autosar版本读取功能

  2. WdgIfDevErrorDetect:手机否使能模块错误Det错误检测功能 TRUE使能, FALSE禁用

  3. WdgIfDeviceIndex:支持多个看门狗驱动的索引

  4. WdgIfDriverRef:当前看门狗的索引

WatchDog Interface参数

10

WatchDog Manager

1.基本工作过程

当Supervised Entities执行时,每当运行到某一Checkpoint时,会调用对应的WdgM接口上报状态。一个Supervised Entity可以拥有一个或者多个Checkpoint,它们在Supervised Entity内部的关联信息构成了一个Graph,也可以叫它Internal Graph,不同Supervised Entities之间的Checkpoints的关联则构成了External Graph。每一种WdgM模式下都可以有多个External Graph,在一个Graph中,可以有多个Initial Checkpoint或者多个Final Checkpoints,这种情况下,无论从哪一个Initial Checkpoint开始这个执行流程都可以,同样,无论在哪个Final Checkpoint结束此次执行流程也是可以的。

一个Supervised Entity可以同时设置多种Supervision机制,基于每一种机制返回的状态,可以计算出当前Supervised Entity的状态,也即Local Status。当每一个Supervised Entity的状态都得到的时候,就能计算出整个MCU的状态了,也即Global Supervision Status。每一种Supervision功能都会返回状态列表,代表正确或者不正确,最后对于每一个Supervised Entity来说会有三个状态,Alive Supervision状态,Deadline Supervision状态,Logical Supervision状态。然后计算出本地状态,也即绿色框所示。最后是红色框所示的全局状态。执行WdgM_CheckpointReached()函数,会更新Deadline Supervision和Logical Supervison的状态,执行WdgM_Mainfunction()更新Alive Supevision的状态。

整体工作过程

2.本地状态更新

Local Supervision Status

  1. 路径1:如果三种监控状态都返回的是正确,并且最近一次记录的本地状态是OK,那么本地状态将停留在OK状态

  2. 路径2:如果上次记录的本地状态是OK,满足任一条件时,本地状态为EXPIRED:至少一个Alive Supervision返回的是incorrect,且容忍度(Tolerance)设置为0 至少一个Dealine Supervision或者Logical Supervision返回的状态时incorrect

  3. 路径3:如果上次记录的本地状态是OK,同时满足以下两个条件时,本地状态为FAILED:至少一个Alive Supervision返回的是incorrect,且容忍度(Tolerance)大于0 所有的Dealine Supervision或者Logical Supervision返回的状态都是correct.

  4. 路径4:如果上次记录的本地状态是FAILED,同时满足以下两个条件时,本地状态保持FAILED:至少一个Alive Supervision返回的是incorrect,且失败次数小于容忍度(Tolerance) 所有的Dealine Supervision或者Logical Supervision返回的状态都是correct. 或者 至少一个Alive Supervision返回的是incorrect,且错误次数大于1 所有的Dealine Supervision或者Logical Supervision返回的状态都是correct.

  5. 路径5:如果上次记录的本地状态是FAILED,同时满足以下两个条件时,本地状态为OK:所有的Alive Supervision返回的是correct,且错误计数器等于1 所有的Dealine Supervision或者Logical Supervision返回的状态都是correct.

  6. 路径6:如果上次记录的本地状态是FAILED,满足以下任一条件时,本地状态为EXPIRED:至少一个Alive Supervision返回的是incorrect,且失败次数等于于容忍度(Tolerance) 至少一个Dealine Supervision或者Logical Supervision返回的状态时incorrect。

  7. 路径7:如果激活后禁用,则设置为DEACTIVATED状态。

  8. 路径8:如果禁用后,Wdg函数没有监控任何SE,则维持为DEACTIVATED状态。

  9. 路径9:如果禁用后激活,则切换到OK状态。

  10. 路径10:WdgM初始化后,在初始化模式激活的SE的本地状态将处在OK状态。

  11. 路径11:如果不在初始化模式激活,SE的本地状态将处在DEACTIVATED状态。

  12. 路径12:如果上一次状态是FAILED,禁用后切换到DEACTIVATED状态。

3.全局状态更新

全局状态更新

  1. 路径1:上次记录的全局状态为OK,当前SE的本地状态为OK或者DEACTIVATED,全局状态保持在OK。

  2. 上次记录的全局状态为OK,当前SE至少有一个本地状态是FAILED,且没有SE状态是EXPIRED,全局状态为FAILED。

  3. 上次记录的全局状态为OK,当前至少有一个SE的本地状态是EXPIRED,且未超过阈值,全局状态为EXPIRED。

  4. 上次记录的全局状态为OK,当前至少有一个SE的本地状态是EXPIRED,且超过阈值,全局状态为STOPPED。

  5. 上次记录的全局状态为FAILED,当前至少有一个SE的本地状态是FAILED,且没有EXPIRED,全局状态将保持在FAILED。

  6. 上次记录的全局状态为FAILED,当前所有的SE的本地状态是OK或者DEACTIVATED,全局状态为OK。

  7. 上次记录的全局状态为FAILED,当前至少有一个SE的本地状态是EXPIRED,且未超过阈值,全局状态为EXPIRED。

  8. 上次记录的全局状态为FAILED,当前至少有一个SE的本地状态是EXPIRED,且超过阈值,全局状态为STOPPED

  9. 上次记录的全局状态为EXPIRED,当前至少有一个SE的本地状态是EXPIRED,且未超过阈值,全局状态将保持在EXPIRED

  10. 上次记录的全局状态为EXPIRED,当前至少有一个SE的本地状态是EXPIRED,且超过阈值,全局状态为STOPPED

  11. 上次记录的全局状态为STOPPED,全局状态将保持在STOPPED

  12. 如果调用WdgIf_SetMode失败,全局状态为STOPPED

  13. 路径13:当WdgM初始化函数调用之后,全局状态为OK

  14. 路径14:如果上一次全局状态为OK,成功调用WdgM_DeInit之后,全局状态为DEACTIVATED。

  15. 路径15:如果上一次全局状态为FAILED,成功调用WdgM_DeInit之后,全局状态为DEACTIVATED。

  16. 路径16:如果上一次全局状态为EXPIRED,成功调用WdgM_DeInit之后,全局状态为DEACTIVATED。

  17. 路径17:如果上一次全局状态为STOPPED,成功调用WdgM_DeInit之后,全局状态为DEACTIVATED。

  18. 路径18:WdgM的全局状态,初始化状态为DEACTIVATED。

11

WatchDog服务工作原理

1.Alive Supervision

1.参数配置

如下图所示为Alive Supervision的监控方式,可以看到对于监控实体SE3中只有有一个Checkpoint3-1

Alive Supervision参数

在上图中我们看到配置Alive Supervision,需要配置下如下四个基本参数:

  1. WdgMExpectedAliveIndications:在给定的时间内某监控实体SE调用WdgM_CheckpointReached函数的次数,即Expected值;

  2. WdgMMaxMargin:调用上述函数的次数的增加的偏移值,即实际值=Expected值+WdgMMaxMargin;

  3. WdgMMinMargin:调用上述函数的次数的减少的偏移值,即实际值=Expected值-WdgMMinMargin;

  4. WdgMSupervisionReferenceCycle:基于WdgM_Mainfunction调用函数周期的次数作为监控参考周期。

2.工作原理

  1. 调用一次WdgM_CheckpointReached --> 发送一次Alive indication --> Alive Counter+1

  2. 通过 WdgMSupervisionReferenceCycle 设定 WdgMSupervisionCycle,应该是它的整数倍

  3. Expected-MinMargin < WdgM_CheckpointReached调用次数 < Expected+MaxMargin,如果超出此范围,报监控错误状态,即会影响到该SE的Local Status状态。

  4. 为了避免出现有时间设定的WdgM_CheckpointReached函数调用次数为0或者1时,可能会出现即使该监控实体不再执行时,也会出现满足许可调用次数的情况,一般设计建议选取WdgM主函数周期及监控实体SE所在任务周期两者之间的最小公倍数来设置监控参考周期,确保每个监控参考周期内的WdgM_CheckpointReached()函数调用次数都是固定值,此时,上下偏差MinMargin和MaxMargin均设为0即可。

2.Deadline Supervision

Deadline supervison主要用于非周期性的监控实体SE,该类监控实体往往都是事件型进行触发,触发之后的监控实体SE执行的时间不能过长,同时也不能过短,这个SE的执行时长就需要通过相应的阈值进行限定,从而来监控其运行状态是否满足设计要求。

1.参数配置

对于每一个SE的Deadline Supervision,两个Checkpoint时必须需要进行配置的,因为Deadline Supervision就是针对两个Checkpoint之间的Transition执行时间进行监控,即针对监控实体SE执行的动态行为进行监控。

如下图所示为SE4的Deadline Supervision监控方式,存在一个Start Checkpoint4-1以及End Checkpoint4-2.

基本参数如下:

  • WdgMDeadlineMin:两个Checkpoint的Transition经历的时间最小值;

  • WdgMDeadlineMax:两个Checkpoint的Transition经历的时间最大值;

如下图所示为SE4的Deadline Supervision监控方式,存在一个Start Checkpoint4-1以及End Checkpoint4-2

Deadline Supervision监控1

下图所示为某个SE实体同时存在多个Checkpoint的场景,在该类场景下,彼此之间不存在多大关联,仅在于相邻Checkpoint之间的执行时间的测量。值得注意的是该类监控的SE中不同Checkpoint不允许存在嵌套行为,如CP Start1, CP Start2, CP End2, CP End1。

Deadline Supervision监控2

2.工作原理

  1. 对于此类监控模式,必须有两种Start Checkpoint以及End Checkpoint两类 Start Checkpoint --> 通过参数 WdgMDeadlineStartRef 设定 End Checkpoint --> 通过参数 WdgMDeadlineEndRef 设定

  2. 需要使用OS Counter去计算两个Checkpoint之间的时间间隔

  3. 为了确定WdgM_CheckpointReached调用时的时间戳以及两个Checkpoint之间Transition的时间,那么调用的函数WdgM_CheckpointReached中需要使用OS功能计算两个Checkpoint之间的时间差距;

  4. 通过两个Checkpoint之间Transition所经历的OS tick时间,并与配置的时间参数WdgMDeadlineMin以及WdgMDeadlineMax进行比较,如果超过限值,则报出该监控实体Deadline Supervision错误

3.Logical Supervision

1.配置过程

对于每一个Logic Supervision,每个Checkpoint之间的Transition便组成了Graph,这些Graph便抽象出了代码逻辑的执行时序流,如下图所示为一个代码正常执行的程序时序流:

Autosar中程序流监控示例

如上图的7个Checkpoint,其简化模型如下图所示:

程序流监控

上图中描述了程序执行可能的路径,每个路径都通过Checkpoint来进行设定,那么便得到了上面所有的可能性,这些Checkpoint的Transition关系需要在配置中进行体现。

2.工作原理

  1. 当程序运行至Checkpoint处,则调用WdgM_CheckpointReached()函数;

  2. 在该函数体内会记录上一次的Checkpoint Id以及两个Checkpoint之间的Transition Id,其中Transition Id根据相邻两Checkpoint计算得到,若相邻Checkpoint之间的Transition不是预期的Transition,那么就会报出该监控实体Logic Supervision的状态错误。

来源:汽车嵌入式



End

关注公众号,点击公众号主页右上角“ ··· ”,设置星标,实时关注智能汽车电子与软件最新资讯

智能汽车电子与软件 专注于汽车电子领域的信息交融平台,涵盖汽车电子行业资讯、市场动态、技术干货、知识见解、行业趋势等资讯深度覆盖。
评论
  • Ubuntu20.04默认情况下为root账号自动登录,本文介绍如何取消root账号自动登录,改为通过输入账号密码登录,使用触觉智能EVB3568鸿蒙开发板演示,搭载瑞芯微RK3568,四核A55处理器,主频2.0Ghz,1T算力NPU;支持OpenHarmony5.0及Linux、Android等操作系统,接口丰富,开发评估快人一步!添加新账号1、使用adduser命令来添加新用户,用户名以industio为例,系统会提示设置密码以及其他信息,您可以根据需要填写或跳过,命令如下:root@id
    Industio_触觉智能 2025-01-17 14:14 121浏览
  • 数字隔离芯片是一种实现电气隔离功能的集成电路,在工业自动化、汽车电子、光伏储能与电力通信等领域的电气系统中发挥着至关重要的作用。其不仅可令高、低压系统之间相互独立,提高低压系统的抗干扰能力,同时还可确保高、低压系统之间的安全交互,使系统稳定工作,并避免操作者遭受来自高压系统的电击伤害。典型数字隔离芯片的简化原理图值得一提的是,数字隔离芯片历经多年发展,其应用范围已十分广泛,凡涉及到在高、低压系统之间进行信号传输的场景中基本都需要应用到此种芯片。那么,电气工程师在进行电路设计时到底该如何评估选择一
    华普微HOPERF 2025-01-20 16:50 73浏览
  • 80,000人到访的国际大展上,艾迈斯欧司朗有哪些亮点?感未来,光无限。近日,在慕尼黑electronica 2024现场,ams OSRAM通过多款创新DEMO展示,以及数场前瞻洞察分享,全面展示自身融合传感器、发射器及集成电路技术,精准捕捉并呈现环境信息的卓越能力。同时,ams OSRAM通过展会期间与客户、用户等行业人士,以及媒体朋友的深度交流,向业界传达其以光电技术为笔、以创新为墨,书写智能未来的深度思考。electronica 2024electronica 2024构建了一个高度国际
    艾迈斯欧司朗 2025-01-16 20:45 405浏览
  •  万万没想到!科幻电影中的人形机器人,正在一步步走进我们人类的日常生活中来了。1月17日,乐聚将第100台全尺寸人形机器人交付北汽越野车,再次吹响了人形机器人疯狂进厂打工的号角。无独有尔,银河通用机器人作为一家成立不到两年时间的创业公司,在短短一年多时间内推出革命性的第一代产品Galbot G1,这是一款轮式、双臂、身体可折叠的人形机器人,得到了美团战投、经纬创投、IDG资本等众多投资方的认可。作为一家成立仅仅只有两年多时间的企业,智元机器人也把机器人从梦想带进了现实。2024年8月1
    刘旷 2025-01-21 11:15 340浏览
  •     IPC-2581是基于ODB++标准、结合PCB行业特点而指定的PCB加工文件规范。    IPC-2581旨在替代CAM350格式,成为PCB加工行业的新的工业规范。    有一些免费软件,可以查看(不可修改)IPC-2581数据文件。这些软件典型用途是工艺校核。    1. Vu2581        出品:Downstream     
    电子知识打边炉 2025-01-22 11:12 46浏览
  • 随着消费者对汽车驾乘体验的要求不断攀升,汽车照明系统作为确保道路安全、提升驾驶体验以及实现车辆与环境交互的重要组成,日益受到业界的高度重视。近日,2024 DVN(上海)国际汽车照明研讨会圆满落幕。作为照明与传感创新的全球领导者,艾迈斯欧司朗受邀参与主题演讲,并现场展示了其多项前沿技术。本届研讨会汇聚来自全球各地400余名汽车、照明、光源及Tier 2供应商的专业人士及专家共聚一堂。在研讨会第一环节中,艾迈斯欧司朗系统解决方案工程副总裁 Joachim Reill以深厚的专业素养,主持该环节多位
    艾迈斯欧司朗 2025-01-16 20:51 195浏览
  • 2024年是很平淡的一年,能保住饭碗就是万幸了,公司业绩不好,跳槽又不敢跳,还有一个原因就是老板对我们这些员工还是很好的,碍于人情也不能在公司困难时去雪上加霜。在工作其间遇到的大问题没有,小问题还是有不少,这里就举一两个来说一下。第一个就是,先看下下面的这个封装,你能猜出它的引脚间距是多少吗?这种排线座比较常规的是0.6mm间距(即排线是0.3mm间距)的,而这个规格也是我们用得最多的,所以我们按惯性思维来看的话,就会认为这个座子就是0.6mm间距的,这样往往就不会去细看规格书了,所以这次的运气
    wuliangu 2025-01-21 00:15 181浏览
  •  光伏及击穿,都可视之为 复合的逆过程,但是,复合、光伏与击穿,不单是进程的方向相反,偏置状态也不一样,复合的工况,是正偏,光伏是零偏,击穿与漂移则是反偏,光伏的能源是外来的,而击穿消耗的是结区自身和电源的能量,漂移的载流子是 客席载流子,须借外延层才能引入,客席载流子 不受反偏PN结的空乏区阻碍,能漂不能漂,只取决于反偏PN结是否处于外延层的「射程」范围,而穿通的成因,则是因耗尽层的过度扩张,致使跟 端子、外延层或其他空乏区 碰触,当耗尽层融通,耐压 (反向阻断能力) 即告彻底丧失,
    MrCU204 2025-01-17 11:30 179浏览
  • 高速先生成员--黄刚这不马上就要过年了嘛,高速先生就不打算给大家上难度了,整一篇简单但很实用的文章给大伙瞧瞧好了。相信这个标题一出来,尤其对于PCB设计工程师来说,心就立马凉了半截。他们辛辛苦苦进行PCB的过孔设计,高速先生居然说设计多大的过孔他们不关心!另外估计这时候就跳出很多“挑刺”的粉丝了哈,因为翻看很多以往的文章,高速先生都表达了过孔孔径对高速性能的影响是很大的哦!咋滴,今天居然说孔径不关心了?别,别急哈,听高速先生在这篇文章中娓娓道来。首先还是要对各位设计工程师的设计表示肯定,毕竟像我
    一博科技 2025-01-21 16:17 95浏览
  • 日前,商务部等部门办公厅印发《手机、平板、智能手表(手环)购新补贴实施方案》明确,个人消费者购买手机、平板、智能手表(手环)3类数码产品(单件销售价格不超过6000元),可享受购新补贴。每人每类可补贴1件,每件补贴比例为减去生产、流通环节及移动运营商所有优惠后最终销售价格的15%,每件最高不超过500元。目前,京东已经做好了承接手机、平板等数码产品国补优惠的落地准备工作,未来随着各省市关于手机、平板等品类的国补开启,京东将第一时间率先上线,满足消费者的换新升级需求。为保障国补的真实有效发放,基于
    华尔街科技眼 2025-01-17 10:44 221浏览
  • 本文介绍瑞芯微开发板/主板Android配置APK默认开启性能模式方法,开启性能模式后,APK的CPU使用优先级会有所提高。触觉智能RK3562开发板演示,搭载4核A53处理器,主频高达2.0GHz;内置独立1Tops算力NPU,可应用于物联网网关、平板电脑、智能家居、教育电子、工业显示与控制等行业。源码修改修改源码根目录下文件device/rockchip/rk3562/package_performance.xml并添加以下内容,注意"+"号为添加内容,"com.tencent.mm"为AP
    Industio_触觉智能 2025-01-17 14:09 161浏览
  • 现在为止,我们已经完成了Purple Pi OH主板的串口调试和部分配件的连接,接下来,让我们趁热打铁,完成剩余配件的连接!注:配件连接前请断开主板所有供电,避免敏感电路损坏!1.1 耳机接口主板有一路OTMP 标准四节耳机座J6,具备进行音频输出及录音功能,接入耳机后声音将优先从耳机输出,如下图所示:1.21.2 相机接口MIPI CSI 接口如上图所示,支持OV5648 和OV8858 摄像头模组。接入摄像头模组后,使用系统相机软件打开相机拍照和录像,如下图所示:1.3 以太网接口主板有一路
    Industio_触觉智能 2025-01-20 11:04 150浏览
  • 嘿,咱来聊聊RISC-V MCU技术哈。 这RISC-V MCU技术呢,简单来说就是基于一个叫RISC-V的指令集架构做出的微控制器技术。RISC-V这个啊,2010年的时候,是加州大学伯克利分校的研究团队弄出来的,目的就是想搞个新的、开放的指令集架构,能跟上现代计算的需要。到了2015年,专门成立了个RISC-V基金会,让这个架构更标准,也更好地推广开了。这几年啊,这个RISC-V的生态系统发展得可快了,好多公司和机构都加入了RISC-V International,还推出了不少RISC-V
    丙丁先生 2025-01-21 12:10 111浏览
  • 临近春节,各方社交及应酬也变得多起来了,甚至一月份就排满了各式约见。有的是关系好的专业朋友的周末“恳谈会”,基本是关于2025年经济预判的话题,以及如何稳定工作等话题;但更多的预约是来自几个客户老板及副总裁们的见面,他们为今年的经济预判与企业发展焦虑而来。在聊天过程中,我发现今年的聊天有个很有意思的“点”,挺多人尤其关心我到底是怎么成长成现在的多领域风格的,还能掌握一些经济趋势的分析能力,到底学过哪些专业、在企业管过哪些具体事情?单单就这个一个月内,我就重复了数次“为什么”,再辅以我上次写的:《
    牛言喵语 2025-01-22 17:10 27浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦