【车载开发系列】Autosar框架中的WatchDog

【车载开发系列】Autosar框架中的WatchDog

一. 什么是Watchdog？

Watchdog，又称watchdog timer，是计算机可靠性（dependability）领域中一个极为简单同时非常有效的检测（detection）工具。其基本思想是针对被监视的目标设置一个计数器和一个阈值，watchdog会自己增加计数值，并等待被监视的目标周期性地重置计数值。一旦目标发生错误，没来得及重置计数值，watchdog会检测到计数值溢出，并采取恢复措施（通常情况下是重启）。总结一下就是计数——溢出——触发。

二. WatchDog原理

Watchdog的工作方式是事件触发的，其中时间事件（timeout）最常使用，这也是为什么watchdog又叫做watchdog timer。但无论watchdog统计什么事件，它的思想都是一样的。

三. WatchDog功能

在它正常执行路径上设置一些周期性重置watchdog的点；如果系统发生故障，它可能执行不到下一个重置watchdog的点，此时故障将被watchdog捕捉到。看到这儿，您应该想到watchdog对于检测死循环或死锁这类故障非常有效。

1）硬件支持看门狗

由于单片机的工作环境容易受到外界磁场的干扰，导致程序“跑飞”，造成整个系统无法正常工作，因此，引入了一个“看门狗”，对单片机的运行状态进行实时监测，针对运行故障做一些保护处理，譬如让系统重启。这种Watchdog属于硬件层面，必须有硬件电路的支持。

2）软件支持的看门狗

软件层面Watchdog，用于保护一些重要的系统服务，当出现故障时，通常会让ECU系统重启。由于这种机制的存在，就经常会出现一些系统进程被Watchdog杀掉而发生单片机重启的现象。

四. WatchDog检测目标

Watchdog是一种检测手段，它监视的目标可以是一个进程也可以是整个操作系统。
1）监视一个进程
如果监视目标只是一个进程，那么利用操作系统提供的定时功能即可实现一个watchdog
2）监视一个操作系统
如果要监视操作系统，就得使用操作系统之外的工具，通常是一个附加的计数器。现代Intel CPU都包含的performance counter也可以提供这样的功能，从而不需要额外的设备就能实现监视操作系统的watchdog。

五. AutoSar当中的看门狗

时序是嵌入式系统的一个重要属性。安全行为要求系统的动作和反应在正确的时间内执行。正确的时间可以用一组必须满足的时序约束来描述。然而，AUTOSAR 软件组件本身无法确保正确的计时。
看门狗管理器 (WDGM) 位于AUTOSAR堆栈的服务层，如图所示，看门狗服务分布在 AUTOSAR层中。

看门狗管理器的任务是监督软件的执行，如果发现软件执行中的错误或缺陷，WDGM将采取行动。SWC使用 WDGM提供的服务，使用客户端服务器接口。SWC 是客户端，WDGM是服务器。

六. WdgM的基本功能

WdgM是autosar的一个基础模块，用于监控supervised entitiese(SE)程序流
WdgM在运行时监视用户软件，并将预先配置的逻辑和时间约束与实际的逻辑和时间行为进行比较。 WdgM可以监控以下违规事件WdgM可以监控以下软硬件故障:
1.时间限制(通过deadline监控和alive监控两种模式)
2.程序流程限制(通过逻辑监控)
WdgM通过接口(WdgIf)和驱动层(Wdg)周期性触发看门狗设备,当WdgM检测到程序流或定时故障，然后它停止看门狗触发，或立即启动微控制器复位或延迟后，这取决于WdgM配置

七. WdgM的分层架构

WdgM模块是按照AutoSAR标准中定义的分层架构进行设计的。该分层架构包括以下几个层级：

1）WdgIf

它是将WdgM和Wdg Driver联系起来的中间层，他将底层进行抽象供上层调用，同时将WdgM的控制操作传递给底层Wdg

2）WdgM

它是实现WDG模块功能的核心模块，其有如下的作用：
1.提供用户操作的API。
2.判断各Supervision Entity的Local Status，汇总得到整个WDG的Global Status。
3.提供故障处理和喂狗。
4.下发指令给下层WdgIf，并获取其反馈结果。

3）Wdg Driver

它是Wdg底层驱动，控制其运行模式，可以设置为Slow Mode、Fast Mode和OFF Mode。

八.  SE监督实体

SE的全称是Supervision Entity。在WdgM模块里，SE是执行功能的最小单位，其位于SWC中，监督软件组件的运行状态。
SE由Checkpoint、Alive Supervision、Deadline Supervision和Logical Supervision组成。

1）Check Point

Check Point相当于在程序中设置的检查点，无论哪种判断逻辑，都需要它的存在。
即使该SE中有Checkpoint，但无Supervision，配置工具将不生成该SE，因为其无实际作用。
SE的状态体现为Local Status，其取决于其下的各种Supervision状态

2）Alive Supervision

通过计算程序运行时检查点出现的个数，然后与期望值进行比较，如果超出容差范围，就报错，对CPU进行刷新。计数的方式有两种，可以是对多段程序内的总检查点数进行统计，也可以是对一段程序多次运行时出现的总检查点数进行统计。

3）Deadline Supervision

原理：对起始点和终止点之间程序所花费的时间进行计算，超出容差范围，就报错，对CPU进行刷新。

4）Logical Supervision

原理：对程序的执行顺序进行监测，基于检查点出现的顺序。如果顺序不对就报错，对CPU进行刷新。并且存在两种Logical，分为内部和外部，如果检查点全部位于同一个SWC中，就是内部Logical，如果检查点位于多个SWC中，就是外部Logical。

九. Mode

WDG可以有多个Mode，不同的Mode有不同的检测对象和参数
不同Mode可以共享相同的Supervision Entity
Wdgm_SetMode  Api可用于切换Mode
Mode切换将导致SE的状态改变
WDG模块主要提供以下服务/API：
初始化：Wdg_Init
设置模式：Wdg_SetMode
设置触发条件（设置超时时间/喂狗）：Wdg_SetTriggerCondition