AUTOSAR-Specification of Watchdog Manager 閱讀

1、開門狗管理有三種機制

1.定週期任務實時監控

2.非定週期任務執行時間監控

3.邏輯監控，執行順序。

2、受監控的實體和檢查點

Watchdog Manager監督軟件的執行。監督的邏輯單位是受監督的實體。 AUTOSAR，SW-C，CDD，RTE，BSW模塊中的架構塊之間沒有固定的關係，但一般受監督的實體可能表明SW-C中的一個SW-C或可運行的，a BSW模塊或CDD取決於開發人員的選擇。
受監督實體中的重要位置被定義爲檢查點。監督實體的代碼與看門狗管理器的調用交織在一塊兒。
每一個受監督實體都有一個或多個檢查點。受監督實體之間的檢查點和過渡造成圖。該圖稱爲內部圖。此外，來自不一樣受監督實體的檢查點也能夠經過外部過渡鏈接。每一個看門狗管理器模式中能夠有幾個外部圖形。

圖表能夠具備一個或多個初始檢查點和一個或多個最終檢查點。 最終檢查點是正確的（假設檢查點屬於同一圖表）。 在最終檢查點以後，能夠報告任何初始檢查點。
在Watchdog Manager中，能夠配置檢查點所需的時間以及容許的外部和內部圖形。
在運行時，監視程序管理器會驗證是否已執行已配置的圖。 這稱爲邏輯監督。 看門狗管理器所以破壞了檢查點和轉換的時間。 按期檢查點的機制稱爲「活動監督」，對於非週期性檢查點，稱爲「截止日期監督」

Watchdog管理器不會修復檢查點的粒度。 不多粗粒度的檢查點限制了Watchdog Manager的檢測能力。 看門狗管理器只能檢測到它是否可運行並檢查時序約束。 相反，若是SW-C在每一個塊處具備檢查點而且在可運行中具備分支，則看門狗管理器還能夠檢測該SW-C的控制流中的故障。 高粒度的檢查點會致使監視程序管理器的複雜和大型配置

三個監督機制監督每一個受監督實體。 受監督實體能夠啓用一個，兩個或三個機制。 計算受監督實體的狀態（稱爲本地狀態）。
肯定監督實體，而後根據每一個監督狀態肯定整個MCU的狀態（稱爲全局監督狀態）。

 3、監督職能

　　1.Alive Supervision

    按期受監管實體對其在給定時間段內執行的次數有限制。 經過「活動監督」，看門狗管理器會按期檢查是否在給定限制內達到了受監管實體的檢查點。 這意味着看門狗管理器會檢查受監管實體是否運行得不太頻繁或不太頻繁。

　　2.Deadline Supervision

    非週期性或偶發性受監管實體對兩個檢查點之間的時間安排有各自的限制。 經過截止期限監督，看門狗管理器檢查受監管實體的兩個檢查點之間的過渡時間。 這意味着Watchodog Manager會檢查受監管實體中的某些步驟是否花費的時間不在配置的最小值和最大值之間

　　3.Logical Supervision

    邏輯監督是檢查嵌入式系統軟件是否正確執行的基本技術。 當須要邏輯監督時，請參考安全標準（IEC 61508或ISO26262）。邏輯監督着重於控制流錯誤，這些錯誤會致使在應用程序的無錯誤執行過程當中偏離有效（即編碼/編譯）程序序列。 。 若是一個或多個程序指令以不正確的順序處理甚至根本沒有處理，就會發生錯誤的控制流程。 控制流錯誤可能致使數據損壞，微控制器復位或違反故障靜默性。
對於控制流程圖，這意味着每次受監管實體報告新的檢查點時，都必須驗證在先前的檢查點和所報告的檢查點之間配置了轉換。

4、Watchdog Handling

 

門狗管理器與看門狗接口通訊以控制硬件看門狗。
與版本V1.x.y相比，Watchdog Manager再也不負責經過看門狗接口和看門狗驅動程序觸發硬件看門狗。相反，看門狗管理器經過看門狗接口報告看門狗驅動程序的觸發條件。而後，看門狗驅動程序負責在條件爲真的狀況下以正確的時序觸發硬件看門狗。觸發條件是看門狗管理器循環設置的計數器值。每次觸發硬件看門狗時，看門狗驅動程序都會遞減此計數器。當計數器達到0時，看門狗驅動程序中止觸發硬件看門狗。所以，當看門狗管理器沒法執行時，它會自動致使看門狗復位（在遞減計數器所需的時間加上HW看門狗的超時值以後）。
看門狗管理器自己可能會發生看門狗管理器錯誤地設置觸發條件而且不會致使看門狗復位的狀況。所以，可能須要在Watchdog Manager自己內使用受監督實體和檢查點，同時避免在Watchdog Manager中進行遞歸。

 

5、錯誤處理

 1.受監管實體中的錯誤處理

　　若是受監管實體是SW-C或CDD，則看門狗管理器能夠經過RTE模式機制將受監管失敗通知受監管實體。 而後，受監管實體能夠採起措施從該故障中恢復。看門狗管理器能夠在檢測到監管故障時向診斷事件管理器（DEM）註冊一個條目。 受監管實體能夠根據該錯誤條目採起恢復措施。

 

2.分區關機

若是看門狗管理器模塊檢測到位於不受信任分區中的受監管實體中的監管失敗，則看門狗管理器模塊能夠經過調用BswM來請求關閉分區。

3.由硬件看門狗復位

當看門狗接口再也不觸發硬件看門狗時，看門狗管理器向看門狗接口發出指示。 在硬件看門狗重置ECU或MCU以後。 這致使ECU和/或MCU硬件的從新初始化以及軟件的徹底從新初始化。

4.當即MCU復位

若是是當即的，看門狗管理器可能直接致使MCU復位。 這將致使MCU硬件和完整軟件的從新初始化。 一般，MCU復位不會從新初始化其他的ECU硬件。請注意，某些類型的微控制器上沒有MCU復位功能。MCU復位和看門狗復位是系統級錯誤反應。 在安全相關係統中，建議並行使用它們。 經過這種方式，這兩種機制造成「冗餘關閉路徑」。