AUTOSAR-Specification of Watchdog Manager 阅读

1、开门狗管理有三种机制

1.定周期任务实时监控

2.非定周期任务执行时间监控

3.逻辑监控，执行顺序。

2、受监控的实体和检查点

Watchdog Manager监督软件的执行。监督的逻辑单位是受监督的实体。 AUTOSAR，SW-C，CDD，RTE，BSW模块中的架构块之间没有固定的关系，但一般受监督的实体可能表明SW-C中的一个SW-C或可运行的，a BSW模块或CDD取决于开发人员的选择。
受监督实体中的重要位置被定义为检查点。监督实体的代码与看门狗管理器的调用交织在一块儿。
每一个受监督实体都有一个或多个检查点。受监督实体之间的检查点和过渡造成图。该图称为内部图。此外，来自不一样受监督实体的检查点也能够经过外部过渡链接。每一个看门狗管理器模式中能够有几个外部图形。

图表能够具备一个或多个初始检查点和一个或多个最终检查点。 最终检查点是正确的（假设检查点属于同一图表）。 在最终检查点以后，能够报告任何初始检查点。
在Watchdog Manager中，能够配置检查点所需的时间以及容许的外部和内部图形。
在运行时，监视程序管理器会验证是否已执行已配置的图。 这称为逻辑监督。 看门狗管理器所以破坏了检查点和转换的时间。 按期检查点的机制称为“活动监督”，对于非周期性检查点，称为“截止日期监督”

Watchdog管理器不会修复检查点的粒度。 不多粗粒度的检查点限制了Watchdog Manager的检测能力。 看门狗管理器只能检测到它是否可运行并检查时序约束。 相反，若是SW-C在每一个块处具备检查点而且在可运行中具备分支，则看门狗管理器还能够检测该SW-C的控制流中的故障。 高粒度的检查点会致使监视程序管理器的复杂和大型配置

三个监督机制监督每一个受监督实体。 受监督实体能够启用一个，两个或三个机制。 计算受监督实体的状态（称为本地状态）。
肯定监督实体，而后根据每一个监督状态肯定整个MCU的状态（称为全局监督状态）。

 3、监督职能

　　1.Alive Supervision

    按期受监管实体对其在给定时间段内执行的次数有限制。 经过“活动监督”，看门狗管理器会按期检查是否在给定限制内达到了受监管实体的检查点。 这意味着看门狗管理器会检查受监管实体是否运行得不太频繁或不太频繁。

　　2.Deadline Supervision

    非周期性或偶发性受监管实体对两个检查点之间的时间安排有各自的限制。 经过截止期限监督，看门狗管理器检查受监管实体的两个检查点之间的过渡时间。 这意味着Watchodog Manager会检查受监管实体中的某些步骤是否花费的时间不在配置的最小值和最大值之间

　　3.Logical Supervision

    逻辑监督是检查嵌入式系统软件是否正确执行的基本技术。 当须要逻辑监督时，请参考安全标准（IEC 61508或ISO26262）。逻辑监督着重于控制流错误，这些错误会致使在应用程序的无错误执行过程当中偏离有效（即编码/编译）程序序列。 。 若是一个或多个程序指令以不正确的顺序处理甚至根本没有处理，就会发生错误的控制流程。 控制流错误可能致使数据损坏，微控制器复位或违反故障静默性。
对于控制流程图，这意味着每次受监管实体报告新的检查点时，都必须验证在先前的检查点和所报告的检查点之间配置了转换。

4、Watchdog Handling

 

门狗管理器与看门狗接口通讯以控制硬件看门狗。
与版本V1.x.y相比，Watchdog Manager再也不负责经过看门狗接口和看门狗驱动程序触发硬件看门狗。相反，看门狗管理器经过看门狗接口报告看门狗驱动程序的触发条件。而后，看门狗驱动程序负责在条件为真的状况下以正确的时序触发硬件看门狗。触发条件是看门狗管理器循环设置的计数器值。每次触发硬件看门狗时，看门狗驱动程序都会递减此计数器。当计数器达到0时，看门狗驱动程序中止触发硬件看门狗。所以，当看门狗管理器没法执行时，它会自动致使看门狗复位（在递减计数器所需的时间加上HW看门狗的超时值以后）。
看门狗管理器自己可能会发生看门狗管理器错误地设置触发条件而且不会致使看门狗复位的状况。所以，可能须要在Watchdog Manager自己内使用受监督实体和检查点，同时避免在Watchdog Manager中进行递归。

 

5、错误处理

 1.受监管实体中的错误处理

　　若是受监管实体是SW-C或CDD，则看门狗管理器能够经过RTE模式机制将受监管失败通知受监管实体。 而后，受监管实体能够采起措施从该故障中恢复。看门狗管理器能够在检测到监管故障时向诊断事件管理器（DEM）注册一个条目。 受监管实体能够根据该错误条目采起恢复措施。

 

2.分区关机

若是看门狗管理器模块检测到位于不受信任分区中的受监管实体中的监管失败，则看门狗管理器模块能够经过调用BswM来请求关闭分区。

3.由硬件看门狗复位

当看门狗接口再也不触发硬件看门狗时，看门狗管理器向看门狗接口发出指示。 在硬件看门狗重置ECU或MCU以后。 这致使ECU和/或MCU硬件的从新初始化以及软件的彻底从新初始化。

4.当即MCU复位

若是是当即的，看门狗管理器可能直接致使MCU复位。 这将致使MCU硬件和完整软件的从新初始化。 一般，MCU复位不会从新初始化其他的ECU硬件。请注意，某些类型的微控制器上没有MCU复位功能。MCU复位和看门狗复位是系统级错误反应。 在安全相关系统中，建议并行使用它们。 经过这种方式，这两种机制造成“冗余关闭路径”。