Сторожевой таймер это: Watchdog Timer – что это такое?

Потребность в отказоустойчивых системах

Электронные блоки управления (ЭБУ) находят все большее применение в таких критичных с точки зрения безопасности приложениях, которые должны надежно работать при любых условиях внешней среды. В реальных условиях эксплуатации в программном обеспечении ЭБУ происходят сбои, что может приводить к частичному или полному отказу системы. Использование сторожевого таймера — это наилучший способ вывода системы из неопределенного состояния в безопасный режим.

Причины системных сбоев

В различных приложениях при эксплуа­тации встраиваемых систем наблюдаются два вида отказов: систематические и случайные ошибки. Систематические ошибки означают не­обратимые повреждения в системе, например, разрушение корпуса микросхемы в результате воздействия повышенной вибрации.

Системный монитор — сторожевой таймер

В настоящее время роль системного монитора во встраиваемых системах выполняет специальная логическая схема, называемая сторожевой схемой или сторожевым таймером. Таймер регулярно принимает некоторый системный сигнал «все хорошо». Этот сигнал выполняет функцию восстановления (сброса) сторожевого таймера и может быть реализован в разных формах: например, в виде записи центральным процессором (ЦП) определенного кода в регистр сторожевого таймера или в виде выполнения ЦП специальной команды. Если по истечении определенного времени такой сигнал не поступал, сторожевой таймер генерирует сигнал системного сброса. Минимальная частота, с которой происходит восстановление сторожевого таймера, определяется установленной величиной интервала ожидания.

Работа системы организована таким образом, что сначала встроенная программа сортируется для определения последовательности и времени выполнения команд. Затем процедуры восстановления сторожевого таймера вводятся в код программы таким образом, чтобы интервал между выполнением двух последовательных процедур восстановления не превышал периода ожидания сторожевого таймера. Если происходит сбой программы и ее выполнение нарушается, то процедуры восстановления таймера либо не выполняются вовсе, либо они запускаются через интервал времени, превышающий период ожидания таймера. В этом случае через определенное время сторожевой таймер сгенерирует сигнал системного сброса и вернет систему в известное состояние. Важное требование к сторожевому таймеру — невосприимчивость к программным сбоям.

Проектирование отказоустойчивого сторожевого таймера

При разработке надежной схемы сторожевого таймера следует учитывать следующие рекомендации.
– Разрядность сторожевого таймера должна обеспечивать полный диапазон интервалов ожидания для всех источников тактового сигнала в системе.
– Сторожевой таймер должен работать от отдельного источника тактовой частоты. Желательно, чтобы был использован специальный источник тактовой частоты для сторожевого таймера, например RC-генератор. Это означает, что если даже по каким-либо причинам источник системной тактовой частоты выйдет из строя и система зависнет, сторожевой таймер сможет продолжить работу и выполнить сброс.

Разрядность сторожевого таймера

При проектировании схемы сторожевого таймера необходимо корректно выбрать его разрядность.
Например, для формирования интервалов задержки в диапазоне 1 мс…1 с необходимо учитывать то обстоятельство, что частота источника тактового сигнала для сторожевого таймера может изменяться в широком диапазоне от нескольких кГц (например, RTC-генератор) до сотен МГц (системная тактовая частота).

Независимый источник тактовой частоты

В СТПН имеются два входа тактового сигнала, один из которых подключен к специальному источнику тактовой частоты, например, к встроенному в микросхему RC-генератору. Другим источником тактового сигнала может быть системная тактовая частота. Для приложений, некритичных с точки зрения безопасности, разработчик системы может вместо специального источника тактового сигнала использовать системную тактовую частоту.

Защита от случайной записи

В общем случае в сторожевом таймере предусмотрено несколько битов в регистре управления и конфигурирования, которые используются для настройки, например для разрешения его работы. Так как эти биты непосредственно управляют работой сторожевого таймера, очень важно быть уверенным, что они не будут изменены. Для этого применяют специальную схему защиты от случайной записи. Одним из лучших способов защиты является использование паролей при записи управляющих битов. При этом пароль представляет собой последовательность двух специальных кодов. Обычно между записью двух кодов допускается любой промежуток времени, что означает высокую вероятность повтора пароля в случае сбоя программы.
В схеме СТПН предусмотрено ограничение по интервалу времени между операциями записи двух кодов, что при сбое программы уменьшает вероятность модификации содержимого регистров и отключения сторожевого таймера. Когда время записи ограничено (оно равно времени вызова и выполнения цент­ральным процессором команды записи второго кода пароля), пользователь должен размещать команды записи двух кодов пароля сразу одну за другой. В этом случае при сбое программы после записи первого кода пароля не останется времени для повтора команды записи. Это позволяет выполнить запись второго кода пароля и минимизирует вероятность того, что в результате сбоя последовательность двух кодов будет повторена.
Если интервал между двумя словами пароля превышает несколько циклов тактовой частоты системной шины, сторожевой таймер решает, что произошел сбой и выполняет сброс системы. Время нахождения регистров в разблокированном состоянии также ограничено и приблизительно равно времени однократного конфигурирования регистров, после чего они блокируются снова.

Уникальная схема восстановления

Существуют различные типы механизмов восстановления — простая запись определенного кода (скажем, 0x35), выполнение специальной команды восстановления из набора команд процессора или запись последовательности двух кодов в определенном порядке (например, 0xAA после 0x55). Схема восстановления, использованная для СТПН, представляет собой последовательность двух кодов, но в отличие от существующих схем, в ней установлено предельное время между записью двух чисел. Если записано первое число последовательности и за ним в течение определенного количества циклов системной тактовой частоты не следует записи второго числа, то сторожевой таймер делает заключение о наличии сбоя и производит сброс системы.
Такой подход аналогичен тому, который применяется для описанной выше схемы защиты от случайной записи с помощью паролей. Ограничение интервала времени между записью двух кодов позволяет предотвратить ситуацию, при которой происходит сбой программы и случайное восстановление сторожевого таймера, что затрудняет сброс системы. Кроме того, специальные меры были предприняты для исключения вероятности выбора в качестве кодов последовательности чисел 0x55 и 0xAA, которые обычно используются в тестах записи-чтения памяти. Такие тесты иногда являются частью загрузочного кода, что означает многократное повторение этих чисел в программе.

Оконный режим восстановления

Схема СТПН имеет режим оконного восстановления, что является стандартным для большинства существующих систем.

Быстрая реакция на программный сбой

Как уже было сказано выше, необходимо, чтобы реакция сторожевого таймера на сбой программы была быстрой. Программный сбой — это состояние, когда действия системы не детерминированы, поэтому из него необходимо выйти как можно быстрее. В схеме СТПН для уменьшения времени реакции сторожевого таймера применен упреждающий метод.
Если сбой программы в обычных системах произошел в начале периода ожидания сторожевого таймера, то до того, как будут предприняты соответствующие действия по сбросу системы, может пройти слишком много времени.

Быстрая проверка сторожевого таймера

Стандарты по безопасности, такие как IEC 60730, требуют, чтобы все системы, управляющие функциями, связанными с обеспечением безопасности, были протестированы, причем эти тесты должны быть устойчивы к отказам. Для большинства существующих сторожевых таймеров проводится простой тест на переполнение. Для 32-разрядного таймера, работающего на частоте 1 кГц, тест на переполнение занимает примерно 4 · 10⁶ с, что недопустимо много. При тестировании СТПН производится его разделение на звенья длиной один байт, проверка которых осуществляется независимо друг от друга. На рисунке 5 показана блок-схема, поясняющая концепцию «разделения». На этом рисунке изображен процесс тестирования 3-го звена (байта) таймера.

Каждое звено таймера представляет собой 8-разрядный синхронный счетчик и комбинационную логику, которая формирует сигнал переполнения. Сигнал переполнения действует как сигнал разрешения для N + 1-го звена. В тестовом режиме выбирается отдельный байт, например байт N, затем в байты с 0-го по N – 1-й загружается число 0xFF. Звено N – 1 сразу же формирует сигнал переполнения, который разрешает работу звена N. В процессе работы звена N происходит сравнение с байтом N регистра значения времени ожидания. Таким путем тестируется звено N, а также все связи между звеньями таймера. При тестировании байта N все другие звенья — N – 2, N – 3, N + 1 и N + 2 — заблокированы. Эти заблокированные звенья (за исключением самого старшего звена счетчика) загружены кодом 0xFF. При тактовой частоте 1 кГц последовательное тестирование каждого звена заняло бы 4 × 256 мс (~103 мс) для 32-разрядного значения интервала ожидания, установленного на 1 с, т.е. 0xFFFFFFFF. Фактическое время тестирования будет зависеть от установленного значения времени ожидания.

Подсчет числа сбросов сторожевого таймера

СТПН хранит также количество сгенерированных системных сбросов. Это число доступно программе из специального регистра, который сбрасывается только при включении питания. Когда это число достигает определенного порогового значения, система выполняет некоторые действия помимо обычной реакции на сброс сторожевого таймера.

Заключение

В разработанной схеме сторожевого таймера повышенной надежности введен ряд усовершенствований по сравнению с обычными таймерами. Они касаются схемы восстановления, защиты от случайной записи в регистры управления и контроля, а также тестирования сторожевого таймера. Эта схема сторожевого таймера способна также заблаговременно обнаруживать сбой в программе и обеспечивать быструю реакцию. В целом, СТПН более устойчив к программным сбоям по сравнению с существующими схемами.

Литература

1. Need a watchdog for improved system fault tolerance?//commsdesign.com/showArticle.jhtml?articleID=211600055&pgno=1

Использование сторожевого таймера безопасного микроконтроллера

Скачать PDF

Abstract

Семейство безопасных микроконтроллеров (DS5000FP, DS5001FP, DS5002FP и связанные модули) включает внутренний сторожевой таймер для предотвращения ошибок выполнения кода. Сторожевой таймер использует высокоточный кварцевый генератор, который также используется микроконтроллером. Это устраняет необходимость в RC-генераторе, обеспечивая при этом большую точность.

Обзор

Микроконтроллеры часто используются в суровых условиях, где преобладают переходные процессы питания, электромагнитные помехи (EMI) и электростатические разряды (ESD). Повреждение программы, вызванное повреждением шины и электромагнитными разрядами, может привести к тому, что микропроцессор выполнит ошибочные инструкции. В этих средах сторожевой таймер является полезным периферийным устройством, которое может помочь поймать и сбросить микроконтроллер, вышедший из-под контроля.

Сторожевой таймер — это простой таймер обратного отсчета, который используется для сброса микропроцессора через определенный интервал времени. В правильно работающей системе программное обеспечение будет периодически «приручать» или перезапускать сторожевой таймер. После перезапуска сторожевой таймер начнет отсчитывать еще один заданный интервал. Если программное обеспечение или устройство не работают должным образом, программное обеспечение не перезапустит сторожевой таймер до истечения времени ожидания. Когда сторожевой таймер истечет, это вызовет сброс микроконтроллера. Если системное программное обеспечение было разработано правильно и аппаратный сбой не произошел, сброс приведет к тому, что система снова будет работать правильно. Состояние сброса должно быть «безопасным». Например, было бы неразумно иметь состояние сброса считывателя карт с магнитной полосой, включающее записывающую головку.

Многие системы были разработаны с использованием внешнего сторожевого таймера. Семейство безопасных микроконтроллеров устраняет необходимость во внешних компонентах благодаря встроенному сторожевому таймеру. Перемещая сторожевой таймер внутрь микроконтроллера, количество устройств в системе уменьшается, что повышает общую надежность системы. Сторожевой таймер может использовать преимущества высокоточного кварцевого генератора, используемого микроконтроллером, а не неточного RC-генератора, используемого в большинстве независимых сторожевых таймеров. Работа сторожевого таймера не зависит от микроконтроллера, если только это специально не указано в процедуре Timed Access. Вероятность того, что вышедший из-под контроля микроконтроллер случайно отключит сторожевой таймер, составляет менее 1 из 7,2 × 10 9 .0016 16 . В этом примечании по применению описываются функции и использование сторожевого таймера защищенного микроконтроллера.

Общее использование сторожевого таймера

Основное применение сторожевого таймера – это системный монитор для обнаружения и сброса «вышедшего из-под контроля» микропроцессора. Когда выполнение программы идет наперекосяк, она не будет должным образом выполнять код, который перезапускает сторожевой таймер. В таком случае сторожевой таймер истечет по таймауту и ​​вызовет сброс микроконтроллера. В правильно спроектированной системе сброс исправит ошибку.

Независимо от того, насколько эффективным может быть сторожевой таймер, есть определенные сбои, которые нельзя исправить с помощью сброса. Например, сторожевой таймер не может предотвратить или обнаружить повреждение памяти данных. Если повреждение данных не повлияет на выполнение программы или не будут предприняты какие-либо дополнительные меры, повреждение данных не приведет к тайм-ауту сторожевого таймера. Конечно, программа самодиагностики может быть написана таким образом, чтобы перезапуск сторожевого таймера зависел от проверки памяти данных. Хотя многие приложения реализуют такую ​​схему проверки данных, она выходит за рамки этого документа.

Следует помнить, что сторожевой таймер не может мгновенно обнаружить неисправность. По определению сторожевой таймер должен достичь конца своего интервала ожидания, прежде чем он перезагрузит процессор. Разработчик системы должен знать максимальный интервал времени между выполнением ошибочной команды и сбросом сторожевого таймера.

Размещение инструкций по перезапуску

В семействе безопасных микроконтроллеров сторожевой таймер управляется основными системными часами. Интервал тайм-аута составляет 122 800 машинных циклов (1 473 600 внешних тактовых циклов). По истечении времени ожидания произойдет сброс. В таблице 1 показаны временные интервалы сброса, связанные с различными частотами кристалла.

Основной проблемой является расположение команды сброса сторожевого таймера (установка бита RWT) в программном обеспечении. Наиболее желательным подходом является наличие одного места в основном цикле системного программного обеспечения, которое периодически перезапускает сторожевой таймер. Время, необходимое для прохождения основного цикла программы, должно быть меньше интервала тайм-аута, иначе устройство перезагрузится во время нормальной работы. В некоторых системах, однако, поток программы недостаточно линеен, чтобы можно было разместить одну функцию сброса сторожевого таймера. В код следует поместить несколько функций сброса, соответствующих самым длинным программным путям.

Часто системе необходимо знать, произошел ли сброс сторожевого таймера. Бит WTR (PCON.4) будет установлен каждый раз, когда это происходит, и программное обеспечение может проверить это на ранней стадии последовательности сброса, если произошла системная ошибка. Если это так, система может решить перейти в «безопасный» режим и предупредить пользователя об ошибке.

Пример сброса сторожевого таймера

Ниже показана короткая программа, иллюстрирующая инициализацию и основные функции сторожевого таймера. Он иллюстрирует функцию Timed Access, которая предотвращает случайное изменение битов управления сторожевым устройством. Операция Timed Access — это последовательность шагов, которые должны выполняться последовательно последовательно; в противном случае доступ невозможен. В программе-примере показан доступ по времени, используемый для перезапуска сторожевого таймера и включения его сброса. Дополнительные сведения об операции Timed Access можно найти в Руководстве пользователя защищенного микроконтроллера. Биты сторожевого таймера, защищенные процедурой Timed Access, — это биты включения сброса сторожевого таймера (EWT;PCON.2) и перезапуска сторожевого таймера (RWT;IP.7).

 ; Программа WD_RST.ASM
;
; Эта программа демонстрирует использование сторожевого таймера.
; Во время работы программа рассчитывает на порт 1, чтобы указать, что устройство
; запуск и периодический сброс сторожевого таймера. После подсчета
; до 16, он прекращает сбрасывать сторожевой таймер, имитируя системную ошибку. 
;
; Программа начинает с проверки того, установлен ли бит WTR. Если да, то
; сброс был вызван сторожевым таймером, и программа выполнится
; подпрограмма НЕИСПРАВНОСТЬ. Порт 1 установлен на F0h, чтобы указать это условие.
; Если бит WTR не установлен, сброс был вызван другим источником и
; выполнение должно продолжаться нормально.
;******************************************
RWT EQU 0BFh ;Сброс бита сторожевого таймера
TA EQU 0C7h ;Регистр временного доступа
PCON EQU 87h ;Регистр управления питанием
ACC EQU 0E0h ;аккумулятор
Р1 ЭКВ 090h ;Порт 1
       ORG 00h ;сбросить вектор
       SJMP СТАРТ
;******************************************
       ORG 080h ;В этом примере программа начинается в 80 часов.
START: MOV A, PCON ;Если сброс был вызван тайм-аутом сторожевого таймера,
       JB ACC.4, НЕИСПРАВНОСТЬ ; (бит WTR = 1) выполнить подпрограмму отказа.
;***************************************
;Произошла нормальная перезагрузка при включении питания. Запустите последовательность инициализации. 
       MOV P1, #00h ;Очистите P1, чтобы сигнализировать о начале программы.
;Последовательность инициализации сторожевого таймера
       MOV TA, #0AAh ;Сначала перезапустить сторожевой таймер
       МОВ ТА, #055h ; используя таймер
       СЭТБ РВТ ; доступ.
       MOV TA, #0AAh ;Далее включите сброс сторожевого таймера
       МОВ ТА, #055h ; функция с использованием таймера
       ОРЛ ПКОН, #04h ; доступ.
;***************************************
;Основной цикл программы. Это имитирует программу, которая работает
; правильно, а затем идет наперекосяк. После того, как программа досчитала до 16
; на порту 1 функция сброса сторожевого таймера будет пропущена. Этот
; имитирует отказ и позволяет установить сброс сторожевого таймера.
;***************************************
MAIN: MOV R1, #0FFh ;Создать петлю задержки. Это имитирует
LOOP1: MOV R2, #0FFh ; устройство на самом деле «что-то делает».
LOOP2: JB P1.4, SKIP_WD_RST ;Мы прошли цикл 16 раз?
       MOV TA, #0AAh ;Сброс сторожевого таймера.  В пользовательском приложении это
       МОВ ТА, #055h ; должны быть размещены в стратегически важных местах
       СЭТБ РВТ ; где он будет выполняться периодически.
SKIP_WD_RST:
       DJNZ R2, LOOP2
       JNZ R1, LOOP1
       INC P1 ;Приращение счетчика.
       SJMP MAIN ;возврат к основному циклу программы.
;******************************************
;Сбой тайм-аута сторожевого таймера. Эта подпрограмма обычно имеет специальный
; процедуры, которые должны выполняться в случае сбоя системы. В этом примере
; он отключает сброс сторожевого таймера и устанавливает для порта 1 значение F0h, чтобы указать на неисправность.
; В реальном приложении эта процедура может либо сбросить ошибку, либо
; перезапустите программу или сообщите об ошибке и прекратите дальнейшую работу.
;******************************************
НЕИСПРАВНОСТЬ: MOV P1, #0F0h ;Сигнал неисправности
       MOV TA, #0AAh ;отключить сброс сторожевого таймера
       МОВ ТА, #55h ; используя таймер
       ANL PCON, #0FBh ; доступ. 
       SJMP $ ;Остановить дальнейшую операцию.
 

Резюме

При разработке любой схемы, использующей сторожевой таймер в качестве монитора, необходимо учитывать ряд соображений. После определения периода тайм-аута необходимо проанализировать системное программное обеспечение, чтобы определить, где найти инструкции по перезапуску сторожевого таймера. Для эффективного проектирования количество перезапусков сторожевого таймера должно быть сведено к минимуму, и следует учитывать вероятность неправильного выполнения перезапуска. Как упоминалось ранее, некоторое системное программное обеспечение слишком запутано или зависит от данных, чтобы гарантировать, что все пути потока программного обеспечения будут покрыты перезапуском сторожевого таймера. Это может привести к тому, что может потребоваться программный подход к самодиагностике. Если существует ожидаемый механизм отказа, такой как периодический всплеск электромагнитных помех или сбой питания, время ожидания сторожевого устройства должно учитывать этот период.

Что такое сторожевой таймер (WDT)? – ABLIC Inc.