单片机的可靠性设计——看门狗

一个看门狗什么也干不了，但是能让单片机也什么都干不了。

这是个段子，看门狗是单片机可靠性设计的重要组成部分。看门狗的作用是在单片机程序跑飞或死机时，为单片机系统复位信号，从而重启系统。虽然没人会将单片机程序设计成挂起或死机状态，但是优秀的设计师总会未雨绸缪，为各种意想不到的故障现象做好准备。看门狗功能在远程控制等无人值守的应用中尤其重要，因为在这些产品中，手动重启几乎​是不可能的。

看门狗的用途 看门狗这个名字起得很形象，这个芯片就像一只卡哇伊的小狗崽。一天三顿饭（定时喂狗）必须要吃。假如主人睡着了（单片机死机了），一天三顿饭有一顿饭吃不上，就会狂吠（输出复位信号），直到把主人唤醒（单片机重启）​。所以单片机有了看门狗之后，要做得事就是定时喂狗​。

单片机内置看门狗 以STM单片机为例，其内置了两个看门狗，独立看门狗IWDG和窗口看门狗WWDG。独立看门狗 有独立的时钟源，在系统时钟故障时可以起到复位的作用。所以这个看门狗用来监控硬件故障。

IWDG的时钟拓扑

窗口看门狗 用来监控由外部干扰或者程序逻辑错误导致的软件故障，但当系统时钟出现问题时，窗口看门狗也会失去作用。所以这个看门狗用来监控软件故障。虽然单片机内部有两个双保险，但是往往内部集成的看门狗不能总是像期望的那样工作，因为导致MCU故障的代码问题，会有意无意的禁用看门狗定时器。

软件毕竟没有纯硬件可靠。

硬件看门狗 硬件看门狗作为单片机外部复位电路的升级版，在高可靠的控制系统中有着广泛的应用。

硬件看门狗的功能框图

因为常见的看门狗芯片都具备电源监控功能，所以TI将看门狗芯片归为电源管理芯片-电源监控和复位芯片 这一类。

TI电源监控及复位芯片产品图谱

下面是一个最基础的硬件看门狗芯片的内部结构图，由R2 R3 参考电压源及施密特触发器组成的比较器电路，​用于监控电源电压。此外，内置了看门狗定时器​监控喂狗信号。并提供高电平复位和低电平复位两种复位方式，以适用不同类型的单片机。

普通的看门狗芯片的功能框图

除此之外，还有很多更能强大的看门狗芯片。例如可编程喂狗时间、可编程电压检测、复位按键功能、窗口比较看门狗等。​可根据实际需要及安全要求等级来选择。

单片机学习之你养的狗都养对了没？小哥教你看门狗

单片机编程：如何样狗的灵魂拷问

[导读] 单片机程序写那么多，看门狗狗天天见，你的狗狗养的对么？不停的喂狗，只要狗不叫就完了吗？真是这样么？事实上可能不是你想的那么简单.....

啥叫看门狗？

看门狗也称为看门狗定时器，本质上是一种定时电路或者软件定时器机制。

工作原理：

看门狗的硬件组件是一个计数器，该计数器设置为某个值，其次递减至零。 软件有责任经常将计数设置为其原始值，以确保计数永远不会到达零。 假如的确到达零，则认为软件已以某种方式发生故障，并且CPU已复位。

///插播一条：我自己在今年年初录制了一套还比较系统的入门单片机教程和毕业设计指导，想要的同学找我拿就行了免費的，私信我就可以哦~点我头像绿色字体加我也能领取哦，记得口令小哥///

正常工作时，单片机或处理器或者线程，周期性设置看门狗定时器的定时值，通俗讲也称为喂狗。定时器则在后台不断的计数，假如定时时长到了且没有再次喂狗，则狗叫，意味着一些不寻常的事情发生了！此时，狗狗对外发出指令，执行相应的动作。这里所谓的动作究竟是什么？取决于现实中系统的设计。常见的看门狗芯片则会发出复位信号给单片机或者处理，对于软件定时器而言，详细会有何种动作，则灵敏多变，详细取决于采用何种安全策略。

反言之，一个一直正常工作的系统，其看门狗总是被喂养的很好，不会饿了狂叫。

注：看到有的文章把重置看门狗定时器叫踢狗(kick watchdog)，嗯嗯，这不太好，要对狗狗好一点，不要踢，叫喂养吧～～～

看门狗机制在电子系统中作用非常之重要，这里举个极端的栗子，火星车假如程序挂了，就相当于失联，假如没有看门狗电路。你想象一下是什么场景，没法通讯没法唤醒，秒变太空垃圾～～～

能看住哪些错误呢？

栈或堆溢出，程序跑飞

某段程序异常没法返回或陷入死循环

强电磁干扰破坏数据导致系统异常，这你或许不好了解，你就想象一下军事领域，或者航空航天领域很多电子系统，常工作在强电磁干扰环境中

bug导致的系统宕机，或者死循环

多任务系统中死锁

......

理由万万千，憋慌！你还有个好狗狗在帮你，让看门狗来收拾残局吧。在一个复杂的嵌入式系统中，不可能保证没有bug，但是通过运用看门狗，您能够保证没有任何bug会没限期地挂起系统。

狗叫后该咋整？

常见的处理策略有哪些呢？

系统复位，大部分人都有的体验，系统挂了咋整，重启。不由想起了刘欢的<>～～～

失效安全，老外常叫fail-safe 模式。就是设备即便出现致命故障了，也别造成安全事故。粗鲁点说，就是挂了，也不要影响他人。不易了解，举个例子，一个正在下降的电梯，加入看门狗检测到程序异常了，安全的做法是赶紧停下电机转动，否则自由落体，就要凉凉啦。这在IEC61508 功能安全规范，或者医疗安全规范、汽车安全规范中都有体现。

这一种做法值得举荐，芯片复位后，利用芯片复位状态寄存器值，对由于看门狗复位事件计数，事不过三，假如不间断三次此类复位，则保守做法就是将系统切换到安全状态或显示错误音讯，这样能够避免没限重新启动。

....取决于详细的设计策略

假如我们希望系统快捷恢复，应该采用看门狗复位后的初始化比正常加电初始化短的策略。 也就是说跳过设备的一些自检。 当然，在某些系统中最好进行全面自检，由于看门狗超时的根本理由可能是通过此类硬件异常导致的。

该咋喂狗呢?

对于裸机程序而言，我推荐了下面两种处理策略：故障检测式喂狗，故障检测加强式喂狗。

故障检测式喂狗

对于一个裸奔单片机程序而言，能够在喂狗时同时检测一些重要关键的运行时状态，假如栈深度、缓冲区、重要关键功能链的硬件（如传感器、执行机构等）,如这些状态异常，则记录错误状态，将设备至于功能安全状态。

故障检测加强式喂狗

啥叫序列检测式喂狗呢？IEC61508中有种范式叫sequence check,有点邪乎？看下图，你就马上明了了。

将是将main函数的主体重要关键功能块，设置一个序列标记，假如假如序列出错就做安全故障处理，正确则继续下一块的执行。在喂狗的时候，看下序列是否正确，正确就喂，否则就做错误处理，或者干脆让狗叫也是一种方式。

对于多任务实时系统而言，有这样一些不一样的需求：

检测操作系统是否正确运行

在所有任务中检测是否有死循环

检测涉及两个或多个任务的死锁

检测由于高优先级任务占用CPU而导致某些低优先级任务无法运行

....

母狗带一群仔喂狗法

取这个名字有点俗了，哈哈。为了方便理解，就这么叫吧，依然上个图了在解释吧：

达到策略描述：

watchdogTask可看成狗窝，里面住了一堆狗，其中硬件看门狗是母狗，子任务软件看门狗为小狗仔。每个子任务须要在每一个loop循环喂一次狗（当然现实中达到时也能够加入任务故障检测式喂狗），在watchdogTask每一个循环都对所有软件看门狗递减，假如溢出则软狗叫了，须要做异常处理（复位或进入失效安全模式）。假如所有的软件狗都没有溢出，则喂硬件看门狗（可能是单片机内置或外置芯片）

现实中达到时须注意：

·watchdogTask应选取最高优先级

·每个loop应调用os_delay一定时长，以出让CPU时长给其他task运行。挂起的时长应小于最大硬件看门狗延时时长。

·须合理安排各任务的优先级

·不要在中断以及其他函数中私自喂狗。

狗多久叫合理呢

过短之痛

看门狗定时器定时时长设置过短，则系统容易误判，可能会导致频繁复位或进入失效安全模式。由于任何一条安全链的好坏取决于它最单薄的一环，假如选择一个太短的超时长隔。固件的循环时长是动态的，尤其外部的异步事件比较多，或者有中断嵌套的情况，则波动会比较大，所以须要考虑最坏情况，系统循环一次要多久。

多长之害

一种方法是选择一个几秒钟长的间隔。当您仅尝试复位一个的确挂起的系统，但不希望对系统的时长进行详细钻研时，能够采用此策略。这是一个健壮的方法。但有些系统须要快捷恢复，这就造成故障诊断过慢的危害了，尤其在一些对安全要求极高的场合，假如核电系统，汽车电子系统、医疗器械系统等等。

所以现实中设计时须要兼顾最坏情况下，尽量选择相对较短的定时时长，在两者中寻找一个均衡。

总结一下

对于单片机编程而言，其实对嵌入式Linux甚至在数据库中，看门狗策略都有大量的应用，怎么样合理的运用看门狗，对于设计一个健壮的电子系统而言是非常重要的一个话题。

需要学习单片机的朋友 ，做毕业设计的同学，参加竞赛，关注我们，口令小哥，与导师一起学习成长，共同进步，还有更多资料领取。

说了这么多，大家记得留意下方评论第一条（或者私信我）有干货~

-END-

*本文系网络转载，版权归原作者所有，如有侵权请联系删除

相关问答

单片机复位主要包括:1、上电复位又分为内部复位电路和外部复位电路。不论哪种电路,都相当于在上电时,给单片机的复位引脚施加一个一定宽度的脉冲电平(因单...

单片机运行出错,或者陷入死循环,有可能是硬件电路原因,也有可能是程序原因。一、排除电路故障当单片机运行出错,直观的表现就是电路中某一部分不能正常工作...