WO2022168291A1

WO2022168291A1 - ウォッチドッグタイマ装置

Info

Publication number: WO2022168291A1
Application number: PCT/JP2021/004482
Authority: WO
Inventors: 直彦下山
Original assignee: サンケン電気株式会社
Priority date: 2021-02-08
Filing date: 2021-02-08
Publication date: 2022-08-11
Also published as: JPWO2022168291A1; CN116249968A; US20230236914A1

Abstract

割り込みを発生するメソッドと、リセットを発生するメソッドとをそれぞれ最適化することができるウォッチドッグタイマ装置を提供することにある。　ＣＴＯＡとＣＴＯＢとを受け付けて保持するカウント値受付部（２）と、ＷＤＴモードではカウントクリア要求ＣＣＲＡが入力されることなく、ＣＴＯＡを初期値とするダウンカウントでカウント値が「０」になるとタイムアウトを判定すると共に、ＲＴモードではカウントクリア要求ＣＣＲＢが入力されることなく、ＣＴＯＢを初期値とするダウンカウントでカウント値が「０」になるとタイムアウトを判定するカウンタ（３）と、初期状態ではＷＤＴモードに設定し、ＷＤＴモードでのタイムアウトの判定によってＲＴモードに遷移させ、ＲＴモードでのカウントクリア要求ＣＣＲＢの入力によってＷＤＴモードに遷移させるモード設定部（４）と、を備える。

Description

ウォッチドッグタイマ装置

　本発明は、マイクロコンピュータ、ＣＰＵ等の監視対象装置の異常を監視するウォッチドッグタイマ装置に関する。

　システムに搭載されたマイクロコンピュータ、ＣＰＵ等の監視対象装置の動作状態を監視する電子デバイスとして、ウォッチドッグタイマ装置が用いられている。ウォッチドッグタイマ装置は、設定されたタイムアウト時間をカウントすると、監視対象装置の動作に異常が生じていると判定し、監視対象装置を再起動させるリセット信号を出力する。従って、監視対象装置は、正常な動作状態において、ウォッチドッグタイマ装置のカウントをクリアさせるクリア信号をタイムアウト時間が経過する前に出力し、リセット信号の出力を防止する。

　また、特許文献１では、１回目のタイムアウトではＮＭＩ（Non-maskable interrupt）割り込みを発生させ、２回目のタイムアウトの発生でリセット信号を出力するウォッチドッグタイマ装置が提案されている。これにより、ＮＭＩが発生したことを示す情報のフラグを設定し、ＮＭＩ割り込み処理で、プロセッサを搭載したシステムのハードウェアの故障またはプログラムのエラーに起因するソフトウェアの無限ループ状態の時の異常な状態のプロセッサの障害を検出し、修復を行うことができる。

韓国特許公開第１０－２００６－００６１００９号公報

　しかしながら、従来技術では、ＮＭＩ割り込みを発生する１回目のメソッドと、リセット信号を出力する２回目のメソッドとが同じロジックで実行され、それぞれのメソッドを個別に最適化することができないという問題点があった。

　すなわち、監視対象装置の動作状態を監視する１回目のタイムアウト時間と、監視対象装置の暴走の原因の解析や停止・復帰処理に必要な時間（２回目のタイムアウト時間）は異なるが、従来技術では、１回目と２回目とで同じタイムアウト時間に設定されている。

　また、従来技術では、１回目と２回目のカウントが同じクリア信号でクリアされるため、監視対象装置が１回目のＮＭＩ割り込みを受け付けずに動作を継続している場合に、復帰処理を行わずにクリア信号が出力されてしまうとリセットが発生しなくなるという問題点があった。

　本発明の目的は、従来技術の上記問題を解決し、割り込みを発生するメソッドと、リセットを発生するメソッドとをそれぞれ最適化することができるウォッチドッグタイマ装置を提供することにある。

　本発明のウォッチドッグタイマ装置は、監視対象装置の動作状態を監視し、タイムアウトで前記監視対象装置にリカバリー処理を指示する割り込みを発生する第１モードと、前記監視対象装置が実行する前記リカバリー処理を監視し、タイムアウトで前記監視対象装置を再起動させるリセットを発生する第２モードとを備えたウォッチドッグタイマ装置であって、前記第１モードでタイムアウトを判定するメソッドと、前記第２モードでタイムアウトを判定するメソッドとを異なるロジックで実行することを特徴とする。

　本発明によれば、割り込みを発生するメソッドと、リセットを発生するメソッドとを、監視対象装置１０の動作状態の監視と、監視対象装置１０の暴走の原因の解析や停止・復帰処理等のリカバリー処理とに対応させてそれぞれ最適化することができるという効果を奏する。

本発明に係るウォッチドッグタイマ装置の実施の形態の構成例を示す構成図である。図１に示すウォッチドッグタイマ装置のカウント動作を説明するタイミングチャートである。図１に示すウォッチドッグタイマ装置のカウント動作を説明するタイミングチャートである。図１に示すウォッチドッグタイマ装置のカウント動作を説明するタイミングチャートである。

　以下、図を参照して本発明の実施の形態を詳細に説明する。なお、以下の実施の形態において、同様の機能を示す構成には、同一の符号を付して適宜説明を省略する。

　本実施の形態のウォッチドッグタイマ装置１（以下、ＷＤＴ装置１と称す）は、マイクロコンピュータ、ＣＰＵ等の監視対象装置１０の動作状態を監視し、タイムアウトで
監視対象装置１０に暴走の原因の解析処理や停止・復帰処理等のリカバリー処理を指示する割り込みを発生するウォッチドッグタイマモード（以下、ＷＤＴモードと称す）と、監視対象装置１０が実行するリカバリー処理を監視し、タイムアウトで監視対象装置１０を再起動させるリセットを発生するリセットタイマモード（以下、ＲＴモードと称す）とを備えた電子デバイスである。

　ＷＤＴ装置１は、図１を参照すると、カウント値受付部２と、カウンタ３と、モード設定部４とを備えている。ＷＤＴ装置１は、例えば、各回路（カウント値受付部２、カウンタ３及びモード設定部４）が半導体にて集積化された半導体集積回路により構成されている。

　カウント値受付部２は、レジスタ等の記憶回路を備え、ＷＤＴモードでカウントの初期値とするカウントタイムアウトカウント値Ａ（ＣＴＯＡ）と、ＲＴモードでカウントの初期値とするカウントタイムアウトカウントＢ（ＣＴＯＢ）とを監視対象装置１０から受け付けて保持する。なお、ＣＴＯＡ及びＣＴＯＢは、監視対象装置１０以外の上位装置や外部装置から受け付けるようにしても良く、

　カウンタ３は、監視対象装置１０からのカウントイネーブル（ＣＮＴＥ）のアサ―ト（Ｈｉｇｈ）で、内部もしくは外部のクロック信号（分周クロック信号）に基づいて、初期値からダウンカウントを行う。そして、カウンタ３は、ダウンカウント中に監視対象装置１０からカウントクリア要求が入力されることなく、カウント値が「０」になるとタイムアウトが発生したと判定する。

　ＷＤＴモードにおいて、カウンタ３は、ＣＴＯＡを初期値としてダウンカウントを行い、カウント値が「０」になるとＷＤＴモードでのタイムアウトが発生したと判定して、監視対象装置１０にリカバリー処理を指示する割り込み信号（Ｉｎｔｅｒｒｕｐｔ）を出力する。ｉｎｔｅｒｒｕｐｔは、ＮＭＩ（Non-maskable interrupt）割り込みとして出力すると良い、従って、ＣＴＯＡは、ＷＤＴモードにおけるタイムアウト時間を規定する値となる。

　ＲＴモードにおいて、カウンタ３は、ＣＴＯＢを初期値としてダウンカウントを行い、カウント値が「０」になるとＲＴモードでのタイムアウトが発生したと判定して、監視対象装置１０を再起動させるリセット信号（Ｒｅｓｅｔ）を出力する。従って、ＣＴＯＢは、ＲＴモードにおけるタイムアウト時間を規定する値となる。

　監視対象装置１０は、所定のプログラムに従った演算処理を実行する。監視対象装置１０は、正常動作時には、ＷＤＴ装置１に対してＣＴＯＡで規定されるタイムアウト時間よりも短い間隔でカウントクリア要求ＣＣＲＡを定期的に出力する。ＷＤＴモードにおいて、カウンタ３は、ダウンカウント中に監視対象装置１０からカウントクリア要求ＣＣＲＡが入力されると、カウント値をクリアしてＣＴＯＡを初期値にしてダウンカウントを行う。これにより、監視対象装置１０が正常動作している状態では、ＷＤＴ装置１がＷＤＴモードにおいてタイムアウトで割り込みを発生することがない。

　また、監視対象装置１０は、ＷＤＴ装置１からＩｎｔｅｒｒｕｐｔが入力されると、リカバリー処理を実行し、リカバリー処理が終了するとカウントクリア要求ＣＣＲＢを出力する。ＲＴモードにおいて、ダウンカウント中に監視対象装置１０からカウントクリア要求ＣＣＲＢが入力されると、ＷＤＴモードに遷移し、カウンタ３は、カウント値をクリアしてＣＴＯＡを初期値にしてダウンカウントを行う。これにより、ＣＴＯＢで規定されるタイムアウト時間を監視対象装置１０がリカバリー処理に要する時間よりも長く設定することで、監視対象装置１０自体によるリカバリー処理を正常に実行されると、ＷＤＴ装置１がＲＴモードにおいてタイムアウトでリセットを発生することがない。

　監視対象装置１０からＷＤＴ装置１に出力されるカウントクリア要求ＣＣＲＡとカウントクリア要求ＣＣＲＢとは、異なる方法で定義され、ＷＤＴモードにおいてカウントクリア要求ＣＣＲＢは無視され、ＲＴモードにおいてカウントクリア要求ＣＣＲＡは無視される。例えば、所定のアドレスに固定値を書き込むことで、カウンタ３がカウント値をクリアする場合、カウントクリア要求ＣＣＲＡとカウントクリア要求ＣＣＲＢとで固定値を書き込むアドレスや書き込む固定値を変える。また、鍵となる値から演算を行った値を書き込むと、カウンタ３がカウント値をクリアする場合、カウントクリア要求ＣＣＲＡとカウントクリア要求ＣＣＲＢとで演算式を変える。さらに、ＲＴモードに遷移すると専用のフラグがセットされ、その専用フラグをクリアしないと、カウンタ３はカウントクリア要求ＣＣＲＡを無視するようにしても良い。

　モード設定部４は、初期状態でモード状態をＷＤＴモードに設定し、ＷＤＴモード設定時にカウンタ３から監視対象装置１０にＩｎｔｅｒｒｕｐｔが出力されると、ＲＴモードに遷移させる。そして、モード設定部４は、ＲＴモード設定時に監視対象装置１０からカウンタ３にカウントクリア要求ＣＣＲＢが入力されると、ＷＤＴモードに遷移させる。

　モード設定部４は、例えば、監視対象装置１０が参照可能なリセットタイマフラグ（ＲＴＭＦ）を設け、ＷＤＴモードではＲＴＭＦを「０（Ｌｏｗ）」に、ＲＴモードではＲＴＭＦを「１（Ｈｉｇｈ）」にそれぞれ設定する。

　図２に示すＷＤＴ装置１のカウント動作は、監視対象装置１０が正常動作している状態を示すものである。

　まず、ＷＤＴ装置１のカウント値受付部２は、ＷＤＴモードでカウントするＣＴＯＡ（0x00000200）と、ＲＴモードでカウントするＣＴＯＢ（0x00000100）とを監視対象装置１０もしくは他の外部装置等から受け付けて保持する。また、モード設定部４は、初期状態でモード状態をＷＤＴモードに設定し、ＲＴＭＦを「０」に設定する。

　次に、時刻ｔ_１１で監視対象装置１０からＷＤＴ装置１にカウントクリア要求ＣＣＲＡが出力されると、カウンタ３は、ＷＤＴモードでカウントする初期値としてＣＴＯＡ（0x00000200）をセットとし、時刻ｔ_１２で監視対象装置１０がＣＮＴＥをアサ―ト（Ｈｉｇｈ）すると、ダウンカウントを開始する。

　監視対象装置１０は、正常動作時には、ＷＤＴ装置１に対してＣＴＯＡで規定されるタイムアウト時間よりも短い間隔でカウントクリア要求ＣＣＲＡを定期的に出力する。従って、カウント値が（0x00000000）になる前に監視対象装置１０からカウントクリア要求ＣＣＲＡが入力され（時刻ｔ_１３、ｔ_１５、ｔ_１６、ｔ_１７）、カウンタ３は、カウント値をクリアしてＣＴＯＡ（0x00000200）を初期値にしてダウンカウントを行う。これにより、監視対象装置１０が正常動作している状態では、ＷＤＴ装置１がＷＤＴモードにおいてタイムアウトで割り込みを発生することがなく、監視対象装置１０の動作が継続される。

　なお、時刻ｔ_１４のようにカウントクリア要求ＣＣＲＢが監視対象装置１０から出力されても、ＷＤＴモードにおいてカウントクリア要求ＣＣＲＢは無視され、カウンタ３は、ダウンカウントを継続する。

　図３に示すＷＤＴ装置１のカウント動作は、ＷＤＴモードでのタイムアウトで割り込みを発生し、その後のリカバリー処理でＷＤＴ装置１が正常動作に復帰した状態を示すものである。時刻ｔ_１３までは、図２に示すＷＤＴ装置１のカウント動作と同一である。

　ＷＤＴモードにおいて、ダウンカウント中に監視対象装置１０からカウントクリア要求ＣＣＲＡが入力されることなく、時刻ｔ_２１でカウント値が（0x00000000）になると、カウンタ３は、タイムアウトが発生したと判定し、監視対象装置１０にリカバリー処理を指示する割り込み信号（Ｉｎｔｅｒｒｕｐｔ）を出力する。Ｉｎｔｅｒｒｕｐｔが入力されると、監視対象装置１０は、リカバリー処理を実行する。

　また、モード設定部４は、モード状態をＲＴモードに遷移させ、ＲＴＭＦを「１」に設定し、カウンタ３は、カウント値をクリアしてＣＴＯＢ（0x00000100）を初期値にしてダウンカウントを行う。なお、ＣＴＯＢは、ＣＴＯＡとは独立して設定されたものであり、ＣＴＯＡよりも大きい値であっても良い。

　次に、監視対象装置１０は、時刻ｔ_２３でリカバリー処理が終了すると、カウントクリア要求ＣＣＲＢを出力する。ＲＴモードにおいて、ダウンカウント中に監視対象装置１０からカウントクリア要求ＣＣＲＢが入力されると、モード設定部４は、モード状態をＷＤＴモードに遷移させ、ＲＴＭＦを「０」に設定し、カウンタ３は、カウント値をクリアしてＣＴＯＡ（0x00000200）を初期値にしてダウンカウントを行う。

　これにより、ＣＴＯＢで規定されるタイムアウト時間を監視対象装置１０がリカバリー処理に要する時間よりも長く設定することで、監視対象装置１０自体によるリカバリー処理を正常に実行されると、ＷＤＴ装置１がＲＴモードにおいてタイムアウトでリセットを発生することがない。なお、時刻ｔ_２２のようにカウントクリア要求ＣＣＲＡが監視対象装置１０から出力されても、ＲＴモードにおいてカウントクリア要求ＣＣＲＡは無視され、カウンタ３は、ダウンカウントを継続する。

　以降は、ＷＤＴモードでカウント値が（0x00000000）になる前に監視対象装置１０からカウントクリア要求ＣＣＲＡが入力され（時刻ｔ_２３、ｔ_２４）、カウンタ３は、カウント値をクリアしてＣＴＯＡ（0x00000200）を初期値にしてダウンカウントを行う。これにより、リカバリー処理後に監視対象装置１０が正常動作している状態では、ＷＤＴ装置１がＷＤＴモードにおいてタイムアウトで割り込みを発生することがなく、監視対象装置１０の動作が継続される。

　図４に示すＷＤＴ装置１のカウント動作は、ＷＤＴモードでのタイムアウトで割り込みを発生し、その後のＲＴモードでのタイムアウトでリセットを発生した状態を示すものである。時刻ｔ_２１までは、図３に示すＷＤＴ装置１のカウント動作と同一である。

　ＲＴモードにおいて、ダウンカウント中に監視対象装置１０からカウントクリア要求ＣＣＲＢが入力されることなく、時刻ｔ_３１でカウント値が（0x00000000）になると、カウンタ３は、タイムアウトが発生したと判定し、監視対象装置１０を再起動させるリセット信号（Ｒｅｓｅｔ）を出力する。これにより、再起動による監視対象装置１０の復旧が行われることになる。

　以上説明したように、本実施の形態によれば、監視対象装置１０の動作状態を監視し、タイムアウトで監視対象装置１０にリカバリー処理を指示する割り込みを発生するＷＤＴモード（第１モード）と、監視対象装置１０が実行するリカバリー処理を監視し、タイムアウトで監視対象装置１０を再起動させるリセットを発生するＲＴモード（第２モード）とを備えたウォッチドッグタイマ装置１であって、ＷＤＴモードでタイムアウトを判定するメソッドと、ＲＴモードでタイムアウトを判定するメソッドとを異なるロジックで実行する。
　この構成により、割り込みを発生するメソッドと、リセットを発生するメソッドとを、監視対象装置１０の動作状態の監視と、監視対象装置１０の暴走の原因の解析や停止・復帰処理等のリカバリー処理とに対応させてそれぞれ最適化することができる。

　さらに、本実施の形態は、ＷＤＴモードでの第１タイムアウト時間を規定するＣＴＯＡ（第１モードカウント値）を受け付けて保持すると共に、ＲＴモードでの第２タイムアウト時間を規定するＣＴＯＢ（第２モードカウント値）を受け付けて保持するカウント値受付部２と、ＷＤＴモードでは監視対象装置１０からカウントクリア要求ＣＣＲＡ（第１カウントクリア要求）が入力されることなく、ＣＴＯＡを初期値とするダウンカウントでカウント値が「０」になると（第１タイムアウト時間が経過すると）タイムアウトを判定すると共に、ＲＴモードでは監視対象装置１０からカウントクリア要求ＣＣＲＢ（第２カウントクリア要求）が入力されることなく、ＣＴＯＢを初期値とするダウンカウントでカウント値が「０」になると（第２タイムアウト時間が経過すると）タイムアウトを判定するカウンタ３と、初期状態ではＷＤＴモードに設定し、ＷＤＴモードでのタイムアウトの判定によってＲＴモードに遷移させ、ＲＴモードでのカウントクリア要求ＣＣＲＢの入力によってＷＤＴモードに遷移させるモード設定部４とを備える。
　この構成により、割り込みを発生するメソッドと、リセットを発生するメソッドとを、監視対象装置１０の動作状態を監視するタイムアウト時間と、リカバリー処理に必要な時間とに対応させてそれぞれ最適化することができる。

　さらに、本実施の形態によれば、カウントクリア要求ＣＣＲＡとカウントクリア要求ＣＣＲＢとは、異なる方法で定義され、ＲＴモードにおいてカウントクリア要求ＣＣＲＡは無視される。
　この構成により、ＷＤＴモードのタイムアウトによる割り込みを受け付けずに監視対象装置１０が動作を継続している場合に、ＲＴモードでリセットが発生しなくなることを防止でき、リカバリー処理ができなかった場合、確実にリセットを発生させることができる。

　以上、本発明を具体的な実施形態で説明したが、上記実施形態は一例であって、本発明の趣旨を逸脱しない範囲で変更して実施できることは言うまでもない。

１　ウォッチドッグタイマ装置（ＷＤＴ装置）
２　カウント値受付部
３　カウンタ
４　モード設定部
１０　監視対象装置

Claims

　監視対象装置の動作状態を監視し、タイムアウトで前記監視対象装置にリカバリー処理を指示する割り込みを発生する第１モードと、前記監視対象装置が実行する前記リカバリー処理を監視し、タイムアウトで前記監視対象装置を再起動させるリセットを発生する第２モードとを備えたウォッチドッグタイマ装置であって、
　前記第１モードでタイムアウトを判定するメソッドと、前記第２モードでタイムアウトを判定するメソッドとを異なるロジックで実行することを特徴とするウォッチドッグタイマ装置。
　前記第１モードでの第１タイムアウト時間を規定する第１モードカウント値を受け付けて保持すると共に、前記第２モードでの第２タイムアウト時間を規定する第２モードカウント値を受け付けて保持するカウント値受付部と、
　前記第１モードでは前記監視対象装置から第１カウントクリア要求が入力されることなく、前記第１タイムアウト時間が経過するとタイムアウトを判定すると共に、前記第２モードでは前記監視対象装置から第２カウントクリア要求が入力されることなく、前記第２タイムアウト時間が経過するとタイムアウトを判定するカウンタと、
　初期状態では前記第１モードに設定し、前記第１モードでのタイムアウトの判定によって前記第２モードに遷移させ、前記第２モードでの前記第２カウントクリア要求の入力によって前記第１モードに遷移させるモード設定部と、を具備することを特徴とする請求項１に記載のウォッチドッグタイマ装置。
　前記第１カウントクリア要求と前記第２カウントクリア要求とは、異なる方法で定義され、前記第２モードにおいて前記第１カウントクリア要求は無視されることを特徴とする請求項２に記載のウォッチドッグタイマ装置。