ウォッチドッグタイマ(WDT)とは?
1. ウォッチドッグタイマ
(WDT : Watchdog timer)とは
ウォッチドッグタイマ(WDT)とは、マイコンのプログラムが暴走・停止していないかを監視するタイマです。MCUの動作を常に見張る、「番犬」の役割を果たします。
マイコン(MCU)は、電子機器を制御するための小型コンピュータです。あらゆる電子機器に搭載されているMCUは、さまざまなプログラムソフトを内蔵でき、プログラムに従って電子機器の動作を制御することができます。
そのため、MCUのプログラムが何らかの原因で暴走・停止してしまうと、その電子機器は思わぬ動作をしてしまい、最悪の場合、故障や事故につながることもあります。
このような事態を未然に防止するために、MCUが正常に動作しているかを常に監視するのが、ウォッチドッグタイマの役割です。
ウォッチドッグタイマ機能は、MCU自体に内蔵されているものもありますが、ここでは、より安全性の高い「外付け」のウォッチドッグタイマを中心に紹介します。
2. WDTの動作
―MCUの異常を検出する方法
ウォッチドッグタイマは、MCUと通信し、一定期間内にMCUからの信号が無い/信号入力が多すぎる場合、または信号の内容が予め決められていたものと異なる場合、MCUを異常状態とみなしMCUをリセットさせる信号を出力します。
WDTがMCUの異常を検出する方法(モード)は複数あり、WDTが検出できるMCUの異常タイプはモード毎に異なります。モード別にWDTの動きと特徴を見てみましょう。
タイムアウトモード
ウォッチドッグタイマに対し、一定期間内にMCUからの信号入力が無い場合、MCUを異常状態とみなしリセット信号を出力するモードです。
WDTの監視モードとしては非常にメジャーな方法ですが、MCUの異常を検出できないケースもあります。
タイムアウトモードの場合、一定期間内にMCUから複数の信号(=ダブルパルス)が入力されても、WDTはMCUが異常だと検出できないのです。
ウィンドウモード
タイムアウトモードよりさらに高精度な異常検出が可能なのが、ウィンドウモードです。
ウィンドウモードでは、一定期間内にMCUからの信号が無い・または複数の信号(=ダブルパルス)が入力された場合、MCUを異常状態とみなしリセット信号を出力します。
より安全性が求められるアプリケーション、例えば車載機器などには、ウィンドウモードのウォッチドッグタイマを選ぶべきといえるでしょう。
Q&Aモード
上記2つのモードよりも高精度な異常検出が可能なのが、Q&Aモードです。
Q&Aモードの場合、MCUは、予め決められたデータをWDTに送ります。WDTは、MCUから送られてきた信号が予め決められていたものと一致しているかどうかで、MCUが正常か異常かを判断します。
極めて高い安全性が求められる機器では、Q&AモードのWDTが必要となるケースがありますが、ウィンドウモード・タイムアウトモードと異なり、MCUとWDT間でデータの通信が発生するため、取り扱いが難しい場合もあります。
3. WDTの選び方
ここからは、実際にWDTを検討するにあたり留意すべき点を紹介します。
「外付け」のWDTは必要?
MCUの異常を検知するWDT機能ですが、この機能はMCU自体にも搭載されています。
ではなぜ、MCUに内蔵されたWDT機能に加え「外付け」のWDTが必要なのでしょうか?
それは、システムの安全性をより高める為です。
前述の通りWDTは、MCUの異常を監視・検出するための機能です。 MCUに内蔵されたWDTでのみ監視をおこなっている場合、異常状態のMCUが自身の監視・異常検出を正常に行える、と言い切ることはできません。
この不安を払拭できるのは、独立した動作が可能な外付けのWDTです。
システムの安全を考える上で冗長性は非常に重要と考えられています。外付けのWDTは、まさにその冗長性なのです。
WDTを使うべきアプリケーションは?
MCUは、あらゆる電子機器に使用されていますが、WDTが必要かどうかは、「アプリケーションにどの程度の安全性が求められているか/実現するべきか」に依ります。
たとえば車載機器だと、MCUが故障や誤動作を引き起こせば、命に直結する事故を引き起こす可能性があります。 また、給湯器やコンロなどでも、MCUの故障・誤動作が火事などにつながる懸念があります。
このように、人命にかかわるシステムや、電子制御の異常が大きな事故につながり得るアプリケーションにおいては、充分な冗長性として、外付けのWDTが必要といえるでしょう。
国際規格ISO26262などの「機能安全」の考え方は、“安全に関わる機能・部品が故障したとしても、システムの安全性を確保する”ことが重要となります。機能安全では、例えば部品の異常を検出できる仕組み(=安全機構)を設け、許容できるリスクに低減することが求められます。
WDTを使用いただくことで、MCUのプログラムなどの異常を検出することができ、システム全体の安全設計を手助けすることが可能です。
どのモードのWDTが最適?
こちらも、WDTを使うべきアプリケーション同様、求められている/実現すべき安全性の程度に依存します。
昨今は電子機器に求める安全性が高まっていることもあり、特に車載分野では、これまでタイムアウトモードのWDTを使用していた機器に対し、システムの安全性向上のため、新しいモデルではウィンドウモードのWDTに変更する例もあるようです。
安全なシステムを実現する上で、外付けのWDTは冗長性として必要であり、さらにウィンドウモードであればより高精度な監視・異常検出が可能である、という認識でWDTをご検討ください。
WDTの選定にお悩みですか?
≫お問い合わせフォーム
4. エイブリックのWDT
エイブリックは、車載用のWDT(ウィンドウモード、タイムアウトモード)を幅広くラインナップしています。
LDOレギュレータやリセット機能を内蔵した3機能1chipタイプのWDTや、業界No.1の低消費電流のWDTなど、さまざまなニーズにお応えできます。
5. エイブリックのWDTを試してみる
WDTをお探しの際には、ぜひエイブリック製品をご検討ください。
車載用WDT
S-19400/19401 | WDT+VD | Window/Time-out switchable, Window mode | – | モード切替可能、 リセット出力分離 | |
S-19405 | WDT+VD | Time-out mode | – | リセット出力分離 | |
S-19500/19501 | WDT+VD+LDO | Time-out mode | 200mA出力 | WADJ端子 | |
S-19502/19503 | WDT+VD+LDO | Time-out mode | 400mA出力 | WADJ端子 | |
S-19504/19505 | WDT+VD+LDO | Time-out mode | 250mA出力 | WADJ端子、 低消費電流 | |
S-19506/19507 | WDT+VD+LDO | Time-out mode | 500mA出力 | WADJ端子、 低消費電流 | |
S-19509 | WDT+VD+LDO | Time-out mode | 500mA出力 | WADJ端子、 ON/OFF回路内蔵 | |
S-19514/19515 | WDT+VD+LDO | Window mode | 250mA出力 | WADJ端子、 低消費電流 | |
S-19516/19517 | WDT+VD+LDO | Window mode | 500mA出力 | WADJ端子、 低消費電流 | |
S-19518 | WDT+VD+LDO | Window mode | 250mA出力 | ON/OFF回路内蔵 | |
S-19519 | WDT+VD+LDO | Window mode | 500mA出力 | WADJ端子、 ON/OFF回路内蔵 |
民生用WDT
S-1410/1411 | WDT+VD | Window/Time-out switchable, Window mode | – | モード切替可能、 リセット出力分離 |
*VD: Voltage detector (Reset IC) *LDO: Low-dropout regulator