单片机如何选择合适的系统复位方案？

在嵌入式系统开发中，看门狗（Watchdog Timer, WDT）是一种关键的安全机制，它能够在程序异常或死机时自动重启系统，从而提高系统的可用性和自恢复能力。

然而，看门狗并不能直接提升程序本身的稳定性和可靠性，它只是一个被动的安全网。

当系统发生故障时，它的作用是通过复位系统来减少故障的影响，而非从根本上消除故障。

看门狗的基本原理是通过一个定时器来监测系统运行状态。正常情况下，应用程序需要定期向看门狗发送信号（喂狗），以防止定时器溢出。

一旦程序发生异常，导致看门狗未能在规定时间内收到喂狗信号，定时器将会触发系统复位。

根据实现方式的不同，看门狗可以分为硬件看门狗和软件看门狗。

1、硬件看门狗

1.1、外部独立硬件看门狗

特点：

• 作为独立于MCU/MPU的外部芯片运行
• 不受主处理器影响，即使处理器死机仍可触发复位
• 可靠性最高，适用于工业、汽车、航天等对可靠性要求极高的应用场景

工作方式：

• MCU 通过 GPIO 向看门狗芯片发送喂狗信号（例如周期性地翻转一个引脚）
• 若 MCU 失去响应，外部看门狗检测到超时，则输出复位信号
• 由于其独立性，该类看门狗的喂狗时间通常不可调或调整较受限

1.2、内置硬件看门狗

特点：

• 由处理器内部的定时器实现，通常由 MCU 内部的 WDT 外设负责管理
• 需要软件驱动程序支持，可编程设置超时时间
• 复位逻辑依赖于 MCU 自身，一旦 MCU 时钟或电源管理单元故障，可能导致看门狗失效

工作方式：

• 在应用程序中启用 WDT 并设置适当的超时时间
• 定期调用 API 进行喂狗（如 STM32 的 HAL_IWDG_Refresh()）
• 若 MCU 进入死循环或阻塞，看门狗超时触发系统复位

2、软件看门狗

特点：

• 通过软件定时器模拟看门狗功能
• 依赖系统的定时器中断，若中断系统异常，可能会失效
• 适用于轻量级应用，但可靠性远低于硬件看门狗

工作方式：

• 在任务调度器（如 FreeRTOS）中实现定时检查
• 任务正常运行时定期重置软件定时器
• 若某任务超时未喂狗，则触发复位逻辑

在调试过程中发现的故障，应该通过代码优化、异常处理、错误恢复机制等手段加以解决，而不是依赖看门狗。

看门狗的作用是在非人为可控情况下自动恢复系统，它不能取代良好的软件工程实践。

在某些应用场景（如数据采集系统），系统崩溃时可能需要保护关键数据，以便在重启后进行恢复。

这可能需要：

• 采用EEPROM、Flash 或电池备份 RAM 存储关键变量
• 结合上电自检（POST）机制，分析重启原因，决定是否进入故障恢复流程

3、看门狗喂狗策略

• 避免在主循环或高频中断中盲目喂狗：这样可能会掩盖实际的问题，导致系统在异常情况下仍然喂狗，无法及时复位。解决方案：在关键任务执行完毕后喂狗，而不是简单地在循环内喂狗。
• 结合任务超时检测（对于 RTOS）：可以使用任务看门狗（Task Watchdog），在任务级别进行超时监测，而非仅靠系统级 WDT 进行复位。
• 多级看门狗策略：采用软件看门狗监测任务，硬件看门狗监测整个系统，以构建更健壮的故障恢复机制。

看门狗是一种保障系统稳定性的关键机制，但它并不能取代软件优化和异常处理。

在高可靠性应用中，外部硬件看门狗是最佳选择，而在一般嵌入式应用中，内置硬件看门狗已经足够。

软件看门狗可以作为任务级监测的补充手段。

合理利用不同类型的看门狗，结合健壮的软件架构，才能真正提升系统的稳定性和可靠性。