FORD LDM Localization

参考软件“DR-003701-708184 Software Configuration”
需求描述
在正确配置参数建立前，微控制器禁止执行功能处理
允许微控制器将配置数据存储于RAM中，并在唤醒时使用RAM值，但必须定期从源端刷新RAM副本
微控制器必须按照福特技术规范初始化所有输出
若某输出的初始值或默认值未在福特规范中定义，应采用乘员或行人导向的"最小伤害"原则值
因该值需结合场景判定，必须由福特软件工程师在技术设计评审（Technical Design Review, TDR）中批准
技术规范
在复位（任何原因）或唤醒（若支持睡眠模式）时，必须进入已知且符合技术规范的操作状态。若在开始应用处理前未完全建立此状态，应用决策与命令可能不完整且不可靠，从而导致难以发现的临时故障、错误指令输出和/或虚假错误报告。
示例： 某调查案例表明，某警报模块在退出睡眠模式时未保持/读取实际配置参数，而是使用了默认值。这导致模块在退出睡眠模式时，其行为如同周界警报功能已启用（实际未启用），最终引发车辆警报误触发。

本设计规则支持RQT-003701-705377“软件设计最佳实践”，适用于所有带软件的电子模块，是符合RQT的一种方法。
设计规则关闭机制：这些设计规则的关闭是软件技术设计的完成审查（TDR），可以通过“SWQA常见TDR检查表”问题来解决：
INV09001
说明EEPROM/数据闪存（Data Flash）的通用管理方法：
A) 描述影子RAM（Shadow RAM）的使用方式。指明所有多级缓存机制。需说明哪些元素被缓存在影子RAM中，哪些直接访问。 ——无
B) 描述EEPROM/数据闪存管理器的运行机制。 ——滚动存储
C) 若未使用NVM管理器，解释如何解决EEPROM/数据闪存的读写并发冲突（EEPROM/数据闪存通常为共享资源）。 ——存储区间不共享资源
D) 是否存在禁用NVM值写入物理存储的功能？ ——无
若支持禁用NVM写入物理存储：
D.1) 如何确保NVM写入功能被重新启用？
D.2) 描述如何缓解持久化数据丢失风险。——通过理论计算
INV09002
从需存储至EEPROM/数据闪存（Data Flash）的数据被获取时起，何时更新EEPROM/数据闪存？分别列出正常情况和最坏情况。
——
dataset
读取：上电初始化读取
存储：收到正确的配置指令和完整的配置数据时

rbin
  读取：上电初始化读取
  存储：
   1.上电初始化rbin挡位有变化
   2.上电初始化完成后，500ms内，rbin挡位有变化

L/R node
  读取：上电初始化
  存储：
   1.上电初始化L/R识别信息有变化
   2.上电初始化完成后，500ms内，L/R识别信息有变化

EDF2数据
  读取：上电初始化读取
  存储：数据有变化，在IGOFF，bat电压在10~15V时

F190
  读取：接收到F190读取指令时
  存储：接收到F190写数据时

F1A0
  读取：接收到F1A0读取指令时
  存储：接收到F1A0写数据时

软件版本信息
  读取：接收到读取指令时
  存储：软件升级时

INV09004
阐述EEPROM/数据闪存的故障容限策略：
A) 如何验证EEPROM/数据闪存/NVM/KAM的完整性？ ——后续列出
B) EEPROM/数据闪存的数据完整性校验是采用高粒度（如全区域校验）还是低粒度（分区或逻辑块校验）？
——后续列出
C) 何时判定EEPROM/数据闪存数据已损坏？ ——关键dataset数据会进行CRC校验
D) 如何实现数据恢复？——无
E) EEPROM/数据闪存中的数据损坏对系统功能有何影响？ ——
dataset：使用默认配置，可能无法按实际的配置点灯
rbin：数据无效时，重新采集（功能无影响）；数据有效时，可能挡位电流不一样
L/R node:无效时，会重新采集（功能无影响）
EDF2数据：反馈的数据跟实际不一致
F190：反馈的数据跟实际不一致
F1A0：反馈的数据跟实际不一致
软件版本信息：反馈的软件版本信息不正确

F) 如何及何时对EEPROM/数据闪存数据进行范围检查/边界检查（数据格式正确但无有效值的情况）？ ——关键dataset数据会进行CRC校验
IRH08001
A) 是否区分热启动（warm boot）与冷启动（cold boot）？若是，请说明原因。否
B) 阐述热启动与冷启动的差异。
C) 冷启动与热启动的耗时分别为多少？
D) 软件层强制复位的技术实现方式是什么？--1.看门狗超时复位；2.软件触发复位指令