FORD LDM Localization

参考软件"DR-003701-708498 External Power"
以下设计规则适用于包含软件并实现中断结构的所有电子控制单元（ECU）。
外部中断：没有外部（模块）输入必须在微控制器中引起中断。
如果需要外部中断，则：必须使用低通硬件滤波。
限幅频率必须高于预期最差情况频率至少5%。
高于限幅频率的输入频率不得引起任何中断。
在限幅频率（如上定义）下发生的中断不会超过最坏情况下的CPU负载。
清空前中断：使用抢占式中断必须在设计评审中得到福特软件的批准。供应商必须首先考虑不使用抢占式中断的软件设计，并在设计评审中提供拒绝该设计的理由。
如果使用抢占式中断，则所有中断服务路由（ISR）都必须是可重入的。
在ISR中使用硬件输出：对于非微输入信号，在ISR服务路由中不允许将值输出到硬件设备。
如果必须在输入ISR中设置硬件输出，则必须对策略进行审查，以确保其正确处理关键问题。必须按照分析/讨论部分中规定的例外处理流程对该例外进行审查
微控制器、内部时钟、外围设备、软件中断或CPU产生的中断（如非法操作或陷阱）有许多中断源。大多数中断与正常程序流异步，并导致软件不确定和/或不稳定。由噪声或不当处理产生的中断会消耗100%的处理带宽，使模块无响应。
外部输入：在本设计规则的上下文中，外部中断指的是可配置为检测边沿或电平的物理中断引脚。这些引脚最容易受到不可预测的电气噪声的影响，因此难以保证确定性。非常嘈杂的环境需要非常小心，以确保硬件滤波足以最大限度地减少杂散活动， 软件设计需要适应预期负载，如增加堆栈使用 。在此上下文中的外部中断不包括CAN等通信总线。
预先中断：根据定义，中断抢占正常程序流，然而，对于这些设计规则的上下文，抢占中断是中断中断服务路由的中断。这些中断有时被称为嵌套中断。在大多数情况下，（但不是全部）微控制器，一个中断的确认会导致其他中断被禁用。它需要软件确认来重新启用任何未被服务的中断。重新在中断服务路由器（ISR）内部启用中断将增加复杂性并降低确定性。
ISR中不允许硬件输出：为了减少中断对确定性的影响，ISR应尽可能短。在ISR中操作输出可能需要额外的中断，如果在ISR之外操作相同的输出，可能会导致错误的行为。这在模块上已经发生了几次故障。因此，福特选择限制这种做法，除非在TDR中审查了该策略。