FORD LDM Localization

参考软件DR-003701-708349 NVM Redundancy
1.应用软件中存储的操作数据和关键数据必须至少实现三副本冗余机制。操作数据和关键数据的定义请参考设计规则解释章节。若使用少于三个NVM冗余副本，则必须按照分析/讨论章节所述的例外流程进行设计评审和批准。
2. 当采用冗余机制时，副本必须存储在独立的NVM存储单元/页面中。若物理架构不支持此要求，设计必须确保电源维持足够时间以完成存储单元内容的修改。
3.当检测到冗余数据不匹配时，若能确认至少一个NVM副本为正确值，则必须修正错误副本，同时应用程序应保持运行状态（不得设置故障诊断码DTC）。
4. 当检测到冗余数据故障时，必须从程序闪存存储的值重新初始化NVM，并设置不可通过服务测试工具清除的DTC故障码。此后ECU应继续正常运作。某些功能规范可能要求ECU在NVM故障时停止运行，或对本条款进行适当调整。
5.当使用闪存模拟EEPROM时，设计应尽可能考虑将冗余数据存储于独立的页面中。
设计规范
NVM数据可能在多种情况下损坏，包括电源中断、写入过程中断、软件错误等。在这些情况下，若影响ECU正常功能运行的关键数据损坏，可能会导致ECU功能异常。为避免此类故障，应通过三副本冗余机制实现关键数据的冗余存储。关键数据的定义需由供应商与福特（FORD）讨论后确定。

修正轻微冗余错误：
若冗余数据存在问题，但至少有一个NVM中的有效副本可作为正确值，则静默修正错误副本并继续运行（不设置故障诊断码DTC）。可考虑设置一个内部NVM标志或递增内部NVM计数器，以记录修正操作。供应商可利用此信息分析保修返回的根本原因。

出于微处理器复位延迟的考虑，引导程序（Bootloader）无需修正任何NVM冗余错误。

运行数据：
指控制车辆功能的配置设置和选项选择，包括：零件号；引导程序中的“魔术标志”；法规相关功能（如里程表值等）；操作员偏好设置。不包括以下内容：故障诊断码DTC（除非用于控制限制运行模式）；供测试工具后续检索的数据（如参数标识PID、复位计数等）；非必要数据。如有疑问，需咨询福特软件工程师确认数据分类。

关键数据：指需存储在NVM中以确保功能正常运行的所有必要数据。