功能 #3385
由 希星 柯 更新于 22 天 之前
参考软件“DR-003701-708184 Software Configuration”
需求描述
在正确配置参数建立前,微控制器禁止执行功能处理
允许微控制器将配置数据存储于RAM中,并在唤醒时使用RAM值,但必须定期从源端刷新RAM副本
微控制器必须按照福特技术规范初始化所有输出
若某输出的初始值或默认值未在福特规范中定义,应采用乘员或行人导向的"最小伤害"原则值
因该值需结合场景判定,必须由福特软件工程师在技术设计评审(Technical Design Review, TDR)中批准
技术规范
在复位(任何原因)或唤醒(若支持睡眠模式)时,必须进入已知且符合技术规范的操作状态。若在开始应用处理前未完全建立此状态,应用决策与命令可能不完整且不可靠,从而导致难以发现的临时故障、错误指令输出和/或虚假错误报告。
示例: 某调查案例表明,某警报模块在退出睡眠模式时未保持/读取实际配置参数,而是使用了默认值。这导致模块在退出睡眠模式时,其行为如同周界警报功能已启用(实际未启用),最终引发车辆警报误触发。
本设计规则支持RQT-003701-705377“软件设计最佳实践”,适用于所有带软件的电子模块,是符合RQT的一种方法。
设计规则关闭机制:这些设计规则的关闭是软件技术设计的完成审查(TDR),可以通过“SWQA常见TDR检查表”问题来解决:
INV09001
说明EEPROM/数据闪存(Data Flash)的通用管理方法:
-A) 描述影子RAM(Shadow RAM)的使用方式。指明所有多级缓存机制。需说明哪些元素被缓存在影子RAM中,哪些直接访问。- ——无
B) 描述EEPROM/数据闪存管理器的运行机制。 ——滚动存储
-C) 若未使用NVM管理器,解释如何解决EEPROM/数据闪存的读写并发冲突(EEPROM/数据闪存通常为共享资源)。- ——存储区间不共享资源
D) 是否存在禁用NVM值写入物理存储的功能? ——无
若支持禁用NVM写入物理存储:
D.1) 如何确保NVM写入功能被重新启用?
D.2) 描述如何缓解持久化数据丢失风险。——通过理论计算
INV09002
从需存储至EEPROM/数据闪存(Data Flash)的数据被获取时起,何时更新EEPROM/数据闪存?分别列出正常情况和最坏情况。
——
dataset
读取:上电初始化读取
存储:收到正确的配置指令和完整的配置数据时
rbin
读取:上电初始化读取
存储:
1.上电初始化rbin挡位有变化
2.上电初始化完成后,500ms内,rbin挡位有变化
L/R node
读取:上电初始化
存储:
1.上电初始化L/R识别信息有变化
2.上电初始化完成后,500ms内,L/R识别信息有变化
EDF2数据
读取:上电初始化读取
存储:数据有变化,在IGOFF,bat电压在10~15V时
F190
读取:接收到F190读取指令时
存储:接收到F190写数据时
F1A0
读取:接收到F1A0读取指令时
存储:接收到F1A0写数据时
软件版本信息
读取:接收到读取指令时
存储:软件升级时
INV09004
阐述EEPROM/数据闪存的故障容限策略:
A) 如何验证EEPROM/数据闪存/NVM/KAM的完整性? ——后续列出
B) EEPROM/数据闪存的数据完整性校验是采用高粒度(如全区域校验)还是低粒度(分区或逻辑块校验)?
——后续列出
C) 何时判定EEPROM/数据闪存数据已损坏? ——关键dataset数据会进行CRC校验
D) 如何实现数据恢复?——无
E) EEPROM/数据闪存中的数据损坏对系统功能有何影响? ——
dataset:使用默认配置,可能无法按实际的配置点灯
rbin:数据无效时,重新采集(功能无影响);数据有效时,可能挡位电流不一样
L/R node:无效时,会重新采集(功能无影响)
EDF2数据:反馈的数据跟实际不一致
F190:反馈的数据跟实际不一致
F1A0:反馈的数据跟实际不一致
软件版本信息:反馈的软件版本信息不正确
——后续列出
F) 如何及何时对EEPROM/数据闪存数据进行范围检查/边界检查(数据格式正确但无有效值的情况)? ——关键dataset数据会进行CRC校验
IRH08001
A) 是否区分热启动(warm boot)与冷启动(cold boot)?若是,请说明原因。否
B) 阐述热启动与冷启动的差异。
C) 冷启动与热启动的耗时分别为多少?
D) 软件层强制复位的技术实现方式是什么?--1.看门狗超时复位;2.软件触发复位指令 软件层强制复位的技术实现方式是什么?
返回