Flash 检测结束后只能表示代码是正确的，接着应当对内部SRAM进行检测，可是片内SRAM的可靠性相当高，至今为止我还没有见过一次因为内部SRAM硬件故障而产生的失败。因而Startup的SRAM检测跳过去不讲了。但运行时内存也可能受到外部干挠而发生位翻转，因而内存监控将在运行时再进行讲述。这里，将主要讲一下安全时钟系统的原理。
8 o0 _9 }" k$ W, u9 k7 Y/ R
背景：
- w3 o8 s  b% ^, J" e
* _' o7 f7 ~& T时钟是系统的脉博，而时钟也是最经常发生故障的电路。极端情况下就是晶振损坏无法起震，有时也会产生跑频，导至几部PLL也无法锁定频率。如何监控时钟电路是否正常是非常必要的。
- ^) C. C$ p, \1 M/ _9 B: ~, X$ X" J% y
) l/ _2 t  x* _: R# JSTM32内部一共可以有四个晶震：LSI、HSI、LSE、HSE，分别为内部低速晶振(30K-60KHz)、内部高速晶振(8MHz)、外部低速晶振(32.768KHz)、外部高速晶振。
* i2 Z5 Y' C% \: C5 i& S
  a; s( q1 P# }+ gLSI是RTC和IWDG(独立看门狗)的时钟源，而RTC也可以选择由LSE外接32K晶振来提供高精度的时钟源。但IWDG只能由LSI提供时钟。

HSI是内部8M振荡器，实际上会有一些偏差。上电复位初期便由他提供时钟，以后可以由软件将系统时钟切换到HSE。
6 k2 [' p, {  B9 g' `5 d
HSE是外接晶体，可以提供准确的时钟基准，如系统需要使用USB则最好由HSE经PLL得到。
( S) c! t9 A( w1 C
7 L8 x$ k( r* g% z时钟安全系统(CSS)：
  y1 r% [+ h* p$ u4 U% B& q0 N
STM32已提供了一个时钟失常恢复机制(CSS)，当系统选择HSE作系工作时钟，并打开了CSS功能后，一旦HSE由于外部原因而停震时，将自动切换到内部HSI运行，并产生NMI中断，于是可以在NMI中断中进行安全处理。

# M3 s$ @; N" C/ r9 M7 s跑频检测：
& R- q/ q8 `- [, l5 M  \
当外部晶振跑频但没有停止时，CSS并不会生效，此时我们需要用软件来检测。

6 S) y' c9 M- e2 E9 Y, N检测原理：

- e* ~6 A( `& L' i% n' w第一步，上电初期时打开LSI并使之作为RTC的时钟源，接着将系统时钟切换到HSI并设置Systick溢出为2ms，将RTC计数器清零，然后等待systick 2ms溢出标志到来，然后读取RTC的计数值：LSIPeriod。

5 W$ K( \  s9 a7 u第二步，选择HSE作为系统时钟，同样设置Systick 2ms溢出，将RTC计数器清零。接着等待systick 2ms到来，读取RTC计数值:RefHSEPeriod。

# Q* @6 e" O) t* w第三步，比较：以上LSIPeriod和RefHSEPeriod均是在高速晶体计数2ms时的RTC计数，如果两个高速晶体准确，那这两个值应是相同或相近，比较这个值就知道上电时时钟是否异常。

' j/ W% c; c( x4 C7 Y  O% t% ^运行时的检测：
  k. j, y2 X, q  F
  J" n# h5 X5 {  u1 n! S; c假如你的系统正常工作时SysTick也恰好是2ms，那每隔2ms去取得RTC计数，并与上电时RefHSEPeriod进行比较来检测运行时的时钟误差。在安全系统中，看门狗是必不可少的部件，因为STM32的IWDG使用的是LSI，因而对LSI的检查也是需要的。假设LSI产生故障变慢或停止，实时取得的RTC计数都将产生误差，因而从另一个角度上又去保证了IWDG的可靠运行。

; o5 ], A9 e9 d$ B出处：skyler