Flash 检测结束后只能表示代码是正确的，接着应当对内部SRAM进行检测，可是片内SRAM的可靠性相当高，至今为止我还没有见过一次因为内部SRAM硬件故障而产生的失败。因而Startup的SRAM检测跳过去不讲了。但运行时内存也可能受到外部干挠而发生位翻转，因而内存监控将在运行时再进行讲述。这里，将主要讲一下安全时钟系统的原理。

2 e- P$ ^! X% H# O& D, O9 T/ u背景：

时钟是系统的脉博，而时钟也是最经常发生故障的电路。极端情况下就是晶振损坏无法起震，有时也会产生跑频，导至几部PLL也无法锁定频率。如何监控时钟电路是否正常是非常必要的。
$ k6 w1 C1 j. j9 y9 L/ ~0 S
. m, e/ d2 l* c! Z, E4 S, mSTM32内部一共可以有四个晶震：LSI、HSI、LSE、HSE，分别为内部低速晶振(30K-60KHz)、内部高速晶振(8MHz)、外部低速晶振(32.768KHz)、外部高速晶振。

+ I9 R! Y/ c6 @( O. o' z1 R4 q* {0 XLSI是RTC和IWDG(独立看门狗)的时钟源，而RTC也可以选择由LSE外接32K晶振来提供高精度的时钟源。但IWDG只能由LSI提供时钟。

8 Y$ X/ Y% g/ j1 Q$ A5 o% eHSI是内部8M振荡器，实际上会有一些偏差。上电复位初期便由他提供时钟，以后可以由软件将系统时钟切换到HSE。

HSE是外接晶体，可以提供准确的时钟基准，如系统需要使用USB则最好由HSE经PLL得到。
. w' H+ v5 z! t$ Y9 ^' ?
' o, f* [/ }3 x$ t! S时钟安全系统(CSS)：
9 d0 k! Z! F' i1 t  c8 g+ Y% }
+ }8 Y: _) }4 [# C3 vSTM32已提供了一个时钟失常恢复机制(CSS)，当系统选择HSE作系工作时钟，并打开了CSS功能后，一旦HSE由于外部原因而停震时，将自动切换到内部HSI运行，并产生NMI中断，于是可以在NMI中断中进行安全处理。

跑频检测：
- s  t: D) @8 I6 b0 _
当外部晶振跑频但没有停止时，CSS并不会生效，此时我们需要用软件来检测。
4 y  |8 G* G: q( k& E# ?
检测原理：
: I$ E; F( ~8 I- A& T
第一步，上电初期时打开LSI并使之作为RTC的时钟源，接着将系统时钟切换到HSI并设置Systick溢出为2ms，将RTC计数器清零，然后等待systick 2ms溢出标志到来，然后读取RTC的计数值：LSIPeriod。
* L6 P8 |9 A. l+ }- [* O
5 d: z5 Z! L' g5 Y4 y4 \第二步，选择HSE作为系统时钟，同样设置Systick 2ms溢出，将RTC计数器清零。接着等待systick 2ms到来，读取RTC计数值:RefHSEPeriod。
/ ~( f' m7 l# G9 c# E
" f1 ]8 W' R$ U第三步，比较：以上LSIPeriod和RefHSEPeriod均是在高速晶体计数2ms时的RTC计数，如果两个高速晶体准确，那这两个值应是相同或相近，比较这个值就知道上电时时钟是否异常。
6 I$ j- q3 M* s8 @/ k( g
( M  u8 ?- I' a9 ?: h- I3 T运行时的检测：
3 J6 g- j( B5 C8 v, I4 [) x
假如你的系统正常工作时SysTick也恰好是2ms，那每隔2ms去取得RTC计数，并与上电时RefHSEPeriod进行比较来检测运行时的时钟误差。在安全系统中，看门狗是必不可少的部件，因为STM32的IWDG使用的是LSI，因而对LSI的检查也是需要的。假设LSI产生故障变慢或停止，实时取得的RTC计数都将产生误差，因而从另一个角度上又去保证了IWDG的可靠运行。
3 m3 a8 k8 [# S, J
$ a* s' ]5 R7 \8 r出处：skyler