Flash 检测结束后只能表示代码是正确的，接着应当对内部SRAM进行检测，可是片内SRAM的可靠性相当高，至今为止我还没有见过一次因为内部SRAM硬件故障而产生的失败。因而Startup的SRAM检测跳过去不讲了。但运行时内存也可能受到外部干挠而发生位翻转，因而内存监控将在运行时再进行讲述。这里，将主要讲一下安全时钟系统的原理。
1 t7 `( z& Y9 F7 k( l6 j
" [- ]: T/ K  [  m背景：
& _" K0 }/ `( d
时钟是系统的脉博，而时钟也是最经常发生故障的电路。极端情况下就是晶振损坏无法起震，有时也会产生跑频，导至几部PLL也无法锁定频率。如何监控时钟电路是否正常是非常必要的。
( f" c! e' j  z
7 E: M$ {  `1 ]$ ASTM32内部一共可以有四个晶震：LSI、HSI、LSE、HSE，分别为内部低速晶振(30K-60KHz)、内部高速晶振(8MHz)、外部低速晶振(32.768KHz)、外部高速晶振。

' |/ N' O  E" T% g; u. ]# h+ rLSI是RTC和IWDG(独立看门狗)的时钟源，而RTC也可以选择由LSE外接32K晶振来提供高精度的时钟源。但IWDG只能由LSI提供时钟。
% |- `7 D) o  C+ h, ^
6 S' W0 f! A* v6 H8 g1 L. l/ AHSI是内部8M振荡器，实际上会有一些偏差。上电复位初期便由他提供时钟，以后可以由软件将系统时钟切换到HSE。
6 l' ]8 B$ I, C! H6 h4 _% ]
HSE是外接晶体，可以提供准确的时钟基准，如系统需要使用USB则最好由HSE经PLL得到。

时钟安全系统(CSS)：
& a/ d; Y! L, O
STM32已提供了一个时钟失常恢复机制(CSS)，当系统选择HSE作系工作时钟，并打开了CSS功能后，一旦HSE由于外部原因而停震时，将自动切换到内部HSI运行，并产生NMI中断，于是可以在NMI中断中进行安全处理。
4 C4 w1 c* `) H" |$ {- e! O" J: x
跑频检测：
3 w& l/ |7 E" d7 v2 U% Q; w, N
( e5 Z, a; c8 W: x9 ]/ R; F9 o) ^当外部晶振跑频但没有停止时，CSS并不会生效，此时我们需要用软件来检测。
: Y4 B) ~5 R; n$ I+ L9 j
8 k8 B* y6 Y. H- Q' ]检测原理：
# W( U# v6 z  X* x) A% O9 n
第一步，上电初期时打开LSI并使之作为RTC的时钟源，接着将系统时钟切换到HSI并设置Systick溢出为2ms，将RTC计数器清零，然后等待systick 2ms溢出标志到来，然后读取RTC的计数值：LSIPeriod。
2 D, H) t" p3 k
2 R9 z0 {; _# \( c3 H第二步，选择HSE作为系统时钟，同样设置Systick 2ms溢出，将RTC计数器清零。接着等待systick 2ms到来，读取RTC计数值:RefHSEPeriod。

- Z7 N) V* g. x第三步，比较：以上LSIPeriod和RefHSEPeriod均是在高速晶体计数2ms时的RTC计数，如果两个高速晶体准确，那这两个值应是相同或相近，比较这个值就知道上电时时钟是否异常。
6 a7 z; y* e- \: s7 r* B& \
6 I; O( v! |3 I5 \* B# }运行时的检测：

. I7 z: ^1 d5 n: X, ?; i3 m假如你的系统正常工作时SysTick也恰好是2ms，那每隔2ms去取得RTC计数，并与上电时RefHSEPeriod进行比较来检测运行时的时钟误差。在安全系统中，看门狗是必不可少的部件，因为STM32的IWDG使用的是LSI，因而对LSI的检查也是需要的。假设LSI产生故障变慢或停止，实时取得的RTC计数都将产生误差，因而从另一个角度上又去保证了IWDG的可靠运行。
( v. D5 J/ K8 t! r1 J, C/ q
+ B1 c& h  m; t$ I出处：skyler