拥有开发功能的安全控制器的主控制MCU芯片，它的安全状态与系统的安全状态如何相互配合在一起，必须考虑到哪些方面呢?下面跟小编一起来看看吧!

首先要确定MCU一般定义的5种安全状态中除去正常运作状态，当发生故障或无效 时，MCU进入其他4种安全状态的某一种状态时，开发者必须确保整个系统可以进到系统的安全状态。

为了确保系统安全状态与MCU安全状态可以匹配在一起，我们可以通过下列步骤分析并开发：

第一步：第一步我们先明确MCU在各故障或无效状况下必须进到哪种MCU 安全状态

1)MCU的安全手册上面定义了相对应的安全机智来解决MCU内部的故障或失效，这些机制的叙述里会推荐您选用哪种处理方法，优先选择推荐方法(例如当检测到供电电压太低时MCU 就会自动复位;或是MCU检测到内部错误通过专业的故障指示引脚对外指示内部错误信号)。

2)针对安全状态可选择的MCU芯片内部故障或无效，可以先设置成待定；

第二步：匹配系统安全状态与MCU安全状态

利用FMEA分析的方法，分析第一步里的MCU不一样的故障和无效发生时，在系统方面会引起的系统无效是如何的，并根据设置的安全计划反过来验证MCU进入到的安全状态是不是可以确保系统也可以进入到安全状态。这儿需要分状况探讨：

1)针对选用MCU安全手册里给明的要进入到的安全状态，这时关键要检查系统设计，确定MCU的安全状态进入并保持时，系统可以进到系统安全状态并保持;

2)针对第一步的第二种状况，我们需要先看无效在系统方面的影响——>结合系统安全目标——>选中MCU必须进到的安全状态——>进一步检查系统机制设计是不是可以确保不违背安全目标;如果不能满足的话，就必须要考虑更改系统层设计。

举例说明：例如MCU芯片发生内存随机错误，造成汽车软件输出的控制指令出现异常，这时候就能够选用的MCU安全状态有：对外报告错误、复位、关闭电源或关闭MCU芯片全部输出和通信作用。

这时我们还需要看发生错误时控制指令输出异常是否会造成比较严重的系统故障并违背安全目标，例如电动助力转向EPS的助力电机指令出现异常会造成比较严重的后果，为了解决这类状况，选择一个合适的MCU安全状态是对外报告错误并断开 MCU的控制指令输出 ，并在系统方面上确保此时的助力电机不工作。

第三步：检查并确定系统的FTTI，L-FTTI指标值可以满足

因为MCU检测到自身故障并驱动进到MCU安全状态，再到系统进到安全状态，全过程需要一定的时间。该步骤的目的便是要确保针对单点无效，从MCU发生故障到系统进到安全状态所需要的世界在系统FTTI以内。而对于潜在故障，相对应指标也可以满足在L-FTTI内。

完成了上面三个步骤，大部分能够保证MCU故障或无效进到的MCU安全状态与系统安全状态之间匹配，从而指导开发者通过MCU手册来实现MCU的安全机制，并且和系统方面的安全体制融合在一起。