3． 過(guò)渡到安全狀態(tài)，并且如果適用的話，從安全狀態(tài)過(guò)渡 －＞ Transition to a safe state， and if applicable， from a safe state我們必須明確一個(gè)安全狀態(tài)的入口點(diǎn)以及如何從該安全狀態(tài)退出。相同的相關(guān)項(xiàng)定義可以有多個(gè)安全狀態(tài)。

4． 故障容錯(cuò) －＞ Fault tolerance這是一個(gè)面向產(chǎn)品的概念，它以有限的能力承受故障，并且掩蓋其表現(xiàn)形式。為了使系統(tǒng)具有容錯(cuò)性，無(wú)論系統(tǒng)的哪個(gè)部分發(fā)生了失效，都能夠使系統(tǒng)繼續(xù)運(yùn)行。

5． 駕駛員警告，目的是將危害暴露（E）時(shí)間縮短到可接受的范圍內(nèi) －＞ driver warning to reduce risk exposure （E） time to an acceptable duration舉例：如果氣囊傳感器出現(xiàn)故障，安全氣囊控制器應(yīng)該向儀表板發(fā)出警告信息。（注意，這里我們沒(méi)有指定要發(fā)送警告的故障類型，因?yàn)檫@是在功能的級(jí)別；我們可以在FSC中列出潛在的故障，這樣我們可以在后續(xù)的TSC中來(lái)跟蹤。）這樣一來(lái)，風(fēng)險(xiǎn)暴露的時(shí)間就大大的降低了，因?yàn)轳{駛員有時(shí)間開(kāi)車(chē)去修理店維修。

6． 駕駛員警告，目的是增加駕駛員對(duì)車(chē)輛的控制性 －＞ Driver warning to increase controllability by the driver如果駕駛員得到及時(shí)反饋當(dāng)相關(guān)項(xiàng)失效發(fā)生時(shí)，那么由于駕駛員對(duì)某一故障的及時(shí)響應(yīng)，參數(shù) C 的額定值就會(huì)降低。比如：AEB 故障應(yīng)發(fā)送到儀表顯示。當(dāng)駕駛員看到此故障時(shí)，他就不會(huì)再依賴于AEB，如果車(chē)輛前方有障礙物，他就會(huì)踩下制動(dòng)踏板，因此警告信息增強(qiáng)了駕駛員對(duì)車(chē)輛的控制性。

7． 故障時(shí)的功能降級(jí)，以及它和 5、6點(diǎn)的相互作用 －＞The degradation of the functionality in the presence of a fault and its interaction with 5 or 6我們需要描述發(fā)生故障時(shí)的降級(jí)功能。舉例：將車(chē)輛維持在跛行模式，知道點(diǎn)火開(kāi)關(guān)由ON 切換到OFF。

8． 定義故障處理時(shí)間以滿足故障容錯(cuò)時(shí)間間隔 －＞ Define the FHDI to meet the FTTI

每個(gè)安全目標(biāo)都有一個(gè)對(duì)應(yīng)的FTTI，因此在車(chē)輛級(jí)別上應(yīng)該遵循該間隔將最大的處理時(shí)間約束定義為小于FTTI。

所描繪的時(shí)間線說(shuō)明了在FTTI結(jié)束之前必須進(jìn)入到安全狀態(tài)，為什么呢？

因?yàn)檫^(guò)了這段時(shí)間，危害就會(huì)產(chǎn)生，從而導(dǎo)致安全目標(biāo)的違背。

如果FTTI時(shí)間是2秒，并且我們?cè)诘?．5秒進(jìn)入到安全狀態(tài)，那就已經(jīng)違反了安全目標(biāo)了。

9． 避免／減輕由于不同功能同時(shí)生成的多個(gè)控制請(qǐng)求的不當(dāng)仲裁而導(dǎo)致的危害事件 －＞ Avoidance／mitigation of a hazardous event due to improper arbitration of multiple control request generated simultaneously by different functions

在SbW系統(tǒng)架構(gòu)中，我們注意到線控轉(zhuǎn)向控制器接受來(lái)自多個(gè)發(fā)送方的轉(zhuǎn)向請(qǐng)求，并且從中仲裁執(zhí)行命令。如下面圖所示。

制動(dòng)系統(tǒng)快（ESC， ABS）；

車(chē)道保持輔助（LKA）功能塊；

駕駛員；

如果來(lái)自多個(gè)發(fā)送方的多個(gè)請(qǐng)求，那個(gè)發(fā)送方將是主導(dǎo)的轉(zhuǎn)向功能？我猜測(cè)是LKA模塊，我的猜測(cè)是正確的嗎？

因此，為了避免任何不當(dāng)?shù)闹俨茫�我們�?yīng)該實(shí)施安全機(jī)制。比如：當(dāng)ADAS要求安全監(jiān)控時(shí)，我們應(yīng)確保安全。此外，它可以保證來(lái)自不同來(lái)源的驅(qū)動(dòng)電流模式來(lái)檢查L(zhǎng)KA轉(zhuǎn)向請(qǐng)求的合理性。什么是合理性（Plausibility）？這個(gè)是下期的討論話題，本期不過(guò)多闡述。