3． 過渡到安全狀態，并且如果適用的話，從安全狀態過渡 －＞ Transition to a safe state， and if applicable， from a safe state我們必須明確一個安全狀態的入口點以及如何從該安全狀態退出。相同的相關項定義可以有多個安全狀態。

4． 故障容錯 －＞ Fault tolerance這是一個面向產品的概念，它以有限的能力承受故障，并且掩蓋其表現形式。為了使系統具有容錯性，無論系統的哪個部分發生了失效，都能夠使系統繼續運行。

5． 駕駛員警告，目的是將危害暴露（E）時間縮短到可接受的范圍內 －＞ driver warning to reduce risk exposure （E） time to an acceptable duration舉例：如果氣囊傳感器出現故障，安全氣囊控制器應該向儀表板發出警告信息。（注意，這里我們沒有指定要發送警告的故障類型，因為這是在功能的級別；我們可以在FSC中列出潛在的故障，這樣我們可以在后續的TSC中來跟蹤。）這樣一來，風險暴露的時間就大大的降低了，因為駕駛員有時間開車去修理店維修。

6． 駕駛員警告，目的是增加駕駛員對車輛的控制性 －＞ Driver warning to increase controllability by the driver如果駕駛員得到及時反饋當相關項失效發生時，那么由于駕駛員對某一故障的及時響應，參數 C 的額定值就會降低。比如：AEB 故障應發送到儀表顯示。當駕駛員看到此故障時，他就不會再依賴于AEB，如果車輛前方有障礙物，他就會踩下制動踏板，因此警告信息增強了駕駛員對車輛的控制性。

7． 故障時的功能降級，以及它和 5、6點的相互作用 －＞The degradation of the functionality in the presence of a fault and its interaction with 5 or 6我們需要描述發生故障時的降級功能。舉例：將車輛維持在跛行模式，知道點火開關由ON 切換到OFF。

8． 定義故障處理時間以滿足故障容錯時間間隔 －＞ Define the FHDI to meet the FTTI

每個安全目標都有一個對應的FTTI，因此在車輛級別上應該遵循該間隔將最大的處理時間約束定義為小于FTTI。

所描繪的時間線說明了在FTTI結束之前必須進入到安全狀態，為什么呢？

因為過了這段時間，危害就會產生，從而導致安全目標的違背。

如果FTTI時間是2秒，并且我們在第2．5秒進入到安全狀態，那就已經違反了安全目標了。

9． 避免／減輕由于不同功能同時生成的多個控制請求的不當仲裁而導致的危害事件 －＞ Avoidance／mitigation of a hazardous event due to improper arbitration of multiple control request generated simultaneously by different functions

在SbW系統架構中，我們注意到線控轉向控制器接受來自多個發送方的轉向請求，并且從中仲裁執行命令。如下面圖所示。

制動系統快（ESC， ABS）；

車道保持輔助（LKA）功能塊；

駕駛員；

如果來自多個發送方的多個請求，那個發送方將是主導的轉向功能？我猜測是LKA模塊，我的猜測是正確的嗎？

因此，為了避免任何不當的仲裁，我們應該實施安全機制。比如：當ADAS要求安全監控時，我們應確保安全。此外，它可以保證來自不同來源的驅動電流模式來檢查LKA轉向請求的合理性。什么是合理性（Plausibility）？這個是下期的討論話題，本期不過多闡述。