3. 过渡到安全状态,并且如果适用的话,从安全状态过渡 -> Transition to a safe state, and if applicable, from a safe state我们必须明确一个安全状态的入口点以及如何从该安全状态退出。相同的相关项定义可以有多个安全状态。
4. 故障容错 -> Fault tolerance这是一个面向产品的概念,它以有限的能力承受故障,并且掩盖其表现形式。为了使系统具有容错性,无论系统的哪个部分发生了失效,都能够使系统继续运行。
5. 驾驶员警告,目的是将危害暴露(E)时间缩短到可接受的范围内 -> driver warning to reduce risk exposure (E) time to an acceptable duration举例:如果气囊传感器出现故障,安全气囊控制器应该向仪表板发出警告信息。(注意,这里我们没有指定要发送警告的故障类型,因为这是在功能的级别;我们可以在FSC中列出潜在的故障,这样我们可以在后续的TSC中来跟踪。)这样一来,风险暴露的时间就大大的降低了,因为驾驶员有时间开车去修理店维修。
6. 驾驶员警告,目的是增加驾驶员对车辆的控制性 -> Driver warning to increase controllability by the driver如果驾驶员得到及时反馈当相关项失效发生时,那么由于驾驶员对某一故障的及时响应,参数 C 的额定值就会降低。比如:AEB 故障应发送到仪表显示。当驾驶员看到此故障时,他就不会再依赖于AEB,如果车辆前方有障碍物,他就会踩下制动踏板,因此警告信息增强了驾驶员对车辆的控制性。
7. 故障时的功能降级,以及它和 5、6点的相互作用 ->The degradation of the functionality in the presence of a fault and its interaction with 5 or 6我们需要描述发生故障时的降级功能。举例:将车辆维持在跛行模式,知道点火开关由ON 切换到OFF。
8. 定义故障处理时间以满足故障容错时间间隔 -> Define the FHDI to meet the FTTI
每个安全目标都有一个对应的FTTI,因此在车辆级别上应该遵循该间隔将最大的处理时间约束定义为小于FTTI。
所描绘的时间线说明了在FTTI结束之前必须进入到安全状态,为什么呢?
因为过了这段时间,危害就会产生,从而导致安全目标的违背。
如果FTTI时间是2秒,并且我们在第2.5秒进入到安全状态,那就已经违反了安全目标了。
9. 避免/减轻由于不同功能同时生成的多个控制请求的不当仲裁而导致的危害事件 -> Avoidance/mitigation of a hazardous event due to improper arbitration of multiple control request generated simultaneously by different functions
在SbW系统架构中,我们注意到线控转向控制器接受来自多个发送方的转向请求,并且从中仲裁执行命令。如下面图所示。
制动系统快(ESC, ABS);
车道保持辅助(LKA)功能块;
驾驶员;
如果来自多个发送方的多个请求,那个发送方将是主导的转向功能?我猜测是LKA模块,我的猜测是正确的吗?
因此,为了避免任何不当的仲裁,我们应该实施安全机制。比如:当ADAS要求安全监控时,我们应确保安全。此外,它可以保证来自不同来源的驱动电流模式来检查LKA转向请求的合理性。什么是合理性(Plausibility)?这个是下期的讨论话题,本期不过多阐述。