既然你问了，我就来解释一下。
信号灯闪烁是按照ASIL A的级别来设计的，所以只能应付ASIL A的故障，为什么不能应付更高级别的故障呢？
因为ASIL A的失效率等要求低，说得通俗点，发生高级别故障需要信号灯闪烁时它可能不响应，没有发生故障时它可能因为信号灯自己的控制或者线路问题而闪烁。
而信号灯为什么不能按照更高安全等级设计呢？因为不是所有驾驶员都关注信号灯并且明白信号灯意义，比如前面一个同学说看到信号灯闪就以为汽车要爆炸了，这是把问题看严重了，更多的是不把信号灯当回事，忽视这个故障，从而引发更严重的安全问题。所以出现高级别故障时不能依赖信号灯闪烁（但是需要的，安全问题会亮红灯，一般问题亮黄色或者橙色灯）。
这个时候设计什么样的safe state是关键问题，我跟你讨论的也是这个问题，焦点就是哪个才是最合理的safe state。如果有更好的safe state，当然可以不采用中断动力（离合器打开），但是目前没看到。我做的混动项目中，关键地方用到的safe state都是切断电池或者动力线路，考虑到现在锂电池可靠性较低，所以我很担心。。。
【 在 twp 的大作中提到: 】
: 你总是在说什么故障级别，什么定义
: 这个太高端了，说不过你
: 我就想问，用全信号灯频闪，来提示用户变速箱发生严重故障或将要发生严重故障，并
: ...................
--
修改:moliye FROM 194.250.98.*
FROM 194.250.98.*