-
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erfassung von Daten in einem redundanten System.
-
Fahrzeuge werden nach einem Anforderungskatalog entwickelt. Durch den ständig wachsenden Einsatz von Elektronik in dem Fahrzeug werden einem Benutzer eine Vielzahl von Funktionen und Einstellmöglichkeiten angeboten. Auch sicherheitsrelevante Funktionen des Fahrzeugs, z. B. betreffend Airbag, Antiblockiersystem (ABS), elektronisches Stabilitätsprogramm (ESP), Aktivlenkung (AFS, Active Front Steering), erfordern eine elektronische Ansteuerung und/oder Auswertung. Dabei nehmen die Anforderungen, z. B. Komplexität, Vernetzung und Kommunikation, an die Komponenten zu. Hierbei ist es von Bedeutung, dass trotz steigender Anforderungen die Komponenten, z. B. Steuergeräte, nach vorgegebenen Sicherheitsvorschriften gefertigt werden und dass die Funktion der Komponenten unter Einhaltung vorgegebener Sicherheitsvorschriften erfolgt.
-
Beispielsweise dient ein sogenannter Sicherheitsnachweis dazu, dass für eine Komponente, z. B. ein Steuergerät, oder einen Verbund aus mehreren Komponenten eine Dokumentation von durchgeführten Maßnahmen erfolgt, die zum Erreichen einer vorgegebenen (z. B. notwendigen) Sicherheit erforderlich sind.
-
So kann ein bestimmtes Maß an Sicherheit mittels mindestens eines der folgenden Ansätze zur Fehlerbeherrschung erreicht werden:
- a) Komponenten (oder Teilsysteme) werden redundant ausgelegt.
- b) Es erfolgt eine Aufteilung von Funktionen und/oder Komponenten in sicherheitsrelevante und nicht-sicherheitsrelevante Teilfunktionen oder Teilsysteme.
- c) Die Komponenten verfügen jeweils über Diagnosemechanismen, insbesondere zur Eigendiagnose. Entsprechend kann je nach Anforderung eine hohe Diagnoseabdeckung erreicht werden.
-
Somit können beispielsweise Fehler oder Ausfälle während des eigentlichen Betriebs der Komponente als auch Ausfälle auf Grund systematischer Fehler, wie sie z. B. bei der Entwicklung, Produktion, oder Wartung auftreten können, erkannt werden.
-
Insbesondere gibt es die folgenden Arten von Sicherheitsmaßnahmen:
- 1) Eine Sicherheitsmaßnahme, die bewirkt, dass eine sicherheitskritische Systemfunktion nicht aus- oder weitergeführt wird. Beispielsweise kann eine Überwachungskomponente (”Watchdog”) das Gesamtsystem bei Erkennung eines Fehlers in einen sicheren Zustand überführen, z. B. abschalten.
- 2) Eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter: So kann über eine Aktivierung der Sicherheitsmaßnahme bewirkt werden, dass eine sicherheitskritische Systemfunktion ausgeführt wird.
-
Eine Beschreibung aller zum Erreichen der Sicherheit einer Funktion geeigneten oder notwendigen Sicherheitsmaßnahmen erfolgt in einem sogenannten Sicherheitskonzept.
-
Hierbei ist es grundsätzlich problematisch, dass z. B. bei einer redundanten Auslegung einer Komponente (z. B. eines Steuergeräts) sich widersprechende Sicherheitsanforderungen vorliegen können. Im Falle eines Airbag-Steuergeräts kann z. B. einerseits die Sicherheitsanforderung ”Verhindern einer Fehlauslösung des Airbags” und andererseits die Sicherheitsanforderung ”Sicherstellen der Auslösung des Airbags bei einem Unfall” vorliegen.
-
Somit besteht einerseits ein Zielkonflikt zwischen der Verfügbarkeit und der Sicherheit der Komponente bzw. Funktion. Werden Sicherheitsmaßnahme zu restriktiv ausgelegt, steigt zwar die Sicherheit der Gesamtfunktion bei gleichzeitiger Abnahme der Verfügbarkeit der Funktion. Wird umgekehrt bei entsprechender Auslegung der Sicherheitsmaßnahmen die Verfügbarkeit der Funktion erhöht, sinkt die Sicherheit der Komponente bzw. Funktion.
-
Auch ist es ein Problem, dass aufgrund geringer konkreter Daten und/oder geringer Felderfahrung zum Zeitpunkt der Entwicklung neuer Systeme Abschätzungen und Vermutungen hinsichtlich der Auslegung von Sicherheitsmaßnahmen bzw. der Notwendigkeit von (ggf. zusätzlichen) Sicherheitsmaßnahmen vorgenommen werden.
-
Eine derartige Abschätzung bzw. Vermutung kann u. U. recht ungenau sein und z. B. zu einer zu konservativen Auslegung der Komponente bzw. Funktion führen.
-
Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden und insbesondere eine Möglichkeit zur effizienten Auslegung einer sicherheitsrelevanten Komponente und/oder Funktion zu schaffen. Beispielsweise wird hierdurch die Qualität der Auslegung von Sicherheitsmaßnahmen verbessert.
-
Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung ergeben sich auch aus den abhängigen Ansprüchen.
-
Zur Lösung der Aufgabe wird ein Verfahren zur Erfassung von Daten in einem redundanten System vorgeschlagen, umfassend mindestens zwei Sicherheitspfade,
- – bei dem abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktiviert wird;
- – bei dem die Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
-
Für die Auslegung der Sicherheitsmaßnahmen mit ermöglichendem Charakter ist es von Vorteil, zu wissen, wie oft die Sicherheitsmaßnahme im ”normalen Betrieb” aktiviert wurde bzw. wird. Der hier vorliegende Ansatz stellt eine derartige Größe bereit und erlaubt somit vorteilhaft eine robuste und gleichzeitig nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme. Hierbei wird die Effizienz des Systems erhöht und zusätzliche Kosten für weitere Test- und Absicherungsmaßnahmen (z. B. in Form von ansonsten anfallenden Nacharbeiten für unpassend ausgelegte Sicherheitsmaßnahmen) können eingespart werden.
-
Jeder Sicherheitspfad entspricht z. B. einer Sicherheitsmaßnahme bzw. einer Teilsicherheitsmaßnahme des Systems. Bei der Sicherheitsmaßnahme kann es sich um eine ermöglichende Maßnahme oder eine verbietende (deaktivierende) Maßnahme handeln. Im ersten Fall ermöglicht der Sicherheitspfad eine Aktivierung des sicherheitsrelevanten Systems falls auch der andere Sicherheitspfad (im Falle zweier Sicherheitspfade) die Aktivierung vorschlägt. Somit sind im Ergebnis die Sicherheitspfade logisch UND verknüpft. Alternativ kann jeder Sicherheitspfad verhindern, dass ein sicherheitsrelevantes System aktiviert wird; somit reicht es auch, wenn ein einziger der mehreren Sicherheitspfade ein Verbot zur Aktivierung anzeigt. Dies entspricht einer logischen NICHT-ODER-Verknüpfung.
-
Hierbei sei angemerkt, dass die Aktivierung des mindestens einen Sicherheitspfads einem beliebigen vorgegebenen Ereignis entsprechen kann. Dieses Ereignis wird geeignet erfasst. Beispielsweise kann die Aktivierung des Sicherheitspfads auch zu einer Deaktivierung eines Aktors führen. Insbesondere entspricht die Aktivierung des mindestens einen Sicherheitspfads einer Zustandsänderung des mindestens einen Sicherheitspfads.
-
Bei dem Sicherheitspfad kann es sich auch um einen Funktionspfad handeln, also um einen Pfad, der mit einer vorgegebenen Funktion assoziiert ist. Der Funktionspfad kann mit einem weiteren Sicherheitspfad kombiniert werden, so dass der Sicherheitspfad eine Aktivierung bzw. Deaktivierung eines Aktors sicherstellt, z. B. wenn zusätzlich zu bzw. unabhängig von dem Funktionspfad übereinstimmend mit diesem auch der Sicherheitspfad die Aktivierung bzw. Deaktivierung des Aktors vorschlägt.
-
Eine Weiterbildung ist es, dass das redundante System mindestens ein Steuergerät oder mindestens eine Steuerfunktionalität umfasst.
-
Beispielsweise kann es sich bei dem Steuergerät um ein Steuergerät in einem Kraftfahrzeug handeln, z. B. ein Airbagsteuergerät, ein Steuergerät für ein Antiblockiersystem, ein Steuergerät für eine Aktivlenkung, ein Steuergerät für ein elektronisches Fahrstabilitätsprogramm, etc.
-
Eine andere Weiterbildung ist es, dass das redundante System mindestens einen Aktor umfasst, der über eine geeignete Verknüpfung der Sicherheitspfade aktiviert oder deaktiviert wird.
-
Die Verknüpfung der Sicherheitspfade ist beispielsweise eine UND-Verknüpfung der von den Sicherheitspfaden bereitgestellten Aktivierungssignale. Auch andere logische Verknüpfungen, z. B. eine ODER-Verknüpfung oder eine NICHT-ODER-Verknüpfung sind möglich. Auch Kombinationen aus (beliebigen) logischen Verknüpfungen sind möglich, insbesondere bei einer Vielzahl von Sicherheitspfaden.
-
Der mindestens eine Aktor kann ein beliebiger Aktor, insbesondere ein Aktor in einem Kraftfahrzeug, sein.
-
Insbesondere ist es eine Weiterbildung, dass mit der Aktivierung des mindestens einen Sicherheitspfads die Eingangsparameter oder ein Teil der Eingangsparameter erfasst werden.
-
Auch ist es möglich, dass GPS-Daten zusammen mit der Aktivierung des mindestens einen Sicherheitspfads erfasst werden.
-
Auch ist es eine Weiterbildung, dass das System anhand der erfassten Daten eingestellt wird.
-
Insbesondere kann das System anhand der erfassten Daten geändert oder dimensioniert werden.
-
Ferner ist es eine Weiterbildung, dass die Daten erfasst werden während des Betriebs des Systems und/oder während der Erprobung des Systems.
-
Bei dem System handelt es sich vorzugweise um ein Fahrzeug oder ein Teil in einem Fahrzeug.
-
Im Rahmen einer zusätzlichen Weiterbildung werden die erfassten Daten gespeichert.
-
Beispielsweise können die erfassten Daten zwischengespeichert werden zur späteren Verarbeitung und/oder Anpassung des redundanten Systems.
-
Eine nächste Weiterbildung besteht darin, dass die mindestens zwei Sicherheitspfade unterschiedliche Eingangsparameter auswerten.
-
Optional können die mehreren Sicherheitspfade auch die gleichen Eingangsparameter auswerten. Insbesondere können die mehreren Sicherheitspfade jeweils unterschiedliche Funktionen bereitstellen.
-
Eine Ausgestaltung ist es, dass die mindestens zwei Sicherheitspfade mit unterschiedlicher Hardware ausgeführt sind.
-
Optional können die mehreren Sicherheitspfade auch mit gleicher oder funktionsgleicher Hardware ausgestattet sein. Durch die unterschiedlichen Realisierungen der mehreren Sicherheitspfade ist es möglich, abhängig von dem jeweiligen Bearbeitungsaufwand kosteneffizient Teilfunktionen bereitzustellen. So kann z. B. in einem Sicherheitspfad ein ASIC eingesetzt werden, der kostengünstig ist und schnell geeignete Auswertungen durchführen kann; in einem zweiten Sicherheitspfad kann ein Prozessor mit geeigneter Beschattung vorhanden sein, der aufwändige Berechnungen (z. B. in Echtzeit) durchführt und entsprechend teurer als der oben genannte ASIC ist.
-
Eine alternative Ausführungsform besteht darin, dass eine Dauer der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
-
Eine nächste Ausgestaltung ist es, dass eine Häufigkeit der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
-
Auch ist es eine Ausgestaltung, dass die mindestens zwei Sicherheitspfade gleiche oder unterschiedliche Sicherheitsguten aufweisen.
-
Die Sicherheitsgüte kann z. B. einer Einstufung gemäß den Normen IEC 61508 oder ISO 26262 entsprechen. Somit kann für das Gesamtsystem eine höhere Sicherheitsgüte erreicht werden, obwohl die einzelnen Sicherheitspfade jeweils eine geringere Sicherheitsgüte aufweisen: Durch die redundante Auslegung der Sicherheitspfade steigt die Sicherheitsgüte des Gesamtsystems.
-
Eine weitere Ausgestaltung ist es, dass das redundante System ein System oder eine Funktion in einem Kraftfahrzeug ist.
-
Die vorstehend genannte Aufgabe wird auch gelöst durch eine Vorrichtung zur Erfassung von Daten in einem redundanten System
- – umfassend mindestens zwei Sicherheitspfade,
- – bei der abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktivierbar ist;
- – bei der die Aktivierung des mindestens einen Sicherheitspfads erfassbar ist.
-
Auch wird die oben genannte Aufgabe gelöst durch ein Fahrzeug umfassend mindestens eine der hierin erläuterten Vorrichtungen.
-
Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnung dargestellt und erläutert.
-
Es zeigt:
-
1 ein schematisches Blockdiagramm zur Realisierung einer sicherheitsrelevanten Funktion, z. B. zur Auslösung (mindestens) eines Airbags in einem Fahrzeug.
-
Es wird vorgeschlagen, dass mindestens eine Aktivierung einer Sicherheitsmaßnahme einer Komponente oder einer Funktion, insbesondere eines sicherheitsrelevanten Systems, erfasst wird. Eine solche Aktivierung kann z. B. abgespeichert, übertragen und/oder weiterverarbeitet werden. Insbesondere kann die Aktivierung der Sicherheitsmaßnahme während des normalen Betriebs der Komponente oder Funktion erfasst werden, z. B.
- – während einer Entwicklungsphase oder einer Erprobungsphase bzw.
- – während eines Feldbetriebs.
-
Die Komponente oder Funktion kann Sicherheitsanforderungen und/oder Sicherheitsguten unterliegen, die durch mindestens eine der Sicherheitsmaßnahmen mit ermöglichendem Charakter erfüllt wird.
-
Bei der Sicherheitsmaßnahme mit ermöglichendem Charakter kann beispielsweise eine Absicherung eines Airbagsteuergeräts dahingehend erfolgen, dass ein unerwünschter Fehler ”Fehlauslösen des Airbags” durch eine redundante Aufteilung der Gesamtfunktionalität in zwei Sicherheitspfade vermieden wird. Vorzugsweise können die beiden Sicherheitspfade unterschiedliche Überwachungen durchführen, z. B. basierend auf unterschiedlichen Eingangsparametern. Das Airbagsteuergerät löst in diesem Beispiel nur dann aus, wenn beide Sicherheitspfade übereinstimmend die Aktivierung vorschlagen.
-
Insbesondere wird erfasst und/oder gespeichert, wie oft und/oder wie lange ein Sicherheitspfad aktiviert wird und/oder aktiviert ist.
-
Die erfassten bzw. abgespeicherten Daten z. B. aus dem Erprobungs- oder Feldbetrieb können ausgewertet werden, wodurch
- a) ein Nachweis erbracht werden kann, dass die Komponente bzw. Funktion eine ausreichend robuste aber nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme aufweist;
- b) ein Nachweis erbracht werden kann, dass eine ausreichende Sicherheit der Sicherheitsmaßnahme und/oder der Gesamtfunktion gegeben ist;
- c) ein Nachweis erbracht werden kann, dass eine Aufteilung der Gesamtfunktion in redundante Teilsysteme mit unterschiedlichen Sicherheitsguten funktioniert, insbesondere korrekt ist und eine entsprechende Gültigkeit aufweist.
-
Die vorstehend genannte Nachweise a) bis c) können einzeln oder in Kombination miteinander erbracht werden.
-
Die redundanten Komponenten können gleiche oder unterschiedliche Sicherheitsguten aufweisen. Die Sicherheitsgüte kann z. B. in Form einer SIL oder ASIL Einstufung gemäß den Normen IEC 61508 oder ISO 26262 erfolgen.
-
Hierbei ist es von Vorteil, dass bei der Aufteilung der Gesamtfunktionen in zumindest teilweise redundante Teilsysteme mit jeweils unterschiedlichen Sicherheitsguten diese Teilsysteme nur noch eine gegenüber der Anforderung an das Gesamtsystem reduzierte Sicherheitsgute aufweisen müssen. Somit ermöglicht die redundante Auslegung insgesamt eine kostengunstigere Implementierung der Gesamtfunktion.
-
Durch die hier vorgeschlagene Lösung ist es möglich, sicherheitsrelevante Komponenten oder Funktionen, z. B. Steuergeräte, effizient zu entwickeln und dabei eine vorgegebene Sicherheitsgüte sicherzustellen.
-
Ein weiterer Vorteil besteht darin, dass ein Sicherheitsnachweis erbracht werden kann. Somit ist z. B. eine Zertifizierung möglich oder es kann eine Sicherheitsgüte entsprechend dokumentiert werden.
-
1 zeigt ein schematisches Blockdiagramm zur Realisierung einer sicherheitsrelevanten Funktion, z. B. zur Auslösung (mindestens) eines Airbags in einem Fahrzeug.
-
Um ein bestimmtes Maß an Sicherheit, z. B. eine vorgegebene Sicherheitsgüte, zu erreichen, ist die sicherheitsrelevante Funktion redundant in Form von Teilfunktionen ausgelegt. So kann die Entscheidung, ob oder ob nicht der Airbag gezündet wird davon abhängig gemacht werden, dass Teilfunktionen übereinstimmend eine Aktivierung anzeigen. Jede Teilfunktion stellt somit eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter bereit.
-
Die sicherheitsrelevante Funktion gemäß 1 weist zwei Sicherheitspfade 108, 109 auf. In einem Kraftfahrzeug stehen, z. B. über ein Bussystem, eine Vielzahl von Parametern 101 bis 107 zur Verfügung, die redundanten Teilfunktionen der sicherheitsrelevanten Funktion bereitgestellt werden. Die erste Teilfunktion ist mittels eines Mikrokontrollers 110 und die zweite Teilfunktion ist mittels eines ASICs 111 realisiert. Der Mikrokontroller 110 erhält die Parameter 102, 103, 105 und 106 und bestimmt hieraus, ob oder ob nicht eine Aktivierung der ersten Teilfunktion erfolgen soll. Entsprechend erhält der ASIC 111 die Parameter 101, 103, 106 und 107 und ermittelt, ob eine Aktivierung der zweiten Teilfunktion nötig ist.
-
Die vorstehende Zuordnung von Parametern zu Teilfunktionen ist nur beispielhaft zu verstehen. Es ist auch möglich, dass beide Teilfunktionen jeweils gleiche Parameter, oder beliebige Zuordnungen von Parametern erhalten. Auch können eine Vielzahl von Teilfunktionen (mehr als die zwei gezeigten Sicherheitspfade 108, 109) vorgesehen sein, die auf gleiche oder unterschiedliche Parameter zugreifen und über gleiche oder unterschiedliche Verarbeitungsmittel (Mikrokontroller, Prozessor, FPGA, ASIC, programmierbare Logik, etc.) verfügen.
-
Beispielhaft können unterschiedliche Teilfunktionen mit unterschiedlicher Hardware realisiert sein, z. B. kann in einem Sicherheitspfad eine einfachere bzw. kostengünstigere Hardware eingesetzt werden, die z. B. eine Sicherheitsmaßnahme mit ermöglichendem Charakter bereitstellt, während in dem anderen Sicherheitspfad eine aufwändigere Hardware eine komplexere Auswertung durchführt, ob oder ob nicht die Aktivierung (z. B. eines Airbags) erfolgen soll.
-
Beide Sicherheitspfade 108, 109 liefern unabhängig voneinander ggf. ein Aktivierungssignal; die Aktivierungssignale werden in einer Einheit 112 miteinander kombiniert, d. h. logisch UND verknüpft, so dass ein Aktor 113 nur ausgelöst wird, wenn die Signale beider Sicherheitspfade 108 und 109 übereinstimmend eine Aktivierung vorschlagen.
-
Hierbei sein angemerkt, dass die Einheit 112 auch eine andere logische Verknüpfung aufweisen kann. Z. B. kann es bei einer sicherheitsrelevanten Funktion mittels der Sicherheitspfade nötig sein, dass mindestens ein Sicherheitspfad eine Aktivierung des Aktors 113 durchführen kann. In diesem Fall kann die Einheit 112 die Sicherheitspfade logisch ODER verknüpfen. Ergänzend sei darauf hingewiesen, dass der Aktor 113 dazu eingerichtet sein kann, eine Funktion oder Komponente in einen sicheren Zustand zu überführen. Insbesondere in diesem Fall kann die ODER-Verknüpfung vorteilhaft sein, weil jedes Aktivierungssignal jedes Sicherheitspfads den sicheren Zustand einleitet.
-
Weiterhin ist eine Einheit 114 zur Erfassung und/oder Auswertung von Aktivierungssignalen der beiden Sicherheitspfade 108, 109 vorgesehen. Die Erfassung kann z. B. am Ausgang des Mikrokontrollers 110 oder des ASICs 111 erfolgen. Die Einheit 114 speichert die Aktivierungssignale sowie die Nicht-Aktivierungssignale ab, so dass hieraus insbesondere im Zusammenhang mit weiteren Daten, z. B. einer erfassten Fahrstrecke, feststellbar ist, ob die Auslegung der sicherheitsrelevanten Funktion einer Vorgabe entspricht. Anhand der von der Einheit 114 erfassten Daten ist es z. B. möglich, alle Signale auszuwerten, bei denen mindestens ein Sicherheitspfad 108, 109 eine Aktivierung vorschlägt. Z. B. kann mithilfe von zusätzlich abgespeicherten Parametern das Ereignis ausgewertet werden und diese Auswertung entsprechend zur Einstellung der Auslöseschwellen der Sicherheitspfade 108, 109 verwendet werden. Bei den vorstehend genannten abgespeicherten Parametern handelt es sich z. B. um einen zeitlichen Verlauf der Parameter 101 bis 107 über die Fahrstrecke eines Kraftfahrzeugs, wobei die Fahrstrecke beispielsweise mittels GPS-Koordinaten eines Navigationssystems ermittelt und abgespeichert wird.
-
Weiterhin ist es möglich, dass die Sicherheitspfade 108, 109 mit jeweils einer geringeren Sicherheitsgüte eine höhere Sicherheitsgüte der gesamten sicherheitsrelevanten Funktion ermöglichen. Durch den hier vorgeschlagenen Ansatz kann weiterhin die Güte der sicherheitsrelevanten Funktion geeignet dokumentiert werden. Diese Transparenz ist geeignet, um die sicherheitsrelevante Funktion weiter zu verbessern und so auszulegen, dass sie z. B. noch besser auf das Fahrzeug oder den Fahrzeugtyp abgestimmt ist.
-
Bezugszeichenliste
-
- 101
- Parameter
- 102
- Parameter
- 103
- Parameter
- 104
- Parameter
- 105
- Parameter
- 106
- Parameter
- 107
- Parameter
- 108
- Sicherheitspfad
- 109
- Sicherheitspfad
- 110
- Mikrokontroller
- 111
- ASIC
- 112
- Einheit (zur logischen Verknüpfung der Aktivierungssignale der Sicherheitspfade 108, 109)
- 113
- Aktor
- 114
- Einheit zur Erfassung und/oder Auswertung der Aktivierungssignale
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- IEC 61508 [0039]
- ISO 26262 [0039]
- IEC 61508 [0052]
- ISO 26262 [0052]