HARA (Hazard Analysis and Risk Assessment)
flexM4I > abordagens e práticas > HARA (Hazard Analysis and Risk Assessment)(versão 1.0)
Autoria: Henrique Rozenfeld (roz@usp.br) com apoio do chatGPT 4.0 (leia mais)
Conteúdo desta página
- 1 Introdução
- 2 Definição
- 3 Descrição resumida
- 4 Quando você deveria utilizar o HARA
- 5 Por que você deveria utilizar o HARA
- 6 Passos de desenvolvimento
- 6.1 Passo 1: Identificar todas as situações operacionais relevantes e modos de operação
- 6.2 Passo 2: Identificar sistematicamente os perigos do item
- 6.3 Passo 3: Classificar os eventos perigosos usando severidade, exposição e controlabilidade
- 6.4 Passo 4: Determinar o Nível de Integridade de Segurança Automotiva (ASIL)
- 6.5 Passo 5: Definir um objetivo de segurança para cada evento perigoso
- 6.6 Passo 6: Verificar o HARA
- 6.7 Passo 7: Confirmar o HARA
- 7 Quem é o responsável por desenvolver o HARA
- 8 Relação HARA e FMEA
- 9 Apoio do chatGPT 4.0
- 10 Referências
Introdução
O HARA é um dos métodos / procedimentos propostos pela norma ISO 26262 para a segurança funcional de sistemas elétricos e eletrônicos em veículos automotivos.
ISO 26262 é uma adaptação da IEC 61508 para a indústria automotiva. A norma IEC 61508, “Functional safety of electrical/electronic/programmable electronic safety-related systems”, é um padrão técnico que fornece as diretrizes para o ciclo de vida completo de todos os sistemas relacionados à segurança que incluem componentes elétricos, eletrônicos e programáveis eletrônicos. |
Atenção! Esta seção traz somente os conceitos principais deste método e não substitui a utilização da norma original
Definição
O HARA (Hazard Analysis and Risk Assessment – Análise de Perigos e Avaliação de Riscos) é um “método para identificar e categorizar eventos perigosos de itens e especificar metas de segurança e os ASILs (Automotive Safety Integrity Level – Níveis de Integridade de Segurança Automotiva) relacionadas à prevenção ou mitigação dos perigos associados, a fim de evitar riscos inaceitáveis” (Petry, 2022).
Observações
Observação 1: o termo”perigosos” (hazard) da definição refere-se exclusivamente a perigos que podem causar lesões físicas ou danos à saúde das pessoas. Os danos à reputação ou aos custos para os fabricantes de automóveis e seus fornecedores não estão incluídos nesta análise.
Para os outros “perigos”, que são efeitos vindos de possíveis falhas (modos de falha potenciais) devem ser analisados pelo FMEA. As lesões físicas ou danos à saúde das pessoas, que também são efeitos, podem ser avaliados pelo FMEA. |
Observação 2: o termo “itens” da definição refere-se aos sistemas que implementam funções no nível do automóvel (e não no nível dos subsistemas, componentes etc.).
Exemplos de funções / sistemas: direção, freio, controle de direção automático (cruise control) e faróis.
Veja o tópico “Quem é o responsável por desenvolver o HARA” mais adiante. |
Observação 3: o termo “riscos inaceitáveis” da definição é interpretado com riscos julgados pela sociedade como moralmente inaceitáveis. Portanto, depende de conceitos morais validos na sociedade. É complicado definir uma avaliação objetiva desses critérios. A ISO 26262 possui critérios concretos, mas no caso do HARA, esses critérios dependem da montadora, isso pode levar a resultados distintos do HARA.
Por exemplo, os riscos inaceitáveis podem depender do tipo de uso do veículo, região, habilidade do motorista típico etc.
A ISO 26262 de certa forma considera algumas diferenças que se refletem em tabelas distintas para automóveis, caminhões, ônibus e motocicletas. Mas em última análise, o HARA depende da pessoa que realiza. Por este motivo, a ISO 26262 exige que haja revisões e confirmações realizadas por um organismo independente.
Observação 4: não está explícito na definição acima, que o HARA se relaciona com riscos de lesões físicas ou danos à saúde. Mas o HARA sempre identifica potenciais perigos associados ao funcionamento dos sistemas veiculares, avaliando como esses perigos podem causar lesões ou danos à saúde dos ocupantes do veículo, pedestres ou outras partes envolvidas.
Descrição resumida
O foco principal da ISO 26262 e, consequentemente, do HARA, é a segurança funcional, que se concentra na minimização dos perigos que poderiam resultar em acidentes ou lesões devido ao funcionamento inadequado de sistemas elétricos e eletrônicos.
Leia mais sobre segurança funcional no nosso glossário. |
Após identificar todas as situações operacionais relevantes e modos de operação de um veículo, devemos identificar sistematicamente os itens que resultam em funções de alto nível do automóvel, que podem estar relacionadas com perigos, que surgem nessas situações operacionais.
Em seguida classificamos os perigos de acordo com os seguintes critérios:
- a severidade das potenciais lesões ou danos;
- a probabilidade de exposição das pessoas (motoristas, passageiros, pedestres, outros usuários de soluções de mobilidade, enfim, todas as pessoas envolvidas) a esses perigos; e
- a capacidade de controlar ou evitar (usamos aqui o anglicismo “controlabilidade” do inglês “controllability) consequências através da ação do motorista ou de sistemas de segurança.
Com base nesses critérios de perigo, é determinado os ASILs (Automotive Safety Integrity Level – Níveis de Integridade de Segurança Automotiva), classificado em 4 níveis.
Após determinar os ASILs para eventos perigosos, o próximo passo é formular os chamados objetivos de segurança. Estes são objetivos funcionais ou requisitos de segurança de alto nível, e devem ser adequados para prevenir ou mitigar eventos perigosos.
Observe que os objetivos de segurança são o resultado da aplicação do HARA. E esses objetivos estão relacionados somente com possíveis acidentes ou lesões devido ao funcionamento inadequado de sistemas elétricos e eletrônicos. A definição de ações pode ser realizada por métodos complementares como o FMEA. |
O HARA na ISO 26262 é utilizado para a identificação e avaliação preliminar de perigos associados aos sistemas elétricos e eletrônicos em veículos que poderiam resultar em acidentes ou lesões
Quando você deveria utilizar o HARA
- No início do desenvolvimento de um novo sistema eletrônico veicular, quando os requisitos iniciais estão sendo estabelecidos.
- Durante as iterações do design, quando modificações ou atualizações são feitas que podem influenciar a segurança funcional.
- Após mudanças significativas em sistemas existentes ou na introdução de novas tecnologias ou funcionalidades.
- Como parte da avaliação de impacto quando são identificados novos perigos ou informações sobre operação do veículo, ou após incidentes de segurança.
- Antes de finalizar o design para produção, para garantir que todos os perigos foram identificados e mitigados.
- Em qualquer revisão do ciclo de vida do produto onde novos riscos possam surgir, como na expansão para novos mercados com diferentes regulamentações ou condições de operação.
Por que você deveria utilizar o HARA
- Para identificar e avaliar perigos que podem levar a danos ou lesões em caso de falha dos sistemas elétricos e eletrônicos.
- Para garantir a conformidade com as normas internacionais de segurança veicular, como a ISO 26262, que visa a segurança funcional.
- Para sistematizar e documentar o processo de avaliação de riscos, criando uma base sólida para o desenvolvimento de requisitos de segurança.
- Para determinar os níveis adequados de medidas de segurança e estabelecer uma estrutura para desenvolvimento, verificação e validação de sistemas seguros.
- Para minimizar a probabilidade de acidentes devido a falhas no sistema, melhorando a confiabilidade e a segurança geral do veículo.
- Para evitar custos associados a recalls, responsabilidade por danos e perda de confiança dos consumidores, mantendo a integridade da marca.
Passos de desenvolvimento
Esses passos foram resumidos de Petry (2022) com exemplos extraídos de outras fontes.
Lembre que o foco deste método é para:
- identificar e categorizar eventos perigosos de itens que podem causar lesões físicas ou danos à saúde das pessoas devido ao funcionamento inadequado de sistemas elétricos e eletrônicos em veículos automotivos
e especificar metas de segurança e os ASILs (Automotive Safety Integrity Level – Níveis de Integridade de Segurança Automotiva)
Passo 1: Identificar todas as situações operacionais relevantes e modos de operação
Começa com a definição de um item existente. Determine situações operacionais relevantes e modos de operação, como dirigir na cidade, em estradas rurais ou na autoestrada, além de modos como dirigir para frente, marcha à ré ou elevar o veículo na oficina com o motor funcionando. A subcategoria de situação ou modo operacional a ser considerada varia conforme o item específico.
Passo 2: Identificar sistematicamente os perigos do item
Neste passo, considere os riscos à vida e à integridade física. Anote todos os perigos que possam surgir de uma falha no item ou de um uso inadequado previsível pelo motorista. Perigos para passageiros e outros usuários da via devem ser determinados em nível veicular.
Um exemplo é a aceleração não intencional causada pelo controle de cruzeiro adaptativo. As luzes do veículo representam um perigo se apagarem inesperadamente. A forma como o item foi projetado ou fabricado não é relevante, mas se uma falha em um item levar à falha de outro, os perigos associados devem ser considerados.
Passo 3: Classificar os eventos perigosos usando severidade, exposição e controlabilidade
Um perigo específico que ocorre em uma situação operacional é agora chamado de evento perigoso. Neste terceiro passo, esses eventos perigosos são avaliados individualmente segundo três critérios:
- Severidade de qualquer lesão potencial (S)
- Frequência com que uma situação operacional ocorre – a exposição (E)
- Se uma situação pode ser gerenciada para evitar lesões – a controlabilidade (C)
Por exemplo, um evento perigoso é se as luzes se apagarem enquanto se dirige no escuro em uma estrada rural sinuosa.
Os níveis desses critério são:
Severidade (S) severity of injuries
- S0: Sem lesões
- S1: Lesões leves
- S2: Lesões graves
- S3: Lesões fatais ou incapacitantes
Exposição (E) exposure
- E0: Muito improvável (Raro)
- E1: Improvável (Baixo)
- E2: Possível (Moderado)
- E3: Provável (Alto)
- E4: Muito provável (Contínuo ou Frequente)
Controlabilidade (C)
- C0: Facilmente controlável
- C1: Normalmente controlável
- C2: Dificilmente controlável
- C3: Praticamente incontrolável
Observe que é semelhante aos índices do FMEA, mas no HARA é específico para riscos de lesões corporais aos usuários, em veículos automotivos, devido ao funcionamento inadequado de sistemas elétricos e eletrônicos (que é o escopo da ISO 26262). |
Tabela 1058: comparação entre os critérios de perigo do HARA e os índices do FMEA
Passo 4: Determinar o Nível de Integridade de Segurança Automotiva (ASIL)
O Nível de Integridade de Segurança Automotiva (ASIL) para cada evento perigoso é calculado com base em uma tabela que cruza os valores estimados para Severidade (S), Exposição (E) e Controlabilidade (C).
Na próxima figura apresentamos dois exemplos dessa tabela.
Tabela 1059: tabelas para determinação do Nível de Integridade de Segurança Automotiva (ASIL) a partir do cruzamento dos valores de Severidade (S), Exposição (E) e Controlabilidade (C)
Fontes: tabela da esquerda, Aptiv (2020); tabela da direita, Petry (2022)
Os nível de integridade de segurança automotiva (ASIL) são:
- ASIL A: Associado a um risco mais baixo, onde a exposição a situações operacionais que poderiam levar a lesões é menos frequente. As medidas de segurança necessárias são proporcionais ao risco mais baixo.
- ASIL B: Indica um risco moderado com exposição mais frequente a situações operacionais que podem causar lesões de moderada gravidade. As medidas de segurança são mais rigorosas que para ASIL A, refletindo a frequência aumentada de exposição.
- ASIL C: Representa um risco considerável, com exposições ainda mais frequentes a situações operacionais que podem resultar em lesões graves. As medidas de segurança são intensificadas em resposta à exposição mais frequente e à gravidade potencial das lesões.
- ASIL D: Refere-se ao mais alto nível de risco, com situações operacionais que apresentam exposição frequente e que podem levar a lesões graves ou fatais. Exige as medidas de segurança mais rigorosas, pois a frequência de exposição a esses perigos é alta e as consequências são as mais severas (morte ou lesões corporais graves).
- QM: este nível adicional que está na tabela indica “quality management”, ou seja, gestão da qualidade, que significa que não há necessidade de implementar medidas adicionais de redução de risco além daquelas já realizadas pelo sistema de qualidade aceitável para aquele tipo de empresa.
Exemplos:
- “Sistemas como airbags, freios antibloqueio e direção hidráulica exigem uma classificação ASIL-D – o mais alto rigor aplicado à garantia de segurança – porque os riscos associados à sua falha são os mais elevados. No outro extremo do espectro de segurança, componentes como luzes traseiras requerem apenas um grau ASIL-A. Os faróis e as luzes de freio geralmente seriam ASIL-B, enquanto o controle de cruzeiro geralmente seria ASIL-C” (Synopsys, 2024).
- “Digamos que o indicador de velocidade do veículo no display do painel falhe. É possível que o indicador não mostre nenhuma informação (ou seja, esteja sempre zerado) ou possa exibir a velocidade errada. No primeiro caso, a Controlabilidade é muito alta, pois o motorista poderia facilmente perceber a falha e então dirigir com mais cautela. Esse cenário poderia ser classificado como QM. No segundo caso, a falha é menos óbvia para o condutor (por exemplo, indica 55 mph quando deveria indicar 65 mph), mas a Controlabilidade ainda é relativamente forte, pelo que este cenário poderia ser classificado como ASIL-A ou ASIL-B” (Aptiv, 2020).
- “Digamos que os freios do motorista falham durante uma situação operacional de alta velocidade em ruas movimentadas. Isto teria um efeito grave na capacidade do condutor de controlar o veículo e, como resultado, existe a possibilidade de o condutor ou outras pessoas se ferirem gravemente. Este risco seria classificado como ASIL-D neste caso” (Aptiv, 2020).
- “Uma falha semelhante do freio durante um cenário de baixa velocidade em ruas menos movimentadas pode ser classificada em um ASIL inferior, devido à capacidade do motorista de cruzar o veículo para reduzir a velocidade e eventualmente parar o carro. Qualquer sistema que controle a direção ou a travagem provavelmente teria de suportar uma série de cenários, muitos dos quais seriam classificados como ASIL-D, uma vez que essas funções são tão críticas para a operação e controle do veículo” (Aptiv, 2020).
No caso da tabela da direita da figura anterior
No cenário mais crítico, temos um evento perigoso que pode resultar em lesão fatal (S3), com veículos frequentemente em situações operacionais onde isso pode ocorrer (E4), e a lesão pode ser evitada em menos de 90% dos casos (C3). Tal evento receberá ASIL D, indicando que os requisitos mais rigorosos da ISO 26262 devem ser aplicados para prevenir a ocorrência do evento.
Passo 5: Definir um objetivo de segurança para cada evento perigoso
Após determinar os ASILs para eventos perigosos, o próximo passo é formular os chamados objetivos de segurança. Estes são objetivos funcionais ou requisitos de segurança de alto nível, e devem ser adequados para prevenir ou mitigar eventos perigosos. É possível formular objetivos de segurança individuais para vários eventos perigosos, resultando em um número reduzido de objetivos de segurança. Cada objetivo de segurança recebe o ASIL mais alto dos eventos perigosos correspondentes.
Por exemplo, um objetivo de segurança pode ser: “impedir que um sistema de bloqueio do volante por eletromagnetismo seja ativado enquanto o veículo estiver em movimento”.
O principal resultado de um HARA é um conjunto de objetivos de segurança com ASILs correspondentes, fornecendo um ponto de partida para o desenvolvimento de um conceito de segurança funcional.
Observe que as ações para mitigação ou eliminação dos riscos não foram determinadas. Este passo define os objetivos de segurança que se deve atingir depois da análise. |
Passo 6: Verificar o HARA
Depois de realizar e documentar o HARA, é necessário submetê-lo a uma verificação conforme as regras da ISO 26262, parte 8. Uma equipe de revisão deve, por exemplo, verificar a suficiência e razoabilidade de todos os eventos perigosos considerados. Também deve avaliar se os objetivos de segurança (determinados no passo 5) são consistentes com os perigos identificados e se o procedimento de HARA foi aplicado corretamente.
Passo 7: Confirmar o HARA
Cada HARA deve ser avaliado por uma pessoa que não faz parte do desenvolvimento. É necessária uma confirmação independente para garantir que o ASIL correto foi estabelecido e que os critérios da ISO 26262 para um HARA foram atendidos.
Quem é o responsável por desenvolver o HARA
Como consequência da observação 2 (os “itens” da definição refere-se aos sistemas que implementam funções no nível do automóvel), e como os sistemas de um automóvel interagem entre si, a princípio são as montadoras que possuem a visão do todo (do automóvel e seus sistemas) e por isso, os fabricantes de automóveis são os responsáveis por implementar o HARA.
Porém, a realização do HARA e outras análises de risco é uma responsabilidade compartilhada, com expectativas e requisitos detalhados geralmente definidos em acordos específicos entre montadoras e fornecedores.
Conforme definido pela ISO 26262, a responsabilidade pode variar dependendo de acordos específicos entre montadoras (OEMs – Original Equipment Manufacturers) e seus fornecedores. Contudo, é importante entender alguns princípios gerais sobre como o HARA e as responsabilidades de segurança funcional são compartilhadas ou distribuídas.
Responsabilidade das Montadoras:
- As montadoras, sendo os integradores finais do veículo, têm a responsabilidade geral de garantir a segurança funcional do veículo como um todo. Isso inclui a realização de um HARA abrangente para o veículo, considerando todos os sistemas e componentes integrados.
- O HARA realizado pelas montadoras foca nos perigos e riscos em nível de veículo ou sistema, derivando requisitos de segurança funcional de alto nível que devem ser atendidos pelos sistemas e componentes fornecidos.
Responsabilidade dos Fornecedores:
- Os fornecedores de sistemas, subsistemas ou componentes também têm responsabilidades significativas em relação à segurança funcional. Eles precisam garantir que seus produtos atendam aos requisitos de segurança funcional especificados pelas montadoras, o que pode incluir a realização de suas próprias análises de risco e HARA para características específicas de seus produtos.
- Em muitos casos, os fornecedores são responsáveis por realizar análises detalhadas, como FMEA (Failure Mode and Effects Analysis) ou outras avaliações de risco pertinentes a seus produtos, para identificar potenciais modos de falha e assegurar que os riscos sejam adequadamente mitigados.
Colaboração Montadora-Fornecedor:
- A relação entre montadoras e fornecedores é frequentemente colaborativa, com ambos trabalhando juntos para garantir a segurança funcional em todos os níveis do veículo. Isso pode incluir a troca de informações detalhadas sobre requisitos de segurança, resultados de análise de risco e estratégias de mitigação.
- As montadoras podem requerer que fornecedores sigam certas práticas ou padrões (como partes específicas da ISO 26262) e forneçam evidências de conformidade, como parte do processo de qualificação e seleção de fornecedores.
Relação HARA e FMEA
O HARA (Hazard Analysis and Risk Assessment) na ISO 26262 é utilizado principalmente para a identificação e avaliação preliminar de perigos associados aos sistemas elétricos e eletrônicos em veículos, e não para o desenvolvimento direto de soluções específicas para os modos de falha identificados.
O objetivo do HARA é identificar os perigos potenciais que podem resultar do mau funcionamento desses sistemas e avaliar o risco associado a esses perigos, considerando a severidade do dano potencial, a probabilidade de exposição ao perigo e a possibilidade de controle ou mitigação.
Como já vimos, as funções principais do HARA incluem:
- Identificação de perigos: Determinar situações em que o mau funcionamento de sistemas elétricos e eletrônicos pode levar a condições perigosas.
- Avaliação de riscos: Estimar o nível de risco associado a cada perigo identificado, geralmente resultando na classificação de Níveis de Integridade de Segurança (ASIL).
- Direcionamento para análise e mitigação: Baseado na avaliação de riscos, o HARA direciona a determinação subsequente de requisitos de segurança e estratégias de mitigação. Embora o HARA por si só não desenvolva soluções específicas para modos de falha, ele estabelece a base para que essas soluções sejam criadas.
Após a identificação e quantificação dos riscos pelo HARA, a responsabilidade por desenvolver soluções específicas para mitigar esses riscos é tipicamente realizada por meio de processos subsequentes, como o FMEA e o desenvolvimento de requisitos de segurança. Estes processos são usados para:
- Analisar modos de falha: O FMEA detalha os modos de falha potenciais, suas causas e efeitos, incluindo aqueles que podem resultar em riscos de segurança identificados no HARA.
- Desenvolver ações de mitigação / eliminação: Com base na análise do FMEA, são propostas ações para mitigar / eliminar os riscos, que podem incluir alterações de design, controles adicionais, ou medidas de proteção.
- Documentação e Implementação: Os resultados dessas análises e as soluções propostas são documentados e implementados para garantir que os riscos identificados sejam efetivamente gerenciados.
- Desenvolvimento de requisitos de segurança: O HARA define objetivos de segurança, que são declarações de alto nível sobre o que deve ser feito para evitar ou mitigar os riscos identificados. Esses objetivos são derivados diretamente dos perigos e riscos avaliados durante o HARA. Este desenvolvimento traduz os objetivos em requisitos (mensuráveis) que podem ser implementados e verificados.
O desenvolvimento de requisitos de segurança, a partir dos objetivos do HARA, segundo a ISO 26262, possui os seguintes passos gerais:
Embora o procedimento detalhado possa variar entre diferentes projetos e indústrias, o conceito fundamental de traduzir objetivos de segurança em requisitos específicos, verificáveis e mensuráveis, e então validar esses requisitos, é um pilar central da segurança funcional. |
Objetivos Complementares
Tanto o HARA e como o DFMEA são utilizados para identificar e avaliar riscos, mas com enfoques diferentes:
- O HARA se concentra em identificar perigos e avaliar riscos associados aos sistemas elétricos e eletrônicos de um veículo, que podem causar lesões físicas ou danos à saúde das pessoas
- O DFMEA é mais geral. Ele analisa modos potenciais de falha no design de um produto, suas causas e efeitos e ainda determina ações de mitigação ou eliminação dos riscos.
O HARA pode identificar perigos que necessitam ser mitigados, e o DFMEA pode ser usado para analisar como esses perigos podem ser manifestados através de falhas no design. Assim, os resultados do HARA podem influenciar a análise realizada no DFMEA.
Além disso, o HARA é aplicado nas fases iniciais e para as principais funções de um automóvel e suas relações, como vimos anteriormente. O DFMEA desce até o nível de componentes, e sempre com um foco nos sistemas elétricos e eletrônicos de um veículo, que podem causar lesões físicas ou danos à saúde das pessoas
E a relação com o DVP&R?
O Plano e Relatório de Verificação de Design (DVP&R) é um complemento do DFMEA para coordenar e desenvolver um plano detalhado de testes e verificações com base nas ações recomendadas do DFMEA, com o objetivo final de aumentar a confiabilidade dos produtos. O DVP&R pode também utilizar informações do HARA. no caso dos sistemas elétricos e eletrônicos de um veículo.
Apoio do chatGPT 4.0
A edição de alguns tópicos desta seção contou com o apoio do chatGPT 4.0, o assistente de Inteligência Artificial da OpenAI:
- Primeiramente, foi realizado um levantamento de fontes sobre os tópicos “Quando e por que você deveria utilizar o HARA”. Essas fontes utilizadas pelo chatGPT para criar esses dois tópicos. Posteriormente, esses tópicos foram complementados, corrigidos e editados pelo autor desta seção.
- Os passos de desenvolvimento do HARA foram resumidos pelo chatGPT a partir da publicação de Petry (2022) Os exemplos e tabelas foram extraídos de outras fontes. Os passos foram complementados e editados pelo autor desta seção.
- A primeira versão da relação do HARA com o FMEA foi criada pelo autor, após leituras de das publicações citadas nas referência e, em especial, das discussões do fórum The Elsmar Coven (2024). Em seguida, o autor escreveu diversas afirmações e foi conferindo com o chatGPT, que eventualmente acrescentava alguns pontos, que o autor procurava confirmação em outras fontes.
- Estamos entrando em contato atualmente com especialistas para revisarem o conteúdo desta seção.
Referências
Aptiv (2020). What Is ASIL-D? Disponível em: https://www.aptiv.com/en/insights/article/what-is-asil-d Acesso em: 11 fevereiro 2024.
Petry, Erwin (2022) ISO 26262:2018 Part 3 – Clause 6: Hazard Analysis and Risk Assessment. KUGLER MAAG CIE GmbH. Disponível em: https://www.kuglermaag.com/functional-safety/hara/#downloadForm Acesso em: 11 fevereiro 2024.
Synopsys (2024). What Is ASIL-D? Disponível em: https://www.synopsys.com/automotive/what-is-asil.html Acesso em: 11 fevereiro 2024.
The Elsmar Coven (2024) A Free Quality Discussion Forum and Process Improvement Resource for Quality Assurance, Engineering, and Management Professionals. Disponível em: https://elsmar.com/ Acesso em: 12 fevereiro 2024.