Download the full version and explore a variety of ebooks

or text books at https://ebookball.com

Modelling Support for Design of Safety-Critical

Automotive Embedded Systems 1st edition by DeJiu
Chen, Rolf Johansson, Henrik Lonn, Yiannis
Papadopoulos, Anders Sandberg, Fredrik Torner,
Martin Torngren ISBN 3540876977 9783540876977
_____ Follow the link below to get your download now _____

https://ebookball.com/product/modelling-support-for-design-
of-safety-critical-automotive-embedded-systems-1st-edition-
by-dejiu-chen-rolf-johansson-henrik-lonn-yiannis-
papadopoulos-anders-sandberg-fredrik-torner-martin-torngren-
isb/

Access ebookball.com now to download high-quality

ebooks or textbooks
We have selected some products that you may be interested in
Click the link to download now or visit ebookball.com
for more options!.

A Formal Approach for User Interaction Reconfiguration of

Safety Critical Interactive Systems 1st edition by David
Navarre, Philippe Palanque, Sandra Basnyat ISBN 3540876977
9783540876977
https://ebookball.com/product/a-formal-approach-for-user-interaction-
reconfiguration-of-safety-critical-interactive-systems-1st-edition-by-
david-navarre-philippe-palanque-sandra-basnyat-
isbn-3540876977-9783540876977-11314/

Integrating Safety Analyses and Component-Based Design 1st

edition by Dominik Domis, Mario Trapp ISBN 3540876977
9783540876977
https://ebookball.com/product/integrating-safety-analyses-and-
component-based-design-1st-edition-by-dominik-domis-mario-trapp-
isbn-3540876977-9783540876977-11036/

Automating the Processes of Selecting an Appropriate

Scheduling Algorithm and Configuring the Scheduler
Implementation for Time Triggered Embedded Systems 1st
edition by Ayman Gendy, Michael Pont ISBN 3540876977
https://ebookball.com/product/automating-the-processes-of-selecting-
9783540876977
an-appropriate-scheduling-algorithm-and-configuring-the-scheduler-
implementation-for-time-triggered-embedded-systems-1st-edition-by-
ayman-gendy-michael-pont-isbn/

Embedded System Design Embedded Systems Foundations of

Cyber Physical Systems and the Internet of Things 3rd
Edition by Peter Marwedel ISBN 331956045X 9783319560458
https://ebookball.com/product/embedded-system-design-embedded-systems-
foundations-of-cyber-physical-systems-and-the-internet-of-things-3rd-
edition-by-peter-marwedel-isbn-331956045x-9783319560458-15824/
Requirements Engineering for Safety Critical Systems 1st
Edition by Luiz Eduardo G Martins ISBN 1000795969
9781000795967
https://ebookball.com/product/requirements-engineering-for-safety-
critical-systems-1st-edition-by-luiz-eduardo-g-martins-
isbn-1000795969-9781000795967-16012/

Embedded Systems Design Based on Formal Models of

Computation 1st Edition by Ivan Radojevic, Zoran Salcic
ISBN 9789400715943
https://ebookball.com/product/embedded-systems-design-based-on-formal-
models-of-computation-1st-edition-by-ivan-radojevic-zoran-salcic-
isbn-9789400715943-8954/

The Wrong Question to the Right People A Critical View of

Severity Classification Methods in ATM Experimental
Projects 1st edition by Alberto Pasquini, Simone Pozzi,
Luca Save ISBN 3540876977 9783540876977
https://ebookball.com/product/the-wrong-question-to-the-right-people-
a-critical-view-of-severity-classification-methods-in-atm-
experimental-projects-1st-edition-by-alberto-pasquini-simone-pozzi-
luca-save-isbn-3540876977-9783540876/

A Linear Time Algorithm for the k Maximal Sums Problem 1st

Edition by Fredrik Bengtsson, Jingsen Chen ISBN
9783540305514
https://ebookball.com/product/a-linear-time-algorithm-for-the-k-
maximal-sums-problem-1st-edition-by-fredrik-bengtsson-jingsen-chen-
isbn-9783540305514-9960/

Analyzing Fault Susceptibility of ABS Microcontroller 1st

edition by Dawid Trawczynski, Janusz Sosnowski, Piotr
Gawkowski ISBN 3540876977 9783540876977
https://ebookball.com/product/analyzing-fault-susceptibility-of-abs-
microcontroller-1st-edition-by-dawid-trawczynski-janusz-sosnowski-
piotr-gawkowski-isbn-3540876977-9783540876977-11272/
 Modelling Support for Design of Safety-Critical
Automotive Embedded Systems

DeJiu Chen1, Rolf Johansson2, Henrik Lönn3, Yiannis Papadopoulos4,

Anders Sandberg5, Fredrik Törner6, and Martin Törngren1
1
Royal Institute of Technology, SE-10044 Stockholm, Sweden
{chen,martin}@md.kth.se
2
Mentor Graphics Corp., SE-41755 Gothenburg, Sweden
[email protected]
3
Volvo Technology Corp., SE-40508 Gothenburg, Sweden
[email protected]
4
University of Hull, Hull HU6 7RX, UK
[email protected]
5.
Mecel AB, SE-400 20 Gothenburg, Sweden
[email protected]
6
Volvo Car Corp., SE-40531 Gothenburg, Sweden
[email protected]

Abstract. This paper describes and demonstrates an approach that promises to

bridge the gap between model-based systems engineering and the safety process
of automotive embedded systems. The basis for this is the integration of safety
analysis techniques, a method for developing and managing Safety Cases, and a
systematic approach to model-based engineering – the EAST-ADL2 architec-
ture description language. Three areas are highlighted: (1) System model
development on different levels of abstraction. This enables fulfilling many re-
quirements on software development as specified by ISO-CD-26262; (2) Safety
Case development in close connection to the system model; (3) Analysis of
mal-functional behaviour that may cause hazards, by modelling of errors and
error propagation in a (complex and hierarchical) system model.

Keywords: Automotive Embedded Systems, Dependability, Model-Based De-

velopment, Safety Analysis, Safety Case.

1 Introduction
Safety is posing an increasing challenge for the developers of automotive embedded
systems, also referred to as automotive Electrical/Electronic (E/E) systems. While
accounting for a large portion of the innovations and flexibility, the underlying com-
puter software and hardware also results in growing product complexity. The last
decade has indeed shown that an increasing number of vehicle failures stem from
errors related to embedded systems.
Currently, ISO is developing a standard on Functional Safety for Road vehicles
(ISO-CD-26262) [1]. As pointed out in its introduction, with the high complexity
growth there is an increasing risk of failures in automotive embedded systems. This

M.D. Harrison and M.-A. Sujan (Eds.): SAFECOMP 2008, LNCS 5219, pp. 72–85, 2008.
© Springer-Verlag Berlin Heidelberg 2008
 Modelling Support for Design of Safety-Critical Automotive Embedded Systems 73

makes safety a key issue in future automobile development. ISO-CD-26262 requires

that a complete Safety Case is developed, presenting evidence that the system is safe.
It also specifies the requirements on product development at software level.
While state-of-the-art safety analysis techniques [2] provide support for deriving
the causes and consequences of errors, the difficulties remain in capturing and main-
taining plausible errors, safety requirements, and other related information along with
design refinement, changes and evolution, and in providing the safety argument. Such
analysis techniques in turn rely on system modelling and management support, as
well as the alignment with tools, processes, and standards. One challenge with current
methods for automotive E/E systems development is the lack of systematic ap-
proaches to information management, architecting and verification. Solutions relying
on social and traditional text-based communication do not scale for handling ad-
vanced embedded systems. Software architectures and/or exchange format standards
such as AUTOSAR [3] offer a significant improvement of the state of practice. How-
ever, experience tells us that advanced and complex systems also require model-based
engineering encompassing appropriate abstractions and views for both cost-efficiency
and development effectiveness. Over the years, the demand for additional levels of
abstractions and views has been continuously raised [6, 12].
System modelling based on an architecture description language (ADL) is a way to
keep the engineering information in a well-defined information structure. In this paper
we present how the architecture description language EAST-ADL2, complementary
to AUTOSAR, provides a basis for systematic development of safety-critical automo-
tive systems. As a language for architecture description, the EAST-ADL2 captures the
domain knowledge for automotive embedded systems and provides the modelling
means for keeping various engineering information, e.g., across multiple levels of
abstraction and concerns, within one infrastructure. Three important areas of EAST-
ADL2 will be highlighted in this paper: (1) System development based on models on
different levels of abstraction. This enables fulfilling many requirements on software
development as specified by ISO-CD-26262; (2) Safety Case development in close
connection to the system design; and (3) Analysis of hazardous failures by modelling
of errors and the propagations in a hierarchical system model. The integration of these
aspects provides structured information handling of requirements, design, safety
analysis, other verification and validation information, and design decisions. The
approach supports reuse, consistency between models, automated handling of de-
pendencies, view generation, transformations and analysis.
The paper is organised as follows: We first give an overview of EAST-ADL2
showing its capabilities for model-based development, and how it is complementary
to AUTOSAR. Then we describe the modelling support for a Safety Case. In the
following section we describe error modelling and modelling of error propagation,
and the link to the HiP-HOPS safety analysis tool. Finally, we illustrate the approach
with an industrial case study on one ECL (Electronic Column Lock) system.

2 Overview of EAST-ADL2
EAST-ADL2 is developed in the ATESST project (www.atesst.org), further extend-
ing and refining the EAST-ADL language from the EAST-EEA project (www.east-
eea.org). It is a domain-specific architecture description language aiming to
74 D. Chen et al.

adequately meet the engineers’ needs regarding information management and practi-
cal methods in the development of advanced automotive embedded systems. The
language provides an ontology for all the related engineering information and a set of
well-defined constructs for the capturing and structuring of such information in a
standard format. The covered system aspects include requirements, vehicle features,
functions, variability, software and hardware design, and environment, as well as the
related structures and behaviours. For the purpose of early quality assessment and
verification, the language also supports the capturing of other necessary non-
functional properties and thereby enables the reasoning of system timing and failure
modes. Through its constructs for traceability, the EAST-ADL2 allows the modelling
of dependencies across requirements, structural items and V&V information.

2.1 Hierarchies and Levels of Abstraction

While stipulating the abstractions and viewpoints that are of particular importance in
the development of automotive embedded systems, the EAST-ADL2 further enforces
separation-of-concerns and complexity-control through a multi-viewed and hierarchi-
cal modelling language. The core concept is to structure the solution architecture into
five levels of abstraction: VehicleLevel, AnalysisLevel, DesignLevel, Implementa-
tionLevel, and OperationalLevel. See also Figure 1. The levels correspond to system
views that can be used to support a variety of processes (from top-down to bottom-
up), including the typical scenario for platform-based product families, where a new
function is added to an existing system. The architectural solution at each abstraction
level is self-contained in the sense that it constitutes a complete model of the system
under consideration from a particular viewpoint. Within each of these architectural
solutions, hierarchies of composition are supported by dedicated constructs to de-
scribe the part-whole relations of functions/components.
The models at the VehicleLevel provide a top-level view of the E/E system of a ve-
hicle where the intended electronic features are described and elaborated in respect to
the related product-line organizations. One view that captures the realizations of such

Fig. 1. EAST-ADL2 abstraction layers and its relation to AUTOSAR [9]

 Modelling Support for Design of Safety-Critical Automotive Embedded Systems 75

electronic features in terms of logical functions and principal interfaces is given at the
AnalysisLevel. A further refined view is provided at the DesignLevel where more
implementation-oriented aspects are taken into consideration, such as alignment with
intended software decomposition and the target platform, fault tolerance, sensor and
actuator interfacing, etc. The support by EAST-ADL2 at this level includes the func-
tional design architecture for application software, the middleware abstraction for
platform software (e.g., middleware, RTOS etc.), and the hardware architecture for
target platform (e.g. I/O, sensor, actuator, power, ECU, topology and electrical wiring
including communication bus). It allows the reasoning of partitioning and allocation
of functions as well as the verification of the preliminary design either by simulation
or analysis techniques. The overall structure at the DesignLevel is such that one or
several entities can be later realized by AUTOSAR entities captured at the Implemen-
tationLevel [9]. Full traceability is possible from function definitions at the vehicle
level to AUTOSAR entities. The OperationalLevel is hidden by AUTOSAR concepts
via deployment on the AUTOSAR RTE (Run-Time Environment), representing the
E/E system as it is realized in the manufactured products.
One example of this hierarchical multi-viewed modelling approach is illustrated in
Figure 2, with an electronic feature Brake (denoted by the EFeature construct),
models of more detailed solutions, and the final implementation. The solutions at the
AnalysisLevel include the logic function BrakeCtrl (denoted by the ADLFunction
construct) and the abstract interfaces BrakePedal and BrakeMotor for the interactions
with the vehicle environment (denoted by the FunctionalDevice construct). The corre-
sponding software and hardware design solutions are shown at the DesignLevel.
While the logic function BrakeCtrl is realized by the software function BrakeCtrl, the
abstract interfaces are represented by hardware devices (denoted by the DeviceIF
construct) and software components for signal transformation (denoted by the Local-
DeviceManager construct). The implementation of the design is given by AUTOSAR
concepts at the ImplemenationLevel (e.g., an elementary ADLFunction is mapped to a
RunnableEntity of an AtomicSoftwareComponent).

Fig. 2. An example showing the electronic feature (Brake) and its representations with the
EAST-ADL2 abstraction levels
76 D. Chen et al.

2.2 Requirements and Traceability Support

EAST-ADL2 provides explicit support for requirement specification and management

in the development of advanced embedded systems. It differentiates between func-
tional requirements, which typically focus on some part of the “normal” functionality
that the system has to provide (e.g. “ABS shall control brake force via wheel slip
control”), and quality requirements, which typically focus on some external property
of the system seen as a whole (e.g. “ABS shall have an MTTF of 10,000 hours”). To
allow integration of external requirements tools, EAST-ADL2 provides supports for
the mapping of Requirements Interchange Format (RIF) [7] concepts.
The language treats requirements as separate entities and provides specific con-
structs to support the traceability by extending and adapting related principles from
SysML [8]. Typically, based on requirements on the higher abstraction levels of
EAST-ADL2, more detailed requirements are derived along with the refinements and
decompositions. Specific associations are introduced to relate requirements to their
target elements (through the ADLSatisfy construct). EAST-ADL2 introduces the no-
tion of Verification&Validation Case (denoted by the VVCase construct) in order to
show how a certain requirement is verified in a particular system context as well as to
support the planning, tracking, and updating of V&V efforts,. While linking certain
requirements and target entities, each VVCase provides a description of the related
evaluation information and activities.

3 Safety Case Support in EAST-ADL2

A Safety Case provides structure to the qualitative argumentation about why a system
is safe enough. Hence, the Safety Case is dependent on referencing and aggregating
information of different types related to the systems functionality and realization.
Therefore, integration with an ADL is useful for system development. Currently,
there are no requirements for Safety Cases in the automotive industry, but in the up-
coming automotive safety standard ISO-CD-26262 [1] such requirements are raised.
This section will provide the safety case metamodel which was implemented in
EAST-ADL2. A more detailed description is presented in [10].
A Safety Case can consist of large amounts of data and may be very hard to grasp.
To mitigate the complexity, a graphical notation, the Goal Structure Notation, have
been introduced by Kelly for the argumentation part of a Safety Case [4]. The nota-
tion consists of the following building blocks:
• Goal – A claim about a property of the system.
• Strategy – A description of how and why a Goal can be derived into other Goals.
• Justification – Provides further rationale for a selected GSN entity.
• Evidence – This is the set of leafs of an argumentation representing the actual evi-
dence that shows satisfaction of the goals it is connected to.
• Context – Defining in what context a Goal is given.
A safety case metamodel is shown in Figure 3. It is based on a description of GSN
and shows how the GSN entities relate to each other. The safety case entity itself is
the top level of a safety case, and it consists of the GSN argument entities. The safety
 Modelling Support for Design of Safety-Critical Automotive Embedded Systems 77

case can also consist of several other safety cases, in a hierarchical structure. In order
to maximize the traceability of the design data, each GSN class can be associated to
any EAST-ADL2 entity. This will provide support for consistency of the data as well
as support for the change management process.

GSN Argument Strategy

Classes::
1..* Ev idence 0..1 0..1

GSN Argument
Classes:: +goalDecompositionStrategy
1 1 0..* Justification
+subGoal
0..* +contextOf
+goalDecomposi tion 0..1 2..* +justificationOf
0..* 2..* 0..*
Item Definition Safety Case 1
ExistsFor GSN Argument Context Goal Justification
+justi ficationOf
1 1 1 0..* Classes::Context 1
1 0..1 0..*
0..* +contextOf 0..1
1 1

GSN Argument 0..1

0..* 0..*
0..* Classes::Strategy +contextOf +justi ficationOf

EAST-ADL2
+solutionOf 1..*
M etamodel
1..* Entities Ev idence 0..1
GSN Argument 0..1
1..* Classes::Goal

Fig. 3. The safety case metamodel based on GSN

A Safety Case is valid for a system or function, and this scope needs to be defined.
As shown in Figure 3, the safety case scope is defined by the ItemDefinition class that
is a collection of EAST-ADL2 entities, i.e. all available specifications entities for the
given item. The metamodel also contains the relations between the internal elements.
As shown in Figure 4, the Goal is the centre of the safety case structure. It can be
decomposed directly, or through the usage of a strategy, into two or more Goals. Each
Goal shall have a solution relation to at least one Evidence, also known as Solution in
the GSN notation. The Evidence entity can have several specializations, ranging from
protocols of V&V activities to design decisions. Each element in the GSN structure
can also be related to a Context entity indicating that a description of the context can
be provided. Similarly, a Justification for increased clarity can be provided for each
GSN entity, by a justification relation.
The Evidence represents any information that supports or, in its ultimate form,
proves that the Goal it is connected to is achieved. As such, the information can be of
many types, e.g. analysis reports, design specifications, requirements, protocols from
V&V activities, etc. The system model of EAST-ADL2 captures most of these enti-
ties in suitable packages, e.g. a package focusing on verification and validation, the
V&V package. In [10], the described safety case metamodel clearly visualizes the
GSN entities and interdependencies which has the advantage of facilitating the com-
prehension and easing the training effort.

4 Error Modelling Support in EAST-ADL2

As an overall system property, safety is concerned with the anomalies (in terms faults,
errors, and failures) and their consequences under given certain environmental condi-
tions. Functional safety represents the part of safety that depends on the correctness of
78 D. Chen et al.

a system operating in its context [11] and addresses the hazardous anomalies of a
system in its operation (e.g., component errors and their propagations). The objective
of the EAST-ADL2 error modelling is to allow an explicit reasoning of functional
safety and thereby to facilitate safety engineering along with an architecture design or
maintenance process.

4.1 Key Concepts and Domain Model

EAST-ADL2 facilitates safety engineering in regards to the modelling and informa-

tion management. While supporting the safety design through its intrinsic architecture
description and traceability support, the language also allows the developers to explic-
itly capture the error logics in terms of component errors and the error propagations in
an architecture error model through its error modelling support (see also Figure 4).
The error modelling is treated as a separated analytical view. It is not embedded
within a nominal architecture model but seamlessly integrated with the architecture
model through the EAST-ADL2 meta-model. This separation of concerns is consid-
ered necessary in order to avoid some undesired effects appearing when error model-
ling and nominal design is mixed, during comprehension and management of nominal
design, reuse of models, and system synthesis (e.g., code generation).

Fig. 4. EAST-ADL2 error modelling extends the nominal architecture in a separate view and
provides analysis leverage through external tools

The EAST-ADL2 error modelling package extends a nominal architecture model,

typically at the AnalysisLevel and DesignLevel, with the information of failure seman-
tics and error propagations. The failure semantics can be provided in terms of logical
or temporal expressions, depending on the analysis techniques and tools of interest.
Such analytical information, together with environmental conditions, forms the basis
for identifying the likely hazards, reasoning about the causes and consequences, and
thereby deriving the safety requirements. The relationships of local error behaviours
are captured by means of explicit error propagation ports and connections. Due to
these artefacts, EAST-ADL2 allows advanced properties of error propagations, such
as the logical and temporal relationships of source and target errors, the conditions of
propagations, and the synchronizations of propagation paths. Hazards or hazardous
events are characterized by attributes for severity, exposure and controllability
 Modelling Support for Design of Safety-Critical Automotive Embedded Systems 79

according to [1]. A hazardous event may be further detailed by e.g. use cases, se-
quence or activity diagrams. In an architecture specification, an error is allowed to
propagate via design specific architectural relationships when such relationships also
imply behavioural or operational dependencies (e.g., between software and hardware).
Fig. 5 shows the domain model definitions of constructs for the error modelling. The
key concepts include:
• ErrorBehavior: the definitions of possible failure behaviours of an ADLEntity (i.e.,
an abstract function or component).
• ErrorModel: the container for the usages or instantiations of particular errorBehav-
iors in a particular architecture context.
• propagationPort: ports through which the faulty events defined in an ErrorBehav-
ior propagate to other ErrorBehaviors or result in Hazards.
• ErrorPropagation: abstractions for error propagations that in turn relies on particu-
lar instances of ADLEntity (e.g. communication connectors) or the explicit or
implicit dependencies between them (e.g., allocations described by the ADLReali-
zation construct).
• ErrorToHazard: a link between errorBehaviors and their effects on the system.

class ErrorBehavior
+to 1.. +otherRelatedPropagations
PropagationPort ErrorPropagation 0..*
1.. *
+ direction: PropagationDirectionKind *+from + propagationLogic: String = NA
+ event: String = NA 1..
1.. *
1..* 0..*
* 1
+propagationPort +failureEvent +throughADLRealization 0..1
ADLTraceableSpecification ADLRelationship
Hazard ADLRelationshipM odeling::
+ controllability: String ADLRealization
+ exposure: String
+ severity: String
+hazard 0..* 0..*

+source +throughADLEntity +realizedByADLEntity +realizedADLEntity

0..* 0..1 0..* 1..*
ADLContext 0..1
ErrorToHazard UserAttributeableElement
ADLCoreConstructs::ADLEntity +targetADLPart
+ kind: ConstraintKind [0..1] *
+ name: String
+targetADLType 0..1 0..1 +adlErrorContext ErrorModelToTarget
+portOwner +errorBehavior
0..* 0..
1 1 0..*
0..1
ErrorBehavior +attachedADLErrorModel
+ failureLogic: String = NA 0..* 1
+ genericDescription: String = NA
ErrorModel
+ handled: boolean = false
+containedErrorBehavior +inADLErrorModel
constraints 1.. 1..
{targetOption} * *
{targetType}

Fig. 5. The EAST-ADL2 domain model definitions for error modelling

In EAST-ADL2, the support for safety requirements and analysis is specifically ad-
dressed. The safety requirements, which are specialized to define the safety goals to be
met, have attributes and related entities to define the related functional and non-
functional requirements and the hazards to be mitigated. Hazards or hazardous events
are associated with both errors of abstract functions/components and the environment
model and characterized by attributes for severity, exposure and controllability. See
80 D. Chen et al.

Fig. 6. for the domain model definition. This concept is in line with [1] where each
hazard is related to an Item, which is defined as “E/E system (i.e. a product which can
include mechanical components of different technologies) or a function which is in the
scope of the development according to this standard”. When modelling a system in
EAST-ADL2 this means that for each level of abstraction a complete set of Items is
identified. The hazardous event may be further detailed by e.g. use cases, sequence or
activity diagrams. A safety requirement specifies the necessary safety functions and
their effectiveness (i.e., ASIL levels [1]). It can be traced all the way to its derived re-
quirements and thereby to the subsequent hardware and software solutions as well as the
needed V&V efforts.

class Hazards

ADLRelationship
ADLRelationshipModeling::
ADLRefine
+childRequirements 0..*
+refinedBy +refinedRequirement 1..* {ordered}
1..*
ADLContext ADLTraceableSpecification
UserAttributeableElement ArchivedEntity
0..1
ADLCoreConstructs:: Re quire ments::ADLRe quire ment
ADLEntity + applicability: String [0..1]
+ kind: ConstraintKind [0..1] + name: String
+ name: String + id: String
Requireme nts::QualityRequire me nt
+source 0..* + qualityRequirementType: QualityRequirementKind
Safe tyRequirement::
0..* SafetyRequirement

ADLTraceableSpecification 0..* + ASIL: ASILLevelKind

Hazard
+derivedFromHazard
+ controllability: String
+ exposure: String SafetyRequirement::SafetyGoal
+ severity: String

Fig. 6. The EAST-ADL2 domain model definition for hazard and safety requirements

4.2 Analysis Leverage and Tool Support through HipHOPS Method

A proof-of-concept tool integration with the HiP-HOPS method (Hierarchically Per-
formed Hazard Origin and Propagation Studies) [5] has been developed. HiP-HOPS is
a model-based safety and reliability analysis technique in which topological descrip-
tions of the system (hierarchically composed if required to manage complexity) that
are annotated with formalised logical descriptions of component failures, are used as a
basis for the automatic construction of fault trees and Failure Modes and Effects
Analyses (FMEA) for a system. Suitable models include a range of diagrams com-
monly used to express hardware and software architectures.
Through the EAST-ADL2 error modelling support, a HiP-HOPS study can be
performed on the abstract models at the AnalysisLevel or on the more detailed archi-
tecture models at the DesignLevel. This creates opportunities for systematic identifi-
cation of safety related requirements, re-use of earlier analysis, and the ability to
achieve a consistent and continuous assessment in the centre of which lies the design
of the system itself. Given an EAST-ADL2 model which contains descriptions of
ErrorBehaviours, a global view of system failure can be captured via HiP-HOPS in a
set of system fault trees which are automatically constructed as expressions that de-
scribe local fault propagation are being evaluated during the traversal. The synthe-
sised fault trees are interconnected and form a directed acyclic graph sharing branches
and basic events that arise from error propagations defined in the model. Classical
 Modelling Support for Design of Safety-Critical Automotive Embedded Systems 81

Boolean reduction techniques and recent algorithms for fault tree analysis that employ
Binary Decision Diagrams (BDDs) are applicable on this graph. Thus, qualitative
analysis (e.g. of abstract functional models) or quantitative analysis (e.g. calculation
of system-level failure rates from known probabilistic component data) can be auto-
matically performed on the graph to establish whether the system meets the desired
safety or reliability. The logic in the graph can also be automatically transformed into
a simple table which is equivalent to a multiple failure mode system.

5 Example Case Study: Electronic Column Lock

Steering column lock is a security function for preventing any steering wheel move-
ment without an authorized starter key. Traditional solutions use the position of
physical starter key as the securing and unlocking mechanism. For the reasons of
user-friendliness, as well as crash safety and vehicle security, keyless engine start
solutions with the immobilizer transponder and start button have been increasingly
adopted, allowing advanced cryptography for authentication control prior to engine
start. As a physical starter key is no longer present, there is a need to replace the tradi-
tional steering column lock principle. With electric steering column lock (ECL), a
logical key position rather than the physical key position is used to enable and disable
steering. The implementation normally consists of a mechanical lock placed on the
steering column as the actuation element, and a control unit for reading the immobilizer
transponder code and vehicle state and for controlling the mechanical lock. Fig. 7. de-
picts the modelling coverage by EAST-ADL2 for an ECL system.

Fig. 7. The modeling coverage of EAST-ADL2 for an ECL system

82 D. Chen et al.

Taken from the legislation, 95/56/EC annex IV, some of the basic requirements for
the security function with relevance for safety are: (1) Devices to prevent unauthor-
ized use shall be such as to exclude any risk of accidental operating failure while the
engine is running, particularly in the case of blockage likely to compromise safety; (2)
Locking shall only be possible after making one operation to stop the engine and then
a second operation designed to lock the column.
The major top level hazard is: Steering is disabled while driving. This top level
hazard must be controlled to a risk level where the risk of the hazard is kept suffi-
ciently low. To model this hazard we use the mechanisms described in Fig 3. The
initial Safety Case for ECL will consists of a root ‘Item’, with one ‘Hazard’ and two
‘ADL Functions’, One being the user function and the other the Environmental Model
entity for the steering wheel. The safety assessment; in this case this is an function
with the highest safety integrity level (ASIL D according to ISO 26262), is required to
enable the correct actions on technical and process elements on the function develop-
ment. The safety analysis for the function requires that we make an architecture defin-
ing which outputs and inputs are needed in order to perform the user function. Fig 8.
shows the abstract functional definition of the ECL.
Sensors for vehicle speed, engine speed and key-position are required for ECL op-
eration. For unlocking there are requirements on using an approved key, this is not
fully considered in this example. There is also the case of retry strategies that can use

Fig. 8. Functional Analysis Architecture with Electrical Column Lock function, where the
components from the package “ECL FuncAnalysis Architecture” act as parts
 Modelling Support for Design of Safety-Critical Automotive Embedded Systems 83

movement of the steering wheel as a trigger. The results of the safety analysis are
the basic safety requirements and how these must be implemented. In this example,
the outcome is that if the ECL lock is unpowered when the vehicle is moving and/or
the engine is running, the Hazard cannot occur (unless there are electrical hardware or
mechanical failures). The following architecture requirements (shown in Fig. 7) cap-
ture this and should be implemented in the design of the ECL function:
• SafetyGoal1 – The ECL must not be powered when vehicle is moving and ignition
is on.
• SafetyGoal2 – The ECL must not be powered when engine is running and ignition
is on.
As we rely on vehicle speed, engine running and ignition state on an ASIL D class
function, we need to consider the need for redundant decision making on this set of
data. As illustrated in the example case, the ADLFunctions on the highest level are
similar between the analysis and the design level respectively. When we realize the
AnalysisArchitecture (AA) on the analysis level with the DesignArchitecture (DA) on
the design level, we can still hide a number of details on the highest level of the cho-
sen ADLFunction hierarchy. Please observe the difference between the realization
that is done when going from the more abstract analysis level to the design level (rela-
tion between “Architectures” in Figure 7), and the unpacking of details that is done
when going down an ADLFunction hierarchy (the composition relation between con-
tained and containing functions in Figure 8).
To perform a HiP-HOPS based hazard analysis, the first step is the establishment
of ErrorBehaviors of components (i.e. functions, hardware or software elements) as
failure expressions which show how output failures of each component can be caused
by internal malfunctions and deviations of the component inputs. A variant of Hazard
and Operability Studies (HAZOP) can be used to identify plausible output failures
such as the omission, commission, value (hi, low) or timing (early, late) failure of
each output and then to determine the local causes of such events as combinations of
internal component malfunctions and similar types of input failures. Thereafter, the
structure for error propagations in a particular architecture context is determined using
ErrorModels for instantiating the predefined ErrorBehaviors and ErrorPropagation
for the propagations. The system effects of failure events in terms of Hazards are
captured with the ErrorToHazard construct. This global view in terms of fault trees
are the generated with the HiP-HOPS plug-in.
Our experience from case studies suggests two useful design patterns that can be
derived from this type of analysis: (a) when the analysis indicates that the omission of
a function has only marginal effects while commission and value failures have catas-
trophic effects, a design recommendation should be made to design the function in a
way that it “fails silent”; (b) on the other hand, when all potential failure modes of a
function are shown to have catastrophic effects on the system then a design recom-
mendation should be made to allocate the function to a fault tolerant architecture.
With the help of these results, the abstract functions are allocated to appropriate
hardware and software architectures in which case HiP-HOPS studies can become
much more detailed and quantitative in nature making use of available information
about component failure modes and failure rates.
ErrorBehaviours are now extended to include real failure modes and probabilistic
component failure data. Such failure modes include electrical and mechanical
84 D. Chen et al.

component failures caused by wear and environmental conditions or, in the case of
programmable components, statistically observed functional failures caused by un-
specified random or systematic faults. Note that credible probabilistic failure data
(often not available) is not essential for producing useful results. Qualitative applica-
tion of the technique can still produce useful results. The logical reduction of fault
trees into minimal cut-sets and FMEA, for instance, can indicate single points of fail-
ure in the system and point out potential design weaknesses. Clearly, the ability to
iterate fast this process ultimately also defines the ability to manage effectively the
evolution of an EAST-ADL2 design.
We should note that there is a range of other emerging techniques that are aiming
at automation of system safety analysis (Altarica [13] and FSAP-NuSMV [14] among
others). Most use model-checking and simulation as means of inferring the effects of
component failures in a system. However, the analysis of individual failure modes via
simulation or model-checking is computationally expensive and the inductive nature
of the analysis (from causes to effects) creates difficulties, especially when combina-
tions of failures need to be considered. Assuming that there are N possible component
failures in a system, assessment of combinations of M of those failures requires that
the analysis is repeated N!/((N-M)! x M!) times. For a system that has 1.000 failure
modes, assessment of the effects of combinations of 2 failure modes requires that the
analysis is repeated approximately half a million times. In HiP-HOPS, the analysis of
propagation of failures is deductive (from effects to causes) and therefore the tech-
nique always synthesises fault trees in linear time not determined by the highest order
cutset (i.e. the maximum number of failure modes considered in combination which is
defined only by the positioning and nesting of AND gates in the error propagation
model). The fast algorithms of HiP-HOPS have not only enabled its application on
large systems but also its combination with computationally greedy heuristics such as
Genetic Algorithms for the purpose of architectural optimisation with respect to de-
pendability and cost [15] - a capability which is unique in HiP-HOPS. Moreover, HiP-
HOPS has advanced capabilities for probabilistic analysis which include Poisson,
Binomial and Weibull calculation models, as well as capabilities for common cause
and zonal analyses, while most formal techniques tend to focus on functional safety
analysis only. Clearly there is often a need in software design to consider the prob-
ability of failure of components.

6 Conclusions
In this paper we have presented how the architecture description language EAST-
ADL2 supports the development of safety-critical automotive E/E systems. The inte-
gration of the safety case metamodel, safety analysis, and the system modelling will
achieve several benefits. The Safety Case development will be eased by the
systematic development that is supported by the EAST-ADL2, including structured
information handling, support for reuse, consistency between the models, etc. The
EAST-ADL2 language will benefit by having support for the Safety Case approach,
an important technique in safety relevant system development. Further, the safety case
metamodel will provide support for motivating why certain design decisions are
needed and provide means for connecting the argumentation and design information.
The connection between error modelling and system modelling supports quick safety
design iterations, the creation of views, and structured information management.
 Modelling Support for Design of Safety-Critical Automotive Embedded Systems 85

We believe this approach presents an important step in making the design and
safety processes more efficient and effective. Future work will concentrate on further
evaluation of the approach, developing systematic support for integrating several
relevant analysis techniques, and considering optimization with respect to safety
properties. Another direction is to assess how the proposed approach, biased by auto-
motive specifics and standards, is applicable to other domains.

Acknowledgments. This work was supported by contribution of all the partners of

the ATESST project consortium funded by the European Commission. We wish to
acknowledge feedback from the anonymous reviewers.

References
1. International Organization for Standardization: Draft 26262. ISO Committee (2008)
2. Chen, D.J., Törgren, M., Lönn, H.: Elicitation of relevant analysis and V&V techniques.
D2.2.1. ATESST EC FP6 (2007), http://www.atesst.org
3. AUTOSAR Development Partnership, http://www.autosar.org
4. Kelly, T.P.: Arguing Safety - A Systematic Approach to Managing Safety Cases. PhD
Thesis. University of York (1998)
5. Papadopoulos, Y., McDermid, J.A.: Hierarchically Performed Hazard Origin and Propaga-
tion Studies. In: Felici, M., Kanoun, K., Pasquini, A. (eds.) SAFECOMP 1999. LNCS,
vol. 1698, pp. 139–152. Springer, Heidelberg (1999)
6. Sangiovanni-Vincentelli, A., Di Natale, M.: Embedded System Design for Automotive
Applications. IEEE Computer 40(10), 42–51 (2007)
7. HIS Members and Partners: Specification Requirements Interchange Format (RIF). v1.1a
(2007), http://www.automotive-his.de
8. SysML Partners: Systems Modeling Language (SysML). Open Source Specification Pro-
ject, http://www.sysml.org
9. Cuenot, P., Frey, P., Johansson, R., Lönn, H., Reiser, M.-O., Servat, D., Tavakoli Kola-
gari, R., Chen, D.J.: Developing Automotive Products Using the EAST-ADL2, an AUTO-
SAR Compliant Architecture Description Language. Ingéniurs de l’Automobile 793, 58–
64 (2008)
10. Törner, F., Chen, D.J., Johansson, R., Lönn, H., Törngren, M.: Supporting an Automotive
Safety Case through Systematic Model Based Development - the EAST-ADL2 Approach.
Technical Paper Series, 2008-01-0127. SAE (2008)
11. International Electrotechnical Commission: Functional safety of electri-
cal/electronic/programmable electronic safety-related systems – Part 0: Functional safety
and IEC 61508 (2005)
12. Martin, T., Chen, D.J., Malvius, D., Axelsson, J.: Chapter - Model based development of
automotive embedded systems. In: Navet, N., Simonot-Lion, F. (eds.) Automotive Em-
bedded Systems Handbook. Industrial Information Technology. Taylor and Francis CRC
Press, Abington (2008)
13. Arnold, A., Griffault, A., Point, G., Rauzy, A.: The Altarica formalism for describing con-
current systems. Fundamenta Informaticae 40, 109–124 (2000)
14. Bozzano, M., Villafiorita, A., et al.: ESACS: an integrated methodology for design and
safety analysis of complex systems. In: ESREL European Safety and Reliability Confer-
ence, Balkema, pp. 237–245 (2003)
15. Papadopoulos, Y., Grante, C.: Evolving car designs using model-based automated safety
analysis and optimization techniques. Journal of Systems and Software 76(1), 77–89 (2005)
Other documents randomly have
different content
 Még jó volt rájok nézve az új erőfeszítés; hiszen ha meg akartak
volna pihenni, ázottan, a kemény őszi éjben megvette volna őket az
Isten hidege.
Ló és lovas füstölgött a párázattól. Hányadszor száradt meg már
rajtuk az a ruha, a hideg széltől!
A March tulsó partján süppedékes róna fogadta a menekvőket. A
lovak csülökig dagasztottak a sárban. Mégis előre kellett menni;
most már lehetetlen volt a végszükségnek, az életfentartás
parancsszavának nem engedni. Vezér és közvitézek mind azt hitték,
hogy ha a jövő éjszakát lovastul együtt födél alatt nem tölthetik,
mind elpusztulnak; már akkor a harmadik éj következett, hogy
szemét le nem hunyta senki. Ki kell egyszer aludni magát
mindenkinek s legalább egyszer jóllaknia, hogy a továbbihoz ereje
legyen.
Csak egy falut hozna már elénk az úr Isten! imádkozott magában
némely fiatal huszár. Pedig a huszárnak nem jó imádkozni. Ez Pál úr
életbölcsészete. Csata órájában sokszor meglátja az ujoncz legény
arczán, hogy ez most magában imádkozik, s veszekszik vele e miatt:
«Ha imádkozol, bizony rád talál a golyó. Azt hiszi, ez jó ember, hadd
üdvözüljön.» De azért mégis egyre fohászkodnak azok magukban:
«Csak már valami falu jönne!»
És ime csakugyan megjárta a huszár az imádsággal; mert a jó
sors hozott eléje nagy kivánságára nem is falut, hanem várost.
A mint egy dombra felkanyarodtak, az előttük fekvő völgyben ott
láttak egy szép hattornyú mezővárost.
Azt pedig nem kértek a sorstól. Az már sok volt. Ők csak falut
óhajtottak.
A mezőváros ó-német szokás szerint kőfallal volt körülvéve. Abba
bemenni nem volt tanácsos.
Kerülő úton el lehetett ugyan mellette haladni, hanem azt az utat
egészen uralta egy magas sánczok közül kilátszó épület. Tapasztalt
szem könnyen felismeri benne a lovassági kaszárnyát. Ez
valószinűleg egyike azoknak a vidéki városoknak, a hol a
tartalékszakaszok tanyáznak. Meglehet, hogy a mostani hadjárat
miatt nincs benne katonaság. De az is meglehet, hogy épen a miatt
több is van központosítva a szokottnál.
Kérdezősködni nem lesz tanácsos. Itt senki sem jó barát. A
legelső ember, a ki a menekvő csapatot észreveszi, el is fogja őket
árulni.
Tehát vissza az erdőbe, a melyből épen kijöttek. Ott meg kell
várni, míg az éj leszáll. Sokáig időzniök azonban nem lesz szabad,
mert a felől is bizonyosak lehetnek, hogy Palvicz rögtön küldött
hirnököt valami csónakon keresztül, ki a térparancsnokot a futókra
figyelmeztesse.
A mint az éj beállt, az első óra meghozta a biztos tudósítást. A
sánczos épületben takarodót trombitáltak.
Az ismeretes «tradra, tradritradra» hangjára nyugtalanul
hegyezték a füleiket a huszárlovak, máskor azt jelentette az: hogy
éjszakára abrakot hoz, s puha almot vet szalmából gazdájuk. Héj
messze voltak most attól!
A trombitaszó négyszer újra kezdődött a sáncz négy szögletén.
Mikor pedig az elhangzott, akkor következett a dobszó. A városban
verték a takarodót, arra az ismeretes nótára, a miről azt képzeli a
katona, mintha így szólnának a dobok: «Kenyeret, kenyeret, kettőt,
kettőt!»
Tehát gyalogság is fekszik a városban.
Megkerülni a várost és kaszárnyát teljes lehetetlen. A tőzeges
mocsáros ingoványba ló és lovas oda veszne.
Valamerre pedig csakugyan menni kell, mert az az őszi éj nagyon
embertelen.
De hát merre?
 Talán csodálatos is ez a kérdés? Kétszázhúsz magyar huszár, az
új mythologia centaurusai ne tudnák merre menjenek, mikor kard
van a kezükben?
De hozzá kell gondolni, hogy ezek a vitézek két éjjel nem
aludtak, s még ma nem ettek, hogy lovaik el vannak csigázva,
ruháikat átáztatta a folyam, tagjaikat megdermeszté az őszi nyirkos
hideg. Tudják azt a hadvezetők, hogy sok csatát elvesztett már az
éhség; sok derék sereget, a ki az eget vívni indult el, megvert a
lenézett ellenség – a ki jól volt lakva.
Richard jól tudta, hogy csapatját ezúttal a tűzpróbán nem viheti
keresztül. Ők most nyavalyás emberek, a kiknek nem szabad
vitézkedni.
Majd eljön annak is a napja, csak ezt a krizist kiállhassák.
Végre is ki jött segítségükre? Az az embertelen őszi éj, a kit oly
szitkozódva emlegettek. Az az embertelen őszi éj egyszerre oly sürű
nehéz ködöt bocsátott le a tájra, hogy nem lehetett húsz lépésnyire
látni, mintha mondta volna: majd én betakarlak benneteket.
– Fiuk, monda Richard, jó kedvvel fordulva huszáraihoz, most egy
furcsa tréfát csinálunk. Minden ember takarja be a nyeregtakaró
darabjaival a lova lábait, s aztán induljunk.
A legénység elértette a szándékot. Félóra alatt minden ló lába be
volt burkolva pokróczba. Így nem hangzott lépteik dübörgése.
Azzal megindultak egyenesen az országút felé. És azután folyvást
az országúton haladtak előre, mint a kik legjobb járatban vannak.
Szemközt nem jött rájok senki. Ilyenkor tisztességes kisvárosi
polgár alszik már.
Ők sem láthatták merre járnak. Csak mentek előre. Egyszer
hallották, hogy kiáltja az éji őr a tizenegy órát. Azután láttak egy
lámpát közeledni maguk felé. Valami ötven lépésnyi távolban megállt
az előttük s ott megint elkiáltotta az őr a tizenegy órát. Ha meglátta
őket, azt hitte, kisértetek, a mik nesz nélkül járnak a köd felett.
Egy-egy fehér ház is maradozott el itt-amott mellettük, a minek
ablakában még gyertyavilág égett. Csak a kutyák vonítottak eléjük
szokatlanul, míg a város alatt végig haladtak; még föllármázták az
embereket.
Most következik a legveszélyesebb pont. A hol az országút a
várost elhagyja, ott van egy sorompó. A sorompóknál egyúttal
őrtanya is szokott lenni.
Hogy itt is úgy van, arról rögtön tudósítva lettek. Pár száz
lépésnyire előttük egyszerre felhangzott a hosszúra vont kiáltás:
«válts fel!»
Nagyon jó.
Már most következik, hogy jön az egész őrjárat az őrszemeket
felváltani.
Az is jött. Hallották a robogását. «Egy róta lehet», mondá Pál úr,
félig magának dörmögve.
Néhány percznyi megállapodás után a robaj közelebb jött.
– Ezek egyenesen ránk jönnek! monda Richard. Ki a kardokkal!
Most már csakugyan nem látszott másban a menekülés.
A szemközt jövő lovasság azonban, mielőtt a ködben egymást
megláthatták volna, szép csendesen félre kanyarodott s nemsokára
elhangzott a dobaja. Bizonyosan más őrszemeket felváltani tért el a
város felé.
Richard azután egész nyugalommal folytatta az útját a nyitott
sorompón keresztül, az őrszem előtt végig haladva. Az a sötétben és
ködben egész bölcseséggel a saját csapatjának nézhette őket, csak
azon bámulhatott, hogy mi módon szaporodott meg az iménti róta
ily sokaságra? hanem a mint ezen észrevételét közlötte két óra
mulva az őrvezetővel, s az még egy óra mulva a parancsnokkal, már
akkor Richard régen hetedhét országban járt a hátuk mögött.
– No fiuk, most már pipára gyujthattok; monda Richard egy
negyed óra mulva, s leszedhetitek a lovak lábairól a bocskort.
E pompás tréfára még jókedvük is lett a fiuknak. A jó kedv a
lovakra is kiterjedt. Mintha csak most kezdték volna, úgy fogtak
hozzá az ügetéshez. Egy fiatal legény elkezdett danolni az
éjszakában: «Piros bársony süvegem: Most élem víg életem». Pál úr
kontrázott, csak úgy magában dudolva, mély medvehangon:
«Bokréta van mellette, barna babám kötötte». Míg az egész csapatra
elterjedt a danoláskedv.
Egész éjjel danoltak.
A járt országúton sokkal könnyebb volt a haladás, a tegnapi
sárdagasztás után még pihenésnek lehetett azt nevezni. Az út egyre
emelkedett, úgy látszik hegyes tájékba visz.
Mikor a nap fölkelt, a köd egészen elmaradt, előttük a Kárpátok
emelkedtek. Azokon túl már a haza!
Gyönyörű őszi tájkép. A közelben a dér festette bükkerdők sárga
és veres facsoportjai, a távolban a fenyvesek örök sötétzöldje, mik
közül már havas hegyhátak emelkednek ki.
A tulsó oldalon pedig egy világtenger! A mennyire a szem ellát,
egy hullámzó oceánt lát, a földön fekvő köd oceánját, mely
hófehéren, tornyos habokkal a tengert utánozza. Egy-egy magasabb
dombtető látszik ki belőle zöld szigetnek. Ennek a tengernek a
fenekén fekszik az egész hátrahagyott tájék, a melyen három nap,
három éjjel keresztül vergődött a menekvő csoport. S mintha
mindazt, a mit átszenvedett, ott feledte volna e ködoceán fenekén,
olyan kedve támadt. Nincs már semmi panasz.
S még hozzá egy barátságos falu fogadja őket, a hol nem tagadja
meg a föld népe a részvétet az üldözöttektől. Apraja, nagyja, férfia,
asszonya szivesen látja őket; megnyitják előttük kapuikat,
szérüskertjeiket, térdig állnak a lovak a szénában, a gazdák
segítenek vasalni, szerszámot igazítani. Előadják, a mi enni, inni
való. Nem gazdagok, sokkal nem szolgálhatnak; de most az
árpakenyér is jó. Kecskéket vágnak a hadfiaknak s kezdik sütni
nyárson, főzik jó sárga kásával, hordószámra hordják elő a friss
turót, csapra ütik a fenyőpálinkás csobolyót, azt sem kérdik, ki fizet
meg érte?
Hej ez nem olyan ebéd lesz, mint a tegnapi volt!
Pedig hát épen olyan ebéd lett.
Mikor félig volt sülve, főve minden, jönnek vágtatva az előőrsök:
itt az üldözők csapatja!
Ugyan igyekeztek helyrehozni a mult éji kudarczot, hogy úgy
meghagyták magukat tréfálni. Kocsira rakták a gyalogságot, előre
küldték a lovasokat s vágtattak lóhalálában a szökevények után.
Nem volt nagy mesterség pihent lovakkal utólérni az
agyoncsigázottakat.
Tovább innen!
Mégis futni?
Most már kitört a harag: «verekedni fogunk!» ordíták a felzavart
huszárok; «vagy mi eszszük meg őket, vagy ők esznek meg minket».
Úgy látszott, hogy nincs is más választás.
Az üldözésükre siető lovasság hátuk mögött nyomult előre, míg a
kocsikon érkező vadászok a falu felett elhaladva, a kivezető út
melletti erdőt igyekeztek megszállni, hogy elvágják a menekvők
útját. Valószinű volt, hogy hamarább odaérhetnek, mint a huszárok,
kiknek dolgot ád a felnyergelés.
A mennyi időt elvett a huszároktól a felkészülés, annyi kellett
üldözőiknek is arra, hogy az elmaradozottakat összevárják. Richard
ezt az időt arra használta fel, hogy körülszemlészte a tájékot.
 Az országútat csak erős harcz mellett lehetett elfoglalni a
vadászoktól. És ha el lesz vala foglalva, fenmarad a folytonos
üldöztetés a lovasság által. Ebben a harczban lassankint fel lesz
morzsolva a huszárcsapat; egy sem jut belőle hazájáig: elvész
hasztalanul, ok nélkül, siker nélkül.
De van még egy út. Egyenesen fel a hegyeknek! Keresztül a
havasokon, a merre az ormok jégtarajai világítanak.
– Kapni-e útat és vezetőt a havasok felé? kérdé házi gazdájától
Richard. A jámbor ember juhos gazda volt, élete alkonyán lévő férfi.
– Út van uram, s ha kell, én elvezetlek rajta, míg más vezetőnek
adhatlak; s azon az úton tudom, hogy meg nem üldöz benneteket
senki; hanem azon az úton meg lehet halni éhen.
– Megkisértjük.
A huszárság összeczihelődött már. Sorrendbe álltak kivont
karddal. Némelyiknek a kardjára fel volt tűzve a félig sült
kecskeczomb, a mit a nyársról leszelt. Onnan csak nem veszi azt el
senki.
– Hüvelybe a kardot! vezényelt Richard. Aztán jobbra át.
– Hová? kiálták azok dühösen. A falra megyünk-e lóháton?
Inkább neki az ördögnek magának, ha husa van!
Richard elszántan húzá ki pisztolyát nyeregkápájából.
– A ki esküjét elfeledte: ajánlja lelkét Istennek.
A zúgás elcsendesült.
– A ki bízik bennem, jőjjön utánam, hisz én megyek elől!
A hüvelybe eresztett kardok csörömpöltek: «menjünk hát!»
kiálták a hadfiak; hanem mikor a félig főtt lakoma mellett el kellett
haladniok, senki se vehette nekik rossz néven, ha elkeríték hozzá a
huszár asztaláldást.
 A vezetőjük elől ballagott, hegymászó bottal, szeges talpú
csizmával ellátva; utána Richard, azután egyesével a többi, bezárta a
sort Pál vitéz; ő volt a sereghajtó.
Az üldöző ellenfél, ki egy óráig folyvást csatarendben várta, mely
oldalról akarnak a faluból előtörni a menekvők? egyszer csak nagy
bámulva látta őket fenn a meredek hegyi úton végig léptetni,
hosszú, elszórt sorban: egy szédületes sziklafal oldalában, melynek
keskeny párkányzatán volt olyforma hegyi út, hogy egyik lábnyom a
másik után épen helyet talál rajta. Sohasem jártak ott lóval. S ez
istenkísértő úton haladtak végig a huszárok, alattok száz ölnyi
mélységben tombol a hegypatak, az egyik kengyel már a mélység
fölött csügg, míg a másikat korholja a sziklafal a tulsó oldalon. Egy
szédület, egy félrelépés s ember és ló összezúzva hever ott lenn.
A bámulat, az elszörnyedés után a düh lepte el az üldözőket.
Valóban, ide már nem volt kedvük utánuk menni. De hogy szűzen ne
bocsássák el embereiket, a vadászok utánuk lövöldöztek jó czéllövő
fegyvereikkel, mik ezer lépésnyire elhordanak. Kedvező volt a
czéltábla. A fehér mészkő sziklafal, s azon sorban a sötétkék ruhás
lovasok. A golyók ott pattogtak sűrűn a sziklafalról vissza, s jöttében
mentében minden golyó kétszer fütyölt el a maga emberének a füle
mellett; mintha nem elég rettenet volna számára a szédítő mélység
fölött járni.
S e rettenetes órában – a nap melegen sütött az izzó sziklafalra –
a huszárok valamennyien aludtak a nyeregben s jobbra-balra
bóbiskoltak; nem volt már okuk ébren lenni. Csak Richard, ki legelől
ment, s Pál vitéz, ki leghátul járt, tartották magukat ébren s
dörmögtek társaikra egyszer-egyszer: «ne aludjatok, héj!»
Az üldözők szeme elől egy új hegykanyarulat lassankint elfedé a
menekvőket. Ott, a hova most betértek, ember nem fogja őket
többé üldözhetni.
A sziklai úton végig mentek szerencsésen. Itt egy fenyves
fogadta őket, ünnepélyes, viszhangos erdő, mint egy templom.
 A legénység itt a jó hűsben meg akart pihenni, de vezetőjük
sietteté őket: használni kell a derült órákat az utazásra, mert a
havasok közelében gyakran meglepi az utazókat a köd s akkor majd
lesz idő pihenni, mert senki sem tudja tájékozni magát.
Tehát csak előre, a hogy ember és ló birja!
Délutánra egy juhászkunyhóhoz értek. Az eddigi vezető
beajánlotta a hadfiakat a juhásznak a további kalauzolásra.
Ott találtak egy boglya szénát, azt megvették, hogy legalább a
lovaik jóllakjanak.
– Hát valami embernek való eledel nincs-e itt?
A juhok odalenn a völgyben legeltek, azokból nem lehetett mára
felhozni. Hanem volt egy szapu savanyu tej; a mi olyanformán
készül, hogy a juhtejet napról-napra egy edénybe öntögetik, s azt
folytonosan kavargatják, hogy meg ne aludjék. Rossz eledel, de
tápláló. Nem is urak számára gondolták azt ki. Ebből jutott minden
huszárnak fél pohárral.
Még mást is kaptak.
Felfedeztek egy verem répát. A birkák számára volt eltéve.
Émelygős, lenézni való eledel. De most az is vendégség volt. Jól
laktak vele.
Egy huszár a térdén firkált valamit piros bőrtárczájába.
– Mit firkálsz, héj? kérdé tőle Pál vitéz.
– Felirom ezeket a dolgokat, a mik itt velünk sorban történnek,
mert ha egyszer hazakerülünk, azt fogják rá mondani: hej de
elvetemedett poéta lehetett az, ki ezeket kigondolta! ha csak mind
meg nem esküszünk rá.
Pedig még hajh, de sok feljegyezni való következett abba a piros
bugyellárisba!
 Este felé egy kis holdvilág kezdett sütni. Richard fel akarta
használni a szép ezüstös méla fényt, hogy előbbre hatolhasson.
Hiszen még csak most voltak a kezdetén az óriási erőfeszítésnek.
Megindult a vezetővel előre.
Most már folyton meredélynek vitt fel az út. A fenyőerdő ritkulni
kezdett! Helyét elfoglalta a boróka, eleinte sűrű szálas erdőnek nőve;
mentől feljebb, annál törpébbre zsugorodva, míg a havas közelében
egészen lelapul a földhöz, s kúszik mint a szederinda, az apró
áfonyabokorral osztva az uralkodást.
Reggel már csak áfonyával volt terítve a hegyoldal, melyen
felkaptattak. Az legalább reggelivel szolgált nekik, a piros és kék
bogyók épen akkor értek.
Hanem a napfelkölte ma nem volt olyan szép, mint tegnap. A
havasok csúcsai ködökbe voltak burkolva, s a nap fénytelenül izzott a
láthatár lilaszín gőzkörében.
A vezető hózivatarral kezdett biztatni.
A kopár hegyoldalt lassankint elhagyta minden növényzet, fenn a
hegygerinczen már fű sem tenyészett, csak barnaszürke zuzmók
terjengtek a kőrepedések között. E hegygerinczen haladtak
naphosszant végig. Nem ember, de még madár sem járt e tájon. A
halál országa volt az; egy tájék csupa sírkövekből.
S az előttük emelkedő havasok, mintha minden órai haladásnál
fenyegetőbb rémóriásokká magaslanának fel: annál elriasztóbbak,
mentül jobban közelednek.
A mennyire szem ellát, emberi lakásnak semmi nyoma, sehonnan
a völgyből nem kavarog fel füst; nem révedez fel kolomphang,
pásztorkürt, vagy vadász lövése. Nem lakik itt más, csak a felhő.
Most nincs itthon. Nagy szerencse. Valahol melegedni jár a
napsugárban, vagy vizet szivárványoz a tengerből, vagy alszik
valamelyik völgyben. De ha egyszer megjön s itt kapja a vakmerő
vándorokat! A felhő nagyon haragos úr a maga országában!
 Dél felé, a mint a hegygerinczről alá kezdettek szállani a völgybe,
mely a legközelebbi havastól elválasztá őket, mint egy lomha fehér
rém emelkedett ki eléjük a mélységből valami formátlan ködtömeg,
mely a havas oldalán látszott csendesen végig libegni.
– Ha ez meglep bennünket, ott nagyot kell pihennünk, monda a
vezető Richardnak. Igyekezzünk lejutni a völgybe, a hol cserjét
találunk; legalább tüzelhetünk, ha rossz idő lesz.
A ködalak terjedt, szétborult, néhány percz mulva beburkolá az
egész csapatot.
Itthon a felhő! s azt kérdezi, mit kerestek az én országomban?
És meg kell parancsára állni; nem lát többé útat senki maga előtt.
A kalauz azt az indítványt teszi, hogy majd ő előre halad pár száz
lépésnyire, s ha biztos a járás, visszakiált, azután mehetnek utána.
A hadfiak azalatt helyben maradtak. A hideg felhő úr egyszerre
megőszité valamennyi haját és bajuszát, fehér zúzmarával lepve be
mindenkit.
Azután vártak egy negyedig az eltávozott kalauz kiáltására. Nem
jött jel. Majd Richard maga elindult a nyomán s soká kiáltozott
utána. Nem kapott választ.
A vezető valószinűleg iparkodott a csapattól megszökni; nem
akart velök együtt ott veszni s magukra hagyta őket.
Most aztán ott voltak a felhőkirály országában elhagyatva,
tájékozatlanul, beburkolva farkassötét ködfellegbe, étlen, szomjan,
fázva.
Nem zugolódott senki.
– Jertek utánam, monda Richard s elkezdte csapatját találomra
vezetni a meredélyen alá. Nem ült már senki a nyeregben, lovaikat
kantárszáron vezették maguk után.
 A felhő még a völgy aljában is úr volt. Azonban nehány órai
veszélyes botorkálás után csakugyan eljutottak egy hegyoldalba, a
mely sűrű borókacziherrel volt benőve.
– Itt kell maradnunk éjszakára. Gyujtsatok tüzeket.
Az éjszaka itt is volt már. Lehet, hogy a nap még fenn van. De a
felhő fenekén már beéjjeledett.
Legalább lesz mivel tüzelni; a megfagyástól meg lesznek őrizve.
A lovakat egymáshoz kötözték; nem volt már nekik mit enni adni,
hisz a gazdák is éheztek egész nap.
(Talán épen ebben az órában mondta Baradlayné legkisebb
fiának: «bátyád fut a Kárpátokon át üldözve, kergetve; lába alatt a
meredek örvény, az áradt hegyfolyam, feje fölött a zivatar és a
keselyük. Talán elfogják, talán éhen vész, talán megfagy?!»)
(Oh ha látta volna fiát, mily helyeken jár!)
A huszárok őrtüzeket gyujtottak s azokat körül feküdték. Fáradtak
voltak halálba: álom kellett már nekik, semmi más.
Richard megparancsolá, hogy minden tűznél egy ember ébren
maradjon, a ki vigyázzon a parázsra s ne engedje a lángokat
kialudni.
Azután ő maga is köpenyébe burkolta magát és lefeküdt egy tűz
mellé.
A fiatal huszár jegyezgeté piros tárczájába a mai nap
viszontagságait s nagyot sóhajta utána.
«Oh én uram teremtőm! mi következik még?»
S aztán ő is csak elaludt, mint a többi.
Emberfölöttit kivánt, a ki azt kivánta, hogy egy ember minden
tűznél ébren maradjon; az őrök azt hitték, hogy ha ők jól megrakják
a tüzeket, elégnek azok magukban is; s ők is aludtak mellette.
És aztán a hazaálmodónak alig volt annyi ideje, hogy
elrepülhessen a szülői házig, s megkérdezhesse: hogy vagytok
idehaza? midőn rémséges üvöltés verte fel valamennyit édes
honnjártából. A paripák vésznyerítése volt az.
A felriadókat a pokol rémképe fogadta.
Az őrzetlen hagyott tüzektől meggyulladt az erdő egész
hosszában, mire az alvók felriadtak.
A láng, mint egy hegynek felfelé rohanó láva, terjedt fölfelé, a
széltől hömpölygetve, s keresztül világított ködön és éjszakán.
– Fel a havasnak! kiálta Richard s kantárján kapva paripáját,
iparkodott a tűz közül menekülni, mely előttük, körülöttük, recsegve,
süstörögve harapózott odább.
Volt már világítás! Lehetett már látni, merre van út? Átkozott,
kétségbeejtő út; de fel kellett rajta mászni. Embernek, állatnak új
erőt adott a végveszedelem. Néhol gázolni kellett a zsarátnakon
keresztül; a szél, mintha tűzzel utánozná a hóesést, lángpelyheket
zúdított arczaikba; a füstben meg kellett fulladni a tétovázónak; csak
előre; fel a hegynek!
Mikor két órai titáni égostromlás után visszatekintettek arra az
útra, a mit meghaladtak, a fejük szédült bele. Hihetlennek látszott
saját maguk előtt, hogy ott fel tudtak jönni. Az egész hegyoldal egy
izzó palásttal volt már beborítva, mely terjedt, a meddig bokrot
talált.
Most aztán párologva a verítéktől, ott álltak a havas kezdetén, a
hideg, fagyasztó éji légben.
Ott állva nem maradhatott, a ki a halált nem akarta hazavinni.
Menni kellett, csak azért, hogy menjenek.
 Mindenki vezette a lovát kantárszárán. Némelyiket vezetni sem
kellett: ment magától a gazdája után.
Nem volt már miről tanakodni. Megy előre minden ember,
ameddig bir; a ki nem, az kidől.
Újra megvirradt. A legkegyetlenebb napja virradt fel a
menekülésnek. Köröskörül jéghegyek, jégmezők. Semmi út, semmi
vezénylő pont.
Már második napja, hogy egy falatot nem evett senki.
Az égető szomjat szájukba vett hógolyócskákkal oltják. Utána
még jobban éget.
S van valami, a mi szomjnál, éhségnél is jobban éget.
Egy-egy ló nem bírja már tovább, s kidől az útból. Gazdája ott
könyez fölötte. Maga is szeretne lova mellett ott maradni fekve a
kegyetlen hideg földön.
De Pál vitéz nem enged senkit elpusztulni. Ott jár leghátul, biztat,
vigasztal, káromkodik, szidja az angyalokat; elesett, hóba
beleszakadt lovakat segít kiemelgetni; a kidültek helyett vezetéket
kerít; a fiatalokat példaadásával buzdítja. «Egynek sem szabad
közülünk hiányzani. Hiszen mindjárt otthon vagyunk már.»
«Otthon! Az égben», susogja a fiatal huszár, a végjeleneteket
jegyezve tárczájába.
A csapatrend végkép felbomlott már; két óra járásnyira vannak
elszórva egymástól a menekülők. Richard az elejével messze elől töri
az útat a mély hóban; Pál vitéz az utóhaddal a nyomában gázol.
Csodával határos, hogy még tart az erejök.
A ruha csonttá fagyva testükön, a kard maga is nehéz már. A
lovak körme letöredezve, patkóik lemaradozva; hasuk nincs már, a
nyeregszorítónak nincs mit szorítani. És még ki tudja, hol a végczél?
 A sors még egy próbát tartott fenn a számukra. Délután
bekövetkezett a hózivatar.
Sötét lilaszín felhők gyülekeztek a világító jéghegyek csúcsai
körül, s onnan alábocsátkoztak a hómezőkre. A szél üvöltve vágta a
futók arczába az éles havat. Aztán madártoll nagyságú hópelyhek
kezdtek esni sűrűn, mik az előbbre haladtak nyomát eltakarták; most
már csak kiáltozás után találtak egymás nyomába.
És ki tudja, hova jutnak így?
Ha Richardot a véletlen egy kijárástalan völgyszorosba vezeti,
valamennyien odavesznek.
A hegyoldalokon óriási hógörgetegek mennydörögnek alá, s egy-
egy hócsúszamlat embert és lovat eltemet.
Még sem vesztik el lelküket. Zivatarban, iszonyatban melegíti
még valami kebleiket.
Már közeledik ismét az est.
Richard azt veszi észre, hogy az út egy idő óta folyton lefelé
halad.
Egyszer nagy szál erdőbe jut. Még a fenyves is üdvözölt menedék
most.
A zivatar zúg a sudarak között, mint egy borzasztó orgonán; de e
rémzenén keresztül megkapja Richard figyelmét egy hang, mely a
borzalmak között vigaszt öntött szivébe. Az egy fejszecsapás hangja.
Itt emberrel találkozunk!
Oh milyen örvendetes lesz egy új emberarczot látni! Tudni azt,
hogy itt már megszünt a halál országa!
Richard és néhány kisérője oda siettek a hang után, s ott találtak
egy bocskoros embert, ki egy ledöntött szálfát csonkázott.
 Richard megszólítá azt morva nyelven.
Mire a megszólított magyarul monda:
«Dicsértessék az úr Jézus!»
Nem is hogy ölelték, nem is hogy csókolták, de majd hogy meg
nem ették azért a szóért a bocskoros embert a bujdosó hadfiak.
«Hát te magyar vagy? hát ez már magyar föld?»
S leborultak arra a hideg havas földre arczczal.
«Bizony, dicsértessék! mind örökké! Amen!»
Az a bocskoros paraszt azután elmondá előttük, hogy várják ám a
hadfiakat oda lenn a városban; nem messze van az már. Ma délben
hozta hírét a kalauz, ki őket elhagyta s előre sietett, hogy segélyt
vigyen eléjük, nehogy ott veszszenek.
A havasi zivatar egyszerre elvonult, s a mint a felhőfüggönyt
elgördíté a tájról, a hadfiak onnan a magaslatról maguk előtt látták,
a miért olyan messziről eljöttek: a szép magyar hazát.
Látták-e? azt könyeik mondják meg.
A hegy alatt feküdt egy szép kis mezőváros. A hegyoldalon
kanyargott fel egy út.
Azon az úton jött ünnepi processióval egy menet zászlókkal és
zenével az érkezőket üdvözölni. Messziről láthatták a zászlókat,
messziről hallhatták a zenét.
Richard és társai lövésekkel adtak jelt hátul maradt társaiknak.
Ott bevárták valamennyit. Nem siettek többé előre.
Mindenki megjött; egy sem veszett oda. Már hadsorban álltak,
mikor az üdvözlő honfiak serege feljutott hozzájuk.
A mi akkor történt, azt újra átérezni nem való a mi nyugodt
idegeinknek.
 Lenn a városban díszlakoma volt rendezve az érkezők
tiszteletére; s a huszár, ki hat nap hat éjjel nem aludt, – a hetediken
kivilágos kivirradtig tánczolt.
És mind ez nem költemény, nem képzelet; ama fiatal huszár,
most már öreg legény, jegyezgeté föl ezt sorban; s ma is tanuskodik
róla, hogy ez így történt mind!
 TARTALOM.

I. KÖTET.
Hatvan percz 1
A temetési ima 12
Tallérossy Zebulon 19
Két jó barát 27
A másik kettő 63
Mindenféle emberek 78
A backfisch 90
A zsibárus 99
Női boszú 114
Az aláhuzott sorok 124
A kézfogó napja 132
Az első lépés «ama» magaslathoz 149
Tavaszi napok 162
Az érem másik oldala 179
A kik igazán szeretnek 200
A vérveres alkony 237
Az a harmadik 240
Elől víz, hátul tűz 268

FRANKLIN-TÁRSULAT NYOMDÁJA.
*** END OF THE PROJECT GUTENBERG EBOOK A KŐSZIVŰ EMBER
FIAI (1. RÉSZ): REGÉNY ***

Updated editions will replace the previous one—the old editions will
be renamed.

Creating the works from print editions not protected by U.S.

copyright law means that no one owns a United States copyright in
these works, so the Foundation (and you!) can copy and distribute it
in the United States without permission and without paying
copyright royalties. Special rules, set forth in the General Terms of
Use part of this license, apply to copying and distributing Project
Gutenberg™ electronic works to protect the PROJECT GUTENBERG™
concept and trademark. Project Gutenberg is a registered trademark,
and may not be used if you charge for an eBook, except by following
the terms of the trademark license, including paying royalties for use
of the Project Gutenberg trademark. If you do not charge anything
for copies of this eBook, complying with the trademark license is
very easy. You may use this eBook for nearly any purpose such as
creation of derivative works, reports, performances and research.
Project Gutenberg eBooks may be modified and printed and given
away—you may do practically ANYTHING in the United States with
eBooks not protected by U.S. copyright law. Redistribution is subject
to the trademark license, especially commercial redistribution.

START: FULL LICENSE

THE FULL PROJECT GUTENBERG LICENSE
 PLEASE READ THIS BEFORE YOU DISTRIBUTE OR USE THIS WORK

To protect the Project Gutenberg™ mission of promoting the free

distribution of electronic works, by using or distributing this work (or
any other work associated in any way with the phrase “Project
Gutenberg”), you agree to comply with all the terms of the Full
Project Gutenberg™ License available with this file or online at
www.gutenberg.org/license.

Section 1. General Terms of Use and

Redistributing Project Gutenberg™
electronic works
1.A. By reading or using any part of this Project Gutenberg™
electronic work, you indicate that you have read, understand, agree
to and accept all the terms of this license and intellectual property
(trademark/copyright) agreement. If you do not agree to abide by all
the terms of this agreement, you must cease using and return or
destroy all copies of Project Gutenberg™ electronic works in your
possession. If you paid a fee for obtaining a copy of or access to a
Project Gutenberg™ electronic work and you do not agree to be
bound by the terms of this agreement, you may obtain a refund
from the person or entity to whom you paid the fee as set forth in
paragraph 1.E.8.

1.B. “Project Gutenberg” is a registered trademark. It may only be

used on or associated in any way with an electronic work by people
who agree to be bound by the terms of this agreement. There are a
few things that you can do with most Project Gutenberg™ electronic
works even without complying with the full terms of this agreement.
See paragraph 1.C below. There are a lot of things you can do with
Project Gutenberg™ electronic works if you follow the terms of this
agreement and help preserve free future access to Project
Gutenberg™ electronic works. See paragraph 1.E below.
1.C. The Project Gutenberg Literary Archive Foundation (“the
Foundation” or PGLAF), owns a compilation copyright in the
collection of Project Gutenberg™ electronic works. Nearly all the
individual works in the collection are in the public domain in the
United States. If an individual work is unprotected by copyright law
in the United States and you are located in the United States, we do
not claim a right to prevent you from copying, distributing,
performing, displaying or creating derivative works based on the
work as long as all references to Project Gutenberg are removed. Of
course, we hope that you will support the Project Gutenberg™
mission of promoting free access to electronic works by freely
sharing Project Gutenberg™ works in compliance with the terms of
this agreement for keeping the Project Gutenberg™ name associated
with the work. You can easily comply with the terms of this
agreement by keeping this work in the same format with its attached
full Project Gutenberg™ License when you share it without charge
with others.

1.D. The copyright laws of the place where you are located also
govern what you can do with this work. Copyright laws in most
countries are in a constant state of change. If you are outside the
United States, check the laws of your country in addition to the
terms of this agreement before downloading, copying, displaying,
performing, distributing or creating derivative works based on this
work or any other Project Gutenberg™ work. The Foundation makes
no representations concerning the copyright status of any work in
any country other than the United States.

1.E. Unless you have removed all references to Project Gutenberg:

1.E.1. The following sentence, with active links to, or other

immediate access to, the full Project Gutenberg™ License must
appear prominently whenever any copy of a Project Gutenberg™
work (any work on which the phrase “Project Gutenberg” appears,
or with which the phrase “Project Gutenberg” is associated) is
accessed, displayed, performed, viewed, copied or distributed:
 This eBook is for the use of anyone anywhere in the United
States and most other parts of the world at no cost and with
almost no restrictions whatsoever. You may copy it, give it away
or re-use it under the terms of the Project Gutenberg License
included with this eBook or online at www.gutenberg.org. If you
are not located in the United States, you will have to check the
laws of the country where you are located before using this
eBook.

1.E.2. If an individual Project Gutenberg™ electronic work is derived

from texts not protected by U.S. copyright law (does not contain a
notice indicating that it is posted with permission of the copyright
holder), the work can be copied and distributed to anyone in the
United States without paying any fees or charges. If you are
redistributing or providing access to a work with the phrase “Project
Gutenberg” associated with or appearing on the work, you must
comply either with the requirements of paragraphs 1.E.1 through
1.E.7 or obtain permission for the use of the work and the Project
Gutenberg™ trademark as set forth in paragraphs 1.E.8 or 1.E.9.

1.E.3. If an individual Project Gutenberg™ electronic work is posted

with the permission of the copyright holder, your use and distribution
must comply with both paragraphs 1.E.1 through 1.E.7 and any
additional terms imposed by the copyright holder. Additional terms
will be linked to the Project Gutenberg™ License for all works posted
with the permission of the copyright holder found at the beginning
of this work.

1.E.4. Do not unlink or detach or remove the full Project

Gutenberg™ License terms from this work, or any files containing a
part of this work or any other work associated with Project
Gutenberg™.

1.E.5. Do not copy, display, perform, distribute or redistribute this

electronic work, or any part of this electronic work, without
prominently displaying the sentence set forth in paragraph 1.E.1
with active links or immediate access to the full terms of the Project
Gutenberg™ License.

1.E.6. You may convert to and distribute this work in any binary,
compressed, marked up, nonproprietary or proprietary form,
including any word processing or hypertext form. However, if you
provide access to or distribute copies of a Project Gutenberg™ work
in a format other than “Plain Vanilla ASCII” or other format used in
the official version posted on the official Project Gutenberg™ website
(www.gutenberg.org), you must, at no additional cost, fee or
expense to the user, provide a copy, a means of exporting a copy, or
a means of obtaining a copy upon request, of the work in its original
“Plain Vanilla ASCII” or other form. Any alternate format must
include the full Project Gutenberg™ License as specified in
paragraph 1.E.1.

1.E.7. Do not charge a fee for access to, viewing, displaying,

performing, copying or distributing any Project Gutenberg™ works
unless you comply with paragraph 1.E.8 or 1.E.9.

1.E.8. You may charge a reasonable fee for copies of or providing

access to or distributing Project Gutenberg™ electronic works
provided that:

• You pay a royalty fee of 20% of the gross profits you derive
from the use of Project Gutenberg™ works calculated using the
method you already use to calculate your applicable taxes. The
fee is owed to the owner of the Project Gutenberg™ trademark,
but he has agreed to donate royalties under this paragraph to
the Project Gutenberg Literary Archive Foundation. Royalty
payments must be paid within 60 days following each date on
which you prepare (or are legally required to prepare) your
periodic tax returns. Royalty payments should be clearly marked
as such and sent to the Project Gutenberg Literary Archive
Foundation at the address specified in Section 4, “Information
 about donations to the Project Gutenberg Literary Archive
Foundation.”

• You provide a full refund of any money paid by a user who

notifies you in writing (or by e-mail) within 30 days of receipt
that s/he does not agree to the terms of the full Project
Gutenberg™ License. You must require such a user to return or
destroy all copies of the works possessed in a physical medium
and discontinue all use of and all access to other copies of
Project Gutenberg™ works.

• You provide, in accordance with paragraph 1.F.3, a full refund of

any money paid for a work or a replacement copy, if a defect in
the electronic work is discovered and reported to you within 90
days of receipt of the work.

• You comply with all other terms of this agreement for free
distribution of Project Gutenberg™ works.

1.E.9. If you wish to charge a fee or distribute a Project Gutenberg™

electronic work or group of works on different terms than are set
forth in this agreement, you must obtain permission in writing from
the Project Gutenberg Literary Archive Foundation, the manager of
the Project Gutenberg™ trademark. Contact the Foundation as set
forth in Section 3 below.

1.F.

1.F.1. Project Gutenberg volunteers and employees expend

considerable effort to identify, do copyright research on, transcribe
and proofread works not protected by U.S. copyright law in creating
the Project Gutenberg™ collection. Despite these efforts, Project
Gutenberg™ electronic works, and the medium on which they may
be stored, may contain “Defects,” such as, but not limited to,
incomplete, inaccurate or corrupt data, transcription errors, a
copyright or other intellectual property infringement, a defective or
damaged disk or other medium, a computer virus, or computer
codes that damage or cannot be read by your equipment.

1.F.2. LIMITED WARRANTY, DISCLAIMER OF DAMAGES - Except for

the “Right of Replacement or Refund” described in paragraph 1.F.3,
the Project Gutenberg Literary Archive Foundation, the owner of the
Project Gutenberg™ trademark, and any other party distributing a
Project Gutenberg™ electronic work under this agreement, disclaim
all liability to you for damages, costs and expenses, including legal
fees. YOU AGREE THAT YOU HAVE NO REMEDIES FOR
NEGLIGENCE, STRICT LIABILITY, BREACH OF WARRANTY OR
BREACH OF CONTRACT EXCEPT THOSE PROVIDED IN PARAGRAPH
1.F.3. YOU AGREE THAT THE FOUNDATION, THE TRADEMARK
OWNER, AND ANY DISTRIBUTOR UNDER THIS AGREEMENT WILL
NOT BE LIABLE TO YOU FOR ACTUAL, DIRECT, INDIRECT,
CONSEQUENTIAL, PUNITIVE OR INCIDENTAL DAMAGES EVEN IF
YOU GIVE NOTICE OF THE POSSIBILITY OF SUCH DAMAGE.

1.F.3. LIMITED RIGHT OF REPLACEMENT OR REFUND - If you

discover a defect in this electronic work within 90 days of receiving
it, you can receive a refund of the money (if any) you paid for it by
sending a written explanation to the person you received the work
from. If you received the work on a physical medium, you must
return the medium with your written explanation. The person or
entity that provided you with the defective work may elect to provide
a replacement copy in lieu of a refund. If you received the work
electronically, the person or entity providing it to you may choose to
give you a second opportunity to receive the work electronically in
lieu of a refund. If the second copy is also defective, you may
demand a refund in writing without further opportunities to fix the
problem.

1.F.4. Except for the limited right of replacement or refund set forth
in paragraph 1.F.3, this work is provided to you ‘AS-IS’, WITH NO
OTHER WARRANTIES OF ANY KIND, EXPRESS OR IMPLIED,
INCLUDING BUT NOT LIMITED TO WARRANTIES OF
MERCHANTABILITY OR FITNESS FOR ANY PURPOSE.

1.F.5. Some states do not allow disclaimers of certain implied

warranties or the exclusion or limitation of certain types of damages.
If any disclaimer or limitation set forth in this agreement violates the
law of the state applicable to this agreement, the agreement shall be
interpreted to make the maximum disclaimer or limitation permitted
by the applicable state law. The invalidity or unenforceability of any
provision of this agreement shall not void the remaining provisions.

1.F.6. INDEMNITY - You agree to indemnify and hold the Foundation,

the trademark owner, any agent or employee of the Foundation,
anyone providing copies of Project Gutenberg™ electronic works in
accordance with this agreement, and any volunteers associated with
the production, promotion and distribution of Project Gutenberg™
electronic works, harmless from all liability, costs and expenses,
including legal fees, that arise directly or indirectly from any of the
following which you do or cause to occur: (a) distribution of this or
any Project Gutenberg™ work, (b) alteration, modification, or
additions or deletions to any Project Gutenberg™ work, and (c) any
Defect you cause.

Section 2. Information about the Mission

of Project Gutenberg™
Project Gutenberg™ is synonymous with the free distribution of
electronic works in formats readable by the widest variety of
computers including obsolete, old, middle-aged and new computers.
It exists because of the efforts of hundreds of volunteers and
donations from people in all walks of life.

Volunteers and financial support to provide volunteers with the

assistance they need are critical to reaching Project Gutenberg™’s
goals and ensuring that the Project Gutenberg™ collection will
Welcome to our website – the ideal destination for book lovers and
knowledge seekers. With a mission to inspire endlessly, we offer a
vast collection of books, ranging from classic literary works to
specialized publications, self-development books, and children's
literature. Each book is a new journey of discovery, expanding
knowledge and enriching the soul of the reade

Our website is not just a platform for buying books, but a bridge
connecting readers to the timeless values of culture and wisdom. With
an elegant, user-friendly interface and an intelligent search system,
we are committed to providing a quick and convenient shopping
experience. Additionally, our special promotions and home delivery
services ensure that you save time and fully enjoy the joy of reading.

Let us accompany you on the journey of exploring knowledge and

personal growth!

ebookball.com