Is current incremental safety assurance sound ?

International audienceIncremental design is an essential part of engineering. Without it, engineering would not likely be an economic, nor an effective, aid to economic progress. Further, engineering relies on this view of incrementality to retain the reliability attributes of the engineering method. When considering the assurance of safety for such artifacts, it is not surprising that the same economic and reliability arguments are deployed to justify an incremental approach to safety assurance. In a sense, it is possible to argue that, with engineering artifacts becoming more and more complex, it would be economically disastrous to not “do” safety incrementally. Indeed, many enterprises use such an incremental approach, reusing safety artifacts when assuring incremental design changes. In this work, we make some observations about the inadequacy of this trend and suggest that safety practices must be rethought if incremental safety approaches are ever going to be fit for purpose. We present some examples to justify our position and comment on what a more adequate approach to incremental safety assurance may look like

Is current incremental safety assurance sound ?

Incremental design is an essential part of engineering. Without it, engineering would not likely be an economic, nor an effective, aid to economic progress. Further, engineering relies on this view of incrementality to retain the reliability attributes of the engineering method. When considering the assurance of safety for such artifacts, it is not surprising that the same economic and reliability arguments are deployed to justify an incremental approach to safety assurance. In a sense, it is possible to argue that, with engineering artifacts becoming more and more complex, it would be economically disastrous to not “do” safety incrementally. Indeed, many enterprises use such an incremental approach, reusing safety artifacts when assuring incremental design changes. In this work, we make some observations about the inadequacy of this trend and suggest that safety practices must be rethought if incremental safety approaches are ever going to be fit for purpose. We present some examples to justify our position and comment on what a more adequate approach to incremental safety assurance may look like

Model-based specification of safety compliance needs for critical systems : A holistic generic metamodel

Abstract Context: Many critical systems must comply with safety standards as a way of providing assurance that they do not pose undue risks to people, property, or the environment. Safety compliance is a very demanding activity, as the standards can consist of hundreds of pages and practitioners typically have to show the fulfilment of thousands of safety-related criteria. Furthermore, the text of the standards can be ambiguous, inconsistent, and hard to understand, making it difficult to determine how to effectively structure and manage safety compliance information. These issues become even more challenging when a system is intended to be reused in another application domain with different applicable standards. Objective: This paper aims to resolve these issues by providing a metamodel for the specification of safety compliance needs for critical systems. Method: The metamodel is holistic and generic, and abstracts common concepts for demonstrating safety compliance from different standards and application domains. Its application results in the specification of “reference assurance frameworks” for safety-critical systems, which correspond to a model of the safety criteria of a given standard. For validating the metamodel with safety standards, parts of several standards have been modelled by both academic and industry personnel, and other standards have been analysed. We further augment this with feedback from practitioners, including feedback during a workshop. Results: The results from the validation show that the metamodel can be used to specify safety compliance needs for aerospace, automotive, avionics, defence, healthcare, machinery, maritime, oil and gas, process industry, railway, and robotics. Practitioners consider that the metamodel can meet their needs and find benefits in its use. Conclusion: The metamodel supports the specification of safety compliance needs for most critical computer-based and software-intensive systems. The resulting models can provide an effective means of structuring and managing safety compliance information

Un meta-modele pour la prise en compte de la sûreté de fonctionnement d’un système dans une approche d’ingénierie dirigée par les modèles (IDM)

Dans cet article, nous avons pour but d’apporter une contribution à la définition de profil UML pour supporter l’analyse de la sûreté de fonctionnement des systèmes complexes qui sont en général, des systèmes temps réels embarqués, ceci, conformément à la méthodologie d’ingénierie dirigée par les modèles. Un ensemble de concepts de base de fiabilité et de sécurité ont été inclus dans le profil pour soutenir l'analyse de la sûreté de fonctionnement de RTES. Nous avons exploité les meilleures pratiques proposées dans la littérature, sur les extensions UML capable de modéliser la sûreté de fonctionnement afin de dresser une check liste d’exigences qui doivent être utilisé comme directive pour la définition d'un profil d'analyse de sûreté. Le profil proposé est alors appliqué à une étude de cas : un système de navigation.Mots clés : Métamodèle, sûreté de fonctionnement, ingénierie dirigée par les modèles, profil UML, systèmes temps réel embarqué

Processus d’ingénierie des exigences dans un environnment à base de modèles selon les normes automobiles

L'industrie automobile des systèmes embarqués critiques est confrontée de nos jours à une complexité croissante, tandis que les coûts, les performances en termes d'intelligence, les caractéristiques, les capacités et les délais de commercialisation de leurs produits sont constamment remises en question. Face à cela, l'objectif principal pour les constructeurs et fournisseurs automobiles devient désormais de contrôler la qualité et la fiabilité des systèmes mécatroniques et embarqués. L'existence de normes internationales comme le HIS Automotive SPICE et l’ISO26262 est une contrainte supplémentaire qu'ils doivent prendre en compte s’ils veulent atteindre cet objectif. De plus, assurer la bonne gestion de la sécurité et la qualité du produit ne suffit pas: il est essentiel de veiller à ce que nous produisons un système qui n'est pas seulement sécuritaire et bien, mais aussi que nous produisons le bon système. Cela induit donc une plus grande prise en compte des exigences.Dans cette thèse, nous traitons le challenge du développement des systèmes embarqués automobiles suivant l’Ingénierie Dirigée par les Modèles (IDM) qui répondent aux exigences des utilisateurs et des standards du domaine et qui permettent de maîtriser davantage la qualité des produits développés. Le problème à résoudre a été abordé sur plusieurs phases qui sont ensuite utilisés conjointement. En premier, nous définissons un métamodèle fusionnant les approches orienté qualité produit et qualité processus selon respectivement les normes ISO26262 et SPICE. Puis, dans un but de certification, nous proposons une méthodologie générique basée sur ce métamodèle commun où une évaluation du processus de développement induite par l’HIS standard ainsi qu’une évaluation de la sécurité fonctionnelle induite par l’ISO2626 sont simultanément effectuées. Ce résultat est traduit au travers de la définition d'un framework outillé où nous appliquons la méthode d'évaluation propre au standard SPICE. En deuxième phase, nous définissons un métamodèle pour gérer les actifs de sécurité concernant ces normes automobiles au niveau produit. Ce métamodèle définit comment capturer les exigences et l’architecture d’un système de telle manière qu'ils puissent être traçables entre eux et également traçables depuis des documents de spécifications d’origine. Enfin, une approche à base de modèle où l'interaction des modèles de processus et le produit est géré afin de répondre aux besoins identifiés dans la première phase est développé pour soutenir la gestion de projet. L'approche utilise la modélisation des processus et leur mesure pour améliorer le contrôle et le suivi de projet et de réduire par la même les coûts et les fréquences de replanification.Les avantages de la contribution sont démontrés sur une application pilote automobile, validant ainsi le travail de recherche au vue des faiblesses identifiées préalablement dans le contexte.The embedded safety-critical systems industry is facing an exponential increase in the complexity and variety of systems and devices while costs, performance in terms of intelligence, features, capacities and time to market are constantly challenged. The main objective for automotive manufacturers and suppliers is now becoming the control of quality and the dependability of embedded and mechatronic systems. The existence of internationally recognized standards such as the Automotive SPICE and ISO26262 is a further constraint that must be managed to meet this objective. Nevertheless, ensuring sound management of safety and viewpoints is insufficient. It is also essential to ensure that we produce a system that is not only compliant and well-defined, but also that we produce the “right” system. Therefore, this leads to greater consideration of the requirements.In this thesis, we address the challenge of development of automotive embedded systems following the model-driven engineering paradigm that meet the user needs and the regulatory constraints of the domain and that further mastered the quality of developed product. We resolve the problem in many steps which are subsequently used jointly. In the first phase, we define a merging approach which embodies a product quality and process quality approaches regarding the ISO26262 and SPICE standards following the model-driven engineering paradigm. Then, in a certification assessment purpose, we propose a generic methodology where an HIS assessment and a functional safety audit is simultaneously performed without altering their original meanings. This commitment results into the definition of a tooled framework where we apply the SPICE assessment method to the common metamodel defined from the merging work. In a second phase, we define a metamodel for manage safety assets regarding these automotive standards at product level. This metamodel defines how the requirements and architecture of a system can be captured in such a way that they can be traceable from each other and from origin specifications documents. Finally, a model-based approach where the interaction of process and product models is managed to address requirements identified in the precedent phases is developed to support project management. The approach uses process modeling and measurement to improve the control and the monitoring of project and to reduce the cost and frequency of re-planning.The benefits of the contribution are demonstrated on an ongoing automotive pilot application, thereby validating the research work against the weaknesses identified prealably in the context

Processus d ingénierie des exigences dans un environnment à base de modèles selon les normes automobiles

L'industrie automobile des systèmes embarqués critiques est confrontée de nos jours à une complexité croissante, tandis que les coûts, les performances en termes d'intelligence, les caractéristiques, les capacités et les délais de commercialisation de leurs produits sont constamment remises en question. Face à cela, l'objectif principal pour les constructeurs et fournisseurs automobiles devient désormais de contrôler la qualité et la fiabilité des systèmes mécatroniques et embarqués. L'existence de normes internationales comme le HIS Automotive SPICE et l ISO26262 est une contrainte supplémentaire qu'ils doivent prendre en compte s ils veulent atteindre cet objectif. De plus, assurer la bonne gestion de la sécurité et la qualité du produit ne suffit pas: il est essentiel de veiller à ce que nous produisons un système qui n'est pas seulement sécuritaire et bien, mais aussi que nous produisons le bon système. Cela induit donc une plus grande prise en compte des exigences.Dans cette thèse, nous traitons le challenge du développement des systèmes embarqués automobiles suivant l Ingénierie Dirigée par les Modèles (IDM) qui répondent aux exigences des utilisateurs et des standards du domaine et qui permettent de maîtriser davantage la qualité des produits développés. Le problème à résoudre a été abordé sur plusieurs phases qui sont ensuite utilisés conjointement. En premier, nous définissons un métamodèle fusionnant les approches orienté qualité produit et qualité processus selon respectivement les normes ISO26262 et SPICE. Puis, dans un but de certification, nous proposons une méthodologie générique basée sur ce métamodèle commun où une évaluation du processus de développement induite par l HIS standard ainsi qu une évaluation de la sécurité fonctionnelle induite par l ISO2626 sont simultanément effectuées. Ce résultat est traduit au travers de la définition d'un framework outillé où nous appliquons la méthode d'évaluation propre au standard SPICE. En deuxième phase, nous définissons un métamodèle pour gérer les actifs de sécurité concernant ces normes automobiles au niveau produit. Ce métamodèle définit comment capturer les exigences et l architecture d un système de telle manière qu'ils puissent être traçables entre eux et également traçables depuis des documents de spécifications d origine. Enfin, une approche à base de modèle où l'interaction des modèles de processus et le produit est géré afin de répondre aux besoins identifiés dans la première phase est développé pour soutenir la gestion de projet. L'approche utilise la modélisation des processus et leur mesure pour améliorer le contrôle et le suivi de projet et de réduire par la même les coûts et les fréquences de replanification.Les avantages de la contribution sont démontrés sur une application pilote automobile, validant ainsi le travail de recherche au vue des faiblesses identifiées préalablement dans le contexte.The embedded safety-critical systems industry is facing an exponential increase in the complexity and variety of systems and devices while costs, performance in terms of intelligence, features, capacities and time to market are constantly challenged. The main objective for automotive manufacturers and suppliers is now becoming the control of quality and the dependability of embedded and mechatronic systems. The existence of internationally recognized standards such as the Automotive SPICE and ISO26262 is a further constraint that must be managed to meet this objective. Nevertheless, ensuring sound management of safety and viewpoints is insufficient. It is also essential to ensure that we produce a system that is not only compliant and well-defined, but also that we produce the right system. Therefore, this leads to greater consideration of the requirements.In this thesis, we address the challenge of development of automotive embedded systems following the model-driven engineering paradigm that meet the user needs and the regulatory constraints of the domain and that further mastered the quality of developed product. We resolve the problem in many steps which are subsequently used jointly. In the first phase, we define a merging approach which embodies a product quality and process quality approaches regarding the ISO26262 and SPICE standards following the model-driven engineering paradigm. Then, in a certification assessment purpose, we propose a generic methodology where an HIS assessment and a functional safety audit is simultaneously performed without altering their original meanings. This commitment results into the definition of a tooled framework where we apply the SPICE assessment method to the common metamodel defined from the merging work. In a second phase, we define a metamodel for manage safety assets regarding these automotive standards at product level. This metamodel defines how the requirements and architecture of a system can be captured in such a way that they can be traceable from each other and from origin specifications documents. Finally, a model-based approach where the interaction of process and product models is managed to address requirements identified in the precedent phases is developed to support project management. The approach uses process modeling and measurement to improve the control and the monitoring of project and to reduce the cost and frequency of re-planning.The benefits of the contribution are demonstrated on an ongoing automotive pilot application, thereby validating the research work against the weaknesses identified prealably in the context.PARIS11-SCD-Bib. électronique (914719901) / SudocSudocFranceF

Model-Based Computer-Aided Monitoring for ISO26262 Compliant Systems

International audienc