Un robot de grande taille au domicile d’une personne et particulièrement d’une personne vulnérable, sera une source d’amélioration de conditions de vies, mais peut aussi être une source de danger en cas de dysfonctionnement. Il est donc nécessaire que le fabricant du robot domestique puisse assurer la Sûreté de Fonctionnement du dispositif qu’il fournit. Il a donc été décidé d’appliquer à la conception de Roméo, les méthodes déjà utilisées dans les domaines où la Sûreté de Fonctionnement est déjà bien intégrée : l’aéronautique et l’automobile notamment.

Avec des spécialistes de ce domaine, le CEA LIST et ALL4TEC, SoftBank Robotics a mis en place une méthodologie systématique grâce à laquelle le système robotique a été modélisé, les événements redoutés identifiés et les sources possibles de ces événements détectées. Des améliorations du robot sont ainsi envisagées pour le rendre plus sûr.

En conclusion de l’analyse de sécurité, un certain nombre de défaillances de Romeo2 pouvant conduire à des risques critiques ont été identifiés et un plan d’action a été mis en place. Cette analyse de sécurité est obligatoirement vérifiée lorsque des modifications sont apportées à Romeo2 (mise à jour matérielle et/ou logicielle). À défaut, au moins une étude de non-régression doit être faite. Si le résultat de cette étude de non-régression pointe de nouveaux risques, l’analyse de sécurité doit être mise à jour.

Projet Romeo 5

Modélisation système

Dans cette partie, un modèle de Romeo2 a été réalisé en s’appuyant sur les méthodes d’ingénierie système permettant de faire l’analyse du besoin, de formaliser la spécification technique et enfin de construire les architectures fonctionnelle et organique de Romeo2. Cette modélisation s’appuie notamment sur les informations recueillies lors de groupes de travail menés par l’ingénieur Sûreté de Fonctionnement avec les experts du système.

La modélisation fonctionnelle du système Romeo2 a été réalisée au moyen de Safety Architect. Cet outil a permis de modéliser aussi bien le hardware que le software de Romeo2 dans sa version actuelle.

Cette modélisation nous a permis d’une part, d’identifier les différentes fonctions que Romeo2 doit réaliser principalement durant sa phase de vie « Utilisation client ». D’autre part, de décrire les différents composants du système Romeo2 ainsi que leurs fonctions élémentaires avec, pour chacune d’elle, son comportement et ses interfaces d’entrée/sortie.

Ces modèles sont utilisés ensuite pour l’analyse de risque de Romeo2.

Modélisation système

Projet Romeo 3

Analyse de risque système

A partir du modèle fonctionnel réalisé dans l’étape précédente, l’analyse de risque a permis d’identifier les composants critiques (fonctions ou briques selon le modèle) c’est-à-dire ceux dont les modes de défaillance conduisent à des événements redoutés de Romeo2.

La méthodologie d’analyse de sécurité proposée par ALL4TEC et adoptée pour Romeo2 est décrite dans la figure ci-dessous :

Analyse de risque système
Figure 6 : Méthodologie d’analyse de sécurité
Projet Romeo 2

Proposition de modifications de l’architecture

Dans cette étape nous avons proposé des compléments fonctionnels ou d’architecture qui permettent, à moindre coût, d’assurer que le système ne soit pas dangereux pour ses utilisateurs. Les compléments fonctionnels proposés sont essentiellement des fonctions de sécurité ajoutées en vérification des traitements effectués par les briques critiques ainsi qu’aux interfaces entre les briques échangeant des données critiques.

A l’issue de l’analyse de sécurité, nous avons proposé 167 modifications qui se répartissent de la manière suivante :

  • 88 modifications pour la partie HW dont 53 pour des risques considérés comme critiques
  • 79 modifications pour la partie SW dont 31 pour des risques considérés comme critiques

Environ 50% des modifications concernent des risques critiques. Il convient donc de les intégrer dans les futures versions de Romeo2.

Exemple d_une proposition de modification d_architecture
Figure 10 : Exemple d’une proposition de modification d’architecture

Projet Romeo 1

Exigences de sûreté de fonctionnement des sous-systèmes

Les réalisateurs des constituants du système doivent connaître l’implication de leurs constituants à la Sûreté de Fonctionnement du robot et les contraintes qui en découlent. Cette tâche a permis d’affecter les exigences qui permettent à Romeo2 de respecter ses contraintes globales de Sûreté de Fonctionnement. Ces exigences sont extraites de la norme robotique ISO13482.

Cette étape a permis d’écrire 338 exigences de sécurité. Ces exigences sont réparties à tous les événements redoutés. Si certaines exigences ne peuvent pas être respectées, il sera nécessaire de revenir sur la conception initiale de Romeo2 afin de pouvoir être conforme à ces mêmes exigences.

Le respect de cette liste d’exigences permet de réduire les risques globaux associés à Romeo2.

Cette liste d’exigences, non-exhaustive vis-à-vis des normes utilisées dans le projet (ISO13482), doit servir de base de travail dans le cadre d’une future certification de Romeo2.

Afin de mieux respecter les exigences/normes, il convient d’effectuer cette étape de la démarche sécuritaire le plus en amont possible de la conception du robot et idéalement dès le début de cette phase de conception.

Exigence de Sûreté de Fonctionnement des sous-systèmes