Les systèmes technologiques sont au cœur de nombreuses applications permettant d’aider l’humain dans des tâches dangereuses, trop complexes ou impossibles. Parmi ces applications, certaines peuvent blesser des humains, ou provoquer des dégâts sur les biens matériels ou l’environnement. De tels systèmes sont qualifiés de systèmes à sécurité critique et leur utilisation est conditionnée par la confiance que l’humain leur accorde. Cette confiance est d’autant plus importante que l’on assiste aujourd’hui à des transferts de responsabilités de l’humain vers les dispositifs technologiques. Cette problématique a conduit à l’émergence d’un nouveau domaine, la sûreté de fonctionnement, définie par Laprie (1992) comme « la propriété d’un système qui permet de placer une confiance justifiée dans le service qu’il délivre ». Ce concept permet de regrouper plusieurs propriétés que sont la sécurité-confidentialité (security en anglais), la fiabilité, la disponibilité, et la sécurité-innocuité (safety). Dans le cadre de notre étude, concernant l’intégrité des biens et des personnes, nous utiliserons le terme de sécurité en lieu de sécurité-innocuité. Les moyens utilisés pour garantir ces différentes propriétés consistent principalement en l’utilisation de techniques de conception, développées dans des secteurs de pointe comme l’aéronautique, le nucléaire, ou le spatial. Malgré ces moyens, la complexité grandissante des systèmes technologiques, induite notamment par l’apparition des systèmes dits socio-techniques, où l’humain et le dispositif technologique interagissent pour accomplir une tâche, rend impossible la garantie d’une sécurité absolue. Et, si dans sa définition première, le terme de sécurité revêt un caractère absolu, il est aujourd’hui utilisé pour exprimer une propriété relative. En effet, les concepteurs intègrent le fait qu’il subsiste pour toute application un risque résiduel. La sécurité est alors définie par la connaissance et l’acceptabilité de ce risque. Les concepteurs d’un système doivent donc être en mesure de gérer ce risque depuis les premières étapes du processus de développement jusqu’à l’utilisation.
Sécurité des systèmes de la robotique de service
La robotique industrielle essentiellement dédiée à des processus manufacturiers a récemment utilisé la technologie de ses bras robots pour des applications hors de l’usine. Cette « robotique de service », et plus particulièrement sa composante de pointe, la robotique médicale (Dario et al., 1996), a fortement modifié la problématique de la sécurité des systèmes robotiques. Alors que les problèmes de sécurité des robots industriels relevaient essentiellement de défaillances des systèmes de protection (barrières, grillages, etc.), et que l’opérateur humain ne pénétrait l’espace de travail que pour des opérations de maintenance ou de programmation, la robotique de service nécessite de prendre en compte la proximité physique et l’étroite collaboration entre l’humain et le robot. L’impérieuse exigence de maîtriser la sécurité est d’autant plus urgente que les fonctionnalités et l’autonomie des robots de service ne cessent d’augmenter. Ainsi, le robot médical Robodoc , commercialisé pour effectuer le remplacement de la tête du fémur au niveau de la hanche (Pransky, 1997; Cain et al., 1993), réalise à l’issue de la planification de l’opération, la découpe et la préparation de la cavité fémorale en totale autonomie. Par ailleurs, on assiste aujourd’hui à l’apparition de systèmes de télé-médecine (médecine à distance) permettant la téléopération du robot par le spécialiste se trouvant à une grande distance du patient. Il existe aussi des systèmes de téléopération sur site, permettant au spécialiste d’effectuer des actions plus rapides et plus précises. Ainsi, dans un système comme AESOP (Sackier et Wang, 1994), le chirurgien guide avec sa voix les déplacements d’un endoscope, afin d’effectuer une opération minimalement invasive . De façon plus générale, plusieurs projets de recherche, sur le modèle de l’arthroscopie , visent à réduire les opérations de chirurgie en miniaturisant les outils et en faisant appel à un guidage par endoscope. Des robots miniatures (ou micro-robots) pourraient répondre à cette demande, et permettre alors des opérations jusqu’ici impossibles, car trop dangereuses, comme de complexes opérations du cœur ou du cerveau.
Dans ce contexte, les utilisateurs (patients et médecins), mais également les personnes se trouvant dans leur environnement ou les autorités acceptant leur mise sur le marché, peuvent s’interroger à juste titre sur la confiance qui peut être accordée à de tels systèmes. La sécurité, un des facteurs de cette confiance, a longtemps été considérée comme une propriété résultant de l’utilisation d’un ensemble de techniques sans qu’il y ait de lien entre elles. Il existe néanmoins aujourd’hui une science de la sécurité, parfois appelée science du danger, science du risque, ou plus récemment cyndinique . Bien que ces concepts soient étudiés depuis plusieurs années dans d’importants secteurs comme l’aéronautique ou le nucléaire, la spécificité de la robotique médicale nécessite une remise en question de ces concepts. Ce chapitre fonde ses analyses sur la notion d’événement non désiré qu’est le dommage . À partir de cette notion, et de l’ensemble des normes qui lui sont dédiées, les parties suivantes traitent des causes des dommages , des moyens que l’on peut mettre en œuvre pour les traiter et des techniques appropriées à ces moyens . Nous abordons ensuite la notion d’assurance que l’on peut obtenir concernant la sécurité de ces systèmes grâce à la certification .
Effets non désirés : les dommages
Afin d’analyser la notion de sécurité inhérente aux robots médicaux, il nous a paru fondamental de revenir aux notions de base, et de comprendre le mécanisme d’apparition d’un accident. Pour tout système, les effets non désirés sont définis par la notion de dommage.
Dommage
Définition
La notion de dommage est particulièrement stable, car il est possible de retrouver la même définition dans le domaine médical (ISO 14971, 2000), en robotique (Prasad, 1988) et au sein des normes génériques (IEC 60300-3-9, 1995).
Il est intéressant de comparer cette définition avec celle de la sécurité fréquemment utilisée en robotique industrielle, définie comme la prévention de dégâts sur l’humain, le robot et les éléments avec lesquels le robot interagit (Dhillon, 1991). On retrouve deux composantes de la notion de dommage :
– les personnes qui peuvent être les patients, les spécialistes ou les assistants, identifiés ici comme les humains,
– les biens, correspondants aux dispositifs médicaux utilisés (le robot lui-même, les outils, les appareils de mesures, etc.) ,
Cependant, dans la définition adoptée dans le domaine médical, on trouve une composante supplémentaire qui est l’environnement. En dehors des biens et des personnes, il est en effet possible d’identifier les dommages sur l’environnement en terme de destruction, pollution, etc. Ceci est particulièrement important pour les nouvelles applications de robotique de service dont la tâche peut influer sur l’état de l’environnement. Le dommage peut ensuite être qualifié par sa nature (brûlure, écrasement, coupure, etc.) et mesuré par sa gravité et sa probabilité d’occurrence.
Gravité d’un dommage
Pour des systèmes robotiques médicaux, la notion de gravité est identique à de nombreux autres domaines technologiques. Elle évalue la nuisance des dommages. Cependant, les normes relatives aux dispositifs médicaux ne prescrivent aucune échelle de graduation de ces nuisances, et laissent ainsi le choix aux fabricants (à l’opposé d’autres domaines où les niveaux sont prédéfinis). La liste ci-dessous donne un exemple de métrique sur la gravité des dommages sur les seuls humains :
– Catastrophique : décès d’une ou plusieurs personnes
– Majeur : blessures ou maladies graves, infirmité permanente
– Mineur : blessures ou maladies mineures, nécessitant un traitement médical
– Minime : légères blessures relevant des premiers soins (ne nécessitant pas un traitement médical)
– Négligeable : incident n’exigeant aucun traitement médical .
Notons que dans cette échelle de mesure, le décès d’une ou de plusieurs personnes est classé comme catastrophique alors que dans d’autres domaines technologiques le niveau catastrophique est réservé à l’occurrence du décès de plusieurs personnes. C’est le cas par exemple pour les dommages d’origine naturelle (séismes, etc.). Pour les dispositifs médicaux, il est évident que l’enjeu est la santé d’un patient, et que son décès est donc catastrophique. La notion de gravité en fonction du nombre de morts est par conséquent un concept inexistant en médecine. Il existe malgré tout un exemple de dispositif médical ayant provoqué un ensemble de décès (six), le Therac-25, utilisé aux États-Unis, qui a provoqué un ensemble d’effets secondaires à cause d’une trop forte exposition de rayons X.
Le terme de sévérité est parfois utilisé pour exprimer la gravité. Cela provient en partie de la comparaison avec le terme anglais severity, mais son utilisation, « critiquée » d’après le Nouveau Petit Robert (1995), ne fait qu’ajouter une définition supplémentaire au domaine du risque déjà lourd en synonymes.
|
Table des matières
Introduction générale
1 Sécurité des systèmes de la robotique de service
1.1 Introduction
1.2 Effets non désirés : les dommages
1.2.1 Dommage
1.2.1.1 Définition
1.2.1.2 Gravité d’un dommage
1.2.1.3 Occurrence d’un dommage
1.2.2 Notion de Risque
1.2.2.1 Définition
1.2.2.2 Mesure du risque
1.2.2.3 Risque acceptable
1.2.3 Sécurité
1.3 Causes : les dangers
1.3.1 Notion de danger
1.3.2 Phénomène dangereux et situation dangereuse
1.3.3 Événement dommageable
1.3.4 Incident et accident
1.3.5 Exemple d’utilisation des notions liées au risque
1.3.6 Analyse du danger
1.4 Moyens : la gestion du risque
1.4.1 Vue d’ensemble
1.4.2 Facteurs humains et gestion du risque pour des systèmes de la robotique médicale
1.4.3 Analyse du risque
1.4.3.1 Analyse du risque et processus de développement
1.4.3.2 Définition du système et de l’utilisation prévue
1.4.3.3 Identification des phénomènes dangereux
1.4.3.4 Estimation du risque
1.4.4 Évaluation du risque
1.4.5 Maîtrise du risque
1.5 Techniques utilisées pour l’analyse du risque
1.6 Techniques utilisées pour la maîtrise du risque
1.6.1 Conception matérielle
1.6.1.1 Architectures mécaniques et matériaux utilisés
1.6.1.2 Sécurité autour des actionneurs
1.6.1.3 Sécurité par la redondance des composants
1.6.1.4 Sécurité par la détection de contacts avec l’humain
1.6.2 Conception logicielle
1.6.2.1 Limitations logicielles des performances du robot
1.6.2.2 Sécurité lors de la mise sous tension
1.6.2.3 Surveillance du système
1.6.2.4 Conception des interfaces humain-machine
1.7 Assurance : la certification
1.7.1 Certification et risque
1.7.2 Classification des dispositifs médicaux
1.7.3 Processus de certification
1.8 Conclusion et problématique
2 Risques liés à l’utilisation des muscles artificiels de McKibben
2.1 Introduction
2.2 Description du muscle artificiel
2.2.1 Description générale
2.2.1.1 Fabrication du muscle
2.2.1.2 Utilisation du muscle
2.2.2 Évaluations des efforts en statique et dynamique
2.2.2.1 Force statique
2.2.2.2 Force dynamique
2.2.3 Compliance
2.2.4 Actionnement d’une articulation
2.2.5 Contrôle des muscles artificiels
2.2.6 Validation sur un bras sept axes anthropomorphe
2.3 Identification des dangers et estimation du risque
2.3.1 Phénomènes dangereux de type défaillances
2.3.1.1 Défaillances de la tresse et de son système de maintien
2.3.1.2 Défaillance du tube de caoutchouc
2.3.2 Situations dangereuses
2.4 Solutions possibles pour la maîtrise du risque
2.4.1 Moyens de prévention
2.4.2 Moyens de protection
2.5 Synthèse et conclusion
3 La modélisation orientée objet avec UML
3.1 Introduction
3.2 UML : notation pour le développement orienté objet
3.2.1 Le paradigme objet
3.2.1.1 La complexité des systèmes
3.2.1.2 La notion d’objet
3.2.1.3 Les classes d’objet
3.2.2 Le langage de modélisation UML
3.2.2.1 Pourquoi modéliser ?
3.2.2.2 Bref historique de UML
3.2.2.3 Les diagrammes UML
3.2.2.4 Le métamodèle
3.2.3 Processus de développement et UML
3.2.3.1 Piloté par les cas d’utilisation
3.2.3.2 Itératif et incrémental
3.2.3.3 Centré sur l’architecture
3.3 Travaux actuels sur le développement orienté objet et la sûreté de fonctionnement
3.3.1 Prévention des fautes
3.3.2 Prévision des fautes
3.3.3 Tolérance aux fautes
3.3.4 Élimination des fautes
3.3.5 Conclusions sur la sûreté de fonctionnement et le développement orienté objet
3.4 Conclusion
4 Intégration d’UML pour l’analyse du risque
4.1 Introduction
4.2 Description du système et de son utilisation
4.2.1 Modélisation du métier
4.2.2 Intégration du dispositif technologique dans la tâche de service
4.2.3 Définition des frontières du système
4.2.4 Description des tâches des acteurs
4.3 Analyse des dangers et estimation du risque
4.3.1 Problématique
4.3.2 Analyse préliminaire des dangers
4.3.3 Analyse des modes de défaillance
4.3.3.1 Analyse des modes de défaillance des messages
4.3.3.2 Modèles d’erreur des messages
4.3.3.3 Proposition de tableau générique de l’AMDEC pour une analyse système
4.3.4 Application aux différents domaines
4.3.4.1 Analyse des modes de défaillance des messages provenant des acteurs de type dispositif extérieur
4.3.4.2 Analyse des modes de défaillance des messages provenant des acteurs humains
4.3.4.3 Analyse des modes de défaillance des composants électroniques
4.3.4.4 Analyse des modes de défaillance des composants mécaniques
4.3.4.5 Analyse des modes de défaillance du logiciel
4.3.5 Analyse des arbres de fautes
4.4 Conclusion
Conclusion générale