Activités du GDR Documents publiés Atelier : Autonomie des robots et sécurité

DOCUMENTS

Documents publiés

Atelier : Autonomie des robots et sécurité

Dès lors qu'un système « autonome » - drone, machine industrielle, robot humanoïde... -  va évoluer dans le monde réel,  il peut mettre en danger des biens ou des personnes, comme c'est le cas pour un système classique. Cependant l'autonomie, c'est-à-dire la délégation par l'humain d'une part de son autorité à un système artificiel, pose de nouvelles questions relatives à la sécurité :
- comment garantir que les actions décidées par le système respectent la sécurité ?
- comment coder certaines notions de sécurité qui relèvent habituellement de l'humain et sont fondées sur le bon sens, les conventions, des lois, l'éthique ?
- pourra-t-on certifier un système « autonome » ?
- quelle est la part de l'opérateur humain dans la sécurité d'un système « autonome » ? comment garantir la sécurité dans un système humain-robot dont l'autorité est partagée et variable ? quel est l'impact des ruptures de communication entre robot et opérateur ? doit-on certifier l'ensemble humain-robot ?
- l'autonomie peut-elle ou doit-elle apporter plus de sécurité que la supervision humaine ? dans quelles conditions (d'urgence, nominales) ?
- comment les nouvelles questions de responsabilité se posent-elles ?

Cet atelier fait suite à la journée « Systèmes multi-robots et systèmes humains-robots : coopération, contrôle et rôle des opérateurs » qui a eu lieu le 24 janvier 2011 à Toulouse ( http://www.gdr-robotique.org/documents.php?type=GT4&date=24_01_11). La table ronde de cette journée avait en effet permis de dégager plusieurs problématiques prioritaires, parmi lesquelles la problématique « autonomie et sécurité ».



Programme :

8h45 :  Café d'accueil

9h15 :  Présentation de la journée
Catherine Tessier et Bruno Patin

9h30 - 10h00 : " Démonstration de sécurité pour les systèmes à forte autonomie "
Christel Seguin - Onera
La sécurité des systèmes à forte autonomie repose non seulement sur la confiance que l'on peut accorder aux automatismes utilisés mais aussi sur la capacité des utilisateurs à interagir correctement avec ces automatismes. Les démonstrations de sécurité des systèmes autonomes compilent donc des objectifs et des méthodes d'évaluation très variés, dépendant du contexte d'utilisation du système et des technologies d'automatisation utilisées. Cette présentation précise et illustre ces notions sur le cas de l'insertion des drones dans l'espace aérien. On rapportera les objectifs de sécurité à tenir dans ce contexte, les approches retenues dans le cadre du projet ONERA IDEAS pour les démontrer et le cadre retenu pour compiler l'ensemble. On conclura en discutant l'applicabilité de l'approche à d'autres types de systèmes autonomes.

10h00 - 10h45 :  "Autonomie et sécurité des satellites : quelques règles de base pour la conception et les opérations, avec un zoom sur l'ATV"
Gérard Galet, Dominique Séguéla - Cnes
Les satellites doivent, par essence, disposer d'un niveau minimum d'autonomie. En effet, même dans le cas extrême d'un satellite qui serait en visibilité permanente de son centre de contrôle et d'un centre de contrôle fonctionnant en 24h/24 7j/7, la boucle bord-sol incluant le temps de réaction de l'opérateur se chiffre au minimum en minutes, ce qui est incompatible par exemple du contrôle d'attitude qui fonctionne à 1 (voire plusieurs) hertz. De plus, les satellites en orbite basse ont des visibilités discontinues et, pour des raisons de coût, les centres de contrôle fonctionnent plutôt en heures et jours ouvrés. Le niveau d'autonomie du satellite est un sujet traité dans les phases préliminaires de conception, et qui prend en compte tout un ensemble de critères programmatiques, techniques et économiques pour lesquels le meilleur compromis doit être trouvé.
La présentation explicitera ces critères vus sous l'angle de la sécurité (safety) du satellite et donnera des exemples de compromis par type de mission et d'orbite. L'ATV, cargo autonome de service pour la station spatiale internationale, est un système très complexe, tant du point de vue technique qu'organisationnel. La robustesse de ce système est particulièrement sensible car la sécurité des astronautes est concernée. Un zoom sur ces particularités sera présenté.

10h45 : Pause

11h00-11h30 : "Retour d'expérience sur la sécurité d'expérimentations avec les drones Ressac"
Équipe drone Ressac - Onera
La conduite des expérimentations menées à l'ONERA depuis une dizaine d'années sur les plates-formes expérimentales volantes ReSSAC s'est aite dans un souci constant de sécurité vis-à-vis des opérateurs, de l'environnement et en conséquence de la sauvegarde des matériels. En s'appuyant sur quelques exemples d'essais réels motivés par des recherches sur l'autonomie des systèmes de drones, cet exposé s'attache à mettre en évidence les solutions adoptées pour réaliser cet objectif de sécurité

11h30 - 12h15 : "Perspectives d'usage pour les Forces Terrestres des robots militaires et contraintes sécuritaires"
Gérard de Boisboissel - CREC Écoles de Saint-Cyr Coëtquidan
Partant du postulat que les robots militaires terrestres seront de nouveaux « outils » mis à la disposition du combattant, en vue de lui conférer une plus-value et un avantage tactique, cet exposé s'attache à partir de perspectives d'usage par nos Forces, à relever un certain nombre de limites, de contraintes, et de pré-requis nécessaires pour protéger nos Forces et maîtriser l'utilisation des robots, afin de s'assurer que les contraintes liées à la sécurité seront bien prises en compte dans le futur déploiement de la robotique militaire.

12h15 - 13h00 :  "Coordination de robots pour l'aide à la protection de bâtiments de surface"
Stéphane Le Mennec - MBDA
Prochainement la Marine Nationale va disposer de bâtiments de combat de haute valeur comme les frégates Horizon et les FREMM. Ces navires de guerre seront amenés à se déployer dans le monde entier hors de leurs ports d'attache lors de différentes missions. Ces navires pourront être soumis à des menaces asymétriques dans différents contextes. Avec des bâtiments à équipage réduit comme les FREMM, il convient de s'interroger sur l'efficacité et la capacité à durer du système de surveillance et de protection actuellement déployé. Dans ce contexte, les robots sont-ils une solution non pas pour se substituer à l'homme mais pour mieux l'aider à maîtriser l'environnement proche autour du bâtiment dès lors que la menace asymétrique est avérée ?
Il s'agit donc d'analyser le besoin, les menaces asymétriques possibles et de définir un concept d'emploi de la protection d'un bâtiment de surface par des robots. Il faudra également évaluer les solutions technologiques à moyen terme et à long terme. Éventuellement, on se doit d'examiner la possibilité d'implanter des effecteurs à létalité réduite ou à effets dirigés sur ces robots dans le but de traiter des menaces asymétriques au-dessus et en-dessous de la surface. Il s'agit bien entendu de se poser la question du partage 'autorité entre opérateurs (pacha, équipes d'intervention) et robots (de patrouille, d'intervention). Il faudra également valider la performance et la sécurité d'une solution avec déploiements d'engins plus ou moins autonomes. De plus, il faudra examiner les implications juridiques consécutives à l'emploi de robots avec ou sans effecteurs dans une zone maritime étrangère. Il s'agit d'élaborer un concept de soutien au port de base et hors base. La menace asymétrique pourra être de surface et / ou sous-marine et / ou aérienne. Un autre concept d'emploi pourrait consister à protéger / escorter des bâtiments non
militaires dans des zones de piraterie.
Les aspects de partage d'autorité entre personnel civil, personnel militaire et machines pourraient être plus complexes ainsi que les aspects juridiques.

13h00-13h45 :  Repas buffet

13h45 - 14h30 : "Le dialogue avec les systèmes autonomes"
Pierre Hélie - Dassault Aviation
L'introduction de l'autonomie dans les systèmes et en particulier dans les systèmes aéronautiques militaires met en évidence la problématique du langage d'échange entre le système et ses périphériques qui peuvent eux-mêmes disposer de capacités autonomes. L'exposé se propose de développer quelques illustrations du besoin et de présenter quelques pistes envisageables par exemple autour des BML.

14h30 - 15h15 : "Rôle des standards dans la sécurité des Systèmes Autonomes - Perspective de l'ETSI"
Patrick Guillemin - ETSI Secretariat
Comment la standardisation pourrait-elle aider à résoudre les problèmes de sécurité et de confiance dans les systèmes autonomes en général et des systèmes « wireless robotic » en particulier ?
Les membres de l'ETSI ont déjà été confrontés à cette problématique de confiance/sûreté/résilience avec les réseaux dans les « self configuring networks » et se trouvent déjà engagés dans la standardisation (ISG AFI) et la recherche (Univerself) s'y rapportant. Par ailleurs l'ETSI a entrepris des nouvelles activités concernant les « Networked Robots Standards », qui seront également évoqués.

15h15 - 16h00 :   "Identification de propriétés de sûreté vérifiables à l'exécution pour les systèmes autonomes"
Jérémie Guiochet - Laas
Le développement des systèmes autonomes a permis l'émergence de nouvelles applications critiques tels que la robotique de service. En revanche, les défaillances éventuelles dans ces nouvelles applications peuvent avoir des conséquences catastrophiques. En complément de techniques « hors-ligne » visant à assurer la sécurité, telles que le test ou la vérification formelle, nous proposons d'utiliser des moniteurs de sécurité. La spécification des règles de sécurité pour ces systèmes requiert une connaissance des situations dangereuses auxquelles ils sont exposés. Pour cela nous proposons une méthode basée sur une description en UML de l'utilisation du système et de son comportement, et sur une technique systématique d'analyse du risque (HAZOP). Les dangers ainsi identifiés permettent par la suite de spécifier des règles de sécurité grâce à une méthode développée au LAAS. Cette méthode s'appuie sur la recherche de marges de sécurité et d'inter-verrouillages par exploration des graphes représentant les évolutions possibles de l'état de sécurité du système. Ce travail est illustré par le cas concret d'un robot d'aide à la déambulation

16h00 : Pause

16h30 - 17h30 :Table ronde.

18h00 : Fin de la journée.