Sensibilité et fiabilité : deux notions clés pour la sécurité des robots

Dans cet article signé David Brandt, PhD, Technology Officer chez Universal Robots, nous nous intéressons à l’épineux sujet de la sécurité des robots, avec une question centrale : « Pourquoi le simple fait de considérer la sensibilité d'une fonction de sécurité n'est-il pas suffisant pour évaluer le niveau de sécurité fourni » ? Eléments de réponse !

L’enjeu de la sécurité des robots

Si vous vous intéressez à la sécurité des robots industriels, vous n'aurez pas à chercher bien loin pour trouver des vidéos de robots qui s'arrêtent sans problème en cas de collision avec divers obstacles - qu'il s'agisse d'êtres humains, de bouteilles d'eau ou de ballons de baudruche. Vous retrouverez toujours le même message : « Vous voyez à quel point notre robot est sûr ? ». Même si ces vidéos sont plutôt divertissantes, elles ne reflètent pas totalement l'enjeu de la sécurité des robots.

Quels sont les deux aspects de la sécurité des robots ?

Je voudrais ici me concentrer sur deux aspects fondamentaux de la sécurité des robots :

- La sensibilité. C’est la force nécessaire au robot pour qu’il s'arrête. Pour simplifier, on peut mesurer cette force en newtons (cela dépend de plusieurs facteurs comme la vitesse de déplacement… mais oublions cela pour l'instant).

- La fiabilité. Il s'agit de la probabilité que la fonction qui arrête le robot fonctionne comme prévu. La mesure classique est la probabilité de défaillance dangereuse par heure (Probability of Dangerous Failure per Hour, PFHd). Il s'agit d'un terme bien établi qui trouve son origine dans les normes de sécurité fonctionnelle (séries ISO 13849-1 et IEC 61508) et qui définit le risque qu'une fonction de sécurité tombe en panne de manière potentiellement dangereuse.

De ce fait, si notre robot qui heurte des ballons illustre bien la sensibilité, il n'illustre pas l’aspect essentiel qu'est la fiabilité. Le robot a fonctionné en toute sécurité dans ce cas précis, mais pouvons-nous lui faire confiance pour demain et après-demain ?

Sensibilité et fiabilité sont-elles indissociables ?

Si on ne peut pas se contenter de regarder une vidéo pour déterminer « le degré de sécurité d'un robot » (je mets cela entre guillemets, car les robots en eux-mêmes ne peuvent pas être considérés comme sûrs ou non, cela ne peut être déterminé que par leur utilisation finale), que devriez-vous prendre en considération ? En réalité, la sensibilité et la fiabilité jouent toutes les deux un rôle essentiel dans la sécurité :

- La sensibilité peut presque être simplifiée en une variable binaire. Un robot est soit suffisamment sensible pour son utilisation, soit il ne l'est pas. Le niveau de sensibilité « sûr » pour une fonction robotique doit être déterminé dans le cadre de l'évaluation des risques. La norme ISO/TS 15066 fournit des indications sur les niveaux de force acceptables.

- La fiabilité est mesurée par la valeur PFHd, qui doit, dans l’idéal, être aussi faible que possible. Pour la plupart des utilisations de robots industriels, la PFHd des fonctions de sécurité doit être inférieure à 10-6 défaillances/heure. Cela équivaut au PLd dans la terminologie de la norme ISO 13849-1 ou à SIL 2 dans la terminologie de la norme CEI 61508. Notons que l'exigence d'une PFHd inférieure à 10-6 défaillances/heure concerne la fonction de sécurité dans son ensemble. Par conséquent, si un équipement de sécurité externe est nécessaire, vous aurez besoin d'un robot dont la valeur PFHd est suffisamment bonne pour que l'utilisation entière reste inférieure à 10-6 défaillances/heure, même en tenant compte de la PFHd de l'équipement de sécurité externe. Les valeurs PFHd des différentes fonctions de sécurité du robot et des éventuels équipements externes sont indiquées dans la documentation du produit.

Une sensibilité trop élevée peut-elle être un inconvénient ?

Il est intéressant de noter que si la sensibilité élevée est souvent présentée comme un avantage, elle peut parfois compromettre la sécurité. Cette affirmation n'étant pas tout à fait intuitive, permettez-moi de prendre un peu de temps pour la développer.

Imaginons deux robots différents qui ont exactement les mêmes caractéristiques (même charge utile, même portée, mêmes valeurs PFHd, etc.), à l’exception de la sensibilité des fonctions de sécurité qui limitent sa force. L'un des robots a une sensibilité de 1 N et l'autre de 50 N. Lequel est le plus sûr dans le cadre d'une utilisation concrète ?

Si l'on prend en compte les valeurs de la norme ISO/TS 15066, on constate que les deux robots sont suffisamment sensibles pour rester dans les limites des lignes directrices (admettez que je simplifie les choses à l'extrême, mais l'idée reste valable). Et si nous supposons que les valeurs PFHd des deux robots sont inférieures au seuil de 10-6 défaillances/heure, la conclusion immédiate est que les deux robots sont suffisamment sûrs.

Toutefois, le robot ultrasensible peut être confronté à un problème « d’arrêts intempestifs » causés par des perturbations mineures telles qu'un câble mal fixé ou un contact accidentel. Les arrêts intempestifs ne constituent pas en soi un problème de sécurité, mais plutôt un problème d'impact sur le comportement des personnes qui se trouvent à proximité du robot. Les arrêts intempestifs sont vraiment ennuyeux pour l'utilisateur du robot (à juste titre : ils nuisent à la productivité), et peuvent donc constituer une raison suffisante pour essayer de contourner ou de désactiver complètement la fonction de sécurité.

De manière générale, une fonction de sécurité bien conçue doit trouver un équilibre : elle doit être suffisamment sensible pour garantir la sécurité, mais pas au point d'inciter les ouvriers à la contourner. Les meilleures fonctions de sécurité sont celles qui vous protègent sans que vous vous en rendiez compte.

La prochaine fois que vous verrez une vidéo présentant la fonction de sécurité d'un robot, n'oubliez pas que l'histoire ne s'arrête pas là. La sécurité exige une réflexion et une compréhension approfondies. Le but n'est pas que le robot s'arrête au simple contact d'un ballon ; il s'agit de s'assurer que le robot fonctionne de manière cohérente et fiable dans son environnement opérationnel.