Processus d'identification de propriétés de sécurité-innocuité vérifiables en ligne pour des systèmes autonomes critiques

Mekki-Mokhtar, Amina

12 December 2012

Les progrès récents dans la définition de mécanismes décisionnels ont permis de déléguer de plus en plus de responsabilités aux systèmes informatiques. Par exemple, des robots de service travaillent aujourd'hui en interaction avec l'humain et réalisent des tâches de plus en plus complexes. Ce transfert de responsabilité pose alors de manière critique le problème de la sécurité pour l'homme, l'environnement du système, ou le système lui-même. La surveillance en ligne par un moniteur de sécurité indépendant vise à assurer un comportement sûr malgré la présence de fautes et d'incertitudes. Un tel moniteur doit détecter des situations potentiellement dangereuses afin d'enclencher des actions de mise en état sûr et d'éviter les défaillances catastrophiques. Cette thèse traite de l'identification de conditions de déclenchement de sécurité permettant de lancer des actions de mise en état sûr. Un processus systématique permettant d'identifier de telles conditions est défini, en partant d'une analyse de risque HazOp/UML du système fonctionnel. Par ailleurs, une méthode est proposée pour identifier les états du système où des actions de sécurité peuvent être enclenchées simultanément, afin d'être revues et corrigées, en cas de besoin, par un expert du système. L'approche proposée est appliquée à un robot déambulateur.

[INFO:INFO_RB] Computer Science/Robotics

[INFO:INFO_RB] Informatique/Robotique

Surveillance pour la sécurité

Moniteur de sécurité indépendant

Analyse de risque

HazOp/UML

Contrainte de sécurité

Règle de sécurité

Systèmes autonomes critiques

Processus d'identification de contraintes de sécurité innocuité vérifiables en ligne pour des systèmes autonomes critiques

Mekki Mokhtar, Amina

12 December 2012

Les progrès récents dans la définition de mécanismes décisionnels ont permis de déléguer de plus en plus de responsabilités aux systèmes informatiques. Par exemple, des robots de service travaillent aujourd'hui en interaction avec l'humain et réalisent des tâches de plus en plus complexes. Ce transfert de responsabilité pose alors de manière critique le problème de la sécurité pour l'homme, l'environnement du système, ou le système lui-même. La surveillance en ligne par un moniteur de sécurité indépendant vise à assurer un comportement sûr malgré la présence de fautes et d'incertitudes. Un tel moniteur doit détecter des situations potentiellement dangereuses afin d'enclencher des actions de mise en état sûr et d'éviter les défaillances catastrophiques. Cette thèse traite de l'identification de conditions de déclenchement de sécurité permettant de lancer des actions de mise en état sûr. Un processus systématique permettant d'identifier de telles conditions est défini, en partant d'une analyse de risque HazOp/UML du système fonctionnel. Par ailleurs, une méthode est proposée pour identifier les états du système où des actions de sécurité peuvent être enclenchées simultanément, afin d'être revues et corrigées, en cas de besoin, par un expert du système. L'approche proposée est appliquée à un robot déambulateur.

[INFO:INFO_OH] Computer Science/Other

[INFO:INFO_OH] Informatique/Autre

Surveillance pour la sécurité

moniteur de sécurité indépendant

analyse de risque

HazOp/UML

contrainte de sécurité

règle de sécurité

systèmes autonomes critiques

Synthèse de règles de sécurité pour des systèmes autonomes critiques / Synthesis of safety rules for critical autonomous systems

Machin, Mathilde

12 November 2015

Les systèmes autonomes, notamment ceux opérant à proximité d'êtres humains, soulèvent des problèmes de sécurité-innocuité puisqu'ils peuvent causer des blessures. La complexité de la commande de ces systèmes, ainsi que leurs interactions avec un environnement peu structuré, rendent difficile l'élimination complète des fautes. Nous adoptons donc une démarche de tolérance aux fautes en considérant un moniteur de sécurité séparé de la commande principale et qui dispose de ses propres moyens d'observation et d'intervention. Le comportement de ce moniteur est régi par des règles qui doivent assurer la sécurité du système tout en lui permettant de remplir ses fonctions. Nous proposons une méthode systématique pour obtenir ces règles de sécurité. Les dangers, déterminés par une analyse de risque, sont modélisés formellement puis un algorithme synthétise des règles sûres et permissives, s'il en existe. Nous avons outillé cette méthode pour les étapes de modélisation et de synthèse en nous appuyant sur l'outil de vérification de modèle NuSMV. L'étude d'un cas industriel illustre l'application de la méthode et des outils sur un robot manufacturier dans un environnement humain. / Autonomous systems operating in the vicinity of humans are critical in that they potentially harm humans. In these systems, fault removal is not sufficient given the command complexity and their interactions with an unstructured environment. By a fault tolerance approach, we consider a safety monitor separated from the main command and able to observe and intervene on the system. The monitor behavior is specified by safety rules that must both ensure safety and permit the system to carry out its tasks in absence of hazard. We propose a systematic method to obtain these safety rules. The hazards, determined by a risk analysis, are formally modeled, then an algorithm synthesizes safe and permissive rules, if any exists. The method is tooled both for modeling and synthesis by use of the model-checker NuSMV. Method and tools are applied to the industrial use case of a robotic co-worker.

Moniteur de sécurité

Règles de sécurité

Systèmes autonomes

Synthèse

Vérification

Tolérance aux fautes

Safety monitor

Safety rules

Autonomous system

Fault tolerance

Verification

Synthesis