Sûreté de fonctionnement et robotique médicale / Club SEE1 Sûreté de fonctionnement et...

Sûreté de fonctionnement et robotique médicale / Club SEE

1

Sûreté de fonctionnement et robotique médicale

Club SEE

L. URBAIN

30 Novembre 2000

20/10/00 Sûreté de fonctionnement et robotique médicale / Club SEE

2


3

Sommaire

• Problématique du domaine

• Stratégies de sûreté de fonctionnement

• Méthodologie proposée par SINTERS

• Débat


4

Problématique

LA SECURITE

Problématique Stratégie Méthodologie


5

Modes de Panne

• Niveau 0 : Décès de plusieurs patients ou Opérateurs (Catastrophique)

• Niveau 1 : Décès Patient ou Opérateur (Très grave) • Niveau 2 : Blessure Patient ou Opérateur (Grave) • Niveau 3 : Désagrément Patient ou Opérateur

(Tolérable)



6

Présence humaine

• Patient

• Opérateur



7

Environnement Hostile

• Espace de travail• Espace de la tâche• Surfaces de contact• CEM



8

Nature des tâches

• Niveau de performances (tâches ciblées)

• Précision(espace de travail ciblé)

• Répétitivité (améliorer le diagnostic)

• Temps de réponse (télé-médecine)



9

Contraintes de construction

• Solution technique complexe à assembler pour répondre aux besoins du cahier des charges

• Problème de fabrication spécifique des composants matériels répondant aux besoins de sûreté de fonctionnement (Coûts, délais)

• Certification



10

Psychologie / Responsabilité

• Médecin / Opérateur• Patient

• Situation• Inter-opérabilité• Convivialité



11

Stratégie

• Redondances• Testabilité• Sécurité intrinsèque• Fiabilité / Sécurité



12

• Mise en parallèle ou en série de composants– Coûts

– Complexité intrinsèque

– Fiabilité

Redondances



13

Limitations opérationnelles

• Volume de travail• Vitesse d’intervention• Configurations des

manipulateurs• Degrés de liberté• Fonctionnalités



14

Prévention des pannes

anticiper la panne pour préparer la séquence d’arrêt

• Testabilité



15

Sécurité intrinsèque

• Capacité à diminuer le niveau maximum de risque par construction

• Possibilité de perte de fiabilité au profit d’une augmentation de la sécurité



16

Démarche SINTERS

Basée sur notre démarche utilisée en aéronautique

• Notion de mode de pannes

• Notion d ’arbres de panne

• Consolidation multicritères



17

Analyse Mécanique

Décomposition fonctionnelle des constituants de la chaîne poly-articulée


Potence Robot

Σ Axes 1 à N

Capteur d’effort

Porte Sonde - Sonde

Homme

Décomposition fonctionnelle des constituants de la chaîne poly-articulée


18

Décomposition des blocs


Potence Robot

Moteur iLimiteur de

couple iRéducteur

Axe iRésolveur

Axe i

Butée mécanique

Résolveur Axe i

Résolveur Moteur i

Roulement à bille


19

Analyse des blocs

Panne Descriptif de la Panneet effet

Evaluation de l’Effet de lapanne sur le système

Criticité

Pas detransmission

de couple

Limiteur ne transmet plusde couple

Mouvement libre de l’axesans puissance moteur

C3

Transmissionintégrale du

couple

Limiteur transmet latotalité du couple

Puissance moteur totaletransmise. Couple

transmis= couple maxmoteur

C2

Rupturemécanique

Pas de couple transmis.Axe soumis à la gravité

Mouvement libre de l’axesans puissance moteur

C3



20

Classement des événements redoutés

• Niveau 1– Basculement du robot

• Niveau 2– Chute de la sonde– Chute d’un élément du robot

• Niveau 3– Vibration du robot



21

Arbre de Panne


Basculement du robot

Rupture de potence Surcharge extérieure

Structure dont le centre de gravité est le bras du polygone de

sustentation


22

Analyse électrique



23

Schéma de principe de l ’ensemble sécurité



24

Décomposition des blocs


Carte d ’axes

Carte relais

Moteur iTranslateur i

Frein axe i

Convertisseur Fréquence moteur i

Résolveur moteur i

Convertisseur résolveur/codeur i

Résolveur axe i

Watchdog


25

Événements électriques redoutés

• Niveau 1– Électrocution patient ou opérateur

• Niveau 2– Étranglement Patient (statique sur effort)– Choc patient ou opérateur (Contrôle non

maîtrisé du déplacement)

• Niveau 3– Effort statique sur patient



26

Événements logiciels redoutés

• Niveau 1– Mauvaise utilisation IHM– Arrêt d ’un processus– Calcul erroné des modèles



27

Gestion des pannes

• Décélération du bras jusqu’à immobilisation de celui-ci et/ou annulation de l’action en cours

• Mise en position d’attente du système, bras immobile jusqu’à la suppression du problème

• Mise en arrêt d’urgence et coupure générale de la puissance. Immobilisation du bras et arrêt asservissement du robot. Suit une procédure d ’initialisation des variables et remise en puissance possible après disparition du problème



28

Consolidation multicritères

Objectif :Diminuer le niveau de criticité des pannes en considérant l ’action

combinée de chaque partie constituant le système

Conséquence :Peu de redondance locale dans chacune des parties du système

(mécanique, électrique ou logicielle)

Interaction des éléments entre eux



29

Analyse multicritères

Panne Descriptif Panne et effet Evaluation de l’Effet surle système

Criticité

Effort >Seuil

Seuil de la force + 30%>Norme de la force > Seuil

de la force

Immobilisation du bras etattente suppression de la

cause

C3

Efforts > 1.3x Seuil

Norme de la force > Seuilde la force + 30%

Déclenchement dessécurités, coupure de la

puissance

C3

DMS Inactif Le signal devient inactifpendant l’appui sur la

pédale

Décélération du bras s’ilétait en mouvement et

action en cours annulée

C3



30

Synthèse

• Structures à réaliser fortement dépendantes du domaine applicatif

• Adéquation forte communauté médicale / Constructeurs de robots


31

Synthèse

• Robotique Télé-opérée

• Robotique de ré-éducation fonctionnelle

• Outils d ’analyse basés sur des méta-modèles

Sûreté de fonctionnement et robotique médicale / Club SEE1 Sûreté de fonctionnement et...

Documents

Transcript of Sûreté de fonctionnement et robotique médicale / Club SEE1 Sûreté de fonctionnement et...