La norme SOTIF vise à traiter les risques issus des limites des capteurs dans les systèmes autonomes contemporains. Elle complète la sécurité fonctionnelle en se concentrant sur ce que le système fait quand il respecte sa logique interne. La réflexion porte sur la capacité des machines à rester sûres malgré des perceptions partielles ou trompeuses.
Les enjeux concernent autant les constructeurs que les régulateurs et les utilisateurs finaux, avec une attention sur la fiabilité et la détection d’anomalies. Selon Welch et Bishop, la fusion et la prédiction issues des capteurs restent centrales pour réduire l’incertitude. Cette mise en perspective conduit naturellement aux éléments synthétiques présentés ci‑dessous.
A retenir :
- Identifier limites des capteurs en conditions réelles opératoires
- Définir enveloppes de performance par scénarios environnementaux
- Mettre en place stratégies de repli et supervision humaine
- Favoriser explicabilité et détection d’anomalies pour confiance utilisateur
Après ces repères, SOTIF et conscience situationnelle des capteurs
La conscience situationnelle reste la première brique pour maîtriser les dangers non liés à une défaillance matérielle. Selon Welch et Bishop, la fusion multi‑capteurs augmente la robustesse face aux pertes partielles d’information. Les systèmes doivent donc cartographier les zones de confiance et les zones d’incertitude pour adapter leur comportement.
Capteurs et limites physiques
Les types de capteurs présentent des forces et des faiblesses distinctes, influençant directement la portée du SOTIF. Une bonne cartographie des limitations permet d’anticiper les scénarios dangereux sans supposer une défaillance explicite. Cette clarification ouvre sur les méthodes de fusion et d’estimation probabiliste nécessaires au système.
Capteur
Force principale
Limite critique
Usage SOTIF
Caméra
Richesse visuelle
Faible visibilité nocturne
Classification d’objets et détection de piétons
LiDAR
Cartographie 3D précise
Performance réduite sous pluie intense
Mesure de distance et obstacle statique
Radar
Robuste aux intempéries
Résolution angulaire limitée
Détection de mouvement à moyenne distance
IMU
Mesure inertielle fine
Dérive sur longues durées
Maintien de la trajectoire et redondance
Selon Apostolakis, l’évaluation probabiliste des risques aide à définir ces limites de performance sans recourir à des hypothèses irréalistes. Cette approche qualifie la confiance accordée aux mesures et oriente les stratégies de sécurité dégradée. Le passage suivant propose des solutions concrètes pour la fusion et la prédiction.
Fusion de capteurs et prédiction
La fusion par filtres de Kalman ou par réseaux bayésiens permet d’estimer des états inobservés avec une incertitude quantifiée. Selon Welch et Bishop, ces méthodes réduisent les faux positifs liés aux lectures isolées et améliorent la détection d’anomalies. Une architecture bien conçue bascule vers des modes sûrs quand l’incertitude dépasse des seuils définis.
« J’ai vu un prototype neutraliser un faux obstacle détecté par une caméra grâce à la fusion LiDAR »
Claire D.
Cette expérience illustre comment la superposition de sources atténue les erreurs apparentes et évite des manœuvres dangereuses. La conception doit prévoir ces scénarios et documenter les comportements attendus en dehors des enveloppes. La suite examine la définition d’enveloppes de performance et les méthodes de validation associées.
Enchaînement vers la définition d’enveloppe de performance et validation SOTIF
Après avoir vu la conscience situationnelle, la deuxième étape consiste à formaliser l’enveloppe de performance du système. Cette enveloppe décrit les contextes dans lesquels le comportement demeure sûr malgré des conditions variées. Selon Leveson, la pensée systémique est utile pour modéliser interactions et effets indirects.
Modéliser les scénarios et les limites
La modélisation implique de recenser scénarios d’utilisation et cas limites probables, avec des variantes climatiques ou humaines. Des techniques de simulation Model‑in‑the‑Loop et Hardware‑in‑the‑Loop facilitent cette exploration. L’objectif est d’identifier les chemins d’échec plausibles sans se limiter aux seules pannes matérielles.
Principes de tests :
- Couverture scénarios critique pour validation
- Test sous contraintes environnementales représentatives
- Validation en conditions réelles sur sites pilotes
Méthodes de validation et vérification
Selon Leveson, la validation formelle complète les tests empiriques pour mieux garantir la sécurité des comportements prévus. Les méthodes combinées permettent d’augmenter la confiance sans prétendre l’éliminer complètement. Le tableau suivant compare des approches de validation courantes et leurs finalités pratiques.
Méthode
Finalité
Atout principal
Limite pratique
Simulation M‑in‑the‑Loop
Explorer scénarios nombreux
Faible coût
Fidélité limited hardware interactions
Hardware‑in‑the‑Loop
Tester interactions réelles
Bonne validité système
Coût et complexité élevés
Tests sur site pilote
Validation en conditions réelles
Réalisme maximal
Cout opérationnel et sécurité logistique
Vérification formelle
Preuve de propriétés critiques
Rigueur mathématique
Difficulté sur systèmes complexes
Selon Apostolakis, la combinaison de ces méthodes offre la meilleure couverture pour cerner les risques liés aux limites des capteurs. Cette phase mène ensuite à la mise en œuvre opérationnelle et aux stratégies de repli.
« J’ai dirigé des essais pilotes où la supervision humaine a empêché une mauvaise décision automatique »
Marc L.
Passage vers la mise en œuvre pratique de SOTIF dans les systèmes avancés
Après la définition des enveloppes et tests, l’enjeu devient l’intégration opérationnelle des principes SOTIF dans les produits. Cela suppose des interfaces homme‑machine claires, des mécanismes de repli robustes et des indicateurs d’incertitude visibles. Selon Gilpin et al., l’explicabilité renforce la confiance et facilite les interventions humaines.
Stratégies de repli et supervision humaine
Les stratégies de repli doivent être proportionnées au risque et testées en conditions variées pour éviter des effets indésirables. En pratique, on privilégie des paliers d’autonomie et des comportements conservateurs quand l’incertitude augmente. Une supervision humaine bien formée doit pouvoir reprendre la main rapidement et en sécurité.
« L’interface claire m’a permis d’intervenir sans hésitation lors d’un scenario critique »
Sophie B.
Applications réelles et adoption sectorielle
Les applications vont des véhicules autonomes aux drones et à la robotique médicale, chacune avec des exigences SOTIF particulières. SOTIF aide à prioriser la sécurité des usagers en documentant limites, mécanismes et preuves de réduction des risques. La normalisation et la pédagogie publique restent nécessaires pour une adoption sûre et acceptée.
Selon Leveson, l’effort collectif entre industriels, autorités et chercheurs accélère la mise en œuvre fiable des normes. L’étape suivante consiste à déployer ces pratiques et à partager les enseignements recueillis lors des essais. Une collaboration soutenue permettra de rendre les systèmes avancés plus sûrs et plus robustes.
« L’usage combiné des méthodes a amélioré la résilience du système dans notre usine »
Pauline R.
Les ressources pédagogiques et les retours d’expérience constituent une richesse pour l’industrie et les régulateurs. L’intégration de la norme SOTIF dans les processus de conception restera un vecteur de confiance pour les usagers. Le développement collaboratif reste la voie la plus pragmatique pour réduire les risques non liés aux défaillances.
Source : Welch G., « An Introduction to the Kalman Filter », MIT OCW, 2006 ; Leveson N. G., « Engineering a Safer World », MIT Press, 2012 ; Apostolakis G., « Introduction to Industrial Automated Systems Safety », John Wiley, 2013.
