喜欢机器人同学想必对阿西莫夫的机器人三大定律耳熟于心:
机器人不得伤害人类,或坐视人类受到伤害;
除非违背第一法则,机器人必须服从人类的命令;
在不违背第一及第二法则下,机器人必须保护自己;
先不去讨论这三大定律是否完备,只认真思考这三句话背后的意义,我们会发现实际上三大定律最重要的目的只有两个字:安全。
如果把三大定律概括成一句话,那应该是:在保证人类和机器人安全的情况下,完成人类指定的任务。
技术的发展使得人们可以制造越来越精密、先进的机器人,但新机器人尤其是民用机器人更多考虑其功能性,而对安全性考虑较少,这一现象在国内尤其严重。众多移动式的所谓“服务机器人”中,有多少完成了或者至少考虑过进行安全认证?
除去缺乏安全认证的意识外,人们还常常把可靠等同于安全,但可靠≠安全。IEC61508中规定了系统安全的生命周期,在整个周期中安全问题始终是与系统功能分开独立考虑的,以避免功能可靠性最终会产生安全的假设,安全性必须要被证明(Proved)!
在整个机器人行业中,除去军用及某些特种机器人,只有工业机器人的安全规范相对健全,因此,这一系列文章将以从工业机器人(机械臂)的角度来对机器人的安全功能进行介绍,以下以机器人代替工业机器人/机械臂。
由于水平所限,文中不足或错误之处欢迎。
机器人行业主要涉及的规范
IECEN61508《电气/电子/可编程电子安全相关系统的功能安全》(Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES);该标准是工业安全领域的通用标准,既可以用作编写细分领域安全标准的基础,也可以在没有专用安全标准的领域中直接应用。
IEC60204-1《机械安全机器电气设备第1部分一般要求》(Safety of machinery – Electrical equipment of machines –Part 1: General requirements),停止类别1/2/3即出在该标准;
EN954-1安全类别CategoryB,1,2,3,4的概念出自该标准,已经于2011年12月31日废止;
ENISO13849-1《机械安全-控制系统安全相关部分-第一部分:设计总规则》(Safetyofmachinery--Safety-relatedpartsofcontrolsystems--Part1:Generalprinciplesfordesign),用于替代EN954-1;
IEC61800-5-2《Adjustable speed electrical power drive systems - Part 5-2: Safety requirements - Functional》,对应国标号为GB/T12668.5.2《可调速的电动设备标准.第5-2部分:功能安全要求》。该标准主要针对安全编码器、安全伺服驱动器(STO、SOS、SLS、SBC、SafetyStop1/2等功能)、伺服电机等系统提出了功能安全要求。
ISO10218-1/2《Robots and robotic devices-Safety requirements for industrial robots》最新的机器人安全规范,分为1和2两部分:
ISO10218-1介规定了机器人在设计和制造时应遵循的安全原则;
ISO10218-2规定了在机器人的集成应用、安装、功能测试、编程、操作、维护以及维修时,对人身安全的防护原则。
ISO-TS15066-2016《Robot and Robotic Devices - Collaborative Robots》,这是专门针对协作机器人编写的安全规范,同时也是ISO10218-1和ISO10218-2关于协作机器人操作内容的补充。随着商业级和消费级机器人的不断发展壮大,相关的标准也正在慢慢完善。对这个话题感兴趣的知友可以关注一下最新的个人护理机器人安全规范:
ISO13482-2014《Robots and robotic devices -- Safety requirements for personal care robots》。
重要概念
功能安全(Functional Safety)
我们在各种各样的机器人说明书或者文献中经常会看到功能安全(Functional Safety)的概念,那么什么是功能安全呢?
功能安全一词最早出现在NeilStorey在1996年出版的《Safety Critical Computer Systems》。
在这本书中,Storey定义了系统安全的三个方面:
Primary Safety,主要关注硬件/机械对人体造成直接伤害,例如漏电、高温烫伤等;
Functional Safety,功能安全是整个系统安全的一部分,它与设备能否正确的执行其设计功能有关(包括出现人员操作失误、软硬件失效以及环境发生变化的情况时)。人们在操作/使用设备时总会面临各种各样损害身体健康甚至危及生命的风险,功能安全的目标是把人从这种不可接受的风险中解放出来。例如协作机器人在工作时,内置的传感器会监控运行速度和输出力矩,如果与人员发生碰撞,会立刻停止机器人的运行,保证机器人的碰撞力和对外输出的能量不超过一定的限值,防止对人体造成严重伤害,这就是功能安全的一个实例。不具备功能安全特性的传统工业机器人,即使厂商宣传他的机器人系统经过多重测试,不会出现程序跑飞撞到人的情况,我们也不能说他的机器人是安全的,因为这个机器人没有采用有效的机制来检测及降低故障发送的可能性。
Indirect Safety,主要是指电子信息系统的安全,关注由于错误的信息(Information)输入而导致给出错误的输出信息。例如医疗系统中,通常会建立病人数据库,如果病人数据库出错,那么可能会导致后续的诊断出错。
停止类别(Stop Category)
在每一个机器人的安全操作手册中,都会看到停止类别1/2/3或者STOP1/2/3的字样,这是什么意思呢?
停止类别规定了机器人(机电设备)三种不同安全级别的停止方式。
由于不太喜欢将Actuator翻译成“致动器”,故下文中一律以电机代替Actuator。
停止类别0,又称Stop0:立即切断电机的动力电源。由于电机在减速的过程中失去了动力,无法控制,所以机器人会偏离预先定义的运行轨迹,是一种不受控的停止方式;大部分的急停按钮实现的停止就是Stop0,依靠刹车系统来停止机器人。
停止类别1,又称Stop1:控制器控制电机减速到停止后,再切断动力电源。这是一种受控的停止方式,机器人基本上会按照预先定义的轨迹完成减速;在最新的机器人系统中,由于安全控制器技术的使用,急停按钮触发的停止大多数属于这种停止(手动模式下除外),以保护刹车系统。
停止类别2:,又称Stop2:完全通过伺服系统减速,停止后不切断动力电源,电机仍处于通电状态,是完全受控的停止方式;现在机器人的程序停止均属于此类。
安全完整性等级(SIL)
SIL是SafetyIntegrityLevel的缩写。
在IEC61508Part4中,对SafetyIntegrityLevel的描述为:
the likelihood of a safety-related system satisfactorilyperforming the required safety functions under all the stated conditions,within a stated period of time.
SIL是对系统失效概率的描述,并不是某个确切的数值,描述了对于某个安全功能而言,其发生危险失效的可能性大小;
SIL适用于无法给出准确的风险数值,而只能进行定性分析的场合,共分为4个级别,即SIL1、SIL2、SIL3、SIL4。
SIL将系统分成了两种,一种是连续操作型,一种是按需/Low-Demand型;对于连续操作型的系统,SIL的定义为一小时内发生危险失效的概率;对于按需/Low-Demand型系统来说,SIL的定义是响应单次需求时发生危险失效的概率。
“Low-Demand”:no greater than one demand peryear.
以下图为例,对于符合SIL2要求的协作机器人系统(市面上大多数机器人都可以达到这个要求),每小时撞你一次,大概需要连续撞100年以上才会发生一次撞了没停的情况。
功能安全认证
基于IEC61508,IEC61511,IEC61513,IEC13849-1,IEC62061,IEC61800-5-2,ENISO13849-1等标准,对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。
大部分认证是先把产品做出来,然后拿着成品去做认证。而做功能安全认证时,相关认证机构在产品研发的最开始阶段就会介入,并在之后的全流程都会参与,所涉及的内容包括:针对安全设备开发流程的文档管理(FSM)评估、硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。
最常见的安全认证机构就是德国的TüV以及美国的UL:
