-珞石科技:韓峰濤
珞石科技致力于成為國內頂尖的機器人控制系統及小負載六軸工業機器人的供應商,我們引入最頂尖的技術,進行持續的研發投入,只為向客戶提供最好用的六軸工業機器人。
喜歡機器人同學想必對阿西莫夫的機器人三大定律耳熟于心:
機器人不得傷害人類,或坐視人類受到傷害;
除非違背第一法則,機器人必須服從人類的命令;
在不違背第一及第二法則下,機器人必須保護自己;
先不去討論這三大定律是否完備,只認真思考這三句話背后的意義,我們會發現實際上三大定律最重要的目的只有兩個字:安全。
如果把三大定律概括成一句話,那應該是:在保證人類和機器人安全的情況下,完成人類指定的任務。
技術的發展使得人們可以制造越來越精密、先進的機器人,但新機器人尤其是民用機器人更多考慮其功能性,而對安全性考慮較少,這一現象在國內尤其嚴重。眾多移動式的所謂“服務機器人”中,有多少完成了或者至少考慮過進行安全認證?
除去缺乏安全認證的意識外,人們還常常把可靠等同于安全,但可靠 ≠ 安全 。IEC 61508中規定了系統安全的生命周期,在整個周期中安全問題始終是與系統功能分開獨立考慮的,以避免功能可靠性最終會產生安全的假設,安全性必須要被證明(Proved)!
在整個機器人行業中,除去軍用及某些特種機器人,只有工業機器人的安全規范相對健全,因此,這一系列文章將以從工業機器人(機械臂)的角度來對機器人的安全功能進行介紹,以下以機器人代替工業機器人/機械臂。
由于水平所限,文中不足或錯誤之處歡迎。
機器人行業主要涉及的規范
IEC EN 61508 《電氣/電子/可編程電子安全相關系統的功能安全》(Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES);該標準是工業安全領域的通用標準,既可以用作編寫細分領域安全標準的基礎,也可以在沒有專用安全標準的領域中直接應用。
IEC 60204-1 《 機械安全 機器電氣設備 第1部分 一般要求》(Safety of machinery – Electrical equipment of machines –Part 1: General requirements),停止類別1/2/3即出在該標準;
EN 954-1 安全類別Category B, 1, 2, 3, 4的概念出自該標準,已經于2011年12月31日廢止;
EN ISO 13849-1 《機械安全-控制系統安全相關部分-第一部分:設計總規則》(Safety of machinery -- Safety-related parts of control systems -- Part 1: General principles for design),用于替代EN 954-1;
IEC61800-5-2 《Adjustable speed electrical power drive systems - Part 5-2: Safety requirements - Functional》,對應國標號為GB/T 12668.5.2 《可調速的電動設備標準.第5-2部分: 功能安全要求》。該標準主要針對安全編碼器、安全伺服驅動器(STO、SOS、SLS、SBC、Safety Stop 1/2等功能)、伺服電機等系統提出了功能安全要求。
ISO 10218-1/2《Robots and robotic devices-Safety requirements for industrial robots》最新的機器人安全規范,分為1和2兩部分:
ISO10218-1介規定了機器人在設計和制造時應遵循的安全原則;
ISO10218-2規定了在機器人的集成應用、安裝、功能測試、編程、操作、維護以及維修時,對人身安全的防護原則。
ISO-TS 15066-2016 《Robot and Robotic Devices - Collaborative Robots》,這是專門針對協作機器人編寫的安全規范,同時也是ISO 10218-1和ISO 10218-2關于協作機器人操作內容的補充。隨著商業級和消費級機器人的不斷發展壯大,相關的標準也正在慢慢完善。對這個話題感興趣的知友可以關注一下最新的個人護理機器人安全規范:
ISO 13482-2014 《Robots and robotic devices -- Safety requirements for personal care robots》。
重要概念
功能安全(Functional Safety)
我們在各種各樣的機器人說明書或者文獻中經常會看到功能安全(Functional Safety)的概念,那么什么是功能安全呢?
功能安全一詞最早出現在Neil Storey在1996年出版的《Safety Critical Computer Systems》。
在這本書中,Storey定義了系統安全的三個方面:
Primary Safety,主要關注硬件/機械對人體造成直接傷害,例如漏電、高溫燙傷等;
Functional Safety,功能安全是整個系統安全的一部分,它與設備能否正確的執行其設計功能有關(包括出現人員操作失誤、軟硬件失效以及環境發生變化的情況時)。人們在操作/使用設備時總會面臨各種各樣損害身體健康甚至危及生命的風險,功能安全的目標是把人從這種不可接受的風險中解放出來。例如協作機器人在工作時,內置的傳感器會監控運行速度和輸出力矩,如果與人員發生碰撞,會立刻停止機器人的運行,保證機器人的碰撞力和對外輸出的能量不超過一定的限值,防止對人體造成嚴重傷害,這就是功能安全的一個實例。不具備功能安全特性的傳統工業機器人,即使廠商宣傳他的機器人系統經過多重測試,不會出現程序跑飛撞到人的情況,我們也不能說他的機器人是安全的,因為這個機器人沒有采用有效的機制來檢測及降低故障發送的可能性。
Indirect Safety,主要是指電子信息系統的安全,關注由于錯誤的信息(Information)輸入而導致給出錯誤的輸出信息。例如醫療系統中,通常會建立病人數據庫,如果病人數據庫出錯,那么可能會導致后續的診斷出錯。
停止類別(Stop Category)
在每一個機器人的安全操作手冊中,都會看到停止類別 1/2/3或者STOP 1/2/3的字樣,這是什么意思呢?
停止類別規定了機器人(機電設備)三種不同安全級別的停止方式。
由于不太喜歡將Actuator翻譯成“致動器”,故下文中一律以電機代替Actuator。
停止類別0,又稱Stop 0:立即切斷電機的動力電源。由于電機在減速的過程中失去了動力,無法控制,所以機器人會偏離預先定義的運行軌跡,是一種不受控的停止方式;大部分的急停按鈕實現的停止就是Stop 0,依靠剎車系統來停止機器人。
停止類別1,又稱Stop 1:控制器控制電機減速到停止后,再切斷動力電源。這是一種受控的停止方式,機器人基本上會按照預先定義的軌跡完成減速;在最新的機器人系統中,由于安全控制器技術的使用,急停按鈕觸發的停止大多數屬于這種停止(手動模式下除外),以保護剎車系統。
停止類別2:,又稱Stop 2:完全通過伺服系統減速,停止后不切斷動力電源,電機仍處于通電狀態,是完全受控的停止方式;現在機器人的程序停止均屬于此類。
SIL是Safety Integrity Level的縮寫。
在IEC61508 Part4中,對Safety Integrity Level的描述為:
the likelihood of a safety-related system satisfactorilyperforming the required safety functions under all the stated conditions,within a stated period of time.
SIL是對系統失效概率的描述,并不是某個確切的數值,描述了對于某個安全功能而言,其發生危險失效的可能性大小;
SIL適用于無法給出準確的風險數值,而只能進行定性分析的場合,共分為4個級別,即SIL1、SIL2、SIL3、SIL4。
SIL將系統分成了兩種,一種是連續操作型,一種是按需/Low-Demand型;對于連續操作型的系統,SIL的定義為 一小時內發生危險失效的概率;對于按需/Low-Demand型系統來說,SIL的定義是 響應單次需求時發生危險失效的概率。
"Low-Demand": no greater than one demand peryear.
以下圖為例,對于符合SIL2要求的協作機器人系統(市面上大多數機器人都可以達到這個要求),每小時撞你一次,大概需要連續撞100年以上才會發生一次撞了沒停的情況。
功能安全認證
基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC61800-5-2, EN ISO 13849-1等標準,對安全設備的安全完整性等級(SIL)或者性能等級(PL)進行評估和確認的一種第三方評估、驗證和認證。
大部分認證是先把產品做出來,然后拿著成品去做認證。而做功能安全認證時,相關認證機構在產品研發的最開始階段就會介入,并在之后的全流程都會參與,所涉及的內容包括:針對安全設備開發流程的文檔管理(FSM)評估、硬件可靠性計算和評估、軟件評估、環境試驗、EMC電磁兼容性測試等內容。
最常見的安全認證機構就是德國的TüV 以及美國的UL:
