編者按：長久以來，機(jī)器人和人工智能安全問題總是不斷被人們提起，特斯拉 CEO 馬斯克和比爾蓋茨等科技大咖都曾在公眾場合中表示過對(duì)機(jī)器人技術(shù)的擔(dān)憂。本文作者韓峰濤（珞石機(jī)器人 ROKAE 聯(lián)合創(chuàng)始人）從機(jī)器人行業(yè)規(guī)范和安全相關(guān)重要概念，對(duì)工業(yè)機(jī)器人的安全功能和認(rèn)證等相關(guān)知識(shí)進(jìn)行了闡述。

喜歡機(jī)器人同學(xué)想必對(duì)阿西莫夫的機(jī)器人三大定律耳熟于心：

• 機(jī)器人不得傷害人類，或坐視人類受到傷害；
  
• 除非違背第一法則，機(jī)器人必須服從人類的命令；
  
• 在不違背第一及第二法則下，機(jī)器人必須保護(hù)自己；
  

先不去討論這三大定律是否完備，只認(rèn)真思考這三句話背后的意義，我們會(huì)發(fā)現(xiàn)實(shí)際上三大定律最重要的目的只有兩個(gè)字：安全。

如果把三大定律概括成一句話，那應(yīng)該是：在保證人類和機(jī)器人安全的情況下，完成人類指定的任務(wù)。

技術(shù)的發(fā)展使得人們可以制造越來越精密、先進(jìn)的機(jī)器人，但新機(jī)器人尤其是民用機(jī)器人更多考慮其功能性，而對(duì)安全性考慮較少，這一現(xiàn)象在國內(nèi)尤其嚴(yán)重。眾多移動(dòng)式的所謂「服務(wù)機(jī)器人」中，有多少完成了或者至少考慮過進(jìn)行安全認(rèn)證？

除去缺乏安全認(rèn)證的意識(shí)外，人們還常常把可靠等同于安全，但 可靠 ≠ 安全 。IEC 61508 中規(guī)定了系統(tǒng)安全的生命周期，在整個(gè)周期中安全問題始終是與系統(tǒng)功能分開獨(dú)立考慮的，以避免功能可靠性最終會(huì)產(chǎn)生安全的假設(shè)，安全性必須要被證明（Proved）！

在整個(gè)機(jī)器人行業(yè)中，除去軍用及某些特種機(jī)器人，只有工業(yè)機(jī)器人的安全規(guī)范相對(duì)健全，因此這篇文章將以從工業(yè)機(jī)器人（機(jī)械臂）的角度來對(duì)機(jī)器人的安全功能進(jìn)行介紹，以下用「機(jī)器人」代替「工業(yè)機(jī)器人/機(jī)械臂」。

機(jī)器人行業(yè)主要涉及的規(guī)范

- IEC EN 61508 《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》（Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES）；

該標(biāo)準(zhǔn)是工業(yè)安全領(lǐng)域的通用標(biāo)準(zhǔn)，既可以用作編寫細(xì)分領(lǐng)域安全標(biāo)準(zhǔn)的基礎(chǔ)，也可以在沒有專用安全標(biāo)準(zhǔn)的領(lǐng)域中直接應(yīng)用。

- IEC 60204-1 《 機(jī)械安全 機(jī)器電氣設(shè)備 第 1 部分 一般要求》（Safety of machinery – Electrical equipment of machines –Part 1: General requirements），停止類別1/2/3即出在該標(biāo)準(zhǔn)；

- EN 954-1 安全類別Category B, 1, 2, 3, 4的概念出自該標(biāo)準(zhǔn)，已經(jīng)于 2011 年 12 月 31 日廢止；

- EN ISO 13849-1 《機(jī)械安全-控制系統(tǒng)安全相關(guān)部分-第一部分：設(shè)計(jì)總規(guī)則》（Safety of machinery -- Safety-related parts of control systems -- Part 1: General principles for design），用于替代 EN 954-1；

- IEC61800-5-2 《Adjustable speed electrical power drive systems - Part 5-2: Safety requirements - Functional》，對(duì)應(yīng)國標(biāo)號(hào)為GB/T 12668.5.2 《可調(diào)速的電動(dòng)設(shè)備標(biāo)準(zhǔn).第 5-2 部分: 功能安全要求》。

該標(biāo)準(zhǔn)主要針對(duì)安全編碼器、安全伺服驅(qū)動(dòng)器（STO、SOS、SLS、SBC、Safety Stop 1/2 等功能）、伺服電機(jī)等系統(tǒng)提出了功能安全要求。

- ISO 10218-1/2《Robots and robotic devices-Safety requirements for industrial robots》最新的機(jī)器人安全規(guī)范，分為 1 和 2 兩部分：

- ISO10218-1 介規(guī)定了機(jī)器人在設(shè)計(jì)和制造時(shí)應(yīng)遵循的安全原則；

- ISO10218-2 規(guī)定了在機(jī)器人的集成應(yīng)用、安裝、功能測試、編程、操作、維護(hù)以及維修時(shí)，對(duì)人身安全的防護(hù)原則。

- ISO-TS 15066-2016 《Robot and Robotic Devices - Collaborative Robots》，這是專門針對(duì)協(xié)作機(jī)器人編寫的安全規(guī)范，同時(shí)也是 ISO 10218-1 和 ISO 10218-2 關(guān)于協(xié)作機(jī)器人操作內(nèi)容的補(bǔ)充。

隨著商業(yè)級(jí)和消費(fèi)級(jí)機(jī)器人的不斷發(fā)展壯大，相關(guān)的標(biāo)準(zhǔn)也正在慢慢完善。對(duì)這個(gè)話題感興趣的朋友可以關(guān)注一下最新的個(gè)人護(hù)理機(jī)器人安全規(guī)范：

- ISO 13482-2014 《Robots and robotic devices -- Safety requirements for personal care robots》。

幾個(gè)關(guān)于安全的重要概念

功能安全（Functional Safety）

我們?cè)诟鞣N各樣的機(jī)器人說明書或者文獻(xiàn)中經(jīng)常會(huì)看到功能安全（Functional Safety）的概念，那么什么是功能安全呢？

功能安全一詞最早出現(xiàn)在 Neil Storey 在 1996 年出版的《Safety Critical Computer Systems》。

在這本書中，Storey 定義了系統(tǒng)安全的三個(gè)方面：

1、Primary Safety，主要關(guān)注硬件/機(jī)械對(duì)人體造成的直接傷害，例如漏電、高溫燙傷等；

2、Functional Safety，功能安全是整個(gè)系統(tǒng)安全的一部分，它與設(shè)備能否正確的執(zhí)行其設(shè)計(jì)功能有關(guān)（包括出現(xiàn)人員操作失誤、軟硬件失效以及環(huán)境發(fā)生變化的情況時(shí)）。

人們?cè)诓僮?使用設(shè)備時(shí)總會(huì)面臨各種各樣損害身體健康甚至危及生命的風(fēng)險(xiǎn)，功能安全的目標(biāo)是把人從這種不可接受的風(fēng)險(xiǎn)中解放出來。例如協(xié)作機(jī)器人在工作時(shí)，內(nèi)置的傳感器會(huì)監(jiān)控運(yùn)行速度和輸出力矩，如果與人員發(fā)生碰撞，會(huì)立刻停止機(jī)器人的運(yùn)行，保證機(jī)器人的碰撞力和對(duì)外輸出的能量不超過一定的限值，防止對(duì)人體造成嚴(yán)重傷害，這就是功能安全的一個(gè)實(shí)例。

不具備功能安全特性的傳統(tǒng)工業(yè)機(jī)器人，即使廠商宣傳他的機(jī)器人系統(tǒng)經(jīng)過多重測試，不會(huì)出現(xiàn)程序跑飛撞到人的情況，我們也不能說他的機(jī)器人是安全的，因?yàn)檫@個(gè)機(jī)器人沒有采用有效的機(jī)制來檢測及降低故障發(fā)生的可能性。

3、Indirect Safety，主要是指電子信息系統(tǒng)的安全，關(guān)注由于錯(cuò)誤的信息（Information）輸入而導(dǎo)致給出錯(cuò)誤的輸出信息。例如醫(yī)療系統(tǒng)中，通常會(huì)建立病人數(shù)據(jù)庫，如果病人數(shù)據(jù)庫出錯(cuò)，那么可能會(huì)導(dǎo)致后續(xù)的診斷出錯(cuò)。

停止類別（Stop Category）

在每一個(gè)機(jī)器人的安全操作手冊(cè)中，都會(huì)看到「停止類別 1/2/3」或者「STOP 1/2/3」 的字樣，這是什么意思呢？

停止類別規(guī)定了機(jī)器人（機(jī)電設(shè)備）三種不同安全級(jí)別的停止方式。

由于不太喜歡將 Actuator 翻譯成「致動(dòng)器」，故下文中一律以「電機(jī)」代替 Actuator。

- 停止類別 0，又稱 Stop 0：立即切斷電機(jī)的動(dòng)力電源。由于電機(jī)在減速的過程中失去了動(dòng)力，無法控制，所以機(jī)器人會(huì)偏離預(yù)先定義的運(yùn)行軌跡，是一種不受控的停止方式；大部分的急停按鈕實(shí)現(xiàn)的停止就是 Stop 0，依靠剎車系統(tǒng)來停止機(jī)器人。

- 停止類別 1，又稱 Stop 1：控制器控制電機(jī)減速到停止后，再切斷動(dòng)力電源。這是一種受控的停止方式，機(jī)器人基本上會(huì)按照預(yù)先定義的軌跡完成減速；在最新的機(jī)器人系統(tǒng)中，由于安全控制器技術(shù)的使用，急停按鈕觸發(fā)的停止大多數(shù)屬于這種停止（手動(dòng)模式下除外），以保護(hù)剎車系統(tǒng)。

- 停止類別 2:，又稱 Stop 2：完全通過伺服系統(tǒng)減速，停止后不切斷動(dòng)力電源，電機(jī)仍處于通電狀態(tài)，是完全受控的停止方式；現(xiàn)在機(jī)器人的程序停止均屬于此類。

不同機(jī)器人在 STOP0 和 STOP1 時(shí)的剎車距離與停止時(shí)間，可以查看 ABB 的《Robot stopping distances according to ISO 10218-1》做一個(gè)參考。

安全完整性等級(jí)（SIL）

SIL 是 Safety Integrity Level 的縮寫。在 IEC 61508 Part4 中，對(duì) Safety Integrity Level 的描述為：

the likelihood of a safety-related system satisfactorily performing the required safety functions under all the stated conditions, within a stated period of time.

SIL 是對(duì)系統(tǒng)失效概率的描述，并不是某個(gè)確切的數(shù)值，描述了對(duì)于某個(gè)安全功能而言，其發(fā)生危險(xiǎn)失效的可能性大小；

SIL 適用于無法給出準(zhǔn)確的風(fēng)險(xiǎn)數(shù)值，而只能進(jìn)行定性分析的場合，共分為 4 個(gè)級(jí)別，即 SIL1、SIL2、SIL3、SIL4。

SIL 將系統(tǒng)分成了兩種，一種是連續(xù)操作型，一種是按需 /Low-Demand 型；對(duì)于連續(xù)操作型的系統(tǒng)，SIL 的定義為：一小時(shí)內(nèi)發(fā)生危險(xiǎn)失效的概率；對(duì)于按需 /Low-Demand 型系統(tǒng)來說，SIL 的定義是：響應(yīng)單次需求時(shí)發(fā)生危險(xiǎn)失效的概率。

Low-Demand: no greater than one demand per year.

以下圖為例，對(duì)于符合 SIL2 要求的協(xié)作機(jī)器人系統(tǒng)（市面上大多數(shù)機(jī)器人都可以達(dá)到這個(gè)要求），每小時(shí)撞你一次，大概需要連續(xù)撞 100 年以上才會(huì)發(fā)生一次撞了沒停的情況。

功能安全認(rèn)證

基于 IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2, EN ISO 13849-1 等標(biāo)準(zhǔn)，對(duì)安全設(shè)備的安全完整性等級(jí)（SIL）或者性能等級(jí)（PL）進(jìn)行評(píng)估和確認(rèn)的一種第三方評(píng)估、驗(yàn)證和認(rèn)證。

大部分認(rèn)證是先把產(chǎn)品做出來，然后拿著成品去做認(rèn)證。而做功能安全認(rèn)證時(shí)，相關(guān)認(rèn)證機(jī)構(gòu)在產(chǎn)品研發(fā)的最開始階段就會(huì)介入，并在之后的全流程都會(huì)參與，所涉及的內(nèi)容包括：針對(duì)安全設(shè)備開發(fā)流程的文檔管理（FSM）評(píng)估、硬件可靠性計(jì)算和評(píng)估、軟件評(píng)估、環(huán)境試驗(yàn)、EMC 電磁兼容性測試等內(nèi)容。

最常見的安全認(rèn)證機(jī)構(gòu)就是德國的 TüV 以及美國的 UL：

文中若有不足或不準(zhǔn)確之處，歡迎大家積極提出或補(bǔ)充。

責(zé)任編輯：林億