跳转至

安全与鲁棒性

概述

机器人部署中的安全性是从实验室走向真实世界的核心门槛。安全不仅是技术问题,更涉及标准认证、系统架构和人机协作设计。本文涵盖安全标准体系、碰撞检测算法、人机交互安全区设计及急停机制。

安全第一原则

任何机器人系统在部署前,必须通过完整的安全评估与认证流程。安全功能的失效可能导致严重人身伤害。

一、安全标准体系

1.1 ISO 10218:工业机器人安全

ISO 10218 是工业机器人安全的基础标准,分为两部分:

标准 范围 核心要求
ISO 10218-1 机器人本体 关节限位、速度限制、力矩监控、急停功能
ISO 10218-2 机器人系统集成 安全防护设计、风险评估、安全距离计算

四种协作操作模式(ISO 10218-1 附录):

  1. 安全监控停止(Safety-rated monitored stop):人进入时机器人停止
  2. 手动引导(Hand guiding):操作员直接引导机器人运动
  3. 速度与距离监控(Speed and separation monitoring):动态调整速度
  4. 功率与力限制(Power and force limiting):限制接触力

1.2 ISO 15066:协作机器人安全

ISO 15066 是 ISO 10218 的补充,专门针对人机协作场景,定义了人体各部位的力和压力阈值

人体部位 准静态力上限 (N) 瞬态力上限 (N) 准静态压力上限 (N/cm²) 瞬态压力上限 (N/cm²)
头骨/前额 130 195 25 50
脸部 65 97.5 11 16.5
颈部(侧面) 150 225 21 31.5
胸部 140 210 12 18
腹部 110 165 11 16.5
手背 190 285 19 28.5
手指 140 210 30 45

阈值的含义

准静态指持续接触(如夹持),瞬态指短暂碰撞(<500ms)。瞬态阈值通常为准静态的 1.5 倍。

1.3 安全完整性等级(SIL)

根据 IEC 61508,安全功能按照失效概率分级:

SIL 等级 每小时危险失效概率 (PFH) 典型应用
SIL 1 \(10^{-6}\) ~ \(10^{-5}\) 一般工业设备保护
SIL 2 \(10^{-7}\) ~ \(10^{-6}\) 协作机器人安全功能
SIL 3 \(10^{-8}\) ~ \(10^{-7}\) 自动驾驶关键安全
SIL 4 \(10^{-9}\) ~ \(10^{-8}\) 核电站控制系统

大多数协作机器人需要达到 SIL 2Performance Level d(PLd)

二、碰撞检测

2.1 基于动量观测器的碰撞检测

碰撞检测是安全系统的核心。基于动量观测器(Momentum Observer)的方法无需额外传感器,利用关节力矩信息实现:

机器人动力学方程

\[ M(q)\ddot{q} + C(q, \dot{q})\dot{q} + g(q) = \tau_{cmd} + \tau_{ext} \]

其中:

  • \(M(q)\):惯性矩阵
  • \(C(q, \dot{q})\dot{q}\):科里奥利力和离心力
  • \(g(q)\):重力项
  • \(\tau_{cmd}\):指令力矩
  • \(\tau_{ext}\):外部力矩(碰撞产生)

广义动量定义

\[ p = M(q)\dot{q} \]

动量观测器

\[ \hat{\tau}_{ext} = K_I \int_0^t \left[ M(q)\ddot{q} + C(q, \dot{q})\dot{q} + g(q) - \tau_{cmd} - \hat{\tau}_{ext} \right] d\tau \]

其中 \(K_I\) 为观测器增益矩阵,决定检测灵敏度和响应速度。

工程实现

实际中常用离散化形式,在 1kHz 控制频率下实现。\(K_I\) 的选取需要权衡灵敏度(误报率)和响应速度(漏检率)。

2.2 碰撞检测流程

关节力矩读取 → 动力学模型计算 → 残差估计 → 阈值判断 → 反应策略

反应策略等级

  1. Level 0 - 监控:记录碰撞事件,不采取行动
  2. Level 1 - 减速:降低速度至安全范围
  3. Level 2 - 停止:安全监控停止(Category 2 stop)
  4. Level 3 - 回退:沿碰撞方向回退,减小接触力
  5. Level 4 - 急停:立即切断动力(Category 0 stop)

2.3 基于传感器融合的碰撞检测

方法 传感器 响应时间 优势 劣势
关节力矩 关节力矩传感器 <5ms 无需额外硬件 受模型精度限制
电子皮肤 触觉传感器阵列 <1ms 直接测量接触 成本高,覆盖有限
视觉预测 深度相机 50-100ms 可预判碰撞 延迟大,遮挡问题
电流观测 电机电流传感器 <2ms 成本低 灵敏度低

三、人机交互安全区

3.1 安全区划分

根据 ISO 13855 和 ISO 10218-2,机器人工作空间划分为:

┌─────────────────────────────────────────────┐
│                 禁止区 (Zone 0)               │
│        机器人运动包络线内,禁止人员进入          │
│    ┌─────────────────────────────────┐       │
│    │         工作区 (Zone 1)          │       │
│    │     机器人正常操作空间             │       │
│    └─────────────────────────────────┘       │
├─────────────────────────────────────────────┤
│              警告区 (Zone 2)                  │
│       进入后机器人降速,发出警告                │
├─────────────────────────────────────────────┤
│              安全区 (Zone 3)                  │
│          人员正常活动区域                      │
└─────────────────────────────────────────────┘

3.2 安全距离计算

根据 ISO 13855,最小安全距离 \(S\) 计算:

\[ S = K \times T + C \]

其中:

  • \(K\):人体接近速度(通常取 1.6 m/s 或 2.0 m/s)
  • \(T\):系统总响应时间(传感器 + 控制 + 制动)
  • \(C\):附加安全余量(取决于检测设备类型)

示例:若 \(T = 0.2s\)\(K = 1.6 \text{ m/s}\)\(C = 0.1m\)

\[ S = 1.6 \times 0.2 + 0.1 = 0.42 \text{ m} \]

3.3 动态安全区(Speed and Separation Monitoring)

现代协作机器人采用动态安全距离:

\[ S_{min}(t) = v_H \times (T_r + T_s) + v_R \times T_r + S_s + C + Z_d + Z_r \]

其中:

  • \(v_H\):人的运动速度
  • \(v_R\):机器人运动速度
  • \(T_r\):反应时间
  • \(T_s\):停止时间
  • \(S_s\):停止距离
  • \(Z_d, Z_r\):检测和机器人位置不确定性

四、急停系统设计

4.1 停止类别(IEC 60204-1)

类别 描述 实现方式 适用场景
Category 0 立即断电停止 直接切断电机供电 最高紧急情况
Category 1 受控停止后断电 先制动减速,再断电 一般紧急情况
Category 2 受控停止不断电 制动停止,保持供电 安全监控停止

4.2 急停系统架构

急停按钮 ──→ 安全PLC ──→ 安全继电器 ──→ 电机驱动器断电
                │
光幕/激光 ──→   │    ──→ 安全制动器 ──→ 关节锁定
                │
安全地毯 ──→   │    ──→ 控制器通知 ──→ 状态记录/报警

双通道冗余

急停回路必须采用双通道设计:任一通道故障均可触发停止。安全 PLC 需具备自诊断能力。

4.3 安全功能验证

安全功能需定期验证:

  • 型式测试:按标准进行全套测试
  • 出厂测试:每台设备 100% 功能验证
  • 定期检查:运行中按周期验证
  • 变更验证:任何修改后重新验证

五、鲁棒性设计

5.1 故障模式分析

故障类型 示例 检测方法 应对策略
传感器失效 编码器断线 信号监控/冗余对比 切换备份传感器
通信中断 总线故障 心跳超时检测 安全状态切换
软件异常 控制算法崩溃 看门狗定时器 安全停止
电源故障 突然断电 欠压检测 制动器锁定
机械磨损 减速器间隙增大 精度监控/振动分析 预防性维护

5.2 冗余设计原则

  • 传感器冗余:关键轴使用双编码器
  • 通信冗余:EtherCAT 环形拓扑自动切换
  • 计算冗余:安全 PLC 独立于主控制器
  • 供电冗余:UPS 保障安全系统供电
  • 制动冗余:失电制动器 + 主动制动

六、面向学习型策略的安全

6.1 神经网络策略的安全约束

当使用学习得到的策略(如 VLA 模型)控制机器人时,额外的安全层必不可少:

学习策略输出 → 安全滤波器 → 关节限位检查 → 速度限制 → 力矩饱和 → 执行

安全滤波器(Safety Filter)设计:

\[ u_{safe} = \arg\min_{u \in \mathcal{U}} \|u - u_{learned}\|^2 \quad \text{s.t.} \quad h(x, u) \geq 0 \]

其中 \(h(x, u) \geq 0\) 为控制屏障函数(Control Barrier Function, CBF)约束。

6.2 Sim2Real 部署的安全考虑

  • 动作空间裁剪:限制输出范围在物理安全极限内
  • 渐进式部署:先低速验证,再逐步提升
  • 人工监督:初期部署必须有人类在环监控
  • 回退策略:策略输出异常时切换到安全控制器

延伸阅读

  • 控制理论基础 - 机器人控制的理论基础
  • 痛点与挑战 - 行业面临的安全标准挑战
  • ISO 10218-1:2011, ISO 10218-2:2011, ISO/TS 15066:2016
  • IEC 61508 功能安全标准
  • De Luca, A., et al. "Collision detection and safe reaction with the DLR-III lightweight robot arm." (2006)

评论 #