楊學(xué)志

隨著技術(shù)的不斷進(jìn)步，當(dāng)前全球機(jī)器人市場(chǎng)規(guī)模不斷擴(kuò)大，機(jī)器人產(chǎn)業(yè)發(fā)展勢(shì)頭迅猛。與此同時(shí)，機(jī)器人功能安全問(wèn)題顯得愈發(fā)重要，急需加速開(kāi)展機(jī)器人及系統(tǒng)的功能安全檢測(cè)認(rèn)證工作，規(guī)范國(guó)內(nèi)機(jī)器人市場(chǎng)，提高機(jī)器人產(chǎn)品質(zhì)量與安全，切實(shí)保障人身和財(cái)產(chǎn)安全。

機(jī)器人在給人類帶來(lái)巨大利益的同時(shí)，也不可避免地會(huì)帶來(lái)“災(zāi)難”。工業(yè)安全事故已經(jīng)成為最主要的人類“殺手”之一，造成了巨大的人員和財(cái)產(chǎn)損失。例如，2015年，德國(guó)大眾汽車制造廠機(jī)器人在調(diào)試期間，“攻擊”技術(shù)工人致其死亡;2018年蕪湖市經(jīng)濟(jì)開(kāi)發(fā)區(qū)，工人在為工業(yè)機(jī)器人更換夾具時(shí)被擠壓致死;2018年，美國(guó)亞馬遜公司機(jī)器人誤戳穿驅(qū)熊噴劑罐，導(dǎo)致24名工人受傷。以上事故的發(fā)生，究其原因是安全相關(guān)控制系統(tǒng)的功能失效。業(yè)界普遍意識(shí)到，必須采取功能安全相關(guān)措施來(lái)管理和控制工業(yè)領(lǐng)域內(nèi)安全相關(guān)系統(tǒng)的使用，使技術(shù)在安全的框架內(nèi)發(fā)展，防止安全事故發(fā)生。功能安全在汽車、鐵路和化工儀表系統(tǒng)等行業(yè)發(fā)展中具有重要地位和作用，因此，國(guó)內(nèi)外出臺(tái)了相關(guān)指導(dǎo)意見(jiàn)和標(biāo)準(zhǔn)來(lái)規(guī)范行業(yè)發(fā)展。例如，原國(guó)家安全生產(chǎn)監(jiān)督管理總局發(fā)布了《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見(jiàn)》（安監(jiān)總管三〔2014〕116號(hào)），要求從2018年1月1日起，所有新建涉及“兩重點(diǎn)一重大”的化工裝置和危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施要設(shè)計(jì)符合要求的安全儀表系統(tǒng)。其他新建化工裝置、危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施安全儀表系統(tǒng)，從2020年1月1日起，應(yīng)執(zhí)行功能安全相關(guān)標(biāo)準(zhǔn)要求，設(shè)計(jì)符合要求的安全儀表系統(tǒng)。此外，在汽車領(lǐng)域，ISO 26262已經(jīng)頒布實(shí)施，并得到了企業(yè)的高度重視和推廣。保障功能安全已成為重點(diǎn)行業(yè)提高安全性能，提升產(chǎn)品內(nèi)在價(jià)值，避免品牌形象受損，避免蒙受較大經(jīng)濟(jì)損失的必要途徑。

功能安全

功能安全是一門安全工程學(xué)科，專門研究復(fù)雜控制系統(tǒng)的安全功能失效避免，旨在防止危險(xiǎn)故障的發(fā)生或至少在出現(xiàn)故障時(shí)能夠進(jìn)行有效控制，主要研究3個(gè)方面的內(nèi)容[1]：

預(yù)期功能安全

預(yù)期功能安全是系統(tǒng)性失效的一部分，它要求全面識(shí)別受控設(shè)備中的所有危險(xiǎn)，并把風(fēng)險(xiǎn)控制在可容忍范圍之內(nèi)。在這個(gè)前提下建立安全相關(guān)系統(tǒng)的所有功能，并用全生命周期管理來(lái)保證系統(tǒng)執(zhí)行這些功能的可靠性。

硬件隨機(jī)性失效避免

組成安全相關(guān)系統(tǒng)的硬件系統(tǒng)必須具有足夠的可靠性、足夠的容錯(cuò)能力和診斷覆蓋率。

系統(tǒng)性失效避免

要避免所有可能導(dǎo)致系統(tǒng)性失效的錯(cuò)誤和故障，如軟件功能安全、環(huán)境適應(yīng)性、檢測(cè)到故障時(shí)的系統(tǒng)行為等。

機(jī)器人功能安全標(biāo)準(zhǔn)

國(guó)際電工委員會(huì)IEC頒布了功能安全的基礎(chǔ)標(biāo)準(zhǔn)IEC 61508，并針對(duì)流程工業(yè)、核工業(yè)、機(jī)械制造業(yè)、交通運(yùn)輸?shù)阮I(lǐng)域的安全相關(guān)系統(tǒng)發(fā)布了系列標(biāo)準(zhǔn)，目前已經(jīng)發(fā)展為一個(gè)標(biāo)準(zhǔn)族群，如圖1所示。

功能安全標(biāo)準(zhǔn)規(guī)定了各種原則、方法，是多個(gè)行業(yè)多年經(jīng)驗(yàn)的總結(jié)，對(duì)于提高復(fù)雜控制系統(tǒng)與保護(hù)系統(tǒng)執(zhí)行功能的可靠性，具有十分重要的指導(dǎo)意義。

對(duì)于機(jī)器人而言，涉及到的功能安全標(biāo)準(zhǔn)主要是ISO 13849、IEC 62061等，目前這些標(biāo)準(zhǔn)已經(jīng)等同翻譯為國(guó)家標(biāo)準(zhǔn)，如下表所示：

ISO 13849（GB/T 16855）和IEC 62061（GB 28526）規(guī)定了機(jī)械安全相關(guān)控制系統(tǒng)設(shè)計(jì)和實(shí)施的要求，其中ISO 13849使用性能等級(jí)Performance Level（PL），IEC 62061使用安全完整性等級(jí)Safety Integrity Level（SIL）。通常來(lái)說(shuō)，如果涉及液壓、氣動(dòng)等機(jī)械裝置，建議使用ISO 13849進(jìn)行評(píng)估，如果大多是電氣電子部件，建議使用IEC 62061進(jìn)行評(píng)估。ISO 13849和IEC 62061的適用范圍見(jiàn)表2。在標(biāo)準(zhǔn)范圍內(nèi)，可以使用其中任何一個(gè)。

無(wú)論是ISO 13849規(guī)定的性能等級(jí)PL，還是IEC 62061規(guī)定的安全完整性等級(jí)SIL，不僅表明了安全相關(guān)控制系統(tǒng)危險(xiǎn)失效率的目標(biāo)量值，還表明了必須采取的技術(shù)與措施。

在機(jī)器人產(chǎn)品標(biāo)準(zhǔn)中，通常會(huì)規(guī)定安全相關(guān)控制系統(tǒng)的安全功能需達(dá)到的安全等級(jí)。對(duì)安全相關(guān)控制系統(tǒng)安全功能的等級(jí)進(jìn)行規(guī)定。以工業(yè)機(jī)器人為例，我國(guó)已頒布兩項(xiàng)專門針對(duì)工業(yè)機(jī)器人安全的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，作為工業(yè)機(jī)器人的制造商和集成商，在生產(chǎn)制造過(guò)程中必須嚴(yán)格遵守國(guó)家標(biāo)準(zhǔn)的要求。

GB 11291.2-2011 5.2.2規(guī)定，控制系統(tǒng)有關(guān)安全部件的設(shè)計(jì)，應(yīng)遵照GB/T 16855.1-2008所描述的PL=d、結(jié)構(gòu)類別3，或遵照GB 28526-2012所描述的SIL2、硬件1級(jí)容錯(cuò)，驗(yàn)證測(cè)試間隔不少于20年。

以個(gè)人助理機(jī)器人為例，國(guó)際標(biāo)準(zhǔn)化組織ISO在2014年推出了個(gè)人助理機(jī)器人的安全標(biāo)準(zhǔn)ISO 13482：2014，涉及電動(dòng)平衡車、外骨骼機(jī)器人、移動(dòng)機(jī)器人等機(jī)器人產(chǎn)品。目前，我國(guó)頒布的GB/T 36530-2018《機(jī)器人與機(jī)器人裝備 個(gè)人助理機(jī)器人的安全要求》等同采用了該標(biāo)準(zhǔn)，并于2019年2月1日正式實(shí)施。其中，第6章對(duì)功能安全提出了具體的要求。標(biāo)準(zhǔn)規(guī)定個(gè)人助理機(jī)器人的控制系統(tǒng)功能（電子、液壓、氣動(dòng)和軟件）要求的性能等級(jí)（PL）和安全完整性等級(jí)（SIL）應(yīng)由風(fēng)險(xiǎn)評(píng)估確定，應(yīng)符合ISO 13849-1或IEC 62061。表5給出了個(gè)人助理機(jī)器人的功能安全要求。

機(jī)器人功能安全的評(píng)估程序

安全相關(guān)控制系統(tǒng)的設(shè)計(jì)程序，一般包括以下步驟：

1.風(fēng)險(xiǎn)評(píng)估，對(duì)機(jī)器人設(shè)計(jì)、生產(chǎn)、試運(yùn)行、維修維護(hù)等生命周期相關(guān)階段內(nèi)的危險(xiǎn)進(jìn)行識(shí)別、估計(jì)和評(píng)價(jià);

2.安全功能確認(rèn)，識(shí)別并確認(rèn)所需的安全功能，如緊急停止、保護(hù)性停止、安全相關(guān)的速度限制、安全相關(guān)的力控制等;

3.確認(rèn)性能等級(jí)要求PLr，根據(jù)產(chǎn)品標(biāo)準(zhǔn)的要求，或根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行確定;

4.確認(rèn)各安全功能的設(shè)計(jì)要求，包括硬件架構(gòu)（輸入、邏輯控制單元、輸出、監(jiān)控等）、診斷覆蓋率（DC）、平均危險(xiǎn)失效時(shí)間（MTTFd）、共因失效（CCF）等方面。表6和圖2給出了性能等級(jí)PL與每個(gè)通道的類別、診斷覆蓋率、平均危險(xiǎn)失效時(shí)間的關(guān)系;

5.評(píng)估性能等級(jí)PL，一旦確定了類別（Category）、診斷覆蓋率（DC）、平均危險(xiǎn)失效時(shí)間（MTTFd）、共因失效（CCF）四個(gè)參數(shù)，即可確定安全功能達(dá)到的性能等級(jí)PL。如果證實(shí)性能等級(jí)PL≥性能等級(jí)要求PLr，即可說(shuō)明符合功能安全的設(shè)計(jì)要求。

機(jī)器人功能安全評(píng)估案例

緊急停止功能是機(jī)器人功能安全中最重要的安全功能之一，任何安全功能的失效，都會(huì)導(dǎo)致非常嚴(yán)重的后果。下面以工業(yè)機(jī)器人緊急停止功能為例，闡述機(jī)器人功能安全評(píng)估的實(shí)例。

根據(jù)工業(yè)機(jī)器人標(biāo)準(zhǔn)ISO 10218-1：2011，緊急停止功能應(yīng)滿足類別Cat.3，PL d的要求。

首先，緊急停止功能的安全回路應(yīng)滿足Cat.3的要求：

-使用經(jīng)驗(yàn)證的元件（well-tried component）;

-單故障時(shí)不可以使安全功能喪失，應(yīng)于下一安全功能作動(dòng)時(shí)或作動(dòng)前被偵測(cè)到;

-不代表所有的故障都將會(huì)被偵測(cè)到，可以察覺(jué)部分故障，但無(wú)法察覺(jué)全部故障;

-若發(fā)生單故障時(shí)，安全功能可以照常作動(dòng)，還是可以切斷危險(xiǎn)動(dòng)作;

-未被察覺(jué)之故障的累積，可能會(huì)導(dǎo)致安全功能的喪失;

-每一通道的MTTFd應(yīng)為“低、中、高”;平均診斷覆蓋率DCavg應(yīng)為“低、中”;CCF應(yīng)為“符合”。

其次，緊急停止功能應(yīng)符合ISO 13850的0類斷電的要求，即通過(guò)切斷所有危險(xiǎn)運(yùn)動(dòng)部件制動(dòng)器的電源來(lái)實(shí)現(xiàn)緊急停止。

圖4為緊急停止安全回路示例[2]，其中S1、S2、S3是三個(gè)急停按鈕，K1是安全繼電器，K2、K3是接觸器。急停按鈕為輸入裝置，安全繼電器為安全邏輯控制器，兩個(gè)冗余的接觸器為輸出裝置。每個(gè)急停按鈕有兩個(gè)觸點(diǎn)，急停信號(hào)被冗余地讀入安全繼電器K1以進(jìn)行故障檢測(cè)（如斷線檢測(cè)）。安全繼電器具有強(qiáng)制導(dǎo)向結(jié)構(gòu)，在發(fā)生觸點(diǎn)熔結(jié)現(xiàn)象時(shí)也能確保安全。安全繼電器可以保障在緊急停止命令解除時(shí)，機(jī)器不能再啟動(dòng)，必須進(jìn)行故障復(fù)位才可以重新得電。接觸器K2和K3也通過(guò)機(jī)械連接的觸點(diǎn)，在安全繼電器K1中進(jìn)行監(jiān)控。K2或K3中任何一個(gè)出現(xiàn)故障，電機(jī)的動(dòng)力電源都會(huì)被立刻切斷。K2和K3構(gòu)成了冗余，保證了電機(jī)的危險(xiǎn)電源可以被可靠切斷。

確定了電路結(jié)構(gòu)后，還要選擇元器件，確定平均危險(xiǎn)失效時(shí)間MTTFd、平均診斷覆蓋率DCavg、共因失效等參數(shù)，進(jìn)而評(píng)估緊急停止功能所達(dá)到的性能等級(jí)PL。

元件選擇：

-急停按鈕S1、S2和S3符合IEC 60947-5-1附錄K要求，急停裝置符合EN ISO 13850標(biāo)準(zhǔn);

-安全繼電器K1可以滿足Cat.4和PL e的要求;

-K2和K3具有符合IEC 60947-5-1附錄L要求的機(jī)械連桿觸點(diǎn)。

平均危險(xiǎn)失效時(shí)間MTTFd：

-急停按鈕S1、S2和S3，故障排除適用于強(qiáng)制斷開(kāi)觸點(diǎn)和機(jī)械設(shè)備;

-安全繼電器K1符合PL e，MTTFd值250年;

-接觸器K2和K3：根據(jù)制造商提供的數(shù)據(jù)，其B10為1000000。假定其中50%為危險(xiǎn)失效，其B10d應(yīng)為2000000。假定1年工作240天，每天工作12小時(shí)，每周期28秒，經(jīng)計(jì)算，其MTTFd應(yīng)為54年;

-系統(tǒng)MTTFd應(yīng)為“中”。

平均診斷覆蓋率DCavg：

-急停按鈕S1、S2和S3使用了強(qiáng)制斷開(kāi)觸點(diǎn)，其診斷覆蓋率可達(dá)99%;

-安全繼電器的診斷覆蓋率可達(dá)99%;

-基于安全繼電器K1的測(cè)試，接觸器K2和K3的診斷覆蓋率可以達(dá)到90%;

-整個(gè)系統(tǒng)的診斷覆蓋率為“中”。

共因失效：對(duì)系統(tǒng)共因失效的措施打分（共70分）：分離（15分），經(jīng)過(guò)驗(yàn)證的元件（5分），過(guò)壓保護(hù)等（15分）和環(huán)境條件（35分），對(duì)系統(tǒng)共因失效采取的措施符合要求（大于65分）。

依據(jù)圖2，該急停安全回路可以達(dá)到的性能等級(jí)為PL=d，滿足PLr=d的要求。

結(jié)語(yǔ)

近年來(lái)，我國(guó)工業(yè)機(jī)器人市場(chǎng)迅速增長(zhǎng)，銷量增速屢創(chuàng)歷史新高，自2013年起年銷量連續(xù)5年位居世界首位，我國(guó)服務(wù)機(jī)器人廠家如雨后春筍般涌現(xiàn)。在機(jī)器人市場(chǎng)迅猛發(fā)展的形勢(shì)下，功能安全問(wèn)題顯得尤為重要，需加速開(kāi)展機(jī)器人及系統(tǒng)的功能安全檢測(cè)認(rèn)證工作，規(guī)范國(guó)內(nèi)機(jī)器人市場(chǎng)，提高機(jī)器人產(chǎn)品質(zhì)量與安全，切實(shí)保障人身和財(cái)產(chǎn)安全。

參考資料

[1]史學(xué)玲.微信公眾號(hào)文章《從埃塞航墜機(jī)看智能化系統(tǒng)功能安全的重要性》

[2] Michael Hauke and et.al. BGIA Report 2/2008e Functional safety of machine controls - Application of EN ISO 13849. German Social Accident Insurance （DGUV）.2008：p248.