杨学志

随着技术的不断进步，当前全球机器人市场规模不断扩大，机器人产业发展势头迅猛。与此同时，机器人功能安全问题显得愈发重要，急需加速开展机器人及系统的功能安全检测认证工作，规范国内机器人市场，提高机器人产品质量与安全，切实保障人身和财产安全。

机器人在给人类带来巨大利益的同时，也不可避免地会带来“灾难”。工业安全事故已经成为最主要的人类“杀手”之一，造成了巨大的人员和财产损失。例如，2015年，德国大众汽车制造厂机器人在调试期间，“攻击”技术工人致其死亡;2018年芜湖市经济开发区，工人在为工业机器人更换夹具时被挤压致死;2018年，美国亚马逊公司机器人误戳穿驱熊喷剂罐，导致24名工人受伤。以上事故的发生，究其原因是安全相关控制系统的功能失效。业界普遍意识到，必须采取功能安全相关措施来管理和控制工业领域内安全相关系统的使用，使技术在安全的框架内发展，防止安全事故发生。功能安全在汽车、铁路和化工仪表系统等行业发展中具有重要地位和作用，因此，国内外出台了相关指导意见和标准来规范行业发展。例如，原国家安全生产监督管理总局发布了《关于加强化工安全仪表系统管理的指导意见》（安监总管三〔2014〕116号），要求从2018年1月1日起，所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统，从2020年1月1日起，应执行功能安全相关标准要求，设计符合要求的安全仪表系统。此外，在汽车领域，ISO 26262已经颁布实施，并得到了企业的高度重视和推广。保障功能安全已成为重点行业提高安全性能，提升产品内在价值，避免品牌形象受损，避免蒙受较大经济损失的必要途径。

功能安全

功能安全是一门安全工程学科，专门研究复杂控制系统的安全功能失效避免，旨在防止危险故障的发生或至少在出现故障时能够进行有效控制，主要研究3个方面的内容[1]：

预期功能安全

预期功能安全是系统性失效的一部分，它要求全面识别受控设备中的所有危险，并把风险控制在可容忍范围之内。在这个前提下建立安全相关系统的所有功能，并用全生命周期管理来保证系统执行这些功能的可靠性。

硬件随机性失效避免

组成安全相关系统的硬件系统必须具有足够的可靠性、足够的容错能力和诊断覆盖率。

系统性失效避免

要避免所有可能导致系统性失效的错误和故障，如软件功能安全、环境适应性、检测到故障时的系统行为等。

机器人功能安全标准

国际电工委员会IEC颁布了功能安全的基础标准IEC 61508，并针对流程工业、核工业、机械制造业、交通运输等领域的安全相关系统发布了系列标准，目前已经发展为一个标准族群，如图1所示。

功能安全标准规定了各种原则、方法，是多个行业多年经验的总结，对于提高复杂控制系统与保护系统执行功能的可靠性，具有十分重要的指导意义。

对于机器人而言，涉及到的功能安全标准主要是ISO 13849、IEC 62061等，目前这些标准已经等同翻译为国家标准，如下表所示：

ISO 13849（GB/T 16855）和IEC 62061（GB 28526）规定了机械安全相关控制系统设计和实施的要求，其中ISO 13849使用性能等级Performance Level（PL），IEC 62061使用安全完整性等级Safety Integrity Level（SIL）。通常来说，如果涉及液压、气动等机械装置，建议使用ISO 13849进行评估，如果大多是电气电子部件，建议使用IEC 62061进行评估。ISO 13849和IEC 62061的适用范围见表2。在标准范围内，可以使用其中任何一个。

无论是ISO 13849规定的性能等级PL，还是IEC 62061规定的安全完整性等级SIL，不仅表明了安全相关控制系统危险失效率的目标量值，还表明了必须采取的技术与措施。

在机器人产品标准中，通常会规定安全相关控制系统的安全功能需达到的安全等级。对安全相关控制系统安全功能的等级进行规定。以工业机器人为例，我国已颁布两项专门针对工业机器人安全的强制性国家标准，作为工业机器人的制造商和集成商，在生产制造过程中必须严格遵守国家标准的要求。

GB 11291.2-2011 5.2.2规定，控制系统有关安全部件的设计，应遵照GB/T 16855.1-2008所描述的PL=d、结构类别3，或遵照GB 28526-2012所描述的SIL2、硬件1级容错，验证测试间隔不少于20年。

以个人助理机器人为例，国际标准化组织ISO在2014年推出了个人助理机器人的安全标准ISO 13482：2014，涉及电动平衡车、外骨骼机器人、移动机器人等机器人产品。目前，我国颁布的GB/T 36530-2018《机器人与机器人装备 个人助理机器人的安全要求》等同采用了该标准，并于2019年2月1日正式实施。其中，第6章对功能安全提出了具體的要求。标准规定个人助理机器人的控制系统功能（电子、液压、气动和软件）要求的性能等级（PL）和安全完整性等级（SIL）应由风险评估确定，应符合ISO 13849-1或IEC 62061。表5给出了个人助理机器人的功能安全要求。

机器人功能安全的评估程序

安全相关控制系统的设计程序，一般包括以下步骤：

1.风险评估，对机器人设计、生产、试运行、维修维护等生命周期相关阶段内的危险进行识别、估计和评价;

2.安全功能确认，识别并确认所需的安全功能，如紧急停止、保护性停止、安全相关的速度限制、安全相关的力控制等;

3.确认性能等级要求PLr，根据产品标准的要求，或根据风险评估的结果进行确定;

4.确认各安全功能的设计要求，包括硬件架构（输入、逻辑控制单元、输出、监控等）、诊断覆盖率（DC）、平均危险失效时间（MTTFd）、共因失效（CCF）等方面。表6和图2给出了性能等级PL与每个通道的类别、诊断覆盖率、平均危险失效时间的关系;

5.评估性能等级PL，一旦确定了类别（Category）、诊断覆盖率（DC）、平均危险失效时间（MTTFd）、共因失效（CCF）四个参数，即可确定安全功能达到的性能等级PL。如果证实性能等级PL≥性能等级要求PLr，即可说明符合功能安全的设计要求。

机器人功能安全评估案例

紧急停止功能是机器人功能安全中最重要的安全功能之一，任何安全功能的失效，都会导致非常严重的后果。下面以工业机器人紧急停止功能为例，阐述机器人功能安全评估的实例。

根据工业机器人标准ISO 10218-1：2011，紧急停止功能应满足类别Cat.3，PL d的要求。

首先，紧急停止功能的安全回路应满足Cat.3的要求：

-使用经验证的元件（well-tried component）;

-单故障时不可以使安全功能丧失，应于下一安全功能作动时或作动前被侦测到;

-不代表所有的故障都将会被侦测到，可以察觉部分故障，但无法察觉全部故障;

-若发生单故障时，安全功能可以照常作动，还是可以切断危险动作;

-未被察觉之故障的累积，可能会导致安全功能的丧失;

-每一通道的MTTFd应为“低、中、高”;平均诊断覆盖率DCavg应为“低、中”;CCF应为“符合”。

其次，紧急停止功能应符合ISO 13850的0类断电的要求，即通过切断所有危险运动部件制动器的电源来实现紧急停止。

图4为紧急停止安全回路示例[2]，其中S1、S2、S3是三个急停按钮，K1是安全继电器，K2、K3是接触器。急停按钮为输入装置，安全继电器为安全逻辑控制器，两个冗余的接触器为输出装置。每个急停按钮有两个触点，急停信号被冗余地读入安全继电器K1以进行故障检测（如断线检测）。安全继电器具有强制导向结构，在发生触点熔结现象时也能确保安全。安全继电器可以保障在紧急停止命令解除时，机器不能再启动，必须进行故障复位才可以重新得电。接触器K2和K3也通过机械连接的触点，在安全继电器K1中进行监控。K2或K3中任何一个出现故障，电机的动力电源都会被立刻切断。K2和K3构成了冗余，保证了电机的危险电源可以被可靠切断。

确定了电路结构后，还要选择元器件，确定平均危险失效时间MTTFd、平均诊断覆盖率DCavg、共因失效等參数，进而评估紧急停止功能所达到的性能等级PL。

元件选择：

-急停按钮S1、S2和S3符合IEC 60947-5-1附录K要求，急停装置符合EN ISO 13850标准;

-安全继电器K1可以满足Cat.4和PL e的要求;

-K2和K3具有符合IEC 60947-5-1附录L要求的机械连杆触点。

平均危险失效时间MTTFd：

-急停按钮S1、S2和S3，故障排除适用于强制断开触点和机械设备;

-安全继电器K1符合PL e，MTTFd值250年;

-接触器K2和K3：根据制造商提供的数据，其B10为1000000。假定其中50%为危险失效，其B10d应为2000000。假定1年工作240天，每天工作12小时，每周期28秒，经计算，其MTTFd应为54年;

-系统MTTFd应为“中”。

平均诊断覆盖率DCavg：

-急停按钮S1、S2和S3使用了强制断开触点，其诊断覆盖率可达99%;

-安全继电器的诊断覆盖率可达99%;

-基于安全继电器K1的测试，接触器K2和K3的诊断覆盖率可以达到90%;

-整个系统的诊断覆盖率为“中”。

共因失效：对系统共因失效的措施打分（共70分）：分离（15分），经过验证的元件（5分），过压保护等（15分）和环境条件（35分），对系统共因失效采取的措施符合要求（大于65分）。

依据图2，该急停安全回路可以达到的性能等级为PL=d，满足PLr=d的要求。

结语

近年来，我国工业机器人市场迅速增长，销量增速屡创历史新高，自2013年起年销量连续5年位居世界首位，我国服务机器人厂家如雨后春笋般涌现。在机器人市场迅猛发展的形势下，功能安全问题显得尤为重要，需加速开展机器人及系统的功能安全检测认证工作，规范国内机器人市场，提高机器人产品质量与安全，切实保障人身和财产安全。

参考资料

[1]史学玲.微信公众号文章《从埃塞航坠机看智能化系统功能安全的重要性》

[2] Michael Hauke and et.al. BGIA Report 2/2008e Functional safety of machine controls - Application of EN ISO 13849. German Social Accident Insurance （DGUV）.2008：p248.