GB/T38260-2019
服务机器人功能安全评估
Servicerobotfunctionalsafetyassessment
- 中国标准分类号(CCS)J28
- 国际标准分类号(ICS)25.040.30
- 实施日期2020-07-01
- 文件格式PDF
- 文本页数46页
- 文件大小4.02M
以图片形式预览服务机器人功能安全评估
服务机器人功能安全评估
国家标准 GB/T38260一2019 服务机器人功能安全评估 Servieerobotfunectionalsafetyassessment 2019-12-10发布 2020-07-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/T38260一2019 目 次 前言 引言 范围 规范性引用文件 2 3 术语、定义和缩略语 3.1术语和定义 3.2符号及缩略语 功能安全评估要求及流程 4.1要求 4.2功能安全评估流程 危险识别和风险评估 5.1概述 5.2危险识别 5.3风险评估 功能安全管理 6.1目的 0 10 6.2要求 安全相关控制功能规范要求(SRCF 7.1目的 7.2SRCF要求规范 12 7.3SRCS的要求 13 15 安全相关控制系统(SRCS)设计与整合 目的 15 8.1 I -般要求 8.2 i 8.3每种安全功能技术实现的要求 检验和确认 22 2 9.1概述 22 9.2安全要求检验和确认 2" 9.3SRCS确认 3 9.4SRCS系统安全完整性确认 25 附录A规范性附录确定SL 风险图 附录B(规范性附录)服务机器人危害种类 27 附录c规范性附录安全要求 33 38 附录D资料性附录SRCS使用信息 附录E(资料性附录服务机器人功能安全管理相关修改程序及文件要求 39 12 参考文献
GB/38260一2019 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由国家机器人标准化总体组提出并归口
本标准起草单位:上海电器科学研究所(集团)有限公司、上海机器人产业技术研究院有限公司、哈 工大机器人集团有限公司、北京康力优蓝机器人科技有限公司、纳恩博(北京)科技有限公司、重庆德新 机器人检测中心有限公司、深圳中智科创机器人有限公司、北京出人境检验检疫局检验检疫技术中心、 广州艾罗伯特机器人技术咨询有限公司、广东加华美认证有限公司上海分公司、宝时得科技()有限 公司、上海木木机器人技术有限公司、青岛钢铁侠科技有限公司、上海方立数码科技有限公司、浙江乎宝 智能科技有限公司、电子技术标准化研究院、上海添唯认证技术有限公司、上海擎朗智能科技有限 公司、东莞市豪皱电子科技有限公司、上海电器科学研究院、上海电器设备检测所有限公司
本标准主要起草人;沈文婷,邢琳、于振中,刘雪梢、杜超、彭鹏,王智锋、宝暄,黄鸿鸣、苏敏、丁玉才、 鲁博丽、张锐、.张M、贾国强、李通、刘云柱、牛曦杰,胡林,郑军奇,朱晓朋
GB/T38260一2019 引 言 服务机器人主要在非工业环境中为人类提供服务,由于使用环境多样,与人类接触频繁,其安全性 显得尤为重要
服务机器人的安全相关控制系统以下简称SRCS)在实现整个服务机器人安全方面发 挥着重要作用
本标准阐述了GB/T20438系列标准框架内的服务机器人领域的具体应用,采用GB/T15706、 GB/T16855.1和GB/T16855.2中提及的风险评估、机械安全控制系统的设计和确认方法,参考 GB28526和ISO13482中的功能安全规范要求,制定了相关技术内容
本标准为服务机器人设计人员、SRCS的设计和确认人员、控制系统制造商、第三方检测认证机构 等单位使用
本标准为达到服务机器人所需的功能安全等级陈述了相关方法并做出了规定要求
本标准属于C类标准
对于按照C类标准设计和制造的机器,当C类标准中的条款与A类或 B类标准中所述的条款不一致时,优先采用C类标准
服务机器人在提供服务时需要人机互动、协作和互联,当服务机器人的sRCs用作功能安全评估的 -部分时在很多情况下,可以达到降低机器风险的目的
本标准涵盖服务机器人相关的危害,危害情况或危害事件的描述
对于特定的服务机器人.公认的 危害源往往是特定的
危害的数量和类型直接与服务机器人应用的特性、安装复杂度以及人机交互整 合的水平相关
这些危害相关的风险随机器人的使用和本身用途的类型以及安装、编程、操作和维护的 方式而变化
GB/38260一2019 服务机器人功能安全评估 范围 本标准规定了服务机器人控制系统功能安全评估要求及流程、危害识别和风险评估、功能安全管 理、安全相关控制功能(以下简称sRCF)规范要求、SRCcS的要求,SRCs的设计与整合以及检验和确 认,服务机器人自身或以协同方式共同工作的机器人组的危害直接引起的风险的特征等内容
确立了 涉及预期降低直接接近服务机器人或直接使用服务机器人而造成的人身伤害或财产损害的风险的功能 安全等内容
本标准适用于以单独和(或)组合的方式使用的服务机器人相关控制系统的功能安全,以协同方式 共同工作的服务机器人群组的功能安全评估可参照此标准
本标准不适用于需要或要求由其他标准或法规为保护人身免遭危害、财产危害所提出的全部要求(例 如:防护,非电气联锁或非电气控制),电气控制设备自身引起的电气危害(例如;电击,见GB5226.1 注:各类型的服务机器人都需要满足其特殊的要求,以提供充分的安全
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB4943.1信息技术设备安全第1部分;通用要求 GB/T5226.1机械电气安全机械电气设备第1部分;通用技术条件 GB/T15706一2012机械安全设计通则风险评估与风险减小 GB/T15969.3可编程序控制器第3部分:编程语言 GB/T16754机械安全急停设计原则 GB/T16855.1一2018机械安全控制系统有关安全部件第1部分:设计通则 GB:/T16855.2机械安全控制系统安全相关部件第2部分;确认 GB/T20438.32017电气/电子/可编程电子安全相关系统的功能安全第3部分软件要求 GB/T23821 机械安全防止上下肢触及危险区的安全距离 GB285262012机械电气安全安全相关电气、电子和可编程电子控制系统的功能安全 GB/T37242机器人噪声试验方法 通用标准抗扰度要求和限值 GB/T37283服务机器人电磁兼容 GB/T37284服务机器人电磁兼容通用标准发射要求和限值 1sO13482:2014机器人和机器人设备个人护理机器人的安全要求(Robotsandrobotiecde vicesSafetyrequirementsforpersonalcarerobots 1so13857机械安全防止上下肢触及危险区的安全距离(Sletyofmadhimery一sfeydstacsto preventhazard2zonesbeingreachedbyupperandlowerlinbs) EC60529外壳防护等级(IP代码)[DegreesofproteetionprovidedbyenclosuresIPCode 术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件
GB/T38260一2019 3.1.1 服务机器人seyieerobot 除工业自动化应用外,能为人类或设备完成有用任务的机器人
注1工业自动化应用包括(但不限于)制造、检验,包装和装配
注2:用于生产线的关节机器人是工业机器人,而类似的关节机器人用于供餐的就是服务机器人
[GB/T126432013,定义2.101 3.1.2 安全相关控制系统safety-reatedcomtrolystem 其失效可能导致风险立即增加的控制系统
注:SRCS包括由电气、电子、可编程电子控制电路等组成的全部控制系统,其失效可能导致功能安全的降低或 丧失
3.1.3 服务机器人功能安全sericerobotfunectionalsafety 服务机器人控制系统的安全部分,取决于SRCcS的正确功能、其他技术安全相关系统和外部风险降 低设施 注1:改写GB/T20438.4一2017,定义3.1.12
注2仅考虑服务机器人系统中取决于sRCS正确功能的功能安全
注3:IS(O/IEC定义安全为免除不能接受的风险
3.1.4 风险risk 伤害发生概率和伤害发生严重程度的组合
[GB/T157062012,定义3.12] 3.1.5 安全功能saftetyfunetion 其失效会立即造成风险增加的机器功能
[GB/T15706一2012,定义3.30 注GB/T15706一2012中3.28.1一3.28.9给出了保护装置的示例
3.1.6 安全相关控制功能 Aie y-relatedcontrolfunetionm 由具有规定的完整性等级的SRCS执行的控制功能,预期用于保持机器的安全状况或防止风险立 即增加
3.1.7 SRCS诊断功能SRCsdiagnosticfunetion 预期用于检测SRCS故障,并在检测出故障时产生特定输出信息或动作的功能
注;该功能预期用于检测可能导致sRCF危险失效并引发特定故障反应功能
3.1.8 SRCS故障反应功能SRcSfawltreaetionfunetonm 当sRCS范围内的故障被SRCS诊断功能检测出时,所触发的功能
3.1.9 安全完整性等级safetyintegritylevel -种离散的等级,用于规定分配给sRcs的sRCF的安全完整性要求 注1:改写GB/T20438.4一2017,定义3.5.8
注2:有三种可能的等级,SsL4为最高,SL1为最低
GB/38260一2019 3.1.10 每小时危险失效概率probabhilityofdangerousfalureperhour 1小时内危险失效平均概率 注:PFH不应与要求失效概率(PFn)相混淆, 3.1.11 目标失效值targetfailurevalue 预期要达到的PFH,,为满足规定的安全完整性要求 注1;改写GiB/T20438.42017,定义3.5.17
注2目标失效值以每小时危险失效概率的术语定义
3.1.12 failure 平均危险失效时间meantimetodangerous6 预期的危险失效平均时间
3.1.13 诊断覆盖率diagnostieceoverage 进行自动诊断试验操作而导致危险硬件失效概率的降低
注1改写GB/T20438.4一2017,定义3.8.6.
注2;诊断覆盖率(Dxc)可用下列公式计算 DC=习An/Ana 式中: Ann 检测到的危险硬件失效比率; -总的危险硬件失效比率
Awaadl 3.1.14 失效tlwe SRCS,子系统或子系统元素执行要求功能的能力的终止
注1,改写GB/T20438.2017,定义3.6.4;GB/T15706一2012,定义3.34 注2:失效是随机的硬件)或系统的硬件或软件》. 3.1.15 危险失效dangerousfailure 使SRC'S、子系统或子系统元素处于潜在危险或非功能状态的失效
注1,改写GB/T20438.42017,定义3.6.7 注2:潜在是否变成事实取决系统的通道结构,例如:在为提高安全性的多通道系统中,危险硬件失效很少会导致整 体危险或非功能状态
注3:在多通道子系统中,该子系统危险失效概率可能比构成子系统的通道的危险失效率低
而SRCS的危险失效 概率不会比构成sRcs的任何子系统的危险失效概率低(这出自本标准子系统的特别定义). 注4:危险失效通常导致执行SRCF出现失效或潜在失效
3.1.16 安全失效safefailure sRCs,sRCS子系统或sRCs子系统元素不引起潜在的危险失效 注1:改写GB/T20438.4一2017,定义3.6.8
注2,安全失效不会导致执行sRCF出现失效或潜在失效
3.1.17 commoncausefailure 共因失效 -种失效,为一个或多个事件导致的结果,在多通道(冗余结构)子系统中引起两个或多个单独通道 同时失效,从而导致SRCF失效
GB/T38260一2019 注1:改写GB/T20438.4一2017,定义3.6.10
注2;该定义与GB/T15706一2012和IEV191-04-23给出的不同
3.1.18 随机硬件失效randomhardwarefailure 在硬件中,由一种或多种机能下降可能产生的、按随机时间出现的失效
注,改写GB/T20438.4一2017,定义3 3.6.5
3.1.19 系统性失效systematietailure 有确定方式和原因的失效,只能通过修改设计或制造过程操作步骤、文件或其他有关因素予以 消除
[GB/T20438.4一2017,定义3.6.6们] 注1:仅正确维修而不修改通常将不能消除失效原因
注2:通过模拟失效原因可能诱发系统失效
注3包括人为错误的系统失效原因的示例有: -安全要求规范 -硬件设计,制造、安装和/或操作; 软件设计和/或执行
3.1.20 安全相关软件safet-relatelsotware 在安全相关系统中,用于实现SRCF的软件
3.1.21 verification 检验 通过检查(如试验,分析),证实SRCS,其子系统或子系统元素满足有关规范设定的要求 注1:改写GB/T20438.4一2017,定义3.8.l;GB/T21109.1-2007,定义3.2.92. 注2:检验结果应提供证明文档作为客观性凭证
示例 检验活动包括 对输出(各阶段文件)评审,保证符合该阶段的目标,要求,同时考虑该阶段的特定输人 设计评审; -对设计产品进行试验,确保按照其相关规范执行; 在系统的不同部分以逐步方式集成时,要进行整合试验,通过环境试验,确保所有部分以规定的方式协同工作 3.1.22 确认validationm 通过检查(如试验、分析)证实SRCS满足具体应用的功能安全要求
注改写GB/T20438.4一2017,定义3.8.2. 3.1.23 性能等级performaneelevel 在可预期条件下,用于规定sSRP/CS执行安全功能的离散等级 3.1.24 控制系统有关安全部件safety-relatedpartofacontrolsystem 控制系统中响应有关安全输人信号并产生有关安全输出信号的部件
注1:sRP/Cs的组成,以有关安全的输人信号被触发为起始点(例如制动凸轮和位置开关滚轮等),以控制文件的 动力输出(例如;接触器的主触点等)为终止点
注2如果监测系统用于诊断,也可认为它们是sRP/cs.
GB/38260一2019 3.1.25 伤害 harm 直接或间接地对人身的损伤或对人体健康的损害
注:改写GB/T20438,4一2017,定义3.1.1
3.1.26 风险评估riskassesment 风险分析和对风险进行定性、定量评价的全过程 注:改写1SO13482;2014,定义3.8 3.2符号及缩略语 下列缩略语适用于本文件 Cat.;类别(Category cCF;共因失效(Commoncausefailure) DC:诊断覆盖率(Diagnosticconverage) DC.;平均诊断覆盖率(Averagediagnosticconverage) E/E/PES电气/电子/可编程电子系统(Electrieal/Eleetronic/ProgrammableSystem) EMC;电磁兼容性(Electromagneticcompatibility) FB 功能块(Funetionblock) I/O;输人/输出(Input/Output) LVL;有限可变语言(Limitee edvariabilitylanguage) failure MTTFa:平均危险失效时间(Mee eantimetodangerous PFHn;每小时危险失效概率(Probabilityofdangerous hour) flureper PL:性能等级(Performance Ievel PL;所需的性能等级(Requirementofperormancelever integritylevel SRASW:有关安全的应用软件(Security-relatedapplicationssoftware SRCF;安全相关控制功能(Safety-relatedcontrolfunction SRCS;安全相关控制系统(Safety-relatedcontrolsystem SREsw;有关安全的嵌人式软件(Securityrelatedembeddedsoftware) SRP/cS;控制系统有关安全部件(Safetyrelatedpartofacontrolsystenm) SRs;安全相关软件(Safetyrelatedsoftware) 功能安全评估要求及流程 4.1要求 4.1.1为评估服务机器人SRCS是否达到功能安全要求,宜由一个评估组完成并且达成共识,该评估 组应由具备不同学科知识、多种经验和专业技能的专家组成
明确实施项目的评估组组长,按照本标准 开展风险评估工作并在执行过程中全面负责,将评估结果和(或)建议报告给相关人员
根据风险评估 需要的技能和专业知识选择评估组成员
评估组应包括下列人员 -能回答关于机械设计和功能方面技术问题的人员 具备机械操作,调试、保养、维修等实际经验的人员; 了解类机器人产品事故历史的人员; 熟悉有关法规、标准,包括GBT15706一2012以及与所评估机械有关的具体安全问题的人员
GB/T38260一2019 了解人为因素的人员
不同的团队针对相似的情况的分析所形成的详细结果若存在差异,应尽量完善评估组的知识和专 业技能,提高该风险评估结果的可信度
4.1.2应对服务机器人整体安全生命周期、电子/电气/可编程电子系统(E/E/PES)安全生命周期和软 件安全生命周期的所有阶段进行功能安全评估
进行功能安全评估时应考虑在服务机器人整体安全生 命周期,E/E/PES安全生命周期和软件安全生命周期的每一个阶段中开展的活动和获得的输出并判断 其是否满足第5章一第9章内容
4.1.3进行安全评估时应对服务机器人整体安全生命周期,E/E/PES安全生命周期或软件安全生命周 期活动及相关信息和设备(硬件和软件)所涉及的所有人员进行访问 4.1.4功能安全评估应贯穿于服务机器人整体安全生命周期、E/E/PES安全生命周期和软件安全生命 周期,并且可在每个安全生命周期阶段之后或在几个安全生命周期阶段之后开展,条件为在已确定的危 险出现之前能采取一次功能安全评估 4.1.5如果把工具用作服务机器人整体安全生命周期,E/E/PES安全生命周期或软件安全生命周期任 何活动的评价或设计的一部分,这些工具本身应经受功能安全评估
注1:系统、编译器和主机目标系统可作为工具的例子
注2,评价使用这些工具的程度取决于这些工具对E:/E:/PEs安全相关系统功能安全的影响 4.1.6功能安全评估应考虑如下内容 -先前所做的功能安全评估工作(一般包括以前的安全生命周期阶段); -对整体安全生命周期、E/E/PES安全生命周期或软件安全生命周期进一步执行功能安全评估 的计划和战略; 对先前的功能安全评估的建议以及已做更改的程度
4.1.7对于服务机器人整体安全生命周期,E/E/PES安全生命周期或软件安全生命周期不同阶段的功 能安全评估应制定计划并保持一致
4.1.8功能安全评估活动计划应规定 承担功能安全评估的各方; -每次功能安全评估的输出; 功能安全评估的范围(在建立功能安全评估的范围时,有必要规定用作每个评估活动输人的文 档和它们的状态); 所涉及的安全主体 要求的资源; 承担功能安全评估各方的独立水平; 与应用相关的承担功能安全评估各方的能力
4.1.9在进行功能安全评估之前,功能安全评估计划应得到执行功能安全评估的各方和负责正在评估 的安全生命周期各阶段功能安全管理的各方的批准
4.1.10在功能安全评估结束时应做出接受、有条件地接受或不接受的建议 4.1.11承担功能安全评估的各方应能够胜任其工作
4.1.12除非在应用领域的标准中另有说明,进行功能安全评估的人,部门或组织的最低独立水平应符 合表1和表2的规定
表1和表2中的相关内容说明如下 -HR:它所规定的独立水平为规定的后果(表1)或安全完整性等级(表2)而极力推荐的最低等 级
如果使用更低的独立水平则应详细说明不适用HR水平的理由
-NR:它所规定的独立水平对于规定的后果(表1)或安全完整性等级(表2)而言,被认为不够, 并不推荐此等级
如果采用该独立水平则应详细说明其理由
-“/”:不推荐或反对使用的规定独立水平
GB/38260一2019 注1:应用表1之前,参见应用领域中现有的好的做法,以便定义后果的种类
这些后果出现在要求操作时E/E/ PEs安全相关系统的失效事件中 注2在公司内部,可根据公司的机构和专家的情况而定
如要求仙立的人和部门则不得不请某个外部的组织
相 反,如果公司存在熟悉风险评估和安全相关系统应用的内部组织,该组织为独立并且与公司负责开发的主要 组织分开(用管理或用其他资源等方法),则可使用它们自身的资源满足独立组织的要求 注3:对于独立的人、,独立的部门和独立的组织的定义分别参见GB/T20438.4一2017的3.8,.1l、3,8,12和3,8.13
4.1.13在表1和表2中,使用HR'或HR(不能两个都用),取决于特定应用领域的诸多因素,如果可 以使用HR',则HR被认为不需要;如果HR可用,则HR被认为NR(不推荐的)
如果应用领域没 有标准,应详细说明选择HR或HR的理由
选择HR比选择HR'更合适的因素包括: -相同设计的经验不足; 复杂程度很高; 设计新颖度很高; 技术新颖度很高 -设计特征标准化程度不足 4.1.14在表1中,最低独立水平应基于具有最高安全完整性等级的E/E/PE安全相关系统执行的安 全功能
表1执行功能安全评估各方的最低独立水平 后果(见4.1.12的注2) 最低独立水平 B HR HR" NR NR 独立的人 HR HR" NR 独立部门 独立组织 HR HR 见4.l.12的注2) 详细说明见4.l.12包括注)和4.1.13
典型的后果;后果A 较轻的伤害(如功能的暂时丧失);后果B -对一个或多个人的严重的,永久的伤害、 致一人死亡;后果C -致2人以上死亡;后果D 致使10人以上死亡 表2进行功能安全评估各方的最低独立水平 安全完整性等级(sL)" 最低独立水平 HR HR NR NR 独立的人 HR HR" NR 独立部门 独立组织 HR" HR 见4.l.12的注2) 详细说明见4.1.12包括注)、4.l.13和4.1.l4
sl.等级的确认方法见附录A
4.2功能安全评估流程 在进行服务机器人安全相关控制系统功能安全评估过程中,应符合图1所示流程,评估流程的详细
GB/T38260一2019 内容见表3
成立服务机器人 评估小组人员要求 功能安全评估小组 4.1.12 收集信息 危害识别 第5章、附录B 风险评估 第5章、附录A 确定安全要求及措施 附录c 编制功能安全计划 第6章 其他相关系统 外部风险 服务机器人安全相关控制系统 其他技术 降低措施 第7章、第8章 符合评估要求 不符合要求 整体安全确认 返回对应阶段 超过时效 第9章 符合评估要求 不符合评估要求 评估结束 说明;虚框部分的技术内容不在本标准的范围之内
图1服务机器人功能安全评估流程 表3服务机器人功能安全评估流程及概述 流程节点 输出 序号 目的 范围 要求 执行服务机器人 成立服务机器人功能安全相关系 服务机器人功能 服务机器人相关组织结构、组员 4.1.12 功能安全评估统评估,判断被 安全相关系统 信息 分工及工作计划 小组 评估对象是否达 到功能安全要求
GB/38260一2019 表3(续 序号 流程节点 目的 范围 要求 输人 输出 识别服务机器人服务机器人可能 功能描述、应用 危险识别 可能出现的特定出现的所有危第5章及附录B 被识别的危险项 场景,服务对象 的任何危险 险项 对危险项定性、 定量的分析,确 安全相关控制系 定服务机器人安 风险评估 统、其他相关系第5章及附录A被识别的危险项风险评估报告 全相关控制系统 统、外部风险 的安全完整性 等级 保护操作者之外 的人、动物或者 安全相关控制系 安全相关控制系 确定安全要求及其他安全相关物 统、其他相关系附录C 风险评估报告 统的安全要求及 措施 体不受任何伤 统、外部风险 措施 害,确保操作者 的安全 规范服务机器人 安全相关控制系 编制功能安
全 安全相关控制系安全相关控制 第6章 统的安全要求及功能安全计划 计划 统的设计、整合、系统 措施 检验和确认过程 规范服务机器人 功能安全计划 服务机器人安全 安全相关控制功 关于“设计及实 安全相关控制系 第7章,第8章 功能描述,硬件 相关控制系统 能及系统 现”的评估报告 统的设计及实现 及软件实现方案 所有功能安全相 用于功能安全相 设计及实现评估 关控制系统操作 整体安全确认 关控制系统的确 第9章 报告,安全要求检验和确认报告 和维护程序以及 认程序的要求 检验和确认方法 控制要求 设计及实现评估 功能安全评估 评估结束 报告、检验和确 报告 认报告 5 危险识别和风险评估 5.1概述 风险评估均采用GB/T157062012为其提供要求和指导,包括基于危险识别的风险分析,服务机 器人的危险种类见附录B 5.2危险识别 每一个设计过程都应有特定的危险识别,危险识别应能够识别服务机器人中可能出现特定的任何
GB/T38260一2019 危险
附录B包含了一份典型的危险清单,这些危险均为服务机器人可能出现的危险
当然,这一列 表未包含所有的危险可能性,如 服务机器人系统可能因为其特殊设计具有的其他危险; a b) 使用造成的其他危险; e 可预见的误用; d 机器人自主决策可能出现的不可确定性带来的危险 机器人自主决策的不确定性和错误决策 1) 2 知识水平、经验和身体状况不同的用户以及其他接触的人 正常但意外的服务机器人运动 3 ! 预期外的运动
5.3风险评估 风险评估应考虑服务机器人在整个安全生命周期中所处的危险环境,并仔细注意在各种情况下,服 务机器人可能会接触到的与安全有关的物体
风险评估过程见图2. 危险事件的后果 服务机器人 其他技术 外部风险! 允许风险 被控设备 安全相关控 安全相关 风险 降低措施 目标 制系统 系统 危险事件的频率 必要的风险降低 被控设备和被控设备 外部风险降低措施与必要的风险降低 控制系统 匹配的服务机器人安全相关系统 图2服务机器人风险评估过程 在采用所有安全设计和保护措施以后,其他风险对于服务机器人,应被评估并证明它已被降至可接 受的水平
应根据具体情况,设计适当的风险评估方法
应根据该事件进行评估(例如;允许机器人与安全设 备或其他与安全有关的物体接触),评估结果不会造成任何不可接受的风险
如果使用其他方法的风险参数用于风险评估,那么应检验其是否恰当
功能安全管理 6 6.1目的 本章规定了为达到SRCS所要求的功能安全所必需的管理和技术工作
6.2要求 6.2.1起草功能安全计划 对于每个SRCs设计项目都应起草功能安全计划,并形成文档,必要时,应及时更新 该计划应包 括第5章一第9章规定的运行控制程序 10
GB/38260一2019 功能安全计划内容应根据具体情况而定,其中包括: a 项目规模; b) 复杂程度 设计和技术新颖程度; c d)设计特点标准化程度; 如果失效可能的后果
e 起草功能安全计划时应注意 确定第7章 -第9章规定的有关活动 a 描述为满足规定的功能安全要求而采取的方针和策略
b 描述为实现应用软件,开发、集成、检验和确认的功能安全的措施 c 章中规定对执行和检查各项工作负责的人员、部门或者其他单位和资源
d 确定第7章第9 确定或建立相关程序和资源以便记录和维护同SRCS功能安全相关的信息(参见附录D),如: e 危险识别和风险评价的结果; 用于安金相关功能及其安全要求的设备" 2 3 负责维护功能安全的机构; 4)达到和保持功能安全(包括SRCS修改)所需的程序
描述考虑相关机构问题时的配置管理(参见附录E)策略,例如;被授权的人及该机构的内部 f 结构
建立检验计划,应包括: g 1进行检验的细节; 2 执行检验的人员,部门或单位的详细情况并设立相应的负责人; 检验策略和技术的选择; 3 试验设备的选择和使用 检验活动的选择; 5 6 验收准则; 7)用于评估检验结果的方法
h) 建立确认计划,其中包括: 进行确认的细节; 1 22 机器操作有关模式(如正常操作、设置)的确定 参照受检验的SRCS的要求 3 适用于确认的技术策略,例如,分析方法或统计试验 4 5) 验收准则 6)出现失效时采取的行动,以满足验收要求
注,确认计划应指出sRCs及其子系统是否进行常规测试,形式测试和(或)抽样测试
6.2.2实施功能安全计划 实施功能安全计划,应确保立即跟踪,并完满地解决由于下列原因造成的sRCS相关的问题 第7章一第9章规定的活动; 检验活动 确认活动
安全相关控制功能规范要求(sRCr) 7.1目的 本章规定由SRCS执行SRCF的要求
11
GB/T38260一2019 7.2SRCF要求规范 7.2.1概述 7.2.1.1减少风险的措施 依据附录C中提出的风险降低策略,安全功能的任何需要应被确定
因此,应主要采用以下两种 保护措施减少风险 -减少在元件级的故障概率
其目的为减少影响安全功能的故障或失效的可能性
可通过增加 元件可靠性来实现,例如;为了把致命故障或失效减到最少或排除故障(见GB/T16855.2),选 用经检验的零件和(或)应用经检验的安全原则
改善控制系统有关安全部件(SRP/CS)的结构,其目的为避免故障的危害影响
一些故障可 以检测到,而且需要冗余和(或)监测结构
可单独或组合应用这两种措施
对某些技术,通过选择可靠的零件或排除故障可实现风险减少;但 对于其他技术,可能需要冗余和(或)监测系统来实现风险减少
另外,还应考虑共因失效(cCF). 7.2.1.2一般要求 如果被选择的安全功能由SRCcS执行(全部或部分地),那么.应规定相关SRCF
各SRCF规范应包括 功能要求规范(见7.2.3); 安全完整性要求规范(见7.2.4)
上述项目应在安全相关软件(SRs)中形成文件
注1:当非电气设备结合电气手段执行安全功能时,本标准将不考虑应用于非电气设备的目标失效值
电气手段涵 盖了所有依据电气原理操作的装置和系统,包括 -机电装置; 非可编程电子装置; 可编程电子装置 注2:SRS需要按照版本控制,作为配置管理程序的一部分(参见附录E).
安全要求规范应经过检验确保在预期应用中的一致性和完整性
注3:例如:它可以通过检验、分析、核对表获得
参见GB/T20438.7一2017中B.2.6
7.2.2可用信息 应使用下列信息制定各sRCF功能要求规范和安全完整性要求规范 服务机器人风险评价结果应包括针对各种特定危害的风险降低过程所必需的所有安全功能
服务机器人操作特性,包括 操作模式 循环时间; 响应时间性能 环境条件; 人机交互(例如;指令识别语音,表情、触摸屏、肢体手势等) 维护(例如清洁、维修等 -所有和SRCF相关的信息,都可能影响SRCS的设计,例如 sSRCF预期实现或防止的机器行为的描述; SRCF之间以及SRCF与任何其他功能(无论机器内外)之间的所有界面; 12
GB/38260一2019 SRCF要求的故障反应功能
注:在开始SRCS重复设计过程前,有些信息可能不可用或未被充分定义,故在设计过程中,可能要求更新SRCS安 全要求规范
7.2.3sRCr功能要求规范 SRCF功能要求规范应描述各个需要执行的SRCF的细节,包括 7.2.3.1 SRCF应激活或禁用的机器条件(例如;操作模式); 可能同时激活,但会造成冲突动作的那些功能之间的优先权 各SRCF的工作频率; 各SRCF要求的响应时间 -SRCF同其他机器功能之间的接口; -要求的响应时间(例如输人、输出装置); 各sRCF的描述 故障反应功能以及机器重新启动或继续运转等操作的各种限制的描述,以防初始故障即导致 机器停止运行; -工作环境描述(例如:温度、湿度、灰尘化学物质、机械振动和冲击) 试验以及各种相关设施(例如;试验设备,试验接人端口); 预期用于sRCF机电装置的操作循环周期、工作循环周期和(或)使用类别
7.2.3.2计划用于电磁环境的sRCs(例如;住宅)应符合GB/T37283的要求
7.2.4sRC的安全完整性要求规范 7.2.4.1每个sRCF的安全完整性要求应来自风险评估,以确保达到必要的风险降低
本标准安全完 整性要求表示为SRCF每小时危害失效概率的目标失效值
7.2.4.2每个SRCF的安全完整性要求应按照GB28526依照SIL
规定并形成文档
方法实例见附录A
当要求的SRCF安全完整性低于SIL1时,应符合GB/T16855.1最低要求的B类 7.2.4.3如果产品标准为SRCF规定了sSIL,该规定应优先于附录A
7.3sRCs的要求 7.3.1要求的安全性能 通过控制系统执行保护措施的安全性能应符合本章要求
服务机器人控制系统功能的性能等级 PL)要求或安全完整性等级(SIL)要求应通过8.3.1或5.3确定,并应符合GB/T16855.1的要求
该 过程应包含检验和确认
7.3.2机器人停止功能 服务机器人遇到障碍物、人等,应具备停止或绕开功能;制动性能(减速)满足安全要求,不会产生对 障碍物、人等造成伤害的撞击或发生其他危害
机器人在设计时,应考虑安全停止,确保在任意速度下的故意刹车,不会发生翻车、失控或者机器人 零件和载荷的落下等产生危险的情形
停止状态可以根据服务机器人类型而变化,因此机器人的停止 状态由服务机器人制造商决定
7.3.3操作空间的限制 可通过操作空间的限制实现风险降低,包括 -限制服务机器人在限定范围内运动;或 13
GB/T38260一2019 -防止机器人进人该限制空间
如果通过软件限制能够实现服务机器人在额定负载和速度下停止,允许使用该手段定义和减少限 制空间
产品不同行为对空间的要求需在用户使用说明或其他途径进行明确
7.3.4安全相关的速度控制 通过风险评估确定服务机器人速度的限值,超过该限值服务机器人可能产生的危害
速度可以通 过计算服务机器人可触及运动部件的代表位置点的速度确定
只有经授权人员允许才能调整最大 速度
根据服务机器人执行任务的不同,可以设定不同的速度限值
改变速度限值应基于风险评估 服务机器人的速度应确保其运动部件的速度不会超过安全相关的速度要求
对安全相关的环境感知应符合IsO13482:2014中的6.1,执行这个功能时,应避免危害碰撞,包括 人.,动物以及安全相关的物件
7.3.5稳定性控制 服务机器人应在所有预期和合理可预见的使用情况下保持稳定,稳定性功能发全性能应符合 ISO13482:2014中的6.1
7.3.6安全相关的力的控制 服务机器人的任何部件,对人或其他与安全有关的物体施加的力,应在最大安全接触力限制范围之 内加以控制
对最大安全接触力或者扭矩的定量要求应通过符合人体工程学的实验仔细检查确认
7.3.7机器人急停 在任何情况下,急停功能都应为可用和可操作的,在服务机器人的各种运行模式中,该功能应优先 于所有其他功能,并且不应削弱为解脱陷人危险人员而设计的任何便利性
急停功能不应用于代替安全防护措施和其他安全功能,而宜设计作为一种补充防护措施 根据风险评估,急停功能的设计应使得在急停装置动作后,以合适的方式停止服务机器人的危险运 行和操作,而不产生附加风险,并且无需任何人的进一步干预
合适的方式可包括: 选择最合适的减速率; 应用预定的停机顺序
急停功能的设计应符合服务机器人操作者做出使用急停装置的决定时,无需考虑急停产生的后果
7.3.8用户界面的设计 当控制设备(例如:操纵杆、操作控制面板、语音和手势识别系统以及其他设备)被用于控制服务机 器人时,它们在操作过程中应具有适当的可靠性
该命令装置固定或不固定在服务机器人上,其对机器人的电气连接应不会造成危险
在手动和半自主机器人控制模式中,命令设备应提供单独或组合的机器人功能控制
7.3.9运行模式 服务机器人应被设计成在一个特定的模式下进行操作,如果风险评估显示自动/手动两种模式之间 的切换存在潜在的危害,那么机器人将在模式改变之前立即执行停止功能
该模式不应自行切换或造 成其他危害
对于所有运行模式,应明确哪些安全功能可用,哪些禁用
14
GB/38260一2019 服务机器人的运行模式包括;自主模式、手动模式、半自主模式和维护模式
7.3.10手动控制设备 在手动控制机器人实现相关部件启动或动作时,服务机器人应设计有醒目的手动控制装置和操作 界面
7.3.11其他 以上未提及的服务机器人SRCS的要求,但在进行风险评估中被确认需要执行的SRCs的要求,应 根据生产厂商或使用者的具体需求设计实现
安全相关控制系统(SRCs)设计与整合 8.1目的 SRCS设计或选择要求,以满足安全要求规范中规定的功能和安全完整性要求
8.2 -般要求 按GB/T16855.1的规定,服务机器人SRCS的选择或设计(包括总体硬件、软件体系结构、传感 器、执行元件、可编程电子器件、嵌人式软件,应用软件等)均应符合下列要求: 识别SRCS执行的每种安全功能所需要的PL,见附录A
a b 每种安全功能技术实现的要求 1) 硬件系统要求; 22 软件系统要求; 33 系统确认
在设计和集成时,应考虑可维护性和可测试性,以便执行SRCS的这些特性
SRCS设计,包 括诊断和故障反应功能,应形成文件,文件应 l)精确、完整、简明; 22 适合预期目的; 33 可存取、可维护; 4)版本可以控制
d 在SRCS设计、开发和执行期间,执行的工作结果应在适当阶段验证
8.3每种安全功能技术实现的要求 8.3.1硬件要求(性能等级 服务机器人执行安全相关控制系统中安全相关功能的技术为液压、机电、可编程电子等,服务机器 人SRRCS的有关安全部件完成安全功能的能力通过确定PL表示
对于所选的完成安全功能的每个 SRCs和(或)SRCS的组合,都应完成其PL的估计
应通过估计以下参数确定SRP/CS的PL 单个元件MTTF
的值; DC; cCF; 结构; -安全功能在故障条件下的性能 15
GB/T38260一2019 有关安全的软件; 系统性失效; 预期环境条件下,完成安全功能的能力
图3给出了与每个通道的MTTFa组合的类别以及为了达到安全功能要求的PL的DC的选择
对于PL的估计,图3给出了与C一起的类别(水平轴)和每个通道的MTTFa柱形图)
图中 的阴影代表了每个通道的MTTF
的3个范围低、中、高),它可选择用于达到要求的PL
使用图3中的简单方法应确定SRCS的类别以及每个通道的C和MTTFa
对于类别2,类别3和类别4,应采用足以防止共因失效的措施
考虑到这些参数,图3提供了确定由SRCS实现的PL.的方法图解
类别(包括共因失效)和DC 的组合确定选择图3中的那一列
根据每个通道的MTTF,应选出有关直方柱的3个不同阴影区域中 的 这些区域的纵向位置确定能在竖轴上读出的要求的PL,如果该区域有两种或三种可能的PL,表4 中给出了所达到的PL
数字更精确的PL的选择取决于每个通道MTTF
的精确值
Cat.BCat.1 Cat.2 Cat.3 Cat.2 Cat.3 Cat.4 DC无DC无DC低DC中Dc低DC中DcC高 说明: 性能等级 P 每个通道的MTF=低 -每个通道的MTTF=中; -每个逍道的MTTFd=高
图3PL和每个通道的类别、DC和MTF
的关系 表4估计由sRCs达到的PL的简单程序 类别 无 中 高 C 无 低 中 低 每个通道的MTTF 不包括 不包括 中 不包括 不包括 高 16
GB/38260一2019 对于复杂电子,服务机器人SRCS可按GB28526一2012中的第6章,确定性能等级所对应的安全 完整性等级
8.3.2软件要求 8.3.2.1一般要求 有关SRCS的嵌人式软件或应用软件的所有生命周期内的活动,应主要考虑避免软件生命周期内 出现的故障(见图4)
以下要求的主要目标为易读、易理解、可测试及可维护的软件
经确认 安全功 能规花 的软件 有关安全软件的 确认 规范 综合测试 系统统计 模块设计 模块测试 结果 编码 确认 图4软件安全生命周期的简单V模型 8.3.2.2有关安全的嵌入式软件(SRESw 对于用于PL为ad的元件的SRESw,应采用以下基本方法 对软件安全生命周期内的活动进行检验和确认,见图4; 对技术规范和设计进行归档 模块化和结构化设计和编码; 系统性失效的控制 使用基于软件方法用于诊断随机的硬件失效时,正确执行的检验; 功能测试,例如:黑盒子测试; 修改后,合适的软件安全生命周期内的活动
对于用于PL为c或d的零件的SRESw,应采用以下附加方法: 满足一定的计划管理和质量管理系统的要求; 对软件安全生命周期内所有的相关活动进行归档; 用以识别所有的结构项目和与sRESw有关的释放文件的结构管理; 符合安全要求和设计的结构规范 -使用合适的编程语言和便于使用的基于计算机的工具 一模块化和结构化编程,区别于非有关安全软件、具有充分定义接口的受限模块大小,采用设计 和编码标准; 17
GB/T38260一2019 用控制流程分析,通过遍查/复查来验证编码; -扩展的功能测试,例如;灰盒子测试、性能测试或仿真 -冲击分析以及修改后软件安全周期内适当的活动
对于PL,=e的元件,SRESw应符合GB/T20438.32017中第7章的要求
在规范、设计和编码 中采用多性时,对于用在类别3或类别4的SRP/Cs中的两个通道,可用上述用于PL为c或PL为d 的方法达到PL=e
注1这类方法的具体描述参见GB/T20438.7 注2:对于在设计和编码中具有多样性的SRESw,类别3或类别4的SRCS使用的零件,通过只考虑结构方面代替 每行编码的检查来复查软件局部等方法可减小采取措施避免系统性失效这方面的努力
8.3.2.3有关安全的应用软件(SRASw 软件安全生命周期(见图4)适用于SRAsw
满足以下要求并且以LVL编写的SRAsw,可使PL达到ae
如果在一个元件中的SRAsw的 -部分影响到几种PL不同的安全功能,则应采用与最高PL有关的安全要求
用于PL
为ae的零 件的sSRAsw,应采用以下基本措施: -对开发周期进行检查和确认,见图4; -对技术规范和设计进行归档 模块化和结构化编程; 功能性测试; 修改后适当的开发 对用于PL为ce的元件的SRASw,应采用或推荐采用以下提高效率的附加措施(较低效率用 于PL,为c,中等效率用于PL为d,较高效率用于PL为e): 应复查有关安全软件的技术规范使生命周期内涉及的所有人员可得到该规范,且应包括以下 a 内容的描述: 具有要求的PL的安全功能以及相关的工作模式; 1 性能准则,例如;反应时间; 2 3 具有外部信号界面的硬件结构 ! 外部失效的探测和控制
b 工具、库和语言应选择: 可放心使用的合适工具:对于达到PL=e的一个元件及其工具,该工具应符合适当的安 全标准;如果使用了带有不同的工具的两种不同零件,则可放心使用
采用的技术特征应 能检测可导致系统性错误(例如数据类型不匹配意义不明确的动态存储地址、不完善的 命令界面,递归指针算法等)的条件
检查宜主要在编译时间内不能仅在运行时间内进 行
工具宜加强语言子集和编码指南,或者至少督促或引导开发者使用它们
只要合理可行,宜采用经确认的功能模块(FB)库一工具制造商提供的有关安全的功能模 块(FB)库(PL=e),或符合本标准且用途已被确认的详细功能模块(FB)库
宜采用合理的适用于模块化方法的LV1子集,可包括GB/T15969.3中认可的语言子 集
强烈推荐采用图示语言(例如;功能模块图、梯形图 软件设计的特征应为: 半正式的方法描述数据和控制流,例如:状态图或程序流程图; 1 2 主要由源自有关安全的经确认的功能模块库的功能模块实现模块化和结构化设计 限制了编码大小的功能模块 3 ! 编码在功能模块内执行,功能模块宜有一个人口和一个出口点; 18
GB/38260一2019 55 三个阶段的结构模型,输人-一处理-输出见图5); 三 6 在唯一一个程序位置安全输出的安排; 77 使用用于检测外部失效的技术和用于在输人、处理和输出模块内置于安全状态的预防性 编程技术
输入 处理 输出 输入模块 处理模块 输出模块 通过安全输入得 实现导致安全状 通过安全输出控 到各种安全传感 态的安全功能所 制执行器 器的信息 需的处理 图5软件的一般结构模型 d当sSRASW和非SRAsw组合在一个元件中时 SRAsw和非sRASw应在与有明确定义的数据链接的不同FB中编码 22 不应存在非有关安全数据和有关安全数据的逻辑组合,因为这可导致有关安全信号的完 整性下降
例如:结构控制有关安全信号的地方采用逻辑“非”组合有关安全和非有关安 全的信号
软件执行/编码 e 1)代码宜易读、易懂及可测试,为此宜使用符号变量(代替显式硬件地址) 22) 应使用合理的或公认的编码指南; 宜使用应用层(预防性编程)可用的数据完整性和真实性检查(例如范围检查) 3 4 代码宜接受仿真测试; 5 PL=d或PL=e时,宜通过控制和数据流分析检验
测试 f l)合适的确认方法为功能性行为和性能准则例如;时序性能)的黑盒子测试; PL=d或PL=e时,推荐由分析边界值开始进行试验; 2 宜制定试验计划且宜包括具有完成准则和所需工具的试验用例 3 4)I/0测试应保证在SRAsw内正确使用有关安全信号
g 文件 应对所有生命周期和修改活动进行归档 1 2)文件应完整,可用、易读和易懂 源程序正文中的代码文档应包括具有合法实体的模块标题,功能和1I/0描述,版本和所 3 使用的库丽数模块的版本,以及网络/声明及公告中足够的注释
验证;如复查、检查、遍查或其他的合适活动 h) 结构管理:宜建立程序和数据的备份,以识别和归档文件、软件模型、验证/确认结果以及与 SRASw具体版本有关的工具结构
修改sRAsw后,应进行影响分析以保证规范性
修改后应执行合适的生命周期内的话动
) 应控制修改访问权限且应归档修改历史
注,修改不影响已在使用的系统 验证仅针对专用代码,对于经验证的库函数则不必重复验证
k 8.3.2.4 基于软件的参数化 应考虑把基于软件的有关各参数进行参数化,作为软件安全要求规范中要描述的SRCS设计的- 19
GB/T38260一2019 个方面
采用SRCS供应商提供的专门软件工具进行参数化
该工具应有自己的标识(名称,版本等》 且防止未经授权的修改,例如;采用密码
应保持所有用于参数化的数据的完整性
这应通过采取措施控制以下方面来达到 -控制有输人的范围; 传输前控制数据损坏; 从 参数传输进程中控制错误的影响; 控制完整参数传输的影响;或 -控制参数化所用工具的硬件和软件故障和失效的影响
参数化工具应符合对SRCS的所有要求,可使用特别的程序设定有关安全参数
该程序应包括通 过以下两种方式之一确认SRP/CS的输人参数: -修改后的参数重新发送至参数工具;或 确认参数完整性的其他合适方式
包括随后的确认,例如;通过合适的技术熟练人员确认,通过参数化工具自动检查的方式确认等
注1:当使用不是专门预定用于该目的的装置进行参数化时,这一点尤其重要例如;个人电脑或相当的装置 在传输/转发过程中,用于编码/译码的软件模块以及用户用于有关安全参数可视化的软件模块,应 至少在功能方面采用多样性以避免系统性失效 注2;基于软件参数化的文件 1文件显示所使用的数据(例如;预定义的参数集),用于识别与sRCS有关的参数所必需的 信息,完成参数化的人员以及其他相关信息例如;参数化日期
注3,对基于参数化的软件进行以下的检验 -检验每个有关安全参数的正确设置(最小值、最大值和典型值); 检验有关安全参数是否进行了合理性检查,例如;使用无效值等; -检验是否防止了有关安全参数未经授权的修改 检验用于参数化的数据/信号的产生和处理是否能够保证不导致安全功能丧失
8.3.3系统确认 8.3.3.1概述 确认SRCS有关安全部件提供的安全功能是否符合其规定特性,根据技术规范要求,确认与安全相 关的输出信号的正确性,以及与输人信号的逻辑相关性
应确认8.3.3.28.3.3.9的试验项目
8.3.3.2有关安全停止功能 有关安全的停止功能(例如;由安全防护装置触发)制动后,一旦有必要,应使机器进人安全状态 这种停止功能应优先于由操作原因引起的停止
服务机器人一般包含速度控制、超速停止功能、避障停止功能,触碰开关停止功能、紧急停止功能 导航绕行功能等紧急停止功能测试,具体测试方法如下: 速度测试:在平坦、干燥的水泥路面上、室内平整的地面上进行,在手动/自动控制模式下,使机 a 器人以正常速度,最大速度运行,测试机器人的正常速度与最大速度
超速测试;使机器人以超过最高运行速度的情况下,测试机器人是否会停止运行
b 避障停止功能测试;在手动/自动控制模式下,避障停止功能测试为服务机器人在直线轨迹上 以规定速度自动运行,通过障碍物触发避障传感器激光/超声波等),引起服务机器人保护性 停止,测试从停止位置到障碍物位置的距离
d 触碰开关功能测试:在手动/自动控制模式下,触碰开关停止功能测试为规定速度运行的服务 机器人,在直线轨迹上预先标志的地点按下触碰开关按钮后,机器人应紧急停止,并保持停止 状态直至系统重启
20
GB/38260一2019 紧急停止功能测试;根据GB/T16855.1一2018中表8的规定,急停功能应按附加要求中 e GB/T16754规定检测,急停功能在任何时间都应可用和可操作,在机器的各种运行模式中, 该功能应优先于所有其他功能,并且不应削弱为解脱陷人危险人员而设计的任何便利性
直 到急停功能手动复位以前,任何启动指令(预定的、非预定的或意外的)对由于急停功能的作用 而停止的那些操作应无效
导航和绕行功能测试: 导航功能测试,导航功能为机器人导航运动模块依靠定位摄像头/激光传感器底盘轨迹 推算提供的信息,通过避障传感器等感知周围障碍物,通过应用端获取导航运动或者舞蹈 运动任务,并依靠路径规划模块、舞蹈解析模块等子系统实现有加减速限制的机器人自主 运动; 绕行功能测试,通过在机器人运行轨迹上设置障碍物,触发机器人避障传感器避障功能 从而激发机器人的导航模块自动修正行驶轨迹,并实施绕行的机器人功能测试
8.3.3.3手动复位功能 防护装置发出停止指令后,停止状态应保持到有安全重启状态为止,通过复位防护装置,解除停止 指令,再重新恢复安全功能
手动复位功能应: 通过SRCS内的一个独立的手动操作装置提供; 只有所有安全功能和防护装置处于工作状态时才能实现复位; 自身不能引起移动或危险状态; 谨慎操作; -使控制系统能接受独立的启动指令 只有制动器从其接通(on)位置脱开才能完成
提供手动复位功能的有关安全部件PL的选择,应使得手动复位功能不削弱相关安全功能的安全 要求
8.3.3.4启动/重启功能 只有危险状态不可能存在的情况下,重启功能才能自动发生
启动和重启的规定也适用于能够遥控的服务机器人
8.3.3.5局部控制功能 当服务机器人通过诸如便携式控制装置或悬吊式操纵装置进行局部控制时,应符合以下要求 -选用的局部控制应位于危险区之外 -局部控制应只有在风险评价定义的区域才有可能触发危险状态 局部控制和主要控制之间的切换不应产生危险状态
8.3.3.6抑制功能 抑制功能不应导致任何人暴露于危险状况下
抑制期间安全环境应由其他方式提供
抑制结束时,sRcS的所有安全功能都应恢复 提供抑制功能的有关安全部件的PL的选择应使得抑制功能不会削弱有关安全功能必需的安全 水平
8.3.3.7响应时间 SRCS的响应时间为机器全部响应时间的一部分
必需的机器全部响应时间能够影响有关安全部 21
GB/T38260一2019 件的设计,测试方法为按压机器人急停按钮或者触发机器人避障系统,测试机器人SRRCS停止运动所需 的时间
8.3.3.8有关安全的安全参数 当有关安全参数(例如:位置、速度、温度或压力等)偏离了当前的限制时,则控制系统应启动相应的 措施例如;启动停止功能、警告信号、警报等)
如果SRCS中有关安全数据手动输人错误能够导致危险状态,那么应在SRP/CS中提供数据检查 系统,例如极限值、格式化和(或)逻辑输人值的检查
8.3.3.9能量源的波动、损失和恢复 当能量级的波动超出了设计工作范围时包括能量供应损失),SRCS应连续提供或触发能使机器 系统其他部件保持安全状态的输出信号
检验和确认 9.1概述 在降低风险的过程中,所有与机器人安全有关的服务机器人性能值都应检验,包括在附录c中提 到的有关控制系统需要的性能
所有安全要求均应根据其相关检验标准进行检验检验和检验方法的详细信息如下 A检查;检查服务机器人或设备结构的状况,使用人类的感官而不需要任何专门的检查设备; 当机器人不在操作时,检查通常在视觉或声学上进行的 B实际测试;在正常和异常情况下测试服务机器人或其设备;功能测试(如故障注人测试)、循 环测试(如耐力测试),性能测试(如刹车性能测试); C测量;将服务机器人的性能的真实值与特定的极限值进行比较; D在操作过程中观察:(如方法A)在正常和异常情况下检查服务机器人或设备的功能,如额定 载荷,过载情况和影响条件 E检查电路图:通过结构或电路图的设计(如电气、气动、液压)和相关规范检查; 软件检查;结构化检查,或通过软件代码的设计和相关的规范(代码检查或测试软件代码应 该遵循的); G审查任务风险评估;结构审查或通过风险分析、风险评估和相关文件; H检查布局图纸及相关文件;结构回顾或浏览布局设计图纸和相关文件
9.2安全要求检验和确认 安全要求检验和确认方法标准如表5所示,其中A,B,C,D,E、F,G、H代表的含义见9.1
表5危害项的安全要求检验和确认方法标准 序号 危害项 检验和确认 充电电池有关的危害 A、B,C,E、H 能量存储和供应的危害 A,B.c,E,H 系统启动和重新启动 B.,D,F B,c,E 静电势 22
GB/38260一2019 表5(续 序号 危害项 检验和确认 机器人形状 A、C,G、H C 噪声 ID 电磁兼容 B,C、D A,C、,D,H 对身心健康的影响 机器人运动可能造成的危害 C,D,F,G 10 耐久性不足造成的危害 B,D,E、H 周围环境的影响 B,C、,D,F、H 不正确的自主决策和行为造成的危害 12 B,C、,D、F、,G 与运动部件接触造成的危害 A.,B.H 13 14 B、D、F.G 使用者对机器人缺乏认识 15 定位和导航方式 B、F,G 9.3SRCS确认 9.3.1 目的 用于sRCS的确认程序的要求,包括;检查和SRCS测试,以保证达到安全要求规范中陈述的要求
sRcs确认可形成适用于服务机器人设计的确认活动的一部分 -般要求 9.3.2 9.3.2.1应按照预定计划执行sRCs确认 注1;有些情况,安全确认只能在安装后才能完成(例如;应用软件开发在安装后才能确定》. 注2;可编程序的SRCS确认由硬件、软件要求确认组成
软件确认要求包括在8.3,.2中 9.3.2.2SRCS要求规范(见7.2)中规定的各SRCF、所有SRCSs操作和维护程序应通过试验和(或)分 析进行确认
9.3.2.3SRCS安全确认的测试应形成恰当文档,对各SRCF应有下列陈述 安全确认计划使用的SRCS版本和试验的SRCS版本; a b)在SRCF试验(或分析)中,在SRCS安全确认计划期间具体涉及规定的要求: 使用的工具和设备连同校准数据; c 每次试验结果; d 期望结果和实际结果的差异
e 9.3.2.4产生差异时,必要时应进行纠正活动和重新测试,并形成文件
g.4SRCS系统安全完整性确认 针对服务机器人控制系统的复杂程度,若为复杂电子设计,同时需达到PL=d时,可使用GB28526 2012相关设计要求,具体内容见GB28526一2012第6章,同时需满足以下内容 在规范,设计和集成阶段暴露失效的功能测试,和在SRCS软件/硬件的确认期间应采用避免 a 失效的功能测试
包括检验(例如;通过检查或试验)以评估SRCS是否受到保护,防止有害环 境的影响,并应符合安全要求规范
23
GB/T38260一2019 b 干扰抗扰度测试用以保证SRCS能够满足电磁兼容相关要求
对于SRECS子系统或子系统 元件不必执行电磁干扰的抗扰度测试,SRCs对它的预期应用有足够的抗扰度,通过分析可以 表现出来
要求的安全失效系数(Safefailureraection)大于或等于90%时应执行故障插人测试,这些试 验应在SRCS硬件中引人或模拟故障,结果应形成文件
此外,下列一个或多个考虑SRCS的复杂性和指定的SIL的分析技术组应适用: 静态分析和失效分析; a b)静态,动态分析和失效分析; c 模拟和失效分析
此外,下列一个或多个考虑SRCS的复杂性和指定的SIL的测试技术组应适用 黑盒测试:在实际功能状态下的动态行为试验,从而暴露失效,满足SRCS功能规范,并评定 a SRCS的有效性和鲁棒性; 如果安全失效系数小于90%应执行故障插人(注人)测试
这些试验应在sRCs硬件中引人 b 或模拟放障,其结果形成文件; 应执行“最坏情况”测试,以评定用分析技术指定的极端《即最坏)情况 c 现场试验;使用来自不同应用的现场经验作为一种措施,以避免sR(cs确认期间出现故障 d 214
GB/38260一2019 附录 A 规范性附录 确定SIL -风险图 -般要求 A.1 本附录描述了一种风险图方法,目的为说明一般原理
这种定性方法可以通过对与受控设备和受 控设备控制系统有关的风险因素的了解确定服务机器人SRCS的SIL
当风险模型符合表A.1中说明 的内容时,这种方法尤为有效
当采用定性方法时,为了简化问题,引用一些参数共同描述当服务机器人SRCs失效或不可用时危 险情况的性质
选择合适的参数,将这些参数结合起描述分配到SRCS的SIL
这些参数 允许对产生的风险进行合理的分级 包括关键风险评估因素
A.2危险事件分类 危险事件可参照附录B提供的示例,根据使用环境、实现功能、使用人群等不同,服务机器人可能 产生的危险事件会有所变化,不局限于附录B所提供的内容,需与被测对象的生产商、使用者等共同 确认
通过对危险事件的不同参数分类及组合,可获得服务机器人SRCS的SIL
对以下参数进行危险 事件分类,具体内容见表B.1: 危险事件的后果严重性s;严重程度由低至高,分别为s1,S2,S3; 发生危险的概率P;由低至高,分别为P1、P2; 危险事件的可控性C;可控程度由低至高,分别为C1.C2
表A.1风险评估相关参数表 风险参数 分类 备注 S 小碰擦 危险事件的后果 对于S1,S2,S3的解释,应考虑意外的 造成局部伤害(如骨折等) S2 严重性 后果和正常康复 S3 造成严重伤害(如死亡等) P 低概率(小于或等于1次/天 发生危险的概率 在连续运行的情况下发生危险的概率 P2 高概率(大于或等于2次/天 C1 正常控制 正常控制;通过控制系统或急停等装置 危险事件的可控性 能够控制危险事件的进行 异常控制不可控 A.3风险图实现 风险图实现见图A.1
25
GB/T38260一2019 SI P NA P2 SIL1 P1 S2 SL2 P2 C2 SIL3 PI -2 NA NA 说明;R表示风险等级,通过0~7表示风险的由低至高,NA表示不适用
图A.1风险图 26
服务机器人功能安全评估GB/T38260-2019
什么是服务机器人?
服务机器人的功能安全评估
GB/T38260-2019标准介绍
GB/T38260-2019的重要性
结论
服务机器人是一种具有人工智能和自主决策能力的机器人,可以为人类提供各种服务。例如,在医院里,服务机器人可以帮助医生护士做繁琐的工作,比如输液、搬运物品等。在酒店里,服务机器人可以为客人提供接待、送餐、清洁等服务。服务机器人已经广泛应用于医疗、旅游、餐饮、金融等领域。
服务机器人的功能安全评估是指对服务机器人的所有功能进行安全性评估,以确保其不会对人类造成伤害或危险。在评估过程中需要考虑到机器人的各种情况,包括但不限于碰撞、摔落、电击等。为了确保评估的准确性和有效性,需要遵循一定的标准。
GB/T38260-2019是中国制定的服务机器人功能安全评估标准,该标准主要针对服务机器人的安全性进行评估,并规定了对服务机器人的所有功能都需要进行评估。在评估过程中,需要考虑到机器人的使用场景、特殊需求等因素,以确保评估的准确性和有效性。
GB/T38260-2019的颁布实施,将有助于推动服务机器人产业的发展。首先,通过对服务机器人的功能安全评估,可以提高机器人的安全性能,降低安全事故的发生率,增强用户对服务机器人的信任度。其次,标准化的评估流程和方法可以提高评估的效率和准确性,同时也可以促进服务机器人产业的发展,推动服务机器人技术的不断创新。
服务机器人是一种具有广阔应用前景的机器人,但其安全性问题也需要引起重视。GB/T38260-2019标准的颁布实施为服务机器人的功能安全评估提供了标准化的流程和方法,有助于提高服务机器人的安全性能,加速服务机器人产业的发展。
