謝志利 裴廣福 魏明然

1.中國標(biāo)準(zhǔn)化研究院，缺陷產(chǎn)品管理中心 北京 100101；

2.中家院（北京）檢測認(rèn)證有限公司 北京 100176

1 引言

隨著生活水平的提高，人們對生活品質(zhì)的要求也在逐漸提高。高智能全自動服務(wù)機(jī)器人逐漸走進(jìn)了人們的生活中，而家庭掃地機(jī)器人則成為高智能全自動服務(wù)機(jī)器人的一個重要的組成部分，使得人工智能自動清潔成為可能。然而，作為新興起的產(chǎn)業(yè)，掃地機(jī)器人行業(yè)及標(biāo)準(zhǔn)尚處于起步階段，目前掃地機(jī)器人生產(chǎn)廠家的關(guān)注點(diǎn)主要在清掃徹底、自主避障、自動充電和高覆蓋率的路徑規(guī)劃等基礎(chǔ)性能項(xiàng)目的檢測方面，從而忽略了其使用特點(diǎn)和安全性能。針對掃地機(jī)器人的安全性能，國家出臺了各項(xiàng)檢測標(biāo)準(zhǔn)和方法。眾所周知，安全是第一要務(wù)，所以掃地機(jī)器人的安全性能也顯得尤為重要。而掃地機(jī)器人在使用過程中發(fā)生的跌落現(xiàn)象成為了需要主要關(guān)注的方面。跌落不僅會關(guān)系到設(shè)備能否正常使用，同時(shí)也與人身健康安全息息相關(guān)。本文將從如何識別跌落風(fēng)險(xiǎn)、避免跌落風(fēng)險(xiǎn)、跌落風(fēng)險(xiǎn)的分析，以及跌落風(fēng)險(xiǎn)評估方面進(jìn)行探討。

2 標(biāo)準(zhǔn)理解

根據(jù)GB/T 23694-2013標(biāo)準(zhǔn)的相關(guān)定義，風(fēng)險(xiǎn)評估是指，在風(fēng)險(xiǎn)事件發(fā)生之前或之后（但還沒有結(jié)束），該事件給人們的生活、生命、財(cái)產(chǎn)等各個方面造成的影響和損失的可能性進(jìn)行量化評估的工作。國際上通常采用IEC 60335-1《家用和類似用途電器安全_第1部分：一般要求》以及IEC 60335-2-2《家用和類似用途電器的安全_第2-2部分：真空吸塵器和吸水清潔電器的特殊要求》作為指導(dǎo)性標(biāo)準(zhǔn)來衡量掃地機(jī)器人的安全，國內(nèi)采用的標(biāo)準(zhǔn)為GB 4706.1《家用和類似用途電器的安全 第一部分：通用要求》和GB 4706.7《家用和類似用途電器的安全 真空吸塵器和吸水式清潔器具的特殊要求》。

國內(nèi)外標(biāo)準(zhǔn)中都有明確要求，掃地機(jī)器人應(yīng)裝有防止移動部件從清潔表面（例如：樓梯等）跌落的裝置，當(dāng)移動部件到達(dá)邊界時(shí)，應(yīng)有感應(yīng)、轉(zhuǎn)換方向繼續(xù)清潔的功能。這是為了防止掃地機(jī)器人在執(zhí)行清潔工作時(shí)產(chǎn)生跌落風(fēng)險(xiǎn)。同時(shí)標(biāo)準(zhǔn)中還規(guī)定，類似于掃地機(jī)器人這種依靠保護(hù)性電子電路防護(hù)安全的器具，在設(shè)計(jì)電子電路時(shí)，應(yīng)使其在任何一個故障情況下，都可以保證不會發(fā)生有關(guān)電擊、火災(zāi)危險(xiǎn)、機(jī)械危險(xiǎn)或危險(xiǎn)性功能失效。我們可以通過對所有電路或電路的某一部分進(jìn)行故障試驗(yàn)，驗(yàn)證電子電路是否合格。其中故障模式包括對保護(hù)性電子電路的二極管等進(jìn)行開路、短路故障以及集成電路的每個腳對電源或者對地（情況更惡劣的一端）短路等方面的故障。

風(fēng)險(xiǎn)評估就是量化測評掃地機(jī)器人發(fā)生故障跌落后所帶來的影響或損失的可能程度。

3 風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)分析

根據(jù)掃地機(jī)器人標(biāo)準(zhǔn)可能會出現(xiàn)跌落的風(fēng)險(xiǎn)，跌落后造成的嚴(yán)重程度除了可參考GB/T 35248-2017中的5.3.4.6中描述的傷害嚴(yán)重程度定性的描述外，還可以參考《人體損傷程度鑒定標(biāo)準(zhǔn)》。掃地機(jī)器人跌落后可能造成人員輕傷一級，嚴(yán)重可達(dá)重傷二級，甚至可為重傷一級?？梢姃叩貦C(jī)器人跌落在風(fēng)險(xiǎn)中占據(jù)舉足輕重的位置，造成掃地機(jī)器人跌落的可能有以下幾種情況。

3.1 地檢傳感器電路故障可造成跌落風(fēng)險(xiǎn)

智能掃地機(jī)器人地檢傳感器絕大多數(shù)是由發(fā)射二極管和接收二極管組成，即在掃地機(jī)器人內(nèi)部根據(jù)相應(yīng)的結(jié)構(gòu)來放置二極管，發(fā)射和接收形成一定的角度，可進(jìn)行一定長度的檢測，從而達(dá)到檢測地面的需求。設(shè)置故障可分為：

（1）設(shè)置發(fā)光管電路故障。令發(fā)光管一直處于工作狀態(tài)，減小發(fā)射和接收的角度，使接收管一直接收到發(fā)射管的信號，無論掃地機(jī)器人處于平地狀態(tài)還是懸崖狀態(tài)。

圖1 碰撞檢測簡化原理圖

圖2 電路結(jié)構(gòu)1

（2）設(shè)置接收管電路故障。斷開接收管的接收管腳或?qū)⒔邮展苣_拉低或者拉高，無論處于平地狀態(tài)還是懸崖狀態(tài)接收管與MCU之間的管腳都是為低或者為高。

依據(jù)以上兩種設(shè)置地檢傳感器故障，如果程序中沒有特別添加檢測地檢傳感器故障代碼，也沒有針對檢測到地檢傳感器故障后作出正確反應(yīng)的程序，按照上述施加故障的掃地機(jī)器人將會發(fā)生跌落風(fēng)險(xiǎn)。

3.2 碰撞傳感器電路故障可造成跌落風(fēng)險(xiǎn)

掃地機(jī)器人的碰撞傳感器是由微動開關(guān)或者光電開關(guān)的結(jié)構(gòu)來控制的。碰撞檢測簡化原理圖如圖1所示。

Ctrl端為低電平，發(fā)射端處于導(dǎo)通狀態(tài)。沒發(fā)生碰撞時(shí)I/O輸出為低電平，MCU檢測到為低電平。當(dāng)掃地機(jī)器人受到碰撞后，隔斷U型槽開關(guān)由于結(jié)構(gòu)的原因阻隔發(fā)射端到接收端的信號傳遞。導(dǎo)致I/O輸出高電平，如若持續(xù)高電平信號傳至MCU，MCU受到碰撞檢測信號會持續(xù)后退，如若程序中沒有針對此項(xiàng)風(fēng)險(xiǎn)添加有效的管控措施，掃地機(jī)器人會存在明顯的跌落風(fēng)險(xiǎn)。

3.3 遙控器或APP控制下可造成跌落風(fēng)險(xiǎn)

遠(yuǎn)程APP多次操作某一功能按鍵或者隨機(jī)組合的按下按鍵可能會出現(xiàn)跌落風(fēng)險(xiǎn)。

紅外遙控器多次操作某一功能按鍵或者隨機(jī)組合的按下按鍵可能會出現(xiàn)跌落風(fēng)險(xiǎn)，也可能會出現(xiàn)跌落后不報(bào)警，不停止繼續(xù)后退的重大風(fēng)險(xiǎn)隱患。

3.4 正常使用可造成跌落風(fēng)險(xiǎn)

正常工作（自動運(yùn)行）期間不操控紅外遙控器和機(jī)器人APP，也可能會有跌落風(fēng)險(xiǎn)。

4 風(fēng)險(xiǎn)評價(jià)以及測試

4.1 地檢傳感器電路故障

在拆解掃地機(jī)器人時(shí)發(fā)現(xiàn)，地檢傳感器絕大多數(shù)由發(fā)射二極管和接收二極管形成一定的角度并根據(jù)結(jié)構(gòu)設(shè)計(jì)而成。在分析電路時(shí)發(fā)現(xiàn)有圖2結(jié)構(gòu)設(shè)計(jì)，在這個結(jié)構(gòu)下，只需要在控制芯片上做一個故障，就可以造成多個傳感器失效。造成掃地機(jī)器人跌落的風(fēng)險(xiǎn)，不滿足國標(biāo)要求。

當(dāng)然在拆機(jī)中下述這種設(shè)計(jì)居多，圖3結(jié)構(gòu)電路，每個傳感器單獨(dú)連接到MCU，這種結(jié)構(gòu)具備更高的傳感器獨(dú)立性，不會因?yàn)橐宦穫鞲衅鞴收隙绊懫渌穫鞲衅鞯恼９ぷ?，加?qiáng)了電路設(shè)計(jì)的穩(wěn)定性。

雖然圖3電路設(shè)計(jì)滿足國標(biāo)要求，但是也要配合完善的程序設(shè)計(jì)才可滿足國家安全行業(yè)標(biāo)準(zhǔn)需求。在測試中發(fā)現(xiàn)，部分掃地機(jī)器人在前端某一個地檢傳感器電路上施加故障，迫使MCU與地檢傳感器相連接的管腳檢測到一直為高電平或者低電平狀態(tài)，這樣便會造成掃地機(jī)器人持續(xù)后退導(dǎo)致跌落在標(biāo)準(zhǔn)實(shí)驗(yàn)平臺下。

4.2 碰撞傳感器電路故障

掃地機(jī)器人的碰撞傳感器是由光電開關(guān)或者微動開關(guān)來控制的，見圖4和圖5。少數(shù)掃地機(jī)器人是無碰撞傳感器的，即使在有傳感器的掃地機(jī)器人上做單重故障試驗(yàn)，絕大多數(shù)掃地機(jī)器人有跌落情況發(fā)生，其中有部分掃地機(jī)器人跌落后并不會停止或報(bào)警。近半數(shù)掃地機(jī)器人在碰撞傳感器電路單重故障下就已經(jīng)跌落在標(biāo)準(zhǔn)實(shí)驗(yàn)平臺下。

測試中發(fā)現(xiàn)大部分掃地機(jī)器人采用圖3電路設(shè)計(jì)。雖然電路結(jié)構(gòu)設(shè)計(jì)滿足國標(biāo)要求，但是程序設(shè)計(jì)存在嚴(yán)重缺陷。大部分掃地機(jī)器人只要在碰撞傳感器電路上設(shè)置故障，使MCU接收到的某一個碰撞信息一直為高電平或者為低電平，即可造成掃地機(jī)器人持續(xù)后退的現(xiàn)象，直至跌落。有小部分掃地機(jī)器人運(yùn)行時(shí)間過長，跌落后繼續(xù)運(yùn)行且無告警提示。這也是與安全標(biāo)準(zhǔn)規(guī)定背道而馳的。

4.3 遙控器或APP控制

遠(yuǎn)程APP遙控本意是為了提供便利，但也要進(jìn)行合理的安全設(shè)計(jì)，在確保安全的情況下才能投入應(yīng)用。操作APP的用戶并不能確定家中的情形，無法保證老人和孩子不在樓下，這種不加以管控的遠(yuǎn)程操作是存在一定的安全隱患的，在測試中也證明了這一點(diǎn)。

在通過制造商提供的紅外遙控器控制掃地機(jī)器人正常工作時(shí)發(fā)現(xiàn)，同樣也會出現(xiàn)大部分機(jī)器人在長按紅外遙控器后退按鍵或多次操作后退按鍵后出現(xiàn)跌落，并且跌落后無報(bào)警，不停止。

以上兩種跌落事件說明在軟件開發(fā)的過程中沒有充分考慮到掃地機(jī)器人會后退跌落的情況，絕大多數(shù)掃地機(jī)器人在前端裝有地檢傳感器和碰撞傳感器，而尾部沒有任何保護(hù)措施，從而造成了前進(jìn)不會跌落，而后退會有跌落的情況發(fā)生。

4.4 正常使用時(shí)的跌落風(fēng)險(xiǎn)

在進(jìn)行多批次掃地機(jī)器人跌落試驗(yàn)時(shí)發(fā)現(xiàn)，有極個別掃地機(jī)器人在標(biāo)準(zhǔn)實(shí)驗(yàn)臺上正常工作（自動運(yùn)行）期間不操控紅外遙控器和機(jī)器人APP，就會出現(xiàn)跌落的情況。此種情況的跌落不僅違背了國家標(biāo)準(zhǔn)要求，而且一旦被消費(fèi)者使用，更有可能危害消費(fèi)者的健康安全。所以此現(xiàn)象需要引起開發(fā)者和生產(chǎn)者的高度重視，更需要有關(guān)部門給予監(jiān)督和定期抽查。

圖3 電路結(jié)構(gòu)2

圖4光電開關(guān)結(jié)構(gòu)

圖5 微動開關(guān)架構(gòu)

5 風(fēng)險(xiǎn)評估總結(jié)

針對消費(fèi)者和家電廠商來說，安全是最關(guān)乎切身利益的，也是制造商要考慮的首要因素。但是，因?yàn)槔硐霠顟B(tài)下制造出風(fēng)險(xiǎn)為零的產(chǎn)品是不切實(shí)際的，所以我們需要采用一些保護(hù)措施來降低風(fēng)險(xiǎn)發(fā)生的概率和風(fēng)險(xiǎn)發(fā)生時(shí)對使用者或使用環(huán)境的傷害程度，使風(fēng)險(xiǎn)發(fā)生的概率和傷害程度保持在可接受的范圍內(nèi)。因此，為了降低產(chǎn)品風(fēng)險(xiǎn)，進(jìn)行產(chǎn)品的風(fēng)險(xiǎn)評估是非常有必要的。

風(fēng)險(xiǎn)評估的主要目的是確定某一種或某幾種危險(xiǎn)處境需要進(jìn)一步降低風(fēng)險(xiǎn)，并且還要證實(shí)風(fēng)險(xiǎn)分析中的迭代過程。當(dāng)所選擇的該項(xiàng)保護(hù)措施已經(jīng)充分降低了風(fēng)險(xiǎn)，并且沒有引入新的危險(xiǎn)或加重了其他原有風(fēng)險(xiǎn)，那么我們就認(rèn)為達(dá)到了此項(xiàng)風(fēng)險(xiǎn)降低的目的。

當(dāng)然由于某些危險(xiǎn)處境風(fēng)險(xiǎn)極低（輕微），可記錄且不作進(jìn)一步處理；然而那些被指出會造成重大危險(xiǎn)的危險(xiǎn)處境（例如，掃地機(jī)器人非正常工作狀態(tài)下的跌落風(fēng)險(xiǎn)）必須予以降低；進(jìn)一步來說，對那些被指出可能會產(chǎn)生更高風(fēng)險(xiǎn)的危險(xiǎn)處境，應(yīng)做更加詳細(xì)和清晰的風(fēng)險(xiǎn)評估。