李樂榮

（庫卡機器人（廣東）有限公司，廣東佛山，528311）

0 引言

隨著工業(yè)自動化的推進，工業(yè)機器人的應用越來越多，在提高生產(chǎn)效率的同時，工業(yè)機器人的功能安全技術(shù)也成為研發(fā)設計的重中之重。

在工業(yè)機器人安全標準ISO 10218-1:2011 和機械安全標準ISO 13849-1:2015 中要求工業(yè)機器人安全功能需滿足類別(Category) 3 和性能等級(Performance Level) d。

本文以平面關節(jié)型機器人(SCARA）作為研究對象，進行功能安全系統(tǒng)的設計與實現(xiàn)，主要從機器人制造商的角度探討機器人安全相關控制系統(tǒng)與非安全相關控制系統(tǒng)開發(fā)相比所增加的內(nèi)容，包括安全目標的定義、安全系統(tǒng)設計、安全參數(shù)計算、測試驗證等。

1 功能安全標準

由國際電工委員會（IEC）頒布的功能安全的基礎標準IEC 61508-4 中對功能安全有如下定義：與受控裝置和受控裝置控制系統(tǒng)有關的整體安全的組成部分，它取決于電氣/電子/可編輯電子系統(tǒng)、其他技術(shù)安全相關系統(tǒng)和外部風險降低設施功能的正確行使。

針對工業(yè)機器人，國際標準ISO 10218-1:2011 提出，對于安全相關控制系統(tǒng)的性能要求既可以使用ISO 13849-1:2015 定義的性能等級（Performance Level）和類別（Categories），也可以使用IEC 62061:2015 定義的安全完整性等級（Safety Integrity Level）和硬件容錯率（hardware fault tolerance）。ISO 13849 和IEC 62061均表明了安全相關控制系統(tǒng)危險失效率的目標量值，也表明了必須采取的技術(shù)與措施。本文采用ISO 13849 的Performance Level 和Categories 作為安全相關控制系統(tǒng)的要求，并以SCARA 機器人作為研究對象進行功能安全系統(tǒng)的設計與實現(xiàn)。

2 SCARA 機器人

SCARA 機器人屬于工業(yè)機器人，具有4 個軸和4 個運動自由度，包括沿X、Y、Z 方向的平移和繞Z 軸的旋轉(zhuǎn)自由度，它具有高精度、高速度的特點，適用于平面定位，垂直方向進行裝配的作業(yè)，可廣泛應用于3C 電子、白色家電、塑料五金、新能源、汽車電子、食品醫(yī)藥等行業(yè)。

本文的設計對象是某正裝式SCARA 機器人，其臂展為500mm，最大負載為6kg，運動性能參數(shù)如表1 所示。

表1 運動性能參數(shù)

3 安全目標定義

開發(fā)機器人安全系統(tǒng)，首先需要對機器人的安全目標進行定義，具體有以下3 個步驟。

1）風險評估。其主要流程包括機械限制的確定、危險識別、風險估計、風險評價。機械限制確定包含使用限制、空間限制、時間限制、其他限制等。

其中，使用限制包括預期使用以及可預見合理的誤用。從機器人制造商的角度來看，主要的使用限制為機器人的運行模式。本文SCARA 機器人主要運行模式情況如表2 所示。各運行模式的切換必須通過示教器進行，且機械臂處于安全停止狀態(tài)。

表2 SCARA 機器人運行模式

從機器人制造商的角度看，空間限制主要是指機器人的運動范圍。圖1 為本文研究的某SCARA 機器人的運動范圍，其臂展為500mm，1 軸運動范圍±132°，2 軸運動范圍±145°，2 軸半徑225mm。

圖1 某SCARA 機器人運動范圍

時間限制主要是考慮到機械的預期用途以及可預見的合理誤用下的壽命以及推薦的保養(yǎng)間隔。

其他限制包括機械使用的一些限制，如清潔度，使用環(huán)境中的溫度、濕度等。

危險識別可以參考ISO 12100 Annex B 或者ISO 10218 Annex A 列出的主要的危險進行識別，包括機械危險、電氣危險、熱危險、噪音危險、振動危險、輻射危險、材料物質(zhì)危險、人體工程學危險、與使用機器的環(huán)境相關的危險、組合危險等。

危險識別后應根據(jù)傷害的嚴重度和傷害發(fā)生的概率兩個風險要素對每種危險進行風險估計。其中，傷害的發(fā)生概率包含危險暴露頻率，危險事件發(fā)生概率，傷害避免或限制的概率。通常采用風險矩陣對風險進行估計得到風險等級，對于中等及以上的風險需要進行風險降低措施。風險降低措施通常包括指引措施、設計措施、功能措施、檢查表和測試驗證措施。風險降低措施應用后需要重新進行風險評估，直到風險等級為低，并且對殘余風險提供信息提示或者警告標簽。

2）確定安全功能。在風險降低過程中，需要安全相關控制系統(tǒng)實現(xiàn)的功能措施，即為系統(tǒng)所需要實現(xiàn)的安全功能。

3）確定性能等級。安全功能確定后需要同步確定其要求的性能等級PLr。參考ISO 13849-1 的附錄A 的信息，從傷害嚴重度（S）,暴露于危險的頻率(F)和避免危險的可能性(P)3 個方面的風險參數(shù)進行確定，如圖2 所示。該圖中1 表示估計安全功能對風險減小的作用的起始點；L表示對風險減小的作用小，H表示對風險減小的作用大；PLr 表示安全功能要求的性能等級；圖中間對應的是風險參數(shù)的定性；S1 對應傷害的嚴重度是輕微的；而S2 對應的是嚴重；F1 對應的是暴露于危險的頻率低或者持續(xù)時間短；S2 對應的是頻率高或者是時間長；P1 對應的是在特定條件下有可能避免危險或者限制傷害；而P2 對應的是幾乎不可能。經(jīng)過危險識別和風險評估后，確定的安全相關控制系統(tǒng)的安全功能如表3 所示。

圖2 用于確定安全功能要求的PLr 的風險圖

表3 SCARA 機器人安全功能列表

此外，工業(yè)機器人安全目標定義還可以參考國際標準ISO 10218-1:2011 的要求，標準規(guī)定安全相關控制系統(tǒng)的設計，應遵照ISO 13849 所描述的性能等級d、類別3，或遵照IEC 62061 所描述的安全完整性等級2，硬件容錯率1（系統(tǒng)可容忍單一故障，表示一個故障不會導致系統(tǒng)失效），驗證測試間隔不少于20 年。同時標準 ISO 10218-1:2011也給出了工業(yè)機器人需要提供的安全功能，這些安全功能既可以作為安全目標定義的最低要求，也可以作為上述危險分析和風險評估的補充。

4 安全系統(tǒng)設計

安全系統(tǒng)設計的主要目標是所設計的系統(tǒng)具備安全目標定義的安全功能以及每個安全功能符合對應的性能等級和類別要求。安全系統(tǒng)設計通常包括安全架構(gòu)設計、系統(tǒng)可靠性分析、安全軟硬件設計等。

圖3 所示為SCARA 機器人系統(tǒng)安全架構(gòu)，其主要由安全輸入設備、安全邏輯板和STO 電路組成，它們分別對應了類別 3 架構(gòu)的輸入、邏輯和輸出三部分，每一部分都是雙通道的架構(gòu)。其中，輸入設備采用機械接觸式開關，它們?yōu)殡p通道結(jié)構(gòu)，并且通過了功能安全認證；安全邏輯板通過對安全輸入設備進行診斷及采集，同時結(jié)合從運動控制器獲取的模式信號，可實現(xiàn)如表3 所示的3 個安全功能。圖4 和圖5 分別為SCARA 機器人系統(tǒng)在自動模式和手動模式下實現(xiàn)安全功能的流程圖。不過，緊急停止和安全圍欄兩個安全功能需要手動復位，手動復位控制流程如圖6 所示。

圖3 SCARA 機器人系統(tǒng)安全架構(gòu)

圖4 自動模式下安全功能實現(xiàn)流程圖

圖5 手動模式下安全功能實現(xiàn)流程圖

圖6 手動復位控制流程圖

當安全功能觸發(fā)后，安全邏輯板經(jīng)過延時后，通過硬線觸發(fā)伺服驅(qū)動器執(zhí)行安全扭矩切斷STO，從而實現(xiàn)了安全停機類別1，保證系統(tǒng)進入安全狀態(tài)。安全停機類別1 采用時間控制的方式來實現(xiàn)，需要非安全相關的運動控制器和伺服驅(qū)動器參與，流程圖如圖7 所示。

圖7 安全停機類別1 控制流程圖

當安全邏輯板診斷到安全輸入設備故障同樣會觸發(fā)安全停機類別1 以保證系統(tǒng)進入安全狀態(tài)。此外，如果安全邏輯板診斷到自身內(nèi)部電路故障或者STO 電路反饋錯誤會直接觸發(fā)安全停機類別0，也就是安全扭矩切斷STO，使系統(tǒng)進入安全狀態(tài)。

系統(tǒng)可靠性分析主要包括系統(tǒng)安全鏈路定義、系統(tǒng)安全機制及診斷機制以及對應的診斷覆蓋率分析。圖8列出了系統(tǒng)的安全鏈路，安全輸入設備對應安全鏈路的輸入部分，安全邏輯板對應安全鏈路的邏輯部分，伺服驅(qū)動器的STO 電路對應安全鏈路的輸出部分。

圖8 系統(tǒng)安全鏈路圖

安全系統(tǒng)采用的診斷措施及其對應的診斷覆蓋率如表4 所示。安全邏輯板對安全輸入設備的診斷主要采用測試脈沖的診斷手段。安全邏輯板給每個安全輸入設備輸出兩通道的測試脈沖，測試脈沖周期相同相位不同，同時采集經(jīng)過安全輸入設備后的信號，通過測試脈沖可以診斷出安全輸入設備的輸入狀態(tài)以及是否存在故障。測試脈沖如圖9 所示。

圖9 安全輸入設備測試脈沖圖

表4 診斷措施及診斷覆蓋率

安全邏輯的診斷主要采用了冗余監(jiān)控和比較器兩個措施。圖10 為安全系統(tǒng)模塊框圖，從圖中可以看出，設計有兩通道的冗余電路對輸入信號、處理過程信號以及輸出信號都做了監(jiān)控，同時，還分別對雙通道脈沖處理后的信號，初級邏輯處理后的信號，次級邏輯處理后的信號，以及STO 反饋信號進行了比較，若比較結(jié)果不一致，則觸發(fā)雙通道的STO 命令使系統(tǒng)進入安全狀態(tài)。安全邏輯板對輸入的電源設計了監(jiān)控模塊，過壓、欠壓和過流都會被診斷覆蓋從而激活STO 輸出，觸發(fā)系統(tǒng)進入安全狀態(tài)。安全邏輯板對安全輸出的安全機制主要是雙通道的關斷路徑，一方面切斷伺服驅(qū)動脈寬調(diào)制（PWM），另一方面切斷功率模塊預驅(qū)動的電源。

圖10 SCARA 機器人安全系統(tǒng)模塊框圖

5 安全參數(shù)計算

量化的評價安全相關控制系統(tǒng)的安全功能是否符合所要求的性能等級主要包括類別(Category)、平均診斷覆蓋率(DCavg)、平均危險失效時間(MTTFd)、共因失效(CCF)。這些計算通常是自下而上的過程，先把安全輸入、安全邏輯和安全輸出各子系統(tǒng)分別計算，后再把各子系統(tǒng)聯(lián)合起來作為系統(tǒng)層級進行計算。這3 個部件均采用類別3的架構(gòu)，所以系統(tǒng)符合類別3 的架構(gòu)。對于MTTFd通常是分通道計算，每個通道采用部件計數(shù)法進行，通道的MTTFdC的倒數(shù)等于通道各個部件MTTFdi的倒數(shù)和，如公式（1）所示。對于類別3 的架構(gòu)，如果雙通道的MTTFd不一致，那么通常采用公式（2）進行平衡。

其中，MTTFdC表示單通道的平均危險失效時間，MTTFdi表示對安全功能有作用的每個元件的MTTFd。

其中：MTTFd表示雙通道系統(tǒng)的平均危險失效時間，MTTFdC1和MTTFdC2分別表示兩個不同冗余通道的MTTFd。

本系統(tǒng)的輸入設備主要是急停開關、三位使能開關和安全圍欄開關，這類元件的制造商通常只給出危險失效的數(shù)量達到10%時的平均周期數(shù)（B10d）,可以通過公式（3）和公式（4）計算出對應的MTTFd，計算結(jié)果如表5 所示。

表5 輸出設備MTTFd 計算表格

其中，nop是年平均操作次數(shù)，hop是每天平均工作時間，單位為h，dop是每年平均工作天數(shù)，單位為天，tcycle是元件兩個相繼周期起的起始點之間的平均工作時間，單位為s。

安全邏輯和安全輸出部件采用電子元件以及集成電路等電氣元件來實現(xiàn)，通常這類型復雜的部件采用失效模式影響和診斷分析（FMEDA）進行MTTFd和DCavg的計算，具體流程如圖11 所示。元器件的失效數(shù)據(jù)和失效模式一般通過廠家提供，或者可以參考公認的工業(yè)數(shù)據(jù)庫中的硬件元器件的失效率，如SN29500。元器件的失效模式是否導致系統(tǒng)喪失功能安全是需要在沒有診斷措施作用的情況下進行判斷的。本系統(tǒng)的診斷措施主要有表3 所列的幾種措施。系統(tǒng)平均診斷覆蓋率采用公式（5）進行計算。

圖11 MTTFd 和DCavg 計算流程圖

圖12 故障注入及安全功能測試部分波形圖

表6 為SCARA 機器人安全功能MTTFd和DCavg的計算結(jié)果以及對應的PL 等級。從表中可以看出，3 個安全功能都符合所需的性能等級要求。

表6 系統(tǒng)安全功能參數(shù)計算結(jié)果

共因失效(CCF)通常是從整個功能安全系統(tǒng)層面進行評估的。參考ISO13849-1 附錄F，從6 方面進行對本文的SCARA 機器人安全系統(tǒng)進行評估，具體如表7 所示，共因失效總得分為75 分，大于65 分，滿足標準要求。

表7 共因失效評估結(jié)果

6 測試驗證

在測試驗證環(huán)節(jié)，安全相關控制系統(tǒng)與非安全相關控制系統(tǒng)的主要區(qū)別是故障插入測試以及安全功能測試。其中，故障注入測試的主要目的是驗證安全診斷措施的有效性，包括響應時間和診斷覆蓋率等內(nèi)容，測試通常是根據(jù)系統(tǒng)/部件級的FMEDA 中會導致安全功能喪失的失效模式進行模擬，注入對應的故障，驗證系統(tǒng)是否按照預期執(zhí)行安全措施；安全功能測試主要是驗證安全系統(tǒng)的功能有效性以及響應時間。

本文結(jié)合對應的SCARA 機器人對所設計的安全系統(tǒng)進行了測試驗證，圖11 展示了部分測試的波形圖。其中，圖11a）為輸入通道短路故障注入測試，從圖中可看出，當故障注入后，兩個STO 輸出通道迅速的輸出低電平，會把系統(tǒng)切換至安全狀態(tài)；圖b)、圖c)、圖d)分別是緊急停止、三位使能和安全圍欄3 個安全功能的響應時間測試波形，從圖中可看出，當開關觸發(fā)后，兩個STO 輸出通道在一定時間內(nèi)輸出低電平，會把系統(tǒng)切換至安全狀態(tài)。

利用多次測試求平均值的方法，對安全功能的響應時間進行測試，具體如表8 所示，三個安全功能的響應時間小于需求值，結(jié)果符合要求。

表8 系統(tǒng)安全功能響應時間測試結(jié)果

7 結(jié)論

綜上所述，從類別、平均診斷覆蓋率、平均危險失效時間和共因失效4 個安全參數(shù)計算結(jié)果以及實際的測試驗證的結(jié)果來看，本文針對某SCARA 機器人設計的功能安全系統(tǒng)是符合要求的。筆者認為同樣的分析設計、參數(shù)計算和測試驗證的方法也可以拓展應用到其他參數(shù)的SCARA 機器人，或者是其他構(gòu)型的機器人，如六軸機器人、協(xié)作機器人等。