当前,最令人瞩目的行业,非机器人莫属,其中,尤其是具身智能机器人,最为夺目。具身智能机器人需要跟环境、人员进行复杂的互动,其功能和工作场景的复杂性,不言而喻。
工业领域,需要应付这种情况,汽车行业可以说相当的典型。
功能安全从何而来
在传统功能上,百年汽车业已经非常成熟,ADAS功能也都大规模部署,可以说,功能的实现,相当充分了,但是,如此成熟的产业,市场时不时的爆出的重大事故新闻,仍能产生的重大的舆情波澜。所以,仅仅能够实现复杂功能,并不能保证产品的成功。
当代工业产品早已大规模电子化、软件化,而电子、电气系统,相比于更传统的机械系统,发生故障导致失效的可能性更高,所以,由于故障而导致功能的失效,会给整个系统的安全运行,带来更大的挑战。由此,所谓“功能安全”的概念和技术应运而生。
功能安全的核心在于,确保系统在出现电子电气故障时,仍能尽可能避免无法接受的风险和严重后果。
汽车功能安全的系统化实践:ISO 26262
以汽车功能安全标准ISO 26262为例,引入了全生命周期管理的思想,从设计、开发到验证,每一环节都需进行风险识别与控制。通过冗余设计、故障检测机制和安全响应策略,系统能在异常发生时及时进入安全模式,降低危害概率。
固然,在“功能安全”作为一个独立的概念被提出之前,其思想早已在工业实践中得以应用,比如,任何一种冗余设计,汽车双刹车回路,飞机的双发发动机等等,都可以说是功能安全考量的体现。然而,ISO26262标准的推出,将以往经验性的考量,纳入到定性、乃至定量的系统化框架中,使功能安全的实施更具可操作性。
ISO26262标准,至少在两个方面给出了之前业界尚未全面明确的指引:一是类似穷举法推理的全量分析,二是对硬件随机失效的定量评估方法。
全量场景分析和硬件随机失效的定量评估
首先,ISO26262标准的功能安全需求的导出,是通过对运行场景的全面考量,至少从外部运行环境和失效模式两个维度上,以类似穷举法的思路,进行全量的分析,推导出ASIL等级(汽车安全完整性等级)及相关的关键特征,如安全目标、安全状态等级)进行分级管理。
简单来说,针对每一个系统功能,去考虑在所有的、可能的失效条件下,会导致怎样的后果,并对这些后果进行分级。而ASIL等级的判定,依据是严重程度、暴露频率和可控性,这是根据汽车行业的产品特性总结得出的。
其次,对硬件产品的随机失效进行定量评估,是ISO26262设计方法的重要特征。通过对现有的工业硬件元器件失效率统计标准的参考,对元器件的失效率、故障检测覆盖率等参数进行计算,给出了极具参考价值的量化指标。这使得ISO26262不仅仅只是建立了一套流程化体系,而同时也是一个可用作定量判定的技术标准。
机器人行业的功能安全挑战与构建方向
可以想见,在机器人行业,在机器人大规模部署的前景下,功能安全方面的挑战不亚于汽车行业。当前,针对机器人的一些国际标准中,已经明确提出了部分功能安全的技术要求,而类似汽车行业ISO26262标准的上述两大特征,可以为机器人功能安全标准的构建提供重要参考。
首先,是全量的场景分析。针对不同类别的机器人运行场景和功能,其外部环境和失效模式不尽相同,但分析的思路应当是类似的。而相对与汽车行业ASIL等级的三大判定依据(严重程度、暴露频率和可控性),也许在机器人行业,可以有更多的维度需要考量,甚至于,对于不同类别和运用场景的机器人,也许适用不同的评价体系。
其次,硬件随机失效的定量评估方法同样适用于机器人系统。至于具体指标的设定,恐怕有待于行业对机器人硬件失效率数据的长期积累与统计分析,对于新兴领域,定量指标的确定也许不是一蹴而就的,随着产业实践深入,硬件可靠性数据库将不断完善,推动形成行业统一的失效评估标准。
第三,在机器人行业,“功能安全”的思路,甚至有更广泛的拓展空间。在汽车行业,人身安全可以说是最关键的,整个汽车功能安全体系围绕人身安全而展开;而在机器人行业,在某些特定的运行场景下,一旦出现某种功能失效,虽然不会直接导致人身伤害,但完全有可能,在其他方面,造成无法承担的重大损失。例如,关键工程项目中断,引发重大的经济、政治或社会风险等等。也就是说,在“功能安全”之外,也许有“功能可用性”或“任务安全性”等等崭新的维度,需要被纳入考量。
汽车行业经验的借鉴价值
最后,汽车功能安全技术的运用,已经有了一整套相对成熟的方法论,从研发设计、测试验证、生产运维的全生命周期中,在各个阶段,都形成了许多基于多年行业最佳实践的有效积累,这些积累,在机器人这样的新兴领域,有着非常重要的参考价值。
本文转自:浙江埃科ATTC,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
