協(xié)作機(jī)器人系統(tǒng)的安全策略分析

軟件在控制車輛和設(shè)備方面繼續(xù)發(fā)揮著越來越重要的作用。同時，軟件錯誤的必然性威脅到軟件控制的機(jī)器與人類交互的應(yīng)用中的安全操作。例如，在協(xié)作機(jī)器人中，機(jī)器人和人類緊密相連，軟件錯誤可能直接導(dǎo)致對人類的身體傷害。

對于這些應(yīng)用程序和其他機(jī)器操作中的計算機(jī)系統(tǒng)錯誤可能危及人類的應(yīng)用程序，設(shè)計師需要在基礎(chǔ)層面上對其系統(tǒng)進(jìn)行安全控制。智能使用已內(nèi)置于微控制器（MCU）和數(shù)字信號處理器（DSP）中的硬件功能可以幫助減輕硬件或軟件中的錯誤影響。

自動化和手工勞動繼續(xù)相互補(bǔ)充廣泛的產(chǎn)品成本和功能窗口。雖然自動化可以有效地提供大批量，低成本的產(chǎn)品，但手動組裝對于生產(chǎn)高成本，低產(chǎn)量的產(chǎn)品最為有效。協(xié)作機(jī)器人提供了一種混合方法，旨在合并每種方法的優(yōu)點（圖1）。

圖1：協(xié)作機(jī)器人系統(tǒng)提供了一種混合方法，融合了手動生產(chǎn)和自動化系統(tǒng)的優(yōu)勢。 （來源：ABB/歐洲機(jī)器人論壇）

協(xié)作機(jī)器人系統(tǒng)旨在與特定工作區(qū)內(nèi)的人員直接合作。這種混合方法將機(jī)器人的寶貴力量和耐力與人類的解決問題的能力相結(jié)合。與此同時，這種方法給人類工作者帶來了巨大的風(fēng)險。

機(jī)器人系統(tǒng)能夠以很大的力度擺動機(jī)械臂，并以極大的力量抓住物體。放置在工作單元中，典型的機(jī)器人被限制在與人類工作人員協(xié)作的同時在明確定義的操作窗口內(nèi)移動，但在維護(hù)工作人員照料系統(tǒng)時移動到更大的限制范圍內(nèi)（圖2）。很少有機(jī)器人系統(tǒng)允許在人類存在的情況下穿過其完整的最大包絡(luò)。

圖2：工業(yè)機(jī)器人需要深度嵌入式安全機(jī)制，能夠確保在與正常生產(chǎn)和維護(hù)相關(guān)的特定區(qū)域內(nèi)安全運行。 （來源：美國勞工職業(yè)安全與健康管理局）

傳統(tǒng)的機(jī)器人裝配系統(tǒng)設(shè)計有物理限制或圍欄工作區(qū)域，以保護(hù)附近的人（圖3）。當(dāng)在一個或多個人附近工作時，協(xié)作機(jī)器人系統(tǒng)幾乎沒有設(shè)計到工作單元中的物理保護(hù)。相反，這些系統(tǒng)依賴于內(nèi)置機(jī)制來確保安全操作。在這樣的系統(tǒng)中，由軟件缺陷或硬件故障引起的系統(tǒng)級錯誤可以容易地允許可移動機(jī)器人臂加速進(jìn)入人體或執(zhí)行一些物理運動，這可能對人類協(xié)作工作帶來直接風(fēng)險。

圖3：在工廠車間，制造商在工業(yè)機(jī)器人周圍設(shè)置物理屏障，以防止與附近的人類工人意外接觸。 （來源：DNC）

安全策略

對于設(shè)計人員來說，確保機(jī)器人系統(tǒng)的安全運行始于確認(rèn)其基礎(chǔ)控制系統(tǒng)按預(yù)期運行。專為實時控制應(yīng)用而設(shè)計的DSP和MCU提供了多種專門用于此目的的內(nèi)置安全功能。例如，ADI公司的ADSP-BF707 DSP和德州儀器的Hercules?系列MCU均集成了多種存儲器檢查功能，包括用于片上存儲器的錯誤校驗和校正（ECC），用于片外的奇偶校驗位檢查用于直接內(nèi)存訪問（DMA）傳輸?shù)膬?nèi)存和循環(huán)冗余校驗（CRC）。

雖然這些內(nèi)存功能可以在內(nèi)存操作期間糾正或至少識別錯誤，但確保處理器本身的正確操作是更復(fù)雜的問題。處理器核心本身中出現(xiàn)的硬件故障可能導(dǎo)致不可預(yù)測的錯誤，包括機(jī)械臂或機(jī)械手的危險運動。為了識別核心故障，模擬ADSP-BF707 DSP和TI Hercules系列MCU均包含集成在處理器內(nèi)核中的內(nèi)置自測（BIST）機(jī)制。雖然BIST在執(zhí)行應(yīng)用程序代碼本身時無法運行，但系統(tǒng)設(shè)計人員可以將完整或部分自檢運行與應(yīng)用程序代碼執(zhí)行交錯 - 如果不連續(xù)監(jiān)視處理器功能，則提供持續(xù)的。

使用TI Hercules系列MCU例如，設(shè)計人員可以通過幾個簡單的步驟啟動BIST掃描：

配置時鐘域頻率

選擇要運行的測試間隔數(shù)

配置自檢運行的超時時間

保存寄存器狀態(tài)，包括CPU內(nèi)核寄存器和協(xié)處理器寄存器以及硬件斷點和監(jiān)視點寄存器

通過將相應(yīng)的位寫入CPU自檢控制器寄存器來啟用自檢（圖4）

等待CPU重置

在重置處理程序中，讀取CPU自檢狀態(tài)以識別任何故障

檢索CPU狀態(tài)

圖4：工程師可以輕松實現(xiàn)完整或部分BIST掃描，在應(yīng)用程序執(zhí)行之間交錯。對于TI Hercules系列MCU，工程師可以實現(xiàn)代碼以快速執(zhí)行各種內(nèi)務(wù)處理步驟，最后通過此處所示的自檢控制器寄存器中的坐位進(jìn)行自檢。 （來源：德州儀器）

攔截軟件錯誤

與大多數(shù)領(lǐng)先的應(yīng)用程序一樣，協(xié)作機(jī)器人系統(tǒng)依靠軟件來實現(xiàn)其功能的主要部分，特別是對于高度差異化的能力。在操作期間，任何數(shù)量的軟件錯誤（包括錯誤設(shè)置的指針變量，堆棧溢出或逃脫測試覆蓋的代碼錯誤）都可能導(dǎo)致系統(tǒng)掛起或以其他方式分離到非預(yù)期的操作中。為了防止這種類型的系統(tǒng)行為，設(shè)計人員可以在軟件本身中實現(xiàn)運行時檢查。

使用看門狗定時器提供了一種特別有效的機(jī)制來捕獲掛起處理器的錯誤。在這種傳統(tǒng)方法中，軟件以比看門狗定時器的超時設(shè)置短的周期重置看門狗定時器。如果看門狗定時器確實超時，則意味著從未發(fā)生預(yù)期的定時器復(fù)位 - 表示應(yīng)用程序代碼掛起且系統(tǒng)處于某種不確定狀態(tài)。面向安全的處理器，如ADI公司的ADSP-BF707 DSP和德州儀器的Hercules系列MCU，集成了看門狗定時器功能。另一方面，使用獨立的外部看門狗定時器可進(jìn)一步降低錯誤情況影響內(nèi)置看門狗的可能性。

德州儀器（TI）的TPS3823-33監(jiān)控IC等器件提供DSP和基于MCU的系統(tǒng)，具有電路初始化和時序監(jiān)控以及電源電壓監(jiān)控功能。該器件集成了一個看門狗定時器，必須通過WDI輸入的正或負(fù)轉(zhuǎn)換周期性觸發(fā)，以避免發(fā)出復(fù)位信號（圖5）。當(dāng)監(jiān)控系統(tǒng)未能在超時間隔ttout內(nèi)重新觸發(fā)看門狗電路時，RESET在時間段td內(nèi)變?yōu)橛行?，?dǎo)致處理器進(jìn)入其硬件復(fù)位周期。就像筆記本電腦用戶在他們的系統(tǒng)掛起時循環(huán)一樣，這種方法可能是從深層軟件錯誤中恢復(fù)的唯一有效方法。

圖5：除了其他監(jiān)控功能外，德州儀器（TI）TPS3823-33 IC還提供硬件看門狗定時器，可進(jìn)一步防止可能出現(xiàn)的錯誤片上看門狗定時器。 （來源：德州儀器）

系統(tǒng)級安全

除了低級機(jī)制外，經(jīng)驗豐富的設(shè)計人員還使用各種方法確?；谔幚砥鞯目刂葡到y(tǒng)繼續(xù)產(chǎn)生預(yù)期輸出。更高級別的“安全”架構(gòu)依賴于冗余執(zhí)行關(guān)鍵功能的設(shè)計，通過在同一數(shù)據(jù)上獨立執(zhí)行相同功能的多個并行路徑產(chǎn)生應(yīng)該相同的結(jié)果。在關(guān)鍵任務(wù)應(yīng)用中，例如依賴于來自發(fā)動機(jī)和控制表面的精確傳感器讀數(shù)的航空電子設(shè)備，硬件設(shè)計人員可以構(gòu)建多個獨立的傳感器路徑，以便即使在飛行操作期間一個（或多個）傳感器發(fā)生故障也能繼續(xù)運行。

轉(zhuǎn)換到機(jī)器人移動算法的軟件級別，例如，軟件工程師可能使用兩種（或更多種）不同的算法或相同算法的不同實現(xiàn)來幫助驗證持續(xù)的系統(tǒng)功能。在這里，工程師將創(chuàng)建設(shè)置為與原始數(shù)據(jù)對象相同的值的不同對象，以使用不同的代碼模式計算相同的算法。監(jiān)督代碼將比較結(jié)果并在不同時生成異常。例如，對于原始函數(shù)：

函數(shù)工作（VariableA，VariableB）：

if（VariableA> VariableB）：

//執(zhí)行必需的函數(shù)

//基于VariableA和VariableB

...

返回結(jié)果

工程師會創(chuàng)建一個替代實現(xiàn)，使用設(shè)置為相同值的不同變量對象來計算某些結(jié)果：

//將新對象實例設(shè)置為原始變量中的值

function workNew（VariableA，VariableB）：

VariableNewA = deepcopy （VariableA）

VariableNewB = deepcopy（VariableB）

if（VariableA> VariableB）：

if（VariableNewA <= VariableNewB）：

//生成異常 - 可能的內(nèi)存錯誤

< code> else：

//執(zhí)行必需的函數(shù)

//使用新變量和

//備用編碼模式

...

返回ResultNew

<代碼>

//supervisor

X = work（A，B）

XNew = workNew（A ，B）

if（X <> XNew）：

//生成系統(tǒng)故障異常

//否則繼續(xù)使用X

專門的多核MCU在概念上使用相同的方法來確保底層處理器本身正常運行。這里，同一處理器內(nèi)核的多個副本以鎖步方式執(zhí)行相同的軟件 - 同時或以小的時鐘偏移執(zhí)行。以鎖步方式運行的這些內(nèi)核的輸出的任何差異都表明MCU具有低級故障 - 可能是由于某種軟錯誤導(dǎo)致的瞬態(tài)故障，例如由于某些內(nèi)部功能故障導(dǎo)致的輻射或硬故障。

ARM提供雙核鎖步（DCLS）冗余核心配置，允許MCU制造商為安全應(yīng)用實施鎖步核心。德州儀器（TI）已在其Hercules系列MCU中實現(xiàn)此功能。在這里，一對ARM?Cortex?-R5F內(nèi)核以鎖步方式運行 - 執(zhí)行間隔兩個時鐘周期 - 以減少alpha粒子的軟錯誤導(dǎo)致內(nèi)核執(zhí)行完全相同（錯誤）結(jié)果的可能性相同的代碼同時。注意：Alpha粒子是IC封裝不可避免的副作用，因為它在低衰減率下含有低水平的放射性物質(zhì)，并且可能導(dǎo)致軟錯誤。

在TMS570LS0714中，一個特殊的單元，CPU比較模塊（CCM），比較兩個核心的輸出信號（圖6）。對于程序員來說，這個過程是透明的。不需要特殊編碼，鎖定核心之間的比較會自動進(jìn)行。

圖6：集成在Hercules系列MCU中的CPU比較模塊（CCM）監(jiān)視MCU雙核心的輸出，以兩個周期的延遲同步運行。此延遲有助于防止瞬態(tài)錯誤影響兩個內(nèi)核并通過未檢測到的情況。 （來源：德州儀器）

雖然這些硬件功能有助于確保正常運行，但構(gòu)建功能安全應(yīng)用程序?qū)浖_發(fā)和認(rèn)證提出了嚴(yán)格的要求。 TI的SafeTI設(shè)計包支持各種領(lǐng)域的功能安全應(yīng)用開發(fā)，包括工業(yè)機(jī)械，工業(yè)過程，醫(yī)療，汽車，鐵路和航空。除了SafeTI軟件庫提供的功能外，設(shè)計包還支持與符合ISO 26262，IEC 61508和IEC 60730等安全標(biāo)準(zhǔn)相關(guān)的要求。

結(jié)論

協(xié)作機(jī)器人技術(shù)為人類經(jīng)驗與機(jī)器精度相結(jié)合提供了重要機(jī)遇。在人類的近距離工作中，協(xié)作機(jī)器人系統(tǒng)在確保安全操作方面提出了重大挑戰(zhàn)。專門設(shè)計用于支持功能安全應(yīng)用的專用DSP和MCU提供集成功能，可幫助識別錯誤并減輕其在應(yīng)用程序級別的影響。使用這些設(shè)備，設(shè)計人員可以為協(xié)作機(jī)器人系統(tǒng)建立安全基礎(chǔ)。