当机器不仅要有“刹车”,还要能“预见危险”——工业安全的下一个十年
我们都知道汽车必须有刹车(功能安全)。但如果刹车本身没问题,驾驶员却因为路况误判、传感器被泥巴遮挡而没踩刹车呢?这已经不是“刹车失灵”,而是系统没能在复杂环境中做出正确决策。
核心目标: 当系统发生随机硬件故障或系统性失效时,能进入安全状态。
比如:机器人电机过热 → 自动停机;PLC输出短路 → 切断电源。
标准:IEC 61508 / ISO 13849
生活类比: 汽车的安全气囊和安全带——出事故时保护你,但不会主动避免事故。
核心目标: 避免因功能不足、环境干扰、感知局限等非故障原因导致的危险。
比如:自动驾驶摄像头被强光晃眼 → 系统提前减速并提醒接管;传感器被泥污覆盖 → 自动切换到备用传感器。
标准:ISO 21448 (SOTIF)
生活类比: 汽车的自动紧急制动(AEB)和盲区监测——主动预测并规避潜在危险。
机器人、自动驾驶、无人机不再依赖人类监督。它们必须在未知、动态环境中自己做决定。硬件没坏,但可能“看走眼”或“想错”。
摄像头会被雨雾干扰,雷达有盲区,激光雷达受反射率影响。依赖单一传感器注定有“预期之外”的漏洞。
工业场景中光照变化、电磁干扰、粉尘、反光表面……都可能让系统误判。传统功能安全测试覆盖不了这些。
冗余是指对关键部件(传感器、处理器、执行器)提供多套备份。当一套失效或数据异常时,另一套立即接管或交叉验证。
在工业领域,冗余可以做到:
自诊断是指硬件实时监控自身健康状态,并在异常发生前发出预警或自动修复。它不是等故障出现,而是主动发现“快要坏了”的迹象。
比如:监控芯片温度、电压、电流、通信误码率。当温度超过阈值但未达到极限时,主动降频并报警。
两个冗余模块互相发送测试数据,比对结果。不一致时判定其中一方失效。
每次上电时自动检查内存、通信接口、安全回路。发现异常立即锁机,防止带病运行。
生活类比: 就像智能手表监测心率、血氧,发现异常就震动提醒。自诊断让工业硬件从“被动维修”转向“主动维护”。
举个工业机器人的例子:
这意味着,未来的工业硬件如果不内置冗余和自诊断能力,将很难通过高端市场(汽车、医疗、核设施、重载机器人)的安全认证。
问:冗余是不是意味着成本翻倍?
答:对关键安全部件而言,冗余增加的成本远低于事故造成的损失。而且随着芯片集成度提高,双核锁步、片上冗余的成本已大幅下降。很多场合只需关键节点冗余,并非全系统复制。
问:自诊断会误报吗?会不会导致频繁停机?
答:优秀的设计会设置多层阈值:预警(只提醒)、降级运行(限速或限制功能)、安全停机(最后手段)。避免“狼来了”式的误报,同时确保真正的风险不被遗漏。
问:预期功能安全完全取代功能安全吗?
答:不会。两者是互补关系。功能安全处理“硬件坏了怎么保底”,预期功能安全处理“没坏但可能出错的场景怎么规避”。未来所有高安全等级系统都需要同时满足两者。
功能安全让工业硬件“出了事能兜底”;预期功能安全让硬件“尽量不出事”。冗余和自诊断就是实现这一转变的两大支柱。
未来的工厂里,机器不仅会自己干活,还会自己“感觉”累不累、环境乱不乱、搭档有没有异常。这是一种更智能、更人性化的安全理念——安全不是底线,而是嵌入每一微秒决策的主动意识。