内容提要：在本文中，我们根据制定的ISO/DIS 21448 SOTIF标准，应用了仅针对汽车开发的SOTIF标准的过程和方法，考虑到室内和室外物流自动驾驶机器人，这将是一个类似于完全自动驾驶汽车的概念。

摘要

如今，随着互联网和移动通信技术的发展，消费者的购买方式已经从线下转向线上。此外，由于此前的疫情，在线购买显著增加，相应地，用于物流交付的快递行业也有了显著增长。各式各样的物流机器人正在许多工业中运行，可以减轻工人的劳动强度和身心疲劳。但是，如果物流机器人没有正确识别周围的人或环境，就可能导致严重的事故。我们通过将ISO/DIS 21448 (SOTIF)应用于自主物流运输机器人，研究了物流机器人如何在物流仓库等工作环境中安全工作。这一成果有望为使用AGV的无人物流仓库的运营做出贡献。

1.简介

人们正在积极开展研究以提高自主机器人的机动性和自主性，以便它们能够在各种环境中执行服务。由于疫情，随着工厂转向智能工厂系统和高度自动化的物流仓库的增加，大量人员正在被机器人取代。机器人系统可以减轻各个工业领域工人的劳动强度和身心疲劳，随着最近强调与人类的移动性和协作功能，人们越来越关注提高工人与机器人之间的安全性。随着同步定位和地图构建（SLAM）技术应用于沿固定路径移动的自动导引车（AGV）中的自主移动机器人（AMR），机器人的运动范围变得更广，并且随着它们对现有室内和室外环境中更快移动的兴趣增加，如果不能在比室内更多样化的环境中处理大量传感信息，并预测周围障碍物的移动，则可能导致重大事故。为了推导出针对城市轨道交通平台优化的设计要求，设计了基于AGV的垂直和水平运输机械和货物升降平台的操作概念。人们提出了一种用于自主移动物流机器人的技术，以使用激光传感器识别在同一空间工作的工人。如图1所示，物流系统中使用的自动驾驶物流转运机器人主要用于工厂或仓库的产品组装、邮件或包裹投递等物料的搬运或分拣。图1(a)为亚马逊运营的KIVA机器人，可以搬运货架。图1（b）显示，通过在头部安装传送带，现有的传送带系统可以自动将货物装卸到机器人上或从机器人上卸下。图1(c)是一个移动协作机器人，将产品运送到生产线并交付给工人。图1(d)可用于使用挂钩进行广泛的牵引作业。图1(e)可以执行消防、农活和运动训练支持等多种任务，其越野能力允许在农场和山地等崎岖地形上自动驾驶。图1(f)是能够运输集装箱的自主车辆。

图1.各种类型的工业自动导引车(AGV)

由于在这种情况下有大量机器人移动，因此可以使用独立的物理服务器集中控制的方法来进行实时控制，但存在一个问题，即由于服务器负载增加，所有机器人都会受到影响、错误和故障。人们提出一种方法，其中每个机器人独立计算和移动最佳路径，并尝试通过与其他机器人实时共享包括障碍物信息在内的周围情况，来判断机器人之间的情况。然而，即使在这种情况下，提前预测驾驶路线上的各种场景情况并更积极地做出响应也是有限制的，即使机器人或周围系统没有功能故障，由于性能限制而导致的危险情况的发生也不足以做出响应。

2.自动驾驶物流机器人SOTIF应用的必要性

ISO 21448预期功能的安全性（SOTIF）旨在减少风险区域（Area 2）和未知风险（Area 3），即周围环境的影响、由于技术或性能对场景感知的局限引起的事故，如图2所示。

图2.SOTIF的目标

图2 (a)显示了SOTIF场景的视图，图2 (b)显示了SOTIF的最终目标，最小化area 2和area 3，并最大化area 1。SOTIF分为四个主要区域。1)已知安全场景(area1)，2)已知不安全场景(area2)，3)未知安全场景(area4)，以及4)未知不安全场景(area3)。图1显示了SOTIF四个区域的可视化。SOTIF的目的是减少未知或不安全的情况。就最近的自动驾驶汽车而言，假定预期功能是安全的，并遵循ISO 26262汽车功能安全标准的应用，以防止因内部/外部系统的缺陷、错误和故障，而可能导致危险的事故行为，人们越来越关注ISO 21448 SOTIF，以防止由于对性能限制和情况的错误认识，或判断而导致事故。此外，正在开展研究，通过应用基于摄像头传感器的责任敏感安全(RSS)模型来提高自动驾驶汽车的安全性。同样，在自主机器人的情况下，应考虑应用SOTIF或RSS模型，以实现特定的服务目的，同时在有限的室内空间中的各种环境中确保户外移动和驾驶环境中的安全。

2.1在人类和未来物流机器人环境中使用的安全问题

在物流环境的情况下，可以根据物流服务或物流系统考虑各种条件，在考虑长途运输的户外物流运输的情况下，应考虑更剧烈的环境变化。为了物流服务的优化或效率化，运输机器人系统将越来越多地提供根据服务优化的形式，并有望发展成能够以更快的速度克服各种环境的形式。在这些多变量的户外物流环境中，如果不事先考虑各种突发障碍物或工作和运输环境突然变化的场景，驾驶机器人自身的算法性能在主动应对方面可能存在局限性。例如，如果事先没有考虑到崎岖不平的道路或滑移量大的低摩擦道路环境的场景，并且没有准备好应对措施，则可能会发生翻车事故。此外，即使是同一个机器人系统，根据与操作员的连接条件或室内/室外环境，也可能会出现各种意想不到的安全问题，这可以根据每个服务专用的工作环境来考虑。

2.2对现行物流机器人国际标准的补充需求

移动性是物流机器人的一个关键因素，各种类型的移动机器人正在基于此开发。对于非机动型后勤支援机械手型机器人，大多是仅固定在室内周围屏障的安全系统，而对于机动型机器人等应对周围环境或快速移动环境变化的系统，在技术和法律上都是不足的。尽管针对当前物流环境的安全问题进行了很多讨论，但还没有制定适合当前服务特点的移动机器人的安全标准。总的来说，它规定了协作工业机器人系统和工作环境的安全要求，补充了要求和指南，描述了与机器人相关的基本风险，并提供了消除或适当降低与这些风险相关的风险的要求。最近的标准，如规定了个人护理机器人（如移动服务机器人、物理辅助机器人和载人机器人）使用的本质安全设计、保障措施和信息的要求和指南，规定了无人驾驶工业卡车（如AVG、AMR、自动引导车、车底等）的安全要求和验证方法，专用的工业移动机器人（IMR）的安全要求开始在全球范围工业中使用。除了室外自主机器人安全评估标准，在美国，继ANSI/RIA R15.08移动机械手标准之后，全球范围正在讨论移动协作机器人的国际标准。因此，仅就物流机器人目前适用的国际标准而言，由于环境的意外变化而导致与周围物体或人或动物发生碰撞而产生的安全问题。尤其是在移动协作机器人方面，仅凭目前的物流机器人标准，可能不仅限制了标准本身的普适性，还可能导致服务行业不同场景的功能和性能不足。

2.3问题定义

如图3所示，在预需求阶段，应提前确定在各种物流环境中可能因服务而产生的几个潜在风险场景，除一般安全要求外，还应根据确定的安全要求设计机器人的规格。

图3.研究对象及范围

3.建立反映SOTIF的自动驾驶物流机器人安全流程

3.1自动驾驶物流机器人运行环境定义及约束条件

在本文中，为了检查SOTIF反射的安全性是否得到保证，物流机器人的运行环境很难预测，并且仅限于图4所示的室内物流环境的特定区域，而不是考虑更多条件的室外环境。约束条件如下。

物流机器人：具备自动驾驶功能，能够分拣、拣选货物，安全运送至目的地。

工作环境：移动机器人在物流环境中所需要的工作，大致可以分为让机器人自行驾驶的自动驾驶技术，和机器人与操作员协同工作的工人跟踪技术。为了避免在运动过程中与其他工人或AGV发生碰撞，它应该能够检测到障碍物并改变路线或停下来等待。

路面状况：工作场所的坡度应保持在最低限度，路面不应不规则。

图4.仓库中使用AGV的工作环境

3.2自动驾驶物流机器人安全系数的识别与定义

基于自动驾驶物流机器人运行系统在仓库的场景识别安全问题，并可根据确定的要求，确定与安全相关的错误和事件，提高系统的安全性。自动驾驶物流机器人系统在物流仓库场景中执行货物的装卸过程。表1显示了自主物流运输机器人系统中可能发生的错误及其影响。

表1.基于场景的危害定义

3.3建立反映自动驾驶物流机器人SOTIF的流程

图2是ISO/DIS 21448 SOTIF标准提出的过程，详细输出如表2。图5显示了SOTIF执行的过程。

图5.ISO/DIS 21448 SOTIF过程

表2.SOTIF流程的工作产品

表2显示了SOTIF每个步骤的性能输出。SOTIF第5条旨在定义和描述自主物流机器人的功能、环境依赖和交互以及其他功能，帮助理解功能，以便它们进行后续步骤的活动。因此，通过对构成系统的最重要部分的认知和判断技术的概念、作用和局限性进行详细描述，明确定义系统预期功能的范围是至关重要的，以确定系统开发的范围。特别是，与自动驾驶汽车中驾驶员误用的考虑类似，与机器人操作员在运行机器人系统时可能发生的错误操作和错误相关的“操作员误用”也可能包含在本SOTIF的范围内。因此，还可以考虑从操作员的角度定义驾驶过程中的主要用例，静态和动态障碍物，包括驾驶路径上的人、队列驾驶中的其他自主机器人、驾驶路径上的环境基础设施和其他系统交互等也需要提及。

可以分析SOTIF条款6，以从SOTIF的角度执行HARA，以识别由于意外操作和潜在后果（风险）而可能发生的风险事件。此时，应用系统理论过程分析(STPA)方法来识别风险源和相应的因果场景。STPA补充了传统方法，例如危险和可运行性研究(HAZOP)、故障树分析(FTA)以及故障模式和影响分析(FMEA)。除了特定功能或组件故障引起的问题外，系统组件之间的相互作用或控制问题也被视为危险，基于构成系统的组件之间的不安全控制动作和导出事故场景，可以有效识别危险。由于SOTIF功能安全活动的目标是解决与未能执行预期功能相关的所有风险事件，因此风险事件的严重性、暴露程度和可控性由运行情况决定。S和C用作不等式，仅描述驾驶员的严重性和可控性，并不确定ASIL等级。

SOTIF条款7的主要目标是分析SOTIF条款6中定义的风险情况的原因，以分析潜在的功能缺陷和触发条件。主要任务是分析触发事件，这是一个风险行动因素，这是为了识别算法在传感器或控制器中的局限性以及可能导致违反安全目标的情况。彻底执行定义和分析触发事件的过程，触发事件是导致这种情况的因素。

SOTIF第8条的目的是定义在第6条衍生的风险发生的情况下，克服第7条触发事件分析工作中分析的发生因素的措施。推导出功能变化反映在第5节定义的系统架构中的功能概念，并通过SOTIF迭代活动再次引出第5节系统规范的内容。避免、减少或减轻SOTIF风险的功能变更方法和行动，可能包括引入减轻SOTIF风险的HMI技术，这取决于系统的权限或运行范围，或者将功能更改为向操作员传达信息的级别。

SOTIF第9条涉及目前开发的功能改变技术的验证计划。应对以下项目进行系统无故障情况下安全违规风险的验证和确认。SOTIF第10条导出了用于验证机器人系统和单个元件（传感器、控制器、致动器）的已知用例，并进行了验证。SOTIF第11条旨在进行充分验证，以防止机器人系统和元件造成不合理的风险水平，即充分验证现实生活中通过长时间驾驶等可能发生的未知原因，或根据新方法进行验证。应执行V&V以充分验证剩余的SOTIF风险。SOTIF第12条旨在确认从SOTIF角度考虑功能安全的机器人系统，在通过批量生产分发给客户之前的剩余SOTIF风险是否在可接受的水平。

4.反映SOTIF的自动驾驶物流机器人设计

如上图2所示，出现许多未知情况意味着意外操作的概率很高，通过SOTIF活动可以减少不安全情况。为此，在设计自动驾驶物流机器人时，如表2第8条所述，这意味着通过解决SOTIF相关风险的功能修改过程，尽可能消除移动物流机器人系统中可能出现的SOTIF风险。

4.1自动驾驶物流机器人设计应用

根据上述流程，自动驾驶物流机器人的设计与应用应运而生。正如本研究中所建议的，应通过执行每一个步骤（侧重于第5条至第8条）来推导和应用相关产品。特别是，为了应用于本研究的自动驾驶物流机器人，必须满足以下约束条件。在本文中，在特定物流环境中实施自动物流机器人的设计时，考虑到现有机器人标准中难以处理的机器人环境条件，应用SOTIF过程方法来识别风险源。这样，通过初始自动驾驶系统架构中的SOTIF设计活动，我们得出了一个新的SOTIF改进架构，该架构反映了五个类别（硬件/软件系统改进、功能限制、操作员授权、操作员监控）中的功能改进和功能更改措施的概念。例如，在从软件角度进行系统改进的情况下，可以考虑人工智能方面的技术应用，例如，目的是持续改善信号质量或测量图像中的有效障碍物。

5.结论

最近，随着配备自动驾驶技术的车辆的普及，ISO 21448等标准已经制定，并提出了用于确保安全的RSS模型。随着自动驾驶技术的进步，机器人与汽车概念之间的差距正在缩小。在本文中，我们根据制定的ISO/DIS 21448 SOTIF标准，应用了仅针对汽车开发的SOTIF标准的过程和方法，考虑到室内和室外物流自动驾驶机器人，这将是一个类似于完全自动驾驶汽车的概念。通过将SOTIF应用于自主物流运输机器人，我们研究了风险因素以及避免和减少已识别风险因素的方法。此外，还证实了将SOTIF应用于自动物流运输机器人可以提高安全性。通过这一结果，预计它将有助于使用自动物流运输机器人的无人物流系统的运行。

培训课程咨询及报名，添加牛小喀微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！