（高清版）GBT 43210.1-2023 機(jī)器人 服務(wù)機(jī)器人模塊化 第1部分：要求

機(jī)器人服務(wù)機(jī)器人模塊化2023-09-07發(fā)布2023-09-07實(shí)施GB/T43210.1—2023/ISO22166-1:2021 V 2規(guī)范性引用文件 l3術(shù)語(yǔ)和定義 23.1一般術(shù)語(yǔ) 23.2組件相關(guān)術(shù)語(yǔ) 33.3模塊相關(guān)術(shù)語(yǔ) 33.4模塊分類術(shù)語(yǔ) 63.5主功能模塊的特征 64一般原則 74.1概述 74.2模塊化一般原則 74.2.1通則 74.2.2可組合性 4.2.3可集成性 74.2.4互操作性 74.2.5模塊粒度 4.2.6平臺(tái)獨(dú)立性 4.2.7開放性 84.2.8復(fù)用性 4.2.10(信息)安全 84.3抽象 4.4電氣接口和通信協(xié)議 94.5互換性 94.6模塊屬性 4.6.1通則 4.6.2模塊識(shí)別 4.8互操作性的數(shù)據(jù)類型 5安全和(信息)安全原則 5.1通則 IⅡGB/T43210.1—2023/ISO22166-1:20215.2機(jī)器人系統(tǒng)級(jí)安全 5.3模塊級(jí)安全 5.4(信息)安全的通用方面 5.5模塊(信息)安全的設(shè)計(jì)步驟 5.6模塊的物理(信息)安全 5.7模塊的網(wǎng)絡(luò)(信息)安全 6模塊設(shè)計(jì)的硬件部分 6.1概述 6.2模塊硬件部分的要求和指南 6.2.1機(jī)械接口 通則 連接的精度和可靠性 連接剛度 機(jī)械連接器和連接 6.2.2動(dòng)力的接口 6.2.3模塊說(shuō)明的其他方面 7模塊設(shè)計(jì)的軟件部分 7.1概述 7.2信息模型 7.2.2模塊間的信息交換模型 7.2.3屬性訪問模型及其訪問 7.2.4錯(cuò)誤處理和恢復(fù)模型 7.2.5軟件模塊的互操作性 7.3軟件模塊的架構(gòu)模型 7.3.1通則 7.3.2軟件模塊的要求 7.4具有軟件部分的模塊的安全/(信息)安全相關(guān)要求 7.4.1通則 7.4.2與安全/(信息)安全管理器模塊的交互 8使用信息 8.2標(biāo)識(shí)或標(biāo)示 8.3給用戶的信息 8.4服務(wù)信息 附錄A(資料性)機(jī)器人模塊模板 附錄B(資料性)機(jī)器人模塊示例 ⅢGB/T43210.1—2023/ISO22166-1:2021附錄C(資料性)服務(wù)機(jī)器人模塊化示例 附錄D(資料性)機(jī)器人測(cè)試指南 參考文獻(xiàn) V本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件是GB/T43210《機(jī)器人服務(wù)機(jī)器人模塊化》的第1部分。GB/T43210已經(jīng)發(fā)布了以下——第1部分：通用要求。本文件等同采用ISO22166-1:2021《機(jī)器人服務(wù)機(jī)器人模塊化第1部分：通用要求》。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國(guó)機(jī)器人標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC591)歸口。本文件起草單位：北京機(jī)械工業(yè)自動(dòng)化研究所有限公司、深圳云天勵(lì)飛技術(shù)股京)智能科技股份有限公司、立宏安全設(shè)備工程(上海)有限公司、清能德創(chuàng)電氣技術(shù)(北京)有限公司、蘇VI本文件的制定是為了應(yīng)對(duì)快速發(fā)展的服務(wù)機(jī)器人行業(yè)。目前，服務(wù)機(jī)器人市場(chǎng)覆蓋了許多小型細(xì)分領(lǐng)域，人們很難開發(fā)出所需的特殊的且廣泛適用的組件。預(yù)計(jì)服務(wù)機(jī)器人的市場(chǎng)規(guī)模和應(yīng)用將顯著增長(zhǎng)，其功能也逐漸增加。為了實(shí)現(xiàn)服務(wù)機(jī)器人的廣泛應(yīng)用和互操作發(fā)展，需要一種通用的制造服務(wù)機(jī)器人的方法。本文件列出了通用的要求。一方面，目前在服務(wù)機(jī)器人設(shè)計(jì)中，采用的依賴制造商的架構(gòu)給設(shè)計(jì)和開發(fā)帶來(lái)了困難；在服務(wù)機(jī)器人的產(chǎn)品升級(jí)中，模塊的替換和重復(fù)利用幾乎是不可能的。另一方面，研究界也建立了一個(gè)龐大的機(jī)器人模塊化設(shè)計(jì)知識(shí)庫(kù)，并繼續(xù)開發(fā)新的實(shí)現(xiàn)模塊化的方法，但沒有一種方法被廣泛使用并產(chǎn)生重要影響。在這種情況下，本文件可以幫助服務(wù)機(jī)器人制造商在市場(chǎng)所要求的成本下生產(chǎn)出高質(zhì)量的產(chǎn)品，并且迫切需要新的方法來(lái)幫助市場(chǎng)發(fā)展，以應(yīng)對(duì)全球挑戰(zhàn)。本文件有關(guān)服務(wù)機(jī)器人模塊化和服務(wù)機(jī)器人模塊的互操作，聚焦于安全、(信息)安全、連接性(從硬件和軟件的角度)和功能等主要問題，這對(duì)于改變服務(wù)機(jī)器人的格局，加快新型服務(wù)機(jī)器人市場(chǎng)的形成至關(guān)重要。本文件將服務(wù)機(jī)器人模塊化分為具有硬件和/或軟件部分的基礎(chǔ)模塊和復(fù)合模塊。要求和指南的形成，便于實(shí)現(xiàn)基于模塊的設(shè)計(jì)方法，在特定的服務(wù)機(jī)器人和服務(wù)機(jī)器人系統(tǒng)應(yīng)用中滿足用戶的要求，并易于配置。這些問題被分為a)安全和(信息)安全、b)互操作性的指南。此外，實(shí)現(xiàn)開放的模塊化方法使模塊易于被其他具有相同規(guī)格接口的模塊所替代，但可能需要增強(qiáng)其功能性?，F(xiàn)行的安全標(biāo)準(zhǔn)(例如，ISO13482、ISO10218-1、ISO適用于系統(tǒng)層面，也適用于單個(gè)模塊層面。本文件制定關(guān)于模塊層面的安全指南，以確保機(jī)器人系統(tǒng)安全符合C類標(biāo)準(zhǔn)。在采用開放的模塊化方法時(shí)，(信息)安全問題非常重要，因此其也被包含在本文件中[例如，其與IEC/TC44和IEC/TC65(信息)安全相關(guān)的工作項(xiàng)目保持一致]。GB/T43210《機(jī)器人服務(wù)機(jī)器人模塊化》旨在規(guī)范各類型服務(wù)機(jī)器人的模塊化設(shè)計(jì)，擬由以下部——第1部分：通用要求。目的是提出服務(wù)機(jī)器人模塊化設(shè)計(jì)的通用要求與指南?！?01部分：通用信息模型。目的是提出模塊化服務(wù)機(jī)器人的通用信息模型?！?02部分：軟件信息模型。目的是提出模塊化服務(wù)機(jī)器人的軟件信息模型?！?03部分：硬件信息模型與物理接口。目的是提出模塊化服務(wù)機(jī)器人的硬件信息模型與物理接口。 ——第302部分：移動(dòng)模塊。目的是規(guī)范模塊化服務(wù)機(jī)器人的移動(dòng)模塊設(shè)計(jì)。——第303部分：感知模塊。目的是規(guī)范模塊化服務(wù)機(jī)器人的感知模塊設(shè)計(jì)?！?04部分：任務(wù)規(guī)劃與決策模塊。目的是規(guī)范模塊化服務(wù)機(jī)器人的任務(wù)規(guī)劃與決策模塊設(shè)計(jì)?！?01部分：移動(dòng)仆從機(jī)器人模塊。目的是規(guī)范移動(dòng)仆從機(jī)器人的特殊模塊設(shè)計(jì)?！?02部分：身體輔助機(jī)器人模塊。目的是規(guī)范身體輔助機(jī)器人的特殊模塊設(shè)計(jì)?！?01部分：醫(yī)療機(jī)器人模塊。目的是規(guī)范醫(yī)療機(jī)器人的特殊模塊設(shè)計(jì)。1GB/T43210.1—2023/ISO22166-1:2021機(jī)器人服務(wù)機(jī)器人模塊化1范圍本文件提出了在各種環(huán)境(包括個(gè)人和專業(yè)領(lǐng)域)應(yīng)用的開放模塊設(shè)計(jì)和服務(wù)機(jī)器人模塊集成的模塊框架規(guī)格要求與指南。本文件適用于下列用戶：——模塊化服務(wù)機(jī)器人框架開發(fā)者(規(guī)定了服務(wù)機(jī)器人的性能框架);——模塊設(shè)計(jì)者和/或制造商(服務(wù)于終端用戶或機(jī)器人集成商);——服務(wù)機(jī)器人集成商(選擇適用模塊構(gòu)建模塊化系統(tǒng))。本文件包括如何將現(xiàn)有的安全和(信息)安全標(biāo)準(zhǔn)應(yīng)用于服務(wù)機(jī)器人模塊的指南。本文件不是安全標(biāo)準(zhǔn)。本文件適用于服務(wù)機(jī)器人，但是本文件提出的模塊化原則并不限制在機(jī)器人使用，也可供其他領(lǐng)域的框架開發(fā)者、模塊制造商和模塊集成商使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于ISO9787機(jī)器人與機(jī)器人裝備坐標(biāo)系和運(yùn)動(dòng)命名原則(IndustrialrobotsCoordinatesystemsandmotionnomenclatures)注：GB/T16977—2019機(jī)器人與機(jī)器人裝備坐標(biāo)系和運(yùn)動(dòng)命名原則(ISO9787:2013,IDT)ISO12100:2010機(jī)械安全設(shè)計(jì)通則風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)減小(Safetyofmachinery—Generalprinciplesfordiesign—Riskassessmentandriskreduction)ISO/TR22100-4機(jī)械安全與ISO12100的關(guān)系第4部分：機(jī)械制造商考慮相關(guān)IT安全(網(wǎng)絡(luò)安全)方面的指南[Safetyofmachinery—RelationshipwithISO12100—Part4:Guidancetomachin-erymanufacturersforconsiderationofrelatedIT-security(cybersecurity)aspects]ISO/IEC27032信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全指南(Informationtechnology—Securitytech-niques—Guidelinesforcybersecurity)IEC61076-1電子設(shè)備連接器產(chǎn)品要求第1部分：通用規(guī)范(Connectorsforelectronicequip-ment—Productrequirements—Part1:Genericspecification)IEC61984連接器安全要求和試驗(yàn)(Connectors—Safetyrequirementsandtests)IEC/TS62443-1-1工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)與系統(tǒng)安全第1-1部分：術(shù)語(yǔ)概念和模型(Industrialcommunicationnetworks—Networkandsystemsecurity—Part1-1:Terminology,conceptsandmodels)注：GB/T40211—2021工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全I(xiàn)EC62443-2-1工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)與系統(tǒng)安全程序(Industrialcommunicationnetworks—Network第2-1部分：建立工業(yè)自動(dòng)化和控制系統(tǒng)安全andsystemsecurity—Part2-1:Establishing2GB/T43210.1—2023/ISO22166-1:2021anindustrialautomationandcontrolsystemsecurityprogram)注：GB/T33007—2016工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序(IEC62443-2-1:2010,IDT)IEC62443-3-3工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)(Industrialcommu-nicationnetworks—Networkandsystemsecurity—Systemsecurityrequirementsandsecuritylevels)注：GB/T35673—2017工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)(IEC62443-3-3:2013,IDT)NISTSP800-154以數(shù)據(jù)為中心的系統(tǒng)威脅建模指南(Guidetodata-centricsystemthreatmod-elling)NISTSP800-160vols1and2可信賴安全系統(tǒng)工程中多學(xué)科方法的系統(tǒng)安全工程考慮(Systemssecurityengineeringconsiderationsforamultidisciplinaryapproachintheengineeringoftrustworthysecuresystems)3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1一般術(shù)語(yǔ)抽象層abstractionlayer可以用不同的和通用的更抽象的方式訪問系統(tǒng)的部分或全部功能的系統(tǒng)接口。使系統(tǒng)各部分之間連接和斷開的物理機(jī)構(gòu)。電氣接口electricalinterface運(yùn)行生命周期executionlifecycle有限狀態(tài)機(jī)規(guī)定的某部分的功能運(yùn)行的所有階段。執(zhí)行要求的能力的喪失。因內(nèi)在狀況喪失按要求執(zhí)行的能力。功能function3GB/T43210.1—2023/ISO22166-1:2021功能安全functionalsafety整體安全中與EUC和EUC控制系統(tǒng)相關(guān)的部分，它取決于E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施正確執(zhí)行其功能。HAL包含硬件部分的組件/模塊的抽象層，利用抽象層通過軟件接口提供對(duì)組件/模塊的控制。注：硬件抽象層的目的一般是使不同的模塊可以通過相同的軟件接口訪問。信息模型informationmodel實(shí)體在受控環(huán)境中的抽象和表示，包括它們的性能、屬性和運(yùn)行以及它們彼此關(guān)聯(lián)的方式。3.2組件相關(guān)術(shù)語(yǔ)某獨(dú)立的且可識(shí)別的部分，可以與其他的部分組合成更大的部分。注1:組件可以是軟件或硬件。某個(gè)組件主要是軟件或硬件，可以被認(rèn)為是軟件組件或硬件組件。注2:組件不需要有任何模塊化的特定屬性。注4:一個(gè)模塊可以是一個(gè)組件，但是一個(gè)組件不必是一個(gè)模塊。由計(jì)算機(jī)編程算法組成的組件。硬件組件hardwarecomponent由物理單元及其運(yùn)行可能需要的嵌入式軟件組成的組件。能在邏輯上和物理上通過各種組合將模塊組合成新的模塊的能力(不需要適應(yīng)模塊或額外的接口按照一定數(shù)量和類型連接和設(shè)置模塊，組合成復(fù)合模塊的組合方式，以實(shí)現(xiàn)模塊化機(jī)器人作為一個(gè)4GB/T43210.1—2023/ISO22166-1:2021注1:ISO8373也定義了構(gòu)形(關(guān)節(jié)),但是此處是不同的概念。注2:該術(shù)語(yǔ)描述了某一過程的結(jié)果，即：某種狀態(tài)。產(chǎn)生這種狀態(tài)的過程包含在術(shù)語(yǔ)配置(3.3.3)中。設(shè)置模塊的數(shù)量、類型、連接方式以及對(duì)模塊的設(shè)置，以實(shí)現(xiàn)模塊化服務(wù)機(jī)器人作為一個(gè)整體的預(yù)期功能。一個(gè)機(jī)器人模塊可以被分解為獨(dú)立模塊的程度。硬件部分hardwareaspects模塊及其物理互連所必需的屬性和功能的信息，以及工作環(huán)境的物理屬性所允許范圍的信息。基礎(chǔ)設(shè)施infrastructure支持模塊和系統(tǒng)工作的結(jié)構(gòu)化設(shè)施和資源。接口interface兩個(gè)或多個(gè)功能模塊之間的共享邊界，由適合于功能、信號(hào)交換和其他特性的各種特性定義。[來(lái)源：ISO/IEC/IEEE24765:2017,3.2058,定義1]在模塊之間進(jìn)行通信、執(zhí)行程序或傳輸數(shù)據(jù)或供電的能力，或以某種方式在物理上和/或邏輯上組合模塊的能力，這種方式需要用戶知道很少或完全不了解單個(gè)模塊的特性。模塊能被另一個(gè)模塊替換的屬性。注：互換性與制造商或不同制造商生產(chǎn)的模塊有關(guān)。機(jī)械接口mechanicalinterface與其他模塊連接的物理方式，用于傳遞物理力，便于模塊功能和/或配置結(jié)構(gòu)。注1:傳遞的物理力包括作為計(jì)劃功能一部分的預(yù)期目的受控力，以及有意圖的(例如，結(jié)構(gòu)支撐)和無(wú)意圖的(例注2:ISO8373使用該術(shù)語(yǔ)來(lái)定義操作機(jī)和末端執(zhí)行器之間的機(jī)械接口。在本文件中，該術(shù)語(yǔ)有更廣泛的含義，包括機(jī)器人模塊之間的任何機(jī)械接口。模塊化modularity系統(tǒng)可以被分離成獨(dú)立模塊并重新組合的一種特性。模塊module組件或利用已定義的接口和屬性配置文件進(jìn)行組裝的組件，以促進(jìn)系統(tǒng)設(shè)計(jì)、集成、互操作和重復(fù)5GB/T43210.1—2023/ISO22166-1:2021注1:一個(gè)模塊可能同時(shí)具有硬件和軟件部分。其可能由其他組件(硬件和軟件)或其他模塊(硬件和軟件)組成。注2:并不要求也不阻止使用開源軟件來(lái)實(shí)現(xiàn)部分或全部開放模塊的功能。所有軟件二進(jìn)制文件、配置信息和支持具有軟件部分模塊的設(shè)計(jì)功能的必要文件的集合。模塊的特征或特性。模塊屬性子集值的目錄。服務(wù)質(zhì)量qualityofservice為了實(shí)現(xiàn)預(yù)期的整體運(yùn)行，模塊服務(wù)于其他連接模塊的最低性能水平。改變模塊化機(jī)器人的構(gòu)形，以實(shí)現(xiàn)對(duì)模塊化機(jī)器人功能的預(yù)期改變。采用之前設(shè)計(jì)的和生產(chǎn)的模塊，以促進(jìn)新模塊和機(jī)器人系統(tǒng)的開發(fā)，并實(shí)現(xiàn)所需的不同功能的機(jī)器人模塊robotmodule作為模塊化機(jī)器人系統(tǒng)某部分的模塊。注2:機(jī)器人模塊作為服務(wù)機(jī)器人模塊化的重要組成部分，見附錄B中示例。自動(dòng)重置self-reconfiguration必要時(shí)，無(wú)需對(duì)系統(tǒng)/子系統(tǒng)進(jìn)行外部交互，自動(dòng)改變模塊化機(jī)器人的配置，但是，該程序的啟動(dòng)軟件部分softwareaspects模塊及其接口以及該模塊功能的執(zhí)行生命周期內(nèi)所需的外部軟件屬性信息。6GB/T43210.1—2023/ISO22166-1:2021基礎(chǔ)模塊basicmodule不能分解成更小的模塊。示例：服務(wù)機(jī)器人的基礎(chǔ)模塊可以定義為輸入模塊、處理模塊、輸出模塊或基礎(chǔ)設(shè)施支持模塊。復(fù)合模塊compositemodule由兩個(gè)或多個(gè)的模塊構(gòu)成的模塊。注：模塊制造商可以選擇復(fù)合模塊的內(nèi)部結(jié)構(gòu)文件，包括可能訪問的內(nèi)部接口或替換內(nèi)置模塊的程序文件。但模塊的實(shí)現(xiàn)完全由物理部件組成，包括機(jī)械部件、電子電路和一些軟件(不能通過通信接口從外部進(jìn)行訪問),如固件。示例2:增強(qiáng)型機(jī)械關(guān)節(jié)，包括一個(gè)微控制器、控制器上的軟件和電機(jī)，控制剛度或阻尼等特性；其硬件部分還包括為嵌入式電子設(shè)備和嵌入式電機(jī)供電的連接器，包括規(guī)定電壓和電流限制。注：硬件模塊具有硬件部分。它由硬件組件組成。完全由編程算法組成的模塊。注：軟件模塊具有軟件部分。它由軟件組件組成。3.5主功能模塊的特征致動(dòng)器模塊actuatormodule致動(dòng)模塊actuatingmodule主要功能是響應(yīng)其他模塊的指令，移動(dòng)機(jī)器人或改變機(jī)器人周圍環(huán)境以完成機(jī)器人系統(tǒng)的任務(wù)的向其他媒介開放通信接口或提供模塊之間互連的模塊。注：與其他媒介連接的接口可以通過Wi-Fi、移動(dòng)網(wǎng)絡(luò)、以太網(wǎng)等連接。為軟件模塊提供計(jì)算資源的模塊。注：計(jì)算資源是用于執(zhí)行軟件的硬件，包括分布式模塊?；A(chǔ)設(shè)施模塊infrastructuremodule提供設(shè)施和資源以支持其他模塊工作的模塊。注1:例如，其他模塊使用的設(shè)施包括用于物理連接點(diǎn)的機(jī)械框架、用于通信和動(dòng)力的線纜(其可以附著到框架上)。注2:例如，其他模塊使用的資源包括動(dòng)力、內(nèi)存和處理器、機(jī)器人間或機(jī)器人與服務(wù)器之間的通信橋(或集線器)。7傳感模塊sensingmodule用于收集機(jī)器人周圍環(huán)境或機(jī)器人狀態(tài)數(shù)據(jù)的輸入模塊，(這些數(shù)據(jù))供其他模塊使用以支持機(jī)器人系統(tǒng)執(zhí)行任務(wù)。檢查其他模塊的狀態(tài)的軟件模塊，可控制一種狀態(tài)到另一種狀態(tài)的轉(zhuǎn)換，使各模塊具有適合的工作4一般原則本章介紹了服務(wù)機(jī)器人模塊化的基本概念。為了描述這些概念，宜使用SysML(OMGSysML),其足模塊化原則，制造商宜完成驗(yàn)證和確認(rèn)的本條款解釋了模塊設(shè)計(jì)宜遵循的通用原則。雖然這些原則中，部分原則是推薦性的，但是模塊設(shè)計(jì)者應(yīng)滿足以下要求：——記錄所選擇的模塊化方法；——為集成商使用模塊提供所有必要的信息。這些原則能應(yīng)用于具有硬件或軟件部分的模塊。在本章中，除非另有說(shuō)明，模塊廣義上指基本模塊模塊應(yīng)設(shè)計(jì)成在邏輯上和物理上能組裝成復(fù)合模塊，以執(zhí)行更復(fù)雜的運(yùn)行，并滿足運(yùn)行和安全要求。模塊的組合宜基于提供的接口信息進(jìn)行，而不需要內(nèi)部結(jié)構(gòu)信息。模塊可以在數(shù)據(jù)庫(kù)或存儲(chǔ)庫(kù)中組合，使其重復(fù)使用變得更實(shí)際。這將在7.2.2中進(jìn)一步介紹。模塊硬件部分和軟件部分的設(shè)計(jì)應(yīng)使它們能集成為更大的系統(tǒng)，以完成預(yù)期的目標(biāo)服務(wù)或功能。為了模塊間的連接可靠，宜設(shè)計(jì)適當(dāng)?shù)慕涌凇Ｓ赡K組合的系統(tǒng)的安全方面在第5章中介紹。模塊應(yīng)設(shè)計(jì)成能與其他模塊連接與工作。它們宜易于連接，并且宜通過適當(dāng)?shù)倪B接器共享動(dòng)力和數(shù)據(jù)。為確保數(shù)據(jù)交換，應(yīng)按照第7章的規(guī)定，定義接口協(xié)議并在適當(dāng)?shù)膶哟紊蠈?shí)現(xiàn)。模塊的功能宜在模塊化框架中以適當(dāng)?shù)牧６葘?shí)現(xiàn)：基礎(chǔ)模塊和復(fù)合模塊?；A(chǔ)模塊和復(fù)合模塊的示例見附錄B。8模塊的設(shè)計(jì)宜能在不同的服務(wù)機(jī)器人上實(shí)現(xiàn)，或者在不進(jìn)行重大修改的情況下與不同的模塊組合在一起。軟件模塊宜設(shè)計(jì)為通過微小的修改，可以在不同的平臺(tái)上運(yùn)行，例如，嵌入式計(jì)算系統(tǒng)、Linux、Windows或?qū)崟r(shí)操作系統(tǒng)。在不同的服務(wù)機(jī)器人系統(tǒng)中使用的具有硬件部分的模塊宜在不同的平臺(tái)上運(yùn)行。本文件中所指的開放性應(yīng)包括具有硬件部分的模塊的機(jī)械和電氣接口及模塊間的軟件接口，其中軟件接口宜包括由具有硬件和軟件部分模塊組成的參考架構(gòu)以及在安全、信息安全和測(cè)試方法方面的宜通過提供相關(guān)信息來(lái)支持模塊的重復(fù)使用，如模塊對(duì)集成商的依賴性和不兼容性。復(fù)用性是指模塊通過適當(dāng)定義的接口在不同平臺(tái)上使用和重復(fù)使用的能力。模塊的接口設(shè)計(jì)應(yīng)實(shí)現(xiàn)模塊的可重復(fù)使用?？梢灾貜?fù)使用的相關(guān)接口包括軟件接口、模塊間的連接器以及模塊硬件部分之在適當(dāng)情況下，宜通過管理創(chuàng)建、配置和重新配置等選項(xiàng)以及模塊的更新和整體維護(hù)要求，支持模塊的復(fù)用性。在所有與安全相關(guān)的應(yīng)用中，模塊的設(shè)計(jì)宜符合相關(guān)的安全標(biāo)準(zhǔn)。此外，模塊的設(shè)計(jì)還宜支持模塊化系統(tǒng)的整體安全。模塊制造商宜提供必要的信息以支持集成商進(jìn)行系統(tǒng)的安全設(shè)計(jì)。具有軟件部分或通信接口的模塊宜設(shè)計(jì)成可阻止未經(jīng)授權(quán)的方式或人員的訪問。此外，模塊的設(shè)計(jì)宜支持模塊化系統(tǒng)的整體(信息)安全。宜使用抽象層來(lái)定義硬件和軟件之間的標(biāo)準(zhǔn)接口，為了：——支持互操作性和復(fù)用性；——簡(jiǎn)化仿真和建模；——形成實(shí)施的獨(dú)立性和平臺(tái)獨(dú)立性。注1:例如，可以同時(shí)使用紅外傳感軟件模塊和超聲傳感軟件模塊來(lái)獲得機(jī)器人到附近物體的距離。這兩個(gè)模塊可以分別使用紅外傳感器和超聲波傳感器的設(shè)備驅(qū)動(dòng)讀取距離值。在這種情況下，即使這兩個(gè)模塊使用相同的數(shù)據(jù)，但是這兩個(gè)模塊可能無(wú)法重復(fù)使用和互操作，因?yàn)槊總€(gè)模塊使用它們自己的設(shè)備驅(qū)動(dòng)程序。為了保證這兩個(gè)讀取距離值的模塊的復(fù)用性，需要一個(gè)抽象的設(shè)備驅(qū)動(dòng)程序。然后，由于這一抽象層，不同的傳感模塊可以被使用，即使許多制造商提供不同類型的距離測(cè)量傳感器。注2:軟件模塊中的軟件部分使用抽象層來(lái)訪問伺服電機(jī)、激光傳感器等硬件設(shè)備。注3:在本文件中，可選擇使用硬件抽象層或其他形式的設(shè)備驅(qū)動(dòng)程序(見7.3)?？梢酝ㄟ^直接調(diào)用設(shè)備驅(qū)動(dòng)程序的軟件功能使一個(gè)模塊化機(jī)器人系統(tǒng)的特定應(yīng)用得以實(shí)現(xiàn)。抽象包括在底層通信技術(shù)不同的情況下，使用轉(zhuǎn)換技術(shù)。9電氣接口和通信協(xié)議宜符合已發(fā)布的標(biāo)準(zhǔn)。注1:數(shù)據(jù)總線和通信網(wǎng)絡(luò)的接口包括硬件和軟件部分。通用接口設(shè)置的概念性示例如圖1所示，包括了功能、電源和運(yùn)行環(huán)境。注2:表1介紹了一些通信協(xié)議的示例。通信協(xié)議經(jīng)常被植入軟件中，有時(shí)也植入硬件中，如ISO/IEC7498-1中定義的OSI參考模型中的第2層到第7層所示。電氣接口硬件宜設(shè)計(jì)成不得由于接近其他電線或設(shè)備而使通信受到干擾。應(yīng)使用標(biāo)準(zhǔn)的連接器。標(biāo)引序號(hào)說(shuō)明：1——致動(dòng)器；2——傳感器；3——電源；4——環(huán)境；5——功能；6——電源。圖1模塊間通用接口設(shè)置的概念性示例(詳見第六章)表1可用于模塊的通信協(xié)議示例參考類型備注ISO11898-1/2和EN50325-4/5CAN和CANopenCAN媒體接入單元子層通常在收發(fā)器的集成電路中實(shí)現(xiàn)。CAN數(shù)據(jù)連接層協(xié)議和物理信號(hào)子層在CAN協(xié)議控制器中實(shí)現(xiàn)，CANopen應(yīng)用層通常在微控制器上運(yùn)行的軟件中實(shí)現(xiàn)ISO/IEC/IEEE8802-3:2017IETF793或ISO/IEC14766(TCP)、RFC791(IPv4)、RFC2460(IPv6)Ethernet和TCP/IP端口物理層(PHYs)和媒介訪問控制(MAC)可選擇集成在特定技術(shù)的控制器上實(shí)現(xiàn)(該協(xié)議在世界范圍內(nèi)廣泛使用)IEC62680和USBCDCUSB存在許多實(shí)現(xiàn)方法。USB通信設(shè)備類(CDC)是復(fù)合的通用串行總線設(shè)備類FieldbusIEC61158對(duì)常用的現(xiàn)場(chǎng)總線協(xié)議進(jìn)行標(biāo)準(zhǔn)化，包括基金會(huì)現(xiàn)場(chǎng)總線、Profibus、WorldFIP、CC-link、EtherCATModbus-RTPS,SERCOS等模塊的互換性和重組性與模塊的連接性密切相關(guān)，可分為不同的級(jí)別；本文件考慮了以下級(jí)別：——1級(jí)：僅制造商或機(jī)器人系統(tǒng)集成商可互換模塊；——3級(jí)：當(dāng)機(jī)器人啟動(dòng)時(shí)(熱插拔),用戶可以互換模塊；——4級(jí)：機(jī)器人自身可互換模塊(激活驅(qū)動(dòng)的熱插拔)。自動(dòng)配置(3級(jí)和4級(jí))可能導(dǎo)致錯(cuò)誤運(yùn)行或危險(xiǎn)情況。相關(guān)的安全和(信息)安全問題在第5章中介紹。為了避免模塊狀態(tài)的不明確，宜避免對(duì)正在運(yùn)行的機(jī)器人功能進(jìn)行自動(dòng)配置。模塊制造商應(yīng)提供模塊的互換性級(jí)別。不同級(jí)別的互換性對(duì)連接器的設(shè)計(jì)、安全和(信息)安全、耐久性、模塊文件等方面的要求有不同的含義，如表2所示。表2不同級(jí)別互換性的推薦級(jí)別更換頻率連接器設(shè)計(jì)文件安全軟件1低可以將機(jī)械和電氣部分簡(jiǎn)單地獨(dú)立連接具備技術(shù)知識(shí)的讀者宜被更換后的風(fēng)險(xiǎn)評(píng)估所包括安裝和配置復(fù)雜，并可手動(dòng)調(diào)整2中-高合適的復(fù)合插頭不具備技術(shù)知識(shí)的讀者需要為用戶提供安全限制。當(dāng)通電時(shí)，系統(tǒng)能進(jìn)行一致性檢查以包的形式設(shè)計(jì)，自動(dòng)解決依賴3高具備熱插拔功能的復(fù)合插頭不具備技術(shù)知識(shí)的讀者需要為用戶提供安全限制。當(dāng)其他功能正在執(zhí)行時(shí)，系統(tǒng)需要執(zhí)行一致性檢查運(yùn)行時(shí)，自動(dòng)加載、卸載和切換模塊4高具有熱插拔功能和大容差自動(dòng)連接的復(fù)合插頭不具備技術(shù)知識(shí)的讀者安全限制需要以機(jī)器可讀的形式提供。當(dāng)其他功能正在執(zhí)行時(shí)，系統(tǒng)需要執(zhí)行一致性檢查運(yùn)行時(shí)，自動(dòng)加載、卸載和切換模塊模塊化機(jī)器人系統(tǒng)的信息模型宜提供模塊屬性和各個(gè)模塊互換和自動(dòng)配置的信息。模塊屬性應(yīng)存儲(chǔ)在模塊屬性文件中。當(dāng)一個(gè)模塊被轉(zhuǎn)移使用或重復(fù)使用時(shí)，模塊文件應(yīng)與該模塊一起使用或重復(fù)使用。模塊宜使用由制造商發(fā)布的字符串或數(shù)字代碼來(lái)命名或識(shí)別。此外，產(chǎn)品本身和供應(yīng)商宜使用類似的名稱或標(biāo)識(shí)碼進(jìn)行標(biāo)識(shí)。這些信息可用于基于模塊的服務(wù)機(jī)器人設(shè)計(jì)，模塊可以(半)自動(dòng)配置機(jī)器人系統(tǒng)。如果模塊使用數(shù)據(jù)總線，宜在請(qǐng)求時(shí)將自己的標(biāo)識(shí)碼(ID)傳遞給其他模塊和監(jiān)督模塊。模塊可自動(dòng)配置機(jī)器人的硬件(包括結(jié)構(gòu))和軟件?！K類型和/或模塊ID;——制造商名稱和/或制造商ID;——生產(chǎn)日期； 從系統(tǒng)(信息)安全的角度來(lái)看，模塊的識(shí)別宜通過設(shè)計(jì)合適的(信息)安全相關(guān)模塊的身份驗(yàn)證程序進(jìn)行驗(yàn)證。如果使用仿真來(lái)驗(yàn)證一個(gè)模塊的設(shè)計(jì)和功能，宜識(shí)別所使用模塊的限制和約束。特別是，安全和(信息)安全宜采用預(yù)期應(yīng)用中的實(shí)際測(cè)試，進(jìn)行驗(yàn)證。為了對(duì)模塊化系統(tǒng)進(jìn)行適當(dāng)?shù)姆抡?，模塊制造商應(yīng)提供模塊仿真所需的相關(guān)信息?？蚣茉O(shè)計(jì)者宜明確哪些信息是必要的，并以何種形式提供這些信息(例如，提供紙質(zhì)信息或作為參數(shù)文件導(dǎo)入仿真工具中)。用于仿真的模塊信息包括：——可執(zhí)行的通用控制算法；——輸入(傳感器)或輸出(致動(dòng)器)模塊的接口，確定要交換的信息的格式和類型；——傳感器模塊從仿真環(huán)境獲取信息的方法；——致動(dòng)器模塊在仿真環(huán)境中工作的方法。注1:各種模塊的詳細(xì)規(guī)范不在本文件的討論范圍內(nèi)。注2:可以通過模塊模板，提供仿真數(shù)據(jù)。4.8互操作性的數(shù)據(jù)類型模塊化框架應(yīng)定義在模塊化框架和中間件中使用的數(shù)據(jù)類型。IEC/TR62390中規(guī)定了常見的整型和實(shí)型數(shù)據(jù)類型的精度。模塊化框架還應(yīng)定義通用復(fù)合數(shù)據(jù)類型的約定。推薦定義以下約定，少量的通用復(fù)合數(shù)據(jù)類型建立在這些約定上[見OMGRLS(機(jī)器人定位服務(wù))]。a)空間中的一個(gè)位置是相對(duì)于某個(gè)坐標(biāo)系定義的。根據(jù)實(shí)現(xiàn)，該坐標(biāo)系被定義在固定的位置和朝向。可以在笛卡爾正交坐標(biāo)系中，用一組三個(gè)實(shí)數(shù)(x,y,z)給出坐標(biāo)。坐標(biāo)也可以用一對(duì)數(shù)字(x,y)給出，但可以認(rèn)為是x=0的一組三個(gè)實(shí)數(shù)。b)朝向可以用兩種方式確定。三維空間中，朝向一般以四元數(shù)的形式給出，其可轉(zhuǎn)換為一個(gè)四元數(shù)組(c,su,sv,sw);其中，(u,v,w)為旋轉(zhuǎn)軸，c和s分別為半旋轉(zhuǎn)角的余弦和正弦。或c)移動(dòng)機(jī)器人的位置和姿態(tài)按ISO19649和ISO9787規(guī)定的標(biāo)準(zhǔn)坐標(biāo)系給出。d)2D和3D對(duì)象的幾何數(shù)據(jù)從現(xiàn)有標(biāo)準(zhǔn)中選擇。模塊化框架還可定義參考或限制。如何在模塊間輸入/輸出數(shù)據(jù)宜結(jié)構(gòu)化。模塊制造商宜在模塊框架定義的允許范圍內(nèi)，為模塊選擇合適的數(shù)據(jù)類型和數(shù)據(jù)結(jié)構(gòu)。數(shù)據(jù)類型和數(shù)據(jù)結(jié)構(gòu)的信息應(yīng)在模塊描述中聲明(模塊示例見附錄B)。5安全和(信息)安全原則本章給出了如何將已發(fā)布的安全和(信息)安全標(biāo)準(zhǔn)的要求應(yīng)用于模塊和系統(tǒng)(基于模塊的系統(tǒng))中的指南。本章不應(yīng)作為不遵守安全和(信息)安全標(biāo)準(zhǔn)的理由。注1:安全可以從單個(gè)模塊的層次(通常由模塊制造商完成)和服務(wù)機(jī)器人系統(tǒng)的層次(通常由集成商完成)進(jìn)行評(píng)估。在機(jī)器人設(shè)計(jì)和機(jī)器人模塊設(shè)計(jì)中，安全和(信息)安全是兩個(gè)相互影響的不同的設(shè)計(jì)方面。機(jī)器人系統(tǒng)和/或機(jī)器人模塊的(信息)安全漏洞可能導(dǎo)致與安全相關(guān)的危害。因此，機(jī)器人模塊制造商宜通過風(fēng)險(xiǎn)評(píng)估，評(píng)估與(信息)安全相關(guān)的性能在預(yù)期使用中造成的危害的可能性，設(shè)計(jì)者宜通過模塊設(shè)計(jì)來(lái)減小這種危害。服務(wù)機(jī)器人系統(tǒng)的某個(gè)模塊的(信息)安全漏洞可能導(dǎo)致整個(gè)服務(wù)機(jī)器人系統(tǒng)出現(xiàn)(信息)安全漏洞，從而造成危害。模塊制造商宜關(guān)注模塊的(信息)安全漏洞可能會(huì)在機(jī)器人系統(tǒng)中擴(kuò)展。因此，機(jī)器人設(shè)計(jì)者在模塊化設(shè)計(jì)時(shí)宜考慮安全和(信息)安全方面?，F(xiàn)有的適用于機(jī)器人和機(jī)器人系統(tǒng)的安全標(biāo)準(zhǔn)，包括：——ISO12100用于機(jī)械風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減??；——ISO13482用于個(gè)人助理機(jī)器人；——ISO13849-1、IEC61508系列和IEC62061用于功能安全。在模塊化機(jī)器人系統(tǒng)軟件中，會(huì)涉及機(jī)器人的各種各樣的模塊。ISO/IEC/IEEE12207:2017和ISO/IEC/IEEE15288:2015定義了軟件開發(fā)的生命周期，以確保達(dá)到所要求的質(zhì)量。IEC61508-3規(guī)定了作為控制系統(tǒng)安全相關(guān)部分的軟件的安全要求。軟件的安全要求僅適用于軟件中與安全相關(guān)的部分，見7.2和7.4。當(dāng)采用模塊化的設(shè)計(jì)方法時(shí)，提高多用途的服務(wù)機(jī)器人系統(tǒng)的重新配置能力，應(yīng)考慮ISO12100規(guī)定的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減小的過程，確保滿足安全要求，即使是添加/刪除/重新配置模塊。例如，重新配置后再次進(jìn)行風(fēng)險(xiǎn)評(píng)估。這些要求既可應(yīng)用于系統(tǒng)級(jí)別，又可應(yīng)用于模塊級(jí)別。除正常的基于安全的風(fēng)險(xiǎn)評(píng)估外，設(shè)計(jì)者和/或服務(wù)機(jī)器人集成商應(yīng)結(jié)合(信息)安全的風(fēng)險(xiǎn)評(píng)估對(duì)安全進(jìn)行評(píng)估。例如，可以通過添加模塊來(lái)降低危害。但是，機(jī)器人系統(tǒng)的模塊結(jié)構(gòu)的任何改變，宜再次評(píng)估模塊重新配置后的安全和(信息)安全風(fēng)險(xiǎn)。評(píng)估機(jī)器人系統(tǒng)和模塊(信息)安全，應(yīng)使用以下標(biāo)準(zhǔn)：——ISO/TR22100-4用于機(jī)械的IT(信息)安全方面；——ISO/IEC27032用于網(wǎng)絡(luò)安全的一般準(zhǔn)則；——IEC62443-2-1用于工業(yè)自動(dòng)化(信息)安全程序；——IEC62443-3-3用于控制系統(tǒng)的(信息)安全級(jí)別；——NISTSP800-154用于數(shù)據(jù)中心系統(tǒng)威脅建模；——NISTSP800-160volsland2用于系統(tǒng)(信息)安全工程。圖2給出了安全和(信息)安全風(fēng)險(xiǎn)的相關(guān)性以及如何解決。模塊制造商和集成商(以及適用情況下的模塊框架設(shè)計(jì)者)應(yīng)符合現(xiàn)有的適用的安全標(biāo)準(zhǔn)的規(guī)定和要求，如圖2水平線所示。模塊的(信息)安全風(fēng)險(xiǎn)評(píng)估應(yīng)參考模塊安全分析中相同的預(yù)期用途、可預(yù)見的誤用和“機(jī)器限制”(如ISO12100:2010中5.3)。(信息)安全風(fēng)險(xiǎn)評(píng)估和減小的過程(如圖2垂直線所示)宜是一個(gè)迭代過程：等效于ISO12100:2010第4章圖1中的步驟1和步驟2,或者直到各自進(jìn)程結(jié)束。安全和(信息)安全風(fēng)險(xiǎn)的評(píng)估和減小的復(fù)合過程(如圖2對(duì)角線所示)宜是一個(gè)迭代過程。如果(信息)安全措施與預(yù)期的安全功能(為了滿足安全要求)發(fā)生沖突，應(yīng)優(yōu)先降低安全風(fēng)險(xiǎn)，同時(shí)仍盡可能降低(信息)安全風(fēng)險(xiǎn)。注2:模塊制造商可嘗試單個(gè)的安全功能的不同實(shí)現(xiàn)，但仍增強(qiáng)安全增強(qiáng)安全用于模塊安全安全危險(xiǎn)安全措施安全模塊用于模塊(信息)安全(信息)安全風(fēng)險(xiǎn)評(píng)估(信息)安全漏洞餐安全與(信息)安全風(fēng)險(xiǎn)評(píng)估安全相關(guān)的(信息)安全措施(信息)安全模塊(信息)安全相關(guān)的安全風(fēng)險(xiǎn)和安全相關(guān)全漏洞安全與(信息)安全模塊(信息)安強(qiáng)(信息)安全風(fēng)險(xiǎn)評(píng)估模塊安全圖2機(jī)器人模塊的安全與(信息)安全考慮適用的情況。雖然模塊化可能在預(yù)期應(yīng)用的現(xiàn)有標(biāo)準(zhǔn)中沒有明確適用范圍，但現(xiàn)有標(biāo)準(zhǔn)中提出的原則，對(duì)于提出適當(dāng)?shù)哪K要求和測(cè)試方法是有用的。關(guān)于測(cè)試機(jī)器人模塊的詳細(xì)信息見附錄D。模塊集成商宜考慮以下信息：——與外部系統(tǒng)的關(guān)系(物理布局、接口等);——模塊和系統(tǒng)級(jí)的維護(hù)指引。5.2機(jī)器人系統(tǒng)級(jí)安全由機(jī)器人模塊組成的機(jī)器人系統(tǒng)的(信息)安全評(píng)估方法與沒有模塊的機(jī)器人系統(tǒng)的(信息)安全評(píng)估方法之間沒有不同。這些方法已經(jīng)包括在現(xiàn)有的標(biāo)準(zhǔn)中。模塊化服務(wù)機(jī)器人的框架開發(fā)者負(fù)責(zé)：——設(shè)計(jì)各種服務(wù)機(jī)器人模塊的架構(gòu)和組成；——確保模塊間安全信號(hào)的正確連接和處理；——評(píng)估典型應(yīng)用用例所需的機(jī)器人安全。注1:典型應(yīng)用用例包括不同級(jí)別的安全、(信息)安全、安全與(信息)安全的復(fù)合安全及質(zhì)量。注2:信號(hào)既包括輸入或輸出模塊的緊急停止信號(hào)等硬件信號(hào)，也包括通過有線或無(wú)線網(wǎng)絡(luò)交換的數(shù)據(jù)信號(hào)。在通過網(wǎng)絡(luò)交換數(shù)據(jù)信號(hào)的情況下，網(wǎng)絡(luò)宜滿足功能安全要求。模塊制造商應(yīng)負(fù)責(zé)明確模塊的預(yù)期應(yīng)用。模塊集成商應(yīng)負(fù)責(zé)：——符合5.1提及的適用機(jī)器人的安全標(biāo)準(zhǔn)；——說(shuō)明系統(tǒng)的預(yù)期使用，并將其與模塊制造商提出的預(yù)期用例的相關(guān)性和緊密性進(jìn)行比較；——遵守模塊制造商規(guī)定的安全原則，包括所需的使用條件。如果機(jī)器人系統(tǒng)或其應(yīng)用發(fā)生變化，風(fēng)險(xiǎn)評(píng)估應(yīng)考慮這些變化(示例見附錄C)。如果最終用戶想改變模塊化機(jī)器人系統(tǒng)，風(fēng)險(xiǎn)評(píng)估應(yīng)包括由于可能的配置所導(dǎo)致的危害。注3:適用的使用限制和必要的安全注意事項(xiàng)及相應(yīng)步驟是機(jī)器人系統(tǒng)用戶手冊(cè)的一部分。模塊化服務(wù)機(jī)器人框架開發(fā)者應(yīng)采用風(fēng)險(xiǎn)減小的設(shè)計(jì)措施，以確保：——整體安全信號(hào)和錯(cuò)誤狀態(tài)以及使用和傳輸?shù)囊?guī)則；——所有模塊宜具備的安全特點(diǎn)或最低安全性能；——核心項(xiàng)目應(yīng)包括在安全性能的文件中。模塊的設(shè)計(jì)應(yīng)考慮已發(fā)布的適用于電氣和機(jī)械安全的標(biāo)準(zhǔn)(機(jī)器人模塊測(cè)試見附錄D)。軟件的安全要求在5.4中介紹。如果電機(jī)具有停止功能，模塊宜提供符合IEC61800-5-2相應(yīng)的安全功能。為了避免模塊間通信失效，系統(tǒng)宜使用黑通道通信(見IEC62280和IEC61784-3)。在這種情況下，模塊的可靠性宜設(shè)計(jì)成與安全相關(guān)，宜構(gòu)建保證安全功能可靠性的路徑。性能等級(jí)(PL)或安全完整性等級(jí)(SIL)應(yīng)歸屬于安全功能。PL/SIL可用于評(píng)估整個(gè)機(jī)器人系統(tǒng)的安全功能的整體性能。模塊制造商宜發(fā)布模塊與其他模塊之間共享的所有安全功能的PL或SIL。模塊中與安全無(wú)關(guān)的信號(hào)可能仍然有用，并為了安全有關(guān)的功能向其他模塊報(bào)告。設(shè)計(jì)機(jī)器人模塊所遵循的過程可能不同于常規(guī)的系統(tǒng)設(shè)計(jì)，因?yàn)槟K設(shè)計(jì)者/制造商在設(shè)計(jì)階段無(wú)法獲得最終具體應(yīng)用(只知道典型的用例場(chǎng)景)。機(jī)器人模塊制造商可通過以下步驟來(lái)確保滿足適當(dāng)和充分的安全設(shè)計(jì)要求。a)定義預(yù)期用例，并為每個(gè)用例盡可能多地描述相關(guān)細(xì)節(jié)。b)對(duì)于每個(gè)用例，都宜進(jìn)行假設(shè)性機(jī)器人系統(tǒng)設(shè)計(jì)。應(yīng)考慮模塊的所有可預(yù)見應(yīng)用。宜考慮模塊合理的可預(yù)見的誤用。注1:必要時(shí)，可假定系統(tǒng)有安全監(jiān)督(見7.2和7.4)。c)對(duì)于每個(gè)預(yù)期的用例應(yīng)用，宜確定潛在的危險(xiǎn)(ISO12100:2010中附錄B,包括了宜考慮的潛在危險(xiǎn)列表)。d)為了進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，宜將模塊視為單個(gè)模塊，并考慮其在預(yù)期用例應(yīng)用中可能造成哪些潛在危險(xiǎn)。模塊的安全要求宜基于一些假設(shè)性的最壞的用例。e)模塊制造商宜對(duì)每個(gè)預(yù)期用例完成安全風(fēng)險(xiǎn)評(píng)估，并為模塊內(nèi)任何與安全相關(guān)的功能定義適注2:并非在所有情況下都需要采取所有步驟。模塊制造商宜記錄預(yù)期用例及其假設(shè)，并向模塊集成商提供以下信息：——模塊使用信息；——模塊安全運(yùn)行的環(huán)境條件；——模塊的安全相關(guān)功能信息；——模塊提供給其他模塊的數(shù)據(jù)信息，可能對(duì)模塊之外的安全有意義(例如，在安全監(jiān)督內(nèi))。注3:IEC60204-1提供了操作界面和緊急停止等功能的安全要求，可能與模塊相關(guān)。作為一個(gè)例子，移動(dòng)機(jī)器人平臺(tái)安全系統(tǒng)的兩種可能的實(shí)現(xiàn)，在真實(shí)世界里具有更多(安全相關(guān))特性的模塊更容易集成與使用。示例：由兩個(gè)不同制造商提供的復(fù)合模塊具有以下特點(diǎn)：——平臺(tái)1有電機(jī)，其機(jī)械地限制平臺(tái)的最大速度為1m/s。平臺(tái)控制器接受期望的移動(dòng)速度作為當(dāng)前速度的輸入和輸出，但這兩個(gè)信號(hào)都不與安全相關(guān)，也沒有性能等級(jí)評(píng)級(jí)。——平臺(tái)2最大速度可達(dá)2m/s。平臺(tái)控制器通過高性能等級(jí)提供安全相關(guān)的速度控制。因此，期望的速度輸入和當(dāng)前的速度輸出是與安全相關(guān)的。機(jī)器人集成商設(shè)計(jì)了一個(gè)具有平臺(tái)1的移動(dòng)機(jī)器人，其簡(jiǎn)單的安全系統(tǒng)由激光掃描模塊組成，具有固定的保護(hù)范圍，當(dāng)機(jī)器人以1m/s的速度運(yùn)行時(shí)，能及時(shí)停止。當(dāng)使用平臺(tái)2代替平臺(tái)1時(shí)，機(jī)器人集成商宜大幅增加激光掃描儀的保護(hù)范圍，以適應(yīng)可能的2m/s最大速度。反而，集成商決定使用2號(hào)平臺(tái)的安全相關(guān)的速度控制功能。在這種情況下，當(dāng)平臺(tái)實(shí)際高速運(yùn)行時(shí)，才需要最大的保護(hù)區(qū)域。對(duì)于緩慢的對(duì)接操作，可減少保護(hù)范圍。實(shí)例表明，當(dāng)使用平臺(tái)2時(shí)，系統(tǒng)具有其所需的安全特性，則更能適應(yīng)不斷變化的環(huán)境要求。注4:使用速度控制和改變保護(hù)范圍要求激光掃描模塊和安全監(jiān)督模塊都支持這一功能。5.4(信息)安全的通用方面模塊級(jí)(信息)安全宜確保單個(gè)模塊能抵御未經(jīng)授權(quán)的訪問，以防止攻擊影響模塊的機(jī)密性、完整性——未經(jīng)授權(quán)訪問內(nèi)部數(shù)據(jù)(可能影響知識(shí)產(chǎn)權(quán)或個(gè)人數(shù)據(jù));——未經(jīng)授權(quán)訪問和更改模塊配置和內(nèi)部參數(shù)設(shè)置(可能影響安全);——由于攻擊導(dǎo)致的模塊或者模塊化機(jī)器人的損壞或無(wú)法正常使用。對(duì)機(jī)器人系統(tǒng)的模塊進(jìn)行篡改宜作為一種安全危害，因?yàn)闄C(jī)器人系統(tǒng)或者其部分可能由于安全系統(tǒng)的損壞導(dǎo)致不受控制的移動(dòng)。為了確認(rèn)模塊的(信息)安全等級(jí)，見附錄D。網(wǎng)絡(luò)安全是一個(gè)不斷發(fā)展的領(lǐng)域，需要在模塊設(shè)計(jì)中加以考慮，因此宜考慮最新的網(wǎng)絡(luò)安全發(fā)展。所提出的設(shè)計(jì)方法與前文各安全子條款提出的步驟非常相似。注1:目前沒有可供參考的(信息)安全等級(jí)。根據(jù)(信息)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇模塊和模塊化服務(wù)機(jī)器人的保護(hù)措施，考慮以下：——暴露于潛在的入侵者(內(nèi)部人員和外部人員);——未經(jīng)授權(quán)的訪問可能造成的潛在危害(例如，對(duì)可用性或安全的影響);——入侵者獲取訪問的潛在動(dòng)機(jī)(例如，訪問有價(jià)值的隱私數(shù)據(jù))。為了實(shí)現(xiàn)系統(tǒng)級(jí)(信息)安全，所有互連模塊的數(shù)據(jù)交換宜能為未經(jīng)授權(quán)訪問的物理數(shù)據(jù)端口提供充分保護(hù)。模塊內(nèi)部的通信、模塊之間的通信和機(jī)器人系統(tǒng)外部的通信宜進(jìn)行不同設(shè)計(jì)。注2:在機(jī)械和機(jī)器人系統(tǒng)中，幾乎所有的現(xiàn)代安全裝置和安全相關(guān)功能都存在某種通信和(嵌入式)軟件。幾乎任何軟件都有可能受到行為和安全功能改變的影響。如果某模塊與其他模塊或機(jī)器人系統(tǒng)之外共享數(shù)據(jù)，未經(jīng)授權(quán)訪問的可能性和影響會(huì)更大。第7章描述了更多的細(xì)節(jié)。本文件使用安全及(信息)安全的綜合級(jí)別對(duì)模塊進(jìn)行分類，具體如下。a)無(wú)安全或(信息)安全需要：無(wú)安全和(信息)安全要求適用于不會(huì)傷害人且不連接任何外部系統(tǒng)的小型和輕型機(jī)器人。b)(信息)安全需要：適用于模塊的預(yù)期用途，包括機(jī)器人內(nèi)部通信或與外部系統(tǒng)通信。第6章介紹了硬件相關(guān)的(信息)安全措施，第7章介紹了軟件和通信相關(guān)的(信息)安全措施。c)某些情況下，可設(shè)計(jì)一個(gè)安全但潛在的非(信息)安全的系統(tǒng)；這宜取決于應(yīng)用是否可接受。d)綜合安全和(信息)安全需要：只有同時(shí)滿足了安全和(信息)安全要求，系統(tǒng)才能被認(rèn)為是安全的。確保充分安全和(信息)安全的風(fēng)險(xiǎn)評(píng)估流程如圖2所示。注3:只有硬件而沒有軟件的系統(tǒng)，如安全開關(guān)，這是少數(shù)例外，盡管不具備(信息)安全，但可認(rèn)為是安全的。5.5模塊(信息)安全的設(shè)計(jì)步驟機(jī)器人模塊制造商宜采用以下步驟，以確保適當(dāng)和充分的(信息)安全設(shè)計(jì)。a)從(信息)安全的角度定義模塊的用例。這些用例與為安全而定義的用例相似，但也可不同。b)應(yīng)考慮模塊的預(yù)期和潛在應(yīng)用。注：如有必要，可假設(shè)系統(tǒng)具有(信息)安全監(jiān)督(見7.2和7.4)。c)設(shè)計(jì)人員宜完成每個(gè)用例的(信息)安全風(fēng)險(xiǎn)評(píng)估，以提出模塊維護(hù)的(信息)安全需求，以保障模塊和系統(tǒng)的(信息)安全。d)模塊內(nèi)軟件宜符合7.4的(信息)安全要求。e)核對(duì)安全數(shù)據(jù)交換(如7.4所示)的指南。f)核對(duì)5.7的硬件指南，以防止對(duì)模塊的非法訪問。g)宜獨(dú)立地對(duì)每個(gè)模塊進(jìn)行(信息)安全風(fēng)險(xiǎn)評(píng)估，并在步驟2中定義的用例場(chǎng)景中進(jìn)行結(jié)果評(píng)估。模塊制造商在模塊設(shè)計(jì)時(shí)宜考慮物理(信息)安全的以下幾個(gè)方面，而集成商則宜考慮模塊化機(jī)器人系統(tǒng)的物理(信息)安全：——通信端口的(信息)安全；——外部對(duì)內(nèi)部組件的物理訪問。注：模塊可通過總線系統(tǒng)傳遞給相鄰的模塊。因此，(信息)安全漏洞可從一個(gè)模塊擴(kuò)展到另一個(gè)模塊。模塊制造商和集成商應(yīng)考慮以下措施來(lái)限制對(duì)模塊或系統(tǒng)的通信端口的訪問，例如，——門閂傳感器[無(wú)(信息)安全要求，但需要知道是否處于打開或關(guān)閉狀態(tài)];——采用物理鑰匙的機(jī)械鎖；——采用閂鎖致動(dòng)器的機(jī)械鎖。沒有(信息)安全措施的模塊宜在受保護(hù)的環(huán)境中使用，例如，內(nèi)部研究實(shí)驗(yàn)室環(huán)境，或僅限于小型和輕型服務(wù)機(jī)器人使用。模塊(或其固件和軟件)宜：——禁止未經(jīng)授權(quán)的篡改；——為模塊的數(shù)據(jù)存儲(chǔ)、處理和交換提供(信息)安全保障；——提供通信(信息)安全保障。注1:采用網(wǎng)絡(luò)(信息)安全措施的必要性取決于模塊的預(yù)期用途。模塊的網(wǎng)絡(luò)(信息)安全宜設(shè)計(jì)為實(shí)現(xiàn)以下(信息)安全目標(biāo)：保密性、完整性和可用性。在進(jìn)行網(wǎng)絡(luò)注2:IEC62443系列標(biāo)準(zhǔn)包括了工業(yè)自動(dòng)化系統(tǒng)的通用(信息)安全方面。一個(gè)涵蓋機(jī)器(信息)安全的標(biāo)準(zhǔn)正在制定中；IEC/TR63074介紹了與控制系統(tǒng)的功能安全有關(guān)的(信息)安全方面。6模塊設(shè)計(jì)的硬件部分本章描述了具有硬件部分的模塊(包括硬件模塊)的互操作性和復(fù)用性的要求和指南。對(duì)于具有硬件部分的模塊，為了實(shí)現(xiàn)有效的模塊化設(shè)計(jì)框架并滿足本文件中提出的互操作性、安全和(信息)安全要求，表3展示了應(yīng)考慮的主要連接性問題。具有硬件部分的模塊的連接性應(yīng)與示例一并進(jìn)行說(shuō)明。設(shè)計(jì)硬件模塊或具有硬件部分的模塊(例如，致動(dòng)器),需要考慮安全、(信息)安全、動(dòng)力、信號(hào)以及機(jī)械注：硬件模塊或具有硬件部分的模塊的連接可以是物理的(例如，動(dòng)力、數(shù)據(jù)),也可以是更抽象的交互(例如，安全、(信息)安全、環(huán)境、機(jī)械)。例如，如果一個(gè)模塊與(信息)安全有關(guān)，則該模塊存在(信息)安全問題，或者這個(gè)模塊與其他(信息)安全相關(guān)的模塊以某種方式進(jìn)行數(shù)據(jù)交換。表3通過示例模塊說(shuō)明模塊化框架的連接性模塊/交互環(huán)境機(jī)械數(shù)據(jù)動(dòng)力(信息)安全安全致動(dòng)器(A)√√√√√√電源(P)√√√傳感器(S,數(shù)字/模擬)√√√√√√軟件計(jì)算(CS)√√√√監(jiān)督(SU)√√√√√用戶界面(UI)√√√√√6.2模塊硬件部分的要求和指南——連接器和接口的規(guī)格；——帶有占位符的連接器規(guī)格(盲或空連接器并不是模塊必需的);——針對(duì)不同物理耐久性和尺寸要求的連接器的多種物理尺寸規(guī)格，例如：針對(duì)操作機(jī)不同部件的——數(shù)據(jù)總線和/或動(dòng)力回路的機(jī)械連接規(guī)格；——接口規(guī)格，該規(guī)格可讓數(shù)據(jù)總線或動(dòng)力通過模塊形成回路，即使模塊本身不需要連接它們(例注1:雖然建議在模塊中集成連接器，但在結(jié)合模塊的機(jī)械連接和分離的物理運(yùn)動(dòng)上，面臨特殊的設(shè)計(jì)挑戰(zhàn)，因?yàn)樾枰瑫r(shí)通過連接器的連接和非連接以保持?jǐn)?shù)據(jù)、動(dòng)力、安全和(信息)安全的預(yù)期運(yùn)行。如果魯棒性設(shè)計(jì)不能滿足預(yù)期用途的要求，則模塊可能會(huì)帶來(lái)安全和性能風(fēng)險(xiǎn)，最終導(dǎo)致故障和失效。宜對(duì)模塊與其他模塊的連接和分離進(jìn)行適當(dāng)?shù)臏y(cè)試和確認(rèn)。如適用，使用信息應(yīng)說(shuō)明測(cè)試和確認(rèn)是必須的。模塊應(yīng)附有開展模塊與其他模塊的連接和分離測(cè)試和確認(rèn)的使用信息。使用信息應(yīng)包括具有硬件部分的模塊之間的連接和功能的信息，例如：——在靜態(tài)和預(yù)計(jì)動(dòng)態(tài)運(yùn)動(dòng)情況下，預(yù)期剛度的模塊對(duì)準(zhǔn)、模塊定位和模塊鎖定；——在模塊預(yù)期用例中，機(jī)械連接器的機(jī)械連接/鎖定機(jī)構(gòu)達(dá)到規(guī)定精度和剛度?？紤]到模塊的預(yù)期用途和具體用例，在模塊規(guī)定的壽命內(nèi)，模塊可能會(huì)斷開連接和重新連接許多——使用漸進(jìn)過盈配合，使物理接觸點(diǎn)連接在一起而不損壞；——使用同軸和/或錐形結(jié)構(gòu)，以減少在配合期間的角或橫向運(yùn)動(dòng)，以避免接觸點(diǎn)磨損、撕裂和——采用環(huán)形結(jié)構(gòu)創(chuàng)建多個(gè)接觸點(diǎn)，增加物理連接的分布，提高機(jī)械連接的精度；——使用兼容性的材料和結(jié)構(gòu)設(shè)計(jì)構(gòu)建更具兼容性機(jī)械連接，通過擴(kuò)展結(jié)構(gòu)來(lái)分布機(jī)械力，避免單注2:工業(yè)機(jī)器人接口標(biāo)準(zhǔn)可應(yīng)用于服務(wù)機(jī)器人模塊，例如，ISO9409-1、ISO9409-2和ISO11593。模塊制造商宜提供機(jī)械接口規(guī)格，以便其他模塊制造商或集成商使用，包括：——機(jī)械零件的CAD數(shù)據(jù)；——插頭的制造商和型號(hào)；——插針的設(shè)置。在服務(wù)機(jī)器人模塊化設(shè)計(jì)中，模塊之間的連接根據(jù)預(yù)期用途宜具有以下連接特征，如圖3所示：——?jiǎng)恿Γ弧獢?shù)據(jù)；——(信息)安全；——安全；與安全有關(guān)的模塊應(yīng)保證它們之間的連接安全。模塊應(yīng)規(guī)定它們之間的連接精度。a)關(guān)節(jié)連接b)關(guān)節(jié)與末端執(zhí)行器的連接標(biāo)引序號(hào)說(shuō)明：1——機(jī)械；2——數(shù)據(jù)；3——?jiǎng)恿Γ?——(信息)安全；5——安全。圖3模塊化關(guān)節(jié)所需連接特性示例使用信息應(yīng)包括模塊連接器的可靠性規(guī)格，包括以下內(nèi)容?！K接口的魯棒性和可靠性參數(shù)。對(duì)準(zhǔn)機(jī)械表面的磨損，以及動(dòng)力、數(shù)據(jù)及安全的集成連接可承受連接/斷開循環(huán)的最少次數(shù)。 模塊接口的耐久性。在模塊頻繁更換或可能出現(xiàn)污垢和過載等極端條件的情況下，模塊應(yīng)經(jīng)過驗(yàn)證與確認(rèn)具體的循環(huán)次數(shù)。最少循環(huán)次數(shù)宜由制造商規(guī)定。模塊制造商宜至少滿足模塊化框架中定義的要求，或者定義其自主的規(guī)格，以滿足預(yù)期應(yīng)用。模塊和模塊接口宜具有足夠的剛度，將靜態(tài)和動(dòng)態(tài)的力和力矩在模塊間傳遞，并通過驗(yàn)證和確認(rèn)，通常稱為包絡(luò)線設(shè)計(jì)。為了限制模塊相對(duì)于模塊另一端的幾何形變，可以在模塊接口或模塊另一端的三個(gè)軸(x、y、z)上規(guī)定最大加載扭矩和力?！锢砟K另一端的最大幾何形變小于規(guī)定值；——最大扭力加載時(shí)，最大旋轉(zhuǎn)形變小于規(guī)定值。在可能情況下，模塊宜設(shè)計(jì)為使用最少或不使用工具來(lái)連接。如果模塊相對(duì)較小，宜手動(dòng)(即無(wú)輔速接觸等情況，并且不會(huì)對(duì)機(jī)械接口造成損壞。制造商宜推薦具體測(cè)試，以評(píng)估在特殊用例應(yīng)用下采用的連接/斷開的耐久性(見附錄D)。如果連接器集成在模塊中，宜提供模塊安全連接/斷開的必要說(shuō)明。注：建議單電纜解決方案的特殊類型的連接器，特別是在電機(jī)驅(qū)動(dòng)和運(yùn)動(dòng)控制中，該連接器集成了機(jī)械接口、電源、數(shù)據(jù)和安全信號(hào)，同時(shí)提供安全連接/斷開的必要說(shuō)明。如適用，電氣連接器應(yīng)符合IEC61076-1和/或IEC61984中提出的要求。連接器的選擇和定位宜符合：——合力/運(yùn)動(dòng)軌跡在規(guī)定限制內(nèi)；——數(shù)據(jù)通信及其完整性的要求；——已發(fā)布的相關(guān)安全要求(見第5章)。在設(shè)計(jì)模塊的集成細(xì)節(jié)時(shí)，宜考慮電氣、氣動(dòng)或液壓連接器的機(jī)械負(fù)載和力。宜確保：——在尺寸和電氣上，不同連接器的正確物理交互；——減少接口內(nèi)不同連接器之間的EMC/EMI;——通過接口內(nèi)的集成連接器進(jìn)行流體動(dòng)力傳動(dòng)時(shí)，無(wú)液體或氣體泄漏。各種動(dòng)力為所有致動(dòng)器提供動(dòng)力或能量。制造商宜選擇合適的動(dòng)力類型，如電氣(交流或直流)、氣制造商應(yīng)規(guī)定動(dòng)力提供的額定和最大輸出負(fù)載能力。模塊宜設(shè)計(jì)為可附加其他模塊的最小儲(chǔ)存。如果模塊可任意被重新組合，則無(wú)法預(yù)先確定某個(gè)模塊的最大功率是多少。每個(gè)臂關(guān)節(jié)需要5A電流，因此，如果的六個(gè)臂關(guān)節(jié)串聯(lián)成一個(gè)臂，第一個(gè)模塊需要能承受30A。電源可有電池或其他儲(chǔ)能系統(tǒng)，并可與電源管理系統(tǒng)協(xié)同工作，實(shí)現(xiàn)智能化功能?！狪EC60529定義的防護(hù)等級(jí)(IP)。——涉及與人接觸的應(yīng)用的生物相容性?！群头直媛剩?模塊設(shè)計(jì)的軟件部分考慮到服務(wù)機(jī)器人系統(tǒng)中軟件模塊的特殊需求，本章描述了具有軟件部分的模塊的互操作性和復(fù)用性設(shè)計(jì)的要求和指南。信息模型用于實(shí)現(xiàn)互操作性和復(fù)用性。因此，模塊宜具有合適的信息模型。由于模塊的內(nèi)部細(xì)節(jié)不是本文件的重點(diǎn)，本章側(cè)重于模塊之間的接口，定義了模塊的外部輸入和外部輸出。由于具有相同功能的不同模塊宜是可互換的，因此需要通過規(guī)定應(yīng)用層允許的通信模型來(lái)定義輸入和輸出模塊的數(shù)據(jù)流類型。通信模型的示例包括發(fā)布/訂閱模型、客戶端/服務(wù)器模型、黑板共享內(nèi)存模型(見表4)。機(jī)器人軟件模塊可基于中間件框架進(jìn)行開發(fā)，例如，ROS、OpenRTM,OPRoS和ORO-COS。在第5章介紹了具有軟件部分的模塊的安全和(信息)安全方面。表4不同用途的軟件通信接口模型序號(hào)信息類型支持信息交換模型備注1數(shù)據(jù)發(fā)布/訂閱模型數(shù)據(jù)可通過一個(gè)或多個(gè)通信模型傳輸。數(shù)據(jù)在模塊之間、集成開發(fā)環(huán)境(或工具)和模塊之間進(jìn)行交換客戶端/服務(wù)器模型黑板共享內(nèi)存模型2包客戶端/服務(wù)器模型在集成開發(fā)環(huán)境(或工具)和模塊之間交換文件處理事件。因此，軟件組件在內(nèi)部提供一些功能，使得數(shù)據(jù)可通過通信API或消息格式進(jìn)行修改，或者此外，具有軟件部分的模塊可訪問硬件組件，并能讀取模塊的配置文件來(lái)初始化和正確地運(yùn)行它們。這可以是直接訪問或通過設(shè)備驅(qū)動(dòng)程序或HAL訪問。它們使軟件模塊訪問硬件組件，而不需要修改模塊的代碼。注：可使用現(xiàn)有的規(guī)格來(lái)定義軟件模塊，例如，用于服務(wù)界面的OMGRolS(機(jī)器人交互服務(wù))或用于表示位置和坐標(biāo)系統(tǒng)的OMGRLS(機(jī)器人定位服務(wù))。信息交換模型應(yīng)被用于模塊之間信息交換。信息包括變量的值、服務(wù)的調(diào)用、事件的處理以及文件變量類型分為周期變量和非周期變量，服務(wù)類型分為阻塞(同步)服務(wù)和非阻塞(異步)服務(wù)。由于許多國(guó)際標(biāo)準(zhǔn)和事實(shí)通信協(xié)議的存在，所以沒有規(guī)定兩個(gè)或多個(gè)具有軟件部分的模塊之間的協(xié)議。對(duì)遠(yuǎn)程主機(jī)的遠(yuǎn)程訪問是使用本章中的消息格式執(zhí)行的，其由中間件提供。中間件還支持本地主機(jī)中軟件模塊之間的信息交換。注：本地主機(jī)和遠(yuǎn)程主機(jī)分別指目前已登錄的計(jì)算模塊(其作為軟件模塊)和其他計(jì)算模塊(軟件想要通過通信協(xié)議連接)。具有軟件部分的模塊之間的信息交換模型應(yīng)支持以下：a)讀寫數(shù)據(jù)；b)調(diào)用服務(wù)；c)事件注冊(cè)和處理；實(shí)時(shí)情況下的響應(yīng)時(shí)間宜包括總體數(shù)據(jù)傳輸和服務(wù)調(diào)用時(shí)間。在其他軟件模塊的實(shí)例中，模型宜至少支持以下一種數(shù)據(jù)讀寫方法：——訂閱/發(fā)布；——黑板(通過共享內(nèi)存)。制造商可采用其他方法，但互操作性要求應(yīng)在模塊模板中提供。模塊制造商宜設(shè)計(jì)信息交換的消息格式，以滿足以下要求：——支持兩個(gè)或多個(gè)中間件之間信息交換的編/解碼規(guī)則；具有軟件部分的模塊應(yīng)使用其屬性值，以保證模塊正確執(zhí)行，以及其初始化值的設(shè)置。該模塊應(yīng)具a)模塊的制造商信息；期性的)等；f)外部提供的(阻塞或非阻塞)服務(wù)調(diào)用；g)外部提供的信息；h)正確執(zhí)行必要的初始值；i)確保模塊運(yùn)行和安全的相應(yīng)的軟硬件要求。如果一個(gè)模塊需要一個(gè)特定的事件序列和/或指令被正確初始化，或者如果模塊需要一個(gè)特定的序示例1:在機(jī)器人系統(tǒng)的較高的部分開始運(yùn)行之前，所有的車輪模塊宜進(jìn)行正確的運(yùn)行。示例2:在激光傳感器模塊或相機(jī)模塊用于安全導(dǎo)航之前，宜初始化并運(yùn)行。服務(wù)機(jī)器人級(jí)別上的序列需要由系統(tǒng)集成商實(shí)現(xiàn)和配置，并且可由模塊控制(例如，監(jiān)督模塊)。具有軟件部分的模塊應(yīng)提供讀取配置文件，并根據(jù)配置文件設(shè)置軟件組件的屬性和將修改的規(guī)定屬性寫入至具有特定屬性的配置文件的功能。模塊應(yīng)使用模型定義的功能，讀取配置文件來(lái)初始化軟——設(shè)置屬性值；——獲取屬性值。模塊中的錯(cuò)誤會(huì)導(dǎo)致服務(wù)機(jī)器人故障或非正常運(yùn)行。這些錯(cuò)誤會(huì)導(dǎo)致機(jī)器人服務(wù)陷入危險(xiǎn)狀況。注1:錯(cuò)誤是故障的表示。應(yīng)將失效分為與安全有關(guān)的失效和與安全無(wú)關(guān)的失效，如圖4所示，可通過安全/(信息)安全管理器進(jìn)行管理。根據(jù)應(yīng)用程序和運(yùn)行環(huán)境，與安全相關(guān)的失效可能是由安全無(wú)關(guān)的失效產(chǎn)生的結(jié)果。安全相關(guān)安全相關(guān)錯(cuò)誤激活全相關(guān)錯(cuò)誤休眠能與功能)軟件故障(設(shè)計(jì)/編程)硬件故障圖4安全相關(guān)與非安全相關(guān)的失效具有軟件部分的模塊處理錯(cuò)誤應(yīng)支持以下方式來(lái)處理和恢復(fù)錯(cuò)誤狀況：——向/自外部模塊(見圖6)發(fā)送和接收錯(cuò)誤狀態(tài)和錯(cuò)誤恢復(fù)數(shù)據(jù)，例如，安全管理器模塊(見7.4);注2:非安全錯(cuò)誤包括在其他錯(cuò)誤中。——支持執(zhí)行生命周期內(nèi)(見圖6)的安全(見7.3);——提供未知錯(cuò)誤的處理方法。模塊設(shè)計(jì)者宜根據(jù)錯(cuò)誤的類型定義適當(dāng)?shù)姆磻?yīng)。對(duì)于與安全相關(guān)的錯(cuò)誤，要求將錯(cuò)誤迅速反饋給系統(tǒng)層(例如，安全管理器模塊)。此外，與(信息)安全相關(guān)的錯(cuò)誤需在系統(tǒng)層上處理[例如，(信息)安全管理器模塊]。其他錯(cuò)誤在盡可能低的層次上處理(例如，模塊本身)。用于識(shí)別和處理錯(cuò)誤的模塊宜具有足夠的可靠性。此類模塊的性能級(jí)別，至少宜與處理錯(cuò)誤相關(guān)的任何安全功能所需的性能級(jí)別一樣。如果有兩個(gè)或更多的外部模塊能處理相同的錯(cuò)誤，這些模塊宜設(shè)置發(fā)送響應(yīng)/指令至錯(cuò)誤的優(yōu)先模塊宜能與不同制造商開發(fā)的模塊進(jìn)行通信和交互。為保證服務(wù)機(jī)器人模塊之間的有效互操作性，應(yīng)在模塊數(shù)據(jù)表中提供：a)模塊間需要交換的信息(見7.2.2);b)模塊管理信息(見7.4.2);c)模塊屬性配置文件中使用的信息(見7.2.3);d)錯(cuò)誤處理和恢復(fù)信息(見7.2.4)。為保證服務(wù)機(jī)器人模塊之間有效的互操作性和復(fù)用性，宜提供：e)定義模塊和中間件之間的信息模型(見7.2.2)。集成開發(fā)環(huán)境傳感器、致動(dòng)器集成開發(fā)環(huán)境傳感器、致動(dòng)器為保證服務(wù)機(jī)器人模塊之間有效的互操作性和復(fù)用性，可提供：f)定義硬件抽象層或設(shè)備驅(qū)動(dòng)的模型。7.3軟件模塊的架構(gòu)模型軟件模塊的架構(gòu)模型應(yīng)包括執(zhí)行環(huán)境和控制任務(wù)。用于安全和(信息)安全的模型宜包括安全管理器和(信息)安全管理器。圖5給出了軟件模塊及其之間相互關(guān)系，介紹了若干相互連接的軟件模塊的示例。一些模塊是基礎(chǔ)軟件模塊，而另一些模塊是復(fù)合模塊，因?yàn)槠淇煞纸鉃楦〉哪K。圖5介紹了(信息)安全管理器觀察模塊的整體行為，并通過硬件抽象接口/設(shè)備驅(qū)動(dòng)和通信中間件與其他模塊進(jìn)行通信。安全或者(信息)安全管理器作為獨(dú)立的模塊單獨(dú)實(shí)現(xiàn)。安全管理器應(yīng)僅接收與安全相關(guān)的軟件模塊的相關(guān)數(shù)據(jù)。應(yīng)用應(yīng)用安全/(信息)安全管執(zhí)行環(huán)境控制任務(wù)CSMBSMBSMBSM配置文件通信中間件執(zhí)行環(huán)境控制任務(wù)數(shù)據(jù)交換調(diào)用服務(wù)硬件抽象層設(shè)備驅(qū)動(dòng)配置文件BSMBSM圖5服務(wù)機(jī)器人模塊化的軟件框架結(jié)構(gòu)配置文件存儲(chǔ)庫(kù)管理模塊使用的配置文件。執(zhí)行環(huán)境是一個(gè)由單個(gè)或多個(gè)軟件模塊以及一個(gè)控制任務(wù)組成的元素。控制任務(wù)在執(zhí)行環(huán)境中協(xié)應(yīng)用是一個(gè)根據(jù)用戶需要控制機(jī)器人系統(tǒng)，由單個(gè)或多個(gè)執(zhí)行環(huán)境組成的元素。應(yīng)用利用應(yīng)用程序包，包括軟件模塊、初始化值和步驟以及用于抽象機(jī)構(gòu)，例如，硬件抽象接口，幫助軟件模塊獨(dú)立于硬件相關(guān)特性而訪問硬件。軟件模塊可通過抽象機(jī)構(gòu)對(duì)相應(yīng)的硬件進(jìn)行讀寫，使得軟件模塊具有可移植性。模塊(包括軟件模塊)使用抽象機(jī)構(gòu)訪問傳感/執(zhí)行部件，從設(shè)備中獲取數(shù)據(jù)并將數(shù)據(jù)傳遞給其他模塊。通信中間件使軟件模塊和軟件組件進(jìn)行信息交換。中間件可監(jiān)督與軟件模塊、組件和應(yīng)用程序相關(guān)的文件，并根據(jù)需要從服務(wù)器和/或機(jī)器人上傳/下載所需的相關(guān)文件。通信中間件可根據(jù)信息交換模型(如表4所示)在執(zhí)行環(huán)境中實(shí)現(xiàn)。值得注意的是，本文件中沒有定義中間件。(信息)安全管理器應(yīng)管理軟件模塊間發(fā)生的(信息)安全問題，并根據(jù)需要，管理其他部分發(fā)生的(信息)安全問題。例如，(信息)安全管理器可監(jiān)督和控制風(fēng)險(xiǎn)，如未經(jīng)授權(quán)的用戶訪問的風(fēng)險(xiǎn)。安全管理器應(yīng)管理軟件模塊間發(fā)生的安全問題和根據(jù)需要，管理其他部分發(fā)生的安全問題。例如，安全管理器宜監(jiān)控軟件模塊的執(zhí)行狀態(tài)，監(jiān)測(cè)是否違反了限制或機(jī)器人是否進(jìn)入危險(xiǎn)狀態(tài)。如果機(jī)器人進(jìn)入危險(xiǎn)狀態(tài)，則將機(jī)器人帶回安全狀態(tài)。具有軟件部分的模塊包括可執(zhí)行代碼和配置文件。其中，配置文件用于存儲(chǔ)模塊屬性值，以支持模塊的正確執(zhí)行。示例1:模塊屬性：版本號(hào)、OS類型、提供的服務(wù)方法、執(zhí)行類型(如周期性執(zhí)行)、偶發(fā)和非實(shí)時(shí)以及相關(guān)的硬件相關(guān)模塊屬示例2:基礎(chǔ)軟件模塊，如：距離計(jì)算模塊，其通過硬件抽象接口從適當(dāng)?shù)挠布x取測(cè)量到的距離數(shù)據(jù)(例如，超聲波傳感器、紅外傳感器或激光傳感器),將數(shù)據(jù)轉(zhuǎn)換成正確的標(biāo)準(zhǔn)格式，并將轉(zhuǎn)換后的數(shù)據(jù)發(fā)送給其他軟件模塊。更復(fù)雜的模塊如：立體距離測(cè)量模塊，或運(yùn)行于圖像流上的目標(biāo)檢測(cè)模塊[該圖像流來(lái)自傳感(相機(jī))模塊]。示例3:復(fù)合軟件模塊，如：操作軟件模塊，其由致動(dòng)器控制模塊、軸同步模塊、逆運(yùn)動(dòng)學(xué)模塊、軟件模塊的設(shè)計(jì)應(yīng)滿足以下要求：a)支持通過已定義的信息模型與其他模塊進(jìn)行信息交換(見7.2.2);b)支持服務(wù)質(zhì)量(例如，實(shí)時(shí)性)的要求(如有規(guī)定);c)具有唯一的標(biāo)識(shí)符，并可獲得正確運(yùn)行和互操作性所需的模塊屬性值；示例4:軟件模塊的信息復(fù)用性、互操作性和可組合性包括OS類型、通信協(xié)議類型、服務(wù)的接口類型和使用的數(shù)據(jù)類型。d)為應(yīng)用中的每個(gè)軟件模塊設(shè)計(jì)一個(gè)或多個(gè)具有唯一標(biāo)識(shí)符的實(shí)例；e)由管理軟件模塊執(zhí)行生命周期的控制任務(wù)控制，如圖6所示；f)支持模塊級(jí)安全，其依賴于軟件模塊可能出現(xiàn)的錯(cuò)誤類型、模塊屬性配置文件以及與其他模塊的連接情況；g)支持模塊級(jí)(信息)安全(如果模塊能訪問外部模塊);h)具有配置文件，包括模塊屬性值(如7.2.3中定義);i)支持獨(dú)立的軟件平臺(tái)。注1:本文件規(guī)定軟件模塊或模塊內(nèi)的軟件組件可在不同的操作系統(tǒng)下，通過不同的編程語(yǔ)言、不同的文件格式或數(shù)據(jù)庫(kù)執(zhí)行。錯(cuò)誤狀態(tài)錯(cuò)誤恢復(fù)錯(cuò)誤狀態(tài)錯(cuò)誤恢復(fù)初始化空閑錯(cuò)誤啟動(dòng)停止空閑恢復(fù)錯(cuò)誤清除運(yùn)行錯(cuò)誤圖6包含錯(cuò)誤處理的軟件模塊的執(zhí)行生命周期軟件模塊宜符合圖6所示的執(zhí)行生命周期，該生命周期執(zhí)行以下行為：當(dāng)軟件模塊被創(chuàng)建時(shí)，模塊注2:當(dāng)與安全相關(guān)的軟件模塊處于“錯(cuò)誤”狀態(tài)時(shí)，與安全相關(guān)的錯(cuò)誤導(dǎo)致與安全相關(guān)的失效，并將失效發(fā)送給其他外部模塊，這些模塊處理完錯(cuò)誤，并返回正確的恢復(fù)值。外部模塊可以是軟件模塊或能處理錯(cuò)誤以避免進(jìn)入危險(xiǎn)情況的模塊。典型示例是如圖5所示的安全管理器。對(duì)于控制系統(tǒng)安全相關(guān)部分的錯(cuò)誤處理，錯(cuò)誤恢復(fù)程序(尤其是執(zhí)行恢復(fù))宜遵循ISO12100和7.4具有軟件部分的模塊的安全/(信息)安全相關(guān)要求安全相關(guān)軟件模塊應(yīng)按照第5章進(jìn)行設(shè)計(jì)。與網(wǎng)絡(luò)安全有關(guān)的模塊的(信息)安全詳見5.7。本條款描述了安全/(信息)安全管理器模塊(見圖5),用于管理模塊內(nèi)部無(wú)法處理的安全/(信息)安全問題。安全模塊和(信息)安全模塊。模塊也可采用冗余架構(gòu)，以滿足相關(guān)的PL/SIL。(信息)安全管理器模塊是一個(gè)管理機(jī)器人及其模塊(信息)安全的模塊，可設(shè)置或執(zhí)行(信息)安全策略以管理對(duì)(信息)安全問題的響應(yīng)。當(dāng)一個(gè)模塊與外部模塊交換數(shù)據(jù)時(shí)，如值和文件，可能會(huì)出現(xiàn)(信息)安全問題或者未經(jīng)授權(quán)的用戶在沒有得到有效許可的情況下獲得了訪問機(jī)器人的權(quán)利等。當(dāng)一個(gè)模塊與外部或內(nèi)部模塊交換數(shù)據(jù)時(shí)，通過加密、驗(yàn)證等適當(dāng)?shù)木W(wǎng)絡(luò)安全措施，相應(yīng)的數(shù)據(jù)不宜被竊聽或修改。當(dāng)程序或配置文件被下載時(shí)，或者接收機(jī)器人外部消息發(fā)送者的控制命令時(shí)，消息發(fā)送者的授權(quán)應(yīng)由安全/(信息)安全管理模塊監(jiān)控。7.4.2與安全/(信息)安全管理器模塊的交互安全相關(guān)模塊應(yīng)向安全管理器模塊提供以下信息，以處理模塊化軟件安全：——模塊提供的錯(cuò)誤信息；——模塊接收到的錯(cuò)誤恢復(fù)信息。安全管理器模塊應(yīng)綜合處理從各安全相關(guān)模塊收到的錯(cuò)誤信息，并提供信息對(duì)各模塊進(jìn)行停止或安全運(yùn)行。停止運(yùn)行可分為停止機(jī)器人運(yùn)行和停止與具體事件相關(guān)的模塊運(yùn)行。停止和重啟宜遵循適當(dāng)一個(gè)模塊使用通信方法與外部或內(nèi)部模塊交換數(shù)據(jù)時(shí)，宜對(duì)完整性和身份進(jìn)行驗(yàn)證。特別是，在外部開發(fā)/監(jiān)控工具和服務(wù)器之間進(jìn)行通信時(shí)，宜驗(yàn)證其完整性和身份。在使用不支持(信息)安全的現(xiàn)場(chǎng)總線的情況下，物理(信息)安全宜保證只有經(jīng)過授權(quán)的用戶才能對(duì)現(xiàn)場(chǎng)總線進(jìn)行物理訪問。此外，網(wǎng)絡(luò)安全宜在必要時(shí)保證以下數(shù)據(jù)的傳輸：——每個(gè)軟件模塊執(zhí)行狀態(tài)的控制；—模塊的輸入和輸出數(shù)據(jù)。(信息)安全管理器宜與安全管理器一起協(xié)作，即使機(jī)器人因服務(wù)攻擊遭到拒絕或其他類似問題而無(wú)法與外界通信，其也可按照機(jī)器人自身的策略運(yùn)行。因此，安全/(信息)安全管理器模塊宜具有以下——如果(信息)安全管理器發(fā)現(xiàn)安全相關(guān)的(信息)安全問題，(信息)安全管理器將安全相關(guān)信息發(fā)送給安全管理器；——安全管理器根據(jù)預(yù)先設(shè)定的安全策略控制模塊。8使用信息模塊制造商應(yīng)提供充分的與其模塊相關(guān)的文件，以便第三方可根據(jù)提供的文件使用模塊(例如，集成到一個(gè)更大的系統(tǒng)中，或設(shè)計(jì)其他模塊，與所提供的模塊進(jìn)行交互操作)。模塊制造商宜提供模塊所符合的標(biāo)準(zhǔn)清單，以及這些標(biāo)準(zhǔn)所要求的文件。本章包括支持模塊化的附加文件的要求。服務(wù)機(jī)器人集成商宜提供服務(wù)機(jī)器人系統(tǒng)使用的信息與系統(tǒng)用戶所需要的必要信息，宜包括：——提供整個(gè)系統(tǒng)的手冊(cè)；——在機(jī)器人上增加或更換警告標(biāo)志及其他標(biāo)識(shí)和標(biāo)示；——提供一個(gè)系統(tǒng)詳圖，顯示了組成機(jī)器人的所有模塊的連接。服務(wù)機(jī)器人集成商宜向服務(wù)機(jī)器人系統(tǒng)的用戶提供機(jī)器人中每個(gè)模塊的使用信息。服務(wù)機(jī)器人集成商應(yīng)在其文件中聲明允許用戶對(duì)服務(wù)機(jī)器人系統(tǒng)進(jìn)行哪些修改(例如，模塊更換)。使用信息由正確使用模塊以執(zhí)行預(yù)期任務(wù)的信息組成。用戶包括(但不限于)機(jī)器人制造商、模塊標(biāo)識(shí)、符號(hào)和書面警告宜易于理解和明確，以提供模塊的詳細(xì)信息。對(duì)于基礎(chǔ)模塊，信息宜包括模象形圖之類的標(biāo)志可用于明確表示的警告或說(shuō)明運(yùn)行環(huán)境。所有的印刷標(biāo)識(shí)宜清晰易讀，經(jīng)久耐用。有關(guān)安全的標(biāo)識(shí)應(yīng)遵循現(xiàn)有安全標(biāo)準(zhǔn)的要求和原則。如果可能的話，宜優(yōu)先使用象形圖而不是書模塊制造商宜同時(shí)提供打印版本和電子版本的使用信息，并考慮人為因素和文件的可用性。模塊的描述宜使用附錄A中規(guī)定的機(jī)器人模塊模板。模板中未包含的其他信息，在適用情況如果提供標(biāo)示，應(yīng)在模塊上或模塊的文件中用標(biāo)識(shí)來(lái)描述。模塊上的標(biāo)識(shí)宜是在模塊外部可識(shí)別的圖案。標(biāo)識(shí)宜根據(jù)需要盡可能詳細(xì)，但至少宜包括模塊供應(yīng)商的名稱或等效標(biāo)識(shí)、模塊的型號(hào)或編號(hào)和正常使用的標(biāo)識(shí)，包括在已發(fā)布的相關(guān)安全標(biāo)準(zhǔn)中要求的所有標(biāo)識(shí)或標(biāo)示?！圃焐痰拿Q；——序列號(hào)；——安全和(信息)安全認(rèn)證標(biāo)識(shí)(如適用)。軟件模塊至少應(yīng)在其文件中包含以下信息，例如，這些文件是用戶手冊(cè)或存儲(chǔ)于電子媒介上，用于分發(fā)軟件模塊的文本文件：——制造商的名稱；——軟件模塊類型和版本號(hào)；——操作系統(tǒng)類型；——序列號(hào)。為了模塊的正確和預(yù)期使用，宜向用戶提供模塊信息。給用戶的信息宜包括以下內(nèi)容。a)模塊的詳細(xì)描述?！K的使用說(shuō)明；——模塊所包含的基礎(chǔ)模塊和/或復(fù)合模塊的簡(jiǎn)要說(shuō)明；——具有硬件部分的模塊的描述；●模塊中包含的內(nèi)部連接特征(連接器的方向，插針分配等);●序列號(hào)(如需要);壓力等];●額定功率(瓦特)或額定電流(安培);●安全認(rèn)證標(biāo)識(shí)