GB/T 43210.1-2023 機器人 服務機器人模塊化 第1部分：通 用要求（正式版）

GB/T43210.1—2023/ISO22166-1:2021機器人服務機器人模塊化(ISO22166-1:2021,IDT)國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T43210.1—2023/ISO22166-1:2021 V V 12規(guī)范性引用文件 13術(shù)語和定義 23.1一般術(shù)語 23.2組件相關(guān)術(shù)語 33.3模塊相關(guān)術(shù)語 33.4模塊分類術(shù)語 63.5主功能模塊的特征 6 7 74.2模塊化一般原則 74.2.1通則 74.2.2可組合性 74.2.3可集成性 74.2.4互操作性 74.2.5模塊粒度 74.2.6平臺獨立性 84.2.7開放性 84.2.8復用性 8 8 8 8 94.5互換性 94.6模塊屬性 4.6.1通則 4.8互操作性的數(shù)據(jù)類型 5安全和(信息)安全原則 5.1通則 ⅡGB/T43210.1—2023/ISO22166-1:20215.2機器人系統(tǒng)級安全 5.3模塊級安全 5.4(信息)安全的通用方面 5.5模塊(信息)安全的設計步驟 5.6模塊的物理(信息)安全 5.7模塊的網(wǎng)絡(信息)安全 6模塊設計的硬件部分 6.2模塊硬件部分的要求和指南 6.2.1機械接口 通則 連接的精度和可靠性 連接剛度 機械連接器和連接 6.2.3模塊說明的其他方面 7模塊設計的軟件部分 7.1概述 7.2信息模型 7.2.1通則 7.2.3屬性訪問模型及其訪問 7.3軟件模塊的架構(gòu)模型 7.3.1通則 7.3.2軟件模塊的要求 7.4具有軟件部分的模塊的安全/(信息)安全相關(guān)要求 7.4.1通則 7.4.2與安全/(信息)安全管理器模塊的交互 8使用信息 8.1通則 8.2標識或標示 8.3給用戶的信息 8.4服務信息 附錄A(資料性)機器人模塊模板 附錄B(資料性)機器人模塊示例 ⅢGB/T43210.1—2023/ISO22166-1:2021附錄C(資料性)服務機器人模塊化示例 41附錄D(資料性)機器人測試指南 GB/T43210.1—2023/ISO22166-1:2021本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是GB/T43210《機器人服務機器人模塊化》的第1部分。GB/T43210已經(jīng)發(fā)布了以下——第1部分：通用要求。本文件等同采用ISO22166-1:2021《機器人服務機器人模塊化第1部分：通用要求》。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中國機械工業(yè)聯(lián)合會提出。本文件由全國機器人標準化技術(shù)委員會(SAC/TC591)歸口。VGB/T43210.1—2023/ISO22166-1:2021本文件的制定是為了應對快速發(fā)展的服務機器人行業(yè)。目前，服務機器人市場覆蓋了許多小型細分領(lǐng)域，人們很難開發(fā)出所需的特殊的且廣泛適用的組件。預計服務機器人的市場規(guī)模和應用將顯著器人的方法。本文件列出了通用的要求。至關(guān)重要。本文件將服務機器人模塊化分為具有硬件和/或軟件部分的基礎模塊和復合模塊。要求和全符合C類標準。在采用開放的模塊化方法時，(信息)安全問題非常重要，因此其也被包含在本文件中[例如，其與IEC/TC44和IEC——第1部分：通用要求。目的是提出服務機器人模塊化設計的通用要求與指南?！?01部分：通用信息模型。目的是提出模塊化服務機器人的通用信息模型。-—第202部分：軟件信息模型。目的是提出模塊化服務機器人的軟件信息模型。---第203部分：硬件信息模型與物理接口。目的是提出模塊化服務機器人的硬件信息模型與物理接口?！?02部分：移動模塊。目的是規(guī)范模塊化服務機器人的移動模塊設計?！?03部分：感知模塊。目的是規(guī)范模塊化服務機器人的感知模塊設計?！?04部分：任務規(guī)劃與決策模塊。目的是規(guī)范模塊化服務機器人的任務規(guī)劃與決策模塊設計?！?01部分：移動仆從機器人模塊。目的是規(guī)范移動仆從機器人的特殊模塊設計?！?01部分：醫(yī)療機器人模塊。目的是規(guī)范醫(yī)療機器人的特殊模塊設計。M1GB/T43210.1—2023/ISO22166-1:2021機器人服務機器人模塊化第1部分：通用要求-—模塊設計者和/或制造商(服務于終端用戶或機器人集成商);本文件。ISO9787機器人與機器人裝備坐標系和運動命名原則(IndustrialrobotsCoordinatesystemsandmotionnomenclatures)注：GB/T16977—2019機器人與機器人裝備坐標系和運動命名原則(ISO9787:2013,IDT)ISO12100:2010機械安全設計通則風險評估與風險減小(Safetyofmachinery—Generalprinciplesfordiesign—Riskassessmentandriskreduction)注：GB/T15706—2012機械安全設計通則風險評估與風險減小(ISOISO/TR22100-4機械安全與ISO12100的關(guān)系第4部分：機械制造商考慮相關(guān)IT安全(網(wǎng)絡安全)方面的指南[Safetyofmachinery—RelationshipwithISO12100—Part4:Guidancetomachin-erymanufacturersforconsiderationofrelatedIT-security(cybersecurity)aspects]ISO/IEC27032信息技術(shù)安全技術(shù)網(wǎng)絡安全指南(Informationtechnology—Securitytech-niques—Guidelinesforcybersecurity)ment—Productrequirements—Part1:Genericspecification)IEC61984連接器安全要求和試驗(Connectors—Safetyrequirementsandtests)注：GB/T34989—2017連接器安全要求和試驗(IEC61984:2008,MOD)IEC/TS62443-1-1工業(yè)通信網(wǎng)絡網(wǎng)絡與系統(tǒng)安全第1-1部分：術(shù)語概念和模型(Industrialcommunicationnetworks—Networkandsystemsecurity—Part1-1:Terminology,conceptsandmodels)注：GB/T40211—2021工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全術(shù)語、概念和模型(IEC/TS62443-1-1:2009,IDT)IEC62443-2-1工業(yè)通信網(wǎng)絡網(wǎng)絡與系統(tǒng)安全第2-1部分：建立工業(yè)自動化和控制系統(tǒng)安全程序(Industrialcommunicationnetworks—Networkandsystemsecurity—Part2-1:Establishing2GB/T43210.1—2023/ISO22166-1:2021IEC62443-3-3工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全系統(tǒng)安全要求和安全等級(Industrialcommu-nicationnetworks—Networkandsystemsecurity—Systemsecurityrequirementsandsecuritylevels)NISTSP800-154以數(shù)據(jù)為中心的系統(tǒng)威脅建模指南(Guidetodata-centricsystemthreatmod-elling)可信賴安全系統(tǒng)工程中多學科方法的系統(tǒng)安全工程考慮(Systemssecurityengineeringconsiderationsforamultidisciplinaryapproachintheengineeringoftrustworthysecuresystems)3.1.1可以用不同的和通用的更抽象的方式訪問系統(tǒng)的部分或全部功能的系統(tǒng)接口。3.1.2使系統(tǒng)各部分之間連接和斷開的物理機構(gòu)。3.1.3電氣接口electricalinterf3.1.4運行生命周期executionlifecycle有限狀態(tài)機規(guī)定的某部分的功能運行的所有階段。3.1.5[來源：IEC60050-192:2015,193.1.6執(zhí)行要求的能力的喪失。[來源：IEC60050-192:2015,192-03-01,有修改]3.1.7[來源：IEC60050-192:2015,192-04-01,有修改]3.1.8功能function3GB/T43210.1—2023/ISO22166-1:2021[來源：ISO/IEC/IEEE24765:2017,3.1206-5,有修改]3.1.9功能安全functionalsafety整體安全中與EUC和EUC控制系統(tǒng)相關(guān)的部分，它取決于E/E/PE安全相關(guān)系統(tǒng)和其他風險降低措施正確執(zhí)行其功能。3.1.10硬件抽象層hardwareabstractionlayerHAL.123.2.13.2.23.2.3由物理單元及其運行可能需要的嵌入式軟件組成的組件。3.3模塊相關(guān)術(shù)語3.3.1可組合性composability能在邏輯上和物理上通過各種組合將模塊組合成新的模塊的能力(不需要適應模塊或額外的接口工作)。3.3.2構(gòu)形configuration4GB/T43210.1—2023/ISO22166-1:20213.3.33.3.43.3.53.3.63.3.7[來源：ISO/IEC/IEEE24765:2017,3.2058,定義1]3.3.8在模塊之間進行通信、執(zhí)行程序或傳輸數(shù)據(jù)或供電的能力，或以某種方式在物理上和/或邏輯上組.103.3.113.3.12使用。5GB/T43210.1—2023/ISO22166-1:2021注1:一個模塊可能同時具有硬件和軟件部分。其可能由其他組件(硬件和軟件)或其他模塊(硬件和軟件)組成。注2:并不要求也不阻止使用開源軟件來實現(xiàn)部分或全部開放模塊的功能。注3:雖然開放模塊在概念上與黑盒模塊的對立，但是其在本文件中仍視為一個黑盒模塊，即如果機器人系統(tǒng)遵循.14模塊的特征或特性。3.3.15模塊屬性子集值的目錄。3.3.16服務質(zhì)量qualityofservice3.3.173.3.18采用之前設計的和生產(chǎn)的模塊，以促進新模塊和機器人系統(tǒng)的開發(fā)，并實現(xiàn)所需的不同功能的能力。3.3.19機器人模塊robotmodule作為模塊化機器人系統(tǒng)某部分的模塊。注1:并非模塊化機器人系統(tǒng)中使用的所有模塊都必須是機器人模塊，但如果一個模塊的主要目的是用于模塊化機注2:機器人模塊作為服務機器人模塊化的重要組成部分，見附錄B中示例。3.3.20自動重置self-reconfiguration必要時，無需對系統(tǒng)/子系統(tǒng)進行外部交互，自動改變模塊化機器人的配置，但是，該程3.3.21軟件部分softwareaspects模塊及其接口以及該模塊功能的執(zhí)行生命周期內(nèi)所需的外部軟件屬性信息。6GB/T43210.1—2023/ISO22166-1:20213.4.13.4.2注：模塊制造商可以選擇復合模塊的內(nèi)部結(jié)構(gòu)文件，包括可能訪問的內(nèi)部接口或替換內(nèi)置模塊的程序文件。但3.4.33.4.43.5.1致動器模塊actuatormodule致動模塊actuatingmodule3.5.23.5.33.5.47GB/T43210.1—2023/ISO22166-1:20213.5.5用于收集機器人周圍環(huán)境或機器人狀態(tài)數(shù)據(jù)的輸入模塊，(這些數(shù)據(jù))供其他模塊使用以支持機器3.5.6順序。4一般原則本章介紹了服務機器人模塊化的基本概念。為了描述這些概念，宜使用SysML(OM ——為集成商使用模塊提供所有必要的信息。或復合模塊。模塊應設計成在邏輯上和物理上能組裝成復合模塊，以執(zhí)行更復雜的運行，并滿足運行和安全要求。模塊的組合宜基于提供的接口信息進行，而不需要內(nèi)部結(jié)構(gòu)信息。模塊可以在數(shù)據(jù)庫或存儲庫中模塊硬件部分和軟件部分的設計應使它們能集成為更大的系統(tǒng)，以完成預期的目標服務或功能。為了模塊間的連接可靠，宜設計適當?shù)慕涌?。由模塊組合的系統(tǒng)的安全方面在第5章中介紹。模塊應設計成能與其他模塊連接與工作。它們宜易于連接，并且宜通過適當?shù)倪B接器共享動力和模塊的功能宜在模塊化框架中以適當?shù)牧６葘崿F(xiàn)：基礎模塊和復合模塊?；A模塊和復合模塊的示例見附錄B。8GB/T43210.1—2023/ISO22166-1:2021模塊的設計宜能在不同的服務機器人上實現(xiàn)，或者在不進行重大修改的情況下與不同的模塊組合在一起。軟件模塊宜設計為通過微小的修改，可以在不同的平臺上運行，例如，嵌入式計算系統(tǒng)、Linux、Windows或?qū)崟r操作系統(tǒng)。在不同的服務機器人系統(tǒng)中使用的具有硬件部分的模塊宜在不同的平臺上運行。本文件中所指的開放性應包括具有硬件部分的模塊的機械和電氣接口及模塊間的軟件接口，其中軟件接口宜包括由具有硬件和軟件部分模塊組成的參考架構(gòu)以及在安全、信息安全和測試方法方面的復用性是指模塊通過適當定義的接口在不同平臺上使用和重復使用的能力。模塊的接口設計應實現(xiàn)模塊的可重復使用?？梢灾貜褪褂玫南嚓P(guān)接口包括軟件接口、模塊間的連接器以及模塊硬件部分之塊的復用性?；到y(tǒng)的整體安全。模塊制造商宜提供必要的信息以支持集成商進行系統(tǒng)的安全設計。具有軟件部分或通信接口的模塊宜設計成可阻止未經(jīng)授權(quán)的方式或人員的訪問。此外，模塊的設計宜支持模塊化系統(tǒng)的整體(信息)安全?！С只ゲ僮餍院蛷陀眯?；——簡化仿真和建模；注1:例如，可以同時使用紅外傳感軟件模塊和超聲傳感軟件模塊來獲得機器人到附近物體的距離注3:在本文件中，可選擇使用硬件抽象層或其他形式的設備驅(qū)動程序(見7.3)?？梢酝ㄟ^直接調(diào)用設備驅(qū)動程序9GB/T43210.1—2023/ISO22166-1:2021電氣接口和通信協(xié)議宜符合已發(fā)布的標準。注1:數(shù)據(jù)總線和通信網(wǎng)絡的接口包括硬件和軟件部分。通用接口設置的概念性示例如圖1所示，包括了功能、電源和運行環(huán)境。注2:表1介紹了一些通信協(xié)議的示例。通信協(xié)議經(jīng)常被植入軟件中，有時也植入硬件中，如ISO/IEC7498-1中定義的OSI參考模型中的第2層到第7層所示。電氣接口硬件宜設計成不得由于接近其他電線或設備而使通信受到干擾。應使用標準的連接器。2--—傳感器；3——電源；圖1模塊間通用接口設置的概念性示例(詳見第六章)參考類型備注ISO11898-1/2和EN50325-4/5CAN和CANopenCAN媒體接入單元子層通常在收發(fā)器的集成電路中實現(xiàn)。CAN數(shù)據(jù)連接層協(xié)議和物理信號子層在CAN協(xié)議控制器中實現(xiàn)，CANopen應用層通常在微控制器上運行的軟件中實現(xiàn)ISO/IEC/IEEE8802-3:2017IETF793或ISO/IEC14766(TCP)、RFC791(IPv4)、RFC2460(IPv6)Ethernet和TCP/IP端口物理層(PHYs)和媒介訪問控制(MAC)可選擇集成在特定技術(shù)的控制器上實現(xiàn)(該協(xié)議在世界范圍內(nèi)廣泛使用)IEC62680和USBCDCUSB存在許多實現(xiàn)方法。USB通信設備類(CDC)是復合的通用串行總線設備類FieldbusIEC61158對常用的現(xiàn)場總線協(xié)議進行標準化，包括基金會現(xiàn)場總線、Profibus、WorldFIP、CC-link、EtherCATModbus-RTPS、SERCOS等4.5互換性 GB/T43210.1—2023/ISO22166-1:2021---3級：當機器人啟動時(熱插拔),用戶可以互換模塊；——4級：機器人自身可互換模塊(激活驅(qū)動的熱插拔)。自動配置(3級和4級)可能導致錯誤運行或危險情況。相關(guān)的安全和(信息)安全問題在第5章中級別更換頻率連接器設計文件安全軟件1低可以將機械和電氣部分簡單地獨立連接具備技術(shù)知識的讀者宜被更換后的風險評估所包括安裝和配置復雜，并可手動調(diào)整2中-高合適的復合插頭不具備技術(shù)知識的讀者需要為用戶提供安全限制。當通電時，系統(tǒng)能進行一致性檢查以包的形式設計，自動解決依賴3高具備熱插拔功能的復合插頭不具備技術(shù)知識的讀者需要為用戶提供安全限制。當其他功能正在執(zhí)行時，系統(tǒng)需要執(zhí)行一致性檢查運行時，自動加載、卸載和切換模塊4高具有熱插拔功能和大容差自動連接的復合插頭不具備技術(shù)知識的讀者安全限制需要以機器可讀的形式提供。當其他功能正在執(zhí)行時，系統(tǒng)需要執(zhí)行一致性檢查運行時，自動加載、卸載和切換模塊模塊化機器人系統(tǒng)的信息模型宜提供模塊屬性和各個模塊互換和自動配置的信息。4.6模塊屬性模塊屬性應存儲在模塊屬性文件中。當一個模塊被轉(zhuǎn)移使用或重復使用時，模塊文件應與該模塊模塊宜使用由制造商發(fā)布的字符串或數(shù)字代碼來命名或識別。此外，產(chǎn)品本身和供應商宜使用類似的名稱或標識碼進行標識。這些信息可用于基于模塊的服務機器人設計，模塊可以(半)自動配置機模塊可自動配置機器人的硬件(包括結(jié)構(gòu))和軟件。-—模塊類型和/或模塊ID;——模塊版本；GB/T43210.1—2023/ISO22166-1:2021從系統(tǒng)(信息)安全的角度來看，模塊的識別宜通過設計合適的(信息)安全相關(guān)模塊的身份驗證程序進行驗證。如果使用仿真來驗證一個模塊的設計和功能，宜識別所使用模塊的限制和約束。特別是，安全和為了對模塊化系統(tǒng)進行適當?shù)姆抡?，模塊制造商應提供模塊仿真所需的相關(guān)信息。框架設計者宜明確哪些信息是必要的，并以何種形式提供這些信息(例如，提供紙質(zhì)信息或作為參數(shù)文件導入仿真工具中)。用于仿真的模塊信息包括：——可執(zhí)行的通用控制算法；注1:各種模塊的詳細規(guī)范不在本文件的討論范圍內(nèi)。注2:可以通過模塊模板，提供仿真數(shù)據(jù)。模塊化框架應定義在模塊化框架和中間件中使用的數(shù)據(jù)類型。IEC/TR62390中規(guī)定了常見的整型和實型數(shù)據(jù)類型的精度。模塊化框架還應定義通用復合數(shù)據(jù)類型的約定。推薦定義以下約定，少量的通用復合數(shù)據(jù)類型建立在這些約定上[見OMGRLS(機器人定位服務)]。a)空間中的一個位置是相對于某個坐標系定義的。根據(jù)實現(xiàn)，該坐標系被定義在固定的位置和朝向?？梢栽诘芽栒蛔鴺讼抵?，用一組三個實數(shù)(x,y,z)給出坐標。坐標也可以用一對b)朝向可以用兩種方式確定。三維空間中，朝向一般以四元數(shù)的形式給出，其可轉(zhuǎn)換為一個四元數(shù)組(c,su,sv,sw);其中，(u,v,w)為旋轉(zhuǎn)軸，c和s分別為半旋轉(zhuǎn)角的余弦和正弦?；騝)移動機器人的位置和姿態(tài)按ISO19649和ISO9787規(guī)定的標準坐標系給出。模塊化框架還可定義參考或限制。如何在模塊間輸入/輸出數(shù)據(jù)宜結(jié)構(gòu)化。模塊制造商宜在模塊框架定義的允許范圍內(nèi)，為模塊選擇合適的數(shù)據(jù)類型和數(shù)據(jù)結(jié)構(gòu)。數(shù)據(jù)類型和數(shù)據(jù)結(jié)構(gòu)的信息應在模塊描述中聲明(模塊示例見附錄B)。5安全和(信息)安全原則本章給出了如何將已發(fā)布的安全和(信息)安全標準的要求應用于模塊和系統(tǒng)(基于模塊的系統(tǒng))中的指南。本章不應作為不遵守安全和(信息)安全標準的理由。注1:安全可以從單個模塊的層次(通常由模塊制造商完成)和服務機器人系統(tǒng)的層次(通常由集成商完成)進行在機器人設計和機器人模塊設計中，安全和(信息)安全是兩個相互影響的不同的設計方面。機器GB/T43210.1—2023/ISO22166-1:2021人系統(tǒng)和/或機器人模塊的(信息)安全漏洞服務機器人系統(tǒng)的某個模塊的(信息)安全漏洞可能導致整個服務機器人系統(tǒng)出現(xiàn)(信息)安全漏人設計者在模塊化設計時宜考慮安全和(信息)安全方面?！?--ISO10218-1、ISO10218-2和ISO/TS1---ISO13849-1、IEC61508系列和IEC62061用于功能安全。在模塊化機器人系統(tǒng)軟件中，會涉及機器人的各種各樣的模塊。ISO/IEC/IEEE12207:2017和ISO/IEC/IEEE15288:2015定義了軟件開發(fā)的生命周期，以確保達到所要求的質(zhì)量。IEC61508-3規(guī)定了作為控制系統(tǒng)安全相關(guān)部分的軟件的安全要求。軟件的安全要求僅適用于軟件中與安全相關(guān)的部置后再次進行風險評估。這些要求既可應用于系統(tǒng)級別，又可應用于模塊級別。除正常的基于安全的風險評估外，設計者和/或服務機器人集成商應結(jié)安全和(信息)安全風險?！狪SO/TR22100-4用于機械的IT(信息)安全方面； ISO/IEC27032用于網(wǎng)絡安全的一般準則；——NISTSP800-154用于數(shù)據(jù)中心系統(tǒng)威脅建模；———NISTSP800-160volsland2用于系統(tǒng)(信息)安全工程。圖2給出了安全和(信息)安全風險的相關(guān)性以及如何解決。模塊制造商和集成商(以及適用情況下的模塊框架設計者)應符合現(xiàn)有的適用的安全標準的規(guī)定和要求，如圖2水平線所示。模塊的(信息)安全風險評估應參考模塊安全分析中相同的預期用途、可預見的誤用和“機器限制”(如ISO12100:2010中5.3)。(信息)安全風險評估和減小的過程(如圖2垂直線所示)宜是一個迭代過程：等效于ISO12100:2010第4章圖1中的步驟1和步驟2,或者直到各自進程結(jié)束。安全和(信息)安全風險的評估和減小的復合過程(如圖2對角線所示)宜是一個迭代過程。如果(信息)安全措施與預期的安全功注2:模塊制造商可嘗試單個的安全功能的不同實現(xiàn)，但仍然需要滿足安全要求?；蛘咴诓粨p害安全功能的情況下GB/T43210.1—2023/ISO22166-1:2021增強安全增強安全用于模塊安全安全危險用于模塊(信息)安全(信息)安(信息)安全相關(guān)的安全風險和安全相關(guān)全漏洞安全相關(guān)的(信息)安全措施安全與(信息)安全模塊模塊安全風險評估增強安全安全與(信息)安全風險評估(信息)安全措施(信息)安全漏淚(信息)安全模塊安全模塊安全措施適用的情況。雖然模塊化可能在預期應用的現(xiàn)有標準中沒有明確適用范圍，但現(xiàn)有標準中提出的原則，對于提出適當?shù)哪K要求和測試方法是有用的。關(guān)于測試機器人模塊的詳細信息見附錄D。模塊集成商宜考慮以下信息：由機器人模塊組成的機器人系統(tǒng)的(信息)安全評估方法與沒有模塊的機器人系統(tǒng)的(信息)安全評估方法之間沒有不同。這些方法已經(jīng)包括在現(xiàn)有的標準中。——設計各種服務機器人模塊的架構(gòu)和組成；——確保模塊間安全信號的正確連接和處理；——評估典型應用用例所需的機器人安全。注1:典型應用用例包括不同級別的安全、(信息)安全、安全與(信息)安全的復合安全及質(zhì)量。注2:信號既包括輸入或輸出模塊的緊急停止信號等硬件信號，也包括通過有線或無線網(wǎng)絡交換的數(shù)據(jù)信號。在通過網(wǎng)絡交換數(shù)據(jù)信號的情況下，網(wǎng)絡宜滿足功能安全要求。模塊制造商應負責明確模塊的預期應用?！?.1提及的適用機器人的安全標準；——說明系統(tǒng)的預期使用，并將其與模塊制造-—遵守模塊制造商規(guī)定的安全原則，包括所需的使用條件。如果機器人系統(tǒng)或其應用發(fā)生變化，風險評估應考慮這些變化(示例見附錄C)。如果最終用戶想注3:適用的使用限制和必要的安全注意事項及相應步驟是機器人系統(tǒng)用戶手冊的一部分。GB/T43210.1—2023/ISO22166-1:2021——所有模塊宜具備的安全特點或最低安全性能；模塊的設計應考慮已發(fā)布的適用于電氣和機械安全的標準(機器人模塊測試見附錄D)。軟件的安全要求在5.4中介紹。如果電機具有停止功能，模塊宜提供符合IEC61800-5-2相應的安全功能。為了避免模塊間通信失效，系統(tǒng)宜使用黑通道通信(見IEC62280和IEC61784-3)。在這種情況性能等級(PL)或安全完整性等級(SIL)應歸屬于安全功能。PL/SIL可用于評估整個機器人系統(tǒng)的安全功能的整體性能。模塊制造商宜發(fā)布模塊與其他模塊之間共享的所有安全功能的PL或SIL。設計機器人模塊所遵循的過程可能不同于常規(guī)的系統(tǒng)設計，因為模塊設計者/制造商在設計階段無法獲得最終具體應用(只知道典型的用例場景)。機器人模塊制造商可通過以下步驟來確保滿足適當和充分的安全設計要求。b)對于每個用例，都宜進行假設性機器人系統(tǒng)設計。應考慮模塊的所有可預見應用。宜考慮模塊合理的可預見的誤用。c)對于每個預期的用例應用，宜確定潛在的危險(ISO12100:2010中附錄B,包括了宜考慮的潛d)為了進行安全風險評估，宜將模塊視為單個模塊，并考慮其在預期用例應用中可能造成哪些潛在危險。模塊的安全要求宜基于一些假設性的最壞的用例。e)模塊制造商宜對每個預期用例完成安全風險評估，并為模塊內(nèi)任何與安全相關(guān)的功能定義適注2:并非在所有情況下都需要采取所有步驟。-—模塊的安全相關(guān)功能信息；性的模塊更容易集成與使用?！脚_1有電機，其機械地限制平臺的最大速度為1m/s。平臺控制器接受期望的移動速度作為當前速度的輸——平臺2最大速度可達2m/s。平臺控制器通過高性能等級提供安全相關(guān)的速度控制。因此，期望的速度輸入固定的保護范圍，當機器人以1m/s的速度運行時，能及時停止。GB/T43210.1—2023/ISO22166-1:2021當使用平臺2代替平臺1時，機器人集成商宜大幅增加激光掃描儀的保護范圍，以適應可能的2m/s最大速度。反而，集成商決定使用2號平臺的安全相關(guān)的速度控制功能。在這種情況下，當平臺注4:使用速度控制和改變保護范圍要求激光掃描模塊和安全監(jiān)督模塊都支持這一功能?！唇?jīng)授權(quán)訪問內(nèi)部數(shù)據(jù)(可能影響知識產(chǎn)權(quán)或個人數(shù)據(jù));——未經(jīng)授權(quán)訪問和更改模塊配置和內(nèi)部參數(shù)設置(可能影響安全); 由于攻擊導致的模塊或者模塊化機器人的損壞或無法正常使用。對機器人系統(tǒng)的模塊進行篡改宜作為一種安全危害，因為機器人系統(tǒng)或者其部分可能由于安全系統(tǒng)的損壞導致不受控制的移動。為了確認模塊的(信息)安全等級，見附錄D。所提出的設計方法與前文各安全子條款提出的步驟非常相似。-—未經(jīng)授權(quán)的訪問可能造成的潛在危害(例如，對可用性或安全的影響);為了實現(xiàn)系統(tǒng)級(信息)安全，所有互連模塊的數(shù)據(jù)交換宜能為未經(jīng)授權(quán)訪問的物理數(shù)據(jù)端口提供注2:在機械和機器人系統(tǒng)中，幾乎所有的現(xiàn)代安全裝置和安全相關(guān)功能都存在某種通信和(嵌入式)軟件。幾乎任授權(quán)訪問的可能性和影響會更大。第7章描述了更多的細節(jié)。a)無安全或(信息)安全需要：無安全和(信息)安全要求適用于不會傷害人且不連接任何外部系統(tǒng)的小型和輕型機器人。b)(信息)安全需要：適用于模塊的預期用途，包括機器人內(nèi)部通信或與外部系統(tǒng)通信。第紹了硬件相關(guān)的(信息)安全措施，第7章介紹了軟件和通信相關(guān)的(信息)安全措施。d)綜合安全和(信息)安全需要：只有同時滿足了安全和(信息)安全要求，系統(tǒng)才能被認為是安全的。確保充分安全和(信息)安全的風險評估流程如圖2所示。a)從(信息)安全的角度定義模塊的用例。這些用例與為安全而定義的用例相似，但也可b)應考慮模塊的預期和潛在應用。模塊和系統(tǒng)的(信息)安全。GB/T43210.1—2023/ISO22166-1:2021d)模塊內(nèi)軟件宜符合7.4的(信息)安全要求。e)核對安全數(shù)據(jù)交換(如7.4所示)的指南。f)核對5.7的硬件指南，以防止對模塊的非法訪問。g)宜獨立地對每個模塊進行(信息)安全風險評估，并在步驟2中定義的用例場景中進行結(jié)果評估。模塊制造商在模塊設計時宜考慮物理(信息)安全的以下幾個方面，而集成商則宜考慮模塊化機器人系統(tǒng)的物理(信息)安全：——外部對內(nèi)部組件的物理訪問。注：模塊可通過總線系統(tǒng)傳遞給相鄰的模塊。因此，(信息)安全漏洞可從一個模塊擴展到另一個模塊?！T閂傳感器[無(信息)安全要求，但需要知道是否處于打開或關(guān)閉狀態(tài)];----采用物理鑰匙的機械鎖；和輕型服務機器人使用。5.7模塊的網(wǎng)絡(信息)安全——禁止未經(jīng)授權(quán)的篡改；注1:采用網(wǎng)絡(信息)安全措施的必要性取決于模塊的預期用途。注2:IEC62443系列標準包括了工業(yè)自動化系統(tǒng)的通用(信息)安全方面。一個涵蓋機器(信息)安全的標準正在制定中；IEC/TR63074介紹了與控制系統(tǒng)的功能安全有關(guān)的(信息)安全方面。6模塊設計的硬件部分本章描述了具有硬件部分的模塊(包括硬件模塊)的互操作性和復用性的要求和指南。對于具有硬求，表3展示了應考慮的主要連接性問題。具有硬件部分的模塊的連接性應與示例一并進行說明。設計硬件模塊或具有硬件部分的模塊(例如，致動器),需要考慮安全、(信息)安全、動力、信號以及機械GB/T43210.1—2023/ISO22166-1:2021塊與其他(信息)安全相關(guān)的模塊以某種方式進行數(shù)據(jù)交換。表3通過示例模塊說明模塊化框架的連接性模塊/交互環(huán)境機械數(shù)據(jù)動力(信息)安全安全致動器(A)√√√√√√電源(P)√√√傳感器(S,數(shù)字/模擬)√√√√√√軟件計算(CS)√√√√監(jiān)督(SU)√√√√√用戶界面(UI)√√√√√——帶有占位符的連接器規(guī)格(盲或空連接器并不是模塊必需的);——數(shù)據(jù)總線和/或動力回路的機械連接規(guī)格；——接口規(guī)格，該規(guī)格可讓數(shù)據(jù)總線或動力通過模塊形成回路，即使模塊本身不需要連接它們(例注1:雖然建議在模塊中集成連接器，但在結(jié)合模塊的機械連接和分離的物理運動上，面臨特殊的設計挑戰(zhàn)，因為需要同時通過連接器的連接和非連接以保持數(shù)據(jù)、動力、安全和(信息)安全的預期運行。如果魯棒性設計不能宜對模塊與其他模塊的連接和分離進行適當?shù)臏y試和確認。如適用，使用信息應說明測試和確認是必須的。模塊應附有開展模塊與其他模塊的連接和分離測試和確認的使用信息。使用信息應包括具考慮到模塊的預期用途和具體用例，在模塊規(guī)定的壽命內(nèi)，模塊可能會斷開連接和重新連接許多-—使用同軸和/或錐形結(jié)構(gòu)，以減少在配合期間的角或橫向運動，以避免接觸點磨損、撕裂和GB/T43210.1—2023/ISO22166-1:2021--—數(shù)據(jù)；——(信息)安全；與安全有關(guān)的模塊應保證它們之間的連接安全。模塊應規(guī)定它們之間的連接精度。23200454b)關(guān)節(jié)與末端執(zhí)行器的連接承受連接/斷開循環(huán)的最少次數(shù)?！K接口的耐久性。在模塊頻繁更換或可能出現(xiàn)污垢和過載等極端條件的情況下，模塊應經(jīng)過驗證與確認具體的循環(huán)次數(shù)。最少循環(huán)次數(shù)宜由制造商規(guī)定。模塊和模塊接口宜具有足夠的剛度，將靜態(tài)和動態(tài)的力和力矩在模塊間傳遞，并通過驗證和確GB/T43210.1—2023/ISO22166-1:2021在可能情況下，模塊宜設計為使用最少或不使用工具來連接。如果模塊相數(shù)據(jù)和安全信號，同時提供安全連接/斷開的必要說明。如適用，電氣連接器應符合IEC61076-1和/或IEC61984中提出的要求?！獢?shù)據(jù)通信及其完整性的要求；—-—已發(fā)布的相關(guān)安全要求(見第5章)。--—減少接口內(nèi)不同連接器之間的EMC/EMI;制造商應規(guī)定動力提供的額定和最大輸出負載能力。模塊宜設計為可附加其他模塊的最小儲存。——IEC60529定義的防護等級(IP)?！婕芭c人接觸的應用的生物相容性。GB/T43210.1—2023/ISO22166-1:2021考慮到服務機器人系統(tǒng)中軟件模塊的特殊需求，本章描述了具有軟件部分的模塊的互操作性和復用性設計的要求和指南。信息模型用于實現(xiàn)互操作性和復用性。因此，模塊宜具有合適的信息模型。由于模塊的內(nèi)部細節(jié)不是本文件的重點，本章側(cè)重于模塊之間的接口，定義了模塊的外部輸入和外部輸出。由于具有相同功能的不同模塊宜是可互換的，因此需要通過規(guī)定應用層允許的通信模型來定義輸入和輸出模塊的數(shù)據(jù)流類型。通信模型的示例包括發(fā)布/訂閱模型、客戶端/服務器模型、黑板共享內(nèi)存模型(見表4)。機器人軟件模塊可基于中間件框架進行開發(fā)，例如，ROS、OpenRTM,OPRoS和ORO-COS。在第5章介紹了具有軟件部分的模塊的安全和(信息)安全方面。表4不同用途的軟件通信接口模型序號信息類型支持信息交換模型備注1數(shù)據(jù)發(fā)布/訂閱模型數(shù)據(jù)可通過一個或多個通信模型傳輸。數(shù)據(jù)在模塊之間、集成開發(fā)環(huán)境(或工具)和模塊之間進行交換客戶端/服務器模型黑板共享內(nèi)存模型2包客戶端/服務器模型在集成開發(fā)環(huán)境(或工具)和模塊之間交換文件提供。此外，具有軟件部分的模塊可訪問硬件組件，并能讀取模塊的配置文件來初始化和正確地運行它們。這可以是直接訪問或通過設備驅(qū)動程序或HAL訪問。它們使軟件模塊訪問硬件組件，而不需要信息交換模型應被用于模塊之間信息交換。信息包括變量的值、服務的調(diào)用、事件的處理以及文件的內(nèi)容，例如，軟件組件的執(zhí)行代碼、配置文件或包。變量變量類型分為周期變量和非周期變量，服務類型分為阻塞(同步)服務和非阻塞(異步)服務。GB/T43210.1—2023/ISO22166-1:2021由于許多國際標準和事實通信協(xié)議的存在，所以沒有規(guī)定兩個或多個具有軟件部分的模塊之間的協(xié)議。對遠程主機的遠程訪問是使用本章中的消息格式執(zhí)行的，其由中間件提供。中間件還支持本地主機中軟件模塊之間的信息交換。注：本地主機和遠程主機分別指目前已登錄的計算模塊(其作為軟件模塊)和其他計算模塊(軟件想要通過通信協(xié)議連接)。具有軟件部分的模塊之間的信息交換模型應支持以下：b)調(diào)用服務；c)事件注冊和處理；實時情況下的響應時間宜包括總體數(shù)據(jù)傳輸和服務調(diào)用時間。——訂閱/發(fā)布；a)模塊的制造商信息；e)安全相關(guān)信息(例如，要求的PL或SIL標識)。f)外部提供的(阻塞或非阻塞)服務調(diào)用；g)外部提供的信息；h)正確執(zhí)行必要的初始值；i)確保模塊運行和安全的相應的軟硬件要求。如果一個模塊需要一個特定的事件序列和/或指令被正確初示例1:在機器人系統(tǒng)的較高的部分開始運行之前，所有的車輪模塊宜進行正確的運行。示例2:在激光傳感器模塊或相機模塊用于安全導航之前，宜初始化并運行。具有軟件部分的模塊應提供讀取配置文件，并根據(jù)配置文件設置軟件組件的屬性和將修改的規(guī)定屬性寫入至具有特定屬性的配置文件的功能。模塊應使用模型定義的功能，讀取配置文件來初始化軟GB/T43210.1—2023/ISO22166-1:2021--—設置屬性值；——獲取屬性值。模塊中的錯誤會導致服務機器人故障或非正常運行。這些錯誤會導致機器人服務陷入危險狀況。應將失效分為與安全有關(guān)的失效和與安全無關(guān)的失效，如圖4所示，可通過安全/(信息)安全管理錯誤(信息)安其他錯誤 (影響性軟件故障(設計/編程)錯誤圖4安全相關(guān)與非安全相關(guān)的失效具有軟件部分的模塊處理錯誤應支持以下方式來處理和恢復錯誤狀況：——支持執(zhí)行生命周期內(nèi)(見圖6)的安全(見7.3);模塊設計者宜根據(jù)錯誤的類型定義適當?shù)姆磻?。對于與安全相關(guān)的錯誤，要求將錯誤迅速反饋給用于識別和處理錯誤的模塊宜具有足夠的可靠性。此類模塊的性能級別，至少宜與處理錯誤相關(guān)的任何安全功能所需的性能級別一樣。如果有兩個或更多的外部模塊能處理相同的錯誤，這些模塊宜設置發(fā)送響應/指令至錯誤的優(yōu)先順序。模塊宜能與不同制造商開發(fā)的模塊進行通信和交互。為保證服務機器人模塊之間的有效互操作性，應在模塊數(shù)據(jù)表中提供：a)模塊間需要交換的信息(見7.2.2);b)模塊管理信息(見7.4.2);c)模塊屬性配置文件中使用的信息(見7.2.3);d)錯誤處理和恢復信息(見7.2.4)。為保證服務機器人模塊之間有效的互操作性和復用性，宜提供：e)定義模塊和中間件之間的信息模型(見7.2.2)。標引說明：CSM——復合軟件模塊；GB/T43210.1—2023/標引說明：CSM——復合軟件模塊；f)定義硬件抽象層或設備驅(qū)動的模型。軟件模塊的架構(gòu)模型應包括執(zhí)行環(huán)境和控制任務。用于安全和(信息)安全的模型宜包括安全管理器和(信息)安全管理器。圖5給出了軟件模塊及其之間相互關(guān)系，介紹了若干相互連接的軟件模塊的(信息)安全管理器觀察模塊的整體行為，并通過硬件抽象接口/設備驅(qū)動和通信。安全或者(信息)安全管理器作為獨立的模塊單獨實現(xiàn)。安全管理器應僅接收與安全相關(guān)的軟件模塊的相關(guān)數(shù)據(jù)。應用應用安全/(信理器控制任務執(zhí)行環(huán)境BSMBSMBSMBSMBSM 控制路徑。配置文件存儲庫管理模塊使用的配置文件。24GB/T43210.1—2023/ISO22166-1:2021執(zhí)行環(huán)境是一個由單個或多個軟件模塊以及一個控制任務組成的元素?？刂迫蝿赵趫?zhí)行環(huán)境中協(xié)應用是一個根據(jù)用戶需要控制機器人系統(tǒng)，由單個或多個執(zhí)行環(huán)境組成的元素。應用利用應用程抽象機構(gòu)對相應的硬件進行讀寫，使得軟件模塊具有可移植性。模塊(包括軟件模塊)使用抽象機構(gòu)訪通信中間件使軟件模塊和軟件組件進行信息交換。中間件可監(jiān)督與軟件模塊、組件和應用程序相關(guān)的文件，并根據(jù)需要從服務器和/或機器人上傳/下載所需的相關(guān)文件。通信中間件可根據(jù)信息交換模型(如表4所示)在執(zhí)行環(huán)境中實現(xiàn)。值得注意的是，本文件中沒有定義中間件。(信息)安全管理器應管理軟件模塊間發(fā)生的(信息)安全問題，并根據(jù)需要，管理其他部分發(fā)生的安全管理器應管理軟件模塊間發(fā)生的安全問題和根據(jù)需要，管理其他部分發(fā)生的安全問題。例塊的正確執(zhí)行。示例1:示例2:示例3:軟件模塊的設計應滿足以下要求：a)支持通過已定義的信息模型與其他模塊進行信息交換(見7.2.2);b)支持服務質(zhì)量(例如，實時性)的要求(如有規(guī)定);c)具有唯一的標識符，并可獲得正確運行和互操作性所需的模塊屬性值；示例4:d)為應用中的每個軟件模塊設計一個或多個具有唯一標識符的實例；e)由管理軟件模塊執(zhí)行生命周期的控制任務控制，如圖6所示；f)支持模塊級安全，其依賴于軟件模塊可能出現(xiàn)的錯誤類型、模塊屬性配置文件以及與其他模塊的連接情況；g)支持模塊級(信息)安全(如果模塊能訪問外部模塊);h)具有配置文件，包括模塊屬性值(如7.2.3中定義);i)支持獨立的軟件平臺。注1:本文件規(guī)定軟件模塊或模塊內(nèi)的軟件組件可在不同的操作系統(tǒng)下，通過不同的編程語言、不同的文件格式或GB/T43210.1—2023/ISO22166-1:2021實例創(chuàng)建實例創(chuàng)建空閑恢復鍇誤執(zhí)行恢復創(chuàng)建初始化空閑啟動清除銷毀清除外部模塊錯誤停止圖6包含錯誤處理的軟件模塊的執(zhí)行生命周期軟件模塊宜符合圖6所示的執(zhí)行生命周期，該生命周期執(zhí)行以對于控制系統(tǒng)安全相關(guān)部分的錯誤處理，錯誤恢復程序(尤其是執(zhí)行恢復)宜遵循ISO12100和ISO14118,以防止意外啟動造成的危害。安全相關(guān)軟件模塊應按照第5章進行設計。與網(wǎng)絡安全有關(guān)的模塊的(信息)安全詳見5.7。本條款描述了安全/(信息)安全管理器模塊(見圖5),用于管理模塊內(nèi)部無法處理的安全/(信息)安全問題。安全模塊和(信息)安全模塊。模塊也可采用冗余架構(gòu)，以(信息)安全管理器模塊是一個管理機器人及其模塊(信息)安全的模塊，可設置或執(zhí)行(信息)安全策略以管理對(信息)安全問題的響應。當一個模塊與外部模塊交換數(shù)據(jù)時，如值和文件，可能會出現(xiàn)(信息)安全問題或者未經(jīng)授權(quán)的用戶在沒有得到有效許可的情況下獲得了訪問機器人的權(quán)利等。當一權(quán)應由安全/(信息)安全管理模塊監(jiān)控。7.4.2與安全/(信息)安全管理器模塊的交互安全相關(guān)模塊應向安全管理器模塊提供以下信息，以處理模塊化軟件安全：GB/T43210.1—2023/ISO22166-1:2021安全管理器模塊應綜合處理從各安全相關(guān)模塊收到的錯誤信息，并提供信息對各模塊進行停止或安全運行。停止運行可分為停止機器人運行和停止與具體事件相關(guān)的模塊運行。停止和重啟宜遵循適當一個模塊使用通信方法與外部或內(nèi)部模塊交換數(shù)據(jù)時，宜對完整性和身份進行驗證。特別是，在外部開發(fā)/監(jiān)控工具和服務器之間進行通信時，宜驗證其完整性和身份。在使用不支持(信息)安全的現(xiàn)場總線的情況下，物理(信息)安全宜保證只有經(jīng)過授權(quán)的用戶才能對現(xiàn)場總線進行物理訪問。此外，網(wǎng)絡安全宜在必要時保證以下數(shù)據(jù)的傳輸：(信息)安全管理器宜與安全管理器一起協(xié)作，即使機器人因服務攻擊遭到拒絕或其他類似問題而無法與外界通信，其也可按照機器人自身的策略運行。因此，安全/(信息)安全管理器模塊宜具有以下功能：——如果(信息)安全管理器發(fā)現(xiàn)安全相關(guān)的(信息)安全問題，(信息)安全管理器將安全相關(guān)信息發(fā)送給安全管理器；——安全管理器根據(jù)預先設定的安全策略控制模塊。8使用信息8.1通則模塊制造商應提供充分的與其模塊相關(guān)的文件，以便第三方可根據(jù)提供的文件使用模塊(例如，集成到一個更大的系統(tǒng)中，或設計其他模塊，與所提供的模塊進行交互操作)。模塊制造商宜提供模塊所符合的標準清單，以及這些標準所要求的文件。本章包括支持模塊化的附加文件的要求。服務機器人集成商宜提供服務機器人系統(tǒng)使用的信息與系統(tǒng)用戶所需要的必要信息，宜包括：——提供一個系統(tǒng)詳圖，顯示了組成機器人的所有模塊的連接。服務機器人集成商宜向服務機器人系統(tǒng)的用戶提供機器人中每個模塊的使用信息。服務機器人集成商應在其文件中聲明允許用戶對服務機器人系統(tǒng)進行哪些修改(例如，模塊更換)。使用信息由正確使用模塊以執(zhí)行預期任務的信息組成。用戶包括(但不限于)機器人制造商、模塊標識、符號和書面警告宜易于理解和明確，以提供模塊的詳細信息。對于基礎模塊，信息宜包括模細信息。象形圖之類的標志可用于明確表示的警告或說明運行環(huán)境。所有的印刷標識宜清晰易讀，經(jīng)久耐用。有關(guān)安全的標識應遵循現(xiàn)有安全標準的要求和原則。如果可能的話，宜優(yōu)先使用象形圖而不是書模塊制造商宜同時提供打印版本和電子版本的使用信息，并考慮人為因素和文件的可用性。模塊的描述宜使用附錄A中規(guī)定的機器人模塊模板。模板中未包含的其他信息，在適用情況如果提供標示，應在模塊上或模塊的文件中用標識來描述。GB/T43210.1—2023/ISO22166-1:2021模塊上的標識宜是在模塊外部可識別的圖案。標識宜根據(jù)需要盡可能詳細，但至少宜包括模塊供所有標識或標示。--—安全和(信息)安全認證標識(如適用)。分發(fā)軟件模塊的文本文件：——操作系統(tǒng)類型；——序列號。a)模塊的詳細描述。——模塊所包含的基礎模塊和/或復合模塊的簡要說明；——具有硬件部分的模塊的描述；●序列號(如需要);壓力等];●額定功率(瓦特)或額定電流(安培);●通信類型(如適用);●安全認證標識(如適用);●信息安全特征(如適用);●操作系統(tǒng)類型和詳細信息。——序列號(如需要);械/電氣接口)或兼容的軟件模塊；——模塊運行環(huán)境；--—軟件模塊的安裝方法(如有);——連接其他模塊的詳細信息；GB/T43210.1—2023/ISO22166-1:2021--—第4章所列的模塊需要符合的原則。c)模塊屬性值的設置和調(diào)整細節(jié)。d)可更換的基礎模塊和復合模塊列表(如有)。e)已知故障或錯誤列表。f)電池充電方法(如相關(guān))。h)消耗品清單及其維護周期。在集成模塊時，維護安全功能所需的與安全相關(guān)的信息。如適用，宜以結(jié)構(gòu)化的和清晰的格式提供。服務信息宜包括以下內(nèi)容。a)模塊的詳細描述及其維護要求。c)相關(guān)信息(如適用):--—檢查維護的操作流程；——模塊功能測試的頻率和方法；——推薦的具有硬件部分模塊的備件清單；——所需和提供的工具清單；d)詳細的機械圖和電氣框圖。e)已知故障或錯誤列表及其描述。f)消耗品清單及其維護周期。GB/T43210.1—2023/ISO22166-1:2021(資料性)機器人模塊模板A.1通用模板格式。表A.1給出了機器人模塊模板，制造商宜使用該模板來描述模塊的詳細信息。表A.1和表A.2中斜體字表示模板各部分宜包含的信息。制造商宜使用該模板來描述模塊的詳細信息。如合適，可提供附加信息。表A.1機器人模塊模板的標準描述模塊名稱：特定模塊或模塊類的自然語言名稱描述：模塊概述、模塊是什么、模塊用途以及如何在預期應用場景中使用：描述機器人模塊的應用場景，以便在必要時執(zhí)行驗證測試制造商：模塊開發(fā)方的聯(lián)系信息。包括設計者、制造商或供應商的詳細信息模塊ID:制造商唯一的模塊產(chǎn)品參考編號示例：模塊的典型使用示例硬件部分：關(guān)于硬件部分的概要細節(jié)，見第6章(如可能，通過示例表示)軟件部分：關(guān)于軟件部分的概要細節(jié)，見第7章(如可能，通過示例表示)模塊屬性：模塊屬性列表(見第6和7章)輸入：模塊輸入列表輸出：模塊輸出列表功能/功能性：模塊接受輸入并處理輸入以確定輸出的一種描述。宜使用合適的圖表來說明功能(例如，附錄C中給出的線、圓或SywsML方法)基礎設施：所提供的基礎設施支持和/或環(huán)境保護的類型(例如，電線、數(shù)據(jù)庫管理系統(tǒng)、具有或不具有安全/(信息)安全措施的數(shù)據(jù)總線、IP保護等)安全：模塊級和系統(tǒng)級安全相關(guān)要求(例如，滿足必要的性能水平)(見5.1～5.3)(信息)安全模塊級和系統(tǒng)級(信息)安全要求(例如，防止未經(jīng)授權(quán)的訪問，或保證適合的隱私水平等)。(信息)安全要求宜包括硬件和軟件方面(見5.1、5.4～5.7)建模：應用于各種測試場景的模塊的數(shù)學或物理描述(例如，虛擬模塊模型)GB/T43210.1—2023/ISO22166-1:2021A.2機器人模塊模板的特定硬件的擴展通用模板說明見表A.1;表A.2給出了具有硬件部分的模塊宜提供的附加信息。表A.2具有硬件部分模塊的附加信息具有硬件部分的模塊的屬性列表，例如，物理尺寸，接口類型，機械和電氣特性輸入列表，例如，數(shù)字/模擬傳感器和控制信號，以及模塊之間的其他通信等輸出列表，例如，數(shù)字/模擬輸出，角度/位置/速度/扭矩輸出等對于具有硬件部分的模塊，功能性主要與互換性及互操作性有關(guān)。宜將模塊按照功能視角進行劃分，例如，其內(nèi)部元素/結(jié)構(gòu)、與外部模塊的連接性以及包括人在內(nèi)的操作環(huán)境中的相關(guān)特性基礎設施要求：模塊對系統(tǒng)其他部分的要求，例如，可用動力，結(jié)構(gòu)支撐、散熱等。環(huán)境約束：當關(guān)閉和運行過程中，模塊對外部條件的限制，例如，溫度、濕度、最大允許的機械沖擊等模塊動力學(出于各種目的，例如，性能模擬、功能評估和場景確認)的數(shù)學或物理描述GB/T43210.1—2023/ISO22166-1:2021(資料性)機器人模塊示例B.1.1旋轉(zhuǎn)驅(qū)動關(guān)節(jié)模塊名稱：旋轉(zhuǎn)驅(qū)動關(guān)節(jié)描述：該模塊化機器人關(guān)節(jié)連接兩個連續(xù)的連桿，提供一個旋轉(zhuǎn)自由度的運動。該模塊化關(guān)節(jié)由電機、減速齒輪、電源線、信號線和控制電路組成。該關(guān)節(jié)由電驅(qū)動。該關(guān)節(jié)可通過內(nèi)部傳感器感知轉(zhuǎn)動角度和扭矩制造商：模塊ID:JointJ001示例：該關(guān)節(jié)可用于移動傳感器，也可與其他關(guān)節(jié)(例如，6或7個自由度)組合形成操作機硬件部分：——001B型法蘭兩端與電源連接器、CAN總線、安全扭矩開關(guān)連接——服務端口，用于USB直接訪問集成電子設備-——IP等級：IP54軟件部分：通信協(xié)議：CANOpen模塊屬性：——尺寸：p80mm×70mm——質(zhì)量：1.2kg-—減速比：1:30——關(guān)節(jié)范圍：±270°——關(guān)節(jié)最大速度：90(°)/s——最大扭矩：100Nm(向前)/20Nm(向后)-—關(guān)節(jié)剛度：最大負載時，最大位移0.5mm/1°—額定扭矩：10Nm——連接器額定電流：10A——功耗：50W-—準確性：±0.5°——重復性：±0.3°——限制[扭矩(Nm),位置(rad),速度(rad/s)]輸入：——位置(rad)、速度(rad/s)、扭矩(Nm)指令——安全功能的信號——控制相關(guān)的參數(shù)GB/T43210.1—2023/ISO22166-1:2021輸出：——實際位置(rad)、速度(rad/s)、扭矩(Nm)——狀態(tài)、警告、錯誤、電流、電壓、溫度、診斷信息功能性：該關(guān)節(jié)可用于位置模式、速度模式或力模式?？稍O置為：當超過限制時，提供警告并進入停止模式(無安全功能)。內(nèi)部配置(CANID、限制等)可通過USB訪問基礎設施：——電源：24Vdc(18V～30V)、50W——工作條件：+5℃~+35℃。濕度<90%,不凝結(jié)安全：——按照IEC61800-5-2規(guī)定的安全功能。-—為了保護模塊(無安全功能),當出現(xiàn)以下情況時，模塊停止并進入錯誤狀態(tài)：過載(機械、電氣)失效、編碼器傳感器失效、過熱。宜對倉庫物流服務機器人的電源進行驗證，檢查電源是否符合可集成性、互換性、安全等基本原則(信息)安全：法蘭001B和USB端口的蓋子需要標準的工具打開建模：參見運動學和動力學模型的模型文件。靜態(tài)模型參數(shù)包括保持力矩、額定力矩和失速力矩；動力學模型參數(shù)包括速度、加速度和帶寬模塊名稱：電源電池模塊描述：具有電源管理系統(tǒng)的電池模塊，提供24VDC輸出制造商：模塊ID:PowersupplyP001示例：該電源可用于移動機器人平臺或外骨骼上硬件部分：電源連接器(2pin)數(shù)據(jù)輸入/輸出(I/O)連接器(4pin)IP等級：IP65軟件部分：通信協(xié)議：RS232,電池管理軟件包括報警模塊屬性：——額定規(guī)格：24V,連續(xù)電流5A,最大電流20A——容量：5Ah——電源輸出：25V(滿載)、21V(電源管理開關(guān)斷開)——充電：28V至35V,輸人電流達5A輸入：充電輸入功率電池開/關(guān)GB/T43210.1—2023/ISO22166-1:2021輸出：輸出功率電池錯誤功能性：電池需要通過數(shù)字信號輸入接通電源。低電量警告和錯誤時，輸出數(shù)字信號基礎設施：-—工作條件：+5℃~+35℃。濕度<90%,不凝結(jié)安全：為了保護模塊(無安全功能),當出現(xiàn)以下情況時，模塊停止并進入錯誤狀態(tài)：過載、過熱、低電量、過度放電(信息)安全：N/A建模：訪問網(wǎng)站(通過提供URL鏈接)下載用例場景的行為模型模塊名稱：視覺識別模塊一般描述：該模塊可用于人臉識別。通常在增強人臉識別模塊中包含一個數(shù)據(jù)庫。在動力學模塊中，硬件(例如，攝像頭和3D掃描儀)被用來提供一個動態(tài)數(shù)據(jù)流。模塊的識別結(jié)果不同，例如，數(shù)據(jù)庫中給定目標數(shù)據(jù)與標注的數(shù)據(jù)之間的匹配比例，或數(shù)據(jù)庫中ID號或名稱的最佳匹配制造商：模塊ID:VRM0001示例：人臉識別硬件部分：無軟件部分：獲取數(shù)據(jù)(輸入圖像)、人臉識別、輸出結(jié)果(已識別人臉的名稱)模塊屬性：——數(shù)據(jù)庫位置，例如，路徑、IP和端口號或URL-—使用的識別種類，例如，眼睛、正面臉、全身、上半身等—圖像大小(像素)——每秒圖像幀數(shù)(如果輸入的是一種動態(tài)圖像)輸入：圖像或圖像流輸出：規(guī)定的置信(或準確度)的視覺識別結(jié)果，例如，(在人臉識別方面)已識別的人的姓名，如James,Eve,Adam等GB/T43210.1—2023/ISO22166-1:2021功能/功能性：——從攝像頭模塊獲取圖像(或圖像流)數(shù)據(jù)，用于人的——從圖像數(shù)據(jù)中檢測人臉；提取帶有ID號的人臉照片；提取人臉特征點；計算它們之間的差距；———從數(shù)據(jù)庫中找到與此計算值最接近的人臉照片(或人臉特征點);返回所選人臉照片的ID號視覺識別模塊 人臉識別模塊圖片感知/讀取模塊基礎設施：中間件、數(shù)據(jù)庫安全：不適用于預期的用例場景(信息)安全：身份驗證、數(shù)據(jù)庫機密性(為了隱私)建模：不適用B.2.2定位模塊名稱：定位模塊描述：個人(助理)機器人需知道其在參考坐標系中的位姿(位置和姿態(tài)),該過程稱為定位。定位模塊使用激光掃描模塊來獲取位姿制造商：模塊ID:ID由制造商提供示例：基于激光掃描的定位硬件部分：無軟件部分：獲取數(shù)據(jù)(輸入圖像),計算并與參考物(如地標)等進行比較，通過位姿過濾軟件模塊屬性：——模塊所使用的傳感模組數(shù)目及類型(例如，激光掃描儀的角度及激光束數(shù)量等)——地標、地圖信息或危險區(qū)域信息的位置，例如，路徑、IP和端口號或URL輸入：掃描數(shù)據(jù)(來自激光掃描模塊)來自車輪控制模塊的運動數(shù)據(jù)，例如，移動距離和朝向GB/T43210.1—2023/ISO22166-1:2021可信的機器人位姿(或準確度)功能/功能性：--——從激光掃描模塊獲取數(shù)據(jù)；——從車輪控制模塊獲取數(shù)據(jù)；-—使用數(shù)據(jù)和過濾器獲得位姿估計；-—將估計位姿與參考位姿進行比較；-—更新位姿定位模塊定位模塊 掃描數(shù)據(jù)讀取組件過濾軟件組件中間件當機器人進入危險區(qū)域時，按適用標準進行警告或停止身份驗證不適用B.3通用復合模塊示例B.3.1概述對于任何復合模塊，模板中顯示的最少功能宜在模塊的屬性配置文件以及模塊的輸入和輸出定義中進行規(guī)定。輸入和輸出通常是模塊之間數(shù)據(jù)通信。每個模塊的模板宜提供一個簡要概述和最少規(guī)格。此類模塊的制造商可根據(jù)需要增加更多的功能。模塊名稱：操作機模塊描述：通過關(guān)節(jié)組合剛性連接部件，形成末端執(zhí)行器操作的鉸接系統(tǒng)。所有部件均用定義的機械接口連接。如果制造商預期在協(xié)作應用中使用一個該模塊，那么該設備中可能需要附加安全相關(guān)功能，例如，對待老年人或在專業(yè)環(huán)境中制造商：聯(lián)系信息模塊ID:制造商對該模塊構(gòu)形的唯一產(chǎn)品參考編號GB/T43210.1—2023/ISO22166-1:2021示例：一個6自由度的機器人操作機，可附加一個2根手指的末端執(zhí)行器。模塊化設計使用戶可重新配置操作機，使其具有4~7個自由度，以滿足特定要求。本示例中的操作機具有一個超聲波傳感器，能檢測距離20cm以內(nèi)的物體硬件部分——支座、外殼、電機、機械接口軟件部分：——運動學模塊-—執(zhí)行的通信協(xié)議——手臂控制模塊——關(guān)節(jié)控制協(xié)調(diào)模塊模塊屬性：——自由度：關(guān)節(jié)類型(2D、3D、旋轉(zhuǎn)/移動)、操作機構(gòu)形——關(guān)節(jié)范圍：運動范圍、運動誤差-—連接關(guān)節(jié)的連接模塊的長度和位置(或類型)-—一定位姿范圍下的有效載荷：靜態(tài)和動態(tài)條件下末端執(zhí)行器允許的質(zhì)量(kg)或力(N)——相對于手臂參考的手臂操作范圍(m×m×m)——末端執(zhí)行器的最大速度(m/s)和加速度(m/s2)(可能取決于位姿)輸入：制造商宜定義一個指令的枚舉列表，例如：--—根據(jù)位姿和速度指令運行位置——移動到四元數(shù)指定的空間位姿——末端執(zhí)行器的力/速度限制輸出：定義為x,y,z(m)的實際空間位姿和朝向的四元數(shù)——末端執(zhí)行器的實際空間速度——實際和投影的空間包絡線——單個關(guān)節(jié)的實際速度、加速度和力(扭矩)(m/s,rad/s)——運行狀態(tài)、警告、錯誤、實際電流、電壓、溫度功能/功能性：——正運動學、逆運動學、運動規(guī)劃、動力學——啟動/停止運動(啟用、禁用)——過載檢測、狀態(tài)檢測(OK/error)、制動/保持、使能/禁用功能——提供、停止、返回位置接口———提供設置/獲取力/扭矩、設置/獲取位置、基于抽象接口設置/獲取速度接口——周期性向所有關(guān)節(jié)發(fā)送力/扭矩值(如需要)——為了提高性能，由軌跡發(fā)生器預測運動和包絡線運動學控制模塊具有通信的手臂控制模塊關(guān)節(jié)控制協(xié)調(diào)模塊關(guān)節(jié)模塊基礎設施：——連接/關(guān)節(jié)框架提供機械支持——附加在夾具上快速鎖——電源--—通信總線——操作機的本地和/或分布式控制器GB/T43210.1—2023/ISO22166-1:2021安全：如第5章所述，該模塊遵循適用的安全標準(例如，IEC61508-3或IEC60204-1)。模塊的保護性停止功能符合ISO13849-1的PLd要求。模塊安全：模塊提供以下安全功能。——碰撞力限制達PLb(敏感皮膚);—過載限制；-—速度限制控制按照ISO10218規(guī)定的關(guān)于速度控制。系統(tǒng)安全：該模塊提供了以下與安全相關(guān)的信息：——模塊狀態(tài)；-—為了減少碰撞風險(PLa),由軌跡發(fā)生器預測運動和包絡線；-—在3D空間中以額定速度計算制動距離；——設置末端執(zhí)行器速度；——可能導致主要故障或性能下降的內(nèi)部錯誤說明(信息)安全：該模塊可提供以下一個或多個(信息)安全功能?！心K間通信遵循第7條章提出的指南；——所有輸入使用錯誤檢測機制；--—僅接受授權(quán)提供方的目標輸入；——運動指令信息的使用，包括授權(quán)建模：操作機的虛擬靜態(tài)和動態(tài)模型，包括末端執(zhí)行器、關(guān)節(jié)動力學和包絡線B.3.3移動平臺模塊移動相關(guān)的協(xié)調(diào)操作。模塊名稱：移動平臺模塊一般描述：運動模塊，包括：——運動系統(tǒng)包含懸架系統(tǒng)、轉(zhuǎn)向系統(tǒng)，驅(qū)動機構(gòu)系統(tǒng)；--—有效負載艙；——運動方式：傳統(tǒng)輪式、全輪式、球輪式、各種腿式和腿式構(gòu)形、混合運動方式、攀、爬、游泳等制造商：聯(lián)系信息模塊ID:制造商對該模塊構(gòu)形的唯一產(chǎn)品參考編號示例：裝有緊急按鈕、激光測距儀和緩沖器的輪式移動底座硬件部分：-—致動器模塊-—緩沖器模塊-—電池模塊——移動底座控制硬件—--—激光測距模塊——結(jié)構(gòu)件模塊——通信模塊的硬件部分GB/T43210.1—2023/ISO22166-1:2021——移動底座控制軟件—-—位置感知軟件--——通信軟件——電池管理模塊——致動器控制模塊—-—觸摸感知軟件—-——協(xié)調(diào)模塊———安全管理器——機械構(gòu)形：車輪類型/數(shù)量、車輪布置和構(gòu)形及總體尺寸；——有效負載：在規(guī)定的環(huán)境條件下(例如，質(zhì)量、尺寸、溫度等)可承擔的負載限制；——移動速度：在可預見的工作場景下的最高速度、直行、轉(zhuǎn)彎、平/斜坡、空載、滿載；——重量、空載狀態(tài)下的重心(COG);-—空載和滿載條件下的最大坡度角和最大臺階高度；——開啟所有服務下的電池持續(xù)時間和充電時間——運動速度和方向；——控制相關(guān)參數(shù)：地面條件、障礙和環(huán)境；-—障礙檢測(數(shù)字和/或模擬):——保護性和/或緊急停止定義為x,y,z(m)的實際空間位姿和朝向的四元數(shù)———電機轉(zhuǎn)動信息：方向、角度；——加速度、電機扭矩/電流；——狀態(tài)(OK/error)、警告、電流、電壓、溫度；——錯誤、安全相關(guān)的運行條件；——安全相關(guān)性能水平(PL水平取決于建議的用例應用);——非安全超聲波近程障礙檢測；——障礙檢測狀態(tài)；—--—擠壓檢測狀態(tài)；——保護性和/或緊急停止狀態(tài)功能/功能性：——局部運動控制和運動；——啟用/禁用功能；———緊急制動；——內(nèi)部模塊狀態(tài)檢查；——電源和電池管理電源和電池管理電源和電池管理運動學控制模塊通信模塊通信模塊定位模塊移動控制模塊車輪模塊安全模塊緩沖器緩沖器模塊器模塊——提供機械支持的底盤框架；——電源干線；——通信GB/T43210.1—2023/ISO22166-1:2021安全：如第5章所述，該模塊遵循適用的安全標準(例如，IEC61508-3或IEC60204-1)。-—在規(guī)定速度下，配置好的系統(tǒng)可選擇的停止距離；——機器人通過集成安全電路以連接與安全相關(guān)的傳感器和模塊；-—模塊的每個安全功能達到PLa~e;——模塊提供的性能級別：緊急停止(PLd)、保護性停止輸入(PLd)(信息)安全：所有模塊間的通信宜遵循第5章提出的指南。-—錯誤檢測機制以保證通信數(shù)據(jù)的完整性；——僅接受來自授權(quán)方/模塊目標位置信息；——運動指令必須包括授權(quán)使用信息建模：移動平臺的虛擬靜態(tài)和動態(tài)模型B.3.4人機交互模塊人機交互(HRI)模塊為人與機器人交互提供了一種方法，使人能了解機器人的意圖，并向機器人提供指令或信息。模塊名稱：人機交互模塊描述：HRI模塊具有以下功能：-—人的檢測/識別；-—通過語音、聲音、光線、觸摸屏與人(用戶)交互制造商：聯(lián)系信息模塊ID:制造商對此模塊構(gòu)形的唯一產(chǎn)品參考編號示例：僅語音消息和信息被發(fā)送給第一次被攝像頭識別與確認的用戶?！狧RI模塊包含人臉識別模塊、揚聲器模塊等子模塊；——協(xié)調(diào)軟件模塊用于管理子模塊的接口或數(shù)據(jù)的順序；——TTS模塊將文本翻譯成語音；-—指示狀態(tài)和預期運動的燈硬件部分：——揚聲器模塊———觸屏—-—燈軟件部分：—-—協(xié)調(diào)軟件模塊--——觸屏交互軟件——TTS軟件模塊---人臉識別/確認模塊GB/T43210.1—2023/ISO22166-1:2021模塊屬性：——TTS軟件模塊、在揚聲器上播放的消息格式；——人臉識別模塊、數(shù)據(jù)庫格式；—-—觸摸屏的API;--——狀態(tài)和錯誤信息；——工作條件，例如，環(huán)境溫度、濕度范圍輸入：——通過揚聲器播放的消息；——用戶從觸摸屏輸入輸出：—-—人員檢測/確認結(jié)果：-—狀態(tài)(連接到數(shù)據(jù)庫和識別服務器);——錯誤(系統(tǒng)或人員檢測);——用戶在觸摸屏上輸入的通過功能/功能性：人臉識別模塊，通過識別模塊：——運行模式；———語音軟件模塊，通過揚聲器將文本轉(zhuǎn)換為語音——協(xié)調(diào)軟件模塊，管理接口和數(shù)據(jù)的序列；-—通過觸摸屏進行用戶交互；——手勢識別模塊；——語音指令識別模塊通信模塊通信模塊人機交互協(xié)調(diào)模塊 文本轉(zhuǎn)語音模塊揚聲器模塊識別模塊基礎設施：中間件、外部識別服務器、具有圖片和消息的數(shù)據(jù)庫安全：如第5章所述，該模塊遵循適用的安全標準(例如，IEC61508-3或IEC60204-1)?！δ馨踩K開發(fā)的評估(IEC61508系列);-—用戶警示信息(根據(jù)相關(guān)的ISO標準);——人為因素和可用性(信息)安全：——模塊僅能通過安全數(shù)據(jù)訪問；——防止人臉識別的濫用的方法(通過確保最低置信水平);——通過(信息)安全連接，訪問數(shù)據(jù)庫和識別服務器建模：不適用GB/T43210.1—2023/ISO22166-1:2021(資料性)服務機器人模塊化示例C.1總則在以下章節(jié)中，介紹了服務機器人模塊化設計的典型示例，這些示例采用了本文件中提出的概念和指南；其包括硬件設計、軟件設計以及第5章～第7章提出的安全和(信息)安全方面。在C.2中，提出了一個采用模塊化設計的基礎移動機器人系統(tǒng)；模塊化的概念被用于高級功能，例如：提供各種服務功能的移動操作。此外，在C.3中，提出了一種用于個人護理的身體輔助機器人。當配置帶有硬件部分的模塊時，連接性問題可用示意圖表