目前,尚无专门针对人形机器人的功能安全标准。因此,至少在现阶段,仍需依据现有标准提供指导,包括IEC 61508(通用工业功能安全)、ISO 10218(工业机器人)、ISO 13849(机械安全)、IEC 61784-3(黑色通道数据通信)等。本文将探讨工业机器人(含人形机器人)的安全级数据通信问题。
主要的工业机器人标准ISO 10218-1:2025新增了第5.3.6节,专门涵盖通信内容。新增章节虽然篇幅不长,但包含了几个重要的概念。条款中引入了“传输类别”,借鉴自铁路通信标准IEC 62280/EN 50159。
传输类别1:封闭式传输系统,例如机器人内部网络。
传输类别2:半开放式系统,例如固定机器人与PLC间的以太网连接。
传输类别3:全开放式系统,例如连接人形机器人与集中控制系统的WiFi网络。
针对不同传输类别,需对常规网络威胁采取不同严格程度的防护措施,具体要求遵循IEC 62280(铁路通信)与IEC 61784-3(现场总线),这两项标准均被IEC 61508引用。 标准明确了常见数据通信威胁的防护(应对措施)优先级,具体如下:
“-”:低优先级,此类威胁发生概率极低,无需重点防护。
“+”:中优先级,需采取措施检测此类较易发生的故障。
“++”:高优先级,必须全力防护此类高频高危威胁。
以下是ISO 10218-1:2025中的表3,列出了各传输类别(TC)针对常见网络威胁的防护要求。
这意味着,对于机器人本体内部承载安全数据的网络(TC 1),需重点防护数据损坏威胁。对于其他威胁,虽需采取措施,但防护力度可适当降低。ISO 10218标准将伪装攻击对TC1的风险等级列为“-”(即通常无需额外防护)。
此处“伪装攻击”指:网络中某节点伪造为合法安全通信节点,接收端若无专项防护措施则无法识别真伪。但机器人内部网络节点固定(如每轴1个,1个用于控制器,1个用于末端执行器),且机体结构可杜绝新增非法节点,因此伪装攻击风险极低。
对于开放性更高、边界更模糊的TC 2,需严肃对待更多威胁;而TC 3则必须重点防护伪装攻击。TC 3属于开放式网络(如无线网络),接入节点数量无限制。
注1:“伪装攻击”不包含蓄意欺诈行为,后者属于网络安全范畴,由ISO 10218-1:2025新增第5.1.16节规范。
注2:“威胁”为网络安全标准常用术语,本文语境对应IEC 61784-3定义“通信错误”; IEC 62280标准也在非网络安全场景中使用该术语。
上述防护措施通常在通信链路端点的SCL(安全通信层)实现。SCL为依据系统能力(SC)要求开发的软件,运行于符合SC要求的硬件之上;对每条逻辑链路,其导致安全功能的每小时危险故障平均概率(PFH)贡献值通常不超过1%。
“+”与“++”对应不同防护等级:高等级(++)通常需采用双重防护机制。例如,针对“数据延迟”威胁,等级为“++”时需同时设置时间戳 + 超时检测;等级为“+”时仅需单一防护措施。
针对“数据重复”威胁,高等级防护可采用长序列号机制(而非简单位翻转),有效防止序列号回滚导致的防护失效。
回到人形机器人:人形机器人的移动特性,决定了必须采用无线网络通信。因此,若遵循ISO 10218:2025标准,此类网络上的安全级通信需对所有威胁采取高等级防护(++),因而通信复杂度远高于采用有线以太网的固定机器人。理想情况下,人形机器人的安全功能不应依赖无线网络,但可行性尚不明确。



全部评论