謝志利 裴廣福 魏明然

1.中國標(biāo)準(zhǔn)化研究院，缺陷產(chǎn)品管理中心 北京 100101；

2.中家院（北京）檢測認(rèn)證有限公司 北京 100176

1 引言

隨著生活水平的提高，人們對生活品質(zhì)的要求也在逐漸提高。高智能全自動服務(wù)機器人逐漸走進了人們的生活中，而家庭掃地機器人則成為高智能全自動服務(wù)機器人的一個重要的組成部分，使得人工智能自動清潔成為可能。然而，作為新興起的產(chǎn)業(yè)，掃地機器人行業(yè)及標(biāo)準(zhǔn)尚處于起步階段，目前掃地機器人生產(chǎn)廠家的關(guān)注點主要在清掃徹底、自主避障、自動充電和高覆蓋率的路徑規(guī)劃等基礎(chǔ)性能項目的檢測方面，從而忽略了其使用特點和安全性能。針對掃地機器人的安全性能，國家出臺了各項檢測標(biāo)準(zhǔn)和方法。眾所周知，安全是第一要務(wù)，所以掃地機器人的安全性能也顯得尤為重要。而掃地機器人在使用過程中發(fā)生的跌落現(xiàn)象成為了需要主要關(guān)注的方面。跌落不僅會關(guān)系到設(shè)備能否正常使用，同時也與人身健康安全息息相關(guān)。本文將從如何識別跌落風(fēng)險、避免跌落風(fēng)險、跌落風(fēng)險的分析，以及跌落風(fēng)險評估方面進行探討。

2 標(biāo)準(zhǔn)理解

根據(jù)GB/T 23694-2013標(biāo)準(zhǔn)的相關(guān)定義，風(fēng)險評估是指，在風(fēng)險事件發(fā)生之前或之后（但還沒有結(jié)束），該事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作。國際上通常采用IEC 60335-1《家用和類似用途電器安全_第1部分：一般要求》以及IEC 60335-2-2《家用和類似用途電器的安全_第2-2部分：真空吸塵器和吸水清潔電器的特殊要求》作為指導(dǎo)性標(biāo)準(zhǔn)來衡量掃地機器人的安全，國內(nèi)采用的標(biāo)準(zhǔn)為GB 4706.1《家用和類似用途電器的安全 第一部分：通用要求》和GB 4706.7《家用和類似用途電器的安全 真空吸塵器和吸水式清潔器具的特殊要求》。

國內(nèi)外標(biāo)準(zhǔn)中都有明確要求，掃地機器人應(yīng)裝有防止移動部件從清潔表面（例如：樓梯等）跌落的裝置，當(dāng)移動部件到達邊界時，應(yīng)有感應(yīng)、轉(zhuǎn)換方向繼續(xù)清潔的功能。這是為了防止掃地機器人在執(zhí)行清潔工作時產(chǎn)生跌落風(fēng)險。同時標(biāo)準(zhǔn)中還規(guī)定，類似于掃地機器人這種依靠保護性電子電路防護安全的器具，在設(shè)計電子電路時，應(yīng)使其在任何一個故障情況下，都可以保證不會發(fā)生有關(guān)電擊、火災(zāi)危險、機械危險或危險性功能失效。我們可以通過對所有電路或電路的某一部分進行故障試驗，驗證電子電路是否合格。其中故障模式包括對保護性電子電路的二極管等進行開路、短路故障以及集成電路的每個腳對電源或者對地（情況更惡劣的一端）短路等方面的故障。

風(fēng)險評估就是量化測評掃地機器人發(fā)生故障跌落后所帶來的影響或損失的可能程度。

3 風(fēng)險識別和風(fēng)險分析

根據(jù)掃地機器人標(biāo)準(zhǔn)可能會出現(xiàn)跌落的風(fēng)險，跌落后造成的嚴(yán)重程度除了可參考GB/T 35248-2017中的5.3.4.6中描述的傷害嚴(yán)重程度定性的描述外，還可以參考《人體損傷程度鑒定標(biāo)準(zhǔn)》。掃地機器人跌落后可能造成人員輕傷一級，嚴(yán)重可達重傷二級，甚至可為重傷一級?？梢姃叩貦C器人跌落在風(fēng)險中占據(jù)舉足輕重的位置，造成掃地機器人跌落的可能有以下幾種情況。

3.1 地檢傳感器電路故障可造成跌落風(fēng)險

智能掃地機器人地檢傳感器絕大多數(shù)是由發(fā)射二極管和接收二極管組成，即在掃地機器人內(nèi)部根據(jù)相應(yīng)的結(jié)構(gòu)來放置二極管，發(fā)射和接收形成一定的角度，可進行一定長度的檢測，從而達到檢測地面的需求。設(shè)置故障可分為：

（1）設(shè)置發(fā)光管電路故障。令發(fā)光管一直處于工作狀態(tài)，減小發(fā)射和接收的角度，使接收管一直接收到發(fā)射管的信號，無論掃地機器人處于平地狀態(tài)還是懸崖狀態(tài)。

圖1 碰撞檢測簡化原理圖

圖2 電路結(jié)構(gòu)1

（2）設(shè)置接收管電路故障。斷開接收管的接收管腳或?qū)⒔邮展苣_拉低或者拉高，無論處于平地狀態(tài)還是懸崖狀態(tài)接收管與MCU之間的管腳都是為低或者為高。

依據(jù)以上兩種設(shè)置地檢傳感器故障，如果程序中沒有特別添加檢測地檢傳感器故障代碼，也沒有針對檢測到地檢傳感器故障后作出正確反應(yīng)的程序，按照上述施加故障的掃地機器人將會發(fā)生跌落風(fēng)險。

3.2 碰撞傳感器電路故障可造成跌落風(fēng)險

掃地機器人的碰撞傳感器是由微動開關(guān)或者光電開關(guān)的結(jié)構(gòu)來控制的。碰撞檢測簡化原理圖如圖1所示。

Ctrl端為低電平，發(fā)射端處于導(dǎo)通狀態(tài)。沒發(fā)生碰撞時I/O輸出為低電平，MCU檢測到為低電平。當(dāng)掃地機器人受到碰撞后，隔斷U型槽開關(guān)由于結(jié)構(gòu)的原因阻隔發(fā)射端到接收端的信號傳遞。導(dǎo)致I/O輸出高電平，如若持續(xù)高電平信號傳至MCU，MCU受到碰撞檢測信號會持續(xù)后退，如若程序中沒有針對此項風(fēng)險添加有效的管控措施，掃地機器人會存在明顯的跌落風(fēng)險。

3.3 遙控器或APP控制下可造成跌落風(fēng)險

遠(yuǎn)程APP多次操作某一功能按鍵或者隨機組合的按下按鍵可能會出現(xiàn)跌落風(fēng)險。

紅外遙控器多次操作某一功能按鍵或者隨機組合的按下按鍵可能會出現(xiàn)跌落風(fēng)險，也可能會出現(xiàn)跌落后不報警，不停止繼續(xù)后退的重大風(fēng)險隱患。

3.4 正常使用可造成跌落風(fēng)險

正常工作（自動運行）期間不操控紅外遙控器和機器人APP，也可能會有跌落風(fēng)險。

4 風(fēng)險評價以及測試

4.1 地檢傳感器電路故障

在拆解掃地機器人時發(fā)現(xiàn)，地檢傳感器絕大多數(shù)由發(fā)射二極管和接收二極管形成一定的角度并根據(jù)結(jié)構(gòu)設(shè)計而成。在分析電路時發(fā)現(xiàn)有圖2結(jié)構(gòu)設(shè)計，在這個結(jié)構(gòu)下，只需要在控制芯片上做一個故障，就可以造成多個傳感器失效。造成掃地機器人跌落的風(fēng)險，不滿足國標(biāo)要求。

當(dāng)然在拆機中下述這種設(shè)計居多，圖3結(jié)構(gòu)電路，每個傳感器單獨連接到MCU，這種結(jié)構(gòu)具備更高的傳感器獨立性，不會因為一路傳感器故障而影響其他路傳感器的正常工作，加強了電路設(shè)計的穩(wěn)定性。

雖然圖3電路設(shè)計滿足國標(biāo)要求，但是也要配合完善的程序設(shè)計才可滿足國家安全行業(yè)標(biāo)準(zhǔn)需求。在測試中發(fā)現(xiàn)，部分掃地機器人在前端某一個地檢傳感器電路上施加故障，迫使MCU與地檢傳感器相連接的管腳檢測到一直為高電平或者低電平狀態(tài)，這樣便會造成掃地機器人持續(xù)后退導(dǎo)致跌落在標(biāo)準(zhǔn)實驗平臺下。

4.2 碰撞傳感器電路故障

掃地機器人的碰撞傳感器是由光電開關(guān)或者微動開關(guān)來控制的，見圖4和圖5。少數(shù)掃地機器人是無碰撞傳感器的，即使在有傳感器的掃地機器人上做單重故障試驗，絕大多數(shù)掃地機器人有跌落情況發(fā)生，其中有部分掃地機器人跌落后并不會停止或報警。近半數(shù)掃地機器人在碰撞傳感器電路單重故障下就已經(jīng)跌落在標(biāo)準(zhǔn)實驗平臺下。

測試中發(fā)現(xiàn)大部分掃地機器人采用圖3電路設(shè)計。雖然電路結(jié)構(gòu)設(shè)計滿足國標(biāo)要求，但是程序設(shè)計存在嚴(yán)重缺陷。大部分掃地機器人只要在碰撞傳感器電路上設(shè)置故障，使MCU接收到的某一個碰撞信息一直為高電平或者為低電平，即可造成掃地機器人持續(xù)后退的現(xiàn)象，直至跌落。有小部分掃地機器人運行時間過長，跌落后繼續(xù)運行且無告警提示。這也是與安全標(biāo)準(zhǔn)規(guī)定背道而馳的。

4.3 遙控器或APP控制

遠(yuǎn)程APP遙控本意是為了提供便利，但也要進行合理的安全設(shè)計，在確保安全的情況下才能投入應(yīng)用。操作APP的用戶并不能確定家中的情形，無法保證老人和孩子不在樓下，這種不加以管控的遠(yuǎn)程操作是存在一定的安全隱患的，在測試中也證明了這一點。

在通過制造商提供的紅外遙控器控制掃地機器人正常工作時發(fā)現(xiàn)，同樣也會出現(xiàn)大部分機器人在長按紅外遙控器后退按鍵或多次操作后退按鍵后出現(xiàn)跌落，并且跌落后無報警，不停止。

以上兩種跌落事件說明在軟件開發(fā)的過程中沒有充分考慮到掃地機器人會后退跌落的情況，絕大多數(shù)掃地機器人在前端裝有地檢傳感器和碰撞傳感器，而尾部沒有任何保護措施，從而造成了前進不會跌落，而后退會有跌落的情況發(fā)生。

4.4 正常使用時的跌落風(fēng)險

在進行多批次掃地機器人跌落試驗時發(fā)現(xiàn)，有極個別掃地機器人在標(biāo)準(zhǔn)實驗臺上正常工作（自動運行）期間不操控紅外遙控器和機器人APP，就會出現(xiàn)跌落的情況。此種情況的跌落不僅違背了國家標(biāo)準(zhǔn)要求，而且一旦被消費者使用，更有可能危害消費者的健康安全。所以此現(xiàn)象需要引起開發(fā)者和生產(chǎn)者的高度重視，更需要有關(guān)部門給予監(jiān)督和定期抽查。

圖3 電路結(jié)構(gòu)2

圖4光電開關(guān)結(jié)構(gòu)

圖5 微動開關(guān)架構(gòu)

5 風(fēng)險評估總結(jié)

針對消費者和家電廠商來說，安全是最關(guān)乎切身利益的，也是制造商要考慮的首要因素。但是，因為理想狀態(tài)下制造出風(fēng)險為零的產(chǎn)品是不切實際的，所以我們需要采用一些保護措施來降低風(fēng)險發(fā)生的概率和風(fēng)險發(fā)生時對使用者或使用環(huán)境的傷害程度，使風(fēng)險發(fā)生的概率和傷害程度保持在可接受的范圍內(nèi)。因此，為了降低產(chǎn)品風(fēng)險，進行產(chǎn)品的風(fēng)險評估是非常有必要的。

風(fēng)險評估的主要目的是確定某一種或某幾種危險處境需要進一步降低風(fēng)險，并且還要證實風(fēng)險分析中的迭代過程。當(dāng)所選擇的該項保護措施已經(jīng)充分降低了風(fēng)險，并且沒有引入新的危險或加重了其他原有風(fēng)險，那么我們就認(rèn)為達到了此項風(fēng)險降低的目的。

當(dāng)然由于某些危險處境風(fēng)險極低（輕微），可記錄且不作進一步處理；然而那些被指出會造成重大危險的危險處境（例如，掃地機器人非正常工作狀態(tài)下的跌落風(fēng)險）必須予以降低；進一步來說，對那些被指出可能會產(chǎn)生更高風(fēng)險的危險處境，應(yīng)做更加詳細(xì)和清晰的風(fēng)險評估。