掃地機器人跌落風險評估與測試

謝志利 裴廣福 魏明然

1.中國標準化研究院，缺陷產品管理中心 北京 100101；

2.中家院（北京）檢測認證有限公司 北京 100176

1 引言

隨著生活水平的提高，人們對生活品質的要求也在逐漸提高。高智能全自動服務機器人逐漸走進了人們的生活中，而家庭掃地機器人則成為高智能全自動服務機器人的一個重要的組成部分，使得人工智能自動清潔成為可能。然而，作為新興起的產業，掃地機器人行業及標準尚處于起步階段，目前掃地機器人生產廠家的關注點主要在清掃徹底、自主避障、自動充電和高覆蓋率的路徑規劃等基礎性能項目的檢測方面，從而忽略了其使用特點和安全性能。針對掃地機器人的安全性能，國家出臺了各項檢測標準和方法。眾所周知，安全是第一要務，所以掃地機器人的安全性能也顯得尤為重要。而掃地機器人在使用過程中發生的跌落現象成為了需要主要關注的方面。跌落不僅會關系到設備能否正常使用，同時也與人身健康安全息息相關。本文將從如何識別跌落風險、避免跌落風險、跌落風險的分析，以及跌落風險評估方面進行探討。

2 標準理解

根據GB/T 23694-2013標準的相關定義，風險評估是指，在風險事件發生之前或之后（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。國際上通常采用IEC 60335-1《家用和類似用途電器安全_第1部分：一般要求》以及IEC 60335-2-2《家用和類似用途電器的安全_第2-2部分：真空吸塵器和吸水清潔電器的特殊要求》作為指導性標準來衡量掃地機器人的安全，國內采用的標準為GB 4706.1《家用和類似用途電器的安全 第一部分：通用要求》和GB 4706.7《家用和類似用途電器的安全 真空吸塵器和吸水式清潔器具的特殊要求》。

國內外標準中都有明確要求，掃地機器人應裝有防止移動部件從清潔表面（例如：樓梯等）跌落的裝置，當移動部件到達邊界時，應有感應、轉換方向繼續清潔的功能。這是為了防止掃地機器人在執行清潔工作時產生跌落風險。同時標準中還規定，類似于掃地機器人這種依靠保護性電子電路防護安全的器具，在設計電子電路時，應使其在任何一個故障情況下，都可以保證不會發生有關電擊、火災危險、機械危險或危險性功能失效。我們可以通過對所有電路或電路的某一部分進行故障試驗，驗證電子電路是否合格。其中故障模式包括對保護性電子電路的二極管等進行開路、短路故障以及集成電路的每個腳對電源或者對地（情況更惡劣的一端）短路等方面的故障。

風險評估就是量化測評掃地機器人發生故障跌落后所帶來的影響或損失的可能程度。

3 風險識別和風險分析

根據掃地機器人標準可能會出現跌落的風險，跌落后造成的嚴重程度除了可參考GB/T 35248-2017中的5.3.4.6中描述的傷害嚴重程度定性的描述外，還可以參考《人體損傷程度鑒定標準》。掃地機器人跌落后可能造成人員輕傷一級，嚴重可達重傷二級，甚至可為重傷一級。可見掃地機器人跌落在風險中占據舉足輕重的位置，造成掃地機器人跌落的可能有以下幾種情況。

3.1 地檢傳感器電路故障可造成跌落風險

智能掃地機器人地檢傳感器絕大多數是由發射二極管和接收二極管組成，即在掃地機器人內部根據相應的結構來放置二極管，發射和接收形成一定的角度，可進行一定長度的檢測，從而達到檢測地面的需求。設置故障可分為：

（1）設置發光管電路故障。令發光管一直處于工作狀態，減小發射和接收的角度，使接收管一直接收到發射管的信號，無論掃地機器人處于平地狀態還是懸崖狀態。

圖1 碰撞檢測簡化原理圖

圖2 電路結構1

（2）設置接收管電路故障。斷開接收管的接收管腳或將接收管腳拉低或者拉高，無論處于平地狀態還是懸崖狀態接收管與MCU之間的管腳都是為低或者為高。

依據以上兩種設置地檢傳感器故障，如果程序中沒有特別添加檢測地檢傳感器故障代碼，也沒有針對檢測到地檢傳感器故障后作出正確反應的程序，按照上述施加故障的掃地機器人將會發生跌落風險。

3.2 碰撞傳感器電路故障可造成跌落風險

掃地機器人的碰撞傳感器是由微動開關或者光電開關的結構來控制的。碰撞檢測簡化原理圖如圖1所示。

Ctrl端為低電平，發射端處于導通狀態。沒發生碰撞時I/O輸出為低電平，MCU檢測到為低電平。當掃地機器人受到碰撞后，隔斷U型槽開關由于結構的原因阻隔發射端到接收端的信號傳遞。導致I/O輸出高電平，如若持續高電平信號傳至MCU，MCU受到碰撞檢測信號會持續后退，如若程序中沒有針對此項風險添加有效的管控措施，掃地機器人會存在明顯的跌落風險。

3.3 遙控器或APP控制下可造成跌落風險

遠程APP多次操作某一功能按鍵或者隨機組合的按下按鍵可能會出現跌落風險。

紅外遙控器多次操作某一功能按鍵或者隨機組合的按下按鍵可能會出現跌落風險，也可能會出現跌落后不報警，不停止繼續后退的重大風險隱患。

3.4 正常使用可造成跌落風險

正常工作（自動運行）期間不操控紅外遙控器和機器人APP，也可能會有跌落風險。

4 風險評價以及測試

4.1 地檢傳感器電路故障

在拆解掃地機器人時發現，地檢傳感器絕大多數由發射二極管和接收二極管形成一定的角度并根據結構設計而成。在分析電路時發現有圖2結構設計，在這個結構下，只需要在控制芯片上做一個故障，就可以造成多個傳感器失效。造成掃地機器人跌落的風險，不滿足國標要求。

當然在拆機中下述這種設計居多，圖3結構電路，每個傳感器單獨連接到MCU，這種結構具備更高的傳感器獨立性，不會因為一路傳感器故障而影響其他路傳感器的正常工作，加強了電路設計的穩定性。

雖然圖3電路設計滿足國標要求，但是也要配合完善的程序設計才可滿足國家安全行業標準需求。在測試中發現，部分掃地機器人在前端某一個地檢傳感器電路上施加故障，迫使MCU與地檢傳感器相連接的管腳檢測到一直為高電平或者低電平狀態，這樣便會造成掃地機器人持續后退導致跌落在標準實驗平臺下。

4.2 碰撞傳感器電路故障

掃地機器人的碰撞傳感器是由光電開關或者微動開關來控制的，見圖4和圖5。少數掃地機器人是無碰撞傳感器的，即使在有傳感器的掃地機器人上做單重故障試驗，絕大多數掃地機器人有跌落情況發生，其中有部分掃地機器人跌落后并不會停止或報警。近半數掃地機器人在碰撞傳感器電路單重故障下就已經跌落在標準實驗平臺下。

測試中發現大部分掃地機器人采用圖3電路設計。雖然電路結構設計滿足國標要求，但是程序設計存在嚴重缺陷。大部分掃地機器人只要在碰撞傳感器電路上設置故障，使MCU接收到的某一個碰撞信息一直為高電平或者為低電平，即可造成掃地機器人持續后退的現象，直至跌落。有小部分掃地機器人運行時間過長，跌落后繼續運行且無告警提示。這也是與安全標準規定背道而馳的。

4.3 遙控器或APP控制

遠程APP遙控本意是為了提供便利，但也要進行合理的安全設計，在確保安全的情況下才能投入應用。操作APP的用戶并不能確定家中的情形，無法保證老人和孩子不在樓下，這種不加以管控的遠程操作是存在一定的安全隱患的，在測試中也證明了這一點。

在通過制造商提供的紅外遙控器控制掃地機器人正常工作時發現，同樣也會出現大部分機器人在長按紅外遙控器后退按鍵或多次操作后退按鍵后出現跌落，并且跌落后無報警，不停止。

以上兩種跌落事件說明在軟件開發的過程中沒有充分考慮到掃地機器人會后退跌落的情況，絕大多數掃地機器人在前端裝有地檢傳感器和碰撞傳感器，而尾部沒有任何保護措施，從而造成了前進不會跌落，而后退會有跌落的情況發生。

4.4 正常使用時的跌落風險

在進行多批次掃地機器人跌落試驗時發現，有極個別掃地機器人在標準實驗臺上正常工作（自動運行）期間不操控紅外遙控器和機器人APP，就會出現跌落的情況。此種情況的跌落不僅違背了國家標準要求，而且一旦被消費者使用，更有可能危害消費者的健康安全。所以此現象需要引起開發者和生產者的高度重視，更需要有關部門給予監督和定期抽查。

圖3 電路結構2

圖4光電開關結構

圖5 微動開關架構

5 風險評估總結

針對消費者和家電廠商來說，安全是最關乎切身利益的，也是制造商要考慮的首要因素。但是，因為理想狀態下制造出風險為零的產品是不切實際的，所以我們需要采用一些保護措施來降低風險發生的概率和風險發生時對使用者或使用環境的傷害程度，使風險發生的概率和傷害程度保持在可接受的范圍內。因此，為了降低產品風險，進行產品的風險評估是非常有必要的。

風險評估的主要目的是確定某一種或某幾種危險處境需要進一步降低風險，并且還要證實風險分析中的迭代過程。當所選擇的該項保護措施已經充分降低了風險，并且沒有引入新的危險或加重了其他原有風險，那么我們就認為達到了此項風險降低的目的。

當然由于某些危險處境風險極低（輕微），可記錄且不作進一步處理；然而那些被指出會造成重大危險的危險處境（例如，掃地機器人非正常工作狀態下的跌落風險）必須予以降低；進一步來說，對那些被指出可能會產生更高風險的危險處境，應做更加詳細和清晰的風險評估。