GBT20867-2007《工业机器人安全实施规范》

工业机器人安全实施规范

GB/T20867-2007

目次

前言

引言

1 范围

2 规范性引用文件

3 安全分析

4 基本设计要求

5 机器人设计和制造

6 机器人系统的安全防护和设计

7 使用和维护

8 安装、试运行和功能测试

9 文件

10 培训

参考文献

前言

本标准为推荐性国家标准。

本标准由中国机械工业联合会提出。

本标准由全国工业自动化系统与集成标准化技术委员会归口。本标准起草单位：北京机械工业自动化研究所。

本标准主要起草人：胡景谬、郝淑芬、聂尔来、许莹

本标准是首次发布。

引言

1 工业机器人安全标准制修订概况

1.1 国际工业机器人安全标准的制修订概况

ISO 10218是《工业机器人安全》国际标准的编号，此标准是国际标准化组织ISO/TC 184/SC 2/WG 3制定的，并于1992年1月正式发布实施，1997年9月经全体成员体投票复审，确认继续有效实施。近年来，随着科学技术的迅猛发展，工业机器人的品种不断增加，功能扩展，性能提高，应用领域亦更加广泛，不仅从制造业扩展到非制造业，甚至扩展到医疗、服务和康复领域，因此机器人使用的安全及防护问题日益突出。2000年，美国提出为了加强机器人和机器人系统的安全，使标准的制定者和使用者更便于交流和执行，并且标准还应考虑用于工业自动化的系统中除机器人系统以外的安全问题，因此需要对ISO10218：1992年的版本进行修订，同时提供了美国在1999年制定的标准版本。2000年ISO/TC 184/SC 2在美国举行的年会上形成决议，决定成立工作组，对安全标准进行修订。2001年在日本举行的年会上工作组提出了新工作项目建议草案，把安全标准分成两个部分，第一部分为设计、构形和安装时的安全，第二部分为机器人重新组装、重新布置及使用时的安全规范。此两部分的内容比1992年版细化和增加了不少具体内容，特别是对安全防护电路的

设计及对各类人员的安全防护措施更加明确。目前该标准正在制定中。

1.2 我国工业机器人安全标准的制修订情况

工业机器人产品在我国的研制开发始于“七五”期间。由于工业机器人产品有着与其他产品不同的特征，其运动部件，特别是手臂和手腕部分具有较高的能量，且以较快的速度掠过比机器人机座大得多的空间，并随着生产环境和条件及工作任务的改变，其手臂和手腕的运动亦随之改变。若遇到意外启动，则对操作者、编程示教人员及维修人员均存在着潜在的伤害。为此，为防止各类事故的发生，避免造成不必要的人身伤害，在研制机器人产品的同时，也立项制定工业机器人安全标准。

我国第一个安全标准GB 11291-1989是1989年3月发布，1990年实施的，它是参照日本标准JIS B 8433：1986《工业机器人安全法则》制定的。1994年，经过五年的使用，发现原标准过于简单，且国际标准ISO 10218也已经发布实施，按照我国积极采用国际标准的原则，于1994年成立工作组对1989年版进行修订，原国家技术监督局于1997年9月发布，1998年4月开始实施。此版本完全参照采用了ISO10218：1992的版本，在内容上有所增加，首次提出了安全分析和风险评价的概念以及机器人系统的安全设计和防护措施。目前该标准尚在实施中。

2 编写实施规范的目的

根据《中华人民共和国标准化法》第七条及实施条例第十八条的规定：国家标准、行业标准分为强制性标准和推荐性标准。下列标准属于强制性标准：“(一)药品标准，食品卫生标准，兽药标准；(二)产品及产品生产、储存和使用中的安全、卫生标准，劳动安全、卫生标准，运输安全标准；(三)工程建设质量、安全、卫生标准及国家需要控制的其他工程建设标准；(四)环境保护的污染物排放标准和环境质量标准；(五)重要的通用技术术语、符号、代号和制图方法；(六)通用试验、检验方法标准；(七)互换配合标准；(八)国家需要控制的重要产品质量标准”。因GB 11291-1997标准是涉及产品使用中的安全标准，经全国工业自动化系统与集成标准化技术委员会／机器人分委会建议，上级主管部门审核批准，此标准定为强制性标准。我国的强制性标准属于技术法规的范畴，其范围与WTO规定的技术法规的五个方面基本一致。根据WTO的有关规定和国际惯例，标准是自愿性的，而法规或合同是强制性的，标准的内容只有通过法规或合同的引用才能强制执行，而强制性标准则必须执行。因此为了增加GB11291标准的可操作性，便于工程技术人员、管理人员及用户更准确、全面地使用和实施安全标准，特制定本实施规范。

工业机器人安全实施规范

1 范围

本标准规定了工业机器人安全标准的实施步骤和细则，从而增加了GB 11291标准的可操作性，便于广大生产厂商、销售商和用户的

设计、安装、调试、操作和维护等相关人员全面准确地使用和实施机器人安全标准。

本标准适用于工业环境中的工业机器人及其系统的设计、生产、销售、管理和使用。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB 5226.1-2002 机械安全机械电气设备第1部分：通用技术条件(IEC 60204-1：2000，IDT)

GB 1129l-1997 工业机器人安全规范(eqv ISO10218：1992) GB/T 12644-2001 工业机器人特性表示(eqv ISO 9946：1999)

GB 14048(所有部分) 低压开关设备和控制设备

GB/T 15706.1-1995 机械安全基本概念与设计通则第1部分：基本术语、方法学(eqv ISO/TR 12100-1：1992)

GB/T 15706.2-1995 机械安全基本概念与设计通则第2部分：技术原则与规范

(eqv ISO/TR 12100-2：1992)

GB/T 16856-1997 机械安全风险评价的原则(eqv PREN 1050：1994)

3 安全分析

GB 11291-1997第4章主要讲述了三个方面。首先是机器人产品在设计和使用时采取安全措施的必要性；第二是对机器人及机器人系统的应用进行安全分析；第三是根据安全分析提出采取安全防护的策略和减少风险的措施，以便使整个机器人系统达到可接受的整体安全的水平。

3.1 安全分析的步骤

安全分析可按下述步骤进行：

a) 对于考虑到的(包括估计需要出、入或接近危险区)应用，确定所要求的任务，即：机器人或机器人系统的用途是什么；是否需要操作、示教人员或其他相关人员出入安全防护空间，是否频繁出入；都去做什么；是否会产生可预料的误用(如意外的启动等)。

b) 识别(包括与每项任务有关的故障和失效方式等)危险源，即识别由于机器人的运动以及为完成作业所需的操作中会发生什么

样的故障或失效，以及潜在的各种危险是什么。

c) 进行风险评价，确定属于哪类风险。

d) 根据风险评价，确定降低风险的对策。

e) 根据机器人及其系统的用途，采取一定的具体安全防护措施。

f) 评估是否达到了可接受的系统安全水平，确定安全等级。

3.2 识别危险源

识别可能由机器人系统本身或外围设备产生或由于人与机器人系统相互干扰而产生的危险或危险状态，使在进行机器人及其系统设计，和进行风险评价时，便于危险分析。

识别危险时，应从整套装备的各个方面来进行考虑：

a) 设备方面：机器人，安全防护设施，外围设备；

b) 设备的构建和安装：设备之间的端点，安装的稳定性，定位的位置；

c) 相互关系方面：机器人系统本身，机器人系统与其他相关设备之间，人与机器人系统相互交叉干涉而形成的危险。

危险和危险状态可以列表，对于各种机器人及其不同用途，其危险源不尽相同。大致可分为下述各项。

3.2.1 设施失效或产生故障引起的危险

a) 安全保护设施的移动或拆卸——如隔栏、现场传感装置、光幕等的移动或拆卸而造成的危险；控制电路、器件或部件的拆卸而造成的危险。

b) 动力源或配电系统失效或故障——如掉电、突然短路、断路等。

c) 控制电路、装置或元器件失效或发生故障。

3.2.2 机械部件运动引起的危险

a) 机器人部件运动——如大臂回转、俯仰、小臂弯曲、手腕旋转等引起的挤压、撞击和夹住，夹住工件的脱落、抛射。

b) 与机器人系统的其他部件或工作区内其他设备相连部件运动引起的挤压、撞击和夹住，或工作台上夹具所夹持工件的脱落、抛射形成刺伤、扎伤，或末端执行器如喷枪、高压水切割枪的喷射，焊炬焊接时熔渣的飞溅等。

3.2.3 储能和动力源引起的危险

a) 在机器人系统或外围设备的运动部件中弹性元件能量的积累引起元件的损坏而形成的危险。

b) 在电力传输或流体的动力部件中形成的危险，如触电、静电、短路，液体或气体压力超过额定值而使运动部件加速、减速形成意外伤害。

3.2.4 危险气体、材料或条件

a) 易燃、易爆环境，如机器人用于喷漆、搬运炸药；

b) 腐蚀或侵蚀，如接触各类酸、碱等腐蚀性液体；

c) 放射性环境，如在辐射环境中应用机器人进行各种作业，采用激光工具切割的作业；

d) 极高温或极低温环境，如在高温炉边进行搬运作业，由热辐射引起燃烧或烫伤。

3.2.5 由噪声产生的危险

如导致听力损伤和对语言通信及听觉信号产生干扰。

3.2.6 干扰产生的危险

a) 电磁、静电、射频干扰——由于电磁干扰、射频干扰和静电放电，使机器人及其系统和周边设备产生误动作，意外启动、或控制失效而形成的各种危险运动。

b) 振动、冲击——由于振动和冲击，使连接部分断裂、脱开，使设备破坏，或产生对人员的伤害。

3.2.7 人因差错产生的危险

a) 设计、开发、制造(包括人类工效学考虑)——如在设计时，未考虑对人员的防护；末端夹持器没有足够的夹持力，容易滑脱夹持件；动力源和传输系统没有考虑动力消失或变化时的预防措施；控制系统没有采取有效的抗干扰措施；系统构成和设备布置时，设备间没有足够的间距；布置不合理等形成潜在的、无意识的启动、失控等。

b) 安装和试运行(包括通道、照明和噪声)——由于机器人系统及外围设备和安全装置安装不到位，或安装不牢固，或未安装过渡阶段的临时防护装置，形成试运行期间运动的随意性，造成对调试和示教人员的伤害；通道太窄，照明达不到要求，使人员遇见紧急事故时，不能安全迅速撤离，而对人员造成伤害。

c) 功能测试——机器人系统和外围设备包括安全器件及防护装置，在安装到位和可靠后，要进行各项功能的测试，但由于人员的误操作，或未及时检测各项安全及防护功能而使设备及系统在工作时造成故障和失效，从而对操作、编程和维修人员造成伤害。

d) 应用和使用——未按制造厂商的使用说明书进行应用和使用，而造成对人员或设备的损伤。

e) 编程和程序验证——当要求示教人员和程序验证人员在安全防护空间内进行工作时，要按照制造厂商的操作说明书的步骤进行。但由于示教或验证人员的疏忽而造成误动作、误操作，或安全防护空间内进入其他人员时，启动机器人运动而引起对人员的伤害，或按规定应采用低速示教，由于疏忽而采用高速造成对人员的伤害等，特别是系统中具有多台机器人时，在安全防护区内有数人进行示教和程序校验而造成对其他设备和人员伤害的危险。

f) 组装(包括工件搬运、夹持和切削加工)——是应用和使用中产生危险的一种潜在因素，一般是由误操作或由工人与机器人系统相互干涉、人为差错造成的对设备和人员的伤害。如人工上、下料与机器人作业节拍不协调等。

g) 故障查找和维护——在查找故障和维修时，未按操作规程进行操作而产生对设备和人员的伤害。

h) 安全操作规程——规程内容不齐全，条款不具体，未规定对各类人员的培训等而引起潜在的危险。

3.2.8 机器人系统或辅助部件的移动、搬运或更换而产生的潜在的危险

由于机器人用途的变更或作业对象的变换，或机器人系统及其外围设备产生故障，经过修复、更换部件而使整个系统或部件重新设置、连接、安装等形成的对设备和人员伤害的潜在危险。

3.3 风险评价

由于机器人规格、尺寸、性能和功能的不同，其用途亦各异，其危险的种类和程度亦不同，采取的安全防护措施也不尽相同，因此需评价机器人及其系统在安装、编程、操作、使用、故障查找和维护时的风险。经过评价后，采取适宜的安全对策，避免和降低风险，达到尽可能的消除危险和选择适当安全措施。

3.3.1 评价风险的要求

a) 风险评价应由机器人及其系统的开发者或用户在系统设计初期进行。

b) 当系统安装和构建完成后，再完成最后的全面的风险评价并保留文件。

c) 风险评价的步骤：

1) 确定系统的作业任务和识别各种潜在的危险(假定没有安装安全防护装置)；

2) 进行风险判断；

3) 确定降低风险和选择安全防护类型；

4) 在安装了安全防护装置后，确定风险是否降低到可接受的等级。

3.3.2 风险要素

风险与特殊情况或技术过程开发中所考虑的危险有关，它是该危险可能伤害的严重度和伤害出现的概率及避免或限制伤害的可能性的函数(参见GB/T 16856-1997的7.1)。

a) 严重度——可能伤害的程度，用符号S1和S2表示。

损伤的严重度是指对人的伤害：

——轻度损伤(S1)：通常是可恢复的；

——严重损伤(S2)：通常不可恢复，包括死亡。

在确定S1和S2时，应根据事故的通常后果和正常治愈的过程做出决定，例如撞伤和(或)划伤而并无并发症可划作S1，而断肢或死亡将划作S2。

b) 伤害出现的概率，用暴露于危险区域中人的频次和(或)时间来评估，用符号E1和E2来表示：

——不频繁的暴露(E1)：每天或每班少于一次，如在正式工作前进行示教、编程、程序校验等；

——频繁暴露(E2)：如一个人在正常工作条件下，为了上、下工件须经常到达机器人的危险区域，或连续地暴露于危险区域中。

c) 避开危险的可能性，用符号A1、A2来表示。应考虑下述因素：

——机器人及其系统的各类操作、示教、程序校验、维修人员是否经过培训，能否熟练掌握操作程序及安全操作规程等；

——危险事件出现时速度的高低，如机器人的运动速度是处于低速还是高速；

——对风险或危险事件的认知，如能否通过其物理特征直接观察到机器人及其外围设备的作业状况，有无警示装置或其他信息；

——各类人员逃避危险的可能性(如人员反应的灵敏性，足够的间距或通道)；

——有无操作的实践经验和知识以及安全的实际经验。

出现危险状态时如有避开事故的机会或能明显地减小其影响则宜选A1，如果几乎无避开危险的机会应选A2。

表1 危险的严重度、暴露、避免的类别表

3.4 确定风险降低索引号

对每种作业任务，由表1得到危险的严重度、暴露和避免等判据的综合情况，再从表2交叉得到风险降低的索引号。表2是假定没有安装安全防护装置的。

表2 安全防护装置选择前风险降低的判定阵列

3.5 安全防护装置的选择

由表2确定风险降低的索引号，再从表3确定安全防护装置性能和安全控制系统性能的最低要求。

表3 安全防护装置性能选择阵列表

3.5.1 索引号R4

本类型为最低的安全防护性能，应通过行政管理手段，包括音响/视觉的警示措施和培训来降低风险。

3.5.2 索引号R3

安全防护至少应依靠非联锁的隔栏、与危险源之间的间距、安全规程、人员保护设备来降低风险，并采用索引号R4的措施进行安全防护。

3.5.3 索引号R2

安全防护应通过防止危险进入或切断危险的措施来达到，并采用R3和R4条款的安全防护来降低风险。

3.5.4 索引号R1

风险的降低应通过危险的消除或确实不会产生相当的或更大的危险的置换来完成。当不可能消除危险或置换时，应采用R2的所有条款内容和用R3及R4条款的安全防护来降低风险。

3.5.5 简单的安全控制系统性能

应采用单通道电路设计和构成简单的安全控制系统，并且是可编程的。

注：这种典型电路仅宜用于发信号和报警。

3.5.6 单通道安全控制系统性能

单通道安全控制系统应以硬件为基础，或采用用以制约机器人运行而形成限定空间的限位装置，如：机械挡块、极限开关、光幕、激光扫描器件等。这些部件应经过验证是安全的，且遵照制造商的建议使用的。采用的电路设计应被证实是安全的(如单通道的电气一机械的反向制动装置在断路状态时能发出信号进行停止)。

3.5.7 具有监控功能的单通道安全系统性能

具有监控功能的单通道安全控制系统应包括3.5.6的要求，应经过验证是安全的，并应在适当的时间间隔后，进行检查(如果可能，宜自动查明故障)。

a) 在机器人及其系统启动时和在操作中每种状态变化时，能进行安全功能的检查。

b) 检查时若未探测出故障则允许操作进行；若探测出有故障存在应生成一个停止信号；若运动停止后仍有危险，则应发出警告。

c) 检查时不会引起新的危险状态产生。

d) 故障跟踪探测直到故障清除，应一直保持在安全状态。

3.5.8 控制可靠的安全控制系统的性能

控制可靠的安全控制系统应设计和构建成在任何单个器件发生

故障时不妨碍机器人停止运动。

这种安全控制系统应以硬件构成，或在此基础上使用软件及基于固件的控制器，且包括在该系统等级上的自动监控装置。

a) 若检测到故障，则监控装置能生成一个停止信号；若运动停止后仍存在危险，则应给出个警告。

b) 在跟踪检测故障直到故障清除，应一直保持在安全状态。

c) 当发生非偶然的失效时，应考虑到类似的失效模式。

d) 在失效时，宜检测单个的故障。若不能实施，则应在对安全功能发下个指令时检测“失效”。

e) 这种安全控制电路应与正常的程序控制电路分开。

3.6 验证

一旦按照表3的要求选择和安装了安全防护装置，则必须按照3.2和3.3的内容再一次重复进行，以确保被识别的每种危险已经被防止，而残余的风险是可容许的。再次对每个任务用表1评价能否避开、暴露的情况和损伤的严重度，然后用表4确定风险降低的索引号。当得到的索引号是R3和R4时，说明采取的安全防护装置是适宜的。若得到的风险降低的索引号不是R3或R4时，则应选择附加的安全防护装置来控制残余的风险，使风险降低的索引号达到R3和R4。

表4 安装了安全防护装置的安全防护选择验证表

4 基本设计要求

4.1 安全失效

4.1.1

安全失效是指当机器人及其系统在实际应用时，元器件或某个部件发生不可预见的失效。但在设计、构造和使用时则应预先考虑到这种情况的发生，不使其安全功能受到影响，若某一项功能受到影响暂停时，则整个系统仍然处于安全状态，且应提供一种能确保安全(如锁住)的工作方式选择器件或措施以防止自行启动。安全功能是由输入信号触发并通过控制系统有关安全部件处理的，能使机器人及其系统达到安全状态的功能。机器人及其系统的安全功能至少应包括：

a) 限制运动范围的功能；

b) 紧急停机和安全停机的功能；

c) 慢速运动——机器人运动速度低于250 mm/s；

d) 安全防护装置的联锁功能。

4.1.2

在进行机器人控制系统功能设计时，亦应考虑到安全失效的情况。控制功能的基本要求应符合GB/T 5226.1-2002的9.2的规定。这里的功能包括起动功能、停止功能、工作方式选择功能、安全防护装置功能一项或几项暂停操作功能等，具体要求将在后面章节中叙述。

4.2 电气设备

机器人及其系统中的电气设备的选择应符合其预定的用途，选用的元器件、部件及设备则应符合产品标准。

4.3 电源

电源和接地(保护接地)应符合制造厂的规定。一般，在常规电源条件下，机器人及其系统的电气控制装置应设计成能在满载或无载时正常运行。

4.4 电源隔离

电源隔离是在机器人系统和电源之间安装隔离(切断)装置，它应安装在对操作人员无伤害之处。隔离装置应具有断路或开路功能。当需要时，该装置将切断机器人系统电气控制的电源，当使用两个或两个以上的电源隔离装置时，应采取联锁保护措施。

当电源隔离器件采用GB 14048的开关隔离器件切断开关或断路器时，其基本技术要求可参见GB/T5226.1-2002的5.3.3。

5 机器人设计和制造

在设计和制造机器人时应从人类工效学、机械、控制系统、手把手示教编程、应急运动、动力源、储能、干扰、操作状态、选择装置

等方面进行安全防护的设计，使机器人在应用时，有一个良好的安全基础。

5.1 人类工效学原则

a) 机器人各部件的设计应考虑操作和维修人员的身材、姿势、体力和动作特征，以避免在使用和维修机器人时产生紧张状态和运动。例如：示教盒的大小、键盘布置和重量应使编程人员在编程时不会产生握不住和误操作的状况；人工引导机器人示教时，牵引力不能大于中等操作人员的手动拉力或压力；各部件的连接或固定件应设计得使人的手或工具能接近紧固零件。

b) 人机接口的设计和布局应易于操作，如操作和编程装置，手持式控制装置、控制板、计算机终端及应用程序的媒体驱动装置的位置，应处于操作者在正常工作位置上易够得着的范围内。意外操作的可能性应减至最小，且操作者进行操作时不会处于危险位置上。

c) 应给出能清晰指示机器人工作方式及非编程原因而使机器人停止运动的相应信息。

5.2 机械部分设计的安全要求

设计机器人机械部分时，除需按照常规机械设计考虑机械结构及其零部件应能满足机器人所需的运动功能、性能要求、强度、刚度、各种相应尺寸及外形外，还应考虑在设计中消除由机器人运动部件所产生的危险。若不可能在机械部分设计时清除这种危险，则应进行安全防护的设计及采取相应的安全措施。

5.2.1 机器人运动范围的限定

机器人的运动范围是机器人的一项性能指标。它是由机器人操作机构的结构、传动和尺寸来决定的。但机器人的作业对象不同，所需的工作空间也不同。为了限定机器人各轴的运动，要采用各种限止机器人运动范围的方式，如机械方式、电气控制方式、软件编程方式等，但必须同时采取安全预防措施。

a) 采用机械式限位装置，如可调整的机械挡块及缓冲装置。要求在设计时能考虑到在机器人具有额定负载和最大速度运动时，该装置能使机器人停止在已调整好的位置上，且用紧固件可靠地固定在该位置上。

b) 非机械式限位装置。当设计、构造和安装后能达到与机械停止装置同等的安全水平时，可采取非机械式限位装置。非机械式限位装置包括用电动、气动、液压的限位装置、限位开关、光幕、激光扫描器件等。在安装后要进行测试，测试时必须以设计确定的最大的预期负载和最大速度进行运动，并能停止在预期的位置上。非机械式限位装置的电路必须是可靠的，测试方法和结论必须写在文件中。

5.2.2 防护罩和外壳

机器人中构成危险因素的电气、液压等部件应具有固定的防护罩和外壳，且在正常运行期间不能打开；当需要打开防护罩和外壳时，应采用工具才能卸下或打开。

5.2.3 运输考虑

在设计机器人时，应考虑吊装和运输的需要。设计吊装用的挂钩、吊环螺钉、螺钉孔和抓手等，必须能承受整个机器人的重量。机器人