Меня зовут Алексей Глазачев. Я руковожу направлением функциональной безопасности роботизированных систем в компании «Цифра Роботикс» (Входит в ГК «Цифра»). Моя задача — сделать так, чтобы наши роботы в 110 тонн и более не устроили восстание машин и не уничтожили человечество. А если серьёзно, то я слежу за тем, чтобы роботы были безопасными для работы друг с другом и с людьми. О том, что делается для этого, а также как наши роботы помогают с безопасностью на производстве, я и расскажу в этом посте.  


О каких роботах идет речь?


В настоящее время у «Цифры» есть два беспилотных роботизированных комплекса: карьерные самосвалы на базе «БелАЗов» (с грузоподъемностью 90 и 130 тонн) и буровые станки. Причем это не красивые картинки-рендеры в программах 3D-моделирования, не единичные образцы, собранные для показа высоким чинам, а техника, которая, хоть и не умеет пока менять форму как в «Трансформерах», но уже работает.   

С марта по декабрь 2020 года наши автономные самосвалы (как на картинке) совершили более 10 тыс. рейсов, проехали более 33,6 тыс. км и перевезли более 1 млн тонн вскрышной породы на одном из угольных разрезов в Хакасии. Это были не поездки с дистанционным управлением через оператора, а полноценные роботизированные перевозки. Постепенно вся техника переводится из режима опытной эксплуатации в режим опытно-промышленной и промышленной эксплуатации. На 2021 год у нас запланировано внедрение автономного бурового станка в Перу и еще нескольких самосвалов на угольных разрезах в России и на гранитном карьере в Белоруссии. 

Почему добыча полезных ископаемых — занятие для роботов?


Места добычи полезных ископаемых — не курорт: условия работы там бывают опасными, а порой и вовсе требуют сложных систем для поддержки жизнедеятельности (почти как при пилотируемой космонавтике). Поясню на шести примерах:

  1. При добыче полезных ископаемых в горах, в частности, в Перу и Чили, у операторов техники и обслуживающего персонала наблюдается так называемая горная болезнь – недостаток кислорода в крови. Это снижает концентрацию и скорость реакции человека, и требуется оснащать машины специальным оборудованием.
  2. В жарком климате пустынь центральной Австралии и Северной Африки есть все шансы получить тепловой удар со всеми вытекающими последствиями.
  3. Обратная ситуация, связанная с обморожениями, возможна на обширных пространствах Севера, например при работе на Кольском полуострове в Хибинах.
  4. Добыча в условиях выбросов токсичных газов (метан, окись углерода, сернистый газ, сероводород, оксиды азота, тяжелые углеводороды, радон, аммиак) делает работу людей на добывающих участках невозможной без защитного снаряжения.
  5. Отдельная история — добыча урановых руд.
  6. В некоторых регионах земного шара существует реальная опасность  вооруженного захвата месторождений вместе с техникой и квалифицированными специалистами для шантажа, требований выкупа и т.д.

Также во многих статьях про беспилотники говорят о том, что массовый их выпуск сохранит миллионы жизней: в отличие от человека, который по своей природе является источником неопределённости, робот на дорогах не отвлекается на звонки, соцсети и переписку в мессенджерах, он не садится за руль после трех бокалов пива или сильных успокоительных, не лихачит, чтобы произвести впечатление или просто пощекотать нервы. На производстве робот-самосвал не будет превышать скорость движения в карьере, чтобы догнать и выполнить дневной план по отгрузке, который под угрозой срыва из-за простоев другой техники, несвоевременного технического обслуживания и т.д. Скорость реакции и концентрация внимания системы управления робота не снижается из-за недосыпания, переутомления, головной боли, жары. Конечно, у роботов нет интуиции, которая помогает водителю-человеку действовать в условиях слепых зон. Но роботы проектируются так, чтобы этих слепых зон у них не было.

Стремление к безлюдному карьеру, в котором работают только роботы, — это не хайп, а объективная необходимость, чтобы защитить самого человека и значительно сэкономить. И если человека в карьере нет, то задачу можно считать выполненной. 

Что касается экономии – поясню на примере. При разработке нового месторождения миллионы кубометров пустой породы извлекаются только для того, чтобы избежать оползня, обрушения породы и завала людей. Если в таком карьере будут вкалывать только роботы, он все равно будет проектироваться и создаваться с учетом защиты от обвалов, но это будет совсем другой уровень приемлемого риска: допустимы другие углы наклона бортов, углы откосов уступов и отвалов. Нужно будет вывести намного меньше пустой породы, при этом со значительно меньшей стоимостью, чем страховой случай попавшего под завал робота. Это дополнительный источник экономии, но он будет срабатывать только при масштабных внедрениях, планируемых еще на этапе проектирования всего рабочего участка.

Как мы не допускаем восстания машин


Однако до полностью безлюдного карьера еще нужно дожить. Пока наши роботы работают вместе с другой техникой, которой управляют люди, и на участке присутствуют операторы, наладчики и другой персонал. Поэтому одна из главных задач — обеспечить безопасность совместной работы автономных машин и человека. 




Когда мы внедряли автономные самосвалы в Хакасии, многие относились к этому крайне скептически, предполагая, что роботы будут постоянно создавать опасные ситуации либо просто стоять на месте. Сразу отмечу, что на всех десятках тысяч километров, пройденных нашей техникой за срок эксплуатации, ни разу не возникло ситуации, опасной для жизни или здоровья человека. Был неприятный инцидент, когда произошло касание роботизированного самосвала с машиной, управляемой водителем. Последствие этого инцидента — ободранная краска на кузове и бампере самосвалов. Этот «поцелуй» случился из-за изменения угла установки лидара вследствие нерасчётной нагрузки, пришедшейся на кронштейн крепления лидара. Конечно же, после этого мы пересмотрели и доработали этот узел крепления. 

Работы по обеспечению безопасности у нас начинаются с самых ранних этапов, а именно с этапа проектирования. В этом нам помогает классическая теория надёжности. Иными словами, значительная часть безопасности наших робо-комплексов обеспечивается за счет высокой надёжности оборудования и ПО, отвечающего за управление роботом, системы распознавания препятствий и, конечно, систем аварийной остановки. 

Надёжность оборудования


Хорошая новость состоит в том, что с момента своего рождения в 50-е годы XX века теория надёжности прошла большой путь и к настоящему моменту есть два важных достижения:

1)   Высокая надёжность электронных и электрических компонентов.

2) Отработанные решения по повышению надёжности (различные схемы резервирования узлов и агрегатов, встроенных средств контроля, предиктивной диагностики и т.д.).

Чтобы не быть голословным по первому пункту, приведу характеристику одного из контроллеров, используемых в нашем контуре управления:

Модель оборудования Наработка до отказа (MTTF — Mean Time to Failure), часов Ежегодная вероятность отказов (AFR — Annual Failure Rate)
X90PO210.08-00 12 575 000 0.070%

Часто, видя такие значительные цифры, люди удивляются. Ведь 12,5 миллионов часов —  это почти 1500 лет! Как может оборудование работать так долго, а главное, как подтверждается такая надёжность? 

Представьте себе партию в 100 насосов, которые одновременно включают и начинают проводить испытания. Предположим, что за первые 10 часов испытаний отказал один насос, за следующие 20 часов отказало три насоса, а ещё через 50 часов отказало 10 насосов. Через какое-то время, например, через 1000 часов, откажут все насосы. Фиксируется время каждого отказа. А отношение этой случайной величины к математическому ожиданию числа отказов  и будет средней наработкой до отказа — те самые тысячи часов или лет срока службы, указанные в паспорте на любое устройство, прибор или агрегат. 

В реальной жизни мало кто из производителей техники ждет, пока откажут все изделия из поставленных на испытания — наработка до отказа у некоторых устройств может составлять миллионы часов. Одним из способов определения наработки на отказ будет аппроксимация графика, полученного по первым двум точкам замера количества отказавших изделий в зависимости от продолжительности работы. 

Что касается второго пункта, а именно методического подхода к обеспечению надёжности, то здесь мы следуем стандартам: 

  1. ГОСТ 27.301-95. Надёжность в технике. Расчёт надёжности. Основные положения.
  2. ГОСТ 27.310-95. Надёжность в технике. Анализ видов, последствий и критичности отказов. Основные положения.
  3. ГОСТ ISO 13849-1-2014 Безопасность оборудования. Элементы систем управления, связанные с безопасностью.
  4. ГОСТ Р МЭК 62061-2015 Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью. 
  5. ГОСТ ISO 12100-2013 Безопасность машин. Основные принципы конструирования. Оценки риска и снижения риска.

И конечно, поскольку мы работаем с роботизированными карьерными самосвалами, то и ISO 26262-8:2018 Дорожные транспортные средства. Функциональная безопасность. Этот документ хорошо знаком специалистам из автомобильной отрасли, но немногие знают, что в редакции 2018 года расширено действие стандарта на грузовики. 

Для подтверждения требуемых показателей надёжности и уровней полноты безопасности наших роботов мы разрабатываем доказательную документацию, а именно расчёты надёжности, FHA (Functional Hazard Assessment — перечень функциональных отказов) и FMECA (Failure mode, effects, and criticality analysis  — анализ видов, последствий и критичности отказов).

Надёжность ПО


Отдельная тема — это надёжность программного обеспечения. Интересной особенностью ПО является то, что на него не распространяются классические законы надёжности, применяемые для электронного, электрического, пневматического, гидравлического и иного оборудования. Это тема для дискуссии, но по моему мнению, у ПО нет вероятности безотказной работы и наработки на отказ. ПО не изнашивается как электропневмоклапан после 5000 срабатываний. Поэтому надёжность и безопасность ПО обеспечивается высоким качеством разработки. В данном вопросе мы руководствуемся стандартом ГОСТ Р ИСО 26262-6, определяющим требования к разработке программного обеспечения транспортных средств, и международным стандартом разработки ПО для автомобильной промышленности ASPICE. 

Всегда важно убедиться в правильности того, что ты спроектировал. Поэтому мы тщательно проверяем код (статические анализаторы) и проводим тестирования. Кстати, если ты любишь роботов и хочешь, чтобы они хорошо себя чувствовали, возможно, именно ты и усилишь наш отдел тестировщиков (или какой-то другой). Недавно у «Цифры» появился полноценный тестовый полигон в Белоруссии с драниками и по-настоящему (110 тонн!!!) БОЛЬШИМИ роботами. Как хороши наши роботы! Как мощны их лапища! Как велики их колёса! Им не хватает только тебя…

Контроль роботов в карьере


Чтобы роботы в карьере работали эффективно, не сбивали людей и не устраивали бои между собой, у нас выстроена многоуровневая система контроля. Во-первых, мы приглядываем за ними с помощью ZRD (Zyfra Robotics Dispatching) — цифровой системы диспетчеризации, которая отслеживает местоположение и скорость всех машин. Вероятность того, что какой-то из многотонных беспилотников свернет не туда и окажется не в том месте и не в то время, весьма мала. Во-вторых, мы используем зарезервированную систему обнаружения и распознавания препятствий, построенную на лидарах, камерах и радарах. В-третьих, робота можно остановить удаленно через рабочее место оператора, если машина попала в нестандартную ситуацию. В-четвертых, есть кнопка последней надежды — все, кто работает с роботами в одном карьере, имеют при себе и в кабине (для техники с водителями) пульты аварийной остановки, которые могут остановить машину, если что-то пойдёт совсем не так. Пока пульт применять ни разу не пришлось. 

Благодарю за прочтение. Как вы понимаете, тема безопасности достаточно обширная и в одну статью не помещается. В ближайшие месяцы я готов написать ещё несколько постов, темы для которых, я надеюсь, вы подскажете в своих комментариях. Всем добра!