不圆 发自 凹非寺
量子位 | 公众号 QbitAI
一条人形机器人发疯的视频在网上火了,视频中快递盒子乱飞,场面一度十分抓马。
研究人员:希望是一场幻觉。
视频中“发疯”的机器人是今年机器人格斗的美国冠军DeREK(原型为宇树机器人G1),而抱着头的这位,是该机器人团队REKrobot的CEO兼机器人格斗手Cix。
看看他们在赢得比赛时意气风发的样子,估计也想象不到会发生这样的事。
关于DeREK“发疯”的技术原因,Cix是这样解释的:我们启用了全身策略,但机器人的双脚没有接触地面。
简单地说,被吊起来的人形机器人进入了“行走模式”,但没有识别到脚下的路,才导致了这次失控。
不过,网友们关心的显然是另一方面:为什么要离那么近才能摁停止按钮?它需要一个远程无线的紧急制动!
更详细的解释
网友们关心的远程紧急制动其实是存在的——只是不管用而已。
为什么会不管用?Cix没有说出原因,但详细解释了整个过程:
DeREK的最初政策设计上不该出现这种情况,文档里也写明悬挂状态下可运行。
问题在于最终状态自动恢复成了行走模式。
通过网络代码强制终止未果,他们配发的无线电急停装置现在需要5秒才能生效。
最后直到以太网电缆松脱,系统才真正停止。
而5秒,对于紧急制动来说,可是会要命的。
然而,虽然Cix自己没找到原因,有网友对这件事情作出了深刻的思考,回答了以下几个问题:
1、为什么无法关机或移除电池?
电池从机器人身体的侧面安装,位于机械臂后面,在机器人失去控制时,靠近这个区域将极其危险。
并且,电池固定在身体上,关闭它需要按住电源按钮两秒钟,即使从安全距离用棍子操作也难以实现。
此外,电池本身的BMS按钮可能仅由一款通用微控制器驱动,其软件设计仅满足基础功能需求,并非用于紧急停止(E-Stop)。它很可能缺乏严格的安全设计,容易导致以下问题:按钮失灵、物理损坏或软件故障,从而在紧急情况下无法切断电池电源。
2、为什么不能自己对抗机器人?
机器人的电机非常强劲。如果有所准备,或许能强行停住一个电机,但肯定没法同时停住多个。每个电机的扭矩高达120至160牛米,比全速运转的大功率3类电动自行车还要强。而且,越靠近电机轴心,扭矩越大。
一旦电机全力运转时,肢体被夹在机身和机械臂的关节处,可能会造成极其严重的伤害——如果再加上惯性冲击,这股力量足以切断手指,甚至伤及骨头。
3、为什么不能通过其他方式切断电源?
由于电机惯性和高制动力,在失控操作期间,电机可能会将电能反送到总线。
如果拔掉电源,或BMS上的充电保护触发,由于电池无法吸收的过电压,所有电机和计算机电源可能会永久损坏。希望为电池添加硬件切断的用户应该了解这一风险。
DeREK的紧急制动系统搭载了一台基于Rockchip RK3588 CPU的ARM Linux电脑(未经过可靠性或实时性评估),并可选配NVIDIA Jetson模块。这些计算机由电池电源通过转换器供电,且需要一定时间启动。如果计算机系统断电,将导致所有控制功能失效(具体行为取决于执行器在通信中断时的预设策略)。
机器人的核心控制始终由Rockchip处理器和宇树科技(Unitree)的闭源软件掌控。在EDU版本中,用户可以通过外部计算机或NVIDIA Jetson向Rockchip系统发送自定义指令——该系统应该内置了 RS485 协议转换器,用于与电机通信。
但用户无法获得Rockchip系统的root访问权限或更改其上运行的软件。
4、为什么不能在计算机上实现紧急制动?
如果发生软件故障,在计算机上实现的任何紧急停止程序可能会被无意中忽略。
从通信方式的角度来讲,DeREK似乎通过配套遥控器使用Wi-Fi和/或蓝牙进行控制。但必须指出,这两种通信方式完全不适合用于安全关键控制系统——信号干扰极易导致失控。
举个简单例子:笔记本电脑的USB 3.0接口都会因干扰而影响2.4GHz无线鼠标的性能,更何况是复杂的机器人控制系统?
问题在于,急停(E-Stop)、进入阻尼模式以及退出开发者模式等关键操作,都需通过无线遥控器来完成。令人担忧的是,当无线信号中断时,系统将如何响应目前尚不明确。
5、为什么不能编程,让它断开控制器时关闭?
若通信中断触发急停,机器人很可能会突然关机并随机倾倒,考虑到其自重,这本身就是安全隐患。并且,在系统完全停止前,很可能存在一段失控时间窗口,期间机器人可能出现异常动作。
如果控制器断开连接,操作者将失去对机器人的所有控制,包括启用或禁用任何安全功能或错误代码。
在开发者模式下,开发者需对发送给机器人的所有指令承担全责,直至Rockchip系统收到退出开发者模式的指令。开发者必须自行建立网络通信,最关键的是,必须制定通信中断时的安全协议。
虽然不清楚本次事件中DeREK的具体设置,但据称该协议不会因通信中断而触发停机。
6、为什么不能通过软件限制电机可用的力来降低这种风险?
简单地说,机器人在正常运作时需要执行器提供全力输出才能保持平衡。如果限制峰值力量输出,机器人将丧失行走能力。
想想当你在艰难徒步中过度使用肌肉时的情形:随着肌肉疲劳导致可用峰值力量下降,你可能会因失去平衡余量而意外跌倒。下次运动时,不妨特别留意肌肉的受力状态。
7、最后的建议
这位网友认为,一个良好的安全解决方案应该是多步骤的。
除去操作环境安全及个人安全方面的建议,对机器人自身的安全系统设计,大致可分为以下几点:
执行器和电池管理系统应至少符合PL(d) 或ASIL-D等级的安全标准,且执行器应具备带外(OOB)硬件安全输入;
商用网络、计算机、线缆等不得用于安全关键系统;
即使是非正式项目,也应遵循安全开发流程,包括持续测试、故障模式分析和单点故障防护工作;
使用AI制动目前难以认证,因此重点应放在监控和紧急切断系统上。
不过,该网友也表示,以上并非专业工程或安全建议,实际应用请咨询认证专家。
该网友对机器人安全性的看法获得了一致好评:
不是第一次“失控”
机器人“发疯”的现象也引起了不少网友的恐慌,以及一些科幻的猜想。
毕竟DeREK是个“格斗机器人”,很难想象这种事情如果发生在一个更小的空间里,会是个多让人棘手的状况。
毕竟,5秒的时间对紧急制动确实有些过长。
其实这并不是REXrobot第一次出状况,在5月份的时候,还是Cix,就有机器人“突然”摔倒的问题。
有趣的是,在那个时候就有人问过机器人紧急制动的事情,Cix的回答和这次别无二致。
有网友建议Cix做一次详细的事后分析,而不是借着这个视频的东风马上转向融资——好像这件事本身就是为了炒作那样。
对此,Cix语意不详地回复:机器人格斗。
参考链接:
[1]https://www.reddit.com/r/robotics/comments/1m4mjmj/a_humanoid_robot_completely_lost_his_mind_derek/
[2]https://x.com/cixliv/status/1946648610940367008
[3]https://x.com/liminalsunset_/status/1946820928224231764
[4]https://x.com/REKrobot
