Когда планировщик зависает, а шина захлебнулась, двухтонная AGV не должна оставаться без аппаратного стопа. Статья про Safety Hub, STO/OSSD и PL d / SIL2 — слой поверх сервоприводов с IMU и навигации AGV/AMR.

Мы уже выяснили, что энкодер слеп без IMU, а голый MEMS-кристалл — лишь генератор шума без виброразвязки и бортового EKF. Мы поняли, как сделать каждый сервопривод «осознающим» свою динамику узлом. Теперь посмотрим правде в глаза: каким бы умным ни был сервомодуль, интегратор всё равно вставит его в систему, которой управляет софт.

А софт имеет свойство зависать.

Когда двухосевой планировщик траекторий в ROS2 ловит ошибку сегментации или шина данных захлебывается от коллизий, двухтонная AGV-тележка превращается в неуправляемый снаряд. Если этот снаряд снесёт стеллаж на складе, маржинальность проекта и финансовый цикл сгорят в пламени первой рекламации.

Чтобы этого не произошло, системе нужен безусловный аппаратный рефлекс. Здесь на сцену выходит четвёртый контур платформы — Safety Hub (модуль аппаратной безопасности). Он замыкает экосистему «привод + IMU + лидар» в единый отказоустойчивый контур.

1. Иллюзия программной безопасности и стандарт SIL/PL

Частая схема: лидар по Ethernet в центральный контроллер, алгоритм видит препятствие и по CAN говорит приводам «стоп». В лаборатории работает. В цехе при −10 °C, под ЭМИ от сварки и вибрации на стыках плит — нет.

Промышленный стандарт функциональной безопасности (ISO 13849 / IEC 61508) для мобильных платформ часто требует уровня PL d / SIL2. Отказ управляющего софта не должен приводить к травмам.

Решение: Safety Hub как «спинной мозг». OSSD-выходы лидара заводятся напрямую в Safety Hub; хаб аппаратно соединяется с клеммами STO (Safe Torque Off) на серводрайверах.

Лидар видит человека в красной зоне — или сам отвалился, ушёл в перезагрузку, не прошёл самотест — сигнал OSSD падает. Safety Hub, в обход ПО и ПЛК, обесточивает силовые ключи. Вал останавливается. Ни сбойный планировщик, ни зависший ПК не принудит движение.

2. Разгрузка шины: архитектура edge computing

Децентрализованная матрица снимает нагрузку с центрального «мозга» (ПЛК или ПК):

Для интегратора это предсобранный «комплект выживания шасси»: меньше месяцев на стыковке шин, выше предсказуемость ввода в эксплуатацию. Экономика проекта опирается на снижение риска полевых сбоев, а не на обещания «умного софта».

3. Защита цепочки поставок: отбраковка на старте

Комплексное решение несовместимо с плавающим качеством. Safety Hub — сердце защиты; контрактная сборка — зона риска. Нельзя везти контейнер лидаров или IMU, чтобы на объекте обнаружить мёртвые зоны или плывущий нуль.

Как защищается финансовый цикл:

  1. Жёсткий IQC-инжиниринг. Даташит — отправная точка. У OEM-контрактника нужна валидационная оснастка на входе партии.
  2. Температурно-вибрационный стресс. Лидар, IMU и Safety Hub — вибростенд и термокамера. Для хаба — проверка детерминированности STO (целевая задержка срабатывания строго < 10 мс).
  3. Кросс-референс матрица. Для MCU, компараторов, гальваноразвязок в хабе — footprint-совместимые аналоги (GigaDevice, Artery, Novosense), чтобы дефицит одной позиции не остановил конвейер.

4. Итог: переход от компонентов к экосистеме

С модулем аппаратной безопасности вы переходите от «продавца моторов с датчиками» к поставщику сертифицируемой двигательной базы. Архитектура для тяжёлых условий:

С инженерной точки зрения это жизнеспособная концепция для цеха и склада. С точки зрения проекта — контроль аппаратной части робота, где надёжность и сертификация закрывают главную боль интегратора.

Мы готовы к этапу трассировки плат и подбору компонентной базы под Safety Hub. Если нужен разбор узла целиком — начните с technical pages и линеек выше.