外骨骼机器人 人机交互安全风险评估方法

T/BTIAIRIXXXXX-20XX外骨骼机器人人机交互安全风险评估方法范围本文件规定了外骨骼机器人人机交互安全的风险评估与风险减小要求和方法。本文件适用于非医用外骨骼机器人在其整个生命周期内的本质安全设计、安全防护、补充防护措施及使用信息的制定。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T12643-2025机器人词汇GB/T15706-2012机械安全设计通则风险评估与风险减小(ISO12100:2010,IDT)GB/T16855.1-2018机械安全控制系统有关安全部件第1部分：设计通则(ISO13849-1:2015,IDT)GB/T36954-2018机械安全人类工效学原则在风险评估与风险减小中的应用(ISO/TR22100-3:2016,IDT)GB/T12265—2021机械安全防止人体部位挤压的最小间距(ISO13854:2017,IDT)GB5226.1机械电气安全机械电气设备第1部分：通用技术条件GB/T39405-2020机器人分类术语和定义下列术语和定义适用于本文件。

外骨骼机器人exoskeletonrobot一种可穿戴的、由外部动力驱动的机电整合装置，通过机械结构与人体躯干或肢体相连接，用以增强、辅助或替代人体运动功能。

人机交互安全human-robotinteractionsafety在外骨骼机器人与使用者交互的全部任务和场景中，避免因物理接触、控制系统异常、人类工效学失配或信息误解等因素对使用者造成生理或心理伤害的状态。

交互危险源interactionhazard在外骨骼机器人与使用者交互过程中，由机器人、使用者、任务三者共同构成的，可能导致伤害的潜在根源。

人机交互安全等级Human-RobotInteractionSafetyLevel;HRISL一个综合性的离散等级，用于量化表征外骨骼机器人作为一个完整的人-机系统的整体安全水平。该等级通过对机器人固有安全性能、安全控制与防护可靠性、以及人因工程与交互和谐性等多个维度进行系统性评估后确定。风险评估与风险减小策略总体原则制造商应遵循GB/T36954-2018中规定的迭代过程，对外骨骼机器人进行系统性的风险评估。该评估过程应贯穿外骨骼机器人的整个生命周期，包括运输、装配、调试、使用（涵盖穿戴与脱卸、正常操作、维护保养）及废弃处置等所有阶段。风险评估工作应由一个具备跨学科知识的合格团队执行，团队成员宜具备机械工程、控制理论、人因工程、软件工程以及特定应用领域（如医疗康复、工业物流等）的专业知识和经验。风险评估确定外骨骼机器人的使用限制在风险评估的初始阶段，必须清晰、全面地确定外骨骼机器人的各项限制。这不仅是后续危险源识别的基础，更是确保安全设计的根本前提。与传统独立运行的机械不同，外骨骼机器人的性能和安全与其穿戴者紧密相关，因此，其使用限制必须同时包含设备自身限制和穿戴者相关限制。应明确规定以下限制：a)用途限制：明确设备预期的功能，例如用于辅助行走、上肢负重、康复训练等，以及禁止的非预期用途。b)空间限制：规定设备运行时所需的最小操作空间、净空高度等，考虑其在不同环境（如狭窄通道、楼梯）下的运动包络。c)时间限制：规定单次充电后的典型续航时间、最大连续工作时长、以及部件的预期使用寿命或更换周期。d)环境限制：规定设备正常工作的环境条件，如温度、湿度、海拔、防护等级（IP等级）等，以及对电磁环境的要求。e)穿戴者限制：此为外骨骼机器人风险评估的关键和特殊环节。制造商必须定义目标用户群体的特征，并将其作为设备的核心设计限制。这应至少包括：——人体测量学限制：可适配穿戴者的身高范围、体重范围、以及关键肢体（如大腿、小腿）的长度调节范围。将设备用于超出此范围的穿戴者被视为可预见的误用。——生理学限制：穿戴者应具备的基本生理条件，例如最小的肌肉力量、关节活动度等。同时应考虑穿戴者在长时间使用后可能出现的疲劳状态对安全操作的影响。——认知与技能限制：穿戴者应具备的理解和执行操作指令的能力，以及完成安全使用所必需的培训等级。将穿戴者特征作为设备的核心限制，是确保安全设计的根本转变。它要求设计者从项目伊始就必须将人因工程置于核心地位，避免设计出因人机不匹配而产生系统性风险的产品。危险源识别应采用系统化的方法，识别出与外骨骼机器人相关的所有重大危险源、危险状态和危险事件。识别过程应覆盖4.2.1中确定的所有使用限制和生命周期阶段。附录A（资料性）提供了一份针对外骨骼机器人人机交互的危险源识别清单，可作为识别过程的参考和补充。应至少考虑以下类别的危险源：——机械危险源：如挤压、剪切、缠绕、冲击、穿刺、摩擦、高压流体喷射、结构失效、稳定性丧失（跌倒）等。——电气危险源：如电击、静电、电磁干扰等。——热危险源：如接触高温部件（电机、电池）导致烫伤。——噪声与振动危险源。——材料与物质危险源：如接触有害物质、材料生物不相容性。——人因工程与工效学危险源：如不舒适的穿戴体验、过度的物理/认知负荷、不合理的穿脱设计、人机物理接口导致的压疮或局部过应力、运动学不匹配导致的关节损伤等。GB/T36954-2018为识别和评估此类由于未能遵循人因工程学原则而导致的危险源提供了详细的框架和指导。——控制系统相关危险源：如软件错误、硬件故障、传感器失效、意图识别错误或延迟导致的非预期运动、失控、辅助力/力矩的突变或丧失等。——信息与网络安全危险源：如未经授权的访问、数据泄露、恶意控制指令注入等（见5.4）。风险估计与评价对于每一个已识别的危险状态，应依据GB/T36954-2018的原则，通过综合考虑伤害的严重度和伤害发生的概率来估计其风险。伤害发生的概率是以下三个因素的函数：a)暴露于危险的频率和/或持续时间；b)危险事件发生的概率；c)避免或限制伤害的可能性。完成风险估计后，应对风险进行评价，以判定是否需要采取风险减小措施。如果现有安全措施不足以将风险降低至可接受水平，则必须进行风险减小。附录C（资料性）提供了一种风险矩阵法作为风险评价的示例。风险减小应采用GB/T36954-2018中规定的三步法，按照以下优先顺序实施风险减小措施：第一步：本质安全设计措施这是最重要且最有效的风险减小方法。通过设计从根本上消除危险源或降低风险。例如：——采用轻质高强度材料以减小系统惯量和穿戴负荷。——优化机械结构，使其运动学中心与人体关节中心对齐，避免产生异常应力。——在硬件层面限制电机最大输出力矩和转速。——选择经认证的生物相容性材料用于人机物理接口。——设计圆滑的外形，避免尖角和锐边。第二步：安全防护及补充防护措施当通过本质安全设计无法充分减小风险时，必须采取此步骤。对于外骨骼机器人，这主要涉及实施可靠的安全相关控制功能（SRCFs），详见第5章。物理防护装置（如防护罩）的应用场景有限，但仍需在必要时（如保护使用者免受高温部件伤害）予以考虑。第三步：使用信息在前两步措施实施后，对于无法消除的剩余风险，必须通过使用信息的方式告知用户。这包括：——在产品说明书和设备标签上提供清晰、明确的警告标识。——制定详细的操作规程，包括穿脱步骤、日常检查、应急处置程序等。——明确规定对使用者的培训要求，确保其充分理解操作方法和潜在风险。在采取任何风险减小措施后，必须重新进行风险评估，以验证措施的有效性，并确保没有引入新的危险源。人机交互安全要求机械安全结构完整性与稳定性外骨骼机器人的机械结构应具备足够的强度和刚度，以承受在预期使用和可预见的误用条件下遇到的所有静态和动态载荷。应通过分析和试验验证其符合以下要求：a)静载强度：承载人体重量的主要支撑部件，应能承受不小于2000N的试验载荷，试验后不应出现永久变形、裂纹或破损。具体要求和测试方法可参照YY/T9706.278。b)疲劳强度：对于在正常使用中反复运动的部件，应进行疲劳强度验证，例如，在额定载荷下完成至少100,000次运动循环后，结构应无损坏，功能应保持正常。c)稳定性：系统设计应确保在各种操作模式下（尤其是在姿态转换，如站立-坐下，或在不平整地面行走时）的动态稳定性，防止穿戴者跌倒。应通过风险评估确定是否需要主动稳定性控制功能。人机物理接口安全人机物理接口是力传递和物理交互的关键，其安全性直接关系到穿戴者的舒适度和生理安全。a)材料安全：所有与穿戴者皮肤直接或间接接触的材料，应进行生物相容性评价，并符合ISO10993系列标准的要求。b)压力分布与舒适性：接口（如绑带、袖箍）的设计应能均匀分布压力，避免产生压力集中点，以降低压疮、擦伤和局部组织缺血的风险。用于承载的绑带宽度不宜小于80mm（儿童用不宜小于60mm），以分散压强。c)防挤压与防剪切：应仔细设计外骨骼结构，避免在关节运动过程中，机器人的运动部件与穿戴者身体之间，或机器人不同运动部件之间形成挤压区或剪切区。若存在不可避免的间隙，应使其尺寸符合GB/T12265-2021的要求，以防止手指等部位被夹伤。运动学与动力学安全a)关节运动范围限制：外骨骼机器人的每个驱动关节的运动范围应是可调节和可限制的。其最大活动范围必须被限定在人体相应关节的生理极限之内，以防止发生关节过伸、过屈等伤害。应同时设置软件限位和物理机械限位。b)运动参数限制：系统的最大关节角速度、角加速度以及输出力/力矩应是可限制的。这些参数的上限值应由风险评估确定，并作为安全相关参数进行管理。控制系统安全控制系统是保障外骨骼机器人动态安全的核心。其设计必须遵循功能安全的原则，确保在发生故障时仍能维持或进入安全状态。安全相关控制功能（SRCF）制造商应根据风险评估的结果，为外骨骼机器人配备必要的SRCF以应对已识别的风险。以下SRCF应被视为所有外骨骼机器人的基本配置：a)紧急停止：应设置一个或多个紧急停止装置，其触发方式应便于穿戴者（或在旁的监护人）在任何姿态下快速、无误地操作。触发后，应使系统进入一个确定的安全状态（如所有驱动器断电并施加制动），且其功能应优先于所有其他控制指令。b)保护性停止：由控制系统自动触发的受控停止。当系统检测到可能导致危险的状况时（如检测到不稳定性、即将与障碍物碰撞、传感器信号丢失等），应启动保护性停止，使机器人安全地停止运动。c)安全力/力矩限制：控制系统应具备一个可靠的功能，用于主动监测并限制施加在穿戴者身上的力或力矩，确保其不超过风险评估中确定的安全阈值。d)安全速度限制：控制系统应具备一个可靠的功能，用于主动监测并限制机器人的运动速度，确保其不超过风险评估中确定的安全阈值。SRCF的性能等级（PL）对于每一个SRCF，必须根据其需要达到的风险减小程度，确定一个所需的性能等级（PLr）。PLr的确定过程应遵循GB/T16855.1—2018附录A中的风险图法。附录B（规范性）为该方法在外骨骼机器人领域的应用提供了具体指导。控制系统的设计和实现（包括硬件架构、软件、元器件选择）必须确保每个SRCF所达到的性能等级（PL）不低于其所需的性能等级（PLr），即PL≥PLr。PL的评估应综合考虑以下因素，并进行量化计算和验证：——系统类别（Category）：即系统的硬件架构，其抗故障能力。——平均危险失效前平均时间（MTTFd）：元器件的可靠性。——诊断覆盖率（DC）：系统自检测故障的能力。——共因失效（CCF）：针对冗余通道系统，抵抗单一事件导致多通道同时失效的能力。将功能安全原则应用于外骨骼机器人动态、连续的控制功能，是本标准的核心要求。例如，“跌倒防护”功能，其作用是在检测到穿戴者失去平衡时，通过快速施加纠正力矩来防止跌倒。此功能的失效将直接导致严重伤害（跌倒），因此，“跌倒防护”本身即构成一个SRCF。制造商必须为其确定PLr（通常会是较高的等级，如PLd），并设计出满足该可靠性等级的控制系统（包括传感器、处理器、算法和执行器）。意图识别与人机协同意图识别系统的可靠性至关重要。风险评估必须深入分析意图识别错误或失效（如将肌肉痉挛误判为运动意图、传感器脱落导致信号丢失）可能导致的后果，并设计相应的安全响应。控制系统应具备鲁棒性，能够检测并安全地处理穿戴者的非预期动作或传感器异常。失效安全行为在发生关键部件故障（如主处理器宕机、电源中断、关键传感器失效）时，系统必须能够自动转换到一个预定义的、安全的失效状态。该安全状态应由风险评估确定，并可能因应用场景而异，例如：——自由摆动模式：电机失去扭矩，关节可被动活动。——锁定模式：制动器抱死，将关节锁定在当前位置。——阻尼模式：提供一定的阻尼力，缓慢下降至稳定姿态。电气安全外骨骼机器人的电气系统设计应符合GB5226.1的通用要求。若产品预期用于医疗环境，则必须符合GB9706.1的规定。信息与网络安全对于具备网络连接功能（如远程监控、数据上传、软件更新）的外骨骼机器人，信息与网络安全是功能安全不可分割的一部分。网络攻击可能直接导致物理伤害，因此必须进行网络安全风险评估。a)访问控制：系统应实施严格的身份认证和权限管理机制，防止未经授权的用户操作设备或修改关键安全参数（如力、速度限制）。b)数据保护：穿戴者的敏感数据（如健康状况、生物信息、使用记录）在本地存储和网络传输过程中均应采用加密等技术手段进行保护，防止数据泄露。数据处理应符合国家关于个人信息保护和数据安全的法律法规。c)系统完整性：应具备确保软件和固件完整性与来源真实性的机制，例如采用数字签名进行安全启动和安全更新，防止恶意代码的植入。将网络安全漏洞视为潜在的危险源是至关重要的。例如，一个允许远程、未经验证的指令来控制机器人运动的漏洞，可以直接导致非预期运动，从而引发物理伤害。因此，用于防范此类攻击的安全措施（如加密通信、指令认证）本身也构成了SRCF的一部分，其可靠性（即抗攻击能力）应纳入整体安全性能的考量。人因工程与可用性遵循人因工程学原则对于降低因人机不匹配、操作失误或过度负荷而产生的风险至关重要。GB/T36954—2018强调了在机械设计中应用人类工效学原则的重要性，以确保设备能适应使用者的能力和技能，避免将风险置于使用者身上。本文件要求至少满足以下人因工程与可用性要求：a)穿戴与脱卸：穿戴和脱卸的过程应被设计得简单、直观且安全，穿戴者宜能够独立完成，或在最少的辅助下完成。b)信息交互：系统的运行状态、警告信息、故障警报等，应通过清晰、无歧义的方式（如视觉、听觉、触觉反馈）传达给穿戴者。c)认知负荷：系统的操作应尽可能直观，以最小化对穿戴者的认知负荷，使其能专注于任务本身。验证与确认制造商应制定并执行一套完整的验证与确认计划，以证明其外骨骼机器人产品符合本文件第5章规定的所有安全要求。验证活动应包括分析、检查和试验，并形成完整的文档记录。机械安全验证强度与耐久性验证通过静态加载试验、疲劳寿命试验等方法，验证结构的完整性。试验载荷和循环次数应基于风险评估和设计计算确定。材料符合性验证通过审查供应商文件或进行抽样检测，确认人机接口材料的生物相容性。运动学检查通过测量和功能测试，验证关节运动范围限位的准确性和可靠性。控制系统安全验证PL验证对于每一个SRCF，应通过分析和测试来验证其达到的PL满足PLr的要求。这通常涉及：——对硬件架构（类别）的分析。——对MTTFd​、DC和CCF的量化计算（可使用SISTEMA等专用软件工具）。——进行故障注入测试，以验证系统的故障检测和安全响应行为。软件验证与确认对安全相关软件进行系统化的V&V活动，包括代码审查、单元测试、集成测试和系统测试，确保软件的可靠性和对需求的符合性。功能安全测试在模拟或真实使用场景下，对所有SRCF的功能进行全面测试。例如，测试紧急停止的响应时间、安全力/速度限制的准确性、失效安全行为的正确性等。人机交互功能验证在符合伦理要求的前提下，通过使用人体模型、机器人测试台或人类被试进行试验，验证以下功能：——关节角度、速度、力矩等运动参数的设定与实际输出的一致性。——意图识别系统在不同任务和干扰条件下的准确性和鲁棒性。——系统在预设任务（如平地行走、上下坡、坐站转换）中的稳定性和协同性。网络安全验证对联网系统进行包括但不限于以下的测试：——漏洞扫描。——渗透测试。——通信协议和数据加密的有效性验证。——访问控制机制的稳健性测试。可用性验证组织代表性的目标用户进行可用性测试，收集其关于穿脱便捷性、操作直观性、信息反馈清晰度、以及整体舒适度的主观和客观数据，以评估和改进人因工程设计。人机交互安全等级（HRISL）评定概述人机交互安全等级（HRISL）是对外骨骼机器人整体安全水平的综合性评价。制造商应通过对产品进行全面的评估，确定其HRISL等级。该评估过程应是系统性的，并形成文件记录。评估维度HRISL的评定应至少基于以下三个核心维度：a)机器人固有安全性能（R）：评估外骨骼机器人机械系统本身的安全性，包括其结构、材料和运动学特性。b)安全控制与防护可靠性（C）：评估用于减小风险的主动安全系统和控制功能的可靠性与有效性。c)人因工程与交互和谐性（H）：评估设备在设计上对人类穿戴者的适应性、易用性和舒适性，以及交互过程的顺畅与安全程度。评定方法HRISL的评定应遵循附录D中规定的方法。该方法通过对各维度下的具体评估指标进行打分，计算加权总分，并最终映射到相应的安全等级。

（资料性）

外骨骼机器人人机交互危险源识别清单本附录旨在为制造商进行风险评估中的危险源识别步骤（见4.2.2）提供一个结构化的、非穷尽的参考清单。该清单基于外骨骼机器人的特殊性，列举了典型的人机交互相关危险源、危险状态及其潜在伤害。制造商应结合其产品的具体设计、预期用途和使用环境，对本清单进行补充和细化。表A.1外骨骼机器人人机交互危险源识别清单危险源类别具体危险源/危险状态潜在伤害相关条款1.机械危险源1.1机器人运动部件与穿戴者身体之间的挤压/剪切（如膝/肘关节处）骨折、组织挫伤、截肢5.1.21.2机器人结构与外部环境之间的碰撞/挤压挤压伤、撞击伤5.2.11.3结构疲劳或过载导致的部件断裂、失效穿戴者跌倒、被脱落部件击中5.1.11.4动态失稳（如行走、姿态转换时）导致的穿戴者跌倒骨折、颅脑损伤、擦伤5.1.1,5.2.11.5运动学不匹配，机器人关节轴线与人体关节轴线错位关节扭伤、长期劳损、不适5.1.31.6物理接口（绑带等）松脱或断裂失去支撑导致跌倒、控制失效5.1.22.人因工程危险源2.1物理接口压力分布不均或设计不当压疮、皮肤磨损、神经压迫5.1.2,5.52.2穿戴/脱卸过程复杂或不安全过程中跌倒、肌肉拉伤5.52.3机器人重量过大或质心分布不合理穿戴者疲劳、代谢消耗过大、姿态异常5.1.1,5.52.4人机交互界面（显示、声音）信息不清或有误导操作失误、对系统状态误判5.53.控制系统危险源3.1意图识别错误（如将肌肉痉挛识别为运动意图）产生非预期的、剧烈的运动5.2.33.2传感器故障或信号丢失（如EMG电极脱落）辅助力突然中断或产生错误动作5.2.33.3控制器软件/硬件故障导致的失控或非预期运动碰撞、跌倒、关节过伸/过屈5.2.1,5.2.23.4安全功能（如力/速度限制）失效施加过大的力/速度导致组织损伤5.2.1,5.2.23.5电源失效或电量耗尽突然失去动力支撑导致跌倒5.2.44.电气与信息危险源4.1电池热失控烫伤、火灾5.34.2电气绝缘失效电击5.34.3未经授权的远程访问或控制恶意操控导致物理伤害5.44.4敏感健康数据泄露隐私侵犯5.44.5固件更新失败或被恶意篡改系统功能异常、安全功能失效5.4

（资料性）

安全相关控制功能所需性能等级（PLr）的确定本附录规定了确定外骨骼机器人SRCF所需性能等级（PLr）的强制性方法。该方法基于GB/T16855.1—2018附录A中的风险图，并针对外骨骼机器人的应用场景提供了参数选择的具体指导。为确保PLr评估的一致性和合理性，制造商在选择S、F、P参数时，应遵循以下指南。表B.1参数S（伤害严重度）选择指南参数定义外骨骼机器人应用场景示例S1轻微伤害（通常可恢复）-因轻微非预期动作导致的肌肉拉伤或撞到障碍物产生瘀伤。-因物理接口摩擦导致的轻微皮肤磨损。-因短暂失稳但未跌倒造成的惊吓或不适。S2严重伤害（通常不可恢复，或死亡）-因控制失效或动态失稳导致的严重跌倒，造成骨折、颅脑损伤。-因力/速度限制功能失效，导致关节被强行推向生理极限，造成韧带撕裂或关节脱位。-在楼梯或高处作业时，因系统失效导致的坠落。表B.2参数F（暴露于危险的频率和/或持续时间）选择指南参数定义外骨骼机器人应用场景示例F1很少到较不频繁和/或暴露时间短-仅在维护、调试等特定、不频繁的操作中存在的危险。-仅在穿戴或脱卸特定部件时存在的夹伤风险。F2频繁到连续和/或暴露时间长-在正常行走或作业过程中，持续存在的因控制系统失效或动态失稳而跌倒的风险。-意图识别系统在整个使用期间持续运行，其失效风险属于连续暴露。-对于力/速度限制功能，只要设备在运动，其失效风险就持续存在。注：对于外骨骼机器人的大多数动态安全功能（如稳定性控制、力限制等），其失效风险在设备运行期间是持续存在的，因此通常应选择F2。表B.3参数P（避免危险的可能性）选择指南参数定义外骨骼机器人应用场景示例P1在特定条件下可能-机器人产生一个缓慢、可预期的非预期动作，训练有素的穿戴者有足够时间通过反向用力对抗或按下紧急停止按钮来避免伤害。-系统提供清晰、及时的预警（如声音、振动），提示即将发生的危险，且穿戴者有能力做出规避动作。P2几乎不可能-突发性的、高速或高力的非预期运动，穿戴者来不及反应。-突发性的动态失稳（如“软腿”），导致瞬间跌倒。-在复杂或受限环境中，即使检测到危险也无处躲避。

（资料性）

风险估计方法示例本附录提供了一种半定量的风险矩阵法，作为风险估计（见4.2.3）的示例。该方法可用于评估所有类型的风险（包括非控制系统相关的风险），并帮助制造商对风险进行分级和排序，以确定风险减小的优先次序。表C.1风险矩阵示例伤害严重度(S)A（很可能）B（可能）C（不大可能）D（极不可能）S4-灾难性不可接受不可接受不可接受高风险S3-严重不可接受不可接受高风险中风险S2-中等不可接受高风险中风险低风险S1-轻微高风险中风险低风险可忽略伤害发生概率(O)C.1伤害严重度（S）分级定义S4-灾难性：导致死亡或终生残疾的伤害。例如，从高处坠落。S3-严重：导致不可恢复的重伤或长期残疾。例如，严重骨折、关节永久性损伤。S2-中等：导致可恢复的、需要医疗处理的伤害。例如，需要缝合的割伤、轻微骨折。S1-轻微：导致轻微的、仅需急救处理的伤害。例如，擦伤、瘀伤、肌肉扭伤。C.2伤害发生概率（O）分级定义A-很可能：在设备预期寿命内，几乎肯定会发生。B-可能：在设备预期寿命内，有很大几率发生。C-不大可能：在设备预期寿命内，可能发生，但不常见。D-极不可能：在设备预期寿命内，发生的可能性极小，可以认为是偶然事件。C.3风险等级与处置原则不可接受：必须立即采取措施降低风险，否则不能使用。高风险：必须制定详细的风险减小计划，并尽快实施。中风险：应考虑采取风险减小措施。低风险/可忽略：通常无需采取额外措施，但应在文档中记录。

（资料性）

人机交互安全等级（HRISL）评定方法D.1概述本附录规定了确定外骨骼机器人人机交互安全等级（HRISL）的评估方法。该方法通过对三个核心维度（机器人固有安全性能、安全控制与防护可靠性、人因工程与交互和谐性）下的10个评估指标进行量化评分，计算出综合得分，并最终确定HRISL等级。D.2评估指标与评分评估应按照表D.1中的指标进行。每个指标根据其符合程度被赋予1分至5分的整数分值。评分应基于第6章的验证与确认结果，并结合设计文档、测试报告和用户测试数据。表D.1HRISL评估指标与评分指南维度指标评估内容描述参考评分指南（1-5分）R.机器人固有安全性能R1.结构完整性与稳定性评估机械结构在静载、疲劳和动态条件下的强度、刚度和稳定性，是否能有效防止结构失效和穿戴者跌倒。1:仅满足基本要求，裕量小。3:满足要求，有合理安全裕量。5:远超要求，结构极为坚固稳定。R2.运动学与动力学安全性评估关节运动范围、速度、力/力矩的限制措施是否有效，人机运动学匹配性是否良好，能否从根本上避免关节伤害和异常应力。1:仅有软件限位，匹配性一般。3:软硬件限位齐全，匹配性良好。5:具备自适应运动学匹配，限位精准可靠。R3.材料与物理接口安全评估人机接口材料的生物相容性，外形设计的圆滑无害性，以及防挤压/剪切设计是否周全。1:材料合规，但设计仅满足最小间距要求。3:设计优良，有效避免挤压，接口舒适。5:采用先进材料和人体工学设计，接口安全舒适性极佳。C.安全控制与防护可靠性C1.关键SRCF的性能等级评估紧急停止、稳定性控制等关键安全相关控制功能（SRCFs）所达到的性能等级（PL）是否满足或高于所需的性能等级（PLr）。1:PL<PLr。3:PL=PLr。5:PL>PLr，且冗余度高。C2.意图识别鲁棒性评估意图识别系统在面对传感器信号异常、穿戴者非预期动作（如痉挛）时的抗干扰能力和安全响应机制的有效性。1:易受干扰，无有效安全响应。3