Início / Fundamentos / Módulo 1.6
MÓDULO 1.6

🛡️ Segurança e Normas: ISO 10218:2025

Safety-by-design e as normas que governam a colaboração humano-robô. O envelope de segurança dentro do qual qualquer VLA em produção precisa operar — do compliance legal aos guardrails técnicos.

6
Tópicos
~35
Minutos
Básico
Nível
Normas
Tipo
Defesa em Profundidade — Camadas de Segurança em Torno do VLA ISO 10218:2025 · ISO/TS 15066 — compliance legal e normativo Safety-by-design · análise de risco · HAZOP / FMEA Guardrails · fail-safe · SSM / PFL · action clamping 🦾 VLA parada de emergência verificação e validação Nenhuma falha isolada deve causar dano — defense-in-depth

Diagrama ilustrativo — o robô VLA opera dentro de múltiplas camadas de proteção independentes.

1

📋 ISO 10218:2025: a norma de robôs industriais

A ISO 10218:2025 é a norma internacional que define requisitos de segurança para robôs industriais e suas integrações. A revisão de 2025 unificou as partes 1 (robô) e 2 (sistema/célula) e incorporou explicitamente operação colaborativa — o envelope legal que todo VLA em produção precisa respeitar.

📌 O que a norma cobre

  • Parte 1Requisitos de projeto e segurança do robô em si — estrutura mecânica, atuadores, funções de parada.
  • Parte 2Requisitos da integração sistêmica — célula, periféricos, interface humano-robô, análise de risco da instalação.
  • 2025Edição que alinhou a norma com cobots e VLAs: operação colaborativa contínua entra explicitamente no escopo.

✓ Sistema em conformidade

  • Funções de parada protetora implementadas
  • Nível de desempenho (PL) avaliado por ISO 13849
  • Análise de risco documentada antes do deploy
  • Envelope de segurança definido para o VLA

✗ Violações comuns

  • Deploy sem análise de risco formal
  • Funções de segurança dependentes do software VLA
  • Operação colaborativa sem certificação do integrador
  • Ignorar a Parte 2 por "só usar o robô pronto"

Conceitos-chave

Performance Level (PL)

Métrica de confiabilidade de funções de segurança (PLa–PLe), calculada por ISO 13849.

Parada protetora

Interrupção segura e controlada do movimento sem perder o estado do sistema.

Célula integrada

Robô + periféricos + interface humano-robô como sistema completo a ser certificado.

2

⚖️ ISO/TS 15066: limites de força e pressão

A ISO/TS 15066 complementa a ISO 10218 com foco em robótica colaborativa: define os limites biomecânicos de força e pressão por região do corpo humano, garantindo que um contato robô-humano não cause lesão. Para um VLA que controla um cobot, esses limites restringem diretamente velocidade e força máximas das ações emitidas.

⚠️ Atenção: limites biomecânicos não são sugestão

Os valores de força e pressão da TS 15066 são derivados de estudos de tolerância ao dor e lesão tecidual. Superá-los — mesmo por frações de segundo — pode causar contusões, fraturas ou lesões internas. Nenhum argumento de produtividade justifica operar fora desses limites.

📊 Quatro modos de colaboração definidos

SSMSpeed-and-separation monitoring — robô desacelera conforme humano se aproxima, para antes do contato.
PFLPower-and-force limiting — permite contato controlado dentro dos limites biomecânicos da norma.
HGPHand guiding — operador guia o robô diretamente, com torques limitados por hardware.
SASSafety-rated monitored stop — robô para completamente enquanto humano está na zona compartilhada.

💡 Implicação prática para VLAs

Se o VLA opera em modo PFL, cada ação emitida pelo modelo deve ser interceptada por um safety controller determinístico que verifica velocidade e força antes de transmitir ao atuador. O modelo nunca deve ter acesso direto ao barramento de controle de baixo nível.

3

🏗️ Safety-by-design para VLA

A filosofia de incorporar segurança desde a concepção do sistema — não como patch posterior. Para VLAs, significa projetar a arquitetura, o espaço de ação e os limites do modelo de modo que comportamentos perigosos sejam estruturalmente difíceis ou impossíveis, independente do que o modelo "decida" fazer.

Modelo VLA output Action Clamping vel/força máx Safety Controller determinístico Atuador mundo físico ação rejeitada → e-stop / posição segura

Diagrama ilustrativo — o safety controller é independente do software VLA; falha no modelo não bypassa a proteção.

✓ Safety-by-design correto

  • Action clamping antes de qualquer execução
  • Safety controller independente do modelo
  • Estado seguro definido por hardware, não software
  • Defense-in-depth: múltiplas barreiras redundantes

✗ Anti-padrões perigosos

  • Confiar que o modelo "aprendeu a ser seguro"
  • Safety controller implementado em Python/ROS
  • Acesso direto ao barramento de baixo nível
  • Segurança adicionada como feature no fim do projeto

💡 Princípio fundamental

VLAs são modelos generativos probabilísticos — eles podem gerar ações fora da distribuição de treinamento. Nenhuma avaliação de benchmark garante comportamento seguro em todos os cenários. Safety-by-design é a única resposta responsável a essa imprevisibilidade estrutural.

4

🚨 Parada de emergência e zonas: SSM e PFL

Os mecanismos físicos e lógicos que interrompem ou modulam o movimento do robô na presença de humanos. São as salvaguardas de última instância — funcionam independentemente do que o VLA decidiu fazer e não podem ser desabilitadas pelo software de IA.

E-Stop

Parada de emergência — Categoria 0 e 1

Cat. 0: corte imediato de energia (más parada descontrolada). Cat. 1: desaceleração controlada antes do corte de energia. Ambas são independentes do software de controle e devem ser acionáveis por hardware físico.

SSM

Speed-and-Separation Monitoring

Monitora continuamente a distância humano-robô via sensores (câmeras 3D, LiDAR). Conforme o humano se aproxima, reduz velocidade de forma proporcional. Para completamente antes de qualquer contato. Ideal para células sem contato intencional.

PFL

Power-and-Force Limiting

Permite contato intencional, mas garante que força e pressão fiquem dentro dos limites biomecânicos da ISO/TS 15066. Exige sensores de força/torque no robô e safety controller certificado. É o modo que habilita cobots a trabalhar lado a lado com humanos.

Zonas

Zonas de segurança configuráveis

Zonas virtuais ao redor do robô com comportamentos diferentes: zona de aviso (desacelera), zona de proteção (para), zona de colaboração (PFL). Configuradas no safety controller, não no VLA. O modelo opera dentro do envelope; as zonas garantem o envelope.

💡 Onde o VLA termina e o safety controller começa

O VLA gera comandos de alto nível (mover para posição X com velocidade Y). O safety controller intercepta esses comandos, verifica se estão dentro das zonas e limites configurados, e só então os transmite ao controlador de junta. Uma falha ou alucinação do modelo nunca chega ao atuador sem passar por essa verificação.

5

🔍 Análise e mitigação de risco

O processo sistemático de identificar perigos potenciais de um sistema robótico, estimar a gravidade e probabilidade de cada um, e definir medidas para reduzi-los a níveis aceitáveis. É uma etapa obrigatória pelas normas antes de qualquer deploy — e para sistemas com VLA, precisa considerar a imprevisibilidade do modelo.

Hierarquia de mitigação (ordem de prioridade)

1
Eliminação do perigo— remover a causa raiz (ex.: eliminar a operação colaborativa onde não é necessária)
2
Proteções de engenharia— barreiras físicas, safety controller, action clamping
3
Controles administrativos— treinamento de operadores, procedimentos de operação segura
4
EPI e avisos— último recurso; indica falha em prevenir nos níveis anteriores

HAZOP — Hazard and Operability

Análise estruturada que questiona sistematicamente: "o que acontece se esta variável (velocidade, posição, força) for maior/menor/zero/inversa do esperado?". Muito eficaz para descobrir cenários de falha que a equipe não previu.

FMEA — Failure Mode and Effects Analysis

Tabela cada modo de falha possível (hardware, software, VLA) com severidade, probabilidade e detectabilidade (RPN). Para cada falha, define ação de mitigação. Obrigatória para sistemas que precisam de certificação.

⚠️ Perigos específicos de VLAs — além do hardware

  • Alucinação de ação — modelo gera comando fisicamente válido mas semanticamente errado (pega a ferramenta errada, vai na direção errada)
  • Distribuição shift — cena fora da distribuição de treino leva a comportamentos imprevisíveis
  • Latência de inferência — VLA lento demais para reagir a mudanças de cena em tempo real
  • Falha silenciosa — modelo produz output com alta confiança em cenário que não sabe resolver
6

🔒 Guardrails, fail-safe e validação de VLAs

O conjunto de salvaguardas específicas para modelos generativos em controle físico: guardrails que filtram ações inseguras, fail-safe behaviors que levam o robô a um estado seguro em caso de falha, e os processos de verificação e validação (V&V) que provam que o sistema funciona antes de ir a produção.

✓ VLA deployável

  • Guardrails validam ação antes da execução
  • Fail-safe definido: parar e soltar carga suavemente
  • Runtime monitoring detecta anomalias em produção
  • V&V em simulação + robô real com >1000 episódios

✗ VLA experimental (não deployar)

  • Validação apenas em simulação
  • Sem comportamento definido para falhas de inferência
  • Guardrails como comentário no README, não como código
  • "Testamos nos benchmarks" como único critério

Conceitos-chave de V&V para VLAs

Runtime monitoring

Observa continuamente métricas de operação (força, velocidade, trajetória) e dispara alertas ou paradas quando desviam do envelope esperado.

Avaliação estatística

Taxa de sucesso e falha em larga escala (>1000 episódios), incluindo cenários adversariais e edge cases planejados.

Fail-safe behaviors

Estado seguro padrão: se inferência falhar, travar juntas ou retornar a posição inicial. Definido por hardware, não por código Python.

Guardrails de ação

Cada ação é validada contra um conjunto de restrições antes de chegar ao controlador: posição fora do workspace, velocidade acima do limite, força acima da TS 15066.

💡 A fronteira entre experimental e deployável

Um VLA é deployável quando os seus guardrails, fail-safes e evidências de V&V são documentados e revisados por alguém além da equipe que desenvolveu o modelo. Autovalidação não conta para segurança. A revisão independente é parte do processo — não burocracia.

Resumo do Módulo

ISO 10218:2025 e ISO/TS 15066 — as normas que definem o envelope legal e biomecânico de todo sistema robótico colaborativo.
Safety-by-design — segurança incorporada desde a concepção, com action clamping e safety controller independente do modelo.
SSM e PFL — os dois modos colaborativos que permitem humanos e robôs compartilharem espaço com segurança garantida por hardware.
Guardrails, fail-safe e V&V — a diferença entre um VLA experimental e um VLA deployável perto de pessoas.

Próxima trilha

Trilha 2 — Técnico: arquiteturas, treinamento, fine-tuning e deploy de VLAs em profundidade.

← Voltar para a Trilha Ir para Trilha 2: Técnico →