这篇文章要解决的,不是泛泛地讨论“人形机器人风险很大”,而是如果你现在正准备搭一台样机、一个上半身平台,或者一条最小任务闭环,哪些坑必须在项目早期先关掉,不然后面每加一个能力都会把系统拖得更慢、更危险、更难验证。
它更适合已经开始动手的人,而不是只想看行业趋势的人。最关键的工程判断是:真正会拖死人形机器人项目的,往往不是某个算法暂时不够强,而是项目没有先建立“可安全启动、可分级降级、可回放复盘、可自动回归”的底盘。
这篇适合谁
- 已经在做 humanoid 原型、轮式上半身、双臂平台,准备进入多模块联调的人。
- 总觉得“硬件、控制、模型都不算差,但项目就是不稳不快”的项目负责人。
- 想在 walking、操作、感知、遥操作之外,先把项目活下来的人。
先纠正几个很常见的误区
误区 1:风险管理是写文档,不是做系统
在人形机器人项目里,风险控制不是 PPT,也不是周会上念几条风险项。真正有效的风险控制,是把系统做成即使失败也能留下证据、能快速恢复、不会把问题扩大化。也就是说,风险控制本身就是工程架构。
误区 2:先把能力做出来,安全和验证后面再补
这几乎一定会反噬。越是早期样机,越应该先把启动顺序、模式切换、限幅、急停、降级、日志和最小回归测起来。否则你每做出一个新功能,项目复杂度都会更快上涨,但验证能力不会同步增长。
误区 3:最危险的风险是技术路线选错
路线当然重要,但更常见的死法不是“路线错了”,而是范围太大、版本边界不清、供电和热管理没做预算、失败无法重放、每次联调都像第一次见面。很多项目不是死于 ambition 太小,而是死于系统没有收口。
关键实现判断:先关掉这 5 类高风险,再谈叠能力
如果你让我只保留一套最有用的早期风险框架,我会先盯下面五类:
- 范围风险:最小任务闭环是否冻结,还是还在一边做一边改目标。
- 状态风险:系统是否有明确的启动、就绪、执行、故障、恢复边界。
- 电源风险:负载峰值、母线压降、brownout、回灌和热降额是否提前纳入设计。
- 证据风险:失败后能不能通过日志和回放快速复盘,而不是靠人回忆。
- 回归风险:最关键的几条链路有没有自动化复测,不然每次发版都只是碰运气。
这五类不是并列 checklist,它们是一条顺序。范围不收口,后面所有验证都会发散。状态边界不清,安全和接管一定混乱。电源不稳,很多“控制问题”都只是表象。日志不可回放,bug 永远复现不出来。没有回归测试,任何修复都可能顺手引入新故障。
分步实践指南:怎么把项目从“会动”变成“能活下来”
第 1 步,先冻结一个最小任务闭环,不要同时证明十件事
很多 humanoid 项目真正的第一坑,是目标定义太大。你以为自己在做“通用机器人”,实际是在同时挑战机体、控制、感知、数据、部署和运维六件事。更稳的做法,是先冻结一条最小任务闭环,例如:
- 抓起固定料箱并放到指定高度;
- 从站姿进入预备姿态,执行一次受限搬运,再安全退出;
- 遥操作完成一次标准动作,并留下可复训、可复盘的数据包。
冻结时至少写清楚四件事:输入是什么,成功判据是什么,允许哪些人工接管,什么情况直接算失败。很多后续风险,其实都来自这里没写清。
第 2 步,把系统做成有状态边界的机器,而不是一团同时启动的进程
ROS 2 managed lifecycle 的价值,不在于“看起来更规范”,而在于它强迫你定义节点何时允许配置、何时允许激活、何时必须退回安全状态。对 humanoid 来说,这个思想非常值钱,因为你通常不希望控制器、任务状态机、遥操作入口、执行器使能在同一秒里无条件一起上线。
比较实用的做法是,把系统至少拆成这些阶段:
- 配置态:检查参数、标定、设备连通、版本一致性。
- 就绪态:传感器、控制器、任务层都通过健康检查,但暂不输出危险动作。
- 执行态:允许进入任务、运动和人工接管路径。
- 降级态:限制速度、关闭高风险动作、只保留恢复和撤离能力。
- 故障态:退出驱动或转入最小安全保持。
如果你的系统还没有这样的边界,真正的风险不是“以后可能出问题”,而是你现在每次联调都已经在无意中把问题放大。
第 3 步,提前把 brownout 和热降额当成一等公民,不要等它们伪装成控制 bug
早期样机里,很多最烦的故障表面像控制问题,实质是供电问题。母线电压下探、峰值电流过冲、电池内阻偏大、预充不足、回灌没地方泄放,都会把系统拖进一种很难排查的半失效状态。
WPILib 对 brownout 的分级保护文档很值得参考,它提醒你不要把“掉压”只当成一次事故,而要当成一个分阶段响应过程。放到 humanoid 上,意思是:
- 先定义轻度掉压时要关掉哪些非关键负载;
- 再定义中度掉压时哪些动作必须限速、限力、限加速度;
- 最后定义严重掉压时是退出任务、保持姿态,还是安全下电。
这一步如果不提前设计,系统最容易出现的不是“直接死机”,而是更糟的情况:状态机还活着,局部驱动已失真,日志也没记清,整台机器进入一种谁都说不清的异常行为。
第 4 步,把失败做成可回放资产,不要让复盘依赖记忆力
如果一次失败发生后,你只能翻视频、问现场、猜先后顺序,那项目一定会越来越慢。MCAP 在 ROS 2 场景里的价值,不只是文件更整洁,而是更适合把控制、感知、任务状态、人工接管事件收进统一回放包里。
我的建议是,任何值得修的故障都至少要留下三层证据:
- 控制层:关节状态、命令、驱动告警、母线电压、电流、热状态。
- 任务层:当前任务、状态机切换、失败原因码、接管动作。
- 现场层:关键视角视频、操作员标记、异常出现的时间点。
能在别的机器上重新打开、重新比对、重新定位,这次失败才算真正被项目吸收了。否则它只是一次现场经历,不是工程资产。
第 5 步,只挑最关键的 3 条链路做自动回归,先建立“版本不会偷偷变差”
很多团队一听自动测试就想到“以后再做完整 CI”,结果什么都没开始。更现实的做法,是先用 ROS 2 launch_testing 这种多进程集成测试思路,把最关键、最常炸、最影响联调节奏的链路先测起来。
我会优先选这三类:
- 启动链路:设备上线、参数加载、控制器就绪、任务层 ready。
- 异常链路:通信中断、驱动故障、人工急停、模式切换后的恢复。
- 证据链路:故障发生后日志是否完整落盘,回放文件是否可打开。
这样做的收益非常直接。你不是为了“更现代的软件工程”而测试,而是为了避免下一次发版把上周刚修好的故障悄悄带回来。
最容易翻车的地方
- 任务边界写得像口号:“完成搬运”“支持协作”都不算定义,必须写成可测任务。
- 所有模块默认并行启动:一旦设备偶发慢启动,问题就会在随机顺序里漂。
- 供电只看额定值,不看瞬态:峰值电流、再生能量、线束压降往往比平均功耗更先出事。
- 只录传感器,不录任务语义:回放时看到波形,却不知道当时正在执行什么动作。
- 回归只测 happy path:正常启动能过,不代表中断、急停、恢复也能过。
- 没有 kill criteria:项目明明已经超出验证能力,团队还在继续堆功能。
怎么验证你真的把这些风险关掉了
不要只看 demo 是否更顺。更该盯的是下面这些硬指标:
- 新版本上线后,最小任务闭环能否在固定步骤里稳定跑通,而不是靠临场调整。
- 随机挑一个失败案例,能否在 24 小时内从日志包里还原出根因路径。
- 故障发生后,系统能否按预定状态机进入降级或退出,而不是卡在半执行状态。
- 刻意制造一次供电扰动或节点失联时,是否能触发预期的限速、停机或恢复动作。
- 最近三次发版里,启动链路和日志链路是否保持稳定,没有出现“修一个坏两个”的倒退。
如果这些问题你还答不上来,那说明项目当前最缺的不是更强的模型,而是更像工程系统的收口能力。
下一步怎么做
- 给当前项目补一页“最小任务闭环定义”,写清成功、失败、接管和退出条件。
- 把系统阶段拆出来,先实现就绪、执行、降级、故障四类显式状态。
- 补一次供电和热风险预演,把 brownout、回灌、限流、热降额都过一遍。
- 把下一次失败记录成可共享的回放包,而不是一段聊天记录。
- 先把 3 条关键链路做成自动回归,再决定要不要继续扩任务范围。