VLA机器人的「安全」该如何设计？

服务型与移动型机器人在商业场域的部署密度，过去3年明显加速，巡检、仓储、餐饮、商场、医院物流、户外递送逐一导入；这些机器人驱动核心仍以预先定义的规则与固定流程为主。紧接而来的技术主轴，是 VLA（Vision-Language-Action）架构：以 LLM/VLM 为大脑，帮助机器人理解自然语言指令、在更有弹性的情境下做决策，展现传统机器人没有的适应力与自主性。但更多能力、弹性，也隐含更多风险。

「安全」这件事被相对低估了。新一代VLA驱动机器人的安全框架，不是把工业机器人那套「围栏加急停」放大就能沿用。传统机器人的安全是工程问题——傳感器划出实体禁区、动作在认证阶段锁定。VLA 的弹性打破既有前提，使过去二十年的安全工程资产难以直接套用。

指令本身成为新的误解与攻击面，至少4类风险是传统安全框架没处理过的。

第一类是指令层的攻击面。LLM 本身的越狱（jailbreak）与prompt injection攻击，在接上动作决策点之后会整套传染到实体世界；语言领域的「胡言乱语」，到VLA场景就成为危险动作。

第二类是语义对齐不等于动作对齐（linguistic-action alignment gap）；预训练的安全对齐主要发生在语言输出层，动作空间没有经过同等强度的对齐；同一个危险指令，语言层可能拒绝回应，动作层却不受这道防线约束。

第三类是物件安全盲点。当指令是「把桌上的东西收走」，模型不会自动区分刀具、药瓶、热饮与一般杂物。

第四类是自损与环境碰撞。忽视自身硬件限制与场域结构，产生鲁莽动作与反复碰撞，既损坏机器人也威胁周边人员。

更根本的限制是开放世界的长尾。训练數據不可能涵盖所有场景，模型对「角落情境」（corner cases）的行为难以预测。这个问题在自驾车已反复验证，15年里程累积仍不足以压平长尾；而服务型机器人的场景空间只会更发散，道路有车道线可循，商场走道、医院走廊、仓储区交叉口却没有同等清晰的边界。

传统安全方案多仰赖控制障碍函数（Control Barrier Function；CBF）这类实体滤波器，如同为机器人设下一层「电子围篱」，在数学上保证其不进入物理禁区。这套方法在低自由度系统有效，但面对高自由度机械臂、或在复杂场域运作的移动机器人时，状态空间会指数成长。

更根本的是，它也处理不了「指令本身就危险」这类不在实体空间发生的风险。

实体滤波器只看机器人自身的状态空间，不问它正在互动的物件是什么。CBF可以保证机械臂的关节角度不超出安全范围、末端执行器不撞到墙，但它不知道夹爪握著的是水瓶还是药瓶。填补这个空缺的新兴方向，是把物件的情境危险性纳入规划。已经有研究团队让模型在生成动作序列时，把「这个瓶子里是药」、「这个容器里是热饮」、「这把工具是尖锐的」一并纳入考量，在餐饮、医院、仓储等场景特别关键。

近年学界也从2个方向补上指令层的缺口。一个方向是执行前的判断：当机器人侦测到指令超出自身能力，或在语义上有潜在危害时，应主动弃权（abstain）而非硬做。另一个方向是执行中的监控：在模仿学习（Imitation Learning）策略运作时，用另一个轻量模型實時评估策略输出是否异常，一旦偏离就触发人工接管或安全模式。

我们最近的两个研究（VLN-NF与AED）对应的就是这两件事：执行前的「要不要做」，与执行中的「做错了要怎么尽早发现」。把实体滤波器与语义层的行为守护者并置，是目前能实际部署的务实组合。

真正决定 VLA 机器人能否走出demo、进入大规模部署的，其实不是「永远不出错」，而是「出错之后能救回来」。这个观念在安全工程里有个说法叫Safety II：重点从「避免失效」转向「维持韧性」。

自驾车产业花了多年才建立「最小风险操作」（minimal risk maneuver）的观念：当系统无法继续行驶时，车辆要能自主进入安全停等状态——例如平顺减速、打方向灯、靠边停车，而不是直接把方向盘抛回给驾驶。这件事在规范上看似直观，在工程上却极为困难：需要另一套独立于主自驾系统的冗余去判断「何时我已经不该继续」，并在有限时间内完成安全退场。

服务型机器人可能会有类似路径，但场景更复杂。工厂可以急停，商业场域不行——餐厅送餐机器人在用餐高峰停在走道中央，挡住的是出餐动线与服务生通道；医院物流机器人若在走廊中央断电，挡住的可能是紧急推床；仓储AMR若在交叉口卡住，后面可能有一整列后续车辆与作业人员。这些场景都没有「路肩」这种已被定义好的安全区可以退守，恢复行为本身就必须是一个具备情境判断的决策，而不是一个缺省动作。

传统的恢复机制是写死的规则：抓失败就重试、路径不通就后退。但VLA的动作空间远比工业机器人复杂，规则式恢复很快碰到上限。新一代的研究方向，例如牛津大学（Oxford）团队2026年提出的CycleVLA，让机器人具备「子任务回溯与重新采样」的能力：侦测到异常状态时，退回上一个合理子任务重新生成动作序列，而不是在当前已经失败的轨迹上一路错下去。这条路线把恢复从「固定流程」变成「动态决策」。

技术之外，另一个正在快速逼近的议题是标准与认证。工业机器人（ISO 10218于2025年大改版）、仓储移动机器人（ISO 3691-4、北美ANSI/RIA R15.08）、服务机器人（UL 3300于2025年获OSHA认可）3条轨道各自在不同成熟度；EU AI Act与EU Machinery Regulation 2023/1230（2027年1月生效）则已把自主机器人列为高风险系统，要求风险管理、可解释性与實時监督界面。但VLA这类具备语言理解与自主决策能力的系统，目前没有任何一套标准完整覆盖。设计上除了优化能力，也必须对齐安全与合规，这已是能否回应RFQ/RFI的基本门槛。

VLA机器人的竞争力，未来几年不会在于谁的动作最快、谁的模型最大，而在于谁的系统在面对未知环境与突发错误时，能同时展现出多层安全能力：实体滤波器守住空间边界，物件安全约束判断互动对象的情境危险性，语义守护者决定要不要做，韧性恢复决定做坏了还能否回到正轨。这些AI层的能力都运行在硬件层的传统安全primitives（独立MCU、扭矩限制、机械e-stop）之上；硬件地基仍然必要，但新一代的安全能力都落在AI层。

四层缺一不可，而每一层都还有明显的技术推进空间。这也说明安全不是机器人上市前的选配功能，而是整个系统设计的地基。对准备切入这个产业的团队而言，智能安全防护做得多深、多早，很可能决定产品能走多远。