SafeGen-LLM: Enhancing Safety Generalization in Task Planning for Robotic Systems

本文提出了名为 SafeGen-LLM 的安全泛化大语言模型，通过构建多领域 PDDL3 基准数据集并采用结合监督微调与基于形式化验证奖励机制的 GRPO 两阶段后训练框架，显著提升了机器人任务规划在满足安全约束及适应新安全属性方面的泛化能力，其表现优于现有前沿基线模型。

要点

这篇论文介绍了一种名为 SafeGen-LLM 的新方法，旨在解决机器人“大脑”（人工智能）在规划任务时容易“犯傻”或“出事故”的问题。

为了让你轻松理解，我们可以把机器人做任务想象成让一个刚毕业的大学生去当“物流调度员”。

1. 核心问题：为什么现在的机器人规划器不够好？

在机器人领域，让机器人决定“先做什么、后做什么”（比如先搬箱子 A，再搬箱子 B）非常难。现有的方法各有毛病：

• 老派算法（经典规划器）： 就像只会死记硬背的计算器。它们非常严谨，但一旦任务变复杂（比如箱子多了、路变窄了），它们就算得慢，甚至直接卡死。而且，如果环境稍微变一下，它们就不知道该怎么办了。
• 强化学习（RL）： 就像让猴子在键盘上乱按。它通过不断试错来学习，但效率极低，需要尝试成千上万次才能学会一件事。而且，它通常只能学会“这一件事”，换个场景就忘了。
• 大语言模型（LLM）： 就像一个博学但缺乏常识的“天才实习生”。它读过很多书，能听懂人话，也能写代码。但是，如果直接让它去指挥机器人，它可能会写出语法错误的指令，或者为了完成任务而忽略安全（比如为了把箱子搬过去，直接撞碎了旁边的花瓶）。

痛点： 我们想要一个既聪明（能处理复杂任务）、又安全（绝不乱撞）、还能举一反三（换个新环境也能干）的机器人调度员。

2. 解决方案：SafeGen-LLM 的“两步走”特训计划

作者提出了一套训练方案，把这个“天才实习生”培养成“金牌调度员”。这个过程分为两个阶段：

第一阶段： supervised Fine-Tuning (SFT) —— “背诵操作手册”

• 比喻： 就像给实习生发了一本**《标准作业程序（SOP）》和《安全红线手册》**。
• 做法： 研究人员用传统的严谨算法，先算出成千上万条既符合逻辑、又绝对安全的“完美计划”。然后，把这些“题目”和“标准答案”喂给大模型，让它模仿学习。
• 目的： 让模型学会机器人的“语言”（比如怎么说话才像机器人能懂的指令），并记住基本的规矩（比如“不能把重物放在易碎品上面”）。这时候，它已经能写出格式正确的计划了，但可能还不够灵活。

第二阶段：GRPO（Group Relative Policy Optimization）—— “模拟演练与奖惩游戏”

• 比喻： 这是最精彩的一步。就像让实习生在模拟驾驶舱里进行高强度训练，旁边坐着一位严格的考官（验证器）。
  • 考官的作用： 考官手里拿着《安全法典》。实习生每写一个计划，考官就立刻检查。
  • 精细的奖惩机制：
    • 如果计划格式错了（比如少写了个括号），扣分。
    • 如果计划会导致机器人撞车（违反安全约束），重罚（这是最严重的）。
    • 如果计划虽然没撞车，但没完成任务，扣一点分。
    • 如果计划既安全又完成了任务，大奖。
  • 关键点： 这个考官不是随便给的分数，而是基于数学证明的（Formal Verification）。也就是说，如果考官说“安全”，那绝对是数学上证明安全的，不是凭感觉。
  • 循序渐进（Curriculum Learning）： 训练从简单的任务开始（比如搬 2 个箱子），等实习生熟练了，再慢慢增加难度（搬 10 个箱子，还要避开障碍物）。

3. 成果：它有多厉害？

经过这套“特训”后，SafeGen-LLM 展现出了惊人的能力：

1. 安全通用性强： 它不仅在训练过的场景里表现好，到了没见过的场景（比如从“搬箱子”变成“开渡轮”），它也能把安全规则迁移过去，不再乱撞。
2. 小模型也能打： 作者用的模型参数并不大（比如 70 亿或 140 亿参数），但经过训练后，它们在安全规划任务上，竟然打败了那些参数大得多的商业巨头模型（比如 GPT-5 的某些版本）。
3. 什么输入都能懂： 无论是给它看专业的代码（PDDL），还是给它看人话（自然语言），甚至是 JSON 格式的数据，它都能理解并给出安全计划。
4. 真机验证： 作者真的把它装在了一个真实的机械臂上。在模拟和现实中，当传统算法为了完成任务而让机械臂“撞”向障碍物时，SafeGen-LLM 规划出的路径完美避开了危险，成功完成了任务。

4. 总结：这就像给机器人装上了“安全刹车”和“老司机直觉”

简单来说，SafeGen-LLM 并没有发明新的机器人，而是给现有的大语言模型装上了一套“安全刹车系统”和“老司机直觉”。

• 以前的模型：像是一个莽撞的赛车手，虽然车技好，但经常为了冲线而撞墙。
• 现在的模型：像是一个经过严格考核的赛车手，既懂得如何最快冲线，又时刻记得“撞墙是绝对禁止的”，并且能把这种安全意识带到任何新的赛道上。

这项研究的意义在于，它让 AI 在控制物理世界（如自动驾驶、工厂机器人）时，不再只是“碰运气”，而是真正变得可靠、安全且通用。这对于未来机器人进入我们的家庭、工厂和道路至关重要。

技术摘要

SafeGen-LLM 技术总结

1. 研究背景与问题定义

在机器人系统中，安全关键的任务规划（Safety-Critical Task Planning） 是一个核心挑战。现有的解决方案存在以下局限性：

• 经典规划器（Classical Planners）： 基于搜索的方法（如 Fast Downward, OPTIC）在问题复杂度增加时扩展性差（计算时间呈指数增长），且输入/输出格式僵化，难以适应动态环境。
• 强化学习（RL）方法： 虽然能学习策略，但泛化能力差（通常仅针对单一任务），且训练需要大量的环境交互和样本，数据成本高昂。
• 基础大语言模型（Base LLMs）： 虽然具备强大的推理和泛化能力，能处理自然语言和符号输入，但未经微调的基础模型无法保证安全性。它们生成的计划可能违反安全约束、动作不可行或语义错误，直接部署可能导致不可逆的物理后果。

核心研究问题： 如何系统地对 LLM 进行对齐，使其不仅能生成满足安全约束的任务计划，还能在跨领域（Cross-Domain）和跨问题（Cross-Problem）的场景下具备安全泛化能力（Safety Generalization）？

2. 方法论：SafeGen-LLM 框架

作者提出了 SafeGen-LLM，一个两阶段的后训练框架，旨在将可验证的安全知识注入 LLM。该框架包含三个关键组件：

2.1 安全感知规划数据集构建

• 多领域基准： 构建了基于 PDDL3（Planning Domain Definition Language 3）的多领域基准，涵盖四个机器人任务领域：Blocksworld（积木世界）、Ferry（渡轮）、Grippers（机械手）和 Spanner（扳手）。
• 显式安全约束： 在 PDDL3 中编码了明确的安全约束（如“不可过载”、“避免碰撞”、“操作顺序限制”等），利用经典规划器（OPTIC）和验证器（VAL）生成经过形式化验证的合规计划作为训练数据。
• 指令 - 响应格式： 将验证后的计划转换为指令 - 响应（Instruction-Response）对，包含自然语言提示和严格的动作序列输出格式。

2.2 第一阶段：监督微调（Supervised Fine-Tuning, SFT）

• 目标： 让模型学习规划语法、语义以及领域特定的安全约束。
• 过程： 使用构建的安全合规数据集对预训练 LLM 进行标准 SFT。
• 作用： 消除格式错误，使模型能够生成符合 PDDL 语法的可执行计划，并初步内化安全约束，为后续的强化学习提供高质量的初始化策略。

2.3 第二阶段：基于细粒度奖励机器的组相对策略优化（GRPO）

• 算法选择： 采用 GRPO (Group Relative Policy Optimization)，这是一种无需独立评论家网络（Critic Network）的轻量级在线 RL 算法。
• 细粒度奖励机器（Reward Machines）：
  • 利用形式化验证工具（VAL）对生成的计划进行验证。
  • 将计划分类为五个层级：格式错误 > 安全约束违反 > 前提条件违反 > 目标未达成 > 成功计划。
  • 分层奖励设计： 严格区分错误层级（安全违反的惩罚远重于目标未达成），并引入基于进度的插值奖励（Progress-based Interpolation），鼓励模型生成更长的有效前缀，而非仅仅获得单一惩罚。
• 课程学习（Curriculum Learning）：
  • 根据问题复杂度（如积木数量、物体数量）将问题分为易、中、难三个等级。
  • 训练过程从简单问题开始，逐步过渡到复杂问题，并采用领域平衡的批处理策略，防止过拟合单一领域。

3. 主要贡献

1. 统一的安全感知 PDDL 规划基准： 提出了一个包含多个机器人启发式领域和显式安全约束的数据集，支持系统性的训练和评估。
2. 系统化的安全规划 LLM 后训练框架： 结合了 SFT 和基于形式化验证细粒度奖励的 GRPO。该方法显著提升了 LLM 规划器的安全泛化能力，实现了更高的规划成功率和跨领域的一致性安全合规。
3. 卓越的跨域安全泛化性能： 实验表明，经过训练的模型（即使是 7B-14B 参数量的开源模型）在安全感知规划任务上，性能优于参数量大得多的前沿闭源模型（如 GPT-5 Nano），且能处理多种输入格式（PDDL、自然语言、JSON）。
4. 实际部署验证： 证明了该方法不仅能通过仿真验证，还能在物理机器人（机械臂）上实现无碰撞的安全执行。

4. 实验结果

• 可扩展性对比： 在 Blocksworld 和 Grippers 的复杂问题上，LLM 求解器（GPT-5.2）保持了 100% 的成功率和稳定的运行时间，而经典规划器（OPTIC, Fast Downward）随着问题复杂度增加，成功率大幅下降且耗时剧增。
• 跨问题安全泛化（同域）： 在 Blocksworld 领域，经过 SFT+GRPO 训练的 Mistral-7B 模型，其安全约束违反率从预训练阶段的 10%（SFT 后）降至 4%（GRPO 后），规划成功率从 0% 提升至 82%。
• 跨域安全泛化（多域）：
  • 在四个领域（Blocksworld, Ferry, Grippers, Spanner）同时训练 Qwen3-14B 和 Llama-8B。
  • Qwen3-14B 在 GRPO 后达到了 88%-100% 的成功率，安全违反率降至 0%-2%。
  • Llama-8B 也达到了 78%-94% 的成功率。
  • 相比之下，未微调的 GPT-5 Nano 在部分领域（如 Blocksworld）成功率仅为 18%。
• 输入格式鲁棒性： 模型仅在 PDDL3 上训练，但在自然语言（NL）和 JSON 输入下也能保持高性能（平均成功率 84%-92.5%），且格式错误率极低，证明了知识的泛化性。
• 真实世界部署： 在物理机械臂上执行 Blocksworld 任务，安全感知规划器成功避免了经典求解器导致的物理碰撞，完成了安全堆叠任务。
• 与 Agent 工作流集成： 结合 SafePilot（验证引导的迭代修正框架），GRPO 模型将平均重试次数从 4.13 次降低至 1.16 次，最终成功率提升至 97.5%。

5. 意义与展望

SafeGen-LLM 证明了通过两阶段后训练（SFT + GRPO） 结合形式化验证奖励，可以有效解决 LLM 在安全关键任务规划中的泛化性和安全性问题。

• 安全性： 通过奖励机制强制模型优先满足安全约束，而非仅仅追求目标达成。
• 通用性： 实现了跨领域、跨输入格式的泛化，且小参数模型即可超越大参数闭源模型。
• 实用性： 能够无缝集成到现有的 LLM Agent 工作流中，并已在物理机器人上验证了其有效性。

未来的工作将致力于扩展到更复杂的机器人场景，集成更丰富的形式化验证工具，并探索从交互数据中自动构建安全约束的方法。