安全第一：2026年におけるヒューマノイドロボットのISO/IEC準拠とリスクアセスメント

安全第一：2026年におけるヒューマノイドロボットのISO/IEC準拠とリスクアセスメント

ヒューマノイドロボットは、工場、家庭、店舗でますます一般的になりつつあります。これらのロボットは、Boston DynamicsのAtlas（歩行デモロボット）から、2026年までに量産が計画されているTeslaのOptimusに至るまで多岐にわたります (www.automation-next.com)。機械が人と共有する空間に入り込むにつれて、安全が最優先事項となります。国際標準は、設計者とユーザーがリスクアセスメントと安全対策を進める上で役立ちます。例えば、ISO 12100:2010（機械の安全性）は、体系的なリスクアセスメントとリスク低減プロセスを定めています (www.iso.org)。最近のロボット安全ガイドは、リスクアセスメントにおいて、まずロボットの用途、作業空間、ライフサイクルを定義し、次にハザード（人に危害を及ぼす可能性のあるもの）を特定し、リスク（発生可能性と重大性）を評価し、リスクを低減するための対策を講じる必要があると説明しています (link.springer.com) (www.plcacademy.com)。安全対策を講じた後、リスクが低いことを確認するためにハザードを再確認するという、反復的なアプローチが強調されています (link.springer.com) (www.plcacademy.com)。

ISO 12100に基づく正式なリスクアセスメントの実施

ISO 12100に基づく段階的なリスクアセスメントは以下の通りです。

• 境界と使用方法の定義。 まず、ロボットがどのように、どこで、いつ動作するかを決定します。タスク、環境、オペレーターの数、使用制限を明記します (link.springer.com)。
• すべてのハザードの特定。 可動部品、挟み込み点、電源、ソフトウェアエラー、落下物など、危害を引き起こす可能性のあるものをすべてリストアップします。ハザードを体系的に見つけるための多くの手法（FMEA、HAZOPなど）が存在します (link.springer.com) (www.plcacademy.com)。
• リスクレベルの評価。 各ハザードについて、怪我がどれほど重大になるか、そしてそれがどの程度発生しやすいかを評価します。ISO 12100およびISO/TS 14121は、最も重要なリスクを見つけるために、ハザードを重大度と頻度に基づいてスコアリングすることを推奨しています (www.iso.org) (www.plcacademy.com)。
• 設計によるリスク低減。 最初の目標は、ハザードを排除するか、危険を回避するように設計を形作ることです。例えば、挟み込み点をガードしたり、ロボットの速度を制限したりします。可能な場合は、本質安全設計を適用します。
• 保護措置の実施。 ハザードが残る場合は、ガード、センサー、安全システムなどの保護策を追加します（次セクションを参照）。
• 再評価。 各変更後、すべてのハザードを再度確認します。このプロセスは反復的であり、1つの安全機能を追加すると新たなリスク（例：安全な切断を必要とする電気ガードケーブル）が発生する可能性があるため、リスクが「合理的に実行可能な限り低い」状態になるまでループを繰り返します (link.springer.com) (www.plcacademy.com)。

ここでの主要な主張はすべて、ISO 12100の原則とロボット安全研究によって裏付けられています (www.iso.org) (link.springer.com) (www.plcacademy.com)。

機能安全の統合：PLとパワー/フォースリミティング

ヒューマノイドロボットは、しばしば安全関連制御システムを使用します。これらのシステムの信頼性は、パフォーマンスレベル（PL）によって測定されます。PL（aからeまでの評価）は、安全機能（非常停止など）が故障条件下でどの程度機能するかを示します (www.keyence.eu)。各安全機能について、潜在的な負傷の重大性、暴露の頻度、ハザードの回避可能性といったリスク要因に基づいて、必要なPL（PL_rと呼ばれる）が決定されます (www.keyence.eu)。実際のシステムは、その必要なPLを満たすか、それを超える必要があります（例えば、非常に高リスクの機能にはPL dまたはeが必要となる場合があります）。実際には、エンジニアはISO 13849やIEC 62061のような標準を使用して、コンポーネント（回路の信頼性、診断など）に基づいてPLを計算します。（米国では、これはIEC 61508/62061における安全完全性レベル（SIL）の選択に似ています。）

もう一つの重要な概念は、**パワー・アンド・フォースリミティング（PFL）**です。PFLは、人に致命的な危害を与えることなく接触または衝突するように設計されたロボットの戦略です。これは、接触が深刻な負傷を引き起こさないように、ロボットの質量と速度を制限することを意味します。例えば、ヒューマノイドエレベーターは、低電力のアクチュエーターと感圧スキンを使用したり、トルクと速度を安全な値に制限するソフトウェアを使用したりするかもしれません。PFLは、協働ロボットの標準（ISO/TS 15066）で明示的に言及されており、妥当性確認中にテストされます (roboticsystemsauthority.com)。妥当性確認テスト（下記参照）では、設計者は最終的な安全確認として、衝突が負傷閾値以下の力に収まることを検証します (roboticsystemsauthority.com)。

安全防護戦略

ヒューマノイドの周囲で人間の安全を確保するためのいくつかの実用的な安全防護策があります。

• 速度と分離の監視（Speed-and-Separation Monitoring）。 センサー（LiDAR、カメラ、近接スキャナーなど）がロボットの近くにいる人間を監視します。人が監視ゾーンに入ると、ロボットは自動的に減速または停止します。この方法は、協働作業のためのISO TS 15066で定義されています。例えば、高度な人間認識ロボットは、天井のカメラを使用して最小安全距離を計算し、ISO/TS 15066の安全方程式を適用して、衝突前にロボットを減速させるかもしれません (www.nist.gov)。研究者たちは、ISO標準に準拠した速度と分離の監視を導入することで、衝突リスクが劇的に減少することを確認しています (www.nist.gov)。

• ジオフェンシング。 ジオフェンスとは、ロボットが超えないように設定された見えない境界線です。多くのモバイルヒューマノイドロボットや配送ロボットがこれを使用しています。例えば、ロボットカートは、GPSまたは超広帯域センサーを備えており、「立ち入り禁止」ゾーン（階段や顧客エリアなど）を定義することができます。ロボットがフェンスに近づくと、安全モードに移行したり、方向転換したりします。ジオフェンシングは正式なISO要件ではないことが多いですが、モバイルロボット工学における実用的な安全工学のレイヤーです。

• 非常停止アーキテクチャ。 すべてのロボットセルには、電源を即座に遮断するための1つ以上の非常停止（Eストップ）ボタンが必須です。ISO 13850（およびその旧規格EN 418）は、特定の停止カテゴリを備えたEストップ機能を要求しています。カテゴリ0停止は直ちに電源を遮断し（無制御停止）、カテゴリ1停止は制御された方法で停止した後、電源を遮断します (www.se.com)。ヒューマノイドは、少なくともカテゴリ0または1の非常停止回路をサポートする必要があります。最善の方法は、各シフト前にすべてのEストップを物理的にテストすることです。実際、監査では、多くの事故が未検証のEストップとセンサーに起因していることが指摘されています (oxmaint.com)。業界のガイダンスでは、**「産業用ロボットの非常停止装置は、視覚的な検査だけでなく、各シフト開始時に物理的にテストされなければならない。ISO 13850およびANSI/RIA R15.06はこれを要求している。」**と述べています (oxmaint.com)。要するに、すべてのEストップボタンは直ちに安全停止ロジックをトリガーし、システムは停止イベントを記録または表示する必要があります。

これらの戦略はそれぞれ組み合わせるべきです。例えば、ソフトウェアによる減速に加えて、物理的なガード（壁やライトカーテン）を設けることも考えられます。多くのロボットセルでは、速度/分離の概念を強制するためにライトカーテンやスキャナーを使用しています。いずれの場合も、これらのデバイスのすべての配線とロジックは、ISO 13849またはIEC 62061に従って安全定格制御カテゴリ（例：デュアルチャンネル、自己監視リレー）に準拠し、故障の可能性を低くする必要があります。

CEマーキングとそれに匹敵する認証

EUまたは類似の市場でロボットを販売するには、製造業者は安全指令を満たし、CEマークを貼付する必要があります。ヒューマノイドロボットは、EUの機械指令（2006/42/EC）およびその他の指令（EMC、低電圧など）の対象となる可能性があります。CEマーキングには、準拠を文書化した技術ファイルが必要です。最低限、技術ファイルには、リスクアセスメント、満たされた必須安全要件、テストレポート、およびユーザー文書が含まれるべきです (www.certifico.com)。例えば、ある技術ファイルテンプレートには、リスクアセスメント、必須要件（機械指令付属書I）、関連するEN標準に基づくリスク評価、CE適合宣言書、安全テストレポート（例：EN 60204-1電気安全テスト）、および取扱説明書が記載されています (www.certifico.com)。製造業者（またはシステムインテグレーター）は、ロボットがすべての該当する標準を満たしていることを示す適合宣言書に署名する必要があります。

ヨーロッパ以外では、類似の認証が存在します。米国では、ロボットはしばしばANSI/RIA R15.06（ISO 10218に基づく）に準拠していることが検証され、ULリストに掲載されることがあります。ロボットに関するUL 1740標準は、北米の安全要件をカバーしています。最近のガイドでは、CE認証は一般的にEN ISO 10218およびEN ISO 13849に依拠するのに対し、北米のUL認証はUL 1740およびUL 3100を参照すると述べています (www.jqrtest.com)。（UL 3100は特定のロボット機器のための新しい標準です。）中国では、GB/Tロボット標準（CR認証）が適用されます。実際には、グローバルな製造業者は、各地域の標準に合わせた同様の技術文書を準備することがよくあります。例えば、中国の認証マトリックスでは、CE（EU）にはISO 10218/13849が必要であり、UL（米国）はUL 1740/3100を使用するなどと示されています (www.jqrtest.com)。二重のコンプライアンスを確保するには、ISOとANSIの両方のガイドラインを満たすことが含まれる場合があります。

妥当性確認と検証のアプローチ

設計と統合の後、徹底的なテストが極めて重要です。検証と妥当性確認は、関連する2つのステップです。検証は、ロボットが仕様通りに正しく構築されたことを確認し、妥当性確認は、意図された用途のために正しいシステムが構築されたことを確認します (roboticsystemsauthority.com)。ロボット工学において、ISO自体が両方の概念（ISO 9283は性能に関するものですが）に言及しており、良好な実践は明確です。すなわち、すべての安全機能（カテゴリ2停止が正しく配線されたか？）を検証し、現実的なシナリオでそれらを妥当性確認する必要があります（オペレーターが踏み込んだ場合、ロボットは実際に停止するか？）。

構造化された妥当性確認計画は、通常、開発ライフサイクルに従います。テスト基準を定義し、サブアセンブリをテストし、その後システム受入を行います。安全上重要なシステムでは、これには安全およびハザードの妥当性確認が含まれます (roboticsystemsauthority.com)。例えば、あるフレームワークは、最終的なロボットシステムの妥当性確認を行う際、リスクアセスメントがテストケースを推進すると述べています。保護停止、速度/分離安全策、パワー/フォースリミティング応答、およびその他の安全動作を明示的にテストします (roboticsystemsauthority.com)。実際には、これは、ロボットが安全に応答することを確認するために意図的にハザードをトリガーすることを意味します。例えば、安全ダミーやマネキンを手の届く範囲に置いて、ロボットが減速または停止することを確認します。衝突力をテストするために、大きなワークピースや土嚢が使用されることもあります。いかなる逸脱（例えば、停止に時間がかかりすぎる、センサーにギャップがあるなど）も、展開前に修正されなければなりません。

自律型またはAI搭載ロボットでは、追加の妥当性確認が必要です。我々の情報源は、機械学習ソフトウェアが関与する場合、展開後に分布テストと監視を行う必要があると指摘しています (roboticsystemsauthority.com)。しかし、今日のほとんどの産業用ヒューマノイドでは、安全性は決定論的制御と保守的な安全策を組み合わせることで達成されています。すべてのV&Vステップの文書化（例：テストレポート、インシデントログ、証明書）は、コンプライアンス記録の一部となります。

展開前安全チェックリスト

ロボットの作業空間に人間を入れる前に、最終的な安全監査を行うことは賢明です。展開前チェックリストにより、見落としがないことを確認します。主要な項目は以下の通りです。

• 物理的なガードとバリアの検査。 すべてのフェンス、エンクロージャ、インターロックが設計通りに設置されていることを確認します。ライトカーテンやスキャナーが遮蔽されていないことを確認します。
• 非常停止と安全回路のテスト。 すべてのEストップボタンを押し、ロボットが意図した通り（カテゴリ0または1）に即座に停止することを確認します (www.se.com) (oxmaint.com)。Eストップが押されたときにコントローラーが故障を記録または点滅させ、その後システムが正しく再起動できることを確認します。
• センサー、スイッチ、PLCロジックの検証。 速度/分離システムの場合、人がゾーンに入ることをシミュレートします。ロボットはプログラム通りに減速/停止しますか？ガードドアスイッチなどの安全定格入力が正しく機能することを確認します。
• ロボットの関節制限とブレーキの確認。 ソフトウェアの速度/トルク制限が設定されていることを確認します。関節ドライブが故障した場合に電源が遮断されること（ブレーキ作動）をテストします。機械的検査（緩み、摩耗）は製造業者のガイドラインと一致する必要があります。
• 文書とラベルの確認。 取扱説明書、警告ラベル、保守手順が存在することを確認します。現地の規制（例：OSHA通知）は掲示する必要があります。
• トレーニングの確保。 オペレーターと保守担当者は、そのロボットモデルと彼らのタスクに必要な安全トレーニングを修了している必要があります。

最近の業界チェックリストはこれを強調しています。多くの事故は安全監査が省略されるために発生します (oxmaint.com)。例えば、ある自動監査ツールメーカーは、工場のロボットセルにおけるほとんどの事故が、日常的なチェックにおける**「未検証の非常停止」と「侵入された安全ゾーン」**に起因していることを発見しました (oxmaint.com)。このリストを使って現場確認を行うことで、インテグレーターは見落としをすべて発見できます。

稼働計画

ロボットシステムを稼働させる際には、段階的に進めます。

1. ドライラン/テストモード。 ライブ負荷なしで、低速でロボットのタスクを実行します。制御ソフトウェアが計画された動きに従っていること、およびシミュレートされた故障条件下で安全停止が作動することを確認します。
2. 段階的な負荷増加。 速度とペイロードを徐々に増やし、人間が近くにいるときに力と圧力が安全限界内に収まっていることを確認します。必要に応じて、力センサーや電力制限を校正します。
3. テストの文書化。 各安全テスト（Eストップの結果、衝突シミュレーション、センサー作動）を記録します。設計要件と比較します。いかなる不具合も、設計または制御の見直しを必要とします。
4. トレーニングと手順。 本稼働前に、緊急手順と安全な操作についてエンドユーザーをトレーニングします。現場スタッフと安全ドアと緊急プロトコルを確認します。安全コンポーネントの保守スケジュールを作成します。
5. 最終承認。 責任あるエンジニア（多くの場合、インテグレーターまたは安全担当者）が、すべての安全テストが合格したことを承認署名する必要があります。完全な安全関連書類（リスクアセスメント、テストログ、証明書、マニュアル）は作成され、保管されるべきです。

稼働期間を通じて、1つの重要な推奨事項は、リスクアセスメント自体に従うことです。以前のハザード分析は、各テストで再検討されるべきです。標準は、ハードウェア/ソフトウェアの変更後には再妥当性確認が必要であることを示唆しています (roboticsystemsauthority.com)。例えば、センサーの視野が調整された場合、人間接近テストをやり直します。要するに、リスクアセスメントが稼働テストを推進し、いつ安全性が十分であるかを定義するのに役立ちます。

結論

2026年までに、ヒューマノイドロボットはますます人々の間で動き回るようになるでしょう。事故を防ぐためには、安全標準と慎重な工学実践が不可欠です。ISO 12100に基づく正式なリスクアセスメントは、機能安全設計（PL定格）および協働安全策（速度制限、Eストップ）と組み合わされ、あらゆる安全システムの基盤を形成します。徹底した文書化とテストにより、インテグレーターは、オペレーターと傍観者を保護しつつ、CEマーキング（ヨーロッパ）またはUL認証（北米）を取得することができます。最終的な現場チェックリストと段階的な稼働計画は、紙の計画を現実世界の安全性へと変えます。このように、安全第一のエンジニアリングは、不必要なリスクなしに、企業と消費者の両方がヒューマノイドロボットから恩恵を受けることを可能にします (link.springer.com) (www.certifico.com)。