サービスロボットの安全性に関する国際安全規格「ISO 13482」（産業用機械の安全規格体系のC規格に位置づけ）の策定が進んでおり、予定通りに進めば、2011年秋に国際規格（IS）として発行される。関心が高いのは、システム制御による安全性を規定した「ISO 62061」「ISO 13849」「IEC 61508」への対応であり、開発企業の間でコストをはじめ機器開発への影響が懸念されている。ここでは、名古屋大学の山田陽滋教授による講演から、参考になる話題としてISO 13482の策定および関連技術の動向を抽出してまとめた。ここでの内容は国際規格原案の前段階のものであり今後、多少の変更が加わることに注意してほしい。なお、本稿は「組込みシステム開発技術展」（ESEC）での講演をもとにまとめた。

Personal care robotは3タイプに分類して議論

　現在、わが国で言う「サービスロボット」に該当する「Personal care robot（パーソナルケアロボット）」の国際安全規格「ISO 13482：Robots and robotic devices - Safety requirements - Non-medical personal care robot」の策定に取り組んでいる。6月のパリ会議でDIS（Draft for International Standard：国際規格原案）文章を作成し、10月にはDIS文章の投票を開始する（投票期間は5カ月間）。翌年1月の主要各国によるDIS投票時のコメント審議を経て、2011年の夏頃にはFDIS（Final Draft for International Standard：最終国際規格原案）を策定して投票を実施し（投票期間は2カ月間）、同年秋頃にはIS（International Standard：国際規格）として発行手続きに移行する予定である。国際規格の発行に向け、大詰めの段階を迎えている。

　対象となるPersonal care robotは、開発動向などを調査したうえで、市場創出への寄与が高いと判断されるロボットを重点に分類した。すなわち、「【1】Mobile servant robots（with／without manipulator）」「【2】People carrier robots」「【3】Physical assistance robots（including rehabilitation）」の3タイプである（図1）。具体例をあげると、【1】であれば三菱重工業の「wakamaru（ワカマル）」などが、【2】はトヨタ自動車の「Winglet（ウィングレット」などが、そして、【3】はサイバーダインの「HAL（HAL福祉用）」などが該当する。

図1　 Personal care robotの分類

　ただし、分類上グレーゾンにあるロボットもある。例えばNECの「PaPeRo（パペロ）」は、玩具に該当することも想定される。すでに「欧州玩具安全規格」が存在しており、二重で対応に迫られるようになると上市が困難になる。Personal care robotの分類から外した。
　軍事ロボットは、そもそも開発を推進する規格は存在すべきではないので、当初から分類から外した。また、独KUKA社のエンターテインメントマシン「RoboCoaster（ロボコースター）」についても、遊技具関連の規格が策定されつつあるので除外している。なおロボコースターは最近、中国に100台程度が導入されたと聞いている。

　現在、検討中の規格の目次を示すと、図2の通りである。6月のパリ会議で変更される可能性があることに注意してほしい。

図2　 検討中のPersonal care robotに関する規格の目次

　規格化に向けて、ISO/TC184/SC2/WG7におけるわが国の貢献に触れると、2007年7月に「次世代ロボット安全性確保ガイドライン」（経済産業省）を発表し、そこで安全性確保のための基本的な考え方としてリスクアセスメント（RA）の実施を謳っていたことから、同様に安全要求事項に盛り込んだ。そのほか、許容される干渉例をあげたうえで本質安全設計の重要性を強調したことや、マニピュレータと接触・非接触状態にある人間検出技術や移動ロボットの障害物との回避技術および転倒回避など、安全防護・付加保護方策も提案している。

　これらの方策、つまり制御安全を盛り込もうとすると、必然的に機能安全規格への対応が求められることになる。安全系のリスク軽減率の要求レベル（安全機能の達成レベル）を定量化する指標がないと機能安全設計が実施できず、単なる“概念規格”になってしまうので、「PL：Performance Level（性能水準）」や「SIL：Safety Integrity Level（安全度水準）」を段階的に導入することを提案している。
　またロボットは、購入後にプログラムを改編して、他の用途に転用できることから、使用上の情報提供に関する内容も盛り込んだ。製品ライフサイクルの各フェーズにおいて、プログラムの改編や転用を禁止したり安全関連系へのユーザーの介入を禁じたりするなど、情報の提供方法についても検討し、規定している。

Personal care robotの安全関連技術

　Personal care robotの安全性確保に関連する技術として、機能安全と要素技術の両面から触れておきたい。機能安全に関しては「IEC 61508-1～7」と「ISO 13849-1」があるが、両者は似て非なるものである。前者は、EEPE（電気/電子/プログラマブル電子）製品のライフサイクルを対象としており、安全系に必要な安全機能やリスク軽減の度合いはSILで統一的に表現されている。後者は、安全機能を実現する制御部の設計する概念レベルの規格であり、PLを評価指標としている。

　これらは任意規格ではあるが、任意だからといって遵守しなくてもよいというものではない。遵守しないと、法的責任の有無の判断から過失相殺割合の判断まで、メーカー側に不利な判決がなされることが十分予想される。だからといって、遵守すれば十分と捉えるべきではない。規格は、安全対策の限界（State of the art）をみんなで達成するという意味で重要な役割を果たすものであり、これを遵守しさえすれば法的に免責されるものではない。規格は専門家が決めるものであるのに対し、法律は国民の合意で決定するものだからで、論理的に免責されることはあり得ない。ここでよく誤解があるので注意してほしい。

　機能安全に話題を戻すと、様々なフィールドに広がり始めている。現状を紹介すると図3のようにまとめられる。

図3　Personal care robotに関連する機能安全	図4　ISO 13482に提案されている機能安全技術

　また、ISO 13842に提案されている機能安全技術を見ると、要素技術には「物体検出」「ロボットの停止機能」「安全関連制御系の性能」があがっている（図4）。
　物体検出では人間のみを検出するセンサが存在しないので、「Human Detection（人間検知）」ではなく「Object Detection（動体検知）」と表現している。安全関連制御系の性能は最も機能安全に関わるところといえる。本来は、「通信」の規定も盛り込みたいところだが、ISO 13849では規定されてない。これについては非常に憂慮している。
　設計段階では、これらの要素技術を意識しながらシステム構築することになる。ただ、「転落防止」技術ひとつをとっても様々な議論があり、例えばPeople carrier robotsの設計では階段を検出し、安全に停止することで転落を防止させるだろうが、Physical assistance robotsでも同様に設計すると、かえって危険になる。これについてはMobile servant robotsとPeople carrier robotsに限定した方がよいとの検討を進めている。

　次に、関連する要素技術を見ていく。非接触センシングではビジョンセンサがまずあがるが、最も近いのはライトカーテンなどを規定している、Vision based protective devices（視覚による防護装置）に関する安全規格IEC 61496-4（図5）である。背景としてpassive pattern（例えば縞模様などの規則的な配列）を設定しておき、そのパターンの遮蔽を単独のセンサによる2次元イメージで検出することで人の侵入を検出する。一部が遮蔽されると安全性を確保できないとして、ロボットを停止したり安全状態に移行したりする。通常、センサは真上から見下ろすように設置する。ただし静的にしか捉えていないため、移動ロボットなどには使えない。

図5　視覚による保護装置に関する安全規格（IEC 61496-4より）

　力センシング／制御については、事例として、パワーアシスト機器に向けたフェールセーフアナログゲート回路がある。同装置に搭載した力覚センサを2チャンネルで構成しておき、D/A変換回路から来る2つの力制御指令値を相互比較し、信号が異なる場合は故障と診断してアクチュエータの電源を遮断するというものである。力覚センサだけではなく制御コンピュータの故障も検出することができる。

　通信に関しては、「IEC 60204-1」と「IEC 62280-1，2」の2つがあげられる。前者では、一般論として、非常停止信号も無線通信をしてもよいとしているが、無線通信の遅れによって生じるリスクが許容できるものであることを求めている。アプリケーションに応じてリスクの程度が変動することになる。また、無線制御システム内の不具合検出を自身で行うことや、一定通信周期期間内で常に監視をし、無応答であれば危険なことをさせないよう規定している。

　後者のIEC 62280-1，2は鉄道安全の分野で開発された技術で、通信システムをクローズド（内部通信）とオープン（外部通信）に分けて安全性を規定している。クローズドの場合は取り組みやすい。アクセス可能な機器がすべて承認済みであるうえ、機器の最大数および特性が既知であるからだ。
　また、信頼できない通信システムに対して独立して機能することが求められる。通信の中には独立して安全関連系通信が存在しており、通信に不具合が生じたときは独立して安全な通信路が機能し、システム全体に対して安全機能を働かせるというもので、安全のための通信路を独立して確保していくことが求められる。
　それからオープンの場合は、ここで脅威になるはunknownなメッセージであり、これらをブラックボックスとして扱い、脅威とそれらに対する対策を関係づけておくことが求められる。具体的には、図6のように7パターンに分け、それぞれの脅威に対応する防護技術を適用する。例えば、「反復」に対してはシーケンス番号を振り、ログをとることで回避するという手段を講じる。

図6　メッセージに対する脅威とこれに対応するための防護技術

　産総研に在席していたときは、通信プロトコルにTTP/C（Time Triggered Protocol class C）を利用していた。タイムトリガ方式を採用しており、一定間隔で信号を送信するため各ノードの信号が衝突することがない、また、自身のノードのほかに3つのノードの情報を相互に送信・比較しており、想定外の事態が発生したときはエラーとして信号が切り離されるという特徴を有する。ロボット制御用ネットワークにはほかもあるが、安全が補償されていたものがなかったためTTP/Cを利用していた。

次世代ロボの安全性確保に向けた今後の課題とは

　次世代ロボット（Personal care robot）の安全性確保に向けて、今後の課題を述べておきたい。
　1つは、安全規格の策定にかかる安全規範とこれにもとづく定量化の議論が不十分であること。例えば、ロボットと人との安全な接触を確保する際、人がどの方向から、どの程度の距離まで近づき、最終的にどの程度まで接触すればよいかを定めるための規範が存在しない。本質安全の観点からすれば、人がロボットに近づけばゆっくり動作をさせることが重要だが、いたずらに速度を下げてしまうとロボットの生産性が低下し、リスクとベネフィットが釣り合わなくなる。

　この問題について、過去に痛覚に関する調査を実施し、50［N］程度の力で接触すれば安全な接触を確保できるのではという知見を得た。しかしながら、安全な接触を定量化するに当たり、「痛み」を規範とするのか、それとも「怪我を負わせない」ことを規範とするのという議論がまだまだできていない。なお、対象物の検知については暫定だが、図7のような内容を検討している。

図7　非接触式検知の安全要求事項（暫定案）

　2つ目は、ロボットが把持する物体を含め安全性を確保すること。例えば、作業者およびそれと協業するヒューマノイドから構成されるセル生産システムで考えると、ヒューマノイドは道具を用いて部品のピック・アンド・プレース作業などを行うが、道具を把持しているがためにハザードが著しく高くなる。人間との共存環境下での動作を考慮して、いくらヒューマノイドを柔軟素材で構成しても、把持した道具が作業者にケガを負わせる危険性がある。作業者のエラーによるリスクも桁違いに高なる。RAを実施すれば安全性を確保できると思われるが、適正に実施することが求められよう。

　3つ目は、安全を確保するための制度設計。2004年4月に「六本木ヒルズ」で起きた自動回転ドア事故がそうだったように、ひとたび社会を震撼させるような事件・事故を引き起こしてしまうと、その製品は世の中から消えてしまうし、市場に復活させるまでに相当な時間と労力を要する。次世代ロボット（Personal care robot）もそうならないよう、持続的な発展に向け、中・長期的な視点に立って社会構造および制度づくりに取り組まなければならない。
　そのためには、メーカーとユーザーのほかに、規制・規格・認証、補償機関（保険会社）を取り込んだ社会構造の中で開発を考えることが必要であり、認証制度などにより安全にかかる責任を各機関で分担する「責任分担構造」への理解が欠かせない。これについては、2009年度からスタートした「生活支援ロボット実用化プロジェクト」で取り組む試験・認証システムの構築の中で対応しようとしているし、昨年4月に日本ロボット学会内に設置した「RT機能安全研究専門委員会」でも議論をしている。
今後、生活支援ロボ実用化プロでの活動を含め、議論した内容は同専門委員会を通じて発信していくことを予定している。

【講演後のショートインタビュー】

― 生活支援ロボ実用化プロの進捗状況は？
　プロジェクトの1～2年目は設備投資の段階であり、ようやく産総研・つくばセンター内に生活支援ロボの安全性を評価・検証する試験装置が設置されたところ。最終的に各種試験から、コンサルテーション、認証まで、安全認証にかかるサービスを一気通貫で行えることを目指しているが、プロジェクト期間内で認証システムを完成するのは少々難しいかもしれない。

― 認証にかかるコンサルでは、ドイツなどが先行しているが･･･？
　もともと、この分野ではドイツが最大のライバルになると考えていた。ただ、国際規格の発行を控えていることなどを踏まえると、単にライバル視するのは好ましくない。認証コンサルなどで先行する彼らから教えを請わなければならないところが多くあるからだ。
　プロジェクトでは、生活支援ロボの安全性評価に特化した、斬新な試験装置を開発することを計画している。固有の試験装置を開発できれば、必然的に他国はわが国に依存しなければならない状況となり、ドイツを含め他国と協力しやすい関係になるからだ。いかに斬新な試験装置を開発できるかがポイントになると考えている。

― プロジェクト参加企業の機能安全規格への理解は、どの程度進んでいるか？
　プロジェクト参画企業の中でも相当なバラツキがあり、また開発企業の中でも、非常によく勉強をされている方がいる一方で、理解不足の方がいるという印象を受ける。そのため、「RT機能安全研究専門委員会」主催によるシンポジウムの開催に加え、専門家向けのコンサルと理解力の底上げを目的としたコンサルの両方を展開することを検討している。ただし、これらの指導はセットメーカーまでが限界であり、要素技術メーカーへの指導はセットメーカー自身で実施してもらうことになるだろう。

■関連サイト
トレンドウォッチ
サービスロボの安全・安心を保証するD3モジュール －産総研・中坊/平林/古川タスクフォース－
《 前編 》
『われわれの通信プラットフォームは市場創出のトリガーになる』
http://robonable.typepad.jp/trendwatch/2009/11/d3-3f14.html

《 後編 》『認証済みシステムを活用したモノづくりへの移行を狙っている』
http://robonable.typepad.jp/trendwatch/2009/11/post-091116.html

「ロボット版『団体保険』の創設を検討しつつある」　－中央大学 平野晋教授にロボット保険の可能性、商品構想を聞く－
http://robonable.typepad.jp/trendwatch/2008/08/post-8a3f.html

「残留リスクをユーザーが受け持つような仕掛けが必要」
－次世代ロボの安全性を確保するには？（モノづくり推進会議 ロボット研究会公開討論会より）－
http://robonable.typepad.jp/trendwatch/2009/04/post-8804.html

RT基礎講座
サービスロボットの安全トレンド　その2 議論が進む！サービスロボット関連の国際規格動向
第1回　国際標準化に向けた審議動向と検討内容
http://robonable.typepad.jp/trend/2007/12/post_aab9.html

第2回　パーソナルケアロボットの安全規格
http://robonable.typepad.jp/trend/2007/12/post-951b.html

サービスロボットの安全トレンド その1 新しい安全の概念「機能安全・IEC 61508」を理解する
第1回　機能安全が登場した背景
http://robonable.typepad.jp/trend/2007/11/iec_61508_b3fa.html

第2回　IEC 61508に基づく機能安全設計
http://robonable.typepad.jp/trend/2007/11/iec_61508iec_61_4537.html

第3回　機能安全の認証取得と産業用ロボットの安全における位置づけ
http://robonable.typepad.jp/trend/2007/12/iec_61508_8552.html