続いては、ISO13842のポイントの2番目、「保護方策は、3ステップ法に従う=本質安全が最優先」について。本質安全を最優先することでリスクが下がりきらない場合、次の3点を行う必要がある。(1)本質的安全設計方策、(2)安全防護方策(機能安全を含む)、(3)使用上の情報(マニュアルや購入時におけるユーザーへの説明(注意喚起)、間違った使い方がなされた際に警報がなる仕組みなど)という形だ。これが3ステップ法である。

本質安全と機能安全については、比留川部門長の講演でも触れたが、改めて説明すると、画像64のような形になる。これは何かの材料を挟み込むような機械を想定したものだが、そのすき間に人体が挟まれる危険性がどうしても生じてくる。そこで安全設計をする場合、本質安全の考え方に従うと、「そのすき間が人体より狭くならない構造で作る」、もしくは「人体を挟んでもケガをしないような小出力のモータを使う」などが考えられるわけだ。このように危険源そのものを取り除いてしまうことを本質安全(の考え方)といい、これなら人体が挟まれる心配がないか、挟まれても少し痛いぐらいで済んでしまうというわけである。

ただし、この本質安全の考え方はロボットの機能を損なわない範囲のみで可能な方法だ。例えば、作業工程上、人体よりも細かったり小さかったりする材料を挟み込む必要がある場合、人体よりも大きなすき間にしてしまったのでは、そのロボットの意味がなくなってしまう。そこで、次に考えられるのが、機能安全だ。ここですぐに考えられるのが、そのすき間に人体が入らないよう、カバーをつけてしまうという手段である。

画像64。本質安全と機能安全の違い

さらに機能安全としては、「モータを制御して人体など異物が挟まった瞬間に出力を下げたり停止させたりする」ことや「センサで監視して駆動部に人体が入った時には停止する」という手法もある。これなら大パワーのモータを使った駆動機構であっても安全を確保できるというわけである。

しかし機能安全は、本質安全のように危険源が完全に取り除かれるわけではない。よって、どれだけ小さくできても絶対にリスクは存在し、それも制御やセンサの信頼性に依存することになる。いうまでもなく、駆動機構を制御するCPUが故障したり、プログラムにバグがあったりすれば、事故が起きてしまう可能性があるというわけである。よって、回路やセンサといったハードウェアと、制御用ソフトウェアの信頼性検証が必要となるのだ(カバーをつけるという安全防護策は、厳密には機能安全には含まれないが、3ステップ法の(2)には含まれている)。

それでは機能安全による保護方策の信頼性をどう考えるかということになるわけだが、これもISO13842でははっきりとこうしなさいと書かれているわけではないという。保護方策に制御を使用した場合は、「リスクアセスメントから要求SIL(Safety Integrity Level:安全整合水準)またはPLr(Performance Level required:要求パフォーマンスレベル)を決定して実現」することになる。その例を2つほど挙げているのが画像65だが、例で使われているバーグラフはリスクマトリクスと同じで、緑のゾーンが安全域でリスクとして受け入れられるレベルを示し、赤が危険域で受け入れられないレベルを示す。

画像65。機能安全の要求SILを決定するための考え方

例1の場合、リスク低減を行う前は赤のゾーンの中でもかなり右寄りという、リスクがとても受け入れられないレベルであったが、それを制御でもって一気に安全域まで持っていっており、こういうリスクの差が大きい場合は、要求SILは1~5の内の高めの3になる。なお、要求SILはサービスロボットの場合、1~3が使われる感じということなので、実質最も高いということになる。要求SILが高いということはどういうことなのかというと、ハードウェアとソフトウェアに高い信頼性が要求されるということだ。

信頼性を高めるには、部品の精度を上げて故障率を下げ、システムの多重化(冗長化)を行い、さらにはソフトウェアの開発時に、プログラマのレベルや、どのようにプログラムが書かれたのかを企業側で確実に管理するということを行う必要がある。要求SILが高まるということは、どんどんこれらの要求が高くなるというわけだ。

一方の例2の場合は、リスクマトリクスのイエローゾーンからの低減なのでリスクの差が小さい。そのため、要求SILは1となり、要求される信頼性が例1ほど高くないということになる。こうしたリスクアセスメントに基づく考え方に従い、メーカーは自分たちでそれを決めていき、信頼性を確保する必要があるのが機能安全の考え方というわけだ。大変なことは間違いないが、これらは必ずしなければいけないことなのである。

また近年、米国のPL法の影響もあって、マニュアルに「(本来の使い方以外での)~には使わないで下さい」的な表現が増えているが、それは「当たり前」だと藤川室長はいう。例えば、有名な電子レンジの使い方の話で、「食べ物以外は温めないで下さい(「ネコの毛を乾かすのには使わないで下さい」とか)」という注意喚起があるが、これは食べ物以外のものが電子レンジ内にセットされているのを電子レンジが認識して作動しないような仕組みを持たせようとしたらとんでもない価格になるわけで、マニュアルで注意喚起を行うのが現実的なのは当たり前である。

しかし、最初から安全設計をしていない危険性の非常に高い製品にもかかわらず、「~こういう使い方はしないで下さい」とマニュアルだけに頼るのは許されないのは当然だ。マニュアルに「!」マークをつけて注意喚起しておけば良いような雰囲気がここのところあるそうだが、それはあくまでも「最後の手段」であることをメーカーは認識しなければいけないという。

画像66は、前述したディペンダブルロボティックカートで、産総研がどのような保護方策を施したかという例だ。例えば背もたれに関していうと、勢いよく搭乗してもたれかかると壊れてしまったり、その勢いで車体が転倒してしまったりする可能性が考えられる。もちろん、車いすの安全規格に則ってフレームなどの強度計算が行われて設計されてはいるが、それでも開発者の想定を越えた使い方をするのがユーザーであり、壊れたりひっくり返ったりする可能性をゼロにすることはできない。そこで、ユーザーに対して「こうした搭乗の仕方は危険なのでダメです」という教育を行う(3ステップ法の3つ目のユーザーに対する「使用上の情報」の提示)ことで、万が一のトラブルもないようにしたというわけだ。

そして、モータの出力制限を行うことで大パワーモータが起こす可能性のある事故に対して本質安全的に安全策が設けられている。また車輪の内側、スポーク部分に搭乗者や周囲の第三者の指や衣服などが巻き込まれたりしないような方策としては、安全防護として透明なカバーが取り付けられている。各種センサは多重化が図られているほか、強い電磁波を浴びた時に誤作動しないように電磁波対策も施されていたり、センサの故障を検出したりする仕組みも設けられているという具合だ。そのほか、機能安全として障害物対応や衝突抑制も考えられているし、本質安全として衝突時に人に刺さったりしないよう、車体を囲むバンパーの角は丸くRがつけられているのである。

ちなみに、ディペンダブルロボティックカートは市販を目的として作られたものではなく、ISO13482がどのようなものか、認証を取るにはどうしたらいいかということで、リスクアセスメントシートにサンプルとしてさまざまな文言や数値などを書き込むためのサンプルとして作ったものだ。NEDOから誰でもダウンロード可能な報告書の中に付属書として添付されているので、サービスロボットを作ることを考えているメーカーや、その担当者は参照できるようになっているので、ぜひ活用してほしい。

画像66。ディペンダブルロボティックカートに施された保護方策