安全は実際にはどのように考えたら良いのか?

そして比留川部門長、一般財団法人 日本自動車研究所(JARI)の藤川室長の講演でも触れたが、ISO13482の要求事項(画像86)について、改めて浅田室長から詳しい説明がなされた。リスクアセスメントは「ISO12100」を適用し、3ステップ法(極力危険源を取り除く「本質安全設計」→「機能安全」などの保護方策→ユーザーマニュアルなどの「使用上の情報」の3ステップ)のリスク低減プロセスは、安全要求事項に対してリスク低減プロセスを適用することなどは、これまでも触れてきた。よってここで取り上げられるのは、その下の2ルートに分岐する、「保護方策に制御を使用しない場合」と「保護方策に制御を使用した場合」のところからである。

保護方策に制御を使用しない場合、つまり本質安全で設計されている製品はそのまま妥当性確認のステージへ移行する形だ。制御を使用した場合、つまり機能安全でセンサを使用するなどした場合は「PL(r)/SIL対応」ということで、「ISO13849-1」もしくは「IEC62061」を適用することになる。ここで設計開発フェーズ、つまり前述した特性の確定のフェーズ1は終了。その下の妥当性確認以降は製品実現のステージとなり、別のいい方をすれば特性の確定のフェーズ2となる。なお、藤川室長の講演で取り上げたが、改めて略語の説明をしておくと、PL(r)は「Performance Level required(要求パフォーマンスレベル)」のことで、SILとは「Safety Integrity Level(安全整合水準)」のことだ。

次はISO13482の特性、もしくは「難しさ」ということで、まずリスク低減方策へのアプローチの話である。画像87はそのアプローチにおいて、類似安全規格の基準の引用例をまとめたものだ。規格要求事項として、一例として「極端な温度」を取り上げており、安全のためには当然ながら「ロボットから発せられる熱からユーザーを保護しなければならない」となる。

ポイントは、要求事項はこの文章のみということで、具体的に何℃以上だと火傷する危険があるから保護するべき、といったことは一切書かれていないという。また、リスク低減方策に関しても具体的なことは書いていない。書いてあるのは「最大限リーズナブルな方法で行うこと(As Much As Reasonably Placticable)」だけである。こういう曖昧な表現は、実際のところ、認証機関としては、「非常に困ってしまう」という。

ちなみに、JQAとしてはメーカーに対して「こうしなさい」ということはそうした立場ではないため(浅田室長の言葉によれば「とてもおこがましくて」)、またその製品の機構などを100%理解しているわけではないため、一切行わないそうだが、リスクアセスメントとリスク低減方策に関して、メーカーと二人三脚で協力して進めていくことはするそうだ。

ISO13482が、まだどのようなサービスロボットが姿を現すかわからないことを大きな理由として、そのためにかなり曖昧な表現のみに徹しているのは、これまで伝えてきた。そこで、この「困った状況」に対してJQAがどのような手段を執ったかというと、既存の安全規格が多数あることから、サービスロボットのタイプや使用用途などを考慮して、最も類似した規格の基準を探し出して引用したという。そして試験を実施して安全性を確認し、規格を逸脱していないことを確認して認証したというわけだ。

具体的にどのような類似規格が参照されたかというと、例えば装着型やインテリジェント型の電動車いすなど、福祉施設などで使用されることが意図されているロボットの場合は、「IEC60601-1」の許容温度値が引用されたという。また家庭などで使用されることが意図されている場合は、「IEC60335-1」の温度上昇値が引用されたそうだ。

この類似規格の引用はJQAだけで決めたわけではなく、産総研など、生活支援ロボット実用化プロジェクトの参画機関との相談により行われている。このようにISO13482はこの安全規格だけで事足りるのではなく、類似規格を参照することがとても多いことが難しくしており、同時に「醍醐味でもある」と浅田室長はいう。

この探し出して引用する必要があるため、ともするとハードルが上がってしまう可能性がある点が難しいところの1つだ。しかし、前述したように最大限リーズナブルな方法で行うこと、とされていることから、最も類似していて最も適切な規格がどれなのか見つけ出さなければならない。それは当然、リスクアセスメントやリスク低減方策がしっかりしていないと、落としどころが見えないという難点も抱えている。

市場が形成されていてサービスロボットがたくさん売られていて、事故事例もあって、JARIで多数のデータが取得されているのであれば、非常に簡単なのだが、何度もいうがその対極の状況のため、そうはいかない。それにも関わらず前に進んでいかなければならないので、この状況に対して浅田室長は「認証機関としての難しさであり、メーカーの難しさでもある」という。「JARIの(安全検証センターの)各種データが渇望されている状況」なのだそうだ。よって、今後もプロジェクトの関連機関とメーカーによる連携が求められるとしている。

そしてまた話題が変わり、続いては安全の概念的な部分から、実際にどういう風に考えたらよいのかというところの説明に移った。最大限リーズナブルな方法で行うことを意味する英文「As Much As Reasonably Placticable」に似た、「As Low As Reasonably Placticable:ALARP(アラープ)」についてだ(画像88)。画像88の見方は、上側のラインより上部が受け入れ不可能なリスク=高リスク領域で、下側のラインより下部は広く受け入れ可能なリスク=低リスク領域を表し、その2本のラインの間が「ALARP領域」ということになる。

ALARP領域は何を表すのかというと、「リスク軽減をさらに行うことが不可能である場合のみ、もしくはさらに行うリスク軽減のための費用が、得られる改善にはなはだしく不釣り合いである場合のみ、許容可能な領域」というものだ。もう少し簡単にいうと、「これ以上対策のしようがない」もしくは「対策をするためには非常に費用がかかってしまう」、「費用がかかるにもかかわらず効果が大して現れない」といった場合のみ許容可能な領域ということで、藤川室長の講演でも紹介したリスクマトリクスの表でいうイエローゾーンのことである(画像89)。

画像90は、危害に至るプロセスということでまとめられた図だ。最も上に記されているのが、「人」(右)と何らかの「危険源」だ。人のそばに危険源があるということは、すでにその状態で2段目にあるように「危険状態」である。その危険状態を回避するために、何らかの保護方策が設けられるわけだが、それが不足していたり、不適切であったり、何らかの不具合が生じてしまったりすると(3段目)、何らかの危険事象(4段目)が発生してしまう。ただし、この段階で負傷などの具体的な事故には至っておらず、まだ回避できれば問題ない。しかし回避がうまくいかなければ(5段目)、実際に危害が生じてしまうというわけである(6段目)。

リスク低減は3ステップ法であることは何度も述べてきたが、その考え方からいくと、まず本質安全で、危険源そのものを取り除くことが最優先だ。いうまでもないが、危険源を取り除いてしまえば、危険状態以降に至ることはない。しかし危険源を排除できない場合は、3ステップ法の2ステップ目である機能安全の考え方に移行し、人が危険源へ暴露されることを排除するということになる。

しかし、その機能安全に制御を利用したりすれば、不具合が生じることなどもあるので、続いては3ステップ法の3ステップ目、使用上の情報ということで、取り扱い説明書や危険源に対する注意を喚起するようなマーキングなどで、危険事象の排除(発生確率の低減)を行うのである。それでも難しい場合は最後の手段として、ユーザーに対する教育を直接行うなど、危険回避(制限)の実施となるというわけだ。本質安全で解決できなければ、どうしても残留リスクは生じてしまい、機能安全の保護方策の仕組みに不具合があって、ユーザーがうっかりそれを見落とすといったことが重なると、実際に危害が生じてしまう可能性が出てきてしまうのである。