TL

安全性と協働ロボット(コボット)

安全柵なしで人と並んで働かせたい人向けに、速度・分離監視や力制限の設計原理と規格の考え方を整理。停止までの原理を理解すれば導入判断を誤りません。

応用ロボティクス協働ロボット機能安全安全定格制御ISO 10218速度分離監視最終更新: 2026-06-21
TL;DR要点だけ先に
  • 1.産業用ロボットの安全はISO 10218とISO/TS 15066が定め、リスクアセスメントに基づき4種の協働運転(安全適合監視停止・ハンドガイディング・速度と分離の監視・動力と力の制限)から選ぶ。
  • 2.安全機能はPL(パフォーマンスレベル)やSILで定量評価され、単一故障が安全機能を失わせないカテゴリ構成と、危険側故障率PFHの上限が要求される。
  • 3.速度・分離監視は保護距離を人の接近速度とロボット停止時間から逆算し、動力・力の制限は接触時の伝達エネルギーを許容値以下に収めるという、時間軸と力軸の異なる2つの安全戦略。

安全柵を外すという設計転換

産業用ロボットは長年、可動範囲全体を安全柵で囲い、人が侵入するとロボットを止めるという単純な隔離戦略で安全を確保してきました。ロボットの停止判定は柵の開閉やライトカーテンの遮光という二値信号だけで足り、ロボット自体の制御は安全とは独立に設計できました。協働ロボット(コボット)はこの前提を崩し、柵なしで人とロボットが同じ空間を共有することを狙います。すると安全機能は「ロボットの外」ではなく「ロボットの制御そのもの」に組み込む必要が生まれ、駆動・センシング・制御アルゴリズムのすべてが安全設計の対象になります。この転換を体系的に規定するのがISO 10218(産業用ロボットの安全要求事項)とISO/TS 15066(協働運転の技術仕様)です。

安全機能を定量化するPLとカテゴリ

協働運転を許可する前提として、ロボットシステムはリスクアセスメントに基づき必要な安全性能を数値で満たさなければなりません。ここで使われる枠組みがISO 13849-1のパフォーマンスレベル(PL)です。PLは安全機能が危険側に故障する確率を時間あたりの頻度で表した指標で、PL a(最も低い)からPL e(最も高い)まで5段階に分かれます。協働ロボットの安全定格モニタ機能(安全定格監視停止・安全定格速度監視など)には、一般にPL d以上が要求されます。

PLと1時間あたりの危険側故障確率PFHの対応(概略):

  PL a : PFH ~ 1e-5 以上           (簡易な保護のみ)
  PL b : 3e-6 以上 〜 1e-5 未満
  PL c : 1e-6 以上 〜 3e-6 未満
  PL d : 1e-7 以上 〜 1e-6 未満     ← 協働運転の安全機能で要求される水準
  PL e : 1e-8 以上 〜 1e-7 未満     (最高水準、冗長構成が前提)

PLを達成する手段として、ISO 13849-1は5つのカテゴリ(Cat.B, 1, 2, 3, 4)を定義します。カテゴリは「単一の部品故障が安全機能の喪失に直結するか」を分類する構造上の要件で、Cat.3以上では単一故障が起きても安全機能は失われず、次の要求(点検や別故障の重畳)まで安全は保持されます。協働ロボットの停止機能は通常、二重化したセンサ・演算経路とクロスチェックを持つCat.3または4の構成で実装され、これによってPL dPL eが担保されます。IEC 61508系のSIL(Safety Integrity Level)も同様の考え方で、SIL1〜4がPFHのオーダーにほぼ対応します。

PLは確率、カテゴリは構造という二軸

PLは「どれだけ壊れにくいか」という結果指標(PFHという確率)であり、カテゴリは「どう壊れにくくしたか」という構造指標です。同じPL dでも、高信頼な単一系(Cat.2相当に近い診断強化)で達成する設計と、二重化して片方が壊れても残る系で止める設計(Cat.3)があり得ます。協働ロボットの安全定格停止はほぼ例外なく後者、すなわち独立した2系統の位置・速度センシングとその不一致検出を持つ構成を取ります。単一のエンコーダとソフトウェアの閾値判定だけでは、そのソフトウェア自体の故障を検出できないためです。

安全定格制御:安全機能を制御ループの中に埋め込む

安全柵に依存しない協働運転では、「安全機能」は独立した遮断回路ではなく、ロボットの通常の制御ループと並走する監視系として実装されます。これを安全定格制御(safety-rated control)と呼びます。代表的な安全機能は次の通りです。

代表的な安全定格モニタ機能:

  SLS (Safely-Limited Speed)    : 手先・関節速度が上限を超えないか監視
  SLP (Safely-Limited Position) : 可動域を境界内に制限
  SOS (Safe Operating Stop)     : トルクは保持したまま停止を維持
  STO (Safe Torque Off)         : 駆動トルクを物理的に遮断
  SS1 / SS2                     : 制御停止後にSTO(SS1)/SOSへ移行(SS2)

重要なのは、これらの監視は主制御用のプロセッサとは独立した安全プロセッサ(多くは2チャネル冗長)で実行され、位置・速度のフィードバック値も安全用に独立して取得される点です。主制御が暴走しても安全プロセッサが速度超過や領域逸脱を検出すればSTOやSS1へ強制的に遷移させられる、という構造的な独立性がPL達成の前提になります。ソフトウェアだけで「速度を計算して閾値と比較する」処理を書いても、それが主制御と同じCPU・同じセンサ経路に同居していれば、単一故障で監視ごと機能を失う危険があり、安全定格とは呼べません。

非常停止(E-stop)は事故防止機能ではなく被害軽減機能

非常停止ボタンはISO 13850が定める安全機能で、押されたらCat.0(即座に動力遮断)またはCat.1(制御された減速後に遮断)で停止します。しかし非常停止は人間が異常に気づいてボタンを押すまでの反応時間を必要とし、衝突そのものを未然に防ぐ機能ではありません。協働ロボットの安全設計における主役は、後述の速度・分離監視や動力・力の制限のように、人間の反応を待たずに自律的に危険を回避・緩和する機能です。非常停止はこれらが破綻した際の最終防御線(フェイルセーフの最後の砦)として位置づけるのが正しい理解です。

4つの協働運転モードと選択基準

ISO/TS 15066はリスクアセスメントの結果に応じて選べる4種の協働運転を定義します。

モード動作原理適した状況制約
安全適合監視停止人が協働空間に入るとSOS/STOへ即遷移接触自体を許容しない高リスク作業人がいる間は生産性ゼロ
ハンドガイディング人が手先を直接操作、自律動作なし教示・微調整・低速搬送常時ロボット任せの高速作業には不可
速度・分離監視(SSM)人との距離に応じ連続的に減速・停止人とロボットが並行して作業する高頻度接近距離計測センサの精度・視野が生産性を左右
動力・力の制限(PFL)接触しても力・圧力を許容値以下に保つ近接・軽微な接触が避けられない密な協働可搬重量・速度が力学的に制限される

現場では単一モードだけでなく、通常は速度・分離監視で高速に動作し、人が一定距離まで接近すると動力・力の制限モードへ切り替える、といった組み合わせ運用も一般的です。

速度・分離監視(SSM):保護距離を時間軸で設計する

速度・分離監視は、人とロボットの間に常に「安全に止まれる距離」を確保し続けるという発想です。ISO/TS 15066はこの保護距離Sを、人の接近速度・ロボットの停止時間・センサの検出遅れなどから逆算する計算式を示します。

保護距離の考え方(ISO/TS 15066の分離距離モデルを簡略化):

  S = S_h + S_r + S_s + C + Z_d + Z_r

  S_h : 人が保護距離の間に接近し得る移動量(人の速度 × 反応猶予)
  S_r : ロボットが停止指令から実際に止まるまでに進む距離(ロボットの停止時間 × 速度)
  S_s : センサの検出遅延・処理遅延により生じる距離
  C   : 侵入余裕(センサ検出後に人がさらに侵入し得る最小距離)
  Z_d, Z_r : センサ・ロボット位置の測定不確かさ

この式が示す本質は、保護距離は固定値ではなく、ロボットの速度が上がるほどS_rが増え、結果として必要な保護距離も伸びるという関係です。したがってSSMを実装するロボットは、監視対象までの距離に応じて速度上限を連続的に絞り込み(距離が縮まるほど遅く動き、一定距離を下回ったら安全定格停止に落とす)ことで、常に「今の速度なら間に合う距離」を確保し続けます。距離の計測には安全定格のエリアスキャナ(2Dライダー)や3D深度センサ、床面圧力マットなどが用いられ、これらも前述のPL要求を満たす安全定格品である必要があります。

停止時間はロボットの機械特性に依存する固有値

S_r(停止距離)はロボットの制御周期だけでなく、モータのトルク限界、減速機のバックラッシ、アームの慣性、可搬重量とアーム姿勢によって変わる物理量です。同じロボットでも高負荷・伸びた姿勢では停止に要する距離が伸びるため、SSMのパラメータはロボットメーカーが姿勢・負荷条件ごとに実測した停止時間データに基づいて設定する必要があり、理論上の制御帯域だけから机上で決めることはできません。

動力・力の制限(PFL):接触を前提に伝達エネルギーを抑える

速度・分離監視が「接触そのものを避ける」戦略であるのに対し、動力・力の制限(Power and Force Limiting)は「接触は起こり得るという前提のもとで、接触時に人体へ伝わる力・圧力・エネルギーを許容範囲に収める」戦略です。ISO/TS 15066は身体の部位(頭部・胸部・手指など、痛覚や損傷の閾値が異なる)ごとに許容される最大接触力・最大接触圧力の参照値を規定しています。これを満たすため、ロボット側は次のような設計・制御手段を組み合わせます。

PFLを実現する代表的手段:

  - アクチュエータの出力・トルクをタスクに必要な最小限に制限
  - 関節や表面に受動的な弾性コンプライアンスを持たせ衝突エネルギーを吸収
  - 力/トルクセンサによる接触検知と即時の安全定格停止(SOS/STO)
  - アーム表面の丸み・パッド材で接触圧力(力÷面積)を下げる
  - 準静的接触(挟み込み)と過渡接触(衝突)を区別した許容値の適用

ここで力学的に踏まえておくべき点は、接触で伝達されるエネルギーは速度の2乗と実効質量(アームの慣性がツール先端に与える見かけの質量)に比例するという関係です。したがってPFLの設計は単にトルクを絞るだけでなく、速度・実効質量・剛性の3変数を同時に管理する必要があります。実効質量は姿勢によって変化するため、ロボットアームの構造設計(軽量化、質量分布の最適化)そのものが安全設計の一部になります。

力/トルクセンサだけでは初期衝突は防げない

力/トルクセンサからソフトウェアの安全停止までには、センサのサンプリング・通信・処理という不可避な遅延が存在します。この遅延時間中に生じる衝突の初期ピーク力はソフトウェアでは制御できず、機械的な受動コンプライアンス(弾性関節・ダンピング材)だけがそれを吸収します。PFLの設計では、ソフトウェアによる能動的な力制限はあくまで定常的・準静的な接触の管理を担い、瞬間的な衝突エネルギーの一次防御は機械設計に委ねる、という役割分担を誤らないことが重要です。

試験・現場審査での頻出ポイント
  • 根拠規格: 産業用ロボット全般はISO 10218、協働運転の技術仕様はISO/TS 15066。安全機能の性能評価はISO 13849-1のPL(a〜e)とカテゴリ(B,1〜4)。
  • 協働運転4モード: 安全適合監視停止/ハンドガイディング/速度・分離監視(SSM)/動力・力の制限(PFL)。
  • 安全定格制御は主制御と独立した冗長経路(Cat.3以上)で実装され、単一故障で監視機能ごと失われないことがPL d以上の前提。
  • 保護距離は人の接近速度+ロボット停止距離+センサ遅延+侵入余裕+測定誤差の和で決まり、速度が上がるほど必要距離も伸びる。
  • 非常停止は事故の未然防止ではなく被害軽減のための最終防御線。衝突回避の主役はSSMとPFLの自律的な速度・力の管理。

まとめ

協働ロボットの安全性は「柔らかく動く」という表面的な特徴ではなく、リスクアセスメントに基づき定量化された安全機能を制御アーキテクチャへ組み込むという工学です。要点は、(1) ISO 10218とISO/TS 15066が協働運転の枠組みを定め、ISO 13849-1のPLとカテゴリが安全機能の信頼性を確率と構造の両面で規定すること、(2) 安全定格制御は主制御と独立した冗長経路で実装されて初めてPL d以上を満たせること、(3) 速度・分離監視は人の接近速度とロボットの停止時間から保護距離を時間軸で設計し、動力・力の制限は接触時のエネルギー伝達を力・圧力の軸で抑えるという、補完し合う2つの戦略であること、(4) 非常停止はあくまで最終防御線であり、衝突回避の主役はセンサに基づく自律的な速度・力の管理であること。この原理は、力覚センサやインピーダンス制御といった個々の要素技術を、規格が要求する定量的な安全性能へと束ねる土台になります。

ロボティクス Article

安全性と協働ロボット(コボット)を実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

ロボティクス

比較で見る軸

難易度: advanced / カテゴリ: ロボティクス / タグ数: 6

導入後に効く点

安全機能はPL(パフォーマンスレベル)やSILで定量評価され、単一故障が安全機能を失わせないカテゴリ構成と、危険側故障率PFHの上限が要求される。

先に潰すリスク

用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。

数字・仕様の読み方
難易度
advanced
カテゴリ
ロボティクス
タグ数
6

判断チェックリスト

  • 自社の用途が「ロボティクス / 協働ロボット」に近いか確認する。
  • 強みである「産業用ロボットの安全はISO 10218とISO/TS 15066が定め、リスクアセスメントに基づき4種の協働運転(安全適合監視停止・ハンドガイディング・速度と分離の監視・動力と力の制限)から選ぶ。」が本当に評価軸になるか確認する。
  • 注意点の「用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

ロボティクス協働ロボット機能安全安全定格制御ISO 10218ロボティクス協働ロボット機能安全