Sicherheit geht vor: ISO/IEC-Konformität und Risikobewertung für Humanoide im Jahr 2026

Humanoide Roboter werden in Fabriken, Haushalten und Geschäften immer häufiger eingesetzt. Diese Roboter reichen von Boston Dynamics’ Atlas (einem laufenden Demoroboter) bis zu Teslas Optimus (geplant für die Serienproduktion bis 2026) (www.automation-next.com). Da Maschinen in Bereiche vordringen, die sie mit Menschen teilen, muss die Sicherheit an erster Stelle stehen. Internationale Normen leiten Konstrukteure und Anwender bei der Risikobewertung und den Sicherheitsmaßnahmen an. Zum Beispiel legt die ISO 12100:2010 (Sicherheit von Maschinen) einen systematischen Risikobewertungs- und Risikominderungsprozess fest (www.iso.org). Ein aktueller Leitfaden zur Robotersicherheit erklärt, dass die Risikobewertung die Verwendung des Roboters, seinen Arbeitsbereich und seinen Lebenszyklus definieren muss, dann Gefahren identifizieren (Dinge, die jemanden verletzen könnten), das Risiko abschätzen (Wahrscheinlichkeit und Schweregrad) und Maßnahmen anwenden muss, um das Risiko zu reduzieren (link.springer.com) (www.plcacademy.com). Es betont einen iterativen Ansatz: Nach dem Hinzufügen von Sicherheitsmaßnahmen müssen die Gefahren erneut überprüft werden, um sicherzustellen, dass die Risiken gering sind (link.springer.com) (www.plcacademy.com).

Durchführung einer formalen ISO 12100 Risikobewertung

Schrittweise Risikobewertung gemäß ISO 12100 umfasst:

• Grenzen und Nutzung definieren. Zuerst festlegen, wie, wo und wann der Roboter betrieben wird. Aufgaben, Umgebung, Anzahl der Bediener und Nutzungsgrenzen spezifizieren (link.springer.com).
• Alle Gefahren identifizieren. Alles auflisten, was Schaden verursachen könnte: bewegliche Teile, Klemmstellen, elektrische Quellen, Softwarefehler, herabfallende Lasten usw. Es gibt viele Methoden (z.B. FMEA, HAZOP), um Gefahren systematisch zu finden (link.springer.com) (www.plcacademy.com).
• Risikostufe einschätzen. Für jede Gefahr einschätzen, wie schwer eine Verletzung sein könnte und wie wahrscheinlich sie eintritt. ISO 12100 und ISO/TS 14121 schlagen vor, Gefahren nach Schweregrad und Häufigkeit zu bewerten, um die kritischsten Risiken zu finden (www.iso.org) (www.plcacademy.com).
• Risiko durch Konstruktion reduzieren. Das erste Ziel ist es, Gefahren zu eliminieren oder die Konstruktion so zu gestalten, dass Gefahren vermieden werden. Zum Beispiel eine Quetschstelle absichern oder die Geschwindigkeit des Roboters begrenzen. Wenn möglich, eigenständige sichere Konstruktion anwenden.
• Schutzmaßnahmen umsetzen. Bleiben Gefahren bestehen, Schutzvorrichtungen wie Schutzzäune, Sensoren oder Sicherheitssysteme hinzufügen (siehe nächste Abschnitte).
• Neu bewerten. Nach jeder Änderung alle Gefahren erneut überprüfen. Der Prozess ist iterativ: Das Hinzufügen einer Sicherheitsfunktion kann ein neues Risiko einführen (z.B. elektrische Schutzkabel, die eine sichere Trennung erfordern), so dass sich die Schleife wiederholt, bis die Risiken „so gering wie vernünftigerweise praktikabel“ sind (link.springer.com) (www.plcacademy.com).

Jede hier genannte Hauptaussage wird durch die Prinzipien der ISO 12100 und die Forschung zur Robotersicherheit untermauert (www.iso.org) (link.springer.com) (www.plcacademy.com).

Integration funktionaler Sicherheit: PL und Leistungs-/Kraftbegrenzung

Humanoide Roboter verwenden oft sicherheitsbezogene Steuerungssysteme. Die Zuverlässigkeit dieser Systeme wird durch einen Performance Level (PL) gemessen. PL (bewertet von a bis e) gibt an, wie gut eine Sicherheitsfunktion (wie ein Not-Aus) unter Fehlerbedingungen funktioniert (www.keyence.eu). Für jede Sicherheitsfunktion wird ein erforderlicher PL (genannt PL_r) auf der Grundlage von Risikofaktoren bestimmt: wie schwer eine mögliche Verletzung ist, wie oft eine Exposition auftritt und wie vermeidbar die Gefahr ist (www.keyence.eu). Das tatsächliche System muss diesen erforderlichen PL erfüllen oder übertreffen (zum Beispiel benötigt eine Funktion mit sehr hohem Risiko möglicherweise PL d oder e). In der Praxis verwenden Ingenieure Normen wie ISO 13849 oder IEC 62061, um den PL basierend auf Komponenten (Schaltungszuverlässigkeit, Diagnose usw.) zu berechnen. (Im US-amerikanischen Kontext ist dies vergleichbar mit der Wahl eines Safety Integrity Level (SIL) gemäß IEC 61508/62061.)

Ein weiteres Schlüsselkonzept ist die Leistungs- und Kraftbegrenzung (PFL). PFL ist eine Strategie für Roboter, die so konzipiert sind, dass sie Menschen berühren oder anstoßen können, ohne tödlichen Schaden zu verursachen. Das bedeutet, die Masse und Geschwindigkeit des Roboters so zu begrenzen, dass jeder Kontakt keine ernsthaften Verletzungen verursacht. Zum Beispiel könnte ein humanoider Aufzug Aktuatoren mit geringer Leistung und druckempfindliche Oberflächen verwenden oder Software, die Drehmoment und Geschwindigkeit auf sichere Werte begrenzt. PFL wird explizit in den Normen für kollaborierende Roboter (ISO/TS 15066) erwähnt und während der Validierung getestet (roboticsystemsauthority.com). In Validierungstests (siehe unten) überprüfen Konstrukteure, dass Kollisionen zu Kräften unterhalb der Verletzungsschwellen führen, als abschließende Sicherheitsprüfung (roboticsystemsauthority.com).

Schutzstrategien

Mehrere praktische Schutzmaßnahmen gewährleisten die Sicherheit von Menschen in der Nähe von Humanoiden:

• Geschwindigkeits- und Abstandsüberwachung. Sensoren (wie LiDAR, Kameras oder Näherungsscanner) überwachen Menschen in der Nähe des Roboters. Wenn eine Person eine Überwachungszone betritt, verlangsamt oder stoppt der Roboter automatisch. Diese Methode ist in ISO TS 15066 für kollaborative Operationen definiert. Zum Beispiel könnte ein fortschrittlicher, menschenbewusster Roboter eine Überkopfkamera verwenden, um einen minimalen sicheren Abstand zu berechnen, und dann die ISO/TS 15066 Sicherheitsgleichung anwenden, um den Roboter vor einer Kollision zu verlangsamen (www.nist.gov). Forscher bestätigen, dass die Implementierung einer Geschwindigkeits- und Abstandsüberwachung gemäß ISO-Standards das Kollisionsrisiko drastisch reduziert (www.nist.gov).

• Geofencing. Ein Geofence ist eine unsichtbare Grenze, die ein Roboter nicht überschreitet. Viele mobile humanoide Roboter oder Lieferroboter nutzen dies: zum Beispiel kann ein Roboterwagen GPS- oder Ultrabreitbandsensoren haben, die eine „Verbotszone“ (wie Treppen oder Kundenbereiche) definieren. Wenn der Roboter sich dem Zaun nähert, wechselt er in einen sicheren Modus oder dreht sich um. Geofencing ist oft keine formale ISO-Anforderung, aber eine praktische Ebene der Sicherheitstechnik für die mobile Robotik.

• Not-Aus-Architektur. Jede Roboterzelle muss einen oder mehrere Not-Aus-Taster (E-Stop) haben, um die Stromzufuhr sofort zu unterbrechen. ISO 13850 (und ihr Vorgänger EN 418) fordert Not-Aus-Funktionalität mit bestimmten Stoppkategorien. Ein Stopp der Kategorie 0 unterbricht die Stromzufuhr sofort (ein unkontrollierter Stopp), während ein Stopp der Kategorie 1 kontrolliert stoppt und dann die Stromzufuhr unterbricht (www.se.com). Humanoide sollten mindestens einen Not-Aus-Schaltkreis der Kategorie 0 oder 1 unterstützen. Best Practice ist es, jeden Not-Aus-Taster vor jeder Schicht physisch zu testen. Tatsächlich zeigen Audits, dass viele Unfälle auf unverifizierte Not-Aus-Schalter und Sensoren zurückzuführen sind (oxmaint.com). Branchenrichtlinien besagen: „Not-Aus-Einrichtungen an Industrierobotern müssen zu Beginn jeder Schicht physisch getestet werden – nicht nur visuell überprüft. ISO 13850 und ANSI/RIA R15.06 schreiben dies vor.“ (oxmaint.com). Kurz gesagt, jeder Not-Aus-Taster sollte sofort die sichere Stopplogik auslösen, und das System muss das Stoppereignis protokollieren oder anzeigen.

Jede dieser Strategien sollte kombiniert werden. Zum Beispiel könnten physische Schutzvorrichtungen (Wände oder Lichtschranken) zusätzlich zur Software-Verlangsamung eingesetzt werden. Viele Roboterzellen verwenden Lichtschranken oder Scanner, um das Geschwindigkeits-/Trennkonzept durchzusetzen. In jedem Fall sollten die gesamte Verdrahtung und Logik für diese Geräte sicherheitsgerichteten Steuerkategorien (z.B. Zweikanaligkeit, selbstüberwachende Relais) gemäß ISO 13849 oder IEC 62061 folgen, um eine geringe Ausfallwahrscheinlichkeit zu gewährleisten.

CE-Kennzeichnung und vergleichbare Zertifizierungen

Um einen Roboter in der EU oder auf ähnlichen Märkten zu verkaufen, müssen Hersteller Sicherheitsrichtlinien erfüllen und eine CE-Kennzeichnung anbringen. Ein humanoider Roboter würde unter die EU-Maschinenrichtlinie (2006/42/EG) und möglicherweise andere Richtlinien (EMV, Niederspannung usw.) fallen. Die CE-Kennzeichnung erfordert eine Technische Dokumentation, die die Konformität nachweist. Mindestens sollte die Technische Dokumentation umfassen: die Risikobewertung, die erfüllten grundlegenden Sicherheits- und Gesundheitsanforderungen, Prüfberichte und Benutzerdokumentation (www.certifico.com). Zum Beispiel listet eine Vorlage für technische Dokumentation Risikobewertung, grundlegende Anforderungen (Maschinenrichtlinie Anhang I), Risikobewertungen gemäß relevanten EN-Normen, CE-Konformitätserklärung, Sicherheitstestberichte (z.B. EN 60204-1 elektrische Sicherheitsprüfung) und die Bedienungsanleitung auf (www.certifico.com). Der Hersteller (oder Systemintegrator) muss eine Konformitätserklärung unterzeichnen, in der bestätigt wird, dass der Roboter alle anwendbaren Normen erfüllt.

Außerhalb Europas existieren vergleichbare Zertifizierungen. In den USA werden Roboter oft nach ANSI/RIA R15.06 (basierend auf ISO 10218) validiert und können UL-Listungen tragen. Der UL 1740 Standard für Roboter behandelt Sicherheitsanforderungen in Nordamerika. Ein aktueller Leitfaden weist darauf hin, dass die CE-Zertifizierung im Allgemeinen auf EN ISO 10218 und EN ISO 13849 basiert, während die nordamerikanische UL-Zertifizierung sich auf UL 1740 und UL 3100 bezieht (www.jqrtest.com). (UL 3100 ist ein neuerer Standard für spezifische Robotik-Ausrüstung.) In China gelten die GB/T Roboterstandards (CR-Zertifizierung). In der Praxis erstellt ein globaler Hersteller oft ähnliche technische Dokumentationen, die auf die Standards jeder Region zugeschnitten sind. Zum Beispiel zeigt eine chinesische Zertifizierungsmatrix, dass CE (EU) ISO 10218/13849 erfordert, UL (USA) UL 1740/3100 verwendet usw. (www.jqrtest.com). Die Sicherstellung der doppelten Konformität kann die Erfüllung sowohl der ISO- als auch der ANSI-Richtlinien umfassen.

Ansätze zur Validierung und Verifizierung

Nach Konstruktion und Integration ist eine gründliche Prüfung entscheidend. Verifizierung und Validierung sind zwei verwandte Schritte. Die Verifizierung prüft, ob der Roboter korrekt nach Spezifikation gebaut wurde; die Validierung prüft, ob das richtige System für den beabsichtigten Verwendungszweck gebaut wurde (roboticsystemsauthority.com). In der Robotik weist ISO selbst auf beide Konzepte hin (ISO 9283, allerdings für die Leistung) und die bewährte Praxis ist klar: Alle Sicherheitsfunktionen müssen verifiziert (haben wir die Stopps der Kategorie 2 korrekt verdrahtet?) und in realistischen Szenarien validiert werden (wird der Roboter tatsächlich stoppen, wenn ein Bediener eintritt?).

Ein strukturierter Validierungsplan folgt typischerweise dem Entwicklungslebenszyklus: Testkriterien definieren, Unterbaugruppen testen, dann Systemabnahme durchführen. In sicherheitskritischen Systemen umfasst dies die Sicherheits- und Gefahrenvalidierung (roboticsystemsauthority.com). Zum Beispiel besagt ein Rahmenwerk: Bei der Validierung des endgültigen Robotersystems leitet die Risikobewertung die Testfälle. Es werden ausdrücklich Schutzstopps, Geschwindigkeits-/Trennungsschutzvorrichtungen, Leistungs-/Kraftbegrenzungsreaktionen und andere Sicherheitsverhaltensweisen getestet (roboticsystemsauthority.com). In der Praxis bedeutet dies, Gefahren absichtlich auszulösen, um sicherzustellen, dass der Roboter sicher reagiert: zum Beispiel eine Sicherheitsattrappe oder Schaufensterpuppe in Reichweite zu platzieren, um zu überprüfen, ob der Roboter verlangsamt oder stoppt. Große Werkstücke oder Sandsäcke könnten verwendet werden, um Kollisionskräfte zu testen. Alle Abweichungen (z.B. ein zu langer Stopp oder eine Sensorlücke) müssen vor der Inbetriebnahme korrigiert werden.

Bei autonomen oder KI-gestützten Robotern ist eine zusätzliche Validierung erforderlich. Unsere Quellen weisen darauf hin, dass, wenn Machine-Learning-Software involviert ist, nach der Bereitstellung Verteilungstests und Überwachung durchgeführt werden müssen (roboticsystemsauthority.com). Für die meisten industriellen Humanoiden wird die Sicherheit heute jedoch durch deterministische Steuerungen in Kombination mit konservativen Schutzmaßnahmen erreicht. Die Dokumentation aller V&V-Schritte – z.B. Prüfberichte, Ereignisprotokolle, Zertifikate – wird Teil der Konformitätsakte.

Sicherheits-Checkliste vor der Inbetriebnahme

Bevor Menschen in den Arbeitsbereich des Roboters gelangen, ist eine abschließende Sicherheitsprüfung ratsam. Eine Checkliste vor der Inbetriebnahme stellt sicher, dass nichts übersehen wird. Wichtige Punkte sind:

• Physische Schutzeinrichtungen und Barrieren überprüfen. Sicherstellen, dass alle Zäune, Gehäuse und Verriegelungen gemäß Konstruktion installiert sind. Gewährleisten, dass Lichtschranken oder Scanner eine ungehinderte Sicht haben.
• Not-Aus-Schalter und Sicherheitskreise testen. Jeden Not-Aus-Taster drücken und überprüfen, ob der Roboter sofort stoppt (Kategorie 0 oder 1, wie vorgesehen) (www.se.com) (oxmaint.com). Überprüfen, ob die Steuerung einen Fehler protokolliert oder anzeigt, wenn der Not-Aus gedrückt wird, und ob das System danach korrekt neu starten kann.
• Sensoren, Schalter und SPS-Logik überprüfen. Bei Geschwindigkeits-/Trennsystemen simulieren, dass eine Person die Zone betritt: Verlangsamt/Stoppt der Roboter wie programmiert? Sicherheitsrelevante Eingänge (wie Schutzschalter an Türen) auf korrekte Funktion überprüfen.
• Roboter-Gelenkgrenzen und Bremsen überprüfen. Sicherstellen, dass Software-Geschwindigkeits-/Drehmomentgrenzen eingestellt sind. Testen, ob die Stromzufuhr unterbrochen wird, wenn ein Gelenkantrieb ausfällt (Bremseneingriff). Mechanische Inspektionen (Lockerheit, Verschleiß) sollten den Herstellerangaben entsprechen.
• Dokumentation und Kennzeichnungen überprüfen. Bestätigen, dass die Bedienungsanleitung, Warnschilder und Wartungsverfahren vorhanden sind. Lokale Vorschriften (z.B. OSHA-Hinweise) müssen ausgehängt werden.
• Schulung sicherstellen. Bediener und Wartungspersonal sollten die erforderliche Sicherheitsschulung für das Robotermodell und ihre Aufgaben abgeschlossen haben.

Eine aktuelle Branchen-Checkliste betont dies: Viele Unfälle geschehen, weil Sicherheitsprüfungen übersprungen werden (oxmaint.com). Zum Beispiel stellte ein Hersteller von automatisierten Audit-Tools fest, dass die meisten Vorfälle in Roboterzellen in Fabriken auf „unverifizierte Not-Aus-Schalter“ und „verletzte Sicherheitszonen“ bei Routinekontrollen zurückzuführen waren (oxmaint.com). Ein Rundgang mit dieser Liste ermöglicht es Integratoren, eventuelle Versäumnisse zu erkennen.

Inbetriebnahmekonzept

Bei der Inbetriebnahme des Robotersystems schrittweise vorgehen:

1. Trockenlauf/Testmodus. Den Roboter seine Aufgaben bei niedriger Geschwindigkeit ohne tatsächliche Lasten durchführen lassen. Überprüfen, ob die Steuerungssoftware den geplanten Bewegungen folgt und ob Sicherheitsstopps unter simulierten Fehlerbedingungen ausgelöst werden.
2. Inkrementelle Lasterhöhung. Geschwindigkeit und Nutzlast schrittweise erhöhen und überprüfen, ob Kraft und Druck in sicheren Grenzen bleiben, wenn sich Menschen in der Nähe befinden. Bei Bedarf Kraftsensoren oder Leistungsgrenzen kalibrieren.
3. Dokumentation der Tests. Jeden Sicherheitstest (Not-Aus-Ergebnis, Kollisionssimulation, Sensoraktivierung) aufzeichnen. Mit den Designanforderungen vergleichen. Jeder Fehler erfordert eine Überarbeitung von Design oder Steuerung.
4. Schulung und Verfahren. Vor der Inbetriebnahme Endnutzer in Notfallverfahren und sicherem Betrieb schulen. Die Sicherheitstüren und Notfallprotokolle mit dem Personal vor Ort überprüfen. Einen Wartungsplan für Sicherheitskomponenten erstellen.
5. Endgültige Genehmigung. Ein verantwortlicher Ingenieur (oft der Integrator oder Sicherheitsbeauftragte) sollte bestätigen, dass alle Sicherheitstests bestanden wurden. Das vollständige Sicherheitsdossier (Risikobewertung, Testprotokolle, Zertifikate, Handbücher) sollte zusammengestellt und aufbewahrt werden.

Während der gesamten Inbetriebnahme ist es entscheidend, die Risikobewertung selbst zu befolgen. Die frühere Analyse von Gefahren sollte bei jedem Test erneut überprüft werden. Normen deuten darauf hin, dass nach jeder Hardware-/Softwareänderung eine erneute Validierung erforderlich ist (roboticsystemsauthority.com). Wenn zum Beispiel das Sichtfeld eines Sensors angepasst wird, muss der Mensch-Annäherungstest wiederholt werden. Kurz gesagt, die Risikobewertung steuert die Inbetriebnahmetests und hilft zu definieren, wann die Sicherheit ausreichend ist.

Fazit

Bis 2026 werden humanoide Roboter zunehmend unter Menschen unterwegs sein. Sicherheitsstandards und sorgfältige Ingenieurpraktiken sind unerlässlich, um Unfälle zu vermeiden. Eine formale ISO 12100-basierte Risikobewertung, kombiniert mit funktionalem Sicherheitsdesign (PL-Bewertungen) und kollaborativen Schutzmaßnahmen (Geschwindigkeitsbegrenzungen, Not-Aus), bildet die Grundlage jedes sicheren Systems. Mit gründlicher Dokumentation und Tests können Integratoren die CE-Kennzeichnung (in Europa) oder UL-Zertifizierung (in Nordamerika) erreichen und gleichzeitig sicherstellen, dass Bediener und Umstehende geschützt sind. Eine abschließende Standort-Checkliste und ein schrittweiser Inbetriebnahmekonzept verwandeln Pläne auf dem Papier in reale Sicherheit. Auf diese Weise ermöglicht sicherheitsorientierte Technik Unternehmen und Verbrauchern, von humanoiden Robotern ohne unnötiges Risiko zu profitieren (link.springer.com) (www.certifico.com).