「宇宙から地上へのメッセージ」
−安全性・信頼性は宇宙で始まり、地上で活用されるー

第　7　回

　今回は、これまで説明してきました想定されるハザード事象とこれに対応した設計が，コンピュータ制御でどう実現されているのかを例により説明します。

■ ロボットアームが故障してハザードになる事象はどのようなものか、故障が起きた場合の影響をFMEAで示した例を図に示しました。故障が起きた場合を想定して安全対策を説明した2例を下記に示します。

●ロボットアーム暴走し実験棟へ衝突
ロボットアームが掴んだ荷物を移動させる時に、モーターが暴走して搭乗員のいる実験棟に衝突、穴が開いて空気が漏れる事故につながる可能性があります。　この場合は、カタストロフィック・ハザードとなり2つの故障が発生してもハザードにならない設計を行わなければなりません。設計として「非作動要求機能」の設計としてインヒビット(遮断機能)を直列に電源の間に挿入して、それぞれ独立させたコマンド径路で制御するようにしています。　さらに、ロボットアームの動作速度の上限を制御したり、実験棟の近傍域をアームの制限領域にした仮想の壁をアームの制御ソフトウエアに設置し、アームが誤動作で動いても自動でストップさせる機能を搭載します。なお、監視と緊急停止の機能は、別のコンピュータで行うことにより、誤動作発生と緊急停止機能の2つの故障が発生しても衝突には至らないようにしています。

●ロボットアームが重い荷物をもって突然止まる
　今度は上記と違い、ロボットアームが掴んだ荷物を移動させる時に、中途半端な宇宙空間で停止した場合ですが、アームに大きな力が加わらなければそのままでも大丈夫です。しかし、宇宙ステーションの軌道には、まだ薄い大気があるので徐々に高度がさがります。そのため、時折ジェットを噴射させて高度を上げます。このとき、アームに大きな力が懸かり実験棟に衝突する可能性があります。　この故障に備えて、アームを操作する機能を2重化させたり、6つのアーム関節の内、2つの関節が同時に故障(2故障)しても正常な関節を用いて安全な状態に移行できるようにしています。

■ スペースシャトル荷物室で太陽電池パネルが突然開く
　スペースシャトル荷物室には様々な荷物が設置され打ち上げられます。荷物の収納が完全でない場合、打上げ時に飛び出して荷物室に損傷を与えスペースシャトルが地球にもどれない可能性があります。
　例えば、太陽電池パネル収納が完全でないといけませんので、収納用のモーターを複数個つける、とか収納が完全にできたことを監視するセンサーを複数用意するとかにより、シャトルを安全に守るためアンテナ収納への手段となるように故障許容設計で制御することになります。