投稿コーナー
先号  次号

「きぼう」日本実験棟開発を振り返って

宇宙航空研究開発機構客員/PMマイスター 長谷川 義幸 [プロフィール] :12月号
 国際宇宙ステーション(以下、ISS)計画に参加して日本が有人宇宙船を開発することになりましたが、厳しい安全要求をクリアするため「きぼう」や無人貨物船「こうのとり」の開発は苦労の連続でしたが、やってみて初めて分かったことを紹介します。
 自動車の自動運転開発が世界の話題になっていますが、現在自動車向け機能安全規格のISO26262のベースになったのは、宇宙開発で培われたシステムエンジニアリングの考え方です。
 その考え方の一つとしてFDIR(Fault Detection, Isolation and Recover:)があります。故障や操作ミスを自動的に発見し、それを隔離し、利用可能なもので対処するものです。宇宙では、宇宙飛行士やパイロットのようなプロが操作するのが前提で設計しますが、自動車は、免許はありますが一般の方々が運転するので、必ずしも運転者に判断させるのが適切でない故障などはこのFDIRを利用した自動車機能安全の応用が検討されているそうです。(注1)

 宇宙開発では、システムエンジニアリングの考え方やFDIR手法を織り込んで実現させた宇宙船として「きぼう」と「こうのとり」が世界に知られています。「きぼう」はISSの一部ですからISSの安全基準適用ですが、「こうのとり」もISSに接近しドッキングするため、ISSと同じレベルの安全性が要求されました。そのため、生命維持や電力確保などの重要度が高い系統では、2種類の故障が発生しても安全を確保できるように3重系のシステム機器を組み込んでいます。

 今年3月で、「きぼう」のISSでの運用は10年を経過しました。有人宇宙船の実運用は始めてのことだったので心配しましたが、幸い不具合件数は米国実験棟の半分以下で想定外の不具合は起きていません。また、「こうのとり」も連続7機の飛行を成功しています。10年間の運用を振り返ると想定外のハザードはほんのわずかでしたので設計はそんなに間違っていなかったようです。

 大規模で複雑なシステムになると、発生する可能性のある異常をすべて事前に予測できないので、人に高度な判断を要求することになります。しかし、機器の故障や人が誤った判断をする場合もあるので機械が自動的に介入するシステムが必要になります。この場合、どう対処するのかを設計時点には決定しておかなければなりません。起こりうる異常を予測するのは人であり、人の洞察力に左右されます。そのため、多くの場合機能回復より安全を優先するシステムになってしまいます。(注2)

 ISSのコンピュータ安全要求は厳しく、NASAの安全審査をクリアするのに何回も差戻しにあいました。そのため、「きぼう」と「こうのとり」の設計に際して何があっても安全確実に動作させるようにしたため、ハードウエアの状態信号を使ったソフトウエアインヒビット設計を実装しました。ところが、ISSをNASAと共同運用して分かったことですが、NASAは宇宙飛行士や地上管制官がコマンド送信により制御できるフラッグをソフトウエアに実装する簡単なインヒビット設計としていたのです。彼らは、どこまでやれば安全なのか有人宇宙船の運用から知っていたため、運用全体を把握して人間と機械に任せるところを区分けしてシステム設計をしていたのです。

 ちなみにNASAは、アポロ計画やスペースシャトル計画などの有人宇宙船に関わる安全技術を蓄積しており、達成すべき安全性に関して実施すべきマネジメントハンドブックを1973年に制定しました。そして、1977年には、米国国防規格MIL-STD-882A System Safety Program Managementに導入されています。

以上

参考文献: (注1)  リンクはこちら
  (注2) 日経産業新聞、「自動化システムと人―洞察力とセンサーカギ」、2010年11月16日

ページトップに戻る