レジリエンス・エンジニアリングによる新しい宇宙機冗長設計 野本秀樹† 植田聡史†† New Redundancy Design for Spacecraft by Resilience Engineering Hideki Nomoto Satoshi Ueda ねらい 従来の宇宙機に採用されてきた冗長設計の弱点を克服し、すぐれたコストパフォーマンスとロバス ト性を両立させるために、レジリエンス・エンジニアリングによる新しい冗長設計を提案する。 キーワード 宇宙機 冗長設計 レジリエンス・エンジニアリング 安全 信頼性 Target: This paper aims for introducing a new way of redundancy design by resilience engineering. The new design will contributes to better cost-performance and robustness simultaneously. Keywords: spacecraft, redundancy design, resilience engineering, safety, reliability 1.想定する読者・聴衆 ントのハードウエアのランダム故障に対しては有効で あるが、サブシステム間のインタラクションの設計の 本発表は、高信頼性システム、特に宇宙機の開発に 穴やソフトウエアのバグ等に起因する現代的で複雑な 携わる方を読者・聴衆として想定している。対象とな 事象に対しては有効ではない [1])。なぜなら、それらの るのは、高信頼性、安全性の確保のために設計に冗長 事象はことごとく共通故障モードであるからである。 構成を取り入れているシステムである。 さらに、冗長設計の導入そのものがシステムを複雑 にし、むしろ安全性を低下させる可能性も指摘されて いる。NASA の実験航空機の開発報告書[2]によると、フ 2.背景 ライト試験のフェーズで発見された全ての不具合が冗 セーフティ・クリティカルシステムの高機能化とコ スト削減への要求は年々エスカレートしてきている。 長設計に関連するものであった。 ソフトウエアのバグに代表される「共通故障モード」 特に、ポスト ISS 時代の主要ミッションと位置づけら と、冗長設計導入による Redundancy Paradox を解決す れる深宇宙探査の分野においては、膨大な消費推薬量 ることのできる新しい冗長設計が望まれている。 を抑制する軽量・シンプルなシステムや、巨大システ ムを成立させるすぐれたコストパフォーマンスと、長 期間のミッション期間中に多重故障発生しても自律的 4.提案・実験 にサバイバル可能な安全性とを両立しなければならな 本発表では、自然界に見られる冗長設計に着目し、 い。しかし、この両立は技術的に困難な課題である。 従来の宇宙機の冗長設計と自然界の冗長設計との違い なぜなら、安全性や信頼性を向上させるために冗長数 を以下のように識別した。 を増やせば増やすほど、軽量で低コストなシステムの 実現が遠ざかるためである。 (1) 従来の高信頼性宇宙機(有人機等)の冗長設計 は、 「バックアップ系」を有している。バックア ップ系は通常不使用であるため、1 故障許容の 構成ではシステムの使用率は 50%となる。 3.課題 (2) 自然界の冗長設計は、 「バックアップ系」を持た 冗長設計は、宇宙機の安全性向上のために一般的に ない。すべての資源(右脚と左脚)は同時に使 用いられる技術であるが、この冗長設計には 用され、片方を温存するということが無い。1 Redundancy Paradox と呼ばれる技術的な問題が潜在し 故障が発生すると、切り替えではなく 2 系運用 ている。レブソンによると、冗長設計は、コンポーネ から 1 系運用に「デグレード」する。この構成 では資源使用率は 100%であり、片系を温存した † 有人宇宙システム株式会社 †† 安全開発保証部 Japan Manned Space Systems Corporation Safety and Product Assurance Department E-mail: [email protected] 宇宙航空研究開発機構 有人宇宙ミッション本部 Japan Aerospace Exploration Agency Human Spaceflight Mission Directorate E-mail: [email protected] 1 構成と比べると、ノミナルの能力(足の速さ etc.) はバックアップ型構成の 2 倍を超える。 自然界の冗長構成は、上記のようにコストパフォー マンスに優れるだけではなく、共通故障モードに強 いという側面も備えている。 (1) 従来の宇宙機の冗長設計では、主系と従系の制 御装置には同一の計算ロジックが搭載される。 主系異常時には従系に切り替わるが、アリアン 5爆発事故[3]に見られるように、ソフトウエア のバグが異常原因の場合は、両系とも停止して しまう。 (2) 自然界の冗長構成では、たとえば左右の手は、 形状が同一であるが、機能が明確に異なる。し たがって、両手をともに使用不能にするような 共通故障モードは存在しにくい。 上記のような自然界のすぐれた冗長構成は、長い進 化の過程で飢餓の歴史を乗り越えて獲得されたもの であり、コストパフォーマンスとロバスト性を見事 に両立している。 この設計手法の基礎になったのは、レジリエンス・ エンジニアリングである。レジリエンス・エンジニア リングの本質は、故障や環境変動などに対して、柔軟 に適応し、デグレードや変容といった手法によって粘 り強くサバイバルすることである[5]。この考え方が目指 すのは、共通故障モードに強い、すなわち、想定外の 事象に対する高いロバスト性と、自然界の動植物が有 しているコストパフォーマンスとの両立である。また、 従来の安全設計に見られるように、冗長切り替えによ って常に完全な状態を維持しようとするのではなく、 故障に対してデグレードによって対応しつつ、もとも と有している大きな性能余裕(推力マージン etc.)によ って、冗長切り替えをせずに難なく異常を乗り越える という安全設計を旨とする。 つまり、従来設計においては、安全性を高めれば高 めるほどバックアップという「重り」を背負うことに なっていたのが、安全性を高めれば高めるほど基本性 能もアップし、ミッション達成確率が増すという好循 環を生み出すことができる。宇宙機の設計は、安全性 とミッション達成能力のトレードオフの場となること 従来型宇宙機の冗長構成 自然界の冗長構成 コストパフ 未 使 用 資 源 が 全体 の 50% 未使用資源が無い。 ォーマンス (2 系)~75%(3 系) 最大発揮能力は全系の総 最大発揮能力(推力 etc.)は 和 1 系の最大値 ロバスト性 5.効果 が多かった。しかし、新しい冗長設計を導入すること により、それはトレードオフ関係から、互いに高めあ う好循環関係に変革することが可能となる。 6.まとめ 宇宙機の従来型冗長構成の課題を示した。この課題 共通故障モードに弱い 共通故障モードが少ない 切り替え制御に複雑さがあ 切り替えそのものが無い り、リスク 但し冗長系の温存も可 表 1 従来型冗長構成と自然界の冗長構成の違い をレジリエンス・エンジニアリングによって克服する ことにより、スラスタ本数の大幅削減というコスト削 減を実現しながら、ミッション達成能力を 1 故障許容 から 2 故障許容に倍増することができることを示した。 また、この手法の導入により、従来宇宙機の設計に見 我々は、宇宙ステーション補給機こうのとり(H-II Transfer Vehicle: HTV)の冗長構成に関して、従来型冗 られた、安全性とミッション達成性能とのトレードオ フという問題を克服することができることを示した。 長構成を自然界の冗長構成を模して再設計し、動作 シミュレーションを実施した [4]。その結果、スラス 文 [1] タ数を 32 本から 24 本に削減したにも関わらず、ミ ッション達成のロバスト性を 1 故障許容から 2 故障 許容に倍増させることができることを見出した(従 来と同一スラスタ使用)。システム構成の特徴として は、従来型の主系・従系が同一スラスタ配置となっ 献 N. Leveson “Safetware”, p.80. Addison-Wesley Publishing Company, 1995 [2] D. Mackall “Development and flight test experiences with a flight-critical digital control system” Technical Report NASA Technical Paper 2875. National Aeronautics and Space Administration, Dryden Flight Research Facility, 1988 [3] ARIANE 5 Flight 501 Failure Report by the Inquiry Board, ている設計を変え、各系を空間上の別の位置に別角 The 度で搭載し、各系は単独で 6 軸制御を実現できるが、 https://www.ima.umn.edu/~arnold/disasters/ariane5rep.html 3 系同時に使用することにより、高い推力と外乱静 定能力(回転制御能力)を両立することを狙った。 また、推力と回転力のバランスを最適化するため、 動植物の進化にならい、遺伝的アルゴリズムを用い た搭載位置・角度の最適化を行った。 Chairman of the Board: Prof. J.L. LIONS [4] S. Ueda, H. Nomoto, T. Kasai "A study on new GN&C and propulsion system architecture by resilience engineering approach" 9th International ESA Conference on Guidance, Navigation & Control Systems, June 2014 [5] E. Hollnagel, D.D. Woods & N.C. Leveson "Resilient Engineering: Concepts and Precepts" Ashgate Pub Co, September 2006 2
© Copyright 2024