システム的な安全とは
宇宙開発はミサイル開発と切っても切り離せない関係にあります。
初期の宇宙開発ではミサイルあるいはロケット失敗に伴う事故から、安全設計という考え方が生まれたらしいです。
安全設計をシステム設計に取り入れたものをシステム安全と呼ばれており、NASA SyStemsEngineering Handbookとして1989年にまとめられました。
システム安全の根本にあるのは、人間、環境、およびミッションとそれに関わる資産に影響を与えないことにあります。
システム安全は、リスクあるいはハザードをコントロールするところにあります。
コントロールは管理することにあります。
システム設計として、順序良く、出戻りが少なくなるような手法の中で、先にリスクやハザードを洗い出し、問題あるいは課題として立ちふさがる前に、事前に対策を考えておくことが、システム安全の考え方の一部です。
事前に対策を考えるのには、経験がものをいいます。
過去に発生した主要な課題、あるいは知見をまとめていき、事前に対策を行うためのハンドブック、それがシステムエンジニアリングハンドブックです。
ただし、システム安全はとても時間がかかります。
設計がまとまっていないときに、事象を考えて対策を行わなければいけません。
設計において、時間が進むにつれて仕様や要求が明確になっていくことはよくあります。明確になってこそ、設計が進んでいきます。
人工衛星は、様々なサブシステムが複雑に絡み合っているため、ある程度歩調を合わせて設計を進める必要があります。
歩調を合わせて進めるために、考えておくべき対策も多数発生し、中には未確定ではあるが、従来の設計や一般的な考えから取るべき対策を想定していたものが、詳細設計の時点でひっくり返ることはよくあります。
詳細設計で、設計をまとめている中で見つけてしまった不都合な部分が安全にかかわるとなると大変です。
安全審査で余計な時間がかかるやつです。
ここで余計な時間と考えるのは不味いのですが、設計・製造者からすれば、余計な時間がかかるものとしか受け入れならないものでしょう。
スケジュールもあるなか、ギリギリで実施した詳細設計の審査会。しかし安全にかかわるために、重くのしかかる安全審査。
もう笑うしかないですね。
もちろん、人の生き死に関わる場合があるときは、細かく抜けなく見ていく必要はありますが、人が死なないためのマージンが大きすぎるのです。
マージンが大きすぎるというより、技術が進みすぎているため、安全審査基準との乖離が発生しています。
安全審査基準を見直すことは、国内のロケットで小型人工衛星の打ち上げを考えた場合、必須になります。
人工流れ星衛星がどのように審査を通したのか、一部記事を見つけましたので、どうぞ。
JAXAが人工衛星を打ち上げる際には、厳格な安全基準をクリアしていないと積んでくれません。しかし人工流れ星という衛星は前代未聞であり、衛星から粒を放出することを前提に安全基準を作っていないため、「ALE-1」をほかの衛星らとイプシロンに相乗りさせる際に独自の審査項目がいくつも設けられることになりました。
安全性についての疑問は、たとえば「ALE-1」衛星や放出した流れ星が、そのたの人工衛星や飛行中の旅客機にぶつからないのか? といったところ。これ関しては、「ALE-1」はほかの衛星の位置情報を踏まえた上で運用されるので、宇宙でぶつかることはまずありません。そして、放出された粒が流れ星となるのは60~80kmなので、およそ10kmの高度を飛んでいる旅客機と空中でぶつかる心配もありません。ずっと上空で燃え尽きるのです。安全!
正確な縮尺ではありませんが、全体図はこんな感じです。
そして粒を放出する際も、本気で安全第一。流れ星の粒を放出するには、システム全体からのGOサインが必要なんですね。たとえば、ALE-1に搭載されているスター・トラッカーが星図と現在位置を比較し、それぞれ複数搭載されたジャイロ、GPS、内部時計、CPUといった計器類すべてがGOサインを出さないと、流れ星を放出することができない、といった具合。もしチェックリストにひとつでもNGサインが出れば、放出を見送ることになります。でも、最悪のシチュエーションで、ことごとくの放出予定がNGになって衛星に寿命が来たとしても、ALE-1衛星そのものが大気に突入し、自らが火球クラスの流れ星になるといいいます。ALEの衛星は必ず1回は夜空を照らしてくれるわけですね。衛星自体が火球となるのは、粒たちをすべて放出し終えて粒切れになったあとでも同じ。いずれにせよ衛星は華々しく燃え尽き、最後の最後まで私たちの目を楽しませてくれるのです(ひとの目につかない場所で火球となる可能性もあります)。
人工流れ星を降らせる株式会社ALEに潜入! エモい秘密を探ってみた | ギズモード・ジャパン
まあ、厳格であるかは受け取り方次第であるのですが、なかなか苦労をしたようです。
参考
JAXA Repository / AIREX: 航空宇宙開発における技術標準の認識調査とその教育プログラム設定
JAXA Repository / AIREX: 航空宇宙開発でシステム安全活性化を図るエンジニア教育効果の定量的測定
JAXA Repository / AIREX: 航空宇宙技術研究所史
http://dtcn-wisdom.jp/J-personal%20use/SP-6105%20NASA%20SE%20HBK-J.pdf
審査といわれるけど
JAXAにおいては安全審査が実施されるのですが、それは法的な拘束力はありません。
JAXAは、ロケットを保持しているため、人工衛星の打上げ有無を判断する権利があるために、審査をしているのです。
NASAのシステムエンジニアリングハンドブックにもあるように、ロケットが壊れたり、打上げ時に人工衛星が爆発したり、作業中に人が死んだりしない様にすることが大前提なのです。
ただ、長く面倒なだけです。
これをどうにかするべきと主張したり、JAXAの保持するロケットを避ける方向になるのは少し悲しいことですね。
門を広げるためには、改定された標準だかルールが必要なのかもしれません。
ちなみに、宇宙活動法の中にも人工衛星に対しての安全要求はあります。
他の消防法や電波法と同じく、人の死傷に対する項目に絞られていますが。
JAXAの設定していた(いる)システム安全標準の中には、過去に発生した不具合を反映したものも(多分)ありますし、人工衛星を軌道上で長く生き延びさせる手段もあります。
海外ロケットを使用するからと言って、取り込まない理由はありません。
これは手順書ではなく、標準なのであって、基準ではないのです。
システム安全プログラム活動といわれる、概念設計段階からのシステム安全ではなく、それぞれのプロジェクトに合わせて、システム安全活動を構築すればいいだけなのです。
システム安全活動を実施せず、行き当たりばったりですと、顕在/内在しているリスクが牙をむいてしまうものなのです。
通常の製品であっても、安全な作業管理をしているにもかかわらず、工場内での事故がどこかしらで発生しています。
各プロジェクトあるいは各組織でシステム安全となるルールを作り上げることで、逆に現行のシステム安全標準に取り込まさせればいいのです。
一組織のルールに従っているために、硬く思われるのです。
各業界の世界規格でも複数の国や企業から意見を取り入れているのですから。
まあ、スタートアップ的な企業に限らず大手であっても、人員やリソース、業界規模を考えると、自社で安全設計を作ったとしても外へ展開するところまでいかないかもしれませんね。
ノウハウですからね。