「宇宙から地上へのメッセージ」
−安全性・信頼性は宇宙で始まり、地上で活用されるー

第　5　回

今回はハザードの解析方法を説明します。

1．ハザードの項目
宇宙船で想定している主要なハザードは、以下の項目です。
・火災、水のリーク、空気の汚染、居住空間の減圧、隕石の衝突、打上げ・帰還時の構造破壊、浮遊した機器との衝突、電磁干渉による誤動作、無線電波の誤放射、地上局からの安全でない制御指令等

2．ハザードの被害度の設定
ハザードは、それが起きたときの被害の度合いに応じて、次の3つにカテゴリー分けをしています。
・カタストロフィックハザード：　致命的な人間の障害、やスペースシャトルや宇宙ステーション等宇宙船喪失の原因になる致命的な状態です。　人間が居住している部屋の火災、実験機器からの有毒ガスの漏れや換気不足による炭酸ガス濃度の上昇、隕石衝突やバルブ故障による空気の減圧等が想定されます。
・クリティカルハザード：　人間に重症をもたらす状態、や宇宙船の生命維持装置や緊急システム喪失の原因となりえる重大な状態です。
・マージナルハザード：　人間の軽度な障害をもたらす軽微な状態です。

3． ハザードレベルと故障許容数
ハザードのレベルに応じて以下の故障許容数を設定します。
(1)カタストロフィックハザード：
　独立した2つの故障または誤操作の組合せが起きても人間への致命傷を引き起こさないように設計する。
((2)クリティカルハザード：
　1つの故障または1つの誤操作が起きても人間への傷害を引き起こさない設計をする。
なお、構造、圧力容器、流体配管等で、冗長系の構成が採用できない場合には、故障許容要求の対象外としてリスク最小化設計を許容します。このリスク最小化設計は打上げ及び宇宙で遭遇する最悪の環境条件を考慮して設計マージンを十分確保する設計方法で、解析や試験により検証する必要があります。

4．ハザード防御のための設計
　故障許容設計のアプローチとして、一般的に以下の手法をとります。(a) ある機能の喪失が事故に到る場合→冗長設計で対応。(b) ある機能の意図しない動作が事故に到る場合→インヒビット設計で対応
さて、宇宙船では作動すべきものが作動しなかったり、意図しない起動や停止がハザードとなるので、コンピュータ制御対象の機能を、「作動要求機能」、と「非作動要求機能」に分け、冗長設計とインヒビット設計を取り入れてハザード防御設計をしています。この概念はNASAが有人宇宙船で蓄積した安全設計思想で、瀕死のアポロ13号を宇宙から無事帰還させたり、アポロ1号の火災等の経験を反映したノウハウです。

(1)作動要求機能の設計
　宇宙船の室内は重さがない環境のため自然対流がありません。そのため、宇宙飛行士が吐く息が鼻や口の周辺にたまるので、強制的に空気を供給しないと呼吸困難になります。このため、常に空気の強制換気が必須でその装置が故障すると事故になります。作動要求機能に対する安全要求は、機器の不意の停止がハザードを引き起こさないように二重故障許容設計でコントロール手段(インヒビット)を3つ有しているです。これを実現させる方法はいろいろあります。図のようにハザードを防ぐ径路を3つ独立して用意すること、各々の径路別装置の停止については2つのコマンドが来なければ動作しないようにします。
図の機能1を停止させるためには、「機能1停止準備コマンド」を送り、つぎに「機能1停止コマンド」を送ります。　つまり、装置の作動に対して1つの作動コマンドでは動作せず2つのコマンドがきて初めて装置が動作することです。また、なんらかの原因で機能1が故障しても、残った2つの機能の内どちらかが動作してハザードに発生を防ぐようにします。　キーポイントをまとめると、「意図しない機能停止を防ぐために、その制御を行うときに系統別に2つの独立したコマンドを設けること。」および、「制御径路は他の制御径路への故障伝播がないように径路の分離をするか、故障伝播から保護すること。」です。