「宇宙から地上へのメッセージ」
−安全性・信頼性は宇宙で始まり、地上で活用されるー

第　6　回

今回は、ハザード防御のための設計として「非作要動求機能の設計」について説明します。
(2)非作動要求機能の設計
ロボットアームの関節モーターが意図しない動きをすると実験室に衝突し亀裂を起して船内の空気が漏洩するカタストロフィックハザードになる場合があります。非作動要求機能の設計は、このような意図しない機能の起動がハザードを発生させる場合に備えて抑制機能(インヒビット)を設定して防ぐ方法です。その制御方法は2つあります。

●1つ目の方法は、図1に示すようにハザードを抑止する複数のインヒビットを複数のコンピュータで制御する設計(故障伝播抑制設計)です。この方法の特徴は、「インヒビットの制御を別々なコンピュータが行うこと」、「インヒビットが独立して3つ存在すること」、「それぞれのインヒビットを解除するコマンドが独立していること」です。　この方法は、スペースシャトル搭載実験装置に要求されているものです。

●2つ目の方法は、図2に示すようにハザードを抑止するインヒビットの制御を1台のコンピュータで行う設計(制御経路分離設計)です。この方法はコンピュータ内でコマンドの制御パスが独立していることです。単一のコンピュータ故障がすべてのインヒビット制御を不可能にしますが、意図せぬ動作は防ぐことができるので、ハザードとはなりません。ハザード制御のためのインヒビット解除の時は、人間による誤操作を防ぐために2人の搭乗員の操作により行うことにしています。ロボットアームの意図しない動きへの対策は、モーター動作を抑制するために3つのインヒビットを電源とモーターとの間に挿入しています。もちろん電源以外でも、例えばステップモーターであれば動作クロック信号もインヒビットとして採用できます。

　この設計のキーポイントは、「ハザード発生への対策として複数のインヒビットを１台のコンピュータで制御する。」「各インヒビットを制御する経路を論理的に分けること。」です。　宇宙ステーション日本実験棟をはじめ、多くの実験棟のソフトウエア安全設計は、この方式を主に採用しています。

■ コンピュータ制御システム安全要求

コンピュータ制御ソフトウエアへの安全要求を以下にまとめます。

(1) 一般要求
・ 安全に起動・停止し既知の安全な状態になること。
・ オーバーライドコマンドは、少なくとも2つの独立したアクションによること。
・ 決められた手順以外のコマンドを棄却するとともにコマンド実行前検査を実施すること。
・ 異常やメモリの不正変更を検知し、安全な状態となること。
・ データの有効・無効のチェックを実施し無効の場合，安全化を行うこと。

(2) ハザード防止要求
・ ハザードを引き起こす可能性のある機能は、作動要求機能と非作動要求機能に識別し、その、機能要求を設計に反映させること。

コンピュータハードウエアもソフトウエアの設計・製作も、人間がどこかで関与しています。　「どんな優秀な人間でも、必ず、どこかで過ちを犯している」　ことを前提にした防護手段を仕組みにとりいれる手法(What if の手法)がここにあります。　NASAは、ハザードを引き起こす可能性のあるソフトウエア機能を識別して、上記の安全要求が満足できるような設計をするように、国際宇宙ステーション安全技術要求(SSP50038)をまとめ、NASA関係部門と国際パートナーに課しています。　

　NASAの宇宙ステーションプログラムでは、システムの不必要な巨大化を抑制するため、ソフトウエアの設計と検証を十分行うことを条件に高機能コンピュータの使用を認めています。　異なるコンピュータで制御する代わりに、制御径路分離されたソフトウエアを使用するので、その検証と評価を厳しくチェックする必要がでてきました。そのために、開発とは独立した部門がソフトウエア独立検証及び有効性評価(IV&V：Independent Validation & Verification)を実施することを要求しています。