Comments
Description
Transcript
宇宙開発委員会 宇宙ステーション補給機(HTV)の詳細設計終了段階
安全5-1-2 (安全4-1-4) (安全3-1-3) 付録4 宇宙ステーション補給機(HTV) 特有の安全設計結果【改訂版】 宇宙開発委員会 安全部会資料 平成19年5月14日 宇宙航空研究開発機構 説明者:HTVプロジェクトチーム 深津 敦 平成19年4月5日安全部会時から変更のあったページ ・ 10ページ ・ 11ページ ・ 18ページ ・ 20ページ ・ 25ページ ・ 27ページ ・ 35ページ 変更箇所は、ページ右側に青色縦線にて示す。 1 目 1. 2. 3. 4. 次 はじめに HTVに特有なシステムの説明 HTVに特有なハザードの識別 HTV特有のハザードと安全設計概要 (1)HTVのISSへの衝突 (2)汚染-推進薬の船外クルーへの付着による船内の汚染- (3)推進薬の爆発 (4)電池の破裂ハザード 5. HTVのソフトウエア安全設計 2 1.はじめに ¾ 宇宙ステーション補給機(HTV)の国際宇宙ステーション(ISS)に関する安 全解析は、ISSへの接近、ISSへの係留を経て、ISSからの離脱に至る軌道上 運用を対象として実施されている。 ¾ 本報告では、HTVに対して識別されたハザードと、その制御方法と検証方 法のうち、国際宇宙ステーションの日本の実験棟「きぼう」(JEM)の場合と同 様なハザードを除いた、HTV特有の安全設計結果を報告する。 ¾ なお、打上げ時、及び再突入時の安全審議は今回の対象外である。 3 2.HTVに特有なシステムの説明 • HTVはISSに向かって飛行するために、「きぼう」には無い、以下のサブシ ステムを有している。 – 推進系 – 誘導制御系 – 電源系 • 本項ではこれらHTV特有のシステムに関し、安全制御の観点から明らか にする。 4 2.HTVに特有なシステムの説明 推進系 5 2.HTVに特有なシステムの説明 通信データ処理系・誘導制御系・推進系 通信・データ処理系 「きぼう」搭載HTV専用 近傍域通信システム (PROX) 推進系 センサ系統 姿勢制御 対PROX データ伝送用 処理装置 コマンド配信・ データ収集 処理装置 スラスタ 誘導制御 計算機 バルブ 駆動回路 緊急離脱 制御装置 バルブ 駆動回路 データ中継衛星 対中継衛星 データ伝送用 処理装置 コマンド配信・ データ収集 処理装置 メイン 誘導制御系 係留時ISSと接続 対ISSデータ 通信処理* 多目的制御処理* 多目的制御* (* 同一機器により実現) ヒータ制御装置 エンジン 各機器へヒータ 電力を供給 計装系 6 2.HTVに特有なシステムの説明 誘導制御系 ~センサ・誘導制御系統概要~ 多重航法センサ群 3CPU(多数決による決定) GCC(誘導制御計算機) GPS 受信機 CPU-1 CPU-2 3 系独立のスラスタ駆動電気回路 CPU-3 および推進薬供給システム (A 系 : ノミナル運用にて使用 ) GPS 受信機 推進薬供給システム バルブ駆動回路 慣性センサ /ジャイロ 入出力 コントローラ 入出力 コントローラ ラ イド ) 慣性センサ /ジャイロ 姿勢制御スラスタ -A 止 (オ ー バ ー 慣性センサ /ジャイロ 燃 焼 停 ランデブセンサ (レーザレーダ) (C 系 : 緊急時アボート用に使用 ) バルブ駆動回路 推進薬供給システム メインエンジン ランデブセンサ (レーザレーダ) ACU (自動アボート 緊急離脱 ユニット ) 制御装置 地球センサ 2 入出力コントローラ 地球センサ 燃焼 (オー停止 バー ライ ド) および 1 緊急用自動アボートユニット (B 系 : A 系のバックアップとして使用 ) バルブ駆動回路 推進薬供給システム 姿勢制御スラスタ -B 7 2.HTVに特有なシステムの説明 電源系 ISS DC/DC-A ISS電力変換装置 ISS DC/DC-B ISS電力変換装置 1次電池1 1次電池2 1次電池11 2次電池 • 複数電源バスによる高 い故障時安全性 • 3電源系(1次電池/太 陽電池及び2次電池/ ISS電源)対応 8 3.HTVに特有なハザードの識別 • ハザード解析を実施した結果、次ページのハザード総括表に示すように大多 数のハザードは「きぼう」と同様な考え方で安全制御及び制御の妥当性検証を 行うこととしている。一方、HTV特有の機器に起因する以下の特有なハザードが 識別された。 – – – – • • HTVのISSへの衝突 推進薬の船外クルーへの付着による船内の汚染 推進薬システムの爆発 電池セルの破裂 次項より、これらの特有なハザードに関する制御及び検証について説明する。 また、ソフトウエアの安全設計について報告する。 9 3.HTVに特有なハザードの識別 HTVハザードの一覧と「きぼう」との比較(1/2) HTV ハザード 火災 減圧 汚染 近傍運用 フェーズ ○ ○ 推進薬の船外搭乗員への付着による船 内の汚染 ● 船内空気汚染 ○ ○ HTV-0003 HTV-0002 ○ HTV-0011 ○ HTV-0008 ○ HTV-0008 ● ● HTV-0010 浮遊物のISSへの衝突 ○ ○ ロボットアーム暴走による衝突 ○ HTV-0009 隕石/デブリの衝突(注1) ○ ○ HTV-0011 回転体の搭乗員への衝突 爆発 「きぼう」 (参考) ○ HTV-0004 減圧 HTVのISSへの衝突 離脱 フェーズ HTV-0001 火災 ガラス破片飛散による搭乗員の傷害 衝突 係留 フェーズ ○ HTV-0007 推進薬システムの爆発 ● 電池セルの破裂 ● HTV-0007 HTV-0007 ● HTV-0007 ● ○ HTV-0007 ● HTV-0007 ● 加圧機器の破裂 ○:「きぼう」でも識別されたハザード ●:HTV特有のハザード HTV-0001・・・:番号は、関連ハザードレポートの番号 注1:HTVは、打上げあるいは離脱時、隕石/デブリに衝突しない飛行経路を予め決定し飛行させるとともに、単独飛行中ISSに到着する までは、必要により衝突回避のための軌道変更を行う。 ○ 10 3.HTVに特有なハザードの識別 HTVハザードの一覧と「きぼう」との比較(2/2) HTV ハザード 近傍運用 フェーズ 係留 フェーズ 離脱 フェーズ 打上・帰還時荷重による構造破壊 構造破壊 ○ HTV-0005 軌道上荷重による構造破壊 過加圧による構造破壊 ○ HTV-0006 ○ HTV-0006 ○ ○ HTV-0006 ○ 負圧による構造破壊 HTV-0012 ○ ○ HTV-0017 電波放射による搭乗員の傷害、機器故障 電磁干渉 ○ HTV-0017 ○ HTV-0017 ○ ○ HTV-0017 ○ ○ 搭乗員の宇宙放射線の被爆 ○ ○ HTV-0016 船内活動搭乗員の緊急時退避不能 ソフトウエア ○ 水の漏洩 船外活動搭乗員の船内帰還不能 人間工学 ○ ○ 感電 電気・電磁 「きぼう」 (参考) ○ 高温表面への接触 ○ 鋭利端部への接触 ○ ○ HTV-0014 ○ HTV-0014 挟み込み ○ 騒音 ○ ソフトウエアの故障(注1) ○ HTV-0013 ○ HTV-0015 ○ ○:「きぼう」でも識別されたハザード ●:HTV特有のハザード HTV-0001・・・:番号は、関連ハザードレポートの番号 注1:関連ハザードレポートは、HTV-0002~0004、0006~0008、0010、0013、0014 ○ ○ ○ ○ 11 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突(1/2) ハザードの概要 HTVがISSに衝突しISSを損傷することで船内の空気が抜け、搭乗員の死傷に至 る可能性がある。 ISS周囲(図-1参照)において、マヌーバ量の過不足によりISSに衝突する軌道 に入る危険性がある。また、ISSの近傍においては、不意な噴射実行、不意な噴射 停止も、衝突の要因となり得る。その結果、衝突を生じる要因として以下が識別さ れた。 ①誘導制御系の故障 ②センサ系の異常 HTV側機器の故障 ③推進系の故障 ④推進系配管の凍結による破損による漏洩 ⑤電源系異常 ⑥ISSロボットアーム把持領域の不適切な設定 ⑦HTV近傍域通信システムとのリンク遮断 個々の要因毎に機能の多重化又は適切な設計余裕の確保によりハザードの制 御を行う。 12 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突(2/2) ISS ISS 離脱 ISS 軌道高度(350km~460km) ISS 近傍運用 初期投入高度 (300km × 200km) ランデブ飛行フェーズ (位相調整) 軌道離脱フェーズ 点線部拡大図 ISS 近傍軌道 RI 点(約 500m) AI 点 AI点:最終相対接近開始点 RI点:Rバー接近開始点 図-1 HTVランデブ軌道 13 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ①誘導制御系の故障(1/2) 誘導制御系 <ハザード制御方法> • • • 誘導制御計算機はセンサからの情 報を基に、推進系の制御に必要な計 算を実施する。 誘導制御計算機は3つのCPUを有 し、それぞれが同時に入出力コントロ ーラに計算結果を出力している。入 出力コントローラは、3つのCPUから の出力を多数決で比較するため、C PUの1台が故障しても飛行を継続で きる設計となっている。また入出力コ ントローラも1台が故障しても、他系 が処置を行える。 誘導制御計算機内でさらに故障が 発生した場合(2故障時)には緊急離 脱制御装置に切り替わり、緊急離脱 を実施する。 推進系 誘導制御計算機(GCC) CPU-1 CPU-2 入出力 コントローラ (A) CPU-3 入出力 コントローラ (B) 姿勢制御 スラスタ バルブ駆動 回路 バルブ駆動 回路 緊急離脱制御装置 (ACU) ×14 (A系) ×14 (B系) バルブ駆動 回路 メインエンジン (2系) 14 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ①誘導制御系の電子機器の故障(2/2) <検証方法> – 製造工程の検査、図面確認、製品検査による品質検査を実施する。 – 誘導制御計算機における故障検知機能を確認する試験を実施する。 – 誘導制御計算機と緊急離脱制御装置を組み合わせ、かつセンサと組み 合わせた状態で、以下の試験を実施する。 誘導制御計算機内での切り替え機能の確認(コンポーネント単体の確認か ら複数の機器を組み合わせたサブシステムレベルでの確認) • 故障状態を模擬し、切り替えが行われることの確認 • 15 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ②センサ系統の異常(1/2) <ハザード制御方法> • 誘導制御に必要なセンサは、すべて 2個以上設置されるため、1故障許容 設計となっている。ランデブーセンサ1 故障時には、PROXを用いたISSに対 する相対的な位置や、ISSからカメラ を用いて測定した距離データとの比較 等を用いて運用を継続する。 誘導制御系 センサ類 CPU -1 CPU -2 CPU -3 航法・誘導センサ 姿勢制御センサ 入出力 コントローラ (A) 入出力 コントローラ (B) センサ • 2故障目が発生した場合、すなわち センサの入力の健全性が確保されな い場合は、誘導制御計算機から緊急 離脱制御装置に切り替わり、緊急離 脱する。 センサ 緊急離脱制御装置 (ACU) 16 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ②センサ系統の異常(2/2) <検証方法> – 製造工程の検査、図面確認、製品検査による品質検査を実施する。 – センサ単体の確認する。 – センサを1台機能させない状態にして、誘導制御機能を継続できること を確認する試験を実施する。 – センサ故障時の切り替え機能が作動することを確認する。 17 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ③推進系の故障 <ハザード制御方法> ランデブー飛行/ISS近傍運用では姿勢制 御系統にて接近する。姿勢制御系統を構成 するバルブ・推進系の圧力、温度センサ等の 機能部品が故障した場合、別系統に切り替え る。(1故障許容) 更に、別系統も故障した場合(2故障時)は 、メインエンジン系に切り替え、緊急離脱機能 により緊急離脱を実施する。(2故障許容) <検証方法> ・ バルブ・センサの開発試験、スラスタの燃 焼試験により推進系設計の妥当性を検証す る。 ・ フライト品については、図面確認、製造工 程の検査、製品検査等の確認及び検査を実 施する。 ・ 系統の切り替え機能については、誘導制 御計算機の試験で実施する。 姿勢制御-A系 気蓄器 (4 個) 同-B系 前方 RCS スラスタ (A 系 6 基) 前方 RCS スラスタ (B 系 6 基) 後方 RCS スラスタ (A 系 8 基) 後方 RCS スラスタ (B 系 8 基) バッファチューブ 燃料タンク (2個) 酸化剤タンク (2個) メインエンジン (A 系 2 基) メインエンジン系 メインエンジン (B 系 2 基) 18 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ④推進系配管の凍結による破損による漏洩 <ハザード制御方法> 姿勢制御系統、メインエンジン系統が繋がっている主要な配管/バルブ/推進薬 タンクへのヒータ3重化の施工により、2故障許容設計とする。 <検証方法> ヒータが1系統で凍結防止に必要な熱量を供給できることの解析を実施する。 ヒータ施工の製造工程の検査による品質保証を実施する。 ヒータ制御系等の性能確認試験を実施する。 推薬 制御信号ライン スラスタ 電力ライン ヒータ制御装置 推進薬供給配管へのヒータ施工 19 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ⑤電源異常 <ハザード制御方法> 単独飛行中は、太陽電池及び二次電池並びに一次電池からの供給電力で飛行する。一 次電池の個数は、2故障許容となる数を搭載する。 <検証方法> •必要なマージンを有する電池容量であることの解析 •有人宇宙機の要求に従った素材の選定と工程の管理 •製造工程の確認、図面確認等による品質検査及び電線ハーネスの施工の確認 •フライトに使用するバッテリー単体毎の機能試験による性能保証 •通信、誘導制御機器と組み合わせたシステム試験の実施により、電源系統の性能試験、 冗長系への切り替え試験の実施 一次電池 バッテリ1-1 バッテリ1-2 バッテリ制御ユニッ ト 保護回路 各機器への電源供給 保護回路 ×11(PFM) バッテリ11-1 電源 バス1 電源 バス2 二次電池 各機器への電源供給 太陽電池 バッテリ11-2 :過電流保護回路又はヒューズ 20 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ⑥ISSロボットアームの把持領域の不適切な設定 <ハザード制御方法> HTVは、ISSロボットアームによる把持可能領域に規 定どおりISSと相対的に停止したことを確認後、位置・姿 勢制御機能を完全停止し、ISSロボットアームにより捕獲 される。所定の把持可能領域以外で把持された場合、最 悪の状態ではHTVはISSロボットアームを損傷させ、結 果的にISSに衝突する可能性が生じるため、以下のハザ ード制御を行う。 •姿勢やセンサの誤差を考慮した把持領域を設定する。 •想定外の姿勢でHTVが放出された場合はHTVの制 御機能を起動してHTVが姿勢制御を実施。 <検証方法> •NASA、カナダと協力しての把持領域の妥当性解析 ISSロボットアームの把持領域 •個々の部品の開発試験、性能確認による設計妥当性 の検証 •製造工程の検査、図面確認等による品質検査 •フライト用部品の試験等の性能検査 21 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ⑦HTV用近傍域通信システム (PROX)との通信リンク遮断(1/2) <ハザード制御方法> HTVは、ISS近傍運用段階になると「きぼう」に設置されたPROXとの通信を実施しながら接近を する。PROX側、HTV側ともに各機器は冗長化されているため、1故障時には接近を継続する。 その場合、バックアップとして衛星間通信衛星とのリンクを確保することによって、PROX通信系 統の機器が2重故障を起こしても通信手段を失うことはない。 なお、HTV側で2故障を検知した時は自動で接近を中止し、緊急離脱を行う(2故障許容) HTV通信・データ処理系 対中継衛星 データ伝送用 処理装置 データ中継衛星 きぼう(JEM) ISS接近・離脱時に中継衛星系を 更なるバックアップ通信路として確保 PROX 2重系 対PROX データ伝送用 処理装置 コマンド配信・ データ収集 処理装置 3重系 コマンド配信・ データ収集 処理装置 22 4. HTV特有のハザードと安全設計概要 (1) HTVのISSへの衝突 ⑦HTV用近傍域通信システム(PROX)との通信リンク遮断(2/2) <検証方法> ・個々のコンポーネントの製造工程の検査、図面確認等による品質検査 ・機能試験による性能保証 ・通信・伝送性能の確認として以下の試験を実施する。 1. 機能の検証として、きぼうに搭載するPROXコンポーネントとHTVに搭載する通信・データ 処理系との間で通信試験を実施する。あわせて故障状態を模擬して系統切り替え機能試験 を実施する。 2. PROXのきぼうへの搭載後、きぼうに艤装したアンテナを通じて機能確認試験を行う。 3. 通信・伝送系統の全体の確認としては、NASA側の協力の下、NASAの地上局やISS側の 通信装置を模擬した設備を用いて、HTVとの全体的な系統試験(END-TO-END試験)を実 施する。 23 4. HTV特有のハザードと安全設計概要 (2)汚染(1/2) -推進薬の船外搭乗員への付着による船内の汚染- ハザードの概要 HTVの推進薬燃料(モノメチルヒドラジン:MMH)、酸化剤(四酸化ニ窒素:NTO) 共に人体には有害であるため、宇宙飛行士の推進薬への接触は、推進系を有す るHTV固有のハザードとなる。即ち、HTVから大量に推進薬が漏洩した場合、一 部が宇宙服に付着し、船内に持ち込まれる可能性がある。 <ハザードの制御方法> 前方スラスタ設置近辺は船外活動が想定されるため、バルブを3重に設置し、 大量漏洩を避ける。 また、船外活動中に不意のスラスタ開放指令を出さないよう、制御系を停止させ る。 <検証方法> バルブの図面通りの施工 バルブ単品及び配管系統の漏洩性能試験による確認 24 4. HTV特有のハザードと安全設計概要 (2)汚染(2/2) -推進薬の船外搭乗員への付着による船内の汚染- 船外活 動領域 前方スラスタ 前方 RCS スラスタ (A 系 6 基) 気蓄器 (4 個) 前方 RCS スラスタ (B 系 6 基) 3 2 バッファチューブ 燃料タンク (2個) 酸化剤タンク (2個) 1 メインエンジン (A 系 2 基) メインエンジン (B 系 2 基) 後方 RCS スラスタ (A 系 8 基) 後方 RCS スラスタ (B 系 8 基) 25 4. HTV特有のハザードと安全設計概要 (3)推進薬の爆発 ハザードの概要 HTVの推進系の設計圧より高圧に至る場合には、最悪、爆発に至り、ISSへの 構造破壊を引き起こし、宇宙飛行士が死傷する可能性がある。 高圧となる原因としては以下のような場合が考えられる。 ①推進系の過大な加圧 ②ヒータ系統の故障による異常加熱 26 4. HTV特有のハザードと安全設計概要 (3)推進薬の爆発 ①推進系の過大な加圧 <ハザード制御方法> ヘリウムガスの燃料/酸化剤タンクへの供給配 管までに2直列の調圧弁を持つ。さらにこの調 圧弁が故障した場合には、遮断弁を閉めること で2故障許容としている。これにより、ISS近傍 におけるヘリウムガス系の故障に起因する推進 系の過加圧を防ぐ。 なお、この時点では遮断弁の下流配管のガス だけで飛行に十分なヘリウムガス圧力は確保し ている。 一方、遮断弁の上流側に破裂板を設置するこ とで、上流の過加圧が生じないようにしている。 (参考)更に破裂板を有して過加 圧を防止している。 燃料/酸化剤そ れぞれで2重の 遮断弁を設置 気蓄器 (4 個) 前方 RCS スラスタ (A 系 6 基) 前方 RCS スラスタ (B 系 6 基) 後方 RCS スラスタ (A 系 8 基) 後方 RCS スラスタ (B 系 8 基) 調圧弁 バッファチューブ 燃料タンク (2個) 酸化剤タンク (2個) <検証方法> フライト品については、製造工程の検査、図面 確認、製品検査による品質検査を実施する。 ・バルブ類の性能試験 ・耐圧試験の実施 メインエンジン (A 系 2 基) メインエンジン (B 系 2 基) 27 4. HTV特有のハザードと安全設計概要 (3)推進薬の爆発 ②ヒータ系統の異常加熱による加圧 <ハザード制御方法> ヒータに設置されている温度センサ が規定の温度以上になると、ヒータ制 御装置内の二つのスイッチ及びその 上流のデータ中継装置がヒータへの電 力供給を停止する。 <検証方法> ヒータ制御装置の機能試験において 模擬異常データを入力した時に、電力 供給停止機能を確認する。 メインスイッチ 電流センサ HCE ヒータ制御装置 HCE(故障検知グループ) A 各ヒータへ グループスイッチ HCE(故障検知グループ) A 各ヒータへ 飛行中のセルフチェック機能により、一時的にグル ープ全部のヒータをOFFする。その際、電流が流れ ていたら故障と認定し、ヒータを切る。 28 4. HTV特有のハザードと安全設計概要 (4)電池の破裂ハザード(1/4) ハザードの概要 電池の不適切な設計による破裂は、HTVの構造破壊を引き起こし、その結 果、宇宙服を破損することで、船外活動中の宇宙飛行士が死傷する可能性 がある。電池の破裂を引き起こす要因として以下が想定される。 ① 配電経路における短絡に起因する電池温度の上昇に伴う内圧上昇 ② 逆電圧や過充電等の不適切な電圧制御 ③ 容器の不適切な耐圧設計 29 4. HTV特有のハザードと安全設計概要 (4)電池の破裂ハザード(2/4) ①短絡に起因する電池温度の上昇に伴う内圧上昇 一次電池 <ハザード制御方法> 個々の電池セルは、過大な電流が流 れたときに溶断して電流を遮断するヒュ ーズ機能を内部に有する。 また、一次電池の放電を行うバッテリ 制御ユニットは、過電流を検出して電流 を遮断する保護回路を有する。 <検証方法> 個々の電池セルは、材料と工程の管 理を行うとともに、製造における品質検 査を行う。また保護回路は機能試験を 実施する。 セ ル バッテリ制御ユニット (BDCU) セル セ ル 主電源バス (MBU) 配電路 保護回路 バッテリ1-1 セ ル セル セ ル バッテリ1-2 ヒューズ機能 逆流防止回路 電力制御ユニット(PCU) バス電圧監視回路-A 充電制御回路-A 太陽電池 充電制御回路-B バス電圧監視回路-B セ ル セ ル セル 二次電池 30 4. HTV特有のハザードと安全設計概要 (4)電池の破裂ハザード(3/4) ② 逆電圧や過充電等の不適切な電圧制御 一次電池 <ハザード制御方法> 一次電池に対しては、多段の逆流 防止回路により逆電圧を防止する。 二次電池については、充電回路や バス電圧監視機能を冗長化する。 セ ル バッテリ制御ユニット (BDCU) セル セ ル 配電路 保護回路 バッテリ1-1 セ ル セル セ ル バッテリ1-2 ヒューズ機能 <検証方法> 図面確認、製品検査による品質検 査を行う。試験により逆電圧や過充 電の防止機能の確認を行う。 主電源バス (MBU) 逆流防止回路 電力制御ユニット(PCU) バス電圧監視回路-A 充電制御回路-A 太陽電池 充電制御回路-B バス電圧監視回路-B セ ル セ ル セル 二次電池 31 4. HTV特有のハザードと安全設計概要 (4)電池の破裂ハザード(4/4) ③容器の不適切な耐圧設計 <ハザード制御> 構造的な安全設計は、電子機器のような故障とは 異なるため、使用圧力に対して適切な安全率を 確保した容器設計を行う。 また、万が一の内圧上昇時に圧力リリーフ を行うためのラプチャ(破断)機構を設置して 容器の破裂を防ぐ。 : 圧力リリーフ用破断部 <検証方法> 設計段階で実証試験を行う。 フライトに使用する電池に対しては材料の管理・製 造工程の管理等の品質検査を行う。 圧力リリーフ状態 32 5. HTVのソフトウエア安全設計 HTVは、安全上の機能的な役割にしたがって、以下のような故障許容設計を採用し ている: <機能の喪失がハザードとなる場合> • 独立した複数機能の搭載 例えば、ランデブー制御機能と緊急離脱機能は、個別のソフトウエアで作成されて おり、それぞれ独立した制御装置に搭載されている。したがって 、一つのソフトウエア の故障により、すべてのハザード制御機能を失うことはない。 <機能の不意な起動がハザードとなる場合> • 危険な機能の起動に対する複数3重インヒビット 装置を作動させるための指令を、ISS搭乗員又は地上の要員から送信する場合、誤 作動がカタストロフィックハザードとなる機器(例:与圧キャリア排気弁の誤作動は減 圧になる)に対しては、3重の指令を送信することによって初めて装置が作動するシス テム設計となっている。 33 5.HTVのソフトウエア安全設計 地上又は軌道上の端末 制御パス③ コマンド③発行 コマンド②発行 コマンド①発行 制御パス② 制御パス① *各コマンドは全て独立 モジュール① モジュール② モジュール③ 計算機 制御対象 電源 インヒビット① インヒビット② インヒビット③ 34 5. HTVのソフトウエア安全設計 ソフトウエアの検証方法 開発部門 独立部門による独立検証 要求仕様/設計仕様審査の実施 特化した視点での要求仕様/設計仕様の評価 •ソースコードを独自に作成し、様々な条件で動作させ、 ハザードを生じさせる条件が整わないことを評価。 •ボイジャーやガリレオ衛星で使用した安全チェックリ スト等を使用し、陥りやすい設計誤りの有無を評価。 ソフトウエアのソースコードの審査 ソースコードの評価(アリアン5ロケットの事故原因と なった桁溢れ事象の有無の確認等特定リスクに特化 した評価) 単一ソフトウエアを対象とし、ソフトウエア内部の全機 能分岐条件を通す単体検査 ひとまとまりのソフトウエアを対象にし、宇宙環境、推 進系、センサ等を模擬するソフトウエアシミュレータを 使用した、実運用シナリオや異常発生ケースを検証 するソフトウエアの集合体としての検査 ソフトウエアの集合体としての評価(独自に識別した 要検証ケース中、開発者が設定していない試験ケー スの実施) 実計算機、実センサと、宇宙環境シミュレータを使用 し、誘導制御計算機全体を対象にした誘導制御サブ システム試験 35