Yahoo!ニュース

エンジニア視点だからこそ抱く「冗長系がH3ロケットを救えたのでは?」の疑問。原因調査が出した答えは?

秋山文野サイエンスライター/翻訳者(宇宙開発)
撮影:秋山文野

3月7日に打ち上げに失敗したH3ロケット試験機1号機。トラブルが起きたのは、2段のエンジン着火を制御する電気系統だった。2系統あるフライトコンピューターがエンジンの制御機器部分から異常な電流を検知し、2系統とも安全のために電源を遮断。点火器や2段エンジンへ推進剤を供給するバルブなど電気系統の機器は電源を絶たれて動作せず、ロケットは飛行を中断した。安全のため地上からの指令破壊信号でロケットの機体は破壊(爆破ではなく、タンクを割って飛行を止める)され、搭載された地球観測衛星「だいち3号」ごとフィリピンの東方沖の海に沈んだ。

H3ロケットの第2段エンジンはH-IIAから引き継いだもので、これまでH-IIAでは40回以上も着火失敗というトラブルなく飛行してきたものだ。ただ、H-IIAでは1系統だったロケット2段のフライトコンピューターがH3では2系統の冗長構成に変更されている。試験機1号機ではA系とB系、ふたつのコンピューターがどちらもエンジン点火装置の状態を異常とみなして電源を遮断した。エンジンに点火できないのだから、ロケットはどうやっても飛行することができなくなってしまう。

結果的にミッション喪失が避けられないならば、2系統のうち片方だけでも電源を活かすという選択もできたのではないか? 最終的には失敗に終わったとしても、半ば偶然にでも第2段エンジンに着火できる「最後のチャンス」があったのではないだろうか?そもそも、これまでトラブルなく飛行してきたH-IIA第2段と同じエンジンがH3の1号機でいきなりトラブルを起こしたのは、冗長系コンピュータというH3の新規要素が「余計なこと」をしたのではないか? 大きな痛手となったH3試験機1号機の打ち上げ事故で、発生当初から特にエンジニア視点の人ほどこうした疑問を抱いていた。

「何を救うためのものなのですか?」共通の疑問

この疑問は、打ち上げ失敗直後の3月8日に緊急開催された文部科学省の原因調査に関する委員会(調査・安全有識者会合)でも、主査の東京理科大学 木村真一教授から示されている。「これ(冗長系)は何を救うためのものなのですか?」という質問は、会議を傍聴していた多くの人が、木村教授が率先して質問してくれた、と受け止めたはずだ。

それから2カ月以上が経過し、進んできた原因調査から「2段の冗長系はどんな考え方を背景に設計されたのか」が見えてきた。解説の前にまずH3ロケットの2段エンジンの着火手順をおさらいしておこう。

基本動作

①2段機体制御コントローラ(V-CON2A/2B)が1段/2段分離を検知

②その後、2段推進系コントローラ(PSC2)へ2段エンジンの着火信号(SEIG)を出力

③PSC2はそれを受けて2段エンジンのコントロールボックス(ECB)へSEIGを出力

④ECBがSEIGを受けた後、ニューマティックパッケージ(PNP)に駆動を指示

⑤PNPは指示に基づき、各エンジンバルブおよび点火器のエキサイタスパークプラグを駆動

出典:2023年4月27日 JAXA「H3ロケット試験機1号機打上げ失敗原因調査状況」より
出典:2023年4月27日 JAXA「H3ロケット試験機1号機打上げ失敗原因調査状況」より

H3ロケットの1段が燃焼を終えて分離すると、「2段機体制御コントローラ」と「2段推進系コントローラ」という一連のコンピュータ(A・Bの2系統ある)が「2段エンジンに着火せよ」という信号を送る。「2段推進系コントローラ」に続く、2段エンジンを制御する「エンジンコントロールボックス」から先は1系統のみで、これはH-IIAから引き継いだ従来と同じ設計だ。

冗長系と呼んでいるのはA・B2系統の「2段機体制御コントローラ」と「2段推進系コントローラ」のことだ。H-IIAで1系統だった部分だが、H3の今後のミッションで予測される長い飛行時間に備えて、コンピューターの動作を確実にするよう2系統になった。

H3試験機1号機では、2系統ある2段推進系コントローラがエンジンコントロールボックスへ、手順通りエンジンの着火信号を送った。しかしその直後、2段推進系コントローラはA系、B系の両方で異常な電圧、電流の異常を検知した。そこでA系、B系ともに2段エンジンの機器への電源を供給を遮断し、点火器やバルブを駆動する電源が切られたためエンジンは着火せず、飛行を継続できなかったというわけだ。ここまではH3ロケット内部のことだが、地上の管制では2段エンジンの着火が確認できていないということをもって、安全のため指令破壊を決断しそれを実行した。エンジンが動作していないのでいずれにせよロケットは飛行できないが、指令破壊で早期に機体がバラバラにされたため、2段も1段落下地点からそれほど遠くない、計画された落下予想区域に落ちたものと考えられている。

2段推進系コントローラは、A・B2系統が独立して別々に動作する。A系が異常を検知して電源を遮断、B系に切り替え、B系も同じ判断で電源を遮断したのが今回の事象だが、これがもしB系に「もう後がない」ということを判断する仕組みがあったらどうなるだろうか? 電源の異常が誤検知によるもの、あるいは一瞬の電圧低下で回復の余地があるかもしれない。B系の2段推進系コントローラがバックアップとなってエンジンの着火シーケンスを進めるよう働いてくれればミッションを救えるかもしれない。本当に電源に異常が発生していて、エンジンの制御ができないなら、いずれにせよロケットはそれ以上飛べないのでB系がどちらの動作をしようと結果は変わらないはずだ。

守るべきは「飛行継続」ではなく「地上の安全」

冗長系がミッションを救うバックアップとして働くようにするためには、「B系はA系の動作を認知して自分の挙動を変える」ということが必要になる。これに対して、H3ロケットの岡田匡史プロジェクトマネージャは、「万が一、B系が壊れて間違った判断をした場合にその動作を波及させてしまうことになる」と説明した。つまり、本当に電源系に異常があって危険な場合、A系の電源遮断という判断は正しい。B系が危険な電源異常とそうでない一時的なエラーを間違いなく区別してA系の判断をひっくり返せるならよいが、コンピュータには誤判断ということがありうる。A系の動作をキャンセルする機能を下手にB系に与えると、せっかくA系が正しく判断した状況をB系が損なってしまうかもしれない。そうこうしている間にロケットの最後の安全装置である指令破壊が効かない状況に陥るかもしれず、また飛行機や船舶の航行を制限した安全に飛行できる区域から外れてしまうかもしれない。

出典:2023年3月16日 JAXA「H3ロケット試験機1号機打上げ失敗原因調査状況」より
出典:2023年3月16日 JAXA「H3ロケット試験機1号機打上げ失敗原因調査状況」より

つまり、フライトコンピュータにA系とB系という2系統が用意されていたのは、飛行中に検知した異常を精査してミッションを救うという意味でのバックアップではなかった。「ロケットを止められず、地上に危険な状況が生じることを防ぐ」ためのバックアップだったのだ。だからB系がA系の様子をうかがうようなことはせず、独立した2系統が淡々と自分の仕事、つまり電流、電圧をチェックして異常を検知したら遮断するという動作をする。そしてH3試験機1号機の場合は、1系統しかない2段エンジンの制御機器で電源ケーブルなどが損傷してショートした可能性が高いこともわかってきた。A、Bどちらの2段推進系コントローラが判断したとしても、電源を遮断するしかないトラブルだ。

「冗長系コンピュータがミッションを救える可能性はなかったのか?」という疑問は、真摯にH3の失敗に向き合おうとすれば誰でも抱く疑問だ。3月から続けられてきた調査・安全小委員会と続くプレスブリーフィング、また文部科学省の宇宙開発利用部会でもたびたびこの点に関する質問が出ている。事故直後に最初にこの質問をした木村教授は、4月28日の宇宙開発利用部会会合でこう説明している。「1軒の家に2つの電力会社から電気が来ているとしましょう。家の中のどこかでショートが発生しているとすれば、2つの電気系統を両方とも止めなければ、いずれ火災が起きて家を失ってしまいかねません。ロケットでいえば指令破壊という最後の飛行安全も効かなくなってしまうかもしれないのです」。

さてここまでは、「2段のフライトコンピューターが2系統あるのはなぜか。2系統が同じようにH3ロケットを止めてしまったのは正しかったのか」という疑問に対する検証だ。答えは「フライトコンピューターは万が一の際に地上を安全に守るために2系統ある。H3試験機1号機で発生したのは非常に危険な電気系統のショートというトラブルだったので、2系統のコンピュータの判断は正しい」となる。次のステップは、ではどのようにショートが起きないようにするのか、という対策だ。

特に、ショートした部分はH-IIAロケットとも共通の部分だ。そのため、確実にトラブルを防ぐことができるか、少なくともH3固有の条件で起きるとはっきりさせないかぎり、残るH-IIAの打ち上げ(小型月着陸実証機SLIMとX線分光撮像衛星XRISM、情報収集衛星)を再開することもできない。目下、原因調査はH-IIAを踏まえた原因の絞り込みと確実な対策案の立案を目指して進められている。電気系統のショートという現象は、犯人の可能性が複数箇所残る可能性もある。その場合であったとしても、「最後は複数箇所に対策しなければならないとしても確実に仕留める」というのがJAXAの方針だ。

具体的な対策は、5月中に次の有識者会合で示される予定だ。一方でJAXAは6月初旬に月探査機SLIMの機体公開を予定している。SLIMとXRISMは、現状では今年8月の打ち上げを目指して準備が進められている。機体公開はロケット側の対策に目処がたった兆候とも受け取れ、続いてH3の見通しも開けてくる可能性がある。試験機の手痛い失敗で足踏みを強いられているH3ロケット開発だが、ていねいに情報を開示しながら対策が進められている。衛星打ち上げロケットという巨大システムの設計思想から学べることも多い。

サイエンスライター/翻訳者(宇宙開発)

1990年代からパソコン雑誌の編集・ライターを経てサイエンスライターへ。ロケット/人工衛星プロジェクトから宇宙探査、宇宙政策、宇宙ビジネス、NewSpace事情、宇宙開発史まで。著書に電子書籍『「はやぶさ」7年60億kmのミッション完全解説』、訳書に『ロケットガールの誕生 コンピューターになった女性たち』ほか。2023年4月より文部科学省 宇宙開発利用部会臨時委員。

秋山文野の最近の記事