宇宙開発委員会 第7回安全部会 議事録(案) 1.日 時 平成17年9月28日(水)10:00~11:00 2.場 所 経済産業省別館 10階 1014会議室 3.議 題 (1)宇宙ステーション補給機(HTV)に係る安全評価のための基本指針の策定について (2)その他 4.資 料 安全7-1-1 HTVシステムのJISにおける安全度の位置づけについて【追加説明資料】 安全7-1-2 「宇宙ステーション補給機(HTV)に係る安全評価のための基本指針」(案) 安全7-1-3 「宇宙ステーション補給機(HTV)に係る安全評価のための基本指針」(案) とJEM安全評価基本指針との対照表 安全7-1-4 宇宙ステーション補給機(HTV)に係る安全評価のための基本指針の策定に関する 調査審議の結果について(案) 安全7-2 宇宙開発委員会 第6回安全部会 議事録(案) 5.出席者 宇宙開発委員会安全部会部会長 松 尾 弘 毅 〃 〃 部会長代理 青 江 茂 〃 委員 野 本 陽 代 〃 委員長 井 口 雅 一 〃 安全部会特別委員 工 藤 勲 〃 〃 熊 谷 博 〃 〃 後 藤 昇 弘 〃 〃 下 平 勝 幸 〃 〃 竹ヶ原 春 貴 〃 〃 花 田 俊 也 〃 〃 雛 田 元 紀 〃 〃 馬 嶋 秀 行 〃 〃 宮 本 晃 文部科学省研究開発局参事官(宇宙航空政策担当) 須 田 秀 志 〃 〃 参事官( 〃 )付補佐 水 藤 貴 靖 【説明者】 独立行政法人宇宙航空研究開発機構 有人システム安全信頼性管理室主幹 深 津 敦
安全9-3-1
6.議事内容 (1)議題(1)「宇宙ステーション補給機(HTV)に係る安全評価のための基本指針の策定につ いて」 JAXAから、「安全7-1-1」に基づき、前回の部会で指摘のあったHTVシステムのJ ISにおける安全度の位置づけについて、説明を行った。 主な質疑については以下のとおり。 【井口委員長】 JISとの関係はわかった。HTVはともかく高い信頼のものを作って欲しいという お願いからの質問だが、3ページの最後の文章、「HTVシステムは定量化については慎重に検討を要 する点が多い」というのはどういう意味か。やらない、やりたくないということの表現なのか。例えば、 共通原因故障で、同じソフトで同じバグを突かれて全部一遍に故障するという事象については、バグが 突かれる故障率がもしわかればすぐに計算できる話。どうも意味がわからなくて、何か言いわけをして いるような気がする。 最後のページに、ランダム故障という言葉が2カ所に出てくる。例えばデブリに当たるとか、宇宙船 に当たるなんていうのはランダム故障と取り扱うのが妥当だと思うが、今まで日本の宇宙開発の中での トラブル原因のほとんどは、設計上の見落としとか、製造上のミスである。これをランダム故障と扱う のか。わからないからそうするという手がないとは言えないが、私はそれは安易だと考えているので、 そのあたりは分けて考えてほしい。 【JAXA(深津主幹)】 今の御指摘に関して、この文章は不十分だったかもしれないが、定量化に ついて逃げたいということではなく、そういう解析は今の国際的な水準から見ても当然求められるべき ことであり、きちんと解析していくべきことであろうと考えている。また、委員長から最後に御指摘が あったように、ここでランダム故障といっているのは、電子コンポーネントに関する単純な故障率の計 算のところを指しているが、むしろそういったことよりは、これまでのJAXAの失敗というのは既に 設計時点で内在していたものが多かったので、そういうことをきちんと取り込むべきという意味で、単 純な数値計算ではないということから、定量化について慎重に検討すべきというふうに言ってしまった。 少しわかりにくかったということはあるかと思う。要するに、定量的な評価を今後推進すべきだという 観点は、JAXAもそのように考えている。 それから、設計に内在されたものが結局事故の原因になっているというところもそのとおりで、そう いう意味では単純な、いわゆる信頼度計算のみでよしとするべきものではないというところは理解して いる。 【馬嶋特別委員】 6ページに、JISでは独立な系統により冗長性を確保している場合には水準を1 桁ずつ向上させるということで、最終的にHTVシステムがSIL3以上に相当ということだが、7ペ ージのまとめの3つ目には、ランダム故障によりハザードの制御を喪失する安全関連系に対しては最大 で2重の故障許容策とある。5ページには、HTVが目指す領域はW1ではSIL1となっており、S IL1で、最大の2重の故障許容策ということを考えると、最大の故障許容策が取られていない部分は SIL2が入っていると考えられるが、どうしてSIL3以上と結論づけられるのか。 【JAXA(深津主幹)】 そこは説明を省略してしまった。HTVのシステムにおいて、確かに多重 冗長系が1重になっているところもある。ただし、その場合は、5ページの解析でいうところの、搭乗 員の死亡を前提にしたシステム構築ではなく、搭乗員のけがのみを考えた場合の多重防護系は1重系に しているというところ。当然、搭乗員の死亡を考慮したところには、すべて2重冗長系を前提に考えて いるので、そういう意味では、「最大の」という言葉は不要だったかもしれない。説明としては、搭乗
員の死亡が生じるようなハザードに関しては、すべて2重故障許容系を設置しているというところであ る。 続いて、事務局から、「安全7-1-2」「安全7-1-3」に基づき、説明を行った。 主な質疑については以下のとおり。 【竹ヶ原特別委員】 4/5ページのところ。例えば品質保証で、最終的には十分な検証というのが当 然行われなければならないが、HTV自身が最終的にはISSと接近・係留・離脱するというシステム である以上、検証の段階ですべてエンド・ツー・エンドの試験を行うというのは決してできないだろう。 例えばアラームの話だが、ISS本体側にアラームを持たせておいて、HTV側で何らかの不具合が発 生したとする。そのときの地上での検証の場合に、確かに不具合が起きたという信号は出るかもしれな いが、最終的にISSとあわせた形でのエンド・ツー・エンドをやらなければ、アラームが鳴ったとい うところまでは検証できないことになる。システムとして最終的なエンド・ツー・エンド・テストがで きないというものに対して、試験体制も含めて、どういうふうに十分な検証を行おうと考えているのか ということを教えていただきたい。 【JAXA(深津主幹)】 実際、HTVがつくモジュールである宇宙ステーションシステムそのもの は既に軌道上にあり、実物を用いた検証というものが実際できないことは事実である。しかしながら、 NASAとしては、そういう随時組み立てていくというシステムを踏まえて、軌道上にあるものと同一 なものをシミュレーターとして持っている。我々のような国際パートナーに関しては、そういうシミュ レーターを用いて検証することをやっている。そういうシミュレーターとの組み合わせの試験を行った り、地上との管制システムのエンド・ツー・エンドという意味では、米国と共同の試験を行うといった ことで検証を行うということになっている。NASA側のシミュレーターからの信号をもらう、または こちら側から信号を向こうに出して、それでつながることを確認するというやり方で検証はしていこう と思っている。それでどこまで十分かということは、今後の審議の中で御確認いただければと考えてい る。 【竹ヶ原特別委員】 わかった。機能・性能を評価するだとか確認する試験というのはよくできる試験 なのだが、何らかの不具合が発生したときにそれに対する安全対策がきちんととられているかという試 験というのはなかなかやりにくいというところがあると思う。どうしても技術者としては、性能確認な どの方に最初に目が行くかもしれないが、何らかの不具合が発生したときに、それに対する対策がきち んととられているかという部分をみる試験計画をきちんと考えてもらえればいいと思う。 【松尾部会長】 大変貴重な御意見。その辺の具体的な話については、評価のときにいろいろお伺いす る機会があると思う。 【井口委員長】 5/5ページの右側の太い線の括弧の中の(2)誤操作等の防止の部分だが、こんな ことも知らないのかと誰かに言われないようにという心配からだが、2行目の誤操作及び操作忘れの発 生を防止するため、自動化するという考え。それから、その後の「また」以降が、古典的人間工学とい うか、いわゆるフールプルーフを書いている。現在はその中間に、適切な言葉が浮かばないが、一種の インターロックというような表現でいいのか、つまり、システム側で、ある範囲であれば何をオペレー ターがやろうが安全であるという安全限界をしっかり決めて、それをはみ出さないようにするというよ うなことをやる。そこが抜けている。それがないじゃないかと誰かに言われたときに、宇宙関係者はそ んなことも知らないのかと言われないように、何か入れておいた方がいいような気がする。 【松尾部会長】 そこのところは、挿入することは可能だと思う。「可能な限り自動化すること」の次 あたり。これは私の方で最終案の前に考えさせていただく。パブリックコメントとの関係はどうなるの
か。それで再度やる必要はあるか。 【須田参事官】 大幅な修正がない限り、必要ないと考えている。 【松尾部会長】 わかった。その件は少し考えさせていただく。 【井口委員長】 お任せする。 【下平特別委員】 今の件、表現すると非常に中間的なものをどうするかなかなか単純な文章では書き 切れないので、「可能な限り」という表現を使っているが、ややグレーなところがあるかなというよう な気がして文章を見ていた。ただ、スレッシュホールドをどこに持っていくか、どこにインターロック するかといったことや、人工衛星の場合もそうだが、自動化が非常に危険であるということで、逆にマ ニュアルが信頼できるというようなことがある。これについては、評価の審議のときに、自動化の程度 であったり、その裏づけであったり、オーバーライドをどの程度やるのかというような観点で見ていけ ばいいかなと思うが、いかがか。 【松尾部会長】 わかった。ここは「可能な限り」という表現にとどめておいて、審議のときにそこの ところを忘れないようにという御注意だと思う。それでよろしいか。 【馬嶋特別委員】 4ページ、2番目の信頼性のところのエの自動機能に対するオーバーライドのとこ ろだが、最終的には事故を防ぐのに非常に重要なところであると認識している。それで、「オーバーラ イドができること」と書いてあるが、時間がかかったり手間がかかってもオーバーライドができればそ の表現で通用してしまうので、緊急事態に対応とかという視点を入れていただけたらいい。 【松尾部会長】 緊急かつ確実にといった趣旨のことか。 【馬嶋特別委員】 そのとおり。 【松尾部会長】 わかった。 【後藤特別委員】 今後の話になると思うが、これに基づいて数値的な設計目標が立てられて、それに 基づいて物が作られていくと思う。ただ、この文章もそうだが、すべて言葉で書いてあるので、工学的 によくわからない。だから、例えば誘導・制御のところで「安全な経路」というのはどういう定義なの かということや、それに基づいてどういう設計がなされるのかということ、つまり数値的なものがどう いうふうな形で今後作られていくのかという経過を我々は知ることができるのかどうかということをお 聞きしたい。それが評価に入るのであれば、その場で、もう一度、そういう数値目標を含めて評価をや るのかどうか。あるいは、先ほどの竹ヶ原委員の検証のことも含めてやるのかどうか、その辺の考え方 をお聞きしたい。附属文書で数値的な目標をこれにつけるのかどうかということ。 【松尾部会長】 前半の方は、今後これを数値化してやっていくときの過程を、一々我々が報告を受け るかという話だと思うが、それは格別のことがない限り、ないと思っている。それは評価のときにまと めて、どういう考え方だったのかということを伺う。定量的かつ具体的にどうするかという話は、実施 機関に委ねたい。仕上がりについて、ここで評価させていただく。 それから、前回から話があった、行く行くは指針が評価基準みたいなものにならないか、そこまで踏 み込めないかという点。それは、いろいろな評価の議論を通じて、評価基準に値するようなものを逐次 蓄積していき、最終的にはそういうものができればいいと思っている。ただ現状においては、ここで独 立の立場で基準の数値的なところまで踏み込むのは荷が重いのではないかと思っている。 【下平特別委員】 JAXAの中では設計グループと、安全グループというのが分かれていて、安全グ ループがこの指針を受けて設計グループの作業をレビューしているという機能を持っているのだろうと 思う。したがって、その機能によって、安全部会の指針をもとにしてJAXA内部で審議されているだ ろうと思う。結果的には、最終的にこの委員会で、結果の報告を受け、それを確認するという形態では ないかと思うが、ここが細かい審議をするということになると、ちょっとJAXAの中の安全機関の機 能との兼ね合いがでてくるので必要ない気がする。
【水藤補佐】 事務局の方から補足だが、今後の指針を用いた評価については、設計をかためて、その 設計による安全設計の内容と検証の計画というところまでを評価していただくのが次の段階になる。そ の評価をいただいた後に、最終的に物を作って検証した結果しっかりとしているということを評価して いただくということになり、この2段階の評価のステップを考えているので、その中で確認していただ きたい。あと、JEMの経験でいうと、設計段階の安全部会の評価の際には、物を見た方がイメージが わくだろうということで、筑波宇宙センターで物を見ていただくという機会を設けたこともある。その 辺のやり方については、また事務局と部会長と御相談させていただきながら進めたいとは考えている。 【工藤特別委員】 私はかねてからリエントリーについては何度か質問してきている。指針として、こ ういう書き方もあるのかなとは思うが、私が心配していた最も大きな理由は、JAXAの中でハザード として認定される19項目の中にリエントリーが入っていない点。例えば50キロのチタンタンクが地 上に落ちてくるということははっきりしているわけで、それはハザードとして識別されるべきじゃない かと思う。このまま放っておくと、次の安全部会の評価のときには、そのまま素通りしてしまうのでは ないかということを非常に恐れている。ハザードに対してはいろいろJAXAの方で対策を立てている ということは私も認識しているが、それが識別されていないというのは非常におかしいということで質 問している。 【松尾部会長】 リエントリーや打上げについては別途に解析が必要であるということで、JAXAの 内部的にそれが考慮から欠如していたということはあるのか。 【JAXA(深津主幹)】 もともとステーション近傍ということで19件挙げさせていただいたが、 前回の部会でプロジェクトチームから説明したとおり、再突入に関することに関しては、別個大きな課 題として解析を進めている。したがって、JAXA全体としては、危険事象の一つとして考えているの で、19件とは別に重要な事項という形で解析を進めていたということ。 【工藤特別委員】 わかった。その説明があれば、何度も質問する必要はなかった。 【井口委員長】 これは安全審査のための指針で、先ほど部会長が、これからHTVというのはJEM と違って何回も打ち上げるので、そのたびごとの経験を踏まえながら基準のようなものができればと言 ったが私もそれを望んでいる。私は今まで、自動車の安全基準とか、それから鉄道の安全基準の作成に かかわってきた。そのときの基本的な考え方は、政府基準というのは最低基準ということ。これを守れ ないようではどうにもならないということ。だから、実際の実行者は、経営判断はいろいろあるだろう が、それよりはるかに上のことをねらうのが社会的な責務であるという考えである。宇宙の場合、果た してこれがどうか。ここで決めたのは最低基準であって、これさえパスすればお墨つきをもらったとい うように考えてもらっては困るのではないか。もっと上の部分やプラスしたところをねらってほしいと 私は思っているが、この審査指針の性格はどうなのか悩むが。 【下平特別委員】 委員長のお話のような最低レベルのことがここに書かれているのだろうということ で、私も見ていた。各個別の要素として、材料とか構造とか電力とか制御というところを見れば、オー バーライドの問題も含めてだが、少しこれは抜けているかなと思いながらも、最低限この文章で大体ベ ースができているというように思いながら文章を読んでいたので、今の委員長の御指摘に私は合ってい たような気がする。ただ、JAXAの中で、設計基準か要求要件といったもう一つ大きな作業に入ると、 この指針とは違う要求が出てくるのは当然だろうと思う。それは、多分NASAも入っていろんな意見 が、そこで追加されるので、これは指針をベースにまた追加されると見ておかれた方がいいような気が する。 あと、先ほども人工衛星はランダム故障にみんな取り扱うという話があったが、信頼性の設計は全部 ミニマムとしてランダム故障からスタートするが、本当にランダム故障かということが、内部での審議 のときに一番大きなテーマになっていると思う。そういう意味では、ここではあくまでもこういうベー
スになる要求だけをしている。あとはいろいろな審議の中で追加されていくというように私は見ている。 【松尾部会長】 それでは、よろしければ、本日幾つか、細かい点ではあるが修正あったので、その 文言の修正については私に一任いただいて、必要な修正を加えた上で本部会としての指針とすることで よろしいか。 (了承) 【松尾部会長】 それでは、この指針については、後日、宇宙開発委員会に報告させていただく。 続いて、事務局から、「安全7-1-4」に基づき、説明を行った。 主な質疑については以下のとおり。 【松尾部会長】それでは、この資料をこの部会における調査審議の結果としてよろしいか。 (了承) (2)議題(2) その他 事務局から、「安全7-2」に基づき説明を行った。 ―― 了 ――
