写真提供:マイナビニュース

写真拡大

●2重のミスが衛星の致命傷に
宇宙航空研究開発機構(JAXA)は5月24日、文部科学省・宇宙開発利用部会の第三者委員会において、X線天文衛星「ひとみ」(ASTRO-H)の事故について、詳細な報告を行った。JAXAは設計段階まで遡り、事故の要因を分析。そこで見えてきたのは、安全性や信頼性に対する意識の低さだ。ひとみ1機だけの問題ではなく、組織の体質まで問われそうだ。

この第三者委員会は、JAXAがまとめた要因分析を技術的観点から検証するため設置されたもの。初開催となる今回は、異常が発生したメカニズムの要因分析について議論され、対策や改善事項については次回の議題となる予定だ。

○2重のミスが衛星の致命傷に

前回のレポートの時点で、事故のメカニズムについてはほぼ明らかになっていたが、今回JAXAは、全87ページからなる詳細な調査報告書を提出。何が起きていたのか、より詳しい状況が見えてきた。今回明らかになった点について、まずはまとめてみよう。

スラスタ制御パラメータの設定ミスはなぜ見つけられなかったのか
今回、ひとみの致命傷となったのは、このミスだった。異常発生時に、衛星を安全な姿勢に移行させるのがセーフホールドモードであるのだが、このときに使われるスラスタの制御パラメータが間違っていたために、ひとみは回転を収束するどころか加速してしまい、衛星の破壊に繋がった。

衛星の"最後の手段"である重要な部分に、なぜこんな深刻なミスが生じたのか。当初から大きな疑問であったが、JAXAの説明によれば、データ入力の誤りと、シミュレータによる検証漏れという、運用時の2つのミスが重なったのだという。

衛星のX/Y/Z軸回りにトルクを加えようと思ったとき、ひとみの姿勢制御系は「RCS駆動マトリクス」という行列を使用して、各スラスタの噴射時間を算出する。今まで「制御パラメータ」と呼ばれていたのは、この4行6列の行列の24個の要素のことだ。

打ち上げ時、この行列は通常の手続き通りに検証されており、問題は無かった。だが、軌道上で太陽電池パドルなどを展開し、質量バランスが変わったため、行列を再計算して衛星に送信したのだが、このときに必要な手順が抜け、誤ったデータを送信してしまったのだ。

この行列は、スラスタの推力データを元に、ツールを使って生成する。この出力データはさらに別のツールを使ってバイナリに変換するのだが、この2つのツール間の連携は自動化されておらず、手動の作業だった。ここで、本来ならマイナスの値はプラスに変換した上でデータを入力すべきだったが、これが行われなかった。

根本的な問題は、このパラメータ変更は打ち上げ前からわかっていたことなのに、運用計画の文書に明確な記述が無かったことだ。そのため作業訓練は実施されておらず、当日の指示が曖昧になってしまった。上記2つのツールも「運用ツール」に入っておらず、開発ツールをそのまま活用。手順書が無く、担当者は符号を変えることを知らなかった。

もし誤ったパラメータを作成したとしても、シミュレータによる検証さえ行われていれば、おそらくそこで発見できたはずだ。だが、運用支援業者の担当者間でその必要性が伝わっておらず、実施されなかった。またJAXAも、その完了を確認しなかった。

スタートラッカのリセットはなぜ起きたのか
事故の発端となったのは、姿勢変更後に、スタートラッカが途中でデータ出力を中断し、慣性基準装置(IRU)のバイアスレート(誤差推定値)が高止まりしてしまったことだ。これで衛星は実際には回転していないのに、回転していると思い込み、それを止めるために、1時間に22度というゆっくりした速度で回転を始めた。

スタートラッカは通常、起動すると「捕捉モード」になり、視野内に見える星とカタログデータとのマッチングを開始。姿勢を特定したら「追尾モード」になり、姿勢データを4Hzで出力し続ける。今回は、スタートラッカが何らかの原因により、追尾モードから捕捉モードに戻ったと推測されている。

しかしJAXAによれば、事故までに19件、今回と同様に追尾モードから捕捉モードに戻ったりする事象が発生していたという。そのほとんどは、視野の中に地球が入る「地蝕」が原因だったため、地蝕時には使わない運用で回避していたが、それ以外に視野内の星が少ない時にも発生しており、星検出パラメータのチューニングを進めているところだった。

視野内の星が少ないと、姿勢推定の誤差が大きくなり、安定して追尾できなくなる。筆者は今回の事象について、放射線によるシングルイベントではないかと考えていたのだが、当時の視野を解析したところ、明るい星が少なかったことがわかり、同じ原因で発生したものと考えられる。

ここで大きな問題は、スタートラッカのこの問題がまだ解決していないにもかかわらず、内之浦局からの可視がしばらく無いようなタイミングで姿勢変更を実施したことだ。もし、姿勢変更終了後すぐに可視があるタイミングだったら、その時点で異常に気付き、回転を止められた可能性がある。

長時間の不可視時に姿勢変更を実施するのは、今回が初めてだった。報告書の中で、JAXAは「時期尚早だった」と結論づけたが、どういう条件が揃えばこの運用を開始して良いか、姿勢制御系のチェックアウト計画では定められていなかったという。結果として、スタートラッカがまだ不安定だったのに実施したわけで、検討不足だったと言えるだろう。

●問題は設計時からあった
○問題は設計時からあった

以上は運用フェーズに起きた問題であったが、JAXAは今回、設計フェーズ、製造・試験フェーズにおいても問題が無かったか検証。製造・試験フェーズについては問題無しとされたが、設計フェーズについてはさまざまな問題点が指摘されている。

事故の背景に見えるのは、安全性や信頼性に対する意識の低さだ。姿勢制御系の設計において、より良い観測条件を確保するための要求は詳細だった一方、安全性や信頼性に関する要求は少なかったという。この結果、機能の実現が最優先になり、バランスを欠いたシステムになったとJAXAは見る。

そのひとつの例が、姿勢推定のアルゴリズムだ。IRUのバイアスレートは、スタートラッカとIRUの計測値から、カルマンフィルタを使って決めている。ひとみでは、このゲインを高く設定。姿勢変更後、スタートラッカの追尾が始まると、バイアスレートが一時的に大きくなるが、ゲインが高いと早く収束し、観測時間を長く確保できる。

今回はまさに、この一時的に大きくなったタイミングでスタートラッカの出力がストップし、バイアスレートが高止まりしてしまった。もしゲインが低く設定されていたら、姿勢安定までの時間は長くなってしまうが、バイアスレートは大きくならず、スタートラッカが数分後に復活した時点で、収束に向かったはずだ。

また衛星に搭載されたスタートラッカは第3世代の新規開発品で、軌道上実証はひとみが初めてだった。にも関わらず、姿勢推定のロジックや星検出のパラメータは、捕捉の速さや精度に重点を置いて設計されており、実際の使用条件を考慮したロバスト性の検討が不十分だったという。

ところで、ひとみには太陽センサーが搭載されているので、もし姿勢異常の検出に使われていれば、ゆっくり回転を始めた時点で異常に気付き、自動で対処できた可能性がある。これはなぜ使われていなかったのか。

ひとみの太陽センサーは、角度の大小がわかるのは20度まで。それに対し、ひとみの観測時には、太陽に対して30度まで姿勢を傾けることがあるので、20度以上になったときに異常と判断すると、不必要にセーフホールドモードに移行する可能性があった。そのため、観測の継続性を優先させ、太陽センサーは使わないことになったのだ。

ただし、この太陽センサーは20度以上になっても、41度までなら、太陽の有無だけはわかる仕組みになっていた。今回のように、IRUによる姿勢推定が誤る可能性は設計段階で指摘されており、41度を外れたときに姿勢異常と判定するロジックも検討されたが、それは採用されずに運用で対処する方針となったそうだ。

JAXAによれば、ひとみの姿勢制御系は基本的に、なるべく自動で性能維持/機能維持するよう設計されており、観測時間の減少に繋がるセーフホールドモードへの移行は必要以上に実施しないよう考えられていたという。だが、たとえば最初のうちは念のため同モードに入りやすくしておくなど、柔軟な運用も考えられたのではないだろうか。

なお今回の事故では、リアクションホイールの角運動量が上限に達したため、スラスタでセーフホールドモードに移行することになったが、その前の段階であれば、同モードへの移行にはリアクションホイールが使われる。リアクションホイールに異常は無かったので、おそらく問題無く同モードへ移行できたはずだ。

○徹底した背後要因の検証を

今回の報告書で、事故についての事実関係は良くわかった。今後、重要になってくるのは、「なぜこの事故が起きたのか」の部分の検証だろう。

対策や改善事項については次回の議題となるが、出席した委員からは、「問題がどこにあるのか。技術なのか制度なのか費用なのか。そこが明らかにならないと、対策が個別の原因のパッチ当てで終わってしまう。背後要因まで突き止めないと、いずれ別の形で問題が再発する」という意見も出ていた。

もしこうしていれば事故は防げた、という点はいくらでも考えられる。しかし、実際に事故は起きてしまい、今から取り消すことはできない。そうであれば、徹底的に情報をオープンにして、組織文化や歴史的経緯まで深く掘り返した上で、根本的な要因を突き止めるしかない。それが、ひとみを「無駄」にしないための唯一の道だ。

(大塚実)