H3 ロケット 1 号機、エンジン不着火の原因は搭載機器の過電流か 75
電流 部門より
JAXA は 16 日、2 段目エンジンが着火せず打ち上げ失敗に終わった H3 ロケット試験機 1 号機について、これまでの調査結果を宇宙開発利用に係る調査・安全有識者会合で報告した (NHK ニュースの記事、 朝日新聞デジタルの記事、 科学ライター大貫剛氏による会合の文字起こしツイート)。
報告によれば搭載機器の過電流検知により電気系統が遮断されて着火しなかった可能性が高いという。確認された事象としては「V-CON2 (飛行制御コンピューター)からECB(エンジン制御コンピューター)に点火指示が送られた直後、A系B系ともに自己診断プログラムが電源の電圧・電柱異常を検知。その後、エンジンバルブが作動せず、着火に失敗」というものだという。ただし、実際に過電流が流れたのか、それとも誤検知かといった点については現時点では分かっていない。
今回問題が起きた ECB 以下の電気機器は H-IIA ロケットと同等であり、H-IIA に問題が波及する可能性が懸念されている。一方で自己診断機能が搭載されたのは H3 ロケットからということで、科学ライターの大貫剛氏は、今までも起きていた過渡的な現象を自己診断プログラムが異常と判断した可能性を指摘し、冗長系の両方を同時に切ってしまう仕組みに疑問を呈している。
V-CON2A/2B が 2 段推進系コントローラ (PSC2) 経由で 2 段エンジンのコントロールボックス (ECB) へ着火信号 (SEIG) を出力し、ECB が SEIG を受信するまでは正常だったが、直後に A 系・B 系ともにエンジン駆動電源の異常を検知したため、下流機器への電源供給を遮断。同時にニューマティックパッケージ (PNP) へ供給する駆動電圧が A 系・B 系ともに下降したという。
両系統のエンジン駆動電源でほぼ同時に異常を検知するケースとしては、PSC2 による過電流の誤検知や、下流機器の正常動作範囲での過大な消費電流、下流機器の短絡等による過電流といった可能性があり、確認するための試験を実施中とのことだ
(有識者会合資料1: PDF)。
設計ミスかなー (スコア:4, 興味深い)
第1段エンジン燃焼開始の判断なら、停止する方向に倒すのは正しい。リトライできるから。まさに今回の延期がそう。
一方、空に上がってからなら、例え爆発の可能性があろうとも、継続するのが正しい。なぜならエンジン着火しない判断は即座にミッション失敗になるから。(※有人飛行なら別かもしれない)
つまり、そういう方針で設計していなかったという、設計ミスだね。
宇宙開発で良く聞く「ロバスト」になってなかった。
例えば他にも、フライトのシーケンスのなかで手遅れにならないタイミングで何度も再起動を試す、とかもやって良かったはずだが、おそらくやってない。(こういうケースは有人飛行なら手動でリトライしてるんだと思うが。)
この辺りの設計はH-IIAから同じって話があるので、今回たまたまエラーを引き当てた可能性もあるそうな。
運が悪いというか、ついに当たったというか。
失敗する可能性のあるものはいずれ失敗する、ってやつかなー。
#テストフライトだから比較的大目に見られてる気がするんだが、以前から内在してたとすると継続的な設計検証などもしていないと思われるし、JAXAあるいは三菱の組織内部の風通しに問題あったりもしそう。
Re:設計ミスかなー (スコア:2, すばらしい洞察)
この手の話題だと「異常が起きても大丈夫なようにしっかり多重化/冗長化しておくべき」なんて主張がよく出るけど
・どのような状態のときに異常と判断するのか
・異常が起きた場合はどのような対応をするか
・異常を検知するシステムの信頼性は
・冗長系への切り替えを安全に行うにはどうすればいいか
など、考えなきゃいけないことがかなり増えて複雑化することで、かえってトラブルが増えることも考えられるよね
そこらへんのトレードオフも考慮してどの部分をどのように冗長化するか考えないといけない
Re: (スコア:0)
HTV(こうのとり)の開発はNASAのツッコミが多くて大変だったと聞くけど、人命に関わるから「考えなきゃいけないことがかなり増えて複雑化」はやむなしで、思い当たることは全て考慮した設計なのかもね。おかげ(?)で10回失敗なしだったと思うし
Re: (スコア:0)
そもそも自己診断システムにも限界はあるからね。
自己診断システム自体が異常を起こしたり誤検知したりする可能もあるんだから。
結局、どこかで割り切るしかない。
そういやそんなんで落ちた飛行機があったような。
Re:設計ミスかなー (スコア:1)
ストーリーにもあるけど、冗長系の両方を止めてしまうのは設計ミスに見えるね。
電源が燃えるより破壊するより、電源止めてしまえばもっと悲惨なことになるのは目に見えてるのだから。
異常系の設計を一通り見直すとしたら、次の打ち上げはかなり先になりそう。
電源だけ見直すならすぐ飛ばせるだろうけど、それだとリスク抱えたままになってしまう。
Re:設計ミスかなー (スコア:3)
これが飛行のもっと早い段階における筐体GNDへのショートなどであれば、そこから発火に繋がり機体が爆発するような可能性も考えられます。すでにFTSを停止してもよいような領域で飛んでいるのだからイケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。
それより電源ユニットが同じ箇所に同じ信号を受け取る2基を並べる方法で冗長化されていたことへの批判の方が気になりますね。信号からアクチュエータまでの経路が分散したSPoFの鎖になってるんですよ、これ。
Re:設計ミスかなー (スコア:1)
> イケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。
地上の乗り物や機械なら止めたほうが大体は安全で例外はすごく少ないけど、
空を飛んでたら止めたら落ちるんですよ。
止めたら落ちるからエラーの時にどういう動作に倒すべきかを常に考えねばならない。
こんなのは飛行機の時点で延々とやられてる筈の事で、後知恵でもなんでもない筈。
……MRJがコケたのってもしかしてそういう事なんか……?
Re:設計ミスかなー (スコア:2)
継続して軌道投入まで漕ぎつけられるような故障だったら継続すれば成功したでしょうけど、止めたら人家にすっ飛んでいくような故障だったら人家に突っ込むでしょうが。飛行継続という動作に倒す方が安全であるという理屈が決まっていなかったのであれば、それこそ安易に継続には倒せないですよ。
ちなみに私のスタンスは(#4429180)です。
Re:設計ミスかなー (スコア:2)
日本の有人飛行への道は遠いですね。こんなこと真顔で言う人がいるんだもの……
Re: (スコア:0)
MRJは飛行機を売るではなく、飛行機を作ること自体が目的になってたから……
Re: (スコア:0)
今回H3では車載用のIC多数採用してるそうですが、車載のECUでは正にそういう制御をしてますよ。
ブレーキ作動中でなければエラー時に動作停止しますが、ブレーキ作動中であればエラーは通知だけしてブレーキ継続し、ブレーキ終了後に動作停止します。
こういうのは車載に限らずプラントや航空機等の止めるほうが危険な用途では一般的な制御です。
Re:設計ミスかなー (スコア:2)
それって少なくとも 1)継続で被害は縮小する可能性が高い 2)作動でユーザを傷つけるおそれはない とか条件がないでしょうか。
アクチュエータを作動する命令を発したら駆動電源電圧が異常に低下した、というおそらく想定になかった事態において、これは止める方が危険なのか止めない方が危険なのかを事前に言い切れたとは思いづらいです。ロケットは制御を失っていない限り、飛行経路上の前方どこか一点に落下します(慣性があるので直下には落ちません)が、崩れていてエンジンが作動していれば、落下しうる範囲は経路外の八方にも広がります。もしこの電源電圧降下が姿勢制御を失うような性質のものであれば、それは切って正解とも言えるんじゃないでしょうか。
そりゃ衛星が投入できてた方が嬉しいですけど、変な弾道軌道になってカリマンタン島とかに突っ込まれたら人災ですよ。
Re: (スコア:0)
> イケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。
まったくですよ。
日本の、三菱のモノづくりだよ。わかってる?
「両方がダメだった場合」とか進言したら、「キミは馬鹿かね(デスラー総統風)。両方正常動作するように作りたまえ」
って言われるだけだぞ。
Re: (スコア:0)
どうだろう。
下流機器を遮断しなかった結果、エンジンを着火できたとしても、他の機器に影響が波及して、姿勢とか方位の制御ができず、落下予想区域外に飛んで行ってしまう危険性もあるわけで。
フェイルセーフの設計としては間違ってないと思う。
Re: (スコア:0)
今回の場合、下流機器を遮断したら100%ミッション失敗なんですよ。
一方で、落下予想外の方位に行ってしまう問題に対しては、完全に独立した指令破壊のシステムがあるので、影響はありません。
だから念のために異常があった機器は全部止めよう、は問題なんですよ。
# 大貫氏は、別スレッドで航空機は異常があっても止めたら墜落する機器を止めてはいけない、という話もしていたり。まさにそんな感じな気がします。
Re: (スコア:0)
ミッション失敗は確実かもしれないけど、それは単にミッションが失敗レベルの話。
それ以上に姿勢制御に失敗した結果、有人地域に墜落とかなったら単なるミッションの失敗ではすまないだろう。
という話だと思うのだけど。
Re: (スコア:0)
それはそうなんですけど、そういう事故を防止するために指令破壊のシステムは他と独立して作られているらしく、そっちはより信頼性が高い(有人地域に墜落とかになったら致命的なので)と言うことなので、今回の機器はそれとは関係ないらしいんですよ。
(この発表の際の質疑応答でも同じような話が出て、上のような回答がされたと言うことでした。)
だから一般論としてはそうでも、今回の機器がその対処をする必要性は無いんです。
Re: (スコア:0)
実際今回も指令破壊はちゃんとできたわけだし
Re: (スコア:0)
結果論って指摘されますよ
Re: (スコア:0)
有人機(旅客機とか車とか)では、動かすにしても、止めるにしても、どちらにしても人命に関わるからこそ、一考の余地が生まれる。
無人機で、今止めれば確実に安全なのに、異常な状況で危険を冒して動かすのは、指令破壊という最終安全装置があるにせよ、人命よりも経済性を優先しているわけで、技術者倫理的にありえないと思う。
Re:設計ミスかなー (スコア:1)
この辺りの設計はH-IIAから同じって話があるので、今回たまたまエラーを引き当てた可能性もあるそうな。
運が悪いというか、ついに当たったというか。
失敗する可能性のあるものはいずれ失敗する、ってやつかなー。
>一方で自己診断機能が搭載されたのは H3 ロケットからということで、
単にH3の自己診断機能がダメなんじゃないの?
Re: (スコア:0)
まだ新しい1段目の挙動(振動、電力消費他いろいろ)がトリガーとなって起きたという可能性も残ってるよ。
Re:設計ミスかなー (スコア:1)
打ち上げの振動もその環境でのアクチュエータのノイズも
高度上がってからの宇宙線もエグそうだし計測のノイズは多いだろうな。
ロケット発射後なら過電流でも、それで爆発のリスクが高いとか、
他の系統を巻き込んで落とすレベルの短絡でないなら供給継続した方が概ね良さそうだよね。
アラートは欲しいけど、今回のはアラート基準決めるためのデータがない状態だし、
そもそも予備含めて止めたらどーせ落ちるんだし、
動かしてた方がどんなエラーでもワンチャンス増える。
Re:設計ミスかなー (スコア:1)
今回がどっちだったかは門外漢なのでわからないけどフェイルセーフはどちらが安全側か悩ましいこともあるね。
電気を止める方が安全側の場合もあれば止めないほうが安全な場合もあるだろうし、何もしない(現状維持)が安全側の場合だってあるだろう。
そういうのを考えて、何があっても合理的に説明できるのが設計者であり、極論、設計という仕事は説明をする役目なんだろうな。
もし設計した人が説明できないなら、それがそうなっている理由を誰も説明できない事になってしまうわけだから。
今回は既存品流用が関わってそうなのでここはいままで通りで大丈夫なはずと検証を省略した部分で裏目に出た可能性はあるかもしれないな。
Re: (スコア:0)
さすがに「冗長系の両方を同時に切ってしまう仕組み」云々ってのは全体を理解してない素人の勝手な推測と思いたいところだが…。
Re: (スコア:0)
むしろ「両方同時に異常を検知したのに、両方を切らずにどちらかは生かす仕組み」ってまともとは思えないんだけど
「一時的な誤検知に対応できるように~」なんてことをすればかえって思わぬ結果を招くこともありそうだし
Re:設計ミスかなー (スコア:1)
ふつーならまともじゃないけど、空を飛んでたら止めたら墜落するんだよ。
だから誤検知をフィルタするとかいう次元じゃなく、
異常であろうとも全部止めるよりマシなら止めるべきじゃない。
Re: (スコア:0)
ロケットの場合、トラブル時に噴射続けたら想定外のところ(とくに有人地域)に落ちる可能性が上がる
有人地域に落ちる可能性を最小化するのがロケット設計
Re: (スコア:0)
全部止めるよりマシか否かを判断することについて、
今自分が持っている情報の中に証拠がある保証は無いのと、タイムリミット(値は非公開)があって、今からリミットの間には状態変化があるかもしれないんだしょ?
マージャンより難しいようだから、マージャン弱い俺には判断無理だわ
Re: (スコア:0)
非常に単純に考えると、一段目と同じコンピュターモジュールを流用してコストダウンを図ろうとした。
何も考えずに一段目と同じ設計した。
フェイルセーフ発動。
ってかな。
Re:設計ミスかなー (スコア:1)
コストダウンもあるだろうけど、実績のあるシステムをいじりたくないというのもあったりして。
そして実績のあるシステムが潜在バグを持っていて、新規部分の影響で潜在バグを踏むのはありがちな気がする。
Re: (スコア:0)
記者会見でエンジン着火をリトライする様な設計にはなっていないと言ってましたね。
不用意にリトライして爆発するとテレメトリも回収できたいとか素人ながら想像できるけど、テレメトリってどれくらい遅れて送ってるんだろう
パワー系に負荷を投入したら電圧が落ちた (スコア:2)
……?
Re: (スコア:0)
突入電流って超基礎だよね。
Re:パワー系に負荷を投入したら電圧が落ちた (スコア:2)
というか、自分でモーターを駆動してみて電圧を見て実体験で知るような……
実績重視だから? (スコア:1)
> 両系統のエンジン駆動電源でほぼ同時に異常を検知するケースとしては、PSC2 による過電流の誤検知や、下流機器の正常動作範囲での過大な消費電流、下流機器の短絡等による過電流
変更点があった PSC2がまっさきに疑われるのかな。でも門外漢からみると電力を喰ってて二重化されてない、PNPやエキサイタ、およびその電源の引き回しがまず疑わしいんだけど。
ただ「PSC2の過電流判定の閾値設定が間違ってました。てへぺろ」という可能性が一番悲しい。
人類初から何年経っても (スコア:1)
ロケット打ち上げ失敗は普通のこと
地球から出るって本当に大変なことなんだな
Re: (スコア:0)
ロケット打ち上げ失敗は普通のことから一番離れたところにいるのは日本だぜ!が売りだったけど、
あっけなく崩れ去ったことを自覚するところからリスタート
Re: (スコア:0)
しかしほとんど唯一の売りを失っては競争力がないのでは。2回に1回失敗しても(そんなに失敗しないが)SpaceXに頼んだほうが安いとかなるでしょ
Re: (スコア:0)
H-IIを計画した当時のように、1ドル240円になれば競争力が回復するかも。
電柱異常を検知 (スコア:0)
最寄りの電力会社へご連絡ください。
いや待てよ。NTTか?
Re: (スコア:0)
H3大きいとは思っていたが、中に電柱建てるほどだったのか。
Re: (スコア:0)
なんでも3D化してるからな
点火の瞬間 (スコア:0)
ブレーカーを手で抑えておけば行けたのではないか
Re: (スコア:0)
光ファイバーじゃあかんのかな。
コストかな。熱かな。振動かな。
Re: (スコア:0)
過電流を検知してカットするような仕組みがついているのは電源ラインだ。
光ファイバーでどうする。
結局は (スコア:0)
計画的な中断じゃなかったのか
シンプルにエラーが起きてるなら失敗でいいのに
Re:結局は (スコア:1)
16日の打ち上げは、一貫して失敗ですよ。
Re: (スコア:0)
そして延々と中断と失敗が続く…
Re: (スコア:0)
そうなんですか?具体的に話してくださいませんか?