システム理論に基づく安全解析手法STPAの宇宙機適用について

摘要

スペースシャトル、ソユーズ、HTVなど国際宇宙ステーション（ISS）に関連する宇宙機システムでは、クルーの死傷を避けるために高い安全性が求められる。この様なシステムでは、2故障許容安全という考え方でシステムの安全化を図っている。一方で、ソフトウェアの積極的な導入により、宇宙機システムも複雑化·大規模化が進んでいる。現代の宇宙機システムにおいては、コンピュータ同士あるいはコンピュータと人間の間の複雑な相互作用を把握しきれず、故障がなくても事故に至ることがある（例NASA Mars Polar Landerの着陸失敗）。完全に安全なシステムを構築するとは不可能であるが、2故障許容安全を超えて、本質的により安全なシステムを設計することが、有人宇宙船を含む日本の宇宙開発を持続的に実現していくために重要になる。故障木解析（FTA）に代表される従来の安全解析は、システムを構成する機器の故障に着目し、事故が引き起こされないかを分析する。しかし、複雑化されたシステムでは、コントローラとコントロール対象の間の相互作用によっては、単純·軽微な故障により重大な事故が引き起こされる、あるいは故障なしに事故が引き起こされる。複雑化したシステムで事故への根本的な対策を施すには、その相互作用を安全解析した上で、システムを設計する必要がある。しかし、システムの相互作用は、開発の早い段階で設計されるものが多く、故障を前提とする従来の安全解析では対応が困難である。STPAは、コントローラとコントロール対象の間の相互作用に着目した安全解析手法である。詳細な機器構成が設計されていなくても適用可能な手法であるため、システム開発の早期からの安全解析を実施可能である。本発表では、現在の宇宙機安全設計の課題、および宇宙機システムを題材としたSTPAの適用研究結果を紹介し、STPAが宇宙機安全設計に与える効果を議論する。