X線天文衛星「ひとみ」運用異常で改めて認識した 宇宙開発を取り巻く状況変化と対策 ~今後に向けたメッセージ~ 2016/12/13 クリティカル ソフトウエア ワークショップ(WOCS2) JAXA 信頼性統括 武内信雄 1 ー 目 1. 2. 3. 4. 5. 6. 次 - X線天文衛星「ひとみ」異常事象 X線天文衛星「ひとみ」異常水平展開 宇宙開発を取り巻く環境の変化 S&MA活動の方向性 宇宙用ソフトウエアの方向性 おわりに 2 1. X線天文衛星「ひとみ」異常事象 (1) X線天文衛星「ひとみ」 (ASTRO-H) ミッション概要 ASTRO-Hは,ブラックホール、超新星残骸、銀河団など、X線やガンマ線で観測さ れる高温、高エネルギーの天体の研究を通じて、宇宙の構造とその進化の解明 を行う天文衛星. X線やガンマ線は、地球の大気に吸収されてしまうために、地上に到達することが できない。そのため宇宙で観測することが必要. ASTRO-Hは、「すざく」の後継として開発され、JAXA、NASAをはじめ、国内外の大学、 研究機関の250人を超える研究者が開発に参加するX線天文学の旗艦ミッション。 大規模な国際協力で開発された4種類の新型観測システムが搭載され、「すざく」 にくらべて10倍から100倍も暗い天体の分光観測が可能となる. 3 1. X線天文衛星「ひとみ」異常事象 (2) ASTRO-H衛星外観 主要諸元 項目 諸元 名称 X線天文衛星ASTRO‐H 予定軌道 種類: 円軌道 高度: 約575km 軌道傾斜角: 31.0度 周期: 約96分 設計寿命 3年 質量・サイズ 約2.7t,14m×9m 発生電力 EOL3年3500W ミッション機器 ・硬X線望遠鏡(HXT) ・軟X線望遠鏡(SXT‐S,SXT‐I) ・硬X線撮像検出器(HXI) ・軟X線分光検出器(SXS) ・軟X線撮像検出器(SXI) ・軟ガンマ線検出器(SGD) X線天文衛星ASTRO-H軌道上外観図 4 1. X線天文衛星「ひとみ」異常事象 (3) 運用スケジュール 2/29 2/17打上 4月中旬ごろ 3/26 6月ごろ(当初予定) (当初予定) Phase0 クリティカルフェーズ 11日間 衛星バス機能確認・ SXS試験動作・EOB伸展 Phase1 較正観測フェーズ 約6週間(予定) 初期機能確認フェーズ 約6週間 全観測機器立上げ 通信異常発生 試験観測フェーズ 約6か月(予定) 衛星に搭載された観測機器の個性を把握し、観測 精度を高めるために、これまでによく観測されてき た天体などを観測する リフトオフ L-0 (2/17) L+1 (2/18) SAP展開、 姿勢系立上げ L+2 (2/19) L+3 (2/20) L+4 (2/21) 姿勢系チェックアウト ①-1:SXS予冷冷凍機立上げ・冷却待ち L+5 (2/22) L+6 (2/23) L+7 (2/24) 試験観測用の 姿勢制御試験 ①-2:SXS-ADR冷凍機立上げ 観測可能温度でのチェックアウト クリティカルフェーズ(EOB伸展まで) L+8 (2/25) L+9 (2/26) ② SXS試験観測 L+10 (2/27) L+11 (2/28) L+12 (2/29) ③ EOB伸展準備、 伸展 搭載機器 動作確認 5 1. X線天文衛星「ひとみ」異常事象 (4) 事象発生後の地上観測の状況 4/1深夜:ASTRO-Hの軌道周辺の全11物体分の軌道情報がJSpOCより公開された。 • そのうちの2物体(41337、41442)についてはJAXAも軌道を特定している。 • 11物体の軌道を逆伝播すると、ある時間帯で一点に集まる。 10000 41442 9000 41438 41337 41439 80001 41440 80007 41441 80009 8000 41337 80010 41443 80015 7000 41444 80016 41445 80039 Rnage [km] 6000 41446 80040 41447 80051 80052 5000 4000 3000 2000 1000 0 3/26 0:00 3/26 12:00 3/27 0:00 3/27 12:00 3/28 0:00 3/28 12:00 3/29 0:00 3/29 12:00 日時[UTC] * JSpOC: 国防総省戦略軍統合宇宙運用センター;Joint SpaceOperations Center 6 1. X線天文衛星「ひとみ」異常事象 (5) 異常発生メカニズム 概要 3月26日以前の天体指向に伴う姿勢変更運用の動作遷移 IRU*誤差推定 値の一時的 増加 姿勢変更運 用の終了 IRU誤差推 定値が高 い値を保持 IRU誤差推定 正常値内 へ収束 天体指向 大きな誤差推定 値に基づき制御 し姿勢が回転 姿勢回転 が継続** 復旧運用 スラスタ セーフホールド スラスタ セーフホール ド制御異常 異常発生メカニズム① (シミュレーション、FTA実施) 異常発生メカニズム② (シミュレーション実施) 衛星異 常回転 異常発生メカニズム③ (シミュレーション実施) 異常発生メカニズム④ (構造解析、FTA実施) 【発生イベント】 マヌーバ終了 (計画では03:22頃。非可視中) 姿勢異常発生 姿勢異常継続 (MSPテレメトリから逆算して04:10 ごろと推定。非可視中) MSP(05:49-06:02) MSP(07:31-07:44) MGN(09:52-10:04) 複数物体の分離 (JAXA推定時刻で 10:37頃) MSP: JAXAマスパロマス局 7 MGN: JAXAミンゲニュー局 1. X線天文衛星「ひとみ」異常事象 (6) 推定される衛星状態と判断 衛星全体は大きな角速度で回転 太陽電池パドル両翼が破断し分離 EOBが破断し先端の観測機器と共に分離 バッテリ枯渇 今後衛星が機能回復することは期待できない状態にある と判断し、復旧に向けた活動は取りやめた。(4月28日) 8 1. X線天文衛星「ひとみ」異常事象 (7)設計・運用の前提と問題点 設計フェーズの状況 ASTRO-Hは「すざく技術を最大限継承した設計」を採用. <姿勢系に関する設計の基本的考え方> ① サイズアップに伴い熱歪・擾乱が増す中で、高指向決定精度・高指向安定度を 実現する。 ② 機体サイズに起因する大きな重力傾斜トルクに対応するために、大角運動量を 有するRWや大きな外乱除去トルクを発生可能なMTQを搭載する。 <故障検知分離回復(FDIR)に関する設計の基本的考え方> セーフホールドモード移行による観測時間減少を避けるため、定常制御中の動作は、 「自動で性能維持可能」もしくは「自動で機能維持可能」となるよう冗長系を確保し、 不必要に「安全退避」モードに移行しない設計とする。 9 1. X線天文衛星「ひとみ」異常事象 (7)設計・運用の前提と問題点 設計フェーズでの問題点 ① 姿勢制御系の設計においては、 より良い観測条件を確保する要求が強く、 安全・信頼性に関する要求が少なく、その結果、 ASTRO-Hプロジェクト及 び設計業者共に、システムとしての安全性を欠く結果を招いた。 ② 姿勢制御系の設計において、打ち上げ後の初期運用フェーズに負担がな いように、パラメータの設定をあらかじめ用意して切り替えるか、差分のみ の変更を行うなど、設計段階で検討すべき事項が十分でなかった。 ③ 設計審査会等での懸念事項を網羅的に管理できていなかった。ASTRO-H プロジェクトにおける確認、及び第三者によるISAS主催の審査会等の確認が 不十分であった。 10 1. X線天文衛星「ひとみ」異常事象 (7)設計・運用の前提と問題点 設計フェーズでの問題の背後要因 ① ASTRO-Hプロジェクトの体制において、プロジェクト管理とサイエンス成果創出の 役割の違いと分担、及びそれぞれを担う人材の能力要件が不明確であった。 ② プロジェクトのシステムが複雑かつ大きくなり、ISASが実施してきた従来の 方法ではプロジェクト管理や衛星の安全性の確保が十分でないことを予見で きなかった。 ③ ASTRO-Hプロジェクトと、設計担当業者、及びそれぞれに所属する研究者 と担当者の役割分担と責任関係が不明確なまま開発を進めた。 ④ 設計段階で検討すべき事項や審査において、第三者によるシステムの安 全・信頼性を確認する仕組みや手法が効果的に機能していなかった。 11 1. X線天文衛星「ひとみ」異常事象 (7)設計・運用の前提と問題点 運用フェーズの状況 <運用計画> ① 衛星運用は、ASTRO-Hプロジェクトが主体となって実施する体制 ② クリティカルフェーズは、 ASTRO-Hプロジェクト・製造担当者・運用支援業者等で 協議の上、運用支援業者が作成し、 JAXA ASTRO-Hプロジェクトが承認する体 制をとっていた。 ③ 打上前のH27/8からH28/2にかけて、上述のメンバで構成される運用調整会を約 20回打上前に実施した。 ④ これらを踏まえ、クリティカルフェーズにおける計画・手順を、運用計画を規定する 文書(初期運用計画書) で制定した。 ⑤ ただし、EOB伸展直後の質量特性変化に関するパラメータ変更運用については、 運用調整会の場では議論されず、運用を規定する文書に記載されなかった。 12 1. X線天文衛星「ひとみ」異常事象 (7)設計・運用の前提と問題点 運用フェーズでの問題点 ① 異常発生メカニズム①関係(STT挙動、AOCS設計) • 打上げ後、STTに係る不明事象(追尾モードから捕捉モード等に戻る事象や追尾 モードに移行するのに時間がかかる事象)が複数発生したが、問題が解決され ないまま、 STTを地蝕時にスタンバイとする対応で、 初期確認運用および 試験観測が続けられた。(STTパラメータチューニングも未了であった)。 ② 異常発生メカニズム②関係(FDIR挙動) • • 連続非更新回数をテレメトリ出力して、運用で対処する方針となったが、具体的な 運用への申し送りが不十分であった. 姿勢変更マヌーバを可視終了の間際で実施し、その後の海外局ではレンジン グ運用のみとしていたため、非可視時間帯における衛星状態を確認できな かった。(人が判断できないところで重要なことを実施した) 13 1. X線天文衛星「ひとみ」異常事象 (7)設計・運用の前提と問題点 運用フェーズでの問題点 ③ 異常発生メカニズム③関係(パラメータ設定) • 直接的な要因は「パラメータ作成時のデータ入力誤り」と作成後の「検証の 漏れ」 • 人的ミスは起こりうるものとして衛星総合システムとして構築されていなかっ た。 ④ 異常発生メカニズム④関係(物体の破断・分離) • 今回の事象では、構造設計よりも厳しい荷重条件が発生・付与されたもので あり、運用に関わる課題は特にない。 JAXA ASTRO-Hプロジェクトは、衛星の初期運用段階のリスクを過小評価 し、システムとしての安全性を欠く結果を招いた。 運用計画書、手順書・マニュアル、要員の訓練等の運用の準備に対する重 要性を過小評価して、計画書や手順書の整備や運用訓練が不十分だった。 14 1. X線天文衛星「ひとみ」異常事象 (8) 対策 <事象の直接的要因> 1.STT挙動 2.AOCS設計 3.太陽角異常 FDIR 4.不適切な パラメータ設定 <フェーズ毎の課題要因> <設計フェーズの課題> ・安全性を含めたシステムとして のバランス欠如 ・設計段階での検討不足 ・設計審査会等での懸念事項を 網羅的管理不十分 <製造・試験フェーズの課題> ・特に問題なし <運用フェーズの課題> ・初期運用段階でのリスクの評 価が不十分 ・運用準備に対する重要性を過 小評価し、計画書や手順書の 整備、運用訓練が不十分 <背後要因> 1)プロジェクトチーム 体制における不明 確さ 2)役割分担と責任関 係が不明確 3) 第三者による確 認の仕組みや手法 が不十分 <対策(手段)> プロジェクト運営 1.ISAS内のマネ ジメントの見直し 体制 2. ISASと企業と の役割・責任分 担の見直し 文書化 1) 安全に運用する 意識不足、及び体 制不備 2) 確実に運用する ための基本動作が 出来ていなかった 3) 運用よりも開発が 優先され、運用準備 が後回しにされた 3.プロジェクト業 務の文書化と品 質記録の徹底 審査 4.審査/独立評価 の運用の見直し 15 1. X線天文衛星「ひとみ」異常事象 (8) 対策 ① ISASプロジェクトマネジメント体制の見直し • プロジェクト管理に責任を持つPM(Project Manager)とサイエンス成果の創出に責任を持つ PI(Principal Investigator)を明確に区別し、またシステム全体を担当するシステムマネー ジャによる体制を構築し,ミッション達成を確実に行う. ② ISASと企業との役割・責任分担の見直し • 大型かつ複雑なシステムの開発を進めるに当たって、設計・製造の一元的な管理に基づく システムの安全性を確保するため、契約上も実行上も企業との役割分担及び責任関係を 明確にし、システムに責任を持つ企業と契約し、先端的科学ミッションを確実に実現する。 運用についても、ISASと企業との役割分担及び責任関係を明確にした体制を構築する。 ③ プロジェクト業務の文書化と品質記録の徹底 • ISASから企業に提示する要求文書体系(例えば技術仕様書等)を抜本的に見直す。また ISASおよび企業間で管理の役割分担を明確にした上で、両者にてそれぞれの品質記録を 徹底する。 ④ 審査/独立評価の運用の見直し • 審査会を充実(審査の進め方、意識向上)させ、確実にそのフォローをクロスチェックするメ カニズムを導入する.審査会と日々の活動の評価検証を充実させるため、独立評価の体制 強化を行う。特にソフトウェアIV&V活動を義務化し、より確実なミッション達成のために、プ ロジェクトを技術的に支援する。 16 2. X線天文衛星「ひとみ」異常水平展開 (1) 他プロジェクト共通対応 進行中のプロジェクトでは、 • ASTRO-Hの異常現象に関係する問題が潜在しないかの確認 • システムが成立するための開発プロセスが適切かどうかの確認 を行い、プロジェクトによってはより確実性を高める措置をとった。 (2) 総点検 • ジオスペース探査衛星(ERG) 、及びイプシロンロケットについては ASTRO-Hと同様ISAS中心で開発を進めたことや打ち上げが近いというこ とで、特別にJAXA内有識者による総点検チームを構成し、打上げに万 全を期す対策をとる。有識者は打上げ・運用準備作業にも参加してい る。 (3) 全JAXAの抜本対策のための組織的活動 • 全JAXAの仕事の進め方の見直しを進めている。 17 2. X線天文衛星「ひとみ」異常水平展開 ジオスペース探査衛星(ERG) 地球近傍の宇宙空間であるジオス ペースには、メガエレクトロンボルト を越える高エネルギーの粒子が多 量に捕捉されている放射線帯(ヴァ ン・アレン帯)が存在している。 この放射線帯に存在する、太陽風 の擾乱に起因する宇宙嵐にとも なって生成と消失を繰り返している 高エネルギー電子がどのようにして 生まれてくるのか、そして宇宙嵐は どのように発達するのかを明らかに する。 2016年12月20日 20時~21時(日本時間) (予定) 18 2. X線天文衛星「ひとみ」異常水平展開 イプシロン2号機 試験機からの強化型開発の大きな目的は「打 ち上げ能力の向上(試験機に比べて30%向 上)」と「搭載可能な衛星サイズの拡大」。 試験機ではフェアリングの中に覆われていた 2段モータを大型化してフェアリングの外に出 すことによって推進薬量を約1.4倍に増加させ ることが可能となり、また、フェアリング内部に 衛星と3段のみを格納することで、より大きな 衛星が搭載できるようした。 さらにロケット構造や電子機器の軽量化を 図った。 19 3. 宇宙開発を取り巻く環境の変化 ■ 近年、宇宙の利用は急速に変化している。 ・大型、複雑化の動き、一方で超小型化 ・ソフトウエアの関与増大 ・開発期間短縮化 ・低コスト化 ・社会インフラ化 ・従来からの宇宙関係者に加えベンチャー企業をはじめとする新規参入者 20 3. 宇宙開発を取り巻く環境の変化 H3ロケット • 2020年度以降の20年間を見据え、毎年6機程度を安定して打ち上げることで産業 基盤を維持する。 • 政府衛星だけでなく打ち上げサービス市場から民間の商業衛星の受注が不可欠。 • 柔軟性・高信頼性・低価格の3つの要素を実現。 複数の機体形態を準備し、迅速に、利用用途にあった価格・能力のロケットを提供。 H-IIAロケットの高い打上げ成功率とオンタイム打ち上げ率(予定した日時に打ち上 げられる率)を継承。 固体ロケットブースタを装着しない軽量形態(主に低軌道の打上げに用いる想定) で約50億円の打ち上げ価格を目指す。 • 商業市場で競争力のあるシステムとなる よう、運用段階を見据えて開発を実施中。 競合や衛星需要の動向について日常的 に状況把握。 特に、欧米等などの「ロケット再使用化」、 「重量級ロケット」の開発状況に着目。 併せて、搭載衛星の動向として、電気推 進等の衛星の新規技術の登場を踏まえ た需要予測を実施。 21 3. 宇宙開発を取り巻く環境の変化 ALOS-2「だいち2号」(2014年5月~運用中) • • • 水災害時の浸水被害観測、日本の47火山の常時監視、 地震時の地殻変動解析を行い、防災機関活動に貢献。 搭載レーダによる地球観測の特色: 昼夜観測可能、天候によらず地表面を観測可能。 災害時には、日本付近なら概ね12時間以内に観測を 行い、観測後1時間程度で画像を提供。 短時間で広範囲の分析が可能で、かつ継続的に国土 を観察し、アーカイブデータとして蓄積。 国や自治体が防災業務を実施する上で、その意思決定や対策後の効果の評価 に人工衛星が有効に活用され、無くてはならない「社会インフラ」化を目指す。 【鬼怒川堤防決壊の浸水域】 【熊本地震に伴う地殻変動】 (出典:国土地理院) (出典:関東地方 整備局) 22 3. 宇宙開発を取り巻く環境の変化 HTV(こうのとり) 米オービタルサイエンス社から、 NASAの宇宙貨物輸送機用近傍接近システムを受注 「こうのとり6号機」は12月9日 22:26打上げ予定 三菱電機殿ニュースリリース(2009年10月22日)より 23 3. 宇宙開発を取り巻く環境の変化 革新的衛星技術実証プログラム • 民間企業・大学等による超小型の人工衛星を活用した新たな 知見の獲得・蓄積、将来ミッション・プロジェクトの創出、宇宙 システムの基幹的部品や新規要素技術の軌道上実証実験な どのための機会を提供 • 超小型の人工衛星を活用した基幹的部品や新規要素技術の 軌道上実証を適時かつ安価に実施 • 平成30年度を目標にイプシロンロケットを用いて機会を提供 すること、また、定期的に実証機会を提供することを目標 24 4. S&MA活動の方向性 ASTRO-Hの対策の視点では、直接には、 (1) プロジェクト業務の文書化と品質記録の徹底 (2) 審査/独立評価の運用の見直し が関係する。 (1) プロジェクト業務の文書化と品質記録の徹底 • 基本動作としての品質記録の徹底は当然のこととして • 品質プロセスなどS&MAプロセスの一元化 • 宇宙機設計標準(次ページ参照)の一元化 • これら標準はJAXAだけでなく、商業用、海外との共通性(認知)に最大化 企業、海外宇宙機関 その先に、宇宙を超えた共通性を意識 • そのためにはJAXA外の関係者との認識共有(底固め) 日本の強み JAXAの得た知見を企業と共有(JAXA S&MA(*1)の強みは情報アクセス 性) *1: S&MA(Safety and Mission Assurance) • 必要な要員を確保 • 速度と深さが重要 25 4. S&MA活動の方向性 Level 1 宇宙機設計標準 (JERG-2-000) 機械系設計 Level 2 システム設計標準 (JERG-2-100) Level 3 単一故障・波及故障防止設計標準 (JERG-2-120) 宇宙機一般試験標準 (JERG-2-130) 宇宙環境標準 (JERG-2-141) 一般環境標準 (宇宙機) (JERG-2-142) 耐放射線設計標準 (JERG-2-143) 微小デブリ衝突耐性評価標準 (JERG-2-144) ミッション・軌道設計標準 (JERG-2-151) 擾乱管理標準 (JERG-2-152) 指向管理標準 (JERG-2-153) 電気設計標準 (JERG-2-200) 帯電・放電設計標準 (JERG-2-211) ワイヤディレーティング (JERG-2-212) 絶縁設計標準 (JERG-2-213) 電源系設計標準 (JERG-2-214) 太陽電池パドル系設計標準 (JERG-2-215) EMC設計標準 (JERG-2-241) 宇宙機設計標準 Level 2 Level 3 Level 4 一般試験標準HDBK(作成中) (JERG-2-130-HB007) 熱制御系設計標準 (JERG-2-310) 構造設計標準 (JERG-2-320) 機構設計標準 (JERG-2-330) 宇宙機用推進系設計標準 (JERG-2-340) 通信設計標準 (JERG-2-400) Level 4 科学衛星テレコマ基準(作成中) (JERG-2-400-HB004) RF回路設計標準 (JERG-2-420) MIL-STD-1553Bオンボード ネットワーク設計標準 (JERG-2-431) SpaceWireオンボードネットワーク 設計標準 (JERG-2-432) 制御系設計標準 (JERG-2-500) 科学衛星電気設計(作成中) (JERG-2-200-HB001) 姿勢制御系設計標準 (JERG-2-510) ソフトウェア開発標準 (JERG-2-600) 宇宙機ソフトウェア開発標準 (JERG-2-610) 運用設計標準 (JERG-2-700) : 日本語版・英語版あ り : 日本語版のみ : 未制定 26 4. S&MA活動の方向性 安全・信頼性推進部 連携 経済産業省(METI) 日本工業標準 産業技術環境 調査会(JISC) 局(事務局) 国際標準化機構(ISO) TC20 Aircraft and space vehicles 日本航空宇宙工業会 (SJAC) とりまとめ 宇宙機設計標準WG • 研究開発部門 • 宇宙科学研究所 • 第一宇宙技術部門 • 環境試験技術ユニット • チーフエンジニア室 • 各部門のS&MA総括 他により構成 ISO委員会 ISO国内委員会 JAXA ISOへ反映 ISO宇宙機(SC13) 国際標準委員会 SC13 ISO宇宙機(SC14) 国際標準委員会 SC14 Space systems and operations WG1 設計分科会 Space data and information transfer systems ISO提案 WG2 Interface,Integration & Testing WG2 インタフェース分科会 ISOから取込み WG3 運用分科会 ISOから取込み WG4 環境分科会 委員 関係企業、機関、大学等の 専門有識者 WG5 プログラム管理分科会 WG1 Design Engineering 委員 WG3 Operations & Ground Support WG4 Natural & Artificial Enviroment WG5 Program Management WG6 材料・工程分科会 WG6 Material & Process WG7 デブリ検討分科会 WG7 Orbital Debris JAXA-メーカ間、メーカ-メーカ間の垣根を低くしたAll Japan 体制 27 4. S&MA活動の方向性 (2) 審査/独立評価の運用の見直し • これら標準がプロジェクトに確実に取り込まれ、実行されているか プロジェクトに応じた標準の適切な適用 • 必要な要員確保 • 他の評価機能との視点共有(JAXA内及びJAXA外) • サプライチェーンマネージメント状況 高次サプライヤーは同じ企業に行きつくことが多い(日本の特 徴) 共通問題を解決する合意が得やすい A社 B社 C社 D社 E社 28 5. 宇宙用ソフトウエアの方向性 従来活動+強化策 【従来活動】 # プロセス標準の徹底 ■ ソフトウェア開発標準の適用、プロセスアセスメント # 第三者組織によるリスクコントロール ■ IV&V(Independent Verification & Validation:ソフトウェア独立検証) 【組織的強化】 # 施策のJAXA全体への適用 ■ IV&Vの強化、審査/特別点検の強化 # 知恵の集結と利用 ■ ガイドブック、チェックリストの整備 -ソフトウェア開発における要注意10箇条 -ソフトウェア開発プロセス/ソフトウェア設計における虎の巻 【技術的強化】 # ミッションアシュアランス技術の再構築 ■機能単体試験からパラメータを含めた最終形態によるEnd-to-End検証の強化 ~Test Like You Fly (TLYF):ミッション達成するために必要なテストとは ■複雑系システムにおける非故障モードへの対応~STAMP/STPA技術の活用 ■問題が発生した後の確実な復帰 29 5. 宇宙用ソフトウエアの方向性 【従来活動】 ・ソフトウェアIV&V 【ソフトウェアの特徴】 ①見えない/見えにくい ②手作り ③あらゆるケースの 試験はできない 【ソフトウェア検証技術】 誤りやすく 誤りを見つけにくい 「正しく」ソフトウェア製品を作っているか(検証)、 「正しい」ソフトウェア製品を作っているか(妥当性確認) を評価する技術 → ソフトウェアに含まれる重大なリスクを、より合理的に低減させられるか プロジェクト/メーカ横断視点の異なる視点からソフトウェアの設計書等を評価 (IV&V: Independent Verification & Validation 独立検証及び妥当性確認) 【IV&V着眼ポイント(イメージ)】 ソフトウエアは、意図どおりに正しく振る舞う か? ソフトウエアは、意図しない振る舞いをしな いか? ソフトウエアは、不都合な事態に期待どおり 振る舞うか? 【IV&V事例】 地球観測衛星 姿勢・軌道制御系においてスラ スタ制御に関する仕様変更がソフト設計に漏れ ており、打上げ前にIV&Vにて検知し回避(その まま打ち上がると衛星喪失の可能性) 【ソフトウェアの検証と妥当性確認】 ユーザ要求 妥当性確認 検証 検証 システム PQR 検証 サブシステム PQR 検証 サブシステム/ コンポPDR等 検証 コンポPQR 検証 SW要求定義審査 検証 SW試験後審査 検証 SW設計審査 30 5. 宇宙用ソフトウエアの方向性 【組織的強化】 ・ソフトウェアIV&V JAXA全体への適用 状況 ・ JAXAでもIV&Vの対象システム(ニーズ)が急増 ・ (独)情報処理推進機構の制度ガイドライン発行後、他業界でもニーズが発生 対策 IV&Vのスキル基準を満たす技術者・企業の発掘 ・ IV&Vトレーニングコースを本格実施 2016年度から ・ IV&Vガイドブックの発行 問い合わせ先 [email protected] ( ) [email protected] ( ) IV&Vガイドブック【導入編】 88頁 IV&Vガイドブック【実践編】727頁 Ver.1.1 2016.3 発行 31 5. 宇宙用ソフトウエアの方向性 【技術的強化】:ミッションアシュアランス技術の再構築 ■ 機能単体試験からパラメータを含めた最終形態によるEnd-to-End検証強化 ~Test Like You Fly(FLYF) ・ミッションサクセス には、イベントを一 つ一つクリアーして いく必要がある。 シーケンスイベント 飛行パラメータ設定 搭載機器起動・設定 電源内部切り替え リフトオフ SRB-A燃焼停止 SRB-A第1ペア分離 SRB-A第2ペア分離 フェアリング分離 第1段エンジン燃焼停止 第1段・第2段分離 第2段エンジン始動 第2段エンジン燃焼停止 HTV技術実証機分離 ・一つの試験だけで なく、色々な試験の 積み重ねにより実 現する。 【事実】 試験が抜けてしまうと、機能単体とし ては正しく動作するかもしれないが、 イベントが実行されない事象が発生 し、ミッションが中断してしまう。 【対策】 ミッションアシュアランス 技術の再構築が必要。 TLYF(テストフェーズ) SWIL試験、実機模擬試験 実機模擬試験、リハーサル 実機模擬試験、リハーサル 実機模擬試験、リハーサル テストベッド フルソフトSim、SWIL試験 フルソフトSim、SWIL試験 実機模擬試験、SWIL試験 フルソフトSim、SWIL試験 フルソフトSim、SWIL試験 フルソフトSim、SWIL試験 フルソフトSim、SWIL試験 例:タイムシーケンスの軸でLYFを割り付ける 32 5. 宇宙用ソフトウエアの方向性 【技術的強化】:ミッションアシュアランス技術の再構築 ■ 非故障モードへの対応:STAMP/STPA技術の構築 (コンポーネント/機能は故障していないがシステムフェールに至るケースへの対応) システム理論に基づく事故モデル: STAMP (Systems-Theoretic Accident Model and Processes) 安全解析手法: STPA (STAMP-Based Process Analysis) WOCS 2016, Nancy Leveson Key Noteより 安全性と信頼性の混同 非安全なシナリオ 故障を含むシナリオ A 故障はあるが安全には関わらない 信頼性がないが、非安全ではない (FMEA) C B 故障もあり、安全に関わる 信頼性もなく非安全 (FMEA, FTA, HAZOP) 故障はないが、安全に関わる 非安全だが信頼性は十分 (???) コンポーネントや機能故障の防止だけでは十分でない 33 5. 宇宙用ソフトウエアの方向性 【技術的強化】:ミッションアシュアランス技術の再構築 ■ 非故障モードへの対応:STAMP/STPA技術の構築 (コンポーネント/機能は故障していないがシステムフェールに至るケースへの対応) 事例:STPAとFTAの分析結果の特徴比較 Identified by both STPA and FTA Controller Activation Command Controlled Process Identified by STPA only crew mistakes in issuing commands • •ISS ISSクルーのコマンド発行時の誤操作 • ISSクルーのプロセスモデルの非一貫性 • ISS crew process model inconsistent command delayed • Activation command missing/inappropriate ••Activation アクチベーションコマンドの遅延 • アクチベーションコマンドの欠損/不適切 component failures ••ISS ISS装置故障 component failures ••HTV HTV装置故障 state changes over time ••HTV HTV状態の時間経過による変化 • 物理的障害 • Physical disturbance radio disturbance ••Out-of-range 範囲外の電波障害 missing/inadequate ••tt,, xx feedback フィードバックの欠損/不適切 delayed ••tt,, xx feedback フィードバックの遅延 incorrect ••tt,, xx feedback フィードバックの誤り フライドモードフィードバックの欠損/不適切 mode feedback missing/inadequate ••Flight フライドモードフィードバックの誤り mode feedback incorrect ••Flight 可視情報の欠損/不適切 information missing/inadequate ••Visual from information/directive ••Wrong JAXA/NASA GSからの間違った情報/指示 • JAXA/NASA GS Acknowledgment of Control Action Other Controllers FTA、STPAとも 故障によるものは抽出できる STPAだけが タイミングなど『個々の機器自体が 非故障であるもの』を抽出できる 34 6. おわりに (1)周囲の環境変化に合わせて (2)日本の特徴を活かし、知見の速やかな創出と共有 (3)最大限の共通化、宇宙を超えて。 (4)それを確実に各ユーザが活用 35
© Copyright 2024 ExpyDoc
