宇宙航空研究開発機構(JAXA)は5月24日、文部科学省・宇宙開発利用部会の第三者委員会において、X線天文衛星「ひとみ」(ASTRO-H)の事故について、詳細な報告を行った。JAXAは設計段階まで遡り、事故の要因を分析。そこで見えてきたのは、安全性や信頼性に対する意識の低さだ。ひとみ1機だけの問題ではなく、組織の体質まで問われそうだ。
|
|
第三者委員会の正式名称は「X線天文衛星「ひとみ」の異常事象に関する小委員会」 |
委員は5人。中央が主査の佐藤勝彦氏(日本学術振興会学術システム研究センター所長) |
この第三者委員会は、JAXAがまとめた要因分析を技術的観点から検証するため設置されたもの。初開催となる今回は、異常が発生したメカニズムの要因分析について議論され、対策や改善事項については次回の議題となる予定だ。
2重のミスが衛星の致命傷に
前回のレポートの時点で、事故のメカニズムについてはほぼ明らかになっていたが、今回JAXAは、全87ページからなる詳細な調査報告書を提出。何が起きていたのか、より詳しい状況が見えてきた。今回明らかになった点について、まずはまとめてみよう。
スラスタ制御パラメータの設定ミスはなぜ見つけられなかったのか
今回、ひとみの致命傷となったのは、このミスだった。異常発生時に、衛星を安全な姿勢に移行させるのがセーフホールドモードであるのだが、このときに使われるスラスタの制御パラメータが間違っていたために、ひとみは回転を収束するどころか加速してしまい、衛星の破壊に繋がった。
|
角速度(Z軸)の推定。セーフホールドモードへの移行で回転が増した (C) JAXA |
衛星の"最後の手段"である重要な部分に、なぜこんな深刻なミスが生じたのか。当初から大きな疑問であったが、JAXAの説明によれば、データ入力の誤りと、シミュレータによる検証漏れという、運用時の2つのミスが重なったのだという。
|
コマンド作成までの流れ。今回問題になっているのは左下の部分だ (C) JAXA |
衛星のX/Y/Z軸回りにトルクを加えようと思ったとき、ひとみの姿勢制御系は「RCS駆動マトリクス」という行列を使用して、各スラスタの噴射時間を算出する。今まで「制御パラメータ」と呼ばれていたのは、この4行6列の行列の24個の要素のことだ。
打ち上げ時、この行列は通常の手続き通りに検証されており、問題は無かった。だが、軌道上で太陽電池パドルなどを展開し、質量バランスが変わったため、行列を再計算して衛星に送信したのだが、このときに必要な手順が抜け、誤ったデータを送信してしまったのだ。
この行列は、スラスタの推力データを元に、ツールを使って生成する。この出力データはさらに別のツールを使ってバイナリに変換するのだが、この2つのツール間の連携は自動化されておらず、手動の作業だった。ここで、本来ならマイナスの値はプラスに変換した上でデータを入力すべきだったが、これが行われなかった。
|
|
マイナスは軸の向きを示しているだけなので、取らなければならなかった (C) JAXA |
この結果、マイナス軸回りのトルクのかかり方が逆向きになってしまった (C) JAXA |
根本的な問題は、このパラメータ変更は打ち上げ前からわかっていたことなのに、運用計画の文書に明確な記述が無かったことだ。そのため作業訓練は実施されておらず、当日の指示が曖昧になってしまった。上記2つのツールも「運用ツール」に入っておらず、開発ツールをそのまま活用。手順書が無く、担当者は符号を変えることを知らなかった。
もし誤ったパラメータを作成したとしても、シミュレータによる検証さえ行われていれば、おそらくそこで発見できたはずだ。だが、運用支援業者の担当者間でその必要性が伝わっておらず、実施されなかった。またJAXAも、その完了を確認しなかった。
スタートラッカのリセットはなぜ起きたのか
事故の発端となったのは、姿勢変更後に、スタートラッカが途中でデータ出力を中断し、慣性基準装置(IRU)のバイアスレート(誤差推定値)が高止まりしてしまったことだ。これで衛星は実際には回転していないのに、回転していると思い込み、それを止めるために、1時間に22度というゆっくりした速度で回転を始めた。
|
異常発生時のバイアスレートの動き。高い値(赤線)で止まってしまった (C) JAXA |
スタートラッカは通常、起動すると「捕捉モード」になり、視野内に見える星とカタログデータとのマッチングを開始。姿勢を特定したら「追尾モード」になり、姿勢データを4Hzで出力し続ける。今回は、スタートラッカが何らかの原因により、追尾モードから捕捉モードに戻ったと推測されている。
しかしJAXAによれば、事故までに19件、今回と同様に追尾モードから捕捉モードに戻ったりする事象が発生していたという。そのほとんどは、視野の中に地球が入る「地蝕」が原因だったため、地蝕時には使わない運用で回避していたが、それ以外に視野内の星が少ない時にも発生しており、星検出パラメータのチューニングを進めているところだった。
|
スタートラッカで発生した異常事象。Aの16番が今回の事象だ (C) JAXA |
視野内の星が少ないと、姿勢推定の誤差が大きくなり、安定して追尾できなくなる。筆者は今回の事象について、放射線によるシングルイベントではないかと考えていたのだが、当時の視野を解析したところ、明るい星が少なかったことがわかり、同じ原因で発生したものと考えられる。
ここで大きな問題は、スタートラッカのこの問題がまだ解決していないにもかかわらず、内之浦局からの可視がしばらく無いようなタイミングで姿勢変更を実施したことだ。もし、姿勢変更終了後すぐに可視があるタイミングだったら、その時点で異常に気付き、回転を止められた可能性がある。
|
姿勢変更を行ったのは内之浦局の可視がちょうど終わるタイミングだった (C) JAXA |
長時間の不可視時に姿勢変更を実施するのは、今回が初めてだった。報告書の中で、JAXAは「時期尚早だった」と結論づけたが、どういう条件が揃えばこの運用を開始して良いか、姿勢制御系のチェックアウト計画では定められていなかったという。結果として、スタートラッカがまだ不安定だったのに実施したわけで、検討不足だったと言えるだろう。
