H3ロケット初号機の打ち上げ失敗は過電流による電源遮断が原因か？

宇宙航空研究開発機構(JAXA)は3月16日、文部科学省(文科省)の「宇宙開発利用に係る調査・安全有識者会合」にて、打ち上げに失敗したH3ロケット初号機の原因調査状況を報告した。まだ原因の特定には至っていないものの、第2段のエンジン側で過電流が発生。この検出によって電源が遮断された可能性が高いという見方が示された。

• 

  種子島宇宙センターより打ち上げられたH3ロケット初号機

H3ロケット初号機は3月7日に打ち上げを実施。第1段の飛行は正常に行われたものの、第2段エンジンの着火が行われず、衛星の軌道投入に失敗していた。この失敗を受け開催された前回の有識者会合では、第一報として電源系統の異常が報告されていたが、この1週間の調査によって、より詳しい状況が分かってきた。

同ロケットでは、以下のようなシーケンスによって、第2段エンジンの着火が行われるはずだった。

まず、ロケット全体の飛行を制御する「2段機体制御コントローラ」(V-CON2)が、1段/2段の分離を検知。次に第2段エンジンの燃焼を開始するため、推進系全体の制御を担う「2段推進系コントローラ」(PSC2)に着火信号(SEIG)を送信する。ここまでは、機体側のネットワークを使った制御系の流れで、異常なく実施されている。

この先は、エンジン側での動作となる。エンジンの上部には、「エンジンコントロールボックス」(ECB)と、「ニューマティックパッケージ」(PNP)という装置が搭載されている。ECBはシーケンサとして指示を出す制御機器、その信号によって実際にエキサイタ(点火プラグ)や各バルブを駆動するのがPNP、という役割だ。

PSC2からは、小電力の制御電源がECBへ、大電力の駆動電源がPNPへ供給されている。PNP内には、ソレノイド(電磁弁)を搭載。これでヘリウムガスを制御し、エンジンの各バルブを駆動するという仕組みになっている。

• 

  左は、着火時の信号と電力の流れ。右は、機器の搭載場所だ (C)JAXA

初号機のフライトでは、機体側(PSC2)からエンジン側(ECB)にSEIGが正しく伝わったことが確認されている。問題が発生したのは、その直後だ。

PSC2には、エンジン側の異常を検知するための仕組みとして、組み込みの自己診断プログラム「BIT」(Built-In Test)機能が搭載されている。SEIGの受信直後に、このBITが異常を検出。エンジン駆動電圧/電流異常を示すフラグがA系/B系の両系で立ち上がり、設計通りの動作として、電源供給の遮断が行われた。

• 

  今回発生した事象。両系で異常が発生し、電源が遮断された (C)JAXA

本来、BITで想定していたのは、主系(A系)で異常が発生したときに、これを安全に止め、冗長系(B系)に動作を切り替え、飛行を継続させる、ということだった。しかし今回は、ほぼ同時に両系で異常が発生したため、両系ともに電源が遮断されてしまい、せっかくの冗長構成が役に立たなかった。

JAXAによると、検出したのは、PNP側の駆動電源の電流異常だったという。そのため、遮断されたのは駆動電源のみで、ECB側の制御電源については、その後も供給が継続されていた。どの場所で異常が発生したのかはまだ分かっていないが、PNPを含めた下流側の機器で過電流が発生した可能性が高いとみられている。

• 

  時間的な流れ。テレメのサンプリング周期が粗いため、「同時」に見える挙動の前後関係は不明だ (C)JAXA

この原因を調査するため、JAXAは、第2段エンジンの不着火をTOP事象としたFTA(故障の木解析)を実施。1次要因として駆動電源喪失に絞り、これを引き起こした要因としては、以下の3つが可能性として残った。

• (1)過電流を誤検知した
• (2)下流機器の作動で消費電流が過大になった
• (3)下流機器で短絡/地絡が発生した

• 

  フライトデータによるFTAの評価結果。△部分の可能性が残っている (C)JAXA

上記(1)は、過電流を検知はしたものの、それはしきい値の設定が厳しすぎたためであり、実際には問題無いレベルだったのではないか、という可能性だ。1つ気になるのは、電気的にほぼ同等の構成だったH-IIAロケットの第2段エンジンには、過電流を監視する機能は搭載されていなかったということだ。

H3でこの機能が追加されたのは、機体側の電気系が大きく変更されたためだ。H3はコストダウンのため、自動車用部品を多用している。宇宙用部品ではないため、冗長化によって全体として信頼性を確保するという設計思想になっており、冗長系を機能させるためには、どちら側で異常が発生したのか検知することが必要になったのだ。

• 

  H3とH-IIAの違い。単系のエンジン側は同等で、どちらも宇宙用部品を使用している (C)JAXA

テレメトリでは電流値まではモニターしておらず、実際の値は分からない。ただエンジン側の電気系はH-IIAと同等ということからすると、「H-IIAでも同レベルの過電流は起きていたのに、単に検出していなかっただけで、飛行には問題が無かった。H3も電源を遮断せず、飛行を継続させれば成功できたのでは」という推測もできなくはない。

しかしこれについて、JAXAは「もしH-IIAで過電流が発生していたら、バッテリが枯渇して飛行の継続は不可能になるはず」として、否定的な見方を示した。ただ、原因がどこで発生したのかという話は別にしても、この冗長系の動作が妥当だったのかどうかについては、少し議論が起きる可能性もあるかもしれない。

A系に異常を検出して電源を遮断するのは理解できる。しかしB系でも異常が発生して、同じように電源を遮断すれば、その時点でミッションの失敗は確定となってしまう。B系については、A系と動作を変え、異常を検出しても電源を遮断せずに、飛行を続行させるという考え方もあるのではないか。

A系/B系で挙動を変えるということは、冗長性の観点からはリスクもある。システムは複雑にすれば良いというものでもない。また異常を無視して第2段エンジンに着火できたとしても、すぐに燃焼が止まったりすれば、第1段の落下予想区域外に大きな破片が落ちてしまう危険性も考えられ、簡単には判断できないところだ。

一方、上記(2)と(3)は、誤検知ではなく、実際に過電流が起きたという可能性だ。まず(3)の短絡/地絡は、イメージしやすいだろう。飛行時の振動や衝撃によって、機器内部の部品や機器間のワイヤーハーネスが脱落・損傷するというもので、実際に短絡した事例としては、SS-520ロケット4号機のケースがある。

短絡/地絡であればいつ発生してもおかしくなく、SEIG受信直後のタイミングで問題が起きたのはやや不自然な気もするが、短絡/地絡の場所によっては、SEIG時の動作によって過電流が生じる可能性もあるかもしれない。

そして(2)は、機器の作動により、過電流が生じた可能性だ。SEIG直後は、エキサイタやソレノイドが同時作動しており、もともと消費電力が大きくなるタイミングだった。部品の異常によっても過電流は発生するが、正常な動作の範囲内でも起きた可能性があり、過渡的な応答などについて、実機も使った試験などで検証を進めるという。

少し腑に落ちないのは、(2)であるならば、なぜ事前に発見できなかったのか、ということだ。打ち上げ直前の3月2日には、バルブ等を実際に駆動するフライトシーケンス試験を実施していたが、SEIGを含む全シーケンスが正常に行われたという。もちろん、点火は行っていないのだが、それ以外にも何か違いがあったのか、気になるところだ。

点火まで行った試験としては、2020年8月に実施した第2段の「実機型タンクステージ燃焼試験」(CFT)があった。ただ、このときはタンクとエンジンを組み合わせた燃焼部分の試験を主軸にしていたため、電気系については開発品だったりして、フライト時とは異なっていたそうだ。この辺は、実機をそのまま使った第1段CFTとは大きく違う。

• 

  三菱重工業(MHI)の田代試験場で行われた第2段CFTの様子 (C)JAXA

なお、前回の記事でも触れたが、2月の打ち上げ中止の原因となった事象との関連性があるのかどうかということについては、今回、追加情報が出ている。JAXAによれば、リフトオフ時および1/2段分離時には、電気的な遮断が問題無く行われたことを確認しているとのことで、今回の第2段の異常とは関係無いとの見方を示した。

今回の報告で、第2段で何が起きたのか、おぼろげながら見えてきたが、肝心な部分は依然として謎のままだ。なぜ、H-IIAと電気的には同等のところで異常が起きたのか。このあたりの切り分けが進まない限り、H-IIAの打ち上げを再開することもできないので、JAXAには速やかな原因究明が求められることになる。

次回の会合は、調査の進捗によって、今月または来月に開催される予定だ。