以前、H3ロケットの2段エンジン着火失敗について記事にしましたが、
その後、JAXAの「H3ロケット試験機1号機打上げ失敗原因調査状況」を読んでみました。
https://www.mext.go.jp/kaigisiryo/content/20230316-mxt_uchukai01-000028335_1.pdf
まずは、下のように、読み取った情報をまとめました。
その後、機能安全の観点から何が問題なのかを考察してみました。
ChatGPTにも質問してみました。
システム概要
・H3の第2段エンジン着火装置には制御装置と駆動装置があります。
・H3の第2段エンジン着火装置の電源として、制御装置の制御電源と、駆動措置の駆動電源があります。
・制御電源と駆動電源は1セットになっています。推進系コントローラと呼びます。
・推進系コントローラは2つあり、着火のときは2つとも常時稼働しています。それぞれA系とB系と呼びます。着火のときには、A系とB系それぞれから制御装置と駆動装置に常時電源が供給されます。A系またはB系が故障した場合、故障していない方から制御装置と駆動装置に電源が供給されます。
・A系とB系は、駆動電源の過電圧または過電流を検知する自己診断プログラムをもっています。
・駆動電源の過電圧または過電流を検知する自己診断プログラムが異常を検知すると、駆動装置への駆動電源の供給を遮断します。
・駆動装置への駆動電源をA系からB系に自動で切り替えることができます。また、B系からA系に自動で切り替えることができます。
・A系から駆動装置への駆動電源の供給が遮断された後、A系の駆動電源出力の電圧は低下します。
・B系から駆動装置への駆動電源の供給が遮断された後、B系の駆動電源出力の電圧は低下します。
・A系とB系は1つの筐体の内部に設置されます。
・駆動装置は、制御装置から着火信号を受け取ります。
・制御装置から駆動装置に着火信号が出力されたときの、制御装置と駆動装置の電源電圧はおそらく正常。(サンプリング時間の関係で正常と言い切れません)
わかったこと
・駆動装置への駆動電源についてA系とB系の両方の自己診断プログラムが過電流異常を検知しました。
・この過電流異常の検知は、制御装置がエンジン着火信号を受け取ったあとでした。
・駆動装置への駆動電源の自己診断プログラムが異常を検知したため、A系とB系の駆動電源の供給を遮断しました。
・駆動電源遮断後、A系とB系から出力される駆動電源の電圧はそれぞれ0Vになりました。
実施中の継続調査
・A系とB系の駆動電源に共通の原因があると推察され、再現のため同じ電源装置と、駆動装置機器を使って分析を継続しています。
・駆動電源A系とB系から駆動装置に過電流が流れた事実をもとに駆動装置側を重点的に調査しています。
私の考察
・A系とB系ともに、自己診断プログラムで過電流を検知し、電源遮断してA系とB系からの駆動電圧が0Vになるのは正しいです。
・A系とB系の駆動電源出力から駆動装置までのライン(ハーネス)は別々のため、ハーネス破損によるA系、B系同時の故障はないと考えます。
・駆動装置はH2Aロケットの第2段エンジンと同じでものであるため、駆動装置の原因の可能性は低いと思われます。(同一かどうかはわかりません)
・冗長化システム構築はコストとの兼ね合いがあります。機能安全の専門家でしたら、A系とB系に同システムを使いません。
理由は、同一システムの場合、A系が故障したら、B系でも同じ個所が故障する恐れがあるからです。共通原因故障をなくすためには、A系とB系で異なる仕組みが望ましいです。
もし、同一システムを使用するなら、動作タイミングを変えるなどが必要です。
それもだめで、同一タイミングで動作させるなら、A系とB系の自己診断プログラムを別ものにする。もし、自己診断プログラムが同一だと、自己診断プログラムにバグがあると、同一誤りをする恐れがあるからです。
---
ChatGPTに上の文を入力して
「実施中の継続調査」の方法は正しいですか。このシステムの何に問題があるか仮説を立て、その仮説を証明するために、さらに何を調査すべきかを提案してください。
と聞いたところ、下のような回答が戻りました。参考までに載せておきます。
駆動装置側をよく調べなさいとのことです。
私の考察を入力してChatGPTに聞いてみました。
「私の考察について過不足の指摘をお願いします。」
ChatGPTの回答は以下です。するどいです。
