宇宙航空研究開発機構 サイトマップ

TOP > レポート&コラム > ISASコラム > イプシロンロケットが拓く新しい世界 > 第14回:イプシロンロケットの安全設計

ISASコラム

第14回:イプシロンロケットの安全設計 菅家 淳一 イプシロンロケットプロジェクトチーム

(ISASニュース 2013年2月 No.383掲載)

 イプシロンロケットは3段式固体ロケットです。固体ロケットには火薬(推薬)を使用した機能がたくさんあります。主推進装置、姿勢制御装置、分離装置などです。また試験機では3段の上段と2段姿勢制御装置に液体推進装置を載せています。このような固体・液体の推進薬(火薬)に誤って火が付いた場合、大きな事故になってしまいます。またロケットの組立てにおいては高所作業などがあり、作業員の落下などの事故も考えられます。

 このような事故から人、ものを守るため、イプシロンロケットでは開発の初期段階から安全設計を実施し、事故を未然に防止し、安全な状態で組立て・打上げを行おうとしています。今回はこの安全設計について説明します。


ハザードとは

 安全の世界では、事故をもたらす状態が顕在または潜在していることを「ハザード」と呼びます。例えば「点火電流誤入力によるロケットの不期(意図せぬ)発火ハザード」などです。ちょっと長いハザード名となっていますが、ハザードをよく理解するためには要因とプロセスで考えるとよいとされているため、このような表現になります。

ハザードの識別

 安全設計ではまずハザードの識別を行います。対象とするロケットシステムや運用(組立て)をよく理解して、漏れなくハザードを識別することが重要です。フォルトツリー解析や故障モード影響解析といった解析手法を活用してハザードを識別し、さらにハザードの原因を識別します。最後にハザードの被害の度合いを識別します。被害の度合いを以下に示します。この被害の度合い(レベル)に応じて制御方法を考えていきます。
 レベルI(破局 カタストロフィック):死亡
 レベルII(重大 クリティカル):重度のけが
 レベルIII(限界・局所的 マージナル):軽度のけが


ハザードの除去・制御

 識別したハザードは許容可能な被害レベルとなるよう除去または制御します。基本的には除去できることが望ましいのですが、ミッションに必要な機能のため除去できないものもあり、その場合にはリスクが十分小さくなるように制御を行います。具体的には以下の優先順位で制御を考えていきます。
(1)ハザードを除去する
(2)故障許容設計をする(冗長設計、インヒビット*設計)
(3)リスク最小化設計をする
(4)運用によるハザード制御を行う
 
*インヒビット:ハザード源となる機能とそれに対するエネルギー源(電源)の間に設ける遮断装置のこと

 各ハザード制御は最終的に試験、解析、検査、デモンストレーションにより正しく機能することを検証します。ここまで述べた安全設計の流れを図1に示します。


図1 安全設計の流れ


ロケット不期発火に対するハザード制御例

 「点火電流誤入力によるロケットの不期発火ハザード」の例を示します。

 固体ロケットはイグナイタと呼ばれる点火装置で点火しますが、この点火装置に誤って電流が流れた場合、ロケットに着火して事故となります。この場合の要因はイグナイタ上流の電源であり、プロセスは「誤ってまたは故障して電流を流す」ということになります。誤発火は要員の死亡につながるため、被害度合いはレベルTのカタストロフィックハザードとなります。

 ハザード源である電源の除去はできないため、故障許容設計(インヒビット設計)を行います。被害度合いがレベルTのため、2故障許容設計を行います。2故障許容設計とは、2個の故障が起きてもハザードを生じないように設計することです。点火回路の概念図を図2に示します。インヒビットであるスイッチを3つ置くことにより、誤操作またはスイッチの故障が2個同時に起きても、残りのインヒビットにより回路に点火電流が流れるのを防ぐようにしているのが分かると思います。


図2 点火装置回路概念図


ロケットの安全な打上げのために

 ここまで述べてきた安全設計(システム安全活動)を概念設計の段階から実施し、ロケットの設計に取り込むことにより、ロケットのすべての要素、すべてのフェーズにおいて安全な状態を維持するよう取り組んでいます。現在イプシロンロケットは打上げに向けて大詰めを迎えていますが、それに合わせて安全設計も最後の安全制御の検証を行っているところです。

(かんけ・じゅんいち)