イプシロンロケット

搭載ソフトウェアによる安全設計の実装について

○井上知也，佐賀勝之，瀬川 泰伸((株)IHIエアロスペース)

水越 紀良 ，大貝 高士，長谷川 正雄 ((株)IHI)

石浜 直樹 ，梅田 浩貴(宇宙航空研究開発機構 情報計算工学センター)

第11回クリティカルソフトウェアワークショップ2014.1.17

はじめに

イプシロンロケットのご紹介

イプシロンにおける飛行安全管制

複数ハザード制御の設計

複数ハザード制御の検証

今後の発展に向けて

2

© JAXA

3

１．イプシロンロケットのご紹介(1/3)

© JAXA

4

１．イプシロンロケットのご紹介(2/3)

イプシロンロケットが国内に与えたインパクト

5

１．イプシロンロケットのご紹介(3/3)

日本独自の固体ロケット技術を適用した固体３段式ロケットオプションで液体ポスト・ブースト・ステージ（PBS）を搭載し、高い軌道投入精度を実現制振機構、音響ブランケットにより、衛星に対してユーザフレンドリーな搭載環境を提供固体ロケットの特徴を活かして運用性を向上開発費を抑制し、早期に運用を開始するために既存コンポーネントを活用

PBS（オプション）

制振機構

音響ﾌﾞﾗﾝｹｯﾄ

（フェアリング内）

（衛星直下）

項目 イプシロン M-V（参考）

軌道投入能力LEO 1200kgSSO 450kg

LEO 1800kg

打上げ費用 38億円 約75億円

射場作業期間1) 7日 42日

レートアクセス時間2) 3時間 9時間

初号機打上げ 平成25年度 平成8年度

1) 1段射座据付から打上げ翌日まで2) 衛星 終アクセスから打上げまで

M-V上段モータ活用（モータケースは新規開発）

SRB-A

M-V構造活用（一部新規開発） アビオニクス

H2A機器活用

© JAXA

6

２．イプシロンにおける飛行安全管制

SA

破壊指令

レーダ

上段フェーズでは自律的なハザード制御が必要

1段・2段飛翔フェーズ 3段・PBS飛翔フェーズ

・飛行安全管制に必要な機器は2段に搭載(航法データ送信手段を除く)

・固体ロケット特有の機能配分(M-Vシステム踏襲)・軌道投入までの飛行安全は確率的に担保・本構成により、上段軽量化/打上能力確保

軌道投入

通常のロケットは全フェーズ地上側で実施

航法データ

飛行安全管制は地上側で実施

7

３．複数ハザード制御の設計(1/6)

複数ハザード制御設計のアプローチ

【要求の明確化】

有人プログラムでの適用基準を参考

故障許容設計要求の内容を明確化(要求文書改訂)

JERG-1-006 付属書Ⅱ

「コンピュータシステム及びソフトウェア安全要求」

SSP-50038B「Computer-Based Control System Safety Requirements 」

【有識者会議の設置】

情報・計算工学センター

有人宇宙ミッション本部

宇宙輸送ミッション本部宇宙輸送系要素技術研究開発センター

イプシロンロケットプロジェクトチーム

IHIエアロスペース/IHI

評価者 有識者

設計者

打上安全評価室

8

３．複数ハザード制御の設計(2/6)

複数ハザード制御設計のアプローチ

【設計方針の明確化】

実装機能は「Must Not Work Function」のみ

地上管制、有人プログラムとの決定的な相違点

安全システムが機能不全になった場合、「人」による 終的な安全化処置が不可

「Must Work Function」(機能することで安全が確保されるもの)の実装は高リスク

JCX-96106 「CBCS(Computer Based Control System)安全設計要求 」

CPSアプローチの適用

「Control Path Separation」(制御経路分離設計)アプローチに対する具体的な定義付け

【設計上の制約】機体に搭載されるコンピュータは一つ

⇒一つのコンピュータで複数のハザード制御を独立で実施する必要性

9

３．複数ハザード制御の設計(3/6)

複数ハザード制御対象

No. 項目 制御内容 対象ハザード要因

3段飛翔フェーズ

3 伸展ノズル機構点火インヒビット制御

3段モータの伸展ノズル展開について、2/3段分離が行われた以降にアーム状態に制御する

設定時刻以前の3段モータ誤点火、及び伸展ノズル非展開状態でのモータ点火によるILLの侵害要因

4 3段モータ点火インヒビット制御

3段モータ点火回路について、伸展ノズル展開が行われた以降にアーム状態に制御する

5 3段モータ燃焼中の火工品点火インヒビット制御

3段モータ燃焼中の衛星分離/PBSパイロバルブ駆動/タンブルモータ点火/YOタンブラー点火回路について、3段モータ燃焼終了後にアーム状態に制御する

3段モータ燃焼中の衛星分離/PBSパイロバルブ駆動/タンブルモータ点火/YOタンブラーの誤点火によるILLの侵害要因

設計方針に基づき、制御対象は「Must Not Work Function」機体の初期状態 ：「安全」側

「非安全」側への作動 ：2/3段分離(飛行安全管制期間終了)以降

制御機能不全時 ：①早期誤作動時⇒地上から安全化処置

②不作動時 ⇒「安全」状態を維持

(ミッションは不達成)それぞれ3つのインヒビットを独立に制御(2FS設計)

10

３．複数ハザード制御の設計(4/6)

HIC

HIC

FPGA VHCT245

VHCT245

フォトカプラ

フォトカプラ

フォトカプラ

28V出力ドライバ

28V出力ドライバ

28V出力ドライバ

28Vディスクリート出力

PS1モジュール

DISモジュール

28V1モジュール

2.5VDC/DC

I/O電源

コア電源

3.3V DC/DC 5V DC/DC

EMI Filter

28V

MPUモジュール

MPU(HR5000)

cPCIバス

SRAM(ECC付)

MCCMモジュール

メイ

ンタ

イマ

タイ

マA

タイ

マB

(他モジュールへ) (他モジュールへ)

28V

インヒビット1

インヒビット2

インヒビット3

28Vディスクリート出力

28Vディスクリート出力

OBC PSDB3

ID/RSAD

水晶発振器

＋

FPGA

水晶発振器

＋

FPGA

CPSアプローチ

独立した3インヒビット機能を有する

⇒故障許容設計を満足する構成

制御先制御元(ハードウェア)部品レベルのFMEA展開による

故障許容設計評価

制御元(ソフトウェア)複数のインヒビット制御用各プロセスの独立性評価

制御経路全体に対して、その分離性(独立性)を確保

11

３．複数ハザード制御の設計(5/6)

メインプロセス

CPSアプローチによる設計反映(ソフトウェア)

プロセスA プロセスB独立した3つのプロセスを定義

共通故障要因の洗い出し 共通関数、共通変数、等

システムレベルの故障許容設計成立性評価

Good

O.K.

NGソフトウェアとして対策

対策事例：共通変数の設定可能ウィンドウの設定

12

３．複数ハザード制御の設計(6/6)

CPSアプローチによる設計反映(ハードウェア)

約200項目に及ぶ故障モードControl Pathとなる部位の詳細な機能FMEAを実施

単一故障ハザード要因部分の故障モード詳細化 部品レベルの故障モード定義

単一故障回避設計対応可否の評価

可

単一故障回避設計への反映

不可

発生確率による評価

対象ハザード制御 評定時間[sec] 発生確率

ML SF

伸展ノズル機構点火インヒビット制御

260 530 4.78×10-8

3段モータ点火

インヒビット制御

3段モータ燃焼中の

火工品点火インヒビット制御

360 530 5.88×10-8

対象ハザード制御 評定時間[sec] 発生確率

ML SF

伸展ノズル機構点火インヒビット制御

260 530 4.78×10-8

3段モータ点火

インヒビット制御

3段モータ燃焼中の

火工品点火インヒビット制御

360 530 5.88×10-8

評価事例： (2.5V DC/DC出力異常)故障モードを細分化した上で、ハザードに至る故障確率が十分低いことを評価

４．複数ハザード制御の検証(1/8)

CPSアプローチの妥当性検証

13

有識者会議での評価を経た 終確認として実施JCX-96106「CBCS(Computer Based Control System)安全設計要求」をRefer

No. 項目 SSP 50038B該当項番

JCX-96106該当項番

妥当性評価結果

1 インヒビットの監視 3.1.3.2.1 4.4.2(1) ○(注1)

2 インヒビットに対する制御経路の分離 3.1.3.2.2 4.4.2(2) ○

3 インヒビット状態を変更するコマンドのユニーク性 3.1.3.2.3 4.4.2(3) ○

4 機能的に独立なパラメータの検査 3.1.3.2.4 4.4.2(4) N/A(注3)

5 機能的に独立なパラメータの操作 3.1.3.2.5 4.4.2(5) N/A(注3)

6 インヒビット解除コマンドに要する操作者の動作数 3.1.3.2.6 4.4.2(6) ○(注2)

7 異なった機能性を持つ分離制御経路 3.1.3.2.7 4.4.2(7) ○

8 ソフトウェア・インヒビットの監視 3.1.3.2.8 4.4.2(8) ○(注1)

9 システム状態監視能力 3.1.3.2.9 N/A ○(注1)

(注1) 有人による監視をテレメータによる監視と置き換えて評価(注2) 有人による操作の独立性を機能の独立性と置き換えて評価(注3) FDIR機能による自動故障回復シーケンス要求のため、N/A

４．複数ハザード制御の検証(2/8)

ソフトウェア検証＜IV&V＞

14

JAXA JEDI(情報・計算工学センター)殿の全面的協力による全開発フェーズにわたるIV&Vの実施

イプシロンロケットプロジェクトチーム

IHIエアロスペース/IHI

評価用データ指摘調整

評価用データ

指摘調整

評価報告書

JAXA

要求分析フェーズ：要求評価

設計フェーズ ：基本設計評価/詳細設計評価

製造フェーズ ：コード評価

試験フェーズ ：試験評価

４．複数ハザード制御の検証(3/8)

ソフトウェア検証＜IV&V＞

15

No 評価観点 期待する効果

1 上位仕様との整合性評価

各開発フェーズで、要求を満たした正しい設計、実装、試験されていることを確認する。

2 インターフェース（I/F）の整合性評価

FSWと他の機器が正しく協調動作を行い、システムとして正しい動作をすることを確認する。

3 状態遷移の一貫性・完全性

FSWが意図しない不定の状態にならないことを確認する。

4 FDIR（機器の切替え・異常処理）の完全性

異常発生時に確実に異常処理ができることを確認する。

5 処理タイミングの完全性

想定しないタイミングで発生するイベントに対し、ソフトウェア機能が損なわれないことを確認する。

6 ハザード制御の妥当性

ハザード制御が適切に設計及び実装され、確実なハザード制御が実施されることを確認する。

設計段階から有識者を交えたハザード制御方法の検討を実施したことにより、IV&V活動でのハザード制御に関する設計変更に至る指摘は0件であった

【設計フェーズにおける要処置件数】

４．複数ハザード制御の検証(4/8)

ソフトウェア検証＜CSU/CSC試験＞

16

ＣＳＣＩ試験/SWIL試験

ＣＳＣ試験

ＣＳＵ試験

システムレベルでのハザード制御機能の検証インヒビット機能が正常に動作すること各プロセス/ソフトウェアの健全性をテレメトリデータで確認できること

CSCに配分されたハザード制御機能の検証(1) シーケンス制御CSC

各プロセスのシーケンス（フェーズ/イベント）管理機能が正しく動作すること・2/3段分離 ：インヒビット解除指令が出力できること・2/3段非分離 ：該当するインヒビット解除指令が出力されないこと

(2) ディスクリート入出力CSC・2/3段分離信号をCSC間I/F変数として出力できること

・点火指令、インヒビット解除指令を出力できること

CSUに配分された単機能の検証

(1) 入力条件に従い、フェーズを切り替えら得ること(2) 入力条件に従い、イベントに応じた指令を出力できること(3) I/F変数のデータに従い、ディスクリート信号を出力できること

(4) ハードウェア故障に応じたステータスを設定できること(5) RAMパトロール結果、CRCチェック結果を出力できること

４．複数ハザード制御の検証(5/8)

ソフトウェア検証＜CSCI試験/SWIL試験＞

17

CSCI試験/SWIL(SoftWare In the Loop)試験ロケット機体のシミュレータと実計算機を使用した閉ループシミュレーションによる検証

OBC（誘導計算機）

シミュレータ

操作用PC

４．複数ハザード制御の検証(6/8)

18

ソフトウェア検証＜CSCI試験/SWIL試験＞

分離信号A 分離信号B メイン プロセスＡ プロセスＢ

点火指令 ｲﾝﾋﾋﾞｯﾄ解除指令

フェーズ カウンタ ｲﾝﾋﾋﾞｯﾄ解除指令

フェーズ カウンタ

分離 分離 ON ＯＮ A005 ｶｳﾝﾄｱｯﾌﾟ ＯＮ B005 ｶｳﾝﾄｱｯﾌﾟ

非分離 分離 ON OFF A003 ｶｳﾝﾄｱｯﾌﾟ ＯＮ B005 ｶｳﾝﾄｱｯﾌﾟ

分離 非分離 ON ＯＮ A005 ｶｳﾝﾄｱｯﾌﾟ OFF B003 ｶｳﾝﾄｱｯﾌﾟ

非分離 非分離 ON OFF A003 ｶｳﾝﾄｱｯﾌﾟ OFF B003 ｶｳﾝﾄｱｯﾌﾟ

メインプロセス

インヒビット解除によらず点火指令を出力

プロセスA

分離信号Ａの状態に応じて、フェーズ切り替え、インヒビット解除指令を出力

シーケンス管理用のカウンタは分離信号によらずカウントアップし続ける

プロセスB

分離信号Ｂの状態に応じて、フェーズ切り替え、インヒビット解除指令を出力

シーケンス管理用のカウンタは分離信号によらずカウントアップし続ける

：正常時 ：異常時

19

４．複数ハザード制御の検証(7/8)

システム検証＜MCO＞

MCO(Mission Check Out)射場へ出荷前の工場での 終かつ総合的なシステム機能確認試験

PAF～B2PL

B2モータ～1/2段接手

B1PL

後部筒～B1ノズル

発射管制システム

20

４．複数ハザード制御の検証(8/8)

システム検証＜MCO＞

搭載コンピュータによる複数ハザード制御に係る検証結果

分離信号A 分離信号B インヒビット1 インヒビット2 インヒビット3

分離 分離 ON ON ON

非分離 分離 OFF ON ON

分離 非分離 ON OFF ON

非分離 非分離 OFF OFF ON

OBCMPU

28V出力ドライバ

28V出力ドライバ

28V出力ドライバ

2/3段分離信号A

2/3段分離信号B

PSDB

28V

インヒビット1

インヒビット2

インヒビット3

タイマA

メインタイマ

タイマB

プロセスA

プロセスＢ

メインプロセス

各タイマ開始トリガ

フライトシーケンス動作確認により検証

3つのプロセスによる各タイマ動作の独立性を

タイマ開始トリガの有無の組合せにより検証

21

５．今後の発展に向けて

イプシロン初号機で獲得したもの

搭載コンピュータによる複数ハザード制御設計・検証手法の確立宇宙輸送系の分野として初の試み

ハードウェアによる独立冗長システム設計からの解放打上げシステムの低コスト化、軽量化に寄与

今後の発展に向けて

自律飛行安全システムの構築基幹ロケット(H‐IIA/B、イプシロン)の次世代システムと

して飛行安全管制を全て機体側で自律的に行う構想

米国では既に実証段階に入っている技術

Minotaur Iによるフライト実証(2013.11.19)

イプシロンロケットで採用した搭載コンピュータによる複数ハザード制御技術は