X 線天文衛星ひとみ (ASTRO-H) への FRAM 適用 2017.11.8 有人宇宙システム株式会社 IV&V 研究センター道浦康貴 宇宙航空研究開発機構第 3 研究ユニット片平真史 石濱直樹有人宇宙システム株式会社 IV&V 研究センター野本秀樹 道浦康貴
概要 X 線天文衛星 ASTRO-H ひとみ 異常事象調査報告書 を基に FRAM 分析を実施した結果を FRAM の分析手順に沿って紹介する ( 引用 ) 国立研究開発法人宇宙航空研究開発機構 (JAXA), X 線天文衛星 ASTRO-H ひとみ 異常事象調査報告書 p.6, 2016.6.14, http://www.jaxa.jp/press/2016/06/20160614_hitomi_j.html 2
FRAM 分析の流れ Step.1: 機能の把握 評価対象システムの機能を整理 Step.2:FRAM モデルの作成 Step.3: 特徴の識別 Step.4: 成功要因の識別 Step.5: リスク要因の識別 機能間の特徴的なインタラクションを識別し インタラクションすることの成功要因 ( メリット ) と リスク要因 ( デメリット ) を識別する 3
Step.1: 機能の把握 4
Step.1: 機能の把握 質問を通して評価対象システムの機能を把握する まず機能の概要を把握する (1) その機能の目的は何か? (2) 機能の入出力は何か? 次に FRAMのインタビュー技法に基づき機能の詳細を把握する (1) その機能の開始トリガーは何か? (2) 条件が変わった場合 どのように適応するか? (3) オフノミナル条件に対してどのように反応するか? (4) リソースは安定的に供給されるか? 不安定要因は? (5) 外部環境はどのくらい安定? 不安定要因は? (6) オフノミナル条件はたびたび発生? (7) 当然 と思われている前提条件はあるか? (8) 時間制約によるプレッシャーはどこにかかるか? 機能機能概要 (1) その機能の開始トリガーは何か? (2) 条件が変わった場合 どのように適応するか? (3) オフノミナル条件に対してどのように反応するか? (4) リソースは安定的に供給されるか? 不安定要因は? (5) 外部環境はどのくらい安定? 不安定要因は? (6) 不安定要因はたびたび発生? (7) 当然 と思われている前提条件はあるか? (8) 時間制約によるプレッシャーはどこにかかるか? (9) 特別なスキル 特別な高機能 特別な高信頼性を必要とする箇所は? (10) 最適な実行方法というものが存在しているか? (9) 特別なスキル 特別な高機能 特別な高信頼性を必要とする箇所は? (10) 最適な実行方法というものが存在しているか? [ 参考 ] FRAM handbook p.40, http://functionalresonance.com/how-to-build-a-fram-model/fram-handbook.html 5
Safety-I と Safety-II Safety-I 悪い原因から悪い結果が生まれると定義する安全工学 悪い事象を分析 なぜ失敗するのかを分析してリスクを識別 Safety-II 良い原因 ( 成功 ) からも悪い結果が生まれるとする安全工学 良い結果を生むのも 悪い結果を生むのも 同じ機能共鳴 ( 成功 ) の産物 なぜ成功するのかを分析してリスクを識別 失敗 成功 6
Step.1: 機能の把握 悪いところに着目した機能の整理 その設計だと問題が多すぎるのではないか? 追求が厳しい あまり話し過ぎず 無難な回答に徹しよう リスクが発生しないように どのような対策をとっているのか? 他の設計案と比較して リスクが少ない根拠はあるか? Vector Open Stock http://free-illustrations.gatag.net/2014/09/04/050000.html システムの悪い所に着目し過ぎると 本質を引き出すことが困難 7
Step.1: 機能の把握 良いところに着目した機能の整理 困難な設計だけど 機能を実現できたことがすばらしい 考慮したポイントは? 苦労して設計した所を否定せずに聞いてくれるので 背後要因も含めて沢山話そう 苦労したと思うが どうやって この設計を考案することができたのか? 他の設計案と比較して 良い箇所はあるか? Vector Open Stock http://free-illustrations.gatag.net/2014/09/04/050000.html Safety-Ⅱ を意識し 良い点からシステムの本質をとらえる 8
Step.1: 機能の把握 Step.1 の目的は システムのリスクを識別することではなく 機能の本質を網羅的に整理すること そのため リスクだけに着目した質問ではなく システムの良いところを含めた質問を行うことが重要 失敗 成功 9
ASTRO-H 不具合の概要 10
ASTRO-H 姿勢制御系機器 姿勢角を取得 衛星内のコイルに電流を流し 磁気を発生させ 角加速度を与える 衛星内のホイールを回転させ 姿勢を変更 推薬を噴射し姿勢を変更 現在姿勢を推定するために 太陽の位置を取得 姿勢角速度を取得 ( 引用 ) 国立研究開発法人宇宙航空研究開発機構 (JAXA), X 線天文衛星 ASTRO-H ひとみ 異常事象調査報告書 p.11, 2016.6.14, http://www.jaxa.jp/press/2016/06/20160614_hitomi_j.html 11
ASTRO-H 姿勢制御概要 姿勢制御概要 慣性基準装置(IRU) を用いて 衛星の各軸 (X,Y,Z) の角速度を計測 IRU 角速度を時間積分し 衛星の姿勢 (deg) を決定 角速度には誤差が有るため 時間経過と共に誤差が蓄積 精度の高いスタートラッカ(STT) の姿勢角を用いて IRUの誤差を補正 角度誤差 (deg) 姿勢変更中は STT の姿勢角を使用していないため IRU 角速度の時間積分による誤差が発生 1deg STT で姿勢角の誤差を補正 0deg 姿勢変更中 姿勢変更終了 時間 12
ASTRO-H 姿勢制御概要 姿勢制御概要 ASTRO-HではIRU 時間積分で求めた姿勢角とSTTの姿勢角の差が 1degを超えると STTの異常と判断する設計 ASTRO-Hでは 姿勢角の誤差が1degを超える現象が発生 角度誤差 (deg) 角度誤差が 1deg を超えると STT 異常 1deg 0deg 姿勢変更中 姿勢変更終了 時間 13
ASTRO-H 不具合シナリオ IRU 誤差推定値が STTデータで補正できず 高い誤差推定値を維持 カルマンフィルタの初期化時 観測値側に大きく振るように値を設定 ( 引用 ) 国立研究開発法人宇宙航空研究開発機構 (JAXA), X 線天文衛星 ASTRO-H ひとみ 異常事象調査報告書 p.34, 2016.6.14 14
Step.2: FRAM モデルの作成 15
Step.2: FRAM モデルの作成 把握した各機能を 以下の 6 つの要素 (5 入力 +1 出力 ) で定義し FRAM モデルを作成する I Input 機能の開始トリガーとなる入力 P Precondition 機能の開始の前提条件となる入力 T C R Resource 機能の実施に必要な資源となる入力 T Time 機能の実施の制約となる時間情報 C Control 機能の実施方法を変える制御入力 I 機能 P R O O Output 機能の出力 16
Step.2:FRAM モデルの作成 STT1 STT 故障判定 モード管理 STT2 STT 入力 姿勢異常判定 RW 制御 RW 角運動量監視 IRU1 IRU2 IRU 入力 カルマンフィルタ 磁気トルカアンローディング IRU 誤差推定 誘導 スラスタセーフホールド 太陽センサ 1 太陽センサ 2 太陽センサ入力 17 地上管制 コマンド処理
Step.3: 特徴の識別 18
特徴 1 同種の複数入力 STT 故障判定 モード管理 姿勢異常判定 STT 入力 IRU 入力 粗太陽センサ入力 スラスタセーフホールド 19
特徴 1 同種の複数入力 スラスタセーフホールドの開始は システムが自動で実施するだけでなく 地上管制からのコマンドによって 手動で実施することが可能 スラスタ制御値 ( 自動 ) 太陽方位角 ( 自動 ) スラスタセーフホールドモード遷移 ( 手動 ) スラスタセーフホールドモード遷移 スラスタ制御値 太陽方位角 20
特徴 1 同種の複数入力 成功要因 : 緊急時に 手動でスラスターセーフモードへ移行することができるため 運用の自由度が高いアーキテクチャとなっている スラスタセーフホールドモード遷移 リスク要因 : 自由度の高さという成功要因があるが 逆に機能の開始トリガーが複数存在するため 意図しないセーフホールド処理が発生しないように注意する必要がある スラスタ制御値 太陽方位角 21
特徴 1 同種の複数入力 機能の開始トリガーが複数存在する場合 : メリット: 運用性の自由度が高くなる リスク : どちらかに優先度はあるか想定される入力順序はあるか優先順位 入力順序が想定外の時 何が起こるか スラスタセーフホールドモード遷移 スラスタ制御値 太陽方位角 特に 人とシステムが介在する場合は 誤った開始トリガーの発生に注意し 設計と運用の両方を俯瞰した分析が必要 22
特徴 2 ループ構造 主に下記の内容に沿って評価を行う Function AとFunction Bは 互いに共鳴により強め合う または弱めあう もしくは その複合という関係になることがある 23
特徴 2 大きなループ構造 大きなループ構造 STT の姿勢角を用いて RW 制御を行う STT から姿勢角を取得 姿勢変更中ステータスを出力 モード管理 RW 制御中ステータスを出力 RW 制御により姿勢変更となり 姿勢変更中の場合 STT の姿勢角の取り込みを行わない STT1 STT2 STT 入力 RW 制御 カルマンフィルタ STT 入力からの姿勢角と 姿勢角の前回値から 姿勢角推定値を計算 誘導 姿勢角推定値から RW の姿勢制御量を出力 24
特徴 2 大きなループ構造 カルマンフィルタを中心とする大ループ構造 オーソドックスなフィードバック制御をおこなっている STT 入力 STT から姿勢角を取得 RW 制御 姿勢制御を実施 成功要因 : カルマンフィルタを用いて STT の姿勢角推定値と IRU の姿勢角速度推定値を生成することで より精度の高い姿勢制御を行うことができる ( 天文衛星のポイント ) STT にカルマンゲインを寄せることで IRU 誤差推定値を急速に収束させることができる ( 天文衛星のポイント ) カルマンフィルタ 姿勢角推定値と姿勢角速度推定値を計算 誘導 姿勢制御量 を計算 IRU 入力 IRU から姿勢角速度を取得 25
特徴 2 大きなループ構造 リスク要因 : 急速に収束させる反面 STT のカルマンゲインが大きいため 姿勢角がジャンプする可能性がある センサから取得した値がジャンプすると 推定値の誤差が一時的に大きくなる 姿勢角がジャンプし 推定値の誤差が大 [ 誤差が大きくなる状況 ] STT IRU 共に入力データが一時的に途絶えた時 誤差が大きくなる 姿勢変更中の時 ( 姿勢変更中は STT のデータを使用しなく なるため ) 2 系統ある IRU が切り替わった時 ( 引用 )X 線天文衛星 ASTRO-H ひとみ 異常事象調査報告書 P.34(4.2) 異常発生メカニズム 1:IRU 誤差推定値の動き 26
特徴 2 大きなループ構造 STT にカルマンゲインを寄せた結果 成功要因 : 天文衛星の姿勢角をすばやく安定させる リスク要因 : 姿勢角のジャンプ 対応策 : 入力開始直後の姿勢角はすぐに使用開始せず 収束に向かうまでの一定時間経過した後 姿勢角を使用し始めることで 成功要因を生かしつつ リスクを回避することが可能になると考えられる ( 引用 )X 線天文衛星 ASTRO-H ひとみ 異常事象調査報告書 P.34(4.2) 異常発生メカニズム 1:IRU 誤差推定値の動き 27