H3ロケット打ち上げ失敗(第二段エンジン着火ぜず)原因調査の途中報告…誤検知について

-

現時点でJAXAが発表した故障原因は下記のようになっています。(資料より抜粋)

  PSC2が過電流を誤検知

  PSC2から電源供給している下流機器の正常動作範囲で消費電流が過大

  PSC2から電源供給している下流機器の短絡故障、またはワイヤハーネス等の地絡により過電
 流が発生


基本的には、過電流検知し電源遮断させたためにエンジン着火しなかった事が原因のようです。その過電流の原因が何なのかという可能性が上記3項目に書かれています。

この中で、上記一番目の過電流を誤検知したについて、ここには根本的な問題があると思います。この検知の結果、電源を遮断したわけですが、改めて一般的な過電流検知の目的とは何でしょうか?

①システムを保護する(破壊を防止する)
②安全を確保する(乗員保護や周辺の人への被害防止)
③リセットして正常動作に戻す

これをロケットに当てはめて考えてみます。
①について
打ち上げてしまったロケットに対し、異常が発生したからといって停止し保護する意味はありません。もう再使用はできないですから、破壊して火災になっても問題ありません。 むしろ自爆(指令破壊)させたわけですので。

②について
これも上と同じく、人が乗ってないし周辺に人もいないのでフェールセーフは必要ないです。

③について
これが今回の打ち上げで唯一意味のある機能です。
この機能があったのか分かりません。データ(ログ)を取る意味でつけるなら意味があります。

フェールセーフは信頼性を高める手法だと勘違いしますが、その逆です。
安全や機器の保護に対する信頼性は上がりますが、機器の故障という意味だけで言えば間違いなく下がります。一般の機器や乗り物は安全が優先されるので、故障率が上がってでもフェールセーフは考えなければなりませんが、ロケットに必要ないフェールセーフをつけてわざわざ故障率をあげる事もありません。

勿論、一回目の失敗のように、まだ打ち上げ前の状態でフェールセーフを効かせる事は意味があります。 そこて停止してくれれば破壊せずに済むのでロケットが無駄にならなりません。

しかし、打ち上げてしまった後に異常検知し停止させても、まったく意味はないです。
ましてや誤検知だとしたら、本当はうまくいっていたものをフェールセーフが台無しにしたわけです。


「冗長」と「フェールセーフ」を混同してはいけません。
機能が増える程信頼性は下がります。故障率と言った方がピンときますが、部品が多いほど故障の機会が増えるわけです。ですので本来機能にプラスしてフェールセーフを付加するという事は、故障率を増やしているようなものです。

ですので、打ち上げ後の機能にフェールセーフなどいらないです。冗長だけつければいいのです。今回のシステムはA,B二系統の冗長系になっていて、過電流を検知してBに切り替えたようですが、Bも過電流検知して失敗に至ったようです。
最終的に着火しなかった理由は書いてありませんでしたが、誤検知であっても、遮断さえしなければ着火してるはずなので、恐らくB系統も過電流検知で電源遮断していると思われます。


故障発生→フェールセーフ・・・安全面の信頼性は向上、しかし故障率は上がる
故障発生→放置・・・安全性は下がるが、故障率は改善される

過去に書きました下記ブログもよろしければ見てください。

コメント

コメントを投稿

このブログの人気の投稿

サージとインラッシュ電流(突入電流)の違い

-
<はじめに>   そもそもこの二つは全然違うと言われると身も蓋もありませんが、両者は同じだと感じる方に向けて書きます。「サージ」も「突入電流」も急激な電気的変化の現象で、装置の故障に繋がる恐れがあるものです。サージ電圧が発生すればそれに伴い急激に電流が流れる事がありますが、それを突入電流とは呼びません。この言葉が何を表しているかを知れば故障の事前防止になるかもしれません。 <サージと突入電流の違い>  定義は無いと思いますが、一般的にはこんな感じだと思います。 ・サージ:電圧の急激な変化によって発生する高電圧の事。これによって発生する電流をサー      ジ電流と呼ぶかもしれません(突入電流とは呼びません)。コイルの逆起電力や静      電気放電などがあります。 ・突入電流:主に始動時(ON時)の瞬間に流れる電流を指す事が多いです。始動時の負荷抵抗       が低い為に発生します。高電圧が原因ではなく、低負荷が原因で発生するイメー       ジです。 <発生原因> ・サージ:コイル(リレー、ソレノイド)のオフサージ(コイルの逆逆起電力)。      静電気、雷(帯電した絶縁物からの放電)なども。 ・突入電流:コンデンサ、モーター、フィラメント等      コンデンサは充電されるまでの電流。モーターは起動時に回転する前の磁束変化      がなく電流阻止されない状態の電流。(なお、モーターはコイルで構成されている      のにも関わらず起動時に大電流が流れる理由は こちら を参照してください) <留意すべき故障> ・サージ:コイル(インダクタ)負荷を駆動するトランジスタの故障(D-S間の過電圧破壊)      或いはリレーやスイッチの接点劣化(アーク(接点火花)によるもの)。      MOS FETのゲートやCMOSの入力端子の静電気故障       ・突入電流:容量(コンデンサ)或いはモーターの電流経路上にあるトランジスタや電源ICの       故障(過電流)、或いはリレーやスイッチの接点劣化(溶着) イメージとしては、サージはコイルが関係する部品、突入電流は容量(コンデンサ)が関係する部品が原因となる可能性が高いと言えます。(詳細は コイルはOFF時コンデンサはON時に注意 を見てください) <発生防止に必要なこと>  これらの影響を確認するには、 電
続きを読む

オペアンプの基本原理

-
イメージ
 <はじめに>  オペアンプの基本原理は非常に単純です。しかしオペアンプについて記述されているものの中には誤解を招く内容があり、それが理解を妨げている場合があるように思います。 その一つが、増幅がオペアンプICの内部で行われているようなイメージのものです。 増幅はオペアンプICの外で行われています。それを意識しながら増幅の原理を少しでも分かりやすく、簡単に説明したいと思います。 なお、以下、オペアンプIC単体を「オペアンプIC」、外付け抵抗を含めた回路全体を「オペアンプ回路」と記述します。 <理解するために必要な考え方>  無意識に考えてしまう思い込みが誤解の原因となりますので、まずありがちな思い込みを払拭する事が必要です。 個人的な推測ですが、ありがちな思い込みとして下記があます。 ①オペアンプICに入れた2つの入力信号の差を、外付け抵抗で決めた増幅率で増幅する。(×) ②オペアンプICの増幅率は無限大だが、外付け抵抗を付ける事により、その増幅率を調整する  ことができる。(×) これらは間違いです。 外付け抵抗で増幅率を調整している(決めている)の所だけを切り取ると間違ってはいませんが、その前に書かれている内容と組み合わせると間違いになります。 ①②はいずれも、オペアンプICの中で増幅している、という考え方です。 しかし、 オペアンプIC内で増幅を調整する事はしていません 。また重複しますが、外付け抵抗はオペアンプ ICの増幅率 を調整しているわけではありません。 ではオペアンプICの増幅率(Av)とは何なのでしょうか? これは後述します。 ここで必要な考えは、 「オペアンプIC」と「オペアンプ回路(システム)」の 動作を切り分けて考える という事です。 下図は、今説明した内容を図で表現したものです。 一番上の図:オペアンプIC単体の特性を表しています。増幅率は無限大ですので出力は振り切       れています。(オペアンプ回路構成にすると振り切らす中間値を出力する) 中間の図: オペアンプ単体が設定された増幅率で増幅を行っている。(×)        これは間違いです 一番下の図:外付け抵抗を構成する事で、分圧回路が増幅を行っている。オペアンプの役目は       あくまで仮想短絡のみ。(◯)        正しい考え方 <説明の流れ> オペアンプ回路が増幅機
続きを読む

トランジスタのハーフオン(半オン)故障

-
<はじめに>   ハーフオン故障(半オン故障)とは、トランジスタを中途半端にON(あるいはOFF)させた状態が原因で発生する事象です。この故障モードは一般的に知られてはいますが、見落としがちな原因でもあります。 故障したICチップの焼損状態から、外部サージによる故障であると誤って報告されるケースが多いからです。  ハーフオン故障はサージ故障ではありません ので、いつまでたっても正しい原因に辿り着けない事になります。 <ハーフオン故障のメカニズム>  トランジスタ(MOS FET、バイポーラいずれも)は、ゲート(ベース)に中途半端な電圧をかけてONさせた場合、 消費電力が大きくなり破壊する 可能性があります。 フルON状態であればトランジスタのON抵抗が0に近く電圧降下が約0になる為、電力消費は僅かで済みます。またフルOFF状態であればON抵抗は大になり電流は約0なのでこれも電力消費は僅かで済みます。いずれもハーフオン故障は発生しません。しかし中途半端なON(OFF)は、電圧・電流両方ともかかるので電力消費が発生し故障を誘発する可能性があります。   こうなっていない事を確認する為にSOA(Safe Operating Area: 安全動作領域)内で動作させていることを検証して回路設計をします。 <発生してしまう原因>  トランジスタをスイッチとして使う場合(ほぼこの使い方だと思いますが)、SOAを意識する事は無いと思います。スイッチですのでON時、OFF時の2状態しかなく、前述の通り電力消費は殆ど無く故障しません。  しかし、ON/OFF状態しか設定していないつもりでも、下記のように 意図せずハーフONに なっている場合があります。 ・ OFF状態のゲート電位が0Vになっていない 。(ハイインピーダンス状態になっている)  →システムOFFの状態において、ロジック(ゲートに信号送る回路)の電源はOFFしているが   トランジスタ電源が切れていない場合、トランジスタのゲート電圧は不定になります。   不定(ハイインピーダンス)は0Vではなく電位が定まっていない状態なので、トランジス   タがハーフオンする可能性があります。 対策としてはゲートにプルダウン抵抗をつけ   て、ハイインピーダンス時にゲート信号がLo固定になる様にします。 ・ スイッチングの過渡時間が遅い
続きを読む