COSMIC USHER

1.背景

文献1)によると、図1に示されるように世界の衛星開発は大型化の一途をたどってきた。このために開発に
かかる費用及び期間が大きくなり、失敗が許されないプロジェクトとなり、非常に高い信頼性を要求される
こととかった。これにより更に信頼性を確保するための費用がかさむという状況が続いてきた。これに対し、
英国のサレーを筆頭として、低価格の小型衛星を市場に投入するところが現れた。小型で低価格の
衛星は市場に大きな影響を与えたが、低価格とはいえ数十億円規模であり、顧客は国に限られざるを
得なかった。

これとは別に、2000年代初めに東京大学が打ち上げた超小型衛星を契機として、世界の大学を中心
として超小型衛星の打ち上げが活発に行われるようになってきた。しかしながら、多くは大学の教育用や
技術実証といった用途に限られていた。

これらの教育を中心とした超小型衛星の利用から、実利用へ移行していくためには、超小型衛星のコスト
的なメリットを確保しながら、利用者が納得できるレベルの信頼度を効率的かつ効果的に得るための枠組み
が必要となってくる。
このような枠組みを構築するために、最先端研究開発支援プログラムの採択テーマの一つである「日本発
の「ほどよし信頼性工学」を導入した超小型衛星による新しい宇宙開発・利用パラダイムの構築」(中心
研究者:東京大学中須賀真一)では、超小型衛星開発において“ほどよい”信頼性を適切なコストで実現
するための「ほどよし信頼性工学」の構築を目指している。



図1人工衛星規模の推移(文献1より)

衛星を開発しようとするとき、あるレベルの信頼度が要求されるのが通常である。現在の信頼度の考え方
に基づくと、ミッションを実現するには単系で構成することで実現できるが、信頼度を上げるためには冗長系を
組むことが不可欠である。つまり、同様な機器を使った上で、更に冗長系を組むための付加的な設計、
製造、試験、運用が必要となってくる。このため、信頼度を上げるためにはどんどんコストがかかるように
なると考えられる。このイメージを図式化したものが図2である。



図2 信頼度とコストの関係(文献1より)

中・大型の衛星開発を中心とした従来の宇宙開発では、その開発費の高さから失敗が許されず、高い
信頼度を実現する必要がある。このため、図2の右端レベルの信頼度を実現する必要があり、そのために
高いコストがかかってしまうという状況にあると考えられる。これに対し、超小型衛星では、低コスト開発を
行うため、顧客と信頼度を上げすぎないことを合意した上で、適度なコストで適度な信頼度を実現することを
目標とすることが可能となってくる。
但し、全く異なる目的の衛星同士の信頼度とコストとの関係を比較するのは困難である。そもそも安価で
単純な機器のみを使った場合と、新規開発要素の多い機器を使った場合とでは、全く異なった値となるので、
同一の技術、機器、組織において、同一のミッションを実現した場合の模式的な図と考えていただきたい。

2.ほどよし信頼性工学の基本コンセプト

ほどよし信頼性工学の基本コンセプトは大きく2つの部分から構成されている。一つ目のコンセプトは、
地上でやるべきことを省いて軌道上でミッションが達成できないリスクを負うのではなく、地上でやるべき
ことが少なくなるような開発アプーチを実現することである。二つ目のコンセプトは、現在、宇宙開発で
使われている信頼度の数値は実際のミッションを達成する確度を表してないということを考慮し、現在の
信頼度上の数値は下がるかもしれないが、ミッションを達成する確度を下げないで、コストを削減する
ことが、ほどよい点を見つけることに対応することである。前者のプロセスアプローチ、後者をプロダクトアプ
ローチと呼んでいる。これらの2つのアプローチは完全に分離されたものではなく、密接に関係している。
プロダクトの設計がダイレクトにプロセスに影響してくるからである。例えば、冗長系をもったシステムとした
場合、冗長系を持たない場合に比較して、設計の複雑さが増し、それに伴って設計レビューの工数、
製造部品のコスト、製造の複雑さ、試験ケース数、運用準備の負荷が増すこととなる。

3.プロセスアプローチ

通常システム開発をおこなう場合には、何らかの標準プロセスに従って開発をおこなうのが通常である。
例えば、システム開発では、国際標準のIS15288や米国標準のANSI/EIA-632などの標準に元に
作られた会社・組織の標準に従って開発がおこなわれる。組織として開発プロセス標準に従うことは
ISO9001の要求とも適合しており、広く使われている。プロセス標準は何をするかを規定するものである。
(時にはそれをどのようにするかを規定する場合もある。)

ほどよし信頼性工学のプロセスアプローチでは、メタプロセスという考え方を導入し、標準プロセスではなく、
標準メタプロセスに従って開発をおこなう。標準プロセスでは、決められた順番に従ってプロセスを実施し
ていく。
この各プロセスは、それぞれ実施する目的があるはずである。この各プロセスの目的のことをメタプロセスと
呼ぶ。標準メタプロセスに従った開発では、何をするかについての標準に従うのではなく、なぜそのプロセス
をおこなうのかというメタプロセスを考えながら開発をおこなうこととなる。図3に標準プロセスと標準メタ
プロセスとの関係を示す。
標準メタプロセスを導入した場合、そのシステム開発のコンテクストにあわせて、メタプロセス(目的)を
満たすためのプロセスは変化させることが可能である。但し、Accountabilityを担保するためにも、
「なぜそのように実施することにしたのか(あるいは実施しないことにしたのか)」について、文書で残す
こととなる。



図3標準プロセスと標準メタプロセスの関係

例えば、標準メタプロセスを導入した場合の設計レビューはどのようになるかを考える。標準プロセスの場合
では、有識者を集めて審査会を開催し、審査対象文書を確認するということをおこなうのが通常である。
このとき、プロセス成熟度の高い組織では、レビュー指摘件数密度に従って、どれくらいの指摘を実施すべき
かの基準を定めておこなうこととなる。
一方で、標準メタプロセスの場合は、この設計レビューの目的は何か?誰が設計者か?その人の経験、
能力は?同一設計か、新設計か?顧客は文書を要望しているか?などの項目を考えることによって、
そもそもレビューを実施する必要があるのかといったところから考える。このときに、例えば全く同じものを
10年にわたって開発をしており、設計も変更していないといことを理由にレビューを実施しないという結論
を出すことも許される。もちろんその理由は明確に残しておく必要がある。

このように、システムを取り巻くコンテクストに併せて、メタプロセスからプロセスを設計し、その理由を
残すという方法で開発を実施する。
これは、プロジェクトを超えたプログラムレベルでも実施する。つまり、5年後に打ち上げる衛星に利用したい
新規機器のリスクが高い部分だけを、今回の衛星の一部にのせ、軌道上実証をおこなうなどがこれにあたる。

4.プロダクトアプローチ

従来の信頼性の考え方では,設計は問題なく,製品は設計通りに作られているという前提を置くことで,
部品が偶発故障で故障する確率から,システムがどれくらいの確率でミッション期間中ミッションを継続
できるかを計算することで信頼度を求めている.この考えたかによると,計算上,冗長系を並列で持たせ
ることで,信頼度を高くすることが可能となる.しかしながら,実際に衛星の軌道上不具合の中には,設計
に起因するものも少なくないと考えられている. 齋藤によれば,軌道上不具合は偶発故障に起因するもの
よりも設計に起因するもののほうが多いことが示されている.

衛星を開発しようとするとき,あるレベルの信頼度が要求されるのが通常である.現在の信頼度の考え方に
基づくと,ミッションを実現するには単系で構成することで実現できるが,信頼度を上げるためには冗長系を
組むことが不可欠である.つまり,同様な機器を使った上で,更に冗長系を組むための付加的な設計,
製造,試験,運用が必要となってくる.このため,信頼度を上げるためにはどんどんコストがかかるように
なると考えられる.中・大型の衛星開発を中心とした従来の宇宙開発では,その開発費の高さから失敗
が許されず,高い信頼度を実現する必要がある.
このため高いコストがかかってしまうという状況にあると考えられる.これに対し,超小型衛星では,低コスト
開発を行うため,顧客と信頼度を上げすぎないことを合意した上で,適度なコストで適度な信頼度を実現
することを目標とすることが可能となってくる.
この低コスト化のために,本論文では故障分類に基づく信頼度を導入することを目指す.このために,まずは
故障の分類を行う.図4に故障の分類を示す.



図4 故障の分類

従来の信頼度計算では,影響故障の偶発故障のみを考慮してきた.しかしながら実際には永久故障に加え,
一時故障というものが存在する.また,それぞれの故障について,偶発故障と決定論的故障と言われるものが
存在する.決定論的故障とは,設計不具合のようなもので,条件がそろえば必ず発現する故障である.齋藤
(2010)によれば,実際の軌道上不具合では,必ずしも信頼度計算の元となっている偶発的永久故障が多い
わけではないことが分かっている.

また,一時故障の特徴として,その復帰容易性があげられる.実際に大学が作った衛星では故障の発生した
機器をオフし,再度オンすることで復帰をさせることを行う.つまり,一時故障の場合には,機器をオフオン
することによりある確率において復帰ができるということになる.
上述したとおり,故障には大きく一時故障と永久故障が存在し,一時故障はオンオフを行うことにより一定の
確立で復帰することができるということを考えた場合,従来の信頼度とは異なる計算となる.

永久故障による故障率をλe,一時故障による故障率をλtとする.この場合の信頼度は以下の通りあらわせる.
  R = Exp(-(λe+λt)t) (1)
一方で,これに対し,一時故障の場合,確率αで復帰が可能であるとすると,この場合の新しい信頼度は以下の
通りあらわすことが可能である.
  R = Exp(-λet) x Exp(-(1-α)λtt) (2)
これらの式に従った場合,永久故障,一時故障及び復帰する割合の組み合わせによっては,必ずしも冗長系を
用意して信頼度をあげることを行わなくても,実質的にミッションを実行する確度を確保することが可能で
あることが分かる.
実際に、復帰を考えない場合は冗長系を組み、復帰を考える場合には冗長系は組まない代わりに、確率aで
復帰が可能であるとして、永久故障率、一時故障率及び一時故障からの復帰確率を振って解析をしてみた。
a=1(つまり、一時故障は必ず復帰する)として場合の結果を図5に示す。



図5ミッション遂行確度(a=1)

このシミュレーションの例では、一時故障の可能性が高い場合には、冗長系をもつよりもミッションを遂行
する確度が高くなることを示している。
上記の考え方を取った場合,人工衛星の設計コンセプトが通常の衛星とは変わってくる.つまり,通常の
衛星では信頼度を上げるために,ほとんどすべての機器について冗長系を用意する.それに対し,上記の
ようなコンセプトでは,オンオフを行うことで必ずしも冗長系を用意しなくても,実質的にミッションを実行
する確度を確保することができる.この場合,機器をオンオフするために必要な機器は冗長系を用意
して従来からの信頼度を確保し,そうでないところは冗長系を用意せず,一時故障が発生した場合に
はオンオフを実施するということを行える.このような考え方を導入した場合の人工衛星のシステムアーキ
テクチャ案を図6に示す。



図6 復帰を考慮したシステムアーキテクチャ

5.まとめ

ほどよし信頼性工学は大きく2つの項目からなることを示した。一つ目はプロセスアプローチで、二つ目は
プロダクトアプローチである。プロセスアプローチでは、標準プロセスの持つ無駄に着目し、標準メタプロ
セスを導入することでコストを削減することを示した。プロダクトアプローチでは、ミッション遂行確度という
考え方を導入し、一時故障はパワーサイクルをおこなうことで復帰が可能であるという事実にもとづき、
設計例を提示した。

             白坂成功准教(慶応大学大学院)          
         
         

参考文献

1) 中須賀真一,“超小型衛星コンソーシアムによる新しい宇宙開発・利用のパラダイムをめざして”,IEICE Technical Report, SANE2010-49(2010-06), pp.201-206, 2010.
2) 田村高志,“人工衛星の信頼性管理”,信頼性, vol.27, No.5(2005)
3) Saito, H. , “A Reliability Engineering of Satellite based on On-orbit Failure Data”, IEICE Technical Report SANE2010-125, 110(2010), pp.47-52.
4) 白坂成功,“ほどよし信頼性工学の構築に向けて”, 1st Nano-Satellite Symposium, Jun. 2010.
5) Hayashi, T.: , “Hopes on Small Satellites”, Acta Astronautica, Vol.52(2003), pp.833-837
6) Shirasaka, S., Nakasuka, S.: Toward the Development of Reasonably Reliable Systems Engineering for Nano-satellites, Proceedings of 54th Space Sciences and Technology Conference, JSASS-2010-4046(2010)
7) Boehm, B.: "Some Future Trends and Implications for Systems and Software Engineering Processes, Systems Engineering, Vol. 9, No. 1 (2006)
8) ISO/IEC : ISO/IEC15288 Systems and software engineering - System life cycle processes( 2008)
9) IEEE : IEEE1220 IEEE Standard for Application and Management of the Systems Engineering Process,(2005)
10) ANSI : ANSI/EIA-632 Processes for Engineering a System( 1999)
11) ESA-ESTEC : ECSS-E-ST-10C Space Engineering System Engineering General Requirements, ESA( 2009)
12) Ogasawara, O., Fujimaki, N., Kusanagi, T., Tahara, Y., Ohsuga, A. : The Practice and Evaluation of a Software Process Improvement Activity for Large-scale Company, IPSJ Journal, Vol.51, No.9(2010), pp. 1805 ? 1815
13) Saito, H.: A Reliability Engineering of Satellite based on On-orbit Failure Data, IEICE Technical Report SANE2010-125, 110(2010), pp.47-52.
14) Clark, K.B. and Baldwin, C.Y., "Design Rules. Vol. 1: The Power of Modularity", MIT Press, Cambridge (2000)
15) Ebeling, Charles E. : An Introduction to Reliability and Maintainability Engineering, McGraw-Hill Companies( 1997)

一般的にいう小型衛星は500kg以下。超小型衛星というのは50kg程度、軽いもので1kgくらいしかない
大きさです。
この超小型衛星はこれまでにない新しい宇宙システムです。超小型衛星は、コスト面を含め、宇宙産業拡大におけるあらゆる障壁がなく、真の宇宙利用を実現にもっとも近い技術モデルです。

日本国内における超小型衛星への取り組みは、東京大学 中須賀真一教授を中心に研究開発が行われており、同教授の超小型衛星開発理論「ほどよし信頼性工学」は、内閣府 最先端研究開発支援プログラムにも採択。今後、日本国内における超小型衛星技術は、急速に発展し、世界一の超小型衛星技術保有国となる日も間近です。