失敗百選 〜アリアン5型ロケット爆発事故〜

【動機】
本事例は、European Space Agency*1によって打ち上げられたAriane 501型ロケットの失敗事故により、綿密な検討作業や試験の重大さが再認識させられた事例である。
【日時】1996年6月4日午後12時33分[GMT−グリニッジ標準時]

【事例発生地】仏領ギアナ、KourouのEuropean Space Agency宇宙センター

【発生場所】European Space Agency宇宙センターの上空約3700m

【死者数】0

【負傷者数】0

【物的被害】無人ロケットAriane 501、1機

【全経済損失】開発費を含めて約80億ドル[USドル]
【事象】
1996年6月4日午後12時33分[GMT−グリニッジ標準時]、European Space Agency(EPA)によって打ち上げられたAriane 501型ロケットが、打ち上げ直後に爆発した。同ロケットはEuropean Space Agency とAriane Space社が長期にわたり熱心に開発を続けてきたもので、その開発には80億ドル[USドル]以上の費用が費やされたといわれている。
【経過】
無人ロケットであるAriane 5型ロケット1号機は通称「Ariane 501」と呼ばれ、European Space AgencyとAriane Space社によって10年間に渡る開発年月が費やされ打ち上げられた。Ariane Space社は、1980年に欧州12ヶ国から なるEuropean Space Agencyによって形成されたもので、現在は世界各国の機関や企業と契約を結び、数多くの 人口衛星を南米仏領ギアナから打ち上げ、地球軌道に乗せることに成功している。European Space Agencyと Ariane Space社の主力はAriane 4型とAriane 5型ロケットであり、その中でもAriane 5型ロケットは、 最大搭載重量が約7トンという世界でも上位を争う超大型ロケットであると共に、商業用衛星の打上げでは最高の 信頼性を持つといわれており、世界の商業様打ち上げ市場にて独占に近いシェアを誇っている。日本の人口衛星 が同ロケットに搭載された例としては、1997年4月にAriane 4型ロケットで打ち上げられた、 日本放送協会(NHK)の放送衛星「BSAT-1a」を始め、最近では2001年3月に、同協会の放送衛星「BSAT-2a」がAriane 5型ロケットで打ち上げられ、それぞれ成功を収めている。
Ariane 501型ロケットの打ち上げ日に選択された1996年6月4日、打ち上げ地であった南米仏領ギアナ のKourouにあるギアナ宇宙センターの上空にはうっすらと雲が広がっていた。その日は打ち上げにとって最高の 天候とはいえなかったが、良好な日であり、Ariane 501型ロケットは打ち上げ直前まで順調にことを運んでいた。 打ち上げ予定時間まで残り7分を切ろうとしていた午前11時35分[GMT−グリニッジ標準時]、天候による視界の 悪化から、その打ち上げ条件が満たされないとして約1時間程打ち上げが延期された。時間の経過と共に視界が 次第に回復し始めた午後12時33分59秒、Ariane 501型ロケットは、その両側にある2つブースター(Solid Booster)と主エンジンを点火、機体は大空に向けて発射した。

Ariane 501型ロケットの打ち上げは発射約39秒後まではきわめて順調だった。しかし、それは同ロケットが高度 3700m に達した直後であった。同ロケットの機体が突然予定されていた打ち上げ進路から大きく逸れて爆発、 機体はバラバラになりながら炎に包まれた。この爆発事故でEuropean Space Agency とAriane Space社によるAriane 501型ロケットの打ち上げは失敗に終わった。
【原因】
Ariane 501型ロケット打ち上げにおいての失敗原因は比較的簡単に発見された。それは、同ロケットの飛行制御システム (Flight Control System)に採用されていたInertial Reference System(慣性照合装置) に指令を与えるコンピュータ・ソフトウェア(以降、ソフトウェア)に欠陥があり、システム内でオペランド・エラー (Operand Error)*2が発生したことが原因であった。Inertial Reference Systemのソフトウェアは 同ロケットが発射台上にある状態で慣性等の調整を取るためのものであり、その発射後も40秒間動作させられていた。
Ariane 501型ロケットに搭載されていた飛行制御システムは、他のロケットと比べて特に特徴があるものではなく、 当時の飛行制御システムとしては標準的なものであった。その構造としては、飛行制御システムのInertial Reference Systemが、Laser Gyro(レーザー回転儀)*3やAccelerator(加速度計)等によって計測された、同ロケットのAttitude (飛行姿勢)やMovement(飛行運動)等のデータを分析する。そして、そのデータはデータバス*4を経由してOn-Board Computer(搭載コンピュータ) へ伝送される。On-Board Computerはその受け取ったデータを基にサーボバルブ (Servo-valves)*5や油圧作動装置(Hydraulic Actuators)を作動させ、同ロケットの固体ブースター(Solid Booster)の噴射口(Nozzle)と主エンジン(Vulcain Cryogenic Engine)の噴射口を制御するというものであった。


(図:Ariane 501型ロケットに搭載されていた飛行制御システムの構造:Sydrose提供)

また、同飛行制御システムには、そのハードウェア*6やソフトウェア*7が故障した万が一の場合を想定して 予備装置が設けられていた。特に、同飛行制御システムの中枢であるInertial Reference Systemには、同一のものが並列に2系統に配置されるといった設計がなされており、片系統が作動中には、 もう一系統は常に Hot Stand-by*8状態にあった。そして、片系統の故障時にはOn-Board Computer がそれを探知して、自動的にもう一系統へ切り替えを行うといった構造であった。またOn-Board Computerも2系統あった他、その他の装置も同様に予備装置が設けられていた。

Inertial Reference System のソフトウェアによるオペランド・エラーは、Horizontal Biasと呼ばれるファンクション(Function)*9が、64ビット(Bit)*10の浮動小数点数*10(Floating Point)から16ビットの整数暗号(Integer Value)に変換する過程においてその変換可能な最大値を上回っていたためADA言語 と呼ばれるプログラミング言語を使用して作成されていたOn-Board Computerのソフトウェアが 対応出来なかったことから発生した。また、そのような変換失敗へ対して適切な保護対策が考慮されていな かったため、オペランド・エラーを探知したInertial Reference System 2がダウン*11してしまい、On-Board Computerに正確な飛行姿勢データの転送が行われなかった。図2からも分かるように、同飛行制御システムはInertial Reference Systemによって伝送される飛行状態データを基にOn-Board Computerのソフトウェアが 主エンジン等の噴射口方向角をコントロールしていた。しかし、Ariane 501型ロケットの打ち上げの際に作動していたInertial Reference System 2によって伝送される予定だったデータがその変換に失敗し、On-Board Computer が正確な飛行姿勢データを得られなかったため、同ロケットの主エンジン等の噴射口方向角が最大になり、 機体はその進行方向に対して20度以上という過大な迎え角(Angle of Attack)*12で飛行したため、空力的負荷が増大してしまい打ち上げから約39秒後に分解し始め爆発した。

また、On-Board Computer が、予備装置でありHot Stand-by状態であったInertial Reference System 1への切り替えに失敗した理由としては、並列に配置されていたInertial Reference System 1も、Inertial Reference System 2と同一データの変換が行われたため、両系統ともほぼ同時にダウンしてしまった。

では、なぜInertial Reference Systemの変換過程による失敗が開発段階で予期できなかったのだろうか。それは、Ariane 501型ロケットにおいて採用されていたInertial Reference Systemのソフトウェアには、 以前に打ち上げられ成功を収めていたAriane 4型ロケットと同一のものが多く採用されていたことが原因だった。 開発段階において、Ariane 5型ロケットの飛行制御システムに対するハードウェア、またはソフトウェア認定 (Qualification)は、装置認定(Equipment Qualification)、On-Board Computerのソフトウェア認定(Software Qualification)、ステージの統合(Stage Integration)、そしてシステム確認試験(Validation Test)の4つの過程から成り立っていた。しかし、その認定作業の対象になるものは、以前の事業(打ち上げ)で失敗、または目標が達成されなかった飛行制御システムのみであった。つまり、同事故の直接的原因とされるArian4型ロケットの飛行制御システム・ソフトウェアに対しては、以前に打ち上げで特に問題が発生しなかったことからproven-in-use(使用実績によって安全要求が満たされた)とされ再認定は行われていなかった。そして、そのproven-in-useとされた飛行制御システムに、新たに開発され再認定された飛行制御システムを統合して、飛行制御システム全体の認定が完了されていた。

Ariane 501 型ロケットは、そのような認定過程でproven-in-use と認定され、Ariane 4型ロケットに採用された同一のInertial Reference Systemを搭載し打ち上げが行われた。しかし、Ariane 501 型ロケットはAriane 4型ロケットと違う打ち上げ弾道をとるように設計されていたため、そのInertial Reference Systemのソフトウェアには本来Ariane 501 型ロケットの打ち上げに必要なデータとは異なるものが含まれていた。 そして、そのミスに全く気付かなかったEuropean Space Agencyは、変換過程による失敗が予測できなかった。
【後日談】
Ariane 501型ロケットの打ち上げ失敗後も、European Space Agencyは幾度かの打ち上げを試みてきた。 最近では、2000年3月21日に同宇宙センターからAriane 505型ロケットの打ち上げに成功し2つの衛星を軌道に投入、 続いて2000年9月14日と11月16日にはAriane 506型、Ariane 507型ロケットはが成功を収めている。 その後2001年3月9日に打ち上げられたAriane 509型ロケットは軌道突入に成功したが、同年7月12日打ち上げられたAriane 510型ロケットは軌道突入に失敗した。
【知識化】
商業用衛星の打ち上げロケットとしては最高の信頼性を持つといわれ、世界の市場で独占に近いシェアを誇っているAriane5型ロケットの一号機が失敗した背景には、技術の進化と共に複雑化するハードウェアやソフトウェアの作動テスト等が十分に行われていなかったことがある。宇宙事業においてのハードウェアやソフトウェア開発には莫大な時間、人手、費用が必要となる。そして、それらが現在においての多才な事業を支えているといっても過言ではない。つまり、まだまだ未知の世界といえる宇宙への事業において成功を収めるには、以前の成功に溺れることなく、各事業段階においての綿密な検討作業や十分な試験を行うことが重要ということである。宇宙産業がこの事故から学ぶことは多いのではないであろうか。
【情報源】
  • http://www.maryalice.com/cases/gm_latch.html
  • http://www.wattslawfirm.com/07_general_motors.html
  • http://www.pvtlaw.com/case/seatbelt.htm
  • http://consumerlawpage.com/article/seatbelt.shtml
  • http://www.motorcities.com/contents/00LJB075827216.html

用語解説

*1 European Space Agency(EPA)−ヨーロッパ宇宙機関

*2 オペランド(Operand)−アセンブリー言語(コンピュータのプログラムを記述する言語) のプログラムで命令の対象となる部分。(リーダース英和辞典、広辞苑より引用)

*3 Gyros(回転儀)−ジャイロスコープ、回転体の慣性を利用して飛行機等の方向を決定し 平衡を保つのに用いる。上下完全に対称な独楽(こま)の軸を円輪が支え、さらにこれを第2 の円輪がこれに直角の軸で支え、さらに第3の円輪がこれを前2者に直角の軸で支えて、独楽の 回転が3軸方向に自由度を有するようにした装置。独楽を回転させればその軸は空間に対して 一定の方向を保つ。(リーダース英和辞典より引用)

*4 データバス(Data Bus)−バスに接続されたデバイス同士がやり取りするデータが通るバス。 データバス幅が広いほど一度に転送できるデータ量も増えるので、転送速度を向上させられる。 PCIのようにアドレスバスとデータバスが多重化されていることもある。その場合、バスサイクルの始まりでは アドレスバスとして、その後データを転送するときにはデータバスとして扱われる。 (http://yougo.ascii24.com/gh/01/000144.htmlより引用)

*5 サーボバルブ(Servo-valves)−遠隔の電気信号に対し任意に流量・圧力を高精度・高応答に制御 するバルブ。(http://www.isdsystems.co.jp/seihin/valve.htmlより引用)

*6 ハードウェア(Hardware)−コンピュータ・システムで、トランジスター・集積回路などから組み立てた 計算機自体を、情報媒体に記録されたプログラム(ソフトウェア)と区別して呼ぶ語。(広辞苑より引用) 当レポートにおいては、ロケットに搭載された装置全般をさす。

*7 ソフトウェア(Software)−コンピュータのプログラムを抽象的にとらえる呼称。 コンピュータの運用に関する手順や処理する情報などを含めてもいう。(広辞苑より引用)

*8 Hot Stand-by−装置の常時電源がオンになっている状態、つまり待機状態のことを指す。

*9 ファンクション(Function)−コンピュータの基本操作命令、機能、作用。(リーダース英和辞典、広辞苑より引用)

*10 ビット(Bit)−ある情報を0と1の2種の記号の系列(2元符号)で表現するとき、その1個の記号をいう。例えば、2進数で情報を表現した時、そのある桁を表す0または1数次。(広辞苑より引用)

*11 ダウン−コンピュータ等の機能が停止してしまうこと。

*12 迎え角(Angle of Attack)−飛行機などの翼弦(翼の前縁と後縁を結ぶ線)と気流の流れの方向とのなす角度 (広辞苑より引用)