失敗を公表し共有することの難しさ ― 2020年02月20日 20:50
失敗を公表し共有することの難しさ
昨年末、スターライナーのチョンボ飛行で、あわやクルーモジュールとサービスモジュールが激突して、両方ともパーになるところだった話は既に書いた。
(スターライナーのチョンボの陰に、本質的な問題が横たわっている懸念)
http://kfujito2.asablo.jp/blog/2020/02/07/9211391
「ソフトウェアのエラーにより、スラスタの分離と廃棄が不正確になります。それから何が生じたのかは不明です。」
(記事の標題にある内容より気になる、スターライナーの蹉跌)
http://kfujito2.asablo.jp/blog/2020/02/11/9212706
「2.サービスモジュールによる、クルーモジュールど突き事件」
要するに、大気圏再突入する時、廃棄するサービスモジュールと、帰還するクルーモジュールとを①切り離して、さらに②分離し、③引き離すための噴射を行うプログラムにミスがあったということだ。
ボーイングのコメントには、プログラムのミスにより何が起こったかの検証は行っていないとある。
まあ、ヤバいことが起こると分かってたからこそ、本番運用中にもかかわらず、バグの修正を行ったわけだからな。
知らないとは言わせない。
今日、別件でネットを調べていたら、知らないはずはないというもう一つの証拠を見つけた。
(50年前の今日地球帰還、アポロ11号の知られざる危機が今になって明らかに)
https://www.newsweekjapan.jp/stories/world/2019/07/5011_2.php
「データから一連のシーケンスを分析した結果、分離後に残っている推進剤が非常に少ないといった場合に、軌道変更が計画通り行われず、サービスモジュールの一部がコマンドモジュールに接触する可能性があることがわかった。」
「マイスX面方向のRCSが25秒間噴射し、ロール制御RCSが2秒間噴射する設定に変更すれば、サービスモジュールは適切な軌道に入り、衝突を防ぐことができる。」
なんとなんと、アポロ11号は、もう少しで機械船(支援船)にど突かれて、木っ端みじんになるところだったわけだ。
それは、8号、10号、そしてプログラムの差し替えが間に合わなかった12号でも同じだった。
そう、12号は、ヤバかった事が分かっていて、プログラムを差し替えることなく飛ばしたことになる。
チョーヤバ!!!。
アポロ計画なんて、ズタズタボロボロのクソミッションの寄せ集めだな(そんなあ!)。
宇宙飛行が正真正銘の冒険で、命がけだった古き良き時代の話だ。
生きて帰れば英雄だし、生きてなければ祀られるだけ。
やれやれ・・・。
しかも、この貴重な情報は、なんと機密扱いになる。
「このインシデントに関する報告は、アポロ11号のミッション後間もなく機密事項に分類され、1970年11月まで公の報告書に記載されなかった。」
が、しかし、ボーイングが、この話を知らないわけはないのだ。
アポロの司令船(CM:コマンドモジュール)と機械船(支援船とも:SM:サービスモジュール)は、CSMと合わせ称せられ、当時のノースアメリカン航空(ノースアメリカンエビエーション)によって作成されている。
この会社は、浮沈子的記憶にはない。
どうなったんだろうか?。
(ノースアメリカン)
https://ja.wikipedia.org/wiki/%E3%83%8E%E3%83%BC%E3%82%B9%E3%82%A2%E3%83%A1%E3%83%AA%E3%82%AB%E3%83%B3
「1928年に設立され、1930年代から航空機の製造」
「1967年にロックウェルと合併してノースアメリカン・ロックウェル」
今でも現役バリバリの怪鳥B-1爆撃機、スペースシャトルなどを作った。
現在のエアロジェットロケットダインも、元々はノースアメリカン傘下にあった(1996年から2013年まではボーイング傘下)。
で、今はどうなっているのか。
「1996年に(中略)ロックウェル・インターナショナルはボーイングに売却されている。」
だから言ったじゃん!?。
今回のスターライナーのチョンボの一端は、50年前のアポロ計画とつながっているのだ。
いつか来た道・・・。
当時のことを知る技術者がいたのかどうかは知らない。
しかし、切り離しの際のプログラムのバグが何をもたらすかを知らないはずはないのだ・・・。
「2017年にNASAの新型宇宙船「オライオン」のサービスモジュール開発エンジニアにこの件を教えた。」
「オライオンの開発チームは、設計の段階では分離後のサービスモジュールに、スラスター噴射による機体の制御が必要だという具体的な要求項目はなかった(と)話したという。」(()内浮沈子)
「分離後のサービスモジュールがコマンドモジュールに接触する危険を指摘した文書もなかったため、オライオン開発チームは、ジョンソン氏の知見を機体設計に取り入れることになった。」
オリオン宇宙船は、ロッキードマーチンが開発した。
彼らが知らなかったのは無理からぬ話だ。
ボーイングは、十分知り得る立場にいるからな。
それにしても、NASAがロッキードマーチンに要求事項として明記しなかったのはヤバイ。
米国の宇宙技術のすそ野の広さがなければ、オリオンだってESMにど突かれて木っ端みじんになっちまったかもしれないしな。
(エアバス、月探査宇宙船「オライオン」用「サービス・モジュール」を開発)
http://tokyoexpress.info/2019/11/01/%E3%82%A8%E3%82%A2%E3%83%90%E3%82%B9%E3%80%81%E6%9C%88%E6%8E%A2%E6%9F%BB%E5%AE%87%E5%AE%99%E8%88%B9%E3%80%8C%E3%82%AA%E3%83%A9%E3%82%A4%E3%82%AA%E3%83%B3%E3%80%8D%E7%94%A8%E3%80%8C%E3%82%B5%E3%83%BC/
「[ESM] は、「オライオン」宇宙船の一部として、電力、推進動力、水、酸素、エアコンなどの供給を担当、打上げから地球帰還時に切り離されるまで使われる。」
秋山さんの記事は、やや不可解な記述もある。
「コマンドモジュールと分離した後のサービスモジュールは、スラスター(小型エンジン)を噴射して軌道を変え、もっと後から大気圏に再突入するはずだったからだ。」
別記事では、CMより先にSMが突入するとある。
(支援船(SM):CMとの接続・切り離し参照)
https://www.apollomaniacs.com/apollo/sm.htm
切り離しのシークエンスは、こうだ。
①まず切り離し前に、飛行士はSMの電力を使ってCMのRCSの加圧を行う。
②つづいてメインコンソールの2系統の切り離しスイッチのどちらか一方を入れると、切り離しシーケンスが始まる。
③最初にCM-SM umbilical内の電気系統がOFFされる。
④-1:10秒後、CMとSMを結ぶ tension ties が切り離される。
④-2:同時に火薬によって動作するステンレスのギロチンカッターにより、CM-SM umbilical内のケーブル・ワイア類が切断される。
④-3:さらにSMのRoll-RCSエンジンが5秒間噴射し、SMの飛行コースを変更し、切り離したCMとの衝突を避ける。
⑤最後にSMのスラストエンジンが、燃料がなくなるか電力がなくなるまで噴射し続け、SMはCMから遠ざかっていく。
ちなみに、これは改善される前のマニューバだが、④-3が「マイスX面方向のRCSが25秒間噴射し、ロール制御RCSが2秒間噴射する設定」に変わっただけだからな。
⑤に変更はないはずだ。
SMの方が先に大気圏突入しそうなもんだがな。
日本語のウィキの記述にもそうある。
(アポロ司令・機械船:機械船)
https://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%9D%E3%83%AD%E5%8F%B8%E4%BB%A4%E3%83%BB%E6%A9%9F%E6%A2%B0%E8%88%B9#%E6%A9%9F%E6%A2%B0%E8%88%B9
「機械船は大気圏再突入の直前まで司令船に結合されている。切り離しの際は、機械船の姿勢制御用ロケットが自動的に噴射して司令船から離れ、司令船よりも先に大気圏に再突入する。」
ウィキがリンクしている資料も見ておく。
(SERVICE MODULE:資料ページ60のSM-CM SEPARATION参照)
https://www.hq.nasa.gov/alsj/CSM07_Service_Module_Overview_pp53-60.pdf
内容的には、上記の①から⑤と同じだ。
秋山さんの記事の中で、司令船の窓から見えてしまって大騒ぎになったのは、同じ侵入経路(コリドー)に入ってしまったからだ。
SMが先に大気圏に突入することと、CMの窓から見えないことは矛盾しない(そのためにロール制御して向き変えるわけだからな)。
先にSMを落としてからでないと、CMの再突入に支障が起こる可能性もある。
再突入しないでSMが軌道上に残っていたりしたら、アポロ11号のように、CMの前方や側方にまわりこむからな(チョーヤバ!!!)。
改善されたマニューバでは、たっぷり下がってから(後退噴射:2秒→25秒)、ちょっとだけ向き変える(ロール方向噴射:5.5秒(NASA資料では5秒)→2秒)。
そして、SMのスラスターの燃料が枯渇するか、または燃料電池がなくなるまで噴射される。
これで、十分コースは変更されてぶつからずに済むわけだ。
まあ、どうでもいいんですが。
「失敗から学んだ知見は、自由に利用し共有できるようにするべきだ」
スターライナーの再突入の話もそうだが、今回のクルーズ船の件も、成功と言えば成功だが(検疫やぶりは出なかったしな)、多くの感染者(死者も)を出してしまった点では悔やまれる結果となった。
このタイミングと病原体保有確認の方法で、検疫を解いたことだって、議論の余地があるかも知れない。
船内に入ったりした検疫官や厚労省の事務方に感染者が出たことは遺憾の極みだ。
失敗した事例を公開し、次に役立てるために検証に供することは難しい。
無謬性と完全性で対応することに慣れていると、失敗を失敗と認めにくくなる。
時間も含めて、限られた資源の中での対応が恙なく遂行できるためには、一体どうすればいいのか。
事態が進行している中で検証するのはさらに困難だ。
完全な検証でなくても、部分的でもいいし、後から、また変えてもいい。
スターライナーみたいに、ミッション遂行中に変更したっていいのだ。
手段は目的のためにあるわけだし、法は目的を達成するための一つの手段に過ぎない。
ヤバかったら、変えちゃえばいい。
あらゆる事態を想定して、あらかじめルールを決めることは不可能だ。
その時々の変更を受け入れてもらうためには、日頃から信頼を得ておく必要がある。
桜見たり、新年会行ってる場合じゃない。
次にクルーズ船が来たらどーするのか。
武漢から、中国人の患者を1000人程預かってくれとか言われたらどーするのか(ありえねー!)。
検査キット付きで押し付けられてもたまらんからな。
いずれにしても、事態は日々変化している。
人生は失敗の連続だ。
失敗を生かすことができなければ、国は滅び、ロケットは落ちる。
B社は、大丈夫なんだろうか・・・。
昨年末、スターライナーのチョンボ飛行で、あわやクルーモジュールとサービスモジュールが激突して、両方ともパーになるところだった話は既に書いた。
(スターライナーのチョンボの陰に、本質的な問題が横たわっている懸念)
http://kfujito2.asablo.jp/blog/2020/02/07/9211391
「ソフトウェアのエラーにより、スラスタの分離と廃棄が不正確になります。それから何が生じたのかは不明です。」
(記事の標題にある内容より気になる、スターライナーの蹉跌)
http://kfujito2.asablo.jp/blog/2020/02/11/9212706
「2.サービスモジュールによる、クルーモジュールど突き事件」
要するに、大気圏再突入する時、廃棄するサービスモジュールと、帰還するクルーモジュールとを①切り離して、さらに②分離し、③引き離すための噴射を行うプログラムにミスがあったということだ。
ボーイングのコメントには、プログラムのミスにより何が起こったかの検証は行っていないとある。
まあ、ヤバいことが起こると分かってたからこそ、本番運用中にもかかわらず、バグの修正を行ったわけだからな。
知らないとは言わせない。
今日、別件でネットを調べていたら、知らないはずはないというもう一つの証拠を見つけた。
(50年前の今日地球帰還、アポロ11号の知られざる危機が今になって明らかに)
https://www.newsweekjapan.jp/stories/world/2019/07/5011_2.php
「データから一連のシーケンスを分析した結果、分離後に残っている推進剤が非常に少ないといった場合に、軌道変更が計画通り行われず、サービスモジュールの一部がコマンドモジュールに接触する可能性があることがわかった。」
「マイスX面方向のRCSが25秒間噴射し、ロール制御RCSが2秒間噴射する設定に変更すれば、サービスモジュールは適切な軌道に入り、衝突を防ぐことができる。」
なんとなんと、アポロ11号は、もう少しで機械船(支援船)にど突かれて、木っ端みじんになるところだったわけだ。
それは、8号、10号、そしてプログラムの差し替えが間に合わなかった12号でも同じだった。
そう、12号は、ヤバかった事が分かっていて、プログラムを差し替えることなく飛ばしたことになる。
チョーヤバ!!!。
アポロ計画なんて、ズタズタボロボロのクソミッションの寄せ集めだな(そんなあ!)。
宇宙飛行が正真正銘の冒険で、命がけだった古き良き時代の話だ。
生きて帰れば英雄だし、生きてなければ祀られるだけ。
やれやれ・・・。
しかも、この貴重な情報は、なんと機密扱いになる。
「このインシデントに関する報告は、アポロ11号のミッション後間もなく機密事項に分類され、1970年11月まで公の報告書に記載されなかった。」
が、しかし、ボーイングが、この話を知らないわけはないのだ。
アポロの司令船(CM:コマンドモジュール)と機械船(支援船とも:SM:サービスモジュール)は、CSMと合わせ称せられ、当時のノースアメリカン航空(ノースアメリカンエビエーション)によって作成されている。
この会社は、浮沈子的記憶にはない。
どうなったんだろうか?。
(ノースアメリカン)
https://ja.wikipedia.org/wiki/%E3%83%8E%E3%83%BC%E3%82%B9%E3%82%A2%E3%83%A1%E3%83%AA%E3%82%AB%E3%83%B3
「1928年に設立され、1930年代から航空機の製造」
「1967年にロックウェルと合併してノースアメリカン・ロックウェル」
今でも現役バリバリの怪鳥B-1爆撃機、スペースシャトルなどを作った。
現在のエアロジェットロケットダインも、元々はノースアメリカン傘下にあった(1996年から2013年まではボーイング傘下)。
で、今はどうなっているのか。
「1996年に(中略)ロックウェル・インターナショナルはボーイングに売却されている。」
だから言ったじゃん!?。
今回のスターライナーのチョンボの一端は、50年前のアポロ計画とつながっているのだ。
いつか来た道・・・。
当時のことを知る技術者がいたのかどうかは知らない。
しかし、切り離しの際のプログラムのバグが何をもたらすかを知らないはずはないのだ・・・。
「2017年にNASAの新型宇宙船「オライオン」のサービスモジュール開発エンジニアにこの件を教えた。」
「オライオンの開発チームは、設計の段階では分離後のサービスモジュールに、スラスター噴射による機体の制御が必要だという具体的な要求項目はなかった(と)話したという。」(()内浮沈子)
「分離後のサービスモジュールがコマンドモジュールに接触する危険を指摘した文書もなかったため、オライオン開発チームは、ジョンソン氏の知見を機体設計に取り入れることになった。」
オリオン宇宙船は、ロッキードマーチンが開発した。
彼らが知らなかったのは無理からぬ話だ。
ボーイングは、十分知り得る立場にいるからな。
それにしても、NASAがロッキードマーチンに要求事項として明記しなかったのはヤバイ。
米国の宇宙技術のすそ野の広さがなければ、オリオンだってESMにど突かれて木っ端みじんになっちまったかもしれないしな。
(エアバス、月探査宇宙船「オライオン」用「サービス・モジュール」を開発)
http://tokyoexpress.info/2019/11/01/%E3%82%A8%E3%82%A2%E3%83%90%E3%82%B9%E3%80%81%E6%9C%88%E6%8E%A2%E6%9F%BB%E5%AE%87%E5%AE%99%E8%88%B9%E3%80%8C%E3%82%AA%E3%83%A9%E3%82%A4%E3%82%AA%E3%83%B3%E3%80%8D%E7%94%A8%E3%80%8C%E3%82%B5%E3%83%BC/
「[ESM] は、「オライオン」宇宙船の一部として、電力、推進動力、水、酸素、エアコンなどの供給を担当、打上げから地球帰還時に切り離されるまで使われる。」
秋山さんの記事は、やや不可解な記述もある。
「コマンドモジュールと分離した後のサービスモジュールは、スラスター(小型エンジン)を噴射して軌道を変え、もっと後から大気圏に再突入するはずだったからだ。」
別記事では、CMより先にSMが突入するとある。
(支援船(SM):CMとの接続・切り離し参照)
https://www.apollomaniacs.com/apollo/sm.htm
切り離しのシークエンスは、こうだ。
①まず切り離し前に、飛行士はSMの電力を使ってCMのRCSの加圧を行う。
②つづいてメインコンソールの2系統の切り離しスイッチのどちらか一方を入れると、切り離しシーケンスが始まる。
③最初にCM-SM umbilical内の電気系統がOFFされる。
④-1:10秒後、CMとSMを結ぶ tension ties が切り離される。
④-2:同時に火薬によって動作するステンレスのギロチンカッターにより、CM-SM umbilical内のケーブル・ワイア類が切断される。
④-3:さらにSMのRoll-RCSエンジンが5秒間噴射し、SMの飛行コースを変更し、切り離したCMとの衝突を避ける。
⑤最後にSMのスラストエンジンが、燃料がなくなるか電力がなくなるまで噴射し続け、SMはCMから遠ざかっていく。
ちなみに、これは改善される前のマニューバだが、④-3が「マイスX面方向のRCSが25秒間噴射し、ロール制御RCSが2秒間噴射する設定」に変わっただけだからな。
⑤に変更はないはずだ。
SMの方が先に大気圏突入しそうなもんだがな。
日本語のウィキの記述にもそうある。
(アポロ司令・機械船:機械船)
https://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%9D%E3%83%AD%E5%8F%B8%E4%BB%A4%E3%83%BB%E6%A9%9F%E6%A2%B0%E8%88%B9#%E6%A9%9F%E6%A2%B0%E8%88%B9
「機械船は大気圏再突入の直前まで司令船に結合されている。切り離しの際は、機械船の姿勢制御用ロケットが自動的に噴射して司令船から離れ、司令船よりも先に大気圏に再突入する。」
ウィキがリンクしている資料も見ておく。
(SERVICE MODULE:資料ページ60のSM-CM SEPARATION参照)
https://www.hq.nasa.gov/alsj/CSM07_Service_Module_Overview_pp53-60.pdf
内容的には、上記の①から⑤と同じだ。
秋山さんの記事の中で、司令船の窓から見えてしまって大騒ぎになったのは、同じ侵入経路(コリドー)に入ってしまったからだ。
SMが先に大気圏に突入することと、CMの窓から見えないことは矛盾しない(そのためにロール制御して向き変えるわけだからな)。
先にSMを落としてからでないと、CMの再突入に支障が起こる可能性もある。
再突入しないでSMが軌道上に残っていたりしたら、アポロ11号のように、CMの前方や側方にまわりこむからな(チョーヤバ!!!)。
改善されたマニューバでは、たっぷり下がってから(後退噴射:2秒→25秒)、ちょっとだけ向き変える(ロール方向噴射:5.5秒(NASA資料では5秒)→2秒)。
そして、SMのスラスターの燃料が枯渇するか、または燃料電池がなくなるまで噴射される。
これで、十分コースは変更されてぶつからずに済むわけだ。
まあ、どうでもいいんですが。
「失敗から学んだ知見は、自由に利用し共有できるようにするべきだ」
スターライナーの再突入の話もそうだが、今回のクルーズ船の件も、成功と言えば成功だが(検疫やぶりは出なかったしな)、多くの感染者(死者も)を出してしまった点では悔やまれる結果となった。
このタイミングと病原体保有確認の方法で、検疫を解いたことだって、議論の余地があるかも知れない。
船内に入ったりした検疫官や厚労省の事務方に感染者が出たことは遺憾の極みだ。
失敗した事例を公開し、次に役立てるために検証に供することは難しい。
無謬性と完全性で対応することに慣れていると、失敗を失敗と認めにくくなる。
時間も含めて、限られた資源の中での対応が恙なく遂行できるためには、一体どうすればいいのか。
事態が進行している中で検証するのはさらに困難だ。
完全な検証でなくても、部分的でもいいし、後から、また変えてもいい。
スターライナーみたいに、ミッション遂行中に変更したっていいのだ。
手段は目的のためにあるわけだし、法は目的を達成するための一つの手段に過ぎない。
ヤバかったら、変えちゃえばいい。
あらゆる事態を想定して、あらかじめルールを決めることは不可能だ。
その時々の変更を受け入れてもらうためには、日頃から信頼を得ておく必要がある。
桜見たり、新年会行ってる場合じゃない。
次にクルーズ船が来たらどーするのか。
武漢から、中国人の患者を1000人程預かってくれとか言われたらどーするのか(ありえねー!)。
検査キット付きで押し付けられてもたまらんからな。
いずれにしても、事態は日々変化している。
人生は失敗の連続だ。
失敗を生かすことができなければ、国は滅び、ロケットは落ちる。
B社は、大丈夫なんだろうか・・・。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※なお、送られたコメントはブログの管理者が確認するまで公開されません。
※投稿には管理者が設定した質問に答える必要があります。