HTV (H-II Transfer Vehicle)「こうのとり」の設計では、故障や運用ミスに対応するために、「階層化FDIR」というアプローチを導入した。このアプローチ自体は論文として発表しているので、詳細はこちらを見ていただきたい。最近は、ISO26262など機能安全の担当者や自動運転の設計者から質問をうけるので、ここでは、簡単にその概略を説明する。
もともと人工衛星や宇宙機などの宇宙システムは、常に地上から見えているわけではないので、地球の裏側などにあって、モニターができていないときに何か故障などが発生しても大丈夫なように設計がおこなわれている。これをFDIR (Fault Detection, Isolation and Recovery)と呼ぶ。つまり、故障を検知して、他へ影響が及ばないように分離して、通常の状態に復帰するための機能である。実は、通常機能の設計以上に、このFDIRの設計には時間と労力がかかる。どのような異常を想定し、それをどのように異常と判定し、どのように分離・復帰をするのかを決めていくのは簡単ではない。また、衛星のアーキテクチャそのものに影響をするものであるので、全体へのインパクトも大きい。さらに、異常と判定するための閾値(スレショルド)の決定も容易ではない。スレショルドが「ゆるい」と、異常を検知の漏れが発生し、「きつい」と、正常なものも異常と判定してしまう。
さらに「こうのとり」では、2 Fail Safeという要求が課せられたので、より困難になった。2 Fail Safeとは、「2つの異常、2つの運用ミス、あるいは1つの異常と1つの運用ミスがあっても安全であること」という要求である。つまり、なんらかの故障が発生したあとに、さらにこのFDIR自体が故障することも想定する必要がでてきた。また、HTVは、宇宙ステーションに荷物を運ぶ補給機である。このため、この設計に問題があると、宇宙ステーションに衝突してしまう危険性がある。このため、「漏れなく」故障に対応することが重要となってくる。このような要求に対応するため、通常のFDIR設計を高度化した階層化FDIRという概念を導入した。
望ましくない状況(例えば、衝突など)に至る原因を考えるために、FTA (Fault Tree Analysis)という手法を一般的に活用する。このとき、このFTAの実施時に、「状態」、「機能」、「物理」などの階層性を明確にしておこなう。こうすると、「物理」的な故障が発生し、それにより「機能」が失われ、望ましくない「状態」が生まれるという時間的な流れを作り出すことができる。そして、このそれぞれのレベルについて、FDIRの設計を行うことで、FDRI自体を階層化することが可能となる。こうすることによって、たとえ「物理」レベルで故障想定に抜け漏れがあっても、「機能」が失われる時には、そのレベルに対応したFDIRがうごくことにより対応がとられる。あるいは、さらに「機能」が失われる状況が発生したとしても、「状態」になる時には、そのレベルに対応したFDIRがうごくことにより対応がとられる。こうすることで、たとえ想定しない故障が発生しても対応可能となり、さらにFDIRに故障が発生しても対応可能な設計とすることができる。
FDIRの設計そのものにも色々なパターンや工夫が存在するので、それを組み合わせることで確実な安全設計ができるようになる。
