システム思考xデザイン思考xマネジメントで自己成長

今回の「電子システム安全論」の授業では、NASA宇宙ステーションプログラムにおけるコンピュータ安全に関する講義をいたしました。宇宙では、もともともは宇宙に人が居なかったので、打ち上げ前の射場安全がメインだったのですが、スペースシャトル、宇宙ステーションを人が宇宙にいる状態になってからは、軌道上安全という考え方が適用されるようになりました。特に、宇宙ステーションプログラムでは、宇宙飛行士が寝ているときに何かが遠くで起きてしまうと、宇宙飛行士がなんとかするということができないため、コンピュータを使って安全を確保しなければいけないという状況になっています。このようにコンピュータによる安全確保のための、コンピュータ安全要求というのものがNASAの宇宙ステーションプログラムから適用されました。
このNASA宇宙ステーションプログラムのコンピュータ安全要求は、Computer Based Control System Safety RequirementということでCBCS安全要求と呼ばれています。この要求の特徴的なところは、ハザードの特徴から安全を確保するためのアプローチを大きく２つにしていあるところです。それは、Must Work FunctionというものとMust Not Work Functionというものです。Must Work Functionは、ある機能が失われるとハザードが起きてしまう場合に、その機能をMust Workな機能とし、冗長系をもつことでハザードの発生をコントロールするアプローチになります。一方で、Must Not Work Functionは、ある機能が好ましくないタイミングで動いてしまうとハザードが発生してしまう場合に、その機能はMust Not Workな機能とし、間違ったタイミングで動作しないようにインヒビットでハザードの発生をコントロールするアプローチになります。このようにハザードコーズの特徴によってアプローチを明確に決め、それらに対するデザインのアプローチが決まっているところがとても面白い特徴と言えるでしょう。昨今、話題になっている機能安全（IEC61508やISO26262など）でも活用できる考え方になっています。
今回は、この考えかをベースに、HTV（こうのとり）ではどのように設計をしていったのかということを、これまで学会などで話して来たものを使って紹介させていただきました。更にHTV（こうのとり）はすでに３機が打ち上げられているので、これら３機でどのようなことがおき、実際に安全設計が役立ったのかどうかをあわせて紹介させていただく１コマでした。