1．日時

令和5年6月22日（木曜日） 13時00分～15時00分

2．場所

オンライン会議にて開催

3．議題

1. H3ロケット試験機1号機打上げ失敗原因調査状況について （一部非公開）
2. その他

4．出席者

委員

主査　木村　真一
主査代理　神武　直彦
専門委員　柿沼　志津子
臨時委員　笠原　次郎​
専門委員　門脇　直人
専門委員　熊崎　美枝子

文部科学省

研究開発局宇宙開発利用課長　上田　光幸
研究開発局宇宙開発利用課企画官　竹上　直也
研究開発局宇宙開発利用課課長補佐　上田　尚之
研究開発局宇宙開発利用課課長補佐　池田　宗太郎
研究開発局宇宙開発利用課課長補佐　木元　健一

（説明者）
国立研究開発法人宇宙航空研究開発機構（JAXA）
　宇宙輸送技術部門　事業推進部長　佐藤　寿晃
　宇宙輸送技術部門　H3プロジェクトチーム プロジェクトマネージャ　岡田　匡史
　宇宙輸送技術部門　H3ロケットプロジェクト　小松　満仁

5．議事録

【木村主査】　それでは定刻を過ぎましたので、第48回宇宙開発利用部会調査安全小委員会を開催いたします。今回はH3ロケット試験機1号機の打ち上げ失敗に関する第5回目の議論になります。本日もこれまでと同様にオンラインでの開催となっております。委員の皆さまにはご多用のところお集まりいただきまして、誠にありがとうございます。まずは事務局より、本日の会議に関する事務連絡をお願いいたします。
 
【竹上企画官（事務局）】　事務局の宇宙開発利用課企画官の竹上でございます。事務局よりご連絡いたします。本日は、所属委員のうち6名の委員にご出席いただいております。本日の資料は議事次第に記載のとおりです。オンライン状況について音声が繋がらない等の問題がございましたら、事務局へメールや電話等でご連絡ください。事務連絡は以上です。
 
【木村主査】　ありがとうございます。それでは、早速議論のほうに移りたいと思います。H3ロケット試験機1号機の原因究明についてですが、前回の会合から約1ヶ月が経ちました。この間JAXAさんにおいては、FTAの精査と試験シナリオの抽出を進められ、実機での一、二段分離試験も実施されたと聞いております。現在はこれに基づいて様々な検証評価作業を進めていただいていると理解しております。
　本日は原因究明の進捗状況について確認していきたいと思っております。なお、ロケットに関する技術情報を取り扱う部分については、参考資料1の運営基本方針に基づいて議論を非公開とさせていただくことをご了承ください。
　それでは具体的な議論に入っていきたいと思います。まずはJAXA宇宙輸送技術部門事業推進部の佐藤部長ならびにH3ロケットプロジェクトチームの岡田プロジェクトマネージャより、資料の説明をお願いいたします。
 
【佐藤部長（JAXA）】　佐藤でございます。本日もよろしくお願いいたします。木村先生からご紹介いただいた形で、前回以降進めてきた内容を紹介させていただきます。最初にアビオニクス関連の細かい議論もされるため、本日は担当の小松を参加させております。質疑に応じて対応いたしますので、よろしくお願いいたします。
　前回はH-IIAの共通要因について整理させていただき、H-IIAはそれで進めるというお話をさせていただきました。現状H-IIAの47号機向けのエキサイタおよびニューマティックパッケージについては、順調に対策を施したもので製造を進めている状況です。一部ですが、その後の進捗で9つ抽出したものを少し排除できるものも出たというので後ほど紹介いたします。またH3固有の要因につきましては、前回シナリオまで至っておりませんでしたが、本日は想定されるシナリオまで絞り込んだところまで来ておりますので紹介させていただきます。それでは、岡田より説明いたします。よろしくお願いいたします。
 
【岡田プロジェクトマネージャ（JAXA）】　H3プロジェクトチームの岡田です。どうぞよろしくお願いいたします。それでは、お手元の資料に沿ってご説明していきます。まずは目次をご覧ください。本日のご報告の内容ということで、主に2項と3項についてご説明いたします。1項につきましては、既にご説明済みですので割愛させていただきます。
　2ページにはもう少し具体的な内容が書いてあります。いつものフローに沿って説明しますが、今回の資料の範囲は赤の実線部分になっており、下のほうが少しごちゃごちゃしておりますので、仕分けています。今回ご説明するのは、赤の吹き出しの部分の二つになります。一つ目は、時系列の詳細分析を進めました。新たに判明したことがありますので、まずはそのご説明をします。それから、H3の固有要因に基づくシナリオの抽出とそれに基づく対応方針が次の柱になりますので、後ほどご説明していきたいと思います。
　3ページご覧ください。原因究明もだいぶ進捗してきており、我々が特に心がけていることは、本当に議論が客観的になされているかということです。担当者の思いが強くなりすぎてしまい、そこに引っ張られることがないか、あるいは網羅的に議論されているかという観点で進めております。手法としてはFTAという故障中心に進めているのですが、いろいろな見方あるいは各部署や企業の専門メンバーにも都度加わっていただき、できるだけ客観的・網羅的に原因究明を進めているということを申し添えさせていただきます。
　それでは内容に入らせていただきますが、15ページまでスキップさせていただきます。15ページは、上位のFTAであり、これは二段エンジンの不着火の事象からフローダウンしておりますが、これについては前回から大きく変わってはおりません。この中で、FTANo.3.2.3のPSC2の下流の機器の過電流というところから説明させていただきます。それが16ページのFTAになります。こちらも以前まで使っているFTAのアップデートであり、今回の更新箇所を赤字で示しております。大きくは2～3つあります。まず一つ目ですが、フライト環境の影響の中で機械的環境の衝撃部分は△のままで残してあります。先ほど木村先生にもご紹介いただきましたが、この1ヶ月の間に、実機大の一段と二段の分離試験を実施し、エンジンの取り付け点での衝撃は体制が確認できている値以下であることを確認しております。1回目はできるだけ早くこの試験を行いたいということでスピードを重視してやりました。二段の機器を搭載し、ダミーのウェイトを載せ、可能な限り模擬度を上げた状態で2回目の衝撃レベルを計測する予定です。
　1回目の試験において、今回の登場人物になっているPSC2の衝撃値が想定を超えていた可能性があります。こちらはまだ1回目の試験データですので確定的なことは2回目に評価したいと思っていますが、PSC2への衝撃のため事象に至る可能性というものは、ここでの整理というよりは、一番下のFTAの3.2.3.5の中ではH3固有という中の評価に加えております。その次のランダム振動の部分については、△から×にしております。以前より×ではないかと評価しておりましたが、関係者一同で改めて確認したということで×にいたしました。ランダム振動に対する振動耐性を有していることを確認済みでございます。
　それから、一番下の3.2.3.5がH3固有の中で△−として前回から残しているところですが、この中でシナリオ検討してきまして、過電流が生じる可能性について評価した結果として、否定ができないシナリオが出てきております。それは、PSC2の中の降圧回路の発信と出力の不安定によって、今回の要因に至る可能性のある故障シナリオが出てきたということで、これは後ほどご説明いたします。
　それでは17ページ以降の本文に入らせていただきます。まずは2.2項で時系列の詳細検討ということで、シナリオの前に新たなことが一つわかったと冒頭でご説明しましたが、これについて少し丁寧にご説明したいと思います。5月の段階で誤検知が生じた可能性はないとご報告しました。その根拠になったのは、PSC2よりもさらに上流にあるV-CON2の中の電流データに特徴的なところがありました。その特徴的なタイミングと電流データの大きさを考えると、誤検知を示すものではなく実現象であることを前回でご報告しました。今回このデータをさらに突き詰めていったところ、新たに一つの結論が導かれました。右下の図にエキサイタ・ソレノイド電源スイッチをオンにするタイミングがSEIGの後にありますが、実際にエキサイタがオンになった時間とV-CONの中の電流データに特徴のある部分から割り出したA系からB系への切り替えのタイミング、あるいはその前にあるA系の異常検知を開始したタイミングに時間差があることがわかりました。具体的には右下の図の緑色の部分になります。この評価には、フライト時のデータが離散的に得られておりますが、離散的なものにプラスマイナスを加味し、機器の中の動作にはそれなりの時間を要しますが、それらの時間を設計計算書、あるいは実際に計測をしています。
　右の図にあるとおり、動作としては、下のほうからPSC2の内部処理の時間があり、PSC2からECBに信号伝達があり、ECBの内部処理時の時間があってエキサイタがオンになります。ここまでが正常な時間帯ということで青矢印により示しております。これに対してA系の異常検知した時間帯には緑の両矢印で示しており、時間差が約10msほどあります。電気の10msというと有意な差だと考えており、このことから、SEIG前に完全に短絡/地絡していた故障モードは、要因ではないと評価をしました。
　18ページでもう少し詳しくご説明いたします。上と下は評価のビフォーアフターになっております。前回までの我々の分析では、先ほどの矢印である正常な時間帯の部分は、機体の中のマイナーサイクルが32Hzで回っており、マイナーサイクルの最初のところでBITについてのデータを収集するのですが、32Hzですから、約30msに1回ずつBITを収集検知していきます。この図にあるように、3回ビットが正常であるという処理をしており、4回目にBITで異常を検知しております。3回目と4回目の間のどこかで異常検知する事象が発生したというところまでははっきりしていたわけですが、最早のケースだと、A系とB系の切り替えも合わせて行われており、三つ目の青いBITのところではまだA系が正常であり、最も早く辻褄が合うタイミングになります。最も遅く辻褄が合うタイミングは、赤のBITの異常検知になったタイミングでは、まだB系の異常検知がなされていないという段階で、この間のどこかに異常検知があったと考えておりました。先ほど説明したV-CON2の電流データと、突合してAからBへ切り替えるタイミングはかなり精緻に割り出すことができました。それがAB切り替えのデータが取得できているタイミングで、前回ご報告しているタイミングです。この矢印のタイミングにA系とB系の異常検知の間を持ってくることにより、これが最も真に近いタイミングであるというところまで割り出しました。冒頭に申し上げた離散的なデータですから、それなりに前後関係が動き得るのですが、それらを加味しても10msという値は大きくずれないと思います。2～3msくらいずれるかもしれませんが、それ以上ずれることはないというところまではっきりしましたので、この前後関係狂わずにここに時間差があると結論付けました。
　19ページでもう少し補足させてください。この事象が何を意味しているかということですが、左と右で違うシナリオを示しております。左は否定できるシナリオです。ニューマティックパッケージの中のエキサイタがオンになった瞬間に完全な地絡・短絡は起きていなかったとご説明しましたが、仮にこれが先に短絡していたと仮定したものが左のケースです。短絡していると、エキサイタがオンになった瞬間に10msを待たずして過電流が流れるというモードで、こちらは否定できると考えております。
　逆に可能性が残るシナリオを右に載せております。上がエキサイタオンのタイミングです。エキサイタをオンにしたときには、まだ過電流が流れていないのですが、10msの後、急激な過電流が生じて現象事象に至ったと考えられます。このようにシナリオが大きく異なることを、ここで割り出すことができたことが一つの成果でございます。そちらも念頭に置いていただいて、以降は共通要因と固有要因についてのご説明をいたします。
　20ページをご覧ください。H-IIAの共通要因です。最初18個あったシナリオを9個まで絞り込み、この9個について対策を講じることを前回にご説明しました。その後、残る9個の内の2個の故障シナリオの可能性を排除しました。試験を通じて排除しましたが、具体的にはNo.3とNo.11というリード線の損傷が関係してくるシナリオが中に含まれており、このリード線の損傷が角部やケースに接触して生じたことを想定していたことに対し、角部を模擬した装置を上から配線に押しつけた形で、配線をある力で左右に繰り返し引っ張ることによって、このリード線の素線がむき出しになるかどうかということを検証しました。結果的には露出する損傷にまで至らなかったということで、こちらに関する二つのシナリオは排除いたしました。これがこの1ヶ月の中で一つ進んだところです。
　20ページの最後の部分の説明ですが、10msの時間差があることを踏まえると、SEIG前に完全に短絡/地絡していた故障モードは要因ではないということから、残る7個の故障シナリオを見てそれに該当するか、慎重に評価を終えたいと考えております。
　残る7個のシナリオについては、22ページと23ページに記載しております。22ページに3つ、23ページに4つ記載しており、現在H-IIAの共通要因のシナリオが残っております。
　24ページ以降でH3の固有要因についてご説明していきます。固有要因につきましては、PSC2からの電源供給している系統の過電流になりますが、これはH3のシステムとしてPSC2との連成により必然的に生じた要因が潜んでいないかということで、具体的にはFTAのナンバー3.2.3.5に関連した要因について検討してきました。大きくわけて二つのモードについて検討してきました。この二つのモードは、前回の小委員会において、二つの観点からシナリオを割り出しいくとご説明したものです。故障モードについて次ページ以降でご説明します。
　それ以外にも未知の故障シナリオがないかということ、また、それがあった場合の検証を兼ねて、システムレベルの試験に取り組んでまいりました。一つ目は種子島宇宙センターで行った実機大の一、二段分離試験の報告です。
　二つ目は、PSC2とニューマティックパッケージとエキサイタを組み合わせた状態で真空にて動作させる試験です。こちらも実機さながらの試験になるため、機器メーカーさんと筑波宇宙センターで行いました。
　三つ目は、エキサイタの耐久試験です。これはエキサイタを他の機器と組み合わせて、徹底的に寿命に至るまで動作させるという結果をご説明します。そして、それらから導き出されたシナリオとシナリオに基づく対策方針を以降でご説明します。
　まずは25ページをご覧ください。一つ目の観点であるSEIG時に発生する故障モードの評価です。SEIG時に発生することについて、いかに網羅的に検討するかという意味では、シーケンス・オブ・イベントが非常に役に立ちます。これはシーケンスの中でどのような動作をロケットがするかということを一つひとつくまなく見ます。SEIGのところで状態変化するものを網羅的に抽出し、フライトデータや解析試験あるいは机上検討によって、シナリオとなり得るかどうかということを検討しました。左半分は、前回ご説明したものとほぼ同等ですが、No2～4については区分を変えました。以前はエキサイタ/ソレノイド弁への通電が単独で存在していましたが、よく考えてみると、No2の電流の増加とNo3の電流変化率大は、ソレノイド弁の通電によって引き起こされるものであるため、これをグループの中に入れました。一つひとつ検討していったのですが、結果的にNo2に関係するものについては、故障に至り得るシナリオとして残しました。その他は最終的に要因ではないという評価をしております。例えば、No1は、制御信号ラインの状態変化ということで、SEIGを出力するまでは電位が不定だったラインと駆動電源ラインの短絡が発生していた状態で、SEIGで制御ラインをオンにしたときに駆動電流がグランドに流れるといったモードです。何かしら遠回りをしながら電気が流れることを考えて回路で当たってみたのですが、結果的に駆動電源ラインと空間的に離れていることから実際は起こり得ないということで要因とはなり得ないという評価をいたしました。
　No2番の△として残っているところは後ほどご説明しますが、電流の増加に伴い機能喪失するという故障のシナリオです。No3は電流変化率ですが、変化率に関するノイズがありました。発生するノイズは実際に誤動作を起こし得るノイズよりもずいぶんと小さいというデータが取られており、くまなく確認した結果として要因ではないと判断し排除いたしました。電圧についても、先ほどご説明したような時間差があるため、新たなシナリオは抽出されませんでした。No5、No6も同様ですので、説明は割愛させていただきます。
　丸2に移ります。次の観点はA/B系の二重故障に至る故障モードの評価です。26ページ自体は再掲ですが、二重故障と言っても偶然が二つ重なったというよりは、同一設計のものであるとか、A系とB系が何らかの連成をしていたために等、何らかの関係性を持った状態での二重故障に焦点を当てたものです。
　27ページは、その故障モードの評価結果です。縦軸に関しては、前回ご説明したところから追加になっているものはないため結果だけご説明いたします。No1の同一設計/同一仕様部位の破壊ですが、これは丸1の部分と一緒に整理できるものですから、故障モードの評価の中で検討しました。
　No2は、A/B系の突合せ部の下流を介した連鎖ということで、ダイオードの故障を一つの可能性としてみていたのですが、テレメトリデータからダイオードは故障していないことを確認しており、その時点で×に落ちました。それ以外に下流の突合せの部分で言うと、ニューマティック回路が不安定で発信した影響がPSC2に影響を与えて降圧回路が不安定になるということですが、これはシナリオとして残しております。その下も同じく降圧回路が関係しておりますので、こちらもシナリオとして残しております。
　No3とNo4は、共通して使用している部位を介しての連成、あるいはもう少し遠いところ同士が何らかの関係性を持って動作に影響を及ぼしたのではないかと考え、再度網羅的に検討を行いましたが、△になるような評価は出てこなかったため排除しました。ここまでが丸1と丸2のモードの整理でございます。
　28ページ以降では、3ページにわたってシステムレベル試験についての結果を簡単に述べさせていただきます。まずは実機大の1/2段分離試験ですが、この目的としましては、フライトデータ上衝撃レベルが環境条件の規定値を超えていた部分があったことをきっかけにして、実際には開発試験のときにはこういった仕立てでの分離試験を行っていなかったのですが、右下にあるように、実際のロケットには、外側部分に筒形の構造体があり、それが下に離れていくというものになっておりますが、種子島宇宙センターでは、分離部分のある構造部分だけを、このように試験の仕立てとしております。段間部のダミーが下に落ちるところで、その下にタンク間構造があり、さらにその下に酸素タンクがあります。酸素タンクの下にはスラストコーンがあります。このスラストコーンはエンジンの推力を機体に伝える構造になっており、その上には搭載装置がいくつか載っております。その下にLE-5Bエンジンの頭の部分が見えると思いますが、実際はこの下にノズルスカートが付いています。部分的ではありますが、ほぼシステムレベルの試験をすることができました。
　本文に戻ります。以下の直接確認ということで、丸1実火工品作動時の2段各部の衝撃レベルを測るということ、未知の故障シナリオ含めて分離関連の故障モードを割り出していくという目的です。
　1回目の試験が終わったところで得られた知見をご説明いたします。一つ目ですが、実火工品作動時の衝撃伝達特性については、打ち上げの失敗の後に改めてハンマリング試験を行い、概ね予測をしていましたが、その予測したものと大きくずれていなかったという結果になりました。また、エンジンを取り付けての衝撃レベルは予測以下であることを確認しました。したがって、衝撃がエンジンのある部分にダイレクトに入ったために、何か直接的に故障したというシナリオは考えにくいことがわかりました。その他にシステムレベルの故障モードや未知の故障シナリオについて、この段階では抽出されませんでした。一方で、スラストコーンというエンジンからの推力伝達部の円錐形の部分の上に搭載されているPSC2のパネルについて、当初から防震のデバイスが付いているのですが、想定よりも小さいため予想していたよりも衝撃レベルが大きく、PSC2に影響を与えた可能性が否定できないことがわかりました。したがって、今後予定している2回目の試験では、搭載機器のダミーを増やす等をして模擬度を向上すること、定量的に衝撃環境を割り出すということ、衝撃が大きかった可能性のあるPSC2については、実機を搭載して実際にどのような影響が生じうるのかということを丁寧に見ていきたいと考えております。また、衝撃の緩和対策については一部採用しており、その効果を見極めていきたいと考えております。
　29ページをご覧ください。次は真空でのエキサイタ試験です。右下にあるのは真空チャンバーの中の写真ですが、一番上にPSC2、ECB、エキサイタ、PNP、それらを繋ぐワイヤーハーネスがあり、これらを1メーター程の真空チャンバーに詰め込み、真空状態を実現した上で動作をいたしました。動作の結果として、打ち上げの失敗に繋がるような事象の再現には至っておりません。また、未知の故障シナリオも抽出されなかったということで、特別な知見が得られたということはありませんでした。試験の条件は大きく2種類です。大気圧の試験はリファレンスのデータで、ここでニューマティックパッケージとSEIGのオンを行いました。ニューマティックパッケージというのは、フライト中に多少気圧の残された状態でニューマティックパッケージをオンにするのですが、そのときのデータを1kPa～1Paの間のデータ、そして10のマイナス4乗Paで実際にSEIGのオンにかなり近い状態で動作試験を行いました。結果として異常はなく、未知の故障シナリオも抽出されませんでした。
　30ページをご覧ください。エキサイタの耐久試験ということで、真ん中にある装置を組み合わせた状態でエキサイタを動作いたしました。1号機の作動模擬ということで、実際の1号機のエキサイタ作動実績の2倍程度まで作動させたというのが一つの見方になります。もう一つはエキサイトの寿命時間を上限、またはそれ以上まで作動させました。結果としては、一番下の表にあるように、入力電流、電圧共に異常はなく、大きな顔つきの変化はなかったということが、かなりの回数かなりの秒時を加えた試験で得られた結果でございます。ここまでがシステム試験の結果でございます。
　31ページから数ページにわたり、残されたシナリオについてご説明したいと思います。一つ目のシナリオは、固有シナリオNo1として、PSC2のエンジン駆動電源の制御の不安定性のシナリオです。これは下流機器の短絡故障とも関連がございます。今からシナリオを追ってご説明しますが、下にはPSC2、ニューマティックパッケージ、右にはエキサイタといった説明に使うチャートを載せております。
　SEIGによって下流機器への電源投入のときに、PSC2Aの降圧回路が変動電流に伴って発振あるいは出力不安定となって過電流を出力したパターンです。もう少し詳細なメカニズムは次のページでご説明いたします。この過電圧により、下流のシングルポイントの機器を短絡故障によって過電流が生じました。過電圧が発生してから過電流に至るまでに10msの時定数があったと想定いたしました。短絡して過電流が8ms持続したことから、A系の電源遮断を行ない、既に短絡しておりますので、B系に切り替わった、8ms経った時点で電源が遮断されたというフライトデータと辻褄の合うシナリオが一点です。
　32ページをご覧ください。次のシナリオは駆動電源の制御不安定性の問題です。短絡の故障の場所としては、PSC2の内部を想定しました。流れですが、丸1の部分はシナリオのNo1と同じです。丸2は過電圧が生じた結果として、図にあるように定電圧ダイオードを短絡故障させて過電流を発生させました。後のシナリオは同じになりますが、まずA系でこれが起きたということ、B系でも同様の電源供給が始まっていて、PSC2Bも同じようなメカニズムで段に至ったのがこのシナリオです。
　このシナリオのポイントとなるPSC2の降圧回路発信のメカニズムは33ページにあります。
　丸1は下流機器への突入電流、または機器の消費電流の変動で電源ラインの電流量が急増したものです。
　丸2は降圧回路にコンデンサーがあり、そこから電荷が流れ出した結果として両端の電圧が低下したということです。コンデンサーの電圧が低下すると、その上流にあるFPGAが電圧を元に戻そうとフィードバック制御を始めますが、一方で消費電流が急速に収束したことで、結果的にFPGAは電圧を過大供給します。これは電圧回復のスピードが追いつかなかったということです。定電圧のダイオードの過電圧抑制機能が不足して、過電圧を出力したことについて詳細にご説明しました。現在はここにフォーカスをして、地上での再現試験を集中的に行ってきましたが、このような電圧課題は正常な機器の組み合わせで発生しないことが確認されており、また、エンジン駆動電源は制御前まで正常動作していたことも確認されております。1号機の場合は、地上点検からフライトのSEIG直前のデータに表れない何かしらの要因がこうした回路の不安定性に影響した可能性も考慮し、関連する可能性があるパラメータを振って、こういった不安定性が起きないかどうかということを解析的に割り出そうとしているところです。ここまでがシナリオの状況になります。
　34ページには、それらを踏まえた対策の方針について記載しております。固有シナリオである、No1とNo2の共通要因である降圧回路の発振・出力不安定に至る要因は検討中ですが、最終的に電圧制御が不安定となるモードは、これから説明する丸1と丸2に限られるというふうに考えています。不安定に至る要因を排除する対策を行うと共に、丸1と丸2に対してロバスト性を確保できるような対策を講じることを考えております。また、十分なロバスト性を確保できない場合に備えて丸3の対策を考えているのですが、結果的に過電圧が下流に及ぶことを防ぐようにしたいと考えております。
　まずは丸1ですが、FPGAの制御応答速度が不足するモードが想定される場合、応答速度（制御定数）が不足する場合は、改善する改修を行います。
　丸2としては、回路定数（コンデンサ容量、コイル誘導係数等）の安定性余裕が不足するモードの場合には、設計上安定性余裕が不足する箇所について適切化を行うというものです。
　丸3としては、定電圧ダイオードの過電圧抑制能力を増強する策を方針として掲げております。
　対策設定の考え方を最後に載せております。検証作業が若干残っておりますので、その作業と評価を継続してシナリオの絞り込みを行います。結果に応じて、今回お示した対策の中から採用する範囲を最終的に決定したいと考えております。
　35ページには、これまでのまとめと今後の進め方を記載しております。まずは要因を共通要因と固有要因に識別して、今回の失敗に至るシナリオを全て抽出いたしました。先ほどご説明した詳細な時系列の分析により、SEIIG前に完全に短絡/地絡していた故障モードは要因ではないことを確認しました。下には丸1と丸2ということで具体的に載せております。
　固有要因については、二つのシナリオに対する対応方針をお示ししましたので、共通要因と合わせて今後どのようにしていくかということですか、残るシナリオに対して検証作業の継続実施と上記時系列分析の結果からもう少し絞り込みが行えるのではないかと考えており、対策の範囲を決定したいと考えております。今後の進め方については、これらを踏まえつつ背後要因の分析と水平展開の整理に入っていきたいと考えております。以上です。
 
【木村主査】　ご説明ありがとうございました。大変多岐にわたってご説明いただきましたが、なかなか決定打が見つからず苦しい思いをしていると思います。私たちもご尽力に敬意を表しながらも、もどかしく思っているところです。
　最初のところで広く知見を集めて網羅的に検討されているとおっしゃっていましたが、これは非常に大事なことだと思います。FTAをやっていく上では網羅性が重要ですから、抜けのないように進めていってもらいたいと思います。なかなか全体像が見えないところですので、そのあたりを工夫されると良いのではないかと思います。
　今回のご報告で気になったことは、時系列の詳細検討のところです。タイムラグが見つかったことは非常に重要な情報だと思います。瞬時に短絡したというのではなく、10msのラグがあり、そこで初めて検出が入っていることが見つかったということです。おそらく、エキサイタオン時点までに何らかの過電流の原因になるようなものがあったと考えられ、そこがキーになって何か発生したのではないかと推察されているということですね。
　この10msについて確認したいのですが、これは電流を通電した後異常に至るまでに間にコンデンサーやパッシブな要因がいくつかあって、このシステム規模から考えて、電流が投入されて上がっていくという現象に比べて、有意に長い時間だと理解してよろしいのでしょうか？
 
【岡田プロジェクトマネージャ（JAXA）】　先生がご指摘された点は非常に重要だと思っております。この10msの中のストーリーを、より定量的にお示しするべきだと思っていますが、現在通しでご説明できる資料がお手元にはございません。本日はH3プロジェクトチームの専門家がおりますので、そちらに意見を聞いてみたいと思います。
 
【木村主査】　お願いします。
 
【小松（JAXA）】　JAXAアビオニクスの小松と申します。よろしくお願いいたします。木村先生より、通電を開始してからコンデンサー等に突入電流が流入して回路が安定するまでの時間幅があるはずだというご指摘をいただきました。そこにかかる時間については、10msに比べるとかなり小さいオーダーで回路的に落ち着くはずです。逆に言うと10ms経ってから過電流に至るというのは、ノミナルでは生じ得ない何らかのモードがこの回路の中に存在したのではないかと推定しているところです。
 
【木村主査】　ありがとうございます。そこはすごく大事なポイントだと思っており、これからも10msは意味を持ってくると思います。通常の電源回路の中で考えると、10msはかからないだろうという直感はあるのですが、なにぶんシステムが大きいですし、重要な部分ですから、先に質問させていただきました。
　前回はH-IIAとの共通部分とH3固有部分についてわけていただき、H-IIAの共通要因については粛々と検討を進められている一方で、H3固有の部分については、SEIG時に発生する故障モードとA/B系の二重故障に至る故障モードの二つにわけて、議論が進められてきていると理解しました。
　それから、システム設計の試験を進められている中で、非常に大きなところを三つ挙げられていますが、残念ながら決定打になるような現象は見つかっていないという理解でよろしいですか？
 
【岡田プロジェクトマネージャ（JAXA）】　その通りです。これ以上やりようがないほど模擬度は上げようと思って、大規模な試験に取り組んできたところですが、今のところ何も起きていません。
 
【木村主査】　わかりました。良いことなのか悪いことなのかわかりませんが、規定通りに動いていたということですね。
 
【岡田プロジェクトマネージャ（JAXA）】　その通りです。
 
【木村主査】　委員の先生方から何かご質問等ございませんか？笠原委員、お願いいたします。
 
【笠原委員】　ご説明ありがとうございます。名古屋大学の笠原でございます。非常に詳しい解析や実験等が進んでおり、10ms後に短絡が発生していることを突き止められているところに多大なご努力があったものと推察いたします。本当にお疲れ様です。
　31ページのエキサイタ、ソレノイドと書いてある赤い部分に短絡がある可能性が強まったというふうに理解いたしました。また、そこに損傷がいつの時点であったのかということを衝撃試験にて、スラストコーン部分の衝撃が想定よりも大きいことが影響しているのではないかということを、現在解明中であることも理解しました。
　私からの質問ですが、そういった衝撃試験で解明される目的というのは、エキサイタ、ソレノイドの部分に何らかの影響があったということを解明されているからでしょうか。あるいは、その前に干渉しているPSC2内部の不安定な過電流の発生機構に何か影響があったことを解明されようとしているのでしょうか？
　今回31ページと32ページで提示されている故障ストーリーと衝撃試験の関係性について確認させてください。
 
【岡田プロジェクトマネージャ（JAXA）】　笠原先生、ありがとうございます。衝撃そのものでダイレクトに何かがやられて失敗に繋がったというよりは、衝撃によってフライトデータで見えないような影響が回路上にあったとして、その影響によりPSC2の降圧回路が不安定動作を起こしたことがあり得るかもしれないことを割り出そうとしています。もちろん、衝撃環境が想定よりも大きかったということで、機器そのものに問題がないかを調査する目的もありますけれども、この原因究明という観点から申しますと、シナリオのNo1ないしNo2に繋がるような、PSC2の中に何らかの影響を与えたものがないかという見方をしています。
 
【笠原委員】　ありがとうございます。大変よくわかりました。現在可視化されている範囲のところで、メカニズムが存在しているのではないかという考えのもとに衝撃試験をされようとしているというふうに理解いたしました。
　もう一つの質問ですが、10msの遅延があったことについてです。31ページ～32ページには、非常に具体的でリアルに実体のあるものですので、10msの遅延の情報は物理的な時間としてかなり重要だと思われますが、今想定されている考え方の中で、どの部分がこうなったら10msかかり、短絡故障が発生しそうという、実際の物理現象のカウントとして妥当なものは掴んでいるのでしょうか？
 
【岡田プロジェクトマネージャ（JAXA）】　まだ10msについて照らし合わせた詰めですが、もう一歩のところだと思っており、今まさに取り組んでいるところです。逆に言うと、最初からぴったりと短絡していたものはここから消えていくはずです。特に共通要因の中の6つは、安易に考えると最初から一気に大電流が流れてしまうのではないかと思いたくなるようなシナリオになっていますので、そこを先生がおっしゃられるようにもう少し丁寧にやっていきたいと考えています。
　18番のトランジスタに関しては少し毛色が違いますが、トランジスタが10msの間にどのような動きをするのかということを丁寧に見ていく必要があると思っております。また、H3固有シナリオについても丁寧に見ていきたいと考えています。
 
【笠原委員】　ありがとうございます。これから慎重に見極めていく道筋にあることを理解いたしました。ご丁寧な説明をどうもありがとうございました。
 
【木村主査】　ありがとうございます。私からもう一つ確認させてください。最後のほうのH3固有のところで、二重故障に至る、もしくはSEIGに起因する現象で冗長性が生きないパターンなのですが、私は可能性として十分にあると思っており、慎重に考えなければいけないところだと思っています。
　31ページ～33ページに至るところの現象確認をされようとしており、今のところ手がかりは見つかっていないというお話をされていました。このときの条件で、大気や温度はどのような条件で試されていますか？
 
【小松（JAXA）】　確認作業は、試験の側面と解析の側面の両方からアプローチをとっています。試験作業においては、常温・常圧下で実施しております。
 
【木村主査】　わかりました。実はこの部分で気になっているポイントがあります。連成によって発生する、もしくは設計が同じである故に、A/B系で同じ現象を起こし得るという二つは、捉えていく上で重要な要素だと思っています。それを起こし得るシナリオをここで説明されていますが、その間には網羅性が必要ではないのかと考えています。このシナリオに立つと、おそらく最後の対策のところの3つに落とし込むことはできるのですが、そこに落とし込む過程の中で何か見落としていることはないのでしょうか。これだけが連成要因として考えられるかというところに一抹の不安を感じます。我々は全体のシステムを見られているわけではないし、ディテールはわかりませんが、報告をしていく上で網羅性のようなことをワンクッション入れる必要があるのではないかと思いました。
　今回の説明では最終的にここに落ちるかもしれませんが、その間になぜそこに落とし込んでいったのかという可能性やある種、網羅的なサーベイがあって、そこで落ちるというふうに説明すると説得力が増すのではないかと思いました。これは意見のようなものですが、そういうところを少し意識されたほうが良いと思います。
　例えば、最後に落ちてきているポイントがFPGAの応答速度というところですが、確かに応答速度が追いつかない場合にこの現象が起きると思いますが、例えば、ロジックや条件によっては起こし得ないのかということです。つまり、ロジックのレベルで同じような問題をはらんでいる場合に、同じような結果が出ないのかということです。例えば、回路定数の条件によって変わったりすることはないのかということも少し気になっております。ここで指摘されているように、ある種ロバスト作っておき、その範囲内で変動があったとしても適用できることは大事ですが、まずはロバストの範囲をどこに持ってくるかという設計が必要な気がしており、その説得性も一つ必要だと思います。
　今回試験をされて、おそらくモデルとしてどこまで設定するかということが仮説としてあり、それに合わせて改修をかけられるということを考えられていると思います。そのあたりの説明をこういったところに入れていくと、より良いのではないかと思います。
　おそらく、相当検討されていた上でのステートメントだと理解していますが、途中の議論を聞いていないとなかなかわからないものですから、効率よく説明されると良いのではないかと思いました。
　最終的に定電圧ダイオードの過電流での崩壊という話になっていますが、そこだけなのかということも気になっています。確かにそこが起きると、この現象は起きます。必要条件ではあるのだけれども、それで十分なのかと言われると、対策を立てる場合にはある程度十分条件を保証してやらないといけないので、そのあたりの議論も必要なのではないかと思いました。
 
【岡田プロジェクトマネージャ（JAXA）】　木村先生、ありがとうございます。隣にいる小松も含めて日々格闘しているところですが、網羅性を担保すること、それを客観的にお示しするということを努力して、次にご説明できるようにしたいと思います。
 
【小松（JAXA）】　ありがとうございます。先生が最後におっしゃっていた定電圧ダイオードでの過電圧抑制を十分にやり切れるのかといったところは、我々のほうでも議論を継続しているところです。対策としての有効性を十分に取れるかといったところと、前提として不安定にしないというところをしっかりやり切ることが大事だと思っておりますので、あわせて議論を進めていきたいと思います。
 
【木村主査】　そうですね。ある意味きちんと考えて対策を取れるタイミングでもあると思っています。要はアドホックな対策をして後々まで禍根を残すというよりは、理論的に抑えられるということを示されたほうがいいのではないかと思いました。
 
【岡田プロジェクトマネージャ（JAXA）】　ありがとうございます。そのように網羅的に検討しても、この不安定現象そのものを再現できない可能性もあるのではないかと思っているところです。次回はそこも含めてご報告したいと思っております。
 
【木村主査】　そこは環境もあることなのですごく悩ましいところだと考えており、再現も非常に難しいと思います。ただ、必然で抑えられる部分は必ず押さえておかないといけません。
　もう一つ私が気になっているのはロジックの部分です。十分なロバスト性が確保できているかということは気になっており、この部分が備えられていないと同じトラブルを起こしてしまう危険性があるので、そこの見直しをやられたほうがいいと思っています。
 
【岡田プロジェクトマネージャ（JAXA）】　ありがとうございます。参考にさせていただきます。
 
【木村主査】　他にご質問やご意見等ございませんか。すごく細かい話ですがよろしいでしょうか？
少し気になったのは、FPGAは過電流をコンパレータで見るのではなく、値として見ているのだと理解しております。このときADCとのインターフェースにトラブルが発生したときに、FPGAはどのような感じで応答する仕組みになっているのでしょうか？
 
【小松（JAXA）】　ありがとうございます。正確なところは確認の上で別途回答させていただきたいと思いますが、このADコンバートの作業とそれを取り込んでFPGAが処理するという処理自体は、この事象が起こった後も正常に続いていたことがわかっております。そこで特段の異常が検出されていないということからも、そういったことは起こらなかったのではないかと考えております。
 
【木村主査】　これは非常に早いタイミングで取っているので、瞬間的に取りそびれるということはありませんか？
 
【小松（JAXA）】　AD変換の処理は、つねに周期的に処理を進めているものです。このエンジン駆動電源に関する電流ないしは電圧のところだけたまたま4回連続で異常になってしまい、他は全く異常がなかったという仮説は立てづらいと考えております。
 
【木村主査】　わかりました。そこは生命線でもあると思います。A/B系も同じ作りになっているということ、それからイベントに対してドライブされて何かが起きるという観点からすると起き得るのではないかと思っており、値そのものを相手にしているところが気になったのでご質問させていただきました。
　誤検知を気にしているわけではありません。誤検知については、他のところの根拠も含めて確認されているということですから、ロジックレベルの何かが潜んでいるトラブルがないのか気になって質問させていただきました。
　他に何かございませんか。神武先生、お願いいたします。
 
【神武委員】　システムレベルの試験ですが、ここまで実態に近い状態でやることはすごいことだと改めて思っているところです。できるだけ模擬をしていることは理解しましたが、宇宙空間で考えたときに100%模擬し切れていない状態はあるのでしょうか。もし模擬ができていないという懸念があるようでしたら教えていただきたいと思います。
 
【岡田プロジェクトマネージャ（JAXA）】　ありがとうございます。神武先生がおっしゃられているのは分離試験のところでしょうか？
 
【神武委員】　そうです。これからやられるほうで、もし足りていないところが見出せるのであれば、それも検討いただきたいと思ってのコメントです。
 
【岡田プロジェクトマネージャ（JAXA）】　大きく影響するかどうかは別にして、こちらは重力下で行っていますので、無重力ではないということ、温度が常温であるということ、真空環境ではないところが違いとしてあります。ただ、衝撃とダイレクトに結びつくものではないと思っており、仮にそういうことがあれば、それはそれで単独で評価しながら組み合わせていかざるを得ないと考えております。
 
【神武委員】　ありがとうございます。今おっしゃっていただいた点は影響しないという判断であると理解しました。
 
【岡田プロジェクトマネージャ（JAXA）】　実際に定量的な評価ができるという意味でも、機器を載せた次の試験が非常に重要な意味を持つのではないかと思います。
 
【神武委員】　わかりました。そういう意味では、次の打ち上げの機会の際は、そのあたりを確認しながら飛ばしていくことになるわけですね。
 
【岡田プロジェクトマネージャ（JAXA）】　確認というのは？
 
【神武委員】　今回の試験では、地球環境で模擬ができる範囲ですから、次の打ち上げのときには、宇宙環境でのテレメトリデータを取ることができるので、問題ないことを次のフライトで確認することになるということですね？
 
【岡田プロジェクトマネージャ（JAXA）】　例えば、テレメトリデータをPSC2の中でもう少し高速に取れないかなど、取るべき優先度を考えた上でセットしていきたいと思いますが、Return To Flightに関しては、先生がおっしゃられるように、1号機の失敗に関連したところに注目した形でデータを取っていきたいと思っております。
 
【神武委員】　わかりました。もしかしたら、そこに何かしらの要因があるかもしれませんので、打ち上げがうまくいったとしても、そこに要因があるようでしたらデータを取っていただいたほうが、今後長いH3の打ち上げを考えると意味があるのではないかと思ったのでコメントさせていただきました。
 
【岡田プロジェクトマネージャ（JAXA）】　ありがとうございます。わかりました。
 
【木村主査】　よろしいですか。他に質問等ございませんか。多岐にわたって議論いただきありがとうございます。時間も迫ってきましたので、公開のほうはここまでとさせていただきます。
　以降は非公開で進めさせていただきますが、一旦事務局のほうから事務連絡をお願いいたします。
 
【竹上企画官（事務局）】　事務局でございます。会議資料と議事録の公開について申し上げます。本日の会議資料は、文科省ホームページに既に掲載させていただきました。また、議事録については、ここまでの内容は公開となりますので、委員の皆さまにご確認いただいた後に文科省ホームページにて掲載させていただきます。
また、本日会合の後、事務局よりプレスの皆さま向けに、フォローアップのためのブリーフィングを行う予定としております。なお、次回の調査安全小委員会は、来月の開催で調整を予定しておりますので、委員の皆さまには後日、日程調整のご連絡をいたします。事務連絡は以上です。
 
【木村主査】　ありがとうございます。以上で公開分の会合は終了といたします。傍聴ありがとうございました。

―― 了 ――

お問合せ先