１　Ｘ線天文衛星「ひとみ」は、国際協力ミッション

宇宙からのＸ線は、大気に吸収されるため衛星による観測が欠かせません。そこで、1979年以降、我が国はこれまでに歴代５機のＸ線天文衛星を打ち上げて、グローバルなＸ線天体観測を支えてきました。いわば、Ｘ線天文衛星は我が国のお家芸です。
 
2016年に宇宙航空研究開発機構（JAXA）の宇宙科学研究所が打ち上げたＸ線天文衛星「ひとみ」は、2005年に打ち上げ2015年まで運用したＸ線天文衛星「すざく」の後継機でした。「ひとみ」は、重量約2.7tの大型衛星で、「すざく」の数十倍の性能の観測機器を搭載していました。
 
また、「ひとみ」は、米航空宇宙局、欧州宇宙機関等が参加する国際協力ミッションであり、国内外51の大学や研究機関から約180名の研究者がこのミッションに参加していました。ちなみに、このミッションにおける我が国の負担額は、衛星打ち上げを含めて約310億円でした。

２　「ひとみ」は、打ち上げに成功した１ヶ月後にバラバラに分解

Ｘ線天文衛星「ひとみ」は、2016年2月17日に、衛星軌道への打ち上げに成功しました。
 
そして、2016年2月29日に、衛星本体の基本機能確認や、ソーラーパネルと光学ベンチの伸展を行う 「クリティカルフェーズ」 が完了しました。ところが、ソーラーパネルと光学ベンチの伸展に伴い衛星の重心が移動したことに対応するため、姿勢変更系のパラメータデータを変更した際に、データを誤入力（絶対値に変更すべき数値をマイナス値のままとした）してしまいました。
 
そして迎えた運命の2016年3月26日、全ての観測機器を立ち上げる「初期機能確認フェーズ」の期間中であるにも関わらず、本格的なＸ線天体観測に取り掛かっていた最中に、姿勢測定系のバグが原因で衛星異常回転が発生して、前記の姿勢変更系のパラメータデータの誤入力が原因で異常回転を猛烈に加速した結果、その遠心力で「ひとみ」はバラバラに分解してしまったのです。

３　「ひとみ」がバラバラに分解した原因は、ソフトウェアのバグとデータの誤入力

(1) 姿勢測定系のソフトウェアのバグによる異常回転の開始
「初期機能確認フェーズ」の期間中、つまり、「ひとみ」に搭載した各種観測機器を立ち上げてその機能確認を行うためのテスト期間中に、「ひとみ」は既に本格的なＸ線天体観測を開始していました。その中で、2016年3月26日、観測対象を変更しようとして「ひとみ」の姿勢変更を行った際に、姿勢測定系のソフトウェアのバグにより、実際には回転していない「ひとみ」がゆっくりと回転していると姿勢測定系が誤認してしまいました。そして、誤認した回転を止める方向に姿勢変更系が作動した結果、「ひとみ」は実際にゆっくりとした回転を開始してしまったのです。しかし、「ひとみ」の姿勢測定系は、非常に脆弱な設定が災いして、この回転を検知して認識することが全くできませんでした。

(2) 姿勢変更系のデータ誤入力による異常回転の加速
ゆっくりと回転していることを全く認識できない「ひとみ」は、コマの原理により回転軸が地球の重力方向に立ち上がろうとする動きを続けます。そこで、このような動きを抑えるために、リアクションホイール（ホイール回転の加速時や減速時の反動力を利用）による姿勢制御が働くのですが、働いている内に限界（同じ回転方向にホイールをいつまでも加速し続けることは不可能）に達してしまいました。その結果、自動的に緊急対応モードとなった「ひとみ」は、ソーラーパネルを太陽に向けるため、姿勢変更系のパラメータデータに基づき、姿勢制御用スラスタ（小型のロケットエンジン）を噴射したのです。ところが、ソーラーパネルと光学ベンチの伸展に伴うパラメータデータの変更時にデータを誤入力した（絶対値に変更すべき数値をマイナス値のままとした）ことにより、姿勢制御用スラスタの噴射が「ひとみ」の回転を猛烈に加速した結果、遠心力により「ひとみ」はバラバラに分解してしまったのです。

４　「ひとみ」の姿勢測定系の機能設定に大きな問題

(1) 「ひとみ」の姿勢測定系は非常に脆弱
「ひとみ」の姿勢測定系は、スタートラッカ、粗太陽センサ、慣性基準装置という、長所と短所が異なる三種類のセンサーで構成していました。このような場合、通常は、センサーフュージョンの技術により、種類の異なるセンサーごとの長所と短所を補い合い、姿勢測定の信頼性を高めるとともに、センサーの誤作動に伴うリスクを軽減するところです。しかし、「ひとみ」の姿勢測定系は、 スタートラッカ（星空を見て姿勢を正確に実測するセンサー）が4分間ほど「フリーズ」しただけで、慣性基準装置（加速度を測るため、一定速度の回転による姿勢の変化は検知不可能）しか働かなくなってしまい、実際には回転していることを全く認識できない状態に陥ってしまったのです。

(2) 「ひとみ」の姿勢測定系が脆弱化した経緯
発注者側であるJAXAの「ひとみ」開発プロジェクトは、「衛星の姿勢制御の信頼性の確保」についての工学的知見や認識が乏しかったため、「ひとみ」の受注製造業者（NEC）に対して、「Ｘ線天体観測の精度と時間の確保」のみを強く要求し続けました。
 
このため、「ひとみ」の受注製造業者は、発注者側が要求する「Ｘ線天体観測の精度と時間の確保」を最優先せざるを得なくなり、姿勢測定系の各センサーの機能設定を次に記載のとおりとした結果、姿勢測定系が非常に脆弱化してしまったのです。
 
①　予備のスタートラッカに自動的に切り替わらない設定とした。その理由は、スタートラッカ切り替え時に発生する姿勢微変動を避け、安定姿勢でのX線天体観測時間を長く取るためであった。
②　異常と判断したスタートラッカを姿勢測定系から排除する設定とした。その理由は、観測精度の劣化を避け、安定姿勢でのＸ線天体観測時間を長く取るためであった。
③　粗太陽センサを姿勢測定に用いない設定とした。その理由は、粗太陽センサの視野範囲の狭さから、不必要に緊急対応モードに移行した場合にＸ線天体観測が中断されるのを回避するためであった。
 
このようなことから、「ひとみ」開発プロジェクトは、「Ｘ線天体観測の精度と時間の確保」の部分最適化のみを追求した結果、「衛星の姿勢制御の信頼性の確保」を含めた全体最適化に失敗したと言えます。

(3) ボトムアップによる部分最適化ではなくトップダウンによる全体最適化が肝要
「ひとみ」開発プロジェクトの本来の役割は、プロジェクトの成功に向けて、「Ｘ線天体観測の精度と時間の確保」と「衛星の姿勢制御の信頼性の確保」の両立（つまり、全体最適化）を図ることであったはずです。
 
ところが、「ひとみ」開発プロジェクトは、「Ｘ線天体観測の精度と時間の確保」の最大化（つまり、部分最適化）のみをひたすら追求してしまいました。おそらく、「ひとみ」開発プロジェクトとしては、「衛星の姿勢制御の信頼性の確保」の最大化（つまり、部分最適化）については、この分野の工学的知見と実績に富む受注製造業者（NEC）が実現してくれるものと期待していたように推察されます。しかし、「Ｘ線天体観測の精度と時間の確保」と「衛星の姿勢制御の信頼性の確保」は、トレードオフ関係（彼方を立てれば此方が立たなくなるといった相反関係）にあります。それゆえ、「Ｘ線天体観測の精度と時間の確保」の最大化の追求が「衛星の姿勢制御の信頼性の確保」の最小化を招いてしまった結果、国際協力ミッションであった「ひとみ」が、ソフトウェアのバグとデータの誤入力により衛星軌道上でバラバラに分解してしまうという、信じ難いような事故に繋がったのです。
 
このことから、大規模なプロジェクトを運営して成功させるには、プロジェクト全体を全体最適化の視点で捉えることが極めて重要と言えます。これには、ボトムアップによる部分最適化を指向するのではなく、トップダウンによる全体最適化を指向するプロジェクト運営が欠かせないところとなります。

５　大成功した小惑星探査機 「初代はやぶさ」

(1) 「初代はやぶさ」の開発スキームは「ひとみ」と同じ
2010年に小惑星「イトカワ」からの奇跡の生還を遂げた「はやぶさ」ですが、2003年に文部科学省の宇宙科学研究所（同年にJAXAの宇宙科学研究所に改組）が打ち上げた小惑星探査機であり、その受注製造業者はNECでした。つまり、「はやぶさ」の開発スキーム（受発注者と発注方法）は、「ひとみ」と同じだったのです。しかし、「はやぶさ」は幾多の重大トラブルを乗り越えて奇跡の生還を遂げたのですが、「ひとみ」は些細なトラブルへの対処もできないままバラバラに分解してしまいました。ちなみに、「はやぶさ」のプロジェクトマネージャは宇宙航行システム工学が専門の工学博士であり、「ひとみ」のプロジェクトマネージャは高エネルギー宇宙物理学が専門の理学博士でした。

(2) 「はやぶさ」が遭遇した数多の重大トラブル
小惑星「イトカワ」への往路で大規模な太陽フレアに遭遇した「はやぶさ」は、太陽電池パネルが損傷して発電出力が低下したままとなった上に、姿勢制御用３軸リアクションホイールのＸ軸が故障してしまいました。この時の発電出力の低下に伴い、「はやぶさ」の帰還時期は、4年後から7年後への変更を余儀なくされています。
 
また、「イトカワ」に到着後は、「はやぶさ」の３軸リアクションホイールのＹ軸も故障した上に、姿勢制御用スラスタ（小型のロケットエンジン）の一つから燃料漏れが生じて、全スラスタの推力が大幅に低下してしまいました。これに加えて、地球との無線通信が２ヶ月近く途絶してしまったのです。
 
いずれも放置すれば「致命傷」となる重大なトラブルでしたが、事前の周到なリスクマネジメント（膨大な対応マニュアルを作成）が効を奏し、マニュアルでも想定外の重大トラブル発生に際しての見事なダメージコントロールにより、計画変更やプログラム修正等を行って度重なる困難を乗り越えることができたのです。このことが、奇跡の生還に繋がったのです。

６　「はやぶさ」と「ひとみ」の対比からの教訓

(1) トップダウンによるプロジェクトの全体最適化が肝要
我が国ではこれまで、プロジェクトを構成する各部分ごとにそれぞれ最適化すれば、最適化された各部分を纏め上げた全体が最適化されるといった、ボトムアップによる部分最適化の捉え方が基本であり主流であったように推察されます。しかし、「ひとみ」の失敗事例から明らかなとおり、プロジェクトを構成する各部分の間にトレードオフ関係があれば、前記の捉え方（ボトムアップによる部分最適化）による全体最適化は不可能です。このような場合には、つまり、プロジェクトを構成する各部分の間にトレードオフ関係がある場合には、プロジェクトの目的を見据えて、プロジェクトマネージャがトップダウンで全体最適化を図ることが必要不可欠となります。
 
ところで、「はやぶさ」のプロジェクトマネージャは、宇宙航行システム工学が専門の工学博士であり、衛星やロケットに関する豊富な知見と実績を有していたので、仕様発注方式（「はやぶさ」と「ひとみ」の発注方式の詳細は次の(2)に記載）であっても、小惑星探査機の目的を踏まえた全体最適化を図ることができました。つまり、「はやぶさ」のプロジェクトマネージャとして適任であったと言えます。
 
しかし、「ひとみ」のプロジェクトマネージャは、高エネルギー宇宙物理学が専門の理学博士であったため、衛星の工学的知見に乏しく、仕様発注方式による「衛星の姿勢制御の信頼性に係る詳細設計」を含めた全体最適化に適任であったとはとても言えません。仮に、性能発注方式による「衛星の姿勢制御の信頼性に係る要求性能」を含めた全体最適化であったならば、衛星の工学的知見に乏しいプロジェクトマネージャでも十分に対処できたと推察されるところです。

(2) 製造発注に先立つ設計仕様審査から要求性能審査へ
「ひとみ」の事例が示すように、今日では、ソフトウェアが衛星の安全性や信頼性などの機能と性能を大きく左右するようになっています。しかし、目には見えないソフトウェアの詳細設計の良し悪しについての審査を、これまでのメカニカルな詳細設計の良し悪しについての事前審査体制の中で行うことは極めて困難です。
 
JAXAの宇宙科学研究所では、その前身である東京大学宇宙航空研究所以来の伝統を引き継ぎ、打ち上げようとする衛星の製造発注に先立って常に設計審査会を開催して、メカニカルな詳細設計の良し悪しについての事前審査を行ってきたところです。このことから、JAXAの宇宙科学研究所が製造を発注する衛星は、「はやぶさ」や「ひとみ」を含めて、設計審査会をパスした詳細設計図面に基づく仕様発注方式によるものであると言えます。振り返ってみますと、東京大学宇宙航空研究所の時代では、衛星の機能と性能はメカニカルな詳細設計の良し悪しに大きく左右されていたため、製造発注に先立ち設計審査会の事前審査をパスすることは大きな意味を持っていました。しかし、今日では前記のとおり、衛星の機能と性能はソフトウェアに大きく左右されるようになっていますが、これまでどおりの設計審査会、つまり、メカニカルな詳細設計の良し悪しについての事前審査を行う設計審査会では、ソフトウェアのバグを発見することもできないのです。このことは、「ひとみ」がバラバラに分解してしまった事故に直接結びついています。つまり、「ひとみ」は、設計審査会の事前審査で衛星本体の安全性や信頼性が十分に確認できていないままに製造発注され、打ち上げられてしまったのです。
 
それゆえ、目に見えないソフトウェアが機能と性能を左右するようになった今日の衛星の発注では、実現したい機能と性能の要求要件を必要十分に規定した要求水準書を作成することにより、受注者側で設計と製造を一貫して行うプロセスを通じて、要求要件全ての実現を図っていくことが効果的かつ現実的です。つまり、これまでの仕様発注方式の踏襲ではなく、これからは性能発注方式を用いていくことが何よりも望まれるところです。具体的には、これからの設計審査会では、メカニカルな詳細設計の良し悪しの審査（つまり、詳細設計仕様の審査）ではなく、要求水準書に規定した要求要件の妥当性と要求要件に過不足がないか否かの審査（つまり、要求性能の審査）を行っていくことが望まれます。見方を変えれば、詳細設計仕様の審査から要求性能の審査へと変えていかない限り、ソフトウェアが機能と性能を左右する案件の審査は形骸化したままとなってしまうのです。「ひとみ」の分解事故の教訓から、設計審査会における審査内容の抜本的な見直しは喫緊の課題と言えます。

(3) 「はやぶさ」と「ひとみ」のリスクマネジメントとダメージコントロール
ここで、リスクマネジメントとは、トラブルの発生に備えた事前対応のことであり、リスクマネジメントの実施結果を踏まえてマニュアルを作成するのが通例です。
 
また、ダメージコントロールとは、トラブル発生時の事後対応のことであり、マニュアル化されていないトラブルにも迅速・的確に対処するには、事前のリスクマネジメントの徹底が肝要です。
 
さて、「ひとみ」についてですが、姿勢変更系パラメータデータ誤入力の主因は、何と、運用マニュアルの不備でした。このことから「ひとみ」では、トラブルの発生に備えたリスクマネジメントが完全に欠落していたのではないかと推察されますが、これこそ、ボトムアップによる部分最適化の捉え方でプロジェクトを運営したことによる最大の弊害と言えます。これでは、トラブル発生時の迅速・的確なダメージコントロールなどできるはずもなく、実際に「ひとみ」は、些細なトラブルへの対処すらできないままバラバラに分解してしまったのです。
 
他方、「はやぶさ」についてですが、トップダウンによる全体最適化の捉え方でプロジェクトを運営したことにより、事前に周到かつ徹底したリスクマネジメントを行って膨大なマニュアルを作成していました。このことが功を奏して、マニュアルでも想定外の幾多の重大トラブルの発生に際して、迅速・的確なダメージコントロールで対処することができたので、奇跡の生還に繋がったのです。

《 記事の出典 》　この記事は、書籍【「性能発注方式」発注書制作活用実践法】の第２章からの抜粋を再構成したものです。ちなみに、【「性能発注方式」発注書制作活用実践法】は、性能発注方式について真正面から捉えた我が国唯一の書籍です。