スペースシャトル・チャレンジャー号爆発事故と安全設計

 1986年1月28日、スペースシャトル・チャレンジャー号が打ち上げ直後に爆発し、ディック・スコビー船長以下乗員7人全員が死亡した。
 原因は、補助ロケットブースタの高温高圧ガスがブースタボディ間の隙間から噴き出したことにより、取り付け部分に異常な荷重が作用した結果、補助ロケットブースターが外部燃料タンクから引きちぎられ、機体全体に想定以上の負荷がかかって空中分解したことであった。
 スペースシャトルの補助ロケットブースタは固体燃料ロケットである。固体燃料ロケットというと、いわゆるロケット花火を想像すればよいが、厳密にいえば、

1)固体燃料

2)ノズル 

3)ボディ(管体) 

4)フェアリング 

の4つの部分に分けることができる。
 固体燃料は着火すると化学反応によって高温高圧のガスを発生させる。この燃焼によって発生した高温高圧ガスはノズルを通過する際に、適切な流速となり、推力に変換される。
 ボディ(管体)は固体燃料を収めるためのケースである。固体燃料が燃焼するにつれて燃料自体の体積も減少するため、ロケットとして安定した形状を保つ必要性があるためである。
 フェアリングはノズルの反対側に取り付けられ、空気中を高速で飛翔する際の空気抵抗を低減させる役目がある。

 あまり注目されないが、ここで重要なポイントはノズルとボディの接続である。固体燃料の燃焼で発生した高温高圧ガスはボディ内部に均等に作用するため、ノズルとボディの接合部に隙間があると、そこから高温高圧ガスが横に洩れてしまうことになる。
 また、ボディ自体もスペースシャトルのブースタークラスになると、一体化で形成することは無理なので、短い管体を複数個接合して必要な長さにしなければならない。固体燃料の燃焼が進むにつれて当然、この管体同士の接合部にも高温高圧ガスの圧力が作用するため、ガス漏れを防ぐ工夫が必要となる。
 スペースシャトルの固体燃料ブースターの管体接合部にゴム製のOリング(オーリングと読む、以下同じ)を使っていたのだが、チャレンジャー号打ち上げ当日は気温が低かったため、Oリングを構成するゴム材が硬化してのシール性が低下していた。これが事故の原因となってしまった訳である。補助ロケットブースタを製造したメーカーの担当者はOリングが低温で機能しないことを危惧して上層部に打ち上げ、中止を訴えたが、警告が無視されたことも一因であった。
 Oリングというと、何か特別な部品のように思うかもしれないが、圧力を受ける部分では一般的に使われる部品であり、エンジンや油圧機器などにもサイズ違いのものがダース単位で使われている。接合部の片側にOリングが嵌まる溝を掘っておき、そこにOリングを嵌めた状態で、もう片側のケースを被せると、溝の中で丸いOリングが変形密着して外部と圧力を遮断する、というのがシール性確保の原理である。

 この事故の原因について、失敗学を研究する失敗学会では、
○ハード要因
・ ブースターロケット接続部の構造上の欠陥
・ FMEA/FTAの間違った使い方
○ソフト要因
・ 官僚主義的運用体制
・ 「安全思想」の軽視
を挙げている。

また、元デンソー、元トヨタグループSQCアドバイザーで小松開発工業顧問(当時)を務めていた皆川一二氏は、TOYOTA流「なぜなぜ分析」による真因として、 『NASAに意見具申を受け入れる仕組みがなかったこと』を挙げている。さらに、同氏は、「これこそが真因であり、どんなに軽微なことであっても取引先を含めた関係者からの意見に耳を傾ける仕組みや制度を作ることが、本当に大切な解決策であり改善策となるのです。」と、日経クロステックの記事の中で語っている。

以上のことから、失敗学会のソフト要因解析、TOYOTA流未然防止から考えられる最も有効な安全対策は、「現場の意見具申を受け入れる仕組みを作る」である。
一応、ごもっともである。
しかし、いかに優れた提案でも、実際に運用できなければ、それは単なる机上の空論である。
スペースシャトルは、多額の予算を掛けて開発されたが、実用量産機というより、実験機に近い性格ものだった。
もし、軽微な心配をいちいち打ち上げていたら、実質的に計画はストップしていたはずである。(耐熱対策としてアルミ合金製の機体にセラミック製耐熱タイルを張り付けているが、一番最初のミッションでは、帰還後に数枚が剥がれていた)
実際のところ、深く根付いた組織の文化を変えることは容易なことではない。
その9年後の2003年1月 スペースシャトル『コロンビア号』が帰還中に大気圏再突入時に空中分解して乗組員全員が亡くなっている。その直接原因は外部燃料タンクの構造的欠陥であり、背景には「安全」の軽視があった。(外部カメラによる機体の傷の有無を確認するよう意見具申があったが、却下された)

また、2023年12月、自動車メーカーのダイハツで安全認証試験を30年に渡ってごまかしていたことが発覚して大問題となった。最初に不正を始めた年に生まれた赤ん坊が社会の中堅として働き始める30歳ということになる。まさにこうなると組織に根付いた立派な文化である。
一口に組織文化の変革はと簡単に言うが、実際には口で言うほどやさしいことではないと言えるだろう。
では、一番確実な安全策は何だろうか?
皆川氏が言うように、仮に意見具申をする仕組みを作ったとして、打ち上げの権限を握るリーダーであれば、複数の関係者の意見を統合して判断するはずである。仮に3人の技術者がいて2人が打ち上げ賛成、1人が打ち上げ反対ということでれあれば、リーダーはおそらく躊躇なく打ち上げを選択するはずである。いくら意見具申する仕組みを作っても、多数決で埋もれてしまっては意味がない。
実は、蜀犬は、無為徒食の徒になる前、新技術開発の仕事に従事していた。その体験から言わせてもらえば、「技術の課題は技術で解決する」ということに尽きるのではないかと思う。
具体的には、FMEA/FTAで想定される機能失陥要因を全て洗い出し、想定されるハードの不良に対して事前に対策を施しておくのである。
蜀犬は現役時代、「One Fail Out」になる設計はダメだ」、と厳しく言われてた。「One Fail Out」とは、1ヶ所の不具合が全機能の失陥につながる状態である。
この考え方は、実は日常使う製品にはよく見られるものである。例えば、自転車の右レバーを動かすと前輪ブレーキが作動し、左レバーを動かすと後輪ブレーキが作動するようになっている。万一、前輪ブレーキ、後輪ブレーキのどちらか一方が故障して作動しなくなった場合でも、もう一方のブレーキを作動させることで自転車を減速させることができる。この結果、最悪事象であるノーブレーキは発生しない。なお、きちんと整備点検していれば、前後ブレーキが同時に故障するのは天文学的な確率ということで、考えなくても良いことになっている。
自動車のブレーキペダルはひとつしかないが、実はべダルの先のブレーキ圧発生装置(マスタシリンダ)がプライマリ系とセカンダリ系の2重系になっていて、ペダルを踏むとプライマリ系の右前と左後ろのブレーキが、セカンダリ系の左前と右後ろのブレーキが同時に作動するようになっているのである。このため、万一、一系統が作動不良となっても、残りの一系統のブレーキが作動し、しかも対角上のタイヤにブレーキがかかるためスピンを起こさず減速することができる。
では、この    One Fail Out の考え方に基づいて、スペースシャトルの補助ロケットブースタはどのように改良されたのであろうか。
ネットで補助ロケットブースタの旧モデルと新モデルの比較図があったので、この図を元にして改良点を見て行きたい。

reference:Power to orbit:solid rocket booster _SpringerLink

 旧モデルの補助ロケットの構造を設計視点で見ると、
1.隙間を耐熱パテ(Putty)で埋めているが、パテにシール効果は期待できない。
2. O リングを2ヶ所に使用(Primary O-Ring,Secondary O-Ring)。
3.温度依存性の高いゴム部品に対して、温度条件の対策がない。
といった、懸念点を指摘することができる。

 Oリングを2個使っているので、一見、One Fail Out の対策に見えるかもしれないが、サイズや耐熱性がまったく同じOリングを2個使っているのであれば、実質的に1個のOリングを使っているのと同じである。また、耐熱パテにシール性が期待できない以上、Oリングの使用温度条件を外れれば、即One Fail Outとなる。

 FTAでこのような部分が見つかった場合は、当然シール性確保の別手段を用意しておかねばならないのだが、そうなっていない。つまり、スペースシャトルの補助ロケットブースタは技術的に欠陥があったということになる。

 では、この事故を受けて、新型の補助ロケットブースタにはどのような対策が施されたであろうか。

1.パテ(Putty)からJ型溝付シール(J-Slit in Insulation)に変更
2.Oリング(Capture Feature O-Ring)を追加し、干渉部を設ける(Joint Rotation対策)

3.Oリングヒーター(Joint Heater)と温度センサ(Temperature Sensor)を追加(低温対策)
4.ガス漏れ検査穴(Vent Port in)追加
である。
この対策を設計観点で分析すると、
1.パテではシール性が期待できないが、J型溝に粘着シールを付けてシール構造とし、さらにOリングを追加してシール性を高めている。このJ型溝付シール(J-Slit in Insulation)と2ヶ所のOリングとが同時に機能不全を起こさない限り、シール性は維持される。

2.Oリング部分を温めるためのヒーター(Heater)が設置されている。これにより外気温低い場合でもOリングのシール性を確保できるので、2つのOリングのOne Fail Out を防ぐことができる。

3.ヒーター(Heater)の故障を検知するとともにOリングの周辺温度が設定範囲に保たれていることが確認することと、Oリングヒーターの故障を検知するため、温度センサ(Temperature Sensor)が設置されている。
図には描かれていないが、温度センサ自身の故障を検知するため、Oリングヒーターの複数個所に温度センサを設置しているはずである。

4.ガス漏れ検査穴を追加し、2ヶ所のシール構造部での漏れを確実に確認できるようにしている。

5.補助ロケットブースタ作動時に発生する高温高圧の噴射ガスが補助ロケットブースタのフレームに作用してフレーム全体が外部へ膨張しようとする。この時、フレームとフレームを繋ぐ部分が厚くなっているため、剛性の違いからフレーム外壁の膨らみが大きくなる。(=ジョイントローテーション)この時、Oリングの部分にズレが発生し、シール性が低下する懸念があるが、それを防ぐためにOリング間に干渉部を設けるとともに、ピンの長さを長くして外壁が膨らんだ場合でも溝から外れにくくしている

となる。

 新型補助ロケットブースタに施された対策は開発時点でFMEA/FTAをしっかりやって、事前に不具合事象を洗い出し、その対策ができているかどうかを見れば、判る話である。結局、この事故の最大の原因は、開発時点でFMEA/FTAをやっておかなかったことだと言える。

 その意味で、失敗学会が分析したハード要因の『FMEA/FTAの間違った使い方』というのは、かなり良い線まで行っているが、正解とは言えない。なぜなら、間違った使い方とは何かという具体的な視点がないからである。

 また、失敗学会が最初に挙げた『ブースターロケット接続部の構造上の欠陥』というのは、FMEA/FTAを十分に行わなかった結果であって、設計観点では真の原因とは言えないのではないだろうか。

 以上、考えていくと、チャレンジャー号の爆発事故の真因は、重要部品のOリングを温度条件の検討が不十分だったためことによる設計上の欠陥であり、さらにそれを防げなかったのはFMEA/FTAの実施が不完全だったからと、言えるだろう。

 現在、技術開発には3D設計、構造解析シミュレーションなどコンピュータを使った設計の自動化が進んでいる。しかし、最新のスーパーコンピュータなど使わなくても、FMEA/FTAを考えるだけで、十分に事前の故障対策を取れるのである。それにも関わらず、意見具申する仕組み、官僚的体制といったソフト面を指摘し、肝心の欠陥構造に気付かないのであれば、この先、日本の製造業は大丈夫だろうか?