阿部ブログ

日々思うこと

三菱リージョナルジェット(Mitsubishi Regional Jet:MRJ)のシステム安全性・信頼性保証措置

2014年01月28日 | 雑感

三菱リージョナルジェット(Mitsubishi Regional Jet:MRJ)のシステム安全性・信頼性保証措置について、日曜日ながら話を聞く機会があった。
専門用語の連発で、内容理解にはほど遠いのだが、概要は以下のような感じ・・・

MRJは、進捗遅延はあるものの、課題点は明確になり現在は、2017年の初飛行を目指して粛々と開発製造を行っている。YS-11以来となる民間航空機の開発においては、何よりも安全性を重視しており、ハードウェア&ソフトウェア両面からの安全保証措置を講じている。また米国やEUの基準/ガイドライン等を参考にしつつ各国の規制・基準をクリアしながらソフトウェアの実装を進めている。

MRJは、航空機製造の下請け、航空自衛隊の戦闘機開発やライセンス生産で磨かれた様々なノウハウと技術を結集して開発しており、特にCFRP(炭素繊維強化プラスチック)材料や空力設計のシミュレーション技術、またパイロットの操縦指示を電気信号によってアクチュエーターに伝える「Fly-by-Wire技術」など先進技術を実装する機体となる。
MRJは、リージョナルジェットの業界では屈指の省エネ機であり、カナダやブラジル、ロシア、中国の追随を許さない状況。但し、危機感をもったブラジルが巻き返しを図る事を表明しており、MRJと同じP&Hのエンジンを搭載した新機種の初飛行を2020年までに行う事を表明している。元々、競争が激しい領域ではあったが、新興勢力である日本勢の進出は大きな脅威と認識されているようだ。

航空機開発で重要なのは、やはり組み込みソフトウェアの開発と検証。最新の民間航空機のコードは2000万行(20Mステップ)を越える規模で、航空機を納期どおりに納め、安全に航行させるためには、膨大なソフトウェアを効率よく開発・管理する技術が不可欠である。勿論、25万点ともいわれる部品を機体に詰め込む生産技術や、飛行機を安全に飛ばすための飛行試験やメンテナンス技術も重要である。ハードとソフトは将に両輪。

民間航空機の場合、型式証明(Type Certificates:TC)を取得する必要がある。MRJの場合には、日本、米国、EUが対象で、米国とEUの型式証明取得に係る基準が微妙にその解釈が異なる為、注意が必要なので慎重に対応している。型式証明を取得できると1機毎の耐空証明取 得検査において、設計・製造過程の検査を省略化出来る為、コストと手間を削減可能である事から、民間旅客機に関しては型式証明の取得は必須である。型式証明取得後は、各個機毎に耐空証明を取得する必要がある。型式証明は三菱航空機が取得するが、耐空証明に関しては導入を決めているANAなどエアラインが取得する。運航開始後は、耐空性維持が義務となる。このように航空機のライフサイクルに渡る活動を通じて安全性を担保する「航空安全管理体制」の確立が製造メーカとエアライン双方に求められる。

型式証明の基準としてグローバルスタンダードには米国のFAA基準と欧州のEASA (European Aviation Safety Agency:欧州航空安全庁) 基準の2つがある。FAAが定めている基準はFAR (Federal Aviation Regulations:米国連邦航空規則) で、項目毎にPartに分かれて記載されている。例としてはTransport Category Airplanesの耐空性基準がPart25に示されており、環境基準としてはPart34(Fuel Venting and Exhaust Emission Requirements)とPart36(Noise Standards)に書かれている。FARの場合には、Partに書かれている内容の解釈を示す文書がAC(Advisory Circular)として準備されている。

EASAはEU27カ国+4カ国の31カ国で組織されている。EASAは、耐空性や環境への適合性を示すための実施規則(Implementing rules)としてRegulation (EC) No.1702/2003を定めている。基準については、CS (Certification Specifications)がある。例えばS-25 (Large Aeroplanes) は耐空性に関する基準で、CS-34 (Aircraft Engine Emissions and Fuel Venting)とCS-36 (Aircraft Noise)は環境に関する基準となっている。FAAの同様にACに準ずるAMC (Acceptable Means of Compliance) が整備されている。

耐空証明はAC(Airworthiness Certificates)又はC of A(Certificates of Airworthiness) とも呼ばれ、航空機を運航させるために必須な証明。耐空証明を取得するには、次に掲げる基準を満足する必要がある。
 ① 強度・構造・性能についての基準
 ② 騒音の基準
 ③ 発動機の排出物の基準
上記の①の基準は航空機自体の安全性を確保するためのもの。②および③は環境に対する基準。耐空証明を取得するための検査では、個別の機体がこれらの各基準をすべて満足するかどうかを判定する。耐空証明の検査というと、完成した機体を検査するというイメージを受けるが、検査は幾つかの段階で実施される。最初は、設計段階の検査 (設計検査)、その後、製造過程の検査 (製造過程検査)、最後に完成後の機体の検査 (現状検査) により、適合性可否を判断する。因みに耐空証明の有効期限は1年。毎年更新が必要である。

耐空基準は、航空規制当局が基準を定めており、その基準は想定される故障状態の影響度に応じた許容発生確率を定めると言う考え方を採用している。ただ昨今は、ハードウェアと共にソフトウェアの重要性が増している事から、従来の確率論的な安全性評価に加え、開発保証と言う考え方を取り入れている。故障状態には故障(Failure)とエラー(Error)の2種類がある。故障とは想定され得る物理的な故障で、発生確率が算出できるもの。エラーは、開発段階で発生しえる故障で、発生確率が算出できないものを言う。
ついでに、耐空基準の記述例を下記に。

【民間航空機 装備品の安全性に関する規定】
 ◆FAR25.671(c) 以下の故障が発生してもexceptnal piloting,skill or strengthなしにcontinued safe flight and landingが可能であること。
 ・全ての単一故障
 ・extremely improbable(発生確率が1×10-9/hr以下)であると証明できない全ての故障状態の組み合わせ
 ・操縦系統のジャミング
 ・probableな故障(発生確率が1×10-5/hr以上)な故障はonly minor effectしか与えぬこと。
 ◆FAR25.1309(b)
 ・航空機のcontinued safe flight and landingを妨げるような故障状態の発生はextremely improbable(1×10-5/hr以下)であること。
 ・航空機の性能や不利な運用状態に対し乗組員が対処する能力を低下させるような故障状態の発生はimprobable(1×10-5/hr以下)であること。

【民間航空機 装備品の開発保証に関する規定】
 ◆FAR25.1301(a)
 ・各装備品の所要の機能(Intended Function)を発揮する種類及び設計でなければならない。
 ◆FAR25.1309(a)
 装備品、系統及び装備は、予想されるすべての運用条件下において、所要の機能(Intended Fuction)を発揮するように設計し、かつ装備しなければならない。

耐空性基準の影響度と故障発生率の定義については、FAAとEASAと微妙に異なるため、現在FAA Draft AC125.1309(Arsenal Version)によりEASAとのハーモナイゼーションの作業が行われている。また耐空性基準の異常時の影響度(Severity)に応じて、Development Assurance Level(DAL)が決まり、必要なソフトウェア品質保証活動の内容が決まる。品質保証レベルは一番厳しいAから一番下のDの4つ。

最後に、航空機の開発でいつも聞くのが「空白の7年間」の話。
敗戦後、当然ながら一切の航空機開発が禁止された事を言うのだが、思うのは「それは嘘」。米国や欧米はともかく、カナダやブラジルがご立派な航空機を開発し売りまくっているのに、航空機業界の連中は、未だに70年前の事を言い訳している。敗戦間際とはいえ、ドイツの設計図からジェット・エンジン「ネ-12」を開発し「橘花」を飛ばしたではないか。レシプロ機からジェット機への移行期でこれが致命的となったなどど戯けたことを。
今度こそ言い訳せずに確固たる信念でMRJを完成させ、商社の連中を叱咤して売りまくるべき時です。