アカウント名:
パスワード:
第1段エンジン燃焼開始の判断なら、停止する方向に倒すのは正しい。リトライできるから。まさに今回の延期がそう。一方、空に上がってからなら、例え爆発の可能性があろうとも、継続するのが正しい。なぜならエンジン着火しない判断は即座にミッション失敗になるから。(※有人飛行なら別かもしれない)
つまり、そういう方針で設計していなかったという、設計ミスだね。宇宙開発で良く聞く「ロバスト」になってなかった。例えば他にも、フライトのシーケンスのなかで手遅れにならないタイミングで何度も再起動を試す、とかもやって良かったはずだが、おそらくやって
ストーリーにもあるけど、冗長系の両方を止めてしまうのは設計ミスに見えるね。電源が燃えるより破壊するより、電源止めてしまえばもっと悲惨なことになるのは目に見えてるのだから。
異常系の設計を一通り見直すとしたら、次の打ち上げはかなり先になりそう。電源だけ見直すならすぐ飛ばせるだろうけど、それだとリスク抱えたままになってしまう。
これが飛行のもっと早い段階における筐体GNDへのショートなどであれば、そこから発火に繋がり機体が爆発するような可能性も考えられます。すでにFTSを停止してもよいような領域で飛んでいるのだからイケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。
それより電源ユニットが同じ箇所に同じ信号を受け取る2基を並べる方法で冗長化されていたことへの批判の方が気になりますね。信号からアクチュエータまでの経路が分散したSPoFの鎖になってるんですよ、これ。
> イケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。地上の乗り物や機械なら止めたほうが大体は安全で例外はすごく少ないけど、空を飛んでたら止めたら落ちるんですよ。止めたら落ちるからエラーの時にどういう動作に倒すべきかを常に考えねばならない。こんなのは飛行機の時点で延々とやられてる筈の事で、後知恵でもなんでもない筈。
……MRJがコケたのってもしかしてそういう事なんか……?
継続して軌道投入まで漕ぎつけられるような故障だったら継続すれば成功したでしょうけど、止めたら人家にすっ飛んでいくような故障だったら人家に突っ込むでしょうが。飛行継続という動作に倒す方が安全であるという理屈が決まっていなかったのであれば、それこそ安易に継続には倒せないですよ。
ちなみに私のスタンスは(#4429180)です。
停止→不確定位置への墜落が確定。要指令破壊。継続→不確定位置への墜落の可能性もある。場合によっては要指令破壊。止めたところで墜落先が安全なんて保証は出来ないから結局は指令破壊で安全確保。
不具合抱えたまま継続してもミッション遂行できる可能性はありうるけど、停止してもなんの利点もない。
安易と言うなら止めてしまう設計こそ安易だろうよ。
日本の有人飛行への道は遠いですね。こんなこと真顔で言う人がいるんだもの……
停止しなければ指令破壊すら受け付けなくなる暴走状態に陥る可能性もありますが。フェイルセーフとはそういうこと。
電源ブチ切りだってリスクはあるだろ。「飛んでる機器の電源切ったら墜落事故になる」って当たり前のことを見過ごしといて、見過ごした事実を認められずにグダグダ言い訳するな、見苦しいぞ。やらかした中の人が言い訳してんのかよ?
ねーよ馬鹿がどこも繋がっていない全くの別システムだという常識も知らない馬鹿が
MRJは飛行機を売るではなく、飛行機を作ること自体が目的になってたから……
今回H3では車載用のIC多数採用してるそうですが、車載のECUでは正にそういう制御をしてますよ。ブレーキ作動中でなければエラー時に動作停止しますが、ブレーキ作動中であればエラーは通知だけしてブレーキ継続し、ブレーキ終了後に動作停止します。こういうのは車載に限らずプラントや航空機等の止めるほうが危険な用途では一般的な制御です。
それって少なくとも 1)継続で被害は縮小する可能性が高い 2)作動でユーザを傷つけるおそれはない とか条件がないでしょうか。
アクチュエータを作動する命令を発したら駆動電源電圧が異常に低下した、というおそらく想定になかった事態において、これは止める方が危険なのか止めない方が危険なのかを事前に言い切れたとは思いづらいです。ロケットは制御を失っていない限り、飛行経路上の前方どこか一点に落下します(慣性があるので直下には落ちません)が、崩れていてエンジンが作動していれば、落下しうる範囲は経路外の八方にも広がります。もしこの電源電圧降下が姿勢制御を失うような性質のものであれば、それは切って正解とも言えるんじゃないでしょうか。
そりゃ衛星が投入できてた方が嬉しいですけど、変な弾道軌道になってカリマンタン島とかに突っ込まれたら人災ですよ。
>これが飛行のもっと早い段階における筐体GNDへのショートなどであれば、そこから発火に繋がり機体が爆発するような可能性も考えられます。
あなたのこの発言に対して、条件によって異常時の動作を変えるのはこの手のシステムでは普通だと言ってるだけです。今回のシステムで動作継続と停止のどちらが正しいか、私には判断できる情報がありませんが。
指令破壊の仕組みがない状況だっらたその通りだとは思う。ただ、今回は指令破壊という最終手段が別途存在する状態なのだから飛行継続の一択だと思う。
なんかフクイチへの海水注入を思い出すわ。「そんなことしたら現状復帰できなくなる」「そんなこと言ってる場合か!」って。
> イケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。 まったくですよ。日本の、三菱のモノづくりだよ。わかってる? 「両方がダメだった場合」とか進言したら、「キミは馬鹿かね(デスラー総統風)。両方正常動作するように作りたまえ」って言われるだけだぞ。
「ばかだなあ。どうせ両方正常動作するなら二重化するなんて金の無駄じゃないか。片方だけにしたまえ」
どうだろう。下流機器を遮断しなかった結果、エンジンを着火できたとしても、他の機器に影響が波及して、姿勢とか方位の制御ができず、落下予想区域外に飛んで行ってしまう危険性もあるわけで。フェイルセーフの設計としては間違ってないと思う。
今回の場合、下流機器を遮断したら100%ミッション失敗なんですよ。一方で、落下予想外の方位に行ってしまう問題に対しては、完全に独立した指令破壊のシステムがあるので、影響はありません。だから念のために異常があった機器は全部止めよう、は問題なんですよ。
# 大貫氏は、別スレッドで航空機は異常があっても止めたら墜落する機器を止めてはいけない、という話もしていたり。まさにそんな感じな気がします。
ミッション失敗は確実かもしれないけど、それは単にミッションが失敗レベルの話。それ以上に姿勢制御に失敗した結果、有人地域に墜落とかなったら単なるミッションの失敗ではすまないだろう。
という話だと思うのだけど。
それはそうなんですけど、そういう事故を防止するために指令破壊のシステムは他と独立して作られているらしく、そっちはより信頼性が高い(有人地域に墜落とかになったら致命的なので)と言うことなので、今回の機器はそれとは関係ないらしいんですよ。(この発表の際の質疑応答でも同じような話が出て、上のような回答がされたと言うことでした。)
だから一般論としてはそうでも、今回の機器がその対処をする必要性は無いんです。
実際今回も指令破壊はちゃんとできたわけだし
結果論って指摘されますよ
指令破壊しても、ロケットが既に持つ運動エネルギーや位置エネルギーが消滅するわけではないならな
海に落ちることが解ってたから指令破壊信号を出したんですよそもそも陸地の上は飛ばないためにフィリピン上空を避けるドッグレッグターン打上げをしてるんですから
破壊信号を出さなくても海に落ちることが解ってたのに破壊信号出したらそれは俺じゃない誰かが指摘してると思う
第2段エンジン着火するかしないか、程度の判断なら、人命への影響は皆無ですよ。着火した後に明後日に進むかどうか、ということなら、それは正常に着火信号が通った場合でも同じ。つまりリスクはたいして上がらない。
※ノイズの影響等なんらかの事象は生じてるので多少はリスクが上がるとは思う。しかし、許容できないリスクでは全く無い。
結局、こういう極論っぽいこと言う人は、リスクの程度ってものを理解してないのか、あえて無視してるのではないか。オンとオフのデジタルな判断しかできないのだろうか。そもそも論で言ったら、打ち上げ実施すること自体が人命へのリスクだから打ち上げするな、って話になってしまう。アホらしいよね。
有人機(旅客機とか車とか)では、動かすにしても、止めるにしても、どちらにしても人命に関わるからこそ、一考の余地が生まれる。無人機で、今止めれば確実に安全なのに、異常な状況で危険を冒して動かすのは、指令破壊という最終安全装置があるにせよ、人命よりも経済性を優先しているわけで、技術者倫理的にありえないと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
設計ミスかなー (スコア:4, 興味深い)
第1段エンジン燃焼開始の判断なら、停止する方向に倒すのは正しい。リトライできるから。まさに今回の延期がそう。
一方、空に上がってからなら、例え爆発の可能性があろうとも、継続するのが正しい。なぜならエンジン着火しない判断は即座にミッション失敗になるから。(※有人飛行なら別かもしれない)
つまり、そういう方針で設計していなかったという、設計ミスだね。
宇宙開発で良く聞く「ロバスト」になってなかった。
例えば他にも、フライトのシーケンスのなかで手遅れにならないタイミングで何度も再起動を試す、とかもやって良かったはずだが、おそらくやって
Re:設計ミスかなー (スコア:1)
ストーリーにもあるけど、冗長系の両方を止めてしまうのは設計ミスに見えるね。
電源が燃えるより破壊するより、電源止めてしまえばもっと悲惨なことになるのは目に見えてるのだから。
異常系の設計を一通り見直すとしたら、次の打ち上げはかなり先になりそう。
電源だけ見直すならすぐ飛ばせるだろうけど、それだとリスク抱えたままになってしまう。
Re:設計ミスかなー (スコア:3)
これが飛行のもっと早い段階における筐体GNDへのショートなどであれば、そこから発火に繋がり機体が爆発するような可能性も考えられます。すでにFTSを停止してもよいような領域で飛んでいるのだからイケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。
それより電源ユニットが同じ箇所に同じ信号を受け取る2基を並べる方法で冗長化されていたことへの批判の方が気になりますね。信号からアクチュエータまでの経路が分散したSPoFの鎖になってるんですよ、これ。
Re:設計ミスかなー (スコア:1)
> イケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。
地上の乗り物や機械なら止めたほうが大体は安全で例外はすごく少ないけど、
空を飛んでたら止めたら落ちるんですよ。
止めたら落ちるからエラーの時にどういう動作に倒すべきかを常に考えねばならない。
こんなのは飛行機の時点で延々とやられてる筈の事で、後知恵でもなんでもない筈。
……MRJがコケたのってもしかしてそういう事なんか……?
Re:設計ミスかなー (スコア:2)
継続して軌道投入まで漕ぎつけられるような故障だったら継続すれば成功したでしょうけど、止めたら人家にすっ飛んでいくような故障だったら人家に突っ込むでしょうが。飛行継続という動作に倒す方が安全であるという理屈が決まっていなかったのであれば、それこそ安易に継続には倒せないですよ。
ちなみに私のスタンスは(#4429180)です。
Re: (スコア:0)
停止→不確定位置への墜落が確定。要指令破壊。
継続→不確定位置への墜落の可能性もある。場合によっては要指令破壊。
止めたところで墜落先が安全なんて保証は出来ないから結局は指令破壊で安全確保。
不具合抱えたまま継続してもミッション遂行できる可能性はありうるけど、
停止してもなんの利点もない。
安易と言うなら止めてしまう設計こそ安易だろうよ。
Re:設計ミスかなー (スコア:2)
日本の有人飛行への道は遠いですね。こんなこと真顔で言う人がいるんだもの……
Re: (スコア:0)
停止しなければ指令破壊すら受け付けなくなる暴走状態に陥る可能性もありますが。
フェイルセーフとはそういうこと。
Re: (スコア:0)
電源ブチ切りだってリスクはあるだろ。
「飛んでる機器の電源切ったら墜落事故になる」って当たり前のことを見過ごしといて、
見過ごした事実を認められずにグダグダ言い訳するな、見苦しいぞ。
やらかした中の人が言い訳してんのかよ?
Re: (スコア:0)
ねーよ馬鹿が
どこも繋がっていない全くの別システムだという常識も知らない馬鹿が
Re: (スコア:0)
MRJは飛行機を売るではなく、飛行機を作ること自体が目的になってたから……
Re: (スコア:0)
今回H3では車載用のIC多数採用してるそうですが、車載のECUでは正にそういう制御をしてますよ。
ブレーキ作動中でなければエラー時に動作停止しますが、ブレーキ作動中であればエラーは通知だけしてブレーキ継続し、ブレーキ終了後に動作停止します。
こういうのは車載に限らずプラントや航空機等の止めるほうが危険な用途では一般的な制御です。
Re:設計ミスかなー (スコア:2)
それって少なくとも 1)継続で被害は縮小する可能性が高い 2)作動でユーザを傷つけるおそれはない とか条件がないでしょうか。
アクチュエータを作動する命令を発したら駆動電源電圧が異常に低下した、というおそらく想定になかった事態において、これは止める方が危険なのか止めない方が危険なのかを事前に言い切れたとは思いづらいです。ロケットは制御を失っていない限り、飛行経路上の前方どこか一点に落下します(慣性があるので直下には落ちません)が、崩れていてエンジンが作動していれば、落下しうる範囲は経路外の八方にも広がります。もしこの電源電圧降下が姿勢制御を失うような性質のものであれば、それは切って正解とも言えるんじゃないでしょうか。
そりゃ衛星が投入できてた方が嬉しいですけど、変な弾道軌道になってカリマンタン島とかに突っ込まれたら人災ですよ。
Re: (スコア:0)
>これが飛行のもっと早い段階における筐体GNDへのショートなどであれば、そこから発火に繋がり機体が爆発するような可能性も考えられます。
あなたのこの発言に対して、条件によって異常時の動作を変えるのはこの手のシステムでは普通だと言ってるだけです。
今回のシステムで動作継続と停止のどちらが正しいか、私には判断できる情報がありませんが。
Re: (スコア:0)
指令破壊の仕組みがない状況だっらたその通りだとは思う。
ただ、今回は指令破壊という最終手段が別途存在する状態なのだから飛行継続の一択だと思う。
Re: (スコア:0)
なんかフクイチへの海水注入を思い出すわ。「そんなことしたら現状復帰できなくなる」「そんなこと言ってる場合か!」って。
Re: (スコア:0)
> イケイケ精神に切り替えるべきであった、というのも大概が後知恵だと思います。
まったくですよ。
日本の、三菱のモノづくりだよ。わかってる?
「両方がダメだった場合」とか進言したら、「キミは馬鹿かね(デスラー総統風)。両方正常動作するように作りたまえ」
って言われるだけだぞ。
Re: (スコア:0)
「ばかだなあ。どうせ両方正常動作するなら二重化するなんて金の無駄じゃないか。片方だけにしたまえ」
Re: (スコア:0)
どうだろう。
下流機器を遮断しなかった結果、エンジンを着火できたとしても、他の機器に影響が波及して、姿勢とか方位の制御ができず、落下予想区域外に飛んで行ってしまう危険性もあるわけで。
フェイルセーフの設計としては間違ってないと思う。
Re: (スコア:0)
今回の場合、下流機器を遮断したら100%ミッション失敗なんですよ。
一方で、落下予想外の方位に行ってしまう問題に対しては、完全に独立した指令破壊のシステムがあるので、影響はありません。
だから念のために異常があった機器は全部止めよう、は問題なんですよ。
# 大貫氏は、別スレッドで航空機は異常があっても止めたら墜落する機器を止めてはいけない、という話もしていたり。まさにそんな感じな気がします。
Re: (スコア:0)
ミッション失敗は確実かもしれないけど、それは単にミッションが失敗レベルの話。
それ以上に姿勢制御に失敗した結果、有人地域に墜落とかなったら単なるミッションの失敗ではすまないだろう。
という話だと思うのだけど。
Re: (スコア:0)
それはそうなんですけど、そういう事故を防止するために指令破壊のシステムは他と独立して作られているらしく、そっちはより信頼性が高い(有人地域に墜落とかになったら致命的なので)と言うことなので、今回の機器はそれとは関係ないらしいんですよ。
(この発表の際の質疑応答でも同じような話が出て、上のような回答がされたと言うことでした。)
だから一般論としてはそうでも、今回の機器がその対処をする必要性は無いんです。
Re: (スコア:0)
実際今回も指令破壊はちゃんとできたわけだし
Re: (スコア:0)
結果論って指摘されますよ
Re: (スコア:0)
指令破壊しても、ロケットが既に持つ運動エネルギーや位置エネルギーが消滅するわけではないならな
Re: (スコア:0)
海に落ちることが解ってたから指令破壊信号を出したんですよ
そもそも陸地の上は飛ばないためにフィリピン上空を避けるドッグレッグターン打上げをしてるんですから
Re: (スコア:0)
破壊信号を出さなくても海に落ちることが解ってたのに破壊信号出したらそれは俺じゃない誰かが指摘してると思う
Re: (スコア:0)
第2段エンジン着火するかしないか、程度の判断なら、人命への影響は皆無ですよ。
着火した後に明後日に進むかどうか、ということなら、それは正常に着火信号が通った場合でも同じ。
つまりリスクはたいして上がらない。
※ノイズの影響等なんらかの事象は生じてるので多少はリスクが上がるとは思う。しかし、許容できないリスクでは全く無い。
結局、こういう極論っぽいこと言う人は、リスクの程度ってものを理解してないのか、あえて無視してるのではないか。
オンとオフのデジタルな判断しかできないのだろうか。
そもそも論で言ったら、打ち上げ実施すること自体が人命へのリスクだから打ち上げするな、って話になってしまう。アホらしいよね。
Re: (スコア:0)
有人機(旅客機とか車とか)では、動かすにしても、止めるにしても、どちらにしても人命に関わるからこそ、一考の余地が生まれる。
無人機で、今止めれば確実に安全なのに、異常な状況で危険を冒して動かすのは、指令破壊という最終安全装置があるにせよ、人命よりも経済性を優先しているわけで、技術者倫理的にありえないと思う。