飛行安全の定量基準と解析手法
Ec・PCからAFSSまで — ロケット打上げリスク評価の技術体系
1 1. 飛行安全の定量基準とは何か
ロケット打上げの安全性は、定性的な「安全か否か」ではなく、定量的なリスク指標によって評価される。打上げ事業者は、飛行中の機体故障・異常飛行がもたらすリスクを数値として算出し、規制当局が設定した許容値以下であることを証明しなければならない。
- 集団リスク(Collective Risk): 期待死傷者数(Expected Casualties: Ec)
- 個人リスク(Individual Risk): 個人当たりの死傷確率(Probability of Casualty: PC)
Ecは「打上げ1回あたり、公衆全体で何人の死傷者が予想されるか」を示す統計的期待値であり、PCは「特定の場所にいる1人の個人が死傷する確率」を示す。この2指標の組み合わせにより、集団全体のリスクと個人が負う最大リスクの双方を管理する(3)。
2 2. FAA Part 450の安全基準
2.1 2.1 集団リスク基準(Ec)
FAA 14 CFR §450.101は、商業宇宙打上げに適用される定量的安全基準を規定している。集団リスクは、以下の4つの危険源からの寄与を合計した期待死傷者数で評価される(1):
- 非爆発性デブリ(inert debris)の衝撃
- 爆発性デブリ(explosive debris)による傷害
- 有毒物質放出(toxic release)による中毒
- 遠距離衝撃波(far-field blast overpressure)による傷害
| 対象集団 | Ec許容値 | 備考 |
|---|---|---|
| 一般公衆(General Public) | ≤ 1 × 10⁻⁴ | 与圧環境外のすべての人 |
| 近傍作業員(Neighboring Operations Personnel) | ≤ 2 × 10⁻⁴ | 射場周辺の隣接施設従事者 |
| 航空機搭乗者 | 個別評価 | 別途基準で規制 |
Ec = 1 × 10⁻⁴とは、10,000回の打上げで統計的に1人の死傷者が生じる水準である。この値は、打上げ頻度の増加を考慮しても公衆リスクが社会的に許容可能な範囲に収まるよう設計されている(4)。
2.2 2.2 個人リスク基準(PC)
個人リスクは、特定の個人が打上げ操作により死傷する確率として定義される(3):
- 許容値: PC ≤ 1 × 10⁻⁶(100万回の打上げで1回死傷する水準)
この基準を超過する地域は飛行危険区域(Flight Hazard Area)に指定され、打上げ時の公衆排除または屋内退避が要求される。個人リスクは、集団リスクとは独立に評価される。集団リスクが許容範囲内であっても、特定地点の個人リスクが1 × 10⁻⁶を超過すれば、その地点での追加的保護措置が必要となる(1)。
2.3 2.3 Advisory Circularによる実装ガイダンス
FAA は定量基準の具体的な適用方法をAdvisory Circular(AC)で示している(3,5):
- AC 450.101-1A: §450.101の飛行安全解析に関するガイダンス。Ec/PC計算の詳細方法、リスク軽減対策の効果評価方法、高帰結事象保護(High Consequence Event Protection)の要件を提供
- AC 450.123-1: 人口曝露評価(Population Exposure Assessment)。飛行危険区域内の人口推定方法、時間帯別人口変動の考慮方法、屋内退避の効果評価を規定
さらに、FAA長官は標準的な4危険源以外のハザード(電磁干渉、航空安全への影響等)について、個別判断(case-by-case)でリスク許容性を決定する裁量権を有する(1)。
3 3. RCC 321: 国防テストレンジの共通リスク基準
3.1 3.1 RCC 321の位置づけ
Range Commanders Council(RCC)321 Common Risk Criteria Standardsは、米国の国防テストレンジにおけるリスク管理の合意標準である(2)。FAA Part 450が商業打上げライセンスの法的規制であるのに対し、RCC 321は各テストレンジ管理者が採択を決定する「合意標準(Consensus Standard)」である。しかし実際には、Cape Canaveral Space Force Station、Vandenberg Space Force Base等の主要射場で事実上の標準として運用されている。
3.2 3.2 改訂の経緯
RCC 321は段階的に拡充されてきた(2):
- RCC 321-07(2007年): 非爆発性デブリを主要危険源とする基本版
- RCC 321-10(2010年): 改訂版。より詳細な解析方法論を追加
- RCC 321-23(2023年11月): 最新版。危険源を4種に拡大(非爆発性デブリ、爆発性デブリ、衝撃波、有毒物質)し、AFSS対応を追加
321-23では、従来case-by-caseで扱われていた有毒物質放出を正式にSupplement文書として定量化し、商業打上げ市場の拡大に対応した。
3.3 3.3 FAA §450.101との比較
両基準は技術的に多くの共通点を持つが、適用対象と法的性質が異なる(1,2):
| 項目 | RCC 321-23 | FAA §450.101 |
|---|---|---|
| 適用対象 | 国防テストレンジ・政府打上げ | 商業打上げライセンス |
| 法的性質 | 合意標準(各射場が採択) | 連邦規制(法的拘束力) |
| 集団リスク(Ec) | ≤ 1 × 10⁻⁴ | ≤ 1 × 10⁻⁴ |
| 個人リスク(PC) | ≤ 1 × 10⁻⁶ | ≤ 1 × 10⁻⁶ |
| 危険源 | 4種(321-23で拡大) | 4種 |
個人リスク許容値はRCC 321とFAA Part 450がともに1 × 10⁻⁶で一致している。両基準の主要な差異は法的性質と適用対象にあり、数値基準自体は共通である。これらの数値(10⁻⁴/10⁻⁶)が産業横断的に収斂した理論的背景については飛行安全基準の理論的基盤を参照されたい。
4 4. Ec・PCの計算手法
4.1 4.1 計算プロセスの全体像
Ec・PCの計算は、物理シミュレーションと統計解析を組み合わせた多段階プロセスである(3,5):
- 失敗シナリオの定義: 飛行軌道上の各時点における故障モード(エンジン推力喪失、構造破壊、制御喪失等)を列挙し、各モードの発生確率を推定
- デブリ生成モデリング: 各故障モードから生成される破片の数、サイズ、質量、速度分布を推定。爆発性破片にはGurney方程式を適用
- デブリ伝播シミュレーション: 風モデルと空気力学モデルを統合し、破片の落下地点分布を計算(Monte Carlo法による確率的評価)
- 死傷確率の算定: 破片の運動エネルギーに基づく条件付き死傷率(Conditional Fatality Rate)を算定。6インチ(約15cm)以上の破片は致命的とみなされる
- 人口曝露評価: 影響領域内の人口密度データ(時間帯別変動を含む)と死傷確率を統合し、Ec・PCを算出
4.2 4.2 計算式
基本的な計算式は以下のとおりである(3):
集団リスク(Ec):
\[Ec = \sum_{i} \sum_{j} P_{f,i} \times P_{impact,j|i} \times A_{c,j} \times D_{p,j}\]
ここで \(P_{f,i}\) は故障モード \(i\) の発生確率、\(P_{impact,j|i}\) は故障モード \(i\) における区画 \(j\) への衝撃確率、\(A_{c,j}\) は死傷領域面積、\(D_{p,j}\) は区画 \(j\) の人口密度である。
個人リスク(PC):
\[PC = \sum_{i} P_{f,i} \times P_{impact|i} \times \frac{A_c}{A_{cell}}\]
ここで \(A_c / A_{cell}\) は死傷領域面積と区画面積の比であり、特定地点にいる個人への破片到達確率を表す。
4.3 4.3 シェルター効果の考慮
屋内にいる人員に対しては、建物の構造に応じたシェルター効果が考慮される(5)。木造家屋と鉄筋コンクリート建築では防護効果が大幅に異なるため、人口データに加えて建物タイプの分布も解析に組み込まれる。
5 5. 飛行安全システム: FTSからAFSSへ
5.1 5.1 従来型FTS
Flight Termination System(FTS)は、ロケットが軌道を逸脱した場合に機体を破壊し、公衆へのリスクを限定するための安全装置である(6)。従来型FTSでは、地上のRange Safety Officer(RSO)がリアルタイムで飛行を監視し、異常を検知した場合に無線コマンドで機体搭載の爆破装置を起動する。
FTSの信頼性要件は極めて厳格であり、RCC 319はFTSの全コンポーネントに対して信頼性0.999(99.9%)、信頼度95%を要求している(6)。この基準を達成するため、FTS設計には以下の特性が求められる:
- 冗長性: 複数の独立した破壊チャネル
- 物理的分離: 冗長チャネル間の距離確保(単一障害点の排除)
- システム独立性: 機体の他システムとの電気的・機械的分離
- テスト性: フライト前のエンドツーエンド機能検証
5.2 5.2 自律型飛行安全システム(AFSS)
Autonomous Flight Safety System(AFSS)は、従来のHuman-in-the-Loop型FTSに代わり、オンボード自律ソフトウェアが飛行終止を自動実行するシステムである(7)。
| 項目 | 従来型FTS | AFSS |
|---|---|---|
| 判断主体 | 地上RSO(人間) | オンボードソフトウェア |
| 応答時間 | 2〜5秒 | ミリ秒単位 |
| 通信依存 | 地上無線信号に依存 | 独立(通信喪失時も動作) |
| 判断ロジック | 人間の判断 | 決定論的ルールベース論理 |
AFSSの技術的核心は、事前に規定された安全限界値(飛行包絡線)と実測軌道データのリアルタイム比較にある。機体搭載のGPS/GNSS・IMUセンサーから軌道データを取得し、予測軌道が安全限界を逸脱した場合に自動で飛行終止コマンドを実行する。AI・機械学習ではなく、決定論的ロジック(Deterministic Logic)に基づく点が重要である。
5.3 5.3 AFSSの運用実績と規制動向
AFSSの運用実績は2017年のSpaceX CRS-10ミッションに遡る(8)。FAA認可のもとFalcon 9がAFSSを搭載し、従来の地上指令破壊システムに代わる自律飛行安全の実運用が開始された。以降、SpaceXの打上げではAFSSが標準的に運用されており、有人ミッションへの適用も進んでいる。
AFSSの導入は打上げテンポの加速に直結する。地上FTS送信・受信インフラの簡素化、RSO待機の不要化により、同一射場からの連続打上げ(back-to-back launches)が容易になる。米宇宙軍(U.S. Space Force)は東西両射場からのすべての宇宙打上げミッションでAFSS搭載を要件化する方向で規制整備を進めている。
FAA Part 450(2021年発効)ではAFSSに明示的言及はないが、Flight Termination System全般の性能要件として暗黙的に許容されている。RCC 321-23(2023年)ではAFSSへの言及が追加された(2)。今後、AC 450.XXX-1(AFSS固有のAdvisory Circular)の発行やRCC 321の次期改訂でのAFSS対応が見込まれる。
6 6. 軍事射場安全標準: AFSPCMAN 91-710
6.1 6.1 文書体系
AFSPCMAN 91-710(Air Force Space Command Manual 91-710)は、米国宇宙軍の射場安全要件を規定する包括的マニュアルである(9)。7つのボリュームから構成され、射場安全方針、打上げ操作、システム安全、射場インフラ、FTS要件、ユーザー要件、特別打上げ操作をカバーする。2019年の米宇宙軍創設に伴い、SSCMAN 91-710(Space Systems Command Manual)への改名が進められている。
6.2 6.2 FAA Part 450との関係
FAA Part 450は打上げシステム・飛行安全に焦点を当て、地上施設の安全(Ground Safety)は連邦射場(Federal Range)の要件に委任している(10)。このため、Cape CanaveralやVandenbergでの打上げでは、飛行安全はPart 450、地上安全はSSCMAN 91-710(旧AFSPCMAN 91-710)という二重の規制構造が適用される(10)。商業打上げ事業者はFAAライセンスに加え、射場利用時にSSCMAN要件への準拠も求められる。
7 7. NASA NPR 8715.5: 射場飛行安全プログラム
NASA Procedural Requirements(NPR)8715.5は、NASAの射場飛行安全プログラムを規定する手続き文書である(7)。すべてのNASAセンター・試験施設を対象とし、支出型打上げ機(ELV)、再使用型打上げ機(RLV)、無人航空機システム(UAS)を含む。
NPR 8715.5はFAA Part 450やRCC 321と同じEc・PCの定量指標を採用するが、NASAミッションの特性に応じてより厳格な基準を適用する場合がある。連邦政府施設での政府打上げではNPRが優先され、民間施設での商業打上げではFAA Part 450が適用される。
NPR 8715.5はNASA Online Directives Information System(NODIS)を通じて全文公開されており、章ごとのスタンドアロン参照が可能である(7)。
8 8. リスク軽減対策の体系
飛行安全のリスク軽減対策は、行政的・工学的・物理的の3層で構成される(1,2):
行政的軽減(Administrative Controls):
- 飛行計画時間帯の最適化(人口最小時間帯の選択)
- 発射延期基準の設定(悪天候時、航空交通輻輳時)
- 公衆警報システムの運用
工学的軽減(Engineering Controls):
- 軌道制御精度の向上(軌道分散削減)
- フライト・アボート能力(Flight Abort Capability)の実装
- AFSSの導入(応答時間短縮によるリスク低減)
物理的軽減(Physical Controls):
- 制御着陸区域(Controlled Impact Zone)の設定
- 飛行危険区域外への公衆排除
- 屋内シェルターの指定
AFSSの導入は工学的軽減の中でも特に大きなリスク低減効果を持つ。応答時間の短縮により軌道逸脱が早期に対処され、破片着地範囲が縮小することで、集団リスク(Ec)の低減に直接寄与する。
9 9. 定量基準の国際的位置づけ
Ec・PCに基づく定量基準は米国で発展したが、その概念は国際的に広く参照されている。
豪州のFlight Safety Code(2023年版)はEcおよびPC計算の方法論を規定し、FAA基準と互換性のある定量評価を要求している(11)。英国CAAはSafety Case制度の枠組み内で、申請者がEc/PC相当の定量評価を含むリスク評価を提出することを求めている(12)。
一方、欧州(ECSS)ではEC/PC基準の直接適用よりも、Safety Caseベースの目標設定型アプローチが主流であり(13)、具体的な数値基準は各プログラムのSafety Caseで定義される。
ISO 14620シリーズは宇宙システムの安全要件を規定するが、具体的なEc/PCの数値閾値は規定していない(14)。数値基準は各国の規制当局が自国の打上げ環境(人口密度、射場位置、打上げ頻度等)に応じて設定する構造となっている。
10 10. まとめ
飛行安全の定量基準は、ロケット打上げの安全性を客観的に評価・管理するための不可欠な枠組みである。Ec(集団リスク)とPC(個人リスク)の2指標を軸に、4種の危険源(デブリ、爆発、有毒物質、衝撃波)を統合的に評価する手法は、FAA Part 450とRCC 321を通じて技術的に成熟している。
AFSSの実用化は、この定量的枠組みの中で「工学的軽減」として機能し、応答時間の短縮を通じてリスク低減と打上げテンポの加速を同時に実現する。従来のHuman-in-the-Loop型FTSからの移行は、商業打上げの急増(2024年148件のFAAライセンス運用(15))を支える技術基盤として不可欠である。
各国の定量基準は、米国を起点として国際的に収斂する傾向にあるが、その具体的な数値と適用方法は各国の規制思想(Prescriptive/Performance-Based/Goal-Based)を反映して多様である。定量基準の技術的内容を理解することは、各国規制の比較分析の前提条件となる。