失敗事例

事例名称 ソフトのバグによるハイテク航空機の墜落事故
代表図
事例発生日付 2000年12月11日
事例発生地 米国ノースカロライナ州ジャクソンビル近辺
事例発生場所 海兵隊の飛行機 A社製垂直離着陸機
事例概要 ヘリコプターの機能と飛行機の機能の両方を備えた海兵隊のA社製垂直離着陸機の油圧ラインが裂け、油圧システムに問題が生じた。PFCS(Primary Flight Control System)リセットボタンが点灯し、手順どおりにボタンが押された後、ソフトウェアのバグ、問題により異常な動作が発生し、コントロールを失って墜落した。
事象 ヘリコプターの機能と飛行機の機能の両方を備えた海兵隊のA社製垂直離着陸機は、ノースカロライナ州ジャクソンビル近辺で、飛行中に異常が発生したためにPFCSリセットボタンが点灯し、手順どおりにボタンを押したが、適切に作動せず、コントロールを失って墜落した。
経過 左ナセルの油圧ラインが裂けた。このラインは飛行制御システムの油圧システムの一部で、旋転斜盤アクチュエータを稼動させるものであった。裂けた部分のラインはシステム1とシステム3につながっており、これによってシステム1は完全に作動しなくなった。システム3は左ナセルを隔離してしまったが、右ナセルでは作動していた。システム2は左右で作動していた。操縦席のPFCSリセットボタンのランプが点灯した。手順どおりにリセットボタンが押された。するとPFCSコンピュータのソフトウエアはその時“急速“ピッチを起こし、スラスト変更のコマンドとその実行を行った。しかし、右側では2つの油圧システムが作動しており、左側は1つのみであったため、回転子は異なる動作を起こし、A社製垂直離着陸機はコントロールを失った。操縦士は再度リセットボタンを押した。墜落前の20秒間の間に8回から10回、このリセットボタンをおしたが、コントロールを失ったまま墜落した。
原因 そもそもPFCSリセットのソフトウェアは地上でメンテナンスが初期条件を設定するときに用いる命令で、それを実行する油圧系統に問題が起こったときに正常に作動するはずがなかった。すなわち、異常が発生したためにリセットボタンは点灯したが、このような状況でリセットボタンを押した場合には、リセットボタンが消灯するのみで、何も作動するはずではなかったが、ソフトウエアの問題で、制御不可能な状況になってしまった。ソフトは設計通りに機能したが、油圧回路を含めた設計が全体的なPFCS制御必要条件を充たしていなかった可能性もある。また油圧回路の問題時にPFCSリセットを作動することは、これまでにシミュレーションやテスト飛行でも試されていなかった。この本事故のフライトレコーダを解析して、ようやく分かった。
対処 A社製垂直離着陸機の安全性が確認されるまで、使用が停止された。この事故およびA社製垂直離着陸機についての調査を始めた。
対策 設計仕様書どおりに作動するかどうか、ソフトを検査し、バグを取り除くこと、ソフトの設計ミスが無いかどうかをPFCS設計に基いて検査すること、ソフトとPFCSとの間の矛盾を無くすことなどが提案された。海兵隊によると、業者はソフトウエアなどを改善しているという。
知識化 過去の事故を充分に調査し、安全性を確認しておかないと、事故が再発する可能性が高い。しかし、ハードウェアとソフトウェアの干渉は、容易に気が付かないことが多い。
背景 A社製垂直離着陸機はヘリコプターのように離着陸するが、飛行速度はヘリコプターの二倍であるという、軍隊では非常に重宝されている乗り物である。しかし、1991年からA社製垂直離着陸機 の事故は4件起こっている。この事故の8ヶ月前はアリゾナ州で墜落しており、その際には19名が死亡した。このハイテク飛行機の安全性が問われているところであった。
後日談 この事故の後、メンテ不良を隠す動きがあるのではないかとも言われたが、海兵隊はそれを全面的に否定しており、また操縦ミスや設計上の問題も否定している。2003年になり、また戦争が始まろうとしているとき、海兵隊はA社製垂直離着陸機の使用を考えているという。
よもやま話 A社製垂直離着陸機は1983年、エンジン2基・チルトロターの多目的航空機として、A型機を母体に開発されてきた航空機。初飛行は1989年3月19日で、海兵隊バージョンをB-I、海軍をB-II、空軍をB-IIIと呼ぶ。飛行の状態は離着陸時のヘリコプター・モードと、高速飛行のエアープレーン・モードに切り替えられ、それぞれのシーレベルでの最高巡航速度は、ヘリコプター・モードで100kt(時速約180km)、エアープレーン・モードで275kt(時速約500km)である。
当事者ヒアリング 海兵隊を代表して、A中尉は、「事故は飛行機の設計には関連していない。油圧システムに問題が生じて、バックアップシステムが作動できなくなったためだと、99%の確信をもっている。」と語っている。
データベース登録の
動機
現在世の中は戦争の危機を感じている状況である。アメリカ軍は対イラク戦争で数々のハイテク機器を使用して世界を驚かせたが、このようなハイテクの有能な機器にも問題が生じ、安全な国内で何度も事故を起こしているという状況に多少驚き、また、何か学べるものがあるかと感じたから。
シナリオ
主シナリオ 企画不良、戦略・企画不良、試験計画不良、誤判断、誤った理解、詳細計画ミス、定常動作、誤動作、製作、ソフト製作、テスト不足・バグ、使用、運転・使用、手順、機能不全、ハード不良、機械・装置、動作不能、破損、大規模破損、墜落、身体的被害、死亡
情報源 http://www.gcn.com/vol20_no5/news/3770-1.html
http://lists.jammed.com/politech/2001/05/0025.html
http://www2.wbs.ne.jp/~tophelo/osprey.htm
http://pma275.navair.navy.mil/
http://www.g2mil.com/ReporttoCongress04-2002.pdf
死者数 4
負傷者数 0
物的被害 A社製垂直離着陸機 1機
被害金額 不明
分野 機械
データ作成者 タカミハマダニ (SYDROSE LP)
中尾政之 (東京大学工学部附属総合試験所総合研究プロジェクト・連携工学プロジェクト)