沖縄での不時着事故に見るオスプレイの脆弱性

オスプレイ2016年12月13日夜、沖縄県名護市の沿岸にオスプレイが不時着し大破した。
ニュース等によれば、夜間空中給油訓練中に、給油機からの給油ホースが切れて、オスプレイのプロペラ(プロップ・ロータ)を破損したのが原因だという。
ただし、何らかの理由で切れたホースが当たったのか、プロペラに当たったことでホースが切れたのか、そのあたりははっきりしない。
いずれにしても、ホースが当たったことでプロペラが破損したことは確かなようだ。

さて、プロペラを破損したオスプレイはどうなるか。
通常の双発飛行機なら、破損したプロペラ側のエンジンを止めて、片発飛行で帰還すれば良い。
しかし、オスプレイの場合はそうは行かない。
オスプレイは、片方のプロペラを止めて飛行することができないのだ。
このあたりは以前のエントリ「オスプレイの安全性を考える – ハザード検討の一例」に詳しく書いた。
すなわち、今回の事故は、通常の双発飛行機であれば不時着大破や墜落などという事態には至らない事象であり、プロペラ不具合に対するオスプレイの脆弱性が顕在化したものといえる。

では、ヘリコプターと比較してではどうか。
ヘリコプターの場合も、ローターの機能に障害が出れば、墜落もしくは不時着を強いられることになるだろう。
空中給油の際に、ローターがホースに触れてしまえば、オスプレイと同じことではないのか。
これについては、件の軍事ブロガー(笑)JSFさんが、興味深い動画を教えてくれた。
(もちろん既知の動画だが、わざわざtweetで教えてくれたJSFさんに敬意を表して引用させていただく)

この動画では、CH-53ヘリコプターが空中給油中にピッチングを起こし、ホースではなく自機の受油プローブをへし折っている。
JSFさんは、これを示して「CH-53も危険だ」と言いたいのかもしれないが、そうだろうか。
だって、このCH-53、ホースよりも強度の高いであろう金属製のプローブをへし折っているが、その後も平然と飛行しているではないか。(笑)

そう、ヘリコプターのローターが空中給油中にホースに接触しても、ただちにローターが破壊されるようなことは、まずない。
ヘリコプターもバカではないから、ローターにそれなりの強度を持たせているし、ホースだって無用に強いわけではない。

では、オスプレイのプロペラは、なぜ壊れてしまったのか。
オスプレイのプロペラは、ヘリコプターのローターよりも弱いのか。

弱いのである。わざわざ弱く設計してあるのだ。

オスプレイは通常ヘリコプター・モードで離着陸するが、なんらかの理由で、飛行機モードで不時着陸しなければならない場合もある。
(今回の事故でも、飛行機モードで不時着している。)
滑走路等に飛行機モードで不時着する場合、プロペラが大きいため、そのままでは地面に接触してしまう。
その際、プロペラの強度が強すぎると安全に不時着できないため、地面に接触したプロペラは、竹箒のようなささら状に壊れるようにしてあるのだ。
つまり、オスプレイのプロペラはヘリコプターのローターほど強くはない。それが設計の仕様なのだ。

以上のことをまとめると、次のように言えるだろう。
空中給油時のホースとプロペラ(ローター)の接触インシデントに対して、オスプレイは

  • 双発飛行機のようなロバスト性(強健さ)はない
  • ヘリコプターほどのロバスト性もない

ということだ。
つまり、オスプレイはこの種のインシデントに対して、従来の航空機よりもずっと脆弱なのである。
おまけに、オスプレイはプロペラの描く円盤面積が大きく、この種のインシデントを起こしやすい。
これはオスプレイの設計上の仕様であり、免れ得ない特徴だ。

今回の事故を受けて、米軍は”「オスプレイの機械的なシステムの問題ではない」として、機体の問題でないことを強調した”(朝日新聞より)という。
これを受けて、件の軍事ブロガー(笑)JFSさんも「今回の夜間空中給油訓練はオスプレイの機体欠陥とは公式にも見做されないので、いくら欠陥だと騒いでも無駄です。」と上記に引用したtweetで仰っている。

僕はJSFさんのいう「欠陥」というのが何をイメージしているかわからないし、何が無駄なのかもわからないが、とにかくJSFさんはオスプレイが無謬の乗り物だと言いたいらしい。笑止である。

上記に示したように、空中給油という運用(オペレーション)に関わるハザード・リスクに対して、オスプレイは従来の航空機よりも脆弱である、ということは事実であり、その事実がはしなくも今回の事故で示されたといえる。

とはいえ、僕は以上の事実を持って「オスプレイは危険だー!」と叫ぶつもりはないのである。
これも以前からの繰り返しになるが、こうしたリスクを十分に認知したうえで、安全な運用を行っていくことが必要なのだ。
ただし、このような脆弱性を抱えている以上、空中給油という高リスクの運用について、運用者は従来以上に慎重な対応が求められる。
そして、重度の難治オスプレイ信仰者であるJSFさんには、ご病状の安定をお祈りする次第である。


オスプレイの安全性を考える – フール・プルーフ設計

我ながら旧聞にも程があると思うが、2012年にモロッコで起きたオスプレイの墜落事故に関連して、ティルト・ロータ機の操縦システムにおけるフール・プルーフ設計について書こうと思う。

フール・プルーフ設計とは、安全性設計概念のひとつで、人間が「やってはいけないこと」をやってしまっても安全なように、あるいは、「やってはいけないこと」ができないように設計しておく、という考え方だ。
日本語では「馬鹿対策」などと汚い言葉で表現されることもあるが、人間は必ずミスをするものであり、本来すべきではない操作をやってしまうものだから、対策をとっておこうというのが、このフール・プルーフである。

さて、モロッコで起きたV-22墜落事故の概要は、以下のようであった。

1. 同機は海兵隊員12名を降ろした後、離陸して地上6mまで真っ直ぐ上昇、副操縦士が右ペダルを踏みこんで右回りのホバリング旋回に移った。
2. 高度14mほどでホバリング旋回を終え、そのままエンジン・ナセルを87°から71°まで前方へ傾けて、25ktの背風を受けつつ遷移飛行に入った
3. ナセルを前方へ傾けたことで重心が前方へ移動して機首が下がり、しかも追い風で水平尾翼が押し上げられ、機体は前のめりになって墜落した。

墜落の原因は、前進速度のない状態で、しかも25ktの背風を受けつつ、遷移モードに移行してしまったことである。

オスプレイの操縦マニュアルによれば、エンジン・ナセルを傾けて遷移モードに入るには、尾翼の下向き揚力が十分に得られるよう、まずヘリコプタ・モードで40kt以上の前進速度をつけなければいけない。
ところが、この事故においては、前進速度ゼロ(背風の影響を加味すればマイナス25kt)で遷移モードに入れてしまったため、頭下げが抑えきれずに前のめりに墜落したのだ。
正しいプロシージャ(手順)と事故機の事例を図示すると、下の図1のようになる。

図1. V-22の飛行モード遷移

図1. V-22の飛行モード遷移


ここで、パイロットがマニュアルに従って操縦していれば、当然このような事故にはならなかった。だから、事故の原因はパイロットの誤った操作というヒューマン・エラーである。
しかし、ここで起きたようなパイロットの誤操作は、十分危惧されるものだ。
なぜなら、遷移モードに移る前にヘリコプタ・モードで40kt以上まで加速するという操作は、必ずしもパイロットの直感にそっていないからだ。
図1の正しいプロシージャを見てわかるとおり、オスプレイの飛行モード遷移は、飛行状態のフェーズと一致していない。そのため、パイロットの直感的な操作として、加速フェーズに入る際、直に遷移モードに入れてしまうという誤操作が起きてしまったのである。

さて、ここで冒頭に触れたフール・プルーフについて考えてみる。
こうした誤操作で事故に至らないようにするには、40kt以下ではパイロットが操作しても遷移モードに入らないよう、操縦系統にプロテクションをかける方法が考えられる。誤操作を予期したフール・プルーフだ。
なぜオスプレイにそのようなプロテクションがないのか、防衛省の調査チームが照会したところ、遷移モードによる滑走離陸を想定しているためだとの説明があったようだ。
しかし、それならWOWスイッチ(Weight on Wheel Switch:車輪にかかる荷重を検知するスイッチ)を使うなどして、飛行状態にあるときだけプロテクションを効かせればよいのであって、必ずしも十分な説明ではない。
はっきり言えば、オスプレイの安全性設計に抜け穴があったとしか言いようがない。

では、現在開発されている民間向けのティルト・ローター機、AW609ではどうなっているだろうか。
先の図1に準じてAW609のプロシージャを示したのが図2である。

図2.AW609の飛行モード遷移

図2.AW609の飛行モード遷移


ご覧のとおり、機体の飛行モードは飛行状態フェーズに一致している。
更に、飛行モードの遷移は、V-22オスプレイのようにナセルの傾きをレバーで制御するのではなく、操縦レバーに付いたスイッチを押すごとに、ヘリコプタ・モード>遷移モード>飛行機モード と変化するようになっており、ヘリコプタ・モードから直に飛行機モードに入ってしまうような誤操作もおこらない仕様になっている。
オスプレイでは考慮されていなかったフール・プルーフが、AW609ではきちんと成立しているのだ。
少なくともこの点では、オスプレイの安全性設計がAW609に大きく劣っていることは確かだ。

もちろん、今回取り上げた内容が、直ちにオスプレイ配備基地の周辺住民に危険を及ぼすものと言い切れるとは限らない。
しかし、ティルト・ロータ航空機の安全性という観点では、重要な示唆を含む事故であったと言えるだろう。


オスプレイの安全性を考える – ハザード検討の一例

オスプレイの安全性議論に関する前のエントリを受けて、ヒューマン・エラーで生じたモロッコでの墜落事故について書くつもりだったが、その前に片舷停止によるハザードに関わる検討を示しておくことにした。簡単なハザード解析に近いものだ。

片発エンジンの停止ケース
オスプレイは、離着陸を除く飛行中の大半が、いわゆる「飛行機モード」で運航される。その際は、ほとんど双発プロペラ機と同様の形態だと言って良い。
しかし、安全性の面で通常の双発プロペラ機と大きく違う点がある。オスプレイは、片方のプロペラが停止した状態では釣り合いが保てない(飛行できない)ということだ。
そこで本機は、片方のエンジンが停止した場合に備え、健全側のエンジンから故障側のプロペラにも駆動力を伝えられるよう、インターコネクト・シャフトを有している。健全エンジン1基だけで、両方のプロペラを回せるのだ。
このことを、在来型双発機との比較で示すと、下表のようになる。

エンジン片発停止ケース

エンジン片発停止ケース

すなわち、オスプレイは、在来プロペラ機と同様、片側エンジンが故障しても飛行継続可能だ。

片舷プロペラの故障ケース
しかし、片舷の推力を失うケースは、エンジン停止だけではない。エンジンが無事でも、プロペラ機構の故障によって、片舷推力を失うことがある。
P-3CやE-2Cなど在来のプロペラ多発機が、1基のプロペラを停止して着陸する事例は時折見受けられるが、これらのうち多くのケースは、エンジンのトラブルではなく、プロペラ・ピッチ機構のトラブルだ。プロペラのピッチ機構が油圧トラブル等で制御不能となり、その結果、当該エンジンを停止しているのである。
もし、こうしたトラブルが起きた場合はどうか。オスプレイと在来機を比較すると下表のようになる。

プロペラ片舷故障ケース

プロペラ片舷故障ケース

つまり、1エンジン停止に対するオスプレイのリスクは在来双発機と同等だが、片舷プロペラ故障については、在来航空機にない独特のハザード・リスクがあるのだ。
また、飛行機モードで双発プロペラ機として飛行するオスプレイは、在来単発プロペラ機と単純比較すると、プロペラ故障を起こして推力を完全喪失する確率が2倍である。
しかも、離着陸を主翼揚力に依存しないオスプレイは、推力を喪失した際の滑空性能が低く、滑空比は5程度(F-104やF-16、あるいはスペース・シャトルと同程度)だとされている。これは高度を1,000m失う間に5,000m進むことができる計算だが、個人的には、オスプレイの実際の滑空比はもっと低いと見ており、滑空比5というのは理論的な理想値に近いだろう。
また、F-104やF-16などの戦闘機と滑空比が同程度だとしても、オスプレイの場合は戦闘機よりも運用高度がずっと低いはずなので、不時着条件はずっと悪くなる。仮に1,000mを飛行時にプロペラ不具合で推力を喪失したら、直近5km以内に安全に不時着できる滑走路代わりの広場がある見込みは極めて低いだろう。数1,000mの高度で運用される戦闘機に比べて、オスプレイは非常に条件がシビアなのである。

リスクにどう向き合うか
このようなリスクを十分低減するために、オスプレイのプロップ・ローター機構が、在来のプロペラ機構よりも遥かに高い信頼性を備えていなければならないし、そのような設計になっているはずで、そのためにはコストも掛かっているだろう。しかし、オスプレイには在来機にないリスクがある、ということは事実として言える

とはいえ、これを「オスプレイが危険な航空機である」と単純解釈するのは短絡である。
言えることは、あくまで「オスプレイには在来機にないリスクがあり、安全性を保つために、適切な対応が要求される」ということだ。
たとえ従来にないリスクがあっても、適切な配慮が実現されていれば、ハザードに至らず運用することは可能なのである。問題は、それが実現されるかどうかである。
安全性評価というものは、危険or安全の択一ではない。結論はしばしば定性的なものに留まり、せいぜいこのような比較論でしか語ることができないものだ。
従って、普天間配備の是非論についても、安全性の検討評価は、一定の参考材料を与えることはあっても、最終的には運用者や周辺住民の許容度の問題に帰着せざるを得ない部分が残るのである。


安全性とは何か – オスプレイ問題を考えるために

「オスプレイの安全性」評価にかかわる「軍事ブロガー」のデタラメについて愚痴るエントリを書いたところ、予想外の反響があったので驚いた。
とあるサイトのコメントでは、「エンジニアのいう安全性の意味するところが、しばしば一般のそれとズレている」ということも書かれていた。
これはそのとおりかもしれないが、正確に言うと、専門的に確立されている「安全性」という概念が、一般に正しく理解されていない、というのが実態である。一部の人には当たり前の概念でも、一般には誤解されているということは多い。

今回は、安全性という概念について、もう少しだけ説明を加えるエントリを書いてみたい。
自分も安全性工学が専門ではないので心許ないが、航空機の開発現場で少なからず安全性管理にコミットしたこともあるので、少しでも皆さんのお役に立つならと思って、敢えてこのエントリを立てる。
オスプレイの話は出てこないけれど、安全性を議論するための最低限の前提知識として読んでいただきたい。

安全性とは
まず、簡単に言うと安全性とは、システムが事故(ハザード)に至るリスクが十分低いかどうか、という概念だ。
システムのハザード要因はいろいろだ。部品の故障もそうだが、人間による誤操作や、雷などの自然現象もハザード要因だ。これらへの対策も含めて対応するのが、安全性設計である。
これらハザード要因のうち、部品故障による障害の抑止を取り扱うのが「信頼性工学」だから、「安全性」は「信頼性」を包含した概念だ。実際、安全性工学は信頼性工学から発展したものといえる。
福島第一原発の事故を例に取れば、あれは故障でなく天災によるものだから、原発の安全性に問題はないのだ、と言う人はいないだろう。システムが安全性を備えているためには、故障しないという信頼性に加えて、誤操作や天災によってハザードに至らないことが求められるのである。
すなわち、ヒューマン・エラーが容易に起き得るシステムや、自然災害に脆弱なシステムは、安全性に問題があるということだ。

以上を端的にまとめると、扱う対象範囲は以下のとおりになる。

  • 信頼性:部品の機械的・電気的故障を取り扱う
  • 安全性:上記の故障信頼性に加え、人的過誤、自然現象などを含めたハザードを取り扱う

今日では、信頼性工学の発達で故障によるハザードの抑止が進んだ結果、安全性管理は、事実上、人的過誤や自然災害への対策が大きなファクタになっている。
そして、信頼性は確率で定量的に表されるのに対して、安全性は自然現象や人的エラーのような定量化できない要素を扱うため、全ての要素を定量表現できない。

信頼性と安全性の区別がつかないJSFさん
ところが、「信頼性」と「安全性」の概念が理解できておらず、ヒューマンエラーによる事故は安全性の問題ではない、と主張する人がいた。件のJSFさんである。
JSFさんがtwitterで主張したところでは、オスプレイがヒューマンエラーで墜落した事故について、それはマニュアルに従わなかったパイロットが悪いので、オスプレイの問題ではないという。
更に、JSFさんによると、安全性は事故率で定量的に表され、信頼性は人の主観的な判断だそうだ。
これがいかに滅茶苦茶な理解であるかは上に書いたとおりで、そのことを私はJSFさんにtwitterで指摘し、丁寧に説明した。
そのやり取りをtogetterでまとめてくれた人があったので、下にリンクで引用しておく。

仲井真県知事の「(原因は)操縦ミスでしたとしゃあしゃあと言うのは全く意味が分からない」との検証報告書に対する批判発言について「安全と信頼とは?」 – Togetterまとめ http://togetter.com/li/364399

上記リンク先のまとめでは、さすがにカッコ悪いと思ったらしいJSFさんが、自分のtweetを非表示にして遁走してしまった。しかし元tweetまでは消していないようなので、興味のある向きは、面倒だが「※このツイートは削除されています。」のところをクリックして、JSFさんの主張を確認していただきたい。
twitterの限られた文字数の中で、できるだけ丁寧に説明したので、皆さんの参考にもなるまとめだと思うのだが、JSFさんが自tweetを非表示にしてしまうという、たいへん情けない行為に及んでおられることが残念でならない。
私としてはJSFさんの無知を暴くのは必ずしも本旨ではなく、多くの人に正しい理解を得たいという思いなのだが、まあJSFさんとしてはデタラメな理屈ででも相手を言い負かすことだけが関心事なのだろう。

また、先のエントリで述べたとおり、過去の事故率は安全性の指標ではない、ということもJSFさんには指摘した。過去に事故を起こさなかったからといって、ハザードのリスクが小さいとはいえない。
福島第一原発だって、3.11までは大事故なんか起こしていないが、実際に起きた天災に対して、安全性は全く不十分だったわけだ。事故が起こるまで安全性は十分だった、というわけではない。つまり、安全性とは「当該システムが過去に事故を起こしていない」こととは関係なく、「システムのライフサイクル全体でハザード・リスクが十分低いかどうか」を問題にする概念である。

安全性管理のプロセス
では、ヒューマン・エラーや自然災害を含めたハザード・リスクを視野に入れた安全性の確立と評価は、どのようになされるのだろうか。
これにはまず、ハザードに至るような誤操作が起き得ないような、あるいは誤操作が致命的にならないような設計をする。フール・プルーフとか、フェール・セーフとか言われるものだ。雷などの有害な自然現象に対しても、たとえば電気ボンディングや耐雷設計などの安全対策を施し、その有効性も試験などで確認する。また、機体に関わる整備員や操縦士には、過ちの起きないようなヒューマン・インターフェイスと、注意事項を明示したマニュアル、適切な訓練を提供する。
そのうえで、リスク・アセスメントを行い、予測されるヒューマン・エラーや自然災害を含めたFTA(Fault Tree Analysis=故障の木解析)などで、リスクを可視化あるいは定量化し、それらの事象が致命的ハザードに至る確率が十分低いことを示し、安全性を評価するのである。

なお、安全性設計の手法と評価に関しては、MIL-STD-882というMILスペックによって、そのアウトラインが示されている。米国や日本の軍用航空機は、このスペックに従って安全性管理が実施されており、オスプレイもその例外ではない。
このMIL-STD-882は公開スペックなので誰でも閲覧可能だが、素で読んでも主旨を理解することは難しいだろう。安全性工学についての理解を深めるには、やはり日本語で書かれた書籍にあたるのが良いので、参考になりそうな書籍へのリンクを末尾に貼っておく。
(ちなみに、安全性工学と安全工学は、たいてい別のものを指すので注意して欲しい)

まとめ

  • 安全性とは、機械の故障だけでなく、ヒューマンエラーや自然現象による事故も対象にする
  • ヒューマンエラーや自然現象を視野に含む安全性は、しばしば定性的に評価せざるを得ない
  • システムの安全性は、機器側の対策だけでなく、訓練体系やマニュアル等を含む包括的な取り組みによって確保される
  • JSFさんのようなデタラメな理解でシステムの安全性を語るのは論外である

では、できれば次回あたりで、オスプレイにまつわるヒューマン・エラー事故事例についても触れてみたいと思う。

そんじゃーね。

【追記】オスプレイにまつわるヒューマン・エラーについて書きました。(2016/4/12)
オスプレイの安全性を考える – フール・プルーフ設計


オスプレイ安全論と反知性主義(軍事ブロガーという厄介な大衆)

反知性主義が台頭している。
江戸しぐさ、水からの伝言、EM菌などのデタラメが教育現場にまで入り込み、在日特権というデマを信じて恥知らずな行為を働く者があり、南京事件否定論などの歴史修正主義が日本の名誉と国際的立場を危うくしている。
いずれも専門家には否定されている「トンデモ」系の言説だが、これらに親和的なのが現在の安倍内閣で、その体質を示すように、憲法違反だという識者の指摘をよそに、安保法案を躊躇なく強行採決した。僕たちは、まさに反知性主義の時代に生きている。

「反知性主義」の根底は、「専門教育や知的訓練を受けていない大衆でも、知識人や専門家と同じように批判能力がある」という”誤った平等思想”であり、民主主義は衆愚政治に陥る危険を常に孕んでいる。
そしていうまでもなく、現代の反知性主義に力を与えたのは、インターネットの登場による無秩序な情報発信の加速である。なんら専門的知識の裏付けもなく、検証さえもされずに書かれた与太話が、あたかも一廉の論考であるかのように撒き散らされている。

忌々しいことだが、僕が飯を喰ってきた航空機技術の世界に関しても、反知性主義による情報汚染が起きている。
軍事ブロガー()と称する軍事オタクなどがまき散らしているオスプレイ安全論などは、その筆頭だ。

[防衛省資料よりオスプレイ事故率データ(2012年版) JSF | 軍事ブロガー]

たとえば上記の例では、航空工学はもとより、安全性工学の知識も全くない素人(ただの軍事マニア)が、防衛省がネットで公開した「事故率」という指標だけを採り上げて、あたかもオスプレイの安全性に問題がないように論じている。反知性主義の定型である「ネットde真実」というやつだろう。

以前も簡単に書いたが、事故率というのは単に運用実績の統計であって、航空機の安全性を保証する尺度などではない。

オスプレイの安全性に対する懐疑論というのは、これまでに存在しなかったティルトローターというカテゴリの航空機について、安全性の根拠となる設計基準が明確で無いことに由来している。
この記事の主張を他に例えるなら、近代医療とホメオパシー治療の事故死亡率を比べて、ホメオパシーが適正な医療行為だと言っているようなものだ。

航空機の設計開発経験もなく、専門の工学知識も学んだことがない素人が、市販の雑誌やネットで漁ったネタで好き勝手のデタラメを綴ったブログを書き、「軍事ブロガー」を名乗って寄稿しているのが、こうしたバカバカしい記事なのである。
ホメオパシーやEM菌などのインチキは”疑似科学”と呼ばれたりするが、こういう軍事オタクの吐くデタラメはさしずめ”擬似技術論”とでも言うべきだろうか。
もちろん、同様のデタラメを書いているバカは他にもいるが、この筆者は特に悪質(低レベル)だと思われ、航空以外の分野でも痛烈な指摘を受けているようだ。

素人が書いていることにいちいち目くじらを立てても仕方がない、とも思うのだが、そういう態度が、江戸しぐさや、EM菌、在日特権などのデタラメが跋扈することを許してしまった。インターネットが大きな影響力を持つ現代では、こうした反知性主義に断固として異を唱えることが、専門知を持つものの責務であろうと思う。その見地から、なんの知的訓練も経ていない軍事ブロガー()らのデタラメを許すつもりにはなれない。

もとより専門的な社会的立場を持たないブロガーなどにとっては、金銭的報酬などほとんどなくても、メディアへの寄稿は承認欲求と自尊心を満足させるため、簡単に飛びついてくる。メディア側も、プロの執筆者に依頼しなくても簡単に素材を得ることができて好都合だ。この浅ましい構造によってグレシャムの法則が簡単に発動する。
社会的な影響を考えれば、こうした現象は憂うべきことであり、デタラメな連中に放言の機会を与えるネットメディア(本事例のYahoo!など)や一部の出版社などには、猛省を促したい。
また、諸賢におかれては、くれぐれもこういう手合のデタラメを真に受けることのないよう、健全な情報リテラシーを培っていただきたいと思う。