はじめに
AFTS(Autonomous Flight Termination System: 自律型飛行中断システム)は、ロケットが計画された飛行経路から逸脱し、地上の人命や財産に危険を及ぼすと判断された場合に、搭載コンピュータが自律的に飛行を中断(破壊)するシステムである。
従来のロケットでは、射場のレンジセーフティオフィサー(RSO)が地上レーダーでロケットを追跡し、人間の判断で飛行中断コマンドを送信していた。AFTSはこのプロセスを自動化し、GPS/INSによる搭載航法と事前プログラムされた判断ロジックにより、より迅速かつ確実な安全確保を実現する。
本記事では、AFTSの設計原理、判断アルゴリズム、規制要件、そして主要ロケットでの実装事例を解説する。
従来のFTSとAFTSの違い
従来型FTS(地上指令破壊システム)
従来のFTSでは、以下のプロセスで飛行中断を実施する。
- 地上レーダーがロケットを追跡
- レンジセーフティオフィサー(RSO)がディスプレイで軌道を監視
- ロケットが安全限界(Instantaneous Impact Point Limit Lines)を超えた場合、RSOが判断
- RSOが地上送信局から破壊コマンドを送信(Sバンドテレメトリ)
- 搭載受信器がコマンドを受信し、火工品を起爆
このシステムの問題点:
| 課題 | 内容 |
|---|---|
| 応答遅延 | 人間の判断+通信遅延で数秒〜十数秒 |
| 射場インフラ | レーダー、送信局、通信回線の維持コスト |
| 可視範囲 | 地平線を超えるとレーダー追跡不能 |
| 単一障害点 | 通信途絶でコマンド送信不能 |
| 判断のばらつき | RSOの訓練度・判断基準のばらつき |
AFTSの優位性
AFTSは上記の問題をすべて解決する。
| 特性 | 従来FTS | AFTS |
|---|---|---|
| 判断主体 | 人間(RSO) | 搭載コンピュータ |
| 応答時間 | 5〜15秒 | < 1秒 |
| 射場インフラ | レーダー・送信局必要 | 不要(GPS受信のみ) |
| 追跡範囲 | レーダー可視範囲内 | 全地球(GPS) |
| 冗長性 | 通信経路の冗長化が必要 | 搭載システム内で冗長化 |
| コスト | 射場あたり数十億円/年 | 搭載コスト数千万円/機 |
AFTSの設計アーキテクチャ
システム構成
AFTSは以下のコンポーネントから構成される。
1. ナビゲーション部 – GPS受信器(冗長化:最低2系統、通常3系統) – INS(慣性航法装置)(GPS信号喪失時のバックアップ) – GPS/INSカルマンフィルタ(位置・速度の最良推定)
2. 判断ロジック部 – フライトセーフティプロセッサ(冗長化された計算機) – IIP(Instantaneous Impact Point)計算アルゴリズム – 安全判断ロジック(破壊判定基準との比較)
3. 破壊系統(Destruct System) – セーフ&アーム装置(S&A Device):火工品の安全装置 – 爆薬起爆装置(EED: Electro-Explosive Device) – 線状爆薬(LSC)または成形炸薬 – 推進剤タンク破壊用の火工品
冗長性アーキテクチャ
AFTSは人命に関わるセーフティクリティカルシステムであり、高い信頼性が要求される。
投票論理(Voting Logic) – 2-out-of-3投票:3系統中2系統が「破壊」と判断した場合に実行 – これにより、単一系統の故障による誤破壊を防止しつつ、安全機能を維持
異種冗長(Dissimilar Redundancy) – 異なるGPS受信器メーカーの製品を使用 – 異なるプロセッサアーキテクチャ(例:PowerPC + ARM) – 異なるソフトウェア実装(独立した開発チーム)
IIP(瞬間衝突点)アルゴリズム
IIPの概念
AFTSの判断の核心はIIP(Instantaneous Impact Point)の計算である。IIPとは、「現在の瞬間にロケットの推力がすべて失われた場合、残りの弾道飛行で地表面のどこに衝突するか」を示す地理座標だ。
IIPは以下の手順で計算される。
- 現在位置・速度をGPS/INSから取得
- 推力ゼロ・空力のみの弾道軌道を数値積分
- 地球楕円体との交点を計算
- 交点の緯度・経度がIIP
安全限界線(IIP Limit Lines)
打上げ前に、射場周辺の人口密度・建物分布に基づいてIIP限界線が設定される。ロケットのIIPがこの限界線を越えた場合、地上への被害リスクが許容限度を超えるため、飛行中断が実行される。
IIP限界線は以下の要素を考慮して設計される。
- デブリフットプリント:破壊後の破片の散布範囲(風向・破壊高度依存)
- 個人リスク基準:最も曝露される個人の死亡確率(通常 < 1×10⁻⁶ /打上げ)
- 集団リスク基準:期待死亡者数(通常 < 30×10⁻⁶ /打上げ)
- 爆発リスク:推進剤の爆発による過圧波の影響範囲
高度な判断アルゴリズム
最新のAFTSでは、IIPだけでなく以下の追加判断基準も実装されている。
姿勢レート限界 ロケットの角速度が制御回復不能な閾値を超えた場合に破壊する。タンブリング開始時に早期に検知できる。
動圧×迎角(qα)限界 構造破壊につながる空力荷重限界を超えた場合に破壊する。Max-Q近傍で特に重要。
推力喪失検知 予期しないエンジン停止を加速度低下から検知し、IIPの急激な変化に備える。
FAA規制とAFTS認証
FAA/AST規制の概要
米国ではFAA(連邦航空局)のAST(商業宇宙輸送局)がAFTSの要件を規定している。主要な規制文書は以下の通り。
| 文書 | 内容 |
|---|---|
| 14 CFR Part 417 | 打上げ安全の全般的要件 |
| FAA AC 431.35-1 | 飛行安全解析ガイダンス |
| RCC 319-14 | AFTS共通規格 |
| RCC 321-20 | GPS搭載測位システム要件 |
AFTS認証の要件
AFTSの認証には以下のレベルの信頼性実証が要求される。
信頼性要件 – システム信頼性:≥ 0.999(1000回中999回正常動作) – 誤破壊確率:< 1×10⁻⁵(10万回中1回未満) – 破壊コマンド実行の信頼性:≥ 0.999
ソフトウェア認証 – DO-178C レベルAに準拠したソフトウェア開発プロセス – MC/DC(Modified Condition/Decision Coverage)100%のテストカバレッジ – 独立した検証・妥当性確認(IV&V) – 形式手法による安全性解析
ハードウェア認証 – 環境試験(振動、衝撃、温度、EMC) – 加速寿命試験 – FMEA(故障モード影響解析) – FTA(故障の木解析)
主要ロケットのAFTS実装
SpaceX Falcon 9
Falcon 9はAFTSの商業ロケットへの先駆的な採用例である。
| 仕様 | 内容 |
|---|---|
| GPS受信器 | 3系統冗長 |
| フライトセーフティプロセッサ | 冗長化されたカスタムプロセッサ |
| 投票論理 | 2-out-of-3 |
| 判断基準 | IIP限界線 + 姿勢レート + qα |
| 破壊系統 | LSC(推進剤タンク切開) |
SpaceXのAFTS採用は、ケープカナベラル射場の地上追跡インフラコストの削減にも貢献し、商業打上げのコスト低下に寄与した。
NASA SLS
NASAのSLS(Space Launch System)は有人ロケットであるが、乗員脱出システム(LAS)との連携を含むAFTSを搭載している。
SLSのAFTSは特にアルテミスI(2022年)で初飛行し、有人飛行(アルテミスII以降)では乗員の安全確保という追加要件が加わる。AFTSが破壊判断を下した場合、まず乗員脱出コマンドが発行され、LASによるカプセル分離が確認された後に機体の破壊が実行される。
Rocket Lab Electron
小型ロケットElectronもAFTSを搭載しており、ニュージーランドの射場から打上げる際の安全確保に使用されている。
AFTSの課題と将来展望
GPSジャミング・スプーフィング対策
AFTSがGPSに強く依存する点は、GPS脆弱性という安全上の懸念を生む。ジャミング(妨害)やスプーフィング(偽信号)によりGPS測位が異常値を示した場合、誤った飛行中断判断がなされる可能性がある。
対策としては以下が講じられている。
- INSとの統合:GPS信号異常時にINSのみで航法を継続
- RAIM(Receiver Autonomous Integrity Monitoring):受信器自身がGPS信号の整合性を監視
- 複数周波数受信:L1/L2/L5の複数周波数でスプーフィング耐性を向上
- 認証信号:軍用Pコードまたは将来の認証型公開信号
将来のAFTS
次世代AFTSでは、以下の技術が検討されている。
予測型飛行安全 IIPだけでなく、将来の軌道を確率的に予測し、リスクが閾値を超える前に早期警告する。これにより、不要な飛行中断を回避しつつ安全性を向上させる。
適応型安全限界 リアルタイムの風況データや人口分布(船舶の移動など)を反映して、安全限界線をミッション中に動的に更新する。
非破壊型飛行中断 ロケットを破壊するのではなく、推力を停止して安全な海域に弾道落下させる「パッシブ」飛行中断。推進剤の散布リスクを低減できるが、落下範囲の予測精度が要求される。
まとめ
AFTSはロケット打上げの安全確保を革新したシステムであり、従来の地上指令方式と比較して応答性・信頼性・コスト効率のすべてにおいて優れている。GPS/INS航法と搭載判断ロジックの組み合わせにより、ロケットは自律的に安全判断を下し、地上への被害リスクを許容範囲内に収める。
SpaceXによるAFTSの商業ロケットへの先駆的採用は業界全体に波及し、現在ではほぼすべての新規開発ロケットがAFTSを搭載している。今後は予測型安全判断や適応型安全限界の導入により、安全性とミッション成功率をさらに両立させる方向に進化するだろう。