7/22 SWEST/DAS共同招待講演1 タイトル:宇宙機の搭載ソフトウェア(宇宙機とクリティカルソフトウェア) 講演者 :奥田一実氏(宇宙航空研究開発機構) 会場の広さ:約150席 参加者の数:約100名 ========== ◎奥田氏の自己紹介  ・NASDAに入社し,JAXAへ  ・最初は制御屋さん   −人工衛星制御   −宇宙ステーション  ・ソフトウェア工学の勉強も    ソフトウェア工学の一部(リアルタイムOS) ◎宇宙開発屋さんが何故RTOSをいじるのか?  −他分野への応用  −高信頼性を目指して,OS,開発環境の開発 <クリティカルシステム>  宇宙,電力,金融,航空,医療,鉄道,自動車 <クリティカルソフトウェア>  クリティカルシステムに組み込まれて、下記要求の主要部分を担うソフトウェア   *高い保証   *セキュリティ   *要求が運用中にダイナミックに変更 ◎有人システムの安全性と信頼性・保全性  安全性:人間の死傷・装置の損傷がない  信頼性:定められた期間実行できる  保全性:修理・交換等の容易さ  例)ロケットは点火後,30分間とにかく故障してはならない。    ↑ここの安全性を確保するための多くをソフトウェアが担っている! ◎ロケットシステム  ・失敗続きで今は打ち上げしてないが,今年度中に打ち上げ再開予定  ・2段式    ファミリー化で様々な要求に応える  ・衛星は2段式の上のフェアリングに入れて取り付ける  ・種子島で打ち上げ    運び込まれてからの調整日数は昔は50日程度だったものが,今では20日程度   である。  ・ロケットは自律で動く    唯一,地上からの命令は爆破命令 ◎ロケットシステムのアビオニクスの機能と構成  ・航法・誘導・制御・通信・飛行安全  ・誘導制御計算機(1段,2段)  ・データ収集装置/テレメータ送信機  など... ◎JEMシステム  ・JEMはロケットより複雑  ・イメージは「地上の実験室を宇宙へ!」  ・70数十のコンピュータを搭載(TOYOTA セルシオと同数程度) ◎JEMシステムのアビオニクスの機能と構成  ・軌道/姿勢制御,電力/熱制御,環境制御,通信制御,実験支援,飛行管理,FDIR  ・管制御装置(JCR),サブシステム制御装置,実験データ処理装置  など... ◎HTVシステム  ・ロケットから切り離されGPS等で宇宙ステーションへ飛んでゆく  ・ソフトウェアの重要性は複雑になるほど上がる ◎衛星システム(たくさんの図を用いて説明)  ・地上でも関与するが,多くは自動制御  ・このシステムの多くがソフトウェアに任されている ◎衛星システムのアビオニクスの機能と構成  ・姿勢/軌道制御,通信及びデータ収集(システム,ミッション),FDIR  など... ここまでは,ロケット・ステーション・人工衛星の説明。 これからは,「ソフトウェアの高信頼性化」について。 ◎ソフトウェアの高信頼性化  日本ではまだソフトウェアが原因で不具合は起きていない <3つの取り組み>  ①ソフトウェア独立検証及び有効性確認(IV&V)    ソフトウェア開発のライフサイクルを通じて,予算的,組織的,技術的に   独立したVerificationとVaridationを行う。   ※開発と並行して行うのでコスト・人がかかる。   NASA … IV&V ,トップダウン   ESA … ISV&V,シュミレーション技術を用いた独立検証  ②ソフトウェア開発プロセス改善   ・統合プロセスの定義   ・運用シナリオ・要求の早期取り組み   ・要求管理(変更管理)   ・試験計画管理及び評価   ・FPGA管理   ・モデルベース開発   など...  ③高信頼性RTOSと開発環境の整備   TOPPERS(μITRON ver4.0)をベースに宇宙用耐放射線性MPU(MIPSアーキテク  チャ)に移植 <宇宙用高信頼RTOSの開発の主な理由>  ①OS利用の現状   ・宇宙機開発メーカなどで自作したスケジューラ等   ・VxWorksなどの市販RTOS   ・宇宙機メーカ関連企業の開発したRTOS  ②よりクリティカル・複雑な機能が搭載計算機に要求される  ③市販RTOSの技術情報入手の困難なケースが増加 <まとめ>   クリティカルソフトウェアの高信頼性にはソフトウェア開発に関する先端的,  総合的なアプローチとシステム要求に遡った検証が必要。 ・開発プロセス改善 ・IV&V ・開発基盤の整備 ◎Q&A(1)  Q:クリティカルソフトウェアの検証はどこまでやるという基準はあるのか?  A:現在,基準が作られていない。今そこの部分を調べている最中である。   無限個ケースがあるのを1年かけて100万ケースを検証しようというところまで   絞り込むことをやっている。 ◎Q&A(2)  Q:モニタ(開発プロセスのところ)は何を監視して何を監視しないかという   ポイントは?  A:要求したプロセスがきちんと動いているのかを定量的にデータで示す。   実際のプロセスが今どう動いているか,などである。 <記録者自身の感想>  宇宙開発におけるソフトウェアの重要さ・高信頼性の重要さが分かりました。  僕は幼い頃から宇宙に関してとても興味があり,とてもワクワクしながら聴講さ せていただきました。そして,宇宙への興味がさらに大きいものとなりました。  ソフトウェアが宇宙開発においてどのような役割を任されているのか理解できま したし,そのソフトウェアがなぜ高信頼性でなければならないのかについても理解 できました。  貴重な講演,ありがとうございました。