Boeing787電池火災事故 航空機と自動車の安全設計思想の違いについて
アメリカ、日本と立て続けに発生したボーイング787機のリチウムイオン電池火災事故の調査が、アメリカ連邦国家運輸安全委員会(National Transportation Safety Board: NTSB)と日本運輸安全委員会(JTSB)それぞれで事故調査が進められています。
現在のところ、電池火災を引き起こした真因までは突き止められておらず、各航空会社に引き渡された全ての787機に対し、飛行停止命令が出され、その対策と再開にはかなりの期間が必要との観測が多数を占めている状況です。
電池発火原因はNTSB、JTSBが電池の専門家も加え進めており、その結果を待ちたいと思いますが、この発火不具合という重大不具合を見過ごしたプロジェクト組織、その運営、認定プロセスについて、自動車の開発と対比させて考えてみたいと思います。自動車もリチウムイオン電池を量産車で使い出した端緒で、この空の問題は決して対岸の火事ではないのです。
なぜボーイング787はリチウムイオン電池を大量採用したのか?
ボーイング社では、この787機の事故についてボーイング社HPに特別サイトを新設し、787開発責任者であるマイク・シネット氏による説明ビデオにて電気系・電池の両システムの紹介と787機でリチウムイオン電池を採用した理由を解説しています。
http://787updates.newairplane.com/787-Electrical-Systems/Batteries-and-Advanced-Airplanes
もちろん、今現在は事故調査が進行中ですので、事故原因についての言及はありませんが、787機でなぜ、リチウムイオン電池を採用したのかの理由を、その前の777機でのNi-Cd電池スペックと比較して説明しています。
この諸元を比較すると、大幅な軽量化を図ったうえに12.5倍の電池電力量を実現し、先端フライバイワイヤーを装備する軽量・低燃費最新鋭機にとっては飛びつきなるような魅力的な技術であったことがうかがえます。
複雑で厳密な『はず』の航空機の開発・認定プロセス
しかし、旅客機の開発プロセスでは安全性が最優先で、新機種開発スタートから完成・量産機の生産、商用フライトまでさまざまなプロセスがあり、安全性についてはありとありうる厳しい試験、評価、確認が行われます。
最終的にはアメリカ連邦航空局(FAA)、欧州航空安全局(EASA)から、厳しい規則、規定・基準の審査を受け、長時間の単体試験、地上試験、テストフライト行い、型式証明・耐久証明を取得し、FAA、EASAの審査、承認を経てようやく商用フライトにこぎつけることができます。もちろん、自動車の認可にも日本なら道路運送法による規定と、認可申請手続きはありますが、この航空機ほどの厳密な保安規定はありません。
今回なぜこの様な多種多様な設計プロセス、試験プロセス、認可プロセスをすり抜けてコマーシャルフライトでの事故に至ったのかを考えると、このプロセスのどこかで「このような電池火災はおこらない『はず』」と、「電池の熱暴走が起ってもセル内で食い止められる『はず』」などといった、半ば思考停止に陥った状態にあったのかとも思います。
少なくとも、ボーイング社の開発責任者にとっても、FAAの型式証明、耐久証明発行の安全審査を行う担当官も「想定外」の事故だったことは明かです。しかし、なぜ思考停止、想定外になってしまったか、少し航空機の開発プロセス、認可プロセスをかじった私としては不思議でなりません。この問題の究明については、単に電池の問題に留めるだけではなく、開発プロセス、認可プロセスの技術だけではなく、これを見過ごしたヒューマンエラーの真因まで掘り下げて欲しいと願っています
ハイブリッドには取り入れなかった航空機開発プロセス
さきほど「航空機の開発プロセス、認可プロセスを少しかじった」とか来ましたが、それは初代プリウスのハイブリッドシステム開発に取り組んでいる最中でした。そのハイブリッドという名のとおり、このシステムは二つの動力源をその特徴を生かして使い分けて時には混合して使うものです。そのため「走る」「曲がる」「止る」の基本機能全てをドライバーの操作を信号に置換え電子制御で行うバイ・ワイヤー化が必須でした。
その安全性、信頼性保証を進める上で、当時の役員から、航空機の開発、設計、評価、監査プロセルを参考にするようにとの指示があり、当時小型飛行機用エンジン開発を進めていた社内チームのリーダーから航空機の開発プロセスについてレクチャーを受けました。
ただしかし、最終的にはハイブリッドの開発には、この航空機の開発プロセスを踏襲することはしませんでした。航空機の安全チェックを踏襲するとなると必要な人員が、それもその分野での専門技術者が当時のチームの2~3倍必要で、開発期間もチェックプロセスだけでも3倍は必要と判断されたからです。
それぐらい航空機には、作業プロセス、チェックプロセス、その実施体制まで厳しい規定があり、ハイブリッド開発ではとてもじゃないが踏襲しようにもできなかったというのが正直なところでした。
もちろん、航空機のケースとは別に、一般のお客様に安全に使っていただくクルマの開発が自動車にとっても最優先課題です。航空機と同様までの開発プロセスは踏襲できませんでしたが、安全性・信頼性最優先は同じで、また自動車は航空機とは違い、開発初期段階から「実際のクルマ」での安全確認チェックを行うことができ、それを徹底する手法を取りました。
試験では、電池を強制ショートさせ、強制過充電で電池パックから煙を出すまで、どうすればダメになるか、どうすれば致命的な故障に陥るか、徹底的なデザインレビューと、その指摘リスクをクルマで確認しまくりました。さらに機能設計、部品設計、製造プロセスに渉るデザインレビュー、未然防止活動の連続の中でなんとか量産に漕ぎ着けました。
初期不具合を多発させお客様にご迷惑をお掛けしましたが、幸いにも「想定外」「不意打ち」のシビア・インシデントに入る不具合を起こすことはありませんでした。
巨大な国際分業の航空機
超大規模で長期にわたる787開発と、短期間で一気呵成に行われたハイブリッド開発プロセスを単純に比較することは不適当と思いますが、なぜ787でこのようなシビア・インシデント要因がすり抜けてしまったのか、なぜ「思考停止」「想定外」に陥ってしまったのか、航空機と自動車の違いはありますがパワートレーン・プロジェクト・マネージャーとして考えてみたいと思います。
787機は機体の70%近くが海外メーカーを含めた約70社をTier1として製造・設計された国際共同開発事業です。参加企業は下請けを含めると世界で900社、日本企業の担当比率35%を筆頭にイタリア、イギリス、フランス、カナダなど多くの国の企業が分担生産に参加しています。
またそれに加えて、リチウムイオン電池、炭素繊維複合材など、低燃費化のための世界中の最高技術を結集した機体と云われています。ここに、なにかすり抜けに繋がった要因があるように感じます。ボーイング社はこの世界に広がる900社もの会社と、どのようにコミュニケーションをとり、どのようにデザインレビューを行い、どのようにリスク確認、その評価をおこなったのでしょうか?正直言うと、あまりにもスパンが広すぎます。
この電池システムのケースでも、外部電力供給系APU全体は米国プラットアンドホイットニー社の担当、電池向け充電装置を米国セキュラプレーン・テクノロジー社、その電気系統システムインテグレートを仏タレス社、電池管理ユニットを日本関東航空計器、電池セルがGS-ユアサの国際分業です。
これにボーイングが加わり、そのような作業分担、チェック体制、評価分担、デザインレビューを行ったのか、この構成を考えるだけでもそのマネージメント、コントロール、信頼性、品質チェックの大変さは想像できます。さらにそれぞれにその分野の専門エンジニアを加えて行うことは極めて至難であり、実際にはほぼ不可能です。
現地・現物が喪失した開発の怖さ
アウトソーシングを頭から否定するつもりはありませんが、専門ではないエンジニアが多く加わった仕事をどのようにやってまとめ上げていくのかを考えると、心配というか正直「抜けなく、想定外まで想定した作業はとてもやれないのでは?」という印象を抱いています。この中で、当然「想定すべき」不具合モードを「起こりえない不具合モード」としてすり抜けさせてしまったのではないのかというのが、私の予想です。
航空機でも自動車でもモジュール化が大流行して居る中で、そのモジュール規模を拡大しTier1に集め、アッセンブリーメーカーのエンジニアが、このTier1に仕様書を投げ込むためにCADとシミュレーションだけに精通したデスクトップエンジニアになってきているのではと心配です。
開発・評価もTier1に丸投げで、またTier1もチェック項目の多さ、作業量、報告量の多さからアウトソーシングを多用し、どこで経験エンジニアが育ち、技術蓄積ができるのかもう一度考え直し踏みとどまって欲しいと思います。
モジュール化、機能分散は時代の流れであり、自動車でも必然の流れかもしれません。しかし、クルマの安全、信頼性、品質は譲ることの出来ないトッププライオリティです。現地、現物、現実のクルマ、マーケットの経験で芯を通すことが大切です。また「全体最適」「想定外」を想定する目配りや、個人主義ではなく組織の壁を越えての取り組みは日本人の得意なところですので、その人材力を生かして欲しいものです。
