信じるのは人かコンピュータか:航空機の安全対策の基礎知識5

航空機の安全対策の基礎知識

更新日:2021年8月6日(初回投稿)
著者:東京大学名誉教授 未来ビジョンセンター 特任教授 鈴木 真二

前回は、100万点もの部品から成る航空機の安全性や、信頼性を実現するための取り組みについて紹介しました。今回は、管制官の指示と機体に搭載されている空中衝突防止装置の指示が異なったために生じた空中衝突という大惨事を例に、複雑化するシステムの安全維持に対する取り組みを紹介します。

1. 旅客機と貨物機の空中衝突

2002年7月1日21時35分、モスクワ発、バルセロナ(スペイン)行きのロシア・バシキール航空2937便旅客機(ツポレフTu-154M)が、バーレーン発、ベルガモ(イタリア)経由、ブリュッセル(ベルギー)行きのDHL611便貨物機(ボーイング757-23APF)と、ドイツ南部のユーバーリンゲン上空で空中衝突し、両機に搭乗していた71名全員が死亡するという痛ましい事故が発生しました。事故の原因は、両機に搭載されていた空中衝突防止装置(TCAS:Traffic Alert and Collision Avoidance System)の回避指示が、管制官の指示と異なっていたこととされています。

図1:2002年、南ドイツのユーバーリンゲン上空で発生した空中衝突事故

図1:2002年、南ドイツのユーバーリンゲン上空で発生した空中衝突事故

DHL611便とバシキール2937便は衝突コースにあり、DHL611便のTCASは降下の指示、バシキール2937便のTCASは上昇の指示を発し、パイロットがその通りに操縦すれば事故は回避できました。しかし、バシキール2937便のパイロットはTCASの指示を無視し、管制官が発した降下の指示に従いました。これが衝突を招いたのです。

前年の2001年、駿河湾上空でJAL907便(ボーイング747)とJAL958便(ダグラスDC-10)が、あわや衝突になりかけたのも、片方のパイロットがTCASの指示ではなく、便名を誤った管制の指示を信じたことが原因でした。このときはニアミスで済んだものの、ユーバーリンゲン上空では、TCASと管制官の指示の不一致が悲惨な事故を招いてしまいました。パイロットは、TCASというコンピュータの指示に従うべきか、管制官という人間の指示に従うべきかという問題が航空業界に提起されることになりました。ところが、ユーバーリンゲンの事故には、さらに深い課題が潜んでいました。

2. 空中衝突防止装置TCAS

TCASは、航空機同士が空中衝突する危険を抑える目的で開発されたコンピュータ制御の装置です。広い空を、限られた航空機が利用していた時代には、パイロットは周囲の安全を確認することで、空中衝突の危険はほとんどありませんでした。

1950年代になると、状況は大きく変化します。1956年、アメリカのグランド・キャニオン上空で、ユナイテッド航空718便のダグラスDC-7と、TWA2便のロッキード・スーパーコンステレーションという2機の旅客機が空中衝突し、乗員乗客128名全員が死亡する事故が発生しました。両機は飛行計画通りであれば衝突の危険はありませんでした。しかし、当時は、乗員の判断で飛行経路を変更することが許されており、両機ともグランド・キャニオンを経由する経路を選んだため、事故が発生しました。この事故が契機となり、アメリカでは、旅客機は原則として飛行計画通り飛行することが義務付けられ、1958年に、航空管制を強化するために、連邦航空局(FAA:Federal Aviation Administration)が設立されました。

こうした改善にもかかわらず、1978年にはアメリカのサンディエゴ上空において、着陸進入中のパシフィック・サウスウエスト航空182便ボーイング727と、小型飛行機セスナ172が空中衝突し、144名が死亡するという痛ましい事故が起きました。この結果、FAAは地上からの航空管制だけではなく、既に研究されていた機体搭載型の衝突回避システムの開発を加速する決定をしました。これが現在の空中衝突防止装置(TCAS)です。

TCASはどのような方法で、自動的に衝突防止を解析するのでしょうか。TCASを搭載した航空機は、機体の上下に設置されたアンテナから毎秒1回、1,030MHzの質問信号を発信し、これを受信した航空機は1,090MHzで応答信号を自動的に返します。応答信号には、その機体の高度情報が含まれ、電波の方位と信号の往復時間から、機体間の方位と距離を割り出すことができます。こうした情報を集めることにより、周囲の機体に衝突の脅威があるかを自動的に判定し、ディスプレーと音声で警告します。

接近の可能性がある機体は、トラフィックアドバイザリー(TA:接近指示)の黄色の丸で表示され、「トラフィック、トラフィック」と音声指示が発せられます。さらに衝突の危険が近付くと、表示が解決アドバイザリー(RA:回避指示)の赤い四角に変化し、上昇(クライム)または降下(ディセンド)などの警告音が発せられます(図2)。この際、両機では必ず別方向の回避警告が指示されるので、衝突は確実に回避されます。

図2:TCASの表示装置

図2:TCASの表示装置

このような電波による情報のやり取りは、第2次世界大戦中にレーダーで捉えた航空機を敵か味方か区別するために開発されたものです。レーダーだけでは接近する機体が敵か味方か分かりません。そのため、質問信号を発射し、その信号に正しく答えた機体のみを味方と判断します。

レーダーに信号処理電波を組み込んだ装置は二次レーダーと呼ばれ、戦後の民間航空管制に利用されました。二次レーダーを備えた管制装置は、航空機の位置のみならず、便名や飛行高度を表示することができ、そのため航空機は、トランスポンダーと呼ばれる装置を搭載することになりました。TCASは、このトランスポンダーの機能を利用して空中衝突防止を可能にしました。

TCASの実験を続けたFAAは、1986年にロサンゼルス空港で発生したアエロメヒコ航空498便(マクドネル・ダグラスDC-9)と、軽飛行機パイパーに空中衝突事故を契機に、TCAS装着を検討しました。3年後の1989年には、アメリカで飛行する30席以上の旅客機にTCASを4年以内に装着することを義務付けました。

世界的に、TCASの有効性に対する認識が進む中、1996年にニューデリー上空でサウジアラビア航空763便(ボーイング747)とカザフスタン航空1907便(イリューシンIl-76貨物機)が空中衝突し、両機の乗員乗客349名全員が死亡する事故が発生しました。両機ともにTCASが装着されていなかったことから、国連の専門機関である国際民間航空機関(ICAO:International Civil Aviation Organization)は、2003年から全ての旅客機とカーゴ便へのTCAS装着を義務付けました(ICAOではTCASはACAS:Airborne Collision Avoidance Systemと呼ばれます)。

これにより日本では、2005年からTCASの装着が航空法の改正により求められるようになりました。戦後初の国産旅客機YS-11が、2006年に国内定期路線からが引退することになったのは、改造経費の観点から、TCASの装着が困難と判断されたためという事情があったからです。

3. ユーバーリンゲン空中衝突事故の原因

冒頭に紹介したユーバーリンゲンの事故後の報道では、ロシアのツポレフTu-154MがTCASを装着していない、もしくは西側のTCASとの適合性が疑われました。しかし、Tu-154Mは新鋭機であり、アメリカ製のTCASを装着していたことが確認されました。両機ともに、TCASを装着していたことが分かりました。

最終的に事故の原因は、飛行空域(ドイツ南部とスイス全域)を管理していたスカイガイド社の管制官が、バシキール2937便(Tu-154M)にTCASと異なった指示を与え、パイロットが管制官に従ったためであることが分かりました。

ここで、パイロットはTCASというコンピュータの指示に従うべきか、管制官という人間の指示に従うべきかという疑問が生じます。ユーバーリンゲン事故の1年前に生じた、駿河湾上空のJAL同士のニアミスにより、日本はICAOに、同様の問題提起を行っていました。しかし、その回答が得られる前に、ユーバーリンゲンの衝突は起こってしまいました。

2003年11月に、ICAOは、「TCASの勧告は常に管制官の指示よりも優先すること」を定めました。また、TCASの指示に従わず、パイロットが操作した場合に、TCASが状況を再度判断して警告を修正するといった技術的な改善提案も発行されました。

さらにユーバーリンゲンの事故では、管制官の指示ミス以外のさまざまな要因も指摘されました。以下に列挙します。

  • 管制官は2名で従事することが定められていました。しかし、1名は休憩のため業務を離れており、1名のみが管制業務に当たっていました。スカイガイド社ではこうした勤務状態が黙認されていました。
  • 管制センターには、近接する機体がある場合、警報を発する装置(コンフリクト・アラーム)が備わっていました。しかし、事故の起きる約30分前から、保守点検中であり作動しませんでした。
  • 電話回線が調整作業中だったため、予備の電話が準備されていたものの、調子がよくありませんでした。管制官は、別の機体をフリードリヒスハーフェン空港へ誘導し、空港管制官に管制を引き渡すため、予備の電話を使用していました。しかし、電話が不調であったため、通話に必要以上の気を取られていました。

こうした悪い状況が重なり合い、事故は発生しました。このように運の悪いことが連鎖的に起き、大きな事故につながる様は、スイス・チーズ・モデルと呼ばれています。スライスされたチーズの穴がつながると大きな事故が発生します(図3)。穴がつながらなければ、事故は未然に防げます。どのように穴の連鎖を食い止めるか、それが組織的に安全を維持する安全管理システムの重要な視点になります。

図3:重要な事故を引き起こす様を示したスイス・チーズ・モデル

図3:重要な事故を引き起こす様を示したスイス・チーズ・モデル

4. 安全管理システム(セーフティー・マネージメント・システム)の誕生

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

5. 事故の余波(アフターマス)

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。