システム設計とは全体の構成を決定する作業のことであり、全体のバランスを考えて

構成を決めなければ、詳細な設計を行うことはできない。

システムにある程度の故障が起きても、それを補うことにより
致命的な事態を避けることを冗長性（多重性）を持たせると呼ぶ。
今日では一般人にも冗長性（多重性）の概念だけは浸透してきているが
Fig.1のように、全てを統括するCPU(中央演算処理装置)が３台鎮座しており
何らかの手段を用いてセンサから入力された情報を３台のＣＰＵが多数決
により実行していくイメージが一般的である。

確かにこれも冗長性のあるシステムのひとつであるが、設計に適しているか
どうかは吟味する必要がある。

使用環境や要求仕様により、信頼性のあるシステムの内容は変化するが
致命的な状況でも高い確度で対応でき、膨大な数の実績があるシステム
といえば、「旅客機」が参考になると考えられる。

参考とする上で重要なことは衛星の使用環境に近い、殆ど人の手を介することなく独力で
動作することなので、現在、一般的となったFMS(Flight Management System)*1を持ち
統合されたFMCS(Flight Management Computer System)が搭載された旅客機が参考になる。
現在の旅客機の原型を形作ったものは主に８０年代後半から量産された機種であり
ここでは、大量に生産された747-400、特徴的な思想を持つMD-11を検証することにする。

*1
FMS(Flight Management System):FMCS(Flight Management Coumputer System)、A/T(Autotrottle)
、AFDS(Autopilot Flight Director System)、EIS(Electronic Instrument System)
、EAD(Engine and Alert Display)等を総合して１つのSystemと考える時のSystem全体の名称。

具体的には、pilotが選んだRoute(Lateral/Vertical)を状況に応じて効率よく飛行するための
速度や推力を計算し、AFDS及びA/TとCoupleさせることによって、Pitch、Rollならびに
ThrustのControlを行い、そのRoute上を飛行させる作業に関わるSystem全般のことを指す。

上記が一般的なFMSの概念であるが、各社、各機種により微妙に単語、意味に違いがあり
747-400の場合は、FMSはFMCのことと同義であるので、AFDSとA/TはAUTOMATIC FLIGHT

 CONTROL SYSTEMに分類される（補完するSystemとして、Yaw Damper System、Auto　Stabilizer Trim Systemがある）。

・AFDS(Autopilot Flight Director System)→自動操縦及び操縦指示を行う
・A/T(Autothrottle System)→自動推力制御を行う
・Yaw Damper System→自動横安定制御を行う
・Auto Stabilizer System→自動縦安定制御を行う

旅客機は機器の故障が致命的な問題に繋がらないように、重要な機器については
同じ機能を持つ機器を３台搭載し、３重の冗長性を持たせてある。

747-400のFCC(Flight Control Conputer)*2周辺の構成をFig.2に示す。

747-400のFCCはL FCC,C FCC,R FCCの３台構成で、各FCCには各System*3が繋がっている。
また各FCCはお互いにCommunication Lineを通して、それぞれが受けたSignalを相互に
利用し合っている。

この結果、各FCCは全てのSignalを利用することが出来る。

例えば、C FCCはC Systemからは直接Signalを受信し、L or R Systemからは(L or R FCCを

通して)間接的にSignalを受信するので、結果的には、どのFCCも全てのSystemのSignalを

受けられる。
これにより、もし関連Systemの一系統に不具合が生じても、各FCCは使用できる
残りの２系統からのSignalにより計算できるということになる。

上記の例では各FCCは対等の存在であったが、他の機材では３台構成であっても
Primary,Secondary,Back-Upという構成を取ることもあるので、色々な構成の仕方が
あることに注意する必要がある。

以上より、一般人が想像する冗長性のあるシステムとは少し構成が違うことがわかる。
どうしても通常の機器のように核となる中央演算処理装置を中心に考えてしまいがちだが
旅客機の場合は中心となる機器は存在せず、各機能を処理する装置が多重化されて繋がって
いるだけであり、ひとつの装置が故障しても、まず多重化で防ぎ、多重化された装置一式が
故障しても他機器への波及を限定的にすることで、致命的な状況に陥ることを防いでいる。

*2
FCC(Flight Control Conputer):Autopilot・ Flight Directorの共用Computer。
このComputerがPilotに代わって操舵量の計算を行う。そしてFCCの計算結果は
Autopilot・Flight Director の両方に使用される。
FCCの計算結果をPFD(Primary Flight Display)上の姿勢指示器にCommand Barで表示すると
Flight Directorになり、FCCの計算結果をAutopilot Hydraulic Control Servoで伝え
Flight Control Surface(Elevator,Aileron,Rudder)を制御すると自動操縦(Autopilot)になる。
747-400型機にはFCCが３台装備されているので、AutopilotおよびFlight Directorとも
３重装備ということになる。

*3
System:ここで言うFCCの関連Systemとは
・ILS Receiver(L,C,R ３台)
・IRU(L,C,R ３台)
・RA Transmitter(L,C,R ３台)
・Flap Control Unit(L,C,R ３台)
・SRM(Stabilizer Trim and Rudder Raito Module)(L,R ２台)
・FMC(L,R ２台)
・ADC(L,C,R ３台)
のことを指す

747-400とMD-11のシステムを検証することとするが、全システムを検証すると
膨大かつ複雑で概要が見え難くなるので、旅客機の頭脳であるAFDS(AutoPilot Flight
 Director System)*4の部分に絞って検証することとする。

*4
AFDS(AutoPilot Flight Director System):AFDSは自動操縦を行うAutopilotとPilotが
Manual Flightを行う時の操縦指示を行うFlight Directorとを合せたSystemである。

・747-400の概要
wikipediaによれば、「ボーイング747-400（Boeing 747-400）は、アメリカのボーイング社が
開発した大型旅客機、ボーイング747のモデルの一つ。いわゆる「ハイテクジャンボ」である。
このモデル登場以降、これより前のモデルは「747クラシック」と呼ばれるようになった。」
とあり、初飛行は1988年で長距離国際線の主役となった機体である。

Fig.4に747-400のAFDSのdiagramを示す。

飛行に必要な情報等の飛行管理に関するデータは全てFMCによりコントロールされている。

CDUはFMCとのやり取り（データの入出力）をする端末となっており、人がFMCにアクセスする

為にはCDUを通すことになる。

CDUは２台装備されており、FMCも２台装備されている。

L NAVとV NAVはパイロットによりスイッチがONされると、FMCのデータを基に３台のFCCに

データを出力する。

自動操縦(Autopilot)を行う場合は、基本的にはAFDS MCPにあるA/P ENGAGEにある

CMDと書かれた３つのボタンの内の１つを押す。

これはL、C、Rの３台のFCCに対応しており、任意のFCCを選択できる。

３台とも同じ機能を持っているので、どのボタンを押しても変わりはないが

通常はCを選択し、C FCCが正常に機能しない場合は、残りのLかR FCCを選択しAutopilotを

行う（FCCのデータは全てFD、COMMAND,BARSに送られるのでボタンの点灯以外に

変化を感じることはない）

各FCCにはHYD SERVOが接続されており、これが実際に機体を操作する原動力となる。

（３台のSERVOは独立しているが、１台だけでも正常に動作するので３台のSERVOが動くことはない）。

図のFCCはAFDSとSERVOとしか接続されていないが、実際には操縦に必要なセンサー類の

データがFCCに入力されている。

Autopilotを解除する場合は、MCPにあるDISENGAGEボタンを押せば解除されるが

通常は操縦桿に付いているA/P DISENGAGEボタンを押して解除する。

以上が概要であるが、A/P ENGAGEのボタン選択を見てもわかる通り、必ず各所で人間の判断

を取り入れるようになっており、人間本位（人間の判断、感覚を優先する）のシステムと言える。

・MD-11の概要
wikipediaによれば、「マクドネル・ダグラス MD-11（McDonnell Douglas MD-11、エムディー・

イレブン）はマクドネル・ダグラス（現ボーイング）製の三発式大型ジェット旅客機である。

マクドネル・ダグラス社が最後に製造した大型旅客機でもある。」とあり、初飛行は1990年で

DC-10の後継機として開発された機体である。

Fig.にMD-11のAFDSのdiagramを示す。

飛行に必要な情報等の飛行管理に関するデータは全てFMCによりコントロールされている。

MCDUはFMCとのやり取り（データの入出力）をする端末となっており、人がFMCにアクセスする

為にはMCDUを通すことになる。

MCDUは３台装備されており、FMCは２台装備されている。

操縦席前面にある表示装置(DU)はDEUからデータを受け取り画面に情報を表示する。

表示装置は６面あるが、右席３面、左席３面で２分割されている。

DEUは２台あるが１台が完全に故障すると、片側の席の画面３面はデータが表示できなくなる。

FCCはFCC-1とFCC-2の２台構成となっているが、各FCC内でCH-AとCH-Bの２台に分割されて

おり、仮想的には４重冗長系となっている。

Flight Modeの変更や設定はFlight Control Pannnelのスイッチ類を通してFCCに入力される。

自動操縦(Autopilot)を行う場合は、基本的にはFlight Control PannelのAP-1とAP-2と

書かれた２つのボタンの内の１つを押す。

AP-1は最初に電源が起動したFCCが設定されるので、AP-1がFCC-1になるか

FCC-2になるかはpilotは判断することは出来ないし、２台とも同じ機能を持っているので

どのボタンを押しても変わりはないが、通常はAP-1を選択し、AP-1が正常に機能しない

場合は、残りのAP-2を選択しAutopilotを行う。

また、各FCCの中にはCH-AとCH-Bが存在しているが、どのCHを動作させるかは

FCC内部で判定するのでpilotはどのFCCのどのCHがAutopilotを実行しているかは

判断することは出来ない。

Autopilotを解除する場合は、Flight Control PannnelにあるDISENGAGEボタンを押せば

解除されるが通常は操縦桿に付いているA/P DISENGAGEボタンを押して解除する。

以上が概要であるが、A/Pの切り替えを見てもわかる通り、人間は要所の判断をするだけで

細かい作業はコンピュータが自動で行う作りになっている。おそらく設計者は人間不要の

システムを目指したのだろうが、技術的に人間を排除することが出来なかった為に

このような構造になったと考えられる。その為A/PからManualに操縦を切り替える際に

うまく切り替えが行かない場合が生じることとなる。

AOM(Airplane Operations Manual）＝飛行機運用規程と呼ばれる航空機のマニュアルが
航空機のシステムを理解する上で最も参考になる文献である。
今日では最新版ではないがインターネット上にいくらでも公開されているし
米国の通販では１冊＄50程度で販売されている。
文書の内容は航空機の運用に関するものなので、殆ど役に立つようなものではないが
堅固なSystemと運用はどうあるべきなのか、ということが書いてあるので
一度読めば、Systemに対する考え方が一変するのは間違いないので入手しておいて損はない。