Приложение Ф: личные наблюдения по поводу надежности шаттла

Приложение Ф: личные наблюдения по поводу надежности шаттла

Введение

Судя по всему, насчет вероятности неудачного полета с потерей шаттла и человеческих жизней существуют совершенно разные мнения[42]. Оценки колеблются примерно от 1 к 100 до 1 к 100 000. Более высокие цифры исходят от работающих инженеров, а самые низкие — от руководства. В чем же состоят причины и следствия подобного разногласия? Так как вероятность выхода из строя 1 к 100 000 полетов означает, что можно запускать шаттл каждый день в течение 300 лет и ожидать потери всего одного шаттла, то уместно спросить: «Какова причина такой, прямо таки фантастической веры руководителей в данное оборудование?»

Кроме того, мы обнаружили, что критерии оценки, которые используют при смотре готовности полета, зачастую постепенно становятся все менее строгими. Аргумент, связанный с тем, что полеты с той же степенью риска осуществляли и раньше, причем выхода из строя не было, часто принимается в качестве аргумента, что совершенно безопасно осуществлять такие полеты и сейчас. По этой причине очевидные недостатки принимаются снова и снова — порой, даже без достаточно серьезной попытки как-то их исправить, иногда без задержки полета, потому что они присутствуют постоянно.

Имеется несколько источников информации: есть опубликованные критерии оценки, включающие историю модификаций в виде отказов и отклонений; кроме того, записи смотров готовности, проводимых перед каждым полетом, содержат аргументы, которые были использованы, чтобы принять решение о запуске шаттла, несмотря на определенный риск. Эта информация представляет собой прямое свидетельство и доклады сотрудника службы безопасности, Луиса Дж. Уллиана, в отношении истории успешного использования твердотопливных ракет. Он провел дальнейшее изучение (в качестве председателя Совета по Аварийному Прекращению Полета в целях Безопасности, САППБ), пытаясь определить процент возможности несчастных случаев, которые могут привести к радиоактивному загрязнению, при попытке запуска будущих ракет с плутониевым источником питания (который называют радиоактивным термическим генератором, РТГ) на борту. Имеется также исследование этого вопроса НАСА. Что касается истории использования основных двигателей шаттла, то с руководителями и инженерами Маршалла были проведены официальные беседы, а с инженерами Рокетдайна — неофициальные встречи. Была также проведена неофициальная встреча с независимым инженером-механиком (из Калтеха), который консультировал НАСА по вопросу двигателей. В целях сбора информации по надежности авиационной электроники (компьютеры, сенсоры, исполнительные органы) был нанесен визит в Джонсон. Наконец, имеется отчет «Обзор оценочных практик, потенциально применимых для ракетных двигателей многоразового использования», подготовленный в Лаборатории по реактивным двигателям Н. Муром и другими в феврале 1986 года для Штаб-квартиры НАСА, Службы по Космическим Полетам. Он связан с методами, которые используются ФУГА и военными для аттестации своих газовых турбин и двигателей ракет. С авторами этого отчета также проводились неофициальные встречи.

Твердотопливные ракета-носители (ТРН)

Оценка надежности твердотопливных ракета-носителей была проведена служащим по безопасности дальних полетов в процессе изучения опыта всех предыдущих полетов ракет. Из общего числа полетов, равного примерно 2900, не удалось осуществить 121 (1 из 25). Однако это число включает то, что можно назвать «ошибками, обнаруженными на ранней стадии» — ракеты, которые запустили первые несколько раз и в которых ошибки конструкции были обнаружены и исправлены. Более разумной цифрой для готовых ракет можно назвать 1 к 50. Если особенно тщательно отбирать детали ракет и проверять их, то можно достигнуть цифры около 1 к 100, но цифра 1 к 1000 при современной технологии, вероятно, недостижима. (Поскольку на каждом шаттле два ракета-носителя, то частоту отказов ракет нужно умножать на два, чтобы получить частоту отказов шаттла из-за отказов ТРН.)

Официальные лица НАСА утверждают, что эта цифра гораздо ниже. Они указывают, что «поскольку на шаттле есть люди, то вероятность успешного выполнения задания непременно очень близка к 1,0». Это значит, что она действительно близка к 1 или что она должна быть близка к 1? Они продолжают свое объяснение: «Исторически сложилось так, что эта чрезвычайно высокая степень успешности полета породила разницу в философии программ полета в космос пилотируемых и непилотируемых ракет; т.е. использование численной вероятности против суждения инженеров». (Эти цитаты взяты из отчета «Данные по космическому шаттлу для анализа безопасности ТРН, выполняющих задачу полета в космос», страницы 3-1 и 3-2, 15 февраля, 1985, НАСА.) Совершенно истинно то, что если бы вероятность отказа была столь низкой, как 1 к 100 000, то потребовалось бы чрезмерно большое количество испытаний, чтобы ее определить: вы бы не получили ничего, кроме вереницы идеальных полетов без какой бы то ни было точной цифры — за исключением того, что, вероятность, скорее всего, не превышает количество таких полетов в данной веренице, которые уже были выполнены. Но если реальная вероятность не так мала, то полеты не проходили бы идеально: возникали бы проблемы, близкие к аварийным ситуациям и, возможно, реальные аварии при разумном числе пробных запусков, так что стандартные статистические методы вполне могли бы обеспечить разумную оценку. На самом деле, предыдущий опыт НАСА, время от времени, показывал почти подобные проблемы, близкие к авариям, и даже аварии, что являет собой предупреждение о том, что вероятность отказа в действительности не так уж мала.

Еще одна несообразность в аргументе, связанном с отсутствием необходимости проверять надежность в процессе опыта (как это делал служащий по безопасности дальних полетов), — это обращение НАСА к истории: «Исторически, эта высокая степень успешности полета…» Наконец, если мы хотим заменить стандартно используемую численную вероятность суждением инженеров, почему мы обнаруживаем такое огромное несоответствие между оценками менеджеров и суждением инженеров? Создается такое ощущение, что, какой бы ни была цель — будь эта оценка предназначена для использования внутри организации или вовне нее, — руководство НАСА преувеличивает надежность своего продукта до уровня фантастики.

Я не буду повторять здесь историю смотров готовности полета и его оценки (см. другие части отчета комиссии), но феномен принятия уплотнений, которые выказали эрозию и прорыв газов при предыдущих полетах, — совершен очевиден. Полет «Челленджера» — превосходный пример: есть несколько ссылок на предыдущие полеты; принятие и успех этих полетов принимаются в качестве доказательства надежности всех последующих. Однако эрозия и прорыв газов конструкцией шаттла не предусмотрены.

Они предупреждают о том, что что-то не в порядке. Оборудование работает не так, как должно, а потому существует опасность того, что оно начнет работать с еще большими отклонениями, совершенно неожиданным и не до конца понятым образом. Тот факт, что ранее это не привело к катастрофе, не гарантирует, что катастрофа не произойдет в следующий раз, если только все это не будет понято до конца. При игре в русскую рулетку тот факт, что при первом нажатии на курок выстрела не последовало, ничуть не гарантирует того, что его не последует и при повторном нажатии на курок. Происхождение и следствия эрозии и прорыва газов не были поняты. Эрозия и прорыв газов не были одинаковыми во всех полетах и во всех стыках: иногда они были сильнее, иногда слабее. Почему не могло случиться так, что однажды, когда определяющие эти явления условия оказались подходящими, произошло их усиление, которое и привело к катастрофе?

Несмотря на эти изменения, которые происходили от случая к случаю, официальные лица вели себя так, словно они все понимают, приводя друг другу, на первый взгляд, логичные аргументы — зачастую ссылаясь на «успех» предыдущих полетов. Например, при определении, насколько безопасно осуществить полет 51-L в виду эрозии кольца во время полета 51-С, было замечено, что глубина эрозии была равна лишь одной трети его радиуса. Во время эксперимента, когда кольцо разрезали, обнаружилось, что разрезание кольца на глубину радиуса необходимо до его выхода из строя. Вместо того, чтобы начать беспокоиться из-за того, что изменения плохо понятых условий на этот раз вполне могут создать более глубокую эрозию, утверждалось, что «коэффициент безопасности равен трем».

Это весьма странный метод использования инженерного термина «коэффициент безопасности». Если мост строят для того, чтобы он выдерживал определенную нагрузку и чтобы его балки при этом не испытывали постоянную деформацию, не трескались и не ломались, то его могут спроектировать так, чтобы используемые материалы выдерживали нагрузку, фактически в три раза большую. Этот «коэффициент безопасности» необходим, чтобы учесть неопределенные превышения нагрузки, неизвестные перегрузки или слабые места материала, который может иметь непредвиденные дефекты и прочее. Но если новый мост подвергается ожидаемой нагрузке и на балке при этом появляется трещина, то это недостаток конструкции. В этом случае ни о каком коэффициенте безопасности не может быть и речи, даже несмотря на то, что мост не развалился, потому что балка треснула только на одну треть диаметра. В конструкции колец твердотопливных ракета-носителей эрозия не предусматривалась. Эрозия являла собой ключ, который указывал на какие-то неполадки. Эрозия не могла служить основой для вывода о безопасности.

Нет совершенно никакого способа, за исключением полного понимания, обрести уверенность в том, что в следующий раз не возникнет эрозия, в три раза большая, чем та, что была в прошлый раз. Тем не менее, официальные лица обманывали сами себя, считая, что они обладают подобным пониманием и уверенностью, несмотря на своеобразные изменения, происходившие от случая к случаю. Для вычисления эрозии была создана математическая модель. Однако эта модель основывалась не на физическом понимании, а на вычерчивании по точкам эмпирической кривой. В частности, предполагалось, что струя горячего газа ударяется о материал кольца, а тепло определяется в точке застывания (согласно разумным физическим законам термодинамики). Но, чтобы определить, насколько глубоко эродировала резина, допускалось, что эрозия изменяется как 0,58 степень от тепла, причем число 0,58 было получено с помощью самой близкой точки эмпирической кривой. Как бы то ни было, при подгонке других чисел было найдено, что модель совпадает с эрозией (на глубину одной трети радиуса кольца). В этом анализе нет ничего более ужасного, чем вера в полученный результат! Неопределенности просто переполняют созданную модель. Невозможно было предсказать силу струи газа; она зависела от размера отверстий, образовавшихся в замазке. Прорыв газов показал, что кольцо могло отказать, несмотря на то, что эрозия поразила его лишь частично. Всем была известна неопределенность эмпирической формулы, так как кривая проходила не прямо через данные точки, посредством которых она была найдена. Точек было целое облако: некоторые располагались в два раза выше, другие в два раза ниже нашей кривой, так что, исходя уже из одной этой причины, можно было предсказать эрозии, в два раза большие. Подобные неопределенности существовали и в отношении других констант в формуле и т.д., и т.п. Однако при использовании математической модели на неопределенности, в ней заложенные, следует обращать особое внимание.

Основные двигатели космического шаттла (ОДКШ)

Во время полета 51-L все три основные двигателя шаттла работали идеально, даже начиная останавливаться в последние мгновения, когда началось прекращение подачи топлива. Однако возникает вопрос, обнаружили ли бы мы — в случае отказа двигателей и столь же детального расследования причины этого отказа нами, какое мы провели для твердотопливных ракета-носителей, — подобное отсутствие внимания к недостаткам и снижение критериев безопасности. Другими словами, ограничивались ли те слабые места организации, которые внесли свой вклад в катастрофу, только сектором твердотопливных ракета-носителей или их можно было назвать общей характеристикой НАСА? В этой связи были исследованы основные двигатели космического шаттла и авиационная электроника. Однако подобного исследования орбитальной ступени или внешнего топливного резервуара проведено не было.

Двигатель представляет собой гораздо более сложную структуру, чем твердотопливный ракета-носитель, так что он требует гораздо более детальных инженерных разработок. В общем, эти разработки производят впечатление высококачественных, и, судя по всему, значительное внимание уделяется недостаткам и нарушениям, обнаруженным в работе двигателя.

Обыкновенно такие двигатели создаются (для военной или гражданской авиации) в виде так называемой составной системы, или по методу проектирования «снизу вверх». Прежде всего, необходимо полностью понять свойства и ограничения материалов, которые будут использоваться (например, для лопаток турбины), для чего на экспериментальных установках проводят специальные испытания. По получении необходимой информации начинают проектировать и по отдельности проверять более крупные детали (такие как подшипники). По мере обнаружения недостатков и ошибок проектирования их исправляют и проверяют на следующем этапе испытаний. Поскольку испытывают только детали, то испытания и модификации обходятся не слишком дорого. Наконец, дело доходит до окончательной конструкции всего двигателя согласно заданным техническим условиям. К этому времени уже высока вероятность того, что двигатель будет работать нормально или что любые отказы можно будет с легкостью устранить и проанализировать, потому что виды отказа, ограничения материалов и тому подобное абсолютно ясны. Существует очень высокая вероятность того, что модификации, которые будут сделаны, чтобы устранить сложности, присутствующие в окончательной конструкции двигателя, окажутся не слишком трудоемкими, так как большая часть серьезных проблем уже была обнаружена и решена ранее, на более дешевых этапах процесса.

Основной двигатель космического шаттла был спроектирован иначе — «сверху вниз», так сказать. Все детали двигателя проектировались и составлялись в одно целое одновременно при относительно небольшом детальном предварительном изучении материалов и составляющих. Но сейчас, когда обнаруживаются неполадки в подшипниках, лопатках турбины, трубах для подачи охлаждающей жидкости и т.п., обнаружить причины всего этого и внести какие-то изменения гораздо сложнее и дороже. Например, на лопатках турбины кислородного турбонасоса высокого давления были обнаружены трещины. Вызваны ли они дефектами материала, влиянием кислородной атмосферы на свойства материала, температурными напряжениями, появляющимися при запуске или остановке, вибрациями и напряжением, создающимися в процессе нормальной работы, или, главным образом, неким резонансом, возникающим при определенных скоростях или чем-то еще? Сколько времени может работать насос от появления трещины до отказа по причине ее появления, и как это зависит от уровня мощности? Использовать весь двигатель в качестве испытательного стенда для разрешения подобных вопросов чрезвычайно дорого. Никто не желает терять целые двигатели, чтобы узнать, где и каким образом возникает проблема. Тем не менее, точное знание этого факта необходимо для появления уверенности в надежности двигателя при его использовании. Без полного понимания о такой уверенности не может быть и речи.

Следующий недостаток метода проектирования «сверху вниз» состоит в том, что, если достигнуто понимание неисправности, простое ее устранение — например, новая форма корпуса турбины — может оказаться невозможным без изменения конструкции всего двигателя.

Основной двигатель космического шаттла — совершенно замечательный механизм. Отношение силы тяги, создаваемой им, к его весу больше, чем у какого-либо предыдущего двигателя. Он создан на грани — за которую, в некоторых отношениях, даже выходит — предыдущего инженерного опыта. А потому, как и можно было ожидать, в нем присутствует много разнообразных недостатков и сложностей. И, поскольку, к несчастью, он был спроектирован по варианту «сверху вниз», эти недостатки сложно обнаружить и исправить. Цель создания двигателя со сроком службы, достаточным для выполнения 55 заданий (27 000 секунд работы либо в каждом задании длительностью по 500 секунд, либо на испытательном стенде), достигнута не была. Сейчас двигатель требует очень частого ремонта и замены важных деталей, таких как: турбонасосы, подшипники, корпуса из листового металла и т.п. Топливный турбонасос высокого давления нужно заменять через каждые три или четыре испытания, эквивалентные заданию (хотя эту проблему можно устранить), а кислородный турбонасос высокого давления — через каждые пять или шесть. Все это составляет максимум 10 процентов технических условий исходной конструкции. На самая главная наша забота — это определение надежности.

За 250 000 секунд работы основные двигатели отказывали, вероятно, раз 16. Инженеры уделяют особое внимание этим отказам и стараются исправить их максимально быстро с помощью изучения испытаний на специальных установках, спроектированных специально для рассматриваемого недостатка, а также тщательной проверки двигателя для обнаружения ключей, способных дать ответ (например, трещин), и их серьезного изучения и анализа. Таким образом, несмотря на сложности конструкции, спроектированной «сверху вниз», благодаря тяжелой работе, множество проблем, судя по всему, были решены.

Список некоторых проблем (и их состояния):

Трещины лопаток турбины в топливных турбонасосах высокого давления (ТТНВД). (Возможно, решена.)

Трещины лопаток турбины в кислородных турбонасосах высокого давления (КТНВД). (Не решена.)

Пробой линии форсажного искрового воспламенителя (ФИВ). (Возможно, решена.)

Отказ контрольного вентиля для выпуска газов. (Вероятно, решена.)

Эрозия корпуса ФИВ. (Вероятно, решена.)

Растрескивание листового металла корпуса турбины ТТНВД. (Вероятно, решена.)

Повреждение футеровки труб для охлаждения ТТНВД. (Вероятно, решена.)

Отказ выходного коленчатого патрубка основной камеры сгорания. (Вероятно, решена.)

Смещение сварного шва входного коленчатого патрубка основной камеры сгорания. (Вероятно, решена.)

Субсинхронный вихрь КТНВД. (Вероятно, решена.)

Система аварийного отключения ускорения полета (частичный отказ системы с резервированием). (Вероятно, решена.)

Растрескивание подшипников. (Частично решена.)

Вибрация с частотой 4 000 герц, которая приводит некоторые двигатели в нерабочее состояние. (Не решена.)

Многие из этих, на первый взгляд, решенных проблем были видны уже на ранних стадиях использования новой конструкции: 13 из них появились в первые 125 000 секунд эксплуатации двигателя и только 3 — во вторые 125 000 секунд. Естественно, никогда нельзя быть уверенным, что все недостатки устранены; однако, возможно, в отношении некоторых недостатков стремились устранить не ту причину. Вполне разумно предположить, что в следующие 250000 секунд может произойти, по крайней мере, один сюрприз: вероятность равна 1/500 на двигатель на задание. На одном задании присутствуют три двигателя, но возможно, что некоторые неполадки будут автономными и повлияют только на двигатель. (Шаттл может прервать выполнение задания всего с двумя двигателями.) Поэтому скажем, что неизвестные сюрпризы, сами по себе, не позволяют нам предположить, что вероятность невыполнения задания из-за отказа основных двигателей шаттла менее, чем 1/500. К этому мы должны добавить вероятность отказа, вызванного известными, но еще нерешенными проблемами. Эти проблемы мы рассмотрим ниже.

(Инженеры в Рокетдайне, где производятся двигатели, оценивают полную вероятность как 1/10 000. Инженеры в Маршалле оценивают ее как 1/300, тогда как руководство НАСА, которому эти инженеры отправляют свои отчеты, утверждает, что вероятность равна 1/100 000. Независимый инженер, дающий НАСА консультации, счел разумной оценкой 1 или 2 к 100.)

История принципов аттестации этих двигателей весьма запутана, поэтому ее сложно объяснить. Исходным правилом, судя по всему, было то, что два образца двигателя должны проработать безотказно в течение времени, в два раза превышающего аттестационное, после определения аттестационного времени работы двигателя (правило 2x). По крайней мере, такова практика ФУГА, и, судя по всему, первоначально она была принята и НАСА, которая ожидала, что аттестационное время будет равно 10 заданиям (соответственно, 20 заданиям на каждый образец). Очевидно, что лучшими двигателями, которые можно использовать для сравнения, были бы те, которые показали бы самое большое полное время работы (полет плюс испытания), так называемые лидеры воздушного флота. Но что если третий образец двигателя и несколько других выйдут из строя за короткое время? Естественно, мы не можем ожидать безопасности, потому что два предыдущих проработали необычно долго. Короткое время может оказаться более обычной характеристикой реальных возможностей, и в духе коэффициента безопасности, равного 2, мы должны рассчитывать только на половину того короткого времени, в течение которого работали последние образцы.

Медленный сдвиг в направлении снижения коэффициента безопасности можно увидеть во множестве примеров. Возьмем, например, лопатки турбины ТТНВД. Прежде всего, мысль о проверке всего двигателя была оставлена. Каждый двигатель состоит из множества важных деталей (как сами турбонасосы), которые заменяют через определенные промежутки времени, так что правило 2x нужно сдвигать от двигателей к их составляющим. Таким образом, мы принимаем ТТНВД для данного аттестационного времени, если два образца успешно проработали в течение времени, в два раза его превышающего (и, конечно же, на практике мы не настаиваем на том, чтобы это время равнялось 10 заданиям). Но что значит «успешно»? ФУГА называет трещину лопатки турбины отказом, чтобы на практике действительно обеспечить коэффициент безопасности, превышающий 2. Существует некоторый промежуток времени, в течение которого двигатель может работать, между временем зарождения трещины и ее увеличением до образования разлома. (ФУГА разрабатывает новые правила, которые учитывают это дополнительное время, обеспечивающее безопасность, но примет их только в том случае, если это время будет тщательно проанализировано с помощью известных моделей в пределах известного опыта и для основательно испытанных материалов. Ни одно из этих условий не относится к главным двигателям шаттла.)

Трещины были обнаружены на лопатках турбины многих ТТНВД второй ступени. В одном случае их обнаружили после 1 900 секунд работы, а в другом — только через 4 200 секунд, хотя обычно такие, более длительные периоды работы выказывали трещины гораздо раньше. Чтобы и дальше понимать, о чем идет речь, мы должны осознать, что напряжение очень сильно зависит от уровня мощности. Полет «Челленджера», как и предыдущие полеты, находился на уровне, названном как 104 процента от номинальной мощности, в течение большей части времени работы двигателей. Судя по некоторым данным документов, предполагается, что при 104 процентах номинальной мощности трещина образуется примерно в два раза позднее, чем при 109 процентах, или уровне полной мощности (УПЛ). Будущие полеты должны были выполняться при 109 процентах из-за более тяжелых полезных нагрузок, и очень многие испытания проводились именно при таком уровне мощности. Следовательно, при делении времени при 104 процентах номинальной мощности на 2 мы получаем единицы, которые называются эквивалентным уровнем полной мощности (ЭУПЛ). (Очевидно, что это вводит некоторую неопределенность, которая не была изучена.) Самые первые трещины, упомянутые выше, произошли в 1 375 секунд ЭУПЛ.

Правило аттестации гласит «ограничить все лопатки турбин второй ступени максимальным временем 1 375 секунд ЭУПЛ». Если кто-то возразит, что при этом теряется коэффициент безопасности, равный 2, то ему скажут, что одна турбина проработала в течение 3 800 секунд ЭУПЛ без трещин, половину же этого числа составляет 1 900, так что мы даже чрезмерно снижаем это время. Мы одурачили себя в трех отношениях. Во-первых, у нас есть только один образец, причем он не является лидером воздушного флота: у двух других образцов, проработавших 3 800 секунд ЭУПЛ или больше, были обнаружены 17 треснувших лопаток. (В каждом двигателе 59 лопаток.) Затем мы отказались от правила 2x и подставили равное время (1 375). И, наконец, время 1 375 — это время появления трещины. Мы можем сказать, что до наступления этого времени трещин обнаружено не было, но, когда мы смотрели в прошлый раз и не обнаружили трещин, это произошло при 1100 ЭУПЛ. Мы не знаем, в какое время между этими двумя моментами образовалась трещина. Например, трещины могли образоваться при 1 150 секундах ЭУПЛ. (Примерно две трети наборов лопаток, проверенных при времени, превышающем 1 375 секунд ЭУПЛ, имели трещины. Некоторые недавно проведенные эксперименты, действительно, показали трещины уже при 1 150 секундах.) Было важно не снижать это число, так как шаттл должен был использовать свои двигатели очень близко к их пределу ко времени окончания полета.

Наконец, несмотря на отказ от условия, принятого ФУГА, о том, что трещин быть не должно, утверждается, что от критериев никто не отказывался и что система является безопасной, причем отказом считается только полностью сломанная лопатка. С таким определением еще ни один двигатель не вышел из строя. Идея состоит в том, что, поскольку для превращения трещины в разлом нужно какое-то время, мы можем гарантировать безопасность, если проверим все лопатки на наличие трещин. При обнаружении последних нужно заменить лопатки; а если трещин обнаружено не было, то времени для безопасного выполнения задания у нас вполне достаточно. Таким образом, утверждается, что проблема трещин относится не к проблемам безопасности полета, а скорее к проблемам ремонта.

Быть может, это действительно так. Но насколько хорошо нам известно, что трещины всегда прогрессируют достаточно медленно, так что во время выполнения задания не произойдет разлома?

Три двигателя проработали в течение длительных периодов времени с несколькими треснутыми лопатками (около 3 000 секунд ЭУПЛ), но ни одна из них не сломалась.

Решение этой проблемы найти можно. При изменении формы лопатки, упрочнении ее поверхности с помощью дробеструйной операции и покрытии ее изоляцией в целях исключения термоудара новые лопатки трескались не так сильно.

Похожая ситуация просматривается и в истории аттестации КТНВД, но ее детали мы приводить не будем.

В итоге, очевидно, что смотры готовности полета и правила аттестации выказывают снижение критериев в отношении некоторых проблем основных двигателей космического шаттла, очень похожее на снижение, наблюдавшееся в отношении критериев для твердотопливных ракета-носителей.

Авиационная электроника

Под «авиационной электроникой» подразумевается как компьютерная система орбитальной ступени, так и ее входные сенсоры и выходные исполнительные органы. Сначала мы ограничимся исключительно компьютерами и не станем затрагивать надежность входной информации, поступающей от сенсоров температуры, давления и т.п., а также тот факт, точно ли исполнительные органы запуска ракет, механического управления, дисплеев астронавтов и т.п. следуют командам компьютера.

Вычислительный комплекс очень сложен и содержит более 250000 строк программы. Помимо всего прочего, он отвечает за полный автоматический подъем шаттла на орбиту и за его возвращение в атмосферу до момента выбора кнопки, которая определяет желаемое место посадки. Автоматизировать можно было бы всю посадку. (Сигнал, по которому опускаются шасси, был намеренно выведен из-под контроля компьютера, его должен подавать пилот, явно по причинам безопасности.) Во время орбитального полета вычислительная система используется для контроля полезной нагрузки, выведения нужной информации на дисплеи астронавтов и обмена информацией с Землей. Совершенно очевидно, что безопасность полета требует гарантированной точности этой сложной системы программного и аппаратного обеспечения компьютеров.

Короче говоря, надежность аппаратного обеспечения гарантируется наличием четырех, в сущности, независимых идентичных компьютерных систем. Везде, где это возможно, каждый сенсор также имеет несколько копий — обычно четыре, — и каждая копия передает информацию во все четыре серии компьютеров. Если входные сигналы сенсоров не согласуются между собой, то в качестве действующего входного сигнала используется либо определенная средняя величина, либо отбор по принципу большинства, в зависимости от обстоятельств. Поскольку каждый компьютер видит все копии сенсоров, все входные данные и все алгоритмы, согласно которым работает каждый из четырех компьютеров, одинаковы, то результаты, которые получает каждый компьютер, должны быть идентичны на каждом этапе его работы. Время от времени их сравнивают, но, поскольку компьютеры работают с несколько разными скоростями, подключается система остановок и ожиданий в течение определенного времени, после чего и проводится сравнение. Если один из компьютеров выдает не согласующиеся с остальными данные или вообще запаздывает с выдачей ответа, ответ трех других компьютеров, в случае их согласия, считается правильным, и компьютер, который ошибся, изолируется от остальной системы. Теперь, если из строя выйдет другой компьютер, по суждению двух оставшихся, то и он исключается из системы, а полет прекращается: осуществляется возвращение на место приземления, которое происходит под управлением двух оставшихся компьютеров. Совершенно ясно, что это система с резервированием, так как выход из строя одного компьютера не оказывает никакого влияния на выполнение задания. И наконец, в качестве дополнительной гарантии безопасности, существует пятый независимый компьютер, в памяти которого хранятся только программы подъема и спуска и который способен управлять спуском, даже если из строя выйдут более, чем два основных компьютера.

В памяти основных компьютеров не хватает места для всех программ подъема, спуска и полезной нагрузки на весь полет, поэтому астронавты четыре раза загружают память с кассет.

Из-за огромных усилий, необходимых для замены программного обеспечения для такой сложной системы и проверки новой системы, аппаратное обеспечение не менялось с момента создания системы транспортировки шаттла, что произошло 15 лет назад. Существующее аппаратное обеспечение устарело — например, память старого типа на ферритовых сердечниках. Становится все сложнее и сложнее найти производителей, которые могли бы поставить такие старые компьютеры, которые были бы одновременно надежными и достаточно высококачественными. Современные компьютеры более надежны и работают гораздо быстрее. Это упрощает схемы и позволяет выполнить во много раз больший объем работы. Современные компьютеры не потребовали бы столь многочисленной загрузки с кассет, так как обладают гораздо большим объемом памяти.

Программное обеспечение проверяется очень тщательно по принципу «снизу вверх». Прежде всего, проверяется каждая вновь созданная строка программы; затем проверяются разделы программы (модули), выполняющие специальные функции. Масштаб мало-помалу увеличивается, пока все новые изменения не будут включены в полную систему и проверены. Этот полный выход считается окончательным, только что созданным продуктом. Но абсолютно независимо работает группа проверки, которая дает советы группе по разработке программного обеспечения и испытывает программы так, как это делал бы покупатель, которому поставили данный продукт. Существует дополнительная проверка при использовании новых программ в имитаторах полета и т.п. Ошибка на этой стадии проверки испытаний считается очень серьезной и ее происхождение изучается очень тщательно, чтобы избежать подобных ошибок в будущем. Подобные ошибки, совершенные по неопытности, были обнаружены лишь шесть раз за все время программирования и изменения программ (для новых или измененных нагрузок). Они следовали такому принципу: вся эта проверка не имеет никакого отношения к программе безопасности; это лишь испытание этой самой безопасности при проверке, которая происходит для предотвращения катастрофы. О безопасности полета можно судить исключительно по тому, насколько хорошо программы ведут себя во время испытаний. Если здесь произойдет отказ, то он вызовет серьезную озабоченность.

В итоге хотелось бы заметить, что система проверки программного обеспечения компьютеров действительно показывает себя как высококачественная. Судя по всему, там нет места постепенному самообману путем снижения норм, что весьма характерно для систем безопасности твердотопливных ракета-носителей и основных двигателей шаттла. Для вящей убедительности добавлю, что руководство недавно предлагало прекратить такие сложные и дорогие испытания за их ненадобностью в последнее время истории запусков шаттла. Подобным предложениям нужно сопротивляться, потому что люди, их выдвигающие, не представляют взаимные незаметные влияния и источники ошибок, которые могут появиться даже из-за незначительных изменений программы в той или иной ее части. Постоянно возникают просьбы об изменении программы по мере предложения пользователями новых полезных нагрузок и появления новых требований. Любые изменения обходятся дорого, так как они требуют полной проверки. Надлежащий способ экономии денег — это сокращение количества требуемых изменений, а не качества испытаний каждого из них.

Можно также добавить, что эту сложную систему испытаний можно было бы весьма усовершенствовать, оснастив современным аппаратным обеспечением и методиками написания программ. Если бы у НАСА появился любой конкурент вовне, то у него были бы все преимущества, если бы он начал с оснащения новым оборудованием. Сейчас НАСА стоит серьезно подумать над вопросом, не является ли современное аппаратное обеспечение разумной идеей.

И наконец, возвращаясь к сенсорам и исполнительным органам системы авиационной электроники, мы обнаруживаем, что отношение к системному отказу и надежности далеко не так хорошо, как в случае с компьютерными системами. Например, была обнаружена проблема, связанная с тем, что из строя порой выходят температурные сенсоры. Однако восемнадцать месяцев спустя в системе по-прежнему использовались те же сенсоры, они все так же иногда выходили из строя, и это происходило до тех пор, пока запуск шаттла не отменили по причине одновременного выхода из строя двух сенсоров. И даже в следующем полете этот ненадежный сенсор был использован снова. Кроме того, возникают сомнения в надежности систем управления реакцией, реактивными струями ракет, которые используются для переориентации и управления в полете. Присутствует значительное излишество, но существует и длинная история отказов, ни один из которых не был достаточно серьезным, чтобы оказать значительное влияние на полет. Действие реактивных струй находится под контролем сенсоров: если струя не выстрелит, то компьютеры выберут для этой цели другую струю. Но они созданы не для того, чтобы не срабатывать, поэтому данную проблему нужно решать.

Выводы

Если мы хотим придерживаться разумного графика запуска шаттлов, то очень часто возникает ситуация, когда техническую подготовку шаттла не удается провести достаточно быстро, чтобы удовлетворить требованиям изначально консервативных критериев аттестации, которые ставят своей целью гарантировать очень надежный летательный аппарат. В подобных ситуациях критерии безопасности несколько изменяются — причем часто выдвигаются на первый взгляд логичные аргументы, — так, чтобы полеты по-прежнему можно было аттестовать вовремя. Таким образом, шаттл летает в относительно небезопасном состоянии, и вероятность его отказа имеет порядок, равный одному проценту. (Более точную цифру назвать сложно.)

Официальное руководство, с другой стороны, утверждает, что, по их мнению, вероятность отказа в тысячу раз меньше. Одной из причин такой уверенности может быть попытка убедить правительство в совершенстве и успешности НАСА, чтобы гарантировать финансовые вложения. Другая причина, быть может, состоит в том, что они искренне верят в истинность этого, демонстрируя почти невероятное отсутствие передачи информации между менеджерами и работающими у них инженерами.

Как бы то ни было, все это имело весьма неблагоприятные последствия, самое серьезное из которых состоит в поощрении обыкновенных граждан к полету в столь опасной машине, утверждая, что она обладает той же степенью безопасности, что и обыкновенный авиалайнер. Астронавты, как и летчики-испытатели, должны осознавать свой риск, и мы уважаем их мужество. Кто может сомневаться, что МакОлифф[43] была невероятно мужественным человеком, который гораздо в большей степени осознавал риск, на который идет, чем НАСА показывало это нам?

Так давайте же дадим рекомендации, чтобы гарантировать, что официальное руководство НАСА жило бы в реальном мире, понимая технологические слабости и несовершенства достаточно хорошо, чтобы активно пытаться устранить их. Они должны жить в реальном мире и в отношении того, что касается сопоставления затрат и полезности шаттла по сравнению с другими методами покорения космического пространства. Кроме того, они должны реалистично подходить к составлению контрактов и оценке стоимости и сложностей каждого проекта. Следует предлагать только реалистичные расписания выполнения полетов — расписания, имеющие разумную вероятность выполнения. Если при таком раскладе вещей правительство не поддержит НАСА, значит так тому и быть. НАСА обязана быть откровенной, прямой и честной по отношению к гражданам, у которых она просит поддержки, чтобы эти самые граждане могли принимать самые мудрые решения относительно использования своих ограниченных ресурсов.

Чтобы создать успешную технологию, реальность следует ставить превыше общественных отношений, ибо Природу не обманешь.