Наша ответственность как ученых

⇐ ПредыдущаяСтр 9 из 15Следующая ⇒

Мы находимся в самом начале пути развития человечества. То, что мы ухватились за эти проблемы, не кажется безрассудством. У нас десятки тысяч лет будущего. Наша ответственность — делать, что умеем, учиться, чему можем, накапливать знания и передавать их будущим поколениям. Это наша ответственность — предоставить людям будущего свободу действий. В стремительной юности человечества мы можем наделать страшных ошибок, которые затормозят наш рост на долгое время. Что мы, молодые и несведущие, будем делать, если скажем, что теперь у нас есть все ответы; если мы остановим все дискуссии, всю критику, заявив: «Так, ребята, человек спасен! » — и бросим человека на долгое время в оковы власти, ограничившись пределами нашего нынешнего восприятия. Это уже делалось много раз прежде.

Наша ответственность как ученых, понимающих огромную ценность философии незнания и огромный прогресс, который является плодом свободы мысли, состоит в том, чтобы провозглашать ценность этой свободы, учить не бояться сомневаться, приглашать к дискуссии и требовать этой свободы — это наше обязательство перед всеми грядущими поколениями.

Особое мнение Ричарда Фейнмана, касающееся следствия по делу космического корабля-челнока «Челленджер»

Когда космический корабль «Челленджер» взорвался вскоре после запуска 28 января 1986 года, трагически погибли шесть профессиональных астронавтов и один преподаватель. Нация была потрясена, и НАСА (государственная организация США, занимающаяся исследованием космоса — National Aeronautic and Space Administration) встряхнули от благодушия, вызванного годами успешных космических полетов — или по крайней мере полетов без смертельных исходов. Была создана комиссия, возглавляемая государственным секретарем Уильямом Роджерсом, в состав которой вошли политики, астронавты, военные и один ученый — они должны были проанализировать случившееся и рекомендовать меры по предотвращению в будущем подобных происшествий. Тот факт, что Ричард Фейнман оказался тем единственным ученым, привело к достаточно резкому различию в ответах на вопрос, почему «Челленджер» потерпел крушение — и, может быть, именно он приоткрыл завесу вечной тайны гибели корабля. Фейнман был человеком бесстрашным и не побоялся озвучить свою точку зрения на всю страну, донести ее до инженеров, которые понимали, что, по сути, подготовкой и безопасностью программы космических челноков руководила пропаганда. Его доклад поставил НАСА в неудобное положение и всячески замалчивался комиссией, но Фейнман боролся за его включение в выводы комиссии; и в результате он был опубликован в приложении. Когда комиссия устроила пресс-конференцию для ответов на вопросы журналистов, Фейнман проделал свой ныне знаменитый настольный эксперимент с одним из уплотнителей корабля — уплотнительным кольцом — и чашкой с ледяной водой. Этот опыт с очевидностью доказывал, что ключевые уплотнители ломались, а предупреждения инженеров о том, что снаружи слишком холодно для ухода корабля со старта, не были приняты во внимание менеджерами, во что бы то ни стало желающими пунктуально соблюдать расписание полетов в угоду своим боссам. Перед вами этот исторический доклад.

Введение

Существует, как я понимаю, колоссальное несоответствие мнений членов комиссии, по-разному трактующих потерю космического корабля и трагическую гибель людей. Грубая оценка диапазона вероятности крушения колеблется от 1/100 до 1/100000. Более высокие цифры получены работающими в проекте инженерами, а самые низкие — руководством. Что же произошло, и каковы следствия несогласованности мнений? 1 случай из 100 000 означает, что можно запускать челнок каждый день в течение 300 лет с предполагаемой потерей одного корабля за все время запусков. Собственно, напрашивается вопрос: «В чем причина фантастической веры руководства в двигатели ракеты? »

Другой обнаруженный факт свидетельствует, что критерий сертификации, используемый в «Руководствах по подготовке полетов», часто разрабатывается с постепенным понижением его точности. Аргумент, что подобные риски имели место и раньше и не приводили к авариям, принимается как свидетельство в пользу допустимой безопасности. По этой причине критерий сертификации снова и снова ослабляется — нередко без достаточно серьезных попыток уменьшить риски или отложить полет из-за их постоянного присутствия.

Существует несколько источников информации. Публикуются критерии сертификации, включающие историю их изменений в форме отказа от требований и стандартизированных отклонений. Кроме того, в «Руководстве по подготовке полетов» для каждого документа по полетам приведены аргументы для установления полетных рисков. Информация была получена мною из прямых свидетельских показаний и докладов офицера службы безопасности полигона, Льюиса Уллиана, относящихся к успешному запуску ракет на твердом топливе. Существуют и более поздние его исследования (как главы группы экспертов по безопасному прерыванию запусков (LASP)) по определению рисков, в том числе в случае несчастий, ведущих к радиоактивному заражению при использовании плутониевого топлива (RTG) для будущих межпланетных полетов. Доступно также исследование НАСА по этому вопросу. Для получения информации об основных двигателях космического челнока я побеседовал с руководством и инженерами из центра космических полетов имени Маршалла и, кроме того, пообщался с инженерами из «Рокетдайн»[23]. Я имел неофициальную беседу с независимым инженером-механиком из Калтеха, который консультируете НАСА производство и сборку двигателей. Визит к Джонсону был обусловлен сбором информации о надежности авиационной радиоэлектроники (компьютеров, датчиков и эффекторов). И наконец, существует доклад «Обзор сертификационной деятельности, потенциально применимой к ракетным двигателям многократного использования, пригодным для полетов человека», подготовленный в Лаборатории реактивного движения Н. Муром с сотрудниками в феврале 1986 года для руководства по управлению космическими полетами НАСА. В докладе рассматриваются методы, применяемые Федеральным авиационным агентством (FAA) и военными для сертификации газовых турбин и ракетных двигателей. С авторами доклада также состоялся неформальный разговор.

Ракеты на твердом топливе (SRB)

Оценка надежности ракет на твердом топливе была выполнена офицером службы безопасности полигона, изучившим опыт всех предыдущих полетов ракет. Из полного числа порядка 2900 полетов 121 оказался неудачным (1 к 25). Сюда, однако, включены так называемые ранние ошибки, когда ракета запускалась по нескольку раз, при этом определялись и фиксировались конструкторские ошибки. Более разумные цифры для ракет с продуманным дизайном — 1 к 50. При особой тщательности в выборе деталей и надежном обследовании эти цифры могут стать ниже и достигнуть значения 1 к 100, правда, цифра 1 к 1000 вряд ли достижима при современной технологии. (На космическом челноке две такие ракеты, поэтому скорость его крушения из-за отказа ракет-носителей на твердом топливе должна удваиваться.)

Официальные представители НАСА приводят доводы в пользу гораздо меньших цифр. Они утверждают, что эти цифры справедливы для ракет, не укомплектованных людьми, но так как челнок является средством, управляемым людьми, «вероятность успешного полета очень близка к 1, 0». Не очень ясно, что означает эта фраза. Означает ли это, что цифра близка к 1 или должна быть близка к 1? Они продолжают объяснять: «исторически эта чрезвычайно высокая степень успешного полета объясняется разницей философий между программами космического полета с экипажем и без экипажа; то есть употребление численной вероятности против выводов инженеров». (Эти цитаты взяты из «Space Shuttle Data for Planetary Mission RTG Safety Analysis», pages 3–1, 3–2, February 15, 1985, NASA, JSC.) Ясно, что, если бы вероятность крушения составляла 1 к 100 000, необходимо было бы провести чрезмерно большое число тестов для ее определения (вы ничего не получите, кроме цепочки успешных полетов, из которых не вытекает никакая правильная цифра, а только то, что вероятность вряд ли меньше числа таких полетов в цепочке). Но если фактическая вероятность не так мала, полеты должны вызывать тревогу, обоснованные оценки должны вызывать опасение реального крушения. Весь предыдущий опыт НАСА указывает на возможность случайных трудностей, почти несчастных случаев и самих несчастных случаев — все это служит предупреждением, что вероятность крушения полетов не так мала. Непоследовательность аргументации не определяет надежности на основе истории полетов и испытания двигателей, как это делает офицер службы безопасности и к чему апеллирует НАСА: «Исторически такая высокая степень успешных полетов…» В конце концов, если мы сравним стандартную численную вероятность и заключения инженеров, откуда такое огромное расхождение между оценкой руководства и выводами инженеров? Может оказаться, что для любой цели, для внутреннего и внешнего потребления, руководство НАСА преувеличивает надежность своего продукта до фантастических цифр.

Не буду здесь заново излагать историю сертификации и «Руководство по подготовке к полетам». (Смотрите соответствующие разделы докладов комиссии.) Совершенно очевидно допустить в предыдущих полетах такие явления, как газопропуск (просачивание газа) и эрозию. Полет «Челленджера» — тому поучительный пример. Имеется несколько ссылок на предыдущие полеты. Одобрение и успех предыдущих полетов рассматриваются как доказательство безопасности. В конструкции не предполагалось ни эрозии, ни газопропуска — следовательно, если она есть, значит, конструкция «предупреждает»: что-то работает не так. Агрегаты работают не так, как ожидалось, и потому существует опасность, что они могут работать даже с большими отклонениями, причем неожиданным и не вполне понятным образом. Тот факт, что эта опасность не приводила раньше к катастрофе, не является гарантией, что ничего не случится в дальнейшем, если только все полностью не понять и не проанализировать. При игре в русскую рулетку, если в первой попытке вы избежали опасности, это дает небольшую надежду избежать ее в следующей. Причина и следствие возникновения газопропуска и эрозии не понятны. Они не проявляются одинаково во всех полетах и всех узлах; иногда больше, иногда меньше. Почему когда-нибудь в будущем, когда условия станут более подходящими, это не может привести к катастрофе?

Несмотря на происходящие от случая к случаю отклонения, официальные лица ведут себя так, словно им все понятно, обмениваясь, по их мнению, логичными доводами, часто зависящими от «успеха» предыдущих полетов. Например, если полет 51-L был безопасен — они бравируют тем, что эрозии уплотнительного кольца не произошло — а в полете 51-С отмечалось, что глубина эрозии составляла только одну треть радиуса. В эксперименте с разрезанием кольца было замечено, что перед поломкой кольца его надо разрезать на глубину одного радиуса. Вместо того чтобы принять во внимание, что изменения плохо изученных условий могут внезапно привести к сильной эрозии, они объявляют эрозию «фактором безопасности три». Странное использование инженерного термина «фактор безопасности». Если мост строится с расчетом на определенную нагрузку, соответствующую отсутствию постоянной деформации балок, трещин или разрушений, его следует конструировать из материалов, которые устоят при утроенной нагрузке. «Фактор безопасности» не должен соответствовать точно определенному превышению нагрузки, или неизвестной дополнительной нагрузке, или слабым местам материала, в котором могут появляться неожиданные дефекты и тому подобное. Если в результате ожидаемой нагрузки на новый мост появится трещина в балке, здесь налицо неудачная конструкция. Не существует никаких факторов безопасности; даже несмотря на то что мост реально не разрушается, потому что трещина составляет только одну треть величины балки. Уплотнительные кольца ракеты-носителя на твердом топливе не должны конструироваться из материала, подвергающегося эрозии. Эрозия — это «звонок» о том, что в конструкции что-то неправильно, и никак не фактор, из которого можно сделать заключение о безопасности.

Нет другого пути, кроме полного понимания проблемы — следует быть абсолютно уверенным, что условия в следующий момент не приведут к эрозии, в три раза более сильной, чем раньше. Тем не менее официальные лица обманывают себя, полагая, что они во всем разобрались и во всем убеждены, несмотря на специфические отклонения, происходящие от случая к случаю. Для расчета эрозии мы создали математическую модель. Эта модель основана не на физическом понимании, а на подгонке эмпирических кривых. Более подробно — предполагалось, что поток горячего газа сталкивается с материалом уплотнительного кольца, определялось тепло в точке застоя (в соответствии с действующими физическими термодинамическими законами). При определении того, насколько покрышку кольца разъела эрозия, исходим из того, что все зависит только от этого тепла, расчет проводился по формулам с данными для подобного материала. График в логарифмическом масштабе представлял прямую линию, поэтому считалось, что эрозия меняется как степень 0, 58 от тепла; число 0, 58 определяется по ближайшей подгоночной кривой. В любом случае при подгонке некоторых других чисел определяется, что модель согласуется с величиной эрозии (с глубиной, составляющей одну треть радиуса уплотнительного кольца). Нет ничего более вредного, чем доверять ответам! Везде возникают неопределенности. Нельзя предсказать, насколько сильный поток газа обтекает уплотнитель, он зависит от отверстий, образованных в замазочном слое. Просачивание газа показало, что кольцо может сломаться при частичной эрозии или даже при ее отсутствии. Хорошо известно, что эмпирическая формула будет неопределенной, если она не применяется именно к тем экспериментальным точкам, с помощью которых была определена. Есть скопления точек, некоторые встречаются дважды: над и под подгоночной кривой; так что двойное предсказание эрозии достаточно надежно, даже исходя из одного этого случая. Подобные неопределенности встречаются и в других константах в формулах и т. д. При использовании математической модели особое внимание следует обращать на ее неопределенности.

Двигатель на жидком топливе

В ходе полета 51-L все три основных двигателя космического корабля работали превосходно, даже в последний момент, при отключении двигателей, когда подача топлива начала прекращаться. Тем не менее возникает вопрос, должна ли она прекращаться? Нам необходимо исследовать эту ситуацию максимально подробно, как мы сделали это для ракет-носителей на твердом топливе. Мы и здесь обнаружим недостаточное внимание к возможным ошибкам и уменьшению надежности. Иначе говоря, приводят ли слабые места организации полетов к несчастным случаям в сфере, ограниченной сектором ракет-носителей на твердом топливе, или они являются общей характеристикой НАСА? Нам надо проанализировать работу основных двигателей космического челнока, а также функционирование радиоэлектроники. Подобных исследований для орбитальных ступеней или внешних отсеков не существует.

Двигатель является значительно более сложной структурой, чем ракета-носитель на твердом топливе, в нем гораздо больше инженерии. Как правило, инженерные разработки здесь очень высокого качества, и значительное внимание следует уделить недостаткам и ошибкам их работы. Эти двигатели проектируются для военных или гражданских самолетов с помощью так называемой компонентной системы или проектирования снизу вверх. Во-первых, надо в совершенстве понимать свойства и ограничения используемых материалов (например, для лопастей турбин). Исследование материалов следует начинать с тестов на экспериментальных испытательных стендах. На основании результатов испытаний проектируются большие компонентные детали (такие, как опоры), они тестируются отдельно. Когда недостатки и ошибки конструирования учтены, детали корректируются и проверяются при повторном тестировании. Поскольку детали тестируются за раз, такое тестирование и их модификация оказываются не слишком затратными. В заключение разрабатывается окончательный проект всего двигателя с необходимыми спецификациями. Этот этап наиболее удобен для проверки работы двигателя и выявления недостатков; на этом этапе легко зафиксировать нарушения, проанализировать их причины и определить предельные свойства материалов. Это наиболее благоприятный момент для модификации двигателя, возможность справиться с окончательными трудностями, устранить и более серьезные, уже обнаруженные проблемы — все это делается гораздо проще и дешевле на этом этапе конструирования.

Основной двигатель космического корабля контролируется различными способами, можно сказать, сверху вниз, по нисходящей. Двигатель проектируется одновременно с относительно небольшим предварительным изучением материалов и компонентов. Затем, когда дело доходит до опор, турбинных лопастей, труб для смазочно-охлаждающих смесей и разного более сложного оборудования — в этих случаях гораздо дороже и сложнее выявлять ошибки и проводить модификацию. Например, трещины в турбинных лопастях определяются с помощью кислородных турбонасосов под высоким давлением. Вызваны ли они дефектами материала, влиянием атмосферного кислорода на свойства материала, тепловыми нагрузками при старте и посадке, вибрацией и напряжениями установившегося режима или, возможно, некоторой резонансной скоростью или неизвестными нам эффектами? Как долго можно работать от начала образования трещины до полного ее разрушения и как это зависит от уровня мощности? Использование уже законченного двигателя для тестирования его неполадок на испытательном стенде является чрезвычайно дорогостоящей процедурой. Никто не хочет потерять целый двигатель, чтобы обнаружить, как и где происходит разрушение. И все-таки важно точно знать эту информацию. Не представляя себе ситуацию во всех подробностях, нельзя говорить о доверии к сконструированным элементам двигателя.

Еще одним неудобством метода проектирования «по нисходящей» является тот факт, что при любой ошибке, например, при необходимости замены формы корпуса турбины, простым ремонтом не обойтись — нужно заново проектировать весь двигатель.

Основной двигатель космического челнока — совершенно уникальная машина. У него отношение осевой нагрузки к весу гораздо выше, чем у предыдущего двигателя. Он построен на пике инженерного опыта, даже не на основании предыдущих разработок. Поэтому-то в нем и обнаружились разнообразные дефекты и трудности. К сожалению, он был построен способом нисходящего проектирования, при котором трудно обнаруживать и фиксировать недостатки. Замысел проектирования, рассчитанный на сгорание после 55 эквивалентных полетов (27 000 секунд работы в каждом полете или 500 секунд на испытательном стенде), не был достигнут. Двигатель сейчас очень часто требует ремонта и замены важнейших деталей, таких как турбонасосы, опоры, корпус с металлической обшивкой и так далее. Топливный турбонасос высокого давления следует менять каждые три-четыре полета (хотя сейчас их можно чинить), а кислородный турбонасос высокого давления — каждые пять-шесть полетов. Это при спецификации с исходными допусками более чем десять процентов.

Далее основное внимание будет сконцентрировано на определении надежности.

За время полного рабочего ресурса, составляющего около 250 000 секунд, двигатели отказывают примерно 16 раз. Инженерный состав очень внимательно изучает эти поломки и старается их устранить как можно быстрее. Изучаются результаты тестов на специальных установках, экспериментально спроектированных для поиска дефектов, двигатель тщательно обследуется на предмет раскрытия предполагаемых недостатков (например, дефектов), которые тщательно анализируются и устраняются. Таким образом, несмотря на сложности нисходящего проектирования, путем упорного труда многие проблемы удалось полностью устранить.

Здесь приведен список некоторых проблем. Звездочкой отмечены предположительно решенные проблемы:

1. Трещины турбинных лопастей в топливных турбонасосах высокого давления (ТТНВД). (Возможно, проблема решена.)

2. Трещины в кислородных турбонасосах высокого давления (КТНВД).

3. Разрыв линии форсажного искрового воспламенителя.*

4. Поломка проверочного очистного клапана.*

5. Эрозия камеры форсажного искрового воспламенителя.*

6. Растрескивание металлических листов топливных турбонасосов высокого давления.*

7. Поломка смазочно-охлаждающей прокладки топливных турбонасосов высокого давления.*

8. Поломка колена выпуска основной камеры сгорания.*

9. Поломка колена впуска основной камеры. Сдвиг сварного колена впуска основной камеры сгорания.*

10. Квазисинхронное вихревое движение в кислородном турбонасосе высокого давления.*

11. Защитная система отключения ускорения в полете (частичный отказ в резервной системе).*

12. Растрескивание опор (частично решена).

13. Вибрация, составляющая 4000 Герц, приводящая некоторые двигатели в нерабочее состояние.

Многие из этих решенных проблем на начальном этапе проектирования оказались очень сложными, 13 из них происходят в первые 12 500 секунд, и только 3 — в следующие 12 500 секунд. Естественно, никогда нельзя быть уверенным, что все ошибки устранены. Поэтому бессмысленно гадать, случился ли сюрприз в следующие 25 000 секунд с вероятностью 1/500 на один двигатель в одном полете. В полете задействованы три двигателя, но на некоторые несчастные случаи может повлиять и один двигатель. Система может аварийно прекратить работу и при двух двигателях. Давайте предположим, что неизвестных сюрпризов не существует, тогда вероятность нарушения полета из-за основного двигателя челнока менее 1/500. К этому следует добавить вероятность крушения от известных, но пока не решенных проблем (без звездочки в приведенном выше списке). Их мы обсудим ниже. (Инженеры и производители из «Рокет дайн» оценили полную вероятность как 1/1000. Инженеры в Маршалл — как 1/300, в то время как руководство НАСА, которому эти инженеры сообщают свои соображения, называет цифру 1/10000. Независимый инженер, консультирующий НАСА, оценивает эту цифру с 1–2-процентной вероятностью.)

История принципов сертификации для этих двигателей весьма запутанна и труднообъяснима. Первоначально правило для двух работающих машин гласило, что каждая должна работать без сбоев за сертификационное время работы («правило двух»). По крайней мере это правило исходит из Федерального авиационного агентства, и НАСА усвоила его, предлагая исходное сертификационное время, равное 10 полетам (то есть 20 полетов для каждой машины). Очевидно, что самыми лучшими используемыми двигателями окажутся при сравнении те, у которых наибольшее время работы (полет плюс испытания) — так называемые эксплуатационные лидеры. Но что, если третий образец и несколько других разрушатся за короткое время? Безусловно, мы не можем находиться в безопасности только благодаря двум необычно долго прожившим двигателям. Короткое время больше отвечает реальным возможностям, и, несмотря на фактор безопасности 2, мы должны работать только половину времени короткоживущих образцов.

Медленный крен к снижению фактора безопасности доказывается многими примерами. Возьмем лопасти топливной турбины. От первой идеи тестирования всего двигателя отказались. Каждый номер двигателя содержит много важных деталей (такие, как все турбонасосы), заменяемые через повторяющийся интервал, так что правило должно меняться от двигателей к их компонентам. Мы принимаем топливный насос за сертификационное время, если два образца по отдельности дважды проработали успешно за это время (и конечно, на практике никто не настаивает, чтобы это время соответствовало 10 полетам). Но что значит «успешно»? Федеральное авиационное агентство называет трещину турбинной лопасти поломкой, что на практике обеспечивает фактор безопасности больше 2. Проходит некоторый период, пока двигатель работает между временем начала образования трещины и временем, пока она не станет достаточно большой для полного разрыва. (Федеральное авиационное агентство размышляет над новыми правилами, которые учитывают это дополнительное время, но только при условии, что его тщательно проанализируют с помощью известных моделей в рамках известных экспериментов и с полностью протестированными материалами. Ни одно из этих условий не годится для основного двигателя космического челнока.)

Трещины обнаруживаются в турбинных лопастях через много секунд. В одном случае были обнаружены три трещины через 1900 секунд, а в другом случае не обнаружили ни одной через 4200 секунд, хотя при более длительной работе вероятность возникновения трещин выше. Чтобы проследить за ситуацией, представим, что напряжение зависит от уровня мощности. Полет «Челленджера», как и предыдущий полет, происходил на уровне 104 % от проектной мощности — двигатели большую часть времени работали на этой мощности. На основании некоторых данных о материалах можно предположить, что при уровне в 104 % от проектного уровня время образования трещины окажется вдвое больше, чем при 109 % или полном уровне мощности. Будущие полеты должны проходить на этом уровне из-за более высоких грузоподъемностей, и многие тесты выполняются на этом же уровне. Поэтому, разделив время при уровне мощности 104 % на 2, мы получим единицы, эквивалентные полному уровню мощности. (Очевидно, тут вводится некоторая неопределенность, но мы не приняли ее во внимание.) Самые ранние трещины, упомянутые выше, появлялись при цифре 1, 375 от полного уровня мощности.

Теперь правило сертификации выглядит так: «предел работы лопастей стремится к максимуму, равному 1375 секунд, при эквивалентном полном уровне мощности».

Если кто-то возразит, что здесь потерян фактор безопасности 2, можно указать, что одна турбина работала без трещин в течение 3800 секунд, эквивалентных полному уровню мощности, а половина от этого — 1900 секунд; здесь мы предусмотрительно консервативны. Мы одурачили себя в трех случаях. Во-первых, у нас был только один образец, и это не эксплуатационный лидер, два других образца работали 3800 или более секунд, имели 17 растрескавшихся лопастей. (В двигателе 59 лопастей.) Кроме того, мы отказались от «правила двух» и заменили равное время. И наконец, мы утверждали, что через 1375 секунд видели трещину. Можно сказать, что не было обнаружено трещины спустя меньшее время, но в последний раз мы не видели трещины при 1100 секундах. Мы не знаем, когда образовалась трещина в этом промежутке; например, трещина могла образоваться при 1150 секундах. (Приблизительно 2/3 от набора тестируемых лопастей имели трещины по истечении 1375 секунд. Ряд последних экспериментов действительно показал, что самые ранние трещины соответствуют 1150 секундам.) Важно сохранять при расчетах высокие числа, так как двигатели «Челленджера» во время окончания полета работают в режиме, близком к предельному.

Однако было заявлено, что критерии не были нарушены и система находилась в безопасности — вопреки требованиям Федерального авиационного агентства, гласящим, что трещин быть не должно. При этом принимались во внимание только полностью вышедшие из строя изломанные лопасти. Идея НАСА была простой: так как для роста и разрыва трещины необходимо довольно много времени, можно гарантировать, что безопасность обеспечивается благодаря предварительному обследованию трещин во всех лопастях. Если трещины обнаружатся, мы заменим такие лопасти, а если нет — у нас в запасе остается достаточно времени для полета. Такой подход переводит проблему трещин из разряда влияющих на безопасность полета просто в проблему технического обслуживания.

Доводы НАСА могут оказаться практически верными. Но можем ли мы быть полностью уверены, что трещины растут достаточно медленно всегда и что ни одного разрыва не произойдет в полете? Три двигателя работают в течение долгого времени с несколькими надтреснутыми, но не разрушенными лопастями (около 3000 секунд, эквивалентных полному уровню мощности).

Однако можно исправить ситуацию с растрескиванием. Лопасти не будут подвергаться растрескиванию, если изменить их форму, предусмотреть дробеструйное упрочение поверхности и покрытие изоляцией, чтобы исключить тепловой удар.

Очень похожая ситуация возникает с сертификацией кислородных насосов высокого давления, но об этом мы не будем говорить подробно.

Резюмируя сказанное, очевидно, что «Руководство по подготовке полетов» и «Правила сертификации» предъявляют заниженные требования по ряду проблем основного двигателя космического челнока, которые очень напоминают ту ситуацию, которую мы наблюдали в правилах для ракет-носителей на твердом топливе.

Бортовая радиоэлектроника

Под «бортовой радиоэлектроникой» понимается компьютерная система на орбитальной ступени, а также датчики ввода и силовые механизмы вывода. Сначала мы ограничимся свойствами компьютера, не касаясь надежности входной информации с датчиков температуры, давления и так далее, или того, точно ли следует компьютерный выход за исполнительными механизмами вывода при работе ракеты, за механическими средствами управления, за дисплеями астронавтов.

Компьютерная система детально разработана и насчитывает 250 000 строк программы. Кроме многих других функций, она ответственна за автоматическое управление подъемом на орбиту и за снижение до входа в слои атмосферы (ниже первой границы Маха), когда нажатием кнопки и принимается решение о приземлении. Можно было бы сделать всю процедуру приземления автоматической (кроме переключения сигнала спуска, который не управляется компьютером, а должен обеспечиваться пилотом в целях безопасности), но автоматическое приземление все-таки не так безопасно, как пилотируемое. В ходе орбитального полета компьютер используется для управления полезной нагрузкой, информация отражается на дисплее астронавта, где происходит обмен информацией с землей. Очевидно, что безопасность полета требует гарантированной точности всей сложной системы компьютерного аппаратного и программного обеспечения.

Опишем вкратце структуру системы. Надежность аппаратных средств обеспечивается четырьмя совершенно независимыми одинаковыми компьютерными системами, где, возможно, каждый датчик тоже имеет несколько копий — обычно четыре, причем каждая копия питает все четыре компьютерные линии связи. Если ввод от датчиков не согласуется, что зависит от обстоятельств, то в качестве эффективного ввода используются некоторые усредненные данные или набор основных данных. Алгоритм, используемый для каждого из четырех компьютеров, совершенно одинаковый, поэтому их вводы (как только каждый видит все копии датчиков) тоже одинаковые. Поэтому на каждом этапе результаты в каждом компьютере должны совпадать. Время от времени они сравниваются, и поскольку они могут работать при слегка различных скоростях, система останавливается и ждет установленное время, пока все показания сравниваются. Если показания одного из компьютеров не совпадают или ответ получен слишком поздно, три других, чьи показания оцениваются как правильные, остаются, а ошибочный полностью выводится из системы. Если дает сбой еще один компьютер, его показания не соответствуют двум другим, он тоже выводится из системы — оставшаяся часть полета прерывается, поступает команда на снижение, управляемая двумя последними компьютерами. Ясно, что это система с резервированием, так как отказ одного компьютера не влияет на полет. В конце концов в качестве дополнительного фактора безопасности можно поставить пятый независимый компьютер, память которого загружается только программами подъема и спуска и который способен контролировать спуск, если происходит нарушение работы более двух из четырех компьютеров основной линии.

В памяти основной линии компьютеров недостаточно места для всех программ подъема, спуска и контроля полезной нагрузки в полете, так что память загружается около четырех раз с кассетной ленты самими астронавтами.

В аппаратных средствах за много лет не произошло никаких изменений — используется аппаратура пятнадцатилетней давности — это сопряжено с колоссальными усилиями по замене и отладке нового программного обеспечения в такой сложной системе. Аппаратные средства устарели; например, установлена память старого типа с ферритовым сердечником. Становится все трудней найти производителей для поставки таких устаревших компьютеров высокого качества и высокой надежности. Современные компьютеры значительно более надежны, работают гораздо быстрее, имеют упрощенную схематику, позволяя выполнять больший объем работы, и не требуют дозагрузки памяти, поскольку их память значительно больше.

Программное обеспечение проверяется очень тщательно методом снизу вверх, «по восходящей». Во-первых, проверяется каждая новая строка программы, затем с помощью специальной функции контролируются разделы программы или модули. Границы раздвигаются шаг за шагом, пока новые изменения не будут вставлены в законченную систему и полностью проверены. Окончательный выход считается вновь выпущенным конечным продуктом. В заключение полностью независимая группа проверки, представляющая критикующую сторону по отношению к группе разработчиков программного обеспечения, тестирует и проверяет программное обеспечение, как будто эта группа является покупателем поставленного продукта. Существует дополнительная проверка с применением новых программ в имитирующем устройстве и так далее. Обнаружение ошибки в ходе проверочного тестирования считается очень серьезным промахом, причина ошибки тщательно изучается, чтобы избежать подобных ошибок в будущем. Такие неожиданные ошибки были обнаружены только шесть раз за все время программирования, программа изменена (для новых или модифицированных нагрузок). Принцип, которому следовали, состоял в том, что проверка — это не аспект программной безопасности, это просто тестирование безопасности, а не контроль катастрофы. О безопасности полета нужно судить исключительно по тому, насколько хорошо программа работает в проверочных тестах. Нарушения здесь приводят к серьезному беспокойству. Из всего вышесказанного ясно, что система проверки компьютерного программного обеспечения должна быть высочайшего качества. Казалось бы, что здесь мы не имеем элементов оглупления и снижения уровня стандартов безопасности, как в ракетах-носителях на твердом топливе или в основном двигателе космического корабля. Но… обратимся к последним предложениям руководства — предлагается сократить сложные и дорогостоящие тесты как необязательные. С этим никак нельзя согласиться, поскольку здесь не принимается во внимание едва уловимое взаимное влияние — источники ошибки, обусловленные даже незначительной заменой одной части программы на другую. Пользователи постоянно нуждаются в изменениях — новые нагрузки, новые требования и модификации. Изменения обходятся дорого, поскольку они требуют всестороннего тестирования. Правильный путь сберечь деньги — сократить количество самих изменений, но никак не качество тестирования для их осуществления.

Можно добавить, что сложную систему можно значительно улучшить с помощью более современного аппаратного обеспечения и методик программирования. Любое соперничество извне будет приносить свои плоды — следует внимательно изучить, хороша ли эта идея для НАСА.

⇐ Предыдущая 4 5 6 7 8910 11 12 13 Следующая ⇒