Еще одна несообразность в аргументе, связанном с отсутствием необходимости проверять надежность в процессе опыта (как это делал служащий по безопасности дальних полетов), – это обращение НАСА к истории: «Исторически, эта высокая степень успешности полета…» Наконец, если мы хотим заменить стандартно используемую численную вероятность суждением инженеров, почему мы обнаруживаем такое огромное несоответствие между оценками менеджеров и суждением инженеров? Создается такое ощущение, что, какой бы ни была цель – будь эта оценка предназначена для использования внутри организации или вовне нее, – руководство НАСА преувеличивает надежность своего продукта до уровня фантастики.
Я не буду повторять здесь историю смотров готовности полета и его оценки (см. другие части отчета комиссии), но феномен принятия уплотнений, которые выказали эрозию и прорыв газов при предыдущих полетах, – совершен очевиден. Полет «Челленджера» – превосходный пример: есть несколько ссылок на предыдущие полеты; принятие и успех этих полетов принимаются в качестве доказательства надежности всех последующих. Однако эрозия и прорыв газов конструкцией шаттла не предусмотрены.
Они предупреждают о том, что что-то не в порядке. Оборудование работает не так, как должно, а потому существует опасность того, что оно начнет работать с еще большими отклонениями, совершенно неожиданным и не до конца понятым образом. Тот факт, что ранее это не привело к катастрофе, не гарантирует, что катастрофа не произойдет в следующий раз, если только все это не будет понято до конца. При игре в русскую рулетку тот факт, что при первом нажатии на курок выстрела не последовало, ничуть не гарантирует того, что его не последует и при повторном нажатии на курок. Происхождение и следствия эрозии и прорыва газов не были поняты. Эрозия и прорыв газов не были одинаковыми во всех полетах и во всех стыках: иногда они были сильнее, иногда слабее. Почему не могло случиться так, что однажды, когда определяющие эти явления условия оказались подходящими, произошло их усиление, которое и привело к катастрофе?
Несмотря на эти изменения, которые происходили от случая к случаю, официальные лица вели себя так, словно они все понимают, приводя друг другу, на первый взгляд, логичные аргументы – зачастую ссылаясь на «успех» предыдущих полетов. Например, при определении, насколько безопасно осуществить полет 51-L в виду эрозии кольца во время полета 51-С, было замечено, что глубина эрозии была равна лишь одной трети его радиуса. Во время эксперимента, когда кольцо разрезали, обнаружилось, что разрезание кольца на глубину радиуса необходимо до его выхода из строя. Вместо того, чтобы начать беспокоиться из-за того, что изменения плохо понятых условий на этот раз вполне могут создать более глубокую эрозию, утверждалось, что «коэффициент безопасности равен трем».
Это весьма странный метод использования инженерного термина «коэффициент безопасности». Если мост строят для того, чтобы он выдерживал определенную нагрузку и чтобы его балки при этом не испытывали постоянную деформацию, не трескались и не ломались, то его могут спроектировать так, чтобы используемые материалы выдерживали нагрузку, фактически в три раза большую. Этот «коэфициент безопасности» необходим, чтобы учесть неопределенные превышения нагрузки, неизвестные перегрузки или слабые места материала, который может иметь непредвиденные дефекты и прочее. Но если новый мост подвергается ожидаемой нагрузке и на балке при этом появляется трещина, то это недостаток конструкции. В этом случае ни о каком коэффициенте безопасности не может быть и речи, даже несмотря на то, что мост не развалился, потому что балка треснула только на одну треть диаметра. В конструкции колец твердотопливных ракета-носителей эрозия не предусматривалась. Эрозия являла собой ключ, который указывал на какие-то неполадки. Эрозия не могла служить основой для вывода о безопасности.
Нет совершенно никакого способа, за исключением полного понимания, обрести уверенность в том, что в следующий раз не возникнет эрозия, в три раза большая, чем та, что была в прошлый раз. Тем не менее, официальные лица обманывали сами себя, считая, что они обладают подобным пониманием и уверенностью, несмотря на своеобразные изменения, происходившие от случая к случаю. Для вычисления эрозии была создана математическая модель. Однако эта модель основывалась не на физическом понимании, а на вычерчивании по точкам эмпирической кривой. В частности, предполагалось, что струя горячего газа ударяется о материал кольца, а тепло определяется в точке застывания (согласно разумным физическим законам термодинамики). Но, чтобы определить, насколько глубоко эродировала резина, допускалось, что эрозия изменяется как 0,58 степень от тепла, причем число 0,58 было получено с помощью самой близкой точки эмпирической кривой. Как бы то ни было, при подгонке других чисел было найдено, что модель совпадает с эрозией (на глубину одной трети радиуса кольца). В этом анализе нет ничего более ужасного, чем вера в полученный результат! Неопределенности просто переполняют созданную модель. Невозможно было предсказать силу струи газа; она зависела от размера отверстий, образовавшихся в замазке. Прорыв газов показал, что кольцо могло отказать, несмотря на то, что эрозия поразила его лишь частично. Всем была известна неопределенность эмпирической формулы, так как кривая проходила не прямо через данные точки, посредством которых она была найдена. Точек было целое облако: некоторые располагались в два раза выше, другие в два раза ниже нашей кривой, так что, исходя уже из одной этой причины, можно было предсказать эрозии, в два раза большие. Подобные неопределенности существовали и в отношении других констант в формуле и т.д., и т.п. Однако при использовании математической модели на неопределенности, в ней заложенные, следует обращать особое внимание.
Основные двигатели космического шаттла (ОДКШ)
Во время полета 51-L все три основные двигателя шаттла работали идеально, даже начиная останавливаться в последние мгновения, когда началось прекращение подачи топлива. Однако возникает вопрос, обнаружили ли бы мы – в случае отказа двигателей и столь же детального расследования причины этого отказа нами, какое мы провели для твердотопливных ракета-носителей, – подобное отсутствие внимания к недостаткам и снижение критериев безопасности. Другими словами, ограничивались ли те слабые места организации, которые внесли свой вклад в катастрофу, только сектором твердотопливных ракета-носителей или их можно было назвать общей характеристикой НАСА? В этой связи были исследованы основные двигатели космического шаттла и авиационная электроника. Однако подобного исследования орбитальной ступени или внешнего топливного резервуара проведено не было.
Двигатель представляет собой гораздо более сложную структуру, чем твердотопливный ракета-носитель, так что он требует гораздо более детальных инженерных разработок. В общем, эти разработки производят впечатление высококачественных, и, судя по всему, значительное внимание уделяется недостаткам и нарушениям, обнаруженным в работе двигателя.
Обыкновенно такие двигатели создаются (для военной или гражданской авиации) в виде так называемой составной системы, или по методу проектирования «снизу вверх». Прежде всего, необходимо полностью понять свойства и ограничения материалов, которые будут использоваться (например, для лопаток турбины), для чего на экспериментальных установках проводят специальные испытания. По получении необходимой информации начинают проектировать и по отдельности проверять более крупные детали (такие как подшипники). По мере обнаружения недостатков и ошибок проектирования их исправляют и проверяют на следующем этапе испытаний. Поскольку испытывают только детали, то испытания и модификации обходятся не слишком дорого. Наконец, дело доходит до окончательной конструкции всего двигателя согласно заданным техническим условиям. К этому времени уже высока вероятность того, что двигатель будет работать нормально или что любые отказы можно будет с легкостью устранить и проанализировать, потому что виды отказа, ограничения материалов и тому подобное абсолютно ясны. Существует очень высокая вероятность того, что модификации, которые будут сделаны, чтобы устранить сложности, присутствующие в окончательной конструкции двигателя, окажутся не слишком трудоемкими, так как большая часть серьезных проблем уже была обнаружена и решена ранее, на более дешевых этапах процесса.
Основной двигатель космического шаттла был спроектирован иначе – «сверху вниз», так сказать. Все детали двигателя проектировались и составлялись в одно целое одновременно при относительно небольшом детальном предварительном изучении материалов и составляющих. Но сейчас, когда обнаруживаются неполадки в подшипниках, лопатках турбины, трубах для подачи охлаждающей жидкости и т.п., обнаружить причины всего этого и внести какие-то изменения гораздо сложнее и дороже. Например, на лопатках турбины кислородного турбонасоса высокого давления были обнаружены трещины. Вызваны ли они дефектами материала, влиянием кислородной атмосферы на свойства материала, температурными напряжениями, появляющимися при запуске или остановке, вибрациями и напряжением, создающимися в процессе нормальной работы, или, главным образом, неким резонансом, возникающим при определенных скоростях или чем-то еще? Сколько времени может работать насос от появления трещины до отказа по причине ее появления, и как это зависит от уровня мощности? Использовать весь двигатель в качестве испытательного стенда для разрешения подобных вопросов чрезвычайно дорого. Никто не желает терять целые двигатели, чтобы узнать, где и каким образом возникает проблема. Тем не менее, точное знание этого факта необходимо для появления уверенности в надежности двигателя при его использовании. Без полного понимания о такой уверенности не может быть и речи.
Следующий недостаток метода проектирования «сверху вниз» состоит в том, что, если достигнуто понимание неисправности, простое ее устранение – например, новая форма корпуса турбины – может оказаться невозможным без изменения конструкции всего двигателя.
Основной двигатель космического шаттла – совершенно замечательный механизм. Отношение силы тяги, создаваемой им, к его весу больше, чем у какого-либо предыдущего двигателя. Он создан на грани – за которую, в некоторых отношениях, даже выходит – предыдущего инженерного опыта. А потому, как и можно было ожидать, в нем присутствует много разнообразных недостатков и сложностей. И, поскольку, к несчастью, он был спроектирован по варианту «сверху вниз», эти недостатки сложно обнаружить и исправить. Цель создания двигателя со сроком службы, достаточным для выполнения 55 заданий (27 000 секунд работы либо в каждом задании длительностью по 500 секунд, либо на испытательном стенде), достигнута не была. Сейчас двигатель требует очень частого ремонта и замены важных деталей, таких как: турбонасосы, подшипники, корпуса из листового металла и т.п. Топливный турбонасос высокого давления нужно заменять через каждые три или четыре испытания, эквивалентные заданию (хотя эту проблему можно устранить), а кислородный турбонасос высокого давления – через каждые пять или шесть. Все это составляет максимум 10 процентов технических условий исходной конструкции. На самая главная наша забота – это определение надежности.
За 250 000 секунд работы основные двигатели отказывали, вероятно, раз 16. Инженеры уделяют особое внимание этим отказам и стараются исправить их максимально быстро с помощью изучения испытаний на специальных установках, спроектированных специально для рассматриваемого недостатка, а также тщательной проверки двигателя для обнаружения ключей, способных дать ответ (например, трещин), и их серьезного изучения и анализа. Таким образом, несмотря на сложности конструкции, спроектированной «сверху вниз», благодаря тяжелой работе, множество проблем, судя по всему, были решены.
Список некоторых проблем (и их состояния):
Трещины лопаток турбины в топливных турбонасосах высокого давления (ТТНВД). (Возможно, решена.)
Трещины лопаток турбины в кислородных турбонасосах высокого давления (КТНВД). (Не решена.)
Пробой линии форсажного искрового воспламенителя (ФИВ). (Возможно, решена.)
Отказ контрольного вентиля для выпуска газов. (Вероятно, решена.)
Эрозия корпуса ФИВ. (Вероятно, решена.)
Растрескивание листового металла корпуса турбины ТТНВД. (Вероятно, решена.)
Повреждение футеровки труб для охлаждения ТТНВД. (Вероятно, решена.)
Отказ выходного коленчатого патрубка основной камеры сгорания. (Вероятно, решена.)
Смещение сварного шва входного коленчатого патрубка основной камеры сгорания. (Вероятно, решена.)
Субсинхронный вихрь КТНВД. (Вероятно, решена.)
Система аварийного отключения ускорения полета (частичный отказ системы с резервированием). (Вероятно, решена.)
Растрескивание подшипников. (Частично решена.)
Вибрация с частотой 4 000 герц, которая приводит некоторые двигатели в нерабочее состояние. (Не решена.)
Многие из этих, на первый взгляд, решенных проблем были видны уже на ранних стадиях использования новой конструкции: 13 из них появились в первые 125 000 секунд эксплуатации двигателя и только 3 – во вторые 125 000 секунд. Естественно, никогда нельзя быть уверенным, что все недостатки устранены; однако, возможно, в отношении некоторых недостатков стремились устранить не ту причину. Вполне разумно предположить, что в следующие 250000 секунд может произойти, по крайней мере, один сюрприз: вероятность равна 1/500 на двигатель на задание. На одном задании присутствуют три двигателя, но возможно, что некоторые неполадки будут автономными и повлияют только на двигатель. (Шаттл может прервать выполнение задания всего с двумя двигателями.) Поэтому скажем, что неизвестные сюрпризы, сами по себе, не позволяют нам предположить, что вероятность невыполнения задания из-за отказа основных двигателей шаттла менее, чем 1/500. К этому мы должны добавить вероятность отказа, вызванного известными, но еще нерешенными проблемами. Эти проблемы мы рассмотрим ниже.
(Инженеры в Рокетдайне, где производятся двигатели, оценивают полную вероятность как 1/10 000. Инженеры в Маршалле оценивают ее как 1/300, тогда как руководство НАСА, которому эти инженеры отправляют свои отчеты, утверждает, что вероятность равна 1/100 000. Независимый инженер, дающий НАСА консультации, счел разумной оценкой 1 или 2 к 100.)
История принципов аттестации этих двигателей весьма запутана, поэтому ее сложно объяснить. Исходным правилом, судя по всему, было то, что два образца двигателя должны проработать безотказно в течение времени, в два раза превышающего аттестационное, после определения аттестационного времени работы двигателя (правило 2x). По крайней мере, такова практика ФУГА, и, судя по всему, первоначально она была принята и НАСА, которая ожидала, что аттестационное время будет равно 10 заданиям (соответственно, 20 заданиям на каждый образец). Очевидно, что лучшими двигателями, которые можно использовать для сравнения, были бы те, которые показали бы самое большое полное время работы (полет плюс испытания), так называемые лидеры воздушного флота. Но что если третий образец двигателя и несколько других выйдут из строя за короткое время? Естественно, мы не можем ожидать безопасности, потому что два предыдущих проработали необычно долго. Короткое время может оказаться более обычной характеристикой реальных возможностей, и в духе коэффициента безопасности, равного 2, мы должны рассчитывать только на половину того короткого времени, в течение которого работали последние образцы.
Медленный сдвиг в направлении снижения коэффициента безопасности можно увидеть во множестве примеров. Возьмем, например, лопатки турбины ТТНВД. Прежде всего, мысль о проверке всего двигателя была оставлена. Каждый двигатель состоит из множества важных деталей (как сами турбонасосы), которые заменяют через определенные промежутки времени, так что правило 2х нужно сдвигать от двигателей к их составляющим. Таким образом, мы принимаем ТТНВД для данного аттестационного времени, если два образца успешно проработали в течение времени, в два раза его превышающего (и, конечно же, на практике мы не настаиваем на том, чтобы это время равнялось 10 заданиям). Но что значит «успешно»? ФУГА называет трещину лопатки турбины отказом, чтобы на практике действительно обеспечить коэффициент безопасности, превышающий 2. Существует некоторый промежуток времени, в течение которого двигатель может работать, между временем зарождения трещины и ее увеличением до образования разлома. (ФУГА разрабатывает новые правила, которые учитывают это дополнительное время, обеспечивающее безопасность, но примет их только в том случае, если это время будет тщательно проанализировано с помощью известных моделей в пределах известного опыта и для основательно испытанных материалов. Ни одно из этих условий не относится к главным двигателям шаттла.)
Трещины были обнаружены на лопатках турбины многих ТТНВД второй ступени. В одном случае их обнаружили после 1 900 секунд работы, а в другом – только через 4 200 секунд, хотя обычно такие, более длительные периоды работы выказывали трещины гораздо раньше. Чтобы и дальше понимать, о чем идет речь, мы должны осознать, что напряжение очень сильно зависит от уровня мощности. Полет «Челленджера», как и предыдущие полеты, находился на уровне, названном как 104 процента от номинальной мощности, в течение большей части времени работы двигателей. Судя по некоторым данным документов, предполагается, что при 104 процентах номинальной мощности трещина образуется примерно в два раза позднее, чем при 109 процентах, или уровне полной мощности (УПЛ). Будущие полеты должны были выполняться при 109 процентах из-за более тяжелых полезных нагрузок, и очень многие испытания проводились именно при таком уровне мощности. Следовательно, при делении времени при 104 процентах номинальной мощности на 2 мы получаем единицы, которые называются эквивалентным уровнем полной мощности (ЭУПЛ). (Очевидно, что это вводит некоторую неопределенность, которая не была изучена.) Самые первые трещины, упомянутые выше, произошли в 1 375 секунд ЭУПЛ.
Правило аттестации гласит «ограничить все лопатки турбин второй ступени максимальным временем 1 375 секунд ЭУПЛ». Если кто-то возразит, что при этом теряется коэффициент безопасности, равный 2, то ему скажут, что одна турбина проработала в течение 3 800 секунд ЭУПЛ без трещин, половину же этого числа составляет 1 900, так что мы даже чрезмерно снижаем это время. Мы одурачили себя в трех отношениях. Во-первых, у нас есть только один образец, причем он не является лидером воздушного флота: у двух других образцов, проработавших 3 800 секунд ЭУПЛ или больше, были обнаружены 17 треснувших лопаток. (В каждом двигателе 59 лопаток.) Затем мы отказались от правила 2х и подставили равное время (1 375). И, наконец, время 1 375 – это время появления трещины. Мы можем сказать, что до наступления этого времени трещин обнаружено не было, но, когда мы смотрели в прошлый раз и не обнаружили трещин, это произошло при 1100 ЭУПЛ. Мы не знаем, в какое время между этими двумя моментами образовалась трещина. Например, трещины могли образоваться при 1 150 секундах ЭУПЛ. (Примерно две трети наборов лопаток, проверенных при времени, превышающем 1 375 секунд ЭУПЛ, имели трещины. Некоторые недавно проведенные эксперименты, действительно, показали трещины уже при 1 150 секундах.) Было важно не снижать это число, так как шаттл должен был использовать свои двигатели очень близко к их пределу ко времени окончания полета.
Наконец, несмотря на отказ от условия, принятого ФУГА, о том, что трещин быть не должно, утверждается, что от критериев никто не отказывался и что система является безопасной, причем отказом считается только полностью сломанная лопатка. С таким определением еще ни один двигатель не вышел из строя. Идея состоит в том, что, поскольку для превращения трещины в разлом нужно какое-то время, мы можем гарантировать безопасность, если проверим все лопатки на наличие трещин. При обнаружении последних нужно заменить лопатки; а если трещин обнаружено не было, то времени для безопасного выполнения задания у нас вполне достаточно. Таким образом, утверждается, что проблема трещин относится не к проблемам безопасности полета, а скорее к проблемам ремонта.
Быть может, это действительно так. Но насколько хорошо нам известно, что трещины всегда прогрессируют достаточно медленно, так что во время выполнения задания не произойдет разлома?
Три двигателя проработали в течение длительных периодов времени с несколькими треснутыми лопатками (около 3 000 секунд ЭУПЛ), но ни одна из них не сломалась.
Решение этой проблемы найти можно. При изменении формы лопатки, упрочнении ее поверхности с помощью дробеструйной операции и покрытии ее изоляцией в целях исключения термоудара новые лопатки трескались не так сильно.
Похожая ситуация просматривается и в истории аттестации КТНВД, но ее детали мы приводить не будем.
В итоге, очевидно, что смотры готовности полета и правила аттестации выказывают снижение критериев в отношении некоторых проблем основных двигателей космического шаттла, очень похожее на снижение, наблюдавшееся в отношении критериев для твердотопливных ракета-носителей.
Авиационная электроника
Под «авиационной электроникой» подразумевается как компьютерная система орбитальной ступени, так и ее входные сенсоры и выходные исполнительные органы. Сначала мы ограничимся исключительно компьютерами и не станем затрагивать надежность входной информации, поступающей от сенсоров температуры, давления и т.п., а также тот факт, точно ли исполнительные органы запуска ракет, механического управления, дисплеев астронавтов и т.п. следуют командам компьютера.
Вычислительный комплекс очень сложен и содержит более 250000 строк программы. Помимо всего прочего, он отвечает за полный автоматический подъем шаттла на орбиту и за его возвращение в атмосферу до момента выбора кнопки, которая определяет желаемое место посадки. Автоматизировать можно было бы всю посадку. (Сигнал, по которому опускаются шасси, был намеренно выведен из-под контроля компьютера, его должен подавать пилот, явно по причинам безопасности.) Во время орбитального полета вычислительная система используется для контроля полезной нагрузки, выведения нужной информации на дисплеи астронавтов и обмена информацией с Землей. Совершенно очевидно, что безопасность полета требует гарантированной точности этой сложной системы программного и аппаратного обеспечения компьютеров.
Короче говоря, надежность аппаратного обеспечения гарантируется наличием четырех, в сущности, независимых идентичных компьютерных систем. Везде, где это возможно, каждый сенсор также имеет несколько копий – обычно четыре, – и каждая копия передает информацию во все четыре серии компьютеров. Если входные сигналы сенсоров не согласуются между собой, то в качестве действующего входного сигнала используется либо определенная средняя величина, либо отбор по принципу большинства, в зависимости от обстоятельств. Поскольку каждый компьютер видит все копии сенсоров, все входные данные и все алгоритмы, согласно которым работает каждый из четырех компьютеров, одинаковы, то результаты, которые получает каждый компьютер, должны быть идентичны на каждом этапе его работы. Время от времени их сравнивают, но, поскольку компьютеры работают с несколько разными скоростями, подключается система остановок и ожиданий в течение определенного времени, после чего и проводится сравнение. Если один из компьютеров выдает не согласующиеся с остальными данные или вообще запаздывает с выдачей ответа, ответ трех других компьютеров, в случае их согласия, считается правильным, и компьютер, который ошибся, изолируется от остальной системы. Теперь, если из строя выйдет другой компьютер, по суждению двух оставшихся, то и он исключается из системы, а полет прекращается: осуществляется возвращение на место приземления, которое происходит под управлением двух оставшихся компьютеров. Совершенно ясно, что это система с резервированием, так как выход из строя одного компьютера не оказывает никакого влияния на выполнение задания. И наконец, в качестве дополнительной гарантии безопасности, существует пятый независимый компьютер, в памяти которого хранятся только программы подъема и спуска и который способен управлять спуском, даже если из строя выйдут более, чем два основных компьютера.
В памяти основных компьютеров не хватает места для всех программ подъема, спуска и полезной нагрузки на весь полет, поэтому астронавты четыре раза загружают память с кассет.
Я не буду повторять здесь историю смотров готовности полета и его оценки (см. другие части отчета комиссии), но феномен принятия уплотнений, которые выказали эрозию и прорыв газов при предыдущих полетах, – совершен очевиден. Полет «Челленджера» – превосходный пример: есть несколько ссылок на предыдущие полеты; принятие и успех этих полетов принимаются в качестве доказательства надежности всех последующих. Однако эрозия и прорыв газов конструкцией шаттла не предусмотрены.
Они предупреждают о том, что что-то не в порядке. Оборудование работает не так, как должно, а потому существует опасность того, что оно начнет работать с еще большими отклонениями, совершенно неожиданным и не до конца понятым образом. Тот факт, что ранее это не привело к катастрофе, не гарантирует, что катастрофа не произойдет в следующий раз, если только все это не будет понято до конца. При игре в русскую рулетку тот факт, что при первом нажатии на курок выстрела не последовало, ничуть не гарантирует того, что его не последует и при повторном нажатии на курок. Происхождение и следствия эрозии и прорыва газов не были поняты. Эрозия и прорыв газов не были одинаковыми во всех полетах и во всех стыках: иногда они были сильнее, иногда слабее. Почему не могло случиться так, что однажды, когда определяющие эти явления условия оказались подходящими, произошло их усиление, которое и привело к катастрофе?
Несмотря на эти изменения, которые происходили от случая к случаю, официальные лица вели себя так, словно они все понимают, приводя друг другу, на первый взгляд, логичные аргументы – зачастую ссылаясь на «успех» предыдущих полетов. Например, при определении, насколько безопасно осуществить полет 51-L в виду эрозии кольца во время полета 51-С, было замечено, что глубина эрозии была равна лишь одной трети его радиуса. Во время эксперимента, когда кольцо разрезали, обнаружилось, что разрезание кольца на глубину радиуса необходимо до его выхода из строя. Вместо того, чтобы начать беспокоиться из-за того, что изменения плохо понятых условий на этот раз вполне могут создать более глубокую эрозию, утверждалось, что «коэффициент безопасности равен трем».
Это весьма странный метод использования инженерного термина «коэффициент безопасности». Если мост строят для того, чтобы он выдерживал определенную нагрузку и чтобы его балки при этом не испытывали постоянную деформацию, не трескались и не ломались, то его могут спроектировать так, чтобы используемые материалы выдерживали нагрузку, фактически в три раза большую. Этот «коэфициент безопасности» необходим, чтобы учесть неопределенные превышения нагрузки, неизвестные перегрузки или слабые места материала, который может иметь непредвиденные дефекты и прочее. Но если новый мост подвергается ожидаемой нагрузке и на балке при этом появляется трещина, то это недостаток конструкции. В этом случае ни о каком коэффициенте безопасности не может быть и речи, даже несмотря на то, что мост не развалился, потому что балка треснула только на одну треть диаметра. В конструкции колец твердотопливных ракета-носителей эрозия не предусматривалась. Эрозия являла собой ключ, который указывал на какие-то неполадки. Эрозия не могла служить основой для вывода о безопасности.
Нет совершенно никакого способа, за исключением полного понимания, обрести уверенность в том, что в следующий раз не возникнет эрозия, в три раза большая, чем та, что была в прошлый раз. Тем не менее, официальные лица обманывали сами себя, считая, что они обладают подобным пониманием и уверенностью, несмотря на своеобразные изменения, происходившие от случая к случаю. Для вычисления эрозии была создана математическая модель. Однако эта модель основывалась не на физическом понимании, а на вычерчивании по точкам эмпирической кривой. В частности, предполагалось, что струя горячего газа ударяется о материал кольца, а тепло определяется в точке застывания (согласно разумным физическим законам термодинамики). Но, чтобы определить, насколько глубоко эродировала резина, допускалось, что эрозия изменяется как 0,58 степень от тепла, причем число 0,58 было получено с помощью самой близкой точки эмпирической кривой. Как бы то ни было, при подгонке других чисел было найдено, что модель совпадает с эрозией (на глубину одной трети радиуса кольца). В этом анализе нет ничего более ужасного, чем вера в полученный результат! Неопределенности просто переполняют созданную модель. Невозможно было предсказать силу струи газа; она зависела от размера отверстий, образовавшихся в замазке. Прорыв газов показал, что кольцо могло отказать, несмотря на то, что эрозия поразила его лишь частично. Всем была известна неопределенность эмпирической формулы, так как кривая проходила не прямо через данные точки, посредством которых она была найдена. Точек было целое облако: некоторые располагались в два раза выше, другие в два раза ниже нашей кривой, так что, исходя уже из одной этой причины, можно было предсказать эрозии, в два раза большие. Подобные неопределенности существовали и в отношении других констант в формуле и т.д., и т.п. Однако при использовании математической модели на неопределенности, в ней заложенные, следует обращать особое внимание.
Основные двигатели космического шаттла (ОДКШ)
Во время полета 51-L все три основные двигателя шаттла работали идеально, даже начиная останавливаться в последние мгновения, когда началось прекращение подачи топлива. Однако возникает вопрос, обнаружили ли бы мы – в случае отказа двигателей и столь же детального расследования причины этого отказа нами, какое мы провели для твердотопливных ракета-носителей, – подобное отсутствие внимания к недостаткам и снижение критериев безопасности. Другими словами, ограничивались ли те слабые места организации, которые внесли свой вклад в катастрофу, только сектором твердотопливных ракета-носителей или их можно было назвать общей характеристикой НАСА? В этой связи были исследованы основные двигатели космического шаттла и авиационная электроника. Однако подобного исследования орбитальной ступени или внешнего топливного резервуара проведено не было.
Двигатель представляет собой гораздо более сложную структуру, чем твердотопливный ракета-носитель, так что он требует гораздо более детальных инженерных разработок. В общем, эти разработки производят впечатление высококачественных, и, судя по всему, значительное внимание уделяется недостаткам и нарушениям, обнаруженным в работе двигателя.
Обыкновенно такие двигатели создаются (для военной или гражданской авиации) в виде так называемой составной системы, или по методу проектирования «снизу вверх». Прежде всего, необходимо полностью понять свойства и ограничения материалов, которые будут использоваться (например, для лопаток турбины), для чего на экспериментальных установках проводят специальные испытания. По получении необходимой информации начинают проектировать и по отдельности проверять более крупные детали (такие как подшипники). По мере обнаружения недостатков и ошибок проектирования их исправляют и проверяют на следующем этапе испытаний. Поскольку испытывают только детали, то испытания и модификации обходятся не слишком дорого. Наконец, дело доходит до окончательной конструкции всего двигателя согласно заданным техническим условиям. К этому времени уже высока вероятность того, что двигатель будет работать нормально или что любые отказы можно будет с легкостью устранить и проанализировать, потому что виды отказа, ограничения материалов и тому подобное абсолютно ясны. Существует очень высокая вероятность того, что модификации, которые будут сделаны, чтобы устранить сложности, присутствующие в окончательной конструкции двигателя, окажутся не слишком трудоемкими, так как большая часть серьезных проблем уже была обнаружена и решена ранее, на более дешевых этапах процесса.
Основной двигатель космического шаттла был спроектирован иначе – «сверху вниз», так сказать. Все детали двигателя проектировались и составлялись в одно целое одновременно при относительно небольшом детальном предварительном изучении материалов и составляющих. Но сейчас, когда обнаруживаются неполадки в подшипниках, лопатках турбины, трубах для подачи охлаждающей жидкости и т.п., обнаружить причины всего этого и внести какие-то изменения гораздо сложнее и дороже. Например, на лопатках турбины кислородного турбонасоса высокого давления были обнаружены трещины. Вызваны ли они дефектами материала, влиянием кислородной атмосферы на свойства материала, температурными напряжениями, появляющимися при запуске или остановке, вибрациями и напряжением, создающимися в процессе нормальной работы, или, главным образом, неким резонансом, возникающим при определенных скоростях или чем-то еще? Сколько времени может работать насос от появления трещины до отказа по причине ее появления, и как это зависит от уровня мощности? Использовать весь двигатель в качестве испытательного стенда для разрешения подобных вопросов чрезвычайно дорого. Никто не желает терять целые двигатели, чтобы узнать, где и каким образом возникает проблема. Тем не менее, точное знание этого факта необходимо для появления уверенности в надежности двигателя при его использовании. Без полного понимания о такой уверенности не может быть и речи.
Следующий недостаток метода проектирования «сверху вниз» состоит в том, что, если достигнуто понимание неисправности, простое ее устранение – например, новая форма корпуса турбины – может оказаться невозможным без изменения конструкции всего двигателя.
Основной двигатель космического шаттла – совершенно замечательный механизм. Отношение силы тяги, создаваемой им, к его весу больше, чем у какого-либо предыдущего двигателя. Он создан на грани – за которую, в некоторых отношениях, даже выходит – предыдущего инженерного опыта. А потому, как и можно было ожидать, в нем присутствует много разнообразных недостатков и сложностей. И, поскольку, к несчастью, он был спроектирован по варианту «сверху вниз», эти недостатки сложно обнаружить и исправить. Цель создания двигателя со сроком службы, достаточным для выполнения 55 заданий (27 000 секунд работы либо в каждом задании длительностью по 500 секунд, либо на испытательном стенде), достигнута не была. Сейчас двигатель требует очень частого ремонта и замены важных деталей, таких как: турбонасосы, подшипники, корпуса из листового металла и т.п. Топливный турбонасос высокого давления нужно заменять через каждые три или четыре испытания, эквивалентные заданию (хотя эту проблему можно устранить), а кислородный турбонасос высокого давления – через каждые пять или шесть. Все это составляет максимум 10 процентов технических условий исходной конструкции. На самая главная наша забота – это определение надежности.
За 250 000 секунд работы основные двигатели отказывали, вероятно, раз 16. Инженеры уделяют особое внимание этим отказам и стараются исправить их максимально быстро с помощью изучения испытаний на специальных установках, спроектированных специально для рассматриваемого недостатка, а также тщательной проверки двигателя для обнаружения ключей, способных дать ответ (например, трещин), и их серьезного изучения и анализа. Таким образом, несмотря на сложности конструкции, спроектированной «сверху вниз», благодаря тяжелой работе, множество проблем, судя по всему, были решены.
Список некоторых проблем (и их состояния):
Трещины лопаток турбины в топливных турбонасосах высокого давления (ТТНВД). (Возможно, решена.)
Трещины лопаток турбины в кислородных турбонасосах высокого давления (КТНВД). (Не решена.)
Пробой линии форсажного искрового воспламенителя (ФИВ). (Возможно, решена.)
Отказ контрольного вентиля для выпуска газов. (Вероятно, решена.)
Эрозия корпуса ФИВ. (Вероятно, решена.)
Растрескивание листового металла корпуса турбины ТТНВД. (Вероятно, решена.)
Повреждение футеровки труб для охлаждения ТТНВД. (Вероятно, решена.)
Отказ выходного коленчатого патрубка основной камеры сгорания. (Вероятно, решена.)
Смещение сварного шва входного коленчатого патрубка основной камеры сгорания. (Вероятно, решена.)
Субсинхронный вихрь КТНВД. (Вероятно, решена.)
Система аварийного отключения ускорения полета (частичный отказ системы с резервированием). (Вероятно, решена.)
Растрескивание подшипников. (Частично решена.)
Вибрация с частотой 4 000 герц, которая приводит некоторые двигатели в нерабочее состояние. (Не решена.)
Многие из этих, на первый взгляд, решенных проблем были видны уже на ранних стадиях использования новой конструкции: 13 из них появились в первые 125 000 секунд эксплуатации двигателя и только 3 – во вторые 125 000 секунд. Естественно, никогда нельзя быть уверенным, что все недостатки устранены; однако, возможно, в отношении некоторых недостатков стремились устранить не ту причину. Вполне разумно предположить, что в следующие 250000 секунд может произойти, по крайней мере, один сюрприз: вероятность равна 1/500 на двигатель на задание. На одном задании присутствуют три двигателя, но возможно, что некоторые неполадки будут автономными и повлияют только на двигатель. (Шаттл может прервать выполнение задания всего с двумя двигателями.) Поэтому скажем, что неизвестные сюрпризы, сами по себе, не позволяют нам предположить, что вероятность невыполнения задания из-за отказа основных двигателей шаттла менее, чем 1/500. К этому мы должны добавить вероятность отказа, вызванного известными, но еще нерешенными проблемами. Эти проблемы мы рассмотрим ниже.
(Инженеры в Рокетдайне, где производятся двигатели, оценивают полную вероятность как 1/10 000. Инженеры в Маршалле оценивают ее как 1/300, тогда как руководство НАСА, которому эти инженеры отправляют свои отчеты, утверждает, что вероятность равна 1/100 000. Независимый инженер, дающий НАСА консультации, счел разумной оценкой 1 или 2 к 100.)
История принципов аттестации этих двигателей весьма запутана, поэтому ее сложно объяснить. Исходным правилом, судя по всему, было то, что два образца двигателя должны проработать безотказно в течение времени, в два раза превышающего аттестационное, после определения аттестационного времени работы двигателя (правило 2x). По крайней мере, такова практика ФУГА, и, судя по всему, первоначально она была принята и НАСА, которая ожидала, что аттестационное время будет равно 10 заданиям (соответственно, 20 заданиям на каждый образец). Очевидно, что лучшими двигателями, которые можно использовать для сравнения, были бы те, которые показали бы самое большое полное время работы (полет плюс испытания), так называемые лидеры воздушного флота. Но что если третий образец двигателя и несколько других выйдут из строя за короткое время? Естественно, мы не можем ожидать безопасности, потому что два предыдущих проработали необычно долго. Короткое время может оказаться более обычной характеристикой реальных возможностей, и в духе коэффициента безопасности, равного 2, мы должны рассчитывать только на половину того короткого времени, в течение которого работали последние образцы.
Медленный сдвиг в направлении снижения коэффициента безопасности можно увидеть во множестве примеров. Возьмем, например, лопатки турбины ТТНВД. Прежде всего, мысль о проверке всего двигателя была оставлена. Каждый двигатель состоит из множества важных деталей (как сами турбонасосы), которые заменяют через определенные промежутки времени, так что правило 2х нужно сдвигать от двигателей к их составляющим. Таким образом, мы принимаем ТТНВД для данного аттестационного времени, если два образца успешно проработали в течение времени, в два раза его превышающего (и, конечно же, на практике мы не настаиваем на том, чтобы это время равнялось 10 заданиям). Но что значит «успешно»? ФУГА называет трещину лопатки турбины отказом, чтобы на практике действительно обеспечить коэффициент безопасности, превышающий 2. Существует некоторый промежуток времени, в течение которого двигатель может работать, между временем зарождения трещины и ее увеличением до образования разлома. (ФУГА разрабатывает новые правила, которые учитывают это дополнительное время, обеспечивающее безопасность, но примет их только в том случае, если это время будет тщательно проанализировано с помощью известных моделей в пределах известного опыта и для основательно испытанных материалов. Ни одно из этих условий не относится к главным двигателям шаттла.)
Трещины были обнаружены на лопатках турбины многих ТТНВД второй ступени. В одном случае их обнаружили после 1 900 секунд работы, а в другом – только через 4 200 секунд, хотя обычно такие, более длительные периоды работы выказывали трещины гораздо раньше. Чтобы и дальше понимать, о чем идет речь, мы должны осознать, что напряжение очень сильно зависит от уровня мощности. Полет «Челленджера», как и предыдущие полеты, находился на уровне, названном как 104 процента от номинальной мощности, в течение большей части времени работы двигателей. Судя по некоторым данным документов, предполагается, что при 104 процентах номинальной мощности трещина образуется примерно в два раза позднее, чем при 109 процентах, или уровне полной мощности (УПЛ). Будущие полеты должны были выполняться при 109 процентах из-за более тяжелых полезных нагрузок, и очень многие испытания проводились именно при таком уровне мощности. Следовательно, при делении времени при 104 процентах номинальной мощности на 2 мы получаем единицы, которые называются эквивалентным уровнем полной мощности (ЭУПЛ). (Очевидно, что это вводит некоторую неопределенность, которая не была изучена.) Самые первые трещины, упомянутые выше, произошли в 1 375 секунд ЭУПЛ.
Правило аттестации гласит «ограничить все лопатки турбин второй ступени максимальным временем 1 375 секунд ЭУПЛ». Если кто-то возразит, что при этом теряется коэффициент безопасности, равный 2, то ему скажут, что одна турбина проработала в течение 3 800 секунд ЭУПЛ без трещин, половину же этого числа составляет 1 900, так что мы даже чрезмерно снижаем это время. Мы одурачили себя в трех отношениях. Во-первых, у нас есть только один образец, причем он не является лидером воздушного флота: у двух других образцов, проработавших 3 800 секунд ЭУПЛ или больше, были обнаружены 17 треснувших лопаток. (В каждом двигателе 59 лопаток.) Затем мы отказались от правила 2х и подставили равное время (1 375). И, наконец, время 1 375 – это время появления трещины. Мы можем сказать, что до наступления этого времени трещин обнаружено не было, но, когда мы смотрели в прошлый раз и не обнаружили трещин, это произошло при 1100 ЭУПЛ. Мы не знаем, в какое время между этими двумя моментами образовалась трещина. Например, трещины могли образоваться при 1 150 секундах ЭУПЛ. (Примерно две трети наборов лопаток, проверенных при времени, превышающем 1 375 секунд ЭУПЛ, имели трещины. Некоторые недавно проведенные эксперименты, действительно, показали трещины уже при 1 150 секундах.) Было важно не снижать это число, так как шаттл должен был использовать свои двигатели очень близко к их пределу ко времени окончания полета.
Наконец, несмотря на отказ от условия, принятого ФУГА, о том, что трещин быть не должно, утверждается, что от критериев никто не отказывался и что система является безопасной, причем отказом считается только полностью сломанная лопатка. С таким определением еще ни один двигатель не вышел из строя. Идея состоит в том, что, поскольку для превращения трещины в разлом нужно какое-то время, мы можем гарантировать безопасность, если проверим все лопатки на наличие трещин. При обнаружении последних нужно заменить лопатки; а если трещин обнаружено не было, то времени для безопасного выполнения задания у нас вполне достаточно. Таким образом, утверждается, что проблема трещин относится не к проблемам безопасности полета, а скорее к проблемам ремонта.
Быть может, это действительно так. Но насколько хорошо нам известно, что трещины всегда прогрессируют достаточно медленно, так что во время выполнения задания не произойдет разлома?
Три двигателя проработали в течение длительных периодов времени с несколькими треснутыми лопатками (около 3 000 секунд ЭУПЛ), но ни одна из них не сломалась.
Решение этой проблемы найти можно. При изменении формы лопатки, упрочнении ее поверхности с помощью дробеструйной операции и покрытии ее изоляцией в целях исключения термоудара новые лопатки трескались не так сильно.
Похожая ситуация просматривается и в истории аттестации КТНВД, но ее детали мы приводить не будем.
В итоге, очевидно, что смотры готовности полета и правила аттестации выказывают снижение критериев в отношении некоторых проблем основных двигателей космического шаттла, очень похожее на снижение, наблюдавшееся в отношении критериев для твердотопливных ракета-носителей.
Авиационная электроника
Под «авиационной электроникой» подразумевается как компьютерная система орбитальной ступени, так и ее входные сенсоры и выходные исполнительные органы. Сначала мы ограничимся исключительно компьютерами и не станем затрагивать надежность входной информации, поступающей от сенсоров температуры, давления и т.п., а также тот факт, точно ли исполнительные органы запуска ракет, механического управления, дисплеев астронавтов и т.п. следуют командам компьютера.
Вычислительный комплекс очень сложен и содержит более 250000 строк программы. Помимо всего прочего, он отвечает за полный автоматический подъем шаттла на орбиту и за его возвращение в атмосферу до момента выбора кнопки, которая определяет желаемое место посадки. Автоматизировать можно было бы всю посадку. (Сигнал, по которому опускаются шасси, был намеренно выведен из-под контроля компьютера, его должен подавать пилот, явно по причинам безопасности.) Во время орбитального полета вычислительная система используется для контроля полезной нагрузки, выведения нужной информации на дисплеи астронавтов и обмена информацией с Землей. Совершенно очевидно, что безопасность полета требует гарантированной точности этой сложной системы программного и аппаратного обеспечения компьютеров.
Короче говоря, надежность аппаратного обеспечения гарантируется наличием четырех, в сущности, независимых идентичных компьютерных систем. Везде, где это возможно, каждый сенсор также имеет несколько копий – обычно четыре, – и каждая копия передает информацию во все четыре серии компьютеров. Если входные сигналы сенсоров не согласуются между собой, то в качестве действующего входного сигнала используется либо определенная средняя величина, либо отбор по принципу большинства, в зависимости от обстоятельств. Поскольку каждый компьютер видит все копии сенсоров, все входные данные и все алгоритмы, согласно которым работает каждый из четырех компьютеров, одинаковы, то результаты, которые получает каждый компьютер, должны быть идентичны на каждом этапе его работы. Время от времени их сравнивают, но, поскольку компьютеры работают с несколько разными скоростями, подключается система остановок и ожиданий в течение определенного времени, после чего и проводится сравнение. Если один из компьютеров выдает не согласующиеся с остальными данные или вообще запаздывает с выдачей ответа, ответ трех других компьютеров, в случае их согласия, считается правильным, и компьютер, который ошибся, изолируется от остальной системы. Теперь, если из строя выйдет другой компьютер, по суждению двух оставшихся, то и он исключается из системы, а полет прекращается: осуществляется возвращение на место приземления, которое происходит под управлением двух оставшихся компьютеров. Совершенно ясно, что это система с резервированием, так как выход из строя одного компьютера не оказывает никакого влияния на выполнение задания. И наконец, в качестве дополнительной гарантии безопасности, существует пятый независимый компьютер, в памяти которого хранятся только программы подъема и спуска и который способен управлять спуском, даже если из строя выйдут более, чем два основных компьютера.
В памяти основных компьютеров не хватает места для всех программ подъема, спуска и полезной нагрузки на весь полет, поэтому астронавты четыре раза загружают память с кассет.