Ричард Фейнман - Какое ТЕБЕ дело до того, что думают другие?
(Инженеры в Рокетдайне, где производятся двигатели, оценивают полную вероятность как 1/10 000. Инженеры в Маршалле оценивают ее как 1/300, тогда как руководство НАСА, которому эти инженеры отправляют свои отчеты, утверждает, что вероятность равна 1/100 000. Независимый инженер, дающий НАСА консультации, счел разумной оценкой 1 или 2 к 100.)
История принципов аттестации этих двигателей весьма запутана, поэтому ее сложно объяснить. Исходным правилом, судя по всему, было то, что два образца двигателя должны проработать безотказно в течение времени, в два раза превышающего аттестационное, после определения аттестационного времени работы двигателя (правило 2x). По крайней мере, такова практика ФУГА, и, судя по всему, первоначально она была принята и НАСА, которая ожидала, что аттестационное время будет равно 10 заданиям (соответственно, 20 заданиям на каждый образец). Очевидно, что лучшими двигателями, которые можно использовать для сравнения, были бы те, которые показали бы самое большое полное время работы (полет плюс испытания), так называемые лидеры воздушного флота. Но что если третий образец двигателя и несколько других выйдут из строя за короткое время? Естественно, мы не можем ожидать безопасности, потому что два предыдущих проработали необычно долго. Короткое время может оказаться более обычной характеристикой реальных возможностей, и в духе коэффициента безопасности, равного 2, мы должны рассчитывать только на половину того короткого времени, в течение которого работали последние образцы.
Медленный сдвиг в направлении снижения коэффициента безопасности можно увидеть во множестве примеров. Возьмем, например, лопатки турбины ТТНВД. Прежде всего, мысль о проверке всего двигателя была оставлена. Каждый двигатель состоит из множества важных деталей (как сами турбонасосы), которые заменяют через определенные промежутки времени, так что правило 2x нужно сдвигать от двигателей к их составляющим. Таким образом, мы принимаем ТТНВД для данного аттестационного времени, если два образца успешно проработали в течение времени, в два раза его превышающего (и, конечно же, на практике мы не настаиваем на том, чтобы это время равнялось 10 заданиям). Но что значит «успешно»? ФУГА называет трещину лопатки турбины отказом, чтобы на практике действительно обеспечить коэффициент безопасности, превышающий 2. Существует некоторый промежуток времени, в течение которого двигатель может работать, между временем зарождения трещины и ее увеличением до образования разлома. (ФУГА разрабатывает новые правила, которые учитывают это дополнительное время, обеспечивающее безопасность, но примет их только в том случае, если это время будет тщательно проанализировано с помощью известных моделей в пределах известного опыта и для основательно испытанных материалов. Ни одно из этих условий не относится к главным двигателям шаттла.)
Трещины были обнаружены на лопатках турбины многих ТТНВД второй ступени. В одном случае их обнаружили после 1 900 секунд работы, а в другом — только через 4 200 секунд, хотя обычно такие, более длительные периоды работы выказывали трещины гораздо раньше. Чтобы и дальше понимать, о чем идет речь, мы должны осознать, что напряжение очень сильно зависит от уровня мощности. Полет «Челленджера», как и предыдущие полеты, находился на уровне, названном как 104 процента от номинальной мощности, в течение большей части времени работы двигателей. Судя по некоторым данным документов, предполагается, что при 104 процентах номинальной мощности трещина образуется примерно в два раза позднее, чем при 109 процентах, или уровне полной мощности (УПЛ). Будущие полеты должны были выполняться при 109 процентах из-за более тяжелых полезных нагрузок, и очень многие испытания проводились именно при таком уровне мощности. Следовательно, при делении времени при 104 процентах номинальной мощности на 2 мы получаем единицы, которые называются эквивалентным уровнем полной мощности (ЭУПЛ). (Очевидно, что это вводит некоторую неопределенность, которая не была изучена.) Самые первые трещины, упомянутые выше, произошли в 1 375 секунд ЭУПЛ.
Правило аттестации гласит «ограничить все лопатки турбин второй ступени максимальным временем 1 375 секунд ЭУПЛ». Если кто-то возразит, что при этом теряется коэффициент безопасности, равный 2, то ему скажут, что одна турбина проработала в течение 3 800 секунд ЭУПЛ без трещин, половину же этого числа составляет 1 900, так что мы даже чрезмерно снижаем это время. Мы одурачили себя в трех отношениях. Во-первых, у нас есть только один образец, причем он не является лидером воздушного флота: у двух других образцов, проработавших 3 800 секунд ЭУПЛ или больше, были обнаружены 17 треснувших лопаток. (В каждом двигателе 59 лопаток.) Затем мы отказались от правила 2x и подставили равное время (1 375). И, наконец, время 1 375 — это время появления трещины. Мы можем сказать, что до наступления этого времени трещин обнаружено не было, но, когда мы смотрели в прошлый раз и не обнаружили трещин, это произошло при 1100 ЭУПЛ. Мы не знаем, в какое время между этими двумя моментами образовалась трещина. Например, трещины могли образоваться при 1 150 секундах ЭУПЛ. (Примерно две трети наборов лопаток, проверенных при времени, превышающем 1 375 секунд ЭУПЛ, имели трещины. Некоторые недавно проведенные эксперименты, действительно, показали трещины уже при 1 150 секундах.) Было важно не снижать это число, так как шаттл должен был использовать свои двигатели очень близко к их пределу ко времени окончания полета.
Наконец, несмотря на отказ от условия, принятого ФУГА, о том, что трещин быть не должно, утверждается, что от критериев никто не отказывался и что система является безопасной, причем отказом считается только полностью сломанная лопатка. С таким определением еще ни один двигатель не вышел из строя. Идея состоит в том, что, поскольку для превращения трещины в разлом нужно какое-то время, мы можем гарантировать безопасность, если проверим все лопатки на наличие трещин. При обнаружении последних нужно заменить лопатки; а если трещин обнаружено не было, то времени для безопасного выполнения задания у нас вполне достаточно. Таким образом, утверждается, что проблема трещин относится не к проблемам безопасности полета, а скорее к проблемам ремонта.
Быть может, это действительно так. Но насколько хорошо нам известно, что трещины всегда прогрессируют достаточно медленно, так что во время выполнения задания не произойдет разлома?
Три двигателя проработали в течение длительных периодов времени с несколькими треснутыми лопатками (около 3 000 секунд ЭУПЛ), но ни одна из них не сломалась.
Решение этой проблемы найти можно. При изменении формы лопатки, упрочнении ее поверхности с помощью дробеструйной операции и покрытии ее изоляцией в целях исключения термоудара новые лопатки трескались не так сильно.
Похожая ситуация просматривается и в истории аттестации КТНВД, но ее детали мы приводить не будем.
В итоге, очевидно, что смотры готовности полета и правила аттестации выказывают снижение критериев в отношении некоторых проблем основных двигателей космического шаттла, очень похожее на снижение, наблюдавшееся в отношении критериев для твердотопливных ракета-носителей.
Авиационная электроника
Под «авиационной электроникой» подразумевается как компьютерная система орбитальной ступени, так и ее входные сенсоры и выходные исполнительные органы. Сначала мы ограничимся исключительно компьютерами и не станем затрагивать надежность входной информации, поступающей от сенсоров температуры, давления и т.п., а также тот факт, точно ли исполнительные органы запуска ракет, механического управления, дисплеев астронавтов и т.п. следуют командам компьютера.
Вычислительный комплекс очень сложен и содержит более 250000 строк программы. Помимо всего прочего, он отвечает за полный автоматический подъем шаттла на орбиту и за его возвращение в атмосферу до момента выбора кнопки, которая определяет желаемое место посадки. Автоматизировать можно было бы всю посадку. (Сигнал, по которому опускаются шасси, был намеренно выведен из-под контроля компьютера, его должен подавать пилот, явно по причинам безопасности.) Во время орбитального полета вычислительная система используется для контроля полезной нагрузки, выведения нужной информации на дисплеи астронавтов и обмена информацией с Землей. Совершенно очевидно, что безопасность полета требует гарантированной точности этой сложной системы программного и аппаратного обеспечения компьютеров.
Короче говоря, надежность аппаратного обеспечения гарантируется наличием четырех, в сущности, независимых идентичных компьютерных систем. Везде, где это возможно, каждый сенсор также имеет несколько копий — обычно четыре, — и каждая копия передает информацию во все четыре серии компьютеров. Если входные сигналы сенсоров не согласуются между собой, то в качестве действующего входного сигнала используется либо определенная средняя величина, либо отбор по принципу большинства, в зависимости от обстоятельств. Поскольку каждый компьютер видит все копии сенсоров, все входные данные и все алгоритмы, согласно которым работает каждый из четырех компьютеров, одинаковы, то результаты, которые получает каждый компьютер, должны быть идентичны на каждом этапе его работы. Время от времени их сравнивают, но, поскольку компьютеры работают с несколько разными скоростями, подключается система остановок и ожиданий в течение определенного времени, после чего и проводится сравнение. Если один из компьютеров выдает не согласующиеся с остальными данные или вообще запаздывает с выдачей ответа, ответ трех других компьютеров, в случае их согласия, считается правильным, и компьютер, который ошибся, изолируется от остальной системы. Теперь, если из строя выйдет другой компьютер, по суждению двух оставшихся, то и он исключается из системы, а полет прекращается: осуществляется возвращение на место приземления, которое происходит под управлением двух оставшихся компьютеров. Совершенно ясно, что это система с резервированием, так как выход из строя одного компьютера не оказывает никакого влияния на выполнение задания. И наконец, в качестве дополнительной гарантии безопасности, существует пятый независимый компьютер, в памяти которого хранятся только программы подъема и спуска и который способен управлять спуском, даже если из строя выйдут более, чем два основных компьютера.