Радость познания
Шрифт:
История принципов сертификации для этих двигателей весьма запутанна и труднообъяснима. Первоначально правило для двух работающих машин гласило, что каждая должна работать без сбоев за сертификационное время работы («правило двух»). По крайней мере это правило исходит из Федерального авиационного агентства, и НАСА усвоила его, предлагая исходное сертификационное время, равное 10 полетам (то есть 20 полетов для каждой машины). Очевидно, что самыми лучшими используемыми двигателями окажутся при сравнении те, у которых наибольшее время работы (полет плюс испытания) — так называемые эксплуатационные лидеры. Но что, если третий образец и несколько других разрушатся за короткое время? Безусловно, мы не можем находиться в безопасности только благодаря двум необычно долго прожившим двигателям. Короткое время больше отвечает реальным возможностям, и, несмотря на фактор безопасности 2, мы должны работать только половину времени короткоживущих образцов.
Медленный
Трещины обнаруживаются в турбинных лопастях через много секунд. В одном случае были обнаружены три трещины через 1900 секунд, а в другом случае не обнаружили ни одной через 4200 секунд, хотя при более длительной работе вероятность возникновения трещин выше. Чтобы проследить за ситуацией, представим, что напряжение зависит от уровня мощности. Полет «Челленджера», как и предыдущий полет, происходил на уровне 104 % от проектной мощности — двигатели большую часть времени работали на этой мощности. На основании некоторых данных о материалах можно предположить, что при уровне в 104 % от проектного уровня время образования трещины окажется вдвое больше, чем при 109 % или полном уровне мощности. Будущие полеты должны проходить на этом уровне из-за более высоких грузоподъемностей, и многие тесты выполняются на этом же уровне. Поэтому, разделив время при уровне мощности 104 % на 2, мы получим единицы, эквивалентные полному уровню мощности. (Очевидно, тут вводится некоторая неопределенность, но мы не приняли ее во внимание.) Самые ранние трещины, упомянутые выше, появлялись при цифре 1,375 от полного уровня мощности.
Теперь правило сертификации выглядит так: «предел работы лопастей стремится к максимуму, равному 1375 секунд, при эквивалентном полном уровне мощности».
Если кто-то возразит, что здесь потерян фактор безопасности 2, можно указать, что одна турбина работала без трещин в течение 3800 секунд, эквивалентных полному уровню мощности, а половина от этого — 1900 секунд; здесь мы предусмотрительно консервативны. Мы одурачили себя в трех случаях. Во-первых, у нас был только один образец, и это не эксплуатационный лидер, два других образца работали 3800 или более секунд, имели 17 растрескавшихся лопастей. (В двигателе 59 лопастей.) Кроме того, мы отказались от «правила двух» и заменили равное время. И наконец, мы утверждали, что через 1375 секунд видели трещину. Можно сказать, что не было обнаружено трещины спустя меньшее время, но в последний раз мы не видели трещины при 1100 секундах. Мы не знаем, когда образовалась трещина в этом промежутке; например, трещина могла образоваться при 1150 секундах. (Приблизительно 2/3 от набора тестируемых лопастей имели трещины по истечении 1375 секунд. Ряд последних экспериментов действительно показал, что самые ранние трещины соответствуют 1150 секундам.) Важно сохранять при расчетах высокие числа, так как двигатели «Челленджера» во время окончания полета работают в режиме, близком к предельному.
Однако было заявлено, что критерии не были нарушены и система находилась в безопасности — вопреки требованиям Федерального авиационного агентства, гласящим, что трещин быть не должно. При этом принимались во внимание только полностью вышедшие из строя изломанные лопасти. Идея НАСА была простой: так как для роста и разрыва трещины необходимо довольно много времени, можно гарантировать, что безопасность обеспечивается благодаря предварительному обследованию трещин во всех лопастях. Если трещины обнаружатся, мы заменим такие лопасти, а если нет — у нас в запасе остается достаточно времени для полета. Такой подход переводит проблему трещин из разряда влияющих на безопасность полета просто в проблему технического обслуживания.
Доводы НАСА могут оказаться практически верными. Но можем ли мы быть полностью уверены, что трещины растут достаточно медленно всегда и что ни одного разрыва не произойдет в полете? Три двигателя работают в течение долгого времени с несколькими надтреснутыми, но не разрушенными лопастями (около 3000 секунд, эквивалентных полному уровню мощности).
Однако можно исправить ситуацию с растрескиванием. Лопасти не будут подвергаться растрескиванию, если изменить их форму, предусмотреть дробеструйное упрочение поверхности и покрытие изоляцией, чтобы исключить тепловой удар.
Очень похожая ситуация возникает с сертификацией кислородных насосов высокого давления, но об этом мы не будем говорить подробно.
Резюмируя сказанное, очевидно, что «Руководство по подготовке полетов» и «Правила сертификации» предъявляют заниженные требования по ряду проблем основного двигателя космического челнока, которые очень напоминают ту ситуацию, которую мы наблюдали в правилах для ракет-носителей на твердом топливе.
Бортовая радиоэлектроника
Под «бортовой радиоэлектроникой» понимается компьютерная система на орбитальной ступени, а также датчики ввода и силовые механизмы вывода. Сначала мы ограничимся свойствами компьютера, не касаясь надежности входной информации с датчиков температуры, давления и так далее, или того, точно ли следует компьютерный выход за исполнительными механизмами вывода при работе ракеты, за механическими средствами управления, за дисплеями астронавтов.
Компьютерная система детально разработана и насчитывает 250 000 строк программы. Кроме многих других функций, она ответственна за автоматическое управление подъемом на орбиту и за снижение до входа в слои атмосферы (ниже первой границы Маха), когда нажатием кнопки и принимается решение о приземлении. Можно было бы сделать всю процедуру приземления автоматической (кроме переключения сигнала спуска, который не управляется компьютером, а должен обеспечиваться пилотом в целях безопасности), но автоматическое приземление все-таки не так безопасно, как пилотируемое. В ходе орбитального полета компьютер используется для управления полезной нагрузкой, информация отражается на дисплее астронавта, где происходит обмен информацией с землей. Очевидно, что безопасность полета требует гарантированной точности всей сложной системы компьютерного аппаратного и программного обеспечения.
Опишем вкратце структуру системы. Надежность аппаратных средств обеспечивается четырьмя совершенно независимыми одинаковыми компьютерными системами, где, возможно, каждый датчик тоже имеет несколько копий — обычно четыре, причем каждая копия питает все четыре компьютерные линии связи. Если ввод от датчиков не согласуется, что зависит от обстоятельств, то в качестве эффективного ввода используются некоторые усредненные данные или набор основных данных. Алгоритм, используемый для каждого из четырех компьютеров, совершенно одинаковый, поэтому их вводы (как только каждый видит все копии датчиков) тоже одинаковые. Поэтому на каждом этапе результаты в каждом компьютере должны совпадать. Время от времени они сравниваются, и поскольку они могут работать при слегка различных скоростях, система останавливается и ждет установленное время, пока все показания сравниваются. Если показания одного из компьютеров не совпадают или ответ получен слишком поздно, три других, чьи показания оцениваются как правильные, остаются, а ошибочный полностью выводится из системы. Если дает сбой еще один компьютер, его показания не соответствуют двум другим, он тоже выводится из системы — оставшаяся часть полета прерывается, поступает команда на снижение, управляемая двумя последними компьютерами. Ясно, что это система с резервированием, так как отказ одного компьютера не влияет на полет. В конце концов в качестве дополнительного фактора безопасности можно поставить пятый независимый компьютер, память которого загружается только программами подъема и спуска и который способен контролировать спуск, если происходит нарушение работы более двух из четырех компьютеров основной линии.
В памяти основной линии компьютеров недостаточно места для всех программ подъема, спуска и контроля полезной нагрузки в полете, так что память загружается около четырех раз с кассетной ленты самими астронавтами.
В аппаратных средствах за много лет не произошло никаких изменений — используется аппаратура пятнадцатилетней давности — это сопряжено с колоссальными усилиями по замене и отладке нового программного обеспечения в такой сложной системе. Аппаратные средства устарели; например, установлена память старого типа с ферритовым сердечником. Становится все трудней найти производителей для поставки таких устаревших компьютеров высокого качества и высокой надежности. Современные компьютеры значительно более надежны, работают гораздо быстрее, имеют упрощенную схематику, позволяя выполнять больший объем работы, и не требуют дозагрузки памяти, поскольку их память значительно больше.