Сдам Сам

ПОЛЕЗНОЕ


КАТЕГОРИИ







Ракеты на твердом топливе (SRB)





 

Оценка надежности ракет на твердом топливе была выполнена офицером службы безопасности полигона, изучившим опыт всех предыдущих полетов ракет. Из полного числа порядка 2900 полетов 121 оказался неудачным (1 к 25). Сюда, однако, включены так называемые ранние ошибки, когда ракета запускалась по нескольку раз, при этом определялись и фиксировались конструкторские ошибки. Более разумные цифры для ракет с продуманным дизайном — 1 к 50. При особой тщательности в выборе деталей и надежном обследовании эти цифры могут стать ниже и достигнуть значения 1 к 100, правда, цифра 1 к 1000 вряд ли достижима при современной технологии. (На космическом челноке две такие ракеты, поэтому скорость его крушения из-за отказа ракет-носителей на твердом топливе должна удваиваться.)

Официальные представители НАСА приводят доводы в пользу гораздо меньших цифр. Они утверждают, что эти цифры справедливы для ракет, не укомплектованных людьми, но так как челнок является средством, управляемым людьми, «вероятность успешного полета очень близка к 1,0». Не очень ясно, что означает эта фраза. Означает ли это, что цифра близка к 1 или должна быть близка к 1? Они продолжают объяснять: «исторически эта чрезвычайно высокая степень успешного полета объясняется разницей философий между программами космического полета с экипажем и без экипажа; то есть употребление численной вероятности против выводов инженеров». (Эти цитаты взяты из «Space Shuttle Data for Planetary Mission RTG Safety Analysis», pages 3–1,3–2, February 15, 1985, NASA, JSC.) Ясно, что, если бы вероятность крушения составляла 1 к 100 000, необходимо было бы провести чрезмерно большое число тестов для ее определения (вы ничего не получите, кроме цепочки успешных полетов, из которых не вытекает никакая правильная цифра, а только то, что вероятность вряд ли меньше числа таких полетов в цепочке). Но если фактическая вероятность не так мала, полеты должны вызывать тревогу, обоснованные оценки должны вызывать опасение реального крушения. Весь предыдущий опыт НАСА указывает на возможность случайных трудностей, почти несчастных случаев и самих несчастных случаев — все это служит предупреждением, что вероятность крушения полетов не так мала. Непоследовательность аргументации не определяет надежности на основе истории полетов и испытания двигателей, как это делает офицер службы безопасности и к чему апеллирует НАСА: «Исторически такая высокая степень успешных полетов…» В конце концов, если мы сравним стандартную численную вероятность и заключения инженеров, откуда такое огромное расхождение между оценкой руководства и выводами инженеров? Может оказаться, что для любой цели, для внутреннего и внешнего потребления, руководство НАСА преувеличивает надежность своего продукта до фантастических цифр.

Не буду здесь заново излагать историю сертификации и «Руководство по подготовке к полетам». (Смотрите соответствующие разделы докладов комиссии.) Совершенно очевидно допустить в предыдущих полетах такие явления, как газопропуск (просачивание газа) и эрозию. Полет «Челленджера» — тому поучительный пример. Имеется несколько ссылок на предыдущие полеты. Одобрение и успех предыдущих полетов рассматриваются как доказательство безопасности. В конструкции не предполагалось ни эрозии, ни газопропуска — следовательно, если она есть, значит, конструкция «предупреждает»: что-то работает не так. Агрегаты работают не так, как ожидалось, и потому существует опасность, что они могут работать даже с большими отклонениями, причем неожиданным и не вполне понятным образом. Тот факт, что эта опасность не приводила раньше к катастрофе, не является гарантией, что ничего не случится в дальнейшем, если только все полностью не понять и не проанализировать. При игре в русскую рулетку, если в первой попытке вы избежали опасности, это дает небольшую надежду избежать ее в следующей. Причина и следствие возникновения газопропуска и эрозии не понятны. Они не проявляются одинаково во всех полетах и всех узлах; иногда больше, иногда меньше. Почему когда-нибудь в будущем, когда условия станут более подходящими, это не может привести к катастрофе?

Несмотря на происходящие от случая к случаю отклонения, официальные лица ведут себя так, словно им все понятно, обмениваясь, по их мнению, логичными доводами, часто зависящими от «успеха» предыдущих полетов. Например, если полет 51-L был безопасен — они бравируют тем, что эрозии уплотнительного кольца не произошло — а в полете 51-С отмечалось, что глубина эрозии составляла только одну треть радиуса. В эксперименте с разрезанием кольца было замечено, что перед поломкой кольца его надо разрезать на глубину одного радиуса. Вместо того чтобы принять во внимание, что изменения плохо изученных условий могут внезапно привести к сильной эрозии, они объявляют эрозию «фактором безопасности три». Странное использование инженерного термина «фактор безопасности». Если мост строится с расчетом на определенную нагрузку, соответствующую отсутствию постоянной деформации балок, трещин или разрушений, его следует конструировать из материалов, которые устоят при утроенной нагрузке. «Фактор безопасности» не должен соответствовать точно определенному превышению нагрузки, или неизвестной дополнительной нагрузке, или слабым местам материала, в котором могут появляться неожиданные дефекты и тому подобное. Если в результате ожидаемой нагрузки на новый мост появится трещина в балке, здесь налицо неудачная конструкция. Не существует никаких факторов безопасности; даже несмотря на то что мост реально не разрушается, потому что трещина составляет только одну треть величины балки. Уплотнительные кольца ракеты-носителя на твердом топливе не должны конструироваться из материала, подвергающегося эрозии. Эрозия — это «звонок» о том, что в конструкции что-то неправильно, и никак не фактор, из которого можно сделать заключение о безопасности.

Нет другого пути, кроме полного понимания проблемы — следует быть абсолютно уверенным, что условия в следующий момент не приведут к эрозии, в три раза более сильной, чем раньше. Тем не менее официальные лица обманывают себя, полагая, что они во всем разобрались и во всем убеждены, несмотря на специфические отклонения, происходящие от случая к случаю. Для расчета эрозии мы создали математическую модель. Эта модель основана не на физическом понимании, а на подгонке эмпирических кривых. Более подробно — предполагалось, что поток горячего газа сталкивается с материалом уплотнительного кольца, определялось тепло в точке застоя (в соответствии с действующими физическими термодинамическими законами). При определении того, насколько покрышку кольца разъела эрозия, исходим из того, что все зависит только от этого тепла, расчет проводился по формулам с данными для подобного материала. График в логарифмическом масштабе представлял прямую линию, поэтому считалось, что эрозия меняется как степень 0,58 от тепла; число 0,58 определяется по ближайшей подгоночной кривой. В любом случае при подгонке некоторых других чисел определяется, что модель согласуется с величиной эрозии (с глубиной, составляющей одну треть радиуса уплотнительного кольца). Нет ничего более вредного, чем доверять ответам! Везде возникают неопределенности. Нельзя предсказать, насколько сильный поток газа обтекает уплотнитель, он зависит от отверстий, образованных в замазочном слое. Просачивание газа показало, что кольцо может сломаться при частичной эрозии или даже при ее отсутствии. Хорошо известно, что эмпирическая формула будет неопределенной, если она не применяется именно к тем экспериментальным точкам, с помощью которых была определена. Есть скопления точек, некоторые встречаются дважды: над и под подгоночной кривой; так что двойное предсказание эрозии достаточно надежно, даже исходя из одного этого случая. Подобные неопределенности встречаются и в других константах в формулах и т. д. При использовании математической модели особое внимание следует обращать на ее неопределенности.

 

Двигатель на жидком топливе

 

В ходе полета 51-L все три основных двигателя космического корабля работали превосходно, даже в последний момент, при отключении двигателей, когда подача топлива начала прекращаться. Тем не менее возникает вопрос, должна ли она прекращаться? Нам необходимо исследовать эту ситуацию максимально подробно, как мы сделали это для ракет-носителей на твердом топливе. Мы и здесь обнаружим недостаточное внимание к возможным ошибкам и уменьшению надежности. Иначе говоря, приводят ли слабые места организации полетов к несчастным случаям в сфере, ограниченной сектором ракет-носителей на твердом топливе, или они являются общей характеристикой НАСА? Нам надо проанализировать работу основных двигателей космического челнока, а также функционирование радиоэлектроники. Подобных исследований для орбитальных ступеней или внешних отсеков не существует.

Двигатель является значительно более сложной структурой, чем ракета-носитель на твердом топливе, в нем гораздо больше инженерии. Как правило, инженерные разработки здесь очень высокого качества, и значительное внимание следует уделить недостаткам и ошибкам их работы. Эти двигатели проектируются для военных или гражданских самолетов с помощью так называемой компонентной системы или проектирования снизу вверх. Во-первых, надо в совершенстве понимать свойства и ограничения используемых материалов (например, для лопастей турбин). Исследование материалов следует начинать с тестов на экспериментальных испытательных стендах. На основании результатов испытаний проектируются большие компонентные детали (такие, как опоры), они тестируются отдельно. Когда недостатки и ошибки конструирования учтены, детали корректируются и проверяются при повторном тестировании. Поскольку детали тестируются за раз, такое тестирование и их модификация оказываются не слишком затратными. В заключение разрабатывается окончательный проект всего двигателя с необходимыми спецификациями. Этот этап наиболее удобен для проверки работы двигателя и выявления недостатков; на этом этапе легко зафиксировать нарушения, проанализировать их причины и определить предельные свойства материалов. Это наиболее благоприятный момент для модификации двигателя, возможность справиться с окончательными трудностями, устранить и более серьезные, уже обнаруженные проблемы — все это делается гораздо проще и дешевле на этом этапе конструирования.

Основной двигатель космического корабля контролируется различными способами, можно сказать, сверху вниз, по нисходящей. Двигатель проектируется одновременно с относительно небольшим предварительным изучением материалов и компонентов. Затем, когда дело доходит до опор, турбинных лопастей, труб для смазочно-охлаждающих смесей и разного более сложного оборудования — в этих случаях гораздо дороже и сложнее выявлять ошибки и проводить модификацию. Например, трещины в турбинных лопастях определяются с помощью кислородных турбонасосов под высоким давлением. Вызваны ли они дефектами материала, влиянием атмосферного кислорода на свойства материала, тепловыми нагрузками при старте и посадке, вибрацией и напряжениями установившегося режима или, возможно, некоторой резонансной скоростью или неизвестными нам эффектами? Как долго можно работать от начала образования трещины до полного ее разрушения и как это зависит от уровня мощности? Использование уже законченного двигателя для тестирования его неполадок на испытательном стенде является чрезвычайно дорогостоящей процедурой. Никто не хочет потерять целый двигатель, чтобы обнаружить, как и где происходит разрушение. И все-таки важно точно знать эту информацию. Не представляя себе ситуацию во всех подробностях, нельзя говорить о доверии к сконструированным элементам двигателя.

Еще одним неудобством метода проектирования «по нисходящей» является тот факт, что при любой ошибке, например, при необходимости замены формы корпуса турбины, простым ремонтом не обойтись — нужно заново проектировать весь двигатель.

Основной двигатель космического челнока — совершенно уникальная машина. У него отношение осевой нагрузки к весу гораздо выше, чем у предыдущего двигателя. Он построен на пике инженерного опыта, даже не на основании предыдущих разработок. Поэтому-то в нем и обнаружились разнообразные дефекты и трудности. К сожалению, он был построен способом нисходящего проектирования, при котором трудно обнаруживать и фиксировать недостатки. Замысел проектирования, рассчитанный на сгорание после 55 эквивалентных полетов (27 000 секунд работы в каждом полете или 500 секунд на испытательном стенде), не был достигнут. Двигатель сейчас очень часто требует ремонта и замены важнейших деталей, таких как турбонасосы, опоры, корпус с металлической обшивкой и так далее. Топливный турбонасос высокого давления следует менять каждые три-четыре полета (хотя сейчас их можно чинить), а кислородный турбонасос высокого давления — каждые пять-шесть полетов. Это при спецификации с исходными допусками более чем десять процентов.

Далее основное внимание будет сконцентрировано на определении надежности.

За время полного рабочего ресурса, составляющего около 250 000 секунд, двигатели отказывают примерно 16 раз. Инженерный состав очень внимательно изучает эти поломки и старается их устранить как можно быстрее. Изучаются результаты тестов на специальных установках, экспериментально спроектированных для поиска дефектов, двигатель тщательно обследуется на предмет раскрытия предполагаемых недостатков (например, дефектов), которые тщательно анализируются и устраняются. Таким образом, несмотря на сложности нисходящего проектирования, путем упорного труда многие проблемы удалось полностью устранить.

Здесь приведен список некоторых проблем. Звездочкой отмечены предположительно решенные проблемы:

1. Трещины турбинных лопастей в топливных турбонасосах высокого давления (ТТНВД). (Возможно, проблема решена.)

2. Трещины в кислородных турбонасосах высокого давления (КТНВД).

3. Разрыв линии форсажного искрового воспламенителя.*

4. Поломка проверочного очистного клапана.*

5. Эрозия камеры форсажного искрового воспламенителя.*

6. Растрескивание металлических листов топливных турбонасосов высокого давления.*

7. Поломка смазочно-охлаждающей прокладки топливных турбонасосов высокого давления.*

8. Поломка колена выпуска основной камеры сгорания.*

9. Поломка колена впуска основной камеры. Сдвиг сварного колена впуска основной камеры сгорания.*

10. Квазисинхронное вихревое движение в кислородном турбонасосе высокого давления.*

11. Защитная система отключения ускорения в полете (частичный отказ в резервной системе).*

12. Растрескивание опор (частично решена).

13. Вибрация, составляющая 4000 Герц, приводящая некоторые двигатели в нерабочее состояние.

Многие из этих решенных проблем на начальном этапе проектирования оказались очень сложными, 13 из них происходят в первые 12 500 секунд, и только 3 — в следующие 12 500 секунд. Естественно, никогда нельзя быть уверенным, что все ошибки устранены. Поэтому бессмысленно гадать, случился ли сюрприз в следующие 25 000 секунд с вероятностью 1/500 на один двигатель в одном полете. В полете задействованы три двигателя, но на некоторые несчастные случаи может повлиять и один двигатель. Система может аварийно прекратить работу и при двух двигателях. Давайте предположим, что неизвестных сюрпризов не существует, тогда вероятность нарушения полета из-за основного двигателя челнока менее 1/500. К этому следует добавить вероятность крушения от известных, но пока не решенных проблем (без звездочки в приведенном выше списке). Их мы обсудим ниже. (Инженеры и производители из «Рокет дайн» оценили полную вероятность как 1/1000. Инженеры в Маршалл — как 1/300, в то время как руководство НАСА, которому эти инженеры сообщают свои соображения, называет цифру 1/10000. Независимый инженер, консультирующий НАСА, оценивает эту цифру с 1–2-процентной вероятностью.)

История принципов сертификации для этих двигателей весьма запутанна и труднообъяснима. Первоначально правило для двух работающих машин гласило, что каждая должна работать без сбоев за сертификационное время работы («правило двух»). По крайней мере это правило исходит из Федерального авиационного агентства, и НАСА усвоила его, предлагая исходное сертификационное время, равное 10 полетам (то есть 20 полетов для каждой машины). Очевидно, что самыми лучшими используемыми двигателями окажутся при сравнении те, у которых наибольшее время работы (полет плюс испытания) — так называемые эксплуатационные лидеры. Но что, если третий образец и несколько других разрушатся за короткое время? Безусловно, мы не можем находиться в безопасности только благодаря двум необычно долго прожившим двигателям. Короткое время больше отвечает реальным возможностям, и, несмотря на фактор безопасности 2, мы должны работать только половину времени короткоживущих образцов.

Медленный крен к снижению фактора безопасности доказывается многими примерами. Возьмем лопасти топливной турбины. От первой идеи тестирования всего двигателя отказались. Каждый номер двигателя содержит много важных деталей (такие, как все турбонасосы), заменяемые через повторяющийся интервал, так что правило должно меняться от двигателей к их компонентам. Мы принимаем топливный насос за сертификационное время, если два образца по отдельности дважды проработали успешно за это время (и конечно, на практике никто не настаивает, чтобы это время соответствовало 10 полетам). Но что значит «успешно»? Федеральное авиационное агентство называет трещину турбинной лопасти поломкой, что на практике обеспечивает фактор безопасности больше 2. Проходит некоторый период, пока двигатель работает между временем начала образования трещины и временем, пока она не станет достаточно большой для полного разрыва. (Федеральное авиационное агентство размышляет над новыми правилами, которые учитывают это дополнительное время, но только при условии, что его тщательно проанализируют с помощью известных моделей в рамках известных экспериментов и с полностью протестированными материалами. Ни одно из этих условий не годится для основного двигателя космического челнока.)

Трещины обнаруживаются в турбинных лопастях через много секунд. В одном случае были обнаружены три трещины через 1900 секунд, а в другом случае не обнаружили ни одной через 4200 секунд, хотя при более длительной работе вероятность возникновения трещин выше. Чтобы проследить за ситуацией, представим, что напряжение зависит от уровня мощности. Полет «Челленджера», как и предыдущий полет, происходил на уровне 104 % от проектной мощности — двигатели большую часть времени работали на этой мощности. На основании некоторых данных о материалах можно предположить, что при уровне в 104 % от проектного уровня время образования трещины окажется вдвое больше, чем при 109 % или полном уровне мощности. Будущие полеты должны проходить на этом уровне из-за более высоких грузоподъемностей, и многие тесты выполняются на этом же уровне. Поэтому, разделив время при уровне мощности 104 % на 2, мы получим единицы, эквивалентные полному уровню мощности. (Очевидно, тут вводится некоторая неопределенность, но мы не приняли ее во внимание.) Самые ранние трещины, упомянутые выше, появлялись при цифре 1,375 от полного уровня мощности.

Теперь правило сертификации выглядит так: «предел работы лопастей стремится к максимуму, равному 1375 секунд, при эквивалентном полном уровне мощности».

Если кто-то возразит, что здесь потерян фактор безопасности 2, можно указать, что одна турбина работала без трещин в течение 3800 секунд, эквивалентных полному уровню мощности, а половина от этого — 1900 секунд; здесь мы предусмотрительно консервативны. Мы одурачили себя в трех случаях. Во-первых, у нас был только один образец, и это не эксплуатационный лидер, два других образца работали 3800 или более секунд, имели 17 растрескавшихся лопастей. (В двигателе 59 лопастей.) Кроме того, мы отказались от «правила двух» и заменили равное время. И наконец, мы утверждали, что через 1375 секунд видели трещину. Можно сказать, что не было обнаружено трещины спустя меньшее время, но в последний раз мы не видели трещины при 1100 секундах. Мы не знаем, когда образовалась трещина в этом промежутке; например, трещина могла образоваться при 1150 секундах. (Приблизительно 2/3 от набора тестируемых лопастей имели трещины по истечении 1375 секунд. Ряд последних экспериментов действительно показал, что самые ранние трещины соответствуют 1150 секундам.) Важно сохранять при расчетах высокие числа, так как двигатели «Челленджера» во время окончания полета работают в режиме, близком к предельному.

Однако было заявлено, что критерии не были нарушены и система находилась в безопасности — вопреки требованиям Федерального авиационного агентства, гласящим, что трещин быть не должно. При этом принимались во внимание только полностью вышедшие из строя изломанные лопасти. Идея НАСА была простой: так как для роста и разрыва трещины необходимо довольно много времени, можно гарантировать, что безопасность обеспечивается благодаря предварительному обследованию трещин во всех лопастях. Если трещины обнаружатся, мы заменим такие лопасти, а если нет — у нас в запасе остается достаточно времени для полета. Такой подход переводит проблему трещин из разряда влияющих на безопасность полета просто в проблему технического обслуживания.

Доводы НАСА могут оказаться практически верными. Но можем ли мы быть полностью уверены, что трещины растут достаточно медленно всегда и что ни одного разрыва не произойдет в полете? Три двигателя работают в течение долгого времени с несколькими надтреснутыми, но не разрушенными лопастями (около 3000 секунд, эквивалентных полному уровню мощности).

Однако можно исправить ситуацию с растрескиванием. Лопасти не будут подвергаться растрескиванию, если изменить их форму, предусмотреть дробеструйное упрочение поверхности и покрытие изоляцией, чтобы исключить тепловой удар.

Очень похожая ситуация возникает с сертификацией кислородных насосов высокого давления, но об этом мы не будем говорить подробно.

Резюмируя сказанное, очевидно, что «Руководство по подготовке полетов» и «Правила сертификации» предъявляют заниженные требования по ряду проблем основного двигателя космического челнока, которые очень напоминают ту ситуацию, которую мы наблюдали в правилах для ракет-носителей на твердом топливе.

 

Бортовая радиоэлектроника

 

Под «бортовой радиоэлектроникой» понимается компьютерная система на орбитальной ступени, а также датчики ввода и силовые механизмы вывода. Сначала мы ограничимся свойствами компьютера, не касаясь надежности входной информации с датчиков температуры, давления и так далее, или того, точно ли следует компьютерный выход за исполнительными механизмами вывода при работе ракеты, за механическими средствами управления, за дисплеями астронавтов.

Компьютерная система детально разработана и насчитывает 250 000 строк программы. Кроме многих других функций, она ответственна за автоматическое управление подъемом на орбиту и за снижение до входа в слои атмосферы (ниже первой границы Маха), когда нажатием кнопки и принимается решение о приземлении. Можно было бы сделать всю процедуру приземления автоматической (кроме переключения сигнала спуска, который не управляется компьютером, а должен обеспечиваться пилотом в целях безопасности), но автоматическое приземление все-таки не так безопасно, как пилотируемое. В ходе орбитального полета компьютер используется для управления полезной нагрузкой, информация отражается на дисплее астронавта, где происходит обмен информацией с землей. Очевидно, что безопасность полета требует гарантированной точности всей сложной системы компьютерного аппаратного и программного обеспечения.

Опишем вкратце структуру системы. Надежность аппаратных средств обеспечивается четырьмя совершенно независимыми одинаковыми компьютерными системами, где, возможно, каждый датчик тоже имеет несколько копий — обычно четыре, причем каждая копия питает все четыре компьютерные линии связи. Если ввод от датчиков не согласуется, что зависит от обстоятельств, то в качестве эффективного ввода используются некоторые усредненные данные или набор основных данных. Алгоритм, используемый для каждого из четырех компьютеров, совершенно одинаковый, поэтому их вводы (как только каждый видит все копии датчиков) тоже одинаковые. Поэтому на каждом этапе результаты в каждом компьютере должны совпадать. Время от времени они сравниваются, и поскольку они могут работать при слегка различных скоростях, система останавливается и ждет установленное время, пока все показания сравниваются. Если показания одного из компьютеров не совпадают или ответ получен слишком поздно, три других, чьи показания оцениваются как правильные, остаются, а ошибочный полностью выводится из системы. Если дает сбой еще один компьютер, его показания не соответствуют двум другим, он тоже выводится из системы — оставшаяся часть полета прерывается, поступает команда на снижение, управляемая двумя последними компьютерами. Ясно, что это система с резервированием, так как отказ одного компьютера не влияет на полет. В конце концов в качестве дополнительного фактора безопасности можно поставить пятый независимый компьютер, память которого загружается только программами подъема и спуска и который способен контролировать спуск, если происходит нарушение работы более двух из четырех компьютеров основной линии.

В памяти основной линии компьютеров недостаточно места для всех программ подъема, спуска и контроля полезной нагрузки в полете, так что память загружается около четырех раз с кассетной ленты самими астронавтами.

В аппаратных средствах за много лет не произошло никаких изменений — используется аппаратура пятнадцатилетней давности — это сопряжено с колоссальными усилиями по замене и отладке нового программного обеспечения в такой сложной системе. Аппаратные средства устарели; например, установлена память старого типа с ферритовым сердечником. Становится все трудней найти производителей для поставки таких устаревших компьютеров высокого качества и высокой надежности. Современные компьютеры значительно более надежны, работают гораздо быстрее, имеют упрощенную схематику, позволяя выполнять больший объем работы, и не требуют дозагрузки памяти, поскольку их память значительно больше.

Программное обеспечение проверяется очень тщательно методом снизу вверх, «по восходящей». Во-первых, проверяется каждая новая строка программы, затем с помощью специальной функции контролируются разделы программы или модули. Границы раздвигаются шаг за шагом, пока новые изменения не будут вставлены в законченную систему и полностью проверены. Окончательный выход считается вновь выпущенным конечным продуктом. В заключение полностью независимая группа проверки, представляющая критикующую сторону по отношению к группе разработчиков программного обеспечения, тестирует и проверяет программное обеспечение, как будто эта группа является покупателем поставленного продукта. Существует дополнительная проверка с применением новых программ в имитирующем устройстве и так далее. Обнаружение ошибки в ходе проверочного тестирования считается очень серьезным промахом, причина ошибки тщательно изучается, чтобы избежать подобных ошибок в будущем. Такие неожиданные ошибки были обнаружены только шесть раз за все время программирования, программа изменена (для новых или модифицированных нагрузок). Принцип, которому следовали, состоял в том, что проверка — это не аспект программной безопасности, это просто тестирование безопасности, а не контроль катастрофы. О безопасности полета нужно судить исключительно по тому, насколько хорошо программа работает в проверочных тестах. Нарушения здесь приводят к серьезному беспокойству. Из всего вышесказанного ясно, что система проверки компьютерного программного обеспечения должна быть высочайшего качества. Казалось бы, что здесь мы не имеем элементов оглупления и снижения уровня стандартов безопасности, как в ракетах-носителях на твердом топливе или в основном двигателе космического корабля. Но… обратимся к последним предложениям руководства — предлагается сократить сложные и дорогостоящие тесты как необязательные. С этим никак нельзя согласиться, поскольку здесь не принимается во внимание едва уловимое взаимное влияние — источники ошибки, обусловленные даже незначительной заменой одной части программы на другую. Пользователи постоянно нуждаются в изменениях — новые нагрузки, новые требования и модификации. Изменения обходятся дорого, поскольку они требуют всестороннего тестирования. Правильный путь сберечь деньги — сократить количество самих изменений, но никак не качество тестирования для их осуществления.

Можно добавить, что сложную систему можно значительно улучшить с помощью более современного аппаратного обеспечения и методик программирования. Любое соперничество извне будет приносить свои плоды — следует внимательно изучить, хороша ли эта идея для НАСА.

В заключение вернемся к датчикам и силовым механизмам электронной системы — они не связаны так глубоко, как компьютерная система, с авариями и надежностью космического корабля. Например, иногда фиксировались отказы датчиков температуры. Но 18 месяцев спустя на борту использовались все те же датчики, которые по-прежнему ломались, пока запуск не пришлось наконец отложить, так как два из них отказали одновременно. И уже в следующем успешном полете снова использовался все тот же ненадежный датчик. Кроме того, системы контроля реактивного движения, реактивных двигателей, применяемые для переориентации и контроля в полете, представляются пока не совсем надежными. Существует длинная череда поломок, ни одна из которых пока серьезно не повлияла на полет. Работа реактивного двигателя проверялась датчиками, и, если не происходило возгорания, компьютеры выбирали другой двигатель. Но в их конструкции не предполагается поломок — и эту проблему можно решить.

 

Заключение

 

Если соблюдать стандартный график запусков, техника не сможет достаточно быстро следовать первоначальным консервативным критериям, гарантирующим полную безопасность челнока. И в этой ситуации формулировки требований безопасности меняются зачастую с сомнительной логической аргументацией — только бы вовремя сертифицировать полет. В результате полеты осуществляются в относительно небезопасных условиях, с вероятностью крушения, составляющей порядка одного процента (трудно быть более точным).

С другой стороны, официальное руководство настаивает на цифре в тысячу раз меньшей. Одна из причин кроется в попытке НАСА заверить правительство в своей безупречности и успешности — с очевидной целью обеспечить финансовые поступления. А может быть, они искренне верят, что их цифры верны, демонстрируя почти необъяснимое отсутствие взаимосвязи между ними и работающими в проекте инженерами.

Так или иначе, следствия такого положения малоутешительны — попробуйте убедить обычного гражданина летать на такой опасной машине — стандартном самолете, если его уровень безопасности соответствует уровню безопасности челнока. Астронавты, как и летчики-испытатели, должны знать о своих рисках — а нам оказана честь вселить в них мужество. Без сомнения, Маколифф была человеком огромного мужества и осознавала истинный риск лучше, чем уверяет нас руководство НАСА.

Позвольте порекомендовать официальным лицам НАСА реально оценивать технологические слабости и дефекты, чтобы активно их устранять. Они должны видеть реальные обстоятельства, сопоставляя затраты и практическую полезность кораблей с другими способами проникновения в космос. Они должны быть реалистичными при заключении контрактов, оценке затрат и сложности проектов. Они должны предлагать только реалистический график полетов, который обладает разумными возможностями и отвечает всем предъявляемым требованиям. Если в такой форме правительство не поддержит их, пусть так и будет. НАСА имеет обязательства перед гражданами, от которых просит поддержки, обещая быть открытой и честной организацией, так что граждане могут принять мудрое решение относительно использования своих ограниченных средств.

Чтобы технология была успешной, реальные обстоятельства должны ставиться выше пиара — ведь природу нельзя одурачить.

 

 

Что такое наука?

 

Что такое наука? Это прежде всего здравый смысл! Или нет? В апреле 1966 года великий Мастер обратился к Национальной ассоциации преподавателей научных дисциплин, где дал урок молодым преподавателям, как привить своим ученикам научное мышление, научить их смотреть на мир с любопытством и непредвзятостью, но прежде всего научиться сомневаться. Эта лекция была во многом данью памяти отцу Фейнмана — продавцу форменной одежды, — оказавшему на сына колоссальное влияние, научившему его особому, фейнмановскому взгляду на мир.

 

Я благодарен мистеру Де Роузу за счастливую возможность присоединиться к вам, преподавателям научных дисциплин. Я тоже преподаю научную дисциплину. У меня достаточно большой опыт — правда, в обучении аспирантов физике, — и в результате я знаю, что совсем не знаю, как надо учить.

Я уверен, что все вы тоже признаете, что не знаете, как это делать; в противном случае вас не беспокоило бы вступление в конвенцию.

Тема «Что такое наука?» не мой выбор. Это выбор мистера Де Роуза. Но я хотел бы сказать, что мое понимание вопроса «Что такое наука?» не равнозначно вопросу «Как учить науке?». И я хотел бы обратить ваше внимание на две эти формулировки. Я готовился к этой лекции о науке, но если кто-то думает, что я хочу рассказать, как учить науке, то должен вас заверить, что вовсе не собираюсь этого делать, поскольку ничего не знаю о маленьких детях. Я знаю лишь то, что ничего не знаю. Другой вопрос состоит в том, что большинство из вас (ведь так много докладов, статей и экспертов в этой области) не обладает достаточной уверенностью в себе. Есть немало людей, которые прочитают вам лекции на тему, почему дела не так хороши и как научиться преподавать лучше. Я не собираюсь ругать вас за плохую работу и указывать, как ее можно улучшить; таких намерений у меня нет.

Собственно говоря, к нам в Калтех поступают только хорошие студенты, и за годы обучения они становятся все лучше и лучше. Как это получается, я не знаю. Удивлюсь, если вы это знаете. Я не хочу вмешиваться в систему образования — но ее результаты очень плодотворны.

Только два дня назад у нас была конференция, на которой мы решили, что впредь не должны обучать аспирантов курсу элементарной квантовой механики. Когда я был студентом, мы не изучали даже курса квантовой механики для аспирантов — он считался слишком сложным предметом. Когда я впервые начал преподавать, мы ввели его. Теперь мы преподаем его студентам. Мы просто поняли, что не должны читать элементарную квантовую механику аспирантам из разных высших учебных заведений. Почему мы убрали этот курс? Потому, что мы способны лучше преподавать в университете, и потому, что к нам приходят лучше подготовленные студенты.

Что такое наука? Безусловно, все вы должны это знать, если учили ее. Это здравый смысл! Что я могу сказать? Знаете ли вы, что в каждом издании учебников для преподавателей содержится полное обсуждение этого предмета. Это в некотором роде искаженные, разбавленные и перемешанные слова Френсиса Бэкона, сказанные им несколько столетий назад, слова, которые впоследствии считались выражающими глубокую философию науки. Но один из величайших ученых-экспериментаторов своего времени, кто действительно сделал в науке кое-что важное, Уильям Харви[24], сказал, что слова Бэкона о науке — суть то, что блестяще умеет делать председатель Верховного суда —







ЧТО ПРОИСХОДИТ ВО ВЗРОСЛОЙ ЖИЗНИ? Если вы все еще «неправильно» связаны с матерью, вы избегаете отделения и независимого взрослого существования...

Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор...

Что делает отдел по эксплуатации и сопровождению ИС? Отвечает за сохранность данных (расписания копирования, копирование и пр.)...

Что вызывает тренды на фондовых и товарных рынках Объяснение теории грузового поезда Первые 17 лет моих рыночных исследований сводились к попыткам вычис­лить, когда этот...





Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:


©2015- 2024 zdamsam.ru Размещенные материалы защищены законодательством РФ.