Ричард Фейнман - Какое ТЕБЕ дело до того, что думают другие?
Оценка надежности твердотопливных ракета-носителей была проведена служащим по безопасности дальних полетов в процессе изучения опыта всех предыдущих полетов ракет. Из общего числа полетов, равного примерно 2900, не удалось осуществить 121 (1 из 25). Однако это число включает то, что можно назвать «ошибками, обнаруженными на ранней стадии» — ракеты, которые запустили первые несколько раз и в которых ошибки конструкции были обнаружены и исправлены. Более разумной цифрой для готовых ракет можно назвать 1 к 50. Если особенно тщательно отбирать детали ракет и проверять их, то можно достигнуть цифры около 1 к 100, но цифра 1 к 1000 при современной технологии, вероятно, недостижима. (Поскольку на каждом шаттле два ракета-носителя, то частоту отказов ракет нужно умножать на два, чтобы получить частоту отказов шаттла из-за отказов ТРН.)
Официальные лица НАСА утверждают, что эта цифра гораздо ниже. Они указывают, что «поскольку на шаттле есть люди, то вероятность успешного выполнения задания непременно очень близка к 1,0». Это значит, что она действительно близка к 1 или что она должна быть близка к 1? Они продолжают свое объяснение: «Исторически сложилось так, что эта чрезвычайно высокая степень успешности полета породила разницу в философии программ полета в космос пилотируемых и непилотируемых ракет; т.е. использование численной вероятности против суждения инженеров». (Эти цитаты взяты из отчета «Данные по космическому шаттлу для анализа безопасности ТРН, выполняющих задачу полета в космос», страницы 3-1 и 3-2, 15 февраля, 1985, НАСА.) Совершенно истинно то, что если бы вероятность отказа была столь низкой, как 1 к 100 000, то потребовалось бы чрезмерно большое количество испытаний, чтобы ее определить: вы бы не получили ничего, кроме вереницы идеальных полетов без какой бы то ни было точной цифры — за исключением того, что, вероятность, скорее всего, не превышает количество таких полетов в данной веренице, которые уже были выполнены. Но если реальная вероятность не так мала, то полеты не проходили бы идеально: возникали бы проблемы, близкие к аварийным ситуациям и, возможно, реальные аварии при разумном числе пробных запусков, так что стандартные статистические методы вполне могли бы обеспечить разумную оценку. На самом деле, предыдущий опыт НАСА, время от времени, показывал почти подобные проблемы, близкие к авариям, и даже аварии, что являет собой предупреждение о том, что вероятность отказа в действительности не так уж мала.
Еще одна несообразность в аргументе, связанном с отсутствием необходимости проверять надежность в процессе опыта (как это делал служащий по безопасности дальних полетов), — это обращение НАСА к истории: «Исторически, эта высокая степень успешности полета…» Наконец, если мы хотим заменить стандартно используемую численную вероятность суждением инженеров, почему мы обнаруживаем такое огромное несоответствие между оценками менеджеров и суждением инженеров? Создается такое ощущение, что, какой бы ни была цель — будь эта оценка предназначена для использования внутри организации или вовне нее, — руководство НАСА преувеличивает надежность своего продукта до уровня фантастики.
Я не буду повторять здесь историю смотров готовности полета и его оценки (см. другие части отчета комиссии), но феномен принятия уплотнений, которые выказали эрозию и прорыв газов при предыдущих полетах, — совершен очевиден. Полет «Челленджера» — превосходный пример: есть несколько ссылок на предыдущие полеты; принятие и успех этих полетов принимаются в качестве доказательства надежности всех последующих. Однако эрозия и прорыв газов конструкцией шаттла не предусмотрены.
Они предупреждают о том, что что-то не в порядке. Оборудование работает не так, как должно, а потому существует опасность того, что оно начнет работать с еще большими отклонениями, совершенно неожиданным и не до конца понятым образом. Тот факт, что ранее это не привело к катастрофе, не гарантирует, что катастрофа не произойдет в следующий раз, если только все это не будет понято до конца. При игре в русскую рулетку тот факт, что при первом нажатии на курок выстрела не последовало, ничуть не гарантирует того, что его не последует и при повторном нажатии на курок. Происхождение и следствия эрозии и прорыва газов не были поняты. Эрозия и прорыв газов не были одинаковыми во всех полетах и во всех стыках: иногда они были сильнее, иногда слабее. Почему не могло случиться так, что однажды, когда определяющие эти явления условия оказались подходящими, произошло их усиление, которое и привело к катастрофе?
Несмотря на эти изменения, которые происходили от случая к случаю, официальные лица вели себя так, словно они все понимают, приводя друг другу, на первый взгляд, логичные аргументы — зачастую ссылаясь на «успех» предыдущих полетов. Например, при определении, насколько безопасно осуществить полет 51-L в виду эрозии кольца во время полета 51-С, было замечено, что глубина эрозии была равна лишь одной трети его радиуса. Во время эксперимента, когда кольцо разрезали, обнаружилось, что разрезание кольца на глубину радиуса необходимо до его выхода из строя. Вместо того, чтобы начать беспокоиться из-за того, что изменения плохо понятых условий на этот раз вполне могут создать более глубокую эрозию, утверждалось, что «коэффициент безопасности равен трем».
Это весьма странный метод использования инженерного термина «коэффициент безопасности». Если мост строят для того, чтобы он выдерживал определенную нагрузку и чтобы его балки при этом не испытывали постоянную деформацию, не трескались и не ломались, то его могут спроектировать так, чтобы используемые материалы выдерживали нагрузку, фактически в три раза большую. Этот «коэффициент безопасности» необходим, чтобы учесть неопределенные превышения нагрузки, неизвестные перегрузки или слабые места материала, который может иметь непредвиденные дефекты и прочее. Но если новый мост подвергается ожидаемой нагрузке и на балке при этом появляется трещина, то это недостаток конструкции. В этом случае ни о каком коэффициенте безопасности не может быть и речи, даже несмотря на то, что мост не развалился, потому что балка треснула только на одну треть диаметра. В конструкции колец твердотопливных ракета-носителей эрозия не предусматривалась. Эрозия являла собой ключ, который указывал на какие-то неполадки. Эрозия не могла служить основой для вывода о безопасности.
Нет совершенно никакого способа, за исключением полного понимания, обрести уверенность в том, что в следующий раз не возникнет эрозия, в три раза большая, чем та, что была в прошлый раз. Тем не менее, официальные лица обманывали сами себя, считая, что они обладают подобным пониманием и уверенностью, несмотря на своеобразные изменения, происходившие от случая к случаю. Для вычисления эрозии была создана математическая модель. Однако эта модель основывалась не на физическом понимании, а на вычерчивании по точкам эмпирической кривой. В частности, предполагалось, что струя горячего газа ударяется о материал кольца, а тепло определяется в точке застывания (согласно разумным физическим законам термодинамики). Но, чтобы определить, насколько глубоко эродировала резина, допускалось, что эрозия изменяется как 0,58 степень от тепла, причем число 0,58 было получено с помощью самой близкой точки эмпирической кривой. Как бы то ни было, при подгонке других чисел было найдено, что модель совпадает с эрозией (на глубину одной трети радиуса кольца). В этом анализе нет ничего более ужасного, чем вера в полученный результат! Неопределенности просто переполняют созданную модель. Невозможно было предсказать силу струи газа; она зависела от размера отверстий, образовавшихся в замазке. Прорыв газов показал, что кольцо могло отказать, несмотря на то, что эрозия поразила его лишь частично. Всем была известна неопределенность эмпирической формулы, так как кривая проходила не прямо через данные точки, посредством которых она была найдена. Точек было целое облако: некоторые располагались в два раза выше, другие в два раза ниже нашей кривой, так что, исходя уже из одной этой причины, можно было предсказать эрозии, в два раза большие. Подобные неопределенности существовали и в отношении других констант в формуле и т.д., и т.п. Однако при использовании математической модели на неопределенности, в ней заложенные, следует обращать особое внимание.
Основные двигатели космического шаттла (ОДКШ)Во время полета 51-L все три основные двигателя шаттла работали идеально, даже начиная останавливаться в последние мгновения, когда началось прекращение подачи топлива. Однако возникает вопрос, обнаружили ли бы мы — в случае отказа двигателей и столь же детального расследования причины этого отказа нами, какое мы провели для твердотопливных ракета-носителей, — подобное отсутствие внимания к недостаткам и снижение критериев безопасности. Другими словами, ограничивались ли те слабые места организации, которые внесли свой вклад в катастрофу, только сектором твердотопливных ракета-носителей или их можно было назвать общей характеристикой НАСА? В этой связи были исследованы основные двигатели космического шаттла и авиационная электроника. Однако подобного исследования орбитальной ступени или внешнего топливного резервуара проведено не было.